JP7246032B2 - 車載セキュアストレージシステム - Google Patents

車載セキュアストレージシステム Download PDF

Info

Publication number
JP7246032B2
JP7246032B2 JP2021532763A JP2021532763A JP7246032B2 JP 7246032 B2 JP7246032 B2 JP 7246032B2 JP 2021532763 A JP2021532763 A JP 2021532763A JP 2021532763 A JP2021532763 A JP 2021532763A JP 7246032 B2 JP7246032 B2 JP 7246032B2
Authority
JP
Japan
Prior art keywords
vehicle
unauthorized access
area
access
storage system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021532763A
Other languages
English (en)
Other versions
JPWO2021010143A5 (ja
JPWO2021010143A1 (ja
Inventor
信治 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2021010143A1 publication Critical patent/JPWO2021010143A1/ja
Publication of JPWO2021010143A5 publication Critical patent/JPWO2021010143A5/ja
Application granted granted Critical
Publication of JP7246032B2 publication Critical patent/JP7246032B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0727Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a storage system, e.g. in a DASD or network based storage system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/023Free address space management
    • G06F12/0238Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
    • G06F12/0246Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0769Readable error formats, e.g. cross-platform generic formats, human understandable formats
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/72Details relating to flash memory management
    • G06F2212/7204Capacity control, e.g. partitioning, end-of-life degradation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

本開示は、ホスト装置とストレージ装置間でデータ転送を行う車載セキュアストレージシステムに関する。
車載システムの分野において、1車両に搭載される多数のECU(Electronic Control Unit:電子制御ユニット)は、現在統合される方向にある。多数のECUが統合されると、個々のECUに接続されるストレージも統合されることが必要となってくる。
車載システムの分野におけるストレージでは、不揮発性メモリを利用するSSDやSDカードを用いるものが主流である。SDカードとSDカード対応ホストに関する技術は、例えば、特許文献1に開示されている。また、ECUにおいても高速シリアルインターフェースとしてPCI Express(登録商標: 以下、PCIe と称する)が現在、使用されている。
特開2006-209744号公報
本開示は、ストレージ装置への不正アクセスやストレージ装置の不具合を簡易に且つ迅速に検出し、その検出結果を適切に利用し得る車載セキュアストレージシステムを提供することを目的とする。
本開示の車載セキュアストレージシステムは、コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとを有する車載セキュアストレージシステムである。コントローラは、不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、不正アクセスまたは不具合の種類に応じて、所定の処理を行う。
本開示の車載セキュアストレージシステムを用いることにより、ストレージ装置への不正アクセスやストレージ装置の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。
1は、実施の形態1に係る車載セキュアストレージシステムのブロック図である 図2は、実施の形態1に係る車載セキュアストレージシステムにおける事前処理のフローチャートである。 図3は、実施の形態1に係る車載セキュアストレージシステムにおける、不正アクセスチェック処理を含む基本的処理のフローチャートである。 図4は、実施の形態1に係る車載セキュアストレージシステムにおける、不具合チェック処理のフローチャートである。 図5は、不正アクセス・不具合の種類、定義、及び内容の一覧表である。
以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
なお、発明者(ら) は、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。
[本開示に至る経緯]
従来、車載ストレージシステムにおいて、ストレージ装置に対する不正アクセス、不正な書き込み、及び、不正な改竄等の不正処理(不正行為)に対するチェック及び検出は、ホスト装置であるECU側のドライバ若しくはコントローラにより、行われている。ストレージ装置における不具合のチェック及び検出も同様に、ホスト装置であるECU側のドライバ若しくはコントローラにより行われている。また、データ改竄については、ストレージ装置の内部を全てチェックして、不正な改竄の発生の可能性について確認を行った後に、実際に改竄チェックを行うこともあった。
ストレージ装置に対して不正アクセス等が生じた場合に、ホスト装置が不正アクセス等の発生した領域やアドレスを正確に特定することは決して容易なことではなく、また特定するには所定の時間が掛かる。特に、上述のデータ改竄に関して、ストレージ装置の内部を全てチェックすること、及び、改竄の可能性の確認後に実際に改竄チェックを行うことには、時間もコストも必要になる。そうすると、ストレージ装置に対する不正アクセスや不正な改竄からある程度時間が経過した後でしか、ホスト装置は実際の検出を行えないことになり、結局不正行為や不具合による影響が拡大しがちとなってしまう。
発明者は、上述の問題点を解決する本開示に係る車載セキュアストレージシステムを開発した。本開示に係る車載セキュアストレージシステムは、ストレージ装置に対する不正処理(不正行為)、及び、ストレージ装置における不具合に対するチェック及び検出を、概略、自らにより(即ち、ストレージ装置により)行う。
よって、本開示に係る車載セキュアストレージシステムにおいては、不正アクセス等が発生したストレージ装置上の領域やアドレスが容易且つ迅速に特定され、不正アクセス等の直後に、若しくは不正アクセス等の発生中に、ホスト装置は不具合を把握できる。よって、ホスト装置による対処が早まり不正行為又は不具合による影響は最小化される。更には、ホスト装置は不正行為又は不具合による影響を外部に全く出さないことも、可能となり得る。
[実施の形態1]
以下、図面を参照して本発明の実施の形態1に係る車載セキュアストレージシステムを説明する。
[1.1.車載セキュアストレージシステムの構成]
1は、実施の形態1に係る車載セキュアストレージシステム2のブロック図である。図1に示す車載セキュアストレージシステム2は車載システムである
1に示す本実施の形態に係る車載セキュアストレージシステム2は、車載ECU20と、ストレージ装置4とを含む。ストレージ装置4は、コントローラ6と、NAND型フラッシュメモリ等で構成される不揮発性メモリ12とを含み、コントローラ6は、メインバスインタフェース8とサイドバンドインタフェース10とを備える。車載ECU20も同様に、メインバスインタフェース22とサイドバンドインタフェース24とを備える。
車載セキュアストレージシステム2は、高速シリアルインターフェースとしてPCIeを利用しており、車載ECU20のメインバスインタフェース22、及び、ストレージ装置4のメインバスインタフェース8は、PCIeバス14に接続する。PCIeバス14は、WiFi(登録商標)等に準拠する外部通信モジュール18とも接続しているため、車載セキュアストレージシステム2は、外部通信モジュール18を経由して、例えば、外部のクラウドストレージとデータ通信をすることができる。
また、車載ECU20のサイドバンドインタフェース24と、ストレージ装置4のサイドバンドインタフェース10とは、サイドバンド用バス(SDバス)16を介して接続して、データ通信を行う。
ストレージ装置4における不揮発性メモリ12は、複数の論理領域に分割される。更に、不揮発性メモリ12は、コントローラ6によりデータの入力、出力、及び格納に関して制御される。
ストレージ装置4におけるコントローラ6は、不揮発性メモリ12へのデータの入力、出力、及び格納に関する制御を行う。従って、後で説明するように、コントローラ6は、不揮発性メモリ12への不正アクセスのチェックや、不揮発性メモリ12における不具合のチェックも行う。なお、ストレージ装置4は、例えばSDカード等の情報記録媒体である。
車載セキュアストレージシステム2は、周辺機器として、ルームランプ26、モニタ28、マイク30、及び、スピーカ32を備え、車載ECU20はそれら周辺機器と接続する。ルームランプ26は、車両内の照明装置であり、車載ECU20が運転者に伝えるべき信号やメッセージを、照明の点滅や色変更などの形式により表わす。モニタ28は、車載ECU20が運転者に伝えるべき信号やメッセージを、画像の形式により表す。加えて、運転者は、モニタ28の画面への簡単な操作により、情報を車載ECU20へ入力する。スピーカ32は、車載ECU20が運転者に伝えるべき信号やメッセージを、音声の形式により表わす。また、運転者は、スピーカ32からの音声を受けて、マイク30への簡単な発話により、情報を車載ECU20へ入力する。
[1.2.車載セキュアストレージシステムの動作]
[1.2.1.車載セキュアストレージシステムにおける事前処理]
図2は、本実施の形態に係る車載セキュアストレージシステム2における事前処理のフローチャートである。事前処理は、典型的には、車載セキュアストレージシステム2が出荷される前に開始される(ステップS02)。事前処理では、先ず、ストレージ装置4の初期化処理が行われる(ステップS04)。ストレージ装置4の初期化処理は、不揮発性メモリ12の物理アドレスと、ホストである車載ECUがアクセスする際の論理アドレスとの関係を示す論物変換テーブルを、コントローラ6が作成してコントローラ6内のRAM(図示しない)へ格納する処理を含む。
次に、車載ECU20が、不揮発性メモリ12上に論理領域を追加するか否かを判断する(ステップS08)。論理領域を追加するのであれば(ステップS08・Yes)、ホストである車載ECU20が、必要なサイズを指定して領域確保をストレージ装置4のコントローラ6に指示する(ステップS10)。ストレージ装置4のコントローラ6は、指定されたサイズを確保し、その論理領域の領域IDをホストである車載ECU20に通知する(ステップS12)。
不揮発性メモリ12上に論理領域を追加する必要がある限り(ステップS08・Yes)、ステップS10とステップS12が繰り返される。不揮発性メモリ12上に論理領域を追加する必要がなくなれば(ステップS08・No)、コントローラ6内に格納されていた論物変換テーブルを不揮発性メモリ12に記録した後に、事前処理が終了する(ステップS14)。
[1.2.2.車載セキュアストレージシステムにおける不正アクセスチェック処理]
図3は、本実施の形態に係る車載セキュアストレージシステム2における、不正アクセスチェック処理を含む基本的処理のフローチャートである。基本的処理が開始すると(ステップS20)、先ず、ストレージ装置4の初期化処理が行われる(ステップS22)。ストレージ装置4における不揮発性メモリ12は、論理的に1つ以上の領域(論理領域)を持っており、よって初期化処理では、夫々の領域に適した制御がなされるように設定される。
不正アクセスチェック処理を含む基本的処理では、基本的処理が終了であるのか否か(ステップS24)、終了でないならば(ステップS24・No)、車載ECU20からストレージ装置4へのアクセスが有るか否か(ステップS26)が、繰り返して確認される。このステップS26は、ストレージ装置4のコントローラ6では、不揮発性メモリ12へアクセスするための命令が車載ECU20から来たか否かを確認する、という形で行われる。
基本的処理にて車載ECU20からストレージ装置4へのアクセスが有る場合(ステップS26・Yes)、ストレージ装置4のコントローラ6は、解析により不正アクセスチェックを行う(ステップS28)。基本的処理にて不正アクセスが無いと判断した場合には(ステップS30・No)、更に次のアクセスの発生が待たれる。基本的処理にて不正アクセスが有ると判断した場合には(ステップS30・Yes)、ストレージ装置4のコントローラ6、及び車載ECU20は、不正アクセスに応じた処理を行う(ステップS32)。ここで「不正アクセスチェック」(ステップS28)及び「不正アクセスに応じた処理」(ステップS32)の詳細については後で図5を用いつつ説明する。
基本的処理が終了であれば(ステップS24・Yes)、処理の全体は終了する(S34)。
[1.2.3.車載セキュアストレージシステムにおける不具合チェック処理]
図4は、本実施の形態に係る車載セキュアストレージシステム2における、不具合チェック処理のフローチャートである。車載セキュアストレージシステム2は、基本的処理時に図3に示す不正アクセスチェック処理を実行する。これに加えて、車載セキュアストレージシステム2は、タイマによる割り込み或いはホストである車載ECU20からのアクセスをトリガにして、図4に示す不具合チェック処理の実行を開始する(ステップS40)。
ストレージ装置4のコントローラ6は、先ず、不揮発性メモリ12上の論理領域の数Num=Xを取得する(ステップS42)。論理領域が無い(即ち、ゼロである)ならば(ステップS44・No)、不具合チェック処理は終了する(ステップS60)が、論理領域が有るならば(ステップS44・Yes)、ストレージ装置4のコントローラ6は、領域カウンタCをインクリメントする(ステップS46)。なお、論理領域が無い場合とは不揮発性メモリ12がコントローラ6のアクセスを遮断している場合などが挙げられる。領域カウンタCがNum(論理領域の数)を超えていないならば(ステップS48・No)、ストレージ装置4のコントローラ6は、C番目の論理領域内に不具合(即ち、異常)がないかどうかチェック(即ち、確認)する(ステップS50)。
不具合チェック処理にて不具合が無いと判断されれば(ステップS52・No)、領域カウンタCのインクリメント処理(ステップS46)以降が繰り返される。不具合チェック処理にて不具合が有ると判断されれば(ステップS52・Yes)、不具合に応じた処理が実施される(ステップS54)。不具合に応じた処理は、リカバリ、通知、運転者への指示などを含む。
ステップS54の後、不具合チェック処理はそのまま終了(ステップS60)に向かってもよい。また、ステップS54の後、図4のフロー図にて点線及び矢印で示すように、不具合チェック処理は領域カウンタCのインクリメント処理(ステップS46)の直前に戻ってもよい。この場合、不具合チェック処理は、領域カウンタCのインクリメント処理(ステップS46)以降を繰り返すことになる。よって、全ての領域についての不具合の有無の確認処理(ステップS50)、及び、不具合が有ると判断される場合(ステップS52・Yes)の不具合に応じた処理(ステップS54)が、実施されることになる。
領域カウンタCがNum(論理領域の数)を超えると(ステップS48・Yes)、不具合チェック処理は終了する(ステップS60)。
[1.2.4.不正アクセス及び不具合のチェックの種類、及び、対応する処理について]
図3及び図4を用いて処理の流れを示した、不正アクセス及び不具合のチェックの具体的種類、及び、それらに対応する処理の具体的動作について、図5の一覧表を用いて説明する。なお、以下で説明する不正アクセス及び不具合のチェックの種類、及び、対応する処理の動作は例示であって、以下のものに限定されない。
[1.2.4.0.前提]
不正アクセス及び不具合のチェックの具体的種類、及び、それらに対応する処理の具体的動作を説明するに当たって、コントローラ6における、不揮発性メモリ12の領域毎のホストに関する情報を保持するテーブルの内容をまず示す。
コントローラ6は、不揮発性メモリ12の領域毎に:
(1)アクセス可能なホスト
(2)ホストがアクセス可能である場合に、使用可能なオペレーション(ライトオペレーション、リードオペレーション、コピーオペレーション、ムーブオペレーション、イレースオペレーション)
(3)領域外アクセスによってアクセスされた場合に、他の領域を書き込み可能領域として追加可能か否かを示す情報
(4)自身が自動運転に関連するデータを記録している(自動運転用領域)か否かを示す情報
(5)アクセス可能なアプリケーションの属性(アプリケーションID)を示す情報
を定義したテーブルを保持している。
[1.2.4.1.アクセス領域違反]
第1の不正アクセスの種類として、「アクセス領域違反」が挙げられる。「アクセス領域違反」は、アクセスが許可されていない領域への、ホストからのアクセス、と定義される。その内容の一例は、ホストからのオペレーションにおける領域ID、又は、開始アドレスが正しくない、というものである。コントローラ6はオペレーションが対象とする領域ID、又は、開始アドレスによって表現される不揮発性メモリ12の領域と、コマンド発行元のホストとを比較することで、アクセス領域違反の有無を検知する。
アクセス領域違反が生じた場合、ストレージ装置4のコントローラ6は、許可されている領域も含めて、該当するホストからのアクセスを全て禁止する、という対処を行う。なお、対処については上述した内容に限られない。例えばストレージ装置4のコントローラ6は、当該アクセス領域違反を行ったホストからのライトオペレーションによるアクセスのみを禁止するようにしてもよい。
アクセス領域違反が生じた場合、ストレージ装置4のコントローラ6は、オペレーションエラーという形式で、ホストに通知する。
[1.2.4.2.アクセスモード違反]
第2の不正アクセスの種類として、「アクセスモード違反」が挙げられる。「アクセスモード違反」は、実行可能なオペレーションが限定されている領域への、実行可能なオペレーション以外の命令を含むアクセスと定義される。その内容の一例は、ホストからのコマンドであるオペレーション、領域ID、又は、開始アドレスが正しくない、というものである。
アクセスモード違反が生じた場合、ストレージ装置4のコントローラ6は、当該オペレーションを禁止する、という対処を行う。更に同様のアクセスが連続する場合には、ストレージ装置4のコントローラ6は、一時的に当該領域をアクセス不可とし、加えて、ホストに対してアクセスモード違反の内容を伝えることで、ホスト側での対応を要請する、という対処を行う。対応を要請されたホストは、アクセスモード違反の内容に基づき、当該アクセスを行っているアプリケーションを特定し、当該アプリケーションの動作を制限する等の処理を行う。
ストレージ装置4のコントローラ6は、オペレーションエラーという形式で、ホストに通知する。
[1.2.4.3.不正データ改竄]
第3の不正アクセスの種類として、「不正データ改竄」が挙げられる。「不正データ改竄」は、特定の領域に対して不正なデータ改竄が行われた場合、と定義される。ここで、データチェックの方法が、ストレージ装置4のコントローラ6に予め記憶されている。「不正データ改竄」の内容は、予め記憶されたデータチェックの方法により改竄と判断される、というものである。
ストレージ装置4のコントローラ6は、現状の不揮発性メモリ12上のデータを保護し、当該アクセスのあったことをホストに通知し、ホストにデータの再チェックを要請する、という対処を行う。
ストレージ装置4のコントローラ6は、コマンドエラーという形式で、若しくは、割り込みという形式で、ホストに通知する。
[1.2.4.4.不正書き込み]
第4の不正アクセスの種類として、「不正書き込み」が挙げられる。「不正書き込み」は、特定の領域に対して不正な書き込みが発生した場合、と定義される。ここで、あるべき書き込みデータの属性及び内容(アドレス、データタイプ等)が、不揮発性メモリ12の領域毎に、ストレージ装置4のコントローラ6に予め記憶されている。「不正書き込み」の内容は、書き込みデータの属性及び内容が、予め記憶された、あるべきものでは無い、というものである。
不正書き込みが生じた場合、ストレージ装置4のコントローラ6は、対処の一例として、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、という対処を行う。書き込まれたデータに符号を付すのは、例えば、事後にホストが当該データを見つけ易いようにするためである。
ストレージ装置4のコントローラ6は、オペレーションに対するレスポンスという形式で、若しくは、割り込みという形式で、オペレーションエラーをホストに通知する。
[1.2.4.5.領域外書き込みアクセス]
第5の不正アクセスの種類として、「領域外書き込みアクセス」が挙げられる。「領域外書き込みアクセス」は、指定された領域IDに対して設定されている領域外へのアクセス、と定義される。その内容の一例としては、例えば領域ID1のアドレスが0番地から2000番地であると定義されているにも関わらず、領域ID1へのライトオペレーションが2001番地から開始する場合などが挙げられる。
領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が「追加可能」である場合、ストレージ装置4のコントローラ6は、不揮発性メモリ内で自動的に新たな領域を確保し、連続領域として追加する、という対処を行う。
ストレージ装置4のコントローラ6は、領域を拡張したことを、ホストに通知する。
[1.2.4.6.連続アクセスモード違反]
第6の不正アクセスの種類として、「連続アクセスモード違反」が挙げられる。「連続アクセスモード違反」は、アクセスモード違反のアクセスを所定回数以上行った場合、と定義される。連続アクセスモード違反の一例としては、予め読み込み専用として指定した所定のアドレスに所定のデータを書き込む処理を、所定回数連続したことを検出した場合が挙げられる。
連続アクセスモード違反が生じると、ストレージ装置4のコントローラ6は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻す、という対処を行う。言い換えれば、コントローラ6は、アクセスモード違反を利用したアクセスモードの切り替えを行う。このような対処が可能であるか否かは領域毎に定められていても良いし、全領域に対してこのような対処を可能としても良い。
ストレージ装置4のコントローラ6は、対処が成功したか失敗したかをコマンドレスポンスで、ホストに通知する。
[1.2.4.7.自動運転用領域への不正アクセス]
第7の不正アクセスの種類として、「自動運転用領域への不正アクセス」が挙げられる。「自動運転用領域への不正アクセス」は、自動運転用領域に不正アクセスがあったことを検出した場合、と定義される。その内容の一例は、ライトオペレーションが、自動運転用領域に対するものであって、かつ、アクセスが許可されたアプリケーション(例:自動運転プログラム更新アプリケーション)以外のアプリケーションから行われたというものである。
自動運転用領域への不正アクセスが生じた場合、ストレージ装置4のコントローラ6は、該当する自動運転用領域の一部若しくは全部を無効とし、又は、自動運転の機能を中止若しくは一部制限する処理を行う。さらにストレージ装置4のコントローラ6は、自動運転を中止すること、または一部の機能を制限することをホストに通告する、という対処を行う。これを受けて、車載ECU20は、自動運転を中止、または一部の機能を制限する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[1.2.4.8.致命的な障害の検出]
ステップS52で検出される、第1の不具合(異常)の種類として、「致命的な障害の検出」が挙げられる。「致命的な障害の検出」は、各領域において致命的なエラーが起こり、ストレージ内での自動リカバリができないと判断された障害の検出、つまり、車載セキュアストレージシステム内での自動リカバリが不可能であると判断された障害の検出、と定義される。その内容の一例としては、不具合チェック(図4参照)のステップS54おいて、リカバリを試みたにも関わらず、リカバリが不可能であった、というものである。
致命的な障害の検出が生じると、ストレージ装置4のコントローラ6は、不揮発性メモリ12へのホストからのアクセスを全部または一部断絶すると共に、致命的な障害が発生したことをホストに通知する。これを受けて、ホストである車載ECU20は、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知する。
ストレージ装置4のコントローラ6は、レスポンスという形式で、若しくは、割り込みという形式で、オペレーションエラーをホストに通知する。
[1.2.4.9.領域異常の検出]
ステップS52で検出される、第2の不具合(異常)として、「領域異常の検出」が挙げられる。「領域異常の検出」は、データ破壊やハードウエアエラー等の検出により、領域異常が発生したとコントローラ6が判断した場合、と定義される。その内容は、不具合チェック(図4参照)による不具合検出、というものである。
領域異常の検出が生じた場合コントローラ6は、ステップS54の処理として下記の処理のいずれかまたはすべてを実施する。
[1]ストレージ装置4のコントローラ6は、指示を出して、該当する領域のバックアップ領域に切り替える。このバックアップ領域は予め用意されているものである。ストレージ装置4のコントローラ6は、切り替えたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、領域の切り替えという対処を行ったことを、割り込み等の形式でホストに通知する。
[2]また、ストレージ装置4のコントローラ6は、壊れたボリュームのリカバリを行うこともある。このリカバリは、予め構成しておいたRAIDを用いて行われる。ストレージ装置4のコントローラ6は、リカバリしたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、リカバリという対処を行ったことを、割り込み等の形式でホストに通知する。
[3]また、ストレージ装置4のコントローラ6は、不揮発性メモリ12内部で自動的にデータを分散して記録し、その上で、障害が生じた領域を他の領域部分から自動的にリカバリすることもある。ストレージ装置4のコントローラ6は、自動的にデータを分散して記録したこと、及び、障害が生じた領域を他の領域部分から自動的にリカバリしたことを、ホストである車載ECU20に通知する。なお、不揮発性メモリ12内部で自動的にデータを分散して記録する際には秘密分散技術を用いても良い。
ストレージ装置4のコントローラ6は、データの分散記録及びリカバリという対処を行ったことを、割り込み等の形式でホストに通知する。
[4]更に、ストレージ装置4のコントローラ6は、障害が生じた領域のデータを、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタのサーバからダウンロードすることで、リカバリを行うこともある。ストレージ装置4のコントローラ6は、リカバリしたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、リカバリという対処を行ったことを、割り込み等の形式でホストに通知する。
[1.2.4.10.部分的な致命的障害の検出]
ステップS52で検出される、第3の不具合(異常)として、「部分的な致命的障害の検出」が挙げられる。「部分的な致命的障害の検出」は、「致命的な障害の検出」の内でも、特定の領域において、致命的なエラーが起こり、ストレージ内での自動リカバリができない場合、と定義される。つまり、第3の不具合(異常)である「部分的な致命的障害の検出」とは、第1の不具合(異常)の対象である致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出、である。
部分的な致命的障害の検出の内容と、部分的な致命的障害の検出が生じた場合コントローラ6が行う、ステップS54の処理は、下記のうちの一つまたは全部である。
[1]ストレージ装置4における、車載ナビゲーションシステムが使用する領域以外にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、使用可能な機能がナビゲーションに関する機能であることを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、モニタ28に最寄りの修理工場への案内を表示し車両1を修理工場へ誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[2]ストレージ装置4における、車載ナビゲーションシステムが使用する領域にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、車載ナビゲーションシステムが使用する領域で致命的障害が起こったことを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、不揮発性メモリ12におけるバックアップ領域より、最寄りの修理工場へのナビゲーション情報を読み出し、モニタ28に表示し、車両1を修理工場へ自動運転にて誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[3]ストレージ装置4における、ADAS(Advanced driver-assistance systems:先進運転支援システム)が使用する領域にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、ADASを使用できないことを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、モニタ28に映す画像、スピーカ32より出力する音声、又は、ルームランプ26での点滅、色変更若しくは明るさ変更を用いて、ADASを使用できない旨を、運転者に通知する。更に、ホストである車載ECU20は、自動運転にて車両1を最寄りの修理工場に誘導する。又は、ホストである車載ECU20は、モニタ28に最寄りの修理工場への案内を表示し、手動運転にて車両1を最寄りの修理工場に誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[1.2.5.車載ECUがストレージ装置から不正アクセスや不具合に関する通知を受けた場合の、車載ECU、及び、周辺機器の動作]
車載ECU20がストレージ装置4から不正アクセスや不具合に関する通知を受けた場合の、車載ECU20、及び、周辺機器の動作を説明する。
[1.2.5.1.モニタの動作]
モニタ28の動作を説明する。モニタ28は、車載ECU20からの指示により文字情報/アイコン等を用いて、運転者に対する注意若しくは警告を表示する。また、モニタ28は、運転者による緊急の対応を要するか否かについて、及び、運転者の操作や行動に関する助言について、表示する。
モニタ28は、表示する情報の内容に応じて、画面の色や明るさを切り替えるようにしてもよい。
モニタ28は、ストレージ装置4を含む車載システムに修理を要する場合には、車載ナビゲーションシステムに従って、修理工場等の最寄りの修理作業実施施設へ誘導する画面を表示するようにしてもよい。また、モニタ28は、車載ナビゲーションシステムによる画面に、ロードサービス提供者、自動車ディーラ、若しくは、サービスセンタなどへの架電を指示する旨を表示してもよい。
モニタ28は、画面操作を介して運転者による入力を受け付けるようにしてもよい。運転者による入力は、例えば、画面表示される警告や注意に関する運転者の指示である。例えば、故障発生の警告画面に対して、運転者はモニタ28の画面を経由して、「直ぐに修理工場へ行く」ことを入力する。また、例えば、故障発生の注意画面に対して、運転者はモニタ28の画面を経由して、「後日、修理工場へ行く」ことを入力する。
[1.2.5.2.スピーカ及びマイクの動作]
スピーカ32及びマイク30の動作を説明する。スピーカ32は、モニタ28に表示する情報を、発声により運転者に通知する。スピーカ32は、指定される言語により、情報を運転者に通知するのが好ましい。更に、スピーカ32は、指定される言語が複数の言語から選択されるように構成されているのが好ましい。
マイク30は、運転者の音声による入力を受け付けるようにしてもよい。ここでの運転者の音声による入力は、例えば、スピーカ32により運転者に通知される情報に関する運転者の指示である。例えば、故障発生の警告の音声情報に対して、運転者はマイク30を経由して、「直ぐに修理工場へ行く」ことを音声で入力する。また、例えば、故障発生の注意の音声情報に対して、運転者はマイク30を経由して、「後日、修理工場へ行く」ことを音声で入力する。
[1.2.5.3.ルームランプの動作]
ルームランプ26の動作を説明する。聴覚による聴き取りが苦手である運転者のために、ルームランプ26は、照明の点滅、色変更若しくは明るさ変更により、注意若しくは警告を通知する。障害の箇所や内容によって、ルームランプ26は、色を変えたり、点滅の間隔を変えたり、又は、明るさを変えたりするように構成されてもよい。このことにより、運転者は、不正アクセスや不具合の内容を認識して、その後の具体的な運転操作や行動の選択の指針とすることができる。
[1.3.まとめ]
本実施の形態に係る車載セキュアストレージシステム2は、コントローラ6、不揮発性メモリ12、及びインタフェース(8、10)を有するストレージ装置4と、並びに、車両1の制御を電子的に行う電子制御ユニット20とを有する車載セキュアストレージシステム2である。コントローラ6は、不揮発性メモリ12に対して不正アクセスまたは不具合が生じていると判断した後に、不正アクセスまたは不具合の種類に応じて、所定の処理を行う。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、コントローラ6は、電子制御ユニット20から受信した命令を解析し、解析の結果、不揮発性メモリ12に対する命令が不正アクセスであると判断した場合は不正アクセスに対応する所定の処理を行う。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスを簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不揮発性メモリ12は、複数の論理領域に分割されている。コントローラ6は、タイマによる割り込み、若しくは電子制御ユニット20からの通信をトリガにして、複数の論理領域毎に不具合の有無を確認し、確認の結果、不具合があると判断した場合、不具合に対応する所定の処理を行う。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスに対応する所定の処理、及び、不具合に対応する所定の処理は、電子制御ユニットへの通知である。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合の、検出結果を、適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスの種類は、アクセス領域違反、アクセスモード違反、不正データ改竄、不正書き込み、領域外書き込みアクセス、連続アクセスモード違反、及び、自動運転用領域への不正アクセスのうちの、いずれかである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスを簡易に且つ迅速に検出できる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、アクセス領域違反であり、不正アクセスに対応する所定の処理は、電子制御ユニットからのアクセスを全て禁止することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、アクセスモード違反であり、不正アクセスに対応する所定の処理は、アクセスモードに対応するオペレーションを禁止することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、不正データ改竄であり、不正アクセスに対応する所定の処理は、不揮発性メモリ12上の現状のデータを保護し、当該不正アクセスのあったことを電子制御ユニット20に通知し、電子制御ユニット20にデータの再チェックを要請することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、不正書き込みであり、不正アクセスに対応する所定の処理は、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、ということである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が追加可能である場合には、不正アクセスは、領域外書き込みアクセスであり、不正アクセスに対応する所定の処理は、不揮発性メモリ12内で自動的に新たな領域を確保し連続領域として追加することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、連続アクセスモード違反であり、不正アクセスに対応する所定の処理は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻すことである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、自動運転用領域への不正アクセスであり、不正アクセスに対応する所定の処理は、該当する自動運転用領域の一部若しくは全部を無効とし、又は、自動運転の機能を中止若しくは一部制限する処理を行い、更に、自動運転を中止すること、または一部の機能を制限することをホストに通告することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合の種類は、車載セキュアストレージシステム内での自動リカバリが不可能な障害であると判断された障害である致命的な障害の検出、領域異常の検出、及び、致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出のうちの、いずれかである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合を簡易に且つ迅速に検出できる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、前述の致命的な障害の検出であり、不具合に対応する所定の処理は、不揮発性メモリ12へのホストからのアクセスを全部又は一部断絶することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、領域異常の検出であり、不具合に対応する所定の処理は、該当する領域のバックアップ領域に切り替えることである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、前述の致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出であり、不具合に対応する所定の処理は、外部通信により外部のサービスセンタに通知することを電子制御ユニット20に要請することである。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、モニタ28と接続している。電子制御ユニット20は通知を受けると、モニタ28の画面に注意若しくは警告を表示する。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、スピーカ32及びマイク30と接続している。電子制御ユニット20は通知を受けると、注意若しくは警告に関する情報をスピーカ32に発声させ、マイク30により音声による入力を受け付ける。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。
更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、ルームランプ26と接続している。電子制御ユニット20は通知を受けると、ルームランプ26の点滅、色変更、若しくは明るさの変更を行う。
このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。
(他の実施の形態)
以上のように、本出願において開示する技術の例示として、実施の形態1を説明した。しかしながら、本開示における技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。例えば、本実施の形態においては、不揮発性メモリ12は、複数の論理領域に分割されたが必ずしも、分割される必要はない。つまり、不揮発性メモリ12は、単数の論理領域のみを有するものとしても良い。また、メインバスインタフェース8、外部通信モジュール18、および/またはメインバスインタフェース22との間の接続はPCIe等を用いたバス接続ではなく、イーサネット(登録商標)等を用いたネットワーク接続としてもよい。また、本実施の形態においてはコントローラ6からホストへの通知は、オペレーションに対するレスポンスまたは割込みという形で行ったが、コントローラとホストの間の情報授受の方式はこれに限られない。つまり、コントローラ6がホストに通知する代わりに、当該通知すべき内容を、不揮発性メモリ12内の所定の領域にログとして記載しておき、ホストが自ら当該所定の領域を読み出すことで、ホストが不正アクセス、不正アクセスによって生じたデータ改竄、システムの不具合を検知できるように構成してもよい。このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置の不具合に関する検出結果を、適切に利用することができる。
また、実施の形態を説明するために、添付図面および詳細な説明を提供した。したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。
また、上述の実施の形態は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
本発明は、車載ストレージシステム、特に、自動運転システムを搭載する自動車における車載ストレージシステムにて利用することができる。
1・・・車両、2・・・車載セキュアストレージシステム、4・・・ストレージ装置、6・・・コントローラ、8・・・メインバスインタフェース、10・・・サイドバンドインタフェース、12・・・不揮発性メモリ、14・・・PCIeバス、16・・・サイドバンド用バス(SDバス)、18・・・外部通信モジュール、20・・・電子制御ユニット、22・・・メインバスインタフェース、24・・・サイドバンドインタフェース、26・・・ルームランプ、28・・・モニタ、30・・・マイク、32・・・スピーカ。

Claims (5)

  1. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
    を有する車載セキュアストレージシステムであって、
    前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行
    前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、
    前記不正アクセスは、不正データ改竄であり、
    前記不正アクセスに対応する所定の処理は、前記不揮発性メモリ上の現状のデータを保護し、当該不正アクセスのあったことを前記電子制御ユニットに通知し、前記電子制御ユニットにデータの再チェックを要請することである、
    車載セキュアストレージシステム。
  2. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
    を有する車載セキュアストレージシステムであって、
    前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、
    前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、
    前記不正アクセスは、不正書き込みであり、
    前記不正アクセスに対応する所定の処理は、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、ということである、
    車載セキュアストレージシステム。
  3. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
    を有する車載セキュアストレージシステムであって、
    前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、
    前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、
    領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が追加可能である場合には、
    前記不正アクセスは、領域外書き込みアクセスであり、
    前記不正アクセスに対応する所定の処理は、前記不揮発性メモリ内で自動的に新たな領域を確保し、連続領域として追加することである、
    車載セキュアストレージシステム。
  4. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
    を有する車載セキュアストレージシステムであって、
    前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、
    前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、
    前記不正アクセスは、連続アクセスモード違反であり、
    前記不正アクセスに対応する所定の処理は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻すことである、
    車載セキュアストレージシステム。
  5. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
    を有する車載セキュアストレージシステムであって、
    前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、
    前記不揮発性メモリは、複数の論理領域に分割されており、
    前記コントローラは、タイマによる割り込み、若しくは前記電子制御ユニットからの通信をトリガにして、前記複数の論理領域毎に不具合の有無を確認し、前記確認の結果、不具合があると判断した場合、不具合に対応する所定の処理を行い、
    前記不具合は、前記車載セキュアストレージシステム内での自動リカバリが不可能な障害であると判断された障害である致命的な障害のうち、前記不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出であり、
    前記不具合に対応する所定の処理は、外部通信により外部のサービスセンタに通知することを前記電子制御ユニットに要請することである、
    車載セキュアストレージシステム。
JP2021532763A 2019-07-12 2020-06-26 車載セキュアストレージシステム Active JP7246032B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019129761 2019-07-12
JP2019129761 2019-07-12
PCT/JP2020/025349 WO2021010143A1 (ja) 2019-07-12 2020-06-26 車載セキュアストレージシステム

Publications (3)

Publication Number Publication Date
JPWO2021010143A1 JPWO2021010143A1 (ja) 2021-01-21
JPWO2021010143A5 JPWO2021010143A5 (ja) 2022-06-20
JP7246032B2 true JP7246032B2 (ja) 2023-03-27

Family

ID=74210643

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021532763A Active JP7246032B2 (ja) 2019-07-12 2020-06-26 車載セキュアストレージシステム

Country Status (5)

Country Link
US (1) US11983304B2 (ja)
EP (1) EP3989075B1 (ja)
JP (1) JP7246032B2 (ja)
CN (1) CN114127726A (ja)
WO (1) WO2021010143A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11592997B2 (en) * 2020-01-30 2023-02-28 At&T Intellectual Property I, L.P. Systems, methods and computer readable media for software defined storage security protection
US12487900B2 (en) 2023-12-22 2025-12-02 Hitachi Astemo, Ltd. Memory fault management for software

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004218614A (ja) 2003-01-17 2004-08-05 Mitsubishi Electric Corp 車載電子制御装置
JP2007310916A (ja) 2007-09-03 2007-11-29 Renesas Technology Corp メモリカード
JP2009199515A (ja) 2008-02-25 2009-09-03 Hitachi Ltd 車両制御装置
JP2014086089A (ja) 2012-10-19 2014-05-12 Samsung Electronics Co Ltd セキュリティ管理ユニットとそれを含むホストコントローラインターフェース及びその動作方法、並びにホストコントローラインターフェースを含むコンピュータシステム
JP2015079402A (ja) 2013-10-18 2015-04-23 ソニー株式会社 記憶制御装置、記憶装置、情報処理システムおよびその記憶制御方法
JP2018116510A (ja) 2017-01-18 2018-07-26 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法
US20180357184A1 (en) 2017-06-09 2018-12-13 Intel Corporation Fine-grained access host controller for managed flash memory
WO2018230280A1 (ja) 2017-06-14 2018-12-20 住友電気工業株式会社 車外通信装置、通信制御方法および通信制御プログラム
US20190102114A1 (en) 2017-10-02 2019-04-04 Western Digital Technologies, Inc. Storage protection unit

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4345119B2 (ja) * 1998-12-24 2009-10-14 株式会社デンソー 車載電子制御ユニットと同電子制御ユニットの交換方法
JP3969494B2 (ja) * 2004-08-31 2007-09-05 三菱電機株式会社 車載電子制御装置
JP4817836B2 (ja) 2004-12-27 2011-11-16 株式会社東芝 カードおよびホスト機器
JP4611062B2 (ja) * 2005-03-09 2011-01-12 株式会社日立製作所 計算機システムおよび計算機システムにおけるデータのバックアップ方法
JP4458179B2 (ja) * 2008-03-27 2010-04-28 トヨタ自動車株式会社 故障検出装置、故障検出システム、故障検出方法
JP4414470B1 (ja) * 2008-10-10 2010-02-10 本田技研工業株式会社 車両の故障診断のための基準値の生成
JP2011231698A (ja) * 2010-04-28 2011-11-17 Suzuki Motor Corp 車載電子制御装置
JP5206737B2 (ja) * 2010-06-11 2013-06-12 株式会社デンソー 電子制御装置及び情報管理システム
US20140073254A1 (en) * 2011-05-25 2014-03-13 Denso Corporation Vehicle communication apparatus
KR101600460B1 (ko) * 2013-06-17 2016-03-08 한국산업기술대학교산학협력단 보안기능을 갖는 ecu 업그레이드시스템 및 그 방법
KR20150022329A (ko) * 2013-08-23 2015-03-04 주식회사 만도 자동차 고장 정보 저장 장치 및 방법
US9959203B2 (en) * 2014-06-23 2018-05-01 Google Llc Managing storage devices
CN109471812B (zh) * 2015-01-19 2023-09-05 铠侠股份有限公司 存储装置及非易失性存储器的控制方法
JP2016203719A (ja) * 2015-04-17 2016-12-08 株式会社デンソー メモリ管理装置、認証センタ、および認証システム
JP6585113B2 (ja) * 2017-03-17 2019-10-02 株式会社東芝 データ格納装置
JP7029366B2 (ja) * 2018-08-30 2022-03-03 日立Astemo株式会社 自動車用電子制御装置
CN113597545A (zh) * 2019-03-15 2021-11-02 Tvs电机股份有限公司 用于车辆的便携式无线连接诊断系统
CN112905207A (zh) * 2021-03-16 2021-06-04 深圳市轱辘车联数据技术有限公司 Ecu数据刷写方法、ecu数据刷写装置、车载终端及介质
CN115096604A (zh) * 2022-06-16 2022-09-23 北斗星通智联科技有限责任公司 一种车辆故障状态检测方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004218614A (ja) 2003-01-17 2004-08-05 Mitsubishi Electric Corp 車載電子制御装置
JP2007310916A (ja) 2007-09-03 2007-11-29 Renesas Technology Corp メモリカード
JP2009199515A (ja) 2008-02-25 2009-09-03 Hitachi Ltd 車両制御装置
JP2014086089A (ja) 2012-10-19 2014-05-12 Samsung Electronics Co Ltd セキュリティ管理ユニットとそれを含むホストコントローラインターフェース及びその動作方法、並びにホストコントローラインターフェースを含むコンピュータシステム
JP2015079402A (ja) 2013-10-18 2015-04-23 ソニー株式会社 記憶制御装置、記憶装置、情報処理システムおよびその記憶制御方法
JP2018116510A (ja) 2017-01-18 2018-07-26 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法
US20180357184A1 (en) 2017-06-09 2018-12-13 Intel Corporation Fine-grained access host controller for managed flash memory
WO2018230280A1 (ja) 2017-06-14 2018-12-20 住友電気工業株式会社 車外通信装置、通信制御方法および通信制御プログラム
US20190102114A1 (en) 2017-10-02 2019-04-04 Western Digital Technologies, Inc. Storage protection unit

Also Published As

Publication number Publication date
US20220138353A1 (en) 2022-05-05
WO2021010143A1 (ja) 2021-01-21
EP3989075A1 (en) 2022-04-27
EP3989075B1 (en) 2023-10-25
CN114127726A (zh) 2022-03-01
JPWO2021010143A1 (ja) 2021-01-21
US11983304B2 (en) 2024-05-14
EP3989075A4 (en) 2022-08-17

Similar Documents

Publication Publication Date Title
US10549760B2 (en) Systems and methods for handling a vehicle ECU malfunction
CN110178114B (zh) 车辆控制装置以及程序更新系统
US9205809B2 (en) Vehicle unit and method for operating the vehicle unit
CN113868023B (zh) 存储系统的快照方法、装置、电子设备及可读存储介质
CN109670319B (zh) 一种服务器flash安全管理方法及其系统
JP7246032B2 (ja) 車載セキュアストレージシステム
CN112537318B (zh) 用于远程控制机动车的方法
CN115762625B (zh) 验证eMMC功能的方法、系统、电子设备及存储介质
KR101027415B1 (ko) 차량용 운영체제의 관리 시스템, 관리 방법 및 오류 검출 방법
CN108777639A (zh) 一种实现i2c总线数据监控与保护的设计方法
WO2017080225A1 (zh) 数据分区的修复方法、装置及终端
CN112181459B (zh) 一种cpld升级优化方法及系统
CN107864204B (zh) 一种自适应的车辆参数自动识别和共享方法
CN119149295A (zh) 一种多核异构系统的复位方法、系统和设备
US20200274901A1 (en) Security design planning support device
KR100892370B1 (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
US10241892B2 (en) Issuance of static analysis complaints
CN109799992B (zh) 一种城市轨道交通信号系统软件缓冲区范围检查方法
CN116834551A (zh) 车辆备份报警方法、系统、装置、电子设备及存储介质
CN111897583A (zh) 一种设备启动方法及嵌入式设备
CN109062696A (zh) 一种注销内存地址的方法及装置
CN102549550B (zh) 一种数据访问方法及系统
CN110262522B (zh) 用于控制自动驾驶车辆的方法和装置
JP2011253332A (ja) 計算機システム及びi/o故障カード特定方法
JPH04326423A (ja) バージョンアップ管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230303

R151 Written notification of patent or utility model registration

Ref document number: 7246032

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151