CN111434077B - 通信控制装置、移动网络系统、通信控制方法以及存储介质 - Google Patents
通信控制装置、移动网络系统、通信控制方法以及存储介质 Download PDFInfo
- Publication number
- CN111434077B CN111434077B CN201980006184.3A CN201980006184A CN111434077B CN 111434077 B CN111434077 B CN 111434077B CN 201980006184 A CN201980006184 A CN 201980006184A CN 111434077 B CN111434077 B CN 111434077B
- Authority
- CN
- China
- Prior art keywords
- transmission
- list
- communication control
- message
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40032—Details regarding a bus interface enhancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40045—Details regarding the feeding of energy to the node from the bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
通信控制装置(130)具备:总线;通信部(118),与发动机ECU连接,从发动机ECU接收消息并将该消息向总线发送,从总线接收消息并将该消息向发动机ECU发送;发送ID列表保持部(116),保持从发动机ECU发送的消息所包含的发送ID的列表即发送ID列表;以及控制部(114),控制通信部(118)以及发送ID列表保持部(116),在从发动机ECU发送的消息所包含的发送ID不存在于发送ID列表的情况下,控制部(114)将该发送ID追加到发送ID列表中,将与发送ID列表有关的信息向总线发送。
Description
技术领域
本公开涉及在移动网络系统中使用的通信控制装置等。
背景技术
近年来,在汽车中的系统中配置有多个称为电子控制单元(Electronic ControlUnit:电子控制单元,以下也称为ECU)的装置。连接这些ECU的网络被称为车载网络。车载网络中存在许多标准,其中最主流的标准之一存在Controller Area Network(以下称为CAN)这一标准。
在CAN中,由于不存在设想了发送非法的数据帧(消息)那样的情况的安全功能,有可能例如通过由攻击者将非法的节点擅自地连接于CAN的总线,非法的节点发送非法的数据帧,来非法地控制车辆。
在这样的状况下,在非专利文献1中,公开了在从发送到车载网络的数据帧检测到非法的数据帧之后,切断发送了非法的数据帧的ECU的方法。
现有技术文献
非专利文献
非专利文献1:Smart CAN cable,Another proposal of intrusion preventionsystem(IPS)for in-vehicle networks-LAC Co.,Ltd.,Symposium on Cryptography andInformation Security,2018.
发明内容
发明所要解决的课题
然而,在非专利文献1所公开的方法中,在将正常的数据帧错误地作为非法的数据帧检测出的情况下,错误地切断正常的ECU。若错误地切断正常的ECU,则汽车无法正常发挥功能,有可能对汽车的安全性造成影响。
因此,本公开提供能够高精度地检测非法的ECU的通信控制装置等。
用于解决课题的手段
为了实现上述目的,本发明的一个方式的通信控制装置是由一个以上电子控制单元和网络总线构成的移动网络系统中的通信控制装置,所述通信控制装置将所述网络总线和所述一个以上电子控制单元中的任一个电子控制单元连接,具备:通信部,从所述电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表;以及控制部,控制所述通信部以及所述发送ID列表保持部,所述控制部,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与所述发送ID列表有关的信息向所述网络总线发送。
此外,上述的总括性或具体的方式也可以通过系统、装置、方法、集成电路、计算机程序或计算机可读取的记录磁盘等记录介质来实现,也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。计算机可读取的记录介质例如包含CD-ROM(Compact Disc-Read Only Memory:光盘只读存储器)等非易失性的记录介质。
发明效果
根据本公开,能够高精度地检测非法的ECU。
附图说明
图1是表示实施方式1中的移动网络系统的整体结构的图。
图2是表示实施方式1中的CAN协议的数据帧的格式的图。
图3是表示实施方式1中的CAN协议的错误帧的格式的图。
图4A是表示实施方式1中的通信控制装置的结构的图。
图4B是表示实施方式1中的通信控制装置的其他结构的图。
图5是表示实施方式1中的非法检测ECU的结构的图。
图6是表示实施方式1中的发动机ECU的结构的图。
图7是表示实施方式1中的黑名单的一例的图。
图8是表示实施方式1中的发送ID列表的一例的图。
图9是表示实施方式1中的通信控制装置的状态的一例的图。
图10是表示实施方式1中的、保存在正规ID列表保持部中的正规的发送ID列表的一例的图。
图11是表示实施方式1中的通信控制装置的处理的流程图。
图12是表示实施方式1中的通信控制装置的处理的其他流程图。
图13是表示实施方式1中的通信控制装置的处理的又一流程图。
图14是表示实施方式1中的非法检测ECU的处理的流程图。
图15是表示实施方式1中的切断非法的ECU的时序的图。
图16是表示实施方式1中的切断非法的ECU的时序的图。
具体实施方式
本公开的一个实施方式的通信控制装置是由一个以上电子控制单元和网络总线构成的移动网络系统中的通信控制装置,所述通信控制装置将所述网络总线和所述一个以上电子控制单元中的任一个电子控制单元连接,具备:通信部,从所述电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表;以及控制部,控制所述通信部以及所述发送ID列表保持部,所述控制部,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与所述发送ID列表有关的信息向所述网络总线发送。
通信控制装置将经由自身从与网络总线连接的ECU(与通信控制装置连接的ECU)接收到的消息所包含的发送ID追加到发送ID列表中。然后,通信控制装置例如定期地向网络总线发送与发送ID列表有关的信息。例如,假设在网络总线上配置有非法检测ECU,该非法检测ECU预先保持针对该ECU发送的消息的与正规的发送ID列表有关的信息。由此,即使该ECU被非法改写等而将非法的消息发送给网络总线,通信控制装置也能够将与发送ID列表有关的信息发送给网络总线,从而非法检测ECU接收从通信控制装置发送的与可能包含非法的发送ID的发送ID列表有关的信息,通过与正规的发送ID列表进行对照,能够检测非法。因此,能够进行基于与每个ECU对应的发送ID列表的非法检测,能够高精度地检测非法的ECU。其结果,能够不将正常的ECU错误地判断为非法的ECU,仅切断非法的ECU,能够提高移动网络系统的安全性。
另外,也可以是,在所述通信部从所述网络总线接收到包含规定的识别符的消息时,所述控制部向所述网络总线发送与所述发送ID列表有关的信息,所述规定的识别符表示请求与所述发送ID列表有关的信息。
由此,能够按照来自外部的请求,发送与发送ID列表有关的信息,能够抑制平常时的对网络流量的影响。
另外,也可以是,在将所述发送ID追加到了所述发送ID列表时,所述控制部向所述网络总线发送与所述发送ID列表有关的信息。
由此,在发送ID列表被更新时,能够发送与发送ID列表有关的信息,能够抑制对网络流量的影响。
另外,也可以是,所述控制部进一步测量从所述电子控制单元发送的消息的数量,并将与所述消息的数量有关的信息向所述网络总线发送。
由此,除了与发送ID列表有关的信息以外,通过使用与从与通信控制装置连接的ECU发送的消息的数量有关的信息,从消息的数量的观点出发也能够掌握异常,能够更高精度地检测非法的ECU。
另外,也可以是,与所述发送ID列表有关的信息是发送ID列表。例如,也可以是,在所述通信部从所述网络总线接收到用于通知非法的发送ID列表的非法通知消息的情况下,所述控制部进一步在该非法的发送ID列表与由所述发送ID列表保持部所保持的所述发送ID列表一致时,以后不将从所述电子控制单元发送的包含非法的发送ID的消息发送给所述网络总线。
由此,作为从网络总线接收到的与发送ID列表有关的信息,配置于网络总线的非法检测ECU通过发送ID列表可以具体地掌握非法的发送ID,能够请求通信控制装置,使得停止发送仅非法的发送ID的消息,能够提高安全性。
另外,也可以是,在所述通信部从所述网络总线接收到用于通知与非法的发送ID列表有关的信息的非法通知消息的情况下,所述控制部进一步在与该非法的发送ID列表有关的信息和与所述发送ID列表保持部所保持的所述发送ID列表有关的信息一致时,以后不将从所述电子控制单元发送的消息向所述网络总线发送。
由此,通信控制装置可以将非法的ECU从网络总线切断,能够减轻非法的ECU对移动网络系统带来的影响。
另外,本公开的一个方式的非法检测电子控制单元是从由一个以上的电子控制单元和网络总线构成的移动网络系统中的所述一个以上的电子控制单元中检测非法的电子控制单元,其中,所述非法检测电子控制单元具备:收发部,对所述网络总线进行消息的收发;正规ID列表保持部,保持一个以上的与正规的发送ID列表有关的信息,该正规的发送ID列表是所述一个以上的电子控制单元发送的正规的消息所包含的发送ID的列表;以及非法检测部,控制所述收发部以及所述正规ID列表保持部,所述非法检测部,在所述收发部从所述网络总线接收到与发送ID列表有关的信息时,将与该发送ID列表有关的信息和所述一个以上的与正规的发送ID列表有关的信息进行对照,所述发送ID列表是所述一个以上的电子控制单元发送的消息所包含的发送ID的列表,将不吻合于所述一个以上的与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息包含在非法通知消息中,并向所述网络总线发送,所述非法通知消息用于通知与非法的发送ID列表有关的信息。
非法检测电子控制单元预先保持针对配置于网络总线的ECU发送的消息的与正规的发送ID列表有关的信息。由此,非法检测电子控制单元通过对从网络总线接收到的与可能包含非法的发送ID的发送ID列表有关的信息和与正规的发送ID列表有关的信息进行对照,能够高精度地检测非法的ECU,能够提高移动网络系统的安全性。
另外,本公开的一个方式的移动网络系统是由一个以上的电子控制单元和网络总线构成,其中,所述移动网络系统具备:一个以上的通信控制装置,分别将所述一个以上的电子控制单元和所述网络总线连接;以及非法检测电子控制单元,从所述一个以上的电子控制单元中检测非法的电子控制单元,所述一个以上的通信控制装置分别具备:通信部,从与该通信控制装置连接的电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表;以及控制部,控制所述通信部以及所述发送ID列表保持部,所述控制部,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与所述发送ID列表有关的信息向所述网络总线发送,所述非法检测电子控制单元具备:收发部,对所述网络总线进行消息的收发;正规ID列表保持部,保持一个以上的与正规的发送ID列表有关的信息,所述正规的发送ID列表是所述一个以上的电子控制单元发送的正规的消息所包含的发送ID的列表;以及非法检测部,控制所述收发部以及所述正规ID列表保持部,所述非法检测部,在所述收发部从所述网络总线接收到与所述发送ID的列表有关的信息时,将与该发送ID列表有关的信息和所述一个以上的与正规的发送ID列表有关的信息进行对照,将不吻合于所述一个以上的与正规的发送ID列表有关的信息的任一个的与发送ID列表有关的信息包含在非法通知消息中,并向所述网络总线发送,所述非法通知消息用于通知与非法的发送ID列表有关的信息。
由此,能够提供能够高精度地检测非法的ECU的移动网络系统。
另外,本公开的一个方式的通信控制方法是由移动网络系统中的通信控制装置执行,所述移动网络系统由一个以上的电子控制单元和网络总线构成,其中,所述通信控制装置将所述网络总线和所述一个以上的电子控制单元中的任一个电子控制单元连接,所述通信控制装置具备:通信部,从所述电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;以及发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表,在所述通信控制方法中,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与所述发送ID列表有关的信息向所述网络总线发送。
由此,能够提供能够高精度地检测非法的ECU的通信控制方法。
另外,本公开的一个方式的程序是使计算机执行上述的通信控制方法的程序。
由此,能够提供能够高精度地检测非法的ECU的程序。
另外,本公开的一个方式的非法检测方法是由非法检测电子控制单元执行,所述非法检测电子控制单元从由一个以上的电子控制单元和网络总线构成的移动网络系统中的所述一个以上的电子控制单元中检测非法的电子控制单元,其中,所述非法检测电子控制单元具备:收发部,对所述网络总线进行消息的收发;以及正规ID列表保持部,保持一个以上的与正规的发送ID列表有关的信息,所述正规的发送ID列表是所述一个以上的电子控制单元发送的正规的消息所包含的发送ID的列表,在所述非法检测方法中,在所述收发部从所述网络总线接收到与发送ID列表有关的信息时,将与该发送ID列表有关的信息和所述一个以上的与正规的发送ID列表有关的信息进行对照,所述发送ID列表是所述一个以上的电子控制单元发送的消息所包含的发送ID的列表,将不吻合于所述一个以上的与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息包含在非法通知消息中,并向所述网络总线发送,所述非法通知消息用于通知与非法的发送ID列表有关的信息。
由此,能够提供能够高精度地检测非法的ECU的通信控制方法。
另外,本公开的一个方式的程序是使计算机执行上述的非法检测方法的程序。
由此,能够提供能够高精度地检测非法的ECU的程序。
以下,参照附图,对本公开的实施方式所涉及的移动网络非法检测系统进行说明。另外,以下说明的实施方式均表示本公开的优选的一个具体例。即,以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是本公开的一例,并非旨在限定本公开。本公开基于权利要求书的记载而被确定。因此,以下的实施方式中的构成要素中的未记载在表示本公开的最上位概念的独立权利要求中的构成要素,不是为了实现本公开的课题而必需的,但作为构成更优选的方式的构成要素来说明。
(实施方式1)
以下,对多个ECU经由CAN总线进行通信的移动网络系统(例如车载网络系统)中的非法检测ECU以及通信控制装置进行说明。
[1.1移动网络系统的整体结构]
图1是表示本实施方式中的移动网络系统10的整体结构的图。如图1所示,移动网络系统10例如搭载于车辆(例如汽车)。在图1中,移动网络系统10由通信控制装置110、120、130、140、150、160、诊断端口210、非法检测ECU220、发动机ECU230、制动器ECU240、仪表盘(仪表面板)ECU250、以及IVI(In-Vehicle Infortainment)ECU260作为一个以上ECU,和总线100(网络总线)构成。例如,在图1所示的例子中,移动网络系统10具备以分别与多个ECU对应的方式设置的多个通信控制装置。
例如,当着眼于通信控制装置130时,通信控制装置130配置在总线100与多个ECU中的任一个ECU(在此为发动机ECU230)之间。在发动机ECU230朝向总线100发送消息时以及发动机ECU230从总线100接收消息时,经由通信控制装置130进行消息的收发。另外,以下,也将消息称为数据帧。
ECU例如是包括处理器、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是ROM(Read Only Memory)、RAM(Random Access Memory)等,能够存储由处理器执行的程序。例如,处理器按照程序进行动作,由此ECU实现各种功能。ECU例如按照CAN协议,经由移动网络中的网络总线进行数据帧的收发。
各ECU对网络总线收发遵循CAN协议的数据帧。例如,从网络总线接收其他ECU发送的数据帧,另外,生成包含想要向其他ECU发送的内容的数据帧并发送给总线。具体而言,各ECU进行与接收到的数据帧的内容相应的处理,另外,生成并发送表示与ECU连接的设备、传感器等的状态的数据帧或者向其他ECU的指示值(控制值)等的数据帧。
诊断端口210与通信控制装置110连接,经由总线100进行通信。诊断端口210是一般被称为OBD(On-Board Diagnostic)端口的端口,是连接经销商保持的专用终端并用于进行与总线100连接的ECU的故障诊断等的端口。
非法检测ECU220与通信控制装置120连接,经由总线100进行通信。非法检测ECU220是监视总线100,并验证是否未发送非法的数据帧、或者未连接非法的ECU的ECU,例如是IDS(Intrusion Detection System)ECU。
发动机ECU230与通信控制装置130连接,经由总线100进行通信。发动机ECU230是基于从总线100取得的信息来控制发动机的转速的ECU。在图1中,省略了与发动机ECU230连接的发动机的记载。
制动器ECU240与通信控制装置140连接,经由总线100进行通信。制动器ECU240是基于从总线100取得的信息来进行制动器的控制的ECU。在图1中,省略了与制动器ECU240连接的制动器的记载。
仪表盘ECU250与通信控制装置150连接,经由总线100进行通信。仪表盘ECU250是基于从总线100取得的信息来控制仪表面板的显示的ECU。在图1中,省略了与仪表盘ECU250连接的仪表面板的记载。
IVI ECU260与通信控制装置160连接,经由总线100进行通信。IVI ECU260是与车内的信息或娱乐的终端,具体而言是汽车导航(汽车导航系统)或音频头(audio head)单元等连接的ECU,并且是用于控制这些终端的ECU。IVI ECU260与未图示的外部服务器通过专用线路相连,具有进行地图信息或应用程序的更新等功能。在图1中,省略了汽车导航和音频头单元的记载。
稍后将描述通信控制装置的细节。
另外,在移动网络系统10中的多个ECU也可以包含不经由通信控制装置而与总线100连接的ECU。例如,也可以通过仅在对车辆的安全性造成大的影响的可能性高的与行驶控制有关的ECU与总线100之间连接异常检测装置来实现成本降低。
[1.2数据帧格式]
图2是表示本实施方式中的CAN协议的数据帧的格式的图。图2的格式表示CAN协议中的标准ID格式中的数据帧。
在图2中,数据帧由Start Of Frame(SOF)、ID字段、Remote TransimissionRequest(RTR)、Identifier Extension(IDE)、预约bit(r)、数据长度码(DLC)、数据字段、CRC序列、CRC定界符(DEL)、Acknowledgement时隙(ACK)、ACK定界符(DEL)以及结束帧(EOF)构成。
SOF是由1bit的显性构成的。总线空闲的状态成为隐性,通过从该隐性向显性变更来通知帧的发送开始。
ID字段是由11bit构成的、保存作为表示数据的种类的值的ID的字段。在多个节点同时开始发送的情况下,为了在该字段中进行通信仲裁,设计成ID具有小的值的数据帧成为高优先级。
RTR由表示数据帧的显性1bit构成。
IDE和r分别由显性1bit构成。
DLC是由4bit构成的、表示数据字段的长度的值。
数据字段是由最大64bit构成的表示发送数据的内容的值。能够按每8bit调整长度。所发送的数据的规格依赖于车型或制造者。
CRC序列由15bit构成。根据SOF、ID字段、控制字段以及数据字段的发送来算出。
CRC定界符是由1bit的隐性构成的表示CRC序列的结束的分隔符号。
ACK由1bit构成。发送节点以隐性进行发送。接收节点如果在CRC序列之前能够正常地接收则发送显性,从而使显性优先。
ACK定界符是由1bit的隐性构成的表示ACK的结束的分隔符号。
EOF由7bit的隐性构成,表示数据帧的结束。
[1.3错误帧格式]
图3是表示本实施方式中的CAN协议的错误帧的格式的图。错误帧由错误标志(主)、错误标志(副)、错误定界符(DEL)构成。
错误标志(主)用于向其他节点通知错误的发生。由于连续地发送6bit的显性,违反CAN协议中的比特填充规则(不连续地发送6bit以上的相同值),引起来自其他节点的错误帧(副)的发送。
错误标志(副)是为了将错误的发生通知给其他节点而连续地发送6bit的显性。接收到错误标志(主)的全部节点进行发送。
错误定界符(DEL)是通过连续发送8bit的隐性来通知错误帧发送的结束。
[1.4通信控制装置的结构]
接着,对通信控制装置的结构进行说明。在此,着眼于通信控制装置130进行说明。
图4A是表示本实施方式中的通信控制装置130的结构的图。另外,通信控制装置110、120、140、150、160是与通信控制装置130的结构相同的结构,因此省略说明。
在图4A中,通信控制装置130具备通信部118、控制部114、黑名单保持部115、发送ID列表保持部116以及状态保持部117。通信控制装置130例如是包括处理器、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的程序。例如,通过处理器按照程序进行动作,通信控制装置130实现控制部114。通信部118例如通过通信电路来实现。黑名单保持部115、发送ID列表保持部116以及状态保持部117例如通过存储器来实现。
通信部118从发动机ECU230接收数据帧并将该数据帧向总线100发送,另外,从总线100接收数据帧并将该数据帧向发动机ECU230发送。具体而言,通信部118由收发器部111、中继器部112以及收发器部113构成。
收发器部111接收从发动机ECU230发送的数据帧,输出0和1的数字信号,并通知给中继器部112。此外,收发器部111将从中继器部112通知的数据帧向发动机ECU230发送。
收发器部113将从中继器部112通知的数据帧向总线100发送。另外,收发器部113将从总线100接收到的数据帧通知给中继器部112。
中继器部112将从收发器部111接收到的数据帧通知给控制部114。在控制部114判断为能够发送从收发器部111接收到的数据帧的情况下,中继器部112将该数据帧通知给收发器部113。另外,中继器部112将从收发器部113接收到的数据帧通知给控制部114,并通知给收发器部111。
黑名单保持部115保存有禁止从通信控制装置130发送的数据帧所包含的ID的列表即黑名单。稍后将描述黑名单保持部115的细节。
发送ID列表保持部116保持从与通信控制装置130连接的发动机ECU230发送的数据帧所包含的发送ID的列表即发送ID列表。稍后将描述发送ID列表保持部116的细节。
状态保持部117保持表示通信控制装置130的状态的信息。稍后将描述状态保持部117的细节。
控制部114控制通信部118(中继器部112)、黑名单保持部115、发送ID列表保持部116以及状态保持部117。控制部114进行以下的处理。
控制部114判断从收发器部111通知的数据帧所包含的发送ID是否为保存在黑名单保持部115中的发送ID。在从收发器部111接收到的数据帧所包含的发送ID保存在黑名单保持部115中的情况下,控制部114对中继器部112进行通知,以使从收发器部111通知的数据帧不通知给收发器部113。
另外,在状态保持部117中保存的通信控制装置110的状态为“发送停止”的状态的情况下,控制部114对中继器部112进行通知,以使从收发器部111接收到的数据帧不通知给收发器部113。
进而,在从发动机ECU230发送的数据帧所包含的发送ID不存在于发送ID列表中的情况下,控制部114将该发送ID追加到发送ID列表中。控制部114例如使用由发送ID列表保持部116保持的发送ID列表,以规定的间隔计算与发送ID列表有关的信息(例如哈希值),保存在发送ID列表保持部116中,并且,将该哈希值和按每个通信控制装置确定的ID即装置ID包含在数据帧中,向中继器部112通知以向收发器部113通知(即,向总线100发送与发送ID列表有关的信息等)。例如,控制部114也可以在通信部118从总线100接收到包含表示请求与发送ID列表有关的信息的规定的识别符的数据帧时,向总线100发送与发送ID列表有关的信息。规定的识别符只要是表示请求与发送ID列表有关的信息的识别符即可,没有特别限定。另外,例如,控制部114也可以在将发送ID追加到了发送ID列表时(在追加的定时),向总线100发送与发送ID列表有关的信息。
另外,控制部114在通信部118从总线100(具体而言,从非法检测ECU220)接收到用于通知与非法的发送ID列表有关的信息的非法通知数据帧的情况下,在与该非法的发送ID列表有关的信息和与由发送ID列表保持部116保持的发送ID列表有关的信息一致时,以后不将从发动机ECU230发送的数据帧发送给总线100。例如,在非法通知数据帧中包含表示从非法检测ECU220被发送的规定的ID(例如IDS ID),因此控制部114能够识别非法通知数据帧用于通知与非法的发送ID列表有关的信息的数据帧。
控制部114判断非法通知数据帧所包含的与发送ID列表有关的信息(例如哈希值)与发送ID列表保持部116所包含的与发送ID列表有关的信息(例如哈希值)是否一致。在非法通知数据帧所包含的哈希值与发送ID列表保持部116所包含的发送ID列表的哈希值一致的情况下,控制部114判断为发送ID列表保持部116所包含的发送ID列表是非法的发送ID列表,将通信控制装置130的状态设为“发送停止”,保存在状态保持部117中。在此,控制部114“判断为发送ID列表保持部116所包含的ID列表是非法的发送ID列表”,是指“判断为与通信控制装置130连接的发动机ECU230是非法的ECU”。并且,由于通信控制装置130的状态为“发送停止”,控制部114以后不将从发动机ECU发送的包含非法的发送ID的数据帧发送给总线100。
此外,在从收发器部113通知的非法通知数据帧所包含的ID为IDS ID的情况下,在非法通知数据帧中,在包含与通信控制装置130的装置ID一致的值时,控制部114判断为发送ID列表保持部116所包含的ID列表是非法的发送ID列表,也可以将通信控制装置130的状态设为“发送停止”而保存在状态保持部117中。即,通信控制装置130在使用非法通知数据帧判断自身所保持的发送ID列表是否非法时,可以是如果在非法通知数据帧中包含自身所保持的发送ID列表的哈希值,则判断为是非法的,也可以是如果在非法通知数据帧中包含自身的装置ID,则判断为是非法的。
此外,在与发送ID列表有关的信息不是哈希值而是发送ID列表的情况下,在通信部118从总线100接收到用于通知非法的发送ID列表的非法通知消息的情况下,在该非法的发送ID列表与由发送ID列表保持部116保持的发送ID列表一致时,控制部114以后不将从发动机ECU230发送的包含非法的发送ID的数据帧发送给总线100即可。
[1.5通信控制装置的其他结构]
图4B是表示本实施方式中的通信控制装置的其他结构的图。在图4B中,通信控制装置130a与后述的发动机ECU230为一体构造。通信控制装置130a与通信控制装置130的不同之处在于,具备通信部119来代替通信部118,还具备作为发动机ECU230的结构的一部分的帧解释部232、帧生成部234以及外部设备控制部233。
稍后将描述作为发动机ECU230的结构的一部分的帧解释部232、帧生成部234以及外部设备控制部233。
通信控制装置130a是从通信控制装置130除去收发器部111后的结构。换言之,通信部119是从通信部118除去收发器部111后的结构。此外,中继器部112、收发器部113、控制部114、黑名单保持部115以及发送ID列表保持部116的结构与通信控制装置110中说明的内容相同,因此省略说明。
通信控制装置130是设想了从发动机ECU230的收发器、具体而言为从后述的帧收发部231发送数据帧的结构。
与此相对,通信控制装置130a不是从发动机ECU230的收发器收发数据帧的结构,而是作为内置于发动机ECU230的CAN的控制器的、帧生成部234及帧解释部232被一体化的结构。由此,能够抑制部件数量,对开发成本的降低是有效的。这样,通信控制装置的功能也可以内置于ECU。
[1.6非法检测ECU的结构]
接下来,对非法检测ECU220的结构进行说明。图5是表示本实施方式中的非法检测ECU220的结构的图。非法检测ECU220具备收发部221、非法检测部222、帧生成部223以及正规ID列表保持部224。例如,通过处理器按照程序进行动作,非法检测ECU220实现非法检测部222以及帧生成部223。收发部221例如通过通信电路来实现。正规ID列表保持部224例如通过存储器来实现。
收发部221对总线100进行数据帧的收发。具体而言,收发部221对与非法检测ECU220连接的通信控制装置120收发遵循CAN协议的数据帧。即,收发部221从通信控制装置120逐个bit地接收帧。当无错误地完成数据帧的接收时,收发部221将数据帧内的ID、DLC、数据等信息转送给非法检测部222。
另外,收发部221在判断为从通信控制装置120正在接收的数据帧是未遵循CAN协议的数据帧的情况下,向通信控制装置120发送错误帧。
另外,收发部221在从通信控制装置120接收到错误帧的情况下,即,在解释为接收到的数据帧是错误帧的情况下,在那之后废弃该数据帧。
另外,收发部221在从帧生成部223接收到数据帧的发送请求的情况下,向通信控制装置120发送数据帧。
正规ID列表保持部224保持一个以上与移动网络系统10中的一个以上的ECU发送的正规的消息所包含的发送ID的列表即正规的发送ID列表有关的信息。具体而言,在正规ID列表保持部224中,对于移动网络系统10中的多个ECU分别保持有正规的发送ID列表以及正规的发送ID列表的哈希值,该正规的发送ID列表表示确定预先发送的发送ID的一览。稍后将描述正规ID列表保持部224的细节。
非法检测部222控制收发部221以及正规ID列表保持部224。非法检测部222进行以下的处理。
非法检测部222在收发部221从总线100(具体而言为从通信控制装置120)接收到与一个以上ECU发送的数据帧所包含的发送ID的列表即发送ID列表有关的信息时,对照与该发送ID列表有关的信息和一个以上与正规的发送ID列表有关的信息,将不吻合于一个以上与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息包含在用于通知与非法的发送ID列表有关的信息的非法通知消息中,向总线100(具体而言为向通信控制装置120)发送。
具体而言,非法检测部222基于从收发部221接收到的数据帧和保存在正规ID列表保持部224中的正规的发送ID列表,检测在总线100上是否连接有非法的ECU。
在从收发部221接收到的数据帧中,存在通信控制装置110、130、140、150或160发送的、包含装置ID和发送ID列表的哈希值的数据帧。这些数据帧对通信控制装置110、130、140、150以及160分别赋予预先分配的规定的装置ID作为数据帧的ID。非法检测部222确认收发部221接收到的数据帧中包含发送ID列表的哈希值。之后,非法检测部222确认在保存在正规ID列表保持部224中的一个以上正规的发送ID列表所包含的哈希值中是否存在与接收到的数据帧所包含的发送ID列表的哈希值相同的值。
在保存在正规ID列表保持部224中的正规的发送ID列表所包含的哈希值中,在不包含接收到的数据帧所包含的发送ID列表的哈希值的情况下,非法检测部222判断为与发送了该发送ID列表的哈希值的通信控制装置连接的ECU发送了包含非法的发送ID的数据帧,即,检测该ECU是非法的ECU。
当检测到非法的ECU时,非法检测部222为了缓和由非法的ECU引起的攻击的影响,对与非法的ECU连接的通信控制装置,将用于发送切断请求消息的非法通知数据帧的发送请求通知给帧生成部223。
当从非法检测部222接收到非法的ECU的切断请求的通知时,帧生成部223生成非法的发送ID列表的哈希值、或者包含发送了非法的发送ID列表的哈希值的装置ID的非法通知数据帧,并向收发部221通知发送请求。
[1.7发动机ECU的结构]
接着,对ECU的结构进行说明。在此,着眼于与通信控制装置130连接的发动机ECU230的结构进行说明,但制动器ECU240、仪表盘ECU250以及IVI ECU260等也是同样的结构,因此省略说明。
图6是表示本实施方式中的发动机ECU230的结构的图。此外,发动机ECU230由帧收发部231、帧解释部232、外部设备控制部233、以及帧生成部234构成。
帧收发部231对通信控制装置130收发遵循CAN协议的数据帧。即,帧收发部231从通信控制装置130逐个bit地接收帧。另外,当无错误地完成数据帧的接收时,将数据帧内的ID、DLC以及数据等信息转送到帧解释部232。
另外,帧收发部231在判断为接收中的数据帧是未遵循CAN协议的数据帧的情况下,发送错误帧。
另外,帧收发部231在接收到错误帧的情况、即从接收到的帧中的值解释为是错误帧的情况下,之后废弃该帧。
另外,帧收发部231在从帧生成部234接收到数据帧的发送请求的情况下,向通信控制装置130发送数据帧。
帧解释部232解释从帧收发部231通知的数据帧,决定处理。例如,在数据帧中包含指示使发动机的转速直接上升的数据的情况下,对外部设备控制部233进行通知,以进行使发动机的转速上升的处理。
外部设备控制部233是控制与发动机ECU230连接的外部设备的接口。外部设备控制部233在发动机ECU230的情况下与发动机连接,通过向帧生成部234通知当前的发动机转速的信息,向总线100广播发动机转速的信息,并向其他ECU通知发动机转速。
另外,当从帧解释部232通知发动机转速的控制信息时,按照由控制信息所指示的方式控制发动机的转速。
另外,制动器ECU240与制动器连接,仪表盘ECU250与仪表面板连接,IVI ECU260与导航系统等分别连接,进行从各设备的信息取得以及各设备的控制。
帧生成部234进行数据帧的生成,并为了向总线100通知该数据帧而向帧收发部231进行发送请求,所述数据帧用于通知从外部设备控制部233通知的、外部设备的信息以及基于外部设备的信息的向其他ECU的控制消息等。
[1.8黑名单的结构]
接着,说明通信控制装置130的黑名单保持部115中保存的黑名单的结构。图7是表示本实施方式中的黑名单的一例的图。在图7中,在黑名单中,包括有发送ID分别为0x01、0x02、0x03、0x04、0x05、0x06、0x07、0x08、0x09、0x0A、0x0B、0x0C、0x0D、0x0E以及0x0F的黑名单ID。即,在要从与通信控制装置130连接的发动机ECU230发送上述ID的数据帧的情况下,通信控制装置130不将该数据帧发送给总线100。
在黑名单中,也可以预先保存各通信控制装置发送的数据帧的ID即装置ID和非法检测ECU220发送的数据帧的ID即IDS ID。
另外,通信控制装置130也可以不具备黑名单保持部115。例如,如果将装置ID或IDS ID追加到发送ID列表中,则能够通过非法检测ECU220判定为该发送ID列表是非法的发送ID列表,因此也可以认为在通信控制装置130中原本也可以不保持有黑名单。但是,在进行基于发送ID列表的判定之前,放置通信控制装置130或非法检测ECU220的假冒。因此,也可以与发送ID列表分开地保持有包含装置ID或IDS ID的黑名单。这些ID在总线100以及通信控制装置130的制造阶段中被决定,因此不需要进行依赖于车型的设计。这样,在通信控制装置130具备黑名单保持部115的情况下,从安全的观点出发,能够防止包含来自非法的ECU的切断请求的数据帧、非法的ID列表的发送,提高移动网络系统10的安全性。
[1.9发送ID列表的结构]
接下来,对保存在通信控制装置130的发送ID列表保持部116中的发送ID列表进行说明。
图8是表示本实施方式中的发送ID列表的一例的图。在图8中,示出了发送ID列表是0x100、0x110、0x120、0x130以及0x140的发送ID的列表。即,示出了从与通信控制装置130连接的发动机ECU230发送了上述ID的数据帧。另外,发送ID列表的哈希值以十六进制数示出为60 CD 11 40 D5 D0 63 64。
另外,哈希算法既可以是SHA-256等加密的哈希算法,也可以是布隆过滤器(BloomFilter)、总和检验码(checksum)或者循环冗余校验(Cyclic Redundancy check)等。
另外,在图8中,发送ID列表和哈希值保存为明文,但也可以加密而保存。另外,哈希值可以每次计算,也可以不保存在发送ID列表保持部116中。
[1.10通信控制装置的状态的结构]
接下来,对保存在通信控制装置130的状态保持部117中的通信控制装置130的状态的结构进行说明。
图9是表示本实施方式中的通信控制装置130的状态的一例的图。在图9中,通信控制装置130的状态示出为“通常(能够通信)”。即,示出了总线100和发动机ECU230处于能够通信的状态。
通信控制装置130的状态除了“通常(能够通信)”的状态以外,还存在“发送停止”的状态。“发送停止”状态是检测到从与通信控制装置130连接的发动机ECU230发送了非法的数据帧的状态。在“发送停止”的状态时,通信控制装置130停止从发动机ECU230发送的数据帧的发送。
[1.11正规ID列表的结构]
接着,对非法检测ECU220的正规ID列表保持部224中保存的正规的发送ID列表的结构进行说明。
图10是表示本实施方式中的正规的发送ID列表的一例的图。在正规ID列表保持部224中保持有各ECU发送的数据帧的正规的发送ID列表。正规的发送ID列表基于ECU的设计信息而预先制作,并保存在非法检测ECU220的正规ID列表保持部224中。在图10中,正规的发送ID列表的第1个是0x100、0x110、0x120、0x130、0x140,表示存在具有这些发送ID作为发送ID列表的ECU,其哈希值是“60 CD 11 40 D5 D0 63 64”。第2个发送ID列表是0x200、0x210、0x220、0x230,其哈希值是“C9 3F 55 27 C1 22 B3 4F”。最后的发送ID列表是0x550、0x551、0x552,其哈希值是“E2 42 EE 4F 0A 67 5A 1B”。此外,根据ECU的种类,有在事件发生时发送的数据帧,而根据状况,有非法检测ECU220从总线100接收的发送ID列表的哈希值不同的情况。例如,在针对某个ECU的发送ID列表中,既有图10所示的0x550、0x551以及0x552全部被包含的情况,也有根据状况,事件发生时发送的数据帧所包含的0x552等不包含在发送ID列表中的情况。因此,正规ID列表保持部224也可以针对一个ECU保持有多个正规的发送ID列表。具体而言,正规ID列表保持部224也可以针对一个ECU分别保持有0x550、0x551以及0x552的正规的发送ID列表和0x550以及0x551的正规的发送ID列表。
[1.12通信控制装置的处理]
接着,对通信控制装置130的处理进行说明。
图11是表示本实施方式中的通信控制装置130的处理的流程图。
在步骤S1101中,通信控制装置130判断是否从发动机ECU230接收到消息(数据帧)。通信控制装置130在从发动机ECU230接收到消息的情况下(步骤S1101中为“是”的情况下),执行步骤S1102,在未从发动机ECU230接收到消息的情况下(步骤S1101中为“否”的情况下),执行步骤S1107。
在步骤S1102中,通信控制装置130判断是否正在处理从总线100接收到的消息。在通信控制装置130正在处理来自总线100的消息的情况下(步骤S1102中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理来自总线100的消息的情况下(步骤S1102中为“否”的情况下),执行步骤S1103。
在步骤S1103中,通信控制装置130基于从发动机ECU230接收到的消息所包含的发送ID,更新保存在发送ID列表保持部116中的发送ID列表。具体而言,通信控制装置130在从发动机ECU230发送的消息所包含的发送ID不存在于发送ID列表的情况下,将该发送ID追加到发送ID列表中。之后,通信控制装置130执行步骤S1104。
在步骤S1104中,通信控制装置130判断是否符合如下判断中的某一个:通信控制装置130的状态是否为“发送停止”,或者从发动机ECU230接收到的消息所包含的发送ID是否存在于保存在黑名单保持部115中的黑名单。通信控制装置130的状态为“发送停止”的情况是进行了后述的步骤S1110中的处理的情况。
在符合于上述某一个条件的情况下(步骤S1104中为“是”的情况下),通信控制装置130废弃消息(S1105),结束。“发送停止”状态是检测到从与通信控制装置130连接的发动机ECU230发送了非法的消息的状态。另外,发动机ECU230发送存在于如果正常则不发送的发送ID的列表即黑名单的发送ID的消息这一情况,是指在发动机ECU230中存在异常。因此,废弃来自非法的发动机ECU230的消息。
在不符合于上述任一个条件的情况下(步骤S1104中为“否”的情况下),通信控制装置130将从发动机ECU230接收到的消息向总线100发送(S1106),结束处理。
在步骤S1107中,通信控制装置130判断是否从总线100接收到消息。通信控制装置130在从总线100接收到消息的情况下(在步骤S1107中为“是”的情况下),执行步骤S1108。通信控制装置130在未从总线100接收到消息的情况下(在步骤S1107中为“否”的情况下),执行步骤S1112。
在步骤S1108中,通信控制装置130判断是否正在处理从发动机ECU230接收到的消息。在通信控制装置130正在处理从发动机ECU230接收到的消息的情况下(在步骤S1108中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理从发动机ECU230接收到的消息的情况下(步骤S1108中为“否”的情况下),执行步骤S1109。
在步骤S1109中,通信控制装置130判断是否从总线100接收到的消息是包含IDSID的非法通知消息(即,用于通知非法的发送ID列表的非法通知消息),并且非法通知消息所包含的发送ID列表的哈希值与通信控制装置130所保持的发送ID列表的哈希值一致。在非法通知消息与上述条件一致的情况下(在步骤S1109中为“是”的情况下),通信控制装置130将状态转移到“发送停止”(S1110),结束。由此,以后在步骤S1104中,能够进入步骤S1105,能够使来自非法的发动机ECU230的非法的消息不流向总线100。在非法通知消息与上述条件不一致的情况下(步骤S1110中为“否”的情况下),通信控制装置130将从总线100接收到的消息向发动机ECU230转送(发送)(S1111),结束处理。在该情况下,从总线100接收到的消息不是非法通知消息,例如是通常的消息,或者通知对象是其他ECU的非法通知消息,因此被转送到发动机ECU230。
此外,也可以在非法通知消息中包含发送ID列表本身,在该情况下,也可以是,在步骤S1109中,通信控制装置130判断非法通知消息所包含的发送ID列表是否与通信控制装置130所保持的发送ID列表一致。另外,也可以在非法通知消息中包含装置ID,在该情况下,也可以是,在步骤S1109中,通信控制装置130判断非法通知消息所包含的装置ID是否与通信控制装置130的装置ID一致。无论是哪种情况,通信控制装置130都能够确定非法通知消息的通知对象的通信控制装置。
在步骤S1112中,通信控制装置130按照内部的计时器,判断是否为与发送ID列表有关的信息(发送ID列表的哈希值或者发送ID列表)的发送定时。在是与发送ID列表有关的信息的发送定时的情况下(步骤S1112中为“是”的情况下),通信控制装置130例如将发送ID列表的哈希值包含在消息中,将预先确定的通信控制装置130的装置ID作为消息的ID发送给总线100(S1113),结束处理。由此,接收到该消息的非法检测ECU220能够识别该消息所包含的发送ID列表的哈希值是通信控制装置130的哈希值。在不是发送ID列表的发送定时的情况下(步骤S1112中为“否”的情况下),通信控制装置130返回到步骤S1101。
此外,通信控制装置130也可以在步骤S1112中将发送ID列表本身包含在消息中并发送给总线100。但是,与发送ID列表本身相比,发送ID列表的哈希值的数据大小较小,因此在消息中包含发送ID列表的哈希值的情况下,能够减小消息的数据量。
如上所述,通信控制装置130将从与通信控制装置130连接的发动机ECU230接收到的消息所包含的发送ID追加到发送ID列表中。然后,通信控制装置130例如定期地向总线100发送与发送ID列表有关的信息。例如,在总线100上,配置有非法检测ECU220,该非法检测ECU220预先保持针对发动机ECU230发送的消息的与正规的发送ID列表有关的信息。由此,即使发动机ECU230被非法改写等而将非法的消息发送给总线100,通信控制装置130也能够通过将与发送ID列表有关的信息发送给总线100,非法检测ECU220接收从通信控制装置130发送的与可能包含非法的发送ID的发送ID列表有关的信息,通过与正规的发送ID列表进行对照,能够检测非法。因此,能够进行基于与每个ECU对应的发送ID列表的非法检测,能够高精度地检测非法的ECU。其结果,能够不将正常的ECU错误地判断为非法的ECU,仅切断非法的ECU,能够与移动网络系统10的安全性的提高相连。
[1.13通信控制装置的其他处理]
作为通信控制装置130的处理,用图11的流程图进行了说明,但不限于此。在图11中,说明了发送ID列表的发送定时按照内部的计时器定期地发送的情况,但通信控制装置130也可以仅在接收到包含表示请求与发送ID列表有关的信息的规定的识别符的消息的情况下,通信控制装置130发送与发送ID列表有关的信息。
由此,不会定期地从通信控制装置130向总线100发送包含与发送ID列表有关的信息的消息,因此能够降低总线100的负荷。具体地,使用图12进行说明。
使用图12的流程图,对通信控制装置130接收与发送ID列表有关的信息的发送请求的消息的情况下的通信控制装置130的处理进行说明。
图12是表示本实施方式中的通信控制装置130的处理的其他流程图。
在步骤S1201中,通信控制装置130判断是否从发动机ECU230接收到消息。通信控制装置130在从发动机ECU230接收到消息的情况下(步骤S1201中为“是”的情况下),执行步骤S1202,在未从发动机ECU230接收到消息的情况下(步骤S1201中为“否”的情况下),执行步骤S1207。
在步骤S1202中,通信控制装置130判断是否正在处理从总线100接收到的消息。在通信控制装置130正在处理来自总线100的消息的情况下(步骤S1202中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理来自总线100的消息的情况下(步骤S1202中为“否”的情况下),执行步骤S1203。
在步骤S1203中,通信控制装置130基于从发动机ECU230接收到的消息所包含的发送ID,更新保存在发送ID列表保持部116中的发送ID列表。之后,通信控制装置130执行步骤S1204。
在步骤S1204中,通信控制装置130判断是否符合如下判断中的某一个:通信控制装置130的状态是否为“发送停止”,或者从发动机ECU230接收到的消息所包含的发送ID是否存在于保存在黑名单保持部115中的黑名单。通信控制装置130的状态为“发送停止”的情况是进行了后述的步骤S1210中的处理的情况。
在符合于上述某一个条件的情况下(步骤S1204中为“是”的情况下),通信控制装置130废弃消息(S1205),结束处理。
在不符合于上述任一个条件的情况下(步骤S1204中为“否”的情况下),通信控制装置130将从发动机ECU230接收到的消息向总线100发送(S1206),结束处理。
在步骤S1207中,通信控制装置130判断是否从总线100接收到消息。通信控制装置130在从总线100接收到消息的情况下(在步骤S1207中为“是”的情况下),执行步骤S1208。通信控制装置130在未从总线100接收到消息的情况下(步骤S1207中为“否”的情况下),返回步骤S1201。
在步骤S1208中,通信控制装置130判断是否正在处理从发动机ECU230接收到的消息。在通信控制装置130正在处理从发动机ECU230接收到的消息的情况下(在步骤S1208中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理从发动机ECU230接收到的消息的情况下(步骤S1208中为“否”的情况下),执行步骤S1209。
在步骤S1209中,通信控制装置130判断是否从总线100接收到的消息是包含IDSID的非法通知消息,并且非法通知消息所包含的发送ID列表的哈希值是否与通信控制装置130所保持的发送ID列表的哈希值一致。在非法通知消息与上述条件一致的情况下(步骤S1209中为“是”的情况下),通信控制装置130将状态转移到“发送停止”(S1210),结束处理。在非法通知消息与上述条件不一致的情况下(步骤S1209中为“否”的情况下),通信控制装置130执行步骤S1211。
在步骤S1211中,通信控制装置130判断是否从总线100接收到的消息是请求与发送ID列表有关的信息的消息。即,通信控制装置130判断从总线100接收到的消息是否包含表示请求与发送ID列表有关的信息的规定的识别符。在消息是请求与发送ID列表有关的信息(例如发送ID列表的哈希值)的消息的情况下(步骤S1211中为“是”的情况下),通信控制装置130将发送ID列表的哈希值包含在消息中,向总线100发送(S1212),结束处理。由此,能够按照来自外部的请求,发送发送ID列表,能够抑制平常时的对网络流量的影响。在消息不是请求与发送ID列表有关的信息的消息的情况下(步骤S1211中为“否”的情况下),通信控制装置130将从总线100接收到的消息向发动机ECU230转送(发送)(S1213),结束处理。在该情况下,从总线100接收到的消息不是非法通知消息,例如是通常的消息,或者通知对象是其他ECU的非法通知消息,因此被转送到发动机ECU230。
[1.14通信控制装置的其他处理]
作为通信控制装置130的处理,用图11和图12的流程图进行了说明,但进一步对其他通信控制装置130的处理进行说明。例如,也可以仅在通信控制装置130的发送ID列表被更新时,向总线100发送发送ID列表的哈希值或发送ID列表。
由此,不需要从通信控制装置130定期地进行包含发送ID列表的消息的发送,能够降低总线100的负荷。具体地,使用图13进行说明。
使用图13的流程图,说明在通信控制装置130的发送ID列表被更新的情况下发送与发送ID列表有关的信息时的通信控制装置130的处理。
图13是表示本实施方式中的通信控制装置130的处理的又一流程图。
在步骤S1301中,通信控制装置130判断是否从发动机ECU230接收到消息。通信控制装置130在从发动机ECU230接收到消息的情况下(步骤S1301中为“是”的情况下),执行步骤S1302,在未从发动机ECU230接收到消息的情况下(步骤S1301中为“否”的情况下),执行步骤S1309。
在步骤S1302中,通信控制装置130判断是否正在处理从总线100接收到的消息。在通信控制装置130正在处理来自总线100的消息的情况下(步骤S1302中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理来自总线100的消息的情况下(在步骤S1302中为“否”的情况下),执行步骤S1303。
在步骤S1303中,通信控制装置130基于从发动机ECU230接收到的消息所包含的发送ID,更新保存在发送ID列表保持部116中的发送ID列表。之后,通信控制装置130执行步骤S1304。
在步骤S1304中,通信控制装置130确认在步骤S1303中发送ID列表中是否有变更。在发送ID列表中存在变更的情况下(步骤S1304中为“是”的情况下),通信控制装置130将包含与发送ID列表有关的信息(例如发送ID列表的哈希值)的消息发送给总线100(S1305),执行步骤S1306。通信控制装置130在发送ID列表中没有变更的情况下(步骤S1304中为“否”的情况下),执行步骤S1306。由此,在发送ID列表被更新时,能够发送与发送ID列表有关的信息,能够抑制对网络流量的影响。
在步骤S1306中,判断是否符合如下判断中的某一个:通信控制装置130的状态是否为“发送停止”,或者从发动机ECU230接收到的消息所包含的发送ID是否存在于保存在黑名单保持部115的黑名单。通信控制装置130的状态为“发送停止”的情况是进行了后述的步骤S1312中的处理的情况。
在符合于上述某一个条件的情况下(在步骤S1306中为“是”的情况下),通信控制装置130废弃消息(S1307),结束处理。
在不符合于上述任一个条件的情况下(步骤S1306中为“否”的情况下),通信控制装置130将从发动机ECU230接收到的消息向总线100发送(S1308),结束处理。
在步骤S1309中,通信控制装置130判断是否从总线100接收到消息。通信控制装置130在从总线100接收到消息的情况下(在步骤S1309中为“是”的情况下),执行步骤S1310。通信控制装置130在未从总线100接收到消息的情况下(在步骤S1309中为“否”的情况下),返回步骤S1301。
在步骤S1310中,通信控制装置130判断是否正在处理从发动机ECU230接收到的消息。在通信控制装置130正在处理从发动机ECU230接收到的消息的情况下(步骤S1310中为“是”的情况下),待机直到处理完成为止。在通信控制装置130未正在处理从发动机ECU230接收到的消息的情况下(步骤S1310中为“否”的情况下),执行步骤S1311。
在步骤S1311中,通信控制装置130判断是否从总线100接收到的消息是包含IDSID的非法通知消息,并且非法通知消息所包含的发送ID列表的哈希值与通信控制装置130所保持的发送ID列表的哈希值一致。在非法通知消息与上述条件一致的情况下(步骤S1311中为“是”的情况下),通信控制装置130将状态转移到“发送停止”(S1312),结束处理。在非法通知消息与上述条件不一致的情况下(在步骤S1311中为“否”的情况下),通信控制装置130将从总线100接收到的消息向发动机ECU230转送(S1313),结束处理。
[1.15非法检测ECU的处理]
接着,对非法检测ECU220的处理进行说明。
图14是表示本实施方式中的非法检测ECU220的处理的流程图。
在步骤S1401中,非法检测ECU220判断是否接收到与发送ID列表有关的信息。是否接收到与发送ID列表有关的信息的判断,例如通过接收到的消息的ID是否是预先决定的装置ID来进行判断。在接收到与发送ID列表有关的信息的情况下(在步骤S1401中为“是”的情况下),非法检测ECU220进行接收到的与发送ID列表有关的信息(例如发送ID列表的哈希值)和与保存在正规ID列表保持部224的一个以上正规的发送ID列表有关的信息(例如正规的发送ID列表的哈希值)的对照(S1402),执行步骤S1403。在没有接收到与发送ID列表有关的信息的情况下(步骤S1401中为“否”的情况下),返回步骤S1401。
在步骤S1403中,非法检测ECU220判断接收到的发送ID列表的哈希值是否吻合于一个以上正规的发送ID列表的哈希值中的某一个。
在不吻合于上述条件的情况下(步骤S1403中为“否”的情况下),非法检测ECU220为了通知接收到的发送ID列表的哈希值为异常,将接收到的发送ID列表的哈希值(即,不吻合于一个以上与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息)包含在将ID设为IDS ID的非法通知消息中,向总线100发送(S1404),结束处理。
在吻合于上述条件的情况下(在步骤S1403中为“是”的情况下),非法检测ECU220结束处理。
如上所述,非法检测ECU220预先保持针对配置于总线100的ECU发送的消息的与正规的发送ID列表有关的信息。由此,非法检测ECU220通过对从总线100接收到的与可能包含非法的发送ID的发送ID列表有关的信息和与正规的发送ID列表有关的信息进行对照,能够高精度地检测非法的ECU,能够提高移动网络系统10的安全性。
[1.16切断非法的ECU的时序]
接着,对切断非法的ECU的时序进行说明。
图15以及图16是表示切断非法的ECU的时序的图。图16的时序图示出了图15的时序图的后续,图15中的A~E对应于图16中的A~E。在图15以及图16中,作为一例,表示在非法检测ECU220检测到作为要冒充发动机ECU230的非法的ECU的IVI ECU260时,将IVIECU260从总线100切断的时序。
在此,在图15以及图16所示的切断非法的ECU的时序中,与非法检测ECU220连接的通信控制装置120仅进行消息的转送处理,因此省略图示以及详细的说明。
在图15中,首先,发动机ECU230发送包含发动机转速的消息(S1501)。
通信控制装置130接收发动机ECU230发送的消息,进行发送ID列表的更新(S1502)。
之后,通信控制装置130将包含发动机转速的消息发送给总线100(S1503)。
通信控制装置160接收发送给总线100的包含发动机转速的消息,并向IVI ECU260转送(S1504)。
之后,非法的IVI ECU260例如为了使发动机ECU230的发动机转速成为不同的转速,发送包含发动机转速的消息(S1505)。该消息是IVI ECU260本来应该不发送的包含发动机转速的消息,是非法的消息。
通信控制装置160更新发送ID列表(S1506),向总线100发送包含发动机转速的非法的消息(S1507)。此时,在通信控制装置160的发送ID列表中追加IVI ECU260本来应该不发送的消息的发送ID。
通信控制装置130将在总线100中流动的包含发动机转速的非法的消息向发动机ECU230转送(S1508)。
接着,在继图15之后的图16中,通信控制装置130成为发送发送ID列表的定时,将发送ID列表的哈希值包含在消息中,将ID为通信控制装置130的装置ID的消息发送给总线100(S1509)。
由于发送的消息的ID是通信控制装置130的装置ID,非法检测ECU220经由通信控制装置120(未图示)接收消息。非法检测ECU220对消息所包含的发送ID列表的哈希值和一个以上正规的发送ID列表的哈希值进行对照,由于通信控制装置130的发送ID列表中不包含非法的发送ID,所以确认接收到的发送ID列表的哈希值符合于一个以上正规的发送ID列表的哈希值中的某一个(S1510)。
接着,通信控制装置160成为发送发送ID列表的定时,将发送ID列表的哈希值包含在消息中,将ID为通信控制装置160的装置ID的消息发送给总线100(S1511)。
由于发送的消息的ID是通信控制装置160的装置ID,非法检测ECU220经由通信控制装置120(未图示)接收消息。非法检测ECU220对消息所包含的发送ID列表的哈希值和一个以上正规的发送ID列表的哈希值进行对照,由于通信控制装置160的发送ID列表中包含非法的发送ID,所以确认接收到的发送ID列表的哈希值不符合于一个以上正规ID列表所包含的发送ID列表的哈希值中的任一个(S1512)。这是因为,由于IVI ECU260发送了包含发动机转速的非法的消息,所以由于发送ID列表成为非法的消息,接收到的发送ID列表的哈希值与正规的发送ID列表的哈希值不一致。
之后,非法检测ECU220为了将连接了非法的ECU的情况通知给通信控制装置160,向总线100发送包含了接收到的发送ID列表的哈希值的、ID为IDS ID的非法通知消息(S1513)。
由于发送的消息是ID作为IDS ID的消息,通信控制装置130从总线100接收非法通知消息。通信控制装置130确认非法通知消息所包含的发送ID列表的哈希值与通信控制装置130保持的发送ID列表的哈希值不一致(S1514)。即,通信控制装置130确认接收到的非法通知消息不是发给自身。
由于发送的消息是ID作为IDS ID的消息,通信控制装置160从总线100接收非法通知消息。通信控制装置160确认非法通知消息所包含的发送ID列表的哈希值与通信控制装置160保持的发送ID列表的哈希值一致(S1515)。即,通信控制装置160确认接收到的非法通知消息是发给自身。
之后,通信控制装置160将状态向“发送停止”转移(S1516)。通信控制装置160以后不将从IVI ECU260发送的消息发送给总线100。
IVI ECU260发送包含发动机转速的消息(S1517)。该消息是IVI ECU260本来不应该发送的包含发动机转速的消息,是非法的消息。
通信控制装置160由于状态向“发送停止”转移,废弃包含发动机转速的非法的消息,即不发送给总线100(S1518)。由此,通信控制装置160能够将非法的IVI ECU260从总线100切断,能够减轻非法的IVI ECU260对移动网络系统10造成的影响。
(其他变形例)
此外,基于上述各实施方式说明了本公开,但本公开当然并不限定于上述各实施方式。如下的情况也包含在本公开中。
例如,本公开不仅能够作为通信控制装置或者非法检测ECU220来实现,还能够作为具备通信控制装置以及非法检测ECU220的移动网络系统10来实现。
具体而言,移动网络系统10是由一个以上ECU和总线100构成的系统,具备分别将一个以上ECU和总线100连接的一个以上通信控制装置、和从一个以上ECU中检测非法的ECU的非法检测ECU220,一个以上通信控制装置分别从与该通信控制装置连接的ECU接收消息并将该消息向总线100发送,具备:通信部118,从总线100接收消息并将该消息向该ECU发送;发送ID列表保持部116,保持从该ECU发送的消息所包含的发送ID的列表即发送ID列表;以及控制部114,控制通信部118以及发送ID列表
保持部116,控制部114在从该ECU发送的消息所包含的发送ID不存在于
发送ID列表的情况下,将该发送ID追加到发送ID列表中,将与发送ID列表有关的信息向总线100发送,非法检测ECU220具备:收发部221,对总线100进行消息的收发;正规ID列表保持部224,保持一个以上的与一个以上ECU发送的正规的消息所包含的发送ID的列表即正规的发送ID列表有关的信息;以及非法检测部222,控制收发部221以及正规ID列表保持部224,当收发部221从总线100接收到与发送ID的列表有关的信息时,非法检测部222对与该发送ID列表有关的信息和一个以上与正规的发送ID列表有关的信息进行对照,将不吻合于一个以上与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息包含在用于通知与非法的发送ID列表有关的信息的非法通知消息中,向总线100发送。
另外,例如,通信控制装置也可以是将ECU与总线100连接的连接器。
在上述的实施方式中,将移动网络作为CAN进行了说明,但并不限定于此,可以是CAN-FD(CAN with Flexible Data rate)、Ethernet(注册商标)、LIN(Local InterconnectNetwork:本地互联网络)、FlexRay(注册商标)、MOST(Media Oriented SystemsTransport),也可以是分别组合的结构。
另外,在上述的实施方式中,作为搭载于汽车的移动网络中的网络安全对策进行了说明,但本公开的应用范围并不限于此。不限于汽车,也可以应用于建筑机械、农用机械、船舶、铁道、飞机等移动网络。即,本公开能够作为移动网络以及移动网络系统中的网络安全对策来应用。
在上述实施方式中,通信控制装置向总线发送了发送ID列表的哈希值,但也可以不是发送ID列表的哈希值,而是如上述那样发送发送ID列表。由此,非法检测ECU220能够详细地掌握从其他ECU发送的数据帧的ID,之后,能够请求仅停止非法的ID的数据帧的发送,从提高安全性的观点出发是有效的。
在上述的实施方式中,通信控制装置在从非法检测ECU发送的非法的发送ID列表的哈希值与自身所保持的发送ID列表的哈希值一致的情况下,将状态向“发送停止”转移,切断来自所连接的ECU的数据帧,而在一致的阶段,不将状态向“发送停止”转移。或者,也可以采取发送停止以外的应对。
例如,在从非法检测ECU发送的非法的发送ID列表的哈希值与自身的发送ID列表的哈希值一致的情况下,通信控制装置也可以向总线100发送通知自身一致的数据帧以及详细的发送ID列表。
由此,非法检测ECU能够针对判断为非法的发送ID列表的通信控制装置,取得用于决定应进行哪种应对的详细的信息,能够进行与状况相应的适当的应对。
在上述的实施方式中,例如,在通信控制装置的状态为“发送停止”时,将来自ECU的数据帧全部切断,但也可以不切断全部的数据帧。例如,也可以在从非法检测ECU关于特定的ID通知了发送停止请求消息时,通过将特定的ID追加到自身的通信控制装置的黑名单中,来停止仅特定的ID的数据帧的发送。
在上述的实施方式中,通信控制装置保持发送ID列表,但发送ID列表既可以保持在非易失性存储器中,也可以在每次接通点火时被复位,也可以保持在规定的期间发送的发送ID的列表。
在上述的实施方式中,通信控制装置发送了与发送ID列表有关的信息,但也可以发送与发送ID列表有关的信息以外的信息。例如,控制部114还可以测量从ECU发送的消息的数量,并将与消息的数量有关的信息向总线100发送。例如,也可以附加地发送每单位时间的发送消息的数量、或者发送的消息所包含的ID的数量。由此,非法检测ECU220不仅能够从发送ID列表的异常,还能够从发送量的观点掌握异常,进而能够高精度地检测非法的ECU。
另外,例如也可以是,非法检测ECU220发送正规的发送ID列表,通信控制装置根据自身的发送ID列表是否存在与正规的发送ID列表中一致的发送ID列表,来判断是否停止发送来自ECU的数据帧。例如,在从非法检测ECU220发送的正规的发送ID列表与自身的发送ID列表不一致的期间持续了规定的期间的情况下,通信控制装置也可以停止从ECU发送的数据帧的发送。
在上述的实施方式中,也可以是,通信控制装置在从ECU发送了黑名单所包含的发送ID的数据帧的情况下,虽然停止了该数据帧的发送,但在该时间点,认为有可能连接有非法的ECU,将进行了黑名单所包含的发送ID的发送的情况通知给非法检测ECU220。由此,能够更早地检测ECU的非法的举动,从提高安全性的观点出发是有效的。
在上述的实施方式中,示出了在非法检测ECU220接收到的与发送ID列表有关的信息不吻合于非法检测ECU220的内部所保持的一个以上与正规的发送ID列表有关的信息中的任一个时,检测非法的发送ID列表的例子,但也可以是,在不吻合于任一个正规的发送ID列表时,有时也不判断为非法的发送ID列表。例如,从与诊断端口连接的通信控制装置等发送的数据帧所包含的ID可能动态地变化。因此,非法检测ECU220预先保持可能想到的发送ID列表的全部模式有可能是不现实的。因此,也可以是,非法检测ECU220在规定的期间,在接收的发送ID列表不吻合于正规的发送ID列表的数量为规定数量以下的情况下,不将检测到非法的发送ID列表的情况通知给总线100。
在上述的实施方式中,示出了在非法检测ECU220的内部保持有正规的发送ID列表的例子,但也可以不在内部保持正规的发送ID列表。此时,非法检测ECU220每当接收从各通信控制装置发送的发送ID列表时,一边进行更新一边保持下来。也可以通过发送ID列表的更新被进行,来检测从非法的ECU发送了非法的数据帧,也可以通过在规定的时间内定的次数以上的发送ID列表的更新被进行,来检测从非法的ECU发送了非法的数据帧。由此,在非法检测ECU220中,不需要预先保持正规发送ID列表,能够进行高效的系统开发。
在上述的实施方式中,非法检测ECU220通过发送ID列表和正规的发送ID列表的对照来检测非法的ECU,但非法的ECU的检测方法并不限于此。例如,也可以在非法检测ECU220安装有其他的异常检测算法,由此检测非法的ECU的连接,也可以通过其他的异常检测算法的结果和正规的发送ID列表的对照结果的组合来检测非法的ECU的连接。
在上述的实施方式中,非法检测ECU仅通过发送ID列表和正规的发送ID列表是否一致来检测非法的ECU的连接,但也可以进一步进行与装置ID的对照。例如,也可以在正规的发送ID列表内追加并保持此前哪个装置ID吻合于哪个正规的发送ID列表。由此,在装置ID与列表的对应被破坏时,能够检测出连接有非法的ECU这一情况。
在上述的实施方式中,在与总线100连接的通信控制装置内保持有发送ID列表保持部116以及进行发送的切断的控制部114,但也可以在通信控制装置内不具有这些构成要素。例如,也可以在收发器、开关中保持同样的构成要素。
具体而言,上述的实施方式中的各装置是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或硬盘单元中记录有计算机程序。通过微处理器按照计算机程序进行动作,各装置实现其功能。在此,计算机程序是为了实现规定的功能而组合多个表示针对计算机的指令的命令代码而构成的。
上述的实施方式中的各装置,构成的构成要素的一部分或全部也可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个结构部集成到一个芯片上而制造的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。通过微处理器按照计算机程序进行动作,系统LSI实现其功能。
另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。
另外,在此设为了系统LSI,但根据集成度的不同,有时也称为IC、LSI、超级LSI、特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器来实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)、能够重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,如果随着半导体技术的进步或派生的其他技术而出现能够置换LSI的集成电路化的技术,当然也可以使用该技术进行功能块的集成化。有可能应用生物技术等。
构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包含上述的超多功能LSI。通过微处理器按照计算机程序进行动作,IC卡或模块实现其功能。该IC卡或该模块也可以具有防篡改性。
本公开不仅能够作为通信控制装置来实现,还能够作为包括构成通信控制装置的各构成要素进行的步骤(处理)的通信控制方法来实现。
通信控制方法是由一个以上ECU和总线100构成的移动网络系统10中的通信控制装置执行的通信控制方法,通信控制装置具备:通信部118,将总线100与一个以上ECU中的任一个ECU连接,从该ECU接收消息并将该消息向总线100发送,从总线100接收消息并将该消息向该ECU发送;以及发送ID列表保持部116,保持从该ECU发送的消息所包含的发送ID的列表即发送ID列表,在通信控制方法中,在从该ECU发送的消息所包含的发送ID不存在于发送ID列表的情况下,将该发送ID追加到发送ID列表中(图11的步骤S1103等),将与发送ID列表有关的信息向总线100发送(图11的步骤S1113等)。
另外,本公开不仅能够作为非法检测ECU220来实现,还能够作为包括构成非法检测ECU220的各构成要素进行的步骤(处理)的非法检测方法来实现。
非法检测方法是由非法检测ECU220执行的非法检测方法,该非法检测ECU220从由一个以上ECU和总线100构成的移动网络系统10中的一个以上ECU中检测非法的ECU,非法检测ECU220具备:收发部221,对总线100进行消息的收发;以及正规ID列表保持部224,保持一个以上的与一个以上ECU发送的正规的消息所包含的发送ID的列表即正规的发送ID列表有关的信息,在非法检测方法中,当收发部221从总线100接收到与一个以上ECU发送的消息所包含的发送ID的列表即发送ID列表有关的信息时(图14的步骤S1401中为“否”的情况下),将与该发送ID列表有关的信息和一个以上与正规的发送ID列表有关的信息进行对照(图14的步骤S1402),将不吻合于一个以上与正规的发送ID列表有关的信息中的任一个的与发送ID列表有关的信息包含在非法通知消息中,并向总线100发送,所述非法通知消息用于通知与非法的发送ID列表有关的信息(步骤S1404)。
另外,既可以是通过计算机实现这些方法的计算机程序,也可以是由计算机程序构成的数字信号。
此外,本公开也可以记录在计算机可读取计算机程序或数字信号的记录介质中,所述记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的数字信号。
另外,本公开也可以将计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传输。
另外,本公开也可以是具备微处理器和存储器的计算机系统,存储器记录有上述计算机程序,微处理器按照计算机程序进行动作。
另外,也可以通过将程序或数字信号记录于记录介质并进行移送,或者经由网络等移送程序或数字信号,从而通过独立的其他计算机系统来实施。
也可以分别组合上述实施方式以及上述变形例。
产业上的可利用性
本公开能够利用于搭载有移动网络的车辆等。
附图标记说明
10 移动网络系统
100 总线
110、120、130、130a、140、150、160 通信控制装置
111 收发器部
112 中继器部
113 收发器部
114 控制部
115 黑名单保持部
116 发送ID列表保持部
117 状态保持部
118、119 通信部
210 诊断端口
220 非法检测ECU
221 收发部
222 非法检测部
223 帧生成部
224 正规ID列表保持部
230 发动机ECU
231 帧收发部
232 帧解释部
233 外部设备控制部
234 帧生成部
240 制动器ECU
250 仪表盘ECU
260 IVI ECU
Claims (9)
1.一种通信控制装置,是由一个以上的电子控制单元和网络总线构成的移动网络系统中的通信控制装置,其中,所述通信控制装置将所述网络总线和所述一个以上的电子控制单元中的任一个电子控制单元连接,所述通信控制装置配置在所述网络总线与所述电子控制单元之间,所述电子控制单元经由所述通信控制装置向所述网络总线发送消息,经由所述通信控制装置从所述网络总线接收消息,所述通信控制装置具备:通信部,从所述电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表;以及控制部,控制所述通信部以及所述发送ID列表保持部,所述控制部,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与追加了该发送ID的所述发送ID列表有关的信息向所述网络总线发送,在所述通信部从所述网络总线接收到用于通知与非法的发送ID列表有关的信息的非法通知消息的情况下,所述控制部进一步在与该非法的发送ID列表有关的信息和与所述发送ID列表保持部所保持的所述发送ID列表有关的信息一致时,以后不将从所述电子控制单元发送的消息向所述网络总线发送。
2.根据权利要求1所述的通信控制装置,其中,在所述通信部从所述网络总线接收到包含规定的识别符的消息时,所述控制部向所述网络总线发送与所述发送ID列表有关的信息,所述规定的识别符表示请求与所述发送ID列表有关的信息。
3.根据权利要求1所述的通信控制装置,其中,所述控制部在将所述发送ID追加到了所述发送ID列表时,向所述网络总线发送与所述发送ID列表有关的信息。
4.根据权利要求1所述的通信控制装置,其中,所述控制部进一步测量从所述电子控制单元发送的消息的数量,并将与所述消息的数量有关的信息向所述网络总线发送。
5.根据权利要求1所述的通信控制装置,其中,与所述发送ID列表有关的信息是发送ID列表。
6.根据权利要求5所述的通信控制装置,其中,在所述通信部从所述网络总线接收到用于通知非法的发送ID列表的非法通知消息的情况下,所述控制部进一步在该非法的发送ID列表与由所述发送ID列表保持部所保持的所述发送ID列表一致时,以后不将从所述电子控制单元发送的包含非法的发送ID的消息向所述网络总线发送。
7.一种移动网络系统,由一个以上的电子控制单元和网络总线构成,其中,所述移动网络系统具备:一个以上的通信控制装置,分别将所述一个以上的电子控制单元和所述网络总线连接;以及非法检测电子控制单元,从所述一个以上的电子控制单元中检测非法的电子控制单元,所述一个以上的通信控制装置分别为权利要求1所述的通信控制装置。
8.一种通信控制方法,由移动网络系统中的通信控制装置执行,所述移动网络系统由一个以上的电子控制单元和网络总线构成,其中,所述通信控制装置将所述网络总线和所述一个以上的电子控制单元中的任一个电子控制单元连接,所述通信控制装置配置在所述网络总线与所述电子控制单元之间,所述电子控制单元经由所述通信控制装置向所述网络总线发送消息,经由所述通信控制装置从所述网络总线接收消息,所述通信控制装置具备:通信部,从所述电子控制单元接收消息并将该消息向所述网络总线发送,从所述网络总线接收消息并将该消息向所述电子控制单元发送;以及发送ID列表保持部,保持从所述电子控制单元发送的消息所包含的发送ID的列表即发送ID列表,在所述通信控制方法中,在从所述电子控制单元发送的消息所包含的发送ID不存在于所述发送ID列表的情况下,将该发送ID追加到所述发送ID列表中,将与追加了该发送ID的所述发送ID列表有关的信息向所述网络总线发送,在所述通信部从所述网络总线接收到用于通知与非法的发送ID列表有关的信息的非法通知消息的情况下,进一步在与该非法的发送ID列表有关的信息和与所述发送ID列表保持部所保持的所述发送ID列表有关的信息一致时,以后不将从所述电子控制单元发送的消息向所述网络总线发送。
9.一种存储有程序的计算机可读取的存储介质,所述程序使计算机执行权利要求8所述的通信控制方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018098984 | 2018-05-23 | ||
| JP2018-098984 | 2018-05-23 | ||
| PCT/JP2019/017033 WO2019225259A1 (ja) | 2018-05-23 | 2019-04-22 | 通信制御装置、不正検知電子制御ユニット、モビリティネットワークシステム、通信制御方法、不正検知方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111434077A CN111434077A (zh) | 2020-07-17 |
| CN111434077B true CN111434077B (zh) | 2023-02-24 |
Family
ID=68615735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980006184.3A Active CN111434077B (zh) | 2018-05-23 | 2019-04-22 | 通信控制装置、移动网络系统、通信控制方法以及存储介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200412756A1 (zh) |
| EP (1) | EP3799364A4 (zh) |
| JP (1) | JP7269922B2 (zh) |
| CN (1) | CN111434077B (zh) |
| WO (1) | WO2019225259A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7121737B2 (ja) * | 2018-05-23 | 2022-08-18 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置、異常検知方法およびプログラム |
| DE102018212657A1 (de) * | 2018-07-30 | 2020-01-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
| US11522872B2 (en) | 2020-06-18 | 2022-12-06 | Nxp B.V. | CAN transceiver |
| CN114124533A (zh) * | 2021-11-24 | 2022-03-01 | 山西大鲲智联科技有限公司 | 数据拦截方法、装置、电子设备和计算机可读介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015151418A1 (ja) * | 2014-04-03 | 2015-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法 |
| JP2016064705A (ja) * | 2014-09-24 | 2016-04-28 | 日本特殊陶業株式会社 | 車載センサ及び車載センサシステム |
| CN105594156A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| CN105981336A (zh) * | 2014-12-01 | 2016-09-28 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| CN107078938A (zh) * | 2015-08-31 | 2017-08-18 | 松下电器(美国)知识产权公司 | 网关装置、车载网络系统以及通信方法 |
| JP2017195524A (ja) * | 2016-04-21 | 2017-10-26 | 三菱電機株式会社 | ネットワークシステム |
| JP2018026791A (ja) * | 2016-07-28 | 2018-02-15 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008114583A1 (ja) * | 2007-03-16 | 2008-09-25 | Autonetworks Technologies, Ltd. | 車載用通信システム |
| WO2014039035A1 (en) * | 2012-09-05 | 2014-03-13 | GM Global Technology Operations LLC | New approach for controller area network bus off handling |
| KR101958477B1 (ko) * | 2012-11-13 | 2019-03-14 | 현대모비스 주식회사 | 차량용 lin 통신 시스템 및 이 시스템에서 슬레이브 모듈의 동작 방법 |
| JP6595885B2 (ja) * | 2015-01-20 | 2019-10-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正対処方法及び電子制御ユニット |
| JP6536251B2 (ja) | 2015-07-24 | 2019-07-03 | 富士通株式会社 | 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 |
| WO2017046980A1 (ja) * | 2015-09-14 | 2017-03-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法 |
| JP6730578B2 (ja) | 2015-11-12 | 2020-07-29 | 富士通株式会社 | 監視方法および監視システム |
| CN113014464B (zh) * | 2016-01-08 | 2022-07-26 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
| DE102016220895A1 (de) * | 2016-10-25 | 2018-04-26 | Volkswagen Aktiengesellschaft | Erkennung von Manipulationen in einem CAN-Netzwerk |
| US11055615B2 (en) * | 2016-12-07 | 2021-07-06 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
| CN106953796B (zh) * | 2017-04-13 | 2021-01-01 | 北京汽车集团有限公司 | 安全网关、数据处理方法、装置、车辆网络系统及车辆 |
| WO2019193786A1 (ja) * | 2018-04-06 | 2019-10-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ログ出力方法、ログ出力装置及びプログラム |
| KR102524204B1 (ko) * | 2018-04-27 | 2023-04-24 | 한국전자통신연구원 | 차량용 네트워크의 침입 대응 장치 및 방법 |
| WO2020090108A1 (ja) * | 2018-11-02 | 2020-05-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正制御防止システムおよび、不正制御防止方法 |
| WO2020110414A1 (ja) * | 2018-11-30 | 2020-06-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ送信装置、車両ログ解析システムおよび車両ログ送受信方法 |
| JPWO2020162075A1 (ja) * | 2019-02-08 | 2021-12-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常判定方法、異常判定装置およびプログラム |
| GB2590282A (en) * | 2019-06-07 | 2021-06-23 | Karamba Security Ltd | Cryptographic key management for end-to-end communication security |
| JP7347141B2 (ja) * | 2019-11-13 | 2023-09-20 | 株式会社オートネットワーク技術研究所 | 車載通信装置及び情報置換方法 |
| CN114731301B (zh) * | 2019-12-23 | 2024-04-05 | 松下电器(美国)知识产权公司 | 决定方法、决定系统以及程序记录介质 |
| JP7336074B2 (ja) * | 2020-03-04 | 2023-08-31 | スズキ株式会社 | 中継器 |
| KR20210119162A (ko) * | 2020-03-24 | 2021-10-05 | 현대자동차주식회사 | 차량 및 차량의 제어방법 |
| US11665619B2 (en) * | 2020-08-26 | 2023-05-30 | Honda Motor Co., Ltd. | Data and connectivity management systems and methods thereof |
| EP3968602B1 (en) * | 2020-09-11 | 2024-05-22 | Volkswagen Ag | An online connectivity unit in an electronic control unit of a vehicle, corresponding method and corresponding computer program product |
| US11875235B2 (en) * | 2020-09-17 | 2024-01-16 | Intel Corporation | Machine learning voltage fingerprinting for ground truth and controlled message error for message and ECU mapping |
| CN113359680B (zh) * | 2021-06-28 | 2023-05-23 | 潍柴动力股份有限公司 | 一种数据采集方法及车载终端 |
-
2019
- 2019-04-22 EP EP19806452.9A patent/EP3799364A4/en active Pending
- 2019-04-22 CN CN201980006184.3A patent/CN111434077B/zh active Active
- 2019-04-22 WO PCT/JP2019/017033 patent/WO2019225259A1/ja unknown
- 2019-04-22 JP JP2020521120A patent/JP7269922B2/ja active Active
-
2020
- 2020-09-09 US US17/015,569 patent/US20200412756A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015151418A1 (ja) * | 2014-04-03 | 2015-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法 |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| CN105594156A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| JP2016064705A (ja) * | 2014-09-24 | 2016-04-28 | 日本特殊陶業株式会社 | 車載センサ及び車載センサシステム |
| CN105981336A (zh) * | 2014-12-01 | 2016-09-28 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| CN107078938A (zh) * | 2015-08-31 | 2017-08-18 | 松下电器(美国)知识产权公司 | 网关装置、车载网络系统以及通信方法 |
| JP2017195524A (ja) * | 2016-04-21 | 2017-10-26 | 三菱電機株式会社 | ネットワークシステム |
| JP2018026791A (ja) * | 2016-07-28 | 2018-02-15 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3799364A4 (en) | 2021-07-14 |
| CN111434077A (zh) | 2020-07-17 |
| WO2019225259A1 (ja) | 2019-11-28 |
| US20200412756A1 (en) | 2020-12-31 |
| JP7269922B2 (ja) | 2023-05-09 |
| EP3799364A1 (en) | 2021-03-31 |
| JPWO2019225259A1 (ja) | 2021-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111434077B (zh) | 通信控制装置、移动网络系统、通信控制方法以及存储介质 | |
| JP6928051B2 (ja) | ゲートウェイ装置、車載ネットワークシステム及び通信方法 | |
| JP7170780B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| US10715333B2 (en) | Network message authentication and verification | |
| JP6836340B2 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 | |
| CN111934966B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| CN107817779B (zh) | 基于以太网交换机的信息验证未注册的装置的系统及方法 | |
| CN109299029B (zh) | 用于更新至少一个规则的节点、车辆、集成电路和方法 | |
| JP7231559B2 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| CN108476155B (zh) | 不正当消息检测装置、方法、记录介质、以及电子控制装置 | |
| CN109891848B (zh) | 借助检查can标识符识别can网络中的操纵方法及can控制器 | |
| CN112347021B (zh) | 用于串行通信装置的安全模块 | |
| CN109104352B (zh) | 车辆网络操作协议和方法 | |
| EP3124331B1 (en) | Controller area network (can) device and method for operating a can device | |
| CN111934994B (zh) | 网关装置、车载网络系统以及通信方法 | |
| JP7412506B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| CN112347022A (zh) | 用于can节点的安全模块 | |
| JP6223498B2 (ja) | ネットワークシステム | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| KR20180058537A (ko) | 차량 내 통신 보안 제공 방법 및 장치 | |
| JP2021010123A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| EP4344150A1 (en) | Controller area network system and a method for the system | |
| WO2021241415A1 (ja) | 異常検知システム及び異常検知方法 | |
| CN111788800B (zh) | 帧传送方法以及安全星型耦合器 | |
| CN116471139A (zh) | 控制器局域网模块和用于所述模块的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |