車両ネットワーク用の安全なデータストア
【課題】重要度の高い車両モジュール及びサブネットワーク(例えば、パワートレイン、シャーシなど)を重要度の低いモジュール及びサブネットワーク(音響、ナビゲーションなど)から分離し、コントローラ・エリア・ネットワーク(CAN)のような「下層」ネットワーク上に実装できるセキュリティの新しい層を提供する車両ネットワークシステムの提供。
【解決手段】車両ネットワークシステムは、車両のシステムに接続される少なくとも1つのモジュール及び接続モジュールを含む。接続モジュールは、少なくとも1つのモジュールと通信するデータストアを有する。接続モジュールは、データストアにデータを書き込める。データストアは、少なくとも1つのモジュールからのデータの通信装置による読取り専用アクセスを許可する。
【解決手段】車両ネットワークシステムは、車両のシステムに接続される少なくとも1つのモジュール及び接続モジュールを含む。接続モジュールは、少なくとも1つのモジュールと通信するデータストアを有する。接続モジュールは、データストアにデータを書き込める。データストアは、少なくとも1つのモジュールからのデータの通信装置による読取り専用アクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両ネットワークに関し、より詳細には、車両用の安全なネットワークに関する。
【背景技術】
【0002】
車両ネットワークシステムについての歴史年表は、3つの異なる時代、すなわち初期、後期及び現代に分類することができる。初期の車両ネットワークシステムは、コントローラ・エリア・ネットワーク(CAN:controller-area network)などの低レベルネットワークを使用した。CANは、マイクロコントローラとデバイスがホストコンピュータなしに車両内で互いに通信できるように設計された車両バス規格である。CANネットワークは、各モジュールに向けてブロードキャストされたメッセージを聞く各モジュールを備えた、メッセージを「ブロードキャストする」メッセージに基づいたプロトコル上で作動する。特定のモジュールが、その特定のモジュールに向けたメッセージを受信する場合は、メッセージの発信元にかかわらず、メッセージは処理される。初期の車両システムにおけるモジュール間のすべての接続は、全データ読取り/書込みアクセスがすべてのモジュール間で利用可能であることを意味する、「双方向」であった。しかし、初期の車両CANネットワークは、シンプルプロトコルを利用し、より少ない数のモジュールを含み、現代のネットワークに比べて比較的隔絶されていた。
【0003】
後期の車両ネットワークシステムは、OBD−II規格などの車載式故障診断装置を含んでいた。OBD−IIは、車両所有者又は修理技師に様々な車両システムへのアクセスを共通のアクセスポートを介して提供する、政府が義務付けた規格である。OBD−II規格は、診断、ファームウェアの更新などのための「バックドア」アクセスを可能にする。一般的に、ある特定の暗証番号又はモジュール識別コードが、モジュールへの書込みを許可するために提供されなければならない。
【0004】
現代の車両ネットワークシステムは、スマートフォン、タブレットコンピュータなどの様々な携帯用消費者向け電子機器(CE:consumer electronic)装置と通信する、オーディオヘッドユニット(AHU:audio head unit)などの接続モジュールを含む。AHUはまた、USBポートなどを介してアクセスすることもできる。現代の車両ネットワークに存在するAHUなどの接続モジュールは、アクセスが公知の現代の車両ネットワークに「フロントドア(front door)」を生成する。知られているように、現代の車両ネットワークと相互接続するためのハードウェア装置及びソフトウェアが急速に開発されている。しかし、車両電子機器はますます相互接続するようになっているので、接続モジュール及びAHUは、重要度の高い車両システムに侵入する悪意のあるコードに対する新しい経路も生成する。音響及びインフォテインメントの製品提供は、有線(例えば、USB)及び無線(例えば、Bluetooth(登録商標)、WiFi(登録商標)、3G(登録商標)など)の双方の相互接続が現代の車両により多く普及してきているので、特に被害を受けやすい。接続モジュールを介してパワートレインモジュール及びシャーシモジュールの中にハッキングすることは、特に一般的な車両所有者にとって望ましくない状況を提供する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
重要度の高い車両モジュール及びサブネットワーク(例えば、パワートレイン、シャーシなど)を重要度の低いモジュール及びサブネットワーク(音響、ナビゲーションなど)から分離する車両ネットワークシステムに対する継続的な必要がある。望ましくは、車両ネットワークシステムは、CANのような「下層」ネットワーク上に実装することができるセキュリティの新しい層を提供する。
【課題を解決するための手段】
【0006】
本発明によれば、重要度の高い車両モジュール及びサブネットワーク(例えば、パワートレイン、シャーシなど)を重要度の低いモジュール及びサブネットワーク(音響、ナビゲーションなど)から分離し、CANのような「下層」ネットワーク上に実装できるセキュリティの新しい層を提供する車両ネットワークシステムが、驚くべきことに発見された。
【0007】
一実施形態では、車両ネットワークシステムは、車両のシステムに接続される少なくとも1つのモジュールを含む。車両ネットワークシステムは更に、少なくとも1つのモジュールと通信するデータストアを有する接続モジュールを含む。データストアは、通信装置による、少なくとも1つのモジュールからのデータの読取り専用アクセスを許可する。
【0008】
別の実施形態では、車両ネットワークシステムは、ネットワークを経由して相互に接続される複数のモジュールを含む。各モジュールは、車両システムに接続される。また、車両ネットワークシステムは、複数のモジュールと通信する車載式故障診断モジュール(on board diagnostic module)も含む。車載式故障診断モジュールは、複数のモジュールに対する読取り/書込みアクセスを許可する。車両ネットワークシステムは、複数のモジュールと通信するデータストアを有する接続モジュールを更に含む。データストアは、通信装置による複数のモジュールからのデータの読取り専用アクセスを許可する。
【0009】
更なる実施形態では、車両ネットワークシステムを作動する方法は、通信装置が接続モジュールと通信することを許可するステップと、通信装置から接続モジュールへの通信が読取り要求である場合、通信装置による読取り専用アクセスのために接続モジュールのデータストアに、少なくとも1つのモジュールによってデータが書き込まれるようにするステップと、通信装置から接続モジュールへの通信が書込み要求である場合、通信装置による、少なくとも1つのモジュールへのデータの書込みをブロックするステップと、を含む。
【0010】
例示的実施形態では、車両ネットワークシステムは、重要度の低いモジュールからの新しいデータ要求に適合する。例えば、速度データのみが記憶されるバッファだが、ワイパ状態の認知を望む、新しい重要度の低いモジュールが追加された場合、データストアバッファは、追加データを追加するように修正される。本発明の適合可能な車両ネットワークシステムにより、データストアバッファが新しいデータ要求を学習して、しかるべく調節することが可能になる。また、車両ネットワークシステムは、検証工程及びバックアップを有してもよく、車両ネットワークシステムがクラッシュした場合は、バックアップ画像が再記憶されるまで、バックイメージがシステムを一時的に実行する。
【0011】
上記ならびに他の本発明の利点は、添付図面に照らして検討されるとき、好ましい実施形態の以下の詳述から、当業者には容易に明白になろう。
【図面の簡単な説明】
【0012】
【図1】車両モジュールと携帯CE機器との間の読取り専用アクセスを許可するソフトウェアに基づくデータストアを含む、本発明の一実施形態による車両ネットワークシステムの概略図である。
【図2】車両モジュールと携帯CE機器との間の読取り専用アクセスを許可するハードウェアに基づくデータストアを含む、本発明の別の実施形態による車両ネットワークシステムの概略図である。
【図3】本発明の車両ネットワークシステムとともに使用するための、例示的データストアの概略図である。
【図4】様々な作動条件下で、図1〜図3に示された車両ネットワークシステムの作動を示す概略図である。
【発明を実施するための形態】
【0013】
以下の詳述及び添付図面は、本発明の様々な例示的実施形態を説明し示す。説明及び図面は、当業者が本発明を作成し使用するのを可能にする働きをし、いかなる方法でも本発明の範囲を限定することを意図しない。開示された方法について、提示されたステップは、本質的に例示であり、したがってステップの順番は必要又は重要ではない。
【0014】
図1及び図2に示すように、本発明の車両ネットワークシステム100は、車両(図示せず)のシステム(図示せず)に接続された少なくとも1つのモジュール102、104、106を含む。システムは、非限定例として、パワートレインシステム及びシャーシシステムのうちの1つなどの重要度の高い車両システムであってもよい。システムは、非限定例として、音響システム及びナビゲーションシステムのうちの1つなどの重要度の低い車両システムであってもよい。他のタイプの重要度の高い車両システム、及び重要度の低い車両システムは、本発明の範囲内で少なくとも1つのモジュール102、104、106に接続されてもよいことを当業者は理解するであろう。
【0015】
車両ネットワークシステムは更に、接続モジュール108を含む。接続モジュール108は、少なくとも1つのモジュール102、104、106と通信する。具体的には、接続モジュール108は、データの要求を少なくとも1つのモジュール102、104、106に送信することができ、少なくとも1つのモジュール102、104、106から要求したデータを受信することができる。接続モジュール108は、データストア110を含む。データストア110は、所望により、図1に示される、ソフトウェアに基づくデータストア110、及び図2に示される、ハードウェアに基づくデータストア110の少なくとも1つとして実装されてもよい。
【0016】
データストア110は、通信装置112により、少なくとも1つのモジュール102、104、106の読取り専用アクセスを許可する。具体的には、データストア110は、少なくとも1つのモジュール102、104、106のうちの複数のモジュールに接続するネットワーク全体の読取り専用アクセスを許可する。通信装置112は、例えばブルートゥース信号などの無線信号113をともなう接続モジュール108と通信してもよい。電波信号を含む無線信号の他のタイプはまた、本発明の範囲内で使用されてもよい。非限定例として、通信装置112は、所望により、スマートフォンなどの携帯電話、又はタブレットコンピュータなどのような無線機能を有する別の携帯用消費者向け電子機器であってもよい。さらに通信装置112は、USBポートなどの有線ポートを通じて接続モジュール108と通信する機能を有する有線装置であってもよい。通信装置112は、無線機能及び有線機能の両方を有してもよい。
【0017】
図3に示すように、データストア110は、通信装置112により読取り専用アクセスのために、少なくとも1つのモジュール102、104、106からデータ116を一時的に保持するメモリバッファ114を含む。非限定例として、データ116は、車両速度、エンジンRPM、前照灯の状態などの情報を含んでもよい。車両の運転及び性能に関係がある他の情報もまた、通信装置112により読取り専用アクセスのために、バッファ114内に記憶されてもよい。
【0018】
少なくとも1つのモジュール102、104、106は、データ116をバッファ114に書き込むために、続いて通信装置112によるバッファ114内のデータ116の読取り専用アクセスのために、データストア110に読取り/書込みアクセスを有してもよい。データストア110は、ハードウェア実装の場合、通信装置112からデータ116を監視し、許可/不許可要求をするプログラムを実行するためのプロセッサ(図示せず)を更に含んでもよい。ハードウェアに基づくデータストア110は、「読取り専用」ポートを有してもよく、例えばネットワークを経由してブロードキャストしたあらゆるデータ116を読取ることができるが、ネットワークを経由した少なくとも1つのモジュール102、104、106への書込みを禁止する「プロキシ(proxy)」を処理してもよい。ソフトウェア実装の場合、データストア110は、アンチウィルス・プログラムなどのセキュリティ・ソフトウェアを含んでもよく、またネットワークを経由した書込みも禁止する。データストア110は、ハードウェア実装又はソフトウェア実装のいずれの形式でも、通信装置112による「書込み」要求をそれによってブロックしてもよく、したがってハッカーなどの認可されない外部ソースによる、車両システム100への「バックドア(back door)」アクセスを防止してもよいことを理解されたい。
【0019】
図1及び図2を再度参照すると、少なくとも1つのモジュール102、104、106は、複数のモジュール102、104、106を含んでもよい。例えば、複数のモジュール102、104、106は、それぞれが車両の異なるシステムに直接接続される、第1のモジュール102、第2のモジュール104、及び第3のモジュール106を含んでもよい。例示的実施形態では、複数のモジュール102、104、106のそれぞれは、車両の重要度の高いシステム又はサブシステムに接続される。このような場合には、車両の音響又はインフォテインメントシステムなどの重要度の低いサブシステムは、データストア110を通じて複数のモジュール102、104、106と通信することが許可されるのみで、それによってアクセスを制限し、したがって通信装置112により、「読取り専用」として重要度の高いシステムにアクセスする。別の実施形態では、第1のモジュール102及び第2のモジュール104は、車両の重要度の低いシステムに接続されてもよく、第3のモジュール106は、安全システムなどの車両の重要度の高いシステムに接続されてもよく、それらのそれぞれがデータストア110により通信装置112からバッファされる。複数のモジュール102、104、106と車両の重要度の高いシステム、及び重要度の低いシステムとの間の他の接続も利用されてもよいが、重要度の高いシステムは、常にデータストア110により通信装置112からバッファされることを、当業者は理解するであろう。
【0020】
車両の異なるシステムに個別に接続されることに加え、第1のモジュール102、第2のモジュール104、及び第3のモジュール106はまた、相互接続もされる。具体的には、第1のモジュール102、第2のモジュール104、及び第3のモジュール106は、コントローラ・エリア・ネットワーク(CAN)、メディアオリエンテッドシステムトランスポートネットワーク(MOST:media oriented system transport network)、又は他のネットワークなどのネットワーク118を経由して相互に通信する。例えば、ネットワーク118を経由する第1のモジュール102、第2のモジュール104、及び第3のモジュール106のそれぞれの間の読取り/書込みアクセスであってもよい。しかし、本発明の車両ネットワークシステム100は、ネットワーク118がデータストア110の使用を通じて車両内で実質的に隔絶され、したがって悪意のあるソースはネットワーク118にアクセスできないという事実に依存する。また当業者は、所望により、複数のモジュール102、104、106のうちのある特定のモジュール間の通信を制限してもよい。
【0021】
通信装置112による読取り/書込みアクセスは、データストア110によってブロックされるが、データストア110はまた、接続モジュール108と通信する他の外部ソースによる読取り/書込みアクセスをブロックすることもできることも理解するべきである。例えば、車両ネットワークシステム100は、USBポートなどのポート119を含んでもよく、これは、接続モジュール108とパーソナルコンピュータなどの有線装置(図示せず)との間の直接的な電気通信を許可する。
【0022】
また本発明の車両ネットワークシステム100は、接続モジュール108に加えて、車載式故障診断モジュール120も有してもよい。車載式故障診断モジュール120は、例えばOBD−II規格ポートを含んでもよい。車載式故障診断モジュール120は、少なくとも1つのモジュール102、104、106と通信する。車載式故障診断モジュール120は、ネットワーク118への「バックドア」アクセスを許可する。例えば、車載式故障診断モジュール120は、ネットワーク118を介して第1のモジュール102、第2のモジュール104、及び第3のモジュール106と通信してもよい。車載式故障診断モジュール120は、それによってデータストア110をバイパスして、例えばネットワーク118を経由して、モジュール102、104、106のうちの少なくとも1つの上に存在するソフトウェアを修正するために、複数のモジュール102、104、106の読取り/書込みアクセスを許可する。車載式故障診断モジュール120を通じた複数のモジュール102、104、106の読取り/書込みアクセスは、認可された方式のみで実行されることを理解されたい。
【0023】
本発明は、車両ネットワークシステム100を作動する方法を含む。該方法は、まず通信装置112が接続モジュール108と通信することを許可するステップを含む。通信装置112から接続モジュール108への通信が読取り要求である場合は、通信装置112による読取り専用アクセスのために、接続モジュール108のデータストア110に、少なくとも1つのモジュール102、104、106により、データが書き込まれるようにされる。非限定例として、読取り要求は、少なくとも1つのモジュール102、104、106が接続されるシステムに関係する性能データの要求であってもよい。逆に、通信装置112による少なくとも1つのモジュール102、104、106へのデータの書込みは、通信装置112から接続モジュールへの通信が書込み要求である場合は、データストア110によってブロックされる。非限定例として、書込み要求は、少なくとも1つのモジュール102、104、106のソフトウェアを修正する要求であってもよい。システムが車載式故障診断モジュール120を含む場合は、方法は、通信装置112によるデータのこのような書込みが、本発明のデータストア110によって禁止されても、車載式故障診断モジュールを通じて少なくとも1つのモジュール102、104、106にデータの書込みを許可するステップを含んでもよい。
【0024】
図4は、車両の安全システムとして少なくとも1つのモジュール102、104、106が関与する3つの異なる状況の下で、本発明の車両ネットワークシステム100の作動を示す。第1の例では、通信装置112は、データの要求、例えば車両速度データを接続モジュール108に作成する。次いで接続モジュール108は、データストア110にデータの要求を作成する。データストア110は、データを少なくとも1つのモジュール102、104、106から受信する。データストア110は、データの要求に対する許可手順を実行し、データの要求が許可された場合は、データを接続モジュール108に供給する。接続モジュール108は、今度はデータを通信装置112に供給する。データストア110は、それによってデータを通信装置112に読取り専用の様態で提示する。第1の例は、少なくとも1つのモジュール102、104、106からのデータが、車載式故障診断モジュール120を通じて少なくとも1つのモジュール102、104、106から直接通信することができ、データストア110をバイパスすることを更に示す。
【0025】
図4に示される第2の例では、認証された保守装置(図示せず)が、車両ネットワークシステム100の車載式故障診断モジュール120に接続されている。少なくとも1つのモジュール102、104、106内のソフトウェアを修正する要求が、車載式故障診断モジュール120から直接少なくとも1つのモジュール102、104、106に作成される。ソフトウェア修正は、それによって少なくとも1つのモジュール102、104、106に認可された方式で作成され、データストア110は、車載式故障診断モジュール120で作成された少なくとも1つのモジュール102、104、106内のソフトウェアを修正するために、要求を監視又は許可するためには使用されない。
【0026】
図4に示す第3の例は、第2の例と対照をなす。第3の例では、通信装置112は、少なくとも1つのモジュール102、104、106内のソフトウェアを修正するために要求を作成する。要求は、接続モジュール108に作成され、接続モジュール108は、今度は、その要求をデータストア110に転送する。データストア110は、要求の監視及び許可を担当し、また通信装置112への読取り専用アクセスを許可するのみで、認可されていない「書込み」要求としてソフトウェアを修正するための要求は拒否する。それによって、本発明のデータストア110は、許可されていない恐らく悪意のあるハッキングが通信装置112を通じて車両の重要度の高いシステム及びサブシステムに入ることから、車両ネットワークシステム100を護る。
【0027】
有利にも、本発明の車両ネットワークシステム100は、車両の重要度の高いネットワークからデータを読み取ることを許可するが、同一の重要度の高いネットワークにデータを書き込んで戻すことを禁止する。例えば、ナビゲーションシステムは、パワートレインモジュールからの車両の速度データに到達することを許可されてもよいが、ウィルス又は他の悪意のあるソフトウェアのコードがその経路を利用しようとした場合は、パワートレインモジュールにデータを書き込んで戻すことがブロックされる。本発明によれば、本解決策は、ネットワーク118が、データストア110の使用により基本的に車両内で隔離されるという前提に依存し、これにより、悪意のある外部ソースが通信装置112を通じてネットワーク118に書き込めないので、本質的に安全である。
【0028】
ある特定の代表的実施例及び詳細が本発明を説明する目的で示されたが、以下に添付した特許請求の範囲において更に記載される本発明の範囲から逸脱することなく、様々な変更をしてもよいことが当業者には明らかであろう。
【符号の説明】
【0029】
100 車両ネットワークシステム
102、104、016 モジュール
108 接続モジュール
110 データストア
112 通信装置
114 メモリバッファ
116 データ
118 ネットワーク
119 ポート
120 車載式故障診断モジュール
【技術分野】
【0001】
本発明は、車両ネットワークに関し、より詳細には、車両用の安全なネットワークに関する。
【背景技術】
【0002】
車両ネットワークシステムについての歴史年表は、3つの異なる時代、すなわち初期、後期及び現代に分類することができる。初期の車両ネットワークシステムは、コントローラ・エリア・ネットワーク(CAN:controller-area network)などの低レベルネットワークを使用した。CANは、マイクロコントローラとデバイスがホストコンピュータなしに車両内で互いに通信できるように設計された車両バス規格である。CANネットワークは、各モジュールに向けてブロードキャストされたメッセージを聞く各モジュールを備えた、メッセージを「ブロードキャストする」メッセージに基づいたプロトコル上で作動する。特定のモジュールが、その特定のモジュールに向けたメッセージを受信する場合は、メッセージの発信元にかかわらず、メッセージは処理される。初期の車両システムにおけるモジュール間のすべての接続は、全データ読取り/書込みアクセスがすべてのモジュール間で利用可能であることを意味する、「双方向」であった。しかし、初期の車両CANネットワークは、シンプルプロトコルを利用し、より少ない数のモジュールを含み、現代のネットワークに比べて比較的隔絶されていた。
【0003】
後期の車両ネットワークシステムは、OBD−II規格などの車載式故障診断装置を含んでいた。OBD−IIは、車両所有者又は修理技師に様々な車両システムへのアクセスを共通のアクセスポートを介して提供する、政府が義務付けた規格である。OBD−II規格は、診断、ファームウェアの更新などのための「バックドア」アクセスを可能にする。一般的に、ある特定の暗証番号又はモジュール識別コードが、モジュールへの書込みを許可するために提供されなければならない。
【0004】
現代の車両ネットワークシステムは、スマートフォン、タブレットコンピュータなどの様々な携帯用消費者向け電子機器(CE:consumer electronic)装置と通信する、オーディオヘッドユニット(AHU:audio head unit)などの接続モジュールを含む。AHUはまた、USBポートなどを介してアクセスすることもできる。現代の車両ネットワークに存在するAHUなどの接続モジュールは、アクセスが公知の現代の車両ネットワークに「フロントドア(front door)」を生成する。知られているように、現代の車両ネットワークと相互接続するためのハードウェア装置及びソフトウェアが急速に開発されている。しかし、車両電子機器はますます相互接続するようになっているので、接続モジュール及びAHUは、重要度の高い車両システムに侵入する悪意のあるコードに対する新しい経路も生成する。音響及びインフォテインメントの製品提供は、有線(例えば、USB)及び無線(例えば、Bluetooth(登録商標)、WiFi(登録商標)、3G(登録商標)など)の双方の相互接続が現代の車両により多く普及してきているので、特に被害を受けやすい。接続モジュールを介してパワートレインモジュール及びシャーシモジュールの中にハッキングすることは、特に一般的な車両所有者にとって望ましくない状況を提供する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
重要度の高い車両モジュール及びサブネットワーク(例えば、パワートレイン、シャーシなど)を重要度の低いモジュール及びサブネットワーク(音響、ナビゲーションなど)から分離する車両ネットワークシステムに対する継続的な必要がある。望ましくは、車両ネットワークシステムは、CANのような「下層」ネットワーク上に実装することができるセキュリティの新しい層を提供する。
【課題を解決するための手段】
【0006】
本発明によれば、重要度の高い車両モジュール及びサブネットワーク(例えば、パワートレイン、シャーシなど)を重要度の低いモジュール及びサブネットワーク(音響、ナビゲーションなど)から分離し、CANのような「下層」ネットワーク上に実装できるセキュリティの新しい層を提供する車両ネットワークシステムが、驚くべきことに発見された。
【0007】
一実施形態では、車両ネットワークシステムは、車両のシステムに接続される少なくとも1つのモジュールを含む。車両ネットワークシステムは更に、少なくとも1つのモジュールと通信するデータストアを有する接続モジュールを含む。データストアは、通信装置による、少なくとも1つのモジュールからのデータの読取り専用アクセスを許可する。
【0008】
別の実施形態では、車両ネットワークシステムは、ネットワークを経由して相互に接続される複数のモジュールを含む。各モジュールは、車両システムに接続される。また、車両ネットワークシステムは、複数のモジュールと通信する車載式故障診断モジュール(on board diagnostic module)も含む。車載式故障診断モジュールは、複数のモジュールに対する読取り/書込みアクセスを許可する。車両ネットワークシステムは、複数のモジュールと通信するデータストアを有する接続モジュールを更に含む。データストアは、通信装置による複数のモジュールからのデータの読取り専用アクセスを許可する。
【0009】
更なる実施形態では、車両ネットワークシステムを作動する方法は、通信装置が接続モジュールと通信することを許可するステップと、通信装置から接続モジュールへの通信が読取り要求である場合、通信装置による読取り専用アクセスのために接続モジュールのデータストアに、少なくとも1つのモジュールによってデータが書き込まれるようにするステップと、通信装置から接続モジュールへの通信が書込み要求である場合、通信装置による、少なくとも1つのモジュールへのデータの書込みをブロックするステップと、を含む。
【0010】
例示的実施形態では、車両ネットワークシステムは、重要度の低いモジュールからの新しいデータ要求に適合する。例えば、速度データのみが記憶されるバッファだが、ワイパ状態の認知を望む、新しい重要度の低いモジュールが追加された場合、データストアバッファは、追加データを追加するように修正される。本発明の適合可能な車両ネットワークシステムにより、データストアバッファが新しいデータ要求を学習して、しかるべく調節することが可能になる。また、車両ネットワークシステムは、検証工程及びバックアップを有してもよく、車両ネットワークシステムがクラッシュした場合は、バックアップ画像が再記憶されるまで、バックイメージがシステムを一時的に実行する。
【0011】
上記ならびに他の本発明の利点は、添付図面に照らして検討されるとき、好ましい実施形態の以下の詳述から、当業者には容易に明白になろう。
【図面の簡単な説明】
【0012】
【図1】車両モジュールと携帯CE機器との間の読取り専用アクセスを許可するソフトウェアに基づくデータストアを含む、本発明の一実施形態による車両ネットワークシステムの概略図である。
【図2】車両モジュールと携帯CE機器との間の読取り専用アクセスを許可するハードウェアに基づくデータストアを含む、本発明の別の実施形態による車両ネットワークシステムの概略図である。
【図3】本発明の車両ネットワークシステムとともに使用するための、例示的データストアの概略図である。
【図4】様々な作動条件下で、図1〜図3に示された車両ネットワークシステムの作動を示す概略図である。
【発明を実施するための形態】
【0013】
以下の詳述及び添付図面は、本発明の様々な例示的実施形態を説明し示す。説明及び図面は、当業者が本発明を作成し使用するのを可能にする働きをし、いかなる方法でも本発明の範囲を限定することを意図しない。開示された方法について、提示されたステップは、本質的に例示であり、したがってステップの順番は必要又は重要ではない。
【0014】
図1及び図2に示すように、本発明の車両ネットワークシステム100は、車両(図示せず)のシステム(図示せず)に接続された少なくとも1つのモジュール102、104、106を含む。システムは、非限定例として、パワートレインシステム及びシャーシシステムのうちの1つなどの重要度の高い車両システムであってもよい。システムは、非限定例として、音響システム及びナビゲーションシステムのうちの1つなどの重要度の低い車両システムであってもよい。他のタイプの重要度の高い車両システム、及び重要度の低い車両システムは、本発明の範囲内で少なくとも1つのモジュール102、104、106に接続されてもよいことを当業者は理解するであろう。
【0015】
車両ネットワークシステムは更に、接続モジュール108を含む。接続モジュール108は、少なくとも1つのモジュール102、104、106と通信する。具体的には、接続モジュール108は、データの要求を少なくとも1つのモジュール102、104、106に送信することができ、少なくとも1つのモジュール102、104、106から要求したデータを受信することができる。接続モジュール108は、データストア110を含む。データストア110は、所望により、図1に示される、ソフトウェアに基づくデータストア110、及び図2に示される、ハードウェアに基づくデータストア110の少なくとも1つとして実装されてもよい。
【0016】
データストア110は、通信装置112により、少なくとも1つのモジュール102、104、106の読取り専用アクセスを許可する。具体的には、データストア110は、少なくとも1つのモジュール102、104、106のうちの複数のモジュールに接続するネットワーク全体の読取り専用アクセスを許可する。通信装置112は、例えばブルートゥース信号などの無線信号113をともなう接続モジュール108と通信してもよい。電波信号を含む無線信号の他のタイプはまた、本発明の範囲内で使用されてもよい。非限定例として、通信装置112は、所望により、スマートフォンなどの携帯電話、又はタブレットコンピュータなどのような無線機能を有する別の携帯用消費者向け電子機器であってもよい。さらに通信装置112は、USBポートなどの有線ポートを通じて接続モジュール108と通信する機能を有する有線装置であってもよい。通信装置112は、無線機能及び有線機能の両方を有してもよい。
【0017】
図3に示すように、データストア110は、通信装置112により読取り専用アクセスのために、少なくとも1つのモジュール102、104、106からデータ116を一時的に保持するメモリバッファ114を含む。非限定例として、データ116は、車両速度、エンジンRPM、前照灯の状態などの情報を含んでもよい。車両の運転及び性能に関係がある他の情報もまた、通信装置112により読取り専用アクセスのために、バッファ114内に記憶されてもよい。
【0018】
少なくとも1つのモジュール102、104、106は、データ116をバッファ114に書き込むために、続いて通信装置112によるバッファ114内のデータ116の読取り専用アクセスのために、データストア110に読取り/書込みアクセスを有してもよい。データストア110は、ハードウェア実装の場合、通信装置112からデータ116を監視し、許可/不許可要求をするプログラムを実行するためのプロセッサ(図示せず)を更に含んでもよい。ハードウェアに基づくデータストア110は、「読取り専用」ポートを有してもよく、例えばネットワークを経由してブロードキャストしたあらゆるデータ116を読取ることができるが、ネットワークを経由した少なくとも1つのモジュール102、104、106への書込みを禁止する「プロキシ(proxy)」を処理してもよい。ソフトウェア実装の場合、データストア110は、アンチウィルス・プログラムなどのセキュリティ・ソフトウェアを含んでもよく、またネットワークを経由した書込みも禁止する。データストア110は、ハードウェア実装又はソフトウェア実装のいずれの形式でも、通信装置112による「書込み」要求をそれによってブロックしてもよく、したがってハッカーなどの認可されない外部ソースによる、車両システム100への「バックドア(back door)」アクセスを防止してもよいことを理解されたい。
【0019】
図1及び図2を再度参照すると、少なくとも1つのモジュール102、104、106は、複数のモジュール102、104、106を含んでもよい。例えば、複数のモジュール102、104、106は、それぞれが車両の異なるシステムに直接接続される、第1のモジュール102、第2のモジュール104、及び第3のモジュール106を含んでもよい。例示的実施形態では、複数のモジュール102、104、106のそれぞれは、車両の重要度の高いシステム又はサブシステムに接続される。このような場合には、車両の音響又はインフォテインメントシステムなどの重要度の低いサブシステムは、データストア110を通じて複数のモジュール102、104、106と通信することが許可されるのみで、それによってアクセスを制限し、したがって通信装置112により、「読取り専用」として重要度の高いシステムにアクセスする。別の実施形態では、第1のモジュール102及び第2のモジュール104は、車両の重要度の低いシステムに接続されてもよく、第3のモジュール106は、安全システムなどの車両の重要度の高いシステムに接続されてもよく、それらのそれぞれがデータストア110により通信装置112からバッファされる。複数のモジュール102、104、106と車両の重要度の高いシステム、及び重要度の低いシステムとの間の他の接続も利用されてもよいが、重要度の高いシステムは、常にデータストア110により通信装置112からバッファされることを、当業者は理解するであろう。
【0020】
車両の異なるシステムに個別に接続されることに加え、第1のモジュール102、第2のモジュール104、及び第3のモジュール106はまた、相互接続もされる。具体的には、第1のモジュール102、第2のモジュール104、及び第3のモジュール106は、コントローラ・エリア・ネットワーク(CAN)、メディアオリエンテッドシステムトランスポートネットワーク(MOST:media oriented system transport network)、又は他のネットワークなどのネットワーク118を経由して相互に通信する。例えば、ネットワーク118を経由する第1のモジュール102、第2のモジュール104、及び第3のモジュール106のそれぞれの間の読取り/書込みアクセスであってもよい。しかし、本発明の車両ネットワークシステム100は、ネットワーク118がデータストア110の使用を通じて車両内で実質的に隔絶され、したがって悪意のあるソースはネットワーク118にアクセスできないという事実に依存する。また当業者は、所望により、複数のモジュール102、104、106のうちのある特定のモジュール間の通信を制限してもよい。
【0021】
通信装置112による読取り/書込みアクセスは、データストア110によってブロックされるが、データストア110はまた、接続モジュール108と通信する他の外部ソースによる読取り/書込みアクセスをブロックすることもできることも理解するべきである。例えば、車両ネットワークシステム100は、USBポートなどのポート119を含んでもよく、これは、接続モジュール108とパーソナルコンピュータなどの有線装置(図示せず)との間の直接的な電気通信を許可する。
【0022】
また本発明の車両ネットワークシステム100は、接続モジュール108に加えて、車載式故障診断モジュール120も有してもよい。車載式故障診断モジュール120は、例えばOBD−II規格ポートを含んでもよい。車載式故障診断モジュール120は、少なくとも1つのモジュール102、104、106と通信する。車載式故障診断モジュール120は、ネットワーク118への「バックドア」アクセスを許可する。例えば、車載式故障診断モジュール120は、ネットワーク118を介して第1のモジュール102、第2のモジュール104、及び第3のモジュール106と通信してもよい。車載式故障診断モジュール120は、それによってデータストア110をバイパスして、例えばネットワーク118を経由して、モジュール102、104、106のうちの少なくとも1つの上に存在するソフトウェアを修正するために、複数のモジュール102、104、106の読取り/書込みアクセスを許可する。車載式故障診断モジュール120を通じた複数のモジュール102、104、106の読取り/書込みアクセスは、認可された方式のみで実行されることを理解されたい。
【0023】
本発明は、車両ネットワークシステム100を作動する方法を含む。該方法は、まず通信装置112が接続モジュール108と通信することを許可するステップを含む。通信装置112から接続モジュール108への通信が読取り要求である場合は、通信装置112による読取り専用アクセスのために、接続モジュール108のデータストア110に、少なくとも1つのモジュール102、104、106により、データが書き込まれるようにされる。非限定例として、読取り要求は、少なくとも1つのモジュール102、104、106が接続されるシステムに関係する性能データの要求であってもよい。逆に、通信装置112による少なくとも1つのモジュール102、104、106へのデータの書込みは、通信装置112から接続モジュールへの通信が書込み要求である場合は、データストア110によってブロックされる。非限定例として、書込み要求は、少なくとも1つのモジュール102、104、106のソフトウェアを修正する要求であってもよい。システムが車載式故障診断モジュール120を含む場合は、方法は、通信装置112によるデータのこのような書込みが、本発明のデータストア110によって禁止されても、車載式故障診断モジュールを通じて少なくとも1つのモジュール102、104、106にデータの書込みを許可するステップを含んでもよい。
【0024】
図4は、車両の安全システムとして少なくとも1つのモジュール102、104、106が関与する3つの異なる状況の下で、本発明の車両ネットワークシステム100の作動を示す。第1の例では、通信装置112は、データの要求、例えば車両速度データを接続モジュール108に作成する。次いで接続モジュール108は、データストア110にデータの要求を作成する。データストア110は、データを少なくとも1つのモジュール102、104、106から受信する。データストア110は、データの要求に対する許可手順を実行し、データの要求が許可された場合は、データを接続モジュール108に供給する。接続モジュール108は、今度はデータを通信装置112に供給する。データストア110は、それによってデータを通信装置112に読取り専用の様態で提示する。第1の例は、少なくとも1つのモジュール102、104、106からのデータが、車載式故障診断モジュール120を通じて少なくとも1つのモジュール102、104、106から直接通信することができ、データストア110をバイパスすることを更に示す。
【0025】
図4に示される第2の例では、認証された保守装置(図示せず)が、車両ネットワークシステム100の車載式故障診断モジュール120に接続されている。少なくとも1つのモジュール102、104、106内のソフトウェアを修正する要求が、車載式故障診断モジュール120から直接少なくとも1つのモジュール102、104、106に作成される。ソフトウェア修正は、それによって少なくとも1つのモジュール102、104、106に認可された方式で作成され、データストア110は、車載式故障診断モジュール120で作成された少なくとも1つのモジュール102、104、106内のソフトウェアを修正するために、要求を監視又は許可するためには使用されない。
【0026】
図4に示す第3の例は、第2の例と対照をなす。第3の例では、通信装置112は、少なくとも1つのモジュール102、104、106内のソフトウェアを修正するために要求を作成する。要求は、接続モジュール108に作成され、接続モジュール108は、今度は、その要求をデータストア110に転送する。データストア110は、要求の監視及び許可を担当し、また通信装置112への読取り専用アクセスを許可するのみで、認可されていない「書込み」要求としてソフトウェアを修正するための要求は拒否する。それによって、本発明のデータストア110は、許可されていない恐らく悪意のあるハッキングが通信装置112を通じて車両の重要度の高いシステム及びサブシステムに入ることから、車両ネットワークシステム100を護る。
【0027】
有利にも、本発明の車両ネットワークシステム100は、車両の重要度の高いネットワークからデータを読み取ることを許可するが、同一の重要度の高いネットワークにデータを書き込んで戻すことを禁止する。例えば、ナビゲーションシステムは、パワートレインモジュールからの車両の速度データに到達することを許可されてもよいが、ウィルス又は他の悪意のあるソフトウェアのコードがその経路を利用しようとした場合は、パワートレインモジュールにデータを書き込んで戻すことがブロックされる。本発明によれば、本解決策は、ネットワーク118が、データストア110の使用により基本的に車両内で隔離されるという前提に依存し、これにより、悪意のある外部ソースが通信装置112を通じてネットワーク118に書き込めないので、本質的に安全である。
【0028】
ある特定の代表的実施例及び詳細が本発明を説明する目的で示されたが、以下に添付した特許請求の範囲において更に記載される本発明の範囲から逸脱することなく、様々な変更をしてもよいことが当業者には明らかであろう。
【符号の説明】
【0029】
100 車両ネットワークシステム
102、104、016 モジュール
108 接続モジュール
110 データストア
112 通信装置
114 メモリバッファ
116 データ
118 ネットワーク
119 ポート
120 車載式故障診断モジュール
【特許請求の範囲】
【請求項1】
車両のシステムに接続された少なくとも1つのモジュールと、
前記少なくとも1つのモジュールと通信するデータストアを含み、通信装置による前記少なくとも1つのモジュールからのデータの読取り専用アクセスを許可する、接続モジュールと、を備える車両ネットワークシステム。
【請求項2】
前記システムは、重要度の高い車両システムである、請求項1に記載の車両ネットワークシステム。
【請求項3】
前記重要度の高い車両システムは、パワートレインシステム及びシャーシシステムの1つである、請求項2に記載の車両ネットワークシステム。
【請求項4】
前記システムは、重要度の低い車両システムである、請求項1に記載の車両ネットワークシステム。
【請求項5】
前記重要度の低い車両システムは、音響システム及びナビゲーションシステムの1つである、請求項4に記載の車両ネットワークシステム。
【請求項6】
前記通信装置は、携帯電話である、請求項1に記載の車両ネットワークシステム。
【請求項7】
前記データストアは、前記通信装置による前記読取り専用アクセスのために、前記少なくとも1つのモジュールからの前記データを一時的に保持するバッファを含む、請求項1に記載の車両ネットワークシステム。
【請求項8】
前記少なくとも1つのモジュールは、前記通信装置による前記読取り専用アクセスのための前記バッファに前記データを書き込むための、前記データストアへの読取り/書込みアクセスを有する、請求項7に記載の車両ネットワークシステム。
【請求項9】
前記データストアは、ハードウェアに基づくもの、及びソフトウェアに基づくもののうちの少なくとも一方である、請求項1に記載の車両ネットワークシステム。
【請求項10】
前記接続モジュールは、オーディオヘッドユニットである、請求項1に記載の車両ネットワークシステム。
【請求項11】
前記少なくとも1つのモジュールは、第1のモジュール、第2のモジュール、及び第3のモジュールを含む、請求項1に記載の車両ネットワークシステム。
【請求項12】
前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールのそれぞれは、ネットワークと通信する、請求項11に記載の車両ネットワークシステム。
【請求項13】
前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールのそれぞれの間に、読取り/書込みアクセスがある、請求項12に記載の車両ネットワークシステム。
【請求項14】
第1のモジュール、前記第2のモジュール、及び前記第3のモジュールと通信する車載式故障診断モジュールを更に備え、前記車載式故障診断モジュールは、前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールの読取り/書込みアクセスを許可する、請求項13に記載の車両ネットワークシステム。
【請求項15】
前記第3のモジュールは、前記車両の安全システムに接続される、請求項14に記載の車両ネットワークシステム。
【請求項16】
車両ネットワークシステムであって、
ネットワークを経由して相互に接続される複数のモジュールであって、前記モジュールのそれぞれは、車両のシステムに接続される、複数のモジュールと、
前記複数のモジュールと通信する車載式故障診断モジュールであって、前記車載式故障診断モジュールは、前記複数のモジュールの読取り/書込みアクセスを許可する、車載式故障診断モジュールと、
前記複数のモジュールと通信するデータストアを含み、通信装置による前記複数のモジュールからのデータの読取り専用アクセスを許可する、接続モジュールと、を備える車両ネットワークシステム。
【請求項17】
車両のシステムに接続される少なくとも1つのモジュール、及び前記少なくとも1つのモジュールと通信し、通信装置による前記少なくとも1つのモジュールからのデータの読取り専用アクセスを許可するデータストアを含む接続モジュールを含む、車両ネットワークシステムを作動させる方法であって、
前記通信装置に前記接続モジュールとの通信を許可するステップと、
前記通信装置から前記接続モジュールへの前記通信が読取り要求である場合、前記通信装置による読取り専用アクセスのために前記接続モジュールの前記データストアへ前記少なくとも1つのモジュールによってデータが書き込まれるようにするステップと、
前記通信装置から前記接続モジュールへの前記通信が書込み要求である場合、前記通信装置による前記少なくとも1つのモジュールへの書込みをブロックするステップと、を含む方法。
【請求項18】
前記読取り要求は、前記少なくとも1つのモジュールが接続される前記システムに関係する実行データの要求である、請求項17に記載の方法。
【請求項19】
前記書込み要求は、前記少なくとも1つのモジュールのソフトウェアを修正する要求である、請求項17に記載の方法。
【請求項20】
前記システムは、前記少なくとも1つのモジュールと通信する車載式故障診断モジュールを含み、前記車載式故障診断モジュールは、前記少なくとも1つのモジュールへの読取り/書込みアクセスを許可し、前記方法は
前記車載式故障診断モジュールを通じて前記少なくとも1つのモジュールへの前記書込みを許可するステップを含む、請求項17に記載の方法。
【請求項1】
車両のシステムに接続された少なくとも1つのモジュールと、
前記少なくとも1つのモジュールと通信するデータストアを含み、通信装置による前記少なくとも1つのモジュールからのデータの読取り専用アクセスを許可する、接続モジュールと、を備える車両ネットワークシステム。
【請求項2】
前記システムは、重要度の高い車両システムである、請求項1に記載の車両ネットワークシステム。
【請求項3】
前記重要度の高い車両システムは、パワートレインシステム及びシャーシシステムの1つである、請求項2に記載の車両ネットワークシステム。
【請求項4】
前記システムは、重要度の低い車両システムである、請求項1に記載の車両ネットワークシステム。
【請求項5】
前記重要度の低い車両システムは、音響システム及びナビゲーションシステムの1つである、請求項4に記載の車両ネットワークシステム。
【請求項6】
前記通信装置は、携帯電話である、請求項1に記載の車両ネットワークシステム。
【請求項7】
前記データストアは、前記通信装置による前記読取り専用アクセスのために、前記少なくとも1つのモジュールからの前記データを一時的に保持するバッファを含む、請求項1に記載の車両ネットワークシステム。
【請求項8】
前記少なくとも1つのモジュールは、前記通信装置による前記読取り専用アクセスのための前記バッファに前記データを書き込むための、前記データストアへの読取り/書込みアクセスを有する、請求項7に記載の車両ネットワークシステム。
【請求項9】
前記データストアは、ハードウェアに基づくもの、及びソフトウェアに基づくもののうちの少なくとも一方である、請求項1に記載の車両ネットワークシステム。
【請求項10】
前記接続モジュールは、オーディオヘッドユニットである、請求項1に記載の車両ネットワークシステム。
【請求項11】
前記少なくとも1つのモジュールは、第1のモジュール、第2のモジュール、及び第3のモジュールを含む、請求項1に記載の車両ネットワークシステム。
【請求項12】
前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールのそれぞれは、ネットワークと通信する、請求項11に記載の車両ネットワークシステム。
【請求項13】
前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールのそれぞれの間に、読取り/書込みアクセスがある、請求項12に記載の車両ネットワークシステム。
【請求項14】
第1のモジュール、前記第2のモジュール、及び前記第3のモジュールと通信する車載式故障診断モジュールを更に備え、前記車載式故障診断モジュールは、前記第1のモジュール、前記第2のモジュール、及び前記第3のモジュールの読取り/書込みアクセスを許可する、請求項13に記載の車両ネットワークシステム。
【請求項15】
前記第3のモジュールは、前記車両の安全システムに接続される、請求項14に記載の車両ネットワークシステム。
【請求項16】
車両ネットワークシステムであって、
ネットワークを経由して相互に接続される複数のモジュールであって、前記モジュールのそれぞれは、車両のシステムに接続される、複数のモジュールと、
前記複数のモジュールと通信する車載式故障診断モジュールであって、前記車載式故障診断モジュールは、前記複数のモジュールの読取り/書込みアクセスを許可する、車載式故障診断モジュールと、
前記複数のモジュールと通信するデータストアを含み、通信装置による前記複数のモジュールからのデータの読取り専用アクセスを許可する、接続モジュールと、を備える車両ネットワークシステム。
【請求項17】
車両のシステムに接続される少なくとも1つのモジュール、及び前記少なくとも1つのモジュールと通信し、通信装置による前記少なくとも1つのモジュールからのデータの読取り専用アクセスを許可するデータストアを含む接続モジュールを含む、車両ネットワークシステムを作動させる方法であって、
前記通信装置に前記接続モジュールとの通信を許可するステップと、
前記通信装置から前記接続モジュールへの前記通信が読取り要求である場合、前記通信装置による読取り専用アクセスのために前記接続モジュールの前記データストアへ前記少なくとも1つのモジュールによってデータが書き込まれるようにするステップと、
前記通信装置から前記接続モジュールへの前記通信が書込み要求である場合、前記通信装置による前記少なくとも1つのモジュールへの書込みをブロックするステップと、を含む方法。
【請求項18】
前記読取り要求は、前記少なくとも1つのモジュールが接続される前記システムに関係する実行データの要求である、請求項17に記載の方法。
【請求項19】
前記書込み要求は、前記少なくとも1つのモジュールのソフトウェアを修正する要求である、請求項17に記載の方法。
【請求項20】
前記システムは、前記少なくとも1つのモジュールと通信する車載式故障診断モジュールを含み、前記車載式故障診断モジュールは、前記少なくとも1つのモジュールへの読取り/書込みアクセスを許可し、前記方法は
前記車載式故障診断モジュールを通じて前記少なくとも1つのモジュールへの前記書込みを許可するステップを含む、請求項17に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2013−9370(P2013−9370A)
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願番号】特願2012−137692(P2012−137692)
【出願日】平成24年6月19日(2012.6.19)
【出願人】(505450755)ビステオン グローバル テクノロジーズ インコーポレイテッド (140)
【Fターム(参考)】
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願日】平成24年6月19日(2012.6.19)
【出願人】(505450755)ビステオン グローバル テクノロジーズ インコーポレイテッド (140)
【Fターム(参考)】
[ Back to top ]