車載中継装置及び外部通信装置
【課題】車載ECUにおいてセキュリティを要する特定の項目を不正に実施されるのを防止する。
【解決手段】ゲートウェイ1は、車両外の故障診断装置20と車載ネットワークとの間の通信経路に介在し、所定の通信可能条件が未成立である間、故障診断装置20と車載ECUとの間の通信を遮断している。一方、ゲートウェイ1は、第1の通信経路(例えば、無線通信)を通じてシードコードを故障診断装置20に送信し、第1の通信経路とは異なる第2の通信経路(例えば、有線通信)を通じて、前記シードコードの送信に応じて故障診断装置20から返信されるパスコードを受信する。そして、
故障診断装置20に送信したシードコードに対応する自らのパスコードと当該故障診断装置20から受信したパスコードとを照合し、両者が適合したことを条件に、故障診断装置20と車載ECUとの通信を可能にする。
【解決手段】ゲートウェイ1は、車両外の故障診断装置20と車載ネットワークとの間の通信経路に介在し、所定の通信可能条件が未成立である間、故障診断装置20と車載ECUとの間の通信を遮断している。一方、ゲートウェイ1は、第1の通信経路(例えば、無線通信)を通じてシードコードを故障診断装置20に送信し、第1の通信経路とは異なる第2の通信経路(例えば、有線通信)を通じて、前記シードコードの送信に応じて故障診断装置20から返信されるパスコードを受信する。そして、
故障診断装置20に送信したシードコードに対応する自らのパスコードと当該故障診断装置20から受信したパスコードとを照合し、両者が適合したことを条件に、故障診断装置20と車載ECUとの通信を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両に搭載された電子制御装置と車両の外部で用いられる外部装置との通信経路に介在して、それら電子制御装置と外部装置との間で行われるデータ通信の中継を行う車載中継装置に関する。
【背景技術】
【0002】
従来、車両に搭載された電子制御装置(Electronic Control Unit;以下、車載ECUとも称する。)の診断を行う際には、修理工場等に用意されている故障診断装置が利用されている。この種の故障診断装置は、通常、修理工場等に入庫した車両に備えられたコネクタに有線接続され、これにより、故障診断装置が車載ネットワーク経由で車載ECUと通信可能になり、修理担当者が故障診断装置を直接操作することで、車載ECUから各種情報を取得したり車載ECU内のデータを更新できる。
【0003】
また、特許文献1には、この種の故障診断装置に修理担当者に対する認証機能を持たせることで、セキュリティを要する特殊作業に関する項目を適格ではない操作者が不用意に実施することを防ぐ技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されているような従来技術では、故障診断装置側に備えられた認証機能によってセキュリティを確保することが考慮されているのみであり、車載ECUに対する不正なアクセスを防止するための車両側のセキュリティ対策については考慮されていない。そのため、車載ECUに対する不正なアクセスを目的として外部装置が車両側のコネクタに接続され、この外部装置が車載ネットワーク経由で車載ECUと通信可能となることで、セキュリティに関する重要な作業が不正に実施されるおそれがある。例えば、車両盗難を防止するイモビライザECUや、通信によるドアの施錠・開錠制御やエンジンの始動を行うスマートエントリーECUにおいて、認証コードを不正に読出されたり別の認証コードに書換えられたりするといった具合に、車両の不正利用や盗難につながる重要な情報が不正に入手されたり改竄されてしまうという問題がある。
【0006】
本発明は上記問題を解決するためになされており、車載ECUにおいてセキュリティを要する特定の項目を不正に実施されるのを防止するための技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
上記目的を達成するためになされた本発明は、車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、電子制御装置と外部通信装置との間の通信を中継する車載中継装置に関するものである。
【0008】
そして、本発明の車載中継装置は、シードコード送信手段、パスコード受信手段、及び、通信制御手段を備える。シードコード送信手段は、外部通信装置と車載中継装置との間で通信可能な第1の通信経路を通じてシードコードを外部通信装置に対して送信する。パスコード受信手段は、外部通信装置と車載中継装置との間で通信可能な通信経路であって第1の通信経路とは異なる第2の通信経路を通じて、シードコードの送信に応じて外部通信装置から返信されるパスコードを受信する。通信制御手段は、所定の通信可能条件が未成立である間、外部通信装置と電子制御装置との通信を遮断しており、外部通信装置に送信したシードコードに対応する自らのパスコードと当該外部通信装置から受信したパスコードとを照合し、両者が適合したことを条件に、外部通信装置と電子制御装置との通信を可能にする。
【0009】
このように構成された本発明によれば、不正なアクセスを目的とする外部通信装置は当然のこと、どのような外部通信装置を以ってしても、外部通信装置に対して送信したシードコードに適合する正しいパスコードを当該外部通信装置から受信しない限り車載ECUとの間で通信ができないように制限できる。つまり、本発明の車載中継装置から通知されたシードコードに対応する正しいパスコードを入力できる外部通信装置でなければ、車載ECUへのアクセスを行うことができないため、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できる。また、パスコードの照合を利用した認証方法による高い防犯性に加え、シードコード及びパスコードを送受信する通信経路をそれぞれ別個にして送受信の手順を複雑化したことにより、車外通信装置と車載ECUとの通信を解禁する方法を不正な実施者が容易に見破ることのできない防犯対策を実現できる。
【0010】
また、請求項2に記載のように、シードコード及びパスコードを送受信するための第1、第2の通信経路のうち一方を無線通信とし、他方を有線通信として構成することが考えられる。2つの通信経路のうち一方を無線通信としたことで、不正な実施者に対して通信経路を見た目に判別しにくくする効果があると共に、外部通信装置が有線通信及び無線通信のそれぞれに対応した2つの通信インタフェースを備えることが必須となり、それらを備えない外部通信装置による不正なアクセスを排除できるという点において防犯性を向上できる。
【0011】
また、シードコード又はパスコードの送受信に無線通信を利用する場合、防犯性を更に高めるための工夫として、外部サーバを中継してシードコード又はパスコードの送受信を行うようにしてもよい。具体的には、請求項3に記載のように、車載中継装置及び外部通信装置のうちシードコード又はパスコードの送信側が、外部ネットワークに無線接続してこの外部ネットワークに接続する所定の外部サーバに送信すべきシードコード又はパスコードを転送し、対する受信側が、外部ネットワークに無線接続して送信側によって外部サーバに転送されたシードコード又はパスコードを受信するように構成することが考えられる。
【0012】
このように、送信側が送信すべきコードを一旦外部サーバに転送して、受信側が外部サーバから当該コードを受信するといった具合に、シードコード又はパスコードを送受信する手順を一層複雑化したことで、車外通信装置と車載ECUとの通信を解禁する方法を不正な実施者に看破されにくくできる。また、送信側又は受信側が外部サーバにアクセスするにあたっては、外部サーバにおいて各装置に対するアカウント認証等の適当なセキュリティチェックを行うようにすることで、防犯性を更に高めることもできる。
【0013】
つぎに、請求項4に記載の発明は、本発明の車載中継装置が搭載された車両の車外通信用の通信経路を通じて当該車両の車載ネットワークに接続し、この車載ネットワーク内の電子制御装置との間で通信を行う外部通信装置に関するものである。
【0014】
そして、本発明の外部通信装置は、シードコード受信手段、パスコード返信手段、及び、通信手段を備える。シードコード受信手段は、第1の通信経路を通じてシードコードを車載中継装置から受信する。パスコード返信手段は、シードコード受信手段により受信したシードコードに対応するパスコードを取得し、そのパスコードを第2の通信経路を通じて車載中継装置に返信する。通信手段は、パスコード返信手段によるパスコードの返信の送信の結果、車載中継装置により通信可能な状態に移行したことを条件に、電子制御装置との通信を行う。
【0015】
本発明の外部通信装置は、本発明の車載中継装置を中継して車載ECUとの間で通信を行うためのセキュリティ要件を満たす機能を備えるものである。したがって、本発明の車載中継装置と外部通信装置とを採用することにより、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できるシステムを構築できる。
【図面の簡単な説明】
【0016】
【図1】本発明の車載中継装置の一例として示すゲートウェイと他の装置によって構成される車両用通信システム全体の構成図である。
【図2】ゲートウェイ及び故障診断装置が実行する通信制御処理の手順を示すシーケンス図である。
【発明を実施するための形態】
【0017】
以下、本発明の一実施形態を図面に基づいて説明する。
[車両用通信システム全体の構成]
図1に示すように、本発明の車載通信装置の一例として示すゲートウェイ1は、車両10に搭載されている。また、この車両10には、複数のECU#1〜ECU#n(本発明でいう電子制御装置の一例に相当。以下、単に車載ECUとも表記する。)が搭載され、ゲートウェイ1とこれらの車載ECUとが車内通信用の通信経路11aを介して車載ネットワークが構成されている。
【0018】
また、車両10には、故障診断装置20等の外部通信装置を有線で車載ネットワークに通信可能に接続するためのデータリンクコネクタ12、及び、故障診断装置20や無線通信網40に無線接続して通信を行うための無線通信装置13が設けられている。データリンクコネクタ12が車外通信用の通信経路11bを介してゲートウェイ1と接続されることにより、ゲートウェイ1は車載ネットワークに故障診断装置20等の外部通信装置を通信可能に接続するための通信経路に介在する形で配置される。
【0019】
車載ネットワークを構成する車載ECUは、CPU,ROM,RAM,通信I/F等(図示省略)を備える周知のマイクロコンピュータを中心に構成されており、様々な機能別に複数の車載ECUが搭載されている。具体的には、エンジンや走行モータ、トランスミッション等の走行システムを制御対象にする制御系ECU群や、メータ、灯火、エアバッグ等のボディ系の機器を制御対象にするボディ系ECU群、ナビゲーションやオーディオビジュアル等の各種情報提供を行う情報機器に属する情報系ECU群といったものが挙げられる。さらに、電子キーの照合によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUや、電子キーとの通信によってドアの施錠/開錠を自動的に行うスマートキーECUといったセキュリティ系の各種ECU等も挙げられる。
【0020】
上記車載ネットワーク上の各機器は、各機器間で共有データを送受信できるように、予め定められた通信プロトコルに準拠した方式で相互に通信可能に構成されている。なお、車載ネットワークに採用される通信プロトコルについては周知なので、ここでの説明については省略する。
【0021】
ゲートウェイ1は、周知のCPU,ROM,RAM等を備えたマイクロコンピュータや、上記車載ネットワーク上の各車載ECUとデータリンクコネクタ12を介して接続される外部通信装置との間の通信を中継したり、無線通信装置13を通じて外部と無線通信を行うための通信インタフェース等を備えてなる。なお、ゲートウェイ1は、専用の車載ECUとして構成してもよいし、例えば、エンジン統合ECU等といった車両制御用の車載ECUがゲートウェイ1としての機能を併せ持つ構成であってもよい。
【0022】
無線通信装置13は、例えばBluetooth(登録商標)やWi-Fi(登録商標)等の無線通信規格に対応した無線通信装置であり、外部の故障診断装置20との間の近距離無線通信、あるいは無線LANやインターネット等の外部ネットワークからなる無線通信網40を経由して外部サーバ装置30との間の無線通信を行うためのものである。
【0023】
車両10の外部には、車両10の整備の際に用いられる故障診断装置20(本発明でいう外部通信装置の一例に相当。)が設けられている。この故障診断装置20は、車載ECUの故障診断やデータの書換え等を行うために車載ECUとの間で各種通信を行う情報処理装置である。本実施形態において、故障診断装置20は、修理工場等に設けられる装置であり、車両10が修理工場等で整備を受ける際、車両10が備えるデータリンクコネクタ12を利用して有線の通信経路11cを通じて車両10と有線接続される。
【0024】
車両10と故障診断装置20がデータリンクコネクタ12を利用して有線接続された場合、ゲートウェイ1が提供するゲートウェイ機能により、故障診断装置20と各車載ECUは、ゲートウェイ1経由で相互に通信可能となる。また、故障診断装置20は、例えばBluetooth(登録商標)やWi-Fi(登録商標)等の無線通信規格に対応した無線通信機能を備えている。この無線通信機能により、車両10の無線通信装置13を通じてのゲートウェイ1と間の無線通信、あるいは無線通信網40を経由しての外部サーバ装置30との間の無線通信が可能である。
【0025】
一方、外部サーバ装置30は、車両に関する各種管理を行うセンター等に設けられる、サーバ機能を有する情報処理装置である。この外部サーバ装置30は、無線通信網40に接続されており、無線通信網40経由で車両10のゲートウェイ1や故障診断装置20との間で通信を行う。本実施形態において、外部サーバ装置30は、ゲートウェイ1と故障診断装置20とによるコードの授受を中継する機能を担う。
【0026】
なお、本発明の特徴的な構成として、ゲートウェイ1は、車載ECUと故障診断装置20との間の通信に対して通信可能な条件を制限するセキュリティ機能を有する。ゲートウェイ1は、データリンクコネクタ12を通じて車両10に接続された故障診断装置20に対してシードコード(パスコードの元になる文字列)で送信し、その返答としてシードコードに対応する解であるパスコードを故障診断装置20から受信する。そして、その受信したパスコードが当該故障診断装置20に送信したシードコードに対応する自らのパスコードに適合するものとして認証できた場合のみ、車載ECUと故障診断装置20との間の通信を許可するモードに移行し、それ以外は車載ECUと故障診断装置20との間の通信を遮断する。その際、ゲートウェイ1と故障診断装置20との間で行うシードコードの送受信とパスコードの送受信とにおいて、それぞれ異なる通信経路(無線通信又は有線通信)を用いるようにした。これにより、シードコードの送受信及びパスコードの送受信からなる一連の通信手順が複雑化しており、故障診断装置20と車載ECUとの通信を解禁する方法が不正な実施者に看破されにくくなっている。
【0027】
上述のようなセキュリティ機能により、車載ECUにおいてセキュリティを要する特定の項目を不正に実施されるのを防止できる。以下、そのようなセキュリティ機能の具体的手法について説明する。
【0028】
[ゲートウェイ1と故障診断装置20とが実行する処理]
つぎに、ゲートウェイ1と故障診断装置20とが実行する処理について、図2の処理シーケンスを参照しながら説明する。
【0029】
ゲートウェイ1は、エンジンONに伴う起動によって処理を開始すると、車内通信用の通信経路11a側と車外通信用の通信経路11b,11c側とを通して行われる故障診断装置20と車載ECUとの通信を遮断する通信不可状態にする(S100)。
【0030】
なお、本実施形態では、通信内容に関わらず故障診断装置20と車載ECUとの間で行われる通信を全て遮断することを想定している。一方、このようにする代わりに、故障診断装置20と車載ECUとの間の通信データの内容を監視し、特定のセキュリティ項目に関する特定通信に該当する通信データだけを遮断するような構成であってもよい。後者の場合、通信制限の対象となる特定通信は、例えば、イモビライザECUやスマートキーECUに登録されている始動許可や施錠/開錠用の認証コードへのアクセスに関する通信や、各車載ECUに記憶されているソフトウェアの書換えに関する通信、あるいは、各車載ECUにおいて作動の結果蓄積された学習データの初期化に関する通信等が挙げられる。上記の通信内容は特定通信として一例であり、これらの通信内容以外にも、方法によっては車両の盗難や不正利用、不適切なデータ改竄による不具合や性能低下等につながるおそれのある各種の通信内容を通信制限の対象とすることができる。
【0031】
一方、故障診断装置20は、データリンクコネクタ12を介して車載ネットワークに接続されると、通信経路11c及び11b経由の有線通信によりゲートウェイ1に対してシードコード要求メッセージを送信する(S102)。シードコード要求メッセージを受信したゲートウェイ1は、故障診断装置20と車載ECUとの通信の解禁に必要なパスコードの元となるシードコードを含むシードコード送信メッセージを、無線通信装置13を介した無線通信により要求元の故障診断装置20に対して送信する(S104)。
【0032】
なお、ここで行う無線通信は、故障診断装置20との間で直接通信してシードコードを送信するものが考えられる。あるいは、ゲートウェイ1が無線通信網40経由で外部サーバ装置30にアクセスしてシードコードを一旦転送し、要求元の故障診断装置20が無線通信網40経由で外部サーバ装置30にアクセスし、シードコードを受信するものであってもよい。また、ゲートウェイ1及び故障診断装置20がそれぞれ外部サーバ装置30にアクセスする際、各装置に対するアカウント認証等のセキュリティチェックを外部サーバ装置30が行うようにしてもよい。
【0033】
また、ゲートウェイ1が送信するシードコードは、例えば、予めメモリ等に記憶している既定のシードコードとパスコードの複数の組合せの中から何れかを選んで送信するようにしてもよいし、複数桁の乱数をその都度生成して送信するようにしてもよい。ただし、前者の場合、ゲートウェイ1と故障診断装置20とが、共通のシードコードとパスコードの組合せをそれぞれ持っていることが前提となる。また、後者の場合、ゲートウェイ1と故障診断装置20とが、シードコードに対応する唯一解となるパスコードを計算するための共通の関数やアルゴリズムをそれぞれ持っていることが前提となる。
【0034】
故障診断装置20は、無線通信によりゲートウェイ1からシードコードを受信すると、受信したシードコードに対応するパスコードを取得する(S106)。ここでは、例えば、予めメモリ等に記録されている既定のシードコードとパスコードの組合せ(ゲートウェイ1と共通)の中から受信したシードコードに対応するパスコードを検索して取得する。あるいは、受信したシードコードを規定の関数(ゲートウェイ1と共通)によって演算してパスコードを生成する。つぎに、S106で取得したパスコードを含むパスコード返信メッセージを、通信経路11c及び11b経由の有線通信によりゲートウェイ1に送信する(S108)。
【0035】
パスコード返信メッセージを受信したゲートウェイ1は、故障診断装置20から受信したパスコードと、当該故障診断装置20に送信したシードコードに対応する自らのパスコードとを照合する(S110)。ここでは、例えば、予めメモリ等に記録されている既定のシードコードとパスコードの組合せ(故障診断装置20と共通)の中から、今回送信したシードコードに対応するパスコードを取得して、それを故障診断装置20から受信したパスコードと照合する。あるいは、今回送信したシードコードを規定の関数(故障診断装置20と共通)によって演算してパスコードを生成し、それを故障診断装置20から受信したパスコードと照合する。
【0036】
パスコードの照合の結果、両者のパスコードが適合せずパスコードの認証が失敗した場合(S112:NO)、S100に戻り通信不可状態を継続する。一方、両者のパスコードが適合しパスコードの認証が成功した場合(S112:YES)、故障診断装置20と車載ECUとの間の通信を許可する通信可能状態に移行する(S114)。
【0037】
故障診断装置20は、ゲートウェイ1が通信可能状態に移行した後、通信経路11a〜11cを通じて車載ECUとの間の通信を開始する。
[変形例]
以上、本発明の一実施形態について説明したが、本発明は上記の実施形態に何ら限定されるものではなく様々な態様にて実施することが可能である。
【0038】
例えば、上述の実施形態では、シードコードの送受信を行う際の通信経路(本発明における第1の通信経路に相当する。)に無線通信を採用し、パスコードの送受信を行う際の通信経路(本発明における第2の通信経路に相当する。)に有線通信を採用した事例について説明した。これとは逆に、シードコードの送受信を行う際の通信経路に有線通信を採用し、パスコードの送受信を行う際の通信経路に無線通信を採用してもよい。
【0039】
あるいは、無線通信の代わりに、ゲートウェイ1等に電源を供給する電力線を通信回線として利用する電力線搬送通信(PLC;Power Line Communication)を採用してもよい。その場合、例えば、第1の通信経路としてCAN(Controller Area Network)やシリアル通信等の通信専用回路による有線通信を採用し、第2の通信経路として電力線搬送通信を採用することが考えらえる(その逆でも可)。
【0040】
[効果]
上記実施形態の車両用通信システムによれば、以下のような効果を奏する。
ゲートウェイ1から送信されたシードコードに適合するパスコードが外部通信装置から返信されない限り、不正なアクセスを目的とする外部通信装置は当然のこと、正規の故障診断装置20であっても車載ECUとの間で通信ができないように通信を制限できる。つまり、ゲートウェイ1から通知されたシードコード対応する正しいパスコードを返信できる機能を持つ故障診断装置20でなければ、車載ECUへのアクセスを行うことができないため、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できる。
【0041】
また、パスコードとの照合を利用した認証方法による高い防犯性に加え、シードコード及びパスコードを送受信する通信経路を無線通信と有線通信とで別個したことで、認証のための通信手順が複雑化し、車載ECUとの通信を解禁する方法を不正な実施者に看破されにくい。特に、2つの通信経路のうち一方を無線通信としたことで、不正な実施者に対して通信経路を見た目に判別しにくくする効果があると共に、故障診断装置20が有線通信及び無線通信のそれぞれに対応した2つの通信インタフェースを備えることが必須となり、それらを備えない正規外の外部通信装置による不正なアクセスを排除できるという利点がある。
【符号の説明】
【0042】
1…ゲートウェイ、10…車両、11a,11b,11c…通信経路、12…データリンクコネクタ、13…無線通信装置、20…故障診断装置、30…外部サーバ装置、40…無線通信網。
【技術分野】
【0001】
本発明は、車両に搭載された電子制御装置と車両の外部で用いられる外部装置との通信経路に介在して、それら電子制御装置と外部装置との間で行われるデータ通信の中継を行う車載中継装置に関する。
【背景技術】
【0002】
従来、車両に搭載された電子制御装置(Electronic Control Unit;以下、車載ECUとも称する。)の診断を行う際には、修理工場等に用意されている故障診断装置が利用されている。この種の故障診断装置は、通常、修理工場等に入庫した車両に備えられたコネクタに有線接続され、これにより、故障診断装置が車載ネットワーク経由で車載ECUと通信可能になり、修理担当者が故障診断装置を直接操作することで、車載ECUから各種情報を取得したり車載ECU内のデータを更新できる。
【0003】
また、特許文献1には、この種の故障診断装置に修理担当者に対する認証機能を持たせることで、セキュリティを要する特殊作業に関する項目を適格ではない操作者が不用意に実施することを防ぐ技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されているような従来技術では、故障診断装置側に備えられた認証機能によってセキュリティを確保することが考慮されているのみであり、車載ECUに対する不正なアクセスを防止するための車両側のセキュリティ対策については考慮されていない。そのため、車載ECUに対する不正なアクセスを目的として外部装置が車両側のコネクタに接続され、この外部装置が車載ネットワーク経由で車載ECUと通信可能となることで、セキュリティに関する重要な作業が不正に実施されるおそれがある。例えば、車両盗難を防止するイモビライザECUや、通信によるドアの施錠・開錠制御やエンジンの始動を行うスマートエントリーECUにおいて、認証コードを不正に読出されたり別の認証コードに書換えられたりするといった具合に、車両の不正利用や盗難につながる重要な情報が不正に入手されたり改竄されてしまうという問題がある。
【0006】
本発明は上記問題を解決するためになされており、車載ECUにおいてセキュリティを要する特定の項目を不正に実施されるのを防止するための技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
上記目的を達成するためになされた本発明は、車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、電子制御装置と外部通信装置との間の通信を中継する車載中継装置に関するものである。
【0008】
そして、本発明の車載中継装置は、シードコード送信手段、パスコード受信手段、及び、通信制御手段を備える。シードコード送信手段は、外部通信装置と車載中継装置との間で通信可能な第1の通信経路を通じてシードコードを外部通信装置に対して送信する。パスコード受信手段は、外部通信装置と車載中継装置との間で通信可能な通信経路であって第1の通信経路とは異なる第2の通信経路を通じて、シードコードの送信に応じて外部通信装置から返信されるパスコードを受信する。通信制御手段は、所定の通信可能条件が未成立である間、外部通信装置と電子制御装置との通信を遮断しており、外部通信装置に送信したシードコードに対応する自らのパスコードと当該外部通信装置から受信したパスコードとを照合し、両者が適合したことを条件に、外部通信装置と電子制御装置との通信を可能にする。
【0009】
このように構成された本発明によれば、不正なアクセスを目的とする外部通信装置は当然のこと、どのような外部通信装置を以ってしても、外部通信装置に対して送信したシードコードに適合する正しいパスコードを当該外部通信装置から受信しない限り車載ECUとの間で通信ができないように制限できる。つまり、本発明の車載中継装置から通知されたシードコードに対応する正しいパスコードを入力できる外部通信装置でなければ、車載ECUへのアクセスを行うことができないため、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できる。また、パスコードの照合を利用した認証方法による高い防犯性に加え、シードコード及びパスコードを送受信する通信経路をそれぞれ別個にして送受信の手順を複雑化したことにより、車外通信装置と車載ECUとの通信を解禁する方法を不正な実施者が容易に見破ることのできない防犯対策を実現できる。
【0010】
また、請求項2に記載のように、シードコード及びパスコードを送受信するための第1、第2の通信経路のうち一方を無線通信とし、他方を有線通信として構成することが考えられる。2つの通信経路のうち一方を無線通信としたことで、不正な実施者に対して通信経路を見た目に判別しにくくする効果があると共に、外部通信装置が有線通信及び無線通信のそれぞれに対応した2つの通信インタフェースを備えることが必須となり、それらを備えない外部通信装置による不正なアクセスを排除できるという点において防犯性を向上できる。
【0011】
また、シードコード又はパスコードの送受信に無線通信を利用する場合、防犯性を更に高めるための工夫として、外部サーバを中継してシードコード又はパスコードの送受信を行うようにしてもよい。具体的には、請求項3に記載のように、車載中継装置及び外部通信装置のうちシードコード又はパスコードの送信側が、外部ネットワークに無線接続してこの外部ネットワークに接続する所定の外部サーバに送信すべきシードコード又はパスコードを転送し、対する受信側が、外部ネットワークに無線接続して送信側によって外部サーバに転送されたシードコード又はパスコードを受信するように構成することが考えられる。
【0012】
このように、送信側が送信すべきコードを一旦外部サーバに転送して、受信側が外部サーバから当該コードを受信するといった具合に、シードコード又はパスコードを送受信する手順を一層複雑化したことで、車外通信装置と車載ECUとの通信を解禁する方法を不正な実施者に看破されにくくできる。また、送信側又は受信側が外部サーバにアクセスするにあたっては、外部サーバにおいて各装置に対するアカウント認証等の適当なセキュリティチェックを行うようにすることで、防犯性を更に高めることもできる。
【0013】
つぎに、請求項4に記載の発明は、本発明の車載中継装置が搭載された車両の車外通信用の通信経路を通じて当該車両の車載ネットワークに接続し、この車載ネットワーク内の電子制御装置との間で通信を行う外部通信装置に関するものである。
【0014】
そして、本発明の外部通信装置は、シードコード受信手段、パスコード返信手段、及び、通信手段を備える。シードコード受信手段は、第1の通信経路を通じてシードコードを車載中継装置から受信する。パスコード返信手段は、シードコード受信手段により受信したシードコードに対応するパスコードを取得し、そのパスコードを第2の通信経路を通じて車載中継装置に返信する。通信手段は、パスコード返信手段によるパスコードの返信の送信の結果、車載中継装置により通信可能な状態に移行したことを条件に、電子制御装置との通信を行う。
【0015】
本発明の外部通信装置は、本発明の車載中継装置を中継して車載ECUとの間で通信を行うためのセキュリティ要件を満たす機能を備えるものである。したがって、本発明の車載中継装置と外部通信装置とを採用することにより、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できるシステムを構築できる。
【図面の簡単な説明】
【0016】
【図1】本発明の車載中継装置の一例として示すゲートウェイと他の装置によって構成される車両用通信システム全体の構成図である。
【図2】ゲートウェイ及び故障診断装置が実行する通信制御処理の手順を示すシーケンス図である。
【発明を実施するための形態】
【0017】
以下、本発明の一実施形態を図面に基づいて説明する。
[車両用通信システム全体の構成]
図1に示すように、本発明の車載通信装置の一例として示すゲートウェイ1は、車両10に搭載されている。また、この車両10には、複数のECU#1〜ECU#n(本発明でいう電子制御装置の一例に相当。以下、単に車載ECUとも表記する。)が搭載され、ゲートウェイ1とこれらの車載ECUとが車内通信用の通信経路11aを介して車載ネットワークが構成されている。
【0018】
また、車両10には、故障診断装置20等の外部通信装置を有線で車載ネットワークに通信可能に接続するためのデータリンクコネクタ12、及び、故障診断装置20や無線通信網40に無線接続して通信を行うための無線通信装置13が設けられている。データリンクコネクタ12が車外通信用の通信経路11bを介してゲートウェイ1と接続されることにより、ゲートウェイ1は車載ネットワークに故障診断装置20等の外部通信装置を通信可能に接続するための通信経路に介在する形で配置される。
【0019】
車載ネットワークを構成する車載ECUは、CPU,ROM,RAM,通信I/F等(図示省略)を備える周知のマイクロコンピュータを中心に構成されており、様々な機能別に複数の車載ECUが搭載されている。具体的には、エンジンや走行モータ、トランスミッション等の走行システムを制御対象にする制御系ECU群や、メータ、灯火、エアバッグ等のボディ系の機器を制御対象にするボディ系ECU群、ナビゲーションやオーディオビジュアル等の各種情報提供を行う情報機器に属する情報系ECU群といったものが挙げられる。さらに、電子キーの照合によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUや、電子キーとの通信によってドアの施錠/開錠を自動的に行うスマートキーECUといったセキュリティ系の各種ECU等も挙げられる。
【0020】
上記車載ネットワーク上の各機器は、各機器間で共有データを送受信できるように、予め定められた通信プロトコルに準拠した方式で相互に通信可能に構成されている。なお、車載ネットワークに採用される通信プロトコルについては周知なので、ここでの説明については省略する。
【0021】
ゲートウェイ1は、周知のCPU,ROM,RAM等を備えたマイクロコンピュータや、上記車載ネットワーク上の各車載ECUとデータリンクコネクタ12を介して接続される外部通信装置との間の通信を中継したり、無線通信装置13を通じて外部と無線通信を行うための通信インタフェース等を備えてなる。なお、ゲートウェイ1は、専用の車載ECUとして構成してもよいし、例えば、エンジン統合ECU等といった車両制御用の車載ECUがゲートウェイ1としての機能を併せ持つ構成であってもよい。
【0022】
無線通信装置13は、例えばBluetooth(登録商標)やWi-Fi(登録商標)等の無線通信規格に対応した無線通信装置であり、外部の故障診断装置20との間の近距離無線通信、あるいは無線LANやインターネット等の外部ネットワークからなる無線通信網40を経由して外部サーバ装置30との間の無線通信を行うためのものである。
【0023】
車両10の外部には、車両10の整備の際に用いられる故障診断装置20(本発明でいう外部通信装置の一例に相当。)が設けられている。この故障診断装置20は、車載ECUの故障診断やデータの書換え等を行うために車載ECUとの間で各種通信を行う情報処理装置である。本実施形態において、故障診断装置20は、修理工場等に設けられる装置であり、車両10が修理工場等で整備を受ける際、車両10が備えるデータリンクコネクタ12を利用して有線の通信経路11cを通じて車両10と有線接続される。
【0024】
車両10と故障診断装置20がデータリンクコネクタ12を利用して有線接続された場合、ゲートウェイ1が提供するゲートウェイ機能により、故障診断装置20と各車載ECUは、ゲートウェイ1経由で相互に通信可能となる。また、故障診断装置20は、例えばBluetooth(登録商標)やWi-Fi(登録商標)等の無線通信規格に対応した無線通信機能を備えている。この無線通信機能により、車両10の無線通信装置13を通じてのゲートウェイ1と間の無線通信、あるいは無線通信網40を経由しての外部サーバ装置30との間の無線通信が可能である。
【0025】
一方、外部サーバ装置30は、車両に関する各種管理を行うセンター等に設けられる、サーバ機能を有する情報処理装置である。この外部サーバ装置30は、無線通信網40に接続されており、無線通信網40経由で車両10のゲートウェイ1や故障診断装置20との間で通信を行う。本実施形態において、外部サーバ装置30は、ゲートウェイ1と故障診断装置20とによるコードの授受を中継する機能を担う。
【0026】
なお、本発明の特徴的な構成として、ゲートウェイ1は、車載ECUと故障診断装置20との間の通信に対して通信可能な条件を制限するセキュリティ機能を有する。ゲートウェイ1は、データリンクコネクタ12を通じて車両10に接続された故障診断装置20に対してシードコード(パスコードの元になる文字列)で送信し、その返答としてシードコードに対応する解であるパスコードを故障診断装置20から受信する。そして、その受信したパスコードが当該故障診断装置20に送信したシードコードに対応する自らのパスコードに適合するものとして認証できた場合のみ、車載ECUと故障診断装置20との間の通信を許可するモードに移行し、それ以外は車載ECUと故障診断装置20との間の通信を遮断する。その際、ゲートウェイ1と故障診断装置20との間で行うシードコードの送受信とパスコードの送受信とにおいて、それぞれ異なる通信経路(無線通信又は有線通信)を用いるようにした。これにより、シードコードの送受信及びパスコードの送受信からなる一連の通信手順が複雑化しており、故障診断装置20と車載ECUとの通信を解禁する方法が不正な実施者に看破されにくくなっている。
【0027】
上述のようなセキュリティ機能により、車載ECUにおいてセキュリティを要する特定の項目を不正に実施されるのを防止できる。以下、そのようなセキュリティ機能の具体的手法について説明する。
【0028】
[ゲートウェイ1と故障診断装置20とが実行する処理]
つぎに、ゲートウェイ1と故障診断装置20とが実行する処理について、図2の処理シーケンスを参照しながら説明する。
【0029】
ゲートウェイ1は、エンジンONに伴う起動によって処理を開始すると、車内通信用の通信経路11a側と車外通信用の通信経路11b,11c側とを通して行われる故障診断装置20と車載ECUとの通信を遮断する通信不可状態にする(S100)。
【0030】
なお、本実施形態では、通信内容に関わらず故障診断装置20と車載ECUとの間で行われる通信を全て遮断することを想定している。一方、このようにする代わりに、故障診断装置20と車載ECUとの間の通信データの内容を監視し、特定のセキュリティ項目に関する特定通信に該当する通信データだけを遮断するような構成であってもよい。後者の場合、通信制限の対象となる特定通信は、例えば、イモビライザECUやスマートキーECUに登録されている始動許可や施錠/開錠用の認証コードへのアクセスに関する通信や、各車載ECUに記憶されているソフトウェアの書換えに関する通信、あるいは、各車載ECUにおいて作動の結果蓄積された学習データの初期化に関する通信等が挙げられる。上記の通信内容は特定通信として一例であり、これらの通信内容以外にも、方法によっては車両の盗難や不正利用、不適切なデータ改竄による不具合や性能低下等につながるおそれのある各種の通信内容を通信制限の対象とすることができる。
【0031】
一方、故障診断装置20は、データリンクコネクタ12を介して車載ネットワークに接続されると、通信経路11c及び11b経由の有線通信によりゲートウェイ1に対してシードコード要求メッセージを送信する(S102)。シードコード要求メッセージを受信したゲートウェイ1は、故障診断装置20と車載ECUとの通信の解禁に必要なパスコードの元となるシードコードを含むシードコード送信メッセージを、無線通信装置13を介した無線通信により要求元の故障診断装置20に対して送信する(S104)。
【0032】
なお、ここで行う無線通信は、故障診断装置20との間で直接通信してシードコードを送信するものが考えられる。あるいは、ゲートウェイ1が無線通信網40経由で外部サーバ装置30にアクセスしてシードコードを一旦転送し、要求元の故障診断装置20が無線通信網40経由で外部サーバ装置30にアクセスし、シードコードを受信するものであってもよい。また、ゲートウェイ1及び故障診断装置20がそれぞれ外部サーバ装置30にアクセスする際、各装置に対するアカウント認証等のセキュリティチェックを外部サーバ装置30が行うようにしてもよい。
【0033】
また、ゲートウェイ1が送信するシードコードは、例えば、予めメモリ等に記憶している既定のシードコードとパスコードの複数の組合せの中から何れかを選んで送信するようにしてもよいし、複数桁の乱数をその都度生成して送信するようにしてもよい。ただし、前者の場合、ゲートウェイ1と故障診断装置20とが、共通のシードコードとパスコードの組合せをそれぞれ持っていることが前提となる。また、後者の場合、ゲートウェイ1と故障診断装置20とが、シードコードに対応する唯一解となるパスコードを計算するための共通の関数やアルゴリズムをそれぞれ持っていることが前提となる。
【0034】
故障診断装置20は、無線通信によりゲートウェイ1からシードコードを受信すると、受信したシードコードに対応するパスコードを取得する(S106)。ここでは、例えば、予めメモリ等に記録されている既定のシードコードとパスコードの組合せ(ゲートウェイ1と共通)の中から受信したシードコードに対応するパスコードを検索して取得する。あるいは、受信したシードコードを規定の関数(ゲートウェイ1と共通)によって演算してパスコードを生成する。つぎに、S106で取得したパスコードを含むパスコード返信メッセージを、通信経路11c及び11b経由の有線通信によりゲートウェイ1に送信する(S108)。
【0035】
パスコード返信メッセージを受信したゲートウェイ1は、故障診断装置20から受信したパスコードと、当該故障診断装置20に送信したシードコードに対応する自らのパスコードとを照合する(S110)。ここでは、例えば、予めメモリ等に記録されている既定のシードコードとパスコードの組合せ(故障診断装置20と共通)の中から、今回送信したシードコードに対応するパスコードを取得して、それを故障診断装置20から受信したパスコードと照合する。あるいは、今回送信したシードコードを規定の関数(故障診断装置20と共通)によって演算してパスコードを生成し、それを故障診断装置20から受信したパスコードと照合する。
【0036】
パスコードの照合の結果、両者のパスコードが適合せずパスコードの認証が失敗した場合(S112:NO)、S100に戻り通信不可状態を継続する。一方、両者のパスコードが適合しパスコードの認証が成功した場合(S112:YES)、故障診断装置20と車載ECUとの間の通信を許可する通信可能状態に移行する(S114)。
【0037】
故障診断装置20は、ゲートウェイ1が通信可能状態に移行した後、通信経路11a〜11cを通じて車載ECUとの間の通信を開始する。
[変形例]
以上、本発明の一実施形態について説明したが、本発明は上記の実施形態に何ら限定されるものではなく様々な態様にて実施することが可能である。
【0038】
例えば、上述の実施形態では、シードコードの送受信を行う際の通信経路(本発明における第1の通信経路に相当する。)に無線通信を採用し、パスコードの送受信を行う際の通信経路(本発明における第2の通信経路に相当する。)に有線通信を採用した事例について説明した。これとは逆に、シードコードの送受信を行う際の通信経路に有線通信を採用し、パスコードの送受信を行う際の通信経路に無線通信を採用してもよい。
【0039】
あるいは、無線通信の代わりに、ゲートウェイ1等に電源を供給する電力線を通信回線として利用する電力線搬送通信(PLC;Power Line Communication)を採用してもよい。その場合、例えば、第1の通信経路としてCAN(Controller Area Network)やシリアル通信等の通信専用回路による有線通信を採用し、第2の通信経路として電力線搬送通信を採用することが考えらえる(その逆でも可)。
【0040】
[効果]
上記実施形態の車両用通信システムによれば、以下のような効果を奏する。
ゲートウェイ1から送信されたシードコードに適合するパスコードが外部通信装置から返信されない限り、不正なアクセスを目的とする外部通信装置は当然のこと、正規の故障診断装置20であっても車載ECUとの間で通信ができないように通信を制限できる。つまり、ゲートウェイ1から通知されたシードコード対応する正しいパスコードを返信できる機能を持つ故障診断装置20でなければ、車載ECUへのアクセスを行うことができないため、車載ECUにおいてセキュリティを要する作業を不正に実施されるのを防止できる。
【0041】
また、パスコードとの照合を利用した認証方法による高い防犯性に加え、シードコード及びパスコードを送受信する通信経路を無線通信と有線通信とで別個したことで、認証のための通信手順が複雑化し、車載ECUとの通信を解禁する方法を不正な実施者に看破されにくい。特に、2つの通信経路のうち一方を無線通信としたことで、不正な実施者に対して通信経路を見た目に判別しにくくする効果があると共に、故障診断装置20が有線通信及び無線通信のそれぞれに対応した2つの通信インタフェースを備えることが必須となり、それらを備えない正規外の外部通信装置による不正なアクセスを排除できるという利点がある。
【符号の説明】
【0042】
1…ゲートウェイ、10…車両、11a,11b,11c…通信経路、12…データリンクコネクタ、13…無線通信装置、20…故障診断装置、30…外部サーバ装置、40…無線通信網。
【特許請求の範囲】
【請求項1】
車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、前記電子制御装置と前記外部通信装置との間の通信を中継する車載中継装置であって、
前記外部通信装置と前記車載中継装置との間で通信可能な第1の通信経路を通じてシードコードを前記外部通信装置に対して送信するシードコード送信手段と、
前記外部通信装置と前記車載中継装置との間で通信可能な通信経路であって前記第1の通信経路とは異なる第2の通信経路を通じて、前記シードコードの送信に応じて前記外部通信装置から返信されるパスコードを受信するパスコード受信手段と、
所定の通信可能条件が未成立である間、前記外部通信装置と前記電子制御装置との通信を遮断しており、前記外部通信装置に送信したシードコードに対応する自らのパスコードと当該外部通信装置から受信したパスコードとを照合し、両者が適合したことを条件に、前記外部通信装置と前記電子制御装置との通信を可能にする通信制御手段を備えること
を特徴とする車載中継装置。
【請求項2】
請求項1に記載の車載中継装置において、
前記第1の通信経路及び前記第2の通信経路のうち一方が無線通信であり、他方が有線通信であること
を特徴とする車載中継装置。
【請求項3】
請求項2に記載の車載中継装置において、
前記無線通信では、前記車載中継装置及び前記外部通信装置のうちシードコード又はパスコードの送信側が、外部ネットワークに無線接続してこの外部ネットワークに接続する所定の外部サーバに送信すべきシードコード又はパスコードを転送し、対する受信側が、前記外部ネットワークに無線接続して前記送信側によって前記外部サーバに転送されたシードコード又はパスコードを受信すること
を特徴とする車載中継装置。
【請求項4】
請求項1に記載の車載中継装置が搭載された車両の車外通信用の通信経路を通じて当該車両の車載ネットワークに接続し、この車載ネットワーク内の電子制御装置との間で通信を行う外部通信装置であって、
前記第1の通信経路を通じてシードコードを前記車載中継装置から受信するシードコード受信手段と、
前記シードコード受信手段により受信したシードコードに対応するパスコードを取得し、そのパスコードを前記第2の通信経路を通じて前記車載中継装置に返信するパスコード返信手段と、
前記パスコード返信手段によるパスコードの返信の送信の結果、前記車載中継装置により通信可能な状態に移行したことを条件に、前記電子制御装置との通信を行う通信手段とを備えること
を特徴とする外部通信装置。
【請求項1】
車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、前記電子制御装置と前記外部通信装置との間の通信を中継する車載中継装置であって、
前記外部通信装置と前記車載中継装置との間で通信可能な第1の通信経路を通じてシードコードを前記外部通信装置に対して送信するシードコード送信手段と、
前記外部通信装置と前記車載中継装置との間で通信可能な通信経路であって前記第1の通信経路とは異なる第2の通信経路を通じて、前記シードコードの送信に応じて前記外部通信装置から返信されるパスコードを受信するパスコード受信手段と、
所定の通信可能条件が未成立である間、前記外部通信装置と前記電子制御装置との通信を遮断しており、前記外部通信装置に送信したシードコードに対応する自らのパスコードと当該外部通信装置から受信したパスコードとを照合し、両者が適合したことを条件に、前記外部通信装置と前記電子制御装置との通信を可能にする通信制御手段を備えること
を特徴とする車載中継装置。
【請求項2】
請求項1に記載の車載中継装置において、
前記第1の通信経路及び前記第2の通信経路のうち一方が無線通信であり、他方が有線通信であること
を特徴とする車載中継装置。
【請求項3】
請求項2に記載の車載中継装置において、
前記無線通信では、前記車載中継装置及び前記外部通信装置のうちシードコード又はパスコードの送信側が、外部ネットワークに無線接続してこの外部ネットワークに接続する所定の外部サーバに送信すべきシードコード又はパスコードを転送し、対する受信側が、前記外部ネットワークに無線接続して前記送信側によって前記外部サーバに転送されたシードコード又はパスコードを受信すること
を特徴とする車載中継装置。
【請求項4】
請求項1に記載の車載中継装置が搭載された車両の車外通信用の通信経路を通じて当該車両の車載ネットワークに接続し、この車載ネットワーク内の電子制御装置との間で通信を行う外部通信装置であって、
前記第1の通信経路を通じてシードコードを前記車載中継装置から受信するシードコード受信手段と、
前記シードコード受信手段により受信したシードコードに対応するパスコードを取得し、そのパスコードを前記第2の通信経路を通じて前記車載中継装置に返信するパスコード返信手段と、
前記パスコード返信手段によるパスコードの返信の送信の結果、前記車載中継装置により通信可能な状態に移行したことを条件に、前記電子制御装置との通信を行う通信手段とを備えること
を特徴とする外部通信装置。
【図1】
【図2】
【図2】
【公開番号】特開2013−103611(P2013−103611A)
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願番号】特願2011−248881(P2011−248881)
【出願日】平成23年11月14日(2011.11.14)
【出願人】(000004260)株式会社デンソー (27,639)
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願日】平成23年11月14日(2011.11.14)
【出願人】(000004260)株式会社デンソー (27,639)
[ Back to top ]