JP7110950B2 - network system - Google Patents

network system Download PDF

Info

Publication number
JP7110950B2
JP7110950B2 JP2018225324A JP2018225324A JP7110950B2 JP 7110950 B2 JP7110950 B2 JP 7110950B2 JP 2018225324 A JP2018225324 A JP 2018225324A JP 2018225324 A JP2018225324 A JP 2018225324A JP 7110950 B2 JP7110950 B2 JP 7110950B2
Authority
JP
Japan
Prior art keywords
message
ecu
transmission
history
reception
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018225324A
Other languages
Japanese (ja)
Other versions
JP2020088798A (en
Inventor
友和 守谷
拓丸 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2018225324A priority Critical patent/JP7110950B2/en
Publication of JP2020088798A publication Critical patent/JP2020088798A/en
Application granted granted Critical
Publication of JP7110950B2 publication Critical patent/JP7110950B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、車両等に搭載されるネットワークシステムに関する。 The present invention relates to a network system mounted on a vehicle or the like.

車両には、複数のバスを含むネットワークシステムが搭載されている。各バスにはそれぞれ1つ以上のECU(Electronic Control Unit)と呼ばれる車載機器が接続されている。各ECUは、互いにバスを介してメッセージを送受信したり、車両が備えるセンサから情報を取得したりして、センサや車両が備えるアクチュエータの制御を行って、車両の各機能を分担して実行する。 A vehicle is equipped with a network system including a plurality of buses. Each bus is connected to one or more vehicle-mounted devices called ECUs (Electronic Control Units). Each ECU sends and receives messages to and from each other via the bus, acquires information from the sensors installed in the vehicle, controls the sensors and actuators installed in the vehicle, and shares the functions of the vehicle. .

このようなネットワークシステムへの不正な侵入によって、バスに不正なメッセージが送出されると、不正なメッセージを受信したECUの動作に支障が生じるおそれがある。そのため、ECUがバスから受信するメッセージが不正なメッセージであるか否か判定して、不正なメッセージについては破棄する等の対応を行うことが望まれる。特許文献1は、CAN(Controller Area Network)規格に準拠したネットワークシステムにおいて、受信側の装置が、バスから順次受信するフレームの受信間隔を測定し、測定値が規定範囲から外れた場合に、そのフレームを不正と判断することを開示している。 If an unauthorized message is sent to the bus due to such unauthorized intrusion into the network system, the operation of the ECU receiving the unauthorized message may be hindered. Therefore, it is desired that the ECU determines whether or not the message received from the bus is an unauthorized message, and discards the unauthorized message. In Patent Document 1, in a network system conforming to the CAN (Controller Area Network) standard, a device on the receiving side measures the reception interval of frames sequentially received from a bus. It discloses judging a frame as fraudulent.

特許第5664799号公報Japanese Patent No. 5664799

特許文献1の方法では、所定の送信元から一定周期で送信されることが想定される一連のメッセージを判定対象とし、前回の受信からの経過時間が規定範囲から外れた時刻にメッセージを受信した場合に、そのメッセージを不正メッセージであると判定する。そのため、一定周期で送信されないイベント系メッセージと呼ばれる、単発的なメッセージについては判定することができない。また、一定周期で送信されるメッセージであっても、前回の受信からの経過時刻が規定範囲内である時刻にメッセージを受信した場合は、そのメッセージが所定の送信元以外から送信された不正なメッセージであっても、不正ではないと誤判定されてしまう。 In the method of Patent Literature 1, a series of messages that are assumed to be transmitted from a predetermined source at a constant cycle are targeted for determination, and a message is received at a time when the elapsed time since the previous reception is outside the specified range. If so, the message is determined to be an invalid message. Therefore, it is not possible to determine a one-off message called an event-based message that is not transmitted at regular intervals. Also, even if the message is sent at regular intervals, if the message is received at a time within a specified range of elapsed time since the previous reception, the message may be sent from a source other than the specified Even if it is a message, it is erroneously determined as not being fraudulent.

本発明は、上記課題を鑑みてなされたものであり、車両に搭載される、所定の送信元から送信されていないメッセージの判定能力を向上したネットワークシステムを提供することを目的とする。 SUMMARY OF THE INVENTION It is an object of the present invention to provide a network system mounted on a vehicle and capable of determining messages that have not been transmitted from a predetermined source.

上記課題を解決するために、本発明の一局面は、車両に搭載されるネットワークシステムであって、メッセージおよびメッセージの送信時刻を含む送信履歴を送信する送信ECUと、メッセージおよび送信履歴を受信する受信ECUとを備え、受信ECUは、受信したメッセージの受信時刻と、受信した送信履歴に含まれる送信時刻とに基づいて、受信したメッセージが送信ECUから送信されたメッセージであるか否かを判定する、ネットワークシステムである。 In order to solve the above problems, one aspect of the present invention is a network system mounted on a vehicle, comprising: a transmission ECU that transmits a message and a transmission history including the transmission time of the message; and a transmission ECU that receives the message and the transmission history. a receiving ECU, and the receiving ECU determines whether or not the received message is a message transmitted from the transmitting ECU based on the reception time of the received message and the transmission time included in the received transmission history. It is a network system that

以上のように、本発明によれば、車両に搭載される、正当な送信元から送信されていないメッセージの判定能力を向上したネットワークシステムを提供することができる。 As described above, according to the present invention, it is possible to provide a network system mounted on a vehicle and having improved ability to determine messages that have not been transmitted from legitimate senders.

本発明の一実施形態に係るネットワークシステムの構成図1 is a configuration diagram of a network system according to an embodiment of the present invention; FIG. 本発明の一実施形態に係る処理を示すシーケンス図A sequence diagram showing processing according to an embodiment of the present invention. 本発明の一実施形態に係る送信履歴の例を示す図FIG. 4 is a diagram showing an example of transmission history according to one embodiment of the present invention; 本発明の一実施形態に係る受信履歴の例を示す図A diagram showing an example of a reception history according to one embodiment of the present invention 本発明の一実施形態に係る受信履歴と送信履歴との比較の例を示す図FIG. 4 is a diagram showing an example of comparison between reception history and transmission history according to one embodiment of the present invention; 本発明の一実施形態に係る処理を示すシーケンス図A sequence diagram showing processing according to an embodiment of the present invention. 本発明の一実施形態に係る送信履歴の例を示す図FIG. 4 is a diagram showing an example of transmission history according to one embodiment of the present invention; 本発明の一実施形態に係る受信履歴の例を示す図A diagram showing an example of a reception history according to one embodiment of the present invention 本発明の一実施形態に係る受信履歴と送信履歴との比較の例を示す図FIG. 4 is a diagram showing an example of comparison between reception history and transmission history according to one embodiment of the present invention;

本発明に係るネットワークシステムにおいては、メッセージを送信する送信ECUが、メッセージの送信履歴も送信する。メッセージを受信する受信ECUは、送信履歴も受信し、自装置が生成する受信履歴と受信した送信履歴とに基づいて、メッセージが送信ECUから送信された正当なメッセージか、それ以外の不正なメッセージであるかを判定する。 In the network system according to the present invention, the transmission ECU that transmits the message also transmits the transmission history of the message. The receiving ECU that receives the message also receives the transmission history, and based on the reception history generated by the own device and the received transmission history, determines whether the message is a legitimate message transmitted from the transmission ECU or an unauthorized message other than that. Determine whether it is

(実施形態)
以下、本発明の一実施形態について、図面を参照しながら詳細に説明する。 (embodiment)
An embodiment of the present invention will be described in detail below with reference to the drawings.

<構成>
図1に、本実施形態に係るネットワークシステム1の構成の一部を示す。ネットワークシステム1は、一例として車両に搭載される、CAN(Controller Area Network)規格に準拠したネットワークシステムである。ネットワークシステム1は、複数のECU(Electronic Control Unit)を備える。各ECUは、バスに接続されており、バスを介して互いにメッセージを送受信したり、車両が備えるセンサから情報を取得したりして、センサや車両が備えるアクチュエータの制御を行って、車両の各機能を分担して実行する。図1には、ネットワークシステム1の一部として、バス30と、バス30に接続された送信ECU10および受信ECU20を示す。 <Configuration>
FIG. 1 shows part of the configuration of a network system 1 according to this embodiment. The network system 1 is, for example, a network system that is installed in a vehicle and complies with CAN (Controller Area Network) standards. The network system 1 includes a plurality of ECUs (Electronic Control Units). Each ECU is connected to a bus and exchanges messages with each other via the bus, obtains information from sensors installed in the vehicle, controls the sensors and actuators installed in the vehicle, and controls the sensors and actuators installed in the vehicle. Share functions and perform them. FIG. 1 shows a bus 30 and a transmission ECU 10 and a reception ECU 20 connected to the bus 30 as part of the network system 1 .

送信ECU10は、第1制御部11、第1記憶部12、リアルタイムクロックである第1クロック13を含む。第1制御部11はメッセージを生成して、バス30に送出する。第1制御部11は、メッセージを送出した時、第1クロック13を参照することで送信時刻を取得し、送信時刻を含むメッセージの送信履歴を生成して第1記憶部12に記憶させる。 The transmission ECU 10 includes a first control section 11, a first storage section 12, and a first clock 13 which is a real-time clock. First control unit 11 generates a message and sends it to bus 30 . When sending out a message, the first control unit 11 obtains the transmission time by referring to the first clock 13 , generates a message transmission history including the transmission time, and stores it in the first storage unit 12 .

受信ECU20は、第2制御部21、第2記憶部22、リアルタイムクロックである第2クロック23を含む。第2制御部21は、バス30からメッセージを受信する。第2制御部21は、メッセージを受信した時、第2クロック23を参照することで受信時刻を取得し、受信時刻を含む受信履歴を生成して第2記憶部22に記憶させる。 The reception ECU 20 includes a second control section 21, a second storage section 22, and a second clock 23 which is a real-time clock. The second control unit 21 receives messages from the bus 30 . When receiving a message, the second control unit 21 acquires the reception time by referring to the second clock 23 , generates a reception history including the reception time, and stores it in the second storage unit 22 .

また、送信ECU10の第1制御部11は、第1記憶部12から送信履歴を取得して、受信ECU20あてに送信する。送信経路はバス30でもよいし、ネットワークシステム1が備える他のバスでもよいし、送信ECU10と受信ECU20との間に個別に設けられた通信線であってもよい。また、送信タイミングは、メッセージの送信から所定期間以内に、そのメッセージの送信時刻を含む送信履歴を送信できればよく、定期的に送信してもよいし、不定期的に送信してもよい。 Also, the first control unit 11 of the transmission ECU 10 acquires the transmission history from the first storage unit 12 and transmits it to the reception ECU 20 . The transmission path may be the bus 30 , another bus included in the network system 1 , or a communication line separately provided between the transmission ECU 10 and the reception ECU 20 . Also, the transmission timing may be such that the transmission history including the transmission time of the message can be transmitted within a predetermined period from the transmission of the message, and may be transmitted periodically or irregularly.

受信ECU20の第2制御部21は、メッセージをバス30から受信した後、上述の所定期間、送信履歴が送信されるのを待機する。所定期間内に送信ECU10から送信履歴を取得できなかった場合、第2制御部21は、メッセージを不正なメッセージと判断する。所定期間内に送信ECU10から送信履歴を取得した場合、第2制御部21は、送信履歴を第2記憶部22に記憶させる。第2制御部21は、第2記憶部22から受信履歴および送信履歴を取得し、これらを比較する。受信したメッセージに対応する受信時刻に一致するとみなせる送信時刻が送信履歴にあれば、受信したメッセージが送信ECU10から送信された正当なメッセージであると判定し、なければ不正なメッセージであると判定する。第2制御部21は、メッセージを正当と判断した場合、このメッセージに基づいて、正当なメッセージに対する処理として定められた正常系の処理を行う。また、メッセージを不正と判断した場合、このメッセージを処理対象とはせずに破棄したり、不正なメッセージに対する処理として定められた攻撃対応処理を行ったりする。なお、送信履歴を待機する所定期間は、受信ECU20の処理上許容できる期間以内で設定すればよい。 After receiving the message from the bus 30, the second control unit 21 of the reception ECU 20 waits for the transmission history to be transmitted for the predetermined period described above. If the transmission history cannot be obtained from the transmission ECU 10 within the predetermined period, the second control unit 21 determines that the message is an unauthorized message. When the transmission history is acquired from the transmission ECU 10 within the predetermined period, the second control unit 21 causes the second storage unit 22 to store the transmission history. The second control unit 21 acquires the reception history and the transmission history from the second storage unit 22 and compares them. If the transmission history contains a transmission time that can be considered to match the reception time corresponding to the received message, the received message is determined to be a valid message transmitted from the transmission ECU 10, and if not, the received message is determined to be an unauthorized message. . When the second control unit 21 determines that the message is valid, it performs the normal process defined as the process for valid messages based on this message. Also, if the message is determined to be unauthorized, the message is discarded without being processed, or attack response processing defined as processing for an unauthorized message is performed. It should be noted that the predetermined period for waiting for the transmission history may be set within a permissible period for the processing of the reception ECU 20 .

<処理>
以下に、受信ECU20が受信したメッセージを、正当なメッセージであると判定するシーケンスと、不正なメッセージであると判定するシーケンスとを説明する。図2に示すシーケンスは、受信ECU20が受信したメッセージを正当なメッセージと判定するシーケンスである。まずこのシーケンスを説明する。 <Processing>
A sequence for determining that a message received by the receiving ECU 20 is a valid message and a sequence for determining that the message is an unauthorized message will be described below. The sequence shown in FIG. 2 is a sequence for determining that a message received by the reception ECU 20 is a valid message. First, this sequence will be explained.

(ステップS101):送信ECU10の第1制御部11は、メッセージを生成して、バス30に送信する。メッセージは、一例としてCAN_IDと呼ばれる識別子を含むフレームであり、CAN_IDが、フレームの送信元のECUを表したり、メッセージの種別を表したりすることができる。 (Step S<b>101 ): The first control unit 11 of the transmission ECU 10 generates a message and transmits it to the bus 30 . A message is, for example, a frame including an identifier called CAN_ID, and the CAN_ID can represent the ECU that sent the frame or the type of the message.

(ステップS102):受信ECU20の第2制御部21は、例えばバス30を流れるメッセージに含まれるCAN_IDを参照して、メッセージが、自装置が処理すべきメッセージであると判定すれば、そのメッセージを受信する。本ステップでは、第2制御部21はステップS101で送信されたメッセージを受信する。 (Step S102): The second control unit 21 of the reception ECU 20 refers to the CAN_ID included in the message flowing on the bus 30, for example, and if it determines that the message is a message to be processed by its own device, the message is processed. receive. In this step, the second control unit 21 receives the message transmitted in step S101.

(ステップS103):送信ECU10の第1制御部11は、ステップS101でメッセージを送出した時、第1クロック13を参照することで送信時刻を取得する。第1制御部11は、取得した送信時刻に基づいて送信履歴を更新して第1記憶部12に記憶させる。送信履歴は、例えば、CAN_IDごとにまとめられた、過去所定回数のメッセージを送信した各時刻のリストである。送信履歴の例を図3に示す。 (Step S103): The first control unit 11 of the transmission ECU 10 obtains the transmission time by referring to the first clock 13 when the message is transmitted in step S101. The first control unit 11 updates the transmission history based on the acquired transmission time and stores it in the first storage unit 12 . The transmission history is, for example, a list of times when messages were transmitted a predetermined number of times in the past, organized by CAN_ID. An example of transmission history is shown in FIG.

(ステップS104):受信ECU20の第2制御部21は、ステップS102でメッセージを受信した時、第2クロック23を参照することで受信時刻を取得する。第2クロック23と第1クロック13とは、同期されており、それぞれの時刻は所定の精度で一致している。第2制御部21は、取得した受信時刻に基づいて受信履歴を更新して第2記憶部22に記憶させる。受信履歴は、例えば、CAN_IDごとにまとめられた、過去所定回数のメッセージの内容であるデータと、メッセージを受信した各時刻との組み合わせのリストである。受信履歴の例を図4に示す。 (Step S104): The second control unit 21 of the reception ECU 20 acquires the reception time by referring to the second clock 23 when receiving the message in step S102. The second clock 23 and the first clock 13 are synchronized and their times match with a predetermined accuracy. The second control unit 21 updates the reception history based on the acquired reception time and stores it in the second storage unit 22 . The reception history is, for example, a list of combinations of data, which is the contents of messages a predetermined number of times in the past, and the times at which the messages were received, organized for each CAN_ID. An example of reception history is shown in FIG.

(ステップS105):送信ECU10の第1制御部11は、ステップS103で更新した送信履歴を、第1記憶部12から取得し、受信ECU20あてに送信する。送信履歴を含むフレームのCAN_IDは、ステップS101で送信したメッセージのフレームのCAN_IDと同一にする。このように、第1制御部11は、送信履歴が、いずれのCAN_IDのメッセージの送信履歴を表すかを特定可能にして送信履歴を送信することが好ましい。送信履歴は、送信の際、暗号化してもよいし、暗号化せず平文のままでもよい。なお、送信履歴の送信経路は上述したように限定されない。また、送信履歴のCAN_IDは、いずれのメッセージの送信履歴であるか特定する情報をさらに含んでいれば、メッセージのCAN_IDと異なっていてもよい。 (Step S<b>105 ): The first control unit 11 of the transmission ECU 10 acquires the transmission history updated in step S<b>103 from the first storage unit 12 and transmits it to the reception ECU 20 . The CAN_ID of the frame containing the transmission history is made the same as the CAN_ID of the frame of the message transmitted in step S101. In this way, it is preferable that the first control unit 11 transmits the transmission history so that it is possible to specify which CAN_ID the transmission history of the message represents. The transmission history may be encrypted at the time of transmission, or may be plaintext without encryption. Note that the transmission route of the transmission history is not limited as described above. Also, the CAN_ID of the transmission history may be different from the CAN_ID of the message as long as it further includes information specifying which message is the transmission history.

(ステップS106):本シーケンスでは、ステップS102でメッセージを受信してから所定期間内に、受信ECU20の第2制御部21は、ステップS105で送信された送信履歴を受信する。第2制御部21は、受信した送信履歴を、第2記憶部22に記憶させる。 (Step S106): In this sequence, the second control unit 21 of the reception ECU 20 receives the transmission history transmitted in step S105 within a predetermined period after receiving the message in step S102. The second control unit 21 causes the second storage unit 22 to store the received transmission history.

(ステップS107):受信ECU20の第2制御部21は、第2記憶部22から送信履歴および受信履歴を取得し、これらを比較する。すなわちステップS102で受信したメッセージについて、そのメッセージと同じCAN_IDのメッセージについて、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれるか否かを判定する。本シーケンスでは、ステップS102で受信したメッセージは、ステップS101で、送信ECU10から送信された正当なメッセージであるので、図5に示すように、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれる。これにより、第2制御部21は、ステップS102で受信したメッセージを正当なメッセージと判断する。なお、送信履歴の時刻と受信履歴の時刻とが完全に一致しなくても、第1クロック13、第2クロック23の同期誤差やバス30を介したメッセージの送受信の遅延程度のごく小さな時間差であれば、一致するものとみなしてもよい。 (Step S107): The second control section 21 of the reception ECU 20 acquires the transmission history and the reception history from the second storage section 22 and compares them. That is, for the message received in step S102, it is determined whether or not the transmission history contains the transmission time that matches the reception time contained in the reception history for the message with the same CAN_ID as the message. In this sequence, the message received in step S102 is a valid message transmitted from the transmission ECU 10 in step S101. Therefore, as shown in FIG. Included in history. As a result, the second control unit 21 determines that the message received in step S102 is valid. Even if the time in the transmission history and the time in the reception history do not completely match, a very small time difference such as a synchronization error between the first clock 13 and the second clock 23 or a delay in message transmission/reception via the bus 30 If so, it may be considered a match.

図6に示すシーケンスは、受信ECU20が受信したメッセージを不正なメッセージと判定するシーケンスである。次にこのシーケンスを説明する。 The sequence shown in FIG. 6 is a sequence for determining a message received by the reception ECU 20 as an unauthorized message. This sequence will now be described.

(ステップS201):例えば、ネットワークシステム1に取り付けられた不正装置が、メッセージを生成して、バス30に送信する。不正装置は、送信ECU10に成りすますために、例えば送信ECU10が送信するメッセージと同じCAN_IDを有するメッセージを生成する。 (Step S<b>201 ): For example, an unauthorized device attached to network system 1 generates a message and transmits it to bus 30 . In order to impersonate the transmitting ECU 10, the rogue device generates, for example, a message having the same CAN_ID as the message transmitted by the transmitting ECU 10.

(ステップS202):受信ECU20の第2制御部21は、例えばバス30を流れるメッセージに含まれるCAN_IDを参照して、メッセージが、自装置が処理すべきメッセージであると判定すれば、そのメッセージを受信する。本ステップでは、第2制御部21はステップS201で送信されたメッセージを受信する。 (Step S202): The second control unit 21 of the reception ECU 20 refers to the CAN_ID included in the message flowing on the bus 30, for example, and if it determines that the message is a message to be processed by its own device, the message is processed. receive. In this step, the second control unit 21 receives the message transmitted in step S201.

(ステップS203):受信ECU20の第2制御部21は、ステップS202でメッセージを受信した時、第2クロック23を参照することで受信時刻を取得する。第2制御部21は、取得した受信時刻に基づいて受信履歴を更新して第2記憶部22に記憶させる。受信履歴の例を図7に示す。 (Step S203): The second control unit 21 of the reception ECU 20 acquires the reception time by referring to the second clock 23 when receiving the message in step S202. The second control unit 21 updates the reception history based on the acquired reception time and stores it in the second storage unit 22 . An example of reception history is shown in FIG.

(ステップS204):送信ECU10の第1制御部11は、送信履歴を、第1記憶部12から取得し、受信ECU20あてに送信する。本シーケンスでは、送信ECU10は新たにメッセージの生成、送信を行っておらず、送信履歴は、例えば前回送信したものと同じである。送信履歴の例を図8に示す。 (Step S<b>204 ): The first control unit 11 of the transmission ECU 10 acquires the transmission history from the first storage unit 12 and transmits it to the reception ECU 20 . In this sequence, the transmission ECU 10 does not generate or transmit a new message, and the transmission history is the same as that of the previous transmission, for example. An example of transmission history is shown in FIG.

(ステップS205):本シーケンスでは、ステップS102でメッセージを受信してから所定期間内に、受信ECU20の第2制御部21は、ステップS204で送信された送信履歴を受信する。第2制御部21は、受信した送信履歴を、第2記憶部22に記憶させる。なお、ステップS204で送信ECU10が送信履歴を送信する処理は、ステップS201において不正装置がメッセージの送信を行うこととは独立的に実行されるものであり、本ステップにおいて、ステップS202でメッセージを受信してから所定期間内に、送信履歴を受信するのは必然ではない。ステップS202でメッセージを受信してから所定期間内に、送信ECU10から送信履歴を受信しない場合は、第2制御部21は、上述したように、ステップS202で受信したメッセージを不正なメッセージである判断することができる。 (Step S205): In this sequence, the second control unit 21 of the reception ECU 20 receives the transmission history transmitted in step S204 within a predetermined period after receiving the message in step S102. The second control unit 21 causes the second storage unit 22 to store the received transmission history. The process of transmitting the transmission history by the transmission ECU 10 in step S204 is executed independently of the transmission of the message by the unauthorized device in step S201. It is not inevitable that the transmission history will be received within a predetermined period of time. If the transmission history is not received from the transmission ECU 10 within a predetermined period of time after receiving the message in step S202, the second control unit 21 determines that the message received in step S202 is an unauthorized message, as described above. can do.

(ステップS206):受信ECU20の第2制御部21は、第2記憶部22から送信履歴および受信履歴を取得し、これらを比較する。すなわちステップS202で受信したメッセージについて、そのメッセージと同じCAN_IDのメッセージについて、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれるか否かを判定する。本シーケンスでは、ステップS202で受信したメッセージは、ステップS201で、不正装置から送信された不正なメッセージである。不正装置は、送信履歴を送信しないので、図9に示すように、第2記憶部22から取得する送信履歴にはステップS202で受信したメッセージの送信履歴が反映されておらず、送信履歴にない受信時刻が受信履歴に含まれる。すなわち、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれない。これにより、第2制御部21は、ステップS202で受信したメッセージを不正なメッセージと判断する。 (Step S206): The second control unit 21 of the reception ECU 20 acquires the transmission history and the reception history from the second storage unit 22 and compares them. That is, for the message received in step S202, it is determined whether or not the transmission history contains the transmission time that matches the reception time contained in the reception history for the message with the same CAN_ID as the message. In this sequence, the message received in step S202 is the unauthorized message sent from the unauthorized device in step S201. Since the unauthorized device does not transmit the transmission history, as shown in FIG. The reception time is included in the reception history. That is, the transmission history does not include the transmission time that matches the reception time included in the reception history. Accordingly, the second control unit 21 determines that the message received in step S202 is an unauthorized message.

以上の各シーケンスが繰り返し実行されることで、受信ECU20が受信する各メッセージについて正当なメッセージであるか不正なメッセージであるか判定される。このような判定は、受信ECU20が受信する全メッセージについて行ってもよいし、受信ECU20が所定のアプリケーションプログラムを実行している場合に行ってもよいし、あるいは、受信ECU20が、外部からの攻撃、侵入が発生していると考えられる何らかの異常を検出した場合に行ってもよい。 Each sequence described above is repeatedly executed to determine whether each message received by the reception ECU 20 is valid or invalid. Such determination may be made for all messages received by the receiving ECU 20, may be made when the receiving ECU 20 is executing a predetermined application program, or may be made when the receiving ECU 20 receives an attack from the outside. , may be performed when some anomaly is detected that is considered to be an intrusion.

(変形例)
上述の実施形態においては、送信ECU10が自発的に送信履歴を送信するが、変形例として、代わりに、受信ECU20からの要求があれば送信履歴を送信するようにしてもよい。本例では、受信ECU20の第2制御部21は、例えば、外部からの攻撃、侵入が発生していると考えられる何らかの異常を検出した場合、送信ECU10に送信履歴を送信することを要求するメッセージを送信する。このメッセージは例えば、送信ECU10が送信するメッセージとは異なるCAN_IDを有する。送信ECU10の第1制御部11は、受信ECU20から、このメッセージを受信すると、第1記憶部12から送信履歴を取得して、受信ECU20に送信する。 (Modification)
In the above-described embodiment, the transmission ECU 10 spontaneously transmits the transmission history, but as a modification, instead, the transmission history may be transmitted upon request from the reception ECU 20 . In this example, when the second control unit 21 of the receiving ECU 20 detects some kind of abnormality, for example, that an attack or intrusion from the outside has occurred, the second control unit 21 sends a message requesting transmission history to the transmitting ECU 10. to send. This message has, for example, a different CAN_ID than the message sent by the sending ECU 10 . Upon receiving this message from the reception ECU 20 , the first control section 11 of the transmission ECU 10 acquires the transmission history from the first storage section 12 and transmits it to the reception ECU 20 .

受信ECU20の第2制御部21は、送信履歴を受信して、上述の実施形態と同様に、送信履歴と受信履歴とに基づいて、受信したメッセージが不正であるか否か判定することができる。 The second control unit 21 of the reception ECU 20 can receive the transmission history and determine whether or not the received message is fraudulent based on the transmission history and the reception history, as in the above-described embodiment. .

なお、本例においては、受信ECU20の第2制御部21は、送信ECU10に送信履歴を送信することを要求するメッセージの代わりに、第2記憶部22から受信履歴を取得して、受信履歴を含むメッセージを、送信ECU10に送信してもよい。この場合、送信ECU10の第1制御部11は、受信した受信履歴に含まれる時刻と、第1記憶部12から取得する送信履歴に含まれる時刻とを比較し、受信履歴に含まれる各時刻が送信履歴に含まれるか否かを表す情報を生成し、比較結果として受信ECU20に送信してもよい。受信ECU20の第2制御部21は、比較結果を受信し、これに基づいて、受信したメッセージが不正であるか否か判定することができる。 In this example, the second control unit 21 of the reception ECU 20 acquires the reception history from the second storage unit 22 instead of the message requesting transmission of the transmission history to the transmission ECU 10, and stores the reception history. A message containing this may be sent to the sending ECU 10 . In this case, the first control unit 11 of the transmission ECU 10 compares the time included in the received reception history with the time included in the transmission history acquired from the first storage unit 12, and each time included in the reception history is Information indicating whether or not it is included in the transmission history may be generated and transmitted to the reception ECU 20 as a comparison result. The second control unit 21 of the reception ECU 20 receives the comparison result, and based on this, can determine whether or not the received message is fraudulent.

<効果>
以上のように、本発明に係るネットワークシステムにおいては、メッセージを送信する送信ECUが、メッセージの送信履歴も送信する。メッセージを受信する受信ECUは、送信履歴も受信し、自装置が生成する受信履歴と受信した送信履歴とに基づいて、メッセージが送信ECUから送信された正当なメッセージか、それ以外の不正なメッセージであるかを判定する。この判定方法は、判定対象のメッセージが、一定周期で送信される一連のメッセージであることを前提としないので、単発的なメッセージも判定対象にできるし、一定周期で送信される一連のメッセージも判定対象にできる。またこの判定方法は、一定周期で送信される一連のメッセージであっても、前回の受信からの経過時刻に依存せず判定を行うので、前回の受信からの経過時刻に依存した判定を行う場合に比べて、メッセージの受信タイミングに起因する誤判定を抑制でき、判定能力を向上することができる。 <effect>
As described above, in the network system according to the present invention, the transmission ECU that transmits the message also transmits the transmission history of the message. The receiving ECU that receives the message also receives the transmission history, and based on the reception history generated by the own device and the received transmission history, determines whether the message is a legitimate message transmitted from the transmission ECU or an unauthorized message other than that. Determine whether it is This judgment method does not assume that the message to be judged is a series of messages sent at a constant cycle, so it can be a single message as well as a series of messages sent at a constant cycle. Can be judged. Also, with this determination method, even if a series of messages are sent at regular intervals, the determination is made without depending on the elapsed time since the previous reception. Compared to , erroneous determination due to message reception timing can be suppressed, and determination capability can be improved.

本発明は、ネットワークシステムだけでなく、ネットワークシステムにおける送信ECU、受信ECUが実行する不正メッセージ判定方法、送信ECU、受信ECUの各コンピュータが実行する不正メッセージ判定プログラムおよびこれを記憶したコンピュータ読み取り可能な非一時的記憶媒体、ネットワークシステムを備えた車両等として捉えることが可能である。また、本発明は、車両に搭載されるネットワークシステム以外のネットワークシステムにも適用できる。 The present invention relates not only to a network system but also to a transmission ECU in a network system, a fraudulent message determination method executed by a reception ECU, a fraudulent message determination program executed by each computer of the transmission ECU and the reception ECU, and a computer-readable program storing the same. It can be considered as a non-temporary storage medium, a vehicle equipped with a network system, or the like. The present invention can also be applied to network systems other than those installed in vehicles.

本発明は、車両等に搭載されるネットワークシステムに有用である。 INDUSTRIAL APPLICABILITY The present invention is useful for a network system mounted on a vehicle or the like.

1 ネットワークシステム
10 送信ECU
11 第1制御部
12 第1記憶部
13 第1クロック
20 受信ECU
21 第2制御部
22 第2記憶部
23 第2クロック
30 バス 1 network system 10 transmission ECU
11 First Control Unit 12 First Storage Unit 13 First Clock 20 Receiving ECU
21 second control section 22 second storage section 23 second clock 30 bus

Claims (4)

車両に搭載されるネットワークシステムであって、
メッセージ前記メッセージの送信時刻を含む送信履歴とを別のタイミングで送信する送信ECUと、
前記メッセージ前記送信履歴とをそれぞれ受信する受信ECUとを備え、
前記送信ECUは、前記送信履歴として過去に送信した複数の前記メッセージに関する複数の送信時刻のリストを送信し、
前記受信ECUは、前記メッセージを受信したときの受信時刻と、前記送信履歴に含まれる前記複数の送信時刻とに基づいて、受信した前記メッセージが前記送信ECUから送信されたメッセージであるか否かを判定する、ネットワークシステム。 A network system mounted on a vehicle,
a transmission ECU that transmits a message and a transmission history including the transmission time of the message at different timings ;
a receiving ECU that receives the message and the transmission history , respectively ;
The transmitting ECU transmits, as the transmission history, a list of a plurality of transmission times related to the plurality of messages transmitted in the past,
The receiving ECU determines whether the received message is a message transmitted from the transmitting ECU based on the reception time when the message was received and the plurality of transmission times included in the transmission history. A network system that determines whether 前記受信ECUは、前記受信時刻に対応する送信時刻が前記送信履歴にある場合、受信した前記メッセージが前記送信ECUから送信されたメッセージであると判定する、The receiving ECU determines that the received message is a message transmitted from the transmitting ECU when the transmission time corresponding to the reception time is in the transmission history.
請求項1に記載のネットワークシステム。The network system according to claim 1. 前記受信ECUは、前記メッセージを受信してから所定期間内に前記送信履歴を受信できなかった場合、受信した前記メッセージが前記送信ECUから送信されたメッセージではないと判定する、When the receiving ECU fails to receive the transmission history within a predetermined period of time after receiving the message, the receiving ECU determines that the received message is not a message transmitted from the transmitting ECU.
請求項1に記載のネットワークシステム。The network system according to claim 1. 車両に搭載されるネットワークシステムが備える送信ECU及び受信ECUの各コンピューターが実行する方法であって、A method executed by each computer of a transmitting ECU and a receiving ECU provided in a network system mounted on a vehicle,
前記送信ECUは、The transmitting ECU
メッセージを送信するステップと、sending a message;
過去に送信した複数の前記メッセージに関する複数の送信時刻のリストである送信履歴を、前記メッセージとは別のタイミングで送信するステップと、を含み、sending a transmission history, which is a list of transmission times of the plurality of messages transmitted in the past, at a timing different from that of the messages;
前記受信ECUは、The receiving ECU
前記メッセージと前記送信履歴とをそれぞれ受信するステップと、respectively receiving the message and the transmission history;
前記メッセージを受信したときの受信時刻と、前記送信履歴に含まれる前記複数の送信時刻とに基づいて、受信した前記メッセージが前記送信ECUから送信されたメッセージであるか否かを判定するステップと、を含む、方法。determining whether or not the received message is a message transmitted from the transmission ECU based on the reception time when the message was received and the plurality of transmission times included in the transmission history; , including, methods.
JP2018225324A 2018-11-30 2018-11-30 network system Active JP7110950B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018225324A JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018225324A JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Publications (2)

Publication Number Publication Date
JP2020088798A JP2020088798A (en) 2020-06-04
JP7110950B2 true JP7110950B2 (en) 2022-08-02

Family

ID=70910202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018225324A Active JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Country Status (1)

Country Link
JP (1) JP7110950B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020214945A1 (en) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Method for checking a message in a communication system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260575A (en) 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer
JP4410791B2 (en) 2006-12-20 2010-02-03 富士通株式会社 Address spoofing check device and network system
WO2013094072A1 (en) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 Communication system and communication method
JP2016134913A (en) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Unauthorized frame handling method, unauthorized detection electronic control unit and on-vehicle network system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260575A (en) 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer
JP4410791B2 (en) 2006-12-20 2010-02-03 富士通株式会社 Address spoofing check device and network system
WO2013094072A1 (en) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 Communication system and communication method
JP2016134913A (en) 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Unauthorized frame handling method, unauthorized detection electronic control unit and on-vehicle network system

Also Published As

Publication number Publication date
JP2020088798A (en) 2020-06-04

Similar Documents

Publication Publication Date Title
JP6525824B2 (en) Relay device
CN107707520B (en) Network monitoring device
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
CN107005447B (en) Communication control device and communication system
JP6525825B2 (en) Communication device
JP6282216B2 (en) Communication system and communication apparatus
US10050983B2 (en) Communication system, receiving apparatus, receiving method, and computer program product
WO2018173732A1 (en) On-board communication device, computer program, and message determination method
US20200021611A1 (en) Fraud detection method, fraud detection device, and recording medium
JP2017028345A (en) Gateway device and control method thereof
CN111066001A (en) Log output method, log output device, and program
JP2016116132A (en) Communication control device, communication control method, and communication control program
US20180212977A1 (en) In-vehicle network system
JP7110950B2 (en) network system
US11165794B2 (en) Alert system for controller area networks
JP6527647B1 (en) Fraud detection method, fraud detection device and program
US10447384B2 (en) Communication apparatus, communication method, and program
JP2017017615A (en) Communication apparatus and communication system
JP2018166309A (en) In-vehicle network system, electronic control device, communication method and computer program
EP3661130A1 (en) A relay device for an in-vehicle network
JP6615721B2 (en) COMMUNICATION SYSTEM, RECEPTION DEVICE, RECEPTION METHOD, AND PROGRAM
JP2017085197A (en) Communication system, transmitter and communication method
JP2013121071A (en) Relay system, and relay device and external device forming the same
JP6681755B2 (en) Vehicle communication network device and communication method
WO2017065100A1 (en) Vehicle-mounted communication system and monitoring device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210325

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220704

R151 Written notification of patent or utility model registration

Ref document number: 7110950

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151