セキュリティデータへのセキュアなアクセスを提供する車両

本発明は、一般に自動車に関し、より詳細には、改ざんを防止するために保護されたアクセスが提供されなければならない、車両に関連するセキュリティデータの記憶に関する。

車両が、デジタルまたはアナログの形式で、車両に関連づけられたさまざまなデータを記憶する。記憶されたデータは、たとえば、走行距離、次のオーバーホールまでの距離、車両製造番号、ナンバープレートデータ、車両不具合の日付およびタイプなどである。記憶されたデータは、その記憶媒体に従って視覚的または電子的にアクセスされてもよい。たとえば、走行距離はエンジン制御モジュール(ECM)内に記憶され、計器盤上に表示される。車両不具合の日付およびタイプもまた、エンジン制御モジュールに記憶される。このようなデータは、専用コネクタを通してエンジン制御モジュールに接続された特定の電子機器を使用して読み出され、時には修正されることができる。

エンジン制御モジュールは普通、車内のさまざまなデバイスからデータを収集する。車両は、今日では、安全性、制御、または快適さの機能を実現させるために、車両全体に分散させられた多数の電子制御ユニットを含む。このような制御ユニットは、とりわけ変速機、エアバッグ、アンチロックブレーキ/ABS、クルーズコントロール、電動パワーステアリング/EPS、オーディオシステム、窓、ドア、ミラー調節などを管理するために使用される。これらの電子制御ユニットの一部は独立したサブシステムを形成するが、他との間の通信またはECMとの通信が不可欠である。ECMは、とりわけ他の電子制御ユニットにより提供される情報に基づき、走行距離のような保護されるべきデータを編集してもよい。サブシステムがまた、アクチュエータを制御する、またはセンサからフィードバックを受け取る必要がある場合がある。

CAN(Controller Area Network(コントローラエリアネットワーク)の略)は、路上走行車両内部で使用するための、分散リアルタイム制御および多重化をサポートするシリアル通信技術である。CANはメッセージベースのプロトコルである。今日、製造される車両の大部分が、CANバスを一体化している。CAN規格は、とりわけISO11898仕様で規定されている。

ISO11898仕様

セキュリティデータへのアクセスは、改ざんを防止するほど十分セキュアではない、または特定の診断ツールがなければエンドユーザには不可能である。

したがって、これらの欠点のうち1つまたは複数を克服する車両が必要である。

本発明は、 −多重化された通信バスと、 −通信バスに接続されたエンジン制御ユニットと、 −車両内に収容され、通信バスを通して通信するように構成された、車両に関連したセキュリティデータをセキュアに記憶するセキュアエレメントと を備える車両に関する。

他の実施形態によれば、セキュアエレメントは、エンジン制御ユニットと通信して、車両に関連したセキュリティデータを取り出し、取り出されたセキュリティデータを記憶するように構成される。

他の一実施形態によれば、車両は、通信バスに接続された、いくつかの電子制御ユニットをさらに備え、セキュアエレメントは、これらの電子制御ユニットと通信し、かつこれらの電子制御ユニットにより提供されるデータをセキュアに記憶するように構成される。

一実施形態によれば、通信バスは、コントローラエリアネットワークに適合するバスである。

他の一実施形態によれば、車両は、デバイスに電力を供給するバッテリをさらに備え、セキュア機器は、デバイスに電力を供給するバッテリに接続され、かつセキュア機器の電子回路に電力を供給する電力変圧器を備える。

他の実施形態によれば、セキュアエレメントは無線通信インタフェースを含む。

他の実施形態によれば、セキュアエレメントは、車両に関連する前記セキュリティデータを記憶する永続的記憶領域を含む。

一実施形態によれば、セキュアエレメントは、前記永続的記憶領域の読出しまたは書込みのアクセスを要求するエンティティを認証するように構成されたセキュリティ管理モジュールを含む。

他の一実施形態によれば、永続的記憶領域およびセキュリティ管理モジュールは、スマートカードチップに埋め込まれる。

他の実施形態によれば、セキュアエレメントは、前記通信バスに接続された変換器を含み、変換器とスマートカードチップの間の通信ブリッジを形成する通信管理モジュールをさらに含む。

本発明の利点が、添付図面を参照して、いくつかの実施形態についての、以下の詳細な説明から明らかになるであろう。

本発明による車両の一例の概略図である。

図1の車両に固定されたセキュアエレメントの概略図である。

セキュアエレメントの他の実施形態の概略図である。

セキュアエレメントの他の実施形態の概略図である。

図1は、本発明の一実施形態による車両1の一例の概略図である。車両1は通信バス2を、たとえばCANバスを含む。車両安全性機能を管理するさまざまなデバイスがバス2に接続され、車両1全体に分散させられる。車両は、とりわけエンジン31、変速機32、計器盤33、ロックシステム34、およびアンチロックブレーキシステム35を含む。これらのデバイスの各々が、車両セキュリティに関する機能を実現させる。たとえば、車両1が動いているときにエンジン31を保守管理し続けることは、不要な事故を回避するための、安全性に対する重大な懸念である。エンジンはまた、一定の間隔を置いて保守管理されなければならない。変速機32の制御はまた、ユーザによりギアが変更されたときに、エンジンの不要な超過速度を回避するための、自動変速機を備える車両の安全性と関係がある場合がある。計器盤33にはセキュリティ機能があり、とりわけ正確な走行距離を表示しなければならない。ロックシステム34は、車が動き出すとドアを自動的にロックしてもよいので、または対応するリモートコントローラを運転者が作動させると、車両のドアをすべてアンロックすることができるので、安全性と関係がある。アンチロックブレーキシステム35は、ロックされた車輪が検出されたときに、制動動力を解放しなければならないので、安全性機能と明らかに関係がある。運転者の認識などのような他のセキュリティ機能または安全性機能が、同じくCANバス2に接続された追加デバイスにより実現されることができる。これらのデバイスにより実現される管理に関する重大な懸念は、不正行為を回避すること、または信頼できる安全性データを保証することである。

エンジン制御モジュール4、車体制御モジュール5、セキュアモジュール6が、同じくCANバス2に接続される。これらのデバイス4、5、および6はデバイスに電力を供給するバッテリ7により電力を供給され、典型的には車両電気ネットワーク上に12Vの電圧が印加される。エンジン制御モジュールECM4は、CANバス2を通して、電子制御ユニットの管理、またはさまざまなデバイス、たとえば、エンジン31、変速機32、または計器盤33のセンサの管理を担当している。車体制御モジュール5は、CANバス2を通して、電子制御ユニットの管理、またはさまざまなデバイス、たとえば、車両1のロックシステム34またはさまざまなライトのセンサの管理を担当している。

セキュアエレメントは通常、必要なレベルのセキュリティを備えるスマートカードグレードのアプリケーションを埋め込むことができる、不正防止スマートカードチップを含むデバイスを規定する。セキュアエレメントは、SIMカードまたはSDカード、M2Mのフォームファクタといったさまざまなフォームファクタで一体化される、またはより大きな回路に埋め込まれることができる。

セキュアモジュール6は、セキュアエレメント、たとえばスマートカードを含む。セキュアエレメントは、さまざまなセキュリティデータを記憶し、認証要件が満たされた場合にこれらのデータにアクセスすることができることが意図される。セキュアモジュール6は、1つまたは複数の許可されたエンティティを認証してもよい。記憶されるセキュリティデータは、たとえば、走行距離、次のオーバーホールまでの距離、車両製造番号、車両のタイプ、自動車製造会社のデータ、ナンバープレートのデータ、主要な運転者の識別、最後のテクニカルコントロールの走行距離または日付、車両不具合の日付およびタイプなどである。記憶されるセキュリティデータは、車両1内の他の場所に記憶されたデータからの複製であってもよい。たとえば、走行距離は、ECM4からコピーされた冗長な情報とすることができる。ナンバープレートのデータは、ナンバープレートに埋め込まれたRFIDタグに記憶されてもよい。車両製造番号は、エンジン室に位置する、彫刻プレートに埋め込まれたRFIDタグに記憶されてもよい。

セキュアエレメントはまた、安全性関連データを記憶してもよい。たとえば、エンジン管理に関するパラメータが、ユーザがこれらのパラメータを不正に修正しなかったかどうかを確認するために、セキュアエレメントに記憶されてもよい(たとえば、噴射時期、ターボ圧縮器の圧力…)。このようなパラメータを不正に修正することにより、たとえば、エンジンの挙動に影響が及ぼされる場合があり、予想外の機能障害につながる可能性がある。

セキュアエレメントは、マシンツーマシン(M2M)に適合する。セキュアエレメントは、デバイスが他のデバイスと通信することができるようになり、かつ広い温度範囲−40℃〜125℃までをサポートするような特定の特性を得る技術にM2Mが委ねる目標のセキュリティレベルに応じて、取り外し可能であるべきである、または取り外し可能であるべきではない(たとえば、はんだ付けされる)。M2Mは、デバイス(たとえばセンサまたは計器)を使用して、事象(たとえば温度、圧力など)を捕捉し、事象はネットワークを通して他のデバイス内のアプリケーションに中継される。アプリケーションは、捕捉された事象を意味のある情報に変換する。このような機能により、さまざまなデバイスがセキュアエレメントに対してマスタの役割を果たすことができる。

図2は、セキュアモジュール6の第1の実施形態を概略的に示す。セキュアモジュール6は、セキュアエレメントとして使用されるスマートカード65、およびスマートカードインタフェース変換装置8を含む。スマートカード65は、スマートカードインタフェース変換装置8の接続スロット85に挿入される。

スマートカード6は、それ自体が公知の手法でカード基板に埋め込まれたチップ62を含む。チップ62は、セキュリティ管理モジュール63および永続性データ記憶領域64を含む。セキュリティ管理モジュール63は、セキュアなアプリケーションを実行する。永続性データ記憶領域64は、前記セキュリティデータを記憶する。このようなスマートカード6は普通、ユーザまたはデバイスの認証を行うために使用される。したがって、セキュリティ管理モジュール63は、領域64に記憶されたデータに書込み/読出しアクセスをする前に、認証を行うように構成される。このようなスマートカード6は、任意の適切なフォーマットを、たとえば、M2Mアプリケーション用の標準的UICCフォーマットまたはQFN(Quad Flat Noの略であり、標準的な取り外しできないフォーマットである)パッケージのうち一方を有することができる。

スマートカードインタフェース変換装置8は、CANバス2に接続されたCANに適合する送受信機81を含む。スマートカードインタフェース変換装置8は、有利には無線通信インタフェース83を含む。スマートカードインタフェース変換装置8は、通信管理モジュール82を含む。通信管理モジュール82は、接続スロット85を通してスマートカード65と通信する。通信管理モジュール82は、インタフェース81とスマートカード65の間の通信だけでなく、無線インタフェース83とスマートカード65の間の通信も管理する。通信管理モジュール82は、スマートカード65と通信インタフェース81および83との間のプロトコルブリッジを形成してもよい。スマートカードインタフェース変換装置8は、電力変圧器84をさらに含む。電力変圧器84は、車両1の電気ネットワークを通してバッテリ7に接続される。電力変圧器84は、バッテリの電圧をより低い電圧に変換して、スマートカードインタフェース変換装置8のさまざまな回路、およびスマートカード6に電力を供給する。

通信管理モジュール82が存在するために、標準的スマートカード65が非常に費用効率の高い解決策を得るために使用されてもよい。スマートカード65は、適切なプロトコルおよび適切なインタフェースを使用して、たとえば、SWP規格に従って、通信管理モジュール82と通信してもよい。

無線通信インタフェース83は、たとえば携帯電話通信ネットワークを通して通信するために、あるいはNFCプロトコルに従って、またはブルートゥース(登録商標)もしくはIEEE802.15に適合するプロトコルのような他のプロトコルに従って通信するために、さまざまな規格に適合してもよい。

無線通信インタフェース83は、セキュアモジュール6に、CANバス2にアクセスすることができない他のデバイスと通信させるために使用されてもよい。このようなデバイスは、とりわけ全地球測位システム、スマート携帯電話、RFIDタグを備えるナンバープレート、またはRFIDタグを備え、かつ車両製造番号を表示する、彫刻プレートとすることができる。これにより、セキュアモジュール6は、このようなデバイスからデータを取り出し、これらのデータを記憶領域64に記憶することができる。異なる種類のユーザも同じく、どんなCAN特有の通信デバイスもなしに、無線通信インタフェース83を通してセキュアモジュール6にアクセスすることができる。これにより、エンドユーザが、セキュアモジュール6にアクセスして、オーバーホールの次の発生、またはテクニカルコントロールの次の発生を調べることができる。これにより、当局が、記憶領域64に記憶されたデータと自分のデータを比較することにより、ナンバープレートまたは彫刻プレートが改ざんされたかどうかを確認することができる。セキュアモジュール6はまた、RFIDタグを備える運転免許を検出し、認証することができる。認証された運転免許は、車両運転制限、たとえば専用の速度制限と関連づけられてもよい。ECM4は、セキュアモジュール6にアクセスして、エンジン31を制御しているときにどの速度制限を適用しなければならない場合があるかを決定してもよい。

セキュアモジュール6は、他のデバイスがセキュアモジュール6のコンテンツにアクセスする意図があるときには、スレーブデバイスとして動作してもよい、または自分が他のデバイスからデータを取り出すときには、マスタデバイスとして動作してもよい。

インタフェースアダプタ8は、不正なユーザにとってインタフェースアダプタ8へのアクセスが困難になる、うまく隠れた位置で車両フレームに固定されてもよい。アダプタ8は、たとえば車両フレームに封止されてもよい。アダプタは、車両のフロントシートの間に収容されてもよく、専用トラップを通してアクセスされてもよい。アダプタを不正に変更するまたは取り除く試みが困難で時間がかかり、可能ならば、適合しないツールがこのような試みで使用された場合に、容易に検出可能でなければならない。セキュアモジュール6は、自動車の制約、たとえば、ほこりっぽい環境または湿潤な環境での作動温度、ライフサイクル、または作動能力に調和するように設計される。

図3は、セキュアモジュール6の第2の実施形態を概略的に示す。この実施形態は、スマートカードインタフェース変換装置8が通信管理モジュール82を取り除かれたという点、およびスマートカード65が、通信インタフェース81および83を独力で管理するように構成されるという点で、第1の実施形態と異なる。

この実施形態では、特定のチップ62が使用される。特定のチップ62は、コネクタ85を通してCAN送受信機81に接続される。特定のチップ62は、前記CAN送受信機81に接続された2つの入力/出力インタフェースを提供する。

図4は、セキュアモジュール6の第3の実施形態を概略的に示す。セキュアモジュール6は、セキュアエレメントおよびインタフェース変換装置8として使用されるマイクロコントローラ9を(たとえばQNFフォーマットで)含む。マイクロコントローラ9は、インタフェース変換装置8の接続スロット85の中にはんだ付けされる。マイクロコントローラ9は、たとえば、第1の通信インタフェース95に属するパッド、および第2の通信インタフェース96に属するパッドを含む。これらのパッドは接続スロット85にはんだ付けされる。

マイクロコントローラ9は、それ自体が公知の手法でチップ92を含む。チップ92は、セキュリティ管理モジュール93、および永続性データ記憶エリア94を含む。セキュリティ管理モジュール93および永続性データ記憶エリア94は、セキュリティ管理モジュール63および永続性データ記憶エリア64と同一であってもよい。

インタフェース変換装置8は、CANバス2に接続されたCANに適合する送受信機81を含む。インタフェース変換装置83は、有利には無線通信インタフェース83を含む。マイクロコントローラ9は、通信インタフェース81および83を独力で管理するように構成される。インタフェース変換装置8は、電力変圧器84をさらに含む。電力変圧器84は、車両1の電気ネットワークを通してバッテリ7に接続される。

セキュアモジュール6は、他のデバイスがセキュアモジュール6のコンテンツにアクセスする意図があるときには、スレーブデバイスとして動作してもよい、または自分が他のデバイスからデータを取り出すときには、マスタデバイスとして動作してもよい。インタフェースアダプタ8は、不正なユーザにとってインタフェースアダプタ8へのアクセスが困難になる、うまく隠れた位置で車両フレームに固定されてもよい。

開示された実施形態は両方とも接続スロットに取り外し可能に挿入されるスマートカードを含むが、本発明はまた、セキュリティ管理回路がセキュアエレメント回路の残りの部分にはんだ付けされるセキュアエレメントにも適用される。

実施形態はCANバスを参照して開示されたが、本発明を実現するために、Flexray(フレックスレイ)という名で公知のバスのような、他のタイプの多重化された通信バスが使用されてもよい。