JP2017059894A - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP2017059894A
JP2017059894A JP2015181021A JP2015181021A JP2017059894A JP 2017059894 A JP2017059894 A JP 2017059894A JP 2015181021 A JP2015181021 A JP 2015181021A JP 2015181021 A JP2015181021 A JP 2015181021A JP 2017059894 A JP2017059894 A JP 2017059894A
Authority
JP
Japan
Prior art keywords
data
vehicle
input
unit
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015181021A
Other languages
English (en)
Other versions
JP2017059894A5 (ja
Inventor
雄一 児玉
Yuichi Kodama
雄一 児玉
剛 藤本
Takeshi Fujimoto
剛 藤本
啓史 堀端
Hiroshi Horibata
啓史 堀端
浩史 上田
Hiroshi Ueda
浩史 上田
友洋 水谷
Tomohiro Mizutani
友洋 水谷
佳昭 松谷
Yoshiaki Matsutani
佳昭 松谷
雅勝 森口
Masakatsu Moriguchi
雅勝 森口
晃宏 夏目
Akihiro Natsume
晃宏 夏目
智之 三島
Tomoyuki Mishima
智之 三島
英彰 釣谷
Hideaki Tsuritani
英彰 釣谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2015181021A priority Critical patent/JP2017059894A/ja
Priority to US15/758,980 priority patent/US20190084580A1/en
Priority to PCT/JP2016/076269 priority patent/WO2017047462A1/ja
Priority to CN201680052514.9A priority patent/CN108028759A/zh
Publication of JP2017059894A publication Critical patent/JP2017059894A/ja
Publication of JP2017059894A5 publication Critical patent/JP2017059894A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Abstract

【課題】データ処理によって対応することが不可能な問題の発生を抑制することができる通信システムを提供する
【解決手段】通信システムでは、車内中継機31は、車両内で通信線L1,L2のいずれかに接続されている複数のECU夫々と通信することによって、複数のECU間でデータを中継する。車外中継機30には、通信器が、車両の外側にあるサーバから受信したデータが入力される。車外中継機30は、通信器がサーバに送信するデータを通信器に出力する。車外中継機30は、車内中継機31とデータの受渡しを行うことによって、サーバとECUとの間でデータを中継する。車外中継機30は、入力されたデータ、又は、出力したデータに関連する関連データを車内中継機31に出力する。車内中継機31は、車外中継機30が出力した関連データに基づいて、車外中継機30が行う中継を停止すべきか否かを判定する。
【選択図】図2

Description

本発明は、データの中継が行われる通信システムに関する。
現在、夫々が複数の通信線の1つに接続されている複数のECU(Electronic Control Unit)間でデータが車両内で中継される通信システム(例えば、特許文献1を参照)が普及している。ECUは、自装置に接続されている電気機器の動作を制御する。複数のECUは、相互に通信することによって、複数の電気機器を連動させる制御処理を実現する。
特許文献1に記載の通信システムでは、車外に設置されている外部装置とECUとの間でもデータが中継される。これにより、ECUは、外部装置から種々のデータを取得することができる。
特開2014−193654号公報
特許文献1に記載されているような従来の通信システムでは、外部装置から受信した不適当なデータが中継されないように、データに対して種々のデータ処理を行い、データが正規のデータであることを確認する。例えば、データ及び暗号鍵を用いて認証コードを生成し、生成した認証コードがデータと共に送信された認証コードと一致しているか否かを判定する。生成した認証コードと、データと共に送信された認証コードとが一致している場合、受信したデータが正規のデータであると確認する。
しかしながら、不適当なデータが誤って正規のデータであると確認され、データを中継する中継装置が誤った処理を行う可能性がある。また、データ処理によって、不適当なデータが正規のデータではないと正しく確認されている場合であっても、不適当なデータが短い時間間隔で継続的に送信され、故障が発生する可能性もある。更に、秘密にされるべき重大なデータが外部装置に送信されるように、外部装置にデータを送信するための中継装置のプログラムが、一旦、改ざんされた場合、データ処理では、重大なデータの送信を抑制することができない。
本発明は斯かる事情に鑑みてなされたものであり、その目的とするところは、データ処理によって対応することが不可能な問題の発生を抑制することができる通信システムを提供することにある。
本発明に係る通信システムは、車両に搭載された複数の通信装置夫々と通信することによって、該複数の通信装置間でデータを中継する内部中継機を備える通信システムにおいて、前記内部中継機とデータの受渡しを行うことによって、前記車両の外側にある外部装置と前記通信装置との間でデータを中継する外部中継機を備え、該外部中継機は、前記外部装置から受信したデータが入力される入力部と、前記外部装置に送信するデータを出力する出力部と、前記入力部に入力されたデータ、又は、前記出力部が出力したデータに関連する関連データを前記内部中継機に出力する第2の出力部とを有し、前記内部中継機は、前記第2の出力部が出力した関連データに基づいて、前記外部中継機が行う中継を停止すべきか否かを判定する判定部を有することを特徴とする。
本発明にあっては、内部中継機は、車両に搭載された複数の通信装置夫々と通信することによって、複数の通信装置間でデータを中継する。外部中継機には、車両の外側にある外部装置から受信したデータが入力される。外部中継機は外部装置に送信されるデータを出力する。外部中継機は、内部中継機とデータの受渡しを行うことによって、外部装置と通信装置との間でデータを中継する。外部中継機は、入力されたデータ、又は、出力されたデータに関連する関連データを内部中継機に出力する。内部中継機は、外部中継機が出力した関連データに基づいて、外部中継機が行う中継を停止すべきか否かを判定する。
このため、外部中継機に入力されたデータ、又は、外部中継機から出力されたデータに対して行われるデータ処理で対応することが不可能な問題の発生を抑制することが可能となる。
本発明に係る通信システムは、前記外部中継機は、前記入力部に入力されたデータを認証する認証部を有し、前記関連データは、該認証部が行う認証の失敗又は成功に関する情報を含み、前記判定部は、前記認証部が認証に失敗した回数が所定失敗回数以上であるか、又は、前記認証部が認証に成功した回数が所定成功回数以上である場合に前記中継を停止すべきと判定することを特徴とする。
本発明にあっては、外部中継機は、入力されたデータを認証し、関連データは、外部中継機が行う認証の失敗又は成功に関する情報を含む。関連データに基づいて、一定期間内に認証に失敗した回数が所定失敗回数以上であるか、又は、一定期間内に認証に成功した回数が所定成功回数以上である場合に外部中継機が行う中継が停止される。
認証の失敗回数が多いことは、例えば、データと、複数の暗号鍵夫々を用いて該データから生成された複数の認証コードの1つとを繰り返し送信して、認証に成功する暗号鍵を検索している可能性がある。一定期間内での認証の失敗回数が所定失敗回数以上である場合に外部中継機が行う中継を停止するので、不適当なデータが中継されることが未然に防止される。
また、通常、認証は一定の確率で失敗するので、一定期間内での認証の成功回数が多いことは、不自然であり、認証するためのプログラムが改ざんされている可能性を示す。外部中継機が行う中継を停止することによって、改ざんされたプログラムによって生じる問題の発生が抑制される。
本発明に係る通信システムは、前記関連データは、前記入力部に入力されたデータ量に関する情報を含み、前記判定部は、前記入力部に入力されたデータ量が所定入力データ量以上である場合に前記中継を停止すべきと判定することを特徴とする。
本発明にあっては、外部中継機に入力されたデータ量に関する情報を含む関連データに基づいて、一定期間内に外部中継機に入力されたデータ量が所定入力データ量以上である場合に外部中継機が行う中継が停止される。
一定期間内に大量のデータが入力されていることは、不適当なデータが短い時間間隔で継続的に送信されている可能性がある。外部中継機が行う中継を停止することによって、不適当なデータの入力を停止することが可能である。
本発明に係る通信システムは、前記関連データは、前記出力部が出力したデータ量に関する情報を含み、前記判定部は、前記出力部が出力したデータ量が所定出力データ量以上である場合に前記中継を停止すべきと判定することを特徴とする。
本発明にあっては、外部中継機が出力したデータ量に関する情報を含む関連データに基づいて、一定期間内に外部中継機が出力したデータ量が所定出力データ量以上である場合に外部中継機が行う中継が停止される。
一定期間内に大量のデータが出力されていることは、データを出力するためのプログラムが改ざんされている可能性がある。外部中継機が行う中継を停止することによって、データの流出を抑制することが可能である。
本発明に係る通信システムは、前記関連データは、前記出力部が出力したデータの内容を示す情報を含み、前記判定部は、特定のデータが前記出力部から出力された場合に前記中継を停止すべきと判定することを特徴とする。
本発明にあっては、外部中継機が出力したデータの内容を示す情報を含む関連データに基づいて、外部中継機が出力したデータが特定のデータである場合に外部中継機が行う中継が停止される。
特定のデータは、例えば外部に出力されるはずがないデータである。従って、特定のデータが出力されたことは、データを出力するプログラムが改ざんされている可能性を示す。外部中継機が行う中継を停止することによって、特定のデータの流出を抑制することが可能である。
本発明に係る通信システムは、前記内部中継機は、前記判定部によって、前記外部中継機が行う前記中継を停止すべきと判定された場合に前記外部中継機への給電を停止する給電停止部を有することを特徴とする。
本発明にあっては、外部中継機への給電を停止することによって、外部中継機が行う中継を確実に停止する。
本発明に係る通信システムは、前記内部中継機は、前記判定部によって、前記外部中継機が行う前記中継を停止すべきと判定された場合に、該外部装置から前記入力部へのデータの入力と、前記出力部から該外部装置へのデータの出力とを禁止する禁止部を有することを特徴とする。
本発明にあっては、外部装置から外部中継機へのデータの入力と、外部中継機から外部装置へのデータの出力とを禁止することによって、外部中継機が行う中継を確実に停止する。
本発明に係る通信システムは、前記外部中継機は、前記外部装置と、第2の通信装置との間でデータを中継することを特徴とする。
本発明にあっては、外部中継機は、内部中継機とデータの受渡しを行うことによって外部装置と通信装置との間でデータを中継すると共に、外部装置と第2の通信装置との間でデータを中継する。
本発明によれば、データ処理によって対応することが不可能な問題の発生を抑制することができる。
実施の形態1における通信システムの要部構成を示すブロック図である。 ゲートウェイの要部構成を示すブロック図である。 車外中継機における記憶部の記憶領域の説明図である。 車外中継機の制御部が実行するサーバデータ記憶処理の手順を示すフローチャートである。 車外中継機の制御部が実行する車両データ出力処理の手順を示すフローチャートである。 車外中継機の制御部が実行するサーバ送信要求データ出力処理の手順を示すフローチャートである。 車内中継機における記憶部の記憶領域の説明図である。 関連データ領域に記憶されている関連データの情報の例を示す図表である。 車内中継機の制御部が実行する第1ECUデータ記憶処理の手順を示すフローチャートである。 車内中継機の制御部が実行する中継停止処理の手順を示すフローチャートである。 車外中継機の中継を停止すべきか否かを判定するための判定基準を示す図表である。 実施の形態2におけるゲートウェイの要部構成を示すブロック図である。 実施の形態3における通信システムの要部構成を示すブロック図である。 実施の形態4における通信システムの要部構成を示すブロック図である。
以下、本発明をその実施の形態を示す図面に基づいて詳述する。
(実施の形態1)
図1は、実施の形態1における通信システム1の要部構成を示すブロック図である。通信システム1はサーバ11及び車両12を備える。サーバ11は、車両12の外側にあり、ネットワークN1を介して車両12と通信する。サーバ11は車両12にデータを送信する。以下では、サーバ11が車両12に送信するデータをサーバデータと記載する。
サーバ11は、車両12へのデータの送信をサーバ11に要求するサーバ送信要求データを、車両12からネットワークN1を介して受信する。サーバ送信要求データには、サーバ11が送信すべきサーバデータを示す情報が含まれている。サーバ11は、サーバ送信要求データを受信した場合、サーバ送信要求データに含まれている情報が示すサーバデータを送信する。
また、サーバ11は、車両12に関する車両データのサーバ11への送信を車両12に要求する車両送信要求データを、ネットワークN1を介して、車両12に送信する。車両データは、車両12の位置、又は、ブレーキペダルの踏み込み量等を示す。車両送信要求データには、サーバ11に送信すべき車両データを示す情報が含まれている。車両12は、車両送信要求データを受信した場合、受信した車両送信要求データに含まれている情報が示す車両データを、ネットワークN1を介してサーバ11に送信する。サーバ11は車両データを車両12から受信する。
サーバ11及び車両12夫々には共通の暗号鍵が記憶されている。暗号鍵は、例えば、数字の羅列である。サーバ11は、サーバデータを送信する場合、サーバデータと暗号鍵とを用いて認証コードを生成する。サーバ11は、サーバデータと共に、該サーバデータから生成された認証コードを車両12に送信する。同様に、サーバ11は、車両送信要求データを送信する場合、車両送信要求データと暗号鍵とを用いて認証コードを生成する。サーバ11は、車両送信要求データと共に、車両送信要求データから生成された認証コードを車両12に送信する。
車両12はサーバ11から受信したサーバデータ、及び、車両送信要求データを認証する。具体的には、車両12は、サーバ11から受信したデータと暗号鍵とを用いて認証コードを生成し、生成した認証コードと、サーバ11から受信した認証コードとが一致しているか否かを判定する。車両12は、生成した認証コードと、受信した認証コードとが互いに一致していると判定した場合、認証に成功したと判定し、生成した認証コードと、受信した認証コードとが互いに一致していないと判定した場合、認証に失敗したと判定する。
車両12は、ゲートウェイ20、ECU21a,21b,22a,22b、電気機器23a,23b、通信器24、バッテリ25及び通信線L1,L2,L3を有する。ゲートウェイ20は、通信器24、バッテリ25の正極、及び、通信線L1,L2,L3に各別に接続されている。バッテリ25の負極は接地されている。ECU21a,21b夫々は通信線L1に接続されている。ECU22a,22b夫々は通信線L2に接続されている。電気機器23a,23b夫々は通信線L3に接続されている。
通信器24は、ネットワークN1を介して、サーバ11から、サーバデータ及び車両送信要求データを受信する。このとき、通信器24は、サーバデータ又は車両送信要求データと共に認証コードを受信する。通信器24は、サーバ11から、サーバデータ又は車両送信要求データを受信した場合、認証コードと共に、受信したデータをゲートウェイ20に出力する。
また、通信器24には、ゲートウェイ20からサーバ送信要求データ及び車両データが入力される。通信器24は、サーバ送信要求データ又は車両データが入力された場合、ネットワークN1を介して、入力されたデータをサーバ11に送信する。
ゲートウェイ20には、通信器24から、サーバデータ及び車両送信要求データが入力される。このとき、認証コードが、サーバデータ又は車両送信要求データと共にゲートウェイ20に入力される。ゲートウェイ20には前述した暗号鍵が記憶されている。ゲートウェイ20は、サーバデータ又は車両送信要求データが入力された場合、このデータと共に入力された認証コードと暗号鍵とを用いて、前述したように、認証を行う。
ゲートウェイ20は、認証に成功したサーバデータを、電気機器23a,23bの少なくとも1つ、又は、ECU21a,21b,22a,22bの少なくとも1つに送信する。
このとき、ゲートウェイ20は、サーバデータを、機器データとして、電気機器23a,23bの少なくとも1つに送信する。機器データは、電気機器23a,23bに送信するデータである。
また、ゲートウェイ20は、サーバデータを、ECUデータとして、ECU21a,21b,22a,22bの少なくとも1つに送信する。ECUデータは、ECU21a,21b,22a,22bによって送受信されるデータである。
以上のように、ゲートウェイ20は、サーバ11から電気機器23a,23bへのデータの中継と、サーバ11からECU21a,21b,22a,22bへのデータの中継とを行う。
また、ゲートウェイ20は、ECU21a,21b夫々が送信したECUデータを、通信線L1を介して受信し、ECU22a,22b夫々が送信したECUデータを、通信線L2を介して受信する。ゲートウェイ20は、通信器24から入力された車両送信要求データの認証に成功した場合、受信したECUデータを車両データとして、通信器24に出力する。前述したように、通信器24は、ゲートウェイ20から入力された車両データをサーバ11へ送信する。このように、ゲートウェイ20は、ECU21a,21b,22a,22bからサーバ11へのデータの中継を行う。
更に、ゲートウェイ20は、電気機器23a,23b夫々からサーバ送信要求データを受信する。ゲートウェイ20は、電気機器23a,23bの1つからサーバ送信要求データを受信した場合、サーバ送信要求データを通信器24に出力する。前述したように、通信器24は、ゲートウェイ20から入力されたサーバ送信要求データをサーバ11に送信する。このように、ゲートウェイ20は、電気機器23a,23bからサーバ11へのデータの中継を行う。
また、ゲートウェイ20は、ECU21a,21bの1つから受信したECUデータをECU22a,22bに送信し、ECU22a,22bの1つから受信したECUデータをECU21a,21bに送信する。このように、ゲートウェイ20は、ECU21a,21b,22a,22b夫々と通信することによって、ECU21a,21b,22a,22b間でデータを中継する。
ゲートウェイ20はバッテリ25から電力を供給される。ゲートウェイ20は、供給された電力を用いて種々の処理を実行する。
ECU21a,21b,22a,22b間でECUデータの送受信が行われる。通信線L1を介して、ゲートウェイ20及びECU21a,21bが相互に通信する。通信線L2を介して、ゲートウェイ20及びECU22a,22bが相互に通信する。通信線L1,L2夫々を介した通信は、CAN(Controller Area Network)プロトコル、又は、CAN−FD(Controller Area Network with Flexible Data rate)等に従って行われる。ECU21a,21bの少なくとも1つは、ゲートウェイ20を介して、ECU22a,22bの少なくとも1つとECUデータを送受信する。
ECU21a,21b,22a,22b夫々には図示しない車載機器が接続されている。ECU21a,21b,22a,22b夫々は、受信したECUデータ、及び/又は、図示しないセンサから取得したデータに基づいて、自装置に接続されている車載機器の動作を制御する。ECUデータの例として、車両12の速度を示すデータ、又は、ブレーキペダルの踏み込み量を示すデータ等が挙げられる。これらのデータは、例えば、ECU21a,21b,22a,22bの1つによってセンサから取得される。
ゲートウェイ20及びECU21a,21b中の1つの装置が通信線L1を介して送信したデータは、通信線L1に接続されている全ての他の装置によって受信される。同様に、ゲートウェイ20及びECU22a,22b中の1つの装置が通信線L2を介して送信したデータは、通信線L2に接続されている全ての他の装置によって受信される。
ECU21a,21b,22a,22b夫々には固有の識別情報が割り当てられている。ECU21a,21b,22a,22b夫々は、自装置に割り当てられている識別情報を含むECUデータを通信線L1,L2の一方を介して送信する。
ゲートウェイ20は、通信線L1,L2の一方を介してECUデータを受信した場合、ECUデータに含まれる識別情報に基づいて、受信したECUデータを中継すべきか否かを判定する。ゲートウェイ20は、ECUデータを中継すべきと判定した場合、受信したECUデータを記憶し、記憶されているECUデータを通信線L1,L2の他方を介して送信する。
ECU21a,21b,22a,22b夫々は、ECUデータを受信した場合、受信したECUデータに含まれる識別情報に基づいて、受信したECUデータを受け付けるか否かを判定する。ECU21a,21b,22a,22b夫々は、受信したECUデータを受け付けると判定した場合、受信したECUデータに基づいて、自装置に接続されている車載機器の動作を制御する。ECU21a,21b,22a,22b夫々は、受信したECUデータを受け付けないと判定した場合、受信したECUデータを破棄する。
電気機器23a,23b夫々は、カーナビゲーションシステム又はオーディオ機器等であり、ゲートウェイ20から機器データを受信する。電気機器23a,23b夫々は、機器データを受信した場合、受信した機器データに従って種々の処理を行う。
電気機器23aが例えばカーナビゲーションシステムである場合、電気機器23aは、図示しない表示部に地図と共に表示すべき経路を示す経路情報を含む機器データをゲートウェイ20から受信する。電気機器23aは、この機器データを受信した場合、受信した機器データに含まれている経路情報が示す経路を地図と共に表示部に表示する。
電気機器23bが例えばオーディオ機器である場合、電気機器23bは、音声に係る機器データをゲートウェイ20から受信する。電気機器23bは、この機器データを受信した場合、受信した機器データに係る音声を出力する。
電気機器23a,23b夫々は、機器データを受信するため、サーバ送信要求データを、通信線L3を介してゲートウェイ20に送信する。前述したように、ゲートウェイ20は、サーバ送信要求データを受信した場合、サーバ送信要求データを通信器24に出力する。通信器24は、サーバ送信要求データをサーバ11に送信する。その後、サーバ11から通信器24に送信したサーバデータが、機器データとして、ゲートウェイ20を介して、サーバ送信要求データの送信元に送信される。
図2はゲートウェイ20の要部構成を示すブロック図である。ゲートウェイ20は、車外中継機30、車内中継機31及びスイッチ32,33,34,35を有する。バッテリ25の正極は、車内中継機31と、スイッチ32の一端とに接続されている。スイッチ32の他端は車外中継機30に接続されている。車外中継機30は、更に、スイッチ33,34夫々の一端に接続されている。スイッチ33の他端は通信器24に接続されている。スイッチ34の他端は車内中継機31に接続されている。車外中継機30は、更に、通信線L3に接続されている。通信線L3の中途にスイッチ35が設けられており、車外中継機30はスイッチ35を介して電気機器23a,23bに接続されている。車内中継機31は、更に、通信線L1,L2に各別に接続されている。
スイッチ32,33,34,35のオン及びオフは車内中継機31によって各別に切替えられる。車内中継機31にはバッテリ25から電力が供給される。これにより、車内中継機31は作動する。車外中継機30には、バッテリ25からスイッチ32を介して電力が供給される。車外中継機30は、スイッチ32がオンである場合に作動し、スイッチ32がオフである場合、バッテリ25から車外中継機30への電力供給が途絶えるので、動作を停止する。
車外中継機30には、サーバデータ及び車両送信要求データが、スイッチ33を介して、通信器24から入力される。このとき、認証コードがサーバデータ又は車両送信要求データと共に入力される。車外中継機30には前述した暗号鍵が記憶されている。車外中継機30は、サーバデータ又は車両送信要求データが入力された場合、このデータと共に入力された認証コードと暗号鍵とを用いて、前述したように認証を行う。
車外中継機30は、認証に成功したサーバデータを、機器データとして、通信線L3を介して送信すべきか、又は、認証に成功したサーバデータを、ECUデータとして、通信線L1,L2の一方を介して送信すべきかを判定する。
車外中継機30は、サーバデータを機器データとして送信すべきと判定した場合、機器データを、スイッチ35を介して電気機器23a,23bの少なくとも1つに送信する。前述したように、通信器24は、サーバ11から受信したサーバデータを車外中継機30に出力するので、車外中継機30は、サーバ11から電気機器23a,23bへのデータを中継する。
車外中継機30は、サーバデータをECUデータとして送信すべきと判定した場合、ECUデータを、スイッチ34を介して車内中継機31に出力する。後述するように、車外中継機30から車内中継機31に出力されたECUデータは、車内中継機31によって、ECU21a,21b,22a,22bの少なくとも1つに送信される。車外中継機30は、車内中継機31にECUデータを渡すことによって、サーバ11からECU21a,21b,22a,22bへのデータを中継する。サーバ11は外部装置に相当する。
車外中継機30には車内中継機31から車両データが入力される。車外中継機30には、車内中継機31から車外中継機30に入力された複数の車両データが記憶されている。車外中継機30は、通信器24から入力された車両送信要求データの認証に成功した場合、記憶されている複数の車両データから、車両送信要求データに含まれている情報が示す車両データを、スイッチ33を介して通信器24に出力する。前述したように、通信器24は、車外中継機30から入力された車両データをサーバ11に送信する。後述するように、車内中継機31は、ECU21a,21b,22a,22b夫々から受信したECUデータを車両データとして車外中継機30に出力する。車外中継機30は、車内中継機31から車両データを受けることによって、ECU21a,21b,22a,22bの1つからサーバ11へのデータを中継する。
車外中継機30は、電気機器23a,23b夫々からスイッチ35を介してサーバ送信要求データを受信する。車外中継機30は、サーバ送信要求データを受信した場合、サーバ送信要求データを通信器24にスイッチ33を介して出力する。前述したように、通信器24は、車外中継機30から入力されたサーバ送信要求データをサーバ11へ送信する。車外中継機30は、電気機器23a,23bからサーバ11へのデータを中継する。
車内中継機31には、スイッチ34を介して車外中継機30からECUデータが入力される。車内中継機31は、入力されたECUデータをECU21a,21b,22a,22bの少なくとも1つに送信する。また、車内中継機31は、ECU21a,21b,22a,22bの1つから受信したECUデータを、車両データとしてスイッチ34を介して車外中継機30に出力する。
車内中継機31は、ECU21a,21bの1つから受信したECUデータをECU22a,22bに送信し、ECU22a,22bの1つから受信したECUデータをECU21a,21bに送信する。このように、車内中継機31は、車両12に搭載されたECU21a,21b,22a,22b夫々と通信することによって、ECU21a,21b,22a,22b間でデータを中継する。
車外中継機30及び車内中継機31夫々は外部中継機及び内部中継機として機能する。ECU21a,21b,22a,22b夫々は通信装置として機能する。電気機器23a,23b夫々は第2の通信装置として機能する。
スイッチ33がオンである場合、通信器24及び車外中継機30間でデータの入出力を行うことが可能であり、スイッチ33がオフである場合、通信器24及び車外中継機30間でのデータの入出力が禁止される。
スイッチ34がオンである場合、車外中継機30及び車内中継機31間でのデータの入出力を行うことが可能であり、スイッチ34がオフである場合、車外中継機30及び車内中継機31間でのデータの入出力が禁止される。
スイッチ35がオンである場合、電気機器23a,23b及び車外中継機30は通信線L3を介して通信を行うことが可能であり、スイッチ35がオフである場合、通信線L3を介した通信が禁止される。
スイッチ32,33,34,35は、通常、オンに維持される。スイッチ32,33,34,35は、車外中継機30が行う中継を停止する場合にオンからオフに切替えられる。
車外中継機30は、通信器24に入力されたデータ、又は、通信器24から出力したデータに関連する関連データを、スイッチ34を介して車内中継機31に出力する。車内中継機31は、車外中継機30から入力された関連データに基づいて、スイッチ32,33,34,35をオンからオフに切替える。
次に、車外中継機30の詳細な構成を説明する。車外中継機30は、入出力部40,41、通信部42、時計部43、記憶部44及び制御部45を有する。これらはバス46に接続されている。入出力部40は、バス46の他に、スイッチ33の一端に接続されている。入出力部41は、バス46の他に、スイッチ34の一端に接続されている。通信部42は通信線L3に接続されている。
入出力部40,41、通信部42、時計部43、記憶部44及び制御部45夫々は、スイッチ32を介してバッテリ25から車外中継機30へ電力が供給されている場合に作動し、スイッチ32がオフとなってバッテリ25から車外中継機30への電力供給が停止した場合に動作を停止する。
入出力部40には、通信器24がサーバ11から受信したサーバデータ及び車両送信要求データが、スイッチ33を介して、通信器24から入力される。入出力部40は、通信器24から、サーバデータ又は車両送信要求データが入力された場合、その旨を制御部45に通知する。また、入出力部40は、制御部45の指示に従って、車両データ又はサーバ送信要求データを、スイッチ33を介して出力する。入出力部40が出力したデータは通信器24によってサーバ11に送信される。入出力部40は入力部及び出力部として機能する。
入出力部41は、制御部45の指示に従って、ECUデータ又は関連データを、スイッチ34を介して車内中継機31に出力する。入出力部41には、車内中継機31から、スイッチ34を介して車両データが入力される。入出力部41は、車両データが入力された場合、その旨を制御部45に通知する。
通信部42は、制御部45の指示に従って、電気機器23a,23bへ機器データを、スイッチ35を介して送信する。また、通信部42は、電気機器23a,23bからサーバ送信要求データを、スイッチ35を介して受信する。通信部42は、サーバ送信要求データを受信した場合、その旨を制御部45に通知する。
制御部45は、時計部43から日時を示す日時データを取得する。日時データは、制御部45が取得した時点の日時を示す。日時は年月日及び時刻である。
記憶部44には、制御プログラムP1及び暗号鍵が記憶されている。更に、記憶部44には、車外中継機30が中継を行うための記憶領域が設けられている。
図3は、車外中継機30における記憶部44の記憶領域の説明図である。記憶部44には、記憶領域として、機器中継領域A1、ECU中継領域A2及び車両データ領域A3が設けられている。
機器中継領域A1には、電気機器23a,23bに送信すべき機器データが記憶される。ECU中継領域A2には、車内中継機31に出力すべきECUデータが記憶される。車両データ領域A3には、車内中継機31から入力された車両データが記憶される。
制御部45は、記憶部44に記憶されている制御プログラムP1を実行することによって、サーバデータ記憶処理、機器データ送信処理、ECUデータ出力処理、車両データ記憶処理、車両データ出力処理及びサーバ送信要求データ出力処理を実行する。
サーバデータ記憶処理では、入出力部40に入力されたサーバデータを機器データ又はECUデータとして、機器中継領域A1又はECU中継領域A2に記憶する。機器データ送信処理では、機器データを電気機器23a,23bの少なくとも1つに送信する。ECUデータ出力処理では、ECUデータを車内中継機31に出力する。これにより、車外中継機30はECUデータを車内中継機31に渡す。車両データ記憶処理では、車内中継機31から入力された車両データを記憶する。車両データ出力処理では、車両データを通信器24に出力する。サーバ送信要求データ出力処理では、サーバ送信要求データを通信器24に出力する。
図4は、車外中継機30の制御部45が実行するサーバデータ記憶処理の手順を示すフローチャートである。制御部45は、通信器24から入出力部40にサーバデータ及び認証コードが入力された場合にサーバデータ記憶処理を実行する。まず、制御部45は時計部43から日時データを取得する(ステップS1)。
次に、制御部45は、記憶部44に記憶されている暗号鍵を用いて、通信器24から入出力部40に入力されたサーバデータを認証する(ステップS2)。具体的には、制御部45は、前述したように、入出力部40に入力されたサーバデータと暗号鍵とを用いて認証コードを生成する。制御部45は、生成した認証コードと、サーバデータと共に入出力部40に入力された認証コードとが一致するか否かを判定する。この判定を行うことによって、サーバデータを認証する。制御部45は認証部としても機能する。
次に、制御部45は、入出力部40に入力されたサーバデータの認証が成功したか否かを判定する(ステップS3)。制御部45は、サーバデータと暗号鍵とを用いて生成された認証コードと、サーバデータと共に入出力部40に入力された認証コードとが一致している場合、認証が成功したと判定する。また、制御部45は、サーバデータと暗号鍵とを用いて生成された認証コードと、サーバデータと共に入出力部40に入力された認証コードとが一致していない場合、認証が失敗したと判定する。
制御部45は、認証が成功したと判定した場合(S3:YES)、サーバデータを電気機器26a,26bの少なくとも1つに中継すべきか否かを判定する(ステップS4)。例えば、サーバデータに送信先を示す送信先情報が含まれている場合、制御部45は、送信先情報が示す送信先に基づいて、電気機器26a,26bの少なくとも1つに送信すべきか否かを判定する。
制御部45は、サーバデータを電気機器26a,26bの少なくとも1つに中継すべきと判定した場合(S4:YES)、サーバデータを機器データとして記憶部44の機器中継領域A1に記憶する(ステップS5)。制御部45は、サーバデータを電気機器26a,26bのいずれにも中継すべきではないと判定した場合、即ち、ECU21a,21b,22a,22bの少なくとも1つに送信すべきと判定した場合(S4:NO)、サーバデータをECUデータとして記憶部44のECU中継領域A2に記憶する(ステップS6)。
制御部45は、認証が失敗したと判定した場合(S3:NO)、又は、ステップS5,S6の一方を実行した後、通信器24から入出力部40に入力されたサーバデータに関連する関連データを生成する(ステップS7)。ステップS7で生成される関連データは、通信器24から入出力部40にサーバデータが入力された日時と、通信器24が行った動作が受信であることと、認証の成否と、入出力部40に入力されたデータの内容と、入出力部40に入力されたデータ量とを示す情報を含む。ここで、日時は、ステップS1で取得された日時データが示す日時である。
次に、制御部45は、入出力部41に指示して、ステップS7で生成した関連データを車内中継機31に出力させる(ステップS8)。その後、制御部45はサーバデータ記憶処理を終了する。入出力部41は第2の出力部として機能する。
制御部45は機器データ送信処理を周期的に実行する。機器データ送信処理では、制御部45は、記憶部44の機器中継領域A1に機器データが記憶されているか否かを判定する。制御部45は、機器データが機器中継領域A1に記憶されていないと判定した場合、機器データ送信処理を終了する。制御部45は、機器データが機器中継領域A1に記憶されていると判定した場合、通信部42に指示して、機器中継領域A1に記憶されている機器データを電気機器23a,23bの少なくとも1つに送信させる。機器データに送信先情報が含まれている場合、通信器24は、電気機器23a,23bの中で送信先情報が示す送信先に機器データを送信する。その後、制御部45は、通信部42が送信した機器データを機器中継領域A1から削除し、機器データ送信処理を終了する。
制御部45はECUデータ出力処理を周期的に実行する。ECUデータ出力処理では、制御部45は、記憶部44のECU中継領域A2にECUデータが記憶されているか否かを判定する。制御部45は、ECUデータがECU中継領域A2に記憶されていないと判定した場合、ECUデータ出力処理を終了する。制御部45は、ECUデータがECU中継領域A2に記憶されていると判定した場合、入出力部41に指示して、ECU中継領域A2に記憶されているECUデータを車内中継機31に出力させる。その後、制御部45は、入出力部40が出力したECUデータをECU中継領域A2から削除し、ECUデータ出力処理を終了する。
制御部45は、車内中継機31から入出力部41に車両データが入力された場合に車両データ記憶処理を実行する。車両データ記憶処理では、制御部45は、車内中継機31から入出力部41に入力された車両データを記憶部44の車両データ領域A3に記憶し、車両データ記憶処理を終了する。
図5は、車外中継機30の制御部45が実行する車両データ出力処理の手順を示すフローチャートである。制御部45は、車両送信要求データが認証コードと共に入出力部40に入力された場合に車両データ出力処理を実行する。まず、制御部45は時計部43から日時データを取得する(ステップS11)。
次に、制御部45は、記憶部44に記憶されている暗号鍵を用いて、入出力部40に入力された車両送信要求データを認証する(ステップS12)。具体的には、制御部45は、前述したように、入出力部40に入力された車両送信要求データと暗号鍵とを用いて認証コードを生成する。制御部45は、生成した認証コードと、車両送信要求データと共に入出力部40に入力された認証コードとが一致するか否かを判定する。この判定を行うことによって、車両送信要求データを認証する。
次に、制御部45は、入出力部40に入力された車両送信要求データの認証が成功したか否かを判定する(ステップS13)。制御部45は、車両送信要求データと暗号鍵とを用いて生成された認証コードと、車両送信要求データと共に入出力部40に入力された認証コードとが一致している場合、認証が成功したと判定する。また、制御部45は、車両送信要求データと暗号鍵とを用いて生成された認証コードと、車両送信要求データと共に入出力部40に入力された認証コードとが一致していない場合、認証が失敗したと判定する。
制御部45は、認証が成功したと判定した場合(S13:YES)、入出力部40に入力された車両送信要求データに含まれている情報が示す車両データを記憶部44の車両データ領域A3から読み出す(ステップS14)。次に、制御部45は、入出力部40に指示して、ステップS14で読み出した車両データを通信器24に出力させ(ステップS15)、入出力部40が通信器24に出力した車両データに関連する関連データを生成する(ステップS16)。ステップS16で生成される関連データは、入出力部40から通信器24に車両データが出力された日時と、通信器24が行った動作が送信であることと、入出力部40から出力されたデータの内容と、入出力部40から出力されたデータ量とを示す情報を含む。ここで、日時は、ステップS11で取得された日時データが示す日時である。
制御部45は、認証に失敗したと判定した場合(S13:NO)、又は、ステップS16を実行した後、通信器24から入出力部40に入力された車両送信要求データに関連する関連データを生成する(ステップS17)。ステップS17で生成される関連データは、通信器24から入出力部40に車両送信要求データが入力された日時と、認証の成否と、通信器24が行った動作が受信であることと、入出力部40に入力されたデータの内容と、入出力部40に入力されたデータ量とを示す情報を含む。ここで、日時は、ステップS11で取得された日時データが示す日時である。
制御部45は、ステップS17を実行した後、入出力部41に指示して、関連データを車内中継機31に出力させる(ステップS18)。制御部45は、ステップS13で認証が成功したと判定した場合、ステップS18では、ステップS16,S17夫々で生成した関連データを車内中継機31に出力する。また、制御部45は、ステップS13で認証が失敗したと判定した場合、ステップS18では、ステップS17で生成した関連データを車内中継機31に出力する。
制御部45は、ステップS18を実行した後、車両データ出力処理を終了する。
図6は、車外中継機30の制御部45が実行するサーバ送信要求データ出力処理の手順を示すフローチャートである。制御部45は、通信部42がサーバ送信要求データを電気機器23a,23bの一方から受信した場合にサーバ送信要求データ出力処理を実行する。まず、制御部45は時計部43から日時データを取得する(ステップS21)。
次に、制御部45は、入出力部40に指示して、通信部42が受信したサーバ送信要求データを通信器24に出力させ(ステップS22)、入出力部40が出力したサーバ送信要求データに関連する関連データを生成する(ステップS23)。ステップS23で生成される関連データは、入出力部40が車両データを出力した日時と、通信器24が行った動作は送信であることと、入出力部40から出力されたデータの内容と、入出力部40から出力されたデータ量とを示す情報を含む。ここで、日時は、ステップS21で取得された日時データが示す日時である。
次に、制御部45は、入出力部41に指示して、ステップS23で生成した関連データを車内中継機31に出力させ(ステップS24)、サーバ送信要求データ出力処理を終了する。
次に、車内中継機31の詳細な構成を述べる。図2に示すように、車内中継機31は、入出力部50、通信部51,52、切替え部53、報知部54、記憶部55及び制御部56を有する。これらは、バス57に接続されている。入出力部50は、バス57の他に、スイッチ34の他端に接続されている。通信部51,52夫々は、バス57の他に、通信線L1,L2に接続されている。
入出力部50、通信部51,52、切替え部53、報知部54、記憶部55及び制御部56夫々は、バッテリ25から車内中継機31へ供給された電力を用いて作動する。
入出力部50には、ECUデータ及び関連データが車外中継機30の入出力部41からスイッチ34を介して入力される。入出力部50は、車外中継機30の入出力部41から、ECUデータ又は関連データが入力された場合、その旨を制御部56に通知する。また、入出力部50は、制御部56の指示に従って、車両データを、スイッチ34を介して出力する。
通信部51は、ECU21a,21b夫々から通信線L1を介してECUデータを受信する。通信部51は、ECUデータを受信した場合、その旨を制御部56に通知する。通信部51は、制御部56の指示に従って、ECUデータをECU21a,21bに送信する。
同様に、通信部52は、ECU22a,22b夫々から通信線L2を介してECUデータを受信する。通信部52は、ECUデータを受信した場合、その旨を制御部56に通知する。通信部52は、制御部56の指示に従って、ECUデータをECU22a,22bに送信する。
切替え部53は、制御部56の指示に従って、スイッチ32,33,34,35夫々をオン又はオフに切替える。
報知部54は、制御部56の指示に従って報知を行う。報知部54は、図示しないランプの点灯、又は、図示しない表示部へのメッセージの表示等を行うことによって報知を行う。
記憶部55には、制御プログラムP2が記憶されている。更に、記憶部44には、関連データを記憶するための記憶領域と、車内中継機31が中継を行うための記憶領域とが設けられている。
図7は、車内中継機31における記憶部55の記憶領域の説明図である。記憶部55には、記憶領域として、ECU中継領域B1、車両データ領域B2及び関連データ領域B3が設けられている。
ECU中継領域B1には、ECU21a,21b,22a,22bの少なくとも1つに送信すべきECUデータが記憶される。車両データ領域B2には、車外中継機30の入出力部41に出力すべき車両データが記憶される。関連データ領域B3には、入出力部50に入力された関連データが記憶される。
図8は、関連データ領域B3に記憶されている関連データの情報の例を示す図表である。図8には5つの関連データ夫々に含まれる情報が示されている。T1,T2,・・・,T5夫々は日時を示す。
関連データは、通信器24が行った動作が受信及び送信のいずれであるかを示す情報を含む。通信器24が行った動作が受信である場合、関連データは、データが車外中継機30の入出力部40に入力された日時、入出力部40に入力されたデータの認証の成否、入出力部40に入力されたデータの内容、及び、入出力部40に入力されたデータ量を示す情報を含む。
通信器24が行った送信である場合、関連データは、データが車外中継機30の入出力部40からサーバ11に出力された日時、入出力部40から出力されたデータの内容、及び、入出力部40から出力されたデータ量を示す情報を含む。通信器24が行った動作が送信である場合、認証が行われることはないので、関連データには認証の成否を示す情報は含まれていない。また、関連データの情報が示すデータの内容は、プログラムの更新、送信要求、車速又はブレーキペダルの踏み込み量等である。
関連データの情報に関して、日時と通信器24が行った送受信の動作とは、入出力部40へのデータの入力、又は、入出力部40からのデータの出力に関する。認証の成否は、車外中継機30の制御部56が行う認証の失敗又は成功に関する。データ量は、通信器24から車外中継機30の入出力部40に入力されたデータ量、又は、車外中継機30の入出力部40から通信器24に出力されたデータ量に関する。
前述したように、関連データに基づいて、スイッチ32,33,34,35はオン又はオフに切替えられる。
図2に示す車内中継機31の制御部56は、記憶部55に記憶されている制御プログラムP2を実行することによって、第1ECUデータ記憶処理、第2ECUデータ記憶処理、ECUデータ送信処理、車両データ出力処理、関連データ記憶処理及び中継停止処理を行う。
第1ECUデータ記憶処理では、通信部51,52が受信したECUデータを記憶する。第2ECUデータ記憶処理では、車外中継機30の入出力部41から車内中継機31の入出力部50に入力されたECUデータを記憶する。ECUデータ送信処理では、ECUデータをECU21a,21b,22a,22bの少なくとも1つに送信する。車両データ出力処理では、ECU21a,21b,22a,22b夫々から受信したECUデータを車両データとして車外中継機30の入出力部41に出力する。これにより、車外中継機30は車内中継機31からデータを受ける。関連データ記憶処理では、車外中継機30の入出力部41から車内中継機31の入出力部50に入力された関連データを記憶する。中継停止処理では、関連データに基づいて、車外中継機30が行う中継を停止する。
図9は、車内中継機31の制御部56が実行する第1ECUデータ記憶処理の手順を示すフローチャートである。制御部56は、通信部51が通信線L1を介してECUデータを受信したか、又は、通信部52が通信線L2を介してECUデータを受信した場合に第1ECUデータ記憶処理を実行する。
まず、制御部56は、通信部51,52の一方が受信したECUデータを車両データとして、記憶部55の車両データ領域B2に記憶し(ステップS31)、通信部51,52の一方が受信したECUデータを通信線L1,L2の一方を介して中継すべきか否かを判定する(ステップS32)。記憶部55には、識別情報とECUデータを送信すべき通信部を示す情報とが対応付けられた対応表が記憶されている。ステップS32において、制御部56は、ECUデータに含まれている識別情報が対応表に示されている場合にECUデータを中継すべきと判定し、制御部56は、ECUデータに含まれている識別情報が対応表に示されていない場合、ECUデータを中継すべきではないと判定する。
制御部56は、ECUデータを中継すべきと判定した場合(S32:YES)、通信部51,52の一方が受信したECUデータをECU中継領域B1に記憶する(ステップS33)。
なお、ステップS31,S32,S33において、通信部51がECUデータを受信したことによって第1ECUデータ記憶処理が実行された場合、通信部51,52の一方は通信部51である。また、通信部52がECUデータを受信したことによって第1ECUデータ記憶処理が実行された場合、通信部51,52の一方は通信部52である。
制御部56は、ECUデータを中継すべきではないと判定した場合(S32:NO)、又は、ステップS33を実行した後、第1ECUデータ記憶処理を終了する。
制御部56は、車外中継機30の入出力部41から車内中継機31の入出力部50にECUデータが入力された場合に、第2ECUデータ記憶処理を実行する。第2ECUデータ記憶処理では、制御部56は、入出力部50に入力されたECUデータに、送信元、即ち、サーバ11を示す識別情報を含め、この識別情報が含まれたECUデータを記憶部55のECU中継領域B1に記憶する。その後、第2ECUデータ記憶処理を終了する。
制御部56はECUデータ送信処理を周期的に実行する。ECUデータ送信処理では、制御部56は、記憶部55のECU中継領域B1にECUデータが記憶されているか否かを判定する。制御部56は、ECU中継領域B1にECUデータが記憶されていないと判定した場合、ECUデータ送信処理を終了する。制御部56は、ECU中継領域B1にECUデータが記憶されていると判定した場合、ECUデータに含まれる識別情報と、前述した対応表とに基づいて、通信部51,52の中からECUデータを送信すべき通信部を選択する。次に、制御部56は、選択した通信部に指示してECUデータを送信させ、送信されたECUデータをECU中継領域B1から削除する。その後、制御部56はECUデータ送信処理を終了する。
ECUデータに含まれる識別情報がサーバ11を示す場合、例えば、対応表では、サーバ11を示す識別情報に通信部51,52の両方を示す情報が対応付けられており、サーバ11を示す識別情報を含むECUデータはECU21a,21b,22a,22b全てに送信される。例えば、サーバ11の識別情報を含むECUデータに更に送信先を示す送信先情報が含まれている場合においては、ECU21a,21b,22a,22b夫々は、サーバ11の識別情報を含むECUデータを受信したとき、ECUデータに含まれる送信先情報が示す送信先に基づいて、受信したECUデータを受け付けるべきか否かを判定する。この場合、ECU21a,21b,22a,22b夫々は、送信先情報が示す送信先が自装置である場合には、受信したECUデータを受け付け、送信先情報が示す送信先が自装置ではない場合には、受信したECUデータを破棄する。
制御部56は、通信部51,52の一方がECUデータを受信した場合に車両データ出力処理を実行する。車両データ出力処理では、制御部56は、入出力部50に指示して、通信部51,52の一方が受信したECUデータを車両データとして車外中継機30の入出力部41に出力させる。
制御部56は、車外中継機30の入出力部41から入出力部50に関連データが入力された場合に関連データ記憶処理を実行する。関連データ記憶処理では、制御部56は、入出力部50に入力された関連データを記憶部55の関連データ領域B3に記憶する。
図10は、車内中継機31の制御部56が実行する中継停止処理の手順を示すフローチャートである。スイッチ32,33,34,35がオンである場合において、制御部56は中継停止処理を周期的に実行する。まず、制御部56は、記憶部55の関連データ領域B3に記憶されている一又は複数の関連データに基づいて、車外中継機30が行う中継を停止すべきか否かを判定する(ステップS41)。制御部56は判定部として機能する。
記憶部55には、車外中継機30が行う中継を停止すべきか否かを判定するための判定基準が記憶されている。ステップS41では、制御部56は、記憶部55に記憶されている一又は複数の関連データと判定基準とに基づいて車外中継機30が行う中継を停止すべきか否かを判定する。
図11は、車外中継機30の中継を停止すべきか否かを判定するための判定基準を示す図表である。記憶部55には、図11に判定基準J1,J2,・・・,J7が記憶されている。ステップS41では、制御部56は、判定基準J1,J2,・・・,J7の少なくとも1つが満たされた場合、車外中継機30が行う中継を停止すべきと判定し、判定基準J1,J2,・・・,J7全てを満たさない場合、車外中継機30が行う中継を停止すべきではないと判定する。
判定基準J1は、所定期間内に、通信器24から車外中継機30に入力されたサーバデータの認証に失敗した回数が基準失敗回数以上であることである。所定期間内での認証の失敗回数が多いことは、例えば、データと、複数の暗号鍵夫々を用いて該データから生成した複数の認証コードの1つとを繰り返し通信器24に送信し、認証に成功する暗号鍵を検索している可能性を示す。この場合、車外中継機30が行う中継を停止することによって、不適当なデータがECU21a,21b,22a,22b及び電気機器23a,23bの少なくとも1つに中継されることが未然に防止される。
所定期間内に認証が失敗した回数は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準失敗回数は、一定であり、記憶部55に予め記憶されている。
判定基準J2は、所定期間内に、通信器24から車外中継機30に入力されたサーバデータの認証に成功した回数が基準成功回数以上であることである。通常、車外中継機30の制御部56が行う認証は一定の確率で失敗する。このため、所定期間内での認証の成功回数が多いことは、不自然であり、通信器24から車外中継機30の入出力部40に入力されたデータについて認証が成功したと判定されるように、制御プログラムP1が改ざんされている可能性を示す。この場合、車外中継機30が行う中継を停止することによって、改ざんされたプログラムによって生じる問題の発生を抑制することが可能である。
所定期間内に認証が成功した回数は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準成功回数は、一定であり、記憶部55に予め記憶されている。
判定基準J3は、所定期間内に通信器24から車外中継機30の入出力部40に入力されたデータ量が基準受信量以上であることである。所定期間内に大量のデータが通信器24から車外中継機30の入出力部40に入力されていることは、不適当なデータが短い時間間隔で通信器24に継続的に送信されている可能性がある。この場合、車外中継機30が行う中継を停止することによって、不適当なデータの入力を停止することが可能である。
所定期間内に車外中継機30の入出力部40に入力されたデータ量は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準受信量は、一定であり、記憶部55に予め記憶されている。
判定基準J4は、所定期間内に車外中継機30の入出力部40から通信器24に出力したデータ量が基準送信量以上であることである。所定期間内に大量のデータが車外中継機30の入出力部40から通信器24に出力されていることは、制御プログラムP1が改ざんされ、車両データ出力処理又はサーバ送信要求データ出力処理等の内容が変更されている可能性がある。この場合、車外中継機30が行う中継を停止することによって、車両12からの車両データの流出を抑制することが可能である。
所定期間内に車外中継機30の入出力部40から出力されたデータ量は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準送信量は、一定であり、記憶部55に予め記憶されている。
判定基準J5は、特定の車両データが車外中継機30の入出力部40から通信器24に出力されたことである。特定の車両データは、例えば、車外中継機30の入出力部40から通信器24に出力されるはずがない車両データである。従って、特定の車両データが通信器24に出力されたことは、制御プログラムP1が改ざんされ、例えば車両データ出力処理の内容が変更されている可能性を示す。この場合、車外中継機30が行う中継を停止することによって、特定の車両データの流出を抑制することが可能である。
特定の車両データの内容を示す情報を含む内容データは例えば予め記憶部55に記憶されている。この場合、特定の車両データが車外中継機30の入出力部40から出力されたか否かは、関連データ及び内容データに含まれる情報に基づいて判定される。
判定基準J6は、所定期間内に、通信器24から車外中継機30にデータが入力された回数が基準入力回数以上であることである。所定期間内に通信器24から車外中継機30の入出力部40にデータが入力された回数が多いことは、不適当なデータが短い時間間隔で通信器24に継続的に送信されている可能性がある。この場合、車外中継機30が行う中継を停止することによって不適当なデータの入力を停止することが可能である。
所定期間内に車外中継機30の入出力部40にデータが入力された回数は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準入力回数は、一定であり、記憶部55に予め記憶されている。
判定基準J7は、所定期間内に、車外中継機30の入出力部40が通信器24にデータを出力した回数が基準出力回数以上であることである。所定期間内に車外中継機30の入出力部40が通信器24にデータを出力した回数が多いことは、制御プログラムP1が改ざんされ、車両データ出力処理又はサーバ送信要求データ出力処理等の内容が変更されている可能性がある。この場合、車外中継機30が行う中継を停止することによって、車両12からの車両データの流出を抑制することが可能である。
所定期間内に車外中継機30の入出力部40がデータを出力した回数は、関連データ領域B3に記憶されている一又は複数の関連データが示す情報に基づいて算出される。基準出力回数は、一定であり、記憶部55に予め記憶されている。
判定基準J1,J2,・・・,J7夫々に関する所定期間は、一定であり、各別に設定されている。
中継停止処理において、制御部56は、車外中継機30が行う中継を停止すべきと判定した場合(S41:YES)、切替え部53に、スイッチ32,33,34,35をオンからオフに切替えさせることによって、車外中継機30が行う中継を停止させる(ステップS42)。
切替え部53がスイッチ32をオフに切替えることによって、バッテリ25から車外中継機30への電力の供給が停止される。これにより、車外中継機30が行う中継が確実に停止する。切替え部53は給電停止部として機能する。
切替え部53がスイッチ33をオフに切替えることによって、通信器24と、通信器24と車外中継機30の入出力部40との間で行われるデータの入出力、即ち、通信器24を介したサーバ11から入出力部40へのデータの入力と、通信器24を介した入出力部40からサーバ11へのデータの出力が禁止される。これにより、車外中継機30が行う中継が更に確実に停止する。切替え部53は禁止部として機能する。
切替え部53がスイッチ34をオフに切替えることによって、車外中継機30の入出力部41と、車内中継機31の入出力部50との間で行われるデータの入出力が停止される。これにより、サーバ11と、ECU21a,21b,22a,22bの1つとの間で行われるデータの中継が停止される。
切替え部53がスイッチ35をオフに切替えることによって、車外中継機30の通信部42と、電気機器23a,23bの1つとの間で行われるデータの送受信が停止される。これにより、サーバ11と、電気機器23a,23bの1つとの間で行われるデータの中継が停止される。
従って、切替え部53がスイッチ34,35をオフに切替えた場合、サーバ11からECU21a,21b,22a,22b及び電気機器23a,23bにデータが送信されることはなく、ECU21a,21b,22a,22b及び電気機器23a,23b夫々からサーバ11にデータが送信されることもない。このため、切替え部53がスイッチ34,35をオフに切替えた場合、車外中継機30が行う中継が停止される。
中継停止処理では、制御部45は、ステップS42を実行した後、報知部54に指示して報知を行わせる(ステップS43)。報知部54は、例えば、車外中継機30が中継を停止した旨と、判定基準J1,J2,・・・,J7の中で満たされた判定基準とを示すメッセージを表示部に表示する。これにより、使用者はサーバ11と車外中継機30との間で行われる中継に異常が発生したことを認識することができる。
制御部45は、車外中継機30が行う中継を停止すべきではないと判定した場合(S41:NO)、又は、ステップS43を実行した後、中継停止処理を停止する。
以上のように、通信システム1では、制御部56が中継停止処理を実行することによって、車外中継機30の入出力部40に入力されたデータ、又は、車外中継機30の入出力部40から出力されたデータに対して行われるデータ処理、例えば、前述した認証で対応することが不可能な問題の発生を抑制することができる。ここで述べた問題は、制御プログラムP1を改ざんするデータの入出力部40への入力、大量のデータの流出、又は、特定の車両データの流出等である。
(実施の形態2)
実施の形態1における通信システム1では、車両12は、ゲートウェイ20及び通信器24を各別に有する。しかしながら、通信システム1の構成は、車両12がゲートウェイ20及び通信器24を各別に有する構成に限定されない。
以下では、実施の形態2について、実施の形態1と異なる点を説明する。後述する構成を除く実施の形態2の他の構成については、実施の形態1と同様であるため、同様の符号を付してその説明を省略する。
図12は、実施の形態2におけるゲートウェイ20の要部構成を示すブロック図である。実施の形態2における通信システム1では、ゲートウェイ20は、車外中継機30、車内中継機31及びスイッチ32,33,34,35の他に、通信器24を有する。従って、車両12は、ゲートウェイ20内において通信器24を有する。
以上のように構成された実施の形態2における通信システム1も、実施の形態1における通信システム1と同様の効果を奏する。
(実施の形態3)
実施の形態1における通信システム1では、ゲートウェイ20が車外中継機30、車内中継機31及びスイッチ32,33,34,35を有する。しかしながら、通信システム1の構成は、ゲートウェイ20内に、車外中継機30、車内中継機31及びスイッチ32,33,34,35が設けられる構成に限定されない。
以下では、実施の形態3について、実施の形態1と異なる点を説明する。後述する構成を除く実施の形態3の他の構成については、実施の形態1と同様であるため、同様の符号を付してその説明を省略する。
図13は、実施の形態3における通信システム1の要部構成を示すブロック図である。実施の形態3における通信システム1では、車外中継機30、車内中継機31及びスイッチ32,33,34,35は、ゲートウェイ20内に設けられておらず、車両12に直接に含まれている。
以上のように構成された実施の形態3における通信システム1も、実施の形態1における通信システム1と同様の効果を奏する。
(実施の形態4)
実施の形態4では、実施の形態3とは異なる他の構成を説明する。
以下では、実施の形態4について、実施の形態1と異なる点を説明する。後述する構成を除く実施の形態4の他の構成については、実施の形態1と同様であるため、同様の符号を付してその説明を省略する。
図14は、実施の形態4における通信システム1の要部構成を示すブロック図である。実施の形態4における通信システム1では、車両12が有するゲートウェイ20内に、通信器24、車外中継機30及びスイッチ33が含まれている。車内中継機31、スイッチ32,34,35は、車両12内に直接に含まれ、ゲートウェイ20の外側に設けられている。
以上のように構成された実施の形態4における通信システム1も、実施の形態1における通信システム1と同様の効果を奏する。
なお、実施の形態1,2,3,4において、車外中継機30が行う中継を停止するために、車内中継機31の制御部56は、切替え部53にスイッチ32,33,34,35全てをオンからオフに切替えさせなくてもよい。スイッチ32のオフへの切替え、スイッチ33のオフへの切替え、及び、スイッチ34,35のオフへの切替えの1つを切替え部53が行った場合、前述したように、車外中継機30が行う中継が停止される。
また、車内中継機31の制御部56は、入出力部50に指示して、中継の停止を指示する中継停止信号を車外中継機30の入出力部41に出力させることによって、車外中継機30に中継を停止させてもよい。更に、車内中継機31の制御部56は、図示しない出力部に、サーバ11又は車外中継機30とのデータの送受信の停止を指示する送受信停止信号を通信器24に出力する。これにより、通信器24は、サーバ11又は車外中継機30とのデータの送受信を停止し、車外中継機30が行う中継が停止する。このように、制御部56は、出力部に指示して送受信停止信号を通信器24に出力させることによって、車外中継機30を停止してもよい。
車外中継機30の制御部45が行う認証は、暗号鍵を用いた認証に限定されず、受信したデータが正規のデータであるか否かを判定することができる認証であればよい。
関連データには、認証の成否の代わりに、所定期間内に認証が失敗した回数、及び/又は、所定期間内に認証が成功した回数を示す情報が含まれていてもよい。また、関連データには、所定期間内に車外中継機30から入出力部40に入力されたデータ量、及び/又は、所定期間内に車外中継機30の入出力部40から通信器24に出力したデータ量を示す情報が含まれていてもよい。
また、車外中継機30が行う中継を停止すべきか否かを判定するための判定基準は、判定基準J1,J2,・・・,J7に限定されず、例えば、認証を行った回数を母数とする認証の成功率又は失敗率が所定比率以上であることであってもよい。更に、サーバ11が暗号化されたデータを通信器24に送信し、車外中継機30の制御部45が、通信器24から入出力部40に入力されたデータを復号化する場合には、判定基準は、復号化に失敗した回数若しくは成功した回数が所定数以上であること、又は、復号化の失敗率若しくは成功率が所定比率以上であることであってもよい。この場合、関連データには、復号化の失敗又は成功に関する情報が含まれる。
更に、判定基準の数は、7に限定されず、1以上6以下、又は、8以上であってもよい。例えば、中継停止処理のステップS41で用いられる判定基準は、判定基準J1,J2,J5であってもよい。
また、車内中継機31に接続される通信線の数は、2に限定されず、3以上であってもよい。更に、各通信線に接続されるECUの数は、2に限定されず、1又は3以上であってもよい。また、通信線L3に接続される電気機器の数は、2に限定されず、1又は3以上であってもよい。
開示された実施の形態1,2,3,4は全ての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
1 通信システム
11 サーバ(外部装置)
21a,21b,22a,22b ECU(通信装置)
23a,23b 電気機器(第2の通信装置)
30 車外中継機(外部中継機)
31 車内中継機(内部中継機)
40 入出力部(入力部、出力部)
41 入出力部(第2の出力部)
45 制御部(認証部)
53 切替え部(給電停止部、禁止部)
56 制御部(判定部)

Claims (8)

  1. 車両に搭載された複数の通信装置夫々と通信することによって、該複数の通信装置間でデータを中継する内部中継機を備える通信システムにおいて、
    前記内部中継機とデータの受渡しを行うことによって、前記車両の外側にある外部装置と前記通信装置との間でデータを中継する外部中継機を備え、
    該外部中継機は、
    前記外部装置から受信したデータが入力される入力部と、
    前記外部装置に送信するデータを出力する出力部と、
    前記入力部に入力されたデータ、又は、前記出力部が出力したデータに関連する関連データを前記内部中継機に出力する第2の出力部と
    を有し、
    前記内部中継機は、前記第2の出力部が出力した関連データに基づいて、前記外部中継機が行う中継を停止すべきか否かを判定する判定部を有すること
    を特徴とする通信システム。
  2. 前記外部中継機は、前記入力部に入力されたデータを認証する認証部を有し、
    前記関連データは、該認証部が行う認証の失敗又は成功に関する情報を含み、
    前記判定部は、前記認証部が認証に失敗した回数が所定失敗回数以上であるか、又は、前記認証部が認証に成功した回数が所定成功回数以上である場合に前記中継を停止すべきと判定すること
    を特徴とする請求項1に記載の通信システム。
  3. 前記関連データは、前記入力部に入力されたデータ量に関する情報を含み、
    前記判定部は、前記入力部に入力されたデータ量が所定入力データ量以上である場合に前記中継を停止すべきと判定すること
    を特徴とする請求項1又は請求項2に記載の通信システム。
  4. 前記関連データは、前記出力部が出力したデータ量に関する情報を含み、
    前記判定部は、前記出力部が出力したデータ量が所定出力データ量以上である場合に前記中継を停止すべきと判定すること
    を特徴とする請求項1から請求項3に記載の通信システム。
  5. 前記関連データは、前記出力部が出力したデータの内容を示す情報を含み、
    前記判定部は、特定のデータが前記出力部から出力された場合に前記中継を停止すべきと判定すること
    を特徴とする請求項1から請求項4に記載の通信システム。
  6. 前記内部中継機は、前記判定部によって、前記外部中継機が行う前記中継を停止すべきと判定された場合に前記外部中継機への給電を停止する給電停止部を有すること
    を特徴とする請求項1から請求項5のいずれか1つに記載の通信システム。
  7. 前記内部中継機は、前記判定部によって、前記外部中継機が行う前記中継を停止すべきと判定された場合に、該外部装置から前記入力部へのデータの入力と、前記出力部から該外部装置へのデータの出力とを禁止する禁止部を有すること
    を特徴とする請求項1から請求項6のいずれか1つに記載の通信システム。
  8. 前記外部中継機は、前記外部装置と、第2の通信装置との間でデータを中継すること
    を特徴とする請求項1から請求項7のいずれか1つに記載の通信システム。
JP2015181021A 2015-09-14 2015-09-14 通信システム Pending JP2017059894A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2015181021A JP2017059894A (ja) 2015-09-14 2015-09-14 通信システム
US15/758,980 US20190084580A1 (en) 2015-09-14 2016-09-07 Communication system
PCT/JP2016/076269 WO2017047462A1 (ja) 2015-09-14 2016-09-07 通信システム
CN201680052514.9A CN108028759A (zh) 2015-09-14 2016-09-07 通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015181021A JP2017059894A (ja) 2015-09-14 2015-09-14 通信システム

Publications (2)

Publication Number Publication Date
JP2017059894A true JP2017059894A (ja) 2017-03-23
JP2017059894A5 JP2017059894A5 (ja) 2018-03-08

Family

ID=58289248

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015181021A Pending JP2017059894A (ja) 2015-09-14 2015-09-14 通信システム

Country Status (4)

Country Link
US (1) US20190084580A1 (ja)
JP (1) JP2017059894A (ja)
CN (1) CN108028759A (ja)
WO (1) WO2017047462A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021056655A (ja) * 2019-09-27 2021-04-08 株式会社アドヴィックス 車両リプログラミングシステム

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6443482B2 (ja) * 2017-01-13 2018-12-26 株式会社オートネットワーク技術研究所 車載装置、中継装置及びコンピュータプログラム
JP6693577B2 (ja) * 2017-02-01 2020-05-13 富士通株式会社 暗号鍵配信システム、鍵配信ecu、鍵配信プログラム、及び暗号鍵配信方法
JP7110070B2 (ja) * 2018-11-22 2022-08-01 日立Astemo株式会社 データ転送装置、データ転送方法
JP7334614B2 (ja) * 2019-12-24 2023-08-29 株式会社オートネットワーク技術研究所 車載中継装置
WO2021152931A1 (ja) * 2020-01-30 2021-08-05 住友電気工業株式会社 移動中継局、移動通信システム、及び移動中継局の制御方法
JP7355073B2 (ja) * 2021-05-19 2023-10-03 トヨタ自動車株式会社 車両制御装置、車両、車両制御方法及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030147534A1 (en) * 2002-02-06 2003-08-07 Ablay Sewim F. Method and apparatus for in-vehicle device authentication and secure data delivery in a distributed vehicle network
JP2006251851A (ja) * 2005-03-08 2006-09-21 Quality Kk ネットワーク接続制御システム,ネットワーク接続対象端末用プログラムおよびネットワーク接続制御プログラム
WO2013038479A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車載ゲートウェイ装置及び車両用通信システム
JP2013106203A (ja) * 2011-11-14 2013-05-30 Toyota Motor Corp 車両用情報処理装置
US20150200804A1 (en) * 2014-01-13 2015-07-16 Hyundai Motor Company In-vehicle apparatus for efficient reprogramming and control method thereof

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616129B (zh) * 2008-06-27 2012-11-21 成都市华为赛门铁克科技有限公司 防网络攻击流量过载保护的方法、装置和系统
US10200325B2 (en) * 2010-04-30 2019-02-05 Shazzle Llc System and method of delivering confidential electronic files
JP2014058210A (ja) * 2012-09-18 2014-04-03 Hitachi Automotive Systems Ltd 車両制御装置および車両制御システム
US20160071040A1 (en) * 2014-09-05 2016-03-10 Openpeak Inc. Method and system for enabling data usage accounting through a relay
CN104601329B (zh) * 2014-12-26 2018-10-26 深圳市金溢科技股份有限公司 车载终端、车辆信息发布系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030147534A1 (en) * 2002-02-06 2003-08-07 Ablay Sewim F. Method and apparatus for in-vehicle device authentication and secure data delivery in a distributed vehicle network
JP2006251851A (ja) * 2005-03-08 2006-09-21 Quality Kk ネットワーク接続制御システム,ネットワーク接続対象端末用プログラムおよびネットワーク接続制御プログラム
WO2013038479A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車載ゲートウェイ装置及び車両用通信システム
JP2013106203A (ja) * 2011-11-14 2013-05-30 Toyota Motor Corp 車両用情報処理装置
US20150200804A1 (en) * 2014-01-13 2015-07-16 Hyundai Motor Company In-vehicle apparatus for efficient reprogramming and control method thereof

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
柳川 博彦 ほか: "車載情報プラットフォームにおけるセキュリティの研究開発", デンソーテクニカルレビュー, vol. 8, no. 1, JPN6016038097, May 2003 (2003-05-01), JP, pages 46 - 52, ISSN: 0003970447 *
竹森 敬祐: "セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−", 第17回 組込みシステム技術に関するサマーワークショップ(SWEST17), vol. セッション(s3) s3a, JPN6017012154, 28 August 2015 (2015-08-28), ISSN: 0003970448 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021056655A (ja) * 2019-09-27 2021-04-08 株式会社アドヴィックス 車両リプログラミングシステム
JP7423959B2 (ja) 2019-09-27 2024-01-30 株式会社アドヴィックス 車両リプログラミングシステム

Also Published As

Publication number Publication date
WO2017047462A1 (ja) 2017-03-23
CN108028759A (zh) 2018-05-11
US20190084580A1 (en) 2019-03-21

Similar Documents

Publication Publication Date Title
WO2017047462A1 (ja) 通信システム
JP6065113B2 (ja) データ認証装置、及びデータ認証方法
US9577997B2 (en) Authentication system and authentication method
JP5949732B2 (ja) プログラム更新システム及びプログラム更新方法
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
CN107710676B (zh) 网关装置及其控制方法
WO2019159593A1 (ja) 電子制御装置及び通信システム
JP2014193654A (ja) 車載通信システム及び車載中継装置
JP2014078911A (ja) 車載通信システム
JP2018133743A (ja) 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム
US9230433B2 (en) Method and apparatus for authenticating group driving of moving object
JP2013219710A (ja) 車載制御装置の認証システム及び車載制御装置の認証方法
US11228602B2 (en) In-vehicle network system
WO2017126471A1 (ja) 認証システム、認証要求装置、車載電子機器、コンピュータプログラム及び認証処理方法
CN113853766B (zh) 中继装置和车辆通信方法
US11218309B2 (en) Vehicle communication system and vehicle communication method
US20220043460A1 (en) Methods, control devices and vehicles for authentication of transport missions
JP6264066B2 (ja) 中継システム
CN113783879A (zh) 载具控制方法、系统、载具、设备及介质
US20220231997A1 (en) Setting device, communication system, and vehicle communication management method
JP2017147610A (ja) 通信システム及び情報処理装置
JP2013121071A (ja) 中継システム及び、当該中継システムを構成する中継装置、外部装置
WO2023187896A1 (ja) 通信システム、送信機、及び受信機
JP2023166101A (ja) 車両用通信制御システム、および、車両用通信制御方法
KR20220065680A (ko) 차량 통신 시스템, 통신 방법 및 통신 프로그램을 기록한 기록 매체

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190314

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190723