CN107005447B - 通信控制装置及通信系统 - Google Patents
通信控制装置及通信系统 Download PDFInfo
- Publication number
- CN107005447B CN107005447B CN201580061067.9A CN201580061067A CN107005447B CN 107005447 B CN107005447 B CN 107005447B CN 201580061067 A CN201580061067 A CN 201580061067A CN 107005447 B CN107005447 B CN 107005447B
- Authority
- CN
- China
- Prior art keywords
- transmission
- message
- period
- hash value
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40143—Bus networks involving priority mechanisms
- H04L12/40163—Bus networks involving priority mechanisms by assigning priority to messages according to a message field
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40143—Bus networks involving priority mechanisms
- H04L12/40156—Bus networks involving priority mechanisms by using dedicated slots associated with a priority level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供在不正当的装置对共用的通信线进行了报文发送的情况下能够检测出这样的报文发送的通信控制装置及通信系统。监视装置决定ECU的周期性的报文发送的基准时刻t0,决定对基准时刻t0加上报文的发送周期T的整数倍的期间而得到的多个发送预定时刻t1、t2…,对于各发送预定时刻,将包含该时刻的预定期间决定为报文发送的允许期间。监视装置判定在CAN总线上检测出的报文是否在允许期间内被发送。在对于不正当的报文判定为不允许发送的情况下,监视装置进行用于使接收该报文的ECU废弃报文的处理。
Description
技术领域
本发明涉及例如CAN(Controller Area Network:控制器区域网络)等那样多个通信装置发送接收报文的通信系统及检测不正当的报文对于该系统的侵入的通信控制装置。
背景技术
以往,搭载于车辆的多个ECU(Electronic Control Unit:电子控制单元)之间的通信广泛采用CAN的通信协议。采用了CAN的通信协议的通信系统成为多个ECU连接于共用的CAN总线的结构,接收侧的ECU取得发送侧的ECU向CAN总线输出的信号,由此发送接收报文。在这样的通信系统中,研究了用于检测或防止不正当的报文向共用的通信线侵入的技术。
在专利文献1中,提出有对外部数据进行输入限制的车辆网络的通信管理装置。该通信管理装置对CAN总线上的数据进行监视及对从外部输入的数据进行监视,在CAN总线的使用率超过了负荷基准值时及预测出随着外部数据的传送而CAN总线的使用率超过负荷基准值时,执行外部数据的发送限制。
专利文献1:日本特开2013-38711号公报
发明内容
发明要解决的课题
在车载的通信系统中,例如CAN总线有可能与有恶意的装置连接。这样的装置有可能通过对例如CAN总线发送不正当的报文,而使与CAN总线连接的正规的ECU等误动作。专利文献1记载的通信管理装置是判定CAN总线的使用率是否超过负荷基准值的结构,因此存在如下的问题:在有恶意的装置的报文发送量较少的情况下,无法进行发送限制。
本发明鉴于上述情况而作出,其目的是提供在不正当的装置对共用的通信线进行了报文发送的情况下能够检测出这种报文发送的通信控制装置及通信系统。
用于解决课题的方案
本发明的通信控制装置对通信装置的通信进行控制,上述通信装置具有周期性地进行报文发送的报文发送部,上述通信控制装置的特征在于,具备:基准时刻决定部,决定与上述报文发送部的报文发送相关的基准时刻;允许期间决定部,对于该基准时刻决定部决定的基准时刻加上上述报文发送部的报文发送周期的整数倍的期间而得到的发送预定时刻,将包含该发送预定时刻的预定期间作为报文发送的允许期间;报文检测部,对上述通信装置发送的报文进行检测;及发送可否判定部,根据该报文检测部检测出的报文是否是在上述允许期间决定部决定的允许期间内发送的,来判定是否能够发送上述报文。
另外,本发明的通信控制装置的特征是,在控制对象的通信装置存在多个的情况下,上述基准时刻决定部及上述允许期间决定部对多个通信装置分别决定上述基准时刻及上述允许期间。
另外,本发明的通信控制装置的特征是,上述通信装置发送的上述报文中包含表示该报文的优先级的信息,上述允许期间决定部按照各报文的优先级来决定上述允许期间。
另外,本发明的通信控制装置的特征是,上述通信控制装置具备仲裁部,在多个上述通信装置的报文发送产生了冲突的情况下,上述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,上述发送可否判定部调查在从与判定对象的报文相关的上述发送预定时刻到完成上述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比上述判定对象的报文低的其他报文的情况下,判定为不允许上述判定对象的报文的发送。
另外,本发明的通信控制装置的特征是,在从与判定对象的报文相关的上述发送预定时刻到完成上述判定对象的报文的发送为止的期间内存在超过预定长度的无报文发送期间的情况下,上述发送可否判定部判定为不允许上述判定对象的报文的发送。
另外,本发明的通信控制装置的特征是,上述通信控制装置具备:哈希(hash)值要求部,对上述通信装置赋予哈希值的算出要求;哈希值接收部,接收上述通信装置发送的哈希值作为对上述算出要求的响应;及哈希值判定部,对该哈希值接收部接收到的哈希值的正误进行判定,上述基准时刻决定部基于从上述通信装置完成了正确的哈希值的接收的时刻来决定上述基准时刻。
另外,本发明的通信控制装置的特征是,上述通信控制装置具备废弃处理部,上述废弃处理部进行使接收上述发送可否判定部判定为不允许发送的报文的上述通信装置废弃该报文的处理。
另外,本发明的通信系统具备相互进行报文发送接收的多个通信装置及对该通信装置的通信进行控制的通信控制装置,上述通信系统的特征在于,上述通信装置具有周期性地进行报文发送的报文发送部,上述通信控制装置具有:基准时刻决定部,决定与上述报文发送部的报文发送相关的基准时刻;允许期间决定部,对于该基准时刻决定部决定的基准时刻加上上述报文发送部的报文发送周期的整数倍的期间而得到的发送预定时刻,将包含该发送预定时刻的预定期间作为报文发送的允许期间;报文检测部,对上述通信装置发送的报文进行检测;及发送可否判定部,根据该报文检测部检测出的报文是否是在上述允许期间决定部决定的允许期间内发送的,来判定是否能够发送上述报文。
另外,本发明的通信系统的特征是,上述基准时刻决定部及上述允许期间决定部对上述多个通信装置分别决定上述基准时刻及上述允许期间。
另外,本发明的通信系统的特征是,上述通信装置发送的上述报文中包含表示该报文的优先级的信息,上述允许期间决定部按照各报文的优先级来决定上述允许期间。
另外,本发明的通信系统的特征是,上述通信系统具备仲裁部,在多个上述通信装置的报文发送产生了冲突的情况下,上述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,上述发送可否判定部调查在从与判定对象的报文相关的上述发送预定时刻到完成上述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比上述判定对象的报文低的其他报文的情况下,判定为不允许上述判定对象的报文的发送。
另外,本发明的通信系统的特征是,在从与判定对象的报文相关的上述发送预定时刻到完成上述判定对象的报文的发送为止的期间内存在超过预定长度的无报文发送期间的情况下,上述发送可否判定部判定为不允许上述判定对象的报文的发送。
另外,本发明的通信系统的特征是,上述通信控制装置具备:哈希值要求部,对上述通信装置赋予哈希值的算出要求;哈希值接收部,接收上述通信装置发送的哈希值作为对上述算出要求的响应;及哈希值判定部,对该哈希值接收部接收到的哈希值的正误进行判定,上述通信装置具有:哈希值算出部,根据来自上述通信控制装置的算出要求而算出哈希值;及哈希值发送部,向上述通信控制装置发送该哈希值算出部算出的哈希值,上述基准时刻决定部基于从上述通信装置完成了正确的哈希值的接收的时刻来决定上述基准时刻。
另外,本发明的通信系统的特征是,上述报文发送部决定基于上述哈希值发送部完成了正确的哈希值的发送的时刻的基准时刻,并以所决定的时刻为基准而周期性地进行报文发送。
另外,本发明的通信系统的特征是,上述通信控制装置具有废弃处理部,上述废弃处理部进行使接收上述发送可否判定部判定为不允许发送的报文的上述通信装置废弃该报文的处理。
在本发明中,对构成为在共用的通信线上连接有多个通信装置且各通信装置周期性地进行报文发送的通信系统设置检测不正当的报文发送的通信控制装置。通信控制装置决定通信装置的周期性的报文发送的基准时刻(t0),将对基准时刻(t0)加上报文的发送周期(T)的整数(n=1、2、3、…)倍的期间而得到的多个时刻(t1=t0+T、t2=t0+2T、t3=t0+3T、…、tn=t0+nT)决定为发送预定时刻,对于各发送预定时刻(t1、t2、t3、…、tn),将包含该时刻的预定期间(t1-A~t1+B、t2-A~t2+B、t3-A~t3+B、…、tn-A~tn+B)决定为报文发送的允许期间。
另外,通信控制装置通过监视共用的通信线来检测通信装置发送的报文。通信控制装置能够通过判定检测出的报文是否是在上述允许期间内发送的,来判定该报文是否是不正当的报文,能够判定是否允许该报文的发送。
如上所述,本发明的通信控制装置构成为基于在最初的阶段决定的基准时刻来决定以后的报文发送的允许期间,即以绝对的基准决定允许期间。与此相对,可想到采用如下的结构:例如对于每次报文接收,将包含对该报文的接收时刻加上周期T而得到的时刻的预定期间作为允许期间,即以相对的基准决定允许期间。但是,在CAN的通信协议中在报文发送产生了冲突的情况下进行仲裁处理,优先级较低的报文的发送会产生延迟。在进行相对的决定的结构中,在报文发送产生了延迟的情况下,用于判定的允许期间发生变动,因此需要一定程度地扩大设定允许期间,而不容易缩小允许期间。允许期间越大则将不正当的报文误判定为正当的可能性越高。另外,在相对的决定的结构中,有可能以不正当的报文的接收为基准来决定下一个报文的允许期间。在产生了这样的情况的情况下,有可能将不正当的报文连续地误判定为正当的报文。本发明的通信控制装置以绝对的基准决定允许期间,由此能够避免产生上述问题。
另外,在本发明中,通信控制装置对通信系统所包含的各通信装置分别单独地决定基准时刻。另外,通信控制装置对于决定的各基准时刻按照各通信装置分别决定允许期间。此外,各通信装置的报文发送周期也可以分别不同。由此,即使在通信系统包含报文的发送周期及发送时刻等不同的通信装置的情况下,通信控制装置也能够按照各通信装置判定是否能够进行报文发送。
另外,在本发明中,通信装置能够发送发送周期不同的多个类别的报文,通信控制装置按照各报文类别来决定允许期间。此外,通信控制装置也可以按照各报文的类别而决定基准时刻。由此,即使在一个通信装置发送发送周期不同的报文的情况下,通信控制装置也能够按照各报文的类别判定是否能够进行发送。
另外,在本发明中,构成为多个通信装置与共用的通信线连接,因此在多个通信装置同时进行了报文发送的情况下,在通信线上多个报文有可能产生冲突。在这样的情况下,通信装置之间进行仲裁处理,以与报文的优先级对应的顺序进行发送。即,关于产生了冲突的多个报文,首先发送优先级较高的报文,然后发送优先级较低的报文。
在进行这样的仲裁处理的通信系统中,通信装置想要周期性地发送的报文有可能与其他报文产生冲突而延迟。因此,通信控制装置调查在从与判定对象的报文发送有关的预定时刻到该报文的发送完成为止的期间内是否发送了其他报文。在发送了其他报文的情况下,通信控制装置对判定对象的报文的优先级与其他报文的优先级进行比较。
在其他报文的优先级高于判定对象的报文的优先级的情况下,认为判定对象的报文由于正当的仲裁处理而发送产生了延迟,因此通信控制装置允许判定对象的报文的发送。与此相对,在其他报文的优先级低于判定对象的报文的优先级的情况下,认为判定对象的报文的延迟不是由于正当的仲裁处理引起的,因此通信控制装置不允许判定对象的报文的发送。由此,即使在由于仲裁处理而报文发送产生延迟的通信系统中,通信控制装置也能够判定是否能够进行报文发送。
另外,在本发明中,通信控制装置判定在从判定对象的报文的发送预定时刻到完成该报文的发送为止的期间内是否存在超过预定长度的无报文发送期间。在存在无报文发送期间的情况下,认为判定对象的报文的延迟不是由于正当的仲裁处理而产生的,通信控制装置不允许判定对象的报文的发送。
另外,在本发明中,为了决定基准时刻而在通信控制装置与通信装置之间进行预定手续。通信控制装置对通信装置发送哈希值的算出要求。此时,通信控制装置可以将哈希值算出所需要的信息与算出要求一起向通信装置提供。从通信控制装置接收到算出要求的通信装置基于例如存储于自身的存储器的信息等,使用预定的哈希函数来算出哈希值,并向通信控制装置发送算出的哈希值。从通信装置接收到哈希值的通信控制装置判定该哈希值是否正确。在接收到的哈希值正确的情况下,通信控制装置基于完成了该哈希值的接收的时刻来决定基准时刻。此外,通信装置可以将正确的哈希值的接收完成时刻作为基准时刻,也可以将对接收完成时刻增减了预定的时间而得到的时刻作为基准时刻。
相同地,通信装置基于完成了正确的哈希值的发送的时刻来决定基准时刻,并以所决定的时刻为基准而周期性地进行报文发送。
能够根据基于哈希值的可靠性较高的通信结果来决定基准时刻,因此通信控制装置能够进行可靠性较高的不正当报文检测。
另外,在本发明中,对于通信控制装置判定为是不正当的报文而不允许发送的报文,通信控制装置进行使接收该报文的通信装置废弃报文的处理。由此,能够防止通信装置接收不正当的报文并通过通信装置进行与该报文对应的处理。
发明效果
在本发明的情况下,通信控制装置构成为决定包含对基准时刻加上报文发送期间的整数倍的期间而得到的时刻的允许期间,并判定通信装置发送的报文是否在允许期间内,由此能够高精度地检测出不正当的装置对共用的通信线发送的报文。
附图说明
图1是表示本实施方式的通信系统的结构的示意图。
图2是表示ECU的结构的框图。
图3是表示监视装置的结构的框图。
图4是对存储于监视装置的存储部的复制数据的结构进行说明的示意图。
图5是对存储于监视装置的存储部的周期信息的结构进行说明的示意图。
图6是用于对监视装置的不正当报文检测处理进行说明的示意图。
图7是用于对发送可否判定部的与仲裁处理相关的条件判定进行说明的示意图。
图8是用于对发送可否判定部的与仲裁处理相关的条件判定进行说明的示意图。
图9是用于对发送可否判定部的与仲裁处理相关的条件判定进行说明的示意图。
图10是用于对发送可否判定部的与无报文发送期间相关的条件判定进行说明的示意图。
图11是表示监视装置进行的报文发送的可否判定处理的顺序的流程图。
图12是表示监视装置进行的报文发送的可否判定处理的顺序的流程图。
图13是用于对在ECU及监视装置之间进行的基准时刻决定处理进行说明的示意图。
图14是用于对监视装置与多个ECU之间的基准时刻决定处理进行说明的示意图。
图15是表示监视装置的基准时刻决定处理的顺序的流程图。
图16是表示ECU根据来自监视装置的哈希值算出要求而进行的处理的顺序的流程图。
图17是表示ECU根据来自监视装置的哈希值确认要求而进行的处理的顺序的流程图。
具体实施方式
<系统结构>
图1是表示本实施方式的通信系统的结构的示意图。本实施方式的通信系统构成为具备搭载于车辆1的多个ECU3及一个监视装置5。ECU3及监视装置5经由敷设于车辆1的共用的通信线而连接,能够相互发送接收报文。在本实施方式中,将该通信线设为CAN总线,ECU3及监视装置5进行符合CAN协议的通信。ECU3也可以是例如对车辆1的发动机进行控制的发动机ECU、对车体的电子组件进行控制的车身ECU、进行与ABS(Antilock BrakeSystem:制动防抱死系统)相关的控制的ABS-ECU或对车辆1的安全气囊进行控制的安全气囊ECU等那样的各种电子控制装置。监视装置5是对针对车内网络的不正当的报文发送进行监视的装置。监视装置5可以设为监视专用的装置,也可以是在例如网关等装置中附加了监视的功能的结构,另外也可以是在例如任一个ECU3中附加了监视的功能的结构。
图2是表示ECU3的结构的框图。此外,在图2中,关于设于车辆1的多个ECU3,提取出关于通信及不正当检测等的块而进行图示。上述块对于各ECU3是共用的。本实施方式的ECU3构成为具备处理部31、ROM(Read Only Memory:只读存储器)32、RAM(Random AccessMemory:随机存取存储器)33及CAN通信部34等。处理部31使用CPU(Central ProcessingUnit:中央处理单元)或MPU(Micro-Processing Unit:微处理单元)等运算处理装置而构成。处理部31通过执行存储于ROM32的程序32a,而进行车辆1的各种信息处理或控制处理等。
ROM32使用闪存或EEPROM(Electrically Erasable Programmable ROM:电可擦可编程只读存储器)等非易失性存储器元件而构成。ROM32存储有处理部31执行的程序32a和由此进行的处理所需要的各种数据32b。此外,存储于ROM32的程序32a及数据32b按照各ECU3而不同。RAM33使用SRAM(Static Random Access Memory:静态随机存取存储器)或DRAM(Dynamic Random Access Memory:动态随机存取存储器)等能够改写数据的存储器元件而构成。RAM33存储通过处理部31的处理而生成的各种数据。
CAN通信部34按照CAN的通信协议,经由CAN总线而与其他ECU3或监视装置5进行通信。CAN通信部34将从处理部31发送的发送用的信息转换为符合CAN的通信协议的信号,并将转换后的信号向CAN总线输出,由此进行向其他ECU3或监视装置5的信息发送。CAN通信部34通过对CAN总线的电位进行采样而取得其他ECU3或监视装置5输出的信号,将该信号按照CAN的通信协议转换为二进制信息而接收信息,并将接收到的信息向处理部31发送。
另外,在自身的报文发送与其他ECU3或监视装置5的报文发送产生了冲突的情况下,CAN通信部34进行调节先发送哪一个报文的处理、即所谓的仲裁处理。各ECU3发送的报文根据报文的类别而预先确定了ID。该ID是被作为数值对待的信息,其值越小则报文发送的优先级越高。因此在通信系统中,当在CAN总线上多个报文发送产生了冲突的情况下,发送优先级最高的报文,在该报文的发送完成后发送其他报文。此外,CAN通信部34进行的仲裁处理是现有技术,省略详细的处理顺序的说明。
在本实施方式中,在ECU3的处理部31中执行程序32a,由此报文处理部41及哈希值算出部42等作为软件方式的功能块而实现。此外,报文处理部41及哈希值算出部42等的一部分或全部也可以作为基于硬件的功能块而实现。报文处理部41周期性地进行如下的处理:取得传感器等检测出的信息或来自控制对象的设备的反馈信息等信息,生成包含所取得的信息的CAN协议的报文,并将生成的报文向CAN总线发送。此外,报文的发送周期能够按照各报文的类别(即ID)而确定,报文处理部41能够按照各报文的类别而以不同的周期进行发送。
哈希值算出部42根据来自监视装置5的算出要求而进行算出哈希值的处理。哈希值算出部42基于存储于ROM32的数据(可以包含程序32a及数据32b这两方)的一部分或全部、来自监视装置5的算出要求所附的随机种子,而通过使用预定的哈希函数来算出哈希值。通过哈希值算出部42进行的哈希值算出的详细顺序后述。哈希值算出部42将算出的哈希值作为对于算出要求的响应而向监视装置5发送。
图3是表示监视装置5的结构的框图。监视装置5构成为具备处理部51、存储部52及CAN通信部53等。处理部51使用CPU或MPU等运算处理装置而构成,通过读出并执行存储于存储部52的程序而进行监视车辆1的ECU3的举动及通信等的处理。存储部52使用闪存或EEPROM等能够改写数据的非易失性存储器元件而构成。在本实施方式中存储部52存储有复制了搭载于车辆1的ECU3的ROM32的存储内容的复制数据52a和与各ECU3发送的报文的发送周期相关的周期信息52b。
CAN通信部53按照CAN的通信协议,经由CAN总线而与ECU3进行通信。CAN通信部53将从处理部51发送的发送用的信息转换为符合CAN的通信协议的信号,并将转换后的信号向CAN总线输出,由此向ECU3发送信息。CAN通信部53通过对CAN总线的电位进行采样而取得ECU3输出的信号,并将该信号按照CAN的通信协议转换为二进制信息,由此接收信息,并将接收到的信息向处理部51发送。
在本实施方式中,在监视装置5的处理部51中设有基准时刻决定部61、允许期间决定部62、发送可否判定部63及废弃处理部64等。基准时刻决定部61~废弃处理部64可以构成为硬件的功能块,也可以构成为软件的功能块。基准时刻决定部61及允许期间决定部62进行决定用于监视装置5检测不正当的报文发送的条件等的处理。发送可否判定部63基于基准时刻决定部61及允许期间决定部62决定的条件,进行判定是否能够发送输出到CAN总线上的报文的处理。废弃处理部64进行如下的处理:关于未由发送可否判定部63允许发送的报文,为了阻止ECU3接收该报文,而使ECU3废弃报文。
图4是对存储于监视装置5的存储部52的复制数据52a的结构进行说明的示意图。监视装置5对于搭载于车辆1的监视对象的全部ECU3,存储有与ROM32的存储内容相同的内容作为复制数据52a。复制数据52a将对各ECU3唯一附设的识别信息(在图4中为ECUa、ECUb…)与各ECU3的ROM32的存储内容建立对应地进行存储。
图5是对存储于监视装置5的存储部52的周期信息52b的结构进行说明的示意图。监视装置5将对在车辆1内的网络上发送接收的报文附设的识别信息(CAN-ID)与对具有该CAN-ID的报文进行发送的周期建立对应地存储为周期信息52b。在图示的例子中,周期信息52b中存储有:CAN-ID为1的报文的发送周期是10ms,CAN-ID为2的报文的发送周期是50ms,CAN-ID为3的报文的发送周期是32ms。此外,上述数值是一例。
<不正当报文检测处理>
在本实施方式的通信系统中,检测对多个ECU3进行报文的发送接收的CAN总线上发送了不正当的报文的处理由监视装置5进行。例如能够想到不正当的通信装置不正当地连接于CAN总线,该通信装置将不正当的报文向CAN总线上发送。另外能够想到例如对搭载于车辆1的任一个ECU3进行不正当的改造或改变等,该ECU3发送不正当的报文。上述是不正当的报文的一例,监视装置5检测的不正当的报文也可以是由于上述以外的原因引起的。
不正当的通信装置能够按照CAN协议发送附设有特定的CAN-ID的不正当报文。附设于这种不正当报文的CAN-ID使用在车辆1的通信系统中利用的正当的CAN-ID,但不正当报文所包含的其他数据是不正当的数据。在ECU3基于CAN-ID而接收到不正当报文的情况下,ECU3进行基于不正当的数据的处理。在本实施方式的通信系统中,对附设有正规的CAN-ID的不正当报文、即所谓的伪装报文进行检测。
本实施方式的监视装置5对于应周期性地发送的报文,判断该报文是否以正确的周期被发送,由此对不正当的报文进行检测。图6是用于对监视装置5的不正当报文检测处理进行说明的示意图。监视装置5按照附设于在通信系统内发送接收的报文的各CAN-ID,来决定允许具有该CAN-ID的报文的发送的允许期间。图6图示有监视装置5对于附设某一个CAN-ID的报文决定的允许期间等。此外,在本实施方式中,不可以多个ECU3利用一个CAN-ID,即不可以多个ECU3发送附设有同一CAN-ID的报文。
在本例中,监视装置5设为监视对象的报文的发送周期是T。监视装置5的基准时刻决定部61通过与发送该报文的ECU3之间进行预定手续,而决定报文发送的基准时刻t0(此外基准时刻的决定处理的详细情况后述)。监视装置5的允许期间决定部62通过参照存储于存储部52的周期信息52b而取得监视对象的报文的发送周期T。允许期间决定部62将对基准时刻t0加上发送周期T而得到的时刻t1作为报文的发送预定时刻t1。相同地,允许期间决定部62能够将对基准时刻t0加上发送周期T的2倍而得到的时刻t2设为发送预定时刻t2,将对基准时刻t0加上发送周期T的3倍而得到的时刻t3作为发送预定时刻t3,…,将对基准时刻t0加上发送周期T的n倍而得到的时刻tn作为发送预定时刻tn(n=1,2,3…)。
监视装置5的允许期间决定部62将对发送预定时刻t1设置预定期间A及期间B的缓期而得到的期间决定为允许期间。允许期间决定部62将t1-A≤t≤t1+B的期间决定为允许期间。关于发送预定时刻t2、t3…也相同。即允许期间决定部62将t0+nT-A≤t≤t0+nT+B(n=1,2,3…)决定为允许期间。
此外,用于决定允许期间的期间A及期间B基于例如通信系统的模拟或实机上的测定结果等而预先决定。期间A及期间B可以关于全部报文使用相同的值,也可以例如按照各CAN-ID使用不同的值。在按照各CAN-ID使用不同的值的情况下,能够在周期信息52b中与CAN-ID建立对应地存储期间A及期间B。期间A能够基于监视装置5与发送该报文的ECU3之间的时钟误差等来决定。期间B考虑该报文由于仲裁处理而延迟的时间来决定。
监视装置5的CAN通信部53监视报文对CAN总线的发送,在检测出报文发送的情况下向处理部51进行通知。处理部51的发送可否判定部63基于来自CAN通信部53的通知,取得所发送的报文的CAN-ID及与报文发送的开始时刻或终止时刻相关的信息。另外,发送可否判定部63取得允许期间决定部62对所取得的CAN-ID决定的允许期间。发送可否判定部63判定检测出发送的报文是否在允许期间内被发送。
此外,判断报文是否在允许期间内被发送的条件能够想到以报文的发送在允许期间内开始为条件或以报文的发送在允许期间内完成为条件这两种。能够采用任一条件,只要根据采用哪一个条件来适当地设定期间B的值即可。此外在本实施方式中,设为以在允许期间内报文发送完成为条件,发送可否判定部63判定报文是否在允许期间内被发送。
在报文不是在允许期间内被发送的情况下,发送可否判定部63判断为该报文是不正当报文,并判定为不允许该报文的发送。在发送可否判定部63判定为不允许报文发送的情况下,监视装置5的废弃处理部64对连接于CAN总线的ECU3进行废弃该报文的处理。此外,报文废弃处理的详细情况后述。
当报文在允许期间内被发送的情况下,发送可否判定部63还进行其他条件判定。发送可否判定部63进行与仲裁处理相关的条件判定及与无报文发送期间相关的条件判定。
图7至图9是用于对发送可否判定部63的与仲裁处理相关的条件判定进行说明的示意图。如上所述,在CAN的通信系统中,在多个报文发送产生了冲突的情况下进行仲裁处理,优先级较低的报文的发送有可能产生延迟。在图7中,图示了判定对象的报文的CAN-ID是7、优先级比该报文高的三个报文(CAN-ID分别是3、5、2的报文)通过仲裁处理而先被发送的状态。
发送可否判定部63判定在判定对象的报文的允许期间内,在判定对象的报文的发送之前是否进行了其他报文发送。当进行了其他报文发送的情况下,发送可否判定部63调查所发送的一个或多个其他报文的CAN-ID,并与判定对象的报文的CAN-ID进行比较。在CAN协议中附设于报文的CAN-ID表示优先级,其数值越小则优先级越高。只在关于之前发送的其他全部报文而以下的条件1或条件2中的任一个成立的情况下,发送可否判定部63判断为判定对象的报文是正规的报文。
条件1:其他报文的CAN-ID小于判定对象的报文的CAN-ID的情况、即之前的报文全部是优先级较高的报文的情况
条件2:其他报文的优先级比判定对象的报文低、但在判定对象报文的允许期间开始之前开始进行发送而发送低优先级的报文的情况
关于条件1,在发送允许后连续地发送的报文中的、之前发送的报文的至少一个报文的CAN-ID大于判定对象的报文的CAN-ID的情况下,即之前发送了优先级较低的报文的情况下,发送可否判定部63将判定对象的报文判断为不正当的报文。在图8中,图示了判定对象的报文的CAN-ID为7、且在该报文的发送之前发送了CAN-ID为3、5、9的报文的状态。CAN-ID为9的报文的优先级低于CAN-ID为7的判定对象的报文。因此判定对象的报文有可能不是由于仲裁处理而延迟至图示的时刻,而是通过不正当的通信装置在图示的时刻发送。在发送可否判定部63判定为判定对象的报文为不正当的报文而不允许发送的情况下,进行废弃处理部64的报文废弃处理。
条件2规定了条件1的例外。即根据条件1,判定对象的报文之前的其他报文的优先级必须比判定对象的报文高。但是,条件2设为,在报文的允许期间内发送的一个或多个其他报文中的最初发送的报文是在允许期间的开始时刻已经发送的报文的情况下,其优先级也可以低于判定对象的报文。在图9中,除了图7所示的报文以外,还图示了在允许期间开始之前发送了CAN-ID为10的报文的状态。CAN-ID为10的报文的优先级低于CAN-ID为7的判定对象的报文。但是,由于该低优先级的报文是在判定对象的报文的允许期间开始之前开始发送的报文,因此发送可否判定部63允许判定对象的报文的发送。
图10是用于对发送可否判定部63的与无报文发送期间相关的条件判定进行说明的示意图。发送可否判定部63调查在判定对象的报文的允许期间内,在从发送预定时刻t1到判定对象报文的发送为止的期间内是否存在在CAN总线上不发送报文的无报文发送期间。在存在无报文发送期间的情况下,发送可否判定部63判定该无报文发送期间是否超过预定长度。此外,在存在多个无报文发送期间的情况下,发送可否判定部63对各无报文发送期间与预定长度分别进行比较。
作为预定长度,例如能够设定为用于发送3比特~10比特左右的报文所需要的期间。其基于CAN协议的报文发送的IFS(Inter Frame Space:帧间空间)的3比特或对IFS加上EOF(End Of Frame:帧结束)的7比特而得到的10比特等的期间。但是上述数值是一例,预定长度也可以是上述以外的期间。
当在从发送预定时刻到报文发送为止的期间内存在的无报文发送期间超过预定长度的情况下,能够判断为判定对象的报文的延迟不是正当的延迟。因此在这样的情况下,发送可否判定部63判定为判定对象的报文是不正当的报文而不允许发送。在发送可否判定部63判定为判定对象的报文是不正当的报文而不允许发送的情况下,进行废弃处理部64的报文废弃处理。
另外,当在从发送预定时刻到报文发送为止的期间内不存在无报文发送期间的情况下、或虽然存在无报文发送期间但短于预定长度的情况下,发送可否判定部63判定为判定对象的报文是正当的报文,而允许发送。
这样,在发送可否判定部63在允许期间内检测出具有判定对象的CAN-ID的报文的发送的情况下,判定该报文的发送是否产生了由正当的仲裁处理引起的延迟以外的延迟。即发送可否判定部63将在允许期间内比判定对象的报文先发送的报文的优先级较高(但是除了在允许期间之前开始发送的报文)及从发送预定时刻到判定对象的报文发送为止不存在超过预定长度的无报文发送期间设为允许判定对象的报文的发送的条件。发送可否判定部63在满足两个条件的情况下允许判定对象的报文发送,在至少一个条件不满足的情况下不允许判定对象的报文发送。
此外,监视装置5为了进行发送可否判定部63的上述条件判定,而将发送到CAN总线上的报文的履历存储于存储部52。存储的履历中包含所发送的报文的CAN-ID及与发送开始时刻或发送终止时刻相关的信息等。另外,基于监视装置5的报文发送的监视按照每个CAN-ID而进行。即,监视装置5按照每个CAN-ID决定允许期间,按照每个CAN-ID判定是否能够发送报文。例如在图7中,对监视装置5将CAN-ID为7的报文作为对象而进行判定的例子进行了说明,但此时监视装置5对CAN-ID为3、5、2的报文也分别单独地进行发送可否的判定。
图11及图12是表示监视装置5进行的报文发送的可否判定处理的顺序的流程图。此外在本流程图中使用的变量n例如可利用具有监视装置5的处理部51的寄存器或存储器等的存储区域而实现。首先,监视装置5的处理部51进行通过基准时刻决定部61决定基准时刻t0的处理(步骤S1)。处理部51读出存储于存储部52的周期信息52b(步骤S2)而取得判定对象的报文的发送周期T。接下来,处理部51将变量n的值初始化成1(步骤S3)。处理部51的允许期间决定部62基于在步骤S1中决定的基准时刻t0、在步骤S2中取得的周期T、预先确定的定量A及B和变量n来决定允许期间(步骤S4)。此外,允许期间能够决定为从(t0+nT-A)到(t0+nT+B)的期间。
处理部51的发送可否判定部63判定在步骤S4中决定的允许期间是否终止(步骤S5)。在允许期间未终止的情况下(S5:否),发送可否判定部63调查是否通过CAN通信部53检测出CAN总线上的报文接收(步骤S7)。在未检测出报文接收的情况下(S7:否),发送可否判定部63使处理返回到步骤S5。在检测出报文接收的情况下(S7:是),发送可否判定部63通过调查检测出的报文的CAN-ID,来判定该报文是否是判定对象的报文(步骤S8)。在不是判定对象的报文的情况下(S8:否),发送可否判定部63记录与该报文相关的信息(CAN-ID、发送开始时刻及终止时刻等信息)作为履历(步骤S9),并使处理返回到步骤S5。在是判定对象的报文的情况下(S8:是),发送可否判定部63判定该报文是否在允许期间内被发送(步骤S10)。在未在允许期间内被发送的情况下(S10:否),处理部10进行废弃处理部64的报文废弃处理(步骤S11),并使处理返回到步骤S5。
在判定对象的报文在允许期间内被发送的情况下(S10:是),发送可否判定部63判定该报文相对于发送预定时刻tn有无延迟(步骤S12)。在没有延迟的情况下(S12:否),发送可否判定部63判定为该报文是正当的报文,因此允许发送,不进行报文废弃处理而使处理返回到步骤S5。在报文相对于发送预定时刻tn存在延迟的情况下(S12:是),发送可否判定部63取得在步骤S9中记录的与报文发送相关的履历(步骤13)。
发送可否判定部63基于取得的履历,判定在从发送预定时刻tn到判定对象的报文发送为止的期间内是否发送了优先级比判定对象的报文低的报文(步骤S14)。在发送了低优先级的报文的情况下(S14:是),发送可否判定部63进一步判定该低优先级的报文是否在判定对象的报文的允许期间之前开始发送(步骤S15)。
在未发送低优先级的报文的情况下(S14:否)、或低优先级的报文在允许期间之前开始发送的情况下(S15:是),发送可否判定部63判定在从发送预定时刻tn到发送判定对象的报文为止的期间内是否存在超过预定长度的无报文发送的期间(步骤S16)。在没有无报文发送期间的情况下(S16:否),发送可否判定部63判定为该报文是正当的报文,因此允许发送,不进行报文废弃处理而使处理返回到步骤S5。
在低优先级的报文不是在允许期间之前开始发送的报文的情况下(S15:否)、或存在超过预定长度的无报文发送期间的情况下(S16:是),发送可否判定部63判定为该报文不是正当的报文,因此不允许发送,进行废弃处理部64的报文废弃处理(步骤S17),并使处理返回到步骤S5。
当在步骤S5中判定为允许期间已终止的情况下(S5:是),处理部51对变量n加上1(步骤S6),并使处理返回到步骤S4,而进行关于下一个允许期间的监视。
<报文废弃处理>
在本实施方式的通信系统中,在判定为输出到CAN总线上的报文不是正当的报文而不允许发送的情况下,监视装置5进行用于使与CAN总线连接的ECU3废弃该报文的处理。在本实施方式的通信系统中发送接收的报文符合CAN协议,构成为包含CAN标记、数据字段、CRC(Cyclic Redundancy Check:循环冗余检查)字段、ACK字段及EOF(End Of Frame:帧结束)等。CAN标记包含以往的CAN协议中的SOF(Start Of Frame:帧起始)、仲裁字段及控制字段等,在仲裁字段设定上述CAN-ID。数据字段存储例如对于ECU3的控制指示或传感器检测结果等那样应在ECU3之间供给和接收的信息的主体。CRC字段、ACK字段及EOF与在以往的CAN协议中使用的结构相同,因此省略详细的说明。CRC字段存储用于进行错误检测的信息。ACK字段是用于基于接收该帧的ECU3的接收响应的字段。EOF是表示字段的终止的特定的比特列。
监视装置5的废弃处理部64对于发送可否判定部63判定为不允许发送的报文,在该报文的EOF的输出期间内对CAN总线发送错误帧。通过该错误帧,与CAN总线连接的全部ECU3能够废弃接收中的不正当的报文。
为了通过该方法废弃报文,需要监视装置5的发送可否判定部63在报文的EOF输出到CAN总线之前结束判定。发送可否判定部63在例如向CAN总线上输出的报文的CAN标记输出终止的时刻开始上述判定处理,而在EOF的输出前结束判定。此外,CAN协议的报文的报文长度被规定,因此发送可否判定部63在报文的发送终止前也能够算出发送终止时刻。
此外,也可以构成为监视装置5预先存储发送可否判定部63判定为不正当的报文的CAN-ID,在以后对CAN总线输出相同的CAN-ID的报文的情况下,不进行发送可否判定部63的判定地通过废弃处理部64废弃该报文。另外,监视装置5的报文废弃的处理不限于上述方法的处理,也可以以其他各种方法进行。另外,也可以构成为,在发送可否判定部63判定为是不正当的报文的情况下,监视装置5进行对于ECU3的警告报文发送、对于车辆1的使用者的报知、对外部的服务器装置的信息发送或通信系统或对应的通信网络的关断等废弃以外的处理。
<基准时刻决定处理>
在本实施方式的通信系统中,在开始ECU3的报文发送及监视装置5的报文发送监视之前,需要进行决定基准时刻t0的处理。图13是用于说明在ECU3及监视装置5之间进行的基准时刻决定处理的示意图。本实施方式的通信系统的监视装置5在由于电源接通等而启动之后,开始进行处理部51的基准时刻决定部61的基准时刻决定处理。
在基准时刻决定处理中,监视装置5的基准时刻决定部61首先生成用于哈希值算出的信息。在本实施方式中,基准时刻决定部61生成随机种子及区域指定信息。基准时刻决定部61将通过预定的算法产生随机数而得到的预定比特长度的数据作为随机种子。区域指定信息是指定设为哈希值算出的对象的ROM32的区域的信息,例如开始地址及终止地址或开始地址及数据尺寸等信息。基准时刻决定部61能够例如基于随机数而决定开始地址,并将对该开始地址加上预定量而得到的地址设为终止地址。
监视装置5的基准时刻决定部61将生成的随机种子及区域指定信息与哈希值的算出要求一起向ECU3发送。另外,基准时刻决定部61从存储部52的复制数据52a读出处理对象的ECU3的存储内容,并使用读出的存储内容与生成的随机种子及区域指定信息来算出哈希值。基准时刻决定部61从复制的存储内容中提取出由区域指定信息指定的部位,并将提取出的存储内容与随机种子向预先确定的哈希函数输入,由此算出哈希值。在本实施方式中,基准时刻决定部61使用SHA-1的哈希函数而算出160比特的哈希值。
接收到来自监视装置5的随机种子及区域指定信息的ECU3使用自身的ROM32的存储内容与接收到的随机种子及区域指定信息,通过处理部31的哈希值算出部42算出哈希值。哈希值算出部42从ROM32中提取出由区域指定信息指定的部位,并将提取出的存储内容与随机种子向预先确定的哈希函数输入,由此算出哈希值。此外,监视装置5使用的哈希函数与ECU3使用的哈希函数相同,监视装置5存储于复制数据52a的内容与ECU3存储于ROM32的内容相同,因此监视装置5及ECU3应算出相同的哈希值。此外,在两个哈希值为不同的值的情况下,ECU3的ROM32的存储内容有可能被篡改。
在此,简单地说明监视装置5及ECU3的哈希值算出的方法。监视装置5及ECU3能够构成为利用例如MD(Message Digest:报文摘要)4、MD5、SHA-1、SHA-256、SHA-384、SHA-512、EIPEMD-160或SHA-3等现有的哈希函数来算出哈希值。上述是所谓的单方向的哈希函数,是对于输入的信息输出一个哈希值的函数。输入到哈希函数的信息是在本实施方式中存储于ECU3的ROM32的程序32a或数据32b的一部分或全部。输入到哈希函数的信息无论是程序32a或数据32b中的任一个还是程序32a及数据32b这两方,哈希函数都能够将输入的信息仅作为二进制信息对待而算出哈希值。监视装置5及ECU3存储有预先确定的哈希函数,使用该哈希函数来算出哈希值。
以下,关于监视装置5及ECU3使用SHA-1的哈希函数而算出哈希值的情况,对算出方法进行说明。此外,关于SHA-1的哈希函数的详细的处理和监视装置5及ECU3使用其他哈希函数的情况,上述哈希函数是现有技术,因此省略说明。
在利用SHA-1的哈希函数的情况下,监视装置5及ECU3首先进行填充处理。在填充处理中,监视装置5及ECU3在输入信息之后对多余的数据进行补充,由此将处理对象的信息的尺寸调整为预定值(512比特)的整数倍。接下来,监视装置5及ECU3进行将填充处理后的信息按照每512比特分割成块并对各块算出80个值的第一处理。
接下来,监视装置5及ECU3进行使用在第一处理中算出的值算出预定尺寸(160比特)的初始值并且将算出的160比特的值作为哈希值的第二处理。在第二处理中,首先,监视装置5及ECU3对于160比特的初始值,使用关于一个块算出的80个值而进行80步的运算。通过该80步的运算,能够对160比特的初始值混入块的信息,作为输出而得到160比特的值。监视装置5及ECU3将得到的160比特的值作为初始值,使用关于下一个块而算出的80个值来相同地进行80步的运算。监视装置5及ECU3对全部块进行相同的80步的处理,将最终得到的160比特的值设为哈希值。
另外,在本实施方式中,监视装置5及ECU3需要利用监视装置5生成的随机种子来算出哈希值。例如监视装置5及ECU3在上述填充处理中,能够对附加于输入信息的数据使用随机种子。另外,例如监视装置5及ECU3在上述第二处理中,能够对160比特初始值使用随机种子。在本实施方式中,对第二处理的初始值使用随机种子。
此外,监视装置5及ECU3的随机种子的利用方法不限于上述内容。例如监视装置5及ECU3将设为哈希值算出的对象的ROM32的存储内容与随机种子的逻辑运算值(“异”门等)设为向哈希函数输入的输入信息。另外,例如监视装置5及ECU3能够将对设为哈希值算出的对象的ROM32的存储内容的先头部分或末尾部分等的预定位置附加随机种子而得到的信息设为向哈希函数输入的输入信息。
监视装置5的基准时刻决定部61在结束了随机种子及区域指定信息向ECU3的发送和哈希值的算出之后,进行提取出所算出的哈希值的一部分的处理。在本实施方式中,基准时刻决定部61从算出的160比特的哈希值中提取出64比特的值并设为确认用信息。基准时刻决定部61将包含提取出的确认用信息的哈希确认要求向处理对象的ECU3发送。
从监视装置5接收到哈希确认要求的ECU3取得接收到的哈希确认要求所包含的确认用信息。ECU3的处理部31对从监视装置5取得的确认用信息与自身通过哈希值算出部42算出的哈希值进行比较。处理部31判定哈希值算出部42算出的哈希值中是否包含从监视装置5作为确认用信息而取得的哈希值的一部分。在判定为自身的哈希值中不包含确认用信息的哈希值的情况下,认为ECU3算出的哈希值与监视装置5算出的哈希值不一致,因此处理部31中断处理,对监视装置5进行错误通知等。
在判定为自身的哈希值中包含确认用信息的哈希值的情况下,认为ECU3算出的哈希值与监视装置5算出的哈希值是相同的值,处理部31进行向监视装置5发送对哈希确认要求的响应(哈希确认响应)的处理。此时,处理部31在哈希值算出部42算出的160比特的哈希值中提取出与来自监视装置5的确认用信息连续的64比特的信息作为响应信息。处理部31将提取出的64比特的响应信息包含于哈希确认响应并向监视装置5发送。此外,从哈希值提取出确认用信息及响应信息的方法不限于此。例如确认用信息及响应信息的一部分也可以重复。
从ECU3接收到哈希确认响应的监视装置5的基准时刻决定部61取得接收到的哈希确认响应所包含的响应信息。基准时刻决定部61对从ECU3取得的响应信息与自身算出的哈希值进行比较。基准时刻决定部61判定从自身算出的哈希值去除了确认用信息后的部分中是否包含作为来自ECU3的响应信息而取得的哈希值的一部分。在判定为自身的哈希值中不包含响应信息的哈希值的情况下,认为监视装置5算出的哈希值与ECU3算出的哈希值不一致,因此基准时刻决定部61中断处理,对ECU3进行错误通知等。
在判定为自身的哈希值中包含响应信息的哈希值的情况下,基准时刻决定部61认为监视装置5算出的哈希值与ECU3算出的哈希值是相同的值。此时,基准时刻决定部61可以向ECU3通知哈希值的判定成功这一内容。基准时刻决定部61将从ECU3完成了正当的哈希确认响应的接收的时刻决定为基准时刻t0。在决定了基准时刻t0后,监视装置5如上所述地决定发送预定时刻及允许期间并开始进行报文发送的监视。
相同地,ECU3的处理部31将完成了哈希确认响应向监视装置5的发送的时刻设为基准时刻t0。ECU3的报文处理部41相对于该基准时刻t0以周期T发送报文。
此外,在本实施方式的通信系统中,在CAN总线上连接有多个ECU3,监视装置5需要在与多个ECU3之间分别进行基准时刻决定处理。图14是用于说明监视装置5与多个ECU3之间的基准时刻决定处理的示意图。在本例中,设为监视装置5在与三个ECU3之间进行基准时刻决定处理,但监视装置5与两个以下的ECU3或四个以上的ECU3进行基准时刻决定处理的情况也相同。
监视装置5将包含随机种子及区域指定信息的哈希值算出要求向各ECU3依次发送。此时,包含于各哈希值算出要求的随机种子及区域指定信息可以使用共用的值,也可以设定成按照各ECU3而不同的值。从监视装置5接收到哈希值算出要求的各ECU3基于自身的ROM32的存储内容而分别算出哈希值。另外,监视装置5从存储部52的复制数据52a读出各ECU3的存储内容,并关于各ECU3算出哈希值。
结束了各ECU3的哈希值的算出的监视装置5对任一个ECU3发送哈希值确认要求,并从该ECU3接收哈希值确认响应。监视装置5判定接收到的哈希值确认响应所包含的哈希值是否正确,若哈希值正确,则将完成哈希值确认响应的接收的时刻决定为与该ECU3的基准时刻t0。
接下来,监视装置5对另一个ECU3进行哈希值确认要求的发送、哈希值确认响应的接收及基准时刻的决定。这样,监视装置5对通信系统所包含的各ECU3依次反复进行哈希值确认要求的发送、哈希值确认响应的接收及基准时刻的决定。在关于全部ECU3决定了基准时刻后,监视装置5开始进行报文发送的监视,各ECU3开始进行报文的发送接收。此外,监视装置5的监视及ECU3的报文发送也可以从决定为基准时刻的时刻依次开始。
图15是表示监视装置5的基准时刻决定处理的顺序的流程图。监视装置5的基准时刻决定部61生成用于哈希值算出的随机种子和指定设为哈希值算出的对象的ECU3的ROM32的存储区域的区域指定信息(步骤S21)。基准时刻决定部61将包含生成的随机种子及区域指定信息的哈希值算出要求通过CAN通信部53向处理对象的ECU3发送(步骤S22)。
基准时刻决定部61从存储部52取得处理对象的ECU3的存储内容的复制数据52a,基于所取得的复制数据52a和在步骤S21中生成的随机种子及区域指定信息,使用预定的哈希函数来算出哈希值(步骤S23)。基准时刻决定部61从在步骤S23中算出的哈希值中提取出一部分作为确认用信息(步骤S24)。基准时刻决定部61将包含提取出的确认用信息的哈希值确认要求通过CAN通信部53向处理对象的ECU3发送(步骤S25)。
接下来,基准时刻决定部61判定是否由CAN通信部53接收到ECU3与哈希值确认要求对应地发送的哈希值确认响应(步骤S26)。在未接收到哈希值确认响应的情况下(S26:否),基准时刻决定部61判定是否从处理对象的ECU3接收到错误通知(步骤S27)。在未接收到错误通知的情况下(S27:否),基准时刻决定部61使处理返回到步骤S26,待机直至从ECU3接收到哈希值确认响应或错误通知。
在从处理对象的ECU3接收到哈希值确认响应的情况下(S26:是),基准时刻决定部61根据接收到的哈希值确认响应所包含的响应信息是否包含在步骤S23中算出的哈希值,而判定响应信息是否成功(步骤S28)。在从ECU3接收到错误通知的情况下(S27:是)、或从ECU3接收到的响应信息不是正确的信息的情况下(S28:否),基准时刻决定部61判断为对象的ECU3的ROM32的存储内容可能被改变,进行例如使该ECU3的动作停止等适当的错误处理(步骤S29),并终止处理。
在从ECU3接收到的响应信息正确的情况下(S28:是),基准时刻决定部61将从ECU3完成了哈希值确认响应的接收的时刻决定为基准时刻(步骤S30),并终止处理。
图16是表示ECU3根据来自监视装置5的哈希值算出要求而进行的处理的顺序的流程图。ECU3的处理部31判定是否由CAN通信部34从监视装置5接收到哈希值算出要求(步骤S31)。在未接收到哈希值算出要求的情况下(S31:否),处理部31待机直至接收到哈希值算出要求。在接收到哈希值算出要求的情况下(S31:是),处理部31取得接收到的哈希值算出要求所包含的随机种子及区域指定信息(步骤S32)。处理部31的哈希值算出部42基于ROM32的存储内容、在步骤S32中取得的随机种子及区域指定信息,使用预定的哈希函数来算出哈希值(步骤S33)。处理部31将算出的哈希值存储于存储部33(步骤S34),并终止处理。
图17是表示ECU3根据来自监视装置5的哈希值确认要求而进行的处理的顺序的流程图。ECU3的处理部31判定是否由CAN通信部34从监视装置5接收到哈希值确认要求(步骤S41)。在未接收到哈希值确认要求的情况下(S41:否),处理部31待机直至接收到哈希值确认要求。在接收到哈希值确认要求的情况下(S41:是),处理部31读出存储于存储部33的哈希值(步骤S42)。处理部31根据在步骤S41中接收到的哈希值确认要求所包含的确认用信息是否包含于在步骤S42中读出的哈希值,来判定确认用信息是否成功(步骤S43)。在确认用信息不是正确的信息的情况下(S43:否),处理部31向监视装置5发送错误通知(步骤S44),并终止处理。
在来自监视装置5的确认用信息正确的情况下(S43:是),处理部31从在步骤S42中读出的哈希值提取出与确认用信息连续的预定长度的部分作为响应信息(步骤S45)。处理部31将包含提取出的响应信息的哈希值确认响应通过CAN通信部34向监视装置5发送(步骤S46)。处理部31将完成了哈希值确认响应的发送的时刻决定为基准时刻(步骤S47),并终止处理。
此外,在本实施方式的通信系统中,构成为在监视装置5及ECU3启动时进行基准时刻的决定处理,但进行处理的时机不限于此。另外,在由于某些原因而ECU3发送报文的时机产生了偏差等的情况下或变更了报文发送的周期的情况下等,也可以在监视装置5及ECU3之间进行再次决定基准时刻的处理。
在再次决定基准时刻的情况下,也可以进行与上述那样的最初的基准时刻决定处理相同的处理。即,也可以是监视装置5发送哈希值算出要求及哈希值确认要求,与其对应地,ECU3发送哈希值确认响应而再次决定基准时刻。此外,有时也可以构成为,从ECU3对监视装置5发送进行再次决定基准时刻的处理的要求,与其对应地,监视装置5开始进行基准时刻决定处理。
或者,也可以预先存储进行基准时刻决定处理时的哈希值,ECU3将包含该哈希值的基准时刻的再决定要求向监视装置5发送。接收到该再决定要求的监视装置5在再决定要求所包含的哈希值正确的情况下,将完成了再决定要求的接收的时刻设为新的基准时刻。ECU3将完成了再决定要求的发送的时刻设为新的基准时刻即可。
<总结>
以上的结构的本实施方式的通信系统构成为,对多个ECU3与CAN总线连接且各ECU3周期性地进行报文发送的结构的通信系统设有检测不正当的报文发送的监视装置5。监视装置5决定ECU3的周期性的报文发送的基准时刻t0,决定对基准时刻t0加上报文的发送周期T的整数倍的期间而得到的多个发送预定时刻t1=t0+T、t2=t0+2T、…,对于各发送预定时刻,将包含该时刻的预定期间t1-A~t1+B、t2-A~t2+B、…决定为报文发送的允许期间。
另外,监视装置5通过监视CAN总线来检测ECU3发送的报文。监视装置5能够通过判定检测出的报文是否在允许期间内被发送,来判定该报文是否是不正当的信息,并能够判定是否允许该报文的发送。
这样的本实施方式的监视装置5构成为,基于在最初阶段决定的基准时刻t0来决定以后的报文发送的允许期间,即以绝对的基准决定允许期间。与此相对,可想到采用如下的结构:例如对于每次报文接收,将对该报文的接收时刻加上周期T而得到的时刻作为发送预定时刻来决定允许期间,即以相对的基准决定允许期间。但是,在CAN的通信协议中在报文发送产生了冲突的情况下进行仲裁处理,优先级较低的报文的发送会产生延迟。在进行相对的决定的结构中,在报文发送产生了延迟的情况下,用于判定的允许期间发生变动,因此需要一定程度地扩大设定允许期间,而不容易缩小允许期间。允许期间越大则将不正当的报文误判定为正当的可能性越高。另外,在相对的决定的结构中,有可能以不正当的报文的接收为基准来决定下一个报文的允许期间。在产生了这样的情况的情况下,有可能将不正当的报文连续地误判定为正当的报文。本实施方式的监视装置5以绝对的基准决定允许期间,由此能够避免产生上述问题。
另外,监视装置5对通信系统所包含的各ECU3分别单独地决定基准时刻t0。监视装置5按照各ECU3与决定的各基准时刻t0对应地决定发送预定时刻tn及允许期间。由此,即使通信系统包含报文的发送周期T及发送时机等不同的ECU3,监视装置5也能够按照各ECU3判定是否能够进行报文发送。
另外,ECU3能够进行发送周期不同的多个类别的报文发送,监视装置5按照各报文的CAN-ID来决定允许期间。由此,即使在一个ECU3发送发送周期不同的报文的情况下,监视装置5也能够按照各报文的类别来判定是否能够进行发送。此外,在本实施方式中,按照各ECU3决定基准时刻t0,但不限于此,也可以按照各CAN-ID决定基准时刻t0。在该情况下,监视装置5对一个ECU3进行多次(即,分配给该ECU3的CAN-ID的个数)基准时刻决定处理即可。
另外,当在CAN的通信协议中报文的发送产生了冲突的情况下,有可能由于仲裁处理而报文发送延迟。因此,监视装置5调查在关于判定对象的报文从发送预定时刻tn到该报文的发送完成为止的期间内是否发送了其他报文。在发送了其他报文的情况下,监视装置5对判定对象的报文的优先级与其他报文的优先级进行比较。在其他报文的优先级高于判定对象的报文的优先级的情况下,认为判定对象的报文由于仲裁处理而发送产生了延迟,因此监视装置5允许判定对象的报文的发送。与此相对,在其他报文的优先级低于判定对象的报文的优先级的情况下(其中,除了在允许期间开始之前已发送的报文),认为判定对象的报文的延迟不是由正当的仲裁处理引起的,因此监视装置5不允许判定对象的报文的发送。由此,即使是由于仲裁处理而报文发送产生延迟的通信系统,监视装置5也能够判定是否能够进行报文发送。
另外,监视装置5判定在从判定对象的报文的发送预定时刻tn到完成该报文的发送为止的期间内是否存在超过预定长度的无报文发送期间。在存在无报文发送期间的情况下,认为判定对象的报文的延迟不是由于正当的仲裁处理而产生的,因此监视装置5不允许判定对象的报文的发送。
另外,在本实施方式的通信系统中,为了决定基准时刻t0而在监视装置5与ECU3之间进行预定手续。监视装置5对ECU3发送哈希值算出要求。此时,监视装置5向ECU3供给哈希值算出所需要的随机种子及区域指定信息。从监视装置5接收到哈希值算出要求的ECU3基于哈希值算出要求所包含的随机种子及区域指定信息、存储于ROM32的数据,使用预定的哈希函数来算出哈希值。ECU3根据来自监视装置5的哈希值确认要求,而将包含所算出的哈希值的哈希值确认响应向监视装置5发送。从ECU3接收到哈希值确认响应的监视装置5判定哈希值确认响应所包含的哈希值是否正确。在哈希值正确的情况下,监视装置5基于完成了哈希值确认响应的接收的时刻来决定基准时刻t0。例如监视装置5将哈希值确认等的接收完成时刻设为基准时刻t0。但是,基准时刻t0不限于此,可以例如将哈希值确认响应的发送开始时刻设为基准时刻t0,另外也可以例如将对哈希值确认响应的接收完成时刻增减了预定期间而得到的时刻设为基准时刻t0。在该情况下,ECU3基于包含正确的哈希值的哈希确认响应的发送完成时刻来决定基准时刻t0,并以决定的时刻为基准以周期T进行报文发送。能够根据基于哈希值的可靠性较高的信息发送接收来决定基准时刻t0,因此监视装置5能够进行可靠性较高的不正当报文检测处理。
另外,在对不正当的报文判定为不允许发送的情况下,监视装置5进行用于使接收该报文的ECU3废弃报文的处理。例如监视装置5能够通过在不正当的报文的EOF的输出期间内对CAN总线发送错误帧,而使ECU3废弃该报文。由此,能够防止ECU3接收不正当的报文并通过ECU3进行与该报文对应的处理。
此外,在本实施方式中,构成为监视装置5的处理部51(所谓的CPU等)进行基准时刻的决定处理、允许期间的决定处理、发送可否的判定处理及不正当报文的废弃处理等,但不限于此,也可以构成为CAN通信部53(所谓的CAN控制器等)进行上述处理。相同地,也可以构成为ECU3的哈希值算出处理等基准时刻的决定处理由CAN通信部34进行,而不是由处理部31进行。
另外,构成为在监视装置5及ECU3之间进行利用了哈希值的信息交换来决定基准时刻t0,但也可以通过不利用哈希值的方法来决定基准时刻t0。也可以例如在监视装置5及ECU3之间发送接收利用公钥或密钥等而加密的信息,并基于该发送接收结果来决定基准时刻t0。监视装置5及ECU3进行可靠性较高的通信,基于该通信结果来决定基准时刻t0即可。另外,在监视装置5及ECU3具有时刻同步功能的情况下,也可以利用通过该功能同步后的时刻来决定基准时刻t0。
另外,监视装置5构成为将复制了ECU3的ROM32的存储内容的复制数据52a存储于存储部52,但不限定于此。例如也可以是复制数据52a存储于其他服务器装置等,监视装置5根据需要而从服务器装置取得复制数据52a,此外也可以构成为对服务器装置设有哈希值算出功能而监视装置5从服务器装置取得需要的哈希值。另外,在本实施方式中,以搭载于车辆1的通信系统为例进行了说明,但通信系统不限于搭载于车辆1,也可以搭载于例如飞机或船舶等移动体,另外也可以不设置于移动体而设置于例如工厂、办公室或学校等。
(变形例)
上述实施方式的监视装置5构成为,当在从发送预定时刻到报文发送为止的期间内不存在无报文发送期间的情况下、或即使存在无报文发送期间也短于预定长度的情况下,发送可否判定部63判定为判定对象的报文是正当的报文,而允许发送。变形例的监视装置5是对上述监视装置5的结构追加了发送可否判定部63的判定条件的结构。
例如,在成为对象的两个以上的报文在发送允许期间内到达的情况下,无法在该时刻判定哪一个报文是正当的报文。然而,在频繁地产生这样的状况的情况下,有可能某一个报文是不正当的报文。
因此,在变形例的监视装置5的发送可否判定部63判定为在发送允许期间内到达了两个以上的对象报文的情况下,关于全部上述多个报文不允许以后的报文发送。由此,变形例的监视装置5能够禁止有可能是不正当的报文的报文的发送。
此外,也可以构成为,变形例的监视装置5对例如在发送允许期间内到达了两个以上的对象报文的次数进行计数,在该次数超过了预定次数的情况下禁止报文的发送。
附图标记说明
1 车辆
3 ECU(通信装置)
5 监视装置(通信控制装置)
31 处理部(哈希值发送部)
32 ROM
32a 程序
32b 数据
33 RAM
34 CAN通信部(仲裁部)
41 报文处理部(报文发送部)
42 哈希值算出部
51 处理部
52 存储部
52a 复制数据
52b 周期信息
53 CAN通信部(报文检测部)
61 基准时刻决定部(哈希值要求部、哈希值接收部、哈希值判定部)
62 允许期间决定部
63 发送可否判定部
64 废弃处理部
Claims (19)
1.一种通信控制装置,对通信装置的通信进行控制,所述通信装置具有周期性地进行报文发送的报文发送部,所述通信控制装置的特征在于,具备:
基准时刻决定部,决定与所述报文发送部的报文发送相关的基准时刻;
允许期间决定部,对于该基准时刻决定部决定的基准时刻加上所述报文发送部的报文发送周期的整数倍的期间而得到的发送预定时刻,将包含该发送预定时刻的预定期间作为报文发送的允许期间;
报文检测部,对所述通信装置发送的报文进行检测;
发送可否判定部,根据该报文检测部检测出的报文是否是在所述允许期间决定部决定的允许期间内发送的,来判定是否能够发送所述报文;
哈希值要求部,对所述通信装置赋予哈希值的算出要求;
哈希值接收部,接收所述通信装置发送的哈希值作为对所述算出要求的响应;及
哈希值判定部,对该哈希值接收部接收到的哈希值的正误进行判定,
所述基准时刻决定部基于从所述通信装置完成了正确的哈希值的接收的时刻来决定所述基准时刻。
2.根据权利要求1所述的通信控制装置,其特征在于,
在控制对象的通信装置存在多个的情况下,
所述基准时刻决定部及所述允许期间决定部对多个通信装置分别决定所述基准时刻及所述允许期间。
3.根据权利要求1所述的通信控制装置,其特征在于,
所述通信装置发送的所述报文中包含表示该报文的优先级的信息,
所述允许期间决定部按照各报文的优先级来决定所述允许期间。
4.根据权利要求2所述的通信控制装置,其特征在于,
所述通信装置发送的所述报文中包含表示该报文的优先级的信息,
所述允许期间决定部按照各报文的优先级来决定所述允许期间。
5.根据权利要求3所述的通信控制装置,其特征在于,
所述通信控制装置具备仲裁部,在多个所述通信装置的报文发送产生了冲突的情况下,所述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,
所述发送可否判定部调查在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比所述判定对象的报文低的其他报文的情况下,判定为不允许所述判定对象的报文的发送。
6.根据权利要求4所述的通信控制装置,其特征在于,
所述通信控制装置具备仲裁部,在多个所述通信装置的报文发送产生了冲突的情况下,所述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,
所述发送可否判定部调查在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比所述判定对象的报文低的其他报文的情况下,判定为不允许所述判定对象的报文的发送。
7.根据权利要求1~6中任一项所述的通信控制装置,其特征在于,
在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内存在超过预定长度的无报文发送期间的情况下,所述发送可否判定部判定为不允许所述判定对象的报文的发送。
8.根据权利要求1~6中任一项所述的通信控制装置,其特征在于,
所述通信控制装置具备废弃处理部,所述废弃处理部进行使接收所述发送可否判定部判定为不允许发送的报文的所述通信装置废弃该报文的处理。
9.根据权利要求7所述的通信控制装置,其特征在于,
所述通信控制装置具备废弃处理部,所述废弃处理部进行使接收所述发送可否判定部判定为不允许发送的报文的所述通信装置废弃该报文的处理。
10.一种通信系统,具备相互进行报文发送接收的多个通信装置及对该通信装置的通信进行控制的通信控制装置,所述通信系统的特征在于,
所述通信装置具有周期性地进行报文发送的报文发送部,
所述通信控制装置具有:
基准时刻决定部,决定与所述报文发送部的报文发送相关的基准时刻;
允许期间决定部,对于该基准时刻决定部决定的基准时刻加上所述报文发送部的报文发送周期的整数倍的期间而得到的发送预定时刻,将包含该发送预定时刻的预定期间作为报文发送的允许期间;
报文检测部,对所述通信装置发送的报文进行检测;
发送可否判定部,根据该报文检测部检测出的报文是否是在所述允许期间决定部决定的允许期间内发送的,来判定是否能够发送所述报文;
哈希值要求部,对所述通信装置赋予哈希值的算出要求;
哈希值接收部,接收所述通信装置发送的哈希值作为对所述算出要求的响应;及
哈希值判定部,对该哈希值接收部接收到的哈希值的正误进行判定,
所述通信装置具有:
哈希值算出部,根据来自所述通信控制装置的算出要求而算出哈希值;及
哈希值发送部,向所述通信控制装置发送该哈希值算出部算出的哈希值,
所述基准时刻决定部基于从所述通信装置完成了正确的哈希值的接收的时刻来决定所述基准时刻。
11.根据权利要求10所述的通信系统,其特征在于,
所述基准时刻决定部及所述允许期间决定部对所述多个通信装置分别决定所述基准时刻及所述允许期间。
12.根据权利要求10所述的通信系统,其特征在于,
所述通信装置发送的所述报文中包含表示该报文的优先级的信息,
所述允许期间决定部按照各报文的优先级来决定所述允许期间。
13.根据权利要求11所述的通信系统,其特征在于,
所述通信装置发送的所述报文中包含表示该报文的优先级的信息,
所述允许期间决定部按照各报文的优先级来决定所述允许期间。
14.根据权利要求12所述的通信系统,其特征在于,
所述通信系统具备仲裁部,在多个所述通信装置的报文发送产生了冲突的情况下,所述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,
所述发送可否判定部调查在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比所述判定对象的报文低的其他报文的情况下,判定为不允许所述判定对象的报文的发送。
15.根据权利要求13所述的通信系统,其特征在于,
所述通信系统具备仲裁部,在多个所述通信装置的报文发送产生了冲突的情况下,所述仲裁部根据对报文设定的优先级来对发送顺序进行仲裁,
所述发送可否判定部调查在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内完成了发送的其他报文的优先级,并在存在优先级比所述判定对象的报文低的其他报文的情况下,判定为不允许所述判定对象的报文的发送。
16.根据权利要求10~15中任一项所述的通信系统,其特征在于,
在从与判定对象的报文相关的所述发送预定时刻到完成所述判定对象的报文的发送为止的期间内存在超过预定长度的无报文发送期间的情况下,所述发送可否判定部判定为不允许所述判定对象的报文的发送。
17.根据权利要求10所述的通信系统,其特征在于,
所述报文发送部决定基于所述哈希值发送部完成了正确的哈希值的发送的时刻的基准时刻,并以所决定的时刻为基准而周期性地进行报文发送。
18.根据权利要求10~15、17中任一项所述的通信系统,其特征在于,
所述通信控制装置具有废弃处理部,所述废弃处理部进行使接收所述发送可否判定部判定为不允许发送的报文的所述通信装置废弃该报文的处理。
19.根据权利要求16所述的通信系统,其特征在于,
所述通信控制装置具有废弃处理部,所述废弃处理部进行使接收所述发送可否判定部判定为不允许发送的报文的所述通信装置废弃该报文的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014-235782 | 2014-11-20 | ||
| JP2014235782 | 2014-11-20 | ||
| PCT/JP2015/082349 WO2016080422A1 (ja) | 2014-11-20 | 2015-11-18 | 通信制御装置及び通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107005447A CN107005447A (zh) | 2017-08-01 |
| CN107005447B true CN107005447B (zh) | 2020-09-08 |
Family
ID=56013957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580061067.9A Active CN107005447B (zh) | 2014-11-20 | 2015-11-18 | 通信控制装置及通信系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10432421B2 (zh) |
| JP (1) | JP6306206B2 (zh) |
| CN (1) | CN107005447B (zh) |
| DE (1) | DE112015005252T5 (zh) |
| WO (1) | WO2016080422A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6629999B2 (ja) * | 2016-04-12 | 2020-01-15 | ガードノックス・サイバー・テクノロジーズ・リミテッドGuardKnox Cyber Technologies Ltd. | セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法 |
| JP6805667B2 (ja) * | 2016-09-15 | 2020-12-23 | 住友電気工業株式会社 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
| JP2018056980A (ja) * | 2016-09-27 | 2018-04-05 | 富士通株式会社 | 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム |
| JP6798280B2 (ja) * | 2016-11-29 | 2020-12-09 | 富士通株式会社 | 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム |
| JP7094670B2 (ja) * | 2017-07-03 | 2022-07-04 | 矢崎総業株式会社 | 設定装置及びコンピュータ |
| JP7169340B2 (ja) | 2017-07-25 | 2022-11-10 | オーロラ ラブズ リミテッド | 車両ecuソフトウェアのためのソフトウェアデルタ更新の構築およびツールチェーンに基づく異常検出 |
| US10630699B2 (en) * | 2017-08-14 | 2020-04-21 | Argus Cyber Security Ltd. | Automotive cybersecurity |
| JP7003544B2 (ja) * | 2017-09-29 | 2022-01-20 | 株式会社デンソー | 異常検知装置、異常検知方法、プログラム及び通信システム |
| CN109696900A (zh) * | 2017-10-23 | 2019-04-30 | 北京长城华冠汽车科技股份有限公司 | 一种测试汽车控制器局域网络报文发送周期的系统和方法 |
| US10009325B1 (en) * | 2017-12-07 | 2018-06-26 | Karamba Security | End-to-end communication security |
| CN110546921B (zh) * | 2018-03-29 | 2022-10-28 | 松下电器(美国)知识产权公司 | 不正当检测方法、不正当检测装置以及程序 |
| CN108833018B (zh) * | 2018-04-09 | 2021-01-22 | 桂林电子科技大学 | 一种组网通信系统及方法 |
| US11711384B2 (en) * | 2018-08-27 | 2023-07-25 | Lear Corporation | Method and system for detecting message injection anomalies |
| KR20200056192A (ko) * | 2018-11-14 | 2020-05-22 | 현대자동차주식회사 | 데이터 통신 시스템과 데이터 통신 방법, 서버, 차량 |
| JP7175858B2 (ja) * | 2019-08-07 | 2022-11-21 | 株式会社日立製作所 | 情報処理装置および正規通信判定方法 |
| CN112738151B (zh) * | 2019-09-17 | 2024-05-31 | 三菱重工业株式会社 | 传送装置 |
| JP7435616B2 (ja) | 2019-09-30 | 2024-02-21 | 株式会社オートネットワーク技術研究所 | 検知装置、車両、検知方法および検知プログラム |
| JP7396363B2 (ja) * | 2019-09-30 | 2023-12-12 | 株式会社オートネットワーク技術研究所 | 検知装置、車両、検知方法および検知プログラム |
| JP7347141B2 (ja) * | 2019-11-13 | 2023-09-20 | 株式会社オートネットワーク技術研究所 | 車載通信装置及び情報置換方法 |
| CN113271612B (zh) * | 2020-02-17 | 2024-04-09 | 华为技术有限公司 | 一种随流信息遥测iFIT检测信息的上报方法及装置 |
| US20210312729A1 (en) * | 2020-04-01 | 2021-10-07 | Gm Cruise Holdings Llc | Distributed autonomous vehicle data logger |
| CN113923139B (zh) * | 2021-12-15 | 2022-03-01 | 北京城市轨道交通咨询有限公司 | 一种评估列控数据通信系统可靠性的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592221A (zh) * | 2003-09-02 | 2005-03-09 | 华为技术有限公司 | 一种实现网络访问控制的方法 |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BRPI0408183A (pt) * | 2003-03-11 | 2006-03-21 | Koninkl Philips Electronics Nv | método de encaminhar tráfego para e de um primeiro dispositivo de uma rede de área local sem fio para um segundo dispositivo da rede de área local sem fio, e, rede de área local sem fio |
| US7788713B2 (en) * | 2004-06-23 | 2010-08-31 | Intel Corporation | Method, apparatus and system for virtualized peer-to-peer proxy services |
| WO2006003995A1 (ja) * | 2004-07-06 | 2006-01-12 | Ntt Docomo, Inc. | メッセージ送信システム及びメッセージ送信方法 |
| US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| US7949317B2 (en) * | 2008-02-13 | 2011-05-24 | Apple Inc. | Momentary burst protocol for wireless communication |
| JP5594255B2 (ja) | 2011-08-10 | 2014-09-24 | トヨタ自動車株式会社 | 車両ネットワークの通信管理装置 |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| WO2015106333A1 (en) * | 2014-01-16 | 2015-07-23 | Perry + Currier Inc. | Device, system and method of mobile identity verification |
| US9220013B2 (en) * | 2014-02-06 | 2015-12-22 | Verizon Patent And Licensing Inc. | Tune control for shared access system |
-
2015
- 2015-11-18 WO PCT/JP2015/082349 patent/WO2016080422A1/ja active Application Filing
- 2015-11-18 CN CN201580061067.9A patent/CN107005447B/zh active Active
- 2015-11-18 US US15/527,826 patent/US10432421B2/en active Active
- 2015-11-18 JP JP2016560252A patent/JP6306206B2/ja active Active
- 2015-11-18 DE DE112015005252.6T patent/DE112015005252T5/de not_active Ceased
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592221A (zh) * | 2003-09-02 | 2005-03-09 | 华为技术有限公司 | 一种实现网络访问控制的方法 |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170324579A1 (en) | 2017-11-09 |
| WO2016080422A1 (ja) | 2016-05-26 |
| JPWO2016080422A1 (ja) | 2017-08-17 |
| CN107005447A (zh) | 2017-08-01 |
| JP6306206B2 (ja) | 2018-04-04 |
| US10432421B2 (en) | 2019-10-01 |
| DE112015005252T5 (de) | 2017-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005447B (zh) | 通信控制装置及通信系统 | |
| CN108353015B (zh) | 中继装置 | |
| US10778696B2 (en) | Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus | |
| EP3151462B1 (en) | Transmission device, reception device, transmission method, and reception method | |
| JP5880898B2 (ja) | 送信装置 | |
| JP6282216B2 (ja) | 通信システム及び通信装置 | |
| JP6525825B2 (ja) | 通信装置 | |
| US10320640B2 (en) | Communication system, abnormality detection device and abnormality detection method | |
| US10050983B2 (en) | Communication system, receiving apparatus, receiving method, and computer program product | |
| JP2016021623A (ja) | 通信システム、通信制御装置及び不正情報送信防止方法 | |
| US10270768B2 (en) | Communication system, communication method, and communication device | |
| JP2019075781A (ja) | データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 | |
| CN108632242B (zh) | 通信装置及接收装置 | |
| US20150220755A1 (en) | Solution for security, safe and time integrity communications in automotive environments | |
| CN113273144B (zh) | 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 | |
| JP2015192216A (ja) | 通信装置および通信方法 | |
| JP7110950B2 (ja) | ネットワークシステム | |
| JP6447974B2 (ja) | 送信方法 | |
| JP6108251B2 (ja) | 受信装置、及び受信方法 | |
| JP6822090B2 (ja) | 通信システム | |
| JP6149716B2 (ja) | 車載ネットワークシステム | |
| JP2022086429A (ja) | 通信装置、通信装置が行なう通信異常判定方法、および通信装置を制御するためのプログラム | |
| JPWO2018198545A1 (ja) | Ecu | |
| JP2018011155A (ja) | Can通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |