WO2015029191A1

WO2015029191A1 - 車上処理管理システム及び車上処理管理方法及びプログラム

Info

Publication number: WO2015029191A1
Application number: PCT/JP2013/073190
Authority: WO
Inventors: 広樹坂口; 武彦花田; 吉田　浩; 順司大谷; 篤松本; 康貴小西; 卓爾森本
Original assignee: 三菱電機株式会社
Priority date: 2013-08-29
Filing date: 2013-08-29
Publication date: 2015-03-05

Abstract

　携帯端末で動作しているアプリケーションプログラムのユーザ操作、画面表示、又は、音出力が車載機で行われる。車上処理管理システムは、車載機でアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を行うことの可否を、アプリケーションプログラムに付加された付加データの検証結果に基づいて判断する。このため、意図しないアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を確実に制限することができる。

Description

車上処理管理システム及び車上処理管理方法及びプログラム

　本発明は、車上処理管理システム及び車上処理管理方法及びプログラムに関するものである。本発明は、例えば、車両用装置（即ち、車載機）と携帯端末とを接続し、携帯端末の画面を車両用装置で表示するシステムに関するものである。

　従来から、車両用装置と携帯端末とを接続し、携帯端末の画面を車両用装置で表示したり、車両用装置で受け付けた操作に応じた処理を携帯端末で実行したりする技術が知られている（例えば、特許文献１参照）。

特開２０１０－１３０６７０号公報

　運転者は、車両を運転しながら車両用装置あるいは携帯端末を操作すると運転に集中できない。特許文献１に開示されている技術では、車両の走行状態によって車両用装置の操作が規制される。また、携帯端末で動作する個々のアプリケーションに対し、車両の走行時の操作可否がデータベースで規定され、車両の走行時に操作可否が判断される。

　ユーザは、携帯端末に任意のアプリケーションをインストールして使用することができる。アプリケーション開発者は、アプリケーションに任意の名称を設定することができる。特許文献１に記載のシステムでは、アプリケーションの名称によりデータベースから操作可否を示す情報が取得される。しかし、携帯端末で動作しているアプリケーションと、データベースに登録されているアプリケーションが、同一名称であっても、実際には異なるアプリケーションの可能性がある。したがって、あるアプリケーションが車両の走行時に操作可能として登録されていた場合、そのアプリケーションと同一名称の意図しないアプリケーションの操作が許可されてしまう可能性がある。

　上記のように、特許文献１に記載のシステムでは、携帯端末で動作しているアプリケーションが、データベースに登録されているアプリケーションと一致しているかどうかを確認できないという課題がある。

　特許文献１に記載のシステムでは、携帯端末で操作可否が判定される。そのため、意図しないアプリケーションが携帯端末の誤動作によって操作可能な状態になった場合、車両用装置でそれを検出できず、そのアプリケーションの操作が許可されてしまう可能性がある。

　上記のように、特許文献１に記載のシステムでは、携帯端末で動作しているアプリケーションの操作を車両用装置で制限できないという課題がある。

　本発明は、例えば、携帯端末で動作しているアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を車載機で行うシステムにおいて、意図しないアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を確実に制限することを目的とする。

　本発明の一の態様に係る車上処理管理システムは、
　携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得する取得部と、
　前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断する判断部とを備える。

　本発明の一の態様に係る車上処理管理方法では、
　取得部が、携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得し、
　判断部が、前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断する。

　本発明の一の態様に係るプログラムは、
　コンピュータを、
　携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得する取得部と、
　前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断する判断部として機能させるためのものである。

　本発明では、携帯端末で動作しているアプリケーションプログラムのユーザ操作、画面表示、又は、音出力が車載機で行われる。車載機でアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を行うことの可否が、アプリケーションプログラムに付加された付加データの検証結果に基づいて判断される。このため、本発明によれば、意図しないアプリケーションプログラムのユーザ操作、画面表示、又は、音出力を確実に制限することができる。

実施の形態１～３，５，６に係る通信システムの構成を示す図。実施の形態１に係る通信システムの詳細構成を示すブロック図。実施の形態１に係る車載機の動作例を示すフローチャート。実施の形態１に係る車載機の動作例を示すフローチャート。実施の形態１に係る携帯端末の動作例を示すフローチャート。実施の形態２に係る通信システムの詳細構成を示すブロック図。実施の形態２に係る車載機の動作例を示すフローチャート。実施の形態２に係る車載機の動作例を示すフローチャート。実施の形態２に係る携帯端末の動作例を示すフローチャート。実施の形態２に係る携帯端末の動作例を示すフローチャート。実施の形態３，４に係る通信システムの構成を示す図。実施の形態３に係る通信システムの詳細構成を示すブロック図。実施の形態４に係る通信システムの詳細構成を示すブロック図。実施の形態５に係る通信システムの詳細構成を示すブロック図。実施の形態６に係る通信システムの詳細構成を示すブロック図。実施の形態１～６に係る通信システムの各装置のハードウェア構成例を示す図。

　以下、本発明の実施の形態について、図を用いて説明する。

　実施の形態１．
　図１は、本実施の形態に係る通信システム１００の構成を示す図である。

　図１において、通信システム１００は、携帯端末２００、車載機３００を備える。

　携帯端末２００は、例えば、スマートフォン、タブレット、あるいは、携帯電話機である。

　車載機３００は、例えば、ナビゲーション装置、あるいは、ＤＡ（Ｄｉｓｐｌａｙ・Ａｕｄｉｏ）である。

　携帯端末２００と車載機３００は、互いに通信する。携帯端末２００と車載機３００との間のインタフェースは、例えば、Ｗｉ－Ｆｉ（登録商標）、Ｗｉ－Ｆｉ・Ｄｉｒｅｃｔ（登録商標）、Ｅｔｈｅｒｎｅｔ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の通信インタフェース、あるいは、通信インタフェースとＨＤＭＩ（Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ・Ｍｕｌｔｉｍｅｄｉａ・Ｉｎｔｅｒｆａｃｅ）（登録商標）等のＡＶ（Ａｕｄｉｏ／Ｖｉｄｅｏ）インタフェースとの組み合わせである。

　携帯端末２００には、アプリケーションがインストールされる。アプリケーションとは、ナビゲーション、動画再生、音楽再生、電話、電子メール、ウェブ検索といった特定の機能を果たすプログラム（即ち、アプリケーションプログラム）のことである。

　アプリケーションには、アプリケーション開発者あるいはアプリケーション配布者によってアプリケーション署名が予め付加されている。アプリケーション署名とは、アプリケーションの正当性を証明する電子署名のことである。アプリケーション署名は、アプリケーションの正当性を検証するためにアプリケーションに付加された付加データの例である。

　通信システム１００は、携帯端末２００と車載機３００とを接続し、携帯端末２００の画面を車載機３００で表示したり、車載機３００で受け付けた操作に応じた処理を携帯端末２００で実行したりする。通信システム１００は、携帯端末２００でアプリケーションを実行する際に、アプリケーション署名を用いてアプリケーションの正当性を検証する。これにより、通信システム１００は、携帯端末２００で適切なアプリケーションが動作しているかどうかを判断する。

　通信システム１００では、車載機３００が搭載された車両の走行中の制限（即ち、ユーザ操作の可否、画面表示の可否、音出力の可否）が予め規定されている。携帯端末２００で適切なアプリケーションが動作している場合、通信システム１００は、車両の走行中の制限を適用する。つまり、通信システム１００は、車両の走行中の制限に応じて、携帯端末２００で動作しているアプリケーションのユーザ操作、画面表示、音出力を車載機３００で許可するかどうかを判断する。携帯端末２００で適切なアプリケーションが動作していない場合、通信システム１００は、少なくとも車両の走行中は、携帯端末２００で動作しているアプリケーションのユーザ操作、画面表示、音出力を車載機３００で禁止する。

　図２は、通信システム１００の詳細構成を示すブロック図である。

　図２において、携帯端末２００は、通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６を備える。

　通信制御部２０１は、車載機３００と通信するための通信インタフェースと、車載機３００へ音及び映像を送信するためのＡＶインタフェースとを管理する。通信制御部２０１は、インタフェースの種別ごとに、車載機３００との接続を管理する。通信制御部２０１は、データの送受信を制御する。

　送信部２０２は、携帯端末２００の画面データと音データとを取得する。画面データは、前面アプリケーションによって生成される画面のデータである。音データは、前面アプリケーションによって生成される音のデータである。前面アプリケーションとは、携帯端末２００で操作を受け付けることができるフォアグラウンドのアプリケーションのことである。携帯端末２００のディスプレイがオフに設定されているときは、画面データが生成されるだけでディスプレイには何も表示されない。携帯端末２００のディスプレイがオンに設定されているときは、画面データを用いてディスプレイに画面が表示される。同様に、携帯端末２００のスピーカがオフに設定されているときは、音データが生成されるだけでスピーカからは何も出力されない。携帯端末２００のスピーカがオンに設定されているときは、音データを用いてスピーカから音が出力される。

　送信部２０２は、取得した画面データと音データとを、通信制御部２０１を介して車載機３００へ送信する。この送信の際に、送信部２０２は、ＨＤＭＩ（登録商標）等のＡＶインタフェースを用いて画面データと音データとを伝送する。あるいは、送信部２０２は、画面データと音データとをＭＰＥＧ（Ｍｏｖｉｎｇ・Ｐｉｃｔｕｒｅ・Ｅｘｐｅｒｔｓ・Ｇｒｏｕｐ）等の映像ストリーム形式に変換する。送信部２０２は、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の通信インタフェースを用いて、変換した画面データと音データとを伝送する。

　監視部２０３は、前面アプリケーションを常に監視する。前面アプリケーションが別のアプリケーションに変更された場合、監視部２０３は、その別のアプリケーションのアプリケーション識別子を記憶する。アプリケーション識別子とは、アプリケーションを一意に識別するための文字列である。アプリケーション識別子は、アプリケーション署名と同じようにアプリケーションに予め付加されている。

　管理部２０４は、アプリケーション署名を管理する。アプリケーション識別子が指定されると、管理部２０４は、指定されたアプリケーション識別子に対応するアプリケーション署名を提供する。

　通知部２０５は、監視部２０３から前面アプリケーションのアプリケーション識別子を取得する。通知部２０５は、管理部２０４から、取得したアプリケーション識別子に対応するアプリケーション署名を取得する。通知部２０５は、取得したアプリケーション識別子とアプリケーション署名とを、通信制御部２０１を介して車載機３００へ送信する。この送信の際に、通知部２０５は、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の通信インタフェースを用いて、アプリケーション識別子とアプリケーション署名とを伝送する。通知部２０５は、アプリケーション識別子とアプリケーション署名との送信処理を、一定間隔で（例えば、５００ミリ秒ごとに）行う。このため、車載機３００では、前面アプリケーションの変更に迅速に対応できる。

　操作制御部２０６は、通信制御部２０１を介して、車載機３００からユーザ操作の情報を受信する。例えば、ユーザ操作がタッチ操作であれば、操作制御部２０６は、タッチパネルのどこがどのようにタッチされたかという情報を受信する。あるいは、ユーザ操作がボタン操作であれば、操作制御部２０６は、どのボタンが押されたかという情報を受信する。操作制御部２０６は、受信した情報を携帯端末２００に対するユーザ操作の情報として処理する。つまり、操作制御部２０６は、前面アプリケーションへユーザ操作を通知する。前面アプリケーションは、通知された操作に応じた処理を実行する。

　車載機３００は、通信制御部３０１、データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２を備える。

　通信制御部３０１は、携帯端末２００と通信するための通信インタフェースと、携帯端末２００から音及び映像を受信するためのＡＶインタフェースとを管理する。通信制御部３０１は、インタフェースの種別ごとに、携帯端末２００との接続を管理する。通信制御部３０１は、データの送受信を制御する。

　データベース３０２は、車載機３００で利用可能なアプリケーションのリストを格納する。

　データベース３０２は、例えば、アプリケーション識別子、アプリケーション署名、操作可否、表示可否、音出力可否のカラムを含むテーブルを有する。アプリケーション識別子のカラムには、アプリケーション識別子が格納される。アプリケーション署名のカラムには、アプリケーション識別子に対応するアプリケーションの正規のアプリケーション署名、又は、その正規のアプリケーション署名から生成された文字列（例えば、ハッシュ値）が格納される。操作可否のカラムには、車両の走行中に車載機３００に対するユーザ操作の情報を携帯端末２００に送信することを許可するかどうかを示すフラグが格納される。表示可否のカラムには、車両の走行中に携帯端末２００から送信された画面データを車載機３００で表示することを許可するかどうかを示すフラグが格納される。音出力可否のカラムには、車両の走行中に携帯端末２００から送信された音データを車載機３００で出力することを許可するかどうかを示すフラグが格納される。

　アプリケーション署名のカラムに格納される文字列は、正規のアプリケーション署名（即ち、付加データ）に対応するデータの例である。操作可否、表示可否、音出力可否のカラムに格納されるフラグは、車上処理の実行可否と車両の状態との対応関係を定義するデータの例である。車上処理とは、車載機３００でアプリケーションのユーザ操作と画面表示と音出力との少なくともいずれかを行う処理のことである。

　検証部３０３は、携帯端末２００から、携帯端末２００で動作している前面アプリケーションのアプリケーション署名を受信する。検証部３０３は、データベース３０２を参照することにより、受信したアプリケーション署名を検証する。検証部３０３は、検証結果を出力する。

　具体的には、検証部３０３は、通信制御部３０１を介して、携帯端末２００から前面アプリケーションのアプリケーション識別子とアプリケーション署名とを受信する。検証部３０３は、データベース３０２から、受信したアプリケーション識別子に対応するアプリケーション署名又は文字列を取得する。検証部３０３は、携帯端末２００から受信したアプリケーション署名と、データベース３０２から取得したアプリケーション署名が一致しているかどうかを検証する。あるいは、検証部３０３は、携帯端末２００から受信したアプリケーション署名からハッシュ値等の文字列を生成する。検証部３０３は、生成した文字列と、データベース３０２から取得した文字列が一致しているかどうかを検証する。

　取得部３０４は、検証部３０３から、携帯端末２００で動作している前面アプリケーションのアプリケーション署名の検証結果を取得する。

　検知部３０５は、車両の現在の状態を検知する。

　検知部３０５は、例えば、図示していない走行状態検知部及びセンサ部を有する。走行状態検知部は、センサ部によって得られる情報に基づいて、車両が走行中であるかどうかを検知する。センサ部は、ＧＰＳ（Ｇｌｏｂａｌ・Ｐｏｓｉｔｉｏｎｉｎｇ・Ｓｙｓｔｅｍ）受信機、加速度センサ、車速センサ、パーキングブレーキセンサといったハードウェア、その制御ドライバ、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ・Ａｒｅａ・Ｎｅｔｗｏｒｋ）で構成される。

　入力部３０６は、ユーザ操作を受け付ける。

　入力部３０６は、例えば、図示していないタッチパネル部及びボタン部を有する。タッチパネル部は、ハードウェアであるタッチパネル及びその制御ドライバで構成される。ボタン部は、ハードウェアであるボタン及びその制御ドライバで構成される。

　送信部３０７は、入力部３０６からユーザ操作の情報を取得する。

　例えば、送信部３０７は、入力部３０６のタッチパネル部から、ユーザによるタッチ操作の座標、種別、数、時間等の情報を取得する。あるいは、送信部３０７は、入力部３０６のボタン部から、ユーザによるボタン操作の情報を取得する。

　送信部３０７は、後述する操作制御部３１１により制御されて、取得した情報を、通信制御部３０１を介して携帯端末２００へ送信する。この送信の際に、送信部３０７は、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の通信インタフェースを用いて、ユーザ操作の情報を伝送する。

　受信部３０８は、通信制御部３０１を介して、携帯端末２００から画面データと音データとを受信する。

　出力部３０９は、受信部３０８から画面データと音データとを取得する。

　出力部３０９は、後述する出力制御部３１２により制御されて、取得した画面データを用いて画面表示を行い、取得した音データを用いて音出力を行う。

　出力部３０９は、例えば、入力部３０６のタッチパネル部を共有し、さらに、図示していないスピーカ部を有する。スピーカ部は、ハードウェアであるスピーカ及びその制御ドライバで構成される。

　判断部３１０は、データベース３０２を参照することにより、携帯端末２００で動作している前面アプリケーションのユーザ操作の可否、画面表示の可否、又は、音出力の可否を、取得部３０４により取得された検証結果と検知部３０５により検知された現在の状態とに基づいて判断する。

　例えば、判断部３１０は、取得部３０４から、アプリケーション署名の検証結果を示す情報を取得する。アプリケーション署名又は文字列が正規のものと一致していた場合、判断部３１０は、アプリケーション識別子をキーとしてデータベース３０２を参照する。判断部３１０は、アプリケーション識別子に対応するアプリケーションの操作可否、表示可否、音出力可否のフラグに基づいて、前面アプリケーションの操作可否、表示可否、音出力可否を判断する。一方、データベース３０２にアプリケーション署名のエントリーがなかった場合（即ち、アプリケーション識別子に対応する正規のアプリケーション署名が見つからなかった場合）、あるいは、アプリケーション署名の検証が失敗した場合、判断部３１０は、アプリケーション識別子に対応するアプリケーションのユーザ操作、画面表示、音出力の全てが、少なくとも車両の走行中は不可であると判断する。

　例えば、判断部３１０は、検知部３０５の走行状態検知部から、車両が走行中であるかどうかを示す情報を取得する。車両が走行中である場合、判断部３１０は、データベース３０２から取得したフラグに従って、アプリケーションのユーザ操作、画面表示、又は、音出力を許可するかどうかを判断する。一方、車両が走行中でない場合、判断部３１０は、無条件にアプリケーションのユーザ操作、画面表示、又は、音出力を許可してよいと判断する。

　判断部３１０がアプリケーションのユーザ操作を許可してよいと判断した場合、操作制御部３１１は、送信部３０７がユーザ操作の情報を携帯端末２００へ送信するように送信部３０７を制御する。一方、アプリケーションのユーザ操作を許可しないことが判断部３１０により判断された場合、操作制御部３１１は、送信部３０７がユーザ操作の情報を携帯端末２００へ送信しないように送信部３０７を制御する。

　例えば、操作制御部３１１は、判断部３１０から、判断結果を示す情報を取得する。操作可能であれば、操作制御部３１１は、送信部３０７での情報送信を開始又は継続する。一方、操作不可であれば、操作制御部３１１は、送信部３０７での情報送信を開始しないか、又は、終了する。

　判断部３１０がアプリケーションの画面表示又は音出力を許可してよいと判断した場合、出力制御部３１２は、出力部３０９が画面表示又は音出力を行うように出力部３０９を制御する。一方、アプリケーションの画面表示又は音出力を許可しないことが判断部３１０により判断された場合、出力制御部３１２は、出力部３０９が画面表示又は音出力を行わないように出力部３０９を制御する。

　例えば、出力制御部３１２は、判断部３１０から、判断結果を示す情報を取得する。表示可能であれば、出力制御部３１２は、出力部３０９のタッチパネル部での画面表示を開始又は継続する。一方、表示不可であれば、出力制御部３１２は、出力部３０９のタッチパネル部での画面表示を開始しないか、又は、終了する。同様に、音出力可能であれば、出力制御部３１２は、出力部３０９のスピーカ部での音出力を開始又は継続する。一方、音出力不可であれば、出力制御部３１２は、出力部３０９のスピーカ部での音出力を開始しないか、又は、終了する。

　以下では、通信システム１００の動作（本実施の形態に係る車上処理管理方法、本実施の形態に係るプログラムの処理手順）の例を説明する。

　携帯端末２００と車載機３００との間の通信路は、既に確立されているものとする。

　図３及び図４は、車載機３００の動作例を示すフローチャートである。

　Ｓ１０１において、検証部３０３は、携帯端末２００から前面アプリケーションのアプリケーション識別子とアプリケーション署名とを受信する。Ｓ１０２において、検証部３０３は、データベース３０２からアプリケーション識別子に対応する正規のアプリケーション署名を取得する。Ｓ１０３において、検証部３０３は、Ｓ１０２でのアプリケーション署名の取得が成功したかどうかを判定する。Ｓ１０３で成功の場合、Ｓ１０４において、検証部３０３は、Ｓ１０１で受信したアプリケーション署名と、Ｓ１０２で取得したアプリケーション署名が一致しているかどうかを判定する。Ｓ１０５において、判断部３１０は、取得部３０４によりＳ１０４の判定結果（即ち、アプリケーション署名の検証結果）を取得する。判断部３１０は、取得した判定結果に基づき、アプリケーション署名の検証が成功したかどうかを判定する。Ｓ１０５で成功の場合、処理はＳ１０７へ進む。Ｓ１０３又はＳ１０５で失敗の場合、Ｓ１０６において、操作制御部３１１は、タッチ操作の情報の送信を終了する。出力制御部３１２は、画面表示及び音出力を終了する。Ｓ１０６の後、処理はＳ１０１へ戻る。

　Ｓ１０７において、判断部３１０は、検知部３０５の走行状態検知部から、車両が走行中であるかどうかを示す情報を取得する。Ｓ１０８において、判断部３１０は、Ｓ１０７で取得した情報に基づき、車両が走行中であるかどうかを判定する。Ｓ１０８で車両が走行中でない場合、Ｓ１０９において、操作制御部３１１は、タッチ操作の情報の送信を開始する。出力制御部３１２は、画面表示及び音出力を開始する。Ｓ１０９の後、処理はＳ１０１へ戻る。Ｓ１０８で車両が走行中である場合、Ｓ１１０において、判断部３１０は、データベース３０２から、車両の走行中における操作可否を示す情報を取得する。Ｓ１１１において、判断部３１０は、Ｓ１１０で取得した情報に基づき、車両の走行中に操作可能であるかどうかを判定する。Ｓ１１１で操作可能の場合、Ｓ１１２において、操作制御部３１１は、タッチ操作の情報の送信を開始する。Ｓ１１１で操作不可の場合、Ｓ１１３において、操作制御部３１１は、タッチ操作の情報の送信を終了する。

　Ｓ１１４において、判断部３１０は、データベース３０２から、車両の走行中における表示可否を示す情報を取得する。Ｓ１１５において、判断部３１０は、Ｓ１１４で取得した情報に基づき、車両の走行中に表示可能であるかどうかを判定する。Ｓ１１５で表示可能の場合、Ｓ１１６において、出力制御部３１２は、画面表示を開始する。既に画面表示が開始している場合、出力制御部３１２は、画面表示を継続する。Ｓ１１５で表示不可の場合、Ｓ１１７において、出力制御部３１２は、画面表示を終了する。既に画面表示が終了している場合、出力制御部３１２は、何もしない。

　Ｓ１１８において、判断部３１０は、データベース３０２から、車両の走行中における音出力可否を示す情報を取得する。Ｓ１１９において、判断部３１０は、Ｓ１１８で取得した情報に基づき、車両の走行中に音出力可能であるかどうかを判定する。Ｓ１１９で音出力可能の場合、Ｓ１２０において、出力制御部３１２は、音出力を開始する。既に音出力が開始している場合、出力制御部３１２は、音出力を継続する。Ｓ１１９で音出力不可の場合、Ｓ１２１において、出力制御部３１２は、音出力を終了する。既に音出力が終了している場合、出力制御部３１２は、何もしない。

　Ｓ１２２において、通信制御部３０１は、携帯端末２００と車載機３００との間の通信路が切断されているかどうかを判定する。Ｓ１２２で通信路が切断されている場合、Ｓ１２３において、操作制御部３１１は、タッチ操作の情報の送信を終了する。出力制御部３１２は、画面表示及び音出力を終了する。Ｓ１２３の後、処理は終了する。携帯端末２００と車載機３００との間の通信路が再び確立されると、処理はＳ１０１から開始する。Ｓ１２２で通信路が切断されていない場合、処理はＳ１０１へ戻る。

　図５は、携帯端末２００の動作例を示すフローチャートである。

　Ｓ１３１において、通知部２０５は、監視部２０３から前面アプリケーションのアプリケーション識別子を取得する。Ｓ１３２において、通知部２０５は、管理部２０４から前面アプリケーションのアプリケーション署名を取得する。Ｓ１３３において、通知部２０５は、Ｓ１３１で取得したアプリケーション識別子と、Ｓ１３２で取得したアプリケーション署名とを車載機３００へ送信する。

　Ｓ１３４において、通信制御部２０１は、携帯端末２００と車載機３００との間の通信路が切断されているかどうかを判定する。Ｓ１３４で通信路が切断されている場合、処理は終了する。携帯端末２００と車載機３００との間の通信路が再び確立されると、処理はＳ１３１から開始する。Ｓ１３４で通信路が切断されていない場合、Ｓ１３５において、一定時間経過後、処理はＳ１３１へ戻る。

　以上説明したように、本実施の形態では、アプリケーションを識別するための情報に加え、アプリケーションを検証するための署名が携帯端末２００から車載機３００へ伝達される。これにより、車載機３００は、携帯端末２００で動作しているアプリケーションが適切なアプリケーションであることを確認できる。このため、本実施の形態によれば、アプリケーションのなりすましによる意図しない操作、表示、音出力の許可を防ぐことができる。

　本実施の形態では、アプリケーションに関する情報が携帯端末２００から車載機３００へ一定間隔で通知される。車載機３００では、携帯端末２００で動作しているアプリケーションの操作、表示、音出力の可否が判定される。これにより、車載機３００は、携帯端末２００の動作不良あるいは不正利用に起因する異常を迅速かつ確実に検知することができる。このため、本実施の形態によれば、携帯端末２００の不備による不正な操作、表示、音出力の許可を防ぐことができる。

　例えば、車両のメーカ（又はディーラ）が、本実施の形態を適用した車載機３００を搭載した車両を販売することが考えられる。この場合、車両のメーカは、本実施の形態を適用した携帯端末２００用のソフトウェアを顧客に配布すれば、携帯端末２００を自ら開発及び販売する必要がない。車両のメーカは、アプリケーション署名を作成するための秘密鍵をアプリケーション開発者又はアプリケーション配布者に個別に発行すれば、利用可能なアプリケーションを自ら開発及び配布する必要がない。車両のメーカは、アプリケーション開発者又はアプリケーション配布者が作成したアプリケーション署名を車両の販売前に車載機３００に登録しておくことが望ましい。ただし、車両のメーカ、あるいは、顧客が新たなアプリケーション署名を後から追加できるようにしてもよい。

　本実施の形態において、アプリケーション識別子が省略されてもよい。例えば、アプリケーション識別子の代わりに、アプリケーション署名又はアプリケーション署名から生成された文字列（例えば、ハッシュ値）を用いてアプリケーションを識別することができる。

　本実施の形態において、アプリケーション署名の検証時に正規のアプリケーション署名が見つからなかったか、あるいは、検証が失敗した場合、車載機３００の判断部３１０は、アプリケーションのユーザ操作、画面表示、音出力の全てが、車両の走行中に限らず、無条件に不可であると判断してもよい。このような厳しい判断基準の採用により、セキュリティが向上する。

　本実施の形態において、車両が走行中であるかどうかだけでなく、車両の他の状態、あるいは、車両の他の状態との組み合わせに応じて、アプリケーションのユーザ操作、画面表示、音出力の可否が決定されてもよい。例えば、車両が走行中であっても、助手席に人が乗っていることが検知された場合には、ナビゲーション用のアプリケーションのユーザ操作を可能とすることで、安全性を保ちながら、利便性を高めることができる。

　本実施の形態において、画面データは、前面アプリケーション以外に携帯端末２００で動作しているアプリケーションによって生成される画面のデータであってもよい。同様に、音データは、前面アプリケーション以外に携帯端末２００で動作しているアプリケーションによって生成される音のデータであってもよい。

　本実施の形態において、通信システム１００、あるいは、通信システム１００に含まれる車載機３００は、車上処理管理システムに相当する。

　本実施の形態に係る車上処理管理システムは、アプリケーションのユーザ操作、画面表示、又は、音出力の可否を、アプリケーション署名の検証結果に基づいて判断する。このため、意図しないアプリケーションのユーザ操作、画面表示、又は、音出力を確実に制限することができる。

　本実施の形態に係る車上処理管理システムは、アプリケーションのユーザ操作、画面表示、又は、音出力の可否を、車両が走行中であるかどうかに基づいて判断する。このため、車両の運転に支障をきたすアプリケーションのユーザ操作、画面表示、又は、音出力を制限し、安全性を高めることができる。

　本実施の形態に係る車上処理管理システムは、正規のアプリケーション署名又はそのアプリケーション署名に対応するデータが格納されたデータベース３０２を参照することにより、アプリケーション署名を検証する。このため、アプリケーションの正当性を確実に検証することができる。

　本実施の形態に係る車上処理管理システムに含まれるデータベース３０２、検証部３０３、取得部３０４、判断部３１０は、車載機３００に設けられているが、これらの一部又は全てが携帯端末２００、あるいは、携帯端末２００と通信する、車載機３００とは別の通信装置（例えば、サーバ装置）に設けられてもよい。

　例えば、取得部３０４と判断部３１０は、本実施の形態のように、車載機３００にまとめて設けられてもよいし、後述する実施の形態２のように、携帯端末２００と車載機３００とに分けて設けられてもよい。

　あるいは、取得部３０４と判断部３１０は、携帯端末２００にまとめて設けられてもよい。この場合、携帯端末２００に、本実施の形態に係る車載機３００のデータベース３０２、検証部３０３、検知部３０５の走行状態検知部に相当する要素も設けられることが望ましい。検知部３０５の走行状態検知部に相当する要素は、通信制御部２０１を介して、車載機３００から、検知部３０５のセンサ部によって得られる情報を受信すればよい。

　あるいは、取得部３０４と判断部３１０は、携帯端末２００と車載機３００と前述した別の通信装置（例えば、サーバ装置）とに分けて設けられてもよい。

　例えば、検証部３０３と判断部３１０は、本実施の形態のように、車載機３００にまとめて設けられてもよいし、後述する実施の形態２のように、携帯端末２００と車載機３００とに分けて設けられてもよいし、携帯端末２００にまとめて設けられてもよい。

　あるいは、検証部３０３と判断部３１０は、携帯端末２００と車載機３００と前述した別の通信装置（例えば、サーバ装置）とに分けて設けられてもよい。一例として、サーバ装置に、本実施の形態に係る車載機３００の検証部３０３に相当する要素が設けられ、携帯端末２００に、本実施の形態に係る車載機３００の判断部３１０に相当する要素が設けられたとする。この場合、サーバ装置の検証結果に基づいて、携帯端末２００で車上処理の実行可否が判断される。別の例として、サーバ装置に、本実施の形態に係る車載機３００の検証部３０３と判断部３１０とに相当する要素が設けられたとする。この場合、サーバ装置で検証結果に基づいて車上処理の実行可否が判断される。

　実施の形態２．
　本実施の形態について、主に実施の形態１との差異を説明する。

　本実施の形態に係る通信システム１００の構成は、図１に示した実施の形態１のものと同じである。

　図６は、通信システム１００の詳細構成を示すブロック図である。

　本実施の形態では、携帯端末２００に、実施の形態１に係る車載機３００のデータベース３０２、検証部３０３、取得部３０４にそれぞれ相当するデータベース２０７、検証部２０８、取得部２０９が設けられる。また、携帯端末２００に、実施の形態１に係る車載機３００の判断部３１０の一部に相当する判断部２１０が設けられる。

　実施の形態１では、アプリケーション識別子とアプリケーション署名が携帯端末２００から車載機３００へ送信されるが、本実施の形態では、車両の走行中におけるアプリケーションのユーザ操作、画面表示、音出力の可否を示す情報が携帯端末２００から車載機３００へ送信される。

　図６において、携帯端末２００は、通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６、データベース２０７、検証部２０８、取得部２０９、判断部２１０を備える。

　通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、操作制御部２０６は、図２に示した実施の形態１のものと同じである。

　データベース２０７は、図２に示した実施の形態１に係る車載機３００のデータベース３０２と同じである。

　通知部２０５は、監視部２０３から前面アプリケーションのアプリケーション識別子を取得する。通知部２０５は、管理部２０４から、取得したアプリケーション識別子に対応するアプリケーション署名を取得する。通知部２０５は、取得したアプリケーション識別子とアプリケーション署名とを、検証部２０８へ提供する。

　検証部２０８は、通知部２０５から、携帯端末２００で動作している前面アプリケーションのアプリケーション署名を取得する。検証部２０８は、データベース２０７を参照することにより、アプリケーション署名を検証する。検証部２０８は、検証結果を出力する。

　具体的には、検証部２０８は、通知部２０５から前面アプリケーションのアプリケーション識別子とアプリケーション署名とを取得する。検証部２０８は、データベース２０７から、取得したアプリケーション識別子に対応するアプリケーション署名又は文字列を取得する。検証部２０８は、通知部２０５から取得したアプリケーション署名と、データベース２０７から取得したアプリケーション署名が一致しているかどうかを検証する。あるいは、検証部２０８は、通知部２０５から取得したアプリケーション署名からハッシュ値等の文字列を生成する。検証部２０８は、生成した文字列と、データベース２０７から取得した文字列が一致しているかどうかを検証する。

　取得部２０９は、検証部２０８から、携帯端末２００で動作している前面アプリケーションのアプリケーション署名の検証結果を取得する。

　判断部２１０は、データベース２０７を参照することにより、携帯端末２００で動作している前面アプリケーションのユーザ操作の可否、画面表示の可否、又は、音出力の可否を、取得部２０９により取得された検証結果に基づいて判断する。

　例えば、判断部２１０は、取得部２０９から、アプリケーション署名の検証結果を示す情報を取得する。アプリケーション署名又は文字列が正規のものと一致していた場合、判断部２１０は、アプリケーション識別子をキーとしてデータベース２０７を参照する。これにより、判断部２１０は、アプリケーション識別子に対応するアプリケーションの操作可否、表示可否、音出力可否のフラグに基づいて、前面アプリケーションの操作可否、表示可否、音出力可否を判断する。一方、データベース２０７にアプリケーション署名のエントリーがなかった場合、あるいは、アプリケーション署名の検証が失敗した場合、判断部２１０は、アプリケーション識別子に対応するアプリケーションのユーザ操作、画面表示、音出力の全てが、少なくとも車両の走行中は不可であると判断する。

　通知部２０５は、判断部２１０から、判断結果を示す情報を取得する。通知部２０５は、取得した情報を、通信制御部２０１を介して車載機３００へ送信する。この送信の際に、通知部２０５は、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の通信インタフェースを用いて、判断部２１０から取得した情報を伝送する。通知部２０５は、情報の送信処理を、一定間隔で（例えば、５００ミリ秒ごとに）行う。このため、車載機３００では、前面アプリケーションの変更に迅速に対応できる。

　車載機３００は、通信制御部３０１、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２を備える。

　通信制御部３０１、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、操作制御部３１１、出力制御部３１２は、実施の形態１のものと同じである。

　判断部３１０は、携帯端末２００から、車両の走行中における、携帯端末２００で動作している前面アプリケーションのユーザ操作の可否、画面表示の可否、又は、音出力の可否を示す情報を受信する。判断部３１０は、前面アプリケーションのユーザ操作の可否、画面表示の可否、又は、音出力の可否を、携帯端末２００から受信した情報と検知部３０５により検知された現在の状態とに基づいて判断する。

　例えば、判断部３１０は、検知部３０５の走行状態検知部から、車両が走行中であるかどうかを示す情報を取得する。車両が走行中である場合、判断部３１０は、携帯端末２００から受信した情報に従って、アプリケーションのユーザ操作、画面表示、又は、音出力を許可するかどうかを判断する。一方、車両が走行中でない場合、判断部３１０は、無条件にアプリケーションのユーザ操作、画面表示、又は、音出力を許可してよいと判断する。

　図７及び図８は、車載機３００の動作例を示すフローチャートである。

　Ｓ１４１において、判断部３１０は、携帯端末２００から、車両の走行中における前面アプリケーションの操作可否、表示可否、音出力可否を示す情報を受信する。Ｓ１４２において、判断部３１０は、検知部３０５の走行状態検知部から、車両が走行中であるかどうかを示す情報を取得する。Ｓ１４３において、判断部３１０は、Ｓ１４２で取得した情報に基づき、車両が走行中であるかどうかを判定する。Ｓ１４３で車両が走行中でない場合、Ｓ１４４において、操作制御部３１１は、タッチ操作の情報の送信を開始する。出力制御部３１２は、画面表示及び音出力を開始する。Ｓ１４４の後、処理はＳ１４１へ戻る。

　Ｓ１４３で車両が走行中である場合、Ｓ１４５において、判断部３１０は、Ｓ１４１で取得した情報に基づき、車両の走行中に操作可能であるかどうかを判定する。Ｓ１４５で操作可能の場合、Ｓ１４６において、操作制御部３１１は、タッチ操作の情報の送信を開始する。Ｓ１４５で操作不可の場合、Ｓ１４７において、操作制御部３１１は、タッチ操作の情報の送信を終了する。

　Ｓ１４８において、判断部３１０は、Ｓ１４１で取得した情報に基づき、車両の走行中に表示可能であるかどうかを判定する。Ｓ１４８で表示可能の場合、Ｓ１４９において、出力制御部３１２は、画面表示を開始する。既に画面表示が開始している場合、出力制御部３１２は、画面表示を継続する。Ｓ１４８で表示不可の場合、Ｓ１５０において、出力制御部３１２は、画面表示を終了する。既に画面表示が終了している場合、出力制御部３１２は、何もしない。

　Ｓ１５１において、判断部３１０は、Ｓ１４１で取得した情報に基づき、車両の走行中に音出力可能であるかどうかを判定する。Ｓ１５１で音出力可能の場合、Ｓ１５２において、出力制御部３１２は、音出力を開始する。既に音出力が開始している場合、出力制御部３１２は、音出力を継続する。Ｓ１５１で音出力不可の場合、Ｓ１５３において、出力制御部３１２は、音出力を終了する。既に音出力が終了している場合、出力制御部３１２は、何もしない。

　Ｓ１５４において、通信制御部３０１は、携帯端末２００と車載機３００との間の通信路が切断されているかどうかを判定する。Ｓ１５４で通信路が切断されている場合、Ｓ１５５において、操作制御部３１１は、タッチ操作の情報の送信を終了する。出力制御部３１２は、画面表示及び音出力を終了する。Ｓ１５５の後、処理は終了する。携帯端末２００と車載機３００との間の通信路が再び確立されると、処理はＳ１４１から開始する。Ｓ１５４で通信路が切断されていない場合、処理はＳ１４１へ戻る。

　図９及び図１０は、携帯端末２００の動作例を示すフローチャートである。

　Ｓ１６１において、通知部２０５は、監視部２０３から前面アプリケーションのアプリケーション識別子を取得する。Ｓ１６２において、通知部２０５は、管理部２０４から前面アプリケーションのアプリケーション署名を取得する。Ｓ１６３において、検証部２０８は、通知部２０５から前面アプリケーションのアプリケーション識別子とアプリケーション署名とを取得する。検証部２０８は、データベース２０７からアプリケーション識別子に対応する正規のアプリケーション署名を取得する。Ｓ１６４において、検証部２０８は、Ｓ１６３でのアプリケーション署名の取得が成功したかどうかを判定する。Ｓ１６４で成功の場合、Ｓ１６５において、検証部２０８は、Ｓ１６２で取得したアプリケーション署名と、Ｓ１６３で取得したアプリケーション署名が一致しているかどうかを判定する。Ｓ１６６において、判断部２１０は、取得部２０９によりＳ１６５の判定結果（即ち、アプリケーション署名の検証結果）を取得する。判断部２１０は、取得した判定結果に基づき、アプリケーション署名の検証が成功したかどうかを判定する。Ｓ１６６で成功の場合、処理はＳ１６８へ進む。Ｓ１６４又はＳ１６６で失敗の場合、Ｓ１６７において、通知部２０５は、車両の走行中における前面アプリケーションの操作、表示、音出力の全てが不可であることを示す情報を車載機３００へ送信する。Ｓ１６７の後、処理はＳ１６１へ戻る。

　Ｓ１６８において、判断部２１０は、データベース２０７から、車両の走行中における操作可否を示す情報を取得する。Ｓ１６９において、判断部２１０は、データベース２０７から、車両の走行中における表示可否を示す情報を取得する。Ｓ１７０において、判断部２１０は、データベース２０７から、車両の走行中における音出力可否を示す情報を取得する。Ｓ１７１において、通知部２０５は、Ｓ１６８～Ｓ１７０で取得された情報を車載機３００へ送信する。

　Ｓ１７２において、通信制御部２０１は、携帯端末２００と車載機３００との間の通信路が切断されているかどうかを判定する。Ｓ１７２で通信路が切断されている場合、処理は終了する。携帯端末２００と車載機３００との間の通信路が再び確立されると、処理はＳ１６１から開始する。Ｓ１７２で通信路が切断されていない場合、Ｓ１７３において、一定時間経過後、処理はＳ１６１へ戻る。

　以上説明したように、本実施の形態では、携帯端末２００でアプリケーション署名が検証される。このため、本実施の形態によれば、車載機３００の処理負荷を減らすことができる。

　本実施の形態では、実施の形態１と同じ効果も得られる。

　本実施の形態において、通信システム１００は、車上処理管理システムに相当する。

　本実施の形態に係る車上処理管理システムに含まれるデータベース２０７、検証部２０８、取得部２０９、判断部２１０，３１０のうち、判断部３１０は、車載機３００に設けられ、残りは、携帯端末２００に設けられているが、これらの一部又は全てが携帯端末２００と通信する、車載機３００とは別の通信装置に設けられてもよい。

　実施の形態３．
　本実施の形態について、主に実施の形態１との差異を説明する。

　図１１は、本実施の形態に係る通信システム１００の構成を示す図である。

　図１１において、通信システム１００は、携帯端末２００、車載機３００、サーバ装置４００を備える。

　携帯端末２００と車載機３００は、実施の形態１と同じように、互いに通信する。

　携帯端末２００とサーバ装置４００は、ネットワーク５００を介して互いに通信する。ネットワーク５００は、例えば、移動通信網、ＷＡＮ（Ｗｉｄｅ・Ａｒｅａ・Ｎｅｔｗｏｒｋ）、インターネット、あるいは、これらの組み合わせである。携帯端末２００とサーバ装置４００は、例えば、Ｗｉ－Ｆｉ（登録商標）、３ＧＰＰ（３ｒｄ・Ｇｅｎｅｒａｔｉｏｎ・Ｐａｒｔｎｅｒｓｈｉｐ・Ｐｒｏｊｅｃｔ）（登録商標）等を用いたＴＣＰ／ＩＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ・Ｃｏｎｔｒｏｌ・Ｐｒｏｔｏｃｏｌ／Ｉｎｔｅｒｎｅｔ・Ｐｒｏｔｏｃｏｌ）で接続される。

　車載機３００とサーバ装置４００は、ネットワーク５００を介して互いに通信する。携帯端末２００とサーバ装置４００は、例えば、Ｗｉ－Ｆｉ（登録商標）、３ＧＰＰ（登録商標）、携帯端末２００のテザリング等を用いたＴＣＰ／ＩＰで接続される。

　図１２は、通信システム１００の詳細構成を示すブロック図である。

　本実施の形態では、通信システム１００に、車載機３００のデータベース３０２を更新するためのサーバ装置４００が設けられる。車載機３００には、データベース３０２を更新するための更新部３１３が設けられる。

　図１２において、携帯端末２００は、図２に示した実施の形態１のものと同じである。

　車載機３００は、通信制御部３０１、データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２、更新部３１３を備える。

　通信制御部３０１、データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２は、図２に示した実施の形態１のものと同じである。

　更新部３１３は、通信制御部３０１を介して、サーバ装置４００からデータベース３０２の更新ファイルをダウンロードする。更新部３１３は、ダウンロードした更新ファイルをデータベース３０２に適用する。更新ファイルのダウンロードのタイミングは、一定時間ごとでもよいし、更新部３１３がサーバ装置４００から更新の通知を受信したときでもよい。

　以上説明したように、本実施の形態では、車載機３００で利用可能なアプリケーションのリストを更新することができる。つまり、車載機３００で正当性を検証可能なアプリケーションを追加したり、変更したりすることができる。

　サーバ装置４００は、携帯端末２００と通信する、車載機３００とは別の通信装置の例である。

　実施の形態４．
　本実施の形態について、主に実施の形態２との差異を説明する。

　実施の形態３は実施の形態１を変形したものであるが、本実施の形態は実施の形態２を同様に変形したものである。

　本実施の形態に係る通信システム１００の構成は、図１１に示した実施の形態３のものと同じである。

　図１３は、通信システム１００の詳細構成を示すブロック図である。

　本実施の形態では、通信システム１００に、携帯端末２００のデータベース２０７を更新するためのサーバ装置４００が設けられる。携帯端末２００には、データベース２０７を更新するための更新部２１１が設けられる。

　図１３において、携帯端末２００は、通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６、データベース２０７、検証部２０８、取得部２０９、判断部２１０、更新部２１１を備える。

　通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６、データベース２０７、検証部２０８、取得部２０９、判断部２１０は、図６に示した実施の形態２のものと同じである。

　更新部２１１は、通信制御部２０１を介して、サーバ装置４００からデータベース２０７の更新ファイルをダウンロードする。更新部２１１は、ダウンロードした更新ファイルをデータベース２０７に適用する。更新ファイルのダウンロードのタイミングは、一定時間ごとでもよいし、更新部２１１がサーバ装置４００から更新の通知を受信したときでもよい。

　車載機３００は、図６に示した実施の形態２のものと同じである。

　以上説明したように、本実施の形態では、実施の形態３と同じ効果が得られる。

　本実施の形態において、通信システム１００、あるいは、通信システム１００に含まれる携帯端末２００と車載機３００との組み合わせは、車上処理管理システムに相当する。

　実施の形態５．
　本実施の形態について、主に実施の形態１との差異を説明する。

　図１４は、通信システム１００の詳細構成を示すブロック図である。

　実施の形態１では、携帯端末２００から車載機３００へ画面データと音データとを送信するための通信路と、携帯端末２００から車載機３００へ前面アプリケーションの操作可否、表示可否、音出力可否を示す情報を送信するための通信路が異なっていてよい。しかし、その場合、２つの携帯端末２００を用いることによって、携帯端末２００のなりすましが可能となるおそれがある。

　例えば、携帯端末Ａから車載機３００へ画面データと音データとを送信するための通信路がＡＶインタフェースであるＨＤＭＩで接続されているとする。一方、携帯端末Ａから車載機３００へ前面アプリケーションの操作可否、表示可否、音出力可否を示す情報を送信するための通信路が通信インタフェースで接続されているとする。このような構成において、携帯端末Ａで車両の走行中に画面表示が可能なアプリケーションが動作していれば、携帯端末Ａから車載機３００へ表示可能を示す情報が送信される。その後、携帯端末Ａと車載機３００との間のＨＤＭＩのみの接続が解除され、別の携帯端末Ｂが車載機３００にＨＤＭＩで接続されると、車両の走行中であっても、携帯端末Ｂで動作するあらゆるアプリケーションの画面が車載機３００で表示できてしまう。

　本実施の形態では、画面データと音データとを送信するための通信路と、前面アプリケーションの操作可否、表示可否、音出力可否を示す情報を送信するための通信路が異なる場合、携帯端末２００と車載機３００との間でデバイス認証が行われる。

　図１４において、携帯端末２００は、通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６、認証部２１２を備える。

　送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６は、図２に示した実施の形態１のものと同じである。

　認証部２１２は、電子認証のための演算処理を行う。認証部２１２は、携帯端末２００と車載機３００との間で共通の秘匿情報（例えば、共通鍵）を記憶する。あるいは、認証部２１２は、携帯端末２００固有の秘匿情報（例えば、秘密鍵）を記憶する。

　車載機３００は、通信制御部３０１、データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２、認証部３１４を備える。

　データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２は、図２に示した実施の形態１のものと同じである。

　認証部３１４は、電子認証のための演算処理を行う。認証部３１４は、携帯端末２００と車載機３００との間で共通の秘匿情報（例えば、共通鍵）を記憶する。あるいは、認証部３１４は、携帯端末２００固有の秘匿情報に対応する公開情報（例えば、公開鍵）を記憶する。

　携帯端末２００の通信制御部２０１と、車載機３００の通信制御部３０１は、携帯端末２００と車載機３００との間の全ての通信路において認証部２１２，３１４による電子認証を行う。例えば、携帯端末２００の通信制御部２０１は、通信路の確立を要求する際に認証部２１２から証明書を取得する。携帯端末２００の通信制御部２０１は、取得した証明書を車載機３００へ送信する。車載機３００の通信制御部３０１は、通信路の確立の要求とともに証明書を受信する。車載機３００の通信制御部３０１は、受信した証明書の正当性を認証部３１４により検証する。

　以上説明したように、本実施の形態では、デバイス認証を複数の通信経路に対して実施する。このため、本実施の形態によれば、携帯端末２００のなりすましによる意図しないアプリケーションの操作、表示、音出力の許可を防ぐことができる。

　実施の形態６．
　本実施の形態について、主に実施の形態１との差異を説明する。

　図１５は、通信システム１００の詳細構成を示すブロック図である。

　実施の形態５では、携帯端末２００のなりすましへの対策として、携帯端末２００と車載機３００との間でデバイス認証が行われる。一方、本実施の形態では、携帯端末２００のなりすましへの対策として、携帯端末２００から車載機３００へ送信される画面データ又は音データに、アプリケーション署名が埋め込まれる。

　図１５において、携帯端末２００は、通信制御部２０１、送信部２０２、監視部２０３、管理部２０４、通知部２０５、操作制御部２０６、合成部２１３を備える。

　通信制御部２０１、監視部２０３、管理部２０４、操作制御部２０６は、図２に示した実施の形態１のものと同じである。

　送信部２０２は、携帯端末２００の画面データと音データとを取得する。送信部２０２は、取得した画面データと音データとを合成部２１３へ提供する。

　通知部２０５は、監視部２０３から前面アプリケーションのアプリケーション識別子を取得する。通知部２０５は、管理部２０４から、取得したアプリケーション識別子に対応するアプリケーション署名を取得する。通知部２０５は、取得したアプリケーション識別子とアプリケーション署名とを合成部２１３へ提供する。

　合成部２１３は、送信部２０２から画面データと音データとを取得し、通知部２０５からアプリケーション識別子とアプリケーション署名とを取得する。合成部２１３は、画面データと音データとの少なくともいずれかにアプリケーション識別子とアプリケーション署名とを合成する。

　例えば、合成部２１３は、画面データにアプリケーション識別子とアプリケーション署名とを電子透かしとして埋め込む。あるいは、合成部２１３は、送信部２０２から取得した画面データと音データとがＭＰＥＧ等の映像ストリーム形式であれば、ストリームにアプリケーション識別子とアプリケーション署名とを多重化する。

　送信部２０２は、合成部２１３によりアプリケーション識別子とアプリケーション署名とが合成された画面データと音データとを、通信制御部２０１を介して車載機３００へ送信する。

　通知部２０５は、送信部２０２が画面データと音データとを送信している間は、アプリケーション識別子とアプリケーション署名とを車載機３００へ送信しなくてよい。

　車載機３００は、通信制御部３０１、データベース３０２、取得部３０４、検知部３０５、入力部３０６、送信部３０７、受信部３０８、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２、抽出部３１５を備える。

　通信制御部３０１、データベース３０２、検証部３０３、取得部３０４、検知部３０５、入力部３０６、送信部３０７、出力部３０９、判断部３１０、操作制御部３１１、出力制御部３１２は、図２に示した実施の形態１のものと同じである。

　受信部３０８は、通信制御部３０１を介して、携帯端末２００から、アプリケーション識別子とアプリケーション署名とが合成された画面データと音データとを受信する。受信部３０８は、受信した画面データと音データとを抽出部３１５へ提供する。

　抽出部３１５は、受信部３０８から画面データと音データとを取得する。抽出部３１５は、取得した画面データと音データとからアプリケーション識別子とアプリケーション署名とを抽出する。抽出部３１５は、抽出したアプリケーション識別子とアプリケーション署名とを検証部３０３へ提供する。

　検証部３０３は、抽出部３１５からアプリケーション識別子とアプリケーション署名とを取得する。検証部３０３は、データベース３０２を参照することにより、取得したアプリケーション署名を検証する。検証部３０３は、検証結果を出力する。

　以上説明したように、本実施の形態では、画面データと音データとの少なくともいずれかと、前面アプリケーションのアプリケーション署名とが同じ通信路で伝送される。このため、本実施の形態によれば、携帯端末２００のなりすましによる意図しないアプリケーションの表示及び音出力の許可を防ぐことができる。

　本実施の形態において、携帯端末２００から車載機３００へ送信される画面データ又は音データに、アプリケーション署名の代わりに、携帯端末２００を特定するための情報（例えば、証明書）が埋め込まれてもよい。その場合、携帯端末２００の通知部２０５は、携帯端末２００の送信部２０２が画面データと音データとを送信している間であっても、アプリケーション識別子とアプリケーション署名とを車載機３００へ送信する必要がある。

　本実施の形態に係る車上処理管理システムは、アプリケーションによって生成される画面データと音データとの少なくともいずれかと、アプリケーション署名とを合成し、合成されたデータを携帯端末２００から車載機３００へ送信する。このため、意図しないアプリケーションの画面表示、又は、音出力を、より確実に制限することができる。

　図１６は、実施の形態１～６に係る通信システム１００の各装置（即ち、携帯端末２００、車載機３００、サーバ装置４００）のハードウェア構成の一例を示す図である。

　図１６において、通信システム１００の各装置は、コンピュータであり、出力装置９１０、入力装置９２０、記憶装置９３０、処理装置９４０といったハードウェアを備える。ハードウェアは、通信システム１００の各装置の各部（本発明の実施の形態の説明において「～部」として説明するもの）によって利用される。

　出力装置９１０は、例えば、ＬＣＤ（Ｌｉｑｕｉｄ・Ｃｒｙｓｔａｌ・Ｄｉｓｐｌａｙ）等の表示装置、プリンタ、通信モジュール（通信回路等）である。出力装置９１０は、各部（「～部」）によってデータ、情報、信号の出力（送信）のために利用される。

　入力装置９２０は、例えば、キーボード、マウス、タッチパネル、通信モジュール（通信回路等）である。入力装置９２０は、各部（「～部」）によってデータ、情報、信号の入力（受信）のために利用される。

　記憶装置９３０は、例えば、ＲＯＭ（Ｒｅａｄ・Ｏｎｌｙ・Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ・Ａｃｃｅｓｓ・Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ・Ｄｉｓｋ・Ｄｒｉｖｅ）、ＳＳＤ（Ｓｏｌｉｄ・Ｓｔａｔｅ・Ｄｒｉｖｅ）である。記憶装置９３０には、プログラム９３１、ファイル９３２が記憶される。プログラム９３１には、各部（「～部」）の処理（機能）を実行するプログラムが含まれる。ファイル９３２には、各部（「～部」）によって演算、加工、読み取り、書き込み、利用、入力、出力等が行われるデータ、情報、信号（値）等が含まれる。

　処理装置９４０は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ）である。処理装置９４０は、バス等を介して他のハードウェアデバイスと接続され、それらのハードウェアデバイスを制御する。処理装置９４０は、記憶装置９３０からプログラム９３１を読み出し、プログラム９３１を実行する。処理装置９４０は、各部（「～部」）によって演算、加工、読み取り、書き込み、利用、入力、出力等を行うために利用される。

　本発明の実施の形態の説明において「～部」として説明するものは、「～回路」、「～装置」、「～機器」であってもよく、また、「～ステップ」、「～工程」、「～手順」、「～処理」であってもよい。即ち、「～部」として説明するものは、ソフトウェアのみ、ハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせで実現される。ソフトウェアは、プログラム９３１として、記憶装置９３０に記憶される。プログラム９３１は、本発明の実施の形態の説明で述べる「～部」としてコンピュータを機能させるものである。あるいは、プログラム９３１は、本発明の実施の形態の説明で述べる「～部」の処理をコンピュータに実行させるものである。

　以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、２つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、１つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、２つ以上を部分的に組み合わせて実施しても構わない。なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。

　１００　通信システム、２００　携帯端末、２０１　通信制御部、２０２　送信部、２０３　監視部、２０４　管理部、２０５　通知部、２０６　操作制御部、２０７　データベース、２０８　検証部、２０９　取得部、２１０　判断部、２１１　更新部、２１２　認証部、２１３　合成部、３００　車載機、３０１　通信制御部、３０２　データベース、３０３　検証部、３０４　取得部、３０５　検知部、３０６　入力部、３０７　送信部、３０８　受信部、３０９　出力部、３１０　判断部、３１１　操作制御部、３１２　出力制御部、３１３　更新部、３１４　認証部、３１５　抽出部、４００　サーバ装置、５００　ネットワーク、９１０　出力装置、９２０　入力装置、９３０　記憶装置、９３１　プログラム、９３２　ファイル、９４０　処理装置。

Claims

　携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得する取得部と、
　前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断する判断部と
を備えることを特徴とする車上処理管理システム。
　前記車載機が搭載された車両の現在の状態を検知する検知部
をさらに備え、
　前記判断部は、前記車上処理の実行可否と前記車両の状態との対応関係を定義するデータベースを参照することにより、前記車上処理の実行可否を、前記取得部により取得された検証結果と前記検知部により検知された現在の状態とに基づいて判断することを特徴とする請求項１の車上処理管理システム。
　正規の付加データ又は正規の付加データに対応するデータが格納されたデータベースを参照することにより、前記アプリケーションプログラムの付加データを検証する検証部
をさらに備え、
　前記取得部は、前記検証部から、前記アプリケーションプログラムの付加データの検証結果を取得することを特徴とする請求項１の車上処理管理システム。
　前記検証部は、前記車載機に設けられ、前記携帯端末から、前記アプリケーションプログラムの付加データを受信し、受信した付加データを検証することを特徴とする請求項３の車上処理管理システム。
　前記車上処理は、前記車載機で前記アプリケーションプログラムの画面表示を行う処理であり、
　前記携帯端末に設けられ、前記アプリケーションプログラムによって生成される画面データに前記アプリケーションプログラムの付加データを合成する合成部と、
　前記車載機に設けられ、前記携帯端末から、前記合成部により前記アプリケーションプログラムの付加データが合成された画面データを受信する受信部と、
　前記車載機に設けられ、前記受信部により受信された画面データから前記アプリケーションプログラムの付加データを抽出する抽出部と、
　前記車載機に設けられ、前記車上処理が実行可能であると前記判断部により判断された場合に、前記受信部により受信された画面データを用いて画面表示を行う出力部と
をさらに備え、
　前記検証部は、前記車載機に設けられ、前記抽出部により抽出された付加データを検証することを特徴とする請求項３の車上処理管理システム。
　前記合成部は、前記アプリケーションプログラムによって生成される画面データに前記アプリケーションプログラムの付加データを電子透かしとして埋め込むことを特徴とする請求項５の車上処理管理システム。
　前記車上処理は、前記車載機で前記アプリケーションプログラムの音出力を行う処理であり、
　前記携帯端末に設けられ、前記アプリケーションプログラムによって生成される音データに前記アプリケーションプログラムの付加データを合成する合成部と、
　前記車載機に設けられ、前記携帯端末から、前記合成部により前記アプリケーションプログラムの付加データが付加された音データを受信する受信部と、
　前記車載機に設けられ、前記受信部により受信された音データから前記アプリケーションプログラムの付加データを抽出する抽出部と、
　前記車載機に設けられ、前記車上処理が実行可能であると前記判断部により判断された場合に、前記受信部により受信された音データを用いて音出力を行う出力部と
をさらに備え、
　前記検証部は、前記車載機に設けられ、前記抽出部により抽出された付加データを検証することを特徴とする請求項３の車上処理管理システム。
　前記アプリケーションプログラムの付加データは、電子署名であることを特徴とする請求項１の車上処理管理システム。
　前記取得部と前記判断部とは、前記車載機に設けられることを特徴とする請求項１の車上処理管理システム。
　前記取得部と前記判断部とは、前記携帯端末と前記車載機とに分けて設けられることを特徴とする請求項１の車上処理管理システム。
　前記取得部と前記判断部とは、前記携帯端末に設けられることを特徴とする請求項１の車上処理管理システム。
　前記取得部と前記判断部とは、前記携帯端末と、前記車載機と、前記携帯端末と通信する、前記車載機とは別の通信装置とに分けて設けられることを特徴とする請求項１の車上処理管理システム。
　取得部が、携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得し、
　判断部が、前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断することを特徴とする車上処理管理方法。
　コンピュータを、
　携帯端末で動作するアプリケーションプログラムの正当性を検証するために前記アプリケーションプログラムに付加された付加データの検証結果を取得する取得部と、
　前記携帯端末と通信する車載機で前記アプリケーションプログラムのユーザ操作と画面表示と音出力との少なくともいずれかを行う車上処理の実行可否を、前記取得部により取得された検証結果に基づいて判断する判断部
として機能させるためのプログラム。