访问限制装置、车载通信系统及通信限制方法

摘要

提供一种能够防止由于非法程序向车辆网络的非法访问而产生信息向外部泄漏等的访问限制装置、车载通信系统及通信限制方法。经由安全控制器(10)进行车辆的车内网络和终端装置(3)等外部装置之间的通信。安全控制器(10)能够追加或更新伴随着信息的收发处理的程序。安全控制器(10)进行基于各程序的访问权限等级及各信息的访问许可等级对伴随着程序的执行而产生的向车内网络的信息的访问进行限制的处理。另外，安全控制器(10)在伴随着程序的执行向车内网络发送信息的情况下，基于各程序的访问权限等级及各信息的访问许可等级限制发送。

说明书

技术领域

本发明涉及一种在能够进行程序的追加及更新等的车载的网关等 装置中，能够防止程序向车辆内的网络进行非法访问的访问限制装置、 以及能够利用该装置限制车载设备及外部装置的通信的车载通信系统 及通信限制方法。

背景技术

搭载于车辆的电子设备的高功能化正被推进。近年来的车辆不仅 搭载有与行驶控制有关的电子设备，还搭载有出于例如提高车内用户 的舒适性或娱乐等目的的各种电子设备。另外，近年来，便携电话、 智能电话或平板电脑型终端等用户所持有的移动型的信息处理终端的 进步非常显著，将这些信息处理终端和车辆内的电子设备联合来进行 处理，向用户提供更高级的服务的系统正在开始被实用化。

在这种被高功能化的车载电子设备中，执行的程序也被高功能化， 有时候需要对程序进行升级版本等更新。另外，可以考虑到存在每个 用户所需要的功能不同的情况等，通过能够根据用户的喜好来进行功 能选择或适配而提高便利性，但这时有时候需要追加或变更程序等。 因此，在近年来的车载电子设备中，能够进行程序的追加或更新等的 技术正在被讨论及开发，例如采用了被称为OSGi(Open Services  Gateway initiative，开放服务网管协议)的技术。

在专利文献1中提案了一种用于利用OSGi的技术在车辆中使用 网络化的便携设备的系统。在该系统中，车载设备的便携设备客户程 序进行与便携设备的通信，从便携设备向车载设备进行动态的应用程 序的传送。在车载设备上或者便携设备上，能够执行使用车辆的显示 器或扬声器等构成要素的应用。

现有技术文献

专利文献

专利文献1：日本特表2012-500516号公报

发明内容

发明要解决的课题

但是，在车载电子设备构成为能够进行程序的追加及更新等的情 况下，存在恶意的第三方制作的程序被追加及执行的危险。由此，存 在例如通过车内网络收发的信息因非法程序而向外部泄漏等危险。

本发明鉴于以上问题而完成，其目的在于提供一种能够防止由于 非法程序向车辆网络的非法访问而产生信息向外部泄漏等的访问限制 装置、车载通信系统及通信限制方法。

用于解决课题的方案

本发明涉及的访问限制装置的特征在于，搭载于车辆，并且具备： 第一通信部，经由配置于该车辆内的车内网络与车载设备进行通信； 第二通信部，与外部装置进行通信；程序存储部，存储有进行与通过 所述第一通信部收发的信息相关的处理和/或与通过所述第二通信部收 发的信息相关的处理的程序；处理部，执行该程序存储部中存储的一 个或多个程序来进行处理；程序追加更新单元，通过所述第二通信部 进行的与外部装置的通信，进行在所述处理部中执行的程序的追加或 更新；第一判定单元，按照每个程序判定对于在所述第一通信部接收 到的信息的访问权限的等级；第二判定单元，按照在所述第一通信部 接收到的每个信息判定要许可对于在所述第一通信部接收到的信息的 访问的访问权限的等级；及访问限制单元，通过所述处理部执行程序 而进行的处理，在产生对于所述第一通信部接收到的信息的访问请求 的情况下，根据所述第一判定单元判定出的所述程序的访问权限的等 级及所述第二判定单元判定出的与所述信息相关的访问权限的等级， 限制对于所述信息的访问。

另外，本发明涉及的访问限制装置的特征在于，所述访问限制单 元通过所述处理部执行程序而进行的处理，在产生从所述第一通信部 向所述车内网络的信息发送请求的情况下，根据所述第一判定单元判 定出的所述程序的访问权限的等级以及所述第二判定单元判定出的与 所述信息相关的访问权限的等级，限制从所述第一通信部向车载设备 发送信息。

另外，本发明涉及的访问限制装置的特征在于，具备：位置信息 取得单元，取得所述车辆的位置信息；位置判定单元，判定与所述位 置信息取得单元取得的位置信息相关的所述车辆的位置是否位于预定 位置或者预定位置范围内；及程序追加更新限制单元，根据该位置判 定单元的判定结果，限制所述程序追加更新单元进行的程序的追加或 更新。

另外，本发明涉及的访问限制装置的特征在于，所述程序追加更 新限制单元根据程序的访问权限等级及所述位置判定单元的判定结 果，限制所述程序追加更新单元进行的所述程序的追加或更新。

另外，本发明涉及的访问限制装置的特征在于，具备车辆信息取 得单元，所述车辆信息取得单元取得与所述车辆相关的信息，所述程 序追加更新限制单元基于所述车辆信息取得单元所取得的信息，限制 所述程序追加更新单元进行的所述程序的追加或更新。

另外，本发明涉及的访问限制装置的特征在于，具备停车判定单 元，所述停车判定单元基于所述车辆信息取得单元所取得的信息，判 定所述车辆是否处于停止状态，在所述停车判定单元判定出不是停止 状态的情况下，所述程序追加更新限制单元限制所述程序追加更新单 元进行的所述程序的追加或更新。

另外，本发明涉及的访问限制装置的特征在于，所述车辆信息取 得单元所取得的信息是所述车辆的车速信息和/或表示所述车辆的原动 机的动作状态的信息。

另外，本发明涉及的访问限制装置的特征在于，具备访问权限等 级信息存储部，所述访问权限等级信息存储部存储将程序的发送源及 访问权限的等级建立对应的访问权限等级信息，所述第一判定单元基 于访问权限等级信息存储部所存储的访问权限等级信息，判定程序的 访问权限的等级。

另外，本发明涉及的访问限制装置的特征在于，具备阻断单元， 所述阻断单元通过所述处理部执行程序而进行的处理，在从所述第一 通信部向所述车内网络发送的信息的量超过预定量的情况下，阻断信 息的发送。

另外，本发明涉及的访问限制装置的特征在于，所述预定量是根 据程序的访问权限的等级而确定的量。

另外，本发明涉及的访问限制装置的特征在于，具备：锁定信息 生成单元，在所述访问限制单元限制了对于信息的访问的情况下，生 成与该访问相关的锁定信息；及锁定信息存储部，存储该锁定信息生 成单元生成的锁定信息。

另外，本发明涉及的车载通信息系统的特征在于，具备访问限制 装置及经由车内网络与该访问限制装置连接的一个或多个车载设备， 所述访问限制装置搭载于车辆，并具备：第一通信部，经由配置于该 车辆内的车内网络与车载设备进行通信；第二通信部，与外部装置进 行通信；程序存储部，存储有进行与通过所述第一通信部收发的信息 相关的处理和/或与通过所述第二通信部收发的信息相关的处理的程 序；处理部，执行该程序存储部中存储的一个或多个程序来进行处理； 程序追加更新单元，通过所述第二通信部进行的与外部装置的通信， 进行在所述处理部中执行的程序的追加或更新；第一判定单元，按照 每个程序判定对于在所述第一通信部接收到的信息的访问权限的等 级；第二判定单元，按照在所述第一通信部接收到的每个信息判定要 许可对于在所述第一通信部接收到的信息的访问的访问权限的等级； 及访问限制单元，通过所述处理部执行程序而进行的处理，在产生对 于所述第一通信部接收到的信息的访问请求的情况下，根据所述第一 判定单元判定出的所述程序的访问权限的等级及所述第二判定单元判 定出的与所述信息相关的访问权限的等级，限制对于所述信息的访问， 所述车载设备经由所述访问限制装置与外部装置进行通信。

本发明涉及的通信限制方法利用访问限制装置限制车载设备及外 部装置的通信，其中所述访问限制装置搭载于车辆，并具备：第一通 信部，经由配置于该车辆内的车内网络与车载设备进行通信；第二通 信部，与所述外部装置进行通信；程序存储部，存储有进行与通过所 述第一通信部收发的信息相关的处理和/或与通过所述第二通信部收发 的信息相关的处理的程序；处理部，执行该程序存储部中存储的一个 或多个程序来进行处理；及程序追加更新单元，通过所述第二通信部 进行的与外部装置的通信，进行在所述处理部中执行的程序的追加或 更新，所述通信限制方法的特征在于，包括以下步骤：第一判定步骤， 按照每个程序判定对于在所述第一通信部接收到的信息的访问权限的 等级；第二判定步骤，按照在所述第一通信部接收到的每个信息判定 要许可对于在所述第一通信部接收到的信息的访问的访问权限的等 级；及访问限制步骤，通过所述处理部执行程序而进行的处理，在产 生对于所述第一通信部接收到的信息的访问请求的情况下，根据在所 述第一判定步骤判定出的所述程序的访问权限的等级及在所述第二判 定步骤判定出的与所述信息相关的访问权限的等级，限制对于所述信 息的访问。

在本发明中，通过介有具备第一通信部和第二通信部的访问限制 装置，进行车载设备与外部装置的通信，其中第一通信部经由车内网 络与车载设备进行通信，第二通信部通过无线和/或有线与外部装置进 行通信。访问限制装置构成为能够追加或更新在处理部执行的程序， 通过第二通信部的通信从外部装置取得程序。

访问限制装置按照每个程序判定对于信息的访问权限的等级，并 且按照每个信息判定访问所需要的等级。在通过程序的执行而进行的 处理中产生对于车内网络的信息的访问请求的情况下，如果该程序的 访问权限的等级达到与访问请求相关的信息的必要等级的话，访问限 制装置许可对于在第一接收部接收到的该信息的访问。与此相对地， 在程序的访问权限的等级未达到信息的必要等级的情况下，访问限制 装置禁止对于该信息的访问。

通过进行这种访问限制，能够将与车辆相关的较多的信息赋予可 靠性高的程序，能够提供高级的服务。另外，限制对可靠性低的程序 赋予的信息，能够防止重要度高的信息向外部泄漏。

另外，在本发明中，在通过执行程序而进行的处理中从第一通信 部经由车内网络向车载设备发送信息的情况下，访问限制装置也进行 同样的限制。即，访问限制装置在程序的访问权限的等级达到发送的 信息的必要等级的情况下，许可该信息的发送，在程序的访问权限的 等级未达到发送的信息的必要等级的情况下，禁止该信息的发送。通 过进行这种信息发送的限制，能够防止非法程序向车内网络进行非法 的信息发送。

另外，在本发明中，访问限制装置取得利用GPS(Global Positioning  System)等的车辆的位置信息，判定车辆的位置是否处于预定位置或 预定位置范围内。例如，访问限制装置判定车辆的位置是否处于该车 辆的经销商的所在位置或者距该所在位置数十米等的范围内。在车辆 的位置处于预定位置或预定位置范围内的情况下，访问限制装置许可 程序的追加或更新，在车辆的位置不处于预定位置或预定位置范围内 的情况下，访问限制装置禁止程序的追加或更新。

通过进行这种与车辆的位置对应的程序的追加或更新的限制，能 够防止恶意的第三方进行非法程序的追加或更新等。

另外，在进行与车辆的控制相关的程序的追加或更新的情况下， 可能会对车辆的行驶造成影响。因此，在本发明中，取得车辆信息并 判断车辆的状况，限制程序的追加或更新。例如，取得车辆的车速信 息或原动机的动作状态信息等，基于这些信息判定车辆是否处于停止 状态。在判定出车辆不处于停止状态即处于行驶状态的情况下，限制 程序的追加或更新。由此，能够防止在车辆的行驶过程中等进行程序 的追加或更新。

另外，在访问限制装置进行与车辆的位置对应的程序的追加或更 新的限制的情况下，也可以考虑程序的访问权限的等级进行限制。例 如，可以构成为，对于访问权限的等级高的程序，进行与车辆位置对 应的追加或更新的限制，对于访问权限的等级低的程序，不进行与车 辆位置对应的追加或更新的限制。

另外，在本发明中，访问限制装置存储将程序的发送源和访问权 限的等级建立对应的访问权限等级信息。访问限制装置能够在例如追 加了新的程序等情况下，参照访问权限等级信息，判定该程序的访问 权限的等级。程序的发送源例如可以基于程序所附的电子签名进行判 断，或者例如可以基于追加程序时的通信源的地址信息等进行判断。

另外，在本发明中，在通过执行程序而向车内网络发送的信息量 超过预定量的情况下，访问限制装置阻断信息发送。由此，能够防止 非法程序将大量信息向车内网络发送而导致车内网络成为繁忙状态。

另外，在访问限制装置根据信息量阻断发送的情况下，也可以考 虑程序的访问权限的等级进行限制。例如，可以构成为，对于访问权 限的等级高的程序，许可发送多的信息，对于访问权限的等级低的程 序，将许可发送的信息量抑制得较低。

另外，在本发明中，在访问限制装置进行访问限制的情况下，生 成表示该情况的锁定信息并进行存储。由此，能够在例如修理或检修 车辆等时，调查是否存在非法程序等。

发明效果

根据本发明的情况，根据程序的访问权限的等级是否达到与访问 请求相关的信息的必要等级，访问限制装置限制该程序向信息的访问， 从而能够限制可靠性低的程序的访问限制，能够防止重要的信息向外 部泄露。

附图说明

图1是示出本实施方式涉及的车载通信系统的结构的示意图。

图2是示出安全控制器的结构的框图。

图3是示出访问权限等级表的一个构成例的示意图。

图4是示出访问许可等级表的一个构成例的示意图。

图5是示出安全控制器进行的程序的追加或更新的限制处理的步 骤的流程图。

图6是示出安全控制器进行的访问限制处理的步骤的流程图。

图7是示出安全控制器进行的基于信息发送量的发送限制处理的 步骤的流程图。

图8是示出安全控制器进行的基于访问权限等级的发送限制处理 的步骤的流程图。

图9是示出实施方式2涉及的安全控制器的结构的框图。

图10是示出实施方式2涉及的安全控制器进行的程序的追加或更 新的限制处理的顺序的流程图。

具体实施方式

(实施方式1)

下面，基于表示该实施方式的附图具体地说明本发明。图1是示 出本实施方式涉及的车载通信系统的结构的示意图。图中以单点划线 示出的1为车辆，在车辆1搭载有安全控制器10、网关30以及多个 ECU(Electronic Control Unit，电子控制单元)50等。在车辆1存在多 根与共用的通信线总线连接的多个ECU50的通信线缆，通信线缆间的 通信由网关30进行中继。因此，在网关30连接有多条通信线。而且， 网关30与安全控制器10连接，将来自安全控制器10的信息发送至 ECU50，并且将从ECU50接收到的信息传给安全控制器10。

安全控制器10具有对用户所持有的终端装置3或各种服务器装置 5等与构成为包括网关30及ECU50等的车辆1的车内网络之间的通信 进行中继的功能，与网关30连接。终端装置3是例如用户所持有的便 携电话、智能电话、平板型终端或笔记本电脑(个人计算机)等装置， 在与安全控制器10之间进行基于有线或无线的通信。服务器装置5设 置于车辆1外的适当部位，与车辆1的安全控制器10直接地进行通信， 和/或经由终端装置3间接地进行通信。

图2是示出安全控制器10的结构的框图。安全控制器10构成为 具备CPU(Central Processing Unit，中央处理器)11、RAM(Random  Access Memory，随机存取存储器)12、位置信息取得部13、有线通信 部14、无线通信部15、车内通信部16以及存储部17等。

CPU11是通过将存储在存储部17的程序存储部17a中的一个或多 个程序读出到RAM12并执行来进行各种各样的处理的运算处理装置。 在图示的例子中，CPU11执行三个程序A～C。CPU11通过例如分时 等切换执行多个程序，从而能够并行地执行多个程序。RAM12由SRAM (Static RAM，静态随机存取存储器)或者DRAM(Dynamic RAM， 动态随机存取存储器)等存储器元件构成，临时地存储CPU11执行的 程序和执行所需的数据等。

位置信息取得部13取得车辆1的位置信息并发送至CPU11。位置 信息取得部13例如可以是与接收GPS(Global Positioning System，全 球定位系统)的天线等连接，基于接收信号算出车辆1的位置(纬度 和经度等)的结构。并且，位置信息取得部13也可以利用从速度传感 器、加速度传感器或陀螺传感器等传感器得到的信息以及地图信息等 算出车辆1的位置。另外，当在车辆1搭载有车辆导航装置的情况下， 算出车辆1的位置的处理也可以由车辆导航装置进行，安全控制器10 取得并利用计算结果。

有线通信部14具有用于连接通信线缆等的连接器，经由连接的通 信线缆进行与终端装置3的通信。有线通信部14例如根据USB (Universal Serial Bus，通用串行总线)或RS232C等的规格进行通信。 有线通信部14将来自CPU11的信息向终端装置3发送，并将从终端装 置3接收到的信息传向CPU11。

无线通信部15利用电波或光等无线信号与存在于车辆1内或者存 在于距车辆1在无线信号到达的范围内的终端装置3之间进行无线通 信。无线通信部15例如根据无线LAN(Local Area Network，局域网) 或Bluetooth(注册商标)等的规格进行无线通信。另外，无线通信部 15也可以构成为，利用例如公共的便携电话网等，进行与相对于车辆 1远离设置的服务器装置5等的通信。无线通信部15向终端装置3或 服务器装置5等外部装置发送从CPU11得到的信息，并且将从外部装 置接收到的信息发送给CPU11。

车内通信部16经由通信线缆与搭载于车辆1的网关30连接。车 内通信部16例如与CAN(Controller Area Network，控制器区域网络) 或者LIN(Local Interconnect Network)等的规格对应地进行与网关30 的通信。车内通信部16向网关30发送从CPU11得到的信息，并且将 从网关30接收到的信息发送给CPU11。

存储部17使用闪存或者EEPROM(Electrically Erasable  Programmable Read Only Memory，电可擦编程只读存储器)等非易失 性的存储器元件或者硬盘等磁存储装置等构成。存储部17具有存储 CPU11执行的程序以及执行所需的数据等的程序存储部17a。而且，存 储部17存储追加更新许可位置信息17b、访问权限等级表17c访问许 可等级表17d及锁定信息17e等。

本实施方式涉及的的安全控制器10构成为能够对在CPU11执行 的程序进行追加、更新及删除等。例如，在用户在搭载有GPS接收器 的终端装置3中使导航程序动作而将终端装置3作为导航装置使用的 情况下，终端装置3取得车辆1的速度信息等，从而能够高精度地计 算出车辆位置。因此，用户能够与终端装置3的导航程序连动地，将 取得车辆1的速度信息等并向终端装置3发送的程序追加(所谓安装) 到安全控制器10。

例如，安全控制器10可以构成为通过采用OSGi技术，进行程序 的追加、更新及删除等。OSGi是对被称为bundle的程序的动态追加及 执行等进行管理的系统，作为bundle的执行基础的OSGi框架在CPU11 中动作。另外，OSGi是现有技术，因此省略详细的说明。另外，安全 控制器10也可以采用OSGi技术以外的技术，进行程序的追加、更新 及删除等。

安全控制器10的CPU11在从终端装置3得到程序的追加指示的 情况下，或者从设置于车辆1的驾驶席附近的操作部(图示省略)等 得到基于用户的操作的追加指示的情况下，进行追加程序的处理。追 加的程序例如可以是安全控制器10取得终端装置3存储的程序，或者 也可以从服务器装置5等取得。安全控制器10的CPU11将从终端装置 3或服务器装置5等取得程序存储于存储部17的程序存储部17a。之 后，CPU11将根据需要追加的程序从存储部17读出并执行，进行与该 程序相关的处理。

另外，安全控制器10的CPU11对于已经存储于存储部17的程序， 出于例如功能扩展或问题修正等目的，进行程序的更新处理。可以在 例如从车辆1的操作部或终端装置3等得到更新指示的情况下进行程 序的更新处理，或者也可以例如定期地与服务器装置5等进行通信， CPU11判定是否需要程序的更新，自发地进行程序的更新处理。安全 控制器10的CPU11通过将存储于存储部17的程序存储部17a的程序 的一部分或全部改写成从终端装置3或服务器装置5等取得的更新用 的信息(更新用的程序或数据等)，从而将程序更新。

另外，安全控制器10的CPU11进行删除存储于存储部17的程序 存储部17a的程序的处理。例如，CPU11在从车辆1的操作部或终端 装置3等得到程序的删除指示的情况下，将该程序从程序存储部17a 删除。

这样一来，本实施方式涉及的安全控制器10构成为用户能够根据 需要进行程序的追加及更新等，因此存在恶意的第三者制作的程序追 加到安全控制器10并由CPU11执行的危险。因此，本实施方式涉及的 安全控制器10为了防止由于非法程序产生向车辆1内的非法访问，具 有进行对于在车内网络中收发的信息的访问限制的功能。以下对安全 控制器10进行的访问限制功能进行说明。

安全控制器10对于在CPU11中执行的各程序，判定对于在车内 网络中收发的信息的访问权限的等级。可以例如在从外部装置接收程 序并存储于程序存储部17a时进行，也可以例如在每次执行程序时进 行，或者也可以例如在每次从程序发出对于信息的访问请求时进行， 也可以在其他时刻进行。安全控制器10的CPU11基于存储于存储部 17的访问权限等级表17c中包含的信息来判定各程序的访问权限等级。

图3是示出访问权限等级表17c的一个构成例的示意图。在访问 权限等级表17c中将与程序的发送源相关的信息与访问权项等级建立 对应并存储起来。在图示的例子中，作为访问权限等级表17c的程序 发送源，记载有a公司、b公式……这样的公司名，但这仅仅是一例， 只要是能够识别程序的发送源的信息，可以是任意的信息。CPU11在 追加或更新程序时，基于程序所附的电子签名或取得程序的服务器装 置5的IP(Internet Protocol，互联网协议)地址等信息判断程序的发 送源。

而且，作为访问权限等级表17c的访问权限等级，设定为等级1～ 3这三级。不过这仅是一例，访问权限等级也可以是两级或者四级以上。 访问权限等级的数值越大，则表示具有越高的访问权限。即，访问权 限等级3的程序能够比访问权限等级1或2的程序访问更多的信息。 在图示的例子中，a公司是车辆1的制造方的公司，被设定成最高的访 问权限等级3。另外，b公司及c公司被设定成访问权限等级2，y公 司及z公司被设定成访问权限等级1。另外，在图示的例子中，访问权 限等级以数值表现，不过这仅为一例，只要是能够识别优先顺序的信 息则可以是任意的信息。

安全控制器10的CPU11基于追加或更新时由电子签名等判断出 的程序的发送源，从访问权限等级表17c检索相应的发送源。在访问 权限等级表17c中存储有相应的发送源的情况下，CPU11读出对应的 访问权限等级，与追加或更新的程序建立对应，将访问权限等级存储 于存储部17。另外，在程序的发送源不存在于访问权限等级表17c中 的情况下，CPU11将追加或更新的程序设定成更低的访问权限等级(例 如等级0等)或者不许可这种程序的追加或更新。

而且，安全控制器10对于以车辆1的车内网络收发的各信息(即， 以车内通信部16收发的各信息)，将许可访问的访问权限等级作为访 问许可等级进行判定。安全控制器10的CPU11基于存储于存储部17 的访问许可等级表17d判定对于收发的各信息的访问许可等级。

图4是示出访问许可等级表17d的一个构成例的示意图。在访问 许可等级表17d中将收发的信息的种类与访问许可等级对应地存储起 来。在图示的例子中，作为访问许可等级表17d的信息种类，作为一 例记载有发动机控制信息、用户信息、位置信息和车速信息等。这些 信息种类例如在车内网络遵循CAN的标准的情况下，能够基于收发的 标记于框架的ID(Identifier，标识符)序号以及框架内的信息的保存 顺序等判断。

而且，作为访问许可等级表17d的访问许可等级，设定为等级1～ 3这三级。不过这仅是一例，访问许可等级也可以是两级或者四级以上。 访问许可等级的数值越大则表示对信息的访问所需的访问权限等级越 高。即，访问许可等级3的信息能够由访问权限等级3以上的程序访 问。而且，访问许可等级1的信息能够由访问权限等级1以上的程序 访问。在图示的例子中，发动机控制信息和用户信息被设定为访问许 可等级3，位置信息被设定为访问许可等级2，车速信息被设定为访问 许可等级1。另外，在图示的例子中，访问许可等级以数值表现，不过 这仅为一例，只要是能够识别优先顺序的信息则可以是任意的信息。

安全控制器10的CPU11在通过程序的执行而发出对车内网络的 信息的访问请求的情况下，判断该程序的访问权限等级和与访问请求 涉及的信息的访问许可等级。在程序的访问权限等级在信息的访问许 可等级以上的情况下，CPU11许可该程序对信息的访问。即，CPU11 从车内通信部16的接收信息中取得访问请求涉及的信息，并用于该程 序的处理。相对于此，在程序的访问权限等级不满足信息的访问许可 等级的情况下，CPU11不许可该程序对信息的访问。访问未被许可的 情况下的处理由各程序进行。

同样地，安全控制器10的CPU11在通过程序的执行而发出对车 内网络的信息发送请求的情况下，判断该程序的访问权限等级和与要 发送的信息的访问许可等级。在程序的访问权限等级在信息的访问许 可等级以上的情况下，CPU11许可该程序的信息发送，进行从车内通 信部16向车内网络的信息发送。相对于此，在程序的访问权限等级不 满足信息的访问许可等级的情况下，CPU11不许可该程序的信息发送。

另外，本实施方式涉及的安全控制器10如上所述进行程序的追加 或更新等处理，但此时根据访问权限等级及车辆1的位置限制程序的 追加及更新。安全控制器10的CPU11例如对于访问权限等级3的程序 的追加或更新，进行与车辆1的位置对应的限制，对于访问权限等级1 或2的程序的追加或更新，不进行与车辆1的位置对应的限制。

安全控制器10将与许可进行程序的追加及更新等处理的车辆1的 位置相关的信息作为追加更新许可位置信息17b存储于存储部17。追 加更新许可位置信息17b例如针对多处注册有车辆1的制造公司的关 联设施(经销商或修配厂)的位置信息。位置信息例如能够采用纬度 及经度等的信息。

在得到程序的追加或更新的请求的情况下，在与在位置信息取得 部13取得的位置信息相关的车辆1的位置与在追加更新许可位置信息 17中注册的任意位置相应的情况下，安全控制器10的CPU11许可程 序的追加或更新，进行其处理。另外，不仅在车辆1的位置与所注册 的位置完全一致的情况下，也可以在车辆1位于距所注册的位置数百 米等预定范围内的情况下，许可程序的追加或更新的处理。在车辆1 的位置不与所注册的位置相当的情况下，CPU11不许可程序的追加或 更新的处理，不进行该处理。

另外，本实施方式涉及的安全控制器10根据伴随着程序的执行而 发送到车内网络的信息量，限制该程序向车内网络的信息发送。因此， 安全控制器10的CPU11对每单位时间与各程序相关的信息发送量进行 监视。CPU11在任意程序的信息发送量超过预定量的情况下，阻断该 程序进行的信息发送。另外，此时，CPU11也可以是不仅阻断与信息 发送量超过预定量的程序相关的信息发送，而可以临时或完全地阻断 与所有程序相关的信息发送。

另外，用于判定CPU11是否阻断信息发送的预定量也可以并非对 于所有程序使用相同值，而可以针对每个程序使用不同的值。例如， 对于访问权限等级高的程序，使预定值为大的值，许可发送多的信息， 对于访问权限等级低的程序，使预定值为小的值，可以限制能够发送 的信息量。

另外，本实施方式涉及的安全控制器10在进行对于上述信息的访 问限制、信息的发送限制、程序的追加更新的限制或基于信息发送量 的发送阻断等限制处理的情况下，生成与限制处理相关的锁定信息 17e，存储于存储部17。锁定信息17e能够包含例如成为限制处理的原 因的程序、进行限制处理的日期时间及限制处理的内容等信息。可以 构成为限定于例如在车辆1的经销商或修配厂等专用的终端装置3连 接到有线通信部14的情况等许可锁定信息17e的读出。

接着，利用流程图说明本实施方式涉及的安全控制器10进行的处 理的详细内容。图5是示出安全控制器10进行的程序的追加或更新的 限制处理的顺序的流程图。其中，图5所示的处理的前提是，终端装 置3经由通信线缆连接到安全控制器10的有线通信部14，认证处理等 完成，安全控制器10和终端装置3的通信得以确立。另外，安全控制 器10从终端装置3接收到程序的追加或更新的指示，经由终端装置3 与服务器装置5进行通信，从服务器装置5取得追加或更新的程序。

安全控制器10的CPU11首先判定是否从终端装置3接收到程序 的追加或更新的请求(步骤S1)，未接收到请求的情况下(S1：否)， 进行待机直到接收到请求。在接收到程序的追加或更新的指示的情况 下(S1：是)，CPU11通过经由与有线通信部14连接的终端装置3的 通信，在与服务器装置5之间进行认证处理(步骤S2)。例如，CPU11 利用存储于存储部17的用户ID及密码等认证信息，进行与服务器装 置5的认证处理。CPU11判定认证处理是否成功(步骤S3)，在认证 处理失败的情况下(S3：否)，结束处理，不进行程序的追加或更新 的处理。

在认证处理成功的情况下(S3：是)，CPU11从服务器装置5经 由终端装置3取得处理对象的程序(步骤S4)，临时存储于例如RAM12 等。CPU11基于取得的程序所附的电子签名等，确认该程序的发送源 (步骤S5)，基于存储于存储部17的访问权限等级表17c判定程序的 访问权限等级(步骤S6)。

接着，CPU11判定程序的访问权限等级是否是等级3(步骤S7)。 在访问权限等级为等级3的情况下(S7：是)，CPU11在位置信息取 得部13取得位置信息(步骤S8)，判定车辆1的位置是否在预定位置 (步骤S9)。在车辆1的位置不在预定位置的情况下(S9：否)，CPU11 不进行程序的追加或更新，生成锁定信息17e并存储于存储部17(步 骤S10)，处理结束。

另外，CPU11在程序的访问权限等级不是等级3而是等级2以下 的情况下(S7：否)，或者在车辆1的位置在预定位置的情况下(S9： 是)，进行程序的追加或更新(步骤S11)，生成锁定信息17e并存储 于存储部17(步骤S12)，处理结束。此时，CPU11将临时存储于RAM12 等的程序存储到存储部17的程序存储部17a，并且通过进行执行该程 序所需要的信息的注册等处理，进行程序的追加或更新。

图6是示出安全控制器10进行的访问限制处理的步骤的流程图。 安全控制器10的CPU11首先通过存储于程序存储部17a的程序的执行 来判定是否产生对于车内网络的信息的访问请求(步骤S21)。在没有 产生访问请求的情况下(S21：否)，CPU11进行待机直到产生访问请 求。

在产生对于信息的访问请求的情况下(S21：是)，CPU11判定进 行访问请求的程序的访问权限等级(步骤S22)。另外，在将图5所示 的流程图的步骤S6中判定的访问权限等级存储于存储部17的情况下， CPU11也可以在步骤S22中读出以前的判定结果。另外，基于存储部 17中存储的访问许可等级表17d判定成为访问请求的对象的信息的访 问许可等级(步骤S23)。

接着，CPU11判定在步骤S22中判定的程序的访问权限等级是否 为在步骤S23中判定的信息的访问许可等级以上(步骤S24)。在访问 权限等级为访问许可等级以上的情况下(S24：是)，CPU11许可程序 进行的信息的访问(步骤S25)，生成锁定信息17e并存储于存储部 17(步骤S26)，将在车内通信部16接收到的信息发送给发出访问请 求的程序并进行处理。另外，在访问权限等级小于访问许可等级的情 况下(S24：否)，CPU11禁止程序进行的信息的访问(步骤S27)， 生成锁定信息17e并存储于存储部17(步骤S28)，处理结束。

图7是示出安全控制器10进行的基于信息发送量的发送限制处理 的步骤的流程图。安全控制器10的CPU11按照执行的每个程序，计算 单位时间内从车内通信部16向车内网络发送的信息发送量(步骤S31)。 CPU11判定计算出的信息发送量是否超过针对每个程序的访问权限等 级确定的预定量(步骤S32)，在信息发送量不超过预定量的情况下 (S32：否)，不进行发送限制而处理结束。

另外，在程序的信息发送量超过预定量的情况下(S32：是)，CPU11 阻断该程序向车内网络的信息发送(步骤S33)，不进行之后的信息发 送。另外，CPU11生成与信息发送的阻断相关的锁定信息17e并存储 于存储部17(步骤S34)，处理结束。另外，CPU11对于并行地执行 的多个程序按照每个程序周期性地反复进行图7所示的处理。

图8是示出安全控制器10进行的基于访问权限等级的发送限制处 理的步骤的流程图。安全控制器10的CPU11首先通过存储于程序存储 部17a的程序的执行来判定是否产生向车内网络的信息的信息发送请 求(步骤S41)。在没有产生信息发送请求的情况下(S41：否)，CPU11 进行待机直到产生信息发送请求。在产生了信息发送请求的情况下 (S41：是)，CPU11通过图7所示的发送限制处理，进一步判定对于 该程序的信息发送是否在阻断中(步骤S42)。在信息发送为阻断中的 情况下(S42：是)，CPU11将处理结束。

在信息发送不是阻断中的情况下(S42：否)，CPU11判定进行信 息发送请求的程序的访问权限等级(步骤S43)。另外，基于存储部 17中存储的访问许可等级表17d判定被请求发送的信息的访问许可等 级(步骤S44)。接着，CPU11判定在步骤S43中判定的程序的访问 权限等级是否为在步骤S44中判定的信息的访问许可等级以上(步骤 S45)。在访问权限等级在访问许可等级以上的情况下(S45：是)， CPU11许可该程序进行的信息发送(步骤S46)，在车内通信部16进 行向车内网络的信息发送。另外，在访问权限等级小于访问许可等级 的情况下(S45：否)，CPU11禁止程序进行的信息发送(步骤S47)， 生成锁定信息17e并存储于存储部17(步骤S48)，处理结束。

另外，图5～图8所示的处理通过CPU11执行不同于会进行追加 或更新等的程序的基本程序(例如OS(Operating System，操作系统) 或OSGi框架等)来实现。CPU11将基本程序和会进行追加或更新等 的程序并列地执行。其中，会进行追加或更新等的程序之一也可以是 进行图5～图8所示的处理的结构。

以上结构的本实施方式涉及的通信系统是经由安全控制器10进 行搭载于车辆1的ECU50等和终端装置3或服务器装置5等之间的通 信的结构。安全控制器10伴随着信息的收发处理执行一个或多个程序， 并且能够对这些程序进行追加或更新等。安全控制器10进行基于各程 序的访问权限等级及各信息的访问许可等级对伴随着程序的执行而产 生的向车内网络的信息的访问进行限制的处理。通过进行这种访问限 制，能够将与车辆1相关的较多的信息赋予可靠性高的程序，能够提 供高级的服务。另外，限制对可靠性低的程序赋予的信息，能够防止 重要度高的信息向外部泄漏。

另外，安全控制器10与伴随着程序的执行向车内网络发送信息的 情况同样地，进行基于各程序的访问权限等级及各信息的访问许可等 级对信息发送进行限制的处理。由此，能够防止通过非法程序向车内 网络进行非法的信息发送的问题。

另外，安全控制器10在位置信息取得部13取得与车辆1相关的 位置信息，根据车辆1的位置是否处于预定位置或预定位置范围内， 进行程序的追加或更新的限制。由此，能够防止由恶意的第三者进行 非法程序的追加或更新等。另外，安全控制器10对于访问权限等级高 的程序，进行与车辆1的位置对应的追加或更新的限制。由此，能够 防止访问权限等级高的程序被不正确地追加或更新等，并且访问权限 等级低的程序不管车辆1的位置如何都能够进行追加或更新等，能够 提高用户的便利性。

另外安全控制器10对伴随着程序的执行向车内网络发送的信息 发送量进行监视，在信息发送量超过预定量的情况下，阻断信息发送。 并且，安全控制器10对于访问权限等级高的程序，许可发送多的信息， 对于访问权限等级低的程序，将许可发送的信息量抑制得较低。由此， 能够防止非法程序将大量信息向车内网络发送。

另外，安全控制器10在进行访问限制时生成锁定信息17e并存储 于存储部17。由此，能够在例如修理或检修车辆1等时，调查是否存 在非法程序等。

另外，在本实施方式中，安全控制器10与网关30连接，网关30 与多个ECU50连接，不过该车内网络的结构仅为一例，并不限定于此。 例如，也可以是，安全控制器10兼具网关的功能，将安全控制器10 与多个ECU50连接。而且，也可以是某个ECU50兼具安全控制器10 的功能。而且，也可以在车辆1搭载多个安全控制器10。

另外，安全控制器10构成为具备有线通信部14及无线通信部15 双方，但并不限定于此，也可以构成为具备有线通信部14或无线通信 部15中的一方。另外，在例如车辆1是电动汽车，能够从外部的供电 装置进行经由供电线缆的电力供给的情况下，安全控制器10也可以构 成为通过经由供电线缆的电力线通信等与外部装置进行通信。另外， 安全控制器10也可以构成为能够安装存储卡或光盘等记录介质，从记 录介质取得追加或更新的程序。

(实施方式2)

图9是示出实施方式2涉及的安全控制器210的结构的框图。实 施方式2涉及的安全控制器210具备车辆信息取得部218。车辆信息取 得部218从搭载于车辆1的车速传感器261及发动机控制部262取得 信息并向CPU11发送。车速传感器261检测车辆1的行驶速度，将检 测结果向车辆信息取得部218输出。发动机控制部262是控制车辆1 的发动机的动作的装置，将表示发动机处于动作中或者是停止中的信 息向车辆信息取得部218输出。

得到来自车辆信息取得部218的信息的CPU11基于这些信息，判 定车辆1处于行驶状态或停止状态的哪一个。CPU11根据例如车速传 感器261检测的车速是否超过阈值，能够判定车辆1处于行驶状态或 停止状态的哪一个状态。另外，CPU11例如基于来自发动机控制部262 的信息，根据发动机处于动作中或停止中的哪一个，能够判定车辆1 处于行驶状态或停止状态的哪一个状态。在本实施方式中，在车速为 阈值以下且发动机处于停止中的情况下，CPU11判定车辆1处于停止 状态。另外，在车速超过阈值或发动机处于动作中的情况下，CPU11 判定车辆1处于行驶状态。

上述实施方式1涉及的安全控制器10进行程序的追加或更新等处 理时，进行与访问权限等级及车辆1的位置对应的限制。实施方式2 涉及的安全控制器210除了同样的限制之外，还进行与车辆1的状态 对应的限制。实施方式2涉及的安全控制器210的CPU11例如对于访 问权限等级3的程序的追加或更新，进行与车辆1的位置对应的限制 以及与车辆1的状态对应的限制。

在得到程序的追加或更新的请求的情况下，安全控制器210的 CPU11判定与位置信息取得部13取得的位置信息相关的车辆1的位置 是否与注册于追加更新许可位置信息17b的任意位置相应。在车辆1 的位置不与所注册的位置相当的情况下，CPU11不许可程序的追加或 更新的处理，不进行该处理。

另外，在得到程序的追加或更新的请求的情况下，安全控制器210 的CPU11基于车辆信息取得部218取得的信息判定车辆1是否处于停 止状态。在车辆1处于停止状态的情况下，CPU11许可程序的追加或 更新的处理，进行该处理。在车辆1不处于停止状态，即处于行驶状 态的情况下，CPU11不许可程序的追加或更新的处理，不进行该处理。

图10是示出实施方式2涉及的安全控制器210进行的程序的追加 或更新的限制处理的顺序的流程图。另外，在本流程图中，将与图5 所示的流程图的步骤S1～S6相当的处理作为步骤S51的预定处理而简 化并记载。实施方式2涉及的安全控制器210对于图5的步骤S1～S6， 进行与实施方式1涉及的安全控制器10同样的处理。

实施方式2涉及的安全控制器210的CPU11在从终端装置3接收 到程序的追加或更新的请求的情况下，将认证处理、从服务器装置5 取得程序的处理以及确认所取得的程序的发送源并判定访问权限等级 的处理等作为预定处理来进行(步骤S51)。

之后，CPU11判定追加或更新的程序的访问权限等级是否是等级 3(步骤S52)。在访问权限等级为等级3的情况下(S52：是)，CPU11 在位置信息取得部13取得位置信息(步骤S53)，判定车辆1的位置 是否在预定位置(步骤S54)。在车辆1的位置不在预定位置的情况下 (S54：否)，CPU11不进行程序的追加或更新，生成锁定信息17e并 存储于存储部17(步骤S57)，处理结束。

在车辆1的位置处于预定位置的情况下(S54：是)，CPU11在车 辆信息取得部218取得来自车速传感器261及发动机控制部262的车 辆信息(步骤S55)。CPU11基于取得的车辆信息，判定车辆1是否 处于停止状态(步骤S56)。在车辆1不处于停止状态的情况下(S56： 否)，CPU11不进行程序的追加或更新，生成锁定信息17e并存储于 存储部17(步骤S57)，处理结束。

另外，CPU11在程序的访问权限等级不是等级3而是等级2以下 的情况下(S52：否)，或者在车辆1处于停止状态的情况下(S56： 是)，进行程序的追加或更新(步骤S58)，生成锁定信息17e并存储 于存储部17(步骤S59)，处理结束。

以上构成的实施方式2涉及的安全控制器210根据车辆1是否处 于停止状态来限制程序的追加或更新。由此，能够防止在车辆1的行 驶中进行会对行驶造成影响的程序的追加或更新。

另外，在本实施方式中，安全控制器210构成为取得车速传感器 261检测的车速及发动机的动作状态来作为与车辆1相关的信息，但并 不限定于此。安全控制器210也可以构成为仅仅取得车速或发动机的 动作状态的任一方。另外，安全控制器210也可以构成为取得车速或 发动机的动作状态以外的信息。安全控制器210也可以构成为取得与 发动机的启动相关的IG(点火)开关的状态、排挡杆的位置或制动器 的操作状态等信息。

另外，安全控制器210构成为基于取得的车辆信息，判定车辆1 是否处于停止状态来限制程序的追加或更新，但并不限定于此。安全 控制器210也可以构成为根据车辆1是否处于停止状态以外的条件来 限制程序的追加或更新。例如，安全控制器210也可以构成为根据IG 开关处于断开状态来限制程序的追加或更新。另外，例如安全控制器 210可以构成为根据车辆1内是否存在人来限制程序的追加或更新。

另外，安全控制器210的车辆信息取得部218构成为直接从车速 传感器261及发动机控制部262取得信息，但并不限定于此。例如， 车辆信息取得部218也可以构成为通过经由车内网络的通信从车速传 感器261及发动机控制部262取得信息。

而且，实施方式2涉及的车载通信系统的其他的结构与实施方式 1涉及的车载通信系统的结构相同，因此对相同的部位标以相同标号并 省略详细的说明。

符号说明

1：车辆；

3：终端装置(外部装置)；

5：服务器装置(外部装置)；

10：安全控制器(访问限制装置)；

11：CPU(处理部、程序追加更新单元、第一判定单元、第二判 定单元、访问限制单元、位置信息取得单元、位置判定单元、程序追 加更新限制单元、阻断单元、锁定信息生成单元、停车判定单元)；

12：RAM；

13：位置信息取得部(位置信息取得单元)；

14：有线通信部(第二通信部)；

15：无线通信部(第二通信部)；

16：车内通信部(第一通信部)；

17：存储部(访问权限等级信息存储部、锁定信息存储部)；

17a：程序存储部；

17b：追加更新许可位置信息；

17c：访问权限等级表(访问权限等级信息)；

17d：访问许可等级表；

17e：锁定信息；

30：网关(车载设备)；

50：ECU(车载设备)；

210：安全控制器(访问限制装置)；

218：车辆信息取得部(位置信息取得单元)；

261：车速传感器；

262：发动机控制部。