JP6191397B2 - 通信中継装置、通信中継処理 - Google Patents
通信中継装置、通信中継処理 Download PDFInfo
- Publication number
- JP6191397B2 JP6191397B2 JP2013226341A JP2013226341A JP6191397B2 JP 6191397 B2 JP6191397 B2 JP 6191397B2 JP 2013226341 A JP2013226341 A JP 2013226341A JP 2013226341 A JP2013226341 A JP 2013226341A JP 6191397 B2 JP6191397 B2 JP 6191397B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- vehicle
- terminal device
- abnormality
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Description
本発明は、車両に搭載された車載装置と、車両に持ち込まれた携帯型端末装置との通信を中継する通信中継装置に関する。
車載されたパワートレインに関するECU(エンジンコントロールユニット:Engine Control Unit、以下同じ)が接続されたCANネットワークと、電動システムに関するECUが接続されたFlexRayネットワークとを相互に接続させる通信ゲートウェイ装置が知られている(特許文献1参照)。
従来の車両に搭載された各ECUは、通信ゲートウェイを介して互いの動作状態や通信状態が正常であることを確認し合うことにより、各ECUが協働して実現する機能の信頼性を保つ。
しかしながら、車両に搭載されたECUと、車両に搭載されていないスマートフォンなどの携帯型の端末装置との通信は不安定であり、両者が協働して実現する機能の信頼性を保てない場合があるという問題がある。
しかしながら、車両に搭載されたECUと、車両に搭載されていないスマートフォンなどの携帯型の端末装置との通信は不安定であり、両者が協働して実現する機能の信頼性を保てない場合があるという問題がある。
本発明が解決しようとする課題は、車載装置と、車両に持ち込まれた携帯型の端末装置とが協働して実現する機能の信頼性を維持する通信中継装置を提供することである。
本発明は、端末装置から端末装置を識別する端末識別情報と、起動アプリケーションを識別するアプリケーション識別情報と、制御装置を識別する制御装置識別情報と、異常状態から正常状態への復旧処理の実行を主導する装置を識別する復旧マスター識別情報とを取得し、端末装置との通信状態の異常、端末装置における起動アプリケーションの動作状態及び車載装置の制御装置の動作状態の異常を検知し、異常発生通知情報を送出する際に、復旧処理を主導する端末装置又は制御装置に、異常発生通知情報を取得した直前のタイミングで記憶された動作状態に基づいて、予め定義された復旧処理の実行させることにより、上記課題を解決する。
本発明によれば、車載装置と、車両に持ち込まれた携帯型の端末装置とが協働して実現される機能の信頼性を維持する通信中継装置を提供できる。
以下、図面に基づいて本発明の通信中継装置と、端末装置と車載装置とを備える通信システムについて説明する。本実施形態の通信システム1は、通信中継装置100と、スマートフォンなどの端末装置300と、車両に搭載され、車両の各機能を制御する制御装置2〜9を備える車載装置200とを有する。
本実施形態の通信中継装置100は、車両ネットワーク上に設けられた一又は複数の車載装置200と、車両に持ち込まれた端末装置300との通信の中継を行う。本実施形態の通信中継装置100は、車両ネットワーク上で授受される車載装置200の車両情報を、Bluetooth(登録商標)などの無線通信を用いて端末装置300に送信する機能を有する。通信中継装置100は、端末装置300が送出した制御情報を車両ネットワークを介して一又は複数の車載装置200に送信する機能を有する。通信中継装置100は、車両ネットワーク上の車載装置200と端末装置300との間で行われる通信のプロトコルの変換を行う。
本実施形態の端末装置300は、車載装置200から取得した車両情報を利用したアプリケーションを実行することによって、車両情報を活用した様々なサービスをユーザに提供できる。たとえば、車両の車載装置200に対して端末装置300からドアロックの開閉制御情報を送ったり、車両ネットワーク上で授受される速度情報や燃料噴射量、エンジン回転数、走行距離などの情報を利用した燃費情報を端末装置300を用いて提供することが可能になる。
以下、各装置について説明する。
まず、車載装置200について説明する。車載装置200は、車両自体や車両の電装品の制御を行う。本実施形態の車載装置200は、シャシ制御装置2と、ナビゲーション装置3と、空調制御装置4と、診断装置5と、パワートレイン制御装置6と、EV制御装置7と、ボディ制御装置8と、安全支援制御装置9と、を備える。これら各装置は、制御処理を実行するためのコントロールユニット(制御装置)をそれぞれ備える。上記各装置2〜9は、車載の通信システムであるCAN(Controller Area Network)やLIN(Local Interconnect Network)に接続され、相互に情報の授受を行う。
まず、車載装置200について説明する。車載装置200は、車両自体や車両の電装品の制御を行う。本実施形態の車載装置200は、シャシ制御装置2と、ナビゲーション装置3と、空調制御装置4と、診断装置5と、パワートレイン制御装置6と、EV制御装置7と、ボディ制御装置8と、安全支援制御装置9と、を備える。これら各装置は、制御処理を実行するためのコントロールユニット(制御装置)をそれぞれ備える。上記各装置2〜9は、車載の通信システムであるCAN(Controller Area Network)やLIN(Local Interconnect Network)に接続され、相互に情報の授受を行う。
シャシ制御装置2は、車の走行装置などを制御する。ナビゲーション装置3は、現在位置から目的地に至る経路を探索し、車両を誘導する情報を提供する。空調制御装置4は、車室内の温度や湿度をコントロールする。診断装置5は、各装置が正常に機能しているか否かを監視する。本実施形態の診断装置5は、各装置2〜9は、所定周期でキープアライブ信号を交換させ、正常状態であることを診断する。パワートレイン制御装置6は、エンジン、クラッチ、トランスミッション、ドライブシャフト、プロペラシャフト、ディファレンシャルギアなどのエンジンから駆動輪へのエネルギー伝達系に関する制御を実行する。EV制御装置7は、モータ(駆動)、バッテリ(エネルギー)に関する制御を実行する。ボディ制御装置8は、ライト制御、ドア制御、パワーシート、ヒータの制御などを行う。安全支援制御装置9は、アンチロックドブレーキシステム、トラクションコントロール、横滑り防止装置、車線キープ装置などであり、車両の安全な走行を支援する。なお、各車載装置200が備える制御装置2〜9の制御内容は特に限定されず、本願出願時に知られた各種の制御内容を適宜に実行することができる。
各制御装置2〜9は、通信中継装置100が備える秘密鍵と対をなす公開鍵を記憶しており、受信した情報の署名情報を公開鍵を用いて解析し、署名情報が正規のものである場合には、受信した情報が通信中継装置100を介して取得されたものであり、受信した情報が改ざんされていないことを確認する証明機能を有する。各制御装置2〜9は、通信中継装置100介して取得され、改ざんされていない情報のみを各種の処理を行い、それ以外の情報(署名情報が付されていない情報、不正な署名情報が付された情報)は無視する。
これにより、取得した情報の信頼性を担保して、動作を安定させることができる。
次に、端末装置300について説明する。本実施形態の端末装置300は、通信機能を備えた、可搬の携帯型端末装置である。端末装置300としては、スマートフォン、モバイルコンピュータなどの通信機能を備えたコンピュータを用いることができる。端末装置300は、図示しない外部のサーバと通信し、アプリケーションをダウンロードすることも可能である。
端末装置300は、所定の機能を実現させるアプリケーションを実行する。アプリケーションが実現する機能は特に限定されないが、車両のドアロックの指令を送出する機能、車両のドアロックの状態を確認する機能、車両のウィンドウの開閉指令を送出する機能、車両のウィンドウの開閉状態を確認する機能、車両のランプを点灯/消灯させる指令を送出する機能、車両のランプの点灯/消灯の状態を確認する機能、車両の速度情報、燃料噴射情報、エンジン回転数、走行距離などを利用して求めた燃費情報を提供する機能などを例示できる。
本実施形態の端末装置300は、自身を識別する端末識別情報と、端末装置300が有するアプリケーションを識別するアプリケーション識別情報と、各アプリケーションが情報の授受を行う制御装置2〜9を識別する制御装置識別情報と、通信状態の異常、前記起動アプリケーションの動作の異常、前記識別された制御装置の動作の異常が発生した場合に、そのような異常状態から正常状態への復旧処理の実行を主導する端末装置300又は制御装置2〜9を識別する復旧マスター識別情報と、を記憶する。端末装置300は、車載装置200との通信を行うために通信中継装置100との通信が開始された際に、これらの情報を通信中継装置100へ送出する。
特に限定されないが、端末装置300は、端末装置300が機能を実現させるアプリケーションと、アプリケーションが情報の授受を行う車載装置200の制御装置2〜9とを、それぞれ対応づけた対応情報Mを記憶する。対応情報Mの一例を図2に示す。端末装置300は、通信中継装置100との通信が確立した場合に、この対応情報Mを通信中継装置100へ送出する。
続いて、本実施形態の通信中継装置100について説明する。本実施形態の通信中継装置100は、ゲートウェイ機能を備え、車載装置200と、携帯可能な端末装置300との間で行われる通信を中継する。本実施形態の通信中継装置100は、車載装置200と端末装置300との通信を中継し、端末装置300のアプリケーションの安定的な動作を支援するプログラムが格納されたROM(Read Only Memory)と、このROMに格納されたプログラムを実行することで、本実施形態の通信中継装置100として機能する動作回路としてのCPU(Central Processing Unit)と、アクセス可能な記憶装置として機能するRAM(Random Access Memory)と、を備えるコンピュータである。
本実施形態の通信中継装置100は、識別情報取得機能と、通信状況監視機能と、動作状態監視機能と、異常通知機能と、復旧処理実行機能と、証明機能と、を有する。本実施形態の通信中継装置100は、上記機能を実現するためのソフトウェアと、上述したハードウェアの協働により各機能を実行する。
本実施形態の通信中継装置100は、図1に示すように、車載装置200に組み込んで構成する。通信中継装置100Qにように、車載装置200とは物理的に別に構成してもよい。通信中継装置100は、着脱可能な態様に構成し、通信ケーブル用のソケットを介してCANにアクセスして、車載装置200と協働させてもよい。
以下、本実施形態に係る自車位置認識装置100の各機能について説明する。
まず、本実施形態の自車位置認識装置100の識別情報取得機能について説明する。自車位置認識装置100は、端末識別情報と、アプリケーション識別情報と、制御装置識別情報と、復旧マスター識別情報とを端末装置300から取得する。
取得する各識別情報について説明する。
端末識別情報は、車載装置200又は通信中継装置100と通信する端末装置300を識別する情報である。車載装置200又は通信中継装置100は複数の端末装置300と同時に通信することが可能である。このため、自己が通信をする相手となる端末装置300を識別する。特に限定されないが、通信が確立したときに取得する端末装置300のIPアドレスなどの個体特定情報を端末識別情報としてもよい。
端末識別情報は、車載装置200又は通信中継装置100と通信する端末装置300を識別する情報である。車載装置200又は通信中継装置100は複数の端末装置300と同時に通信することが可能である。このため、自己が通信をする相手となる端末装置300を識別する。特に限定されないが、通信が確立したときに取得する端末装置300のIPアドレスなどの個体特定情報を端末識別情報としてもよい。
アプリケーション識別情報は、端末装置300において、車載装置200と授受した情報を用いることによって機能を実現させる一又は複数の起動アプリケーションを識別する情報である。端末装置100は、一度に複数のアプリケーションを動作させることも可能である。このため、複数のアプリケーションの中から、車載装置200の所定の情報を用いて動作するアプリケーションをそれぞれ識別する。識別されるアプリケーションAは、例えば、ドアの施錠状態を確認するなどの機能を実現する。
制御装置識別情報は、起動アプリケーションが情報の授受を行う車載装置200の制御装置2〜9を識別する情報である。制御装置識別情報は、アプリケーションごとに定義される。先述した、ドアの施錠状態を確認するなどの機能を実現するアプリケーションAは、ボディ制御装置8と情報を授受する。アプリケーションAに係る制御装置識別情報は、ボディ制御装置8を特定する情報である。通信中継装置100は、各アプリケーションが情報の授受を行う車載装置200の制御装置2〜9とを、それぞれ対応づけた対応情報Mを端末装置300から取得し、対応情報Mを参照して、起動アプリケーションが情報の授受を行う制御装置2〜9を識別する制御装置識別情報を取得する。特に図示はしないが、速度情報や燃料噴射量、エンジン回転数、走行距離などの情報を利用したエネルギー費情報を提供するアプリケーション係る制御装置識別情報は、パワートレイン制御装置6、シャシ制御装置2又はEV制御装置7を特定する情報である。車内の空調を制御するアプリケーション係る制御装置識別情報は、空調制御装置4を特定する情報である。車両の目的地を設定する、目的地に至る経路を設計する、到着時刻を設定するなどのアプリケーション係る制御装置識別情報は、ナビゲーション装置3を特定する情報である。
復旧マスター識別情報は、通信状態の異常、起動アプリケーションの動作の異常、識別された制御装置の動作の異常が発生した場合に、その異常状態から正常状態への復旧処理の実行を主導する端末装置300又は車載装置200の制御装置2〜9の何れか一方を識別す情報である。アプリケーションAに係る復旧マスター識別情報は、端末装置300であると定義できる。
次に、通信状況監視機能について説明する。本実施形態の通信中継装置100は、端末装置300と車載装置200との通信状態の異常を検知する。通信中継装置100は、通信が成立しない状態のときに、通信状態の異常を検知する。通信の状態が異常であるか否かの判断の手法は特に限定されず、本願出願時に知られた手法を用いることができる。
動作状態監視機能について説明する。本実施形態の通信中継装置100は、識別された起動アプリケーションの動作状態、及び識別された制御装置2〜9の動作状態の異常を検知する。通信中継装置100は、端末装置300が送出するアプリケーションの動作ステータスに基づいて、起動アプリケーションの動作状態が異常であるか否かを判断する。なお、起動アプリケーションとは、端末装置300が有する複数のアプリケーションのうち、車載装置200との通信を要求し、その通信が確立されているアプリケーションである。つまり、機能が実現されるアプリケーションである。
さらに、異常通知機能について説明する。本実施形態の通信中継装置100は、端末装置300と車載装置200との通信状態の異常又は起動アプリケーションの動作状態の異常が検知された場合には、その異常に係る異常発生通知情報を識別された制御装置へ送出する。他方、制御装置2〜9の動作状態の異常が検出された場合には、その異常に係る異常発生通知情報を識別された端末装置300へ送出する。
復旧処理実行機能について説明する。本実施形態の通信中継装置100は、異常発生通知情報を送出する際に、復旧処理を主導する端末装置300又は車載装置200の制御装置2〜9に、異常発生通知情報を取得した直前のタイミングで記憶された端末装置300の動作状態又は制御装置200の動作状態に基づいて、予め定義された異常状態から正常状態への復旧処理の実行させる。
互いに通信をする端末装置300と制御装置2〜9のどちらが復旧処理をするかが決まっていないと、両者が別々の処理を行い、整合が図れず、復旧が不可能になる可能性がある。本実施形態の通信システム1では、互いに通信をする端末装置300と制御装置2〜9の何れか一方を復旧マスターに指定し、その復旧マスターに定義された復旧処理を実行させるので、無駄な処理が行われることなく、短い時間で復旧を果たすことができる。また、このルールは、すべてのアプリケーションについても適用可能であるので、種々のアプリケーションについて汎用できる。これにより、車載装置200と協働できるアプリケーションの種類が増え、ユーザにとって利益になる。また、復旧の処理内容は、アプリケーション作成時に定義すればよいから、車載装置200側のシステムに手を入れる必要がない。
最後に、証明機能について説明する。本実施形態の通信中継装置100は、車載装置200の各制御装置2〜9が予め記憶する公開鍵に対応する秘密鍵を用いて作成された署名情報を、端末装置300から受信した情報に付する。各制御装置2〜9は、情報を取得した場合に、予め記憶する公開鍵を用いてその署名情報が正規のものであるか否かを判断する。本実施形態においては、いわゆる電子署名の一般的な手法を適宜に適用することができる。
情報を取得した各制御装置2〜9は、受信した情報の署名情報を記憶した公開鍵を用いて解析し、解析の結果に応じて受信した情報が通信中継装置100と通信する端末装置300から送られ、受信した情報が改ざんされていないことを確認する。つまり、車載装置200の各制御装置2〜9は、通信中継装置100が署名情報を付した正規の情報についてのみ処理を行い、署名情報が付されていない情報は不正な署名情報が付された情報については無視する。
以下、図2に基づいて、本実施形態の通信システム100の動作処理手順を説明する。図2では、端末装置300がアプリケーション1(アプリ1)、アプリケーション2(アプリ2)…アプリケーションN(アプリN)を有する例を示す。端末装置300は、アプリケーション1を起動する場合に、起動要求信号を通信中継装置100へ送出する。起動要求信号は、端末識別情報と,アプリケーション識別情報と,制御装置識別情報と,復旧マスター識別情報とを含む。さらに、起動要求信号は、利用したい情報を指定し、その情報の処理を指示する利用コマンドを含む。アプリケーション2についても同様である。本実施形態のアプリケーション1は、制御装置1と制御装置3と情報の授受を行う。このため、アプリケーション1の起動要求信号は、制御装置1及び制御装置3を指定する制御装置識別情報を含む。同様に、アプリケーション2は、制御装置1及び制御装置3を指定する制御装置識別情報を含む。
図2に示すように、通信中継装置100は、起動要求信号に含まれる制御装置識別情報を参照し、指定さえた制御装置にのみ起動要求信号を送出する。これにより、他の制御装置にとっては不要な情報を、無駄に送受信することを防止できる。また、このときに、秘密鍵を用いた署名情報を付してもよい。これにより、情報のなりすましや改ざんを防止できる。
車載装置200の制御装置2〜9は、取得した起動要求信号に呼応して、各アプリケーションごとに起動許可を与える。通信中継装置100は制御装置2〜9から取得した起動許可を、各端末装置300へ送出する。これにより、通信が確立し、アプリケーションNの機能を実現できる。
通信中継装置100は、一連のシーケンスで得た情報を利用することにより、車載装置200のネットワーク上に存在する制御装置2〜9とスマートフォンなどの端末装置300との通信データの関連づけを行う。このように、通信中継装置100を介して情報を授受することにより、端末装置300は、各制御装置2〜9の存在を意識することなく情報に授受を行うことができ、ユーザの利便性を向上させることができる。しかも、本実施形態の通信中継装置100は、端末装置300と車載装置200との通信に於いて、アプリケーション毎に通信可能なデータとそのデータの通信相手である制御装置2〜9をあらかじめ定義した対応情報を参照する。これにより、アプリケーションの機能の実現に必要な情報を適切な制御装置2〜9との間で授受できる。
ところで、従来の車載装置200における各制御装置の動作安定性は高いレベルで保たれている。万が一、異常が発生した場合には、重大な障害として判断され、動作自体を即時に停止する。他方、本実施形態の通信システム1のように、端末装置300が車載装置200から取得した情報を用いて、アプリケーションを実行するという前提とすると、その動作の安定性は、車載のCANなどの通信システムに比べると低い。
端末装置300との通信途絶に加えて、端末装置300のアプリケーションの動作安定性は高いとは言えない。このため、アプリケーションが異常終了するといった異常が発生する可能性が高い。このような状況において、端末装置300との通信異常が発生するたびに、動作を停止していたのでは車両情報を用いたサービスを端末装置300側で提供するということは不可能になってしまう。
本実施形態の通信中継装置100は、そのような不都合を解消し、端末装置300側において車載装置200から取得した情報を用いた機能を安定的に実現する。
本実施形態の通信システム1の動作を図4A〜図4Cに基づいて説明する。
図4Aは、正常時のおける情報処理の様子を示す図である。本実施形態の通信中継装置100は、端末装置300の通信状態と、アプリケーションの動作状態を監視する。図2で説明したように、アプリケーションNに応じたコマンドを通信中継装置100に送出し、端末装置300及びアプリケーション1を識別する識別情報とアプリケーション1の動作状態と、秘密鍵で生成された署名とが指定の制御装置2〜9へ送出される。図示はしていないが、復旧マスター識別情報を含めてもよい。
図4Aは、正常時のおける情報処理の様子を示す図である。本実施形態の通信中継装置100は、端末装置300の通信状態と、アプリケーションの動作状態を監視する。図2で説明したように、アプリケーションNに応じたコマンドを通信中継装置100に送出し、端末装置300及びアプリケーション1を識別する識別情報とアプリケーション1の動作状態と、秘密鍵で生成された署名とが指定の制御装置2〜9へ送出される。図示はしていないが、復旧マスター識別情報を含めてもよい。
図4Bは端末装置300側において異常が検出された場合の情報処理の様子を示す図である。
本実施形態の通信中継装置100は、端末装置300との無線通信が中断するなどの通信異常が発生や、端末装置300上のアプリケーションが異常終了したことを検出する。検出の手法は特に限定されないが、端末装置300とのBluetoothの無線リンク状態を監視することや、動作中のアプリケーションと定期的にステータスチェックの信号を授受することにより行うことができる。端末装置300のの異常を通信中継装置100が検出した場合には、異常の発生や理由を各制御装置200に通知する。この通知も、アプリケーション実行時に定義された対応情報Mに基づき、指定された制御装置2〜9に対して行われる。ちなみに、端末装置300において複数のアプリケーションが実行されている場合に、そのうちの一つのアプリケーションが異常終了した場合には、その異常終了したアプリケーションに対応づけられた制御装置2〜9にのみ異常の発生及びその内容が通知される。
このように、本実施形態の通信中継装置100は、アプリケーション1の動作状態が異常である旨を検知した場合には、その異常に係る異常発生通知情報を識別された制御装置2〜9へ送出する。図示はしないが、同様に、制御装置2〜9の動作状態の異常が検出された場合には、その異常に係る異常発生通知情報を識別された端末装置300へ送出する。これにより、相互に発生した異常について知ることができる。
また、異常が発生した際には、アプリケーション起動時に取得した復旧マスター識別情報に基づき、定義された端末装置300又は車載装置200の制御装置2〜9の何れか一方の復旧マスターに、異常状態から正常状態への復旧処理の実行を主導させる。端末装置300又は車載装置200の制御装置2〜9は、予め定義された異常復旧処理を実行する。端末装置300又は車載装置200の制御装置2〜9の何れか一方の復旧マスターは、常に動作状態を保存しておき、異常発生を検出した状態の直前の状態から、システム復旧動作を実行できる。通信状態の復旧処理は、出願時に知られた手法を用いることができる。また、アプリケーションの復旧処理は、各アプリケーションごとに作成しておくことができる。これにより、アプリケーションの作成時に復旧処理を併せて作成すれば、本実施形態における通信システム1に適用できる。車載装置200は多様なアプリケーションとの協働を実現できる。また、異常発生時には、アプリケーションの動作を停止させるとともに、車両を減速させる、停止させるなどのフェールセーフ処理を併せて行うことができる。
図4Cは、不正のアクセスが生じた場合の情報処理の様子を示す図である。
車載装置200の車両ネットワーク上には車の状態を診断するために、ODB-IIポートなど汎用の車両診断用インタフェースが設けられる場合がある。この種のポートから車両ネットワークを介して車載装置200の制御装置2〜9に不正に接続し、通信中継装置100が発出する信号になりすました偽造データを制御装置2〜9にに送り込むことができる。そうすると、制御装置2〜9は外部者によって不正に制御される可能性がある。ODB-IIポートのインタフェース仕様は公開されているため、車両ネットワーク上にデータを直接送出できるように構成されている場合がある。従来の閉じられたネットワークで構成される車載装置200では、車両搭載時(製造時)において定義される制御情報は限定されているので、不正アクセスに対する対策の重要度が低かった。しかし、本実施形態のように、様々なアプリケーションから様々な制御情報が送り込まれてくると、不正な制御信号を持ち込まれる危険性が高くなる。
車載装置200の車両ネットワーク上には車の状態を診断するために、ODB-IIポートなど汎用の車両診断用インタフェースが設けられる場合がある。この種のポートから車両ネットワークを介して車載装置200の制御装置2〜9に不正に接続し、通信中継装置100が発出する信号になりすました偽造データを制御装置2〜9にに送り込むことができる。そうすると、制御装置2〜9は外部者によって不正に制御される可能性がある。ODB-IIポートのインタフェース仕様は公開されているため、車両ネットワーク上にデータを直接送出できるように構成されている場合がある。従来の閉じられたネットワークで構成される車載装置200では、車両搭載時(製造時)において定義される制御情報は限定されているので、不正アクセスに対する対策の重要度が低かった。しかし、本実施形態のように、様々なアプリケーションから様々な制御情報が送り込まれてくると、不正な制御信号を持ち込まれる危険性が高くなる。
これに対し、本実施形態では、通信中継装置100から発出される制御情報に署名情報を付与し、制御装置2〜9は、受信した制御情報の正当性を確認することにより、不正アクセスによる情報であることを判断できる。なお、署名データのための鍵は製造時に通信中継装置100と制御装置2〜9に記憶させておく。鍵は、公開鍵暗号方式を用いて生成する。制御装置2〜9は、不正を検出した場合は、不正な制御情報を無視するなどの処理を行う。
本実施形態の車室内監視装置100によれば、以下の効果を奏する。
[1]本実施形態の通信中継装置100によれば、車載装置200と、車両に持ち込まれた携帯型の端末装置300とが協働して実現される機能の信頼性を維持する通信中継装置を提供できる。端末装置300を利用して、パワートレイン制御装置の情報などを用いた機能やサービスを実現できる。このように、端末装置300を利用することにより、従来の車載装置に組み込まれたカーナビゲーション等を利用するよりも安価なシステムを提供できる。また、各アプリケーションに応じた固定的な異常時の復旧処理を作りこむ必要がないので、アプリケーションが追加されても、そのアプリケーションに合った異常時の復旧手段を適宜に組み込める。この結果、新規サービスを提供することが簡易になる。
[2]本実施形態の通信中継装置100によれば、アプリケーションが情報の授受を行う車載装置200の制御装置2〜9とを予め対応づけた対応情報Mを参照することにより、容易に制御装置識別情報を取得できる。情報の送信先を限定できるので、車載ネットワーク上において送受信される(伝送される)通信データ量を低減させることができる。
[3]本実施形態の通信中継装置100によれば、受信した情報に車載装置200の各制御装置2〜9に署名情報を付するので、取得した情報の信頼性を担保して、動作を安定させることができる。持ち込まれた端末装置300の情報を利用することにより、取得する情報の安全性が担保しにくいところ、制御情報に署名情報を付することにより車載装置200の動作の安全を確保できる。
[4]本実施形態の通信中継装置100によれば、通信中継装置100と、車載装置200と、携帯可能な端末装置300と、を備える通信システム1においても、上記と同様の効果を奏することができる。また、車載装置200の制御装置2〜9は、受信した情報が通信中継装置100と通信する端末装置300から送られたものであり、受信した情報が改ざんされていないことを確認できるので、車載装置200の動作の安全を確保できる。
なお、以上説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記の実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。
すなわち、本明細書では、本願発明に係る通信中継装置の一例として通信中継装置100を説明するが、本発明はこれに限定されるものではない。
本明細書では、本願発明に係る通信中継装置と、端末装置と、車載装置とを備える通信システムの一例として、通信中継装置100と、端末装置300と、車載装置200とを備える通信システム1を説明するが、本発明はこれに限定されるものではない。
本明細書では、本願発明に係る識別情報取得手段と、通信状況監視手段と、動作状態監視手段と、異常通知手段と、復旧処理実行手段とを備える通信中継装置の一例として、識別情報取得機能と、通信状況監視機能と、動作状態監視機能と、異常通知機能と、復旧処理実行機能とを実行する通信中継装置100を説明するが、本発明はこれに限定されるものではない。
1000…通信システム
100…ゲートウェイ装置
200…車載装置
2…シャシ制御装置
3…ナビゲーション装置
4…空調制御装置
5…診断装置
6…パワートレイン装置
7…EV制御装置
8…ボディ制御装置
9…安全支援制御装置
100…ゲートウェイ装置
200…車載装置
2…シャシ制御装置
3…ナビゲーション装置
4…空調制御装置
5…診断装置
6…パワートレイン装置
7…EV制御装置
8…ボディ制御装置
9…安全支援制御装置
Claims (4)
- 車載装置と、携帯可能な端末装置との間で行われる通信を中継する通信中継装置であって、
前記車載装置と通信する前記端末装置を識別する端末識別情報と、前記端末装置において、前記車載装置と授受した情報を用いて機能を実現させる一又は複数の起動アプリケーションを識別するアプリケーション識別情報と、前記起動アプリケーションが情報の授受を行う前記車載装置が備える制御装置を識別する制御装置識別情報と、前記通信状態の異常、前記起動アプリケーションの動作の異常、前記識別された制御装置の動作の異常が発生した場合に、当該異常状態から正常状態への復旧処理の実行を主導する前記端末装置又は前記車載装置の制御装置の何れか一方を識別する復旧マスター識別情報と、を前記端末装置から取得する識別情報取得手段と、
前記端末装置と前記車載装置との通信状態の異常を検知する通信状況監視手段と、
前記識別された起動アプリケーションの動作状態、及び前記識別された制御装置の動作状態の異常を検知する動作状態監視手段と、
前記端末装置と前記車載装置との前記通信状態の異常又は前記起動アプリケーションの動作状態の異常が検知された場合には、当該異常に係る異常発生通知情報を前記識別された前記制御装置へ送出し、前記制御装置の動作状態の異常が検出された場合には、当該異常に係る異常発生通知情報を前記識別された端末装置へ送出する異常通知手段と、
前記異常発生通知情報を送出する際に、前記復旧処理を主導する前記端末装置又は前記車載装置の制御装置に、前記異常発生通知情報を取得した直前のタイミングで記憶された前記端末装置の動作状態又は前記制御装置の動作状態に基づいて、予め定義された前記異常状態から正常状態への復旧処理の実行させる復旧処理実行手段と、を備えることを特徴とする通信中継装置。 - 前記端末装置との間で通信が確立した場合に、前記識別情報取得手段は、前記端末装置が機能を実現させるアプリケーションと、前記アプリケーションが情報の授受を行う前記車載装置の制御装置とを、それぞれ対応づけた対応情報を取得し、前記対応情報を参照して、前記起動アプリケーションが情報の授受を行う前記制御装置を識別する制御装置識別情報を取得することを特徴とする請求項1に記載の通信中継装置。
- 前記車載装置の各制御装置に予め記憶させた公開鍵に対応する秘密鍵を用いて作成された署名情報を、受信した情報に付する証明手段をさらに備えることを特徴とする請求項1又は2に記載の通信中継装置。
- 請求項3に記載の通信中継装置と、車載装置と、携帯可能な端末装置と、を備える通信システムであって、
前記車載装置が備える制御装置は、受信した情報の署名情報を前記記憶した公開鍵を用いて解析し、前記解析の結果に応じて前記受信した情報が前記通信中継装置と通信する前記端末装置から送られたものであり、前記受信した情報が改ざんされていないことを確認する機能を備えることを特徴とする通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013226341A JP6191397B2 (ja) | 2013-10-31 | 2013-10-31 | 通信中継装置、通信中継処理 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013226341A JP6191397B2 (ja) | 2013-10-31 | 2013-10-31 | 通信中継装置、通信中継処理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015088948A JP2015088948A (ja) | 2015-05-07 |
| JP6191397B2 true JP6191397B2 (ja) | 2017-09-06 |
Family
ID=53051307
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013226341A Active JP6191397B2 (ja) | 2013-10-31 | 2013-10-31 | 通信中継装置、通信中継処理 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6191397B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6633373B2 (ja) * | 2015-12-03 | 2020-01-22 | 株式会社東芝 | 制御装置 |
| JP6494567B2 (ja) * | 2016-06-27 | 2019-04-03 | 矢崎総業株式会社 | 通信管理装置および通信システム |
| KR101733045B1 (ko) | 2016-10-19 | 2017-05-08 | 모트렉스(주) | 차량용 스마트 어댑터 |
| JP7241281B2 (ja) * | 2019-12-05 | 2023-03-17 | パナソニックIpマネジメント株式会社 | 情報処理装置、制御方法及びプログラム |
| JP7408426B2 (ja) | 2020-02-03 | 2024-01-05 | 株式会社デンソーテン | 車載無線通信装置、車載無線通信システムおよび車載無線通信方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3438473B2 (ja) * | 1996-06-20 | 2003-08-18 | 矢崎総業株式会社 | 多重伝送システム、およびこれに用いられる異常処理制御方法並びに異常処理装置 |
| JP4314747B2 (ja) * | 2001-01-16 | 2009-08-19 | 株式会社デンソー | 車両のためのドアロック制御システム及び車両用ドアロック制御装置 |
| JP2005170338A (ja) * | 2003-12-15 | 2005-06-30 | Calsonic Kansei Corp | 車両用情報通信装置 |
| JP5304853B2 (ja) * | 2011-07-27 | 2013-10-02 | 株式会社デンソー | 連携システム、ナビゲーションシステム、車載装置、及び、携帯端末 |
| JP5875919B2 (ja) * | 2012-03-27 | 2016-03-02 | 株式会社ゼンリンデータコム | 動作設定システム、携帯端末、及びそれらの方法、コンピュータプログラム |
-
2013
- 2013-10-31 JP JP2013226341A patent/JP6191397B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015088948A (ja) | 2015-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| CN109327307B (zh) | 基于can总线的汽车远程控制方法 | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| CN107528821B (zh) | 用于远程信息处理控制单元的数据更新的系统和方法 | |
| JP6578224B2 (ja) | 車載システム、プログラムおよびコントローラ | |
| JP6201962B2 (ja) | 車載通信システム | |
| US10142420B2 (en) | On-board web server telematics systems and methods | |
| US11165851B2 (en) | System and method for providing security to a communication network | |
| JP6191397B2 (ja) | 通信中継装置、通信中継処理 | |
| WO2019216306A1 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| JP5696669B2 (ja) | ゲートウェイ装置、及び、車両通信システム | |
| WO2019012888A1 (ja) | 車載装置、管理方法および管理プログラム | |
| JP2019071572A (ja) | 制御装置及び制御方法 | |
| WO2019225258A1 (ja) | 異常検出装置、異常検出システム及び制御方法 | |
| WO2013051122A1 (ja) | 車載ネットワークシステム | |
| JP6783578B2 (ja) | 車両制御システム | |
| KR101297024B1 (ko) | 캔통신을이용한 자동차 고장진단 네트워크 시스템 및 방법 | |
| EP3121753B1 (en) | System for controlling the communication between a main device and an auxiliary device and associated main device and auxiliary device used in the system | |
| Groza et al. | Designing security for in-vehicle networks: a Body Control Module (BCM) centered viewpoint | |
| CN112689982B (zh) | 数据验证方法、装置及存储介质 | |
| JP2022058420A (ja) | 装置およびプログラム | |
| JP2022138678A (ja) | 車両システム | |
| Sharma et al. | An Extended Survey on Vehicle Security | |
| WO2021019636A1 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| CN117294450A (zh) | 一种车辆证书更新系统、方法、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160826 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170711 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170724 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6191397 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |