CN115296884A - 不正当应对方法及不正当应对装置 - Google Patents
不正当应对方法及不正当应对装置 Download PDFInfo
- Publication number
- CN115296884A CN115296884A CN202210916502.3A CN202210916502A CN115296884A CN 115296884 A CN115296884 A CN 115296884A CN 202210916502 A CN202210916502 A CN 202210916502A CN 115296884 A CN115296884 A CN 115296884A
- Authority
- CN
- China
- Prior art keywords
- frame
- message
- switching
- slot
- transmission timing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 154
- 230000010485 coping Effects 0.000 title claims abstract description 28
- 230000005540 biological transmission Effects 0.000 claims abstract description 187
- 238000012545 processing Methods 0.000 claims abstract description 97
- 238000004891 communication Methods 0.000 claims abstract description 85
- 238000001514 detection method Methods 0.000 claims abstract description 49
- 230000001960 triggered effect Effects 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 59
- 230000005856 abnormality Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims 4
- 238000010586 diagram Methods 0.000 description 50
- 230000003068 static effect Effects 0.000 description 19
- 230000008859 change Effects 0.000 description 18
- 238000012986 modification Methods 0.000 description 16
- 230000004048 modification Effects 0.000 description 16
- 238000004590 computer program Methods 0.000 description 12
- 238000013461 design Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 239000000470 constituent Substances 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 230000007423 decrease Effects 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/4013—Management of data rate on the bus
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
- B60R16/0232—Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40084—Bus arbitration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40241—Flexray
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
- H04L2012/6432—Topology
- H04L2012/644—Star
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Quality & Reliability (AREA)
- Small-Scale Networks (AREA)
Abstract
不正当应对方法,是车载网络中的不正当应对方法,包括:消息收发步骤,进行消息的收发;不正当检测步骤,检测不正当的消息;以及切换处理步骤,在上述不正当检测步骤中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;在上述切换处理步骤中,根据规定的信息,将切换目标的发送定时进行变更;上述车载网络的通信方式是基于时隙的时间触发型的通信方式;在上述消息收发步骤中,在预先设定的时隙内进行消息的收发;在上述切换处理步骤中,作为上述切换目标的发送定时而决定切换目标的时隙。
Description
本申请是申请日为2019/07/23、申请号为201980007100.8、发明名称为“不正当应对方法及不正当应对装置”的中国专利申请的分案申请。
技术领域
本发明涉及车载网络上的不正当应对方法及不正当应对装置。
背景技术
近年来,在汽车中的系统中,配置有许多被称作电子控制单元(以下记作ECU)的装置。将这些ECU相连的网络被称作车载网络。在车载网络中存在多个标准。其中,存在比当前主流的Controller Area Network(控制器局域网,以下记作CAN(注册商标))高速、作为高可靠协议而设计的FlexRay(注册商标)这一标准。
在FlexRay中,由两条绞线的电压差表示“0”的值和“1”的值。与总线连接的ECU被称作节点。与总线连接的各节点收发被称作帧的消息。FlexRay是Time Division MultipleAccess(时分多址,以下记作TDMA)方式,各节点按预先决定的定时发送帧。
在FlexRay中,存在作为最大的时间单位的周期(cycle),各节点使全局时间同步。周期由“静态段”、“动态段”、“符号窗”、“网络空闲时间(network idle time)”这4个段构成,动态段和符号窗是可选项。各节点在静态段和动态段中发送帧。静态段和动态段由还被称作时隙的能够发送1个帧的时间构成。
在FlexRay中,不存在表示发送目标及发送源的识别符,发送节点基于按每帧预先设定的发送定时即时隙号来发送帧。各接收节点仅接收预先决定的时隙号的帧。此外,有时也使用即使是相同时隙号的帧也实现根据周期而不同的帧的通信的、被称作“周期多路复用”的方法。
此外,在FlexRay中,不仅是如CAN那样全部节点被连接于1个总线的总线型网络拓扑,还能够设计经由星形耦合器的星型的网络拓扑、总线型和星型的混合型的网络拓扑等。
另一方面,关于安全,在CAN中,存在攻击者访问CAN的总线、发送不正当帧从而对ECU进行不正当控制这样的威胁,正在研究安全对策。
例如在专利文献1中,提出了车载网络监视装置,公开了以下方法:对帧是否以预先规定的通信间隔被向CAN发送进行检测,将从规定的通信间隔偏离的帧判断为不正当,从而防止基于不正当帧的控制。
现有技术文献
专利文献
专利文献1:日本特许第5664799号公报
发明内容
发明要解决的课题
但是,在采用TDMA方式的FlexRay中,由于以预先规定的通信间隔进行通信,所以无法应用专利文献1那样的不正当检测手段的方法。此外,也希望CAN的安全性提高。
因此,本发明为了解决上述问题,目的在于提供降低被不正当发送的帧的影响范围从而能够实现更安全的车载网络系统的不正当应对方法及不正当应对装置。
用来解决课题的手段
为了达成上述目的,本发明的一技术方案的不正当应对方法,是车载网络中的不正当应对方法,包括:消息收发步骤,进行消息的收发;不正当检测步骤,检测不正当的消息;以及切换处理步骤,在上述不正当检测步骤中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;在上述切换处理步骤中,根据规定的信息,将切换目标的发送定时进行变更;上述车载网络的通信方式是基于时隙的时间触发型的通信方式;在上述消息收发步骤中,在预先设定的时隙内进行消息的收发;在上述切换处理步骤中,作为上述切换目标的发送定时而决定切换目标的时隙。
此外,本发明的一技术方案的不正当应对装置,是车载网络的不正当应对装置,其特征在于,具备:消息收发部,进行消息的收发;不正当检测部,检测不正当的消息;以及切换处理部,在上述不正当检测部中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;上述切换处理部根据规定的信息将切换目标的发送定时进行变更;上述车载网络的通信方式是基于时隙的时间触发型的通信方式;在上述消息收发部中,在预先设定的时隙内进行消息的收发;在上述切换处理部中,作为上述切换目标的发送定时而决定切换目标的时隙。
发明效果
根据本发明的一技术方案的不正当应对方法等,能够实现安全的车载网络系统。
附图说明
图1是表示实施方式1的车载网络系统的整体结构的图。
图2是表示实施方式1的FlexRay通信的周期的图。
图3是表示实施方式1的FlexRay通信的帧格式的图。
图4是表示实施方式1的ECU的结构的一例的图。
图5是表示实施方式1的FlexRay通信的通信用设定参数的一例的图。
图6是表示实施方式1的星形耦合器的结构的一例的图。
图7是表示实施方式1的通过FlexRay通信发送的帧列表的一例的图。
图8是表示实施方式1的FlexRay通信的帧发送调度表的一例的图。
图9是表示实施方式1的切换表的一例的图。
图10是表示实施方式1的切换通信的序列的一例的图。
图11是表示实施方式2的车载网络系统的整体结构的图。
图12是表示实施方式2的ECU的结构的一例的图。
图13是表示实施方式2的切换表的一例的图。
图14是表示实施方式2的切换通信的序列的一例的图。
图15是表示实施方式3的切换表的一例的图。
图16是表示实施方式3的发送侧的ECU的动作的一例的图。
图17是表示实施方式3的接收侧的ECU的动作的一例的图。
图18是表示实施方式3的变形例的发送侧的ECU的动作的一例的图。
图19是表示实施方式3的变形例的接收侧的ECU的动作的一例的图。
图20是表示实施方式4的通过FlexRay通信发送的帧列表的一例的图。
图21A是表示实施方式4的发送侧的ECU的动作的一例的图。
图21B是表示实施方式4的发送侧的ECU的动作的另一例的图。
图22是表示实施方式4的接收侧的ECU的动作的一例的图。
图23是表示实施方式4的变形例的接收侧的ECU的动作的一例的图。
具体实施方式
本发明的一形态的不正当应对方法,是车载网络中的不正当应对方法,包括:帧收发步骤,进行帧的收发;不正当检测步骤,检测不正当的帧;以及切换处理步骤,在上述不正当检测步骤中检测到不正当的情况下,将被检测到不正当的帧的发送定时进行切换;在上述切换处理步骤中,根据规定的信息,将切换目标的发送定时进行变更。
由此,切换目标的发送定时(例如切换目标的时隙ID)被动态地决定,所以切换目标的发送定时难以被攻击者预测。即,能够以切换目标的发送定时将帧的正确的信息发送给其他ECU。例如,与切换目标的发送定时由简单的表等决定的情况相比,能够抑制连切换目标也受到攻击的情况。由此,即使对车载网络发送了不正当帧,通过在检测到不正当的帧之后进行应对,作为车载网络系统整体,也能够维持安全的状态。
此外,例如,上述规定的信息包括上述不正当检测步骤中的检测次数;在上述切换处理步骤中,将与上述检测次数对应的发送定时决定为上述切换目标的发送定时。
由此,能够根据错误次数动态地决定切换目标的发送定时。另外,错误次数能够由收发间的ECU取得同步。
此外,例如,上述规定的信息包括表示上述被检测到不正当的帧的发送时刻的信息;在上述切换处理步骤中,将与表示上述发送时刻的信息对应的发送定时决定为上述切换目标的发送定时。
由此,能够根据表示发送时刻的信息动态地决定切换目标的发送定时。另外,表示发送时刻的信息能够由收发间的ECU取得同步。
此外,例如,在上述切换处理步骤中,计算上述检测次数的哈希值,用被检测到上述不正当的帧的有效载荷段的比特数计算上述哈希值的余数,将与上述余数对应的发送定时决定为上述切换目标的发送定时。此外,例如,在上述切换处理步骤中,以表示上述发送时刻的信息为种子生成伪随机数,用上述被检测到不正当的帧的有效载荷段的比特数计算上述伪随机数的余数,将与上述余数对应的发送定时决定为上述切换目标的发送定时。
由此,切换目标的发送定时更难以被攻击者预测,所以能够使车载网络的安全性提高。此外,计算的余数的值成为小于比特数的值。例如,在车载网络由FlexRay构成的情况下,能够抑制切换目标的时隙的数量增加,所以能够抑制时隙ID用尽。
此外,例如,在上述切换处理步骤中,还对于构成上述有效载荷段的比特列,通过与上述余数对应的移位量进行移位运算处理。
由此,在接收侧的ECU中,能够容易地判定接收到的帧是否是不正当帧。例如,即使攻击者预测到切换后的发送定时(例如时隙ID),在不知道移位的规则的情况下,由接收侧的ECU将不正当帧的数据帧解码后的解码值也成为通常不会有的数值。由此,通过在接收侧的ECU中确认解码值,能够容易地判定是否是不正当帧。
此外,例如,上述规定的信息包含上述被检测到不正当的帧的危险度;在上述切换处理步骤中,将与上述危险度对应的发送定时决定为上述切换目标的发送定时。
由此,能够根据危险度动态地决定切换目标的发送定时。另外,危险度能够由收发间的ECU取得同步。
此外,例如,上述切换处理步骤在上述危险度是第1阈值以上的情况下被执行。
由此,能够抑制ECU的处理量的增加,并且将危险度高的帧的正确的信息向其他ECU发送。
此外,例如,在上述切换处理步骤中,在上述危险度是第1阈值以上的情况下,还对于构成上述被检测到不正当的帧的有效载荷段的比特列,通过与上述危险度对应的移位量进行移位运算处理。
由此,在接收侧的ECU中,能够容易地判定接收到的帧是否是不正当帧。
此外,例如,在上述切换处理步骤中,在上述危险度是比上述第1阈值低的第2阈值以上、并且不到上述第1阈值的情况下,对于构成上述有效载荷段的比特列,通过与上述危险度对应的移位量进行移位运算处理。
由此,能够抑制ECU的处理量的增加,并且在接收侧的ECU中容易地判定是否是不正当帧。
此外,例如,在上述切换处理步骤中,在上述危险度是比上述第1阈值高的第3阈值以上的情况下,将与上述危险度对应的多个发送定时决定为上述切换目标的发送定时。
由此,切换目标的发送定时更难以被预测到。
此外,例如,上述规定的信息包含车辆的车辆状态;在上述切换处理步骤中,将与上述车辆状态对应的发送定时决定为上述切换目标的发送定时。
由此,能够根据车辆状态动态地决定切换目标的发送定时。另外,车辆状态能够由收发间的ECU取得同步。
此外,例如,上述切换处理步骤在上述不正当检测步骤中的检测次数是规定次数以上的情况下被执行。此外,例如,上述切换处理步骤在从上次检测到不正当起的经过时间是规定时间以下的情况下被执行。
由此,在不正当的状态持续时执行发送定时的切换处理。由此,能够有效地维持车辆的安全的状态。
此外,例如,在上述切换处理步骤中,在上述被检测到不正当的帧的发送定时将该帧发送后,切换该帧的发送定时。
由此,能够将同一帧发送多次。在接收侧的ECU中,能够基于多个帧的差异,判定是否多个帧中的至少1个帧是不正当帧。
此外,例如,上述车载网络的通信方式是基于时隙的时间触发型的通信方式;在上述帧收发步骤中,在预先设定的时隙内进行帧的收发;在上述切换处理步骤中,作为上述切换目标的发送定时而决定切换目标的时隙。
由此,在车载网络系统的通信方式是FlexRay的情况下,作为该车载网络系统整体,能够维持安全的状态。
此外,例如,上述时隙包括没有被分配帧的多个空闲时隙;在上述切换处理步骤中,将与上述规定的信息对应的空闲时隙决定为切换目标的时隙。
由此,不对其他帧的发送带来影响,作为车载网络系统整体,能够维持安全的状态。
此外,本发明的一形态的不正当应对装置,是车载网络的不正当应对装置,具备:帧收发部,进行帧的收发;不正当检测部,检测不正当的帧;以及切换处理部,在上述不正当检测部中检测到不正当的情况下,将被检测到不正当的帧的发送定时进行切换;上述切换处理部根据规定的信息,将切换目标的发送定时进行变更。
由此,起到与上述的不正当应对方法同样的效果。
以下,参照附图对有关本发明的实施方式的不正当应对方法等进行说明。另外,以下说明的实施方式都表示本发明的优选的一具体例。即,在以下的实施方式中表示的数值、形状、材料、构成要素、构成要素的配置及连接形态、步骤、步骤的顺序等是本发明的一例,不意欲限定本发明。本发明基于权利要求的记载来确定。因而,以下的实施方式的构成要素中,表示本发明的最上位概念的独立权利要求中没有记载的构成要素不是为了达成本发明的课题而必定需要的,但是作为构成更优选的形态的构成要素进行说明。
此外,各图是示意图,并不一定是严格地图示的。因而,例如在各图中,比例尺等并不一定一致。此外,在各图中,对于实质上相同的结构赋予相同的标号,重复的说明省略或简化。
(实施方式1)
[1.系统的结构]
这里,作为本发明的实施方式,参照附图对车载网络系统10进行说明。
[1-1.车载网络系统10的整体结构]
图1是表示实施方式1的车载网络系统10的整体结构的图。车载网络系统10具备FlexRay总线100a、100b、100c及100d、被连接到各总线的ECU200a、200b、200c及200d、作为各ECU的控制对象的前方相机210、齿轮220、制动器230及后方相机240、以及将各FlexRay总线连接的星形耦合器300。ECU200a~200d经由FlexRay总线进行帧的收发,从而实现车辆的控制。此外,星形耦合器300进行信号的整形,以使得FlexRay总线100a、100b、100c、100d在哪个总线中都流过相同的信号,各ECU经由FlexRay总线而取得同步。
[1-2.FlexRay周期]
图2是表示实施方式1的FlexRay通信的周期的图。FlexRay的通信以被称作周期(Cycle)的单位进行,各节点同步地保持着周期的反复次数(周期计数器),周期计数器取0~63的值。周期计数器是63的下个周期将周期计数器复位为0。
各周期由静态段(Static segment)、动态段(Dynamic segment)、符号窗(Symbolwindow)、网络空闲时间(NIT)这4个段构成。各段的时间通过预先设计的参数而在FlexRay网络整体(群集(cluster))中是共通的,所以1周期的时间也同样在群集中是共通的。
静态段由多个时隙构成。时隙的个数及各时隙的时间在群集内是共通的。此外,FlexRay帧在1时隙内被发送1个帧,时隙的号码成为帧的识别符(Frame ID)。各ECU被设计为,以预先设定的定时(时隙号码)进行帧的发送。将在静态段内被发送的帧称作静态帧。静态帧的有效载荷长在群集内为共通的。
动态段由被称作迷你时隙(mini slot)的时隙构成。在迷你时隙中也同样存在时隙号,各ECU被设计为,以预先设定的定时(时隙号)进行发送,但与静态段不同,并不需要一定进行帧的发送。将在动态段内被发送的帧称作动态帧。关于动态帧,作为有效载荷长,能够取0~254的任意值。
符号窗是进行被称作符号(symbol)的信号的收发的时间带。
网络空闲时间是不进行通信的时间带,一定设置在周期的最后。各ECU进行时刻的同步处理等。
[1-3.帧格式]
图3是表示实施方式1的FlexRay通信的帧格式的图。具体而言,图3是表示FlexRay协议的帧格式的图。帧包括Header Segment(首段)、Payload Segment(有效载荷段)及Trailer Segment(尾段)这3个段。
Header Segment开始于Reserved bit,包括分别各1比特的用来表示帧的类别的Payload preamble indicator、Null frame indicator、Sync frame indicator、Startupframe indicator。Header Segment还包括11比特的FrameID、7比特的Payload length、11比特的Header CRC及6比特的Cycle count。Frame ID也被称作时隙ID,用于识别帧的发送定时及帧的内容。Payload length最大可以取127的值。在Payload Segment中,保存对Payload length的值乘以2而得到的字节数。Header CRC是根据包括从Sync frameindicator到Payload length的值而计算的校验和(check sum)。Cycle count保存当前的周期数。周期数是表示发送时刻的信息的一例。
在Payload Segment中,包含表示帧的内容的数据。保存有Payload length的值的2倍的字节数,最大保存254字节。
在Trailer Segment中,保存有根据包含帧的全部的值而计算的CRC。
[1-4.ECU200a的结构图]
图4是表示实施方式1的ECU200a的结构的一例的图。另外,由于ECU200b、ECU200c、ECU200d也是同样的结构,所以这里省略说明。
ECU200a具有帧收发部201、通信用设定参数保持部202、帧解释部203、外部设备控制部204、帧生成部205、不正当判定部206、切换判定部207和切换表保持部208。
帧收发部201通过将从总线100a接收到的物理信号解码为数字信号而取得帧的信息。帧收发部201通过参照保持在通信用设定参数保持部202中的通信用设定参数,能够与其他ECU同步时刻而正确地接收帧。此外,帧收发部201按照被从帧生成部205通知的发送帧请求,以预先设定的定时将帧变换为物理信号,向总线100a发送。
通信用设定参数保持部202保持有用来将物理信号正确地变换为数字信号的、在群集内共通的参数。在图5中表示保持在通信用设定参数保持部202中的通信用设定参数的一例,详细情况后述。
帧解释部203将被从帧收发部201通知的接收到的帧中包含的有效载荷进行解释,为了根据有效载荷的内容进行与ECU200a连接的前方相机210的控制而向外部设备控制部204进行通知。帧解释部203例如基于被从其他ECU通知的车辆的速度的信息,判断行驶状态,进行与行驶状态对应的相机摄影内容的调整。此外,帧解释部203将帧中包含的ID、有效载荷等接收内容向不正当判定部206通知。
外部设备控制部204进行与ECU200a连接的前方相机210的控制。此外,外部设备控制部204根据来自前方相机210的通知内容,向帧生成部205通知用来向其他ECU通知状态的帧发送请求。例如,通知前方的步行者的有无。
帧生成部205基于被通知的信号,进行帧的生成,向帧收发部201进行发送请求。
不正当判定部206基于被从帧解释部203通知的ID、有效载荷等接收内容,判定接收到的帧是否是不正当的。在本实施方式中,在以同一ID接收到句法错误(syntax error)等错误的情况下,判定为不正当。不正当判定部206在判定为不正当的情况下,将该情况向切换判定部207和帧生成部205通知。不正当判定部206是不正当检测部的一例。
切换判定部207基于被从不正当判定部206通知的判定结果,参照被从切换表保持部208通知的切换表的内容,向帧生成部205通知以将发送内容变更。
切换表保持部208保持为了根据不正当检测结果切换发送内容所需要的切换表。
[1-5.通信用设定参数的一例]
图5是表示实施方式1的FlexRay通信的通信用设定参数的一例的图。图5所示的通信用设定参数被保存在通信用设定参数保持部202中。在图5的例子中,通信用设定参数包括:表示通信的速度的波特率是10Mbps;静态段的时隙ID是1~50;以及动态段的时隙ID是51~100。此外,表示了静态时隙的有效载荷长是8(即16字节)。这些值由群集内的ECU全部共用,基于这些值,实现FlexRay帧的收发。另外,通信用设定参数的值只不过是一例,也可以是其他值。此外,这里表示的参数也只不过是一例,也可以包括在图5中没有记载的参数(例如,各段的长度、时隙的长度等),相反也可以不包括记载的参数的一部分。
[1-6.星形耦合器300的结构图]
图6是表示实施方式1的星形耦合器300的结构的一例的图。星形耦合器300具有收发(transceiver)部301a、301b、301c及301d、和路由部302。另外,收发部301b、301c及301d由于是与收发部301a同样的结构,所以省略说明。
收发部301a将从总线100a接收到的物理信号变换为数字信号,向路由部302通知。此外,收发部301a在被从路由部302通知了数字信号的情况下,将被通知的数字信号向物理信号变换,并向总线100a转送。
路由部302将被从收发部301a通知的数字信号向除了收发部301a以外的收发部301b、301c及301d转送。路由部302在同样地被从收发部301b通知了数字信号的情况下,对除了收发部301b以外的收发部通知数字信号。路由部302在从多个收发部接收到数字信号的情况下,将来自最先接收到数字信号的总线的信号向其他收发部通知。
[1-7.帧列表的一例]
图7是表示实施方式1的通过FlexRay通信发送的帧列表的一例的图。例如,图7表示由ECU200a收发的帧列表的一例。
在图7中,在帧列表中保持有时隙ID、Cycle offset、Cycle reception、帧名、以及帧中包含的有效载荷信息。Cycle offset和Cycle reception是当使用被称作周期复用(周期多路复用)的收发相同时隙ID而不同内容的帧的方法时、为了提取对象的帧所需要的信息。例如,在时隙ID为98的帧中存在2个帧名,由各个帧通知前方相机信息1、前方相机信息2的不同内容。在前方相机信息1中,Cycle offset是0,Cycle reception是2。这意味着,周期计数器从0开始,每2个周期发送该帧。即,通知前方相机信息1的帧C的发送表示当周期计数器为0,2,4,6,…,58,60,62的时隙ID为98时被发送。同样,包含前方相机信息2的帧D在周期计数器为1,3,5,…59,61,63的时隙ID为98时被发送。将如上述那样以同一时隙ID发送不同帧的方法称作周期多路复用。同样,在时隙ID为99的帧中也存在2个帧名,用各个帧通知后方相机信息1、后方相机信息2的不同内容。包含后方相机信息1的帧E在周期计数器为0,2,4,…,58,60,62的周期ID为99时被发送,包含后方相机信息2的帧F在周期计数器为1,3,5,…,59,61,63的周期ID为99时被发送。
在图7中,表示了时隙ID是1、Cycle Offset是0、Cycle reception是1(即在全部的周期中发送同一帧)的帧的帧名是A,在帧A的有效载荷中包含有关速度的信息。此外,表示了在时隙ID为2时不发送帧。此外,表示了时隙ID是3、Cycle Offset是0、Cycle Reception是2(即仅在周期计数器为偶数时被发送)的帧的帧名是B,在帧B的有效载荷中包含有关齿轮状态的信息。表示了时隙ID是98、Cycle Offset是0、Cycle reception是2的帧的帧名是C,在帧C的有效载荷中包含有关前方相机信息1的信息。表示了时隙ID是98、Cycle Offset是1、Cycle reception是2的帧的帧名是D,在帧D的有效载荷中包含有关前方相机信息2的信息。表示了时隙ID是99、Cycle Offset是0、Cycle reception是2的帧的帧名是E,在帧E的有效载荷中包含有关后方相机信息1的信息。表示了时隙ID是99、Cycle Offset是1、Cyclereception是2的帧的帧名是F,在帧F的有效载荷中包含有关后方相机信息2的信息。此外,帧A及B是在静态段内被发送的静态帧,帧C至帧F是在动态段内被发送的动态帧。
图8是表示实施方式1的FlexRay通信的帧发送调度表的一例的图。图8表示图7的帧列表的例子的帧发送调度表。横轴表示时隙ID,纵轴表示周期。在由时隙ID和周期确定的单元格中,记载有被发送的帧名。在图8中,帧C至帧F被以规定的周期发送,但由于该帧是动态帧,所以也有不被发送的情况。
[1-8.切换表的一例]
图9是表示实施方式1的切换表的一例的图。在本实施方式中,表示了以下内容:在ID为1、3、98、99的帧中发生了不正当的情况下,分别向ID 97、100、99、98切换。
[1-9.切换通信序列的一例]
图10是表示实施方式1的切换通信的序列的一例的图。例如,图10表示由ECU200a检测不正当并实施切换的序列的一例。
(S1001)ECU200a检测FlexRay中的错误的有无。
(S1002)ECU200a根据用来判断是否是同一ID的错误的计数器,判断是否发生了多次同一ID的错误。
(S1003)ECU200a将对象ID的错误计数器加计数。
(S1004)ECU200a参照切换表,发现与对象ID对应的切换处理。
(S1005)ECU200a实施ID设定的切换。
(S1006)ECU200a将对象ID的错误计数器清空。
[1-10.实施方式1的效果]
在实施方式1中表示的不正当应对方法中,检测到不正当的ECU使用切换表将发送的帧的发送时隙动态地变更,由此能够避免由不正当的帧造成的通信妨碍,维持通常的通信。此外,通过有效利用预先空闲的通信时隙,能够不使通信量增加而发送帧。
(实施方式2)
[2.系统的结构]
这里,作为本发明的实施方式,参照附图对车载网络系统20进行说明。
[2-1.车载网络系统20的整体结构]
图11是表示实施方式2的车载网络系统20的整体结构的图。车载网络系统20具备FlexRay总线100a、100b、100c及100d、被连接到各总线的ECU1200a、1200b、1200c及1200d、作为各ECU的控制对象的前方相机210、齿轮220、制动器230及后方相机240、以及将各FlexRay总线连接的星形耦合器300。另外,与实施方式1相同的构成要素赋予相同的标号而省略说明。
[2-2.ECU1200a的结构图]
图12是表示实施方式2的ECU1200a的结构的一例的图。另外,ECU1200b、ECU1200c及ECU1200d也是同样的结构,所以这里省略说明。
ECU1200a具有帧收发部201、通信用设定参数保持部202、帧解释部1203、外部设备控制部204、帧生成部205、不正当判定部206、切换判定部1207、切换表保持部208和车辆状态判定部1209。另外,与实施方式1相同的构成要素赋予相同的标号而省略说明。
帧解释部1203将被从帧收发部201通知的接收到的帧中包含的有效载荷进行解释,并为了根据有效载荷的内容进行与ECU1200a连接的前方相机210的控制而向外部设备控制部204进行通知。例如,基于被从其他ECU通知的车辆的速度的信息,判断行驶状态,进行与行驶状态对应的相机摄影内容的调整。此外,将帧中包含的ID、有效载荷等的接收内容向不正当判定部206和车辆状态判定部1209通知。
切换判定部1207基于被从不正当判定部206通知的判定结果和被从车辆状态判定部1209通知的车辆状态,向帧生成部205进行通知,以使得参照被从切换表保持部208通知的切换表的内容将发送内容变更。
车辆状态判定部1209基于被从帧解释部1203通知的ID、有效载荷等接收内容,判定当前的车辆的状态。例如,既可以接收将由其他ECU判定的结果作为有效载荷而包含的帧,也可以基于速度及齿轮等的信息而由各ECU的车辆状态判定部1209进行判定。
[2-3.切换表的一例]
图13是表示实施方式2的切换表的一例的图。在本实施方式中表示了以下内容:不论车辆的状态是怎样的状态,ID 1、3都分别被向ID 97、100切换。此外,表示了以下内容:仅在车辆的状态是行驶中的情况下,ID 98、99分别被向ID 99、98切换。
[2-4.切换通信序列的一例]
图14是表示实施方式2的切换通信的序列的一例的图。例如,图14表示了由ECU1200a检测不正当并实施切换的序列的一例。另外,对于与图10相同的处理步骤赋予相同的标号而省略说明。
(S2007)ECU1200a将当前的车辆状态与切换表进行比较,判定是否需要将对象ID切换。即,ECU1200a判定当前的车辆状态是否是需要切换的车辆状态。并且,ECU1200a如果判定为当前的车辆状态是需要切换的车辆状态(S2007中的是),则向步骤S1005前进,如果判定为当前的车辆状态不是需要切换的车辆状态(S2007中的否),则向步骤S1006前进。
[2-5.实施方式2的效果]
在实施方式2中表示的不正当应对方法中,检测到不正当的ECU使用与特定的车辆状态对应的切换表,将发送的帧的发送时隙动态地变更,由此能够避免由不正当的帧造成的通信妨碍,维持通常的通信。此外,通过有效利用预先空闲的通信时隙,能够不使通信量增加而发送帧。此外,通过限定于特定的车辆状态,能够将从通常时的通信的变更抑制为最小限度,维持通常的通信。
(实施方式1及2的效果等)
本发明的一形态的不正当应对方法,是作为基于时隙的时间触发型的通信方式的车载网络中的不正当应对方法,在车载网络系统10、20上连接着1个以上的电子控制装置(例如,ECU200a),各电子控制装置在预先设定的规定的时隙内收发帧。电子控制装置的不正当应对方法包括:帧收发步骤,进行帧的收发;不正当检测步骤(例如,S1001),检测不正当的帧;以及切换判定步骤(例如,S1005),基于不正当检测步骤的判定结果,当满足规定的条件时,按照规定的设定,进行发送帧的切换处理。
由此,当检测到不正当的帧时,通过切换,作为车载网络系统10、20整体,能够维持安全的状态。
进而,本发明的一形态的不正当应对方法,例如,作为不正当检测步骤,通过规定的攻击判定算法,判定帧的不正当。
由此,在该车载网络受到了网络空间安全(cyber security)攻击的情况下,作为车载网络系统10、20整体,也能够维持安全的状态。
进而,本发明的一形态的不正当应对方法,作为规定的设定,对于切换源的时隙,指定静态时隙或动态时隙的某一个。
由此,即使特定的时隙成为不正当,也能够避免该时隙的帧无法发送的情况。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,对于切换目标的时隙,指定静态时隙或动态时隙的某一个。
由此,即使特定的时隙成为不正当,也能够避免该时隙的帧无法发送的情况。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,对于切换目标的时隙,指定还没有被分配帧的空闲时隙。
由此,能够整体上通信时间不增加地进行通信。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,对于切换目标的时隙,指定已经被分配帧的时隙。
由此,在原本不存在空闲时隙那样的通信规格的情况下,也能够整体上通信时间不增加地进行通信。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,将已经被分配的帧的有效载荷与被切换后的帧的有效载荷结合。
由此,能够进一步整体上通信时间不增加地进行通信。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,对切换目标的时隙新追加时隙。
由此,能够不依存于通常时的通信规格而进行通信。
进而,本发明的一形态的不正当应对方法,例如,作为规定的设定,将已经被分配的帧的有效载荷与被切换后的帧的有效载荷交换。
由此,仅通过进行特定的有效载荷的收发,就能够收发在通常时需要收发多个时隙的帧的信息。
进而,本发明的一形态的不正当应对方法,例如,作为规定的条件,通过检测遵循通信方式的错误的发生,来进行切换处理。
由此,能够不需要追加准备通知用的帧而进行切换处理。
进而,本发明的一形态的不正当应对方法,例如,作为规定的条件,通过检测发生了不正当的帧以外的帧,来进行切换处理。
由此,能够不依存于网络协议而进行切换处理。
进而,本发明的一形态的不正当应对方法,例如,作为规定的条件,根据预先设定的搭载车载网络的车辆的状态,进行切换处理。
由此,能够根据车辆状态而规定适当的切换处理,能够抑制与通常时的差量。
进而,本发明的一形态的不正当应对方法中的车辆的状态是驻车中、停车中、行驶中的某一个状态。
由此,能够根据驻车中、停车中和行驶中的某个状态来规定适当的切换处理,能够抑制与通常时的差量。
进而,一种作为基于时隙的时间触发型的通信方式的车载网络中的通信系统,在车载网络上连接着1个以上的电子控制装置,各电子控制装置在预先设定的规定的时隙内收发帧,电子控制装置具有:帧收发步骤,进行帧的收发;不正当检测步骤,检测不正当的帧;以及切换判定步骤,基于不正当检测步骤的判定结果,当满足规定的条件时,按照规定的设定,进行发送帧的切换处理。
由此,当检测到不正当的帧时,通过切换,作为车载网络系统整体,能够维持安全的状态。
进而,一种在作为基于时隙的时间触发型的通信方式的车载网络中的通信系统中在车载网络上连接着的1个以上的电子控制装置,各电子控制装置在预先设定的规定的时隙内收发帧。电子控制装置具备:帧收发部201,进行帧的收发;不正当判定部206,检测不正当的帧;以及切换判定部207,基于不正当检测步骤的判定结果,当满足规定的条件时,按照规定的设定,进行发送帧的切换处理。
由此,当检测到不正当的帧时,通过切换,作为车载网络系统整体,能够维持安全的状态。
(实施方式3)
[3-1.系统的结构]
在本实施方式中,说明被检测到不正当的帧的时隙ID被切换时、切换目标的时隙ID动态地变化的情况。具体而言,说明基于被检测到不正当的次数(错误次数)、被检测到不正当的时隙ID的切换目标的时隙ID动态地变化的情况。另外,错误次数例如是在同一时隙ID中检测到不正当的次数。
本实施方式的车载网络系统的结构与实施方式1的车载网络系统10或实施方式2的车载网络系统20是同样的,省略说明。以下,对于本实施方式的车载网络的结构是与实施方式1的车载网络系统10同样的例子进行说明。
首先,参照图15,对车载网络系统10保存的信息进行说明。图15是表示实施方式3的切换表的一例的图。在本实施方式中,如图9等所示,变更前的ID和变更后的ID没有被一对一地建立对应。基于规定的条件,变更后的ID动态地变化。
如图15所示,在切换表中,包括切换规则号、有效载荷段的移位(bit shift)数、以及时隙ID的增加数。
切换规则号是用来识别有效载荷段的移位数及时隙ID的增加数的号码。对于1个切换规则号,设定1个有效载荷段的移位数及1个时隙ID的增加数。在本实施方式中,切换规则号是与后述的余数Re对应的值。
有效载荷段的移位数表示对于构成有效载荷段(参照图3)的比特列进行移位运算处理时的移位量。在切换规则号的各自中,例如设定了相互不同的移位数。移位数既可以是在移位运算处理中进行右移时的移位数,也可以是进行左移时的移位数。即,移位运算处理既可以是右移,也可以是左移。以下,对移位运算处理是进行右移的处理的例子进行说明。例如,如果是切换规则“1”,则意味着使有效载荷段的比特列右移1比特。此外,移位运算处理例如通过循环移位处理来进行。
时隙ID的增加数是用来决定切换目标的时隙ID的信息。在切换规则号的各自中,例如设定了相互不同的时隙ID的增加数。例如,与切换规则“0”对应的时隙ID的增加数是“0”。在此情况下,设定为预先设定的时隙ID。以下,假设预先设定的时隙的时隙ID是100。此外,与切换规则“1”对应的时隙ID的增加数是“1”。在此情况下,切换目标的ID被设定为对作为预先设定的时隙的时隙ID的100增加了1的101。
在图15的情况下,时隙ID的增加数是“0”~“N”,与其对应的切换目标的时隙ID是“100”~“100+N”。这里,切换目标的时隙ID分别是还没有被分配帧的空闲时隙的时隙ID。此外,切换目标的时隙ID例如也可以从动态帧中选择。通过是动态帧,有能够将有效载荷长设为任意值的优点。
在图15中,说明了时隙ID按照切换规则号每次增加1个的例子,但只要按照切换规则号而不同,则并不限定于此。切换目标的时隙ID也可以每次增加多个(例如每次增加2个)。此外,在切换规则号的各自中,增加数也可以不是相同(例如每次增加1个)的。此外,增加数也可以是负值。
图15所示的切换表例如被保存在切换表保持部208中。
[3-2.系统的动作]
接着,参照图16及图17对本实施方式的车载网络系统10的动作进行说明。图16是表示实施方式3的发送侧的ECU的动作的一例的图。
如图16所示,帧生成部205基于被从外部设备控制部204通知的信号,生成用来向其他ECU通知状态的帧(S3001)。
切换判定部207基于由不正当判定部206判定为不正当的结果,判定错误次数是否是规定次数以上。在本实施方式中,切换判定部207判定错误次数是否是“0”(S3002)。即,切换判定部207判定是否发生了错误。错误次数是检测次数的一例。
切换判定部207如果判定为错误次数是“0”、即没有发生错误(S3002中的是),则向帧生成部205通知(输出)表示没有错误的信息。帧生成部205向帧收发部201输出用来发送所生成的帧的发送帧请求。帧收发部201按照被从帧生成部205输出的发送帧请求,与发送时刻一起进行帧发送(S3003)。帧收发部201例如发送包含发送时刻的帧。
此外,切换判定部207如果判定为错误次数不是“0”、即发生了错误(S3002中的否),则向帧生成部205输出,以使其参照保存在切换表保持部208中的切换表(例如,图15所示的切换表)的内容将发送内容变更。所述的将发送内容变更,例如包括移位运算处理的执行以及时隙ID的切换中的至少1个。
帧生成部205如果从切换判定部207取得了表示将发送内容变更的信息,则计算错误次数的哈希值(S3004),通过有效载荷段的比特数L计算该哈希值的余数Re(S3005)。并且,帧生成部205根据计算出的余数Re,执行相互不同的处理(S3006~S3013)。另外,用来计算哈希值的哈希函数例如被保存在切换表保持部208中。此外,比特数L没有特别限定,例如是64比特。在此情况下,余数Re的最大值为63。
这样,通过使用将哈希值除以比特数L而得到的余数Re,能够抑制切换目标的时隙ID的用尽。另外,在步骤S3004中,并不限于将哈希值除以比特数L,例如也可以除以预先设定的数值。预先设定的数值例如根据空闲时隙的数量等适当决定即可。此外,余数Re的计算方法并不限于除法,也可以包括加法、减法、乘法等。
帧生成部205在余数Re是0的情况下,将时隙ID变更为预先设定的空闲时隙ID(在图16的例子中是时隙ID100)(S3007)。帧生成部205例如将本来以时隙ID“1”发送的帧切换为时隙ID“100”而发送。这样,帧生成部205例如在余数Re是0的情况下,仅执行移位运算处理及时隙ID的变更处理中的时隙ID的变更处理。
此外,帧生成部205在余数Re是1以上的情况下,执行移位运算处理及时隙ID的变更处理的每一个。即,帧生成部205在余数Re是1以上的情况下,执行用来将对在步骤S3001中生成的帧中包含的有效载荷段执行了移位运算处理后的帧以与对应于该帧的时隙ID不同的时隙ID进行发送的处理。
例如,帧生成部205在余数Re是1的情况下,使有效载荷段右移1(S3008),并且,将切换目标的时隙ID增加1(S3009)。在此情况下,对在步骤S3007中设定的时隙ID加上1之后的时隙ID“101”成为切换目标的时隙ID。
此外,例如,帧生成部205在余数Re是2的情况下,使有效载荷段右移2(S3010),并且将切换目标的时隙ID增加2(S3011)。在此情况下,对在步骤S3007中设定的时隙ID加上2后的时隙ID“102”成为切换目标的时隙ID。
此外,例如,帧生成部205在余数Re是L-1的情况下,使有效载荷段右移L-1(S3012),并且,将切换目标的时隙ID增加L-1(S3013)。在此情况下,对在步骤S3007中设定的时隙ID加上L-1后的时隙ID“100+L-1”成为切换目标的时隙ID。
这样,在本实施方式中,错误次数还是用来决定切换目标的时隙ID的规定信息的一例。
并且,帧生成部205在切换目标的时隙ID(空闲时隙ID)的发送定时,与发送时刻一起将被移位运算处理后的帧发送(S3003)。
另外,在图16中,对有效载荷段的移位量及时隙ID的增加量是与余数Re的值相同值的例子进行了说明,但并不限定于此,根据各个余数Re,有效载荷段的移位量及时隙ID的增加量中的至少一方不同即可。
另外,在图16中,对在错误次数不是0的情况下以切换目标的时隙ID进行帧发送的例子进行了说明,但也可以在切换前的时隙ID中也进行帧发送。即,帧生成部205也可以将相同的帧以2个以上的时隙ID发送。
另外,在图16中,对根据错误次数计算哈希值的例子进行了说明,但并不限定于此,也可以根据错误次数的值而直接决定有效载荷段的移位量及时隙ID的增加量。例如也可以是,在错误次数是1次的情况下,执行与余数Re是1的情况同样的处理。
另外,在上述中,表示了在步骤S3003中将包含发送时刻的帧发送的例子,但并不限定于此。也可以将发送时刻用其他帧发送。例如,也可以是,以比在步骤S3002中判定为否的情况下被分配的时隙ID靠前的发送定时发送的时隙ID,将发送时刻向其他ECU发送。进而,也可以是,以该时隙ID将错误次数也发送。由此,在收发间的ECU中,能够取得发送时刻及错误次数的同步(将发送时刻及错误次数共用)。此外,接收侧的ECU通过被发送来用来预测时隙ID的信息(发送时刻及错误次数的至少一方),能够事前预测切换目标的时隙ID。
接着,参照图17对本实施方式的车载网络系统10的接收到帧的ECU的动作进行说明。图17是表示实施方式3的接收侧的ECU的动作的一例的图。
如图17所示,帧收发部201将在步骤S3003中发送来的帧接收(S3101)。帧收发部201将接收到的帧向帧解释部203输出。
帧解释部203判定接收到的帧的与时隙ID对应的错误次数是否是规定次数以上。帧解释部203例如判定发送时刻的错误次数是否是规定次数以上。在本实施方式中,帧解释部203判定错误次数是否是“0”(S3102)。即,帧解释部203判定在时隙ID中是否发生了错误。
帧解释部203如果判定为错误次数是“0”,即没有发生错误(S3102中的是),则将数据帧进行读入处理(S3103)。帧解释部203将帧中包含的有效载荷进行解释,为了根据有效载荷的内容进行与ECU连接的设备(例如,在ECU200a的情况下是前方相机210)的控制而向外部设备控制部204进行通知。
此外,帧解释部203如果判定为错误次数不是“0”,即发生了错误(S3102中的否),则执行与步骤S3007~S3013的处理相反的处理(进行修正的处理)。即,帧解释部203执行将移位恢复的处理(将比特位置修正的处理)及将时隙ID恢复的处理。
具体而言,帧解释部203计算帧中包含的发送时刻的错误次数的哈希值(S3104)。这里的错误次数,是与在步骤S3004中使用的错误次数相同的值。因此,在步骤S3104中计算的哈希值成为与在步骤S3004中计算的哈希值相同的值。
接着,帧解释部203通过有效载荷段的比特数L计算哈希值的余数Re(S3105)。这里的余数Re成为与在步骤S3005中计算的余数Re相同的值。并且,帧解释部203根据计算出的余数Re,执行相互不同的处理(S3106~S3113)。
帧解释部203在余数Re是0的情况下,作为与步骤S3007对应的处理,将在时隙ID“100”中发送的帧变更为本来的时隙ID(S3107)。这样,帧解释部203例如在余数Re是0的情况下,仅执行将移位恢复的处理以及将时隙ID恢复的处理中的将时隙ID恢复的处理。
例如,帧解释部203将时隙ID“100”变更为作为本来的时隙ID的时隙ID“1”。即,帧解释部203能够识别以时隙ID“100”接收到的帧是本来以时隙ID“1”发送的帧。帧解释部203例如基于图7所示的帧列表,能够识别以时隙ID“100”接收到的帧是包含速度的帧。
此外,帧解释部203在余数Re是1以上的情况下,执行将移位恢复的处理及将时隙ID恢复的处理的每一个。
例如,帧解释部203在余数Re是1的情况下,作为与步骤S3008对应的处理,使有效载荷段左移1(S3108),并且,作为与步骤S3009对应的处理,将时隙ID减小1(S3109)。此外,例如,帧解释部203在余数Re是2的情况下,作为与步骤S3010对应的处理,使有效载荷段左移2(S3110),并且,作为与步骤S3011对应的处理,将时隙ID减小2(S3111)。此外,例如,帧解释部203在余数Re是L-1的情况下,作为与步骤S3012对应的处理,使有效载荷段左移L-1(S3112),并且,作为与步骤S3013对应的处理,将时隙ID减小L-1(S3113)。
由此,帧恢复为在S3001中生成的内容,并且,时隙ID恢复为与该帧对应的时隙ID(例如,时隙ID“1”)。由此,即使是进行了移位运算处理及时隙ID变更处理的帧,帧解释部203也能够适当地取得该帧的信息(例如,速度)。
接着,帧解释部203将数据帧进行读入处理(S3103)。
这样,在本实施方式中,能够将被检测到错误的时隙ID的帧变更为根据错误次数动态地设定的切换目标的时隙ID,所以能够抑制被攻击者预测到变更目标、连变更目标也受到攻击的情况。例如,相比于切换目标的时隙ID由简单的表决定的情况,能够抑制连变更目标也受到攻击的情况。
(实施方式3的变形例)
参照图18及图19对本变形例的车载网络系统10的动作进行说明。在本变形例中,说明以下情况:基于与被检测到不正当的帧有关的时间信息(例如,发送时刻),被检测到不正当的时隙ID的切换目标的时隙ID动态地变化。图18是表示实施方式3的变形例的发送侧的ECU的动作的一例的图。另外,关于与实施方式3的发送侧的ECU的动作同样的动作,将说明省略或简化。步骤S4001~S4003是与图16所示的步骤S3001~S3003分别同样的处理。此外,步骤S4010~S4016是与图16所示的步骤S3007~S3013分别同样的处理。
如图18所示,帧生成部205在错误次数不是0的情况下(S4002中的否),计算最新错误检测后的经过时间(S4004)。经过时间例如是从在与该帧对应的时隙ID中上次检测到错误开始、到此次检测到错误为止的时间。不正当判定部206例如将检测到错误时的时刻保存在切换表保持部208中。并且,帧生成部205也可以基于该时刻来计算经过时刻。
接着,帧生成部205判定是否经过了规定时间(S4005)。帧生成部205例如根据经过时间是否是规定时间以上而进行上述的判定。规定时间没有被特别限定,例如是1小时。
帧生成部205如果判定为经过了规定时间(S4005中的是),则将错误次数变更为0(S4006)。即,帧生成部205将错误次数复位。并且,帧生成部205执行步骤S4003的处理。即,帧生成部205即使在错误次数是1以上的情况下,当经过了规定时间时,也将在步骤S4001中生成的帧以与该帧对应的时隙ID进行发送。
此外,帧生成部205如果判定为没有经过规定时间(S4005中的否),则执行用来进行移位运算处理及时隙ID变更处理的至少一方的处理。由此,帧生成部205在持续地发生错误(不正当的状态持续)的情况下,能够执行用来使车载网络系统10保持安全状态的处理。
在本实施方式中,帧生成部205以该帧的发送时刻为种子(seed),生成伪随机数(S4007)。发送时刻既可以是发送该帧的预定时刻,也可以是进行用来发送该帧的处理时的当前时刻。并且,帧生成部205通过有效载荷段的比特数L计算伪随机数的余数Re(S4008),根据计算出的余数Re,执行相互不同的处理(S4009~S4016)。
接着,帧生成部205在切换目标的时隙ID(空闲时隙ID)的发送定时,与发送时刻一起发送帧(例如,被移位运算处理后的帧)(S3003)。这里的发送时刻例如是与用来在步骤S3007中生成伪随机数的种子中使用的发送时刻相同的时刻。
另外,在步骤S3007中,在种子中使用发送时刻,但并不限定于此。帧生成部205也可以在步骤S3007中使用在收发间的ECU中取得同步的信息作为种子。例如,也可以是,帧生成部205以在步骤S3001中生成的帧中包含的周期数为种子而生成伪随机数,也可以是,以上次的伪随机数为种子而生成伪随机数。另外,伪随机数的生成方法也可以是上述以外的方法,但在接收侧的ECU中也进行同样的处理。所述的同样的处理,在发送侧的ECU中,以上次的伪随机数为种子生成了伪随机数的情况下,在接收侧的ECU中,也以上次的伪随机数为种子生成伪随机数(参照后述的图19所示的S4107)。2个上次的伪随机数是相互相同的值。
接着,参照图19对本变形例的车载网络系统10中的接收到帧的ECU的动作进行说明。图19是表示实施方式3的变形例的接收侧的ECU的动作的一例的图。另外,关于与实施方式3的接收侧的ECU的动作同样的动作,将说明省略或简化。步骤S4101~S4103是与图17所示的步骤S3101~S3103分别同样的处理。此外,步骤S4110~S4116是与图17所示的步骤S3107~S3113分别同样的处理。
如图19所示,帧解释部203在错误次数不是0的情况下(S4102中的否),根据帧中包含的发送时刻计算最新错误检测后的经过时间(S4104)。帧解释部203例如将帧中包含的发送时刻向存储部(未图示)保存。并且,帧解释部203也可以基于接收到的帧中包含的发送时刻和保存在存储部中的发送时刻来计算经过时刻。在S4104中计算的经过时间成为与在步骤S4004中计算的经过时间相同的值。
接着,帧解释部203判定是否经过了规定时间(S4105)。帧解释部203例如根据经过时间是否是规定时间以上而进行上述的判定。另外,步骤S4105中的规定时间是与步骤S4005中的规定时间相同的时间,例如是1小时。
帧解释部203如果判定为经过了规定时间(S4105中的是),则将错误次数变更为0(S4106)。即,帧解释部203将错误次数复位。并且,帧解释部203执行S4103的处理。即,帧解释部203即使在错误次数是1以上的情况下,当没有经过规定时间时,也不对在步骤S4101中接收到的帧进行处理,而将数据帧进行读入处理(S4103)。
此外,帧解释部203如果判定为没有经过规定时间(S4105中的否),则以帧中包含的发送时刻为种子而生成伪随机数(S4107)。在S4107中生成的伪随机数成为与在步骤S4007中生成的伪随机数相同的值。并且,帧解释部203通过有效载荷段的比特数L计算伪随机数的余数Re(S4108)。在S4108中计算的余数Re成为与在步骤S4008中计算的余数Re相同的值。并且,帧解释部203根据计算出的余数Re,执行相互不同的处理(S4109~S4116)。
这样,在本变形例中,发送时刻是用来决定切换目标的时隙ID的规定信息的一例。
接着,帧解释部203将数据帧进行读入处理(S4103)。
这样,在本实施方式中,能够将被检测到错误的时隙ID的帧变更为根据经过时间等与被检测到不正当的帧有关的时间信息而动态地设定的切换目标的时隙ID,所以能够抑制被攻击者预测到变更目标、连变更目标也受到攻击的情况。例如,相比于切换目标的时隙ID由简单的表决定的情况,能够抑制连变更目标也受到攻击的情况。
(实施方式4)
[4-1.系统的结构]
在本实施方式中,说明被检测到不正当的帧的时隙ID被切换时、切换目标的时隙ID动态地变化的情况。具体而言,说明以下情况:基于发生了错误的帧的危险度,被检测到不正当的时隙ID的切换目标的时隙ID动态地变化。
危险度表示在该时隙中发送了不正当的信息(例如,不正当的有效载荷信息)的情况下对车辆行驶的安全性的影响程度。危险度越高,越需要更正确地通知有效载荷信息。
帧的危险度例如根据帧中包含的信号的种类而设定。信号的种类例如包括与车辆的行驶(例如,行进、拐弯、停止等)的控制指示相关联的“行驶控制信号”、与车身类的控制指示相关联的“车身类控制信号”、通知从传感器等取得的状态(例如,车辆或车辆周围的状态)的“车辆状态信号”的至少1个。
在针对这些信号的种类设定危险度的情况下,例如,如果在帧中包含的信号中包含行驶控制信号,则危险度被设定为“高”,如果在帧中包含的信号中包含车身类控制信号,则危险度被设定为“中”,如果在帧中包含的信号中包含车辆状态信号,则危险度被设定为“低”。
此外,也可以根据这些帧中包含的信号的种类的个数来设定危险度。例如,也可以根据信号的种类而分配评分,根据帧中包含的信号的种类的评分的总和来设定危险度。
另外,危险度的设定并不限于“低”、“中”及“高”3个等级,也可以是两个等级,也可以是4个等级以上。此外,危险度也可以用数值表示。危险度例如也可以用0(危险度:最小)~100(危险度:最大)之间的数值来设定。
本实施方式的车载网络系统的结构与实施方式1的车载网络系统10或实施方式2的车载网络系统20是同样的,省略说明。以下,对本实施方式的车载网络系统的结构是与实施方式1的车载网络系统10同样的例子进行说明。
首先,参照图20对车载网络系统10保存的信息进行说明。图20是表示实施方式4的通过FlexRay通信发送的帧列表的一例的图。
如图20所示,对于被分配了帧的时隙ID分别将危险度建立对应。具体而言,将与有效载荷信息的种类对应的危险度建立对应。例如,在时隙ID“1”中,有效载荷信息是“速度”,与其对应的危险度是“低”。
另外,时隙ID“2”是没有被分配帧的时隙。即,时隙ID“2”是空闲时隙。
图20所示的帧列表所示的切换表例如被保存在切换表保持部208中。
[4-2.系统的动作]
接着,参照图21A~图22对本实施方式的车载网络系统10的动作进行说明。图21A是表示实施方式4的发送侧的ECU的动作的一例的图。图21A所示的步骤S5001及S5002是与图16所示的步骤S3001及S3002分别同样的处理。
如图21A所示,切换判定部207如果判定为错误次数是“0”,即没有发生错误(S5002中的是),则向帧生成部205通知(输出)表示没有发生错误的信息。帧生成部205向帧收发部201输出用来发送所生成的帧的发送帧请求。帧收发部201按照被从帧生成部205通知的发送帧请求,在与该帧的时隙ID对应的发送定时进行帧发送(S5003)。
此外,切换判定部207如果判定为错误次数不是“0”,即发生了错误(S5002中的否),则参照被从切换表保持部208通知的帧列表(例如,图20所示的帧列表)的内容,进行检测对象ID(被检测到错误的时隙ID)的危险度Ri的确认(S5004),向帧生成部205输出,以将发送内容变更。
帧生成部205如果从切换判定部207取得表示将发送内容变更的信息,则根据危险度Ri,执行相互不同的处理(S5005~S5008)。
帧生成部205在危险度Ri是“低”的情况下,执行步骤S5003的处理。即,帧生成部205即使在错误次数是1以上的情况下,当危险度是规定以下(例如,危险度是“低”)时,也将在步骤S5001中生成的帧以与该帧对应的时隙ID进行帧发送。
此外,帧生成部205在危险度Ri是比“低”高的“中”的情况下,使有效载荷段右移1(S5005),将使有效载荷段右移1后的帧以与该帧对应的时隙ID进行帧发送(S5003)。帧生成部205仅执行移位运算处理及时隙ID的变更处理中的移位运算处理。
此外,帧生成部205在危险度Ri是比“中”高的“高”的情况下,使有效载荷段右移1(S5006),将使有效载荷段右移1后的帧以与该帧对应的时隙ID进行帧发送(S5007)。并且,帧生成部205还将该帧的时隙ID变更为冗余时隙ID(S5008)。对于冗余时隙,例如分配空闲时隙。冗余时隙既可以预先设定,也可以根据危险度动态地设定。
帧生成部205将使有效载荷段右移1后的帧以冗余时隙ID进行帧发送(S5003)。即,帧生成部205在危险度Ri为“高”的情况下,将相同的帧以相互不同的时隙ID发送。由此,帧生成部205能够将同一帧发送多次(在图21A的例子中是2次)。这样,帧生成部205在危险度Ri是规定以上的情况下(例如,在危险度Ri是“高”的情况下),例如在检测到危险的攻击的情况下,可以进行增加对于该帧的发送时隙的处理。换言之,可以是,帧生成部205在危险度Ri是规定以上的情况下发送冗余帧。冗余帧是以冗余时隙ID发送的帧,在图21A中,是在步骤S5008之后的步骤S5003中发送的帧。由此,在危险度不到规定的情况下,不执行增加发送时隙的处理,所以能够减轻发送侧的ECU的处理量。
另外,步骤S5006也可以不执行。即,也可以是,帧生成部205在危险度是“高”的情况下,进行将在步骤S5001中生成的帧发送2次的处理。此外,帧生成部205也可以在步骤S5005及S5006中相互改变比特的移位量。
此外,帧生成部205也可以代替图21A所示的处理而执行图21B所示的处理。图21B是表示实施方式4的发送侧的ECU的动作的另一例的图。另外,在图21B中,对于与图21A同样的处理赋予相同的标号,将说明省略或简化。
如图21B所示,帧生成部205也可以根据危险度Ri而使冗余时隙ID的数量变化。帧生成部205例如也可以是,危险度Ri越高则越是增加该帧的冗余时隙ID的数量。
例如,帧生成部205在危险度Ri是“中”的情况下,将在步骤S5001中生成的帧以与该帧对应的时隙ID进行帧发送(S5011),并且,将与该帧对应的时隙ID变更为1个冗余时隙ID(S5012)。并且,帧生成部205将该帧以1个冗余时隙ID进行帧发送(S5003)。由此,帧生成部205能够将同一帧通过相互不同的时隙ID发送2次。
此外,例如,帧生成部205在危险度Ri是“高”的情况下,将在步骤S5001中生成的帧以与该帧对应的时隙ID进行帧发送(S5013),并且,将与该帧对应的时隙ID变更为2个冗余时隙ID(S5014)。帧生成部205将该帧以2个冗余时隙ID分别进行帧发送(S5003)。由此,帧生成部205能够将同一帧通过相互不同的时隙ID发送3次。
另外,在步骤S5012及S5014中变更的冗余时隙ID的数量并不限定于上述,危险度Ri“高”时的冗余时隙ID的数量比危险度Ri“中”时的冗余时隙ID的数量多即可。此外,在步骤S5012及S5014中变更的冗余时隙ID可以是相互不同的时隙ID,也可以至少1个是相同的时隙ID。
这样,在本实施方式中,帧的危险度是用来决定切换目标的时隙ID的规定信息的一例。
另外,与图21A的步骤S5008中的冗余时隙ID以及图21B所示的步骤S5012及S5014中的冗余时隙ID有关的信息,既可以包含于在步骤S5003中发送的帧,也可以在其他空闲时隙中被发送。由此,在收发侧的ECU的各个中,共用与冗余时隙ID有关的信息。与冗余时隙ID有关的信息包括用来确定例如与时隙ID“1”对应的冗余时隙ID的信息。
另外,在上述中,说明了帧生成部205在步骤S5004中基于从切换表保持部208通知的帧列表取得帧的危险度的例子,但并不限定于此。帧生成部205也可以通过与在步骤S5001中生成的帧中包含的信号的种类对应地判定该帧的危险度,来取得该帧的危险度。帧生成部205例如也可以在步骤S5004中在由步骤S5001生成的帧中包含“行驶控制信号”的情况下将该帧判定为“高”。
接着,参照图22对本实施方式的车载网络系统10中的接收到帧的ECU的动作进行说明。图22是表示实施方式4的接收侧的ECU的动作的一例的图。另外,图22所示的步骤S5101~S5103是与图17所示的步骤S3101~S3103分别同样的处理。此外,图22表示发送侧的ECU进行了图21A所示的处理的情况下的接收侧的ECU的处理。
如图22所示,帧解释部203在错误次数不是0的情况下(S5102中的否),判定在步骤S5101中接收到的帧是否是冗余帧(S5104)。帧解释部203例如也可以基于通过该帧或在与该帧不同的发送定时(例如,比该帧靠前的发送定时)接收到的帧而取得的与冗余时隙ID有关的信息,判定在步骤S5101中接收到的帧是否是冗余帧。此外,也可以是,帧解释部203例如在接收到在步骤S5007中发送的帧的情况下,基于该帧的错误次数及危险度Ri的至少一方,执行用来确定该帧的冗余时隙ID的处理。帧解释部203例如也可以执行步骤S5002、S5004及S5008的处理。由此,接收侧的ECU能够知道发送侧的ECU将冗余时隙ID设为哪个空闲时隙ID。并且,帧解释部203也可以基于该结果来判定在步骤S5101中接收到的帧是否是冗余帧。
帧解释部203如果判定为该帧是冗余帧(S5104中的是),则读入已存储帧(S5105)。在此情况下,已存储帧是指在步骤S5007中被发送了的帧。已存储帧被保存在存储部(未图示)中。
接着,帧解释部203判定冗余帧与已存储帧是否一致(S5106)。冗余帧和已存储帧本来是相同内容的帧。关于冗余帧和已存储帧,例如,有效载荷段中包含的Data“0”~Data“n”分别应该是相等的。因此,帧解释部203根据冗余帧与已存储帧是否一致,能够判定是否某个帧是不正当的帧。
帧解释部203在冗余帧与已存储帧一致的情况下(S5106中的是),执行将冗余帧的发送停止的处理(S5107)。帧解释部203例如向帧生成部205输出表示发送用来停止与已存储帧对应的冗余帧的发送的信息的信息。帧生成部205例如将用来停止与已存储帧对应的冗余帧的发送的信息以空闲时隙ID进行发送。
此外,帧解释部203在冗余帧与已存储帧不一致的情况下(S5106中的否),采用2个帧的平均值或冗余帧(S5108)。帧解释部203,关于速度等的数值所表示的信息,例如也可以将2个帧的平均值作为该帧的数值(例如速度)。由此,即使在某一方是不正当的帧的情况下,也能够抑制其影响变大。此外,帧解释部203,关于标志值(“0”或“1”)等平均值不具有意义的信息,优先采用冗余帧中的信息。由此,接收侧的ECU能够采用不易被攻击者注意到的冗余帧的信息,所以能够得到可靠度更高的信息。
另外,在上述中,说明了帧解释部203在步骤S5106中是否的情况下采用2个帧的平均值的例子,但也可以采用中值、众数等。
另外,也可以是,帧解释部203,在步骤S5106中是否的情况下,不论帧中包含的信息(例如有效载荷信息)的种类如何,都采用冗余帧的信息。
此外,帧解释部203,如果判定为该帧不是冗余帧(S5104中的否),例如判定为是图21A所示的步骤S5007中发送的帧,则基于图20所示的帧列表,确认检测对象ID(该帧的时隙ID)的危险度Ri(S5109)。帧解释部203,例如参照帧列表(例如图20所示的帧列表)的内容,确认检测对象ID(被检测到错误的时隙ID)的危险度Ri。并且,帧解释部203根据危险度Ri,执行相互不同的处理(S5110~S5112)。
帧解释部203,在危险度Ri是“低”的情况下,执行步骤S5103的处理。
此外,帧生成部205,在危险度Ri是“中”的情况下,作为与步骤S5005对应的处理,使有效载荷段左移1(S5110)。并且,帧解释部203执行步骤S5103的处理。
此外,帧解释部203,在危险度Ri是“高”的情况下,作为与步骤S5006对应的处理,使有效载荷段左移1(S5111)。并且,帧解释部203,将使有效载荷段左移1后的帧向存储部(未图示)存储(S5112)。在步骤S5112中存储的帧被用作步骤S5106中的已存储帧。并且,帧解释部203不执行该帧的数据帧读入处理,结束对于该帧的处理。
这样,在本实施方式中,能够将被检测到错误的时隙ID的帧变更为对应于该帧的危险度而动态地设定的切换目标的时隙ID,所以能够抑制被攻击者预测到变更目标、连变更目标也受到攻击的情况。例如,相比于切换目标的时隙ID由简单的表决定的情况,能够抑制连变更目标也受到攻击的情况。
另外,在上述中,说明了根据检测对象ID的危险度Ri而执行相互不同的处理的例子,但并不限定于此。危险度Ri也可以基于当前时点的车辆状态来决定。车辆状态既可以是驻车中、停车中及行驶中等,也可以是速度“较慢”、“中等”、“较快”等。例如,在车辆状态包含速度的情况下,随着速度变快而危险度Ri被设定得较高。在此情况下,车辆信息是用来决定切换目标的时隙ID的规定信息的一例。
另外,在上述中,说明了帧解释部203在步骤S5109中基于帧列表取得所接收到的帧的危险度的例子,但并不限定于此。帧解释部203也可以根据在步骤S5101中接收到的帧中包含的信号的种类来判定该帧的危险度,从而取得该帧的危险度。帧解释部203,例如也可以是,在步骤S5109中,在由步骤S5101接收到的帧中包含“行驶控制信号”的情况下,将该帧判定为危险度“高”。
(实施方式4的变形例)
参照图23对本变形例的车载网络系统10的动作进行说明。在本变形例中,说明在接收侧的ECU中检测所接收到的帧是否是不正当帧的例子。图23是表示实施方式4的变形例的接收侧的ECU的动作的一例的图。
如图23所示,帧收发部201接收在步骤S5003中发送的帧(S6001)。步骤S6001相当于图22所示的步骤S5101。
接着,帧解释部203修正所接收到的帧的比特位置(S6002)。步骤S6002相当于图22所示的步骤S5110。
接着,帧解释部203将修正了比特位置后的帧的数据帧进行读入处理(S6003)。步骤S6003相当于图22所示的步骤S5103。帧解释部203将读入结果向不正当判定部206输出。
接着,不正当判定部206判定基于数据帧的解码值是否是设计值内(S6004)。解码值意味着从数据帧取出的数值的信息。例如在帧的有效载荷信息是速度的情况下,解码值是从数据帧取出的速度。此外,设计值是与有效载荷信息的种类对应的值。在有效载荷信息是速度的情况下,设计值被设定为作为速度而在现实中不存在的值,例如可以是3000km/h等。
此外,不正当判定部206也可以在帧具有包括幻数(magic number)的字段(field)的情况下,根据将该幻数进行了解码时的值是否与设计值一致来进行步骤S6004的判定。在此情况下,设计值不是数值范围,被设定为1个数值。另外,解码值与设计值完全一致是解码值为设计值内的一例。
此外,不正当判定部206也可以在帧具有包括幻数的字段的情况下,根据该幻数的“0”和“1”的排列(比特的排列)是否与设计值一致,来进行步骤S6004的判定。在此情况下,设计值为“0”和“1”的排列。
不正当判定部206在解码值是设计值内的情况下(S6004中的是),结束在步骤S6001中接收到的帧是否是不正当帧的判定处理。此外,不正当判定部206在解码值不是设计值内的情况下(S6004中的否),将该帧检测为不正当帧(S6005)。不正当判定部206也可以将表示判定为不正当帧的信息向帧生成部205输出。并且,帧生成部205也可以将不正当帧信息向其他ECU发送,该不正当帧信息包括用来确定不正当判定部206判定为不正当帧的帧的信息(例如时隙ID)、和表示该帧是不正当帧的信息。帧生成部205例如也可以将不正当帧信息通过空闲时隙发送。
由此,例如在攻击者不知道被移位运算处理而发送了不正当帧的情况下,通过“0”和“1”的排列,能够容易地判定是否是不正当帧。
(其他变形例)
另外,基于上述各实施方式说明了本发明,但本发明当然并不限定于上述各实施方式。以下这样的情况也包含在本发明中。
(1)在上述实施方式1中,表示了切换表静态地保持的例子,但也可以在通信开始后、在动态地探索空闲的时隙的基础上来制作。此外,此时,也可以在通信开始时新发送用来将各自的表共用的同步帧。
(2)在上述实施方式1中,表示了将发送帧从切换前的时隙向切换后的时隙切换的例子,但也可以将两者连续发送。此外,在此情况下,也可以是,将由两时隙发送的帧的内容比较后,仅在相同的情况下採用,或者在由两时隙发送的帧的内容有差异的情况下,仅采用由切换后的时隙发送的帧的内容。
(3)在上述实施方式中,通过检测帧的错误来进行切换,但不正当检测方法并不限定于此。也可以在从预先决定的有效载荷偏离的情况下进行检测,也可以在与前帧的差量较剧烈的情况下判断为不正当。此外,也可以将上述那样的不正当检测结果用预先由双方决定的其他时隙向通信对方通知。
(4)在上述实施方式中,表示了将切换的ID从静态时隙向动态时隙切换的例子,但也可以从动态时隙向静态时隙、或在动态时隙彼此间、或在静态时隙彼此间切换。
(5)在上述实施方式中,将切换的内容设为每个ID,但也可以切换有效载荷的位置。也可以变更为原本空闲的有效载荷位置,也可以与原本就有的有效载荷位置进行切换。
(6)在上述的实施方式中,作为车载网络而使用FlexRay协议,但并不限于此。例如,也可以使用CAN-FD(CAN with Frexible Data Rate)、Ethernet、LIN(LocalInterconnect Network)、MOST(Media Oriented Systems Transport)等。或者,也可以是以这些网络为子网络而组合的网络。
(7)上述实施方式的各装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或硬盘单元中存储有计算机程序。微处理器按照上述计算机程序进行动作,从而各装置达成其功能。这里,计算机程序是为了达成规定的功能而将表示对于计算机的指令的命令代码组合多个而构成的。
(8)上述实施方式的各装置的构成要素的一部分或全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成到1个芯片上而制造的超多功能LSI,具体而言是包括微处理器、ROM、RAM等而构成的计算机系统。在RAM中存储有计算机程序。微处理器按照计算机程序进行动作,从而系统LSI达成其功能。
此外,构成上述各装置的构成要素的各部既可以单独地1芯片化,也可以包含一部分或全部而1芯片化。
此外,框图中的功能块的划分是一例,也可以将多个功能块作为一个功能块实现,或将一个功能块划分为多个,或将一部分功能转移至其他功能块。此外,也可以由单一的硬件或软件将具有类似功能的多个功能块的功能并行或分时地处理。
此外,这里设为系统LSI,但根据集成度的差异,也有称作IC、LSI、超级LSI、超大规模LSI的情况。此外,集成电路化的方法并不限于LSI,也可以由专用电路或通用处理器实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array)或能够再构建LSI内部的电路单元的连接及设定的可重构处理器。
进而,如果因半导体技术的进步或派生的其他技术而出现替代LSI的集成电路化的技术,当然也可以使用该技术进行功能块的集成化。有可能是生物技术的应用等。
(9)构成上述各装置的构成要素的一部分或全部也可以由对于各装置可拆装的IC卡或单体模组构成。IC卡或上述模组是由微处理器、ROM、RAM等构成的计算机系统。IC卡或上述模组也可以包括上述超多功能LSI。微处理器按照计算机程序进行动作,从而IC卡或上述模组实现其功能。该IC卡或该模组也可以具有耐篡改性。
(10)本发明也可以是上述所示的方法。此外,也可以是将这些方法通过计算机实现的计算机程序,也可以是由上述计算机程序构成的数字信号。
此外,本发明也可以是将计算机程序或数字信号记录到能够由计算机读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等中的形态。此外,也可以是记录在这些记录介质中的上述数字信号。
此外,本发明也可以将上述计算机程序或上述数字信号经由电气通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传送。
此外,本发明也可以是具备微处理器和存储器的计算机系统,上述存储器存储有上述计算机程序,上述微处理器按照上述计算机程序而动作。
此外,也可以通过将上述程序或上述数字信号记录到上述记录介质中并移送、或将上述程序或上述数字信号经由上述网络等进行移送,从而由独立的其他计算机系统实施。
此外,流程图中的各步骤被执行的顺序是为了具体地说明本发明而用来例示的,也可以是上述以外的顺序。此外,也可以将上述步骤的一部分与其他步骤同时(并行)执行。
(11)也可以将上述实施方式及上述变形例分别组合。
产业上的可利用性
本发明作为车载网络系统整体能够维持安全的状态。
标号说明
10、20 车载网络系统
100a、100b、100c、100d 总线
200a、200b、200c、200d、1200a、1200b、1200c、1200d ECU
201 帧收发部
202 通信用设定参数保持部
203、1203 帧解释部
204 外部设备控制部
205 帧生成部
206 不正当判定部
207、1207 切换判定部
208 切换表保持部
210 前方相机
220 齿轮
230 制动器
240 后方相机
300 星形耦合器
301a、301b、301c、301d 收发部
302 路由部
1209 车辆状态判定部
L 比特数
Re 余数
Ri 危险度
Claims (25)
1.一种不正当应对方法,是车载网络中的不正当应对方法,其特征在于,
包括:
消息收发步骤,进行消息的收发;
不正当检测步骤,检测不正当的消息;以及
切换处理步骤,在上述不正当检测步骤中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;
在上述切换处理步骤中,根据规定的信息,将切换目标的发送定时进行变更;
上述车载网络的通信方式是基于时隙的时间触发型的通信方式;
在上述消息收发步骤中,在预先设定的时隙内进行消息的收发;
在上述切换处理步骤中,作为上述切换目标的发送定时而决定切换目标的时隙。
2.如权利要求1所述的不正当应对方法,其特征在于,
上述时隙包括没有被分配消息的多个空闲时隙;
在上述切换处理步骤中,将与上述规定的信息对应的空闲时隙决定为切换目标的时隙。
3.如权利要求2所述的不正当应对方法,其特征在于,
发送用于对所决定的上述切换目标的时隙进行通知的同步消息。
4.如权利要求1所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,在决定了切换目标的时隙后,生成将以切换前的时隙被分配的消息的有效载荷与对切换后的时隙分配的消息的有效载荷进行了结合的消息,
在上述消息收发步骤中,发送所生成的消息。
5.如权利要求1所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,将新的时隙决定为切换目标的时隙。
6.如权利要求1所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,将以切换前的时隙被分配的消息的有效载荷与对切换后的时隙分配的消息的有效载荷进行交换。
7.如权利要求1所述的不正当应对方法,其特征在于,
上述规定的信息包含上述不正当检测步骤中的检测次数;
在上述切换处理步骤中,将与上述检测次数对应的发送定时决定为上述切换目标的发送定时。
8.如权利要求7所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,计算上述检测次数的哈希值,用被检测到上述不正当的消息的有效载荷段的比特数计算上述哈希值的余数,将与上述余数对应的发送定时决定为上述切换目标的发送定时。
9.如权利要求1所述的不正当应对方法,其特征在于,
上述规定的信息包括表示上述被检测到不正当的消息的发送时刻的信息;
在上述切换处理步骤中,将与表示上述发送时刻的信息对应的发送定时决定为上述切换目标的发送定时。
10.如权利要求9所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,以表示上述发送时刻的信息为种子生成伪随机数,用上述被检测到不正当的消息的有效载荷段的比特数计算上述伪随机数的余数,将与上述余数对应的发送定时决定为上述切换目标的发送定时。
11.如权利要求8或10所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,还对于构成上述有效载荷段的比特列,通过与上述余数对应的移位量进行移位运算处理。
12.如权利要求1所述的不正当应对方法,其特征在于,
上述规定的信息包含上述被检测到不正当的消息的危险度;
在上述切换处理步骤中,将与上述危险度对应的发送定时决定为上述切换目标的发送定时。
13.如权利要求12所述的不正当应对方法,其特征在于,
上述切换处理步骤在上述危险度是第1阈值以上的情况下被执行。
14.如权利要求13所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,在上述危险度是第1阈值以上的情况下,还对于构成上述被检测到不正当的消息的有效载荷段的比特列,通过与上述危险度对应的移位量进行移位运算处理。
15.如权利要求14所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,在上述危险度是比上述第1阈值低的第2阈值以上、并且不到上述第1阈值的情况下,对于构成上述有效载荷段的比特列,通过与上述危险度对应的移位量进行移位运算处理。
16.如权利要求13~15中任一项所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,在上述危险度是比上述第1阈值高的第3阈值以上的情况下,将与上述危险度对应的多个发送定时决定为上述切换目标的发送定时。
17.如权利要求1所述的不正当应对方法,其特征在于,
上述规定的信息包含车辆的车辆状态;
在上述切换处理步骤中,将与上述车辆状态对应的发送定时决定为上述切换目标的发送定时。
18.一种不正当应对方法,是车载网络中的不正当应对方法,其特征在于,
包括:
消息收发步骤,进行消息的收发;
不正当检测步骤,检测不正当的消息;以及
切换处理步骤,在上述不正当检测步骤中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;
上述不正当检测步骤中的不正当的检测包括检测遵循通信方式的错误的发生;
在上述切换处理步骤中,对应于对上述错误的发生的检测,将发送定时决定为切换目标的发送定时。
19.一种不正当应对方法,是车载网络中的不正当应对方法,其特征在于,
包括:
消息收发步骤,进行消息的收发;
不正当检测步骤,检测不正当的消息;以及
切换处理步骤,在上述不正当检测步骤中没有检测到不正当的情况下,将没有被检测到不正当的消息的发送定时进行切换;
在上述切换处理步骤中,对应于没有检测到不正当这一情况,将发送定时决定为切换目标的发送定时。
20.如权利要求1~10、12~15、17、18中任一项所述的不正当应对方法,其特征在于,
上述切换处理步骤在上述不正当检测步骤中的检测次数是规定次数以上的情况下被执行。
21.如权利要求1~10、12~15、17、18中任一项所述的不正当应对方法,其特征在于,
上述切换处理步骤在从上次检测到不正当起的经过时间是规定时间以下的情况下被执行。
22.如权利要求1~10、12~15、17、18中任一项所述的不正当应对方法,其特征在于,
在上述切换处理步骤中,在上述被检测到不正当的消息的发送定时将该消息发送后,切换该消息的发送定时。
23.一种不正当应对装置,是车载网络的不正当应对装置,其特征在于,
具备:
消息收发部,进行消息的收发;
不正当检测部,检测不正当的消息;以及
切换处理部,在上述不正当检测部中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;
上述切换处理部根据规定的信息将切换目标的发送定时进行变更;
上述车载网络的通信方式是基于时隙的时间触发型的通信方式;
在上述消息收发部中,在预先设定的时隙内进行消息的收发;
在上述切换处理部中,作为上述切换目标的发送定时而决定切换目标的时隙。
24.一种不正当应对装置,是车载网络的不正当应对装置,其特征在于,
具备:
消息收发部,进行消息的收发;
不正当检测部,检测不正当的消息;以及
切换处理部,在上述不正当检测部中检测到不正当的情况下,将被检测到不正当的消息的发送定时进行切换;
上述不正当检测部中的不正当的检测包括检测遵循通信方式的错误的发生;
在上述切换处理部中,对应于对上述错误的发生的检测,将发送定时决定为切换目标的发送定时。
25.一种不正当应对装置,是车载网络的不正当应对装置,其特征在于,
具备:
消息收发部,进行消息的收发;
不正当检测部,检测不正当的消息;以及
切换处理部,在上述不正当检测部中没有检测到不正当的情况下,将没有被检测到不正当的消息的发送定时进行切换;
在上述切换处理部中,对应于没有检测到不正当这一情况,将发送定时决定为切换目标的发送定时。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/028297 WO2020021715A1 (ja) | 2018-07-27 | 2018-07-27 | 不正対処方法、不正対処装置および通信システム |
| JPPCT/JP2018/028297 | 2018-07-27 | ||
| PCT/JP2019/028836 WO2020022327A1 (ja) | 2018-07-27 | 2019-07-23 | 不正対処方法、及び、不正対処装置 |
| CN201980007100.8A CN111543033B (zh) | 2018-07-27 | 2019-07-23 | 不正当应对方法及不正当应对装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980007100.8A Division CN111543033B (zh) | 2018-07-27 | 2019-07-23 | 不正当应对方法及不正当应对装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115296884A true CN115296884A (zh) | 2022-11-04 |
Family
ID=69180649
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210916502.3A Pending CN115296884A (zh) | 2018-07-27 | 2019-07-23 | 不正当应对方法及不正当应对装置 |
| CN201980007100.8A Active CN111543033B (zh) | 2018-07-27 | 2019-07-23 | 不正当应对方法及不正当应对装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980007100.8A Active CN111543033B (zh) | 2018-07-27 | 2019-07-23 | 不正当应对方法及不正当应对装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210001793A1 (zh) |
| EP (1) | EP3832955A4 (zh) |
| JP (2) | JP7362613B2 (zh) |
| CN (2) | CN115296884A (zh) |
| WO (2) | WO2020021715A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826816B (zh) * | 2022-04-27 | 2023-03-21 | 中国科学院声学研究所 | 一种can fd总线通信方法、装置及电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009516410A (ja) * | 2005-11-10 | 2009-04-16 | エヌエックスピー ビー ヴィ | 改良型チャンネル監視付きバスガーディアン |
| CN103155492A (zh) * | 2010-08-09 | 2013-06-12 | 国立大学法人名古屋大学 | 通信系统及通信装置 |
| KR20130087326A (ko) * | 2012-01-27 | 2013-08-06 | 경북대학교 산학협력단 | 플렉스레이 네트워크 제어 시스템, 장치 및 방법 |
| WO2013171829A1 (ja) * | 2012-05-14 | 2013-11-21 | トヨタ自動車 株式会社 | 車両用ネットワークの通信管理装置及び通信管理方法 |
| WO2015159486A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| US20160264071A1 (en) * | 2014-05-08 | 2016-09-15 | Panasonic Intellectual Property Corporation Of America | In-vehicle network system, electronic control unit, and update processing method |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| US20170013006A1 (en) * | 2014-04-03 | 2017-01-12 | Panasonic Intellectual Property Corporation Of America | Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus |
| WO2018131334A1 (ja) * | 2017-01-13 | 2018-07-19 | パナソニックIpマネジメント株式会社 | 不正検知電子制御ユニット、電子制御ユニット、車載ネットワークシステム、不正検知方法およびコンピュータプログラム |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10173617A (ja) * | 1996-10-11 | 1998-06-26 | Nec Eng Ltd | メジャーフレーム同期検出方法及びシステム |
| US7974647B2 (en) * | 2008-05-16 | 2011-07-05 | Mediatek Inc. | Mobile apparatus and method of timing synchronization |
| CN101383660B (zh) * | 2008-10-15 | 2011-05-04 | 北京航空航天大学 | 一种光纤通道网络实时监视平台和监视方法 |
| CN101640912B (zh) * | 2009-08-31 | 2013-07-03 | 中兴通讯股份有限公司 | 用于接入服务网络的切换方法及装置 |
| US9225544B2 (en) * | 2011-12-22 | 2015-12-29 | Toyota Jidosha Kabushiki Kaisha | Communication system and communication method |
| WO2014045354A1 (ja) * | 2012-09-19 | 2014-03-27 | トヨタ自動車 株式会社 | 通信装置及び通信方法 |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| CN104009867A (zh) * | 2014-05-12 | 2014-08-27 | 华南理工大学 | 一种基于fpga的光纤以太网智能分路器的切换方法 |
| JP6152228B2 (ja) * | 2014-09-12 | 2017-06-21 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子制御ユニット、車載ネットワークシステム及び車両用通信方法 |
| CN111934966B (zh) * | 2014-12-01 | 2022-09-20 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| US9648023B2 (en) * | 2015-01-05 | 2017-05-09 | Movimento Group | Vehicle module update, protection and diagnostics |
| EP3249855B1 (en) * | 2015-01-20 | 2022-03-16 | Panasonic Intellectual Property Corporation of America | Invalid frame handling method, invalidity detection electronic-control unit and vehicle-mounted network system |
| JP6594732B2 (ja) * | 2015-01-20 | 2019-10-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| CN104914405B (zh) * | 2015-06-26 | 2018-07-17 | 国家电网公司 | 检测方法及装置 |
| JP6585001B2 (ja) * | 2015-08-31 | 2019-10-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| JP6684690B2 (ja) * | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| US10108803B2 (en) * | 2016-03-31 | 2018-10-23 | International Business Machines Corporation | Automatic generation of data-centric attack graphs |
| JP6223498B2 (ja) * | 2016-04-21 | 2017-11-01 | 三菱電機株式会社 | ネットワークシステム |
| CN109005678B (zh) * | 2017-04-07 | 2022-05-27 | 松下电器(美国)知识产权公司 | 非法通信检测方法、非法通信检测系统以及记录介质 |
| JP6539363B2 (ja) * | 2017-04-07 | 2019-07-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正通信検知方法、不正通信検知システム及びプログラム |
| CN111818037A (zh) * | 2020-07-02 | 2020-10-23 | 上海工业控制安全创新科技有限公司 | 基于信息熵的车载网络流量异常检测防御方法及防御系统 |
-
2018
- 2018-07-27 WO PCT/JP2018/028297 patent/WO2020021715A1/ja active Application Filing
-
2019
- 2019-07-23 EP EP19841334.6A patent/EP3832955A4/en active Pending
- 2019-07-23 JP JP2020532409A patent/JP7362613B2/ja active Active
- 2019-07-23 CN CN202210916502.3A patent/CN115296884A/zh active Pending
- 2019-07-23 WO PCT/JP2019/028836 patent/WO2020022327A1/ja unknown
- 2019-07-23 CN CN201980007100.8A patent/CN111543033B/zh active Active
-
2020
- 2020-09-24 US US17/031,224 patent/US20210001793A1/en active Pending
-
2023
- 2023-10-04 JP JP2023173115A patent/JP2023168558A/ja active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009516410A (ja) * | 2005-11-10 | 2009-04-16 | エヌエックスピー ビー ヴィ | 改良型チャンネル監視付きバスガーディアン |
| CN103155492A (zh) * | 2010-08-09 | 2013-06-12 | 国立大学法人名古屋大学 | 通信系统及通信装置 |
| KR20130087326A (ko) * | 2012-01-27 | 2013-08-06 | 경북대학교 산학협력단 | 플렉스레이 네트워크 제어 시스템, 장치 및 방법 |
| WO2013171829A1 (ja) * | 2012-05-14 | 2013-11-21 | トヨタ自動車 株式会社 | 車両用ネットワークの通信管理装置及び通信管理方法 |
| US20170013006A1 (en) * | 2014-04-03 | 2017-01-12 | Panasonic Intellectual Property Corporation Of America | Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus |
| WO2015159486A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| US20160264071A1 (en) * | 2014-05-08 | 2016-09-15 | Panasonic Intellectual Property Corporation Of America | In-vehicle network system, electronic control unit, and update processing method |
| WO2018131334A1 (ja) * | 2017-01-13 | 2018-07-19 | パナソニックIpマネジメント株式会社 | 不正検知電子制御ユニット、電子制御ユニット、車載ネットワークシステム、不正検知方法およびコンピュータプログラム |
Non-Patent Citations (2)
| Title |
|---|
| YUEFEI WANG; HONGJUN LIU; BIN HUANG; XUHUI SUN: "Frame Design for Vehicular FlexRay Network Based on Transmission Reliability and Slot Utilization", 《2016 9TH INTERNATIONAL SYMPOSIUM ON COMPUTATIONAL INTELLIGENCE AND DESIGN (ISCID)》, 26 January 2017 (2017-01-26) * |
| 刘杰: "基于FlexRay车载网络控制器的研究和设计", 《中国优秀硕士学位论文全文库 工程科技Ⅱ辑》, 15 April 2018 (2018-04-15) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111543033A (zh) | 2020-08-14 |
| JP7362613B2 (ja) | 2023-10-17 |
| WO2020021715A1 (ja) | 2020-01-30 |
| EP3832955A4 (en) | 2021-09-15 |
| EP3832955A1 (en) | 2021-06-09 |
| US20210001793A1 (en) | 2021-01-07 |
| JP2023168558A (ja) | 2023-11-24 |
| WO2020022327A1 (ja) | 2020-01-30 |
| JPWO2020022327A1 (ja) | 2021-08-02 |
| CN111543033B (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11539727B2 (en) | Abnormality detection apparatus and abnormality detection method | |
| CN106464557B (zh) | 车载网络系统、电子控制单元、接收方法以及发送方法 | |
| CN108401491B (zh) | 信息处理方法、信息处理系统以及程序 | |
| US10868734B2 (en) | Service function chain detection path method and device | |
| CN110406485B (zh) | 非法检测方法及车载网络系统 | |
| CN109076001B (zh) | 帧传送阻止装置、帧传送阻止方法及车载网络系统 | |
| US9800546B2 (en) | One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway | |
| CN109845196B (zh) | 网络监视器、网络监视方法和计算机可读取记录介质 | |
| CN107817779B (zh) | 基于以太网交换机的信息验证未注册的装置的系统及方法 | |
| JP7232832B2 (ja) | 不正検知方法及び不正検知装置 | |
| JP2017047835A (ja) | 車載ネットワーク装置 | |
| US11909748B2 (en) | Anti-fraud control system, monitoring device, and anti-fraud control method | |
| JP2023168558A (ja) | 不正対処方法、不正対処装置、及び、プログラム | |
| CN110832809B (zh) | 检测装置、检测方法和非瞬态的计算机可读的存储介质 | |
| JP2021140460A (ja) | セキュリティ管理装置 | |
| Sumorek et al. | New elements in vehicle communication “media oriented systems transport” protocol | |
| KR102204656B1 (ko) | 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템 | |
| CN111788800B (zh) | 帧传送方法以及安全星型耦合器 | |
| KR101506301B1 (ko) | 캔 통신을 이용한 교통신호 제어시스템 | |
| Quintino et al. | Protection against attack DoS in CAN and CAN-FD vehicle networks | |
| CN116805915A (zh) | 以太网装置、数据传输方法、装置、设备、介质及车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |