专利名称:程序提供装置、存储媒体及车载信息系统的制作方法
技术领域:
本发明涉及在实际设备上不进行动作确认来进行开发的车载信息系统用 的程序动作安全性确认,并提供给车载信息系统的程序提供装置;以及执行利 用该程序提供装置提供的程序的车载信息系统。
背景技术:
近年来的个人计算机及手机等能够与因特网连接的设备,能够通过因特网 从各种各样的服务器下载程序。因此,谁都可以自由开发程序,上传给服务器, 将上载给该服务器的程序下载给目标设备来执行。但是,通过下载有恶意的程 序或包含设计错误的程序等并执行,则有可能出现设备动作不正常、设备内的 信息泄漏等而遭受损害。因此,以往在认证机构中,对程序开发源所开发的程序进行动作测试,认 证机构仅对必需的资源附加允许访问的信息,通过这样确保程序的动作安全 性。例如,在专利文献l所揭示的通信终端的访问控制方法中,认定机构审査 由内容供应者委托认定的手机用Java(注册商标、以下省略)应用,该Java应 用是在作为对由内容供应者申请的资源进行访问的程序满足规定的动作基准、 认定为是能够访问资源的认定程序时,通过认定服务器对Java应用赋予指定 资源的资源指定信息。手机将在利用认定机构认定的Java应用在执行中能够 访问的资源,限制在利用赋予该Java应用的资源指定信息指定的资源。专利文献1:特开2003-283494号公报但是,对于例如车辆导行装置那样的车载信息系统中安装的程序,则与手 机等不同,从安全上的观点出发,必须根据车辆的动作状态、例如是行驶中还 是停止中,来限制程序的动作。因而,在专利文献l所揭示的方法中,不能赋 予足够的动作验证及适当的访问许可。另外,为了促进更广泛的一般的程序员 开发程序,最好是与动作验证一起提供验证了的程序。
因此,本发明的目的在于提供适合于为了车载信息系统用而开发的程序的 动作验证及提供的程序提供装置、以及执行由该程序提供装置提供的程序的车 载信息系统。发明内容为了达到上述目的,本发明有关的程序提供装置,具有对车载信息系统 的硬件环境及软件环境进行仿真的仿真单元;接受为了车载信息系统用而开发 的程序的程序接收单元;将车载信息系统的资源状态及环境状态作为限制条件 而保持的限制条件保持单元;根据限制条件保持单元保持的限制,条件来限制 程序动作的程序执行限制单元;以及使用仿真单元提供的资源,按照程序执行 限制单元的限制,来执行从程序接收单元接受的程序的程序执行单元。另外,本发明有关的车载信息系统,具有接收为了车载信息系统用而开 发的程序及证明信息的程序接收单元;解读从程序接收单元接受的证明信息并 进行认证的程序认证单元;根据从程序认证单元接受的认证结果,来限制程序 动作的程序执行限制单元;以及按照程序执行限制单元的限制,来执行从程序 接收单元接受的程序的程序执行单元。另外,本发明有关的存储媒体,存储了用计算机能够执行的程序,具有 对车载信息系统的硬件环境及软件环境进行仿真的仿真单元;接受为了车载信 息系统用而开发的程序的程序接收单元;将车载信息系统的资源状态及环境状 态作为限制条件而保持的限制条件保持单元;根据限制条件保持单元保持的限 制条件,来限制程序动作的程序执行限制单元;以及使用仿真单元提供的资源, 按照程序执行限制单元的限制,来执行从程序接收单元接受的程序的程序执行 单元。根据本发明有关的程序提供装置,通过设定资源状态及环境状态作为限制 条件,能够使用仿真单元实施车载信息系统那样的环境下的动作确认。因而, 适合于为了车载信息系统用而开发的程序的动作验证及提供。根据本发明的车载信息系统,由于是根据接受的证明信息来限制程序动作 那样构成的,因此即使利用程序提供装置提供的程序验证不充分,也能够正当 执行该程序。
根据本发明有关的存储媒体,具有与上述的程序提供装置同样的效果。
图1所示为本发明实施形态1有关的作为车载信息系统的车辆导行装置的 硬件构成的方框图。图2所示为图1所示的车辆导行装置的软件构成图。图3所示为本发明实施形态1有关的程序提供装置的主要部分构成图。 图4为说明本发明实施形态1有关的作为车载信息系统的车辆导行装置中 使用的限制条件用的说明图。图5所示为利用本发明实施形态1有关的程序提供装置、执行开发的Java 应用的顺序的流程图。图6所示为利用本发明实施形态l有关的作为车载信息系统的车辆导行装 置、执行由程序提供装置提供的Java应用的顺序的流程图。图7所示为本发明实施形态2有关的作为车载信息系统的车辆导行装置的 软件构成图。图8所示为利用本发明实施形态2有关的作为车载信息系统的车辆导行装 置、执行由程序提供装置提供的Java应用的顺序的流程图。图9所示为本发明实施形态3有关的作为车载信息系统的车辆导行装置的 软件构成图。图10所示为利用本发明实施形态3有关的作为车载信息系统的车辆导行 装置、执行由程序提供装置提供的Java应用的顺序的流程图。
具体实施方式
以下,参照附图详细说明本发明的实施形态。以下,举出以本发明有关的 作为车载信息系统的车辆导行装置为例来进行说明。另外,设为了车载信息系统用而开发的程序是Java应用程序(以下简称为「Java应用」),设程序提供 装置由个人计算机上运行的车辆导行装置用Java应用的动作测试程序等构成。 另外,设车辆导行装置是仅能够执行由程序提供装置提供的Java应用的装置。 实施形态1
图1所示为本发明实施形态1有关的作为车载信息系统的车辆导行装置的硬件构成的方框图。该车辆导行装置由CPU(Central Processing Unit,中央处 理单元)l、 ROM (Read Only Memory,只读存储器)2、 RAM (Random Access Memory, 随机存储器)3、操作部接口 4、输出部接口 5、通信部接口 6、以及外部记录装 置7构成。CPUl根据R0M2中存储的程序进行运算处理,通过这样控制整个车辆导行 装置。R0M2存储地图数据及程序(导行程序等)。该R0M2中存储的内容利用CPUl 读出。RAM3在由CPUl执行程序时作为暂时存储数据的工作区使用。与操作部接口 4连接遥控器41及话筒42。该操作部接口 4进行将从遥控 器41及话筒42输入的指令送往CPU1的控制。与输出部接口 5连接显示器51 及扬声器52。该输出部接口 5进行将从CPU1送来的输出数据送往显示器51及 扬声器52的控制。与通信部接口 6连接例如手机或DSRC(Dedicated Short Range Communication,专用短程通信)车载器的通信设备61及车内LAN (Local Area Network,局域网)62。通信部接口 6控制CPUl与通信设备61及车内LAN62之 间的通信。CPUl从车内LAN62通过通信部接口 6,取得例如速度及燃料剩余量 等车辆信息。与外部记录装置接口 7连接例如从CD(Compact Disc,小型盘片)或 DVD(Digital Versatile Disk,数字通用盘片)等记录媒体读入数据的外部记 录装置驱动器71。该外部记录装置接口 7控制外部记录装置驱动器71与CPUl 之间的数据收发。图2所示为图1所示的车辆导行装置的软件构成图。车辆导行装置的操作 系统(以下简称为「车辆导行0S」)形成在使车辆导行装置的硬件(以下称为「车 载导行硬件」)动作用的各种设备驱动程序上。该车载导行0S的上位设置库及 应用程序接口(以下称为「API: Application Program Interface」),再在其 上位设置由程序构成的导行服务10、 Java应用11、 Java应用执行部(Java VM: Java Virtual Machine, Java虚拟机)12、 Java应用管理部13、以及Java应 用认证部14。导行服务10进行显示现在地、或设定目的地,并进行路径引导的车辆导
行的基本服务。Java应用ll是例如游戏或行驶辅助程序等内容。Java应用执 行部12提供执行Java应用11的环境。Java应用管理部13管理整个Java应 用11的动作。Java应用认证部14进行Java应用11的认证。导行服务IO具有JavaVM接口组件10a。另外,Java应用执行部12具有 导行服务接口组件12a。这些JavaVM接口组件10a与导行服务接口组件12a相 互进行通信,通过这样导行服务10与Java应用执行部12联合动作。图3所示为本发明实施形态l有关的程序提供装置的主要部分构成图。该 程序提供装置具有动作测试程序20、导行画面输出窗口 31、操作输入窗口 32、 以及导行环境设定窗口 33,该动作测试程序20由对硬件环境进行仿真的硬件 仿真程序及对软件环境进行仿真的软件仿真程序构成,作为在个人计算机上再 现上述的车辆导行装置的硬件功能及软件功能的程序而构成。硬件仿真程序及 软件仿真程序,与本发明的仿真单元相对应。动作测试程序20具有限制条件保持21、 Java应用执行限制部22、以及证 明部23,作为在车辆导行装置的实际设备中不存在的构成。另外,对于在车辆 导行装置的实际设备中存在的构成,附加对图1中使用的标号加上「100」后 的标号,各部的功能与车辆导行装置的实际设备的功能相同。限制条件保持部21与本发明的限制条件保持单元相对应。在该限制条件 保持部21中,保持有由动作测试程序20的提供者预先设定的限制条件。在该 限制条件保持部21中,与车辆导行装置的资源状态及环境状态相对应进行保 持,例如如图4所示,形成作为列举了可能动作的状态的文件。在图4中,例 如画面显示表示仅在停车中是可能的情况。在限制条件保持部21中作为限制条件保持的资源状态,作为硬件资源包 含例如CPU使用率、存储器使用量、硬盘使用量(换句话说是程序大小)、总线 使用率、以及可否使用网络等的至少一项。另外,作为软件资源,包含可否使 用API、可否使用库、特定程序的执行状态的至少一项。另外,在环境状态中, 包含例如表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、道路类别等的至少一项。Java应用执行限制部22与本发明的程序执行限制单元相对应。按照限制 条件保持部21中保持的限制条件,限于用Java应用执行部112执行的Java 应用的动作。证明部23对能够确认动作的Java应用,使用预先装入的密钥, 生成Java应用的证明信息。另外,导行画面输出窗口 31是将车辆导行装置中在显示器51上显示的画 面、在个人计算机的画面上进行显示用的窗口。操作输入窗口 32是将车辆导 行装置中利用遥控器41或话筒42等输入的信息,从个人计算机的输入装置输 入用的窗口。导行环境设定窗口 33是将车辆导行装置中从车辆本体得到的表示环境状 态的信息,从个人计算机的输入装置输入用的窗口。另外,限制条件保持部21 中设定的限制条件是由该程序提供装置的提供者预先设定的,不能用导行环境 设定窗口 33进行设定。以下, 一面参照图5所示的流程图, 一面说明利用上述的动作测试程序20 执行开发的Java应用的顺序。首先,取得Java应用(步骤STll)。即,使用由动作测试程序20实现的未 图示的通信接口,接收Java应用,安装作为动作测试程序20的Java应用111。 在这种情况下,未图示的通信接口与本发明有关的程序提供装置的程序接收单 元相对应,用该通信接口接收的Java应用与程序相对应。接着,执行Java应用(步骤ST12)。即,Java应用执行部112对步骤ST11 中安装的Java应用111进行执行处理。该Java应用执行部112与本发明的程 序执行单元相对应。接着,检查动作测试是否结束(步骤ST13)。具体来说,检查利用导行环境 设定窗口 33的操作在各种环境下进行的动作测试是否结束D在该步骤ST13中, 若判断为动作测试没有结束,则接着进行环境设定(步骤ST14)。在该步骤ST14 中,用户使用导行环境设定窗口 33设定各种环境。例如,将行驶中与停止中 的状态切换、或改变行驶位置或高度、车辆方向、车内/车外的温度/湿度、一 般道路/高速通路行驶中。另外,设CPU的使用率为70%,设存储器空容量为 1MB,设总线的使用率为80%等,这样来改变仿真环境的状态,在该状态下实施 动作测试。接着,检査是否是限制对象处理(步骤ST15)。即,检査是否是对作为限制 条件设定的资源的处理。在该步骤ST15中,若判断为不是限制对象处理,则
顺序返回步骤ST13,重复上述的处理。另外,在步骤ST15中,若判断为是限 制对象处理,则接着取得环境状态(步骤ST16)。即,Java应用执行部112从导行服务iio取得环境状态。
接着,检查是否能够执行(步骤ST17)。 S卩,Java应用执行部112根据在 步骤ST14中取得的环境状态,检查是否能够执行Java应用。在该步骤ST17 中,若判断为能够执行,则顺序返回步骤ST13,重复上述的处理。另外,在步 骤ST17中,若判断为不能够执行,则处理结束。
在上述步骤ST13中,若判断为动作测试结束,则生成证明信息(步骤ST18)。 即,通过导行环境设定窗口 33的操作进行各种环境下的动作测试后,若能够 确认是正常动作,则使用Java应用,证明部23生成证明信息。作为在证明部 23进行的证明方法,可以使用在证明部23中预先准备的密钥,采用对Java应 用进行签名的方法或将Java应用进行加密的方法。另外,作为签名及加密的 技术,可采用众所周知的技术。然后,处理结束。
另外,在该步骤ST13中,证明部23可以这样构成,即根据包含CPU使用 率、存储器使用量、硬盘使用量、总线使用率、以及可否使用网络的至少一项 的资源状态、以及包含行驶状态、行驶速度、位置、方向、高度、温度、湿度、 天气、以及道路类别的至少一项的环境状态的限制条件,生成证明信息。根据 该构成,能够对每个硬件有关的限制条件的要素进行动作证明。
另外,证明部23也可以这样构成,即根据包含可否使用API、可否使用库、 特定程序的执行状态的至少一项的资源状态、以及包含行驶状态、行驶速度、 位置、方向、高度、温度、湿度、天气、以及道路类别的至少一项的环境状态 的限制条件,生成证明信息。根据该构成,能够对每个软件有关的限制条件的 要素进行动作证明。
再有,证明部23也可以这样构成,即根据程序提供源,生成证明信息。 根据该构成,能够对每个提供程序提供装置的对象(例如车辆制造商或供应者 等)生成证明信息。
在该步骤ST18中生成的证明信息可以这样构成,即与Java应用一起保存 在未图示的存储器中。在这种情况下,未图示的存储器与本发明的程序保存单 元相对应,该存储器中保存的Java应用与程序相对应。另外,步骤ST18中生
成的证明信息可以这样构成,即与Java应用一起,使用由动作测试程序20实 现的未图示的通信接口,直接向车辆导行装置发送。在这种情况下,未图示的 通信接口与本发明有关的程序提供装置的程序发送单元相对应,用该通信接口接收的Java应用与程序相对应。以下, 一面参照图6所示的流程图, 一面说明利用上述步骤生成的证明信 息及利用车辆导行装置执行Java应用的动作。首先,取得Java应用(步骤ST21)。具体来说,车辆导行装置通过通信设 备61(参照图l)接收Java应用及证明信息。接收的Java应用作为Java应用 11进行安装。接着,进行Java应用的认证(步骤ST22)。即,Java应用认证部14对接 受的证明信息进行认证。该Java应用认证部14与本发明的程序认证单元相对 应。作为Java应用认证部14中的认证方法,可以使用在Java应用认证部14 中预先准备的密钥,采用进行签名验证的方法或将Java应用的加密进行解密 的方法。另外,作为签名验证及解密的技术,可采用众所周知的技术。Java应 用认证部14将认证结果送往Java应用执行部12。接着,检查认证是否正当(0K)(步骤ST23)。即,Java应用执行部12检查 从Java应用认证部14送来的认证结果是否正当。在该步骤ST23中,若判断 为认证正当,则执行Java应用(步骤ST24)。另外,若判断为认证不正当(例如 密钥不存在时或签名验证中不能得到一致时),则不执行Java应用,处理结束。如以上说明那样,根据本发明实施形态1有关的程序提供装置,通过设定 资源状态及环境状态作为限制条件,能够在个人计算机上实施车辆导行装置那 样的环境下的动作确认。因而,适合于为了车辆导行装置用而开发的程序的动 作验证及提供。另外,在车辆导行装置中,由于仅允许利用动作测试程序进行 了动作确认的Java应用动作,因此能够防止不正当的Java应用动作。由于是根据环境状态限制使用通过硬件仿真程序及软件仿真程序再现的 资源那样构成的,因此与专利文献1中所述的技术不同,从安全上的观点出发, 能够根据车辆的动作状态、例如是行驶中还是停止中,来限制程序的动作,能 够进行充分的动作验证。另外,由于将限制条件作为文件来保持,因此提供程序提供装置的一方能
够通过改变文件的内容,对每个提供程序提供装置的对象(例如车辆制造商或 内容供应者等)提供改变限制条件的环境。另外,由于是生成证明利用Java应用执行部112正常执行了 Java应用的 证明信息并与Java应用一起提供给用户而构成的,因此用户能够取得用程序 提供装置证明了动作测试情况的程序,不会用车辆导行装置执行有恶意的程序 或包含设计错误的程序等。其结果,能够防止设备动作不正常、设备内的信息 泄漏等的损害。另外,在上述实施形态l中,是用户通过使用导行环境设定窗口 33来设 定车辆导行装置的环境从而进行各种环境下的动作确认而构成的,但也可以是自动进行该环境设定而构成的。例如可以这样构成,即提供动作测试程序20 的一方预先准备测试路线,若在该测试路线上行驶中正常动作,则判断为Java 应用安全动作,生成证明信息。另外,在上述实施形态l中,作为保持限制条件的例子,是在文件中罗列 资源状态及环境状态而构成的,但也可以将限制条件对为了 Java的访问控制 而标准准备的Java策略文件进行增加而构成的。另外,也可以通过网络来更 新该Java策略文件,从而更新限制条件。另外,车辆导行装置的制造商在想要提供一般用户能够生成本公司的车辆 导行装置的Java应用那样的环境时,对限制条件进行对一般用户也可以允许 的动作范围的设定,将与装入车辆导行装置的Java应用认证部14的密钥相对 应的车辆导行装置的制造商独自的密钥装入动作测试程序20的证明部23,发 布动作测试程序20。另外,对于正规商家,改变对一般用户的情况下的限制条 件,发布动作测试程序20。这时,装入动作测试程序20的证明部23的密钥不 需要改变。通过这样,车辆制造商可以仅改变限制条件送交适合于每个提供对 象的动作测试程序。实施形态2本发明实施形态2是在证明信息中装入限制条件的实施形态。本实施形态 2的Java应用动作测试程序20的证明部23中的证明方法及车辆导行装置的软 件构成与实施形态1不同。以下,以与实施形态1不同的部分为中心进行说明。
构成本实施形态2有关的程序提供装置的动作测试程序20的证明部23, 生成包含限制条件的证明信息。例如,在限制条件保持在图4所示那样的文件 中时,证明部23将该文件本身也加密,装入证明信息中。图7所示为本发明实施形态2有关的车辆导行装置的软件构成图。该软件 构成是在实施形态l有关的车辆导行装置的软件构成中,增加Java应用执行 限制部15而构成的。另外,在实施形态l中,Java应用执行限制部仅包含在 动作测试程序20中,而没有包含在车辆导行装置中。以下, 一面参照图8所示的流程图, 一面说明利用程序提供装置生成的证 明信息及利用车辆导行装置执行Java应用的动作。首先,取得Java应用(步骤ST31)。具体来说,车辆导行装置通过通信设 备61(参照图1),接收Java应用及证明信息。这时的通信设备61与本发明有 关的车载信息系统的程序接收单元相对应,用该通信设备61接收的Java应用 与程序相对应。接收的Java应用作为Java应用11进行安装。接着,进行Java应用的认证(步骤ST32)。即,Java应用认证部14对接 受的证明信息进行认证。这里,作为Java应用认证部14中的认证方法,可以 使用在Java应用认证部14中预先准备的密钥,采用将加密的证明信息进行解 密的方法。接着,检查认证是否正当(OK)(步骤ST33)。 S卩,Java应用执行部 12检查从Java应用认证部14送来的认证结果是否不正当。在该步骤ST33中, 若判断为认证不正当,则不执行Java应用,处理结束。另外,在步骤ST33中,若判断为认证正当,则接着取得限制条件(步骤 ST34)。 g卩,Java应用执行部12若判断为认证结果正当,则从证明信息取得限 制条件,送往Java应用执行限制部15。接着,执行Java应用(步骤ST35)。 即,Java应用执行部12执行Java应用11。这时,Java应用执行限制部15按 照步骤ST34中取得的限制条件,限制Java应用11的动作。另外,通过调用 应用的结束处理,从而应用正常结束。接着,作为Java应用执行中的动作限制,若调用API,则检查是否是限制 对象处理(步骤ST36)。即,检查是否是对限制条件中所记载的资源的处理。在 该步骤ST36中,若判断为不是限制对象处理,则顺序返回步骤ST35,重复上 述的处理。另外,在步骤ST36中,若判断为是限制对象处理,则接着取得环 境状态(步骤ST37)。 g卩,Java应用执行部12从导行服务IO取得环境状态。接着,检查是否能够执行(步骤ST38)。 g卩,Java应用执行部12根据步骤 ST37中取得的环境状态,检查是否能执行Java应用。在该步骤ST38中,若判 断为能够执行,则顺序返回步骤ST35,重复上述的处理。另外,在步骤ST38 中,若判断为不能执行,则处理出错结束。如以上说明那样,根据本发明实施形态2,由于接收的Java应用中附加了 限制条件,因此在车辆导行装置侧能够知道Java应用的动作环境。因而,由 于对车辆导行装置的用户,能够通知如果是什么状态Java应用是否能够执行, 因此使用户知道例如从车辆制造商取得的Java应用A在行驶中也能够动作, 而从内容供应者取得的Java应用B则只能在停车中使用,通过这样能够在行 驶中不产生想要使Java应用B动作的想法。另外,能够通知用户为了执行服务应用C而需要库C并且服务应用D必须 在执行中等软件资源、以及为了执行服务应用C而必须多少硬盘的空容量及存 储器的空容量和CPU的负荷是百分之多少以下等硬件资源的详尽动作环境。另外,通过通信设备61接收的证明信息,是包含CPU使用率、存储器使 用量、硬盘使用量、总线使用率、以及可否使用网络的至少一项的资源状态、 以及包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、以及道路类别的至少一项的环境状态而构成。根据该构成, 由于作为证明信息包含环境状态及硬件的资源状态,因此能够决定用车载信息 系统能够安全动作的状态。另外,通过通信设备61接收的证明信息,是包含可否使用应用程序接口、 可否使用库及特定程序的执行状态的至少一项的资源状态、以及包含表示行驶 中或停止中的行驶状态、行驶速度、位置、方向、高度、温度、湿度、天气、 以及道路类别的至少一项的环境状态而构成。根据该构成,由于作为证明信息 包含环境状态及软件的资源状态,因此能够决定用车载信息系统能够安全动作 的状态。实施形态3本发明实施形态3是在证明信息中装入提供源信息的实施形态。本实施形
态3的Java应用动作测试程序20的证明部23中的证明方法及车辆导行装置 的软件构成与实施形态]不同。以下,以与实施形态l不同的部分为中心进行 说明。构成程序提供装置的动作测试程序20的证明部23,生成包含Java应用的 提供源信息的证明信息。'例如,证明部23具有的密钥对每个提供源是不同的, 通过使用该密钥进行签名或加密等处理,能够装入提供源信息。图9所示为本发明实施形态3有关的车辆导行装置的软件构成图。该软件 构成是在实施形态2有关的车辆导行装置的软件构成中,增加限制条件表16 而构成的。该限制条件表16与本发明的限制条件取得单元相对应,规定与密 钥的种类相对应的动作。以下, 一面参照图IO所示的流程图, 一面说明上述那样生成的证明信息 及利用车辆导行装置执行Java应用的动作。首先,取得Java应用(步骤ST41)。具体来说,车辆导行装置通过通信设 备61 (参照图l)接收Java应用及证明信息。这时的通信设备61与本发明有关 的车载信息系统的程序接收单元相对应,用该通信设备61接收的Java应用与 程序相对应。接收的Java应用作为Java应用11进行安装。接着,进行Java应用的认证(步骤ST42)。即,Java应用认证部14对接 受的证明信息进行认证。这里,作为Java应用认证部14中的认证方法,可以 使用在Java应用认证部14中预先准备的与提供源相对应的密钥,采用将加密 的证明信息进行解密的方法。这时,根据解密成功的密钥,能够判别Java应 用的提供源。接着,检查认证是否正当(OK)(步骤ST43)。即,Java应用执行部12检查 从Java应用认证部14送来的认证结果是否不正当。在该步骤ST43中,若判 断为认证不正当,则不执行Java应用,处理出错结束。另外,在步骤ST43中, 若判断为认证正当,则接着,根据Java应用的提供源的判别结果,从限制条 件表16决定相应的限制条件(步骤ST44)。即,Java应用执行部12若判断为 认证结果正当,则从限制条件表16取得限制条件,送往Java应用执行限制部 15。接着,执行Java应用(步骤ST45)。即,Java应用执行部12执行Java应
用。这时,Java应用执行限制部15按照步骤ST44中决定的限制条件,限制 Java应用的动作。另外,通过调用应用的结束处理,从而应用正常结束。接着,作为Java应用执行中的动作限制,若调用API,则检查是否是限制 对象处理(步骤ST46)。 g卩,检查是否是对限制条件中所记载的资源的处理。在 该步骤ST46中,若判断为不是限制对象处理,则顺序返回步骤ST45,重复上 述的处理。另外,在步骤ST46中,若判断为是限制对象处理,则接着取得环 境状态(步骤ST47)。 g卩,Java应用执行部12从导行服务IO取得环境状态。接着,检査是否能够执行(步骤ST48)。 g卩,Java应用执行部12根据步骤 ST47中取得的环境状态,检査是否能执行Java应用。在该步骤ST48中,若判 断为能够执行,则顺序返回步骤ST45,重复上述的处理。另外,在步骤ST48 中,若判断为不能执行,则处理出错结束。如以上说明那样,根据本发明实施形态3,由于作为证明信息是从预先车 载信息系统所具有的限制条件表中指定提供源那样构成的,因此能够进行与提 供源相对应的动作限制。另外,由于在Java应用中仅记载提供源信息,因此 即使因进行详细的动作设定而限制条件的数据较多时,也能够抑制通信所需要 的成本。另外,在发布动作测试程序后Java应用的动作环境产生变化时,通 过更新车辆导行装置中记录的限制条件表就能够应对。另外,在上述的实施形态3中,作为确定提供源的方法是采用密钥的种类, 但表示提供源的信息可以例如对Java应用附加记录ID、 URL、名称等的数据那 样来构成。另外,在上述的实施形态1 3中,是将幵发对象的程序作为Java应用来 说明的,但开发对象的程序也可以设为例如是用C语言等来描述的本机应用程 序。另外,实施形态1 3有关的程序提供装置,由于是在个人计算机上执行 的程序,因此能够将该程序存储在记录媒体中发布那样来构成。工业上的实用性如上所述,本发明有关的程序提供装置、存储媒体及车载信息系统,适合 于为了车载信息系统用而开发的程序的动作验证及提供的程序提供装置、以及 执行由该程序提供装置提供的程序的车载信息系统。
权利要求
1. 一种程序提供装置,其特征在于,具有对车载信息系统的硬件环境及软件环境进行仿真的仿真单元; 接受为了车载信息系统用而开发的程序的程序接收单元; 将车载信息系统的资源状态及环境状态作为限制条件而保持的限制条件 保持单元;根据所述限制条件保持单元保持的限制条件,来限制所述程序动作的程序 执行限制单元;以及使用所述仿真单元提供的资源,按照所述程序执行限制单元的限制,来执 行从所述程序接收单元接受的程序的程序执行单元。
2. 如权利要求I所述的程序提供装置,其特征在于,在限制条件保持争元保持的限制条件中包含的资源状态,包含CPU使用率、 存储器使用量、硬盘使用量、总线使用率、以及可否使用网络的至少一项,环境状态,包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、 高度、温度、湿度、天气、以及道路类别的至少一项。
3. 如权利要求1所述的程序提供装置,其特征在于,在限制条件保持单元保持的限制条件中包含的资源状态,包含可否使用应 用程序接口、可否使用库、特定程序的执行状态的至少一项,环境状态,包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、 高度、温度、湿度、天气、以及道路类别的至少一项。
4. 如权利要求1所述的程序提供装置,其特征在于, 具有更新限制条件保持单元中保持的限制条件的限制条件更新单元。
5. 如权利要求1所述的程序提供装置,其特征在于,具有生成证明利用程序执行单元正常执行了程序的证明信息的程序证明单元;以及保存利用所述程序证明单元证明正常执行了的程序及用所述程序证明单 元生成的证明信息的程序保存单元。
6. 如权利要求1所述的程序提供装置,其特征在于,具有 生成证明利用程序执行单元正常执行了程序的证明信息的程序证明单元;以及将利用所述程序证明单元证明正常执行了的程序及用所述程序证明单元 生成的证明信息向外部发送的程序发送单元。
7. 如权利要求5所述的程序提供装置,其特征在于, 程序证明单元根据包含包含CPU使用率、存储器使用量、硬盘使用量、总线使用率、以及可否使 用网络的至少一项的资源状态;以及包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、以及道路类别的至少一项的环境状态 的限制条件,生成证明信息。
8. 如权利要求5所述的程序提供装置,其特征在于, 程序证明单元根据包含包含可否使用应用程序接口、可否使用库、特定程序的执行状态的至少一 项的资源状态;以及包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、以及道路类别的至少一项的环境状态的限制条件,生成证明信息。
9. 如权利要求5所述的程序提供装置,其特征在于, 程序证明单元根据程序提供源,生成证明信息。
10. —种存储媒体,存储了用计算机能够执行的程序,其特征在于,具有 对车载信息系统的硬件环境及软件环境进行仿真的仿真单元; 接受为了车载信息系统用而开发的程序的程序接收单元; 将车载信息系统的资源状态及环境状态作为限制条件而保持的限制条件保持单元;根据所述限制条件保持单元保持的限制条件,来限制所述程序动作的程序 执行限制单元;以及使用所述仿真单元提供的资源,按照所述程序执行限制单元的限制,来执 行从所述程序接收单元接受的程序的程序执行单元。
11. 一种车载信息系统,其特征在于,具有接收为了车载信息系统用而开发的程序及证明信息的程序接收单元; 解读从所述程序接收单元接受的证明信息并进行认证的程序认证单元;根据从所述程序认证单元接受的认证结果,来限制所述程序动作的程序执 行限制单元;以及按照所述程序执行限制单元的限制,来执行从所述程序接收单元接受的程 序的程序执行单元。
12. 如权利要求U所述的车载信息系统,其特征在于, 用程序接收单元接收的证明信息包含包含CPU使用率、存储器使用量、硬盘使用量、总线使用率、以及可否使 用网络的至少一项的资源状态;以及包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、以及道路类别的至少一项的环境状态。
13. 如权利要求11所述的车载信息系统,其特征在于, 用程序接收单元接收的证明信息包含包含可否使用应用程序接口、可否使用库、特定程序的执行状态的至少一 项的资源状态;以及包含表示行驶中或停止中的行驶状态、行驶速度、位置、方向、高度、温 度、湿度、天气、以及道路类别的至少一项的环境状态。
14. 如权利要求11所述的车载信息系统,其特征在于,具有取得包含车载信息系统的资源状态及环境状态的限制条件的限制条 件取得单元,从程序认证单元得到的认证结果,包含确定用所述限制条件取得单元取得 的限制条件的信息,程序执行限制单元根据所述认证结果及所述限制条件取得单元取得的限 制条件,改变程序的动作。
全文摘要
具有对车载信息系统的硬件环境及软件环境进行仿真的仿真单元;接受为了车载信息系统用而开发的程序的程序接收单元;将车载信息系统的资源状态及环境状态作为限制条件而保持的限制条件保持单元21;根据限制条件保持单元保持的限制条件,来限制程序动作的程序执行限制单元22;以及使用仿真单元提供的资源,按照程序执行限制单元的限制,来执行从程序接收单元接受的程序的程序执行单元112。
文档编号B60R16/02GK101146697SQ20068000904
公开日2008年3月19日 申请日期2006年2月8日 优先权日2005年4月21日
发明者子安健彦, 河野笃 申请人:三菱电机株式会社