17d判定成为访问请求的对象的信息的访问许可等级(步骤S23) ο
[0087]接着,CPUll判定在步骤S22中判定的程序的访问权限等级是否为在步骤S23中判定的信息的访问许可等级以上(步骤S24)。在访问权限等级为访问许可等级以上的情况下(S24:是),CPUll许可程序进行的信息的访问(步骤S25),生成锁定信息17e并存储于存储部17(步骤S26),将在车内通信部16接收到的信息发送给发出访问请求的程序并进行处理。另外,在访问权限等级小于访问许可等级的情况下(S24:否),CPUll禁止程序进行的信息的访问(步骤S27),生成锁定信息17e并存储于存储部17 (步骤S28),处理结束。
[0088]图7是示出安全控制器10进行的基于信息发送量的发送限制处理的步骤的流程图。安全控制器10的CPUll按照执行的每个程序,计算单位时间内从车内通信部16向车内网络发送的信息发送量(步骤S31)。CPUll判定计算出的信息发送量是否超过针对每个程序的访问权限等级确定的预定量(步骤S32),在信息发送量不超过预定量的情况下(S32:否),不进行发送限制而处理结束。
[0089]另外,在程序的信息发送量超过预定量的情况下(S32:是),CPUll阻断该程序向车内网络的信息发送(步骤S33),不进行之后的信息发送。另外,CPUll生成与信息发送的阻断相关的锁定信息17e并存储于存储部17(步骤S34),处理结束。另外,CPUll对于并行地执行的多个程序按照每个程序周期性地反复进行图7所示的处理。
[0090]图8是示出安全控制器10进行的基于访问权限等级的发送限制处理的步骤的流程图。安全控制器10的CPUll首先通过存储于程序存储部17a的程序的执行来判定是否产生向车内网络的信息的信息发送请求(步骤S41)。在没有产生信息发送请求的情况下(S41:否),CPUll进行待机直到产生信息发送请求。在产生了信息发送请求的情况下(S41:是),CPUll通过图7所示的发送限制处理,进一步判定对于该程序的信息发送是否在阻断中(步骤S42)。在信息发送为阻断中的情况下(S42:是),CPUll将处理结束。
[0091]在信息发送不是阻断中的情况下(S42:否),CPU11判定进行信息发送请求的程序的访问权限等级(步骤S43)。另外,基于存储部17中存储的访问许可等级表17d判定被请求发送的信息的访问许可等级(步骤S44)。接着,CPUll判定在步骤S43中判定的程序的访问权限等级是否为在步骤S44中判定的信息的访问许可等级以上(步骤S45)。在访问权限等级在访问许可等级以上的情况下(S45:是),CPU11许可该程序进行的信息发送(步骤S46),在车内通信部16进行向车内网络的信息发送。另外,在访问权限等级小于访问许可等级的情况下(S45:否),CPUll禁止程序进行的信息发送(步骤S47),生成锁定信息17e并存储于存储部17 (步骤S48),处理结束。
[0092]另外,图5?图8所示的处理通过CPUll执行不同于会进行追加或更新等的程序的基本程序(例如OS (Operating System,操作系统)或OSGi框架等)来实现。CPUll将基本程序和会进行追加或更新等的程序并列地执行。其中,会进行追加或更新等的程序之一也可以是进行图5?图8所示的处理的结构。
[0093]以上结构的本实施方式涉及的通信系统是经由安全控制器10进行搭载于车辆I的ECU50等和终端装置3或服务器装置5等之间的通信的结构。安全控制器10伴随着信息的收发处理执行一个或多个程序,并且能够对这些程序进行追加或更新等。安全控制器10进行基于各程序的访问权限等级及各信息的访问许可等级对伴随着程序的执行而产生的向车内网络的信息的访问进行限制的处理。通过进行这种访问限制,能够将与车辆I相关的较多的信息赋予可靠性高的程序,能够提供高级的服务。另外,限制对可靠性低的程序赋予的信息,能够防止重要度高的信息向外部泄漏。
[0094]另外,安全控制器10与伴随着程序的执行向车内网络发送信息的情况同样地,进行基于各程序的访问权限等级及各信息的访问许可等级对信息发送进行限制的处理。由此,能够防止通过非法程序向车内网络进行非法的信息发送的问题。
[0095]另外,安全控制器10在位置信息取得部13取得与车辆I相关的位置信息,根据车辆I的位置是否处于预定位置或预定位置范围内,进行程序的追加或更新的限制。由此,能够防止由恶意的第三者进行非法程序的追加或更新等。另外,安全控制器10对于访问权限等级高的程序,进行与车辆I的位置对应的追加或更新的限制。由此,能够防止访问权限等级高的程序被不正确地追加或更新等,并且访问权限等级低的程序不管车辆I的位置如何都能够进行追加或更新等,能够提高用户的便利性。
[0096]另外安全控制器10对伴随着程序的执行向车内网络发送的信息发送量进行监视,在信息发送量超过预定量的情况下,阻断信息发送。并且,安全控制器10对于访问权限等级高的程序,许可发送多的信息,对于访问权限等级低的程序,将许可发送的信息量抑制得较低。由此,能够防止非法程序将大量信息向车内网络发送。
[0097]另外,安全控制器10在进行访问限制时生成锁定信息17e并存储于存储部17。由此,能够在例如修理或检修车辆I等时,调查是否存在非法程序等。
[0098]另外,在本实施方式中,安全控制器10与网关30连接,网关30与多个E⑶50连接,不过该车内网络的结构仅为一例,并不限定于此。例如,也可以是,安全控制器10兼具网关的功能,将安全控制器10与多个E⑶50连接。而且,也可以是某个E⑶50兼具安全控制器10的功能。而且,也可以在车辆I搭载多个安全控制器10。
[0099]另外,安全控制器10构成为具备有线通信部14及无线通信部15双方,但并不限定于此,也可以构成为具备有线通信部14或无线通信部15中的一方。另外,在例如车辆I是电动汽车,能够从外部的供电装置进行经由供电线缆的电力供给的情况下,安全控制器10也可以构成为通过经由供电线缆的电力线通信等与外部装置进行通信。另外,安全控制器10也可以构成为能够安装存储卡或光盘等记录介质,从记录介质取得追加或更新的程序。
[0100](实施方式2)
[0101]图9是示出实施方式2涉及的安全控制器210的结构的框图。实施方式2涉及的安全控制器210具备车辆信息取得部218。车辆信息取得部218从搭载于车辆I的车速传感器261及发动机控制部262取得信息并向CPUll发送。车速传感器261检测车辆I的行驶速度,将检测结果向车辆信息取得部218输出。发动机控制部262是控制车辆I的发动机的动作的装置,将表示发动机处于动作中或者是停止中的信息向车辆信息取得部218输出。
[0102]得到来自车辆信息取得部218的信息的CPUll基于这些信息,判定车辆I处于行驶状态或停止状态的哪一个。CPUll根据例如车速传感器261检测的车速是否超过阈值,能够判定车辆I处于行驶状态或停止状态的哪一个状态。另外,CPUll例如基于来自发动机控制部262的信息,根据发动机处于动作中或停止中的哪一个,能够判定车辆I处于行驶状态或停止状态的哪一个状态。在本实施方式中,在车速为阈值以下且发动机处于停止中的情况下,CPUll判定车辆I处于停止状态。另外,在车速超过阈值或发动机处于动作中的情况下,CPUll判定车辆I处于行驶状态。
[0103]上述实施方式I涉及的安全控制器10进行程序的追加或更新等处理时,进行与访问权限等级及车辆I的位置对应的限制。实施方式2涉及的安全控制器210除了同样的限制之外,还进行与车辆I的状态对应的限制。实施方式2涉及的安全控制器210的CPUll例如对于访问权限等级3的程序的追加或更新,进行与车辆I的位置对应的限制以及与车辆I的状态对应的限制。
[0104]在得到程序的追加或更新的请求的情况下,安全控制器210的CPUll判定与位置信息取得部13取得的位置信息相关的车辆I的位置是否与注册于追加更新许可位置信息17b的任意位置相应。在车辆I的位置不与所注册的位置相当的情况下,CPUll不许可程序的追加或更新的处理,不进行该处理。
[0105]另外,在得到程序的追加或更新的请求的情况下,安全控制器210的CPUll基于车辆信息取得部218取得的信息判定车辆I是否处于停止状态。在车辆I处于停止状态的情况下,CPUll许可程序的追加或更新的处理,进行该处理。在车辆I不处于停止状态,即处于行驶状态的情况下,CPUll不许可程序的追加或更新的处理,不进行该处理。
[0106]图10是示出实施方式2涉及的安全控制器210进行的程序的追加或更新的限制处理的顺序的流程图。另外,在本流程图中,将与图5所示的流程图的步骤SI?S6相当的处理作为步骤S51的预定处理而简化并记载。实施方式2涉及的安全控制器210对于图5的步骤SI?S6,进行与实施方式I涉及的安全控制器10同样的处理。
[0107]实施方式2涉及的安全控制器210的CPUll在从终端装置3接收到程序的追加或更新的请求的情况下,将认证处理、从服务器装置5取得程序的处理以及确认所取得的程序的发送源并判定访问权限等级的处理等作为预定处理来进行(步骤S51)。
[0108]之后,CPUll判定追加或更新的程序的访问权限等级是否是等级3 (步骤S52)。在访问权限等级为等级3的情况下(S52:是),CPU11在位置信息取得部13取得位置信息(步骤S53),判定车辆I的位置是否在预定位置(步骤S54)。在车辆I的位置不在预定位置的情况下(S54:否),CPUll不进行程序的追加或更新,生成锁定信息17e并存储于存储部17(步骤S57),处理结束。
[0109]在车辆I的位置处于预定位置的情况下(S54 ??是),CPUll在车辆信息取得部218取得来自车速传感器261及发动机控制部262的车辆信息(步骤S55)。CPUll基于取得的车辆信息,判定车辆I是否处于停止状态(步骤S56)。在车辆I不处于停止状态的情况下(S56:否),CPUll不进行程序的追加或更新,生成锁定信息17e并存储于存储部17(步骤S57),处理结束。
[0110]另外,CPUll在程序的访问权限等级不是等级3而是等级2以下的情况下(S52:否),或者在车辆I处于停止状态的情况下(S56:是),进行程序的追加或更新(步骤S58),生成锁定信息17e并存储于存储部17 (步骤S59),处理结束。
[0111]以上构成的实施方式2涉及的安全控制器210根据车辆I是否处于停止状态来限制程