ホーム > 特許ランキング > RENAULT S.A.S.
知財求人 - 知財ポータルサイト「IP Force」
▶ ルノー エス.ア.エス.の特許一覧 ▶ 日産自動車株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-14
(54)【発明の名称】アクチュエータコマンドの真正性を検証するための方法
(51)【国際特許分類】
G06F 21/64 20130101AFI20240206BHJP
G06F 21/71 20130101ALI20240206BHJP
【FI】
G06F21/64
G06F21/71
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023546024
(86)(22)【出願日】2022-01-31
(85)【翻訳文提出日】2023-09-19
(86)【国際出願番号】 EP2022052161
(87)【国際公開番号】W WO2022171468
(87)【国際公開日】2022-08-18
(31)【優先権主張番号】2101359
(32)【優先日】2021-02-12
(33)【優先権主張国・地域又は機関】FR
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ANDROID
2.CarPlay
(71)【出願人】
【識別番号】507308902
【氏名又は名称】ルノー エス.ア.エス.
【氏名又は名称原語表記】RENAULT S.A.S.
【住所又は居所原語表記】122-122 bis, avenue du General Leclerc, 92100 Boulogne-Billancourt, France
(71)【出願人】
【識別番号】000003997
【氏名又は名称】日産自動車株式会社
(74)【代理人】
【識別番号】110002077
【氏名又は名称】園田・小林弁理士法人
(72)【発明者】
【氏名】ペレス, マルク
(72)【発明者】
【氏名】ソウム, ラドゥアン
(57)【要約】
本発明は、電子制御ユニットによって制御されることが可能なアクチュエータからのコマンドの真正性を検証するための方法であって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、ユーザコマンドを受信し、アクチュエータコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、外部通信デバイスがマルチメディアシステムのタッチセンシティブディスプレイ上にリモートで表示されることを可能にするように構成されたオペレーティングシステムと、オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された認証されたセキュアな環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたサポートコントローラを備える、認証されたセキュアな環境とを含み、方法は、a)認証されたセキュアな環境によってユーザコマンドをサインオフすることであって、ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的アクティブ化に対応する、サインオフすることと、b)オペレーティングシステムによって、サインオフされたコマンドを電子制御ユニットに送信することと、c)電子制御ユニットによってサインオフを検証することと、d)アクチュエータによってユーザコマンドを実行することとを含む、コマンドの真正性を検証するための方法に関する。
【選択図】図3
【選択図】図3
【特許請求の範囲】
【請求項1】
電子制御ユニット(UC)によって制御されることが可能なアクチュエータ(ACT)のコマンドの真正性を検証するための方法であって、前記電子制御ユニット(UC)がマルチメディアシステム(IVI)に接続され、前記マルチメディアシステム(IVI)が、ユーザコマンドを受信し、前記アクチュエータ(ACT)の前記コマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイ(SC)と、
外部通信デバイスからの表示を前記マルチメディアシステム(IVI)の前記タッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステム(OS)と、
前記オペレーティングシステム(OS)のセキュリティレベルよりも高いレベルのセキュリティを与えるために構成された信頼できる実行環境(TEE)であって、前記タッチセンシティブディスプレイ(SC)上のユーザコマンドを検出するために構成されたタップコントローラ(TC)を備える、信頼できる実行環境(TEE)とを含み、
前記方法は、
a)前記信頼できる実行環境(TEE)によるユーザコマンドの署名であって、前記ユーザコマンドが前記ディスプレイ(SC)の少なくとも1つのエリアの物理的アクティブ化に対応する、署名と、
b)前記オペレーティングシステム(OS)による前記電子制御ユニット(UC)への前記署名されたコマンドの送信と、
c)前記電子制御ユニット(UC)による前記署名の検証と、
d)前記アクチュエータ(ACT)による前記ユーザコマンドの実行と
を含む、方法。
【請求項2】
a’)前記信頼できる実行環境(TEE)による前記ユーザコマンドの検出と、a’’)前記信頼できる実行環境(TEE)から前記オペレーティングシステム(OS)への前記コマンドの再送信と、
a’’’)前記ユーザコマンドに応じた前記タッチセンシティブディスプレイ(SC)上の前記表示の更新と
をあらかじめ含む、請求項1に記載の方法。
【請求項3】
前記信頼できる実行環境(TEE)が、前記アクチュエータ(ACT)の前記コマンドに関係するセキュアな機能を制御し、前記タッチセンシティブディスプレイ(SC)上で実行された前記ユーザコマンドに日付スタンプを付けるために構成された認証構成要素(CA)を含み、前記コマンドに署名するステップa)は、
i)前記認証構成要素(CA)による、前記オペレーティングシステム(OS)によって送られた車両機能要求(REQ1)の受信と、
ii)前記車両機能要求(REQ1)の受信の時間と、前記タッチセンシティブディスプレイ(SC)上の前記ユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、前記コマンドの署名と
を含む、請求項2に記載の方法。
【請求項4】
前記信頼できる実行環境(TEE)は、前記アクチュエータ(ACT)の前記コマンドに関係するセキュアな機能を制御するために構成された認証構成要素(CA)を備え、前記コマンド署名ステップa)は、車両対話メニューを表示するために、前記認証構成要素(CA)が、前記ディスプレイの前記エリアの前記アクティブ化に応答して、前記ユーザコマンドに関係するセキュアなアクション開始フレーム(START)を事前に検出することを含み、
前記認証構成要素(CA)が、前記署名されたコマンドの前記オペレーティングシステム(OS)による送信のための前記ステップb)に応答して、前記ユーザコマンドに関係するセキュアなアクション終了フレーム(END)を生成する、請求項1または2に記載の方法。
【請求項5】
前記オペレーティングシステム(OS)が、前記オペレーティングシステム(OS)に固有のコンテンツのスクリーングラブを前記信頼できる実行環境(TEE)に定期的に送り、前記信頼できる実行環境(TEE)が、前記オペレーティングシステム(OS)から受信された前記スクリーングラブ上に前記車両対話メニューを重ねる、請求項4に記載の方法。
【請求項6】
前記アクチュエータ(ACT)が、自動車車両の自動ギアボックスの構成または自動車車両のドライバ支援機能の構成を制御するために、自動車車両の快適さを制御するためのコマンドを実行するように構成された、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記アクチュエータ(ACT)が、ホームオートメーションシステムからのコマンドを実行するために構成された、請求項1から5のいずれか一項に記載の方法。
【請求項8】
前記外部通信デバイスがスマートフォンまたはタブレットである、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記タッチセンシティブディスプレイ(SC)の少なくとも1つのエリアの前記物理的アクティブ化が、前記タッチセンシティブディスプレイ(SC)のエリアの前記ユーザによるタッピングを含む、請求項1から8のいずれか一項に記載の方法。
【請求項10】
電子制御ユニット(UC)によって制御されることが可能なアクチュエータコマンドシステム(ACT)であって、前記電子制御ユニット(UC)がマルチメディアシステム(IVI)に接続され、前記マルチメディアシステム(IVI)は、ユーザコマンドを受信し、前記アクチュエータ(ACT)の前記コマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイ(SC)と、
外部通信デバイスからの表示を前記マルチメディアシステム(IVI)の前記タッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステム(OS)と、
前記オペレーティングシステム(OS)よりも高いレベルのセキュリティを与えるために構成された信頼できる実行環境(TEE)であって、前記タッチセンシティブディスプレイ(SC)上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境(TEE)と
を含み、
前記システムは、さらに、請求項1から9のいずれか一項に記載の方法を実装するために構成された、アクチュエータコマンドシステム(ACT)。
【発明の詳細な説明】
【発明の概要】
【0001】
本発明は、アクチュエータのコマンドの真正性を検証するための方法に関し、また、アクチュエータに命令するためのシステムに関する。本発明は、特に自動車車両の分野に適応されるが、他の分野、特にホームオートメーションシステムにも適用され得る。
【0002】
「インフォテインメント(infotainment)」は、自動車車両のための主要なセールスポイントになっている。ユーザは、車両のダッシュボードから、様々なマルチメディアコンテンツまたは様々な電気通信またはナビゲーションサービスにアクセスすることが可能であることを望む。頭字語「IVI」(車両内(In-Vehicle)インフォテインメント)によって知られているマルチメディアシステムが、したがって、車両に装備するために開発されてきた。
【0003】
また、ダッシュボード上の外部通信デバイス、たとえばスマートフォンまたはタブレットのコンテンツへのアクセスをユーザに与えるためのソリューションが提供されている。ダッシュボードは、その場合、ユーザのアプリケーションがインターフェースの変化によって遠ざけられないように、彼/彼女がそこから通常のインターフェースを用いてそれらのアプリケーションにアクセスすることができるリモートスクリーンである。
【0004】
ユーザは、したがって、ダッシュボードのタッチスクリーン上の彼/彼女の外部通信デバイス(たとえばスマートフォン)のコンテンツにアクセスし、車両のいくつかの部分、たとえば、ドライバ支援システム、快適さ(座席、暖房)、自動ギアボックスの構成、音量などを制御し得る。
【0005】
マルチメディアシステムは、外部通信デバイスのディスプレイがマルチメディアシステムのタッチセンシティブディスプレイ上に伝達されることを可能にする一体型オペレーティングシステムをさらに備える。Android AutoまたはCarPlayはそのようなオペレーティングシステムの例である。
【0006】
しかしながら、そのような接続性は攻撃面の増加につながる。実際、いくつかのオペレーティングシステムのように、オープンシステムを介して、マルチメディアシステムを外部通信ネットワーク、たとえばインターネットに接続することにより、通信システムはサイバー攻撃を受けやすくなり得る。
【0007】
さらに、IVIのOSオペレーティングシステムなどの「オープン」システムの使用はセキュリティ問題を引き起こし得る。たとえば、いくつかの製造業者は、Androidストアを通したサードパーティアプリケーションのインストールを可能にするAndroidオペレーティングシステムを使用する。これらのアプリケーションは潜在的な脅威を表す。また、これらのオープンシステムは、通常、一般に、専用の制御ユニットを介して車両自体によって与えられる、インターネットへの接続を必要とする。
【0008】
しかしながら、マルチメディアシステムの攻撃の場合、車両の制御に関係する機能などの最も重要な機能を含む、利用可能な機能のすべてが攻撃者によって使用され得る。
【0009】
たとえばバンキングアプリケーションのために使用される、スマートフォンに入力されるデータの機密性を保証するためのソリューションが存在する。オペレーティングシステムはセキュアな部分を含む。アプリケーションはオペレーティングシステムによって実行される。
【0010】
ユーザがパスワードを入力しなければならない場合、セキュアな部分はパスワードを引き継ぎ、暗号化する。認証手順の終わりに、セキュアな部分は、暗号化されたパスワードをオペレーティングシステムに送信する。したがって、オペレーティングシステムに対するサイバー攻撃の場合、攻撃者はパスワードを所有することができない。
【0011】
現在スマートフォンに一体化されているセキュリティシステムはまた、攻撃者が、ディスプレイの分析と相関させられた、スクリーンタッピング分析によるシークレットコードを推測することを防ぐ。
【0012】
たとえば特許出願の米国特許出願公開第2005/0275661(A1)号または米国特許出願公開第2016/0255073(A1)号に開示されている、従来技術の知られているソリューションは、したがって、データ交換の機密性が保証されることを可能にする。これらのソリューションは、しかしながら、データ交換の真正性(または完全性)を保証することを目的としていない。
【0013】
しかしながら、自動車またはホームオートメーション分野などのセンシティブな分野に適用されるマルチメディアシステムでは、コマンドが実際にユーザ対話にリンクされ、ユーザ対話なしに動作しているコードにはリンクされないことを保証することが重要である。
【0014】
したがって、マルチメディアシステムからのコマンドが実際にユーザによって「物理的に」開始されることと、オペレーティングシステムが損なわれた場合に、オペレーティングシステムがそのような行為を開始することが可能でないこととを保証することが可能な方法およびデバイスが必要である。
【0015】
本発明の1つの主題は、したがって、電子制御ユニットによって制御されることが可能なアクチュエータのコマンドの真正性を検証するための方法であって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたタップコントローラを備える、信頼できる実行環境と
を含み、
本方法は、
a)信頼できる実行環境によるユーザコマンドの署名であって、前記ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的なアクティブ化に対応する、署名と、
b)オペレーティングシステムによる電子制御ユニットへの署名されたコマンドの送信と、
c)電子制御ユニットによる署名の検証と、
d)アクチュエータによるユーザコマンドの実行と
を含む方法である。
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するために構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するように構成されたタップコントローラを備える、信頼できる実行環境と
を含み、
本方法は、
a)信頼できる実行環境によるユーザコマンドの署名であって、前記ユーザコマンドが、ディスプレイの少なくとも1つのエリアの物理的なアクティブ化に対応する、署名と、
b)オペレーティングシステムによる電子制御ユニットへの署名されたコマンドの送信と、
c)電子制御ユニットによる署名の検証と、
d)アクチュエータによるユーザコマンドの実行と
を含む方法である。
【0016】
有利には、本方法は、
a’)信頼できる実行環境によるユーザコマンドの検出と、
a’’)信頼できる実行環境からオペレーティングシステムへのコマンドの再送信と、
a’’’)ユーザコマンドに応じたタッチセンシティブディスプレイ上の表示の更新と
をあらかじめ含む。
a’)信頼できる実行環境によるユーザコマンドの検出と、
a’’)信頼できる実行環境からオペレーティングシステムへのコマンドの再送信と、
a’’’)ユーザコマンドに応じたタッチセンシティブディスプレイ上の表示の更新と
をあらかじめ含む。
【0017】
有利には、信頼できる実行環境は、アクチュエータのコマンドに関係するセキュアな機能を制御し、タッチセンシティブディスプレイ上で実行されたユーザコマンドに日付スタンプを付けるために構成された認証構成要素を含み、
コマンド署名ステップa)は、
i)認証構成要素による、オペレーティングシステムによって送られた車両機能要求の受信と、
ii)車両機能要求の受信の時間とタッチセンサセンシティブディスプレイ上のユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、コマンドの署名と
を含む。
コマンド署名ステップa)は、
i)認証構成要素による、オペレーティングシステムによって送られた車両機能要求の受信と、
ii)車両機能要求の受信の時間とタッチセンサセンシティブディスプレイ上のユーザコマンドの時間との間の期間が所定の値よりも小さい場合の、コマンドの署名と
を含む。
【0018】
有利には、信頼できる実行環境は、アクチュエータのコマンドに関係するセキュアな機能を制御するために構成された認証構成要素を備え、
コマンド署名ステップa)は、車両対話メニューを表示するために、認証構成要素が、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアなアクション開始フレームを事前に検出することを含み、
認証構成要素が、署名されたコマンドのオペレーティングシステムによる送信のためのステップb)に応答して、ユーザコマンドに関係するセキュアなアクション終了フレームを生成する。
コマンド署名ステップa)は、車両対話メニューを表示するために、認証構成要素が、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアなアクション開始フレームを事前に検出することを含み、
認証構成要素が、署名されたコマンドのオペレーティングシステムによる送信のためのステップb)に応答して、ユーザコマンドに関係するセキュアなアクション終了フレームを生成する。
【0019】
有利には、オペレーティングシステムは、オペレーティングシステムに固有のコンテンツのスクリーングラブ(grab)を信頼できる実行環境に定期的に送り、信頼できる実行環境は、オペレーティングシステムから受信されたスクリーングラブ上に車両対話メニューを重ねる。
【0020】
有利には、アクチュエータは、自動車車両の自動ギアボックスの構成または自動車車両のドライバ支援機能の構成を制御するために、自動車車両の快適さを制御するためのコマンドを実行するように構成される。
【0021】
有利には、アクチュエータは、ホームオートメーションシステムからのコマンドを実行するために構成される。
【0022】
有利には、外部通信デバイスはスマートフォンまたはタブレットである。
【0023】
有利には、タッチセンシティブディスプレイの少なくとも1つのエリアの物理的なアクティブ化はタッチセンシティブディスプレイのエリアのユーザによるタッピングを含む。
【0024】
本発明はまた、電子制御ユニットによって制御されることが可能なアクチュエータに命令するためのシステムであって、電子制御ユニットがマルチメディアシステムに接続され、マルチメディアシステムは、
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するように構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムよりも高いレベルのセキュリティを提供するように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境と
を含み、
システムは、さらに、上述の方法を実装するように構成される、システムに関する。
ユーザコマンドを受信し、アクチュエータのコマンドに関係する情報を表示するように構成されたタッチセンシティブディスプレイと、
外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムと、
オペレーティングシステムよりも高いレベルのセキュリティを提供するように構成された信頼できる実行環境であって、タッチセンシティブディスプレイ上のユーザコマンドを検出するために構成されたタップコントローラを含む、信頼できる実行環境と
を含み、
システムは、さらに、上述の方法を実装するように構成される、システムに関する。
【0025】
本発明の他の特徴、詳細および利点は、例として与えられる添付の図面を参照しながら提示される説明を読めば明らかになろう。
【図面の簡単な説明】
【0026】
【図1】本発明によるシステムを示す図である。
【図2】本発明による方法の様々なステップを示す図である。
【図3】本発明による方法の実施形態を示す図である。
【図4】本発明による方法の実施形態を示す図である。
【図5】サイバー攻撃に応答した、第1の実施形態による方法の適用を示す図である。
【発明を実施するための形態】
【0027】
図1は、本発明による方法を実装するためのシステムの全体的なアーキテクチャを示す。
【0028】
マルチメディアシステムIVIは、画像、ビデオなど、任意のタイプのマルチメディアコンテンツと一緒に、ナビゲーション情報を表示するために、タッチスクリーンSCを備える。タッチスクリーンSCはまた、ユーザのスマートフォンのディスプレイを再生するために構成される。
【0029】
マルチメディアシステムIVIは、同時に動作している2つのシステム、すなわち、外部通信デバイスからの表示をマルチメディアシステムのタッチセンシティブディスプレイ上に伝達するために構成されたオペレーティングシステムOSと、信頼できる実行環境TEEと一緒に構成される。
【0030】
信頼できる実行環境TEEは、いくつかの周辺機器(メモリ、スクリーンなど)を部分的にまたは完全に分離するそれの能力として、オペレーティングシステムのセキュリティレベルよりも高いレベルのセキュリティを与えるために構成される。
【0031】
本発明によるシステムでは、タップコントローラTC(または「ドライバ」)は、タッチセンシティブディスプレイスクリーンSC上のユーザタップを検出し、タップを信頼できる実行環境TEEによって解釈可能なコマンドに変換する。
【0032】
センシティブと識別されたユーザインターフェースの部分、すなわち車両との対話を可能にする部分は、信頼できる実行環境TEEに一体化された認証構成要素CAによって実行される。
【0033】
ユーザが、車両のいくつかのコマンドの制御を要求するようにインターフェースと対話する場合、認証構成要素CAは、次いで、セキュリティ鍵によって署名されるコマンドを生成する。信頼できる実行環境TEEは、信頼できる実行環境TEEの分離能力としてこの鍵の機密性を保証する。
【0034】
信頼できる実行環境TEEは、コマンドをオペレーティングシステムOSに送信し、オペレーティングシステムOSは、コマンドを電子制御ユニットUC、たとえばオンボードコンピュータ(本体制御モジュールを表すBCM)、またはドライバ支援システム(高度ドライバ支援システムを表すADAS)を管理するシステムに送る。送信は、データリンク、たとえばCANデータバスまたはI2Cバスを介して実行される。
【0035】
【0036】
本方法は4つのステップを含む。
【0037】
第1のステップa)において、信頼できる実行環境TEEがユーザコマンドに署名する。
【0038】
署名は、当業者に知られている暗号方法によって実行される。暗号方法は、(たとえば、AES、DESまたはトリプルDESアルゴリズムを実装する)共有鍵を用いる、対称タイプであるか、あるいは、(たとえば、RSAアルゴリズムを実装する)公開鍵および秘密鍵を使用する非対称タイプであり得る。
【0039】
第2のステップb)において、オペレーティングシステムOSが、署名されたコマンドを電子制御ユニットUCに送信する。
【0040】
第3のステップc)において、電子制御ユニットUCが署名を検証する。
【0041】
第4のステップd)において、ユーザコマンドが実行される。
【0042】
図3は、本発明による方法の第1の実施形態を示す。
【0043】
ユーザUSRは、たとえば、車両の機能を制御するか、あるいは車両の機能に固有のメニューをブラウズするために、たとえばスクリーン上をタップすることによって、ディスプレイスクリーンSCの少なくとも1つのエリアの物理的アクティブ化(スクリーンタップ)を実行する。
【0044】
信頼できる実行環境TEEはユーザコマンドを検出する(ステップa’))。
【0045】
タップ情報は、スクリーンによってタップコントローラTCに送信され、タップコントローラTCは、コマンドがオペレーティングシステムOSによって解釈可能であるために、スクリーンSCのエリアのアクティブ化を解釈する(ステップa’’))。
【0046】
さらに、タップコントローラTCは、タップイベントの「コピー」、一般にはタップが適用されたエリアおよびどんな圧力かを認証構成要素CAに送信する。認証構成要素CAは、その後、このイベントをタイムスタンプと共に保存する。
【0047】
信頼された実行環境TEEは、それの分離およびそれの限られたサイズにより攻撃することが特に困難であり、したがってオペレーティングシステムOSにさらされる攻撃面が低減される。したがって、攻撃者がディスプレイスクリーンSCを実際にタップすることなしに、攻撃者がタップイベントのコピーを送信することを達成することは困難である。
【0048】
オペレーティングシステムOSのHMI(ヒューマンマシンインターフェース)部分は、ユーザによってアクティブ化されたエリアに応じて表示を更新する。たとえば、HMI部分は、ユーザがメニューをブラウズするか、あるいはコマンドを選択する際に、メニューの表示を徐々に更新する(ステップa’’’))。
【0049】
オペレーティングシステムOS自体は、タップコントローラTCからのイベントを受信し、それの表示を更新する。信頼できる実行環境TEEは、したがって、仮想タップコントローラとして挙動し、物理タップコントローラから受信されたイベントを中継する。
【0050】
オペレーティングシステムOSのHMI部分は、ユーザコマンドに対応する、車両の機能へのアクセスの要求REQ1を、オペレーティングシステムOSのHAL(ハードウェアアブストラクションレイヤ)モジュールに送信する。
【0051】
HALモジュールは、製造業者またはOEM(相手先ブランド製造会社)が実装し得る車両の特性を定義するインターフェースである。HALモジュールは特性メタデータを含んでいる。暖房、換気および空調(HVAC)の場合、特性は、たとえば、ゾーンによる温度の調整、またはゾーンによる再循環の制御であり得る。
【0052】
HALモジュールは、特性が読取り専用であるのか、書込み専用であるのか、読取りおよび書込みであるのかを定義する。
【0053】
HMI部分によって行われたアクセスの要求に応答して、HALモジュールは、車両の機能へのアクセスの要求REQ1を認証構成要素CAに送信する(サブステップi))。
【0054】
サブステップii)において、車両機能要求REQ1の受信時間と、タッチセンシティブディスプレイスクリーンSC上のユーザコマンドの時間との間の期間(すなわち、タップの時間)が、所定の値よりも小さい(たとえば、数ミリ秒)場合、認証構成要素CAはコマンドを検証する。
【0055】
そうである場合、認証構成要素CAはユーザコマンドに署名し、次いでコマンドの真正性を保証する。実際、信頼できる実行環境TEEはマルチメディアシステムIVIのオペレーティングシステムOSとの対話をほとんど有さず、それにより、オペレーティングシステムOS、さらには車両のオンボードコンピュータを制御しようとする悪意のある攻撃からオペレーティングシステムOSが保護される。
【0056】
署名されたコマンドはHALモジュールに送信され、HALモジュールは、署名されたコマンドを、電子制御ユニットUC、たとえばオンボードコンピュータBCMまたはドライバ支援システムADASを管理するシステムに再送信する。電子ユニットUCは、認証されていないユーザによって開始されるコマンドを受信しないことが重要である。電子ユニットUCは、このようにして署名を検証する。
【0057】
認証構成機構CAによるコマンドのデジタル署名、および電子ユニットUCによる署名の検証は、非対称または対称暗号機構を使用する。この機構により、送信者の真正性を保証することが可能になる。
【0058】
電子ユニットUCがコマンドの真正性を検証すると、アクチュエータACTはユーザコマンドを実行する。
【0059】
この第1の実施形態によれば、オペレーティングシステムOSはディスプレイスクリーンSC上のディスプレイの完全な制御を保つ。すなわち、オペレーティングシステムOSのHMI部分はディスプレイスクリーンSCの更新を実行する。この場合、ユーザがスクリーンと対話することを促し、したがって彼/彼女の知識なしに車両コマンドをトリガすることを目的として、攻撃者が実際のインターフェースに「過負荷をかける」危険がある。
【0060】
図4は、本発明による方法の第2の実施形態を示しており、第2の実施形態では、信頼できる実行環境TEEは、ディスプレイスクリーンSCのタッチセンシティブレイヤ(上位レイヤ)だけでなく、ディスプレイスクリーンSCのディスプレイレイヤ(下位レイヤ)をも制御する。
【0061】
第2の実施形態では、スクリーンのエリアのアクティブ化はオペレーティングシステムOSに直接送信される。
【0062】
この実施形態では、メニューをブラウズするユーザが、車両のセキュアなコマンド(たとえば、HVACまたはADAS)を選択したとき、オペレーティングシステムOSは、対応するコマンド、たとえば、「HVACを開始する」または「ADASを開始する」を送り、当該のメニューを表示するように、信頼できる実行環境TEEにディスプレイスクリーンSCを引き継ぐように求める。
【0063】
ユーザが車両コマンドをタップした場合、信頼できる実行環境TEEは、電子ユニットUCに伝達するために、暗号化されたコマンドをオペレーティングシステムOSに送る。
【0064】
認証構成要素は、ディスプレイのエリアのアクティブ化に応答して、ユーザコマンドに関係するセキュアな行為を開始するためのフレームSTARTを受信する。
【0065】
信頼できる実行環境TEEがフレーム「START」を受信すると、信頼できる実行環境TEEは、ディスプレイスクリーンSCを全体的に制御する唯一の要素になる。スクリーン上にコンテンツを供給するのは信頼できる実行環境TEEである。しかしながら、信頼できる実行環境TEEは、時間、通知など、オペレーティングシステムOSからの情報を処理しない。
【0066】
ユーザエクスペリエンスにおける一貫性を維持するために、オペレーティングシステムOSは、それが表示することを望むスクリーングラブを、信頼できる実行環境TEEに定期的に送り得る。
【0067】
信頼できる実行環境TEEは、それがコンテンツとして供給しなければならない部分(すなわち、車両対話メニュー、たとえばHVAC)を、オペレーティングシステムOSから受信されたスクリーングラブ上に重ねる。
【0068】
図4において、フレーム化された部分は信頼できる実行環境TEEによって完全に管理され、これにより、第1の実施形態に対してセキュリティレベルが高くなる。
【0069】
HALモジュールは、セキュアな機能開始情報STARTを認証構成要素に送信し、したがって、ユーザタップはタップコントローラTCによってセキュアなタップであると見なされる。
【0070】
今回はセキュアなコマンド(たとえばADASまたはHVAC)の特定のコマンドに対応するセキュアなタップイベントを検出した後、認証構成要素は、コマンドに署名し、それをHALモジュールに送信し、HALモジュールはそれを電子ユニットUCに再送信する。
【0071】
署名されたコマンドをHALモジュールに送信した後に、認証構成要素CAは、ユーザコマンドに関係するセキュアなアクション終了フレームENDを生成する。フレームENDは、したがって、ユーザが、信頼できる実行環境TEEによって表示されたスクリーンから「出る」ことを決定したときに送られる。
【0072】
電子ユニットUCは、その後、署名されたコマンドの署名を検証し、コマンドが認証された場合、すなわち、コマンドが、信頼できる実行環境TEEによって実際に生成され、したがって、ユーザ対話に実際に対応する場合、電子ユニットUCはアクチュエータACTによってコマンドを実行する。
【0073】
この実施形態は、したがって、2つの利点を有する。第1に、信頼できる実行環境TEEのみがスクリーン上にコンテンツを表示するので、セキュリティが改善される。第2に、信頼できる実行環境TEEは、それが必要であるときにタップコントローラTCを制御するのみである(一方、第1の実施形態では、追加の待ち時間がある)。
【0074】
図5は、第1の実施形態に関する、車両の機能の制御を試みる悪意のある攻撃の一例を示す。
【0075】
攻撃者はオペレーティングシステムOSを介してアクチュエータコマンド機能をエミュレートする。HMI部分によって送信された機能要求に応答して、HALモジュールは、対応する情報を認証構成要素CAに送る。
【0076】
認証構成要素CAは、コマンドがユーザによる物理的アクティブ化、たとえばスクリーン上のタップに対応するかどうかを検証する。この目的のために、認証構成要素CAは、ユーザが、タップ検証に先行する所定の期間にわたって(たとえば最後のXミリ秒にわたって)スクリーンと対話したかどうかを検証する。
【0077】
悪意のある攻撃の枠組みでは、ユーザコマンドはタイムスタンプされず、したがって、認証構成要素CAはHALモジュールにエラーメッセージを送る。同時に、攻撃者は偽の署名を生成し得る。両方の場合において、電子ユニットUCは、署名を検証し、コマンドが認証されないので、エラーメッセージを返送する。
【0078】
この解決策では、したがって、オペレーティングシステムOSの制御をした攻撃者が、信頼できる実行環境TEEを制御することなしに車両コマンドを使用することは不可能である。しかしながら、オペレーティングシステムの通常の攻撃面に対するそれの分離により、また、それの限られたサイズにより、信頼できる実行環境TEEを制御することは複雑である。
【0079】
本発明は、したがって、スクリーン上の行為とマルチメディアシステムによって開始された行為との間に信頼できるチェーンを作成することによって、いくつかのユーザインターフェースのセキュリティレベルを高めながら、同時に、ユーザエクスペリエンスへの影響を制限することが可能である(別のスクリーンを有する必要がない)。
【0080】
本発明は自動車分野に限定されない。本発明は、エクスポーズされた機能へのリモートアクセスが攻撃者にとって魅力的であり得る、一定のセキュリティレベルを必要とするユーザ対話を与える任意のシステムにおいて使用され得る。
【0081】
たとえば、本方法は、家の中で利用可能なユーザインターフェースをもつホームオートメーションシステムに適用され、あまりセキュアでない外部通信デバイス、たとえばスマートフォンに接続され得る。したがって、エクスポーズされた機能、たとえばウィンドウの制御は保護され、それにより、制御スクリーンが損なわれた場合でも、ホームオートメーションシステムのスクリーンへの物理的アクセスなしに、行為を開始することはできない。
【図1】
【図2】
【図3】
【図4】
【図5】
【国際調査報告】