特許ウォッチ

公開番号2025117493
公報種別公開特許公報(A)
公開日2025-08-12
出願番号2024059917
出願日2024-04-03
発明の名称車両アクセス制御システム、アクセス制御方法、及びプログラム
出願人パナソニックオートモーティブシステムズ株式会社
代理人個人,個人,個人
主分類H04L 12/22 20060101AFI20250804BHJP(電気通信技術)
要約【課題】複数の通信方式を採用することを前提とした車載システムにもセグメントの分離が適用可能な車両アクセス制御システム等を提供する。
【解決手段】車両アクセス制御システム1は、車両に搭載され、第1アクセス制御部51と、第2アクセス制御部52と、第3アクセス制御部53と、を備える。第1アクセス制御部51は、複数の領域で構成されたセグメントのうちの第1領域での通信を制御する。第2アクセス制御部52は、セグメントのうちの第2領域での通信を制御する。第3アクセス制御部53は、第1領域及び第2領域とは異なる第3領域での通信を制御し、通信方式を変換する機能を有する。第1アクセス制御部51は、第1領域から第2領域へメッセージを送信する場合、第3領域を中継させる。
【選択図】図1
特許請求の範囲【請求項１】
車両に搭載された車両アクセス制御システムであって、
前記車両アクセス制御システムは、
複数の領域で構成されたセグメントのうちの第１領域での通信を制御する第１アクセス制御部と、
前記セグメントのうちの第２領域での通信を制御する第２アクセス制御部と、
前記第１領域及び前記第２領域とは異なる第３領域での通信を制御し、通信方式を変換する機能を有する第３アクセス制御部と、を備え、
前記第１アクセス制御部は、前記第１領域から前記第２領域へメッセージを送信する場合、前記第３領域を中継させる、
車両アクセス制御システム。
続きを表示（約 900 文字）【請求項２】
前記第１アクセス制御部、前記第２アクセス制御部、及び前記第３アクセス制御部の各々は、受信した前記メッセージに関するルールを含むポリシを有しており、前記ポリシに基づいて受信した前記メッセージを送信するか否かを判定する、
請求項１に記載の車両アクセス制御システム。
【請求項３】
前記第３アクセス制御部は、前記メッセージに当該メッセージの送信先に対する通信で用いられる通信用データを付加して送信する、
請求項２に記載の車両アクセス制御システム。
【請求項４】
前記第１アクセス制御部、前記第２アクセス制御部、及び前記第３アクセス制御部の各々は、自身の属する前記セグメントから他のセグメントへ前記メッセージを送信する場合、当該メッセージを暗号化して送信する、
請求項２又は３に記載の車両アクセス制御システム。
【請求項５】
前記車両に関するトリガを検知するトリガ検知部と、
前記第１アクセス制御部、前記第２アクセス制御部、及び前記第３アクセス制御部の各々の前記ポリシを管理するポリシ管理部と、を更に備え、
前記ポリシ管理部は、前記トリガ検知部が前記トリガを検知した場合、前記ポリシを変更する、
請求項２又は３に記載の車両アクセス制御システム。
【請求項６】
車両に搭載された車両アクセス制御システムが実行するアクセス制御方法であって、
前記車両アクセス制御システムは、
複数の領域で構成されたセグメントのうちの第１領域での通信を制御し、
前記セグメントのうちの第２領域での通信を制御し、
通信方式を変換する機能を有し、前記第１領域及び前記第２領域とは異なる第３領域での通信を制御し、
前記第１領域から前記第２領域へメッセージを送信する場合、前記第３領域を中継させる、
アクセス制御方法。
【請求項７】
１以上のプロセッサに、
請求項６に記載のアクセス制御方法を実行させる、
プログラム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、車両に搭載された車両アクセス制御システム等に関する。
続きを表示（約 1,800 文字）【背景技術】
【０００２】
車載アーキテクチャの進化により、現在のゲートウェイアーキテクチャからドメインコントローラーアーキテクチャにシフトが進んでいる。そして、ＤＣ（ＤｏｍａｉｎＣｏｎｔｒｏｌｌｅｒ）では、仮想化技術を使用して複数のＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）の機能を１つのＥＣＵに統合する技術が適用されている。また、ＳＤＶ（ＳｏｆｔｗａｒｅＤｅｆｉｎｅｄＶｅｈｉｃｌｅ）での有料アップグレード又はサードパーティ製のアプリケーションの取込み等、ユーザが車両を購入した後もソフトウェアのアップデート可能な車両が増加している。このように、ユーザの利便性が向上すると共に、車両内を流れる情報の増加、及び当該情報の利用及び活用が急速に進んでいくと考えられる。
【０００３】
複数のＤＣの各々は、サービスに必要なデータを生成する。また、複数のＤＣの間では、データのやり取りが行われる。各ＤＣの内部は、仮想化技術等により複数の領域に分割されており、複数の領域の各々でデータを生成する。また、各ＤＣは、同じＤＣのみならず、他のＤＣの領域からのデータも活用して制御を行う。ここで、領域とは、ある種別のデータが存在してよい範囲を示す。領域は、仮想化プラットフォームにより分割された領域以外にも、ＯＳ（ＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ）が提供するアプリケーション又はプロセスといったプログラムの単位であってもよいし、マルチコアＣＰＵ（ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ）におけるコア等であってもよい。
【０００４】
このような背景から、各国の法規により個人情報の保護が求められている。そして、車内と車外との間のデータの統制のみならず、サービス間のデータの統制を実現するためには、単純に複数のＤＣの間のデータの統制のみならず、複数の領域の間のデータの統制も必要となる。
【０００５】
近年、情報通信分野においては、通信のアクセス制御において、正常なメッセージを通過させ、攻撃を遮断するアクセス制御システムが検討されている。
【０００６】
例えば、特許文献１には、複数のホストをいくつかのドメインにグルーピングし、アクセス制御を行う技術が開示されている。
【先行技術文献】
【特許文献】
【０００７】
国際公開第２０２２／１１８３９５号
【発明の概要】
【発明が解決しようとする課題】
【０００８】
ところで、車載システムには、従来のＥＣＵとＤＣとが複数混在したシステムがある。このような複数のＥＣＵ（ＤＣを含む）が存在し、且つ、動的にソフトウェア更新が行われる車載システムにおいても、外部と接続するエントリーポイント（ＥｎｔｒｙＰｏｉｎｔ：ＥＰ）と車両の安全機能とを分離すること、いわゆるセグメントの分離が必要になる。
【０００９】
また、車載システムでは、ＣＡＮ（ＣｏｎｔｒｏｌＡｒｅａＮｅｔｗｏｒｋ）を用いた通信又はシリアル通信に加えて、Ｅｔｈｅｒｎｅｔを用いた通信又は仮想化プラットフォーム上の仮想マシン（ＶｉｒｔｕａｌＭａｃｈｉｎｅ：ＶＭ）間の通信等の複数の通信方式が組み合わせて利用され得る。このような車載システムにおいて、複数の領域の間でデータを送受信する場合、複数の領域を複数のセグメントに論理的に分離することが考えられる。
【００１０】
セグメントは、１以上の領域で構成され、例えば個人情報、企業情報、又は走行制御情報等のメッセージ（データ）の種別ごとに定義される。任意のセグメントに対応するメッセージは、当該セグメント内では存在可能であるが、原則、当該セグメントの外部に送信されることは許容されていない。一方、何らかの条件を満たした場合、当該セグメントの外部へ一時的に情報を送信することが許容されてもよい。このようなセグメントの分離を実現するためには、複数の領域の間の通信を行う機能に対してセキュリティポリシを適用する必要がある。セキュリティポリシは、例えば２つの領域において、一方の領域から他方の領域には特定の種別のメッセージは送信可能である等のルールを含む。
（【００１１】以降は省略されています）

関連特許