JP2004192278A - 通信システム及び車載ゲートウェイ装置 - Google Patents
通信システム及び車載ゲートウェイ装置 Download PDFInfo
- Publication number
- JP2004192278A JP2004192278A JP2002358626A JP2002358626A JP2004192278A JP 2004192278 A JP2004192278 A JP 2004192278A JP 2002358626 A JP2002358626 A JP 2002358626A JP 2002358626 A JP2002358626 A JP 2002358626A JP 2004192278 A JP2004192278 A JP 2004192278A
- Authority
- JP
- Japan
- Prior art keywords
- program
- vehicle
- unit
- server
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】車載ゲートウェイ装置が実行する伝送データの処理プログラムの更新を可能とし、新規機能を追加して性能を向上させることが可能な通信システム及び車載ゲートウェイ装置を提供する。
【解決手段】車両に搭載され、複数の通信ネットワーク(OP−LAN、CL−LAN)間の伝送データの処理をプログラムに基づいて実行するゲートウェイ10と、前記伝送データの処理を実行するためのプログラムを送信するDLサーバ30とを備え、ゲートウェイ10は、更新手段により、プログラム記憶部に記憶されている前記伝送データの処理を実行するためのプログラムを、DLサーバ30から送信され、第1受付手段で受付けたプログラムに更新する。
【選択図】 図1
【解決手段】車両に搭載され、複数の通信ネットワーク(OP−LAN、CL−LAN)間の伝送データの処理をプログラムに基づいて実行するゲートウェイ10と、前記伝送データの処理を実行するためのプログラムを送信するDLサーバ30とを備え、ゲートウェイ10は、更新手段により、プログラム記憶部に記憶されている前記伝送データの処理を実行するためのプログラムを、DLサーバ30から送信され、第1受付手段で受付けたプログラムに更新する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置と、該車載ゲートウェイ装置及び前記伝送データの処理を実行するためのプログラムを送信するサーバを備える通信システムに関する。
【0002】
【従来の技術】
複数の通信ネットワークを相互に接続する場合、ゲートウェイ装置が使用される。自動車内に構築された車載通信システム(車載LAN)においては、例えば、ユーザが自由に機器を接続及び取外しできる通信ネットワーク(以下、OP−LAN)と、自動車メーカ以外は機器を接続及び取外しできない通信ネットワーク(以下、CL−LAN)とが車載ゲートウェイ装置を用いて接続される。車載ゲートウェイ装置により、OP−LANに接続された機器とCL−LANに接続された機器との間のデータ転送制御が行われる(例えば、特許文献1参照)。
【0003】
ユーザが、インターネットに接続可能な外部通信装置をOP−LANに接続した場合、OP−LANは外部通信装置によって直接的にインターネットに接続された状態となり、CL−LANはゲートウェイ装置を介して間接的にインターネットに接続された状態となる。インターネットに接続することにより、例えば、インターネット上で各種サービスを提供するサーバに車両(外部通信装置)からアクセスし、商品購入又は予約などの各種サービスを利用することが可能になる。
【0004】
また、車載LANとして、IEEE1394に準拠した通信ネットワークを構築した場合、IEEE1394に準拠した各種機器を車載LANに追加接続することが可能である。例えば、IEEE1394に準拠したDVDプレーヤなどの電気機器を車載LANに接続して、映画などを車内で観賞することが可能になる。
【0005】
インターネットなどの外部通信ネットワーク、または、電気機器などの外部機器に対するデータ伝送は、通常、車載ゲートウェイ装置によるフィルタリング処理が行われる。例えばOP−LAN内の外部通信装置(インターネット)からCL−LAN内の各機器へのデータ転送をブロックしたり、CL−LAN内の所定機器から外部通信機器(インターネット)へのデータ転送をブロックする。
【0006】
【特許文献1】
特開2002−16614号公報
【0007】
【発明が解決しようとする課題】
車載LANとインターネットなどの外部通信ネットワークとの間のデータ送受信、または、車載LANと電気機器などの外部機器との間のデータ送受信は、今後さらに増加する可能性が高い。また、インターネット上で提供される新規サービス、または、追加接続が可能な新規電気機器も増加する可能性が高い。これらサービス又は電気機器のライフサイクルは比較的短い傾向にあり、特にインターネット上で提供されるサービスは進歩が速い。
【0008】
車載ゲートウェイ装置は、これら新規サービス又は新規電気機器に対するデータ伝送制御も行う必要がある。しかし、車両のライフサイクルは、上述したサービス又は電気機器のライフサイクルよりも比較的長い傾向にあるため、製造時には存在していないサービス又は電気機器に対するデータ伝送制御を行う必要が生じる場合がある。この場合、車載ゲートウェイ装置が新規サービス又は新規電気機器に対応できず、新規サービス又は新規電気機器を利用できない可能性が高い。
【0009】
また、データ通信に関しては、新規プロトコル(通信規約)又は新規セキュリティ技術などの開発が進められており、上述した新規サービス又は新規電気機器と同様に、新規プロトコル又は新規セキュリティ技術に車載ゲートウェイ装置が対応できず、新規プロトコル又は新規セキュリティ技術を用いたデータ伝送を行えない場合がある。
【0010】
本発明は斯かる事情に鑑みてなされたものであり、伝送データの処理を実行するためのプログラムを更新し、新規機能を追加して性能を向上させることが可能な通信システム及び車載ゲートウェイ装置を提供することを目的とする。
【0011】
また、本発明は、特定のサーバ以外からの不正なプログラムのダウンロードを防止し、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能な通信システムを提供することを他の目的とする。
【0012】
また、本発明は、特定の車載ゲートウェイ装置以外へのプログラムの送信を防止し、プログラムの不正使用を防止することが可能な通信システムを提供することを他の目的とする。
【0013】
また、本発明は、サーバから車載ゲートウェイ装置に送信されるプログラムの送信エラー又は改ざんなどを検出し、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能な通信システムを提供することを他の目的とする。
【0014】
また、本発明は、サーバから車載ゲートウェイ装置に送信するプログラムの盗聴を防止し、プログラムの不正使用を防止することが可能な通信システムを提供することを他の目的とする。
【0015】
また、本発明は、車載ゲートウェイ装置が搭載された車両に応じたプログラムをサーバから送信することが可能な通信システムを提供することを他の目的とする。
【0016】
また、本発明は、車載ゲートウェイ装置の動作設定に応じたプログラムをサーバから送信することが可能な通信システムを提供することを他の目的とする。
【0017】
また、本発明は、プログラムの更新処理が運転に与える影響を最小限に抑え、安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0018】
また、本発明は、プログラムの更新処理による不具合への対応を容易にし、安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0019】
また、本発明は、プログラムの更新処理による他の機器のデータ伝送速度の低下を防止することが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0020】
また、本発明は、プログラム更新途中のバッテリ切れによる異常終了を防止することが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0021】
また、本発明は、プログラム更新後の不具合の発生を低減し、車載ゲートウェイ装置の安定性及び車両の安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0022】
【課題を解決するための手段】
第1発明に係る通信システムは、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置と、車外機器と通信を行う外部通信装置とを備えた通信システムにおいて、前記伝送データの処理を実行するためのプログラムを送信するサーバを備え、前記車載ゲートウェイ装置は、前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、前記サーバから送信されたプログラムを受付ける第1受付手段と、プログラム記憶部に記憶されているプログラムを、第1受付手段で受付けたプログラムに更新する更新手段とを備えることを特徴とする。
【0023】
第2発明に係る通信システムは、第1発明において、前記第1受付手段は、前記サーバから認証用情報を受付けるように構成されており、前記車載ゲートウェイ装置は、第1受付手段で受付けた認証用情報に基づいて、前記サーバを認証する第1認証手段を備え、第1認証手段による認証が完了した場合、第1受付手段により、前記サーバからプログラムを受付けるべくなしてあることを特徴とする。
【0024】
第3発明に係る通信システムは、第1又は第2発明において、前記サーバは、プログラムの送信先から認証用情報を受付ける第2受付手段と、第2受付手段で受付けた認証用情報に基づいて、プログラムの送信先を認証する第2認証手段とを備え、第2認証手段による認証が完了した送信先にプログラムを送信すべくなしてあることを特徴とする。
【0025】
第4発明に係る通信システムは、第1〜第3発明の何れかにおいて、前記サーバは、送信するプログラムに改変検出情報を付加する付加手段を備え、前記車載ゲートウェイ装置は、前記付加手段によってプログラムに付加された改変検出情報に基づいて、前記プログラムの改変を検出する改変検出手段を備えることを特徴とする。
【0026】
第5発明に係る通信システムは、第1〜第3発明の何れかにおいて、前記サーバは、送信するプログラムを暗号化する暗号化手段を備え、前記車載ゲートウェイ装置は、前記暗号化手段で暗号化されたプログラムを復号する復号手段を備えることを特徴とする。
【0027】
第6発明に係る通信システムは、第1〜第5発明の何れかにおいて、前記車載ゲートウェイ装置は、車両に関する車両情報を送信する送信手段を備え、前記第2受付手段は、車載ゲートウェイ装置から送信された車両情報を受付けるべくなしてあり、前記サーバは、第2受付手段で受付けた車両情報に対応するプログラムを送信すべくなしてあることを特徴とする。
【0028】
第7発明に係る通信システムは、第1〜第5発明の何れかにおいて、前記車載ゲートウェイ装置は、前記伝送データの処理に関する設定情報を送信する送信手段を備え、前記第2受付手段は、車載ゲートウェイ装置から送信された設定情報を受付けるべくなしてあり、前記サーバは、第2受付手段で受付けた設定情報に対応するプログラムを送信すべくなしてあることを特徴とする。
【0029】
第8発明に係る車載ゲートウェイ装置は、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置において、前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、前記伝送データの処理を実行するためのプログラムを受付ける受付手段と、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する更新手段とを備えることを特徴とする。
【0030】
第9発明に係る車載ゲートウェイ装置は、第8発明において、車両が停止していることを検出する停止検出手段を備え、前記受付手段は、停止検出手段によって車両の停止が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0031】
第10発明に係る車載ゲートウェイ装置は、第8発明において、車両内の人体を検出する人体検出手段を備え、前記受付手段は、人体検出手段によって車両内の人体が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0032】
第11発明に係る車載ゲートウェイ装置は、第8発明において、前記複数の通信ネットワーク間の単位時間あたりのデータ伝送量を検出する伝送量検出手段を備え、前記受付手段は、伝送量検出手段によって検出されたデータ伝送量が所定値以下の場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0033】
第12発明に係る車載ゲートウェイ装置は、第8発明において、車両に搭載されたバッテリの残量を検出する残量検出手段を備え、前記受付手段は、残量検出手段によって検出された残量が所定値以上の場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0034】
第13発明に係る車載ゲートウェイ装置は、第8〜第12発明の何れかにおいて、前記受付手段で受付けたプログラムを実行して動作を確認する動作確認手段を備え、前記更新手段は、動作確認手段による動作の確認が完了した場合、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新すべくなしてあることを特徴とする。
【0035】
第1又は第8発明においては、車載ゲートウェイ装置は、送信データの処理を実行するためのプログラムを書換が可能なプログラム記憶部に記憶しており、サーバから送信されたプログラムを受付手段(第1受付手段)で受付け、更新手段により、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する。サーバは、例えば車両の製造業者又は販売業者が運営するサーバであり、新規プロトコル又は新規サービスに対応したプログラムなどを送信する。車載ゲートウェイ装置は、例えば外部通信装置を経由してサーバからプログラムをダウンロードすることにより、新規プロトコル又は新規サービスに対応することが可能になる。新規機能を追加して性能を向上させることが可能である。
【0036】
第2発明においては、車載ゲートウェイ装置は、プログラムを送信するサーバから第1受付手段で受付けた認証用情報に基づいて、前記サーバを認証し、認証が完了した場合にプログラムを受付ける。例えば送信元アドレスに基づいて認証を行ったり、パスワードなどの認証情報を受取って認証を行うことが可能である。アドレスは改ざんの可能性が存在するため、パスワードを用いることが好ましい、特にワンタイムパスワードを用いてアクセス毎にパスワードを変更することが好ましい。また、暗号を利用した電子認証を行うことも可能である。
【0037】
第3発明においては、サーバは、プログラムの送信先から第2受付手段で受付けた認証用情報に基づいて、第2認証手段で前記送信先を認証し、認証が完了した送信先にプログラムを送信する。例えば送信先のアドレスに基づいて認証を行ったり、送信先からパスワードなどの認証情報を受取って認証を行うことが可能である。車載ゲートウェイ装置のROMに機器番号などの機器識別情報が記憶されている場合は、送信先から機器番号を受取って認証を行うことが可能である。アドレスは改ざんの可能性が存在し、パスワードは入力の手間が生じるため、車載ゲートウェイ装置固有の機器番号を認証に用いることが好ましい。
【0038】
第4発明においては、サーバから送信されるプログラムには、付加手段によって改変検出情報が付加されている。車載ゲートウェイ装置は、受付けたプログラムの改変を、改変検出手段により、前記受付けたプログラムに付加されている改変検出情報に基づいて検出する。改変検出情報は、例えばMD5又はSHA−1などのハッシュアルゴリズムで作成することが可能である。車載ゲートウェイが受付けたプログラムから作成したハッシュ値が、前記プログラムに付加されているハッシュ値(改変検出情報)と異なることによりプログラムの改変を検出することが可能である。改変検出情報は、秘密鍵暗号方式又は公開鍵暗号方式などで暗号化することも可能である。
【0039】
第5発明においては、サーバから送信されるプログラムは、暗号化手段によって暗号化されている。車載ゲートウェイ装置は、前記暗号化手段で暗号化されたプログラムを受付け、受付けたプログラムを復号手段で復号する。暗号化及び復号は、秘密鍵暗号方式又は公開鍵暗号方式などを用いることが可能である。秘密鍵又は公開鍵は、車載ゲートウェイ装置又はサーバのROMなどに記憶しておくことが可能である。
【0040】
第6発明においては、ゲートウェイ装置は、車両に関する車両情報を送信手段から送信する。サーバは、車両情報を第2受付手段で受付け、受付けた車両情報に対応するプログラムを前記ゲートウェイ装置に送信する。車両情報は、例えば車両の種類、グレード、または仕向地などの情報を含み、サーバには、例えば車両の種類、グレード、または仕向地に対応するプログラムが格納されている。例えば、全種類の車両に搭載されている機器に関するプログラムを共通プログラムとし、一部の種類に搭載されている機器に関するプログラムを個別プログラムとした場合、サーバは、共通プログラムと車両の種類に応じた個別プログラムとを送信する。車両情報に、車両に搭載されている機器を含ませることも可能である。
【0041】
第7発明においては、ゲートウェイ装置は、伝送データの処理に関する設定情報を送信手段から送信する。サーバは、設定情報を第2受付手段で受付け、受付けた設定情報に対応するプログラムを前記ゲートウェイ装置に送信する。車載ゲートウェイ装置においては、例えばフィルタリングポリシを高いセキュリティ強度に設定したり、低いセキュリティ強度に設定することが可能である。このような設定を含んだ設定情報をサーバに送信することにより、例えばセキュリティ強度が高い設定の場合は、セキュリティ機能が強化されたプログラムをサーバからダウンロードすることが可能になる。
【0042】
第9発明においては、受付手段は、車両が停止していることを検出する停止検出手段によって車両の停止が検出されている場合に、車載ゲートウェイ装置で実行される伝送データの処理を実行するためのプログラムを受付ける。プログラム記憶部に記憶されているプログラムを前記受付けたプログラムに更新する間、車載ゲートウェイ装置は一時的に伝送データの処理を実行できなくなるが、車両が停止しているため、車載ゲートウェイ装置の一時的な処理停止による運転への影響は、最小限に抑えられる。
【0043】
第10発明においては、受付手段は、車両内の人体を検出する人体検出手段によって車両内の人体が検出されている場合に、プログラムを受付ける。車両内にユーザがいるため、プログラムのダウンロード及び更新に不具合が生じた場合であっても、車両内のユーザが対応することが可能である。また、プログラムの更新後の各車載機器の動作に不具合が生じた場合であっても、車両内のユーザが対応することが可能である。車両内にユーザがいることの検出は、ドアのロックの有無に基づいて検出したり、イグニッション又は電源のオン/オフに基づいて検出することも可能である。
【0044】
第11発明においては、受付手段は、車載ゲートウェイ装置に接続された複数の通信ネットワーク間の単位時間あたりのデータ伝送量を検出する伝送量検出手段によって検出されたデータ伝送量が所定値以下の場合に、プログラムを受付ける。プログラムをダウンロード中の車載ゲートウェイ装置は、例えば車両に搭載されたナビゲーションシステム及びCDプレーヤが使用されている場合、動画データ及び音声データのデータ伝送制御をダウンロードと並行して行う。この場合、ダウンロードによって動画データ及び音声データの帯域が減少し、伝送遅れによる動画又は音声の一時停止が生じる可能性がある。前記所定値は、プログラムのダウンロードを行っても帯域に余裕があるデータ伝送量に設定される。また、車内に人がいない場合は、各車載機器が使用されていないことが多く、人体検出手段が車両内の人体を検出しなかった場合に、プログラムのダウンロードを行うことも可能である。同様に、各車載機器が動作を停止していることを確認した後、プログラムのダウンロードを行うことも可能である。
【0045】
第12発明においては、受付手段は、車載バッテリの残量を検出する残量検出手段によって検出された残量が所定値以上の場合に、プログラムを受付ける。プログラムのダウンロード途中又は更新途中で、車載バッテリから車載ゲートウェイ装置への電力供給が停止した場合、ダウンロードを最初からやり直す又はプログラムが使用不能になる可能性が高い。前記所定値は、プログラムのダウンロード及び更新が確実に行える車載バッテリの残量に設定される。また、エンジンが作動している場合はオルタネータによる発電が行われるため、残量検出手段により、車載バッテリの残量に加えてエンジンの作動状況(発電状況)を検出し、発電が行われている場合は受付手段でプログラムを受付けることも可能である。
【0046】
第13発明においては、受付手段で受付けたプログラムを実行して動作を確認する動作確認手段による動作の確認が完了した場合、更新手段により、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する。例えば、車載ゲートウェイ装置に接続された2つの通信ネットワーク(CL−LAN及びOP−LAN)に夫々接続された所定機器間の所定データのデータ転送が行えるか否かを確認する。動作確認手段は、例えば動作確認用データを含む動作確認プログラムに従って動作確認を行う。動作確認プログラムは、例えば車載ゲートウェイ装置内の記憶装置に予め記憶しておいたり、ダウンロードするプログラムに予め付加しておくことが可能である。
【0047】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
(第1の実施の形態)
図1に、本発明に係る車載ゲートウェイ装置(以下、ゲートウェイという)10を備えた車載LAN(Local Area Network)を含む通信システムの構成例を示す。また、図2にゲートウェイ10の構成例を示す。
【0048】
車載LANは、ゲートウェイ10に接続されたCL−LANとOP−LANとを含む。CL−LANは、接続できる機器を自動車メーカが制限しており、自動車メーカ以外による機器の接続及び取外しを禁止している通信ネットワークである。OP−LANは、自動車のユーザが自由に機器を接続及び取外すことができる通信ネットワークである。本説明では、CL−LANには、ディスプレイ23,スピーカ24,ナビゲーションシステム25,及び操作装置26が接続されており、OP−LANには、外部通信装置20,車載PC(Personal Computer)21及びDVD(Digital Video Disk)プレーヤ22が接続されている。
【0049】
各機器20〜26は、例えばIEEE(Institute of Electrical and Electronic Engineers)1394に準拠した通信I/F(通信インタフェイス)を備え、デージーチェーン接続されている。また、IEEE1394においては、RFC(Request For Comments)2734で規定されているIP over IEEE1394に基づいて、IPパケットを伝送することが可能である。外部通信装置20は、DSRC(Dedicated Short Range Communication)又は携帯電話などの無線通信が可能であり、インターネット等の車外の通信ネットワーク40にISP(Internet Service Provider)サーバ42を経由して接続可能である。
【0050】
OP−LAN及びCL−LANに接続された各機器及びゲートウェイ10は、IEEE1394パケット(以下、1394パケット)と、IP over IEEE1394パケット(以下、IP−1394パケット)との一方又は両方の伝送が可能である。例えば、ゲートウェイ10のデータ転送処理により、DVDプレーヤ22からディスプレイ23に1394パケットを伝送したり、外部通信装置20からナビゲーションシステム25へIP―1394パケット(IPパケット)を伝送すること等が可能である。車外(インターネット)では主にIPパケットによるデータ伝送が行われており、ゲートウェイ10でIPパケット(IP−1394パケット)と1394パケットとの変換を行うことも可能である。
【0051】
ゲートウェイ10は、図2に示すように、CL−LAN,OP−LANが夫々接続される第1通信I/F16,第2通信I/F(第1受付手段)17と、第1通信I/F16及び第2通信I/F17に接続され、CL−LAN及びOP−LAN間のデータ伝送を制御するMPU11とを備え、ゲートウェイ10で行う各種処理をMPU11で実行する。MPU11には、データ伝送処理を含む各種処理の実行時に使用するデータ又はプログラムなどが記憶されるRAM(Random Access Memory)12、フラッシュメモリ13及びROM(Read Only Memory)14が接続されている。
【0052】
ROM14には、例えば、ゲートウェイ10で行う各種処理を実行するためのメインプログラム、およびゲートウェイ10の機器番号などの機器識別情報が記憶されている。フラッシュメモリ(プログラム記憶部)13には、例えば、ゲートウェイ10で行う各種処理を実行するための処理プログラムが記憶されている。MPU11は、ROM14に記憶されているメインプログラムを実行すると共に、フラッシュメモリ13から必要な処理プログラムを読出して実行する。フラッシュメモリ13に記憶されている処理プログラムは、MPU(更新手段)11により、更新することが可能である。更新処理は、例えば操作装置26の更新要求キーを操作することで実行される。操作装置26は、インストルメントパネルに設けたり、ディスプレイ23と一体的に構成することが可能である。
【0053】
各種処理の実行に必要なデータは、MPU11により、RAM12、フラッシュメモリ13、及びROM14から読出される。また、処理結果は、MPU11により、RAM12又はフラッシュメモリ13に記憶される。例えば、各機器20〜26の1394アドレス及び/又はIPアドレスなどのアドレステーブルがRAM12に記憶され、データの転送をブロックする送信元及び/又は送信先などのフィルタリングポリシがフラッシュメモリ13に記憶される。MPU11は、前記アドレステーブル及びフィルタリングポリシを参照して、データ伝送処理を行う。なお、RAM12を使用せずにフラッシュメモリ13のみを使用することも可能である。
【0054】
通信ネットワーク40には、処理プログラムを送信するDL(DownLoad)サーバ30が接続されている。図3に、DLサーバ30の構成例を示す。DLサーバ30は、通信ネットワーク40に接続され、通信ネットワーク40とのデータ通信制御を行う通信I/F34と、通信I/F34と接続されたMPU31と、MPU31に接続されたRAM32及びハードディスク33とを備える。ハードディスク33には、ゲートウェイ10がダウンロードを行う処理プログラムが記憶されている。また、ハードディスク33には、処理プログラムのダウンロードを行うゲートウェイの認証に使用するユーザ情報が記憶されている。
【0055】
次に、本発明に係るゲートウェイ10の処理プログラムの更新について説明する。図4にゲートウェイ10の処理プログラムの更新処理手順の例を示す。また、図5にデータ(プログラム)の送受信を概念的に示す。図5においては、実線の四角で囲まれた部分の処理を主に行っている。
【0056】
ユーザが操作装置26を操作して処理プログラムのダウンロードを指示した場合、操作装置26からゲートウェイ10に、処理プログラムのダウンロード指示が送信される。ゲートウェイ10の第1通信I/F16で受付けたダウンロード指示は、MPU11に送られる。MPU11は、ダウンロード指示に応じて、例えば処理プログラムに含まれるDLサーバ30のアドレスを取得し、取得したアドレス(DLサーバ30)宛のダウンロード要求を、第2通信I/F17から外部通信装置20に送信する。外部通信装置20は、受付けたダウンロード要求の送信先が車外の通信ネットワーク40であるため、ISPサーバ42との接続を確立し、ISPサーバ42にダウンロード要求を送信する(S12)。
【0057】
ISPサーバ42は、外部通信装置20から受付けたダウンロード要求を、DLサーバ30に送信する。DLサーバ30は、通信I/F34でダウンロード要求を受付けて(S14)、MPU31に送る。MPU31は、受付けたダウンロード要求の送信元の認証を行う(S16)。例えば、DLサーバ30のハードディスク33に記憶されているユーザ情報にゲートウェイ10の機器番号が登録されている場合、ゲートウェイ10のMPU11により、ROM14に記憶されている機器番号(機器識別情報)をダウンロード要求に付加して送信し、DLサーバ30のMPU(第2認証手段)31により、通信I/F(第2受付手段)34で受付けたダウンロード要求に付加されている機器番号をユーザ情報に基づいて認証することが可能である。認証が完了しない場合(S18:NO)、MPU31は、ダウンロード要求を拒否する。
【0058】
認証が完了した場合(S18:YES)、MPU31により、ハードディスク33から処理プログラムを読出して、通信I/F34からゲートウェイ10宛に送信する(S20)。DLサーバ30から送信された処理プログラムは、ISPサーバ42を経由して、外部通信装置20に送信される。外部通信装置20は、受付けた処理プログラムの送信元の認証を行う(S22)。例えば、処理プログラムの送信元アドレスと予め登録されているDLサーバ30のアドレスとを比較して認証を行うことが可能である。認証が完了しない場合(S24:NO)、外部通信装置20は、処理プログラムの受付を拒否する。
【0059】
認証が完了した場合(S24:YES)、外部通信装置20は処理プログラムを受付けて(S26)、ゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けた処理プログラムはRAM12に記憶され、MPU11によりデータ認証が行われる(S28)。例えば、DLサーバ30のMPU(付加手段)31により、MD5又はSHA−1などのハッシュアルゴリズムに基づいて処理プログラムのハッシュ値を演算し、演算したハッシュ値を処理プログラムに付加して送信する。ゲートウェイ10のMPU(改変検出手段)11により、受付けた処理プログラムのハッシュ値をDLサーバ30側と同様のハッシュアルゴリズムで演算し、演算したハッシュ値と前記受付けた処理プログラムに付加されているハッシュ値とを比較してデータ認証を行うことが可能である。
【0060】
データ認証が完了しない場合(S30:NO)、ダウンロードしたプログラムの欠落,伝送エラー又は改ざんがあると判定でき、MPU11は、ダウンロード要求を再度送信する(S12)。データ認証が完了した場合(S30:YES)、MPU11は、フラッシュメモリ13に記憶されている処理プログラムを、DLサーバ30から受取った処理プログラムに更新する(S34)。更新処理は、ROM14に記憶されているメインプログラムにより実行される。更新後は、ダウンロードしたプログラム(フラッシュメモリ13に記憶)をMPU11で実行して各種処理を行う。
【0061】
上述した実施の形態では、ダウンロード要求の認証をDLサーバ30で行い(S16)、処理プログラムの認証を外部通信装置20で行った(S22)が、図5の破線部分に示すように、ダウンロード要求の認証を外部通信装置20及び/又はISPサーバ42で行ったり、処理プログラムの認証をISPサーバ42及び/又はゲートウェイ10のMPU11(第1認証手段)で行うことも可能である。また、送信元及び/又は送信先の認証は、任意の認証方法を用いることが可能である。また、DLサーバ30のMPU(暗号化手段)31でプログラムを暗号化し、車載ゲートウェイ装置10のMPU(復号手段)11で前記プログラムを復号することにより、盗聴を防止することも可能である。
【0062】
(第2の実施の形態)
DLサーバ30のハードディスク33に記憶されている処理プログラムがバージョンアップされた場合などに、DLサーバ30から登録ユーザのゲートウェイ10にダウンロード指示を送信することも可能である。ダウンロード指示をゲートウェイ10に送信するDLサーバ30の構成例を図6に示す。DLサーバ30の構成は第1の実施の形態(図3)と同様であり、MPU31,RAM32,ハードディスク33,及び通信I/F34を備える。ハードディスク33には、各ユーザのゲートウェイ10のアドレスを含むユーザ情報が記憶されている。また、ハードディスク33には、DLサーバ30を識別するためのサーバ識別情報が記憶されている。
【0063】
図7に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。また、図8にデータ(プログラム)の送受信を概念的に示す。ハードディスク33に記憶されている処理プログラムがバージョンアップなどで変更された場合、MPU31により、ユーザ情報内の各ユーザのゲートウェイ10のアドレスを取得し、通信I/F34から前記取得したアドレス宛にダウンロード指示を送信する(S40)。DLサーバ30から送信されたダウンロード指示は、ISPサーバ42を経由して外部通信装置20に送信される。外部通信装置20は、ダウンロード指示を受付け(S42)、受付けたダウンロード指示の送信元の認証を行う(S44)。例えば、送信元アドレスに基づいてDLサーバ30を認証したり、DLサーバ30から外部通信装置20にサーバ識別情報を送信して、DLサーバ30の認証を行うことが可能である。
【0064】
認証が完了しない場合(S46:NO)、外部通信装置20は、ダウンロード指示を拒否する。認証が完了した場合(S46:YES)、外部通信装置20は、受付けたダウンロード指示をゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けたダウンロード指示は、MPU11に送られる。MPU11は、ダウンロード指示に従って、DLサーバ30宛のダウンロード要求を、第2通信I/F17から外部通信装置20に送信する。外部通信装置20は、ダウンロード要求を、ISPサーバ42を経由して、DLサーバ30に送信する(S48)。
【0065】
DLサーバ30は、通信I/F34でダウンロード要求を受付け(S50)、MPU31に送る。MPU31は、受付けたダウンロード要求の送信元の認証を行う(S52)。例えばゲートウェイ10の機器番号に基づいて認証を行う。認証が完了しない場合(S54:NO)、MPU31は、処理プログラムの送信を拒否する。認証が完了した場合(S54:YES)、MPU31により、ハードディスク33から処理プログラムを読出して、通信I/F34からゲートウェイ10宛に送信する(S56)。DLサーバ30から送信された処理プログラムは、ISPサーバ42を経由して、外部通信装置20に送信される。外部通信装置20は、処理プログラムを受付けて(S58)、ゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けた処理プログラムはRAM12に記憶され、MPU11によりデータ認証が行われる(S60)。例えばハッシュ値を用いてデータ認証を行うことが可能である。
【0066】
データ認証が完了しない場合(S62:NO)、MPU11は、ダウンロード要求を再度送信する(S48)。データ認証が完了した場合(S62:YES)、MPU11は、フラッシュメモリ13に記憶されている処理プログラムを、DLサーバ30から受取った処理プログラムに更新する(S64)。
【0067】
上述した実施の形態では、ダウンロード指示の認証を外部通信装置20で行った(S44)が、図8の破線部分に示すように、ダウンロード指示の認証をISPサーバ42及び/又はゲートウェイ10のMPU11で行うことが可能である。また、処理プログラムの認証を外部通信装置20で行うことも可能である。また、送信元及び/又は送信先の認証は、任意の認証方法を用いることができる。また、暗号化することにより、盗聴を防止することも可能である。
【0068】
また、例えば所定期間毎にゲートウェイ10からDLサーバ30に更新確認要求を送信して、処理プログラムの更新の有無を確認し、処理プログラムの更新がある場合にダウンロード要求を送信してダウンロードを行うことも可能である。
【0069】
(第3の実施の形態)
ゲートウェイ10からダウンロード要求と共に車両に関する車両情報を送信し、車両に応じた処理プログラムをDLサーバ30からダウンロードすることも可能である。ダウンロード要求と共に車両情報を送信するゲートウェイ10の構成例を図9に示す。ゲートウェイ10の構成は第1の実施の形態(図2)と同様であり、MPU11,RAM12,フラッシュメモリ13,ROM14,第1通信I/F16,及び第2通信I/F17(送信手段)を備える。フラッシュメモリ13には、例えば車両の種類、グレード、又は仕向地などの情報を含んだ車両情報が記憶されている。また、DLサーバの30の構成も第1の実施の形態(図3)と同様であり、MPU31,RAM32,ハードディスク33,及び通信I/F(第2受付手段)34を備える。ハードディスク33には、車両情報の種類に応じた複数の処理プログラムが記憶されている。所領情報は、MPU11により、例えば機器の追加又は取外しに応じて更新される。
【0070】
ゲートウェイ10の処理プログラムの更新処理手順は、第1又は第2の実施の形態と同様である。ただし、ゲートウェイ10からDLサーバ30宛に送信されるダウンロード要求(図4のS12又は図7のS48)には、MPU11により、フラッシュメモリ13から取得した車両情報が付加される。また、DLサーバ30からゲートウェイ10宛に送信される処理プログラム(図4のS20又は図7のS56)は、MPU32により、車両情報に基づいてハードディスク33から取得した処理プログラムである。例えば、車両情報の仕向地が、運転中の動画表示が規制されている地域である場合、DLサーバ30のMPU31は、動画データに関する処理に制限が加えられた処理プログラムを送信する。また、例えば、車両に動画データを扱える機器が搭載されていない場合は、動画データを破棄する処理プログラムを送信する。
【0071】
また、車両情報と同様にして、ゲートウェイ10の動作設定に関する設定情報をDLサーバ30に送信し、設定情報に応じた処理プログラムをダウンロードすることも可能である。例えば、フィルタリングポリシが、セキュリティ強度を高めた設定になっている場合、DLサーバ30のMPU32は、セキュリティ機能が強化されたプログラムを送信する。また、ゲートウェイ10の全機能のうち、動作設定で使用するように設定された機能に対応する処理プログラムのみをダウンロードすることも可能である。
【0072】
(第4の実施の形態)
処理プログラムのダウンロードは、車両が停止している場合に行うことが可能である。停車中に処理プログラムのダウンロードを行うゲートウェイ10を備えた車載LANの例を図10(a)、(b)に示す。図10(a)に示す車載LANにおいては、車速検出器などの車両が停止していることを検出する検出手段29がゲートウェイ10に接続されている。また、図10(b)に示す車載LANにおいては、検出手段29がCL−LANに接続されている。検出手段29からゲートウェイ10に、車両が停止したことを示す車両停止信号、又は、車速に関する車速信号が送信される。
【0073】
図11に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。ゲートウェイ10の処理プログラムの更新処理手順は、第1の実施の形態(又は第2の実施の形態)とほぼ同様である。ただし、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(S26(又は図7のS58))は、車両が停止している場合のみ行う(S25:YES)。例えば、ゲートウェイ10のMPU11が、検出手段29から車両停止信号を受付けるなどして車両が停止していると判定した場合は、処理プログラムを受付ける(ダウンロードを開始する)。車両の停止は、サイドブレーキの状態などから取得することも可能である。処理プログラムの更新時はゲートウェイ10の動作が一時的に停止するが、車両が移動していないため、前記一時的な停止が運転に及ぼす影響は少ない。
【0074】
また、検出手段29として、車両内の人体を検出する人体検出センサを用い、人体が検出されている場合は、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、車両内で人体が検出された場合のみ行う(図11のS25:YESに対応)。例えば、ゲートウェイ10のMPU11により、検出手段29から人体検出信号を受付けるなどして車両内にユーザがいると判定した場合、処理プログラムを受付ける(ダウンロードを開始する)。また、ドアがロックされていることを検出したり、イグニッションのオン又は電源のオンを検出することにより、車両内にユーザがいるか否かを判定することも可能である。車両内にユーザがいるため、処理プログラムのダウンロード又は更新に不具合が発生した場合は、ユーザにより迅速に対応することが可能である。
【0075】
また、MPU(伝送量検出手段)11で単位時間あたりのデータ伝送量を検出し、検出したデータ伝送量が所定値以下の場合に、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、単位時間あたりのデータ伝送量が所定値以下の場合のみ行う(図11のS25:YESに対応)。また、MPU11により、車載LANの各機器20〜26が動作していないことを確認した後、処理プログラムをダウンロードすることも可能である。同様に、車両内の人体が検出されない場合に、処理プログラムをダウンロードすることも可能である。データ伝送量が少なく、帯域に余裕がある場合にダウンロードを行うことにより、ダウンロードによる帯域不足を防止することが可能である。
【0076】
また、検出手段29として、車載LANの各機器20〜26に電力を供給するバッテリの残量を検出する残量検出センサを用い、バッテリの残量が所定値以上の場合に、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、バッテリ残量が所定値以上の場合のみ行う(図11のS25:YESに対応)。例えば、ゲートウェイ10のMPU11により、検出手段29から受付けたバッテリ残量が所定値以上あることを検出した場合、処理プログラムを受付ける(ダウンロードを開始する)。また、MPU11により、エンジンが作動してオルタネータによる発電が行われていることを検出した場合、処理プログラムをダウンロードすることも可能である。バッテリの残量が十分ある場合に処理プログラムのダウンロード及び更新を行うことにより、ダウンロード中又は更新中のバッテリ切れを防止することが可能である。
【0077】
(第5の実施の形態)
フラッシュメモリ13に記憶されている処理プログラムの更新は、テストを行った後に更新することが可能である。図12に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。ゲートウェイ10の処理プログラムの更新処理手順は、第1の実施の形態(又は第2の実施の形態)とほぼ同様である。ただし、フラッシュメモリ13に記憶されている処理プログラムの更新(S34(又は図7のS64))は、ダウンロードしてRAM12に記憶された処理プログラムのテスト後(S31、S32:YES)に行う。例えば、ゲートウェイ10のMPU(動作確認手段)11により、ダウンロードした処理プログラムを実行して、CL−LAN内の所定機器とOP−LAN内の所定機器間の所定データの転送テストを行う。テストに使用するデータなどのテスト情報は、処理プログラムに付加したり、予めフラッシュメモリ13に記憶しておくことが可能である。ダウンロードしたプログラムのテストを行うことにより、更新後の不具合の発生を未然に防ぐことが可能である。
【0078】
上述した第1〜第5の実施の形態において、DLサーバ30から処理プログラムを送信する場合、MPU31により、送信先のユーザの識別情報などのプログラム送信に関する送信管理情報をハードディスク33に記憶しておき、例えば課金管理を行うことも可能である。また、送信先及び/又は送信元の認証は、任意の認証方法を用いることが可能であり、例えば課金が発生するダウンロードに関しては、機器の内蔵ROMに記憶された機器番号を用いて認証を行い、無料のダウンロードに関しては送信先アドレスを確認して認証を行うことが可能である。また、暗号を利用して認証を行ったり、プログラムを公開したくない場合又は著作権を保護するために暗号を用いることも可能である。
【0079】
【発明の効果】
第1又は第8発明によれば、新しいプログラムを受付手段(第1受付手段)で受付け、更新手段により、プログラム記憶部に記憶されている古いプログラムを、受付手段で受付けた新しいプログラムに更新することにより、新規機能を追加して性能を向上させることが可能である。例えば新規なプロトコルに対応したり、新規なセキュリティ技術を使用することが可能である。
【0080】
第2発明によれば、車載ゲートウェイ装置の第1認証手段でプログラムを送信するサーバを認証し、認証が完了した場合にプログラムを受付けることにより、正規のサーバ以外からの不正なプログラムのダウンロードなどを防止することが可能になる。不正なプログラムの使用を防止して、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【0081】
第3発明によれば、サーバの第2認証手段でプログラムの送信先を認証し、認証が完了した送信先にプログラムを送信することにより、特定の車載ゲートウェイ装置以外へのプログラムの送信を防止することが可能になる。プログラムの不正使用を防止することが可能である。
【0082】
第4発明によれば、サーバから送信されるプログラムに付加手段で改変検出情報を付加し、車載ゲートウェイ装置が受付けたプログラムの改変を改変検出手段で検出することにより、送信エラー又は改ざんのない正しいプログラムを使用することが可能である。送信エラーが発生した又は改ざんされたプログラムの使用を防止して、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【0083】
第5発明によれば、サーバから送信されるプログラムを暗号化手段で暗号化し、車載ゲートウェイ装置が受付けたプログラムを復号手段で復号することにより、プログラムの盗聴を防止することが可能である。プログラムの不正使用を防止することが可能である。
【0084】
第6発明によれば、ゲートウェイ装置の送信手段から車両情報を送信し、サーバから車両情報に対応するプログラムを送信することにより、車両に応じたプログラムをダウンロードすることが可能になる。
【0085】
第7発明によれば、ゲートウェイ装置の送信手段から設定情報を送信し、サーバから設定情報に対応するプログラムを送信することにより、車載ゲートウェイ装置の動作設定に応じたプログラムをダウンロードすることが可能になる。
【0086】
第9発明によれば、停止検出手段で車両の停止を検出した場合に、プログラムを受付けて更新を行うことにより、プログラム更新時に車載ゲートウェイ装置の動作が不安定になった場合でも、車両が停止しているために運転への影響は少なく、安全性が高まる。
【0087】
第10発明によれば、人体検出手段で車両内の人体を検出した場合に、新しいプログラムを受付けて更新を行うことにより、プログラムのダウンロード又は更新の不具合にユーザが迅速に対応できるため、プログラム更新時の車載ゲートウェイ装置の動作の不具合が運転に与える影響を低減することが可能である。
【0088】
第11発明によれば、伝送量検出手段で検出したデータ伝送量が所定値以下の場合に、プログラムを受付けて更新を行うことにより、帯域が不足している場合のプログラムのダウンロードを中止し、他の機器のデータ伝送速度の低下を防止することが可能である。
【0089】
第12発明によれば、残量検出手段で検出したバッテリ残量が所定値以上の場合に、プログラムを受付けて更新を行うことにより、プログラムの更新途中のバッテリ切れなどを防止して、車載ゲートウェイ装置のプログラム更新途中の異常終了を防止することが可能である。
【0090】
第13発明によれば、動作確認手段による動作確認が完了した場合に、更新手段によるプログラム更新を行うことにより、動作に問題が無いことが確認されたプログラムを使用することになり、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【図面の簡単な説明】
【図1】本発明に係るゲートウェイ(車載ゲートウェイ装置)を備えた車載LANを含む通信システムの構成例を示すブロック図である。
【図2】本発明に係るゲートウェイの構成例を示すブロック図である。
【図3】本発明に係るDLサーバ(プログラムを送信するサーバ)の構成例を示すブロック図である。
【図4】処理プログラムの更新処理手順の例を示すフローチャートである。
【図5】データ(プログラム)の送受信を概念的に示す図である。
【図6】DLサーバの他の構成例を示すブロック図である。
【図7】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【図8】データ(プログラム)の送受信を概念的に示す図である。
【図9】ゲートウェイの他の構成例を示すブロック図である。
【図10】車載LANの他の例を示すブロック図である。
【図11】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【図12】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【符号の説明】
10 ゲートウェイ(車載ゲートウェイ装置)
11 MPU(更新手段、改変検出手段、復号手段、伝送量検出手段、動作確認手段)
12 RAM
13 フラッシュメモリ(プログラム記憶部)
14 ROM
16 第1通信I/F
17 第2通信I/F(第1受付手段(受付手段)、送信手段)
20 外部通信装置
29 検出手段(停止検出手段、人体検出手段、残量検出手段)
30 DLサーバ(プログラムを送信するサーバ)
31 MPU(付加手段、暗号化手段)
32 RAM
33 ハードディスク
34 通信I/F(第2受付手段)
【発明の属する技術分野】
本発明は、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置と、該車載ゲートウェイ装置及び前記伝送データの処理を実行するためのプログラムを送信するサーバを備える通信システムに関する。
【0002】
【従来の技術】
複数の通信ネットワークを相互に接続する場合、ゲートウェイ装置が使用される。自動車内に構築された車載通信システム(車載LAN)においては、例えば、ユーザが自由に機器を接続及び取外しできる通信ネットワーク(以下、OP−LAN)と、自動車メーカ以外は機器を接続及び取外しできない通信ネットワーク(以下、CL−LAN)とが車載ゲートウェイ装置を用いて接続される。車載ゲートウェイ装置により、OP−LANに接続された機器とCL−LANに接続された機器との間のデータ転送制御が行われる(例えば、特許文献1参照)。
【0003】
ユーザが、インターネットに接続可能な外部通信装置をOP−LANに接続した場合、OP−LANは外部通信装置によって直接的にインターネットに接続された状態となり、CL−LANはゲートウェイ装置を介して間接的にインターネットに接続された状態となる。インターネットに接続することにより、例えば、インターネット上で各種サービスを提供するサーバに車両(外部通信装置)からアクセスし、商品購入又は予約などの各種サービスを利用することが可能になる。
【0004】
また、車載LANとして、IEEE1394に準拠した通信ネットワークを構築した場合、IEEE1394に準拠した各種機器を車載LANに追加接続することが可能である。例えば、IEEE1394に準拠したDVDプレーヤなどの電気機器を車載LANに接続して、映画などを車内で観賞することが可能になる。
【0005】
インターネットなどの外部通信ネットワーク、または、電気機器などの外部機器に対するデータ伝送は、通常、車載ゲートウェイ装置によるフィルタリング処理が行われる。例えばOP−LAN内の外部通信装置(インターネット)からCL−LAN内の各機器へのデータ転送をブロックしたり、CL−LAN内の所定機器から外部通信機器(インターネット)へのデータ転送をブロックする。
【0006】
【特許文献1】
特開2002−16614号公報
【0007】
【発明が解決しようとする課題】
車載LANとインターネットなどの外部通信ネットワークとの間のデータ送受信、または、車載LANと電気機器などの外部機器との間のデータ送受信は、今後さらに増加する可能性が高い。また、インターネット上で提供される新規サービス、または、追加接続が可能な新規電気機器も増加する可能性が高い。これらサービス又は電気機器のライフサイクルは比較的短い傾向にあり、特にインターネット上で提供されるサービスは進歩が速い。
【0008】
車載ゲートウェイ装置は、これら新規サービス又は新規電気機器に対するデータ伝送制御も行う必要がある。しかし、車両のライフサイクルは、上述したサービス又は電気機器のライフサイクルよりも比較的長い傾向にあるため、製造時には存在していないサービス又は電気機器に対するデータ伝送制御を行う必要が生じる場合がある。この場合、車載ゲートウェイ装置が新規サービス又は新規電気機器に対応できず、新規サービス又は新規電気機器を利用できない可能性が高い。
【0009】
また、データ通信に関しては、新規プロトコル(通信規約)又は新規セキュリティ技術などの開発が進められており、上述した新規サービス又は新規電気機器と同様に、新規プロトコル又は新規セキュリティ技術に車載ゲートウェイ装置が対応できず、新規プロトコル又は新規セキュリティ技術を用いたデータ伝送を行えない場合がある。
【0010】
本発明は斯かる事情に鑑みてなされたものであり、伝送データの処理を実行するためのプログラムを更新し、新規機能を追加して性能を向上させることが可能な通信システム及び車載ゲートウェイ装置を提供することを目的とする。
【0011】
また、本発明は、特定のサーバ以外からの不正なプログラムのダウンロードを防止し、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能な通信システムを提供することを他の目的とする。
【0012】
また、本発明は、特定の車載ゲートウェイ装置以外へのプログラムの送信を防止し、プログラムの不正使用を防止することが可能な通信システムを提供することを他の目的とする。
【0013】
また、本発明は、サーバから車載ゲートウェイ装置に送信されるプログラムの送信エラー又は改ざんなどを検出し、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能な通信システムを提供することを他の目的とする。
【0014】
また、本発明は、サーバから車載ゲートウェイ装置に送信するプログラムの盗聴を防止し、プログラムの不正使用を防止することが可能な通信システムを提供することを他の目的とする。
【0015】
また、本発明は、車載ゲートウェイ装置が搭載された車両に応じたプログラムをサーバから送信することが可能な通信システムを提供することを他の目的とする。
【0016】
また、本発明は、車載ゲートウェイ装置の動作設定に応じたプログラムをサーバから送信することが可能な通信システムを提供することを他の目的とする。
【0017】
また、本発明は、プログラムの更新処理が運転に与える影響を最小限に抑え、安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0018】
また、本発明は、プログラムの更新処理による不具合への対応を容易にし、安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0019】
また、本発明は、プログラムの更新処理による他の機器のデータ伝送速度の低下を防止することが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0020】
また、本発明は、プログラム更新途中のバッテリ切れによる異常終了を防止することが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0021】
また、本発明は、プログラム更新後の不具合の発生を低減し、車載ゲートウェイ装置の安定性及び車両の安全性を高めることが可能な車載ゲートウェイ装置を提供することを他の目的とする。
【0022】
【課題を解決するための手段】
第1発明に係る通信システムは、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置と、車外機器と通信を行う外部通信装置とを備えた通信システムにおいて、前記伝送データの処理を実行するためのプログラムを送信するサーバを備え、前記車載ゲートウェイ装置は、前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、前記サーバから送信されたプログラムを受付ける第1受付手段と、プログラム記憶部に記憶されているプログラムを、第1受付手段で受付けたプログラムに更新する更新手段とを備えることを特徴とする。
【0023】
第2発明に係る通信システムは、第1発明において、前記第1受付手段は、前記サーバから認証用情報を受付けるように構成されており、前記車載ゲートウェイ装置は、第1受付手段で受付けた認証用情報に基づいて、前記サーバを認証する第1認証手段を備え、第1認証手段による認証が完了した場合、第1受付手段により、前記サーバからプログラムを受付けるべくなしてあることを特徴とする。
【0024】
第3発明に係る通信システムは、第1又は第2発明において、前記サーバは、プログラムの送信先から認証用情報を受付ける第2受付手段と、第2受付手段で受付けた認証用情報に基づいて、プログラムの送信先を認証する第2認証手段とを備え、第2認証手段による認証が完了した送信先にプログラムを送信すべくなしてあることを特徴とする。
【0025】
第4発明に係る通信システムは、第1〜第3発明の何れかにおいて、前記サーバは、送信するプログラムに改変検出情報を付加する付加手段を備え、前記車載ゲートウェイ装置は、前記付加手段によってプログラムに付加された改変検出情報に基づいて、前記プログラムの改変を検出する改変検出手段を備えることを特徴とする。
【0026】
第5発明に係る通信システムは、第1〜第3発明の何れかにおいて、前記サーバは、送信するプログラムを暗号化する暗号化手段を備え、前記車載ゲートウェイ装置は、前記暗号化手段で暗号化されたプログラムを復号する復号手段を備えることを特徴とする。
【0027】
第6発明に係る通信システムは、第1〜第5発明の何れかにおいて、前記車載ゲートウェイ装置は、車両に関する車両情報を送信する送信手段を備え、前記第2受付手段は、車載ゲートウェイ装置から送信された車両情報を受付けるべくなしてあり、前記サーバは、第2受付手段で受付けた車両情報に対応するプログラムを送信すべくなしてあることを特徴とする。
【0028】
第7発明に係る通信システムは、第1〜第5発明の何れかにおいて、前記車載ゲートウェイ装置は、前記伝送データの処理に関する設定情報を送信する送信手段を備え、前記第2受付手段は、車載ゲートウェイ装置から送信された設定情報を受付けるべくなしてあり、前記サーバは、第2受付手段で受付けた設定情報に対応するプログラムを送信すべくなしてあることを特徴とする。
【0029】
第8発明に係る車載ゲートウェイ装置は、車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置において、前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、前記伝送データの処理を実行するためのプログラムを受付ける受付手段と、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する更新手段とを備えることを特徴とする。
【0030】
第9発明に係る車載ゲートウェイ装置は、第8発明において、車両が停止していることを検出する停止検出手段を備え、前記受付手段は、停止検出手段によって車両の停止が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0031】
第10発明に係る車載ゲートウェイ装置は、第8発明において、車両内の人体を検出する人体検出手段を備え、前記受付手段は、人体検出手段によって車両内の人体が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0032】
第11発明に係る車載ゲートウェイ装置は、第8発明において、前記複数の通信ネットワーク間の単位時間あたりのデータ伝送量を検出する伝送量検出手段を備え、前記受付手段は、伝送量検出手段によって検出されたデータ伝送量が所定値以下の場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0033】
第12発明に係る車載ゲートウェイ装置は、第8発明において、車両に搭載されたバッテリの残量を検出する残量検出手段を備え、前記受付手段は、残量検出手段によって検出された残量が所定値以上の場合に、プログラムを受付けるべくなしてあることを特徴とする。
【0034】
第13発明に係る車載ゲートウェイ装置は、第8〜第12発明の何れかにおいて、前記受付手段で受付けたプログラムを実行して動作を確認する動作確認手段を備え、前記更新手段は、動作確認手段による動作の確認が完了した場合、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新すべくなしてあることを特徴とする。
【0035】
第1又は第8発明においては、車載ゲートウェイ装置は、送信データの処理を実行するためのプログラムを書換が可能なプログラム記憶部に記憶しており、サーバから送信されたプログラムを受付手段(第1受付手段)で受付け、更新手段により、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する。サーバは、例えば車両の製造業者又は販売業者が運営するサーバであり、新規プロトコル又は新規サービスに対応したプログラムなどを送信する。車載ゲートウェイ装置は、例えば外部通信装置を経由してサーバからプログラムをダウンロードすることにより、新規プロトコル又は新規サービスに対応することが可能になる。新規機能を追加して性能を向上させることが可能である。
【0036】
第2発明においては、車載ゲートウェイ装置は、プログラムを送信するサーバから第1受付手段で受付けた認証用情報に基づいて、前記サーバを認証し、認証が完了した場合にプログラムを受付ける。例えば送信元アドレスに基づいて認証を行ったり、パスワードなどの認証情報を受取って認証を行うことが可能である。アドレスは改ざんの可能性が存在するため、パスワードを用いることが好ましい、特にワンタイムパスワードを用いてアクセス毎にパスワードを変更することが好ましい。また、暗号を利用した電子認証を行うことも可能である。
【0037】
第3発明においては、サーバは、プログラムの送信先から第2受付手段で受付けた認証用情報に基づいて、第2認証手段で前記送信先を認証し、認証が完了した送信先にプログラムを送信する。例えば送信先のアドレスに基づいて認証を行ったり、送信先からパスワードなどの認証情報を受取って認証を行うことが可能である。車載ゲートウェイ装置のROMに機器番号などの機器識別情報が記憶されている場合は、送信先から機器番号を受取って認証を行うことが可能である。アドレスは改ざんの可能性が存在し、パスワードは入力の手間が生じるため、車載ゲートウェイ装置固有の機器番号を認証に用いることが好ましい。
【0038】
第4発明においては、サーバから送信されるプログラムには、付加手段によって改変検出情報が付加されている。車載ゲートウェイ装置は、受付けたプログラムの改変を、改変検出手段により、前記受付けたプログラムに付加されている改変検出情報に基づいて検出する。改変検出情報は、例えばMD5又はSHA−1などのハッシュアルゴリズムで作成することが可能である。車載ゲートウェイが受付けたプログラムから作成したハッシュ値が、前記プログラムに付加されているハッシュ値(改変検出情報)と異なることによりプログラムの改変を検出することが可能である。改変検出情報は、秘密鍵暗号方式又は公開鍵暗号方式などで暗号化することも可能である。
【0039】
第5発明においては、サーバから送信されるプログラムは、暗号化手段によって暗号化されている。車載ゲートウェイ装置は、前記暗号化手段で暗号化されたプログラムを受付け、受付けたプログラムを復号手段で復号する。暗号化及び復号は、秘密鍵暗号方式又は公開鍵暗号方式などを用いることが可能である。秘密鍵又は公開鍵は、車載ゲートウェイ装置又はサーバのROMなどに記憶しておくことが可能である。
【0040】
第6発明においては、ゲートウェイ装置は、車両に関する車両情報を送信手段から送信する。サーバは、車両情報を第2受付手段で受付け、受付けた車両情報に対応するプログラムを前記ゲートウェイ装置に送信する。車両情報は、例えば車両の種類、グレード、または仕向地などの情報を含み、サーバには、例えば車両の種類、グレード、または仕向地に対応するプログラムが格納されている。例えば、全種類の車両に搭載されている機器に関するプログラムを共通プログラムとし、一部の種類に搭載されている機器に関するプログラムを個別プログラムとした場合、サーバは、共通プログラムと車両の種類に応じた個別プログラムとを送信する。車両情報に、車両に搭載されている機器を含ませることも可能である。
【0041】
第7発明においては、ゲートウェイ装置は、伝送データの処理に関する設定情報を送信手段から送信する。サーバは、設定情報を第2受付手段で受付け、受付けた設定情報に対応するプログラムを前記ゲートウェイ装置に送信する。車載ゲートウェイ装置においては、例えばフィルタリングポリシを高いセキュリティ強度に設定したり、低いセキュリティ強度に設定することが可能である。このような設定を含んだ設定情報をサーバに送信することにより、例えばセキュリティ強度が高い設定の場合は、セキュリティ機能が強化されたプログラムをサーバからダウンロードすることが可能になる。
【0042】
第9発明においては、受付手段は、車両が停止していることを検出する停止検出手段によって車両の停止が検出されている場合に、車載ゲートウェイ装置で実行される伝送データの処理を実行するためのプログラムを受付ける。プログラム記憶部に記憶されているプログラムを前記受付けたプログラムに更新する間、車載ゲートウェイ装置は一時的に伝送データの処理を実行できなくなるが、車両が停止しているため、車載ゲートウェイ装置の一時的な処理停止による運転への影響は、最小限に抑えられる。
【0043】
第10発明においては、受付手段は、車両内の人体を検出する人体検出手段によって車両内の人体が検出されている場合に、プログラムを受付ける。車両内にユーザがいるため、プログラムのダウンロード及び更新に不具合が生じた場合であっても、車両内のユーザが対応することが可能である。また、プログラムの更新後の各車載機器の動作に不具合が生じた場合であっても、車両内のユーザが対応することが可能である。車両内にユーザがいることの検出は、ドアのロックの有無に基づいて検出したり、イグニッション又は電源のオン/オフに基づいて検出することも可能である。
【0044】
第11発明においては、受付手段は、車載ゲートウェイ装置に接続された複数の通信ネットワーク間の単位時間あたりのデータ伝送量を検出する伝送量検出手段によって検出されたデータ伝送量が所定値以下の場合に、プログラムを受付ける。プログラムをダウンロード中の車載ゲートウェイ装置は、例えば車両に搭載されたナビゲーションシステム及びCDプレーヤが使用されている場合、動画データ及び音声データのデータ伝送制御をダウンロードと並行して行う。この場合、ダウンロードによって動画データ及び音声データの帯域が減少し、伝送遅れによる動画又は音声の一時停止が生じる可能性がある。前記所定値は、プログラムのダウンロードを行っても帯域に余裕があるデータ伝送量に設定される。また、車内に人がいない場合は、各車載機器が使用されていないことが多く、人体検出手段が車両内の人体を検出しなかった場合に、プログラムのダウンロードを行うことも可能である。同様に、各車載機器が動作を停止していることを確認した後、プログラムのダウンロードを行うことも可能である。
【0045】
第12発明においては、受付手段は、車載バッテリの残量を検出する残量検出手段によって検出された残量が所定値以上の場合に、プログラムを受付ける。プログラムのダウンロード途中又は更新途中で、車載バッテリから車載ゲートウェイ装置への電力供給が停止した場合、ダウンロードを最初からやり直す又はプログラムが使用不能になる可能性が高い。前記所定値は、プログラムのダウンロード及び更新が確実に行える車載バッテリの残量に設定される。また、エンジンが作動している場合はオルタネータによる発電が行われるため、残量検出手段により、車載バッテリの残量に加えてエンジンの作動状況(発電状況)を検出し、発電が行われている場合は受付手段でプログラムを受付けることも可能である。
【0046】
第13発明においては、受付手段で受付けたプログラムを実行して動作を確認する動作確認手段による動作の確認が完了した場合、更新手段により、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する。例えば、車載ゲートウェイ装置に接続された2つの通信ネットワーク(CL−LAN及びOP−LAN)に夫々接続された所定機器間の所定データのデータ転送が行えるか否かを確認する。動作確認手段は、例えば動作確認用データを含む動作確認プログラムに従って動作確認を行う。動作確認プログラムは、例えば車載ゲートウェイ装置内の記憶装置に予め記憶しておいたり、ダウンロードするプログラムに予め付加しておくことが可能である。
【0047】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
(第1の実施の形態)
図1に、本発明に係る車載ゲートウェイ装置(以下、ゲートウェイという)10を備えた車載LAN(Local Area Network)を含む通信システムの構成例を示す。また、図2にゲートウェイ10の構成例を示す。
【0048】
車載LANは、ゲートウェイ10に接続されたCL−LANとOP−LANとを含む。CL−LANは、接続できる機器を自動車メーカが制限しており、自動車メーカ以外による機器の接続及び取外しを禁止している通信ネットワークである。OP−LANは、自動車のユーザが自由に機器を接続及び取外すことができる通信ネットワークである。本説明では、CL−LANには、ディスプレイ23,スピーカ24,ナビゲーションシステム25,及び操作装置26が接続されており、OP−LANには、外部通信装置20,車載PC(Personal Computer)21及びDVD(Digital Video Disk)プレーヤ22が接続されている。
【0049】
各機器20〜26は、例えばIEEE(Institute of Electrical and Electronic Engineers)1394に準拠した通信I/F(通信インタフェイス)を備え、デージーチェーン接続されている。また、IEEE1394においては、RFC(Request For Comments)2734で規定されているIP over IEEE1394に基づいて、IPパケットを伝送することが可能である。外部通信装置20は、DSRC(Dedicated Short Range Communication)又は携帯電話などの無線通信が可能であり、インターネット等の車外の通信ネットワーク40にISP(Internet Service Provider)サーバ42を経由して接続可能である。
【0050】
OP−LAN及びCL−LANに接続された各機器及びゲートウェイ10は、IEEE1394パケット(以下、1394パケット)と、IP over IEEE1394パケット(以下、IP−1394パケット)との一方又は両方の伝送が可能である。例えば、ゲートウェイ10のデータ転送処理により、DVDプレーヤ22からディスプレイ23に1394パケットを伝送したり、外部通信装置20からナビゲーションシステム25へIP―1394パケット(IPパケット)を伝送すること等が可能である。車外(インターネット)では主にIPパケットによるデータ伝送が行われており、ゲートウェイ10でIPパケット(IP−1394パケット)と1394パケットとの変換を行うことも可能である。
【0051】
ゲートウェイ10は、図2に示すように、CL−LAN,OP−LANが夫々接続される第1通信I/F16,第2通信I/F(第1受付手段)17と、第1通信I/F16及び第2通信I/F17に接続され、CL−LAN及びOP−LAN間のデータ伝送を制御するMPU11とを備え、ゲートウェイ10で行う各種処理をMPU11で実行する。MPU11には、データ伝送処理を含む各種処理の実行時に使用するデータ又はプログラムなどが記憶されるRAM(Random Access Memory)12、フラッシュメモリ13及びROM(Read Only Memory)14が接続されている。
【0052】
ROM14には、例えば、ゲートウェイ10で行う各種処理を実行するためのメインプログラム、およびゲートウェイ10の機器番号などの機器識別情報が記憶されている。フラッシュメモリ(プログラム記憶部)13には、例えば、ゲートウェイ10で行う各種処理を実行するための処理プログラムが記憶されている。MPU11は、ROM14に記憶されているメインプログラムを実行すると共に、フラッシュメモリ13から必要な処理プログラムを読出して実行する。フラッシュメモリ13に記憶されている処理プログラムは、MPU(更新手段)11により、更新することが可能である。更新処理は、例えば操作装置26の更新要求キーを操作することで実行される。操作装置26は、インストルメントパネルに設けたり、ディスプレイ23と一体的に構成することが可能である。
【0053】
各種処理の実行に必要なデータは、MPU11により、RAM12、フラッシュメモリ13、及びROM14から読出される。また、処理結果は、MPU11により、RAM12又はフラッシュメモリ13に記憶される。例えば、各機器20〜26の1394アドレス及び/又はIPアドレスなどのアドレステーブルがRAM12に記憶され、データの転送をブロックする送信元及び/又は送信先などのフィルタリングポリシがフラッシュメモリ13に記憶される。MPU11は、前記アドレステーブル及びフィルタリングポリシを参照して、データ伝送処理を行う。なお、RAM12を使用せずにフラッシュメモリ13のみを使用することも可能である。
【0054】
通信ネットワーク40には、処理プログラムを送信するDL(DownLoad)サーバ30が接続されている。図3に、DLサーバ30の構成例を示す。DLサーバ30は、通信ネットワーク40に接続され、通信ネットワーク40とのデータ通信制御を行う通信I/F34と、通信I/F34と接続されたMPU31と、MPU31に接続されたRAM32及びハードディスク33とを備える。ハードディスク33には、ゲートウェイ10がダウンロードを行う処理プログラムが記憶されている。また、ハードディスク33には、処理プログラムのダウンロードを行うゲートウェイの認証に使用するユーザ情報が記憶されている。
【0055】
次に、本発明に係るゲートウェイ10の処理プログラムの更新について説明する。図4にゲートウェイ10の処理プログラムの更新処理手順の例を示す。また、図5にデータ(プログラム)の送受信を概念的に示す。図5においては、実線の四角で囲まれた部分の処理を主に行っている。
【0056】
ユーザが操作装置26を操作して処理プログラムのダウンロードを指示した場合、操作装置26からゲートウェイ10に、処理プログラムのダウンロード指示が送信される。ゲートウェイ10の第1通信I/F16で受付けたダウンロード指示は、MPU11に送られる。MPU11は、ダウンロード指示に応じて、例えば処理プログラムに含まれるDLサーバ30のアドレスを取得し、取得したアドレス(DLサーバ30)宛のダウンロード要求を、第2通信I/F17から外部通信装置20に送信する。外部通信装置20は、受付けたダウンロード要求の送信先が車外の通信ネットワーク40であるため、ISPサーバ42との接続を確立し、ISPサーバ42にダウンロード要求を送信する(S12)。
【0057】
ISPサーバ42は、外部通信装置20から受付けたダウンロード要求を、DLサーバ30に送信する。DLサーバ30は、通信I/F34でダウンロード要求を受付けて(S14)、MPU31に送る。MPU31は、受付けたダウンロード要求の送信元の認証を行う(S16)。例えば、DLサーバ30のハードディスク33に記憶されているユーザ情報にゲートウェイ10の機器番号が登録されている場合、ゲートウェイ10のMPU11により、ROM14に記憶されている機器番号(機器識別情報)をダウンロード要求に付加して送信し、DLサーバ30のMPU(第2認証手段)31により、通信I/F(第2受付手段)34で受付けたダウンロード要求に付加されている機器番号をユーザ情報に基づいて認証することが可能である。認証が完了しない場合(S18:NO)、MPU31は、ダウンロード要求を拒否する。
【0058】
認証が完了した場合(S18:YES)、MPU31により、ハードディスク33から処理プログラムを読出して、通信I/F34からゲートウェイ10宛に送信する(S20)。DLサーバ30から送信された処理プログラムは、ISPサーバ42を経由して、外部通信装置20に送信される。外部通信装置20は、受付けた処理プログラムの送信元の認証を行う(S22)。例えば、処理プログラムの送信元アドレスと予め登録されているDLサーバ30のアドレスとを比較して認証を行うことが可能である。認証が完了しない場合(S24:NO)、外部通信装置20は、処理プログラムの受付を拒否する。
【0059】
認証が完了した場合(S24:YES)、外部通信装置20は処理プログラムを受付けて(S26)、ゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けた処理プログラムはRAM12に記憶され、MPU11によりデータ認証が行われる(S28)。例えば、DLサーバ30のMPU(付加手段)31により、MD5又はSHA−1などのハッシュアルゴリズムに基づいて処理プログラムのハッシュ値を演算し、演算したハッシュ値を処理プログラムに付加して送信する。ゲートウェイ10のMPU(改変検出手段)11により、受付けた処理プログラムのハッシュ値をDLサーバ30側と同様のハッシュアルゴリズムで演算し、演算したハッシュ値と前記受付けた処理プログラムに付加されているハッシュ値とを比較してデータ認証を行うことが可能である。
【0060】
データ認証が完了しない場合(S30:NO)、ダウンロードしたプログラムの欠落,伝送エラー又は改ざんがあると判定でき、MPU11は、ダウンロード要求を再度送信する(S12)。データ認証が完了した場合(S30:YES)、MPU11は、フラッシュメモリ13に記憶されている処理プログラムを、DLサーバ30から受取った処理プログラムに更新する(S34)。更新処理は、ROM14に記憶されているメインプログラムにより実行される。更新後は、ダウンロードしたプログラム(フラッシュメモリ13に記憶)をMPU11で実行して各種処理を行う。
【0061】
上述した実施の形態では、ダウンロード要求の認証をDLサーバ30で行い(S16)、処理プログラムの認証を外部通信装置20で行った(S22)が、図5の破線部分に示すように、ダウンロード要求の認証を外部通信装置20及び/又はISPサーバ42で行ったり、処理プログラムの認証をISPサーバ42及び/又はゲートウェイ10のMPU11(第1認証手段)で行うことも可能である。また、送信元及び/又は送信先の認証は、任意の認証方法を用いることが可能である。また、DLサーバ30のMPU(暗号化手段)31でプログラムを暗号化し、車載ゲートウェイ装置10のMPU(復号手段)11で前記プログラムを復号することにより、盗聴を防止することも可能である。
【0062】
(第2の実施の形態)
DLサーバ30のハードディスク33に記憶されている処理プログラムがバージョンアップされた場合などに、DLサーバ30から登録ユーザのゲートウェイ10にダウンロード指示を送信することも可能である。ダウンロード指示をゲートウェイ10に送信するDLサーバ30の構成例を図6に示す。DLサーバ30の構成は第1の実施の形態(図3)と同様であり、MPU31,RAM32,ハードディスク33,及び通信I/F34を備える。ハードディスク33には、各ユーザのゲートウェイ10のアドレスを含むユーザ情報が記憶されている。また、ハードディスク33には、DLサーバ30を識別するためのサーバ識別情報が記憶されている。
【0063】
図7に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。また、図8にデータ(プログラム)の送受信を概念的に示す。ハードディスク33に記憶されている処理プログラムがバージョンアップなどで変更された場合、MPU31により、ユーザ情報内の各ユーザのゲートウェイ10のアドレスを取得し、通信I/F34から前記取得したアドレス宛にダウンロード指示を送信する(S40)。DLサーバ30から送信されたダウンロード指示は、ISPサーバ42を経由して外部通信装置20に送信される。外部通信装置20は、ダウンロード指示を受付け(S42)、受付けたダウンロード指示の送信元の認証を行う(S44)。例えば、送信元アドレスに基づいてDLサーバ30を認証したり、DLサーバ30から外部通信装置20にサーバ識別情報を送信して、DLサーバ30の認証を行うことが可能である。
【0064】
認証が完了しない場合(S46:NO)、外部通信装置20は、ダウンロード指示を拒否する。認証が完了した場合(S46:YES)、外部通信装置20は、受付けたダウンロード指示をゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けたダウンロード指示は、MPU11に送られる。MPU11は、ダウンロード指示に従って、DLサーバ30宛のダウンロード要求を、第2通信I/F17から外部通信装置20に送信する。外部通信装置20は、ダウンロード要求を、ISPサーバ42を経由して、DLサーバ30に送信する(S48)。
【0065】
DLサーバ30は、通信I/F34でダウンロード要求を受付け(S50)、MPU31に送る。MPU31は、受付けたダウンロード要求の送信元の認証を行う(S52)。例えばゲートウェイ10の機器番号に基づいて認証を行う。認証が完了しない場合(S54:NO)、MPU31は、処理プログラムの送信を拒否する。認証が完了した場合(S54:YES)、MPU31により、ハードディスク33から処理プログラムを読出して、通信I/F34からゲートウェイ10宛に送信する(S56)。DLサーバ30から送信された処理プログラムは、ISPサーバ42を経由して、外部通信装置20に送信される。外部通信装置20は、処理プログラムを受付けて(S58)、ゲートウェイ10に送信する。ゲートウェイ10の第2通信I/F17で受付けた処理プログラムはRAM12に記憶され、MPU11によりデータ認証が行われる(S60)。例えばハッシュ値を用いてデータ認証を行うことが可能である。
【0066】
データ認証が完了しない場合(S62:NO)、MPU11は、ダウンロード要求を再度送信する(S48)。データ認証が完了した場合(S62:YES)、MPU11は、フラッシュメモリ13に記憶されている処理プログラムを、DLサーバ30から受取った処理プログラムに更新する(S64)。
【0067】
上述した実施の形態では、ダウンロード指示の認証を外部通信装置20で行った(S44)が、図8の破線部分に示すように、ダウンロード指示の認証をISPサーバ42及び/又はゲートウェイ10のMPU11で行うことが可能である。また、処理プログラムの認証を外部通信装置20で行うことも可能である。また、送信元及び/又は送信先の認証は、任意の認証方法を用いることができる。また、暗号化することにより、盗聴を防止することも可能である。
【0068】
また、例えば所定期間毎にゲートウェイ10からDLサーバ30に更新確認要求を送信して、処理プログラムの更新の有無を確認し、処理プログラムの更新がある場合にダウンロード要求を送信してダウンロードを行うことも可能である。
【0069】
(第3の実施の形態)
ゲートウェイ10からダウンロード要求と共に車両に関する車両情報を送信し、車両に応じた処理プログラムをDLサーバ30からダウンロードすることも可能である。ダウンロード要求と共に車両情報を送信するゲートウェイ10の構成例を図9に示す。ゲートウェイ10の構成は第1の実施の形態(図2)と同様であり、MPU11,RAM12,フラッシュメモリ13,ROM14,第1通信I/F16,及び第2通信I/F17(送信手段)を備える。フラッシュメモリ13には、例えば車両の種類、グレード、又は仕向地などの情報を含んだ車両情報が記憶されている。また、DLサーバの30の構成も第1の実施の形態(図3)と同様であり、MPU31,RAM32,ハードディスク33,及び通信I/F(第2受付手段)34を備える。ハードディスク33には、車両情報の種類に応じた複数の処理プログラムが記憶されている。所領情報は、MPU11により、例えば機器の追加又は取外しに応じて更新される。
【0070】
ゲートウェイ10の処理プログラムの更新処理手順は、第1又は第2の実施の形態と同様である。ただし、ゲートウェイ10からDLサーバ30宛に送信されるダウンロード要求(図4のS12又は図7のS48)には、MPU11により、フラッシュメモリ13から取得した車両情報が付加される。また、DLサーバ30からゲートウェイ10宛に送信される処理プログラム(図4のS20又は図7のS56)は、MPU32により、車両情報に基づいてハードディスク33から取得した処理プログラムである。例えば、車両情報の仕向地が、運転中の動画表示が規制されている地域である場合、DLサーバ30のMPU31は、動画データに関する処理に制限が加えられた処理プログラムを送信する。また、例えば、車両に動画データを扱える機器が搭載されていない場合は、動画データを破棄する処理プログラムを送信する。
【0071】
また、車両情報と同様にして、ゲートウェイ10の動作設定に関する設定情報をDLサーバ30に送信し、設定情報に応じた処理プログラムをダウンロードすることも可能である。例えば、フィルタリングポリシが、セキュリティ強度を高めた設定になっている場合、DLサーバ30のMPU32は、セキュリティ機能が強化されたプログラムを送信する。また、ゲートウェイ10の全機能のうち、動作設定で使用するように設定された機能に対応する処理プログラムのみをダウンロードすることも可能である。
【0072】
(第4の実施の形態)
処理プログラムのダウンロードは、車両が停止している場合に行うことが可能である。停車中に処理プログラムのダウンロードを行うゲートウェイ10を備えた車載LANの例を図10(a)、(b)に示す。図10(a)に示す車載LANにおいては、車速検出器などの車両が停止していることを検出する検出手段29がゲートウェイ10に接続されている。また、図10(b)に示す車載LANにおいては、検出手段29がCL−LANに接続されている。検出手段29からゲートウェイ10に、車両が停止したことを示す車両停止信号、又は、車速に関する車速信号が送信される。
【0073】
図11に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。ゲートウェイ10の処理プログラムの更新処理手順は、第1の実施の形態(又は第2の実施の形態)とほぼ同様である。ただし、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(S26(又は図7のS58))は、車両が停止している場合のみ行う(S25:YES)。例えば、ゲートウェイ10のMPU11が、検出手段29から車両停止信号を受付けるなどして車両が停止していると判定した場合は、処理プログラムを受付ける(ダウンロードを開始する)。車両の停止は、サイドブレーキの状態などから取得することも可能である。処理プログラムの更新時はゲートウェイ10の動作が一時的に停止するが、車両が移動していないため、前記一時的な停止が運転に及ぼす影響は少ない。
【0074】
また、検出手段29として、車両内の人体を検出する人体検出センサを用い、人体が検出されている場合は、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、車両内で人体が検出された場合のみ行う(図11のS25:YESに対応)。例えば、ゲートウェイ10のMPU11により、検出手段29から人体検出信号を受付けるなどして車両内にユーザがいると判定した場合、処理プログラムを受付ける(ダウンロードを開始する)。また、ドアがロックされていることを検出したり、イグニッションのオン又は電源のオンを検出することにより、車両内にユーザがいるか否かを判定することも可能である。車両内にユーザがいるため、処理プログラムのダウンロード又は更新に不具合が発生した場合は、ユーザにより迅速に対応することが可能である。
【0075】
また、MPU(伝送量検出手段)11で単位時間あたりのデータ伝送量を検出し、検出したデータ伝送量が所定値以下の場合に、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、単位時間あたりのデータ伝送量が所定値以下の場合のみ行う(図11のS25:YESに対応)。また、MPU11により、車載LANの各機器20〜26が動作していないことを確認した後、処理プログラムをダウンロードすることも可能である。同様に、車両内の人体が検出されない場合に、処理プログラムをダウンロードすることも可能である。データ伝送量が少なく、帯域に余裕がある場合にダウンロードを行うことにより、ダウンロードによる帯域不足を防止することが可能である。
【0076】
また、検出手段29として、車載LANの各機器20〜26に電力を供給するバッテリの残量を検出する残量検出センサを用い、バッテリの残量が所定値以上の場合に、処理プログラムのダウンロードを行うことも可能である。この場合、上述した車両停止の検出と同様に、DLサーバ30からゲートウェイ10宛に送信された処理プログラムの受付(図11のS26(又は図7のS58)に対応)は、バッテリ残量が所定値以上の場合のみ行う(図11のS25:YESに対応)。例えば、ゲートウェイ10のMPU11により、検出手段29から受付けたバッテリ残量が所定値以上あることを検出した場合、処理プログラムを受付ける(ダウンロードを開始する)。また、MPU11により、エンジンが作動してオルタネータによる発電が行われていることを検出した場合、処理プログラムをダウンロードすることも可能である。バッテリの残量が十分ある場合に処理プログラムのダウンロード及び更新を行うことにより、ダウンロード中又は更新中のバッテリ切れを防止することが可能である。
【0077】
(第5の実施の形態)
フラッシュメモリ13に記憶されている処理プログラムの更新は、テストを行った後に更新することが可能である。図12に、ゲートウェイ10の処理プログラムの更新処理手順の例を示す。ゲートウェイ10の処理プログラムの更新処理手順は、第1の実施の形態(又は第2の実施の形態)とほぼ同様である。ただし、フラッシュメモリ13に記憶されている処理プログラムの更新(S34(又は図7のS64))は、ダウンロードしてRAM12に記憶された処理プログラムのテスト後(S31、S32:YES)に行う。例えば、ゲートウェイ10のMPU(動作確認手段)11により、ダウンロードした処理プログラムを実行して、CL−LAN内の所定機器とOP−LAN内の所定機器間の所定データの転送テストを行う。テストに使用するデータなどのテスト情報は、処理プログラムに付加したり、予めフラッシュメモリ13に記憶しておくことが可能である。ダウンロードしたプログラムのテストを行うことにより、更新後の不具合の発生を未然に防ぐことが可能である。
【0078】
上述した第1〜第5の実施の形態において、DLサーバ30から処理プログラムを送信する場合、MPU31により、送信先のユーザの識別情報などのプログラム送信に関する送信管理情報をハードディスク33に記憶しておき、例えば課金管理を行うことも可能である。また、送信先及び/又は送信元の認証は、任意の認証方法を用いることが可能であり、例えば課金が発生するダウンロードに関しては、機器の内蔵ROMに記憶された機器番号を用いて認証を行い、無料のダウンロードに関しては送信先アドレスを確認して認証を行うことが可能である。また、暗号を利用して認証を行ったり、プログラムを公開したくない場合又は著作権を保護するために暗号を用いることも可能である。
【0079】
【発明の効果】
第1又は第8発明によれば、新しいプログラムを受付手段(第1受付手段)で受付け、更新手段により、プログラム記憶部に記憶されている古いプログラムを、受付手段で受付けた新しいプログラムに更新することにより、新規機能を追加して性能を向上させることが可能である。例えば新規なプロトコルに対応したり、新規なセキュリティ技術を使用することが可能である。
【0080】
第2発明によれば、車載ゲートウェイ装置の第1認証手段でプログラムを送信するサーバを認証し、認証が完了した場合にプログラムを受付けることにより、正規のサーバ以外からの不正なプログラムのダウンロードなどを防止することが可能になる。不正なプログラムの使用を防止して、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【0081】
第3発明によれば、サーバの第2認証手段でプログラムの送信先を認証し、認証が完了した送信先にプログラムを送信することにより、特定の車載ゲートウェイ装置以外へのプログラムの送信を防止することが可能になる。プログラムの不正使用を防止することが可能である。
【0082】
第4発明によれば、サーバから送信されるプログラムに付加手段で改変検出情報を付加し、車載ゲートウェイ装置が受付けたプログラムの改変を改変検出手段で検出することにより、送信エラー又は改ざんのない正しいプログラムを使用することが可能である。送信エラーが発生した又は改ざんされたプログラムの使用を防止して、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【0083】
第5発明によれば、サーバから送信されるプログラムを暗号化手段で暗号化し、車載ゲートウェイ装置が受付けたプログラムを復号手段で復号することにより、プログラムの盗聴を防止することが可能である。プログラムの不正使用を防止することが可能である。
【0084】
第6発明によれば、ゲートウェイ装置の送信手段から車両情報を送信し、サーバから車両情報に対応するプログラムを送信することにより、車両に応じたプログラムをダウンロードすることが可能になる。
【0085】
第7発明によれば、ゲートウェイ装置の送信手段から設定情報を送信し、サーバから設定情報に対応するプログラムを送信することにより、車載ゲートウェイ装置の動作設定に応じたプログラムをダウンロードすることが可能になる。
【0086】
第9発明によれば、停止検出手段で車両の停止を検出した場合に、プログラムを受付けて更新を行うことにより、プログラム更新時に車載ゲートウェイ装置の動作が不安定になった場合でも、車両が停止しているために運転への影響は少なく、安全性が高まる。
【0087】
第10発明によれば、人体検出手段で車両内の人体を検出した場合に、新しいプログラムを受付けて更新を行うことにより、プログラムのダウンロード又は更新の不具合にユーザが迅速に対応できるため、プログラム更新時の車載ゲートウェイ装置の動作の不具合が運転に与える影響を低減することが可能である。
【0088】
第11発明によれば、伝送量検出手段で検出したデータ伝送量が所定値以下の場合に、プログラムを受付けて更新を行うことにより、帯域が不足している場合のプログラムのダウンロードを中止し、他の機器のデータ伝送速度の低下を防止することが可能である。
【0089】
第12発明によれば、残量検出手段で検出したバッテリ残量が所定値以上の場合に、プログラムを受付けて更新を行うことにより、プログラムの更新途中のバッテリ切れなどを防止して、車載ゲートウェイ装置のプログラム更新途中の異常終了を防止することが可能である。
【0090】
第13発明によれば、動作確認手段による動作確認が完了した場合に、更新手段によるプログラム更新を行うことにより、動作に問題が無いことが確認されたプログラムを使用することになり、車載ゲートウェイ装置の動作の安定性及び車両の安全性を高めることが可能である。
【図面の簡単な説明】
【図1】本発明に係るゲートウェイ(車載ゲートウェイ装置)を備えた車載LANを含む通信システムの構成例を示すブロック図である。
【図2】本発明に係るゲートウェイの構成例を示すブロック図である。
【図3】本発明に係るDLサーバ(プログラムを送信するサーバ)の構成例を示すブロック図である。
【図4】処理プログラムの更新処理手順の例を示すフローチャートである。
【図5】データ(プログラム)の送受信を概念的に示す図である。
【図6】DLサーバの他の構成例を示すブロック図である。
【図7】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【図8】データ(プログラム)の送受信を概念的に示す図である。
【図9】ゲートウェイの他の構成例を示すブロック図である。
【図10】車載LANの他の例を示すブロック図である。
【図11】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【図12】処理プログラムの更新処理手順の他の例を示すフローチャートである。
【符号の説明】
10 ゲートウェイ(車載ゲートウェイ装置)
11 MPU(更新手段、改変検出手段、復号手段、伝送量検出手段、動作確認手段)
12 RAM
13 フラッシュメモリ(プログラム記憶部)
14 ROM
16 第1通信I/F
17 第2通信I/F(第1受付手段(受付手段)、送信手段)
20 外部通信装置
29 検出手段(停止検出手段、人体検出手段、残量検出手段)
30 DLサーバ(プログラムを送信するサーバ)
31 MPU(付加手段、暗号化手段)
32 RAM
33 ハードディスク
34 通信I/F(第2受付手段)
Claims (13)
- 車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置と、車外機器と通信を行う外部通信装置とを備えた通信システムにおいて、
前記伝送データの処理を実行するためのプログラムを送信するサーバを備え、
前記車載ゲートウェイ装置は、
前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、
前記サーバから送信されたプログラムを受付ける第1受付手段と、
プログラム記憶部に記憶されているプログラムを、第1受付手段で受付けたプログラムに更新する更新手段と
を備えることを特徴とする通信システム。 - 前記第1受付手段は、前記サーバから認証用情報を受付けるように構成されており、
前記車載ゲートウェイ装置は、
第1受付手段で受付けた認証用情報に基づいて、前記サーバを認証する第1認証手段を備え、
第1認証手段による認証が完了した場合、第1受付手段により、前記サーバからプログラムを受付けるべくなしてあることを特徴とする請求項1記載の通信システム。 - 前記サーバは、
プログラムの送信先から認証用情報を受付ける第2受付手段と、
第2受付手段で受付けた認証用情報に基づいて、プログラムの送信先を認証する第2認証手段と
を備え、第2認証手段による認証が完了した送信先にプログラムを送信すべくなしてあることを特徴とする請求項1又は2記載の通信システム。 - 前記サーバは、送信するプログラムに改変検出情報を付加する付加手段を備え、
前記車載ゲートウェイ装置は、前記付加手段によってプログラムに付加された改変検出情報に基づいて、前記プログラムの改変を検出する改変検出手段を備えることを特徴とする請求項1〜3の何れかに記載の通信システム。 - 前記サーバは、送信するプログラムを暗号化する暗号化手段を備え、
前記車載ゲートウェイ装置は、前記暗号化手段で暗号化されたプログラムを復号する復号手段を備えることを特徴とする請求項1〜3の何れかに記載の通信システム。 - 前記車載ゲートウェイ装置は、車両に関する車両情報を送信する送信手段を備え、
前記第2受付手段は、車載ゲートウェイ装置から送信された車両情報を受付けるべくなしてあり、
前記サーバは、第2受付手段で受付けた車両情報に対応するプログラムを送信すべくなしてあることを特徴とする請求項1〜5の何れかに記載の通信システム。 - 前記車載ゲートウェイ装置は、前記伝送データの処理に関する設定情報を送信する送信手段を備え、
前記第2受付手段は、車載ゲートウェイ装置から送信された設定情報を受付けるべくなしてあり、
前記サーバは、第2受付手段で受付けた設定情報に対応するプログラムを送信すべくなしてあることを特徴とする請求項1〜5の何れかに記載の通信システム。 - 車両に搭載され、複数の通信ネットワーク間の伝送データの処理をプログラムに基づいて実行する車載ゲートウェイ装置において、
前記伝送データの処理を実行するためのプログラムを記憶する書換が可能なプログラム記憶部と、
前記伝送データの処理を実行するためのプログラムを受付ける受付手段と、
プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新する更新手段と
を備えることを特徴とする車載ゲートウェイ装置。 - 車両が停止していることを検出する停止検出手段を備え、
前記受付手段は、停止検出手段によって車両の停止が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする請求項8記載の車載ゲートウェイ装置。 - 車両内の人体を検出する人体検出手段を備え、
前記受付手段は、人体検出手段によって車両内の人体が検出されている場合に、プログラムを受付けるべくなしてあることを特徴とする請求項8記載の車載ゲートウェイ装置。 - 前記複数の通信ネットワーク間の単位時間あたりのデータ伝送量を検出する伝送量検出手段を備え、
前記受付手段は、伝送量検出手段によって検出されたデータ伝送量が所定値以下の場合に、プログラムを受付けるべくなしてあることを特徴とする請求項8記載の車載ゲートウェイ装置。 - 車両に搭載されたバッテリの残量を検出する残量検出手段を備え、
前記受付手段は、残量検出手段によって検出された残量が所定値以上の場合に、プログラムを受付けるべくなしてあることを特徴とする請求項8記載の車載ゲートウェイ装置。 - 前記受付手段で受付けたプログラムを実行して動作を確認する動作確認手段を備え、
前記更新手段は、動作確認手段による動作の確認が完了した場合、プログラム記憶部に記憶されているプログラムを、受付手段で受付けたプログラムに更新すべくなしてあることを特徴とする請求項8〜12の何れかに記載の車載ゲートウェイ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002358626A JP2004192278A (ja) | 2002-12-10 | 2002-12-10 | 通信システム及び車載ゲートウェイ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002358626A JP2004192278A (ja) | 2002-12-10 | 2002-12-10 | 通信システム及び車載ゲートウェイ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004192278A true JP2004192278A (ja) | 2004-07-08 |
Family
ID=32758294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002358626A Pending JP2004192278A (ja) | 2002-12-10 | 2002-12-10 | 通信システム及び車載ゲートウェイ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004192278A (ja) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006302174A (ja) * | 2005-04-25 | 2006-11-02 | Olympus Corp | 端末機能更新システム |
WO2007108127A1 (ja) * | 2006-03-23 | 2007-09-27 | Mitsubishi Denki Kabushiki Kaisha | システムプログラムダウンロードシステム |
JP2008113097A (ja) * | 2006-10-27 | 2008-05-15 | Fujitsu Ten Ltd | ゲートウェイ装置及び転送制御方法 |
CN100394384C (zh) * | 2005-03-08 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种网络在线升级系统 |
JP2008193572A (ja) * | 2007-02-07 | 2008-08-21 | Hitachi Ltd | 車載ゲートウェイ装置 |
JP2008276663A (ja) * | 2007-05-07 | 2008-11-13 | Denso Corp | 車両制御装置及びそのデータ書換システム |
JP2008299800A (ja) * | 2007-06-04 | 2008-12-11 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク機器維持管理システム、ネットワーク機器維持管理方法およびネットワーク機器維持管理プログラム |
JP2011234289A (ja) * | 2010-04-30 | 2011-11-17 | Fujitsu Ltd | 基地局装置、移動局装置、ハンドオーバ方法及びダウンロード方法 |
WO2012001771A1 (ja) | 2010-06-29 | 2012-01-05 | トヨタ自動車株式会社 | 制御装置 |
WO2012002231A1 (ja) | 2010-06-29 | 2012-01-05 | トヨタ自動車株式会社 | 制御装置 |
WO2012049914A1 (ja) * | 2010-10-15 | 2012-04-19 | 株式会社日立ソリューションズ | 組込プログラム更新方法、組込プログラム更新プログラム、電子機器、ネットワークシステム |
JP2013084143A (ja) * | 2011-10-11 | 2013-05-09 | Denso Corp | 車載通信機 |
JP2013126802A (ja) * | 2011-12-16 | 2013-06-27 | Toyota Motor Corp | 車載機へのアプリケーションのダウンロード方法及び同車載機 |
KR101512592B1 (ko) * | 2013-03-28 | 2015-04-15 | 가부시키가이샤 오토네트웍스 테크놀로지스 | 차재 통신 시스템 및 차재 중계 장치 |
JP2015227142A (ja) * | 2014-06-02 | 2015-12-17 | 株式会社デンソー | 車両用機器 |
WO2016111164A1 (ja) * | 2015-01-05 | 2016-07-14 | 株式会社オートネットワーク技術研究所 | 車載中継装置 |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
JP2016163244A (ja) * | 2015-03-04 | 2016-09-05 | 株式会社デンソー | サービス提供システム、ecu、及び、外部装置 |
US9529776B2 (en) | 2011-02-25 | 2016-12-27 | Toyota Jidosha Kabushiki Kaisha | Data rewriting support system and data rewriting support method for vehicle control apparatus |
WO2017149825A1 (ja) * | 2016-03-02 | 2017-09-08 | 住友電気工業株式会社 | プログラム更新システム、プログラム更新方法及びコンピュータプログラム |
JP2017220220A (ja) * | 2016-06-02 | 2017-12-14 | 株式会社デンソー | 車両用電子制御装置及び車両用サービス管理システム |
CN107735289A (zh) * | 2015-06-29 | 2018-02-23 | 神钢建机株式会社 | 工程机械及具备该工程机械的程序改写系统 |
JP2018194981A (ja) * | 2017-05-15 | 2018-12-06 | 本田技研工業株式会社 | 通信システム、移動体、及び制御プログラムの書き換え方法 |
JP2019165444A (ja) * | 2018-03-19 | 2019-09-26 | トヨタ自動車株式会社 | ゲートウェイ装置及び通信方法 |
JP2020136804A (ja) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | ネットワーク機器、ネットワーク機器を有するシステムおよびファームウェアアップデート方法 |
JP2021083110A (ja) * | 2020-02-19 | 2021-05-27 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッドBeijing Baidu Netcom Science Technology Co., Ltd. | 車内電子制御ユニットのアップグレード方法、装置、機器及び車両システム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000194565A (ja) * | 1998-12-28 | 2000-07-14 | Internatl Business Mach Corp <Ibm> | Javaコンポ―ネントを作成する方法及びシステム |
JP2002202895A (ja) * | 2000-12-28 | 2002-07-19 | Toyota Central Res & Dev Lab Inc | 車両基本機能制御プログラム更新装置 |
-
2002
- 2002-12-10 JP JP2002358626A patent/JP2004192278A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000194565A (ja) * | 1998-12-28 | 2000-07-14 | Internatl Business Mach Corp <Ibm> | Javaコンポ―ネントを作成する方法及びシステム |
JP2002202895A (ja) * | 2000-12-28 | 2002-07-19 | Toyota Central Res & Dev Lab Inc | 車両基本機能制御プログラム更新装置 |
Cited By (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100394384C (zh) * | 2005-03-08 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种网络在线升级系统 |
JP2006302174A (ja) * | 2005-04-25 | 2006-11-02 | Olympus Corp | 端末機能更新システム |
WO2007108127A1 (ja) * | 2006-03-23 | 2007-09-27 | Mitsubishi Denki Kabushiki Kaisha | システムプログラムダウンロードシステム |
JP2008113097A (ja) * | 2006-10-27 | 2008-05-15 | Fujitsu Ten Ltd | ゲートウェイ装置及び転送制御方法 |
US8265087B2 (en) | 2006-10-27 | 2012-09-11 | Fujitsu Ten Limited | Gateway apparatus and data transfer control method |
US8139493B2 (en) | 2007-02-07 | 2012-03-20 | Hitachi, Ltd. | On-vehicle gateway device, method for controlling an on-vehicle gateway device, connection device and connection control method |
JP2008193572A (ja) * | 2007-02-07 | 2008-08-21 | Hitachi Ltd | 車載ゲートウェイ装置 |
US8693346B2 (en) | 2007-02-07 | 2014-04-08 | Hitachi, Ltd. | On-vehicle gateway device, method for controlling an on-vehicle gateway device, connection device and connection control method |
US8306521B2 (en) | 2007-05-07 | 2012-11-06 | Denso Corporation | Vehicle control apparatus with data reprogrammable via wireless communication network |
JP2008276663A (ja) * | 2007-05-07 | 2008-11-13 | Denso Corp | 車両制御装置及びそのデータ書換システム |
JP4720781B2 (ja) * | 2007-05-07 | 2011-07-13 | 株式会社デンソー | 車両制御装置のデータ書換システム |
EP1990752A3 (en) * | 2007-05-07 | 2010-05-05 | Denso Corporation | Vehicle control apparatus with data reprogrammable via wireless communication network |
JP2008299800A (ja) * | 2007-06-04 | 2008-12-11 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク機器維持管理システム、ネットワーク機器維持管理方法およびネットワーク機器維持管理プログラム |
JP2011234289A (ja) * | 2010-04-30 | 2011-11-17 | Fujitsu Ltd | 基地局装置、移動局装置、ハンドオーバ方法及びダウンロード方法 |
WO2012001771A1 (ja) | 2010-06-29 | 2012-01-05 | トヨタ自動車株式会社 | 制御装置 |
WO2012002231A1 (ja) | 2010-06-29 | 2012-01-05 | トヨタ自動車株式会社 | 制御装置 |
US20130096737A1 (en) * | 2010-06-29 | 2013-04-18 | Toyota Jidosha Kabushiki Kaisha | Control device |
US9201843B2 (en) | 2010-06-29 | 2015-12-01 | Toyota Jidosha Kabushiki Kaisha | Control device |
US9031715B2 (en) | 2010-06-29 | 2015-05-12 | Toyota Jidosha Kabushiki Kaisha | Control device |
WO2012049914A1 (ja) * | 2010-10-15 | 2012-04-19 | 株式会社日立ソリューションズ | 組込プログラム更新方法、組込プログラム更新プログラム、電子機器、ネットワークシステム |
US9529776B2 (en) | 2011-02-25 | 2016-12-27 | Toyota Jidosha Kabushiki Kaisha | Data rewriting support system and data rewriting support method for vehicle control apparatus |
JP2013084143A (ja) * | 2011-10-11 | 2013-05-09 | Denso Corp | 車載通信機 |
JP2013126802A (ja) * | 2011-12-16 | 2013-06-27 | Toyota Motor Corp | 車載機へのアプリケーションのダウンロード方法及び同車載機 |
KR101512592B1 (ko) * | 2013-03-28 | 2015-04-15 | 가부시키가이샤 오토네트웍스 테크놀로지스 | 차재 통신 시스템 및 차재 중계 장치 |
JP2015227142A (ja) * | 2014-06-02 | 2015-12-17 | 株式会社デンソー | 車両用機器 |
WO2016111164A1 (ja) * | 2015-01-05 | 2016-07-14 | 株式会社オートネットワーク技術研究所 | 車載中継装置 |
CN107113206A (zh) * | 2015-01-05 | 2017-08-29 | 株式会社自动网络技术研究所 | 车载中继装置 |
US10776017B2 (en) | 2015-01-05 | 2020-09-15 | Autonetworks Technologies, Ltd. | Vehicle-mounted relay device |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
JP2016163244A (ja) * | 2015-03-04 | 2016-09-05 | 株式会社デンソー | サービス提供システム、ecu、及び、外部装置 |
EP3315363A4 (en) * | 2015-06-29 | 2018-07-11 | Kobelco Construction Machinery Co., Ltd. | Construction machine and program-rewritable system equipped with same |
CN107735289A (zh) * | 2015-06-29 | 2018-02-23 | 神钢建机株式会社 | 工程机械及具备该工程机械的程序改写系统 |
US10683636B2 (en) | 2015-06-29 | 2020-06-16 | Kobelco Construction Machinery Co., Ltd. | Construction machine and program-rewritable system equipped with same |
CN107735289B (zh) * | 2015-06-29 | 2020-06-26 | 神钢建机株式会社 | 工程机械及具备该工程机械的程序改写系统 |
WO2017149825A1 (ja) * | 2016-03-02 | 2017-09-08 | 住友電気工業株式会社 | プログラム更新システム、プログラム更新方法及びコンピュータプログラム |
JP2017220220A (ja) * | 2016-06-02 | 2017-12-14 | 株式会社デンソー | 車両用電子制御装置及び車両用サービス管理システム |
JP7043736B2 (ja) | 2016-06-02 | 2022-03-30 | 株式会社デンソー | 車両用電子制御装置及び車両用サービス管理システム |
JP2018194981A (ja) * | 2017-05-15 | 2018-12-06 | 本田技研工業株式会社 | 通信システム、移動体、及び制御プログラムの書き換え方法 |
JP2019165444A (ja) * | 2018-03-19 | 2019-09-26 | トヨタ自動車株式会社 | ゲートウェイ装置及び通信方法 |
JP7083456B2 (ja) | 2018-03-19 | 2022-06-13 | トヨタ自動車株式会社 | ゲートウェイ装置及び通信方法 |
JP2020136804A (ja) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | ネットワーク機器、ネットワーク機器を有するシステムおよびファームウェアアップデート方法 |
JP7163811B2 (ja) | 2019-02-15 | 2022-11-01 | 株式会社リコー | ネットワーク機器、ネットワーク機器を有するシステムおよびファームウェアアップデート方法 |
JP2021083110A (ja) * | 2020-02-19 | 2021-05-27 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッドBeijing Baidu Netcom Science Technology Co., Ltd. | 車内電子制御ユニットのアップグレード方法、装置、機器及び車両システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004192278A (ja) | 通信システム及び車載ゲートウェイ装置 | |
CN110572418B (zh) | 车辆身份认证的方法、装置、计算机设备及存储介质 | |
US9132790B2 (en) | In-vehicle network system | |
US20180338012A1 (en) | Method, Apparatus and System for Provisioning a Push Notification Session | |
CN101394399B (zh) | 使用严格约束网络访问控制协议的网络访问控制信息交换 | |
CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
JP4186466B2 (ja) | コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにコンピュータ・プログラム | |
JP2022163096A (ja) | 更新管理方法、更新管理装置及び制御プログラム | |
JP5069348B2 (ja) | ソフトウェア無線端末のセキュリティ | |
WO2013122177A1 (ja) | 車載ネットワークシステム | |
US11321074B2 (en) | Vehicle-mounted device upgrade method and related apparatus | |
EP1712992A1 (en) | Updating of data instructions | |
EP1482682A1 (en) | Content distribution system | |
JP2010011400A (ja) | 共通鍵方式の暗号通信システム | |
US20080086633A1 (en) | Method to handle ssl certificate expiration and renewal | |
CN110891257B (zh) | 一种具有防攻击双向认证的网联车远程升级系统及方法 | |
EP1474893A1 (en) | Method and apparatus for in-vehicle device authentication | |
ZA200604290B (en) | Method for the authentication of applications | |
JP2005122733A (ja) | 装置に結合されたフラッシュ動作/起動動作によるクローン作成防止方法 | |
CN111131313A (zh) | 智能网联汽车更换ecu的安全保障方法及系统 | |
WO2012037897A1 (zh) | 绑定、运行安全数码卡的方法、系统及设备 | |
CN112994898A (zh) | 车内网通信安全认证方法及装置 | |
CN115396121B (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
CN113138775B (zh) | 车载诊断系统固件保护方法及系统 | |
US9049012B2 (en) | Secured cryptographic communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050706 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080325 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080610 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081216 |