CN107113214B - 不正常检测电子控制单元、车载网络系统以及通信方法 - Google Patents
不正常检测电子控制单元、车载网络系统以及通信方法 Download PDFInfo
- Publication number
- CN107113214B CN107113214B CN201680002239.XA CN201680002239A CN107113214B CN 107113214 B CN107113214 B CN 107113214B CN 201680002239 A CN201680002239 A CN 201680002239A CN 107113214 B CN107113214 B CN 107113214B
- Authority
- CN
- China
- Prior art keywords
- frame
- bus
- transmission
- abnormality detection
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mechanical Engineering (AREA)
Abstract
一种不正常检测电子控制单元(100),所述不正常检测电子控制单元(100)与遵循CAN(Controller Area Network)协议进行通信的多个电子控制单元在通信中使用的总线连接,所述不正常检测电子控制单元(100)具备:接收部(110),接收向所述总线开始发送的帧;和发送部(120),在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。
Description
技术领域
本公开涉及在搭载于车辆等的电子控制单元进行通信的网络中,进行不正常帧的检测等的不正常检测电子控制单元。
背景技术
近年来,在汽车中的系统内,配置有多个称为电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在多种标准。其中最主流的一种车载网络中,存在由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准。此外,除了汽车以外,CAN还在电车、产业机械、机器人、医疗器械等各种领域的系统中作为控制网络利用。
以往,作为应对在CAN的网络中伪装成正常的ECU并发送不正常帧(不正常数据帧)的威胁的对策,已知有如下技术(阻止不正常帧的发送的技术):由连接到作为CAN的通信路径的总线(CAN总线)的、具有不正常检测功能的ECU(不正常检测ECU)检测出不正常帧时,通过发送错误帧从而将不正常帧无效化(例如参照专利文献1、非专利文献1、非专利文献2)。
在先技术文献
专利文献
专利文献1:日本特开2014-236248号公报
非专利文献
非专利文献1:中野学/松本勉/Camille Vuillaume/小谷诚刚著,“汽车的信息安全”,日经BP社,2013年12月27日
非专利文献2:畑正人/田边正人/吉冈克成/松本勉著,“CAN中的不正常发送阻止方式的安装和评价”,信学技报,电子信息通信学会,2012年12月
发明内容
本公开的一个技术方案涉及的不正常检测电子控制单元是一种与遵循CAN协议即控制器局域网络协议进行通信的多个电子控制单元在通信中使用的总线连接的不正常检测电子控制单元,所述不正常检测电子控制单元具备:接收部,接收向所述总线开始发送的帧;和发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。
另外,本公开的一个技术方案涉及的车载网络系统具备遵循CAN协议即控制器局域网络协议并经由总线进行通信的多个电子控制单元和与该总线连接的不正常检测电子控制单元,所述不正常检测电子控制单元具备:接收部,接收向所述总线开始发送的帧;和发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧,所述电子控制单元具备CAN控制器,所述CAN控制器包括接收错误计数器,并遵循CAN协议控制在所述总线上的通信,在来自所述总线的正常帧的接收成功的情况下,使所述接收错误计数器的值减少。
另外,本公开的一个技术方案涉及的通信方法是一种在具备多个电子控制单元的车载网络系统中使用的通信方法,所述多个电子控制单元遵循CAN协议即控制器局域网络协议并经由总线进行通信,所述通信方法包括:接收步骤,接收向所述总线开始发送的帧;和发送步骤,在所述接收步骤中接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。
根据本公开,能降低由用于将不正常帧无效化的错误帧的发送导致的对正常的ECU的不良影响。
附图说明
图1是表示实施方式1涉及的车载网络系统的整体构成的图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是表示由CAN协议规定的错误帧的格式的图。
图4是表示由用于将不正常帧无效化的错误帧导致的错误计数器增加的一例的图。
图5是不正常检测ECU和正常ECU的构成图。
图6是不正常检测ECU的功能框图。
图7是表示实施方式1涉及的不正常检测ECU的工作例1的流程图。
图8是表示实施方式1涉及的不正常检测ECU的工作例2的流程图。
图9是表示实施方式1涉及的不正常检测ECU的工作例3的流程图。
图10是表示实施方式1涉及的不正常检测ECU的工作例4的流程图。
图11是表示实施方式1涉及的不正常检测ECU的工作例5的流程图。
图12是表示实施方式1涉及的不正常检测ECU的工作例6的流程图。
图13是实施方式2涉及的不正常检测ECU的构成图。
图14是实施方式2涉及的不正常检测ECU的功能框图。
图15是表示实施方式2涉及的不正常检测ECU的工作例的流程图。
具体实施方式
(成为本发明的基础的见解)
当为了将不正常帧无效化而发送错误帧时,与CAN总线连接的正常的ECU的接收错误计数器会增大。ECU的接收错误计数器的增大可引起该ECU转移到被限制了数据帧等的迅速发送的被动状态的事态。
本公开提供一种可减少为了检测不正常帧并将其无效化而发送错误帧这一情况给正常的ECU带来的不良影响的不正常检测电子控制单元(不正常检测ECU)。另外,本公开提供一种可减少用于将不正常帧无效化的错误帧的发送给正常的ECU带来的不良影响的车载网络系统和在该车载网络系统中使用的通信方法。
本公开的一个技术方案涉及的不正常检测电子控制单元(不正常检测ECU)是一种与遵循CAN协议即控制器局域网络协议进行通信的多个电子控制单元在通信中使用的总线连接的不正常检测电子控制单元,所述不正常检测电子控制单元具备:接收部,接收向所述总线开始发送的帧;和发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。由此,在为了将不正常帧无效化而发送了错误帧之后,发送正常帧。通过接收该正常帧,与CAN总线连接的正常的ECU的接收错误计数器减少。因此,能降低为了将不正常帧无效化而发送错误帧这一情况给正常的ECU带来的不良影响。
另外,也可以是,所述不正常检测电子控制单元具备:与所述总线连接的通信接口;CAN控制器,与所述通信接口连接,并遵循CAN协议控制在所述总线上的通信;以及CPU,控制所述CAN控制器,并实现所述接收部和所述发送部。由此,CPU通过执行控制程序来控制CAN控制器,实现用于将不正常帧无效化的错误帧的发送后接着的向CAN总线的正常帧的发送。因此,能够利用控制程序,比较容易地实现为了将不正常帧无效化而发送错误帧这一情况给正常的ECU带来的不良影响的降低化。
另外,也可以是,在错误帧的所述发送后所述总线最初成为空闲状态时,所述发送部进行所述正常帧的所述发送。由此,能使为了将不正常帧无效化而发送错误帧,而正常的ECU的接收错误计数器增大的状态迅速地恢复到错误帧的发送前的状态。
另外,也可以是,所述发送部发送与已发送的错误帧的数量相同的正常帧。由此,能通过正常帧使该接收错误计数器减少与正常的ECU的接收错误计数器因错误帧而相应增大的量。
另外,也可以是,在正常帧的所述发送失败的情况下,所述发送部发送正常帧。由此,即使在错误帧的发送后发送的正常帧由于通信仲裁等而发送失败,由于再次发送正常帧,所以也能增加如下可能性:即能够使由于错误帧的发送的影响而增大的正常的ECU的接收错误计数器减少的可能性。
另外,也可以是,所述发送部发送如下数量以上的正常帧,所述数量为:从已发送的所述错误帧的数量减去在所述错误帧的发送后从所述总线接收到不符合所述预定条件的正常帧的数量而得到的数量。由此,由于在错误帧的发送后流经总线的适当帧(不是不正常的正常帧)和已发送的正常帧的合计数量成为与错误帧的数量相同的数量以上,所以能增加如下可能性:即能够使由于错误帧的发送的影响而增大的正常的ECU的接收错误计数器减少(恢复)到错误帧的发送前的值的可能性。
另外,也可以是,在正常帧的所述发送失败的情况下,所述发送部发送在ID字段中示出比该正常帧的ID字段表示的ID小的值的ID的正常帧。由此,最初发送使用了优先级相对低的ID(消息ID)的正常数据帧,能够抑制对其他ECU的通信的影响。而且,在正常数据帧的发送失败的情况下,例如无条件或在一定条件下,将在正常帧(正常数据帧)中使用的消息ID变更为优先级更高的消息ID,能够使之在通信仲裁中难以失败。因此,能增加能够使正常的ECU的接收错误计数器减少的可能性。
另外,也可以是,所述发送部在错误帧的发送后将要发送的所述正常帧是数据字段的长度为零的数据帧。由此,所要发送的正常帧(正常数据帧)的总线占有时间变短,能抑制对总线带宽的影响。
另外,也可以是,所述发送部在错误帧的发送后将要发送的所述正常帧的ID字段表示的ID是:在所述不正常检测电子控制单元以外的、与所述总线连接的任一个所述电子控制单元中均没有规定应识别该ID来进行的处理的ID。由此,能防止接收到所发送的正常数据帧的正常的ECU进行误动作这一情况。
另外,也可以是,在从所述错误帧的发送后到正常帧的所述发送之前为止,在从所述总线接收到不符合所述预定条件的正常帧时,所述发送部抑制正常帧的所述发送。由此,在错误帧的发送后,在不是不正常的帧流经总线而正常的ECU的接收错误计数器减少的情况下,能抑制不需要的正常帧的发送并减少对总线带宽的不良影响。
另外,也可以是,所述不正常检测电子控制单元与多条总线连接,并具有将从一方总线接收到的帧传送给另一方总线的功能,在接收到的该帧符合所述预定条件的情况下抑制该传送,在由所述接收部接收到的帧符合所述预定条件的情况下,所述发送部在发送该帧的最末尾之前向接收到该帧的总线发送错误帧,在错误帧的发送后向该总线发送所述正常帧。由此,通过不正常检测ECU仅对检测出不正常帧的总线进行用于将不正常帧无效化的错误帧的发送、和用于抑制接收错误计数器的增加的正常数据帧的发送,能抑制在某总线上发生的不正常帧的影响波及到其他总线。
另外,本公开的一个技术方案涉及的车载网络系统具备遵循CAN协议即控制器局域网络协议经由总线进行通信的多个电子控制单元和与该总线连接的不正常检测电子控制单元,所述不正常检测电子控制单元具备:接收部,接收向所述总线开始发送的帧;和发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧,所述电子控制单元具备CAN控制器,所述CAN控制器包括接收错误计数器,并遵循CAN协议控制在所述总线上的通信,在来自所述总线的正常帧的接收成功的情况下,使所述接收错误计数器的值减少。由此,在为了将不正常帧无效化而从不正常检测ECU发送错误帧后,发送正常帧。在接收到该正常帧的ECU中,接收错误计数器减少。因此,能减少为了将不正常帧无效化而发送错误帧这一情况给正常的ECU带来的不良影响。
另外,本公开的一个技术方案涉及的通信方法是一种在具备多个电子控制单元的车载网络系统中使用的通信方法,所述多个电子控制单元遵循CAN协议即控制器局域网络协议并经由总线进行通信,所述通信方法包括:接收步骤,接收向所述总线开始发送的帧;和发送步骤,在所述接收步骤中接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。由此,能减少为了将不正常帧无效化而发送错误帧这一情况给正常的ECU带来的不良影响。
此外,这些全面或具体的技术方案既可以用系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质实现,也可以用系统、方法、集成电路、计算机程序或记录介质的任意组合实现。
以下,参照附图,说明包括实施方式涉及的不正常检测ECU的车载网络系统。在这里示出的实施方式均表示本公开的一个具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置和连接方式以及步骤(工序)和步骤的顺序等为一例,并不限定本公开。以下实施方式的构成要素中未记载于独立权利要求的构成要素是能够任意附加的构成要素。另外,各图为示意图,并不是严格地进行了图示的图。
(实施方式1)
以下,作为本公开的实施方式,使用附图说明多个电子控制单元(ECU)经由总线进行通信的车载网络系统10。
[1.1车载网络系统10的整体构成]
图1是表示实施方式1涉及的车载网络系统10的整体构成的图。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载了控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统10包括总线200、不正常检测ECU(头单元)100和与各种设备连接的ECU400a~400d等ECU这样的与总线连接的各节点而构成。此外,虽然在图1中省略,但是在车载网络系统10中,除了不正常检测ECU100和ECU400a~400d以外,还可包含很多ECU。ECU例如是包括处理器(微处理器)、存储器等数字电路、模拟电路以及通信电路等的装置。存储器为ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如,处理器按照控制程序(计算机程序)工作,由此ECU实现各种功能。此外,计算机程序是为了实现预定的功能而将表示对处理器的指令的多条命令代码组合而构成的程序。
ECU400a~400d与总线200连接,且分别与发动机310、制动器320、门开闭传感器330以及窗开闭传感器340连接。ECU400a~400d各自分别取得所连接的设备(发动机310等)的状态,并定期地将表示状态的帧(后述的数据帧)等发送给网络(也即是总线)。
不正常检测ECU(头单元)100是一种ECU,并具有接收从ECU400a~400d发送来的帧,并将各种状态显示在显示器(未图示)上向用户提示的功能。另外,不正常检测ECU100具有生成表示取得的各信息的帧,并经由总线200将该帧发送给一台以上ECU的功能。另外,不正常检测ECU100具有如下不正常检测功能:通过对将要收发的帧判定相对于规则的符合性,从而进行是否是不正常帧(也就是说,不符合规则的帧)的判别,当检测到不正常帧时发送错误帧。不正常帧也可以说是符合表示不正常的预定条件的帧。此外,不正常检测ECU(头单元)100例如可具有汽车导航、音乐再现、动画再现、网页显示、与智能手机的合作、应用程序的下载和执行等功能。在本实施方式中,关注与作为头单元的不正常检测ECU100的不正常检测功能关联的工作来进行说明。
在车载网络系统10中,各ECU遵循CAN协议进行帧的授受。在CAN协议下的帧中,有数据帧、远程帧、超载帧(overload frame)以及错误帧。
[1.2在CAN中的数据的传送]
在CAN中,通信路径是由两条线构成的总线(上述总线200等),与总线连接的ECU被称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条线上产生电位差,由此发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。两条线的电位差大的状态为显性,相反地,电位差小的状态为隐性。多个发送节点在同一定时(timing)向总线送出(发送)了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式存在异常的情况下,发送被称为错误帧的帧。错误帧是通过连续发送6个显性位,向发送节点或其他接收节点通知帧的异常的帧。
另外,在CAN中不存在指示发送目的地或发送源的识别符,发送节点在每帧中附加被称为消息ID的ID并发送(即,向总线送出信号),各接收节点仅接收预先确定的ID的帧(即,从总线读取信号)。另外,采用CSMA/CA(Carrier Sense Multiple Access:载波侦听多址访问/Collision Avoidance:冲突避免)方式,在多个节点的同时发送时,进行利用消息ID的仲裁,并优先发送消息ID的值小的帧。
CAN的数据通信使用数据帧来进行,在CAN2.0标准中,在一个帧中能够发送8字节为止的数据。
[1.3数据帧格式]
以下,针对作为在遵循CAN协议的网络中使用的帧之一的数据帧进行说明。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中,示出了由CAN协议规定的标准ID格式的数据帧。数据帧包括SOF(Start Of Frame:帧起始)、ID字段、RTR(RemoteTransmission Request:远程发送请求)、IDE(Identifier Extension:标识符扩展)、预约位“r”、DLC(Data Length Code:数据长度码)、数据字段、CRC(Cyclic Redundancy Check:循环冗余校验)序列、CRC分隔符“DEL”、ACK间隙(Acknowledgement slot:应答间隙)、ACK分隔符“DEL”以及EOF(End Of Frame:帧结尾)这些各字段。
SOF由1个显性位(bit)构成。SOF由1个显性位(bit)构成。在总线为空闲的状态下成为隐性,且通过SOF向显性变更来通知帧的发送开始。
ID字段是由11位(bit)构成的保存ID(消息ID)的字段,所述ID是表示数据的种类的值。在多个节点同时开始发送的情况下,为了用该ID字段进行通信仲裁而设计为:ID为小值的帧具有高的优先级。
RTR是用于识别数据帧和远程帧的值,在数据帧中由1个显性位构成。
IDE和“r”双方由1个显性位构成。
DLC由4位(bit)构成,并且是表示数据字段的长度的值。此外,将IDE、“r”以及DLC一起称为控制字段。
数据字段是由最大64比特构成的、表示将要发送的数据的内容的值。能够按8比特调整长度。所发送的数据的标准不在CAN协议中规定,而在车载网络系统10中确定。因此,成为依存于车型、制造者(制造厂商)等的标准。
CRC序列由15比特构成。根据SOF、ID字段、控制字段以及数据字段的发送值而算出。
CRC分隔符是由1个显性位构成的表示CRC序列的结束的分隔记号。此外,将CRC序列和CRC分隔符一起称为CRC字段。
ACK间隙由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止能够正常接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,所以如果在发送后ACK间隙为显性,则发送节点能够确认某一个接收节点接收成功这一情况。
ACK分隔符是由1个显性位构成的表示ACK的结束的分割记号。
EOF由7个隐性位构成,并表示数据帧的结束。
[1.4错误帧格式]
图3是表示由CAN协议规定的错误帧的格式的图。错误帧由错误标志(primary:主动)、错误标志(secondary:被动)以及错误分隔符构成。
错误标志(主动)用于向其他ECU(节点)告知错误的发生。检测出错误的节点为了向其他节点告知错误的发生而连续发送6个显性位。该发送违反CAN协议中的位填充规则(不连续地发送6比特以上相同的值),引起来自其他节点的错误帧(被动)的发送。
错误标志(被动)由用于向其他节点告知错误的发生的、连续6个显性位构成。接收错误标志(主动)并检测出违反位填充规则的全部节点发送错误标志(被动)。
错误分隔符“DEL”为连续的8个隐性位,表示错误帧的结束。
[1.5错误计数器]
在CAN总线上遵循CAN协议进行通信的各ECU中,在错误发生时使错误计数器增加。
当开始向CAN总线上发送错误帧时,通过利用比隐性优先的显性连续的错误帧来覆写(即,无效化),从而中断到目前为止流经总线的帧的发送。而且,在发送了到目前为止流经总线的帧的ECU(发送节点)确认发送错误时,将该ECU的CAN控制器中的发送错误计数器增加1。
另外,当向CAN总线发送错误帧(主动)时,在与CAN总线连接的ECU(接收节点)中,由于违反上述的位填充规则而成为接收错误,发送错误帧(被动)并将该ECU的CAN控制器中的接收错误计数器增加1。
图4是表示向CAN总线发送了不正常帧之后的错误计数器的一例的图。在该例中,当与CAN总线连接的不正常ECU发送不正常帧,且不正常检测ECU检测出该不正常帧时,发送用于无效化的错误帧(主动),并示出了在正常ECU(正常的ECU)发送错误帧(被动)的情况下的各ECU的错误计数器的增加值。
在CAN中,由于在数据帧中没有验证发送源的手段,当发送数据帧时会向总线上的全部节点(ECU)进行广播,所以当与总线连接的ECU一旦被攻击者不正常(非法)侵入并被操纵(控制)时,该ECU会伪装成承担重要的控制的其他ECU,存在不正常(非法)地进行设备的控制的威胁。不正常ECU的一例是该侵入的ECU。此外,发生了故障的ECU等也可能成为不正常ECU。如上所述,在不正常检测ECU(头单元)100中,根据不正常ECU发送的帧是否符合在车载网络系统中预先确定的规则来判别是否不正常。
在CAN中,当在各ECU中接收错误计数器变得大于一定阈值时,会转移到迅速的发送受限的、被称为被动(passive)状态的状态。在通常状态下,当不是在CAN总线成为总线空闲状态后,即不是在数据帧后的作为3个隐性位的ITM(Intermission:间歇)之后时,ECU不能发送数据帧。与此相对,在被动状态下,进一步地,当不是在ITM的结束后接收到8个隐性位之后时,由于不能发送数据帧,所以迅速的发送受限。
为了抑制由于用于阻止(无效化)不正常帧的发送的错误帧,导致正常ECU的接收错误计数器增加而向迅速的发送受限的状态转移这一错误帧的发送的不良影响,不正常检测ECU100具有在错误帧的发送后,在一定条件下迅速地发送正常帧的功能。遵循CAN协议工作的正常ECU如果能够接收正常帧(即,遵循CAN协议的帧)而没有接收错误,则使接收错误计数器减少1。由此,能降低向被动状态转移的可能性。
[1.6不正常检测ECU100和ECU400a的构成]
图5是表示不正常检测ECU(头单元)100、正常ECU400a等的构成的一例的构成图。在该图中,为了便于说明,提取并示出了与图1所示车载网络系统10的总线200连接的ECU中、作为具有不正常检测功能的ECU的不正常检测ECU(头单元)100和作为正常ECU之一的ECU400a。在图5中附记有不正常ECU2001,所述不正常ECU2001作为例如由于故障状态或被攻击者控制的状态等而发送不正常数据帧的ECU。
不正常ECU2001、正常ECU400a以及不正常检测ECU100经由总线200,进行与电子设备控制相关的数据帧的收发等。
不正常检测ECU100具有遵循CAN协议并发送数据帧和错误帧的功能,并具有监视总线200,在不正常数据帧流经总线200上的情况下,使用错误帧来阻止不正常数据帧的发送(即,将不正常数据帧无效化)的功能。
如图5所示,不正常检测ECU100具备运算部3001、通信控制部3002以及通信接口(通信I/F)3003。运算部3001和通信控制部3002构成为能够以有线或无线方式相互通信,通信控制部3002和通信I/F3003同样地构成为能够以有线或无线方式相互通信。通信I/F3003是作为与总线200(CAN总线)连接并进行帧的收发的通信线路的CAN收发器等。通信控制部3002是作为控制总线200上的通信并进行与CAN协议相关的处理的处理器的CAN控制器,并具有:将经由通信I/F3003接收到的信息设为可从运算部3001读出的数据的功能、和根据来自运算部3001的指示,经由通信I/F3003发送遵循CAN协议的数据帧或错误帧的功能。另外,作为CAN控制器的通信控制部3002包括错误计数器(发送错误计数器和接收错误计数器),进行错误计数器的操作和与错误计数器相应的控制等。运算部3001由CPU(CentralProcessing Unit:中央处理单元)和存储器构成,通过由CPU执行存储在存储器中的控制程序,控制通信控制部3002,并实现基于接收到的帧的处理和应发送帧的生成等所涉及的各种功能。
ECU400a(正常ECU)具有:遵循CAN协议发送数据帧和错误帧的功能、在检测出流经总线200的数据的错误的情况下发送错误帧并将接收错误计数器增加(使之增加)的功能、以及在正常(无接收错误)接收到流经总线200的数据帧时将接收错误计数器减少(使之减少)的功能。
如图5所示,ECU400a具备构成为能够以有线或无线方式相互通信的运算部3011、通信控制部3012以及通信接口(通信I/F)3013。运算部3011、通信控制部3012以及通信I/F3013分别与运算部3001、通信控制部3002以及通信I/F3003同样。通信控制部3012是CAN控制器,所述CAN控制器包括接收错误计数器,并遵循CAN协议,控制在总线200上的通信,在来自总线200的正常帧的接收成功的情况下,使接收错误计数器的值减少。此外,虽然在图5中省略,但ECU400b~400d也具备与ECU400a同样的构成。
[1.7不正常检测ECU100的功能构成]
图6是不正常检测ECU(头单元)100的功能框图。
在功能方面,如图6所示,不正常检测ECU100具备接收部110和发送部120,发送部120具备不正常判定部121。接收部110和发送部120的功能由作为执行控制程序的CPU的运算部3001实现。此外,虽然在这里省略说明,但作为头单元的不正常检测ECU100在与其他正常ECU之间进行数据帧的授受,能实现作为头单元的各种功能(例如,汽车导航、音乐再现、动画再现、网页显示、与智能手机的合作等功能)。
接收部110具有接收向总线200开始发送的帧的功能,通信控制部3002读出与接收到的帧相关的数据。
不正常判定部121具有如下功能:根据由接收部110接收到的数据帧的数据,检测流经总线200的数据帧是否是不正常帧。即,不正常判定部121针对数据帧进行对预先确定的判定规则的符合性的判定(数据帧是否不正常的判定)。判定规则只要是在车载网络系统10中预先确定的规则即可,可以是任何规则。作为判定规则的例子,例如,可列举如下规则:是具有记载在预先确定的消息ID列表中的消息ID的帧。另外,作为另一例子,例如,可列举如下规则:接收到具有确定为定期发送的消息ID的数据帧的时间间隔保持在预先确定的适当周期正负一定余量的范围内。
发送部120具有:在由不正常判定部121检测出不正常数据帧的情况下发送错误帧的功能、为了适当地控制正常ECU的接收错误计数器而在错误帧的发送后在一定条件下迅速地发送正常帧(遵循CAN协议的数据帧)的功能等。发送部120提供帧内容并控制通信控制部3002,实现向总线200的帧的发送。
以下,说明关于在检测出不正常帧的情况下的由不正常检测ECU100进行的处理的各工作例。不正常检测ECU100例如能够通过运算部(CPU)3001执行与各个处理对应的控制程序来实现各工作例所涉及的工作。此外,以下说明的各工作例只不过是一例,例如,不正常检测ECU100可以将以下多个工作例中的一部分处理步骤组合并执行。
[1.8不正常检测ECU100的工作例1]
图7是表示本实施方式中的不正常检测ECU100的工作例1涉及的处理步骤的流程图。以下,参照该图说明工作例1。
如图7所示,首先,不正常检测ECU100监视流经总线200的帧,用不正常判定部121判定由接收部110接收到的帧是否是不正常帧(步骤S401)。即,不正常检测ECU100逐位接收并监视由任一个ECU向总线200开始发送的帧,并判定是否符合判定规则。是否符合判定规则的判定也可以说是是否符合表示不正常的预定条件(不符合判定规则这一条件)的判定。例如,不正常ECU2001能发送虽然符合CAN协议但符合表示不正常的预定条件(不符合判定规则)的数据帧。由该不正常ECU2001发送的不正常数据帧能在步骤S401中判定为是不正常帧。通过在步骤S401中的判定,能检测出不符合判定规则(即,符合了表示不正常的预定条件)的不正常帧。在没有检测出不正常帧的情况下,反复进行在步骤S401中的处理。
在检测出不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S402)。该错误帧的发送在发送不正常帧的最末尾之前的定时进行,由此,在总线200上,不正常帧的至少一部分通过被错误帧覆写而被无效化。因此,通过错误帧的发送,能阻止导致正常ECU接收不正常帧并执行与该不正常帧对应的功能处理等情况。接着,不正常检测ECU100利用发送部120等发送遵循CAN协议的正常帧(正常数据帧)(步骤S403)。在步骤S403中的正常帧的发送例如在步骤S402中发送了错误帧之后,总线200最初成为空闲状态(总线空闲)时进行。虽然在步骤S403中的正常帧的发送无需在总线200最初成为总线空闲的瞬间进行,但在降低由错误帧导致的对正常ECU的不良影响(接收错误计数器的增大)的观点中,迅速地进行正常帧的发送是有用的。此外,在不正常检测ECU100在步骤S402中发送错误帧并将不正常帧无效化的情况下,在不正常ECU2001立即反复进行不正常数据帧的发送时,不正常检测ECU100也可以进一步进行错误帧的发送,也可以之后在成为总线空闲等时发送正常帧。
[1.9工作例1的效果]
在本实施方式的工作例1中,不正常检测ECU100在使用错误帧进行不正常帧的发送阻止(无效化)时,接着发送正常数据帧。由于不正常检测ECU100检测不正常帧并发送错误帧,所以可以清楚的是:不是由接收节点导致的问题,而是由发送了不正常帧的发送节点导致的问题。因此,为了抑制使接收错误计数器增大而发送正常帧。由此,正常ECU的接收错误计数器被减少。即,通过由不正常检测ECU100实现的错误帧发送后的正常帧的发送,能抑制正常ECU的接收错误计数器单方面地增大,并能降低正常ECU转移到被动状态的可能性。因此,可防止因为用于不正常帧的无效化的错误帧而限制了正常ECU的工作。
[1.10不正常检测ECU100的工作例2]
图8是表示本实施方式中的不正常检测ECU100的工作例2所涉及的处理步骤的流程图。以下,参照该图说明工作例2。
不正常检测ECU100监视流经总线200的帧,由不正常判定部121判定由接收部110接收到的帧是否是不正常帧(步骤S501)。在没有检测出不正常帧的情况下,反复进行在步骤S501中的处理。在检测出不符合判定规则的不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S502)。此外,步骤S501、S502分别与上述步骤S401、S402同样。
接着,不正常检测ECU100利用发送部120等,发送数据字段的长度为0(零)的正常数据帧(步骤S503)。数据字段的长度为0的正常数据帧是遵循CAN协议的数据帧,由于在数据字段中不包括数据,所以是DLC的值为0的数据帧。此外,在步骤S503中的数据字段的长度为0的正常数据帧的发送例如在步骤S502中发送了错误帧之后总线200最初成为总线空闲等时进行。
[1.11工作例2的效果]
在本实施方式的工作例2中,在不正常检测ECU100使用错误帧进行了不正常帧的发送阻止(无效化)的情况下,之后发送正常数据帧。由此,能抑制正常ECU的接收错误计数器单方面地增大,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,由于为了减少正常ECU的接收错误计数器而利用不正常检测ECU100发送的正常数据帧是数据字段的长度为0的数据帧,所以所发送的正常数据帧的总线占有时间变短,能抑制对总线带宽的影响。
[1.12不正常检测ECU100的工作例3]
图9是表示本实施方式中的不正常检测ECU100的工作例3所涉及的处理步骤的流程图。以下,参照该图说明工作例3。
不正常检测ECU100监视流经总线200的帧,由不正常判定部121判定由接收部110接收到的帧是否是不正常帧(步骤S601)。在没有检测出不正常帧的情况下,反复进行在步骤S601中的处理。在检测出不符合判定规则的不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S602)。此外,步骤S601、S602分别与上述步骤S401、S402同样。
接着,不正常检测ECU100利用发送部120等,发送具有在其他ECU中没有被利用的ID(消息ID)的正常数据帧(步骤S603)。在其他ECU中没有被利用的消息ID是指:在车载网络系统10中与总线200连接的、不正常检测ECU100以外的、任一个ECU(ECU400a~400d)中,均没有规定应识别该消息ID来进行的处理的消息ID。例如,不正常检测ECU100以外的、与总线200连接的任一个ECU均不发送0x200这一消息ID的数据帧,并在接收到0x200这一消息ID的数据帧时不执行与该数据帧对应的功能处理等的情况下,在步骤S603中,不正常检测ECU100发送0x200这一消息ID的正常数据帧。在步骤S603中发送的正常数据帧例如是数据字段的长度为0的数据帧这一方案是有用的,但也可以是,数据字段的长度不一定是0。此外,对于在步骤S603中的正常数据帧的发送,例如在通过步骤S602发送了错误帧之后总线200最初成为总线空闲等时进行。
[1.13工作例3的效果]
在本实施方式的工作例3中,在不正常检测ECU100使用错误帧进行了不正常帧的发送阻止(无效化)的情况下,之后发送正常数据帧。由此,能抑制导致正常ECU的接收错误计数器单方面地增大这一情况,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,由于为了减少正常ECU的接收错误计数器而利用不正常检测ECU100发送的正常数据帧的消息ID是在其他ECU中没有被利用的ID,所以能防止接收到正常数据帧的正常ECU进行误动作。
[1.14不正常检测ECU100的工作例4]
图10是表示本实施方式中的不正常检测ECU100的工作例4所涉及的处理步骤的流程图。以下,参照该图说明工作例4。
不正常检测ECU100监视流经总线200的帧,由不正常判定部121判定由接收部110接收到的帧是否是不正常帧(步骤S701)。即,不正常检测ECU100逐位接收并监视由任一个ECU开始发送给总线200的帧,并判定是否符合判定规则(是否符合表示不正常的预定条件)。由此,能检测出不符合判定规则(即,符合表示不正常的预定条件)的不正常帧。在步骤S701中没有检测出不正常帧的情况下,跳过步骤S702和步骤S703,进入步骤S704中的处理。
在步骤S701中,在检测出不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S702)。该错误帧的发送在发送不正常帧的最末尾之前的定时进行,由此,在总线200上,不正常帧的至少一部分通过被错误帧覆写而被无效化。因此,通过错误帧的发送,能阻止正常ECU接收不正常帧并执行与该不正常帧对应的功能处理等情况。接着,不正常检测ECU100将作为正常数据帧的发送管理用的计数器的正常数据帧发送次数计数器+1(增加)(步骤S703)。为了发送与已发送的错误帧的数量相同的正常帧而使用该正常数据帧发送次数计数器,正常数据帧发送次数计数器的初始值为0(零),每当发送错误帧时增加1,每当正常数据帧发送成功时减少1。
在步骤S703之后或在步骤S701中没有检测出不正常帧的情况下,不正常检测ECU100确认正常数据帧发送次数计数器的值(步骤S704),如果是0,则转移到步骤S701。
在步骤S704中,如果正常数据帧发送次数计数器的值不是0,则不正常检测ECU100利用发送部120等发送正常数据帧(步骤S705)。通过对成为总线空闲的总线200逐位送出正常数据帧来进行在步骤S705中的正常数据帧的发送。不正常检测ECU100判定该正常数据帧的发送是否成功(步骤S706)。在步骤S706中,针对在步骤S705中开始向总线200逐位送出的正常数据帧,由于有可能由其他ECU同时发送数据帧,所以作为CAN中的通信仲裁的结果等,判定发送是否成功。发送是否成功的判定例如根据已发送的正常数据帧与出现在总线200上的位值是否一致来进行,或者,例如也可以是,根据针对已发送的正常数据帧的、出现在总线200上的ACK间隙是否为显性等来进行。此外,也可以是,不正常检测ECU100的运算部(CPU)3001通过从通信控制部(CAN控制器)3002接受能够识别发送是否成功的发送完成通知等,来判定发送是否成功。在步骤S706中,在判定为正常数据帧的发送成功了的情况下,不正常检测ECU100将正常数据帧发送次数计数器-1(减少)(步骤S707),并转移到步骤S701。
在步骤S706中,由于通信仲裁失败等而判定为正常数据帧的发送不成功(即,发送失败)的情况下,不正常检测ECU100跳过步骤S707,转移到步骤S701。由此,在正常数据帧的发送失败的情况下,通过不正常检测ECU100的发送部120等再次发送正常数据帧。不正常检测ECU100在步骤S702中发送错误帧并将不正常帧无效化了的情况下,例如在不正常ECU2001立即反复进行不正常数据帧的发送时,不正常检测ECU100在步骤S705中将要发送的正常数据帧有可能因该不正常数据帧而通信仲裁失败。即使在这样的情况下,不正常检测ECU100迟早也能按照正常数据帧发送次数计数器,发送正常数据帧。
[1.15工作例4的效果]
在本实施方式的工作例4中,在不正常检测ECU100使用错误帧进行了不正常帧的发送阻止(无效化)的情况下,之后发送正常数据帧。由此,能抑制正常ECU的接收错误计数器单方面地增大,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,不正常检测ECU100使用正常数据帧发送次数计数器,发送与已发送的错误帧的数量相同的正常数据帧。由此,即使在万一正常数据帧因通信仲裁等而暂时不能发送的情况下,也能保证为了减少正常ECU的接收错误计数器而发送正常数据帧这一情况。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。
[1.16不正常检测ECU100的工作例5]
图11是表示本实施方式中的不正常检测ECU100的工作例5所涉及的处理步骤的流程图。以下,参照该图说明工作例5。
不正常检测ECU100监视流经总线200的帧,由不正常判定部121判定由接收部110接收到的帧是否是不正常帧(即,是否符合表示不正常的预定条件)(步骤S801)。在步骤S801中没有检测出不正常帧的情况下,跳过步骤S802和步骤S803,进入步骤S804中的处理。
在步骤S801中,在检测出不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S802)。接着,不正常检测ECU100将正常数据帧发送次数计数器+1(增加),所述正常数据帧发送次数计数器是正常数据帧的发送管理用的计数器(步骤S803)。
在步骤S803之后或在步骤S801中没有检测出不正常帧的情况下,不正常检测ECU100确认正常数据帧发送次数计数器的值(步骤S804),如果是0,则转移到步骤S801。
在步骤S804中,如果正常数据帧发送次数计数器的值不是0,则不正常检测ECU100利用发送部120等发送正常数据帧(步骤S805)。接着,不正常检测ECU100判定该正常数据帧的发送是否成功(步骤S806)。在步骤S806中,在判定为正常数据帧的发送成功的情况下,不正常检测ECU100将正常数据帧发送次数计数器-1(减少)(步骤S807),并转移到步骤S808。
在步骤S806中,在由于通信仲裁失败等而判定为正常数据帧的发送不成功的情况下,不正常检测ECU100跳过步骤S807,转移到步骤S808。
此外,步骤S801、S802、S803、S804、S805、S806、S807分别与上述步骤S701、S702、S703、S704、S705、S706、S707同样。
在步骤S807之后或在步骤S806中判定为正常数据帧的发送不成功的情况下,不正常检测ECU100确认(判定)正常数据帧是否流经总线200上(步骤S808)。具体而言,在步骤S808中,不正常检测ECU100例如确认是否从总线200接收到遵循CAN协议且不是不正常帧(即,不符合表示不正常的预定条件)的正常数据帧。在步骤S808中,在判定为正常数据帧没有流经总线200上的情况下,跳过步骤S809和步骤S810并转移到步骤S801。
在步骤S808中确认了正常数据帧流经总线200上的情况下,只要正常数据帧发送次数计数器比0大(步骤S809),不正常检测ECU100将正常数据帧发送次数计数器-1(减少)(步骤S810),并转移到步骤S801。为了发送从已发送的错误帧的数量减去在发送错误帧后从总线200接收到不是不正常帧的正常数据帧的数量得到的数量以上的正常数据帧,而使用该正常数据帧发送次数计数器。正常数据帧发送次数计数器的初始值为0,基本上与错误帧的发送对应地增加,在正常数据帧的发送成功的情况下或由其他ECU向总线200上发送了正常数据帧的情况下对应地减少。
[1.17工作例5的效果]
在本实施方式的工作例5中,在不正常检测ECU100使用错误帧进行不正常帧的发送阻止(无效化)的情况下,之后发送正常数据帧。由此,能抑制正常ECU的接收错误计数器单方面地增大这一情况,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,不正常检测ECU100使用正常数据帧发送次数计数器,使与已发送错误帧的数量相同的正常数据帧流经总线200上。由此,即使在万一正常数据帧因通信仲裁等而暂时不能发送的情况下,也能保证为了减少正常ECU的接收错误计数器而发送正常数据帧。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,不正常检测ECU100使为了减少正常ECU的接收错误计数器而自己将要发送的正常数据帧的数量减少与流经总线200的正常数据帧的数量相应的数量。由此,为了减少正常ECU的接收错误计数器而发送的正常数据帧的总线占有时间变短,能抑制对总线带宽的影响。
[1.18不正常检测ECU100的工作例6]
图12是表示本实施方式中的不正常检测ECU100的工作例6所涉及的处理步骤的流程图。以下,参照该图说明工作例6。
不正常检测ECU100监视流经总线200的帧,由不正常判定部121判定由接收部110接收到的帧是否是不正常帧(即,是否符合表示不正常的预定条件)(步骤S901)。在步骤S901中没有检测出不正常帧的情况下,跳过步骤S902和步骤S903,进入步骤S904中的处理。
在步骤S901中,在检测出不正常帧的情况下,不正常检测ECU100利用发送部120等发送错误帧(步骤S902)。接着,不正常检测ECU100将作为正常数据帧的发送管理用的计数器的正常数据帧发送次数计数器+1(增加)(步骤S903)。
在步骤S903之后或在步骤S901中没有检测出不正常帧的情况下,不正常检测ECU100确认正常数据帧发送次数计数器的值(步骤S904),如果是0,则转移到步骤S901。
如果在步骤S904中正常数据帧发送次数计数器的值不是0,且如果正常数据帧发送次数计数器的值比阈值大(步骤S905),则不正常检测ECU100将在步骤S907中将要发送的正常数据帧的ID字段所包括的消息ID的值变更为更小的值(步骤S906)。在CAN中,消息ID的值越小,则在总线上的通信仲裁中优先级越高。正常数据帧发送次数计数器的初始值为0,阈值是0以上的预先确定的值,例如可取0、1、5等这样的值。如果阈值为0,则在正常数据帧的发送失败的情况下,能将正常数据帧所使用的消息ID变更为更小的值。另外,在正常数据帧的发送失败的情况下,在一定条件下(例如,超过1以上的阈值的条件之下),可以将正常数据帧所使用的消息ID变更为优先级更高的消息ID。例如,作为正常数据帧的消息ID的初始值,使用了CAN的通信仲裁中的优先级比较低时的、大的值的消息ID,在因通信仲裁失败等而发送失败,且应发送的正常数据帧的数量增加等情况下,在步骤S906的处理中,变更为比其优先级更高的消息ID(即,消息ID的值更小的消息ID)。
在步骤S905中在正常数据帧发送次数计数器的值不比阈值大的情况下,或者在步骤S906之后,不正常检测ECU100利用发送部120等发送正常数据帧(步骤S907)。
接着,不正常检测ECU100判定该正常数据帧的发送是否成功(步骤S908)。在步骤S908中,在判定为正常数据帧的发送成功的情况下,不正常检测ECU100将正常数据帧发送次数计数器-1(减少)(步骤S909),并转移到步骤S910。
在步骤S908中,在由于通信仲裁失败等判定为正常数据帧的发送不成功的情况下,不正常检测ECU100跳过步骤S909,转移到步骤S910。
在步骤S909之后或在步骤S908中判定为正常数据帧的发送不成功的情况下,不正常检测ECU100确认(判定)正常数据帧是否流经总线200上(步骤S910)。在步骤S910中,在判定为正常数据帧没有流经总线200上的情况下,跳过步骤S911和步骤S912并转移到步骤S901。
在步骤S910中确认了正常数据帧流经总线200上的情况下,只要正常数据帧发送次数计数器比0大(步骤S911),不正常检测ECU100就将正常数据帧发送次数计数器-1(减少)(步骤S912),并转移到步骤S901。
此外,步骤S901~S904、S907~S912分别与上述步骤S801~S804、S805~S810同样。另外,也可以是,不正常检测ECU100在某些定时(例如,在正常数据帧发送次数计数器成为0等时),使在步骤S906中变更为更小的值的、将要发送正常数据帧中的消息ID返回初始值。
[1.19工作例6的效果]
在本实施方式的工作例6中,在不正常检测ECU100使用错误帧进行了不正常帧的发送阻止(无效化)的情况下,之后发送正常数据帧。由此,能抑制正常ECU的接收错误计数器单方面地增大这一情况,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,不正常检测ECU100使用正常数据帧发送次数计数器,使与已发送的错误帧的数量相同的正常数据帧流经总线200上。由此,即使在万一正常数据帧由于通信仲裁等而暂时不能发送的情况下,也能保证为了减少正常ECU的接收错误计数器而发送正常数据帧这一情况。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。另外,不正常检测ECU100使为了减少正常ECU的接收错误计数器而自己将要发送的正常数据帧的数量减少与流经总线200的正常数据帧的数量对应的数量。由此,为了减少正常ECU的接收错误计数器而将要发送的正常数据帧的总线占有时间变短,能抑制对总线带宽的影响。另外,在正常数据帧发送次数计数器超过某阈值的情况下,不正常检测ECU100使为了减少正常ECU的接收错误计数器而将要发送的正常数据帧的优先级提高。由此,最初发送使用了优先级低的消息ID的正常数据帧,能够抑制对其他ECU的通信的影响。而且,在正常数据帧发送次数计数器超过某阈值的情况下,将正常数据帧所使用的消息ID变更为优先级更高的消息ID,在通信仲裁中难以失败,能够确保正常ECU的接收错误计数器的减少的执行。
(实施方式2)
以下,说明将实施方式1所示的车载网络系统10的一部分变形而成的车载网络系统。
本实施方式涉及的车载网络系统具备与总线200和另一总线1200双方连接的不正常检测ECU100a,所述总线200连接有实施方式1所示的ECU400a等。不正常检测ECU100a是将实施方式1所示的不正常检测ECU100的一部分变形而成的ECU,除了当检测出不正常帧时发送错误帧的不正常检测功能外,还具有在总线间传送数据帧的传送功能。
[2.1不正常检测ECU100a的构成]
图13是表示不正常检测ECU100a等的构成的一例的构成图。在该图中,除了图5所示的总线200、与该总线200连接的ECU400a和不正常ECU2001以外,还示出了总线1200、与总线1200连接的正常ECU1400、不正常ECU2011以及与总线200和总线1200双方连接的不正常检测ECU100a。正常ECU1400具有与实施方式1所示的ECU400a同样的构成和功能。此外,不正常ECU2011例如是由于故障状态或被攻击者控制的状态等而发送不正常数据帧的ECU。
不正常检测ECU100a具有遵循CAN协议并发送数据帧和错误帧的功能,并具有监视总线200,在不正常数据帧流经总线200上的情况下,使用错误帧来阻止不正常数据帧的发送(即,将不正常数据帧无效化)的功能。另外,不正常检测ECU100a具有在总线200与总线1200之间,在一定条件下从一方总线向另一方总线传送数据帧的传送功能。利用具有该传送功能的不正常检测ECU100a,例如能够进行在与总线200连接的正常ECU400a、和与总线1200连接的正常ECU1400之间的数据帧(消息)的授受。
在总线200中,收发遵循CAN协议的帧,在总线1200中也同样地能收发遵循CAN协议的帧。此外,在总线1200上的通信中使用的协议可以不一定与在总线200上的通信中使用的协议一致,例如,可以设为:在总线200上的通信中使用CAN协议,在总线1200上的通信中使用CAN-FD(CAN with Flexible Data Rate:具有灵活的数据速率的CAN)协议。在两条总线的协议不一致的情况下,不正常检测ECU100a例如可以具有在帧的传送时进行协议转换的功能(网关功能)。在这里,设为在总线200上的通信中、总线1200上的通信中均使用CAN协议来继续说明。
如图13所示,不正常检测ECU100a具备运算部3001a、通信控制部3002、通信控制部3002a、通信I/F3003以及通信I/F3003a。运算部3001a与通信控制部3002、3002a构成为能够以有线或无线方式相互通信,通信控制部3002与通信I/F3003构成为能够以有线或无线方式相互通信,通信控制部3002a与通信I/F3003a同样地构成为能够以有线或无线方式相互通信。在图13中,关于与图5所示的构成要素同样的构成要素,赋予相同的标号并在这里省略说明。通信I/F3003a是作为与CAN总线(总线1200)连接并进行帧的收发的通信线路的CAN收发器等。通信控制部3002a是作为控制总线1200上的通信并进行与CAN协议相关的处理的处理器的CAN控制器,并具有:将经由通信I/F3003a接收到的信息设为能从运算部3001a读出的数据的功能、和根据来自运算部3001a的指示,经由通信I/F3003a发送遵循CAN协议的数据帧或错误帧的功能。另外,作为CAN控制器的通信控制部3002a包括错误计数器(发送错误计数器和接收错误计数器),进行错误计数器的操作和与错误计数器相应的控制等。运算部3001a由CPU和存储器构成,通过由CPU执行存储在存储器中的控制程序,从而控制通信控制部3002、3002a,实现基于接收到的帧的处理和应发送的帧的生成等所涉及的各种功能。
正常ECU400a、正常ECU1400以及不正常检测ECU100a经由总线200或总线1200,进行与电子设备控制相关的数据帧的收发等。
[2.2不正常检测ECU100a的功能构成]
图14是不正常检测ECU100a的功能框图。
在功能方面,如图14所示,不正常检测ECU100a具备接收部110a和发送部120a,发送部120a具备不正常判定部121。接收部110a和发送部120a的功能由作为执行控制程序的CPU的运算部3001a实现。此外,不正常检测ECU100a例如可以具有作为头单元的各种功能(例如汽车导航等功能)。
接收部110a具有接收向总线200或总线1200开始发送的帧的功能,通信控制部3002或通信控制部3002a读出与接收到的帧相关的数据。
不正常判定部121与实施方式1所示的不正常判定部121同样(参照图6),具有根据由接收部110a接收到的数据帧的数据,检测该数据帧是否是不正常帧的功能。即,不正常判定部121针对数据帧进行对预先确定的判定规则的符合性的判定(数据帧是否不正常的判定)。
发送部120a具有:在由不正常判定部121检测出不正常数据帧的情况下判别在总线200和总线1200中的哪一条总线上发送了不正常帧并向发送了该不正常帧的总线发送错误帧的功能、和为了适当地控制正常ECU的接收错误计数器而在错误帧的发送后在一定条件下迅速地发送正常帧(遵循在该总线上的通信中使用的CAN协议的数据帧)的功能。发送部120a通过在发送不正常数据帧的最末尾之前向被发送了该不正常数据帧的总线上发送错误帧,从而阻止不正常数据帧的发送(将不正常数据帧无效化)。发送部120a提供帧内容并控制通信控制部3002或通信控制部3002a,实现向总线200或总线1200的帧的发送。
以下,说明关于在检测出不正常帧的情况下的由不正常检测ECU100a进行的处理的工作例。不正常检测ECU100a例如通过运算部(CPU)3001a执行控制程序,从而可实现该工作例所涉及的工作。
[2.3不正常检测ECU100a的工作例]
图15是表示本实施方式中的不正常检测ECU100a的工作例涉及的处理步骤的流程图。以下,参照该图说明不正常检测ECU100a的工作例。
不正常检测ECU100a监视流经总线200和总线1200的帧,由不正常判定部121判定由接收部110a从总线200和总线1200中的某一个接收到的帧是否是不正常帧(步骤S101)。即,不正常检测ECU100a逐位接收并监视由某一个ECU向总线200或总线1200开始发送的帧,并判定是否符合判定规则。是否符合判定规则的判定也可以说是是否符合表示不正常的预定条件(不符合判定规则这样的条件)的判定。由此,能检测不符合判定规则(即,符合表示不正常的预定条件)的不正常帧。在没有检测出不正常帧的情况下,反复进行在步骤S101中的处理。
在检测出不正常帧的情况下,不正常检测ECU100a判别在总线200和总线1200中的哪一条总线上发送了不正常帧(步骤S102)。
在步骤S102中判别为在总线200上发送了不正常帧的情况下,不正常检测ECU100a利用发送部120a等,向发送了该不正常帧的总线200发送错误帧(步骤S103)。在发送不正常帧的最末尾之前的定时进行该错误帧的发送,由此,在总线200上,不正常帧的至少一部分通过被错误帧覆写而被无效化。因此,通过错误帧的发送,能阻止正常ECU400a等接收不正常帧而执行与该不正常帧对应的功能处理等情况。接着,不正常检测ECU100a利用发送部120等,向总线200发送遵循CAN协议的正常帧(正常数据帧)(步骤S104)。在步骤S104中的正常帧的发送例如在步骤S103中向总线200发送了错误帧之后,总线200最初成为总线空闲时进行。此外,虽然在步骤S104中的正常帧的发送不一定必须在总线200最初成为总线空闲的瞬间进行,但在降低由错误帧导致的对正常ECU的不良影响(接收错误计数器的增大)的观点中,迅速地进行正常帧的发送是有用的。
在步骤S102中判别为在总线1200上发送了不正常帧的情况下,不正常检测ECU100a利用发送部120a等,向发送了该不正常帧的总线1200发送错误帧(步骤S105)。接着,不正常检测ECU100a利用发送部120等,向总线1200发送遵循CAN协议的正常帧(正常数据帧)(步骤S106)。步骤S105和步骤S106的除了发送目的地的总线为总线1200这一点以外,与步骤S103和步骤S104同样。在步骤S105中错误帧的发送在发送不正常帧的最末尾之前的定时进行,由此,在总线1200上,不正常帧的至少一部分通过被错误帧覆写而被无效化。因此,通过错误帧的发送,能阻止正常ECU1400等接收不正常帧并执行与该不正常帧对应的功能处理等情况。此外,在步骤S104或步骤S106中发送的正常数据帧例如是数据字段的长度为0的数据帧这一情况是有用的,但也可以是,数据字段的长度不一定是0。另外,在步骤S104或步骤S106中发送的正常数据帧的消息ID是在其他ECU中没有被利用的消息ID这一情况是有用的。在这里,在其他ECU中没有被利用的消息ID是指:例如在向总线200发送正常数据帧的情况下,与总线200连接的、不正常检测ECU100a以外的任一个ECU中,均没有识别该消息ID并确定应进行的处理的消息ID。另外,在其他ECU中没有被利用的消息ID是指:例如在向总线1200发送正常数据帧的情况下,与总线1200连接的不正常检测ECU100a以外的任一个ECU中,均没有识别该消息ID并确定应进行的处理的消息ID。
此外,在总线200上接收到不是不正常数据帧的数据帧的情况下,不正常检测ECU100a能基于预先确定的传送规则,将该数据帧传送给总线1200。另外,在总线1200上接收到不是不正常数据帧的数据帧的情况下,不正常检测ECU100a能基于预先确定的传送规则,将该数据帧传送给总线200。但是,不正常检测ECU100a在接收到不正常数据帧的情况下,不进行传送。
[2.4实施方式2的效果]
在本实施方式中,在不正常检测ECU100a使用错误帧进行不正常帧的发送阻止(无效化)时,接着发送正常数据帧。由于不正常检测ECU100a检测不正常帧并发送错误帧,所以可以清楚:不是由接收节点导致的问题而是由发送了不正常帧的发送节点导致的问题。因此,为了抑制使接收错误计数器增大而发送正常帧。由此,正常ECU的接收错误计数器被减少。即,通过由不正常检测ECU100a实现的发送错误帧之后的正常帧的发送,能抑制正常ECU的接收错误计数器单方面地增大,并能降低正常ECU转移到被动状态的可能性。因此,能防止因用于不正常帧的无效化的错误帧而导致正常ECU的工作受限这一情况。通过不正常检测ECU100a仅对检测出不正常帧的总线进行用于将不正常帧无效化的错误帧的发送、和用于抑制接收错误计数器的增加的正常数据帧的发送,能抑制在某总线上发生的不正常帧的影响波及到其他总线。
(其他实施方式)
以上,作为本公开涉及的技术的例示对实施方式1、2进行了说明。然而,本公开涉及的技术不限定于此,也能够应用于适当进行了变更、置换、附加以及省略等的实施方式。例如,以下变形例也包括于本公开的一个实施方式。
(1)在上述实施方式中,示出了不正常检测ECU100的发送部120在向总线200的错误帧的发送后接着向总线200发送正常数据帧(正常帧)的例子,但也可以是,发送部120在从该错误帧的发送后到正常帧的发送之前为止,在从总线200接收到不符合表示不正常的预定条件的正常帧时,抑制正常帧的该发送。
(2)在上述实施方式中,以标准ID格式记述了CAN协议中的数据帧,但也可以是扩展ID格式。
(3)在上述实施方式中,示出了不正常检测ECU是头单元的一例,但不正常检测ECU是具有不正常检测功能的ECU即可,不一定必须具有作为头单元的功能。
(4)在上述实施方式中,将车载网络系统作为例子进行了说明,但只要是连接遵循CAN协议进行通信的多个ECU的网络,上述不正常检测ECU100、100a可不限于利用在车载网络中,例如,能利用在由CAN总线将搭载于产业机械、机器人等的多个ECU间连接而成的网络中。
(5)上述的CAN协议可以具有如下的广义含义:也包含TTCAN(Time-TriggeredCAN:时间触发CAN)、CAN-FD(CAN with Flexible Data Rate:具有灵活的数据速率的CAN)等派生性协议。
(6)上述实施方式中的各ECU(包括不正常检测ECU)例如是包含处理器、存储器等数字电路、模拟电路以及通信线路等的装置,但也可以包含硬盘装置、显示器、键盘以及鼠标等其他硬件构成要素。另外,也可以通过专用硬件(数字电路等)实现功能,取代通过处理器执行存储于存储器的控制程序而软件性地实现该功能。另外,各ECU中的CPU、CAN控制器、CAN收发器等构成要素只不过为一例,这些各构成要素可以是用任意的单位结合或分离的集成电路等。
(7)构成上述实施方式中的各装置的构成要素的一部分或全部可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上制造而成的超多功能LSI,具体而言,是包括微处理器、ROM以及RAM等而构成的计算机系统。在所述RAM中记录有计算机程序。通过所述微处理器按照所述计算机程序工作,系统LSI实现该功能。另外,构成上述各装置的构成要素的各部分既可以形成为独立的单片,也可以形成为包含一部分或全部的单片。另外,在这里,设为系统LSI,但根据集成度的不同,有时也称呼为IC、LSI、超级LSI以及大规模LSI。另外,集成电路化的方法不限于LSI,也可以由专用电路或通用处理器实现。在LSI制造后,也可以利用可编程的FPGA(FieldProgrammable Gate Array:现场可编程门阵列)、能够将LSI内部的电路单元的连接、设定重新构建的可重构处理器。进而,如果因半导体技术的进步或派生的其他技术出现代替LSI的集成电路化的技术,当然也可以使用该技术进行功能块的集成化。也有可能应用生物技术等。
(8)构成上述各装置的构成要素的一部分或全部可以由可拆装于各装置的IC卡或单个模块构成。所述IC卡或所述模块是由微处理器、ROM以及RAM等构成的计算机系统。所述IC卡或所述模块也可以包含上述的超多功能LSI。通过微处理器按照计算机程序工作,所述IC卡或所述模块实现该功能。该IC卡或该模块也可以具有防篡改性。
(9)作为本公开的一个技术方案,可以设为在上述车载网络中用于不正常帧的无效化及其影响的降低化的通信方法等方法。例如,通信方法包括:接收步骤,接收向CAN总线开始发送的帧;和发送步骤,在该接收步骤中接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向该总线发送错误帧,在错误帧的发送后向该总线发送作为遵循CAN协议的帧的正常帧。另外,既可以是利用计算机实现该方法的计算机程序,也可以是由所述计算机程序构成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)以及半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个技术方案,也可以经由电通信线路、无线或有线通信线路、以互联网为代表的网络以及数据广播等传送所述计算机程序或所述数字信号。另外,作为本公开的一个技术方案,是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序工作。另外,也可以将所述程序或所述数字信号记录于所述记录介质并移送,或经由所述网络等移送所述程序或所述数字信号,由此利用其他独立的计算机系统实施。
(10)通过任意组合上述实施方式和上述变形例所示的各构成要素和功能而实现的方式也包括在本公开的范围内。
产业上的可利用性
本公开能利用于检测在网络中发送的不正常帧并将其无效化的车载网络系统等。
标号说明
10 车载网络系统
100、100a 不正常检测电子控制单元(不正常检测ECU)
110、110a 接收部
120、120a 发送部
121 不正常判定部
200、1200总线310发动机320制动器330 门开闭传感器
340窗开闭传感器400a、400b、400c、400d、1400 电子控制单元(ECU)
2001、2011 不正常ECU
3001、3001a、3011 运算部(CPU)
3002、3002a、3012 通信控制单元(CAN控制器)
3003、3003a、3013 通信接口(通信I/F)
Claims (14)
1.一种不正常检测电子控制单元,所述不正常检测电子控制单元与遵循CAN协议即控制器局域网络协议进行通信的多个电子控制单元在通信中使用的总线连接,所述不正常检测电子控制单元具备:
接收部,接收向所述总线开始发送的帧;和
发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。
2.根据权利要求1所述的不正常检测电子控制单元,
所述不正常检测电子控制单元具备:
通信接口,与所述总线连接;
CAN控制器,与所述通信接口连接,并遵循CAN协议控制在所述总线上的通信;以及
CPU,控制所述CAN控制器,并实现所述接收部和所述发送部的功能。
3.根据权利要求1所述的不正常检测电子控制单元,
在错误帧的所述发送后所述总线最初成为空闲状态时,所述发送部进行所述正常帧的所述发送。
4.根据权利要求2所述的不正常检测电子控制单元,
在错误帧的所述发送后所述总线最初成为空闲状态时,所述发送部进行所述正常帧的所述发送。
5.根据权利要求1~4中任一项所述的不正常检测电子控制单元,
所述发送部发送与已发送的错误帧的数量相同的正常帧。
6.根据权利要求1~4中任一项所述的不正常检测电子控制单元,
在正常帧的所述发送失败的情况下,所述发送部发送正常帧。
7.根据权利要求6所述的不正常检测电子控制单元,
所述发送部发送如下数量以上的正常帧,所述数量为:从已发送的所述错误帧的数量减去在所述错误帧的发送后从所述总线接收到不符合所述预定条件的正常帧的数量而得到的数量。
8.根据权利要求6所述的不正常检测电子控制单元,
在正常帧的所述发送失败的情况下,所述发送部发送在ID字段中示出比该正常帧的ID字段表示的ID小的值的ID的正常帧。
9.根据权利要求1~4中任一项所述的不正常检测电子控制单元,
所述发送部在错误帧的发送后将要发送的所述正常帧是数据字段的长度为零的数据帧。
10.根据权利要求1~4中任一项所述的不正常检测电子控制单元,
所述发送部在错误帧的发送后将要发送的所述正常帧的ID字段表示的ID是:在所述不正常检测电子控制单元以外的、与所述总线连接的任一个所述电子控制单元中均没有规定应识别该ID来进行的处理的ID。
11.根据权利要求1或2所述的不正常检测电子控制单元,
在从所述错误帧的发送后到正常帧的所述发送之前为止,在从所述总线接收到不符合所述预定条件的正常帧时,所述发送部抑制正常帧的所述发送。
12.根据权利要求1所述的不正常检测电子控制单元,
所述不正常检测电子控制单元与多条总线连接,并具有将从一方总线接收到的帧传送给另一方总线的功能,在接收到的该帧符合所述预定条件的情况下抑制该传送,
在由所述接收部接收到的帧符合所述预定条件的情况下,所述发送部在发送该帧的最末尾之前向接收到该帧的总线发送错误帧,在错误帧的发送后向该总线发送所述正常帧。
13.一种车载网络系统,具备遵循CAN协议即控制器局域网络协议并经由总线进行通信的多个电子控制单元和与该总线连接的不正常检测电子控制单元,
所述不正常检测电子控制单元具备:
接收部,接收向所述总线开始发送的帧;和
发送部,在由所述接收部接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧,
所述电子控制单元具备CAN控制器,所述CAN控制器包括接收错误计数器,并遵循CAN协议控制在所述总线上的通信,在来自所述总线的正常帧的接收成功的情况下,使所述接收错误计数器的值减少。
14.一种通信方法,是在具备多个电子控制单元的车载网络系统中使用的通信方法,所述多个电子控制单元遵循CAN协议即控制器局域网络协议并经由总线进行通信,所述通信方法包括:
接收步骤,接收向所述总线开始发送的帧;和
发送步骤,在所述接收步骤中接收到的帧符合表示不正常的预定条件的情况下,在发送该帧的最末尾之前向所述总线发送错误帧,在错误帧的发送后向所述总线发送作为遵循CAN协议的帧的正常帧。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015192327 | 2015-09-29 | ||
| JP2015-192327 | 2015-09-29 | ||
| JP2016-114879 | 2016-06-08 | ||
| JP2016114879A JP6836340B2 (ja) | 2015-09-29 | 2016-06-08 | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 |
| PCT/JP2016/004008 WO2017056395A1 (ja) | 2015-09-29 | 2016-09-02 | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107113214A CN107113214A (zh) | 2017-08-29 |
| CN107113214B true CN107113214B (zh) | 2020-09-18 |
Family
ID=58495433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680002239.XA Active CN107113214B (zh) | 2015-09-29 | 2016-09-02 | 不正常检测电子控制单元、车载网络系统以及通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10693905B2 (zh) |
| EP (1) | EP3358788B1 (zh) |
| JP (1) | JP6836340B2 (zh) |
| CN (1) | CN107113214B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6404848B2 (ja) * | 2016-03-15 | 2018-10-17 | 本田技研工業株式会社 | 監視装置、及び、通信システム |
| JP6718405B2 (ja) | 2017-03-31 | 2020-07-08 | 三菱重工業株式会社 | 情報提供装置、情報提供システム、情報提供方法及びプログラム |
| US11296970B2 (en) | 2017-06-23 | 2022-04-05 | Robert Bosch Gmbh | Method for detecting a disruption in a vehicle's communication system by checking for abnormalities in communication |
| DE202017104362U1 (de) | 2017-07-21 | 2017-08-07 | Robert Bosch Gmbh | Zeitstempeleinheit und Kommunikationssteuereinheit für eine Teilnehmerstation eines Kommunikationsnetzwerks |
| US10484425B2 (en) * | 2017-09-28 | 2019-11-19 | The Mitre Corporation | Controller area network frame override |
| JP6863227B2 (ja) * | 2017-10-26 | 2021-04-21 | トヨタ自動車株式会社 | 電子制御装置、通信管理方法、及びプログラム |
| JP7040993B2 (ja) * | 2018-04-27 | 2022-03-23 | 株式会社Soken | 電子制御装置 |
| WO2020090108A1 (ja) * | 2018-11-02 | 2020-05-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正制御防止システムおよび、不正制御防止方法 |
| CN109617756B (zh) * | 2018-11-23 | 2022-12-23 | 上海神添实业有限公司 | 一种用于高速数据用户线的智能化测试设备和测试方法 |
| IT201800021550A1 (it) * | 2018-12-31 | 2020-07-01 | Magneti Marelli Spa | "Procedimento di protezione da attacchi informatici al veicolo e corrispondente dispositivo" |
| JP7218234B2 (ja) * | 2019-04-11 | 2023-02-06 | 株式会社デンソーテン | 電子制御装置、および電子制御装置の制御方法 |
| CN109995632B (zh) * | 2019-05-16 | 2021-11-02 | 阳光电源股份有限公司 | 多机通信系统的通信方法、装置及系统 |
| EP3772839B1 (en) * | 2019-08-06 | 2023-01-04 | Nxp B.V. | Security module for a serial communications device |
| EP3772840B1 (en) | 2019-08-06 | 2023-03-15 | Nxp B.V. | A security module for a can node |
| EP3772841B1 (en) | 2019-08-06 | 2023-06-14 | Nxp B.V. | A security module for a can node |
| JP7147721B2 (ja) * | 2019-09-05 | 2022-10-05 | トヨタ自動車株式会社 | 車載通信装置及び通信方法 |
| FR3106421B1 (fr) * | 2020-01-17 | 2021-12-10 | Continental Automotive | Passerelle de communication de trames de données pour véhicule automobile |
| JP7247905B2 (ja) * | 2020-01-22 | 2023-03-29 | トヨタ自動車株式会社 | 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム |
| US11481283B2 (en) | 2020-01-28 | 2022-10-25 | Hyundai Motor Company | Systems and methods providing backup database for protecting messages on a CAN bus |
| GB2592924A (en) | 2020-03-10 | 2021-09-15 | Daimler Ag | Method for detecting a fraud device in a communication network of a vehicle |
| US11522872B2 (en) * | 2020-06-18 | 2022-12-06 | Nxp B.V. | CAN transceiver |
| JP7409247B2 (ja) * | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
| CN113347053B (zh) * | 2021-04-26 | 2022-04-15 | 江铃汽车股份有限公司 | 一种汽车can总线采样点测试方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4852043A (en) * | 1986-05-21 | 1989-07-25 | Hewlett-Packard Company | Daisy-chain bus system with truncation circuitry for failsoft bypass of defective sub-bus subsystem |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| CN104717201A (zh) * | 2013-12-12 | 2015-06-17 | 日立汽车系统株式会社 | 网络装置以及网络系统 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4092493A (en) * | 1976-11-30 | 1978-05-30 | Bell Telephone Laboratories, Incorporated | Speech recognition system |
| US5224096A (en) * | 1989-09-22 | 1993-06-29 | Hitachi, Ltd. | Frame strip method and apparatus therefor |
| US20050190037A1 (en) | 2002-11-08 | 2005-09-01 | Konami Sports Life Corporation | Locker system, locker, portable key device, locker locking and unlocking method, and machine readable medium storing thereon computer program |
| JP4290410B2 (ja) | 2002-11-08 | 2009-07-08 | 株式会社コナミスポーツ&ライフ | ロッカーシステム、ロッカー、携帯キー装置、ロッカー施錠及び開錠方法、及びコンピュータプログラム |
| JP2004363761A (ja) * | 2003-06-03 | 2004-12-24 | Nissan Motor Co Ltd | データ通信方法 |
| JP3991927B2 (ja) * | 2003-06-12 | 2007-10-17 | 株式会社デンソー | 盗難防止システム |
| JP4457041B2 (ja) * | 2005-05-20 | 2010-04-28 | 株式会社日立製作所 | ベリファイ処理方法及び光ディスク装置 |
| JP5717240B2 (ja) * | 2010-08-09 | 2015-05-13 | 国立大学法人名古屋大学 | 通信システム及び通信装置 |
| US8934351B2 (en) | 2011-03-24 | 2015-01-13 | Fujitsu Ten Limited | Communication apparatus and communication system |
| JP5671389B2 (ja) | 2011-03-24 | 2015-02-18 | 富士通テン株式会社 | 通信装置および通信システム |
| JP5770602B2 (ja) * | 2011-10-31 | 2015-08-26 | トヨタ自動車株式会社 | 通信システムにおけるメッセージ認証方法および通信システム |
| US9479275B2 (en) * | 2012-06-01 | 2016-10-25 | Blackberry Limited | Multiformat digital audio interface |
| AU2013270397B2 (en) * | 2012-06-01 | 2015-11-12 | Blackberry Limited | Universal synchronization engine based on probabilistic methods for guarantee of lock in multiformat audio systems |
| JP2014236248A (ja) | 2013-05-30 | 2014-12-15 | 日立オートモティブシステムズ株式会社 | 電子制御装置、電子制御システム |
| JP6200734B2 (ja) * | 2013-09-06 | 2017-09-20 | 日立オートモティブシステムズ株式会社 | 通信制御装置 |
| EP2849064B1 (en) | 2013-09-13 | 2016-12-14 | NTT DOCOMO, Inc. | Method and apparatus for network virtualization |
| WO2015151418A1 (ja) * | 2014-04-03 | 2015-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法 |
| EP3229410B1 (en) * | 2014-12-01 | 2018-04-18 | Panasonic Intellectual Property Corporation of America | Illegality detection electronic control unit, car onboard network system, and illegality detection method |
-
2016
- 2016-06-08 JP JP2016114879A patent/JP6836340B2/ja active Active
- 2016-09-02 CN CN201680002239.XA patent/CN107113214B/zh active Active
- 2016-09-02 EP EP16850576.6A patent/EP3358788B1/en active Active
-
2018
- 2018-01-25 US US15/879,962 patent/US10693905B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4852043A (en) * | 1986-05-21 | 1989-07-25 | Hewlett-Packard Company | Daisy-chain bus system with truncation circuitry for failsoft bypass of defective sub-bus subsystem |
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| CN103999410A (zh) * | 2011-12-22 | 2014-08-20 | 丰田自动车株式会社 | 通信系统及通信方法 |
| CN104717201A (zh) * | 2013-12-12 | 2015-06-17 | 日立汽车系统株式会社 | 网络装置以及网络系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017069941A (ja) | 2017-04-06 |
| EP3358788A1 (en) | 2018-08-08 |
| US10693905B2 (en) | 2020-06-23 |
| CN107113214A (zh) | 2017-08-29 |
| EP3358788A4 (en) | 2018-08-08 |
| EP3358788B1 (en) | 2019-01-30 |
| US20180152472A1 (en) | 2018-05-31 |
| JP6836340B2 (ja) | 2021-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107113214B (zh) | 不正常检测电子控制单元、车载网络系统以及通信方法 | |
| US11595422B2 (en) | Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus | |
| CN111934966B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| US11943233B2 (en) | Vehicle communication apparatus, in-vehicle network system, and vehicle communication method | |
| CN108028784B (zh) | 不正常检测方法、监视电子控制单元以及车载网络系统 | |
| CN106031098B (zh) | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 | |
| US20190141070A1 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
| KR102030397B1 (ko) | 네트워크 감시 장치 | |
| US20180219832A1 (en) | Security apparatus, attack detection method, and storage medium | |
| US11838303B2 (en) | Log generation method, log generation device, and recording medium | |
| JP6558703B2 (ja) | 制御装置、制御システム、及びプログラム | |
| US11516045B2 (en) | Anomaly determination method, anomaly determination device, and recording medium | |
| US11336618B2 (en) | Security apparatus, attack detection method, and storage medium | |
| WO2018168291A1 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| CN110546921A (zh) | 不正当检测方法、不正当检测装置以及程序 | |
| CN108632242B (zh) | 通信装置及接收装置 | |
| JP2019172261A (ja) | 制御装置、制御システム、及び制御プログラム | |
| WO2017056395A1 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 | |
| WO2018020833A1 (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム | |
| CN117749555A (zh) | 控制器区域网络系统和用于系统的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |