[go: up one dir, main page]

JP2008084120A - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP2008084120A
JP2008084120A JP2006264873A JP2006264873A JP2008084120A JP 2008084120 A JP2008084120 A JP 2008084120A JP 2006264873 A JP2006264873 A JP 2006264873A JP 2006264873 A JP2006264873 A JP 2006264873A JP 2008084120 A JP2008084120 A JP 2008084120A
Authority
JP
Japan
Prior art keywords
authentication data
ecu
authentication
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006264873A
Other languages
Japanese (ja)
Inventor
Susumu Nishibashi
奨 西橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2006264873A priority Critical patent/JP2008084120A/en
Publication of JP2008084120A publication Critical patent/JP2008084120A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Burglar Alarm Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an electronic control device detecting a fraudulent act even when electronic control devices are illegally exchanged by preventing the identification of authentication data obtained by stealing an electronic control device, tapping communications between electronic control devices, etc. <P>SOLUTION: The device comprises an authentication means for authenticating reliability of data based on the authentication data transmitted and received through communication means 12, 22 and 32, and an authentication data update means 11d, 21d, and 31d for updating the authentication data upon termination of the communications by the communications means 12, 22 and 32. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、システムの起動時に起動しシステムの停止時に終了する通信手段と、前記通信手段を介して送受信される認証データに基づいてデータの信用性を認証する認証制御手段を備えている電子制御装置に関する。   The present invention provides an electronic control provided with a communication means that starts when a system is started and ends when the system is stopped, and an authentication control means that authenticates the authenticity of data based on authentication data transmitted and received via the communication means. Relates to the device.

車両盗難の防止対策の1つとして、特定の認証データの照合が一致した場合にのみエンジンの始動を可能にするイモビライザー(盗難防止機能)電子制御装置が使われている。しかしながら、このようなイモビライザー電子制御装置自体が取り替えられると、盗難防止機能が失われてしまう。   As one of vehicle anti-theft measures, an immobilizer (anti-theft function) electronic control device is used that can start the engine only when specific authentication data matches. However, when such an immobilizer electronic control device itself is replaced, the anti-theft function is lost.

その他に、速度制限機能が付与された電子燃料噴射(EFI)電子制御装置や車両の加速性能を高める等の目的で、EFI電子制御装置がユーザに付け替えられることにより、エミッションの早期劣化、環境汚染などを引き起こす問題も生じている。   In addition, the electronic fuel injection (EFI) electronic control device with a speed limiting function and the EFI electronic control device can be replaced by the user for the purpose of improving the acceleration performance of the vehicle, etc. There is also a problem that causes such problems.

上記した車両の盗難及び車両の各種機能を制御する電子制御装置の不正交換を防止するために、前記電子制御装置に認証データを記憶させておき、該認証データの照合を行うことにより前記電子制御装置の不正交換を監視する方法が提案されている。例えば、下記の特許文献1には、イモビライザー電子制御装置などの被監視電子制御装置と監視電子制御装置との間でコード照合を行い、照合が成立しなければ、前記被監視電子制御装置が不正交換され或いは取り外された可能性があると判断し、バス障害を発生させることにより通常動作を不能にする車両の盗難防止装置が開示されている。   In order to prevent the above-described vehicle theft and unauthorized exchange of the electronic control device that controls various functions of the vehicle, the electronic control device stores authentication data and collates the authentication data to thereby perform the electronic control. Methods have been proposed for monitoring unauthorized replacement of devices. For example, in Patent Document 1 below, code verification is performed between a monitored electronic control device such as an immobilizer electronic control device and the monitored electronic control device, and if the verification is not established, the monitored electronic control device is illegal. An anti-theft device for a vehicle is disclosed that determines that there is a possibility that the vehicle has been replaced or removed, and disables normal operation by causing a bus failure.

また、下記の特許文献2には、車両のコンポーネントのメモリに記憶された認証データを車載制御機器のメモリに記憶された認証データと照合し、それら認証データが一致することを条件に車両のコンポーネントの基本機能動作を許可する車両のコンポーネントの盗難監視システムが開示されている。   Further, in Patent Document 2 below, the authentication data stored in the memory of the vehicle component is checked against the authentication data stored in the memory of the in-vehicle control device, and the vehicle component is provided on condition that the authentication data matches. A theft monitoring system for a vehicle component that permits basic functional operation of the vehicle is disclosed.

さらに、下記の特許文献3には、車両の各電子制御装置にそれぞれユニークな識別データを持たせておき、当該識別データを用いて各電子制御装置が正当な組合せであるか否かをチェックする盗難防止機能付の車両用電子制御装置が開示されている。
特開2003−212093号公報 特開2003−196755号公報 特開2004−42741号公報 Further, in Patent Document 3 below, each electronic control device of the vehicle has unique identification data, and the identification data is used to check whether each electronic control device is a valid combination. A vehicle electronic control device with an anti-theft function is disclosed.
JP 2003-212093 A JP 2003-196755 A JP 2004-42741 A

しかしながら、特許文献1に開示されている盗難防止装置の場合、又は特許文献2に開示されている盗難監視システムの場合、照合に使われている認証データが固定IDとして監視電子制御装置に記憶されており、被監視装置と監視電子制御装置との関係もそれぞれ固定されているため、盗難又は不正交換を図る者に認証データが特定されて不正交換電子制御装置に埋め込まれた場合、又は監視電子制御装置自身が取り外された場合、その盗難や不正交換防止機能が失われてしまうといった課題があった。   However, in the case of the anti-theft device disclosed in Patent Document 1 or the anti-theft monitoring system disclosed in Patent Document 2, the authentication data used for verification is stored in the monitoring electronic control device as a fixed ID. Since the relationship between the monitored device and the monitoring electronic control device is also fixed, if the authentication data is specified and embedded in the unauthorized exchange electronic control device by a person who intends to steal or exchange illegally, When the control device itself is removed, there is a problem that the theft or unauthorized exchange prevention function is lost.

また、特許文献3に開示されている車両用電子制御装置の場合、各電子制御装置の組合せの正当性をチェックするため、一つの電子制御装置が不正交換電子制御装置に交換されただけでは、不正交換防止機能が失われてしまうことはないが、各電子制御装置相互間における通信が盗聴されたような場合は、各電子制御装置の組合せが明らかにされてしまうために不正交換防止機能が失われてしまうという課題があった。   Further, in the case of the vehicle electronic control device disclosed in Patent Document 3, in order to check the correctness of the combination of each electronic control device, simply replacing one electronic control device with an unauthorized exchange electronic control device, The unauthorized exchange prevention function will not be lost, but if communication between each electronic control unit is eavesdropped, the combination of each electronic control unit will be clarified, so the unauthorized exchange prevention function is provided. There was a problem of being lost.

本発明の目的は、上述の従来欠点に鑑み、電子制御装置の盗難や各電子制御装置相互間の通信の盗聴等による認証データの特定を回避することで、電子制御装置の不正交換が発生した場合でも不正を検知することができる電子制御装置を提供する点にある。   In view of the above-mentioned conventional drawbacks, an object of the present invention is to prevent unauthorized exchange of electronic control devices by avoiding identification of authentication data due to theft of electronic control devices or wiretapping of communication between electronic control devices. In this case, an electronic control device that can detect fraud is provided.

上述の目的を達成するため、本発明による電子制御装置の特徴構成は、通信手段を介して送受信される認証データに基づいてデータの信用性を認証する認証手段と、前記通信手段による通信の終了時に前記認証データを更新する認証データ更新手段を備えていることを特徴とする点にある。   In order to achieve the above-described object, the characteristic configuration of the electronic control device according to the present invention includes authentication means for authenticating data reliability based on authentication data transmitted and received via the communication means, and termination of communication by the communication means. The authentication data update means for updating the authentication data is sometimes provided.

上述の構成によれば、前記認証データ更新処理手段により、前記通信手段による通信の終了時に認証データが更新される。仮に、前回の通信時において盗聴された認証データに基づいて、不正な電子制御装置が搭載されたような場合であっても、前記認証制御手段により不正な認証データと識別されるようになる。   According to the configuration described above, the authentication data update processing means updates the authentication data at the end of communication by the communication means. Even if an unauthorized electronic control device is installed based on the authentication data wiretapped during the previous communication, the authentication control means identifies the authentication data as unauthorized.

以上説明した通り、本発明によれば、電子制御装置の盗難や各電子制御装置相互間の通信の盗聴等による認証データの特定を回避することで、電子制御装置の不正交換が発生した場合でも不正を検知することができる電子制御装置を提供することができるようになった。   As described above, according to the present invention, even when the electronic control device is illegally exchanged by avoiding the identification of authentication data due to theft of the electronic control device or wiretapping of communication between the electronic control devices. An electronic control device capable of detecting fraud can be provided.


以下、本発明に係る電子制御装置(以下ECUと記す)を図面に基づいて説明する。
Hereinafter, an electronic control device (hereinafter referred to as ECU) according to the present invention will be described with reference to the drawings.

図1は、本発明の第1の実施の形態に係る車両用ECUを含んで構成されたシステムの要部を概略的に示したブロック図である。図中10は車両のエンジンの燃料噴射、点火時期などを制御するエンジンECUを示しており、20は車両のハンドルを制御するハンドルECUを示しており、30は車両のワイパーを制御するワイパーECUを示している。   FIG. 1 is a block diagram schematically showing a main part of a system configured to include a vehicle ECU according to a first embodiment of the present invention. In the figure, reference numeral 10 denotes an engine ECU for controlling the fuel injection and ignition timing of the vehicle engine, 20 denotes a handle ECU for controlling the vehicle handle, and 30 denotes a wiper ECU for controlling the vehicle wiper. Show.

また、図中40はバッテリ、41はイグニッションスイッチ、43はエンジンECU10への電力供給の有無を切り替える電源リレーを夫々示している。   In the figure, reference numeral 40 denotes a battery, 41 denotes an ignition switch, and 43 denotes a power supply relay that switches whether or not power is supplied to the engine ECU 10.

イグニッションスイッチ41がオフからオンに切り替えられると、エンジンECU10、ハンドルECU20、ワイパーECU30の夫々に電力が供給され、電力が供給されたエンジンECU10は電源リレー43オン作動させる。   When the ignition switch 41 is switched from OFF to ON, electric power is supplied to each of the engine ECU 10, the handle ECU 20, and the wiper ECU 30, and the engine ECU 10 to which the electric power is supplied turns on the power relay 43.

一方、イグニッションスイッチ41がオンからオフに切り替えられると、エンジンECU10は、イグニッションスイッチ41がオフした旨のオフデータを各ECUに送信することで、各ECUに対して電源供給停止前に行なうべき所定の処理を実行するよう促す。そして、エンジンECU10は、全てのECUから所定の処理が完了した旨の返信を受信するか、或いは予め設定された所定時間の経過によりエンジンECU10を含めた全てのECUにおいて所定の処理が完了したと判断して、電源リレー43の状態をオンからオフに切り替える。電源リレー43がオフ状態に切り替わることによって、エンジンECU10、ハンドルECU20、及びワイパーECU30への電力供給が停止される。   On the other hand, when the ignition switch 41 is switched from on to off, the engine ECU 10 transmits the off data indicating that the ignition switch 41 is turned off to each ECU, so that the predetermined ECU to be performed before stopping the power supply to each ECU. Prompt to execute the process. The engine ECU 10 receives a reply indicating that the predetermined process has been completed from all the ECUs, or the predetermined process has been completed in all the ECUs including the engine ECU 10 after a predetermined time has elapsed. Judgment is made and the state of the power supply relay 43 is switched from on to off. When the power supply relay 43 is switched to the off state, power supply to the engine ECU 10, the handle ECU 20, and the wiper ECU 30 is stopped.

以下、各ECUについて説明する。   Hereinafter, each ECU will be described.

エンジンECU10は、マイクロコンピュータ(以下、マイコンと記す)11と、通信手段12とを含んで構成されている。マイコン11は、エンジンの燃料噴射、点火時期などを制御するメイン制御部11aと、各ECUを識別するための認証データに基づく認証情報の作成、交換及び照合を行う認証手段としての認証制御手段11b(以下、他の認証制御手段も同じ)と、認証情報などを記憶する記憶装置であるメモリ11cと、認証データの更新を行なう認証データ更新処理手段11dとを含んで構成されている。なお、メモリ11cは、書き込み可能なEEPROMと書き込み不可能なROM等により構成されている。   The engine ECU 10 includes a microcomputer (hereinafter referred to as a microcomputer) 11 and communication means 12. The microcomputer 11 includes a main control unit 11a that controls engine fuel injection, ignition timing, and the like, and an authentication control unit 11b that serves as an authentication unit that creates, exchanges, and collates authentication information based on authentication data for identifying each ECU. (Hereinafter, the same applies to other authentication control means), a memory 11c that is a storage device for storing authentication information and the like, and an authentication data update processing means 11d for updating authentication data. Note that the memory 11c includes a writable EEPROM, a non-writable ROM, and the like.

各マイコン11、21、31、ナビゲーション装置71の夫々は、CANバスで構成される通信手段12、22、32等を介して相互に接続され、ナビゲーション装置71には車両サービスセンター72とのデータ送受信を行なう無線通信装置のアンテナ62が接続されている。従って、各マイコン11、21、31は、ナビゲーション装置71を介して外部の車両サービスセンター72と通信可能に構成されている。   Each of the microcomputers 11, 21, 31 and the navigation device 71 is connected to each other via communication means 12, 22, 32, etc. configured by a CAN bus, and the navigation device 71 transmits and receives data to and from the vehicle service center 72. An antenna 62 of a wireless communication device that performs is connected. Therefore, each microcomputer 11, 21, 31 is configured to be able to communicate with an external vehicle service center 72 via the navigation device 71.

本実施形態においては、車両のイグニッションスイッチ41がオンされて各ECU等に電力が供給された後に車両システムが起動する。その後に、通信手段12が起動しこの通信手段12により各ECU10、20、30における各マイコン11、21、31等の相互間の通信動作を開始する。また、車両のイグニッションスイッチ41がオフされたときは、そのオフ後に前記通信の終了処理を行い、電源リレー43がオフされると車両システムが停止するように構成されている。   In the present embodiment, the vehicle system is started after the ignition switch 41 of the vehicle is turned on and electric power is supplied to each ECU or the like. Thereafter, the communication unit 12 is activated, and the communication unit 12 starts communication operations between the microcomputers 11, 21, 31 and the like in the ECUs 10, 20, and 30. Further, when the ignition switch 41 of the vehicle is turned off, the communication end process is performed after the ignition switch 41 is turned off, and the vehicle system is stopped when the power supply relay 43 is turned off.


メイン制御部11aは、センサー51、通信手段12、メモリ11c及び認証制御手段11bとそれぞれ接続され、センサー51から入力される様々な入力信号に基づいて、エンジンの燃料噴射、点火時期などの制御信号をそれぞれの駆動回路(図示せず)へ出力するようになっている。
The main control unit 11a is connected to the sensor 51, the communication unit 12, the memory 11c, and the authentication control unit 11b. Based on various input signals input from the sensor 51, control signals such as engine fuel injection and ignition timing are provided. Are output to respective drive circuits (not shown).

認証制御手段11bは、通信手段12、メモリ11c、メイン制御部11a、始動センサー55及びキーセンサー56(スイッチ14を介して)とそれぞれ接続されており、通信手段12を介して他のECU等と送受信される認証データに基づいてデータの信用性を認証した上で認証情報を作成してメモリ11cのEEPROMに記憶させたり、通信手段12を介して外部と認証情報を交換したり、始動センサー55及びキーセンサー56からの入力信号により決定された認証タイミングで認証を行う。   The authentication control unit 11b is connected to the communication unit 12, the memory 11c, the main control unit 11a, the start sensor 55, and the key sensor 56 (via the switch 14), and communicates with other ECUs and the like via the communication unit 12. After authenticating the authenticity of the data based on the transmitted / received authentication data, the authentication information is created and stored in the EEPROM of the memory 11c, the authentication information is exchanged with the outside via the communication means 12, or the start sensor 55 Authentication is performed at an authentication timing determined by an input signal from the key sensor 56.

認証に失敗した場合、認証制御手段11bは、メイン制御部11aに制御を一時停止する信号を与え、防犯措置を実施させる制御信号(フューエルカット信号)を出力し、更に、通信手段12を介して、ナビゲーション装置71及び車両サービスサンター72に認証失敗の情報を送信する。また、スイッチ14は外部から操作可能なスイッチであり、専用ツールを用いてスイッチ14をオフにしておけば、エンジンECU10の認証機能を解除することができるようになっている。 If the authentication fails, the authentication control unit 11b gives a signal for temporarily stopping the control to the main control unit 11a, outputs a control signal (fuel cut signal) for implementing a crime prevention measure, and further via the communication unit 12 The authentication failure information is transmitted to the navigation device 71 and the vehicle service center 72. The switch 14 is a switch that can be operated from the outside. If the switch 14 is turned off using a dedicated tool, the authentication function of the engine ECU 10 can be canceled.

認証データ更新処理手段11dは、認証制御手段11bと接続されており、通信手段12による通信の終了時に、認証データを更新するように構成されている。なお、認証データについては後述する。   The authentication data update processing unit 11d is connected to the authentication control unit 11b, and is configured to update the authentication data when communication by the communication unit 12 ends. The authentication data will be described later.

なお、通信の終了時とは、車両のイグニッションスイッチ41がオフされて通信手段12、22、32への電源の供給を遮断する要求を出した時である。この場合、電源の供給を遮断する要求があった時に通信手段12、22、32の電源が遮断されて、メイン制御部11a、21a、31aやメモリ11c、21c、31c等による認証データを更新する処理をするように構成される。或いは、電源の供給を遮断する要求があった時に、メイン制御部11a、21a、31aやメモリ11c、21c、31c等による認証データを更新し、通信手段12、22、32の電源が遮断される処理をするように構成される。更に、通信の終了時として、通信が所定時間無い時としてもよい。この場合、通信が無い状態が所定時間経過した後にメイン制御部11a、21a、31aやメモリ11c、21c、31c等による認証データを更新する処理をするように構成される。   The end of communication is when the vehicle ignition switch 41 is turned off and a request to cut off the supply of power to the communication means 12, 22, 32 is issued. In this case, when there is a request to cut off the supply of power, the power of the communication means 12, 22, 32 is cut off, and the authentication data by the main control units 11a, 21a, 31a, the memories 11c, 21c, 31c, etc. is updated. Configured to process. Alternatively, when there is a request to cut off the supply of power, the authentication data by the main control units 11a, 21a, 31a and the memories 11c, 21c, 31c, etc. is updated, and the power of the communication means 12, 22, 32 is cut off. Configured to process. Further, the end of communication may be a time when there is no communication for a predetermined time. In this case, it is configured to perform processing for updating authentication data by the main control units 11a, 21a, 31a, the memories 11c, 21c, 31c, etc. after a predetermined time has passed without communication.

また、通信の終了時とは、任意または各セッション終了時であって、任意のセッション終了時または各セッションの終了時に、メイン制御部11a、21a、31aやメモリ11c、21c、31c等による認証データを更新する処理をするように構成されていてもよい。ここで、前記セッション終了時とは、例えば車両の停車時があり、前記車両の停車時とは、信号待ち等で車速が零となった時や車速が所定速度以下(例えば時速5km以下)となった時がある。   The end of communication is an arbitrary or end of each session, and at the end of an arbitrary session or end of each session, authentication data by the main control units 11a, 21a, 31a and the memories 11c, 21c, 31c, etc. It may be configured to perform a process of updating. Here, when the session ends, for example, there is a time when the vehicle is stopped, and when the vehicle is stopped, when the vehicle speed becomes zero due to a signal or the like, or when the vehicle speed is equal to or less than a predetermined speed (for example, 5 km / hour or less). There is a time.

ハンドルECU20は、マイコン21と、通信手段22とを含んで構成されている。マイコン21は、ハンドリングを制御するメイン制御部21aと、各ECUを識別するための認証データに基づく認証情報の作成、交換及び照合を行う認証制御手段21bと、認証情報などを記憶する記憶装置であるメモリ21cと、認証データの更新を行なう認証データ更新処理手段21dとを含んで構成されている。なお、メモリ21cは、書き込み可能なEEPROMと書き込み不可能なROMより構成されている。   The handle ECU 20 includes a microcomputer 21 and a communication unit 22. The microcomputer 21 is a storage device that stores a main control unit 21a that controls handling, authentication control means 21b that performs creation, exchange, and verification of authentication information based on authentication data for identifying each ECU, and authentication information. It includes a certain memory 21c and authentication data update processing means 21d for updating authentication data. The memory 21c includes a writable EEPROM and a non-writable ROM.

メイン制御部21aは、センサー52、通信手段22、メモリ21c及び認証制御手段21bとそれぞれ接続され、センサー52から入力される様々な入力信号に基づいて、ハンドリング制御を行い、制御信号をハンドルの駆動回路へ出力する。   The main control unit 21a is connected to the sensor 52, the communication unit 22, the memory 21c, and the authentication control unit 21b. The main control unit 21a performs handling control based on various input signals input from the sensor 52 and drives the control signal to the handle. Output to the circuit.

認証制御手段21bは、通信手段22、メモリ21c、メイン制御部21a、始動センサー55及びキーセンサー56(スイッチ24を介して)とそれぞれ接続されており、通信手段12を介して他のECU等と送受信される認証データに基づいてデータの信用性を認証した上で認証情報を作成してメモリ21cのEEPROMに記憶させたり、通信手段22を介して外部と認証情報を交換したり、始動センサー55及びキーセンサー56からの入力信号により決定された認証タイミングで認証を行う。   The authentication control unit 21b is connected to the communication unit 22, the memory 21c, the main control unit 21a, the start sensor 55, and the key sensor 56 (via the switch 24), and communicates with other ECUs and the like via the communication unit 12. After authenticating the authenticity of the data based on the transmitted / received authentication data, the authentication information is created and stored in the EEPROM of the memory 21c, the authentication information is exchanged with the outside via the communication means 22, or the start sensor 55 Authentication is performed at an authentication timing determined by an input signal from the key sensor 56.

認証に失敗した場合、認証制御手段21bは、メイン制御部21aに制御を一時停止する信号を与え、防犯措置を実施させる制御信号(ハンドルロック信号)を出力し、更に、通信手段22を介して、ナビゲーション装置71及び車両サービスサンター72へ認証失敗の情報を送信する。また、スイッチ24は外部から操作可能なスイッチであり、専用ツールを用いてスイッチ24をオフにしておけば、ハンドルECU20の認証機能を解除することができるようになっている。 When the authentication fails, the authentication control means 21b gives a signal for temporarily stopping the control to the main control section 21a, outputs a control signal (handle lock signal) for implementing the crime prevention measures, and further via the communication means 22 The authentication failure information is transmitted to the navigation device 71 and the vehicle service center 72. The switch 24 is a switch that can be operated from the outside. If the switch 24 is turned off using a dedicated tool, the authentication function of the handle ECU 20 can be canceled.

認証データ更新処理手段21dは、認証制御手段21bと接続されており、通信手段12による通信の終了時に、認証データを更新するように構成されている。なお、認証データについては後述する。   The authentication data update processing unit 21d is connected to the authentication control unit 21b, and is configured to update the authentication data when communication by the communication unit 12 ends. The authentication data will be described later.

ワイパーECU30は、マイコン31と、通信手段32とを含んで構成されている。マイコン31は、ワイパーの動作を制御するメイン制御部31aと、各ECUを識別するための認証データに基づく認証情報の作成、交換及び照合を行う認証制御手段31bと、認証情報などを記憶する記憶装置であるメモリ31cと、認証データの更新を行なう認証データ更新処理手段31dとを含んで構成されている。なお、メモリ31cは、書き込み可能なEEPROMと書き込み不可能なROMより構成されている。   The wiper ECU 30 includes a microcomputer 31 and communication means 32. The microcomputer 31 stores a main control unit 31a that controls the operation of the wiper, an authentication control unit 31b that creates, exchanges, and collates authentication information based on authentication data for identifying each ECU, and a memory that stores the authentication information. It includes a memory 31c, which is a device, and authentication data update processing means 31d for updating authentication data. Note that the memory 31c includes a writable EEPROM and a non-writable ROM.

メイン制御部31aは、センサー53、通信手段32、メモリ31c及び認証制御手段31bとそれぞれ接続され、センサー53からの入力信号に基づいて制御を行い、制御信号をワイパーの駆動回路へ出力するように構成されている。   The main control unit 31a is connected to the sensor 53, the communication unit 32, the memory 31c, and the authentication control unit 31b, performs control based on the input signal from the sensor 53, and outputs the control signal to the drive circuit of the wiper. It is configured.

認証制御手段31bは、通信手段32、メモリ31c、メイン制御部31a、始動センサー55及びキーセンサー56(スイッチ34を介して)とそれぞれ接続されており、通信手段32を介して他のECU等と送受信される認証データに基づいてデータの信用性を認証した上で認証情報を作成してメモリ31cのEEPROMに記憶させたり、通信手段32を介して外部と認証情報を交換したり、始動センサー55及びキーセンサー56からの入力信号により決定された認証タイミングで認証を行う。   The authentication control unit 31b is connected to the communication unit 32, the memory 31c, the main control unit 31a, the start sensor 55, and the key sensor 56 (via the switch 34), and communicates with other ECUs and the like via the communication unit 32. After authenticating the authenticity of the data based on the transmitted / received authentication data, the authentication information is created and stored in the EEPROM of the memory 31c, the authentication information is exchanged with the outside via the communication means 32, or the start sensor 55 Authentication is performed at an authentication timing determined by an input signal from the key sensor 56.

認証に失敗した場合、認証制御手段31bは、メイン制御部31aに制御を一時停止する信号を与え、防犯措置を実施させる制御信号(ワイパー動作信号)を出力し、更に、通信手段32を介して、ナビゲーション装置71及び車両サービスサンター72へ認証失敗の情報を送信する。また、スイッチ34は外部から操作可能なスイッチであり、専用ツールを用いてスイッチ34をオフにしておけば、認証機能を解除することができるようになっている。 If the authentication fails, the authentication control means 31b gives a signal for temporarily stopping the control to the main control section 31a, outputs a control signal (wiper operation signal) for implementing a security measure, and further via the communication means 32 The authentication failure information is transmitted to the navigation device 71 and the vehicle service center 72. The switch 34 is a switch that can be operated from the outside. If the switch 34 is turned off using a dedicated tool, the authentication function can be canceled.

認証データ更新処理手段31dは、認証制御手段31bと接続されており、通信手段12による通信の終了時に、認証データを更新するように構成されている。なお、認証データについては後述する。   The authentication data update processing unit 31d is connected to the authentication control unit 31b, and is configured to update the authentication data when communication by the communication unit 12 ends. The authentication data will be described later.

エンジンECU10、ハンドルECU20及びワイパーECU30は相互認証するようになっており、エンジンECU10はハンドルECU20とワイパーECU30の中から監視先を選択し、ハンドルECU20はエンジンECU10とワイパーECU30の中から監視先を選択し、ワイパーECU30はエンジンECU10とハンドルECU20の中から監視先を選択するようになっている。更に、各ECUの監視先が重複しないように、各ECUにおける監視先の選択順序は予め設定されている。   The engine ECU 10, the handle ECU 20, and the wiper ECU 30 authenticate each other, the engine ECU 10 selects a monitoring destination from the handle ECU 20 and the wiper ECU 30, and the handle ECU 20 selects a monitoring destination from the engine ECU 10 and the wiper ECU 30. The wiper ECU 30 selects a monitoring destination from the engine ECU 10 and the handle ECU 20. Furthermore, the monitoring destination selection order in each ECU is set in advance so that the monitoring destination of each ECU does not overlap.

イグニッションスイッチ41がオフされ、エンジンECU10からイグニッションスイッチ41がオフした旨のオフデータを受信すると、各ECUは認証データ更新処理手段11d、21d、31dに所定の処理、つまり認証データの更新処理を実行させる。更新した認証データをメモリに記憶するとともに、設定された選択順序に基づいて選択した監視先から該監視先の認証データをCANバスを介して取得してメモリに記憶した後に通信を終了する。   When the ignition switch 41 is turned off and off data indicating that the ignition switch 41 is turned off is received from the engine ECU 10, each ECU executes predetermined processing, that is, authentication data update processing, to the authentication data update processing means 11d, 21d, 31d. Let The updated authentication data is stored in the memory, and the authentication data of the monitoring destination is acquired from the monitoring destination selected based on the set selection order via the CAN bus and stored in the memory, and then the communication is terminated.

エンジンECU10は、全てのECUにおいて更新処理が完了したことを認識すると、電源リレー43をオフに切り替えてシステムを停止させる。 When the engine ECU 10 recognizes that the update process has been completed in all the ECUs, the engine ECU 10 switches off the power supply relay 43 to stop the system.

そして、次回の認証条件が成立した時(例えば、イグニッションスイッチがオンされたことが検出された時)に、認証が行われるように構成されている。 The authentication is performed when the next authentication condition is satisfied (for example, when it is detected that the ignition switch is turned on).

認証データは各ECUを識別するためのものであり、ここでは、A、B、Cを乱数方式又はシーケンス方式で組み合わせた可変コード(例えば、ABC)と各ECUに付けられた固定番号(例えば、数字番号)から構成される認証データ(例えば、「ABC10」)が採用される。   The authentication data is for identifying each ECU. Here, a variable code (for example, ABC) in which A, B, and C are combined in a random number method or a sequence method, and a fixed number (for example, for example) Authentication data (for example, “ABC10”) composed of a numeric number) is employed.

例えば、図2aに示したように、第1回目の認証において、エンジンECU10はハンドルECU20を監視先に選択し、自己の認証データ(ABC10)とハンドルECU20の認証データ(BCA20)を記憶している。ハンドルECU20は、ワイパーECU30を監視先に選択し、自己の認証データ(BCA20)とワイパーECU30の認証データ(ABC30)を記憶している。ワイパーECU30は、エンジンECU10を監視先に選択し、自己の認証データ(ABC30)とエンジンECU10の認証データ(ABC10)を記憶している。   For example, as shown in FIG. 2a, in the first authentication, the engine ECU 10 selects the handle ECU 20 as a monitoring destination, and stores its own authentication data (ABC10) and authentication data (BCA20) of the handle ECU 20. . The handle ECU 20 selects the wiper ECU 30 as a monitoring destination, and stores its own authentication data (BCA20) and authentication data (ABC30) of the wiper ECU 30. The wiper ECU 30 selects the engine ECU 10 as a monitoring destination, and stores its own authentication data (ABC30) and authentication data (ABC10) of the engine ECU 10.

第2回目の認証においては、図2bに示したように、エンジンECU10はワイパーECU30を監視先に変更し、更新した自己の認証データ(BCA10)とワイパーECU30の認証データ(ACB30)を記憶している。ハンドルECU20は、エンジンECU10を監視先に変更し、更新した自己の認証データ(BAC20)とエンジンECU10の認証データ(BCA10)を記憶している。ワイパーECU30は、ハンドルECU20を監視先に変更し、更新した自己の認証データ(ACB30)とハンドルECU20の認証データ(BAC20)を記憶している。   In the second authentication, as shown in FIG. 2b, the engine ECU 10 changes the wiper ECU 30 to a monitoring destination and stores the updated authentication data (BCA10) and the wiper ECU 30 authentication data (ACB30). Yes. The handle ECU 20 stores the updated authentication data (BAC20) and authentication data (BCA10) of the engine ECU 10 by changing the engine ECU 10 to a monitoring destination. The wiper ECU 30 changes the handle ECU 20 to a monitoring destination, and stores updated authentication data (ACB30) of itself and authentication data (BAC20) of the handle ECU 20.

次に、図3から図5に示すフローチャートに基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30がそれぞれ行う認証処理動作を説明する。   Next, based on the flowcharts shown in FIG. 3 to FIG. 5, authentication processing operations respectively performed by the engine ECU 10, the handle ECU 20, and the wiper ECU 30 will be described.

まず、図3に基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30がそれぞれ行う認証情報の作成処理について説明する。 First, based on FIG. 3, a process for creating authentication information performed by the engine ECU 10, the handle ECU 20, and the wiper ECU 30 will be described.

上記各ECUは前回の認証が正常に完了した後、認証情報の作成処理を開始する。まず、ステップS1において、自己の認証データを更新し、それぞれ各自のEEPROMに記憶させ、その後ステップS2に進む。ステップS2では、予め設定された選択順序(例えば、図2aに示した順序)に従って監視先を選択し、その後ステップS3に進む。ステップS3では、選択した監視先に認証データの送信要求を送信し、その後ステップS4に進む。 Each of the ECUs starts a process for creating authentication information after the previous authentication is normally completed. First, in step S1, its own authentication data is updated and stored in its own EEPROM, and then the process proceeds to step S2. In step S2, a monitoring destination is selected according to a preset selection order (for example, the order shown in FIG. 2a), and then the process proceeds to step S3. In step S3, an authentication data transmission request is transmitted to the selected monitoring destination, and then the process proceeds to step S4.

ステップS4では、自己を監視先に選択した監視者から自己の認証データの送信要求を受信したか否かを判断し、前記送信要求を受信していないと判断した場合、ステップS6に飛び、他方、前記送信要求を受信したと判断した場合、ステップS5に進む。ステップS5では、自己の認証データを監視者に送信し、その後ステップS7に飛ぶ。 In step S4, it is determined whether or not a request for transmitting own authentication data has been received from a monitor who has selected himself as the monitoring destination. If it is determined that the transmission request has not been received, the process jumps to step S6, If it is determined that the transmission request has been received, the process proceeds to step S5. In step S5, the self-authentication data is transmitted to the supervisor, and then the process jumps to step S7.

一方、ステップS6では、所定時間T1(例えば1秒)が経過したか否かを判断し、1秒が経過していないと判断した場合、ステップS4に戻り、他方、1秒が経過したと判断した場合はステップS7に進む。ステップS7では、監視先の認証データを受信したか否かを判断し、監視先の認証データを受信していないと判断した場合、ステップS9に飛び、他方、監視先の認証データを受信したと判断した場合、ステップS8に進む。 On the other hand, in step S6, it is determined whether or not a predetermined time T1 (for example, 1 second) has elapsed. If it is determined that 1 second has not elapsed, the process returns to step S4, and on the other hand, it is determined that 1 second has elapsed. If so, the process proceeds to step S7. In step S7, it is determined whether or not the monitoring destination authentication data has been received. If it is determined that the monitoring destination authentication data has not been received, the process jumps to step S9, and on the other hand, the monitoring destination authentication data has been received. If it is determined, the process proceeds to step S8.

ステップS8では、監視者のアドレス及び監視先の認証データをそれぞれ各自のEEPROMに記憶させ、処理動作を終了させる。一方、ステップS9では、所定時間T2(例えば5秒)が経過したか否かを判断し、5秒が経過していないと判断した場合、ステップS7に戻り、他方、5秒が経過したと判断した場合はステップS10に進む。ステップS10では、監視先と通信障害が発生したとの情報をナビゲーション装置71に送信し、その後処理動作を終了させる。 In step S8, the address of the supervisor and the authentication data of the monitoring destination are stored in their own EEPROMs, and the processing operation is terminated. On the other hand, in step S9, it is determined whether or not a predetermined time T2 (for example, 5 seconds) has elapsed. When it is determined that 5 seconds have not elapsed, the process returns to step S7, and on the other hand, it is determined that 5 seconds have elapsed. If so, the process proceeds to step S10. In step S10, information that a communication failure has occurred with the monitoring destination is transmitted to the navigation device 71, and then the processing operation is terminated.

次に、図4に基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30においてそれぞれ行われる認証処理について説明する。   Next, an authentication process performed in each of the engine ECU 10, the handle ECU 20, and the wiper ECU 30 will be described with reference to FIG.

上記各ECUはキーセンサー56からキー挿入信号を受け取ると、ステップ22に進む(ステップ21)。ステップS22では、自己の認証データを監視者に送信し、その後ステップS23に進む。 When each ECU receives a key insertion signal from the key sensor 56, the ECU proceeds to step 22 (step 21). In step S22, the self-authentication data is transmitted to the supervisor, and then the process proceeds to step S23.

ステップS23では、監視先の認証データを受信したか否かを判断し、監視先の認証データを受信していないと判断した場合、ステップS25に飛び、他方、監視先の認証データを受信したと判断した場合、ステップS24に進む。ステップS24では、受信した監視先の認証データをそれぞれ各自のEEPROMに記憶されている該監視先の認証データと照合し、その後ステップS27に進む。 In step S23, it is determined whether the monitoring destination authentication data has been received. If it is determined that the monitoring destination authentication data has not been received, the process jumps to step S25, and on the other hand, the monitoring destination authentication data has been received. If so, the process proceeds to step S24. In step S24, the received authentication data of the monitoring destination is collated with the authentication data of the monitoring destination stored in the respective EEPROM, and then the process proceeds to step S27.

ステップS27では、照合が一致したか否かを判断し、一致したと判断した場合、ステップS29に飛び、他方、一致していないと判断した場合、ステップS28に進む。ステップS28では、認証に失敗したECUを記録する配列F2に該監視先の名前を記録し、その後処理Cに進む。 In step S27, it is determined whether or not the collation is matched. If it is determined that they match, the process jumps to step S29, and if it is determined that they do not match, the process proceeds to step S28. In step S28, the name of the monitoring destination is recorded in the array F2 in which the ECUs that have failed in authentication are recorded, and then the process proceeds to process C.

一方、ステップ25では、所定時間T3(例えば1秒)が経過したか否かを判断し、1秒が経過していないと判断した場合、ステップS23に戻り、他方、1秒が経過したと判断した場合、ステップS26に進む。ステップS26では、通信異常が発生したECUを記憶する配列F1に該監視先の名前を記録し、その後処理Cに進む。 On the other hand, in step 25, it is determined whether or not a predetermined time T3 (for example, 1 second) has elapsed. If it is determined that 1 second has not elapsed, the process returns to step S23, and on the other hand, it is determined that 1 second has elapsed. If so, the process proceeds to step S26. In step S26, the name of the monitoring destination is recorded in the array F1 storing the ECUs in which the communication abnormality has occurred, and then the process proceeds to process C.

一方、ステップS29では、車両を制御するための通常制御を許可し(即ち、それぞれのメイン制御部の制御を開始させ)、その後ステップS30に進む。ステップS30では、所定時間T2(例えば5分)の経過を待って、処理A(図3)に進む。 On the other hand, in step S29, normal control for controlling the vehicle is permitted (that is, control of each main control unit is started), and then the process proceeds to step S30. In step S30, after elapse of a predetermined time T2 (for example, 5 minutes), the process proceeds to process A (FIG. 3).

次に、図5に基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30がそれぞれ行う防犯処理について説明する。   Next, based on FIG. 5, the security process which engine ECU10, handle ECU20, and wiper ECU30 each perform is demonstrated.

まず、ステップS31では、防犯制御信号を出力(エンジンECU10の場合、フューエルカット信号を出力し、ハンドルECU20の場合、ハンドルロック信号を出力し、ワイパーECU30の場合、ワイパー動作信号を出力する)し、その後ステップS32に進む。 First, in step S31, a crime prevention control signal is output (in the case of the engine ECU 10, a fuel cut signal is output, in the case of the handle ECU 20, a handle lock signal is output, and in the case of the wiper ECU 30, a wiper operation signal is output), Thereafter, the process proceeds to step S32.

ステップS32では、配列F1に記録があったか否かを判断し、配列F1に記録がなかったと判断した場合、ステップS35に飛び、他方、配列F1に記録があったと判断した場合、ステップS33に進む。ステップS33では、配列F1に記録されたECUの通信異常情報をナビゲーション装置71に送信し、その後ステップS34に進む。ステップS34では、配列F1に記録されたECUの通信異常情報を車両サービスセンター72に送信し、その後ステップS35に進む。 In step S32, it is determined whether or not there is a record in the array F1. If it is determined that there is no record in the array F1, the process jumps to step S35, whereas if it is determined that there is a record in the array F1, the process proceeds to step S33. In step S33, the ECU communication abnormality information recorded in the array F1 is transmitted to the navigation device 71, and then the process proceeds to step S34. In step S34, the ECU communication abnormality information recorded in the array F1 is transmitted to the vehicle service center 72, and then the process proceeds to step S35.

ステップS35では、配列F2に記録されたECUが認証に失敗したとの情報をナビゲーション装置71に送信し、その後ステップS36に進む。ステップS36では、配列F2に記録されたECUが認証に失敗したとの情報を車両サービスセンター72に送信し、その後ステップS37に進む。 In step S35, information that the ECU recorded in the array F2 has failed in authentication is transmitted to the navigation device 71, and then the process proceeds to step S36. In step S36, information that the ECU recorded in the array F2 has failed in authentication is transmitted to the vehicle service center 72, and then the process proceeds to step S37.

ステップS37では、車両サービスセンター72から防犯解除信号を受け取ったか否かを判断し、防犯解除信号を受け取ったと判断した場合、ステップS39に進み、他方、防犯解除信号を受け取っていないと判断した場合、ステップS38に進む。 In step S37, it is determined whether or not a security release signal has been received from the vehicle service center 72. If it is determined that a security release signal has been received, the process proceeds to step S39. On the other hand, if it is determined that a security release signal has not been received, Proceed to step S38.

ステップS38では、所定時間T4(例えば5分間)が経過したか否かを判断し、5分間が経過していないと判断した場合、ステップS37に戻り、他方、5分間が経過したと判断した場合、処理動作を終了させる。 In step S38, it is determined whether or not a predetermined time T4 (for example, 5 minutes) has elapsed. If it is determined that 5 minutes have not elapsed, the process returns to step S37, and if it is determined that 5 minutes have elapsed. The processing operation is terminated.

一方、ステップS39では、車両を制御するための通常制御を許可し、その後ステップS40に進む。ステップS40では、防犯制御信号の出力を停止させ、その後処理動作を終了させる。 On the other hand, in step S39, normal control for controlling the vehicle is permitted, and then the process proceeds to step S40. In step S40, the output of the security control signal is stopped, and then the processing operation is terminated.

一方、ナビゲーション装置71では、エンジンECU10、ハンドルECU20及びワイパーECU30のいずれかから、通信異常情報又は認証失敗情報を受け取った場合、画面出力及び/又は音声出力の形式で通信異常が発生したECU又は認証に失敗したECUの情報を出力する。   On the other hand, in the navigation device 71, when communication abnormality information or authentication failure information is received from any of the engine ECU 10, the handle ECU 20, and the wiper ECU 30, the ECU or authentication in which communication abnormality has occurred in the form of screen output and / or voice output. The information of the ECU that failed is output.

また、車両サービスセンター72では、エンジンECU10、ハンドルECU20及びワイパーECU30のいずれかから、通信異常情報又は認証失敗情報を受け取った場合、例えば、車両所有者に連絡することにより状況を確認し、防犯解除が認められた場合、防犯解除信号を上記通信異常情報又は認証失敗情報を送信してきたECUに送る。   Further, in the vehicle service center 72, when communication abnormality information or authentication failure information is received from any of the engine ECU 10, the handle ECU 20, and the wiper ECU 30, for example, the situation is confirmed by contacting the vehicle owner, and the crime prevention is canceled. Is approved, a security release signal is sent to the ECU that has sent the communication abnormality information or the authentication failure information.

また、認証データ更新処理手段11d、21d、31dは、認証データを初期化する初期化手段111d、211d、311dを備えて構成されている。   Further, the authentication data update processing means 11d, 21d, and 31d are configured to include initialization means 111d, 211d, and 311d for initializing the authentication data.

詳述すると、各ECUには、外部よりコマンド送信することでECUを診断する外部診断ツールを接続する端子が設けられており、接続された外部診断ツールから初期化手段111d(または211d、311d)に認証データの初期化コマンドが送信されると、当該初期化コマンドを受け取った初期化手段111d(または211d、311d)は、記憶されている認証データを各ECU出荷時の初期値に変更する。 Specifically, each ECU is provided with a terminal for connecting an external diagnostic tool for diagnosing the ECU by transmitting a command from the outside, and initialization means 111d (or 211d, 311d) is connected from the connected external diagnostic tool. When the initialization command for the authentication data is transmitted, the initialization unit 111d (or 211d, 311d) that has received the initialization command changes the stored authentication data to the initial value at the time of shipment of each ECU.

初期化手段111d、211d、311dを備えることによって以下の効果がある。即ち、ECUの不正な交換が発生していないにも係わらず、メモリへの書き込みエラーやメモリからの読み出しエラー等によって認証コードが正常状態と異なる値となったこと等に起因して、認証データに基づく認証が不可能となる不測の事態が発生した場合、または、認証コードのみが異なる不正なECUに交換がなされた車両を、元のECUに再交換することなく正常に動作させたい場合でも、初期化手段111d、211d、311dによって認証データを初期値に戻すことができるので、不測の事態からの脱却を早期、簡便に行なうことができる。   Providing the initialization means 111d, 211d, 311d has the following effects. In other words, the authentication data is caused by the fact that the authentication code has become a value different from the normal state due to a write error to the memory, a read error from the memory, or the like, even though the ECU has not been illegally replaced. Even if an unexpected situation occurs that makes it impossible to authenticate based on the vehicle, or when a vehicle that has been exchanged for an unauthorized ECU that differs only in the authentication code is to be operated normally without being replaced with the original ECU Since the authentication data can be returned to the initial value by the initialization means 111d, 211d, 311d, it is possible to quickly and easily escape from the unexpected situation.

なお、上記第1の実施の形態では、通信回数を少なくするため、各ECUの監視先が重複しないように、各ECUにおける監視先の選択順序が予め設定されているが、別の実施の形態では、乱数方式により各ECUに監視先を選択させるようにしてもよい。   In the first embodiment, in order to reduce the number of communications, the monitoring destination selection order in each ECU is set in advance so that the monitoring destination of each ECU does not overlap. Then, you may make it make each ECU select the monitoring destination by a random number system.

また、上記第1の実施の形態では、エンジンECU10、ハンドルECU20、ワイパーECU30に認証制御手段が装備され、各ECUにおける制御出力の停止、エンジンECU10によるフューエルカット、ハンドルECU20によるハンドルロック、ワイパーECU30によるワイパー動作を防犯措置としているが、別の実施の形態では、車両の他のECUに認証制御手段を装備し、ハザードランプ、テールランプ、フォグランプ、ルームランプの点灯又は点滅、ホーンの動作、スロットル開度制限又は車速制限などを防犯措置として採用してもよい。   In the first embodiment, the engine ECU 10, the handle ECU 20, and the wiper ECU 30 are equipped with authentication control means. The control output in each ECU is stopped, the fuel cut by the engine ECU 10, the handle lock by the handle ECU 20, and the wiper ECU 30. Although the wiper operation is used as a security measure, in another embodiment, the other ECU of the vehicle is equipped with authentication control means, and the hazard lamp, tail lamp, fog lamp, room lamp lights or blinks, horn operation, throttle opening Restrictions or vehicle speed restrictions may be adopted as security measures.

また、上記第1の実施の形態では、各ECUに監視先を選択させるように設定されているが、別の実施の形態では、各ECUに監視者を選択させるように設定されていてもよい。   In the first embodiment, each ECU is set to select a monitoring destination. However, in another embodiment, each ECU may be set to select a monitor. .

また、上記第1の実施の形態では、予め受信した監視先の認証データと認証時に受信した監視先の認証データとが一致したと判断した場合、認証に成功したと判定するように設定されているが、別の実施の形態では、予め受信した監視先の認証データに対して変換処理を行い、変換された認証データが認証時に受信した監視先の認証データと所定の関係になっていると判断した場合、認証に成功したと判定するように設定されていてもよい。また、その他の実施の形態では、予め受信した監視先の認証データと認証時に受信した監視先の認証データとが完全一致でなくても、ズレが所定の範囲内であると判断した場合、認証に成功したと判定するように設定されていてもよい。   In the first embodiment, when it is determined that the authentication data of the monitoring destination received in advance matches the authentication data of the monitoring destination received at the time of authentication, it is set to determine that the authentication is successful. However, in another embodiment, conversion processing is performed on the monitoring destination authentication data received in advance, and the converted authentication data has a predetermined relationship with the monitoring destination authentication data received at the time of authentication. When it is determined, it may be set to determine that the authentication is successful. In another embodiment, if it is determined that the deviation is within a predetermined range even if the monitoring destination authentication data received in advance and the monitoring destination authentication data received at the time of authentication do not completely match, It may be set so that it is determined that the above has succeeded.

図6は、本発明の第2の実施の形態に係る車両用ECUを含んで構成されたシステムの要部を概略的に示したブロック図である。上記した第1の実施の形態におけるシステムの構成(図1)と同様な構成部分に関しては、ここではその説明を省略する。   FIG. 6 is a block diagram schematically showing a main part of a system including a vehicle ECU according to the second embodiment of the present invention. The description of the same components as the system configuration (FIG. 1) in the first embodiment described above is omitted here.

第1の実施の形態と異なって、ナビゲーション装置71には始動センサー55及びキーセンサー56(スイッチ44を介して)が接続されており、ナビゲーション装置71のECU(図示せず、以下ナビECUと記す)に認証制御手段が設けられている。スイッチ44は外部から操作可能なスイッチであり、専用ツールを用いてスイッチ44をオフしておけば、ナビゲーション装置71の認証機能が解除されるようになっている。   Unlike the first embodiment, the navigation device 71 is connected to a start sensor 55 and a key sensor 56 (via a switch 44). The ECU of the navigation device 71 (not shown, hereinafter referred to as a navigation ECU). ) Is provided with an authentication control means. The switch 44 is a switch that can be operated from the outside. When the switch 44 is turned off using a dedicated tool, the authentication function of the navigation device 71 is canceled.

尚、本実施形態では、キー挿入信号がオンすることにより第一の電源リレー43aがオンして、各ECUに電源が供給されてシステムが起動し、キー挿入信号がオフすることによりエンジンECU10により自己保持用の第二の電源リレー43がオフしてシステムが停止するように構成されている。通信手段は、先の実施形態と同様に、システムの起動時に起動しシステムの停止時に終了するように構成されている。   In the present embodiment, when the key insertion signal is turned on, the first power relay 43a is turned on, power is supplied to each ECU to start the system, and when the key insertion signal is turned off, the engine ECU 10 The second power supply relay 43 for self-holding is turned off and the system is stopped. Similar to the previous embodiment, the communication means is configured to start when the system is started and to end when the system is stopped.

図7は、本発明の第2の実施の形態に係る車両サービスセンター72を示す図である。図7に示したように、車両サービスセンター72は、登録された車両80におけるECUの正規プログラムとROMSUMを含んだ情報を記憶するための記憶手段721と、車両におけるECUの認証情報を作成するための認証管理手段722と、車両と通信するための通信手段723とを備えている。   FIG. 7 is a diagram showing a vehicle service center 72 according to the second embodiment of the present invention. As shown in FIG. 7, the vehicle service center 72 creates storage means 721 for storing information including the ECU regular program and ROMSUM in the registered vehicle 80 and ECU authentication information in the vehicle. Authentication management means 722 and communication means 723 for communicating with the vehicle.

認証管理手段722は、定期的に、車両80におけるECUの認証情報(各ECUの認証データ、認証関係)を更新し、通信手段723を介して各ECUに送信する一方、車両80から認証に失敗したECUの情報を受信した場合、認証に失敗したECUのROMSUMを取得し、予め登録された該ECUのROMSUMと照合し、両者が一致した場合には、防犯解除信号を各ECUに送信し、両者が一致しない場合には、予め登録された前記ECUの正規制御プログラムを前記ECUに送り、インストールさせるように構成されている。   The authentication management means 722 periodically updates the ECU authentication information (authentication data of each ECU, authentication relationship) in the vehicle 80 and transmits it to each ECU via the communication means 723, while the vehicle 80 fails in authentication. When the information of the ECU is received, the ROMSUM of the ECU that has failed in authentication is obtained, and the ROMSUM of the ECU registered in advance is checked. If they match, a security release signal is transmitted to each ECU, If they do not match, the ECU is configured to send the ECU's registered regular control program to the ECU for installation.

上段の定期的とは、例えば、認証情報を週に1回更新させるということであり、この場合は、前回の更新から1週間経過した時点より、初めて当該車両80のキー挿入信号がオンからオフに切り替えられたときに、認証情報を更新させる。   The term “upper period” means, for example, that the authentication information is updated once a week. In this case, the key insertion signal of the vehicle 80 is switched from on to off for the first time since one week has passed since the last update. The authentication information is updated when switched to.

図8は、車両サービスセンター72が各ECUに認証情報を送信する場合の例を示す図である。図8に示したように、車両サービスセンター72は、エンジンECU10に対して作成された認証情報(認証データ:ABC10、監視者:ナビECUとECU30、監視先:ECU20、監視先の認証データ:BCA20)をエンジンECU10に送信し、ハンドルECU20に対して作成された認証情報(認証データ:BCA20、監視者:ECU10、監視先:ナビECU、監視先の認証データ:ABC72)をハンドルECU20に送信し、ワイパーECU30に対して作成された認証情報(認証データ:ABC30、監視者:ナビECU、監視先:ECU10、監視先の認証データ:ABC10)をワイパーECU30に送信し、ナビECUに対して作成された認証情報(認証データ:ABC72、監視者:ECU20、監視先:ECU10とECU30、監視先の認証データ:ABC10とABC30)をナビECUに送信する。   FIG. 8 is a diagram illustrating an example when the vehicle service center 72 transmits authentication information to each ECU. As shown in FIG. 8, the vehicle service center 72 uses authentication information (authentication data: ABC10, monitor: navigation ECU and ECU 30, monitor destination: ECU 20, monitor destination authentication data: BCA20 created for the engine ECU 10. ) Is transmitted to the engine ECU 10, and authentication information (authentication data: BCA20, monitoring person: ECU10, monitoring destination: navigation ECU, monitoring destination authentication data: ABC72) created for the steering wheel ECU 20 is transmitted to the steering wheel ECU 20, The authentication information (authentication data: ABC30, monitoring person: navigation ECU, monitoring destination: ECU10, monitoring destination authentication data: ABC10) created for the wiper ECU 30 is transmitted to the wiper ECU 30, and created for the navigation ECU. Authentication information (authentication data: ABC72, monitoring person: ECU20, monitoring destination: CU10 and ECU30, the monitoring destination of the authentication data: ABC10 and ABC30) and transmits to the navigation ECU.

一方、エンジンECU10、ハンドルECU20、ワイパーECU30及びナビECUでは、車両サービスセンター72から新しい認証情報を受信すると、該新しい認証情報をそれぞれ各自のEEPROMに保存する。   On the other hand, when the engine ECU 10, the handle ECU 20, the wiper ECU 30, and the navigation ECU receive new authentication information from the vehicle service center 72, the new authentication information is stored in their own EEPROMs.

次に、図9と図10に示したフローチャートに基づいて、エンジンECU10、ハンドルECU20、ワイパーECU30及びナビECUが行う認証処理動作及び防犯処理動作について説明する。   Next, based on the flowcharts shown in FIGS. 9 and 10, the authentication processing operation and the crime prevention processing operation performed by the engine ECU 10, the handle ECU 20, the wiper ECU 30, and the navigation ECU will be described.

図9に示したように、ステップS61において、キー挿入信号を受け取ると、次にステップS62に進む。ステップS62では、各自のEEPROMに記憶されている自己の認証データを指定された監視者に送信し、その後ステップS63に進む。 As shown in FIG. 9, when a key insertion signal is received in step S61, the process proceeds to step S62. In step S62, the user's own authentication data stored in their own EEPROM is transmitted to the designated supervisor, and then the process proceeds to step S63.

ステップS63では、指定された監視先の認証データを受信したか否かを判断し、指定された監視先の認証データを受信していないと判断した場合、ステップS63に戻り、他方、指定された監視先の認証データを受信したと判断した場合、ステップS64に進む。 In step S63, it is determined whether or not authentication data for the designated monitoring destination has been received. If it is determined that authentication data for the designated monitoring destination has not been received, the process returns to step S63, while the designated monitoring destination authentication data has not been received. If it is determined that the authentication data of the monitoring destination has been received, the process proceeds to step S64.

ステップ64では、受信した監視先の認証データを各自のEEPROMに記憶されている当該監視先の認証データと照合し、その後ステップS65に進む。ステップS65では、照合結果を他のECUに送信し、その後ステップS66に進む。 In step 64, the received authentication data of the monitoring destination is collated with the authentication data of the monitoring destination stored in the respective EEPROM, and then the process proceeds to step S65. In step S65, the collation result is transmitted to another ECU, and then the process proceeds to step S66.

ステップS66では、すべてのECUの照合結果を受信したか否かを判断し、すべてのECUの照合結果を受信したと判断した場合、処理Fに飛び、他方、すべてのECUの照合結果を受信してはいないと判断した場合、ステップS67に進む。ステップS67では、所定時間T2(例えば1秒)が経過したか否かを判断し、1秒が経過していないと判断した場合、ステップS66に戻り、他方、1秒が経過したと判断した場合、処理Fに進む。 In step S66, it is determined whether or not the verification results of all the ECUs have been received. If it is determined that the verification results of all the ECUs have been received, the process jumps to the process F, and on the other hand, the verification results of all the ECUs are received. If not, the process proceeds to step S67. In step S67, it is determined whether or not a predetermined time T2 (for example, 1 second) has elapsed, and when it is determined that 1 second has not elapsed, the process returns to step S66, while when it is determined that 1 second has elapsed The process proceeds to process F.

次に、図10に基づいて処理Fについて説明する。   Next, the process F is demonstrated based on FIG.

図10に示したように、ステップS71において、他のECUから受信した照合結果により各ECUに対する認証結果を判定する。同じ監視先に複数の監視者が存在する場合、所定数(例えば、半数)以上の監視者による照合結果が一致した場合にのみ、該監視先が認証に成功したと判定する。 As shown in FIG. 10, in step S71, an authentication result for each ECU is determined based on a collation result received from another ECU. When there are a plurality of monitors at the same monitoring destination, it is determined that the monitoring destination has succeeded in authentication only when the collation results by a predetermined number (for example, half) or more of the monitoring targets match.

ステップS71に続いて、ステップS72では、認証に失敗したECUが存在するか否かを判断し、認証に失敗したECUが存在しないと判断した場合、ステップS73に進み、他方、認証に失敗したECUが存在すると判断した場合、ステップS74に進む。 Subsequent to step S71, in step S72, it is determined whether there is an ECU that has failed in authentication. If it is determined that there is no ECU that has failed in authentication, the process proceeds to step S73, while the ECU that has failed in authentication. If it is determined that exists, the process proceeds to step S74.

ステップS74では、防犯制御信号を出力し(エンジンECU10の場合、フューエルカット信号を出力し、ハンドルECU20の場合、ハンドルロック信号を出力し、ワイパーECU30の場合、ワイパー動作信号を出力し、ナビECUの場合、認証失敗の情報を表示画面又は音声案内により出力する)し、その後ステップS75に進む。 In step S74, a crime prevention control signal is output (in the case of the engine ECU 10, a fuel cut signal is output, in the case of the handle ECU 20, a handle lock signal is output, in the case of the wiper ECU 30, a wiper operation signal is output, and the navigation ECU In this case, the authentication failure information is output on the display screen or by voice guidance), and then the process proceeds to step S75.

ステップS75では、認証に失敗したECUが自己の監視先であるか否かを判断し、認証に失敗したECUが自己の監視先ではないと判断した場合、ステップS77に飛び、他方、認証に失敗したECUが自己の監視先であると判断した場合、ステップS76に進む。 In step S75, it is determined whether the ECU that has failed in authentication is its own monitoring destination. If it is determined that the ECU that has failed in authentication is not its own monitoring destination, the process jumps to step S77, and on the other hand, the authentication fails. If the determined ECU determines that it is the monitoring destination of itself, the process proceeds to step S76.

ステップS76では、車両サービスセンター72に認証失敗の情報を送信し、その後ステップS77に進む。ステップS77では、車両サービスセンター72からROMSUMの送信要求を受信したか否かを判断し、ROMSUMの送信要求を受信していないと判断した場合、ステップS81に飛び、他方、ROMSUMの送信要求を受信したと判断した場合、ステップS78に進む。 In step S76, information of authentication failure is transmitted to the vehicle service center 72, and then the process proceeds to step S77. In step S77, it is determined whether or not a ROMSUM transmission request has been received from the vehicle service center 72. If it is determined that a ROMSUM transmission request has not been received, the process jumps to step S81 while receiving a ROMSUM transmission request. If it is determined that the process has been performed, the process proceeds to step S78.

ステップS78では、ROMSUMを車両サービスセンター72に送信し、その後ステップS79に進む。ステップS79では、車両サービスセンター72から制御プログラムを受信したか否かを判断し、制御プログラムを受信していないと判断した場合、ステップS81に飛び、他方、制御プログラムを受信したと判断した場合、ステップS80に進む。ステップS80では、受信した制御プログラムで現在の制御プログラムを更新し、その後処理動作を終了させる。 In step S78, ROMSUM is transmitted to the vehicle service center 72, and then the process proceeds to step S79. In step S79, it is determined whether or not a control program has been received from the vehicle service center 72. If it is determined that the control program has not been received, the process jumps to step S81, whereas if it is determined that the control program has been received, Proceed to step S80. In step S80, the current control program is updated with the received control program, and then the processing operation is terminated.

一方、ステップS81では、車両サービスセンター72から防犯解除信号を受け取ったか否かを判断し、防犯解除信号を受け取っていないと判断した場合、ステップS77に戻り、他方、防犯解除信号を受け取ったと判断した場合、ステップS82に進む。 On the other hand, in step S81, it is determined whether a security release signal has been received from the vehicle service center 72. If it is determined that a security release signal has not been received, the process returns to step S77, and on the other hand, it has been determined that a security release signal has been received. If so, the process proceeds to step S82.

ステップS82では、車両を制御するための通常制御を許可し(即ち、それぞれのメイン制御部の制御を開始させ)、その後ステップS83に進む。ステップS83では、防犯制御信号の出力を停止させ、その後処理動作を終了させる。一方、ステップS73では、車両を制御するための通常制御を許可し、その後処理動作を終了させる。 In step S82, normal control for controlling the vehicle is permitted (that is, control of each main control unit is started), and then the process proceeds to step S83. In step S83, the output of the crime prevention control signal is stopped, and then the processing operation is ended. On the other hand, in step S73, normal control for controlling the vehicle is permitted, and then the processing operation is terminated.

なお、上記第2の実施の形態に係るECUでは、エンジンECU10、ハンドルECU20、ワイパーECU30、ナビECUに認証制御手段11b、21b、31bが装備され、各ECUにおける制御出力の一時停止、エンジンECU10によるフューエルカット、ハンドルECU20によるハンドルロック、ワイパーECU30によるワイパー動作、ナビゲーション装置の画面表示又は音声案内により認証失敗情報の出力を防犯措置とするが、別の実施の形態では、車両の他のECUに認証制御手段を装備し、ハザードランプ、テールランプ、フォグランプ、ルームランプの点灯又は点滅、ホーンの動作、スロットル開度制限又は車速制限などを防犯措置として採用してもよい。   Note that in the ECU according to the second embodiment, the engine ECU 10, the handle ECU 20, the wiper ECU 30, and the navigation ECU are equipped with authentication control means 11b, 21b, 31b. Although it is a security measure to output authentication failure information by fuel cut, handle lock by the handle ECU 20, wiper operation by the wiper ECU 30, screen display of the navigation device or voice guidance, in another embodiment, it is authenticated to another ECU of the vehicle Control means may be provided, and hazard lamps, tail lamps, fog lamps, lighting or blinking of room lamps, horn operation, throttle opening restriction, or vehicle speed restriction may be employed as security measures.

また、上記第2の実施の形態では、予め受信した監視先の認証データと認証時に受信した監視先の認証データとが一致したと判断した場合、認証に成功したと判定するように設定されているが、別の実施の形態では、予め受信した監視先の認証データに対して変換処理を行い、変換された認証データが認証時に受信した監視先の認証データと所定の関係になっていると判断した場合、認証に成功したと判定するように設定されていてもよい。また、その他の実施の形態では、予め受信した監視先の認証データと認証時に受信した監視先の認証データとが完全一致でなくても、ズレが所定の範囲内であると判断した場合、認証に成功したと判定するように設定されていてもよい。   In the second embodiment, when it is determined that the monitoring destination authentication data received in advance matches the monitoring destination authentication data received at the time of authentication, the authentication is set to be determined as successful. However, in another embodiment, conversion processing is performed on the monitoring destination authentication data received in advance, and the converted authentication data has a predetermined relationship with the monitoring destination authentication data received at the time of authentication. When it is determined, it may be set to determine that the authentication is successful. In another embodiment, if it is determined that the deviation is within a predetermined range even if the monitoring destination authentication data received in advance and the monitoring destination authentication data received at the time of authentication do not completely match, It may be set so that it is determined that the above has succeeded.

本発明の第3の実施の形態に係る車両用ECUを含んで構成されたシステムの要部を概略的に示したブロック図は、上記した第1の実施の形態におけるシステムの構成(図1)と同様な構成を備えているが、認証制御手段11b、21b、31bにおいて認証され、認証データ更新処理手段11d、21d、31dにおいて更新される認証データの内容が異なるものとなっている。   The block diagram schematically showing the main part of the system configured to include the vehicle ECU according to the third embodiment of the present invention is the configuration of the system in the first embodiment (FIG. 1). The authentication data is authenticated by the authentication control means 11b, 21b, 31b, and the contents of the authentication data updated in the authentication data update processing means 11d, 21d, 31d are different.

つまり、第1の実施の形態では、認証データが各ECUを一意に識別することが可能な認証データであったのに対して、第3の実施の形態では、認証データが通信手段12、22、32により送受信されるデータの属性と通信優先順位を示すIDデータとなっている。   That is, in the first embodiment, the authentication data is authentication data that can uniquely identify each ECU, whereas in the third embodiment, the authentication data is communication means 12, 22. , 32 is ID data indicating the attribute of data transmitted and received and the communication priority.

データの属性は、送り先のECUが所定の処理を実行するために必要なエンジン回転数、水温といったデータの種類を示す。   The data attribute indicates the type of data such as the engine speed and water temperature required for the destination ECU to execute a predetermined process.

通信優先順位データは、IDデータが数値で表されている場合に、IDデータが小さい程または大きい程、優先順位が高く設定されることを示しており、例えば、複数のECUから同時にデータが送信されてバス上でデータが衝突したときに、IDデータが小さい(大きい)、つまり優先順位が高く設定されているECUから優先してデータの送信が行なわれ、IDデータが大きい(小さい)、つまり優先順位が低く設定されているECUは、優先順位が高く設定されているECUの送信処理が完了するまで送信処理を保留するように調停するためのデータである。   The communication priority data indicates that when the ID data is represented by a numerical value, the priority is set higher as the ID data is smaller or larger. For example, data is transmitted simultaneously from a plurality of ECUs. When the data collides on the bus, the ID data is small (large), that is, data is transmitted with priority from the ECU set with a high priority, and the ID data is large (small), that is, The ECU with the lower priority set is data for arbitrating so that the transmission process is suspended until the transmission process of the ECU with the higher priority set is completed.

また、IDデータは、図11に示すように、通信開始時に各ECUのEEPROMから読み出されて、通信手段12、22、32に備えられた送信ID記憶手段121、221、321および受信ID記憶手段122、222、322に設定された夫々複数の送信IDと受信IDによって構成されており、通信手段12、22、32は、データを受信したときに、受信ID記憶手段122、222、322に記憶されている自身ECUの受信IDと受信データに含まれている送信元の送信IDとの一致不一致を照合することによって、当該受信データを受信するか否かを決定する。   Further, as shown in FIG. 11, the ID data is read from the EEPROM of each ECU at the start of communication, and the transmission ID storage means 121, 221 and 321 provided in the communication means 12, 22, and 32 and the reception ID storage. Each of the transmission IDs and reception IDs set in the means 122, 222, and 322 is configured, and the communication means 12, 22, and 32 receive data in the reception ID storage means 122, 222, and 322 when data is received. It is determined whether or not to receive the received data by collating the stored reception ID of the ECU with the transmission ID of the transmission source included in the received data.

例えば、ハンドルECU20の通信手段22から送信される送信ID(=100)は、エンジンECU10のEEPROMの受信IDに含まれているので、エンジンECU10において受信される。逆に、エンジンECU10の通信手段12から送信されるデータは、エンジンECU10のEEPROMに記憶された何れの送信IDもハンドルECU20の通信手段22における受信IDに含まれていないので、ハンドルECU20において受信されない。   For example, the transmission ID (= 100) transmitted from the communication means 22 of the handle ECU 20 is received by the engine ECU 10 because it is included in the reception ID of the EEPROM of the engine ECU 10. On the contrary, the data transmitted from the communication unit 12 of the engine ECU 10 is not received by the handle ECU 20 because any transmission ID stored in the EEPROM of the engine ECU 10 is not included in the reception ID of the communication unit 22 of the handle ECU 20. .

上述のように、第3の実施の形態においては、認証データの内容が第1の実施の形態と異なるため、認証データ更新処理手段11d、21d、31dは、通信手段12による通信の終了時に認証データを更新することは同様ながらも、認証データの更新は、第1の実施の形態とは異なる方法で行われるように構成されている。   As described above, in the third embodiment, since the contents of the authentication data are different from those in the first embodiment, the authentication data update processing means 11d, 21d, 31d are authenticated at the end of communication by the communication means 12. Although updating the data is the same, the authentication data is updated by a method different from that of the first embodiment.

以下に詳述する。なお、以下の説明では認証データ更新処理手段11dについて説明するが、他の認証データ更新処理手段21d、31dも同様の構成を有している。
This will be described in detail below. In the following description, the authentication data update processing unit 11d will be described, but the other authentication data update processing units 21d and 31d have the same configuration.

認証データ更新処理手段11dは、更新前の認証データの更新時とは異なる変動データを変数とする所定の認証データ生成関数に基づいて更新前の認証データを新たな認証データに更新するように構成されている。   The authentication data update processing unit 11d is configured to update the authentication data before the update to new authentication data based on a predetermined authentication data generation function using variable data different from that at the time of updating the authentication data before the update as a variable. Has been.

認証データ生成関数は、〔数1〕で示すような所定のハッシュ関数f( )であり、認証データ更新処理手段11dは、このハッシュ関数f( )に変動データを適用することで新たな認証データID2を算出する。

Figure 2008084120
The authentication data generation function is a predetermined hash function f () as shown in [Equation 1], and the authentication data update processing means 11d applies new data to the hash function f () by applying the fluctuation data. ID2 is calculated.
Figure 2008084120

ここで、変動データとは、現在の認証データID1、GPSにより取得した緯度と経度で表される車両位置d1、累積走行距離d2、時刻d3等であり、認証データID1以外のデータは、前回の認証データID1の生成時から変動している任意のデータである。   Here, the fluctuation data is the current authentication data ID1, the vehicle position d1 represented by the latitude and longitude acquired by GPS, the cumulative travel distance d2, the time d3, etc. The data other than the authentication data ID1 is the previous data This is arbitrary data that has fluctuated since the generation of the authentication data ID1.

また、ハッシュ関数f( )の例としては、車両位置d1、累積走行距離d2、時刻d3、及び前回の認証データID1を加算した値を変数として128ビットの任意のデータを生成するMD5のような関数を使用することができ、算出されたハッシュ値のLSBから所定桁数のビットを次回の認証データID2とすることができる。   Further, as an example of the hash function f (), MD5 that generates 128-bit arbitrary data using a value obtained by adding the vehicle position d1, the cumulative travel distance d2, the time d3, and the previous authentication data ID1 as a variable is used. A function can be used, and a predetermined number of bits from the LSB of the calculated hash value can be used as the next authentication data ID2.

また、全てのECUは、同一の変動データを取得するように構成されており、例えば、累積走行距離d2は、累積走行距離d2をカウントしている特定のECUから車両における他の全てのECUへ送信される。   Further, all the ECUs are configured to acquire the same variation data. For example, the cumulative travel distance d2 is transmitted from a specific ECU counting the cumulative travel distance d2 to all other ECUs in the vehicle. Sent.

さらに、更新されたIDデータは、更新の前後において通信優先順位に変動がないように構成されている。   Furthermore, the updated ID data is configured such that there is no change in the communication priority before and after the update.

例えば、認証データ更新処理手段11d、21d、31dは、更新前の全てのIDデータについての通信優先順位をRAM等の一時記憶手段(図示せず)に記憶しておき、更新した全てのIDデータを更新前の各ECUに対応させることなく前記一時記憶手段に記憶させる。そして、前記一時記憶手段に記憶させた更新IDデータを、予め記憶させておいた前記通信優先順位に基づいて並べ替えを行なった後に、更新前と同順位となったIDデータを各ECUに対して割り当てる。   For example, the authentication data update processing means 11d, 21d, and 31d store the communication priority for all ID data before update in a temporary storage means (not shown) such as RAM, and update all the ID data. Is stored in the temporary storage means without corresponding to each ECU before update. Then, after the update ID data stored in the temporary storage means is rearranged based on the communication priority order stored in advance, the ID data having the same rank as before the update is sent to each ECU. Assign.

別の例として、認証データ更新処理手段11d、21d、31dは、更新後のIDデータが、更新前の同じ優先順位を維持していない場合に再計算を行なうように構成されており、この再計算では、異なる認証データ生成関数や、前回通信開始時からの走行距離、現在位置のうちの経度のみ又は緯度のみ或いはそれら両方からなるデータといった再計算前とは異なる変動データを使用する。   As another example, the authentication data update processing means 11d, 21d, and 31d are configured to perform recalculation when the updated ID data does not maintain the same priority before update. In the calculation, different authentication data generation function, travel distance from the start of the previous communication, and data including only the longitude and / or the latitude of the current position are used.

ハッシュ関数等の不規則なデータを算出する認証データ生成関数に毎回異なる変動データを適用することで、新たな認証データに更新されることから、電子制御装置の盗難や各電子制御装置相互間の通信の盗聴等による認証データの特定を困難なものとすることができる。   By applying different fluctuating data each time to the authentication data generation function that calculates irregular data such as a hash function, the authentication data is updated to new authentication data. It is possible to make it difficult to specify authentication data by eavesdropping on communication.

次に、図12のフローチャートに基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30が通信の終了時に行なう送信IDと受信IDの更新処理について説明する。   Next, a transmission ID and reception ID update process performed by the engine ECU 10, the handle ECU 20, and the wiper ECU 30 at the end of communication will be described based on the flowchart of FIG.


まず、ステップS61では、各ECUの認証データ更新処理手段11d、21d、31dが当該車両の何れかのECUより車両位置d1や累積走行距離d2といった変動データを取得する。
First, in step S61, the authentication data update processing means 11d, 21d, 31d of each ECU acquires fluctuation data such as the vehicle position d1 and the cumulative travel distance d2 from any ECU of the vehicle.

ステップS62では、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMまたは受信ID記憶手段122、222、322より今回の通信動作中に使用していた受信IDを読み出す。 In step S62, the authentication data update processing means 11d, 21d, 31d of each ECU reads out the reception ID used during the current communication operation from its own EEPROM or reception ID storage means 122, 222, 322.

ステップS63では、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMまたは送信ID記憶手段121、221、321より今回の通信動作中に使用していた送信IDを読み出す。   In step S63, the authentication data update processing means 11d, 21d, 31d of each ECU reads out the transmission ID used during the current communication operation from its own EEPROM or transmission ID storage means 121, 221 and 321.

ステップS64では、各ECUの認証データ更新処理手段11d、21d、31dが各自のメモリ11c、21c、31cのROMより使用する認証データ生成関数f( )を読み出す。 In step S64, the authentication data update processing means 11d, 21d, 31d of each ECU reads the authentication data generation function f () used from the ROM of its own memory 11c, 21c, 31c.

ステップS65では、各ECUの認証データ更新処理手段11d、21d、31dが、読み出した変動データと送信IDを認証データ生成関数f( )に適用して演算させることで、次回の通信開始時より使用する新たな送信IDを算出し、また、読み出した変動データと受信IDを認証データ生成関数f( )に適用して演算させることで、次回の通信開始時より使用する新たな受信IDを算出する。なお、ステップS65においては、送信IDと受信IDを認証データID1として夫々〔数1〕に適用する。 In step S65, the authentication data update processing means 11d, 21d, 31d of each ECU applies the read fluctuation data and transmission ID to the authentication data generation function f () to perform calculation, so that it can be used from the start of the next communication. A new transmission ID to be used is calculated, and a new reception ID to be used from the start of the next communication is calculated by applying the read variation data and the reception ID to the authentication data generation function f () and calculating them. . In step S65, the transmission ID and the reception ID are applied to [Equation 1] as authentication data ID1, respectively.

ステップS66では、各ECUの認証データ更新処理手段11d、21d、31dが算出した新たな送信IDと受信IDを各自のEEPROMに記憶する。 In step S66, the new transmission ID and reception ID calculated by the authentication data update processing means 11d, 21d, 31d of each ECU are stored in their own EEPROM.

なお、次回の通信開始時に、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMより、図12のステップ65で記憶した送信IDと受信IDを読み出して、夫々送信ID記憶手段121、221、321と受信ID記憶手段122、222、322に記憶させる。 At the start of the next communication, the authentication data update processing means 11d, 21d, 31d of each ECU reads the transmission ID and the reception ID stored in step 65 of FIG. 221 and 321 and the reception ID storage means 122, 222 and 322.

第3の実施の形態を用いることで、車両に不正なECUが搭載された場合において、不正なECUと他のECUの間のデータ送受信が不可能となることから、車両が正常な動作を行なうことが不可能となるので、各ECUを認証するための手段を各ECUに別途設ける必要がない。   By using the third embodiment, when an unauthorized ECU is mounted on the vehicle, data transmission / reception between the unauthorized ECU and another ECU becomes impossible, so that the vehicle operates normally. Therefore, it is not necessary to separately provide a means for authenticating each ECU in each ECU.

なお、上記第3の実施の形態では、通信終了時に送信IDと受信IDを更新する構成について説明したが、送信IDや受信IDの更新のタイミングはこれに限らない。例えば、通信終了時に受信ID(送信ID)を更新して通信開始時に送信ID(受信ID)を更新する構成や、通信開始時にのみ送信IDと受信IDを更新する構成であってもよい。   In the third embodiment, the configuration in which the transmission ID and the reception ID are updated at the end of communication has been described. However, the timing for updating the transmission ID and the reception ID is not limited to this. For example, the configuration may be such that the reception ID (transmission ID) is updated at the end of communication and the transmission ID (reception ID) is updated at the start of communication, or the transmission ID and reception ID are updated only at the start of communication.

また、上記第3の実施の形態では、IDデータはデータの属性と通信優先順位を示す構成について説明したが、IDデータはデータの属性または通信優先順位の何れかのみを示す構成であってもよい。   In the third embodiment, the ID data has been described with respect to the data attribute and the communication priority. However, the ID data may have only the data attribute or the communication priority. Good.

また、上記第3の実施の形態では、送信ID記憶手段121、221、321と受信ID記憶手段122、222、322に記憶されている全ての送信IDと受信IDを更新する構成について説明したが、送信IDと受信IDの一部のみ更新を行ない、その他の送信IDと受信IDは固定値とする構成であってもよい。   In the third embodiment, the transmission ID storage means 121, 221 and 321 and the reception ID storage means 122, 222 and 322 have been described as updating all transmission IDs and reception IDs. Alternatively, only a part of the transmission ID and reception ID may be updated, and the other transmission ID and reception ID may be fixed values.

このとき、固定値である送信IDや受信IDは、通信優先順位が最大順位または最小順位となるように構成されていることが望ましく、このような構成は、例えば、最大順位(最小順位)にしたいIDデータを、メモリ11c、21、31cの各アドレスのMSBからLSBまで全て「1」または「0」(「0」または「1」)とすること、または、これらの近傍値とすることで実現される。   At this time, it is desirable that the transmission ID and reception ID that are fixed values are configured such that the communication priority is the maximum or minimum order, and such a configuration is, for example, the maximum order (minimum order). By setting the ID data to be set to “1” or “0” (“0” or “1”) from the MSB to the LSB of each address in the memories 11c, 21, and 31c, or by setting these values in the vicinity. Realized.

また、上記第3の実施の形態では、認証データ更新処理手段11d、21d、31dは、特定の認証データ生成関数に基づいて認証データを新たな認証データに更新する構成について説明したが、認証データ更新処理手段11d、21d、31dは、更新前の認証データの更新時とは異なる変動データを変数として新たな認証データを生成する複数の認証データ生成関数と、更新前の認証データの更新時とは異なる変動データを変数として前記複数の認証データ生成関数の何れかを選択する選択関数を備えており、前記選択関数に基づいて選択された認証データ生成関数に基づいて前記認証データを新たな認証データに更新するように構成するものであってもよい。   In the third embodiment, the authentication data update processing units 11d, 21d, and 31d have been described with reference to a configuration in which authentication data is updated to new authentication data based on a specific authentication data generation function. The update processing units 11d, 21d, and 31d include a plurality of authentication data generation functions that generate new authentication data using variable data different from the update time of the authentication data before update, and the update time of the authentication data before update. Includes a selection function for selecting any one of the plurality of authentication data generation functions using different variation data as a variable, and the authentication data is newly authenticated based on the authentication data generation function selected based on the selection function. It may be configured to update to data.

詳述すると、各ECUのメモリ11c、21c、31cのROMには、複数の認証データ生成関数(f1( )からfn( ))が識別番号Nと共に記憶されており、認証データの更新時に何れの認証データ生成関数を使用するのかを〔数2〕に示すようなハッシュ関数である選択関数g( )によって選択するように構成されている。

Figure 2008084120
More specifically, a plurality of authentication data generation functions (f1 () to fn ()) are stored together with an identification number N in the ROMs of the memories 11c, 21c, and 31c of each ECU. Whether to use the authentication data generation function is selected by a selection function g () which is a hash function as shown in [Equation 2].
Figure 2008084120

ここで、変動データとは、第3の実施の形態と同様、現在の認証データID1、GPSにより取得した緯度と経度で表される車両位置d1、累積走行距離d2、時刻d3等であり、認証データID1以外のデータは、前回の認証データID1の生成時から変動している任意のデータである。
Here, the variation data is the current authentication data ID1, the vehicle position d1 represented by the latitude and longitude acquired by the GPS, the cumulative travel distance d2, the time d3, etc., as in the third embodiment. Data other than the data ID1 is arbitrary data that has fluctuated since the last generation of the authentication data ID1.

また、選択関数g( )の例としても上述と同様に、車両位置d1、累積走行距離d2、時刻d3、及び前回の認証データID1を加算した合計値を変数として所定ビット数のハッシュ値を算出するハッシュ関数等を採用することができ、得られたハッシュ値の下1桁の数値を識別番号Nと求めるように構成することができる。
Also, as an example of the selection function g (), a hash value having a predetermined number of bits is calculated using the total value obtained by adding the vehicle position d1, the cumulative travel distance d2, the time d3, and the previous authentication data ID1 as a variable. A hash function or the like can be employed, and the last one digit of the obtained hash value can be obtained as the identification number N.

次に、図13(a)と図13(b)のフローチャートに基づいて、エンジンECU10、ハンドルECU20及びワイパーECU30が通信の終了時および開始時にそれぞれ行なう送信IDと受信IDの更新処理について説明する。図13(a)では、通信の終了時における受信IDの更新処理について説明し、図13(b)では、通信の開始時における送信IDの更新処理について説明する。   Next, based on the flowcharts of FIGS. 13A and 13B, the transmission ID and reception ID update processing performed by the engine ECU 10, the handle ECU 20, and the wiper ECU 30 at the end and start of communication, respectively, will be described. FIG. 13A describes the reception ID update process at the end of communication, and FIG. 13B describes the transmission ID update process at the start of communication.

以下、図13(a)に基づいて、通信の終了時における認証データの更新処理について説明する。   The authentication data update process at the end of communication will be described below with reference to FIG.


まず、ステップS81では、各ECUの認証データ更新処理手段11d、21d、31dが当該車両の何れかのECUより車両位置d1や累積走行距離d2といった変動データを取得する。ステップ82では、各ECUの認証データ更新処理手段11b、21b、31bが各自のEEPROMまたは受信ID記憶手段122、222、322より今回の通信動作中に使用していた受信IDを読み出し、ステップS83では、各ECUの認証データ更新処理手段11d、21d、31dが、選択関数g( )を用いることによって、各自のメモリ11c、21c、31cのROMに記憶されている複数の認証データ生成関数(f1( )からfn( ))から一つの認証データ生成関数を選択する。
First, in step S81, the authentication data update processing means 11d, 21d, 31d of each ECU acquires fluctuation data such as the vehicle position d1 and the cumulative travel distance d2 from any ECU of the vehicle. In step 82, the authentication data update processing means 11b, 21b, 31b of each ECU reads out the reception ID used during the current communication operation from its own EEPROM or reception ID storage means 122, 222, 322, and in step S83. By using the selection function g (), the authentication data update processing means 11d, 21d, 31d of each ECU uses a plurality of authentication data generation functions (f1 () stored in the ROMs of the respective memories 11c, 21c, 31c. ) To fn ()), one authentication data generation function is selected.

ステップS84では、各ECUの認証データ更新処理手段11d、21d、31dが、変動データと受信IDをステップS83で読み出した認証データ生成関数f( )に適用して演算させることで、次回の通信開始時より使用する新たな受信IDを算出する。なお、ステップS84においては、受信IDを認証データID1として〔数1〕に適用する。 In step S84, the authentication data update processing means 11d, 21d, 31d of each ECU applies the fluctuation data and the reception ID to the authentication data generation function f () read out in step S83 to calculate the next communication. A new reception ID to be used from time is calculated. In step S84, the received ID is applied to [Equation 1] as authentication data ID1.

ステップS85では、ステップS83において選択した一つの認証データ生成関数をEEPROMに記憶する。ステップS86では、各ECUの認証データ更新処理手段11d、21d、31dが算出した新たな受信IDを各自のEEPROMに記憶して、ステップS87では、今回の通信動作中に使用していた送信IDを各自のEEPROMに記憶する。 In step S85, one authentication data generation function selected in step S83 is stored in the EEPROM. In step S86, the new reception ID calculated by the authentication data update processing means 11d, 21d, 31d of each ECU is stored in its own EEPROM. In step S87, the transmission ID used during the current communication operation is stored. Store it in its own EEPROM.

以下、図13(b)に基づいて、通信の開始時における認証データの更新処理について説明する。   The authentication data update process at the start of communication will be described below with reference to FIG.


まず、ステップS91では、各ECUの認証データ更新処理手段11d、21d、31dが当該車両の何れかのECUより車両位置d1や累積走行距離d2といった変動データを取得する。ステップS92では、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMより、図13(a)のステップS86で記憶した今回の通信動作中に使用する受信IDを読み出し、ステップS93では、読み出した受信IDを受信ID記憶手段122、222、322に記憶させる。
First, in step S91, the authentication data update processing means 11d, 21d, 31d of each ECU acquires fluctuation data such as the vehicle position d1 and the accumulated travel distance d2 from any ECU of the vehicle. In step S92, the authentication data update processing means 11d, 21d, 31d of each ECU reads out the reception ID used during the current communication operation stored in step S86 of FIG. 13A from its own EEPROM, and in step S93. The received reception ID is stored in the reception ID storage means 122, 222, 322.

ステップS94では、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMより、図13(a)のステップS85で記憶した認証データ生成関数f( )を読み出す。ステップS95では、各ECUの認証データ更新処理手段11d、21d、31dが各自のEEPROMより、図13(a)のステップS87で記憶した前回の通信動作中に使用していた送信IDを読み出す。 In step S94, the authentication data update processing means 11d, 21d, 31d of each ECU reads the authentication data generation function f () stored in step S85 of FIG. 13A from its own EEPROM. In step S95, the authentication data update processing means 11d, 21d, 31d of each ECU reads the transmission ID used during the previous communication operation stored in step S87 of FIG. 13A from its own EEPROM.

ステップS96では、各ECUの認証データ更新処理手段11d、21d、31dが、読み出した変動データと送信IDを認証データ生成関数に適用して演算させることで、今回の通信開始時より使用する新たな送信IDを算出する。なお、ステップS96においては、送信IDを認証データID1として〔数1〕に適用する。 In step S96, the authentication data update processing means 11d, 21d, 31d of each ECU applies the read fluctuation data and transmission ID to the authentication data generation function to calculate the new data to be used from the start of the current communication. A transmission ID is calculated. In step S96, the transmission ID is applied to [Equation 1] as authentication data ID1.

ステップS97では、各ECUの認証データ更新処理手段11d、21d、31dが算出した新たな送信IDを送信ID記憶手段121、221、321に記憶させる。 In step S97, the new transmission ID calculated by the authentication data update processing means 11d, 21d, 31d of each ECU is stored in the transmission ID storage means 121, 221 and 321.

また、上記第3の実施の形態では、通信手段12、22、32により送受信されるデータの属性と通信優先順位を示すIDデータが送信IDと受信IDによって構成されており、送信IDと受信IDが夫々、送信ID記憶手段121、221、321および受信ID記憶手段122、222、322に格納される構成について説明したが、これに限らない。以下に示す別例で、上記第3の実施の形態と異なる部分を詳述する。   In the third embodiment, the ID data indicating the attribute of the data transmitted and received by the communication means 12, 22, and 32 and the communication priority is composed of the transmission ID and the reception ID, and the transmission ID and the reception ID. Are described in the transmission ID storage means 121, 221, 321 and the reception ID storage means 122, 222, 322, but are not limited thereto. In another example shown below, a different part from the said 3rd Embodiment is explained in full detail.

本例では、図15に示すように、各ECUにおけるメモリ11c、21c、31cのEEPROMに、この車両で使用するIDデータのリストが格納される。各ECUには同一のリストが格納されているが、リスト中のIDデータのうち、送信IDと受信IDに割り当てられるIDデータを、各ECUによって異なるIDデータとすることで、ECU毎に異なるIDデータを設定するように構成されている。   In this example, as shown in FIG. 15, a list of ID data used in this vehicle is stored in the EEPROM of the memories 11c, 21c, and 31c in each ECU. Although the same list is stored in each ECU, the ID data assigned to the transmission ID and the reception ID among the ID data in the list is set to different ID data for each ECU, so that each ECU has a different ID. Configured to set data.

本例におけるIDデータの更新処理について以下に詳述する。IDデータのリストは、IDデータの更新時に一時的にメモリ11c、21c、31cのRAM(図示せず)にコピーされ、RAMにコピーされたリスト中の各IDデータについて、以下に例示するような演算を行なってIDデータを更新する。   The ID data update process in this example will be described in detail below. The ID data list is temporarily copied to the RAM (not shown) of the memories 11c, 21c, and 31c when the ID data is updated, and each ID data in the list copied to the RAM is exemplified as follows. An operation is performed to update the ID data.

演算は第3の実施の形態で説明したように、所定のハッシュ関数に変動データを適用することで、新たなIDデータを算出する方法を採用している。具体的には、図16(a)に示すように、変動データを緯度、経度、累積走行距離、前回のIDデータ(送信IDまたは受信ID)として、そして、ハッシュ関数を前記変動データをバイト単位に分割して加算する関数として、算出したハッシュ値を新たなIDデータとする。そして、新たなIDデータを、リストにおける当該IDデータの算出前の位置に格納するように構成されている。なお、前記変動データの加算によってオーバーフローが発生した場合は、図16(b)に示すように、オーバーフロー分の桁を非オーバーフロー分に加算するように構成されている。   As described in the third embodiment, the calculation employs a method of calculating new ID data by applying variable data to a predetermined hash function. Specifically, as shown in FIG. 16A, the variation data is latitude, longitude, cumulative travel distance, previous ID data (transmission ID or reception ID), and the hash function is the variation data in bytes. The calculated hash value is used as new ID data as a function to be divided and added. And it is comprised so that new ID data may be stored in the position before calculation of the said ID data in a list | wrist. When overflow occurs due to the addition of the variation data, the overflow digits are added to the non-overflow as shown in FIG.

IDデータの更新が終了すると、算出されたIDデータのリストは、RAMからEEPROMにコピーされる。
When the update of the ID data is completed, the calculated list of ID data is copied from the RAM to the EEPROM.

なお、本例では、IDデータの更新処理を行なうタイミング、送信元の送信IDと自身ECUの受信IDの一致不一致を照合することによって送信元の送信データを受信するか否かを決定すること、IDデータの更新の前後において通信優先順位に変動がないように構成されていること等は第3の実施の形態と同様である。   In addition, in this example, it is determined whether or not the transmission data of the transmission source is received by checking the timing of performing the update process of the ID data, the matching of the transmission ID of the transmission source and the reception ID of the ECU itself. Similar to the third embodiment, the communication priority is not changed before and after the update of the ID data.

第3の実施の形態を採用することで、複数の認証データ生成関数を備え、選択関数に毎回異なる変動データを適用することで一つの認証データ生成関数を選択した上で、当該認証データ生成関数に毎回異なる変動データを適用することで、新たな認証データに更新されることから、電子制御装置の盗難や各電子制御装置相互間の通信の盗聴等による認証データの特定を、一つの認証データ生成関数のみを備えた構成に比較して、さらに困難なものとすることができる。   By adopting the third embodiment, a plurality of authentication data generation functions are provided, and the authentication data generation function is selected after selecting one authentication data generation function by applying different variation data to the selection function each time. By applying different fluctuation data every time, it is updated to new authentication data, so the authentication data can be identified by theft of the electronic control device or wiretapping of communication between each electronic control device. Compared to a configuration having only a generation function, it can be made more difficult.

なお、上記第1から第3の実施の形態では、第1および第2の実施の形態で説明した認証データ、つまり各ECU自体を認証するためのデータと、第3の実施の形態で説明した認証データ、つまり各ECU間を送受信させられるデータを識別するためのデータの両方を使用する構成であってもよい。つまり、各ECU自体の認証が出来なかった場合に防犯措置をとること、及び、各ECU間のデータ送受信でデータの識別が出来なかった場合にデータ送受信が不可能となることの二重の不正防止措置をとることができる構成である。   In the first to third embodiments, the authentication data described in the first and second embodiments, that is, data for authenticating each ECU itself, and the third embodiment have been described. The configuration may be such that both authentication data, that is, data for identifying data transmitted and received between the ECUs are used. In other words, it is a double fraud that security measures are taken when each ECU itself cannot be authenticated, and that data transmission / reception becomes impossible when data cannot be identified by data transmission / reception between the ECUs. This is a configuration that can take preventive measures.


また、上記第1から第3の実施の形態では、認証データ更新処理手段はシステム内の全てのECUに搭載されている構成について説明したが、システム内の一部のECUのみに搭載されている構成であってもよい。この場合は、認証データ更新処理手段が搭載されていないECUについては、当該ECUから送信する認証データと当該ECUへ送信される認証データが全て固定値となるように構成される。
In the first to third embodiments, the configuration in which the authentication data update processing unit is mounted in all ECUs in the system has been described. However, the authentication data update processing unit is mounted only in some ECUs in the system. It may be a configuration. In this case, the ECU in which the authentication data update processing unit is not mounted is configured such that the authentication data transmitted from the ECU and the authentication data transmitted to the ECU all have fixed values.

また、上記第1から第3の実施の形態では、図14(a)に示すように、各ECUは相互にCANバス61を介して通信されている構成について説明したが、通信はCANバスに限らず、図14(b)と図14(c)に示すように、CANバス61とローカル信号線63が混在した構成(図14(b))や、ローカル信号線63のみの構成(図14(c))であってもよい。   In the first to third embodiments, as shown in FIG. 14 (a), the ECUs have been described as communicating with each other via the CAN bus 61. However, the communication is performed on the CAN bus. Not limited to this, as shown in FIGS. 14B and 14C, a configuration in which the CAN bus 61 and the local signal line 63 are mixed (FIG. 14B), or a configuration having only the local signal line 63 (FIG. 14). (C)).

また、上記第1から第3の実施の形態では、認証制御手段と認証データ更新処理手段をソフトウェアで実現する構成について説明したが、ハードウェアで実現する構成であってもよい。ハードウェアによる構成としては、例えば、認証制御手段と認証データ更新処理手段の各機能が、特定用途向け集積回路(ASIC)で実現される構成がある。   In the first to third embodiments, the configuration in which the authentication control unit and the authentication data update processing unit are realized by software has been described. However, the configuration may be realized by hardware. As a configuration by hardware, for example, there is a configuration in which the functions of the authentication control unit and the authentication data update processing unit are realized by an application specific integrated circuit (ASIC).

尚、上述した実施形態は、本発明の一例に過ぎず、本発明の作用効果を奏する範囲において各ブロックの具体的構成等を適宜変更設計できることは言うまでもない。   Note that the above-described embodiment is merely an example of the present invention, and it is needless to say that the specific configuration and the like of each block can be changed and designed as appropriate within the scope of the effects of the present invention.

本発明の第1の実施の形態に係る車両用ECUを含んで構成されたシステムの要部を概略的に示したブロック図The block diagram which showed roughly the principal part of the system comprised including ECU for vehicles which concerns on the 1st Embodiment of this invention. (a)は、第1の実施の形態に係る各ECUの相互認証関係の例を示し、(b)は、第1の実施の形態に係る各ECUの相互認証関係の例を示す説明図(A) shows the example of the mutual authentication relationship of each ECU which concerns on 1st Embodiment, (b) is explanatory drawing which shows the example of the mutual authentication relationship of each ECU which concerns on 1st Embodiment 第1の実施の形態に係る各ECUが行う一部の処理を示すフローチャートThe flowchart which shows a part of process which each ECU which concerns on 1st Embodiment performs 第1の実施の形態に係る各ECUが行う一部の処理を示すフローチャートThe flowchart which shows a part of process which each ECU which concerns on 1st Embodiment performs 第1の実施の形態に係る各ECUが行う一部の処理を示すフローチャートThe flowchart which shows a part of process which each ECU which concerns on 1st Embodiment performs 本発明の第2の実施の形態に係る車両用ECUを含んで構成されたシステムの要部を概略的に示したブロック図The block diagram which showed roughly the principal part of the system comprised including ECU for vehicles which concerns on the 2nd Embodiment of this invention. 第2の実施の形態に係る車両サービスセンターを示す構成図The block diagram which shows the vehicle service center which concerns on 2nd Embodiment 第2の実施の形態に係る車両サービスセンターが各ECUに認証情報を送信する例を示す説明図Explanatory drawing which shows the example which the vehicle service center which concerns on 2nd Embodiment transmits authentication information to each ECU. 第2の実施の形態に係る各ECUが行う一部の処理を示すフローチャートThe flowchart which shows a part of process which each ECU which concerns on 2nd Embodiment performs 第2の実施の形態に係る各ECUが行う一部の処理を示すフローチャートThe flowchart which shows a part of process which each ECU which concerns on 2nd Embodiment performs 送信ID記憶手段と受信ID記憶手段を示す説明図Explanatory drawing which shows a transmission ID storage means and a reception ID storage means 第3の実施の形態に係る通信の終了時における認証データの更新処理を示すフローチャートThe flowchart which shows the update process of the authentication data at the time of completion | finish of the communication based on 3rd Embodiment (a)は、複数の認証データ生成関数と選択関数を備えた形態に係る通信の終了時における認証データの更新処理を示し、(b)は、複数の認証データ生成関数と選択関数を備えた形態に係る通信の開始時における認証データの更新処理を示すフローチャート(A) shows the update processing of authentication data at the end of communication according to a form having a plurality of authentication data generation functions and selection functions, and (b) has a plurality of authentication data generation functions and selection functions. The flowchart which shows the update process of the authentication data at the time of the start of the communication which concerns on a form (a)は、各ECUがCANバスを介して通信するように構成されたシステムの要部を概略的に示し、(b)は、各ECUがCANバスとローカル信号線を介して通信するように構成されたシステムの要部を概略的に示し、(c)は、各ECUがローカル信号線を介して通信するように構成されたシステムの要部を概略的に示すブロック図(A) schematically shows a main part of a system configured such that each ECU communicates via a CAN bus, and (b) illustrates that each ECU communicates with the CAN bus via a local signal line. FIG. 2C is a block diagram schematically showing a main part of a system configured such that each ECU communicates via a local signal line. IDデータのリストを示す説明図Explanatory diagram showing a list of ID data (a)は、IDデータの更新処理の演算を示し、(b)は、図16(a)にてオーバーフローが発生した場合の処理を示す説明図(A) shows calculation of ID data update processing, and (b) is an explanatory diagram showing processing when an overflow occurs in FIG.

符号の説明Explanation of symbols


10:エンジンECU
20:ハンドルECU
30:ワイパーECU
11、21、31:マイコン
11a、21a、31a:メイン制御部
11b、21b、31b:認証制御手段
11c、21c、31c:メモリ
11d、21d、31d:認証データ更新処理手段
111d、211d、311d:初期化手段
12、22、32、723:通信手段
14、24、34:スイッチ
121、221、321:送信ID記憶手段
122、222、322:受信ID記憶手段
40:バッテリ
41:イグニッションスイッチ
43:電源リレー
43a:第一の電源リレー
44:スイッチ
51〜53:センサー
55:始動センサー
56:キーセンサー
61:CANバス
62:アンテナ
63:ローカル信号線
71:ナビゲーション装置
72:車両サービスセンター
721:記憶手段
722:認証管理手段
10: Engine ECU
20: Handle ECU
30: Wiper ECU
11, 21, 31: microcomputers 11a, 21a, 31a: main control units 11b, 21b, 31b: authentication control means 11c, 21c, 31c: memories 11d, 21d, 31d: authentication data update processing means 111d, 211d, 311d: initial Means 12, 22, 32, 723: communication means 14, 24, 34: switches 121, 221, 321: transmission ID storage means 122, 222, 322: reception ID storage means 40: battery 41: ignition switch 43: power relay 43a: first power relay 44: switches 51 to 53: sensor 55: start sensor 56: key sensor 61: CAN bus 62: antenna 63: local signal line 71: navigation device 72: vehicle service center 721: storage means 722: Authentication management means

Claims (5)

通信手段を介して送受信される認証データに基づいてデータの信用性を認証する認証手段と、前記通信手段による通信の終了時に前記認証データを更新する認証データ更新手段を備えていることを特徴とする電子制御装置。   An authentication unit that authenticates the authenticity of data based on authentication data transmitted and received via the communication unit; and an authentication data update unit that updates the authentication data when communication by the communication unit ends. Electronic control device. 前記通信の終了時とは、前記通信手段への電源の供給を遮断する要求があった時であることを特徴とする請求項1記載の電子制御装置。   The electronic control device according to claim 1, wherein the end of the communication is when there is a request to cut off the supply of power to the communication means. 前記認証データ更新処理手段は、更新前の認証データの更新時とは異なる変動データを変数とする所定の認証データ生成関数に基づいて前記認証データを新たな認証データに更新する請求項1または2記載の電子制御装置。   The authentication data update processing means updates the authentication data to new authentication data based on a predetermined authentication data generation function using variable data different from that at the time of updating the authentication data before update as a variable. The electronic control device described. 前記認証データ更新処理手段は、更新前の認証データの更新時とは異なる変動データを変数として新たな認証データを生成する複数の認証データ生成関数と、更新前の認証データの更新時とは異なる変動データを変数として前記複数の認証データ生成関数の何れかを選択する選択関数を備え、前記選択関数に基づいて選択された認証データ生成関数に基づいて前記認証データを新たな認証データに更新する請求項1から3の何れかに記載の電子制御装置。   The authentication data update processing means is different from a plurality of authentication data generation functions for generating new authentication data using variable data different from that at the time of updating the authentication data before the update, and at the time of updating the authentication data before the update. A selection function that selects any one of the plurality of authentication data generation functions using variable data as a variable is provided, and the authentication data is updated to new authentication data based on the authentication data generation function selected based on the selection function. The electronic control apparatus in any one of Claim 1 to 3. 前記認証データが前記通信手段により送受信されるデータの属性または通信優先順位を示すIDデータである請求項1から4の何れかに記載の電子制御装置。   The electronic control device according to claim 1, wherein the authentication data is ID data indicating an attribute of data transmitted or received by the communication unit or a communication priority.
JP2006264873A 2006-09-28 2006-09-28 Electronic control device Pending JP2008084120A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006264873A JP2008084120A (en) 2006-09-28 2006-09-28 Electronic control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006264873A JP2008084120A (en) 2006-09-28 2006-09-28 Electronic control device

Publications (1)

Publication Number Publication Date
JP2008084120A true JP2008084120A (en) 2008-04-10

Family

ID=39354913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006264873A Pending JP2008084120A (en) 2006-09-28 2006-09-28 Electronic control device

Country Status (1)

Country Link
JP (1) JP2008084120A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009282758A (en) * 2008-05-22 2009-12-03 Delta Electronics Inc Electronic theft prevention system for vehicle component
WO2009147734A1 (en) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2013192091A (en) * 2012-03-14 2013-09-26 Denso Corp Communication system, relay device, out-vehicle device and communication method
JP2017005340A (en) * 2015-06-05 2017-01-05 株式会社デンソー Communications system
JP2017050795A (en) * 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 Method for data transfer between automobile electronic control devices
CN108076046A (en) * 2016-11-14 2018-05-25 丰田自动车株式会社 Communication system
JP2019071083A (en) * 2014-03-31 2019-05-09 フェリカネットワークス株式会社 Information processing apparatus, information processing method, and program
WO2021205655A1 (en) * 2020-04-10 2021-10-14 三菱電機株式会社 On-vehicle control system and abnormality diagnosis method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0914109A (en) * 1995-07-03 1997-01-14 Calsonic Corp Engine erroneous starting preventive device
JPH09100767A (en) * 1995-10-04 1997-04-15 Calsonic Corp Engine abnormal starting prevention device
JPH1125367A (en) * 1997-07-03 1999-01-29 Hitachi Ltd Vehicle electrical equipment control device
JPH1181764A (en) * 1997-09-05 1999-03-26 Denso Corp Transmitter for keyless entry system and keyless entry system
JPH11334534A (en) * 1998-05-28 1999-12-07 Denso Corp Key collating device
JP2005002855A (en) * 2003-06-11 2005-01-06 Fujitsu Ten Ltd Remote start control device, start control device, and data structure
JP2006096302A (en) * 2004-09-30 2006-04-13 Denso Corp Engine start control system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0914109A (en) * 1995-07-03 1997-01-14 Calsonic Corp Engine erroneous starting preventive device
JPH09100767A (en) * 1995-10-04 1997-04-15 Calsonic Corp Engine abnormal starting prevention device
JPH1125367A (en) * 1997-07-03 1999-01-29 Hitachi Ltd Vehicle electrical equipment control device
JPH1181764A (en) * 1997-09-05 1999-03-26 Denso Corp Transmitter for keyless entry system and keyless entry system
JPH11334534A (en) * 1998-05-28 1999-12-07 Denso Corp Key collating device
JP2005002855A (en) * 2003-06-11 2005-01-06 Fujitsu Ten Ltd Remote start control device, start control device, and data structure
JP2006096302A (en) * 2004-09-30 2006-04-13 Denso Corp Engine start control system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009282758A (en) * 2008-05-22 2009-12-03 Delta Electronics Inc Electronic theft prevention system for vehicle component
WO2009147734A1 (en) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2013192091A (en) * 2012-03-14 2013-09-26 Denso Corp Communication system, relay device, out-vehicle device and communication method
JP2019071083A (en) * 2014-03-31 2019-05-09 フェリカネットワークス株式会社 Information processing apparatus, information processing method, and program
JP2017005340A (en) * 2015-06-05 2017-01-05 株式会社デンソー Communications system
JP2017050795A (en) * 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 Method for data transfer between automobile electronic control devices
CN108076046A (en) * 2016-11-14 2018-05-25 丰田自动车株式会社 Communication system
CN108076046B (en) * 2016-11-14 2020-09-01 丰田自动车株式会社 Communication system
WO2021205655A1 (en) * 2020-04-10 2021-10-14 三菱電機株式会社 On-vehicle control system and abnormality diagnosis method
JPWO2021205655A1 (en) * 2020-04-10 2021-10-14

Similar Documents

Publication Publication Date Title
JP4598567B2 (en) Vehicle anti-theft system
US7415332B2 (en) Method and system for vehicle component management, method and system for vehicle component management data update, and vehicle component management center
JP4340297B2 (en) Memory rewriting system for vehicle control device
JP2008084120A (en) Electronic control device
US20080027602A1 (en) System and method for deterring theft of vehicles and other products having integral computer means
CN101423050B (en) remote start control
CN105501176B (en) A kind of long-range car locking device and method
JP2008239021A (en) Vehicle control device and data rewriting system
JP5472466B2 (en) Electronic control device for vehicle
US10834199B2 (en) Cloud authorized vehicle control
CN111051159A (en) Vehicle control system
JP2008001133A (en) Vehicle security control device
JP6274849B2 (en) Vehicle control system
US7019625B2 (en) Vehicle electronic control system with anti-theft capability and method of controlling a vehicle engine
JP2000025574A (en) Engine control device and vehicle burglar preventing device
JP2013168007A (en) Relay system, external device and relay device
JP2012242900A (en) On-vehicle control unit
JP4921947B2 (en) Vehicle anti-theft system
JP4946266B2 (en) Vehicle authentication device
JP4534731B2 (en) Electronic control device and identification code generation method thereof
JP2003196755A (en) System for monitoring theft of on-vehicle component and on-vehicle component
JP2006281883A (en) Vehicular electronic control device, and vehicle service center
JP2012234437A (en) In-vehicle communication system and control unit
KR101315745B1 (en) Key Registry Method of Immobilizer System
KR100580513B1 (en) Vehicle security system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100720

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101207