JP7677864B2 - Vehicle control device - Google Patents
Vehicle control device Download PDFInfo
- Publication number
- JP7677864B2 JP7677864B2 JP2021159755A JP2021159755A JP7677864B2 JP 7677864 B2 JP7677864 B2 JP 7677864B2 JP 2021159755 A JP2021159755 A JP 2021159755A JP 2021159755 A JP2021159755 A JP 2021159755A JP 7677864 B2 JP7677864 B2 JP 7677864B2
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- secure boot
- ecu
- user
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Lock And Its Accessories (AREA)
- Stored Programmes (AREA)
Description
本発明は、車両用制御装置、特に、起動時に完全性の検証を行う車両用制御装置に関する。 The present invention relates to a vehicle control device, and in particular to a vehicle control device that performs integrity verification at startup.
車両には、複数のECU(Electronic Control Unit)を備えた車両用制御装置が搭載され、車両は、所定のプログラムに基づく各ECUの動作により制御されている。近年の自動運転技術における車両周囲の状況確認や自動走行(走る、曲がる、止まる等)等もECUによって制御されている。従って、例えば、ECUのプログラムが不正に改ざんされると、車両の安全な走行を阻害するおそれがある。 A vehicle is equipped with a vehicle control device equipped with multiple ECUs (Electronic Control Units), and the vehicle is controlled by the operation of each ECU based on a specific program. In recent years, the ECU also controls the vehicle's surroundings and autonomous driving (driving, turning, stopping, etc.) in autonomous driving technology. Therefore, for example, if the ECU program is tampered with illegally, this could hinder the safe driving of the vehicle.
近年、車両がネットワークと通信可能に構成されるようになったことで、外部からの悪意ある攻撃により、ECUのプログラムが改ざんされる等の問題が顕在化してきている。また、ECUでは、着脱可能な不揮発性メモリに格納されたプログラムに基づいて制御を行う場合があり、例えば、車両の駐車中等にスリープ状態となったECUの不揮発性メモリを不正に交換する等のプログラムの改ざんも存在する。 In recent years, as vehicles have become capable of communicating with networks, problems such as ECU programs being tampered with by malicious external attacks have become apparent. In addition, ECUs may perform control based on programs stored in removable non-volatile memory, and there have been cases of program tampering, such as unauthorized replacement of the non-volatile memory of an ECU that has gone into sleep mode while the vehicle is parked.
そこで、ECUでは、起動(ブート)前にプログラムの完全性を検証することで、不正に改ざんされたプログラムが実行されることを阻止するセキュアブート処理を実行している。セキュアブート処理では、暗号技術を用いてプログラムの完全性の検証を行い、プログラムの改ざんがない場合にはECUの起動を許可し、プログラムの改ざんが検出された場合にはその状態でのECUの起動を阻止することができる。 The ECU therefore implements a secure boot process that verifies the integrity of the program before booting, preventing the execution of programs that have been tampered with. The secure boot process verifies the integrity of the program using encryption technology, and allows the ECU to start if the program has not been tampered with, but prevents the ECU from starting in that state if program tampering is detected.
一方、ECUには、起動開始から起動完了までの起動時間に厳しい制約がある(例えば、数十msから数百ms以内)。すなわち、ECUが制御を開始するまでの起動時間内にセキュアブート処理による検証を完了させることが要求される。このため、セキュアブート処理において、処理時間を短縮させる技術が提案されている(例えば、特許文献1)。 On the other hand, ECUs have strict constraints on the startup time from start to completion (for example, within tens to hundreds of ms). In other words, it is required that the verification by the secure boot process be completed within the startup time until the ECU starts control. For this reason, technology has been proposed to shorten the processing time in the secure boot process (for example, Patent Document 1).
特許文献1には、ECUの停止時に他ECUから取得した情報と、ECUの起動時に他ECUから取得した情報との検証を行い、改ざんの可能性が低いと判断される場合には、セキュアブートによる検証領域を一部省略することにより、セキュアブート処理に要する時間を短縮することが開示されている。 Patent document 1 discloses that information acquired from other ECUs when an ECU is stopped is verified against information acquired from other ECUs when an ECU is started, and if it is determined that there is a low possibility of tampering, the time required for secure boot processing is reduced by omitting part of the secure boot verification area.
しかしながら、特許文献1のセキュアブート処理では、車両内のIG(ignition)スイッチがONとされてからECU起動時の検証を行う。そして、ECU起動時の検証において、他のECUとの通信を行って他のECUから得た状態情報を用いるため、他のECUの起動及び通信開始を待機する必要があり、セキュアブート処理に要する時間の短縮は十分とは言えない。 However, in the secure boot process of Patent Document 1, verification at ECU startup is performed after the ignition switch in the vehicle is turned on. Furthermore, in the verification at ECU startup, status information obtained from other ECUs through communication with the other ECUs is used, so it is necessary to wait for the other ECUs to start up and begin communication, and it cannot be said that the time required for secure boot processing is sufficiently reduced.
本発明は、このような状況に対処することを課題としている。すなわち、ECU起動時の完全性を確保しながら、ユーザから見たセキュアブート処理に要する処理時間を短縮させることなどを課題としている。 The present invention aims to address this situation. In other words, it aims to shorten the processing time required for secure boot processing from the user's perspective while ensuring the integrity of the ECU when it is started up.
このような課題を解決するために、本発明による車両用制御装置は、以下の構成を具備する。
すなわち、本発明の一態様は、車両に搭載された制御対象を所定のプログラムに基づいて制御する制御部と、前記車両を含む所定領域内において、前記車両に接近したユーザが前記車両の正規ユーザであるか否かを照合した照合結果を取得するユーザ照合情報取得部と、前記ユーザ照合情報取得部が取得した照合結果が正規ユーザであることを示す場合に、前記制御部による起動対象の前記プログラムに対してセキュアブート処理を実施するセキュアブート処理部と、を備えた車両用制御装置を提供する。
In order to solve such problems, a vehicle control device according to the present invention has the following configuration.
That is, one aspect of the present invention provides a vehicle control device including: a control unit that controls a control target mounted on a vehicle based on a predetermined program; a user matching information acquisition unit that acquires a matching result of matching whether a user approaching the vehicle within a predetermined area including the vehicle is a legitimate user of the vehicle; and a secure boot processing unit that performs secure boot processing on the program to be started by the control unit when the matching result acquired by the user matching information acquisition unit indicates that the user is a legitimate user.
このような特徴を有する車両用制御装置によれば、ECU起動時の完全性を確保しながら、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。 A vehicle control device with these characteristics can ensure the integrity of the ECU when it starts up while shortening the processing time required for secure boot processing from the user's perspective.
以下、図面を参照して本発明の実施形態を説明する。以下の説明で、異なる図における同一符号は同一機能の部位を示しており、各図における重複説明は適宜省略する。 Embodiments of the present invention will be described below with reference to the drawings. In the following description, the same reference numerals in different drawings indicate parts with the same function, and duplicate descriptions in each drawing will be omitted as appropriate.
図1に示すように、本発明の実施形態に係る車両用制御装置(ECU)10は、車両用制御システム1の一部を構成し、車両100に設けられる。ECU(Electronic Control Unit)10は、例えば、車両100の走行に必要な種々の電子機器類(制御対象)に接続され、これらの電子機器類を制御する。車両用制御システム1には、例えば、乗員監視ECU10A,車両監視ECU10B,ユーザ照合ECU10C,駆動ECU10D,制動ECU10E,操舵ECU10F・・・などの複数のECUが含まれる。以下、本実施形態において、全てのECUを示す場合には、単にECU10と記す。 As shown in FIG. 1, a vehicle control device (ECU) 10 according to an embodiment of the present invention constitutes part of a vehicle control system 1 and is provided in a vehicle 100. The ECU (Electronic Control Unit) 10 is connected to, for example, various electronic devices (control targets) necessary for the running of the vehicle 100, and controls these electronic devices. The vehicle control system 1 includes multiple ECUs, such as an occupant monitoring ECU 10A, a vehicle monitoring ECU 10B, a user matching ECU 10C, a drive ECU 10D, a braking ECU 10E, a steering ECU 10F, and so on. Hereinafter, in this embodiment, when referring to all ECUs, they will simply be referred to as ECU 10.
ECU10は、CAN(Controller Area Network)やLIN(Local Interconnect Network)等の車載ネットワーク3により相互に通信可能に接続されると共に、中継装置としてのセントラルゲートウェイ(CGW)4に接続されて車両用制御システム1を構成する。以下の説明において、本実施形態にかかる車両用制御装置10に直接関与しない電子機器等についての詳細な説明及び図示は省略する。 The ECUs 10 are connected to each other via an in-vehicle network 3 such as a Controller Area Network (CAN) or a Local Interconnect Network (LIN) so that they can communicate with each other, and are also connected to a central gateway (CGW) 4 as a relay device to form a vehicle control system 1. In the following description, detailed descriptions and illustrations of electronic devices and the like that are not directly related to the vehicle control device 10 according to this embodiment will be omitted.
図1に示すように、車両用制御システム1に含まれるECU10は、車両100に搭載された制御対象の電子機器に接続され、車載ネットワーク3から取得する情報(データ)に基づいて各々が接続された電子機器の動作を制御する。また、ECU10は、接続された電子機器の動作状態などの状態情報(データ)を車載ネットワーク3へ出力する。 As shown in FIG. 1, the ECU 10 included in the vehicle control system 1 is connected to electronic devices to be controlled that are mounted on the vehicle 100, and controls the operation of each connected electronic device based on information (data) acquired from the in-vehicle network 3. The ECU 10 also outputs status information (data) such as the operating status of the connected electronic devices to the in-vehicle network 3.
例えば、乗員監視ECU10Bは、車両に乗車している乗員を監視する乗員監視装置(DMS:Driver Monitoring System)の一部を構成し、乗員監視装置に含まれるカメラ、マイク、座席シートに設けられる着座センサ、ドアの開閉センサ(いずれも図示せず)等の電子機器を制御することにより乗員を監視する。例えば、乗員監視ECU10Aでは、カメラによって撮像された画像に基づいて車両のシートに着座した乗員が正規ユーザであるか否かを判定する。乗員監視ECU10Aによる判定結果は車載ネットワーク3に出力される。 For example, the occupant monitoring ECU 10B constitutes part of a driver monitoring system (DMS) that monitors occupants in the vehicle, and monitors occupants by controlling electronic devices included in the occupant monitoring system, such as a camera, a microphone, a seating sensor installed on the seat, and a door opening/closing sensor (none of which are shown). For example, the occupant monitoring ECU 10A determines whether or not an occupant seated in a vehicle seat is a legitimate user based on an image captured by a camera. The determination result by the occupant monitoring ECU 10A is output to the in-vehicle network 3.
車両監視ECU10Bは、車両のドアの開閉センサやキーセンサに接続され、ドアの開閉、ドアのロック又はアンロックを制御することにより車両を監視する。例えば、車両監視ECUは、車両のドア開閉状態や、ドアの解錠時に使用されたキー(ID)と車両に予め登録されている認証キー(ID)とが一致するか否かを判定し、ドアの開閉履歴や認証キー照合結果を状態情報として車載ネットワーク3に出力する。 The vehicle monitoring ECU 10B is connected to the vehicle door opening/closing sensor and key sensor, and monitors the vehicle by controlling the opening/closing and locking/unlocking of the doors. For example, the vehicle monitoring ECU determines whether the vehicle door is open/closed, and whether the key (ID) used to unlock the door matches an authentication key (ID) preregistered in the vehicle, and outputs the door opening/closing history and authentication key matching results as status information to the in-vehicle network 3.
ユーザ照合ECU10Cは、例えば、停車中の車両に、当該車両を含む所定領域内において車両へのユーザの接近を監視し、車両に接近したユーザが正規ユーザであるか否かを照合する。具体的には、ユーザ照合ECU10Cは、ユーザ照合のための送受信機(図示せず)と接続され、送受信機から所定の信号を出力しながら車両を含む所定領域内で発信された所定の信号の受信を待機することで、例えばスマートキーを保持したユーザが車両に接近したかを監視する。 The user verification ECU 10C monitors the approach of a user to a parked vehicle within a specified area including the vehicle, and verifies whether the user approaching the vehicle is a legitimate user. Specifically, the user verification ECU 10C is connected to a transceiver (not shown) for user verification, and monitors whether a user holding a smart key, for example, has approached the vehicle by outputting a specified signal from the transceiver while waiting to receive a specified signal transmitted within a specified area including the vehicle.
ユーザ照合ECU10Cでは、送受信機が、車両に接近したユーザが保持するスマートキー等から信号を受信すると、受信した信号が示すキー(ID)と予め車両に登録された認証キー(ID)とを照合し、両IDが一致した場合に、正規ユーザであると判定する。ユーザ照合ECU10Cによる照合結果は、ユーザ照合情報として車載ネットワーク3に出力される。なお、正規ユーザであるか否かの照合には、スマートキーだけでなく、車両との間で通信が可能な、例えば、スマートフォン等の携帯用通信端末に登録したキーや、ボタン操作によって車両の解錠又は施錠を行うキーレスキー等を用いてもよい。 When the transceiver receives a signal from a smart key or the like held by a user approaching the vehicle, the user verification ECU 10C verifies the key (ID) indicated by the received signal with an authentication key (ID) preregistered in the vehicle, and if the two IDs match, it determines that the user is authorized. The verification result by the user verification ECU 10C is output to the in-vehicle network 3 as user verification information. Note that, in addition to a smart key, a key registered in a portable communication terminal such as a smartphone that can communicate with the vehicle, or a keyless key that unlocks or locks the vehicle by operating a button, etc., may also be used to verify whether or not the user is authorized.
駆動ECU10D、制動ECU10E及び操舵ECU10Fは、車載ネットワーク3から情報を取得し、車両の走行を制御する。また、駆動ECU10D、制動ECU10E及び操舵ECU10Fに接続された電子機器の状態を示す状態情報(例えば、車両の車速情報、フットブレーキの踏み込み量を示す情報、サイドブレーキのオン、オフ情報、ステアリングの操舵角の情報)を車載ネットワーク3に出力する。
この他、車両用制御システムには車両の走行に必要な種々の電子機器を制御する複数のECU10が含まれるが、図1においては図示を省略する。
The drive ECU 10D, the brake ECU 10E, and the steering ECU 10F obtain information from the in-vehicle network 3 and control the running of the vehicle. In addition, the drive ECU 10D, the brake ECU 10E, and the steering ECU 10F output status information indicating the status of the electronic devices connected to the drive ECU 10D, the brake ECU 10E, and the steering ECU 10F (e.g., vehicle speed information, information indicating the amount of foot brake depression, handbrake on/off information, and steering angle information) to the in-vehicle network 3.
In addition, the vehicle control system includes a plurality of ECUs 10 that control various electronic devices necessary for driving the vehicle, but these are not shown in FIG.
図2に示すように、車両用制御装置としてのECU10は、CPU(Central Processing Unit)20、第1記憶部30、第2記憶部40及びHSM(Hardware Security Module)50を備え、接続された制御対象を第1記憶部30に格納された制御プログラムに従って制御すると共に、第1記憶部30に格納された制御プラグラムを含む種々のプログラムを更新したり、プログラム及び当該プログラムによって起動されるECU10の完全性を検証したりする。 As shown in FIG. 2, the ECU 10 as a vehicle control device includes a CPU (Central Processing Unit) 20, a first memory unit 30, a second memory unit 40, and an HSM (Hardware Security Module) 50, and controls a connected control target according to a control program stored in the first memory unit 30, updates various programs including the control program stored in the first memory unit 30, and verifies the integrity of the programs and the ECU 10 activated by the programs.
CPU20は、第1記憶部30に格納されたプログラムに基づいて種々の処理を実行する。本実施形態では、CPU20は、図2に示す制御部21、ユーザ照合情報取得部22、時間差判定部23、及び起動可否判定部24として機能することができる。 The CPU 20 executes various processes based on the programs stored in the first storage unit 30. In this embodiment, the CPU 20 can function as the control unit 21, the user matching information acquisition unit 22, the time difference determination unit 23, and the start possibility determination unit 24 shown in FIG. 2.
制御部21は、ECU10が制御対象を制御するための処理を実行する。すなわち、制御部21は、第1記憶部30に格納された制御プログラムに基づいて、ECU10を起動させ、制御対象を制御するための処理を実行する。 The control unit 21 executes processing for the ECU 10 to control the control object. That is, the control unit 21 starts the ECU 10 based on the control program stored in the first storage unit 30, and executes processing for controlling the control object.
ユーザ照合情報取得部22は、車載ネットワーク3を介して、車載ネットワーク3に接続されたユーザ照合ECU10Cからユーザ照合情報を取得する。ユーザ照合情報取得部22は、ユーザ照合情報が車両に接近したユーザが正規ユーザであることを示す場合に、セキュアブート処理部としてのHSM50にセキュアブート処理の実施命令に係る信号を出力する。 The user matching information acquisition unit 22 acquires user matching information from the user matching ECU 10C connected to the in-vehicle network 3 via the in-vehicle network 3. When the user matching information indicates that the user who has approached the vehicle is a legitimate user, the user matching information acquisition unit 22 outputs a signal related to an instruction to perform secure boot processing to the HSM 50 as a secure boot processing unit.
時間差判定部23は、HSM50によるセキュアブート処理が完了し、第2記憶部40に記憶された完了時刻から、例えば、車両が起動(イグニッションがオン、以下「IGN-ON」という)した時刻までの経過時間を計時し、経過時間が予め定めた所定時間内であるかを判定する。時間差判定部23による判定結果は、起動可否判定部24におけるECU10の起動の可否の判定に用いられる。経過時間は、車両の起動直前にHSM50により行われた最新のセキュアブート処理が完了した完了時刻から車両が起動した時刻又は車両が起動して時間差判定部23が経過時間と所定時間との比較に関する判定処理を開始した時刻までに経過した時間である。 The time difference determination unit 23 measures the elapsed time from the completion time when the secure boot process by the HSM 50 is completed and stored in the second memory unit 40 to the time when the vehicle is started (the ignition is turned on, hereafter referred to as "IGN-ON"), for example, and determines whether the elapsed time is within a predetermined time. The determination result by the time difference determination unit 23 is used by the start-up possibility determination unit 24 to determine whether the ECU 10 can be started up. The elapsed time is the time elapsed from the completion time when the most recent secure boot process performed by the HSM 50 immediately before the vehicle is started up to the time when the vehicle is started up, or the time when the vehicle is started up and the time difference determination unit 23 starts the determination process of comparing the elapsed time with the predetermined time.
時間差判定部23において、経過時間と所定時間とを比較する理由は次のとおりである。
ユーザ照合ECU10Cでは、車両を含む所定領域内のユーザの接近を監視しているため、ユーザが車両に到着して車両を起動させるまでに要する時間は予測可能な時間内である。したがって、ユーザ照合ECU10Cによって正規ユーザであると判定されてセキュアブート処理を実施した後に、予測を超える時間が経過してから車両が起動した場合には、車両に接近してユーザ照合を行った人物と車両を起動させた人物とが同一人物でないおそれがある。
The reason why the time difference determination unit 23 compares the elapsed time with the predetermined time is as follows.
Since the user verification ECU 10C monitors the approach of a user within a predetermined area including the vehicle, the time required for the user to arrive at the vehicle and start the vehicle is within a predictable time. Therefore, if the vehicle starts after a time longer than predicted has elapsed after the user verification ECU 10C has determined that the user is an authorized user and performed secure boot processing, there is a risk that the person who approached the vehicle and performed user verification is not the same person who started the vehicle.
このため、時間差判定部23により、車両を含む所定領域内に存在するユーザが車両を起動させるまでに要する時間を予測して所定時間を予め設定しておく。時間差判定部23では、所定時間と経過時間とを比較することで、車両に接近しユーザ照合部により正規ユーザであると照合された人物と車両を起動した人物とが同一人物であるかを判定することができる。 For this reason, the time difference determination unit 23 predicts the time it will take for a user present in a specified area including the vehicle to start the vehicle, and sets the specified time in advance. By comparing the specified time with the elapsed time, the time difference determination unit 23 can determine whether the person who approached the vehicle and was matched as a legitimate user by the user matching unit is the same person as the person who started the vehicle.
起動可否判定部24は、時間差判定部23から受け取った判定結果により経過時間が所定時間内であることが示され、第2記憶部40に記憶された検証結果が正常である場合に、制御部21に対してECU10の起動を許可する旨の起動許可を通知する。反対に、起動可否判定部24は、第2記憶部40に記憶された検証結果が正常でない場合には、制御部21に対してECU10の起動を許可しない旨の起動不可を通知する。 When the judgment result received from the time difference judgment unit 23 indicates that the elapsed time is within a predetermined time and the verification result stored in the second storage unit 40 is normal, the start permission judgment unit 24 notifies the control unit 21 of start permission to permit start of the ECU 10. Conversely, when the verification result stored in the second storage unit 40 is not normal, the start permission judgment unit 24 notifies the control unit 21 of start not permitted to permit start of the ECU 10.
一方、起動可否判定部24は、経過時間が所定時間を超えていると判定された場合には、第2記憶部40に記憶された検証結果によらず、HSM50にセキュアブート処理の実施命令を通知し、セキュアブート処理を再度実施させる。これは、起動対象プログラムがセキュアブート処理によって正常であると検証された場合であっても、セキュアブート処理の完了から所定時間以上が経過していることから、その間に当該プログラムに対して改ざんが行われる虞があることを考慮したものである。
なお、起動可否判定部24が正常であるか否かを判定する第2記憶部40に記憶された検証結果は、車両の起動直前にHSM50により行われた最新のセキュアブート処理による検証結果である。
On the other hand, when it is determined that the elapsed time exceeds the predetermined time, the start-up possibility determination unit 24 notifies the HSM 50 of an instruction to perform secure boot processing and causes the secure boot processing to be performed again, regardless of the verification result stored in the second storage unit 40. This is because, even if the start target program is verified to be normal by the secure boot processing, since a predetermined time or more has passed since the completion of the secure boot processing, there is a risk that the program may be tampered with during that time.
The verification result stored in the second storage unit 40, which determines whether the start feasibility determination unit 24 is normal or not, is the verification result of the latest secure boot process performed by the HSM 50 immediately before starting the vehicle.
第1記憶部30は、不揮発性メモリ(例えば、フラッシュメモリ)によって構成することができる。第1記憶部30には、ECU10が作動する際にCPU20によって実行される種々のプログラムが格納されている。なお、第1記憶部30として、例えば、SDカードなどの着脱可能な記憶媒体を適用することもできる。 The first storage unit 30 can be configured with a non-volatile memory (e.g., a flash memory). The first storage unit 30 stores various programs that are executed by the CPU 20 when the ECU 10 is in operation. Note that a removable storage medium such as an SD card can also be used as the first storage unit 30.
第2記憶部40は、いわゆるRAMとして用いることができる。また、第2記憶部40には、HSM50によるセキュアブート処理の実施による検証結果と、セキュアブート処理が完了した時刻を記憶させる。 The second storage unit 40 can be used as a so-called RAM. The second storage unit 40 also stores the verification results of the secure boot process performed by the HSM 50 and the time when the secure boot process is completed.
HSM50は、セキュアブート処理部として機能し、制御部21によるECU10の起動に際して、起動対象のプログラム(すなわち、CPU20によって実行されるプログラム)が適正であるか否かを検証するセキュアブート処理を実施する。本実施形態におけるHSM50は、ユーザ照合情報取得部22によるユーザ照合情報が車両に接近した人物が正規ユーザである場合に送信されるセキュアブート処理実施命令に従ってセキュアブート処理を実施する。また、HSM50は、時間差判定部23により経過時間が所定時間を超えていると判定された場合に、起動可否判定部24によってセキュアブート処理の再実施のために送信されるセキュアブート処理実施命令に従ってセキュアブート処理を実施する。 The HSM 50 functions as a secure boot processing unit, and when the control unit 21 starts the ECU 10, it performs secure boot processing to verify whether the program to be started (i.e., the program executed by the CPU 20) is appropriate. In this embodiment, the HSM 50 performs secure boot processing in accordance with a secure boot processing execution command transmitted when the user matching information obtained by the user matching information acquisition unit 22 indicates that the person approaching the vehicle is a legitimate user. In addition, when the time difference determination unit 23 determines that the elapsed time exceeds a predetermined time, the HSM 50 performs secure boot processing in accordance with a secure boot processing execution command transmitted by the start feasibility determination unit 24 to re-execute the secure boot processing.
HSM50は、セキュアブート処理が完了した時刻及び検証結果を第2記憶部40に記憶させる。HSM50は、検証したプログラムが適正である場合には、検証結果は「正常である」として第2記憶部40に記憶させ、プログラムが適正でない場合には、検証結果は「正常でない」として第2記憶部40に記憶させる。HSM50は制御部21に対してECU10の起動を許可しない。 The HSM 50 stores the time when the secure boot process is completed and the verification result in the second storage unit 40. If the verified program is correct, the HSM 50 stores the verification result as "normal" in the second storage unit 40, and if the program is not correct, the HSM 50 stores the verification result as "not normal" in the second storage unit 40. The HSM 50 does not permit the control unit 21 to start the ECU 10.
例えば、HSM50が、第1記憶部30に格納されたプログラムに改ざんがなく適正であることを検出した場合、HSM50は第2記憶部40に検証結果が「正常である」ことを記憶させると共に、セキュアブート処理の完了時刻を記憶させる。このとき、HSM50は、制御部21及び起動可否判定部24に対して起動許可を通知してもよい。一方、HSM50が、第1記憶部30に格納されたプログラムが改ざんされていることを検出した場合、HSM50は第2記憶部40に検証結果が「正常でない」ことを記憶させると共に、セキュアブート処理の完了時刻を記憶させる。このとき、HSM50は、制御部21及び起動可否判定部24に対して起動不可を通知してもよい。 For example, if the HSM 50 detects that the program stored in the first storage unit 30 is not tampered with and is proper, the HSM 50 stores in the second storage unit 40 that the verification result is "normal" and also stores the completion time of the secure boot process. At this time, the HSM 50 may notify the control unit 21 and the startup permission determination unit 24 of startup permission. On the other hand, if the HSM 50 detects that the program stored in the first storage unit 30 has been tampered with, the HSM 50 stores in the second storage unit 40 that the verification result is "not normal" and also stores the completion time of the secure boot process. At this time, the HSM 50 may notify the control unit 21 and the startup permission determination unit 24 of startup permission not possible.
続いて、このように構成された車両用制御装置(ECU)10における処理フローについて、図3のフローチャートを用いて説明する。 Next, the processing flow in the vehicle control device (ECU) 10 configured in this manner will be explained using the flowchart in Figure 3.
[セキュアブート処理及びECU起動処理について]
図3は、車両用制御装置(ECU)10におけるセキュアブート処理及びECUの起動可否判定処理の流れを示すフローチャートである。
図3に示すように、例えば、車両のスリープ状態において、HSM50では、セキュアブート実施命令の受信を待機している(ステップS101)。CPU20では、ユーザ照合情報取得部22が、ユーザ照合ECU10Cから取得したユーザ照合情報により、車両に接近した人物が正規ユーザであることが示された場合に、HSM50にセキュアブート実施命令を送信する。HSM50は、セキュアブート実施命令を受信すると、これに従って、起動対象のプログラムについてセキュアブート処理を実施する(ステップS102)
[Secure boot processing and ECU startup processing]
FIG. 3 is a flowchart showing a flow of a secure boot process and a process of determining whether or not the ECU can be started in the vehicle control device (ECU) 10.
3, for example, when the vehicle is in a sleep state, the HSM 50 waits for receipt of a secure boot implementation command (step S101). In the CPU 20, when the user verification information acquired from the user verification ECU 10C indicates that a person approaching the vehicle is a legitimate user, the user verification information acquisition unit 22 transmits a secure boot implementation command to the HSM 50. When the HSM 50 receives the secure boot implementation command, it performs a secure boot process on the program to be started in accordance with the secure boot implementation command (step S102).
なお、HSM50によるセキュアブート処理では、例えば、第1記憶部30等において、ECU10による制御対象の制御を実行する際にCPU20が実行するプログラムが格納された領域を検証する。これにより、ECU10の起動時に、起動対象となるプログラムが適正であるか否かを検証する。 In addition, in the secure boot process by the HSM 50, for example, an area in the first storage unit 30 or the like in which the program to be executed by the CPU 20 when the ECU 10 executes control of the control target is stored is verified. In this way, when the ECU 10 is started, it is verified whether the program to be started is appropriate.
HSM50又はCPU20では、HSM50によるセキュアブート処理中に車両が起動(IGN-ON)し、ECU10の起動処理が開始されたか否かを監視する(ステップS103)。セキュアブート処理中にIGN-ONとされた場合には、セキュアブート処理を継続し、セキュアブート処理が完了したら検証結果と完了時刻とを第2記憶部40に記憶させる(ステップS104、ステップS105)。 The HSM 50 or CPU 20 monitors whether the vehicle is started (IGN-ON) during secure boot processing by the HSM 50 and whether the startup processing of the ECU 10 has started (step S103). If the IGN-ON is turned on during secure boot processing, the secure boot processing continues, and when the secure boot processing is completed, the verification result and the completion time are stored in the second storage unit 40 (steps S104 and S105).
HSM50によるセキュアブート処理中に、IGN-ONとされなかった場合も、セキュアブート処理を継続し、セキュアブート処理が完了したら検証結果と完了時刻とを第2記憶部40に記憶させる(ステップS106、ステップS107)。この場合には、さらに、ECU10において、セキュアブート処理のために作動していた機能について起動を終了させ、ECU10を車両のスリープ状態と同様の状態とする(ステップ108)。 Even if the IGN-ON is not turned on during the secure boot process by the HSM 50, the secure boot process continues, and when the secure boot process is completed, the verification result and the completion time are stored in the second storage unit 40 (steps S106 and S107). In this case, the ECU 10 also terminates the activation of the functions that were operating for the secure boot process, and the ECU 10 is put into a state similar to the vehicle's sleep state (step 108).
セキュアブート処理の完了後、ECU10は、スリープ状態においてIGN-ONを待機し(ステップS109)、IGN-ONとされた場合に、起動可否判定部24によるECU10の起動可否判定処理を開始する(ステップS110からステップS115)。 After the secure boot process is completed, the ECU 10 waits for the IGN-ON in a sleep state (step S109), and when the IGN-ON is detected, the start-up possibility determination unit 24 starts the start-up possibility determination process for the ECU 10 (steps S110 to S115).
具体的には、時間差判定部23により、ステップS107で第2記憶部40に記憶されたセキュアブート処理の完了時刻からIGN-ONまでの経過時間と所定時間とを比較して経過時間が所定時間内であるかを判定する(ステップS110)。起動可否判定部24は、この判定結果に基づいてECU10の起動可否を判定する。つまり、起動可否判定部24は、時間差判定部23による判定の結果、経過時間が所定時間を超える場合には、HSM50に対してセキュアブート処理を再度実施させるためのセキュアブート実施命令を送信する。 Specifically, the time difference determination unit 23 compares the elapsed time from the completion time of the secure boot process stored in the second storage unit 40 in step S107 to IGN-ON with a predetermined time to determine whether the elapsed time is within the predetermined time (step S110). The start-up feasibility determination unit 24 determines whether or not the ECU 10 can be started based on this determination result. In other words, if the time difference determination unit 23 determines that the elapsed time exceeds the predetermined time, the start-up feasibility determination unit 24 transmits a secure boot implementation command to the HSM 50 to execute the secure boot process again.
HSM50では、この命令を受けてセキュアブート処理を再実施し(ステップS111)、再実施後の検証結果及び完了時刻を第2記憶部40に記憶する(ステップS112)。起動可否判定部24は、ステップS110における時間差判定部23の判定により経過時間が所定時間内であるとの判定結果が得られた場合、及び、セキュアブート処理の再実施後は、第2に記憶部40に記憶されたセキュアブート処理による検証結果が正常であるか否かを判定する(ステップS113)。 In response to this command, the HSM 50 re-executes the secure boot process (step S111) and stores the verification result and completion time after the re-execution in the second storage unit 40 (step S112). If the time difference determination unit 23 determines in step S110 that the elapsed time is within the predetermined time, and after the secure boot process is re-executed, the boot feasibility determination unit 24 determines whether the verification result of the secure boot process stored in the second storage unit 40 is normal (step S113).
検証結果が正常でない、つまり、プログラムが適正でない場合には、HSM50は制御部21に対してECU10の起動を許可せず(ステップS114)、処理を終了する。検証結果が正常、つまり、プログラムが適正である場合には、HSM50は制御部21に対してECU10の起動を許可し、ECU10を起動させる(ステップS115)。通常動作を開始、すなわち、制御対象に対する制御を実施する。 If the verification result is not normal, that is, if the program is not appropriate, the HSM 50 does not permit the control unit 21 to start the ECU 10 (step S114) and ends the process. If the verification result is normal, that is, if the program is appropriate, the HSM 50 permits the control unit 21 to start the ECU 10, and starts the ECU 10 (step S115). Normal operation is started, that is, control of the control object is performed.
図4及び図5に、図3のフローチャートに従ってセキュアブート処理及びECUの起動可否判定処理を行った場合のタイミングチャートを示す。
図4は、セキュアブート処理中にIGN-ONとされない場合、すなわち、IGN-OFF中にセキュアブート処理が完了する場合を示している。図4に示すように、車両にユーザが接近すると、例えば、ユーザが保持しているスマートキーを用いて、当該スマートキーと車両に登録されたキーとの照合が行われ、キー照合が完了して正規ユーザであることが確認されると、セキュアブート処理が開始される。
4 and 5 show timing charts when the secure boot process and the ECU start-up permission determination process are performed according to the flowchart of FIG.
4 shows a case where the IGN is not turned on during the secure boot process, that is, the secure boot process is completed while the IGN is off. As shown in FIG. 4, when a user approaches the vehicle, for example, a smart key held by the user is used to compare the smart key with a key registered in the vehicle, and when the key comparison is completed and it is confirmed that the user is an authorized user, the secure boot process is started.
セキュアブート処理中に、車両のドアが開きユーザが乗り込んだ場合にもセキュアブート処理は継続する。セキュアブート処理が完了すると、ECU10は、セキュアブート処理のために作動していた機能についての起動を終了させ、ECU10を車両のスリープ状態と同様の状態とする。なお、ここで一旦ECU10の起動を終了させるのは、電力消費を抑制するためである。その後、IGN-ONとされると、起動可否判定部24による起動可否判定が行われ、判定の結果ECU10の起動が許可されたことにより、ECU10の起動が開始される。 If the vehicle door opens and the user gets in during the secure boot process, the secure boot process continues. When the secure boot process is completed, the ECU 10 ends the activation of the functions that were running for the secure boot process, and the ECU 10 goes into a state similar to the vehicle's sleep state. Note that the activation of the ECU 10 is temporarily stopped here in order to reduce power consumption. After that, when the IGN-ON is turned on, the activation permission determination unit 24 determines whether or not the ECU 10 is activated, and as a result of the determination, the activation of the ECU 10 is permitted, and the activation of the ECU 10 begins.
このように、車両へ接近したユーザが正規ユーザであることが確認された時点でセキュアブート処理を開始し、特に、図4の場合にはIGN-ONの時点でセキュアブート処理が完了しているため、ユーザがIGN-ONとしてからセキュアブート処理に要する時間は実質的にはないに等しい。 In this way, the secure boot process begins when it is confirmed that the user approaching the vehicle is a legitimate user. In particular, in the case of Figure 4, the secure boot process is completed when the IGN-ON switch is turned on, so the time required for the secure boot process after the user turns the IGN-ON switch is essentially negligible.
また、ユーザが車両に乗り込む前にセキュアブート処理が開始されるので、処理時間の短縮のためにセキュアブート処理を簡略化する必要がない。そして、ECUに対する起動可否判断において、セキュアブート処理の検証結果と、車両に接近した人物とIGN-ONに係る操作を行った人物が同一人物であって正規ユーザであるか否かを判別している。つまり、ECU起動時の完全性を確保しながら、IGN―ONとされてからセキュアブート処理に要した時間、言い換えると、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。 In addition, since the secure boot process is started before the user gets into the vehicle, there is no need to simplify the secure boot process to shorten the processing time. When determining whether or not to start the ECU, the system checks the results of the secure boot process and whether the person who approached the vehicle and the person who performed the IGN-ON operation are the same person and a legitimate user. In other words, the integrity of the ECU is ensured when it is started, while the time required for the secure boot process after the IGN-ON is turned on - in other words, the processing time required for the secure boot process from the user's perspective - can be shortened.
図5は、セキュアブート処理中にIGN-ONとされる場合、すなわち、IGN-OFF中にセキュアブート処理が完了しない場合を示している。図5に示すように、車両にユーザが接近すると、例えば、ユーザが保持しているスマートキーを用いて、当該スマートキーと車両に登録されたキーとの照合が行われ、キー照合が完了して正規ユーザであることが確認されると、セキュアブート処理が開始される。 Figure 5 shows the case where the IGN is turned ON during the secure boot process, i.e., the secure boot process is not completed while the IGN is OFF. As shown in Figure 5, when a user approaches the vehicle, for example, a smart key held by the user is used to compare the smart key with a key registered to the vehicle, and once key comparison is completed and it is confirmed that the user is a legitimate user, the secure boot process is started.
セキュアブート処理中に、車両のドアが開きユーザが乗り込んだ場合、また、IGN-ONとされた場合にもセキュアブート処理は継続する。セキュアブート処理が完了すると、起動可否判定部24による起動可否判定が行われ、判定の結果ECU10の起動が許可されたことにより、ECU10の起動が開始される。 If the vehicle door is opened and the user gets in during the secure boot process, or if the IGN-ON is turned on, the secure boot process continues. When the secure boot process is completed, the start-up permission determination unit 24 determines whether or not the ECU 10 is allowed to start up, and as a result of the determination, the start-up of the ECU 10 is started.
このように、車両へ接近したユーザが正規ユーザであることが確認された時点でセキュアブート処理を開始し、特に、図5の場合にはIGN-ONの時点で一部のセキュアブート処理が完了しているため、ユーザがIGN-ONとしてからセキュアブート処理に要する時間は、実質的にはIGN-ONとされてからセキュアブート処理が完了するまでの時間となる。すなわち、図5に示すセキュアブート処理の開始からIGN-ONまでにセキュアブート処理に要した時間がユーザから見て実質的に短縮された時間となる。 In this way, the secure boot process begins when it is confirmed that the user approaching the vehicle is a legitimate user, and in the case of Figure 5 in particular, part of the secure boot process is completed when the IGN-ON switch is turned on, so the time required for the secure boot process after the user turns on the IGN-ON switch is essentially the time required for the secure boot process to be completed after the IGN-ON switch is turned on. In other words, the time required for the secure boot process from the start of the secure boot process shown in Figure 5 until the IGN-ON switch is turned on is essentially a shortened time from the user's perspective.
図5の例でも、ユーザが車両に乗り込む前にセキュアブート処理が開始されるので、処理時間の短縮のためにセキュアブート処理を簡略化する必要がない。そして、ECUに対する起動可否判断において、セキュアブート処理の検証結果と、車両に接近した人物とIGN-ONに係る操作を行った人物が同一人物であって正規ユーザであるか否かを判別している。つまり、ECU起動時の完全性を確保しながら、IGN―ONとされてからセキュアブート処理に要した時間、言い換えると、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。 In the example of Figure 5, the secure boot process is also started before the user gets into the vehicle, so there is no need to simplify the secure boot process to shorten the processing time. Then, when judging whether or not to start the ECU, the results of the secure boot process are verified, and it is determined whether the person who approached the vehicle and the person who performed the IGN-ON operation are the same person and a legitimate user. In other words, the time required for the secure boot process after the IGN-ON is turned on can be shortened while ensuring the integrity of the ECU when it is started, in other words, the processing time required for the secure boot process from the user's perspective.
以上述べたように、本実施形態に係る車両用制御装置によれば、車両に対する不正侵入の有無を判定することで、制御対象の制御に用いられるプログラムに対する改ざんの可能性を判断する。そして、プログラムに対する改ざんの可能性がある場合にセキュアブート処理を実行する一方で、プログラムに対する改ざんの可能性がない場合にはセキュアブート処理を一部又は全部省略することができる。 As described above, the vehicle control device according to this embodiment judges whether or not there has been an unauthorized intrusion into the vehicle, and thereby judges the possibility of tampering with the program used to control the control target. If there is a possibility of tampering with the program, the secure boot process is executed, whereas if there is no possibility of tampering with the program, the secure boot process can be omitted in part or in whole.
このように本実施形態によれば、ユーザ照合ECUによる照合結果に基づいて、車両に接近した人物が正規ユーザであることをセキュアブート処理の開始のトリガとするので、車両が起動するまでにセキュアブート処理の一部またはすべてが完了する。このため、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。また、時間差判定部23により、経過時間が所定時間内であるか否かを判定することで、車両に接近した人物が正規ユーザであること、車両を起動させた人物と車両に接近した人物とが同一人物であることを確認するので、ECU起動時の完全性を確保することができる。したがって、ECU起動時の完全性とユーザから見たセキュアブート処理に要する時間の短縮とを両立させることができる。 As described above, according to this embodiment, the start of the secure boot process is triggered by the fact that the person approaching the vehicle is a legitimate user based on the result of the collation by the user collation ECU, so that some or all of the secure boot process is completed by the time the vehicle is started. This makes it possible to shorten the processing time required for the secure boot process from the user's perspective. In addition, the time difference determination unit 23 determines whether the elapsed time is within a predetermined time, thereby confirming that the person approaching the vehicle is a legitimate user and that the person who started the vehicle and the person who approached the vehicle are the same person, thereby ensuring integrity when the ECU is started. Therefore, it is possible to achieve both integrity when the ECU is started and a shortened time required for the secure boot process from the user's perspective.
本発明の実施の形態について図面を参照して詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計の変更等があっても本発明に含まれる。また、上述の各実施の形態は、その目的及び構成等に特に矛盾や問題がない限り、互いの技術を流用して組み合わせることが可能である。 Although the embodiments of the present invention have been described in detail with reference to the drawings, the specific configuration is not limited to these embodiments, and the present invention includes design changes and the like that do not deviate from the gist of the present invention. In addition, the above-mentioned embodiments can be combined by reusing each other's technologies, as long as there are no particular contradictions or problems in the purpose, configuration, etc.
1:車両用制御システム,3:車載ネットワーク,4:CGW,10:車両用制御装置(ECU),10A:乗員監視ECU,10B:車両監視ECU,10C:ユーザ照合ECU,10D:駆動ECU,10E:制動ECU,10F:操舵ECU,20:CPU,21:制御部,22:ユーザ照合情報取得部,23:時間差判定部,24:起動可否判定部,30:第1記憶部,40:第2記憶部,50:HSM,100:車両
1: Vehicle control system, 3: In-vehicle network, 4: CGW, 10: Vehicle control device (ECU), 10A: Occupant monitoring ECU, 10B: Vehicle monitoring ECU, 10C: User verification ECU, 10D: Driving ECU, 10E: Braking ECU, 10F: Steering ECU, 20: CPU, 21: Control unit, 22: User verification information acquisition unit, 23: Time difference determination unit, 24: Start possibility determination unit, 30: First memory unit, 40: Second memory unit, 50: HSM, 100: Vehicle
Claims (4)
前記車両を含む所定領域内において、前記車両に接近したユーザが前記車両の正規ユーザであるか否かを照合した照合結果を取得するユーザ照合情報取得部と、
前記ユーザ照合情報取得部が取得した照合結果が正規ユーザであることを示す場合に、前記制御部による起動対象の前記プログラムに対してセキュアブート処理を実施するセキュアブート処理部と、を備えた車両用制御装置。 A control unit that controls a control target mounted on the vehicle based on a predetermined program;
a user verification information acquisition unit that acquires a verification result of verifying whether or not a user who approaches the vehicle within a predetermined area including the vehicle is a legitimate user of the vehicle;
and a secure boot processing unit that performs secure boot processing on the program to be launched by the control unit when the matching result acquired by the user matching information acquisition unit indicates that the user is a legitimate user.
前記車両の起動直前におけるセキュアブート処理の完了時刻から前記車両の起動時刻までの経過時間が所定時間内であるかを判定する時間差判定部と、
前記時間差判定部によって前記経過時間が所定時間内であると判定され、前記記憶部に記憶された検証結果が正常である場合に、前記制御部の起動を許可する起動可否判定部と、を更に備えた請求項1記載の車両用制御装置。 a storage unit that stores a result of the verification of the program by the secure boot process and a completion time when the secure boot process is completed;
a time difference determination unit that determines whether an elapsed time from a completion time of a secure boot process immediately before the boot of the vehicle to a boot time of the vehicle is within a predetermined time;
2. The vehicle control device as described in claim 1, further comprising: a start-up possibility determination unit that permits start-up of the control unit when the time difference determination unit determines that the elapsed time is within a predetermined time and the verification result stored in the memory unit is normal.
4. The vehicle control device according to claim 2, wherein the start permission determining unit does not permit start of the control unit when the verification result stored in the storage unit is not normal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021159755A JP7677864B2 (en) | 2021-09-29 | 2021-09-29 | Vehicle control device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021159755A JP7677864B2 (en) | 2021-09-29 | 2021-09-29 | Vehicle control device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023049789A JP2023049789A (en) | 2023-04-10 |
| JP7677864B2 true JP7677864B2 (en) | 2025-05-15 |
Family
ID=85801806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021159755A Active JP7677864B2 (en) | 2021-09-29 | 2021-09-29 | Vehicle control device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7677864B2 (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009530161A (en) | 2006-03-16 | 2009-08-27 | コンティネンタル オートモーティブ システムズ ユーエス, インコーポレイティッド | How to reduce authentication waiting time in immobilizer system |
| WO2017022149A1 (en) | 2015-07-31 | 2017-02-09 | パナソニックIpマネジメント株式会社 | Processing device, vehicle-mounted terminal device, processing device activation method, and processing device activation program |
| JP6639615B1 (en) | 2018-11-02 | 2020-02-05 | 三菱電機株式会社 | Control device |
| US20200151336A1 (en) | 2018-11-13 | 2020-05-14 | Microchip Technology Incorporated | Secure boot assist for devices, and related systems, methods and devices |
| US20210081536A1 (en) | 2018-05-11 | 2021-03-18 | Lattice Semiconductor Corporation | Secure boot systems and methods for programmable logic devices |
| US20210103658A1 (en) | 2019-10-02 | 2021-04-08 | At&T Intellectual Property I, L.P. | Anti-tamper system for vehicle firmware |
-
2021
- 2021-09-29 JP JP2021159755A patent/JP7677864B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009530161A (en) | 2006-03-16 | 2009-08-27 | コンティネンタル オートモーティブ システムズ ユーエス, インコーポレイティッド | How to reduce authentication waiting time in immobilizer system |
| WO2017022149A1 (en) | 2015-07-31 | 2017-02-09 | パナソニックIpマネジメント株式会社 | Processing device, vehicle-mounted terminal device, processing device activation method, and processing device activation program |
| US20210081536A1 (en) | 2018-05-11 | 2021-03-18 | Lattice Semiconductor Corporation | Secure boot systems and methods for programmable logic devices |
| JP6639615B1 (en) | 2018-11-02 | 2020-02-05 | 三菱電機株式会社 | Control device |
| US20200151336A1 (en) | 2018-11-13 | 2020-05-14 | Microchip Technology Incorporated | Secure boot assist for devices, and related systems, methods and devices |
| US20210103658A1 (en) | 2019-10-02 | 2021-04-08 | At&T Intellectual Property I, L.P. | Anti-tamper system for vehicle firmware |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023049789A (en) | 2023-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12491837B2 (en) | Electronic signal based authentication system and method thereof | |
| US10214182B2 (en) | In-vehicle communication system, vehicle control device, and communication management device | |
| JP5472466B2 (en) | Electronic control device for vehicle | |
| JP4428182B2 (en) | Engine start control system | |
| CN112339709B (en) | Vehicle's wireless key device | |
| JPH10119721A (en) | Vehicle antitheft device | |
| CN104071117B (en) | Anti-theft device and theft preventing method | |
| JP4922388B2 (en) | How to reduce authentication waiting time in immobilizer system | |
| JP2007008387A (en) | Engine start control system | |
| JP4570974B2 (en) | Start control device and start control method | |
| JP2006213247A5 (en) | ||
| JP3760740B2 (en) | Vehicle interior verification device | |
| JP5644784B2 (en) | Vehicle door lock system | |
| CN100366474C (en) | biological measuring anti-theft device for motor vehicle | |
| JP7677864B2 (en) | Vehicle control device | |
| JP2007153190A (en) | Vehicle starter | |
| JP7581069B2 (en) | Vehicle control device | |
| JP7853154B2 (en) | Vehicle key system and vehicle locking method using the same | |
| JP2008163935A (en) | Starting control apparatus and tuner device | |
| JP3630433B2 (en) | Mobility prohibition device with short unlock time | |
| JP2003196755A (en) | In-vehicle component theft monitoring system and in-vehicle component | |
| JP2000025571A (en) | Engine start control device | |
| JP2010241359A (en) | Remote startup device | |
| JP4684851B2 (en) | Start control device | |
| EP1785339B1 (en) | System for controlling the tilting function of a cab of a motor vehicle preventing unauthorized cab-tilt operations, a motor vehicle comprising such system, a corresponding method of controlling a cab tilting function and a computer program and a computer readable medium therefore |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240821 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250415 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250416 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250501 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7677864 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |