CN103999410A

CN103999410A - 通信系统及通信方法

Info

Publication number: CN103999410A
Application number: CN201180075622.5A
Authority: CN
Inventors: 马渊充启; 奥出和宏
Original assignee: Toyota Motor Corp
Current assignee: Toyota Motor Corp
Priority date: 2011-12-22
Filing date: 2011-12-22
Publication date: 2014-08-20
Anticipated expiration: 2031-12-22
Also published as: EP2797263B1; US20140328352A1; JPWO2013094072A1; CN103999410B; EP2797263A1; US9225544B2; EP2797263A4; JP5664799B2; WO2013094072A1

Abstract

为了提供能够利用简易的结构对由通信系统通信的报文的合法/非法进行判定的通信系统及通信方法，在通信系统中，多个ECU以能够进行报文通信的方式连接于通信线。在各ECU中设定有对通信报文所规定的通信间隔，发送报文的ECU基于该规定的通信间隔而发送报文。接收发送出的报文的ECU检测该接收到的报文的通信间隔，并基于该检测出的通信间隔和所述规定的通信间隔的比较而对该接收到的报文的合法/非法进行判定。

Description

通信系统及通信方法

技术领域

本发明涉及在车辆等中将多个通信装置网络连接的通信系统及通信方法。

背景技术

如公知的那样，构成通信系统即车辆网络系统的情况较多，其中在搭载于车辆的多个电子控制装置(ECU)中，上述通信系统通过将各自网络连接而能够对这些电子控制装置所具有的信息(车辆信息)相互进行通信。并且，对于这种车辆网络系统的一个，有控制器局域网络(CAN)。

CAN能够使共有作为通信线的总线的各ECU通过各自的判断而在总线上传递报文，因此从各ECU向总线的报文的发送较为容易。因此，例如也能够在CAN的总线上连接非法的ECU，而向该总线发送非法的报文，若发送如此的非法的报文，则在对此进行接收的ECU中，也有可能与正规的报文同样地对该非法的报文进行处理。

因此，以往，也提出了对发送非法的报文的非法的ECU进行检测的技术等，其一例记载于专利文献1。

在专利文献1记载的通信系统中，多个ECU和一个网关以能够相互进行通信的方式连接于车辆内的通信线(通信线路)。上述各ECU随着点火开关的断开，而将内置于本装置的数据的散列值向网关发送。接受了该散列值的网关将发送出的各ECU的散列值作为比较用数据而存储于EEPROM。另一方面，将点火开关接通而开始动作的各ECU将内置于本装置的数据的散列值向网关发送。由此，对于各ECU，网关将新发送的散列值和存储于上述EEPROM内的对应的比较用数据(散列值)进行比较。并且，在判断为该比较的结果不一致的情况下，判定为该ECU的数据被篡改。由此，能够对被篡改的ECU切实地进行检测，进而，能够防止从这样的ECU向CAN的总线发送非法的报文。

专利文献1:日本特开2005－242871号公报

发明内容

发明所要解决的课题

另外，在车辆用的CAN中，经由作为向CAN连接的连接端子的数据线连接器(DLC)，能够连接由制造商、汽车销售商等准备的车辆诊断装置、对ECU的程序进行更新的装置等。另外，近年来，除了上述的车辆诊断装置等外，用户独自准备的设备等经由上述数据线连接器而与CAN连接的情况也变得较多。因此，对于这样的由用户独自准备的设备等，也需要对是否没有发送非法的报文进行判断。

然而，上述的专利文献1记载的通信系统能够对在点火开关的断开以及接通的任何时刻均连接的ECU的篡改进行检测，但是若为与点火开关的状态无关而经由DLC连接的设备，则无法对有无其篡改等进行判定。

本发明鉴于这种实际情况而提出，其目的在于提供能够利用简易的结构对由通信系统通信的报文的合法/非法进行判定的通信系统及通信方法。

用于解决课题的手段

以下，记载了用于解决上述课题的手段及其作用效果。

为了达成上述目的，本发明所提供的通信系统中，多个通信装置以能够进行报文通信的方式连接于通信线，在所述通信装置中，设定有对通信报文所规定的通信间隔，发送报文的通信装置基于该规定的通信间隔而发送报文，接收所述发送出的报文的通信装置检测该接收到的报文的通信间隔，并基于该检测出的通信间隔与所述规定的通信间隔的比较而对该接收到的报文的合法/非法进行判定。

为了达成上述目的，本发明所提供的通信方法用于多个通信装置以能够进行报文通信的方式连接于通信线的通信系统，在所述通信装置中，设定对通信报文所规定的通信间隔，每当发送报文的通信装置基于所述设定的通信间隔而发送报文时，使接收报文的通信装置检测该接收到的报文的通信间隔，并基于该检测到的通信间隔与所述规定的通信间隔的比较而对该接收到的报文的合法/非法进行判定。

根据这种结构或者方法，发送报文的通信装置和接收该报文的通信装置共有对在这些通信装置之间进行通信的报文所规定的通信间隔。由此，在接收报文的通信装置中，能够检测接收到的报文的通信间隔，并基于该检测出的通信间隔与规定的通信间隔的比较而对通信报文的合法/非法进行判定。具体来说，接收报文的通信装置将按照规定的通信间隔接收到的报文判定为正规的报文。另一方面，将从规定的通信间隔偏离而接收到的报文判定为非法的报文。由此，能够判别混入到通信报文中的非法的报文，因此能够从接收到的报文中除去非法的报文。即，在通信系统中，能够以简易的结构对在通信装置间进行通信的报文的合法/非法进行判定。

作为优选的结构，所述通信线是与控制器局域网络的协议对应的通信线，并且所述通信的报文是基于控制器局域网络的协议的报文。

作为优选的方法，将所述发送的报文及接收的报文作为基于控制器局域网络的协议的报文而进行通信。

根据这种结构或者方法，能够基于规定的通信间隔对按照控制器局域网络(CAN)的协议进行通信的报文的合法/非法进行判定。在CAN中，与总线连接的通信装置能够利用自我判断开始通信，即各通信装置能够根据各自的情况而向总线上发送报文，因此能够柔性地进行通信装置向作为总线的通信线的追加等。因此，能够如此简易地对报文的合法/非法进行判定，从而能够提高作为由CAN系统构成的通信系统的可靠性。

作为优选的结构，所述规定的通信间隔与控制器局域网络的协议的标识符建立对应关系，发送所述报文的通信装置基于向所述报文赋予的控制器局域网络的协议的标识符，来选择规定的通信间隔。

通常，报文的通信间隔对应该报文的每个内容即在CAN协议中对应报文的每个内容所赋予的每个标识符而确定。因此，根据这种结构，能够与报文的内容建立对应关系而进行规定的通信间隔的管理、选择。另外，在CAN中，能够利用进行与CAN协议对应的报文的通信处理的CAN控制器来识别标识符。因此，CAN控制器基于标识符来选择规定的通信间隔且利用该规定的通信间隔发送报文也变得容易。由此，能够提高作为通信系统的适用可能性。

作为优选的结构，接收所述报文的通信装置基于被赋予所述报文的控制器局域网络的协议的标识符，来选择用于判定该报文的合法/非法的规定的通信间隔。

根据这种结构，利用CAN控制器，基于能够识别的标识符而选择规定的通信间隔，因此能够容易地以该规定的通信间隔来判定是否接收了报文，即判定报文的合法/非法。

作为优选的结构，所述通信报文有多个种类，按照所述多个种类的报文的类别而分别规定通信间隔。

根据这种结构，对于多个种类的通信报文中的各个通信报文，基于分别对应的规定的通信间隔来判定该通信报文的合法/非法。由此，对于在此进行通信的各种各样的报文，通信系统都能够判定这些报文的合法/非法。

作为优选的结构，对于所述通信装置，从发送报文的通信装置传递所述规定的通信间隔。

根据这种结构，尽管是对通信报文所规定的通信间隔未设定于接收报文的通信装置的情况，但也能够在接收报文的通信装置中适当地设定规定的通信间隔，该接收的通信装置基于规定的通信间隔来判定通信报文的合法/非法。由此，能够实现该通信系统的适用可能性、便利性的提高。

另外，对于经由数据线连接器而与通信线(CAN总线)连接的由制造商、汽车销售商等所准备的诊断装置、更新装置等正规的装置发送的报文，也能够将对从这些装置进行通信的报文所规定的通信间隔向通信系统传递。由此，在通信系统中，对于经由数据线连接器而连接的装置，也能够进行报文的合法/非法的判定。

此外，由于也能够动态地变更规定的通信间隔，因此也能够提高安全性。

由此，也能够实现该通信系统的适用可能性、便利性的提高。

作为优选的结构，在所述通信装置中设有用于检测所述通信间隔的定时器，所述定时器的时刻基于从所述多个通信装置中的一个通信装置发送的同步用的报文而在所有通信装置中同步。

根据这种结构，将用于通信间隔的检测的定时器在多个通信装置间同步，因此尽管是在任何通信装置间进行通信的报文，也能够基于同步的定时器来检测该报文的通信间隔。由此，能够期待检测出的通信间隔与对报文所规定的通信间隔的比较结果的精度提高。因此，能够更适当地判定基于该通信系统的报文的合法/非法。

作为优选的结构，所述同步用的报文从发送报文的通信装置发送。

根据这种结构，使接收报文的通信装置的定时器与发送报文的通信装置的定时器同步，因此能够期待以更高的精度来检测通信报文的通信间隔。由此，能够更适当地判定基于该通信系统的报文的合法/非法。

附图说明

图1是表示将本发明所涉及的通信系统具体化的一个实施方式的概略结构的框图。

图2是表示图1所示的控制器的概略结构的框图。

图3是表示图1所示的控制器发送报文的次序的流程图。

图4是表示图1所示的控制器接收报文的次序的流程图。

图5是表示图1所示的通信系统进行报文通信的形态的顺序图。

图6是对图1所示的通信系统判定报文的合法/非法的形态进行说明的示意图。

图7是表示将本发明所涉及的通信系统具体化的其他实施方式的通信系统进行报文通信的形态的顺序图。

图8是表示将本发明所涉及的通信系统具体化的其他实施方式的概略结构的框图。

具体实施方式

对于将本发明所涉及的通信系统具体化的第一实施方式，参照图1～6进行说明。

如图1所示那样，车辆1具备作为通信系统的车载网络系统。车载网络系统具备第一～第四电子控制装置(ECU)10～13和将第一～第四ECU10～13连接的通信用总线15。由此，第一～第四ECU10～13能够经由通信用总线15将用于控制等的各种信息相互地进行授受(收发)。另外，车载网络系统作为CAN网络而构成，所述CAN网络作为通信协议而适用CAN(Contol Area Network)协议。例如，高速CAN的规格被规定为，传输速率是500kbps，最大总线长为40m，最大连接节点数为16个。另外，按照CAN协议作为通信中的一个单位的帧即能够包含在用于数据传送的数据/帧而发送的数据量被规定为最大64位(8字节)。通信用总线15是例如双扭线缆。

另外，在通信用总线15中设有作为连接端子的数据线连接器(DLC)14，该数据线连接器(DLC)14能够使外部设备以能够通信的方式连接于该通信用总线15。作为由制造商、汽车销售商等准备的正规的通信装置，在DLC14上以有线方式连接有：进行车辆状态等的诊断的诊断设备30、用于对第一～第四ECU10～13的软件进行更新的设备即正规工具31等。诊断设备30基于来自经由通信用总线15而收集的第一～第四ECU10～13的车辆信息等而进行车辆状态等的诊断。为了对存储于第一～第四ECU10～13的软件进行更新，正规工具31能够被改写，即所谓的重新编程。

此外，作为用户独自准备的非正规的通信装置，也能够在DLC14上连接有用户工具32。用户工具32是例如非正规的测试仪、智能电话等，因此在与CAN连接时并不一定能够保证不会对CAN的通信造成不良影响。特别是，在智能电话等中，用户任意选择的速度显示等的应用软件进行基于CAN协议的报文的收发。基于这种应用软件的通信对于是否适合CAN协议、是否会对通信产生不良情况、是否包含恶意的某种功能的验证无法充分地限制，因此作为通信系统，需要对报文进行监视，并对该报文的合法/非法进行判定。

第一～第四ECU10～13分别是用于车辆1的各种控制的控制装置，例如是将驱动系统、行驶系统、车身系统、信息设备系统等作为控制对象的ECU。例如，作为将驱动系统作为控制对象的ECU，能够列举出发动机用ECU，作为将行驶系统作为控制对象的ECU，能够列举出转向用ECU、制动用ECU，作为对车身系统进行控制的ECU，能够列举出灯光用ECU、车窗用ECU，作为将信息设备系统作为控制对象的ECU，能够列举出汽车导航用ECU。另外，与通信用总线15连接的ECU的数目不限于四个，也可以是三个以下，也可以是五个以上。另外，第一～第四ECU10～13具有同样的构造，因此以下，对第一ECU10的构造进行说明，而省略对第二～第四ECU11～13的构造的说明。

在第一ECU10，设有经由通信用总线15而进行基于CAN协议的报文的通信的通信部20和进行各种控制所需要的处理且与通信部20之间进行通信数据的授受的处理部23。

处理部23构成为包含微型计算机，具有进行各种处理的运算装置、对提供运算结果、各种控制功能的程序等进行保存的存储装置。并且，在处理部23中，通过由运算装置对提供预定的控制功能的程序进行执行处理而提供该预定的控制功能。

另外，速度传感器、发动机旋转传感器等未图示的各种传感器经由第一ECU10的未图示的输入输出接口而连接于处理部23，处理部23以预定的间隔例如每12msec、每100msec、每500msec对传感器的检测值进行检测。

此外，处理部23从通信部20获得利用报文所取得的通信数据，并且将要发送的通信数据提供给通信部20。即，处理部23能够经由通信用总线15而取得控制功能所需的各种数据，并且能够将要分配给其他ECU的各种数据发送到通信用总线15。

作为所取得的通信数据、要分配的通信数据，有基于各种传感器的检测值的数据、基于来自信息系统设备的信息的数据等。基于各种传感器的检测值的数据的数据长较多情况下是收纳于一个数据/帧的数据长，通常，该数据传送在一个报文通信中结束，但是该报文按照传感器的检测间隔而定期地被发送。另外，为了便于说明，在本实施方式中，将一个报文通信结束并且定期地被发送的报文称作“定期报文”。另外，基于来自信息系统设备的信息的数据的数据长也会长于收纳于一个数据/帧的数据长，该信息被分割为多个数据，将对该分割后的各数据进行存储的多个数据/帧作为报文而以预定的间隔依次连续地进行通信。另外，为了便于说明，在本实施方式中，把将被分割后的数据以预定的间隔依次连续地发送的报文称作“连续报文”。即，通过对存储有被分割为多个的各数据的各报文全部进行通信而结束基于“连续报文”的数据传送。

在通信部20设有无线电收发机21和控制器22。

无线电收发机21在通信用总线15和控制器22之间进行基于CAN协议的报文的中继。具体来说，无线电收发机21将由通信用总线15所通信的报文的电气特性转换为适合于控制器22的输入的电气特性，从而将由通信用总线15所通信的报文输入到控制器22。另外，无线电收发机21将从控制器22输入的报文的电气特性转换为适合于通信用总线15处的通信的电气特性，从而将从控制器22输出的报文传递到通信用总线15。

控制器22是所谓的CAN控制器，对接收到的报文进行解析，取得包含于该报文中的通信数据，并且基于从处理部23输入的通信数据而生成与该通信数据对应的报文并发送。即，控制器22将从无线电收发机21输入的报文中包含的通信数据提供给处理部23，并且将基于从处理部23输入的通信数据而生成的报文输出到无线电收发机21。

如图2所示那样，在本实施方式中，在控制器22中设有：保存区域24，对与报文的合法/非法的判定相关的各种参数等进行保存；CAN帧监视功能26，对CAN的通信状态进行监视；及控制判断功能27，对报文的通信定时进行判断。另外，在控制器22中设有：收发控制功能28，基于控制判断功能27的判断而发送报文，并且对接收到的报文的合法/非法进行判定；定时器29A，用于通信间隔的测定等；及同步功能29，确保定时器29A的同步。

保存区域24是能够对确保于非易失存储器、硬盘等中的数据进行保存的区域，并且将与报文的合法/非法的判定相关的各种参数作为定时规定25而保存。另外，也可以在保存区域24保存有CAN协议的各种参数。

在定时规定25，对报文所规定的通信间隔对应每个报文的种类而保存。在CAN协议中，根据赋予到报文的标识符(ID)而区别报文的种类，因此在定时规定25，将对报文所规定的通信间隔以与标识符建立了对应关系的形态而保存。在定时规定25，例如，将通信间隔“12msec”与报文的标识符“1A0”建立对应关系而保存，将通信间隔“500msec”与报文的标识符“1A1”建立对应关系而保存，将通信间隔“100msec”与报文的标识符“1A2”建立对应关系而保存。即，定时规定25设定于第一～第四ECU10～13，因此保存于定时规定25的规定的通信间隔由第一～第四ECU10～13共有。

另外，在定时规定25，作为报文的合法/非法的判定所需的信息，也保存有开始发送报文的时间、发送停止/休止的条件、进行定时器的同步控制的定时、成为用于进行通信间隔的合法/非法判定的基准的预定的范围，例如误差范围、余量期间等。基于试验、经验、模拟等来设定误差范围、余量期间。

CAN帧监视功能26通过对从无线电收发机21输入的报文进行监视，基于对发送到通信用总线15的报文(帧)的通信间隔进行计算、或对相对于通信用总线15的通信容量的负荷状态进行计算的情况等，而对通信用总线15的通信状态进行掌握。

控制判断功能27基于从CAN帧监视功能26获得的通信用总线15的通信状态而判定可否发送报文，并且在能够发送报文的情况下，按照由存储于保存区域24内的定时规定25所规定的通信间隔将通信报文的发送定时向收发控制功能28指示。即，在通信用总线15中流过预定的通信量以上的报文时，控制判断功能27对来自控制器22的发送进行抑制。另外，在本实施方式中，将预定的通信量设为与该通信用总线15的最大通信容量的30～40％相当的量，但是也可以比30％小，或者比40％大。

另外，控制判断功能27参照定时规定25而取得对收发控制功能28接收到的报文所规定的通信间隔，并且算出接收到的报文的通信间隔。并且，控制判断功能27对算出的通信间隔和规定的通信间隔进行比较而算出差，在通信间隔的差是预定的误差范围内的情况下，判定为该报文是正规的报文，并且指示收发控制功能28对该报文按照通常方式进行处理。另一方面，在该通信间隔的差超过预定的误差范围的情况下，控制判断功能27判定为该报文是非法的报文，并且指示收发控制功能28将该报文废弃。另外，在接收到的报文仅仅是一个等无法算出接收到的报文的通信间隔的情况下，暂时保留报文的合法/非法的判定，并指示收发控制功能28保存该接收到的报文。

收发控制功能28按照控制判断功能27的指示，经由无线电收发机21发送基于从处理部23输入的通信数据而由控制器22作成的报文。即，收发控制功能28在将发送的报文的标识符通知到控制判断功能27后，从控制判断功能27与根据该通知而指示的发送定时相对应地发送报文。因此，根据控制判断功能27所指示的通信间隔来发送报文，另一方面，在从控制判断功能27指示发送之前停止报文的发送。

另外，当收发控制功能28接收报文时，将该报文与标识符和接收时刻一起暂时保存于保存区域24，并且将接收到该报文这一内容向控制判断功能27通知。并且，按照响应该通知而从控制判断功能27接受的指示，对接收到的报文进行处理。例如，当收发控制功能28从控制判断功能27接受了按照通常方式进行处理这一内容的指示时，由控制器22对作为对象的报文进行解析处理，使得处理部23能够取得通信数据。另外，当收发控制功能28从控制判断功能27接受了废弃报文这一内容的指示时，将暂时保存的报文等从保存区域24删除，从而将该报文废弃。此外，当收发控制功能28从控制判断功能27接受了保留这一内容的指示时，使保存区域24中的报文等的暂时保存继续而维持该报文。另外，也可以是，在通信报文是“连续报文”的情况下，在数据传送的中途检测出非法的报文时，收发控制功能28停止以后的报文的接收。

定时器29A是所谓的时钟，以例如数毫秒至数秒的范围对基于计测的时间而具有相同标识符的两个报文的通信间隔进行计测。因此，优选为在通信间隔的计测中与进行通信的其他ECU之间在时刻上不产生误差。因此，定时器29A能够进行校正，以使计测的时刻与设定于通信系统的主机的定时器同步。

同步功能29具有使定时器29A的时刻与连接于通信系统的其他ECU同步的功能。在同步功能29，可选择地设有：主机模式，基于定时器29A的时刻而产生对同步定时进行指示的时刻同步报文M5(参照图1)；及从动模式，按照接收到的时刻同步报文M5使定时器29A同步。如此，该同步由CAN协议所规定，与为了对报文(帧)准确地进行收发而在ECU(节点)间所进行的同步不同。

在本实施方式中，将第一ECU10的同步功能29设定为主机模式，该同步功能29每当定时器29A计测预定期间时生成时刻同步报文M5，并将该时刻同步报文M5向通信用总线15发送。另外，在时刻同步报文M5赋予预定的标识符(ID)，并且包含有上次发送之后的经过时间等。

另一方面，将第二～第四ECU11～13的同步功能29设定为从动模式。即当第二～第四ECU11～13的同步功能29接收到时刻同步报文M5时，将从“上次的时刻同步报文M5”到“本次的时刻同步报文M5”的定时器29A的经过时间与时刻同步报文M5中所包含的经过时间同步，即对定时器29A的时刻进行校正。

如图1所示那样，在诊断设备30、正规工具31及用户工具32中分别设有通信部20及处理部40。

通信部20具有与上述的第一ECU10的通信部20同样的功能，并通过经由DLC14而连接的通信用总线15能够进行基于CAN协议的报文的通信。即，定时规定25分别设定于诊断设备30、正规工具31及用户工具32，因此保存于定时规定25的规定的通信间隔与第一～第四ECU10～13一起，由诊断设备30、正规工具31及用户工具32所共有。

处理部40构成为包含微型计算机，所述微型计算机具有能够进行在诊断设备30、正规工具31及用户工具32等所需的处理的性能，处理部40还具有进行各种处理的运算装置、对运算结果、提供各种控制功能的程序等进行保存的存储装置。即，处理部40具有与上述的第一ECU10的处理部23同样的功能，且通过在运算装置中对提供预定的功能的程序进行执行处理而提供该预定的功能。另外，处理部40与第一ECU10的处理部23同样，从通信部20获得通信数据，并且将要发送的通信数据提供给通信部20。即，处理部40能够经由通信用总线15而取得功能提供所需的各种数据，并能够将要分配给其他ECU的各种数据发送到通信用总线15。

如此，诊断设备30、正规工具31及用户工具32与上述的第一ECU10同样，能够将报文按照对该报文所规定的通信间隔向通信用总线15发送。另外，能够与上述的第二ECU11同样，能够基于对该报文所规定的通信间隔对从通信用总线15接收到的报文的合法/非法进行判定。

接下来，参照图3及图4，对能够判定报文的合法/非法的通信处理进行说明。

另外，在本实施方式中，虽然能够对第一～第四ECU10～13、诊断设备30、正规工具31及用户工具32的任何报文进行收发，但是为了便于说明，以下，仅对第一ECU10发送报文并且第二ECU11对该发送出的报文进行接收的情况进行说明。另外，在报文中，虽然如上述那样存在传感器检测值等的“定期报文”和来自信息系统设备的信息等的“连续报文”，但是对“定期报文”的处理和对“连续报文”的处理类似。因此，以下，主要说明对“定期报文”的处理，关于对“连续报文”的处理，仅说明与“定期报文”的处理相异的点。

首先，对发送报文的情况进行说明。另外，每次发送报文时执行该处理。

如图3所示那样，在第一ECU10中，当开始报文的发送时，控制器22取得对该报文所规定的通信间隔(步骤S10)。其后，基于定时器29A计测的时间而确保通信间隔(步骤S11)。具体来说，控制器22对从前一个发送出的具有相同标识符的报文的发送定时起的经过时间进行计测，在计测的经过时间与规定的通信间隔相等之前等待向下一个步骤的转移。另外，在没有发送与以前相同的标识符的报文的情况下、或以前的发送比规定的通信间隔靠前的情况下，没有必要确保规定的通信间隔，因此直接转移到下一个步骤。例如，在首次发送“定期报文”情况下、或发送“连续报文”中的“最初的报文”的情况下，直接向下一个步骤转移。

并且，控制器22将通信报文向通信用总线15发送(步骤S12)，并且对通信报文是否剩余即通信报文是否结束进行确认(步骤S13)。在判断为通信报文已结束的情况下(步骤S13中为是)，控制器22结束报文的发送。

另一方面，在判断为通信报文未结束的情况下(步骤S13中为否)，控制器22为了发送下一个报文而返回到步骤S11，重复上述的步骤。

即，在“定期报文”的情况下，发送的报文是一个，因此暂时结束报文的发送(步骤S12)。另一方面，在“连续报文”的情况下，发送的报文是多个，因此暂时不结束报文的发送(步骤S12)而多次执行。

接下来，对接收报文的情况进行说明。另外，每次接收报文时执行该处理。

如图4所示那样，在第二ECU11中，当开始报文的接收时，控制器22对通信报文进行接收(步骤S20)，算出与接收到的报文对应的通信间隔(步骤S21)。并且，控制器22判断算出的通信间隔是否适合于对该通信报文所规定的通信间隔(步骤S22)。根据算出的通信间隔包含在相对于规定的通信间隔的误差范围内，而判断为算出的通信间隔适合于规定的通信间隔。

在判断为算出的通信间隔适合于规定的通信间隔的情况下(步骤S22中为是)，控制器22判断为接收到的报文是正规的报文，并正常地按照通常方式对该报文进行处理(步骤S23)。并且，结束报文的接收。

另一方面，在判断为算出的通信间隔不适合于规定的通信间隔的情况下(步骤S22中为否)，控制器22判断为接收到的报文是非法的报文，而将该接收到的报文废弃(步骤S24)。

即，在“定期报文”的情况下，由于发送出的报文是一个，因此在这里结束通信(结束数据传送)。另一方面，在“连续报文”的情况下，由于发送的报文是多个，因此在接收到最后的报文之前重复上述处理，由此结束通信(结束数据传送)。

接下来，对于该通信系统的作用，参照图5及图6进行说明。另外在此，将与规定的通信间隔对应的发送间隔Tc1设定为第一及第二ECU10、11，第二ECU11算出接收间隔Tc2作为根据接收到的报文算出的通信间隔。另外，将第一报文M1和第二报文M2作为设定了相同标识符的报文。

如图5所示那样，当从第一ECU10开始报文的发送时，最初的报文即第一报文M1经由通信用总线15而被第二ECU11接收。如此接收到第一报文M1的第二ECU11将接收时刻与第一报文M1的标识符一起存储。另外，在仅接收到一个报文的情况下，由于无法判定报文的合法/非法，因此在“定期报文”的情况下，第二ECU11将报文废弃。另外，第二ECU11可以保存“定期报文”，也可以直接使用“定期报文”。另一方面，在“连续报文”的情况下，若没有接收到所有的报文，则数据传送未结束，因此优选为保存报文。

另一方面，发送出第一报文M1的第一ECU10使下一个的第二报文M2的发送等待与对该第一报文M1所规定的通信间隔对应的发送间隔Tc1，并且伴随着该发送间隔Tc1的经过而发送第二报文M2。如此发送出的第二报文M2被第二ECU11接收，并由接收后的第二ECU11将接收时刻与第二报文M2的标识符一起存储。

并且，第二ECU11基于接收到两个报文这一情况，进行该报文M2的合法性的判定。即第二ECU11算出接收间隔Tc2作为报文间的通信间隔，并且将该算出的接收间隔Tc2与作为规定的通信间隔的发送间隔Tc1进行比较。并且，在算出的接收间隔Tc2与规定的发送间隔Tc1之差处于预定的范围即误差范围内的情况下，判定为接收到的第二报文M2是正规的报文。另外，此时，也可以判定为第一报文M1也是正规的报文。在“定期报文”的情况下，如果必要也可以使用第一报文M1，但由于是过去的数据，因此废弃。另一方面，在“连续报文”的情况下，第一报文M1构成通信数据的一部分，因此判定为第一报文M1也是正规的报文而按照通常方式进行处理。

另一方面，在算出的通信间隔与规定的通信间隔之差超过预定的范围即误差范围的情况下，判定为接收到的第二报文M2是非法的报文。另外，本来，在仅接收到第二个报文为止的时刻，由于无法确定第一报文M1和第二报文M2中的哪一个是非法的报文，因此无法判定为第一报文M1是正规的报文。

如图6所示那样，在通信用总线15上连接有非法工具33，在第一ECU10发送的第二报文M2之后，非法工具33发送具有相同标识符的非法的报文Mb3。此时，接收到非法的报文Mb3的第二ECU11算出第二报文M2和非法的报文Mb3之间的通信间隔，并且将算出的通信间隔与规定的通信间隔(发送间隔Tc1)进行比较而获得其差(＝Tc1－Tb)。此时，由于所述差(Tc1－Tb)超过相对于发送间隔Tc1的误差范围(例如±1msec)，因此第二ECU11判定为非法的报文Mb3是非法的报文，并将其废弃。

其后，第一ECU10在发送出第二报文M2之后伴随着发送间隔Tc1经过而发送第三报文M3，如此发送出的第三报文M3被第二ECU11接收。并且第二ECU11将作为报文间的通信间隔而算出的接收间隔Tc2与作为规定的通信间隔的发送间隔Tc1进行比较。此时，由于将非法的报文Mb3废弃，因此在接收间隔的计算中使用第二报文M2的接收时刻。并且，由于算出的接收间隔Tc2与规定的发送间隔Tc1之差处于预定的范围即误差范围内，因此判定为接收到的第三报文M3是正规的报文，并且按照通常方式进行处理。

如以上说明的那样，具备本实施方式所涉及的通信装置的通信系统具有以下所列举的效果。

(1)发送报文的第一ECU10和接收该报文的第二ECU11共有对在这些第一及第二ECU10、11之间进行通信的报文所规定的通信间隔。由此，接收报文的第二ECU11能够检测接收到的报文的通信间隔(接收间隔Tc2)，并基于该检测出的通信间隔与规定的通信间隔(发送间隔Tc1)的比较而判定通信报文的合法/非法。具体来说，接收报文的第二ECU11将按照规定的通信间隔接收到的报文判定为正规的报文，另一方面，将从规定的通信间隔偏离而接收到的报文判定为非法的报文。由此，由于能够判别混入到通信报文中的非法报文(Mb3)，因此能够从接收到的报文(M1、M2、Mb3、M3)中除去非法的报文(Mb3)。即，在通信系统中，能够以简易的结构对在ECU10～13、诊断设备30、正规工具31及用户工具32间进行通信的报文的合法/非法进行判定。

(2)能够基于规定的通信间隔而对利用CAN协议进行通信的报文的合法/非法进行判定。在CAN中，与通信用总线15连接的ECU等能够利用自我判断而开始通信，即各ECU等能够根据各自的情况而向通信用总线上发送报文，因此能够柔性地进行ECU、用户工具32、非法工具33等向通信用总线15的追加等。因此，能够如此简易地对报文的合法/非法进行判定，从而能够提高作为由CAN系统构成的通信系统的可靠性。

(3)通常，该报文的通信间隔对应报文的每个内容即在CAN协议中对应报文的每个内容所赋予的每个标识符(IC)而确定，因此与报文的内容建立对应关系而进行规定的通信间隔的管理、选择。另外，在CAN中，能够利用进行与CAN协议对应的报文的通信处理的控制器22来识别标识符。因此，控制器22基于标识符来选择规定的通信间隔并且以该规定的通信间隔发送报文也变得容易。由此，能够提高作为通信系统的适用可能性。

(4)利用控制器22，基于能够识别的标识符对规定的通信间隔进行选择，因此能够容易地以该规定的通信间隔来判定是否接收了报文，即判定报文的合法/非法。

(5)根据多个种类的报文的类别而分别规定通信间隔，因此能够对多个种类的通信报文分别判定报文的合法/非法。由此，对于在此进行通信的各种各样的报文，通信系统都能够判定这些报文的合法/非法。

(6)将用于通信间隔的检测的定时器29A在多个ECU等之间同步，因此尽管是在任何ECU等之间进行通信的报文，也基于同步的定时器29A来检测该报文的通信间隔。由此，能够期待检测出的通信间隔与对报文所规定的通信间隔的比较结果的精度提高。因此，能够更适当地判定基于该通信系统的报文的合法/非法。

(7)使接收报文的第二ECU11的定时器29A与发送报文的第一ECU10的定时器29A同步，因此能够期待以更高的精度来检测通信报文的通信间隔。由此，能够更适当地判定基于该通信系统的报文的合法/非法。

(其他实施方式)

另外，上述实施方式也能够由以下的形态来实施。

·在上述实施方式中，对以规定的通信间进行报文通信的情况进行了例示。然而不限于此，也能够设为，即使在不以规定的通信间隔进行报文通信的情况下也能够适当地对非法的报文进行判定。

例如，如图7所示那样，在第一ECU10发送出第一报文M1之后，在经过了发送间隔Tc1的定时要发送下一个第二报文M2时，也存在在该定时根据通信用总线上的情况而无法发送报文的情况。作为如此无法发送报文的情况，例如具有如下情况等：在第一ECU10发送报文时产生冲突(冲突)，调解的结果为，存在第一ECU10未得到发送权而中止发送的情况等。此时，来自第一ECU10的第二报文M2的发送略微延迟，但若对考虑了产生调解的情况的误差范围例如余量期间Tm进行设定，则第二ECU11能够将略微延迟而接收到的第二报文M2判定为正规的报文。

另外，例如，在第一ECU10无法以规定的通信间隔发送第二报文M2时，也可以决定以预先确定的再次发送间隔Tr进行等待。如果如此决定，则在第二ECU11中，能够通过算出的通信间隔(＝Tc2+Tr)和规定的通信间隔(＝Tc1+Tr)的比较来判定接收到的第二报文M2的合法/非法。

此外，也可以根据由CAN协议规定的错误/帧对在通信用总线中所产生的冲突(冲突)进行检测，在发送侧及接收侧均从该定时以规定的发送间隔Tc1进行通信，也可以从该定时以再次发送间隔Tr进行进行等待，之后进行通信。

另外，第二ECU11可以在误差范围内，预先或根据需要追加余量期间Tm，或者预先或根据需要将误差范围扩大余量期间Tm。

如上述那样，尽管是报文不以规定的通信间隔进行通信的情况，但也能够对非法的报文进行判定，换言之，不将正规的报文判定为非法的报文，从而能够使报文的传送高效化。由此能够实现通信系统的适用可能性的提高。

·在上述实施方式中，对在时刻同步报文M5中包含经过时间的情况进行了例示，但是不限于此，如果时刻同步报文的通信周期被预先确定，则也可以在该报文中不包含经过时间。由此，通信系统变得简易并且设计自由度提高。

·在上述实施方式中，对通过从收发控制功能28发送的时刻同步报文M5而将各ECU的定时器29A的时刻同步的情况进行了例示。但是不限于此，各ECU也可以基于对从收发控制功能定期发送的报文进行监视而将定时器同步。由此，也能够使通信系统变得简易，并且设计自由度提高。

·在上述实施方式中，对在控制器22中不包含同步功能29的情况进行了例示，但是不限于此，如果能够适当地进行通信间隔的计测，则也可以不使各定时器同步。由此，通信系统变得简易。

·在上述实施方式中，对非法工具33(图6参照)直接连接于通信用总线15的情况进行了例示。但是，不限于此，非法工具也可以经由DLC而连接。例如，即使与DLC连接的用户工具作为非法工具而发送非法报文，也能够对该发送出的非法的报文进行判定。由此，能够提高通信系统的可靠性。

·在上述实施方式中，对在DLC14以有线方式连接外部设备的情况进行了例示。但是，不限于此，也可以在DLC经由无线通信连接外部设备。例如，只要在DLC连接无线通信终端，在外部设备也设置无线通信装置，使DLC和外部设备之间的通信实现无线通信即可。由此，无论向DLC的外部设备的连接形态如何都能够对报文的合法/非法进行判定。

·在上述实施方式中，对作为报文存在传感器输出等“定期报文”和来自信息设备的信息等“连续报文”的情况进行了例示。但是不限于此，关于报文，可以是多次送出完全相同的报文，也可以是使基于其他报文的通信暂时地全部停止而使用大量的数据/帧连续地发送重新编程用的程序数据等那样的报文。即，无论报文中包含的通信数据如何，只要是以相同的标识符进行多次通信的报文，就能够利用该通信系统对报文的合法/非法进行判定。由此，能够实现该通信系统的便利性的提高和适用可能性的提高。

·在上述实施方式中，对在第一～第四ECU10～13、诊断设备30、正规工具31等中预先静态地设定通信间隔的情况进行了例示。但是不限于此，也可以在ECU等中动态地设置通信间隔。具体来说，如图8所示那样，发送报文的第一ECU10向接收报文的第二ECU11等传输根据报文所规定的通信间隔，并且动态地进行设定。这种动态的通信间隔只要如下设定即可：准备赋予了用于通信间隔设定的CAN协议的标识符的通信间隔报文M6，各ECU等接收该通信间隔报文M6而设定与标识符对应的通信间隔。另外，也可以是，当设定通信间隔时，预先规定的ECU向通信地的ECU传输通信间隔，并且动态地进行设定。

由此，尽管是未设定对通信报文所规定的通信间隔的情况，但也能够对由接收报文的ECU等规定的通信间隔适当进行设定，该接收的ECU等基于规定的通信间隔而对通信报文的合法/非法进行判定。由此，能够实现该通信系统的适用可能性、便利性的提高。

另外，即使对于经由数据线连接器而与通信用总线连接的由制造商、汽车销售商等所准备的诊断装置、正规工具等正规的装置发送的报文，也能够从这些装置将对通信报文所规定的通信间隔向通信系统传递。由此，在通信系统中，也能够对经由数据线连接器而连接的装置进行报文的合法/非法的判定。

此外，由于也能够动态地变更规定的通信间隔，因此能够使安全性提高。

由此，能够实现该通信系统的适用可能性、便利性的提高。

·在上述实施方式中，对一个通信间隔与一个报文的标识符对应的情况进行了例示。但是不限于此，也可以使具有规则的多个通信间隔与一个报文的标识符对应。例如，也可以将报文的标识符“1A5”设定为交替地重复两个通信间隔“20msec”和“40msec”。由此，可以进一步增加能够对合法/非法进行判定的报文的种类，并且模仿变得困难，安全性提高。

·在上述实施方式中，就对报文设定通信间隔的情况进行了例示。但是不限于此，如果规定了报文的通信间隔，则对报文所规定的通信间隔可以是基于通信周期而确保的间隔，也可以是基于预定的时刻而确保的间隔，还可以是基于预定的条件而确保的间隔。即，作为通信间隔，也可以设定通信周期、时刻、预定的条件。由此，可以增加能够对合法/非法进行判定的报文的种类。

·在上述实施方式中，就对报文规定通信间隔的情况进行了例示。但是不限于此，通信间隔只要以能够确保ECU等之间的报文的安全性的方式确定即可，也可以对应每个ECU、诊断设备等对报文规定通信间隔。由此，通信间隔的规定的设定变得简单，能够使通信系统的适用容易。

·在上述实施方式中，对将通信系统搭载于车辆1的情况进行了例示。但是不限于此，通信系统也可以是其一部分或者全部设于车辆以外。由此，即使对于由在车辆以外使用的CAN构成的通信系统也能够进行报文的合法/非法的判定，因此能够实现该通信系统的适用可能性的提高。

·在上述实施方式中，对通信系统是基于CAN协议的系统的情况进行了例示。但是不限于此，通信系统也能够适用于多个通信装置能够以任意的定时开始通信的通信协议，例如在访问总线等通信线时能够进行用于恰当地赋予访问权的调解那样的协议。由此，能够实现这种通信系统的适用可能性的提高。

附图标记说明

1…车辆，10～13…第一～第四电子控制装置(ECU)，14…数据线连接器(DLC)，15…通信用总线，20…通信部，21…无线电收发机，22…控制器，23…处理部，24…保存区域，25…定时规定，26…CAN帧监视功能，27…控制判断功能，28…收发控制功能，29…同步功能，29A…定时器，30…诊断设备，31…正规工具，32…用户工具，33…非法工具，40…处理部。

Claims

1.一种通信系统，多个通信装置以能够进行报文通信的方式连接于通信线，所述通信系统的特征在于，

在所述通信装置中，设定对通信报文所规定的通信间隔，

发送报文的通信装置基于该规定的通信间隔而发送报文，

接收所述发送出的报文的通信装置检测该接收到的报文的通信间隔，并基于该检测出的通信间隔与所述规定的通信间隔的比较而对该接收到的报文的合法/非法进行判定。

2.根据权利要求1所述的通信系统，其中，

所述通信线是与控制器局域网络的协议对应的通信线，并且所述通信报文是基于控制器局域网络的协议的报文。

3.根据权利要求2所述的通信系统，其中，

所述规定的通信间隔与控制器局域网络的协议的标识符建立对应关系，

发送所述报文的通信装置基于向所述报文赋予的控制器局域网络的协议的标识符，来选择规定的通信间隔。

4.根据权利要求3所述的通信系统，其中，

接收所述报文的通信装置基于被赋予所述报文的控制器局域网络的协议的标识符，来选择用于判定该报文的合法/非法的规定的通信间隔。

5.根据权利要求1～4中任一项所述的通信系统，其中，

所述通信报文有多个种类，按照所述多个种类的报文的类别而分别规定通信间隔。

6.根据权利要求1～5中任一项所述的通信系统，其中，

对于所述通信装置，从发送报文的通信装置传递所述规定的通信间隔。

7.根据权利要求1～6中任一项所述的通信系统，其中，

在所述通信装置中设有用于检测所述通信间隔的定时器，所述定时器的时刻基于从所述多个通信装置中的一个通信装置发送的同步用的报文而在所有通信装置中同步。

8.根据权利要求7所述的通信系统，其中，

所述同步用的报文从发送报文的通信装置发送。

9.一种通信方法，用于多个通信装置以能够进行报文通信的方式连接于通信线的通信系统，所述通信方法的特征在于，

在所述通信装置中，设定对通信报文所规定的通信间隔，

每当发送报文的通信装置基于所述设定的通信间隔而发送报文时，使接收报文的通信装置检测该接收到的报文的通信间隔，并基于该检测到的通信间隔与所述规定的通信间隔的比较而对该接收到的报文的合法/非法进行判定。

10.根据权利要求9所述的通信方法，其中，

将所述发送的报文及接收的报文作为基于控制器局域网络的协议的报文而进行通信。