知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023171038
(43)【公開日】2023-12-01
(54)【発明の名称】車載装置、情報処理方法、及びプログラム
(51)【国際特許分類】
H04L 43/0852 20220101AFI20231124BHJP
H04L 12/28 20060101ALI20231124BHJP
【FI】
H04L43/0852
H04L12/28 100A
H04L12/28 200Z
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2022083224
(22)【出願日】2022-05-20
(71)【出願人】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(71)【出願人】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(71)【出願人】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】100114557
【弁理士】
【氏名又は名称】河野 英仁
(74)【代理人】
【識別番号】100078868
【弁理士】
【氏名又は名称】河野 登夫
(72)【発明者】
【氏名】渡部 正志
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA06
5K033BA06
5K033DA01
5K033EA03
5K033EA04
(57)【要約】
【課題】正規機器を模擬して車載ネットワークに接続された不正機器を検出する車載装置等を提供する。
【解決手段】本開示の一態様に係る車載装置は、車両に搭載され、前記車両の車載ネットワークに接続される車載機器と通信を行う車載装置であって、前記通信に関する制御を行う制御部を備え、前記制御部は、車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【選択図】図1
【解決手段】本開示の一態様に係る車載装置は、車両に搭載され、前記車両の車載ネットワークに接続される車載機器と通信を行う車載装置であって、前記通信に関する制御を行う制御部を備え、前記制御部は、車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
車両に搭載され、前記車両の車載ネットワークに接続される車載機器と通信を行う車載装置であって、
前記通信に関する制御を行う制御部を備え、
前記制御部は、
車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
車載装置。
前記通信に関する制御を行う制御部を備え、
前記制御部は、
車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
車載装置。
【請求項2】
前記送信時点は、通信データの送信が完了した時点であり、前記受信時点は通信データの受信が完了した時点である
請求項1に記載の車載装置。
請求項1に記載の車載装置。
【請求項3】
前記制御部は、
アクセス可能な記憶領域に予め記憶されている想定所要時間と、前記送信時点と前記受信時点との所要時間とを対比することにより、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
アクセス可能な記憶領域に予め記憶されている想定所要時間と、前記送信時点と前記受信時点との所要時間とを対比することにより、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
【請求項4】
前記想定所要時間は、車載ネットワークに接続される前記車載機器それぞれと前記通信を行う際の、通信データの前記送信時点から前記受信時点までに想定される各前記所要時間を含む
請求項3に記載の車載装置。
請求項3に記載の車載装置。
【請求項5】
前記制御部は、
送信した通信データの前記送信時点から、前記車載機器による通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
送信した通信データの前記送信時点から、前記車載機器による通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
【請求項6】
前記制御部は、
前記車載機器からの通信データの前記送信時点から、通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
前記車載機器からの通信データの前記送信時点から、通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
【請求項7】
前記制御部は、
前記車載機器における通信データの前記受信時点から前記送信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
前記車載機器における通信データの前記受信時点から前記送信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
請求項1または2に記載の車載装置。
【請求項8】
前記制御部は、
前記所要時間が、前記想定所要時間よりも前記所定時間以上短い場合、不正機器が正規の前記車載機器に成りすまして前記通信を行っていると判定する
請求項3に記載の車載装置。
前記所要時間が、前記想定所要時間よりも前記所定時間以上短い場合、不正機器が正規の前記車載機器に成りすまして前記通信を行っていると判定する
請求項3に記載の車載装置。
【請求項9】
前記制御部は、
前記所要時間が、前記想定所要時間よりも前記所定時間以上長い場合、不正機器が正規の前記車載機器との前記通信を中継していると判定する
請求項3に記載の車載装置。
前記所要時間が、前記想定所要時間よりも前記所定時間以上長い場合、不正機器が正規の前記車載機器との前記通信を中継していると判定する
請求項3に記載の車載装置。
【請求項10】
前記制御部は、
前記送信時点及び前記受信時点における所要時間と、前記想定所要時間との差の絶対値が所定時間以上である場合、前記通信を行った前記車載機器が不正機器であると判定する
請求項3に記載の車載装置。
前記送信時点及び前記受信時点における所要時間と、前記想定所要時間との差の絶対値が所定時間以上である場合、前記通信を行った前記車載機器が不正機器であると判定する
請求項3に記載の車載装置。
【請求項11】
車両の車載ネットワークに接続される車載機器と通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
情報処理方法。
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
情報処理方法。
【請求項12】
車両の車載ネットワークに接続される車載機器と通信を行うコンピュータに、
前記車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
処理を実行させるプログラム。
前記車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、
取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する
処理を実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本技術は、車載装置、情報処理方法、及びプログラムに関する。
【背景技術】
【0002】
車両には、車載ネットワークが搭載される。また、車載ネットワークのセキュリティを向上させる車載通信システムが開発されている。例えば、特許文献1に記載の車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2016-116075号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1においては、暗号鍵が不正入手された場合にセキュリティが無効化されてしまうという問題点がある。
【0005】
本開示は斯かる事情に鑑みてなされたものであり、車載ネットワークに接続された不正機器を検出する車載装置等を提供することを目的とする。
【課題を解決するための手段】
【0006】
本開示の一態様に係る車載装置は、車両に搭載され、前記車両の車載ネットワークに接続される車載機器と通信を行う車載装置であって、前記通信に関する制御を行う制御部を備え、前記制御部は、車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【発明の効果】
【0007】
本開示の一態様によれば、車載ネットワークに接続された不正機器を検出することが可能である。
【図面の簡単な説明】
【0008】
【図1】実施の形態1に係る車載システムのシステム構成を例示する模式図である。
【図2】車載装置(統合ECU)等の内部構成を例示するブロック図である。
【図3】想定所要時間テーブルを例示する説明図である。
【図4】車載装置と車載機器との通信における時点を例示する説明図である。
【図5】実施の形態1に係る車載装置の制御部による処理を説明するフローチャートである。
【図6】不正機器推定処理を説明するフローチャートである。
【図7】不正機器の接続例を示す説明図である。
【図8】実施の形態2に係る想定所要時間テーブルを例示する説明図である。
【図9】実施の形態2に係る車載装置の制御部による処理を説明するフローチャートである。
【図10】実施の形態2に係る不正機器推定処理を説明するフローチャートである。
【発明を実施するための形態】
【0009】
[本開示の実施形態の説明]
最初に、本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
最初に、本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
【0010】
(1)本開示の一態様に係る車載装置は、車両に搭載され、前記車両の車載ネットワークに接続される車載機器と通信を行う車載装置であって、前記通信に関する制御を行う制御部を備え、前記制御部は、車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0011】
本態様にあっては、車載装置の制御部は、車載装置が車載機器へ送信を行った時点、車載機器が受信した時点、車載機器が車載装置に送信を行った時点、及び車載装置が受信した時点を取得する。車載装置及び正規に車両に搭載される車載機器(正規機器)はハーネスにより接続されており、車載装置及び各正規機器の車両内における配置は車種によって固有であるため、車載装置と各正規機器とを接続するハーネスの長さは車種によって規定されている。車載装置と車載機器の通信にかかる時間は、車載装置が接続される接続地点と、車載機器が接続される接続地点との間に位置するハーネスの長さに依拠する値であり、これら車載装置及び車載機器の物理的位置関係に基づき定まる時間(通信所要時間)である。車載装置と正規機器とのハーネスにおける通信経路上に正規機器を模擬した不正機器が接続された場合、車載装置と車載機器との通信にかかる時間は想定される時間と異なる。車載装置は、車載装置及び車載機器の送信時点及び受信時点に基づいて、車載機器との通信にかかった時間を算出し、算出した時間に基づいて、通信を行った車載機器が不正機器であるか否かを判定する。これにより、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0012】
(2)本開示の一態様に係る車載装置は、前記送信時点は、通信データの送信が完了した時点であり、前記受信時点は通信データの受信が完了した時点である。
【0013】
本態様にあっては、車載装置の制御部は、車載装置または車載機器が通信データの送信を完了した時点を送信時点として取得し、受信を完了した時点を受信時点として取得する。送信時点及び受信時点として、統一的に完了した時点を取得することで、車載装置と車載機器との通信が正常に完了した場合のみ、送信時点及び受信時点を取得することが可能である。
【0014】
(3)本開示の一態様に係る車載装置は、前記制御部は、アクセス可能な記憶領域に予め記憶されている想定所要時間と、前記送信時点と前記受信時点との所要時間とを対比することにより、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0015】
本態様にあっては、車載装置の制御部がアクセス可能な記憶領域は、予め計測された車載装置と正規機器との通信にかかる想定所要時間を記憶している。車載装置の制御部は、記憶領域に記憶された想定所要時間と、実際に車載装置と車載機器との通信にかかった時間(実測所要時間)を対比することで、通信を行った車載機器が不正機器であるか否かを判定する。これにより、車載装置の制御部は、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0016】
(4)本開示の一態様に係る車載装置は、前記想定所要時間は、車載ネットワークに接続される前記車載機器それぞれと前記通信を行う際の、通信データの前記送信時点から前記受信時点までに想定される各前記所要時間を含む。
【0017】
本態様にあっては、車載装置は、複数の車載機器と通信を行う。車載装置の制御部がアクセス可能な記憶領域は、車載装置からそれぞれの正規機器に通信データを送信する際の、車載装置における送信時点から正規機器における受信時点までの想定所要時間と、それぞれの正規機器における送信時点から車載装置における受信時点までの想定所要時間とを記憶している。車載装置の制御部は、各想定所要時間と実際に車載装置と車載機器との通信にかかった時間(実測所要時間)を対比することで、通信を行った車載機器が不正機器であるか否かを判定することが可能である。
【0018】
(5)本開示の一態様に係る車載装置は、前記制御部は、送信した通信データの前記送信時点から、前記車載機器による通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0019】
本態様にあっては、不正機器が車載装置と正規機器との間に接続され、正規機器に成りすまして車載装置と通信を行った場合、車載装置における通信データの送信時点から不正機器における通信データの受信時点までの所要時間は、車載装置と正規機器とが通信を行う場合に比べて短くなる。また、不正機器が車載装置と正規機器との通信を中継し、通信データの窃盗または改竄等の不正処理を行った場合、車載装置における通信データの送信時点から正規機器における通信データの受信時点までの所要時間は、不正機器の中継がない場合に比べて長くなる。車載装置の制御部は、不正機器が接続されていない場合に想定される、車載装置が通信データを送信してから通信を行った機器が通信データを受信するまでの想定所要時間よりも、実際に通信を行った際の実測所要時間が短い場合、または長い場合に、通信を行った車載機器が不正機器であると判定する。これにより、車載装置の制御部は、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0020】
(6)本開示の一態様に係る車載装置は、前記制御部は、前記車載機器からの通信データの前記送信時点から、通信データの前記受信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0021】
本態様にあっては、不正機器が車載装置と正規機器との間に接続され、正規機器に成りすまして車載装置と通信を行った場合、不正機器における通信データの送信時点から車載装置における通信データの受信時点までの実測所要時間は、正規機器における通信データの送信時点から車載装置における通信データの受信時点までの想定所要時間よりも短くなる。また、不正機器が車載装置と正規機器との通信を中継し、通信データの窃盗または改竄等の不正処理を行った場合、正規機器における通信データの送信時点から車載装置における通信データの受信時点までの実測所要時間は、不正機器の中継がない場合に比べて長くなる。車載装置の制御部は、不正機器が接続されていない場合に想定される、通信を行った機器が通信データを送信してから車載装置が通信データを受信するまでの想定所要時間よりも実際に通信を行った際の実測所要時間が短い場合、または長い場合に、通信を行った機器が不正機器であると判定する。これにより、車載装置の制御部は、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0022】
(7)本開示の一態様に係る車載装置は、前記制御部は、前記車載機器における通信データの前記受信時点から前記送信時点までの所要時間に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0023】
本態様にあっては、車載装置の制御部は、通信を行った機器が通信データを受信した受信時点と、車載装置に応答のための通信データを送信した送信時点を取得する。車載装置の制御部は、取得した受信時点及び送信時点に基づき、通信を行った車載機器が車載装置に返信を行うための処理を行い、車載装置に通信データを返信(送信)するまでの実測所要時間を算出する。正規機器において車載装置にレスポンスを行うための処理にかかる時間は一定であるため、車載装置の制御部は、通信を行った機器において返信を行うための処理にかかった実測所要時間が想定される想定所要時間よりも短い場合、または長い場合に、通信を行った機器が不正機器であると判定する。これにより、車載装置の制御部は、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0024】
(8)本開示の一態様に係る車載装置は、前記制御部は、前記所要時間が、前記想定所要時間よりも前記所定時間以上短い場合、不正機器が正規の前記車載機器に成りすまして前記通信を行っていると判定する。
【0025】
本態様にあっては、不正機器が車載装置と正規機器との間に接続され、正規機器に成りすまして車載装置と通信を行った場合、不正機器における通信データの送信時点から車載装置における通信データの受信時点までの実測所要時間は、正規機器における通信データの送信時点から車載装置における通信データの受信時点までの想定所要時間よりも短くなる。また、不正機器における通信データの送信時点から車載装置における通信データの受信時点までの実測所要時間は、正規機器における通信データの送信時点から車載装置における通信データの受信時点までの想定所要時間よりも短くなる。車載装置の制御部は、実測所要時間が想定所要時間よりも短い場合、通信を行った車載機器が不正機器であると判定する。これにより、車載装置の制御部は、車載装置と正規機器との間に接続され、正規機器に成りすました不正機器を検出することが可能である。
【0026】
(9)本開示の一態様に係る車載装置は、前記制御部は、前記所要時間が、前記想定所要時間よりも前記所定時間以上長い場合、不正機器が正規の前記車載機器との前記通信を中継していると判定する。
【0027】
本態様にあっては、不正機器が車載装置と正規機器との通信を中継し、通信データの窃盗または改竄等の不正処理を行った場合、車載装置における通信データの送信時点から正規機器における通信データの受信時点までの所要時間は、不正機器の中継がない場合に比べて長くなる。また、正規機器における通信データの送信時点から車載装置における通信データの受信時点までの所要時間は、不正機器の中継がない場合に比べて長くなる。車載装置の制御部は、実測所要時間が想定所要時間よりも長い場合、通信を行った車載機器が不正機器であると判定する。これにより、車載装置の制御部は、車載装置と正規機器との通信を中継する不正機器を検出することが可能である。
【0028】
(10)本開示の一態様に係る車載装置は、前記制御部は、前記送信時点及び前記受信時点における所要時間と、前記想定所要時間との差の絶対値が所定時間以上である場合、前記通信を行った前記車載機器が不正機器であると判定する。
【0029】
本態様にあっては、車載装置と正規機器との通信における前記送信時点と前記受信時点との所要時間は、全ての通信において完全に同一ではなく、通信毎に若干の誤差が発生する。車載装置の制御部は、記憶領域に記憶された想定所要時間と実際に車載装置と車載機器との通信にかかった時間(実測所要時間)を対比し、記憶された想定所要時間と実測所要時間との差の絶対値が所定時間未満である場合は、通信を行った車載機器が正規機器であると判定する。また、車載装置の制御部は記憶された想定所要時間と実測所要時間との差の絶対値が所定時間以上である場合は、通信を行った車載機器が不正機器であると判定する。これにより、車載装置の制御部が正規機器と通信を行った際に、通信を行った機器が不正機器であると誤判定する可能性を低減することが可能である。
【0030】
(11)本開示の一態様に係る情報処理方法は、車両の車載ネットワークに接続される車載機器と通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する。
【0031】
本態様にあっては、車載装置は、車載装置及び車載機器の送信時点及び受信時点に基づいて、車載機器との通信にかかった実測所要時間を算出し、算出した実測所要時間に基づいて、通信を行った車載機器が不正機器であるか否かを判定する。これにより、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0032】
(12)本開示の一態様に係るプログラムは、車両の車載ネットワークに接続される車載機器と通信を行うコンピュータに、前記車載機器と前記通信を行う際に、送受信した通信データの送信時点及び受信時点を取得し、取得した前記送信時点及び前記受信時点に基づいて、前記通信を行った前記車載機器が不正機器であるか否かを判定する処理を実行させる。
【0033】
本態様にあっては、車載装置は、車載装置及び車載機器の送信時点及び受信時点に基づいて、車載機器との通信にかかった実測所要時間を算出し、算出した実測所要時間に基づいて、通信を行った車載機器が不正機器であるか否かを判定する。これにより、正規機器を模擬して車載ネットワークに接続された不正機器を検出することが可能である。
【0034】
[本発明の実施形態の詳細]
本発明をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載装置を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
本発明をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載装置を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【0035】
(実施の形態1)
以下、実施の形態1について図面に基づいて説明する。図1は、実施の形態1に係る車載システムSのシステム構成を例示する模式図である。図2は、車載装置6等の内部構成を例示するブロック図である。車載システムSは、車両Cに搭載される車載装置(統合ECU)6及び複数の車載機器(個別ECU)2を含む。個別ECU2には、アクチュエータ30及びセンサ31等の車両装置3が接続される。
以下、実施の形態1について図面に基づいて説明する。図1は、実施の形態1に係る車載システムSのシステム構成を例示する模式図である。図2は、車載装置6等の内部構成を例示するブロック図である。車載システムSは、車両Cに搭載される車載装置(統合ECU)6及び複数の車載機器(個別ECU)2を含む。個別ECU2には、アクチュエータ30及びセンサ31等の車両装置3が接続される。
【0036】
個別ECU2は、車両Cにおける各エリアに配置され、例えばカーエアコン、ワイパー、ランプ等のアクチュエータ30、及びセンサ31等の車両装置3が、シリアルケーブル(じか線)等のワイヤーハーネスにて直接、接続されている。個別ECU2は、例えば、センサ31から出力された信号(入力信号)を取得(受信)し、取得した入力信号に基づき生成した要求信号を統合ECU6に送信する。個別ECU2は、統合ECU6から送信された制御信号に基づき、自ECUに直接、接続されたアクチュエータ30の駆動制御を行う。このように個別ECU2は、統合ECU6の制御下において、自ECUに接続されるアクチュエータ30等の車両装置3を駆動する。個別ECU2は、当該個別ECU2に接続される複数の車両装置3間の通信、又は車両装置3と統合ECU6との通信を中継するイーサスイッチ又はゲートウェイ等の車載中継装置として機能する中継制御ECUであってもよい。
【0037】
統合ECU6は、個別ECU2を介して中継された車両装置3からのデータに基づき、個々の車両装置3への制御信号を生成及び出力するものであり、例えばヴィークルコンピュータ等の中央制御装置である。統合ECU6は、個別ECU2から出力(送信)される要求信号等の情報又はデータに基づき、当該要求信号の対象となるアクチュエータ30を制御するための制御信号を生成し、生成した制御信号を個別ECU2に出力(送信)する。統合ECU6には、車載ネットワーク4を介して、複数の個別ECU2が接続されており、これら複数の個別ECU2それぞれから送信される要求信号においては、アクチュエータ30に対する制御が競合する場合がある。これに対し、統合ECU6は、これら要求信号において競合した制御における優先順位を決定し、当該優先順位に応じた処理を行うことにより、アクチュエータ30に対する制御の競合を解消するものであってもよい。統合ECU6は、車載機器と前記通信を行う際に取得した送信時点及び受信時点に基づいて、通信を行った車載機器が不正機器であるか否かを判定する車載装置として機能(車載装置に相当)する。
【0038】
車両装置3は、例えばLiDAR(Light Detection and Ranging)、ライトセンサ、CMOSカメラ、赤外線センサ等の各種のセンサ31及び、ドアSW(スイッチ)、ランプSW等のスイッチ、ランプ、ドア開閉装置、モータ装置等のアクチュエータ30を含む。
【0039】
外部サーバ100は、例えばインターネット又は公衆回線網等の車外ネットワークに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部を備える。統合ECU6は、車外通信装置1と通信可能に接続され、車外通信装置1を介して車外ネットワークを介して接続された外部サーバ100と通信し、外部サーバ100と、車両Cに搭載される個別ECU2又は車両装置3との間の通信を中継するものであってもよい。
【0040】
車外通信装置1は、車外通信部(図示せず)及び、統合ECU6と通信するための入出力I/F(図示せず)を含む。車外通信部は、4G、LTE(Long Term Evolution/登録商標)、5G、WiFi(登録商標)等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ11を介して外部サーバ100とデータの送受信を行う。車外通信装置1と外部サーバ100との通信は、例えば公衆回線網又はインターネット等の外部ネットワークNを介して行われる。入出力I/Fは、統合ECU6と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と統合ECU6とは、入出力I/F及び入出力I/Fに接続されたシリアルケーブル等のワイヤーハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、統合ECU6と別装置とし、入出力I/F等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、統合ECU6の一構成部位として、統合ECU6に内蔵されるものであってもよい。更に、統合ECU6と外部サーバ100とが連携又は協働して、車両Cにおける中央制御装置として機能するものであってもよい。
【0041】
統合ECU6は、制御部60、記憶部61、入出力I/F62及び車内通信部63を含む。制御部60は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部61に予め記憶されたプログラムP(プログラム製品)及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部60は、CPU等のソフトウェア処理を行うソフトウェア処理部のみに限定されず、FPGA、ASIC又はSOC等のハードウェア処理にて種々の制御処理及び演算処理等を行うハードウェア処理部を含むものであってもよい。
【0042】
記憶部61は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、プログラムP(プログラム製品)及び想定所要時間テーブル61aが予め記憶してある。記憶部61に記憶されたプログラムP(プログラム製品)は、統合ECU6が読み取り可能な記録媒体611から読み出されたプログラムP(プログラム製品)を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータからプログラムP(プログラム製品)をダウンロードし、記憶部61に記憶させたものであってもよい。想定所要時間テーブル61aの詳細については後述する。なお、統合ECU6の制御部60は、外部サーバ100に記憶された想定所要時間テーブル61aを読み出してもよい。
【0043】
入出力I/F62は、車外通信装置1の入出力I/Fと同様に、例えばシリアル通信するための通信インターフェイスである。入出力I/F62及びシリアルケーブル等のワイヤーハーネスを介して、統合ECU6は、車外通信装置1と通信可能に接続される。
【0044】
車内通信部63は、例えばイーサネット(Ethernet/登録商標)の通信プロトコルを用いた入出力インターフェイスであり、制御部60は、車内通信部63を介して車載ネットワーク4に接続されている個別ECU2と相互に通信する。車内通信部63は、例えば、AVB/TSN規格による時間同期機能を備え、個別ECU2と通信を行う際の、通信データの送信を完了した時点及び受信を完了した時点を記憶することが可能である。又は、AVB/TSN規格による時間同期機能は、統合ECU6の制御部60におけるソフトウェア処理部(機能部)として実装されているものであってもよい。統合ECU6の制御部60は、車内通信部63が記憶した、通信データの送信を完了した時点を送信時点として取得し、受信を完了した時点を受信時点として取得する。なお、制御部60は、通信データの送信を開始した時点を送信時点として取得し、受信を開始した時点を受信時点として取得してもよい。また、車内通信部63は、CAN(Control Area Network)の通信プロトコルを用いたものでもよい。
【0045】
個別ECU2は、統合ECU6と同様に、制御部20、記憶部21、入出力I/F22、及び車内通信部23を備える。個別ECU2の制御部20、記憶部21、入出力I/F22及び車内通信部23は、統合ECU6と同一の構成によるものであってもよい。
【0046】
個別ECU2の入出力I/F22には、アクチュエータ30及びセンサ31等の車両装置3が、例えばシリアルケーブル等のワイヤーハーネス(じか線)により、直接、接続されている。
【0047】
このように構成された統合ECU6と、複数の個別ECU2とは、例えば図1に示すとおり、スター状のネットワークトポロジーにて通信可能に接続されている。更に、隣接する個々の個別ECU2同士が接続され、ループ状のネットワークトポロジーを構成し、双方向通信を可能として冗長化を図るものであってもよい。
【0048】
図3は、想定所要時間テーブル61aを例示する説明図である。想定所要時間テーブル61aには、車載装置(統合ECU)6と車載機器(個別ECU)2との通信の際に想定される各所要時間(想定所要時間)が格納されている。想定所要時間テーブル61aの管理項目は、例えば、車載機器ナンバーフィールドと、想定送信所要時間フィールドと、想定受信所要時間フィールドと、想定処理所要時間フィールドと、許容率フィールドと、ハーネス長フィールドとを含む。
【0049】
車載機器ナンバーフィールドには、車載装置6と通信を行う車載機器2に割り当てられたナンバーが格納される。想定送信所要時間フィールドには、車載装置6が車載機器2へ通信データを送信する際の、車載装置6における送信時点から車載機器2における受信時点までに想定される所要時間(想定送信所要時間)が格納される。想定受信所要時間フィールドには、車載装置6が車載機器2から通信データを受信する際の、車載機器2における送信時点から車載装置6における受信時点までに想定される所要時間(想定受信所要時間)が格納される。想定処理所要時間フィールドには、車載機器2における受信時点から車載機器2における送信時点までに想定される所要時間(想定処理所要時間)、すなわち車載機器2にける車載装置6への通信データの返信を行うための処理に想定される時間が格納される。
【0050】
許容率フィールドには、車載装置6の制御部60が、正規の車載機器2と通信を行ったと判定する、想定所要時間に対する誤差の許容率が格納される。ハーネス長フィールドには、車載装置6と車載機器2を接続するハーネスの長さが格納されている。
【0051】
想定送信所要時間フィールド、想定受信所要時間フィールド、及び想定処理時間フィールドに格納される想定所要時間は、車両Cの出荷時の検査または製造工程途中において計測された、車載装置6と車載機器2との通信における所要時間が格納される。車両Cの出荷時の検査または製造工程途中においては、車載システムSに不正機器が接続されている恐れはないため、車載装置6と車載機器2とが正常に通信を行う際の所要時間を計測することが可能である。なお、想定送信所要時間フィールド及び想定受信所要時間フィールドに格納される値は、車載装置6と車載機器2を接続するハーネスの長さに基づいて算出された値が格納されてもよい。
【0052】
図4は、車載装置6と車載機器2との通信における時点を例示する説明図である。車載装置6は、車載機器2に、通信データを送信する(S1)。該通信データは、車載機器2に通信データの受信時点を車載装置6に送信(返信)させる指示、及び車載機器2が受信時点を車載装置6に受信時点を送信する際の送信時点を車載装置6に送信させる指示を含む。車載装置6は、車載機器2に通信データを送信した際の送信時点t1を取得する(S2)。車載機器2は、通信データを受信すると、受信時点t2を取得する(S3)。車載機器2は、車載装置6に返信を行うための処理を行い、車載装置6に、車載機器2における受信時点t2を含む通信データを送信(返信)する(S4)。車載機器2は、車載装置6に通信データを送信(返信)した際の送信時点t3を取得する(S5)。車載装置6は、車載機器2から送信(返信)された通信データを受信すると、受信時点t4を取得する(S6)。また、車載装置6は、車載機器2から返信された通信データに含まれる車載機器2における受信時点t2を取得する(S7)。車載機器2は、車載装置6に通信データを送信(返信)した際の送信時点t3を車載装置6に送信する(S8)。車載装置6は、車載機器2における送信時点t3を取得する(S9)。なお、車載機器2は、S4において、送信時点t3を示す情報を、フッター情報として車載装置6に送信(返信)する通信データに含めてもよい。本実施の形態において、車載装置6は、車内通信部63において時点を確定させることによって車載装置6における送信時点t1及び受信時点t4を取得し、車載機器2から通信データを受信することによって車載機器2における受信時点t2及び送信時点t3を取得する。
【0053】
車載装置6の制御部60は、車載装置6における送信時点t1及び受信時点t4、及び車載機器2における受信時点t2及び送信時点t3に基づいて、車載装置6が通信データを送信してから車載機器2が受信するまでの時間(実測送信所要時間)、車載機器2が通信データを送信してから車載装置6が受信するまでの時間(実測受信所要時間)、及び車載機器2が通信データを受信してから車載装置6に通信データを送信(返信)するまでの時間(実測処理所要時間)を算出する。具体的には、実測送信所要時間はt2―t1、実測受信所要時間はt4―t3、実測処理所要時間はt3―t2によって算出される。
【0054】
車載装置6の制御部60は、算出した実測所要時間と、想定所要時間テーブル61aに格納されている各想定所要時間とを対比し、通信を行った車載機器2が不正機器であるか否かを判定する。制御部60は、想定所要時間テーブル61aに格納されているレコードのうち、車載装置が通信データを送信した車載機器2のナンバーが格納されているレコードを読み出し、各想定所要時間に許容率を乗じた差分許容時間(所定時間)を算出する。制御部60は、算出した実測所要時間と想定所要時間の差の絶対値が所定時間未満である場合、通信を行った車載機器2が正規機器であると判定し、所定時間以上である場合、通信を行った車載機器2が不正機器であると判定する。
【0055】
図5は、実施の形態1に係る車載装置6の制御部60による処理を説明するフローチャートである。車載装置6の制御部60は、例えば、車両装置3を駆動させる前のタイミングで、該当車両装置3が接続される車載機器2に対して以下の処理を開始する。制御部60は、車載機器2に通信データを送信する(S11)。制御部60は、車載装置6における送信時点t1を取得する(S12)。制御部60は、車載機器2から送信(返信)された通信データを受信し(S13)、車載機器2における受信時点t2及び車載装置6における受信時点t4を取得する(S14)。制御部60は、車載機器2から、車載機器2における送信時点t3を取得する(S15)。制御部60は、送信時点t1及び受信時点t2に基づいて実測送信所要時間を算出し(S16)、想定所要時間テーブル61aに基づいて想定送信所要時間に対する所定時間を算出する(S17)。制御部60は、実測送信所要時間と想定送信所要時間との差の絶対値が所定時間未満であるか否かを判定する(S18)。所定時間以上である場合(S18:NO)、制御部60は不正機器推定処理を行い(S19)、推定結果を外部サーバ100に通知して(S20)、処理を終了する。不正機器推定処理については後述する。所定時間未満である場合(S18:YES)、制御部60は、送信時点t3及び受信時点t4に基づいて実測受信所要時間を算出し(S21)、想定所要時間テーブル61aに基づいて想定受信所要時間に対する所定時間を算出する(S22)。制御部60は、実測受信所要時間と想定受信所要時間との差の絶対値が所定時間未満であるか否かを判定する(S23)。所定時間以上である場合(S23:NO)、制御部60は処理をS19に進める。所定時間未満である場合(S23:YES)、制御部60は、受信時点t2及び送信時点t3に基づいて実測処理所要時間を算出し(S24)、想定所要時間テーブル61aに基づいて想定処理所要時間に対する所定時間を算出する(S25)。制御部60は、実測処理所要時間と想定所要時間との差の絶対値が所定時間未満であるか否かを判定する(S26)。所定時間以上である場合(S26:NO)、制御部60は、処理をS20に進め、車載ネットワーク4に不正機器が接続されている旨を、車外通信装置1を介して外部サーバ100に通知し、処理を終了する。所定時間未満である場合(S26:YES)、制御部60は、正規の車載機器(正規機器)と通信を行ったと判定し(S27)、処理を終了する。
【0056】
図6は、不正機器推定処理を説明するフローチャート、図7は不正機器2aの接続例を示す説明である。車載装置6の制御部60は、実測送信所要時間または実測受信所要時間が想定所要時間よりも長いか否かを判定する(S191)。実測送信所要時間または実測受信所要時間が想定所要時間よりも長い場合(S191:YES)、制御部60は、図7Aに示すように、不正機器2aが、車載装置6と正規の車載機器2(正規機器)との直接の通信を切断し、車載装置6と正規の車載機器2との通信を中継したと推定する(S192)。実測送信所要時間または実測受信所要時間が想定所要時間よりも短い場合(S191:NO)、制御部60は、図7Bに示すように、車載装置6と正規の車載機器2(正規機器)との間に分岐して接続され、正規の車載機器2(正規機器)を模擬した不正機器2aが正規の車載機器2(正規機器)に成りすまして車載装置6と通信を行ったと推定する(S193)。
【0057】
以上の構成及び処理によれば、車載装置6の制御部60は、車載機器2との通信における実測所要時間と想定所要時間とを比較し、通信を行った車載機器が不正機器であるか否かを判定し、車載ネットワークに接続された不正機器を検出することが可能である。なお、車載装置6の制御部60は、通信を行った車載機器が不正機器であると判定した場合、車両Cが備えるユーザインタフェースにおいて通知を行ってもよい。また、本実施の形態においては、統合ECU6が車載装置に対応し、個別ECU2が車載機器に対応するが、統合ECU6が車載装置に対応し、個別ECU2が車載機器に対応してもよく、また、別個の個別ECU2が車載装置及び車載機器に対応してもよい。
【0058】
(実施の形態2)
図8は、実施の形態2に係る想定所要時間テーブル61aを例示する説明図である。実施の形態2に係る車載装置(統合ECU)6の制御部60は、送信所要時間と受信所要時間の平均値である平均所要時間に基づいて、通信を行った車載機器2が不正機器であるか否かを判定する。
図8は、実施の形態2に係る想定所要時間テーブル61aを例示する説明図である。実施の形態2に係る車載装置(統合ECU)6の制御部60は、送信所要時間と受信所要時間の平均値である平均所要時間に基づいて、通信を行った車載機器2が不正機器であるか否かを判定する。
【0059】
実施の形態2に係る想定所要時間テーブル61aの管理項目(フィールド)は、想定平均所要時間フィールドを含む。想定平均所要時間フィールドには、想定送信所要時間フィールド及び想定受信所要時間フィールドに格納されている値の平均値(想定平均所要時間)が格納される。
【0060】
図9は、実施の形態2に係る車載装置6の制御部60による処理を説明するフローチャートである。S31~S36に係る処理は、図5におけるS11~S16に係る処理と同様である。制御部60は、送信時点t3及び受信時点t4に基づいて実測受信所要時間を算出する(S37)。制御部60は、実測送信所要時間と実測受信所要時間を平均し、実測平均所要時間を算出する(S38)。制御部60は、想定所要時間テーブル61aに基づいて、想定平均所要時間に対する所定時間を算出する(S39)。制御部60は、想定平均所要時間と実測平均所要時間との差の絶対値が所定時間未満であるか否かを判定し(S40)、所定時間未満である場合(S40:YES)、正規の車載機器(正規機器)と通信を行ったと判定し(S41)、処理を終了する。差の絶対値が所定時間以上である場合(S40:NO)、制御部60は、不正機器推定処理を実行し(S42)、外部サーバに不正機器推定処理における結果を通知して(S43)、処理を終了する。
【0061】
図10は実施の形態2に係る不正機器推定処理を説明するフローチャートである。車載装置6の制御部60は実測平均所要時間が想定平均所要時間よりも長いか否かを判定する(S421)。実測平均所要時間が想定平均所要時間よりも長い場合(S421:YES)、制御部60は、図7Aに示すように、不正機器2aが、車載装置6と正規の車載機器2(正規機器)との直接の通信を切断し、車載装置6と正規の車載機器2との通信を中継したと推定する(S422)。実測平均所要時間が想定平均所要時間よりも短い場合(S421:NO)、制御部60は、図7Bに示すように、車載装置6と正規の車載機器2(正規機器)との間に分岐して接続され、正規の車載機器2(正規機器)を模擬した不正機器2aが正規の車載機器2(正規機器)に成りすまして車載装置6と通信を行ったと推定する(S423)。
【0062】
今回開示した実施の形態は、全ての点で例示であって、制限的なものではないと考えられるべきである。各実施例にて記載されている技術的特徴は互いに組み合わせることができ、本発明の範囲は、特許請求の範囲内での全ての変更及び特許請求の範囲と均等の範囲が含まれることが意図される。また、特許請求の範囲に記載した独立請求項及び従属請求項は、引用形式に関わらず全てのあらゆる組み合わせにおいて、相互に組み合わせることが可能である。さらに、特許請求の範囲には他の2以上のクレームを引用するクレームを記載する形式(マルチクレーム形式)を用いているが、これに限るものではない。マルチクレームを少なくとも一つ引用するマルチクレーム(マルチマルチクレーム)を記載する形式を用いて記載しても良い。
【符号の説明】
【0063】
1 車外通信装置
100 外部サーバ
2 車載機器(個別ECU)
2a 不正機器
20 制御部
21 記憶部
22 入出力I/F
23 車内通信部
3 車両装置
4 車載ネットワーク
6 車載装置(統合ECU)
60 制御部
61 記憶部
61a 想定所要時間テーブル
611 記録媒体
62 入出力I/F
63 車内通信部
C 車両
N 外部ネットワーク
P プログラム
S 車載システム
100 外部サーバ
2 車載機器(個別ECU)
2a 不正機器
20 制御部
21 記憶部
22 入出力I/F
23 車内通信部
3 車両装置
4 車載ネットワーク
6 車載装置(統合ECU)
60 制御部
61 記憶部
61a 想定所要時間テーブル
611 記録媒体
62 入出力I/F
63 車内通信部
C 車両
N 外部ネットワーク
P プログラム
S 車載システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】