CN105594155A - 车载网络系统、电子控制单元以及更新处理方法 - Google Patents

车载网络系统、电子控制单元以及更新处理方法 Download PDF

Info

Publication number
CN105594155A
CN105594155A CN201580002039.XA CN201580002039A CN105594155A CN 105594155 A CN105594155 A CN 105594155A CN 201580002039 A CN201580002039 A CN 201580002039A CN 105594155 A CN105594155 A CN 105594155A
Authority
CN
China
Prior art keywords
frame
mac
vehicle
state
renewal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201580002039.XA
Other languages
English (en)
Other versions
CN105594155B (zh
Inventor
氏家良浩
松岛秀树
芳贺智之
前田学
海上勇二
岸川刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN105594155A publication Critical patent/CN105594155A/zh
Application granted granted Critical
Publication of CN105594155B publication Critical patent/CN105594155B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

本公开提供一种车载网络系统、电子控制单元以及更新处理方法。在具备按照CAN协议经由总线进行附加了MAC的数据帧的授受的多个电子控制单元的车载网络系统中为了更新被利用于生成MAC的数据而使用的更新处理方法包括:检测步骤,检测搭载车载网络系统的车辆的状态;和更新步骤,将在检测步骤中检测到的车辆的状态为预定状态作为条件,更新被利用于生成MAC的MAC密钥。

Description

车载网络系统、电子控制单元以及更新处理方法
技术领域
本公开涉及在电子控制单元进行通信的车载网络中对抗不正常(irregularity)帧的发送的技术。
背景技术
近年来,在汽车中的系统内,配置有许多称为电子控制单元(ECU:ElectronicControlUnit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISO11898-1规定的CAN(ControllerAreaNetwork:控制器局域网络)这一标准(参照“非专利文献1”)。
在CAN中,通信路径由两条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接受到的帧的格式存在异常的情况下,发送被称为错误帧(errorframe)的帧。错误帧是通过连续地发送6比特(bit)的显性,从而向发送节点和/或其他接收节点通知帧的异常的帧。
另外,在CAN中不存在指示发送目的地或发送源的识别符,发送节点在每帧中附加被称为消息ID的ID并进行发送(也即是,向总线送出信号),各接收节点仅接收预先确定的消息ID(也即是,从总线读取信号)。另外,采用CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance:载波侦听多址访问/冲突避免)方式,在多个节点的同时发送时,进行利用消息ID的仲裁(调停),优先发送消息ID的值小的帧。
此外,在车载网络中,存在因不正常节点与总线连接,不正常节点不正常地发送帧,从而导致不正常地控制车体的可能性。为了防止这样的不正常帧的发送所导致的控制,一般已知有如下技术:在CAN的数据段中附加消息认证码(MAC:MessageAuthenticationCode)来进行发送(参照“专利文献1”)。
在先技术文献
专利文献
专利文献1:日本特开2013-98719号公报
非专利文献
非专利文献1:CANSpecification2.0partA,[online],CANinAutomation(CiA),[2014年11月14日检索],互联网(URL:http://www.can-cia.org/fileadmin/cia/specifications/CAN20A.pdf)
非专利文献2:RFC2104HMAC:Keyed-HashingforMessageAuthentication
发明内容
发明要解决的问题
然而,由于能够保存在CAN的数据段中的MAC的数据长度不能说足够长,所以会担心与总线连接的不正常节点对MAC的暴力攻击等。
因此,本公开提供一种车载网络系统,其用于提高对于与总线连接的不正常节点对MAC的暴力攻击的抗攻击性。另外,本公开提供一种在该车载网络系统中使用的电子控制单元(ECU)、以及为了提高对于不正常节点对MAC的暴力攻击的抗攻击性而进行与被利用于生成MAC的数据(MAC密钥(key)等)的更新有关的更新处理的更新处理方法。
用于解决问题的技术方案
为了解决上述问题,本公开的一个技术方案涉及的更新处理方法是用于在车载网络系统中更新消息认证码密钥即MAC密钥的更新处理方法,所述车载网络系统具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述MAC密钥被利用于生成所述消息认证码,所述更新处理方法包括:检测步骤,检测搭载所述车载网络系统的车辆的状态;和更新步骤,将在所述检测步骤中检测到的车辆的状态为预定状态这一情况作为条件,更新被利用于生成所述消息认证码的MAC密钥。
另外,为了解决上述问题,本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其生成消息认证码,并附加到以预定消息ID识别的数据帧而进行发送;和第二电子控制单元,其生成消息认证码,接收以所述预定消息ID识别的数据帧,并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别具有:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述车载网络系统的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
另外,为了解决上述问题,本公开的一个技术方案涉及的电子控制单元(ECU)是为了按照CAN协议即控制器局域网络协议经由总线对数据帧附加消息认证码即MAC来进行发送、或者为了按照CAN协议即控制器局域网络协议经由总线接收数据帧并对在该数据帧中附加有消息认证码这一情况进行验证,生成消息认证码的电子控制单元,所述电子控制单元具备:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述电子控制单元的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
发明的效果
根据本公开,在遵循CAN协议进行通信的网络通信系统中,能够提高对于与总线连接的不正常节点的攻击的抗攻击性。
附图说明
图1是表示实施方式1涉及的车载网络系统的整体构成的图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是实施方式1涉及的ECU的构成图。
图4是表示接收ID列表的一例的图。
图5是表示判定规则的一例的图。
图6是表示从与发动机连接的ECU发送来的数据帧中的ID和数据段的一例的图。
图7是表示从与制动器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
图8是表示从与门开闭传感器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
图9是表示从与窗开闭传感器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
图10是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图11)。
图11是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图10)。
图12是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图13)。
图13是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图12)。
图14是表示实施方式2涉及的车载网络系统的整体构成的图。
图15是实施方式2涉及的ECU的构成图。
图16是表示判定规则的一例的图。
图17是网关(gateway)的构成图。
图18是表示传输规则的一例的图。
图19是表示利用网关的更新开始帧发送处理的一例的流程图。
图20是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图21)。
图21是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图20)。
图22是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图23)。
图23是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图22)。
标号说明
10、20车载网络系统
101、2401帧收发部
102、2402帧解释部
103、2403接收ID判断部
104、2404接收ID列表保持部
105、2105、2405帧处理部
106、2406车辆状态保持部
107、2107、2407判定规则保持部
108定时器
109、2109、2409更新判定部
110、2410更新处理部
111、2411MAC密钥保持部
112、2412计数保持部
113、2413MAC生成部
114、2414帧生成部
115数据取得部
200、2200a、2200b总线
310发动机
320制动器
330门开闭传感器
340窗开闭传感器
2116、2416区域类别保持部
2400网关
2417传输处理部
2418传输规则保持部
2419更新处理定时器
具体实施方式
本公开的一个技术方案涉及的更新处理方法是用于在车载网络系统中更新消息认证码密钥即MAC密钥的更新处理方法,所述车载网络系统具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述MAC密钥被利用于生成所述消息认证码,所述更新处理方法包括:检测步骤,检测搭载所述车载网络系统的车辆的状态;和更新步骤,将在所述检测步骤中检测到的车辆的状态为预定状态这一情况作为条件,更新被利用于生成所述消息认证码的MAC密钥。由于车辆的状态与电子控制单元(ECU)的处理负荷或总线的通信量具有某种程度的关联性,所以,例如通过在适于更新MAC密钥的车辆的状态下进行更新,能够在ECU间进行同步的更新。由于能够恰当地进行用于生成MAC的MAC密钥的更新,所以对于不正常节点对MAC的暴力攻击的抗攻击性变高。
另外,也可以是,所述多个电子控制单元中的发送以预定消息ID识别的数据帧的第一电子控制单元,以反映对发送次数进行计数的发送计数器的值的方式使用所述MAC密钥生成消息认证码并附加到所述数据帧,所述多个电子控制单元中的接收以所述预定消息ID识别的数据帧的第二电子控制单元,以反映对接收次数进行计数的接收计数器的值方式使用所述MAC密钥生成消息认证码并对在所述数据帧中附加有该消息认证码这一情况进行验证,所述更新处理方法还包括:复位步骤,将在所述检测步骤中检测到的车辆的状态为所述预定状态这一情况作为条件,将所述发送计数器和所述接收计数器复位。由此,由于用于生成MAC的计数值(发送计数器、接收计数器)被复位,所以,对于不正常节点对MAC的暴力攻击的抗攻击性变高。
另外,也可以是,所述车载网络系统具备多条总线,在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线对应地确定。由此,能够与适合于连接有ECU的总线的车辆的状态对应地执行MAC密钥的更新。
另外,也可以是,所述车载网络系统具备多条总线,所述多条总线分别属于多个种类的组中的某一个组,在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线所属的组对应地确定。由此,能够与适合于连接有ECU的总线所属的组的车辆的状态对应地执行MAC密钥的更新。
另外,也可以是,在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,如果在所述检测步骤中检测到的车辆的状态为所述预定状态,则进行所述MAC密钥的更新。由此,成为空开一定时间而执行MAC密钥的更新。
另外,也可以是,在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,在所述检测步骤中检测到的车辆的状态不是所述预定状态的情况下,在所述检测步骤中检测到的车辆的状态变化成所述预定状态的定时进行所述MAC密钥的更新。由此,成为当从MAC密钥的前一次更新起超过一定时间时,在车辆的状态成为预定状态后进行更新。
另外,也可以是,所述预定状态为所述车辆不行驶的状态。另外,也可以是,所述预定状态为驻车状态。由此,能抑制由于MAC密钥的更新而提高例如车辆的行驶期间的ECU的处理负荷。
另外,也可以是,本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其生成消息认证码,并附加到以预定消息ID识别的数据帧而进行发送;和第二电子控制单元,其生成消息认证码,接收以所述预定消息ID识别的数据帧,并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别具有:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述车载网络系统的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。由此,由于能在CAN的发送帧(消息)的ECU间恰当地进行MAC密钥的更新,所以对于不正常节点对MAC的暴力攻击的抗攻击性变高,所述MAC密钥是在为了向消息附加或验证而生成MAC时使用的密钥。
另外,也可以是,所述第一电子控制单元和所述第二电子控制单元的更新处理部,在接收到以预先确定的特定消息ID识别的特定帧的情况下,判定所述车辆的状态是否为预定状态,当该车辆的状态为预定状态时进行MAC密钥的所述更新。由此,各ECU能够利用特定帧的接收定时,容易地匹配MAC密钥的更新定时。
另外,本公开的一个技术方案涉及的电子控制单元是为了按照CAN协议即控制器局域网络协议经由总线对数据帧附加消息认证码即MAC来进行发送、或者为了按照CAN协议即控制器局域网络协议经由总线接收数据帧并对在该数据帧中附加有消息认证码这一情况进行验证,生成消息认证码的电子控制单元,所述电子控制单元具备:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述电子控制单元的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。由此,能够在与其他ECU同步的定时执行MAC密钥的更新,所述其他ECU能够识别车辆的状态,所述MAC密钥是在为了向CAN的帧的附加或验证而生成MAC时使用的密钥。因此,适当地进行MAC密钥的更新,在包括该ECU的车载网络系统中,对于不正常节点对MAC的暴力攻击的抗攻击性变高。
此外,这些全面或具体方案既可以用系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以用系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图说明包括实施方式涉及的不正常检测ECU的车载网络系统。在这里示出的实施方式均表示本公开的一具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置和连接方式以及步骤(工序)和步骤的顺序等为一例,不限定本公开。以下实施方式的构成要素中的未记载于独立权利要求的构成要素是能够任意附加的构成要素。另外,各图为示意图,不一定是严密地进行了图示的图。
(实施方式1)
以下,作为本公开的实施方式,使用附图说明实现更新处理方法的车载网络系统10,所述更新处理方法根据车辆的状态进行与被利用于生成MAC的数据的更新有关的更新处理。
[1.1车载网络系统10的整体构成]
图1是表示实施方式1涉及的车载网络系统10的整体构成的图。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载了控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统10包括总线200、与各种设备连接的ECU100a~100d等ECU这样的与总线连接的各节点而构成。此外,虽然在图1中省略,但在车载网络系统10中除了ECU100a~100d以外也可以包括多个ECU,在这里,为了方便起见,关注ECU100a~100d而进行说明。ECU例如是处理器(微处理器)、存储器等包括数字电路、模拟电路以及通信线路等的装置。存储器为ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如,处理器通过按照控制程序(计算机程序)工作,从而ECU实现各种功能。此外,计算机程序是为了达成预定的功能而组合多条命令代码而构成的,所述命令代码表示对处理器的指令。在这里,以在总线200上有可能连接有发送不正常帧的不正常ECU为前提进行说明。
ECU100a~100d与总线200连接,且分别与发动机310、制动器320、门开闭传感器330以及窗开闭传感器340连接。ECU100a~100d分别取得所连接的设备(发动机310等)的状态,并定期地将表示状态的帧(后述的数据帧)等发送给网络(也即是总线)。
在该车载网络系统10中,各ECU遵循CAN协议进行帧的授受。在CAN协议的帧中,包括数据帧、远程帧、超载帧以及错误帧。为了便于说明,在这里,以数据帧和错误帧为中心进行说明。
[1.2数据帧格式]
以下,说明作为遵循CAN协议的网络中使用的帧之一的数据帧。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中,示出了在CAN协议中规定的标准ID格式的数据帧。数据帧由SOF(StartOfFrame:帧起始)、ID段、RTR(RemoteTransmissionRequest:远程传输请求)、IDE(IdentifierExtension:识别符扩展)、预约位“r”、DLC(DataLengthCode:数据长度码)、数据段、CRC(CyclicRedundancyCheck:循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement:确认)间隙(slot)、ACK定界符“DEL”以及EOF(EndOfFrame:帧结尾)这些各段构成。
SOF由1比特的显性构成。在总线为空闲的状态下成为隐性,通过利用SOF变更为显性来通知帧的发送开始。
ID段是由11比特构成的保存ID(消息ID)的段,所述ID是表示数据的种类的值。在多个节点同时开始发送的情况下,为了用该ID段进行通信仲裁,设计为:ID具有较小的值的帧为高的优先级。
RTR是用于识别数据帧和远程帧的值,在数据帧中由1比特显性构成。
IDE和“r”双方由1比特显性构成。
DLC由4比特构成,是表示数据段的长度的值。此外,将IDE、“r”以及DLC一起称为控制段。
数据段是最大由64比特构成的、表示所发送数据的内容的值。能够按每8比特调整长度。所发送的数据的规格不在CAN协议中规定,而在车载网络系统10中确定。因此,为依存于车型、制造者(制造厂家)等的规格。
CRC序列由15比特构成。根据SOF、ID段、控制段以及数据段的发送值来算出。
CRC定界符是由1比特的隐性构成的表示CRC序列的结束的分隔符号。此外,将CRC序列和CRC定界符一起称为CRC段。
ACK间隙由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止能够正常接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,因此,如果在发送后ACK间隙为显性,则发送节点能够确认某一个接收节点接收成功。
ACK定界符是由1比特的隐性构成的表示ACK的结束的分隔符号。
EOF由7比特的隐性构成,表示数据帧的结束。
[1.3ECU100a的构成]
图3是ECU100a的构成图。ECU100a包括:帧收发部101、帧解释部102、接收ID判断部103、接收ID列表保持部104、帧处理部105、车辆状态保持部106、判定规则保持部107、定时器108、更新判定部109、更新处理部110、MAC密钥保持部111、计数保持部112、MAC生成部113、帧生成部114以及数据取得部115而构成。这些各构成要素为功能性构成要素,该各功能利用ECU400a中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。此外,ECU100b~100d也具备同样的构成。
帧收发部101对总线200收发遵循CAN协议的帧。从总线200逐比特地接收帧,并传输给帧解释部102。另外,向总线200发送从帧生成部114接受到通知的帧的内容。
帧解释部102从帧收发部101接受帧的值,并以映射到在CAN协议中规定的帧格式的各段的方式进行解释(解析)。判断为ID段的值传输给接收ID判断部103。帧解释部102根据从接收ID判断部103通知的判定结果,决定是向帧处理部105传输ID段的值和ID段以后出现的数据段,还是在接受该判定结果以后中止帧的接收(也即是中止作为该帧的解释)。另外,帧解释部102在判断为是未遵循CAN协议的帧的情况下,通知帧生成部114发送错误帧。另外,帧解释部102在接收到错误帧的情况下,也即是根据接受到的帧中的值解释为成为错误帧的情况下,在这以后,丢弃(废弃)该帧,也即是中止帧的解释。另外,帧解释部102向帧处理部105通知数据帧内的ACK间隙的内容。
接收ID判断部103接受从帧解释部102通知的ID段的值,按照保持于接收ID列表保持部104的消息ID的列表,进行是否接收该ID段以后的帧的各段的判定。接收ID判断部103向帧解释部102通知该判定结果。
接收ID列表保持部104保持接收ID列表,所述接收ID列表是ECU100a接收的ID(消息ID)的列表。图4是表示接收ID列表的一例的图。
帧处理部105针对从帧解释部102接收到的全部数据帧的消息ID和数据段的值,从MAC密钥保持部111取得与消息ID对应的MAC密钥,并从计数保持部112取得与消息ID对应的计数值,并验证数据段所包括的MAC。该MAC的验证具有验证数据帧(消息)的正常性的意义。具体而言,帧处理部105用与MAC生成部113同样的方法(后述)通过计算生成MAC,对生成的MAC与数据段中的MAC进行比较,如果两个MAC一致则判定为验证成功,如果不一致则判定为出错(也即是判定为验证失败)。验证的结果,如果判定为出错(即判定为验证失败),则向帧解释部102进行通知,中止以后的接收处理。另外,在接收到通知车辆的状态(车辆状态)的帧的情况下,向车辆状态保持部106通知与该帧对应的车辆状态。另外,帧处理部105根据接收到的帧的数据,按每个ECU进行不同的处理。例如,与发动机310连接的ECU100a具备如下功能:如果在时速超过30千米的状态下,门为打开着的状态,则鸣响警报声。ECU100a例如具有用于鸣响警报声的扬声器等。并且,ECU100a的帧处理部105管理从其他ECU接收到数据(例如表示门的状态的信息),并基于从发动机310取得的时速,在一定条件下进行鸣响警报声等处理。ECU100c具备如下功能:当在没有施加制动的状况下打开门时,则鸣响警报声。在ECU100b、100d中,什么都不做。此外,ECU100a~100d也可以具备上述以外的功能。另外,帧处理部105确认数据帧内的ACK间隙的值,确认ECU100a发送的帧是否由其他ECU正常接收,并向更新处理部110通知确认的结果。此外,由于利用帧处理部105进行MAC的验证,所以即使不正常ECU与总线200连接并发送了不正常帧,也会验证失败,能阻止利用不正常帧控制车辆等。
车辆状态保持部106保持从帧处理部105通知的当前的车辆状态(也即是当前为止最后通知的车辆状态)。作为具体的车辆状态的一例,可列举“行驶期间”、“停车(stopping)期间”以及“驻车(parking)期间”。车载网络系统10例如可包括ECU(未图示),所述ECU与车辆中的传动装置的传感器等连接,根据传动档位(例如驻车档(P档)、空档、一档、二档)确定车辆状态,并向总线200发送用于通知所确定的车辆状态的帧。另外,车载网络系统10也可以包括如下ECU(未图示),该ECU基于从多个ECU通知的信息确定车辆状态,并发送用于通知所确定的车辆状态的帧。
判定规则保持部107保持判定规则,所述判定规则关联了根据车辆状态是否进行更新处理。图5是表示与车辆状态对应的判定规则的一例的图。
定时器108是反复进行与经过时间对应的定时器值的升值计数的计时机构,向更新判定部109通知从前一次更新处理完成起的经过时间。另外,基于来自更新判定部109的更新处理完成通知,进行复位。
更新判定部109基于定时器108,如果预先确定的更新定时到来,则从车辆状态保持部106取得当前的车辆状态,根据与车辆状态对应地从判定规则保持部107取得的判定规则,判定是否执行与被利用于生成MAC的数据(也即是MAC密钥、计数值)的更新有关的更新处理。具体而言,更新处理是指更新MAC密钥的值的密钥更新处理、将反映到MAC的计数值复位(也即是更新为零等特定值)的计数器复位处理,所述MAC密钥是为了生成MAC而使用的密钥。更新判定部109在决定(判定)为更新被利用于生成MAC的数据的情况下,向更新处理部110进行通知。在判定(决定)为不更新的情况下,等待车辆状态的变化。在更新处理完成的情况下,更新判定部109向定时器108传达更新处理完成通知,由此,定时器108被复位。更新定时是基于定时器108判定,且经过了预先确定的一定时间(例如6个小时、一天等)的定时。
更新处理部110按照来自更新判定部109的通知进行更新处理。即,从更新判定部109接受到通知的更新处理部110取得MAC密钥保持部111保持的MAC密钥并作为旧密钥预先缓存,重新生成成为MAC密钥候选的密钥,并向MAC密钥保持部111进行通知。另外,从更新判定部109接受到通知的更新处理部110取得计数保持部112保持的计数值并预先缓存(也即是暂时预先保持在存储介质中),并通知计数保持部112将计数值复位。另外,在从帧解释部102接受到不能确认正常的接收的通知,且具有MAC密钥、计数值的缓存的情况下(也即是暂时保持在存储介质中的情况下),向MAC密钥保持部111通知缓存的密钥,向计数保持部112通知缓存的计数值。另外,在从帧解释部102接受到能够确认正常的接收这一通知,且具有MAC密钥、计数值的缓存的情况下,删除MAC密钥和计数值的缓存(也即是,通过从存储介质删除等,将暂时保持的值处理为在以后不能使用)。关于MAC密钥的生成方法,例如使用如下方法:将在预先确定的单向函数(例如哈希函数等)中输入当前的MAC密钥而导出的结果作为成为新的MAC密钥候选的密钥。
MAC密钥保持部111由存储器等存储介质实现,按每个消息ID保持一个MAC生成部113和帧处理部105计算MAC时所需的MAC密钥。MAC密钥保持部111按照来自更新处理部110的通知,丢弃到当前为止具有的密钥,并将所通知的密钥作为MAC密钥来保持。
计数保持部112包括存储器等存储介质而实现,按每个消息ID保持一个MAC生成部113和帧处理部105计算MAC时所需的计数值。此外,保持于计数保持部112的计数值在正常发送了帧的情况下递增(增加1)。作为该方法,在发送数据帧的情况下,将计数值作为发送计数器处理,并对发送次数进行计数。另外,在接收数据帧的情况下,将计数值作为接收计数器处理,并对接收次数进行计数。例如,在发送消息ID为“1”的数据帧的ECU100a中,将保持于计数保持部112的、与消息ID“1”对应的计数值作为发送计数器处理,每当发送一次时,使发送计数器递增。另外,例如,在接收消息ID为“1”的数据帧的ECU100b中,将保持于计数保持部112的、与消息ID“1”对应的计数值作为接收计数器处理,每当正常接收到所发送的数据帧时,使接收计数器递增。另外,计数保持部112按照来自更新处理部110的通知,保持所通知的计数值,另外,按照来自更新处理部110的内容为应复位的通知,将保持的计数值复位。通过该复位,计数值被更新为零等特定值。
MAC生成部113使用由MAC密钥保持部111保持的MAC密钥(也即是与消息ID对应的MAC密钥),对结合了从帧生成部114通知的消息ID、数据段用的数据的值以及由计数保持部112保持的计数值(也即是与消息ID对应的计数值)而成的值(结合值)算出MAC(也即是通过计算导出MAC的值),并向帧生成部114通知作为该算出的结果的MAC。在这里,作为MAC的计算方法,采用HMAC(Hash-basedMessageAuthenticationCode:哈希运算消息认证码)(参照非专利文献2),对上述结合值,以进行填充直到预定的块量(例如4个字节)而成的值,使用MAC密钥进行计算,将得出的计算结果的开头4个字节作为MAC值。此外,在这里的MAC值的尺寸(size)、计算方法为一例,不限定于此。由于能反映每当发送帧时被递增的计数值而生成MAC,所以即使是多次发送了包括相同数据的值的数据帧,赋予(即附加到)数据帧的MAC在每次发送时也都会变化。
帧生成部114按照从帧解释部102通知的、指示发送错误帧的通知,构成错误帧,并向帧收发部101通知并发送错误帧。另外,帧生成部114通过向MAC生成部113通知预先确定的消息ID和从数据取得部115通知的数据的值(数据段用的数据的值),从而接受MAC的通知。帧生成部114基于预先确定的消息ID、通知的MAC以及通知的数据段用的数据的值构成帧,并向帧收发部101进行通知。此外,后面使用图6~图9说明ECU100a~100d各自发送的帧的内容。
数据取得部115取得表示与ECU连接的设备、传感器等的状态的数据,并向帧生成部114进行通知。
[1.4接收ID列表例]
图4是表示在ECU100a~100d中分别保持的接收ID列表的一例的图。在该图中例示的接收ID列表用于选择性地接收并处理包括消息ID的帧,所述消息ID的ID(消息ID)的值为“1”、“2”、“3”以及“4”中的某一个。例如,当在ECU的接收ID列表保持部104中保持有图4的接收ID列表时,对于消息ID不是“1”、“2”、“3”以及“4”中的任一个的帧,中止帧解释部102中的ID段以后的帧的解释。
[1.5判定规则例]
图5是表示在ECU100a~100d中分别保持的判定规则的一例的图。该判定规则是确定作为执行更新处理的条件的、搭载了车载网络系统10的车辆的状态(车辆状态)的规则,如果车辆状态为由判定规则确定的预定状态(例如“驻车期间”等),则能够执行更新处理。该图例示的判定规则示出了:在车辆状态为“行驶期间”和“停车期间”的任一个的情况下,即使更新定时(也即是密钥更新、计数器复位的执行定时)到来,也不实施更新处理而待机,在之后车辆状态变化为“驻车期间”的定时实施更新处理,另外,示出了:在车辆状态为“驻车期间”的情况下,如果更新定时到来,则实施更新处理。
[1.6发动机涉及的ECU100a的发送帧例]
图6是表示从ECU100a发送来的数据帧中的ID(消息ID)和数据段(数据)的一例的图,所述ECU100a与发动机310连接。ECU100a发送的帧的消息ID为“1”。在该图中,按每1个字节而用空格区分表示数据,开头的一个字节表示时速(千米/小时),接着的一个字节表示计数值,接着的4个字节表示MAC。此外,在图6的例子中,MAC用16进制表记。开头一个字节的时速(千米/小时)取最低0(千米/小时)~最高180(千米/小时)的范围内的值。从图6的上面的行向下面的行例示了从ECU100a逐次发送来的各帧所对应的各消息ID和数据,示出了计数值依次增加,且时速从0千米/小时起每次1千米/小时地加速的情形。
[1.7制动器涉及的ECU100b的发送帧例]
图7是表示从ECU100b发送来的数据帧中的ID(消息ID)和数据段(数据)的一例的图,所述ECU100b与制动器320连接。ECU100b发送的帧的消息ID为“2”。在该图中,按每1个字节而用空格区分表示数据,开头的一个字节用比例(%)表示制动的施加情况,接着的一个字节表示计数值,接着的4个字节表示MAC。此外,在图7的例子中,MAC用16进制表记。开头一个字节的制动施加情况为:将完全没有施加制动的状态设为0(%),将最大限度地施加了制动的状态设为100(%)。从图7的上面的行向下面的行例示了从ECU100b逐次发送来的各帧所对应的各消息ID和数据,示出了计数值依次增加,且制动从100%起逐渐减弱制动的情形。
[1.8门开闭传感器涉及的ECU100c的发送帧例]
图8是表示从与门开闭传感器330连接的ECU100c发送来的数据帧中的ID(消息ID)和数据段(数据)的一例的图。ECU100c发送的帧的消息ID为“3”。在该图中,按每1个字节而用空格区分表示数据,开头的一个字节表示门的开闭状态,接着的一个字节表示计数值,接着的4个字节表示MAC。此外,在图8的例子中,MAC用16进制表记。开头一个字节的门的开闭状态为:将门打开的状态设为“1”,将门关闭的状态设为“0”。从图8的上面的行向下面的行例示了从ECU100c逐次发送来的各帧所对应的各消息ID和数据,示出了计数值依次增加,且从门打开的状态逐渐向关闭的状态转变的情形。
[1.9窗开闭传感器涉及的ECU100d的发送帧例]
图9是表示从ECU100d发送来的数据帧中的ID(消息ID)和数据段(数据)的一例的图,所述ECU100d与窗开闭传感器340连接。ECU100d发送的帧的消息ID为“4”。在该图中,按每1个字节而用空格区分表示数据,开头的一个字节用比例(%)表示窗的开闭状态,接着的一个字节表示计数值,接着的4个字节表示MAC。此外,在图9的例子中,MAC用16进制表记。开头一个字节的窗的开闭状态为:将窗完全关闭的状态设为0(%),将窗全开的状态设为100(%)。从图9的上面的行向下面的行例示了从ECU100d逐次发送来的各帧所对应的各消息ID和数据,示出了计数值依次增加,且从窗关闭的状态起逐渐打开的情形。
[1.10更新处理]
以下,说明与MAC的生成所需的数据的更新有关的更新处理,所述MAC用于通过上述各ECU发送数据帧时的MAC的赋予、以及接收数据帧时MAC的验证。
对于与用于按消息赋予和验证MAC的MAC密钥和计数值相关的更新,需要在各ECU中同步地执行。在这里,作为一例,使用ECU100a向总线200发送用于确认更新的同步的数据帧(称为“更新帧”。),其他ECU(ECU100b等)从总线200接收更新帧的例子,说明与一个消息ID对应的MAC所涉及的更新处理。此外,不管哪个ECU都可以发送更新帧,例如,也可以是,反复发送消息ID为“1”的数据帧的ECU100a发送用于使与消息ID“1”对应的MAC所涉及的更新处理同步的更新帧。
图10和图11是表示ECU100a的更新处理和该更新处理的开始判断涉及的处理的一例的流程图。以下,参照图10和图11说明ECU100a的工作。
ECU100a利用内部具有的定时器108,确认从前一次更新处理起的经过时间(步骤S1001)。然后,ECU100a判定经过时间是否到达预先确定的一定时间而更新定时到来(步骤S1002)。在更新定时未到来的情况下,反复利用定时器108进行经过时间的确认,直到经过时间到达该一定时间。在更新定时到来的情况下,ECU100a进行当前的车辆状态的确认(步骤S1003)。
ECU100a基于当前的车辆状态,按照保持于判定规则保持部107的判定规则,判定是否进行更新处理(步骤S1004)。不进行更新处理而继续进行车辆状态的确认,直到车辆状态变化成由判定规则确定的进行更新处理的状态,(步骤S1003)。另外,如果车辆状态为由判定规则确定的进行更新处理的状态,则开始图11的步骤S1006以后的更新处理(步骤S1005)。当按照图5所示的判定规则的例子时,若车辆状态为“行驶期间”、“停车期间”,则等待到车辆状态变化为“驻车期间”后再进行更新处理,另外,若车辆状态为“驻车期间”,则立刻开始更新处理(步骤S1005)。
开始了更新处理的ECU100a将由MAC密钥保持部111保持的MAC密钥作为旧密钥来缓存(步骤S1006)。接着,ECU100a重新生成成为MAC密钥候选的密钥,并作为MAC密钥保持于MAC密钥保持部111(步骤S1007)。
另外,ECU100a缓存由计数保持部112保持的计数值(步骤S1008)。接着,ECU100a将由计数保持部112保持的计数值复位为零(步骤S1009)。
接着,ECU100a使用预先确定的消息ID、数据段用的数据值、复位后的保持于计数保持部112的计数值、重新生成且保持于MAC密钥保持部111的MAC密钥来生成MAC(步骤S1010)。然后,生成包括消息ID、数据段用的数据值以及在步骤S1010中生成的MAC的更新帧并进行广播(也即是,向总线200发送更新帧)(步骤S1011)。
在步骤S1011中发送更新帧后,ECU100a通过观察ACK间隙的值来判定是否存在成功接收更新帧(即正常接收)的节点(ECU)(步骤S1012)。在存在接收成功的节点的情况下,ECU100a丢弃缓存(步骤S1015),结束更新处理。
作为在步骤S1012的判定结果,在不存在成功接收更新帧的节点的情况下,ECU100a使预先缓存的旧密钥再次作为MAC密钥而保持于MAC密钥保持部111(步骤S1013),并使预先缓存的计数值再次作为计数值而保持于计数保持部112(步骤S1014)。接着,ECU100a使用预先确定的消息ID、数据段用的数据值、从缓存再设定的计数保持部112的计数值以及从缓存再设定的MAC密钥保持部111的MAC密钥来生成MAC(步骤S1015)。然后,生成包括消息ID、数据段用的数据值以及在步骤S1015中生成的MAC的更新帧并进行广播(也即是向总线200发送更新帧)(步骤S1016)。
在步骤S1016中发送更新帧后,ECU100a通过观察ACK空隙的值来判定是否存在成功接收更新帧的节点(步骤S1017)。存在接收成功的节点的情况下,ECU100a待机预先确定的一定时间(例如数秒钟、数分钟等)后再次返回步骤S1006并实施更新处理(步骤S1018)。另外,在步骤S1017中不存在接收成功的节点的情况下,视为发生了致命错误,中止更新处理(步骤S1019)。在中止了更新处理的情况下,ECU100a也可以对错误发生执行报知、日志的记录等处理。另外,错误发生的报知可通过向其他ECU发送表示发生错误的数据帧、向显示器等的显示、声音输出以及发光等来执行。
图12和图13是表示ECU100b的更新处理和该更新处理的开始判断涉及的处理的一例的流程图。此外,对于图12和图13所示的处理步骤(步骤)中的与图10和图11所示的步骤相同的步骤,使用相同的标号并适当省略说明。另外,ECU100c和ECU100d也可进行与ECU100b同样的更新处理。以下,参照图12和图13说明ECU100b的工作。
ECU100b确认从前一次更新处理起的经过时间(步骤S1001)。然后,ECU100b判定经过时间是否到达预先确定的一定时间而更新定时到来(步骤S1002)。在更新定时未到来的情况下,反复进行经过时间的确认,直到经过时间到达该一定时间。在更新定时到来的情况下,ECU100b进行当前的车辆状态的确认(步骤S1003)。
ECU100b基于当前的车辆状态,按照判定规则判定是否进行更新处理(步骤S1004)。不进行更新处理并继续进行车辆状态的确认,直到车辆状态变化成由判定规则确定的进行更新处理的状态(步骤S1003)。另外,如果车辆状态为由判定规则确定的进行更新处理的状态,则开始图13的步骤S1101以后的更新处理(步骤S1005)。
开始了更新处理的ECU100b待机,直到更新帧被发送到总线200上,也即是直到能够接收更新帧(步骤S1101)。
接着,接收到更新帧的ECU100b将由MAC密钥保持部111保持的MAC密钥作为旧密钥来缓存(步骤S1006)。接着,ECU100b重新生成成为MAC密钥候选的密钥,并作为MAC密钥保持于MAC密钥保持部111(步骤S1007)。
另外,ECU100b缓存由计数保持部112保持的计数值(步骤S1008)。接着,ECU100b将由计数保持部112保持的计数值复位为零(步骤S1009)。
接着,ECU100b使用接收到的更新帧的消息ID、数据段的数据值、复位后的保持于计数保持部112的计数值、重新生成且保持于MAC密钥保持部111的MAC密钥来生成MAC,并通过与更新帧所包括的MAC进行比较,从而验证MAC(步骤S1102)。如果两个MAC一致,则验证成功。ECU100b判定MAC的验证是否成功(步骤S1103),在验证成功的情况下,为了表示接收成功的意思而使ACK空隙为显性,丢弃缓存(步骤S1015),并结束更新处理。
作为在步骤S1103的判定结果,在验证不成功的情况下,ECU100b使预先缓存的旧密钥再次作为MAC密钥而保持于MAC密钥保持部111(步骤S1013),并使预先缓存的计数值再次作为计数值而保持于计数保持部112(S1014)。接着,ECU100b待机,直到更新帧被发送到总线200上,也即是直到能够接收更新帧(步骤S1104)。
接着,再次接收到更新帧的ECU100b使用接收到的更新帧的消息ID、数据段的数据值、从缓存再设定到计数保持部112的计数值、从缓存再设定到MAC密钥保持部111的MAC密钥来生成MAC,并通过与更新帧所包括的MAC进行比较,从而验证MAC(步骤S1105)。ECU100b判定MAC的验证是否成功(步骤S1106),在验证成功的情况下,为了表示接收成功的意思而使ACK空隙为显性,待机预先确定的一定时间(与发送侧的步骤S1018的一定时间相同的时间)后,再次返回步骤S1101而实施更新处理(步骤S1107)。另外,在步骤S1106中,在验证失败的情况下,视为发生了致命错误,中止更新处理(步骤S1019)。在中止了更新处理的情况下,ECU100b也可以对错误发生执行报知、日志的记录等处理。
[1.11实施方式1的效果]
实施方式1所示的ECU根据车辆的状态执行更新处理(MAC密钥的更新、计数值的复位等),所述更新处理与用于生成MAC的数据的更新相关。由于适时地执行了该更新处理,对于与总线连接的不正常ECU(不正常节点)对MAC的暴力攻击的抗攻击性变高。此外,ECU执行的处理的处理量(处理负荷)可根据车辆的状态而变动。因此,例如,通过在处理负荷低的驻车状态等状态下进行MAC密钥的更新等,从而效率良好,另外,能够避免由于处理延迟等而产生错误,多个ECU(与某个帧的发送节点对应的接收节点)能够同步地执行更新。此外,如果不能够准确地执行同步,则之后会无法在接收节点正确地验证发送节点发送的帧。另外,能够根据车辆的状态进行更新处理,以避开由于ECU发送的帧而总线的通信量比较高的情况(例如行驶期间的状态等)。由于车辆状态、ECU的处理负荷或总线的通信量具有某种程度的关联性,所以在车辆状态为适当的状态的情况下进行更新处理是有用的。例如,在驻车状态下执行更新处理或在车辆不在行驶的状态下执行更新处理会产生提高车载网络系统中的处理效率的效果,另外,能够抑制行驶期间的ECU的处理负荷变高。另外,通过适当地根据车辆的状态执行更新处理,能够抑制由于更新处理的同步偏移导致的通信错误。
(实施方式2)
以下,作为本公开的另一实施方式,说明包括多条总线和在总线间传输帧的网关的车载网络系统20。车载网络系统20实现根据车辆的状态进行更新处理的更新处理方法,所述更新处理与利用于MAC的生成的数据的更新关联。在车载网络系统20中,各ECU根据车辆的状态、向连接了本机的总线发送的更新开始帧而进行更新处理。
[2.1车载网络系统20的整体构成]
图14是表示实施方式2涉及的车载网络系统20的整体构成的图。车载网络系统20是对实施方式1所示的车载网络系统10的一部分进行变形而成的系统,未特别说明的点与车载网络系统10是同样的。车载网络系统20包括总线2200a、2200b、网关2400以及与各种设备连接的ECU2100a~2100d等ECU这样的与总线连接的各节点而构成。车载网络系统20的构成要素中的、具有与实施方式1同样的功能的构成要素赋予相同的标号并省略说明。
ECU2100a~2100d分别与发动机310、制动器320、门开闭传感器330以及窗开闭传感器340连接,取得所连接的设备(发动机310等)的状态,定期地向网络发送表示状态的帧。在车载网络系统20中,各ECU遵循CAN协议进行帧的授受。
网关2400为一种ECU,与总线2200a和总线2200b连接,并具有将从各条总线接收到的帧传输给其他总线的功能,所述总线2200a连接ECU2100a和ECU2100b,所述总线2200b连接ECU2100c和ECU2100d。另外,也可按所连接的各总线之间而对是传输接收到的帧还是不传输接收到的帧进行切换。另外,网关2400具有如下功能:在内部具有的定时器成为预先确定的值的定时发送更新开始帧。更新开始帧是用预先确定的特定消息ID识别,且通知更新处理的开始的特定帧。该更新开始帧为了多个ECU同步地执行与用于生成MAC的数据的更新有关的更新处理而有效地发挥作用。
车载网络系统20与实施方式1所示的车载网络系统10同样地,例如可包括ECU(未图示),所述ECU与车辆中的传动装置的传感器等连接并根据传动当前(例如驻车档(P档)、空档、一档、二档)来确定车辆状态,发送用于通知所确定的车辆状态的帧。另外,车载网络系统10也可以包括如下ECU(未图示),所述ECU基于从多个ECU通知的信息来确定车辆状态,并发送用于通知所确定的车辆状态的帧。
[2.2ECU2100a的构成]
图15是ECU2100a的构成图。ECU2100a包括:帧收发部101、帧解释部102、接收ID判断部103、接收ID列表保持部104、帧处理部2105、车辆状态保持部106、判定规则保持部2107、更新判定部2109、更新处理部110、MAC密钥保持部111、计数保持部112、MAC生成部113、帧生成部114、数据取得部115以及区域类别保持部2116而构成。这些各构成要素为功能性构成要素,该各功能利用ECU2100a中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。此外,ECU2100b~2100d也是同样的构成。具有与实施方式1同样的功能的构成要素赋予相同的标号并省略说明。
判定规则保持部2107保持判定规则,所述判定规则关联了根据区域类别(后述)和车辆状态是否进行更新处理。图16是表示与针对各区域类别的车辆状态对应的判定规则的一例的图。
帧处理部2105是对实施方式1所示的帧处理部105的一部分进行了变形而成的,其针对从帧解释部102接收到的全部数据帧的消息ID和数据段的值,从MAC密钥保持部111取得与消息ID对应的MAC密钥,并从计数保持部112取得与消息ID对应的计数值,并验证数据段所包括的MAC值。验证的结果,如果判定为错误(即判定为验证失败),则向帧解释部102进行通知,并中止以后的接收处理。另外,在接收到通知车辆状态的帧的情况下,向车辆状态保持部106通知与该帧对应的车辆状态。另外,帧处理部2105在接收到更新开始帧的情况下,向更新判定部2109进行通知。另外,帧处理部2105根据接收到的帧的数据,按每个ECU进行不同的处理。例如,在ECU2100a中具备如下功能:当在时速超过30千米的状态下门为打开着的状态时,则鸣响警报声。在ECU2100c中具备如下功能:当在未施加制动的状况下打开门时,则鸣响警报声。在ECU2100b、2100d中,什么都不做。此外,ECU2100a~2100d也可以具备上述以外的功能。另外,确认数据帧内的ACK段的值,确认ECU2100a发送的帧是否由其他ECU正常接收,并向更新处理部110通知确认的结果。
更新判定部2109在被从帧处理部2105通知了接收到从网关2400发送来的更新开始帧的内容的定时,从区域类别保持部2116取得连接了ECU2100a的总线2200a的类别,从车辆状态保持部106取得当前的车辆状态,并根据从判定规则保持部107取得的判定规则,判定是否执行与被利用于生成MAC的数据(也即是MAC密钥、计数值)的更新有关的更新处理。具体而言,更新处理是指更新MAC密钥的值的密钥更新处理、将反映到MAC的计数值复位(也即是更新为零等特定值)的计数复位处理,所述MAC密钥是为了生成MAC而使用的密钥。更新判定部109在决定(判定)为更新被利用于生成MAC的数据的情况下,向更新处理部110进行通知。在判定(决定)为不更新的情况下,等待车辆状态的变化。
区域类别保持部2116保持作为连接有本机(ECU2100a)的总线2200a的类别的区域类别。区域类别可识别总线和与该总线连接的ECU属于多个组中的哪一个,该组例如可以由“驱动系统”、“车身系统”等根据连接有ECU的设备组的性质等来区别。在这里,为了便于说明,例示了车载网络系统20具有两条总线(总线2200a、总线2200b),但也可以设想在车载网络系统中包括更多的总线,许多总线中的一部分的多条总线与相同的区域类别对应(也即是所属于相同的组)。作为总线的区域类别的具体的一例,与ECU2100a和ECU2100a连接的总线与“驱动系统”这一区域类别对应,所述ECU2100a与发动机310连接,所述ECU2100a与制动器320连接;与ECU2100c和ECU2100d连接的总线与“车身系统”这一区域类别对应,所述ECU2100c与门开闭传感器330连接,所述ECU2100d与窗开闭传感器340连接。根据该例子,在ECU2100a的区域类别保持部2116中保持了“驱动系统”这一区域类别。
[2.3判定规则例]
图16是表示ECU2100a~2100d保持的判定规则的一例的图。该判定规则是按每个区域类别而确定作为执行更新处理的条件的、搭载了车载网络系统20的车辆的状态(车辆状态)的规则,如果在与某个区域类别的总线连接的ECU中,与该区域类别对应地,车辆状态为由判定规则确定的预定状态(例如“驻车期间”等),则能够执行更新处理。该图例示的判定规则示出了:关于与“驱动系统”这一区域类别的总线连接的ECU2100a和ECU2100b,在车辆状态为“行驶期间”和“停车期间”的任一个的情况下,即使应实施与MAC密钥更新等相关的更新处理的更新定时(也即是接收到更新开始帧的定时)到来,也不实施更新处理而待机,在之后车辆状态变化为“驻车期间”的定时实施更新处理,另外,示出了:在车辆状态为“驻车期间”的情况下,如果更新定时到来,则实施更新处理。另外,示出了:关于与“车身系统”这一区域类别的总线连接的ECU2100c和ECU2100d,在车辆状态为“行驶期间”的情况下,即使更新定时到来也不实施更新处理而待机,在之后车辆状态变化为“停车期间”或“驻车期间”的定时实施更新处理,另外,示出了:在车辆状态为“停车期间”和“驻车期间”的任一个的情况下,如果更新定时到来,则实施更新处理。
[2.4网关2400的构成]
图17是网关2400的构成图。网关2400包括:帧收发部2401、帧解释部2402、接收ID判断部2403、接收ID列表保持部2404、帧处理部2405、车辆状态保持部2406、判定规则保持部2407、更新判定部2409、更新处理部2410、MAC密钥保持部2411、计数保持部2412、MAC生成部2413、帧生成部2414、区域类别保持部2416、传输处理部2417、传输规则保持部2418以及更新处理定时器2419而构成。这些各构成要素为功能性构成要素,该各功能利用网关2400中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。
帧收发部2401与ECU2100a的帧收发部101是同样的,分别对总线2200a、2200b收发遵循CAN协议的帧。帧收发部2401从总线接收帧,并传输给帧解释部2402。另外,帧收发部2401基于总线信息和帧,向总线2200a、2200b发送该帧的内容,所述总线信息表示从帧生成部2414接受到通知的输送目的地的总线。
帧解释部2402从帧收发部2401接受帧的值,并以映射到在CAN协议中规定的帧格式中的各段的方式进行解释。判断为ID段的值传输给接收ID判断部2403。帧解释部2402根据从接收ID判断部2403通知的判定结果,决定是向传输处理部2417和帧处理部2405传输ID段的值和ID段以后出现的数据段(数据),还是中止帧的接收。另外,帧解释部2402在判断为是未遵循CAN协议的帧的情况下,通知帧生成部2414发送错误帧。另外,帧解释部2402在接收到错误帧的情况下,对于正在接收的帧,此后丢弃该帧,即中止帧的解释。帧解释部2402向帧处理部2405通知更新开始帧中的ACK空隙。帧解释部2402向传输处理部2417通知更新开始帧以外的数据帧。
接收ID判断部2403接受从帧解释部2402通知的ID段的值,按照接收ID列表保持部2404保持的消息ID的列表,进行是否接收该ID段以后的帧的各段的判定。接收ID判断部2403向帧解释部2402通知该判定结果。
接收ID列表保持部2404与ECU2100a的接收ID列表保持部104的同样的,保持接收ID列表,所述接收ID列表是网关2400接收的消息ID的列表。
帧处理部2405与ECU2100a的帧处理部105是同样的。车辆状态保持部2406与ECU2100a的车辆状态保持部106的同样的。判定规则保持部2407与ECU2100a的判定规则保持部107是同样的。
更新判定部2409在从帧处理部2405接收到本机(网关2400)发送的更新开始帧的定时,从区域类别保持部2416取得连接了网关2400的总线2200a和总线2200b各自的类别,从车辆状态保持部106取得当前的车辆状态,根据从判定规则保持部107取得的判定规则,判定是否执行更新处理(MAC密钥的更新和计数值的复位)。更新判定部2409在判定为执行更新处理的情况下向更新处理部2410进行通知。
更新处理部2410与ECU2100a的更新处理部110是同样的。
MAC密钥保持部2411由存储器等存储介质实现,按每条总线且按每个消息ID而保持一个MAC生成部2413和帧处理部2405计算MAC时所需的MAC密钥。MAC密钥保持部2411按照来自更新处理部2410的通知,丢弃到当前为止具有的密钥,并将通知的密钥作为MAC密钥来保持。在本实施方式中,采用即使是相同的消息ID也按每条总线而MAC密钥不同的方式来进行说明。
计数保持部2412包括存储器等存储介质而实现,按每条总线且按每个消息ID而保持一个MAC生成部2413和帧处理部2405计算MAC时所需的计数值。此外,保持于计数保持部2412的计数值在正常发送了帧的情况下递增(增加1)。作为该方法,在发送数据帧的情况下,将计数值作为发送计数器处理,对发送次数进行计数。另外,在接收数据帧的情况下,将计数值作为接收计数器处理,对接收次数进行计数。另外,计数保持部2412按照来自更新处理部2410的通知,保持所通知的计数值,另外,按照来自更新处理部2410的意思为应复位的通知,将保持的计数值复位。通过该复位,计数值被更新为零等特定值。在本实施方式中,采用即使是相同的消息ID也按每条总线而计数值不同的方式来进行说明。
MAC生成部2413使用由MAC密钥保持部2411保持的MAC密钥(也即是与发送的总线和消息ID对应的MAC密钥),对结合了从帧生成部2414通知的消息ID、数据段用的数据的值以及由计数保持部2412保持的计数值(也即是与发送的总线和消息ID对应的计数值)而成的值(结合值)算出MAC(也即是通过计算导出MAC的值),并向帧生成部2414通知作为该算出的结果的MAC。在这里,作为MAC的计算方法,采用HMAC(参照非专利文献2),对上述结合值,以进行填充直到预定的块量(例如4个字节)而成的值,使用MAC密钥进行计算,将得出的计算结果的开头4个字节作为MAC值。此外,在这里的MAC值的尺寸(size)、计算方法为一例,不限定于此。
帧生成部2414按照从帧解释部2402通知的、指示发送错误帧的通知,构成错误帧,并向帧收发部2401通知并发送错误帧。另外,帧生成部2414通过向MAC生成部2413通知从传输处理部2417通知的消息ID和数据段的值,从而接受MAC的通知。帧生成部2414基于从传输处理部2417通知的消息、数据段的值以及从MAC生成部2413通知的MAC构成帧,并向帧收发部2401进行通知。另外,帧生成部2414通过按照从更新处理定时器2419通知的发送指示,向MAC生成部2413通知更新开始帧用的预先决定的特定消息ID和数据段的值,从而接受MAC的通知,生成包括该特定消息ID、数据段的值以及MAC的更新开始帧,通知并发送给帧收发部2401。帧生成部2414在发送了更新开始帧的情况下,将更新处理定时器2419的定时器值(即计时的经过时间的值)复位为零。
更新处理定时器2419包括反复进行与经过时间对应的定时器值的升值计数的计时机构而实现,其从0开始逐次对定时器值进行升值计数,如果定时器值成为预先作为发送更新开始帧的定时而设定的表示经过时间(例如,6个小时、一天等)的值,则向帧生成部2414通知用于发送更新开始帧的指示。另外,按照来自帧生成部2414的通知,将定时器值复位为0。此外,由于网关2400与多条总线(总线2200a、总线2200b)连接,所以,更新处理定时器2419具有与各条总线对应的计时机构(定时器),向各条总线发送更新开始帧的定时可以不同。另外,也可以用其他方法决定发送更新开始帧的定时而不依据计时机构。例如,有如下等方法:使用每当发送帧(消息)时进行升值计数的计数器,在计数值到达预先确定的阈值等时发送更新开始帧,并将计数器复位为零。
区域类别保持部2416保持连接有本机(网关2400)的总线2200a、总线2200b各自的类别。例如,对于总线2200a保持了“驱动系统”这一区域类别,对于总线2200b保持了“车身系统”这一区域类别。
传输处理部2417按照传输规则保持部2418保持的传输规则,根据接收到的帧的消息ID,决定传输的总线,向帧生成部2414通知表示传输的总线的总线信息、从帧解释部2402通知的消息ID以及数据。关于应传输的帧,从作为传输源的总线由网关2400接收,利用网关2400赋予与作为传输目的地的总线对应的MAC,并发送给作为传输目的地的总线。此外,网关2400不将从某总线接收到的错误帧、本机发送的从总线接收到的更新开始帧传输给其他总线。
传输规则保持部2418保持传输规则,所述传输规则是表示关于每条总线的传输帧的规则的信息。图18是表示传输规则的一例的图。
[2.5传输规则例]
图18表示网关2400拥有的传输规则的一例。该传输规则关联了作为传输源的总线、作为传输目的地的总线以及作为传输对象的ID(消息ID)。图18中的“*”表示无论消息ID如何都进行帧的传输。该图的例子示出了:设定为无论从总线2200a接收的帧的消息ID如何,都向总线2200b传输。另外,示出了:设定为从总线2200b接收的帧中的、仅消息ID为“3”的帧传输给总线2200a。
[2.6更新处理]
以下,说明与MAC的生成所需的数据的更新有关的更新处理,所述MAC用于利用各ECU发送数据帧时的MAC的赋予、以及接收数据帧时MAC的验证。在各总线中,在与该总线连接的多个ECU中,对于与用于按消息而赋予和验证MAC的MAC密钥和计数值相关的更新,需要同步地执行。在这里,作为一例,使用网关2400为了向总线2200a发送更新开始帧而执行更新开始帧发送处理,之后在一定条件下ECU2100a向总线2200a发送用于确认更新的同步的更新帧,ECU2100b从总线2200a接收更新帧的例子,说明与一条总线连接的多个ECU中的与一个消息ID对应的MAC涉及的更新处理。
图19是表示网关2400的更新开始帧发送处理的一例的流程图。
网关2400利用更新处理定时器2419确认从前一次发送了更新开始帧时起的经过时间(步骤S2001)。然后,网关2400判定经过时间是否到达预先确定的时间而应发送更新开始帧的定时到来(步骤S2002)。在应发送的定时未到来的情况下,反复进行经过时间的确认,直到经过时间到达该预先确定的时间。在应发送的定时到来的情况下,网关2400生成更新开始帧(步骤S2003)。即,网关2400使用预先确定的消息ID、数据段的数据值、计数值以及MAC密钥生成MAC,并生成附加了MAC的更新开始帧。
网关2400向总线2200a发送在步骤S2003中生成的更新开始帧(步骤S2004)。向该总线2200a发送的更新开始帧由与总线2200a连接的ECU2100a和ECU2100b接收。
图20和图21是表示ECU2100a的更新处理和该更新处理的开始判断涉及的处理的一例的流程图。此外,对于图20和图21所示的处理步骤(步骤)中的与图10和图11所示的步骤相同的步骤,使用相同的标号并适当省略说明。以下,参照图20和图21说明ECU2100a的工作。
ECU2100a接收网关2400发送的更新开始帧(步骤S2101)。然后,ECU2100a验证更新开始帧的MAC(步骤S2102)。如果MAC的验证失败则结束处理。
如果在步骤S2102中的MAC的验证成功,则ECU2100a确认区域类别保持部2116保持的区域类别(步骤S2103)。接着,确认当前的车辆状态(步骤S1003),基于当前的车辆状态,与在步骤S2103中确认的区域类别对应地,按照判定规则保持部2407保持的判定规则,判定是否进行更新处理(步骤S2104)。不进行更新处理并继续进行车辆状态的确认,直到车辆状态变化成由判定规则确定的进行更新处理的状态(步骤S1003)。另外,如果车辆状态为由判定规则确定的进行更新处理的状态,则开始图21的步骤S1006以后的更新处理(步骤S1005)。当按照图16所示的与“驱动系统”对应的判定规则的例子时,如果车辆状态为“行驶期间”、“停车期间”,则进行等待到车辆状态变化为“驻车期间”后再进行更新处理,另外,如果车辆状态为“驻车期间”,则立刻开始更新处理(步骤S1005)。
开始了更新处理的ECU2100a与实施方式1所示的ECU100a同样地进行更新处理(图21的步骤S1006~S1019)。
图22和图23是表示ECU2100b的更新处理和该更新处理的开始判断涉及的处理的一例的流程图。此外,对于图22和图23所示的处理步骤(步骤)中的与图12、图13以及图20所示的步骤相同的步骤,使用相同的标号并适当省略说明。以下,参照图22和图23说明ECU2100b的工作。
ECU2100b接收网关2400发送的更新开始帧(步骤S2101)。然后,ECU2100b验证更新开始帧的MAC(步骤S2102)。如果MAC的验证失败则结束处理。
如果在步骤S2102中的MAC的验证成功,则ECU2100b确认区域类别保持部2116保持的区域类别(步骤S2103)。接着,确认当前的车辆状态(步骤S1003),基于当前的车辆状态,与在步骤S2103中确认的区域类别对应地,按照判定规则保持部2407保持的判定规则,判定是否进行更新处理(步骤S2104)。不进行更新处理并继续进行车辆状态的确认,直到车辆状态变化成由判定规则确定的进行更新处理的状态(步骤S1003)。另外,如果车辆状态为由判定规则确定的进行更新处理的状态,则开始图23的步骤S2101以后的更新处理(步骤S1005)。当按照图16所示的与“驱动系统”对应的判定规则的例子时,如果车辆状态为“行驶期间”、“停车期间”,则进行等待到车辆状态变化为“驻车期间”后再进行更新处理,另外,如果车辆状态为“驻车期间”,则立刻开始更新处理(步骤S1005)。
开始了更新处理的ECU2100b与实施方式1所示的ECU100b同样地进行更新处理(图23的步骤S2101~S1019)。
另外,网关2400也与ECU2100b同样地进行上述图22和图23所示的更新处理和该更新处理的开始判断涉及的处理。
此外,网关2400能够同样地通过更新开始帧发送处理(参照图19)向总线2200b发送更新开始帧,与此相对,通过图20~图23所示的处理步骤,ECU2100c和ECU2100d可执行更新处理。
[2.7实施方式2的效果]
实施方式2所示的ECU根据本机连接的总线的区域类别、车辆的状态来执行更新处理(MAC密钥的更新、计数值的复位等),所述更新处理与用于生成MAC的数据的更新相关。由于适时地执行了该更新处理,对于不正常节点对MAC的暴力攻击的抗攻击性变高。此外,按每条用驱动系统、车身系统等这样的区域类别来区别的总线,与该总线连接的ECU所执行的处理的处理量与车辆状态的关系可能发生变动。因此,通过按每种区域类别和每种车辆状态来确定判定规则,从而通过例如在与驱动系统的总线连接的多个ECU的处理负荷较低的驻车期间等进行该多个ECU的MAC密钥的更新等,多个ECU能够高效地同步地执行更新。由此,能够将用于生成MAC的MAC密钥的更新和计数值的复位分散到每个关联性高的ECU的组(每种所连接的总线的区域类别)并在适当的定时加以执行。另外,能够根据车辆的状态进行更新处理,以避开由于ECU发送的帧而总线的通信量比较高的情况(例如行驶期间等)。
(其他实施方式)
如以上所述,说明了实施方式1、2作为本公开涉及的技术的例示。然而,本公开涉及的技术不限定于此,也可应用于适当进行了变更、置换、附加以及省略等的实施方式。例如,以下变形例也包括于本公开的一实施方式。
(1)在上述实施方式中,示出了利用ECU100a~100d或ECU2100a~2100d定期地发送帧的例子,但帧也可以作为通知状态变化的事件而被发送。例如,也可以是,ECU不是定期地发送门的开闭状态,而是仅在门的开闭状态发生了变化的情况下发送帧。另外,也可以是,ECU定期地发送帧,且在发生了状态变化时发送帧。
(2)在上述实施方式中,示出了根据数据值和计数值算出MAC的例子,但也可以仅根据数据值算出MAC。另外,也可以仅根据计数值算出MAC。另外,也可以使用数据帧所包括的其他段的值来算出MAC。另外,帧所包括的MAC的尺寸不限制为4个字节,也可以是每次发送时设为不同的尺寸。同样地,计数值的尺寸也不限制为一个字节。另外,在帧中也可以不包括计数值。另外,也可以将全部或一部分计数值包括在帧中进行发送。另外,MAC尺寸不限定为固定的尺寸,也可以按每个消息ID而设为不同的尺寸。另外,也可以跨多个帧而发送MAC。
(3)在上述实施方式中,示出了设为对数据帧的发送次数(或接收次数)进行计数的构成而每当发送时使计数值递增的例子,但对计数值的运算不限定于递增(增加1)。也可以进行2以上的增加,不限于基于递增的升值计数,也可以是利用递减的降值计数。另外,对计数值的运算例如既可以是位移位,也可以是将前一次的运算结果作为输入值,将基于预先确定的算法而确定的输出值设为运算结果的运算等。此外,在更新处理中,通过复位将计数值设为零等特定值。
(4)在上述实施方式中,以标准ID格式记述了CAN协议中的数据帧,但也可以是扩展ID格式。在扩展ID格式的情况下,由于用标准ID格式中的ID位置的基础ID和扩展ID共29位(bit,比特)来表示ID(消息ID),所以将该29位的ID作为上述实施方式中的ID(消息ID)处理即可。
(5)在上述实施方式中,使算出MAC的算法为HMAC,但其也可以是CBC-MAC(CipherBlockChainingMessageAuthenticationCode:密码块链接消息认证码)、CMAC(Cipher-basedMAC:基于密码的消息认证码)。另外,关于用于MAC计算的填充,零填充、ISO10126、PKCS#1、PKCS#5、PKCS#7、其他块的数据尺寸对计算来说是需要尺寸的填充方式都可以。另外,关于4个字节等对块的尺寸的变更方法,也可以在开头、尾端以及中间的任一个部分进行填充。另外,用于算出MAC的数据也可以不是连续的数据(例如4个字节的连续数据),也可以按照特定规则而逐个比特收集并结合。
(6)在上述实施方式中,示出了进行MAC密钥的更新和计数值的复位这两方来作为更新处理的例子,但也可以仅进行其中的一方。即,更新处理可以仅意味着更新MAC密钥的值的密钥更新处理,所述MAC密钥是为了生成MAC而使用的密钥。另外,更新处理也可以是将反映到MAC的计数值复位(也即是更新为零等特定值)的计数器复位处理。另外,在MAC密钥的更新时,也可以为了生成新的MAC密钥而使用利用了专用密钥的运算。在MAC密钥的更新中,如上所述,也可以使用如下方法以外的方法:将向预先确定的单向函数输入当前的MAC密钥(更新前的MAC密钥)而导出的结果作为新的MAC密钥(更新后的MAC密钥)。即,同步地进行MAC密钥更新的多个ECU按照相同的算法等生成值与更新前的MAC密钥不同的MAC密钥即可。
(7)在上述实施方式中,作为更新定时的判定所使用的车辆状态的例子,示出了“行驶期间”、“停车期间”以及“驻车期间”,但也可以使用其他状态。例如,也可以将根据供油口的开闭检测到的“供油期间”的状态作为一种车辆状态来使用。另外,如果车辆为电动汽车,则也可以将通过充电插头的连接检测到的“充电期间”的状态作为一种车辆状态来使用。另外,也可以将根据车辆的速度而区别为“低速行驶期间”、“高速行驶期间”等而成的状态作为车辆状态来取代仅使用“行驶期间”的状态。此外,能够通过发送如下的数据帧且其他ECU接收该数据帧,从而判断车辆状态,所述数据帧包括车辆内的某一ECU从某一设备取得的传感器值等。
(8)在上述实施方式中,按每个消息ID而保持一个MAC密钥,但也可以按每个ECU(即,按1个以上的消息ID组)而保持一个MAC密钥。另外,无需全部ECU保持相同的MAC密钥。另外,与同一总线连接的各ECU可以保持共用的MAC密钥。但是,在一条总线上发送相同的消息ID的帧的ECU和接收该帧并进行验证的ECU需要保持相同的MAC密钥。另外,在上述实施方式中按每个消息ID而保持一个计数值,但也可以按每个ECU(即,按1个以上的消息ID组)而保持一个MAC密钥。另外,也可以对在同一总线上传播的全部帧使用共用的计数值。
(9)在上述实施方式中,采用了即使是相同的消息ID也按每条总线而MAC密钥和计数值不同的方式,但也可以为即使总线不同也使用相同的MAC密钥,也可以即使总线不同也使用相同的计数值。但是,使用相同的MAC密钥或计数值的各ECU需要同步地进行MAC密钥的更新或计数值的复位。例如,网关2400可以同时向各总线发送更新开始帧。
(10)在上述实施方式中,示出了为了在发送侧确认接收到的更新帧而使用ACK空隙的例子,但也可以是接收到更新帧的ECU不是使ACK空隙为显性来表示能够正常接收,而是发送表示接收成功的意思的数据帧。特别地,为了在所连接的总线不同的多个ECU间同步地进行MAC密钥的更新或计数值的复位,发送表示成功接收了更新帧的意思的数据帧是有用的。此外,在该情况下,网关在总线间传输更新帧和表示接收成功的意思的数据帧。
(11)在上述实施方式示出的判定规则为一例,可以设为与例示的值不同的值。另外,也可以有多个判定规则。只要判定规则能确定车辆状态为预定状态(例如驻车状态等)作为执行更新处理的条件,则也可以附加进一步的条件(例如附加从执行前一次更新处理起经过了一定时间的条件等)。另外,判定规则既可以在各ECU和网关的出厂时设定,也可以在搭载车载网络系统的车辆的出厂时设定。另外,判定规则可以基于与外部的通信来设定,也可以使用各种记录介质等来设定,还可以根据工具种类等来设定。
(12)也可以是,ECU2100a~2400d中的某一个发送上述实施方式所示的更新开始帧,来取代网关2400发送上述实施方式所示的更新开始帧。另外,也可以是,使车载网络系统包括更新开始帧的发送专用的ECU,该ECU发送更新开始帧。另外,也可以是,更新开始帧按每个成为更新处理对象的消息ID,使之包含该消息ID的识别信息来进行发送,在该情况下,接收到更新开始帧的ECU可进行与该消息ID对应的更新处理(与该消息ID对应的MAC密钥的更新和与该消息ID对应的计数值的复位)。另外,也可以是,对于一次更新开始帧的发送,接收到该更新开始帧的全部ECU进行所保持的全部MAC密钥的更新和计数值的复位。
(13)在上述实施方式所示的ECU中的利用定时器108的经过时间的确认(步骤S1001、S1002)和网关中的利用更新处理定时器2419的经过时间的确认(步骤S2001、S2002)中,使用了逐次确认经过时间的方式,但例如也可以使用定时器通知预先确定的一定时间的经过的方式来实现。另外,在上述实施方式中,更新定时设为定时器108经过了预先确定的一定时间的定时,但更新定时也可以是从进行前一次更新定时或前一次更新处理的定时起,用某计数器计数的预定数量到达一定数量的定时。例如,可以将作为发送计数器或接收计数器的计数值超过到达预先决定的上限值之前的阈值的定时等作为更新定时。另外,在上述实施方式中,发送更新开始帧的定时设为更新处理定时器2419的定时器值成为表示预先设定的经过时间的值的定时,但发送更新开始帧的定时也可以设为从前一次发送了更新开始帧的定时(也即是前一次进行了更新处理的定时)起用某计数器计数的预定数量到达一定数量的定时。
(14)上述实施方式所示的区域类别仅为组的一例,除了“驱动系统”、“车身系统”以外,作为区域类别,例如根据与总线连接的各ECU的性质或与该各ECU连接的设备的性质,也可以是“动力传动系统”、“安全行驶控制系统”、“外部通信系统”、“AV处理系统”等和/或其他类别。另外,总线或ECU也可属于多个组。因此,ECU也可以保持多个区域类别。另外,在判定规则中,也可以使区域类别和总线一对一地对应(也即是区别各条总线)来确定作为更新处理的执行条件的车辆状态。
(15)上述实施方式所示的ECU等装置中的功能构成要素的功能分割仅为一例,可以变更。例如,由于更新处理部、更新判定部以及与它们关联的功能处理要素的功能分割仅为例示,因此,也可以使它们一体地构成作为将车辆状态为预定状态作为条件而执行更新处理(保持于MAC密钥保持部的MAC密钥的更新等)的更新处理部。
(16)在上述实施方式中,接收到在ECU间收发的数据帧的ECU对该数据帧进行MAC的验证,但在车载网络系统中,也可以包括对赋予给全部数据帧的MAC进行验证的MAC验证用ECU。该MAC验证用ECU保持与全部消息ID对应的MAC密钥和计数值。MAC验证用ECU在MAC验证后判定为错误(也即是判定为验证失败)的情况下,为了防止由其他ECU接收,也可以发送错误帧。
(17)在上述实施方式中,各ECU发送数据帧,但车载网络系统也可以包括仅接收数据帧而不发送数据帧的ECU。另外,相反地,车载网络系统也可以包括仅发送数据帧而不接收数据帧的ECU。
(18)上述实施方式所示的CAN协议可以具有也包含TTCAN(Time-TriggeredCAN:时间触发控制器局域网络)、CANFD(CANwithFlexibleDataRate:灵活数据速率控制器局域网络,弹性数据速率控制器局域网络)等派生性协议的广义含义。
(19)上述实施方式中的MAC密钥保持部和计数保持部也可以保存在被称为CAN控制器的硬件的寄存器或在与CAN控制器连接并工作的微机上工作的固件中。
(20)上述实施方式中的各ECU例如是处理器、存储器等包括数字电路、模拟电路以及通信线路等的装置,但也可以包括硬盘装置、显示器、键盘以及鼠标等其他硬件构成要素。另外,也可以利用专用硬件(数字电路等)实现功能,来取代利用处理器执行存储于存储器的控制程序而以软件的方式实现该功能。
(21)构成上述实施方式中的各装置(ECU等)的构成要素的一部分或全部可以由一个系统LSI(LargeScaleIntegration:大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上制造而成的超多功能LSI,具体而言,是包括微处理器、ROM以及RAM等而构成的计算机系统。在所述RAM中记录有计算机程序。通过所述微处理器按照所述计算机程序工作,系统LSI达成其功能。另外,构成上述各装置的构成要素的各部既可以形成为独立的单片,也可以形成为包括一部分或全部的单片。另外,在这里,设为系统LSI,但根据集成度的不同,有时也称作IC、LSI、超级LSI以及超大规模LSI。另外,集成电路化的方法不限于LSI,也可以用专用电路或通用处理器来实现。在LSI制造后,也可以利用可编程的FPGA(FieldProgrammableGateArray:现场可编程门阵列)和/或利用能够将LSI内部的电路单元的连接和/或设定重新构建的可重构处理器。进一步地,如果因半导体技术的进步、或派生的其他技术而出现代替LSI的集成电路化的技术,当然也可以使用其技术进行功能块的集成化。也有可能应用生物技术等。
(22)构成上述各装置的构成要素的一部分或全部可以由可拆装于各装置的IC卡或单体的模块构成。所述IC卡或所述模块是由微处理器、ROM以及RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。通过微处理器按照计算机程序来工作,所述IC卡或所述模块达成其功能。该IC卡或该模块也可以具有防破解(篡改)性。
(23)作为本公开的一个技术方案,也可以是上述说明所示的更新处理方法。另外,既可以是利用计算机实现该方法的计算机程序,也可以是由所述计算机程序构成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)以及半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个技术方案也可以是:经由电通信线路、无线或有线通信线、以互联网为代表的网络以及数据广播等输送所述计算机程序或所述数字信号。另外,作为本公开的一个技术方案也可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序工作。另外,也可以通过将所述程序或所述数字信号记录于所述记录介质并进行移送,或经由所述网络等移送所述程序或所述数字信号,从而利用独立的其他计算机系统来实施。
(24)通过任意组合上述实施方式和上述变形例所示的各构成要素和功能而实现的方式也包括在本公开的范围内。
产业上的可利用性
本公开可利用于在车载网络系统中提高对于不正常节点的攻击的抗攻击性。

Claims (11)

1.一种更新处理方法,用于在车载网络系统中更新消息认证码密钥即MAC密钥,所述车载网络系统具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述MAC密钥被利用于生成所述消息认证码,所述更新处理方法包括:
检测步骤,检测搭载所述车载网络系统的车辆的状态;和
更新步骤,将在所述检测步骤中检测到的车辆的状态为预定状态这一情况作为条件,更新被利用于生成所述消息认证码的MAC密钥。
2.根据权利要求1所述的更新处理方法,
所述多个电子控制单元中的发送以预定消息ID识别的数据帧的第一电子控制单元,以反映对发送次数进行计数的发送计数器的值的方式使用所述MAC密钥生成消息认证码并附加到所述数据帧,
所述多个电子控制单元中的接收以所述预定消息ID识别的数据帧的第二电子控制单元,以反映对接收次数进行计数的接收计数器的值方式使用所述MAC密钥生成消息认证码并对在所述数据帧中附加有该消息认证码这一情况进行验证,
所述更新处理方法还包括:复位步骤,将在所述检测步骤中检测到的车辆的状态为所述预定状态这一情况作为条件,将所述发送计数器和所述接收计数器复位。
3.根据权利要求1所述的更新处理方法,
所述车载网络系统具备多条总线,
在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线对应地确定。
4.根据权利要求1所述的更新处理方法,
所述车载网络系统具备多条总线,所述多条总线分别属于多个种类的组中的某一个组,
在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线所属的组对应地确定。
5.根据权利要求1所述的更新处理方法,
在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,如果在所述检测步骤中检测到的车辆的状态为所述预定状态,则进行所述MAC密钥的更新。
6.根据权利要求5所述的更新处理方法,
在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,在所述检测步骤中检测到的车辆的状态不是所述预定状态的情况下,在所述检测步骤中检测到的车辆的状态变化成所述预定状态的定时进行所述MAC密钥的更新。
7.根据权利要求1所述的更新处理方法,
所述预定状态为所述车辆不行驶的状态。
8.根据权利要求7所述的更新处理方法,
所述预定状态为驻车状态。
9.一种车载网络系统,具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述车载网络系统具备:
第一电子控制单元,其生成消息认证码,并附加到以预定消息ID识别的数据帧而进行发送;和
第二电子控制单元,其生成消息认证码,接收以所述预定消息ID识别的数据帧,并对在该数据帧中附加有该消息认证码这一情况进行验证,
所述第一电子控制单元和所述第二电子控制单元分别具有:
MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和
更新处理部,其将搭载所述车载网络系统的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
10.根据权利要求9所述的车载网络系统,
所述第一电子控制单元和所述第二电子控制单元的更新处理部,在接收到以预先确定的特定消息ID识别的特定帧的情况下,判定所述车辆的状态是否为预定状态,当该车辆的状态为预定状态时进行MAC密钥的所述更新。
11.一种电子控制单元,其为了按照CAN协议即控制器局域网络协议经由总线对数据帧附加消息认证码即MAC来进行发送、或者为了按照CAN协议即控制器局域网络协议经由总线接收数据帧并对在该数据帧中附加有消息认证码这一情况进行验证,生成消息认证码,所述电子控制单元具备:
MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和
更新处理部,其将搭载所述电子控制单元的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
CN201580002039.XA 2014-05-08 2015-04-21 车载网络系统、电子控制单元以及更新处理方法 Active CN105594155B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201461990150P 2014-05-08 2014-05-08
US61/990,150 2014-05-08
JP2015-032210 2015-02-20
JP2015032210 2015-02-20
PCT/JP2015/002162 WO2015170452A1 (ja) 2014-05-08 2015-04-21 車載ネットワークシステム、電子制御ユニット及び更新処理方法

Publications (2)

Publication Number Publication Date
CN105594155A true CN105594155A (zh) 2016-05-18
CN105594155B CN105594155B (zh) 2019-08-02

Family

ID=54392312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580002039.XA Active CN105594155B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元以及更新处理方法

Country Status (5)

Country Link
US (1) US10227053B2 (zh)
EP (1) EP3142288B1 (zh)
JP (1) JP6377143B2 (zh)
CN (1) CN105594155B (zh)
WO (1) WO2015170452A1 (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106897627A (zh) * 2017-02-21 2017-06-27 成都信息工程大学 一种保证汽车ecu免受攻击和自动更新的方法
CN108111460A (zh) * 2016-11-24 2018-06-01 飞天联合(北京)系统技术有限公司 一种用户认证方法及系统
CN108370336A (zh) * 2016-05-27 2018-08-03 松下电器(美国)知识产权公司 电子控制单元、帧生成方法和程序
CN108429734A (zh) * 2017-02-15 2018-08-21 福特环球技术公司 用于车辆通信系统中的安全漏洞检测的系统和方法
CN108427565A (zh) * 2017-02-02 2018-08-21 福特全球技术公司 用于安全的多周期车辆软件更新的方法和设备
CN108476161A (zh) * 2016-05-27 2018-08-31 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN109076001A (zh) * 2016-07-28 2018-12-21 松下电器(美国)知识产权公司 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN110226310A (zh) * 2017-12-01 2019-09-10 松下电器(美国)知识产权公司 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及车载网络监视方法
CN110290980A (zh) * 2017-02-28 2019-09-27 奥迪股份公司 具有分成多个分开的域的数据网络的机动车及用于运行数据网络的方法
CN110300953A (zh) * 2016-10-04 2019-10-01 株式会社自动网络技术研究所 车载更新系统、车载更新装置、车载设备及更新方法
CN110832809A (zh) * 2017-08-03 2020-02-21 住友电气工业株式会社 检测器、检测方法和检测程序
CN112313618A (zh) * 2018-06-29 2021-02-02 三菱电机株式会社 更新控制装置、更新控制系统和更新控制方法
CN112968821A (zh) * 2016-05-27 2021-06-15 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN113475044A (zh) * 2019-03-05 2021-10-01 住友电气工业株式会社 管理装置、通信系统、车辆、车辆通信管理方法和车辆通信管理程序
US11940973B1 (en) * 2022-12-30 2024-03-26 Monday.com Ltd. Limiting concurrent database updates

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3860042B1 (en) * 2014-05-08 2023-08-02 Panasonic Intellectual Property Corporation of America In-vehicle network system, fraud-sensing electronic control unit, and anti-fraud method
JP6875576B2 (ja) * 2014-05-08 2021-05-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正対処方法
CN111478836B (zh) * 2014-07-10 2024-02-20 松下电器(美国)知识产权公司 车载网络系统、电子控制单元、接收方法以及发送方法
EP3813333B1 (en) * 2015-01-20 2022-06-29 Panasonic Intellectual Property Corporation of America Irregularity detection rule update for an on-board network
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2016218932A (ja) * 2015-05-26 2016-12-22 京セラ株式会社 ソフトウェア更新装置およびソフトウェア更新システム
US9779247B2 (en) * 2015-05-29 2017-10-03 GM Global Technology Operations LLC Boot control systems and methods for vehicles
US11048797B2 (en) 2015-07-22 2021-06-29 Arilou Information Security Technologies Ltd. Securing vehicle bus by corrupting suspected messages transmitted thereto
JP6555209B2 (ja) * 2015-08-07 2019-08-07 株式会社デンソー 通信システム、管理ノード、通信ノード、カウンタ同期方法、カウント値配信方法、カウント値初期化方法、プログラム、記録媒体
US10223294B2 (en) 2015-09-01 2019-03-05 Nxp Usa, Inc. Fast secure boot from embedded flash memory
JP6601244B2 (ja) * 2016-02-01 2019-11-06 トヨタ自動車株式会社 通信システム
JP6260064B2 (ja) * 2016-03-14 2018-01-17 Kddi株式会社 通信ネットワークシステム及び車両
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
CN106341392B (zh) * 2016-08-23 2019-09-13 北京航空航天大学 电动汽车obdⅱ接口安全通信防护装置、系统及方法
JP2018030464A (ja) * 2016-08-25 2018-03-01 株式会社オートネットワーク技術研究所 車両用認証装置
EP3512174A4 (en) * 2016-09-12 2020-04-29 LG Electronics Inc. -1- COMMUNICATION SYSTEM
US10140116B2 (en) * 2016-09-26 2018-11-27 Ford Global Technologies, Llc In-vehicle auxiliary memory storage
CN106385420A (zh) * 2016-09-29 2017-02-08 中国联合网络通信集团有限公司 一种ecu软件下载方法及装置
JP6547719B2 (ja) * 2016-09-30 2019-07-24 トヨタ自動車株式会社 車載通信ネットワーク
TWI688252B (zh) 2016-10-03 2020-03-11 日商日本電氣股份有限公司 通信裝置、通信方法及記錄媒體
JP6409849B2 (ja) * 2016-10-31 2018-10-24 トヨタ自動車株式会社 通信システム及び通信方法
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
CN115795435A (zh) * 2017-05-15 2023-03-14 松下电器(美国)知识产权公司 验证方法、验证装置和计算机可读取记录介质
JP6959155B2 (ja) * 2017-05-15 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
SG10201705960QA (en) * 2017-07-20 2019-02-27 Huawei Int Pte Ltd System and method for managing secure communications between modules in a controller area network
CN108073156B (zh) * 2017-11-20 2019-11-01 广州汽车集团股份有限公司 一种汽车电子控制单元的安全算法管理方法及系统
JP7010049B2 (ja) * 2018-02-16 2022-01-26 トヨタ自動車株式会社 車両制御装置、プログラムの更新確認方法および更新確認プログラム
CN110224907A (zh) * 2018-03-01 2019-09-10 上海汽车集团股份有限公司 一种车载ecu的刷新系统、方法及终端
US11444801B2 (en) * 2018-04-23 2022-09-13 Hitachi Astemo, Ltd. Gateway device
WO2020021715A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法、不正対処装置および通信システム
DE102018215141A1 (de) * 2018-09-06 2020-03-12 Continental Teves Ag & Co. Ohg Verfahren zur Verbesserung des Nutzungsgrades einer Fahrzeug-zu-X Kommunikationsvorrichtung sowie Fahrzeug-zu-X Kommunikationsvorrichtung
CN109495893B (zh) * 2018-12-13 2019-12-24 深圳美克拉网络技术有限公司 一种移动通信数据流量异常监测系统
CN113383514A (zh) * 2019-02-06 2021-09-10 Abb电网瑞士股份公司 用于在资源受限系统中认证消息的方法
JP7163813B2 (ja) * 2019-02-18 2022-11-01 日本電気株式会社 鍵管理システム、鍵管理方法及びプログラム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
US11258755B2 (en) * 2019-09-19 2022-02-22 GM Global Technology Operations LLC Method and system for processing coherent data
EP4107038B1 (en) * 2020-02-18 2024-04-17 BAE Systems Controls Inc. Authenticating devices over a public communication network
US11968639B2 (en) * 2020-11-11 2024-04-23 Magna Electronics Inc. Vehicular control system with synchronized communication between control units
JP2022190844A (ja) * 2021-06-15 2022-12-27 株式会社オートネットワーク技術研究所 車載制御装置、イーサネットスイッチおよび機器設定方法

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203882A (ja) * 2004-01-13 2005-07-28 Denso Corp 通信システム及び鍵送信方法
KR20050091134A (ko) * 2004-03-10 2005-09-15 (주)포트컴 Can 통신을 이용한 차량 원격 제어 시스템
CN1881934A (zh) * 2005-06-17 2006-12-20 株式会社日立制作所 微处理器、网络系统和通信方法
JP2008271506A (ja) * 2007-02-13 2008-11-06 Secunet Security Networks Ag 機密保護装置
WO2009044915A1 (ja) * 2007-10-05 2009-04-09 Autonetworks Technologies, Ltd. 通信システム及び中継装置
CN102004478A (zh) * 2010-11-08 2011-04-06 湖北三江航天万山特种车辆有限公司 一种车辆多总线协调通信与控制系统
CN102114883A (zh) * 2010-09-21 2011-07-06 浙江吉利汽车研究院有限公司 汽车电子控制单元配置自检测装置及自检测方法
WO2012120350A2 (en) * 2011-03-04 2012-09-13 Toyota Jidosha Kabushiki Kaisha Vehicle network system
CN202827418U (zh) * 2012-08-31 2013-03-27 长城汽车股份有限公司 适用于混合动力汽车的车载网络系统
DE102012219093A1 (de) * 2011-10-25 2013-04-25 GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk
WO2013065689A1 (ja) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター 通信システムにおけるメッセージ認証方法および通信システム
WO2013179392A1 (ja) * 2012-05-29 2013-12-05 トヨタ自動車 株式会社 認証システム及び認証方法
EP2704369A1 (en) * 2012-09-03 2014-03-05 Scania CV AB Communication system in motor vehicle

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6665601B1 (en) * 1998-12-22 2003-12-16 Case Corporation Communications system for managing messages across a vehicle data bus
JP4168866B2 (ja) * 2003-07-25 2008-10-22 トヨタ自動車株式会社 車両情報通信方法、車両情報通信システムおよびセンター
JP3849675B2 (ja) * 2003-07-25 2006-11-22 トヨタ自動車株式会社 車両診断方法、車両診断システム、車両およびセンター
EP2194257A1 (en) * 2008-12-05 2010-06-09 Delphi Technologies Holding S.à.r.l. A method of controlling a vehicle engine system
US8750853B2 (en) * 2010-09-21 2014-06-10 Cellepathy Ltd. Sensor-based determination of user role, location, and/or state of one or more in-vehicle mobile devices and enforcement of usage thereof
US20130152003A1 (en) * 2011-11-16 2013-06-13 Flextronics Ap, Llc Configurable dash display
US8976744B2 (en) * 2010-11-03 2015-03-10 Broadcom Corporation Vehicle communication network including wireless communications
US20120215491A1 (en) * 2011-02-21 2012-08-23 Snap-On Incorporated Diagnostic Baselining
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US9283931B2 (en) * 2011-12-12 2016-03-15 Mill Mountain Capital, LLC Systems, devices and methods for vehicles
JP2013138304A (ja) * 2011-12-28 2013-07-11 Toyota Motor Corp セキュリティシステム及び鍵データの運用方法
WO2013128317A1 (en) * 2012-03-01 2013-09-06 Nds Limited Anti-replay counter measures
WO2013175633A1 (ja) * 2012-05-25 2013-11-28 トヨタ自動車 株式会社 通信装置、通信システム及び通信方法
US9231936B1 (en) * 2014-02-12 2016-01-05 Symantec Corporation Control area network authentication

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203882A (ja) * 2004-01-13 2005-07-28 Denso Corp 通信システム及び鍵送信方法
KR20050091134A (ko) * 2004-03-10 2005-09-15 (주)포트컴 Can 통신을 이용한 차량 원격 제어 시스템
CN1881934A (zh) * 2005-06-17 2006-12-20 株式会社日立制作所 微处理器、网络系统和通信方法
JP2008271506A (ja) * 2007-02-13 2008-11-06 Secunet Security Networks Ag 機密保護装置
WO2009044915A1 (ja) * 2007-10-05 2009-04-09 Autonetworks Technologies, Ltd. 通信システム及び中継装置
CN102114883A (zh) * 2010-09-21 2011-07-06 浙江吉利汽车研究院有限公司 汽车电子控制单元配置自检测装置及自检测方法
CN102004478A (zh) * 2010-11-08 2011-04-06 湖北三江航天万山特种车辆有限公司 一种车辆多总线协调通信与控制系统
WO2012120350A2 (en) * 2011-03-04 2012-09-13 Toyota Jidosha Kabushiki Kaisha Vehicle network system
DE102012219093A1 (de) * 2011-10-25 2013-04-25 GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk
WO2013065689A1 (ja) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター 通信システムにおけるメッセージ認証方法および通信システム
WO2013179392A1 (ja) * 2012-05-29 2013-12-05 トヨタ自動車 株式会社 認証システム及び認証方法
CN202827418U (zh) * 2012-08-31 2013-03-27 长城汽车股份有限公司 适用于混合动力汽车的车载网络系统
EP2704369A1 (en) * 2012-09-03 2014-03-05 Scania CV AB Communication system in motor vehicle

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968821B (zh) * 2016-05-27 2022-03-08 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN108370336A (zh) * 2016-05-27 2018-08-03 松下电器(美国)知识产权公司 电子控制单元、帧生成方法和程序
CN108370336B (zh) * 2016-05-27 2021-08-20 松下电器(美国)知识产权公司 电子控制单元、帧生成方法和记录介质
CN108476161A (zh) * 2016-05-27 2018-08-31 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN112968821A (zh) * 2016-05-27 2021-06-15 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN108476161B (zh) * 2016-05-27 2021-03-02 松下电器(美国)知识产权公司 电子控制单元、通信方法以及车载网络系统
CN109076001B (zh) * 2016-07-28 2021-10-01 松下电器(美国)知识产权公司 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN109076001A (zh) * 2016-07-28 2018-12-21 松下电器(美国)知识产权公司 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN110300953A (zh) * 2016-10-04 2019-10-01 株式会社自动网络技术研究所 车载更新系统、车载更新装置、车载设备及更新方法
CN108111460A (zh) * 2016-11-24 2018-06-01 飞天联合(北京)系统技术有限公司 一种用户认证方法及系统
CN108427565A (zh) * 2017-02-02 2018-08-21 福特全球技术公司 用于安全的多周期车辆软件更新的方法和设备
CN108427565B (zh) * 2017-02-02 2023-12-05 福特全球技术公司 用于安全的多周期车辆软件更新的方法和设备
CN108429734B (zh) * 2017-02-15 2023-04-07 福特环球技术公司 用于车辆通信系统中的安全漏洞检测的系统和方法
CN108429734A (zh) * 2017-02-15 2018-08-21 福特环球技术公司 用于车辆通信系统中的安全漏洞检测的系统和方法
CN106897627B (zh) * 2017-02-21 2020-02-11 成都信息工程大学 一种保证汽车ecu免受攻击和自动更新的方法
CN106897627A (zh) * 2017-02-21 2017-06-27 成都信息工程大学 一种保证汽车ecu免受攻击和自动更新的方法
CN110290980A (zh) * 2017-02-28 2019-09-27 奥迪股份公司 具有分成多个分开的域的数据网络的机动车及用于运行数据网络的方法
US11438343B2 (en) 2017-02-28 2022-09-06 Audi Ag Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
CN110832809B (zh) * 2017-08-03 2021-10-19 住友电气工业株式会社 检测装置、检测方法和非瞬态的计算机可读的存储介质
CN110832809A (zh) * 2017-08-03 2020-02-21 住友电气工业株式会社 检测器、检测方法和检测程序
CN110226310A (zh) * 2017-12-01 2019-09-10 松下电器(美国)知识产权公司 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及车载网络监视方法
CN112313618A (zh) * 2018-06-29 2021-02-02 三菱电机株式会社 更新控制装置、更新控制系统和更新控制方法
CN112313618B (zh) * 2018-06-29 2023-12-22 三菱电机株式会社 更新控制装置、更新控制系统和更新控制方法
CN113475044A (zh) * 2019-03-05 2021-10-01 住友电气工业株式会社 管理装置、通信系统、车辆、车辆通信管理方法和车辆通信管理程序
US11940973B1 (en) * 2022-12-30 2024-03-26 Monday.com Ltd. Limiting concurrent database updates

Also Published As

Publication number Publication date
WO2015170452A1 (ja) 2015-11-12
US10227053B2 (en) 2019-03-12
US20160264071A1 (en) 2016-09-15
CN105594155B (zh) 2019-08-02
EP3142288A1 (en) 2017-03-15
JP6377143B2 (ja) 2018-08-22
EP3142288A4 (en) 2017-05-17
JPWO2015170452A1 (ja) 2017-04-20
EP3142288B1 (en) 2018-12-26

Similar Documents

Publication Publication Date Title
CN105594155A (zh) 车载网络系统、电子控制单元以及更新处理方法
US11569984B2 (en) Key management method used in encryption processing for safely transmitting and receiving messages
US10951631B2 (en) In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method
US10609049B2 (en) Method for sensing fraudulent frames transmitted to in-vehicle network
US11595422B2 (en) Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus
JP6494821B2 (ja) 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
US20170109521A1 (en) Vehicle network system whose security is improved using message authentication code
EP3772200B1 (en) Illicit act detection method, illicit act detection device, and program
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
CN114731301B (zh) 决定方法、决定系统以及程序记录介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant