DE112016004438T5 - Bordkommunikationssystem - Google Patents

Bordkommunikationssystem Download PDF

Info

Publication number
DE112016004438T5
DE112016004438T5 DE112016004438.0T DE112016004438T DE112016004438T5 DE 112016004438 T5 DE112016004438 T5 DE 112016004438T5 DE 112016004438 T DE112016004438 T DE 112016004438T DE 112016004438 T5 DE112016004438 T5 DE 112016004438T5
Authority
DE
Germany
Prior art keywords
message
unit
processing unit
identifier
discard
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016004438.0T
Other languages
English (en)
Inventor
Masayuki Inoue
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of DE112016004438T5 publication Critical patent/DE112016004438T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Es wird ein Bordkommunikationssystem bereitgestellt, das verhindern kann, dass eine Kommunikationsleitung durch wiederholtes Senden einer unautorisierten Nachricht belegt ist. Das Bordkommunikationssystem, in dem mehrere ECUs über die Kommunikationsleitung miteinander verbunden sind, ist mit einer Überwachungsvorrichtung versehen, die aufweist: eine Bestimmungs-Verarbeitungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine Nachricht eine autorisierte Nachricht ist oder nicht; eine Verwerfungs-Verarbeitungseinheit, die dazu ausgebildet ist, eine Verarbeitung zum Verwerfen einer unautorisierten Nachricht durchzuführen, bevor das Senden derselben abgeschlossen ist; eine Speichereinheit, die zum Speichern der Kennung der verworfenen Nachricht ausgebildet ist; und eine Benachrichtigungs-Verarbeitungseinheit, die dazu ausgebildet ist, wenn eine Nachricht mit derselben Kennung wie der in der Speichereinheit gespeicherten empfangen wird, eine Verarbeitung zur Ausgabe eines ACK-Signals durchzuführen, das anzeigt, dass der Empfang der Nachricht abgeschlossen ist. Die Verwerfungs-Verarbeitungseinheit verwirft eine Nachricht mit derselben Kennung wie der in der Speichereinheit gespeicherten nicht. Jede der ECUs speichert die Kennung, die zu einer Nachricht hinzugefügt ist, welche der Verwerfungsverarbeitung durch die Überwachungsvorrichtung unterzogen wird, in der Speichereinheit und verbietet die Verarbeitung auf Basis einer Nachricht mit derselben Kennung wie der in der Speichereinheit gespeicherten.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein Bordkommunikationssystem, in dem mehrere Kommunikationsvorrichtungen, die mit einer gemeinsamen Kommunikationsleitung verbunden sind, Nachrichten senden und empfangen.
  • Stand der Technik
  • Üblicherweise sind in Fahrzeugen mehrere ECUs (elektronische Steuereinheiten) eingebaut und über ein Netzwerk wie etwa ein CAN (Controller-Bereichsnetz) miteinander verbunden. Die mehreren ECUs tauschen über das Netzwerk Informationen aus und führen individuelle Prozesse aus. Seit einigen Jahren steigt tendenziell die Größe der Netzwerke in Fahrzeugen. Als Angriff auf ein solches Fahrzeugnetzwerk ist beispielsweise das Einspeisen eines Schadprogramms in eine ECU vorstellbar. Die ECU, in die ein Schadprogramm eingespeist wurde, kann eine unautorisierte Nachricht an das Netzwerk des Fahrzeugs senden, was zu dem Risiko führt, dass beispielsweise eine andere mit dem Netzwerk verbundene ECU ausfallen kann.
  • In Patentdokument 1 wurde ein Kommunikationssystem vorgeschlagen, bei dem eine Nachrichtenauthentifizierung auf Basis eines MAC (Nachrichten-Authentifizierungscodes) erfolgt, ohne dass ein CAN-Protokoll verändert wird. Bei diesem Kommunikationssystem zählt jede ECU für jede CAN-Kennung, wie viele Male eine Nachricht gesendet wird. Ein Sendeknoten erzeugt einen MAC auf Basis des Datenfelds, der CAN-Kennung und des Zählwertes einer Hauptnachricht und sendet den erzeugten MAC als MAC-Nachricht. Ein Empfangsknoten erzeugt einen MAC auf Basis des Datenfelds, der CAN-Kennung und des Zählwertes, die in der empfangenen Hauptnachricht enthalten sind, und bestimmt, ob der erzeugte MAC mit dem in der MAC-Nachricht enthaltenen MAC übereinstimmt oder nicht.
  • Im Nicht-Patentdokument 1 wurde ein Kommunikationssystem vorgeschlagen, in dem ECUs eine in einem Netzwerk gesendete Nachricht überwachen und, wenn eine Nachricht mit einer CAN-Kennung, die durch dieselbe gesendet werden sollte, aus einer anderen ECU gesendet wurde, eine ECU diese Nachricht als unautorisierte Nachricht bestimmt und die ECU, die die unautorisierte Nachricht detektiert hat, vor Abschluss des Sendens der unautorisierten Nachricht einen Fehlerrahmen sendet, um das Senden zu verhindern.
  • Liste zitierter Druckschriften
  • Patentdokument
  • Patentdokument 1: JP 2013-98719A
  • Nicht-Patentdokument
  • Nicht-Patentdokument 1: Masato Hata, Masato Tanabe, Katsunari Yoshioka, Kazuomi Oishi und Tsutomu Matsumoto, „How to Stop Unauthorized Transmission in Controller Area Network" Computer Security Symposium, Oktober 2011
  • Zusammenfassung der Erfindung
  • Technische Aufgabe
  • Bei dem im Nicht-Patentdokument 1 beschriebenen Kommunikationssystem sendet eine ECU, die eine unautorisierte Nachricht detektiert hat, einen Fehlerrahmen, um das Senden der unautorisierten Nachricht zu verhindern. Jedoch sendet eine ECU (unautorisierte ECU), bei der das Senden einer Nachricht fehlgeschlagen ist, die Nachricht mehrmals erneut, bis die Nachricht ohne Fehler gesendet wird. Wenn eine solche Wiederholung des erneuten Sendens der Nachricht fortgesetzt wird, besteht das Risiko, dass die Kommunikationsleitung belegt sein kann und dass andere ECUs beim Senden autorisierter Nachrichten behindert werden können.
  • Die vorliegende Erfindung entstand angesichts dieser Umstände, und eine Aufgabe derselben ist die Bereitstellung eines Bordkommunikationssystems, das verhindern kann, dass eine Kommunikationsleitung durch wiederholtes Senden einer unautorisierten Nachricht belegt ist.
  • Lösung der Aufgabe
  • Ein Bordkommunikationssystem, in dem mehrere in einem Fahrzeug eingebaute Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, weist gemäß der vorliegenden Erfindung auf: eine Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine auf der Kommunikationsleitung gesendete Nachricht eine autorisierte Nachricht ist oder nicht; eine Verwerfungseinheit, die dazu ausgebildet ist, eine Verarbeitung zum Verwerfen jeder Nachricht, die durch die Bestimmungseinheit als keine autorisierte Nachricht bestimmt wurde, durchzuführen, bevor das Senden der Nachricht abgeschlossen ist; eine Speichereinheit, die dazu ausgebildet ist, Kennungsinformationen jeder Nachricht, die durch die Verwerfungseinheit verworfen wurde, zu speichern; und eine Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, wenn eine Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten empfangen wird, ungeachtet eines Bestimmungsergebnisses der Bestimmungseinheit an die Kommunikationsleitung ein Signal auszugeben, das anzeigt, dass der Empfang der Nachricht abgeschlossen ist, wobei die Kommunikationsvorrichtungen jeweils eine Verbotseinheit aufweisen, die dazu ausgebildet ist, eine Verarbeitung auf Basis jeder Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten zu verbieten, und die Verwerfungseinheit Nachrichten mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten nicht verwirft.
  • Außerdem weist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt weiterhin auf: eine Speicherlöscheinheit, die dazu ausgebildet ist, die in der Speichereinheit gespeicherten Kennungsinformationen zu löschen, wenn das Signal durch die Empfangsabschluss-Benachrichtigungseinheit ausgegeben wird.
  • Außerdem weist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt weiterhin auf: eine Überwachungsvorrichtung, die mit der Kommunikationsleitung verbunden ist und dazu ausgebildet ist, eine auf der Kommunikationsleitung gesendete Nachricht zu überwachen, wobei die Überwachungsvorrichtung die Bestimmungseinheit, die Verwerfungseinheit und die Speichereinheit aufweist, wobei die Kommunikationsvorrichtungen jeweils die Speichereinheit aufweisen und die Überwachungsvorrichtung und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweisen.
  • Außerdem ist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt von der Art, dass die Kommunikationsvorrichtungen jeweils die Bestimmungseinheit, die Verwerfungseinheit und die Speichereinheit aufweisen und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweist.
  • Außerdem weist gemäß der vorliegenden Erfindung ein Bordkommunikationssystem, in dem mehrere in einem Fahrzeug eingebaute Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, auf: eine Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine auf der Kommunikationsleitung gesendete Nachricht eine autorisierte Nachricht ist oder nicht; eine Verwerfungseinheit, die dazu ausgebildet ist, eine Verarbeitung zum Verwerfen jeder Nachricht durchzuführen, die durch die Bestimmungseinheit als keine autorisierte Nachricht bestimmt ist, bevor das Senden der Nachricht abgeschlossen ist; einen Zähler, der dazu ausgebildet ist, zu zählen, wie viele Male die Nachricht durch die Verwerfungseinheit verworfen wird; und eine Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, wenn die durch den Zähler gezählte Anzahl von Malen eine vorbestimmte Anzahl von Malen überschreitet, ungeachtet eines Bestimmungsergebnisses der Bestimmungseinheit an die Kommunikationsleitung ein Signal auszugeben, das anzeigt, dass der Empfang der Nachricht abgeschlossen ist, wobei die Kommunikationsvorrichtungen jeweils eine Verbotseinheit aufweisen, die dazu ausgebildet ist, eine Verarbeitung auf Basis jeder empfangenen Nachricht zu verbieten, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet, und die Verwerfungseinheit die Nachricht nicht verwirft, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet.
  • Außerdem weist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt weiterhin auf: eine Speichereinheit, die dazu ausgebildet ist, wenn eine Nachricht durch die Verwerfungseinheit verworfen wird, Kennungsinformationen der verworfenen Nachricht zu speichern; und eine Initialisierungseinheit, die dazu ausgebildet ist, den Zähler zu initialisieren, wenn eine Nachricht mit anderen Kennungsinformationen als den in der Speichereinheit gespeicherten Kennungsinformationen an die Kommunikationsleitung gesendet wird.
  • Außerdem weist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt weiterhin auf: eine Initialisierungseinheit, die dazu ausgebildet ist, den Zähler zu initialisieren, wenn das Signal durch die Empfangsabschluss-Benachrichtigungseinheit ausgegeben wird.
  • Außerdem weist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt weiterhin auf: eine Überwachungsvorrichtung, die mit der Kommunikationsleitung verbunden ist und dazu ausgebildet ist, eine auf der Kommunikationsleitung gesendete Nachricht zu überwachen, wobei die Überwachungsvorrichtung die Bestimmungseinheit, die Verwerfungseinheit und den Zähler aufweist, wobei die Kommunikationsvorrichtungen jeweils den Zähler aufweisen und die Überwachungsvorrichtung und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweisen.
  • Außerdem ist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt von der Art, dass die Kommunikationsvorrichtungen jeweils die Bestimmungseinheit, die Verwerfungseinheit und den Zähler aufweisen und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweist.
  • Außerdem ist das Bordkommunikationssystem gemäß der vorliegenden Erfindung bevorzugt von der Art, dass die Überwachungsvorrichtung eine Gateway-Vorrichtung ist, die mit mehreren Kommunikationsleitungen verbunden ist, und dazu ausgebildet ist, eine Nachricht zwischen den Kommunikationsleitungen zu übermitteln.
  • Das Bordkommunikationssystem mit einer Ausbildung, bei der mehrere Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, weist gemäß der vorliegenden Erfindung auf: die Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine Nachricht eine autorisierte Nachricht ist oder nicht; die Verwerfungseinheit, die dazu ausgebildet ist, eine unautorisierte Nachricht zu verwerfen, bevor das Senden derselben abgeschlossen ist; die Speichereinheit, die zum Speichern von zu der verworfenen Nachricht hinzugefügten Kennungsinformationen ausgebildet ist; und die Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, wenn eine Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten empfangen wird, ein Signal auszugeben, das den Abschluss des Empfangs anzeigt. Es wird angemerkt, dass die Bestimmungseinheit, die Verwerfungseinheit, die Speichereinheit und die Empfangsabschluss-Benachrichtigungseinheit in jeder der Kommunikationsvorrichtungen vorgesehen sein können, die in dem Bordkommunikationssystem enthalten sind, oder in der Überwachungsvorrichtung vorgesehen sein können, die mit der Kommunikationsleitung verbunden ist.
  • Jede der Kommunikationsvorrichtungen des Bordkommunikationssystems führt eine Verarbeitung auf Basis einer Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten nicht durch. Außerdem führt die Verwerfungseinheit die Verarbeitung der Nachrichtenverwerfung an der Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten nicht durch.
  • Mit anderen Worten: In dem vorliegenden Bordkommunikationssystem wird eine unautorisierte Nachricht beim ersten Senden von der Verwerfungseinheit verworfen, und die Kennungsinformationen dieser verworfenen Nachricht werden gespeichert. Wenn beispielsweise eine unautorisierte Kommunikationsvorrichtung die unautorisierte Nachricht ungeachtet des Verwerfens erneut sendet, wird, da die zu der erneut gesendeten Nachricht hinzugefügten Kennungsinformationen in der Speichereinheit gespeichert sind, das Verwerfen durch die Verwerfungseinheit nicht durchgeführt, und durch die Empfangsabschluss-Benachrichtigungseinheit wird ein Signal ausgegeben, das den Abschluss des Empfangs anzeigt, jedoch führen die Kommunikationsvorrichtungen eine Verarbeitung auf Basis der unautorisierten Nachricht nicht durch. Infolge der Ausgabe des Signals, das den Abschluss des Empfangs anzeigt, bestimmt die Kommunikationsvorrichtung, die die unautorisierte Nachricht gesendet hat, dass die unautorisierte Nachricht durch eine andere Kommunikationsvorrichtung empfangen wurde, und somit wird die unautorisierte Nachricht nicht mehr erneut gesendet.
  • Außerdem löscht bei der vorliegenden Erfindung die Speichereinheit, in der Kennungsinformationen einer verworfenen Nachricht gespeichert sind, die gespeicherten Kennungsinformationen, wenn durch die Empfangsabschluss-Benachrichtigungseinheit das Signal ausgegeben wird, das den Abschluss des Empfangs anzeigt. Dementsprechend kann eine Situation verhindert werden, in der die Verarbeitung auf Basis einer autorisierten Nachricht mit denselben Kennungsinformationen wie denjenigen der unautorisierten Nachricht in jeder der ECUs deaktiviert ist.
  • Das Bordkommunikationssystem mit einer Ausbildung, bei der mehrere Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, weist bei der vorliegenden Erfindung außerdem auf: die Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine Nachricht eine autorisierte Nachricht ist oder nicht; die Verwerfungseinheit, die dazu ausgebildet ist, eine unautorisierte Nachricht zu verwerfen, bevor das Senden derselben abgeschlossen ist; den Zähler, der dazu ausgebildet ist, zu zählen, wie viele Male die Nachricht verworfen wird; und eine Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, ein Signal auszugeben, das den Abschluss des Empfangs anzeigt, wenn die durch den Zähler gezählte Anzahl von Malen eine vorbestimmte Anzahl von Malen überschreitet. Es wird angemerkt, dass die Bestimmungseinheit, die Verwerfungseinheit, der Zähler und die Empfangsabschluss-Benachrichtigungseinheit in jeder der Kommunikationsvorrichtungen vorgesehen sein können, die in dem Bordkommunikationssystem enthalten sind, oder in der Überwachungsvorrichtung vorgesehen sein können, die mit der Kommunikationsleitung verbunden ist.
  • Jede der Kommunikationsvorrichtungen des Bordkommunikationssystems führt eine Verarbeitung auf Basis einer empfangenen Nachricht nicht durch, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet. Außerdem führt die Verwerfungseinheit die Verarbeitung der Nachrichtenverwerfung nicht durch, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet.
  • Mit anderen Worten: In dem vorliegenden Bordkommunikationssystem wird eine unautorisierte Nachricht, wenn sie die vorbestimmte Anzahl von Malen oder weniger oft gesendet wird, durch die Verwerfungseinheit verworfen, und wie viele Male die Nachricht verworfen wird, wird durch den Zähler gezählt. Wenn beispielsweise eine unautorisierte Kommunikationsvorrichtung die unautorisierte Nachricht ungeachtet des Verwerfens wiederholt erneut sendet und die Anzahl von Malen, die die Nachricht verworfen wird, die vorbestimmte Anzahl von Malen überschreitet, wird durch die Empfangsabschluss-Benachrichtigungseinheit ein Signal ausgegeben, das den Abschluss des Empfangs anzeigt, jedoch führen die Kommunikationsvorrichtungen eine Verarbeitung auf Basis der unautorisierten Nachricht nicht durch. Infolge der Ausgabe des Signals, das den Abschluss des Empfangs anzeigt, bestimmt die Kommunikationsvorrichtung, die die unautorisierte Nachricht gesendet hat, dass die unautorisierte Nachricht durch eine andere Kommunikationsvorrichtung empfangen wurde, und somit wird die unautorisierte Nachricht nicht mehr erneut gesendet.
  • Außerdem ist in der vorliegenden Erfindung die Speichereinheit vorgesehen, die dazu ausgebildet ist, Kennungsinformationen zu speichern, die zu der durch die Verwerfungseinheit verworfenen Nachricht hinzugefügt sind, und der Zähler wird initialisiert, wenn eine Nachricht mit anderen Kennungsinformationen als den in der Speichereinheit gespeicherten Kennungsinformationen an die Kommunikationsleitung gesendet wird. Dementsprechend kann der Zähler nur dann die Anzahl von Malen zählen, wenn Nachrichten mit denselben Kennungsinformationen nacheinander gesendet werden.
  • Der Zähler, der zählt, wie viele Male die Nachricht verworfen wird, initialisiert bei der vorliegenden Erfindung außerdem den Zählwert, wenn durch die Empfangsabschluss-Benachrichtigungseinheit ein Signal ausgegeben wird, das den Abschluss des Empfangs anzeigt. Dementsprechend kann eine Situation verhindert werden, in der eine Verarbeitung auf Basis einer autorisierten Nachricht in jeder der ECUs deaktiviert ist.
  • Wenn die vorliegende Erfindung so ausgebildet ist, dass die Überwachungsvorrichtung die Verarbeitung der Nachrichtenverwerfung und dergleichen durchführt, ist die Überwachungsvorrichtung außerdem bevorzugt eine Gateway-Vorrichtung, die eine Nachricht zwischen Kommunikationsleitungen übermittelt. Dementsprechend ist es möglich, dass die Gateway-Vorrichtung die Verarbeitung und dergleichen auf mehreren Kommunikationsleitungen insgesamt verwirft.
  • Vorteilhafte Wirkungen der Erfindung
  • Wenn nach dem Verwerfen einer unautorisierten Nachricht ein erneutes Senden der unautorisierten Nachricht weiter wiederholt wird, ist eine Ausbildung gemäß der vorliegenden Erfindung von der Art, dass ein Signal ausgegeben wird, das den Abschluss des Empfangs anzeigt, ohne dass die unautorisierte Nachricht verworfen wird, und die Kommunikationsvorrichtungen eine Verarbeitung auf Basis der Nachricht nicht durchführen, wodurch verhindert wird, dass eine Kommunikationsleitung durch wiederholtes Senden einer unautorisierten Nachricht belegt ist.
  • Figurenliste
    • 1 ist ein schematisches Diagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Ausführungsform 1 illustriert.
    • 2 ist ein Flussdiagramm, das eine Prozedur zur Überwachungsverarbeitung illustriert, die durch eine Überwachungsvorrichtung gemäß der vorliegenden Ausführungsform durchgeführt wird.
    • 3 ist ein Flussdiagramm, das eine Prozedur zur Empfangsverarbeitung illustriert, die durch jede ECU gemäß der vorliegenden Ausführungsform durchgeführt wird.
    • 4 ist ein Flussdiagramm, das die Prozedur zur Empfangsverarbeitung illustriert, die durch jede ECU gemäß der vorliegenden Ausführungsform durchgeführt wird.
    • 5 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Abwandlung 1 illustriert.
    • 6 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Abwandlung 2 illustriert.
    • 7 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Ausführungsform 2 illustriert.
    • 8 ist ein Flussdiagramm, das eine Prozedur zur Überwachungsverarbeitung illustriert, die durch eine Überwachungsvorrichtung gemäß Ausführungsform 2 durchgeführt wird.
    • 9 ist ein Flussdiagramm, das eine Prozedur zur Empfangsverarbeitung illustriert, die durch jede ECU gemäß Ausführungsform 2 durchgeführt wird.
    • 10 ist ein Flussdiagramm, das die Prozedur zur Empfangsverarbeitung illustriert, die durch jede ECU gemäß Ausführungsform 2 durchgeführt wird.
  • Beschreibung von Ausführungsformen
  • Ausführungsform 1
  • Nachfolgend wird die vorliegende Erfindung mit Bezug auf die Zeichnungen, die Ausführungsformen derselben illustrieren, spezifisch beschrieben. 1 ist ein schematisches Diagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Ausführungsform 1 illustriert. Das Bordkommunikationssystem gemäß Ausführungsform 1 hat eine Ausbildung, bei der mehrere in einem Fahrzeug 1 eingebaute ECUs 30 über eine gemeinsame Kommunikationsleitung 2 miteinander verbunden sind, und ist mit einer Überwachungsvorrichtung 10 versehen, die eine zwischen den ECUs 30 auf der Kommunikationsleitung 2 gesendete und empfangene Nachricht überwacht.
  • Die Überwachungsvorrichtung 10 ist so ausgebildet, dass sie eine Verarbeitungseinheit 11, eine Kommunikationseinheit 12, eine Speichereinheit 13 und dergleichen aufweist. Die Verarbeitungseinheit 11 ist durch eine arithmetische Verarbeitungseinheit wie etwa eine CPU (Zentralprozessoreinheit) oder eine MPU (Mikroprozessoreinheit) gebildet und führt zur Durchführung verschiedener Arten der Verarbeitung im Zusammenhang mit der Nachrichtenüberwachung ein Programm aus, das in einem - nicht dargestellten - ROM (Nur-Lese-Speicher) oder dergleichen gespeichert ist.
  • Die Kommunikationseinheit 12, mit der die Kommunikationsleitung 2 verbunden ist, kann über die Kommunikationsleitung 2 eine Nachricht an und von anderen ECUs 30 senden und empfangen. Die Kommunikationseinheit 12 kann durch einen sogenannten CAN-Controller gebildet sein. Die Kommunikationseinheit 12 kann eine Nachricht durch Abtasten eines elektrischen Potentials der Kommunikationsleitung 2 empfangen und die empfangene Nachricht an die Verarbeitungseinheit 11 weitergeben und kann auch eine zu sendende Nachricht senden, die aus der Verarbeitungseinheit 11 weitergeben wurde, indem die Nachricht in ein elektrisches Signal umgewandelt und das elektrische Signal an die Kommunikationsleitung 2 ausgegeben wird. Es wird angemerkt, dass die Überwachungsvorrichtung 10 gemäß der vorliegenden Ausführungsform nicht unbedingt eine Nachricht an die und von den ECUs 30 sendet und empfängt und die Kommunikationseinheit 12 zum Überwachen einer Nachricht verwendet wird, die zwischen den ECUs 30 über die Kommunikationsleitung 2 gesendet und empfangen wird.
  • Die Speichereinheit 13 ist beispielsweise durch eine wiederbeschreibbare Datenspeichervorrichtung wie etwa ein SRAM (statischen Speicher mit wahlfreiem Zugriff) oder ein DRAM (dynamischen Speicher mit wahlfreiem Zugriff) gebildet. Die Verarbeitungseinheit 11 kann in der Speichereinheit 13 verschiedene Arten von Daten wie etwa eine empfangene Nachricht speichern. Es wird jedoch angemerkt, dass die Überwachungsvorrichtung 10 gemäß der vorliegenden Ausführungsform eine Nachricht überwacht, die über die Kommunikationsleitung 2 gesendet und empfangen wird, und in der Speichereinheit 13 die Kennung speichert, die zu einer Nachricht hinzugefügt ist, welche als unautorisierte Nachricht bestimmt wurde und der Verwerfungsverarbeitung unterzogen wurde.
  • In der Verarbeitungseinheit 11 der Überwachungsvorrichtung 10 gemäß der vorliegenden Ausführungsform sind eine Bestimmungs-Verarbeitungseinheit 21, eine Verwerfungs-Verarbeitungseinheit 22, eine Benachrichtigungs-Verarbeitungseinheit 23, eine Löschungs-Verarbeitungseinheit 24 und dergleichen als Funktionsblöcke mithilfe von Software infolge der Ausführung eines Programms im Zusammenhang mit der Überwachungsverarbeitung realisiert, das in dem ROM oder dergleichen gespeichert ist. Die Bestimmungs-Verarbeitungseinheit 21 bestimmt, ob eine Nachricht, die durch eine ECU 30 an die Kommunikationsleitung 2 gesendet wurde, eine autorisierte Nachricht ist oder nicht. Es wird angemerkt, dass in der vorliegenden Ausführungsform das Nachrichtenbestimmungsverfahren, das durch die Bestimmungs-Verarbeitungseinheit 21 ausgeführt wird, nicht definiert ist. Die Bestimmungs-Verarbeitungseinheit 21 kann dazu ausgebildet sein, die Bestimmung beispielsweise auf Basis eines MAC oder dergleichen durchzuführen, der zu einer Nachricht hinzugefügt ist, oder kann dazu ausgebildet sein, beispielsweise eine Nachricht mit einer Kennung zu bestimmen, die nicht im Voraus als unautorisierte Nachricht registriert ist. Alternativ kann die Bestimmungs-Verarbeitungseinheit 21 dazu ausgebildet sein, eine Bestimmung mit einem anderen Verfahren als den oben beschriebenen durchzuführen.
  • Die Verwerfungs-Verarbeitungseinheit 22 führt eine Verarbeitung zum Bewirken dessen durch, dass alle mit der Kommunikationsleitung 2 verbundenen ECUs 30 jede Nachricht verwerfen, die durch die Bestimmungs-Verarbeitungseinheit 21 als keine autorisierte Nachricht bestimmt wurde, also als unautorisierte Nachricht bestimmt wurde. Spezifisch gibt die Verwerfungs-Verarbeitungseinheit 22 einen Fehlerrahmen von der Kommunikationseinheit 12 an die Kommunikationsleitung 2 aus, bevor das Senden der an die Kommunikationsleitung 2 ausgegebenen unautorisierten Nachricht abgeschlossen ist, um zu bewirken, dass die ECUs 30 die unautorisierte Nachricht verwerfen. Wenn die Verwerfungs-Verarbeitungseinheit 22 die Verwerfungsverarbeitung durchgeführt hat, speichert die Verarbeitungseinheit 11 die zu dieser unautorisierten Nachricht hinzugefügte Kennung als Verwerfungskennung in der Speichereinheit 13. Es wird angemerkt, dass in der vorliegenden Ausführungsform in der Speichereinheit 13 eine Kennung als Verwerfungskennung gespeichert ist. Infolge der Durchführung der Verarbeitung zur Verwerfung einer unautorisierten Nachricht durch die Verwerfungs-Verarbeitungseinheit 22 kann verhindert werden, dass die unautorisierte Nachricht durch die ECUs 30 empfangen wird, wodurch es ermöglicht wird, die Ausführung einer Verarbeitung auf ihrer Basis zu verhindern.
  • Die Benachrichtigungs-Verarbeitungseinheit 23 bestimmt, ob die Kennung der an die Kommunikationsleitung 2 ausgegebenen Nachricht und die als Verwerfungskennung in der Speichereinheit 13 gespeicherte Kennung übereinstimmen oder nicht. Wenn die beiden Kennungen übereinstimmen, übergibt die Benachrichtigungs-Verarbeitungseinheit 23 eine Benachrichtigung darüber, dass der Empfang der Nachricht abgeschlossen wurde, ungeachtet dessen, ob diese Nachricht autorisiert ist oder nicht. Spezifisch gibt die Benachrichtigungs-Verarbeitungseinheit 23 ein ACK für das Senden dieser Nachricht aus der Kommunikationseinheit 12 an die Kommunikationsleitung 2 aus, um die Herkunfts-ECU 30, die diese Nachricht gesendet hat, darüber zu benachrichtigen, dass der Empfang abgeschlossen ist. Da infolge der Durchführung der Benachrichtigungs-Verarbeitung durch die Benachrichtigungs-Verarbeitungseinheit 23 die Herkunfts-ECU, die die unautorisierte Nachricht gesendet hat, darüber benachrichtigt werden kann, dass der Empfang abgeschlossen ist, kann eine Situation verhindert werden, in der ein erneutes Senden der unautorisierten Nachricht fortgesetzt wird.
  • Wenn durch die Benachrichtigungs-Verarbeitungseinheit 23 das ACK ausgegeben wird, führt die Löschungs-Verarbeitungseinheit 24 eine Verarbeitung durch, um die Kennung, die als Verwerfungskennung in der Speichereinheit 13 gespeichert ist, aus der Speichereinheit 13 zu löschen. Infolge der Löschung der Verwerfungskennung durch die Löschungs-Verarbeitungseinheit 24 kann eine Situation verhindert werden, in der die Verarbeitung auf Basis einer autorisierten Nachricht mit derselben Kennung wie der Verwerfungskennung in den ECUs 30 deaktiviert wird.
  • Die ECUs 30 (nur autorisierte ECUs 30), die in dem Bordkommunikationssystem gemäß der vorliegenden Ausführungsform enthalten sind, sind jeweils so ausgebildet, dass sie eine Verarbeitungseinheit 31, eine Kommunikationseinheit 32, eine Speichereinheit 33 und dergleichen aufweisen. Die Verarbeitungseinheit 31 ist durch eine arithmetische Verarbeitungseinheit wie etwa eine CPU oder eine MPU gebildet und führt verschiedene Arten der Verarbeitung im Zusammenhang mit der Steuerung des Fahrzeugs 1 durch. Die Kommunikationseinheit 32 ist dazu ausgebildet, eine Nachricht über die Kommunikationsleitung 2 an eine und von einer anderen ECU 30 zu senden und zu empfangen, und kann durch einen sogenannten CAN-Controller gebildet sein. Die Kommunikationseinheit 32 kann eine Nachricht durch Abtasten eines elektrischen Potentials der Kommunikationsleitung 2 empfangen und die empfangene Nachricht an die Verarbeitungseinheit 31 weitergeben und kann auch eine zu sendende Nachricht, die von der Verarbeitungseinheit 31 weitergegeben wurde, senden, indem die Nachricht in ein elektrisches Signal umgewandelt wird und das elektrische Signal an die Kommunikationsleitung 2 ausgegeben wird.
  • Dementsprechend kann eine ECU 30 an der Kommunikationseinheit 32 eine durch eine andere ECU 30 gesendete Nachricht empfangen und kann Verarbeitung auf Basis der empfangenen Nachricht an der Verarbeitungseinheit 31 durchführen. Außerdem kann die ECU 30 Informationen, die durch die von der Verarbeitungseinheit 31 durchgeführte Verarbeitung erzeugt sind, als Nachricht von der Kommunikationseinheit 32 an eine andere ECU 30 senden. Wenn eine ECU 30 beispielsweise eine ECU zur Steuerung von Scheinwerfern des Fahrzeugs 1 ist, kann die ECU 30 als Nachricht Informationen zu der Helligkeit empfangen, die durch eine andere ECU 30 mithilfe eines Sensors detektiert wird, und kann mithilfe der Verarbeitungseinheit 31 eine Steuerungsverarbeitung zum Ein/Aus-Schalten der Scheinwerfer auf Basis der Helligkeitsinformationen durchführen, die in der empfangenen Nachricht enthalten sind. Es wird angemerkt, dass die Verarbeitung, die durch die ECUs 30 auf Basis einer empfangenen Nachricht durchgeführt wird, nicht hierauf beschränkt ist und jede Art von Verarbeitung sein kann.
  • Die Speichereinheit 33 ist beispielsweise durch eine wiederbeschreibbare Datenspeichervorrichtung wie etwa ein SRAM oder ein DRAM gebildet. Die Verarbeitungseinheit 31 kann verschiedene Arten von Daten im Zusammenhang mit der Steuerung in der Speichereinheit 32 speichern. Wenn durch die Überwachungsvorrichtung 10 ein Fehlerrahmen ausgegeben wird, bevor das Senden einer an die Kommunikationsleitung 2 ausgegebenen Nachricht abgeschlossen ist, verwerfen außerdem die ECUs 30 gemäß der vorliegenden Ausführungsform während der Empfangsverarbeitung diese Nachricht und speichern die zu der Nachricht hinzugefügte Kennung als Verwerfungskennung in der Speichereinheit 33. Es wird angemerkt, dass in der vorliegenden Ausführungsform als Verwerfungskennung eine Kennung in der Speichereinheit 33 gespeichert ist.
  • In der Verarbeitungseinheit 31 einer jeden der ECUs 30 gemäß der vorliegenden Ausführungsform ist eine Verbots-Verarbeitungseinheit 41 als Funktionsblock mithilfe von Software infolge der Ausführung eines Programms im Zusammenhang mit der Kommunikationsverarbeitung realisiert, das in einem ROM oder dergleichen gespeichert ist. Die Verbots-Verarbeitungseinheit 41 verbietet die Verarbeitung auf Basis einer Nachricht mit derselben Kennung wie der in der Speichereinheit 33 gespeicherten Verwerfungskennung. Wenn durch die Kommunikationseinheit 32 eine Nachricht mit derselben Kennung wie der in der Speichereinheit 33 gespeicherten Verwerfungskennung empfangen wird, führt dementsprechend die Verarbeitungseinheit 31 eine Verarbeitung auf Basis der Nachricht nicht durch. Damit kann verhindert werden, dass in den ECUs 30 eine Verarbeitung auf Basis einer Nachricht mit derselben Kennung wie derjenigen der Nachricht durchgeführt wird, die durch die Überwachungsvorrichtung 10 als unautorisiert bestimmt wurde und Verwerfungsverarbeitung unterzogen wurde.
  • Wenn durch die Kommunikationseinheit 32 eine Nachricht mit derselben Kennung wie der in der Speichereinheit 33 gespeicherten Verwerfungskennung empfangen wird, gibt außerdem die Verbots-Verarbeitungseinheit 41 ein ACK zur Benachrichtigung darüber aus, dass der Empfang abgeschlossen ist, und führt eine Verarbeitung der Löschung der in der Speichereinheit 33 gespeicherten Verwerfungskennung durch. (Mit anderen Worten: Die Verbots-Verarbeitungseinheit 41 führt im Wesentlichen dieselbe Verarbeitung durch wie diejenige, die durch die Benachrichtigungs-Verarbeitungseinheit 23 und die Löschungs-Verarbeitungseinheit 24 der Überwachungsvorrichtung 10 durchgeführt wird.)
  • 2 ist ein Flussdiagramm, das eine Prozedur zur Überwachungsverarbeitung illustriert, die durch die Überwachungsvorrichtung 10 gemäß der vorliegenden Ausführungsform durchgeführt wird. Die Verarbeitungseinheit 11 der Überwachungsvorrichtung 10 der vorliegenden Ausführungsform bestimmt, ob durch eine ECU 30 eine Nachricht an die Kommunikationsleitung 2 gesendet wurde oder nicht (Schritt S1). Wenn keine Nachricht gesendet wurde (Nein in Schritt S1), wartet die Verarbeitungseinheit 11, bis durch eine ECU 30 eine Nachricht gesendet wird. Wenn durch eine ECU 30 eine Nachricht gesendet wurde (Ja in Schritt S1), erfasst die Verarbeitungseinheit 11 die Kennung der Nachricht auf der Stufe, auf der die Kennung der Nachricht an die Kommunikationsleitung 2 ausgegeben wird (Schritt S2). Die Verarbeitungseinheit 11 erfasst auch die Kennung, die als Verwerfungskennung in der Speichereinheit 13 gespeichert ist (Schritt S3). Es wird hier angemerkt, dass die Verarbeitungseinheit 11 keine Kennung zu erfassen braucht, wenn in der Speichereinheit 13 keine Verwerfungskennung gespeichert ist.
  • Die Verarbeitungseinheit 11 bestimmt, ob die in Schritt S2 erfasste Kennung und die in Schritt S3 erfasste Kennung übereinstimmen oder nicht (Schritt S4). Es wird angemerkt, dass, wenn in Schritt S3 keine Verwerfungskennung erfasst werden konnte, die Verarbeitungseinheit 11 in Schritt S4 nur zu bestimmen braucht, dass die Kennungen nicht übereinstimmen. Wenn die beiden Kennungen nicht übereinstimmen (Nein in Schritt S4), erfasst die Bestimmungs-Verarbeitungseinheit 21 der Verarbeitungseinheit 11 in der Nachricht enthaltene Authentifizierungsinformationen (MAC) auf der Stufe, auf der die Authentifizierungsinformationen an die Kommunikationsleitung 2 ausgegeben werden, und führt eine Bestimmung dessen durch, ob die erfassten Authentifizierungsinformationen autorisiert sind oder nicht (Schritt S5) und bestimmt, ob die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, eine autorisierte Nachricht ist oder nicht (Schritt S6). Es wird angemerkt, dass in diesem Flussdiagramm die Ausbildung von der Art ist, dass Authentifizierungsinformationen zu einer Nachricht hinzugefügt sind und eine Bestimmung dessen, ob die Nachricht autorisiert ist oder nicht, auf Basis der Authentifizierungsinformationen durchgeführt wird, dies jedoch nur ein Beispiel ist und die Bestimmung dessen, ob eine Nachricht autorisiert ist oder nicht, auch mit einem anderen Verfahren als dem Verfahren auf Basis von Authentifizierungsinformationen erfolgen kann.
  • Wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, keine autorisierte Nachricht ist (Nein in Schritt S6), gibt die Verwerfungs-Verarbeitungseinheit 22 der Verarbeitungseinheit 11 an die Kommunikationsleitung 2 einen Fehlerrahmen aus, bevor das Senden der Nachricht abgeschlossen ist (Schritt S7), und bewirkt, dass die ECUs 30 die Nachricht verwerfen. Sodann speichert die Verarbeitungseinheit 11 die Kennung der Nachricht als Verwerfungskennung in der Speichereinheit 13 (Schritt S8) und beendet die Prozedur.
  • Wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, eine autorisierte Nachricht ist (Ja in Schritt S6), gibt die Benachrichtigungs-Verarbeitungseinheit 23 der Verarbeitungseinheit 11 an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S9). Sodann löscht die Verarbeitungseinheit 11 die in der Speichereinheit 13 als Verwerfungskennung gespeicherte Kennung (Schritt S10) und beendet die Prozedur.
  • 3 und 4 zeigen Flussdiagramme, die eine Prozedur zur Empfangsverarbeitung illustrieren, die durch jede der ECUs 30 gemäß der vorliegenden Ausführungsform durchgeführt wird. Die Verarbeitungseinheit 31 einer ECU 30 gemäß der vorliegenden Ausführungsform bestimmt, ob durch eine andere ECU 30 eine Nachricht an die Kommunikationsleitung 2 gesendet wurde oder nicht (Schritt S21). Wenn keine Nachricht gesendet wurde (Nein in Schritt S21), wartet die Verarbeitungseinheit 31, bis durch eine andere ECU 30 eine Nachricht gesendet wird. Wenn durch eine andere ECU 30 eine Nachricht gesendet wurde (Ja in Schritt S21), erfasst die Verarbeitungseinheit 31 die Kennung der Nachricht auf der Stufe, auf der die Kennung der Nachricht an die Kommunikationsleitung 2 ausgegeben wird (Schritt S22). Die Verarbeitungseinheit 31 erfasst auch die Kennung, die als Verwerfungskennung in der Speichereinheit 33 gespeichert ist (Schritt S23). Es sei hier angemerkt, dass die Verarbeitungseinheit 31 keine Kennung zu erfassen braucht, wenn in der Speichereinheit 33 keine Verwerfungskennung gespeichert ist.
  • Die Verarbeitungseinheit 31 bestimmt, ob die in Schritt S22 erfasste Kennung und die in Schritt S23 erfasste Kennung übereinstimmen oder nicht (Schritt S24). Es wird angemerkt, dass, wenn in Schritt S23 keine Verwerfungskennung erfasst werden konnte, die Verarbeitungseinheit 31 in Schritt S24 nur zu bestimmen braucht, dass die Kennungen nicht übereinstimmen. Wenn die beiden Kennungen nicht übereinstimmen (Nein in Schritt S24), bestimmt die Verarbeitungseinheit 31, ob vor Abschluss des Sendens der Nachricht ein Fehlerrahmen empfangen wurde oder nicht (Schritt S25). Wenn kein Fehlerrahmen empfangen wurde (Nein in Schritt S25), empfängt die Verarbeitungseinheit 31 die an die Kommunikationsleitung 2 ausgegebene Nachricht (Schritt S26). Die Verarbeitungseinheit 31 gibt an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S27). Sodann führt die Verarbeitungseinheit 31 die Verarbeitung auf Basis der empfangenen Nachricht durch (Schritt S28) und beendet die Prozedur.
  • Wenn vor Abschluss des Sendens der Nachricht an die Kommunikationsleitung 2 ein Fehlerrahmen empfangen wurde (Ja in Schritt S25), unterbricht die Verarbeitungseinheit 31 die Verarbeitung des Empfangs der Nachricht und verwirft die Nachricht (Schritt S29). Außerdem speichert die Verarbeitungseinheit 31 die Kennung der Nachricht als Verwerfungskennung in der Speichereinheit 33 (Schritt S30) und beendet die Prozedur.
  • Wenn die in Schritt S22 erfasste Kennung und die in Schritt S23 erfasste Kennung übereinstimmen (Ja in Schritt S24), verbietet außerdem die Verbots-Verarbeitungseinheit 41 der Verarbeitungseinheit 31 die Verarbeitung auf Basis der empfangenen Nachricht (Schritt S31). Die Verarbeitungseinheit 31 gibt an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S32). Sodann löscht die Verarbeitungseinheit 31 die als Verwerfungskennung in der Speichereinheit 33 gespeicherte Kennung (Schritt S33) und beendet die Prozedur.
  • Das Bordkommunikationssystem gemäß Ausführungsform 1 mit der oben beschriebenen Ausbildung ist ein Bordkommunikationssystem, in dem mehrere ECUs 30 über eine gemeinsame Kommunikationsleitung 2 miteinander verbunden sind und das so ausgebildet ist, dass es mit der Überwachungsvorrichtung 10 versehen ist, die aufweist: die Bestimmungs-Verarbeitungseinheit 21, die bestimmt, ob eine Nachricht autorisiert ist oder nicht; die Verwerfungs-Verarbeitungseinheit 22, die Verarbeitung zum Verwerfen einer unautorisierten Nachricht, bevor das Senden der Nachricht abgeschlossen ist, durchführt; die Speichereinheit 13, die die Kennung der verworfenen Nachricht speichert; und die Benachrichtigungs-Verarbeitungseinheit 23, die beim Empfang einer Nachricht mit derselben Kennung wie der in der Speichereinheit 13 gespeicherten eine Verarbeitung der Ausgabe eines ACK-Signals durchführt, das den Abschluss des Empfangs anzeigt. Es wird angemerkt, dass die Verwerfungs-Verarbeitungseinheit 22 eine Nachricht mit derselben Kennung wie der als Verwerfungskennung in der Speichereinheit 13 gespeicherten nicht verwirft. Außerdem führen die ECUs 30 ein Verarbeitung auf Basis einer unautorisierten Nachricht in der Weise nicht durch, dass die Speichereinheit 33 als Verwerfungskennung die Kennung speichert, die zu einer Nachricht hinzugefügt ist, welche der Verwerfungsverarbeitung durch die Überwachungsvorrichtung 10 unterzogen wird, und dass die Verbots-Verarbeitungseinheit 41 die Verarbeitung auf Basis einer Nachricht mit derselben Kennung wie der in der Speichereinheit 33 gespeicherten verbietet.
  • Mit anderen Worten: Wenn bei dem Bordkommunikationssystem gemäß der vorliegenden Ausführungsform eine unautorisierte Nachricht zum ersten Mal gesendet wird, wird die Nachricht durch die Verwerfungs-Verarbeitungseinheit 22 der Überwachungsvorrichtung 10 verworfen und zu diesem Zeitpunkt die Kennung der verworfenen Nachricht in der Überwachungsvorrichtung 10 und den ECUs 30 gespeichert. Wenn beispielsweise eine unautorisierte ECU die unautorisierte Nachricht ungeachtet des Verwerfens der Nachricht erneut sendet, wird, da die zu der erneut gesendeten Nachricht hinzugefügte Kennung in der Überwachungsvorrichtung 10 und den ECUs 30 gespeichert ist, das Verwerfen durch die Verwerfungs-Verarbeitungseinheit 22 der Überwachungsvorrichtung 10 nicht durchgeführt und durch die Benachrichtigungs-Verarbeitungseinheit 23 ein ACK-Signal ausgegeben, das den Abschluss des Empfangs anzeigt, jedoch wird in den ECUs 30 eine Verarbeitung auf Basis der unautorisierten Nachricht verboten und deaktiviert. Infolge dessen, dass das ACK-Signal den Abschluss des Empfangs einer unautorisierten Nachricht anzeigt, die ausgegeben wird, bestimmt die unautorisierte ECU, die die unautorisierte Nachricht gesendet hat, dass diese Nachricht durch eine andere ECU 30 empfangen wurde, und somit wird die unautorisierte Nachricht nicht mehr erneut gesendet.
  • Wenn durch die Benachrichtigungs-Verarbeitungseinheit 23 ein ACK-Signal ausgegeben wird, das den Abschluss des Empfangs anzeigt, löscht außerdem die Löschungs-Verarbeitungseinheit 24 der Überwachungsvorrichtung 10 die in der Speichereinheit 13 als Verwerfungskennung gespeicherte Kennung. Ebenso löschen die ECUs 30 die in der Speichereinheit 33 gespeicherte Kennung beim Empfang einer Nachricht mit derselben Kennung wie der als Verwerfungskennung in der Speichereinheit 33 gespeicherten. Dementsprechend kann eine Situation verhindert werden, in der eine Verarbeitung auf Basis einer autorisierten Nachricht mit derselben Kennung wie derjenigen einer unautorisierten Nachricht in den ECUs 30 deaktiviert wird.
  • Es wird angemerkt, dass in der vorliegenden Ausführungsform die Überwachungsvorrichtung 10 so ausgebildet ist, dass die Verarbeitungseinheit 11 die jeweiligen Prozesse der Bestimmungs-Verarbeitungseinheit 21, der Verwerfungs-Verarbeitungseinheit 22, der Benachrichtigungs-Verarbeitungseinheit 23 und der Löschungs-Verarbeitungseinheit 24 durchführt, die vorliegende Erfindung jedoch nicht hierauf beschränkt ist und auch eine Ausbildung möglich ist, bei der beispielsweise die Kommunikationseinheit 12 diese Prozesse durchführt. In diesem Fall kann die Speichereinheit 13 so ausgebildet sein, dass sie direkt für die Kommunikationseinheit 12 zugänglich ist, oder kann innerhalb der Kommunikationseinheit 12 vorgesehen sein. Ebenso sind die ECUs 30 so ausgebildet, dass die Verarbeitungseinheit 31 die Verarbeitung der Verbots-Verarbeitungseinheit 41 durchführt, jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und es ist auch eine Ausbildung möglich, bei der beispielsweise die Kommunikationseinheit 32 die Verarbeitung durchführt.
  • Außerdem ist die vorliegende Ausführungsform zwar so ausgebildet, dass die ECUs 30, die in dem Bordkommunikationssystem des Fahrzeugs 1 enthalten sind, Kommunikation entsprechend einem CAN-Protokoll durchführen, jedoch ist die vorliegende Erfindung nicht hierauf beschränkt. Es ist auch eine Ausbildung möglich, bei der die ECUs 30 Kommunikation entsprechend einem anderen Protokoll als dem CAN-Protokoll durchführen, beispielsweise einem Protokoll wie TCP/IP oder FlexRay. Außerdem ist die Beschreibung am Beispiel des in dem Fahrzeug 1 eingebauten Bordkommunikationssystems erfolgt, jedoch ist die vorliegende Erfindung nicht hierauf beschränkt, und die vorliegende Technik kann auch auf ein Bordkommunikationssystem angewandt werden, das in einem anderen Objekt als einem Fahrzeug eingebaut ist, beispielsweise auf ein Bordkommunikationssystem, das in einem beweglichen Objekt wie etwa einem Flugzeug oder Schiff eingebaut ist, oder ein Bordkommunikationssystem, das sich in einer Fabrik oder einem Büro befindet. Außerdem hat die oben beschriebene Ausführungsform zwar eine Ausbildung, bei der die Überwachungsvorrichtung 10, die die jeweiligen Prozesse der Bestimmungs-Verarbeitungseinheit 21, der Verwerfungs-Verarbeitungseinheit 22, der Benachrichtigungs-Verarbeitungseinheit 23 und der Löschungs-Verarbeitungseinheit 24 durchführt, getrennt von den ECUs 30 vorgesehen ist, jedoch ist die vorliegende Erfindung nicht hierauf beschränkt. Wie in der Abwandlung 1 unten gezeigt, ist beispielsweise auch eine Ausbildung möglich, bei der die ECUs 30 die jeweiligen Prozesse der Bestimmungs-Verarbeitungseinheit 21, der Verwerfungs-Verarbeitungseinheit 22, der Benachrichtigungs-Verarbeitungseinheit 23 und der Löschungs-Verarbeitungseinheit 24 durchführen.
  • Abwandlung 1
  • 5 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Abwandlung 1 illustriert. Das Bordkommunikationssystem gemäß Abwandlung 1 ist so ausgebildet, dass es nicht die Überwachungsvorrichtung 10 aufweist, die eine auf der Kommunikationsleitung 2 gesendete und empfangene Nachricht überwacht, sondern mit der Kommunikationsleitung 2 verbundene ECUs 130 eine Nachricht überwachen. Infolge dessen, dass jede ECU 130 ein vorbestimmtes Programm ausführt, das in einem ROM oder dergleichen gespeichert ist, sind die Bestimmungs-Verarbeitungseinheit 21, die Verwerfungs-Verarbeitungseinheit 22, die Benachrichtigungs-Verarbeitungseinheit 23, die Löschungs-Verarbeitungseinheit 24, die Verbots-Verarbeitungseinheit 41 und dergleichen in einer Verarbeitungseinheit 131 als Funktionsblöcke mithilfe von Software realisiert. Die von diesen Prozessen ausgeführten Funktionsblöcke sind im Wesentlichen dieselben wie bei der oben beschriebenen Überwachungsvorrichtung 10 und den ECUs 30 aus Ausführungsform 1.
  • Mit anderen Worten: In jeder der ECUs 130 gemäß Abwandlung 1 bestimmt die Bestimmungs-Verarbeitungseinheit 21, ob eine durch eine andere ECU 130 an die Kommunikationsleitung 2 gesendete Nachricht eine autorisierte Nachricht ist oder nicht. Hierbei kann die Bestimmungs-Verarbeitungseinheit 21 dazu ausgebildet sein, die Bestimmung so durchzuführen, dass beispielsweise, wenn eine Nachricht mit einer Kennung, die durch sie gesendet werden sollte, von einer anderen ECU 130 gesendet wurde, die Nachricht eine unautorisierte Nachricht ist, oder sie kann dazu ausgebildet sein, die Bestimmung beispielsweise auf Basis von Authentifizierungsinformationen durchzuführen, die zu einer Nachricht hinzugefügt sind. Alternativ kann die Bestimmungs-Verarbeitungseinheit 21 dazu ausgebildet sein, eine Bestimmung mit einem anderen als diesen Verfahren durchzuführen. Wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht eine unautorisierte Nachricht ist, führt die Verwerfungs-Verarbeitungseinheit 22 der ECU 130 eine Verarbeitung der Ausgabe eines Fehlerrahmens an die Kommunikationsleitung 2 durch, bevor das Senden der Nachricht abgeschlossen ist, um zu bewirken, dass die anderen ECUs 130 die unautorisierte Nachricht verwerfen. Die Verarbeitungseinheit 131 der ECU 130 speichert, wenn die Verwerfungs-Verarbeitungseinheit 22 derselben die Nachricht verworfen hat und wenn die Nachricht wegen des durch eine andere ECU 130 ausgegebenen Fehlerrahmens verworfen wurde, die zu der Nachricht hinzugefügte Kennung als Verwerfungskennung in der Speichereinheit 33.
  • Wenn die Kennung einer auf der Kommunikationsleitung 2 gesendeten Nachricht mit der in der Speichereinheit 33 gespeicherten Verwerfungskennung übereinstimmt, gibt außerdem die Benachrichtigungs-Verarbeitungseinheit 23 der ECU 130 ein ACK-Signal an die Kommunikationsleitung 2 aus, um die Herkunfts-ECU, die diese Nachricht gesendet hat, darüber zu benachrichtigen, dass der Empfang abgeschlossen ist. Es wird jedoch angemerkt, dass die Verbots-Verarbeitungseinheit 41 der ECU 130 die Verarbeitung auf Basis einer Nachricht mit der Kennung verbietet, die mit der in der Speichereinheit 33 gespeicherten Verwerfungskennung übereinstimmt, und somit eine Verarbeitung auf Basis der unautorisierten Nachricht in der Verarbeitungseinheit 131 der ECU 130 deaktiviert ist. Wenn die Benachrichtigungs-Verarbeitungseinheit 23 ein ACK-Signal ausgegeben hat, löscht die Löschungs-Verarbeitungseinheit 24 der ECU 130 die als Verwerfungskennung in der Speichereinheit 33 gespeicherte Kennung.
  • Wie oben beschrieben, hat das Bordkommunikationssystem gemäß Abwandlung 1 eine Ausbildung, bei der jede der ECUs 130 die Bestimmungs-Verarbeitungseinheit 21, die Verwerfungs-Verarbeitungseinheit 22, die Benachrichtigungs-Verarbeitungseinheit 23, die Löschungs-Verarbeitungseinheit 24 und die Verbots-Verarbeitungseinheit 41 aufweist und somit verhindert werden kann, dass eine unautorisierte ECU eine unautorisierte Nachricht wiederholt erneut sendet.
  • Abwandlung 2
  • 6 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Abwandlung 2 illustriert. Das Bordkommunikationssystem gemäß Abwandlung 2 hat eine Ausbildung, bei der eine Kommunikationsleitung 2 und eine Kommunikationsleitung 3, mit denen jeweils mehrere ECUs 30 verbunden sind, mit einem Gateway 210 verbunden sind und das Gateway 210 eine Nachricht zwischen den Kommunikationsleitungen 2 und 3 übermittelt. Bei dieser Ausbildung kann das Gateway 210 mit einer Überwachungsfunktion ähnlich derjenigen der Überwachungsvorrichtung 10 der oben beschriebenen Ausführungsform 1 versehen sein.
  • Das Gateway 210 gemäß Abwandlung 2 ist so ausgebildet, dass es eine Verarbeitungseinheit 211, Kommunikationseinheiten 12a und 12b und die Speichereinheit 13 aufweist. Die beiden Kommunikationseinheiten 12a und 12b, mit denen die Kommunikationsleitungen 2 und 3 jeweils verbunden sind, senden und empfangen über die angeschlossenen Kommunikationsleitungen 2 und 3 eine Nachricht zwischen den ECUs 30. Die Verarbeitungseinheit 211 führt eine Verarbeitung einer Übermittlung einer Nachricht zwischen den Kommunikationsleitungen 2 und 3 durch, indem die Nachricht an einer der Kommunikationseinheiten 12a und 12b empfangen wird und aus der anderen gesendet wird. Außerdem sind in der Verarbeitungseinheit 211 die Bestimmungs-Verarbeitungseinheit 21, die Verwerfungs-Verarbeitungseinheit 22, die Benachrichtigungs-Verarbeitungseinheit 23, die Löschungs-Verarbeitungseinheit 24 und dergleichen als Funktionsblöcke mithilfe von Software infolge der Ausführung eines vorbestimmten Programms realisiert, das in einem ROM oder dergleichen gespeichert ist. Die durch diese Funktionsblöcke ausgeführten Prozesse sind im Wesentlichen dieselben wie bei der oben beschriebenen Überwachungsvorrichtung 10 aus Ausführungsform 1, jedoch wird die Nachrichtenüberwachungsverarbeitung auf den zwei Kommunikationsleitungen 2 und 3 individuell durchgeführt.
  • Wie oben beschrieben, hat in dem Bordkommunikationssystem gemäß Abwandlung 2 das Gateway 210, mit dem mehrere Kommunikationsleitungen 2 und 3 verbunden sind, die Funktion der Nachrichtenüberwachung. Dementsprechend kann durch das Gateway 210 eine konzentrierte Überwachung einer Nachricht erfolgen, und verglichen mit einer Ausbildung, bei der die Kommunikationsleitungen 2 und 3 jeweils mit den Überwachungsvorrichtungen 10 versehen sind, ist ein verkleinertes und kostengünstiges Bordkommunikationssystem erzielbar.
  • Ausführungsform 2
  • 7 ist ein Blockdiagramm, das eine Ausbildung eines Bordkommunikationssystems gemäß Ausführungsform 2 illustriert. Ähnlich wie bei dem Bordkommunikationssystem gemäß Ausführungsform 1 hat das Bordkommunikationssystem gemäß Ausführungsform 2 eine Ausbildung, bei der mehrere in dem Fahrzeug 1 eingebaute ECUs 330 über die gemeinsame Kommunikationsleitung 2 miteinander verbunden sind, und ist mit einer Überwachungsvorrichtung 310 versehen, die eine durch die ECUs 330 über die Kommunikationsleitung 2 gesendete und empfangene Nachricht überwacht.
  • Die Überwachungsvorrichtung 310 ist so ausgebildet, dass sie eine Verarbeitungseinheit 311, die Kommunikationseinheit 12, die Speichereinheit 13, einen Zähler 314 und dergleichen aufweist. Die Verarbeitungseinheit 311 ist durch eine arithmetische Verarbeitungseinheit wie etwa eine CPU oder eine MPU gebildet und führt ein Programm aus, das in einem - nicht dargestellten - ROM oder dergleichen gespeichert ist, um verschiedene Arten der Verarbeitung im Zusammenhang mit der Nachrichtenüberwachung durchzuführen. Der Zähler 314 ist eine Schaltung zum Speichern eines numerischen Wertes und ist dazu ausgebildet, den gespeicherten numerischen Wert entsprechend einer durch die Verarbeitungseinheit 311 erteilten Additionsanweisung zu inkrementieren (hochzuzählen) und den gespeicherten numerischen Wert entsprechend einer Initialisierungsanweisung auf 0 zu initialisieren. In Ausführungsform 2 zählt der Zähler 314, wie viele Male eine Nachricht als unautorisiert bestimmt wird und verworfen wird.
  • In der Verarbeitungseinheit 311 der Überwachungsvorrichtung 310 gemäß Ausführungsform 2 sind die Bestimmungs-Verarbeitungseinheit 21, die Verwerfungs-Verarbeitungseinheit 22, die Benachrichtigungs-Verarbeitungseinheit 23, die Löschungs-Verarbeitungseinheit 24, eine Initialisierungs-Verarbeitungseinheit 325 und dergleichen als Funktionsblöcke mithilfe von Software infolge der Ausführung eines Programms im Zusammenhang mit der Überwachungsverarbeitung realisiert, das in einem ROM oder dergleichen gespeichert ist. Die Bestimmungs-Verarbeitungseinheit 21 bestimmt, ob eine durch eine ECU 330 an die Kommunikationsleitung 2 gesendete Nachricht eine autorisierte Nachricht ist oder nicht. Wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht keine autorisierte Nachricht ist, führt die Verwerfungs-Verarbeitungseinheit 22 eine Verarbeitung der Ausgabe eines Fehlerrahmens an die Kommunikationsleitung 2 durch, bevor das Senden der Nachricht abgeschlossen ist, um zu bewirken, dass die ECUs 330 die unautorisierte Nachricht verwerfen. Wenn die Verwerfungsverarbeitung durch die Verwerfungs-Verarbeitungseinheit 22 durchgeführt wird, speichert die Verarbeitungseinheit 311 die zu der unautorisierten Nachricht hinzugefügte Kennung als Verwerfungskennung in der Speichereinheit 13 und erhöht den Zähler 314.
  • Wenn eine Nachricht an die Kommunikationsleitung 2 gesendet wird, bestimmt dann die Verarbeitungseinheit 311, ob die Kennung der Nachricht mit der in der Speichereinheit 13 gespeicherten Verwerfungskennung übereinstimmt oder nicht. Wenn die beiden Kennungen nicht übereinstimmen, bestimmt die Verarbeitungseinheit 311, dass die unautorisierte Nachricht nicht erneut gesendet wird, und die Initialisierungs-Verarbeitungseinheit 325 der Verarbeitungseinheit 311 initialisiert den Zähler 314, und die Löschungs-Verarbeitungseinheit 24 löscht die in der Speichereinheit 13 gespeicherte Verwerfungskennung. Wenn die beiden Kennungen übereinstimmen, bestimmt die Verarbeitungseinheit 311, ob der in dem Zähler 314 gespeicherte numerische Wert eine vorbestimmte Zahl überschreitet oder nicht. Wenn der numerische Wert des Zählers 314 die vorbestimmte Zahl nicht überschreitet, wird durch die Verarbeitungseinheit 21 eine Bestimmung dessen durchgeführt, ob die Nachricht eine autorisierte Nachricht ist oder nicht, und durch die Verwerfungs-Verarbeitungseinheit 22 wird die Verarbeitung des Verwerfens einer unautorisierten Nachricht, wie oben beschrieben, durchgeführt.
  • Wenn der numerische Wert des Zählers 314 die vorbestimmte Zahl überschreitet, gibt die Benachrichtigungs-Verarbeitungseinheit 23 ungeachtet dessen, ob die Nachricht autorisiert ist oder nicht, ein ACK für das Senden der Nachricht an die Kommunikationsleitung 2 mithilfe der Kommunikationseinheit 12 aus, um die Herkunfts-ECU, die die Nachricht gesendet hat, darüber zu benachrichtigen, dass der Empfang abgeschlossen ist. Wenn durch die Benachrichtigungs-Verarbeitungseinheit 23 ein ACK ausgegeben wird, führt die Löschungs-Verarbeitungseinheit 24 eine Verarbeitung zum Löschen der in der Speichereinheit 13 als Verwerfungskennung gespeicherten Kennung aus der Speichereinheit 13 durch. Ebenso führt hier die Initialisierungs-Verarbeitungseinheit 325 eine Verarbeitung zur Initialisierung des Zählers 314 durch.
  • Die in dem Bordkommunikationssystem gemäß Ausführungsform 2 enthaltenen ECUs 330 sind jeweils so ausgebildet, dass sie aufweisen: eine Verarbeitungseinheit 331, eine Kommunikationseinheit 32, eine Speichereinheit 33, einen Zähler 334 und dergleichen. Die Verarbeitungseinheit 331 ist durch eine arithmetische Verarbeitungseinheit wie etwa eine CPU oder eine MPU gebildet und führt verschiedene Arten der Verarbeitung im Zusammenhang mit der Steuerung des Fahrzeugs 1 durch. In der Verarbeitungseinheit 331 einer jeden der ECUs 330 aus Ausführungsform 2 ist die Verbots-Verarbeitungseinheit 41 als Funktionsblock mithilfe von Software infolge der Ausführung eines Programms im Zusammenhang mit der Kommunikationsverarbeitung realisiert, das in einem ROM oder dergleichen gespeichert ist. Der Zähler 334 ist eine Schaltung zum Speichern eines numerischen Wertes und ist dazu ausgebildet, den gespeicherten numerischen Wert entsprechend einer durch die Verarbeitungseinheit 331 erteilten Additionsanweisung hochzuzählen und den gespeicherten numerischen Wert entsprechend einer Initialisierungsanweisung auf 0 zu initialisieren.
  • Wenn eine auf der Kommunikationsleitung 2 gesendete Nachricht entsprechend einem aus der Überwachungsvorrichtung 310 ausgegebenen Fehlerrahmen verworfen wird, speichert die Verarbeitungseinheit 331 einer jeden der ECUs 330 gemäß Ausführungsform 2 die zu dieser Nachricht hinzugefügte Kennung in der Speichereinheit 33. Die Verbots-Verarbeitungseinheit 41 verbietet die Verarbeitung auf Basis einer Nachricht, zu der dieselbe Kennung wie die in der Speichereinheit 33 gespeicherte Verwerfungskennung hinzugefügt ist. Wenn eine Nachricht an die Kommunikationsleitung 2 gesendet wird, bestimmt dann die Verarbeitungseinheit 331, ob die Kennung dieser Nachricht mit der in der Speichereinheit 33 gespeicherten Verwerfungskennung übereinstimmt oder nicht. Wenn die beiden Kennungen nicht übereinstimmen, bestimmt die Verarbeitungseinheit 331, dass die unautorisierte Nachricht nicht erneut gesendet wird, initialisiert den Zähler 334 und löscht die in der Speichereinheit 33 gespeicherte Verwerfungskennung. Wenn die beiden Kennungen übereinstimmen, bestimmt die Verarbeitungseinheit 331, ob der in dem Zähler 334 gespeicherte numerische Wert eine vorbestimmte Zahl überschreitet oder nicht. Es wird angemerkt, dass die vorbestimmte Zahl, mit der die ECU 330 die Zahl des Zählers 334 vergleicht, derselbe Wert wie die vorbestimmte Zahl ist, mit der die Überwachungsvorrichtung 310 die Zahl des Zählers 314 vergleicht. Wenn der numerische Wert des Zählers 334 die vorbestimmte Zahl nicht überschreitet, führt die Verarbeitungseinheit 331 normale Verarbeitung zum Empfang einer Nachricht durch (es wird jedoch angemerkt, dass diese Nachricht durch die Überwachungsvorrichtung 310 verworfen werden kann).
  • Wenn der numerische Wert des Zählers 334 die vorbestimmte Zahl überschreitet, gibt die Verarbeitungseinheit 331 ein ACK für das Senden dieser Nachricht an die Kommunikationsleitung 2 mithilfe der Kommunikationseinheit 32 aus, um die Herkunfts-ECU, die die Nachricht gesendet hat, darüber zu informieren, dass der Empfang abgeschlossen ist. Zu diesem Zeitpunkt erfolgt durch die Verarbeitungseinheit 331 eine Verarbeitung der Löschung der Kennung, die als Verwerfungskennung in der Speichereinheit 33 gespeichert ist, und der Initialisierung des Zählers 334.
  • 8 ist ein Flussdiagramm, das eine Prozedur zur Überwachungsverarbeitung illustriert, die durch die Überwachungsvorrichtung 310 gemäß Ausführungsform 2 durchgeführt wird. Die Verarbeitungseinheit 311 der Überwachungsvorrichtung 310 gemäß Ausführungsform 2 bestimmt, ob durch eine ECU 330 eine Nachricht an die Kommunikationsleitung 2 gesendet wurde oder nicht (Schritt S51). Wenn keine Nachricht gesendet wurde (Nein in Schritt S51), wartet die Verarbeitungseinheit 311, bis durch eine ECU 330 eine Nachricht gesendet wird. Wenn durch eine ECU 330 eine Nachricht gesendet wurde (Ja in Schritt S51), erfasst die Verarbeitungseinheit 311 die Kennung der Nachricht auf der Stufe, auf der die Kennung der Nachricht an die Kommunikationsleitung 2 ausgegeben wird (Schritt S52). Die Verarbeitungseinheit 311 erfasst auch die in der Speichereinheit 13 als Verwerfungskennung gespeicherte Kennung (Schritt S53). Es sei hier angemerkt, dass die Verarbeitungseinheit 11 keine Kennung zu erfassen braucht, wenn in der Speichereinheit 13 keine Verwerfungskennung gespeichert ist.
  • Die Verarbeitungseinheit 311 bestimmt, ob die in Schritt S52 erfasste Kennung und die in Schritt S53 erfasste Kennung übereinstimmen oder nicht (Schritt S54). Es wird angemerkt, dass, wenn in Schritt S53 keine Verwerfungskennung erfasst werden konnte, die Verarbeitungseinheit 311 in Schritt S54 nur zu bestimmen braucht, dass die Kennungen nicht übereinstimmen. Wenn die beiden Kennungen nicht übereinstimmen (Nein in Schritt S54), initialisiert die Initialisierungs-Verarbeitungseinheit 325 der Verarbeitungseinheit 311 den Zähler 314 (Schritt S55). Außerdem löscht die Löschungs-Verarbeitungseinheit 24 der Verarbeitungseinheit 311 die als Verwerfungskennung in der Speichereinheit 33 gespeicherte Kennung (Schritt S56) und setzt die Prozedur bei Schritt S58 fort.
  • Wenn die beiden Kennungen übereinstimmen (Ja in Schritt S54), bestimmt die Verarbeitungseinheit 311, ob der in dem Zähler 314 gespeicherte numerische Wert eine vorbestimmte Zahl überschreitet oder nicht (Schritt S57). Wenn der in dem Zähler 314 gespeicherte numerische Wert die vorbestimmte Zahl nicht überschreitet (Nein in Schritt S57), oder nachdem die Kennung in Schritt S56 aus der Speichereinheit 33 gelöscht wurde, erfasst die Bestimmungs-Verarbeitungseinheit 21 der Verarbeitungseinheit 311 in der Nachricht enthaltene Authentifizierungsinformationen auf der Stufe, auf der die Authentifizierungsinformationen an die Kommunikationsleitung 2 ausgegeben werden, und führt eine Bestimmung dessen durch, ob die erfassten Authentifizierungsinformationen autorisiert sind oder nicht (Schritt S58), wobei bestimmt wird, ob die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, eine autorisierte Nachricht ist oder nicht (Schritt S59).
  • Wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, keine autorisierte Nachricht ist (Nein in Schritt S59), gibt die Verwerfungs-Verarbeitungseinheit 22 der Verarbeitungseinheit 311 einen Fehlerrahmen an die Kommunikationsleitung 2 aus, bevor das Senden der Nachricht abgeschlossen ist (Schritt S60), um zu bewirken, dass die ECUs 330 die Nachricht verwerfen. Die Verarbeitungseinheit 311 speichert die Kennung der Nachricht als Verwerfungskennung in der Speichereinheit 13 (Schritt S61). Außerdem inkrementiert die Verarbeitungseinheit 311 den Wert des Zählers 314 um 1 (Schritt S62) und beendet die Prozedur.
  • Wenn der numerische Wert des Zählers 314 die vorbestimmte Zahl überschreitet (Ja in Schritt S57), oder wenn durch die Bestimmungs-Verarbeitungseinheit 21 bestimmt wird, dass die Nachricht, die an die Kommunikationsleitung 2 gesendet wird, eine autorisierte Nachricht ist (Ja in Schritt S59), gibt die Benachrichtigungs-Verarbeitungseinheit 23 der Verarbeitungseinheit 311 an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S63). Die Verarbeitungseinheit 311 löscht die in der Speichereinheit 13 als Verwerfungskennung gespeicherte Kennung (Schritt S64). Außerdem initialisiert die Verarbeitungseinheit 311 den Zähler 314 (Schritt S65) und beendet die Prozedur.
  • 9 und 10 sind Flussdiagramme, die eine Prozedur einer Empfangsverarbeitung illustrieren, die durch jede der ECUs 330 gemäß Ausführungsform 2 durchgeführt wird. Die Verarbeitungseinheit 331 einer ECU 330 gemäß Ausführungsform 2 bestimmt, ob durch eine andere ECU 330 eine Nachricht an die Kommunikationsleitung 2 gesendet wurde oder nicht (Schritt S71). Wenn keine Nachricht gesendet wurde (Nein in Schritt S71), wartet die Verarbeitungseinheit 331, bis durch eine andere ECU 330 eine Nachricht gesendet wird. Wenn durch eine andere ECU 330 eine Nachricht gesendet wurde (Ja in Schritt S71), erfasst die Verarbeitungseinheit 331 die Kennung der Nachricht auf der Stufe, auf der die Kennung der Nachricht an die Kommunikationsleitung 2 ausgegeben wird (Schritt S72). Die Verarbeitungseinheit 331 erfasst auch die Kennung, die als Verwerfungskennung in der Speichereinheit 33 gespeichert ist (Schritt S73). Es sei hier angemerkt, dass die Verarbeitungseinheit 331 keine Kennung zu erfassen braucht, wenn in der Speichereinheit 33 keine Verwerfungskennung gespeichert ist.
  • Die Verarbeitungseinheit 331 bestimmt, ob die in Schritt S72 erfasste Kennung und die in Schritt S73 erfasste Kennung übereinstimmen oder nicht (Schritt S74). Es wird angemerkt, dass, wenn in Schritt S73 keine Verwerfungskennung erfasst werden konnte, die Verarbeitungseinheit 331 in Schritt S74 nur zu bestimmen braucht, dass die Kennungen nicht übereinstimmen. Wenn die beiden Kennungen nicht übereinstimmen (Nein in Schritt S74), bestimmt die Verarbeitungseinheit 331, ob ein Fehlerrahmen empfangen wurde oder nicht, bevor das Senden der Nachricht abgeschlossen ist (Schritt S75). Wenn kein Fehlerrahmen empfangen wurde (Nein in Schritt S75), empfängt die Verarbeitungseinheit 331 die an die Kommunikationsleitung 2 ausgegebene Nachricht (Schritt S76). Die Verarbeitungseinheit 331 gibt an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S77). Die Verarbeitungseinheit 331 führt eine Verarbeitung auf Basis der empfangenen Nachricht durch (Schritt S78). Außerdem initialisiert die Verarbeitungseinheit 331 den Zähler 334 (Schritt S79), löscht die als Verwerfungskennung in der Speichereinheit 33 gespeicherte Kennung (Schritt S80) und beendet die Prozedur.
  • Wenn ein Fehlerrahmen empfangen wurde, bevor das Senden der Nachricht auf der Kommunikationsleitung 2 abgeschlossen ist (Ja in Schritt S75), unterbricht die Verarbeitungseinheit 331 die Verarbeitung zum Empfang dieser Nachricht und verwirft die Nachricht (Schritt S81). Außerdem speichert die Verarbeitungseinheit 331 die Kennung dieser Nachricht als Verwerfungskennung in der Speichereinheit 33 (Schritt S82), inkrementiert den Wert des Zählers 334 um 1 (Schritt S83) und beendet die Prozedur.
  • Wenn die in Schritt S72 erfasste Kennung und die in Schritt S73 erfasste Kennung übereinstimmen (Ja in Schritt S74), bestimmt außerdem die Verarbeitungseinheit 331, ob der in dem Zähler 334 gespeicherte numerische Wert eine vorbestimmte Zahl überschreitet oder nicht (Schritt S84). Wenn der numerische Wert des Zählers 334 die vorbestimmte Zahl nicht überschreitet (Nein in Schritt S84), setzt die Verarbeitungseinheit 331 die Verarbeitung bei Schritt S75 fort. Wenn der numerische Wert des Zählers 334 die vorbestimmte Zahl überschreitet (Ja in Schritt S84), verbietet die Verbots-Verarbeitungseinheit 41 der Verarbeitungseinheit 331 die Verarbeitung auf Basis der empfangenen Nachricht (Schritt S85). Die Verarbeitungseinheit 331 gibt an die Kommunikationsleitung 2 ein ACK als Benachrichtigung darüber aus, dass der Nachrichtenempfang abgeschlossen ist (Schritt S86). Sodann löscht die Verarbeitungseinheit 331 die als Verwerfungskennung in der Speichereinheit 33 gespeicherte Kennung (Schritt S87), initialisiert den Zähler 334 (Schritt S88) und beendet die Prozedur.
  • Das Bordkommunikationssystem gemäß Ausführungsform 2 mit der oben beschriebenen Ausbildung ist ein System, in dem mehrere ECUs 330 über eine gemeinsame Kommunikationsleitung 2 miteinander verbunden sind und das so ausgebildet ist, dass es mit der Überwachungsvorrichtung 310 versehen ist, die aufweist: die Bestimmungs-Verarbeitungseinheit 21, die bestimmt, ob eine Nachricht autorisiert ist oder nicht; die Verwerfungs-Verarbeitungseinheit 22, die eine autorisierte Nachricht verwirft, bevor das Senden der Nachricht abgeschlossen ist; den Zähler 314, der zählt, wie viele Male die Nachricht verworfen wird; und die Benachrichtigungs-Verarbeitungseinheit 23, die ein ACK-Signal ausgibt, wenn der in dem Zähler gespeicherte numerische Wert eine vorbestimmte Zahl überschreitet. Die Verwerfungs-Verarbeitungseinheit 22 verwirft eine Nachricht nicht, wenn der numerische Wert des Zählers 314 die vorbestimmte Zahl überschreitet. Außerdem weist jede der ECUs 330 den Zähler 334 auf, der zählt, wie viele Male eine Nachricht durch die Überwachungsvorrichtung 310 verworfen wird, und wenn der numerische Wert des Zählers 334 die vorbestimmte Zahl überschreitet, wird eine Verarbeitung auf Basis der empfangenen Nachricht verboten und deaktiviert.
  • Mit anderen Worten: In dem Bordkommunikationssystem gemäß Ausführungsform 2 wird eine unautorisierte Nachricht, wenn sie eine vorbestimmte Anzahl von Malen oder weniger oft gesendet wurde, durch die Verwerfungs-Verarbeitungseinheit 22 verworfen, und wie viele Male die Nachricht verworfen wird, wird durch den Zähler 314 und den Zähler 334 gezählt. Wenn beispielsweise eine unautorisierte ECU die unautorisierte Nachricht ungeachtet des Verwerfens durch die Verwerfungs-Verarbeitungseinheit 22 wiederholt erneut sendet und die Anzahl von Malen des Verwerfens eine vorbestimmte Zahl überschreitet, gibt die Benachrichtigungs-Verarbeitungseinheit 23 der Überwachungsvorrichtung 310 ein ACK-Signal aus, jedoch ist in jeder der ECUs 330 die Verarbeitung auf Basis dieser unautorisierten Nachricht verboten und somit deaktiviert. Infolge der Ausgabe ACK-Signals, das den Abschluss des Empfangs anzeigt, bestimmt die unautorisierte ECU, die die unautorisierte Nachricht gesendet hat, dass die unautorisierte Nachricht durch die ECUs 330 empfangen wurde, und somit wird die unautorisierte Nachricht nicht mehr erneut gesendet.
  • Außerdem ist die Überwachungsvorrichtung 310 mit der Speichereinheit 13 versehen, die die Kennung speichert, welche zu einer durch die Verwerfungs-Verarbeitungseinheit 22 verworfenen Nachricht hinzugefügt ist, und initialisiert den Zähler 314, wenn eine Nachricht mit einer anderen Kennung als der in der Speichereinheit 13 gespeicherten Kennung an die Kommunikationsleitung 2 gesendet wurde. Ebenso ist jede der ECUs 330 mit der Speichereinheit 33 versehen, die die Kennung speichert, welche zu einer Nachricht, die der Verwerfungsverarbeitung durch die Überwachungsvorrichtung 310 unterzogen wird, hinzugefügt ist, und initialisiert den Zähler 334, wenn eine Nachricht mit einer anderen Kennung als der in der Speichereinheit 33 gespeicherten Kennung gesendet wurde. Dies ermöglicht es den Zählern 314 und 334, die Anzahl von Malen nur dann zu zählen, wenn Nachrichten mit derselben Kennung nacheinander gesendet werden.
  • Außerdem werden die Zähler 314 und 334 initialisiert, wenn durch die Benachrichtigungs-Verarbeitungseinheit 23 der Überwachungsvorrichtung 310 ein ACK-Signal ausgegeben wird. Dementsprechend kann eine Situation verhindert werden, in der das Verbot einer Verarbeitung auf Basis einer autorisierten Nachricht in den ECUs 330 kontinuierlich verhindert wird.
  • Es wird angemerkt, dass Ausführungsform 2 eine Ausbildung hat, bei der die Überwachungsvorrichtung 310, die die jeweiligen Prozesse der Bestimmungs-Verarbeitungseinheit 21, der Verwerfungs-Verarbeitungseinheit 22, der Benachrichtigungs-Verarbeitungseinheit 23, der Löschungs-Verarbeitungseinheit 24 und der Initialisierungs-Verarbeitungseinheit 325 durchführt, getrennt von den ECUs 330 vorgesehen ist, jedoch die vorliegende Erfindung nicht hierauf beschränkt ist. Beispielsweise ist auch eine Ausbildung möglich, bei der ähnlich wie bei der in Abwandlung 1 der Ausführungsform 1 gezeigten Ausbildung die Prozesse der Bestimmungs-Verarbeitungseinheit 21, der Verwerfungs-Verarbeitungseinheit 22, der Benachrichtigungs-Verarbeitungseinheit 23, der Löschungs-Verarbeitungseinheit 24 und der Initialisierungs-Verarbeitungseinheit 325 durch jede der ECUs 330 durchgeführt werden.
  • Darüber hinaus sind weitere Ausbildungen des Bordkommunikationssystems gemäß Ausführungsform 2 dieselben wie diejenigen des Bordkommunikationssystems gemäß Ausführungsform 1, und somit sind dieselben Bauteile mit denselben Bezugsziffern versehen, und auf eine ausführliche Beschreibung derselben wird verzichtet.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    2, 3
    Kommunikationsleitung
    10
    Überwachungsvorrichtung
    11
    Verarbeitungseinheit
    12, 12a, 12b
    Kommunikationseinheit
    13
    Speichereinheit
    21
    Bestimmungs-Verarbeitungseinheit (Bestimmungseinheit)
    22
    Verwerfungs-Verarbeitungseinheit (Verwerfungseinheit)
    23
    Benachrichtigungs-Verarbeitungseinheit (Empfangsabschluss-Benach-richtigungseinheit)
    24
    Löschungs-Verarbeitungseinheit (Speicherlöscheinheit)
    30
    ECU (Kommunikationsvorrichtung)
    31
    Verarbeitungseinheit
    32
    Kommunikationseinheit
    33
    Speichereinheit
    41
    Verbots-Verarbeitungseinheit (Verbotseinheit)
    130
    ECU (Kommunikationsvorrichtung)
    131
    Verarbeitungseinheit
    210
    Gateway
    211
    Verarbeitungseinheit
    310
    Überwachungsvorrichtung
    311
    Verarbeitungseinheit
    314
    Zähler
    325
    Initiahsierungs-Verarbeitungseinheit (Initialisierungseinheit)
    330
    ECU (Kommunikationsvorrichtung)
    331
    Verarbeitungseinheit
    334
    Zähler
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2013098719 A [0005]
  • Zitierte Nicht-Patentliteratur
    • Masato Hata, Masato Tanabe, Katsunari Yoshioka, Kazuomi Oishi und Tsutomu Matsumoto, „How to Stop Unauthorized Transmission in Controller Area Network” Computer Security Symposium, Oktober 2011 [0006]

Claims (10)

  1. Bordkommunikationssystem, in dem mehrere in einem Fahrzeug eingebaute Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, umfassend: eine Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine auf der Kommunikationsleitung gesendete Nachricht eine autorisierte Nachricht ist oder nicht; eine Verwerfungseinheit, die dazu ausgebildet ist, eine Verarbeitung zum Verwerfen jeder Nachricht, die durch die Bestimmungseinheit als keine autorisierte Nachricht bestimmt ist, durchzuführen, bevor das Senden der Nachricht abgeschlossen ist; eine Speichereinheit, die dazu ausgebildet ist, Kennungsinformationen jeder Nachricht, die durch die Verwerfungseinheit verworfen wurde, zu speichern; und eine Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, wenn eine Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten empfangen wird, ungeachtet eines Bestimmungsergebnisses der Bestimmungseinheit an die Kommunikationsleitung ein Signal auszugeben, das anzeigt, dass der Empfang der Nachricht abgeschlossen ist, wobei die Kommunikationsvorrichtungen jeweils eine Verbotseinheit aufweisen, die dazu ausgebildet ist, eine Verarbeitung auf Basis jeder Nachricht mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten zu verbieten, und die Verwerfungseinheit Nachrichten mit denselben Kennungsinformationen wie den in der Speichereinheit gespeicherten nicht verwirft.
  2. Bordkommunikationssystem gemäß Anspruch 1, das ferner umfasst: eine Speicherlöscheinheit, die dazu ausgebildet ist, die in der Speichereinheit gespeicherten Kennungsinformationen zu löschen, wenn das Signal durch die Empfangsabschluss-Benachrichtigungseinheit ausgegeben wird.
  3. Bordkommunikationssystem gemäß Anspruch 1 oder 2, das ferner umfasst: eine Überwachungsvorrichtung, die mit der Kommunikationsleitung verbunden ist und dazu ausgebildet ist, eine auf der Kommunikationsleitung gesendete Nachricht zu überwachen, wobei die Überwachungsvorrichtung die Bestimmungseinheit, die Verwerfungseinheit und die Speichereinheit aufweist, wobei die Kommunikationsvorrichtungen jeweils die Speichereinheit aufweisen und die Überwachungsvorrichtung und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweisen.
  4. Bordkommunikationssystem gemäß Anspruch 1 oder 2, wobei die Kommunikationsvorrichtungen jeweils die Bestimmungseinheit, die Verwerfungseinheit und die Speichereinheit aufweisen und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweist.
  5. Bordkommunikationssystem, in dem mehrere in einem Fahrzeug eingebaute Kommunikationsvorrichtungen über eine gemeinsame Kommunikationsleitung miteinander verbunden sind, umfassend: eine Bestimmungseinheit, die zur Bestimmung dessen ausgebildet ist, ob eine auf der Kommunikationsleitung gesendete Nachricht eine autorisierte Nachricht ist oder nicht; eine Verwerfungseinheit, die dazu ausgebildet ist, eine Verarbeitung zum Verwerfen jeder Nachricht durchzuführen, die durch die Bestimmungseinheit als keine autorisierte Nachricht bestimmt ist, bevor das Senden der Nachricht abgeschlossen ist; einen Zähler, der dazu ausgebildet ist, zu zählen, wie viele Male die Nachricht durch die Verwerfungseinheit verworfen wird; und eine Empfangsabschluss-Benachrichtigungseinheit, die dazu ausgebildet ist, wenn die durch den Zähler gezählte Anzahl von Malen eine vorbestimmte Anzahl von Malen überschreitet, ungeachtet eines Bestimmungsergebnisses der Bestimmungseinheit an die Kommunikationsleitung ein Signal auszugeben, das anzeigt, dass der Empfang der Nachricht abgeschlossen ist, wobei die Kommunikationsvorrichtungen jeweils eine Verbotseinheit aufweisen, die dazu ausgebildet ist, eine Verarbeitung auf Basis jeder empfangenen Nachricht zu verbieten, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet, und die Verwerfungseinheit die Nachricht nicht verwirft, wenn die durch den Zähler gezählte Anzahl von Malen die vorbestimmte Anzahl von Malen überschreitet.
  6. Bordkommunikationssystem gemäß Anspruch 5, das ferner umfasst: eine Speichereinheit, die dazu ausgebildet ist, wenn eine Nachricht durch die Verwerfungseinheit verworfen wird, Kennungsinformationen der verworfenen Nachricht zu speichern; und eine Initialisierungseinheit, die dazu ausgebildet ist, den Zähler zu initialisieren, wenn eine Nachricht mit anderen Kennungsinformationen als den in der Speichereinheit gespeicherten Kennungsinformationen an die Kommunikationsleitung gesendet wird.
  7. Bordkommunikationssystem gemäß Anspruch 5 oder 6, das ferner umfasst: eine Initialisierungseinheit, die dazu ausgebildet ist, den Zähler zu initialisieren, wenn das Signal durch die Empfangsabschluss-Benachrichtigungseinheit ausgegeben wird.
  8. Bordkommunikationssystem gemäß einem der Ansprüche 5 bis 7, das ferner umfasst: eine Überwachungsvorrichtung, die mit der Kommunikationsleitung verbunden ist und dazu ausgebildet ist, eine auf der Kommunikationsleitung gesendete Nachricht zu überwachen, wobei die Überwachungsvorrichtung die Bestimmungseinheit, die Verwerfungseinheit und den Zähler aufweist, wobei die Kommunikationsvorrichtungen jeweils den Zähler aufweisen und die Überwachungsvorrichtung und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweisen.
  9. Bordkommunikationssystem gemäß einem der Ansprüche 5 bis 7, wobei die Kommunikationsvorrichtungen jeweils die Bestimmungseinheit, die Verwerfungseinheit und den Zähler aufweisen und mindestens eine der mehreren Kommunikationsvorrichtungen die Empfangsabschluss-Benachrichtigungseinheit aufweist.
  10. Bordkommunikationssystem gemäß Anspruch 3 oder 8, wobei die Überwachungsvorrichtung eine Gateway-Vorrichtung ist, die mit mehreren Kommunikationsleitungen verbunden ist, und dazu ausgebildet ist, eine Nachricht zwischen den Kommunikationsleitungen zu übermitteln.
DE112016004438.0T 2015-09-29 2016-09-23 Bordkommunikationssystem Pending DE112016004438T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015192146A JP6481579B2 (ja) 2015-09-29 2015-09-29 車載通信システム及び監視装置
JP2015-192146 2015-09-29
PCT/JP2016/077959 WO2017057165A1 (ja) 2015-09-29 2016-09-23 車載通信システム

Publications (1)

Publication Number Publication Date
DE112016004438T5 true DE112016004438T5 (de) 2018-06-21

Family

ID=58423787

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016004438.0T Pending DE112016004438T5 (de) 2015-09-29 2016-09-23 Bordkommunikationssystem

Country Status (5)

Country Link
US (1) US10554623B2 (de)
JP (1) JP6481579B2 (de)
CN (1) CN108028855B (de)
DE (1) DE112016004438T5 (de)
WO (1) WO2017057165A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6561811B2 (ja) * 2015-12-09 2019-08-21 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
WO2018142504A1 (ja) * 2017-02-01 2018-08-09 富士通株式会社 暗号鍵配信システム、鍵配信ecu、鍵受信ecu、鍵配信プログラム、鍵受信プログラム及び暗号鍵配信方法
JP6956624B2 (ja) 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP6620133B2 (ja) * 2017-09-28 2019-12-11 株式会社Subaru 車両用通信制御装置及び車両用通信制御システム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
CN113467409A (zh) * 2020-03-31 2021-10-01 北京新能源汽车股份有限公司 一种车辆的电子控制单元的故障诊断方法及装置
JP2022091585A (ja) * 2020-12-09 2022-06-21 トヨタ自動車株式会社 車両通信用中継装置、車両通信用中継方法及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013098719A (ja) 2011-10-31 2013-05-20 Toyota Infotechnology Center Co Ltd 通信システムにおけるメッセージ認証方法および通信システム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3993063B2 (ja) * 2001-10-15 2007-10-17 三菱電機株式会社 暗号通信装置
JP4865549B2 (ja) * 2003-07-11 2012-02-01 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 送信機から受信機へのデータ・パケットの送信
JP2007174287A (ja) * 2005-12-22 2007-07-05 Nec Corp 無線パケット通信システム、無線パケット基地局、無線パケット端末及び不正通信の排除方法
US7783300B2 (en) * 2006-11-22 2010-08-24 Airdefense, Inc. Systems and methods for proactively enforcing a wireless free zone
CN101795170B (zh) * 2009-02-02 2013-11-06 中兴通讯股份有限公司 一种实现数据反馈的方法、接收设备及系统
US8239932B2 (en) * 2009-08-12 2012-08-07 At&T Mobility Ii, Llc. Signal transfer point front end processor
CN103959718B (zh) * 2011-12-02 2017-04-26 株式会社自动网络技术研究所 发送消息生成装置以及车载通信系统
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013098719A (ja) 2011-10-31 2013-05-20 Toyota Infotechnology Center Co Ltd 通信システムにおけるメッセージ認証方法および通信システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Masato Hata, Masato Tanabe, Katsunari Yoshioka, Kazuomi Oishi und Tsutomu Matsumoto, „How to Stop Unauthorized Transmission in Controller Area Network" Computer Security Symposium, Oktober 2011

Also Published As

Publication number Publication date
CN108028855B (zh) 2020-10-13
JP2017069719A (ja) 2017-04-06
US20180288000A1 (en) 2018-10-04
CN108028855A (zh) 2018-05-11
JP6481579B2 (ja) 2019-03-13
WO2017057165A1 (ja) 2017-04-06
US10554623B2 (en) 2020-02-04

Similar Documents

Publication Publication Date Title
DE112016004438T5 (de) Bordkommunikationssystem
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
DE112016003907T5 (de) Weiterleitungsvorrichtung
DE112016002721T5 (de) Fahrzeuggebundene weiterleitungsvorrichtung, fahrzeuggebundenes kommunikationssystem und weiterleitungsprogramm
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE112016003908T5 (de) Kommunikationsvorrichtung
DE102016212752A1 (de) Kommunikations-relaisvorrichtung, kommunikationsnetzwerk; kommunikationsrelais-programm und kommunikationsrelais-verfahren
DE112015003282T5 (de) Kommunikationssystem, Kommunikationssteuervorrichtung und Verfahren zum Verhindern einer Übertragung von missbräuchlichen Informationen
DE102018115266A1 (de) Malware-detektionssystem zur angriffsverhinderung
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
DE102016209767A1 (de) Weiterleitungsvorrichtung
DE112007002147T5 (de) Fahrzeuginternes LAN-System, elektronische Steuereinheit, Vermittlungsverbindungseinheit und Fahrzeuginterne LAN-Kommunikationseinrichtung
DE112021005629T5 (de) Anomalieerfassungsvorrichtung, anomalieerfassungsverfahren und programm
DE112019006487B4 (de) Elektronische Steuereinheit, elektronisches Steuersystem und Programm
DE102015200279A1 (de) Einwegübertragungseinrichtung, Vorrichtung undVerfahren zum rückwirkungsfreien Erfassen von Daten
DE102016219348A1 (de) Authentifizierungsvorrichtung für ein Fahrzeug
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE112020005980T5 (de) Ermittlungsvorrichtung, Ermittlungsprogramm und Ermittlungsverfahren
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung
DE112018007947T5 (de) Empfangsvorrichtung
DE112018001624T5 (de) Datenanalysevorrichtung, -verfahren und -programm
DE112021005689T5 (de) Verwaltungsvorrichtung, Verwaltungsverfahren und Programm
DE102020114547B4 (de) Vorrichtung und verfahren zum abwickeln eines eingehenden kommunikations-datenrahmens

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029080000

Ipc: H04L0012260000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000