JP5838983B2 - 情報処理装置及び情報処理方法 - Google Patents

情報処理装置及び情報処理方法 Download PDF

Info

Publication number
JP5838983B2
JP5838983B2 JP2013034611A JP2013034611A JP5838983B2 JP 5838983 B2 JP5838983 B2 JP 5838983B2 JP 2013034611 A JP2013034611 A JP 2013034611A JP 2013034611 A JP2013034611 A JP 2013034611A JP 5838983 B2 JP5838983 B2 JP 5838983B2
Authority
JP
Japan
Prior art keywords
information
request signal
bus
network
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013034611A
Other languages
English (en)
Other versions
JP2014165641A (ja
Inventor
友和 守谷
友和 守谷
後藤 英樹
英樹 後藤
浩司 由良
浩司 由良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2013034611A priority Critical patent/JP5838983B2/ja
Priority to EP14704399.6A priority patent/EP2959654B1/en
Priority to CN201480010038.5A priority patent/CN105009546B/zh
Priority to PCT/JP2014/000202 priority patent/WO2014129107A1/en
Priority to US14/765,937 priority patent/US9866527B2/en
Publication of JP2014165641A publication Critical patent/JP2014165641A/ja
Application granted granted Critical
Publication of JP5838983B2 publication Critical patent/JP5838983B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K31/00Vehicle fittings, acting on a single sub-unit only, for automatically controlling vehicle speed, i.e. preventing speed from exceeding an arbitrarily established velocity or maintaining speed at a particular velocity, as selected by the vehicle operator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、自動車等の移動体に搭載されている複数のネットワークの間で伝達される情報を処理する情報処理装置、及び情報処理方法に関する。
周知のように、自動車にはエンジンやブレーキ等の各種車載機器を電子的に制御する電子制御装置をはじめ、車両の各種状態を表示するメータ等の機器を制御する電子制御装置、ナビゲーションシステムを構成する電子制御装置など、多くの電子制御装置が搭載されている。そして、自動車内では、それら各電子制御装置が通信線により通信可能に接続されて車内ネットワークが形成されており、この車内ネットワークを介して各電子制御装置間での各種データの送受信が行われている。
ところで車内ネットワークのうち、エンジンやブレーキ等の制御を担っている電子制御装置が接続される車内ネットワークには特に高いセキュリティーが要求される。しかし、こうした車内ネットワークは、当初、外部ネットワークとは隔離されることを前提に設計されていたことから、外部機器からのアクセスに対するセキュリティーとなると十分とはいえなかった。そこで従来から、外部機器の接続に対しても車内ネットワークとしてのセキュリティーを確保することのできる車載通信システムが提案されている。そして、こうしたシステムの一例が特許文献1に記載されている。
特許文献1に記載のシステムは、車外電力線通信ラインと車内ネットワークとの間のデータ通信を行う車載通信システムであって、車外電力線通信ラインと車内ネットワークとの間のデータ通信可否判断を行う情報処理装置であるセキュリティー手段と、車内ネットワークに接続される電子制御装置とを備える。そしてこの通信システムでは、セキュリティー手段がデータ通信を許可した場合に電子制御装置を介して車外電力線通信ラインと車内ネットワークとの間のデータ通信が行なわれる。つまり、セキュリティー手段による外部ネットワークから車内ネットワークへの通信の可否判断によって車内ネットワークのセキュリティーが確保される。
特開2012−10022号公報
近年、車内ネットワークと外部機器との連携の要求は益々増加する傾向にある。すなわち、車内ネットワークが有する車両情報を外部ネットワーク等を介して外部機器へ提供するなどの需要が高まりつつある。また、外部機器における情報処理が多彩になるなど、車内ネットワークに提供を求める情報の種類も多くなってきている。このことは、外部機器からの要求に応じて多くの情報を提供すれば、提供した情報の量に応じて、外部機器からも多くのサービスの提供が受けられるようになることを意味する。ただし、特許文献1に記載の通信システムでは、外部機器からの要求に応じて多くの通信を許可することはできるものの、一方で、多くの通信が許可されるようになると車内ネットワークのセキュリティーの低下が懸念されるようにもなる。
本発明は、このような実情に鑑みなされたものであって、その目的は、移動体外部の外部ネットワークとの通信を可能としつつも、外部ネットワークに対する移動体内のネットワークのセキュリティーを好適に確保することのできる情報処理装置、及び情報処理方法を提供することにある。
以下、上記課題を解決するための手段及びその作用効果を記載する。
上記課題を解決する情報処理装置は、移動体内の制御系機器に接続される制御系ネットワークと、移動体内の情報系機器に接続される情報系ネットワークと、移動体の外部機器に接続される外部ネットワークとを含む複数のネットワークに接続されて情報処理を行う情報処理装置であって、前記ネットワークにそれぞれ接続されるファイアウォールと、それらファイアウォールを介して各ネットワークに接続される処理部とを備え、前記ファイアウォールは、それぞれ自らが接続されているネットワークと前記処理部との間の通信のみを許可することで少なくとも前記制御系ネットワークを他のネットワークから隔離し、前記処理部は、受信した要求信号の送信先を変更するプロキシサーバと、前記受信した要求信号に対応する応答信号を作成するデータサーバとを備え、前記プロキシサーバは、前記受信した要求信号の送信先を該要求信号の要求する処理内容に応じて前記データサーバに変更し、前記データサーバは、前記要求信号が要求する制御系機器の制御情報を前記制御系ネットワークから予め取得して保持部に保持しており、前記制御系ネットワークから得られる制御系機器の前記制御情報を要求する要求信号を前記プロキシサーバにより送信先が変更されることによって他のネットワークから受信することに基づいてその受信した要求信号の要求する制御情報を前記制御系ネットワークから取得する前記保持部から取得するとともに、該取得した制御情報を含めて前記要求信号に応答する応答信号を作成し、該作成した応答信号を前記要求信号の送信元のネットワークへ送信することを要旨とする。
上記課題を解決する情報処理方法は、移動体内の制御系機器に接続される制御系ネットワークと、移動体内の情報系機器に接続される情報系ネットワークと、移動体の外部機器に接続される外部ネットワークとを含む複数のネットワークに接続されて情報処理を行う情報処理装置における情報処理方法であって、前記ネットワークにそれぞれ接続されるファイアウォールと、それらファイアウォールを介して各ネットワークに接続される処理部とを設け、前記ファイアウォールには、それぞれ自らが接続されているネットワークと前記処理部との間の通信のみを許可させることで少なくとも前記制御系ネットワークを他のネットワークから隔離させ、前記処理部には、受信した要求信号の送信先を変更するプロキシサーバと、前記受信した要求信号に対応する応答信号を作成するデータサーバとを設け、前記プロキシサーバには、前記受信した要求信号の送信先を該要求信号の要求する処理内容に応じて前記データサーバに変更させ、前記データサーバには、前記要求信号が要求する制御系機器の制御情報を前記制御系ネットワークから予め取得して保持部に保持させて、前記制御系ネットワークから得られる制御系機器の前記制御情報を要求する要求信号を前記プロキシサーバにより送信先が変更されることによって他のネットワークから受信することに基づいてその受信した要求信号の要求する制御情報を前記制御系ネットワークから取得する前記保持部から取得させるとともに、該取得された制御情報を含めて前記要求信号に応答する応答信号を作成させ、該作成された応答信号を前記要求信号の送信元のネットワークへ送信させることを要旨とする。
このような構成もしくは方法によれば、インターネットや情報端末などが接続される外部ネットワーク、並びにオーディオ装置やナビゲーション装置などの情報系機器が接続される情報系ネットワークから制御系ネットワークが隔離されるため、移動体の移動にとって重要な制御情報の授受が行われる制御系ネットワークのセキュリティーが好適に確保される。
また、処理部はそれぞれファイアウォールを介して各ネットワークに接続されており、制御系ネットワークはその他のネットワークから直接アクセスされることがなくとも、処理部を介して制御系ネットワーク内の情報をその他のネットワークに伝達することが可能でもある。
これにより、制御系ネットワークとその他のネットワークとの通信を可能としつつも、外部ネットワークなどに対する制御系ネットワークのセキュリティーを好適に確保することができる。
さらに、制御系ネットワークからの情報取得に処理部を介在させることで、外部ネットワークは制御系ネットワークのプロトコルに適合しない通信メッセージによって制御系ネットワーク内の情報を取得することが可能にもなる。
また、移動体が車両であれば、車両には要求されるセキュリティーレベルの異なる少なくとも3つのネットワーク、つまり制御系ネットワーク、情報系ネットワーク及び外部ネットワークが設けられることが普通である。つまり、車両においては、高いセキュリティーレベルの要求される制御系ネットワークと、それほど高いセキュリティーの要求されない情報系ネットワークと、セキュリティーの確保が難しい外部ネットワークに別々のファイアウォールを設けることで各ネットワークにおいて確保すべきセキュリティーレベルを適切に設定することができるようになる。
さらに、このような構成又は方法によれば、外部ネットワークや情報系ネットワークからの要求信号は制御系ネットワークに直接流されずに処理部によって所定に加工されるため、少なくとも制御系ネットワークのセキュリティーは好適に維持される。例えば移動体が車両であれば、処理部は、要求信号に基づいて、制御系ネットワークの速度情報やセンサ情報などの車両情報を制御情報として取得し、取得した制御情報を含むように要求信号に応答する応答信号を作成する。これにより、制御系ネットワークに他のネットワークからの要求信号が流れなくとも、他のネットワークの要求信号の送信元には、要求信号を通じて要求した情報が応答信号に含まれて送信されるようになる。
また、外部ネットワークなどから受信される要求信号は処理部にて加工処理されるため、外部ネットワークなどはその要求信号を制御系ネットワークのプロトコルに適合させる必要がない。このため外部ネットワークや情報系ネットワークによる制御系ネットワークの制御情報の取得が容易にもなる。
また、このような構成によれば、外部ネットワークなどから要求信号を受信する都度、制御系ネットワーク側から制御情報が取得されるため、受信される要求信号に対する制御情報のリアルタイム性を高めることができるようになる。
さらに、このような構成によれば、外部ネットワークや情報系ネットワークから受信される要求信号に応答する応答信号が、制御系ネットワークから取得されて保持されている制御情報に基づいて作成される。このため、受信される要求信号に対応して作成される応答信号の送信までに要する時間が短くなり、要求信号に対する応答信号の応答性が高められる。
また、このような構成によれば、外部ネットワークなどからの要求信号は、プロキシサーバを経由することで制御系ネットワークの送信先の情報を外部ネットワークに対して隠蔽することができるようになるため、制御系ネットワークのセキュリティーをより高く確保することができる。
また、要求信号の処理をデータサーバに行わせることで、外部ネットワークなどからの要求信号を制御系ネットワークへ送信しなくとも要求信号に対応する応答信号を作成することができるようになる。これによっても、制御系ネットワークのセキュリティーが高く維持される。
好ましい構成として、前記処理部は、前記受信した要求信号を送信した装置の認証を行う認証部をさらに備え、前記認証部により認証された装置から送信された要求信号のみに対して要求される制御情報を取得する。
このような構成によれば、認証された装置から送信された要求信号のみに対して処理部が制御情報を取得する処理を行うため、認証されていない装置に制御系ネットワークの制御情報が不正に取得されることが防止される。これによっても、制御系ネットワークのセキュリティーを高く維持することができる。
好ましい構成として、前記処理部は、監視条件に応じて前記受信した要求信号を監視する監視部をさらに備え、前記監視部は、前記監視条件に応じた監視によって前記受信した要求信号に異常が生じていると判断されるとき、前記処理部による制御情報の取得を禁止する。
このような構成によれば、監視により異常が生じていると判断される要求信号に基づく制御情報の取得が禁止されるため、これによっても制御系ネットワークのセキュリティーの向上が図られる。
好ましい構成として、前記処理部は、前記受信した要求信号を時系列的に記録するログ部をさらに備える。
このような構成によれば、要求信号をログデータとして時系列的に、あるいは統計的に記憶することによって外部ネットワークなどからの攻撃などによる異常な要求信号の存在の有無を判断することができるようになる。これにより、移動体に搭載される通信システムの管理を好適に行うことができるようになるとともに、制御系ネットワークのさらなるセキュリティーの向上が図られる。
好ましい構成として、前記処理部は、前記受信した要求信号による要求が複数の制御情報の取得であるとき、その受信した要求信号の要求する複数の制御情報を順次1つずつ前記制御系ネットワークから取得し、それら取得した制御情報を順に含めつつ前記要求信号に応答する応答信号の作成を繰り返す。
このような構成によれば、外部ネットワークからの要求信号によって例えば連続した複数の制御情報が要求されたとしても処理部により適切に対応することができる。すなわち、処理部は、適宜の記憶部に時系列的に格納される複数の制御情報を順に含めつつ要求信号に応答する応答信号を作成することもできる。また、短周期の情報や分割された情報などからなる制御情報を制御系ネットワークから取得する順に、その取得した制御情報を含む応答信号を作成してもよい。これにより、制御系ネットワークのセキュリティーを高く確保しつつ、複数の制御情報の取得要求に応じることができるようになる。
好ましい構成として、前記制御系ネットワークに接続されるファイアウォールの該制御系ネットワーク側にはプロトコル変換部が設けられており、前記処理部で処理された要求信号の通信プロトコルを前記プロトコル変換部を通じて制御系ネットワークの通信プロトコルに変換する。
移動体の制御系ネットワークには、外部ネットワークとは異なる通信プロトコルが採用されていることも多い。よって、このような構成によれば、制御系ネットワークの通信プロトコルと、外部ネットワークの通信プロトコルなどが相違していたとしても、外部ネットワークから入力されて処理部で処理される要求信号の通信プロトコルが制御系ネットワークの通信プロトコルに変換される。これによって、外部ネットワークと、制御系ネットワークとの間の情報伝達が適切に行われるようになる。
好ましい構成として、前記処理部は、前記情報系ネットワークから受信した前記制御系ネットワーク内の機器への設定データに基づいて前記制御系ネットワークへ送信する送信信号を作成する。
車両などの移動体に搭載されている情報系ネットワークは、外部ネットワークよりも高いセキュリティーが確保されていることが普通である。そして、このような構成によれば、情報系ネットワークから制御系ネットワークの機器への設定データの送信が許可される。これにより、外部ネットワークに対する制御系ネットワークのセキュリティーを維持しつつ、制御系ネットワークに接続されている制御系機器の管理を容易にすることができる。
好ましい構成として、前記処理部は、前記情報系ネットワークから受信した要求信号についてはその送信元を認証するとともに、当該受信した要求信号の要求する制御情報を前記保持部から取得し、該取得した制御情報を含めて作成した応答信号を前記情報系ネットワークの前記認証した送信元に転送する。
このような構成によれば、認証された情報系ネットワークの送信元に対しては、制御系ネットワークから取得した制御情報を含めて作成した応答信号が転送される。これにより、処理部の処理負荷を軽減できるとともに、情報系ネットワークの機器による制御系ネットワークの制御情報の取得を容易かつ迅速に行うことができるようになる。
情報処理装置の一実施形態、及び該情報処理装置を備える通信システムの一例についてその概略構成を示すブロック図。 同通信システムの制御系バスの概略構成を示すブロック図。 同通信システムの情報系バスの概略構成を示すブロック図。 同通信システムのDMZの概略構成を示すブロック図。 同通信システムにおける外部バスからの要求信号の送信元の認証態様について説明する模式図。 同通信システムにおける外部バスへの応答信号の送信態様について説明する模式図。 同通信システムにおける内部バスから外部バスへの複数の応答信号の送信態様について説明する模式図。 同通信システムにおける情報系バスからの要求信号の内部バスへの伝達態様について説明する模式図。 同通信システムにおける内部バスから情報系バスへの複数の応答信号の送信態様について説明する模式図。 情報処理装置の他の実施形態、及び該情報処理装置を備える通信システムについてその概略構成を示すブロック図。 情報処理装置のさらに他の実施形態、及び該情報処理装置を備える通信システムについてその概略構成を示すブロック図。
情報処理装置の一実施形態、及び該情報処理装置を備える通信システムの一例について、図に従って説明する。
まず、図1に従って、この通信システムの概要について説明する。
図1に示すように、移動体としての車両1は、その車内に、該車両1の電子制御装置(ECU)等が通信可能に接続される複数の通信用のネットワークを備えている。複数の通信用のネットワークは、制御系ネットワークとしての制御系バス10と、情報系ネットワークとしての情報系バス20と、外部ネットワークとしての外部バス30とを含んでいる。制御系バス10は、車両1の走行、操舵、停止に関する制御を行なうECU等が接続されるネットワークであることから、高い信頼性や安全性、すなわち高いセキュリティーが要求されている。なお本実施形態では、制御系バス10には、複数の通信用バス(バス11やバス16)が含まれている。情報系バス20は、ナビゲーション装置やオーディオ装置などのECU等が接続されるネットワークであって、やはり高いセキュリティーは求められているものの、要求されるレベルは制御系バス10のセキュリティーほどは高くない。外部バス30は、データリンクコネクタ(DLC)32などを介して車載式故障診断装置(OBD)や各種の外部装置、もしくはインターネットなどの外部ネットワークを接続させることができるネットワークである。つまり外部バス30は、車両1の外部に開放されているため、そのセキュリティーを一定のレベルに維持することが困難であり、制御系バス10や情報系バス20に比べてそのセキュリティーレベルも自ずと低いものとなる。
車両1は、制御系バス10、情報系バス20及び外部バス30が接続されるセントラルゲートウェイ40を備えている。セントラルゲートウェイ40は、制御系バス10、情報系バス20及び外部バス30のそれぞれの間における通信メッセージによる通信を制御する各種機能を有する装置である。
セントラルゲートウェイ40は、制御系バス10の複数の通信用バス(バス11やバス16など)の間における通信メッセージを中継するとともに、制御系バス10の内外の通信メッセージを中継する制御系ゲートウェイ50を備えている。この制御系ゲートウェイ50は、制御系バス10の一部を構成する。また、セントラルゲートウェイ40は、セキュリティーを確保するための各種機能を含み構成されるネットワーク領域、いわゆる非武装地帯(DMZ:DeMilitarized Zone)60を備えている。DMZ60は、外部バス30に対して制御系バス10や情報系バス20のセキュリティーを確保する。DMZ60は、情報系バス20及び外部バス30がそれぞれ通信可能に接続されているとともに、通信バス41を介して制御系バス10が通信可能に接続されている。DMZ60は、接続されている制御系バス10、情報系バス20及び外部バス30の相互間での通信メッセージの伝達を規制しつつも、通信メッセージに含まれる情報内容のみを伝達させる通信制御を行なうことによって、制御系バス10や情報系バス20の高いセキュリティーを確保している。例えば、制御系バス10には、情報系バス20や外部バス30からの通信メッセージが伝達されないようになっており、通信メッセージの伝達に関して、制御系バス10は情報系バス20や外部バス30から隔離されている。同様に、通信メッセージの伝達に関しては、情報系バス20も、外部バス30から隔離されている。なお本実施形態において、DMZ60にはイーサーネット(登録商標)規格の通信線が接続されるようになっており、通信にはインターネット・プロトコル(IP)が用いられる。つまり、制御系バス10、情報系バス20及び外部バス30は、DMZ60にイーサーネット(登録商標)を介して接続され、DMZ60との通信はIPに基づいて行う。
次に、通信システムの詳細について説明する。
図2に示すように、制御系バス10は、上述した制御系ゲートウェイ50と、制御系ゲートウェイ50に接続される複数のバス型のネットワークとを備えている。制御系ゲートウェイ50は、イーサーネット(登録商標)規格の通信バス41を介してDMZ60に通信可能に接続されている。また、制御系ゲートウェイ50は、パワートレインゲートウェイ(GW)51、シャーシGW52、安全GW53及び車体GW54を備えている。パワートレインGW51、シャーシGW52、安全GW53及び車体GW54は通信バス41に通信可能に接続されている。これにより、パワートレインGW51、シャーシGW52、安全GW53及び車体GW54は、通信バス41を介して通信可能になっている。さらに、制御系バス10には複数の通信用バスとして、第1〜第4のCAN(コントローラエリアネットワーク)バス11〜14とLIN(ローカルインターコネクトネットワーク)バス16が設けられている。
パワートレインGW51、シャーシGW52及び安全GW53はそれぞれ、CANプロトコルによる通信を可能にするCANコントローラ(図示略)を備えている。そして、各GWは、そのCANコントローラに対応する第1〜第4のCANバス11〜14が接続されている。つまり、パワートレインGW51には第1及び第2のCANバス11,12が通信可能に接続され、シャーシGW52には第3のCANバス13が通信可能に接続され、安全GW53には第4のCANバス14が通信可能に接続されている。
車体GW54は、LINプロトコルによる通信を可能にするLINコントローラ(図示略)を備えている。そして、車体GW54は、そのLINコントローラにLINバス16を介して通信可能に接続されている。
パワートレインGW51、シャーシGW52及び安全GW53は、それぞれプロトコル変換部511〜513を備えている。プロトコル変換部511〜513は、通信バス41での通信に用いられるIPと、第1〜第4のCANバス11〜14での通信に用いられるCANプロトコルとを相互に変換する。これにより、各GW51〜53を介して、CANバス11〜14と通信バス41との間で通信メッセージの転送などによる相互通信を行うことができる。なお、パワートレインGW51は、2つのCANバス11,12間においてCANプロトコルの通信メッセージを相互に転送することもできる。
車体GW54は、プロトコル変換部514を備えている。プロトコル変換部514は、通信バス41での通信に用いられるIPと、LINバス16での通信に用いられるLINプロトコルとを相互に変換する。これにより、車体GW54を介して、LINバス16と通信バス41との間でも通信メッセージの転送などによる相互通信を行うことができる。
また、パワートレインGW51、シャーシGW52、安全GW53及び車体GW54は、それぞれのプロトコル変換部511〜514によりIPに変換された通信メッセージを介して相互に通信を行うことができる。
第1〜第4のCANバス11〜14は、CANネットワークとして構成されているため、通信プロトコルにはCANプロトコルが適用される。第1〜第4のCANバス11〜14は、ツイストケーブルなどの通信線などから構成され、その通信線を介してマルチマスタ方式の通信であるCANプロトコルにおいて通信の1単位となる通信メッセージを伝達する。なお、第1〜第4のCANバス11〜14は、通信経路の一部に無線通信による経路を含んでいたり、ゲートウェイなどを介して他のネットワークを経由する経路が含まれていたりしてもよい。
LINバス16は、LINネットワークとして構成されているため、通信プロトコルにはLINプロトコルが適用される。LINバス16は、単一ケーブルなどの通信線などから構成され、その通信線を介してタイムスケジュールに基づくマスタースレーブ通信であるLINプロトコルによって通信メッセージが伝達される。なお、LINバス16も、通信経路の一部に無線通信による経路を含んでいたり、ゲートウェイなどを介して他のネットワークを経由する経路が含まれていたりしてもよい。
第1〜第4のCANバス11〜14やLINバス16には、各種の電子制御装置(ECU)111〜113,131,132,141,142,161が接続されている。各ECU(ECU111など)は、各種制御に要する処理を実行する情報処理部(図示略)と、接続される通信用バスに対応するプロトコルに基づく通信メッセージを送信及び受信する通信コントローラ(図示略)とを備えている。
第1〜第4のCANバス11〜14に接続されるECU111〜113,131,132,141,142は、車両1の各種制御に用いられる制御装置である。各ECUは、車両の制御に用いられる制御情報としての車両情報を保持しており、それら保持している車両情報を、各々接続されている通信用バスに通信メッセージとして出力することができる。各ECUは、例えば、駆動系、走行系、車台系、又は安全系等を制御対象にするECUである。例えば、駆動系を制御対象とするECUとしては、エンジン用ECUが挙げられ、走行系を制御対象とするECUとしては、ステアリング用ECUやブレーキ用ECUが挙げられ、車台系を制御対象とするECUとしては、ライト用ECUや方向指示機用ECUが挙げられる。また、安全系を制御対象とするECUとしては、ABS(アンチロックブレーキシステム)用ECUや、衝突防止用ECU等が挙げられる。このように、第1〜第4のCANバス11〜14には、車両1の走行、操舵及び停止にかかわる重要な制御に関するECUが接続されている。なお本実施形態では、ECU111,112は第1及び第2のCANバス11,12にそれぞれ通信可能に接続され、ECU113は第1及び第3のCANバス11,13にそれぞれ通信可能に接続されている。また、1つの機器に含まれる2つのECU131,132はそれぞれ第3のCANバス13に通信可能に接続されている。さらに、ECU141は第4のCANバス14に通信可能に接続されているとともに、そのECU141にはECU142が通信可能に接続されている。
LINバス16に接続されるECU161は、車両1の各種制御に用いられる制御装置であって、車両の制御に用いられる車両情報を保持しており、その保持している車両情報を接続されているLINバス16に通信メッセージとして出力することができる。ECU161は、車体系等を制御対象にするECUである。車体系を制御するECUとしては、ミラー用ECUやウィンドウ用ECUが挙げられる。つまり、LINバス16には、車両1の運行に影響を及ぼすおそれのある設備の制御に関するECUが接続されている。
図3に示すように、情報系バス20は、イーサーネット(登録商標)規格の通信バス21を備え、該通信バス21を介してIPによるDMZ60との通信が可能に接続されている。通信バス21には、ECU211と、イーサーネットスイッチ212を介した2つのECU213,214とが接続されている。イーサーネットスイッチ212は、スイッチング・ハブであって、通信バス21を介して入力されたDMZ60からの通信メッセージを、当該通信メッセージの送信先であるECU(213又は214)に振り分ける。これにより、イーサーネットスイッチ212は、2つのECU213,214との間のそれぞれの通信線における通信の混雑を緩和している。
情報系バス20に接続される各ECU211,213,214は、車両1の各情報機器に用いられるECUであって、例えば、オーディオ装置やナビゲーション装置などの情報機器系等を制御対象にするECUである。つまり、情報系バス20には、車両1の走行ルートを案内したり、車内の快適性を維持したりするための装備の制御に関するECUが接続される。各ECU211,213,214は、制御系バス10のECUに車両情報を要求する通信メッセージ、いわゆる要求信号を出力することができる。
図1に示すように、外部バス30は、イーサーネット(登録商標)規格の通信バス31を備え、該通信バス31を介してIPによるDMZ60との通信が可能に接続されている。通信バス31のDLC(データリンクコネクタ)32は、車両1のネットワークに外部機器を通信可能に接続するコネクタであって、車載式故障診断装置(OBD)やスマートフォンなどの携帯情報端末などの外部機器を通信可能に接続することができる。つまり、DLC32に接続された外部機器がDLC32を介して制御系バス10や情報系バス20に向けて通信メッセージを送信することができる。このように送信することができる通信メッセージには、要求信号として制御系バス10のECUに車両情報を要求する通信メッセージも含まれる。なお、本実施形態では、DLC32から入力された通信メッセージは、セントラルゲートウェイ40で受信されるとともに、セントラルゲートウェイ40にて当該通信メッセージに応じた処理が行なわれる。そして、外部バス30から入力された通信メッセージは、制御系バス10や情報系バス20に直接流れたり、そのまま転送されたりすることはない。
また、通信バス31には、DLC32を介さずに、イーサーネット(登録商標)規格に適合する機器、例えば無線通信部33(図5参照)などを接続することもできる。このように、外部バス30は車両1の外部に開放されており、DLC32や無線通信装置などを介した外部機器の接続や、インターネットなど、車外のネットワークの接続に利用される。このため、外部バス30はそのセキュリティーを車両1で管理することができない。そこで本実施形態では、DMZ60を介在させることにより、外部バス30に対する制御系バス10や情報系バス20のセキュリティーを維持するようにしている。
図4に示すように、DMZ60は、IP(インターネットプロトコル)の通信メッセージを流すことのできる内部バス61と、内部バス61に接続された第1〜第3のファイアウォール(FW)部62〜64とを備えている。また、DMZ60は、内部バス61に流される通信メッセージに各種処理を行なう処理部70を備えている。DMZ60は、処理部70における各種処理によって制御系バス10や情報系バス20のセキュリティーを確保する。
第1のFW部62は、内部バス61と制御系バス10との間に設けられ、第2のFW部63は、内部バス61と情報系バス20との間に設けられ、第3のFW部64は、内部バス61と外部バス30との間に設けられている。第1〜第3のFW部62〜64は、要求信号などの通信メッセージに含まれる送信元や送信先のアドレスなどが、予め定められている各規制条件に適合するか否かに基づいて通信メッセージの通過の可否を判断し、通信規制を行なう。第1のFW部62は、その規制条件に基づいて、内部バス61と制御系バス10との間の通信メッセージの通過を許可する一方、情報系バス20や外部バス30からの通信メッセージの内部バス61を介しての制御系バス10への流入を遮断する。第2のFW部63は、その規制条件に基づいて、内部バス61と情報系バス20との間の通信メッセージの通過を許可する一方、制御系バス10や外部バス30からの通信メッセージの内部バス61を介しての情報系バス20への流入を遮断する。第3のFW部64は、その規制条件に基づいて、内部バス61と外部バス30との間の通信メッセージの通過を許可する一方、制御系バス10や情報系バス20からの通信メッセージの内部バス61を介しての外部バス30への流入を遮断する。
処理部70は、要求信号として受信した通信メッセージの送信先を処理部70内に変更するプロキシ部71と、要求信号の送信元の機器を認証する認証部72と、要求信号の通信状況を監視する監視部73とを備えている。また、処理部70は、要求信号の通信状況を時系列的や統計的に記憶するログ部74を備えている。さらに処理部70は、制御系バス10のECUから出力される車両情報を保持するとともに、制御系バス10、情報系バス20及び外部バス30からの要求信号に応答信号として応答する通信メッセージを作成するデータサーバ部75を備えている。処理部70では、プロキシ部71と第1〜第3のFW部62〜64とが内部バス61を介してそれぞれ通信可能に接続されている。また、処理部70内において、プロキシ部71は、認証部72、監視部73、ログ部74、及びデータサーバ部75にそれぞれ通信可能に接続されている。そして本実施形態では、第1〜第3のFW部62〜64から入力されたすべての通信メッセージは内部バス61を介して処理部70のプロキシ部71に伝達されるようになっている。
プロキシ部71は、いわゆるプロキシサーバであって、各バスのECUを送信先とする要求信号の送信先を処理部70へ変更する。これにより、送信先がバスのECUになっている要求信号の処理が、まずは処理部70にて行われるようになる。プロキシ部71は、要求信号が要求している処理を判断し、要求している処理内容に応じて認証部72やデータサーバ部75に処理を依頼する。例えば、プロキシ部71は、要求信号が認証に関する処理を要求していると判断すると、当該要求信号を認証部72に伝達し、認証部72にて処理されるようにする。またプロキシ部71は、要求信号が制御系バス10のECUに車両情報の出力を要求していると判断すると、当該要求信号をデータサーバ部75に伝達し、データサーバ部75にて処理されるようにする。さらに、プロキシ部71は、情報系バス20や外部バス30に接続されている認証済の外部機器には、制御系バス10から受信した通信メッセージに所定の加工を施した応答信号を送信することもできる。また、プロキシ部71は、不正な送信元に関する情報を管理しており、不正な送信元からの要求信号を処理しないようにしている。例えば、プロキシ部71は、不正な送信元からの要求信号を処理しないことで、不正な送信元からの要求信号に応答しないという対応をとる。さらに、プロキシ部71は、不正な送信元に関する情報を、認証部72による送信元の認証結果や、監視部73による通信メッセージの監視結果に基づいて更新することができる。また、プロキシ部71は、制御系バス10のECUへの通信用のアドレスに代わる別のアドレスを外部に公開することで、外部バス30に対する制御系バス10のセキュリティーを確保している。
認証部72は、外部バス30に接続されている外部機器や、情報系バス20に接続されている情報系機器が正規の機器であるか否かを所定の認証条件に基づいて認証する認証機能を備える。認証部72には認証条件として、通信を許可された外部機器を特定する情報が予め設定されている。認証部72は、情報系バス20や外部バス30に接続されている外部装置と通信を開始するとき、その通信しようとする外部装置の認証を行う。認証機能としては、SSL(セキュリティーソケットレイヤー)やTLS(トランスポートレイヤーセキュリティー)などの公知の認証機能を採用することができる。そして認証部72は、認証の結果をプロキシ部71に伝達する。これにより、プロキシ部71は、認証されなかった送信元の装置からの要求信号の処理部70における処理を禁止する。これにより認証部72が認証した外部機器からの要求信号は、処理部70において処理され、応答信号が作成されたりする一方、認証部72により認証されなかった外部機器からの要求信号は、処理部70において処理されることはない。よって、不正な外部機器からの要求信号によって制御系バス10や情報系バス20のセキュリティーが低下することが防止される。
なお、認証された後の要求信号は暗号化されることがあるが、暗号化された要求信号については認証部72によって復号するようにしてもよいし、認証部72にて定められた鍵を用いてプロキシ部71などで復号するようにしてもよい。
また、認証部72は、監視部73による監視結果を受けて不正な要求信号に基づく認証を停止することもできる。
監視部73は、外部バス30や情報系バス20から受信された要求信号の振る舞いを監視して要求信号の異常の存在の有無を判断する監視機能を備える。監視部73は、要求信号の不正な振る舞いを判断するための監視条件を有している。監視条件には、異常な通信と判断される通信頻度や通信間隔が、要求信号の全体に対して、または要求信号の種類や内容に応じて設定されている。つまり監視部73は、受信された要求信号の通信頻度や通信間隔などの振る舞いを監視条件に応じて監視し、監視条件に該当する要求信号を異常な要求信号と判断する。そして監視部73は、要求信号の監視結果をプロキシ部71に伝達する。これにより、プロキシ部71は、異常と判断された要求信号の処理部70における処理を禁止する。よって、異常な要求信号によって制御系バス10や情報系バス20のセキュリティーが低下することが防止される。
ログ部74は、外部バス30や情報系バス20から受信された要求信号をログデータとして記憶する。ログ部74は、外部バス30や情報系バス20から受信された要求信号を時間情報などとともに記憶したり、統計処理などの処理を行った結果を記憶したりする。また、ログ部74は、記憶したログデータを解析し、その解析結果に基づいて外部バス30や情報系バス20から受信された要求信号の異常の存在の有無を判定する。例えば、ログ部74は、ログデータに不当な要求と判断される要求信号が含まれていないか否かなどを解析する。さらに、ログ部74は、記憶したログデータを外部バス30や情報系バス20を介して要求信号を解析する車外のログ解析装置などに送信することができる。車外の解析装置としては、自動車メーカのサーバなどが挙げられる。これにより、外部バス30や情報系バス20から受信された要求信号の異常の存在の有無を車外のログ解析装置などで判断することもできるようになる。
データサーバ部75は、外部バス30や情報系バス20から受信された要求信号による要求を解析し、その要求に対応する処理を行う。また、データサーバ部75は、受信した要求信号に応答する応答信号を作成することができる。データサーバ部75は、制御系バス10の車両情報を制御系バス10から定期的に取得して保持する保持部(図示略)を備えている。例えば、データサーバ部75は、要求信号により制御系バス10の車両情報として速度が要求されると、制御系バス10から直接、もしくは、制御系バス10から得た速度が記憶されている保持部から間接的に速度を取得する。そして、データサーバ部75は、要求に応答する応答信号を作成して、当該作成した応答信号を外部バス30の送信元に送信する。
データサーバ部75は、制御系バス10の車両情報を、制御系バス10の車両情報を一時保存する制御系ゲートウェイ50のメッセージバッファ501(図6参照)から取得することもできる。また、データサーバ部75は、制御系バス10の車両情報を取得する通信メッセージを制御系バス10のECUに送信し、その送信したECUから返信された通信メッセージから取得対象とする車両情報を取得してもよい。
次に、図5〜9を参照して、上記DMZ60を中心とした本実施形態の情報処理装置の動作について説明する。なお、DMZ60の各種の動作を説明するために、制御系バス10、情報系バス20及び外部バス30に上述以外の構成をその都度便宜的に付加して説明することもある。
図5は、処理部70にて外部装置を認証する処理を示している。
図5に示すように、外部バス30には、インターネットWに接続可能な無線通信部33が接続されている。無線通信部33は、外部バス30にDLC32やその他のコネクタを介して接続される。無線通信部33は、インターネットWへの通信経路を確保することができる機器であって、例えば、スマートフォンや携帯電話、無線LANの子機、又は無線ルータなどである。
そして車両1には、外部バス30を介してインターネットWに接続されている外部装置(図示略)から制御系バス10への通信開始を要求する要求信号MA1が伝達されたとする。この要求信号MA1は、まず第3のFW部64にて通過の可否が判断され、通過が許可されるとプロキシ部71に伝達される。なお、外部バス30から入力される要求信号MA1は、第1及び第2のFW部62,63の通過を禁止されるため、制御系バス10や情報系バス20に伝達されることはない。ここで、伝達された要求信号MA1が制御系バス10への通信開始を要求する通信メッセージであることから、プロキシ部71は、該要求信号MA1の送信元の認証が必要であると判断し、認証部72に認証処理を依頼する。認証処理の依頼を受けた認証部72は、所定の認証手順に基づいて、要求信号MA1の送信元である外部装置に対する認証処理を行い、その認証結果をプロキシ部71に通知する。そして、要求信号MA1の送信元が認証されたとき、プロキシ部71は、当該外部装置から伝達された通信メッセージについての処理部70での処理を許可する。例えば、外部装置から制御系バス10の制御情報である車両情報を要求する要求信号が受信されたとき、当該要求信号に対する処理をデータサーバ部75に依頼する。一方、要求信号MA1の送信元が認証されなかったとき、プロキシ部71は、当該外部装置から伝達された要求信号の処理部70での処理を禁止する。
なお、プロキシ部71は、認証部72において認証処理の済んでいない送信元から制御系バス10の車両情報を要求する要求信号を受信する都度、その要求信号の送信元についての認証処理を認証部72に要求する。そして、プロキシ部71は、認証部72により送信元が認証されることを条件に、車両情報を要求する要求信号についての処理部70での処理を許可する。
認証処理の際、監視部73は、外部装置と認証部72との間の要求信号の挙動を監視する。そして、監視部73は、要求信号の挙動が正常であれば認証部72の認証処理を継続させ、一方、要求信号の挙動が不審であると判断すると認証部72における該要求信号の認証処理を中止させる。この中止により要求信号の送信元は認証されないため、プロキシ部71は、その送信元からの要求信号が受信されてもその処理を禁止、すなわち処理部70にて処理させないようにする。
図6は、外部装置からの要求に応じて、制御系バス10の車両情報を送信する処理を示している。なお、ここでは、図5に示した認証処理によって外部装置は認証済であるものとする。
車両1は、外部バス30を介してインターネットWに接続されている外部装置(図示略)から制御系バス10に車両情報を要求する要求信号MB1を受信する。この要求信号MB1は、第3のFW部64にて通過の可否が判断され、通過を許可されるとプロキシ部71に伝達される。プロキシ部71は、外部装置が認証済であること、及び、制御系バス10の車両情報を要求する通信メッセージであることから、この要求信号MB1の送信先をデータサーバ部75に変更する。つまり、プロキシ部71は、データサーバ部75に要求信号MB1の処理を要求する。
データサーバ部75は、プロキシ部71から伝達された要求信号MB1を解析し、要求信号MB1が要求する車両情報を取得する。データサーバ部75は、こうして取得した車両情報を制御系バス10から得るための通信メッセージMB2を作成するとともに、作成した通信メッセージMB2をプロキシ部71に伝達する。プロキシ部71は、伝達された通信メッセージMB2を制御系バス10へ送信する。通信メッセージMB2は、第1のFW部62にて通過の可否が判断され、通過を許可されると、通信バス41を介して制御系ゲートウェイ50に入力される。なおこのとき、第1のFW部62は、通信メッセージMB2が処理部70から制御系バス10への通信メッセージであることを条件にその通過を許可することとなる。制御系ゲートウェイ50は、通信メッセージMB2が要求している車両情報をメッセージバッファ501から取得し、この取得した車両情報を含む返信用の通信メッセージMB3を生成してデータサーバ部75へ返信する。通信メッセージMB3も、第1のFW部62にて通過の可否が判断され、通過を許可されると、プロキシ部71に入力され、プロキシ部71からデータサーバ部75に伝達される。このときも第1のFW部62は、通信メッセージMB3が制御系バス10から処理部70への通信メッセージであることを条件にその通過を許可することとなる。
通信メッセージMB3が伝達されたデータサーバ部75は、通信メッセージMB3から車両情報を取得し、車両情報を要求した要求信号MB1に対する応答メッセージとしてこの取得した車両情報を含ませた応答信号MB4を作成する。つまり、応答信号MB4は、外部バス30に送信可能な通信メッセージとして作成される。そしてデータサーバ部75は、作成した応答信号MB4をプロキシ部71に伝達する。プロキシ部71は伝達された応答信号MB4の送信元や送信先を必要に応じて加工・変更してから、この応答信号MB4をその送信元である外部バス30に接続された外部装置へ送信する。この応答信号MB4は、第3のFW部64にて通過の可否が判断され、通過を許可されると外部バス30に伝達される。このとき第3のFW部64は、応答信号MB4が処理部70から外部バス30への通信メッセージであることを条件にその通過を許可することとなる。
ログ部74は、要求信号MB1に関するログデータを取得する。例えば、ログ部74は、外部装置との通信が開始されてから終了されるまでログデータを取得し、通信が終了されたことを条件に、ログデータを解析して不正な通信の有無を判断したり、ログデータを外部のログ解析装置に送出したりする。通信の開始としては、接続経路や接続回線の確立が挙げられ、通信の終了としては、接続経路や接続回線の切断などが挙げられる。なお事後的判断が不要であれば、ログ部74によるログデータの取得を割愛してもよい。
図7は、外部装置からの要求に応じて、制御系バス10の車両情報を連続して送信する処理を示している。なおここでは、図5に示した認証処理によって外部装置は認証されているとともに、図6に示した処理によって、車両情報を連続して要求する要求信号も送信先の制御系バス10のECUに伝達済であるものとする。
ここでは、制御系ゲートウェイ50にはさらに、イーサーネット(登録商標)規格の通信バス17が接続されており、その通信バス17には、4つのカメラ、つまりFR(前方右側)カメラ171,FL(前方左側)カメラ172,RR(後方右側)カメラ173,RL(後方左側)カメラ174が接続されている。各カメラ171〜174は、車両1の車外環境を撮像するカメラであって、FRカメラ171は車両1の前方右側を撮像し、FLカメラ172は車両1の前方左側を撮像し、RRカメラ173は車両1の後方右側を撮像し、RLカメラ174は車両1の後方左側を撮像する。そして、例えばFLカメラ172には、プロキシ部71、第1のFW部62及び制御系ゲートウェイ50を介してデータサーバ部75が作成した車両情報を連続して要求する要求信号が伝達される。この車両情報を連続して要求する要求信号とは、例えば、カメラで撮像された画像を短周期で送り続ける指示である。また、プロキシ部71は、車両情報を連続して要求する要求信号をFLカメラ172に伝達したことを記憶しておく。
FLカメラ172は、車両情報を連続して要求する要求信号が伝達されると、当該指示に応じて撮像画像を含む返信用の通信メッセージMC1を生成して送信することを周期的に行う。つまりFLカメラ172は、動画をリアルタイムに送信する。なお、FLカメラ172は通信メッセージMC1をIP(インターネットプロトコル)で送信可能に作成する。FLカメラ172から送信された通信メッセージMC1は、制御系ゲートウェイ50から第1のFW部62へ伝達される。通信メッセージMC1は、第1のFW部62にて通過の可否が判断され、通過を許可されると、プロキシ部71に伝達される。このとき第1のFW部62は、通信メッセージMC1が制御系バス10から処理部70への通信メッセージであることを条件にその通過を許可することとなる。プロキシ部71は、通信メッセージMC1が、FLカメラ172へ伝達した車両情報を連続して要求する通信メッセージに対する応答メッセージであることを判定すると、該通信メッセージMC1の送信先や送信元の情報を必要に応じて変更した応答信号MC2に加工・変更する。そして、プロキシ部71は、加工・変更した応答信号MC2を第3のFW部64を介して外部バス30の外部装置へ送信する。この応答信号MC2は、第3のFW部64にて通過の可否が判断され、通過を許可されると外部バス30に伝達される。このとき第3のFW部64も、応答信号MC2が処理部70から外部バス30への通信メッセージであることを条件にその通過を許可することとなる。このように、プロキシ部71にて通信メッセージを処理することで、連続して送信される車両情報によりデータサーバ部75の処理負荷が上昇するようなことを防ぐことができる。この場合であれ、制御系バス10からの通信メッセージMC1はプロキシ部71の処理により応答信号MC2に変更されて出力されるため、第3のFW部64の規制条件を変更しなくとも、処理部70から外部バス30への通過が許可される。また、第3のFW部64の規制条件の変更などが必要ないため、外部バス30に対する制御系バス10や情報系バス20のセキュリティーも高く維持される。
図8は、情報系バス20の情報提供サーバMSからの要求に応じて、制御系バス10の制御情報である車両情報を送信する処理を示している。なおここでは、図5に例示した認証処理によって、情報提供サーバMSは認証済であるものとする。
車両1は、情報系バス20の無線通信部23を介してナビゲーション装置などの情報提供サーバMSに接続されている。そして、車両1は、情報提供サーバMSから制御系バス10の車両情報を要求する要求信号MD1を受信する。この要求信号MD1は、第2のFW部63にて通過の可否が判断され、通過を許可されるとプロキシ部71に伝達される。プロキシ部71は、情報提供サーバMSが認証済であることから、この要求信号MD1の送信先をデータサーバ部75に変更する。つまり、プロキシ部71は、データサーバ部75に要求信号MD1の処理を依頼する。データサーバ部75は、プロキシ部71から伝達された要求信号MD1を解析する。なお、情報系バス20を経由する要求信号MD1は、接続先が通常はメーカの情報提供サーバMSであってインターネットよりもセキュリティーが高いと考えられることから、要求信号MD1のセキュリティーはインターネットからのメッセージよりも高いと考えられる。
データサーバ部75は、要求信号MD1に基づいて作成した車両情報を取得する通信メッセージMD2をプロキシ部71及び第1のFW部62を介して制御系バス10へ送信する。制御系バス10の制御系ゲートウェイ50は、メッセージバッファ501から取得した通信メッセージMD2が要求している車両情報を含む返信用の通信メッセージMD3を生成し、第1のFW部62及びプロキシ部71を介してデータサーバ部75へ返信する。データサーバ部75は、通信メッセージMB3から取得した車両情報を含ませた応答信号MD4を作成し、これをプロキシ部71を介して情報系バス20へ送信する。この作成した応答信号MD4は、応答信号MD4に含まれている車両情報を要求した要求信号MD1に対する応答メッセージとなる。
ログ部74は、情報系バス20から入力される要求信号MD1は、セキュリティーが比較的高く確保されていることからログデータを取得しない。なお、ログ部74は、要求信号MD1についてもログデータを取得し、この取得したログデータを解析したり、ログ解析装置に送出したりしてもよい。
図9は、外部装置からの要求に応じて、制御系バス10の車両情報を連続して送信する処理を示している。なお、ここでは既に、情報系バス20の次世代車載情報通信システム(IVI:車載インフォテインメント)24が認証済であるとする。IVI24は、車両1に搭載された情報提供装置であって、電話機能、ナビゲーション機能、オーディオ機能、及びインターネット接続・検索機能などを幅広く提供する。また、図7に示したように、制御系ゲートウェイ50のイーサーネット(登録商標)規格の通信バス17には、4つのFRカメラ171,FLカメラ172,RRカメラ173,RLカメラ174が接続されている。
情報系バス20からの車両情報を連続して要求する要求信号は、図6に例示した態様にて制御系バス10のFLカメラ172に伝達済である。つまり、IVI24からの通信メッセージに対応するデータサーバ部75が作成した通信メッセージが、プロキシ部71、第1のFW部62及び制御系ゲートウェイ50を介してFLカメラ172に伝達されている。この車両情報を連続して要求する要求信号は、FLカメラ172にそのカメラで撮像した画像を短周期で送り続けさせる。なお、プロキシ部71は、FLカメラ172に車両情報を連続して要求する通信メッセージを伝達したことを記憶するとともに、同通信メッセージの伝達に応じて第2のFW部63の規制条件を制御系バス10から情報系バス20への通信メッセージの通過を許可するように変更する。制御系バス10のセキュリティーは情報系バス20のセキュリティーよりも高いため、このときの第2のFW部63の規制条件の変更によって情報系バス20のセキュリティーのレベルが低下するおそれはない。
FLカメラ172は、車両情報を連続して要求する通信メッセージに応じて撮像画像を含む応答する通信メッセージとして応答信号ME1を生成して送信することを周期的に行う。なお、FLカメラ172は応答信号ME1をIPで送信可能に作成する。FLカメラ172から送信された応答信号ME1は、制御系ゲートウェイ50から第1のFW部62へ伝達され、第1のFW部62で通過が許可される。第1のFW部62を通過した応答信号ME1は、内部バス61を介してプロキシ部71や第2のFW部63に伝達される。第2のFW部63は、伝達された応答信号ME1の通過を許可し、該応答信号ME1は情報系バス20へ送信される。そして応答信号ME1は、情報系バス20を介して要求信号の送信元であるIVI24へ入力される。一方、プロキシ部71は、応答信号ME1が第2のFW部63から情報系バス20へ直接送信されるため、該応答信号ME1に対する処理を行わない。
これにより、制御系バス10から連続して送信される応答信号ME1の処理によってデータサーバ部75やプロキシ部71の処理負荷の上昇が防止される。そしてこの場合であれ、制御系バス10からの応答信号ME1が情報系バス20に送信されることが許可されるだけである。つまり、第2のFW部63の規制条件のうちの入力される要求信号に対する規制条件や、第3のFW部64の規制条件は変更されないため、外部バス30に対する制御系バス10や情報系バス20のセキュリティーは確保される。
以上説明したように、本実施形態に係る情報処理装置を備える通信システムは、以下に列記する効果を有する。
(1)インターネットや情報端末などが接続される外部バス30、並びにオーディオ装置やナビゲーション装置などの情報系機器が接続される情報系バス20から制御系バス10が隔離されるため、車両1の移動にとって重要な車両情報(制御情報)の授受が行われる制御系バス10のセキュリティーが好適に確保される。
また、処理部70は第1〜第3のFW部62〜64を介して制御系バス10、情報系バス20又は外部バス30に接続されており、制御系バス10は情報系バス20及び外部バス30から直接アクセスされることがなくとも、処理部70を介して制御系バス10内の情報を情報系バス20及び外部バス30に伝達することが可能でもある。
これにより、制御系バス10と情報系バス20及び外部バス30との通信を可能としつつも、外部バス30などに対する制御系バス10のセキュリティーを好適に確保することができる。
さらに、制御系バス10からの情報取得に処理部70を介在させることで、外部バス30は制御系バス10のプロトコルに適合しない要求信号によって制御系バス10内の情報を取得することが可能にもなる。
また、車両1には、要求されるセキュリティーレベルの異なる少なくとも3つのネットワーク、つまり制御系バス10、情報系バス20及び外部バス30が設けられることが普通である。つまり、車両1においては、高いセキュリティーレベルの要求される制御系バス10と、それほど高いセキュリティーの要求されない情報系バス20と、セキュリティーの確保が難しい外部バス30とがあるが、それらに別々のファイアウォールを設けたことで各バスにおいて確保すべきセキュリティーレベルをそれぞれ適切に設定することができる。
(2)外部バス30や情報系バス20から受信した要求信号は制御系バス10に直接流されずに処理部70によって所定に加工されるため、少なくとも制御系バス10のセキュリティーは好適に維持される。車両1であれば、処理部70は、受信した要求信号に基づいて、制御系バス10の速度情報やセンサ情報などの車両情報を取得し、取得した車両情報を含むように要求信号に応答する応答信号を作成する。これにより、制御系ネットワークに他のネットワークからの要求信号が流れなくとも、他のネットワークの要求信号の送信元には、要求信号を通じて要求した情報が応答信号に含まれて送信されるようになる。
また、外部バス30などから受信される要求信号は処理部70にて加工処理されるため、外部バス30などはその要求信号を制御系バス10のプロトコルに適合させる必要がない。このため外部バス30や情報系バス20による制御系バス10の車両情報の取得が容易にもなる。
(3)制御系バス10から車両情報を取得すれば、外部バス30などから要求信号を受信する都度、制御系バス10側から車両情報が取得されるため、受信される要求信号に対する車両情報のリアルタイム性を高めることができるようになる。
(4)データサーバ部75の保持部から車両情報を取得すれば、外部ネットワークや情報系ネットワークから受信される要求信号に応答する応答信号が、制御系ネットワークから取得されて保持されている制御情報に基づいて作成される。このため、受信される要求信号に対応して作成される応答信号の送信までに要する時間が短くなり、要求信号に対する応答信号の応答性が高められる。
(5)外部バス30などからの要求信号は、プロキシ部71を経由することで制御系バス10の送信先の情報を外部バス30に対して隠蔽することができるようになるため、制御系バス10のセキュリティーをより高く確保することができる。
また、要求信号の処理をデータサーバ部75に行わせることで、外部バス30などからの要求信号を制御系バス10へ送信しなくとも要求信号に対応する応答信号を作成することができるようになる。これによっても、制御系バス10のセキュリティーが高く維持される。
(6)認証された外部装置から送信された要求信号のみに対して処理部70が車両情報を取得する処理を行うため、認証されていない外部装置に制御系バス10の車両情報が不正に取得されることが防止される。これによっても、制御系バス10のセキュリティーを高く維持することができる。
(7)監視により異常が生じていると判断される要求信号に基づく車両情報の取得が禁止されるため、これによっても制御系バス10のセキュリティーの向上が図られる。
(8)要求信号をログデータとして時系列的に、あるいは統計的に記憶することによって、外部バス30などからの攻撃などによる異常な要求信号の存在の有無を判断することができるようになる。これにより、車両1に搭載される通信システムの管理が好適に行うことができるようになるとともに、制御系バス10のさらなるセキュリティーの向上が図られる。
(9)外部バス30からの要求信号によって例えば連続した複数の車両情報が要求されたとしても処理部70により適切に対応することができる。すなわち、処理部70は、適宜の記憶部としてのデータサーバ部75に時系列的に格納される複数の車両情報を順に含めつつ要求信号に応答する応答信号を作成することもできる。また、短周期の情報や分割された情報などからなる車両情報を制御系バス10から取得する順に、その取得した車両情報を含む応答信号を作成してもよい。これにより、制御系バス10のセキュリティーを高く確保しつつ、複数の車両情報の取得要求に応じることができるようになる。
(10)車両の制御系バス10の通信プロトコルはCANであり、外部バス30の通信プロトコルはIPであり相違する。よって、第1のFW部62より制御系バス10側にプロトコル変換部511〜514を設けたことにより、制御系バス10の通信プロトコルと、外部バス30の通信プロトコルなどが相違していたとしても、外部バス30から入力されて処理部70で処理される要求信号が制御系バス10の通信プロトコルに変換される。これによって、外部バス30と、制御系バス10との間の情報伝達が適切に行われるようになる。
(11)認証された情報系バス20の送信元に対しては、制御系バス10から取得した制御情報を含めて作成した応答信号を転送するようにした。これにより、処理部70の処理負荷を軽減できるとともに、情報系バス20の機器としての情報提供サーバMSによる制御系バス10の車両情報の取得を容易かつ迅速に行うことができるようになる。
(その他の実施形態)
なお、上記実施形態は以下の態様で実施することもできる。
・上記実施形態では、制御系バス10や情報系バス20に複数のECUが接続される場合について例示したが、これに限らず、ECUは1つ以上接続されていればよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系バス10や情報系バス20にECUが接続される場合について例示したが、これに限らず、各バスには、通信バスを介して通信することのできる機器であれば、ECU以外の情報処理装置などが接続されてもよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系バス10には、CANバス、LINバス、イーサーネット(登録商標)バスが含まれる場合について例示した。しかしこれに限らず、制御系バスには、CANバス、LINバス、及びイーサーネット(登録商標)バス以外の通信規格、例えばFlexRay(登録商標)などの通信規格が含まれていてもよい。また、制御系バスには、CANバス、LINバス、及びイーサーネット(登録商標)バスやそれ以外バスの少なくとも1つが含まれていていればよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系バス10には複数の通信用バス(バス11〜16,17)が設けられている場合について例示した。しかしこれに限らず、制御系バスには、少なくとも1つの通信バスが設けられていればよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系ゲートウェイ50にはパワートレインGW51、シャーシGW52、安全GW53及び車体GW54が設けられている場合について例示した。しかしこれに限らず、制御系ゲートウェイには、パワートレインGW、シャーシGW、安全GW及び車体GWのうちの少なくとも1つのゲートウェイが設けられていてもよい。これにより、情報処理装置を含む通信システムとしての適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系ゲートウェイ50にはパワートレインGW51、シャーシGW52、安全GW53及び車体GW54が別々に設けられている場合について例示した。しかしこれに限らず、制御系ゲートウェイは、パワートレインGW、シャーシGW、安全GW及び車体GWのうちのいずれか複数のゲートウェイが一体とされた構成であってもよい。これにより、情報処理装置を含む通信システムの設計自由度の向上が図られるようになる。
・上記実施形態では、DMZ60と制御系ゲートウェイ50とがセントラルゲートウェイ40に一体的に設けられている場合について例示した。例えば、セントラルゲートウェイ40の処理装置に、DMZ60と制御系ゲートウェイ50との機能を配置し、各バスをソフトウェアにより論理的に隔離する場合、いずれかの機能に変更が生じるとセントラルゲートウェイ40の全体に係わる設計変更やソフトウェアのアップデートの手間が生じる。そこで、DMZと制御系ゲートウェイとが別々の構成であってもよい。
例えば図10に示すように、DMZ60と、パワートレインGW、シャーシGW、安全GW及び車体GWの4つのゲートウェイをひとつにまとめた構成を有する制御系ゲートウェイ50Aとを別にするようにしてもよい。つまり、DMZ60の機能を実現する処理装置と、制御系ゲートウェイ50Aの機能を実現する処理装置とを物理的に分離してもよい。この場合、機能に変更が生じた処理装置に係わる設計変更やソフトウェアのアップデートのみの手間だけで済むようにもなる。これにより、情報処理装置を含む通信システムの設計自由度の向上が図られるようになる。
・さらに、図11に示すように、制御系バス10は、各通信用バスに別々の処理装置からなるゲートウェイ(スイッチ)51A〜54Aを備える構成であってもよい。この場合、各通信用バスに生じた仕様変更を、対応するゲートウェイ(スイッチ)の設計変更などだけ済ますことができるようになる。これにより、情報処理装置を含む通信システムの設計自由度の向上や適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系ゲートウェイ50にメッセージバッファ501が設けられている場合について例示したが、これに限らず、制御系ゲートウェイにはメッセージバッファが設けられていなくてもよい。ちなみにこの場合、各通信バスのゲートウェイがそれぞれメッセージバッファを有していてもよいし、又は、通信バスの間で車両情報が必要な場合、その都度対象となるECUから車両情報を送信してもらうようにしてもよい。これにより、情報処理装置を含む通信システムの設計自由度の向上や適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系バス10の車両情報が、制御系バス10のECUから取得される場合と、制御系ゲートウェイ50のメッセージバッファ501から取得される場合とについて例示した。車両情報がECUから取得されるときは最新の情報が取得されることが期待され、メッセージバッファ501から取得されるときは迅速な応答が期待される。しかしこれに限らず、制御系バスの車両情報は、制御系バスのECUのみから取得されるか、制御系ゲートウェイのメッセージバッファのみから取得されてもよい。いずれの場合であれ、処理部における車両情報の取得に関する処理には大きな相違が生じないため、処理部はいずれの場合にも好適に対応することができる。
・上記実施形態では、情報系バス20から制御系バス10の車両情報を取得する場合について例示した。しかしこれに限らず、情報系バスから制御系バスのECUにパラメータを設定してもよい。通常、車両に搭載されている情報系バスは、外部バスよりも高いセキュリティーが確保されている。つまり、情報系バスのセキュリティーは所定のレベルに保たれていることから、情報系バスからは制御系バスの制御系機器へデータを設定する設定データの送信が許可されてもよい。このように、情報系バスから制御系バスのECUにパラメータを設定することが可能であったとしても、制御系バスのセキュリティーは適切なレベルに維持されることが普通である。これにより、外部バスに対する制御系バスのセキュリティーを維持しつつ、制御系バスに接続されている制御系機器の管理を容易にすることができる。
・上記実施形態では、連続する車両情報がカメラ画像、いわゆる動画である場合について例示した。しかしこれに限らず、連続する車両情報は、大きなデータが複数に分割されたものであってもよい。これにより、情報処理装置の適用範囲の拡大が図られるようになる。
・上記実施形態では、ログ部74にてログデータを解析してもよいし、ログデータを外部のログ解析装置に送信してもよい場合について例示した。つまり、ログデータをログ部にて解析するだけでもよいし、ログデータを外部のログ解析装置に送るだけでもよいし、ログ部による解析とログ解析装置へのログデータの送信との両方を行ってもよい。いずれにせよ、ログデータに基づいて要求信号の異常の存在の有無が事後的に解析されるようになる。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、ログ部74やログ解析装置によるログデータの解析が事後的に行われる場合について例示した。しかしこれに限らず、ログ部やログ解析装置は、リアルタイムでログデータを解析してもよい。これにより、異常な通信メッセージへの情報処理装置の応答性の向上が図られるようになる。
・上記実施形態では、処理部70には認証部72、監視部73及びログ部74が含まれている場合について例示した。しかしこれに限らず、認証部、監視部及びログ部の全部もしくは一部が処理部から割愛される構成であってもよい。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、認証部72は外部装置等との通信を開始するときに外部装置の認証を行う場合について例示した。しかしこれに限らず、認証部は、外部装置から車両情報の要求信号を受信したとき、その受信した要求信号に基づいて認証処理を開始するようにしてもよい。例えば、車両情報の要求信号の受信に応じて、認証処理を開始し、認証に必要な情報を外部装置に要求してもよい。また、車両情報の要求信号に認証用データが付与されているのであれば、車両情報の要求信号に対して認証処理を行ってもよい。これにより、情報処理装置の適用範囲の拡張が図られるようになる。
・上記実施形態では、プロキシ部71の不正な送信元に関する情報は、プロキシ部71が認証部72の認証結果や監視部73の監視結果に基づいて更新する場合について例示した。しかしこれに限らず、プロキシ部の不正な送信元に関する情報を、認証部自身が認証結果に基づいて更新したり、監視部自身が監視結果に基づいて更新したりしてもよい。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、処理部70にプロキシ部71とデータサーバ部75とが別々に設けられる場合について例示した。しかしこれに限らず、プロキシ部とデータサーバ部とは、それらの機能が実現されるのであれば一体的に構成されてもよい。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、第1〜第3のFW部62〜64の規制条件が送信元や送信先のアドレスに基づいて設定されている場合について例示した。しかしこれに限らず、各FW部の規制条件は、送信元や送信先のアドレスではなく、通信メッセージの内容によって定められていてもよいし、送信元や送信先のアドレスと通信メッセージの内容とによって定められてもよい。これにより、ファイアウォールにおける通信規制の設定自由度が向上し、不正な通信メッセージのDMZへの進入をより好適に防ぐことができるようになる。
・上記実施形態では、DMZ60には第1〜第3のFW部62〜64の3つが設けられている場合について例示した。しかしこれに限らず、DMZに設けられるファイアウォールは、それらの機能が発揮されるのであれば、対応するネットワークの別に分離している構成でも、3つのネットワークに対して一体的な構成でもよい。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、DMZ60において、第1〜第3のFW部62〜64と処理部70とが別々に設けられている場合について例示した。しかしこれに限らず、DMZにおいて、各FW部と処理部との機能が実現されるのであれば、それらは一体的に構成されてもよい。これにより、情報処理装置の設計自由度の向上が図られるようになる。
・上記実施形態では、制御系バス10から車両情報が取得される場合について例示した。しかしこれに限らず、制御系バスから車両の制御には無関係な情報、つまり車両情報以外の制御情報が取得されてもよい。これにより、情報処理装置の適用範囲の拡大が図られるようになる。
・上記実施形態では、各ネットワークは制御系バス10、情報系バス20及び外部バス30のバス型のネットワークである場合について例示した。しかしこれに限らず、各ネットワークは、スター型のネットワークやリング型のネットワークであってもよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、情報系バス20や外部バス30は、イーサーネット(登録商標)である場合について例示した。しかし、これに限らず、情報系バスや外部バスは、イーサーネット(登録商標)以外の通信規格、例えば、CAN、LIN、FlexRayなどであってもよい。これにより、情報処理装置を含む通信システムの適用範囲の拡張が図られるようになる。
・上記実施形態では、DMZ60に3つのバスが接続されている場合について例示した。しかしこれに限らず、DMZには4つ以上のバスが接続されていてもよい。これにより、情報処理装置の適用範囲の拡張が図られるようになる。
・上記実施形態では、制御系バス10のセキュリティーを確保する場合について主に例示したが、これに限らず、同様にして情報系バスのセキュリティーも確保される。これにより、情報処理装置により車両の情報系バスのセキュリティーが好適に維持されるようになる。
・上記実施形態では、車両1は自動車である場合について例示した。しかしこれに限らず、上記情報処理装置は自動車以外の移動体、例えば船舶、鉄道、産業機械やロボットなどに設けられていてもよい。これにより、情報処理装置を含む通信システムの適用範囲の拡大が図られるようになる。
1…車両、10…制御系バス、11〜14…第1〜第4のCANバス、16…LINバス、17…通信バス、20…情報系バス、21…通信バス、23…無線通信部、24…次世代車載情報通信システム(IVI)、30…外部バス、31…通信バス、32…データリンクコネクタ(DLC)、33…無線通信部、40…セントラルゲートウェイ、41…通信バス、50,50A…制御系ゲートウェイ、51…パワートレインGW、52…シャーシGW、53…安全GW、54…車体GW、51A〜54A…ゲートウェイ、60…非武装地帯(DMZ)、61…内部バス、62〜64…第1〜第3のファイアウォール(FW)部、70…処理部、71…プロキシ部、72…認証部、73…監視部、74…ログ部、75…データサーバ部、111〜113,131,132,141,142,161…電子制御装置(ECU)、171…FRカメラ、172…FLカメラ、173…RRカメラ、174…RLカメラ、211,213,214…ECU、212…イーサーネットスイッチ、501…メッセージバッファ、511〜514…プロトコル変換部、W…インターネット、MS…情報提供サーバ。

Claims (9)

  1. 移動体内の制御系機器に接続される制御系ネットワークと、移動体内の情報系機器に接続される情報系ネットワークと、移動体の外部機器に接続される外部ネットワークとを含む複数のネットワークに接続されて情報処理を行う情報処理装置であって、
    前記ネットワークにそれぞれ接続されるファイアウォールと、それらファイアウォールを介して各ネットワークに接続される処理部とを備え、
    前記ファイアウォールは、それぞれ自らが接続されているネットワークと前記処理部との間の通信のみを許可することで少なくとも前記制御系ネットワークを他のネットワークから隔離し、
    前記処理部は、受信した要求信号の送信先を変更するプロキシサーバと、前記受信した要求信号に対応する応答信号を作成するデータサーバとを備え、
    前記プロキシサーバは、前記受信した要求信号の送信先を該要求信号の要求する処理内容に応じて前記データサーバに変更し、
    前記データサーバは、前記要求信号が要求する制御系機器の制御情報を前記制御系ネットワークから予め取得して保持部に保持しており、前記制御系ネットワークから得られる制御系機器の前記制御情報を要求する要求信号を前記プロキシサーバにより送信先が変更されることによって他のネットワークから受信することに基づいてその受信した要求信号の要求する制御情報を前記制御系ネットワークから取得する前記保持部から取得するとともに、該取得した制御情報を含めて前記要求信号に応答する応答信号を作成し、該作成した応答信号を前記要求信号の送信元のネットワークへ送信する
    ことを特徴とする情報処理装置。
  2. 前記処理部は、前記受信した要求信号を送信した装置の認証を行う認証部をさらに備え、前記認証部により認証された装置から送信された要求信号のみに対して要求される制御情報を取得する
    請求項1に記載の情報処理装置。
  3. 前記処理部は、監視条件に応じて前記受信した要求信号を監視する監視部をさらに備え、
    前記監視部は、前記監視条件に応じた監視によって前記受信した要求信号に異常が生じていると判断されるとき、前記処理部による制御情報の取得を禁止する
    請求項1又は2に記載の情報処理装置。
  4. 前記処理部は、前記受信した要求信号を時系列的に記録するログ部をさらに備える
    請求項1〜のいずれか一項に記載の情報処理装置。
  5. 前記処理部は、前記受信した要求信号による要求が複数の制御情報の取得であるとき、その受信した要求信号の要求する複数の制御情報を順次1つずつ前記制御系ネットワークから取得し、それら取得した制御情報を順に含めつつ前記要求信号に応答する応答信号の作成を繰り返す
    請求項1〜のいずれか一項に記載の情報処理装置。
  6. 前記制御系ネットワークに接続されるファイアウォールの該制御系ネットワーク側にはプロトコル変換部が設けられており、前記処理部で処理された要求信号の通信プロトコルを前記プロトコル変換部を通じて制御系ネットワークの通信プロトコルに変換する
    請求項1〜のいずれか一項に記載の情報処理装置。
  7. 前記処理部は、前記情報系ネットワークから受信した前記制御系ネットワーク内の機器への設定データに基づいて前記制御系ネットワークへ送信する送信信号を作成する
    請求項1〜のいずれか一項に記載の情報処理装置。
  8. 前記処理部は、前記情報系ネットワークから受信した要求信号についてはその送信元を認証するとともに、当該受信した要求信号の要求する制御情報を前記保持部から取得し、該取得した制御情報を含めて作成した応答信号を前記情報系ネットワークの前記認証した送信元に転送する
    請求項1〜のいずれか一項に記載の情報処理装置。
  9. 移動体内の制御系機器に接続される制御系ネットワークと、移動体内の情報系機器に接続される情報系ネットワークと、移動体の外部機器に接続される外部ネットワークとを含む複数のネットワークに接続されて情報処理を行う情報処理装置における情報処理方法であって、
    前記ネットワークにそれぞれ接続されるファイアウォールと、それらファイアウォールを介して各ネットワークに接続される処理部とを設け、
    前記ファイアウォールには、それぞれ自らが接続されているネットワークと前記処理部との間の通信のみを許可させることで少なくとも前記制御系ネットワークを他のネットワークから隔離させ、
    前記処理部には、受信した要求信号の送信先を変更するプロキシサーバと、前記受信した要求信号に対応する応答信号を作成するデータサーバとを設け、
    前記プロキシサーバには、前記受信した要求信号の送信先を該要求信号の要求する処理内容に応じて前記データサーバに変更させ、
    前記データサーバには、前記要求信号が要求する制御系機器の制御情報を前記制御系ネットワークから予め取得して保持部に保持させて、前記制御系ネットワークから得られる制御系機器の前記制御情報を要求する要求信号を前記プロキシサーバにより送信先が変更されることによって他のネットワークから受信することに基づいてその受信した要求信号の要求する制御情報を前記制御系ネットワークから取得する前記保持部から取得させるとともに、該取得された制御情報を含めて前記要求信号に応答する応答信号を作成させ、該作成された応答信号を前記要求信号の送信元のネットワークへ送信させる
    ことを特徴とする情報処理方法。
JP2013034611A 2013-02-25 2013-02-25 情報処理装置及び情報処理方法 Active JP5838983B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2013034611A JP5838983B2 (ja) 2013-02-25 2013-02-25 情報処理装置及び情報処理方法
EP14704399.6A EP2959654B1 (en) 2013-02-25 2014-01-16 Information processing device and information processing method
CN201480010038.5A CN105009546B (zh) 2013-02-25 2014-01-16 信息处理装置和信息处理方法
PCT/JP2014/000202 WO2014129107A1 (en) 2013-02-25 2014-01-16 Information processing device and information processing method
US14/765,937 US9866527B2 (en) 2013-02-25 2014-01-16 Information processing device and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013034611A JP5838983B2 (ja) 2013-02-25 2013-02-25 情報処理装置及び情報処理方法

Publications (2)

Publication Number Publication Date
JP2014165641A JP2014165641A (ja) 2014-09-08
JP5838983B2 true JP5838983B2 (ja) 2016-01-06

Family

ID=50102149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013034611A Active JP5838983B2 (ja) 2013-02-25 2013-02-25 情報処理装置及び情報処理方法

Country Status (5)

Country Link
US (1) US9866527B2 (ja)
EP (1) EP2959654B1 (ja)
JP (1) JP5838983B2 (ja)
CN (1) CN105009546B (ja)
WO (1) WO2014129107A1 (ja)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BE1022908B1 (nl) * 2014-02-28 2016-10-12 Digital Car Services Bvba Beveiliging voor een netwerk, beveiligd netwerk en werkwijze voor het beveiligen van een netwerk
CN104753962A (zh) * 2015-04-23 2015-07-01 厦门雅迅网络股份有限公司 一种obd安全管理方法和***
DE102015214505A1 (de) * 2015-07-30 2017-02-02 Robert Bosch Gmbh Verfahren und Vorrichtung zum Austausch von Daten mit der Steuerelektronik eines Kraftfahrzeugs
JP6603617B2 (ja) * 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法
EP3150460B1 (en) * 2015-09-30 2019-11-13 ALSTOM Transport Technologies Railway vehicle with unidirectional security gateway for secure diagnosis data transmission
JP2017092722A (ja) * 2015-11-11 2017-05-25 直人 ▲高▼野 ファイルの送受信システム
US20170150361A1 (en) * 2015-11-20 2017-05-25 Faraday&Future Inc. Secure vehicle network architecture
CN105791071B (zh) * 2016-02-23 2017-06-16 中车青岛四方车辆研究所有限公司 一种列车控制、服务共网的宽带通信网络架构及通信方法
JP2017174111A (ja) * 2016-03-23 2017-09-28 株式会社東芝 車載ゲートウェイ装置、蓄積制御方法およびプログラム
CN109644153B (zh) * 2016-04-12 2020-10-13 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算***及其使用方法
US10728249B2 (en) * 2016-04-26 2020-07-28 Garrett Transporation I Inc. Approach for securing a vehicle access port
US10412100B2 (en) * 2016-08-01 2019-09-10 The Boeing Company System and methods for providing secure data connections in an aviation environment
CN106341400B (zh) * 2016-08-29 2019-06-18 联动优势科技有限公司 一种处理业务请求的方法及装置
JP7013694B2 (ja) * 2016-09-28 2022-02-01 株式会社デンソー 車両用サービス連携システム
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法
WO2018105319A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法
JP6492234B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
JP6490879B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
JP7286318B2 (ja) 2017-01-25 2023-06-05 エスイーエー オートモーティブ ピーティーワイ リミテッド 商用電気自動車のための管理システム
JP6981755B2 (ja) * 2017-01-25 2021-12-17 トヨタ自動車株式会社 車載ネットワークシステム
JP6784178B2 (ja) * 2017-01-27 2020-11-11 住友電気工業株式会社 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム
US10897469B2 (en) * 2017-02-02 2021-01-19 Nio Usa, Inc. System and method for firewalls between vehicle networks
DE102017202022A1 (de) * 2017-02-09 2018-08-09 Audi Ag Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
US10757113B2 (en) * 2017-03-17 2020-08-25 Cylance Inc. Communications bus signal fingerprinting
JP6585113B2 (ja) * 2017-03-17 2019-10-02 株式会社東芝 データ格納装置
US10917387B2 (en) * 2017-04-11 2021-02-09 Panasonic Intellectual Property Management Co., Ltd. Information processing device, information processing system, information processing method, and information processing program
US10873600B2 (en) * 2017-04-11 2020-12-22 Panasonic Intellectual Property Management Co., Ltd. Information processing device, information processing system, information processing method, and information processing program
CN107682334B (zh) * 2017-09-30 2019-12-31 郑州信大捷安信息技术股份有限公司 一种obd接口数据安全防护***及数据安全防护方法
JP2019071572A (ja) * 2017-10-10 2019-05-09 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 制御装置及び制御方法
CN109729056A (zh) * 2017-10-30 2019-05-07 北京长城华冠汽车科技股份有限公司 基于车联网的整车网络安全防护方法及整车网络架构
US10486626B2 (en) * 2017-11-20 2019-11-26 Ford Global Technologies, Llc Systems and methods for vehicle diagnostic tester coordination
US10977875B2 (en) 2017-11-20 2021-04-13 Ford Global Technologies, Llc Systems and methods for vehicle diagnostic tester coordination
FR3074762B1 (fr) * 2017-12-08 2019-12-20 Speedinnov Vehicule terrestre de transport en commun, systeme comprenant un tel vehicule et utilisation d'un tel vehicule
US10764134B2 (en) * 2018-06-22 2020-09-01 Blackberry Limited Configuring a firewall system in a vehicle network
JP7087819B2 (ja) * 2018-08-22 2022-06-21 富士通株式会社 通信装置
JP2020031361A (ja) * 2018-08-23 2020-02-27 株式会社Subaru 車両の中継装置
CN109117313B (zh) * 2018-08-28 2022-03-18 成都信息工程大学 一种带隔离灾备管控机制的车辆智慧安全网关及管控方法
CN109167712B (zh) * 2018-09-21 2021-08-17 东风汽车有限公司 车辆网络拓扑结构
JP7074004B2 (ja) * 2018-09-25 2022-05-24 株式会社オートネットワーク技術研究所 中継装置システム及び中継装置
CN111385326B (zh) * 2018-12-28 2022-04-15 比亚迪股份有限公司 轨道交通通信***
JP7088081B2 (ja) * 2019-03-01 2022-06-21 株式会社デンソー 中継装置
US11240061B2 (en) * 2019-06-03 2022-02-01 Progress Rail Locomotive Inc. Methods and systems for controlling locomotives
JP7376257B2 (ja) 2019-06-14 2023-11-08 矢崎総業株式会社 車載通信システム
JP7398210B2 (ja) 2019-06-14 2023-12-14 矢崎総業株式会社 電気接続箱
CN114051744A (zh) * 2019-07-12 2022-02-15 日立安斯泰莫株式会社 网关装置
US11538287B2 (en) 2019-09-20 2022-12-27 Sonatus, Inc. System, method, and apparatus for managing vehicle data collection
CN114651456A (zh) 2019-09-20 2022-06-21 桑纳特斯公司 用于交通工具外通信控制的***、方法和装置
JP7336770B2 (ja) * 2020-01-17 2023-09-01 パナソニックIpマネジメント株式会社 情報処理装置、情報処理システム及びプログラム
US20230046939A1 (en) * 2020-02-18 2023-02-16 Sumitomo Electric Industries, Ltd. Security system, vehicle, security device, and validity determination method
JP2021145162A (ja) * 2020-03-10 2021-09-24 本田技研工業株式会社 通信制御システム
CN111605501A (zh) * 2020-06-03 2020-09-01 中国重汽集团济南动力有限公司 一种重型汽车的bbm上装控制***及方法
US11695851B2 (en) * 2020-06-03 2023-07-04 Micron Technology, Inc. Gateway for vehicle with caching buffer for distributed storage system
JP2022090257A (ja) * 2020-12-07 2022-06-17 ヤマハ発動機株式会社 操船システムおよび船舶
JP7480689B2 (ja) 2020-12-08 2024-05-10 株式会社デンソー 通信制御方法及び通信装置
JP7447848B2 (ja) 2021-03-05 2024-03-12 株式会社デンソー 車両用装置、サーバ、及び通信管理方法
US12047352B2 (en) * 2021-12-29 2024-07-23 Micron Technology, Inc. Security configurations for zonal computing architecture
EP4335722A1 (de) * 2022-09-09 2024-03-13 Siemens Mobility GmbH Fernzugriffseinrichtung und verfahren für einen fernzugriff auf ein geschlossenes netzwerk einer eisenbahntechnischen anlage
CN115622833B (zh) * 2022-09-30 2024-04-19 蔚来软件科技(上海)有限公司 基于总线的跨端通信的设备管理方法、***、装置及介质

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6314351B1 (en) * 1998-08-10 2001-11-06 Lear Automotive Dearborn, Inc. Auto PC firewall
US6161071A (en) * 1999-03-12 2000-12-12 Navigation Technologies Corporation Method and system for an in-vehicle computing architecture
JP4124948B2 (ja) * 2000-08-25 2008-07-23 三菱電機株式会社 移動体電子装置
JP2002261790A (ja) * 2001-02-28 2002-09-13 Toshiba Corp ビークル・プラットフォームとしての車載ネットワークシステム
JP4481519B2 (ja) * 2001-03-22 2010-06-16 株式会社東芝 インテリジェントhmi機能付きio機器
US20030046587A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access using enterprise peer networks
KR20030046635A (ko) * 2001-12-06 2003-06-18 현대자동차주식회사 차량 정보 모니터링 장치
US7757076B2 (en) 2003-12-08 2010-07-13 Palo Alto Research Center Incorporated Method and apparatus for using a secure credential infrastructure to access vehicle components
JP2005343430A (ja) 2004-06-07 2005-12-15 Denso Corp 車両制御システム
GB2430585A (en) * 2005-03-11 2007-03-28 P Tec Ltd A firewall/gateway for a vehicle network/data bus
CN100476649C (zh) * 2006-08-16 2009-04-08 中山大学 一种车载智能控制装置和方法
JP5138949B2 (ja) 2007-02-07 2013-02-06 日立オートモティブシステムズ株式会社 車載ゲートウェイ装置
US8180908B2 (en) * 2007-08-14 2012-05-15 Bayerische Motoren Werke Aktiengesellschaft Platform for standardizing vehicle communications with third-party applications
US20090300750A1 (en) * 2008-05-27 2009-12-03 Avaya Inc. Proxy Based Two-Way Web-Service Router Gateway
WO2010144900A1 (en) * 2009-06-12 2010-12-16 Magna Electronics Inc. Scalable integrated electronic control unit for vehicle
JP2012010022A (ja) 2010-06-23 2012-01-12 Toyota Motor Corp 車載通信システム
US8919848B2 (en) * 2011-11-16 2014-12-30 Flextronics Ap, Llc Universal console chassis for the car
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
CN202183042U (zh) * 2011-08-16 2012-04-04 长江武汉航道工程局 施工船舶远程监控***
US20130200991A1 (en) * 2011-11-16 2013-08-08 Flextronics Ap, Llc On board vehicle media controller
US20130212659A1 (en) * 2012-02-13 2013-08-15 Intertrust Technologies Corporation Trusted connected vehicle systems and methods
US9112578B2 (en) * 2013-01-10 2015-08-18 Maritime Telecommunications Network, Inc. Data archive from isolated locations
US9134955B2 (en) * 2013-01-24 2015-09-15 Intel Corporation Customization of a vehicle

Also Published As

Publication number Publication date
EP2959654B1 (en) 2017-03-15
EP2959654A1 (en) 2015-12-30
US20150372975A1 (en) 2015-12-24
JP2014165641A (ja) 2014-09-08
CN105009546B (zh) 2017-10-20
WO2014129107A1 (en) 2014-08-28
US9866527B2 (en) 2018-01-09
CN105009546A (zh) 2015-10-28

Similar Documents

Publication Publication Date Title
JP5838983B2 (ja) 情報処理装置及び情報処理方法
CN106953796B (zh) 安全网关、数据处理方法、装置、车辆网络***及车辆
CN109843653B (zh) 异常检测装置以及异常检测方法
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
JP5522160B2 (ja) 車両ネットワーク監視装置
JP5637190B2 (ja) 通信システム及び通信方法
US11005880B2 (en) System and method of blocking a computer attack on a means of transportation
US20190356574A1 (en) Motor vehicle comprising an internal data network and method for operating the motor vehicle
US20130104231A1 (en) Cyber security in an automotive network
JP6846706B2 (ja) 監視装置、監視方法およびコンピュータプログラム
WO2018135098A1 (ja) 監視装置、監視方法およびコンピュータプログラム
WO2015028342A1 (de) Modusumschaltung eines steuergeräts zwischen diagnosebus und externer ethernetverbindung
WO2018061362A1 (ja) ゲートウェイ、車載通信システム、通信制御方法および通信制御プログラム
CN111077883A (zh) 一种基于can总线的车载网络安全防护方法及装置
JP5712995B2 (ja) 通信システム、通信装置及び通信方法
WO2019021922A1 (ja) 異常検知装置および異常検知方法
JP7428222B2 (ja) 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
CN114422208A (zh) 车辆安全通讯方法、装置、微处理器和存储介质
JP7140011B2 (ja) ゲートウェイ装置
Douss et al. State-of-the-art survey of in-vehicle protocols and automotive Ethernet security and vulnerabilities
WO2023171475A1 (ja) 車載通信装置及び車載通信システム
CN214205563U (zh) 车载以太网网关和车辆
CN115996233A (zh) 一种车云通信指令的生成方法及***
KR20230089408A (ko) 차량 진단기의 접근 제어 장치 및 그 방법
JP2017165183A (ja) 通信装置および通信システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150819

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151013

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151026

R151 Written notification of patent or utility model registration

Ref document number: 5838983

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151