▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧
特開2024-150116車載システム、セキュリティ管理方法およびセキュリティ管理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024150116
(43)【公開日】2024-10-23
(54)【発明の名称】車載システム、セキュリティ管理方法およびセキュリティ管理プログラム
(51)【国際特許分類】
H04L 69/00 20220101AFI20241016BHJP
【FI】
H04L69/00
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023063373
(22)【出願日】2023-04-10
(71)【出願人】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(71)【出願人】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(71)【出願人】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】井上 和之
(72)【発明者】
【氏名】松本 真
(72)【発明者】
【氏名】菊地 慶剛
(72)【発明者】
【氏名】竹内 祐介
(57)【要約】
【課題】車載ネットワークにおけるセキュリティに関する優れた機能を実現する。
【解決手段】車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える。
【選択図】図3
【解決手段】車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える。
【選択図】図3
【特許請求の範囲】
【請求項1】
車両に搭載される車載システムであって、
セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える、車載システム。
セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える、車載システム。
【請求項2】
前記制御部は、前記外部装置から前記リスク通知を受信した後において、前記第1の機能部による前記車両内の通信を継続させる通信継続処理をさらに行う、請求項1に記載の車載システム。
【請求項3】
前記制御部は、前記通信継続処理として、前記第1の機能部と、前記複数の機能部のうちの前記第1の機能部および前記第2の機能部以外の他の前記機能部との通信を継続させる、請求項2に記載の車載システム。
【請求項4】
前記制御部は、前記通信継続処理として、前記第1の機能部と前記第2の機能部との通信を継続させる、請求項2または請求項3に記載の車載システム。
【請求項5】
前記構成として、前記第1の機能部が用いる第1のソフトウェアと前記第2の機能部が用いる第2のソフトウェアとが異なる、請求項1または請求項2に記載の車載システム。
【請求項6】
前記第1のソフトウェアによって提供される機能は、第1の通信プロトコルに従ってセキュア通信を行う機能を含み、
前記第2のソフトウェアによって提供される機能は、前記第1の通信プロトコルとは異なる第2の通信プロトコルに従って前記セキュア通信を行う機能を含む、請求項5に記載の車載システム。
前記第2のソフトウェアによって提供される機能は、前記第1の通信プロトコルとは異なる第2の通信プロトコルに従って前記セキュア通信を行う機能を含む、請求項5に記載の車載システム。
【請求項7】
前記第1のソフトウェアは、第1のアプリケーションを含み、
前記第2のソフトウェアは、前記第1のアプリケーションとは異なる第2のアプリケーションを含む、請求項5に記載の車載システム。
前記第2のソフトウェアは、前記第1のアプリケーションとは異なる第2のアプリケーションを含む、請求項5に記載の車載システム。
【請求項8】
前記第1のソフトウェアは、第1のOS(Operating System)を含み、
前記第2のソフトウェアは、前記第1のOSとは異なる第2のOSを含む、請求項5に記載の車載システム。
前記第2のソフトウェアは、前記第1のOSとは異なる第2のOSを含む、請求項5に記載の車載システム。
【請求項9】
車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部を備える前記車載システムにおけるセキュリティ管理方法であって、
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信するステップと、
前記リスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行うステップとを含む、セキュリティ管理方法。
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信するステップと、
前記リスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行うステップとを含む、セキュリティ管理方法。
【請求項10】
車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部を備える前記車載システムにおいて用いられるセキュリティ管理プログラムであって、
コンピュータを、
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部、
として機能させるための、セキュリティ管理プログラム。
コンピュータを、
前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部、
として機能させるための、セキュリティ管理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車載システム、セキュリティ管理方法およびセキュリティ管理プログラムに関する。
【背景技術】
【0002】
従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。たとえば、特許文献1(特表2020-501420号公報)には、以下のような技術が開示されている。すなわち、車載ネットワーク用の方法は、車載ネットワーク内の通信のため少なくとも1つの通信経路(60)でデータが転送される、車載ネットワーク用の方法であって、当該方法は、攻撃リスクについて、データを転送する可能性のある通信経路(60)を評価する(86)ステップを備え、攻撃リスクが、通信経路(60)がセキュリティギャップを利用するために通信経路(60)が攻撃されるリスクであることを特徴とする。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特表2020-501420号公報
【特許文献2】特開2009-71436号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に記載の技術を超えて、車載ネットワークにおけるセキュリティに関する優れた機能を実現することが可能な技術が望まれる。
【0005】
本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおけるセキュリティに関する優れた機能を実現することが可能な車載システム、セキュリティ管理方法およびセキュリティ管理プログラムを提供することである。
【課題を解決するための手段】
【0006】
本開示の車載システムは、車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える。
【0007】
本開示の一態様は、このような特徴的な処理部を備える車載システムとして実現され得るだけでなく、車載システムの一部または全部を実現する半導体集積回路として実現され得る。
【発明の効果】
【0008】
本開示によれば、車載ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
最初に、本開示の実施の形態の内容を列記して説明する。
(1)本開示の実施の形態に係る車載システムは、車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える。
(1)本開示の実施の形態に係る車載システムは、車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部と、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部とを備える。
【0011】
このように、車外からのアクセス経路について、セキュリティリスクに関する関係性が小さい複数のアクセス経路を用意する構成により、あるアクセス経路にセキュリティリスクが発見された場合、セキュリティリスクが発見されていない他のアクセス経路に切り替えることができるため、車載ネットワークのセキュリティを保証しつつ、車外における装置との間で情報の送受信を行うことができる。また、各機能部が正常である状態において、車外からのアクセス経路を予め切り替える構成により、セキュリティリスクが発見された機能部が車外から攻撃を受けることを抑制することができるため、セキュリティ性をより向上させることができる。したがって、車載ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0012】
(2)上記(1)において、前記制御部は、前記外部装置から前記リスク通知を受信した後において、前記第1の機能部による前記車両内の通信を継続させる通信継続処理をさらに行ってもよい。
【0013】
このような構成により、第1の機能部についてのセキュリティリスクが通知された場合であっても、車載ネットワークにおいて、第1の機能部による各種サービスを継続して提供することができる。
【0014】
(3)上記(2)において、前記制御部は、前記通信継続処理として、前記第1の機能部と、前記複数の機能部のうちの前記第1の機能部および前記第2の機能部以外の他の前記機能部との通信を継続させてもよい。
【0015】
このような構成により、第1の機能部についてのセキュリティリスクが発見された場合であっても、車載ネットワークにおいて、第1の機能部と、第1の機能部および第2の機能部以外の機能部との通信を用いたサービスを継続して提供することができる。
【0016】
(4)上記(2)または(3)において、前記制御部は、前記通信継続処理として、前記第1の機能部と前記第2の機能部との通信を継続させてもよい。
【0017】
このような構成により、たとえば、セキュリティリスクを通知された第1の機能部を宛先とする情報を車外における装置から受信した場合であっても、当該情報を、セキュリティリスクが通知されていない第2の機能部から第1の機能部へ転送することができるため、車外における装置からの情報を用いた処理を第1の機能部において継続して実行することができる。
【0018】
(5)上記(1)から(4)のいずれかにおいて、前記構成として、前記第1の機能部が用いる第1のソフトウェアと前記第2の機能部が用いる第2のソフトウェアとが異なってもよい。
【0019】
このように、セキュリティリスクが発見される可能性が高い部分であるソフトウェアを複数の機能部間において異ならせる構成により、第1の機能部におけるソフトウェアについてセキュリティリスクが通知された場合であっても、セキュリティがより確保されている第2の機能部におけるソフトウェアを用いて車載ネットワークにおいて所定のサービスを継続して実行することができる。
【0020】
(6)上記(5)において、前記第1のソフトウェアによって提供される機能は、第1の通信プロトコルに従ってセキュア通信を行う機能を含んでもよく、前記第2のソフトウェアによって提供される機能は、前記第1の通信プロトコルとは異なる第2の通信プロトコルに従って前記セキュア通信を行う機能を含んでもよい。
【0021】
このように、セキュリティリスクが発見される可能性が高く、かつ車載機器に及ぼす影響が大きい可能性が高い、セキュア通信を行うための通信プロトコルを複数の機能部間において異ならせる構成により、第1の機能部における通信プロトコルについてセキュリティリスクが通知された場合であっても、セキュリティがより確保されている第2の機能部における通信プロトコルを用いてセキュア通信を行うことができる。
【0022】
(7)上記(5)または(6)において、前記第1のソフトウェアは、第1のアプリケーションを含んでもよく、前記第2のソフトウェアは、前記第1のアプリケーションとは異なる第2のアプリケーションを含んでもよい。
【0023】
このように、セキュリティリスクが発見される可能性が高く、かつ車両におけるユーザが利用するサービスにおいて影響が大きい可能性が高い部分であるアプリケーションを複数の機能部間において異ならせる構成により、第1の機能部におけるアプリケーションについてセキュリティリスクが通知された場合であっても、セキュリティがより確保されている第2の機能部におけるアプリケーションを用いて所定の機能を提供することができる。
【0024】
(8)上記(5)から(7)のいずれかにおいて、前記第1のソフトウェアは、第1のOS(Operating System)を含んでもよく、前記第2のソフトウェアは、前記第1のOSとは異なる第2のOSを含んでもよい。
【0025】
このように、セキュリティリスクが発見される可能性が高く、かつソフトウェアの中でも影響力が大きい可能性が高い部分であるOSを複数の機能部間において異ならせる構成により、第1の機能部におけるOSについてセキュリティリスクが通知された場合であっても、セキュリティがより確保されている第2の機能部におけるOSを用いて所定の機能を提供することができる。
【0026】
(9)本開示の実施の形態に係るセキュリティ管理方法は、車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部を備える前記車載システムにおけるセキュリティ管理方法であって、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信するステップと、前記リスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行うステップとを含む。
【0027】
このように、車外からのアクセス経路について、セキュリティリスクに関する関係性が小さい複数のアクセス経路を用意する構成により、あるアクセス経路にセキュリティリスクが発見された場合、セキュリティリスクが発見されていない他のアクセス経路に切り替えることができるため、車載ネットワークのセキュリティを保証しつつ、車外における装置との間で情報の送受信を行うことができる。また、各機能部が正常である状態において、車外からのアクセス経路を予め切り替える構成により、セキュリティリスクが発見された機能部が車外から攻撃を受けることを抑制することができるため、セキュリティ性をより向上させることができる。したがって、車載ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0028】
(10)本開示の実施の形態に係るセキュリティ管理プログラムは、車両に搭載される車載システムであって、セキュリティに関して異なる構成を有する第1の機能部および第2の機能部、を含む複数の機能部を備える前記車載システムにおいて用いられるセキュリティ管理プログラムであって、コンピュータを、前記第1の機能部の状態および前記第2の機能部の状態が正常状態である場合であって、前記車両の外部における外部装置から、前記第1の機能部のセキュリティリスクに関するリスク通知を受信した場合、前記第1の機能部への前記外部装置からのアクセスを停止させ、かつ前記第2の機能部に前記アクセスの受け付けを代替させる代替処理を行う制御部、として機能させるためのプログラムである。
【0029】
このように、車外からのアクセス経路について、セキュリティリスクに関する関係性が小さい複数のアクセス経路を用意する構成により、あるアクセス経路にセキュリティリスクが発見された場合、セキュリティリスクが発見されていない他のアクセス経路に切り替えることができるため、車載ネットワークのセキュリティを保証しつつ、車外における装置との間で情報の送受信を行うことができる。また、各機能部が正常である状態において、車外からのアクセス経路を予め切り替える構成により、セキュリティリスクが発見された機能部が車外から攻撃を受けることを抑制することができるため、セキュリティ性をより向上させることができる。したがって、車載ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0030】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0031】
<第1の実施の形態>
[車載システム]
図1は、本開示の第1の実施の形態に係る通信システムの構成を示す図である。図1を参照して、通信システム501は、サーバ180と、1または複数の車載システム301とを備える。車載システム301は、車両1に搭載される。サーバ180は、車両1の外部における外部装置の一例である。
[車載システム]
図1は、本開示の第1の実施の形態に係る通信システムの構成を示す図である。図1を参照して、通信システム501は、サーバ180と、1または複数の車載システム301とを備える。車載システム301は、車両1に搭載される。サーバ180は、車両1の外部における外部装置の一例である。
【0032】
図2は、本開示の第1の実施の形態に係る車載システムの構成を示す図である。図2を参照して、車載システム301は、たとえば、1つの車載中継装置101と、複数の車載ECU(Electronic Control Unit)202とを備える。
【0033】
図2に示す例では、車載システム301は、車載ECU202である車載ECU202A,202B,202Cを備える。車載中継装置101および車載ECU202は、車載ネットワーク401を構成する。
【0034】
なお、車載システム301は、3つの車載ECU202を備える構成に限らず、1つ、2つまたは4つ以上の車載ECU202を備える構成であってもよい。また、車載システム301は、1つの車載中継装置101を備える構成に限らず、複数の車載中継装置101を備える構成であってもよい。
【0035】
車載中継装置101は、たとえばゲートウェイ装置である。車載中継装置101は、自己に接続される複数の車載ECU202間のデータを中継可能である。
【0036】
車載中継装置101および各車載ECU202は、車両1が行う自動運転を補助するための情報、およびエンターテイメントに用いる情報等の各種情報を生成し、他の車載ECU202または車載中継装置101へ送信する。
【0037】
車載ECU202は、TCU(Telematics Communication Unit)、エンジン用ECU、自動運転用ECUおよびドアロック用ECU等である。なお、車載システム301は、車載ECU202に加えて、または車載ECU202の代わりに、センサ、ナビゲーション装置、ヒューマンマシンインターフェース、およびカメラ等の車載機器を備えてもよい。
【0038】
複数の車載ECU202は、たとえばイーサネット(登録商標)ケーブル10を介して車載中継装置101と接続されている。
【0039】
より詳細には、車載中継装置101は、複数の通信ポート51を含む。通信ポート51は、たとえば、イーサネットケーブル10を接続可能な端子である。車載中継装置101および各車載ECU202は、通信ポート51およびイーサネットケーブル10を介して他の車載ECU202と接続されている。
【0040】
ここでは、車載ECU202Cは、TCUである。以下、車載ECU202Cを、TCU202Cとも称する。
【0041】
【0042】
より詳細には、TCU202Cは、たとえば、LTE(Long Term Evolution)(登録商標)または5G等の通信規格に従って、無線基地局装置161と無線通信を行うことが可能である。
【0043】
具体的には、無線基地局装置161は、サーバ180から外部ネットワーク170経由でIPパケットを受信すると、受信したIPパケットを無線信号に含めてTCU202Cへ送信する。
【0044】
TCU202Cは、たとえば、サーバ180からのIPパケットを含む無線信号を無線基地局装置161から受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットをフレームに格納して車載中継装置101へ送信する。
【0045】
また、TCU202Cは、車載中継装置101からフレームを受信すると、受信したフレームからIPパケットを取得し、取得したIPパケットを無線信号に含めて無線基地局装置161へ送信する。
【0046】
無線基地局装置161は、TCU202Cから無線信号を受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットを外部ネットワーク170経由でサーバ180へ送信する。
【0047】
サーバ180は、車両1の外部に設けられる。サーバ180は、たとえば、車載ネットワーク401において用いられる各種ソフトウェアのセキュリティリスクを管理している。ここで、ソフトウェアのセキュリティリスクとは、ソフトウェアの脆弱性、およびソフトウェアに対する脅威等である。
【0048】
なお、車載中継装置101は、イーサネットケーブル10を介して車載ECU202と接続される構成に限らず、CAN(Controller Area Network)、CAN FD(CAN with Flexible Data Rate)、FlexRay(登録商標)、MOST(Media Oritend System Transport)(登録商標)およびLIN(Local Interconnect Network)等の規格に従うバスを介して車載ECU202と接続される構成であってもよい。
【0049】
[車載中継装置]
図3は、本開示の第1の実施の形態に係る車載中継装置の構成を示す図である。図3を参照して、車載中継装置101は、通信ポート51と、中継部52と、処理部53とを備える。処理部53は、複数のコア61と、記憶部62とを含む。中継部52および処理部53の一方または両方は、たとえば、1または複数のプロセッサを含む処理回路(Circuitry)により実現される。ここでは、コア61が、プロセッサに相当する。図3に示す例では、処理部53は、コア61であるコア61A,61Bを含む。
図3は、本開示の第1の実施の形態に係る車載中継装置の構成を示す図である。図3を参照して、車載中継装置101は、通信ポート51と、中継部52と、処理部53とを備える。処理部53は、複数のコア61と、記憶部62とを含む。中継部52および処理部53の一方または両方は、たとえば、1または複数のプロセッサを含む処理回路(Circuitry)により実現される。ここでは、コア61が、プロセッサに相当する。図3に示す例では、処理部53は、コア61であるコア61A,61Bを含む。
【0050】
通信ポート51は、たとえば、イーサネットケーブル10を接続可能な端子である。図3に示す例では、車載中継装置101は、通信ポート51である通信ポート51A,51B,51Cを備える。通信ポート51A,51B,51Cには、車載ECU202A,202B,202Cがイーサネットケーブル10を介してそれぞれ接続されている。
【0051】
なお、車載中継装置101は、3つの通信ポート51を備える構成に限らず、1つ、2つまたは4つ以上の通信ポート51を備える構成であってもよい。
【0052】
通信ポート51およびコア61には、対応するポート番号が割り当てられている。ここでは、通信ポート51A,51B,51Cに割り当てられるポート番号は、それぞれ#1,#2,#3であり、また、コア61A,61Bに割り当てられるポート番号は、それぞれ#4,#5であるとする。
【0053】
中継部52は、ある車載ECU202からフレームを受信すると、受信したフレームを宛先の車載ECU202へ送信する。
【0054】
また、中継部52は、自己の車載中継装置101におけるコア61を宛先とするフレームを車載ECU202から受信すると、当該フレームを宛先のコア61へ出力する。
【0055】
また、中継部52は、コア61から受けたフレームを通信ポート51およびイーサネットケーブル10経由で宛先の車載ECU202へ送信する。
【0056】
より詳細には、記憶部62は、フレームに含まれる送信元IPアドレスと、宛先IPアドレスと、ポート番号との対応関係を示すルーティングテーブルTb1を記憶する。
【0057】
中継部52は、車載ECU202またはコア61からのフレームを受けると、記憶部62におけるルーティングテーブルTb1を読み出す。そして、中継部52は、ルーティングテーブルTb1を参照することにより、当該フレームに含まれる送信元IPアドレスおよび宛先IPアドレスに対応するポート番号を特定する。
【0058】
図4は、本開示の第1の実施の形態に係る車載中継装置が保存するルーティングテーブルの一例を示す図である。
【0059】
図4を参照して、「IP_Server」はサーバ180のIPアドレスを示し、「IP_Core A」はコア61AのIPアドレスを示し、「IP_Core B」はコア61BのIPアドレスを示し、「IP_ECU A」は車載ECU202AのIPアドレスを示し、「IP_ECU B」は車載ECU202BのIPアドレスを示し、「IP_ECU C」は車載ECU202CのIPアドレスを示す。
【0060】
中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_ECU A」および「IP_ECU B」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#2」を特定する。中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_ECU B」および「IP_ECU A」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#1」を特定する。中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_ECU C」および「IP_ECU A」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#1」を特定する。中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Server」および「IP_Core A」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#4」を特定する。中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Server」および「IP_Core B」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#5」を特定する。
【0061】
中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Core A」および「IP_Server」をそれぞれ含むフレームをコア61Aから受けた場合、当該フレームに対応するポート番号として「#3」を特定する。中継部52は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Core B」および「IP_Server」をそれぞれ含むフレームをコア61Bから受けた場合、当該フレームに対応するポート番号として「#3」を特定する。
【0062】
中継部52は、ポート番号を特定すると、車載ECU202からのフレームまたはコア61からのフレームを、特定したポート番号に対応する通信ポート51、に接続された車載ECU202へ送信するか、または当該ポート番号に対応するコア61へ出力する。
【0063】
[課題の説明]
車載システムにおいてセキュリティリスクが発見された場合、当該セキュリティリスクへの対策の立案には時間を要する。この場合、車載システムが攻撃を受ける可能性が高まる。
車載システムにおいてセキュリティリスクが発見された場合、当該セキュリティリスクへの対策の立案には時間を要する。この場合、車載システムが攻撃を受ける可能性が高まる。
【0064】
また、セキュリティリスクに対する暫定的な対策として、車載システムにおいて、セキュリティリスクが発見された部分に対応する機能の提供を停止することが考えられる。しかしながら、当該機能が車載システムにおける重要な機能である場合、当該機能の提供を停止することができない可能性がある。
【0065】
これに対して、本開示の実施の形態に係る車載システムでは、以下のような構成および動作により、上記課題を解決する。
【0066】
図5は、本開示の第1の実施の形態に係る車載システムの構成を示す機能ブロック図である。図5を参照して、車載システム301は、第1の機能部11Aと、第2の機能部11Bと、制御部12とを備える。本開示の第1の実施の形態では、第1の機能部11Aはコア61Aに相当し、第2の機能部11Bはコア61Bに相当する。なお、「第1」および「第2」の記載は、優先順位を意味するものではない。
【0067】
図3を参照して、コア61Aおよびコア61Bは、セキュリティに関して異なる構成を有する。言い換えれば、コア61Aおよびコア61Bは、セキュリティリスクに関する関係性が小さい。より詳細には、たとえば、セキュリティに関して異なる構成として、コア61Aが用いるソフトウェアSW11とコア61Bが用いるソフトウェアSW12とが異なる。ソフトウェアSW11は第1のソフトウェアの一例であり、ソフトウェアSW12は第2のソフトウェアの一例である。
【0068】
図6は、本開示の第1の実施の形態に係る車載中継装置の第1のコアが用いる第1のソフトウェアの構成を示す図である。図7は、本開示の第1の実施の形態に係る車載中継装置の第2のコアが用いる第2のソフトウェアの構成を示す図である。
【0069】
【0070】
より詳細には、たとえば、ソフトウェアSW11は、LINUX(登録商標)_OS21を含む。LINUX_OS21は、第1のOSの一例である。なお、ソフトウェアSW11は、LINUX_OS21以外の他の汎用OSを含むものであってもよい。
【0071】
たとえば、ソフトウェアSW12は、LINUX_OS21とは異なるOSを含む。具体的には、たとえば、ソフトウェアSW12は、RTOS(Real Time Operating System)22を含む。RTOS31は、第2のOSの一例である。なお、ソフトウェアSW12は、ソフトウェアSW1に含まれるOSと異なるOSであれば、RTOS31以外の他のOSを含むものであってもよい。
【0072】
また、コア61Aおよびコア61Bには、たとえば、互いに異なるアプリケーションが搭載されている。
【0073】
より詳細には、たとえば、ソフトウェアSW11は、認証用アプリケーション22を含み、ソフトウェアSW12は、認証用アプリケーション22とは異なる認証用アプリケーション32を含む。認証用アプリケーション22および認証用アプリケーション32はそれぞれ、第1のアプリケーションおよび第2のアプリケーションの一例である。
【0074】
たとえば、ソフトウェアSW11に含まれる認証用アプリケーション22によって提供される機能は、TLS(Transport Layer Security)の規格に従ってセキュア通信を行うTLS認証機能を含む。TLSは、第1の通信プロトコルの一例である。
【0075】
図1および図3を参照して、具体的には、コア61Aは、たとえば、自己の車載中継装置101が起動すると、TLSに従う手順で、認証を要求する旨を示す認証要求情報R11を中継部52およびTCU202C経由でサーバ180へ送信する。
【0076】
具体的には、たとえば、コア61Aは、認証要求情報R11を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびサーバ180のIPアドレスをそれぞれ含むIPパケットを作成する。そして、コア61Aは、作成したIPパケットを中継部52およびTCU202C経由でサーバ180へ送信する。
【0077】
サーバ180は、たとえば、車載中継装置101からTCU202C経由で認証要求情報R11を受信すると、TLSに従う手順で、コア61Aの認証処理を行う。
【0078】
サーバ180は、コア61Aの認証処理においてコア61Aの認証に成功すると、認証成功を示す認証成功情報R12を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61AのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202C経由で車載中継装置101へ送信する。
【0079】
車載中継装置101において、コア61Aは、認証成功情報R12を含むIPパケットをTCU202Cおよび中継部52経由でサーバ180から受信すると、サーバ180との通信を開始する。
【0080】
一方、サーバ180は、コア61Aの認証に失敗すると、認証失敗を示す旨を示す認証失敗情報R13を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61AのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202C経由で車載中継装置101へ送信する。
【0081】
車載中継装置101において、コア61Aは、認証失敗情報R13を含むIPパケットをTCU202Cおよび中継部52経由でサーバ180から受信すると、サーバ180との通信が不可であると判断する。
【0082】
たとえば、ソフトウェアSW12に含まれる認証用アプリケーション32によって提供される機能は、IPsec(Security Architecture for Internet Protocol)の規格に従ってセキュア通信を行うIPsec認証機能を含む。IPsecは、第2の通信プロトコルの一例である。
【0083】
より詳細には、コア61Bは、たとえば、自己の車載中継装置101が起動すると、IPsecに従う手順で、認証を要求する旨を示す認証要求情報R21を中継部52およびTCU202C経由でサーバ180へ送信する。
【0084】
具体的には、たとえば、コア61Bは、認証要求情報R21を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびサーバ180のIPアドレスをそれぞれ含むIPパケットを作成する。そして、コア61Bは、作成したIPパケットを中継部52およびTCU202C経由でサーバ180へ送信する。
【0085】
サーバ180は、たとえば、車載中継装置101からTCU202C経由で認証要求情報R21を受信すると、IPsecに従う手順で、コア61Bの認証処理を行う。
【0086】
サーバ180は、コア61Bの認証処理においてコア61Bの認証に成功すると、認証成功を示す旨を示す認証成功情報R22を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61BのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202C経由で車載中継装置101へ送信する。
【0087】
車載中継装置101において、コア61Bは、認証成功情報R22を含むIPパケットをTCU202Cおよび中継部52経由でサーバ180から受信することにより、サーバ180との通信を開始する。
【0088】
一方、サーバ180は、コア61Bの認証に失敗すると、認証失敗を示す旨を示す認証失敗情報R23を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61BのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202C経由で車載中継装置101へ送信する。
【0089】
車載中継装置101において、コア61Bは、認証失敗情報R23を含むIPパケットをTCU202Cおよび中継部52経由でサーバ180から受信すると、サーバ180との通信が不可であると判断する。
【0090】
なお、認証用アプリケーション22は、TLS以外の他の通信プロトコルに従ってセキュア通信を行う機能であってもよい。また、認証用アプリケーション32は、認証用アプリケーション22において用いられる通信プロトコルと異なる通信プロトコルであれば、IPsec以外の他の通信プロトコルに従ってセキュア通信を行う機能であってもよい。
【0091】
[代替処理]
再び図3および図5を参照して、制御部12は、コア61Aの状態およびコア61Bの状態が正常状態である場合であって、サーバ180からコア61Aのセキュリティリスクに関するリスク通知を受信した場合、コア61Aへのサーバ180からのアクセスを停止させ、コア61Bにサーバ180からの受け付けを代替させる代替処理を行う。本開示の第1の実施の形態では、制御部12は、図3に示す中継部52およびコア61Bにより実現される。
再び図3および図5を参照して、制御部12は、コア61Aの状態およびコア61Bの状態が正常状態である場合であって、サーバ180からコア61Aのセキュリティリスクに関するリスク通知を受信した場合、コア61Aへのサーバ180からのアクセスを停止させ、コア61Bにサーバ180からの受け付けを代替させる代替処理を行う。本開示の第1の実施の形態では、制御部12は、図3に示す中継部52およびコア61Bにより実現される。
【0092】
より詳細には、たとえば、サーバ180は、コア61AにおけるLINUX_OS21および認証用アプリケーション22の少なくともいずれか一方にセキュリティリスクが発見された場合、コア61Aについてセキュリティリスクを発見した旨を示すリスク通知を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61BのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットを無線基地局装置161経由でTCU202Cへ送信する。
【0093】
TCU202Cは、サーバ180からの上記リスク通知を含むIPパケットを受信すると、当該IPパケットをフレーム(以下、「脆弱通知フレーム」とも称する。)に格納して車載中継装置101へ送信する。
【0094】
車載中継装置101において、コア61Bは、TCU202Cから中継部52経由で脆弱通知フレームを受信すると、ルーティングテーブルTb1の更新を要求する旨を示す更新通知を中継部52へ出力する通知処理を行う。
【0095】
より詳細には、たとえば、記憶部62は、コア61とIPアドレスとの対応関係を示すアドレステーブルTb10を記憶する。
【0096】
コア61Bは、車載ECU202またはコア61Aとの間で情報のやり取りを行っている状態において、TCU202Cから中継部52経由で脆弱通知フレームを受信すると、記憶部62におけるアドレステーブルTb10を参照することにより、コア61AのIPアドレスを確認する。
【0097】
コア61Bは、コア61AのIPアドレスを確認すると、通知処理として、ルーティングテーブルTb1の更新を要求する旨を示す更新通知と、脆弱通知フレームに含まれるサーバ180のIPアドレスと、確認したコア61AのIPアドレスとを含むテーブル更新情報を中継部52へ出力する。なお、コア61Bは、車載ECU202またはコア61Aとの間で情報のやり取りを行っていない待機状態において、テーブル更新情報を中継部52へ出力してもよい。
【0098】
中継部52は、コア61Bからテーブル更新情報を受けると、ルーティングテーブルTb1を更新するテーブル更新処理を行う。
【0099】
より詳細には、中継部52は、テーブル更新処理として、ルーティングテーブルTb1において、送信元IPアドレスがサーバ180のIPアドレスであり、宛先IPアドレスがコア61AのIPアドレスであるフレームの中継先を変更する処理を行う。具体的には、たとえば、中継部52は、当該フレームの中継先をコア61Aからコア61Bへ変更する。すなわち、中継部52は、サーバ180からコア61Aへのアクセスの受け付けをコア61Bに代替させる。
【0100】
図8は、本開示の第1の実施の形態に係る車載中継装置によるテーブル更新処理後のルーティングテーブルの一例を示す図である。
【0101】
図3および図8を参照して、具体的には、たとえば、中継部52は、コア61Bからテーブル更新情報を受けると、記憶部62におけるルーティングテーブルTb1を読み出す。そして、中継部52は、ルーティングテーブルTb1において、テーブル更新情報に含まれるサーバ180のIPアドレスが送信元IPアドレスであり、かつコア61AのIPアドレスが宛先IPアドレスであるフレームに対応するポート番号を、「#4」から「#5」に変更する。
【0102】
また、たとえば、中継部52は、コア61Bからテーブル更新情報を受けると、中継先を変更するフレーム(以下、「中継先変更フレーム」とも称する。)に含まれる送信元IPアドレスと、当該中継先変更フレームに含まれる宛先IPアドレスとの対応関係を示す管理リストL1を作成するリスト作成処理を行う。
【0103】
図9は、本開示の第1の実施の形態に係る車載中継装置によるリスト作成処理によって作成される管理リストの一例を示す図である。
【0104】
図9を参照して、中継部52は、コア61Bからテーブル更新情報を受けると、送信元IPアドレスが当該テーブル更新情報に含まれるサーバ180のIPアドレス「IP_Server」であり、宛先IPアドレスが当該テーブル更新情報に含まれるコア61AのIPアドレス「IP_Core A」である中継停止フレームを示す管理リストL1を作成する。そして、中継部52は、作成した管理リストL1を記憶部62に保存する。
【0105】
[通信継続処理]
再び図3を参照して、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、コア61Aによる車両1内の通信を継続させる通信継続処理をさらに行う。
再び図3を参照して、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、コア61Aによる車両1内の通信を継続させる通信継続処理をさらに行う。
【0106】
より詳細には、たとえば、中継部52は、通信継続処理として、コア61Aとコア61Bとの通信を継続させる。
【0107】
具体的には、たとえば、中継部52は、サーバ180からのリスク通知をTCU202C経由で受信し、テーブル更新処理およびリスト作成処理を行った後において、車載ECU202からフレームを受信すると、記憶部62におけるルーティングテーブルTb1および管理リストL1を読み出す。そして、中継部52は、管理リストL1を参照することにより、車載ECU202から受信したフレームが中継停止フレームであるか否かを確認する。
【0108】
中継部52は、車載ECU202から受信したフレームが中継停止フレームである場合、当該フレームのペイロードに、コア61Aを宛先とするフレームである旨を示す判別情報を格納する。そして、中継部52は、ルーティングテーブルTb1を参照することにより、当該判別情報を格納したフレームをコア61Bへ出力する。
【0109】
コア61Bは、テーブル更新情報を中継部52へ出力した後において、中継部52からフレームを受けると、当該フレームのペイロードに判別情報が格納されているか否かを確認する。
【0110】
コア61Bは、中継部52からのフレームのペイロードに判別情報が格納されている場合、当該フレームをコア61Aへ出力する転送処理を行う。コア61Aは、コア61Bから当該フレームを受けると、当該フレームに含まれる各種情報に基づいて、所定の処理を行う。
【0111】
一方、コア61Bは、中継部52からのフレームのペイロードに判別情報が格納されていない場合、転送処理は不要であると判断する。そして、コア61Bは、当該フレームに含まれる各種情報に基づいて、所定の処理を行う。
【0112】
また、たとえば、中継部52は、通信継続処理として、コア61Aと車載ECU202との通信を継続させる。
【0113】
より詳細には、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、車載ECU202から受信したフレームが中継停止フレームではない場合、ルーティングテーブルTb1を参照することにより、当該フレームを宛先の車載ECU202またはコア61へ出力する。
【0114】
具体的には、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、コア61Aを宛先とするフレームを車載ECU202から受信すると、当該フレームを宛先のコア61Aへ出力する。
【0115】
また、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、車載ECU202を宛先とするフレームをコア61Aから受けると、当該フレームを宛先の車載ECU202へ送信する。
【0116】
[コア61Aからサーバ180への情報の送信]
また、たとえば、中継部52は、サーバ180からのリスク通知を受信した後において、コア61Aからサーバ180への情報の送信を継続させる。
また、たとえば、中継部52は、サーバ180からのリスク通知を受信した後において、コア61Aからサーバ180への情報の送信を継続させる。
【0117】
より詳細には、たとえば、中継部52は、サーバ180からリスク通知を受信した後において、サーバ180を宛先とするフレームをコア61Aから受けると、当該フレームをTCU202C経由で宛先のサーバ180へ送信する。
【0118】
なお、中継部52は、サーバ180からのリスク通知を受信した後において、コア61Aからサーバ180への情報の送信を停止してもよい。
【0119】
[動作の流れ]
図10は、本開示の第1の実施の形態に係る車載中継装置におけるコアが通知処理を行う際の動作手順を定めたフローチャートである。図10は、車載中継装置101におけるコア61Bが通知処理を行う際の動作手順を示している。
図10は、本開示の第1の実施の形態に係る車載中継装置におけるコアが通知処理を行う際の動作手順を定めたフローチャートである。図10は、車載中継装置101におけるコア61Bが通知処理を行う際の動作手順を示している。
【0120】
図10を参照して、コア61Bは、自己の車載中継装置101が起動すると(ステップS101)、サーバ180による認証を要求するための認証要求情報R21をTCU202C経由でサーバ180へ送信する(ステップS102)。
【0121】
次に、コア61Bは、認証成功を示す認証成功情報R22をサーバ180から受信すると(ステップS103においてYES)、サーバ180との通信を開始する(ステップS104)。
【0122】
次に、コア61Bは、コア61Aのセキュリティリスクに関するリスク通知を受信すると(ステップS105においてYES)、ルーティングテーブルTb1の更新を要求する旨を示す更新通知と、リスク通知の示すサーバ180のIPアドレスと、コア61AのIPアドレスとを含むテーブル更新情報を中継部21へ出力する通知処理を行う(ステップS106)。
【0123】
次に、コア61Bは、コア61Aとの通信を継続する。たとえば、上述したように、コア61Bは、上記判別情報が格納されたフレームを中継部52から受けると、当該フレームをコア61Aへ出力する(ステップS107)。
【0124】
一方、コア61Bは、認証失敗を示す認証失敗情報R23をサーバ180から受信すると(ステップS103においてNO)、サーバ180との通信を不可と判断する(ステップS108)。
【0125】
図11は、本開示の第1の実施の形態に係る車載中継装置における中継部がテーブル更新処理およびリスト作成処理を行う際の動作手順を定めたフローチャートである。
【0126】
図11を参照して、まず、中継部52は、コア61Bからのテーブル更新情報を待ち受け(ステップS201においてNO)、当該テーブル更新情報をコア61Bから受けると(ステップS201においてYES)、ルーティングテーブルTb1を更新するテーブル更新処理を行う。たとえば、上述したように、中継部52は、ルーティングテーブルTb1において、コア61Bから受けたテーブル更新情報に含まれるサーバ180のIPアドレスが送信元IPアドレスであり、かつ当該テーブル更新情報に含まれるコア61AのIPアドレスが宛先IPアドレスであるフレームに対応するポート番号を、コア61Bに対応するポート番号に変更する(ステップS202)。
【0127】
次に、中継部52は、管理リストL1を作成するリスト作成処理を行う。たとえば、上述したように、中継部52は、中継先変更フレームに含まれる送信元IPアドレスと、当該中継先変更フレームに含まれる宛先IPアドレスとの対応関係を示す管理リストL1を作成する(ステップS203)。なお、ステップS202およびステップS203は、順序を入れ替えて実行してもよいし、並列して実行してもよい。
【0128】
次に、中継部52は、フレームの受信を待ち受け(ステップS204においてNO)、フレームを受信すると(ステップS204においてYES)、中継処理を行う。
【0129】
より詳細には、中継部52は、受信したフレームが中継停止フレームである場合(ステップS205においてYES)、当該フレームをコア61Bへ出力する。たとえば、上述したように、中継部52は、当該フレームのペイロードに、コア61Aを宛先とするフレームである旨を示す判別情報を格納してコア61Bへ出力する(ステップS206)。
【0130】
また、中継部52は、受信したフレームの送信元がコア61Aである場合(ステップS205においてNOかつステップS207においてYES)、当該フレームを宛先の車載ECU202へ送信する(ステップS208)。
【0131】
一方、中継部52は、その他のフレームを受信した場合(ステップS205においてNOかつステップS207においてNO)、当該その他のフレームについて中継処理を行う(ステップS209)。
【0132】
図12は、本開示の第1の実施の形態に係る通信システムにおける車載中継装置、車載ECUおよびサーバの処理のシーケンスの一例を示す図である。
【0133】
図12を参照して、まず、コア61Aは、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R11を中継部52およびTCU202C経由でサーバ180へ送信する(ステップS301)。
【0134】
次に、サーバ180は、車載中継装置101からTCU202C経由で認証要求情報R11を受信すると、コア61Aの認証処理を行う(ステップS302)。
【0135】
次に、サーバ180は、コア61Aの認証に成功すると、認証成功を示す認証成功情報R12を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61AのIPアドレスをそれぞれ含むIPパケットをTCU202C経由で車載中継装置101へ送信する(ステップS303)。
【0136】
次に、車載中継装置101におけるコア61Aは、サーバ180からTCU202Cおよび中継部52経由で認証成功情報R12を含むIPパケットを受信すると、サーバ180との通信を開始する(ステップS304)。
【0137】
次に、コア61Bは、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R21を中継部52およびTCU202C経由でサーバ180へ送信する(ステップS305)。
【0138】
次に、サーバ180は、車載中継装置101からTCU202C経由で認証要求情報R21を受信すると、コア61Bの認証処理を行う(ステップS306)。
【0139】
次に、サーバ180は、コア61Bの認証に成功すると、認証成功を示す認証成功情報R22を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61BのIPアドレスをそれぞれ含むIPパケットをTCU202C経由で車載中継装置101へ送信する(ステップS307)。
【0140】
次に、車載中継装置101におけるコア61Bは、サーバ180からTCU202Cおよび中継部52経由で認証成功情報R22を含むIPパケットを受信すると、サーバ180との通信を開始する(ステップS308)。
【0141】
次に、サーバ180は、コア61Aのセキュリティリスクに関するリスク通知をTCU202C経由で車載中継装置101へ送信する。たとえば、上述したように、サーバ180は、当該リスク通知を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61BのIPアドレスをそれぞれ含むIPパケットをTCU202C経由で車載中継装置101へ送信する(ステップS309)。
【0142】
次に、車載中継装置101におけるコア61Bは、ルーティングテーブルTb1の更新を要求する旨を示す更新通知と、リスク通知の示すサーバ180のIPアドレスと、コア61AのIPアドレスとを含むテーブル更新情報を中継部52へ出力する(ステップS310)。
【0143】
次に、中継部52は、ルーティングテーブルTb1を更新するテーブル更新処理を行う。たとえば、上述したように、中継部52は、ルーティングテーブルTb1において、コア61Bから受けたテーブル更新情報に含まれるサーバ180のIPアドレスが送信元IPアドレスであり、かつ当該テーブル更新情報に含まれるコア61AのIPアドレスが宛先IPアドレスであるフレームに対応するポート番号を、コア61Bに対応するポート番号に変更する(ステップS311)。
【0144】
次に、中継部52は、管理リストL1を作成するリスト作成処理を行う。たとえば、上述したように、中継部52は、中継先変更フレームに含まれる送信元IPアドレスと、当該中継先変更フレームに含まれる宛先IPアドレスとの対応関係を示す管理リストL1を作成する(ステップS312)。なお、ステップS311およびステップS312は、順序を入れ替えて実行してもよいし、並列して実行してもよい。
【0145】
次に、サーバ180は、コア61Aを宛先とするフレームをTCU202C経由で車載中継装置101へ送信する(ステップS313)。
【0146】
次に、車載中継装置101において、中継部52は、記憶部62における管理リストL1を参照することにより、サーバ180から受信したフレームに含まれる宛先IPアドレスが管理リストL1に登録されていることを確認する(ステップS314)。
【0147】
次に、中継部52は、サーバ180から受信したフレームのペイロードに、コア61Aを宛先とするフレームである旨を示す判別情報を格納してコア61Bへ出力する(ステップS315)。
【0148】
次に、コア61Bは、判別情報が格納されたフレームを中継部52から受けると、当該フレームをコア61Aへ出力する(ステップS316)。
【0149】
次に、コア61Aは、ある車載ECU202を宛先とするフレームを中継部52へ出力する(ステップS317)。
【0150】
次に、中継部52は、コア61Aから受けたフレームを宛先の車載ECU202へ送信する(ステップS318)。
【0151】
<変形例>
図13は、本開示の第1の実施の形態に係る通信システムの変形例における車載中継装置、車載ECUおよびサーバの処理のシーケンスの一例を示す図である。
図13は、本開示の第1の実施の形態に係る通信システムの変形例における車載中継装置、車載ECUおよびサーバの処理のシーケンスの一例を示す図である。
【0152】
【0153】
次に、サーバ180は、コア61Aのセキュリティリスクに関するリスク通知を、コア61Bに加えてコア61Aへ送信する。より詳細には、サーバ180は、リスク通知を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよびコア61AのIPアドレスをそれぞれ含むIPパケットをTCU202C経由で車載中継装置101へ送信する(ステップS410)。
【0154】
次に、車載中継装置101において、コア61Aは、サーバ180からのリスク通知をTCU202Cおよび中継部52経由で受信すると、当該リスク通知を受信した旨を示す受信通知をコア61Bへ出力する(ステップS411)。
【0155】
次に、コア61Bは、サーバ180からリスク通知を受信し、かつコア61Aから受信通知を受けると、ルーティングテーブルTb1の更新を要求する旨を示す更新通知と、リスク通知の示すサーバ180のIPアドレスと、コア61AのIPアドレスとを含むテーブル更新情報を中継部52へ出力する(ステップS412)。
【0156】
ステップS413からステップS420までの処理は、図12に示すステップS311からステップS318までの処理とそれぞれ同様である。
【0157】
なお、本開示の第1の実施の形態に係る車載中継装置101において、処理部53は、2つのコア61を含む構成であるとしたが、これに限定するものではない。処理部53は、3つ以上のコア61を含む構成であってもよい。この場合、中継部52は、あるコア61についてのリスク通知をサーバ180から受信した後において、新たなコア61についてのリスク通知をサーバ180から受信するごとに、ルーティングテーブルTb1および管理リストL1を更新する。
【0158】
また、本開示の第1の実施の形態に係る車載中継装置101において、記憶部62におけるルーティングテーブルTb1は、フレームに含まれる送信元IPアドレスと、宛先IPアドレスと、ポート番号との対応関係を示す構成に限らず、フレームに含まれる送信元MAC(Media Access Control)アドレスと、宛先MACアドレスと、ポート番号との対応関係を示す構成であってもよい。この場合、サーバ180は、コア61Aにセキュリティリスクが発見された場合、リスク通知を含み、かつ送信元MACアドレスおよび宛先MACアドレスとして、自己のMACアドレスおよびコア61AのMACアドレスをそれぞれ含むIPパケットをTCU202C経由で車載中継装置101へ送信する。
【0159】
<第2の実施の形態>
上述した本開示の第1の実施の形態では、コア61Aおよびコア61Bがセキュリティに関して異なる構成を有し、代替処理を行う制御部12が中継部52およびコア61Bによって実現される。これに対して、本開示の第2の実施の形態では、車載ECU202Aおよび車載ECU202Bがセキュリティに関して異なる構成を有し、代替処理を行う制御部が車載中継装置101および車載ECU202Bによって実現される。以下で説明する内容以外は第1の実施の形態に係る通信システム501と同様である。
上述した本開示の第1の実施の形態では、コア61Aおよびコア61Bがセキュリティに関して異なる構成を有し、代替処理を行う制御部12が中継部52およびコア61Bによって実現される。これに対して、本開示の第2の実施の形態では、車載ECU202Aおよび車載ECU202Bがセキュリティに関して異なる構成を有し、代替処理を行う制御部が車載中継装置101および車載ECU202Bによって実現される。以下で説明する内容以外は第1の実施の形態に係る通信システム501と同様である。
【0160】
図2は、本開示の第2の実施の形態に係る車載システムの構成も示している。図2を参照して、車載システム302は、車載ECU202である車載ECU202A,202B,202Cと、車載中継装置101とを備える。なお、車載システム302は、3つの車載ECU202を備える構成に限らず、2つまたは4つ以上の車載ECU202を備える構成であってもよい。
【0161】
図14は、本開示の第2の実施の形態に係る車載中継装置が保存するルーティングテーブルの一例を示す図である。
【0162】
【0163】
ルーティングテーブルTb2において、車載中継装置101は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Server」および「IP_ECU A」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#1」を特定する。車載中継装置101は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_Server」および「IP_ECU B」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#2」を特定する。車載中継装置101は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_ECU A」および「IP_Server」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#3」を特定する。車載中継装置101は、送信元IPアドレスおよび宛先IPアドレスとして、「IP_ECU B」および「IP_Server」をそれぞれ含むフレームを受信した場合、当該フレームに対応するポート番号として「#3」を特定する。
【0164】
図5は、本開示の第2の実施の形態に係る車載システムの機能ブロックも示している。図5を参照して、本開示の第2の実施の形態では、第1の機能部11Aは車載ECU202Aに相当し、第2の機能部11Bは車載ECU202Bに相当する。
【0165】
車載ECU202Aおよび車載ECU202Bは、セキュリティに関して異なる構成を有する。言い換えれば、車載ECU202Aおよび車載ECU202Bは、セキュリティリスクに関する関係性が小さい。より詳細には、たとえば、セキュリティに関して異なる構成として、車載ECU202Aが用いるソフトウェアSW21と車載ECU202Bが用いるソフトウェアSW22とが異なる。すなわち、車載ECU202Aに組み込まれたソフトウェアSW21と車載ECU202Bに組み込まれたソフトウェアとが異なる。
【0166】
図15は、本開示の第2の実施の形態に係る第1の機能部が用いる第1のソフトウェアの構成を示す図である。図16は、本開示の第2の実施の形態に係る第2の機能部が用いる第2のソフトウェアの構成を示す図である。
【0167】
【0168】
より詳細には、たとえば、ソフトウェアSW21は、LINUX_OS21を含む。なお、ソフトウェアSW21は、LINUX_OS21以外の他の汎用OSを含むものであってもよい。
【0169】
たとえば、ソフトウェアSW22は、LINUX_OS21とは異なるOSを含む。具体的には、たとえば、ソフトウェアSW22は、RTOS31を含む。なお、ソフトウェアSW22は、ソフトウェアSW21に含まれるOSと異なるOSであれば、RTOS31以外の他のOSを含むものであってもよい。
【0170】
また、車載ECU202Aおよび車載ECU202Bには、たとえば、互いに異なるアプリケーションが搭載されている。
【0171】
より詳細には、たとえば、ソフトウェアSW21は、認証用アプリケーション22を含み、ソフトウェアSW22は、認証用アプリケーション22とは異なる認証用アプリケーション32を含む。
【0172】
たとえば、ソフトウェアSW21に含まれる認証用アプリケーション22によって提供される機能は、TLSの規格に従ってセキュア通信を行うTLS認証機能を含む。
【0173】
具体的には、たとえば、車載ECU202Aは、起動すると、TLSに従う手順で、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R31を車載中継装置101およびTCU202C経由でサーバ180へ送信する。
【0174】
サーバ180は、たとえば、車載ECU202Aから車載中継装置101およびTCU202C経由で認証要求情報R31を受信すると、TLSに従う手順で、車載ECU202Aの認証処理を行う。
【0175】
サーバ180は、車載ECU202Aの認証処理において車載ECU202Aの認証に成功すると、認証成功を示す認証成功情報R32を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、サーバ180のIPアドレスおよび車載ECU202AのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202Cおよび車載中継装置101経由で車載ECU202Aへ送信する。
【0176】
車載ECU202Aは、認証成功情報R32を含むIPパケットをTCU202Cおよび車載中継装置101経由でサーバ180から受信すると、サーバ180との通信を開始する。
【0177】
一方、サーバ180は、車載ECU202Aの認証に失敗すると、認証失敗を示す認証失敗情報R33を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、サーバ180のIPアドレスおよび車載ECU202AのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202Cおよび車載中継装置101経由で車載ECU202Aへ送信する。
【0178】
車載ECU202Aは、認証失敗情報R33を含むIPパケットをTCU202Cおよび車載中継装置101経由でサーバ180から受信すると、サーバ180との通信が不可であると判断する。
【0179】
たとえば、ソフトウェアSW22に含まれる認証用アプリケーション32によって提供される機能は、IPsecの規格に従ってセキュア通信を行うIPsec認証機能を含む。
【0180】
より詳細には、たとえば、車載ECU202Bは、起動すると、IPsecに従う手順で、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R41を車載中継装置101およびTCU202C経由でサーバ180へ送信する。
【0181】
サーバ180は、たとえば、車載ECU202BからTCU202C経由で認証要求情報R41を受信すると、IPsecに従う手順で、車載ECU202Bの認証処理を行う。
【0182】
サーバ180は、車載ECU202Bの認証処理において車載ECU202Bの認証に成功すると、認証成功を示す認証成功情報R42を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、サーバ180のIPアドレスおよび車載ECU202BのIPアドレスをそれぞれ含むIPパケットを作成する。そして、サーバ180は、作成したIPパケットをTCU202Cおよび車載中継装置101経由で車載ECU202Bへ送信する。
【0183】
車載ECU202Bは、認証成功情報R42を含むIPパケットをTCU202Cおよび車載中継装置101経由でサーバ180から受信することにより、サーバ180との通信を開始する。
【0184】
一方、サーバ180は、車載ECU202Bの認証に失敗すると、認証失敗を示す旨、および宛先IPアドレスとして車載ECU202BのIPアドレスを示す認証失敗情報R43を生成し、生成した認証失敗情報R43をTCU202Cおよび車載中継装置101経由で車載ECU202Bへ送信する。
【0185】
車載ECU202Bは、認証失敗情報R43を含むIPパケットをTCU202Cおよび車載中継装置101経由でサーバ180から受信すると、サーバ180との通信が不可であると判断する。
【0186】
[代替処理]
再び図5を参照して、制御部12は、車載ECU202Aの状態および車載ECU202Bの状態が正常状態である場合であって、サーバ180から車載ECU202Aのセキュリティリスクに関するリスク通知を受信した場合、車載ECU202Aへのサーバ180からのアクセスを停止させ、車載ECU202Bにサーバ180からの受け付けを代替させる代替処理を行う。本開示の第1の実施の形態では、制御部12は、図2に示す車載中継装置101および車載ECU202Bにより実現される。
再び図5を参照して、制御部12は、車載ECU202Aの状態および車載ECU202Bの状態が正常状態である場合であって、サーバ180から車載ECU202Aのセキュリティリスクに関するリスク通知を受信した場合、車載ECU202Aへのサーバ180からのアクセスを停止させ、車載ECU202Bにサーバ180からの受け付けを代替させる代替処理を行う。本開示の第1の実施の形態では、制御部12は、図2に示す車載中継装置101および車載ECU202Bにより実現される。
【0187】
より詳細には、たとえば、サーバ180は、車載ECU202AにおけるLINUX_OS21および認証用アプリケーション22の少なくともいずれか一方にセキュリティリスクが発見された場合、車載ECU202Aについてセキュリティリスクを発見した旨を示すリスク通知を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよび車載ECU202BのIPアドレスをそれぞれ含むIPパケットをTCU202Cおよび車載中継装置101経由で車載ECU202Bへ送信する。
【0188】
車載ECU202Bは、サーバ180からのリスク通知をTCU202Cおよび車載中継装置101経由で受信すると、ルーティングテーブルTb2の更新を要求する旨を示す更新通知を車載中継装置101へ送信する通知処理を行う。
【0189】
具体的には、たとえば、車載ECU202Bにおける図示しない記憶部は、車載ECU202AのIPアドレスを示すアドレステーブルTb20を記憶する。
【0190】
車載ECU202Bは、たとえば、他の装置との間で情報のやり取りを行っている状態において、サーバ180からのリスク通知をTCU202Cおよび車載中継装置101経由で受信すると、自己の記憶部におけるアドレステーブルTb20を参照することにより、車載ECU202AのIPアドレスを確認する。
【0191】
車載ECU202Bは、車載ECU202AのIPアドレスを確認すると、通知処理として、ルーティングテーブルTb2の更新を要求する旨を示す更新通知と、リスク通知の示すサーバ180のIPアドレスと、確認した車載ECU202AのIPアドレスとを含むテーブル更新フレームを作成して車載中継装置101へ送信する。なお、車載ECU202Bは、他の車載ECU202との間で情報のやり取りを行っていない待機状態において、テーブル更新フレームを車載中継装置101へ送信してもよい。
【0192】
車載中継装置101は、車載ECU202Bからテーブル更新フレームを受信すると、ルーティングテーブルTb2を更新するテーブル更新処理を行う。
【0193】
より詳細には、車載中継装置101は、テーブル更新処理として、ルーティングテーブルTb2において、送信元IPアドレスがサーバ180のIPアドレスであり、宛先IPアドレスが車載ECU202AのIPアドレスであるフレームの中継先を変更する処理を行う。具体的には、たとえば、車載中継装置101は、当該フレームの中継先を車載ECU202Aから車載ECU202Bへ変更する。すなわち、車載中継装置101は、サーバ180から車載ECU202Aへのアクセスの受け付けを車載ECU202Bに代替させる。
【0194】
図17は、本開示の第2の実施の形態に係る車載中継装置によるテーブル更新処理後のルーティングテーブルの一例を示す図である。
【0195】
図2および図17を参照して、具体的には、たとえば、車載中継装置101は、車載ECU202Bからテーブル更新フレームを受信すると、記憶部62におけるルーティングテーブルTb2を読み出す。そして、車載中継装置101は、ルーティングテーブルTb2において、テーブル更新フレームに含まれるサーバ180のIPアドレスが送信元IPアドレスであり、かつ車載ECU202AのIPアドレスが宛先IPアドレスであるフレームに対応するポート番号を、「#1」から「#2」に変更する。
【0196】
また、たとえば、車載中継装置101は、車載ECU202Bからテーブル更新フレームを受信すると、中継先変更フレームに含まれる送信元IPアドレスと、当該中継先変更フレームに含まれる宛先IPアドレスとの対応関係を示す管理リストL2を作成するリスト作成処理を行う。
【0197】
図18は、本開示の第2の実施の形態に係る車載中継装置によるリスト作成処理によって作成される管理リストの一例を示す図である。
【0198】
図18を参照して、車載中継装置101は、車載ECU202Bからテーブル更新フレームを受信すると、送信元IPアドレスが当該テーブル更新フレームに含まれるサーバ180のIPアドレス「IP_Server」であり、宛先IPアドレスが当該テーブル更新フレームに含まれる車載ECU202AのIPアドレス「IP_ECU A」である中継停止フレームを示す管理リストL2を作成する。そして、車載中継装置101は、作成した管理リストL2を記憶部62に保存する。
【0199】
[通信継続処理]
再び図2を参照して、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、車載ECU202Aによる車両1内の通信を継続させる通信継続処理をさらに行う。
再び図2を参照して、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、車載ECU202Aによる車両1内の通信を継続させる通信継続処理をさらに行う。
【0200】
より詳細には、たとえば、車載中継装置101は、通信継続処理として、車載ECU202Aと車載ECU202Bとの通信を継続させる。
【0201】
具体的には、たとえば、車載中継装置101は、サーバ180からリスク通知を受信し、テーブル更新処理およびリスト作成処理を行った後において、ある車載ECU202からフレームを受信すると、記憶部62におけるルーティングテーブルTb2および管理リストL2を読み出す。そして、車載中継装置101は、管理リストL2を参照することにより、受信したフレームが中継停止フレームであるか否かを確認する。
【0202】
車載中継装置101は、ある車載ECU202から受信したフレームが中継停止フレームである場合、当該フレームのペイロードに、車載ECU202Aを宛先とするフレームである旨を示す判別情報を格納する。そして、車載中継装置101は、ルーティングテーブルTb2を参照することにより、当該判別情報を格納したフレームを車載ECU202Bへ送信する。
【0203】
車載ECU202Bは、テーブル更新フレームを車載中継装置101へ送信した後において、車載中継装置101からフレームを受けると、当該フレームのペイロードに判別情報が格納されているか否かを確認する。
【0204】
車載ECU202Bは、車載中継装置101からのフレームのペイロードに判別情報が格納されている場合、当該フレームを車載中継装置101経由で車載ECU202Aへ送信する転送処理を行う。
【0205】
具体的には、たとえば、車載ECU202Bは、車載中継装置101から受信した、判別情報が格納されたフレームの宛先IPアドレスを、自己のIPアドレスから車載ECU202AのIPアドレスに変更する。そして、車載ECU202Bは、宛先IPアドレスを変更した当該フレームを車載中継装置101へ送信する。車載中継装置101は、車載ECU202Bから受信した当該フレームを車載ECU202Aへ送信する。
【0206】
車載ECU202Aは、車載ECU202Bから車載中継装置101経由でフレームを受信すると、当該フレームに含まれる各種情報に基づいて、所定の処理を行う。
【0207】
一方、車載ECU202Bは、車載中継装置101からのフレームのペイロードに判別情報が格納されていない場合、転送処理は不要であると判断する。そして、車載ECU202Bは、当該フレームに含まれる各種情報に基づいて、所定の処理を行う。
【0208】
また、たとえば、車載中継装置101は、通信継続処理として、車載ECU202Aと車載ECU202Cとの通信を継続させる。
【0209】
より詳細には、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、ある車載ECU202から受信したフレームが中継停止フレームではない場合、ルーティングテーブルTb2を参照することにより、当該フレームを宛先の車載ECU202へ送信する。
【0210】
具体的には、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、車載ECU202Cを宛先とするフレームを車載ECU202Aから受信すると、当該フレームを宛先の車載ECU202Cへ送信する。
【0211】
また、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、車載ECU202Aを宛先とするフレームを車載ECU202Cから受信すると、当該フレームを宛先の車載ECU202Aへ送信する。
【0212】
[車載ECU202Aからサーバ180への情報の送信]
また、たとえば、車載中継装置101は、サーバ180からのリスク通知を受信した後において、車載ECU202Aからサーバ180への情報の送信を継続させる。
また、たとえば、車載中継装置101は、サーバ180からのリスク通知を受信した後において、車載ECU202Aからサーバ180への情報の送信を継続させる。
【0213】
より詳細には、たとえば、車載中継装置101は、サーバ180からリスク通知を受信した後において、サーバ180を宛先とするフレームを車載ECU202Aから受信すると、当該フレームをTCU202C経由で宛先のサーバ180へ送信する。
【0214】
なお、車載中継装置101は、サーバ180からのリスク通知を受信した後において、車載ECU202Aからサーバ180への情報の送信を停止してもよい。
【0215】
図19は、本開示の第2の実施の形態に係る通信システムにおける車載中継装置、車載ECUおよびサーバの処理のシーケンスの一例を示す図である。
【0216】
図19を参照して、まず、車載ECU202Aは、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R31を車載中継装置101およびTCU202C経由でサーバ180へ送信する(ステップS501)。
【0217】
次に、サーバ180は、車載ECU202Aから車載中継装置101およびTCU202C経由で認証要求情報R31を受信すると、車載ECU202Aの認証処理を行う(ステップS502)。
【0218】
次に、サーバ180は、車載ECU202Aの認証に成功すると、認証成功を示す旨、および宛先IPアドレスとして車載ECU202AのIPアドレスを示す認証成功情報R32をTCU202Cおよび車載中継装置101経由で車載ECU202Aへ送信する(ステップS503)。
【0219】
次に、車載ECU202Aは、サーバ180からTCU202Cおよび車載中継装置101経由で認証成功情報R32を受信すると、サーバ180との通信を開始する(ステップS504)。
【0220】
次に、車載ECU202Bは、認証を要求する旨、および自己のIPアドレスを示す認証要求情報R41を車載中継装置101およびTCU202C経由でサーバ180へ送信する(ステップS505)。
【0221】
次に、サーバ180は、車載中継装置101からTCU202C経由で認証要求情報R41を受信すると、車載ECU202Bの認証処理を行う(ステップS506)。
【0222】
次に、サーバ180は、車載ECU202Bの認証に成功すると、認証成功を示す旨、および宛先IPアドレスとして車載ECU202BのIPアドレスを示す認証成功情報R42をTCU202C経由で車載ECU202Bへ送信する(ステップS507)。
【0223】
次に、車載ECU202Bは、サーバ180からTCU202Cおよび車載中継装置101経由で認証成功情報R42を受信すると、サーバ180との通信を開始する(ステップS508)。
【0224】
次に、サーバ180は、車載ECU202Aのセキュリティリスクに関するリスク通知をTCU202Cおよび車載中継装置101経由で車載ECU202Bへ送信する。たとえば、上述したように、サーバ180は、当該リスク通知を含み、かつ送信元IPアドレスおよび宛先IPアドレスとして、自己のIPアドレスおよび車載ECU202BのIPアドレスをそれぞれ含むIPパケットをTCU202Cおよび車載中継装置101経由で車載ECU202Bへ送信する(ステップS509)。
【0225】
次に、車載ECU202Bは、ルーティングテーブルTb2の更新を要求する旨を示す更新通知と、リスク通知の示すサーバ180のIPアドレスと、車載ECU202AのIPアドレスとを含むテーブル更新フレームを車載中継装置101へ送信する(ステップS510)。
【0226】
次に、車載中継装置101は、ルーティングテーブルTb2を更新するテーブル更新理を行う。たとえば、上述したように、車載中継装置101は、ルーティングテーブルTb2において、車載ECU202Bから受信したテーブル更新フレームに含まれるサーバ180のIPアドレスが送信元IPアドレスであり、かつ当該テーブル更新フレームに含まれる車載ECU202AのIPアドレスが宛先IPアドレスであるフレームに対応するポート番号を、車載ECU202Bに対応するポート番号に変更する(ステップS511)。
【0227】
次に、車載中継装置101は、中継先変更フレームを示す管理リストL2を作成するリスト作成処理を行う。たとえば、上述したように、車載中継装置101は、送信元IPアドレスがサーバ180のIPアドレスであり、かつ宛先IPアドレスが車載ECU202AのIPアドレスである中継停止フレームを示す管理リストL2を作成する(ステップS512)。なお、ステップS511およびステップS512は、順序を入れ替えて実行してもよいし、並列して実行してもよい。
【0228】
次に、サーバ180は、車載ECU202Aを宛先とするフレームをTCU202C経由で車載中継装置101へ送信する(ステップS513)。
【0229】
次に、車載中継装置101は、記憶部62における管理リストL2を参照することにより、サーバ180から受信したフレームに含まれる宛先IPアドレスが管理リストL2に登録されていることを確認する(ステップS514)。
【0230】
次に、車載中継装置101は、サーバ180から受信したフレームのペイロードに、車載ECU202Aを宛先とするフレームである旨を示す判別情報を格納して車載ECU202Bへ送信する(ステップS515)。
【0231】
次に、車載ECU202Bは、車載中継装置101から受信したフレームに判別情報が格納されていることを確認すると、当該フレームの宛先IPアドレスを車載ECU202AのIPアドレスに変更して車載中継装置101へ送信する(ステップS516)。
【0232】
次に、車載中継装置101は、車載ECU202Bから受信したフレームを車載ECU202Aへ送信する(ステップS517)。
【0233】
次に、車載ECU202Aは、車載ECU202Cを宛先とするフレームを中継部52へ出力する(ステップS518)。
【0234】
次に、車載中継装置101は、車載ECU202Aから受信したフレームを宛先の車載ECU202Cへ送信する(ステップS519)。
【0235】
なお、本開示の実施の形態に係る車載システム301,302において、制御部12は、サーバ180からリスク通知を受信した後において、第1の機能部11Aによる車両1内の通信を継続させる通信継続処理を行う構成であるとしたが、これに限定するものではない。制御部12は、サーバ180からリスク通知を受信した後において、第1の機能部11Aによる車両1内の通信を停止する構成であってもよい。
【0236】
また、本開示の実施の形態に係る車載システム301,302は、セキュリティに関して異なる構成として、第1の機能部11Aが用いるソフトウェアと第2の機能部11Bが用いるソフトウェアとが異なるとしたが、これに限定するものではない。車載システム301,302は、セキュリティに関して異なる構成として、第1の機能部11Aにおけるハードウェアと第2の機能部11Bにおけるハードウェアとが異なってもよい。
【0237】
また、本開示の実施の形態に係る車載システム301,302において、制御部12は、第1の機能部11Aについてのリスク通知をサーバ180から受信した後において、第1の機能部11Aからサーバ180への情報の送信を継続させる構成であるとしたが、これに限定するものではない。制御部12は、サーバ180からの当該リスク通知を受信した後において、第1の機能部11Aからサーバ180への情報の送信を停止する構成であってもよい。
【0238】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0239】
上述の実施形態の各処理(各機能)は、1または複数のプロセッサを含む処理回路により実現される。上記処理回路は、上記1または複数のプロセッサに加え、1または複数のメモリ、各種アナログ回路、各種デジタル回路が組み合わされた集積回路等で構成されてもよい。上記1または複数のメモリは、上記各処理を上記1または複数のプロセッサに実行させるプログラム(命令)を格納する。上記1または複数のプロセッサは、上記1または複数のメモリから読み出した上記プログラムに従い上記各処理を実行してもよいし、予め上記各処理を実行するように設計された論理回路に従って上記各処理を実行してもよい。上記プロセッサは、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)、およびASIC(Application Specific Integrated Circuit)等、コンピュータの制御に適合する種々のプロセッサであってよい。なお、物理的に分離した上記複数のプロセッサが互いに協働して上記各処理を実行してもよい。たとえば、物理的に分離した複数のコンピュータのそれぞれに搭載された上記プロセッサがLAN(Local Area Network)、WAN(Wide Area Network)、およびインターネット等のネットワークを介して互いに協働して上記各処理を実行してもよい。上記プログラムは、外部のサーバ装置等から上記ネットワークを介して上記メモリにインストールされても構わないし、CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disk Read Only Memory)、および半導体メモリ等の記録媒体に格納された状態で流通し、上記記録媒体から上記メモリにインストールされても構わない。
【符号の説明】
【0240】
1 車両
10 イーサネットケーブル
11A 第1の機能部
11B 第2の機能部
12 制御部
21 LINUX_OS
22,32 認証用アプリケーション
31 RTOS
51 通信ポート
52 中継部
53 処理部
61,61A,61B コア
62 記憶部
101 車載中継装置
161 無線基地局装置
170 外部ネットワーク
180 サーバ
202,202A,202B,202C 車載ECU
301,302 車載システム
401 車載ネットワーク
501 通信システム
SW11,SW12,SW21,SW22 ソフトウェア
10 イーサネットケーブル
11A 第1の機能部
11B 第2の機能部
12 制御部
21 LINUX_OS
22,32 認証用アプリケーション
31 RTOS
51 通信ポート
52 中継部
53 処理部
61,61A,61B コア
62 記憶部
101 車載中継装置
161 無線基地局装置
170 外部ネットワーク
180 サーバ
202,202A,202B,202C 車載ECU
301,302 車載システム
401 車載ネットワーク
501 通信システム
SW11,SW12,SW21,SW22 ソフトウェア
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】