知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニックオートモーティブシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024173158
(43)【公開日】2024-12-12
(54)【発明の名称】車両セキュリティシステムおよび車両セキュリティ装置
(51)【国際特許分類】
H04L 12/46 20060101AFI20241205BHJP
H04L 12/28 20060101ALI20241205BHJP
【FI】
H04L12/46 100Z
H04L12/28 100A
【審査請求】未請求
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2023091388
(22)【出願日】2023-06-02
(71)【出願人】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】安齋 潤
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033BA06
5K033DA05
5K033DB19
(57)【要約】
【課題】車載ネットワークへ脅威が侵入した場合であっても、被害を抑制することができる車両セキュリティシステムを提供する。
【解決手段】車両セキュリティシステム1は、車両における統合ECU101に設けられた主動的認証部11と、1以上の接続管理部と、を備え、主動的認証部11は、車両における任意のアクセス元から車両における任意のアクセス先へのアクセス要求があった場合、車両の状態に基づいて、アクセス要求の認証を動的に行い、アクセス要求の認証の結果に基づいて、1以上の接続管理部のうちのアクセス元とアクセス先との通信経路上に設けられた接続管理部21に、アクセス元とアクセス先との接続を制御させる。
【選択図】図1
【解決手段】車両セキュリティシステム1は、車両における統合ECU101に設けられた主動的認証部11と、1以上の接続管理部と、を備え、主動的認証部11は、車両における任意のアクセス元から車両における任意のアクセス先へのアクセス要求があった場合、車両の状態に基づいて、アクセス要求の認証を動的に行い、アクセス要求の認証の結果に基づいて、1以上の接続管理部のうちのアクセス元とアクセス先との通信経路上に設けられた接続管理部21に、アクセス元とアクセス先との接続を制御させる。
【選択図】図1
【特許請求の範囲】
【請求項1】
車両に搭載された車両セキュリティシステムであって、
前記車両におけるECU(Electronic Control Unit)に設けられた主動的認証部と、
1以上の接続管理部と、を備え、
前記主動的認証部は、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求があった場合、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティシステム。
前記車両におけるECU(Electronic Control Unit)に設けられた主動的認証部と、
1以上の接続管理部と、を備え、
前記主動的認証部は、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求があった場合、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティシステム。
【請求項2】
前記主動的認証部は、
前記車両の状態が所定の条件を満たすと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続させ、
前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、
請求項1に記載の車両セキュリティシステム。
前記車両の状態が所定の条件を満たすと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続させ、
前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、
請求項1に記載の車両セキュリティシステム。
【請求項3】
前記主動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、再度前記アクセス要求の認証を行い、再度の前記アクセス要求の認証が失敗した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続を切断させる、
請求項2に記載の車両セキュリティシステム。
請求項2に記載の車両セキュリティシステム。
【請求項4】
前記1以上の接続管理部には、前記主動的認証部が設けられたECUに設けられた接続管理部が含まれ、
前記アクセス元と前記アクセス先との通信経路上に前記主動的認証部が設けられたECUが設けられている場合に、前記主動的認証部は、当該ECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
前記アクセス元と前記アクセス先との通信経路上に前記主動的認証部が設けられたECUが設けられている場合に、前記主動的認証部は、当該ECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
【請求項5】
前記1以上の接続管理部には、前記車両におけるゾーンECUに設けられた接続管理部が含まれ、
前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合に、前記主動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合に、前記主動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
【請求項6】
さらに、前記車両におけるゾーンECUに設けられた副動的認証部を備え、
前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合には、前記副動的認証部は、前記アクセス要求があったときに、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合には、前記副動的認証部は、前記アクセス要求があったときに、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項1に記載の車両セキュリティシステム。
【請求項7】
前記副動的認証部は、前記車両の状態が所定の条件を満たすと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続させ、
前記副動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、
請求項6に記載の車両セキュリティシステム。
前記副動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、
請求項6に記載の車両セキュリティシステム。
【請求項8】
前記副動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、再度前記アクセス要求の認証を行い、再度の前記アクセス要求の認証が失敗した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続を切断させる、
請求項7に記載の車両セキュリティシステム。
請求項7に記載の車両セキュリティシステム。
【請求項9】
前記1以上の接続管理部には、前記ゾーンECUに設けられた接続管理部が含まれ、
前記副動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項6に記載の車両セキュリティシステム。
前記副動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
請求項6に記載の車両セキュリティシステム。
【請求項10】
前記主動的認証部が設けられたECUおよび前記ゾーンECUは、前記車両の状態を示す車両状態情報を保持し、
前記主動的認証部は、所定のタイミングで、前記副動的認証部に対して、前記ゾーンECUに保持された前記車両状態情報を、前記主動的認証部が設けられたECUに保持された前記車両状態情報に更新させ、
前記副動的認証部は、前記ゾーンECUに保持された前記車両状態情報が示す前記車両の状態に基づいて、前記アクセス要求の認証を動的に行う、
請求項6に記載の車両セキュリティシステム。
前記主動的認証部は、所定のタイミングで、前記副動的認証部に対して、前記ゾーンECUに保持された前記車両状態情報を、前記主動的認証部が設けられたECUに保持された前記車両状態情報に更新させ、
前記副動的認証部は、前記ゾーンECUに保持された前記車両状態情報が示す前記車両の状態に基づいて、前記アクセス要求の認証を動的に行う、
請求項6に記載の車両セキュリティシステム。
【請求項11】
前記主動的認証部は、前記1以上の接続管理部のいずれかの接続管理部を介して、前記車両の状態を示す車両状態情報を取得する、
請求項1~10のいずれか1項に記載の車両セキュリティシステム。
請求項1~10のいずれか1項に記載の車両セキュリティシステム。
【請求項12】
前記車両の状態は、前記アクセス先の利用状況、前記車両の走行状態、前記アクセス元のセキュリティ状況、前記アクセス先のセキュリティ状況、前記車両において利用されるサービスの利用状況または前記アクセス先の状態を含む、
請求項1~10のいずれか1項に記載の車両セキュリティシステム。
請求項1~10のいずれか1項に記載の車両セキュリティシステム。
【請求項13】
車両に搭載された車両セキュリティ装置であって、
主動的認証部を備え、
前記主動的認証部は、前記車両の状態に基づいて、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティ装置。
主動的認証部を備え、
前記主動的認証部は、前記車両の状態に基づいて、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティ装置。
【請求項14】
車両に搭載された車両セキュリティ装置であって、
副動的認証部を備え、
前記副動的認証部は、前記車両における任意のアクセス元と前記車両における任意のアクセス先との通信経路上に前記車両セキュリティ装置が設けられている場合に、前記車両の状態に基づいて、前記アクセス元から前記アクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティ装置。
副動的認証部を備え、
前記副動的認証部は、前記車両における任意のアクセス元と前記車両における任意のアクセス先との通信経路上に前記車両セキュリティ装置が設けられている場合に、前記車両の状態に基づいて、前記アクセス元から前記アクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、
車両セキュリティ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車両に搭載された車両セキュリティシステムおよび車両セキュリティ装置に関する。
【背景技術】
【0002】
車両のCASE(Connected、Autonomous、Shared & Services、Electric)による進展にともない、車両内のネットワークであるCAN(Controller Area Network)またはEthernet(登録商標)などが、車両の外部のネットワークであるWi-Fi(登録商標)、Bluetooth(登録商標)、Cellular、V2X(Vehicle to X)などを通じてスマートフォンや外部サーバへ接続されることが多くなっている。例えば、電気自動車は、充電状況の管理のため、コネクテッドカーである場合が多く、不正に操作された場合には、バッテリが危険な状態になるおそれがある。このため、車両の外部からの脅威に対する対策が必要となっている。
【0003】
車載ネットワークへの脅威の侵入を検知する方法として、例えば、特許文献1に開示されている方法がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014-146868号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、車載ネットワークへの脅威の侵入が検知できなかった場合には、その脅威によって被害が発生するおそれがある。
【0006】
そこで、本開示は、車載ネットワークへ脅威が侵入した場合であっても、被害を抑制することができる車両セキュリティシステムなどを提供する。
【課題を解決するための手段】
【0007】
本開示に係る車両セキュリティシステムは、車両に搭載された車両セキュリティシステムであって、前記車両におけるECU(Electronic Control Unit)に設けられた主動的認証部と、1以上の接続管理部と、を備え、前記主動的認証部は、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求があった場合、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる。
【0008】
本開示に係る車両セキュリティ装置は、車両に搭載された車両セキュリティ装置であって、主動的認証部を備え、前記主動的認証部は、前記車両の状態に基づいて、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる。
【0009】
本開示に係る車両セキュリティ装置は、車両に搭載された車両セキュリティ装置であって、副動的認証部を備え、前記副動的認証部は、前記車両における任意のアクセス元と前記車両における任意のアクセス先との通信経路上に前記車両セキュリティ装置が設けられている場合に、前記車両の状態に基づいて、前記アクセス元から前記アクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる。
【0010】
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0011】
本開示の一態様に係る車両セキュリティシステムなどによれば、車載ネットワークへ脅威が侵入した場合であっても、被害を抑制することができる。
【図面の簡単な説明】
【0012】
【図1】実施の形態1に係る車両セキュリティシステムの一例を示すブロック図である。
【図2】実施の形態2に係る車両セキュリティシステムの一例を示すブロック図である。
【図3】実施の形態3に係る車両セキュリティシステムの一例を示すブロック図である。
【図4】実施の形態4に係る車両セキュリティシステムの一例を示すブロック図である。
【発明を実施するための形態】
【0013】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0014】
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態などは、一例であり、本開示を限定する主旨ではない。
【0015】
(実施の形態1)
以下、実施の形態1に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
以下、実施の形態1に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
【0016】
図1は、実施の形態1に係る車両セキュリティシステム1の一例を示すブロック図である。車両セキュリティシステム1は、車両に搭載される。例えば、車両セキュリティシステム1は、少なくとも主動的認証部11および1以上の接続管理部を備えていればよく、車両に設けられた統合ECU(Electronic Control Unit)101、ゾーンECU201、202、203および204、アクチュエータ401、センサ402ならびに充電器403は、車両セキュリティシステム1の構成要素でなくてもよい。
【0017】
車両セキュリティシステム1は、車両にゼロトラストアーキテクチャを適用するためのシステムである。ゼロトラストアーキテクチャは、例えば、NIST(National Institute of Standards and Technology)によるSP(Special Publication)800-207ゼロトラストアーキテクチャである。ゼロトラストアーキテクチャが車両に適用された場合、車両が有する様々なリソースによるアクセス要求ごとに認証が動的に行われる。アクセス要求の認証を動的に行うために、車両セキュリティシステム1は、主動的認証部11および1以上の接続管理部を備える。動的認証部は、ゼロトラストアーキテクチャにおけるPDP(Policy Decision Point)の一例であり、接続管理部は、ゼロトラストアーキテクチャにおけるPEP(Policy Enforcement Point)の一例である。例えば、1以上の接続管理部には、統合ECU101に設けられた接続管理部21が含まれる。
【0018】
図1には、車両に設けられた、統合ECU101、統合ECU101に接続されたゾーンECU201、202、203および204、ゾーンECU202に接続されるアクチュエータ401およびセンサ402、ならびに、ゾーンECU203に接続される充電器403が示されている。
【0019】
統合ECU101は、ゾーンECU201、202、203および204などの中心となって、車両全体を制御するECUである。統合ECU101は、車両に搭載された車両セキュリティ装置の一例である。統合ECU101は、複数のECUが統合された中心的なECUであり、例えば、セキュリティ機能を有していてもよい。統合ECU101は、主動的認証部11および接続管理部21を備える。統合ECU101は、主動的認証部11が設けられたECUの一例である。また、例えば、統合ECU101は、HSM(Hardware Security Module)31およびストレージ32を備える。
【0020】
統合ECU101は、プロセッサ(マイクロプロセッサ)およびメモリなどを含むコンピュータである。メモリは、ROM(Read Only Memory)およびRAM(Random Access Memory)などであり、プロセッサにより実行されるプログラムを記憶することができる。主動的認証部11および接続管理部21は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。また、例えば、統合ECU101は、ADAS(Advanced Driver Assistance System)、充電制御、ボディ制御およびIVI(In Vehicle Infotainment)制御の機能(アプリケーション)を有していてもよく、これらの機能(アプリケーション)もメモリに格納されたプログラムを実行するプロセッサなどによって実現される。
【0021】
ゾーンECU201、202、203および204のそれぞれは、例えば、車両の前後左右の領域ごとに配置され、配置された領域におけるリソースを制御する。例えば、ゾーンECU202は、アクチュエータ401およびセンサ402を制御し、ゾーンECU203は、充電器403を制御する。
【0022】
ゾーンECU201、202、203および204は、プロセッサ(マイクロプロセッサ)およびメモリなどを含むコンピュータである。メモリは、ROMおよびRAMなどであり、プロセッサにより実行されるプログラムを記憶することができる。例えば、ゾーンECU201、202、203および204が有する、ゾーンECU201、202、203および204に接続されたリソース(例えばアクチュエータ401、センサ402、充電器403など)を制御する機能は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。
【0023】
主動的認証部11は、車両における任意のアクセス元から車両における任意のアクセス先へのアクセス要求があった場合、車両の状態に基づいて、アクセス要求の認証(具体的には、アクセス要求が許可可能か否かの判定)を動的に行い、アクセス要求の認証の結果に基づいて、1以上の接続管理部のうちのアクセス元とアクセス先との通信経路上に設けられた接続管理部(車両セキュリティシステム1では接続管理部21)に、アクセス元とアクセス先との接続を制御させる。具体的には、アクセス要求の認証は、ポリシーに基づいて実施され、ポリシーには、車両の状態がどういう状態のときに、どのアクセス元からどのアクセス先へのアクセスを許可するかについて記載されている。また、後述するように、いったん接続が許可された後でも、ポリシーの条件が満たされているか否かが定期的に確認され、満たされていない場合には、再度認証が行われるか、接続が解除される。
【0024】
接続管理部21は、接続管理部21を介して通信を行うリソース間の接続を制御する。
【0025】
例えば、車両内のリソースにより行われるアクセス要求は、車両の状態に応じて許可される場合もあれば許可されない場合もあるため、車両の状態を考慮してアクセス要求の可否が判定される。例えば、車両の状態は、アクセス先の利用状況、車両の走行状態、アクセス元のセキュリティ状況、アクセス先のセキュリティ状況、車両において利用されるサービスの利用状況またはアクセス先の状態を含む。
【0026】
例えば、アクセス先の利用状況が使用中の場合には、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。例えば、アクセス先の利用状況が未使用の場合には、アクセス要求が許可され、アクセス元とアクセス先とは接続される。なお、例えば、アクセス先の利用状況が使用中の場合であってもアクセス元とアクセス先とが接続されてもよく、この場合には、アクセス先が空き次第、アクセス元がアクセス先を利用できるようになる。言い換えると、アクセス元とアクセス先とが接続されていても、アクセス元はアクセス先が空くまではアクセス先を利用できない。例えば、アクセス先の利用状況が使用中であるが空きがある場合には、アクセス要求が許可され、アクセス元とアクセス先とは接続される。ただし、アクセス先を使用中のリソースとアクセス要求を行ったアクセス元とが同時にアクセス先を利用できない場合(競合する場合)、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0027】
例えば、車両の走行状態が停止中の場合に、アクセス先が停止中でも使用可能なリソースであるときには、アクセス要求が許可され、アクセス元とアクセス先とは接続される。例えば、車両の走行状態が停止中の場合に、アクセス先が停止中には使用不可なリソースであるときには、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。例えば、車両の走行状態が走行中の場合に、アクセス先が走行中でも使用可能なリソースであるときには、アクセス要求が許可され、アクセス元とアクセス先とは接続される。例えば、車両の走行状態が走行中の場合に、アクセス先が走行中には使用不可なリソースであるときには、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0028】
例えば、アクセス元のセキュリティ状況が、攻撃されていない状況または脆弱性がない状況である場合には、アクセス要求が許可され、アクセス元とアクセス先とは接続される。例えば、アクセス元のセキュリティ状況が、攻撃されている状況または脆弱性がある状況である場合には、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0029】
例えば、アクセス先のセキュリティ状況が、攻撃されていない状況または脆弱性がない状況である場合には、アクセス要求が許可され、アクセス元とアクセス先とは接続される。例えば、アクセス先のセキュリティ状況が、攻撃されている状況または脆弱性がある状況である場合には、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0030】
例えば、アクセス先が特定のサービスを提供する場合に、車両において利用される当該サービスの利用状況として、契約が存続しているときまたはアクセス元がアクセス先の利用条件に合致しているときには、アクセス要求が許可され、アクセス元とアクセス先とは接続される。例えば、アクセス先が特定のサービスを提供する場合に、車両において利用される当該サービスの利用状況として、契約が存続していないときまたはアクセス元がアクセス先の利用条件に合致していないときには、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0031】
例えば、アクセス先の状態としてバッテリの残量が少ない場合に、電力を消費するようなアクセス元からの要求、例えば、コンテンツ再生などの要求があった場合には、アクセス要求が許可されず、アクセス元とアクセス先とは接続されない。
【0032】
このように、主動的認証部11は、車両の状態が所定の条件を満たすと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部21に、アクセス元とアクセス先とを接続させる。なお、例えば、主動的認証部11は、車両の状態が所定の条件を満たさなくなったと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部21に、アクセス元とアクセス先との接続を切断させる。例えば、主動的認証部11は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行い、再度のアクセス要求の認証が失敗した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部21に、アクセス元とアクセス先とを接続を切断させてもよい。
【0033】
アクセス元とアクセス先との通信経路上に設けられた接続管理部21は、アクセス元とアクセス先との接続を制御することができるため、主動的認証部11は、車両の状態が所定の条件を満たすか否かに基づいて、接続管理部21を介してアクセス元とアクセス先との接続を制御することができる。また、主動的認証部11は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行うため、一時的に車両の状態が変化して一時的に車両の状態が所定の条件を満たさなくなった場合に、アクセス元とアクセス先との接続が切断されてしまうことを抑制できる。
【0034】
例えば、アクセス元が統合ECU101のADAS機能(アプリケーション)であり、アクセス先がアクチュエータ401である場合について説明する。この場合、接続管理部21がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部21は、統合ECU101のADAS機能とアクチュエータ401との接続を制御する。
【0035】
まず、統合ECU101のADAS機能は、接続管理部21を介して主動的認証部11に対してアクチュエータ401へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、統合ECU101のADAS機能からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部21に対して、アクチュエータ401と統合ECU101のADAS機能とを接続させる(言い換えると、アクチュエータ401と統合ECU101のADAS機能とのセッションを確立させる)。
【0036】
次に、例えば、アクセス元が統合ECU101のIVI制御機能(アプリケーション)であり、アクセス先が統合ECU101のストレージ32である場合について説明する。この場合、接続管理部21がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部21は、統合ECU101のIVI制御機能とストレージ32との接続を制御する。
【0037】
まず、統合ECU101のIVI制御機能は、接続管理部21を介して主動的認証部11に対してストレージ32へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、統合ECU101のIVI制御機能からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部21に対して、ストレージ32と統合ECU101のIVI制御機能とを接続させる(言い換えると、ストレージ32と統合ECU101のIVI制御機能とのセッションを確立させる)。
【0038】
このように、アクセス元とアクセス先との通信経路上に統合ECU101が設けられている場合に、主動的認証部11は、統合ECU101に設けられた接続管理部21に、アクセス元とアクセス先との接続を制御させてもよい。
【0039】
以上説明した通り、アクセス要求の認証を動的に行う、すなわち、脅威がすでに侵入しているという前提でアクセス要求ごとに認証を行う、いわゆるゼロトラストアーキテクチャが車両に適用されるため、車載ネットワークへ脅威が侵入した場合であっても、アクセス要求の認証が動的に行われ脅威が検出され得るため、被害を抑制することができる。例えば、脅威が侵入した車両が危険な状態になることを抑制でき、また、脅威が侵入した車両が外部ネットワークへの攻撃の起点として利用され外部ネットワークが攻撃されることを抑制できる。
【0040】
例えば、主動的認証部11は、1以上の接続管理部のいずれかの接続管理部を介して、車両の状態を示す車両状態情報を取得してもよい。主動的認証部11が車両状態情報を取得するときにも、車両状態情報を保持しているリソースへのアクセス要求の認証が行われ、1以上の接続管理部を介して取得されるため、セキュリティを向上することができる。なお、主動的認証部11は、1以上の接続管理部のいずれかの接続管理部を介さずに、車両状態情報を保持しているリソースから直接車両状態情報を取得してもよい。あるいは、車両状態情報を保持しているリソースから車両状態情報を取得し、管理する車両状態情報管理部が車両に設けられていてもよく、主動的認証部11は、車両状態情報管理部から車両状態情報を取得してもよい。
【0041】
例えば、アクセス先の利用状況は、アクセス先などから取得することができる。例えば、車両の走行状態は、統合ECU101またはADASECUなどから取得することができる。例えば、アクセス元のセキュリティ状況およびアクセス先のセキュリティ状況は、IDS(Intrusion Detection System)などから取得することができる。例えば、車両において利用されるサービスの利用状況は、サービスを管理するサービス管理部などから取得することができる。例えば、統合ECU101は、サービス管理部の機能を有していてもよい。
【0042】
(実施の形態2)
次に、実施の形態2に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
次に、実施の形態2に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
【0043】
図2は、実施の形態2に係る車両セキュリティシステム2の一例を示すブロック図である。実施の形態2では、車両セキュリティシステム2は、1以上の接続管理部として、統合ECU101に設けられた接続管理部21およびゾーンECU202aに設けられた接続管理部22を備える。その他の点は、実施の形態1に係る車両セキュリティシステム1および車両セキュリティ装置(統合ECU101)と基本的には同じであるため説明は省略し、以下では異なる点を中心に説明する。
【0044】
接続管理部22は、接続管理部22を介して通信を行うリソース間の接続を制御する。接続管理部22は、ゾーンECU202aにおけるメモリに格納されたプログラムを実行するプロセッサなどによって実現される。
【0045】
主動的認証部11は、車両の状態が所定の条件を満たすと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部22に、アクセス元とアクセス先とを接続させる。なお、例えば、主動的認証部11は、車両の状態が所定の条件を満たさなくなったと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部22に、アクセス元とアクセス先との接続を切断させる。このとき、主動的認証部11は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行い、再度のアクセス要求の認証が失敗した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部22に、アクセス元とアクセス先とを接続を切断させてもよい。
【0046】
例えば、アクセス元が統合ECU101のADAS機能(アプリケーション)であり、アクセス先がアクチュエータ401である場合について説明する。この場合、接続管理部22がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部22は、統合ECU101のADAS機能とアクチュエータ401との接続を制御する。
【0047】
まず、統合ECU101のADAS機能は、接続管理部21を介して主動的認証部11に対してアクチュエータ401へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、統合ECU101のADAS機能からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部22に対して、アクチュエータ401と統合ECU101のADAS機能とを接続させる(言い換えると、アクチュエータ401と統合ECU101のADAS機能とのセッションを確立させる)。
【0048】
次に、例えば、アクセス元が統合ECU101のIVI制御機能(アプリケーション)であり、アクセス先が統合ECU101のストレージ32である場合について説明する。この場合、接続管理部21がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部21は、統合ECU101のIVI制御機能とストレージ32との接続を制御する。
【0049】
まず、統合ECU101のIVI制御機能は、接続管理部21を介して主動的認証部11に対してストレージ32へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、統合ECU101のIVI制御機能からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部21に対して、ストレージ32と統合ECU101のIVI制御機能とを接続させる(言い換えると、ストレージ32と統合ECU101のIVI制御機能とのセッションを確立させる)。
【0050】
このように、アクセス元とアクセス先との通信経路上にゾーンECU202aが設けられている場合に、主動的認証部11は、ゾーンECU202aに設けられた接続管理部22に、アクセス元とアクセス先との接続を制御させてもよい。
【0051】
(実施の形態3)
次に、実施の形態3に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
次に、実施の形態3に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
【0052】
図3は、実施の形態3に係る車両セキュリティシステム3の一例を示すブロック図である。実施の形態3では、車両セキュリティシステム3は、統合ECU101の代わりに統合ECU102を備える。その他の点は、実施の形態2に係る車両セキュリティシステム2および車両セキュリティ装置(統合ECU101)と基本的には同じであるため説明は省略し、以下では異なる点を中心に説明する。
【0053】
統合ECU102は、ADAS機能およびIVI制御機能を有していない点が、統合ECU101と異なる。その他の点は、統合ECU101と同じであるため説明は省略する。統合ECU102がADAS機能およびIVI制御機能を有していないため、車両には、ADASECU301およびIVIECU302が設けられている。例えば、ADASECU301は、ゾーンECU202aによって制御され、IVIECU302は、統合ECU102によって制御される。
【0054】
例えば、アクセス元がADASECU301であり、アクセス先がアクチュエータ401である場合について説明する。この場合、接続管理部22がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部22は、ADASECU301とアクチュエータ401との接続を制御する。
【0055】
まず、ADASECU301は、接続管理部22を介して主動的認証部11に対してアクチュエータ401へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、ADASECU301からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部22に対して、アクチュエータ401とADASECU301とを接続させる(言い換えると、アクチュエータ401とADASECU301とのセッションを確立させる)。
【0056】
次に、例えば、アクセス元がIVIECU302であり、アクセス先が統合ECU101のストレージ32である場合について説明する。この場合、接続管理部21がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部21は、IVIECU302とストレージ32との接続を制御する。
【0057】
まず、IVIECU302は、接続管理部21を介して主動的認証部11に対してストレージ32へのアクセス要求を行う。主動的認証部11は、車両の状態に基づいて、IVIECU302からのアクセス要求の可否を判定する。主動的認証部11は、アクセス要求を許可する場合、接続管理部21に対して、ストレージ32とIVIECU302とを接続させる(言い換えると、ストレージ32とIVIECU302とのセッションを確立させる)。
【0058】
(実施の形態4)
次に、実施の形態4に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
次に、実施の形態4に係る車両セキュリティシステムおよび車両セキュリティ装置について説明する。
【0059】
図4は、実施の形態4に係る車両セキュリティシステム4の一例を示すブロック図である。車両セキュリティシステム4は、車両に搭載される。例えば、車両セキュリティシステム4は、少なくとも主動的認証部12、1以上の副動的認証部および1以上の接続管理部を備えていればよく、車両に設けられた、統合ECU103、ゾーンECU205、206、207および208、ADASECU303、TCU(Telematics Control Unit)304、CDC(Cockpit Domain Controller)305、PCU(Power Control Unit)306、BMS(Battery Management System)307、OBC(On Board Charger)308、センサ404、405、407および412、シャシー406、モータ408、バッテリ409、充電器410ならびにブレーキ411は、車両セキュリティシステム4の構成要素でなくてもよい。
【0060】
車両セキュリティシステム4は、車両セキュリティシステム1~3と同じように、車両にゼロトラストアーキテクチャを適用するためのシステムである。アクセス要求の認証を動的に行うために、車両セキュリティシステム4は、主動的認証部12、1以上の副動的認証部および1以上の接続管理部を備える。例えば、1以上の副動的認証部には、ゾーンECU205、206、207および208に設けられた副動的認証部13、14、15および16が含まれる。例えば、1以上の接続管理部には、統合ECU101に設けられた接続管理部23、ならびに、ゾーンECU205、206、207および208に設けられた接続管理部24、25、26、27が含まれる。
【0061】
図4には、車両に設けられた、統合ECU103、統合ECU103に接続されたゾーンECU205、206、207および208、ADASECU303、TCU304、CDC305、ゾーンECU205によって制御されるセンサ404、ゾーンECU206によって制御されるセンサ405およびシャシー406、ゾーンECU207によって制御されるセンサ407、PCU306、BMS307およびOBC308、ゾーンECU208によって制御されるブレーキ411およびセンサ412、PCU306によって制御されるモータ408、BMS307によって制御されるバッテリ409ならびにOBC308によって制御される充電器410が示されている。
【0062】
統合ECU103は、ゾーンECU205、206、207および208などの中心となって、車両全体を制御するECUである。統合ECU103は、車両に搭載された車両セキュリティ装置の一例である。統合ECU103は、主動的認証部12および接続管理部23およびマスターIDS33を備える。統合ECU103は、主動的認証部12が設けられたECUの一例である。
【0063】
統合ECU103は、プロセッサ(マイクロプロセッサ)およびメモリなどを含むコンピュータである。メモリは、ROMおよびRAMなどであり、プロセッサにより実行されるプログラムを記憶することができる。主動的認証部12および接続管理部23は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。
【0064】
ゾーンECU205、206、207および208のそれぞれは、例えば、車両の前後左右の領域ごとに配置され、配置された領域におけるリソースを制御する。例えば、ゾーンECU205は、副動的認証部13、接続管理部24およびエッジIDS34を備え、センサ404を制御する。例えば、ゾーンECU206は、副動的認証部14、接続管理部25およびエッジIDS36を備え、センサ405およびシャシー406を制御する。例えば、ゾーンECU207は、副動的認証部15、接続管理部26およびエッジIDS38を備え、センサ407、PCU306、BMS307およびOBC308を制御する。例えば、ゾーンECU208は、副動的認証部16、接続管理部27およびエッジIDS39を備え、ブレーキ411およびセンサ412を制御する。
【0065】
ゾーンECU205、206、207および208は、プロセッサ(マイクロプロセッサ)およびメモリなどを含むコンピュータである。メモリは、ROMおよびRAMなどであり、プロセッサにより実行されるプログラムを記憶することができる。副動的認証部13、14、15および16ならびに接続管理部24、25、26および27は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。また、例えば、ゾーンECU205、206、207および208が有する、センサ404、405、407および412、シャシー406、ブレーキ411、PCU306、BMS307ならびにOBC308などを制御する機能は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。
【0066】
ADASECU303は、車両のドライバーの運転操作を支援するためのECUである。例えば、ADASECU303は、エッジIDS35を備える。
【0067】
TCU304は、統合ECU103からの要求に応じて、車両と外部ネットワークとの通信を行うための通信ユニットである。
【0068】
CDC305は、車両に設けられた画面(IVIのディスプレイ、メーターディスプレイ、ヘッドアップディスプレイなど)を制御するコントローラである。例えば、CDC305は、エッジIDS37を備える。
【0069】
PCU306は、インバータおよびDCDCコンバータなどによって構成され、モータ408への電力供給を制御するユニットである。
【0070】
BMS307は、バッテリ409を管理するシステムである。リチウムイオン電池などのバッテリ409は危険な部品であるため、BMS307による管理が必要となっている。
【0071】
OBC308は、充電器410によって供給された交流電力を直流電力に変換して、バッテリ409に充電する。
【0072】
主動的認証部12は、車両における任意のアクセス元から車両における任意のアクセス先へのアクセス要求があった場合、車両の状態に基づいて、アクセス要求の認証(具体的には、アクセス要求が許可可能か否かの判定)を動的に行い、アクセス要求の認証の結果に基づいて、1以上の接続管理部のうちのアクセス元とアクセス先との通信経路上に設けられた接続管理部(例えば、接続管理部23、24、25、26および27のうちのいずれかの接続管理部)に、アクセス元とアクセス先との接続を制御させる。
【0073】
アクセス元とアクセス先との通信経路上にゾーンECU205、206、207または208が設けられている場合には、副動的認証部13、14、15または16は、アクセス元からアクセス先へのアクセス要求があったときに、車両の状態に基づいて、アクセス要求の認証(具体的には、アクセス要求が許可可能か否かの判定)を動的に行い、アクセス要求の認証の結果に基づいて、1以上の接続管理部のうちのアクセス元とアクセス先との通信経路上に設けられた接続管理部(例えば、接続管理部23、24、25、26および27のうちのいずれかの接続管理部)に、アクセス元とアクセス先との接続を制御させる。つまり、実施の形態1~3のように必ずしも主動的認証部12がアクセス要求の認証を行わなくてもよく、実施の形態4では、アクセス元とアクセス先との通信経路上にゾーンECU205、206、207または208が設けられている場合、かつ、アクセス元とアクセス先との通信経路上に統合ECU103が設けられていない場合には、副動的認証部13、14、15または16がアクセス要求の認証を行う。
【0074】
接続管理部23、24、25、26および27は、それぞれ自身を介して通信を行うリソース間の接続を制御する。
【0075】
各エッジIDSは、自身が設けられているECUに対応する領域内のリソースへの攻撃の検知を行う。マスターIDS33は、各エッジIDSでの検知結果を収集し、車両全体における攻撃の検知を行う。
【0076】
実施の形態1で説明したように、例えば、車両の状態を考慮してアクセス要求の可否が判定され、車両の状態は、アクセス先の利用状況、車両の走行状態、アクセス元のセキュリティ状況、アクセス先のセキュリティ状況または車両において利用されるサービスの利用状況を含む。
【0077】
アクセス元とアクセス先との通信経路上に設けられたゾーンECUが備える副動的認証部は、車両の状態が所定の条件を満たすと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部に、アクセス元とアクセス先とを接続させる。なお、副動的認証部は、車両の状態が所定の条件を満たさなくなったと判定した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部に、アクセス元とアクセス先との接続を切断させる。例えば、副動的認証部は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行い、再度のアクセス要求の認証が失敗した場合、アクセス元とアクセス先との通信経路上に設けられた接続管理部に、アクセス元とアクセス先とを接続を切断させてもよい。
【0078】
アクセス元とアクセス先との通信経路上に設けられた接続管理部は、アクセス元とアクセス先との接続を制御することができるため、副動的認証部は、車両の状態が所定の条件を満たすか否かに基づいて、接続管理部を介してアクセス元とアクセス先との接続を制御することができる。また、副動的認証部は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行うため、一時的に車両の状態が変化して一時的に車両の状態が所定の条件を満たさなくなった場合に、アクセス元とアクセス先との接続が切断されてしまうことを抑制できる。
【0079】
例えば、アクセス元が統合ECU103の外部ネットワークとの通信制御機能(図示せず)であり、アクセス先がTCU304である場合について説明する。この場合、接続管理部23がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部23は、統合ECU103の通信制御機能とTCU304との接続を制御する。
【0080】
まず、統合ECU103の通信制御機能は、接続管理部23を介して主動的認証部12に対してTCU304へのアクセス要求を行う。主動的認証部12は、車両の状態に基づいて、統合ECU103の通信制御機能からのアクセス要求の可否を判定する。主動的認証部12は、アクセス要求を許可する場合、接続管理部23に対して、TCU304と統合ECU103の通信制御機能とを接続させる(言い換えると、TCU304と統合ECU103の通信制御機能とのセッションを確立させる)。
【0081】
このように、外部ネットワークへ情報を送信するために、TCU304へのアクセス要求がされた場合には、主動的認証部12によってアクセス要求の認証が動的に行われるため、脅威が侵入した車両が外部ネットワークへの攻撃の起点として利用されてTCU304を介して外部ネットワークが攻撃されることを抑制できる。
【0082】
なお、充電器410も外部ネットワーク(例えばホームチャージャーまたは公衆チャージャー)と接続されるため、車両が充電器410を介する外部ネットワークへの攻撃の起点として利用され得る。しかし、充電器410へのアクセス要求があった場合には、充電器410へのアクセス要求の認証が動的に行われるため、脅威が侵入した車両が外部ネットワークへの攻撃の起点として利用されて充電器410を介して外部ネットワークが攻撃されることを抑制できる。
【0083】
次に、例えば、アクセス元がOBC308であり、アクセス先がBMS307である場合について説明する。この場合、ゾーンECU207に設けられた接続管理部26がアクセス元とアクセス先との通信経路上に設けられているため、接続管理部26は、OBC308とBMS307との接続を制御する。
【0084】
まず、OBC308は、接続管理部26を介して副動的認証部15に対してBMS307へのアクセス要求を行う。副動的認証部15は、車両の状態に基づいて、OBC308からのアクセス要求の可否を判定する。副動的認証部15は、アクセス要求を許可する場合、接続管理部26に対して、BMS307とOBC308とを接続させる(言い換えると、BMS307とOBC308とのセッションを確立させる)。
【0085】
例えば、車両内のリソースにより行われるアクセス要求には、加速、減速、停止、右折、左折といった、即時に行われなければならない制御に関するアクセス要求が含まれるため、アクセス要求の認証に高い応答性が求められる。そこで、車両セキュリティシステム4は、統合ECU103に設けられた主動的認証部12に加え、ゾーンECU205、206、207および208に設けられた副動的認証部13、14、15および16を備える。これにより、アクセス元とアクセス先との通信経路上にゾーンECU205、206、207または208が設けられている場合には、アクセス元に近い副動的認証部13、14、15または16によってアクセス要求の認証を行うことができるため、アクセス要求の認証の応答性を高めることができる。
【0086】
なお、ゾーンECU205、206、207および208が制御しないリソース(例えば、ADASECU303、TCU304またはCDC305)へのアクセス要求の認証は、主動的認証部12が行う。また、あるゾーンECUにおけるリソースから他のゾーンECUにおけるリソースへのアクセス要求の認証は、これらのゾーンECU間に統合ECU103が配置されているため、主動的認証部12が行う。
【0087】
例えば、主動的認証部12は、1以上の接続管理部のいずれかの接続管理部を介して、車両の状態を示す車両状態情報を取得してもよい。主動的認証部12が車両状態情報を取得するときにも、車両状態情報を保持しているリソースへのアクセス要求の認証が行われ、1以上の接続管理部を介して取得されるため、セキュリティを向上することができる。なお、主動的認証部12は、1以上の接続管理部のいずれかの接続管理部を介さずに、車両状態情報を保持しているリソースから直接車両状態情報を取得してもよい。あるいは、車両状態情報を保持しているリソースから車両状態情報を取得し、管理する車両状態情報管理部が車両に設けられていてもよく、主動的認証部12は、車両状態情報管理部から車両状態情報を取得してもよい。
【0088】
例えば、アクセス先の利用状況は、アクセス先などから取得することができる。例えば、車両の走行状態は、統合ECU103またはADASECU303などから取得することができる。例えば、アクセス元のセキュリティ状況およびアクセス先のセキュリティ状況は、IDSなどから取得することができる。例えば、車両において利用されるサービスの利用状況は、サービスを管理するサービス管理部などから取得することができる。例えば、統合ECU103は、サービス管理部の機能を有していてもよい。
【0089】
例えば、統合ECU103ならびにゾーンECU205、206、207および208は、車両の状態を示す車両状態情報を保持し、主動的認証部12は、所定のタイミングで、副動的認証部13、14、15および16に対して、ゾーンECU205、206、207および208に保持された車両状態情報を、統合ECU103に保持された最新の車両状態情報に更新させる。そして、副動的認証部13、14、15および16は、ゾーンECU205、206、207および208に保持された車両状態情報が示す車両の状態に基づいて、アクセス元からアクセス先へのアクセス要求の認証を動的に行う。
【0090】
ゾーンECU205、206、207および208で保持されている車両状態情報が、統合ECU103で保持されている最新の車両状態情報に、所定のタイミング(例えば、定期的、セキュリティ情報更新時、または、異常発生時)で更新されるため、副動的認証部13、14、15および16は、更新された車両状態情報によって、精度良くアクセス要求の認証を行うことができる。
【0091】
(その他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
【0092】
例えば、上記実施の形態では、主動的認証部が設けられたECUが統合ECUである例を説明したが、これに限らない。例えば、主動的認証部は、主動的認証部の専用のECUに設けられていてもよいし、ゲートウェイECUに設けられていてもよい。
【0093】
例えば、本開示は、車両セキュリティシステム、統合ECU(車両セキュリティ装置)またはゾーンECU(車両セキュリティ装置)として実現できるだけでなく、車両セキュリティシステム、統合ECUまたはゾーンECUを構成する構成要素が行うステップ(処理)を含む車両セキュリティ方法として実現できる。
【0094】
例えば、本開示は、車両セキュリティ方法に含まれるステップを、コンピュータ(プロセッサ)に実行させるためのプログラムとして実現できる。さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
【0095】
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリおよび入出力回路などのハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリまたは入出力回路などから取得して演算したり、演算結果をメモリまたは入出力回路などに出力したりすることによって、各ステップが実行される。
【0096】
なお、上記実施の形態において、車両セキュリティシステム、統合ECUおよびゾーンECUに含まれる各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
【0097】
上記実施の形態に係る車両セキュリティシステム、統合ECUおよびゾーンECUの機能の一部または全ては典型的には集積回路であるLSIとして実現される。これらは個別に1チップ化されてもよいし、一部または全てを含むように1チップ化されてもよい。また、集積回路化はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)、またはLSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
【0098】
さらに、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、車両セキュリティシステム、統合ECUおよびゾーンECUに含まれる各構成要素の集積回路化が行われてもよい。
【0099】
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素および機能を任意に組み合わせることで実現される形態も本開示に含まれる。
【0100】
(付記)
以上の実施の形態の記載により、下記の技術が開示される。
以上の実施の形態の記載により、下記の技術が開示される。
【0101】
(技術1)車両に搭載された車両セキュリティシステムであって、前記車両におけるECUに設けられた主動的認証部と、1以上の接続管理部と、を備え、前記主動的認証部は、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求があった場合、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、車両セキュリティシステム。
【0102】
これによれば、アクセス要求の認証を動的に行う、すなわち、脅威がすでに侵入しているという前提でアクセス要求ごとに認証を行う、いわゆるゼロトラストアーキテクチャが車両に適用されるため、車載ネットワークへ脅威が侵入した場合であっても、アクセス要求の認証が動的に行われ脅威が検出され得るため、被害を抑制することができる。例えば、脅威が侵入した車両が危険な状態になることを抑制でき、また、脅威が侵入した車両が外部ネットワークへの攻撃の起点として利用されて外部ネットワークが攻撃されることを抑制できる。なお、アクセス元として車両内のリソースにより行われるアクセス要求は、車両の状態に応じて許可される場合もあれば許可されない場合もあるため、車両の状態を考慮してアクセス要求の可否が判定される。
【0103】
(技術2)前記主動的認証部は、前記車両の状態が所定の条件を満たすと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続させ、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、技術1に記載の車両セキュリティシステム。
【0104】
これによれば、アクセス元とアクセス先との通信経路上に設けられた接続管理部は、アクセス元とアクセス先との接続を制御することができるため、主動的認証部は、車両の状態が所定の条件を満たすか否かに基づいて、当該接続管理部を介してアクセス元とアクセス先との接続を制御することができる。
【0105】
(技術3)前記主動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、再度前記アクセス要求の認証を行い、再度の前記アクセス要求の認証が失敗した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続を切断させる、技術2に記載の車両セキュリティシステム。
【0106】
これによれば、主動的認証部は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行うため、一時的に車両の状態が変化して一時的に車両の状態が所定の条件を満たさなくなった場合に、アクセス元とアクセス先との接続が切断されてしまうことを抑制できる。
【0107】
(技術4)前記1以上の接続管理部には、前記主動的認証部が設けられたECUに設けられた接続管理部が含まれ、前記アクセス元と前記アクセス先との通信経路上に前記主動的認証部が設けられたECUが設けられている場合に、前記主動的認証部は、当該統合ECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、技術1~3のいずれかに記載の車両セキュリティシステム。
【0108】
このように、アクセス元とアクセス先との通信経路上に主動的認証部が設けられたECUが設けられている場合には、主動的認証部は、当該ECUに設けられた接続管理部を介してアクセス元とアクセス先との接続を制御することができる。
【0109】
(技術5)前記1以上の接続管理部には、前記車両におけるゾーンECUに設けられた接続管理部が含まれ、前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合に、前記主動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、技術1~3のいずれかに記載の車両セキュリティシステム。
【0110】
このように、アクセス元とアクセス先との通信経路上にゾーンECUが設けられている場合には、主動的認証部は、ゾーンECUに設けられた接続管理部を介してアクセス元とアクセス先との接続を制御することができる。
【0111】
(技術6)さらに、前記車両におけるゾーンECUに設けられた副動的認証部を備え、前記アクセス元と前記アクセス先との通信経路上に前記ゾーンECUが設けられている場合には、前記副動的認証部は、前記アクセス要求があったときに、前記車両の状態に基づいて、前記アクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、技術1に記載の車両セキュリティシステム。
【0112】
車両内のリソースにより行われるアクセス要求には、加速、減速、停止、右折、左折といった、即時に行われなければならない制御に関するアクセス要求が含まれるため、アクセス要求の認証に高い応答性が求められる。そこで、車両セキュリティシステムは、主動的認証部に加え、ゾーンECUに設けられた副動的認証部を備える。これにより、アクセス元とアクセス先との通信経路上にゾーンECUが設けられている場合には、アクセス元に近い副動的認証部によってアクセス要求の認証を行うことができるため、アクセス要求の認証の応答性を高めることができる。
【0113】
(技術7)前記副動的認証部は、前記車両の状態が所定の条件を満たすと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続させ、前記副動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を切断させる、技術6に記載の車両セキュリティシステム。
【0114】
これによれば、アクセス元とアクセス先との通信経路上に設けられた接続管理部(例えば、アクセス元とアクセス先との間に設けられた接続管理部)は、アクセス元とアクセス先との接続を制御することができるため、副動的認証部は、車両の状態が所定の条件を満たすか否かに基づいて、当該接続管理部を介してアクセス元とアクセス先との接続を制御することができる。
【0115】
(技術8)前記副動的認証部は、前記車両の状態が前記所定の条件を満たさなくなったと判定した場合、再度前記アクセス要求の認証を行い、再度の前記アクセス要求の認証が失敗した場合、前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先とを接続を切断させる、技術7に記載の車両セキュリティシステム。
【0116】
これによれば、副動的認証部は、車両の状態が所定の条件を満たさなくなったと判定した場合、再度アクセス要求の認証を行うため、一時的に車両の状態が変化して一時的に車両の状態が所定の条件を満たさなくなった場合に、アクセス元とアクセス先との接続が切断されてしまうことを抑制できる。
【0117】
(技術9)前記1以上の接続管理部には、前記ゾーンECUに設けられた接続管理部が含まれ、前記副動的認証部は、前記ゾーンECUに設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、技術6~8のいずれかに記載の車両セキュリティシステム。
【0118】
このように、アクセス元とアクセス先との通信経路上にゾーンECUが設けられている場合には、副動的認証部は、ゾーンECUに設けられた接続管理部を介してアクセス元とアクセス先との接続を制御することができる。
【0119】
(技術10)前記主動的認証部が設けられたECUおよび前記ゾーンECUは、前記車両の状態を示す車両状態情報を保持し、前記主動的認証部は、所定のタイミングで、前記副動的認証部に対して、前記ゾーンECUに保持された前記車両状態情報を、前記主動的認証部が設けられたECUに保持された前記車両状態情報に更新させ、前記副動的認証部は、前記ゾーンECUに保持された前記車両状態情報が示す前記車両の状態に基づいて、前記アクセス要求の認証を動的に行う、技術6~9のいずれかに記載の車両セキュリティシステム。
【0120】
これによれば、ゾーンECUで保持されている車両状態情報が、主動的認証部が設けられたECUで保持されている最新の車両状態情報に、所定のタイミング(例えば、定期的、セキュリティ情報更新時、または、異常発生時)で更新されるため、副動的認証部は、更新された車両状態情報によって、精度良くアクセス要求の認証を行うことができる。
【0121】
(技術11)前記主動的認証部は、前記1以上の接続管理部のいずれかの接続管理部を介して、前記車両の状態を示す車両状態情報を取得する、技術1~10のいずれかに記載の車両セキュリティシステム。
【0122】
これによれば、主動的認証部が車両状態情報を取得するときにも、車両状態情報を保持しているリソースへのアクセス要求の認証が行われ、接続管理部を介して取得されるため、セキュリティを向上することができる。
【0123】
(技術12)前記車両の状態は、前記アクセス先の利用状況、前記車両の走行状態、前記アクセス元のセキュリティ状況、前記アクセス先のセキュリティ状況、前記車両において利用されるサービスの利用状況または前記アクセス先の状態を含む、技術1~11のいずれかに記載の車両セキュリティシステム。
【0124】
このように、アクセス先の利用状況、車両の走行状態、アクセス元のセキュリティ状況、アクセス先のセキュリティ状況または車両において利用されるサービスの利用状況を考慮して、アクセス要求の認証の可否を判定することができる。
【0125】
(技術13)車両に搭載された車両セキュリティ装置であって、主動的認証部を備え、前記主動的認証部は、前記車両の状態に基づいて、前記車両における任意のアクセス元から前記車両における任意のアクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、車両セキュリティ装置。
【0126】
これによれば、車載ネットワークへ脅威が侵入した場合であっても、被害を抑制することができる車両セキュリティ装置を提供することができる。
【0127】
(技術14)車両に搭載された車両セキュリティ装置であって、副動的認証部を備え、前記副動的認証部は、前記車両における任意のアクセス元と前記車両における任意のアクセス先との通信経路上に前記車両セキュリティ装置が設けられている場合に、前記車両の状態に基づいて、前記アクセス元から前記アクセス先へのアクセス要求の認証を動的に行い、前記アクセス要求の認証の結果に基づいて、前記車両に設けられた1以上の接続管理部のうちの前記アクセス元と前記アクセス先との通信経路上に設けられた接続管理部に、前記アクセス元と前記アクセス先との接続を制御させる、車両セキュリティ装置。
【0128】
これによれば、車載ネットワークへ脅威が侵入した場合であっても、被害を抑制することができる車両セキュリティ装置を提供することができる。
【産業上の利用可能性】
【0129】
本開示は、車載ネットワークなどに適用できる。
【符号の説明】
【0130】
1、2、3、4 車両セキュリティシステム
11、12 主動的認証部
13、14、15、16 副動的認証部
21、22、23、24、25、26、27 接続管理部
31 HSM
32 ストレージ
33 マスターIDS
34、35、36、37、38、39 エッジIDS
101、102、103 統合ECU
201、202、202a、203、204、205、206、207、208 ゾーンECU
301、303 ADASECU
302 IVIECU
304 TCU
305 CDC
306 PCU
307 BMS
308 OBC
401 アクチュエータ
402、404、405、407、412 センサ
403、410 充電器
406 シャシー
408 モータ
409 バッテリ
411 ブレーキ
11、12 主動的認証部
13、14、15、16 副動的認証部
21、22、23、24、25、26、27 接続管理部
31 HSM
32 ストレージ
33 マスターIDS
34、35、36、37、38、39 エッジIDS
101、102、103 統合ECU
201、202、202a、203、204、205、206、207、208 ゾーンECU
301、303 ADASECU
302 IVIECU
304 TCU
305 CDC
306 PCU
307 BMS
308 OBC
401 アクチュエータ
402、404、405、407、412 センサ
403、410 充電器
406 シャシー
408 モータ
409 バッテリ
411 ブレーキ
【図1】
【図2】
【図3】
【図4】