ゲートウェイ装置
【課題】車外装置を接続するコネクタを備えた車載通信システムにおいて非正規の外部ツールによる不正操作の実行を阻止するゲートウェイ装置を提供する。
【解決手段】外部ツールからセキュリティ解除を要求する要求フレームを受信したゲートウェイ装置は、まずランダムに質問数を選択する(S410〜S420)。次に車両情報DBに記憶された質問の中からランダムに質問内容を選択し、外部ツールとの間で、選択した質問内容を示した質問フレームの送信、その回答が示された回答フレームの受信を、選択した質問数だけ繰り返す(S430〜S460)。全ての回答フレームを受信すると、回答フレームに示された回答を、車両情報DBの内容と照合し、全ての回答が正しければ、コネクタに接続されている外部ツールは正規品であるものとして、セキュリティの解除を許可する旨の判定結果を示した判定フレームを送信して、セキュリティを解除する(S470〜S510)。
【解決手段】外部ツールからセキュリティ解除を要求する要求フレームを受信したゲートウェイ装置は、まずランダムに質問数を選択する(S410〜S420)。次に車両情報DBに記憶された質問の中からランダムに質問内容を選択し、外部ツールとの間で、選択した質問内容を示した質問フレームの送信、その回答が示された回答フレームの受信を、選択した質問数だけ繰り返す(S430〜S460)。全ての回答フレームを受信すると、回答フレームに示された回答を、車両情報DBの内容と照合し、全ての回答が正しければ、コネクタに接続されている外部ツールは正規品であるものとして、セキュリティの解除を許可する旨の判定結果を示した判定フレームを送信して、セキュリティを解除する(S470〜S510)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車外装置を接続するコネクタを備えた車載通信システムに適用されるゲートウェイ装置に関する。
【背景技術】
【0002】
従来、車両では、電子制御化の進歩に伴い、エンジンやブレーキ等といった各種の車両構成品が電子部品を介して制御され、これら電子部品に接続された電子制御ユニット(ECU)の数も増加傾向にある。また、ECUは、相互間での連携動作や情報の共有化を可能とするために車載通信システムを構築している。
【0003】
ところで、車載通信システムには、ECUを介して車両の状態を診断したり、ECUのプログラムをバージョンアップしたりする際に、外部ツールを接続するためのコネクタが設けられている。
【0004】
この外部ツールを利用して実施する操作には、セキュリティ関連情報の設定,解除やECUプログラムの書換(リプログ)など、正規の作業者以外の者が実施すべきではない操作(以下「特定操作」という)が含まれている。このため、外部ツールに認証機能を持たせること、具体的には、特定操作を実施する時にはパスワードの入力を要求することで、非正規の作業者によって、特定操作が実施されることを防止することが提案されている(例えば、特許文献1参照。)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、特許文献1に記載の認証機能は、外部ツール内で完結しているものであるため、非正規の外部ツールを使用された場合に、何の対策にもならないという問題があった。
即ち、車載通信システムに設けられるコネクタ自体は規格化されたものであるため、コネクタの規格を満たしていれば、非正規の外部ツールであっても接続して各種操作を実行することが可能である。このため、認証機能を持たない非正規の外部ツールをコネクタに接続して、車載通信システム上の通信内容をモニタすることは容易であり、その通信内容からセキュリティ関連の情報を入手されてしまったり、リプログが実施されてしまったりする可能性があった。
【0007】
本発明は、上記問題点を解決するために、車外装置を接続するコネクタを備えた車載通信システムにおいて、非正規の外部ツールによる不正操作の実行を阻止するセキュリティ装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた請求項1に記載の発明は、車載通信システムに適用されるゲートウェイ装置であり、車載通信システムと車載通信システムに外部装置を接続するために設けられたコネクタとの間に接続される。
【0009】
そして、本発明のゲートウェイ装置は、車載通信システムで使用される通信フレームのうち、予め許可された識別子を有した通信フレームを許可フレームとして、コネクタからの許可フレームの入出力を可能とするフィルタ手段を備えている。
【0010】
また、本発明のゲートウェイ装置では、質問選択手段が、予め指定された指定識別子を有した通信フレームを指定フレームとして、この指定フレームを許可フレームとすることを要求するための通信フレームである要求フレームを、コネクタを介して受信すると、車載通信システムを搭載した車両の固有情報に関する複数の質問の中から一つ以上の質問をランダムに選択する。
【0011】
すると判定手段が、質問フレーム(質問選択手段で選択された質問が示された通信フレーム)を、コネクタを介して送信し、回答フレーム(質問フレームに対する回答が示された通信フレーム)を、コネクタを介して受信すると、回答フレームに示された回答の正否を判定し、判定フレーム(判定結果が示された通信フレーム)を、コネクタを介して出力する。
【0012】
また、回答フレームに示された回答が正しいと判定手段にて判定された場合、許可手段が、予め設定された終了条件が成立するまでの間、指定フレームを許可フレームとすることを許可する。
【0013】
このように構成された本発明のゲートウェイ装置によれば、コネクタに接続された外部ツールから、質問に対する正しい回答が得られない限り、外部ツールから送信されてくる指定フレームを通過させることがない。このため、指定フレームを用いなければ特定操作を実施することができないように設定しておくことで、非正規の外部ツールによって不正に特定操作が実施されることを阻止することができる。
【0014】
また、本発明のゲートウェイ装置によれば、正規の外部ツールであるか否かを判断する際の質問として、車両の製造元等の一部の者しか知り得ない車両の固有情報を利用し、しかも、質問の内容をランダムに変化させるため、正規の外部ツールであるか否かを高い精度で判定することができる。
【0015】
なお、請求項2に記載のように、質問は、前記車両に搭載された複数の車載装置のそれぞれについて、該車載装置に関する質問が一つ以上ずつ用意されていてもよい。この場合、質問選択手段を、例えば、乱数を生成する乱数生成手段と、車載装置の一つを、乱数生成手段にて生成された乱数を利用して選択すると共に、その選択された車載装置について用意された質問の一つを、乱数生成手段にて生成された乱数を利用して選択する選択実行手段とで構成し、前記選択実行手段は、予め設定された質問数の質問が得られるまで動作を繰り返すようにしてもよい。
【0016】
この場合、多くの質問を用意することができ、質問フレームや回答フレームがモニタされたとしても、そのモニタされた情報からセキュリティが解除されてしまう可能性を低減することができる。
【0017】
更に、請求項3に記載のように、質問選択手段は、乱数情報を利用し、予め許容された範囲内で質問数を設定する質問数設定手段を備えていてもよい。
この場合、質問の内容や順番に加えて、質問数もランダムなものとなるため、正規の外部ツールであるか否かの判定の信頼性を更に向上させることができる。
【0018】
なお、乱数生成手段は、例えば、請求項4に記載のように、当該ゲートウェイ装置が保持する計時情報を取得し、その計時情報に基づいて乱数を生成するように構成されていてもよいし、請求項5に記載のように、車載通信システムを介してオドメータの情報を取得し、そのオドメータの情報に基づいて乱数を生成するように構成されていてもよい。
【0019】
いずれの場合も、使用する度に異なる乱数を発生させることができるため、質問の内容、質問の順番(及び質問数)が、同じパタンで繰り返し選択されてしまうことを防止でき、更にセキュリティを向上させることができる。
【0020】
ところで、許可手段は、請求項6に記載のように、判定フレームの送信後に予め設定された制限時間が経過することを終了条件とするように構成されていてもよいし、請求項7に記載のように、指定フレームによる通信の終了を通知するための通信フレームである終了フレームが受信されることを終了条件とするように構成されていてもよい。
【0021】
いずれも、指定フレームが許可フレームとなる期間を簡単に限定することができる。
【図面の簡単な説明】
【0022】
【図1】車載通信システム及び外部ツールの構成を示すブロック図である。
【図2】車両情報データベースに格納される情報テーブルの構造を示す説明図である。
【図3】外部ツール側処理の処理内容を示すフローチャートである。
【図4】ゲートウェイ側処理の処理内容を示すフローチャートである。
【図5】セキュリティ解除処理の詳細を示すフローチャートである。
【図6】外部ツールが特定操作を実行する際に、ゲートウェイ装置5との間で行われる通信の手順を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下に本発明の実施形態を図面と共に説明する。
<全体構成>
図1は、本発明が適用された車載通信システム1及び車載通信システム1に接続して使用する外部ツール10の構成を示すブロック図である。
【0024】
車載通信システム1は、図1に示すように、車両の各部に設置された複数の電子制御ユニット(ECU)2と、ECU2を相互に接続する通信線路である基幹バス3と、ECU2を介して車両の状態を診断したり、ECU2のプログラムをバージョンアップしたりする外部ツール(車外装置)10を接続するためのコネクタ4と、コネクタ4を基幹バス3に接続する通信線路(ツール側バス)6に設けられたゲートウェイ装置5とを備えている。
【0025】
なお、車載通信システム1では、データと、そのデータの種類を表す識別子(ID)とを少なくとも含んだ通信フレームを用いてデータを送受信するように構成されている。
また、通信フレームのIDには、正規の外部ツール10にだけ取り扱うことが許可されたデータに付与される指定IDと、不正規の外部ツール10でも取り扱うことが許可されたデータに付与される通常IDとが存在する。以下では、指定IDが付与された通信フレームを指定フレーム、通常IDが付与された通信フレームを通常フレームと呼ぶ。そして、セキュリティ関連情報の設定,解除やECUプログラムの書換(リプログ)など、正規の作業者以外の者が実施すべきではない操作(以下「特定操作」という)は、指定フレームを使用して実施されるように構成されている。
【0026】
コネクタ4は、OBD2規格で定められた周知の16ピンコネクタ(DLC)からなる
。
【0027】
<ゲートウェイ装置>
ゲートウェイ装置5は、コネクタ4に接続された外部ツール10との通信を実行するツール側通信部51と、基幹バス3を介してECU2との通信を実行するバス側通信部52と、車両の固有情報を記憶する車両情報データベース(DB)53と、許可された識別子である許可IDを有した通信フレーム(許可フレーム)を、基幹バス3及びツール側バス6の間で双方向に通過させる処理制御部54とを備えている。
【0028】
ツール側通信部51及びバス側通信部52は、いずれも、CANトランシーバやCANコントローラ等によって構成された周知のものである。
処理制御部54は、CPU,ROM,RAM等からなる周知のマイクロコンピュータからなり、後述するゲートウェイ側処理を少なくとも実行するように構成されている。
【0029】
ここで、図2は、車両情報DB53に格納される情報テーブルの構造を示す説明図である。
図2に示すように、情報テーブルは、質問番号と、ECUの固有情報に関する質問と、その質問に対する回答とで構成され、車載通信システム1を構成するECU2毎に、複数の質問が用意されている。
【0030】
なお、質問は、例えば、「ECUに搭載されたCPUの数」「ECUに搭載された電子部品の型番」「ECUの開発コード」等が考えられる。
<外部ツール>
外部ツール10は、コネクタ4を介して車載通信システム1に接続されたECU2やゲートウェイ装置5との通信を実行する車両通信部11と、インターネット等の公共通信ネットワークを介した通信を実行するネットワーク通信部12と、車両の固有情報を記憶する車両情報データベース(DB)13と、外部ツール10のユーザが操作を入力したり、車両通信部11やネットワーク通信部12を介して取得した情報をユーザに提示したりするための入出力部14と、入出力部14から入力される指令に従って、車両通信部11を介して個々のECU2の診断情報を収集したり、個々のECU2のプログラムを書き換えたりする処理を実行する処理制御部15とを備えている。
【0031】
車両通信部11は、ゲートウェイ装置5のツール側通信部51やバス側通信部52と同様に構成されたものであり、ネットワーク通信部12は、TCP/IPを実現するトランシーバやコントローラ等によって構成された周知のものである。
【0032】
処理制御部15は、CPU,ROM,RAM等からなる周知のマイクロコンピュータからなり、後述する外部ツール側処理を少なくとも実行するように構成されている。
車両情報DB13は、ゲートウェイ装置5の車両情報DB53と同じ情報テーブルを有しており、しかも、外部ツール10の操作対象となる車種についての情報テーブルを備えている。
【0033】
<外部ツール側処理>
図3は、外部ツール10の処理制御部15が実行する外部ツール側処理の内容を示すフローチャートである。なお、本処理は、入出力部14を介して、セキュリティ情報の設定やリプログ等の特定操作の実行を要求する指令が入力されると起動する。
【0034】
本処理が起動すると、図3に示すように、まず、セキュリティ解除を要求する通信フレーム(要求フレーム)を送信し(S110)、認証用の質問が示された通信フレーム(質問フレーム)を受信したか否かを判断し(S120)、質問フレームを受信したのであれば(S120:YES)、車両情報DB13を参照して、質問フレームに示された質問に対する回答を生成し、その回答を示した通信フレーム(回答フレーム)を送信して(S130)、S120に戻る。
【0035】
一方、質問フレームを受信していなければ(S120:NO)、セキュリティ解除を許可する(即ち、指定フレームを許可フレームとする)か否かの判定結果が示された通信フレーム(判定フレーム)を受信したか否かを判断し(S150)、判定フレームを受信していなければ(S150:NO)、S120に戻る。
【0036】
一方、判定フレームを受信したのであれば(S150:YES)、判定フレームに示された判定結果が許可であるか否かを判断し(S160)、判定結果が不許可であれば(S160:NO)、そのまま本処理を終了する。
【0037】
一方、判定フレームに示された判定結果が許可であれば(S160:YES)、セキュリティが解除(指定フレームが許可フレームとして許可)されたものとして、指定フレームを使用した通信によって特定操作を実現する特定操作処理を実行し(S170)、特定操作処理における一連の通信が終了すると、セキュリティ回復を要求する通信フレーム(回復フレーム)を送信して(S180)、本処理を終了する。
【0038】
なお要求フレーム,質問フレーム,回答フレーム,判定フレーム,回復フレームは、通常IDが付与された通信フレーム(通常フレーム)であってもよいし、通常ID,指定ID以外の特殊なIDが付与された通信フレームであってもよい。
【0039】
<ゲートウェイ側処理>
図4は、ゲートウェイ装置5の処理制御部54が実行するゲートウェイ側処理の内容を示すフローチャートである。なお、本処理は、イグニッションスイッチがオンされると起動し、オフされるまでの間、動作し続ける。
【0040】
本処理が起動すると、図4に示すように、まず、通信フレームを受信したか否かを判断し(S210)、通信フレームを受信していなければ(S210:NO)、同ステップを繰り返すことで通信フレームを受信するまで待機する。
【0041】
通信フレームを受信すると(S210:YES)、その受信した通信フレームは回復フレームであるか否かを判断し(S220)、回復フレームでなければ(S220:NO)、その受信した通信フレームは要求フレームであるか否かを判断する(S230)。
【0042】
受信した通信フレームが要求フレームであれば(S230:YES)、後述するセキュリティ解除処理を実行して(S240)、S210に戻る。
一方、受信した通信フレームが、回復フレームでも要求フレームでもなければ(S230:NO)、受信した通信フレームが指定フレームであるか否かを判断し(S250)、指定フレームでなければ(即ち、通常フレームであれば)、その通信フレームの中継を行って(S260)、S210に戻る。
【0043】
また、受信した通信フレームが指定フレームであれば(S250:YES)、S240の処理によってセキュリティが解除済みであるか否かを判断し(S270)、セキュリティが解除済みでなければ(S270:NO)、受信した通信フレーム(指定フレーム)を破棄して(S280)、S210に戻る。
【0044】
セキュリティが解除済みであれば(S270:YES)、セキュリティ解除後の経過時間が予め設定された制限時間内であるか否かを判断し(S290)、制限時間内であれば、受信した通信フレーム(指定フレーム)の中継を行って(S300)、S210に戻る。
【0045】
経過時間が制限時間を超えているか(S290:NO)、先のS220にて、回復フレームを受信したと判断した場合(S220:YES)は、セキュリティ解除をリセット(セキュリティを回復)して(S310)、本処理を終了する。
【0046】
<セキュリティ解除処理>
ここで、図5は、S240で実行するセキュリティ解除処理の内容を示すフローチャートである。
【0047】
本処理が起動すると、まず乱数情報を取得し(S410)、その取得した乱数情報を利用して、質問数(質問フレームの送信を繰り返す回数)を選択する(S420)。
なお、乱数情報は、乱数を発生させる際の初期値として使用される値であり、ゲートウェイ装置5が持っている計時用タイマーの値(計時情報)であってもよいし、基幹バス3を介して取得したオドメータの値(累積走行距離)であってもよい。また、乱数情報の取得先は、起動する毎にランダムに切り替わるように構成されていてもよい。
【0048】
また、質問数は、乱数情報を利用して予め決められた範囲(例えば、1〜5個)内でランダムに選択する。
次に、質問内容を選択し(S430)、その選択した質問内容を示した質問フレームをコネクタ4に接続された外部ツール10に向けて送信する(S440)。
【0049】
なお、質問内容の選択は、乱数情報を利用して二つの乱数を発生させ、そのうち一つの乱数によりECU(質問テーブル)を選択し、もう一つの乱数によって、選択した質問テーブルの中でいずれか一つの質問を選択する。
【0050】
その後、回答フレームを受信したか否かを判断し(S450)、受信していなければ(S450:NO)、同ステップを繰り返すことで回答フレームを受信するまで待機し、回答フレームを受信すると(S450:YES)、S420で選択した質問数だけ質問フレームの送信を終了したか否かを判断する(S460)。
【0051】
質問フレームの送信数が質問数に満たない場合(S460:NO)は、S430に戻って、質問内容の選択、質問フレームの送信、回答フレームの受信を繰り返し、質問フレームの送信数が質問数に達している場合(S460:YES)は、回答フレームに示された回答を、車両情報DB53の内容と照合して(S470)、全ての回答が正しいか否かを判断する(S480)。
【0052】
全ての回答が正しければ、即ち照合結果がOKであれば(S480:YES)、コネクタ4に接続されている外部ツール10は正規品であるものとして、セキュリティの解除を許可する旨の判定結果を示した判定フレームを送信する(S490)と共に、セキュリティ解除フラグをセットし(S500)、更に、制限時間計時タイマーを起動して(S510)、本処理を終了する。
【0053】
一方、回答フレームに示された回答が一つでも間違っていれば、即ち照合結果がNGであれば(S470:NO)、コネクタ4に接続されている外部ツール10は非正規品であるものとして、セキュリティの解除を許可しない旨の判定結果を示した判定フレームを送信し(S520)、本処理を終了する。
【0054】
<動作>
図6は、外部ツール10が特定操作を実行する際に、外部ツール10とゲートウェイ装置5との間で行われる通信の手順を示すシーケンス図である。
【0055】
図6に示すように、外部ツール10から要求フレーム(セキュリティ解除要求)を受信したゲートウェイ装置5は、質問数Nを選択する。
そして、質問内容を選択し、その選択した質問内容を質問フレームによって送信し、外部ツール10から回答フレームを受信する手順をN回繰り返す。
【0056】
その後、回答フレームに示された回答内容を照合し、その照合結果に基づきセキュリティ解除の許可/不許可を判定した結果を示す判定フレームを送信する。
そして、判定結果が不許可である場合は、セキュリティを維持し、指定フレームを受信したとしてもこれを破棄する。
【0057】
一方、判定結果が許可である場合は、セキュリティを解除して、指定フレームの中継を実施し、外部ツール10から回復フレーム(セキュリティ回復要求)を受信するか、指定フレームの送受信が制限時間以上途絶えたことを終了条件として、終了条件を満たす場合に、セキュリティを回復(解除をリセット)する。
【0058】
<効果>
以上説明したように、ゲートウェイ装置5によれば、コネクタ4に接続された外部ツール10から、質問に対する正しい回答が得られた場合に限り、外部ツール10が正規品であると判断して、指定フレームの中継を行うようにされている。
【0059】
従って、ゲートウェイ装置5によれば、非正規の外部ツール10による不正な特定操作の実施を阻止することができる。
また、ゲートウェイ装置5は、セキュリティの解除が要求される毎に、質問数や質問内容をランダムに変更するようにされているため、正規の外部ツール10による通信をモニタされたとしても、質問の発生パタンを解析することが困難であるだけでなく、外部の者が簡単には知り得ない車両の固有情報(ここではECU2の固有情報)を質問内容としているため、外部ツール10が正規品か非正規品であるかについて信頼性の高い判定を行うことができる。
【0060】
なお本実施形態において、ゲートウェイ側処理(S240、S310を除く)を実行する処理制御部54がフィルタ手段、S430を実行する処理制御部54が質問選択手段(特に乱数情報から乱数を発生させる処理を実行する処理制御部54が乱数生成手段、その乱数によって質問を選択する処理を実行する処理制御部54が選択実行手段)、S470及びS480を実行する処理制御部54が判定手段、S270,S290を実行する処理制御部54が許可手段、S420を実行する処理制御部54が質問数設定手段、回復フレームが終了フレームに相当する。
【0061】
<他の実施形態>
以上、本発明の一実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において様々な態様にて実施することが可能である。
【0062】
例えば、上記実施形態では、イグニションスイッチがオンした時に起動しているが、コネクタ4に外部ツール10が接続されたか否かを検出する検出器を設け、コネクタ4に外部ツール10が接続されたことを検出すると、起動するように構成してもよい。
【符号の説明】
【0063】
1…車載通信システム 3…基幹バス 4…コネクタ 5…ゲートウェイ装置 6…ツール側バス 10…外部ツール 11…車両通信部 12…ネットワーク通信部 13…車両情報データベース 14…入出力部 15…処理制御部 51…ツール側通信部 52…バス側通信部 53…車両情報データベース 54…処理制御部
【技術分野】
【0001】
本発明は、車外装置を接続するコネクタを備えた車載通信システムに適用されるゲートウェイ装置に関する。
【背景技術】
【0002】
従来、車両では、電子制御化の進歩に伴い、エンジンやブレーキ等といった各種の車両構成品が電子部品を介して制御され、これら電子部品に接続された電子制御ユニット(ECU)の数も増加傾向にある。また、ECUは、相互間での連携動作や情報の共有化を可能とするために車載通信システムを構築している。
【0003】
ところで、車載通信システムには、ECUを介して車両の状態を診断したり、ECUのプログラムをバージョンアップしたりする際に、外部ツールを接続するためのコネクタが設けられている。
【0004】
この外部ツールを利用して実施する操作には、セキュリティ関連情報の設定,解除やECUプログラムの書換(リプログ)など、正規の作業者以外の者が実施すべきではない操作(以下「特定操作」という)が含まれている。このため、外部ツールに認証機能を持たせること、具体的には、特定操作を実施する時にはパスワードの入力を要求することで、非正規の作業者によって、特定操作が実施されることを防止することが提案されている(例えば、特許文献1参照。)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、特許文献1に記載の認証機能は、外部ツール内で完結しているものであるため、非正規の外部ツールを使用された場合に、何の対策にもならないという問題があった。
即ち、車載通信システムに設けられるコネクタ自体は規格化されたものであるため、コネクタの規格を満たしていれば、非正規の外部ツールであっても接続して各種操作を実行することが可能である。このため、認証機能を持たない非正規の外部ツールをコネクタに接続して、車載通信システム上の通信内容をモニタすることは容易であり、その通信内容からセキュリティ関連の情報を入手されてしまったり、リプログが実施されてしまったりする可能性があった。
【0007】
本発明は、上記問題点を解決するために、車外装置を接続するコネクタを備えた車載通信システムにおいて、非正規の外部ツールによる不正操作の実行を阻止するセキュリティ装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた請求項1に記載の発明は、車載通信システムに適用されるゲートウェイ装置であり、車載通信システムと車載通信システムに外部装置を接続するために設けられたコネクタとの間に接続される。
【0009】
そして、本発明のゲートウェイ装置は、車載通信システムで使用される通信フレームのうち、予め許可された識別子を有した通信フレームを許可フレームとして、コネクタからの許可フレームの入出力を可能とするフィルタ手段を備えている。
【0010】
また、本発明のゲートウェイ装置では、質問選択手段が、予め指定された指定識別子を有した通信フレームを指定フレームとして、この指定フレームを許可フレームとすることを要求するための通信フレームである要求フレームを、コネクタを介して受信すると、車載通信システムを搭載した車両の固有情報に関する複数の質問の中から一つ以上の質問をランダムに選択する。
【0011】
すると判定手段が、質問フレーム(質問選択手段で選択された質問が示された通信フレーム)を、コネクタを介して送信し、回答フレーム(質問フレームに対する回答が示された通信フレーム)を、コネクタを介して受信すると、回答フレームに示された回答の正否を判定し、判定フレーム(判定結果が示された通信フレーム)を、コネクタを介して出力する。
【0012】
また、回答フレームに示された回答が正しいと判定手段にて判定された場合、許可手段が、予め設定された終了条件が成立するまでの間、指定フレームを許可フレームとすることを許可する。
【0013】
このように構成された本発明のゲートウェイ装置によれば、コネクタに接続された外部ツールから、質問に対する正しい回答が得られない限り、外部ツールから送信されてくる指定フレームを通過させることがない。このため、指定フレームを用いなければ特定操作を実施することができないように設定しておくことで、非正規の外部ツールによって不正に特定操作が実施されることを阻止することができる。
【0014】
また、本発明のゲートウェイ装置によれば、正規の外部ツールであるか否かを判断する際の質問として、車両の製造元等の一部の者しか知り得ない車両の固有情報を利用し、しかも、質問の内容をランダムに変化させるため、正規の外部ツールであるか否かを高い精度で判定することができる。
【0015】
なお、請求項2に記載のように、質問は、前記車両に搭載された複数の車載装置のそれぞれについて、該車載装置に関する質問が一つ以上ずつ用意されていてもよい。この場合、質問選択手段を、例えば、乱数を生成する乱数生成手段と、車載装置の一つを、乱数生成手段にて生成された乱数を利用して選択すると共に、その選択された車載装置について用意された質問の一つを、乱数生成手段にて生成された乱数を利用して選択する選択実行手段とで構成し、前記選択実行手段は、予め設定された質問数の質問が得られるまで動作を繰り返すようにしてもよい。
【0016】
この場合、多くの質問を用意することができ、質問フレームや回答フレームがモニタされたとしても、そのモニタされた情報からセキュリティが解除されてしまう可能性を低減することができる。
【0017】
更に、請求項3に記載のように、質問選択手段は、乱数情報を利用し、予め許容された範囲内で質問数を設定する質問数設定手段を備えていてもよい。
この場合、質問の内容や順番に加えて、質問数もランダムなものとなるため、正規の外部ツールであるか否かの判定の信頼性を更に向上させることができる。
【0018】
なお、乱数生成手段は、例えば、請求項4に記載のように、当該ゲートウェイ装置が保持する計時情報を取得し、その計時情報に基づいて乱数を生成するように構成されていてもよいし、請求項5に記載のように、車載通信システムを介してオドメータの情報を取得し、そのオドメータの情報に基づいて乱数を生成するように構成されていてもよい。
【0019】
いずれの場合も、使用する度に異なる乱数を発生させることができるため、質問の内容、質問の順番(及び質問数)が、同じパタンで繰り返し選択されてしまうことを防止でき、更にセキュリティを向上させることができる。
【0020】
ところで、許可手段は、請求項6に記載のように、判定フレームの送信後に予め設定された制限時間が経過することを終了条件とするように構成されていてもよいし、請求項7に記載のように、指定フレームによる通信の終了を通知するための通信フレームである終了フレームが受信されることを終了条件とするように構成されていてもよい。
【0021】
いずれも、指定フレームが許可フレームとなる期間を簡単に限定することができる。
【図面の簡単な説明】
【0022】
【図1】車載通信システム及び外部ツールの構成を示すブロック図である。
【図2】車両情報データベースに格納される情報テーブルの構造を示す説明図である。
【図3】外部ツール側処理の処理内容を示すフローチャートである。
【図4】ゲートウェイ側処理の処理内容を示すフローチャートである。
【図5】セキュリティ解除処理の詳細を示すフローチャートである。
【図6】外部ツールが特定操作を実行する際に、ゲートウェイ装置5との間で行われる通信の手順を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下に本発明の実施形態を図面と共に説明する。
<全体構成>
図1は、本発明が適用された車載通信システム1及び車載通信システム1に接続して使用する外部ツール10の構成を示すブロック図である。
【0024】
車載通信システム1は、図1に示すように、車両の各部に設置された複数の電子制御ユニット(ECU)2と、ECU2を相互に接続する通信線路である基幹バス3と、ECU2を介して車両の状態を診断したり、ECU2のプログラムをバージョンアップしたりする外部ツール(車外装置)10を接続するためのコネクタ4と、コネクタ4を基幹バス3に接続する通信線路(ツール側バス)6に設けられたゲートウェイ装置5とを備えている。
【0025】
なお、車載通信システム1では、データと、そのデータの種類を表す識別子(ID)とを少なくとも含んだ通信フレームを用いてデータを送受信するように構成されている。
また、通信フレームのIDには、正規の外部ツール10にだけ取り扱うことが許可されたデータに付与される指定IDと、不正規の外部ツール10でも取り扱うことが許可されたデータに付与される通常IDとが存在する。以下では、指定IDが付与された通信フレームを指定フレーム、通常IDが付与された通信フレームを通常フレームと呼ぶ。そして、セキュリティ関連情報の設定,解除やECUプログラムの書換(リプログ)など、正規の作業者以外の者が実施すべきではない操作(以下「特定操作」という)は、指定フレームを使用して実施されるように構成されている。
【0026】
コネクタ4は、OBD2規格で定められた周知の16ピンコネクタ(DLC)からなる
。
【0027】
<ゲートウェイ装置>
ゲートウェイ装置5は、コネクタ4に接続された外部ツール10との通信を実行するツール側通信部51と、基幹バス3を介してECU2との通信を実行するバス側通信部52と、車両の固有情報を記憶する車両情報データベース(DB)53と、許可された識別子である許可IDを有した通信フレーム(許可フレーム)を、基幹バス3及びツール側バス6の間で双方向に通過させる処理制御部54とを備えている。
【0028】
ツール側通信部51及びバス側通信部52は、いずれも、CANトランシーバやCANコントローラ等によって構成された周知のものである。
処理制御部54は、CPU,ROM,RAM等からなる周知のマイクロコンピュータからなり、後述するゲートウェイ側処理を少なくとも実行するように構成されている。
【0029】
ここで、図2は、車両情報DB53に格納される情報テーブルの構造を示す説明図である。
図2に示すように、情報テーブルは、質問番号と、ECUの固有情報に関する質問と、その質問に対する回答とで構成され、車載通信システム1を構成するECU2毎に、複数の質問が用意されている。
【0030】
なお、質問は、例えば、「ECUに搭載されたCPUの数」「ECUに搭載された電子部品の型番」「ECUの開発コード」等が考えられる。
<外部ツール>
外部ツール10は、コネクタ4を介して車載通信システム1に接続されたECU2やゲートウェイ装置5との通信を実行する車両通信部11と、インターネット等の公共通信ネットワークを介した通信を実行するネットワーク通信部12と、車両の固有情報を記憶する車両情報データベース(DB)13と、外部ツール10のユーザが操作を入力したり、車両通信部11やネットワーク通信部12を介して取得した情報をユーザに提示したりするための入出力部14と、入出力部14から入力される指令に従って、車両通信部11を介して個々のECU2の診断情報を収集したり、個々のECU2のプログラムを書き換えたりする処理を実行する処理制御部15とを備えている。
【0031】
車両通信部11は、ゲートウェイ装置5のツール側通信部51やバス側通信部52と同様に構成されたものであり、ネットワーク通信部12は、TCP/IPを実現するトランシーバやコントローラ等によって構成された周知のものである。
【0032】
処理制御部15は、CPU,ROM,RAM等からなる周知のマイクロコンピュータからなり、後述する外部ツール側処理を少なくとも実行するように構成されている。
車両情報DB13は、ゲートウェイ装置5の車両情報DB53と同じ情報テーブルを有しており、しかも、外部ツール10の操作対象となる車種についての情報テーブルを備えている。
【0033】
<外部ツール側処理>
図3は、外部ツール10の処理制御部15が実行する外部ツール側処理の内容を示すフローチャートである。なお、本処理は、入出力部14を介して、セキュリティ情報の設定やリプログ等の特定操作の実行を要求する指令が入力されると起動する。
【0034】
本処理が起動すると、図3に示すように、まず、セキュリティ解除を要求する通信フレーム(要求フレーム)を送信し(S110)、認証用の質問が示された通信フレーム(質問フレーム)を受信したか否かを判断し(S120)、質問フレームを受信したのであれば(S120:YES)、車両情報DB13を参照して、質問フレームに示された質問に対する回答を生成し、その回答を示した通信フレーム(回答フレーム)を送信して(S130)、S120に戻る。
【0035】
一方、質問フレームを受信していなければ(S120:NO)、セキュリティ解除を許可する(即ち、指定フレームを許可フレームとする)か否かの判定結果が示された通信フレーム(判定フレーム)を受信したか否かを判断し(S150)、判定フレームを受信していなければ(S150:NO)、S120に戻る。
【0036】
一方、判定フレームを受信したのであれば(S150:YES)、判定フレームに示された判定結果が許可であるか否かを判断し(S160)、判定結果が不許可であれば(S160:NO)、そのまま本処理を終了する。
【0037】
一方、判定フレームに示された判定結果が許可であれば(S160:YES)、セキュリティが解除(指定フレームが許可フレームとして許可)されたものとして、指定フレームを使用した通信によって特定操作を実現する特定操作処理を実行し(S170)、特定操作処理における一連の通信が終了すると、セキュリティ回復を要求する通信フレーム(回復フレーム)を送信して(S180)、本処理を終了する。
【0038】
なお要求フレーム,質問フレーム,回答フレーム,判定フレーム,回復フレームは、通常IDが付与された通信フレーム(通常フレーム)であってもよいし、通常ID,指定ID以外の特殊なIDが付与された通信フレームであってもよい。
【0039】
<ゲートウェイ側処理>
図4は、ゲートウェイ装置5の処理制御部54が実行するゲートウェイ側処理の内容を示すフローチャートである。なお、本処理は、イグニッションスイッチがオンされると起動し、オフされるまでの間、動作し続ける。
【0040】
本処理が起動すると、図4に示すように、まず、通信フレームを受信したか否かを判断し(S210)、通信フレームを受信していなければ(S210:NO)、同ステップを繰り返すことで通信フレームを受信するまで待機する。
【0041】
通信フレームを受信すると(S210:YES)、その受信した通信フレームは回復フレームであるか否かを判断し(S220)、回復フレームでなければ(S220:NO)、その受信した通信フレームは要求フレームであるか否かを判断する(S230)。
【0042】
受信した通信フレームが要求フレームであれば(S230:YES)、後述するセキュリティ解除処理を実行して(S240)、S210に戻る。
一方、受信した通信フレームが、回復フレームでも要求フレームでもなければ(S230:NO)、受信した通信フレームが指定フレームであるか否かを判断し(S250)、指定フレームでなければ(即ち、通常フレームであれば)、その通信フレームの中継を行って(S260)、S210に戻る。
【0043】
また、受信した通信フレームが指定フレームであれば(S250:YES)、S240の処理によってセキュリティが解除済みであるか否かを判断し(S270)、セキュリティが解除済みでなければ(S270:NO)、受信した通信フレーム(指定フレーム)を破棄して(S280)、S210に戻る。
【0044】
セキュリティが解除済みであれば(S270:YES)、セキュリティ解除後の経過時間が予め設定された制限時間内であるか否かを判断し(S290)、制限時間内であれば、受信した通信フレーム(指定フレーム)の中継を行って(S300)、S210に戻る。
【0045】
経過時間が制限時間を超えているか(S290:NO)、先のS220にて、回復フレームを受信したと判断した場合(S220:YES)は、セキュリティ解除をリセット(セキュリティを回復)して(S310)、本処理を終了する。
【0046】
<セキュリティ解除処理>
ここで、図5は、S240で実行するセキュリティ解除処理の内容を示すフローチャートである。
【0047】
本処理が起動すると、まず乱数情報を取得し(S410)、その取得した乱数情報を利用して、質問数(質問フレームの送信を繰り返す回数)を選択する(S420)。
なお、乱数情報は、乱数を発生させる際の初期値として使用される値であり、ゲートウェイ装置5が持っている計時用タイマーの値(計時情報)であってもよいし、基幹バス3を介して取得したオドメータの値(累積走行距離)であってもよい。また、乱数情報の取得先は、起動する毎にランダムに切り替わるように構成されていてもよい。
【0048】
また、質問数は、乱数情報を利用して予め決められた範囲(例えば、1〜5個)内でランダムに選択する。
次に、質問内容を選択し(S430)、その選択した質問内容を示した質問フレームをコネクタ4に接続された外部ツール10に向けて送信する(S440)。
【0049】
なお、質問内容の選択は、乱数情報を利用して二つの乱数を発生させ、そのうち一つの乱数によりECU(質問テーブル)を選択し、もう一つの乱数によって、選択した質問テーブルの中でいずれか一つの質問を選択する。
【0050】
その後、回答フレームを受信したか否かを判断し(S450)、受信していなければ(S450:NO)、同ステップを繰り返すことで回答フレームを受信するまで待機し、回答フレームを受信すると(S450:YES)、S420で選択した質問数だけ質問フレームの送信を終了したか否かを判断する(S460)。
【0051】
質問フレームの送信数が質問数に満たない場合(S460:NO)は、S430に戻って、質問内容の選択、質問フレームの送信、回答フレームの受信を繰り返し、質問フレームの送信数が質問数に達している場合(S460:YES)は、回答フレームに示された回答を、車両情報DB53の内容と照合して(S470)、全ての回答が正しいか否かを判断する(S480)。
【0052】
全ての回答が正しければ、即ち照合結果がOKであれば(S480:YES)、コネクタ4に接続されている外部ツール10は正規品であるものとして、セキュリティの解除を許可する旨の判定結果を示した判定フレームを送信する(S490)と共に、セキュリティ解除フラグをセットし(S500)、更に、制限時間計時タイマーを起動して(S510)、本処理を終了する。
【0053】
一方、回答フレームに示された回答が一つでも間違っていれば、即ち照合結果がNGであれば(S470:NO)、コネクタ4に接続されている外部ツール10は非正規品であるものとして、セキュリティの解除を許可しない旨の判定結果を示した判定フレームを送信し(S520)、本処理を終了する。
【0054】
<動作>
図6は、外部ツール10が特定操作を実行する際に、外部ツール10とゲートウェイ装置5との間で行われる通信の手順を示すシーケンス図である。
【0055】
図6に示すように、外部ツール10から要求フレーム(セキュリティ解除要求)を受信したゲートウェイ装置5は、質問数Nを選択する。
そして、質問内容を選択し、その選択した質問内容を質問フレームによって送信し、外部ツール10から回答フレームを受信する手順をN回繰り返す。
【0056】
その後、回答フレームに示された回答内容を照合し、その照合結果に基づきセキュリティ解除の許可/不許可を判定した結果を示す判定フレームを送信する。
そして、判定結果が不許可である場合は、セキュリティを維持し、指定フレームを受信したとしてもこれを破棄する。
【0057】
一方、判定結果が許可である場合は、セキュリティを解除して、指定フレームの中継を実施し、外部ツール10から回復フレーム(セキュリティ回復要求)を受信するか、指定フレームの送受信が制限時間以上途絶えたことを終了条件として、終了条件を満たす場合に、セキュリティを回復(解除をリセット)する。
【0058】
<効果>
以上説明したように、ゲートウェイ装置5によれば、コネクタ4に接続された外部ツール10から、質問に対する正しい回答が得られた場合に限り、外部ツール10が正規品であると判断して、指定フレームの中継を行うようにされている。
【0059】
従って、ゲートウェイ装置5によれば、非正規の外部ツール10による不正な特定操作の実施を阻止することができる。
また、ゲートウェイ装置5は、セキュリティの解除が要求される毎に、質問数や質問内容をランダムに変更するようにされているため、正規の外部ツール10による通信をモニタされたとしても、質問の発生パタンを解析することが困難であるだけでなく、外部の者が簡単には知り得ない車両の固有情報(ここではECU2の固有情報)を質問内容としているため、外部ツール10が正規品か非正規品であるかについて信頼性の高い判定を行うことができる。
【0060】
なお本実施形態において、ゲートウェイ側処理(S240、S310を除く)を実行する処理制御部54がフィルタ手段、S430を実行する処理制御部54が質問選択手段(特に乱数情報から乱数を発生させる処理を実行する処理制御部54が乱数生成手段、その乱数によって質問を選択する処理を実行する処理制御部54が選択実行手段)、S470及びS480を実行する処理制御部54が判定手段、S270,S290を実行する処理制御部54が許可手段、S420を実行する処理制御部54が質問数設定手段、回復フレームが終了フレームに相当する。
【0061】
<他の実施形態>
以上、本発明の一実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において様々な態様にて実施することが可能である。
【0062】
例えば、上記実施形態では、イグニションスイッチがオンした時に起動しているが、コネクタ4に外部ツール10が接続されたか否かを検出する検出器を設け、コネクタ4に外部ツール10が接続されたことを検出すると、起動するように構成してもよい。
【符号の説明】
【0063】
1…車載通信システム 3…基幹バス 4…コネクタ 5…ゲートウェイ装置 6…ツール側バス 10…外部ツール 11…車両通信部 12…ネットワーク通信部 13…車両情報データベース 14…入出力部 15…処理制御部 51…ツール側通信部 52…バス側通信部 53…車両情報データベース 54…処理制御部
【特許請求の範囲】
【請求項1】
車載通信システムで使用される通信フレームのうち、予め許可された識別子を有した通信フレームを許可フレームとして、前記車載通信システムに車外装置を接続するために設けられたコネクタからの前記許可フレームの入出力を可能とするフィルタ手段と、
予め指定された指定識別子を有した通信フレームを指定フレームとして、該指定フレームを前記許可フレームとすることを要求するための通信フレームである要求フレームを、前記コネクタを介して受信すると、前記車載通信システムを搭載した車両の固有情報に関する複数の質問の中から一つ以上の質問をランダムに選択する質問選択手段と、
前記質問選択手段で選択された質問が示された通信フレームである質問フレームを、前記コネクタを介して送信し、該質問フレームに対する回答が示された通信フレームである回答フレームを、前記コネクタを介して受信すると、前記回答フレームに示された回答の正否を判定し、その判定結果が示された通信フレームである判定フレームを、前記コネクタを介して出力する判定手段と、
前記判定手段にて前記回答フレームに示された回答が正しいと判定された場合に、予め設定された終了条件が成立するまでの間、前記指定フレームを前記許可フレームとすることを許可する許可手段と、
を備えることを特徴とするゲートウェイ装置。
【請求項2】
前記質問は、前記車両に搭載された複数の車載装置のそれぞれについて、該車載装置に関する質問が一つ以上ずつ用意され、
前記質問選択手段は、
乱数を生成する乱数生成手段と、
前記車載装置の一つを、前記乱数生成手段にて生成された乱数を利用して選択すると共に、その選択された車載装置について用意された質問の一つを、前記乱数生成手段にて生成された乱数を利用して選択する選択実行手段と、
を備え、前記選択実行手段は、予め設定された質問数の質問が得られるまで動作を繰り返すことを特徴とする請求項1に記載のゲートウェイ装置。
【請求項3】
前記質問選択手段は、前記乱数生成手段が生成した乱数を利用し、予め許容された範囲内で前記質問数を設定する質問数設定手段を備えることを特徴とする請求項2に記載のゲートウェイ装置。
【請求項4】
前記乱数生成手段は、当該ゲートウェイ装置が保持する計時情報を取得し、該計時情報に基づいて乱数を生成することを特徴とする請求項2又は請求項3に記載のゲートウェイ装置。
【請求項5】
前記乱数生成手段は、前記車載通信システムを介してオドメータの情報を取得し、該オドメータの情報に基づいて乱数を生成することを特徴とする請求項2又は請求項3に記載のゲートウェイ装置。
【請求項6】
前記許可手段は、前記判定フレームの送信後に予め設定された制限時間が経過することを前記終了条件とすることを特徴とする請求項1乃至請求項5のいずれか一項に記載のゲートウェイ装置。
【請求項7】
前記許可手段は、前記指定フレームによる通信の終了を通知するための通信フレームである終了フレームが受信されることを前記終了条件とすることを特徴とする請求項1乃至請求項5のいずれか一項に記載のゲートウェイ装置。
【請求項1】
車載通信システムで使用される通信フレームのうち、予め許可された識別子を有した通信フレームを許可フレームとして、前記車載通信システムに車外装置を接続するために設けられたコネクタからの前記許可フレームの入出力を可能とするフィルタ手段と、
予め指定された指定識別子を有した通信フレームを指定フレームとして、該指定フレームを前記許可フレームとすることを要求するための通信フレームである要求フレームを、前記コネクタを介して受信すると、前記車載通信システムを搭載した車両の固有情報に関する複数の質問の中から一つ以上の質問をランダムに選択する質問選択手段と、
前記質問選択手段で選択された質問が示された通信フレームである質問フレームを、前記コネクタを介して送信し、該質問フレームに対する回答が示された通信フレームである回答フレームを、前記コネクタを介して受信すると、前記回答フレームに示された回答の正否を判定し、その判定結果が示された通信フレームである判定フレームを、前記コネクタを介して出力する判定手段と、
前記判定手段にて前記回答フレームに示された回答が正しいと判定された場合に、予め設定された終了条件が成立するまでの間、前記指定フレームを前記許可フレームとすることを許可する許可手段と、
を備えることを特徴とするゲートウェイ装置。
【請求項2】
前記質問は、前記車両に搭載された複数の車載装置のそれぞれについて、該車載装置に関する質問が一つ以上ずつ用意され、
前記質問選択手段は、
乱数を生成する乱数生成手段と、
前記車載装置の一つを、前記乱数生成手段にて生成された乱数を利用して選択すると共に、その選択された車載装置について用意された質問の一つを、前記乱数生成手段にて生成された乱数を利用して選択する選択実行手段と、
を備え、前記選択実行手段は、予め設定された質問数の質問が得られるまで動作を繰り返すことを特徴とする請求項1に記載のゲートウェイ装置。
【請求項3】
前記質問選択手段は、前記乱数生成手段が生成した乱数を利用し、予め許容された範囲内で前記質問数を設定する質問数設定手段を備えることを特徴とする請求項2に記載のゲートウェイ装置。
【請求項4】
前記乱数生成手段は、当該ゲートウェイ装置が保持する計時情報を取得し、該計時情報に基づいて乱数を生成することを特徴とする請求項2又は請求項3に記載のゲートウェイ装置。
【請求項5】
前記乱数生成手段は、前記車載通信システムを介してオドメータの情報を取得し、該オドメータの情報に基づいて乱数を生成することを特徴とする請求項2又は請求項3に記載のゲートウェイ装置。
【請求項6】
前記許可手段は、前記判定フレームの送信後に予め設定された制限時間が経過することを前記終了条件とすることを特徴とする請求項1乃至請求項5のいずれか一項に記載のゲートウェイ装置。
【請求項7】
前記許可手段は、前記指定フレームによる通信の終了を通知するための通信フレームである終了フレームが受信されることを前記終了条件とすることを特徴とする請求項1乃至請求項5のいずれか一項に記載のゲートウェイ装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2013−110458(P2013−110458A)
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願番号】特願2011−251694(P2011−251694)
【出願日】平成23年11月17日(2011.11.17)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願日】平成23年11月17日(2011.11.17)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]