线30以允许经由因特网协议与非军事区60进行通信的方式通过通信总线31连接至非军事区60。通信总线31上的数据链路连接器(DLC) 32是以允许外部装置的通信的方式将外部装置连接至车辆I的网络的连接器。DLC 32能够以允许外部装置的通信的方式连接外部装置(如,车上诊断(OBD)单元)或信息终端(如,智能电话)。具体地,连接至数据链路连接器32的外部装置可以经由数据链路连接器32将通信消息传送至控制总线10或信息总线20。可以以该方式传送的通信消息包括作为从控制总线10中的ECU请求车辆信息的请求信号的通信消息。在该实施例中,中央网关40接收经由数据链路连接器32输入的通信消息,并且基于通信消息执行处理。具体地,从外部总线30输入的通信消息未直接流入控制总线或信息总线20,或者未按原样传递。
[0073]符合以太网(注册商标)标准的装置(诸无线通信单元33 (参见图5))可以连接至通信总线31而无需数据链路连接器32的介入。以该方式,外部总线30对来自车辆I的外部的通信开放,并且用于经由数据链路连接器32或无线通信装置连接至外部装置以及用于连接至车辆外部的网络(如,因特网)。这引起了在车辆I中很难管理外部总线30的安全性的传统问题。作为响应,在本实施例中,通过非军事区60的介入来保持相对于外部总线30的控制总线10的安全性和信息总线20的安全性。
[0074]如图4所示,非军事区60包括因特网协议(IP)的通信消息流过的内部总线61以及连接至内部总线61的第一至第三防火墙(FW)单元62至64。非军事区60包括对流过内部总线61的通信消息执行各种处理的处理器70。作为在处理器70中执行的各种处理的结果,非军事区60确保了控制总线10的安全性和信息总线20的安全性。
[0075]第一防火墙单元62设置在内部总线61与控制总线10之间。第二防火墙单元63设置在内部总线61与信息总线20之间。第三防火墙单元64设置在内部总线61与外部总线30之间。第一至第三防火墙单元62至64基于包含在通信消息中的传送源或传送目的地的地址是否满足对应的预定管制条件,确定是否允许诸如请求信号的通信消息通过,从而对通信进行管制。基于管制条件,第一防火墙单元62允许通信消息在内部总线61与控制总线10之间通过,同时防止来自信息总线20或外部总线30的通信消息通过内部总线61流入控制总线10。基于管制条件,第二防火墙单元63允许通信消息在内部总线61与信息总线20之间通过,同时防止来自控制总线10或外部总线30的通信消息通过内部总线61流入信息总线20。基于管制条件。第三防火墙单元64允许通信消息在内部总线61与外部总线30之间通过,同时防止来自控制总线10或信息总线20的通信消息通过内部总线61流入外部总线30。
[0076]处理器70包括:代理单元71,将作为请求信号接收到的通信消息的传送目的地改变为处理器70 ;认证单元72,对作为请求信号的传送源的装置进行认证;以及监控单元73,监控请求信号的通信状态。处理器70包括按时间顺序或统计地存储请求信号的通信状态的逻辑单元74。处理器70还包括数据服务器单元75。数据服务器单元75保存从控制总线10中的E⑶111至161输出的车辆信息,并且生成通信消息作为对来自控制总线10、信息总线20和外部总线30的请求信号作出响应的响应信号。处理器70中的代理单元71以及第一至第三防火墙单元62至64中的每一个以允许它们之间的通信的方式通过内部总线61连接。在处理器70中,代理单元71以允许代理单元71的通信的方式连接至认证单元72、监控单元73、逻辑单元74和数据服务器单元75中的每一个。在该实施例中,从第一至第三防火墙单元62至64输入的所有通信消息通过内部总线61传送至处理器70中的代理单元71。
[0077]代理单元71被称为代理服务器。代理单元71将指定每条总线中的E⑶作为传送目的地的请求信号的传送目的地改变为处理器70。因而,处理器70首先处理将总线中的E⑶指定为传送目的地的请求信号。代理单元71确定通过请求信号请求的处理,并且要求认证单元72或数据服务器单元75根据所请求的处理的内容对信号执行处理。例如,当确定请求信号请求与认证相关的处理时,代理单元71将请求信号传送至认证单元72并且使得认证单元72处理该信号。例如,当确定请求信号请求控制总线10中的ECU输出车辆信息时,代理单元71将请求信号传送至数据服务器单元75并且使得数据服务器单元75处理该信号。另外,代理单元71可以将通过对从控制总线10接收到的通信消息执行特定处理而生成的响应信号传送至连接到信息总线20或外部总线30的经认证的外部装置。代理单元71管理与不正确的传送源有关的信息,并且防止对来自不正确的传送源的请求信号的处理。作为示例,代理单元71采取通过不对来自不正确的传送源的请求信号进行处理而不对来自不正确的传送源的请求信号作出响应的动作。另外,代理单元71可以基于认证单元72对传送源的认证的结果或者监控单元73对通信消息的监控的结果来更新与不正确的传送源有关的信息。代理单元71使得对外部开放的替代地址不同于用于与控制总线10中的E⑶进行通信的地址,从而确保控制总线10相对于外部总线30的安全性。
[0078]认证单元72具有基于特定的认证条件确定连接至外部总线30的外部装置或连接至信息总线20的信息装置是否是正确的装置的认证功能。认证单元72存储用作认证条件的预先登记的信息,以标识允许进行通信的外部装置。为了开始与连接至信息总线20或外部总线30的外部装置的通信,认证单元72对外部装置进行认证以进行通信。可应用的认证功能包括公知的认证功能,诸如SSL(安全套接层)和TLS(传输层安全)。认证单元72将认证结果传送至代理单元71。因而,代理单元71禁止处理器70处理从尚未被认证的源装置传送的请求信号。结果,处理器70处理来自已由认证单元72认证的外部装置的请求信号并生成响应信号,而其不处理来自未经认证单元72认证的外部装置的请求信号。这防止了控制总线10的安全性或信息总线20的安全性例如由于来自不正确的外部装置的请求信号而降低。
[0079]可对在认证之后的条件下的请求信号进行加密。加密后的请求信号可由认证单元72解密或者例如由代理单元71用认证单元72确定的密钥来解密。
[0080]认证单元72能够响应于监控单元73的监控结果而基于不正确的请求信号来停止认证。监控单元73具有监控从外部总线30或信息总线20接收到的请求信号的行为以确定请求信号是否存在异常的监控功能。监控单元73具有用于确定请求信号是否表现不适当的监控条件。监控条件包括通信的频率或被确定为异常的通信之间的间隔。针对所有请求信号或根据请求信号的类型或内容来限定监控条件。具体地,监控单元73根据监控条件监控接收到的请求信号的行为(诸如通信的频率或者请求信号的通信之间的间隔),并且在请求信号归入监控条件的情况下确定请求信号是否异常。监控单元73将监控请求信号的结果传送到代理单元71。因而,代理单元71禁止处理器70处理被确定为异常的请求信号。这防止了控制总线10的安全性或信息总线20的安全性由于异常请求信号而降低。
[0081]日志单元74存储从外部总线30或信息总线20接收到的请求信号作为日志数据。日志单元74可将从外部总线30或信息总线20接收到的请求信号连同时间信息一起存储,或者可存储处理结果(如统计处理)。日志单元74分析存储在其中的日志数据,并且基于分析的结果来确定从外部总线30或信息总线20接收到的请求信号是否存在异常。作为示例,日志单元74确定在日志数据中是否不存在被确定为不适当请求的请求信号。另外,日志单元74能够例如经由外部总线30或信息总线20将存储在其中的日志数据传送至车辆外部的日志分析器以分析请求信号。车辆外部的分析器可以是例如汽车制造商的产品的服务器。在这种情况下,车辆外部的日志分析器还可以例如确定从外部总线30或信息总线20接收到的请求信号是否存在异常。
[0082]数据服务器单元75分析从外部总线30或信息总线20接收到的请求信号中的请求,并且响应于该请求而执行处理。数据服务器单元75能够响应于所接收到的请求信号而生成响应信号。数据服务器单元75包括从控制总线10定期地获取控制总线10的车辆信息并存储所获取的信息的存储装置(未示出)。例如如果请求信号请求车辆速度作为控制总线10的车辆信息,则数据服务器单元75从控制总线10直接获取车辆速度或者从存储从控制总线20获取的车辆速度的存储装置间接获取车辆速度。数据服务器单元75响应于该请求而生成响应信号,并且将所得到的响应信号传送至外部总线30中的传送源。
[0083]数据服务器单元75也能够从暂时存储控制总线10中的车辆信息的、控制网关50中的消息缓冲器(参见图6)获取控制总线10中的车辆信息。数据服务器单元75可将尝试获取控制总线10中的车辆信息的通信消息传送至控制总线10中的ECU,然后获取从ECU返回的通信消息中的预期车辆信息。
[0084]图5至图9描述了基于非军事区60的本实施例的信息处理装置的操作。为了描述非军事区60的各种操作,出于说明目的,随着场合出现,可给予控制总线10、信息总线20和外部总线30除了上述结构外的结构。
[0085]图5示出了处理器70为了对外部装置进行认证而执行的处理。
[0086]如图5所示,可连接至因特网W的无线通信单元33连接至外部总线30。无线通信单元33经由数据链路连接器32或不同的连接器连接至外部总线30。无线通信单元33是可以保留至因特网W的通信路径的装置,其例如是智能电话、移动电话、无线LAN的从单元或无线路由器。
[0087]假设经由外部总线30从连接至因特网W的外部装置(未示出)传送请求开始与控制总线10进行通信的请求信号MA1。首先,第三防火墙单元64确定是否允许请求信号MAl通过。如果允许通过,则将请求信号MAl传送至代理单元71。禁止从外部总线30输入的请求信号MAl通过第一防火墙单元62和第二防火墙单元63,使得其将不被传送至控制总线10和信息总线20。所传送的请求信号MAl是请求开始与控制总线10进行通信的通信消息。因而,代理单元71确定应该对请求信号MAl的传送源进行认证,因此其要求认证单元72执行认证处理。已被要求执行认证处理的认证单元72基于特定的认证过程执行用以对作为请求信号MAl的传送源的外部装置进行认证的认证处理,并且向代理单元71通知认证结果。如果对请求信号MAl的传送源进行认证,则代理单元71允许处理器70处理从外部装置传送的通信消息。如果例如从外部装置接收到请求作为控制总线10中的控制信息的车辆信息的请求信号,则代理单元71要求数据服务器单元75处理请求信号。如果未对请求信号MAl的传送源进行认证,则代理单元71禁止处理器70处理从外部装置传送的请求信号。
[0088]每当从尚未经认证单元72认证的传送源接收到请求控制总线10中的车辆信息的请求信号时,代理单元71请求认证单元72执行对请求信号的传送源进行认证的认证处理。代理单元71允许处理器70在认证单元72对传送源进行认证的条件下处理请求车辆信息的请求信号。在认证处理期间,监控单元73监控请求信号在外部装置与认证单元72之间如何表现。如果请求信号表现正常,则监控单元73使得认证单元72继续认证处理。当确定请求信号表现可疑,则监控单元73使得认证单元72停止对请求信号进行认证的认证处理。通过停止而不对请求信号的传送源进行认证。在这种情况下,即使从传送源接收到请求信号,代理单元71也禁止处理。具体地,代理单元71禁止处理器70的处理。
[0089]图6示出了响应于来自外部装置的请求而传送控制总线10中的车辆信息的处理。假设外部装置已通过图5所示的