车载通信系统以及车载中继装置制造方法

车载通信系统以及车载中继装置制造方法
【专利摘要】本发明提供一种车载通信系统和车载中继装置。在车内网络连接新的车载设备时等，能够适当地进行多个车内网络间的中继，并且能够抑制连接不正当的车载设备时恶劣影响波及到整个系统。进行多个车内网络(NW1～NW3)间的信息中继的网关(10)存储确定信息的中继目标所需的路由图。在车内网络(NW1～NW3)连接新的ECU(58)的情况下，安全控制器(30)进行与服务器装置(9)的通信而取得新的路由图，并判定取得的路由图是否是正当的路由图，然后更新网关(10)的路由图。网关(10)在基于存储的路由图判断中继目标的结果是接收的信息的中继目标不存在的情况下，进行报告。
【专利说明】车载通信系统以及车载中继装置

【技术领域】
[0001]本发明涉及搭载于车辆中的多个车载设备进行通信的车载通信系统以及用于该系统的车载中继装置。

【背景技术】
[0002]以往，伴随着搭载于车辆的车载设备的增加，用于进行车载设备间的信息收发的车内网络大规模化。因此，将车内网络分为多个部分，使用网关等车载中继装置对车内网络间的信息收发进行中继。
[0003]在专利文献I中，记载了将进行多媒体车载机的控制的多媒体E⑶(ElectronicControl Unit,电子控制单元)和进行车辆的控制的多个车辆E⑶连接起来的车载网关装置。该车载网关装置具备:存储区域，保持由车辆ECU取得的多个车辆系统数据；以及信息取得部，定期更新在该存储区域中保持的车辆系统数据。多媒体ECU访问车载网关装置，取得在存储区域中保持的车辆系统数据。
[0004]现有技术文献
[0005]专利文献
[0006]专利文献1:日本特开2012-9941号公报


【发明内容】

[0007]发明要解决的课题
[0008]专利文献I记载的车载网关装置利用来自车辆ECU的数据进行保持于存储区域的数据的更新，但是无法判断来自车辆ECU的数据是否正当。例如，在向车内网络追加新的车辆E⑶的情况下，来自追加的车辆E⑶的数据未必正当。在追加的车辆E⑶错误或者存在恶意等的情况下，若利用来自该车辆ECU的数据进行存储区域的更新，则存在着对整个系统产生恶劣影响的可能性。
[0009]本发明正是鉴于所述情况而完成的，其目的在于提供一种车载通信系统和车载中继装置，在车内网络连接新的车载设备的情况下等，能够适当地进行多个车内网络间的中继，并且能够抑制在连接了不正当的车载设备时对整个系统产生恶劣影响。
[0010]用于解决课题的方案
[0011]本发明的车载通信系统具备:多个车内网络，各自连接有一个以上的车载设备；以及车载中继装置，连接于上述多个车内网络，对车内网络间的信息的收发进行中继，所述车载通信系统的特征在于，所述车载中继装置具有:存储部，存储确定信息的中继目标所需的中继目标确定用信息；以及中继目标确定构件，在从一个车内网络接收到信息时，基于在所述存储部中存储的中继目标确定用信息来确定所接收的信息应被发送到的车内网络，所述车载通信系统还具备:车外通信构件，与车外的通信装置之间进行信息的收发；取得构件，利用所述车外通信构件从车外的通信装置取得中继目标确定用信息；判定构件，判定所述取得构件取得的中继目标确定用信息是否是满足预定条件的信息；以及更新构件，使用所述判定构件判定为是满足预定条件的信息的中继目标确定用信息来更新在所述车载中继装置的存储部中存储的中继目标确定用信息。
[0012]而且，本发明的车载通信系统的特征在于，所述车载中继装置具有报告构件，所述报告构件在不存在应被中继所接收的信息的车内网络的情况下进行报告。
[0013]而且，本发明的车载通信系统的特征在于，与所述车内网络连接的各车载设备各自具有:存储部，存储用于判定是否是应接收的信息所需的接收判定用信息；接收判定构件，基于在所述存储部中存储的接收判定用信息来判定是否应接收从所述车载中继装置发送来的信息；以及限制构件，限制成不进行使用所述接收构件判定为不应接收的信息的处理，所述车载通信系统具备:取得构件，利用所述车外通信构件从车外的通信装置取得各车载设备用的接收判定用信息；判定构件，判定所述取得构件取得的接收判定用信息是否是满足预定条件的信息；以及更新构件，使用所述判定构件判定为是满足预定条件的信息的接收判定用信息来更新在各车载设备的存储部中存储的接收判定用信息。
[0014]而且，本发明的车载通信系统的特征在于，具备信息更新装置，所述信息更新装置具有所述车外通信构件、所述取得构件及所述判定构件，所述更新构件使用从所述信息更新装置得到的信息更新在所述车载中继装置的存储部中存储的信息。
[0015]而且，本发明的车载通信系统的特征在于，所述车载中继装置具有:多个车内通信部，分别进行与所述多个车内网络的信息的收发；以及更新用通信部，进行与所述信息更新装置的信息的收发，对所述更新用通信部限制用于对存储于所述存储部的信息进行更新的信息的接收。
[0016]而且，本发明的车载通信系统的特征在于，所述判定构件基于与所述车外的通信装置之间进行的认证处理的结果或者在所述取得构件取得的信息中附有的电子签名信息，判定所述取得构件取得的信息是否是正当的信息来作为所述预定条件。
[0017]而且，本发明的车载中继装置，与各自连接有一个以上的车载设备的多个车内网络连接，对车内网络间的信息的收发进行中继，其特征在于，具备:存储部，存储确定信息的中继目标所需的中继目标确定用信息；中继目标确定构件，在从一个车内网络接收到信息时，基于在所述存储部中存储的中继目标确定用信息来确定所接收的信息应被发送到的车内网络；车外通信构件，与车外的通信装置之间进行信息的收发；取得构件，利用所述车外通信构件从车外的通信装置取得中继目标确定用信息；判定构件，判定所述取得构件取得的中继目标确定用信息是否是满足预定条件的信息；以及更新构件，使用所述判定构件判定为是满足预定条件的信息的中继目标确定用信息来更新在所述车载中继装置的存储部中存储的中继目标确定用信息。
[0018]在本发明中，进行多个车内网络间的信息中继的车载中继装置存储确定信息的中继目标所需的中继目标确定用信息。中继目标确定用信息例如是将通过车内网络收发的信息中包括的ID (IDentif ier，标识符)等与应对该信息进行中继的车内网络中附有的识别符对应的表等，即所谓的网关装置的路由图。车载中继装置基于存储的中继目标确定用信息进行车内网络间的中继处理。
[0019]在车内网络连接新的车载设备时，为了判断将该车载设备发送的信息向哪个车内网络中继，需要更新车载中继装置存储的中继目标确定用信息。在本系统中，进行与车外的服务器装置等的通信而取得新的中继目标确定用信息，并判定取得的中继目标确定用信息是否是满足预定条件的信息，然后更新车载中继装置存储的中继目标确定用信息。例如，基于与车外的服务器装置等之间进行的认证处理的成功与否、或者取得的中继目标确定用信息包含的电子签名信息等，能够判定取得的信息是否是正当的信息。
[0020]由此，在不正当的车载设备与某个车内网络连接的情况下，能够使对车载中继装置的中继目标确定用信息的更新困难化。从而能够防止不正当的车载设备的连接造成的恶劣影响波及到连接该车载设备的车内网络以外的车内网络。
[0021]而且，在本发明中，车载中继装置在基于中继目标确定用信息判断中继目标的结果是所接收的信息的中继目标不存在的情况下，进行报告。由此，能够向车辆的所有者等通知连接了不正当的车载设备这一情况。
[0022]而且，在本发明中，各车载设备存储对通过车内网络收发的信息判定该信息是否是应接收的信息所需的接收判定用信息。接收判定用信息例如是在应接收的信息中附有的ID的列表等。各车载设备接收基于接收判定用信息判定为应接收的信息，不接收除此以外的信息。
[0023]在车内网络连接新的车载设备时，为了使各车载设备判断是否应接收新的车载设备发送的信息，需要更新各车载设备存储的接收判定用信息。在本系统中，与中继目标确定用信息的情况同样地，进行与车外的服务器装置等的通信而取得新的接收判定用信息，并判定取得的接收判定用信息是否是正当的信息，然后更新各车载装置存储的接收判定用信肩、O
[0024]由此，即使是在不正当的车载设备与车内网络连接的情况下，也能够防止其他各车载设备接收不正当的车载设备发送的信息并进行处理。
[0025]而且，在本发明中，在系统内设有信息更新装置，所述信息更新装置为了进行如上所述的信息更新，从外部服务器装置等取得需要的信息，并进行取得的信息是否是正当的信息的判定。车载中继装置与信息更新装置之间进行通信，使用从信息更新装置得到的信息进行更新。
[0026]而且，在本发明中，在车载中继装置设有:多个车内通信部，分别进行与车内网络的信息的收发；以及更新用通信部，进行与信息更新装置的信息的收发。车载中继装置使用通过更新用通信部接收的信息进行更新处理，并且限制成即使是在从车内通信部接收到更新用的信息的情况下也不进行更新处理。由此，能够防止信息更新装置以外的装置不正当地更新车载中继装置的信息。
[0027]而且，在本发明中，优选的是，车载中继装置进行从外部服务器装置等取得需要的Ih息并判定取得的彳目息是否是正当的彳目息等/[目息更新所需的处理。
[0028]发明效果
[0029]在本发明的情况下，车载中继装置存储中继目标确定用信息并进行信息的中继处理，在连接新的车载设备时等从外部的装置取得中继目标确定用信息并进行更新，从而车载中继装置能够恰当地进行中继处理。而且，仅在从外部的装置取得的中继目标确定用信息是满足预定条件的信息的情况下进行更新，从而能够使对中继目标确定用信息的更新困难化，因此能够防止在连接了不正当的车载设备的情况下恶劣影响波及到整个系统。

【专利附图】

【附图说明】
[0030]图1是示出本实施方式的车载通信系统的结构的示意图。
[0031]图2是示出网关的结构的框图。
[0032]图3是示出安全控制器的结构的框图。
[0033]图4是示出路由图的一例的示意图。
[0034]图5是示出网关进行的路由图更新处理的步骤的流程图。
[0035]图6是示出安全控制器进行的路由图更新处理的步骤的流程图。
[0036]图7是示出变形例的网关的结构的框图。
[0037]图8是示出实施方式2的车载通信系统的结构的示意图。
[0038]标号说明
[0039]1:车辆；
[0040]9:服务器装置；
[0041]10:网关(车载中继装置)；
[0042]11:处理部(中继目标确定构件、更新构件、报告构件)；
[0043]12:存储部；
[0044]13:收发缓冲器；
[0045]21:第一通信部(车内通信部)；
[0046]22:第二通信部(车内通信部)；
[0047]23:第三通信部(车内通信部)；
[0048]24:第四通信部(更新用通信部);
[0049]30:安全控制器(信息更新装置)；
[0050]31:处理部(取得构件、判定构件、更新构件)；
[0051]31a:更新处理程序；
[0052]32:RAM ；
[0053]33:位置信息取得部；
[0054]34:无线通信部(车外通信构件);
[0055]35:车内通信部；
[0056]36:存储部；
[0057]36a:程序存储部；
[0058]36b:认证信息；
[0059]5I ?58:ECU(车载设备);
[0060]61?64:通信线；
[0061]110:网关(车载中继装置)；
[0062]111:处理部(中继目标确定构件、取得构件、判定构件、更新构件)；
[0063]210:网关(车载中继装置)；
[0064]230:安全控制器；
[0065]250:ECU (车载设备);
[0066]251:处理部(接收判定构件、限制构件、更新构件)；
[0067]252:存储部；
[0068]252a:接收许可列表；
[0069]253:车内通信部；
[0070]NWl~NW2:车内网络。

【具体实施方式】
[0071](实施方式I)
[0072]下面，基于表示本发明的实施方式的附图具体地说明本发明。图1是示出本实施方式的车载通信系统的结构的示意图。在图中以单点划线示出的标号I为车辆，在车辆I搭载有多个车载设备。在本实施方式中，将车载设备称为ECU51、52...，但车载设备也可以包括E⑶以外的装置。这些E⑶51、52...分别与在车辆I内铺设的通信线连接，各E⑶51、52...进行通信来彼此进行信息交换，从而实现车辆I的行驶控制等各种处理。
[0073]在本实施方式中，车辆I的车内网络被分为三个部分。将三个ECU51~53与共用的通信线61连接而成的网络称为车内网络NWl。将两个ECU54、55与共用的通信线62连接而成的网络称为车内网络NW2。将两个E⑶56、57与共用的通信线63连接而成的网络称为车内网络NW3。另外，在图中以虚线示出的E⑶58是向车内网络NW3新追加的ECU，详情在后面叙述。各通信线61~63与网关10连接。
[0074]网关10是进行对在车辆I设置的多个车内网络NWl~NW3之间的信息收发进行中继的处理的装置。例如，在车内网络NWl的E⑶51进行信息发送时，网关10接收该信息，并根据需要向车内网络NW2和/或NW3发送。如此，通过经由网关10，能够进行与不同的车内网络NWl~NW3连接的ECU51、52…之间的信息收发。
[0075]而且，本实施方式的车载通信系统具备安全控制器30。安全控制器30经由通信线64与网关10连接。安全控制器30能够通过无线通信进行与设置在车辆I外的例如服务器装置9等的信息收发。安全控制器30根据来自网关10的请求进行向车外的信息发送，并且将从车外接收的信息发送给网关10。此时，安全控制器30进行与外部的服务器装置9等之间的认证处理以及判定接收的信息是否是正当的信息的处理等。由此，搭载于车辆I的网关10和E⑶51、52...能够经由安全控制器30进行与外部的服务器装置9的信息收发。
[0076]图2是示出网关10的结构的框图。网关10构成为具备处理部11、存储部12、收发缓冲器13以及第一通信部21~第四通信部24等。处理部11使用CPU (Central ProcessingUnit,中央处理器)或者MPU (Microprocessing Unit,微处理器)等运算处理装置构成,通过读取并执行在存储部12或未图示的ROM (Read Only Memory，只读存储器)等中存储的程序，进行信息的中继处理等各种处理。存储部12使用EEPROM(ElectricalIy ErasableProgrammable ROM，电可擦可编程只读存储器)或者闪存等可改写数据的非易失性的存储器元件构成。在存储部12存储有用于处理部11的中继处理的路由图12a。收发缓冲器13由 DRAM (Dynamic Random Access Memory,动态随机存取存储器)或者 SRAM (Static RandomAccess Memory，静态随机存取存储器)等存储器元件构成，临时地存储中继的信息。
[0077]第一通信部21与构成车内网络NWl的通信线61连接，例如进行CAN(ControIIerArea Network，控制器区域网络)的通信标准下的信息的收发。第一通信部21通过监测通信线61上的信号，接收由车内网络NWl的E⑶51~53发送的信息，并将接收的信息提供给处理部11。而且，第一通信部21通过将从处理部11得到的发送用的信息作为信号向通信线61输出，从而向车内网络NWl的E⑶51~53发送信息。
[0078]同样地，第二通信部22与构成车内网络NW2的通信线62连接，与车内网络NW2的E⑶54、55之间进行信息的收发。第三通信部23与构成车内网络NW3的通信线63连接，与车内网络NW3的E⑶56、57之间进行信息的收发。
[0079]第四通信部24的结构可以与第一通信部21~第三通信部23大致相同，但其专用于与安全控制器30的通信。第四通信部24经由通信线64与安全控制器30连接。第四通信部24将从处理部11得到的信息向安全控制器30发送，接收来自安全控制器30的信息并提供给处理部11。另外，在本实施方式中，第一通信部21~第四通信部24进行CAN的通信标准下的通信，但也可以各自进行不同的通信标准下的通信。特别是第四通信部24也可以是采用用于与安全控制器30进行通信的专用的通信标准。
[0080]图3是示出安全控制器30的结构的框图。安全控制器30构成为具备处理部31、RAM32、位置信息取得部33、无线通信部34、车内通信部35以及存储部36等。处理部31是通过将存储在存储部36的程序存储部36a中的一个或多个程序读出到RAM32并执行来进行各种处理的运算处理装置。在图示的例子中，处理部31执行更新处理程序31a。RAM32由SRAM或者DRAM等存储器元件构成，临时地存储处理部31执行的程序和执行所需的数据等。
[0081]位置信息取得部33取得车辆I的位置信息并提供到处理部31。位置信息取得部33例如可以构成为连接有接收GPS (Global Posit1ning System,全球定位系统)的信号的天线等，并基于接收信号计算车辆I的位置(纬度和经度等)。并且，位置信息取得部33也可以利用从速度传感器、加速度传感器或陀螺仪传感器等传感器得到的信息以及地图信息等来计算车辆I的位置。另外，当在车辆I搭载有车辆导航装置的情况下，也可以构成为由车辆导航装置进行计算车辆I的位置的处理，安全控制器30取得并利用计算结果。
[0082]无线通信部34利用例如公共的移动电话网或无线LAN(Local Area Network,局域网)等，进行与设置于距车辆I较远的地方的服务器装置9等的通信。无线通信部34向服务器装置9等外部装置发送从处理部31得到的信息，并且将从外部装置接收到的信息提供给处理部31。车内通信部35经由通信线64与搭载于车辆I的网关10连接。车内通信部35向网关10发送从处理部31得到的信息，并且将从网关10接收到的信息提供给处理部31。
[0083]存储部36使用闪存或EEPROM等非易失性的存储器元件、或者硬盘等磁存储装置等构成。存储部36具有存储处理部31执行的程序以及执行所需的数据等的程序存储部36a。而且，存储部36存储用于进行与服务器装置9的认证处理的认证信息36b。
[0084]图4是示出路由图12a的一例的示意图。网关10存储在存储部12中的路由图12a是确定中继目标所需的信息。在本实施方式中，对通过车内网络NWl~NW3收发的信息分别附加ID。在路由图12a中，将附在应中继的信息的ID和识别作为中继目标的车内网络NWl~NW3的信息对应地存储起来。例如，为了使说明简单，设在ECU51发送的信息中附有“51”作为ID，在E⑶52发送的信息中附有“52”作为ID，…，在E⑶57发送的信息中附有“57”作为ID。而且，设车内网络NWl~NW3分别附有“NW1”~“NW3”作为ID。在图3所示的路由图12a中设定为:1D为51的信息被中继至车内网络NW2和NW3，ID为52的信息被中继至车内网络NW3。在路由图12a中，需要不多不少地登记在车辆I内收发的信息所附的ID。
[0085]网关10的处理部11在通过第一通信部21?第三通信部23中的任意一个通信部接收到信息时，调取接收到的信息中附有的ID。处理部11参照在存储部12中存储的路由图12a，确定与接收信息的ID对应的中继目标的车内网络NWl?NW3。处理部11向与确定的中继目标对应的第一通信部21?第三通信部23发出信息，从而向车内网络NWl?NW3发送信息。
[0086]另外，虽在图4中省略了图示，但在搭载于车辆I的E⑶51?57是能够进行与车外的服务器装置9的通信的结构的情况下，在路由图12a中也设定该信息。例如，在ECU51向车外发送的信息中附有“151”作为ID、安全控制器30连接的车内网络的ID为“NW4”的情况下，在路由图12a中与信息的ID “151”对应地将车内网络的ID设定为“NW4”。网关10的处理部11在接收到ID为“151”的信息时，通过将该信息发送给第四通信部24来向安全控制器30发送。
[0087]而且，网关10的处理部11在接收到未登记在路由图12a中的ID的信息时，进行向外部的报告。在接收到未登记ID的信息时，处理部11通过第四通信部24向安全控制器30发送向外部的装置的报告请求。接收到该报告请求的安全控制器30通过无线通信部34进行向外部装置的报告。接收到来自安全控制器30的报告的外部装置能够进行向例如车辆I的经销商或者车辆I的所有者等的报告。由此，车载中继装置10能够检测、报告例如发送未登记的ID的信息的车载设备与某个车内网络NWl?NW3连接的情况、或者某个E⑶51?57因故障等而进行异常的信息发送的情况等。
[0088]在此，考虑在车内网络NW3追加新的E⑶58的情况。设在该E⑶58发送的信息中附有“58”作为ID。在单纯地将E⑶58与车内网络NW3的通信线连接并使系统工作的情况下，E⑶58发送的信息由网关10接收。网关10的处理部11因为接收到的信息的ID “58”未登记在路由图12a中，应对该信息进行中继的车内网络不存在，因此进行如上所述的报告。因此，在追加新的E⑶58的情况下，需要更新在网关10的存储部12存储的路由图12a。
[0089]进行将E⑶58追加到车内网络NW3的作业的作业者利用例如在网关10设置的操作部或者经由专用线等与网关10连接的操作装置等，对网关10发出进行路由图12a的更新的指示。接收到该更新指示的网关10的处理部11对安全控制器30请求新的路由图12a的取得。安全控制器30的处理部31根据网关10的请求从存储部36的存储部36a读取并执行更新处理程序31a，从而进行路由图12a的更新处理。
[0090]安全控制器30的处理部31通过无线通信部34开始与提供路由图12a的服务器装置9的通信。首先，处理部31使用在存储部36中存储的认证信息36b与服务器装置9之间进行认证处理。在认证信息36b中包括例如车辆I的所有者的识别信息和密码、以及用于信息发送的加密的密匙信息等。在与服务器装置9的认证处理成功后，处理部31对服务器装置9请求新的路由图12a的发送。此时，处理部31可以从网关10取得旧的路由图12a和与新追加的车载设备相关的信息等并将其发送至服务器装置9。
[0091]服务器装置9根据来自安全控制器30的请求，向该请求的发送源发送适当的路由图12a。此时，服务器装置9可以基于从安全控制器30与请求一起得到的信息作成新的路由图12a并发送，也可以从预先存储的路由图12a中选择适当的路由图并发送。
[0092]通过无线通信部34接收到来自服务器装置9的路由图12a的安全控制器30的处理部31使用认证信息36b中包括的密匙信息将加密过的路由图12a解密，并且基于在路由图12a中附有的电子签名等信息判定该路由图12a是否是正当的路由图。在判定为是正当的路由图的情况下，处理部31通过车内通信部35将路由图12a发送至网关10。
[0093]通过第四通信部24从安全控制器30接收到路由图12a的网关10的处理部11将接收的新的路由图12a存储到存储部12并擦除旧的路由图12a，从而更新路由图12a。以后，处理部11使用更新后的路由图12a进行车内网络NWl?NW3的信息中继处理。另外，处理部10判定接收路由图12a的通信部是否为第四通信部24，在接收的通信部非第四通信部24而是第一通信部21?第三通信部23的情况下，不进行接收的路由图12a的更新。
[0094]图5是示出网关10进行的路由图12a更新处理的步骤的流程图。网关10的处理部11判定是否由操作部或操作装置等接收到路由图12a的更新指示(步骤SI)。在未接收到更新指示的情况下(S1:否)，处理部11待机直至接收到更新指示为止。在接收到更新指示的情况下(S1:是)，处理部11通过第四通信部24向安全控制器30发出路由图12a的取得请求(步骤S2)。
[0095]此后，处理部11判定是否通过第四通信部24从安全控制器30接收到新的路由图12a(步骤S3)。在未接收到路由图12a的情况下(S3:否)，处理部11待机直至接收到路由图12a为止。在接收到路由图12a的情况下(S3:是)，处理部11将接收的新的路由图12a存储到存储部12并擦除旧的路由图12a，从而更新路由图12a(步骤S4)，结束处理。
[0096]图6是示出安全控制器30进行的路由图12a更新处理的步骤的流程图。安全控制器30的处理部31通过执行更新处理程序31a来进行路由图12a更新处理。处理部31判定是否通过车内通信部35接收到来自网关10的路由图12a取得请求(步骤Sll)。在未接收到路由图12a取得请求的情况下(Sll:否)，处理部31待机直至接收到路由图12a取得请求为止。
[0097]在接收到路由图12a取得请求的情况下(Sll:是)，处理部31开始与服务器装置9的通信，并使用在存储部36存储的认证信息36b进行认证处理(步骤S12)。处理部31判定认证处理是否成功(步骤S13)，在失败的情况下(S13:否)，结束更新处理。另外，此时，处理部31也可以向网关10通知更新处理失败的消息，网关10可以根据该通知中断路由图12a的更新处理。
[0098]在认证处理成功的情况下(S13:是)，处理部31向服务器装置9请求路由图12a的发送(步骤S14)。此后，处理部31判定是否通过无线通信部34从服务器装置9接收到路由图12a(步骤S15)。在未接收到路由图12a的情况下(S15:否)，处理部31待机直至从服务器装置9接收到路由图12a为止。在接收到路由图12a的情况下(S15:是)，处理部31使用认证信息36b中包括的密匙信息将加密过的路由图12a解密，并且进行基于在路由图12a中包括的电子签名的判定(步骤S16)，判定该路由图12a是否是正当的路由图(步骤S17)。在不是正当的路由图的情况下(S17:否)，处理部31结束更新处理。在是正当的路由图的情况下(S17:是)，处理部31通过车内通信部35向网关10发送该路由图12a (步骤S18)，结束处理。
[0099]在以上的结构的本实施方式的车载通信系统中，进行多个车内网络NWl?NW3之间的信息中继的网关10将信息的中继目标的确定所需的路由图12a存储在存储部12中。路由图12a例如可以是将中继的信息所附有的ID与车内网络NWl?NW3所附有的ID对应的表格。网关10基于所存储的路由图12a进行车内网络NWl?NW3之间的中继处理。
[0100]在车内网络NWl连接新的E⑶58的情况下，安全控制器30进行与服务器装置9的通信而取得新的路由图12a，并基于电子签名信息等判定所取得的路由图12a是否是正当的路由图，然后更新在网关10的存储部12中存储的路由图12a。由此，即使是在不正当的E⑶与某个车内网络NWl?NW3连接的情况下，也能够使对网关10的路由图12a的更新困难化。因而，能够防止不正当的ECU的连接所造成的恶劣影响波及到连接该ECU的车内网络NWl?NW3以外的车内网络NWl?NW3。
[0101]而且，网关10在基于存储在存储部12中的路由图12a判断中继目标的结果是接收的信息的中继目标不存在的情况下，进行报告。由此，能够向车辆I的经销商或者所有者等通知连接了不正当的CPU的情况。
[0102]而且，安全控制器30进行与外部服务器装置9的通信而取得路由图12a，并且进行取得的路由图12a是否为正当的路由图的判定。网关10与安全控制器30之间进行通信，使用从安全控制器30得到的信息进行路由图12a的更新。此时，网关10进行限制:在通过第四通信部24接收到路由图12a的情况下进行更新处理，在通过第一通信部21?第三通信部23接收到路由图12a的情况下不进行更新处理。由此，能够防止安全控制器30以外的装置不正当地更新网关10的路由图12a。
[0103]另外，在本实施方式中，构成为追加E⑶58的作业者对网关10发出路由图12a的更新指示，但不限于此。例如也可以对安全控制器30发出更新指示、或者对ECU58发出更新指示。而且，构成为将接收路由图12a的通信部限制为第四通信部24，但也可以不进行该限制。而且，图1所示的车载通信系统的网络结构或者E⑶51?57的搭载数量等仅为一例，并不限定于此。而且，作为判定是否使用接收的路由图12a进行更新的预定条件，采用是否是基于电子签名信息的正常的信息，但不限于此。安全控制器30也可以按照其他各种方法判定接收的信息是否为正常的信息，也可以将接收到的信息是否为正常的信息以外的条件作为用于判定的预定条件。
[0104]而且，安全控制器30在进行路由图12a的更新处理时，也可以由位置信息取得部33取得车辆I的位置信息。安全控制器10仅在车辆I的位置位于预先登记的预定位置范围内的情况下进行路由图12a的更新，在预定范围外的情况下不进行路由图12a的更新处理。
[0105](变形例)
[0106]在上述实施方式I的车载通信系统中，构成为将网关10和安全控制器30作为不同装置搭载于车辆I。相对于此，在变形例的车载通信系统中，网关I1兼具安全控制器30的功能(换言之，安全控制器30兼具网关10的功能)。图7是示出变形例的网关110的结构的框图。变形例的网关110具备进行与服务器装置9的无线通信的无线通信部34。
[0107]而且，变形例的网关110在存储部12设有存储更新处理程序31a等程序的程序存储部36a。而且，在存储部12存储用于进行与服务器装置9之间的认证处理的认证信息36b。网关110的处理部111通过执行从存储部12读取的更新处理程序31a，能够进行从服务器装置9取得路由图12a并更新的处理。
[0108](实施方式2)
[0109]图8是示出实施方式2的车载通信系统的结构的示意图。另外，在本图中，图示了一个ECU250的详细结构，对于其他ECU250，由于是相同的结构，因此省略详细结构的图示。实施方式2的E⑶250构成为具备处理部251、存储部252和车内通信部253等。处理部251使用CPU或MPU等运算处理装置构成，进行车辆I的控制处理等各种处理。存储部252使用EEPROM或者闪存等可改写数据的非易失性的存储器元件构成。在存储部252存储有接收许可列表252a，接收许可列表252a是对由该ECU250允许接收的信息附加的ID的列表。车内通信部253与构成车内网络的通信线连接，进行例如CAN的通信标准下的信息的收发。车内通信部253通过监测通信线上的信号，接收车内网络的其他装置发送的信息，并将接收的信息发送给处理部251。而且，车内通信部253通过将从处理部251得到的发送用的信息作为信号向通信线输出，向车内网络的其他装置发送信息。
[0110]实施方式2的ECU250使用在存储部252存储的接收许可列表252a进行限制接收的信息的处理。E⑶250的车内通信部253监测通信线上的信号，在检测出来自其他装置的信息发送的情况下，调取该信息的ID并通知处理部251。处理部251判定由车内通信部253通知的接收信息的ID是否是在存储部252的接收许可列表252a中登记的ID。在接收信息的ID未登记在接收许可列表252a中的情况下，处理部251不进行使用该接收信息的处理。或者，处理部251也可以进行限制，以便中断车内通信部253对信息的接收本身，而不接收未登记在接收许可列表252a中的ID的信息。
[0111]在此，考虑在车内网络追加新的E⑶250的情况。为了使其他E⑶250接收新追加的E⑶250发送的信息并进行处理，需要在各E⑶250的接收许可列表252a中登记新追加的E⑶250发送的信息的ID。因此，在实施方式2的车载通信系统中，在更新网关210的路由图12a时，进行各E⑶250的接收许可列表252a的更新。
[0112]进行将新的ECU250追加到车内网络的作业的作业者利用例如操作部或操作装置等，对网关210发出进行路由图12a和接收许可列表252a的更新的指示。接收到该更新指示的网关210对安全控制器230请求新的路由图12a和接收许可列表252a的取得。安全控制器230根据来自网关210的请求，开始与提供路由图12a和接收许可列表252a的服务器装置9的通信。安全控制器230使用认证信息36b与服务器装置9之间进行认证处理，在认证处理成功后，对服务器装置9请求新的路由图12a和接收许可列表252a的发送。
[0113]服务器装置9根据来自安全控制器230的请求，向该请求的发送源发送适当的路由图12a和接收许可列表252a。此时，服务器装置9可以基于从安全控制器230与请求一起得到的信息作成新的接收许可列表252a并发送，也可以从预先存储的接收许可列表252a中选择适当的接收许可列表并发送。服务器装置9向安全控制器230发送针对搭载于车辆I中的各E⑶250的接收许可列表252a。
[0114]接收到来自服务器装置9的路由图12a和接收许可列表252a的安全控制器230使用认证信息36b中包括的密匙信息将加密过的信息解密，并且基于在这些信息中附有的电子签名等信息判定这些信息是否是正当的信息。在判定为正当的信息的情况下，安全控制器230向网关210发送路由图12a和接收许可列表252a。
[0115]从安全控制器230接收到路由图12a和接收许可列表252a的网关210利用接收到的新的路由图12a更新存储在存储部12中的路由图12a。而且，网关210分别向各E⑶250发送接收到的新的接收许可列表252a。
[0116]从网关250接收到接收许可列表252a的各E⑶250将接收的接收许可列表252a存储到存储部252，并且擦除旧的接收许可列表252a，从而更新接收许可列表252a。另外，接收许可列表252a针对每个ECU250具有不同的内容，因此各ECU250能够区别用于自身的接收许可列表252a和用于其他ECU250的接收许可列表252a。例如，在各接收许可列表252a附有各E⑶250的ID，各E⑶250根据接收的接收许可列表252a所附的ID是否与自身的ID一致，能够判断该接收许可列表252a是否是自身的更新用的接收许可列表。
[0117]在以上的结构的实施方式2的车载通信系统中，各E⑶250将对通过车内网络收发的信息判定该信息是否是应接收的信息所需的接收许可列表252a存储在存储部252中。接收许可列表252a例如是在应接收的信息附加的ID的列表等。各ECU250接收基于接收许可列表252a判定为应接收的信息并进行处理，不进行基于除此以外的信息的处理。
[0118]在车内网络连接新的E⑶250时，为了使其他E⑶250判定是否应接收新的E⑶250发送的信息，需要更新各ECU250存储的接收许可列表252a。在实施方式2的车载通信系统中，与网关210的路由图12a同样地，安全控制器210进行与服务器装置9的通信而取得接收许可列表252a，并判定取得的信息是否是正当的信息，然后更新在各ECU250的存储部252存储的接收许可列表252a。由此，即使是在不正当的E⑶250与车内网络连接的情况下，也能够防止其他各E⑶250接收不正当的E⑶250发送的信息并进行处理。
[0119]另外，在本实施方式中，构成为服务器装置9发送各E⑶250的接收许可列表252a，但不限于此。例如，也可以构成为服务器装置9发送用于作成接收许可列表252a的信息，安全控制器230或网关210基于该信息作成各E⑶250的接收许可列表252a。
[0120]而且，实施方式2的车载通信系统的其他结构与实施方式I的车载通信系统的结构相同，因此对相同的部位标以相同标号并省略详细的说明。
【权利要求】
1.一种车载通信系统，具备:多个车内网络，各自连接有一个以上的车载设备；以及车载中继装置，连接于上述多个车内网络，对车内网络间的信息的收发进行中继，所述车载通信系统的特征在于， 所述车载中继装置具有:存储部，存储确定信息的中继目标所需的中继目标确定用信息；以及中继目标确定构件，在从一个车内网络接收到信息时，基于在所述存储部中存储的中继目标确定用信息来确定所接收的信息应被发送到的车内网络， 所述车载通信系统还具备:车外通信构件，与车外的通信装置之间进行信息的收发；取得构件，利用所述车外通信构件从车外的通信装置取得中继目标确定用信息；判定构件，判定所述取得构件取得的中继目标确定用信息是否是满足预定条件的信息；以及更新构件，使用所述判定构件判定为是满足预定条件的信息的中继目标确定用信息来更新在所述车载中继装置的存储部中存储的中继目标确定用信息。
2.根据权利要求1所述的车载通信系统，其特征在于， 所述车载中继装置具有报告构件，所述报告构件在不存在应被中继所接收的信息的车内网络的情况下进行报告。
3.根据权利要求1或2所述的车载通信系统，其特征在于， 与所述车内网络连接的各车载设备各自具有:存储部，存储用于判定是否是应接收的信息所需的接收判定用信息；接收判定构件，基于在所述存储部中存储的接收判定用信息来判定是否应接收从所述车载中继装置发送来的信息；以及限制构件，限制成不进行使用所述接收构件判定为不应接收的信息的处理， 所述车载通信系统具备:取得构件，利用所述车外通信构件从车外的通信装置取得各车载设备用的接收判定用信息；判定构件，判定所述取得构件取得的接收判定用信息是否是满足预定条件的信息；以及更新构件，使用所述判定构件判定为是满足预定条件的信息的接收判定用信息来更新在各车载设备的存储部中存储的接收判定用信息。
4.根据权利要求1至3的任意一项所述的车载通信系统，其特征在于， 具备信息更新装置，所述信息更新装置具有所述车外通信构件、所述取得构件及所述判定构件， 所述更新构件使用从所述信息更新装置得到的信息更新在所述车载中继装置的存储部中存储的信息。
5.根据权利要求4所述的车载通信系统，其特征在于， 所述车载中继装置具有:多个车内通信部，分别进行与所述多个车内网络的信息的收发；以及更新用通信部，进行与所述信息更新装置的信息的收发， 对所述更新用通信部限制用于对存储于所述存储部的信息进行更新的信息的接收。
6.根据权利要求1至5的任意一项所述的车载通信系统，其特征在于， 所述判定构件基于与所述车外的通信装置之间进行的认证处理的结果或者在所述取得构件取得的信息中附有的电子签名信息，判定所述取得构件取得的信息是否是正当的信息来作为所述预定条件。
7.一种车载中继装置，与各自连接有一个以上的车载设备的多个车内网络连接，对车内网络间的信息的收发进行中继，其特征在于，具备: 存储部，存储确定信息的中继目标所需的中继目标确定用信息；中继目标确定构件，在从一个车内网络接收到信息时，基于在所述存储部中存储的中继目标确定用信息来确定所接收的信息应被发送到的车内网络； 车外通信构件，与车外的通信装置之间进行信息的收发； 取得构件，利用所述车外通信构件从车外的通信装置取得中继目标确定用信息； 判定构件，判定所述取得构件取得的中继目标确定用信息是否是满足预定条件的信息；以及 更新构件，使用所述判定构件判定为是满足预定条件的信息的中继目标确定用信息来更新在所述车载中继 装置的存储部中存储的中继目标确定用信息。
【文档编号】H04L29/08GK104079456SQ201410123848
【公开日】2014年10月1日 申请日期:2014年3月28日 优先权日:2013年3月28日
【发明者】下村好邦, 冈田宏 申请人:株式会社自动网络技术研究所, 住友电装株式会社, 住友电气工业株式会社