技術の概要
車両内の複数領域をセグメント化し、CAN/Ethernet/VM間通信など複数の方式を横断して安全にやりとりします。第1〜第3アクセス制御部とポリシにより領域間通信を厳密に制御します。状況に応じて動的に方針を変更できます。
ユースケース
- 車載ネットワークのセグメント分離の実現
- 複数通信方式の共存と変換
- 動的ポリシによる領域間通信の制御
- VM間通信部・CAN/Ethernetの橋渡し
- ポリシ整合性確保とセキュリティ強化
車両アクセス制御システムは、第1領域と第2領域の通信を制御する第1/第2アクセス制御部と、領域間の通信方式を変換する機能を持つ第3アクセス制御部で構成されます。セグメントはデータ種別ごに領域を分け、原則として領域間の通信は禁止ですが、ポリシに基づき中間領域を経由して送信する場合があります。第3領域はVM間通信部、Ethernet、CANなどの方式を橋渡し、データを共通データへ変換して宛先へ送ります。ポリシは受信したデータのデータ種別・送信元・宛先・中間宛先を参照して判定します。これにより、複数の通信方式を前提とする車載システムでもセグメント分離を実現し、セキュリティと柔軟性を高めます。なお、ポリシが改ざんされると漏洩リスクが高くなるため、デジタル署名など整合性確保の対策が推奨されます。
本技術の要点は、複数の通信方式を前提とする車載システムに、領域を分けたセグメントを適用する点です。車両には第1/第2/第3アクセス制御部と複数のフィルタを備え、データ種別・送信元・宛先・中間宛先をポリシに基づき判定して転送可否を決定します。第3領域はVM間通信部・Ethernet・CAN等の異なる方式間の変換を担い、中継を通じて領域間通信を実現します。図3の通信用データ64や図4の変換用データを用い、共通データと各方式のデータ形式を対応付けます。利点は、低コストでセグメント分離を適用でき、動的ポリシ変更とトリガ検知による適応を可能にする点です。欠点としては、ポリシの改ざんは漏洩リスクを生むため、署名検証や暗号化、データ整合性の担保が不可欠である点です。適用範囲は車載ネットワーク全般を想定し、仮想化プラットフォーム上の複数VM間通信にも対応します。
