信息处理装置和信息处理方法 |
|||||||
| 申请号 | CN201480010038.5 | 申请日 | 2014-01-16 | 公开(公告)号 | CN105009546B | 公开(公告)日 | 2017-10-20 |
| 申请人 | 丰田自动车株式会社; | 发明人 | 守谷友和; 后藤英树; 由良浩司; | ||||
| 摘要 | 一种信息处理装置确保移动对象中的网络相对于移动对象外部的外部网络的安全性,同时允许与外部网络进行通信。信息处理装置(60)连接至多个网络并且执行信息处理。网络包括连接至移动对象中的控制装置的控制网络(10)、连接至移动对象中的信息装置的信息网络(20)以及连接至移动对象外部的外部装置的外部网络(30)。信息处理装置包括每一个均连接至网络中的一个网络的 防火墙 (62,63,64)以及经由对应的防火墙连接至每个网络的处理器(70)。信息处理装置将至少控制网络(10)与其他网络(20,30)隔离。 | ||||||
| 权利要求 | 1.一种信息处理装置,连接至多个网络并且执行信息处理,所述网络包括连接至移动对象中的控制装置的控制网络、连接至所述移动对象中的信息装置的信息网络以及连接至所述移动对象外部的外部装置的外部网络, |
||||||
| 说明书全文 | 信息处理装置和信息处理方法技术领域[0001] 本公开内容涉及处理在安装在移动对象(如,汽车)上的多个网络之间传送的信息的信息处理装置。本公开内容还涉及信息处理方法。 背景技术[0002] 众所周知,许多电子控制单元安装在汽车上,诸如用以对各种类型的车上装置(诸如发动机和制动器)进行电子控制的电子控制单元、用于控制诸如指示车辆的各种状况的仪表的装置的电子控制单元以及用于构成导航系统的电子控制单元。在汽车中,这些电子控制单元以允许它们之间的通信的方式通过通信线路连接,从而形成车辆内网络。通过车辆内网络将各种类型的数据传送至每个电子控制单元以及从每个电子控制单元接收各种类型的数据。 [0003] 例如,车辆内网络包括连接至负责控制发动机或制动器的电子控制单元的一个车辆内网络。要求这样的车辆内网络具有尤其高的安全级别。然而,这种车辆内网络原本是假设其与外部网络隔离而设计的,因此其针对从外部装置的访问尚不具有足够的安全级别。因此,传统上提出了能够针对与外部装置的连接确保车辆内网络的安全性的车上通信系统。专利文献1描述了该系统的示例。 [0004] 在专利文献1中描述的系统是实现车辆外电力线通信线路与车辆内网络之间的数据通信的车上通信系统。该系统包括:安全装置,其是确定是否允许车辆外电源线通信线路与车辆内网络之间的数据通信的信息处理装置;以及电子控制单元,连接至车辆内网络。在该通信系统中,如果安全装置允许数据通信,则经由电子控制单元在车辆外电力线通信线路与车辆内网络之间进行数据通信。具体地,由安全装置作出的关于是否允许从外部网络到车辆内网络的通信的确定确保了车辆内网络的安全性。 [0005] 引用列表 [0006] 专利文献 [0007] PLT 1:第2012-10022号日本早期公开专利公布发明内容 [0008] 技术问题 [0009] 对于车辆内网络与外部装置之间协作的要求近年来持续增长。作为其具体示例,对于通过外部网络等将车辆内网络正保存的车辆信息提供至外部装置的要求日渐增加。已要求车辆内网络响应于外部装置以各种各样的方式执行的信息处理而提供更多类型的信息。这意味着,响应于来自外部装置的请求而提供更多条信息,可以接收由外部装置根据提供至外部装置的信息量所提供的更多服务。专利文献1的通信系统响应于来自外部装置的请求而允许多次通信。然而,允许多次通信又可能降低车辆内网络的安全性。 [0010] 本公开内容的目的在于有利地针对移动对象外部的外部网络确保移动对象内部的网络的安全性、同时允许与外部网络通信。 [0011] 针对问题的解决方案 [0012] 根据本公开内容的一方面,提供了一种信息处理装置,其连接至多个网络并且执行信息处理。网络包括连接至移动对象中的控制装置的控制网络、连接至移动对象中的信息装置的信息网络以及连接至移动对象外部的外部装置的外部网络。信息处理装置包括防火墙,每个防火墙连接至网络中的一个网络,以及处理器,处理器经由对应的防火墙连接至每个网络。信息处理装置被配置成将至少控制网络与其他网络隔离。 [0013] 根据本发明的另一方面,提供了一种在信息处理装置中实现的信息处理方法。信息处理装置连接至多个网络并且执行信息处理。网络包括连接至移动对象中的控制装置的控制网络、连接至移动对象中的信息装置的信息网络以及连接至移动对象外部的外部装置的外部网络。防火墙连接至每个网络。处理器经由对应的防火墙连接至每个网络。信息处理方法包括将至少控制网络与其他网络隔离。 [0014] 在上述配置或方法中,将控制网络与例如连接至因特网或信息终端的外部网络隔离。将控制网络进一步与连接至信息装置(诸如导航系统或音频系统)的信息网络隔离。这有利地确保了向其和从其传递对于移动对象的行进而言重要的控制信息的控制网络的安全性。 [0015] 处理器经由对应的防火墙连接至每个网络。因而,可以经由处理器将控制网络中的信息传送至不同网络,同时不从不同网络直接访问控制网络。 [0016] 这有利地确保了例如控制网络对于外部网络的安全性,同时控制网络可以与不同网络进行通信。 [0017] 外部网络使得处理器干预从控制网络获取信息。因而,即使不符合控制网络的协议的通信消息仍使得外部网络获取控制网络中的信息。 [0018] 如果移动对象是车辆,则移动对象一般设置有具有彼此不同的要求的安全级别的至少三个网络,具体为控制网络、信息网络和外部网络。因而,在车辆中,为要求处于高安全级别的控制网络、不要求安全级别与控制网络的安全级别一样高的信息网络以及发现难以确保其安全性的外部网络准备不同的防火墙。结果,可以适当地确定在每个网络中应该确保的安全级别。 [0019] 根据优选配置,每个防火墙被配置成仅允许处理器与防火墙所连接的网络之间的通信。处理器被配置成从除了控制网络外的网络接收请求关于控制装置的控制信息的请求信号,并且该控制信息是从控制网络获取的。处理器被配置成从控制网络获取在请求信号中请求的控制信息。该处理器被配置成生成对请求信号作出响应的响应信号,并且响应信号包含所获取的控制信息。处理器被配置成将响应信号传送至作为请求信号的传送源的网络。 [0020] 根据优选的信息处理方法,其包括:使得每个防火墙仅允许处理器与该防火墙所连接的网络之间的通信;使得处理器从其他网络接收请求关于控制装置的控制信息的请求信号,其中该控制信息是从控制网络获取的;使得处理器从控制网络获取在请求信号中请求的控制信息;使得处理器通过将所获取的控制信息合并到对请求信号作出响应的响应信号中而生成响应信号;以及使得处理器将响应信号传送至作为请求信号的传送源的网络。 [0021] 在上述配置或方法中,来自外部网络或信息网络的请求信号未直接流入控制网络,而是由处理器以预定方式对该请求信号进行处理。这有利地保持了至少控制网络的安全性。如果移动对象例如是车辆,则处理器基于请求信号获取诸如控制网络中的车速信息或传感器信息的车辆信息,并且生成对请求信号作出响应且包含车辆信息的响应信号。因而,即使来自不同网络的请求信号未流入控制网络,也仍将在请求信号中请求的信息在响应信号中传送至不同网络中的请求信号的传送源。 [0022] 例如从外部网络接收到的请求信号由处理器处理。这不要求请求信号符合控制网络的协议,例如在外部网络中。因而,外部网络和信息网络可以容易地获取控制网络中的控制信息。 [0023] 根据优选配置,处理器被配置成每当从外部网络或信息网络接收到请求信号时,从控制网络获取控制信息。根据该配置,例如每次从外部网络接收到请求信号时,从控制网络获取了控制信息。因此,可以提高控制信息与所接收到的请求信号的实时对应性。 [0024] 根据优选配置,处理器包括存储从控制网络获取的控制信息的存储装置,并且处理器被配置成将所存储的控制信息合并到响应信号中。根据该配置,基于从控制网络获取且存储在存储装置中的控制信息来生成对从外部网络或信息网络接收到的请求信号作出响应的响应信号。这缩短了在传输响应于所接收到的请求信号而生成的响应信号之前经过的时间,从而提高了响应信号对请求信号的响应性。 [0025] 根据优选配置,处理器包括:代理服务器,改变所接收到的请求信号的传送目的地;以及数据服务器,生成对所接收到的请求信号作出响应的响应信号。代理服务器被配置成将所接收到的请求信号的传送目的地改变为数据服务器。数据服务器被配置成接收传送目的地已被代理服务器改变的请求信号。数据服务器被配置成获取在所接收到的请求信号中请求的控制信息。数据服务器被配置成生成包含所获取的控制信息的响应信号。 [0026] 根据该配置,例如来自外部网络的请求信号立刻进入代理服务器。这保持了与控制网络中的请求信号的传送目的地有关的信息不被外部网络发现。结果,以更高的水平确保了控制网络的安全性。 [0027] 数据服务器负责对请求信号的处理。因而,即使例如来自外部网络的请求信号不被传送至控制网络,也可以生成对请求信号作出响应的响应信号。这也将控制网络保持在高安全级别。 [0028] 根据优选配置,处理器包括对已传送请求信号的装置进行认证的认证单元,并且处理器被配置成获取仅在从经认证单元认证的装置传送的请求信号中请求的控制信息。 [0029] 根据该配置,处理器执行仅响应于从经认证的装置传送的请求信号而获取控制信息的处理。因而,防止了控制网络中的控制信息被未经认证的装置错误地获取。这也可以将控制网络保持在高安全级别。 [0030] 根据优选配置,处理器包括基于监控条件来监控请求信号的监控单元。当作为基于监控条件的监控的结果确定“在请求信号中已发生异常”时,监控单元被配置成禁止处理器获取控制信息。 [0031] 根据该配置,如果作为监控结果确定请求信号中存在异常,则禁止基于请求信号获取控制信息。这也有助于提高控制网络的安全性。 [0032] 根据优选配置,处理器包括按时间顺序存储请求信号的日志单元。 [0033] 根据该配置,将请求信号按时间顺序或统计地存储为日志数据。因而,可以确定例如由来自外部网络的攻击而引起的异常请求信号是否存在。这可以有利地管理安装在移动对象上的通信系统,同时有助于进一步提高控制网络的安全性。 [0034] 根据优选配置,处理器被配置成响应于请求获取多条控制信息的请求信号而从控制网络逐一地连续获取在请求信号中请求的多条控制信息。处理器被配置成重复响应信号的生成,同时将所获取的多条控制信息按顺序合并到响应信号中。 [0035] 根据该配置,处理器可以适当地处理例如来自外部网络的请求信号请求多条连续的控制信息的情况。具体地,处理器可以生成对请求信号作出响应的响应信号,同时按以时间顺序存储在适当的存储装置中的顺序将多条控制信息合并到响应信号中。处理器还可生成包含多条车辆信息的响应信号,车辆信息例如由以短间隔出现的多条信息或者按从控制网络获取它们的顺序存储的分割的多条信息构成。因此,可以对获取多条控制信息的请求作出响应,同时将控制网络保持在高安全级别。 [0036] 根据优选配置,协议转换器设置在控制网络与连接至控制网络的防火墙之间。协议转换器被配置成将由处理器处理的请求信号的通信协议转换为控制网络的通信协议。 [0037] 在许多情况下,移动对象的控制网络的通信协议不同于外部网络的通信协议。根据上述配置,即使控制网络的通信协议不同于外部网络的通信协议,也能将从外部网络输入且经处理器处理的请求信号的通信协议转换为控制网络的通信协议。这允许外部网络和控制网络适当地将信息传送至彼此以及从彼此接收信息。 [0038] 根据优选配置,处理器被配置成从信息网络接收与控制网络中的装置的设置相关的设置数据。处理器被配置成基于设置数据生成要传送至控制网络的传送信号。 [0039] 安装在例如车辆的移动对象上的信息网络通常保持在比外部网络的安全级别高的安全级别。该配置允许信息网络将设置数据传送至控制网络中的装置。结果,能够容易地管理连接至控制网络的控制装置,同时保持控制网络相对于外部网络的安全性。 [0040] 根据优选配置,处理器被配置成对从信息网络接收到的请求信号的传送源进行认证。处理器被配置成从控制网络获取在请求信号中请求的控制信息。处理器被配置成生成响应信号,同时将所获取的控制信息合并到响应信号,以及将响应信号传递至信息网络中的经认证的传送源。 [0041] 根据该配置,处理器将通过合并从控制网络获取的控制信息而生成的响应信号传递至信息网络中的经认证的传送源。这减小了处理器上的处理负荷,同时允许信息网络中的装置容易地且迅速地获取控制网络中的控制信息。附图说明 [0043] 图2是示意性地示出图1的控制总线的结构的框图; [0044] 图3是示意性地示出图1的信息总线的结构的框图; [0045] 图4是示意性地示出图1的非军事区(DMZ)的结构的框图; [0046] 图5是示出在图1的通信系统中如何对外部总线中的请求信号的传送源进行认证的说明示意图; [0047] 图6是示出在图1的通信系统中如何将响应信号传送至外部总线的说明示意图; [0048] 图7是示出在图1的通信系统中如何将多个响应信号从内部总线传送至外部总线的说明示意图; [0049] 图8是示出在图1的通信系统中如何将请求信号从信息总线传送至内部总线的说明示意图; [0050] 图9是示出在图1的通信系统中如何将多个响应信号从内部总线传送至信息总线的说明示意图; [0051] 图10是示意性地示出信息处理装置的另一实施例以及包括该信息处理装置的通信系统的结构的框图;以及 [0052] 图11是示意性地示出信息处理装置的又一实施例以及包括该信息处理装置的通信系统的结构的框图。 具体实施方式[0053] 图1至图9描绘了根据一个实施例的信息处理装置和包括信息处理装置的通信系统的示例。 [0054] 图1描绘了通信系统的概况。 [0055] 如图1所示,移动对象(车辆1)包括设置在车辆内部的多个通信网络。通信网络以允许车辆1的电子控制单元(ECU)等之间的通信的方式连接至这些电子控制单元。通信网络包括用作控制网络的控制总线10、用作信息网络的信息总线20以及用作外部网络的外部总线30。控制总线10是负责与车辆1的行进、转向或停止有关的控制的、连接至ECU等的网络。因而,要求控制总线10具有高可靠性级别和安全级别,尤其是高安全级别。在该实施例中,控制总线10包括多条通信总线(诸如,总线11和总线16)。信息总线20是连接至ECU等(诸如,导航系统或音频系统)的网络。也要求信息总线20具有高级别的安全性,但不要求该级别与控制总线10所需的级别一样高。外部总线30是可以经由数据链路连接器(DLC)32等连接至车上诊断(OBD)单元、任意类型的外部装置或例如因特网的外部网络的网络。具体地,外部总线30对车辆1的外部开放。因此,外部总线30难以将安全性保持在恒定级别,使得其在安全级别上固有地变得比控制总线10或信息总线20低。 [0056] 车辆1包括连接至控制总线10、信息总线20和外部总线30的中央网关40。中央网关40是具有控制通过通信信息进行的控制总线10、信息总线20与外部总线30之间的通信的各种功能的单元。 [0057] 中央网关40包括控制网关50。控制网关50在控制总线10中的通信总线(诸如总线11和16)之间中继通信消息,并且中继要输入至控制总线10以及从控制总线10输出的通信消息。控制网关50构成控制总线10的一部分。中央网关40包括被称为非军事区(DMZ)60的部分,该非军事区(DMZ)60是具有确保安全性的各种功能的网络区域。非军事区60确保相对于外部总线30的控制总线10的安全性和信息总线20的安全性。信息总线20和外部总线30都以允许信息总线20和外部总线30的通信的方式连接至非军事区60。控制总线10以允许控制总线10的通信的方式通过通信总线41连接至非军事区60。虽然管制连接至非军事区60的控制总线10、信息总线20与外部总线30之间的通信消息的传送,但是非军事区60以仅传送包含在通信消息中的信息的内容的方式控制通信,从而确保控制总线10的高安全级别和信息总线20的高安全级别。作为示例,控制总线10未被设计成从信息总线20或外部总线30接收通信消息,使得在通信消息的传送方面将控制总线10与信息总线20和外部总线30隔离。同样地,在通信消息的传送方面将信息总线20与外部总线30隔离。具体地,非军事区60切断从除了控制总线10外构成网络的作为传送源的信息总线20或外部总线30向控制总线10传送通信消息。这对从通信总线20和外部总线30对控制总线10的直接访问强加了限制。以该方式,非军事区60将控制总线10与除了控制总线10外构成网络的信息总线20和外部总线30隔离。 在该实施例中,符合以太网(注册商标)标准的通信线路连接至非军事区60,并且使用因特网协议(IP)用于通信。具体地,控制总线10、信息总线20和外部总线30通过以太网(注册商标)连接至非军事区60,并且经由因特网协议与非军事区60进行通信。 [0058] 现在将接着详细地描述通信系统。 [0059] 如图2所示,控制总线10包括上述的控制网关50以及连接至控制网关50的多个总线网络。控制网关50以允许控制网关50的通信的方式通过符合以太网(注册商标)标准的通信总线41连接至非军事区60。控制网关50包括传动系网关(传动系GW)51、底盘网关52、安全性网关53和车身网关54。传动系网关51、底盘网关52、安全性网关53和车身网关54以允许这些网关的通信的方式连接至通信总线41。这允许通过通信总线41在传动系网关51、底盘网关52、安全性网关53与车身网关54之间进行通信。控制总线10还包括第一至第四CAN(控制器局域网)总线11至14和LIN(局域互联网络)总线16作为多条通信总线。 [0060] 传动系网关51、底盘网关52和安全性网关53各自包括允许经由CAN协议的通信的CAN控制器(未示出)。这些网关连接至对应于CAN控制器的第一至第四CAN总线11至14。具体地,第一CAN总线11和第二CAN总线12以允许通过第一CAN总线11和第二CAN总线12进行通信的方式连接至传动系网关51。第三CAN总线13以允许通过第三CAN总线13进行通信的方式连接至底盘网关52。第四CAN总线14以允许通过第四CAN总线14进行通信的方式连接至安全性网关53。 [0061] 车身网关54包括允许经由局域互联网络协议进行通信的局域互联网络控制器(未示出)。车身网关54以允许车身网关54的通信的方式通过局域互联网络总线16连接至局域互联网络控制器。 [0062] 传动系网关51、底盘网关52和安全性网关53分别包括协议转换器511、协议转换器512和协议转换器513。协议转换器511至513将用于通过通信总线41进行通信的因特网协议和用于通过第一至第四CAN总线11和14进行通信的CAN协议互相进行转换。这使得CAN总线 11至14和通信总线41能够以例如传递通信消息的形式经由网关51至53彼此进行通信。传动系网关51可以在两个CAN总线11和12之间经由CAN协议传递通信消息。 [0063] 车身网关54包括协议转换器514。协议转换器514将用于通过通信总线41进行通信的互联网协议与用于通过局域互联网络总线16进行通信的局域互联网络协议互相进行转换。这还使得局域互联网络总线16和通信总线41能够以例如传递通信消息的形式经由车身网关54彼此进行通信。 [0064] 传动系网关51、底盘网关52、安全性网关53和车身网关54可以经由被对应的协议转换器511至514转换为因特网协议的通信消息彼此进行通信。 [0065] 第一至第四CAN总线11至14被配置为CAN网络,使得它们采用CAN协议作为通信协议。第一至第四CAN总线11至14中的每一个例如由比如绞合线缆的通信线路构成,并且通过通信线路传送构成CAN协议的通信单元的通信消息,该通信单元提供多主通信(multi-master communication)。第一至第四CAN总线11至14中的每一个的通信路径均可包括用于无线通信的路径或者可包括经由例如网关穿过不同网络的路径。 [0066] 局域互联网络总线16被配置为局域互联网络,从而其采用局域互联网络协议作为通信协议。局域互联网络总线16例如由比如单条线缆的通信线路构成,并且经由基于时间表提供主-从通信的局域互联网络协议、通过通信线路发送通信消息。局域互联网络总线16的通信路径还可包括用于无线通信的路径或者可包括经由例如网关穿过不同网络的路径。 [0067] 各种电子控制单元(ECU)111至113、131、132、141、142和161连接至第一至第四CAN总线11和14以及局域互联网络总线16。ECU(如ECU 111)均包括执行各种控制所需的处理的信息处理器(未示出)以及响应于连接至该ECU的通信总线而经由协议传送和接收通信消息的通信控制器(未示出)。 [0068] 连接至第一至第四CAN总线11至14的ECU 111至113、131、132、141和142是用于车辆1的各种控制的控制器。每个ECU保存车辆信息作为用于控制车辆的控制信息。每个ECU可以将ECU正保存的车辆信息作为通信消息输出至连接到该ECU的通信总线。每个ECU是例如用以控制驱动系统、行进系统、底盘系统或安全系统的ECU。用以控制驱动系统的ECU是例如用于发动机的ECU。用以控制行进系统的ECU是例如用于转向的ECU或用于制动的ECU。用以控制底盘系统的ECU是例如用于灯的ECU或用于方向指示器的ECU。用以控制安全性系统的ECU是例如用于ABS(防抱死制动系统)或用于碰撞防止的ECU。以该方式,负责与车辆1的行进、转向和停止有关的有效控制的ECU连接至第一至第四CAN总线11至14。在该实施例中,ECU 111和112都以允许ECU 111和112的通信的方式连接至第一CAN总线11和第二CAN总线12中的每一个。ECU 113以允许ECU 113的通信的方式连接至第一CAN总线11和第三CAN总线 13中的每一个。容纳于一个装置中的两个ECU 131和132都以允许ECU 131和132进行通信的方式连接至第三CAN总线13。ECU 141以允许ECU 141的通信的方式连接至第四CAN总线14、同时以允许ECU 141与ECU 142之间的通信的方式连接至ECU142。 [0069] 连接至局域互联网络总线16的ECU 161是用于车辆1的各种控制的控制器。ECU 161保存车辆信息作为用于控制车辆的控制信息。ECU 161可以将ECU 161正保存的车辆信息作为通信消息输出至连接到ECU161的局域互联网络总线16。ECU 161是用以控制车身系统的ECU。用以控制车身系统的ECU是例如用于反光镜的ECU或用于车窗的ECU。具体地,连接至局域互联网络总线16的ECU涉及可能影响车辆1的操作的装置的控制。 [0070] 如图3所示,信息总线20包括符合以太网(注册商标)标准的通信总线21。该信息总线20以允许经由因特网协议与非军事区60通过通信总线21通信的方式连接。通信总线21连接至ECU 211并且经由以太网交换机212连接至两个ECU 213和214。以太网交换机212是将通信消息从非军事区60通过通信总线21分配给作为通信消息的传送目的地的ECU(213或214)的交换集线器。因此,以太网交换机212缓解了在通过将以太网交换机212与两个ECU 213和214连接的通信线路进行通信时的拥塞。 [0071] 连接至信息总线20的ECU 211、213和214中的每一个是在任意类型的车辆1的信息装置中使用的ECU。ECU 211、213和214中的每一个是用以控制信息装置系统(诸如导航系统或音频系统)的ECU。具体地,连接至信息总线20的ECU涉及为车辆1引导行进路线或者保持车辆内的舒适的装置控制。ECU 211、213和214中的每一个能够将请求车辆信息的通信消息(具体为请求信号)输出至控制总线10中的ECU。 [0072] 如图1所示,外部总线30包括符合以太网(注册商标)标准的通信总线31。外部总线30以允许经由因特网协议与非军事区60进行通信的方式通过通信总线31连接至非军事区 60。通信总线31上的数据链路连接器(DLC)32是以允许外部装置的通信的方式将外部装置连接至车辆1的网络的连接器。DLC 32能够以允许外部装置的通信的方式连接外部装置(如,车上诊断(OBD)单元)或信息终端(如,智能电话)。具体地,连接至数据链路连接器32的外部装置可以经由数据链路连接器32将通信消息传送至控制总线10或信息总线20。可以以该方式传送的通信消息包括作为从控制总线10中的ECU请求车辆信息的请求信号的通信消息。在该实施例中,中央网关40接收经由数据链路连接器32输入的通信消息,并且基于通信消息执行处理。具体地,从外部总线30输入的通信消息未直接流入控制总线或信息总线20,或者未按原样传递。 [0073] 符合以太网(注册商标)标准的装置(诸无线通信单元33(参见图5))可以连接至通信总线31而无需数据链路连接器32的介入。以该方式,外部总线30对来自车辆1的外部的通信开放,并且用于经由数据链路连接器32或无线通信装置连接至外部装置以及用于连接至车辆外部的网络(如,因特网)。这引起了在车辆1中很难管理外部总线30的安全性的传统问题。作为响应,在本实施例中,通过非军事区60的介入来保持相对于外部总线30的控制总线10的安全性和信息总线20的安全性。 [0074] 如图4所示,非军事区60包括因特网协议(IP)的通信消息流过的内部总线61以及连接至内部总线61的第一至第三防火墙(FW)单元62至64。非军事区60包括对流过内部总线61的通信消息执行各种处理的处理器70。作为在处理器70中执行的各种处理的结果,非军事区60确保了控制总线10的安全性和信息总线20的安全性。 [0075] 第一防火墙单元62设置在内部总线61与控制总线10之间。第二防火墙单元63设置在内部总线61与信息总线20之间。第三防火墙单元64设置在内部总线61与外部总线30之间。第一至第三防火墙单元62至64基于包含在通信消息中的传送源或传送目的地的地址是否满足对应的预定管制条件,确定是否允许诸如请求信号的通信消息通过,从而对通信进行管制。基于管制条件,第一防火墙单元62允许通信消息在内部总线61与控制总线10之间通过,同时防止来自信息总线20或外部总线30的通信消息通过内部总线61流入控制总线10。基于管制条件,第二防火墙单元63允许通信消息在内部总线61与信息总线20之间通过,同时防止来自控制总线10或外部总线30的通信消息通过内部总线61流入信息总线20。基于管制条件。第三防火墙单元64允许通信消息在内部总线61与外部总线30之间通过,同时防止来自控制总线10或信息总线20的通信消息通过内部总线61流入外部总线30。 [0076] 处理器70包括:代理单元71,将作为请求信号接收到的通信消息的传送目的地改变为处理器70;认证单元72,对作为请求信号的传送源的装置进行认证;以及监控单元73,监控请求信号的通信状态。处理器70包括按时间顺序或统计地存储请求信号的通信状态的逻辑单元74。处理器70还包括数据服务器单元75。数据服务器单元75保存从控制总线10中的ECU 111至161输出的车辆信息,并且生成通信消息作为对来自控制总线10、信息总线20和外部总线30的请求信号作出响应的响应信号。处理器70中的代理单元71以及第一至第三防火墙单元62至64中的每一个以允许它们之间的通信的方式通过内部总线61连接。在处理器70中,代理单元71以允许代理单元71的通信的方式连接至认证单元72、监控单元73、逻辑单元74和数据服务器单元75中的每一个。在该实施例中,从第一至第三防火墙单元62至64输入的所有通信消息通过内部总线61传送至处理器70中的代理单元71。 [0077] 代理单元71被称为代理服务器。代理单元71将指定每条总线中的ECU作为传送目的地的请求信号的传送目的地改变为处理器70。因而,处理器70首先处理将总线中的ECU指定为传送目的地的请求信号。代理单元71确定通过请求信号请求的处理,并且要求认证单元72或数据服务器单元75根据所请求的处理的内容对信号执行处理。例如,当确定请求信号请求与认证相关的处理时,代理单元71将请求信号传送至认证单元72并且使得认证单元72处理该信号。例如,当确定请求信号请求控制总线10中的ECU输出车辆信息时,代理单元 71将请求信号传送至数据服务器单元75并且使得数据服务器单元75处理该信号。另外,代理单元71可以将通过对从控制总线10接收到的通信消息执行特定处理而生成的响应信号传送至连接到信息总线20或外部总线30的经认证的外部装置。代理单元71管理与不正确的传送源有关的信息,并且防止对来自不正确的传送源的请求信号的处理。作为示例,代理单元71采取通过不对来自不正确的传送源的请求信号进行处理而不对来自不正确的传送源的请求信号作出响应的动作。另外,代理单元71可以基于认证单元72对传送源的认证的结果或者监控单元73对通信消息的监控的结果来更新与不正确的传送源有关的信息。代理单元71使得对外部开放的替代地址不同于用于与控制总线10中的ECU进行通信的地址,从而确保控制总线10相对于外部总线30的安全性。 [0078] 认证单元72具有基于特定的认证条件确定连接至外部总线30的外部装置或连接至信息总线20的信息装置是否是正确的装置的认证功能。认证单元72存储用作认证条件的预先登记的信息,以标识允许进行通信的外部装置。为了开始与连接至信息总线20或外部总线30的外部装置的通信,认证单元72对外部装置进行认证以进行通信。可应用的认证功能包括公知的认证功能,诸如SSL(安全套接层)和TLS(传输层安全)。认证单元72将认证结果传送至代理单元71。因而,代理单元71禁止处理器70处理从尚未被认证的源装置传送的请求信号。结果,处理器70处理来自已由认证单元72认证的外部装置的请求信号并生成响应信号,而其不处理来自未经认证单元72认证的外部装置的请求信号。这防止了控制总线10的安全性或信息总线20的安全性例如由于来自不正确的外部装置的请求信号而降低。 [0079] 可对在认证之后的条件下的请求信号进行加密。加密后的请求信号可由认证单元72解密或者例如由代理单元71用认证单元72确定的密钥来解密。 [0080] 认证单元72能够响应于监控单元73的监控结果而基于不正确的请求信号来停止认证。监控单元73具有监控从外部总线30或信息总线20接收到的请求信号的行为以确定请求信号是否存在异常的监控功能。监控单元73具有用于确定请求信号是否表现不适当的监控条件。监控条件包括通信的频率或被确定为异常的通信之间的间隔。针对所有请求信号或根据请求信号的类型或内容来限定监控条件。具体地,监控单元73根据监控条件监控接收到的请求信号的行为(诸如通信的频率或者请求信号的通信之间的间隔),并且在请求信号归入监控条件的情况下确定请求信号是否异常。监控单元73将监控请求信号的结果传送到代理单元71。因而,代理单元71禁止处理器70处理被确定为异常的请求信号。这防止了控制总线10的安全性或信息总线20的安全性由于异常请求信号而降低。 [0081] 日志单元74存储从外部总线30或信息总线20接收到的请求信号作为日志数据。日志单元74可将从外部总线30或信息总线20接收到的请求信号连同时间信息一起存储,或者可存储处理结果(如统计处理)。日志单元74分析存储在其中的日志数据,并且基于分析的结果来确定从外部总线30或信息总线20接收到的请求信号是否存在异常。作为示例,日志单元74确定在日志数据中是否不存在被确定为不适当请求的请求信号。另外,日志单元74能够例如经由外部总线30或信息总线20将存储在其中的日志数据传送至车辆外部的日志分析器以分析请求信号。车辆外部的分析器可以是例如汽车制造商的产品的服务器。在这种情况下,车辆外部的日志分析器还可以例如确定从外部总线30或信息总线20接收到的请求信号是否存在异常。 [0082] 数据服务器单元75分析从外部总线30或信息总线20接收到的请求信号中的请求,并且响应于该请求而执行处理。数据服务器单元75能够响应于所接收到的请求信号而生成响应信号。数据服务器单元75包括从控制总线10定期地获取控制总线10的车辆信息并存储所获取的信息的存储装置(未示出)。例如如果请求信号请求车辆速度作为控制总线10的车辆信息,则数据服务器单元75从控制总线10直接获取车辆速度或者从存储从控制总线20获取的车辆速度的存储装置间接获取车辆速度。数据服务器单元75响应于该请求而生成响应信号,并且将所得到的响应信号传送至外部总线30中的传送源。 [0083] 数据服务器单元75也能够从暂时存储控制总线10中的车辆信息的、控制网关50中的消息缓冲器(参见图6)获取控制总线10中的车辆信息。数据服务器单元75可将尝试获取控制总线10中的车辆信息的通信消息传送至控制总线10中的ECU,然后获取从ECU返回的通信消息中的预期车辆信息。 [0084] 图5至图9描述了基于非军事区60的本实施例的信息处理装置的操作。为了描述非军事区60的各种操作,出于说明目的,随着场合出现,可给予控制总线10、信息总线20和外部总线30除了上述结构外的结构。 [0085] 图5示出了处理器70为了对外部装置进行认证而执行的处理。 [0086] 如图5所示,可连接至因特网W的无线通信单元33连接至外部总线30。无线通信单元33经由数据链路连接器32或不同的连接器连接至外部总线30。无线通信单元33是可以保留至因特网W的通信路径的装置,其例如是智能电话、移动电话、无线LAN的从单元或无线路由器。 [0087] 假设经由外部总线30从连接至因特网W的外部装置(未示出)传送请求开始与控制总线10进行通信的请求信号MA1。首先,第三防火墙单元64确定是否允许请求信号MA1通过。如果允许通过,则将请求信号MA1传送至代理单元71。禁止从外部总线30输入的请求信号MA1通过第一防火墙单元62和第二防火墙单元63,使得其将不被传送至控制总线10和信息总线20。所传送的请求信号MA1是请求开始与控制总线10进行通信的通信消息。因而,代理单元71确定应该对请求信号MA1的传送源进行认证,因此其要求认证单元72执行认证处理。 已被要求执行认证处理的认证单元72基于特定的认证过程执行用以对作为请求信号MA1的传送源的外部装置进行认证的认证处理,并且向代理单元71通知认证结果。如果对请求信号MA1的传送源进行认证,则代理单元71允许处理器70处理从外部装置传送的通信消息。如果例如从外部装置接收到请求作为控制总线10中的控制信息的车辆信息的请求信号,则代理单元71要求数据服务器单元75处理请求信号。如果未对请求信号MA1的传送源进行认证,则代理单元71禁止处理器70处理从外部装置传送的请求信号。 [0088] 每当从尚未经认证单元72认证的传送源接收到请求控制总线10中的车辆信息的请求信号时,代理单元71请求认证单元72执行对请求信号的传送源进行认证的认证处理。代理单元71允许处理器70在认证单元72对传送源进行认证的条件下处理请求车辆信息的请求信号。在认证处理期间,监控单元73监控请求信号在外部装置与认证单元72之间如何表现。如果请求信号表现正常,则监控单元73使得认证单元72继续认证处理。当确定请求信号表现可疑,则监控单元73使得认证单元72停止对请求信号进行认证的认证处理。通过停止而不对请求信号的传送源进行认证。在这种情况下,即使从传送源接收到请求信号,代理单元71也禁止处理。具体地,代理单元71禁止处理器70的处理。 [0089] 图6示出了响应于来自外部装置的请求而传送控制总线10中的车辆信息的处理。假设外部装置已通过图5所示的认证处理进行认证。 [0090] 车辆1接收经由外部总线30从连接至因特网W的外部装置(未示出)传送的、从控制总线10请求车辆信息的请求信号MB1。第三防火墙单元64确定是否允许请求信号MB1通过。如果允许通过,将请求信号MB1传送至代理单元71。基于外部装置已被认证并且请求信号MB1是请求控制总线10中的车辆信息的通信消息的状况,代理单元71将请求信号MB1的传送目的地改变为数据服务器单元75。具体地,代理单元71请求数据服务器单元75处理请求信号MB1。 [0091] 数据服务器单元75分析从代理单元71传送的请求信号MB1,并且获取在请求信号MB1中请求的车辆信息。数据服务器单元75生成尝试从控制总线10取回(retrieve)所获取的车辆信息的通信消息MB2,并且将所生成的通信消息MB2传送至代理单元71。代理单元71将所接收到的通信消息MB2传送至控制总线10。第一防火墙单元62确定是否允许通信消息MB2通过。如果允许通过,则通过通信总线41将通信消息MB2输入至控制网关50。此时,在通信消息MB2是从处理器70至控制总线10的通信消息的情况下,第一防火墙单元62允许通信消息MB2通过。控制网关50从消息缓冲器501取回在通信消息MB2中请求的车辆信息,生成包含所取回的车辆信息的返回通信消息MB3,并且将通信消息MB3传送至数据服务器单元75。第一防火墙单元62还确定是否允许通信消息MB3通过。如果允许通过,将通信消息MB3输入至代理单元71并且从代理单元71传送至数据服务器单元75。此时,在通信消息MB3是从控制总线10至处理器70的通信消息的条件下,第一防火墙单元62还允许通信消息MB3通过。 [0092] 接收到通信消息MB3的数据服务器单元75从通信消息MB3获取车辆信息,并且生成包含所获取的车辆信息的响应信号MB4作为对请求车辆信息的请求信号MB1作出响应的消息。具体地,生成响应信号MB4作为可以传送至外部总线30的通信消息。数据服务器单元75将所生成的响应信号MB4传送至代理单元71。如果需要,则代理单元71处理和/或改变所接收到的响应信号MB4的传送源或传送目的地。然后,代理单元71将响应信号MB4传送至连接至外部总线30的、作为请求信号MB1的传送源的外部装置。第三防火墙单元64确定是否允许响应信号MB4通过。如果允许通过,则将响应信号MB4传送至外部总线30。此时,在响应信号MB4是从处理器70至外部总线30的通信消息的条件下,第三防火墙单元64允许响应信号MB4通过。 [0093] 日志单元74获取与请求信号MB1有关的日志数据。作为示例,日志单元74在从开始与外部装置进行通信直到通信结束的时段内获取日志数据。在通信结束的条件下,日志单元74分析日志数据以确定不适当的通信是否存在或者将日志数据递送至外部日志分析器。连接路径或连接线路的建立被认为是指示通信开始的现象。连接路径或连接线路的切断被认为是指示通信结束的现象。如果不需要事后确定,则可省略日志单元74对日志数据的获取。 [0094] 图7示出了响应于来自外部装置的请求而连续地传送控制总线10中的车辆信息的处理。这里,假设已通过图5所示的认证处理对外部装置进行认证并且已通过图6所示的处理将连续地请求信息的信号传送至作为连续地请求信息的信号的传送目的地的、控制总线10中的ECU。 [0095] 符合以太网(注册商标)标准的通信总线17还连接至控制网关50。另外,四个摄像装置(具体地,FR(右前)摄像装置171、FL(左前)摄像装置172、RR(右后)摄像装置173和RL(左后)摄像装置174)连接至通信总线17。摄像装置171至174均是用以捕获车辆1外部的车辆的图像的摄像装置。FR摄像装置171捕获车辆1的右前侧的图像。FL摄像装置172捕获车辆1的左前侧的图像。RR摄像装置173捕获车辆1的右后侧的图像。RL摄像装置174捕获车辆1的左后侧的图像。作为示例,FL摄像装置172接收连续地请求经由代理单元71、第一防火墙单元62和控制网关50传送的信息的信号。连续地请求信息的该信号是连续地请求数据服务器单元75生成的车辆信息的请求信号。作为示例,连续地请求信息的信号包括请求以短间隔连续地传送摄像装置所捕获的图像的请求顺序。代理单元71记住连续地请求信息的信号已被传送至FL摄像装置172的事实。 [0096] 在接收到连续地请求信息的信号时,FL摄像装置172响应于连续地请求信息的信号中的请求顺序而定期地生成并传送包括所捕获的图像的返回通信消息MC1。具体地,FL摄像装置172实时地传送运动图像。FL摄像装置172以允许经由IP(因特网协议)传送通信消息MC1的方式生成通信消息MC1。来自FL摄像装置172的通信消息MC1经由控制网关50被传送至第一防火墙单元62。第一防火墙单元62确定是否允许通信消息MC1通过。如果允许通过,则将通信消息MC1传送至代理单元71。此时,在通信消息MC1是从控制总线10至处理器70的通信消息的条件下,第一防火墙单元62允许通信消息MC1通过。当由代理单元71确定通信消息MC1是对连续地请求传送至FL摄像装置172的信息的信号的通信消息作出响应的消息时,代理单元71在需要的情况下处理和/或改变通过改变与通信消息MC1的传送目的地或传送源有关的信息而得到的响应信号MC2。代理单元71将在被处理和/或改变之后的响应信号MC2经由第三防火墙单元64传送至外部总线30中的外部装置。第三防火墙单元64确定允许响应信号MC2通过。如果允许通过,则将响应信号MC2传送至外部总线30。此时,在响应信号MC2是从处理器70至外部总线30的通信消息的条件下,第三防火墙单元64允许响应信号MC2通过。代理单元71以上述方式处理通信消息。这保护数据服务器单元75不会例如由于连续地传送的车辆信息而引起处理负荷增加。在连续地传送车辆信息时,通过代理单元71中的处理将来自控制总线10的通信消息MC1改变为响应信号MC2并接着输出。这使得响应信号从处理器 70传递至外部总线,而不涉及第三防火墙单元64的管制条件的改变。具体地,这不涉及例如第三防火墙单元64的管制条件的改变。因而,相对于外部总线30的控制总线10的安全性和信息总线20的安全性保持在高级别。 [0097] 图8示出了在信息总线20中响应于来自信息提供服务器MS的请求而传送车辆信息作为控制总线10中的控制信息的处理。这里,假设已通过图5所示的认证处理对信息提供服务器MS进行了认证。 [0098] 车辆1经由信息总线20中的无线通信单元23连接至信息提供服务器MS(如,导航系统)。车辆1从信息提供服务器MS接收器请求控制总线1中的车辆信息的请求信号MD1。第二防火墙单元63确定是否允许请求信号MD1通过。如果允许通过,则将请求信号MD1传送至代理单元71。信息提供服务器MS已被认证。因而,代理单元71将请求信号MD1的传送目的地改变为数据服务器单元75。具体地,代理单元71请求数据服务器单元75处理请求信号MD1。数据服务器单元75分析从代理单元71传送的请求信号MD1。已经由信息总线20通过的请求信号MD1通常要被传送至制造商的信息提供服务器MS,因此认为请求信号MD1的安全性高于因特网的安全性。因而,请求信号MD1的安全性被认为高于经由因特网的消息的安全性。 [0099] 数据服务器单元75经由代理单元71和第一防火墙单元62将预期基于请求信号MD1获取车辆信息的通信消息MD2传送至控制总线10。控制总线10中的控制网关50从消息缓冲器501获取通信消息MD2,并且生成包含在通信消息MD2中请求的车辆信息的返回通信消息MD3。控制网关50将通信消息MD3经由第一防火墙单元62和代理单元71传送至数据服务器单元75。数据服务器单元75生成包含从通信消息MD3获取的车辆信息的响应信号MD4,并且经由代理单元71将响应信号MD4传送至信息总线20。响应信号MD4是对请求信号MD1作出响应的消息,意味着请求信号MD1已请求响应信号MD4中的车辆信息。 [0100] 从信息总线20输入的请求信号MD1的安全性保持在相对高的级别。因而,本实施例的日志单元74未获取与请求信号MD1有关的日志数据。然而,日志单元74可获取与请求信号MD1有关的日志数据,分析所获取的日志数据,或者将日志数据递送至日志分析器。 [0101] 图9示出了响应于来自外部装置的请求而连续地传送控制总线10中的车辆信息的处理。这里,假设信息总线20中的下一代车辆内信息通信系统(IVI:车辆内娱乐系统(infotainment))24已被认证。车辆内娱乐系统24是安装在车辆1上的信息提供装置,并且提供广泛范围的功能,包括电话功能、导航功能、音频功能以及连接因特网和/或在因特网上搜索的功能。如图7所示,四个摄像装置(具体为FR摄像装置171、FL摄像装置172、RR摄像装置173和RL摄像装置174)连接至符合以太网(注册商标)标准的控制网关50中的通信总线17。 [0102] 通过遵循图6所示的方式,已将从信息总线20连续地请求信息的信号传送至控制总线10中的FL摄像装置172。具体地,数据服务器单元75响应于来自车辆内娱乐系统24的通信消息而生成的通信消息已经由代理单元71、第一防火墙单元62和控制网关50被传送至FL摄像装置172。FL摄像装置172响应于连续地请求信息的信号而以短间隔继续传送捕获的图像。代理单元71记住了连续地请求车辆信息的通信消息已被传送至FL摄像装置172的事实。另外,响应于该通信消息的传送,代理单元71改变第二防火墙单元63的管制条件,以使得允许从控制总线10至信息总线20的通信消息通过。控制总线10的安全性高于信息总线20的安全性。因此,第二防火墙单元63的管制条件的这种改变与对信息总线20的安全级别的降低的担心无关。 [0103] 响应于连续地请求车辆信息的通信消息,FL摄像装置172定期地生成并传送响应信号ME1作为包含所捕获的图像的响应通信消息。FL摄像装置172以允许响应信号ME1经由因特网协议传送的方式生成响应信号ME1。来自FL摄像装置172的响应信号ME1经由控制网关50传递至第一防火墙单元62,并且第一防火墙单元62允许响应信号ME1通过。已通过第一防火墙单元62的响应信号ME1通过内部总线61被传送至代理单元71和第二防火墙单元63。第二防火墙单元63允许所接收到的响应信号ME1通过,使得响应信号ME1被传送至信息总线 20。响应信号ME1经由信息总线20被输入至作为请求信号的传送源的车辆内娱乐系统24。响应信号ME1从第二防火墙单元63被直接传送至信息总线20,因此代理单元71不处理响应信号ME1。 [0104] 因而,防止了数据服务器单元75和代理单元71的处理负荷由于对从控制总线10连续地传送的响应信号ME1的处理而增加。仅允许来自控制总线10的响应信号ME1传送至信息总线20。具体地,不改变构成第二防火墙单元63的管制条件且与要输入的请求信号相关的管制条件以及第三防火墙单元64的管制条件。因而,确保了控制总线10的安全性以及信息总线20相对于外部总线30的安全性。 [0105] 如上所述,包括本实施例的信息处理装置的通信系统实现以下列出的优点。 [0106] (1)控制总线10与连接至例如因特网或信息终端的外部总线30隔离。控制总线10还与连接至信息装置(诸如,导航系统或音频系统)的信息总线20隔离。这有利地确保了向控制总线10传递和从控制总线10传递对于车辆1的行进而言重要的车辆信息(具体地,控制信息)的控制总线10的安全性。 [0107] 处理器70经由第一防火墙单元62、第二防火墙单元63或第三防火墙单元64连接至控制总线10、信息总线20或外部总线30。因而,可以经由处理器70将控制总线10中的信息传送至信息总线20和外部总线30,同时不直接从信息总线20和外部总线30访问控制总线10。 [0108] 这例如在允许控制总线10和信息总线20彼此通信以及允许控制总线10和外部总线30彼此通信的同时有利地确保了控制总线10相对于外部总线30的安全性。 [0109] 处理器70介入从控制总线10对信息的获取。因而,即使不符合控制总线10的协议的请求信号仍允许外部总线30获取控制总线10中的信息。 [0110] 车辆1通常设置有所要求的安全级别彼此不同的至少三个网络,具体地为控制总线10、信息总线20和外部总线30。具体地,车辆1设置有要求处于高安全级别的控制总线10、不要求安全级别与控制总线10的安全级别一样高的信息总线20以及发现难以确保其安全性的外部总线30。在该实施例中,为这些单元准备不同的防火墙,使得可以适当地确定在每个总线中应该确保的安全级别。 [0111] (2)从外部总线30或信息总线20接收到的请求信号未直接流入控制总线10,而是由处理器70以预定方式进行处理。这有利地保持了至少控制总线10的安全性。在车辆1中,处理器70基于接收到的请求信号获取车辆信息(诸如,控制总线10中的车速信息或传感器信息),并且生成对请求信号作出响应且包含车辆信息的响应信号。因而,即使来自不同网络的请求信号未流入控制网络,仍将在请求信号中请求的信息在响应信号中传送至不同网络中的请求信号的传送源。 [0112] 处理器70处理例如从外部总线30接收到的请求信号。这不要求请求信号符合控制总线10的协议,例如在外部总线30中。因而,外部总线30和信息总线20可以容易地获取控制总线10中的车辆信息。 [0113] (3)从控制总线10获取车辆信息。例如,每当例如从外部总线30接收到请求信号时,从控制总线10获取车辆信息。因此,从而可以增加车辆信息与所接收到的请求信号的实时对应关系。 [0114] (4)从数据服务器单元75的存储装置获取车辆信息。基于从控制网络获取的控制信息来生成对从外部网络或信息网络接收到的请求信号作出响应的响应信号,并将其存储在存储装置中。这缩短了在传送响应于接收到的请求信号而生成的响应信号之前经过的时间,从而提高响应信号对请求信号的响应性。 [0115] (5)例如来自外部总线30的请求信号立刻进入代理单元71。这可以保持与控制总线10中的传送目的地有关的信息不被外部总线30发现。结果,可以确保控制总线10的安全性处于更高级别。 [0116] 数据服务器单元75负责对请求信号的处理。因而,即使例如来自外部总线30的请求信号不被传送至控制总线10,也可以生成对请求信号作出响应的响应信号。这也将控制总线10保持在高安全级别。 [0117] (6)处理器70执行仅响应于从经认证的外部装置传送的请求信号而获取车辆信息的处理。因而,防止了例如未经认证的外部装置不正确地获取控制总线10中的车辆信息。这也可以将控制总线10保持在高安全级别。 [0118] (7)基于作为监控的结果而被确定为引发异常的请求信号来禁止车辆信息的获取。这也有助于提高控制总线10的安全性。 [0119] (8)按时间顺序或统计地存储请求信号作为日志数据。因而,可以确定例如由来自外部总线30的攻击而引起的异常请求信号是否存在。这可以有利地管理安装在车辆1上的通信系统,同时有助于控制总线10的安全性的进一步提高。 [0120] (9)处理器70可以适当地处理例如来自外部总线30的请求信号请求多条连续的车辆信息的情况。具体地,处理器70可以生成对请求信号作出响应的响应信号,同时随着场合出现而将多条车辆信息按顺序合并到按时间顺序存储在用作存储装置的数据服务器单元75中的响应信号。处理器70还可生成包含各条车辆信息的响应信号,各条车辆信息例如由以短间隔出现的各条信息或者按从控制总线10获取它们的顺序存储的分割的各条信息构成。这可以对获取多条车辆信息的请求作出响应,同时控制总线10保持在高安全级别。 [0121] (10)车辆的控制总线10的通信协议是CAN并且这不同于用作外部总线30的通信协议的因特网协议。因此,协议转换器511至514未布置在第一防火墙单元62侧而是在控制总线10中。虽然控制总线10的通信协议不同于外部总线30的通信协议,但是从外部总线30输入且由处理器70处理的请求信号被转换为控制总线10的通信协议。这允许外部总线30和控制总线10适当地在彼此之间传送信息。 [0122] (11)通过合并从控制总线10获取的控制信息而生成的响应信号被传递至信息总线20中的经认证的传送源。这能够减小处理器70上的处理负荷,同时允许作为信息总线20中的装置的信息提供服务器MS容易地且迅速地获取控制总线10中的车辆信息。 [0123] 其他实施例 [0125] 在上述实施例中,多个ECU连接至控制总线10和信息总线20。这不是唯一的示例。将一个或多个ECU连接至每条总线就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0126] 在上述实施例中,ECU连接至控制总线10和信息总线20。然而,这不是唯一的示例。不同于ECU的信息处理单元可连接至每条总线,只要该信息处理单元可以通过通信总线与每条总线进行通信即可。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0127] 在上述实施例中,控制总线10包括CAN总线、局域互联网络总线和以太网(注册商标)总线。然而,这不是唯一示例。控制总线可包括诸如不同于CAN总线、局域互联网络总线和以太网(注册商标)总线的FlexRay(注册商标)的通信标准的通信标准。提供CAN总线、局域互联网络总线和以太网(注册商标)总线和与控制总线中的前述总线不同的总线中的至少一个就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0128] 在前述实施例中,多条通信总线(包括总线11至16和17)设置在控制总线10中。然而,这不是唯一的示例。在控制总线中设置至少一条通信总线就足够了。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0129] 在上述实施例中,控制网关50包括传动系网关51、底盘网关52、安全性网关53和车身网关54。然而,这不是唯一的示例。控制网关可包括传动系网关、底盘网关、安全性网关和车身网关中的至少一个。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0130] 在上述实施例中,控制网关50包括分开设置的传动系网关51、底盘网关52、安全性网关53和车身网关54。然而,这不是唯一的示例。控制网关可包括传动系网关、底盘网关、安全性网关和车身网关中的两个或更多个的一体化结构。这有助于提高包括信息处理装置的通信系统的设计灵活性。 [0131] 在上述实施例中,非军事区60和控制网关50被示为一体地设置在中央网关40中。在这种情况下,如果非军事区60和控制网关50的功能被分配给中央网关40中的处理器并且所有总线借助于例如软件而逻辑上隔离,则任何功能的改变使诸如涉及整个中央网关40的软件的设计改变或更新成为必要。因此,非军事区和控制网关可分开布置。 [0132] 例如,非军事区60和控制网关50A可如图10所示那样分开地设置。控制网关50A具有集成包括传动系网关、底盘网关、安全性网关和车身网关的四个网关的结构。具体地,用以实现非军事区60的功能的处理器和用以实现控制网关50A的功能的处理器可在物理上隔离。这仅仅使诸如涉及经受功能上的改变的处理器的软件的设计改变或更新的任务成为必要,从而有助于提高包括信息处理装置的通信系统的设计灵活性。 [0133] 如图11中进一步示出,控制总线10可包括由设置在相应通信总线上的不同处理器构成的网关(交换机)51A至54A。在这种情况下,在一条通信总线中发生的规范的改变可以例如仅通过改变对应的网关(交换机)的设计来处理。这有助于包括信息处理装置的通信系统的设计灵活性的提高或适用范围的扩大。 [0134] 在上述实施例中,控制网关50包括消息缓冲器501。然而,这并不是唯一的示例。控制网关不一定需要包括任意消息缓冲器。在通信总线上的网关可包括相应的消息缓冲器。每当车辆信息的传递在通信总线之间变得必要时,可从目标ECU传送车辆信息。这有助于包括信息处理装置的通信系统的设计灵活性的提高或适用范围的扩大。 [0135] 在上述实施例中,控制总线10中的车辆信息被示为从控制总线10中的ECU或从控制网关50中的消息缓冲器501获取。期望从ECU获取的车辆信息是最新信息,并且期望从消息缓冲器501获取的车辆信息实现迅速的响应。然而,这不是唯一的示例。控制总线中的车辆信息可仅从控制总线中的ECU获取或者从控制网关中的消息缓冲器获取。在任一情况下,在由与车辆信息的获取相关的处理器执行的处理中不产生显著差异。因而,处理器可以有利地对这两种情况作出响应。 [0136] 在上述实施例中,控制总线10中的车辆信息由信息总线20获取。然而,这不是唯一的示例。信息总线可为控制总线中的ECU设置参数。车上信息总线一般保持在比外部总线的安全级别高的安全级别。具体地,信息总线的安全性保持在特定级别。这允许信息总线将用于数据设置的设置数据传送至控制总线中的控制装置。即使允许信息总线为控制总线中的ECU设置参数,控制总线的安全性一般仍保持在适当级别。结果,可以容易地管理连接至控制总线的控制装置,同时保持控制总线相对于外部总线的安全性。 [0137] 在上述实施例中,连续的各条车辆信息是摄像装置图像,具体为运动图像。然而,这不是唯一的示例。连续的各条车辆信息可以是多段大规模数据。这有助于信息处理装置的适用范围的扩大。 [0138] 在上述实施例中,日志单元74被示为允许分析日志数据并将日志数据传送至外部日志分析器。具体地,日志单元可仅分析日志数据或者将日志数据传送至外部日志分析器。日志单元可执行日志数据的分析以及将日志数据传送至日志分析器这两者。在任何情况下,基于日志数据以事后方式分析请求信号是否存在异常。这有助于提高信息处理装置的设计灵活性。 [0139] 在上述实施例中,日志单元74或日志分析器以事后方式分析日志数据。然而,这不是唯一的示例。日志单元或日志分析器可实时地分析日志数据。这有助于提高信息处理装置对异常通信消息的响应性。 [0140] 在上述实施例中,处理器70包括认证单元72、监控单元73和日志单元74。然而,这不是唯一的示例。可从处理器省略认证单元、监控单元和日志单元中的全部或一些。这有助于提高信息处理装置的设计灵活性。 [0141] 在上述实施例中,认证单元72在与例如外部装置开始进行通信时对外部装置进行认证。然而,这不是唯一的示例。当从外部装置接收到的请求车辆信息的信号时,认证单元可基于所接收到的请求信号开始认证处理。作为示例,认证单元可在接收到请求车辆信息的信号时开始认证处理,并且可向外部装置要求认证所需的信息。如果请求车辆信息的信号是用于认证的给定数据,则认证单元可对请求车辆信息的信号执行认证处理。这有助于信息处理装置的适用范围的扩大。 [0142] 在上述实施例中,代理单元71基于认证单元72的认证结果或者监控单元73的监控结果来更新代理单元71中的与不正确的传送源有关的信息。然而,这不是唯一的示例。代理单元中的与不正确的传送源有关的信息可由认证单元72基于认证单元72本身的认证结果或者监控单元基于监控单元本身的监控结果来更新。这有助于提高信息处理装置的设计灵活性。 [0143] 在上述实施例中,处理器70包括分开地设置的代理单元71和数据服务器单元75。然而,这不是唯一的示例。代理单元和数据服务器单元可被一体地配置,只要其功能通过该配置来实现即可。这有助于提高信息处理装置的设计灵活性。 [0144] 在上述实施例中,基于传送源或传送目的地的地址来确定第一至第三防火墙单元62至64的管制条件。然而,这不是唯一的示例。可不基于传送源或传送目的地地址而是基于通信消息的内容来确定每个防火墙单元的管制条件,或者也可基于传送源或传送目的地的地址以及通信消息的内容来确定每个防火墙单元的管制条件。这提高了在确定防火墙的通信管制上的灵活性,使得可以更有利地防止不正确的通信消息进入非军事区。 [0145] 在上述实施例中,非军事区60包括三个防火墙单元,其包括第一至第三防火墙单元62至64。然而,这不是唯一的示例。设置在非军事区中的防火墙可被配置成基于对应网络而分离或者相对于三个网络一体地设置,只要其功能通过该配置来实现即可。这有助于提高信息处理装置的设计灵活性。 [0146] 在上述实施例中,非军事区60包括分开地设置的第一至第三防火墙单元62至64和处理器70。然而,这不是唯一的示例。防火墙单元和处理器可被一体地配置,只要该配置实现防火墙现单元和处理器的相应功能即可。这有助于提高信息处理装置的设计灵活性。 [0147] 在上述实施例中,从控制总线10获取车辆信息。然而这不是唯一的示例。可从控制总线获取与车辆的控制无关的信息,具体为除了车辆信息外的控制信息。这有助于扩大信息处理装置的适用范围。 [0148] 在上述实施例中,诸如控制总线10、信息总线20和外部总线30的总线网络构成对应网络。然而,这不是唯一的示例。每个网络可以是星形网络或环形网络。这有助于扩大包括信息处理装置的通信网络的适用范围。 [0149] 在上述实施例中,信息总线20和外部总线30符合以太网(注册商标)标准。然而,这不是唯一的示例。信息总线和外部总线可符合除了以太网(注册商标)标准外的通信标准,诸如CAN、局域互联网络或FlexRay的通信标准。这有助于扩大包括信息处理装置的通信系统的适用范围。 [0150] 在上述实施例中,三条总线连接至非军事区60。然而,这不是唯一的示例。四条或更多总线可连接至非军事区。这有助于扩大信息处理装置的适用范围。 [0151] 上述实施例主要旨在确保控制总线10的安全性。然而,这不是唯一的示例。以相同的方式确保信息总线的安全性。结果,信息处理装置有利地保持车辆的信息总线的安全性。 [0152] 在上述实施例中,车辆1是汽车。然而,这不是唯一的示例。信息处理装置可设置在除了汽车外的移动对象(诸如,船、铁路车辆、工业机器或机器人)中。这有助于包括信息处理装置的通信系统的适用范围的扩大。 [0153] 附图标记的描述 [0154] 1 车辆 [0155] 10 控制总线 [0156] 11 至14第一至第四CAN总线 [0157] 16 局域互联网络总线 [0158] 17 通信总线 [0159] 20 信息总线 [0160] 21 通信总线 [0161] 23 无线通信单元 [0162] 24 下一代车辆内信息通信系统(IVI) [0163] 30 以太网总线 [0164] 31 通信总线 [0165] 32 数据链路连接器(DLC) [0166] 33 无线通信单元 [0167] 40 中央网关 [0168] 41 通信总线 [0169] 50,50A 控制网关 [0170] 51 传动系网关 [0171] 52 底盘网关 [0172] 53 安全性网关 [0173] 54 车身网关 [0174] 51A至54A 网关 [0175] 60 非军事区(DMZ) [0176] 61 内部总线 [0177] 62至64 第一至第三防火墙(FW)单元 [0178] 70 处理器 [0179] 71 代理单元 [0180] 72 认证单元 [0181] 73 监控单元 [0182] 74 日志单元 [0183] 75 数据服务器单元 [0184] 111至113,131,132,141,142,161 电子控制单元(ECU) [0185] 171 FR摄像装置 [0186] 172 FL摄像装置 [0187] 173 RR摄像装置 [0188] 174 RL摄像装置 [0189] 211,213,214 ECU [0190] 212 以太网交换机 [0191] 501 消息缓冲器 [0192] 511 至514协议转换器 [0193] W 因特网 [0194] MS 信息提供服务器 |
||||||
QQ群二维码
意见反馈
意见反馈