知財求人 - 知財ポータルサイト「IP Force」
特許7547714ゲストアプリケーションのためのセキュアオープンプラットフォームを提供する自動車ゲートウェイ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-02
(45)【発行日】2024-09-10
(54)【発明の名称】ゲストアプリケーションのためのセキュアオープンプラットフォームを提供する自動車ゲートウェイ
(51)【国際特許分類】
H04L 12/46 20060101AFI20240903BHJP
B60R 16/023 20060101ALI20240903BHJP
G06F 21/57 20130101ALI20240903BHJP
【FI】
H04L12/46 E
B60R16/023 P
G06F21/57
【請求項の数】
20
(21)【出願番号】P 2022518662
(86)(22)【出願日】2020-11-12
(65)【公表番号】
(43)【公表日】2023-01-26
(86)【国際出願番号】 IB2020060650
(87)【国際公開番号】W WO2021094967
(87)【国際公開日】2021-05-20
【審査請求日】2023-06-09
(31)【優先権主張番号】62/936,232
(32)【優先日】2019-11-15
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520078248
【氏名又は名称】マーベル アジア ピーティーイー、リミテッド
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】ミズラヒ、ノーム
【審査官】長谷川 未貴
(56)【参考文献】
【文献】特開2016-163348(JP,A)
【文献】特開2019-159661(JP,A)
【文献】米国特許出願公開第2017/0093866(US,A1)
【文献】特開2010-098626(JP,A)
【文献】特開2018-181344(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00
B60R 16/00
G06F 21/00
(57)【特許請求の範囲】
【請求項1】
車両の電子サブシステムと通信するための1または複数のインタフェースと、1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備え、
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている自動車ゲートウェイ。
【請求項2】
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備え、
前記1または複数のプロセッサが、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にするように構成されている自動車ゲートウェイ。
【請求項3】
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備え、
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記電子サブシステムをランサムウェアから保護するように構成されている自動車ゲートウェイ。
【請求項4】
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備え、
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている自動車ゲートウェイ。
【請求項5】
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている、請求項2から4のいずれか一項に記載の自動車ゲートウェイ。
【請求項6】
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている、請求項1から5のいずれか一項に記載の自動車ゲートウェイ。
【請求項7】
前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記1または複数のプロセッサが、前記要求を拒否するように構成されている、請求項6に記載の自動車ゲートウェイ。
【請求項8】
前記ゲストアプリケーションが、仮想マシン(VM)を有し、前記1または複数のプロセッサが、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行するように構成されている、請求項1から5のいずれか一項に記載の自動車ゲートウェイ。
【請求項9】
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の外からダウンロードされたデータを認証するように構成されている、請求項1から5のいずれか一項に記載の自動車ゲートウェイ。
【請求項10】
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止するように構成されている、請求項1から5のいずれか一項に記載の自動車ゲートウェイ。
【請求項11】
車両におけるデータ処理のための方法であって、前記方法が、車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備え、
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、方法。
【請求項12】
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備え、
前記通信トラフィックを制御する段階が、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にする段階を有する、方法。
【請求項13】
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備え、
前記通信トラフィックを制御する段階が、前記電子サブシステムをランサムウェアから保護する段階を有する、方法。
【請求項14】
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備え、
前記通信トラフィックを制御する段階が、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止する段階を有する、方法。
【請求項15】
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、請求項12から14のいずれか一項に記載の方法。
【請求項16】
前記通信トラフィックを制御する段階が、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否する段階を有する、請求項11から15のいずれか一項に記載の方法。
【請求項17】
前記通信トラフィックを制御する段階が、前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記要求を拒否する段階を有する、請求項16に記載の方法。
【請求項18】
前記ゲストアプリケーションをホストする段階が、仮想マシン(VM)を前記自動車ゲートウェイ上で実行する段階を有し、前記通信トラフィックを制御する段階が、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行する段階を有する、請求項11から15のいずれか一項に記載の方法。
【請求項19】
前記通信トラフィックを制御する段階が、前記車両の外からダウンロードされたデータを認証する段階を有する、請求項11から15のいずれか一項に記載の方法。
【請求項20】
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可する段階と、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止する段階とを有する、請求項11から15のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本出願は、2019年11月15日に出願された米国仮特許出願第62/936,232号の利益を主張し、その開示を参照により本明細書に組み込む。
本出願は、2019年11月15日に出願された米国仮特許出願第62/936,232号の利益を主張し、その開示を参照により本明細書に組み込む。
【0002】
本開示は概して、自動車ネットワークに関し、特に自動車ネットワークにおけるセキュアゲートウェイに関する。
【背景技術】
【0003】
近代的車両、特に自動車両は、多種多様なセンサおよび電子システムを備える。これらのコンポーネントのいくつか、例えば、車両ステアリングおよびブレーキを制御する電子制御ユニット(ECU)は、運転者の安全に対して大きな影響を与える。他のコンポーネント、例えば、車両のインフォテインメントシステムは、安全に対する影響はより小さい。
【0004】
上記の説明は、この分野の関連技術についての一般的な概要として示されており、含まれる情報のいずれかが本特許出願に対する先行技術を構成することを認めるものと解釈されるべきではない。
【発明の概要】
【0005】
本明細書で説明する一実施形態は、1または複数のインタフェースおよび1または複数のプロセッサを含む自動車ゲートウェイを提供する。1または複数のインタフェースは、車両の電子サブシステムと通信するように構成されている。1または複数のプロセッサは、1または複数のゲストアプリケーションをホストし、セキュリティポリシーに従って、1または複数のゲストアプリケーションと車両の電子サブシステムとの間の通信トラフィックを制御するように構成されている。
【0006】
一実施形態では、セキュリティポリシーに従って、1または複数のプロセッサは、車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている。別の実施形態では、セキュリティポリシーに従って、1または複数のプロセッサが、ゲストアプリケーションからの、車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている。一例示的な実施形態では、要求、または電子サブシステムが車両の安全性に影響を与える場合、1または複数のプロセッサが、要求を拒否するように構成されている。
【0007】
開示する実施形態では、ゲストアプリケーションが、仮想マシン(VM)を有し、1または複数のプロセッサが、セキュリティポリシーに従って、VMの通信トラフィックを制御するハイパーバイザを実行するように構成されている。別の実施形態では、1または複数のプロセッサが、セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、ゲストアプリケーションにアクセス可能にするように構成されている。
【0008】
一実施形態では、セキュリティポリシーに従って、1または複数のプロセッサが、車両の外からダウンロードされたデータを認証するように構成されている。別の実施形態では、セキュリティポリシーに従って、1または複数のプロセッサが、車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、ゲストアプリケーションから電子サブシステムへのデータフローを防止するように構成されている。さらに別の実施形態では、セキュリティポリシーに従って、1または複数のプロセッサが、電子サブシステムをランサムウェアから保護するように構成されている。さらに別の実施形態では、セキュリティポリシーに従って、1または複数のプロセッサが、ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている。
【0009】
本明細書で説明する一実施形態によれば、車両におけるデータ処理のための方法がさらに提供される。方法は、車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、自動車ゲートウェイが、セキュリティポリシーに従って、1または複数のゲストアプリケーションと車両の電子サブシステムとの間の通信トラフィックを制御する段階とを備える。
【0010】
本開示は、図面と照らし合わせると、本開示の実施形態に関する以下の詳細な説明から、より十分に理解されるであろう。
【図面の簡単な説明】
【0011】
【図1】本明細書で説明する一実施形態による、セキュアゲートウェイを備える自動車データ処理システムを概略的に示すブロック図である。
【0012】
【0013】
【0014】
【発明を実施するための形態】
【0015】
本明細書で説明する実施形態は、制御された安全でセキュアなやり方で、車両の自動車データ処理システムにおいてゲストアプリケーションを実行することを可能にする方法およびシステムを提供する。本文脈では、「ゲストアプリケーション」という用語(本明細書では、短くするために「アプリ」とも呼ぶ)は、車両のデータ処理システムにおいて実行されるソフトウェアプログラムの任意のタイプを含む。
【0016】
いくつかのゲストアプリケーションは、システム機能を提供してもよい。他のゲストアプリケーションは、車両製造業者によって提供されてもよく、例えば、車両の引き渡し前にインストールされてもよい。そのようなアプリケーションの例は、ナビゲーションアプリ、ラジオアプリ、燃料消費をトラッキングして表示するアプリ等を含む。製造業者提供のゲストアプリケーションの他の例は、運転者を識別し、特定の車両特性(例えば、椅子の位置、インフォテインメントの好み等)をその人の好みに適合させるパーソナライズされたアプリである。
【0017】
さらに他のゲストアプリケーションは、第3者によって提供されてもよく、例えば車両所有者によってダウンロードされインストールされてもよい。そのようなアプリの一例は、例えば、車両カメラによって生成されたビデオを処理し、ドローンによって画像化されているかのように、車両およびその周囲の合成された外部の視点を表示する、「バードアイビュー」アプリを含んでもよい。そのような視点は、運転者に表示されてもよく、および/または適切な仮想現実アプリケーションのために使用されてもよい。
【0018】
ゲストアプリケーションは、典型的には車両のセンサおよび/または電子システムとインタラクションする。インタラクションのいくつかの形態は、単にセンサによって生成されるデータの使用することに等しい。インタラクションの他の形態は、より介入的であり、例えば、車両システムに対して何らかの制御を伴う。車両システムとのインタラクションの形態および範囲に応じて、ゲストアプリケーションは、車両および運転者を、安全上の問題、セキュリティの脅威、および他の望ましくない事象にさらし得る。例えば、車両のブレーキ、エンジン、またはステアリングに干渉するゲストアプリは、運転者の安全に対して大きな影響を与え得る。
【0019】
その一方で、ゲストアプリケーションをインストールして実行するためのオープンインタフェースは、車両所有者のユーザ体験を大幅に強化する、きわめて望ましい特徴である。例えば、そのようなオープンインタフェースがあると、車製造業者は、車両所有者がゲストアプリケーションを車両所有者の車にダウンロードし得る、「アプリストア」を市場に出し得る。
【0020】
本明細書で説明する実施形態は、安全およびセキュリティを損なうことなく、ゲストアプリケーションの車両の電子サブシステムとのインタラクションを監視して制御する自動車ゲートウェイを使用するそのようなオープンインタフェースを提供する。本文脈では、「電子サブシステム」という用語は、センサ(例えば、カメラ、レーダー、LiDAR、環境センサ等)および電子システム(例えば、電子制御ユニット(ECU)、先進運転支援システム(ADAS)28、インフォテインメントシステム、テレマティックスシステム等)の両方を指す。
【0021】
典型的には、車両の様々な電子サブシステムは、パケット網、例えばイーサネット(登録商標)ネットワークに接続されている。いくつかのサブシステムは、ネットワークに直接接続してもよい。他のサブシステム、例えばセンサは、ECUのような電子システムを介してネットワークに接続してもよい。その上、いくつかの実装形態では、車両のデータ処理システムは、ネットワークに接続された中央セキュア自動車ゲートウェイ(本明細書では、短くするために単に「ゲートウェイ」とも呼ぶ)を備える。ゲートウェイは、1または複数のゲストアプリケーションをホストし、定義されたセキュリティポリシーに従って、1または複数のゲストアプリケーションと車両の電子サブシステムとの間の通信トラフィックを制御するように構成されている。
【0022】
ゲートウェイは、ゲートウェイの様々な処理タスクを実行するように構成されている、適切なファブリックによって相互接続された、1または複数のプロセッサ、例えば、複数の中央処理装置(CPU)のクラスタを備える。ゲストアプリは、仮想マシン(VM)、コンテナ、オペレーションシステムプロセスとして、または任意の他の適切な形態で、実装されホストされてもよい。
【0023】
いくつかの実施形態では、ゲストアプリケーションはVMとして実装される。ゲートウェイは、リソース(例えば、処理リソース、メモリリソース、ストレージリソース、および/またはネットワークリソース)をVMに割り当てる、ハイパーバイザとも呼ぶ、仮想ソフトウェア層をさらに実行する。他のタスクのうちとりわけ、ハイパーバイザは、ゲストアプリケーションと車両のサブシステムとの間の許可および/または禁止されたインタラクションを指定するセキュリティポリシーに実効性を持たせる。ハイパーバイザは典型的には、ゲストアプリケーションと車両のサブシステムとの間の通信トラフィックを監視し、セキュリティポリシーに従って、通信トラフィックを制御する。例えば、ハイパーバイザは、特定のサブシステム、例えばセンサからデータを受信するゲストアプリケーションからの要求を承認または拒否してもよい。他の例として、ハイパーバイザは、ゲストアプリケーションからの要求を承認または拒否して、特定のサブシステムを制御してもよい。
【0024】
セキュリティポリシーは典型的には、車両製造業者によって指定される。そのようなポリシーを適切に指定し、実効性を持たせることで、ゲートウェイは、ゲストアプリケーションのための柔軟なアプリケーションプログラミングインタフェース(API)を提供することができ、同時に、運転者の安全およびセキュリティの高い基準を維持する。セキュリティポリシーのいくつかの例示的な例を以下で示す。
【0025】
図1は、本明細書で説明する一実施形態による、自動車データ処理システム20を概略的に示すブロック図である。システム20は、車両内に配置され、様々なセンサ24、複数の電子制御ユニット(ECU)32、先進運転支援システム(ADAS)28、インフォテインメントシステム30、および中央コンピュータ34を備える。
【0026】
様々な実施形態では、センサ24は、例えば、ビデオカメラ、速度センサ、加速度計、音声センサ、赤外線センサ、レーダーセンサ、LiDARセンサ、超音波センサ、レンジファインダ、もしくは他の近接センサ、または任意の他の適切なセンサタイプを含んでもよい。本例では、各ECU32(場合によっては、「ゾーンECU」とも呼ぶ)は、車両のそれぞれのゾーンに設置されたセンサに接続されている。各ECU32は典型的には、そのそれぞれのセンサ24を制御し、センサからデータを収集する。
【0027】
前述のように、様々なセンサ24および様々な電子システム(例えば、ECU32、ADAS28、インフォテインメントシステム30、および中央コンピュータ34)を「電子サブシステム」または「サブシステム」と総称する。
【0028】
いくつかの実施形態では、システム20の様々な電子サブシステムは、車両にインストールされたパケット網を通じて通信する。本例では、ネットワークは、イーサネット(登録商標)ネットワークを有するが、他の適切なプロトコルも使用され得る。ネットワークは、複数のイーサネット(登録商標)リンク36、および1または複数のイーサネット(登録商標)スイッチ40を有する。様々な実施形態では、ネットワークにおいて使用されるビットレートは、IEEE802.3chに従って10Gビット/秒(10Gbps)であってもよく、IEEE802.3bwに従って100Mbpsであってもよく、IEEE802.3cg(10Base-T1s)に従って10Mbpsであってもよく、または任意の他の適切なビットレートであってもよい。リンク36は、例えば、ツイストペア銅線リンク、またはイーサネット(登録商標)通信のために適切な任意の他のタイプのリンクを含んでもよい。
【0029】
図1の例では、システム20は、1または複数のゲストアプリケーション48をホストするように構成されている自動車ゲートウェイ44をさらに備える。一実施形態では、ゲートウェイ44は、1または複数のCPU52、例えば適切な相互接続ファブリックによって相互接続された複数のCPUのクラスタを備える。以下の説明は、単に分かりやすくするために、単一のCPUに言及する。ゲートウェイ44は、車両のパケット網に接続するためのネットワークインタフェースコントローラ(NIC)56をさらに備える。NIC56は典型的には、リンク36を介して、スイッチ40のうちの1つのポートに接続する。
【0030】
さらに、ゲートウェイ44は、定義されたセキュリティポリシー60を格納する、適切なメモリまたは記憶デバイスを備える。他のタスクのうちとりわけ、CPU52は、ゲストアプリケーション48と車両の様々なサブシステムとの間の通信トラフィックを監視し、ポリシーに応じて、ゲストアプリケーション48と車両サブシステムとの間のインタラクションを承認または拒否するように構成されている。
【0031】
図2は、本明細書で説明する一実施形態による、図1の自動車データ処理システム20の例示的な構成を概略的に示すブロック図である。前述のように、本実施形態では、システムは、「安全性が保証されているドメイン」および「安全性が保証されていないドメイン」に論理的にパーティション化されている。ゲートウェイ44は、セキュリティポリシー60に従って、2つのドメインの間の通信トラフィックを制御する。
【0032】
本例では、安全性が保証されているドメインは、安全に大きな影響を与えるとみなされるサブシステム70、例えば、ADASホスト、カメラ、レーダー、LiDAR、および安全に大きな影響を与える他の適切なサブシステムを有する。一実装形態では、サブシステム70は、ゾーンのイーサネットスイッチ74を介してゲートウェイ44に接続する。安全性が保証されていないドメインは、機械関連サブシステム78(例えば、イグニッションキー、椅子、ライト、イモビライザ等に関連するもの)、テレマティックスシステム82、およびインフォテインメントシステム86のような、安全に対する影響がより小さいとみなされるサブシステムを有する。いくつかのサブシステム、例えば機械関連サブシステム78は、それらの専有プロトコルまたは信号をイーサネットフレームに変換するコンバータ(図では「XからEthへ」と示す)を使用して、ネットワークに接続してもよい。他のサブシステム、例えばテレマティックスシステム82およびインフォテインメントシステム86は、それぞれのNICを介してネットワークに接続してもよい。一実施形態では、安全性が保証されていないドメインのサブシステムは、イーサネットスイッチ90を介してゲートウェイ44に接続する。代替的な実施形態では、スイッチ90は省略されてもよい。
【0033】
図3は、本明細書で説明する一実施形態による、中央自動車ゲートウェイ44の例示的な構成を概略的に示すブロック図である。本例では、ゲートウェイ44のCPU52は、それぞれのゲストアプリケーションを実行する複数のVMをホストするハイパーバイザ91を実行する。VMは、例えば、システム機能ゲストアプリを実行するVM92、製造業者がインストールしたゲストアプリを実行するVM94、および第3者ゲストアプリを実行するVM96を含む。典型的には、VMのの各々は、単一のゲストアプリを実行する。VMは、ゲストアプリが起動された場合、ハイパーバイザ91によって生成され、ゲストアプリが閉じられた場合、解体される。
【0034】
本実施形態では、VMは、安全性が保証されていないドメインに属しているとみなされる。ハイパーバイザ91は、その一方で、安全性が保証されているドメインに属しているとみなされる。他のタスクのうちとりわけ、ハイパーバイザ91は、セキュリティポリシー60に従って、VMと車両サブシステム(本図には不図示、上の図2に図示)との間の通信トラフィックの転送を制御することによって、安全性が保証されているドメインと安全性が保証されていないドメインとの間のデータの転送を制御する。一実施形態では、ハイパーバイザ91は、安全性が保証されているドメインに属するサブシステムについてのみ通信トラフィックを制御し、安全性が保証されていないドメインに属するサブシステムについては無条件のトラフィックフローを許可する。
【0035】
典型的には、ハイパーバイザ91およびポリシー60は、車両製造業者によって完全に制御されており、他の当事者へアクセス可能ではない。いくつかの実施形態では、ハイパーバイザ91、ポリシー60、および/または、ゲートウェイ44のオペレーティングシステム全体は時折、例えば、適切な移動体接続、ブルートゥース(登録商標)接続、もしくはWiFi接続のような無線接続を通じて、またはサービスステーションもしくはドッキングステーションで見つけ得るような有線接続を通じて、車製造業者によって更新され得る。
【0036】
様々な実施形態では、セキュリティポリシー60は、様々な種類のポリシーを有してもよい。セキュリティポリシーは、データセキュリティを提供し、および/または運転者の安全を保護してもよい。ポリシー60として使用され得る、ポリシーのいくつかの限定的でない例は、以下を含む。
・ 車両における格納のために車両の外からダウンロードされたデータの真正性および信用性を検証するポリシー。そのようなデータの1つの例は、駆動中に車両にゲストアプリによってダウンロードされた地図である。外部データソース(例えば、クラウドアプリケーション)は、信頼されていないドメインとみなされる一方、車両ストレージは、信頼されているドメインとみなされる。いくつかの実施形態では、車両における格納のためにデータを転送する前に、セキュリティポリシー60は、ゲートウェイ44に命令して、例えばいくつかの暗号認証スキームを使用して、ゲストアプリによってダウンロードされているデータのストリームを認証させる。
・ 安全性が保証されているドメインから安全性が保証されていないドメインへのデータフローは許可するが、反対方向のデータフローは許可しないポリシー。例えば、ポリシー60は、ゲストアプリがADAS28から運転者へのカメラストリームを提示することは許可し得るが、カメラを制御することは許可し得ない。
・ ランサムウェア、例えば特定の駆動サブシステムを乗っ取るマルウェアから車両システムを保護するポリシー。
・ ゲストアプリ同士の間のデータセグリゲーションを提供、すなわちデータプライバシの理由のために、ゲストアプリ同士の間のデータ共有を防止するポリシー。
・ 車両における格納のために車両の外からダウンロードされたデータの真正性および信用性を検証するポリシー。そのようなデータの1つの例は、駆動中に車両にゲストアプリによってダウンロードされた地図である。外部データソース(例えば、クラウドアプリケーション)は、信頼されていないドメインとみなされる一方、車両ストレージは、信頼されているドメインとみなされる。いくつかの実施形態では、車両における格納のためにデータを転送する前に、セキュリティポリシー60は、ゲートウェイ44に命令して、例えばいくつかの暗号認証スキームを使用して、ゲストアプリによってダウンロードされているデータのストリームを認証させる。
・ 安全性が保証されているドメインから安全性が保証されていないドメインへのデータフローは許可するが、反対方向のデータフローは許可しないポリシー。例えば、ポリシー60は、ゲストアプリがADAS28から運転者へのカメラストリームを提示することは許可し得るが、カメラを制御することは許可し得ない。
・ ランサムウェア、例えば特定の駆動サブシステムを乗っ取るマルウェアから車両システムを保護するポリシー。
・ ゲストアプリ同士の間のデータセグリゲーションを提供、すなわちデータプライバシの理由のために、ゲストアプリ同士の間のデータ共有を防止するポリシー。
【0037】
追加的にまたは代替的に、任意の他の適切なタイプのセキュリティポリシーが、使用され得る。
【0038】
図1~図3に示す自動車データ処理システムの構成、およびゲートウェイ44のようなこれらのコンポーネントは、単に分かりやすくするために示す例示的構成である。代替的な実施形態では、任意の他の適切な構成が使用され得る。例えば、本明細書で説明する実施形態は、単一の集中型ゲートウェイ44に主に言及する。代替的な実施形態では、ゲートウェイ44の機能は、任意の適切なやり方で、2つ以上のゲートウェイの間で分散され得る。例えば、各ゲートウェイは、ゲストアプリのそれぞれのサブセットにサービスを提供してもよい。セキュリティポリシー60は、様々なゲートウェイに分散されてもよく、または集中型記憶デバイスに格納され、様々なゲートウェイによってアクセスされてもよい。
【0039】
別の例として、システム20は、任意の他の適切なスキームで配置され接続された、他の適切なタイプの電子サブシステムおよび/またはデバイスを備えてもよい。別の例として、(リンク36およびスイッチ40を含む)パケット網は、任意の他の適切なトポロジを有してもよい。別の例として、ゲートウェイ44は、イーサネットネットワークの代わりに、またはそれに加えて、他の適切なインタフェースを使用して、車両のサブシステムと通信してもよい。そのようなインタフェースは、例えば、Peripheral Component Interconnect express(PCIe)、コントローラエリアネットワーク(CAN)バス、または任意の他の適切なインタフェースまたはプロトコルを含んでもよい。いくつかの実施形態では、ゲートウェイ44は、アクセラレータのような追加のコンポーネントを備えてもよい。
【0040】
システム20およびそのコンポーネントの異なる要素、例えばゲートウェイ44は、例えば、1または複数の特定用途向け集積回路(ASIC)および/または1または複数のフィールドプログラマブルゲートアレイ(FPGA)において、ハードワイヤードロジックまたはプログラマブルロジックを使用しての場合のように、専用のハードウェアまたはファームウェアを使用して、実装されてもよい。追加的にまたは代替的に、システム20の、例えばゲートウェイ44の、コンポーネントのいくつかの機能は、ソフトウェアにおいて実装されてもよく、および/またはハードウェア要素およびソフトウェア要素の組み合わせを使用して実装されてもよい。開示された技術の理解のために必須ではない要素は、分かりやすくするために図から省略されている。
【0041】
いくつかの実施形態では、CPU52は、ソフトウェアでプログラムされて本明細書で説明する機能を実行する、1または複数のプログラマブルプロセッサ、例えばプロセッサのクラスタを有する。ソフトウェアは、例えば、ネットワークを通じて、電子形態でこれらのプロセッサのいずれかにダウンロードされてもよく、または、代替的にまたは追加的に、磁気メモリ、光学メモリ、または電子メモリのような非一時的有形媒体上で提供および/または格納されてもよい。
【0042】
図4は、本明細書で説明する一実施形態による、図1の自動車データ処理システムにおいてセキュリティを維持する方法を概略的に示すフローチャートである。方法は、要求受信動作100において、ゲートウェイ44のハイパーバイザ91が、ゲストアプリケーション(例えば、VMにおいて実行されるゲストアプリ)からの要求を受信することに伴って、開始する。いくつかの実施形態では、ゲストアプリは、車両の特定のサブシステムから、例えばセンサからデータを受信するように要求する。別の実施形態では、ゲストアプリは、車両の特定のサブシステムを制御するように要求する。
【0043】
ポリシーチェック動作において、ハイパーバイザ91は、要求がセキュリティポリシー60に準拠しているか否かをチェックする。準拠していると、ハイパーバイザ91は、許可動作108において、要求を承認する。この場合、ゲストアプリと車両サブシステムとの間で通信転送は、続行することが許可される。準拠していないと、ハイパーバイザ91は、拒否動作112において要求を拒否し、ゲストアプリと車両サブシステムとの間の通信転送はブロックされる。
【0044】
いくつかの場合では、ゲストアプリと車両サブシステムとの間の通信トラフィックの少なくとも一部は、暗号化される。したがって、いくつかの実施形態では、ゲートウェイ44は、通信トラフィックを監視するために、それを復号するように構成されている。追加的にまたは代替的に、ゲートウェイ44は、車両サブシステムへのアクセスを承認する前に、通信トラフィック、例えば要求、または通信トラフィックのソースを認証してもよい。
【0045】
前述の実施形態は例として挙げられていることと、本発明は上記に具体的に示され説明されたものに限定されないこととに留意されたい。むしろ、本発明の範囲は、上記において説明された様々な特徴の組み合わせおよびサブコンビネーションの両方、ならびに前述の説明を読むと当業者が思いつく、先行技術に開示されていない、これらの変形および修正を含む。いずれかの用語が、本明細書において明示的または黙示的に行われた定義と矛盾するように、これらの組み込まれた文書において定義された範囲においては、本明細書においての定義のみが考慮されるべきであることを除き、本特許出願において参照により組み込まれた文書は、出願の一体となっている一部としてみなされるべきである。
(他の可能な項目)
(項目1)
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、セキュリティポリシーに従って、前記1または複数のゲストアプリケーションと前記車両の前記電子サブシステムとの間の通信トラフィックを制御するように構成されている1または複数のプロセッサと
を備える自動車ゲートウェイ。
(項目2)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている、請求項1に記載の自動車ゲートウェイ。
(項目3)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目4)
前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記1または複数のプロセッサが、前記要求を拒否するように構成されている、請求項3に記載の自動車ゲートウェイ。
(項目5)
前記ゲストアプリケーションが、仮想マシン(VM)を有し、前記1または複数のプロセッサが、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目6)
前記1または複数のプロセッサが、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にするように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目7)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の外からダウンロードされたデータを認証するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目8)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目9)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記電子サブシステムをランサムウェアから保護するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目10)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目11)
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記1または複数のゲストアプリケーションと前記車両の電子サブシステムとの間の通信トラフィックを制御する段階と
を備える、方法。
(項目12)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、請求項11に記載の方法。
(項目13)
前記通信トラフィックを制御する段階が、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否する段階を有する、請求項11または12に記載の方法。
(項目14)
前記通信トラフィックを制御する段階が、前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記要求を拒否する段階を有する、請求項13に記載の方法。
(項目15)
前記ゲストアプリケーションをホストする段階が、仮想マシン(VM)を前記自動車ゲートウェイ上で実行する段階を有し、前記通信トラフィックを制御する段階が、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行する段階を有する、請求項11または12に記載の方法。
(項目16)
前記通信トラフィックを制御する段階が、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にする段階を有する、請求項11または12に記載の方法。
(項目17)
前記通信トラフィックを制御する段階が、前記車両の外からダウンロードされたデータを認証する段階を有する、請求項11または12に記載の方法。
(項目18)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可する段階と、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止する段階とを有する、請求項11または12に記載の方法。
(項目19)
前記通信トラフィックを制御する段階が、前記電子サブシステムをランサムウェアから保護する段階を有する、請求項11または12に記載の方法。
(項目20)
前記通信トラフィックを制御する段階が、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止する段階を有する、請求項11または12に記載の方法。
(項目21)
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備える自動車ゲートウェイ。
(項目22)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている、項目21に記載の自動車ゲートウェイ。
(項目23)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目24)
前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記1または複数のプロセッサが、前記要求を拒否するように構成されている、項目23に記載の自動車ゲートウェイ。
(項目25)
前記ゲストアプリケーションが、仮想マシン(VM)を有し、前記1または複数のプロセッサが、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目26)
前記1または複数のプロセッサが、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にするように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目27)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の外からダウンロードされたデータを認証するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目28)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目29)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記電子サブシステムをランサムウェアから保護するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目30)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目31)
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備える、方法。
(項目32)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、項目31に記載の方法。
(項目33)
前記通信トラフィックを制御する段階が、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否する段階を有する、項目31または32に記載の方法。
(項目34)
前記通信トラフィックを制御する段階が、前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記要求を拒否する段階を有する、項目33に記載の方法。
(項目35)
前記ゲストアプリケーションをホストする段階が、仮想マシン(VM)を前記自動車ゲートウェイ上で実行する段階を有し、前記通信トラフィックを制御する段階が、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行する段階を有する、項目31または32に記載の方法。
(項目36)
前記通信トラフィックを制御する段階が、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にする段階を有する、項目31または32に記載の方法。
(項目37)
前記通信トラフィックを制御する段階が、前記車両の外からダウンロードされたデータを認証する段階を有する、項目31または32に記載の方法。
(項目38)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可する段階と、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止する段階とを有する、項目31または32に記載の方法。
(項目39)
前記通信トラフィックを制御する段階が、前記電子サブシステムをランサムウェアから保護する段階を有する、項目31または32に記載の方法。
(項目40)
前記通信トラフィックを制御する段階が、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止する段階を有する、項目31または32に記載の方法。
(他の可能な項目)
(項目1)
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、セキュリティポリシーに従って、前記1または複数のゲストアプリケーションと前記車両の前記電子サブシステムとの間の通信トラフィックを制御するように構成されている1または複数のプロセッサと
を備える自動車ゲートウェイ。
(項目2)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている、請求項1に記載の自動車ゲートウェイ。
(項目3)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目4)
前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記1または複数のプロセッサが、前記要求を拒否するように構成されている、請求項3に記載の自動車ゲートウェイ。
(項目5)
前記ゲストアプリケーションが、仮想マシン(VM)を有し、前記1または複数のプロセッサが、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目6)
前記1または複数のプロセッサが、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にするように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目7)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の外からダウンロードされたデータを認証するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目8)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目9)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記電子サブシステムをランサムウェアから保護するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目10)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている、請求項1または2に記載の自動車ゲートウェイ。
(項目11)
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記1または複数のゲストアプリケーションと前記車両の電子サブシステムとの間の通信トラフィックを制御する段階と
を備える、方法。
(項目12)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、請求項11に記載の方法。
(項目13)
前記通信トラフィックを制御する段階が、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否する段階を有する、請求項11または12に記載の方法。
(項目14)
前記通信トラフィックを制御する段階が、前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記要求を拒否する段階を有する、請求項13に記載の方法。
(項目15)
前記ゲストアプリケーションをホストする段階が、仮想マシン(VM)を前記自動車ゲートウェイ上で実行する段階を有し、前記通信トラフィックを制御する段階が、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行する段階を有する、請求項11または12に記載の方法。
(項目16)
前記通信トラフィックを制御する段階が、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にする段階を有する、請求項11または12に記載の方法。
(項目17)
前記通信トラフィックを制御する段階が、前記車両の外からダウンロードされたデータを認証する段階を有する、請求項11または12に記載の方法。
(項目18)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可する段階と、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止する段階とを有する、請求項11または12に記載の方法。
(項目19)
前記通信トラフィックを制御する段階が、前記電子サブシステムをランサムウェアから保護する段階を有する、請求項11または12に記載の方法。
(項目20)
前記通信トラフィックを制御する段階が、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止する段階を有する、請求項11または12に記載の方法。
(項目21)
車両の電子サブシステムと通信するための1または複数のインタフェースと、
1または複数のゲストアプリケーションをホストし、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の前記電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けし、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けし、
セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する
ように構成されている1または複数のプロセッサと
を備える自動車ゲートウェイ。
(項目22)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否するように構成されている、項目21に記載の自動車ゲートウェイ。
(項目23)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目24)
前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記1または複数のプロセッサが、前記要求を拒否するように構成されている、項目23に記載の自動車ゲートウェイ。
(項目25)
前記ゲストアプリケーションが、仮想マシン(VM)を有し、前記1または複数のプロセッサが、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目26)
前記1または複数のプロセッサが、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にするように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目27)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の外からダウンロードされたデータを認証するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目28)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可し、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目29)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記電子サブシステムをランサムウェアから保護するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目30)
前記セキュリティポリシーに従って、前記1または複数のプロセッサが、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止するように構成されている、項目21または22に記載の自動車ゲートウェイ。
(項目31)
車両におけるデータ処理のための方法であって、前記方法が、
車両に設置された自動車ゲートウェイにおける1または複数のゲストアプリケーションをホストする段階と、
(i)前記ホストされたゲストアプリケーション、および(ii)前記車両の電子サブシステムの第1のサブセットの両方を安全性が保証されていないドメインと関連付けする段階と、
前記車両の前記電子サブシステムの第2のサブセットを安全性が保証されているドメインと関連付けする段階と、
前記自動車ゲートウェイが、セキュリティポリシーに従って、前記車両の前記安全性が保証されているドメインと前記安全性が保証されていないドメインとの間の通信トラフィックを制御する段階と
を備える、方法。
(項目32)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータの転送を選択的に承認または拒否する段階を有する、項目31に記載の方法。
(項目33)
前記通信トラフィックを制御する段階が、ゲストアプリケーションからの、前記車両の電子サブシステムを制御する要求を選択的に承認または拒否する段階を有する、項目31または32に記載の方法。
(項目34)
前記通信トラフィックを制御する段階が、前記要求、または前記電子サブシステムが車両の安全性に影響を与える場合、前記要求を拒否する段階を有する、項目33に記載の方法。
(項目35)
前記ゲストアプリケーションをホストする段階が、仮想マシン(VM)を前記自動車ゲートウェイ上で実行する段階を有し、前記通信トラフィックを制御する段階が、前記セキュリティポリシーに従って前記VMの前記通信トラフィックを制御するハイパーバイザを実行する段階を有する、項目31または32に記載の方法。
(項目36)
前記通信トラフィックを制御する段階が、前記セキュリティポリシーに準拠するアプリケーションプログラミングインタフェース(API)を、前記ゲストアプリケーションにアクセス可能にする段階を有する、項目31または32に記載の方法。
(項目37)
前記通信トラフィックを制御する段階が、前記車両の外からダウンロードされたデータを認証する段階を有する、項目31または32に記載の方法。
(項目38)
前記通信トラフィックを制御する段階が、前記車両の電子サブシステムからゲストアプリケーションへのデータフローを許可する段階と、前記ゲストアプリケーションから前記電子サブシステムへのデータフローを防止する段階とを有する、項目31または32に記載の方法。
(項目39)
前記通信トラフィックを制御する段階が、前記電子サブシステムをランサムウェアから保護する段階を有する、項目31または32に記載の方法。
(項目40)
前記通信トラフィックを制御する段階が、前記ゲストアプリケーションのうち、少なくとも、第1のゲストアプリケーションと第2のゲストアプリケーションとの間のデータ共有を防止する段階を有する、項目31または32に記載の方法。
【図1】
【図2】
【図3】
【図4】
