知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-17
(45)【発行日】2024-05-27
(54)【発明の名称】認証方法、認証システム及び認証装置
(51)【国際特許分類】
B60W 50/00 20060101AFI20240520BHJP
B60W 30/00 20060101ALI20240520BHJP
G06F 21/44 20130101ALI20240520BHJP
【FI】
B60W50/00
B60W30/00
G06F21/44 350
【請求項の数】
25
(21)【出願番号】P 2021508008
(86)(22)【出願日】2020-08-21
(86)【国際出願番号】 JP2020031591
(87)【国際公開番号】W WO2021039622
(87)【国際公開日】2021-03-04
【審査請求日】2023-06-01
(31)【優先権主張番号】P 2019158644
(32)【優先日】2019-08-30
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】氏家 良浩
(72)【発明者】
【氏名】松島 秀樹
(72)【発明者】
【氏名】藤原 睦
【審査官】平井 功
(56)【参考文献】
【文献】米国特許出願公開第2018/0351941(US,A1)
【文献】特開2019-26067(JP,A)
【文献】特開2019-71572(JP,A)
【文献】特開2016-6603(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60W 10/00-10/30
B60W 30/00-60/00
G08G 1/00-99/00
(57)【特許請求の範囲】
【請求項1】
車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する、
認証方法。
【請求項2】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証方法。
【請求項3】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記機器認証が行われるときに前記サーバから前記車両又は前記外部装置へ送付される、
認証方法。
【請求項4】
前記第三の証明書の有効化では、前記機器認証の結果として得られる前記車両の車両ID及び前記外部装置の機器IDの少なくとも一方に対応する前記第三の証明書を有効化する、
請求項1~3のいずれか1項に記載の認証方法。
【請求項5】
前記第三の証明書の有効化では、前記車両の走行状態が特定の条件を満たす場合に、前記第三の証明書を有効化する、
請求項1~4のいずれか1項に記載の認証方法。
【請求項6】
前記特定の条件を満たす前記車両の走行状態は、停車中である、
請求項5記載の認証方法。
【請求項7】
さらに、前記車両及び前記外部装置の状態を監視し、
前記状態の変化に応じて、前記第三の証明書を無効化する、
請求項1~6のいずれか1項に記載の認証方法。
【請求項8】
前記状態は、前記車両と前記外部装置との間の通信状態であり、前記第三の証明書の無効化では、前記通信状態が異常となった場合に、前記第三の証明書を無効化する、
請求項7記載の認証方法。
【請求項9】
前記状態の監視では、前記車両の走行状態が特定の条件を満たす場合に前記状態を監視する、
請求項7又は8記載の認証方法。
【請求項10】
前記特定の条件を満たす前記車両の走行状態は、停車中である、
請求項9記載の認証方法。
【請求項11】
車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する出力部と、を備える、
認証システム。
【請求項12】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証システム。
【請求項13】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記機器認証が行われるときに前記サーバから前記車両又は前記外部装置へ送付される、
認証システム。
【請求項14】
車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、
前記認証装置は、
前記車両の正当性を証明するための第一の証明書を保持する保持部と、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する出力部と、を備える、
認証装置。
【請求項15】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、
前記認証装置は、
前記車両の正当性を証明するための第一の証明書を保持する保持部と、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証装置。
【請求項16】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、
前記認証装置は、
前記車両の正当性を証明するための第一の証明書を保持する保持部と、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記認証が行われるときに前記サーバから送付される、
認証装置。
【請求項17】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両の認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記認証方法は、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する、
認証方法。
【請求項18】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両の認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記認証方法は、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証方法。
【請求項19】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両の認証方法であって、
前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、
前記認証方法は、
前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記認証が行われるときに前記サーバから送付される、
認証方法。
【請求項20】
車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、
前記認証装置は、
前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する出力部と、を備える、
認証装置。
【請求項21】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、
前記認証装置は、
前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証装置。
【請求項22】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、
前記認証装置は、
前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備え、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記認証が行われるときに前記サーバから送付される、
認証装置。
【請求項23】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置の認証方法であって、
前記外部装置は、
前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力する、
認証方法。
【請求項24】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置の認証方法であって、
前記外部装置は、
前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されている、
認証方法。
【請求項25】
車両と、
前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置の認証方法であって、
前記外部装置は、
前記外部装置の正当性を証明するための第二の証明書を保持し、
前記認証方法は、
前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証し、
前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化し、
前記自動運転システムは、さらに、サーバを含み、
前記第三の証明書は、前記認証が行われるときに前記サーバから送付される、
認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、自動運転システムにおける認証方法、認証システム及び認証装置に関する。
【背景技術】
【0002】
近年、自動車の運転は、これまでの人による運転から、自動運転を採用した運転システムによる運転へのシフトが進んでいる。自動運転を採用した運転システム(以下、自動運転システム)では、各種センサの値からステアリング、ブレーキ及びアクセルなどの操作を全て電子制御ユニット(以下、ECU:Electronic Control Unit)が行う。これにより、ヒューマンエラーによる交通事故件数の減少、及び、排ガスなどによる環境汚染の抑制などが期待されている。
【0003】
一般に、自動運転システムは大きく3つの構成に分割される。3つの構成は、周囲の環境を計測するためのセンサ又は通信などにより、交通状況などの情報を取得する認知部、認知部からの情報に基づいて、最適な走行経路及び走行速度などを決定する判断部、判断部の判断結果に基づいて、アクセル、ブレーキ及びステアリングなどを操作する制御部である。この中で、特に認知部及び判断部に関する技術分野は、より高度な自動運転を実現するため、継続的に研究開発が進められており、技術の進化が著しくなっている。車両の開発は、一般に複数年に亘り、長期化することが避けられないため、認知部及び判断部を別体の外部装置として実現する方法が検討されている。既に自動運転システムを搭載した車両に、更に高度な自動運転システムを実現する部品を搭載した車両とは別体の外部装置を接続することで、常に最新の自動運転システムを実現することが可能となる。
【0004】
しかし、自動運転システムの完全な自動化を実現する過程においては、運転者及びECUによる操舵が混在するケースが存在することが想定されており、その責任の所在については多くの議論がなされている。例えば、非特許文献1では、自動運転レベルを0-5の6段階で規定し、それぞれのレベルに応じて、責任を定義している。
【先行技術文献】
【非特許文献】
【0005】
【文献】SAE-J3016_201806:Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicle
【発明の概要】
【発明が解決しようとする課題】
【0006】
このような自動運転レベルに対応する場合、現在車両がどの自動運転レベルにいるのかが非常に重要となる。しかし、先述の別体の外部装置が存在する自動運転システムでは、外部装置が装着されることで更に高度な自動運転システムが実現されることから、自動運転レベルが、装着される外部装置に応じて変化し得る。すなわち、車両に外部装置が装着された際の自動運転レベルを適切に判断することが必要となる。
【0007】
そこで本開示は、上記課題を解決するため、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証方法等を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本開示の一態様である認証方法は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化することを特徴とする。
【発明の効果】
【0009】
本開示によれば、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる。その結果、より安全な自動運転システムを提供することが可能となる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
上記課題を解決するために、本開示の一実施態様における認証方法は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証方法であって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証方法は、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化することを特徴とする。
【0012】
自動運転システムにおける車両に外部装置が装着される場合、車両と外部装置との機器認証が行われ、機器認証が成功した場合、自動運転システムは、機器認証の結果として、自動運転システムに含まれる正当な車両と正当な外部装置との組み合わせを認識することができる。例えば、自動運転システムは、車両と外部装置との組み合わせ毎に第三の証明書を保持しており、各第三の証明書は、組み合わせ毎の自動運転システム全体の自動運転レベルに対応している。したがって、自動運転システムは、認識した組み合わせに対応する第三の証明書を有効化し、有効化した第三の証明書に対応する自動運転レベル、すなわち、車両と外部装置とを組み合わせたときの自動運転システム全体の自動運転レベルを認識することができる。このようにして、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することが可能となり、システム全体として、安全な状態を維持することができる。
【0013】
また、前記認証方法は、さらに、有効化された前記第三の証明書に対応する、前記車両と前記外部装置とを組み合わせたときの前記自動運転システム全体の自動運転レベルに関する情報を出力することを特徴としてもよい。
【0014】
これにより、自動運転システム全体の自動運転レベルを車両の乗員又は管理者などに通知したり、自動運転システム全体の自動運転レベルに応じた自動運転をしたりすることが可能となる。
【0015】
また、前記第三の証明書の有効化では、前記機器認証の結果として得られる前記車両の車両ID及び前記外部装置の機器IDの少なくとも一方に対応する前記第三の証明書を有効化することを特徴としてもよい。
【0016】
このように、正当な車両の車両ID又は正当な外部装置の機器IDを取得することで、当該車両ID又は当該機器IDに対応する第三の証明書を有効化することができる。
【0017】
また、前記第三の証明書は、前記車両が製造されるときに発行され、前記車両に予め保持されていることを特徴としてもよい。
【0018】
これにより、外部の通信装置などを省略して、車両において素早く証明書の有効化が可能となる。また、特定の車両と特定の外部装置との特定の組み合わせについてのみ予め第三の証明書を発行しておくことで、当該特定の組み合わせ以外の組み合わせに対しては、第三の証明書の有効化を制限することが可能となり、システム全体として、さらに安全な状態を維持することができる。
【0019】
また、前記自動運転システムは、さらに、サーバを含み、前記第三の証明書は、前記機器認証が行われるときに前記サーバから前記車両又は前記外部装置へ送付されることを特徴としてもよい。
【0020】
これにより、予め発行しておいた証明書を保持するための記憶領域を車両等に設けなくてもよく、記憶領域を節約することが可能となる。また、車両と外部装置との新たな組み合わせについての第三の証明書の追加が容易となる。
【0021】
また、前記第三の証明書の有効化では、前記車両の走行状態が特定の条件を満たす場合に、前記第三の証明書を有効化することを特徴としてもよい。
【0022】
これにより、車両の走行状態が特定の条件を満たす場合にのみ第三の証明書を有効化することができる。例えば、車両の走行状態が運転者にとって影響ないタイミングに有効化し、利便性を落とさないことが可能となる。
【0023】
また、前記特定の条件を満たす前記車両の走行状態は、停車中であることを特徴としてもよい。
【0024】
通常、走行中の車両に外部装置が装着されることはないため、走行中において車両に外部装置が装着される、言い換えると、走行中において機器認証が行われるということは、何かしらの異常が発生している可能性がある。したがって、車両が停車中の場合にのみ第三の証明書を有効化することで、異常が発生している可能性がある状態で、第三の証明書が有効化されることを抑制できる。また、車両の走行中に誤って第三の証明書が有効化してしまうなどの誤動作を抑制することが可能となる。
【0025】
また、さらに、前記車両及び前記外部装置の状態を監視し、前記状態の変化に応じて、前記第三の証明書を無効化することを特徴としてもよい。
【0026】
車両及び外部装置の状態によっては、自動運転レベルを自動運転システム全体のものから車両単独のものに戻したほうがよい場合があるため、車両及び外部装置の状態に応じて第三の証明書を無効化して、適切に自動運転レベルを設定することが可能となる。
【0027】
また、前記状態は、前記車両と前記外部装置との間の通信状態であり、前記第三の証明書の無効化では、前記通信状態が異常となった場合に、前記第三の証明書を無効化することを特徴としてもよい。
【0028】
車両と外部装置との間で通信異常が発生した場合、車両及び外部装置を含む自動運転システムが正しく機能しないため、自動運転レベルに影響する車両と外部装置との通信状態に応じて第三の証明書を無効化して、適切に自動運転レベルを設定することが可能となる。
【0029】
また、前記状態の監視では、前記車両の走行状態が特定の条件を満たす場合に前記状態を監視することを特徴としてもよい。
【0030】
これにより、車両の走行状態が変化した際に、第三の証明書の無効化処理の必要性をチェックすることで、運転者の安全性を担保することが可能となる。
【0031】
また、前記特定の条件を満たす前記車両の走行状態は、停車中であることを特徴としてもよい。
【0032】
これにより、第三の証明書の無効化処理を車両が停車中の場合に限ることで、処理負荷を軽減する事が可能となる。
【0033】
また、本開示の一実施態様における認証システムは、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける認証システムであって、前記車両は、前記車両の正当性を証明するための第一の証明書を保持し、前記外部装置は、前記外部装置の正当性を証明するための第二の証明書を保持し、前記認証システムは、前記第一の証明書と前記第二の証明書とを用いた、前記車両と前記外部装置との機器認証の結果に基づいて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部を備えることを特徴とする。
【0034】
これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証システムを提供することが可能となる。
【0035】
また、本開示の一実施態様における認証装置は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記車両が備える認証装置であって、前記認証装置は、前記車両の正当性を証明するための第一の証明書を保持する保持部と、前記外部装置の正当性を証明するための第二の証明書を用いて、前記外部装置を認証する認証部と、前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする。
【0036】
これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証装置を提供することが可能となる。また、車両への不正な外部装置の装着を防止することができ、誤って自動運転レベルを引き上げることなく安全な状態を維持することが可能となる。
【0037】
また、本開示の一実施態様における認証装置は、車両と、前記車両と通信し、前記車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける前記外部装置が備える認証装置であって、前記認証装置は、前記外部装置の正当性を証明するための第二の証明書を保持する保持部と、前記車両の正当性を証明するための第一の証明書を用いて、前記車両を認証する認証部と、前記認証の結果を用いて、前記車両と前記外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する管理部と、を備えることを特徴とする。
【0038】
これにより、車両に外部装置が装着された際の自動運転システム全体の自動運転レベルを適切に判断することができる認証装置を提供することが可能となる。また、外部装置の不正な車両への装着を防止することができ、誤って自動運転レベルを引き上げることなく安全な状態を維持することが可能となる。
【0039】
以下、図面を参照しながら、本開示の実施の形態に関わる認証方法等について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、ステップ、並びに、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。
【0040】
(実施の形態1)
[1.システムの構成]
ここでは、本開示の実施の形態として、自動運転システム1000について図面を参照しながら説明する。
[1.システムの構成]
ここでは、本開示の実施の形態として、自動運転システム1000について図面を参照しながら説明する。
【0041】
[1.1 自動運転システム1000の全体構成]
図1は、実施の形態1における自動運転システム1000の全体構成の一例を示す図である。
図1は、実施の形態1における自動運転システム1000の全体構成の一例を示す図である。
【0042】
自動運転システム1000は、車両1001と、それと接続されて動作する外部装置1002と、によって構成される。
【0043】
例えば、車両1001は、各種車載ネットワークにて接続される、ECU1100a、1100b、1100c及び1100dと、各ECUの制御対象であるカメラ1010、ブレーキ1011、ハンドル1012及びアクセル1013と、ECU1100a~1100dのそれぞれと通信して自動運転に関わる制御を行う自動運転ECU1200と、自動運転ECU1200と車載ネットワークを介して通信する通信ECU1300と、から構成される。
【0044】
ECU1100a~1100dは、車載ネットワークを通じて、通信メッセージを互いに送受信することで、車両の制御を実現する。車載ネットワークには、Ethernet(登録商標)又はCAN(登録商標)(Controller Area Network)などが使用される。
【0045】
自動運転ECU1200は、他のECUと車載ネットワークを通じて通信を行い、自動運転に必要となる判断と制御指示を行う。
【0046】
通信ECU1300は、外部装置1002と通信を行い、外部装置1002及び車両1001内の他のECUとのメッセージの送受信を実施する。
【0047】
外部装置1002は、車両1001と通信し、車両1001が自動走行(例えば、操舵及び加減速指示など)を実施するための1以上の機能を提供する装置である。例えば、外部装置1002は、ECU1100eと、ECU1100eの制御対象であるLidar1014と、ECU1100eと車載ネットワークを介して通信する通信ECU1400と、から構成される。
【0048】
ECU1100eは、ECU1100aなどと同様、車載ネットワークを通じて、通信メッセージをやり取りする。車載ネットワークには、Ethernetなどが使用される。
【0049】
通信ECU1400は、車両1001と通信を行い、車両1001及び外部装置1002内の他のECUとのメッセージの送受信を実施する。
【0050】
[1.2 ECU1100aの構成図]
図2は、実施の形態1におけるECU1100aの構成の一例を示す図である。
図2は、実施の形態1におけるECU1100aの構成の一例を示す図である。
【0051】
例えば、ECU1100aは、通信部1101と、メッセージ変換部1102と、から構成される。なお、ECU1100b、ECU1100c、ECU1100d及びECU1100eも同様の構成であるので、ここでは説明を省略する。
【0052】
通信部1101は、車載ネットワークを通じて、外部のECU又は各種センサと通信を行う。通信部1101は、受信したメッセージ又はセンサ値をメッセージ変換部1102に通知する。また、通信部1101は、メッセージ変換部1102より通知されたメッセージを他のECU又は各種センサに送信する。
【0053】
メッセージ変換部1102は、通信部1101より通知された各種センサのセンサ値を車載ネットワークのフォーマットに基づき変換し、通信部1101を介して、他のECUへ送信する。また、メッセージ変換部1102は、通信部1101より受信した通信メッセージをセンサ値又は設定情報に変換し、通信部1101を介して、各種センサに送信する。
【0054】
[1.3 自動運転ECU1200の構成図]
図3は、実施の形態1における自動運転ECU1200の構成の一例を示す図である。
図3は、実施の形態1における自動運転ECU1200の構成の一例を示す図である。
【0055】
例えば、自動運転ECU1200は、通信部1201と、判断部1202と、自動運転レベル管理部1203と、から構成される。
【0056】
通信部1201は、他のECUと車載ネットワークを介して通信し、受信メッセージを判断部1202及び自動運転レベル管理部1203に通知する。また、通信部1201は、判断部1202から通知されたメッセージを他のECUへと送信する。
【0057】
判断部1202は、通信部1201から通知された受信メッセージより、各種センサ値を取得し、通信部1201を介して必要な制御指示を他のECUへ送信する。
【0058】
自動運転レベル管理部1203は、通信部1201より通知されたメッセージの中から、現在の証明書の情報を取得することで、現在の自動運転レベルを管理し、判断部1202へと通知する。判断部1202は、現在の自動運転レベルに応じた動作をすることができる。例えば、現在の自動運転レベルに応じて、使用されるセンサの種類又はデータ量などが変えられてもよい。
【0059】
[1.4 車両1001側の通信ECU1300の構成図]
図4は、実施の形態1における車両1001側の通信ECU1300の構成の一例を示す図である。
図4は、実施の形態1における車両1001側の通信ECU1300の構成の一例を示す図である。
【0060】
例えば、通信ECU1300は、通信部1301と、認証処理部1302と、認証情報保持部1303と、証明書管理部1304と、証明書保持部1305と、から構成される。通信ECU1300は、自動運転システム1000における車両1001が備える認証装置の一例である。
【0061】
通信部1301は、外部装置1002との通信を実施する。例えば、通信部1301は、外部装置1002と有線で通信を行う。また、通信部1301は、車両1001内の自動運転ECU1200と、車載ネットワークを介して通信する。また、通信部1301は、サーバ等との通信を行ってもよい。通信部1301は、外部装置1002より受けた通信メッセージを、認証処理部1302及び証明書管理部1304に通知する。また、通信部1301は、認証処理部1302より通知を受け、外部装置1002へと通信メッセージを送信する。詳細は後述するが、通信部1301は、有効化された第三の証明書に対応する、車両1001と外部装置1002とを組み合わせたときの自動運転システム1000全体の自動運転レベルに関する情報を出力する出力部の一例である。
【0062】
認証処理部1302は、通信部1301を介して外部装置1002と通信し、外部装置1002の認証処理を行う。認証処理部1302は、外部装置1002の正当性を証明するための第二の証明書を用いて、外部装置1002を認証する認証部の一例である。また、認証処理部1302は、認証処理に必要となる情報を、認証情報保持部1303より取得する。また、認証処理部1302は、認証処理の結果を証明書管理部1304に通知する。
【0063】
認証情報保持部1303は、秘密鍵と公開鍵証明書の鍵ペアを保持する。認証情報保持部1303は、車両1001の正当性を証明するための第一の証明書を保持する保持部の一例である。認証情報保持部1303が保持する公開鍵証明書は、第一の証明書の一例である。秘密鍵と公開鍵証明書は、車両1001の出荷時に認証情報保持部1303に埋め込まれる。
【0064】
図5は公開鍵証明書のフォーマットの一例を示す図である。
【0065】
公開鍵証明書は、バージョン、発行者、有効期間の開始と終了、自動運転レベル、証明書ID及び認証局の署名などから構成される。なお、公開鍵証明書には、自動運転レベルが含まれていなくてもよい。
【0066】
証明書保持部1305は、公開鍵証明書群と証明書テーブルとを保持する。証明書保持部1305が保持する公開鍵証明書は、車両1001と外部装置1002との組み合わせの正当性を証明するための第三の証明書の一例である。車両1001及び外部装置1002には様々な種類が存在し、証明書保持部1305は、車両1001と外部装置1002との様々な組み合わせ毎の第三の証明書(すなわち第三の証明書群)を保持する。実施の形態1では、第三の証明書群は、車両1001が製造されるときに発行され、車両1001に予め保持されている。例えば、第三の証明書群は、車両1001の出荷時に証明書保持部1305に埋め込まれる。第三の証明書群のそれぞれは、車両1001に外部装置1002が装着されたときの自動運転システム1000全体の自動運転レベルに対応している。
【0067】
図6は、実施の形態1における証明書テーブルのフォーマットの一例を示す図である。証明書テーブルにおける各行は、各第三の証明書に対応する。例えば、証明書テーブルの各行は、第三の証明書の証明書IDと、第三の証明書に対応する自動運転レベルと、第三の証明書に対応する機器IDと、第三の証明書の状態と、から構成される。なお、各第三の証明書の状態は、現在の状態に応じて、有効と無効とが書き換えられる。
【0068】
証明書管理部1304は、認証処理部1302の認証の結果を用いて第三の証明書を有効化する管理部の一例である。証明書管理部1304は、認証処理部1302から通知される認証結果と、証明書保持部1305に保持される証明書テーブルを用いて、予め保持していた第三の証明書群のうちから認証結果に応じた第三の証明書を認証情報保持部1303へ通知し、認証情報保持部1303に保存する。これにより、通知された第三の証明書が認証情報保持部1303に登録され、当該第三の証明書が有効化される。また、証明書管理部1304は、通信部1301からの通信処理結果に基づいて、認証情報保持部1303に保存された第三の証明書を削除する。これにより、認証情報保持部1303への第三の証明書の登録が解除され、有効化されていた第三の証明書が無効化される。第三の証明書の有効化及び無効化の処理の詳細については後述する。
【0069】
[1.5 外部装置1002側の通信ECU1400の構成図]
図7は、実施の形態1における外部装置1002側の通信ECU1400の構成の一例を示す図である。
図7は、実施の形態1における外部装置1002側の通信ECU1400の構成の一例を示す図である。
【0070】
通信ECU1400は、通信部1401と、認証処理部1402と、認証情報保持部1403と、から構成される。
【0071】
通信部1401は、車両1001との通信を実施する。例えば、通信部1401は、車両1001と有線で通信を行う。また、通信部1401は、外部装置1002内のECU1100eと、車載ネットワークを介して通信する。通信部1401は、車両1001より受けた通信メッセージを認証処理部1402に通知する。また、通信部1401は、認証処理部1402より通知を受け、車両1001へと通信メッセージを送信する。
【0072】
認証処理部1402は、通信部1401を介して車両1001と通信し、車両1001の認証処理を行う。認証処理部1402は、車両1001の正当性を証明するための第一の証明書を用いて、車両1001を認証する認証部の一例である。また、認証処理部1402は、認証処理に必要となる情報を、認証情報保持部1403より取得する。
【0073】
認証情報保持部1403は、秘密鍵と公開鍵証明書の鍵ペアを保持する。認証情報保持部1403は、外部装置1002の正当性を証明するための第二の証明書を保持する保持部の一例である。認証情報保持部1403が保持する公開鍵証明書は、第二の証明書の一例である。秘密鍵と公開鍵証明書は、外部装置1002の出荷時に認証情報保持部1403に埋め込まれる。公開鍵証明書(第二の証明書)のフォーマットは、例えば図5と同様であるため、ここでは説明を省略する。
【0074】
[1.6 認証シーケンスの一例]
次に、車両1001に外部装置1002が装着されたときに、車両1001側の通信ECU1300と外部装置1002側の通信ECU1400との間で行われる相互認証について、図8を用いて説明する。
次に、車両1001に外部装置1002が装着されたときに、車両1001側の通信ECU1300と外部装置1002側の通信ECU1400との間で行われる相互認証について、図8を用いて説明する。
【0075】
図8は、実施の形態1における車両1001と外部装置1002との認証の動作の一例を示すシーケンス図である。
【0076】
外部装置1002は、車両1001に対し、接続要求を実施する(S1101)。このとき、外部装置1002は、外部装置1002の機器ID及び公開鍵証明書(すなわち第二の証明書)も合わせて送信する。
【0077】
車両1001は、外部装置1002から受信した公開鍵証明書の署名を検証する(S1102)。車両1001は、検証が成功しない場合(S1102でN)、外部装置1002へエラーを通知して処理を終了する。
【0078】
車両1001は、検証が成功した場合(S1102でY)、乱数を生成し、生成した乱数を車両1001の車両IDと公開鍵証明書(すなわち第一の証明書)とともに外部装置1002へ送信する(S1103)。
【0079】
外部装置1002は、乱数と公開鍵証明書を受信し、車両1001から受信した公開鍵証明書の署名を検証する(S1104)。外部装置1002は、検証が成功しない場合(S1104でN)、車両1001へエラーを通知して処理を終了する。
【0080】
外部装置1002は、検証が成功した場合(S1104でY)、車両1001から受信した乱数と外部装置1002の秘密鍵から署名を生成する(S1105)。
【0081】
外部装置1002は、乱数を生成し、生成した乱数をS1105で生成した署名とともに車両1001へ送信する(S1106)。
【0082】
車両1001は、署名と乱数を受信し、S1101で受信した公開鍵証明書を用いて署名の検証を行う(S1107)。車両1001は、署名の検証が成功しない場合(S1107でN)、外部装置1002へエラーを通知して処理を終了する。
【0083】
車両1001は、署名の検証が成功した場合(S1107でY)、S1107で受信した乱数と車両1001の秘密鍵から署名を生成し、生成した署名を外部装置1002へ送信する(S1108)。
【0084】
外部装置1002は、署名を受信し、S1104で受信した公開鍵証明書を用いて署名の検証を行う(S1109)。外部装置1002は、署名の検証が成功しない場合(S1109でN)、車両1001へエラーを通知して処理を終了する。
【0085】
S1109で検証が成功した場合、車両1001は、外部装置1002の機器IDを接続先として登録し、外部装置1002は、車両1001の車両IDを接続先として登録する(S1110)。このように、車両1001と外部装置1002との機器認証の結果として、正当な車両1001の車両ID及び正当な外部装置1002の機器IDが得られる。
【0086】
なお、機器IDとは、外部装置1002を識別するための識別子であり、その形式は特に限定されず、例えば、MAC(Media Access Control)アドレスなどであってもよいし、各メーカーが個別に設定する識別子であってもよい。また、車両IDとは、車両1001を識別するための識別子であり、その形式は特に限定されず、例えば、MACアドレスなどであってもよいし、各メーカーが個別に設定する識別子であってもよい。
【0087】
[1.7 証明書を有効化する際のフローチャートの一例]
次に、車両1001内で保持する、自動運転レベルに応じた第三の証明書の有効化について、図9を用いて説明する。
次に、車両1001内で保持する、自動運転レベルに応じた第三の証明書の有効化について、図9を用いて説明する。
【0088】
図9は、実施の形態1における公開鍵証明書(第三の証明書)を有効化する動作の一例を示すフローチャートである。
【0089】
証明書管理部1304は、登録されている機器IDを取得できるか否かを判定する(S1201)。証明書管理部1304は、登録された機器IDが存在しなければ、機器IDを取得できず(S1201でN)、エラーとして処理を終了する。ここでは、図8での認証処理が完了し、機器IDが登録されているとする。
【0090】
証明書管理部1304は、機器IDを取得できた場合(S1201でY)、取得した機器IDが、証明書テーブルに存在するかどうかを確認する(S1202)。証明書管理部1304は、取得した機器IDが証明書テーブルに存在しない場合(S1202でN)、エラーとして処理を終了する。
【0091】
証明書管理部1304は、取得した機器IDが証明書テーブルに存在する場合、(S1202でY、)取得した機器IDに対応する第三の証明書を「有効」に変更する(S1203)。具体的には、証明書管理部1304は、取得した機器IDを証明書テーブルに照合して、当該機器IDに対応する行の証明書IDの第三の証明書を認証情報保持部1403へ通知し、当該機器IDに対応する行の状態を「有効」に変更する。例えば、機器IDが「XXX」の外部装置1002が車両1001に装着されて機器認証が完了した場合、証明書管理部1304は、機器ID「XXX」を取得し、機器ID「XXX」を証明書テーブルに照合して、図6に示されるように、機器ID「XXX」に対応する行の証明書ID「1」の第三の証明書を認証情報保持部1403へ通知し、機器ID「XXX」に対応する行の状態を「有効」に変更する。
【0092】
このように、車両1001と外部装置1002との機器認証の結果として得られる車両1001の車両ID及び外部装置1002の機器IDの少なくとも一方に対応する第三の証明書が有効化される。ここでは、車両1001において第三の証明書が有効化され、車両1001自身の車両IDは固定であるため、外部装置1002の機器IDに対応する第三の証明書が有効化される。
【0093】
そして、通信部1301は、有効化された第三の証明書に対応する、自動運転システム1000全体の自動運転レベルに関する情報を出力する(S1204)。自動運転システム1000全体の自動運転レベルは、車両1001と外部装置1002とを組み合わせたときの自動運転システム1000の自動運転レベルである。自動運転システム1000全体の自動運転レベルに関する情報は、車両1001又は車両1001を監視する監視室等に設けられたディスプレイに自動運転レベルを表示したり、手動運転が不要であることを表示したりするための情報であってもよい。また、自動運転システム1000全体の自動運転レベルに関する情報は、自動運転ECU1200に自動運転システム1000全体の自動運転レベルに応じた自動運転をさせるための情報であってもよい。
【0094】
[1.8 証明書を無効化する際のフローチャートの一例]
次に、車両1001内で保持する、自動運転レベルに応じた第三の証明書の無効化について、図10を用いて説明する。
次に、車両1001内で保持する、自動運転レベルに応じた第三の証明書の無効化について、図10を用いて説明する。
【0095】
図10は、実施の形態1における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すフローチャートである。
【0096】
証明書管理部1304は、通信部1301を介して車両1001と外部装置1002との通信状態を監視する(S1301)。
【0097】
証明書管理部1304は、車両1001と外部装置1002との通信状態に異常が発生しているか否かを判定する(S1302)。証明書管理部1304は、通信異常が発生していない場合は(S1302でN)、処理を終了する。
【0098】
証明書管理部1304は、通信異常が発生している場合は(S1302でY)、エラーカウンタをインクリメントする(S1303)。
【0099】
証明書管理部1304は、エラーカウンタが閾値以上かどうかを判定する(S1304)。エラーカウンタが閾値未満である場合は(S1304でN)、S1302へ戻る。閾値は、特に限定されず、適宜設定されてもよい。
【0100】
証明書管理部1304は、エラーカウンタが閾値以上である場合は(S1304でY)、有効化された第三の証明書を無効化する(S1305)。つまり、証明書管理部1304は、一定時間以上、車両1001と外部装置1002との通信異常が続いている場合に、有効化された第三の証明書を無効化する。例えば、証明書管理部1304は、認証情報保持部1303に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、その際に、証明書管理部1304は、証明書テーブルにおける当該第三の証明書の状態を「無効」に変更する。
【0101】
証明書管理部1304は、エラーカウンタをリセットする(S1306)。
【0102】
証明書管理部1304は、接続先の機器IDを削除する(S1307)。
【0103】
このように、証明書管理部1304は、車両1001及び外部装置1002の状態を監視し、当該状態の変化に応じて、第三の証明書を無効化する。具体的には、車両1001及び外部装置1002の状態は、車両1001と外部装置1002との間の通信状態であり、証明書管理部1304は、通信状態が異常となった場合に、第三の証明書を無効化する。
【0104】
[1.9 実施の形態1の効果]
実施の形態1で示した自動運転システム1000では、車両1001の第一の証明書及び外部装置1002の第二の証明書とは別に、予め第三の証明書をインストールしておき、車両1001と外部装置1002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両1001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態1で示した自動運転システム1000では、車両1001の第一の証明書及び外部装置1002の第二の証明書とは別に、予め第三の証明書をインストールしておき、車両1001と外部装置1002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両1001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0105】
(実施の形態1の変形例)
実施の形態1で示した自動運転システム1000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態1の変形例として説明する。なお、実施の形態1と同様の点については説明を省略する。
実施の形態1で示した自動運転システム1000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態1の変形例として説明する。なお、実施の形態1と同様の点については説明を省略する。
【0106】
[1.10 証明書を有効化する際のフローチャートの一例]
図11は、実施の形態1の変形例における公開鍵証明書(第三の証明書)を有効化する動作の一例を示すフローチャートである。実施の形態1の変形例では、車両1001の走行状態が特定の条件を満たす場合に、第三の証明書が有効化される。なお、実施の形態1と同様のステップは、同一の番号を付与し、説明は省略する。
図11は、実施の形態1の変形例における公開鍵証明書(第三の証明書)を有効化する動作の一例を示すフローチャートである。実施の形態1の変形例では、車両1001の走行状態が特定の条件を満たす場合に、第三の証明書が有効化される。なお、実施の形態1と同様のステップは、同一の番号を付与し、説明は省略する。
【0107】
例えば、特定の条件を満たす車両1001の走行状態は、停車中であり、証明書管理部1304は、第三の証明書を有効化する前に、車両1001の走行状態が停車中であるか否かを判定する(S1205)。証明書管理部1304は、車両1001が停車中でない場合(S1205でN)、第三の証明書の有効化処理を中断して終了し、車両1001が停車中である場合には(S1205でY)、第三の証明書を有効化する(S1203)。
【0108】
[1.11 証明書を無効化する際のフローチャートの一例]
図12は、実施の形態1の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すフローチャートである。実施の形態1の変形例では、車両1001の走行状態が特定の条件を満たす場合に、車両1001及び外部装置1002の状態(例えば車両1001と外部装置1002との通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態1と同様のステップは、同一の番号を付与し、説明は省略する。
図12は、実施の形態1の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すフローチャートである。実施の形態1の変形例では、車両1001の走行状態が特定の条件を満たす場合に、車両1001及び外部装置1002の状態(例えば車両1001と外部装置1002との通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態1と同様のステップは、同一の番号を付与し、説明は省略する。
【0109】
証明書管理部1304は、車両1001の走行状態が停車中であるか否かを判定する(S1308)。証明書管理部1304は、車両1001が停車中でない場合(S1308でN)、第三の証明書の無効化処理を中断して終了し、車両1001が停車中である場合には(S1308でY)、通信状態を監視し(S1301)、無効化処理を継続する。
【0110】
[1.12 実施の形態1の変形例の効果]
実施の形態1の変形例で示した自動運転システム1000では、車両1001の第一の証明書及び外部装置1002の第二の証明書とは別に予め第三の証明書をインストールしておき、車両1001と外部装置1002との通信結果に加えて車両1001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両1001と外部装置1002が一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態1の変形例で示した自動運転システム1000では、車両1001の第一の証明書及び外部装置1002の第二の証明書とは別に予め第三の証明書をインストールしておき、車両1001と外部装置1002との通信結果に加えて車両1001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両1001と外部装置1002が一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0111】
なお、車両1001の通信ECU1300が有する機能を、外部装置1002が有していてもよい。すなわち、第三の証明書群が外部装置1002に予めインストールされていてもよく、外部装置1002によって第三の証明書の有効及び無効が切り替えられてもよい。この場合、外部装置1002において第三の証明書が有効化され、外部装置1002自身の機器IDは固定であるため、車両1001の車両IDに対応する第三の証明書が有効化される。なお、この場合にも、同様の効果が奏される。
【0112】
(実施の形態2)
[2.システムの構成]
次に、本開示の実施の形態2として、自動運転システム2000について図面を参照しながら説明する。
[2.システムの構成]
次に、本開示の実施の形態2として、自動運転システム2000について図面を参照しながら説明する。
【0113】
[2.1 自動運転システム2000の全体構成]
図13は、実施の形態2における自動運転システム2000の全体構成の一例を示す図である。
図13は、実施の形態2における自動運転システム2000の全体構成の一例を示す図である。
【0114】
自動運転システム2000は、車両2001と、それと接続されて動作する外部装置1002と、車両2001とV2X通信するサーバ2600と、によって構成される。
【0115】
なお、実施の形態1と同一の構成要素は、同一の番号を付与し、説明を省略する。
【0116】
例えば、車両2001は、各種車載ネットワークにて接続される、ECU1100a、1100b、1100c及び1100dと、各ECUの制御対象であるカメラ1010、ブレーキ1011、ハンドル1012及びアクセル1013と、ECU1100a~1100dのそれぞれと通信して自動運転に関わる制御を行う自動運転ECU1200と、車載ネットワークを介して自動運転ECU1200及びV2X通信ECU2500と通信する通信ECU2300と、サーバ2600とV2X通信するV2X通信ECU2500と、から構成される。
【0117】
通信ECU2300は、外部装置1002と通信を行い、外部装置1002及び車両2001内の他のECUとのメッセージの送受信を実施する。また、通信ECU2300は、V2X通信ECU2500を介して、サーバ2600と通信を行い、車両2001に外部装置1002が装着された際の新たな自動運転レベルに対応した公開鍵証明書(第三の証明書)の有効化に必要となるメッセージの送受信を行う。
【0118】
V2X通信ECU2500は、サーバ2600と通信を行い、サーバ2600と、車両2001内の通信ECU2300とのメッセージの送受信を実施する。
【0119】
サーバ2600は、車両2001と通信を行い、車両2001と外部装置1002との認証結果に応じて、車両2001に外部装置1002が装着された際の新たな自動運転レベルに対応した公開鍵証明書(第三の証明書)を発行する。
【0120】
[2.2 車両2001側の通信ECU2300の構成図]
図14は、実施の形態2における車両2001側の通信ECU2300の構成の一例を示す図である。
図14は、実施の形態2における車両2001側の通信ECU2300の構成の一例を示す図である。
【0121】
例えば、通信ECU2300は、通信部2301と、認証処理部1302と、認証情報保持部1303と、証明書管理部2304と、から構成される。通信ECU2300は、自動運転システム2000における車両2001が備える認証装置の一例である。なお、実施の形態1と同様の構成は同一の番号を付与し、以降の説明を省略する。
【0122】
通信部2301は、外部装置1002との通信を実施する。例えば、通信部2301は、外部装置1002と有線で通信を行う。また、通信部2301は、車両2001内の自動運転ECU1200及びV2X通信ECU2500と、車載ネットワークを介して通信する。通信部2301は、外部装置1002及びサーバ2600より受けた通信メッセージを、認証処理部1302と証明書管理部2304とに通知する。また、通信部2301は、認証処理部1302及び証明書管理部2304より通知を受け、外部装置1002及びサーバ2600へと通信メッセージを送信する。
【0123】
証明書管理部2304は、認証処理部1302の認証の結果を用いて、第三の証明書を有効化する管理部の一例である。証明書管理部2304は、認証処理部1302から通知される認証結果を用いてサーバ2600において発行された新たな自動運転レベルに対応した公開鍵証明書(第三の証明書)を通信部2301経由でサーバ2600から取得し、認証情報保持部1303に保存する。これにより、第三の証明書が認証情報保持部1303に登録され、車両2001側において当該第三の証明書が有効化される。また、証明書管理部2304は、通信部2301からの通信処理結果に基づいて、認証情報保持部1303の第三の証明書を削除する。これにより、認証情報保持部1303への第三の証明書の登録が解除され、車両2001側において有効化されていた第三の証明書が無効化される。
【0124】
[2.3 V2X通信ECU2500の構成図]
図15は、実施の形態2におけるV2X通信ECU2500の構成の一例を示す図である。V2X通信ECU2500は、通信部2501と、メッセージ変換部2502と、から構成される。
図15は、実施の形態2におけるV2X通信ECU2500の構成の一例を示す図である。V2X通信ECU2500は、通信部2501と、メッセージ変換部2502と、から構成される。
【0125】
通信部2501は、車載ネットワークを通じて、通信ECU2300と通信を行う。また、通信部2501は、V2X通信を通じて、サーバ2600と無線で通信を行う。通信部2501は、受信したメッセージをメッセージ変換部2502に通知する。また、通信部2501は、メッセージ変換部2502より通知されたメッセージを通信ECU2300又はサーバ2600に送信する。
【0126】
メッセージ変換部2502は、通信部2501を介してサーバ2600から受信したメッセージを車載ネットワークのフォーマットに基づき変換し、通信部2501を介して、通信ECU2300へ送信する。また、メッセージ変換部2502は、通信部2501を介して通信ECU2300から受信した通信メッセージを、通信部2501を介して、サーバ2600に送信する。
【0127】
[2.4 サーバ2600の構成図]
図16は、実施の形態2におけるサーバ2600の構成の一例を示す図である。
図16は、実施の形態2におけるサーバ2600の構成の一例を示す図である。
【0128】
サーバ2600は、通信部2601と、認証処理部2602と、認証情報保持部2603と、証明書管理部2604と、証明書保持部2605と、から構成される。サーバ2600は、自動運転システム2000における認証システムの一例である。
【0129】
通信部2601は、車両2001とV2X通信を実施する。また、通信部2601は、車両2001より受けた公開鍵証明書(第一の証明書及び第二の証明書)を、認証処理部2602と証明書管理部2604とに通知する。また、通信部2601は、認証処理部2602及び証明書管理部2604より通知を受け、車両2001へと通信メッセージを送信する。通信部2601は、有効化された第三の証明書に対応する、車両2001と外部装置1002とを組み合わせたときの自動運転システム2000全体の自動運転レベルに関する情報を出力する出力部の一例である。
【0130】
認証処理部2602は、通信部2601を介して、車両2001と通信し、車両2001より通知される公開鍵証明書(第一の証明書及び第二の証明書)の署名検証処理を行う。また、認証処理部2602は、署名検証処理に必要となる情報を、認証情報保持部2603より取得する。また、認証処理部2602は、署名検証処理の結果を証明書管理部2604に通知する。
【0131】
認証情報保持部2603は、認証局の秘密鍵と公開鍵証明書の鍵ペアを保持する。公開鍵証明書の構成の一例は、図5と同様のため、ここでは説明を省略する。
【0132】
証明書保持部2605は、証明書テーブルを保持する。
【0133】
図17は、実施の形態2における証明書テーブルのフォーマットの一例を示す図である。証明書テーブルにおける各行は、各第三の証明書に対応する。例えば、証明書テーブルの各行は、第三の証明書の証明書IDと、第三の証明書が該当する自動運転レベルと、第三の証明書に対応する車両ID及び機器IDの組み合わせと、第三の証明書の状態と、から構成される。なお、各第三の証明書の状態は、現在の状態に応じて、有効と無効とが書き換えられる。
【0134】
証明書管理部2604は、第一の証明書と第二の証明書とを用いた、車両2001と外部装置1002との機器認証の結果に基づいて、第三の証明書を有効化する管理部の一例である。証明書管理部2604は、認証処理部2602から通知される認証結果と、証明書保持部2605に保持される証明書テーブルを用いて、車両2001と外部装置1002との組み合わせの正当性を証明するための第三の証明書を新たに発行し、通信部2601を介して車両2001へ通知して、認証情報保持部2603に保存する。これにより、通知された第三の証明書が認証情報保持部2603に登録され、サーバ2600側において当該第三の証明書が有効化される。また、証明書管理部2604は、通信部2301からの無効化指示に基づいて、認証情報保持部2603に保存された第三の証明書を削除する。これにより、認証情報保持部2603への第三の証明書の登録が解除され、サーバ2600側において有効化されていた第三の証明書が無効化される。
【0135】
[2.5 証明書を発行する際のシーケンスの一例]
次に、車両2001と外部装置1002との相互認証の後に行われる、サーバ2600による自動運転レベルに応じた第三の証明書の発行について、図18を用いて説明する。サーバ2600によって発行された第三の証明書は、車両2001内で保持されて有効化される。
次に、車両2001と外部装置1002との相互認証の後に行われる、サーバ2600による自動運転レベルに応じた第三の証明書の発行について、図18を用いて説明する。サーバ2600によって発行された第三の証明書は、車両2001内で保持されて有効化される。
【0136】
図18は、実施の形態2における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。
【0137】
車両2001は、登録されている機器IDを取得できるか否かを判定する(S2201)。車両2001は、登録されている機器IDがなければ、機器IDを取得できず(S2201でN)、認証処理が完了していないということなので、処理を終了する。ここでは、図8での認証処理が完了し、機器IDが登録されているとする。
【0138】
車両2001は、外部装置1002の機器IDを取得できた場合(S2201でY)、取得した機器IDを、車両2001の車両IDと、車両2001の公開鍵証明書(第一の証明書)と、外部装置1002の公開鍵証明書(第二の証明書)と共に、サーバ2600へ送信する。
【0139】
サーバ2600は、外部装置1002の機器ID、車両2001の車両ID及び2種類の公開鍵証明書を受信し、受信した2種類の公開鍵証明書の署名を検証する(S2202)。サーバ2600は、検証が成功しない場合(S2202でN)、車両2001へエラーを通知して処理を終了する。
【0140】
サーバ2600は、検証が成功した場合(S2202でY)、S2202にて受信した機器IDと車両IDとの組み合わせが、証明書テーブルに存在するかどうかを確認する(S2203)。サーバ2600は、受信した機器IDと車両IDとの組み合わせが証明書テーブルに存在しない場合(S2203でN)、車両2001へその旨を通知して、エラーとして処理を終了する。
【0141】
サーバ2600は、受信した機器IDと車両IDとの組み合わせが証明書テーブルに存在する場合(S2203でY)、取得した組み合わせに対応する第三の証明書を発行し、車両2001に送信する(S2204)。具体的には、サーバ2600の証明書管理部2604は、取得した機器ID及び車両IDの組み合わせを証明書テーブルに照合して、当該組み合わせに対応する行の証明書IDの第三の証明書を認証情報保持部2603へ通知し、当該組み合わせに対応する行の状態を「有効」に変更する。例えば、機器IDが「XXX」の外部装置1002が、車両IDが「AAA」の車両2001に装着されて機器認証が完了した場合、証明書管理部2604は、機器ID「XXX」及び車両ID「AAA」を取得し、機器ID「XXX」及び車両ID「AAA」の組み合わせを証明書テーブルに照合して、図17に示されるように、機器ID「XXX」及び車両ID「AAA」に対応する行の証明書ID「1」の第三の証明書を認証情報保持部2603へ通知し、機器ID「XXX」及び車両ID「AAA」に対応する行の状態を「有効」に変更する。このように、車両2001と外部装置1002との機器認証の結果として得られる車両2001の車両ID及び外部装置1002の機器IDに対応する第三の証明書が有効化される。そして、サーバ2600側において有効化された第三の証明書が車両2001に送信される。
【0142】
車両2001は、サーバ2600によって発行された第三の証明書を保存する(S2205)。例えば、車両2001の通信ECU2300における認証情報保持部1303に第三の証明書が保存され、これにより、車両2001側においても当該第三の証明書が有効化される。
【0143】
また、図示していないが、サーバ2600は、有効化された第三の証明書に対応する、車両2001と外部装置1002とを組み合わせたときの自動運転システム2000全体の自動運転レベルに関する情報を出力する。なお、車両2001(例えば通信部2301)が、有効化された第三の証明書に対応する、車両2001と外部装置1002とを組み合わせたときの自動運転システム2000全体の自動運転レベルに関する情報を出力してもよい。
【0144】
[2.6 証明書を無効化する際のシーケンスの一例]
次に、車両2001とサーバ2600とで保持する、自動運転レベルに応じた第三の証明書の無効化について、図19を用いて説明する。なお、実施の形態1と同様のステップには同一の番号を付与し、説明は省略する。
次に、車両2001とサーバ2600とで保持する、自動運転レベルに応じた第三の証明書の無効化について、図19を用いて説明する。なお、実施の形態1と同様のステップには同一の番号を付与し、説明は省略する。
【0145】
図19は、実施の形態2における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。
【0146】
車両2001は、エラーカウンタが閾値以上かどうかを判定し(S2304)、エラーカウンタが閾値以上である場合は(S2304でY)、発行された公開鍵証明書(第三の証明書)をサーバ2600へ通知することで、当該第三の証明書をサーバ2600において無効化させるための無効化指示を行う。エラーカウンタが閾値を超えていない場合は(S2304でN)、S1302へ戻る。
【0147】
エラーカウンタが閾値以上である場合は(S2304でY)、車両2001及びサーバ2600は、それぞれが保持する当該第三の証明書を無効化する(S2305)。例えば、車両2001の通信ECU2300における証明書管理部2304は、認証情報保持部1303に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、サーバ2600の証明書管理部2604は、認証情報保持部2603に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。また、証明書管理部2604は、証明書テーブルにおける当該第三の証明書の状態を「無効」に変更する。
【0148】
以上のように、実施の形態2では、自動運転システム2000は、サーバ2600を含み、第三の証明書は、機器認証が行われるときにサーバ2600から車両2001へ送付される。
【0149】
[2.7 実施の形態2の効果]
実施の形態2で示した自動運転システム2000では、車両2001の第一の証明書及び外部装置1002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が車両2001内で管理される。そして、車両2001と外部装置1002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両2001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態2で示した自動運転システム2000では、車両2001の第一の証明書及び外部装置1002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が車両2001内で管理される。そして、車両2001と外部装置1002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両2001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0150】
(実施の形態2の変形例)
実施の形態2で示した自動運転システム2000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両2001の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態2の変形例として説明する。なお、実施の形態2と同様の点については説明を省略する。
実施の形態2で示した自動運転システム2000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両2001の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態2の変形例として説明する。なお、実施の形態2と同様の点については説明を省略する。
【0151】
[2.8 証明書を発行する際のシーケンスの一例]
図20は、実施の形態2の変形例における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。実施の形態2の変形例では、車両2001の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態2と同様のステップは、同一の番号を付与し、説明は省略する。
図20は、実施の形態2の変形例における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。実施の形態2の変形例では、車両2001の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態2と同様のステップは、同一の番号を付与し、説明は省略する。
【0152】
例えば、特定の条件を満たす車両2001の走行状態は、停車中であり、車両2001は、第三の証明書を有効化する処理を開始する前に、車両2001の走行状態が停車中であるか否かを判定する(S2206)。車両2001は、停車中でない場合(S2206でN)、第三の証明書を有効化するための処理を開始せず、処理を終了する。車両2001は、停車中である場合に(S2206でY)、第三の証明書を有効化するための処理を開始する。
【0153】
[2.9 証明書を無効化する際のシーケンスの一例]
図21は、実施の形態2の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。実施の形態2の変形例では、車両2001の走行状態が特定の条件を満たす場合に、車両2001及び外部装置1002の状態(例えば通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態1及び2と同様のステップは、同一の番号を付与し、説明は省略する。
図21は、実施の形態2の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。実施の形態2の変形例では、車両2001の走行状態が特定の条件を満たす場合に、車両2001及び外部装置1002の状態(例えば通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態1及び2と同様のステップは、同一の番号を付与し、説明は省略する。
【0154】
車両2001は、車両2001の走行状態が停車中であるか否かを判定する(S2308)。車両2001は、停車中でない場合(S2308でN)、第三の証明書の無効化処理を中断して終了し、車両2001が停車中である場合には(S2308でY)、通信状態を監視し(S1301)、無効化処理を継続する。
【0155】
[2.10 実施の形態2の変形例の効果]
実施の形態2で示した自動運転システム2000では、車両2001の第一の証明書及び外部装置1002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が車両2001内で管理される。そして、車両2001と外部装置1002との通信結果に加えて車両2001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両2001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態2で示した自動運転システム2000では、車両2001の第一の証明書及び外部装置1002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が車両2001内で管理される。そして、車両2001と外部装置1002との通信結果に加えて車両2001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両2001と外部装置1002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0156】
(実施の形態3)
[3.システムの構成]
次に、本開示の実施の形態3として、自動運転システム3000について図面を参照しながら説明する。
[3.システムの構成]
次に、本開示の実施の形態3として、自動運転システム3000について図面を参照しながら説明する。
【0157】
[3.1 自動運転システム3000の全体構成]
図22は、実施の形態3における自動運転システム3000の全体構成の一例を示す図である。
図22は、実施の形態3における自動運転システム3000の全体構成の一例を示す図である。
【0158】
自動運転システム3000は、車両3001と、それと接続されて動作する外部装置3002と、外部装置3002とV2X通信するサーバ2600と、によって構成される。
【0159】
なお、実施の形態1及び2と同一の構成要素は、同一の番号を付与し、説明を省略する。
【0160】
例えば、車両3001は、各種車載ネットワークにて接続される、ECU1100a、1100b、1100c及び1100dと、各ECUの制御対象であるカメラ1010、ブレーキ1011、ハンドル1012及びアクセル1013と、ECU1100a~1100dのそれぞれと通信して自動運転に関わる制御を行う自動運転ECU1200と、車載ネットワークを介して自動運転ECU1200と通信する通信ECU3300と、から構成される。
【0161】
通信ECU3300は、外部装置3002と通信を行い、外部装置3002及び車両3001内の他のECUとのメッセージの送受信を実施する。
【0162】
例えば、外部装置3002は、ECU1100eと、ECU1100eの制御対象であるLidar1014と、車載ネットワークを介してECU1100e及びV2X通信ECU2500と通信する通信ECU3400と、サーバ2600とV2X通信するV2X通信ECU2500と、から構成される。
【0163】
通信ECU3400は、車両3001と通信を行い、車両3001及び外部装置3002内の他のECUとのメッセージの送受信を実施する。また、通信ECU3400は、V2X通信ECU2500を介して、サーバ2600と通信を行い、車両3001に外部装置3002が装着された際の新たな自動運転レベルに対応した公開鍵証明書(第三の証明書)の有効化に必要となるメッセージの送受信を行う。
【0164】
[3.2 車両3001側の通信ECU3300の構成図]
図23は、実施の形態3における車両3001側の通信ECU3300の構成の一例を示す図である。
図23は、実施の形態3における車両3001側の通信ECU3300の構成の一例を示す図である。
【0165】
例えば、通信ECU3300は、通信部3301と、認証処理部3302と、認証情報保持部1303と、から構成される。なお、実施の形態1と同様の構成は同一の番号を付与し、以降の説明を省略する。
【0166】
通信部3301は、外部装置3002との通信を実施する。例えば、通信部3301は、外部装置3002と有線で通信を行う。また、通信部3301は、車両3001内の自動運転ECU1200と、車載ネットワークを介して通信する。通信部3301は、外部装置3002より受けた通信メッセージを認証処理部3302に通知する。また、通信部3301は、認証処理部3302より通知を受け、外部装置3002へと通信メッセージを送信する。
【0167】
認証処理部3302は、通信部3301を介して外部装置3002と通信し、外部装置3002の認証処理を行う。また、認証処理部3302は、認証処理に必要となる情報を、認証情報保持部1303より取得する。
【0168】
[3.3 外部装置3002側の通信ECU3400の構成図]
図24は、実施の形態3における外部装置3002側の通信ECU3400の構成の一例を示す図である。
図24は、実施の形態3における外部装置3002側の通信ECU3400の構成の一例を示す図である。
【0169】
通信ECU3400は、通信部3401と、認証処理部3402と、認証情報保持部1403と、証明書管理部3404と、から構成される。通信ECU3400は、自動運転システム3000における外部装置3002が備える認証装置の一例である。なお、実施の形態1と同様の構成は同一の番号を付与し、以降の説明を省略する。
【0170】
通信部3401は、車両3001との通信を実施する。例えば、通信部3401は、車両3001と有線で通信を行う。また、通信部3401は、外部装置3002内のECU1100e及びV2X通信ECU2500と、車載ネットワークを介して通信する。通信部3401は、車両3001及びサーバ2600より受けた通信メッセージを、認証処理部3402及び証明書管理部3404に通知する。また、通信部3401は、認証処理部3402及び証明書管理部3404より通知を受け、車両3001及びサーバ2600へと通信メッセージを送信する。
【0171】
認証処理部3402は、通信部3401を介して車両3001と通信し、車両3001の認証処理を行う。認証処理部3402は、車両3001の正当性を証明するための第一の証明書を用いて、車両3001を認証する認証部の一例である。また、認証処理部3402は、認証処理に必要となる情報を、認証情報保持部1403より取得する。また、認証処理部3402は、認証処理の結果を証明書管理部3404に通知する。
【0172】
証明書管理部3404は、認証処理部3402の認証の結果を用いて、第三の証明書を有効化する管理部の一例である。証明書管理部3404は、認証処理部3402から通知される認証結果を用いて、サーバ2600において発行された新たな自動運転レベルに対応した公開鍵証明書(第三の証明書)を通信部3401経由でサーバ2600から取得し、認証情報保持部1403に保存する。これにより、第三の証明書が認証情報保持部1403に登録され、外部装置3002側において当該第三の証明書が有効化される。また、証明書管理部3404は、通信部3401からの通信処理結果に基づいて、認証情報保持部1403の第三の証明書を削除する。これにより、認証情報保持部1403への第三の証明書の登録が解除され、外部装置3002側において有効化されていた第三の証明書が無効化される。
【0173】
[3.4 証明書を発行する際のシーケンスの一例]
次に、車両3001と外部装置3002との相互認証の後に行われる、サーバ2600による自動運転レベルに応じた第三の証明書の発行について、図25を用いて説明する。サーバ2600によって発行された第三の証明書は、外部装置3002内で保持されて有効化される。
次に、車両3001と外部装置3002との相互認証の後に行われる、サーバ2600による自動運転レベルに応じた第三の証明書の発行について、図25を用いて説明する。サーバ2600によって発行された第三の証明書は、外部装置3002内で保持されて有効化される。
【0174】
図25は、実施の形態3における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。
【0175】
外部装置3002は、登録されている車両IDを取得できるか否かを判定する(S3201)。外部装置3002は、登録されている車両IDがなければ、車両IDを取得できず(S3201でN)、認証処理が完了していないということなので、処理を終了する。ここでは、図8での認証処理が完了し、車両IDが登録されているとする。
【0176】
外部装置3002は、車両3001の車両IDを取得できた場合(S3201でY)、取得した車両IDを、外部装置3002の機器IDと、車両3001の公開鍵証明書(第一の証明書)と、外部装置3002の公開鍵証明書(第二の証明書)と共に、サーバ2600へ送信する。
【0177】
サーバ2600は、外部装置3002の機器ID、車両3001の車両ID及び2種類の公開鍵証明書を受信し、受信した2種類の公開鍵証明書の署名を検証する(S3202)。サーバ2600は、検証が成功しない場合(S3202でN)、外部装置3002へエラーを通知して処理を終了する。
【0178】
サーバ2600は、検証が成功した場合(S3202でY)、S3202にて受信した機器IDと車両IDとの組み合わせが、証明書テーブルに存在するかどうかを確認する(S3203)。サーバ2600は、受信した機器IDと車両IDとの組み合わせが証明書テーブルに存在しない場合(S3203でN)、外部装置3002へその旨を通知して、エラーとして処理を終了する。
【0179】
サーバ2600は、受信した機器IDと車両IDとの組み合わせが証明書テーブルに存在する場合(S3203でY)、取得した組み合わせに対応する第三の証明書を発行し、外部装置3002に送信する(S3204)。
【0180】
外部装置3002は、サーバ2600によって発行された第三の証明書を保存する(S3205)。例えば、外部装置3002の通信ECU3400における認証情報保持部1403に第三の証明書が保存され、これにより、外部装置3002側においても当該第三の証明書が有効化される。
【0181】
また、図示していないが、サーバ2600は、有効化された第三の証明書に対応する、車両3001と外部装置3002とを組み合わせたときの自動運転システム3000全体の自動運転レベルに関する情報を出力する。なお、外部装置3002(例えば通信部3401)が、有効化された第三の証明書に対応する、車両3001と外部装置3002とを組み合わせたときの自動運転システム3000全体の自動運転レベルに関する情報を出力してもよい。
【0182】
[3.5 証明書を無効化するシーケンスの一例]
次に、外部装置3002とサーバ2600とで保持する自動運転レベルに応じた第三の証明書の無効化について、図26を用いて説明する。
次に、外部装置3002とサーバ2600とで保持する自動運転レベルに応じた第三の証明書の無効化について、図26を用いて説明する。
【0183】
図26は、実施の形態3における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。
【0184】
外部装置3002は、車両3001との通信状態を監視する(S3301)。
【0185】
外部装置3002は、車両3001との通信状態に異常が発生しているか否かを判定する(S3302)。外部装置3002は、通信異常が発生していない場合は(S3302でN)、処理を終了する。
【0186】
外部装置3002は、通信異常が発生している場合は(S3302でY)、エラーカウンタをインクリメントする(S3303)。
【0187】
外部装置3002は、エラーカウンタが閾値以上かどうかを判定し(S3304)、エラーカウンタが閾値以上である場合は(S3304でY)、発行された公開鍵証明書(第三の証明書)をサーバ2600へ通知することで、当該第三の証明書をサーバ2600において無効化させるための無効化指示を行う。エラーカウンタが閾値を超えていない場合は(S3304でN)、S3302へ戻る。
【0188】
エラーカウンタが閾値以上である場合は(S3304でY)、外部装置3002及びサーバ2600は、それぞれが保持する当該第三の証明書を無効化する(S3305)。例えば、外部装置3002の通信ECU3400における証明書管理部3404は、認証情報保持部1403に保存されていた第三の証明書を削除することで、当該第三の証明書を無効化する。
【0189】
外部装置3002は、エラーカウンタをリセットする(S3306)。
【0190】
外部装置3002は、接続先の車両IDを削除する(S3307)。
【0191】
以上のように、実施の形態3では、自動運転システム3000は、サーバ2600を含み、第三の証明書は、機器認証が行われるときにサーバ2600から外部装置3002へ送付される。
【0192】
[3.6 実施の形態3の効果]
実施の形態3で示した自動運転システム3000では、車両3001の第一の証明書及び外部装置3002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が外部装置3002内で管理される。そして、車両3001と外部装置3002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両3001と外部装置3002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態3で示した自動運転システム3000では、車両3001の第一の証明書及び外部装置3002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が外部装置3002内で管理される。そして、車両3001と外部装置3002との通信結果に基づいて、第三の証明書の有効及び無効を切り替えることで、車両3001と外部装置3002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0193】
(実施の形態3の変形例)
実施の形態3で示した自動運転システム3000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両3001の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態3の変形例として説明する。なお、実施の形態3と同様の点については説明を省略する。
実施の形態3で示した自動運転システム3000では、第三の証明書の有効化又は無効化をいつでも行うことが可能であるが、車両3001の走行状態に応じて有効化又は無効化するタイミングが制御されてもよい。これについて、実施の形態3の変形例として説明する。なお、実施の形態3と同様の点については説明を省略する。
【0194】
[3.7 証明書を発行する際のシーケンスの一例]
図27は、実施の形態3の変形例における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。実施の形態3の変形例では、車両3001の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態3と同様のステップは、同一の番号を付与し、説明は省略する。
図27は、実施の形態3の変形例における公開鍵証明書(第三の証明書)を発行する動作の一例を示すシーケンス図である。実施の形態3の変形例では、車両3001の走行状態が特定の条件を満たす場合に、第三の証明書が発行される。なお、実施の形態3と同様のステップは、同一の番号を付与し、説明は省略する。
【0195】
例えば、特定の条件を満たす車両3001の走行状態は、停車中であり、外部装置3002は、第三の証明書を有効化する処理を開始する前に、車両3001の走行状態が停車中であるか否かを判定する(S3206)。外部装置3002は、車両3001が停車中でない場合(S3206でN)、第三の証明書を有効化するための処理を開始せず、処理を終了する。外部装置3002は、車両3001が停車中である場合に(S3206でY)、第三の証明書を有効化するための処理を開始する。
【0196】
[3.8 証明書を無効化するシーケンスの一例]
図28は、実施の形態3の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。実施の形態3の変形例では、車両3001の走行状態が特定の条件を満たす場合に、車両3001及び外部装置3002の状態(例えば通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態3と同様のステップは、同一の番号を付与し、説明は省略する。
図28は、実施の形態3の変形例における公開鍵証明書(第三の証明書)を無効化する動作の一例を示すシーケンス図である。実施の形態3の変形例では、車両3001の走行状態が特定の条件を満たす場合に、車両3001及び外部装置3002の状態(例えば通信状態)が監視され、通信状態に応じて第三の証明書が無効化される。なお、実施の形態3と同様のステップは、同一の番号を付与し、説明は省略する。
【0197】
外部装置3002は、車両3001の走行状態が停車中であるか否かを判定する(S3308)。外部装置3002は、車両3001が停車中でない場合(S3308でN)、第三の証明書の無効化処理を中断して終了し、車両3001が停車中である場合には(S3308でY)、通信状態を監視し(S3301)、無効化処理を継続する。
【0198】
[3.9 実施の形態3の変形例の効果]
実施の形態3で示した自動運転システム3000では、車両3001の第一の証明書及び外部装置3002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が外部装置3002内で管理される。そして、車両3001と外部装置3002との通信結果に加えて車両3001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両3001と外部装置3002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
実施の形態3で示した自動運転システム3000では、車両3001の第一の証明書及び外部装置3002の第二の証明書とは別の第三の証明書が、サーバ2600により発行され、発行された第三の証明書が外部装置3002内で管理される。そして、車両3001と外部装置3002との通信結果に加えて車両3001の走行状態に基づいて、第三の証明書の有効及び無効を切り替えることで、車両3001と外部装置3002とが一体となって動作する際の適切な自動運転レベルを判断でき、安全性を担保することが可能となる。
【0199】
(その他の変形例)
なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。
なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。
【0200】
(1)上記の実施の形態では、車載ネットワークとしてEthernet、CANプロトコルが用いられていたが、これに限るものではない。例えば、車載ネットワークとしてCAN-FD(CAN with Frexible Data Rate)、LIN(Local Interconnect Network)又はMOST(登録商標)(Media Oriented Systems Transport)などが用いられてもよい。あるいは、車載ネットワークは、これらのネットワークをサブネットワークとして組み合わせたネットワーク構成であってもよい。
【0201】
(2)上記実施の形態では、いずれの形態においても新たに有効化された第三の証明書を、車両側あるいは外部装置側のいずれかで管理する構成の例となっているが、この例には限定されない。車両側及び外部装置側の双方共同じ第三の証明書を持つこととしても良いし、車両側あるいは外部装置側で持つ証明書の種類を用途に応じて分けても良い。
【0202】
(3)上記実施の形態では、車両と外部装置との通信を担当する通信ECUに、認証処理及び証明書の管理を行う証明書管理部が含まれる例を記載しているが、この構成には限定されない。証明書管理部は、別途、証明書管理の専用ECUに含まれていても良いし、自動運転ECU又はその他のECUに含まれるとしても良い。更に、上記実施の形態2及び3では、V2X通信ECUに証明書管理部が含まれるとしてもよい。
【0203】
(4)上記実施の形態では、通信ECUが異常を判定するとなっているが、この構成に限定されない。別ECUへ通信内容をミラーリングし、別ECUが異常を判定するとしても良い。また、別ECUは通信ECUと物理的に別であっても良いし、論理的に別であってもよい。例えば、セントラルゲートウェイ、ゾーンECU又はドメインコントローラと呼ばれるような多機能ECU上に仮想環境を構築し、その一つの仮想オペレーティングシステム(以下、OS)上に通信状態をモニタリングするようなアプリケーションが設けられても良い。また、通信ECU上に同様の仮想環境を構築し、通信を担当するOSとは別のOSから通信状態をモニタリングするとしてもよい。
【0204】
(5)上記実施の形態では、車両及び外部装置の状態として車両と外部装置との通信状態を実施例としているが、これに限定されない。例えば実施の形態3において、外部装置自体の故障が発生した場合に自らそれを検知し、車両又はサーバに通知するとしても良い。
【0205】
(6)上記実施の形態2及び3では、サーバが新規に公開鍵証明書(第三の証明書)を発行する認証局の役割を担っているが、この構成には限定されない。例えば、サーバは、予め別の認証局によって発行された証明書を事前に取得して、保管しておき、タイミングに合わせて車両又は外部装置に送付するだけでも良い。
【0206】
(7)上記実施の形態では、証明書テーブルを用いて、車両と外部装置との組み合わせが判断され、自動運転レベルが判定されるが、予め証明書内に組み合わせ後の自動運転システム全体の自動運転レベルが組み込まれていても良い。つまり、証明書テーブルに類するような情報が、既に証明書に組み込まれており、証明書テーブルを参照することなく、自動運転システム全体の自動運転レベルを判断できるとしても良い。
【0207】
(8)上記実施の形態の変形例では、車両の走行状態が判定されるが、これは特定のECUが判定し、他のECUは車載ネットワークを介して走行状態を取得するとしても良いし、各ECUが独自に走行状態を判定するとしても良い。また走行中、停車中又は駐車中といった走行状態以外にもアクセサリーON、イグニッションON、低速走行中又は高速走行中などの状態を判定するとしても良い。
【0208】
(9)上記実施の形態の変形例では、停車中にのみ第三の証明書を有効化する例を示しているが、これには限定されない。例えば、駐車中又は走行中など、停車中とは別の特定の走行状態でのみ有効化を行うとしても良いし、駐車中でもイグニッションONの状態以外の状態でのみ有効化を許可するとしても良い。また、走行中から停車中、停車中から駐車中など、走行状態の変化のタイミングで有効化を実施するとしても良い。
【0209】
(10)上記実施の形態の変形例では、停車中にのみ第三の証明書を無効化する例を示しているが、これには限定されない。例えば、駐車中又は走行中など、停車中とは別の特定の走行状態でのみ無効化を行うとしても良い。また、停車中から走行中、低速走行中から高速走行中など、走行状態の変化のタイミングで無効化を実施するとしても良い。
【0210】
(11)上記実施の形態の変形例では、通信結果に基づいて、第三の証明書を無効化、すなわち、自動運転レベルを変更しているが、変更のタイミングで運転者にその旨を通知するとしても良い。インフォテイメントシステム又は速度を示すメータなど、表示装置を持つECUへ通知をして、変更のタイミングで運転者に向けたポップアップ表示若しくはアイコンを出す、又は、これらを消す若しくは変更するなどしても良い。
【0211】
(12)上記の実施の形態における各装置及びシステムは、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード及びマウスなどから構成されるコンピュータシステムである。RAM又はハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置及びシステムは、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
【0212】
(13)上記の実施の形態における各装置及びシステムは、構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM及びRAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0213】
また、上記の各装置及びシステムを構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
【0214】
また、システムLSIは、集積度の違いにより、IC、LSI、スーパーLSI又はウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
【0215】
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
【0216】
(14)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカード又はモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
【0217】
(15)本開示は、認証方法であるとしてもよい。
【0218】
例えば、認証方法は、車両と、車両と通信し、車両が自動走行を実施するための機能を提供する外部装置と、を含む自動運転システムにおける方法である。車両は、車両の正当性を証明するための第一の証明書を保持し、外部装置は、外部装置の正当性を証明するための第二の証明書を保持する。認証方法は、コンピュータにより実行され、第一の証明書と第二の証明書とを用いた、車両と外部装置との機器認証の結果に基づいて、車両と外部装置との組み合わせの正当性を証明するための第三の証明書を有効化する処理(例えば、図9のS1201からS1203)を含む。
【0219】
また、本開示は、認証方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0220】
また、本開示は、コンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)又は半導体メモリなどに記録したものとして実現されてもよい。また、本開示は、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
【0221】
また、本開示は、コンピュータプログラム又はデジタル信号を、電気通信回線、無線若しくは有線通信回線、インターネットを代表とするネットワーク又はデータ放送等を経由して伝送するものとしてもよい。
【0222】
また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
【0223】
また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムがプログラム若しくはデジタル信号を実施するとしてもよい。
【0224】
(16)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0225】
本開示は、車両と、車両と通信し、車両が自動走行を実施するための機能を提供する外部装置とを含む自動運転システムに適用できる。
【符号の説明】
【0226】
1000、2000、3000 自動運転システム
1001、2001、3001 車両
1002、3002 外部装置
1010 カメラ
1011 ブレーキ
1012 ハンドル
1013 アクセル
1014 Lidar
1100a、1100b、1100c、1100d、1100e ECU
1101、1201、1301、1401、2301、2501、2601、3301、3401 通信部
1102、2502 メッセージ変換部
1200 自動運転ECU
1202 判断部
1203 自動運転レベル管理部
1300、1400、2300、3300、3400 通信ECU
1302、1402、2602、3302、3402 認証処理部
1303、1403、2603 認証情報保持部
1304、2304、2604、3404 証明書管理部
1305、2605 証明書保持部
2500 V2X通信ECU
2600 サーバ
1001、2001、3001 車両
1002、3002 外部装置
1010 カメラ
1011 ブレーキ
1012 ハンドル
1013 アクセル
1014 Lidar
1100a、1100b、1100c、1100d、1100e ECU
1101、1201、1301、1401、2301、2501、2601、3301、3401 通信部
1102、2502 メッセージ変換部
1200 自動運転ECU
1202 判断部
1203 自動運転レベル管理部
1300、1400、2300、3300、3400 通信ECU
1302、1402、2602、3302、3402 認証処理部
1303、1403、2603 認証情報保持部
1304、2304、2604、3404 証明書管理部
1305、2605 証明書保持部
2500 V2X通信ECU
2600 サーバ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】