ホーム > 特許ランキング > RENAULT S.A.S.
知財求人 - 知財ポータルサイト「IP Force」
▶ ルノー エス.ア.エス.の特許一覧 ▶ 日産自動車株式会社の特許一覧
特許7660596車両と前記車両を管理するためのリモート管理サーバとの間の接続のセキュリティ保護
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-04-03
(45)【発行日】2025-04-11
(54)【発明の名称】車両と前記車両を管理するためのリモート管理サーバとの間の接続のセキュリティ保護
(51)【国際特許分類】
G06F 21/55 20130101AFI20250404BHJP
H04L 9/32 20060101ALI20250404BHJP
【FI】
G06F21/55
H04L9/32 200E
【請求項の数】
12
(21)【出願番号】P 2022574727
(86)(22)【出願日】2021-05-27
(65)【公表番号】
(43)【公表日】2023-07-06
(86)【国際出願番号】 EP2021064155
(87)【国際公開番号】W WO2021244932
(87)【国際公開日】2021-12-09
【審査請求日】2024-04-30
(31)【優先権主張番号】2005876
(32)【優先日】2020-06-04
(33)【優先権主張国・地域又は機関】FR
(73)【特許権者】
【識別番号】507308902
【氏名又は名称】ルノー エス.ア.エス.
【氏名又は名称原語表記】RENAULT S.A.S.
【住所又は居所原語表記】122-122 bis, avenue du General Leclerc, 92100 Boulogne-Billancourt, France
(73)【特許権者】
【識別番号】000003997
【氏名又は名称】日産自動車株式会社
(74)【代理人】
【識別番号】110002077
【氏名又は名称】園田・小林弁理士法人
(72)【発明者】
【氏名】ミアラ, ダヴィッド
【審査官】上島 拓也
(56)【参考文献】
【文献】国際公開第2014/112149(WO,A1)
【文献】特開2019-109680(JP,A)
【文献】米国特許出願公開第2009/0325572(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
2つの電気通信識別子カードを使用することが可能な通信モジュール(MC)を備える車両(V)であって、前記2つの電気通信識別子カードは、一方(VCA)が車両(V)の製造業者と電気通信オペレータとの間のサブスクリプションに関し、他方(UCA)が前記車両(V)のユーザと電気通信オペレータとの間のサブスクリプションに関し、前記車両(V)は、前記車両(V)のセキュリティ機能をホストする信頼できる実行環境(TEE)と、前記通信モジュール(MC)の少なくとも一部をホストするマルチメディアシステム実行環境(EESM)とを含み、前記車両(V)は、前記信頼できる実行環境(TEE)が、前記車両(V)と前記車両(V)のリモート管理サーバ(SG)との間の接続を監視する監督モジュール(MS)を備えることを特徴とする、車両(V)。
【請求項2】
前記監督モジュール(MS)が、署名されて一意に予め定められたメッセージを、それぞれ前記リモート管理サーバ(SG)に送信し、前記リモート管理サーバ(SG)から受信することによって、前記接続を一定の間隔で試験することが可能であることを特徴とする、請求項1に記載の車両(V)。
【請求項3】
前記監督モジュール(MS)が、前記リモート管理サーバ(SG)から署名されて一意に予め定められたメッセージを受信することによって前記接続を一定の間隔で試験することが可能であることを特徴とする、請求項1に記載の車両(V)。
【請求項4】
前記監督モジュール(MS)は、- 前記通信モジュール(MC)が、前記リモート管理サーバ(SG)への前記メッセージのうちの1つの送信を確認しないか、もしくは前記通信モジュール(MC)が、前記リモート管理サーバ(SG)によって送信された前記メッセージのうちの1つを送信しない間、前記通信モジュール(MC)が、前記車両のセルラー接続が動作していることを示すか、または
- 前記通信モジュール(MC)が、前記車両のセルラー接続が第1の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示す
ときに、接続異常を検出することが可能であることを特徴とする、請求項2または3に記載の車両(V)。
【請求項5】
前記監督モジュール(MS)によって送信された前記メッセージが、前記車両(V)と前記リモート管理サーバ(SG)との間の接続異常の検出を表すか、またはそのような検出がないことを表す情報を含むことを特徴とする、請求項2または4に記載の車両(V)。
【請求項6】
前記車両(V)が、- 前記車両(V)のセキュリティ保護されていないアプリケーションのための外部通信の無効化をトリガする命令を前記通信モジュール(MC)に送信するための第1の送信手段(M1)と、
- 単一の接続手段としての前記車両(V)の前記製造業者の前記サブスクリプションに関する前記電気通信識別子カード(VCA)の前記通信モジュール(MC)による選択と、前記リモート管理サーバ(SG)との通信以外の通信の前記通信モジュール(MC)による無効化とをトリガする命令を前記通信モジュール(MC)に送信するための第2の送信手段(M2)と、
- 再始動のセキュリティ保護された構成を課しながら、前記通信モジュール(MC)の再始動をトリガする命令と、前記マルチメディアシステム実行環境(EESM)の再始動を誘発する命令とを前記通信モジュール(MC)に送信するための第3の送信手段(M3)と、
- 前記車両(V)の他の実行環境または他のソフトウェアの少なくとも一部にセキュリティ保護された構成を課しながら、前記車両(V)の前記他の実行環境または前記他のソフトウェアの前記少なくとも一部の再始動をトリガする命令を送信するための第4の送信手段(M4)と
を含むリストから選定された送信手段のうちの少なくとも1つを備えることと、
前記車両(V)は、前記車両(V)と前記リモート管理サーバ(SG)との間の接続異常が検出されると、前記選定された送信手段(M1、M2、M3、M4)の全部または一部をアクティブ化するように構成されたアクティブ化手段(MA)をさらに含むことと
を特徴とする請求項1から5のいずれか一項に記載の車両(V)。
【請求項7】
前記車両(V)は少なくとも前記第1の送信手段(M1)を含み、前記アクティブ化手段(MA)は、前記通信モジュール(MC)が、前記車両(V)のセルラー接続が第1の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示すときに、前記第1の送信手段(M1)のみをアクティブ化するように構成されていることを特徴とする、請求項6に記載の車両(V)。
【請求項8】
前記車両(V)が少なくとも前記第2の送信手段(M2)を含み、前記アクティブ化手段(MA)は、前記通信モジュール(MC)が、前記車両(V)のセルラー接続が前記第1の予め定められた時間間隔よりも大きい第2の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示すときに、前記第3の送信手段(M3)または前記第4の送信手段(M4)の中から選定された前記送信手段を除いて、前記第2の送信手段(M2)をアクティブ化するように構成されていることを特徴とする、請求項6または7に記載の車両(V)。
【請求項9】
前記車両(V)が少なくとも前記第3の送信手段(M3)または前記第4の送信手段(M4)を含み、前記アクティブ化手段(MA)は、前記車両(V)が停止されたときにのみ前記第3の送信手段(M3)または前記第4の送信手段(M4)をアクティブ化するように構成されたことを特徴とする、請求項6から8のいずれか一項に記載の車両(V)。
【請求項10】
請求項1から9のいずれか一項に記載の車両(V)と前記リモート管理サーバ(SG)とを備えるシステムであって、前記リモート管理サーバ(SG)が、- 前記監督モジュール(MS)によって送信され、前記車両(V)と前記リモート管理サーバ(SG)との間の接続異常の検出を表す情報を含むメッセージを受信するための受信手段(SMM)と、
- 前記車両(V)の位置と無線カバレージデータとの間の相関によって、前記異常の検出がサイバー攻撃によるものでないことを検出するための検出手段(SMM)と、
- 前記監督モジュール(MS)からの前記メッセージに応答して、前記異常が前記車両(V)に対するサイバー攻撃によるものでないことを示すメッセージを送信し、前記異常の検出を報告するための送信手段(SMM)と
を含むことを特徴とする、システム。
【請求項11】
前記リモート管理サーバ(SG)は、- 予め定められたしきい値よりも大きい数の車両によって異常が報告されるとすぐにサイバー攻撃を検出するための検出手段(SMM)と、
- 前記検出手段(SMM)によってサイバー攻撃が検出されるとすぐに、前記通信モジュール(MC)とマルチメディア実行環境(EESM)とのセキュリティ保護された再始動をするための、および/または前記マルチメディア実行環境(EESM)を更新するためのプロシージャをアクティブ化するメッセージを前記車両に送信するための手段と
をさらに含むことを特徴とする、請求項10に記載のシステム。
【請求項12】
請求項1から6のいずれか一項に記載の車両(V)と、前記車両の前記リモート管理サーバ(SG)との間の接続をセキュリティ保護するための方法であって、- 署名されて一意に予め定められたメッセージを、それぞれ前記リモート管理サーバ(SG)に送信し、および/または前記リモート管理サーバ(SG)から受信するステップ(E1)と、
- 前記接続についての異常を検出するステップ(E2)と、
- 前記車両(V)と前記リモート管理サーバ(SG)との間の通信を、前記車両(V)の前記製造業者の前記サブスクリプションに関する前記電気通信識別子カード(VCA)を使用する接続に切り替えることが可能な命令を前記通信モジュール(MC)に送信するステップ(E3)と
を含む、方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、電気通信および自動車に関し、より詳細には、車両に供給されるテレマティクス(telematics)サービスと、この車両のソフトウェアとのセキュリティ保護に関する。
【背景技術】
【0002】
車両上で製造業者によって提供されるテレマティクスサービスはセンシティブなデータおよび機能をエラボレートし、使用する。これらのサービスは、一般に、一方では、車両中に常駐する組込みロジックによって、他方では、製造業者またはサードパーティの少なくとも1つのリモートサーバ上に常駐する外部ロジックによって実行される。テレマティクスサービスのおよび車のソフトウェアのセキュリティ保護における1つの基本的な問題は、一般に、これらの2つのロジック間の通信リンクを中心に展開する。事実上、良好なレベルのセキュリティを達成するために、製造業者は、これらのテレマティクスサービスのソフトウェアの組込み部分と外部部分との間にセキュリティ保護された通信機構をセットアップする。製造業者はまた、それの車両ストックのための管理センターをセットアップする。これらの管理ツールは、製造業者が、車両において異常を検出し、たとえば車両のソフトウェアを更新することによって、誤動作にまたは潜在的なサイバー攻撃に応答するように予防アクションまたは修正アクションをトリガすることを可能にする。
【0003】
しかしながら、このセキュリティ保護ストラテジーは、車両がネットワークカバレージを有さず、製造業者のリモートサーバと対話することができないとき、または、車両とリモートサーバとの間の通信がもはや信頼性が高く信頼できると考えられないときは効果的でないことがわかる。車両におけるテレマティクスサービスソフトウェアの組込み部分とそれの外部部分との間の接続のセキュリティを強化するための1つの手段は、車両の製造業者がそれにサブスクライブする電気通信オペレータによって実装される追加の保護と追加の防護措置機能とを得ることである。
【0004】
しかしながら、これらのテレマティクスサービスのセットアップと並んで、車両のユーザにインターネットをもたらすといった、新たに生じた増大する必要性がある。さらに、車のユーザがこのインターネット使用のためにユーザ自身のセルラー電話サブスクリプションを使用することが可能であることに対する強い需要がある。
【0005】
現在、インターネット接続は、ハッカーが、この接続を使用する電子部品の制御権を握ることを可能にすることができる、脅威と潜在的な侵害とのセットを復活させる。そのことだけでなく、このインターネット接続のために、ユーザに固有のサブスクリプションを用いて、関係する車両の製造業者の電気通信オペレータとは異なる電気通信オペレータを使用することは、車両によって使用されるテレマティクスサービスをセキュリティ保護するために、製造業者の電気通信オペレータが提供することができる保護および是正措置の恩恵を得ることを妨げる。
【0006】
したがって、車両のユーザがそのユーザのセルラー電話サブスクリプションを介してインターネットに接続することを可能にしながら、車両と車両のリモート管理センターとの間の通信をセキュリティ保護する必要がある。
【0007】
1つのソリューションは、一方のインターネットのための接続およびシステムと、他方のテレマティクスサービスのための接続およびシステムとを分離することである。ユーザはユーザ自身のセルラー電話サブスクリプションを使用するので、そのことは、ただ1つのセルラーモデムの代わりに2つのセルラーモデムを用いるか、または、「アクティブデュアルSIM」と呼ばれる機能である、同時にアクティブである2つのSIM(加入者識別情報モジュール)カードを用いて動作することができる1つのセルラーモデムを用いるかのいずれかによって、物理的セルラー通信システムが複製されなければならないことを意味する。これらのケースの両方において、この複製は非常に大きいコスト経費(車両当たり数十ドル)を表す。
【0008】
本発明の目的のうちの1つは、車両のユーザがユーザ自身のセルラー電話サブスクリプションを介してインターネットにアクセスすることを可能にしながら、車両と車両のサイバーセキュリティを管理する管理センターとの間の信頼できる通信を保証する車両、システムおよび方法をより低コストで供給することによって、従来技術の欠点のうちの少なくともいくつかを改善することである。
【発明の概要】
【0009】
この目的のために、本発明は、2つの電気通信識別子カードを使用することが可能な通信モジュールを備える車両であって、前記2つの電気通信識別子カードは、一方が前記車両の製造業者と電気通信オペレータとの間のサブスクリプションに関し、他方が前記車両のユーザと電気通信オペレータとの間のサブスクリプションに関し、前記車両は、車両のセキュリティ機能をホストする信頼できる実行環境と、前記通信モジュールの少なくとも一部をホストするマルチメディアシステム実行環境とを含み、前記車両は、前記信頼できる実行環境が、前記車両と前記車両のリモート管理サーバとの間の接続を監視する監督モジュールを備えることを特徴とする、車両、を提案する。
【0010】
本発明によって、単一のモデムが、車両のサブスクリプションを使用する接続か、またはユーザのサブスクリプションを使用する接続のいずれかを使用するが、車両とリモートサーバとの間の接続は監視される。したがって、ユーザサブスクリプションを使用する接続がもはや信頼性が高い、または信頼できると考えられないとすぐに、モデムは、たとえば、サイバー攻撃防止および修正措置の恩恵を受けるために車両の製造業者のSIMカードに切り替えることができ、これらの措置は、高価な「アクティブデュアルSIM」モデムを必要とすることなしに、製造業者にリンクされたオペレータによって供給される。
【0011】
有利なことには、前記監督モジュールは、署名されて一意に予め定められたメッセージを、それぞれ前記リモート管理サーバに送信し、前記リモート管理サーバから受信することによって前記接続を一定の間隔で試験することが可能である。この実装形態は特にリプレイプロテクションを与える。
【0012】
本発明の一変形実施形態では、前記監督モジュールは、前記リモート管理サーバから署名されて一意に予め定められたメッセージを受信することによって前記接続を一定の間隔で試験することが可能である。この変形態では、監督モジュールは、したがって、テストメッセージを送信しないが、テストメッセージの正しい受信を監視する。
【0013】
この場合も有利なことには、前記監督モジュールは、
- 前記通信モジュールが前記リモート管理サーバへの前記メッセージのうちの1つの送信を確認しないか、もしくは前記通信モジュールが前記リモート管理サーバによって送信された前記メッセージのうちの1つを送信しない間、前記通信モジュールが、車両のセルラー接続が動作していることを示すか、
- または前記通信モジュールが、車両のセルラー接続が第1の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示す
ときに、接続異常を検出することが可能である。
- 前記通信モジュールが前記リモート管理サーバへの前記メッセージのうちの1つの送信を確認しないか、もしくは前記通信モジュールが前記リモート管理サーバによって送信された前記メッセージのうちの1つを送信しない間、前記通信モジュールが、車両のセルラー接続が動作していることを示すか、
- または前記通信モジュールが、車両のセルラー接続が第1の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示す
ときに、接続異常を検出することが可能である。
【0014】
この実装形態は、無線カバレージの短く限定的な喪失によって引き起こされたものではないために疑われる通信モジュールの異常を、簡単に検出することを可能にする。本出願において、車両の「セルラー接続」は、特に適切なセルラー電話ネットワークカバレージによって、無線によってメッセージを受信または送信する能力を意味すると理解される。
【0015】
この場合も有利なことには、前記監督モジュールによって送信されたメッセージは、前記車両と前記リモート管理サーバとの間の接続異常の検出を表すか、またはそのような検出がないことを表す情報を含む。そのことは、リモート管理サーバが、そのことが可能であるときに異常を除外するか、または確認するために介入し、リモート車両ソフトウェアアップデートなどの是正行為を実施することを可能にする。
【0016】
別の有利な特徴によれば、本発明による車両は、
- 車両のセキュリティ保護されていないアプリケーションのための外部通信の無効化をトリガする命令を通信モジュールに送信するための第1の手段と、
- 単一の接続手段としての前記車両の製造業者のサブスクリプションに関する電気通信識別子カードの通信モジュールによる選択と、前記リモート管理サーバとの通信以外の通信の通信モジュールによる無効化とをトリガする命令を通信モジュールに送信するための第2の手段と、
- 前記再始動にセキュリティ保護された構成を課しながら、前記通信モジュールの再始動をトリガする命令と、前記マルチメディアシステム実行環境の再始動を誘発する命令とを通信モジュールに送信するための第3の手段と、
- 車両の他の実行環境または他のソフトウェアの少なくとも一部にセキュリティ保護された構成を課しながら、前記車両の前記他の実行環境または前記他のソフトウェアの前記少なくとも一部の再始動をトリガする命令を送信するための第4の手段と
を含むリストから選定された送信手段のうちの少なくとも1つを備え、
前記車両は、前記車両と前記リモート管理サーバとの間の接続異常が検出されると選定された前記送信手段の全部または一部をアクティブ化するように構成されたアクティブ化手段をさらに含む。
- 車両のセキュリティ保護されていないアプリケーションのための外部通信の無効化をトリガする命令を通信モジュールに送信するための第1の手段と、
- 単一の接続手段としての前記車両の製造業者のサブスクリプションに関する電気通信識別子カードの通信モジュールによる選択と、前記リモート管理サーバとの通信以外の通信の通信モジュールによる無効化とをトリガする命令を通信モジュールに送信するための第2の手段と、
- 前記再始動にセキュリティ保護された構成を課しながら、前記通信モジュールの再始動をトリガする命令と、前記マルチメディアシステム実行環境の再始動を誘発する命令とを通信モジュールに送信するための第3の手段と、
- 車両の他の実行環境または他のソフトウェアの少なくとも一部にセキュリティ保護された構成を課しながら、前記車両の前記他の実行環境または前記他のソフトウェアの前記少なくとも一部の再始動をトリガする命令を送信するための第4の手段と
を含むリストから選定された送信手段のうちの少なくとも1つを備え、
前記車両は、前記車両と前記リモート管理サーバとの間の接続異常が検出されると選定された前記送信手段の全部または一部をアクティブ化するように構成されたアクティブ化手段をさらに含む。
【0017】
これらの4つの送信手段のうちの1つまたは複数を組み込むことによって、本発明による車両は、リモート管理サーバから独立した是正ソリューションの恩恵を受ける。
【0018】
有利なことには、本発明による車両は、少なくとも前記第1の送信手段を含み、前記アクティブ化手段は、前記通信モジュールが、車両のセルラー接続が前記第1の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示したときに、前記第1の送信手段のみをアクティブ化するように構成される。このようにして、無線カバレージの喪失による誤った異常検出の場合にユーザエクスペリエンスを過大に劣化させることが回避される。
【0019】
この場合も有利なことには、本発明による車両は、少なくとも前記第2の送信手段を含み、前記アクティブ化手段は、前記通信モジュールが、セルラー接続が第1の予め定められた時間間隔よりも大きい第2の予め定められた時間間隔よりも大きい時間の間利用不可能であることを示したときに、前記第3の送信手段または前記第4の送信手段の中から選定された送信手段を除いて、前記第2の送信手段をアクティブ化するように構成される。このようにして、本発明による車両が第3の送信手段および/または第4の送信手段を組み込んでいる場合でも、後者は、特に車両が停止されない限り、当初は実施されない。リモート管理サーバSGは、したがって、誤検出の場合に第3の送信手段および第4の送信手段の実施を回避するために介入する時間を有する。したがって、疑わしい異常の確率が大きくなったときに車両をセキュリティ保護しながら、ユーザエクスペリエンスの劣化がほとんどない。
【0020】
この場合も有利なことには、本発明による車両は、少なくとも前記第3の送信手段または前記第4の送信手段を含み、前記アクティブ化手段は、前記車両が停止されたときのみ前記第3の送信手段または前記第4の送信手段をアクティブ化するように構成される。それにより、特に車両走行段階外の最も適切な瞬間において車両のみをセキュリティ保護するためにユーザエクスペリエンスを損なうことが可能になる。
【0021】
本発明はまた、本発明による車両と前記リモート管理サーバとを備えるシステムであって、前記リモート管理サーバは、
- 前記監督モジュールによって送信され、前記車両と前記リモート管理サーバとの間の接続異常の検出を表す情報を含むメッセージを受信するための手段と、
- 前記車両の位置と無線カバレージデータとの間の相関によって、前記異常検出がサイバー攻撃によるものでないことを検出するための手段と、
- 前記監督モジュールからの前記メッセージに応答して、前記異常が前記車両に対するサイバー攻撃によるものでないことを示すメッセージを送信し、前記異常検出を報告するための手段と
を含むことを特徴とする、システムに関する。
- 前記監督モジュールによって送信され、前記車両と前記リモート管理サーバとの間の接続異常の検出を表す情報を含むメッセージを受信するための手段と、
- 前記車両の位置と無線カバレージデータとの間の相関によって、前記異常検出がサイバー攻撃によるものでないことを検出するための手段と、
- 前記監督モジュールからの前記メッセージに応答して、前記異常が前記車両に対するサイバー攻撃によるものでないことを示すメッセージを送信し、前記異常検出を報告するための手段と
を含むことを特徴とする、システムに関する。
【0022】
このようにして、リモート管理サーバは、無線カバレージの瞬時のまたは長時間の喪失による誤検出時に、車両がユーザエクスペリエンスを損なう是正行為を行うことを防ぐ。
【0023】
有利なことには、前記リモート管理サーバは、
- 予め定められたしきい値よりも大きい数の車両によって異常が報告されるとすぐにサイバー攻撃を検出するための手段と、
- 前記検出手段によってサイバー攻撃が検出されるとすぐに、前記通信モジュールと前記マルチメディア実行環境とのセキュリティ保護された再始動するための、および/または前記マルチメディア実行環境を更新するためのプロシージャをアクティブ化するメッセージを前記車両に送信するための手段と
をさらに備える。この追加の特徴により、予め定められた将来のサイバー攻撃に対して車両を保護することが可能になる。
- 予め定められたしきい値よりも大きい数の車両によって異常が報告されるとすぐにサイバー攻撃を検出するための手段と、
- 前記検出手段によってサイバー攻撃が検出されるとすぐに、前記通信モジュールと前記マルチメディア実行環境とのセキュリティ保護された再始動するための、および/または前記マルチメディア実行環境を更新するためのプロシージャをアクティブ化するメッセージを前記車両に送信するための手段と
をさらに備える。この追加の特徴により、予め定められた将来のサイバー攻撃に対して車両を保護することが可能になる。
【0024】
本発明は、最後に、本発明による車両と、前記車両の前記リモート管理サーバとの間の接続をセキュリティ保護するための方法であって、
- 予め定めら署名されて一意に予め定められたメッセージを、それぞれ前記リモート管理サーバに送信し、および/または前記リモート管理サーバから受信するステップと、
- 前記接続についての異常を検出するステップと、
- 前記車両と前記リモート管理サーバとの間の通信を、前記車両の構成のサブスクリプションに関する電気通信識別子カードを使用する接続に切り替えることが可能な命令を前記通信モジュールに送信するステップと
を含む、方法に関する。
- 予め定めら署名されて一意に予め定められたメッセージを、それぞれ前記リモート管理サーバに送信し、および/または前記リモート管理サーバから受信するステップと、
- 前記接続についての異常を検出するステップと、
- 前記車両と前記リモート管理サーバとの間の通信を、前記車両の構成のサブスクリプションに関する電気通信識別子カードを使用する接続に切り替えることが可能な命令を前記通信モジュールに送信するステップと
を含む、方法に関する。
【0025】
本発明によるシステムおよび方法は本発明による車両の利点と同様の利点を与える。
【0026】
他の特徴および利点は、図を参照しながら説明する好ましい実施形態を読むと明らかになろう。
【図面の簡単な説明】
【0027】
【図1】本発明のこの好ましい実施形態における、本発明による車両およびシステムを表す図である。
【図2】本発明のこの好ましい実施形態における、本発明による車両の是正手段を表す図である。
【図3】本発明のこの好ましい実施形態における、本発明による方法のステップを表す図である。
【図4】本発明のこの好ましい実施形態における、本発明による車両において実施される是正ロジックの状態図を表す図である。
【発明を実施するための形態】
【0028】
図1に表された本発明の好ましい実施形態によれば、本発明による車両Vは、様々なソフトウェアをホストする様々な実行環境を含む。特に、エンジン制御ソフトウェアまたは運転支援ソフトウェアなど、車両Vのセキュリティソフトウェアは、たとえば、信頼できる実行環境TEEを組み込んでいるセキュリティ保護されたゲートウェイを介してのみアクセス可能な、セキュリティ保護されたコンピュータ上にホストされる。本発明のこの例示的な実施形態では、信頼できる環境TEEは、車両Vのセキュリティ機能SFと、サイバー攻撃の検出の場合にトリガされる是正機能をホストするモジュールMRと、車両Vと車両Vのリモート管理サーバSGとの間の接続を監督するためのモジュールMSとをホストする。信頼できる環境TEEは、たとえば、車両のセキュリティ保護されたコンピュータへのアクセスを与える車両のセキュリティ保護されたソフトウェアゾーンと、車両の外部と通信しているマルチメディア通信機能を含むソフトウェアゾーンとの間のリンクを作成する、セキュリティ保護されたゲートウェイにおいてホストされる。
【0029】
車両Vはまた、少なくとも1つのセキュリティ保護されていない実行環境、ここでは、車両Vのいわゆる「インフォテインメント」情報と娯楽部分とをホストするマルチメディアシステムの実行環境EESMを含む。実行環境EESMは、したがって、車両のユーザの使用のために意図され、ジオロケーションサービス、組込みブラウザなど、インターネットからのまたはインターネットへのデータストリームに曝される、アプリケーションACをホストする。実行環境EESMはまた、車両Vのオーディオ出力設定機能またはグラフィカルインターフェースなど、車両の非セキュリティ機能BFをホストする。
【0030】
最後に、実行環境EESMは通信モジュールMCをホストする。通信モジュールMCは、イーサネットネットワーク信号を、GSM(「モバイル通信用グローバルシステム」)、3G、4G、5G(Gはモバイルテレフォニー技術世代を表す)または(IEEE802.11規格による)Wi-Fi無線信号に変換し、その逆も同様に変換することが可能な、セルラー無線モデムを組み込んでいる。一変形実施形態では、通信モジュールMCは、他のタイプのワイヤードプロトコルを、特に車両の使用の国とその国の電気/電子アーキテクチャとに応じて、他のタイプの無線プロトコルに変換する。たとえば、一変形態では、モデムは、CAN(コントローラエリアネットワーク)信号をCDMA2000信号に変換するために使用される。
【0031】
通信モジュールMCは、特にセキュリティ保護されていないアプリケーションが外部で通信することを可能にするために、実行環境EESMに組み込まれるが、通信モジュールMCの機能のうちのいくつかはセキュリティ保護される。これらのセキュリティ保護された機能は、セキュリティ保護された電子回路によって実装されるか、または、マイクロコントローラなど、セキュリティ保護されたコンピュータ中に実装される。実行環境EESMは、したがって、セキュリティ保護されていないソフトウェアだけでなく、セキュリティ保護されたソフトウェアおよび/またはハードウェア回路をも組み込む。これらの機能は、後で説明するように、特に、信頼できる実行環境TEEが、通信モジュールMCに車両Vの製造業者に固有の電気通信識別子カードに切り替えさせることを可能にする。一変形態では、通信モジュールMCのセキュリティ保護された一部が信頼できる実行環境TEEの一部を形成すると考えることももちろん可能である。
【0032】
通信モジュールMCのモデムは、2つのSIMカードを通信モジュールMCが使用することを可能にする「デュアルSIM」機能を有し、2つのSIMカードは、この実施形態では、
- 車両Vのユーザと電気通信オペレータとの間のサブスクリプションに関する、UCAと呼ばれる電気通信識別子SIMカード、
- 車両Vの製造業者と、UCAカードを供給した電気通信オペレータとは異なり得る電気通信オペレータとの間のサブスクリプションに関する、VCAと呼ばれる電気通信識別子SIMカード
である。
- 車両Vのユーザと電気通信オペレータとの間のサブスクリプションに関する、UCAと呼ばれる電気通信識別子SIMカード、
- 車両Vの製造業者と、UCAカードを供給した電気通信オペレータとは異なり得る電気通信オペレータとの間のサブスクリプションに関する、VCAと呼ばれる電気通信識別子SIMカード
である。
【0033】
通信モジュールMCが使用するUCAカードは、たとえば、仮想SIM、すなわち、ユーザが自身のSIMカードを車両Vのモデムの特定のスロット中に配置する必要はないが、ユーザは、車両がこの仮想SIMカードを生成するために自身の個人SIMカードを認証するデータを車両に入力するだけで済む仮想SIMである。一変形態では、通信モジュールMCは、ユーザが自身の個人SIMカードをその中に挿入することを可能にする物理スロットを有する。
【0034】
本発明のこの実施形態では、通信モジュールMCのモデムは、UCAカードとVCAカードの両方を使用する機能を有しないが、単に、コンテキストに応じて外部との通信をセットアップするために一方のカードから他方のカードに切り替えることによって、一度にこれらのカードの一方または他方を使用する機能を有する。通信モジュールMCのモデムは、したがって、いわゆる「アクティブデュアルSIM」機能を有しない。たとえば、車両Vのユーザが、インターネットに接続するために実行環境EESMを使用するときに、通信モジュールは、インターネットネットワークINTとの通信セッションLSUをセットアップするためにUCAカードを使用する。この通信セッションは、個々のセルラー電話サブスクリプションに固有の標準レベルのセキュリティでセットアップされ、リモート管理サーバSGとも通信するために使用され得る。車両Vが、内部にユーザがおらず、エンジンが切られ、ドアが閉じられた状態で停止され、保守理由のためにリモート管理サーバSGと通信するとき、他方の通信モジュールMCは、リモート管理サーバSGとの通信セッションLSVをセットアップするためにVCAカードを使用する。この通信セッションLSVは、たとえばセキュリティ保護されたAPN(「アクセスポイント名」)を使用して、場合によっては通信セッションLSUのセキュリティレベルよりも高いセキュリティレベルの恩恵を受ける。
【0035】
通信モジュールMCはまた、セルラー接続の状態を実行環境TEEに報告する能力を有する。特に、通信モジュールMCは、外部で通信セッションをセットアップするのに無線ネットワークカバレージが弱すぎるかまたはないかどうかを示す。
【0036】
リモート管理サーバSGは、製造業者の車両の一般的な管理のためのロジックVALと、車両Vとリモート管理サーバSGとの間の通信リンクを監視するための監督モジュールSMMとを備える。
【0037】
UCAカードを使用するときの主なリスクは、ハッカーがリモート管理サーバSGと信頼できる実行環境TEEとの間の通信を切断することを可能にして、信頼できる実行環境TEEが修正アクションをトリガして正常に復帰するためのコマンドを受信することを妨げ得る、車両のコンピュータとセキュリティ保護されていない実行環境との制御権をハッカーが握ることを可能にするインターネットから来る攻撃のリスクである。この問題を改善するために、監督モジュールMSは、車両Vが使用されているときに、特に車両Vとリモート管理サーバSGとの間の接続を一定の間隔で試験することによって、この接続を監視する。監督モジュールは、したがって、車両Vとリモート管理サーバSGとの間の通信の異常中断を検出することが可能である。そのような接続異常が検出されたとき、監督モジュールMSは、図2に表されているように、モジュールM1~M4において実施されるセキュリティ機能SFをアクティブ化する。したがって、本出願において、監督モジュールMSは、通信モジュールMCによって実装される標準化された監督機構とは別個に、特に、通信モジュールMCによって使用されるGSM、3G、4G、5GまたはWi-Fi通信規格によって義務付けられたメッセージ暗号化機構とは別個に、車両とリモート管理サーバSGとの間の接続の監督を確立することを理解されるべきである。実際、この監督モジュールは、車両Vとリモート管理サーバSGとの間の通信の異常中断、すなわち、通信モジュールMCのソフトウェアインテグリティの侵害による異常中断を検出することが可能である。
【0038】
より詳細には、監督モジュールMSは、入力として異常コードとセルラー接続の状態と車両Vの状態とを受信するアクティブ化モジュールMAを備える。これらの入力パラメータに基づいて、アクティブ化モジュールMAはモジュールM1~M4のうちの1つまたは複数をアクティブ化する。
【0039】
モジュールM1は、車両のセキュリティ保護されていないアプリケーションのための外部通信の無効化をトリガする命令、すなわち、実行環境EESMからインターネットへ出る如何なる通信をも切断する命令を通信モジュールMCのセキュリティ保護されたマイクロコントローラに送信するためのソフトウェア手段である。
【0040】
モジュールM2は、外部で通信するためにVCAカードの通信モジュールMCによる選択と、リモート管理サーバSGとの通信以外の任意の通信の通信モジュールMCによる無効化とをトリガする命令を通信モジュールMCのセキュリティ保護されたマイクロコントローラに送信するためのソフトウェア手段である。
【0041】
モジュールM3は、通信モジュールMCの再始動をトリガする命令を通信モジュールMCのセキュリティ保護されたマイクロコントローラに送信し、実行環境EESMのセキュリティ保護された部分MB1に実行環境EESMを再始動する命令を送信するためのソフトウェア手段である。一変形態では、特にマイクロコントローラがセキュリティ保護された部分MB1にリンクされたときに、ただ1つの命令が必要である。これらのセキュリティ保護された再始動は、これらのシステムのランダムアクセスメモリの消去をトリガし、インターネットへの接続なしにリモート管理サーバSGと通信するためにVCAカードの選択を強制する。
【0042】
モジュールM4は、車両Vの他の実行環境または他のソフトウェアMB2~MBnの全部または一部のセキュリティ保護された再始動をトリガする命令を送信するためのソフトウェア手段である。このセキュリティ保護された再始動は、これらの他の環境とソフトウェアとのランダムアクセスメモリの消去をトリガし、必要な場合、他よりも攻撃に敏感であるいくつかのソフトウェア部分の使用を阻止する。
【0043】
監督モジュールMSによるこれらの手段のうちの1つの使用の1つの例は、図3に、本発明による車両Vとリモート管理サーバSGとの間の接続をセキュリティ保護するための方法の形態で表されている。この例では、通信モジュールMCは、外部で通信するために最初にUCAカードを使用する。
【0044】
ステップE1は、署名されて一意に予め定められたメッセージの、それぞれリモート管理サーバSGへの送信、および監督モジュールMSによる車両Vからの受信である。そのために、監督モジュールMSは、リモート管理サーバSGが監督モジュールMSを認証することを可能にするメッセージをリモート管理サーバSGに定期的に送信する。このメッセージは、たとえば、RSA(Rivest、ShamirおよびAdleman)暗号化など、非対称暗号化アルゴリズムを使用することによって署名される。一変形態では、監督モジュールMSは、製造業者にのみ知られている(および、車両Vおよびリモート管理サーバSG中にセキュアに含まれている)暗号化鍵を使用してHMAC(「鍵付きハッシュメッセージ認証コード」)タイプのハッシングアルゴリズムによって得られる署名を使用する。もちろん、監督モジュールMSによって送信されたメッセージの署名のために他の対称アルゴリズムまたは非対称暗号化アルゴリズムが使用され得る。これらのメッセージはまた、車両Vとリモート管理サーバSGとにのみ知られているアルゴリズムによって生成されるタイムスタンプ、カウントまたは予め定められた番号などのリプレイ防止データを含む。監督モジュールMSによって送信されたメッセージはまた、異常コードを含み、異常コードの値および意味は、たとえば、
- 0:監督モジュールMSによって異常が検出されない
- 1:第1の所定の時間しきい値T1よりも大きい時間の間のネットワークカバレージの欠如の通信モジュールMCによる指示を伴う、接続における中断
- 2:第1の所定の時間しきい値T1よりも大きい第2の所定の時間しきい値T2よりも大きい時間の間のネットワークカバレージの欠如の通信モジュールMCによる指示を伴う、接続における中断
- 3:説明されない接続における中断
である。
- 0:監督モジュールMSによって異常が検出されない
- 1:第1の所定の時間しきい値T1よりも大きい時間の間のネットワークカバレージの欠如の通信モジュールMCによる指示を伴う、接続における中断
- 2:第1の所定の時間しきい値T1よりも大きい第2の所定の時間しきい値T2よりも大きい時間の間のネットワークカバレージの欠如の通信モジュールMCによる指示を伴う、接続における中断
- 3:説明されない接続における中断
である。
【0045】
第1の所定の時間しきい値T1は、たとえば30分に設定され、第2の所定の時間しきい値T2は、たとえば60分に設定される。
【0046】
本発明のこの実施形態では、簡単のために、異常コードは、特に、真のまたは誤ったネットワークカバレージ停止による接続における中断に向けられることに留意されたい。実際には、異常コードは、場合によってはより微妙な差異をもつ。たとえば、一変形態では、以下の状況、すなわち、
- 監督モジュールMSは、テストメッセージを送信し、即時のプロトコル返信を受信したが、リモート管理サーバSGからの応答を受信していない状況、
- リモート管理サーバSGとの接続がセットアップされたことを通信モジュールMCが示すにもかかわらず、監督モジュールMSは、テストメッセージを送信したが、即時のプロトコル返信を受信していない状況、
- セルラー接続はデータ転送モードで動作しているが、監督モジュールMSはテストメッセージを送信することができず、もはやリモート管理サーバSGとセットアップされた接続がないことを通信モジュールMCが示す状況、
- ネットワークカバレージは利用可能であるが、もはやデータ転送モードで利用可能なセルラー接続がないことを通信モジュールMCが示す状況、
- もはやネットワークカバレージがないことを通信モジュールMC示す状況
に異なるコードが適用される。
- 監督モジュールMSは、テストメッセージを送信し、即時のプロトコル返信を受信したが、リモート管理サーバSGからの応答を受信していない状況、
- リモート管理サーバSGとの接続がセットアップされたことを通信モジュールMCが示すにもかかわらず、監督モジュールMSは、テストメッセージを送信したが、即時のプロトコル返信を受信していない状況、
- セルラー接続はデータ転送モードで動作しているが、監督モジュールMSはテストメッセージを送信することができず、もはやリモート管理サーバSGとセットアップされた接続がないことを通信モジュールMCが示す状況、
- ネットワークカバレージは利用可能であるが、もはやデータ転送モードで利用可能なセルラー接続がないことを通信モジュールMCが示す状況、
- もはやネットワークカバレージがないことを通信モジュールMC示す状況
に異なるコードが適用される。
【0047】
この変形態では、それぞれモジュールM1およびM2をアクティブ化するために、たとえば時間T1およびT2に対応して、より広くは、通信モジュールMCが、もはやリモートサーバSGとセットアップされた接続がないことを示した場合に、時間カウンタが適用される。
【0048】
リモート管理サーバSGが監督モジュールMSから受信したメッセージに応答して、リモート管理サーバSGによって送信されたメッセージは、監督モジュールMSによって送信されたメッセージと同様の方法で署名され、リプレイ防止データを含む。さらに、リモート管理サーバSGからの応答メッセージは、場合によっては、監督モジュールMSによって以前に報告されたネットワークカバレージの欠如の存在を確認または除外する情報を含むか、または車両Vが停止されるとすぐに、ソフトウェアアップデートまたはセキュリティ保護された再始動命令など、車両Vに関する是正行為をトリガする命令を含む。
【0049】
本方法のステップE2は、監督モジュールMSによる接続異常の検出である。監督モジュールMSは、
- ネットワークカバレージが利用可能であることを通信モジュールMCが示すにもかかわらず、監督モジュールMSが送信したメッセージのうちの1つに対する応答を受信しないときに、または、監督モジュールMSからのメッセージのうちの1つをリモート管理サーバSGに送信することが可能でなかったことを通信モジュールMCが示したときに、
そのような異常を検出する。この検出は、場合によっては、数回の再送信テストの後に、または、たとえば15分に設定された予め定められた応答時間に設定された時間カウンタの満了時に行われ、この検出は、上記で定義された異常コード3に対応し、
- 予め定められた時間しきい値T1またはT2よりも大きい時間から、ネットワークカバレージが利用不可能であることを通信モジュールMCが示したときに、この検出は、対応するしきい値に基づいて上記で定義された異常コード1または2に対応する。
- ネットワークカバレージが利用可能であることを通信モジュールMCが示すにもかかわらず、監督モジュールMSが送信したメッセージのうちの1つに対する応答を受信しないときに、または、監督モジュールMSからのメッセージのうちの1つをリモート管理サーバSGに送信することが可能でなかったことを通信モジュールMCが示したときに、
そのような異常を検出する。この検出は、場合によっては、数回の再送信テストの後に、または、たとえば15分に設定された予め定められた応答時間に設定された時間カウンタの満了時に行われ、この検出は、上記で定義された異常コード3に対応し、
- 予め定められた時間しきい値T1またはT2よりも大きい時間から、ネットワークカバレージが利用不可能であることを通信モジュールMCが示したときに、この検出は、対応するしきい値に基づいて上記で定義された異常コード1または2に対応する。
【0050】
ステップE3は、実行環境EESMが攻撃によって損なわれた場合でも車両Vとリモート管理サーバSGとの間の信頼できる通信を再確立することを可能にする、監督モジュールMSによる是正手段のアクティブ化である。これらの手段は、特に、検出された異常がサイバー攻撃には対応しないが、ネットワークカバレージの真正の喪失に対応する場合に、ユーザエクスペリエンスを最も良く保つように選定される。そのために、ユーザおよび車両Vの接続の可能性に関する影響は車両Vの状態とサイバー攻撃の現実のリスクとに応じて徐々に増加する。たとえば、通信モジュールMCがネットワークカバレージの欠如を示したときに、監督モジュールMSは、通信モジュールMCが利用可能なネットワークカバレージを示したときよりも多い回数、メッセージを再送する試みを行う。同様に、予め定められた時間しきい値T1またはT2は、たとえばジオロケーションデータに基づいて設定される。したがって、車両がホワイトゾーンへの進入を検出した場合、これらのしきい値は、たとえば、このゾーンにおける推定される走行時間に適応される。検出された異常コードに基づいて、是正行為はまた、より多いまたはより少ない影響を及ぼす。本発明のこの使用例では、車両Vが使用中であることと、報告された異常コードが3であることとが仮定される。この場合、ステップE3は、車両Vとリモート管理サーバSGとの間の通信の、VCAカードを使用する接続への切り替えをトリガする、モジュールM2のアクティブ化にある。言い換えれば、モジュールM2は、車両Vとリモート管理サーバSGとの間の通信を一時的に切断し、車両Vの製造業者のサブスクリプションを使用することによってこれらの2つのエンティティ間の接続を再確立する命令を通信モジュールMCに送信する。
【0051】
車両Vとリモート管理サーバSGとの間で通信が再確立されると、監督モジュールMSは異常コード3をメッセージ中でリモート管理サーバSGに送信する。リモート管理サーバSGの監督モジュールSMMは、次いで、車両のセキュリティ機能SFによる是正行為、たとえば、車両が停止されるとすぐに、優先的にエンジンが切られた状態で実施されるソフトウェアアップデートまたは環境EESMのセキュリティ保護された再始動の実施を可能にする命令を、対応する応答メッセージ中でまたは別個に送信する。リモート管理サーバSGからの非応答の場合、車両V自体がこの是正行為を実施する。
【0052】
車両Vとリモート管理サーバSGとの間に通信が再確立された後に、監督モジュールによって報告された異常コードが1または2であるときに、リモート管理サーバSGは、ネットワークカバレージが実質的に不十分であるかまたは存在しないゾーン中に車両Vがいるかどうかを検査することができることに留意されたい。車両Vがゾーン中にいる場合、リモート管理サーバSGの監督モジュールSMMは、車両Vとの通信が再確立されるとすぐに、車両Vがそのようなゾーン中にいたことを車両Vに通知し、それにより、次に車両Vが停止されたときに実行環境EESMの無意味なセキュリティ保護された再始動を回避することが可能になる。一方、車両Vがゾーン中にいないとき、リモート管理サーバSGの監督モジュールSMMは、車両Vとの通信が再確立されるとすぐに、これを車両Vに通知し、車両が停止されるとすぐに、優先的にエンジンが切られた状態で、セキュリティ保護された再始動命令、または実行環境EESMを更新する命令を車両Vに送信する。優先的に、通信モジュールMCと環境EESMとのセキュリティ保護された再始動は、ミッション終了処理動作が中断されないように、車両が停止された後に数十秒間遅らせられることに留意されたい。さらに、車両が停止されたとき、テストメッセージの送信および受信は、車両のバッテリーを維持するために停止される。
【0053】
さらに、リモート管理サーバSGは車両のストック全体を管理するので、このストックの車両によって報告された異常の相関によってサイバー攻撃を検出することが可能である。特に、車両のこのストックが、短い期間にわたって、および許容できるネットワークカバレージを含む地理ゾーンにわたって、予め定められたしきい値よりも大きい数、たとえば1000個の異常を報告した場合、監督モジュールSMMは、サイバー攻撃を検出し、セキュリティ保護された再始動を用いてそれの車両上のソフトウェアアップデートをプログラムする。
【0054】
図4を参照すると、ユーザエクスペリエンスへの本発明によるセキュリティ保護方法の影響を最小にすることを可能にする、監督モジュールMSにおいて実装されるロジックの例は、状態S0~状態S5を含む。
【0055】
状態S0において、車両Vは、エンジンが切られ、イグニションが切られた状態で停止される、すなわち、イグニションスイッチは設定されない。この状態において、車両Vは、VCAカードを用いてリモート管理サーバSGとのみ通信し、インターネット通信は確立されない。ユーザがイグニションスイッチを用いて車両Vをオンに切り替えたとき、ロジックは状態S1に切り替わる。
【0056】
状態S1において、ユーザは、自身の個人SIMカードのデータを車両に入力し、UCAカードを介して実行環境EESMを通じてインターネットにアクセスすることができる。これらのデータが車両Vの以前の使用中にすでに車両Vに入力されていた場合、車両がオンに切り替えられるとすぐに、通信モジュールMCはUCAカードに切り替わる。監督モジュールMSは、次いで、車両Vとリモート管理サーバSGとの間の接続を監督する。この状態S1において、ユーザが車両をオフに切り替えたときに、ロジックは状態S0に戻る。
【0057】
状態S1において、監督モジュールMSが、通信モジュールMCと実行環境EESMとの可能な更新を用いてこれらのエンティティのセキュリティ保護された再始動を実行する命令をリモート管理サーバSGから受信した場合、ロジックは、これらのエンティティの(可能な更新を用いた)セキュリティ保護された再始動のために状態S2に切り替わる。この状態S2におけるこのセキュリティ保護された再始動の後に、ロジックは、後で説明するセキュリティ保護された通信状態S4に切り替わる。
【0058】
状態S1において、監督モジュールMSがコード1または3異常を検出した場合、監督モジュールMSはモジュールM1をアクティブ化し、ロジックは状態S3に切り替わり、通信モジュールMCは、UCAカードを使用し続けるが、リモート管理サーバSGとのインターネット通信以外のインターネット通信を禁止する。
【0059】
この状態S3において、監督モジュールMSがコード2または3異常を検出した場合、すなわち、通信モジュールMCが、ネットワークカバレージが1時間の間なかったことと、通信モジュールMCがネットワークカバレージの喪失の指示なしに15分間の間もはやメッセージを送信または受信していないこととを示した場合、ロジックはセキュリティ保護された通信状態S4に切り替わる。
【0060】
状態S3において、リモート管理サーバSGが、状態S3への切り替えをトリガしたコード1または3異常を排除することと、それについて車両Vに通知することとが可能であることなしに、車両Vがユーザによってオフに切り替えられた場合、ロジックは、通信モジュールMCのセキュリティ保護された再始動の状態S5に切り替わり、通信モジュールにVCAカードのみを使用させる。この再始動の後に、ロジックはセキュリティ保護された通信状態S4に切り替わる。
【0061】
状態S3において、リモート管理サーバSGが、状態S3への切り替えをトリガしたコード1または3異常を排除した場合、ロジックは状態S1に切り替わる。
【0062】
セキュリティ保護された通信状態S4において、通信モジュールMCは、車両Vがオンに切り替えられようとオフに切り替えられようと、リモート管理サーバSGと通信するためにVCAカードのみを使用することが許可される。この状態S4において、リモート管理サーバSGが、状態S4への切り替えにつながったコード1、2または3異常を排除することと、それについて車両Vに通知することとが可能であることなしに、車両Vがオンに切り替えられ、ユーザが自身の車両をオフに切り替えた場合、ロジックは状態S4に戻る。反対に、この状態S4において、リモート管理サーバSGが、状態S4への切り替えにつながったコード1、2または3異常を排除し、それについて車両Vに通知する場合、ロジックは、車両がオフに切り替えられた場合は状態S0に戻るか、または車両がオンに切り替えられた場合は状態S1に戻る。
【0063】
明らかに、このロジックは本発明の例示的な実施形態にすぎない。本発明による車両、システムまたは方法の他の変形実施形態において他のロジックが実装され得る。たとえば、車両がモジュールM2とモジュールM3とのみを実装する変形態では、状態S3と状態S4とはマージされる。さらに、本発明の別の変形実施形態では、リモート管理サーバSGはサードパーティによって保持される。この変形態では、監督モジュールMSとモート管理サーバSGとの間で交換されたメッセージの署名のための秘密鍵の交換は、たとえばRSA非対称暗号化アルゴリズムを使用する第1の暗号化された交換によって実行される。多くの他の変形実施形態がもちろん可能である。特に、本発明の別の変形実施形態では、監督モジュールMSは、リモート管理サーバSGによって送信された署名されて一意に予め定められたメッセージの正しい受信を監視することによって通信モジュールMCとリモート管理サーバSGとの間の接続の正しい動作を監督するが、監督モジュールMS自体はリモート管理サーバSGにテストメッセージを送信しない。この変形態は、しかしながら、1つの方向における接続の監督のみをカバーする。別の変形態では、監督モジュールは、リモート監督サーバSGにテストメッセージを送信し、これらのテストメッセージは、異常コードを含んでいないか、または異常が検出されたときにのみ1つの異常コードを含んでいる。最後に、別の変形態では、管理サーバSGは、ホワイトゾーンから出るまで、しきい値T1およびT2にリンクされた時間カウンタを非アクティブ化するために、車両Vがホワイトゾーン中に入る直前に、車両Vにアラートするメッセージを送信する。
【図1】
【図2】
【図3】
【図4】