CN113442848B - 车辆控制系统、攻击判定方法及记录有程序的记录介质 - Google Patents

Abstract

本发明提供车辆控制系统、攻击判定方法及记录有程序的记录介质，该车辆控制系统具备：驱动控制装置，是控制设置于车辆的驱动部的控制装置；控制指示装置，是通过进行对于上述驱动控制装置的基于通信的指示来对上述驱动控制装置进行控制的控制装置；通信路，将包括上述控制指示装置以及上述驱动控制装置的多个上述控制装置连结为相互能够通信；比较部，分别设置于上述控制指示装置以及上述驱动控制装置，对经由上述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较；以及攻击判定部，设置于上述控制指示装置，根据上述控制指示装置以及上述驱动控制装置的各上述比较部中的比较结果来判定针对上述通信路的攻击。

Description

车辆控制系统、攻击判定方法及记录有程序的记录介质

技术领域

本公开涉及车辆控制系统、攻击判定方法以及记录有程序的记录介质。

背景技术

在日本专利第6407981号公报中公开了一种具备根据CAN(Controller AreaNetwork)协议而经由至少一条总线来进行附加有消息认证码(MAC：MessageAuthentication Code)的数据帧的收授的多个电子控制单元的车载网络系统。

另一方面，车辆网络的负荷因进行用于消息认证的通信而增大。

发明内容

本公开的目的在于，提供能够既抑制车辆网络的负荷又进行从外部对车内网络的攻击等通信异常的判定的车辆控制系统、攻击判定方法以及记录有程序的记录介质。

第1方式涉及车辆控制系统，具备：驱动控制装置，是对设置于车辆的驱动部进行控制的控制装置；控制指示装置，是通过进行对于上述驱动控制装置的基于通信的指示来控制上述驱动控制装置的控制装置；通信路，将包括上述控制指示装置以及上述驱动控制装置的多个上述控制装置连接为相互能够通信；比较部，分别设置于上述控制指示装置以及上述驱动控制装置，并将经由上述通信路的与其他控制装置的通信中的通信周期与预先存储的基准周期进行比较；以及攻击判定部，设置于上述控制指示装置，并根据上述控制指示装置以及上述驱动控制装置的各上述比较部中的比较结果来判定针对上述通信路的攻击。

对于第1方式的车辆控制系统而言，通过控制指示装置经过通信路向驱动控制装置发送控制信号，从而驱动控制装置使驱动部进行驱动。在该车辆控制系统中，分别设置于控制指示装置以及驱动控制装置的比较部将通信路的通信中的通信周期与预先存储的基准周期进行比较，攻击判定部根据各比较部中的比较结果来判定针对通信路的攻击。因此，根据该车辆控制系统，能够不使用消息认证就判定针对车辆网络的攻击。即，能够既抑制车辆网络的负荷又进行从外部针对车内网络的攻击等通信异常的判定。

第2方式的车辆控制系统在第1方式所记载的车辆控制系统的基础上提出，上述控制指示装置以及上述驱动控制装置分别具备在与其他控制装置的通信中进行消息认证的认证部，上述攻击判定部对于第一种信息，根据上述认证部执行了的消息认证来判定针对上述通信路的攻击，对于与上述第一种信息不同的第二种信息，根据上述比较部的比较结果来判定针对上述通信路的攻击。

在第2方式的车辆控制系统中，针对第一种信息，根据消息认证来判定针对通信路的攻击，针对第二种信息，根据通信周期与基准周期的比较结果来判定针对通信路的攻击。根据该车辆控制系统，由于在通信路中的一部分通信中不需要消息认证，所以能够既抑制车辆网络的负荷又进行通信异常判定。

第3方式在第2方式所记载的车辆控制系统的基础上提出，上述第一种信息是上述通信路中的攻击判定时的风险比上述第二种信息高的信息。

在通信路受到攻击的情况下，第3方式的车辆控制系统针对风险高的信息进行消息认证。根据该车辆控制系统，通过对于风险高的信息设置更可靠的认证机构，能够既确保安全性又抑制车辆网络的负荷。

第4方式的车辆控制系统在第1～3方式中任一方式所记载的车辆控制系统的基础上提出，上述控制指示装置是驾驶辅助用ECU，上述控制指示装置经由上述通信路将车辆行驶用的用于控制上述驱动部的控制信号发送至上述驱动控制装置。

根据第4方式的车辆控制系统，通过经由保证了安全的通信路发送自动驾驶所涉及的控制信号，能够使自动驾驶车辆的通信的可靠性提高。

第5方式的车辆控制系统在第1～4方式中任一方式所记载的车辆控制系统的基础上提出，具备将包括上述控制指示装置以及上述驱动控制装置的多个控制装置连接为相互能够通信并且与上述通信路独立的其他通信路，在上述攻击判定部判定为存在针对上述通信路的攻击的情况下，上述控制指示装置仅经由上述其他通信路与上述驱动控制装置进行通信。

在第5方式的车辆控制系统中，多个控制装置通过通信路以及其他通信路双方连接为能够通信，在存在针对通信路的攻击的情况下，通过其他通信路进行控制装置间的通信。因此，根据该车辆控制系统，即便在对于通信路存在攻击的情况下，也能够通过其他通信路的通信来继续驱动部的控制。

第6方式的攻击判定方法是将包括驱动控制装置和控制指示装置的多个控制装置相互连接的通信路中的攻击判定方法，上述驱动控制装置对设置于车辆的驱动部进行控制，上述控制指示装置对上述驱动控制装置进行控制，其中，上述攻击判定方法包括：比较处理，分别在上述控制指示装置以及上述驱动控制装置中执行，将经由上述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较；和攻击判定处理，在上述控制指示装置中执行，根据上述比较处理中的比较结果来判定针对上述通信路的攻击。

第6方式的攻击判定方法被应用于通过在车辆中由控制指示装置经过通信路向驱动控制装置进行指示而由驱动控制装置使驱动部进行驱动的情况。在该攻击判定方法中，在控制指示装置以及驱动控制装置中分别执行的比较处理中将通信路的通信中的通信周期与预先存储的基准周期进行比较，在攻击判定处理中根据比较处理的比较结果来判定针对通信路的攻击。因此，根据该攻击判定方法，能够不使用消息认证就判定针对车辆网络的攻击。即，能够既抑制车辆网络的负荷又进行从外部针对车内网络的攻击等通信异常的判定。

第7方式是记录有程序的非暂时性记录介质。该程序是对将包括驱动控制装置和控制指示装置的多个控制装置相互连接的通信路中的攻击进行判定的程序，上述驱动控制装置对设置于车辆的驱动部进行控制，上述控制指示装置对上述驱动控制装置进行控制，其中，上述程序使上述控制指示装置所具备的计算机执行具备如下处理的处理：比较处理，将经由上述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较；和攻击判定处理，根据上述比较处理中的比较结果来判定针对上述通信路的攻击。

第7方式的非暂时性记录介质所记录的程序被应用于通过在车辆中由控制指示装置经过通信路向驱动控制装置进行指示而由驱动控制装置使驱动部进行驱动的情况。在该程序中，在控制指示装置向驱动控制装置进行指示的情况下，控制指示装置所具备的计算机执行如下处理。即，在比较处理中将通信路的通信中的通信周期与预先存储的基准周期进行比较，在攻击判定处理中，根据比较处理的比较结果来判定针对通信路的攻击。因此，根据该程序，能够不使用消息认证就判定针对车辆网络的攻击。即，能够既抑制车辆网络的负荷又进行从外部针对车内网络的攻击等通信异常的判定。

根据本公开，能够既抑制车辆网络的负荷又进行从外部针对车内网络的攻击等通信异常的判定。

附图说明

基于下图对本公开的示例性实施例详细进行说明，其中：

图1是表示实施方式所涉及的车辆控制系统的简要结构的图。

图2是表示实施方式的ECU的硬件结构的框图。

图3是表示实施方式的自动驾驶ECU的功能结构的例子的框图。

图4是表示实施方式的驱动控制用的ECU的功能结构的例子的框图。

图5是在实施方式中表示在各ECU中执行的处理的流程的序列图。

具体实施方式

图1是表示本公开的实施方式所涉及的车辆控制系统10的简要结构的框图。

(基本结构)

如图1所示，本实施方式所涉及的车辆控制系统10被设置于能够实现自动驾驶的车辆12。

本实施方式的车辆控制系统10构成为包括多个ECU(Electronic Control Unit)20、将多个ECU20彼此连接的通信路亦即车内总线30、DCM(Data Communication Module)34、以及中央GW(Central Gateway)38。

ECU20作为控制车辆12的各部的控制装置发挥功能。ECU20包括自动驾驶ECU22、转向ECU24以及制动ECU26。此外，虽未图示，但ECU20还包括车身ECU、发动机ECU、变速器ECU、仪表ECU、多媒体ECU、智能钥匙ECU等。自动驾驶ECU22是驾驶辅助用ECU，是控制指示装置的一个例子。另外，转向ECU24以及制动ECU26是驱动控制用的ECU20，是驱动控制装置的一个例子。

在转向ECU24以及制动ECU26分别连接有促动器40，各促动器40基于自动驾驶ECU22的控制信号进行驱动。即，在本实施方式的车辆12中，通过转向ECU24以及制动ECU26等ECU20基于从自动驾驶ECU22发送的控制信号来驱动促动器40，由此实现自动驾驶。关于ECU20的详细结构将后述。

车内总线30用于将各ECU20相互连接。车内总线30包括：第一总线30A，能够与车辆12的外部的网络N连接；和第二总线30B，与第一总线30A独立且被与外部的网络切断。另外，在第一总线30A除了连接有各ECU20之外还连接有DCM34和中央GW38。

在车内总线30中，进行基于CAN(Controller Area Network)协议的通信。第一总线30A是其他通信路的一个例子，第二总线30B是通信路的一个例子。

DCM34被设置为将作为通信网的网络N与车辆12连接的通信装置。如上述那样，DCM34与第一总线30A连接。

中央GW38具有管理网络、进行数据通信的功能。如上述那样，中央GW38仅与第一总线30A连接。此外，除了第一总线30A之外还连接有未图示的多个总线。

另外，中央GW38与DLC(Data Link Connector)42连接。该DLC42能够实现与无线设备18的连接。即，中央GW38构成为能够经由无线设备18与网络N连接。

(ECU)

如图2所示，ECU20构成为包括CPU(Central Processing Unit)20A、ROM(ReadOnly Memory)20B、RAM(Random Access Memory)20C、第一通信I/F(Inter Face)20D、第二通信I/F20E以及输入输出I/F20F。CPU20A、ROM20B、RAM20C、第一通信I/F20D、第二通信I/F20E以及输入输出I/F20F经由内部总线20H连接为相互能够通信。CPU20A是处理器的一个例子，RAM20C是存储器的一个例子。

CPU20A是中央运算处理单元，执行各种程序、控制各部。即，CPU20A从ROM20B读出程序并将RAM20C作为工作区域来执行程序。

作为存储部的ROM20B存储有各种程序以及各种数据。在本实施方式中，在ROM20B存储有执行程序100。执行程序100是用于进行后述的攻击监视以及攻击应对所涉及的处理的程序。另外，在ROM20B存储有帧参数120。帧参数120存储有在各车内总线30中通信的帧的间隔亦即基准周期。

RAM20C作为工作区域而暂时存储程序或者数据。在RAM20C存储有帧接收日志140。帧接收日志140存储有从其他ECU20接收到帧时的接收时刻。

第一通信I/F20D是用于与其他ECU20连接的接口。该接口可使用基于CAN协议的通信标准。第一通信I/F20D与第一总线30A连接。

第二通信I/F20E是用于与其他ECU20连接的接口。该接口可使用基于CAN协议的通信标准。第二通信I/F20E与第二总线30B连接。

此外，在本实施方式中，将第一通信I/F20D以及第二通信I/F20E设置为不同的接口，但并不局限于此，也可以一个通信接口与第一总线30A以及第二总线30B连接。该情况下，成为第一总线30A和第二总线30B与不同的信道连接等、第一总线30A的通信与第二总线30B的通信独立的结构。

输入输出I/F20F是用于与促动器40或者仪表50进行通信的接口。详细而言，在驱动控制用的ECU20的输入输出I/F20F连接有促动器40，在自动驾驶ECU22的输入输出I/F20F连接有仪表50。此外，仪表50也可以经由仪表ECU而连接。此外，与输入输出I/F20F连接的设备类并不局限于促动器40以及仪表50，也可以连接其他传感器类。

(自动驾驶ECU)

图3是表示自动驾驶ECU22的功能结构的例子的框图。如图3所示，自动驾驶ECU22具有发送部200、接收部210、生成部220、认证部230、攻击检测部240、攻击汇集部250、攻击判定部260以及驾驶控制部270。各功能结构通过CPU20A读出存储于ROM20B的执行程序100并执行该执行程序100来实现。

发送部200具有向其他ECU20发送通信帧的功能。即，发送部200能够对于第一总线30A以及第二总线30B双方输出通信帧。在此，通信帧包括CANID以及通信数据。

其中，通过第一总线30A以及第二总线30B发送的通信数据能够包括相对于消息作为认证码的MAC(Message Authentication Code)。例如，对于车辆12的紧急停止所涉及的控制信号进行消息认证。即，发送部200对于与制动、转向角相关的控制信号的消息附加在生成部220中生成的MAC来进行发送。与此相对，对于紧急停止以外的控制信号不进行消息认证，发送部200仅发送控制信号。在此，紧急停止所涉及的控制信号是通信路中的攻击判定时的风险高的信息，相当于第一种信息。另外，紧急停止以外的控制信号相当于第二种信息。

接收部210具有从其他ECU20接收通信帧的功能。即，接收部210能够从第一总线30A以及第二总线30B双方取得通信帧。

生成部220具有使用密钥从规定的数据生成MAC的功能。ECU20成为发送侧的情况下的生成部220基于要发送的消息和密钥执行运算处理来生成MAC。另一方面，ECU20成为接收侧的情况下的生成部220基于从发送侧的ECU20接收到的消息和密钥执行运算处理来生成验证用MAC。本实施方式的密钥可使用在发送侧和接收侧共通的公共密钥。

认证部230具有对消息进行认证的功能。认证部230将接收到的通信数据所包含的MAC与根据接收到的消息生成的验证用MAC进行比较，并在一致的情况下认证消息。另外，在消息的认证不成立的情况下，认证部230对认证不成立的次数进行计数。

作为比较部的攻击检测部240具有对从其他ECU20接收到的帧是否是非法的帧进行判定的功能。该攻击检测部240基于帧接收日志140和帧参数120来进行是否插入有非法帧(unauthorized frame)的判定。具体而言，攻击检测部240根据存储于帧接收日志140的规定帧的接收时刻与上一个接收到的帧的接收时刻之差来计算通信周期，将该通信周期与存储于帧参数120的基准周期进行比较。

然后，在通信周期与基准周期不一致的情况下，详细而言在通信周期相对于基准周期未落入到所允许的误差范围内的情况下，攻击检测部240将计算出该通信周期时的规定帧检测为非法帧。

攻击汇集部250具有对分别从其他ECU20通知的非法帧的检测次数进行汇集的功能。具体而言，取得从驱动控制用的ECU20的后述的攻击通知部280通知的检测次数。另外，攻击汇集部250能够取得从其他ECU20分别通知的认证不成立的次数。

攻击判定部260具有对车辆网络是否正受到攻击进行判定的功能。在从攻击检测部240取得的非法帧的检测次数与从攻击汇集部250取得的非法帧的检测次数的总计超过预先决定的阈值的情况下，攻击判定部260判定为车内总线30正受到攻击。另外，在从认证部230取得的认证不成立的次数与从攻击汇集部250取得的认证不成立的次数的总计超过预先决定的阈值的情况下，攻击判定部260判定为车内总线30正受到攻击。

驾驶控制部270具有进行车辆12的自动驾驶的控制的功能。驾驶控制部270从搭载于车辆12的识别传感器、网络N等取得车辆12所涉及的数据，并根据所取得的数据创建车辆12的行驶计划，生成用于控制促动器40的控制信号。

另外，在由攻击检测部240检测为任意一方的车内总线30受到攻击的情况下，驾驶控制部270执行降级处理(degradation processing)。在降级处理中，驾驶控制部270以通过未受到攻击的另一方的车内总线30发送控制信号的方式进行控制。由此，驾驶控制部270从自动驾驶向手动驾驶进行切换，将车辆12的驾驶交还给驾驶员，或者使车辆12迅速停到安全的场所来使自动驾驶结束。在进行降级处理的情况下，驾驶控制部270将对于仪表50结束自动驾驶并转换成手动驾驶的情况、立即停车并结束自动驾驶的情况通知给驾驶员。

(驱动控制用ECU)

作为驱动控制用的ECU20的转向ECU24以及制动ECU26相对于自动驾驶ECU22在以下的点上不同。此外，其他结构以及功能与自动驾驶ECU22相同，省略详细的说明。

图4是表示作为驱动控制用的ECU20的转向ECU24以及制动ECU26的功能结构的例子的框图。如图4所示，驱动控制用的ECU20具有发送部200、接收部210、生成部220、认证部230、攻击检测部240、攻击通知部280以及驱动指示部290。发送部200、接收部210、生成部220、认证部230以及攻击检测部240的功能与自动驾驶ECU22相同。

攻击通知部280具有将从攻击检测部240取得的非法帧的检测次数通知给自动驾驶ECU22的功能。另外，攻击通知部280能够将认证部230判定为认证不成立的次数通知给自动驾驶ECU22。

驱动指示部290具有根据由接收部210接收到的消息所包含的控制信号来使各促动器40进行驱动的功能。例如，转向ECU24的驱动指示部290根据控制信号所包含的转向装置的转向角量驱动促动器40来使转向操纵轮转向。另外，例如制动ECU26根据控制信号所包含的制动量驱动促动器40来使各车轮制动。

(控制的流程)

在本实施方式中，利用图5的序列图对在各ECU20执行的攻击监视以及攻击应对所涉及的处理的流程的例子进行说明。其中，该图是CPU20A从自动驾驶ECU22将控制信号通过第一总线30A以及第二总线30B双方发送至转向ECU24以及制动ECU26来进行车辆12的自动驾驶的例子。

在图5的步骤S10中，自动驾驶ECU22通过第一总线30A以及第二总线30B向转向ECU24发送控制信号。另外，在步骤S11中，自动驾驶ECU22通过第一总线30A以及第二总线30B向制动ECU26发送控制信号。

在步骤S12中，自动驾驶ECU22存储接收帧的接收时刻。虽未图示，但自动驾驶ECU22从中央GW38、其他ECU20接收帧。

在步骤S13中，转向ECU24对包含控制信号的接收帧的接收时刻进行存储。同样，在步骤S14中，制动ECU26对包含控制信号的接收帧的接收时刻进行存储。

在步骤S15中，转向ECU24使促动器40的驱动控制反映从第一总线30A以及第二总线30B双方接收到的控制信号中的从第二总线30B接收到的控制信号。同样，在步骤S16中，制动ECU26使促动器40的驱动控制反映从第一总线30A以及第二总线30B双方接收到的控制信号中的从第二总线30B接收到的控制信号。

在步骤S17中，自动驾驶ECU22执行非法帧检测处理。即，对根据接收时刻计算出的通信周期与存储于帧参数120的基准周期进行比较，将不一致的情况检测为非法帧，并对其次数进行计数。

同样，在步骤S18中，转向ECU24执行非法帧检测处理，在步骤S19中，制动ECU26执行非法帧检测处理。

在步骤S20中，转向ECU24将非法帧的检测次数通知给自动驾驶ECU22。同样，在步骤S21中，制动ECU26将非法帧的检测次数通知给自动驾驶ECU22。

在步骤S22中，自动驾驶ECU22从其他ECU20汇集非法帧的检测次数。

在步骤S23中，自动驾驶ECU22进行针对车内总线30的攻击判定。例如，在由各ECU20检测出的第二总线30B中的非法帧的检测次数的总计超过预先设定的阈值的情况下，自动驾驶ECU22判定为第二总线30B受到攻击。

而且，在第二总线30B受到攻击的情况下，执行以下的控制。

在步骤S24中，自动驾驶ECU22使降级处理开始。即，在驾驶员处于恰当的驾驶姿势的情况下等能够实现从自动驾驶向手动驾驶切换的情况下，自动驾驶ECU22开始切换处理。该情况下，自动驾驶ECU22将进行切换这一情况显示于仪表50来通知给驾驶员。另外，在无法实现切换的情况下，自动驾驶ECU22进行使车辆12停止的控制。该情况下，自动驾驶ECU22将使车辆12停止这一情况显示于仪表50来通知给驾驶员。此外，仪表50中的通知并不仅局限于显示，也可以伴有声音。

在步骤S25中，自动驾驶ECU22仅通过第一总线30A向转向ECU24发送控制信号。另外，在步骤S26中，自动驾驶ECU22仅通过第一总线30A向制动ECU26发送控制信号。

在步骤S27中，转向ECU24使促动器40的驱动控制反映从第一总线30A接收到的控制信号。同样，在步骤S28中，制动ECU26使促动器40的驱动控制反映从第一总线30A接收到的控制信号。由此，在车辆12中继续最小限度的自动驾驶，自动驾驶ECU22使车辆12迅速停到安全的场所。

(实施方式的总结)

在本实施方式的车辆控制系统10中，通过自动驾驶ECU22向驱动控制用的ECU20发送控制信号，从而驱动控制用的ECU20使促动器40进行驱动来使车辆12行驶。本实施方式具备将包括自动驾驶ECU22以及驱动控制用的ECU20的ECU20连接为相互能够通信的车内总线30亦即第一总线30A和第二总线30B。在此，第一总线30A能够通过DCM34与网络N实现通信，并能够通过中央GW38以及无线设备18与网络N实现通信。另一方面，第二总线30B与第一总线30A独立且构成为被与车外切断的网络。

在本实施方式中，设置于各ECU20的攻击检测部240将各车内总线30的通信中的通信周期与预先存储于帧参数120的基准周期进行比较，并在不一致的情况下检测非法帧。而且，攻击判定部260基于各ECU20的攻击检测部240中的比较结果来判定针对车内总线30的攻击。因此，根据本实施方式，不必使用消息认证也能够判定针对车辆网络的攻击。

在此，当在消息认证中进行通信的情况下，为了分配给仅有8byte的数据长度的有效载荷部(payload)来进行通信，需要将使用了8byte量的原本的帧分成2个帧来进行发送。其结果是，当在消息认证中进行通信的帧数多的情况下，发送帧数大幅度增加，总线负荷增大。

另外，对于所赋予的MAC而言，为了不被攻击者等从通信日志解析出密钥而进行复杂的计算。因此，在原本不考虑加密运算等的现有的ECU20的情况下，MAC运算带来的处理负荷加重，处于使本来功能的处理窘迫的状态。与此相对，根据本实施方式，能够既抑制车辆网络、ECU20的负荷又进行来自外部的攻击等通信异常的判定。

其中，在本实施方式的车辆控制系统10中，通过针对车辆12的紧急停止所涉及的控制信号与非法帧的检测一并进行消息认证，使得攻击判定部260能够判定针对车内总线30的攻击。另一方面，针对紧急停止以外所涉及的控制信号，只要攻击判定部260基于非法帧的检测来判定针对车内总线30的攻击就足矣。因此，根据本实施方式，由于在车内总线30的一部分通信中不需要消息认证，所以能够既抑制车辆网络的负荷又进行通信异常判定。

特别是针对车辆12的紧急停止所涉及的控制信号那样在车内总线30受到攻击的情况下风险高的信息，通过设置消息认证那样的更可靠的认证机构，能够既保证安全性又抑制车辆网络的负荷。

而且，通过经由保证了安全的车内总线30发送紧急停止所涉及的控制信号，能够使自动驾驶车辆中的通信的可靠性提高。

并且，在本实施方式的车辆控制系统10中，多个ECU20通过第一总线30A与第二总线30B双方连接为能够通信。通常，通过主要使用被与外部切断的第二总线30B，能够进行确保了可靠性的通信，但在假设存在针对第二总线30B的攻击的情况下，能够通过第一总线30A进行ECU20间的通信。

即，即便是在车内总线30插入了非法帧的情况下，也能够在车辆12出现危险的车辆举动之前进行处置。因此，根据本实施方式，即便是对于第二总线30B存在攻击的情况，也能够通过第一总线30A的通信来继续车辆12的自动驾驶。

(变形例)

上述实施方式的攻击判定部260基于各ECU20中的非法帧的检测次数、认证不成立的次数的合计值来判定车内总线30的攻击，但并不局限于此，也可以在各ECU20中判定车内总线30的攻击。

具体而言，当在一定期间内检测到规定次数以上的非法帧的情况下，本变形例中的攻击检测部240判定为攻击状态。另外，当在一定期间内接收到的帧的通信数据中MAC与验证用MAC的不一致存在规定次数以上的情况下，攻击检测部240判定为攻击状态。而且，当在任一个ECU20中判定为攻击状态的情况下，自动驾驶ECU22的攻击判定部260判定为系统整体受到攻击。在本变形例的情况下也起到与本实施方式同样的作用效果。

[备注]

在上述实施方式中，对车辆12的紧急停止所涉及的控制信号应用了消息认证，但并不局限于此，只要是使用被与外部切断的第二总线30B的情况，则不一定需要消息认证。通过对于第二总线30B的通信省略消息认证，能够减少认证所涉及的ECU20的负担。

此外，在上述实施方式中，CPU20A读取软件(程序)而执行的各处理也可以由CPU以外的各种处理器执行。作为该情况下的处理器，能够例示FPGA(Field-Programmable GateArray)等可在制造后变更电路结构的PLD(Programmable Logic Device)、以及ASIC(Application Specific Integrated Circuit)等为了执行特定处理而被设计成专用的电路结构的处理器亦即专用电路等。另外，各处理可以由这些各种处理器中的一个执行，也可以由同种或者不同种的2个以上处理器的组合(例如多个FPGA、以及CPU与FPGA的组合等)来执行。另外，这些各种处理器的硬件构造更具体是将半导体元件等电路元件组合而成的电路。

另外，在上述实施方式中，利用程序被预先存储(安装)于计算机可读取的非暂时性记录介质的方式进行了说明。例如，在车辆12的ECU20中执行程序100被预先存储于ROM20B。但是，并不局限于此，各程序也可以以记录在CD-ROM(Compact Disc Read OnlyMemory)、DVD-ROM(Digital Versatile Disc Read Only Memory)以及USB(UniversalSerial Bus)存储器等非暂时性记录介质的方式来提供。另外，各程序也可以是经由网络从外部装置下载的方式。

上述实施方式中说明的处理的流程也只是一个例子，在不脱离主旨的范围内可以删除不需要的步骤、追加新的步骤、更换处理顺序。

Claims (6)

1.一种车辆控制系统，其中，具备：

驱动控制装置，是对设置于车辆的驱动部进行控制的控制装置；

控制指示装置，是通过进行对于所述驱动控制装置的基于通信的指示来对所述驱动控制装置进行控制的控制装置；

通信路，将包括所述控制指示装置以及所述驱动控制装置的多个所述控制装置连接为相互能够通信；

比较部，分别设置于所述控制指示装置以及所述驱动控制装置，将经由所述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较，在所述通信周期相对于所述基准周期未落入到所允许的误差范围内的情况下将通信帧检测为非法帧，对检测次数进行计数，将作为比较结果而计数得到的检测次数通知给所述控制指示装置；以及

攻击判定部，设置于所述控制指示装置，在所述控制指示装置以及所述驱动控制装置的各所述比较部中的所述检测次数的合计超过了预先设定的阈值的情况下，判定在所述通信路中产生了的可能成为来自外部的攻击的通信异常，

所述车辆控制系统具备将包括所述控制指示装置以及所述驱动控制装置的多个控制装置连接为相互能够通信并且与所述通信路独立的其他通信路，

所述控制指示装置是具有进行所述车辆的自动驾驶的控制的功能的驾驶辅助用ECU，经由所述通信路或者所述其他通信路将车辆行驶用的用于控制所述驱动部的控制信号发送至所述驱动控制装置，

在所述攻击判定部对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅经由所述其他通信路与所述驱动控制装置进行通信，

在所述攻击判定部对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅使用所述其他通信路在驾驶员处于恰当的驾驶姿势而能够实现从自动驾驶向手动驾驶切换的情况下开始切换处理，并在不能切换的情况下进行使所述车辆停止的控制。

2.根据权利要求1所述的车辆控制系统，其中，

所述控制指示装置以及所述驱动控制装置分别具备在与其他控制装置的通信中进行消息认证的认证部，

所述攻击判定部对于第一种信息，根据所述认证部执行了的消息认证来判定关于所述通信路的所述通信异常，对于与所述第一种信息不同的第二种信息，根据所述比较部的比较结果来判定关于所述通信路的所述通信异常。

3.根据权利要求2所述的车辆控制系统，其中，

所述第一种信息是所述通信路中的攻击判定时的风险比所述第二种信息高的信息中的紧急停止所涉及的控制信号。

4.根据权利要求1～3中任一项所述的车辆控制系统，其中，

所述车辆至少包括控制所述驱动部的ECU中的转向ECU和制动ECU作为多个所述驱动控制装置，

所述攻击判定部通过还被设置于多个所述驱动控制装置而设置于所述多个控制装置的每一个，

在所述多个控制装置各自的所述攻击判定部中判定所述通信异常，当在任一个所述控制装置中判定为所述通信异常的情况下，针对系统整体判定为所述通信异常。

5.一种攻击判定方法，是将包括驱动控制装置和控制指示装置的多个控制装置相互连接的通信路中的攻击判定方法，所述驱动控制装置对设置于车辆的驱动部进行控制，所述控制指示装置对所述驱动控制装置进行控制，其中，所述攻击判定方法包括：

比较步骤，分别在所述控制指示装置以及所述驱动控制装置中执行，对经由所述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较，在所述通信周期相对于所述基准周期未落入到所允许的误差范围内的情况下将通信帧检测为非法帧，对检测次数进行计数，将作为比较结果而计数得到的检测次数通知给所述控制指示装置；和

攻击判定步骤，在所述控制指示装置中执行，当所述比较步骤中的所述检测次数的合计超过了预先设定的阈值的情况下，判定在所述通信路中产生了的可能成为来自外部的攻击的通信异常，

存在将包括所述控制指示装置以及所述驱动控制装置的多个控制装置连接为相互能够通信并且与所述通信路独立的其他通信路，

所述控制指示装置是具有进行所述车辆的自动驾驶的控制的功能的驾驶辅助用ECU，经由所述通信路或者所述其他通信路将车辆行驶用的用于控制所述驱动部的控制信号发送至所述驱动控制装置，

当在所述攻击判定步骤中对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅经由所述其他通信路与所述驱动控制装置进行通信，

当在所述攻击判定步骤中对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅使用所述其他通信路在驾驶员处于恰当的驾驶姿势而能够实现从自动驾驶向手动驾驶切换的情况下开始切换处理，并在不能切换的情况下进行使所述车辆停止的控制。

6.一种非暂时性记录介质，记录有对将包括驱动控制装置和控制指示装置的多个控制装置相互连接的通信路中的攻击进行判定的程序，所述驱动控制装置对设置于车辆的驱动部进行控制，所述控制指示装置对所述驱动控制装置进行控制，其中，所述程序用于使所述控制指示装置所具备的计算机执行包括如下步骤的处理：

比较步骤，将经由所述通信路的与其他控制装置的通信中的通信周期和预先存储的基准周期进行比较，在所述通信周期相对于所述基准周期未落入到所允许的误差范围内的情况下将通信帧检测为非法帧，对检测次数进行计数，将作为比较结果而计数得到的检测次数通知给所述控制指示装置；和

攻击判定步骤，在所述比较步骤中的所述检测次数的合计超过了预先设定的阈值的情况下，判定在所述通信路中产生了的可能成为来自外部的攻击的通信异常，

存在将包括所述控制指示装置以及所述驱动控制装置的多个控制装置连接为相互能够通信并且与所述通信路独立的其他通信路，

所述控制指示装置是具有进行所述车辆的自动驾驶的控制的功能的驾驶辅助用ECU，经由所述通信路或者所述其他通信路将车辆行驶用的用于控制所述驱动部的控制信号发送至所述驱动控制装置，

当在所述攻击判定步骤中对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅经由所述其他通信路与所述驱动控制装置进行通信，

当在所述攻击判定步骤中对于所述通信路判定为存在所述通信异常的情况下，所述控制指示装置仅使用所述其他通信路在驾驶员处于恰当的驾驶姿势而能够实现从自动驾驶向手动驾驶切换的情况下开始切换处理，并在不能切换的情况下进行使所述车辆停止的控制。