JP2014168219A - アクセス制限装置、車載通信システム及び通信制限方法 - Google Patents

アクセス制限装置、車載通信システム及び通信制限方法 Download PDF

Info

Publication number
JP2014168219A
JP2014168219A JP2013055403A JP2013055403A JP2014168219A JP 2014168219 A JP2014168219 A JP 2014168219A JP 2013055403 A JP2013055403 A JP 2013055403A JP 2013055403 A JP2013055403 A JP 2013055403A JP 2014168219 A JP2014168219 A JP 2014168219A
Authority
JP
Japan
Prior art keywords
program
information
vehicle
access
communication unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013055403A
Other languages
English (en)
Other versions
JP5900390B2 (ja
Inventor
Tetsuya Noda
哲矢 野田
Hiroshi Horibata
啓史 堀端
Hiroshi Okada
宏 岡田
Naoki Adachi
直樹 足立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2013055403A priority Critical patent/JP5900390B2/ja
Priority to US14/764,019 priority patent/US10027672B2/en
Priority to PCT/JP2014/050734 priority patent/WO2014119380A1/ja
Priority to CN201480006785.1A priority patent/CN104955680B/zh
Priority to DE112014000623.8T priority patent/DE112014000623T5/de
Publication of JP2014168219A publication Critical patent/JP2014168219A/ja
Application granted granted Critical
Publication of JP5900390B2 publication Critical patent/JP5900390B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】不正なプログラムによる車内ネットワークへの不正なアクセスにより外部への情報漏洩などが発生することを防止することができるアクセス制限装置、車載通信システム及び通信制限方法を提供する。
【解決手段】車輌の車内ネットワークと端末装置3などの外部装置との間の通信を、セキュリティコントローラ10を介して行う。セキュリティコントローラ10は、情報の送受信処理を伴うプログラムを追加又は更新することができる。セキュリティコントローラ10は、プログラムの実行に伴って発生する車内ネットワークの情報へのアクセスを、各プログラムのアクセス権限レベル及び各情報のアクセス許可レベルに基づいて制限する処理を行う。またセキュリティコントローラ10は、プログラムの実行に伴って車内ネットワークへ情報を送信する場合、各プログラムのアクセス権限レベル及び各情報のアクセス許可レベルに基づいて送信を制限する。
【選択図】図2

Description

本発明は、プログラムの追加及び更新等が可能な車載のゲートウェイなどの装置において、プログラムが車輌内のネットワークへ不正なアクセスを行うことを防止するアクセス制限装置、並びに、この装置を用いて車載機器及び外部装置の通信を制限することができる車載通信システム及び通信制限方法に関する。
車輌に搭載される電子機器の高機能化が押し進められている。近年の車輌には、走行制御に係る電子機器のみでなく、例えば車内のユーザの快適性向上又は娯楽等を目的とした種々の電子機器が搭載される。また近年では、携帯電話機、スマートフォン又はタブレット型端末等のユーザが所持する可搬型の情報処理端末の進歩が目覚ましく、これら情報処理端末と車輌内の電子機器とが連携して処理を行い、更に高度なサービスをユーザに提供するシステムが実用化され始めている。
このように高機能化された車載の電子機器においては、実行されるプログラムも高機能化され、プログラムをバージョンアップするなどの更新が必要となる場合がある。またユーザ毎に必要とする機能が異なる場合などがあり、ユーザの好みに応じて機能の選択又はカスタマイズ等を可能とすることで利便性が向上すると考えられるが、このような際にはプログラムの追加又は変更等が必要となる場合がある。このため近年の車載の電子機器において、プログラムの追加又は更新等を行うことを可能とする技術が検討及び開発されており、例えばOSGi(Open Services Gateway initiative)と呼ばれる技術を採用したものがある。
特許文献1においては、OSGiの技術を用い、車輌においてネットワーク化された携帯機器を使用するためのシステムが提案されている。このシステムでは、車載機器の携帯機器クライアントプログラムが携帯機器との通信を行い、携帯機器から車載機器への動的なアプリケーションプログラムの転送を行う。車載機器上又は携帯機器上では、車輌のディスプレイ又はスピーカ等の構成要素を使用するアプリケーションの実行が可能である。
特表2012−500516号公報
しかしながら、車載の電子機器をプログラムの追加及び更新等が可能な構成とした場合、悪意の第三者が作成したプログラムが追加されて実行される虞がある。これにより、例えば車内ネットワークにて送受信される情報が、不正なプログラムによって外部へ漏洩するなどの虞がある。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、不正なプログラムによる車内ネットワークへの不正なアクセスにより外部への情報漏洩などが発生することを防止することができるアクセス制限装置、車載通信システム及び通信制限方法を提供することにある。
本発明に係るアクセス制限装置は、車輌に搭載され、該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部と、外部装置との通信を行う第2通信部と、前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部と、該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部と、前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段と、前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定手段と、前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定手段と、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限手段とを備えることを特徴とする。
また、本発明に係るアクセス制限装置は、前記アクセス制限手段が、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部から前記車内ネットワークへの情報送信要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記第1通信部から車載機器への情報送信を制限するようにしてあることを特徴とする。
また、本発明に係るアクセス制限装置は、前記車輌の位置情報を取得する位置情報取得手段と、該位置情報取得手段が取得した位置情報に係る前記車輌の位置が、所定位置又は所定位置範囲内で有るか否かを判定する位置判定手段と、該位置判定手段の判定結果に応じて、前記プログラム追加更新手段によるプログラムの追加又は更新を制限するプログラム追加更新制限手段とを備えることを特徴とする。
また、本発明に係るアクセス制限装置は、前記プログラム追加更新制限手段が、プログラムのアクセス権限レベル、及び、前記位置判定手段の判定結果に応じて、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあることを特徴とする。
また、本発明に係るアクセス制限装置は、前記車輌に係る情報を取得する車輌情報取得手段を備え、前記プログラム追加更新制限手段は、前記車輌情報取得手段が取得した情報に基づいて、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあることを特徴とする。
また、本発明に係るアクセス制限装置は、前記車輌情報取得手段が取得した情報に基づいて、前記車輌が停止状態であるか否かを判定する停車判定手段を備え、前記プログラム追加更新制限手段は、前記停車判定手段が停止状態でないと判定した場合に、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあることを特徴とする。
また、本発明に係るアクセス制限装置は、前記車輌情報取得手段が取得する情報は、前記車輌の車速情報、及び/又は、前記車輌の原動機の動作状態を示す情報であることを特徴とする。
また、本発明に係るアクセス制限装置は、プログラムの配信元及びアクセス権限のレベルを対応付けたアクセス権限レベル情報を記憶するアクセス権限レベル情報記憶部を備え、前記第1判定手段は、アクセス権限レベル情報記憶部が記憶したアクセス権限レベル情報を基に、プログラムのアクセス権限のレベルを判定するようにしてあることを特徴とする。
また、本発明に係るアクセス制限装置は、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部から前記車内ネットワークへ送信された情報の量が所定量を超える場合に、情報の送信を遮断する遮断手段を備えることを特徴とする。
また、本発明に係るアクセス制限装置は、前記所定量が、プログラムのアクセス権限のレベルに応じて定められる量であることを特徴とする。
また、本発明に係るアクセス制限装置は、前記アクセス制限手段が情報に対するアクセスを制限した場合に、該アクセスに係るログ情報を生成するログ情報生成手段と、該ログ情報生成手段が生成したログ情報を記憶するログ情報記憶部とを備えることを特徴とする。
また、本発明に係る車載通信システムは、車輌に搭載され、該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部、外部装置との通信を行う第2通信部、前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部、該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部、前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段、前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定手段、前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定手段、並びに、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限手段を有するアクセス制限装置と、該アクセス制限装置に車内ネットワークを介して接続された一又は複数の車載機器とを備え、前記車載機器が前記アクセス制限装置を介して外部装置との通信を行うようにしてあることを特徴とする。
また、本発明に係る通信制限方法は、車輌に搭載され、該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部、外部装置との通信を行う第2通信部、前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部、該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部、及び、前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段を備えるアクセス制限装置を用いて、前記車載機器及び前記外部装置の通信を制限する通信制限方法であって、前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定ステップと、前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定ステップと、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定ステップにて判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定ステップにて判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限ステップとを含むことを特徴とする。
本発明においては、車内ネットワークを介して車載機器との通信を行う第1通信部と、無線及び/又は有線にて外部装置との通信を行う第2通信部とを備えるアクセス制限装置を介在させて、車載機器と外部装置との通信を行う。アクセス制限装置は、処理部にて実行するプログラムの追加又は更新が可能な構成とし、プログラムは第2通信部の通信によって外部装置から取得する。
アクセス制限装置は、情報に対するアクセス権限のレベルをプログラム毎に判定すると共に、情報毎にアクセスに必要なレベルを判定する。プログラムの実行により行われた処理にて車内ネットワークの情報に対するアクセス要求がなされた場合、アクセス制限装置は、このプログラムのアクセス権限のレベルが、アクセス要求に係る情報の必要レベルに達していれば、第1受信部にて受信したこの情報に対するアクセスを許可する。これに対してプログラムのアクセス権限のレベルが、情報の必要レベルに達していない場合、アクセス制限装置は、この情報に対するアクセスを禁止する。
このようなアクセス制限を行うことによって、信頼性の高いプログラムには車輌に係る多くの情報を与えて高度なサービスを提供させることを可能とする。また信頼性の低いプログラムに対しては与える情報を制限し、重要度が高い情報が外部へ漏洩することを防止することができる。
また、本発明においては、プログラムの実行により行われた処理にて第1通信部から車内ネットワークを介して車載機器へ情報を送信する場合にも、アクセス制限装置は同様の制限を行う。即ち、アクセス制限装置は、プログラムのアクセス権限のレベルが送信する情報の必要レベルに達している場合にこの情報の送信を許可し、プログラムのアクセス権限のレベルが送信する情報の必要レベルに達していない場合にはこの情報の送信を禁止する。このような情報送信の制限を行うことによって、不正なプログラムによる車内ネットワークへの不正な情報送信を防止することができる。
また、本発明においては、GPS(Global Positioning System)などを利用した車輌
の位置情報をアクセス制限装置が取得し、車輌の位置が所定位置又は所定位置範囲内であるか否かを判定する。例えばアクセス制限装置は、車輌の位置が、この車輌のディーラの所在位置又はこの所在位置から数十mなどの範囲内であるか否かを判定する。アクセス制限装置は、車輌の位置が所定位置又は所定位置範囲内である場合にプログラムの追加又は更新を許可し、車輌の位置が所定位置又は所定位置範囲内でない場合にプログラムの追加又は更新を禁止する。
このような車輌の位置に応じたプログラムの追加又は更新の制限を行うことによって、悪意の第三者によって不正なプログラムの追加又は更新等が行われることを防止できる。
また、車輌の制御に関するプログラムの追加又は更新が行われた場合には、車輌の走行に影響を及ぼす可能性がある。そこで本発明においては、車輌情報を取得して車輌の状況を判断し、プログラムの追加又は更新を制限する。例えば車輌の車速情報又は原動機の動作状態情報等を取得し、これらの情報に基づいて車輌が停止状態であるか否かを判定する。車輌が停止状態でない、即ち走行状態であると判定した場合に、プログラムの追加又は更新を制限する。これにより、車輌の走行中などにプログラムの追加又は更新が行われることを防止できる。
また、アクセス制限装置が車輌の位置に応じたプログラムの追加又は更新の制限を行う場合、プログラムのアクセス権限のレベルを考慮して制限を行ってもよい。例えば、アクセス権限のレベルが高いプログラムについては車輌位置に応じた追加又は更新の制限を行い、アクセス権限のレベルが低いプログラムについては車輌位置に応じた追加又は更新の制限を行わない構成とすることができる。
また、本発明においては、アクセス制限装置がプログラムの配信元とアクセス権限のレベルとを対応付けたアクセス権限レベル情報を記憶している。アクセス制限装置は、例えば新たなプログラムが追加された場合などにアクセス権限レベル情報を参照して、このプログラムのアクセス権限のレベルを判定することができる。プログラムの配信元は、例えばプログラムに付された電子署名を基に判断することができ、また例えばプログラムを追加した際の通信先のアドレス情報などを基に判断することができる。
また、本発明においては、プログラムの実行によって車内ネットワークへ送信された情報量が所定量を超える場合、アクセス制限装置が情報送信を遮断する。これにより不正なプログラムが大量の情報を車内ネットワークへ送信することによって、車内ネットワークがビジー状態となることを防止できる。
また、アクセス制限装置が情報量に応じて送信の遮断を行う場合、プログラムのアクセス権限のレベルを考慮して遮断を行ってもよい。例えばアクセス権限のレベルが高いプログラムについては多くの情報を送信することを許可し、アクセス権限のレベルが低いプログラムについては送信を許可する情報量を低く抑える構成とすることができる。
また、本発明においては、アクセス制限装置がアクセス制限を行った場合に、その旨を示すログ情報を生成して記憶しておく。これにより例えば車輌の修理又は点検等の際に、不正なプログラムが存在するか否か等を調査することができる。
本発明による場合は、プログラムのアクセス権限のレベルが、アクセス要求に係る情報の必要レベルに達しているか否かに応じて、アクセス制限装置がこのプログラムによる情報へのアクセスを制限することにより、信頼性の低いプログラムのアクセス制限を行うことができ、外部へ重要な情報が漏えいすることを防止できる。
本実施の形態に係る車載通信システムの構成を示す模式図である。 セキュリティコントローラの構成を示すブロック図である。 アクセス権限レベルテーブルの一構成例を示す模式図である。 アクセス許可レベルテーブルの一構成例を示す模式図である。 セキュリティコントローラが行うプログラムの追加又は更新の制限処理の手順を示すフローチャートである。 セキュリティコントローラが行うアクセス制限処理の手順を示すフローチャートである。 セキュリティコントローラが行う情報送信量に基づく送信制限処理の手順を示すフローチャートである。 セキュリティコントローラが行うアクセス権限レベルに基づく送信制限処理の手順を示すフローチャートである。 実施の形態2に係るセキュリティコントローラの構成を示すブロック図である。 実施の形態2に係るセキュリティコントローラが行うプログラムの追加又は更新の制限処理の手順を示すフローチャートである。
(実施の形態1)
以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。図1は、本実施の形態に係る車載通信システムの構成を示す模式図である。図において一点鎖線で示す1は車輌であり、車輌1にはセキュリティコントローラ10、ゲートウェイ30及び複数のECU(Electronic Control Unit)50等が搭載されている。車輌1には、共通の通信線にバス接続された複数のECU50による通信グループが複数存在し、通信グループ間の通信をゲートウェイ30が中継している。このためゲートウェイ30には、複数の通信線が接続されている。またゲートウェイ30は、セキュリティコントローラ10が接続されており、セキュリティコントローラ10からの情報をECU50へ送信すると共に、ECU50から受信した情報をセキュリティコントローラ10へ与える。
セキュリティコントローラ10は、ユーザが所持する端末装置3又は種々のサーバ装置5等と、ゲートウェイ30及びECU50等を含んで構成された車輌1の車内ネットワークとの間の通信を中継する機能を有し、ゲートウェイ30に接続されている。端末装置3は、例えばユーザが所持する携帯電話機、スマートフォン、タブレット型端末又はノートPC(Personal Computer)等の装置であり、セキュリティコントローラ10との間で有線又は無線による通信を行う。サーバ装置5は、車輌1外の適所に設置され、車輌1のセキュリティコントローラ10と直接的に、及び/又は、端末装置3を介して間接的に通信を行う。
図2は、セキュリティコントローラ10の構成を示すブロック図である。セキュリティコントローラ10は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、位置情報取得部13、有線通信部14、無線通信部15、車内通信部16及び記憶部17等を備えて構成されている。
CPU11は、記憶部17のプログラム記憶部17aに記憶された一又は複数のプログラムをRAM12に読み出して実行することにより、種々の処理を行う演算処理装置である。図示の例では、CPU11が3つのプログラムA〜Cを実行している。CPU11は、例えば時分割などで複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行することができる。RAM12は、SRAM(Static RAM)又はDRAM(Dynamic RAM)等のメモリ素子で構成され、CPU11が実行するプログラム及び実行に必要なデータ等が一時的に記憶される。
位置情報取得部13は、車輌1の位置情報を取得してCPU11へ与える。位置情報取得部13は、例えばGPS(Global Positioning System)の信号を受信するアンテナなどが接続され、受信信号に基づいて車輌1の位置(緯度及び経度等)を算出する構成とすることができる。更に、位置情報取得部13は、速度センサ、加速度センサ又はジャイロセンサ等のセンサから得られる情報、並びに、地図情報等を利用して車輌1の位置を算出してもよい。なお車輌1にカーナビゲーション装置が搭載されている場合、車輌1の位置を算出する処理はカーナビゲーション装置が行い、算出結果をセキュリティコントローラ10が取得して利用する構成であってもよい。
有線通信部14は、通信ケーブルなどを接続するためのコネクタを有し、接続された通信ケーブルを介して端末装置3との通信を行う。有線通信部14は、例えばUSB(Universal Serial Bus)又はRS232C等の規格に応じて通信を行う。有線通信部14は、CPU11から与えられた情報を端末装置3へ送信すると共に、端末装置3から受信した情報をCPU11へ与える。
無線通信部15は、電波又は光等の無線信号を利用して、車輌1内又は車輌1から無線信号が到達する範囲内に存在する端末装置3との間で無線通信を行う。無線通信部15は、例えば無線LAN(Local Area Network)又はBluetooth(登録商標)等の規格に応じて無線通信を行う。また無線通信部15は、公衆の携帯電話網などを利用して、車輌1から遠隔地にセットされたサーバ装置5などとの通信を行う構成としてもよい。無線通信部15は、CPU11から与えられた情報を端末装置3又はサーバ装置5等の外部装置へ送信すると共に、外部装置から受信した情報をCPU11へ与える。
車内通信部16は、車輌1に搭載されたゲートウェイ30に通信ケーブルを介して接続されている。車内通信部16は、例えばCAN(Controller Area Network)又はLIN
(Local Interconnect Network)等の規格に応じて、ゲートウェイ30との通信を行う。車内通信部16は、CPU11から与えられた情報をゲートウェイ30へ送信すると共に、ゲートウェイ30から受信した情報をCPU11へ与える。
記憶部17は、フラッシュメモリ若しくはEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリ素子、又は、ハードディスクなどの磁気記憶装置等を用いて構成されている。記憶部17は、CPU11が実行するプログラム及び実行に必要なデータ等を記憶するプログラム記憶部17aを有する。また記憶部17は、追加更新許可位置情報17b、アクセス権限レベルテーブル17c、アクセス許可レベルテーブル17d及びログ情報17e等を記憶する。
本実施の形態に係るセキュリティコントローラ10は、CPU11にて実行するプログラムを追加、更新及び削除等することが可能な構成である。例えば、ユーザがGPS受信機の搭載された端末装置3にてカーナビゲーションプログラムを動作させ、端末装置3をカーナビゲーション装置として利用する場合、車輌1の速度情報などを端末装置3が取得することによって精度のよい車輌位置の算出を行うことが可能となる。そこでユーザは、端末装置3のカーナビゲーションプログラムと連動し、車輌1の速度情報などを取得して端末装置3へ送信するプログラムを、セキュリティコントローラ10に追加(いわゆるインストール)することができる。
例えばセキュリティコントローラ10は、OSGiの技術を採用することで、プログラムの追加、更新及び削除等を行うことができる構成とすることができる。OSGiは、バンドルと呼ばれるプログラムの動的な追加及び実行等を管理するシステムであり、バンドルの実行基盤であるOSGiフレームワークがCPU11にて動作する。なおOSGiは既存の技術であるため、詳細な説明は省略する。またセキュリティコントローラ10は、OSGi以外の技術を採用してプログラムの追加、更新及び削除等を行ってもよい。
セキュリティコントローラ10のCPU11は、端末装置3からプログラムの追加指示が与えられた場合、又は、車輌1の運転席近傍に設けられた操作部(図示は省略する)などからユーザの操作に基づく追加指示が与えられた場合に、プログラムを追加する処理を行う。追加するプログラムは、例えば端末装置3が記憶しているものをセキュリティコントローラ10が取得してもよく、また例えばサーバ装置5などから取得してもよい。セキュリティコントローラ10のCPU11は、端末装置3又はサーバ装置5等から取得したプログラムを記憶部17のプログラム記憶部17aに記憶する。以後、CPU11は、必要に応じて追加したプログラムを記憶部17から読み出して実行し、このプログラムに係る処理を行うことができる。
またセキュリティコントローラ10のCPU11は、既に記憶部17に記憶されたプログラムについて、例えば機能拡張又は不具合修正等を目的として、プログラムの更新処理を行う。プログラムの更新処理は、例えば車輌1の操作部又は端末装置3等から更新指示が与えられた場合に行ってもよく、また例えばサーバ装置5などとの通信を定期的に行い、プログラムの更新の要否をCPU11が判定して自発的に行ってもよい。セキュリティコントローラ10のCPU11は、記憶部17のプログラム記憶部17aに記憶されているプログラムの一部又は全部を、端末装置3又はサーバ装置5等から取得した更新用の情報(更新用のプログラム又はデータ等)にて書き換えることにより、プログラムを更新する。
またセキュリティコントローラ10のCPU11は、記憶部17のプログラム記憶部17aに記憶されたプログラムを削除する処理を行う。例えばCPU11は、車輌1の操作部又は端末装置3等からプログラムの削除指示が与えられた場合に、該当するプログラムをプログラム記憶部17aから削除する。
このように本実施の形態に係るセキュリティコントローラ10は、ユーザが必要に応じてプログラムの追加及び更新等を行うことができる構成であるため、悪意の第三者が作成したプログラムがセキュリティコントローラ10に追加されてCPU11に実行される虞がある。そこで本実施の形態に係るセキュリティコントローラ10は、不正なプログラムによって車輌1内への不正なアクセスが発生することを防止すべく、車内ネットワークにて送受信される情報に対するアクセス制限を行う機能を有する。以下に、セキュリティコントローラ10によるアクセス制限機能について説明する。
セキュリティコントローラ10は、CPU11にて実行する各プログラムについて、車内ネットワークにて送受信される情報に対するアクセス権限のレベルを判定する。この判定は、例えば外部装置からプログラムを受信してプログラム記憶部17aに記憶する際に行ってもよく、例えばプログラムを実行する都度行ってもよく、また例えばプログラムから情報に対するアクセス要求が発せられる都度行ってもよく、その他のタイミングで行ってもよい。セキュリティコントローラ10のCPU11は、記憶部17に記憶されたアクセス権限レベルテーブル17cに含まれる情報に基づいて各プログラムのアクセス権限レベルを判定する。
図3は、アクセス権限レベルテーブル17cの一構成例を示す模式図である。アクセス権限レベルテーブル17cには、プログラムの配信元に関する情報と、アクセス権限レベルとが対応付けて記憶されている。図示の例では、アクセス権限レベルテーブル17cのプログラム配信元として、a社、b社…のように社名が記載されているが、これは一例であって、プログラムの配信元を識別し得る情報であればどのような情報であってもよい。CPU11は、プログラムを追加又は更新する際に、プログラムに付された電子署名又はプログラムを取得したサーバ装置5のIP(Internet Protocol)アドレス等の情報に基
づいてプログラムの配信元を判断する。
またアクセス権限レベルテーブル17cのアクセス権限レベルとして、レベル1〜3の3段階が設定されている。ただしこれは一例であり、アクセス権限レベルは2段階又は4段階以上であってもよい。アクセス権限レベルは、その数値が大きいほど、高いアクセス権限を有していることを示している。即ち、アクセス権限レベル3のプログラムは、アクセス権限レベル1又は2のプログラムより、より多くの情報にアクセスすることができる。図示の例では、a社は車輌1の製造元の会社であり、最も高いアクセス権限レベル3が設定されている。またb社及びc社はアクセス権限レベル2が設定され、y社及びz社はアクセス権限レベル1に設定されている。なお、図示の例では、アクセス権限レベルを数値で表現しているが、これは一例であって、優先順位を識別し得る情報であればどのような情報であってもよい。
セキュリティコントローラ10のCPU11は、追加又は更新の際に電子署名などから判断したプログラムの配信元に基づき、アクセス権限レベルテーブル17cから該当する配信元を検索する。アクセス権限レベルテーブル17cに該当する配信元が記憶されている場合、CPU11は、対応するアクセス権限レベルを読み出し、追加又は更新するプログラムに対応付けてアクセス権限レベルを記憶部17に記憶する。なおプログラムの配信元がアクセス権限レベルテーブル17c中に存在しない場合、CPU11は、追加又は更新するプログラムを更に低いアクセス権限レベル(例えばレベル0など)に設定するか、又は、このようなプログラムの追加又は更新を許可しない。
また、セキュリティコントローラ10は、車輌1の車内ネットワークにて送受信される各情報(即ち、車内通信部16にて送受信する各情報)について、アクセスを許可するアクセス権限レベルを、アクセス許可レベルとして判定する。セキュリティコントローラ10のCPU11は、記憶部17に記憶されたアクセス許可レベルテーブル17dに基づいて、送受信される各情報についてのアクセス許可レベルを判定する。
図4は、アクセス許可レベルテーブル17dの一構成例を示す模式図である。アクセス許可レベルテーブル17dには、送受信される情報の種別と、アクセス許可レベルとが対応付けて記憶されている。図示の例では、アクセス許可レベルテーブル17dの情報種別として、エンジン制御情報、ユーザ情報、位置情報及び車速情報等が一例として記載されている。これらの情報種別は、例えば車内ネットワークがCANの規格に従うものである場合、送受信されるフレームに付されたID(IDentifier)番号及びフレーム内における情報の格納順序等に基づいて判断することができる。
またアクセス許可レベルテーブル17dのアクセス許可レベルとして、レベル1〜3の3段階が設定されている。ただしこれは一例であり、アクセス許可レベルは2段階又は4段階以上であってもよい。アクセス許可レベルは、その数値が大きいほど、情報に対するアクセスに必要なアクセス権限レベルが高いことを示している。即ち、アクセス許可レベル3の情報は、アクセス権限レベル3以上のプログラムがアクセス可能である。またアクセス許可レベル1の情報は、アクセス権限レベル1以上のプログラムがアクセス可能である。図示の例では、エンジン制御情報及びユーザ情報がアクセス許可レベル3に設定され、位置情報がアクセス許可レベル2に設定され、車速情報がアクセス許可レベル1に設定されている。なお、図示の例では、アクセス許可レベルを数値で表現しているが、これは一例であって、優先順位を識別し得る情報であればどのような情報であってもよい。
セキュリティコントローラ10のCPU11は、プログラムの実行により車内ネットワークの情報に対するアクセス要求がなされた場合、このプログラムのアクセス権限レベルと、アクセス要求に係る情報のアクセス許可レベルとを判定する。プログラムのアクセス権限レベルが情報のアクセス許可レベル以上である場合、CPU11は、このプログラムによる情報のアクセスを許可する。即ちCPU11は、アクセス要求に係る情報を、車内通信部16の受信情報から取得して、このプログラムの処理に用いる。これに対して、プログラムのアクセス権限レベルが情報のアクセス許可レベルに満たない場合、CPU11は、このプログラムによる情報のアクセスを許可しない。アクセスが許可されなかった場合の処理は、各プログラムに任される。
同様にセキュリティコントローラ10のCPU11は、プログラムの実行により車内ネットワークへの情報送信要求がなされた場合、このプログラムのアクセス権限レベルと、送信しようとする情報のアクセス許可レベルとを判定する。プログラムのアクセス権限レベルが情報のアクセス許可レベル以上である場合、CPU11は、このプログラムによる情報送信を許可し、車内通信部16から車内ネットワークへの情報送信を行う。これに対して、プログラムのアクセス権限レベルが情報のアクセス許可レベルに満たない場合、CPU11は、このプログラムによる情報送信を許可しない。
また、本実施の形態に係るセキュリティコントローラ10は、上述のようにプログラムの追加及び更新等の処理を行うが、この際にアクセス権限レベル及び車輌1の位置に応じてプログラムの追加及び更新を制限する。セキュリティコントローラ10のCPU11は、例えばアクセス権限レベル3のプログラムの追加又は更新について、車輌1の位置に応じた制限を行い、アクセス権限レベル1又は2のプログラムの追加又は更新については、車輌1の位置に応じた制限を行わない。
セキュリティコントローラ10は、プログラムの追加及び更新等の処理を行うことを許可する車輌1の位置に関する情報を、追加更新許可位置情報17bとして記憶部17に記憶している。追加更新許可位置情報17bは、例えば車輌1の製造会社の関連施設(ディーラ又は整備工場等)の位置情報が複数箇所について登録されている。位置情報は、例えば緯度及び経度等の情報を採用することができる。
プログラムの追加又は更新の要求が与えられた場合、セキュリティコントローラ10のCPU11は、位置情報取得部13にて取得した位置情報に係る車輌1の位置が、追加更新許可位置情報17bに登録された何れかの位置に該当する場合、プログラムの追加又は更新の処理を許可し、この処理を行う。なおCPU11は、車輌1の位置が登録された位置に完全に一致する場合のみでなく、登録された位置から数百mなどの所定範囲内に車輌1が位置している場合に、プログラムの追加又は更新の処理を許可してもよい。車輌1の位置が登録された位置に該当しない場合、CPU11は、プログラムの追加又は更新の処理を許可せず、この処理を行わない。
また、本実施の形態に係るセキュリティコントローラ10は、プログラムの実行に伴って車内ネットワークへ送信された情報量に応じて、このプログラムによる車内ネットワークへの情報送信を制限する。このためセキュリティコントローラ10のCPU11は、単位時間毎の各プログラムに関する情報送信量を監視している。CPU11は、何れかのプログラムの情報送信量が所定量を超えた場合、このプログラムによる情報送信を遮断する。なおこのときに、CPU11は、情報送信量が所定量を超えたプログラムに関する情報送信のみでなく、全てのプログラムに関する情報送信を一時的に又は完全に遮断してもよい。
またCPU11が情報送信を遮断するか否かの判定に用いる所定量は、全てのプログラムについて同じ値を用いるのではなく、プログラム毎に異なる値を用いてもよい。例えばアクセス権限レベルが高いプログラムについては所定量を大きな値とし、多くの情報送信を行うことを許可し、アクセス権限レベルが低いプログラムについては所定量を小さな値とし、送信できる情報量を制限することができる。
また、本実施の形態に係るセキュリティコントローラ10は、上述の情報に対するアクセス制限、情報の送信制限、プログラムの追加更新の制限、又は、情報送信量による送信遮断等の制限処理を行った場合、制限処理に係るログ情報17eを生成して記憶部17に記憶する。ログ情報17eには、例えば制限処理の要因となったプログラム、制限処理を行った日時、及び、制限処理の内容等の情報を含むことができる。ログ情報17eの読み出しは、例えば車輌1のディーラ又は整備工場等において専用の端末装置3が有線通信部14に接続された場合などに限定して許可する構成とすることができる。
次に、本実施の形態に係るセキュリティコントローラ10が行う処理の詳細を、フローチャートを用いて説明する。図5は、セキュリティコントローラ10が行うプログラムの追加又は更新の制限処理の手順を示すフローチャートである。ただし、図5に示す処理は、セキュリティコントローラ10の有線通信部14に通信ケーブルを介して端末装置3が接続され、認証処理などが完了してセキュリティコントローラ10と端末装置3との通信が確立されていることを前提としている。またセキュリティコントローラ10は、端末装置3からプログラムの追加又は更新の指示を受け付け、端末装置3を介してサーバ装置5との通信を行い、サーバ装置5から追加又は更新するプログラムを取得するものとする。
セキュリティコントローラ10のCPU11は、まず、端末装置3からプログラムの追加又は更新の要求を受け付けたか否かを判定し(ステップS1)、要求を受け付けていない場合には(S1:NO)、要求を受け付けるまで待機する。プログラムの追加又は更新の指示を受け付けた場合(S1:YES)、CPU11は、有線通信部14に接続された端末装置3を介した通信により、サーバ装置5との間で認証処理を行う(ステップS2)。例えばCPU11は、記憶部17に記憶されたユーザID及びパスワード等の認証情報を用いて、サーバ装置5との認証処理を行う。CPU11は、認証処理に成功したか否かを判定し(ステップS3)、認証処理に失敗した場合には(S3:NO)、処理を終了し、プログラムの追加又は更新の処理を行わない。
認証処理に成功した場合(S3:YES)、CPU11は、サーバ装置5から端末装置3を介して処理対象のプログラムを取得し(ステップS4)、例えばRAM12などに一時的に記憶する。CPU11は、取得したプログラムに付された電子署名などに基づいて、このプログラムの配信元を確認し(ステップS5)、記憶部17に記憶されたアクセス権限レベルテーブル17cに基づいてプログラムのアクセス権限レベルを判定する(ステップS6)。
次いでCPU11は、プログラムのアクセス権限レベルがレベル3であるか否かを判定する(ステップS7)。アクセス権限レベルがレベル3である場合(S7:YES)、CPU11は、位置情報取得部13にて位置情報を取得し(ステップS8)、車輌1の位置が所定位置であるか否かを判定する(ステップS9)。車輌1の位置が所定位置でない場合(S9:NO)、CPU11は、プログラムの追加又は更新を行わず、ログ情報17eを生成して記憶部17に記憶し(ステップS10)、処理を終了する。
またCPU11は、プログラムのアクセス権限レベルがレベル3ではなくレベル2以下である場合(S7:NO)、又は、車輌1の位置が所定位置である場合(S9:YES)、プログラムの追加又は更新を行い(ステップS11)、ログ情報17eを生成して記憶部17に記憶し(ステップS12)、処理を終了する。このときCPU11は、RAM12などに一時的に記憶したプログラムを記憶部17のプログラム記憶部17aに記憶すると共に、このプログラムの実行に必要な情報の登録などの処理を行うことで、プログラムの追加又は更新を行う。
図6は、セキュリティコントローラ10が行うアクセス制限処理の手順を示すフローチャートである。セキュリティコントローラ10のCPU11は、まず、プログラム記憶部17aに記憶されたプログラムの実行によって車内ネットワークの情報に対するアクセス要求がなされたか否かを判定する(ステップS21)。アクセス要求がなされていない場合(S21:NO)、CPU11は、アクセス要求がなされるまで待機する。
情報に対するアクセス要求がなされた場合(S21:YES)、CPU11は、アクセス要求を行ったプログラムのアクセス権限レベルを判定する(ステップS22)。なお、図5に示したフローチャートのステップS6にて判定したアクセス権限レベルを記憶部17に記憶している場合、CPU11は、ステップS22にて以前の判定結果を読み出してもよい。またCPU11は、アクセス要求の対象となる情報のアクセス許可レベルを、記憶部17に記憶されたアクセス許可レベルテーブル17dを基に判定する(ステップS23)。
次いでCPU11は、ステップS22にて判定したプログラムのアクセス権限レベルが、ステップS23にて判定した情報のアクセス許可レベル以上であるか否かを判定する(ステップS24)。アクセス権限レベルがアクセス許可レベル以上である場合(S24:YES)、CPU11は、プログラムによる情報のアクセスを許可し(ステップS25)、ログ情報17eを生成して記憶部17に記憶したうえで(ステップS26)、車内通信部16にて受信した情報を、アクセス要求を発したプログラムに与えて処理を行う。またアクセス権限レベルがアクセス許可レベル未満である場合(S24:NO)、CPU11は、プログラムによる情報のアクセスを禁止し(ステップS27)、ログ情報17eを生成して記憶部17に記憶し(ステップS28)、処理を終了する。
図7は、セキュリティコントローラ10が行う情報送信量に基づく送信制限処理の手順を示すフローチャートである。セキュリティコントローラ10のCPU11は、実行しているプログラム毎に、車内通信部16から車内ネットワークへの単位時間における情報送信量を算出する(ステップS31)。CPU11は、算出した情報送信量がプログラムのアクセス権限レベルごとに定められた所定量を超えるか否かを判定し(ステップS32)、情報送信量が所定量を超えない場合(S32:NO)、送信制限を行わずに処理を終了する。
またプログラムの情報送信量が所定量を超える場合(S32:YES)、CPU11は、このプログラムによる車内ネットワークへの情報送信を遮断し(ステップS33)、以後の情報送信を行わない。またCPU11は、情報送信の遮断に関するログ情報17eを生成して記憶部17に記憶し(ステップS34)、処理を終了する。なおCPU11は、並列的に実行する複数のプログラムについて、プログラム毎に図7に示す処理を周期的に繰り返して行っている。
図8は、セキュリティコントローラ10が行うアクセス権限レベルに基づく送信制限処理の手順を示すフローチャートである。セキュリティコントローラ10のCPU11は、まず、プログラム記憶部17aに記憶されたプログラムの実行によって車内ネットワークへの情報送信要求がなされたか否かを判定する(ステップS41)。情報送信要求がなされていない場合(S41:NO)、CPU11は、情報送信要求がなされるまで待機する。情報送信要求がなされた場合(S41:YES)、CPU11は、図7に示した送信制限処理によって、このプログラムに対する情報送信が遮断中であるか否かを更に判定する(ステップS42)。情報送信が遮断中である場合(S42:YES)、CPU11は、処理を終了する。
情報送信が遮断中でない場合(S42:NO)、CPU11は、情報送信要求を行ったプログラムのアクセス権限レベルを判定する(ステップS43)。またCPU11は、送信を要求された情報のアクセス許可レベルを、記憶部17に記憶されたアクセス許可レベルテーブル17dを基に判定する(ステップS44)。次いでCPU11は、ステップS43にて判定したプログラムのアクセス権限レベルが、ステップS44にて判定した情報のアクセス許可レベル以上であるか否かを判定する(ステップS45)。アクセス権限レベルがアクセス許可レベル以上である場合(S45:YES)、CPU11は、プログラムによる情報送信を許可し(ステップS46)、車内通信部16にて車内ネットワークへの情報送信を行う。またアクセス権限レベルがアクセス許可レベル未満である場合(S45:NO)、CPU11は、プログラムによる情報送信を禁止し(ステップS47)、ログ情報17eを生成して記憶部17に記憶し(ステップS48)、処理を終了する。
なお、図5〜図8に示した処理は、追加又は更新等がなされるプログラムとは別の基本プログラム(例えばOS(Operating System)又はOSGiフレームワーク等)をCPU11が実行することにより実現される。CPU11は、基本プログラムと追加又は更新等がなされるプログラムとを並列的に実行する。ただし、追加又は更新等がなされるプログラムの1つが、図5〜図8に示した処理を行う構成であってもよい。
以上の構成の本実施の形態に係る通信システムは、車輌1に搭載されたECU50などと、端末装置3又はサーバ装置5等との間の通信を、セキュリティコントローラ10を介して行う構成である。セキュリティコントローラ10は、情報の送受信処理を伴う一又は複数のプログラムを実行すると共に、これらプログラムを追加又は更新等することができる。セキュリティコントローラ10は、プログラムの実行に伴って発生する車内ネットワークの情報へのアクセスを、各プログラムのアクセス権限レベル及び各情報のアクセス許可レベルに基づいて制限する処理を行う。このようなアクセス制限を行うことによって、信頼性の高いプログラムには車輌1に係る多くの情報を与えて高度なサービスを提供させることができる。また信頼性の低いプログラムに対しては与える情報を制限し、重要度が高い情報が外部へ漏洩することを防止できる。
またセキュリティコントローラ10は、プログラムの実行に伴って車内ネットワークへ情報を送信する場合にも同様に、各プログラムのアクセス権限レベル及び各情報のアクセス許可レベルに基づいて情報送信を制限する処理を行う。これにより、不正なプログラムによって車内ネットワークへ不正な情報送信が行われることを防止できる。
またセキュリティコントローラ10は、位置情報取得部13にて車輌1に係る位置情報を取得し、車輌1の位置が所定位置又は所定位置範囲内であるか否かに応じて、プログラムの追加又は更新の制限を行う。これにより、悪意の第三者によって不正なプログラムの追加又は更新等が行われることを防止できる。またセキュリティコントローラ10は、アクセス権限レベルが高いプログラムについて、車輌1の位置に応じた追加又は更新の制限を行う。これにより、アクセス権限レベルが高いプログラムが不正に追加又は更新等されることを防止できると共に、アクセス権限レベルが低いプログラムは車輌1の位置に関係なく追加又は更新等を可能とし、ユーザの利便性を向上できる。
またセキュリティコントローラ10は、プログラムの実行に伴う車内ネットワークへの情報送信量を監視し、情報送信量が所定量を超える場合に情報送信を遮断する。またセキュリティコントローラ10は、アクセス権限レベルが高いプログラムは多くの情報を送信することを許可し、アクセス権限レベルが低いプログラムは送信を許可する情報量を低く抑える。これにより不正なプログラムが大量の情報を車内ネットワークへ送信することを防止できる。
またセキュリティコントローラ10は、アクセス制限を行った際にログ情報17eを生成して記憶部17に記憶する。これにより例えば車輌1の修理又は点検等の際に、不正なプログラムが存在するか否か等を調査することができる。
なお本実施の形態においては、セキュリティコントローラ10にゲートウェイ30が接続され、ゲートウェイ30に複数のECU50が接続される構成としたが、この車内ネットワークの構成は一例であって、これに限るものではない。例えばセキュリティコントローラ10がゲートウェイの機能を兼ね備える構成とし、セキュリティコントローラ10に複数のECU50を接続する構成としてもよい。また何れかのECU50がセキュリティコントローラ10の機能を兼ね備える構成としてもよい。また車輌1に複数のセキュリティコントローラ10を搭載してもよい。
またセキュリティコントローラ10は、有線通信部14及び無線通信部15の両方を備える構成としたが、これに限るものではなく、有線通信部14又は無線通信部15の一方を備える構成であってもよい。またセキュリティコントローラ10は、例えば車輌1が電気自動車であり、外部の給電装置から給電ケーブルを介した電力供給が可能な構成の場合、給電ケーブルを介した電力線通信などにより外部装置との通信を行う構成としてもよい。またセキュリティコントローラ10は、メモリカード又は光ディスク等の記録媒体を装着可能な構成とし、記録媒体から追加又は更新するプログラムを取得する構成としてもよい。
(実施の形態2)
図9は、実施の形態2に係るセキュリティコントローラ210の構成を示すブロック図である。実施の形態2に係るセキュリティコントローラ210は、車輌情報取得部218を備えている。車輌情報取得部218は、車輌1に搭載された車速センサ261及びエンジン制御部262から情報を取得してCPU11へ与える。車速センサ261は、車輌1の走行速度を検知し、検知結果を車輌情報取得部218へ出力する。エンジン制御部262は、車輌1のエンジンの動作を制御する装置であり、エンジンが動作中であるか又は停止中であるかを示す情報を車輌情報取得部218へ出力する。
車輌情報取得部218からの情報を与えられたCPU11は、これらの情報に基づいて、車輌1が走行状態又は停止状態のいずれであるかを判定する。CPU11は、例えば車速センサ261が検知した車速が閾値を超えるか否かに応じて、車輌1が走行状態又は停止状態のいずれであるかを判定することができる。またCPU11は、例えばエンジン制御部262からの情報に基づいて、エンジンが動作中又は停止中のいずれであるかに応じて、車輌1が走行状態又は停止状態のいずれであるかを判定することができる。本実施の形態において、CPU11は、車速が閾値以下であり、且つ、エンジンが停止中である場合に、車輌1が停止状態であると判定する。またCPU11は、車速が閾値を超えるか、又は、エンジンが動作中である場合に、車輌1が走行状態であると判定する。
上述の実施の形態1に係るセキュリティコントローラ10は、プログラムの追加及び更新等の処理を行う際に、アクセス権限レベル及び車輌1の位置に応じた制限を行った。実施の形態2に係るセキュリティコントローラ210は、同様の制限に加えて、車輌1の状態に応じた制限を更に行う。実施の形態2に係るセキュリティコントローラ210のCPU11は、例えばアクセス権限レベルのレベル3のプログラムの追加又は更新について、車輌1の位置に応じた制限と、車輌1の状態に応じた制限とを行う。
セキュリティコントローラ210のCPU11は、プログラムの追加又は更新の要求が与えられた場合、位置情報取得部13にて取得した位置情報に係る車輌1の位置が、追加更新許可位置情報17bに登録された何れかの位置に該当するか否かを判定する。車輌1の位置が登録された位置に該当しない場合、CPU11は、プログラムの追加又は更新の処理を許可せず、この処理を行わない。
またセキュリティコントローラ210のCPU11は、プログラムの追加又は更新の要求が与えられた場合、車輌情報取得部218が取得した情報に基づいて、車輌1が停止状態であるか否かを判定する。車輌1が停止状態である場合、CPU11は、プログラムの追加又は更新の処理を許可し、この処理を行う。車輌1が停止状態でない、即ち走行状態である場合、CPU11は、プログラムの追加又は更新の処理を許可せず、この処理を行わない。
図10は、実施の形態2に係るセキュリティコントローラ210が行うプログラムの追加又は更新の制限処理の手順を示すフローチャートである。なお本フローチャートにおいては、図5に示したフローチャートのステップS1〜S6に相当する処理を、ステップS51の所定処理として簡略化して記載してある。実施の形態2に係るセキュリティコントローラ210は、図5のステップS1〜S6について、実施の形態1に係るセキュリティコントローラ10と同様の処理を行っている。
実施の形態2に係るセキュリティコントローラ210のCPU11は、端末装置3からプログラムの追加又は更新の要求を受け付けた場合、認証処理、サーバ装置5からプログラムを取得する処理、及び、取得したプログラムの配信元を確認してアクセス権限レベルを判定する処理等を、所定処理として行う(ステップS51)。
その後、CPU11は、追加又は更新するプログラムのアクセス権限レベルがレベル3であるか否かを判定する(ステップS52)。アクセス権限レベルがレベル3である場合(S52:YES)、CPU11は、位置情報取得部13にて位置情報を取得し(ステップS53)、車輌1の位置が所定位置であるか否かを判定する(ステップS54)。車輌1の位置が所定位置でない場合(S54:NO)、CPU11は、プログラムの追加又は更新を行わず、ログ情報17eを生成して記憶部17に記憶し(ステップS57)、処理を終了する。
車輌1の位置が所定位置である場合(S54:YES)、CPU11は、車輌情報取得部218にて車速センサ261及びエンジン制御部262からの車輌情報を取得する(ステップS55)。CPU11は、取得した車輌情報に基づいて、車輌1が停止状態であるか否かを判定する(ステップS56)。車輌1が停止状態でない場合(S56:NO)、CPU11は、プログラムの追加又は更新を行わず、ログ情報17eを生成して記憶部17に記憶し(ステップS57)、処理を終了する。
またCPU11は、プログラムのアクセス権限レベルがレベル3ではなくレベル2以下である場合(S52:NO)、又は、車輌1が停止状態である場合(S56:YES)、プログラムの追加又は更新を行い(ステップS58)、ログ情報17eを生成して記憶部17に記憶し(ステップS59)、処理を終了する。
以上の構成の実施の形態2に係るセキュリティコントローラ210は、車輌1が停止状態であるか否かに応じて、プログラムの追加又は更新を制限する。これにより、車輌1の走行中において、走行に影響を及ぼすようなプログラムの追加又は更新が行われることを防止できる。
なお本実施の形態においては、セキュリティコントローラ210は車輌1に関する情報として、車速センサ261が検知する車速、及び、エンジンの動作状態を取得する構成としたが、これに限るものではない。セキュリティコントローラ210は、車速又はエンジンの動作状態のいずれか一方のみを取得する構成としてもよい。またセキュリティコントローラ210は、車速又はエンジンの動作状態以外の情報を取得する構成としてもよい。セキュリティコントローラ210は、例えばエンジンの始動に係るIG(イグニッション)スイッチの状態、シフトレバーの位置、又は、ブレーキの操作状態等の情報を取得する構成としてもよい。
またセキュリティコントローラ210は、取得した車輌情報に基づき、車輌1が停止状態であるか否かを判定してプログラムの追加又は更新を制限する構成としたが、これに限るものではない。セキュリティコントローラ210は、車輌1が停止状態であるか否か以外の条件に応じてプログラムの追加又は更新を制限する構成としてもよい。例えばセキュリティコントローラ210は、IGスイッチがオフ状態であるか否かに応じてプログラムの追加又は更新を制限する構成とすることができる。また例えばセキュリティコントローラ210は、車輌1内に人が存在するか否かに応じてプログラムの追加又は更新を制限する構成とすることができる。
またセキュリティコントローラ210の車輌情報取得部218は、車速センサ261及びエンジン制御部262から直接的に情報を取得する構成としたが、これに限るものではない。例えば車輌情報取得部218は、車内ネットワークを介した通信により車速センサ261及びエンジン制御部262から情報を取得する構成であってもよい。
また実施の形態2に係る車載通信システムのその他の構成は、実施の形態1に係る車載通信システムの構成と同様であるため、同様の箇所には同じ符号を付して詳細な説明を省略する。
1 車輌
3 端末装置(外部装置)
5 サーバ装置(外部装置)
10 セキュリティコントローラ(アクセス制限装置)
11 CPU(処理部、プログラム追加更新手段、第1判定手段、第2判定手段、アクセス制限手段、位置情報取得手段、位置判定手段、プログラム追加更新制限手段、遮断手段、ログ情報生成手段、停車判定手段)
12 RAM
13 位置情報取得部(位置情報取得手段)
14 有線通信部(第2通信部)
15 無線通信部(第2通信部)
16 車内通信部(第1通信部)
17 記憶部(アクセス権限レベル情報記憶部、ログ情報記憶部)
17a プログラム記憶部
17b 追加更新許可位置情報
17c アクセス権限レベルテーブル(アクセス権限レベル情報)
17d アクセス許可レベルテーブル
17e ログ情報
30 ゲートウェイ(車載機器)
50 ECU(車載機器)
210 セキュリティコントローラ(アクセス制限装置)
218 車輌情報取得部(車輌情報取得手段)
261 車速センサ
262 エンジン制御部

Claims (13)

  1. 車輌に搭載され、
    該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部と、
    外部装置との通信を行う第2通信部と、
    前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部と、
    該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部と、
    前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段と、
    前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定手段と、
    前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定手段と、
    前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限手段と
    を備えることを特徴とするアクセス制限装置。
  2. 前記アクセス制限手段は、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部から前記車内ネットワークへの情報送信要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記第1通信部から車載機器への情報送信を制限するようにしてあること
    を特徴とする請求項1に記載のアクセス制限装置。
  3. 前記車輌の位置情報を取得する位置情報取得手段と、
    該位置情報取得手段が取得した位置情報に係る前記車輌の位置が、所定位置又は所定位置範囲内で有るか否かを判定する位置判定手段と、
    該位置判定手段の判定結果に応じて、前記プログラム追加更新手段によるプログラムの追加又は更新を制限するプログラム追加更新制限手段と
    を備えること
    を特徴とする請求項1又は請求項2に記載のアクセス制限装置。
  4. 前記プログラム追加更新制限手段は、プログラムのアクセス権限レベル、及び、前記位置判定手段の判定結果に応じて、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあること
    を特徴とする請求項3に記載のアクセス制限装置。
  5. 前記車輌に係る情報を取得する車輌情報取得手段を備え、
    前記プログラム追加更新制限手段は、前記車輌情報取得手段が取得した情報に基づいて、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあること
    を特徴とする請求項3又は請求項4に記載のアクセス制限装置。
  6. 前記車輌情報取得手段が取得した情報に基づいて、前記車輌が停止状態であるか否かを判定する停車判定手段を備え、
    前記プログラム追加更新制限手段は、前記停車判定手段が停止状態でないと判定した場合に、前記プログラム追加更新手段による前記プログラムの追加又は更新を制限するようにしてあること
    を特徴とする請求項5に記載のアクセス制限装置。
  7. 前記車輌情報取得手段が取得する情報は、前記車輌の車速情報、及び/又は、前記車輌の原動機の動作状態を示す情報であること
    を特徴とする請求項5又は請求項6に記載のアクセス制限装置。
  8. プログラムの配信元及びアクセス権限のレベルを対応付けたアクセス権限レベル情報を記憶するアクセス権限レベル情報記憶部を備え、
    前記第1判定手段は、アクセス権限レベル情報記憶部が記憶したアクセス権限レベル情報を基に、プログラムのアクセス権限のレベルを判定するようにしてあること
    を特徴とする請求項1乃至請求項7のいずれか1つに記載のアクセス制限装置。
  9. 前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部から前記車内ネットワークへ送信された情報の量が所定量を超える場合に、情報の送信を遮断する遮断手段を備えること
    を特徴とする請求項1乃至請求項8のいずれか1つに記載のアクセス制限装置。
  10. 前記所定量は、プログラムのアクセス権限のレベルに応じて定められる量であること
    を特徴とする請求項9に記載のアクセス制限装置。
  11. 前記アクセス制限手段が情報に対するアクセスを制限した場合に、該アクセスに係るログ情報を生成するログ情報生成手段と、
    該ログ情報生成手段が生成したログ情報を記憶するログ情報記憶部と
    を備えること
    を特徴とする請求項1乃至請求項10のいずれか1つに記載のアクセス制限装置。
  12. 車輌に搭載され、該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部、外部装置との通信を行う第2通信部、前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部、該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部、前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段、前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定手段、前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定手段、並びに、前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定手段が判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定手段が判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限手段を有するアクセス制限装置と、
    該アクセス制限装置に車内ネットワークを介して接続された一又は複数の車載機器と
    を備え、
    前記車載機器が前記アクセス制限装置を介して外部装置との通信を行うようにしてあること
    を特徴とする車載通信システム。
  13. 車輌に搭載され、該車輌に配された車内ネットワークを介して車載機器との通信を行う第1通信部、外部装置との通信を行う第2通信部、前記第1通信部にて送受信する情報に係る処理及び/又は前記第2通信部にて送受信する情報に係る処理を行うプログラムを記憶するプログラム記憶部、該プログラム記憶部に記憶された一又は複数のプログラムを実行して処理を行う処理部、及び、前記第2通信部による外部装置との通信により、前記処理部にて実行するプログラムの追加又は更新を行うプログラム追加更新手段を備えるアクセス制限装置を用いて、前記車載機器及び前記外部装置の通信を制限する通信制限方法であって、
    前記第1通信部にて受信した情報に対するアクセス権限のレベルを、プログラム毎に判定する第1判定ステップと、
    前記第1通信部にて受信した情報に対するアクセスを許可するアクセス権限のレベルを、前記第1通信部にて受信した情報毎に判定する第2判定ステップと、
    前記処理部がプログラムを実行することにより行われた処理にて、前記第1通信部が受信した情報に対するアクセス要求がなされた場合、前記第1判定ステップにて判定した前記プログラムのアクセス権限のレベル、及び、前記第2判定ステップにて判定した前記情報に係るアクセス権限のレベルに応じて、前記情報に対するアクセスを制限するアクセス制限ステップと
    を含むことを特徴とする通信制限方法。
JP2013055403A 2013-01-31 2013-03-18 アクセス制限装置、車載通信システム及び通信制限方法 Expired - Fee Related JP5900390B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2013055403A JP5900390B2 (ja) 2013-01-31 2013-03-18 アクセス制限装置、車載通信システム及び通信制限方法
US14/764,019 US10027672B2 (en) 2013-01-31 2014-01-17 Access restriction device, on-board communication system and method for communication restriction
PCT/JP2014/050734 WO2014119380A1 (ja) 2013-01-31 2014-01-17 アクセス制限装置、車載通信システム及び通信制限方法
CN201480006785.1A CN104955680B (zh) 2013-01-31 2014-01-17 访问限制装置、车载通信***及通信限制方法
DE112014000623.8T DE112014000623T5 (de) 2013-01-31 2014-01-17 Zugriffbeschränkungseinrichtung, Bord-Kommunikationssystem und Verfahren zur Kommunikationsbeschränkung

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013017486 2013-01-31
JP2013017486 2013-01-31
JP2013055403A JP5900390B2 (ja) 2013-01-31 2013-03-18 アクセス制限装置、車載通信システム及び通信制限方法

Publications (2)

Publication Number Publication Date
JP2014168219A true JP2014168219A (ja) 2014-09-11
JP5900390B2 JP5900390B2 (ja) 2016-04-06

Family

ID=51262094

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013055403A Expired - Fee Related JP5900390B2 (ja) 2013-01-31 2013-03-18 アクセス制限装置、車載通信システム及び通信制限方法

Country Status (5)

Country Link
US (1) US10027672B2 (ja)
JP (1) JP5900390B2 (ja)
CN (1) CN104955680B (ja)
DE (1) DE112014000623T5 (ja)
WO (1) WO2014119380A1 (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101612828B1 (ko) 2014-11-26 2016-04-15 현대자동차주식회사 Avn 단말기 및 그 차량 정보 제공 방법 및 차량 정보 제공 시스템 및 차량 정보 제공 방법 및 기록매체
WO2016075865A1 (ja) * 2014-11-12 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 更新管理方法、更新管理装置及び制御プログラム
WO2016116976A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016139399A (ja) * 2015-01-23 2016-08-04 コベルコ建機株式会社 制御手段及びこれを備えた車載プログラムの書き換え装置並びに車載プログラムの書き換え方法
KR101667673B1 (ko) * 2015-08-12 2016-10-20 (주)그린비 테크놀로지 터치 팟 기기 연동 구조의 운행 기록 전송 장치 및 운행 기록의 관리 방법
DE102016114023A1 (de) 2015-07-30 2017-04-27 National University Corporation Yokohama System und Verfahren zum Erfassen eines Angriffs
WO2017098976A1 (ja) * 2015-12-09 2017-06-15 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
CN107428294A (zh) * 2015-01-20 2017-12-01 松下电器(美国)知识产权公司 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络***
JP6270965B1 (ja) * 2016-11-16 2018-01-31 三菱電機株式会社 プログラムの更新制御システムおよびプログラムの更新制御方法
JP2018116510A (ja) * 2017-01-18 2018-07-26 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP2018115886A (ja) * 2017-01-16 2018-07-26 株式会社ユピテル 装置およびプログラム
JP2019013007A (ja) * 2014-01-06 2019-01-24 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
KR20190030514A (ko) * 2017-09-14 2019-03-22 자동차부품연구원 차량 네트워크 공격 신호 차단 장치 및 방법
JP2019159661A (ja) * 2018-03-12 2019-09-19 トヨタ自動車株式会社 車両用制御装置
JP2020048203A (ja) * 2014-11-12 2020-03-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理装置及び制御プログラム
JP2020131769A (ja) * 2019-02-14 2020-08-31 株式会社デンソーテン 電子制御装置及びリプログラミング方法

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107004091B (zh) * 2014-09-26 2021-07-13 英特尔公司 安全地交换车辆传感器信息
CN105704102B (zh) * 2014-11-26 2019-06-07 广州汽车集团股份有限公司 车辆网络访问控制方法及装置
US9648023B2 (en) * 2015-01-05 2017-05-09 Movimento Group Vehicle module update, protection and diagnostics
WO2016143031A1 (ja) * 2015-03-09 2016-09-15 富士通株式会社 プログラム取得方法、情報処理端末、及びプログラム
US9830603B2 (en) * 2015-03-20 2017-11-28 Microsoft Technology Licensing, Llc Digital identity and authorization for machines with replaceable parts
JP6009622B1 (ja) * 2015-06-12 2016-10-19 三菱電機株式会社 更新マネジャおよびこれを用いた車載ソフトウェア更新システム
WO2017056721A1 (ja) * 2015-09-29 2017-04-06 日立オートモティブシステムズ株式会社 車載制御装置、および車載制御装置の情報更新システム
JP6650242B2 (ja) * 2015-10-16 2020-02-19 日立オートモティブシステムズ株式会社 自動運転システム、自動運転制御方法、データecuおよび自動運転ecu
US10516768B2 (en) * 2015-11-11 2019-12-24 Snap-On Incorporated Methods and systems for switching vehicle data transmission modes based on detecting a trigger and a request for a vehicle data message
CN105591858B (zh) * 2015-12-02 2019-03-29 广州汽车集团股份有限公司 一种车用网关控制方法以及控制装置
DK3453144T3 (da) 2016-05-02 2019-10-07 Sew Eurodrive Gmbh & Co Fremgangsmåde til integrering af en yderligere busdeltager i et bussystem og bussystem
US11092446B2 (en) 2016-06-14 2021-08-17 Motional Ad Llc Route planning for an autonomous vehicle
US10309792B2 (en) 2016-06-14 2019-06-04 nuTonomy Inc. Route planning for an autonomous vehicle
US10126136B2 (en) 2016-06-14 2018-11-13 nuTonomy Inc. Route planning for an autonomous vehicle
US10829116B2 (en) 2016-07-01 2020-11-10 nuTonomy Inc. Affecting functions of a vehicle based on function-related information about its environment
KR20180006127A (ko) * 2016-07-08 2018-01-17 현대자동차주식회사 차량, 이를 포함하는 차량 시스템, 및 차량 시스템의 제어방법
CN106143364B (zh) * 2016-07-22 2019-06-11 北京航空航天大学 一种电动汽车分布式控制器信息安全方法及***
JP6665728B2 (ja) * 2016-08-05 2020-03-13 株式会社オートネットワーク技術研究所 車載更新装置、車載更新システム及び通信装置の更新方法
US10473470B2 (en) 2016-10-20 2019-11-12 nuTonomy Inc. Identifying a stopping place for an autonomous vehicle
US10331129B2 (en) 2016-10-20 2019-06-25 nuTonomy Inc. Identifying a stopping place for an autonomous vehicle
US10857994B2 (en) 2016-10-20 2020-12-08 Motional Ad Llc Identifying a stopping place for an autonomous vehicle
US10681513B2 (en) 2016-10-20 2020-06-09 nuTonomy Inc. Identifying a stopping place for an autonomous vehicle
DE112017006980T5 (de) * 2017-02-01 2019-10-17 Sumitomo Electric Industries, Ltd. Steuereinrichtung, Programmaktualisierungsverfahren und Computerprogramm
JP7010087B2 (ja) 2018-03-16 2022-01-26 トヨタ自動車株式会社 プログラム更新管理装置、プログラム更新管理方法、およびプログラム
DE102019202681A1 (de) * 2018-03-29 2019-10-02 Robert Bosch Gmbh Steuergerät
JP7069975B2 (ja) * 2018-03-30 2022-05-18 トヨタ自動車株式会社 制御装置、制御装置用のプログラム、及び制御方法
CN108749820B (zh) * 2018-05-31 2020-10-27 北京智行者科技有限公司 信息交互方法及***
JP7225596B2 (ja) * 2018-07-30 2023-02-21 トヨタ自動車株式会社 プログラム更新システム、プログラム更新サーバーおよび車両
KR20200057515A (ko) * 2018-11-16 2020-05-26 현대자동차주식회사 차량의 보안 전략 제공 장치 및 방법
DE102019001192B3 (de) 2019-02-19 2020-06-10 Daimler Ag Steuerungsvorrichtung und Verfahren zur Übernahme der Kontrolle
JP7127585B2 (ja) * 2019-03-12 2022-08-30 オムロン株式会社 セーフティシステムおよびメンテナンス方法
JP2020167607A (ja) * 2019-03-29 2020-10-08 マツダ株式会社 自動車用演算システム及び受信データの処理方法
CN110798533A (zh) * 2019-11-08 2020-02-14 深圳市元征科技股份有限公司 一种文件的下载方法、装置及设备
JP7314776B2 (ja) * 2019-11-20 2023-07-26 株式会社オートネットワーク技術研究所 車載情報処理装置、プログラム実行制限方法及びコンピュータプログラム
JP7440294B2 (ja) * 2020-02-28 2024-02-28 株式会社東海理化電機製作所 車両制御システム及び車両制御方法
JP7417860B2 (ja) * 2020-03-31 2024-01-19 マツダ株式会社 車両用情報通信装置及び車両情報の通信方法
CN115158194A (zh) * 2022-07-01 2022-10-11 锦图计算技术(深圳)有限公司 基于Linux***的智能汽车安全网关***及其通信方法
CN115714697B (zh) * 2022-11-08 2024-05-14 中国重汽集团济南动力有限公司 一种整车can网络架构、can网络的管理方法、汽车

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10250417A (ja) * 1997-03-07 1998-09-22 Robert Bosch Gmbh 車両の制御方法および装置
JPH11115651A (ja) * 1997-10-17 1999-04-27 Toyota Motor Corp 車載機器制御システムおよび車載機器制御装置
JP2008239021A (ja) * 2007-03-28 2008-10-09 Denso Corp 車両制御装置及びそのデータ書換システム
JP2010125925A (ja) * 2008-11-26 2010-06-10 Toyota Motor Corp ソフトウェア管理装置
JP2012091755A (ja) * 2010-10-29 2012-05-17 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2012178035A (ja) * 2011-02-25 2012-09-13 Toyota Motor Corp 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
WO2012132401A1 (ja) * 2011-03-29 2012-10-04 パナソニック株式会社 車両制御装置
JP2012212272A (ja) * 2011-03-31 2012-11-01 Keihin Corp 車両用電子制御装置
JP2012240493A (ja) * 2011-05-17 2012-12-10 Denso Corp 車載通信装置、及び車両用通信システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9443358B2 (en) * 1995-06-07 2016-09-13 Automotive Vehicular Sciences LLC Vehicle software upgrade techniques
US6574734B1 (en) * 1998-12-28 2003-06-03 International Business Machines Corporation Method and apparatus for securing access to automotive devices and software services
US7366589B2 (en) * 2004-05-13 2008-04-29 General Motors Corporation Method and system for remote reflash
US8060347B2 (en) * 2008-07-29 2011-11-15 Mentor Graphics Corporation Complexity management for vehicle electrical/electronic architecture design
CN102216731B (zh) 2008-08-11 2014-10-01 Tti发明D有限公司 在车辆中使用联网移动设备的***和方法
GB2488956B (en) * 2010-12-15 2013-08-21 Andrew William Wright Method and system for logging vehicle behaviour

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10250417A (ja) * 1997-03-07 1998-09-22 Robert Bosch Gmbh 車両の制御方法および装置
JPH11115651A (ja) * 1997-10-17 1999-04-27 Toyota Motor Corp 車載機器制御システムおよび車載機器制御装置
JP2008239021A (ja) * 2007-03-28 2008-10-09 Denso Corp 車両制御装置及びそのデータ書換システム
JP2010125925A (ja) * 2008-11-26 2010-06-10 Toyota Motor Corp ソフトウェア管理装置
JP2012091755A (ja) * 2010-10-29 2012-05-17 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2012178035A (ja) * 2011-02-25 2012-09-13 Toyota Motor Corp 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
WO2012132401A1 (ja) * 2011-03-29 2012-10-04 パナソニック株式会社 車両制御装置
JP2012212272A (ja) * 2011-03-31 2012-11-01 Keihin Corp 車両用電子制御装置
JP2012240493A (ja) * 2011-05-17 2012-12-10 Denso Corp 車載通信装置、及び車両用通信システム

Cited By (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11458911B2 (en) 2014-01-06 2022-10-04 Argus Cyber Security Ltd. OS monitor
US11628784B2 (en) 2014-01-06 2023-04-18 Argus Cyber Security Ltd. Fleet monitoring
US10766439B2 (en) 2014-01-06 2020-09-08 Argus Cyber Security Ltd. Context-aware firewall for in-vehicle cyber security
US11097674B2 (en) 2014-01-06 2021-08-24 Argus Cyber Security Ltd. Message data acquisition
US10214164B2 (en) 2014-01-06 2019-02-26 Argus Cyber Security Ltd. Watchman hub
JP2019013007A (ja) * 2014-01-06 2019-01-24 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
US10369942B2 (en) 2014-01-06 2019-08-06 Argus Cyber Security Ltd. Hosted watchman
US10493928B2 (en) 2014-01-06 2019-12-03 Argus Cyber Security Ltd. OBD port access control
US10625694B2 (en) 2014-01-06 2020-04-21 Argus Cyber Security Ltd. Bus watchman
WO2016075865A1 (ja) * 2014-11-12 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 更新管理方法、更新管理装置及び制御プログラム
JP2020048203A (ja) * 2014-11-12 2020-03-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理装置及び制御プログラム
US11283601B2 (en) 2014-11-12 2022-03-22 Panasonic Intellectual Property Corporation Of America Update management method, update management system, and non-transitory recording medium
JPWO2016075865A1 (ja) * 2014-11-12 2017-10-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理システム及び制御プログラム
US10637657B2 (en) 2014-11-12 2020-04-28 Panasonic Intellectual Property Corporation Of America Update management method, update management system, and non-transitory recording medium
CN106458112A (zh) * 2014-11-12 2017-02-22 松下电器(美国)知识产权公司 更新管理方法、更新管理装置以及控制程序
KR101612828B1 (ko) 2014-11-26 2016-04-15 현대자동차주식회사 Avn 단말기 및 그 차량 정보 제공 방법 및 차량 정보 제공 시스템 및 차량 정보 제공 방법 및 기록매체
US10372903B2 (en) 2015-01-20 2019-08-06 Panasonic Intellectual Property Corporation Of America Method of updating fraud detection rules for detecting malicious frames, fraud detecting electronic control unit, and on-board network system
JP7412506B2 (ja) 2015-01-20 2024-01-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016116976A1 (ja) * 2015-01-20 2016-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US11636201B2 (en) 2015-01-20 2023-04-25 Panasonic Intellectual Property Corporation Of America Method of updating fraud detection rules for detecting malicious frames, fraud detecting electronic control unit, and on-board network system
JP2021121106A (ja) * 2015-01-20 2021-08-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2022190041A (ja) * 2015-01-20 2022-12-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP7170780B2 (ja) 2015-01-20 2022-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2019201423A (ja) * 2015-01-20 2019-11-21 パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US10909237B2 (en) 2015-01-20 2021-02-02 Panasonic Intellectual Property Corporation Of America Method of updating fraud detection rules for detecting malicious frames, fraud detecting electronic control unit, and on-board network system
CN107428294B (zh) * 2015-01-20 2020-04-28 松下电器(美国)知识产权公司 不正常检测规则更新方法、电子控制单元和车载网络***
CN107428294A (zh) * 2015-01-20 2017-12-01 松下电器(美国)知识产权公司 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络***
JP2016139399A (ja) * 2015-01-23 2016-08-04 コベルコ建機株式会社 制御手段及びこれを備えた車載プログラムの書き換え装置並びに車載プログラムの書き換え方法
DE102016114023B4 (de) 2015-07-30 2024-06-06 National University Corporation Yokohama National University System und Verfahren zum Erfassen eines Angriffs
DE102016114023A1 (de) 2015-07-30 2017-04-27 National University Corporation Yokohama System und Verfahren zum Erfassen eines Angriffs
US10397244B2 (en) 2015-07-30 2019-08-27 Toyota Jidosha Kabushiki Kaisha System and method for detecting attack when sensor and traffic information are inconsistent
KR101667673B1 (ko) * 2015-08-12 2016-10-20 (주)그린비 테크놀로지 터치 팟 기기 연동 구조의 운행 기록 전송 장치 및 운행 기록의 관리 방법
JP2017105309A (ja) * 2015-12-09 2017-06-15 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
WO2017098976A1 (ja) * 2015-12-09 2017-06-15 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
JP2018081470A (ja) * 2016-11-16 2018-05-24 三菱電機株式会社 プログラムの更新制御システムおよびプログラムの更新制御方法
JP6270965B1 (ja) * 2016-11-16 2018-01-31 三菱電機株式会社 プログラムの更新制御システムおよびプログラムの更新制御方法
US10496393B2 (en) 2016-11-16 2019-12-03 Mitsubishi Electric Corporation Program update control system and program update control method
JP2018115886A (ja) * 2017-01-16 2018-07-26 株式会社ユピテル 装置およびプログラム
JP7007697B2 (ja) 2017-01-16 2022-01-25 株式会社ユピテル 装置およびプログラム
JP2018116510A (ja) * 2017-01-18 2018-07-26 トヨタ自動車株式会社 不正判定システム及び不正判定方法
KR20190030514A (ko) * 2017-09-14 2019-03-22 자동차부품연구원 차량 네트워크 공격 신호 차단 장치 및 방법
KR102081690B1 (ko) * 2017-09-14 2020-02-26 한국자동차연구원 차량 네트워크 공격 신호 차단 장치 및 방법
JP2019159661A (ja) * 2018-03-12 2019-09-19 トヨタ自動車株式会社 車両用制御装置
JP7201329B2 (ja) 2018-03-12 2023-01-10 トヨタ自動車株式会社 車両用制御装置
KR20190107565A (ko) * 2018-03-12 2019-09-20 도요타 지도샤(주) 차량용 제어 장치
KR102125922B1 (ko) * 2018-03-12 2020-06-23 도요타 지도샤(주) 차량용 제어 장치
JP7250554B2 (ja) 2019-02-14 2023-04-03 株式会社デンソーテン 電子制御装置及びリプログラミング方法
JP2020131769A (ja) * 2019-02-14 2020-08-31 株式会社デンソーテン 電子制御装置及びリプログラミング方法

Also Published As

Publication number Publication date
CN104955680B (zh) 2017-03-08
JP5900390B2 (ja) 2016-04-06
US20150358329A1 (en) 2015-12-10
CN104955680A (zh) 2015-09-30
US10027672B2 (en) 2018-07-17
WO2014119380A1 (ja) 2014-08-07
DE112014000623T5 (de) 2015-11-05

Similar Documents

Publication Publication Date Title
JP5900390B2 (ja) アクセス制限装置、車載通信システム及び通信制限方法
JP6024564B2 (ja) 車載通信システム
JP5949732B2 (ja) プログラム更新システム及びプログラム更新方法
KR101602556B1 (ko) 차재 중계 장치 및 통신 시스템
US11807176B2 (en) On-board communication device, on-board communication system, and specific processing prohibition method for a vehicle
JP6755219B2 (ja) 情報配信システム及び車載装置
US11366885B2 (en) Vehicle security system and vehicle security method
US20140282467A1 (en) Method and Apparatus for Multiple Vehicle Software Module Reflash
US9420405B2 (en) Remotely controlling a vehicle telematics unit
CN104866336A (zh) 无声车载软件更新
US20190228383A1 (en) System and method of servicing a vehicle
US10678954B2 (en) Cybersecurity vulnerability prioritization and remediation
US10419984B2 (en) Wireless device connection management
JP2011213308A (ja) センタ、エンジン始動システム、エンジン始動方法、プログラム及び媒体
KR101588778B1 (ko) 차량단말기와 휴대용단말기의 연동시스템 및 방법
CN104350502A (zh) 认证装置、认证程序
JP2009302681A (ja) 通信中継システム、通信中継方法、ゲートウェイ装置および通信装置
JP6575697B2 (ja) 車両用情報処理システム及び車両用情報処理プログラム、並びに携帯通信端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160222

R150 Certificate of patent or registration of utility model

Ref document number: 5900390

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees