車載中継装置
【課題】不正な実施者により車載ネットワークに接続された外部通信装置による車載ECUへのアクセスを防止する。
【解決手段】ゲートウェイ1は、車両外の故障診断装置20と車載ネットワークとの間の通信経路に介在し、所定の通信可能条件が未成立である間、故障診断装置20と車載ネットワーク内のECUとの間における特定のセキュリティ項目に関する特定通信を遮断している。そして、イモビライザ制御によるエンジン/走行システムの始動や、スマートキー制御によるドアの施錠/開錠等といった正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、特定通信を可能にする。
【解決手段】ゲートウェイ1は、車両外の故障診断装置20と車載ネットワークとの間の通信経路に介在し、所定の通信可能条件が未成立である間、故障診断装置20と車載ネットワーク内のECUとの間における特定のセキュリティ項目に関する特定通信を遮断している。そして、イモビライザ制御によるエンジン/走行システムの始動や、スマートキー制御によるドアの施錠/開錠等といった正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、特定通信を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両に搭載された電子制御装置と車両の外部で用いられる外部通信装置との通信経路に介在して、それら電子制御装置と外部通信装置との間で行われるデータ通信の中継を行う車載中継装置に関する。
【背景技術】
【0002】
従来、車両に搭載された電子制御装置(Electronic Control Unit;以下、ECUとも称する。)の診断を行う際には、修理工場等に用意されている故障診断装置等の外部通信装置が利用されている。この種の故障診断装置は、通常、修理工場等に入庫した車両に備えられたコネクタに有線接続され、これにより、故障診断装置が車載ネットワーク経由で車載ECUと通信可能になり、修理担当者が故障診断装置を直接操作することで、車載ECUから各種情報を取得したり車載ECU内のデータを更新できる。
【0003】
また、特許文献1には、この種の故障診断装置に修理担当者に対する認証機能を持たせることで、セキュリティを要する特殊作業に関する項目を適格ではない操作者が不用意に実施することを防ぐ技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されているような従来技術では、故障診断装置側に備えられた認証機能によってセキュリティを確保することが考慮されているのみであり、車載ECUに対する不正なアクセスを防止するための車両側のセキュリティ対策については考慮されていない。そのため、車載ECUに対する不正なアクセスを目的とする外部通信装置が車両側のコネクタに接続され、この外部通信装置が車載ネットワーク経由で車載ECUと通信可能となることで、セキュリティに関する重要な作業が不正に実施されるおそれがある。例えば、外部通信装置によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUに不正にアクセスされ、認証コードを読出されたり別の認証コードに書換えられたりするといった具合に、車両の不正利用や盗難につながる重要な情報が不正に入手されたり改竄されてしまうという問題がある。
【0006】
本発明は上記問題を解決するためになされており、不正な実施者により車載ネットワークに接続された外部通信装置による車載ECUへのアクセスを防止するための技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
上記目的を達成するためになされた本発明は、車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、これらの電子制御装置と外部通信装置との間の通信を中継する車載中継装置に関するものである。
【0008】
本発明の車載中継装置は通信制御手段を備える。この通信制御手段は、所定の通信可能条件が未成立である間、外部通信装置と電子制御装置との間における特定のセキュリティ項目に関する特定通信を遮断している。そして、車載ネットワーク内の特定の車載機器により正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、特定通信を可能にする。
【0009】
このように構成された本発明によれば、車両側において正規の実施者を確認する認証が成功しない限り、不正なアクセスを目的とする外部通信装置はおろかメーカー純正の故障診断装置のような正規の外部通信装置を以ってしても、車載ECUとの間でセキュリティに関する特定の通信ができないように制限できる。よって、外部通信装置を通じて車載ECUに対してセキュリティを要する特定作業を行う場合、その特定作業は正規の実施者のみ実施可能となり、不正な実施者により車載ネットワークに接続された外部通信装置による特定作業の実施を防止できる。
【0010】
一方、通信制御手段が、通信可能条件の成立により特定通信を可能する状態に移行した後、所定時間経過後に当該特定通信を遮断する状態に復帰するように構成することも考えられる(請求項2)。このようにすることで、車両において認証を要する操作が行われ、車載中継装置がセキュリティを要する特定通信を解禁した後、特定通信が可能な状態が無用に長く継続されることがなく、安全性を高めることができる。
【0011】
さらに、通信制御手段が、特定通信を可能にしている期間中において、車外通信用の通信経路に接続した外部通信装置から延長要求を受けた場合、通信可能な期間を延長するように構成することも考えられる。このようにすることで、外部通信装置による作業の途中で時間経過のために作業に必要な通信が遮断されることがない。その後、外部通信装置による作業が終了して延長要求が出されなくなれば特定通信を遮断する状態に復帰するので、安全性が確保される。
【0012】
ところで、本発明の車載中継装置が特定通信を解禁するための条件となる特定の車載機器のとしては、イモビライザ制御装置が挙げられる(請求項4)。このイモビライザ制御装置は、始動許可用の認証コードが記録された専用キーから前記認証コードを読取り、その読取った認証コードが予め登録されている認証コードと適合することを条件にエンジン又は走行システムの始動(いわゆるReady-ON)を許可する車載ECUの一種である。そして、専用キーによるエンジン又は走行システムの始動操作が操作者によって行われ、その結果、イモビライザ制御装置が認証コードの適合によりエンジン又は走行システムの始動を許可した場合に、通信制御手段が特定通信を可能にするように構成することが考えられる。
【0013】
あるいは、本発明の車載中継装置が特定通信を解禁するための条件となる特定の車載機器のとしてキー制御装置が挙げられる(請求項5)。このキー制御装置は、ドア施錠・開錠用の認証コードが記録された専用キーとの無線通信を通じて認証コードを受信し、その受信した認証コードが予め登録されている認証コードと適合することを条件にドアの施錠・開錠制御を行う車載ECUの一種である。そして、専用キーによるドアの施錠又は開錠が操作者によって行われ、その結果、キー制御装置が認証コードの適合によりドアの施錠・開錠制御を実施した場合に、特定通信を可能にすることが考えられる。
【0014】
上述のイモビライザ制御装置やキー制御装置で扱われる認証コードは、何れもそれぞれのシステムに対応した専用キーから読取られるものであるが、その認証コードの高い防犯性に加え、認証コードが登録された専用キーを所持していること自体が正当な実施者であることを証明する有力な根拠となる。よって、イモビライザ制御装置やキー制御装置による認証を伴うエンジンや走行システムの始動、あるいはドアの施錠/開錠といった操作が正常に実施されたことを特定通信の解禁の条件とすることで、不正な実施者によるセキュリティを要する特定作業の実施を有効に防止できる。
【0015】
ところで、本発明の車載中継装置による制限対象となる特定通信としては、イモビライザ制御装置又はキー制御装置に登録されている認証コードへのアクセスに関する外部通信装置からの通信が挙げられる(請求項6)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、車両の盗難や不正利用に関わる重要な情報の流出や改ざんを防止できる。
【0016】
あるいは、本発明の車載中継装置による制限対象となる特定通信としては、車載ネットワーク内の電子制御装置に記憶されているソフトウェアの書換えに関する外部通信装置からの通信が挙げられる(請求項7)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、適正でない実施者が不用意に車載ECUのソフトウェアを書換えて不具合が発生することを防止できる。
【0017】
あるいは、本発明の車載中継装置による制限対象となる特定通信としては、車載ネットワーク内の電子制御装置において作動の結果蓄積された学習データの初期化に関する外部通信装置からの通信が挙げられる(請求項8)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、適正でない実施者が不用意に車載ECUの学習データを初期化してしまい、折角の蓄積された学習データをふいにして車載ECUの性能を低下させることを防止できる。
【図面の簡単な説明】
【0018】
【図1】本発明の車載中継装置の一例として示すゲートウェイと他の装置によって構成される車両用通信システム全体の構成図である。
【図2】ゲートウェイが実行する通信制御処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0019】
以下、本発明の一実施形態を図面に基づいて説明する。なお、本発明は下記の実施形態に何ら限定されるものではなく様々な態様にて実施することが可能である。
[車両用通信システム全体の構成]
図1に示すように、本発明の車載通信装置の一例として示すゲートウェイ1は、車両10に搭載されている。また、この車両10には、複数のECU#1〜ECU#n(本発明でいう電子制御装置の一例に相当。以下、単に車載ECUとも表記する。)が搭載され、ゲートウェイ1とこれらの車載ECUとが車内通信用の通信経路11aを介して車載ネットワークが構成されている。
【0020】
また、車両10には、故障診断装置20等の外部通信装置を車載ネットワークに通信可能に接続するためのデータリンクコネクタ12が設けられている。この、データリンクコネクタ12が車外通信用の通信経路11bを介してゲートウェイ1と接続されることにより、ゲートウェイ1は車載ネットワークに故障診断装置20等の外部通信装置を通信可能に接続するための通信経路に介在する形で配置される。
【0021】
車載ネットワークを構成する車載ECUは、CPU,ROM,RAM,通信I/F等(図示省略)を備える周知のマイクロコンピュータを中心に構成されており、様々な機能別に複数の車載ECUが搭載されている。具体的には、エンジンや走行モータ、トランスミッション等の走行システムを制御対象にする制御系ECU群や、メータ、灯火、エアバッグ等のボディ系の機器を制御対象にするボディ系ECU群、ナビゲーションやオーディオビジュアル等の各種情報提供を行う情報機器に属する情報系ECU群といったものが挙げられる。さらに、電子キー30の照合によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUや、電子キー30との通信によってドアの施錠/開錠を自動的に行うスマートキーECUといったセキュリティ系の各種ECU等も挙げられる。
【0022】
上記車載ネットワーク上の各機器は、各機器間で共有データを送受信できるように、予め定められた通信プロトコルに準拠した方式で相互に通信可能に構成されている。なお、車載ネットワークに採用される通信プロトコルについては周知なので、ここでの説明については省略する。
【0023】
ゲートウェイ1は、周知のCPU,ROM,RAM等を備えたマイクロコンピュータや、上記車載ネットワーク上の各車載ECUとデータリンクコネクタ12を介して接続される外部通信装置との間の通信を中継するための入出力インターフェース等を備えてなる。なお、ゲートウェイ1は、専用の車載ECUとして構成してもよいし、例えば、エンジン統合ECU等といった車両制御用の車載ECUがゲートウェイ1としての機能を併せ持つ構成であってもよい。
【0024】
車両10の外部には、故障診断装置20(本発明でいう外部通信装置の一例に相当。)が設けられている。この故障診断装置20は、車載ECUの故障診断やデータの書換え等を行うため、車載ECUとの間で各種通信を行う装置である。本実施形態において、故障診断装置20は、修理工場等に設けられる装置であり、車両10が修理工場等で整備を受ける際、車両10が備えるデータリンクコネクタ12を通じて車両10と有線接続される。車両10と故障診断装置20がデータリンクコネクタ12を通じて有線接続された場合、ゲートウェイ1が提供するゲートウェイ機能により、故障診断装置20と各車載ECUは、ゲートウェイ1経由で相互に通信可能となる。
【0025】
これについて、ゲートウェイ1は、車載ECUと故障診断装置20との間におけるセキュリティ項目に関する特定通信に対して通信可能な条件を制限するセキュリティ機能を有する。それは、正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証された場合のみ、車載ECUと故障診断装置20との間におけるセキュリティ項目に関する特定通信を一定期間許可するモードに移行し、それ以外の期間は、特定通信を遮断するものである。これにより、不正な実施者により車載ネットワークに接続された外部通信装置による車載ECUに対する特定作業の実施を防止できる。以下、そのようなセキュリティ機能の具体的手法について説明する。
【0026】
[ゲートウェイ1が実行する処理]
つぎに、ゲートウェイ1が実行する処理について、図2のフローチャートを参照しながら説明する。図2に示す処理は、ゲートウェイ1の起動に伴って開始され、ゲートウェイ1が稼働状態にある限り継続的に実行される処理である。
【0027】
ゲートウェイ1は処理を開始すると、車内通信用の通信経路11a側と車外通信用の通信経路11b側とを通して行われるセキュリティ関連の特定通信を遮断する通信不可状態にする(S100)。ここでは、車載ネットワーク内の車載ECUと、データリンクコネクタに接続された外部通信装置との間の通信データの内容を監視し、特定のセキュリティ項目に関する特定通信に該当する通信データを遮断する。
【0028】
ここでの通信制限の対象となる特定通信は、例えば、イモビライザECUやスマートキーECUに登録されている始動許可や施錠/開錠用の認証コードへのアクセスに関する通信や、各車載ECUに記憶されているソフトウェアの書換えに関する通信、あるいは、各車載ECUにおいて作動の結果蓄積された学習データの初期化に関する通信等が挙げられる。上記の通信内容は特定通信として一例であり、これらの通信内容以外にも、方法によっては車両の盗難や不正利用、不適切なデータ改竄による不具合や性能低下等につながるおそれのある各種の通信内容を通信制限の対象とすることができる。
【0029】
なお、本実施形態では、上述のような特定通信を遮断する状態においても、特定通信以外の通信内容については通信可能にすることを想定しているが、通信内容に関わらず全ての通信を遮断するような構成であってもよい。
【0030】
つぎに、ゲートウェイ1は、イモビライザECUによる電子キー30の認証の成功を経て、車両のエンジンが始動(エンジンON;エンジン車の場合)、あるいは走行システムが始動(Ready-ON;ハイブリッドカー、電気自動車、プラグインハイブリッドカー等の場合)したか否かを判断する(S102)。イモビライザECUは、車両を始動するための認証コードが登録された正規の電子キー30を用いた操作者から始動操作を受付けた場合、電子キー30から読取った認証コードと予め登録されている認証コードとを照合し、これらが適合することを条件にエンジン又は走行システムの始動を許可する。ゲートウェイ1は、イモビライザECUがエンジン又は走行システムの始動を許可したときの車載ネットワーク内における通信内容に基づいて、エンジン又は走行システムの始動を判断する。
【0031】
なお、S102における判断では、イモビライザECUによるエンジン又は走行システムの始動の有無を判断する他に、スマートキーECUによる車両のドアの開錠/施錠が行われたか否かを判断するような構成であってもよい。スマートキーECUは、ドアの施錠/開錠をするための認証コードが登録された正規の電子キー30を用いた操作者から施錠/開錠操作を受付けた場合、電子キー30から読取った認証コードと予め登録されている認証コードとを照合し、これらが適合することを条件にドアの施錠/開錠を実行する。ゲートウェイ1は、スマートキーECUが施錠/開錠を実行したときの車載ネットワーク内における通信内容に基づいて、ドアの開錠/施錠操作が行われたか否かを判断する。
【0032】
フローチャートの説明に戻る。S102でエンジン又は走行システムの始動が行われていない場合(S102:NO)、S100に戻り、エンジン又は走行システムの始動が行われた場合(S102:YES)、S104に進む。
【0033】
エンジン又は走行システムの始動が行われた場合に進むS104では、一旦始動したエンジン又は走行システムが再びOFFにされるのを待つ。これは、故障診断装置20による車載ネットワークの診断作業を行う際にはエンジン又は走行システムをOFFにすることを前提としているためである。
【0034】
そして、S104でエンジン又は走行システムがOFFにされた後、特定通信を許可する通信可能状態に移行し、特定通信を許可する所定時間(以下、許可時間)のカウントダウンを開始する(S106)。続いて、データリンクコネクタ12を介して接続している故障診断装置20から通信可能状態の継続を要求する継続通信を受信したか否かを判定する(S108)。故障診断装置20から継続通信を受信している場合(S108:YES)、許可時間のカウントダウンを初期値にリセットした後(S109)、S106に戻り通信可能状態を継続すると共に許可時間のカウントダウンを開始する。この継続通信の受信が通信可能状態の延長条件となっている。一方、故障診断装置20から継続通信を受信していない場合(S108:NO)、S110に進む。
【0035】
故障診断装置20から継続通信を受信していない場合に進むS110では、特定通信に対する通信可能状態に移行してから所定時間が経過したか否か(すなわち、許可時間のカウントダウンが最後まで完了したか否か)を判定する。許可時間のカウントダウンが未完了である場合(S110:NO)、S106に戻り通信可能状態を継続すると共に、許可時間のカウントダウンをそのまま継続する。一方、許可時間のカウントダウンが完了している場合(S110:YES)、S100に戻り特定通信を遮断する通信不可状態に復帰する。
【0036】
[効果]
上記実施形態のゲートウェイ1によれば、以下のような効果を奏する。
例えば、イモビライザ制御によるエンジン又は走行システムの始動や、スマートキー制御によるドアの施錠/開錠のように、正規の実施者の認証を伴う操作が行われない限り、不正なアクセスを目的とする外部通信装置はおろか正規の故障診断装置20を以ってしても、車載ECUとの間でセキュリティに関する特定の通信ができないように制限できる。故障診断装置20を通じて車載ECUに対してセキュリティを要する特定作業を行う場合、その特定作業は正規の実施者のみ実施可能となり、不正な実施者による特定作業の実施を防止できる。上述のイモビライザ制御やスマートキー制御で扱われる認証コードは、何れもそれぞれのシステムに対応した電子キー30から読取られるものであるが、その認証コードの高い防犯性に加え、認証コードが登録された電子キー30を所持していること自体が正当な実施者であることを証明する有力な根拠となる。
【0037】
ゲートウェイ1が、特定通信が可能な通信可能状態に移行した後、所定時間経過後に特定通信が不可能な遮断状態に復帰するように構成したことで、特定通信が可能な状態が無用に長く継続されることがなく、安全性を高めることができる。また、ゲートウェイ1が故障診断装置20から継続通信を受信したことを条件に通信可能状態を延長する構成にしたことで、故障診断装置20による作業の途中で作業に必要な通信が遮断されることがない。その後、故障診断装置20による作業が終了して継続通信が出されなくなれば特定通信を遮断する状態に復帰するので、安全性が確保される。
【符号の説明】
【0038】
1…ゲートウェイ、10…車両、11a,11b…通信経路、12…データリンクコネクタ、20…故障診断装置、30…電子キー。
【技術分野】
【0001】
本発明は、車両に搭載された電子制御装置と車両の外部で用いられる外部通信装置との通信経路に介在して、それら電子制御装置と外部通信装置との間で行われるデータ通信の中継を行う車載中継装置に関する。
【背景技術】
【0002】
従来、車両に搭載された電子制御装置(Electronic Control Unit;以下、ECUとも称する。)の診断を行う際には、修理工場等に用意されている故障診断装置等の外部通信装置が利用されている。この種の故障診断装置は、通常、修理工場等に入庫した車両に備えられたコネクタに有線接続され、これにより、故障診断装置が車載ネットワーク経由で車載ECUと通信可能になり、修理担当者が故障診断装置を直接操作することで、車載ECUから各種情報を取得したり車載ECU内のデータを更新できる。
【0003】
また、特許文献1には、この種の故障診断装置に修理担当者に対する認証機能を持たせることで、セキュリティを要する特殊作業に関する項目を適格ではない操作者が不用意に実施することを防ぐ技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平9−250970号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されているような従来技術では、故障診断装置側に備えられた認証機能によってセキュリティを確保することが考慮されているのみであり、車載ECUに対する不正なアクセスを防止するための車両側のセキュリティ対策については考慮されていない。そのため、車載ECUに対する不正なアクセスを目的とする外部通信装置が車両側のコネクタに接続され、この外部通信装置が車載ネットワーク経由で車載ECUと通信可能となることで、セキュリティに関する重要な作業が不正に実施されるおそれがある。例えば、外部通信装置によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUに不正にアクセスされ、認証コードを読出されたり別の認証コードに書換えられたりするといった具合に、車両の不正利用や盗難につながる重要な情報が不正に入手されたり改竄されてしまうという問題がある。
【0006】
本発明は上記問題を解決するためになされており、不正な実施者により車載ネットワークに接続された外部通信装置による車載ECUへのアクセスを防止するための技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
上記目的を達成するためになされた本発明は、車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、これらの電子制御装置と外部通信装置との間の通信を中継する車載中継装置に関するものである。
【0008】
本発明の車載中継装置は通信制御手段を備える。この通信制御手段は、所定の通信可能条件が未成立である間、外部通信装置と電子制御装置との間における特定のセキュリティ項目に関する特定通信を遮断している。そして、車載ネットワーク内の特定の車載機器により正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、特定通信を可能にする。
【0009】
このように構成された本発明によれば、車両側において正規の実施者を確認する認証が成功しない限り、不正なアクセスを目的とする外部通信装置はおろかメーカー純正の故障診断装置のような正規の外部通信装置を以ってしても、車載ECUとの間でセキュリティに関する特定の通信ができないように制限できる。よって、外部通信装置を通じて車載ECUに対してセキュリティを要する特定作業を行う場合、その特定作業は正規の実施者のみ実施可能となり、不正な実施者により車載ネットワークに接続された外部通信装置による特定作業の実施を防止できる。
【0010】
一方、通信制御手段が、通信可能条件の成立により特定通信を可能する状態に移行した後、所定時間経過後に当該特定通信を遮断する状態に復帰するように構成することも考えられる(請求項2)。このようにすることで、車両において認証を要する操作が行われ、車載中継装置がセキュリティを要する特定通信を解禁した後、特定通信が可能な状態が無用に長く継続されることがなく、安全性を高めることができる。
【0011】
さらに、通信制御手段が、特定通信を可能にしている期間中において、車外通信用の通信経路に接続した外部通信装置から延長要求を受けた場合、通信可能な期間を延長するように構成することも考えられる。このようにすることで、外部通信装置による作業の途中で時間経過のために作業に必要な通信が遮断されることがない。その後、外部通信装置による作業が終了して延長要求が出されなくなれば特定通信を遮断する状態に復帰するので、安全性が確保される。
【0012】
ところで、本発明の車載中継装置が特定通信を解禁するための条件となる特定の車載機器のとしては、イモビライザ制御装置が挙げられる(請求項4)。このイモビライザ制御装置は、始動許可用の認証コードが記録された専用キーから前記認証コードを読取り、その読取った認証コードが予め登録されている認証コードと適合することを条件にエンジン又は走行システムの始動(いわゆるReady-ON)を許可する車載ECUの一種である。そして、専用キーによるエンジン又は走行システムの始動操作が操作者によって行われ、その結果、イモビライザ制御装置が認証コードの適合によりエンジン又は走行システムの始動を許可した場合に、通信制御手段が特定通信を可能にするように構成することが考えられる。
【0013】
あるいは、本発明の車載中継装置が特定通信を解禁するための条件となる特定の車載機器のとしてキー制御装置が挙げられる(請求項5)。このキー制御装置は、ドア施錠・開錠用の認証コードが記録された専用キーとの無線通信を通じて認証コードを受信し、その受信した認証コードが予め登録されている認証コードと適合することを条件にドアの施錠・開錠制御を行う車載ECUの一種である。そして、専用キーによるドアの施錠又は開錠が操作者によって行われ、その結果、キー制御装置が認証コードの適合によりドアの施錠・開錠制御を実施した場合に、特定通信を可能にすることが考えられる。
【0014】
上述のイモビライザ制御装置やキー制御装置で扱われる認証コードは、何れもそれぞれのシステムに対応した専用キーから読取られるものであるが、その認証コードの高い防犯性に加え、認証コードが登録された専用キーを所持していること自体が正当な実施者であることを証明する有力な根拠となる。よって、イモビライザ制御装置やキー制御装置による認証を伴うエンジンや走行システムの始動、あるいはドアの施錠/開錠といった操作が正常に実施されたことを特定通信の解禁の条件とすることで、不正な実施者によるセキュリティを要する特定作業の実施を有効に防止できる。
【0015】
ところで、本発明の車載中継装置による制限対象となる特定通信としては、イモビライザ制御装置又はキー制御装置に登録されている認証コードへのアクセスに関する外部通信装置からの通信が挙げられる(請求項6)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、車両の盗難や不正利用に関わる重要な情報の流出や改ざんを防止できる。
【0016】
あるいは、本発明の車載中継装置による制限対象となる特定通信としては、車載ネットワーク内の電子制御装置に記憶されているソフトウェアの書換えに関する外部通信装置からの通信が挙げられる(請求項7)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、適正でない実施者が不用意に車載ECUのソフトウェアを書換えて不具合が発生することを防止できる。
【0017】
あるいは、本発明の車載中継装置による制限対象となる特定通信としては、車載ネットワーク内の電子制御装置において作動の結果蓄積された学習データの初期化に関する外部通信装置からの通信が挙げられる(請求項8)。これらの特定通信を正規の実施者についてのみ実施可能とすることで、適正でない実施者が不用意に車載ECUの学習データを初期化してしまい、折角の蓄積された学習データをふいにして車載ECUの性能を低下させることを防止できる。
【図面の簡単な説明】
【0018】
【図1】本発明の車載中継装置の一例として示すゲートウェイと他の装置によって構成される車両用通信システム全体の構成図である。
【図2】ゲートウェイが実行する通信制御処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0019】
以下、本発明の一実施形態を図面に基づいて説明する。なお、本発明は下記の実施形態に何ら限定されるものではなく様々な態様にて実施することが可能である。
[車両用通信システム全体の構成]
図1に示すように、本発明の車載通信装置の一例として示すゲートウェイ1は、車両10に搭載されている。また、この車両10には、複数のECU#1〜ECU#n(本発明でいう電子制御装置の一例に相当。以下、単に車載ECUとも表記する。)が搭載され、ゲートウェイ1とこれらの車載ECUとが車内通信用の通信経路11aを介して車載ネットワークが構成されている。
【0020】
また、車両10には、故障診断装置20等の外部通信装置を車載ネットワークに通信可能に接続するためのデータリンクコネクタ12が設けられている。この、データリンクコネクタ12が車外通信用の通信経路11bを介してゲートウェイ1と接続されることにより、ゲートウェイ1は車載ネットワークに故障診断装置20等の外部通信装置を通信可能に接続するための通信経路に介在する形で配置される。
【0021】
車載ネットワークを構成する車載ECUは、CPU,ROM,RAM,通信I/F等(図示省略)を備える周知のマイクロコンピュータを中心に構成されており、様々な機能別に複数の車載ECUが搭載されている。具体的には、エンジンや走行モータ、トランスミッション等の走行システムを制御対象にする制御系ECU群や、メータ、灯火、エアバッグ等のボディ系の機器を制御対象にするボディ系ECU群、ナビゲーションやオーディオビジュアル等の各種情報提供を行う情報機器に属する情報系ECU群といったものが挙げられる。さらに、電子キー30の照合によって車両盗難を防止するためのイモビライザ制御を行うイモビライザECUや、電子キー30との通信によってドアの施錠/開錠を自動的に行うスマートキーECUといったセキュリティ系の各種ECU等も挙げられる。
【0022】
上記車載ネットワーク上の各機器は、各機器間で共有データを送受信できるように、予め定められた通信プロトコルに準拠した方式で相互に通信可能に構成されている。なお、車載ネットワークに採用される通信プロトコルについては周知なので、ここでの説明については省略する。
【0023】
ゲートウェイ1は、周知のCPU,ROM,RAM等を備えたマイクロコンピュータや、上記車載ネットワーク上の各車載ECUとデータリンクコネクタ12を介して接続される外部通信装置との間の通信を中継するための入出力インターフェース等を備えてなる。なお、ゲートウェイ1は、専用の車載ECUとして構成してもよいし、例えば、エンジン統合ECU等といった車両制御用の車載ECUがゲートウェイ1としての機能を併せ持つ構成であってもよい。
【0024】
車両10の外部には、故障診断装置20(本発明でいう外部通信装置の一例に相当。)が設けられている。この故障診断装置20は、車載ECUの故障診断やデータの書換え等を行うため、車載ECUとの間で各種通信を行う装置である。本実施形態において、故障診断装置20は、修理工場等に設けられる装置であり、車両10が修理工場等で整備を受ける際、車両10が備えるデータリンクコネクタ12を通じて車両10と有線接続される。車両10と故障診断装置20がデータリンクコネクタ12を通じて有線接続された場合、ゲートウェイ1が提供するゲートウェイ機能により、故障診断装置20と各車載ECUは、ゲートウェイ1経由で相互に通信可能となる。
【0025】
これについて、ゲートウェイ1は、車載ECUと故障診断装置20との間におけるセキュリティ項目に関する特定通信に対して通信可能な条件を制限するセキュリティ機能を有する。それは、正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証された場合のみ、車載ECUと故障診断装置20との間におけるセキュリティ項目に関する特定通信を一定期間許可するモードに移行し、それ以外の期間は、特定通信を遮断するものである。これにより、不正な実施者により車載ネットワークに接続された外部通信装置による車載ECUに対する特定作業の実施を防止できる。以下、そのようなセキュリティ機能の具体的手法について説明する。
【0026】
[ゲートウェイ1が実行する処理]
つぎに、ゲートウェイ1が実行する処理について、図2のフローチャートを参照しながら説明する。図2に示す処理は、ゲートウェイ1の起動に伴って開始され、ゲートウェイ1が稼働状態にある限り継続的に実行される処理である。
【0027】
ゲートウェイ1は処理を開始すると、車内通信用の通信経路11a側と車外通信用の通信経路11b側とを通して行われるセキュリティ関連の特定通信を遮断する通信不可状態にする(S100)。ここでは、車載ネットワーク内の車載ECUと、データリンクコネクタに接続された外部通信装置との間の通信データの内容を監視し、特定のセキュリティ項目に関する特定通信に該当する通信データを遮断する。
【0028】
ここでの通信制限の対象となる特定通信は、例えば、イモビライザECUやスマートキーECUに登録されている始動許可や施錠/開錠用の認証コードへのアクセスに関する通信や、各車載ECUに記憶されているソフトウェアの書換えに関する通信、あるいは、各車載ECUにおいて作動の結果蓄積された学習データの初期化に関する通信等が挙げられる。上記の通信内容は特定通信として一例であり、これらの通信内容以外にも、方法によっては車両の盗難や不正利用、不適切なデータ改竄による不具合や性能低下等につながるおそれのある各種の通信内容を通信制限の対象とすることができる。
【0029】
なお、本実施形態では、上述のような特定通信を遮断する状態においても、特定通信以外の通信内容については通信可能にすることを想定しているが、通信内容に関わらず全ての通信を遮断するような構成であってもよい。
【0030】
つぎに、ゲートウェイ1は、イモビライザECUによる電子キー30の認証の成功を経て、車両のエンジンが始動(エンジンON;エンジン車の場合)、あるいは走行システムが始動(Ready-ON;ハイブリッドカー、電気自動車、プラグインハイブリッドカー等の場合)したか否かを判断する(S102)。イモビライザECUは、車両を始動するための認証コードが登録された正規の電子キー30を用いた操作者から始動操作を受付けた場合、電子キー30から読取った認証コードと予め登録されている認証コードとを照合し、これらが適合することを条件にエンジン又は走行システムの始動を許可する。ゲートウェイ1は、イモビライザECUがエンジン又は走行システムの始動を許可したときの車載ネットワーク内における通信内容に基づいて、エンジン又は走行システムの始動を判断する。
【0031】
なお、S102における判断では、イモビライザECUによるエンジン又は走行システムの始動の有無を判断する他に、スマートキーECUによる車両のドアの開錠/施錠が行われたか否かを判断するような構成であってもよい。スマートキーECUは、ドアの施錠/開錠をするための認証コードが登録された正規の電子キー30を用いた操作者から施錠/開錠操作を受付けた場合、電子キー30から読取った認証コードと予め登録されている認証コードとを照合し、これらが適合することを条件にドアの施錠/開錠を実行する。ゲートウェイ1は、スマートキーECUが施錠/開錠を実行したときの車載ネットワーク内における通信内容に基づいて、ドアの開錠/施錠操作が行われたか否かを判断する。
【0032】
フローチャートの説明に戻る。S102でエンジン又は走行システムの始動が行われていない場合(S102:NO)、S100に戻り、エンジン又は走行システムの始動が行われた場合(S102:YES)、S104に進む。
【0033】
エンジン又は走行システムの始動が行われた場合に進むS104では、一旦始動したエンジン又は走行システムが再びOFFにされるのを待つ。これは、故障診断装置20による車載ネットワークの診断作業を行う際にはエンジン又は走行システムをOFFにすることを前提としているためである。
【0034】
そして、S104でエンジン又は走行システムがOFFにされた後、特定通信を許可する通信可能状態に移行し、特定通信を許可する所定時間(以下、許可時間)のカウントダウンを開始する(S106)。続いて、データリンクコネクタ12を介して接続している故障診断装置20から通信可能状態の継続を要求する継続通信を受信したか否かを判定する(S108)。故障診断装置20から継続通信を受信している場合(S108:YES)、許可時間のカウントダウンを初期値にリセットした後(S109)、S106に戻り通信可能状態を継続すると共に許可時間のカウントダウンを開始する。この継続通信の受信が通信可能状態の延長条件となっている。一方、故障診断装置20から継続通信を受信していない場合(S108:NO)、S110に進む。
【0035】
故障診断装置20から継続通信を受信していない場合に進むS110では、特定通信に対する通信可能状態に移行してから所定時間が経過したか否か(すなわち、許可時間のカウントダウンが最後まで完了したか否か)を判定する。許可時間のカウントダウンが未完了である場合(S110:NO)、S106に戻り通信可能状態を継続すると共に、許可時間のカウントダウンをそのまま継続する。一方、許可時間のカウントダウンが完了している場合(S110:YES)、S100に戻り特定通信を遮断する通信不可状態に復帰する。
【0036】
[効果]
上記実施形態のゲートウェイ1によれば、以下のような効果を奏する。
例えば、イモビライザ制御によるエンジン又は走行システムの始動や、スマートキー制御によるドアの施錠/開錠のように、正規の実施者の認証を伴う操作が行われない限り、不正なアクセスを目的とする外部通信装置はおろか正規の故障診断装置20を以ってしても、車載ECUとの間でセキュリティに関する特定の通信ができないように制限できる。故障診断装置20を通じて車載ECUに対してセキュリティを要する特定作業を行う場合、その特定作業は正規の実施者のみ実施可能となり、不正な実施者による特定作業の実施を防止できる。上述のイモビライザ制御やスマートキー制御で扱われる認証コードは、何れもそれぞれのシステムに対応した電子キー30から読取られるものであるが、その認証コードの高い防犯性に加え、認証コードが登録された電子キー30を所持していること自体が正当な実施者であることを証明する有力な根拠となる。
【0037】
ゲートウェイ1が、特定通信が可能な通信可能状態に移行した後、所定時間経過後に特定通信が不可能な遮断状態に復帰するように構成したことで、特定通信が可能な状態が無用に長く継続されることがなく、安全性を高めることができる。また、ゲートウェイ1が故障診断装置20から継続通信を受信したことを条件に通信可能状態を延長する構成にしたことで、故障診断装置20による作業の途中で作業に必要な通信が遮断されることがない。その後、故障診断装置20による作業が終了して継続通信が出されなくなれば特定通信を遮断する状態に復帰するので、安全性が確保される。
【符号の説明】
【0038】
1…ゲートウェイ、10…車両、11a,11b…通信経路、12…データリンクコネクタ、20…故障診断装置、30…電子キー。
【特許請求の範囲】
【請求項1】
車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、前記電子制御装置と前記外部通信装置との間の通信を中継する車載中継装置であって、
所定の通信可能条件が未成立である間、前記外部通信装置と前記電子制御装置との間における特定のセキュリティ項目に関する特定通信を遮断しており、前記車載ネットワーク内の特定の車載機器により正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、前記特定通信を可能にする通信制御手段を備えること
を特徴とする車載中継装置。
【請求項2】
請求項1に記載の車載中継装置において、
前記通信制御手段は、前記通信可能条件の成立により前記特定通信を可能する状態に移行した後、所定時間経過後に当該通信を遮断する状態に復帰すること
を特徴とする車載中継装置。
【請求項3】
請求項2に記載の車載中継装置において、
前記通信制御手段は、前記特定通信を可能にしている期間中において、車外通信用の通信経路に接続した前記外部通信装置から延長要求を受けた場合、通信可能な期間を延長すること
を特徴とする車載中継装置。
【請求項4】
請求項1ないし請求項3の何れか1項に記載の車載中継装置において、
前記特定の車載機器は、始動許可用の認証コードが記録された専用キーから前記認証コードを読取り、その読取った認証コードが予め登録されている認証コードと適合することを条件にエンジン又は走行システムの始動を許可するイモビライザ制御装置であり、
前記通信制御手段は、前記専用キーによるエンジン又は走行システムの始動操作が操作者によって行われ、その結果、前記イモビライザ制御装置が前記認証コードの適合によりエンジン又は走行システムの始動を許可した場合に前記特定通信を可能にすること
を特徴とする車載中継装置。
【請求項5】
請求項1ないし請求項3の何れか1項に記載の車載中継装置において、
前記特定の車載機器は、ドア施錠・開錠用の認証コードが記録された専用キーとの無線通信を通じて前記認証コードを受信し、その受信した認証コードが予め登録されている認証コードと適合することを条件にドアの施錠・開錠制御を行うキー制御装置であり、
前記通信制御手段は、前記専用キーによるドアの施錠又は開錠が操作者によって行われ、その結果、前記キー制御装置が前記認証コードの適合によりドアの施錠・開錠制御を実施した場合に、前記特定通信を可能にすること
を特徴とする車載中継装置。
【請求項6】
請求項4又は請求項5に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記イモビライザ制御装置又は前記キー制御装置に登録されている前記認証コードへのアクセスに関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【請求項7】
請求項1ないし請求項6の何れか1項に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記車載ネットワーク内の電子制御装置に記憶されているソフトウェアの書換えに関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【請求項8】
請求項1ないし請求項7の何れか1項に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記車載ネットワーク内の電子制御装置において作動の結果蓄積された学習データの初期化に関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【請求項1】
車両に搭載された電子制御装置が接続された車載ネットワークに車両の外部に設けられる外部通信装置を通信可能に接続するための車外通信用の通信経路に介在し、前記電子制御装置と前記外部通信装置との間の通信を中継する車載中継装置であって、
所定の通信可能条件が未成立である間、前記外部通信装置と前記電子制御装置との間における特定のセキュリティ項目に関する特定通信を遮断しており、前記車載ネットワーク内の特定の車載機器により正規の実施者を確認する認証処理を伴う所定の操作が操作者によって行われ、その結果、正規の実施者として認証されたことを条件に、前記特定通信を可能にする通信制御手段を備えること
を特徴とする車載中継装置。
【請求項2】
請求項1に記載の車載中継装置において、
前記通信制御手段は、前記通信可能条件の成立により前記特定通信を可能する状態に移行した後、所定時間経過後に当該通信を遮断する状態に復帰すること
を特徴とする車載中継装置。
【請求項3】
請求項2に記載の車載中継装置において、
前記通信制御手段は、前記特定通信を可能にしている期間中において、車外通信用の通信経路に接続した前記外部通信装置から延長要求を受けた場合、通信可能な期間を延長すること
を特徴とする車載中継装置。
【請求項4】
請求項1ないし請求項3の何れか1項に記載の車載中継装置において、
前記特定の車載機器は、始動許可用の認証コードが記録された専用キーから前記認証コードを読取り、その読取った認証コードが予め登録されている認証コードと適合することを条件にエンジン又は走行システムの始動を許可するイモビライザ制御装置であり、
前記通信制御手段は、前記専用キーによるエンジン又は走行システムの始動操作が操作者によって行われ、その結果、前記イモビライザ制御装置が前記認証コードの適合によりエンジン又は走行システムの始動を許可した場合に前記特定通信を可能にすること
を特徴とする車載中継装置。
【請求項5】
請求項1ないし請求項3の何れか1項に記載の車載中継装置において、
前記特定の車載機器は、ドア施錠・開錠用の認証コードが記録された専用キーとの無線通信を通じて前記認証コードを受信し、その受信した認証コードが予め登録されている認証コードと適合することを条件にドアの施錠・開錠制御を行うキー制御装置であり、
前記通信制御手段は、前記専用キーによるドアの施錠又は開錠が操作者によって行われ、その結果、前記キー制御装置が前記認証コードの適合によりドアの施錠・開錠制御を実施した場合に、前記特定通信を可能にすること
を特徴とする車載中継装置。
【請求項6】
請求項4又は請求項5に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記イモビライザ制御装置又は前記キー制御装置に登録されている前記認証コードへのアクセスに関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【請求項7】
請求項1ないし請求項6の何れか1項に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記車載ネットワーク内の電子制御装置に記憶されているソフトウェアの書換えに関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【請求項8】
請求項1ないし請求項7の何れか1項に記載の車載中継装置において、
前記通信制御手段は、通信を遮断する対象となる前記特定通信として、前記車載ネットワーク内の電子制御装置において作動の結果蓄積された学習データの初期化に関する前記外部通信装置からの通信を遮断すること
を特徴とする車載中継装置。
【図1】
【図2】
【図2】
【公開番号】特開2013−107454(P2013−107454A)
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願番号】特願2011−252864(P2011−252864)
【出願日】平成23年11月18日(2011.11.18)
【出願人】(000004260)株式会社デンソー (27,639)
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願日】平成23年11月18日(2011.11.18)
【出願人】(000004260)株式会社デンソー (27,639)
[ Back to top ]