JP6461272B1 - 制御装置 - Google Patents
制御装置 Download PDFInfo
- Publication number
- JP6461272B1 JP6461272B1 JP2017189513A JP2017189513A JP6461272B1 JP 6461272 B1 JP6461272 B1 JP 6461272B1 JP 2017189513 A JP2017189513 A JP 2017189513A JP 2017189513 A JP2017189513 A JP 2017189513A JP 6461272 B1 JP6461272 B1 JP 6461272B1
- Authority
- JP
- Japan
- Prior art keywords
- state information
- storage area
- control device
- control
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 claims abstract description 38
- 230000004913 activation Effects 0.000 claims abstract description 27
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 6
- 238000000034 method Methods 0.000 abstract description 56
- 238000012545 processing Methods 0.000 description 19
- 238000012790 confirmation Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000007420 reactivation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで安全を確保しつつ高速に起動できる制御装置を得る。【解決手段】制御に関わる状態情報を入手する状態情報入手手段112、制御データを格納する第一記憶領域120、状態情報を格納する第二記憶領域121、第一記憶領域のデータから生成された期待値を格納する第三記憶領域122、第一記憶領域のデータから検証値を生成する検証値生成手段114、期待値と検証値から制御手段110を実施するかを判定する第一の判定手段115、状態情報から第一の判定手段を実施するかを判定する第二の判定手段116を備え、制御手段を停止する際に、状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかを判定する。【選択図】図1
Description
この発明は、セキュリティに対する安全を確保しつつ、高速に起動できる制御装置に関するものである。
車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、ECUは他のECUや車両外の通信機器と通信によって接続されるため、不正に侵入される恐れがある。不正に侵入されると、ECUのプログラムデータが改ざんされ、遠隔操作される可能性がある。
ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成しておいた期待値と、データからその時点で作成した検証値との完全性を検証し、データの改ざんを検知する技術である。ECUの制御に関する処理が起動する前にECUが前回終了時からデータが改ざんされていないか検証することにより、制御を正常な状態で起動できるか判断することができる。
一方で、ECUは起動時間の制約が厳しく、セキュアブートの処理時間はECUの起動時間の制約(制御が開始するまでの要求時間)内に収めなければならない。そのため、ECUを安全に起動するためには、セキュアブート処理時間の短縮化が求められる。
特許文献1では、上記の課題を解決するために、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定し、検証が必要なプログラムまたはデータである場合に、対象のプログラムまたはデータの検証を実施することで、検証範囲を最小限に留め、セキュアブート処理を高速に安全に起動することができる。
しかしながら、特許文献1の技術を適用すると、次のような課題がある。セキュアブートにおいて、検証範囲を最小限に留めたところで、起動の度にセキュアブート処理が実施されるため、処理時間がかかり、セキュアブートを実施しない場合に比べて処理時間が増加してしまう。
この発明は、上記のような課題を解決するためになされたものであり、決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで、セキュアブート処理が実施されない通常起動時間に近いECUの起動時間にした制御装置を得ることを目的とするものである。
この発明の制御装置は、制御対象を制御する制御手段と、制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、制御手段が制御に必要とするデータを格納する第一の記憶領域と、状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、第一の記憶領域のデータから検証値を生成する検証値生成手段と、第三の記憶領域に格納される期待値と検証値生成手段による検証値から制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から第一の判定手段を実施するかを判定する第二の判定手段とを備え、制御手段を停止する際に、状態情報入手手段から状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかどうかを判定するものである。
この発明によれば、制御装置の起動時に行われるセキュアブートの処理時間を特定の条件下では検証を実施しないことで、制御装置の起動時間をセキュアブート処理が実施されない通常起動時間と同等にすることができるため、安全かつ高速にECUを起動させることができる。
以下、この発明の制御装置を各実施の形態に従って図面を用いて説明する。なお、各実施の形態において、同一もしくは相当部分は同一符号で示し、重複する説明は省略する。
実施の形態1.
図1はこの発明の実施の形態1に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。ここで、車両制御システムはモータ制御装置100と制御対象となる駆動用モータ101で構成するものとする。車両制御システムには、図1に示す以外の構成物も備えているが、この実施の形態1に直接関係しないものについては図示を省略している。
図1はこの発明の実施の形態1に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。ここで、車両制御システムはモータ制御装置100と制御対象となる駆動用モータ101で構成するものとする。車両制御システムには、図1に示す以外の構成物も備えているが、この実施の形態1に直接関係しないものについては図示を省略している。
モータ制御装置100は、駆動用モータ101に接続され、これを制御する。モータ制御装置100の構成と機能について簡単に説明する。制御手段110は、駆動用モータ101の制御に関わる制御量や各種処理値を演算する。停止手段111は、モータ制御装置100への電源の供給を停止することで動作を終了させる。状態情報入手手段112は、モータ制御装置100自体がもつ制御に関わる状態を示す状態情報のデータを収集する。ここでは、カウント手段117がカウントするカウント値を収集する。制御起動手段113は、第一の判定手段115と第二の判定手段116の結果に基づき、制御手段110を起動させる。
検証値生成手段114は、第一の記憶領域120に格納されているデータから検証値を生成する。第一の判定手段115は、第三の記憶領域122に格納される期待値と検証値生成手段114による検証値から制御手段110を実施するか否かを判定する。第二の判定手段116は、第二の記憶領域121に格納されている状態情報(カウント値)と、状態情報入手手段112が入手した状態情報(カウント値)とを比較し、比較結果が所定の範囲内に収まっているかにより、第一の判定手段115を実施するか否かを判定する。カウント手段117は、モータ制御装置100が起動するたびに保有するカウンタ値をインクリメントする。
ここでは、モータ制御装置100は、車両のIG(イグニッション)スイッチの状態に応じて電源が供給されたり、制御装置がリセットされたりすれば起動するものとする。起動モード確認手段118は、起動時に要求される起動モードを確認する。ここでは、起動モードとして、駆動用モータ101の制御をおこなう制御モードと、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードが用意される。書き換えモードへの要求は制御装置の外部からテスター等が接続されたときに実施される。記憶領域書き換え手段119は、第一の記憶領域120と第三の記憶領域122の格納データを実際に書き換える手段となる。
次に第一の記憶領域120は、制御手段110が制御に必要とするデータを格納する。第二の記憶領域121は、状態情報入手手段112が入手した状態情報を格納する。第三の記憶領域122は、第一の記憶領域120に格納するデータからあらかじめ生成しておいた期待値を格納する。これらの記憶領域はデバイスごと分けることが望ましいが、一つのデバイス上で別領域として定義してもよい。
次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図2および図3のフローチャートを用いて説明する。図2の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。図3の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。
まず、モータ制御装置100の停止時の処理について図2を用いて説明する。
図2において、ステップS201は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS202へ進み、制御が終了していない場合(No)は、終了まで待機する。続いて、ステップS202において、状態情報入手手段112が、カウント手段117が保有するカウント値を状態情報として収集する。ステップS203において、状態情報入手手段112は、収集したカウント値を第二の記憶領域121に格納を試みる。続いて、ステップS204において、格納が完了していれば(Yes)、ステップS205へ進み、格納が完了していない場合(No)は、ステップS203へ戻る。
ステップS205において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
図2において、ステップS201は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS202へ進み、制御が終了していない場合(No)は、終了まで待機する。続いて、ステップS202において、状態情報入手手段112が、カウント手段117が保有するカウント値を状態情報として収集する。ステップS203において、状態情報入手手段112は、収集したカウント値を第二の記憶領域121に格納を試みる。続いて、ステップS204において、格納が完了していれば(Yes)、ステップS205へ進み、格納が完了していない場合(No)は、ステップS203へ戻る。
ステップS205において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
次に、モータ制御装置100の起動時の処理について図3を用いて説明する。
図3において、ステップS301は、カウント手段117は自信が保有するカウント値を更新する。ここでは保有しているカウント値を+1とする。
ステップS302において、起動モード確認手段118が起動モードを確認する。駆動用モータ101の制御をおこなう制御モードであれば、ステップS303へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS310へ進む。
図3において、ステップS301は、カウント手段117は自信が保有するカウント値を更新する。ここでは保有しているカウント値を+1とする。
ステップS302において、起動モード確認手段118が起動モードを確認する。駆動用モータ101の制御をおこなう制御モードであれば、ステップS303へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS310へ進む。
ステップS303において、状態情報入手手段112は、カウント手段117が保有するカウント値を状態情報として収集する。続いて、ステップS304において、カウント値の収集が完了していれば(Yes)、ステップS305へ進み、カウント値の収集が完了していない場合(No)は、完了まで待機する。
ステップS305において、第二の判定手段116が、第二の記憶領域121に格納されているカウント値と、ステップS202で状態情報入手手段112が入手したカウント値とを比較する。続いて、ステップS306において、カウント値の比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS311へ進み、範囲に入っていない場合(No)は、ステップS307へ進む。
ステップS305において、第二の判定手段116が、第二の記憶領域121に格納されているカウント値と、ステップS202で状態情報入手手段112が入手したカウント値とを比較する。続いて、ステップS306において、カウント値の比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS311へ進み、範囲に入っていない場合(No)は、ステップS307へ進む。
ステップS307において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS308において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS307で生成した検証値を比較判定する。
続いて、ステップS309において、期待値と検証値の比較結果が同じであれば(Yes)、ステップS311へ進み、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS307、ステップS308、ステップS309がセキュアブート処理として処理時間を要する部分となる。
続いて、ステップS309において、期待値と検証値の比較結果が同じであれば(Yes)、ステップS311へ進み、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS307、ステップS308、ステップS309がセキュアブート処理として処理時間を要する部分となる。
ステップS310において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、記憶領域書き換え手段119に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS311において、制御起動手段113は制御手段110を起動させる。
ステップS311において、制御起動手段113は制御手段110を起動させる。
以上のように、図1の構成で、モータ制御装置100は、停止時に図2に示すフローに従って、状態情報として自身が持つカウンタ値を格納しておく。その後、モータ制御装置100を起動するときには、図3に示すフローに従って、格納しておいたカウンタ値と、再度収集したカウンタ値との差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、処理時間が発生する検証値作成(ステップS307)、第一の判定手段の実施(ステップS308)、判定結果の確認(ステップS309)を実施せずに制御手段110を起動させることができる。
このような車両制御システムによれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報の比較によって、停止中に書き換えの為等で起動されていないことや、意図せず起動されていないことが確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。
なお、実施の形態1において、状態情報をカウンタ値として説明したがこれに限るものではない。モータ制御装置100が保有するバックアップ用に保有する電池の電圧値などのアナログ値を用いても、ステップS306で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないこと、短時間での再起動であることを検出し、起動時の検証処理を割愛するので、安全かつ高速に制御装置を起動することができる。
また、状態情報は、第二の記憶領域121に格納するときに暗号化し、状態情報を比較するときに復号化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
実施の形態2.
次にこの発明の実施の形態2に係る制御装置を図4から図6に基づいて説明する。
図4はこの発明の実施の形態2に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。実施の形態2に係る車両制御システムは、上記実施の形態1で記したモータ制御装置100と駆動用モータ101で構成される車両制御システムに加えて、ドア制御装置410を含んで構成される。
なお、図4において、各制御装置100、410は、図4に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略し、図1に示す実施の形態1において説明したものについては、同じ符号を付して説明を省略する。
次にこの発明の実施の形態2に係る制御装置を図4から図6に基づいて説明する。
図4はこの発明の実施の形態2に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。実施の形態2に係る車両制御システムは、上記実施の形態1で記したモータ制御装置100と駆動用モータ101で構成される車両制御システムに加えて、ドア制御装置410を含んで構成される。
なお、図4において、各制御装置100、410は、図4に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略し、図1に示す実施の形態1において説明したものについては、同じ符号を付して説明を省略する。
実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410は、車両の通信線としてCAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信手段401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信手段401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。
ドア制御装置410は、車両のドアモジュール411に接続され、ドアのロック/アンロックを制御する。ドア制御装置410の構成と機能について簡単に説明する。第二の制御手段420は、ドアモジュール411に関わる制御を実施する。記憶領域421は、第二の制御手段420が制御に必要とするデータを格納する。状態検出手段422は、ドアに関する状態情報として、ここでは運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではない。第二のデータ送受信手段423は、CANネットワーク400を介して接続されたモータ制御装置100のデータ送受信手段401とデータを送受信する。
次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図5および図6のフローチャートを用いて説明する。図5の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図6の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。
まず、モータ制御装置100の停止時の処理について図5を用いて説明する。
図5において、ステップS501は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS502へ進み、制御が終了していない場合(No)は、終了まで待機する。
続いて、ステップS502において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS503において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS504へ進み、受信が完了していない場合(No)は、受信まで待機する。
図5において、ステップS501は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS502へ進み、制御が終了していない場合(No)は、終了まで待機する。
続いて、ステップS502において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS503において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS504へ進み、受信が完了していない場合(No)は、受信まで待機する。
ステップS504において、状態情報入手手段112は、受信し、収集したドア開閉回数を第二の記憶領域121に格納を試みる。続いて、ステップS505において、格納が完了していれば、ステップS506へ進み、格納が完了していない場合は、ステップS504へ戻る。
ステップS506において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
ステップS506において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
次に、モータ制御装置100の起動時の処理について図6を用いて説明する。
図6において、ステップS601は、モータ制御装置100が、データ送受信手段401を起動させる。ステップS602において、起動モード確認手段118が、起動モードを確認する。起動モードが駆動用モータ101の制御をおこなう制御モードであれば、ステップS603へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS610へ進む。
図6において、ステップS601は、モータ制御装置100が、データ送受信手段401を起動させる。ステップS602において、起動モード確認手段118が、起動モードを確認する。起動モードが駆動用モータ101の制御をおこなう制御モードであれば、ステップS603へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS610へ進む。
ステップS603において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS605へ進み、受信が完了していない場合(No)は、受信まで待機する。
ステップS605において、第二の判定手段116が、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手手段112が入手したドア開閉回数とを比較する。続いて、ステップS606において、比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS611へ進み、範囲に入っていない場合(No)は、ステップS607へ進む。
ステップS605において、第二の判定手段116が、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手手段112が入手したドア開閉回数とを比較する。続いて、ステップS606において、比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS611へ進み、範囲に入っていない場合(No)は、ステップS607へ進む。
ステップS607において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS608において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS607で生成した検証値を比較判定する。
続いて、ステップS609において、比較結果が同じであれば(Yes)、ステップS611へ、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS607、ステップS608,ステップS609がセキュアブート処理として処理時間を要する部分となる。
続いて、ステップS609において、比較結果が同じであれば(Yes)、ステップS611へ、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS607、ステップS608,ステップS609がセキュアブート処理として処理時間を要する部分となる。
ステップS610において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、書き換え手段に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS611において、制御起動手段113は、制御手段110を起動させる。
ステップS611において、制御起動手段113は、制御手段110を起動させる。
以上のように、図4の構成で、モータ制御装置100は、停止時に、図5に示すフローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を格納しておく。その後、モータ制御装置100を起動するときには、図6に示すフローに従って、格納しておいたア開閉回数と再度ドア制御装置410から受信したドア開閉回数とを比較し、値の差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、制御装置を終了してから本起動までに誰も車両に入っていない(制御装置にアクセスしていない)と判断し、処理時間が発生する検証値作成(ステップS607)、第一の判定手段の実施(ステップS608)、判定結果の確認(ステップS609)を実施せずに制御手段110を起動させることができる。
このような車両制御システムによれば、停止時の状態情報と、起動時の状態情報を比較によって停止中に書き換えの為に起動されていないことや、意図せず起動されていないことを確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。
なお、実施の形態2において、状態情報をドア制御装置410が持つドアの開閉回数として説明したがこれに限るものではない。他の制御装置が持つ車両にアクセスを示せる状態情報を用いて、ステップS606で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないことを検出し起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。また他の制御装置が持つ時間情報などを用いて、ステップS606で用いる検証時の範囲を適切に定めることで短時間での再起動であることを検出し、その場合には、セキュリティに対する安全を確保されているとみなし起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。
また、状態情報は、第二の記憶領域121に格納するときに、暗号化し、状態情報を比較するときに複合化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
さらに、状態情報を送受するときに暗号化し、受信後に複合化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。
さらに、状態情報を送受するときに暗号化し、受信後に複合化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。
以上、この発明の実施の形態を記述したが、この発明は実施の形態に限定されるものではなく、種々の設計変更を行うことが可能であり、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。
この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証手段としてどのような制御装置にも利用することができる。
100:モータ制御装置、101:駆動用モータ、110:制御手段、111:停止手段、112:状態情報入手手段、113:制御起動手段、114:検証値生成手段、115:第一の判定手段、116:第二の判定手段、117:カウント手段、118:起動モード確認手段、119:記憶領域書き換え手段、120:第一の記憶領域、121:第二の記憶領域、122:第三の記憶領域、400:CANネットワーク、401:データ送受信手段、410:ドア制御装置、411:ドアモジュール、420:第二の制御手段、421:記憶領域、422:状態検出手段、423:第二のデータ送受信手段。
Claims (4)
- 制御対象を制御する制御手段と、前記制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、前記制御手段が制御に必要とするデータを格納する第一の記憶領域と、前記状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、前記第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、前記第一の記憶領域のデータから検証値を生成する検証値生成手段と、前記第三の記憶領域に格納される期待値と前記検証値生成手段による検証値から前記制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から前記第一の判定手段を実施するかを判定する第二の判定手段とを備え、
前記制御手段を停止する際に、前記状態情報入手手段から状態情報を入手して前記第二の記憶領域に格納し、前記制御手段の起動前に、再び状態情報を入手し、前記第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報から前記第一の判定手段を実施するかどうかを判定することを特徴とする制御装置。 - 前記制御装置の第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報との差分が所定の範囲内であるときに、前記第一の判定手段を実施しないと判定することを特徴とする請求項1に記載の制御装置。
- 前記状態情報入手手段は、制御装置内の情報から状態情報を入手することを特徴とする請求項1または請求項2に記載の制御装置。
- 前記制御装置は他の制御装置と通信線で接続され、前記通信線を介してデータの送受信を実施する送受信手段を備え、前記状態情報入手手段は、前記送受信手段により他の制御装置から状態情報を入手することを特徴とする請求項1に記載の制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017189513A JP6461272B1 (ja) | 2017-09-29 | 2017-09-29 | 制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017189513A JP6461272B1 (ja) | 2017-09-29 | 2017-09-29 | 制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6461272B1 true JP6461272B1 (ja) | 2019-01-30 |
| JP2019066984A JP2019066984A (ja) | 2019-04-25 |
Family
ID=65228933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017189513A Active JP6461272B1 (ja) | 2017-09-29 | 2017-09-29 | 制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6461272B1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6800276B2 (ja) * | 2019-05-14 | 2020-12-16 | 三菱電機株式会社 | 制御装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009013831A1 (ja) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | 情報処理端末及び改ざん検証方法 |
| JP2017156945A (ja) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | 情報処理装置及び制御方法 |
-
2017
- 2017-09-29 JP JP2017189513A patent/JP6461272B1/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009013831A1 (ja) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | 情報処理端末及び改ざん検証方法 |
| JP2017156945A (ja) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | 情報処理装置及び制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019066984A (ja) | 2019-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108536118B (zh) | 车辆ecu、用于ecu以提供诊断信息的系统及方法 | |
| JP5065387B2 (ja) | 共通の送信器による量販車両群の制御方法 | |
| CN103685214B (zh) | 用于汽车电子控制单元的安全访问方法 | |
| WO2016023558A1 (en) | Method for operating a door lock by encrypted wireless signals | |
| CN104426669B (zh) | 用于受保护地传送数据的方法 | |
| CN111480141A (zh) | 用于更新机动车控制设备的软件的方法和设备 | |
| US11182485B2 (en) | In-vehicle apparatus for efficient reprogramming and controlling method thereof | |
| EP2811686B1 (en) | Portable device registration system and portable device registration method | |
| US9893886B2 (en) | Communication device | |
| CN101855111B (zh) | 发动机控制计算机的解锁方法 | |
| JP2019071572A (ja) | 制御装置及び制御方法 | |
| JP5437958B2 (ja) | 車両の電子キーシステム | |
| CN108482308B (zh) | 电动汽车安全控制方法、装置、存储介质及电动汽车 | |
| CN109416711B (zh) | 用于安全验证机动车中的控制装置的方法 | |
| JP6461272B1 (ja) | 制御装置 | |
| JP6274849B2 (ja) | 車両制御システム | |
| US11537717B2 (en) | Information processing apparatus | |
| JP6639615B1 (ja) | 制御装置 | |
| US10789365B2 (en) | Control device and control method | |
| CN104590206A (zh) | 点火锁控制设备及方法 | |
| CN114091008A (zh) | 用于对控制设备进行安全更新的方法 | |
| JP5350120B2 (ja) | ステアリングロックシステム | |
| JP3630433B2 (ja) | 短いアンロック時間を有する可動性付与禁止装置 | |
| CN114761893A (zh) | 具有接口的设备和用于运行具有接口的设备的方法 | |
| US20230267205A1 (en) | Mitigation of a manipulation of software of a vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181225 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6461272 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |