WO2017098976A1

WO2017098976A1 - 車載通信装置、車載通信システム及び車両特定処理禁止方法

Info

Publication number: WO2017098976A1
Application number: PCT/JP2016/085522
Authority: WO
Inventors: 友洋水谷
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2015-12-09
Filing date: 2016-11-30
Publication date: 2017-06-15
Also published as: JP2017105309A; CN114158013A; CN108473099B; US20210237668A1; DE112016005669T5; US10926722B2; CN108473099A; US20190315295A1; US11807176B2; JP6561811B2

Abstract

特定のサービスが無制限に提供されることを防止し得る車載通信装置、車載通信システム及び車両特定処理禁止方法を提供する。　車載通信システムは、無線通信装置を介した無線の通信経路又はコネクタ部に接続された通信ケーブルを介した通信経路を利用して、ゲートウェイの中継処理プログラムのアップデート処理を行うことができる。ゲートウェイは、いずれか一方の通信経路を介して認証要求を受信した場合に認証処理を行い、認証処理に成功した場合にこの通信経路を介して更新用の中継処理プログラムを受信し、記憶された中継処理プログラムを上書きすることでアップデート処理を行う。このときにゲートウェイは、認証処理を行った通信経路以外の通信経路を介した認証処理を禁止することにより、認証処理を行った通信経路以外の通信経路を介したアップデート処理を禁止する。

Description

車載通信装置、車載通信システム及び車両特定処理禁止方法

　本発明は、車両に搭載された車載通信装置及び車載通信システム、並びに、これらにて車両での特定の処理を禁止する車両特定処理禁止方法に関する。

　例えば特許文献１においては、正規キーとの無線通信が成立した場合に車両制御装置との認証を実施するバレットキーを、正規キーとの通信可能範囲内だけで車両制御装置との認証を行うための装置として利用することで、バレットキーを車両の所有者以外が所持する場合に車両を制御可能な領域に制限を加えることができる通信装置が提案されている。

　また例えば特許文献２においては、車両を制御するスマートキーを備え、スマートキーを操作する操作者を認証する車両用個人認証システムが提案されている。このシステムでは、スマートキーに音声取得部を備え、車両にはスマートキーと車両との機器認証を行う機器認証部と、機器認証が成功した場合に操作者の個人認証を行う個人認証部と、個人認証が成功した場合に音声取得部が取得した音声に基づいて生成されたコマンドに応じた処理を実行する実行部とを備える。個人認証部は、取得した音声に基づいて生成されたコマンドに基づいて、認証強度の異なる少なくとも２つの認証モードから１つを選択し、選択した認証モードに基づいて個人認証を行う。

　このように近年の車両では、セキュリティ性の向上を目的として、様々な個所で認証処理が行われている。

特開２０１５－１５１６８１号公報特開２０１５－１５３２５８号公報

　従来、車両の診断又は車載機器のアップデート等を行う場合、例えば車両のディーラ又は整備工場等に備えられた診断装置などを、車両又は車載機器等に設けられた特定のポートなどに有線接続することが行われている。ディーラ又は整備工場等の作業者は、有線接続された診断装置を操作することにより、車両の診断又は車載機器のアップデート等の処理を行うことができる。このような車両診断システムにおいては、診断装置が特定のポートに接続された場合に、診断装置と車両又は車載機器等との間で認証処理が行われる。認証処理に成功した場合、車両又は車載機器等は診断モードなどの特定のモードへ移行し、診断装置に対して悪用されると危険な特定のサービスを提供し得る状態となる。

　近年では、無線通信技術の発展及び普及に伴い、無線通信を利用して車両の診断又は車載機器のアップデート等を行う車両診断システムが提案及び開発等されている。このようなシステムにおいても、従来のように診断装置を特定のポートに接続する構成については残される。このため無線通信による遠隔操作と診断装置を接続しての操作との２つの方法を利用して車両の診断又は車載機器のアップデート等を行うことができる。しかしながら従来の車両又は車載機器等は、認証処理の成功により特定のモードへ移行した後は制限なく特定のサービスを提供し得る状態となるため、例えば診断装置を接続して認証処理に成功した後で、認証処理を行っていない無線通信装置などに対して特定のサービスを提供する虞がある。

　本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、認証処理に成功した場合に特定のサービスを提供する車両又は車載機器等において、特定のサービスが無制限に提供されることを防止し得る車載通信装置、車載通信システム及び車両特定処理禁止方法を提供することにある。

　本発明に係る車載通信装置は、車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信処理部を複数備える車載通信装置において、一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行う認証処理部と、前記認証処理部による認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行う特定処理部と、前記認証処理部による認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止する禁止部とを備えることを特徴とする。

　また、本発明に係る車載通信装置は、前記禁止部が、前記一の通信経路以外の通信経路を介して与えられた認証処理の要求に基づく前記認証処理部による認証処理を禁止することを特徴とする。

　また、本発明に係る車載通信装置は、前記特定処理部が行う前記特定の処理は、前記一の通信経路を介して前記他の装置から受信したプログラム又はデータを用いて、前記車両に搭載された装置に記憶されたプログラム又はデータを更新する処理であることを特徴とする

　また、本発明に係る車載通信装置は、前記特定処理部が行う前記特定の処理は、前記車両に搭載された装置との間で動作検証のための情報送受信を行う処理であることを特徴とする。

　また、本発明に係る車載通信装置は、複数の前記通信処理部が通信処理を行う複数の通信経路には、前記車両外の装置との間で無線による情報の送受信を行う通信経路を含むことを特徴とする。

　また、本発明に係る車載通信装置は、複数の前記通信処理部が通信処理を行う複数の通信経路には、前記車両に設けられた接続部に対して着脱可能に接続される他の装置との間で、前記接続部を介して情報の送受信を行う通信経路を含むことを特徴とする。

　また、本発明に係る車載通信システムは、車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信装置を複数備える車載通信システムにおいて、一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行う認証処理部と、前記認証処理部による認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行う特定処理部と、前記認証処理部による認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止する禁止部とを備えることを特徴とする。

　また、本発明に係る車両特定処理禁止方法は、車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信処理部を複数備える車載通信装置が、一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行い、前記認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行い、前記認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止することを特徴とする。

　本発明において車載通信装置（又は車載通信システム）は、複数の通信経路を介した情報の送受信を行うことができ、それぞれが所定の通信経路を介した通信処理を行う通信処理部（又は通信装置）を複数備えている。車載通信装置は、一の通信経路を介して他の装置から認証処理の要求が与えられた場合、この通信経路を介した情報の送受信により認証処理を行う。認証処理に成功した場合、車載通信装置は、一の通信経路を介して他の装置との間で特定の処理を行うと共に、これ以外の通信経路を介した特定の処理を禁止する。これにより、一の通信経路にて他の装置との認証処理に成功した車載通信装置は、一の通信経路を介した特定の処理のみを行い、これ以外の通信経路を介した特定の処理を行わないため、特定の処理が無制限に行われることを防止できる。

　また本発明において車載通信装置は、一の通信経路にて他の装置との認証処理に成功した場合、これ以外の通信経路を介した認証処理を禁止する。これにより、認証処理に成功した他の装置以外は、車載通信装置との間で認証処理を行うことができなくなるため、特定の処理が無制限に行われることをより確実に防止できる。

　また本発明において車載通信装置は、認証処理に成功した他の装置から一の通信経路を介してプログラムを受信し、これを用いて車両に搭載された装置（自身であってもよく、他の車載装置であってもよい）のアップデート処理を行う。このようなアップデート処理は、排他的に行われる必要があるため、本発明の車載通信装置が行う特定の処理として好適である。

　また本発明においては、車載通信装置の通信処理の対象となる複数の通信経路に、車両外の装置との間で無線通信を行う通信経路を含む。これにより車載通信装置は、無線通信を利用した遠隔操作での車両の診断又は車載装置のアップデート等の処理を実現することができる。

　また本発明においては、車両には他の装置を着脱可能に接続するための接続部が設けられ、車載通信装置の通信処理の対象となる複数の通信経路には、接続部を介して他の装置との間で情報を送受信する通信経路を含む。これにより、例えば車両のディーラ又は整備工場等にて、車両の診断又は車載装置のアップデート等のための装置を接続し、車載通信装置にこれらの処理を行わせることができる。

　本発明による場合は、一の通信経路を介した認証処理に成功して特定の処理を行う場合に、これ以外の通信経路を介した特定の処理を禁止する構成とすることにより、特定の処理が無制限に行われることを防止することができ、車両のセキュリティ性能を向上することができる。

本実施の形態に係る車載通信システムの構成を示すブロック図である。本実施の形態に係るゲートウェイの構成を示すブロック図である。ゲートウェイが行う無線通信を介したアップデート処理の手順を示すフローチャートである。ゲートウェイが行うコネクタ部を介したアップデート処理の手順を示すフローチャートである。変形例４に係る車載通信システムの構成を示すブロック図である。

　以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。図１は、本実施の形態に係る車載通信システムの構成を示すブロック図である。本実施の形態に係る車載通信システムは、車両１に搭載されたゲートウェイ２と、複数のＥＣＵ（Electronic Control Unit）３ａ～３ｄと、無線通信装置４とを備えて構成されている。車両１に搭載されたこれら複数の装置は、車両１内に適宜に配された通信線１ａ～１ｃに接続され、この通信線を介して相互に通信を行うことができる。例えばゲートウェイ２及び２つのＥＣＵ３ａ，３ｂは、通信線１ａに接続されており、通信線１ａを介して相互に通信を行うことができる。ゲートウェイ２及び２つのＥＣＵ３ｃ，３ｄは、通信線１ｂに接続されており、通信線１ｂを介して相互に通信を行うことができる。また２つの通信線１ａ，１ｂが接続されたゲートウェイ２は、２つの通信線１ａ，１ｂ間で通信を中継する処理を行う。これによりＥＣＵ３ａ，３ｂとＥＣＵ３ｃ，３ｄとは、相互に通信を行うことができる。

　ＥＣＵ３ａ～３ｄは、例えば車両１のエンジンの動作を制御するＥＣＵ、ライトの点灯／消灯を制御するＥＣＵ、及び、ＡＢＳ（Antilock Brake System）に関する制御を行うＥＣＵ等の種々のＥＣＵであってよい。各ＥＣＵ３ａ～３ｄは、通信線１ａ，１ｂ及びゲートウェイ２を介して他のＥＣＵ３ａ～３ｄとの通信を行い、必要な情報を取得して自らの処理を行う。

　無線通信装置４は、例えば携帯電話通信網又は無線ＬＡＮ（Local Area Network）等のネットワークを介した無線通信を行う。本実施の形態において車両１は、無線通信装置４によりサーバ装置５との通信を行う。無線通信装置４は、車両１内に配された通信線１ｃを介してゲートウェイ２と１対１に接続されている。無線通信装置４は、ゲートウェイ２から与えられた情報をサーバ装置５へ送信すると共に、サーバ装置５から受信した情報をゲートウェイ２へ与える。ゲートウェイ２は、無線通信装置４を介したサーバ装置５との通信と、通信線１ａ，１ｂを介したＥＣＵ３ａ～３ｄとの通信とを中継する。これにより例えばＥＣＵ３ａは、ゲートウェイ２及び無線通信装置４を介してサーバ装置５との通信を行うことができる。

　サーバ装置５は、例えば車両１の製造会社、ディーラ又は整備工場等にて管理運営される装置である。例えばサーバ装置５は、車両１内で扱われる種々の情報（走行情報又は診断情報等）を収集して蓄積する処理を行うことができる。また例えばサーバ装置５は、車両１にて用いられる情報を配信する処理を行うことができる。本実施の形態においてサーバ装置５は、ゲートウェイ２にて実行されるプログラムを車両１に対して送信することにより、ゲートウェイ２のアップデートを行うことができる。

　診断装置６は、車両１の適所に設けられたコネクタ部２５（図２において図示する）に、通信ケーブル６ａを介して着脱可能に接続される。診断装置６は、接続された車両１から種々の情報を取得することによって、故障の有無などを診断するための装置である。また本実施の形態において診断装置６は、ゲートウェイ２にて実行されるプログラムを車両１に対して送信することにより、ゲートウェイ２のアップデートを行うことができる。

　図２は、本実施の形態に係るゲートウェイ２の構成を示すブロック図である。本実施の形態に係るゲートウェイ２は、処理部２１、記憶部２２、車内通信部２３ａ，２３ｂ、車外通信部２４及びコネクタ部２５等を備えて構成されている。処理部２１は、ＣＰＵ（Central Processing Unit）などの演算処理装置を用いて構成され、記憶部２２に記憶された各種のプログラムを読み出して実行することにより、車両１の内外の通信を中継する処理及び自身のプログラムを更新する処理等を行う。

　記憶部２２は、例えばフラッシュメモリなどのデータ書き換え可能な不揮発性のメモリ素子を用いて構成されている。記憶部２２は、処理部２１が実行する各種のプログラム及びこれらのプログラムの実行に必要な各種のデータ等が記憶されている。本実施の形態において記憶部２２は、中継処理プログラム２２ａ及び更新処理プログラム２２ｂを記憶している。中継処理プログラム２２ａは、ゲートウェイ２の通常動作に係る処理を実現するプログラムであり、車両１の複数の通信線１ａ，１ｂ間での通信の中継処理、及び、無線通信装置４を介した車両１の内外の通信の中継処理等を行う。更新処理プログラム２２ｂは、ゲートウェイ２のアップデート処理を実現するプログラムである。更新処理プログラム２２ｂは、記憶部２２に記憶された中継処理プログラム２２ａを、サーバ装置５又は診断装置６から与えられた更新用の新たな中継処理プログラム２２ａで上書きすることによって、中継処理プログラム２２ａを更新する。

　車内通信部２３ａ，２３ｂは、通信線１ａ，１ｂがそれぞれ接続され、接続された通信線１ａ，１ｂを介してＥＣＵ３ａ～３ｄとの通信を行う。車内通信部２３ａ，２３ｂは、例えばＣＡＮ（Controller Area Network）又はFlex Ray等の通信プロトコルに従ってＥＣＵ３ａ～３ｄとの通信を行う。車内通信部２３ａ，２３ｂは、接続された通信線１ａ，１ｂ上の信号をサンプリングして取得することにより情報を受信し、受信した情報を処理部２１へ与える。車内通信部２３ａ，２３ｂは、処理部２１から与えられた送信用の情報を電気信号に変換して通信線１ａ，１ｂへ出力することにより、ＥＣＵ３ａ～３ｄへ情報を送信する。

　車外通信部２４は、通信線１ｃを介して無線通信装置４が接続されている。車外通信部２４は、処理部２１から与えられた送信用の情報を、通信線１ｃを介して無線通信装置４へ送信する。これにより無線通信装置４は、ゲートウェイ２から与えられた情報を無線通信によりサーバ装置５へ送信する。また無線通信装置４はサーバ装置５から無線通信により受信した情報を、通信線１ｃを介してゲートウェイ２へ送信する。車外通信部２４は、無線通信装置４からの情報を受信することにより、サーバ装置５が送信した情報を受信することができる。

　コネクタ部２５は、診断装置６に設けられた通信ケーブル６ａを接続するためのものである。なお図２においてはコネクタ部２５がゲートウェイ２に設けられる構成としてあるが、これに限るものではない。コネクタ部２５は、ゲートウェイ２とは別に車両１の適所に設けてよく、この場合にはコネクタ部２５とゲートウェイ２とが通信線などを介して接続される。コネクタ部２５に通信ケーブル６ａを介して診断装置６が接続された場合、ゲートウェイ２の処理部２１は、コネクタ部２５及び通信ケーブル６ａを介して診断装置６との通信を行うことができる。

　また本実施の形態に係るゲートウェイ２には、記憶部２２に記憶された中継処理プログラム２２ａを処理部２１が実行することにより、中継処理部２１ａがソフトウェア的な機能ブロックとして処理部２１に実現される。また記憶部２２に記憶された更新処理プログラム２２ｂを処理部２１が実行することにより、認証処理部２１ｂ、更新処理部２１ｃ及び禁止処理部２１ｄがソフトウェア的な機能ブロックとして処理部２１に実現される。

　中継処理部２１ａは、車内通信部２３ａにて受信した情報を車内通信部２３ｂにて送信することにより、又は、車内通信部２３ｂにて受信した情報を車内通信部２３ａにて送信することにより、通信線１ａ，１ｂの間での通信を中継する処理を行う。中継処理部２１ａは、例えば車外通信部２４にて受信した情報を車内通信部２３ａ，２３ｂにて送信することにより、又は、車内通信部２３ａ，２３ｂにて受信した情報を車外通信部２４にて送信することにより、車両１の内外の通信を中継する処理を行う。また中継処理部２１ａは、例えば車内通信部２３ａ，２３ｂ又は車外通信部２４にて受信した情報に対して、複数の情報を結合する処理、１つの情報を複数に分割する処理、又は、数値情報に対する演算処理等の種々の処理を施した後に情報送信を行ってもよい。また中継処理部２１ａは、受信した情報を送信する順序の調整、即ち中継のスケジューリング処理を行ってもよい。

　認証処理部２１ｂは、サーバ装置５又は診断装置６との間で中継処理プログラム２２ａの更新処理を行う前に、通信相手が正当なものであるか否かを判断する処理、即ち認証処理を行う。認証処理部２１ｂは、車外通信部２４にてサーバ装置５からの認証要求を受信した場合、又は、コネクタ部２５を介して診断装置６からの認証要求を受信した場合に、認証処理を開始する。認証処理においては、例えばゲートウェイ２とサーバ装置５又は診断装置６との間で、予め登録されたＩＤ及びパスワード等の情報を交換し、これらの情報が正しいものであるか否かを判定することにより、通信相手が正当なものであるか否かを判定する。

　本実施の形態に係るゲートウェイ２は、認証処理部２１ｂにより通信相手のサーバ装置５又は診断装置６が正当なものであると判断された場合、即ち認証処理に成功した場合に、通信の中継処理を行う通常処理モードから、記憶部２２に記憶された中継処理プログラム２２ａを更新する処理を受け付ける更新処理モードへ状態遷移する。更新処理モードへ遷移した後、更新処理部２１ｃは、サーバ装置５又は診断装置６から送信される新たな中継処理プログラム２２ａを受信して、記憶部２２に記憶された中継処理プログラム２２ａを上書きすることによって、中継処理プログラム２２ａの更新（ゲートウェイ２のアップデート）を行う。

　本実施の形態に係るゲートウェイ２は、中継処理プログラム２２ａの更新処理に関して、上記のように無線通信を介したサーバ装置５による更新処理と、コネクタ部２５を介した診断装置６による更新処理との２つの方法が提供されている。即ちゲートウェイ２は、無線通信による通信経路と、コネクタ部２５を介した通信経路との２つの通信経路を利用して中継処理プログラム２２ａの更新を行うことができる構成である。ただし認証処理部２１ｂによる認証処理に成功した装置が利用する通信経路以外の通信経路を介して中継処理プログラム２２ａの更新が行われることを防止するため、本実施の形態に係るゲートウェイ２の禁止処理部２１ｄは、いずれか一方の通信経路を介した認証処理が成功した場合、それ以降に他方の通信経路を介した認証処理を行うことを禁止する。

　例えば禁止処理部２１ｄは、無線通信を介した認証処理を許可するか又は禁止するかを示す情報を格納するレジスタと、コネクタ部２５を介した認証処理を許可するか又は禁止するかを示す情報を格納するレジスタとを有し、これらのレジスタの値を変更することによって認証処理の許可及び禁止を制御することができる。認証処理部２１ｂは、認証要求が与えられた場合のこのレジスタの値を参照し、認証処理を許可する値が格納されている場合には要求された認証処理を行うが、禁止する値が格納されている場合には要求された認証処理を行わない。

　図３は、ゲートウェイ２が行う無線通信を介したアップデート処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイ２は、無線通信により受信した情報を無線通信装置４から車外通信部２４が取得し、取得した情報が認証要求であるか否かを処理部２１が判定することにより、無線通信による認証要求の有無を判定する（ステップＳ１）。無線通信による認証要求が与えられていない場合（Ｓ１：ＮＯ）、処理部２１は、認証要求が与えられるまで待機する。無線通信による認証要求が与えられた場合（Ｓ１：ＹＥＳ）、処理部２１の認証処理部２１ｂは、無線通信を介した認証処理が許可されているか否かを判定する（ステップＳ２）。無線通信を介した認証処理が禁止されている場合（Ｓ２：ＮＯ）、認証処理部２１ｂは、認証処理を行わずにステップＳ１へ処理を戻す。

　無線通信を介した認証処理が許可されている場合（Ｓ２：ＹＥＳ）、認証処理部２１ｂは、認証要求元の通信相手との間で無線通信による認証処理を行う（ステップＳ３）。認証処理部２１ｂは、認証処理の結果として、認証に成功したか否かを判定する（ステップＳ４）。認証に失敗した場合（Ｓ４：ＮＯ）、認証処理部２１ｂは、ステップＳ１へ処理を戻す。

　認証に成功した場合（Ｓ４：ＹＥＳ）、処理部２１の禁止処理部２１ｄは、コネクタ部２５を介した認証処理を禁止する（ステップＳ５）。処理部２１は、中継処理を行う通常処理モードから中継処理プログラム２２ａを更新する更新処理モードへと遷移する（ステップＳ６）。処理部２１の更新処理部２１ｃは、車外通信部２４を介し、サーバ装置５が無線送信した更新用の中継処理プログラム２２ａを無線通信装置４にて受信する（ステップＳ７）。更新処理部２１ｃは、記憶部２２に記憶された中継処理プログラム２２ａを、受信した更新用の中継処理プログラム２２ａに上書きすることによって、中継処理プログラム２２ａを更新する（ステップＳ８）。更新終了後、処理部２１は、更新処理モードから通常処理モードへと遷移する（ステップＳ９）。禁止処理部２１ｄは、コネクタ部２５を介した認証処理の禁止を解除して（ステップＳ１０）、ステップＳ１へ処理を戻す。

　図４は、ゲートウェイ２が行うコネクタ部２５を介したアップデート処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイ２は、コネクタ部２５に通信ケーブル６ａを介して診断装置６が接続された場合、コネクタ部２５及び通信ケーブル６ａを介して診断装置６との通信が可能となる。この通信により、ゲートウェイ２の処理部２１は、コネクタ部２５及び通信ケーブル６ａを介した診断装置６からの認証要求の有無を判定する（ステップＳ２１）。診断装置６から認証要求が与えられていない場合（Ｓ２１：ＮＯ）、処理部２１は、認証要求が与えられるまで待機する。診断装置６からの認証要求が与えられた場合（Ｓ２１：ＹＥＳ）、処理部２１の認証処理部２１ｂは、コネクタ部２５を介した認証処理が許可されているか否かを判定する（ステップＳ２２）。コネクタ部２５を介した認証処理が禁止されている場合（Ｓ２２：ＮＯ）、認証処理部２１ｂは、認証処理を行わずにステップＳ２１へ処理を戻す。

　コネクタ部２５を介した認証処理が許可されている場合（Ｓ２２：ＹＥＳ）、認証処理部２１ｂは、診断装置６との間でコネクタ部２５を介した通信による認証処理を行う（ステップＳ２３）。認証処理部２１ｂは、認証処理の結果として、認証に成功したか否かを判定する（ステップＳ２４）。認証に失敗した場合（Ｓ２４：ＮＯ）、認証処理部２１ｂは、ステップＳ２１へ処理を戻す。

　認証に成功した場合（Ｓ２４：ＹＥＳ）、処理部２１の禁止処理部２１ｄは、無線通信を介した認証処理を禁止する（ステップＳ２５）。処理部２１は、中継処理を行う通常処理モードから中継処理プログラム２２ａを更新する更新処理モードへと遷移する（ステップＳ２６）。処理部２１の更新処理部２１ｃは、コネクタ部２５を介し、診断装置６が送信した更新用の中継処理プログラム２２ａを受信する（ステップＳ２７）。更新処理部２１ｃは、記憶部２２に記憶された中継処理プログラム２２ａを、受信した更新用の中継処理プログラム２２ａに上書きすることによって、中継処理プログラム２２ａを更新する（ステップＳ２８）。更新終了後、処理部２１は、更新処理モードから通常処理モードへと遷移する（ステップＳ２９）。禁止処理部２１ｄは、無線通信を介した認証処理の禁止を解除して（ステップＳ３０）、ステップＳ２１へ処理を戻す。

　以上の構成の本実施の形態に係るゲートウェイ２は、無線通信装置４を利用した無線の通信経路を介した通信処理を行う車外通信部２４と、着脱可能に接続される通信ケーブル６ａによる通信経路を介した通信処理を行うコネクタ部２５と、車両１内の通信線１ａ，１ｂによる通信経路を介した通信処理を行う車内通信部２３ａ，２３ｂとを備えている。本実施の形態に係る車載通信システムにおいては、無線通信装置４を介した無線の通信経路又はコネクタ部２５に接続された通信ケーブル６ａを介した通信経路を利用して、ゲートウェイ２の中継処理プログラム２２ａのアップデート処理を行うことができる。なお本実施の形態においては、車両１内の通信線１ａ，１ｂを介した通信経路を利用した中継処理プログラム２２ａのアップデート処理を行うことはできないものとする。例えばゲートウェイ２は、通信線１ａ，１ｂを介して車内通信部２３ａ，２３ｂにて認証要求を受信した場合であっても、この要求に応じた認証処理を行わない。ただし車載通信システムは、通信線１ａ，１ｂを介した中継処理プログラム２２ａのアップデート処理を行うことが可能な構成としてもよい。

　本実施の形態に係るゲートウェイ２の認証処理部２１ｂは、無線の通信経路又はコネクタ部２５による通信経路のいずれか一方の通信経路を介して認証要求を受信した場合、この通信経路を介したＩＤ及びパスワード等の情報の送受信を行うことにより認証処理を行う。認証処理に成功した場合、ゲートウェイ２の更新処理部２１ｃは、この通信経路を介して更新用の中継処理プログラム２２ａを受信し、記憶部２２に記憶された中継処理プログラム２２ａを上書きすることでアップデート処理を行う。またこのときにゲートウェイ２の禁止処理部２１ｄは、認証処理を行った通信経路以外の通信経路を介した認証処理を禁止することにより、認証処理を行った通信経路以外の通信経路を介したアップデート処理を禁止する。これにより、一の通信経路を介した認証処理が成功してゲートウェイ２が更新処理モードへ遷移した後に、他の通信経路を介したアップデート処理が行われることを防止でき、アップデート処理が無制限に行われることを防止できる。

　なお本実施の形態においてゲートウェイ２は、一の通信経路を介した認証処理が成功した場合に、他の通信経路を介した認証処理を禁止する構成としたが、これに限るものではない。例えばゲートウェイ２は、一の通信経路を介した認証処理が成功した場合であっても他の通信経路を介した認証処理を行うが、認証処理に成功しても他の通信経路を介したアップデート処理を行わない構成としてもよい。例えば以下の変形例１のような構成としてもよい。

　（変形例１）
　変形例１に係るゲートウェイ２は、無線通信装置４による無線の通信経路を介した認証処理に成功した場合、コネクタ部２５及び車内通信部２３ａ，２３ｂの動作を停止してこれらを介した通信を禁止する。逆に、コネクタ部２５による通信経路を介した認証処理に成功した場合、ゲートウェイ２は、無線通信装置４が接続された車外通信部及び車内通信部２３ａ，２３ｂの動作を停止してこれらを介した通信を禁止する。このように、変形例１に係るゲートウェイ２は、認証処理に成功した通信経路以外の通信経路に関して、車外通信部２４、コネクタ部２５及び車内通信部２３ａ，２３ｂの動作を停止することにより、禁止処理を行ってもよい。

　また本実施の形態においては、認証処理に成功した後に行う特定の処理を、ゲートウェイ２の中継処理プログラム２２ａを更新するアップデート処理としたが、これに限るものではなく、これ以外の種々の処理を行う構成であってよい。特定の処理として、例えば車両１に自己診断を行わせる処理、車両１の走行に関する制御パラメータを変更する処理、又は、車両１に搭載されたデータベースなどに蓄積された情報を外部へ送信する処理等の処理を行う構成としてもよい。例えば以下の変形例２，３のような構成としてもよい。

　（変形例２）
　変形例２に係る車載通信システムでは、ゲートウェイ２の記憶部２２には中継処理プログラム２２ａによる中継処理を行う際に用いられる各種のデータを記憶している。変形例２に係るゲートウェイ２は、無線の通信経路又はコネクタ部２５による通信経路のいずれか一方の通信経路を介した認証処理に成功した場合、この通信経路を介して更新用のデータを受信し、記憶部２２に記憶されたデータを上書きする更新処理を行う。このときにゲートウェイ２の禁止処理部２１ｄは、認証処理を行った通信経路以外の通信経路を介した更新処理を禁止する。即ち、変形例２に係る車載通信システムでは、特定の処理としてゲートウェイ２の記憶部２２に記憶されたデータを更新する処理が行われる。

　（変形例３）
　変形例３に係る車載通信システムでは、システムの開発者などが装置の動作を検証するためのデバッグモードをゲートウェイ２が提供する。ゲートウェイ２は、認証処理に成功した相手からデバッグモードへの遷移命令が与えられた場合に、通常の動作モードからデバッグモードへ遷移する。デバッグモードにおいてゲートウェイ２は、通常モードでは受け付けない特別な動作命令などを受け付け、この動作命令に応じた動作を行う。またデバッグモードにおいてゲートウェイ２は、通常モードでは外部へ送信しない特別な情報を認証処理に成功した相手に対して送信する。変形例３に係るゲートウェイ２は、無線の通信経路又はコネクタ部２５による通信経路のいずれか一方の通信経路を介した認証処理に成功した場合、この通信経路を介して与えられたデバッグモードへの遷移命令を受け付ける。このときにゲートウェイ２の禁止処理部２１ｄは、認証処理を行った通信経路以外の通信経路を介したデバッグモードへの遷移命令の受け付けを禁止する。即ち、変形例３に係る車載通信システムでは、特定の処理としてゲートウェイ２の動作検証のための情報を送受信する処理が行われる。

　また本実施の形態においては、無線通信を介した認証処理をゲートウェイ２が行う構成としたが、これに限るものではない。無線通信装置４が認証処理を行い、認証に成功した場合にゲートウェイ２とサーバ装置５との通信を仲介する構成としてもよい。この構成の場合、例えばゲートウェイ２は、コネクタ部２５を介した認証処理を行って認証に成功した場合、無線通信装置４に対して認証処理を禁止する命令を出力し、この命令に応じて無線通信装置４が認証処理を行わない構成とすることができる。このように、本実施の形態においてゲートウェイ２が有する機能及びゲートウェイ２が行う処理等は、複数の装置の協働により実現されるものであってよい。

　また本実施の形態においては、無線通信装置４を車両１に搭載する構成としたが、これに限るものではない。例えばユーザが所持する可搬型の通信機器を有線／無線でゲートウェイ２に接続し、ゲートウェイ２がこの通信機器を利用してサーバ装置５などとの通信を行う構成としてもよい。また通信ケーブル６ａを介して診断装置６を車両１に有線接続する構成としたが、これに限るものではなく、診断装置６を無線接続する構成としてもよい。またゲートウェイ２が無線通信を行う機能を備えた構成としてもよい。例えば以下の変形例４のような構成としてもよい。

　（変形例４）
　図５は、変形例４に係る車載通信システムの構成を示すブロック図である。変形例４に係る車載通信システムは、図１に示した車載通信システムに対して、ゲートウェイ２及び無線通信装置４の間にカーナビゲーション装置７を介在させた構成である。カーナビゲーション装置７は、ＧＰＳ（Global Positioning System）を利用した走行経路案内などを行う装置であり、無線通信装置４を利用してサーバ装置５などから地図情報の取得などを行う。このようにゲートウェイ２及び無線通信装置４の間にカーナビゲーション装置７が介在する構成の場合、サーバ装置５との認証処理はゲートウェイ２、無線通信装置４又はカーナビゲーション装置７のいずれの装置が行ってもよい。

　ゲートウェイ２が認証処理を行う場合、無線通信装置４及びカーナビゲーション装置７は、ゲートウェイ２及びサーバ装置５の間で送受信される認証処理に関する情報を中継する。カーナビゲーション装置７が認証処理を行う場合、無線通信装置４はカーナビゲーション装置７及びサーバ装置５の間で送受信される情報を中継し、カーナビゲーション装置７は認証処理の結果をゲートウェイ２へ通知する。無線通信装置４が認証処理を行う場合、カーナビゲーション装置７は無線通信装置４からゲートウェイ２への認証処理の結果の送受信を中継する。

　サーバ装置５との認証処理をいずれの装置が行った場合であっても、変形例４に係るゲートウェイ２は、認証処理に成功した場合には、コネクタ部２５を介した診断装置６との間の認証処理を禁止する。逆に、コネクタ部２５を介した診断装置６との認証処理に成功した場合、ゲートウェイ２は、サーバ装置５との認証処理を行うべき装置（ゲートウェイ２、無線通信装置４又はカーナビゲーション装置７のいずれか１つの装置）にて、無線通信によるサーバ装置５との認証処理を禁止する。

　なお変形例４においては、ゲートウェイ２及び無線通信装置４の間にカーナビゲーション装置７が介在する構成としたが、これに限るものではなく、例えば別のゲートウェイ又はドメインコントローラ等の他の装置が介在する構成であってもよい。

　また本実施の形態においてゲートウェイ２が認証処理を禁止する通信経路として、無線通信の通信経路とコネクタ部２５を介した通信経路との２つを挙げて説明したが、通信経路はこの２つに限らない。また通信経路は３つ以上存在してもよい。また複数の通信経路は、物理的に異なる通信経路である必要はなく、例えばＴＣＰ／ＩＰ規格のポート又はＵＳＢ（Universal Serial Bus）規格のパイプ等のような論理的な通信経路（物理的には１つの通信線などを介して通信が行われるが、論理的には別のものとして扱われる通信経路）であってもよい。

　１　車両
　１ａ～１ｃ　通信線
　２　ゲートウェイ（車載通信装置）
　３ａ～３ｄ　ＥＣＵ
　４　無線通信装置
　５　サーバ装置
　６　診断装置
　６ａ　通信ケーブル
　２１　処理部
　２１ａ　中継処理部
　２１ｂ　認証処理部
　２１ｃ　更新処理部（特定処理部）
　２１ｄ　禁止処理部（禁止部）
　２２　記憶部
　２２ａ　中継処理プログラム
　２２ｂ　更新処理プログラム
　２３ａ，２３ｂ　車内通信部
　２４　車外通信部
　２５　コネクタ部（接続部）

Claims

　車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信処理部を複数備える車載通信装置において、
　一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行う認証処理部と、
　前記認証処理部による認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行う特定処理部と、
　前記認証処理部による認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止する禁止部と
　を備えることを特徴とする車載通信装置。
　前記禁止部は、前記一の通信経路以外の通信経路を介して与えられた認証処理の要求に基づく前記認証処理部による認証処理を禁止すること
　を特徴とする請求項１に記載の車載通信装置。
　前記特定処理部が行う前記特定の処理は、前記一の通信経路を介して前記他の装置から受信したプログラム又はデータを用いて、前記車両に搭載された装置に記憶されたプログラム又はデータを更新する処理であること
　を特徴とする請求項１又は請求項２に記載の車載通信装置。
　前記特定処理部が行う前記特定の処理は、前記車両に搭載された装置との間で動作検証のための情報送受信を行う処理であること
　を特徴とする請求項１又は請求項２に記載の車載通信装置。
　複数の前記通信処理部が通信処理を行う複数の通信経路には、前記車両外の装置との間で無線による情報の送受信を行う通信経路を含むこと
　を特徴とする請求項１乃至請求項４のいずれか１つに記載の車載通信装置。
　複数の前記通信処理部が通信処理を行う複数の通信経路には、前記車両に設けられた接続部に対して着脱可能に接続される他の装置との間で、前記接続部を介して情報の送受信を行う通信経路を含むこと
　を特徴とする請求項１乃至請求項５のいずれか１つに記載の車載通信装置。
　車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信装置を複数備える車載通信システムにおいて、
　一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行う認証処理部と、
　前記認証処理部による認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行う特定処理部と、
　前記認証処理部による認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止する禁止部と
　を備えることを特徴とする車載通信システム。
　車両に搭載され、それぞれが所定の通信経路を介した通信処理を行う通信処理部を複数備える車載通信装置が、
　一の通信経路を介して他の装置から認証処理の要求が与えられた場合に、前記他の装置との間で認証処理を行い、
　前記認証処理に成功した場合に、前記他の装置との間で前記一の通信経路を介して特定の処理を行い、
　前記認証処理に成功した場合に、前記一の通信経路以外の通信経路を介した前記特定の処理を禁止すること
　を特徴とする車両特定処理禁止方法。