JP5790551B2 - COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD - Google Patents

COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD Download PDF

Info

Publication number
JP5790551B2
JP5790551B2 JP2012057558A JP2012057558A JP5790551B2 JP 5790551 B2 JP5790551 B2 JP 5790551B2 JP 2012057558 A JP2012057558 A JP 2012057558A JP 2012057558 A JP2012057558 A JP 2012057558A JP 5790551 B2 JP5790551 B2 JP 5790551B2
Authority
JP
Japan
Prior art keywords
communication
vehicle
relay
specific
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012057558A
Other languages
Japanese (ja)
Other versions
JP2013192090A (en
Inventor
康 黒岩
康 黒岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2012057558A priority Critical patent/JP5790551B2/en
Publication of JP2013192090A publication Critical patent/JP2013192090A/en
Application granted granted Critical
Publication of JP5790551B2 publication Critical patent/JP5790551B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、車外装置と車載装置との間で通信を行うための技術に関する。   The present invention relates to a technique for performing communication between an external device and an in-vehicle device.

近年、車両では、電子制御化の進歩に伴い、エンジンやブレーキ等といった各種の車両構成品が電子部品を介して制御され、これら電子部品に接続された電子制御装置(ECU)の数も増加傾向にある。このため、複数のECUによってネットワーク(車内LAN)が構築され、ECU相互間での連携動作や情報の共有化を実現している。   In recent years, with the advancement of electronic control in vehicles, various vehicle components such as engines and brakes are controlled via electronic components, and the number of electronic control units (ECUs) connected to these electronic components is also increasing. It is in. For this reason, a network (in-vehicle LAN) is constructed by a plurality of ECUs, and cooperative operation and information sharing between the ECUs is realized.

また、車両には、外部ツール(車外装置)を接続するためのコネクタが設けられ、外部ツールをコネクタに接続してECUと通信を行うことで、車両状態の診断などを行うことができるようになっている。ただし、外部ツールを用いて実施することのできる操作には、セキュリティ関連情報の設定及び解除や、プログラムの書換処理(リプログラミング)など、正規の作業者以外の者が実施すべきでない操作も含まれている。   Further, the vehicle is provided with a connector for connecting an external tool (external device), and the vehicle condition can be diagnosed by connecting the external tool to the connector and communicating with the ECU. It has become. However, operations that can be performed using external tools include operations that should not be performed by persons other than authorized workers, such as setting and canceling security-related information and program rewriting (reprogramming). It is.

そこで、外部ツールに認証機能を持たせ、特定の操作を実施する際にはパスワードの入力を要求することで、非正規の作業者によって特定の操作が実施されることを防止する技術が提案されている(特許文献1参照)。   Therefore, a technique has been proposed to prevent an unauthorized person from performing a specific operation by providing an external tool with an authentication function and requesting a password when performing a specific operation. (See Patent Document 1).

特開平9−250970号公報JP-A-9-250970

しかしながら、特許文献1に記載の認証機能は、外部ツール内で完結しているものであるため、不正な外部ツールが使用された場合に対応できないという問題があった。すなわち、車両に設けられるコネクタ自体は規格化されたものであるため、コネクタの規格を満たしていれば、不正な外部ツールであっても接続して各種操作を実行することが可能である。このため、認証機能を持たない不正な外部ツールをコネクタに接続して、ネットワーク上の通信内容をモニタすることは容易であり、その通信内容からセキュリティ関連の情報が入手されたり、リプログラミングが実施されたりする可能性があった。   However, since the authentication function described in Patent Document 1 is completed within the external tool, there is a problem that it cannot be handled when an unauthorized external tool is used. That is, since the connector itself provided in the vehicle is standardized, even if it is an unauthorized external tool, various operations can be performed if the connector standard is satisfied. For this reason, it is easy to connect an unauthorized external tool that does not have an authentication function to the connector and monitor the communication content on the network. Security-related information can be obtained from the communication content, and reprogramming is performed. There was a possibility of being.

本発明は、こうした問題にかんがみてなされたものであり、不正な車外装置を用いて特定の通信が行われることを抑制するための技術を提供することを目的としている。   The present invention has been made in view of these problems, and an object of the present invention is to provide a technique for suppressing specific communication from being performed using an unauthorized outside device.

本発明の通信システムは、車載装置(20)と通信を行うための車外装置(50)と、車両に搭載され、車外装置と車載装置との間で行われる通信を中継する中継装置(10)と、を備える。中継装置は、実行手段(11)及び車載記憶手段(12)を備える。実行手段は、プログラムに従い処理を実行する。また、車載記憶手段は、車外装置と車載装置との間で行われる特定の通信を中継する特定中継処理を実行手段に実行させるための通信プログラム(121)を、特定中継処理の実行に必要な部分が欠落した状態で記憶する。一方、車外装置は、送信手段(53)を備える。送信手段は、車載記憶手段に記憶された通信プログラムの欠落部分を補う補完プログラム(520)を、中継装置へ送信する。そして、中継装置の実行手段は、車外装置から受信した補完プログラムにより欠落部分が補われた通信プログラムに従い、特定中継処理を実行する。   The communication system of the present invention includes an on-vehicle device (50) for communicating with the on-vehicle device (20), and a relay device (10) mounted on the vehicle and relaying communication between the on-vehicle device and the on-vehicle device. And comprising. The relay device includes execution means (11) and in-vehicle storage means (12). The execution means executes processing according to the program. The in-vehicle storage means also requires a communication program (121) for causing the execution means to execute a specific relay process for relaying a specific communication performed between the external device and the in-vehicle apparatus. It memorizes the state where the part is missing. On the other hand, the vehicle exterior device includes transmission means (53). The transmission means transmits a supplement program (520) that compensates for the missing portion of the communication program stored in the in-vehicle storage means to the relay device. And the execution means of a relay apparatus performs a specific relay process according to the communication program by which the missing part was supplemented with the supplement program received from the vehicle exterior apparatus.

中継装置に記憶されている通信プログラムは、特定中継処理の実行に必要な部分が欠落した状態のものであり、中継装置は、車外装置から補完プログラムを受信することで、特定中継処理を実行可能な状態となる。つまり、車外装置は、中継装置に対して補完プログラムを送信しなければ、車載装置と特定の通信を行うことができない。このため、不正な車外装置を用いて特定の通信が行われてしまうことを抑制することができる。特に、本発明の通信システムでは、補完プログラムを取得していない状態の中継装置は、特定中継処理の実行が可能な状態でそれを禁止するのではなく、特定処理の実行が不可能な状態となっている。したがって、この通信システムによれば、パスワードなどによる認証結果に応じて中継装置が特定中継処理を許可するような構成と比較して、特定の通信が不正に行われてしまうことを抑制する効果を高くすることができる。   The communication program stored in the relay device is in a state where a part necessary for executing the specific relay processing is missing, and the relay device can execute the specific relay processing by receiving the supplement program from the outside device. It becomes a state. In other words, the external device cannot perform specific communication with the in-vehicle device unless it transmits the supplement program to the relay device. For this reason, it can suppress that specific communication will be performed using an unauthorized vehicle outside apparatus. In particular, in the communication system according to the present invention, a relay device that has not acquired a supplement program does not prohibit a specific relay process in a state where it can be executed, but does not prohibit the execution of the specific process. It has become. Therefore, according to this communication system, compared with a configuration in which the relay device permits specific relay processing according to an authentication result such as a password, an effect of suppressing specific communication from being performed illegally is obtained. Can be high.

なお、この欄及び特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。   In addition, the code | symbol in the parenthesis described in this column and a claim shows the correspondence with the specific means as described in embodiment mentioned later as one aspect, Comprising: The technical scope of this invention is shown. It is not limited.

通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of a communication system. 中継処理のフローチャートである。It is a flowchart of a relay process. 通信処理のフローチャートである。It is a flowchart of a communication process.

以下、本発明が適用された実施形態について、図面を用いて説明する。
[1.全体構成]
図1に示す通信システムは、車両に搭載された車載システム1と、車載システム1を構成する電子制御装置(ECU)と通信を行うための外部ツール(外部診断装置)50と、を備える。 Embodiments to which the present invention is applied will be described below with reference to the drawings.
[1. overall structure]
The communication system shown in FIG. 1 includes an in-vehicle system 1 mounted on a vehicle and an external tool (external diagnostic device) 50 for communicating with an electronic control unit (ECU) constituting the in-vehicle system 1.

車載システム1は、車両の内部における各部に設置(搭載)された複数のECUとして、ゲートウェイECU(以下「GW−ECU」という。)10と、種々の機能を有する他の複数のECU20と、を備える。GW−ECU10及び他のECU20は、共用通信線(多重通信線)であるバス30に接続されてネットワーク(車内LAN)を構築し、バス30を介してCAN(Controller Area Network)プロトコルに従った相互通信を行う。   The in-vehicle system 1 includes a gateway ECU (hereinafter referred to as “GW-ECU”) 10 and a plurality of other ECUs 20 having various functions as a plurality of ECUs installed (mounted) in each part inside the vehicle. Prepare. The GW-ECU 10 and the other ECUs 20 are connected to a bus 30 that is a shared communication line (multiplex communication line) to construct a network (in-vehicle LAN), and are connected to each other in accordance with a CAN (Controller Area Network) protocol via the bus 30. Communicate.

GW−ECU10は、外部ツール50を接続するためのデータリンクコネクタ(以下、単に「コネクタ」という。)40と、バス30と、を中継する通信経路31上に設置されている。つまり、車載システム1において、GW−ECU10は、外部ツール50と直接通信を行い、ECU20は、GW−ECU10を介して外部ツール50と通信を行う。換言すれば、外部ツール50は、ECU20に直接接続されるのではなく、GW−ECU10を介して接続され、GW−ECU10は、外部ツール50とECU20との間で行われる通信を中継する中継装置として機能する。   The GW-ECU 10 is installed on a communication path 31 that relays a data link connector (hereinafter simply referred to as “connector”) 40 for connecting an external tool 50 and a bus 30. That is, in the in-vehicle system 1, the GW-ECU 10 communicates directly with the external tool 50, and the ECU 20 communicates with the external tool 50 via the GW-ECU 10. In other words, the external tool 50 is not directly connected to the ECU 20, but is connected via the GW-ECU 10, and the GW-ECU 10 relays communication performed between the external tool 50 and the ECU 20. Function as.

具体的には、GW−ECU10は、CPU11と、フラッシュメモリ12と、LAN通信部13と、車外通信部14と、を備える。CPU11は、フラッシュメモリ12等に記憶されたプログラムに従い処理を実行する。なお、本実施形態の車載システム1では、車両のイグニッションスイッチがオフ状態でもGW−ECU10に電源が供給され、CPU11が処理を実行できるように構成されている。また、CPU11は、車両のイグニッションスイッチがオン状態であるかオフ状態であるかを検出可能に構成されている。   Specifically, the GW-ECU 10 includes a CPU 11, a flash memory 12, a LAN communication unit 13, and an external communication unit 14. The CPU 11 executes processing according to a program stored in the flash memory 12 or the like. Note that the in-vehicle system 1 of the present embodiment is configured such that power is supplied to the GW-ECU 10 even when the ignition switch of the vehicle is off, and the CPU 11 can execute processing. Further, the CPU 11 is configured to be able to detect whether the ignition switch of the vehicle is on or off.

フラッシュメモリ12は、電気的に記憶内容の書換えが可能な不揮発性の記憶装置である。フラッシュメモリ12には、外部ツール50とECU20との間で行われる通信を中継する中継処理をCPU11に実行させるためのプログラムである通信用アプリケーション(以下、単に「通信用アプリ」という。)120が記憶されている。通信用アプリ120には、外部ツール50とECU20との間で行われるセキュリティ通信を中継する特定中継処理をCPU11に実行させるためのプログラムであるセキュリティ通信専用のアプリケーション(以下「セキュリティ通信専用アプリ」という。)121が含まれている。ただし、セキュリティ通信専用アプリ121は、特定中継処理の実行に必要な部分(後述する補完アプリ520に対応する部分)が欠落した不完全な状態で記憶されている。   The flash memory 12 is a nonvolatile storage device that can electrically rewrite stored contents. In the flash memory 12, a communication application (hereinafter simply referred to as “communication application”) 120, which is a program for causing the CPU 11 to execute relay processing for relaying communication performed between the external tool 50 and the ECU 20. It is remembered. The communication application 120 is an application dedicated to security communication (hereinafter referred to as “security communication dedicated application”), which is a program for causing the CPU 11 to execute a specific relay process for relaying security communication performed between the external tool 50 and the ECU 20. .) 121 is included. However, the security communication dedicated application 121 is stored in an incomplete state in which a part necessary for executing the specific relay process (a part corresponding to a complementary application 520 described later) is missing.

LAN通信部13は、バス30を介して他のECU20と通信を行うためのインタフェースである。また、車外通信部14は、通信経路31及びコネクタ40を介して外部ツール50と通信を行うためのインタフェースである。   The LAN communication unit 13 is an interface for communicating with other ECUs 20 via the bus 30. The vehicle exterior communication unit 14 is an interface for communicating with the external tool 50 via the communication path 31 and the connector 40.

各ECU20は、CPU21と、フラッシュメモリ22と、LAN通信部23と、を備える。CPU21は、フラッシュメモリ22等に記憶されたプログラムに従い処理を実行する。フラッシュメモリ22には、各種機能を実現するための処理をCPU21に実行させるためのプログラムが記憶されている。LAN通信部23は、バス30を介してGW−ECU10や他のECU20と通信を行うためのインタフェースである。   Each ECU 20 includes a CPU 21, a flash memory 22, and a LAN communication unit 23. The CPU 21 executes processing according to a program stored in the flash memory 22 or the like. The flash memory 22 stores a program for causing the CPU 21 to execute processing for realizing various functions. The LAN communication unit 23 is an interface for communicating with the GW-ECU 10 and other ECUs 20 via the bus 30.

外部ツール50は、コネクタ40に接続された状態で、車両の内部に設置されたECU20を介した車両状態の診断、データの読み出し、ECU20の機能による制御部品の制御、GW−ECU10やECU20に記憶されているプログラムの書換処理であるリプログラミング(以下、単に「リプロ」という。)などを行う機能を有した装置である。   The external tool 50 is connected to the connector 40, diagnoses the vehicle state via the ECU 20 installed in the vehicle, reads out data, controls the control component by the function of the ECU 20, and stores it in the GW-ECU 10 and the ECU 20. It is a device having a function of performing reprogramming (hereinafter, simply referred to as “repro”) which is a rewriting process of a program being executed.

具体的には、外部ツール50は、制御部51と、記憶部52と、通信部53と、を備える。制御部51は、CPU、ROM、RAM等を備え、各種処理を実行する。記憶部52には、GW−ECU10に記憶されている不完全な状態のセキュリティ通信専用アプリ121の欠落部分を補う補完アプリ520が、暗号化された状態で記憶されている。つまり、外部ツール50とECU20との間で行われるセキュリティ通信を中継するためのアプリケーションが、GW−ECU10と外部ツール50とに分離して保存されている。通信部53は、コネクタ40を介してGW−ECU10やECU20と通信を行うためのインタフェースである。なお、外部ツール50は、汎用のパーソナルコンピュータやスマートフォン(多機能型携帯電話機)などを用いて構成してもよい。   Specifically, the external tool 50 includes a control unit 51, a storage unit 52, and a communication unit 53. The control unit 51 includes a CPU, a ROM, a RAM, and the like, and executes various processes. In the storage unit 52, a supplementary application 520 that compensates for a missing part of the incomplete security communication application 121 stored in the GW-ECU 10 is stored in an encrypted state. That is, an application for relaying security communication performed between the external tool 50 and the ECU 20 is stored separately in the GW-ECU 10 and the external tool 50. The communication unit 53 is an interface for communicating with the GW-ECU 10 and the ECU 20 via the connector 40. The external tool 50 may be configured using a general-purpose personal computer, a smartphone (multifunctional mobile phone), or the like.

[2.処理]
次に、本実施形態の通信システムで実行される処理(通信方法)について説明する。まず、GW−ECU10のCPU11が実行する中継処理について、図2のフローチャートを用いて説明する。CPU11は、まずS101で、外部ツール50がコネクタ40に接続されているか否かを判定し、接続されていると判定すると(S101:YES)、処理をS102へ移行させる。なお、外部ツール50がコネクタ40に接続されているか否かは、例えば、接続を検出するためのセンサ等をコネクタ40に設けて判定してもよく、また、車外通信部14を介した信号の送受信に基づき判定してもよい。 [2. processing]
Next, processing (communication method) executed in the communication system of the present embodiment will be described. First, relay processing executed by the CPU 11 of the GW-ECU 10 will be described with reference to the flowchart of FIG. First, in S101, the CPU 11 determines whether or not the external tool 50 is connected to the connector 40. If the CPU 11 determines that the external tool 50 is connected (S101: YES), the process proceeds to S102. Whether or not the external tool 50 is connected to the connector 40 may be determined, for example, by providing a sensor or the like for detecting the connection in the connector 40, and the signal transmitted via the vehicle exterior communication unit 14 may be determined. You may determine based on transmission / reception.

S102で、CPU11は、車両のイグニッションスイッチがオン状態であるか否かを判定し、オン状態であると判定した場合には(S102:YES)、処理をS103へ移行させる。S103で、CPU11は、外部ツール50から通信が終了したことの通知(後述するS206で送信される通知)を受信したか否かを判定し、その通知を受信していないと判定した場合には(S103:NO)、処理をS104へ移行させる。   In S102, the CPU 11 determines whether or not the ignition switch of the vehicle is in an on state. If it is determined that the vehicle is in an on state (S102: YES), the process proceeds to S103. In S103, the CPU 11 determines whether or not a communication end notification (notification transmitted in S206 to be described later) has been received from the external tool 50, and determines that the notification has not been received. (S103: NO), the process proceeds to S104.

S104で、CPU11は、外部ツール50の要求する通信がセキュリティ通信であるか否かを判定する。本実施形態では、外部ツール50とECU20との間で行われる通信が、セキュリティレベルに応じて通常通信とセキュリティ通信とにあらかじめ分類されている。例えば、イモビライザ制御を行うECU20に記憶された認証コードが読み出されたり書き換えられたりすると、イモビライザによる盗難防止機能が無効となり車両が盗難されてしまう可能性がある。このように、高いセキュリティ性が要求される通信(換言すれば、不正な外部ツールが用いられないようにする必要性の高い通信)は、セキュリティ通信に分類される。一方、例えば通常の診断のように、低いセキュリティ性でも問題のない通信(換言すれば、不正な外部ツールが用いられないようにする必要性の低い通信)は、通常通信に分類される。   In S104, the CPU 11 determines whether the communication requested by the external tool 50 is security communication. In the present embodiment, the communication performed between the external tool 50 and the ECU 20 is classified in advance into normal communication and security communication according to the security level. For example, if the authentication code stored in the ECU 20 that performs immobilizer control is read or rewritten, the antitheft function by the immobilizer may be invalidated and the vehicle may be stolen. In this way, communication that requires high security (in other words, communication that is highly necessary to prevent unauthorized external tools from being used) is classified as security communication. On the other hand, communication that has no problem even with low security (in other words, communication that is less necessary to prevent unauthorized external tools from being used), such as normal diagnosis, is classified as normal communication.

CPU11は、外部ツール50の要求する通信がセキュリティ通信でない(通常通信である)と判定した場合には(S104:NO)、処理をS105へ移行させる。そして、S105で、CPU11は、外部ツール50とECU20との間で行われる通常通信を中継する通常中継処理を実行する。この通常中継処理には、セキュリティ通信専用アプリ121は不要である。なお、CPU11は、通常中継処理を開始した後に、処理をS101へ移行させる。つまり、S101〜S105の処理が、これらの判定結果が変化しない間は繰り返され、その間は通常中継処理(通常通信)が継続される。   When determining that the communication requested by the external tool 50 is not security communication (normal communication) (S104: NO), the CPU 11 shifts the processing to S105. In S105, the CPU 11 executes normal relay processing for relaying normal communication performed between the external tool 50 and the ECU 20. This normal relay process does not require the security communication dedicated application 121. The CPU 11 shifts the process to S101 after starting the normal relay process. That is, the processing of S101 to S105 is repeated while these determination results do not change, and normal relay processing (normal communication) is continued during that time.

そして、CPU11は、S102で車両のイグニッションスイッチがオン状態でないと判定した場合や(S102:NO)、S103で外部ツール50から通信が終了したことの通知を受信したと判定した場合に(S103:YES)、処理をS106へ移行させる。   When the CPU 11 determines in S102 that the ignition switch of the vehicle is not turned on (S102: NO), or when it is determined in S103 that the communication has been received from the external tool 50 (S103: YES), the process proceeds to S106.

S106で、CPU11は、通信用アプリ120がリプロを実施された状態であるか否かを判定する。通信用アプリ120のリプロは、後述するように、セキュリティ通信を行う場合に実施され、通常通信を行う場合には実施されない。CPU11は、通信用アプリ120がリプロを実施された状態でないと判定すると(S106:NO)、そのまま処理をS101へ移行させる。なお、この段階で、通常中継処理(通常通信)が終了する。   In S <b> 106, the CPU 11 determines whether or not the communication application 120 is in a state where repro is executed. As will be described later, the repro of the communication application 120 is performed when security communication is performed, and is not performed when normal communication is performed. If the CPU 11 determines that the communication application 120 is not in a state of being reproposed (S106: NO), the CPU 11 proceeds to S101 as it is. At this stage, normal relay processing (normal communication) ends.

一方、CPU11は、外部ツール50の要求する通信がセキュリティ通信であると判定した場合には(S104:YES)、処理をS107へ移行させる。そして、S107で、CPU11は、通信用アプリ120がリプロを実施された状態であるか否かを判定する。   On the other hand, if the CPU 11 determines that the communication requested by the external tool 50 is security communication (S104: YES), the CPU 11 shifts the processing to S107. In S107, the CPU 11 determines whether or not the communication application 120 is in a state in which repro is executed.

CPU11は、通信用アプリ120がリプロを実施された状態でないと判定した場合には(S107:NO)、処理をS108に移行させ、通信用アプリ120のリプロを外部ツール50に要求する。ここで、通信用アプリ120のリプロとは、不完全な状態のセキュリティ通信専用アプリ121の欠落部分を補い、完全な状態にするためのプログラムの書換処理である。つまり、通信用アプリ120のリプロの要求とは、換言すれば、補完アプリ520の送信要求である。   If the CPU 11 determines that the communication application 120 is not in the state of being reproposed (S107: NO), the CPU 11 shifts the processing to S108 and requests the external tool 50 to repropose the communication application 120. Here, the repro of the communication application 120 is a program rewriting process to make up for a missing part of the incomplete security communication application 121 and to make it complete. That is, the repro request for the communication application 120 is, in other words, a transmission request for the complementary application 520.

続いて、CPU11は、S109で、通信用アプリ120のリプロが可能であるか否かを判定する。具体的には、外部ツール50から補完アプリ520が送信されない場合には、通信用アプリ120のリプロが可能でないと判定して(S109:NO)、処理をS101へ移行させる。つまり、外部ツール50が、補完アプリ520を有していない不正な(非正規の)外部ツールである場合には、セキュリティ通信を行うことができない。   Subsequently, in S109, the CPU 11 determines whether or not the communication application 120 can be reproposed. Specifically, when the complementary application 520 is not transmitted from the external tool 50, it is determined that the communication application 120 cannot be reproposed (S109: NO), and the process proceeds to S101. That is, when the external tool 50 is an unauthorized (non-regular) external tool that does not have the complementary application 520, security communication cannot be performed.

一方、CPU11は、外部ツール50から補完アプリ520が送信された場合には、通信用アプリ120のリプロが可能であると判定して(S109:YES)、処理をS110へ移行させて、通信用アプリ120のリプロを実施する。具体的には、外部ツール50から受信した補完アプリ520を用いて、不完全な状態のセキュリティ通信専用アプリ121の欠落部分を補い、完全な状態のセキュリティ通信専用アプリ121を構成する。本実施形態では、補完アプリ520が暗号化されたままの状態で外部ツール50からGW−ECU10へ送信される。このため、CPU11は、外部ツール50から受信した補完アプリ520を復号した後、通信用アプリ120のリプロを実施する。その後、CPU11は、処理をS101へ移行させる。   On the other hand, when the complementary application 520 is transmitted from the external tool 50, the CPU 11 determines that the communication application 120 can be reproposed (S109: YES), and shifts the processing to S110 for communication. Implement repro of app 120. Specifically, using the supplementary application 520 received from the external tool 50, the missing part of the incomplete security communication application 121 is compensated to configure the complete security communication application 121. In the present embodiment, the supplementary application 520 is transmitted from the external tool 50 to the GW-ECU 10 in an encrypted state. For this reason, the CPU 11 decrypts the complementary application 520 received from the external tool 50 and then executes the repro of the communication application 120. Thereafter, the CPU 11 shifts the process to S101.

通信用アプリ120のリプロが実施された後のS107では、CPU11は、通信用アプリ120がリプロを実施された状態であると判定し(S107:YES)、処理をS111に移行させる。S111で、CPU11は、リプロが実施された後の経過時間が制限時間内(例えば10分以内)であるか否かを判定し、制限時間内であると判定した場合には(S111:YES)、処理をS112へ移行させる。そして、S112で、CPU11は、外部ツール50とECU20との間で行われるセキュリティ通信を中継する特定中継処理を実行する。セキュリティ通信専用アプリ121は、この特定中継処理をCPU11に実行させるためのプログラムである。なお、CPU11は、特定中継処理を開始した後に、処理をS101へ移行させる。つまり、S101〜S104,S107,S111,S112の処理が、これらの判定結果が変化しない間は繰り返され、その間は特定中継処理(セキュリティ通信)が継続される。   In S107 after the repro of the communication application 120 is performed, the CPU 11 determines that the communication application 120 is in a state of being reproposed (S107: YES), and shifts the processing to S111. In S111, the CPU 11 determines whether or not the elapsed time after the repro is performed is within the time limit (for example, within 10 minutes), and if it is determined that it is within the time limit (S111: YES). Then, the process proceeds to S112. In step S112, the CPU 11 executes specific relay processing for relaying security communication performed between the external tool 50 and the ECU 20. The security communication dedicated application 121 is a program for causing the CPU 11 to execute the specific relay process. The CPU 11 shifts the process to S101 after starting the specific relay process. That is, the processes of S101 to S104, S107, S111, and S112 are repeated while these determination results do not change, and the specific relay process (security communication) is continued during that period.

そして、CPU11は、S102で車両のイグニッションスイッチがオン状態でないと判定した場合や(S102:NO)、S103で外部ツール50から通信が終了したことの通知を受信したと判定した場合に(S103:YES)、処理をS106へ移行させる。S106で、CPU11は、通信用アプリ120がリプロを実施された状態であるか否かを判定し、リプロを実施された状態であると判定すると(S106:YES)、処理をS113へ移行させる。   When the CPU 11 determines in S102 that the ignition switch of the vehicle is not turned on (S102: NO), or when it is determined in S103 that the communication has been received from the external tool 50 (S103: YES), the process proceeds to S106. In S106, the CPU 11 determines whether or not the communication application 120 is in a state where repro is implemented. If the CPU 11 determines that the communication application 120 is in a state where repro is implemented (S106: YES), the process proceeds to S113.

また、CPU11は、S111でリプロが実施された後の経過時間が制限時間内でない(制限時間を超えた)と判定した場合にも(S111:NO)、処理をS113へ移行させる。   Also, when the CPU 11 determines that the elapsed time after the repro is executed in S111 is not within the time limit (exceeds the time limit) (S111: NO), the CPU 11 shifts the processing to S113.

S113で、CPU11は、外部ツール50から受信した補完アプリ520を除去し、通信用アプリ120をリプロを実施する前の状態(セキュリティ通信専用アプリ121における特定中継処理の実行に必要な部分が欠落した不完全な状態)に戻す処理を行う。具体的には、前述したS110で、リプロを実施する前の不完全な状態の通信用アプリ120をそのまま残しつつ、新たに完全な状態の通信用アプリ120を生成した場合には、その完全な状態の通信用アプリ120を削除する。一方、前述したS110で、リプロを実施する前の不完全な状態の通信用アプリ120自体を書き換える形で、完全な状態の通信用アプリ120を生成した場合には、その完全な状態の通信用アプリ120を再度書き換えて(リプロを実施して)、不完全な状態の通信用アプリ120に戻す。その後、CPU11は、処理をS101へ移行させる。なお、この段階で、特定中継処理(セキュリティ通信)が終了する。   In S113, the CPU 11 removes the complementary application 520 received from the external tool 50, and is in a state before executing the repro for the communication application 120 (the part necessary for executing the specific relay process in the security communication dedicated application 121 is missing). To return to the incomplete state. Specifically, in S110 described above, when the communication application 120 in the incomplete state before the repro implementation is left as it is and the communication application 120 in the complete state is newly generated, the complete The communication application 120 in the state is deleted. On the other hand, if the communication application 120 in a complete state is rewritten in S110 described above to rewrite the communication application 120 in an incomplete state before the repro is executed, the communication application in the complete state is generated. The application 120 is rewritten again (repro is executed), and the communication application 120 is returned to the incomplete state. Thereafter, the CPU 11 shifts the process to S101. At this stage, the specific relay process (security communication) ends.

次に、外部ツール50がコネクタ40に接続されたことを契機に、外部ツール50の制御部51が実行する通信処理について、図3のフローチャートを用いて説明する。制御部51は、まずS201で、ECU20とセキュリティ通信を行うか否か(通常通信を行うか)を判定する。なお、外部ツール50を用いてどのような操作が実施されるかは外部ツール50のユーザ(作業者)によって決められることであり、S201では、ユーザによる操作や設定内容に基づき、ユーザが実施しようとする操作がセキュリティ通信及び通常通信のいずれに分類されるものであるかを判定する。   Next, communication processing executed by the control unit 51 of the external tool 50 when the external tool 50 is connected to the connector 40 will be described with reference to the flowchart of FIG. First, in S201, the control unit 51 determines whether to perform security communication with the ECU 20 (whether to perform normal communication). Note that what operation is performed using the external tool 50 is determined by the user (operator) of the external tool 50. In S201, the user is to perform the operation based on the user's operation and setting contents. It is determined whether the operation to be classified into security communication or normal communication.

制御部51は、セキュリティ通信を行わない(通常通信を行う)と判定した場合には(S201:NO)、処理をS202へ移行させ、GW−ECU10を介してECU20と通常通信を行う。通常通信が終了すると、制御部51は、処理をS206へ移行させ、通信が終了したことの通知をGW−ECU10へ送信する。そして、図3の通信処理を終了する。   When it is determined that security communication is not performed (normal communication is performed) (S201: NO), the control unit 51 shifts the process to S202 and performs normal communication with the ECU 20 via the GW-ECU 10. When the normal communication ends, the control unit 51 shifts the process to S206 and transmits a notification that the communication is ended to the GW-ECU 10. Then, the communication process in FIG. 3 ends.

一方、制御部51は、ECU20とセキュリティ通信を行うと判定した場合には(S201:YES)、処理をS203へ移行させ、GW−ECU10に対してセキュリティ通信を要求する。これにより、前述したように(S108)、GW−ECU10から通信用アプリ120のリプロが要求される。GW−ECU10から通信用アプリ120のリプロが要求されると、制御部51は、処理をS204へ移行させ、通信用アプリ120のリプロのための処理を行う。具体的には、GW−ECU10へ補完アプリ520を送信して、GW−ECU10に通信用アプリ120のリプロを実施させる。   On the other hand, if it is determined that the security communication with the ECU 20 is to be performed (S201: YES), the control unit 51 shifts the process to S203 and requests the GW-ECU 10 for security communication. As a result, as described above (S108), the GW-ECU 10 requests a repro of the communication application 120. When the GW-ECU 10 requests the repro of the communication application 120, the control unit 51 shifts the process to S204 and performs the process for the repro of the communication application 120. Specifically, the supplementary application 520 is transmitted to the GW-ECU 10 to cause the GW-ECU 10 to perform the repro of the communication application 120.

通信用アプリ120のリプロがGW−ECU10で実施された後、制御部51は、処理をS205へ移行させ、GW−ECU10を介してECU20とセキュリティ通信を行う。セキュリティ通信が終了すると、制御部51は、処理をS206へ移行させ、通信が終了したことの通知をGW−ECU10へ送信する。そして、図3の通信処理を終了する。   After the repro of the communication application 120 is performed by the GW-ECU 10, the control unit 51 shifts the process to S205 and performs security communication with the ECU 20 via the GW-ECU 10. When the security communication is finished, the control unit 51 shifts the process to S206 and transmits a notification that the communication is finished to the GW-ECU 10. Then, the communication process in FIG. 3 ends.

[3.効果]
以上説明したように、GW−ECU10は、外部ツール50から補完アプリ520を受信して通信用アプリ120のリプロを実施することで、特定中継処理を実行可能な状態となる。つまり、外部ツール50は、GW−ECU10に対して補完アプリ520を送信しなければ、ECU20とセキュリティ通信を行うことができない。このため、不正な外部ツールを用いてセキュリティ通信が行われてしまうことを抑制することができる。なお、セキュリティ通信専用アプリ121から欠落させるプログラムのサイズ(換言すれば、補完アプリ520のサイズ)は、特に限定されないが、できるだけ小さくすることで、通信用アプリ120のリプロに要する時間を短くすることができる。 [3. effect]
As described above, the GW-ECU 10 can execute the specific relay process by receiving the complementary application 520 from the external tool 50 and performing the repro of the communication application 120. That is, the external tool 50 cannot perform security communication with the ECU 20 unless it transmits the complementary application 520 to the GW-ECU 10. For this reason, it can suppress that security communication is performed using an unauthorized external tool. Note that the size of the program to be omitted from the security communication dedicated application 121 (in other words, the size of the complementary application 520) is not particularly limited. Can do.

特に、本実施形態の通信システムでは、補完アプリ520を取得していない状態のGW−ECU10は、特定中継処理の実行が可能な状態でそれを禁止するのではなく、特定処理の実行が不可能な状態となっている。したがって、この通信システムによれば、パスワードなどによる認証結果に応じてGW−ECU10が特定中継処理を許可するような構成と比較して、セキュリティ通信が不正に行われてしまうことを抑制する効果を高くすることができる。しかも、不正な外部ツールの作成を困難にすることができる。その結果、例えば、イモビライザ制御を行うECUへの不正アクセスにより、イモビライザによる盗難防止機能を無効化するといった不正行為を抑制することができる。   In particular, in the communication system according to the present embodiment, the GW-ECU 10 that has not acquired the complementary application 520 does not prohibit the execution of the specific relay process but cannot execute the specific process. It is in a state. Therefore, according to this communication system, compared with a configuration in which the GW-ECU 10 permits specific relay processing according to an authentication result such as a password, an effect of suppressing the security communication from being performed illegally is obtained. Can be high. Moreover, it is possible to make it difficult to create unauthorized external tools. As a result, for example, an illegal act of invalidating a theft prevention function by the immobilizer can be suppressed by an unauthorized access to the ECU that performs immobilizer control.

また、GW−ECU10(CPU11)は、特定中継処理の実行を開始した後、所定の終了条件が成立したと判定した時点で、セキュリティ通信専用アプリ121を欠落部分が補われる前の状態に戻して、特定中継処理(セキュリティ通信)を終了する処理を行う。このため、正規の外部ツール50が用いられた後、GW−ECU10に残存した完全な状態のセキュリティ通信専用アプリ121を利用して、不正な外部ツールによるセキュリティ通信が行われてしまうことを抑制することができる。   Further, after starting the execution of the specific relay process, the GW-ECU 10 (CPU 11) returns the security communication dedicated application 121 to the state before the missing part is compensated when it is determined that the predetermined end condition is satisfied. Then, a process for ending the specific relay process (security communication) is performed. For this reason, after the regular external tool 50 is used, it is possible to prevent the security communication by an unauthorized external tool from being performed using the complete security communication application 121 remaining in the GW-ECU 10. be able to.

特に、セキュリティ通信の終了条件には、特定中継処理の実行可能時間を制限するための条件が含まれる。このため、外部ツール50から送信されるべき通信が終了したことの通知が何らかの理由で受信できない状況においても、セキュリティ通信を行うことのできない状態に戻すことができる。   In particular, the condition for terminating the security communication includes a condition for limiting the executable time of the specific relay process. For this reason, even in a situation where the notification that the communication to be transmitted from the external tool 50 has ended cannot be received for some reason, it is possible to return to a state where security communication cannot be performed.

また、セキュリティ通信の終了条件には、車両のイグニッションスイッチがオフ状態の場合に特定中継処理を禁止するための条件が含まれる。つまり、イグニッションスイッチをオン状態にすることが通信を許可するための1つの条件となるため、イグニッションスイッチの状態に関係なく通信を許可する構成と比較して、セキュリティ性を高くすることができる。   In addition, the condition for terminating the security communication includes a condition for prohibiting the specific relay process when the ignition switch of the vehicle is in the OFF state. That is, since turning on the ignition switch is one condition for permitting communication, the security can be enhanced as compared with the configuration permitting communication regardless of the state of the ignition switch.

また、セキュリティ通信の終了条件には、外部ツール50からセキュリティ通信の終了が通知された後に特定中継処理を禁止するための条件が含まれる。このため、外部ツール50で行うべき通信が終了した時点で、直ちにセキュリティ通信を行うことのできない状態に戻すことができる。   The security communication end condition includes a condition for prohibiting the specific relay processing after the end of the security communication is notified from the external tool 50. For this reason, when the communication to be performed by the external tool 50 is completed, it is possible to immediately return to a state where the security communication cannot be performed.

一方、外部ツール50は、補完アプリ520を暗号化した状態で記憶する記憶部52を備えるため、暗号化せずに記憶する構成と比較して、補完アプリ520をセキュリティ性の高い状態で管理することができる。   On the other hand, since the external tool 50 includes the storage unit 52 that stores the complementary application 520 in an encrypted state, the external tool 50 manages the complementary application 520 in a highly secure state as compared with a configuration in which the external application 50 is stored without encryption. be able to.

また、本実施形態の通信システムでは、外部ツール50とECU20との間で行われる通信を、通常通信とセキュリティ通信とに大別し、通常通信については通信用アプリ120のリプロを実施することなく行うことができるようにしている。このため、すべての通信について通信用アプリ120のリプロを実施する構成と比較して、低いセキュリティ性で問題のない通信が開始されるまでの時間を短くすることができる。   In the communication system according to the present embodiment, communication performed between the external tool 50 and the ECU 20 is roughly classified into normal communication and security communication, and the communication application 120 is not reproposed for normal communication. To be able to do. For this reason, compared with the structure which implements the repro of the communication application 120 about all the communication, time until communication without a problem with low security can be shortened.

なお、本実施形態では、GW−ECU10が中継装置の一例に相当し、CPU11が実行手段の一例に相当し、フラッシュメモリ12が車載記憶手段の一例に相当し、セキュリティ通信専用アプリ121が通信プログラムの一例に相当する。また、S110が補完ステップの一例に相当し、S112が実行ステップの一例に相当し、S204が送信ステップの一例に相当する。また、外部ツール50が車外装置の一例に相当し、記憶部52が車外記憶手段の一例に相当し、補完アプリ520が補完プログラムの一例に相当し、通信部53が送信手段の一例に相当する。また、ECU20が車載装置の一例に相当し、セキュリティ通信が特定の通信の一例に相当する。   In this embodiment, the GW-ECU 10 corresponds to an example of a relay device, the CPU 11 corresponds to an example of an execution unit, the flash memory 12 corresponds to an example of an in-vehicle storage unit, and the security communication dedicated application 121 is a communication program. It corresponds to an example. Further, S110 corresponds to an example of a complement step, S112 corresponds to an example of an execution step, and S204 corresponds to an example of a transmission step. In addition, the external tool 50 corresponds to an example of an external device, the storage unit 52 corresponds to an example of an external storage unit, the complement application 520 corresponds to an example of a supplement program, and the communication unit 53 corresponds to an example of a transmission unit. . The ECU 20 corresponds to an example of an in-vehicle device, and the security communication corresponds to an example of specific communication.

[4.他の実施形態]
以上、本発明の実施形態について説明したが、本発明は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。 [4. Other Embodiments]
As mentioned above, although embodiment of this invention was described, it cannot be overemphasized that this invention can take a various form, without being limited to the said embodiment.

上記実施形態では、補完アプリ520が外部ツール50の記憶部52に記憶された構成を例示したが、これに限定されるものではない。例えば、外部ツール50以外の場所(他の装置や他の記憶媒体など)に補完アプリ520が記憶され、外部ツール50がその場所から補完アプリ520を取得して10へ送信するようにしてもよい。具体的には、例えば、外部ツール50により読み取り可能なSDカードやメモリースティック(登録商標)等の不揮発性の可搬型記憶媒体に補完アプリ520を記憶させてもよい。また例えば、外部ツール50とコネクタ40とを接続する中間ケーブルに記憶媒体を設け、その記憶媒体に補完アプリ520を記憶させてもよい。   In the above embodiment, the configuration in which the complementary application 520 is stored in the storage unit 52 of the external tool 50 is exemplified, but the present invention is not limited to this. For example, the complementary application 520 may be stored in a place other than the external tool 50 (another device or other storage medium), and the external tool 50 may acquire the complementary application 520 from the place and send it to 10. . Specifically, for example, the complementary application 520 may be stored in a non-volatile portable storage medium such as an SD card or a Memory Stick (registered trademark) that can be read by the external tool 50. In addition, for example, a storage medium may be provided in an intermediate cable connecting the external tool 50 and the connector 40, and the complementary application 520 may be stored in the storage medium.

1…車載システム、10…GW−ECU、11…CPU、12…フラッシュメモリ、20…ECU、50…外部ツール、53…通信部、121…セキュリティ通信専用アプリ、520…補完アプリ   DESCRIPTION OF SYMBOLS 1 ... In-vehicle system, 10 ... GW-ECU, 11 ... CPU, 12 ... Flash memory, 20 ... ECU, 50 ... External tool, 53 ... Communication part, 121 ... Security communication exclusive application, 520 ... Complementary application

Claims (9)

車載装置(20)と通信を行うための車外装置(50)と、
車両に搭載され、前記車外装置と前記車載装置との間で行われる通信を中継する中継装置(10)と、
を備え、
前記中継装置は、
プログラムに従い処理を実行する実行手段(11)と、
前記車外装置と前記車載装置との間で行われる通信を中継する中継処理を前記実行手段に実行させるための通信プログラム(12を記憶する車載記憶手段(12)と、を備え、
前記通信プログラムには、前記車外装置と前記車載装置との間で行われる特定の通信を中継する特定中継処理を前記実行手段に実行させるための特定通信プログラム(121)が含まれ、
前記車載記憶手段は、前記特定通信プログラムを、前記特定中継処理の実行に必要な部分が欠落した状態で記憶し、
前記車外装置は、
前記車載記憶手段に記憶された前記特定通信プログラムの欠落部分を補う補完プログラム(520)を記憶する車外記憶手段(52)と
前記補完プログラムを前記中継装置へ送信する送信手段(53)と、を備え、
前記実行手段は、前記車外装置から受信した前記補完プログラムにより前記欠落部分が補われた前記特定通信プログラムに従い、前記特定中継処理を実行する
ことを特徴とする通信システム。 An external device (50) for communicating with the in-vehicle device (20);
A relay device (10) that is mounted on a vehicle and relays communication performed between the external device and the in-vehicle device;
With
The relay device is
Execution means (11) for executing processing according to a program;
A vehicle memory means (12) for memorize a communications program (12 0) for performing a relay processing in you relay is Ru communication carried out between the vehicle-mounted apparatus and the outside device to the execution unit, With
The communication program includes a specific communication program (121) for causing the execution means to execute a specific relay process for relaying specific communication performed between the external device and the in-vehicle device,
The in-vehicle storage means stores the specific communication program in a state where a part necessary for execution of the specific relay process is missing,
The outside device is
Vehicle storage means (52) for storing a complementing program (520) for compensating for the missing part of the specific communication program stored in the vehicle storage means ;
Comprising a transmitting means (53) for transmitting said complementary program to the relay device,
The said execution means performs the said specific relay process according to the said specific communication program by which the said missing part was supplemented with the said supplement program received from the said external device. The communication system characterized by the above-mentioned. 請求項1に記載の通信システムであって、
前記実行手段は、前記特定中継処理の実行を開始した後、所定の終了条件が成立したと判定した時点で、前記特定通信プログラムを前記欠落部分が補われる前の状態に戻すための処理を行う
ことを特徴とする通信システム。 The communication system according to claim 1,
The execution means performs processing for returning the specific communication program to a state before the missing portion is compensated when it is determined that a predetermined end condition is satisfied after execution of the specific relay processing is started. A communication system characterized by the above. 請求項2に記載の通信システムであって、
前記終了条件には、前記特定中継処理の実行可能時間を制限するための条件が含まれる
ことを特徴とする通信システム。 A communication system according to claim 2,
The termination condition includes a condition for limiting an executable time of the specific relay process. 請求項2又は請求項3に記載の通信システムであって、
前記終了条件には、車両のイグニッションスイッチがオフ状態の場合に前記特定中継処理を禁止するための条件が含まれる
ことを特徴とする通信システム。 The communication system according to claim 2 or claim 3,
The termination condition includes a condition for prohibiting the specific relay processing when an ignition switch of a vehicle is in an OFF state. 請求項2から請求項4までのいずれか1項に記載の通信システムであって、
前記終了条件には、前記車外装置から前記特定の通信の終了が通知された後に前記特定中継処理を禁止するための条件が含まれる
ことを特徴とする通信システム。 A communication system according to any one of claims 2 to 4, wherein
The end condition includes a condition for prohibiting the specific relay process after the end of the specific communication is notified from the outside device. 請求項1から請求項5までのいずれか1項に記載の通信システムであって、
前記車外記憶手段は、前記補完プログラムを暗号化した状態で記憶す
とを特徴とする通信システム。 A communication system according to any one of claims 1 to 5, wherein
It said outside memory means, you storage while encrypting the complementary program
Communication system comprising a call. 車両に搭載され、車外装置と車載装置との間で行われる通信を中継する中継装置であって、
プログラムに従い処理を実行する実行手段と、
前記車外装置と前記車載装置との間で行われる通信を中継する中継処理を前記実行手段に実行させるための通信プログラムを記憶する車載記憶手段と、
を備え、
前記通信プログラムには、前記車外装置と前記車載装置との間で行われる特定の通信を中継する特定中継処理を前記実行手段に実行させるための特定通信プログラムが含まれ、
前記車載記憶手段は、前記特定通信プログラムを、前記特定中継処理の実行に必要な部分が欠落した状態で記憶し、
前記実行手段は、
前記車載記憶手段に記憶された前記特定通信プログラムの欠落部分を補うために前記車外装置に記憶された補完プログラムを前記車外装置から受信し、前記補完プログラムにより前記欠落部分が補われた前記特定通信プログラムに従い、前記特定中継処理を実行する
ことを特徴とする中継装置。 A relay device that is mounted on a vehicle and relays communication performed between an external device and an in-vehicle device,
Execution means for executing processing according to a program;
A vehicle memory means for memorize a communication program for performing the relay process in you relay is Ru communication carried out between the vehicle-mounted apparatus and the outside device to the execution unit,
With
The communication program includes a specific communication program for causing the execution means to execute a specific relay process for relaying a specific communication performed between the external device and the in-vehicle device,
The in-vehicle storage means stores the specific communication program in a state where a part necessary for execution of the specific relay process is missing,
The execution means includes
The supplementary program stored in the out-of-vehicle device to compensate for the missing part of the specific communication program stored in the in-vehicle storage means is received from the out-of-vehicle device, and the specified communication in which the missing part is supplemented by the supplement program A relay device that executes the specific relay processing according to a program. 車両に搭載された中継装置を介して車載装置と通信を行うための車外装置であって、
前記中継装置へデータを送信する送信手段を備え、
前記中継装置は、
プログラムに従い処理を実行する実行手段と、
前記車外装置と前記車載装置との間で行われる通信を中継する中継処理を前記実行手段に実行させるための通信プログラムを記憶する車載記憶手段と、を備え、
前記通信プログラムには、前記車外装置と前記車載装置との間で行われる特定の通信を中継する特定中継処理を前記実行手段に実行させるための特定通信プログラムが含まれ、
前記車載記憶手段は、前記特定通信プログラムを、前記特定中継処理の実行に必要な部分が欠落した状態で記憶し、
前記車外装置は、前記特定通信プログラムの欠落部分を補う補完プログラムを記憶する車外記憶手段を備え、
前記送信手段は、前記補完プログラムを前記中継装置へ送信し、前記補完プログラムにより前記欠落部分が補われた前記特定通信プログラムに従った前記特定中継処理を、前記実行手段に実行させる
ことを特徴とする車外装置。 An external device for communicating with an in-vehicle device via a relay device mounted on a vehicle,
A transmission means for transmitting data to the relay device;
The relay device is
Execution means for executing processing according to a program;
And a vehicle storage means the communication program serial to憶for executing said execution means to relay processing in you relaying performed Ru communication between the exterior device and the vehicle device,
The communication program includes a specific communication program for causing the execution means to execute a specific relay process for relaying a specific communication performed between the external device and the in-vehicle device,
The in-vehicle storage means stores the specific communication program in a state where a part necessary for execution of the specific relay process is missing,
The out-of-vehicle apparatus includes an out-of-vehicle storage unit that stores a supplement program that compensates for a missing portion of the specific communication program
Said transmitting means transmits Previous Kiho complete program the relay device, the specific relay processing in accordance with the specific communication program said missing portion is complemented by the complementary program that is executed by the execution unit A feature outside the vehicle. 車載装置と通信を行うための車外装置と、
車両に搭載され、前記車外装置と前記車載装置との間で行われる通信を中継する中継装置と、
の間での通信方法であって、
前記車外装置が、前記車外装置と前記車載装置との間で行われる通信を中継する中継処理を前記中継装置に実行させるために前記中継装置に記憶された通信プログラムに含まれ、前記車外装置と前記車載装置との間で行われる特定の通信を中継する特定中継処理を前記中継装置に実行させるための特定通信プログラムであって、前記特定中継処理の実行に必要な部分が欠落した状態で前記中継装置に記憶された前記特定通信プログラム、の欠落部分を補うために前記車外装置に記憶された補完プログラムを、前記中継装置へ送信する送信ステップ(S204)と、
前記中継装置が、前記車外装置から受信した前記補完プログラムを用いて、前記特定通信プログラムの前記欠落部分を補う補完ステップ(S110)と、
前記中継装置が、前記補完ステップで前記欠落部分が補われた前記特定通信プログラムに従い、前記特定中継処理を実行する実行ステップ(S112)と、
を備えることを特徴とする通信方法。 An external device for communicating with the in-vehicle device;
A relay device that is mounted on a vehicle and relays communication performed between the external device and the in-vehicle device;
A communication method between
The outside device is included in the relay device in the storage communication program in order to execute the relay processing in you relay is Ru communication carried out between the exterior device and the vehicle device to the relay device, A specific communication program for causing the relay device to execute a specific relay process for relaying a specific communication performed between the external device and the in-vehicle device, and a portion necessary for the execution of the specific relay process is missing A transmission step (S204) for transmitting a supplementary program stored in the external device to compensate for the missing part of the specific communication program stored in the relay device in a state of being performed (S204);
A complementing step (S110) in which the relay device compensates for the missing portion of the specific communication program using the complementing program received from the vehicle exterior device;
An execution step (S112) in which the relay device executes the specific relay process according to the specific communication program in which the missing portion is compensated in the complementing step;
A communication method comprising:
JP2012057558A 2012-03-14 2012-03-14 COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD Active JP5790551B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012057558A JP5790551B2 (en) 2012-03-14 2012-03-14 COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012057558A JP5790551B2 (en) 2012-03-14 2012-03-14 COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD

Publications (2)

Publication Number Publication Date
JP2013192090A JP2013192090A (en) 2013-09-26
JP5790551B2 true JP5790551B2 (en) 2015-10-07

Family

ID=49391922

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012057558A Active JP5790551B2 (en) 2012-03-14 2012-03-14 COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD

Country Status (1)

Country Link
JP (1) JP5790551B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6333977B2 (en) * 2014-06-19 2018-05-30 日立オートモティブシステムズ株式会社 In-vehicle program writer
JP6172090B2 (en) 2014-08-27 2017-08-02 株式会社デンソー Relay device
JP6201962B2 (en) 2014-11-06 2017-09-27 トヨタ自動車株式会社 In-vehicle communication system
JP6555141B2 (en) * 2016-01-28 2019-08-07 株式会社デンソー OBE and computer program
JPWO2019224912A1 (en) * 2018-05-22 2020-05-28 三菱電機株式会社 Vehicle communication device, vehicle access control system, management device, vehicle access control method, and vehicle access control program
CN114397869A (en) * 2021-12-15 2022-04-26 潍柴动力股份有限公司 Engine ECU (electronic control Unit) flashing method, flashing diagnosis method and device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4597060B2 (en) * 2006-02-07 2010-12-15 日立オートモティブシステムズ株式会社 Vehicle control unit network
JP5055490B2 (en) * 2008-04-14 2012-10-24 株式会社メガチップス Semiconductor memory device
WO2009147734A1 (en) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2011055450A (en) * 2009-09-04 2011-03-17 Murata Machinery Ltd Relay server and relay communication system

Also Published As

Publication number Publication date
JP2013192090A (en) 2013-09-26

Similar Documents

Publication Publication Date Title
JP5790551B2 (en) COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD
JP5729337B2 (en) VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM
JP5664579B2 (en) COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD
EP2757497B1 (en) Vehicular electronic control device
CN110892683B (en) In-vehicle device, management method, and management program
JP2016092645A (en) On-vehicle communication system
CN111480141A (en) Method and device for updating software of a motor vehicle control device
JP2018173721A (en) On-vehicle communication system, vehicle control device, and communication management device
JP6060782B2 (en) Relay device
JP5664562B2 (en) Relay device
JP5437958B2 (en) Vehicle electronic key system
JP2013107454A (en) Onboard relay device
JP2012242900A (en) On-vehicle control unit
JP5783013B2 (en) In-vehicle communication system
JP6274849B2 (en) Vehicle control system
JP6390398B2 (en) In-vehicle network system
JP2023170125A (en) Security method and security device
KR101664883B1 (en) Method for interworking electronic control device of vehicle and apparatus thereof
JP2013141949A (en) On-vehicle system and relay device
JP2018060295A (en) Control device, control method, and computer program
JP2009033264A (en) Car data communication system and car
JP6470344B2 (en) Control device, control method, and computer program
JP5776561B2 (en) Relay device
JP2014021617A (en) Authentication device, and authentication system for vehicles
JP2015023307A (en) Authentication device and authentication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140507

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150720

R151 Written notification of patent or utility model registration

Ref document number: 5790551

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250