车辆用电子控制装置.pdf

一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并对车载LAN进行访问来改写与车辆控制有关的程序，所述车辆用电子控制装置的特征在于，包括：认证终端，所述认证终端与所述外部装置分开，并且能够携带；车辆侧认证系统，所述车辆侧认证系统与所述车载LAN连接，进行所述认证终端的认证，并且能够将认证结果发送给所述车载LAN；中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；以及通信允许单元，所述通信允许单元与所述车载LAN连接，并在接收到所述车辆侧认证系统对所述认证终端的认证成功的认证结果时，允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。

权利要求书一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并对车载LAN进行访问来改写与车辆控制有关的程序，
所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统与所述车载LAN连接，进行所述认证终端的认证，并且能够将认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；以及
通信允许单元，所述通信允许单元与所述车载LAN连接，并在接收到所述车辆侧认证系统对所述认证终端的认证成功的认证结果时，允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
如权利要求1所述的车辆用电子控制装置，其特征在于，
所述中继装置具有不正当访问防止功能，
所述通信允许单元通过解除所述不正当访问防止功能来允许所述中继装置的通信。
如权利要求2所述的车辆用电子控制装置，其特征在于，
所述通信允许单元被组装到所述中继装置中。
如权利要求1所述的车辆用电子控制装置，其特征在于，
所述通信允许单元通过使所述中继装置工作来允许所述中继装置的通信，
在所述车辆侧认证系统对所述认证终端的认证不成功时，所述通信允许单元通过使所述中继装置不工作来禁止通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
如权利要求4所述的车辆用电子控制装置，其特征在于，
所述通信允许单元通过切换有无对所述中继装置的电力供应，来切换所述中继装置工作和不工作。
如权利要求1所述的车辆用电子控制装置，其特征在于，
所述认证终端是智能钥匙。
如权利要求1所述的车辆用电子控制装置，其特征在于，
所述车辆用电子控制装置具有连接器，所述连接器与所述中继装置连接，所述外部装置能够与所述连接器连接。
如权利要求1所述的车辆用电子控制装置，其特征在于，
所述认证终端向所述车辆侧认证系统发送核对请求信号，
所述车辆侧认证系统包括核对单元，所述核对单元接收所述核对请求信号，并通过将所述核对请求信号与预定代码信号进行核对来进行认证。
一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并访问车载LAN来改写与车辆控制有关的程序，
所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统与所述车载LAN连接，进行所述认证终端以及所述外部装置的认证，并且能够将所述认证终端以及所述外部装置的认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；
中继装置通电允许单元，所述中继装置通电允许单元与所述车载LAN连接，并在接收到所述车辆侧认证系统对所述认证终端的认证成功的认证结果时，向所述中继装置供应电力，而允许所述中继装置的通电；以及
通信允许单元，所述通信允许单元内置于所述中继装置中，并在通电状态下接收到所述车辆侧认证系统对所述外部装置的认证成功的认证结果时，允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
如权利要求9所述的车辆用电子控制装置，其特征在于，
所述中继装置具有不正当访问防止功能，
所述通信允许单元通过解除所述不正当访问防止功能来允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
如权利要求9所述的车辆用电子控制装置，其特征在于，
所述认证终端是智能钥匙。
如权利要求9所述的车辆用电子控制装置，其特征在于，
所述车辆用电子控制装置具有连接器，所述连接器与所述中继装置连接，所述外部装置能够与所述连接器连接。
如权利要求9所述的车辆用电子控制装置，其特征在于，
所述认证终端向所述车辆侧认证系统发送核对请求信号，
所述车辆侧认证系统包括核对单元，所述核对单元接收所述核对请求信号，并通过将所述核对请求信号和预定代码信号进行核对来进行认证。
一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并访问车载LAN来改写与车辆控制有关的程序，所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统能够进行所述认证终端以及所述外部装置的认证，在所述认证终端的认证成功时，进行所述外部装置的认证，并将所述外部装置的认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；以及
通信允许单元，所述通信允许单元与所述车载LAN连接，在接收到所述车辆侧认证系统对所述外部装置的认证成功的认证结果时，向所述中继装置供应电力使所述中继装置工作，而允许所述中继装置的通信。
如权利要求14所述的车辆用电子控制装置，其特征在于，
所述认证终端是智能钥匙。
如权利要求14所述的车辆用电子控制装置，其特征在于，
所述车辆用电子控制装置具有连接器，所述连接器与所述中继装置连接，所述外部装置能够与所述连接器连接。
如权利要求14所述的车辆用电子控制装置，其特征在于，
所述认证终端向所述车辆侧认证系统发送核对请求信号，
所述车辆侧认证系统包括核对单元，所述核对单元接收所述核对请求信号，并通过将所述核对请求信号与预定代码信号进行核对来进行认证。

说明书车辆用电子控制装置
技术领域
本发明涉及车辆用电子控制装置，特别地涉及能够通过使外部装置与车辆侧连接并对车载LAN进行访问来改写与车辆控制有关的程序的车辆用电子控制装置。
背景技术
以往，已知有防止车辆用控制单元的包括软件的车辆信息的存储内容由于程序改写工具的不正当使用被使用资格者以外的人改写的车辆信息改写系统(例如，参照专利文献1)。该专利文献1中记载的车辆信息改写系统被构成为：在改写工具中设置用于检测改写工具的使用资格者所携带的无线认证介质的无线查询单元，能够从改写工具侧与无线认证介质进行认证。
专利文献1：日本专利文献特开2008‑59450号公报
发明内容
本发明所要解决的技术问题
然而，在上述的专利文献1中记载的车辆信息改写系统中，由于对车辆侧的认证系统的访问未被禁止，因此，在其他的外部装置被连接到车辆的情况下，中继车载LAN和外部装置的中继装置进行了对车载LAN的通信的中继。因此，存在以下问题：当不正当的外部装置被连接到车辆时认证被跳过导致车辆信息有可能被改写。
因此，本发明的目的在于提供一种车辆用电子控制装置，通过进行使用者和车辆之间的认证，在连接不被允许的使用者将外部装置连接到车辆时，即使使用任何的外部装置，都能够禁止外部装置对车载LAN的访问，因此具有高安全性。
本发明所要解决的技术问题
本发明的一个方式提供一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并对车载LAN进行访问来改写与车辆控制有关的程序，
所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统与所述车载LAN连接，进行所述认证终端的认证，并且能够将认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；以及
通信允许单元，所述通信允许单元与所述车载LAN连接，并在接收到所述车辆侧认证系统对所述认证终端的认证成功的认证结果时，允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
本发明的另一方式提供一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并访问车载LAN来改写与车辆控制有关的程序，
所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统与所述车载LAN连接，进行所述认证终端以及所述外部装置的认证，并且能够将所述认证终端以及所述外部装置的认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；
中继装置通电允许单元，所述中继装置通电允许单元与所述车载LAN连接，并在接收到所述车辆侧认证系统对所述认证终端的认证成功的认证结果时，向所述中继装置供应电力，而允许所述中继装置的通电；以及
通信允许单元，所述通信允许单元内置于所述中继装置中，并在通电状态下接收到所述车辆侧认证系统对所述外部装置的认证成功的认证结果时，允许通过所述中继装置在所述车载LAN和所述外部装置之间进行通信。
本发明的又一方式提供一种车辆用电子控制装置，所述车辆用电子控制装置能够通过使外部装置与车辆连接并访问车载LAN来改写与车辆控制有关的程序，所述车辆用电子控制装置的特征在于，包括：
认证终端，所述认证终端与所述外部装置分开，并且能够携带；
车辆侧认证系统，所述车辆侧认证系统能够进行所述认证终端以及所述外部装置的认证，在所述认证终端的认证成功时，进行所述外部装置的认证，并将所述外部装置的认证结果发送给所述车载LAN；
中继装置，所述中继装置中继所述外部装置和所述车载LAN之间的通信；以及
通信允许单元，所述通信允许单元与所述车载LAN连接，在接收到所述车辆侧认证系统对所述外部装置的认证成功的认证结果时，向所述中继装置供应电力使所述中继装置工作，而允许所述中继装置的通信。
发明效果
根据本发明，能够抑制对车辆用电子控制装置的不正当访问，能够确保很高的安全性。
附图说明
图1是示出本发明的实施例1涉及的车辆用电子控制装置的处理流程的一例的图。
图2是示出实施例1涉及的车辆用电子控制装置的处理流程的一例的图。
图3是实施例1涉及的车辆用电子控制装置的追加的效果的说明图。
图4是示出本发明的实施例2涉及的车辆用电子控制装置的一例的系统构成图。
图5是示出实施例2涉及的车辆用电子控制装置的处理流程的一例的图。
图6是示出本发明的实施例3涉及的车辆用电子控制装置的一例的系统构成图。
图7是示出实施例3涉及的车辆用电子控制装置的处理流程的一例的图。
图8是示出本发明的实施例4涉及的车辆用电子控制装置的一例的系统构成图。
图9是示出实施例4涉及的车辆用电子控制装置的处理流程的一例的图。
符号说明
10          智能钥匙
20          车辆
30          车载LAN
40、42、44  车辆侧认证系统
41、43、45  核对ECU
50、51、52  ECU
60、63      中继装置
61          不正当访问防止单元
62          通信允许单元
70、73      电源ECU
71          开关
72          电源
80          连接器
90          外部装置
具体实施方式
以下，参照附图进行对用于实施本发明的实施方式的说明。
实施例1
图1是示出本发明的实施例1涉及的车辆用电子控制装置的一例的系统构成图。在图1中，实施例1涉及的车辆用电子控制装置包括智能钥匙10、车载LAN(Local Area Network：局域网)30、车辆侧认证系统40、各种ECU(Electronic Control Unit：电子控制单元)50、中继装置60、以及连接器80。其中，车辆侧认证系统40包括核对用ECU41，中继装置60包括不正当访问防止单元61和通信允许单元62。另外，在图1中，作为相关构成要素，示出了车辆20和外部装置90。智能钥匙10在车辆20的内部和车辆20的外部都能够使车辆移动，并且车载LAN30、车辆侧认证系统40、各种ECU50、中继装置60以及连接器80被设置在车辆20的内部。另外，外部装置90被设置在车辆20的外部，并且能够经由连接器80与车辆20连接。
智能钥匙10是能够携带的认证终端，并具有发送认证用的ID信号的功能。智能钥匙10向车辆侧认证系统40的核对ECU41发送核对请求信号，并请求核对ECU41核对ID代码。通过ID代码的核对，在智能钥匙10被认证为是被车辆20的正规的使用者使用的情况下，允许携带智能钥匙10的使用者进行车辆20的车门的锁定和解锁、发动机的起动等，并且能够在不将智能钥匙10插入钥匙孔进行机械的上锁和解锁工作的情况下，不进行任何操作或者仅通过简单的开关操作来进行车门的锁定和解锁、发动机的起动等操作。
另外，在本实施例涉及的车辆用电子控制装置中，根据使用者是否携带智能钥匙10，控制在外部装置90连接至车辆20时是否允许外部装置90与车载LAN30之间的通信。下面对这方面的具体的内容进行叙述。
在车辆20中，搭载有本实施例涉及的车辆用电子控制装置，并且作为构成要素，搭载有车载LAN30、车辆侧认证系统40、中继装置60以及连接器80。另外，各种ECU50也作为相关构成要素被搭载在车辆20内。
车载LAN30是搭载在车辆中的车辆内网络。具体而言，车载LAN30通过总线连接进行车辆的各种控制的电子控制单元之间，并形成网络。由此，能够在具有各功能的电子控制单元之间共享从各传感器等检测到的信号等各种信息。核对ECU41、各种ECU50以及中继装置60分别通过总线与车载LAN30连接，并且被构成为能够共享信息。
车辆侧认证系统40是用于进行智能钥匙10和车辆20的认证的单元。车辆侧认证系统40包括核对ECU41。核对ECU41一旦接收到智能钥匙10的核对请求信号，则核对ID代码，并认证是否是车辆20的正规的使用者。在ID代码一致时，将认证成功的认证结果发送给车载LAN30，在ID代码不一致时，将认证失败的认证结果发送给车载LAN30。此外，车辆侧认证系统40也可以构成为：仅在认证成功时将认证成功的认证结果发送给车载LAN30，在认证失败时不发送认证结果。
另外，车辆侧认证系统40除包括核对ECU41以外，还可以包括智能钥匙10的认证所需的各种功能和单元。
各种ECU50是具有执行车辆用电子控制装置的各种控制的功能的ECU。各种ECU50是示意性示出具有车辆的控制所需的功能的ECU的装置，也可以根据用途来设置各种ECU50。此外，各种ECU50也可以与车载LAN30连接，并且能够在车辆的控制时与其他的ECU50共享各种车辆信息。
中继装置60是用于进行外部装置90和车载LAN30之间的通信的通信中继单元。中继装置60是能够在网络上相互交换介质或协议不同的数据从而进行通信的装置。中继装置60例如能够识别OSI(Open Systems Interconnection：开放系统互连)参照模型的所有等级，吸收通信介质或传送方式的差异，从而进行不同机种间的连接。在本实施例中，中继装置60是设置在车载LAN30上，能够进行外部装置90和车载LAN30之间的通信，并且使得外部装置90能够访问车载LAN30的单元。
中继装置60可设为各种构成，例如，被构成为通道ECU，只要能够中继外部装置90和车载LAN30之间的通信即可。
中继装置60被构成为具有不正当访问防止功能。不正当访问防止功能是用于防止来自外部的不正当访问的功能，例如，具有过滤功能等。此外，不正当访问防止功能也可以通过组装到中继装置60内的不正当访问防止单元61来实现。
中继装置60除包括不正当访问防止单元61以外，还包括通信允许单元62。通信允许单元62是允许通过中继装置60在外部装置90和车载LAN30之间进行通信的单元。具体而言，通信允许单元62在从车载LAN30接收到智能钥匙10和车辆侧认证系统40之间的认证成功的认证结果时，允许中继装置60的通信，在接收到智能钥匙10和车辆侧认证系统40之间的认证失败的认证结果时，不允许中继装置60的通信。并且，在未接收到任何认证结果时，维持不允许中继装置60的通信的状态。
此外，在图1中，列举不正当访问防止单元61及通信允许单元62被组装到中继装置60中并构成为中继装置60的内部功能的例子进行了说明，但只要能够实现同样的功能，也可以构成为独立在中继装置60的外部。
连接器80是能够将外部装置90电连接到车辆侧的连接单元。连接器80可以使用各种连接单元，例如，也可以使用故障诊断用DLC3连接器，只要能够将外部装置90连接到车辆20侧即可。
外部装置90是具有通过与车辆的连接能够对与车辆用电子控制装置的车辆控制有关的程序进行改写的程序改写功能的装置。在本实施例中，外部装置90被描述为具有能够进行车辆20的故障诊断等的功能并且还具有程序改写功能的装置。
接下来，对具有上述的构成的实施例1涉及的车辆用电子控制装置的处理流程进行说明。
图2是示出实施例1涉及的车辆用电子控制装置的处理流程的一例的图。此外，在图2中，对于与在图1中说明的构成要素相同的构成要素，标记相同的附图标记，并省略对它们的说明。
在步骤S100中，从智能钥匙10向车辆侧认证系统40的核对ECU41发送核对请求信号。
在步骤S110中，接收到来自智能钥匙10的核对请求信号的核对ECU41进行ID代码的核对，并进行智能钥匙10和车辆20之间的认证。
在步骤S120中，核对ECU41将认证结果发送给车载LAN30。在认证成功的情况下，发送认证成功的认证结果(认证信息)，在认证失败的情况下，发送认证失败的认证结果(认证信息)。此外，也可以仅在认证成功时发送认证成功的认证结果。
在步骤S130中，中继装置60经由车载LAN30接收认证结果(认证信息)。
在步骤S140中，判断接收到的认证结果是认证OK(认证成功)的信息还是认证NO(认证失败)的信息。此外，认证信息的内容的确认可以通过中继装置60本身进行，也可以通过组装到中继装置60内部的通信允许单元61进行。
在步骤S140中，在判断为认证结果是认证OK的情况下，进行到步骤S150，在判断为认证结果不是认证OK的情况下，进行到步骤S160。
在步骤S150中，通信允许单元61允许通信，因此由不正当访问防止单元62执行的不正当访问防止功能被解除。由此，不正当访问防止单元62不工作，不进行过滤等，因此通过经由中继装置62的通信，处于能够访问车载LAN30的状态。之后，通过将外部装置90连接到连接器80，处于能够实施各种诊断的状态。另外，由于也能够进行与车载LAN30连接的各种ECU50的程序的改写等，因此可以根据需要执行程序的改写。
另一方面，在步骤S160中，通信允许单元61不允许通信，因而通信被禁止。具体而言，在由不正当访问防止单元62执行的不正当访问防止功能未被解除的情况下，即使外部装置90与连接器80连接，也处于不能访问车载LAN30的状态。
如此，根据实施例1涉及的车辆用电子控制装置，通过进行智能钥匙10和车辆20之间的认证，允许外部装置90对车载LAN30的访问，因此，无论使用任何外部装置90，只要使用者携带的智能钥匙10未被认证是车辆20的正规的使用者，就不允许访问。因此，能够提高车辆用电子控制装置的安全性。另外，在连接外部装置90时的认证中，由于利用智能钥匙10和车辆侧认证系统40而不是在外部装置90或中继装置60中设置新的认证系统，因此能够在不设置新的认证系统的情况下以低成本提高安全性。
图3是用于说明实施例1涉及的车辆用电子控制装置的追加效果的图。在图3中，车辆侧认证系统40的核对ECU41、各种ECU50～52、中继装置60被设置为与各个车载LAN30连接。例如，即使与中继装置60同样地在各种ECU50～52中包括需要与外部装置90之间的认证的ECU的情况下，通过经由车载LAN30接收来自核对ECU41的信号，各ECU50～52也能够具备认证功能，而无需内置多余的认证功能。
如此，在实施例1涉及的车辆用电子控制装置中，即使在对与外部装置90的连接需要认证的ECU50～52被包含在中继装置60以外的其他的装置的情况下，通过采用与中继装置60相同的系统构成，也能够以低成本提高安全性。
实施例2
图4是示出本发明的实施例2涉及的车辆用电子控制装置的一例的系统构成图。在图4中，实施例2涉及的车辆用电子控制装置具有智能钥匙10、车载LAN30、车辆侧认证系统40、各种ECU50、中继装置63、电源ECU70、电源71、以及连接器80。另外，车辆侧认证系统40具有核对ECU41。此外，作为相关构成要素，在图4中示出了车辆20和外部装置90。
在实施例2涉及的车辆用电子控制装置中，智能钥匙10、车辆20、车载LAN30、车辆侧认证系统40、核对ECU41、各种ECU50、连接器80以及外部装置90与实施例1涉及的车辆用电子控制装置相同，因此标记相同的附图标记，并省略对它们的说明。
实施例2涉及的车辆用电子控制装置与实施例1涉及的车辆用电子控制装置的不同之处在于，中继装置63不包含不正当访问防止单元61和通信允许单元62，并且新设置了电源ECU70、开关71、电源72。电源72经由开关71与中继装置63连接，电源ECU70被构成为能够控制开关71的接通和断开。
电源ECU70是控制电源71与中继装置63的连接与否、即电力供应的有无的单元，并作为允许由中继装置63在外部装置90和车载LAN30之间进行通信的通信允许单元发挥功能。并且，伴随于此，中继装置63成为在其内部不特别地包括通信允许单元的构成。
在实施例2涉及的车辆用电子控制装置中，根据中继装置63是工作还是不工作，来允许由中继装置63在外部装置90和车载LAN30之间进行通信。即，在允许中继装置63的通信的情况下，向中继装置63供应电力而使中继装置63工作，在不允许中继装置63的通信的情况下，切断向中继装置63的电力供应而使中继装置63不工作。如果在中继装置的工作过程中外部装置90与连接器80连接，则中继装置63中继外部装置90和车载LAN30之间的通信。另外，如果中继装置63不工作，则这种通信中继功能不工作，因此，即使外部装置90与连接器80连接，外部装置90也处于不能访问车载LAN30的状态。
如此，也可以通过电力供应的有无来控制允许由中继装置63进行通信。具体而言，这种电力供应的有无通过电源ECU70来控制。
即，在核对成功的认证结果从核对ECU41被发送给车载LAN30时，电源ECU70接收认证结果。然后，在认证结果为认证成功的情况下，电源ECU70使开关71接通，将电源72与中继装置63连接。由此，对中继装置63供应电力，中继装置63工作并中继外部装置90和车载LAN30之间的通信。
另一方面，在电源ECU70接收到的认证结果为认证失败的情况下，电源ECU70使开关71断开，使电源72不与中继装置63连接。由此，处于不向中继装置63供电的状态，中继装置63不工作，因此中继装置63不进行外部装置90和车载LAN30之间的通信中继，外部装置90不能访问车载LAN30。
如此，在实施例2涉及的车辆用电子控制装置中，电源ECU70作为通信允许单元发挥功能，并具有根据智能钥匙10和车辆20之间的认证结果来控制电源ECU70的通信允许或禁止的构成。接下来，对实施例2涉及的车辆用电子控制装置的工作进行说明。
图5是示出实施例2涉及的车辆用电子控制装置的处理流程的一例的图。此外，在图5中，对与在图4中说明的构成要素相同的构成要素，标记相同的附图标记，并省略对它们的说明。另外，对于与在实施例1的图2中说明的处理流程相同的步骤，标记相同的步骤号，并省略或简化对它们的说明。
在图5中，在步骤S100中，从智能钥匙10发送核对请求信号，在步骤S110中，通过车辆侧认证系统40的核对ECU41进行智能钥匙10的认证。在步骤S120中，核对ECU41将认证结果发送给车载LAN30。此外，步骤S100～步骤S120与实施例1的图2相同，因此标记相同的步骤号，并省略对它们的详细说明。
在步骤S131中，电源ECU70从车载LAN30的总线接收认证结果。
在步骤S141中，通过电源ECU70判断认证结果是否认证OK。如果认证结果为认证OK(认证成功)，则进行到步骤S151，如果认证结果是认证NO(认证失败)，则进行到步骤S161。
在步骤S151中，电源ECU70允许中继装置63的通信，使开关72接通而将电源72与中继装置63连接，并向中继装置63供应电力。由此，中继装置63工作并中继外部装置90和车载LAN30之间的通信。由此，通过由使用者将外部装置90与连接器80连接，而处于能够进行各种诊断的状态。另外，与实施例1相同地，各ECU的程序能够改写。
另一方面，在步骤S161中，电源ECU70不允许中继装置63的通信，使开关72断开而将电源72从中继装置63切断。由此，中继装置63保持非工作的状态，因此，不进行外部装置90和车载LAN30之间的通信的中继，即使外部装置90与连接器80连接，也不能访问车载LAN30。
如此，根据实施例2涉及的车辆用电子控制装置，通过对中继装置63的通电的有无，能够进行允许和禁止中继装置63的通信的控制工作，由此能够以简单的构成提高车辆用电子控制装置的安全性。
此外，在图4和图5中，通过电源72和中继装置63之间连接的有无，控制中继装置63的工作和不工作，但如果中继装置63中设置有电源开关，则也可以通过中继装置63的电源开关的接通和断开来切换中继装置63的工作和不工作。另外，也可以通过其他的各种方法来进行工作和非工作的切换，只要能够切换中继装置63的工作和不工作即可。
实施例3
图6是示出木发明的实施例3涉及的车辆用电子控制装置的一例的系统构成图。实施例3涉及的车辆用电子控制装置包括智能钥匙10、车辆侧认证系统42、各种ECU50、中继装置60、电源ECU70、开关71、电源72。并且，车辆侧认证系统42包括核对ECU43，中继装置60包括不正当访问防止单元61和通信允许单元62。另外，作为相关构成要素，在图6中示出了车辆20和外部装置90。
在实施例3涉及的车辆用电子控制装置中，智能钥匙10、车辆20、车载LAN30、各种ECU50、中继装置60、不正当访问防止单元61、通信允许单元62、电源ECU70、开关71、电源72、连接器80和外部装置90与实施例1、2涉及的车辆用电子控制装置相同，因此对各个内容标记相同的附图标记，并省略对它们的说明。
实施例3涉及的车辆用电子控制装置与实施例1、2的不同之处在于智能钥匙10和外部装置90均进行与车辆20之间的认证以及包括设置在中继装置60内的通信允许单元62并且包括在实施例2中作为通信允许单元使用的电源ECU70。而且，实施例3与实施例1、2的不同之处在于，核对ECU43构成具有不仅进行智能钥匙10和车辆20之间的认证还进行外部装置90和车辆20之间的认证的功能的车辆侧认证系统42。
车辆侧认证系统42的核对ECU43被构成为能够进行智能钥匙10以及外部装置90的认证。智能钥匙10的认证与实施例1、2同样地，接收来自智能钥匙10的核对请求信号并核对ID代码从而进行认证。另一方面，外部装置90的认证可以将智能钥匙10的认证成功作为条件进行，也可以独立地进行而与智能钥匙10的认证的成功和失败无关。
在将智能钥匙10的认证成功作为条件进行外部装置90的认证的情况下，在智能钥匙10的ID代码的核对结束并且认证成功之后，进行外部装置90的ID代码的核对。对于认证结果，可以以如下方式在每次认证时发送认证结果：在智能钥匙10的认证结束后将智能钥匙10的认证结果发送给车载LAN30，在外部装置90的认证结束后将外部装置90的认证结果发送给车载LAN30。
另一方面，在智能钥匙10的认证和外部装置90的认证相互独立的情况下，也可以以如下方式在每次认证时将认证结果发送给车载LAN30：在智能钥匙10的认证结束后将智能钥匙10的认证结果发送给车载LAN30，在外部装置90的认证结束后将外部装置90的认证结果发送给车载LAN30。
在此，为了便于理解，对将前者所述的在将智能钥匙10的认证结果发送给车载LAN30之后将外部装置90的认证结果发送给车载LAN30的例子进行说明。
首先，在从核对ECU43将认证结果发送给智能钥匙10时，电源ECU70接收该认证结果。然后，电源ECU70在接收到认证成功的认证结果时，电源ECU70使开关71接通，将电源72与中继装置60连接，从而允许中继装置60的通电。另一方面，在电源ECU70接收到智能钥匙10的认证失败的认证结果时，电源ECU70使开关71断开，使电源72不与中继装置60连接。即，电源ECU70进行不允许中继装置60的通电的处理。如此，在实施例3涉及的车辆用电子控制装置中，电源ECU70作为中继装置通电允许单元发挥功能。
在中继装置60的通电被允许的情况下，由于中继装置60因通电而工作，因此处于能够接收来自车载LAN30的信号的状态。因此，中继装置60或中继装置60中内置的通信允许单元62从车载LAN30接收外部装置90的认证结果。在外部装置90的认证结果为认证成功的情况下，通信允许单元62允许外部装置90和车载LAN30之间的通信，并解除不正当访问防止单元61的不正当访问防止功能。如此，过滤等不正当访问防止功能消除，通过将外部装置90与连接器80连接，处于外部装置90能够访问车载LAN的状态。
另一方面，在中继装置60或通信允许单元62接收到认证失败的认证结果的情况下，不允许由中继装置60在外部装置90和车载LAN30之间进行通信，并且不解除不正当访问防止功能。由此，继续处于外部装置90不能访问车载LAN30的状态。
如此，实施例3涉及的车辆用电子控制装置为下述的需要两个步骤的许可的构成：根据智能钥匙10和车辆20之间的认证成功的信息，电源ECU70允许中继装置60的通电，接下来，被通电的中继装置60接收外部装置90和车辆20之间的认证成功的认证信息，由此允许中继装置60的通信。由此，能够进一步提高安全性。
此外，在核对ECU43中，即使在智能钥匙10以及外部装置90的认证相互独立地进行的情况下，如果中继装置60的通电不被允许，则也无法接收外部装置90的认证成功的信息，因此在这种情况下也进行同样的两个步骤的处理。接下来，对实施例3涉及的车辆用电子控制装置的处理流程进行说明。
图7是示出实施例3涉及的车辆用电子控制装置的处理流程的一例的图。另外，对在图6中说明的构成要素标记相同的附图标记，并省略对它们的说明。
在步骤S200中，从智能钥匙10向车辆侧认证系统42的核对用ECU43发送核对请求信号。
在步骤S210中，在核对用ECU43中进行智能钥匙10的认证。
在步骤S220中，核对用ECU43将认证结果发送给车载LAN30。核对用ECU43发送认证结果是认证成功还是认证失败的认证信息。
在步骤S230中，电源ECU70接收认证结果。
在步骤S240中，进行是否认证OK(认证成功)的判断。在认OK的情况下，进行到步骤S250，在认证NO(认证失败)的情况下，进行到步骤S260。
在步骤S250中，通过电源ECU70使开关71接通，进行中继装置60的通电。
另一方面，在步骤S260中，通过电源ECU70使开关71断开而不进行中继装置60的通电。在该状态下，中继装置60不工作，由此结束处理流程。
在步骤S270中，在车辆侧认证系统42的核对ECU43中进行外部装置90的认证。
在步骤S280中，核对ECU43将外部装置90的认证结果(认证信息)发送给车载LAN30。
在步骤S290中，中继装置60主体或中继装置60内的通信允许单元62接收外部装置90和车辆20之间的认证结果。
在步骤S300中，判断外部装置90的认证结果是否是认证OK(认证成功)。在步骤S300中，在认证OK的情况下进行到步骤S310，在认证NO(认证失败)的情况下进行到步骤S320。
在步骤S310中，通信允许单元62允许通信，并且由不正当访问防止单元61执行的不正当访问防止功能被解除，由此结束处理流程。由此，处于能够经由中继装置60进行外部装置90和车载LAN30之间的通信的状态，因此，通过将外部装置90与连接器80连接，外部装置90能够访问车载LAN30。因此，通过与外部装置90的连接，能够进行各种诊断、ECU50的程序的改写。
在步骤S320中，通信允许单元62禁止通信，并且由不正当访问防止单元61执行的不正当访问防止功能被维持，由此结束处理流程。即使将外部装置90与连接器80连接，也不能访问车载LAN30，从而能够维持高安全性。
如此，根据实施例3涉及的车辆用电子控制装置，经过中继装置60的通电和中继装置60的通信允许这样的两步认证和处理，外部装置90能够访问车载LAN30，因此能够进一步提高安全性。
实施例4
图8是示出本发明的实施例4涉及的车辆用电子控制装置的一例的系统构成图。实施例4涉及的车辆用电子控制装置包括智能钥匙10、车辆侧认证系统44、各种ECU50、中继装置63、电源ECU73、开关71、电源72。并且，车辆侧认证系统44包括核对ECU45。此外，作为相关构成要素，在图8中示出了车辆20和外部装置90。
在实施例4涉及的车辆用电子控制装置中，智能钥匙10、车辆20、车载LAN30、各种ECU50、中继装置63、开关71、电源72、连接器80以及外部装置90与实施例2、3涉及的车辆用电子控制装置同样，因此对各个内容标记相同的附图标记，并省略对它们的说明。
实施例4涉及的车辆用电子控制装置与实施例3涉及的车辆用电子控制装置的共同之处在于，车辆侧认证系统44的核对ECU45对智能钥匙10以及外部装置90这两者进行认证，实施例4涉及的车辆用电子控制装置与实施例3涉及的车辆用电子控制装置的不同之处在于它的处理内容。另外，实施例4涉及的车辆用电子控制装置与实施例3涉及的车辆用电子控制装置的不同之处在于，中继装置63不包括不正当访问防止单元61以及通信允许单元62。
核对ECU45首先进行智能钥匙10的核对，如果智能钥匙10的认证成功，则进行外部装置90的认证。即，将智能钥匙10的认证成功作为条件进行外部装置90的认证。然后，仅针对外部装置90的核对结果，从核对ECU45向车载LAN30发送认证结果。
电源ECU73与实施例2、3涉及的电源ECU70的不同之处在于，接收外部装置90的认证结果，而不是接收智能钥匙10的认证结果。然而，电源ECU73与实施例2、3涉及的电源ECU70在下述的方面上相同：在接收到认证成功的认证结果的情况下，使开关71接通，将电源72与中继装置63连接，从而向中继装置63供应电力使其工作，在接收到认证失败的认证结果的情况下，使开关71断开，切断电源72，从而使中继装置63不工作。在这种情况下，电源ECU73与实施例2涉及的电源ECU70同样地，作为通信允许单元发挥功能。
如此，也可以将智能钥匙10和外部装置90这两者的认证作为条件，通过电力供应的有无来控制中继装置63的通信的许可。使用两步认证来提高安全性，并且能够使用简单的构成的中继装置63，以低成本提高安全性。
图9是示出实施例4涉及的车辆用电子控制装置的处理流程的一例的图。另外，对于与图8相同的构成要素，标记相同的附图标记，并省略对它们的说明。
在步骤S400中，从智能钥匙10向核对ECU45发送核对请求信号。
在步骤S410中，核对ECU45进行智能钥匙10的认证。智能钥匙10的认证也可以像通常那样使用ID代码来进行。
在步骤S420中，核对ECU45进行是否认证OK(认证成功)的判断。在认证NO(认证失败)的情况下，结束处理流程。另一方面，在认证OK的情况下，进行到步骤S430。
在步骤S430中，核对ECU45进行外部装置90的认证。外部装置90的认证也可以使用ID代码来进行。可被连接的外部装置90也可能为多种而不是一种，ID代码也可以与可被连接的外部装置90相对应地准备多个ID代码。
在步骤S440中，核对ECU45将外部装置90的认证结果发送给车载LAN30。
在步骤S450中，电源ECU73从车载LAN30接收外部装置90的认证结果。
在步骤S460中，电源ECU73进行接收到的认证结果是否是认证OK(认证成功)的判断。在认证OK的情况下，进行到步骤470，在认证NO(认证失败)的情况下，进行到步骤S480。
在步骤S470中，电源ECU73允许中继装置63的通信，使开关71接通，将电源72与中继装置62连接从而使中继装置63通电，并结束处理流程。由此，中继装置63开始中继通信的工作，外部装置90和车载LAN30处于能够通信的状态。通过由使用者将外部装置90与连接器80连接，外部装置90能够访问车载LAN30。使用者能够使用外部装置90进行各种诊断、各种ECU50的程序的改写。
在步骤S480中，电源ECU73禁止中继装置63的通信，使开关71断开，从中继装置63切断电源72，而使中继装置63处于非通电状态，由此结束处理流程。
如此，根据实施例4涉及的车辆用电子控制装置，对智能钥匙10和外部装置90这两者进行认证，因而提高了安全性，并且该车辆用电子控制装置具有通过电力供应的有无来控制中继装置63的通信允许和禁止的简单的结构，因此能够以低成本提高安全性。
工业上的可利用性
本发明可应用于利用车载网络来进行车辆的各种控制的车辆用电子控制装置。