中继装置的制作方法

本发明涉及连接至车载网络的中继装置。

背景技术：

第2007-038904号日本未审查专利申请公开(jp2007-038904a)描述了在车载网络(can总线1和can总线2)之间中继消息的网关ecu。jp2007-038904a中描述的网关ecu检查传入的消息的正常性，并且仅中继已经判断正常的消息。因此，网关ecu抑制了车载网络的负荷增加。

技术实现要素：

然而，如jp2007-038904a中所描述的，需要时间检查消息的正常性。因此，对于需要在最小延迟时间内中继的高优先级传递消息，在中继处理方法中有改进的余地。

本发明提供了能够在减少中继高优先级传递消息的时间的同时确保消息通信安全性的中继装置。

本发明的一方面涉及连接至车载网络的中继装置。所述中继装置包括：第一判断单元，其配置为：从外部装置接收消息，判断所接收的消息是否为包含需要在预定时间内发送至连接至所述车载网络的车载装置的数据的高优先级传递消息，并基于判断的结果通过预定路径发出所接收的消息；第二判断单元，其配置为判断获取的消息是否为由于未经授权入侵的未经授权的消息；以及中继处理单元，其配置为将所获取的消息至少中继至所述车载装置。所述第一判断单元配置为：当所述第一判断单元判断所接收的消息为所述高优先级传递消息时，通过从所述第一判断单元到所述中继处理单元的第一路径发出所述高优先级传递消息，而不经过所述第二判断单元。所述中继处理单元配置为：将通过所述第一路径获取的所述高优先级传递消息输出至所述第二判断单元和所述车载装置。所述第一判断单元配置为：当所述第一判断单元判断所接收的消息是不同于所述高优先级传递消息的正常优先级传递消息时，通过从所述第一判断单元经由所述第二判断单元到所述中继处理单元的第二路径，发出所述正常优先级传递消息至所述中继处理单元。所述中继处理单元配置为：将通过所述第二路径获取的所述正常优先级传递消息输出至所述车载装置。

利用上述方面的中继装置，在减少了中继高优先级传递消息的时间的同时确保了消息通信安全性。

在上述方面中，中继装置还可以包括保存单元和第三判断单元。保存单元可以设置在所述第二路径中，并配置为临时保存所述正常优先级传递消息。第三判断单元可以设置在所述第二路径中，并配置为：获取所述正常优先级传递消息，并判断所获取的正常优先级传递消息是否为满足预定条件的经授权的消息。所述保存单元可以配置为保存输出至所述第二路径的所述正常优先级传递消息。所述第三判断单元可以配置为在预定时刻从所述保存单元读取所述正常优先级传递消息。所述第三判断单元可以配置为：当所读取的正常优先级传递消息为经授权的消息时，将所述正常优先级传递消息输出至所述第二判断单元。

在上述方面中，所述第三判断单元可以配置为：当所述第二判断单元判断输出至所述第二路径的所述正常优先级传递消息为所述未经授权的消息时，丢弃所述正常优先级传递消息。

在上述方面中，所述中继处理单元可以配置为：当所述第二判断单元判断输出至所述第一路径的所述高优先级传递消息为所述未经授权的消息时，丢弃从所述车载装置接收到的作为对所述高优先级传递消息的响应的响应消息。

在上述方面中，所述第二判断单元可以配置为：当所述第二判断单元判断所述高优先级传递消息和所述正常优先级传递消息中的至少一者为所述未经授权的消息时，向所述第一判断单元提供所述高优先级传递消息和所述正常优先级传递消息中的至少一者为所述未经授权的消息的通知。

在上述方面中，所述中继装置还可以包括第四判断单元。所述第四判断单元可以配置为判断所述中继处理单元从所述车载装置接收的消息是否为所述高优先级传递消息。当所述第四判断单元判断所述中继处理单元从所述车载装置接收的所述消息为所述高优先级传递消息时，所述中继处理单元可以配置为复制所述高优先级传递消息，并将所述高优先级传递消息分别输出至所述第二判断单元和所述车载装置；并且，当所述第四判断单元判断所述中继处理单元从所述车载装置接收的所述消息为所述正常优先级传递消息时，所述第二判断单元可以配置为获取所述正常优先级传递消息。所述第二判断单元可以配置为：当所获取的正常优先级传递消息不是所述未经授权的消息时，将所述正常优先级传递消息输出至所述中继处理单元；并且所述中继处理单元可以配置为：将从所述第二判断单元获取的所述正常优先级传递消息输出至预期的车载装置。

附图说明

本发明的示例实施例的特征、优点和技术及工业意义，将在下文中参考附图而加以描述，其中相似标号表示相似要素，且其中：

图1是示出应用了根据实施例的中继装置的车载通信系统的示意性配置示例的图；

图2是中继装置对从输入输出装置接收的外部消息执行判断的处理序列；

图3是中继装置将高优先级传递消息中继至ecu的处理序列；

图4是中继装置将正常优先级传递消息中继至ecu的处理序列；

图5是中继装置执行的外部消息的高优先级传递消息判断处理的流程图；

图6是高优先级传递消息表的示例；

图7是中继装置中继高优先级传递消息的处理的流程图；

图8是中继装置将从多个ecu中的任何一个ecu接收的车载消息中继至另一ecu的处理序列；

图9是中继装置从外部装置接收更新程序的处理序列；

图10是展示应用了根据本实施例的修改例1的中继装置的车载通信系统的示意性配置示例的图；和

图11是示出应用了根据本实施例的修改例2的中继装置的车载通信系统的示意性配置示例的图。

具体实施方式

实施例

本发明实施例的中继装置具有用于检查由防火墙接收的经授权的消息是否为高优先级传递消息的部件以及用于复制高优先级传递消息的部件。当经授权的消息是高优先级传递消息时，中继装置复制高优先级传递消息，并将其中一个高优先级传递消息中继至车载网络，并使用另一高优先级传递消息来判断是否同时存在未经授权的入侵。当经授权的消息是正常优先级传递消息时，中继装置首先判断是否存在未经授权的入侵，然后在没有未经授权的入侵的情况下，将正常优先级传递消息中继至车载网络。因此，减少了中继高优先级传递消息的时间，同时确保了消息通信安全性。

配置

图1是展示应用了根据本发明的一个实施例的中继装置20的车载通信系统1的示意性配置的图。图1所示的车载通信系统1包括中继装置20、输入输出装置10和多个ecu30。输入输出装置10通过有线连接或其他方式与中继装置20通信地连接。ecu30通过车载网络与中继装置20通信地连接。

输入输出装置10的示例包括数据通信模块(datacommunicationmodule，dcm)11和服务工具12。dcm11通过无线通信(4g、wi-fi等)连接至外部装置(例如信息管理中心和移动装置(例如智能手机))。服务工具12执行车辆诊断等。连接至外部装置的数据通信模块11以及服务工具12向ecu30发送收集或操纵各种信息的请求。

中继装置20中继用于外部装置与作为车载装置的多个ecu30中的每个ecu30之间的通信的消息，或者中继用于ecu30之间的通信的消息。中继装置20例如是中央网关(centralgateway，cgw)ecu。中继装置20包括防火墙21、高优先级传递消息(高优先级传递msg)检查单元22、保存单元23、防火墙24、未经授权入侵检测单元25、中继单元26和高优先级传递消息(高优先级传递msg)复制单元27。防火墙21和高优先级传递消息检查单元22可以被视为第一判断单元。防火墙24可被视为第三判断单元。未经授权入侵检测单元25可以被视为第二判断单元。中继单元26和高优先级传递消息复制单元27可以被视为中继处理单元。

防火墙21连接至外部装置，监视中继装置20从输入输出装置10接收的消息，并基于预定第一条件判断所接收的消息是否为经授权的消息。防火墙21检查消息的报头信息，并判断消息是否为预期用于中继装置20的经授权的消息。第一条件例如可以是关于中继装置20的地址的信息。当防火墙21判断从输入输出装置10接收的消息是经授权的消息时，防火墙21向高优先级传递消息检查单元22请求判断经授权的消息是否为高优先级传递消息。防火墙21基于高优先级传递消息检查单元22的判断结果，通过预定路径发出所接收的消息。具体地，当经授权的消息为高优先级传递消息时，防火墙21将消息输出至高优先级传递消息复制单元27(第一路径)，在经授权的消息为正常优先级传递消息时，将消息输出至保存单元23(第二路径)。

当从服务工具12只输出了预期用于中继装置20的经授权的消息，并且中继装置20没有可能接收到未经授权的消息时，可以在数据通信模块11中设置防火墙21。

高优先级传递消息检查单元22接收来自防火墙21的请求，并判断经授权的消息是包含需要在预定时间内发送至多个ecu30中的预期的一个ecu30的数据的高优先级传递消息，还是与高优先级传递消息不同的正常优先级传递消息。需要在预定时间内发送至多个ecu30中的预期的一个ecu30的数据的示例包括在车载诊断(on-boarddiagnostics，obd)规程或其他规程中规定了通信响应延迟时间(允许从通信请求到响应的接收的所允许的时间)的数据。预定时间可以基于通信响应延迟时间、多个ecu30中的预期的一个ecu30的处理时间等设定。从安全性的角度来看，对于应当根据obd规程或其他规程考虑通信响应延迟时间的高优先级传递消息，期望以即使当消息被滥用时也不影响车辆安全性的功能相关的高优先级传递消息作为目标。

高优先级传递消息检查单元22能够通过参考例如描述用于将消息判断为高优先级传递消息的信息的表(以下称为高优先级传递消息表)，来判断由防火墙21判断为经授权的消息的消息是高优先级传递消息还是正常优先级传递消息。高优先级传递消息表将在后面描述。高优先级传递消息检查单元22将关于经授权的消息的判断结果发回防火墙21。图1示出了在防火墙21中设置高优先级传递消息检查单元22的示例。或者，高优先级传递消息检查单元22可以设置在防火墙21外。

保存单元23设置在防火墙21的下游(第二条路径)。在由防火墙21判断为经授权的消息的消息中，保存单元23仅将判断为正常优先级传递消息的消息临时保存在高优先级传递消息检查单元22中。保存单元23作用为隔离区(demilitarizedzone，dmz)。

防火墙24设置在保存单元23(第二条路径)的下游。防火墙24按预定时刻读取保存在保存单元23中的正常优先级传递消息，并基于预定第三条件判断正常优先级传递消息是否为经授权的消息。防火墙24检查消息中所包含的数据的详细信息，并判断这些数据是否为多个ecu30中的预期的一个ecu30授权的且必要的数据。第三条件可以例如是用于验证附加到数据的数字签名的信息。读取保存在保存单元23中的消息的时刻可以是刚刚将消息保存在保存单元23中之后的时刻，或者可以是发生来自中继单元26或多个ecu30中的任何一个ecu30的请求时的时刻。

未经授权入侵检测单元25从中继单元26获取高优先级传递消息或从防火墙24获取正常优先级传递消息，并基于预定第二条件判断所获取的消息是否为由于中继装置20的未经授权的入侵而导致的未经授权的消息。当未经授权入侵检测单元25检测到由中继装置20接收的消息偏离预定消息规则时，未经授权入侵检测单元25判断所接收的消息为未经授权的消息。第二条件的示例可以包括如下事实：应该以恒定间隔接收的消息在比该间隔早(晚)的时刻被接收、应该以固定顺序发送的消息以不同的顺序被接收，以及检测到与多个消息的相关性的偏差大的消息。保存所检测的未经授权的消息的日志。

高优先级传递消息复制单元27从防火墙21获取高优先级传递消息，并复制高优先级传递消息。图1示出了在中继单元26中设置高优先级传递消息复制单元27的示例。替代性地，可以在中继单元26外设置高优先级传递消息复制单元27。

高优先级传递消息复制单元27和高优先级传递消息检查单元22可以持有描述用于判断消息为高优先级传递消息的信息的高优先级传递消息表。在这种情况下，高优先级传递消息复制单元27也具有与高优先级传递消息检查单元22具有的表相同的表。因此，例如，即使当存在对防火墙21的未经授权的访问并且高优先级传递消息检查单元22所持有的高优先级传递消息表被操纵时，也通过使用高优先级传递消息复制单元27持有的高优先级传递消息表来判断由防火墙21判断为经授权的消息的消息是高优先级传递消息还是正常优先级传递消息。

中继单元26通过将由高优先级传递消息复制单元27复制的高优先级传递消息分别并行地发送至多个ecu30中的预期的一个ecu30和未经授权入侵检测单元25，将从未经授权入侵检测单元25获取的正常优先级传递消息发送至多个ecu30中的预期的一个ecu30，或将从多个ecu30中的任何一个ecu30接收的(高优先级传递或正常优先级传递)消息经由输入输出装置发送至车载网络的多个ecu30中的另一ecu30或外部装置，从而中继消息。

电子控制单元(ecu)30是控制搭载在车辆上的各种执行器的电子控制单元。ecu30能够通过经由车载网络的通信彼此协调地操作多个执行器。

控制

接下来，将进一步参考图2至图7描述根据本实施例的中继装置20执行的控制。图2是中继装置20对从输入输出装置10接收的外部消息执行判断的处理序列。图3是中继装置20将高优先级传递消息中继至多个ecu30中的预期的一个ecu30的处理序列。图4是中继装置20将正常优先级传递消息中继至多个ecu30中的预期的一个ecu30的处理序列。图5是中继装置20执行的外部消息的高优先级传递消息判断处理的流程图。图6是高优先级传递消息表的示例。图7是中继装置20中继高优先级传递消息的处理的流程图。

(1)关于外部信息的判断的处理

将参照图2描述在外部装置与多个ecu30中的一个ecu30之间通信的外部信息的判断的处理。当中继装置20从输入输出装置10接收消息时，开始图2中所示的处理序列。

在步骤s201中，输入输出装置10将从外部装置接收的消息(msg)发送至防火墙21。在步骤s202中，防火墙21判断从输入输出装置10发送的消息是经授权的消息(经授权的msg)。当消息不是经授权的消息时，序列结束。在步骤s203中，防火墙21向高优先级传递消息检查单元22请求判断经授权的消息是否为高优先级传递消息(高优先级传递msg)。在步骤s204中，高优先级传递消息检查单元22响应于来自防火墙21的请求而执行高优先级传递消息判断处理(图5)。在步骤s205中，高优先级传递消息检查单元22将高优先级传递消息判断处理的结果(图5)发送回防火墙21。

当高优先级传递消息检查单元22基于防火墙21接收的判断结果判断经授权的消息是高优先级传递消息时，中继装置20执行中继高优先级传递消息的处理(图3)。当高优先级传递消息检查单元22判断经授权的消息是正常优先级传递消息时，中继装置20执行中继正常优先级传递消息的处理(图4)。

(2)中继高优先级传递消息的处理

将参考图3描述使用由高优先级传递消息检查单元22判断的高优先级传递消息的第一路径的中继处理。

在步骤s301中，防火墙21将高优先级传递消息(高优先级传递msg)发送至高优先级传递消息复制单元27。在步骤s302中，高优先级传递消息复制单元27复制从防火墙21获取的高优先级传递消息。在步骤s303中，高优先级传递消息复制单元27将其中一个复制的高优先级传递消息发送至中继单元26。中继单元26将从高优先级传递消息复制单元27获取的高优先级传递消息发送至多个ecu30中的预期的一个ecu30。在步骤s304中，高优先级传递消息复制单元27将复制的高优先级传递消息中的另一个高优先级传递消息发送至未经授权入侵检测单元25，并请求检查未经授权的入侵。该请求与通过步骤s303的处理的中继通信独立地(异步地)做出。在步骤s305中，未经授权入侵检测单元25基于来自高优先级传递消息复制单元27的请求获取高优先级传递消息，并通过判断所获取的高优先级传递消息是否为未经授权的消息来检测未经授权的入侵。

利用步骤s301到步骤s305的处理，复制高优先级传递消息，并且彼此并行地执行将高优先级传递消息中继至多个ecu30中的预期的一个ecu30的处理以及通过使用高优先级传递消息检测未经授权的入侵的处理。因此，防止了中继高优先级传递消息的延迟时间的增加。

在步骤s306中，当未经授权入侵检测单元25判断高优先级传递消息不是未经授权的消息时，未经授权入侵检测单元25将没有未经授权的入侵的检测的结果发送至中继单元26。在步骤s307中，中继单元26从多个ecu30中的预期的一个ecu30接收针对高优先级传递消息的响应消息(响应msg)。在步骤s308中，中继单元26通过使用从ecu30接收的响应消息来请求未经授权入侵检测单元25检查未经授权的入侵。该请求是响应于步骤s307的处理而提出的(同步)。在步骤s309中，未经授权入侵检测单元25基于来自中继单元26的请求通过判断响应消息是否为未经授权的消息来检测未经授权的入侵。在步骤s310中，由于响应消息不是未经授权的消息，因此未经授权入侵检测单元25将没有未经授权的入侵的检测的结果发送至中继单元26。当响应消息是未经授权的消息时，执行步骤s313和后续步骤(后文描述)中的处理。在步骤s311中，中继单元26将从ecu30接收的响应消息中继至防火墙21。在步骤s312中，防火墙21将从中继单元26获取的响应消息发送至输入输出装置10。

在步骤s306至步骤s312的处理中，当中继至车载网络的高优先级传递消息不是未经授权的消息时，在短延迟时间内对中继处理执行具有更高优先级的高优先级传递消息的响应消息被输出至输入输出装置10。

在步骤s313中，当未经授权入侵检测单元25判断高优先级传递消息是未经授权的消息时，未经授权入侵检测单元25将存在未经授权的入侵的检测的结果发送至中继单元26。在步骤s314中，未经授权入侵检测单元25保存未经授权的消息被中继到车载网络的事实的日志。在步骤s315中，未经授权入侵检测单元25向防火墙21提供关于高优先级传递消息的信息，以提高对抗未经授权的消息的安全性。防火墙21可以配置为，例如，在从未经授权入侵检测单元25接收信息时，永久地或在一定时间段内不接收相应的高优先级传递消息。在步骤s316中，防火墙21将关于高优先级传递消息的信息发送至输入输出装置10，以将关于未经授权的消息的信息提供至外部装置(例如信息管理中心)。在步骤s317中，中继单元26从ecu30接收高优先级传递消息的响应消息。在步骤s318中，中继单元26根据来自未经授权入侵检测单元25的结果丢弃从ecu30接收的响应消息。作为处理这种响应消息的方法，除了丢弃响应消息之外，还可以停止对响应消息的中继。

在步骤s313到步骤s318的处理中，当发现中继至车载网络的高优先级传递消息是未经授权的消息时，通过防止新的未经授权的消息对防火墙21的入侵或丢弃从未经授权的消息生成的响应消息来防止破坏的传播。

(3)中继正常优先级传递消息的处理

将参考图4描述使用第二路径的中继处理，该第二路径用于由高优先级传递消息检查单元22判断的正常优先级传递消息。

在步骤s401中，防火墙21将正常优先级传递消息(正常优先级传递msg)的数据保存在保存单元23中。在步骤s402中，防火墙21向防火墙24提供正常优先级传递消息被保存的通知。在步骤s403中，防火墙24在接收来自防火墙21的通知时，读取并获取保存在保存单元23中的正常优先级传递消息的数据。在步骤s404中，防火墙24基于该数据判断正常优先级传递消息是经授权的消息(经授权的msg)。当正常优先级传递消息不是经授权的消息时，序列结束。在步骤s405中，防火墙24将正常优先级传递消息发送至未经授权入侵检测单元25，并请求检查是否存在未经授权的入侵。该请求是响应于步骤s404的处理而做出的(同步)。在步骤s406中，未经授权入侵检测单元25基于来自防火墙24的请求获取正常优先级传递消息，并通过判断所获取的正常优先级传递消息是否为未经授权的消息来检测未经授权的入侵。

利用步骤s401到步骤s406的处理，在将正常优先级传递消息中继至车载网络之前，对正常优先级传递消息执行未经授权的入侵的检查，因此安全性具有较高的优先级。

在步骤s407中，当未经授权入侵检测单元25判断正常优先级传递消息不是未经授权的消息时，未经授权入侵检测单元25将没有未经授权的入侵的检测的结果发送至防火墙24。在步骤s408中，防火墙24将正常优先级传递消息发送至中继单元26，并请求中继正常优先级传递消息。在步骤s409中，中继单元26将从防火墙24获取的正常优先级传递消息发送至多个ecu30中的预期的一个ecu30。在步骤s410中，中继单元26从ecu30接收针对正常优先级传递消息的响应消息(响应msg)。在步骤s411中，中继单元26将从ecu30接收的响应消息发送至未经授权入侵检测单元25，并请求检查未经授权的入侵。该请求是响应于步骤s410的处理而做出的(同步)。在步骤s412中，未经授权入侵检测单元25基于来自中继单元26的请求获取响应消息，并通过判断所获取的响应消息是否为未经授权的消息来检测未经授权的入侵。在步骤s413中，由于响应消息不是未经授权的消息，因此未经授权入侵检测单元25将没有未经授权的入侵的检测的结果发送至中继单元26。当未经授权入侵检测单元25判断响应消息为未经授权的消息时，执行步骤s318的处理。在步骤s414中，中继单元26将从ecu30接收的响应消息中继至防火墙21。在步骤s415中，防火墙21将从中继单元26获取的响应消息发送至输入输出装置10。

在步骤s407至步骤s415的处理中，中继装置20验证所接收的正常优先级传递消息不是未经授权的消息，然后将正常优先级传递消息中继至多个ecu30中的预期的一个ecu30，因此安全性增加。

在步骤s416中，当未经授权入侵检测单元25判断正常优先级传递消息是未经授权的消息时，未经授权入侵检测单元25将检测的结果发送至防火墙24。在步骤s417中，未经授权入侵检测单元25保存未经授权的消息已被中继装置20接收的事实的日志。在步骤s418中，防火墙24根据来自未经授权入侵检测单元25的结果丢弃从保存单元23读取并获取的正常优先级传递消息的数据。在步骤s419中，未经授权入侵检测单元25向防火墙21提供关于正常优先级传递消息的信息，以提高对抗未经授权的消息的安全性。防火墙21可以被配置为，例如，在从未经授权入侵检测单元25接收信息时，永久地或一定时间段内不接收相应的正常优先级传递消息。在步骤s420中，防火墙21将关于正常优先级传递消息的信息发送至输入输出装置10，以将关于未经授权的消息的信息提供至外部装置(信息管理中心)。

利用步骤s416至步骤s420的处理，当发现由中继装置20接收的正常优先传递消息是未经授权的消息时，通过防止新的未经授权的消息对防火墙21的入侵或丢弃未经授权的消息的数据来防止破坏的传播。

(4)高优先级传递消息的判断处理

参照图5和图6描述高优先级传递消息检查单元22执行的高优先级传递消息的判断处理。当高优先级传递消息检查单元22从防火墙21接收判断经授权的消息是否为高优先级传递消息的请求时，图5所示的处理流程图开始。

在步骤s501中，高优先级传递消息检查单元22读取高优先级传递消息表(高优先级传递msg表)。当读取了高优先级传递消息表时，处理进入步骤s502。

图6展示了高优先级传递消息表的示例。在图6的示例中，作为判断经授权的消息是否为高优先级传递消息的信息，列出了各自包含多条信息(即协议、标识id和用于消息的标识值)的组的多个记录。与第二记录和第三记录相似，可以利用相同的协议指定多个标识id。当要列出的记录限制在必要的最低限度(例如包含在obd规程中规定了通信响应延迟时间的数据的消息)时，能够减小存储高优先级传递消息表的存储器的大小。例如，当预先定义了代表高优先级传递消息的排他id并且制定了当外部装置、多个ecu30中的任何一个ecu30等发出高优先级传递消息时将该排他id存储在消息的预定字段中的规则时，只需将该排他id输入到高优先级传递消息表中。利用该高优先级传递消息表，就可以不依赖于协议判断高优先级传递消息。期望将高优先级传递消息表保存在无法操纵的安全区域中。

在步骤s502中，高优先级传递消息检查单元22从高优先级传递消息表中列出的多个记录中选择一个记录。当选择了记录，该处理进入步骤s503。

在步骤s503中，高优先级传递消息检查单元22判断经授权的消息的协议是否与所选择的记录的协议相同。当两个协议都相同时(s503中的“是”)，该处理进入步骤s504。当两个协议不相同时(s503中的“否”)，该处理进入步骤s502。

在步骤s504中，高优先级传递消息检查单元22判断经授权的消息的标识id和标识值是否与选定记录的标识id和标识值相同。当两者的标识id和标识值相同时(s504中的“是”)，该处理进入步骤s506。当两者的标识id和标识值不相同时(s503中的“否”)，该处理进入步骤s502。

按预定顺序对高优先级传递消息表中列出的多个记录执行步骤s502至步骤s504的处理，并在找到与经授权的消息相同信息的记录时结束。由于对高优先级传递消息表中列出的所有记录执行处理，当没有与经授权的消息相同的信息记录时，该处理进入步骤s505。

在步骤s505中，高优先级传递消息检查单元22判断经授权的消息是正常优先级传递消息，并结束该处理。

在步骤s506中，高优先级传递消息检查单元22判断经授权的消息是高优先级传递消息，并结束该处理。

(5)复制高优先级传递消息的处理

将参照图7描述防火墙24、未经授权入侵检测单元25、中继单元26和高优先级传递消息复制单元27执行的复制高优先级传递消息的处理。当高优先级传递消息复制单元27从防火墙21接收高优先级传递消息时，开始图7所示的处理流程图。

在步骤s701中，高优先级传递消息复制单元27判断从防火墙21获取的高优先级传递消息(高优先级传递msg)是否列在高优先级传递消息表中(高优先级传递msg表)。即使当如上所述高优先级传递消息检查单元22的高优先级传递消息表被操纵时，这种判断使得能够正确地判断由防火墙21判断为经授权的消息的消息是否为高优先级传递消息。判断是基于图5的步骤s501至步骤s506的处理进行的。当经授权的消息在高优先级传递消息表中列出时(s701中的“是”)，处理进入步骤s702。当经授权的消息未列出在高优先级传递消息表中时(s701中的“否”)，处理进入步骤s706。

在步骤s702中，高优先级传递消息复制单元27复制高优先级传递消息。当复制完成时，该处理进入步骤s703。

在步骤s703中，中继单元26经由车载网络将从防火墙21获取的任何一个高优先级传递消息和由高优先级传递消息复制单元27复制的高优先级传递消息中继至多个ecu30中的预期的一个ecu30。当高优先级传递消息的中继完成时，该处理进入步骤s704。

在步骤s704中，未经授权入侵检测单元25通过使用从防火墙21获取的高优先级传递消息中的另一高优先级传递消息和由高优先级传递消息复制单元27复制的高优先级传递消息来执行判断是否存在未经授权的入侵的处理。具体地，执行判断高优先级传递消息是否为未经授权的消息的处理。当判断是否存在未经授权的入侵的处理完成时，该处理进入步骤s705。

在步骤s705中，未经授权入侵检测单元25根据高优先级传递消息是否为未经授权的消息来判断是否存在未经授权的入侵。当存在未经授权的入侵时(s705中的“是”)，该处理进入步骤s706。当没有未经授权的入侵(s705中的“否”)时，该处理结束。

在步骤s706中，未经授权入侵检测单元25保存关于未经授权的消息已被中继到车载网络的事实的日志。

在步骤s707中，未经授权入侵检测单元25向外部装置(例如信息管理中心)提供关于高优先级传递消息的信息，以提高对抗未经授权的消息的安全性。

在步骤s708中，防火墙24根据来自未经授权入侵检测单元25的结果丢弃从保存单元23读取和获取的正常优先级传递消息。因此，该处理结束。

应用示例1

将参照图8描述判断在ecu30之间通信的车载消息的处理。图8是中继装置20将从多个ecu30中的任何一个ecu30接收的车载消息中继至另一ecu30的处理序列。

在对车载消息执行判断的处理中，在图1所示的中继装置20的配置中，新的高优先级传递消息检查单元28(未图示)被添加到中继单元26。高优先级传递消息检查单元28的功能与高优先级传递消息检查单元22的功能相同。当中继装置20从多个ecu30中的任何一个ecu30接收消息时，开始图8所示的处理序列。

在步骤s801中，ecu(发送方)30将消息(msg)发送至中继单元26。在步骤s802中，中继单元26向高优先级传递消息检查单元28请求判断从ecu(发送方)30发送的消息是否为高优先级传递消息(高优先级传递msg)。在步骤s803中，高优先级传递消息检查单元28响应于来自中继单元26的请求执行高优先级传递消息判断处理(图5)。在步骤s804中，高优先级传递消息检查单元28将高优先级传递消息判断处理的结果(图5)发送回中继单元26。

在步骤s805中，当高优先级传递消息检查单元28判断该消息是高优先级传递消息时，中继单元26将高优先级传递消息发送至高优先级传递消息复制单元27。在步骤s806中，高优先级传递消息复制单元27复制从中继单元26获取的高优先级传递消息。在步骤s807中，高优先级传递消息复制单元27将从中继单元26获取的高优先级传递消息和由其自身复制的高优先级传递消息中的任一者发送至中继单元26。中继单元26将从高优先级传递消息复制单元27获取高优先级传递消息发送至ecu(接收方)30。在步骤s808中，高优先级传递消息复制单元27将从中继单元26获取的高优先级传递消息和由其自身复制的高优先级传递消息中的另一者发送至未经授权入侵检测单元25，并请求检查未经授权的入侵。根据图3执行检查是否存在未经授权的入侵的以下处理。

在步骤s809中，当高优先级传递消息检查单元28判断该消息是正常优先级传递消息时，中继单元26将正常优先级传递消息发送至未经授权入侵检测单元25，并请求检查未经授权的入侵。按照图4执行检查是否存在未经授权的入侵的以下处理。在步骤s810中，当未经授权入侵检测单元25判断正常优先级传递消息不是未经授权的消息时，未经授权入侵检测单元25将不存在未经授权的入侵的事实的检测的结果发送至中继单元26。在步骤s811中，中继单元26根据检测的结果将正常优先级传递消息发送至ecu(接收方)30。

利用应用示例1的步骤s801至步骤s811的处理，对于从连接至车载网络的多个ecu30中的任何一个ecu(发送方)指向连接至车载网络的多个ecu30中的另一个ecu(接收方)的消息通信，如从外部装置指向连接至车载网络的多个ecu30中的任何一个ecu30的消息通信的情况，如实施例中所描述的，中继装置20能够执行中继消息的处理。

应用示例2

将参考图9描述ota再现处理，其中当未经授权入侵检测单元25判断存在高优先级传递消息的未经授权的入侵时，将从外部装置更新中继单元26的高优先级传递消息复制单元27和高优先级传递消息检查单元28的程序。图9是中继装置20从外部装置接收更新程序的处理序列。

在步骤s901中，防火墙21将高优先级传递消息(高优先级传递消msg)发送至高优先级传递消息复制单元27，该高优先级传递消息由高优先级传递消息检测单元22检查，并从输入输出装置10或多个ecu30中的任何一个ecu30输入。在步骤s902中，高优先级传递消息复制单元27复制从防火墙21获取的高优先级传递消息。在步骤s903中，高优先级传递消息复制单元27将从防火墙21获取的高优先级传递消息和由其自身复制的高优先级传递消息中的任一者发送至中继单元26。中继单元26将从高优先级传递消息复制单元27获取的高优先级传递消息发送至多个ecu30中的预期的一个ecu30。在步骤s904中，高优先级传递消息复制单元27将从防火墙21获取的高优先级传递消息和由其自身复制的高优先级传递消息中的另一者发送至未经授权入侵检测单元25，并请求检查未经授权的入侵。该请求与通过步骤s903的处理的中继通信独立地(异步地)做出。在步骤s905中，未经授权入侵检测单元25基于来自高优先级传递消息复制单元27的请求获取高优先级传递消息，并通过判断所获取的高优先级传递消息是否为未经授权的消息来检测未经授权的入侵。

在步骤s906中，当未经授权入侵检测单元25判断高优先级传递消息是未经授权的消息时，未经授权入侵检测单元25保存未经授权的消息被中继至车载网络的事实的日志。在步骤s907中，未经授权入侵检测单元25向防火墙21提供关于高优先级传递消息的信息，以提高对抗未经授权的消息的安全性。在步骤s908中，防火墙21将关于高优先级传递消息的信息发送至输入输出装置10，以向作为外部装置的信息管理中心提供关于未经授权的消息的信息。输入输出装置10将关于高优先级传递消息的信息发送至信息管理中心。在步骤s909中，信息管理中心经由输入输出装置10和防火墙21将更新程序发送至中继单元26的高优先级传递消息检查单元28，该更新程序能够与消息同步地对未经授权入侵检测单元25中高优先级传递消息运行未经授权的入侵的检测处理。在步骤s910中，信息管理中心经由输入输出装置10和防火墙21将更新程序发送至中继单元26的高优先级传递消息复制单元27。在步骤s911中，高优先级传递消息检查单元28基于所接收的更新程序更新其自己的程序。在步骤s912中，高优先级传递消息复制单元27基于所接收的更新程序更新其自己的程序。

利用应用示例2的步骤s901至步骤s912的处理，当发现中继至车载网络的高优先级传递消息是未经授权的消息时，减少中继高优先级传递消息所需的时间的处理(异步处理)可以被更改为从下一次起具有更高优先级的安全性的处理(同步处理)。

操作和有利效果

如上所述，根据本发明实施例的中继装置20，提供了检查由防火墙21接收的经授权的消息是否为高优先级传递消息的高优先级传递消息检查单元22和复制高优先级传递消息的高优先级传递消息复制单元27。当经授权的消息是高优先级传递消息时，中继装置20将由高优先级传递消息复制单元27复制的两个高优先级传递消息中的一个高优先级传递消息中继至车载网络，同时通过使用另一个高优先级传递消息来判断是否存在未经授权的入侵。当经授权的消息是正常优先级传递消息时，中继装置20通过使用所接收的原始的正常优先级传递消息判断是否存在未经授权的入侵，然后，当不存在未经授权的入侵时，将正常优先级传递消息中继至车载网络。

利用该处理，将高优先级传递消息中继至车载网络，以及检查未经授权的入侵的高优先级传递消息是彼此并行地执行的，从而防止了中继高优先级传递消息的延迟时间的增加。在将正常优先级传递消息中继至车载网络之前检查未经授权的入侵的正常优先级传递消息，因此安全性具有较高的优先级。

在根据本实施例的中继装置20中，当经授权的消息是高优先级传递消息时，将高优先级传递消息发送至高优先级传递消息复制单元27，并且在不将高优先级传递消息保存在保存单元23中而执行中继处理；然而，当经授权的消息是正常优先级传递消息时，将正常优先级传递消息保存在保存单元23中，并执行中继处理。

利用该处理，高优先级传递消息被中继至车载网络，而不将高优先级传递消息临时保存在存储单元23中，从而防止了中继高优先级传递消息的延迟时间的增加。正常优先级传递消息被临时保存在保存单元23中，在预定时刻检查是否存在未经授权的入侵，然后将正常优先级传递消息中继至车载网络，因此安全性具有较高的优先级。

利用根据本实施例的中继装置20，当高优先级传递消息是未经授权的消息时，由防火墙21防止新的未经授权的高优先级传递消息的入侵，或由中继单元26丢弃从多个ecu30中的一个ecu30接收的未经授权的高优先级传递消息而生成的响应消息。利用该处理，防止了由于未经授权的高优先级传递消息而造成的破坏的传播。

利用根据本实施例的中继装置20，当正常优先级传递消息是未经授权的消息时，由防火墙21防止新的未经授权的正常优先级传递消息的入侵，或由防火墙24丢弃保存在保存单元23中的正常优先级传递消息。利用该处理，防止了由于未经授权的正常优先级传递消息而造成的破坏的传播。

修改例1

在上述实施例中，描述了具有由高优先级传递消息复制单元27复制高优先级传递消息的功能和由保存单元23临时保存正常优先级传递消息的功能的中继装置20。或者，如图10所示的修改例1的情况，中继装置20可以配置为没有高优先级传递消息复制单元27。利用该配置，在图3、图8和图9的序列中的复制高优先级传递消息的处理和检测高优先级传递消息的未经授权的入侵的处理被省略。利用该修改例1的配置，不能判断高优先级传递消息是否为未经授权的消息；然而，可以执行针对高优先级传递消息延迟时间具有较高的优先级、而针对正常优先级传递消息安全性具有较高的优先级的中继处理。

修改例2

如图11中所示的修改例2的情况，中继装置20可以配置为没有保存单元23和防火墙24。利用这种配置，图4的序列中的在保存单元23中保存正常优先级传递消息的处理以及由防火墙检查正常优先级传递消息是否为经授权的数据的处理被省略。利用该修改例2的配置，不能实现使用保存单元23和防火墙24的双重安全性；然而，可以执行针对高优先级传递消息延迟时间具有较高的优先级，而针对正常优先级传递消息安全性具有较高的优先级的中继处理。

上文描述了本发明的实施例；然而，本发明可以被解释为中继装置、包括中继装置的车载通信系统、中继装置执行的消息中继方法、消息中继处理程序、存储该程序的非瞬时性计算机可读存储介质或搭载该中继装置的车辆。

本发明的中继装置可用于例如搭载有连接外部装置和车载装置的车载通信系统的车辆。