CN108353014B - 非法控制抑止方法、非法控制抑止装置和车载网络系统 - Google Patents

非法控制抑止方法、非法控制抑止装置和车载网络系统 Download PDF

Info

Publication number
CN108353014B
CN108353014B CN201780003700.8A CN201780003700A CN108353014B CN 108353014 B CN108353014 B CN 108353014B CN 201780003700 A CN201780003700 A CN 201780003700A CN 108353014 B CN108353014 B CN 108353014B
Authority
CN
China
Prior art keywords
control
frame
state
vehicle
status
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780003700.8A
Other languages
English (en)
Other versions
CN108353014A (zh
Inventor
岸川刚
前田学
若林彻
中野稔久
松岛秀树
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to CN202110840937.XA priority Critical patent/CN113556271B/zh
Priority claimed from PCT/JP2017/023470 external-priority patent/WO2018008452A1/ja
Publication of CN108353014A publication Critical patent/CN108353014A/zh
Application granted granted Critical
Publication of CN108353014B publication Critical patent/CN108353014B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)

Abstract

具有经由通信路径进行包括对控制对象指示预定控制的控制帧的多个帧的收发的多个电子控制单元的网络系统所涉及的非法控制抑止方法,包括:接收步骤,从所述通信路径逐次接收多个帧;以及判定步骤,基于在通过所述接收步骤接收到的控制帧的接收时之前的预定期间内通过所述接收步骤接收到的帧的集合,判定是否应抑止基于该控制帧的所述预定控制。

Description

非法控制抑止方法、非法控制抑止装置和车载网络系统
技术领域
本公开涉及防止在网络中流动非法消息而非法地控制车辆等的安全对策技术。
背景技术
近年来,在汽车中的系统中配置有很多被称作电子控制单元(ECU:ElectronicControl Unit:电子控制单元)的装置。这些连接ECU的网络称作车载网络。车载网络存在多种通信标准。其中,作为最主流的车载网络之一,存在由ISO11898规定的CAN(ControllerArea Network:控制区域网)这样的标准。
在CAN中,通信路径是由2条线路构成的总线,与总线连接的ECU被称作节点。与总线连接的各节点收发被称作帧的消息。发送帧的发送节点通过向2条线路施加电压,在线路间产生电位差,由此发送称作隐性(recessive)的“1”的值和称作显性(Dominant)的“0”的值。在多个发送节点全部在同一时刻发送隐性和显性的情况下,优先发送显性。接收节点在收到的帧的格式存在异常的情况下,发送称作错误帧的帧。所谓错误帧,是指通过连续发送6bit的显性来向发送节点和其它接收节点通知帧的异常的帧。
另外,在CAN中,不存在指示发送目的地或发送源的标识符,发送节点对每一帧附加ID来发送,各接收节点仅接收预先设定的ID的帧。另外,采用CSMA/CA(Carrier SenseMultiple Access/Collision Avoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时,进行基于ID的仲裁,优先发送ID的值较小的帧。
关于CAN的车载网络系统,存在攻击者通过访问总线并发送非法帧来非法地控制ECU这样的威胁,正在研究安全对策。
例如,专利文献1记载了如下方法:针对向CAN的总线发送的帧,在测定出的接收间隔与预先规定的通信间隔之差超过规定的范围的情况下,判断该帧为非法,由此,防止基于非法帧进行的控制。另外,专利文献2记载了如下方法:在规定的通信间隔内接收到两个以上的具有同一标识符的帧的情况下,丢弃该各帧,由此防止基于非法帧进行的控制。
现有技术文献
专利文献1:日本特许第5664799号公报
专利文献2:日本特许第5919205号公报
发明内容
发明要解决的问题
但是,在专利文献1的方法中,不能防止基于不超过规定的通信间隔的非法帧进行的非法控制。另外,在专利文献2的方法中,将规定的通信间隔内包含的、具有同一标识符的非法帧和正常帧这两者丢弃,因此,从车辆控制的稳定性的观点出发,是不适当的。另外,该方法不能应对与不定期发送的正常帧具有同一标识符的非法帧。
因此,本公开提供能够适当地抑止基于在网络中流动的非法帧进行的非法控制的非法控制抑止方法。另外,本公开提供能够适当地抑止基于非法帧进行的非法控制的非法控制抑止装置和车载网络系统。
用于解决问题的手段
为了解决上述课题,本公开的一个方式的非法控制抑止方法是具有多个电子控制单元的网络系统中的非法控制抑止方法,所述多个电子控制单元经由通信路径进行包括对控制对象指示预定控制的控制帧的多个帧的收发,所述非法控制抑止方法包括:接收步骤,从所述通信路径逐次接收多个帧;以及判定步骤,基于在通过所述接收步骤接收到的控制帧的接收时之前的预定期间内通过所述接收步骤接收到的帧的集合,判定是否应抑止基于该控制帧的所述预定控制。
另外,为了解决上述课题,本公开的一个方式的非法控制抑止装置是多个电子控制单元经由通信路径进行包括对控制对象指示预定控制的控制帧的多个帧的收发时的与该通信路径连接的非法控制抑止装置,所述非法控制抑止装置具有:接收部,其从所述通信路径逐次接收多个帧;以及判定部,其基于在由所述接收部接收到的控制帧的接收时之前的预定期间内由所述接收部接收到的帧的集合,判定是否应抑止基于该控制帧的所述预定控制。
另外,为了解决上述课题,本公开的一个方式的车载网络系统具有经由网络总线进行状态帧和控制帧的收发的多个电子控制单元,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是向所述车辆指示预定控制的帧,所述车载网络系统具备:接收部,其从所述网络总线逐次接收状态帧和控制帧;以及判定部,其基于根据在由所述接收部接收到的控制帧的接收时之前的预定期间内由所述接收部接收到的状态帧的集合而确定的、该预定期间中的所述车辆的状态是否满足预定基准,判定是否应抑止基于该控制帧的所述预定控制。
发明效果
根据本公开,能够适当地抑止基于在网络中流动的非法帧进行的非法控制。
附图说明
图1是示出实施方式1的车载网络系统的整体结构的图。
图2是示出由CAN协议规定的数据帧的格式的图。
图3是示出由CAN协议规定的错误帧的格式的图。
图4是实施方式1的监视ECU的结构图。
图5是示出实施方式1的监视ECU使用的帧接收历史信息的一例的图。
图6是示出实施方式1的监视ECU使用的车辆状态信息的一例的图。
图7是示出实施方式1的监视ECU使用的功能限制规则的一例的图。
图8是车载网络系统中的ECU的结构图。
图9是示出各种ECU发送的数据帧的例子的图。
图10是示出实施方式1中的驻车辅助功能的处理时序的图。
图11是示出实施方式1中的对驻车辅助功能的攻击和非法控制抑止处理的时序的图。
图12是示出实施方式1的由监视ECU进行的监视工作的一例的流程图。
图13是示出实施方式2的车载网络系统的整体结构的图。
图14是实施方式2的监视ECU的结构图。
图15是示出实施方式2的监视ECU使用的帧接收历史信息的一例的图。
图16是示出实施方式2的监视ECU使用的功能限制规则的一例的图。
图17是用于说明受到伪装车辆状态的攻击的情况下的车辆状态的持续时间的图。
图18是示出实施方式2中的驻车辅助功能所涉及的攻击和非法控制抑止的时序的图。
图19是示出实施方式2的由监视ECU进行的监视工作的一例的流程图。
图20是示出实施方式3的车载网络系统的整体结构的图。
图21是示出实施方式3的ECU发送的数据帧的例子的图。
图22是实施方式3的监视ECU的结构图。
图23是示出实施方式3的监视ECU使用的帧接收历史信息的一例的图。
图24是示出实施方式3的监视ECU使用的功能限制规则的一例的图。
图25是示出实施方式3的监视ECU使用的计测关联信息的一例的图。
图26是示出实施方式3中的对巡航控制功能的攻击和非法控制抑止的时序的图。
图27是示出实施方式3的由监视ECU进行的监视工作的一例的流程图。
图28是示出其它实施方式的非法控制抑止装置的结构的一例的图。
具体实施方式
本公开的一个方式的非法控制抑止方法是具有多个电子控制单元的网络系统中的非法控制抑止方法,所述多个电子控制单元经由通信路径进行包括对控制对象指示预定控制的控制帧的多个帧的收发,所述非法控制抑止方法包括:接收步骤,从所述通信路径逐次接收多个帧;以及判定步骤,基于在通过所述接收步骤接收到的控制帧的接收时之前的预定期间内通过所述接收步骤接收到的帧的集合,判定是否应抑止基于该控制帧的所述预定控制。由此,根据在预定期间内接收到的帧的集合,能够确认该预定期间中的控制对象是否为异常状态等,因此可能会变得能够适当地判定是否应抑止基于控制帧的控制。
另外,也可以是,所述多个帧包括状态帧,所述状态帧包含与所述控制对象的状态相关的信息,
在所述判定步骤中,基于根据在通过所述接收步骤接收到的控制帧的接收时之前的预定期间内通过所述接收步骤接收到的状态帧的集合而确定的、该预定期间中的所述控制对象的状态是否满足预定基准,判定是否应抑止基于该控制帧的所述预定控制。例如,为了捕捉车辆等这样的控制对象的伪装状态,设定有预定基准。由此,在攻击者在进行了伪装控制对象的状态的预先准备的基础上发送了用于控制控制对象的非法控制帧的情况下,可能会变得能够适当地判定为应抑止基于该非法控制帧的控制。
另外,也可以是,在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含异常的状态帧的情况下,确定为所述控制对象的状态是伪装状态,在所述集合中不包含异常的状态帧的情况下,确定为所述控制对象的状态不是伪装状态,对于所述预定基准,在所确定的所述控制对象的状态是伪装状态的情况满足所述预定基准,在所述控制对象的状态不是伪装状态的情况下不满足所述预定基准,在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。异常的状态帧例如是包含表示与通常可取的值不同的值的数据的状态帧。由此,在攻击者伪装控制对象的状态并发送了用于控制控制对象的非法控制帧的情况下,能够进行该非法控制帧的抑止。
另外,也可以是,在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含以比预定阈值短的接收间隔接收到的、表示用于执行所述预定控制的同一项目的信息的多个状态帧的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。由此,通过基于预先设定的状态帧的发送间隔的余裕来适当地设定预定阈值,变得能够适当地进行伪装状态的确定。例如,在预定控制为车辆的方向盘控制的情况下,在以比基于该余裕的预定阈值短的接收间隔接收到多个表示用于执行该方向盘控制的目标操舵角的状态帧等情况下,可确定为车辆等这样的控制对象的状态是伪装状态。因此,能够适当地进行非法预定控制的抑止。
另外,也可以是,在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含比预定数量多的表示用于执行所述预定控制的同一项目的信息的状态帧的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。由此,能够适当地确定冗余地发送状态帧这样的伪装状态。
另外,也可以是,在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含表示用于执行所述预定控制的同一项目的信息的两个状态帧且该两个状态帧所表示的该信息的值的差异大于预定量的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。由此,在表示控制对象的真的状态的值的状态帧和由攻击者发送的、表示与该真状态不同的伪的状态的状态帧混在的情况下,状态帧表示的信息的值会变得大于预定量,因此,能够适当地确定这样的伪装状态。
另外,也可以是,在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含表示用于执行所述预定控制的同一项目的信息的多个状态帧且按进行了接收的顺序排列的该多个状态帧所表示的该信息的值不符合预定规则的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。由此,例如,在设定了车辆的状态在变为第3状态之前依次经过第1状态、第2状态这样的预定规则的情况下,在表示车辆状态为第1状态的状态帧之后接收到表示车辆状态为为第3状态的状态帧时,确定为是伪装状态。因此,例如通过与作为控制对象的车辆等的规格对应而适当地设定预定规则,变得能够适当地进行伪装状态的确定。
另外,也可以是,对于所述预定基准,在所述预定期间中的所述控制对象的状态不为稳定状态的情况下满足所述预定基准,在所述状态为稳定状态的情况下不满足所述预定基准,所述稳定状态是表示所述控制对象的状态的特定的状态帧的数据值为某一定值或处于一定范围内的状态,在所述判定步骤中,基于根据在与控制帧的接收时相连续的紧接该接收时之前的所述预定期间内通过所述接收步骤接收到的状态帧的集合而确定的、该预定期间中的所述控制对象的状态,进行基于该控制帧的所述预定控制所涉及的所述判定,在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。由此,在攻击者发送非法控制帧之前发送伪装控制对象的状态的状态帧、控制对象的状态脱离了稳定状态的情况下,可能会变得能够适当地判定为应抑止基于该非法控制帧的控制。
另外,也可以是,对于所述预定基准,在所述预定期间中的所述控制对象的状态是超过预定次数而变化的变化多发状态的情况下满足所述预定基准,在所述状态不是变化多发状态的情况下不满足所述预定基准,在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。该变化例如是,在量化地表示状态的情况下超过一定量的变化、或在将状态划分成多个状态来表示的情况下划分发生改变的变化等。由此,由于正常发送的帧和由攻击者发送的帧交替地出现在网络的通信路径上等,因而如果不是在瞬间而是在预定期间内进行观察的话产生了这些帧表示的信息发生不匹配的状态的情况下,可能会变得能够适当地判定为应抑止基于被攻击者发送的非法控制帧的控制。
另外,也可以是,所述非法控制抑止方法还包括如下的处理步骤:在通过所述判定步骤判定为应抑止基于控制帧的所述预定控制的情况下,执行用于抑止所述预定控制的预定处理,所述预定处理包括将该控制帧丢弃的处理、在所述通信路径上覆写该控制帧的处理、抑止该控制帧向其它通信路径转送的处理、以及向所述电子控制单元指示不执行基于该控制帧的所述预定控制的处理中的任一处理。由此,能够适当地抑止基于被攻击者发送的非法控制帧的预定控制。
另外,也可以是,所述控制对象是搭载所述网络系统的车辆,所述通信路径是所述车辆中的有线通信路径,所述多个电子控制单元按照CAN协议或Ethernet协议,进行所述多个帧的收发。由此,能够确保车载网络的安全。
另外,也可以是,所述预定控制是与所述车辆的行驶相关的控制。另外,也可以是,在所述接收步骤中,逐次接收状态帧,所述状态帧是包含关于车速、车轮的旋转速度、偏航率、加速度、操舵角、加速器踏板开度、制动级别、发动机的转速、马达的转速、齿轮位置和点火开关的状态中的任一项的信息在内的帧。由此,可能会变得能够防御用于支配车辆行驶的由攻击者进行的攻击。
另外,也可以是,所述多个帧包括状态帧,所述状态帧包含与所述控制对象的状态相关的信息,所述多个电子控制单元与作为所述通信路径的网络总线连接,按照CAN协议来进行作为数据帧的状态帧和控制帧的收发,所述非法控制抑止方法还包括如下的处理步骤:在通过所述判定步骤判定为应抑止基于控制帧的所述预定控制的情况下,向所述网络总线发送错误帧,以使其覆写于该控制帧的至少一部分。由此,能够在车载网络中高效地使控制帧无效化。
另外,本公开的一个方式的非法控制抑止装置是多个电子控制单元经由通信路径进行包括对控制对象指示预定控制的控制帧的多个帧的收发时的与该通信路径连接的非法控制抑止装置,所述非法控制抑止装置具有:接收部,其从所述通信路径逐次接收多个帧;以及判定部,其基于在由所述接收部接收到的控制帧的接收时之前的预定期间内由所述接收部接收到的帧的集合,判定是否应抑止基于该控制帧的所述预定控制。由此,根据在预定期间内接收到的帧的集合,在该预定期间中的控制对象为异常状态的情况下,可适当地判定为应抑止基于控制帧的控制。可实现基于该适当的判定来适当地进行控制的抑止这一情况。另外,非法控制抑止装置只需与由多个电子控制单元构成的网络系统的通信路径连接即可利用,因此,能够在不大幅变更网络系统的结构的情况下进行导入。
另外,本公开的一个方式的车载网络系统具有经由网络总线进行状态帧和控制帧的收发的多个电子控制单元,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是向所述车辆指示预定控制的帧,所述车载网络系统具备:接收部,其从所述网络总线逐次接收状态帧和控制帧;以及判定部,其基于根据在由所述接收部接收到的控制帧的接收时之前的预定期间内由所述接收部接收到的状态帧的集合而确定的、该预定期间中的所述车辆的状态是否满足预定基准,判定是否应抑止基于该控制帧的所述预定控制。由此,例如,为了捕捉车辆的伪装状态,设定有预定基准,由此,在攻击者进行了伪装车辆的状态的预先准备的基础上发送了用于控制车辆的非法控制帧的情况下,可适当地判定为应抑止基于该非法控制帧的控制。因此,该车载网络系统能够进行针对攻击的适当防御。
此外,这些概括性或具体的方式可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图,对包含使用了实施方式所涉及的非法控制抑止方法的监视ECU的车载网络系统进行说明。此处所示的实施方式均表示本公开的一具体例。因此,以下的实施方式所示的数值、构成要素、构成要素的配置和连接方式、以及作为处理要素的步骤和步骤的顺序等是一例,不限制本公开。在以下的实施方式中的构成要素中,独立权利要求未记载的构成要素为可任意附加的构成要素。另外,各图为示意图,不一定严格图示。
(实施方式1)
以下,作为本公开的实施方式1,使用附图对包含监视在车载网络中流动的帧的监视ECU的车载网络系统10进行说明。
[1.1车载网络系统10的整体结构]
图1是示出实施方式1的车载网络系统10的整体结构的图。
车载网络系统10是按照CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器、致动器、用户界面装置等各种设备的车辆中的网络通信系统。车载网络系统10具有经由总线进行帧所涉及的通信的多个装置,使用非法控制抑止方法。具体而言,如图1所示,车载网络系统10构成为包含总线300以及与总线300连接的监视ECU 100、ECU 200a~200d等。此外,车载网络系统10在监视ECU 100和ECU 200a~200d以外,还可包含几个ECU,不过此处为了方便,着眼于监视ECU 100和ECU200a~200d来进行说明。在搭载车载网络系统10的车辆中,多个ECU进行通信并协作,由此实现例如作为先进驾驶者辅助系统(ADAS:Advanced Driver Assistance System)的一个功能的驻车辅助功能等。
各ECU例如为包含处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。存储器为ROM、RAM等,能够存储由处理器执行的程序(计算机程序)。例如,处理器按照程序进行工作,由此,ECU实现各种功能。此外,计算机程序是为了达成预定功能而组合多个表示针对处理器的指令的命令代码而构成的。ECU可与各种设备连接。ECU200a与速度传感器210连接。ECU 200b与作为拍摄车辆后方的摄像头的后置摄像头220以及作为显示例如影像、GUI(Graphical User Interface:图形用户界面)图像等并受理操作的触摸面板等的监视器230连接。ECU200c与方向盘(Steering Wheel)240连接。另外,ECU 200d与作为变速机构的传动装置(gear)250连接。
各ECU按照CAN协议,经由总线300进行帧的收发。在ECU之间收发的帧中,例如存在包含与车辆的状态相关的信息的数据帧(称作状态帧)、对车辆指示控制的数据帧(称作控制帧)等。此外,在ECU之间,也可以进行包含与车辆的状态相关的状态且对车辆指示控制的数据帧的收发,即,进行是状态帧且是控制帧的数据帧的收发。
ECU 200a将从速度传感器210得到的车速(即车辆的速度)的数据包含于数据帧,周期地向总线300发送。ECU 200b在监视器230显示从后置摄像头220取得的车辆后方的影像,向车辆的驾驶者通知后方的情况。另外,ECU 200b接受基于对监视器230的触摸操作等实现的、来自驾驶者的开始驻车辅助功能的请求。此处,设驻车辅助功能为朝向车辆后方的、由驾驶者指定的驻车空间而自动地操作方向盘的功能来进行说明。如果将传动装置250设为作为用于车辆后退的齿轮位置(gear position)的“倒车档”来进行驻车辅助功能的开始请求的操作,则驾驶者仅需进行油门和制动器的操作,就能够使车辆后退来在驻车空间进行驻车。ECU 200b在从驾驶者收到驻车辅助功能的开始请求时,根据后置摄像头220的信息,计算方向盘应该旋转的角度涉及的目标操舵角,在表示方向盘控制指示的数据帧中包含表示控制标志和目标操舵角的数据,周期地向总线300发送。此处,表示方向盘控制指示的数据帧的控制标志,以1的值表示进行控制,以0的值表示不进行控制。如果控制标志为1的值,则表示方向盘控制指示的数据帧为控制帧。ECU 200c根据从ECU 200b发送的、方向盘控制指示的控制帧,控制方向盘240,改变车辆的行进方向。此外,ECU 200c在可确认从ECU200a通知的车速为10km/h以下且传动装置250的齿轮位置为“倒车挡”的情况下,进行方向盘240的控制。ECU 200d将表示传动装置250当前的齿轮位置的数据包含在数据帧中而周期地向总线300发送。表示车速的状态帧和表示齿轮位置的状态帧,以大致固定的周期逐次发送。
监视ECU 100是作为非法控制抑止装置的一种ECU,与总线300连接。监视ECU 100监视在总线300上流动的状态帧、控制帧等数据帧,在检测出根据攻击者的攻击而发送的指示车辆控制的非法控制帧的情况下,通过使该控制帧无效化来抑止非法的车辆控制。
[1.2数据帧格式]
以下,对在遵循CAN协议的网络中使用的数据帧进行说明。
图2是示出由CAN协议规定的数据帧的格式的图。该图示出由CAN协议规定的标准ID格式下的数据帧。数据帧由SOF(Start Of Frame:帧开始)、ID字段、RTR(RemoteTransmission Request:远程发送请求)、IDE(Identifier Extension:标识符扩展)、预约比特位“r”、DLC(Data Length Code:数据长度编码)、数据字段、CRC(Cyclic RedundancyCheck:循环冗余校验)时序、CRC分隔符“DEL”、ACK(Acknowledgement:应答)时隙(slot)、ACK分隔符“DEL”和EOF(End Of Frame:帧结束)的各字段构成。
SOF由1bit的显性构成。总线空闲的状态为隐性,因SOF而变更为显性的情况成为帧的发送开始的通知。
ID字段是由11bit构成的、存储ID的字段,该ID是表示数据的种类的值。在多个节点同时开始发送的情况下,为了通过该ID字段进行通信仲裁,设计为具有ID小的值的帧具有高优先级。
RTR是用于识别数据帧和远程帧的值,在数据帧中由显性1bit构成。
IDE和“r”两者由显性1bit构成。
DLC由4bit构成,是表示数据字段的长度的值。
数据字段是表示最大由64bit构成的、要发送的数据的内容的值。数据字段能够按8bit来调整长度。关于发送的数据的规格,未由CAN协议规定,而在车载网络系统10中设定。因此是依存于车型、制造者等的规格。
CRC时序由15bit构成。CRC时序根据SOF、ID字段、控制字段和数据字段的发送值来计算。
CRC分隔符是由1bit的隐性构成的、表示CRC时序结束的分隔记号。
ACK时隙由1bit构成。发送节点将ACK时隙设为隐性来进行发送。接收节点如果能够正常接收直到CRC时序,则将ACK时隙设为显性来发送。由于显性优先于隐性,因而如果在发送后ACK时隙为显性,则发送节点能够确认哪个接收节点接收成功了。
ACK分隔符是由1bit的隐性构成的、表示ACK结束的分隔记号。
EOF由7bit的隐性构成,表示数据帧结束。
[1.3错误帧格式]
图3是示出由CAN协议规定的错误帧的格式的图。错误帧由错误标志(主)、错误标志(次)、错误分隔符“DEL”构成。
错误标志(主)用于向其它节点通知产生了错误。检测出错误的节点为了向其它节点通知产生了错误,连续发送6bit的显性。该发送违反CAN协议中的位填充规则(即,不连续地发送6bit以上相同值的规则),会引起来自其它节点的错误帧(次)的发送。
错误标志(次)由用于向其它节点通知产生了错误的、连续的6比特位的显性构成。接收到错误标志(主)并检测出违反位填充规则的全部节点会发送错误标志(次)。
错误分隔符“DEL”为8bit的连续的隐性,表示错误帧的结束。
[1.4监视ECU 100的结构]
图4为监视ECU 100的结构图。监视ECU 100构成为包含帧收发部110、帧处理部120、状态伪装检测部130、功能限制部140、帧生成部150、接收历史保持部160、车辆状态保持部170和功能限制规则保持部180。图4所示的监视ECU 100的各构成要素可由执行监视ECU 100的存储器等存储介质、通信电路、执行存储器中存储的程序的处理器等来实现。
帧收发部110相对于总线300收发遵循CAN的协议的帧。帧收发部110具有作为从总线300逐比特地接收帧的接收部的功能。帧收发部110接收数据帧,将数据帧内的ID、DLC、数据这样的信息转送到帧处理部120。另外,帧收发部110在判断为不符合CAN协议的数据帧的情况下,发送错误帧。另外,帧收发部110在数据帧的接收中接收到错误帧的情况下,即在根据接收的数据帧中的值而解释为错误帧的情况下,以后丢弃该数据帧。帧收发部110在从帧生成部150收到数据帧的发送请求的情况下,向总线300逐比特地发送该数据帧的内容。
帧处理部120通过帧收发部110接收数据帧的信息,并解释数据帧的内容。另外,帧处理部120将接收中的数据帧通知给状态伪装检测部130和功能限制部140。
状态伪装检测部130进行参照接收历史保持部160保持的接收历史信息来判定是否伪装了车辆的状态的伪装检测处理。接收历史信息是数据帧的接收历史的信息。状态伪装检测部130基于按每一ID预先规定的数据帧的发送间隔,在从在先接收到的数据帧起以该发送间隔后为中心的余裕(margin)的范围内是否接收到多个同一ID的数据帧,来判定是否伪装了车辆的状态。例如,在预先规定为ECU 200a周期地发送的ID“0x100”的车速涉及的作为状态帧的数据帧的发送间隔是50ms的情况下,期待在期间T内接收ID“0x100”的数据帧的数量为1个,其中,期间T是从监视ECU 100接收到某ID“0x100”的数据帧的时刻+50ms-余裕起、到接收到该数据帧的时刻+50ms+余裕为止的时间范围。但是,在攻击者在此时间内发送了ID“0x100”的数据帧的情况下,与从ECU 200a正常发送的ID“0x100”的数据帧合起来,在该期间T内监视ECU 100会接收到两个ID“0x100”的数据帧。在这样的情况下,状态伪装检测部130针对ID“0x100”的状态帧所表示的车速而判定为是伪装了车辆状态的伪装状态。此外,在期间T内监视ECU 100接收到两个ID“0x100”的作为数据帧的状态帧的情况下,在监视ECU 100接收到的状态帧中会包含异常的状态帧。在接收到这样的异常的状态帧的情况下,针对相同ID的状态帧所表示的车辆的状态,由状态伪装检测部130判定为是伪装状态。状态伪装检测部130保持有按每个应该进行伪装判定的状态帧的ID而预先规定的发送间隔的信息。另外,关于状态伪装检测部130所使用的余裕,以允许正常发送的数据帧的发送间隔的波动的方式适当地设定,例如设定为3ms等。另外,状态伪装检测部130根据伪装检测处理中的判定结果,更新车辆状态保持部170中存储的车辆状态信息。另外,状态伪装检测部130基于从ECU 200a、ECU 200d等发送的状态帧的数据的值和接收到该状态帧的时刻,更新接收历史保持部160中存储的接收历史信息。在该更新中,状态伪装检测部130例如通过对从监视ECU 100起动时起或从其它预定时起的经过时刻进行计数的计时器,取得接收到状态帧的时刻,并记录到接收历史信息中。
功能限制部140在接收到用于车辆控制控制帧时,参照车辆状态保持部170中存储的车辆状态信息和功能限制规则保持部180中存储的作为是否应抑止车辆控制的基准的功能限制规则,判定是否应抑止车辆的控制。功能限制部140在判定为应抑止车辆的控制的情况下,为了使用于该车辆的控制的、接收中的控制帧无效化,向帧生成部150请求错误帧的发送。通过该错误帧,接收中的控制帧在总线300上被覆写,该控制帧被无效化。通过基于错误帧的覆写效果,ECU 200c等ECU不能从总线300完全地接收控制帧的整体,因此不再进行按照控制帧的控制。
帧生成部150在被请求了帧的发送的情况下,使帧收发部110发送该帧。帧生成部150在被请求了数据帧的发送的情况下,生成数据帧,并使帧收发部110发送该数据帧。
接收历史保持部160保持监视ECU 100接收到的数据帧的接收历史。接收历史保持部160例如保持表示与在最近100ms以内接收到的状态帧相关的数据值和接收时刻的接收历史信息(参照图5)。
车辆状态保持部170保持表示在由状态伪装检测部130进行的伪装检测处理中判定出的车辆状态的车辆状态信息(参照图6)。
功能限制规则保持部180保持作为是否应抑止基于接收中的控制帧进行的控制的判定基准的功能限制规则(参照图7)。
[1.5接收历史信息]
图5示出接收历史保持部160保持的接收历史信息的一例。在该图的例子中,接收历史信息包含在最近100ms以内接收到的ID“0x100”的表示车速的状态帧和ID“0x300”的表示齿轮位置的状态帧的接收时刻和数据值。
根据该例子的接收历史信息,关于车速涉及的ID“0x100”的状态帧,最新的接收时的数据值为42.1km/h,接收时刻为110ms。在1次前的接收时,该车速的状态帧的数据值为0.0km/h,接收时刻为61ms。在2次前的接收时,该车速的状态帧的数据值为42.0km/h,接收时刻为60ms。另外,在3次前的接收时,该车速的状态帧的数据值为42.0km/h,接收时刻为10ms。另外,关于齿轮位置涉及的ID“0x300”的状态帧,最新的接收时的数据值表示作为用于车辆前进的齿轮位置的“前进挡”,接收时刻为100ms。另外,在1次前的接收时,数据值表示“前进挡”,接收时刻为50ms。在图5的例子中,在更前一次,齿轮位置涉及的状态帧未被接收到,或者在最近100ms之前接收到但未保持。
[1.6车辆状态信息]
图6表示车辆状态保持部170保持的车辆状态信息的一例。在该图的例子中,作为车辆状态信息,与车速涉及的ID“0x100”的状态帧相关的车辆的状态和与齿轮位置涉及的ID“0x300”的状态帧相关的车辆的状态,通过伪装标志来表示。在该例子中,如果伪装标志为1,则表示车辆的状态为伪装状态,如果为0,则表示不是伪装状态。伪装状态例如是由攻击者针对作为车辆状态的车速、齿轮位置等,使表示伪的数据值的状态帧在总线300上流动的状态、即伪装了车辆状态的状态。在图6的例子中,示出了由ID“0x100”的状态帧所示的车速涉及的车辆的状态为伪装状态的情况。另外,示出了由ID“0x300”的状态帧所示的齿轮位置涉及的车辆的状态不是伪装状态的情况。
[1.7功能限制规则]
图7表示功能限制规则保持部180保持的功能限制规则的一例。
功能限制规则是表示是否应抑止车辆的控制的基准的信息,在该图的例子中,将功能限制对象与作为基准的车辆状态的条件对应起来,其中,功能限制对象是确定进行车辆控制的控制帧的信息。该图中示出了功能限制规则由多个项目的规则构成的例子,但规则的项目数量可以是1个,也可以是多个。
在该例子中,规则编号1的限制对象功能是方向盘控制指示涉及的ID“0x200”的数据帧中包含的控制标志为1的数据帧(即方向盘控制指示涉及的控制帧),用于抑止方向盘控制的车辆状态的条件是与车速涉及的ID“0x100”的状态帧相关的车辆的状态为伪装状态(即伪装标志为1)。另外,规则编号2的限制对象功能也同样是方向盘控制指示涉及的控制帧,用于抑止方向盘控制的车辆状态的条件是与齿轮位置涉及的ID“0x300”的状态帧相关的车辆的状态为伪装状态(即伪装标志为1)。
功能限制部140参照功能限制规则,在与符合接收中的控制帧的功能限制对象对应的车辆状态的条件满足的情况下,判定为应抑止基于该控制帧进行的车辆控制,为了使该控制帧无效化而向帧生成部150请求错误帧的发送。具体而言,功能限制部140在接收到方向盘控制指示涉及的控制帧时,按照图7的规则编号1的项目的规则,在车辆状态保持部170保持的车辆状态信息中由ID“0x100”的状态帧所示的车速涉及的车辆的状态成为伪装状态(即伪装标志为1)的情况下,为了使该控制帧无效化,向帧生成部150请求错误帧的发送。功能限制部140按照图7的规则编号2的项目的规则,在车辆状态信息中由ID“0x300”的状态帧所示的齿轮位置涉及的车辆的状态成为伪装状态(即伪装标志为1)的情况下,为了使该方向盘控制指示涉及的控制帧无效化,向帧生成部150请求错误帧的发送。在接收该方向盘控制指示涉及的控制帧时,功能限制部140在车速涉及的车辆的状态不是伪装状态、齿轮位置涉及的车辆的状态不是伪装状态的情况下,不发出错误帧的发送请求。
[1.8ECU 200a的结构]
图8是ECU 200a的结构图。ECU 200a构成为包含帧收发部201、帧处理部202、设备输入输出部203和帧生成部204。这各构成要素为功能性的构成要素,该各功能通过ECU200a中的通信电路、执行存储器中存储的控制程序的处理器或数字电路等来实现。此外,ECU 200b、ECU 200c和ECU 200d具有与ECU 200a大致同样的结构。
帧收发部201相对于总线300收发遵循CAN协议的帧。帧收发部201从总线300逐比特地接收数据帧,在无错误地完成数据帧的接收时,将数据帧内的ID、DLC、数据这样的信息转送到帧处理部202。帧收发部201在判断为不符合CAN协议的数据帧的情况下,发送错误帧。帧收发部201在数据帧的接收中接收到错误帧的情况下,以后丢弃该数据帧。另外,帧收发部201将通过帧生成部204接收到通知的帧的内容发送到总线300。通信仲裁这样的遵循CAN协议的处理,也在帧收发部201中实现。
帧处理部202对所接收到的数据帧的内容进行解释。以具有与ECU200a同样结构的ECU 200c为例进行说明,在ECU 200c的帧处理部202中,解释从ECU 200a、ECU 200b和ECU200d发送的数据帧中包含的车速、方向盘控制指示、齿轮位置等信息,并根据需要,将用于进行方向盘240的控制的控制信息通知给设备输入输出部203。此外,在ECU 200c的帧处理部202中,在从ECU 200a通知的车速超过10km/h的情况下或在从ECU 200d通知的齿轮位置为“倒车挡”以外的情况下,即使接收到方向盘控制指示涉及的控制帧(即具有ID“0x200”、控制标志为1的数据帧),也不控制方向盘240。
设备输入输出部203由与和ECU连接的设备进行通信的通信电路等构成。ECU 200a的设备输入输出部203从速度传感器210取得当前的车速,为了生成并发送表示车速的数据帧,向帧生成部204通知车速。ECU200b的设备输入输出部203从后置摄像头220取得表示车辆后方状况的影像数据。另外,ECU 200b的设备输入输出部203接收驾驶者对监视器230的驻车辅助功能的开始请求的操作,根据车辆后方的状况,计算用于控制方向盘240的目标操舵角,为了生成方向盘控制指示涉及的控制帧,将目标操舵角通知给帧生成部204。另外,ECU 200c的设备输入输出部203根据基于从ECU 200b通知的方向盘控制指示涉及的控制帧等的控制信息,来控制方向盘240。另外,ECU 200d的设备输入输出部203从传动装置250取得当前的齿轮位置,为了生成并发送表示齿轮位置的数据帧,向帧生成部204通知齿轮位置。
帧生成部204基于从设备输入输出部203通知的信息,生成向总线300发送的数据帧,并将生成的数据帧经由帧收发部201发送到总线300。例如在ECU 200a中,帧生成部204以作为预先设定的周期的50ms间隔生成数据帧,并通知给帧收发部201,所述数据帧包含从设备输入输出部203通知的、来自从速度传感器210的车速的信息。此外,作为数据帧的生成间隔的50ms只是周期的一例,也可以是50ms以外。关于ECU 200a、ECU200b和ECU 200d分别发送的数据帧的例子,接下来使用图9进行说明。
[1.9ECU发送的数据帧]
图9示出由ECU 200a、ECU 200b和ECU 200d分别发送的数据帧的例子。
在图9中,(a)的例子为ECU 200a发送的数据帧、即车速涉及的状态帧的例子。该车速涉及的状态帧具有ID“0x100”,DLC为2,该数据字段通过由第1字节和第2字节合起来的2字节来表示车速(0.1km/h单位)。图9的(a)的数据帧的例子示出了作为车速而表示42.1km/h(0x1A5)的状态帧。
在图9中,(b)的例子为ECU 200b发送的数据帧、即方向盘控制指示涉及的数据帧的例子。该方向盘控制指示涉及的数据帧具有ID“0x200”,DLC为4,在该数据字段中,第1字节为表示是否进行方向盘控制的控制标志,在1的情况下,表示应该进行方向盘240的控制,在0的情况下,表示不应该进行方向盘240的控制。第2字节在指示方向盘控制的情况下,通过右为0、左为1来表示应该向左右哪个方向转动方向盘240。由数据字段的第3字节和第4字节和合起来的2字节来表示用于方向盘240的控制的目标操舵角。图9的(b)的数据帧的例子示出了表示向右转动48度这样的方向盘控制指示的控制帧。
在图9中,(c)的例子为ECU 200d发送的数据帧、即齿轮位置涉及的状态帧的例子。该齿轮位置涉及的状态帧具有ID“0x300”且DLC为1,该数据字段通过1个字节表示齿轮位置。该1字节的值用0表示“空档”,用1表示“倒车挡”,用2表示“前进挡”,用3表示“停车”。图9的(c)的数据帧的例子示出了作为齿轮位置而表示“倒车挡”的状态帧。
[1.10驻车辅助功能的时序]
图10表示正常状态下的驻车辅助功能涉及的处理时序的一例。
ECU 200a将表示车速的状态帧(即具有ID“0x100”的数据帧)发送到总线300(步骤S11)。数据帧会向与总线300连接的全部ECU进行广播。负责方向盘240的控制的ECU 200c从总线300接收表示该车速的状态帧来作为应该接收的ID的数据帧,并基于该状态帧,更新并保持当前的车速。此外,ECU 200a以预先规定的50ms的发送间隔发送表示车速的状态帧,但在图10中,省略了以后的车速涉及的状态帧的发送。
另外,ECU 200d向总线300发送表示齿轮位置的状态帧(即具有ID“0x300”的数据帧)(步骤S12)。ECU 200c从总线300接收表示该齿轮位置的状态帧来作为应该接收的ID的数据帧,并基于该状态帧,更新并保持当前的齿轮位置。此外,ECU 200d以50ms的发送间隔发送表示齿轮位置的状态帧,但在图10中,省略了以后的齿轮位置涉及的状态帧的发送。
在驾驶者对监视器230进行了开始执行驻车辅助功能的操作时,从监视器230向ECU 200b传达驻车辅助请求(步骤S13)。
在ECU 200b被传达了驻车辅助请求时,在监视器230显示从后置摄像头220取得的、车辆后方的影像(步骤S14)。
在驾驶者观察监视器230中显示的影像并通过监视器230的操作指定驻车位置时,监视器230将表示该驻车位置的驻车位置决定通知传达给ECU 200b(步骤S15)。
ECU 200b基于驻车位置决定通知表示的驻车位置,计算作为目标的方向盘240的操舵角(即目标操舵角),作为具有ID“0x200”的数据帧,将控制标志设为1,并以包含目标操舵角的信息的方式进行发送(步骤S16)。即,ECU 200b发送方向盘控制指示涉及的控制帧。此外,ECU 200b针对ID“0x200”的数据帧,将方向盘240的目标操舵角逐次更新为适当的值并周期地发送,但在图10中,省略以后的具有ID“0x200”的数据帧的发送。
ECU 200c仅在接收方向盘控制指示涉及的控制帧(即具有ID“0x200”且控制标志为1的数据帧)且当前的车速为10km/h以下且齿轮位置为“倒车挡”的情况下,进行使方向盘240转动到目标操舵角的控制(步骤S17)。
[1.11抑止对驻车辅助功能的攻击涉及的时序]
图11示出对驻车辅助功能的攻击以及由监视ECU 100进行的非法控制抑止处理涉及的时序的一例。此处,假设监视ECU 100保持有图7例示的功能限制规则。另外,假设未进行开始执行驻车辅助功能的操作的车辆进行前进行驶。另外,假设ECU 200d周期地发送表示齿轮位置为“前进挡”的状态帧。此外,在图11中,省略关于齿轮位置涉及的状态帧的记载。
ECU 200a向总线300发送表示车速的状态帧(即具有ID“0x100”的数据帧)(步骤S21)。在该例子中,当前的车速为42.1km/h。
ECU 200c为了进行方向盘240的控制,需要满足车速为10km/h以下这样的条件。因此,攻击ECU作为非法地控制方向盘240的前阶段,发送具有ID“0x100”且车速为0km/h这样的表示伪信息的数据帧、即表示车速涉及的伪信息的状态帧(步骤S22)。攻击ECU是与总线300连接的ECU,例如为攻击者连接到总线300的ECU、攻击者通过破解等支配的ECU等。此外,攻击ECU例如观测由ECU 200a进行的、车速涉及的状态帧的发送周期,在预先规定的发送间隔的余裕范围的期间内,发送具有相同ID的车速涉及的表示伪信息的状态帧。由此,难以根据发送时机简单地检测为表示车速涉及的伪信息的状态帧是非法帧。
接收到表示步骤S22中发送的车速涉及的伪信息的状态帧的ECU200c,将所保持的当前的车速更新为0km/h。另外,监视ECU 100通过伪装检测处理,针对车速涉及的ID“0x100”的状态帧,根据在期待接收1次的期间内、即在预先规定的发送间隔涉及的余裕范围内的期间内接收到2次这一情况,判定为与ID“0x100”的状态帧所示的车速相关的车辆的状态为伪装状态。由此,与车辆状态信息中的车速相关的伪装标志成为1。
ECU 200b发送具有ID“0x200”的、表示方向盘控制指示的数据帧(步骤S23)。此时,未开始执行驻车辅助功能,因此,表示是否进行方向盘控制的控制标志为0,不控制方向盘240。与此相对,监视ECU 100根据具有ID“0x200”的数据帧中包含的控制标志为0的情况,由于不是功能限制规则的各规则的功能限制对象,因而不进行错误帧的发送等。
接下来,攻击ECU为了非法地控制方向盘240,发送具有ID“0x200”且将控制标志设为1的数据帧(即方向盘控制指示涉及的控制帧)(步骤S24)。与此相对,监视ECU 100,在该控制帧的接收中,基于功能限制规则和车辆状态信息,判定是否应抑止车辆的控制。步骤S24中发送的控制帧与功能限制规则的规则编号1的项目的规则的功能限制对象相符,满足了对应的车辆状态的条件,因此,监视ECU 100判定为应抑止基于该控制帧进行的车辆控制。
接下来,因为监视ECU 100判定为应抑止基于接收中的控制帧进行的车辆控制,所以为了使该方向盘控制指示涉及的控制帧无效化而发送错误帧(步骤S25)。通过错误帧的发送,监视ECU 100可抑止基于攻击的对方向盘240的非法控制。通过该错误帧,发送中的具有ID“0x200”的数据帧被覆写,结果,由攻击ECU进行的该数据帧的发送被中断。ECU 200c通过接收该错误帧,将接收中的数据帧丢弃,不进行基于该数据帧的方向盘240的控制。
这样,监视ECU 100根据基于功能限制规则的判定结果来进行错误帧的发送,由此,能够阻止ECU 200c对由攻击ECU进行的、用于非法控制方向盘240的数据帧的接收。
[1.12由监视ECU 100进行的监视工作]
图12是示出由监视ECU 100进行的监视工作的一例的流程图。每当总线300中出现数据帧时,进行该监视工作涉及的处理。
监视ECU 100接收数据帧,判断接收中的数据帧的ID是否是应该在接收历史保持部160中保持接收历史的数据帧的ID(步骤S31)。此外,在该例子中,接收历史保持对象的数据帧的ID与作为功能限制规则中的功能限制对象的数据帧的ID不同,但这只是一例。例如,接收历史保持对象涉及的ID是车速涉及的状态帧的ID“0x100”和齿轮位置涉及的状态帧的ID“0x300”(参照图5)。
监视ECU 100在接收中的数据帧的ID为应该在接收历史保持部160中保持接收历史的数据帧的ID的情况下,以包含接收中的数据帧的表示车速等的数据值和接收时刻的方式,更新接收历史保持部160保持的接收历史信息(步骤S32)。此外,监视ECU 100在更新该接收历史信息时,例如可以将接收时刻比当前时刻早一定时间(例如100ms)的接收历史的信息删除。
另外,监视ECU 100参照接收历史保持部160保持的接收历史信息,进行伪装检测处理(步骤S33)。具体而言,监视ECU 100通过状态伪装检测部130,例如,将接收历史信息中的1个ID涉及的状态帧(数据帧)的接收历史中最旧的状态帧的接收时刻加上预先规定的发送间隔(例如50ms)而得到的时刻作为基准时刻,在从基准时刻减去余裕(例如3ms)而得到的时刻到基准时刻加上余裕(例如3ms)而得到的时刻为止的范围(称作接收时机范围)内,计数接收到几个状态帧。进而,在接收到两个以上的状态帧的情况下,判定为车辆的状态被伪装,将车辆状态保持部170的对应的ID的伪装标志设为1。同样,将在接收时机范围内最初接收到的状态帧的接收时刻加上预先规定的发送间隔(例如50ms)而得到的时刻作为基准,求出下一接收时机范围,反复判断车辆的状态是否被伪装,直到最近接收到的状态帧为止。此外,在接收历史中含有在任意接收时机范围内均未包含的状态帧的情况下,将伪装标志更新为1。在这样的处理中未将伪装标志设为1的情况下,将伪装标志设为0。在该伪装检测处理中,进行了车辆的状态是否为伪装状态的判定,但不进行在接收历史保持部160保持的接收历史信息中接收历史所表示的各状态帧是否为非法(即是否是由攻击引起的)的识别。
监视ECU 100在步骤S31中判断为接收中的数据帧的ID不是应该在接收历史保持部160保持接收历史的数据帧的ID的情况下,判断是否是作为功能限制对象的数据帧的ID(步骤S34)。监视ECU 100在判断为接收中的数据帧的ID不是作为功能限制对象的数据帧的ID的情况下,结束处理。
监视ECU 100在步骤S34中判断为接收中的数据帧的ID是作为功能限制对象的数据帧的ID的情况下,判断接收中的数据帧是否是功能限制对象的数据帧(步骤S35)。具体而言,监视ECU 100通过参照功能限制规则保持部180保持的功能限制规则,判断是否是作为控制标志为1的方向盘控制指示涉及的数据帧的控制帧。如果接收中的数据帧不是功能限制对象的控制帧,监视ECU 100结束处理。
在步骤S35中判断为接收中的数据帧是功能限制对象的控制帧的情况下,监视ECU100判定是否应抑止该控制帧涉及的车辆的控制。具体而言,监视ECU 100通过参照功能限制规则和车辆状态保持部170保持的车辆状态信息,验证是否为该控制帧是功能限制对象且该车辆状态的条件成立来进行该判定(步骤S36)。如果步骤S36中的验证的结果是,在功能限制规则中,关于将该控制帧设为功能限制对象的各项目的规则,车辆状态的条件均不成立,则监视ECU 100结束处理。
如果步骤S36中的验证的结果是车辆状态的条件成立,则监视ECU100为了使接收中的数据帧无效化,在接收中的数据帧的最末尾被接收到之前向总线300发送错误帧(步骤S37)。由此,对该接收中的数据帧覆写错误帧,使该数据帧无效化。因此,与总线300连接的ECU(例如ECU200c)不进行基于该无效化的数据帧的车辆的控制。
[1.13实施方式1的效果]
在实施方式1涉及的车载网络系统10中,监视ECU 100基于一定期间内接收到的状态帧的集合,利用状态帧的发送间隔涉及的预先设定的规定,由此检测一定期间中的车辆的状态为伪装状态这一情况。进而,监视ECU 100在车辆的状态为伪装状态的情况下,在发送用于进行车辆控制的控制帧时,使该控制帧无效化,由此抑止该车辆的控制。由此,对伪装车辆的状态来非法地控制车辆这样的攻击的防御成为可能,可确保车载网络的安全。另外,用于该防御的非法控制抑止方法可通过在车载网络配置监视ECU 100来实现,因此,能够抑制成本并保护车载网络。
(实施方式2)
以下,对将实施方式1中所示的车载网络系统10的一部分进行了变形的车载网络系统11进行说明。
本实施方式涉及的车载网络系统11中的监视ECU监视在车载网络中流动的状态帧,计测当前的车辆状态持续的时间,基于车辆的状态是否为持续一定时间的稳定状态涉及的基准,对基于控制车辆的控制帧进行的控制功能进行限制。
[2.1车载网络系统11的整体结构]
图13是示出与本公开相关的车载网络系统11的整体结构的图。
如图13所示,车载网络系统11构成为包含总线300以及与总线300连接的监视ECU2100、ECU 200a~200d等。对于车载网络系统11,此处未特别说明之处与实施方式1中所示的车载网络系统10(参照图1)相同。在车载网络系统11的构成要素中,关于与车载网络系统10同样的构成要素,在图13中标注与图1相同的标号,并省略此处的说明。
监视ECU 2100是作为非法控制抑止装置的一种ECU,与总线300连接。监视ECU2100监视在总线300上流动的状态帧、控制帧等数据帧,计测车辆状态的持续时间。监视ECU2100根据计测到的车辆状态的持续时间,判定是否应抑止基于控制车辆的控制帧进行的控制,在应抑止的情况下,通过使控制帧无效化来抑止非法的车辆控制。
[2.2监视ECU 2100的结构]
图14是监视ECU 2100的结构图。监视ECU 2100构成为包含帧收发部110、帧处理部120、车辆状态监视部2130、功能限制部2140、帧生成部150、接收历史保持部2160和功能限制规则保持部2180。图14所示的监视ECU 2100的各构成要素可由监视ECU 2100的存储器等存储介质、通信电路、执行存储器中存储的程序的处理器等来实现。对于监视ECU2100,此处未特别说明之处与实施方式1中所示的监视ECU 100(参照图4)相同。在监视ECU 2100的构成要素中,具有与监视ECU 100同样功能的构成要素,在图14中标注与图4相同的标号,并适当省略此处的说明。
帧处理部120将接收中的数据帧通知给车辆状态监视部2130和功能限制部2140。
车辆状态监视部2130针对从帧处理部120通知的数据帧,更新接收历史保持部2160保持的接收历史信息中的、与对应的ID相关的接收历史。具体而言,车辆状态监视部2130基于从ECU 200a、ECU 200d等发送的状态帧的数据的值和接收到该状态帧的时刻来更新接收历史信息。在该更新中,车辆状态监视部2130例如通过对从监视ECU 2100起动时起或从其它预定时刻起的经过时刻进行计数的计时器,取得接收到状态帧的时刻,以表示与最近100ms以内接收到的状态帧相关的信息的方式更新接收历史信息。
功能限制部2140在接收到用于车辆控制的控制帧时,参照功能限制规则保持部2180所存储的作为是否应抑止车辆控制的基准的功能限制规则和接收历史保持部2160保持的接收历史信息,来判定是否应抑止车辆的控制。功能限制部2140在判定为应抑止车辆的控制的情况下,为了使用于该车辆控制的、接收中的控制帧无效化,向帧生成部150请求错误帧的发送。具体而言,为了判定是否应抑止车辆的控制,功能限制部2140在功能限制规则中作为功能限制对象的控制帧处于接收中的情况下,取得车辆状态的持续时间的计测结果,判定接收历史信息表示的状态帧的接收历史所表示的车辆的状态是否是满足功能限制规则中的车辆状态持续时间的条件的不稳定状态(即是否为稳定状态)。
接收历史保持部2160保持监视ECU 2100接收到的数据帧的接收历史。接收历史保持部2160例如保持与最近100ms以内接收到的状态帧相关的表示数据值和接收时刻的接收历史信息(参照图15)。
功能限制规则保持部2180保持作为是否应抑止基于接收中的控制帧进行的控制的判定基准的功能限制规则(参照图16)。
[2.3接收历史信息]
图15示出接收历史保持部2160保持的接收历史信息的一例。在该图的例子中,接收历史信息包含在最近100ms以内接收到的ID“0x100”的表示车速的状态帧和ID“0x300”的表示齿轮位置的状态帧的接收时刻和数据值。
根据该例子的接收历史信息,关于车速涉及的ID“0x100”的状态帧,最新的接收时的数据值为0.0km/h,接收时刻为211ms。在1次前的接收时,该车速的状态帧的数据值为42.1km/h,接收时刻为210ms。另外,在2次前的接收时,该车速的状态帧的数据值为42.0km/h,接收时刻为160ms。另外,关于齿轮位置涉及的ID“0x300”的状态帧,最新的接收时的数据值表示“倒车挡”,接收时刻为201ms。在1次前的接收时,数据值表示“前进挡”,接收时刻为200ms。另外,在2次前的接收时,数据值表示“前进挡”,接收时刻为150ms。
[2.4功能限制规则]
图16表示功能限制规则保持部2180保持的功能限制规则的一例。
功能限制规则是表示是否应抑止车辆控制的基准的信息,在该图的例子中,将作为确定进行车辆控制的控制帧的信息的功能限制对象与作为基准的车辆状态的条件(具体而言,车辆状态持续时间的条件)对应起来。该图示出功能限制规则由多个项目的规则构成的例子,但规则的项目数量可以是1个,也可以是多个。
在该例子中,规则编号1的限制对象功能是方向盘控制指示涉及的ID“0x200”的数据帧中包含的控制标志为1的数据帧(即方向盘控制指示涉及的控制帧),用于判定为应抑止方向盘控制的车辆状态的条件是与车速涉及的ID“0x100”的状态帧相关的车辆的状态为不稳定状态。在图16的例子中,车速涉及的不稳定状态意味着车速为10km/h以下的状态的持续时间比60ms短的状态。如果车速为10km/h以下的状态的持续时间为60ms以上,则为稳定状态。即,如果在从当前起到60ms前为止的期间,接收到1个表示大于10km/h的车速的状态帧,则功能限制部2140认为满足了规则编号1的车辆状态持续时间的条件,判定为应抑止基于作为功能限制对象的方向盘控制指示涉及的控制帧进行的控制。
在图16的例子中,规则编号2的项目的规则是与齿轮位置涉及的ID“0x300”的状态帧相关的车辆的状态为不稳定状态。在图16的例子中,齿轮位置涉及的不稳定状态意味着齿轮位置为“倒车挡”的状态的持续时间比60ms短的状态。如果在从当前起到60ms前为止的期间,接收到1个以上表示“倒车挡”以外的齿轮位置的状态帧,则功能限制部2140认为满足了规则编号2的车辆状态持续时间的条件,判定为应抑止基于作为功能限制对象的方向盘控制指示涉及的控制帧进行的控制。此外,关于车辆状态持续时间的条件,考虑对作为对象的状态帧预先规定的发送间隔等来进行设定是有用的。例如,在状态帧的发送间隔为50ms的情况下,在设作为车辆状态持续时间的条件的持续时间为60ms时,在60ms之间,会接收至少1个数据帧。即使在攻击者发送了表示对车速等车辆状态进行伪装的信息的状态帧的情况下,通过正常的状态帧的接收,将车辆状态持续时间重置为0。因此,无法为了成为解除功能限制的稳定状态而连续在比60ms长的持续时间内伪装车速等车辆状态。图17示出进行了伪装车速涉及的车辆状态的伪装帧的发送这样的攻击的情况下的车辆状态的持续时间。在图17中,在时刻t0、t2、t4等ECU 200a周期地发送的表示正常的车速(例如42.0Km/h)的状态帧之后,在时刻t1、t3、t5发送了0.0km/h这样的表示伪车速的状态帧。由逐次发送的状态帧所示的车速为10km/h以下的时间短于60ms。在这样进行了攻击的情况下的方向盘控制指示涉及的控制帧的接收时,功能限制部2140例如按照图17的规则编号1的项目的规则,在最近60ms的期间内车辆的状态不是稳定状态,因此,为了使方向盘控制指示涉及的控制帧无效化,向帧生成部150发出错误帧的发送请求。
此外,车载网络系统11设计为,具有ID“0x200”且控制标志为1的数据帧(即方向盘控制指示涉及的控制帧)在车速为10km/h以下且齿轮位置为“倒车挡”时只会在总线300上流动。进而,在由驾驶者进行了开始执行驻车辅助功能的操作和指定驻车位置的操作后,向总线300发送方向盘控制指示涉及的控制帧。在驾驶者使车辆停车、将齿轮位置变更为“倒车挡”后,在通过监视器230的操作请求开始执行驻车辅助功能并指定驻车位置之前,认为时间会经过数秒。在正常利用驻车辅助功能的情况下,在发送功能限制对象的正常的数据帧(即方向盘控制指示涉及的控制帧)时,10km/h以下的车速且“倒车挡”这样的齿轮位置涉及的车辆的状态持续长于60ms的时间。因此,不会判定为应该通过功能限制部2140抑止基于该正常的控制帧进行的方向盘控制。因此,在未受到攻击而正常利用驻车辅助功能的情况下的方向盘控制指示涉及的控制帧的接收时,在最近60ms的期间内,10km/h以下的车速且“倒车挡”这样的齿轮位置涉及的车辆的状态是持续的稳定状态,因此,功能限制部2140不发出错误帧的发送请求。
[2.5抑止对驻车辅助功能的攻击涉及的时序]
图18示出对驻车辅助功能的攻击以及由监视ECU 2100进行的非法控制抑止处理涉及的时序的一例。此处,监视ECU 2100保持有图16例示的功能限制规则。另外,假设未进行开始执行驻车辅助功能的操作而车辆进行前进行驶。
ECU 200a向总线300发送表示车速的状态帧(即具有ID“0x100”的数据帧)(步骤S211)。在该例子中,当前的车速为42.1km/h。接收到步骤S211中发送的车速涉及的状态帧的ECU 200c将所保持的当前的车速更新为42.1km/h。另外,接收到该状态帧的监视ECU2100更新接收历史保持部2160中保持的接收历史信息中的车速涉及的接收历史。
ECU 200c为了进行方向盘240的控制,需要满足车速为10km/h以下这样的条件。因此,攻击ECU作为非法地控制方向盘240的前阶段,发送具有ID“0x100”且车速为0km/h这样的表示伪信息的数据帧、即表示车速涉及的伪信息的状态帧(步骤S212)。接收到表示步骤S212中发送的车速涉及的伪信息的状态帧的ECU 200c,将所保持的当前的车速更新为0km/h。另外,接收到该状态帧的监视ECU 2100更新接收历史信息中的车速涉及的接收历史。
ECU 200d向总线300发送表示齿轮位置的状态帧(即具有ID“0x300”的数据帧)(步骤S213)。在该例子中,当前的齿轮位置为“前进挡”。接收到步骤S213中发送的齿轮位置涉及的状态帧的ECU 200c将所保持的当前的齿轮位置更新为“前进挡”。另外,接收到该状态帧的监视ECU 2100更新接收历史信息中的齿轮位置涉及的接收历史。
ECU 200c为了进行方向盘240的控制,需要满足齿轮位置为“倒车挡”这样的条件。因此,攻击ECU在非法地控制方向盘240的前阶段,发送具有ID“0x300”且齿轮位置为“倒车挡”这样的表示伪信息的数据帧、即表示齿轮位置涉及的伪信息的状态帧(步骤S214)。接收到表示步骤S214中发送的齿轮位置涉及的伪信息的状态帧的ECU 200c将所保持的当前的齿轮位置更新为“倒车挡”。另外,接收到该状态帧的监视ECU 2100更新接收历史信息中的齿轮位置涉及的接收历史。
接下来,攻击ECU为了非法地控制方向盘240,发送具有ID“0x200”且将控制标志设为1的数据帧(即方向盘控制指示涉及的控制帧)(步骤S215)。与此相对,监视ECU 2100在该控制帧的接收中,基于功能限制规则来判定是否应抑止车辆的控制。
步骤S215中发送的控制帧符合功能限制规则的规则编号1的项目的规则的功能限制对象,满足了对应的车辆状态持续时间的条件,因此监视ECU 2100判定为应抑止基于该控制帧进行的车辆控制。此外,根据该控制帧符合功能限制规则的规则编号2的项目的规则的功能限制对象,满足了对应的车辆状态持续时间的条件,监视ECU 2100也可判定为应抑止基于该控制帧进行的车辆控制。如果接收历史信息表示的预定期间中的车辆的状态符合功能限制规则的至少1个项目的规则表示的车辆状态持续的条件,则监视ECU 2100可判定为应抑止基于该符合的规则的功能限制对象的控制帧进行的车辆控制。
监视ECU 2100在步骤S215中发送的控制帧的接收中,判定为应抑止基于该控制帧进行的车辆控制,因此,为了使该方向盘控制指示涉及的控制帧无效化,发送错误帧(步骤S216)。通过错误帧的发送,监视ECU 2100可抑止基于攻击的对方向盘240的非法控制。通过该错误帧,发送中的具有ID“0x200”的数据帧被覆写,结果,由攻击ECU进行的该数据帧的发送会被中断。ECU 200c通过接收该错误帧,丢弃接收中的数据帧,不进行基于该数据帧的方向盘240的控制。
这样,监视ECU 2100通过根据基于功能限制规则的判定结果来进行错误帧的发送,能够阻止ECU 200c接收攻击ECU用于非法地控制方向盘240的数据帧。
ECU 200a向总线300发送表示42.1km/h这样的车速的状态帧(步骤S217)。接收到步骤S217中发送的车速涉及的状态帧的ECU 200c将所保持的当前的车速更新为42.1km/h。另外,接收到该状态帧的监视ECU2100更新接收历史保持部2160保持的接收历史信息中的车速涉及的接收历史。
[2.6由监视ECU 2100进行的监视工作]
图19是示出由监视ECU 2100进行的监视工作的一例的流程图。每当在总线300上出现数据帧时,进行该监视工作涉及的处理。
监视ECU 2100接收数据帧,判断接收中的数据帧的ID是否是应该在接收历史保持部2160保持接收历史的数据帧的ID(步骤S221)。例如,接收历史保持对象涉及的ID为车速涉及的状态帧的ID“0x100”和齿轮位置涉及的状态帧的ID“0x300”(参照图15)。
监视ECU 2100在接收中的数据帧的ID为应该在接收历史保持部2160保持接收历史的数据帧的ID的情况下,以包含接收中的数据帧的表示车速等的数据值和接收时刻的方式,更新接收历史保持部2160保持的接收历史信息中的该ID涉及的接收历史(步骤S222)。此外,监视ECU 2100在更新该接收历史信息时,例如可以将接收时刻比当前时刻早一定时间(例如100ms)的接收历史的信息删除。
监视ECU 2100在步骤S221中判断为接收中的数据帧的ID不是应该在接收历史保持部2160保持接收历史的数据帧的ID之后或者在步骤S222的处理之后,判断接收中的数据帧是否为在功能限制规则保持部2180保持的功能限制规则中作为功能限制对象的控制帧(步骤S223)。监视ECU2100在步骤S223中判断为接收中的数据帧不是作为功能限制对象的控制帧的情况下,结束处理。
在步骤S223中判断为接收中的数据帧是功能限制对象的控制帧的情况下,监视ECU 2100基于功能限制规则,通过验证最近的期间中的车辆的状态是否不稳定状态,来判定是否应抑止该控制帧涉及的车辆的控制(步骤S224)。具体而言,监视ECU 2100通过参照接收历史保持部2160保持的、对应的车辆的状态涉及的状态帧的接收历史和当前时刻,来验证在功能限制规则的各项目的规则中,是否满足了与符合接收中的控制帧的功能限制对象对应的车辆状态持续时间的条件,由此进行该判定。如果是否满足了功能限制规则中的车辆状态持续时间的条件所涉及的验证的结果是针对功能限制规则中的各项目的规则,车辆状态持续期间的条件均未成立,则监视ECU 2100结束处理。
如果步骤S224中的验证结果是满足了功能限制规则中的车辆状态持续时间的条件,则应抑止基于接收中的控制帧进行的车辆控制,为了使该控制帧无效化,在作为接收中的控制帧的数据帧的最末尾被接收之前向总线300发送错误帧(步骤S225)。由此,对该接收中的数据帧覆写错误帧,该数据帧被无效化。因此,与总线300连接的ECU(例如ECU 200c)不进行基于该无效化的数据帧的车辆控制。
[2.7实施方式2的效果]
在实施方式2涉及的车载网络系统11中,监视ECU 2100基于一定期间内接收到的状态帧的集合,验证表示车辆状态的特定的状态帧的数据值是否为某一定值或处于一定范围内、即是否为稳定状态。特定的状态帧与进行设为功能限制对象的车辆控制的控制帧对应地决定。例如基于图16所示的功能限制规则,根据特定的状态帧的数据值为一定值或处于一定范围内这一情况的持续时间是否持续该一定期间来进行该验证。进而,监视ECU2100在用于进行车辆控制的控制帧被发送时,在特定的状态帧所表示的车辆的状态在一定期间内不为稳定状态的情况下(即状态在一定期间内不持续的情况),通过使该控制帧无效化来抑止该车辆的控制。将该一定期间的长度设定为比预先规定的该状态帧的发送间隔长的时间是有用的。由此,即使攻击者在伪装了车辆状态的基础上发送了引起非法控制的控制帧,根据该车辆的状态的持续时间的长短,在监视ECU 2100中,该控制帧被无效化。此外,在考虑正常地利用功能的情况下,设定作为使功能限制对象的数据帧无效化的条件的车辆状态持续时间是有用的。由此,能够在正常地利用功能的情况下,功能限制对象的数据帧不被无效化,仅由攻击者发出的引起非法控制的数据帧被无效化。
通过该监视ECU 2100,对伪装车辆的状态来非法地控制车辆这样的攻击的防御成为可能,可确保车载网络的安全。另外,用于该防御的非法控制抑止方法能够通过在车载网络配置监视ECU 2100来实现,因此,能够抑制成本并保护车载网络。
(实施方式3)
以下,对将实施方式1中所示的车载网络系统10的一部分进行了变形的车载网络系统12进行说明。
本实施方式涉及的车载网络系统12中的监视ECU监视在车载网络中流动的状态帧,计测车辆的状态的变化,基于车辆的状态是否为在一定期间内超过预定次数而变化的变化多发状态涉及的基准,来限制根据控制车辆的控制帧进行的控制功能。关于是否为变化多发状态,除了观测数据帧表示的数据值的预定量以上的变化的次数以外,也可以通过观测产生预定量以上的变化所持续的时间等来判别。作为具体例子,在监视ECU中,关于作为表示是否是巡航控制模式等这样的控制指示的状态的状态帧的数据帧,在因控制指示不匹配的不匹配状态的持续而产生变化多发状态的情况下,抑止在该数据帧的控制指示为特定的指示时的基于该指示进行的控制。表示该特定的指示的数据帧,有的也是表示控制指示的状态的状态帧且指示车辆的控制的控制帧。监视ECU可基于不匹配状态持续的时间使控制帧无效化。
[3.1车载网络系统12的整体结构]
图20是示出与本公开相关的车载网络系统12的整体结构的图。
如图20所示,车载网络系统12构成为包含总线300以及与总线300连接的监视ECU3100、ECU 200a、3200e、3200f等。在搭载车载网络系统12的车辆中,通过多个ECU进行通信并协作,实现巡航控制功能。对于车载网络系统12,关于此处未特别说明之处,与实施方式1中所示的车载网络系统10(参照图1)相同。关于车载网络系统12的构成要素中的与车载网络系统10同样的构成要素,在图20中标注与图1相同的标号,并省略此处的说明。
监视ECU 3100是作为非法控制抑止装置的一种ECU,与总线300连接。监视ECU3100监视在总线300上流动的状态帧、控制帧等数据帧,监视数据帧中包含的控制指示等信息是否产生了不匹配,在产生了不匹配的情况下,计测不匹配的持续时间。此处,认为是否为巡航控制模式等控制指示的状态是一种车辆的状态涉及的信息,将包含控制指示的数据帧也表现为状态帧。另外,该控制指示为用于车辆控制的特定的指示的情况下的该数据帧为控制帧。监视ECU 3100根据计测出的不匹配的持续时间,判定是否应抑止基于控制车辆的控制帧进行的控制,在应抑止的情况下,通过使控制帧无效化来抑止非法的车辆控制。
ECU 3200e和ECU 3200f分别与开关3260、马达3270连接。ECU 3200e以80ms的发送间隔向总线300发送包含与巡航控制相关的信息的数据帧。与巡航控制相关的信息包含表示当前是否进入巡航控制模式的标志和加减速的信息。ECU 3200e在驾驶者按下开关3260的情况下,进入巡航控制模式。ECU 3200e通过来自ECU 200a的数据帧取得车速,为了保持进入巡航控制模式时刻的车速,计算加速度的大小,并包含于数据帧来发送。根据驾驶者是否再次按下开关3260或是否踩下制动器等来解除巡航控制模式。ECU 3200f进行马达3270的控制,实现车辆的行驶功能。另外,ECU3200f接收从ECU 3200e发送的数据帧,在巡航控制模式的标志成立的情况下,基于加速度的信息来控制马达3270,由此进行控制以使车辆的速度保持固定。
[3.2ECU 3200e发送的数据帧的例子]
图21示出由ECU 3200e发送的数据帧的例子。
该数据帧具有ID“0x400”且DLC为3,该数据字段的第1字节是表示车辆的状态是否为巡航控制模式的标志,在0的情况下,表示巡航控制模式为关闭(即不控制状态),在1的情况下,表示巡航控制模式为开启(即控制状态)。第2字节是表示在巡航控制模式为开启时是进行加速还是进行减速的标志,其中,0表示加速,1表示减速。第3字节是表示加减速的大小的量,以0.01m/s2的单位来表示。在图21的数据帧的例子中,示出了为巡航控制模式且请求加速度0.80m/s2的加速的数据帧。即,该数据帧是车辆为巡航控制模式这样的状态帧且用于请求加速来控制车辆的控制帧。
[3.3监视ECU 3100的结构]
图22是监视ECU 3100的结构图。监视ECU 3100构成为包含帧收发部110、帧处理部120、帧生成部150、控制信息监视部3130、功能限制部3140、接收历史保持部3160、功能限制规则保持部3180和不匹配持续时间计测部3190。图22所示的监视ECU 3100的各构成要素可通过监视ECU3100的存储器等存储介质、通信电路、执行存储器中存储的程序的处理器等来实现。对于监视ECU 3100,关于此处未特别说明之处,与实施方式1中所示的监视ECU 100(参照图4)相同。监视ECU 3100的构成要素中的具有与监视ECU 100同样功能的构成要素,在图22中标注与图4相同的标号,并适当省略此处的说明。
帧处理部120将接收中的数据帧通知给控制信息监视部3130和功能限制部3140。
控制信息监视部3130监视包含控制指示的数据帧,针对从帧处理部120通知的数据帧,更新接收历史保持部2160保持的接收历史信息中的、与对应的ID相关的接收历史。具体而言,控制信息监视部3130基于包含从ECU 3200e发送的、表示巡航控制模式是否开启的控制指示的标志等的状态帧的数据的值(例如控制指示的标志值)和接收到该状态帧的时刻,来更新接收历史信息。此外,控制信息监视部3130参照接收历史信息,判断在一定期间内接收到的具有相同ID的数据帧中的控制指示涉及的状态(例如巡航控制模式)是否产生了不匹配。控制信息监视部3130在控制指示涉及的状态产生了不匹配的情况下,向不匹配持续时间计测部3190发出不匹配持续时间的计测开始请求。
这样的控制指示涉及的状态的不匹配例如会在驾驶者按下开关3260而将巡航控制模式设为开启时等这样的、进行控制的功能从关闭状态变为开启状态时、或者从开启状态变为关闭状态时产生。但是,只要正常地利用功能,这样的不匹配不会长时间地持续。控制信息监视部3130通过一定期间的数据帧的监视,在产生不匹配的情况下,为了计测作为该持续时间的不匹配持续时间,向不匹配持续时间计测部3190进行请求,在没有产生不匹配的情况下,向不匹配持续时间计测部3190请求将不匹配持续时间重置为0并停止计测。
功能限制部3140在接收到数据帧时,参照功能限制规则保持部3180中保持的功能限制规则,在接收中的数据帧是功能限制对象的控制帧的情况下,判定是否应抑止基于该控制帧进行的车辆控制。关于是否应抑止基于该控制帧进行的控制的判定,通过参照与该控制帧关联地由不匹配持续时间计测部3190计测出的不匹配持续时间来进行。功能限制部3140在判定为应抑止车辆的控制的情况下,为了使用于该车辆的控制的、接收中的控制帧无效化,向帧生成部150请求错误帧的发送。具体而言,为了进行是否应抑止车辆的控制的判定,功能限制部2140在功能限制规则中设为功能限制对象的控制帧处于接收中的情况下,判定是否是不匹配持续时间满足功能限制规则的条件这样的一种变化多发状态。
接收历史保持部3160保持监视ECU 3100接收到的数据帧的接收历史。接收历史保持部3160例如保持最近100ms以内接收到的、表示与包含巡航控制模式的控制指示的标志的数据帧等这样的状态帧相关的数据值和接收时刻的接收历史信息(参照图23)。
功能限制规则保持部3180保持作为是否应抑止基于接收中的控制帧进行的控制的判定基准的功能限制规则(参照图24)。该功能限制规则也可以说是是否应该使接收中的数据帧无效化的判定基准。
不匹配持续时间计测部3190针对每一控制指示,计测控制指示不匹配所持续的时间,并保持计测结果等计测关联信息(参照图25)。另外,不匹配持续时间计测部3190接收来自控制信息监视部3130的计测开始请求,更新作为计测关联信息的计测中标志的值。不匹配持续时间计测部3190根据该计测中标志,按每个控制指示而保持能够使不匹配持续时间的计测开始或重置(即停止)的计时器。
[3.4接收历史信息]
图23示出接收历史保持部3160保持的接收历史信息的一例。在该图的例子中,包含作为最近100ms以内接收到的ID“0x400”的数据帧的数据值的控制指示的标志的值和其接收时刻。
根据该接收历史信息,最近100ms之间接收到4次具有ID“0x400”的数据帧,最新接收时的标志的值为1(即巡航控制模式为开启状态,进行控制的意思),接收时刻为301ms。在1次前的接收时,标志的值为0(即巡航控制模式为关闭状态,不进行控制的意思),接收时刻为300ms。在2次前的接收时,标志的值为1,接收时刻为221ms。在3次前的接收时,标志的值为0,接收时刻为220ms。
[3.5功能限制规则]
图24示出功能限制规则保持部3180保持的功能限制规则的一例。
功能限制规则是表示是否应抑止车辆的控制的基准的信息,在该图的例子中,将作为确定进行车辆控制的控制帧的信息的功能限制对象和限制功能以及作为基准的车辆状态的条件(具体而言,不匹配持续时间的条件)对应起来。该图示出功能限制规则由1个项目的规则构成的例子,但规则的项目数量也可以是多个。限制功能表示在满足了不匹配持续时间的条件的情况下进行限制的特定的控制指示。如果限制功能为“限制”,则在满足了不匹配持续时间的条件的情况下,在接收中的功能限制对象的数据帧为具有用1表示巡航控制模式为开启状态的情况的标志的控制帧的情况下,意味着应抑止基于该控制帧进行的控制,即应该使该控制帧无效化。另外,例如如果限制功能为“持续”,则意味着为了维持由产生不匹配之前的控制指示实现的状态,应该使控制帧无效化。例如,在产生不匹配之前表示巡航控制模式的标志为0的情况下,在满足了不匹配持续时间的条件的情况下,使作为表示巡航控制模式的标志为1的数据帧的控制帧无效化。不匹配持续时间的条件是表示作为用于功能限制的条件的不匹配持续时间的长度的条件,在该条件满足的情况下,进行针对功能限制对象的数据帧的功能限制。在图24的例子中,功能限制对象是具有巡航控制涉及的ID“0x400”的数据帧,限制功能为“控制”,包含表示巡航控制模式的开启状态的控制指示的数据帧成为应该无效化的控制帧。另外,在图24的例子中,不匹配持续时间的条件是不匹配持续时间为500ms以上。图24的例子的功能限制规则可以说是表示这样的基准:在关于巡航控制模式的控制指示的状态的不匹配持续时间为500ms以上的长度的变化多发状态下,应抑止基于巡航控制的特定的控制指示进行的控制。在该变化多发状态下,监视ECU 3100通过错误帧的发送,使作为表示巡航控制涉及的特定的控制指示的数据帧的控制帧无效化。
[3.6不匹配持续时间]
图25示出包含不匹配持续时间计测部3190计测并保持的不匹配持续时间等的计测关联信息的一例。该例子的计测关联信息针对每一数据帧的ID包含作为关于控制指示的不匹配所持续的时间即不匹配持续时间、表示是否正在计测不匹配持续时间的计测中标志以及表示是否在不匹配产生前进行了控制的不匹配产生前状态。在该例子中,针对巡航控制涉及的ID“0x400”的数据帧,计测出的不匹配持续时间为100ms,计测中标志以1表示持续时间计测中,不匹配产生前状态表示“不控制”(即表示巡航控制模式的控制指示的标志为0)。
[3.7抑止对巡航控制功能的攻击涉及的时序]
图26示出对巡航控制功能的攻击以及由监视ECU 3100进行的非法控制抑止处理涉及的时序的一例。此处,假设监视ECU 3100保持有图24例示的功能限制规则。另外,假设用于开启巡航控制功能的开关3260未进行操作的状态。另外,在图26中,省略关于ECU 200a发送的车速涉及的数据帧的记载。
ECU 3200e针对巡航控制涉及的具有ID“0x400”的数据帧,为了表示巡航控制模式为关闭状态,将控制指示的标志设为0并发送到总线300(步骤S311)。ECU 3200f和监视ECU3100接收该数据帧。ECU 3200f因为巡航控制模式涉及的标志为0,因而不进行用于使车速固定的加速或减速等这样的马达3270的控制。监视ECU 3100基于接收到的数据帧,更新接收历史保持部3160中保持的接收历史信息。
攻击ECU针对巡航控制涉及的具有ID“0x400”的数据帧,为了表示巡航控制模式为开启状态,将控制指示的标志设为1并发送(步骤S312)。ECU 3200f和监视ECU 3100接收该数据帧。ECU 3200f因为巡航控制模式涉及的标志为1,因而根据该数据帧的表示加速或减速的加速度的值来控制马达3270。监视ECU 3100基于接收到的数据帧,更新接收历史保持部3160中保持的接收历史信息。此时,监视ECU 3100根据最近100ms以内接收到的数据帧,关于巡航控制而接收到“控制”(即巡航控制模式为开启状态的控制指示)和“不控制”(即巡航控制模式为关闭状态的控制指示)这两种数据帧,因而判断为不匹配,开始不匹配持续时间的计测。
然后,在500ms期间反复发送具有与步骤S311同样的ID“0x400”且关于巡航控制表示“不控制”的数据帧以及具有与步骤S312同样的ID“0x400”且关于巡航控制表示“控制”的数据帧(步骤S313)。
接下来,ECU 3200e发送巡航控制涉及的具有ID“0x400”且表示“不控制”的数据帧(步骤S314)。ECU 3200f和监视ECU 3100接收该数据帧。
接下来,攻击ECU发送具有ID“0x400”且表示“控制”(即巡航控制模式为开启状态的控制指示)的数据帧(步骤S315)。
与步骤S315中的发送对应地,监视ECU 3100在接收中的数据帧为通过功能限制规则的功能限制对象和限制功能确定的控制帧的情况下,根据是否满足功能限制规则的车辆状态的条件(即不匹配持续时间的条件),来判定是否应抑止基于该控制帧进行的控制。在该时刻,在不匹配持续时间持续500ms以上的状态下,由于正接收作为包含表示巡航控制模式的控制指示(即标志为1)的数据帧的控制帧(接收中),因此,监视ECU 3100判定为应抑止基于该控制帧进行的控制。进而,为了该控制帧的无效化而发送错误帧(步骤S316)。通过错误帧的发送,监视ECU 3100可抑止由攻击进行的巡航控制涉及的非法控制。通过该错误帧,包含发送中的具有ID“0x400”且表示巡航控制模式为开启状态的控制指示的控制帧被覆写,结果,由攻击ECU进行的该数据帧的发送会被中断。ECU 3200f通过接收该错误帧,将接收中的数据帧丢弃,不进行基于该数据帧的、用于巡航控制的加速或减速等控制。
这样,监视ECU 3100根据基于功能限制规则的判定结果,进行错误帧的发送,由此,能够阻止ECU 3200f接收攻击ECU用于进行巡航控制涉及的非法控制的数据帧。
[3.8由监视ECU 3100进行的监视工作]
图27是示出由监视ECU 3100进行的监视工作的一例的流程图。每当在总线300上出现数据帧时,进行该监视工作涉及的处理。
监视ECU 3100接收数据帧,判断接收中的数据帧的ID是否是应该在接收历史保持部3160保持接收历史的数据帧的ID(步骤S321)。例如,接收历史保持对象涉及的ID是作为巡航控制模式的状态涉及的状态帧的数据帧的ID“0x400”(参照图23)。
监视ECU 3100在接收中的数据帧的ID为应该在接收历史保持部3160保持接收历史的数据帧的ID的情况下,以包含表示接收中的数据帧中的状态(例如巡航控制模式涉及的控制指示的标志)的数据值和接收时刻的方式,更新接收历史保持部3160保持的接收历史信息中的该ID涉及的接收历史(步骤S322)。此外,监视ECU 3100在更新该接收历史信息时,例如可以将接收时刻比当前时刻早一定时间(例如100ms)的接收历史的信息删除。
接下来,监视ECU 3100基于接收历史信息,判断表示控制指示等的数据值是否产生不匹配(步骤S323)。
接下来,监视ECU 3100基于步骤S323中判断出的、不匹配的有无,使不匹配持续时间计测部3190开始或停止不匹配持续时间的计测(步骤S324)。
监视ECU 3100在步骤S321中判断为接收中的数据帧的ID不是应该在接收历史保持部3160保持接收历史的数据帧的ID之后或者在步骤S324的处理之后,判断接收中的数据帧是否是根据功能限制规则保持部3180保持的功能限制规则中的功能限制对象和限制功能而确定的控制帧(步骤S325)。监视ECU 3100在步骤S325判断为接收中的数据帧不是作为功能限制对象的控制帧的情况下,结束处理。
接下来,监视ECU 3100基于由不匹配持续时间计测部3190计测出的不匹配持续时间是否满足功能限制规则中的不匹配持续时间的条件来判定是否应抑止基于接收中的控制帧进行的控制(步骤S326)。如果不匹配持续时间涉及的车辆的状态的条件成立,则判定为应抑止基于该控制帧进行的控制。监视ECU 3100在判定为不应抑止基于该控制帧进行的控制的情况下,即在不满足不匹配持续时间的条件的情况下,结束处理。
在步骤S326中判定为应抑止根据该接收中的控制帧进行的控制的情况下,监视ECU 3100为了使该控制帧无效化,在作为接收中的控制帧的数据帧的最末尾被接收之前向总线300发送错误帧(步骤S321)。由此,对该接收中的数据帧覆写错误帧,该数据帧被无效化。因此,与总线300连接的ECU(例如ECU 3200f)不进行基于该无效化的数据帧的车辆控制。
[3.9实施方式3的效果]
在实施方式3涉及的车载网络系统12中,监视ECU 3100基于一定期间内接收到的与控制指示相关的状态帧的集合,验证是否为控制指示的状态的变化多发的变化多发状态。例如,该验证基于图24所示的功能限制规则,根据作为因状态变化导致的不匹配持续的时间即不匹配持续时间是否持续一定期间来进行。进而,监视ECU 3100根据不匹配持续时间,判定是否使根据功能限制规则的功能限制对象和功能限制而确定的控制帧无效化。由此,攻击者即使持续发送引起非法控制的数据帧,也不能持续地引起非法控制。由于将与通过持续非法的控制而扩大伤害这样的控制相关的数据帧作为监视对象,这成为有效的对策。另外,通过监视ECU 3100,例如在巡航控制功能等特定功能正常利用之中该控制指示的状态偶尔产生变化的情况下(即不匹配持续时间为一定时间以下的情况下),不抑止该控制,在该变化在一定期间多发这样的攻击的情况下,抑止该控制。因此,不会错误地使正常的数据帧无效化。
(其它实施方式)
如上所述,作为本公开涉及的技术性示例,说明了实施方式1~3。但是,本公开涉及的技术不限于此,也可以适当应用于实施了变更、替换、附加、省略等的实施方式。例如,以下那样的变形例也包含于本公开的一个实施方式中。
(1)在上述实施方式中,将状态伪装检测部、功能限制部、车辆状态监视部、控制信息监视部作为与用于供多个ECU进行帧的收发的总线300连接的监视ECU的构成要素而进行了说明,但可以是其它一个或多个ECU的构成要素。上述监视ECU只要是在车载网络系统中与总线连接的ECU,则不需要是监视专用的ECU,也可以一并具有与监视和应对不同的功能。另外,例如可以将监视ECU中的1个以上的构成要素移动到其它ECU。可以由任意一个ECU执行伪装状态的检测、基于功能限制规则的控制应被抑止的控制帧的检测、用于抑止控制的控制帧的无效化等。例如,接收控制帧并根据该控制帧的内容进行控制的ECU等,可以具有与上述监视ECU同样的构成要素。另外,例如在由多个总线构成车载网络的情况下的进行总线之间的数据帧转送的网关ECU中,可以包含上述监视ECU的构成要素。由于网关ECU能够监视各总线的状态,因此这是有用的。在包含该监视ECU的结构的网关ECU中,为了抑止根据非法的控制帧进行的控制,除了根据错误帧进行的控制帧的无效化以外,能够进行抑止被判定为应抑止控制的控制帧在总线之间的转送等处理。另外,在网关ECU中,由于能够监视很多车载网络的信息,因而扩展了为了对根据非法的控制帧进行的控制进行抑止而能够实现的功能的范围。
(2)上述实施方式中所示的控制帧,如果是包含用于车辆控制的信息的数据帧,可以是任何帧。另外,也可以看做是,控制帧还包含用于进行抑止车辆的控制这一种控制的、进行车辆控制的抑止指示的数据帧。
(3)另外,在上述实施方式中,作为抑止基于成为功能限制对象的控制帧进行的控制的例子,示出了监视ECU根据错误帧在总线上覆写接收中的控制帧来进行无效化的例子。但是,根据控制帧进行的控制的抑止的实现方法不限于在控制帧的接收中发送错误帧的方法。例如,接收控制帧并根据该控制帧的内容来进行控制的ECU也可以将作为功能限制对象而判定为应抑止控制的控制帧丢弃,不进行与该控制帧对应的控制,由此实现根据控制帧进行的控制的抑止。这在车载网络的结构中不包含监视专用的监视ECU的情况下等是有用的。另外,如上所述,也可以通过网关ECU,抑止判定为应抑止控制控制帧的转送,由此实现抑止基于控制帧进行的控制。另外,作为抑止基于控制帧进行的控制的实现方法的例子,可举出向其它ECU发送通知限制该控制涉及的功能这一情况的数据帧的方法、向用户通知限制该功能这一情况的方法、以及使车辆转入ADAS的功能等这样的可包含自动控制功能的缩退的预先设定的故障安全模式的方法等。
(4)在上述实施方式中,以标准ID格式记述了CAN协议中的数据帧,但也可以是扩展ID格式,作为数据帧的标识符的ID,也可以是扩展ID格式下的扩展ID等。
(5)在上述实施方式中,示出了监视ECU在接收历史保持部中保持包含最近100ms接收到的数据帧的信息的接收历史信息的例子,但作为从该信息的接收起的保持期间,100ms只是一例。作为该保持期间,只要是设定为可得到判定车辆的状态处于伪装所需的信息的最低限度的时间、或可得到判断控制指示涉及的信息的不匹配正在持续所需的信息的最低限度的时间即可,例如,设想作为目标而设定比数据帧的发送间隔长的任意期间。另外,监视ECU作为接收历史信息来记录的接收历史对象的数据帧的ID可以是1个,也可以是多个。另外,监视ECU保持的功能限制规则的项目可以是1个,也可以是多个。另外,监视ECU在车辆状态保持部中保持的车辆状态信息可以包含与1个ID相关的伪装标志,也可以包含与多个ID分别相关的伪装标志。
(6)在上述实施方式中,监视ECU在接收历史保持部中作为接收历史信息而保持包含数据帧的数据字段的数据值以及接收时刻的接收历史,但数据值、接收时刻只是一例,也可以省略数据值或接收时刻的保持。接收历史保持部也可以保持其它信息,或者保持数据字段的一部分的数据值,或者保持接收到的数据帧的全部字段的内容。
(7)在上述实施方式中,作为功能限制规则保持部中保持的功能限制规则表示的基准,示出了车速涉及的车辆状态持续时间的条件和齿轮位置涉及的车辆状态持续时间的条件,但作为该基准,也可以组合各条件来使用各条件的逻辑和或逻辑积等。另外,可以增加或减少条件的数量。在功能限制规则中的功能限制对象的控制被正常执行的情况下,通过根据可靠地产生的车辆状态来设定车辆状态的条件,可防止错误地使正常的数据帧无效化。另外,通过适当地选定车速、齿轮位置等这样的、作为车辆控制条件的车辆的状态,在功能限制规则中设定该车辆的状态涉及的条件,由此可抑止由攻击者进行的、用于伪装车辆状态的状态帧发送后的基于控制帧进行的非法控制。例如,在实施方式1和实施方式2中所示的具有驻车辅助功能的车载网络系统的例子中,包含表示控制的控制标志的、正常的方向盘控制指示涉及的控制帧开始发送的时机是从驾驶者进行了开始执行驻车辅助功能的操作之后开始的。此处,驾驶者在开始执行驻车辅助功能的操作之前,将齿轮位置变更为“倒车挡”,一边参照监视器上显示的车辆后方的影像一边指定驻车位置。因此,作为功能限制规则涉及的基准的车辆状态的条件,例如可以设定为,在包含表示控制的控制标志的、设定正常的方向盘控制指示涉及的控制帧开始发送的时机,车速为0km/h。另外,在驻车辅助功能中计算方向盘的操舵角时使用了向驾驶者请求将方向盘恢复到直行状态的方式的情况下,作为功能限制规则涉及的基准的车辆状态的条件,例如可以设定为,在包含表示控制的控制标志的、正常的方向盘控制指示涉及的控制帧开始发送的时机,方向盘的操舵状态为大致直行状态。另外,根据驾驶者使用驻车辅助功能时的操作时序,作为车辆状态的条件,例如可以设定为,依次产生了车速为0km/h,齿轮位置为“倒车挡”,方向盘的操舵状态为大致直行状态等各个情况,直到包含表示控制的控制标志的、正常的方向盘控制指示涉及的控制帧开始发送的时机。
(8)在上述实施方式中,针对车辆状态的伪装检测,示出了如下例子:基于对状态帧规定的发送间隔,在预先规定的发送间隔涉及的余裕范围内的期间内接收到多个状态帧的情况下,判定为该状态帧涉及的车辆的状态被伪装。但是,车辆状态的伪装检测的方法不限于该例子的方法。例如,可以预先规定一定期间内的数据帧的接收数的阈值,在超过阈值的情况下判定为车辆的状态被伪装。另外,也可以预先规定一定期间内或一定接收次数内的数据帧的值的变化量的阈值或值的变化次数的阈值,在超过阈值的情况下,判定为车辆的状态被伪装。另外,可以基于不同ID的数据帧的关系性,根据关系性的破坏来判定车辆状态的伪装。另外,也可以组合能够从在车载网络中流动的数据帧以外取得的信息、例如GPS(Global Positioning System:全球定位系统)信息、地图信息、与点火的状态相关的信息、各种传感器信息等,来判定车辆状态的伪装。
(9)在上述实施方式中,示出了数据帧以明文流动在总线上的例子,但也可以加密。另外,数据帧也可以包含消息认证码。
(10)在上述实施方式中,示出了以明文保持有功能限制规则的例子,但也可以加密后保持。
(11)在上述实施方式中,作为车辆状态持续时间的计算方法,示出了通过参照接收历史信息来计算自当前时刻起车辆状态持续的时间的例子,但不限于该方法。例如作为接收历史信息,通过仅保持具有特定ID的状态帧的最终的接收时刻和此时的数据值,也可以计测车辆状态的持续时间。另外,只要能够与功能限制规则中的车辆状态持续时间的条件对应地、判别是否经过了预定的时间即可,不是必须计算车辆状态的持续时间。例如,在车辆的状态满足功能限制规则所示的预定条件时设置计时器,并判别计时器是否大于预定的时间,由此,也可以判别是否满足功能限制规则中的条件。另外,在车辆的状态满足功能限制规则所示的预定条件时,设置预定时间的倒数计时器,确认计时器是否成为0,由此,也可以判别是否满足功能限制规则中的条件。
(12)在上述实施方式中,示出了这样的例子:在功能限制规则中的车辆状态持续时间未经过预先规定的阈值以上的时间时,车辆的状态不是稳定状态,因而监视ECU抑止基于功能限制对象涉及的控制帧进行的控制。但是,在因车辆状态持续时间未经过预先规定的阈值以上的时间而车辆的状态为非稳定状态的情况下,可以不是立刻抑止基于控制帧进行的控制,也可以在非稳定状态状态持续一定程度的情况下进行抑止。关于虽然是非法地进行发送但危险性较低的控制涉及的控制帧,为了抑制错误地使正常的控制帧无效化这样的误检测,这是有用的。
(13)在上述实施方式中,作为不匹配持续时间,示出了在一定期间内观测包含表示控制的控制指示的信息的数据帧和包含表示不控制的控制指示的信息的数据帧这两者的时间,但不匹配持续时间的计测方法不限于此。例如,在一定期间内接收到的、包含用于控制的数据值的多个数据帧中的、该数据值的变化量超过阈值的情况下,可以认为产生了不匹配来计测持续时间。
(14)在上述实施方式中,作为车辆的状态的例子,示出了车速、齿轮位置等例子,但监视ECU监视的车辆的状态不限于此。车辆的状态例如可以是车轮的旋转速度、偏航率、加速度、操舵角、加速器踏板开度、制动级别、发动机的转速、马达的转速、齿轮位置、点火开关的状态、方向盘的操舵力矩、前方障碍物的有无、后方障碍物的有无、到前方障碍物的距离、到后方障碍物的距离、左右的分隔线的识别状态、到左右的分隔线的距离等。车辆的状态例如可以是通过传感器取得的状态。
(15)在上述实施方式中,作为监视ECU中的是否应抑止的判定对象的控制,示出了驻车辅助功能和巡航控制功能涉及的控制的例子,但由监视ECU判定是否应抑止的、基于控制帧的控制不限于驻车辅助功能涉及的方向盘控制和巡航控制功能涉及的加速或减速的控制。监视ECU中的是否应抑止的判定对象的控制例如也可以是与碰撞减轻制动系统、自适应巡航控制系统、车道保持辅助系统等相关的控制。另外,监视ECU中的是否应抑止的判定对象的控制例如也可以是与车辆的行驶相关的控制。与车辆的行驶相关的控制可以是与行驶相关的控制(例如加速控制)、与拐弯相关的控制(例如操舵控制)以及与停止相关的控制(例如制动控制)中的任意一个。另外,作为监视ECU中的是否应抑止的判定对象的控制也可以是仪器面板等对驾驶者进行信息提示的控制等这样的、间接地对与车辆的行驶相关的控制产生影响的控制。
例如,在将与碰撞减轻制动系统相关的控制作为监视ECU中的是否应抑止的判定对象的情况下,监视ECU例如可以将到前方障碍物的距离被伪装作为功能限制规则中的车辆状态的条件,并监视表示到前方障碍物的距离的状态帧的接收时刻、数据值等,来判定有无伪装。监视ECU例如在从不存在前方障碍物的状态或远方存在前方障碍物的状态变为前方障碍物突然存在于眼前的状态的情况下,判定为进行了伪装。进而,在进行了伪装的状态下,当总线上出现用于与碰撞减轻制动系统相关的控制的控制帧时,监视ECU进行该控制帧的无效化等。
另外,例如,在将与自适应巡航控制系统相关的控制作为监视ECU中的是否应抑止的判定对象的情况下,监视ECU例如可以将到在先车辆的距离被伪装作为功能限制规则中的车辆状态的条件,监视表示到在先车辆的距离的状态帧的接收时刻、数据值等,来判定有无伪装。监视ECU例如可以在从不存在在先车辆状态、或从远方存在在先车辆的状态变为在先车辆突然存在于眼前的状态的情况下或在从在先车辆存在于眼前的状态变为在先车辆突然存在于远方的状态、或变为在先车辆不存在的状态的情况下,判定为进行了伪装。
另外,例如,在将与车道保持辅助系统相关的控制作为监视ECU中的是否应抑止的判定对象的情况下,监视ECU例如可以将到分隔线的距离被伪装作为功能限制规则中的车辆状态的条件,监视表示到车辆行驶的车道的左右任一个的分隔线的距离的状态帧的接收时刻、数据值等,来判定有无伪装。监视ECU例如在从不能识别分隔线的状态、或从充分存在到分隔线的距离的状态变为到分隔线的距离突然变短、车辆逼近分隔线的状态的情况下,判定为进行了伪装。
(16)在上述实施方式中,通过监视ECU 100、2100、3100例示了非法控制抑止装置,但非法控制抑止装置不是必须具有上述监视ECU的全部构成要素。非法控制抑止装置也可以是图28所示的结构。该图所示的非法控制抑止装置4100在遵循CAN协议的车载网络涉及的车载网络系统中,多个ECU与进行状态帧和控制帧的收发的总线300(参照图1)连接,其中,状态帧是包含与车辆的状态相关的信息的帧,控制帧是对车辆指示预定控制(例如方向盘控制)的帧。非法控制抑止装置4100构成为包含接收部4110和判定部4120。接收部4110从总线300逐次接收状态帧和控制帧。接收部4110例如由CAN控制器等通信电路、处理器、存储器等实现。判定部4120基于在由接收部4110接收到的控制帧之前的预定期间(例如100ms期间等)内由接收部4110接收到的状态帧的集合而确定的、该预定期间中的车辆的状态是否满足预定基准(例如由上述的功能限制规则等所示的基准),判定是否应抑止基于该控制帧的预定控制。判定部4120例如可基于在预定期间内由接收部4110接收到的状态帧的集合,确定预定期间中的车辆的状态。此外,预定期间中的车辆的状态例如可以根据一种状态帧(例如具有相同ID的状态帧)的内容来确定,也可以根据多种状态帧(例如彼此具有不同ID的状态帧)的内容来确定。
作为由判定部4120用于判定的预定基准,例如使用在预定期间中的车辆的状态为伪装状态的情况下满足而在不是伪装状态的情况下不满足的基准,也可以使用在预定期间中的车辆的状态不为稳定状态的情况下满足而在所述状态为稳定状态的情况下不满足的基准,也可以使用在预定期间中的车辆的状态为超过预定次数而变化的变化多发状态的情况下满足而在不是变化多发状态的情况下不满足的基准。在使用它们中任意一个基准的情况下,判定部4120在满足了预定基准的情况下判定为应抑止预定控制。与这些例子相反,作为预定基准,也可以设定用于判定部4120在不满足该预定基准的情况下判定为应抑止预定控制的基准。此外,判定部4120例如可以在预定期间内接收到的状态帧的集合中包含异常的状态帧的情况下,确定为车辆的状态是伪装状态,在不包含异常的状态帧的情况下,确定为车辆的状态不是伪装状态。在该情况下,判定部4120可以通过任意方法来判别该状态帧的集合中是否包含异常的状态帧。例如,当在预定期间内接收到的状态帧的集合中包含以比预定阈值短的接收间隔接收到的、用于执行预定控制的、具有同一ID(即表示同一项目的信息)的多个状态帧的情况下,也可以判别为该集合中包含异常的状态帧。另外,例如,当在预定期间内接收到的状态帧的集合中包含比预定数量多的用于执行预定控制的、具有同一ID的状态帧的情况下,也可以判别为该集合中包含异常的状态帧。另外,例如,当在预定期间内接收到的状态帧的集合中包含用于执行预定控制的、具有同一ID的两个状态帧且该两个状态帧所表示的信息值的差异大于预定量的情况下,也可以判别为该集合中包含异常的状态帧。另外,例如,当在预定期间内接收到的状态帧的集合中包含用于执行预定控制的、具有同一ID的多个状态帧且按进行了接收的顺序排列的该多个状态帧所表示的信息的值不符合预定规则的情况下,也可以判别为该集合中包含异常的状态帧。
判定部4120例如由处理器、计时器、存储器等实现。判定部4120可进行与判定结果对应的输出。判定部4120在判定为应抑止基于控制帧的预定控制的情况下,也可以通过CAN控制器等,以覆写该控制帧的至少一部分的方式向总线300发送错误帧。另外,非法控制抑止装置4100例如可以具有在多个通信路径之间负责帧的转送的转送功能,在该情况下,判定部4120在判定为应抑止基于控制帧的预定控制的情况下,可以将该控制帧从转送对象中排除而不进行转送。
另外,示出了非法控制抑止装置或监视ECU搭载于车辆且包含在车载网络系统中的例子,但也可以包含于车辆以外的控制对象的用于控制的网络系统中。车辆以外的控制对象例如为机器人、飞机、船舶、机械等。
(17)在上述实施方式中,在车载网络中,按照CAN协议进行状态帧、控制帧等数据帧的传输,但CAN协议可以作为包含在自动化系统中的嵌入系统等中使用的CANOpen、或TTCAN(Time-Triggered CAN:时间触发CAN)、CANFD(CAN with Flexible Data Rate:灵活的数据速率)等派生的协议在内的广义的含义来对待。另外,车载网络也可以使用CAN协议以外的协议。作为进行状态帧以及控制帧的传输的车载网络的协议,例如也可以使用LIN(Local Interconnect Network:局域互联网)、MOST(注册商标)(Media Oriented SystemsTransport)、FlexRay(注册商标)、Ethernet(注册商标)等,其中,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是对车辆指示预定控制的帧。另外,也可以将使用了这些协议的网络作为子网络,组合多种协议涉及的子网络来构成车载网络。另外,Ethernet(注册商标)协议可以作为包含IEEE802.1涉及的Ethernet(注册商标)AVB(Audio VideoBridging:音视频桥接)或IEEE802.1涉及的Ethernet(注册商标)TSN(Time SensitiveNetworking:时间敏感网络)、Ethernet(注册商标)/IP(Industrial Protocol:工业协议)、EtherCAT(注册商标)(Ethernet(注册商标)for Control Automation Technology)等派生协议在内的广义的含义来对待。此外,车载网络的通信路径可以是由网络总线(例如总线300)或其它线路、光纤维等构成的有线通信路径,也可以是其它通信路径。
(18)构成上述实施方式中的各装置的构成要素的一部分或全部可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是在1个芯片上集成多个结构部分而制造出的超多功能LSI,具体而言,是构成为包含微处理器、ROM、RAM等的计算机系统。所述RAM记录有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI达成其功能。另外,构成上述各装置的构成要素的各部可以独立地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,此处,作为系统LSI,根据集成度的不同,有时称作IC、LSI、超大LSI、特大LSI。另外,集成电路化的方法不限于LSI,也可以由专用电路或通用处理器实现。也可以利用在LSI制造之后能够编程的FPGA(Field Programmable GateArray:现场可编程门阵列)或能够重新配置LSI内部电路单元的连接或设定的可重构处理器。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然可以利用该技术进行功能块的集成化。也可以应用生物技术等。
(19)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
(20)作为本公开的一个方式,例如可以是包含图12、图19、图27等所示的处理步骤的全部或一部分非法控制抑止方法。例如,非法控制抑止方法是车载网络系统涉及的非法控制抑止方法,该车载网络系统具有经由通信路径(例如总线300)进行包括对车辆指示预定控制(例如方向盘控制等)的控制帧的多个帧的收发的多个ECU,该非法控制抑止方法具有:从该通信路径逐次接收多个帧的接收步骤(例如步骤S31、S221、S321);以及基于在通过接收步骤接收到的控制帧的接收时之前的预定期间内通过接收步骤接收到的帧的集合,判定是否应抑止基于该控制帧的预定控制的判定步骤(例如步骤S36、S224、S326)。此外,该非法控制抑止方法还可以包含如下处理步骤:在通过判定步骤判定为应抑止基于控制帧的预定控制的情况下,执行用于抑止预定控制的预定处理(例如步骤S37、S225、S327)。用于抑止基于控制帧的预定控制的预定处理例如是丢弃该控制帧的处理、通过错误帧的发送等在通信路径上覆写该控制帧的处理、抑止该控制帧向其它通信路径转送的处理或向ECU指示不执行基于该控制帧的预定控制的处理等。另外,也可以是由计算机实现该方法的程序(计算机程序),也可以是由所述计算机程序构成的数字信号。另外,作为本公开的一个方式,可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个方式,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。另外,作为本公开的一个方式,也可以是具备微处理器和存储器的计算机系统,所述存储器存储有上述计算机程序,所述微处理器按照所述计算机程序进行工作。另外,也可以是,通过将所述程序或所述数字信号记录在所述记录介质中并进行移送、或者经由所述网络等将所述程序或所述数字信号进行移送,由此通过独立的其他的计算机系统来实施。
(21)通过任意组合上述实施方式和上述变形例子中所示的各构成要素和功能而实现的方式也包含在本公开的范围中。
产业上的可利用性
本公开能够应用于包含车载网络的车载网络系统。
标号说明
10、11、12车载网络系统
100、2100、3100监视ECU
110、201帧收发部
120、202帧处理部
130状态伪装检测部
140、2140、3140功能限制部
150、204帧生成部
160、2160、3160接收历史保持部
170车辆状态保持部
180、2180、3180功能限制规则保持部
200a~200d、3200e、3200f电子控制单元(ECU)
203设备输入输出部
210速度传感器
220后置摄像头
230监视器
240方向盘
250传动装置
300总线
2130车辆状态监视部
3130控制信息监视部
3190不匹配持续时间计测部
3260开关
3270马达
4100非法控制抑止装置
4110接收部
4120判定部

Claims (18)

1.一种非法控制抑止方法,是具有多个电子控制单元的网络系统中的非法控制抑止方法,所述多个电子控制单元经由通信路径进行多个帧的收发,所述非法控制抑止方法包括:
接收步骤,从所述通信路径逐次接收所述多个帧,所述多个帧包括状态帧和控制帧,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是向所述车辆指示预定控制的帧;以及
判定步骤,基于在通过所述接收步骤接收到的所述控制帧的接收时之前的预定期间内通过所述接收步骤接收到的所述状态帧的集合,判定是否应抑止基于该控制帧的所述预定控制。
2.根据权利要求1所述的非法控制抑止方法,
在所述判定步骤中,基于根据在通过所述接收步骤接收到的控制帧的接收时之前的预定期间内通过所述接收步骤接收到的所述状态帧的集合而确定的、该预定期间中的所述控制对象的状态是否满足预定基准,判定是否应抑止基于该控制帧的所述预定控制。
3.根据权利要求2所述的非法控制抑止方法,
在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含异常的状态帧的情况下,确定为所述控制对象的状态是伪装状态,在所述集合中不包含异常的状态帧的情况下,确定为所述控制对象的状态不是伪装状态,
对于所述预定基准,在所确定的所述控制对象的状态是伪装状态的情况满足所述预定基准,在所述控制对象的状态不是伪装状态的情况下不满足所述预定基准,
在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。
4.根据权利要求3所述的非法控制抑止方法,
在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含以比预定阈值短的接收间隔接收到的、表示用于执行所述预定控制的同一项目的信息的多个状态帧的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。
5.根据权利要求3所述的非法控制抑止方法,
在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含比预定数量多的表示用于执行所述预定控制的同一项目的信息的状态帧的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。
6.根据权利要求3所述的非法控制抑止方法,
在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含表示用于执行所述预定控制的同一项目的信息的两个状态帧且该两个状态帧所表示的该信息的值的差异大于预定量的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。
7.根据权利要求3所述的非法控制抑止方法,
在所述判定步骤中,当在所述预定期间内通过所述接收步骤接收到的状态帧的集合中包含表示用于执行所述预定控制的同一项目的信息的多个状态帧且按进行了接收的顺序排列的该多个状态帧所表示的该信息的值不符合预定规则的情况下,认为该集合中包含异常的状态帧,确定为所述控制对象的状态是伪装状态。
8.根据权利要求2所述的非法控制抑止方法,
对于所述预定基准,在所述预定期间中的所述控制对象的状态不为稳定状态的情况下满足所述预定基准,在所述状态为稳定状态的情况下不满足所述预定基准,
所述稳定状态是表示所述控制对象的状态的特定的状态帧的数据值为某一定值或处于一定范围内的状态,
在所述判定步骤中,基于根据在与控制帧的接收时相连续的紧接该接收时之前的所述预定期间内通过所述接收步骤接收到的状态帧的集合而确定的、该预定期间中的所述控制对象的状态,进行基于该控制帧的所述预定控制所涉及的所述判定,
在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。
9.根据权利要求2所述的非法控制抑止方法,
对于所述预定基准,在所述预定期间中的所述控制对象的状态是超过预定次数而变化的变化多发状态的情况下满足所述预定基准,在所述状态不是变化多发状态的情况下不满足所述预定基准,
在所述判定步骤中,在满足了所述预定基准的情况下,判定为应抑止所述预定控制。
10.根据权利要求1~9中的任意一项所述的非法控制抑止方法,
所述非法控制抑止方法还包括如下的处理步骤:在通过所述判定步骤判定为应抑止基于控制帧的所述预定控制的情况下,执行用于抑止所述预定控制的预定处理,
所述预定处理包括将该控制帧丢弃的处理、在所述通信路径上覆写该控制帧的处理、抑止该控制帧向其它通信路径转送的处理、以及向所述电子控制单元指示不执行基于该控制帧的所述预定控制的处理中的任一处理。
11.根据权利要求1~9中的任意一项所述的非法控制抑止方法,
所述控制对象是搭载所述网络系统的车辆,
所述通信路径是所述车辆中的有线通信路径,
所述多个电子控制单元按照CAN协议或Ethernet协议,进行所述多个帧的收发。
12.根据权利要求11所述的非法控制抑止方法,
所述预定控制是与所述车辆的行驶相关的控制。
13.根据权利要求11所述的非法控制抑止方法,
在所述接收步骤中,逐次接收状态帧,所述状态帧是包含关于车速、车轮的旋转速度、偏航率、加速度、操舵角、加速器踏板开度、制动级别、发动机的转速、马达的转速、齿轮位置和点火开关的状态中的任一项的信息在内的帧。
14.根据权利要求12所述的非法控制抑止方法,
在所述接收步骤中,逐次接收状态帧,所述状态帧是包含关于车速、车轮的旋转速度、偏航率、加速度、操舵角、加速器踏板开度、制动级别、发动机的转速、马达的转速、齿轮位置和点火开关的状态中的任一项的信息在内的帧。
15.根据权利要求11所述的非法控制抑止方法,
所述多个帧包括状态帧,所述状态帧包含与所述控制对象的状态相关的信息,
所述多个电子控制单元与作为所述通信路径的网络总线连接,按照CAN协议来进行作为数据帧的状态帧和控制帧的收发,
所述非法控制抑止方法还包括如下的处理步骤:在通过所述判定步骤判定为应抑止基于控制帧的所述预定控制的情况下,向所述网络总线发送错误帧,以使其覆写于该控制帧的至少一部分。
16.根据权利要求12~14中的任意一项所述的非法控制抑止方法,
所述多个帧包括状态帧,所述状态帧包含与所述控制对象的状态相关的信息,
所述多个电子控制单元与作为所述通信路径的网络总线连接,按照CAN协议来进行作为数据帧的状态帧和控制帧的收发,
所述非法控制抑止方法还包括如下的处理步骤:在通过所述判定步骤判定为应抑止基于控制帧的所述预定控制的情况下,向所述网络总线发送错误帧,以使其覆写于该控制帧的至少一部分。
17.一种非法控制抑止装置,是多个电子控制单元经由通信路径进行多个帧的收发时的与该通信路径连接的非法控制抑止装置,所述非法控制抑止装置具有:
接收部,其从所述通信路径逐次接收所述多个帧,所述多个帧包括状态帧和控制帧,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是向所述车辆指示预定控制的帧;以及
判定部,其基于在由所述接收部接收到的所述控制帧的接收时之前的预定期间内由所述接收部接收到的所述状态帧的集合,判定是否应抑止基于该控制帧的所述预定控制。
18.一种车载网络系统,其具有经由网络总线进行多个帧的收发的多个电子控制单元,所述车载网络系统具备:
接收部,其从所述网络总线逐次接收所述多个帧,所述多个帧包括状态帧和控制帧,所述状态帧是包含与车辆的状态相关的信息的帧,所述控制帧是向所述车辆指示预定控制的帧;以及
判定部,其基于根据在由所述接收部接收到的所述控制帧的接收时之前的预定期间内由所述接收部接收到的所述状态帧的集合而确定的、该预定期间中的所述车辆的状态是否满足预定基准,判定是否应抑止基于该控制帧的所述预定控制。
CN201780003700.8A 2016-07-05 2017-06-27 非法控制抑止方法、非法控制抑止装置和车载网络系统 Active CN108353014B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110840937.XA CN113556271B (zh) 2016-07-05 2017-06-27 非法控制抑止方法、非法控制抑止装置和车载网络系统

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2016-133760 2016-07-05
JP2016133760 2016-07-05
JP2017080059A JP6280662B2 (ja) 2016-07-05 2017-04-13 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP2017-080059 2017-04-13
PCT/JP2017/023470 WO2018008452A1 (ja) 2016-07-05 2017-06-27 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110840937.XA Division CN113556271B (zh) 2016-07-05 2017-06-27 非法控制抑止方法、非法控制抑止装置和车载网络系统

Publications (2)

Publication Number Publication Date
CN108353014A CN108353014A (zh) 2018-07-31
CN108353014B true CN108353014B (zh) 2021-07-20

Family

ID=60993542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780003700.8A Active CN108353014B (zh) 2016-07-05 2017-06-27 非法控制抑止方法、非法控制抑止装置和车载网络系统

Country Status (4)

Country Link
US (2) US10834083B2 (zh)
EP (2) EP3484106B1 (zh)
JP (3) JP6280662B2 (zh)
CN (1) CN108353014B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6280662B2 (ja) * 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
CN106788916B (zh) * 2016-12-30 2021-08-27 深圳市优必选科技股份有限公司 用于总线的数据传输方法及数据传输装置
US10757113B2 (en) * 2017-03-17 2020-08-25 Cylance Inc. Communications bus signal fingerprinting
JP7172043B2 (ja) * 2018-01-19 2022-11-16 富士通株式会社 攻撃検知装置および攻撃検知方法
JP6965767B2 (ja) * 2018-01-23 2021-11-10 株式会社デンソー 車載通信システム
JP6519829B1 (ja) * 2018-05-31 2019-05-29 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP6519830B1 (ja) * 2018-05-31 2019-05-29 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
DE102019113818B4 (de) 2018-05-31 2023-03-30 Panasonic Intellectual Property Management Co., Ltd. Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung
JP6922852B2 (ja) 2018-06-12 2021-08-18 株式会社デンソー 電子制御装置および電子制御システム
US20200013243A1 (en) * 2018-07-03 2020-01-09 Honeywell International Inc. Systems and methods for enhanced cyber security by data corruption detection monitoring
WO2020090108A1 (ja) * 2018-11-02 2020-05-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御防止システムおよび、不正制御防止方法
KR20200131639A (ko) * 2019-05-14 2020-11-24 현대자동차주식회사 게이트웨이 장치 및 그 제어방법
JP7234832B2 (ja) * 2019-07-03 2023-03-08 株式会社デンソー 電子制御装置
JP7318710B2 (ja) * 2019-07-29 2023-08-01 オムロン株式会社 セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体
US11582060B2 (en) 2020-08-21 2023-02-14 Geotab Inc. Telematics system for identifying manufacturer-specific controller-area network data
US11190370B1 (en) 2020-08-21 2021-11-30 Geotab Inc. Identifying manufacturer-specific controller-area network data
US11546427B2 (en) 2020-08-21 2023-01-03 Geotab Inc. Method and system for collecting manufacturer-specific controller-area network data
JP7109621B1 (ja) * 2021-05-06 2022-07-29 三菱電機株式会社 制御システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103999410A (zh) * 2011-12-22 2014-08-20 丰田自动车株式会社 通信系统及通信方法
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
WO2016038816A1 (ja) * 2014-09-12 2016-03-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両用通信装置、車載ネットワークシステム及び車両用通信方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5919205B2 (ja) 1980-09-04 1984-05-04 株式会社アスク研究所 地盤の掘削方法
JPS62247262A (ja) * 1986-04-21 1987-10-28 Mazda Motor Corp 車速信号の異常検出装置
JP3584838B2 (ja) * 2000-02-22 2004-11-04 日本電気株式会社 パケット監視システム、パケット監視方法及びそのプログラムを記録した記録媒体
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
KR100818307B1 (ko) * 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
US8213321B2 (en) * 2007-02-01 2012-07-03 Deere & Company Controller area network condition monitoring and bus health on in-vehicle communications networks
JP4844658B2 (ja) * 2009-08-07 2011-12-28 株式会社デンソー 診断装置および診断システム
JP5635314B2 (ja) * 2010-06-29 2014-12-03 日立オートモティブシステムズ株式会社 電気自動車、ハイブリッド自動車、自動車、自動車ブレーキネットワークシステム、車載ネットワークシステム
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP5626266B2 (ja) * 2012-06-05 2014-11-19 株式会社デンソー 通信システム
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
WO2015118766A1 (ja) * 2014-02-04 2015-08-13 日立オートモティブシステムズ株式会社 車載制御装置
EP3852313B1 (en) * 2014-04-03 2022-06-08 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and anti-fraud handling method
US10165442B2 (en) * 2014-05-29 2018-12-25 Panasonic Intellectual Property Management Co., Ltd. Transmission device, reception device, transmission method, and reception method
WO2016088304A1 (ja) * 2014-12-01 2016-06-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP6525824B2 (ja) * 2015-08-31 2019-06-05 国立大学法人名古屋大学 中継装置
JP6585001B2 (ja) * 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム
JP2017216569A (ja) * 2016-05-31 2017-12-07 株式会社日立製作所 通信装置、制御システム、及び、通信制御方法
JP6280662B2 (ja) * 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103999410A (zh) * 2011-12-22 2014-08-20 丰田自动车株式会社 通信系统及通信方法
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
WO2016038816A1 (ja) * 2014-09-12 2016-03-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両用通信装置、車載ネットワークシステム及び車両用通信方法

Also Published As

Publication number Publication date
EP3866407A1 (en) 2021-08-18
US20180316680A1 (en) 2018-11-01
US11425128B2 (en) 2022-08-23
JP2018011288A (ja) 2018-01-18
JP6280662B2 (ja) 2018-02-14
US20210014230A1 (en) 2021-01-14
JP6800135B2 (ja) 2020-12-16
CN108353014A (zh) 2018-07-31
EP3866407B1 (en) 2022-08-10
JP2021040336A (ja) 2021-03-11
EP3484106A4 (en) 2019-05-15
JP2018064293A (ja) 2018-04-19
JP6956844B2 (ja) 2021-11-02
EP3484106A1 (en) 2019-05-15
US10834083B2 (en) 2020-11-10
EP3484106B1 (en) 2021-05-26

Similar Documents

Publication Publication Date Title
CN108353014B (zh) 非法控制抑止方法、非法控制抑止装置和车载网络系统
US11190533B2 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
US11398116B2 (en) Anomaly detection electronic control unit, in-vehicle network system, and anomaly detection method
US11165851B2 (en) System and method for providing security to a communication network
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
JP2022125099A (ja) 不正検知サーバ、及び、方法
WO2017038351A1 (ja) 車載ネットワーク装置
JP2018011288A5 (zh)
JP6558703B2 (ja) 制御装置、制御システム、及びプログラム
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
CN113556271B (zh) 非法控制抑止方法、非法控制抑止装置和车载网络系统
KR101714526B1 (ko) 차량 네트워크 해킹 방지 방법 및 장치
WO2018008453A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP2019209961A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP6559619B2 (ja) 通信システム、通信装置、通信方法、およびプログラム
JP2019172261A (ja) 制御装置、制御システム、及び制御プログラム
JP2019209962A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP2019212972A (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
CN113783958A (zh) 网关装置、方法及车载网络系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant