CN107615714A - 通信装置及通信限制程序 - Google Patents
通信装置及通信限制程序 Download PDFInfo
- Publication number
- CN107615714A CN107615714A CN201680028147.9A CN201680028147A CN107615714A CN 107615714 A CN107615714 A CN 107615714A CN 201680028147 A CN201680028147 A CN 201680028147A CN 107615714 A CN107615714 A CN 107615714A
- Authority
- CN
- China
- Prior art keywords
- register
- mode
- write
- message
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
提供一种能够抑制由于非法程序的注入而向网络发送非法报文的通信装置及通信限制程序。ECU(1)具备:CAN控制器(15),具有对与其他ECU(1)的通信有关的值进行存储的寄存器组(16);及处理部(10),对该寄存器组(16)进行值的写入及读取而进行通信处理。ECU(1)进行全控制模式与限制模式之间的切换,该全控制模式是能够对CAN控制器(15)的寄存器组(16)进行写入及读取的模式,该限制模式是限制了对寄存器组(16)中的一部分寄存器进行写入及读取的模式。ECU(1)将从启动起的预定期间设为全控制模式,在经过预定期间之后进行从全控制模式向限制模式的切换。在切换到限制模式之后,ECU(1)不会切换到全控制模式。
Description
技术领域
本发明涉及防止对网络发送非法报文的通信装置及通信限制程序。
背景技术
近年来,在车辆上搭载的ECU(Electronic Control Unit:电子控制单元)高功能化,伴随于此,在ECU中执行的程序也复杂化。此外,在车辆上搭载多个ECU,这些多个ECU经由CAN(Controller Area Network:控制器局域网)等网络而连接。多个ECU一边经由网络交换信息一边进行处理。
在专利文献1中,记载了如下的CAN系统:当CAN系统的第一节点在帧的接收上失败而成为错误被动状态的情况下发送重发请求帧,存储第二节点对CAN总线所发送的帧,并将被请求重发的帧重发给第一节点,从而起到提高容错性的目的。
在专利文献2中,记载了如下的通信系统:CAN控制器计测从帧的输入起到开始向CAN总线发送为止的发送等待时间,在该帧中包括与发送等待时间有关的信息而进行发送,且接收到该帧的CAN控制器根据发送等待时间而决定应执行的处理,从而起到防止帧在接收侧产生误动作的目的。
现有技术文献
专利文献
专利文献1:日本特开2014-86812号公报
专利文献2:日本特开2011-103577号公报
非专利文献
非专利文献1:K.Koscher,A.Czeskis,F.Roesner,S.Patel,T.Kohno,S.Checkoway,D.McCoy,B.Kantor,D.Anderson,H.Shacham,and S.Savage.Experimentalsecurity analysis of a modern automobile.In Proc.of the IEEE Symposium onSecurity and Privacy,pages 447-462,2010.
发明内容
发明要解决的课题
但是,在非专利文献1中,报告了通过对ECU注入非法程序而能够对车辆内的网络进行非法的报文发送。通过基于非法程序进行非法的报文发送,存在在连接到网络的其他ECU中发生误动作等的顾虑。对于这样的非法的报文发送,专利文献1中记载的CAN系统及专利文献2中记载的通信系统不能成为有效的对策。
本发明是鉴于这样的情况而完成的,其目的在于,提供能够抑制由于非法程序的注入而向网络发送非法报文的通信装置及通信限制程序。
用于解决课题的手段
本发明的通信装置具备:通信部,具有对与其他装置的通信有关的值进行存储的多个寄存器;及处理部,对该通信部的寄存器进行值的写入及读取而进行通信处理,所述通信装置的特征在于,对所述多个寄存器中的一部分寄存器的值的写入或读取被限制。
此外,本发明的通信装置的特征在于,具备对第一模式和第二模式进行切换的切换部,该第一模式是能够对所述多个寄存器进行值的写入及读取的模式,该第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式。
此外,本发明的通信装置的特征在于,所述切换部在进行了从所述第一模式向所述第二模式的切换之后,不进行从所述第二模式向所述第一模式的切换。
此外,本发明的通信装置的特征在于,所述切换部将从本装置启动起的预定期间设为所述第一模式,在经过所述预定期间之后进行从所述第一模式向所述第二模式的切换,在该切换后,不进行从所述第二模式向所述第一模式的切换。
此外,本发明的通信装置的特征在于,具备存储部,该存储部存储有向所述第二模式中写入被限制的寄存器写入值的程序,所述处理部在本装置启动后执行所述程序,所述切换部将所述处理部执行所述程序的期间作为所述预定期间而进行切换。
此外,本发明的通信装置的特征在于,所述多个寄存器中包括存储所述通信部向其他装置发送的报文的多个发送报文存储用寄存器,在所述第二模式中,限制对所述多个发送报文存储用寄存器中的一个或多个发送报文存储用寄存器的写入。
此外,本发明的通信装置的特征在于,所述多个寄存器中包括对所述通信部发送存储于所述发送报文存储用寄存器中的报文的周期的设定进行存储的发送周期设定用寄存器,通信装置具备管制部,该管制部对以比存储于该所述发送周期设定用寄存器中的周期的设定短的周期的报文发送进行管制。
此外,本发明的通信装置的特征在于,在所述报文中包含用于识别该报文的识别信息,所述多个寄存器中包括对许可向该发送报文存储用寄存器存储的识别信息的设定进行存储的识别信息设定用寄存器,通信装置具备限制部,该限制部限制存储于所述识别信息设定用寄存器中的识别信息以外的报文向所述发送报文存储用寄存器存储。
此外,本发明的通信装置的特征在于,还具备接收与所述第一模式和所述第二模式的切换有关的操作的操作接收部,所述切换部根据所述操作接收部接收到的操作而进行切换。
此外,本发明的通信装置的特征在于,还具备连接外部装置的连接部,所述操作接收部经由所述连接部而接收对连接于所述连接部的外部装置进行的操作。
此外,本发明的通信装置的特征在于,还具备在与连接于所述连接部的外部装置之间进行认证处理的认证处理部,在所述认证处理部的认证处理成功的情况下,所述操作接收部进行操作接收。
此外,本发明的通信装置具备:通信部,具有对与其他装置的通信有关的值进行存储的多个寄存器;及处理部,对该通信部的寄存器进行值的写入及读取而进行通信处理,所述通信装置的特征在于,具备对第一模式和第二模式进行切换的切换部,该第一模式是能够对所述多个寄存器进行值的写入及读取的模式,该第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式,所述处理部对所述第二模式中写入被限制的寄存器写入值,在对该寄存器写入值之后,由所述切换部进行从所述第一模式向所述第二模式的切换。
此外,本发明的通信限制程序的特征在于,使具备通信部、处理部及对第一模式和第二模式进行切换的切换部的通信装置作为对所述第二模式中写入被限制的寄存器写入值的单元及在对该寄存器写入值之后由所述切换部进行从所述第一模式向所述第二模式的切换的单元而动作,所述通信部具有对与其他装置的通信有关的值进行存储的多个寄存器,所述处理部对该通信部的寄存器进行值的写入及读取而进行通信处理,所述第一模式是能够对所述多个寄存器进行值的写入及读取的模式,所述第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式。
在本发明中,通信装置具备:通信部,具有对与其他装置的通信有关的值进行存储的多个寄存器;及处理部,对该寄存器进行值的写入及读取而进行通信处理。例如,在进行基于CAN协议的通信的通信装置的情况下,能够将通信部设为CAN控制器,将处理部设为CPU(Central Processing Unit:中央处理单元)等。但是,本发明的应用并不限定于CAN协议,还能够应用于除此以外的有线或无线的各种通信协议。
在本发明中,进行能够对通信部的寄存器进行写入及读取的第一模式和限制了对这些寄存器中的一部分寄存器进行写入及读取的第二模式之间的切换。将从通信装置启动起的预定期间设为第一模式,在经过预定期间之后进行从第一模式向第二模式的切换。在切换到第二模式之后,不切换到第一模式。
这样,在从通信装置启动起经过预定期间之后,成为对通信部的一部分寄存器的写入及读取受到了限制的状态。通过限制这样的与通信有关的资源的使用,能够限制由于注入到通信装置的非法程序而非法使用通信资源。
此外,在本发明中,通信装置具有:第一存储部,存储有在通信装置启动后由处理部执行的第一程序;及第二存储部,存储有在执行第一程序后由处理部执行的第二程序。第一模式与第二模式之间的切换通过将处理部执行第一程序的期间作为上述的预定期间来进行。即,第一程序的执行以第一模式进行,第二程序的执行以第二模式进行。这样,能够将对通信部的寄存器的使用没有限制的第一模式下的动作限定于在第一存储部中存储的第一程序的执行期间。即使是在第二存储部中注入了非法程序的情况下,在第二存储部中存储的非法程序的执行也以通信部的寄存器的使用受到了限制的第二模式来进行。
此外,在本发明中,将第一存储部设为不能改写存储内容的结构。例如,使用掩模ROM(Read Only Memory:只读存储器)等不能改写的存储器元件来构成第一存储部。由此,在第一存储部中不能注入非法程序,非法程序不能以第一模式来执行。
此外,在本发明中,通过第一程序的执行,进行将在第二模式中限制写入及读取的寄存器设为哪一个的设定。由此,能够将在第二模式中限制使用的寄存器设定为适合本装置的处理内容等的寄存器,且将限制使用的寄存器设为可变,从而能够提高通信部的通用性。
此外,在本发明中,通信部的多个寄存器中包括用于存储向其他装置发送的报文的多个发送报文存储用寄存器。处理部通过在通信部的发送报文存储用寄存器中存储向其他装置发送的报文,能够进行该报文的发送。在第二模式中,限制对多个发送报文存储用寄存器中的一个或多个进行写入及读取。由此,能够限制由于非法程序而使用发送报文存储用寄存器,能够限制非法的报文发送。
此外,在本发明中,通信部的多个寄存器中包括对通信部发送存储在发送报文存储用寄存器中的报文的周期的设定进行存储的发送周期设定用寄存器。以比在发送周期设定用寄存器中设定的周期短的周期来进行通信部的报文发送被限制,而只能以比设定的周期长的周期来进行。由此,能够确定通信装置的报文发送的最低周期,能够防止非法程序以比该周期短的周期频繁地重复报文发送。
此外,在本发明中,在通信装置发送接收的报文中包含识别该报文的识别信息。识别信息能够设为例如在CAN协议中对报文附加的CAN-ID。通信部的多个寄存器中包括对与许可向发送报文存储用寄存器存储的报文的识别信息有关的设定进行存储的识别信息设定用寄存器。对通信部的发送报文存储用寄存器进行的报文的存储仅限定于附有在识别信息设定用寄存器中设定的识别信息的报文,而限制附有除此以外的识别信息的报文的存储。由此,能够根据识别信息来限制通信装置发送的报文的类别等,能够防止非法程序发送附加了非法识别信息的报文。
此外,在本发明中,在进行了明确的模式切换的操作的情况下,进行第一模式与第二模式之间的切换。这样,例如,在车辆的测试、制造或维护等时能够对寄存器进行值的写入。
此外,在本发明中,在通信装置中设置能够连接外部装置的连接部。在外部装置中设置开关或触摸面板等的操作部,能够进行与通信装置的模式切换有关的操作。通信装置能够经由连接部而接收在外部装置中进行的操作,并根据所接收到的操作而进行模式切换。
此外,在本发明中,在通信装置与外部装置之间进行认证处理。通信装置只有在认证处理成功的情况下,才进行与模式切换有关的操作的接收。这样,连接于连接部的外部装置难以改写寄存器的值。
发明效果
在本发明的情况下,通过限制与其他装置进行报文的发送接收的通信部的寄存器的使用,能够抑制由于非法程序的注入而向网络发送非法报文。
附图说明
图1是表示本实施方式的通信系统的结构的框图。
图2是表示寄存器组的一结构例的示意图。
图3是表示ECU的处理部在启动时进行的处理的顺序的流程图。
图4是表示ECU的CAN控制器进行的模式切换处理的顺序的流程图。
图5是表示CAN控制器进行的限制处理的顺序的流程图。
图6是表示CAN控制器进行的限制处理的顺序的流程图。
图7是表示CAN控制器进行的限制处理的顺序的流程图。
图8是表示实施方式2的通信系统的结构的框图。
图9是表示实施方式2的ECU进行的模式切换处理的顺序的流程图。
具体实施方式
(实施方式1)
以下,基于表示本发明的实施方式的附图来具体说明本发明。图1是表示本实施方式的通信系统的结构的框图。本实施方式的通信系统是如下结构:在未图示的车辆上搭载的多个ECU(通信装置)1连接到CAN总线2,多个ECU1经由该CAN总线2进行通信。另外,由于多个ECU1关于通信功能是大致相同的结构,所以在图1中对一个ECU1表示详细结构,对其他ECU1省略详细结构的图示。
ECU1具备处理部10、掩模ROM(第一存储部)11、EEPROM(第二存储部)12、RAM13、输入输出部14及CAN控制器(通信部)15等而构成。处理部10使用CPU(Central ProcessingUnit)或MPU(Micro-Processing Unit:微处理单元)等运算处理装置而构成。处理部10通过读取在掩模ROM11中存储的启动程序11a及在EEPROM12中存储的应用程序12a等而执行,进行各种运算处理及控制处理等。
掩模ROM11是不能改写所存储的信息(程序及数据等)的非易失性的存储器元件。在本实施方式中,在掩模ROM11中预先存储有处理部10执行的启动程序11a。启动程序11a是在ECU1启动后由处理部10最初执行的程序。处理部10通过执行启动程序11a,进行ECU1具有的硬件及软件的资源的初始化及动作条件的设定等处理。另外,ECU1的启动包括:开始对ECU1供给电力,例如进行上电复位的解除等而开始各部的动作;及例如通过用户对复位开关等进行操作而将ECU1的动作初始化,之后复位被解除而开始各部的动作(所谓的重新启动)等。
EEPROM12是能够进行数据改写的非易失性的存储器元件。在本实施方式中,在EEPROM12中,存储有处理部10执行的应用程序12a。应用程序12a是进行用于实现各ECU1所特有的功能的处理的程序,例如,能够通过版本升级或缺陷的修正等而改写程序的一部分或全部。处理部10在启动后进行启动程序11a的处理,之后进行应用程序12a的处理。
RAM13例如是SRAM(Static Random Access Memory:静态随机存取存储器)或DRAM(Dynamic Random Access Memory:动态随机存取存储器)等易失性的存储器元件。RAM13临时存储在处理部10的处理过程中产生的各种数据。
输入输出部14进行例如从在车辆上搭载的各种传感器3等输入的信号的接收及对于各种致动器4等的控制信号等的输出等。输入输出部14经由信号线分别与传感器3及致动器4等连接,经由该信号线进行信号的输入输出。输入输出部14例如对来自传感器3的模拟的输入信号进行采样而变换为数字的数据并提供给处理部10。此外,输入输出部14根据从处理部10提供的控制命令,输出对于致动器4的控制信号。另外,ECU1不需要具备与传感器3及致动器4等之间的信号输入输出的两个功能,可以只具备输入或输出中的任一个的功能,也可以不具备输入输出的功能。
CAN控制器15根据处理部10的控制,与在车辆上搭载的其他ECU1之间进行经由CAN总线2的报文的发送接收。CAN控制器15通过例如将从处理部10提供的发送用的报文作为基于CAN协议的显性/隐性(Dominant/Recessive)的2值信号而输出给CAN总线2,从而进行报文的发送。CAN控制器15通过对CAN总线2的电位进行采样而取得CAN总线2上的信号,进行报文的接收。处理部10能够取得CAN控制器15接收到的报文而进行处理。此外,CAN控制器15进行向CAN总线2发送报文的冲突检测及发生了冲突的情况下的报文发送顺序的仲裁处理等。
此外,本实施方式的CAN控制器15具有寄存器组16。图2是表示寄存器组16的一结构例的示意图。本实施方式的CAN控制器15具有的寄存器组16例如包括模式寄存器、发送请求寄存器1~4、发送取消寄存器1~4、发送完成寄存器1~4、发送取消完成寄存器1~4、接收完成寄存器1~4、发送报文存储用寄存器1~4、发送许可设定用寄存器1~4、发送周期设定用寄存器1~4、发送识别信息设定用寄存器1~4、接收报文存储用寄存器1~4、接收许可设定用寄存器1~4及接收识别信息设定用寄存器1~4等多个寄存器。另外,图2所示的寄存器是一例,但并不限定于此,CAN控制器15可以具有未图示的各种寄存器,也可以不具有图示的寄存器中的若干个。此外,在图2中,将能够对寄存器仅进行读取表示为“能够R”,将能够进行读取及写入表示为“能够R/W”,将不能进行读取及写入表示为“不能R/W”。
CAN控制器15的寄存器组16对各寄存器附加一维的地址。在图示的例中,以16进制数对各寄存器附加0x000~0x030的地址。处理部10通过指定地址而对CAN控制器15提供读取命令,能够进行在通过地址所指定的寄存器中存储的值的读取。此外,处理部10通过指定地址及数据而对CAN控制器15提供写入命令,能够对通过地址所指定的寄存器进行数据的写入。但是,在本实施方式中,存在对寄存器仅进行值的读取被许可的情况及对寄存器进行读取及写入都未被许可的情况,关于对这样的寄存器进行的读取命令或写入命令,CAN控制器15向处理部10通知错误。
此外,本实施方式的CAN控制器15以全控制模式及限制模式这两种动作模式进行动作。全控制模式是处理部10能够对寄存器组16的全部寄存器进行访问(对仅能够读取的寄存器为读取、对能够读取及写入的寄存器为读取及写入)的模式。相对于此,限制模式是对寄存器组16的一部分寄存器限制处理部10的访问(不能进行处理部10的访问)而只能向被许可的寄存器进行访问的模式。在ECU1启动之后,即在CAN控制器15启动之后,CAN控制器15立即以全控制模式进行动作。
寄存器组16的模式寄存器是用于进行CAN控制器15的动作模式的切换的寄存器。通过处理部10对模式寄存器写入预定的值,CAN控制器15的动作模式从全控制模式切换为限制模式。此外,在限制模式中,不能对模式寄存器进行值的写入。因此,处理部10虽然能够将CAN控制器15的动作模式从全控制模式切换为限制模式,但不能从限制模式切换为全控制模式。
CAN控制器15具有用于存储向其他ECU1发送的报文的4个寄存器(发送报文存储用寄存器1~4)。处理部10通过对发送报文存储用寄存器1~4中的任一个写入报文,进而对对应的发送请求寄存器1~4写入发送请求,从而能够使CAN控制器15进行报文发送。此外,处理部10通过对对应的发送取消寄存器1~4写入取消请求,而能够在报文发送完成前取消发送。
寄存器组16的发送完成寄存器1~4及取消完成寄存器1~4是CAN控制器15写入值的寄存器。CAN控制器15根据处理部10的发送请求而进行报文发送,在完成了发送的情况下对对应的发送完成寄存器1~4写入表示发送完成的值。此外,CAN控制器15根据处理部10的取消请求而中断报文发送,在中断成功的情况下对取消完成寄存器1~4写入表示取消完成的值。但是,在不能中断报文发送的情况下,CAN控制器15对取消完成寄存器1~4写入表示取消失败的值。处理部10通过读取发送完成寄存器1~4及取消完成寄存器1~4的值,能够确认对于发送请求及取消请求的处理结果。
此外,在本实施方式中,4个发送报文存储用寄存器1~4虽然在全控制模式下的动作时处理部10能够使用全部,但在限制模式下的动作时其一部分的使用受到限制。寄存器组16的发送许可设定用寄存器1~4是用于对关于各发送报文存储用寄存器1~4是否许可限制模式下的使用的设定进行存储的寄存器。当CAN控制器15在全控制模式下进行动作时,处理部10通过对发送许可设定用寄存器1~4中的任一个写入不许可寄存器的使用的值,在切换到限制模式之后不能对对应的发送报文存储用寄存器1~4进行读取及写入。发送许可设定用寄存器1~4虽然在全控制模式中能够进行读取及写入,但在限制模式中不能进行读取及写入,不能变更设定。
例如,本实施方式的ECU1对发送许可设定用寄存器1写入许可使用的信息,对发送许可设定寄存器2~4写入不许可使用的信息。由此,在从全控制模式切换到限制模式之后,ECU1虽然能够进行使用了发送报文存储用寄存器1的报文发送,但不能进行使用了发送报文存储用寄存器2~4的报文发送。
此外,在本实施方式中,CAN控制器15对应每个发送报文存储用寄存器1~4确定能够进行在发送报文存储用寄存器1~4中存储的报文的发送的周期。CAN控制器15在结束了前一次的报文发送之后经过确定的预定期间(最低发送间隔)为止,不接收与对应的发送报文存储用寄存器1~4有关的来自处理部10的发送请求。寄存器组16的发送周期设定用寄存器1~4是关于各发送报文存储用寄存器1~4用于将该预定期间作为发送周期来存储设定的寄存器。在CAN控制器15以全控制模式进行动作时,通过处理部10对发送周期设定用寄存器1~4中的任一个写入发送周期的设定,实施如上所述的基于发送周期的报文发送的限制。另外,CAN控制器15可以与动作模式无关地进行基于被设定的发送周期的报文发送的限制,也可以只在限制模式中进行限制。发送周期设定用寄存器1~4虽然能够在全控制模式中进行读取及写入,但在限制模式中不能进行写入,不能变更设定。另外,发送周期设定用寄存器1~4也可以在限制模式中除了限制写入之外还限制读取。
例如,本实施方式的ECU1对发送周期设定用寄存器1写入将发送周期设为100ms的设定。另外,在不许可发送报文存储用寄存器2~3的使用的情况下,可以不进行发送周期设定用寄存器2~4的设定。在切换到限制模式之后,CAN控制器15在每次进行发送时通过内部的定时器功能而对从发送起的经过时间进行计时,直到从前一次的报文发送起经过设定的100ms为止,不接收来自处理部10的发送请求。另外,CAN控制器15能够对应每个发送报文存储用寄存器1~4单独进行经过时间的计时。
此外,在本实施方式中,4个发送报文存储用寄存器1~4对应每个发送报文存储用寄存器1~4确定能够存储的报文的CAN-ID。CAN控制器15在从处理部10提供了向发送报文存储用寄存器1~4写入报文的请求的情况下,只有在报文中包含的CAN-ID为对想要写入的发送报文存储用寄存器1~4确定的CAN-ID的情况下,才将从处理部10提供的报文写入到发送报文存储用寄存器1~4。寄存器组16的发送识别信息设定用寄存器1~4是用于设定在对应的发送报文存储用寄存器1~4中能够存储的报文的CAN-ID的寄存器。在CAN控制器15以全控制模式进行动作时,通过处理部10对发送识别信息设定用寄存器1~4中的任一个写入CAN-ID的设定,实施如上所述的基于CAN-ID的报文存储的限制。另外,CAN控制器15可以与动作模式无关地进行基于被设定的CAN-ID的报文存储的限制,也可以只在限制模式中进行限制。发送识别信息设定用寄存器1~4虽然在全控制模式中能够进行读取及写入,但在限制模式中不能进行读取及写入,不能变更设定。
例如,本实施方式的ECU1对发送识别信息设定用寄存器1作为CAN-ID而写入“0010”的值。另外,在不许可发送报文存储用寄存器2~4的使用的情况下,可以不进行发送识别信息设定用寄存器2~4的设定。在切换到限制模式之后,CAN控制器15在从处理部10提供了对发送报文存储用寄存器1写入报文的请求的情况下,只有在对该报文附加的CAN-ID为“0010”的情况下,才在发送报文存储用寄存器1中存储报文。
此外,CAN控制器15具有用于存储从其他ECU1接收到的报文的4个寄存器(接收报文存储用寄存器1~4)。CAN控制器15在从其他ECU1接收到报文的情况下,对该接收报文存储用寄存器1~4中的任一个写入报文且对对应的接收完成寄存器1~4写入表示接收完成的信息。处理部10通过定期读取接收完成寄存器1~4的值并进行验证,判定是否接收到其他ECU1~的报文,在接收到报文的情况下,能够从接收报文存储用寄存器1~4读取报文。
此外,在本实施方式中,4个接收报文存储用寄存器1~4虽然在全控制模式下的动作时处理部10能够使用全部,但在限制模式下的动作时其一部分的使用受到限制。寄存器组16的接收许可设定用寄存器1~4是用于对关于各接收报文存储用寄存器1~4是否许可限制模式下的使用的设定进行存储的寄存器。当CAN控制器15在全控制模式下进行动作时,通过对接收许可设定用寄存器1~4中的任一个写入不许可寄存器的使用的值,在切换到限制模式之后不能对对应的接收报文存储用寄存器1~4进行读取及写入。接收许可设定用寄存器1~4虽然在全控制模式中能够进行读取及写入,但在限制模式中不能进行写入,不能变更设定。另外,接收许可设定用寄存器1~4在限制模式中,也可以除了限制写入之外还限制读取。
例如,本实施方式的ECU1对接收许可设定用寄存器1、2写入许可使用的信息,对接收许可设定寄存器3、4写入不许可使用的信息。由此,在从全控制模式切换到限制模式之后,ECU1虽然能够进行使用了接收报文存储用寄存器1、2的报文接收,但不能进行使用了接收报文存储用寄存器3、4的报文接收。
此外,在本实施方式中,4个接收报文存储用寄存器1~4对应每个报文存储用寄存器1~4确定能够存储的报文的CAN-ID。CAN控制器15在接收到来自其他ECU1的报文的情况下,只有在接收报文中包含的CAN-ID为对接收报文存储用寄存器1~4确定的CAN-ID的情况下,才将该接收报文写入到对应的接收报文存储用寄存器1~4。寄存器组16的接收识别信息设定用寄存器1~4是用于设定在对应的接收报文存储用寄存器1~4中能够存储的报文的CAN-ID的寄存器。在CAN控制器15以全控制模式进行动作时,通过处理部10对接收识别信息设定用寄存器1~4中的任一个写入CAN-ID的设定,实施如上所述的基于CAN-ID的报文存储的限制。另外,CAN控制器15可以与动作模式无关地进行基于被设定的CAN-ID的报文存储的限制,也可以只在限制模式中进行限制。接收识别信息设定用寄存器1~4虽然能够在全控制模式中进行读取及写入,但在限制模式中不能进行读取及写入,不能变更设定。
例如,本实施方式的ECU1对接收识别信息设定用寄存器1作为CAN-ID而写入“0012”的值,对接收识别信息设定用寄存器2写入“0020”的值。另外,在不许可接收报文存储用寄存器3、4的使用的情况下,也可以不进行接收识别信息设定用寄存器3、4的设定。在切换到限制模式之后CAN控制器15接收到来自其他ECU1的报文的情况下,只有在接收报文中包含的CAN-ID为“0012”或“0020”的情况下,才将报文存储在接收报文存储用寄存器1、2中。在接收到这些以外的CAN-ID的报文的情况下,CAN控制器15废弃接收报文。
这样,本实施方式的CAN控制器15在限制模式中限制对寄存器组16进行访问。在ECU1启动之后,CAN控制器15立即以全控制模式开始动作。此时,处理部10读取在掩模ROM11中存储的启动程序11a并执行。此时执行启动程序11a的处理部10能够无限制地对CAN控制器15的寄存器16进行访问。启动程序11a是用于进行ECU1的初始设定等的程序,通过执行该启动程序11a,处理部10向对于CAN控制器15的寄存器组16的访问限制进行条件设定。即,通过启动程序11a的执行,处理部10进行对于发送许可设定寄存器1~4的可否使用发送报文存储用寄存器1~4的设定、对于发送周期设定用寄存器1~4的发送周期的设定、对于发送识别信息设定用寄存器1~4的CAN-ID的设定、对于接收许可设定寄存器1~4的可否使用接收报文存储用寄存器1~4的设定及对于接收识别信息设定用寄存器1~4的CAN-ID的设定等。
在结束了对于这些寄存器的设定之后,执行启动程序11a的处理部10对模式寄存器进行写入而将CAN控制器15的动作模式从全控制模式切换为限制模式。在完成向限制模式的切换之后,处理部10结束启动程序11a的执行,开始执行在EEPROM12中存储的应用程序12a。在应用程序12a的执行中,由于CAN控制器15以限制模式进行动作,所以限制对寄存器组16进行访问。CAN控制器15在切换到限制模式之后,不能切换到全控制模式。例如,只有在ECU1成为了电源断开状态之后再次接通了电源的情况下,或在进行复位操作等而被重新启动的情况下等,CAN控制器15才成为全控制模式。
因此,启动程序11a也可以预先适当地生成为设定寄存器组16的访问限制的条件,使得能够使用应用程序12a的执行所需的寄存器且不能使用执行所不需要的寄存器。
另外,在本实施方式中,通过处理部10对模式寄存器进行写入,CAN控制器15进行了从全控制模式向限制模式的切换,但并不限定于此。例如,CAN控制器15也可以对从启动起的经过时间(例如,时钟数等)进行计时,在经过了预定时间的情况下,即使处理部10没有对模式寄存器进行写入,也强制性地从全控制模式切换为限制模式。此时,成为切换的判断基准的预定时间例如能够设定启动程序11a的执行所需的时间。但是,预定时间可以与启动程序11a的执行时间无关地决定,此时,直至模式切换为止的预定时间作为对于启动程序11a的生成的制约条件来发挥作用。
图3是表示ECU的处理部10在启动时进行的处理的顺序的流程图。本实施方式的ECU1的处理部10通过进行ECU1的启动或重新启动等,例如进行基于复位IC等的上电复位,之后通过上电复位被解除(步骤S1),开始处理。首先,处理部10读取在掩模ROM11中存储的启动程序11a而开始执行(步骤S2)。执行启动程序11a的处理部10通过对CAN控制器15的寄存器组16中包含的发送许可设定寄存器1~4、发送周期设定用寄存器1~4、发送识别信息设定用寄存器1~4、接收许可设定寄存器1~4及接收识别信息设定用寄存器1~4进行设定值的写入,而设定对于寄存器组16的访问限制的条件(步骤S3)。
在完成了访问限制的条件设定之后,执行启动程序11a的处理部10通过对CAN控制器15的寄存器组16中包含的模式寄存器进行写入,进行从全控制模式向限制模式的模式切换(步骤S4)。在CAN控制器15的模式切换完成后,处理部10结束启动程序11a的执行,读取在EEPROM12中存储的应用程序12a而开始执行(步骤S5),并结束启动时的处理。
图4是表示ECU1的CAN控制器15进行的模式切换处理的顺序的流程图。本实施方式的ECU1的CAN控制器15通过进行ECU1的启动或重新启动等,例如进行基于复位IC等的上电复位,之后通过上电复位被解除(步骤S11),开始处理。CAN控制器15通过在内部具有的定时器功能等,开始从启动起的经过时间的计时(步骤S12)。此外,启动后的CAN控制器15以全控制模式进行动作(步骤S13)。
CAN控制器15基于是否对寄存器组16的模式寄存器写入了向限制模式的切换的值,判定是否从处理部10提供了模式切换的指示(步骤S14)。在没有提供模式切换的指示的情况下(S14:“否”),CAN控制器15进一步判定在步骤S12中开始了计时的从启动起的经过时间是否经过了预定时间(步骤S15)。在从启动起没有经过预定时间的情况下(S15:“否”),CAN控制器15将处理返回到步骤S13,继续进行全控制模式下的动作。
在提供了模式切换的指示的情况下(S14:“是”),或在从启动起经过了预定时间的情况下(S15:“是”),CAN控制器15进行从全控制模式向限制模式的切换(步骤S16)。此外,CAN控制器15结束在步骤S12中开始的计时(步骤S16)。之后,CAN控制器15继续进行限制模式下的动作(步骤S18)。
图5是表示CAN控制器15进行的报文发送请求时的限制处理的顺序的流程图,是基于CAN-ID的限制处理。CAN控制器15判定是否从处理部10提供了对寄存器组16的发送报文存储用寄存器1~4中的任一个写入报文的请求(步骤S21)。在没有提供报文的写入请求的情况下(S21:“否”),CAN控制器15待机至提供写入请求为止。在提供了报文的写入请求的情况下(S21:“是”),CAN控制器15判定自身的动作模式是否为限制模式(步骤S22)。
在动作模式为限制模式的情况下(S22:“是”),CAN控制器15验证与被请求了写入的发送报文存储用寄存器1~4对应的发送许可设定寄存器1~4的值(步骤S23)。基于步骤S23的结果,CAN控制器15判定是否许可被请求了写入的发送报文存储用寄存器1~4的使用(步骤S24)。在没有许可使用的情况下(S24:“否”),CAN控制器15对处理部10通知错误(步骤S29),将处理返回到步骤S21。
在发送报文存储用寄存器1~4的使用被许可的情况下(S24:“是”),CAN控制器15取得在从处理部10提供的报文中包含的CAN-ID(步骤S25)。CAN控制器15验证与被请求了写入的发送报文存储用寄存器1~4对应的发送识别信息设定用寄存器1~4的值(步骤S26),判定在步骤S25中取得的CAN-ID是否为向发送报文存储用寄存器1~4的存储被许可了的CAN-ID(步骤S27)。在是被许可的CAN-ID的情况下(S27:“是”),CAN控制器15将从处理部10提供的报文存储在发送报文存储用寄存器1~4中(步骤S28),并将处理返回到步骤S21。在不是被许可的CAN-ID的情况下(S27:“否”),CAN控制器15对处理部10通知错误(步骤S29),并将处理返回到步骤S21。
此外,在动作模式不是限制模式的情况下(S22:“否”),即在动作模式为全控制模式的情况下,CAN控制器15将从处理部10提供的报文存储在发送报文存储用寄存器1~4中(步骤S28),并将处理返回到步骤S21。
图6是表示CAN控制器15进行的报文发送请求时的限制处理的顺序的流程图,是基于发送周期的限制处理。另外,CAN控制器15通过自身的定时器功能,在进行了报文发送的情况下,进行对从该报文发送起的经过时间进行计时的处理。CAN控制器15判定是否从处理部10提供了对其他ECU1发送报文的请求(步骤S31)。在没有提供发送请求的情况下(S31:“否”),CAN控制器15待机至提供发送请求为止。在提供了发送请求的情况下(S31:“是”),CAN控制器15判定自身的动作模式是否为限制模式(步骤S32)。
在动作模式为限制模式的情况下(S32:“是”),CAN控制器15验证与被提供了发送请求的发送请求寄存器1~4对应的发送许可设定寄存器1~4的值(步骤S33)。基于步骤S33的结果,CAN控制器15判定被请求的发送报文存储用寄存器1~4的报文发送是否被许可(步骤S34)。在报文的发送未被许可的情况下(S34:“否”),CAN控制器15对处理部10通知错误(步骤S39),并将处理返回到步骤S31。
在报文的发送被许可的情况下(S34:“是”),CAN控制器15取得从前一次进行了在对应的发送报文存储用寄存器1~4中存储的报文的发送起的经过时间(步骤S35)。CAN控制器15验证与被请求了发送的发送报文存储用寄存器1~4对应的发送周期设定用寄存器1~4的值(步骤S36)。CAN控制器15判定在步骤S35中取得的从前一次发送起的经过时间是否经过了对发送周期设定用寄存器1~4设定的发送周期(步骤S37)。在经过了发送周期的情况下(S37:“是”),CAN控制器15读取在与发送请求对应的发送报文存储用寄存器1~4中存储的报文并输出给CAN总线2,从而进行报文发送(步骤S38),并将处理返回到步骤S31。在没有经过发送周期的情况下(S37:“否”),CAN控制器15对处理部10通知错误(步骤S39),并将处理返回到步骤S31。
此外,在动作模式不是限制模式的情况下(S32:“否”),即在动作模式为全控制模式的情况下,CAN控制器15读取在与发送请求对应的发送报文存储用寄存器1~4中存储的报文并输出给CAN总线2,从而进行报文发送(步骤S38),并将处理返回到步骤S31。
图7是表示CAN控制器15进行的报文接收时的限制处理的顺序的流程图,是与报文接收有关的限制处理。CAN控制器15判定是否接收到来自其他ECU1的报文(步骤S51)。在没有接收到报文的情况下(S51:“否”),CAN控制器15待机至接收到来自其他ECU1的报文为止。在接收到来自其他ECU1的报文的情况下(S51:“是”),CAN控制器15判定自身的动作模式是否为限制模式(步骤S52)。
在动作模式为限制模式的情况下(S52:“是”),CAN控制器15取得在从其他ECU1接收到的报文中包含的CAN-ID(步骤S53)。此外,CAN控制器15验证寄存器组16的接收许可设定寄存器1~4的值(步骤S54),且验证接收识别信息设定用寄存器1~4的值(步骤S55)。CAN控制器15基于对使用被许可的接收报文存储用寄存器1~4所设定的CAN-ID与从接收报文取得的CAN-ID是否一致,判定该报文的接收是否被许可(步骤S56)。
在该报文的接收被许可的情况下(S56:“是”),CAN控制器15将从其他ECU1接收到的报文存储在该报文的CAN-ID作为接收许可的ID被设定的接收报文存储用寄存器1~4中(步骤S57)。接着,CAN控制器15对与存储了报文的接收报文存储用寄存器1~4对应的接收完成寄存器1~4写入表示接收完成的信息(步骤S58),并将处理返回到步骤S51。在该报文的接收未被许可的情况下(S56:“否”),CAN控制器15废弃接收到的报文(步骤S59),并将处理返回到步骤S51。
此外,在动作模式不是限制模式的情况下(S52:“否”),即在动作模式为全控制模式的情况下,CAN控制器15将从其他ECU1接收到的报文存储在接收报文存储用寄存器1~4中(步骤S57),对对应的接收完成寄存器1~4写入表示接收完成的信息(步骤S58),并将处理返回到步骤S51。
以上的结构的本实施方式的ECU1具有:CAN控制器15,具有对与其他ECU1的通信有关的值进行存储的寄存器组16;及处理部10,对该寄存器组16进行值的写入及读取而进行通信处理。ECU1进行能够对CAN控制器15的寄存器组16进行写入及读取的全控制模式(第一模式)和限制(禁止)了对寄存器组16中的一部分寄存器进行写入及读取的限制模式(第二模式)之间的切换。ECU1将从启动起的预定期间设为全控制模式,在经过预定期间之后进行从全控制模式向限制模式的切换。在切换到限制模式之后,ECU1不会切换到全控制模式。
这样,在从ECU1启动起经过了预定期间之后,成为对CAN控制器15的一部分寄存器进行写入及读取受到了限制的状态。通过限制与通信有关的资源的使用,能够限制由于注入到ECU1的非法程序而非法使用通信资源。因此,本实施方式的ECU1通过限制与其他ECU1进行报文的发送接收的CAN控制器15的寄存器的使用,能够抑制由于非法程序的注入而向网络发送非法报文。
此外,ECU1具有:存储有在启动后由处理部10执行的启动程序11a(第一程序)的掩模ROM11(第一存储部);及存储有在执行启动程序11a后由处理部10执行的应用程序12a(第二程序)的EEPROM12(第二存储部)。全控制模式及限制模式的切换通过将处理部10执行启动程序11a的期间作为上述的预定期间来进行。即,启动程序11a的执行以全控制模式来进行,应用程序12a的执行以限制模式来进行。这样,能够将对CAN控制器15的寄存器组16的使用没有限制的全控制模式下的动作限定于在掩模ROM11中存储的启动程序11a的执行期间。即使是在非法程序注入到EEPROM12的情况下,在EEPROM12中存储的非法程序的执行也以CAN控制器15的寄存器组16的使用受到了限制的限制模式来进行。
此外,在ECU1的存储启动程序11a的存储部中,使用不能改写存储内容的掩模ROM11。在掩模ROM11中不能注入非法程序,非法程序不能以全控制模式来执行。
此外,ECU1通过在处理部10中执行启动程序11a,进行将在限制模式中限制写入及读取的寄存器设为哪个寄存器的设定。例如,ECU1通过对发送许可设定寄存器1~4进行值的写入,进行将在切换到限制模式之后能够使用的发送报文存储用寄存器1~4设为哪个寄存器的设定。此外,例如,ECU1通过对接收许可设定寄存器1~4进行值的写入,进行将在切换到限制模式之后能够使用的接收报文存储用寄存器1~4设为哪个寄存器的设定。由此,能够将在限制模式中限制使用的寄存器设定为适合本装置的处理内容等的寄存器。此外,由于能够将在限制模式中限制使用的寄存器设为低级,所以能够提高CAN控制器15的通用性。
此外,CAN控制器15的寄存器组16中包括用于存储向其他ECU1发送的报文的4个发送报文存储用寄存器1~4。处理部10通过将向其他ECU1发送的报文存储在CAN控制器15的发送报文存储用寄存器1~4中,能够进行该报文的发送。在限制模式中,限制对4个发送报文存储用寄存器1~4中的一个或多个进行写入及读取。由此,能够限制由于非法程序而使用发送报文存储用寄存器1~4,能够限制非法的报文发送。
此外,CAN控制器15的寄存器组16中包括对CAN控制器15发送存储在发送报文存储用寄存器1~4中的报文的周期的设定进行存储的发送周期设定用寄存器1~4。以比对发送周期设定用寄存器1~4所设定的周期短的周期进行CAN控制器15的报文发送被限制(禁止),而只能以比被设定的周期长的周期进行。由此,能够确定基于ECU1的报文发送的最低周期,能够防止非法程序以比该周期短的周期频繁地重复报文发送。
此外,CAN控制器15的寄存器组16中包括对与许可向发送报文存储用寄存器1~4的存储的报文的CAN-ID有关的设定进行存储的发送识别信息设定用寄存器1~4。对CAN控制器15的发送报文存储用寄存器1~4进行的报文的存储仅限定于附有对识别信息设定用寄存器1~4所设定的CAN-ID的报文,限制(禁止)附有除此以外的CAN-ID的报文的存储。由此,能够根据CAN-ID来限制ECU1发送的报文的类别等,能够防止非法程序发送附加了非法CAN-ID的报文。
另外,在本实施方式中,设为在车载的通信系统中包含的各ECU1进行基于CAN协议的通信的结构,但并不限定于此。各ECU1也可以进行基于CAN以外的协议例如TCP/IP、以太网(注册商标)或FlexRay等协议的通信。此外,以在车辆上搭载的通信系统为例进行了说明,但并不限定于此,也可以将本技术应用于在航空机或船舶等移动体上搭载的通信系统、或在工厂或办公室等中设置的通信系统等那样车载以外的通信系统。
此外,关于在通信系统中包含的全部ECU1具有本实施方式所示的进行寄存器组16的限制的功能为优选,但也可以在通信系统中具有不包括这样的限制功能的ECU。此外,设为ECU1具有掩模ROM11作为不能改写的存储部的结构,但并不限定于此。例如,也可以代替掩模ROM11而采用虽然能够通过紫外线照射删除数据但不能进行电子数据改写的EPROM(Erasable Programmable Read Only Memory:可擦除可编程只读存储器)、或不能通过断开保险丝等物理结构来改写数据的EEPROM或闪存等非易失性的存储器元件等。此外,ECU1在限制模式中对报文的发送及接收双方进行限制,但并不限定于此,也可以只对报文发送进行限制。
(实施方式2)
图8是表示实施方式2的通信系统的结构的框图。另外,在图8中,省略了在图1中所示的其他ECU1、传感器3及致动器4等的图示。实施方式2的通信系统具有对ECU201经由通信线206而连接的设定装置205。设定装置205是例如在车辆的经销商或维修工厂等中进行维护或检查等时使用的装置。通过将设定装置205连接到ECU201,能够对CAN控制器15的寄存器组16进行值的写入。设定装置205具有液晶面板等显示部251、开关或触摸面板等操作部252。
实施方式2的ECU201不具有实施方式1的ECU1所具备的掩模ROM11,而是将启动程序11a存储在EEPROM12中。在ECU201的EEPROM12中存储有启动程序11a及应用程序12a等。
此外,实施方式2的ECU201具备用于经由通信线206而连接设定装置205的连接器217。实施方式2的ECU201在经由连接器217而连接了被认证的设定装置205的情况下,能够对CAN控制器15的寄存器组16的写入被限制的寄存器进行值的写入。
此外,实施方式2的ECU201具备ROM218。ROM218使用掩模ROM或EEPROM等而构成。但是,即使在ROM218使用例如EEPROM等能够改写数据的存储器元件而构成的情况下,在ECU201的通常动作时也不能改写数据。在ROM218中,存储有认证程序218a及认证信息218b等。认证程序218a是在连接器217上连接了设定装置205的情况下由处理部10执行的程序,在与设定装置205之间进行认证处理。认证信息218b是认证程序218a用于在与设定装置205之间进行认证处理的信息,例如,是装置的ID及口令等信息。
实施方式2的ECU201在通常动作中始终进行限制模式下的动作。即,通过接通电源等而启动的ECU201在启动后以限制模式开始动作,只要进行通常的动作,之后就不会切换到全控制模式。因此,ECU201以限制模式来进行启动程序11a及应用程序12a的执行,所以在启动程序11a中不包括对于CAN控制器15的寄存器组16的设定处理。实施方式2的ECU201只有在连接器217上连接了设定装置205的情况下,才能够使CAN控制器15以全控制模式进行动作。
实施方式2的ECU201在检测出在连接器217上连接了设定装置205的情况下,通过处理部10从ROM218读取认证程序218a并执行,在与设定装置205之间进行认证处理。ECU201基于在ROM218中存储的认证信息218b而进行认证处理,只有在认证处理中成功的情况下,才接收将CAN控制器15的动作模式从限制模式向全控制模式切换的操作。
在认证处理成功的情况下,对设定装置205进行操作的操作者能够取得与ECU201有关的各种信息而显示在显示部251中,能够在操作部252中进行与ECU201有关的各种设定变更的操作。此外,实施方式2的设定装置205能够进行ECU201的CAN控制器15的动作模式的切换,通过进行向全控制模式的切换而向寄存器组16进行值的写入。
在对设定装置205的操作部252进行了模式切换的操作的情况下,该操作内容从设定装置205经由连接器217提供给ECU201的处理部10。由此,ECU201的处理部10接收模式的切换操作。ECU201在接收了从设定装置205向全控制模式的切换操作的情况下,进行从限制模式向全控制模式的切换。在全控制模式中ECU201在与设定装置205之间进行经由通信线206的通信,接收对CAN控制器15的寄存器组16写入值的请求,对寄存器组16的寄存器写入被请求的值。
此外,ECU201在从设定装置205接收了向限制模式的切换操作的情况下,从全控制模式切换到限制模式。另外,ECU201例如在设定装置205的连接被解除的情况下或在切换到全控制模式之后经过了预定时间的情况下等,即使没有从设定装置205接收向限制模式的切换操作,也可以自动地进行从全控制模式向限制模式的切换。
图9是表示实施方式2的ECU201进行的模式切换处理的顺序的流程图。实施方式2的ECU201的处理部10判定是否检测出设定装置205相对于连接器217的连接(步骤S71)。在没有检测出连接的情况下(S71:“否”),处理部10待机至检测出连接为止。
在检测出设定装置205的连接的情况下(S71:“是”),处理部10执行在ROM218中存储的认证程序218a,使用在ROM218中存储的认证信息218b,在与设定装置205之间进行认证处理(步骤S72)。处理部10判定认证处理是否成功(步骤S73)。在认证处理没有成功的情况下(S73:“否”),处理部10对设定装置205通知错误(步骤S74),并结束处理。
在认证处理成功的情况下(S73:“是”),处理部10通过检测有无对于设定装置205的操作部252的操作,进行操作的接收(步骤S75)。处理部10判定接收到的操作是否为动作模式的切换操作(步骤S76)。在是切换操作的情况下(S76:“是”),处理部10根据接收到的操作内容,进行从限制模式向全控制模式或从全控制模式向限制模式的模式切换(步骤S77),并将处理返回到步骤S75。在接收到的操作不是切换操作的情况下(S76:“否”),处理部10例如对CAN控制器15的寄存器组16进行值的写入等,进行与接收到的操作内容相应的其他处理(步骤S78),并将处理返回到步骤S75。
以上的结构的实施方式2的ECU201在进行了明确的模式切换的操作的情况下,进行限制模式与全控制模式之间的切换。这样,例如,在车辆的测试、制造或维护等时,能够对CAN控制器15的寄存器组16进行值的写入。
此外,ECU201具有用于经由通信线206而连接设定装置205的连接器217。在设定装置205中设置有操作部252,能够进行与ECU201的模式切换有关的操作。ECU201能够经由连接器217而接收在设定装置205的操作部252中进行的操作,根据接收到的操作而进行模式切换。
此外,ECU201在与连接到连接器217的设定装置205之间进行认证处理。ECU201只有在认证处理成功的情况下,才进行与模式切换有关的操作的接收。这样,难以对使用了连接到连接器217的外部的装置的CAN控制器15的寄存器组16进行值的改写。
另外,在实施方式2中,ECU201不具备掩模ROM,将启动程序11a存储在EEPROM12中,但并不限定于此。也可以与实施方式1的ECU1同样地,ECU201具备存储了启动程序11a的掩模ROM11。在该结构的情况下,ECU201也可以进行在实施方式1中说明的从启动起经过预定期间后的模式切换和在实施方式2中说明的基于设定装置205进行的切换操作的模式切换这双方。
此外,ECU201也可以根据设定装置205的连接检测而进行认证处理,在认证处理成功的情况下,自动地从限制模式切换到全控制模式。在该结构的情况下,将设定装置205连接到ECU201的操作相当于用于模式切换的明确的操作。此外,在认证处理后接收模式的切换操作的程序可以是认证程序218a,也可以是除此以外的程序。但是,优选接收模式的切换操作而进行模式切换的程序存储在ROM218中。
此外,ECU201经由通信线206而将设定装置205连接到连接器217,但并不限定于此。例如,ECU201也可以在与设定装置205之间进行无线通信。此外,例如,也可以不连接设定装置205,而是在ECU201中设置操作部而接收模式切换的操作。
此外,由于实施方式2的通信系统的其他结构与实施方式1的通信系统的结构是同样的,所以对同样的部分标注相同的附图标记并省略详细的说明。
附图标记说明
1 ECU(通信装置)
2 CAN总线
3 传感器
4 致动器
10 处理部
11 掩模ROM(第一存储部)
11a 启动程序(通信限制程序)
12 EEPROM(第二存储部)
12a 应用程序
13 RAM
14 输入输出部
15 CAN控制器(通信部、管制部、限制部)
16 寄存器组(多个寄存器)
201 ECU(通信装置)
205 设定装置(外部装置)
217 连接器(连接部)
218 ROM
218a 认证程序
218b 认证信息
251 显示部
252 操作部
Claims (13)
1.一种通信装置,具备:
通信部,具有对与其他装置的通信相关的值进行存储的多个寄存器;及
处理部,对该通信部的寄存器进行值的写入及读取而进行通信处理,
所述通信装置的特征在于,
对所述多个寄存器中的一部分寄存器的值的写入或读取被限制。
2.根据权利要求1所述的通信装置,其特征在于,
具备对第一模式和第二模式进行切换的切换部,所述第一模式是能够对所述多个寄存器进行值的写入及读取的模式,所述第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式。
3.根据权利要求2所述的通信装置,其特征在于,
所述切换部在进行了从所述第一模式向所述第二模式的切换之后,不进行从所述第二模式向所述第一模式的切换。
4.根据权利要求2或3所述的通信装置,其特征在于,
所述切换部将从本装置启动起的预定期间设为所述第一模式,
在经过所述预定期间之后进行从所述第一模式向所述第二模式的切换,
在该切换后,不进行从所述第二模式向所述第一模式的切换。
5.根据权利要求4所述的通信装置,其特征在于,
具备存储部,所述存储部存储有向所述第二模式中写入被限制的寄存器写入值的程序,
所述处理部在本装置启动后执行所述程序,
所述切换部将所述处理部执行所述程序的期间作为所述预定期间而进行切换。
6.根据权利要求2~5中任一项所述的通信装置,其特征在于,
所述多个寄存器中包括存储所述通信部向其他装置发送的报文的多个发送报文存储用寄存器,
在所述第二模式中,限制对所述多个发送报文存储用寄存器中的一个或多个发送报文存储用寄存器的写入。
7.根据权利要求6所述的通信装置,其特征在于,
所述多个寄存器中包括对所述通信部发送存储于所述发送报文存储用寄存器的报文的周期的设定进行存储的发送周期设定用寄存器,
所述通信装置具备管制部,所述管制部对以比存储于所述发送周期设定用寄存器中的周期的设定短的周期的报文发送进行管制。
8.根据权利要求6或7所述的通信装置,其特征在于,
在所述报文中包含用于识别该报文的识别信息,
所述多个寄存器中包括对许可向该发送报文存储用寄存器存储的识别信息的设定进行存储的识别信息设定用寄存器,
所述通信装置具备限制部,所述限制部限制存储于所述识别信息设定用寄存器中的识别信息以外的报文向所述发送报文存储用寄存器存储。
9.根据权利要求2~8中任一项所述的通信装置,其特征在于,
还具备接收与所述第一模式和所述第二模式的切换有关的操作的操作接收部,
所述切换部根据所述操作接收部接收到的操作而进行切换。
10.根据权利要求9所述的通信装置,其特征在于,
还具备连接外部装置的连接部,
所述操作接收部经由所述连接部而接收对连接于所述连接部的外部装置进行的操作。
11.根据权利要求10所述的通信装置,其特征在于,
还具备在与连接于所述连接部的外部装置之间进行认证处理的认证处理部,
在所述认证处理部的认证处理成功的情况下,所述操作接收部进行操作接收。
12.一种通信装置,具备:
通信部,具有对与其他装置的通信相关的值进行存储的多个寄存器;及
处理部,对该通信部的寄存器进行值的写入及读取而进行通信处理,
所述通信装置的特征在于,
具备对第一模式和第二模式进行切换的切换部,所述第一模式是能够对所述多个寄存器进行值的写入及读取的模式,所述第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式,
所述处理部对所述第二模式中写入被限制的寄存器写入值,
在对该寄存器写入值之后,由所述切换部进行从所述第一模式向所述第二模式的切换。
13.一种通信限制程序,其特征在于,
使具备通信部、处理部及对第一模式和第二模式进行切换的切换部的通信装置作为对所述第二模式中写入被限制的寄存器写入值的单元及在对该寄存器写入值之后由所述切换部进行从所述第一模式向所述第二模式的切换的单元而动作,
所述通信部具有对与其他装置的通信相关的值进行存储的多个寄存器,
所述处理部对该通信部的寄存器进行值的写入及读取而进行通信处理,
所述第一模式是能够对所述多个寄存器进行值的写入及读取的模式,所述第二模式是限制了对所述多个寄存器中的一部分寄存器的值的写入或读取的模式。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015-100994 | 2015-05-18 | ||
| JP2015100994A JP6284903B2 (ja) | 2015-05-18 | 2015-05-18 | 通信装置及び通信制限プログラム |
| PCT/JP2016/064546 WO2016186093A1 (ja) | 2015-05-18 | 2016-05-17 | 通信装置及び通信制限プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107615714A true CN107615714A (zh) | 2018-01-19 |
| CN107615714B CN107615714B (zh) | 2020-09-04 |
Family
ID=57319943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680028147.9A Active CN107615714B (zh) | 2015-05-18 | 2016-05-17 | 通信装置及记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10384625B2 (zh) |
| JP (1) | JP6284903B2 (zh) |
| CN (1) | CN107615714B (zh) |
| DE (1) | DE112016002236T5 (zh) |
| WO (1) | WO2016186093A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110320829A (zh) * | 2018-03-30 | 2019-10-11 | 欧姆龙株式会社 | 安全控制系统以及安全控制单元 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6879789B2 (ja) | 2016-05-27 | 2021-06-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム、転送方法及びプログラム |
| JP2018121120A (ja) * | 2017-01-23 | 2018-08-02 | 国立大学法人名古屋大学 | 通信装置及び通信コントローラ |
| DE102018218257A1 (de) * | 2018-10-25 | 2020-04-30 | Robert Bosch Gmbh | Steuergerät |
| DE102019207174A1 (de) * | 2019-05-16 | 2020-11-19 | Robert Bosch Gmbh | Sende-/Empfangseinrichtung und Kommunikationssteuereinrichtung für eine Teilnehmerstation eines seriellen Bussystems und Verfahren zur Kommunikation in einem seriellen Bussystem |
| US11991122B2 (en) * | 2021-06-21 | 2024-05-21 | Qualcomm Incorporated | Techniques for application time for slot format updating associated with half duplex and full duplex mode switching |
| JP7426583B2 (ja) * | 2021-11-29 | 2024-02-02 | パナソニックIpマネジメント株式会社 | 車載機器、制御方法、およびプログラム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197536B2 (en) * | 2001-04-30 | 2007-03-27 | International Business Machines Corporation | Primitive communication mechanism for adjacent nodes in a clustered computer system |
| CN101369352A (zh) * | 2008-10-10 | 2009-02-18 | 清华大学 | 一种燃料电池城市客车的数据支持系统 |
| JP2010176403A (ja) * | 2009-01-29 | 2010-08-12 | Toyota Motor Corp | マルチスレッドプロセッサ装置 |
| JP2013050789A (ja) * | 2011-08-30 | 2013-03-14 | Toyota Motor Corp | 車両通信装置 |
| CN103189730A (zh) * | 2010-10-28 | 2013-07-03 | 本田技研工业株式会社 | 故障诊断方法和故障诊断装置 |
| CN103246225A (zh) * | 2013-05-03 | 2013-08-14 | 奇瑞汽车股份有限公司 | 一种基于fpga的lvds接口实现的多路同时采样系统 |
| CN104094233A (zh) * | 2012-02-23 | 2014-10-08 | 日立汽车系统株式会社 | 车辆用控制装置 |
| CN104422593A (zh) * | 2013-08-30 | 2015-03-18 | 上海汽车集团股份有限公司 | 一种动力总成的测试系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05173920A (ja) * | 1991-12-24 | 1993-07-13 | Nec Corp | スレーブ情報処理装置 |
| JPH08180001A (ja) | 1994-04-12 | 1996-07-12 | Mitsubishi Electric Corp | 通信方式及び通信方法及びネットワークインタフェース |
| JP2011103577A (ja) | 2009-11-11 | 2011-05-26 | Renesas Electronics Corp | 通信コントローラ、通信システム、及び通信制御方法 |
| US9262340B1 (en) * | 2011-12-29 | 2016-02-16 | Cypress Semiconductor Corporation | Privileged mode methods and circuits for processor systems |
| JP2014086812A (ja) | 2012-10-22 | 2014-05-12 | Renesas Electronics Corp | Canシステム及びノード |
| US9619405B2 (en) * | 2014-11-24 | 2017-04-11 | Nxp Usa, Inc. | Device having memory access protection |
| US10007629B2 (en) * | 2015-01-16 | 2018-06-26 | Oracle International Corporation | Inter-processor bus link and switch chip failure recovery |
-
2015
- 2015-05-18 JP JP2015100994A patent/JP6284903B2/ja active Active
-
2016
- 2016-05-17 DE DE112016002236.0T patent/DE112016002236T5/de active Pending
- 2016-05-17 WO PCT/JP2016/064546 patent/WO2016186093A1/ja active Application Filing
- 2016-05-17 CN CN201680028147.9A patent/CN107615714B/zh active Active
- 2016-05-17 US US15/574,905 patent/US10384625B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197536B2 (en) * | 2001-04-30 | 2007-03-27 | International Business Machines Corporation | Primitive communication mechanism for adjacent nodes in a clustered computer system |
| CN101369352A (zh) * | 2008-10-10 | 2009-02-18 | 清华大学 | 一种燃料电池城市客车的数据支持系统 |
| JP2010176403A (ja) * | 2009-01-29 | 2010-08-12 | Toyota Motor Corp | マルチスレッドプロセッサ装置 |
| CN103189730A (zh) * | 2010-10-28 | 2013-07-03 | 本田技研工业株式会社 | 故障诊断方法和故障诊断装置 |
| JP2013050789A (ja) * | 2011-08-30 | 2013-03-14 | Toyota Motor Corp | 車両通信装置 |
| CN104094233A (zh) * | 2012-02-23 | 2014-10-08 | 日立汽车系统株式会社 | 车辆用控制装置 |
| CN103246225A (zh) * | 2013-05-03 | 2013-08-14 | 奇瑞汽车股份有限公司 | 一种基于fpga的lvds接口实现的多路同时采样系统 |
| CN104422593A (zh) * | 2013-08-30 | 2015-03-18 | 上海汽车集团股份有限公司 | 一种动力总成的测试系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110320829A (zh) * | 2018-03-30 | 2019-10-11 | 欧姆龙株式会社 | 安全控制系统以及安全控制单元 |
| CN110320829B (zh) * | 2018-03-30 | 2022-03-08 | 欧姆龙株式会社 | 安全控制系统以及安全控制单元 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10384625B2 (en) | 2019-08-20 |
| CN107615714B (zh) | 2020-09-04 |
| US20180162295A1 (en) | 2018-06-14 |
| WO2016186093A1 (ja) | 2016-11-24 |
| JP6284903B2 (ja) | 2018-02-28 |
| DE112016002236T5 (de) | 2018-02-08 |
| JP2016219944A (ja) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107615714A (zh) | 通信装置及通信限制程序 | |
| US20180218158A1 (en) | Evaluation apparatus, evaluation system, and evaluation method | |
| JP5729337B2 (ja) | 車両用認証装置、及び車両用認証システム | |
| JP5772666B2 (ja) | 通信システム | |
| CN107683589A (zh) | 车载中继装置、车载通信系统以及中继程序 | |
| KR101022639B1 (ko) | 디버그 회로에 안전성을 제공하는 방법 및 장치 | |
| JPH02293196A (ja) | Icカード | |
| CN106444568B (zh) | 一种数据更新方法及装置 | |
| TW201738738A (zh) | 積體電路 | |
| US11811553B2 (en) | Vehicle relay device | |
| CN107066871B (zh) | 功能装置和控制设备 | |
| US20240094925A1 (en) | Methods for restricting read access to supply chips | |
| CN109656869A (zh) | 用于管理产品返回以供分析的方法和相应的产品 | |
| JPH02216595A (ja) | Icカード | |
| CN116756781B (zh) | 一种芯片的加密保护方法、装置、设备及存储介质 | |
| JP5783013B2 (ja) | 車載通信システム | |
| JP6445344B2 (ja) | 携帯端末キー登録システム | |
| WO2018135300A1 (ja) | 通信装置及び通信コントローラ | |
| JP2006244164A (ja) | ソフトウェア更新装置、ソフトウェア更新システム、ソフトウェア更新方法、および機器管理装置 | |
| CN101256685A (zh) | 进出管理系统 | |
| CN110427203A (zh) | Sim卡、sim卡的更新方法及对sim卡操作系统进行更新的方法 | |
| KR20150081969A (ko) | 공유 메모리 기반 통신 장치 및 그 방법 | |
| CN106716372B (zh) | 可编程逻辑控制器 | |
| JP2021090103A (ja) | 通信中継装置 | |
| WO2019204327A1 (en) | Methods for restricting read access to supply chips |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |