JP2016134913A - 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム - Google Patents

不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム Download PDF

Info

Publication number
JP2016134913A
JP2016134913A JP2015209331A JP2015209331A JP2016134913A JP 2016134913 A JP2016134913 A JP 2016134913A JP 2015209331 A JP2015209331 A JP 2015209331A JP 2015209331 A JP2015209331 A JP 2015209331A JP 2016134913 A JP2016134913 A JP 2016134913A
Authority
JP
Japan
Prior art keywords
frame
vehicle
bus
illegal
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015209331A
Other languages
English (en)
Other versions
JP6594732B2 (ja
Inventor
剛 岸川
Takeshi Kishikawa
剛 岸川
松島 秀樹
Hideki Matsushima
秀樹 松島
芳賀 智之
Tomoyuki Haga
智之 芳賀
良浩 氏家
Yoshihiro Ujiie
良浩 氏家
勇二 海上
Yuji Kaijo
勇二 海上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to PCT/JP2015/005669 priority Critical patent/WO2016116973A1/ja
Priority to CN201580002671.4A priority patent/CN106031098B/zh
Priority to EP15877368.9A priority patent/EP3249855B1/en
Priority to US15/209,882 priority patent/US10277598B2/en
Publication of JP2016134913A publication Critical patent/JP2016134913A/ja
Application granted granted Critical
Publication of JP6594732B2 publication Critical patent/JP6594732B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

【課題】車載ネットワークシステムにおいて不正なデータフレームを検出した場合に適切な対処を可能とする不正フレーム対処方法を提供する。
【解決手段】車載ネットワークシステムにおける複数の電子制御ユニット(ECU)がフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知ECU100は、所定ルールに適合しない不正フレームを検知した場合(ステップS1003でN)において、所定阻止条件が満たされるときには(ステップS1006でY)、当該不正フレームに従った処理をECUが実行することを阻止する阻止処理(エラーフレーム送信)を実行し(ステップS1007)、所定阻止条件が満たされないときには阻止処理を実行しない不正フレーム対処方法を用いる。
【選択図】図12

Description

本発明は、電子制御ユニットが通信を行う車載ネットワークにおいて、送信された不正なフレームを検知して対処する技術に関する。
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898−1で規定されているCAN(Controller Area Network)という規格が存在する。
CANでは、通信路は2本のバスで構成され、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
またCANでは送信先や送信元を指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し(つまりバスに信号を送出し)、各受信ノードは予め定められたメッセージIDのみを受信する(つまりバスから信号を読み取る)。また、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはメッセージIDによる調停が行われ、メッセージIDの値が小さいフレームが優先的に送信される。
車載ネットワークでは、攻撃者がバスにアクセスし、不正フレーム(不正データフレーム)を送信することで、ECUを不正制御するといった脅威が存在し、セキュリティ対策が検討されている。
例えば非特許文献1は、同一ネットワーク上に存在する複数のノードは同一のIDをもつデータフレームを送信しないという前提条件のもとで、自ノードが送信することになっているIDのデータフレームが送信されていることを検出したときに、エラーフレームを利用して、不正なデータフレームの送信を阻止する技術を示す。
T.Matsumoto、 外4名、「A Method of Preventing Unauthorized Data Transmission in controller area network - Yokohama National University:Vehicular Technology Conference」、2012
非特許文献1の技術のように、一定条件により不正なデータフレームを検出し、その条件に該当する不正なデータフレームを検出する度にエラーフレームを送出すると、このエラーフレームによる車載ネットワークへの影響が、問題を招き得る。エラーフレームの多発は、例えば正規のデータフレームの送信を妨害し、例えば車載ネットワークを搭載する車両の制御に悪影響を与え得る。
そこで、本発明は、車載ネットワークシステムにおいて不正なデータフレーム(ルールに適合しないフレーム)を検出した場合に適切な対処を可能とする不正フレーム対処方法を提供する。また、本発明は、その不正フレームに適切に対処可能な車載ネットワークシステム、及び、その車載ネットワークシステムにおける不正検知電子制御ユニット(不正検知ECU)を提供する。
上記課題を解決するために本発明の一態様に係る不正フレーム対処方法は、車載ネットワークシステムにおける複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットに用いられる不正フレーム対処方法であって、所定ルールに適合しない不正フレームを検知した場合において、所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、前記所定阻止条件が満たされないときには、前記阻止処理を実行しない不正フレーム対処方法である。
また、上記課題を解決するために本発明の一態様に係る不正検知電子制御ユニットは、複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットであって、前記検査により所定ルールに適合しない不正フレームを検知する不正検知部と、所定阻止条件が満たされるか否かを判別することにより、前記不正検知部により検知された不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行するか否かを判断する阻止判断部とを備える不正検知電子制御ユニットである。
また、上記課題を解決するために本発明の一態様に係る車載ネットワークシステムは、バスを介してフレームの授受を行う複数の電子制御ユニットと、前記バスに接続されて当該バス上に現れるフレームを検査する不正検知電子制御ユニットとを備える車載ネットワークシステムであって、前記不正検知電子制御ユニットが、所定ルールに適合しない不正フレームを検知した場合において、所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、前記所定阻止条件が満たされないときには、前記阻止処理を実行しない車載ネットワークシステムである。
本発明によれば、車載ネットワークにおいて送信された不正なフレームが検知された場合に適切な対処が可能となる。
実施の形態1に係る車載ネットワークシステムの全体構成を示す図である。 CANプロトコルで規定されるデータフレームのフォーマットを示す図である。 CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。 実施の形態1に係る不正検知ECUの構成図である。 実施の形態1に係る不正検知ECUが保持する不正検知ルールの一例を示す図である。 実施の形態1に係る不正検知ECUが保持するフレーム受信履歴(前回受信時刻)の一例を示す図である。 実施の形態1に係る不正検知ECUが記録する車両制御履歴の一例を示す図である。 実施の形態1に係る不正検知ECUが用いる阻止判断ルールの一例を示す図である。 実施の形態1に係るECUの構成図である。 実施の形態1に係るECUの送信フレームの一例を示す図である。 実施の形態1に係る各ECUのデータフレーム送受信時の動作例を示す図である。 実施の形態1に係る不正検知ECUのデータフレーム受信処理を示すフローチャートである。 実施の形態2に係る車載ネットワークシステムの全体構成を示す図である。 実施の形態2に係る不正検知ECUの構成図である。 実施の形態2に係る不正検知ECUが保持する車両状態の一例を示す図である。 実施の形態2に係る不正検知ECUが用いる阻止判断ルールの一例を示す図である。 実施の形態2に係るECUの送信フレームの一例を示す図である。 実施の形態2に係る不正検知ECUのデータフレーム受信処理を示すフローチャートである。
本発明の一態様に係る不正フレーム対処方法は、車載ネットワークシステムにおける複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットに用いられる不正フレーム対処方法であって、所定ルールに適合しない不正フレームを検知した場合において、所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、前記所定阻止条件が満たされないときには、前記阻止処理を実行しない不正フレーム対処方法である。これにより、車載ネットワークにおいて送信された不正なフレームが検知された場合に適切な対処が可能となる。不正なフレームがバスに現れたときにECUが正規のフレームと同様に対応してしまうことを阻止した場合に車載ネットワークへ与える悪影響と阻止の必要性とに鑑みて悪影響を制限するように所定阻止条件を定め得る。このため、車両制御への影響度に応じて、不正なフレームを阻止するか否かの切り換えが可能となり、悪影響が抑制され得る。
また、前記阻止処理として、前記バス上に現れた前記不正フレームに係るビット値を変更することとしても良い。これにより、所定阻止条件が満たされた場合に不正なフレームに対してビット値の変更により、不正なフレームが完全な状態でECUに伝達されてしまうことを阻止し得る。
また、前記バス上で送信された1以上のフレームについて当該フレームの少なくとも一部の内容を履歴情報として記録し、前記所定阻止条件が満たされるか否かを、前記履歴情報を参照することにより、前記不正フレームの内容と当該不正フレームに先行して送信された1以上のフレームの内容とに基づいて判別することとしても良い。これにより、フレームによる制御等の履歴との関係から、車両制御への影響を考慮して不正なフレームの伝達の阻止を切り替えることが可能となり、この結果として車両の安全な走行の維持を可能にし得る。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行い、前記不正フレームの所定フィールドの内容が、当該不正フレームと同一のフレームIDを含むフレームのうち当該不正フレームに先行して最後に送信されたフレームの前記所定フィールドの内容と異なる場合に前記所定阻止条件が満たされると判別し、当該両内容が一致する場合に前記所定阻止条件が満たされないと判別することとしても良い。これにより、同じメッセージIDで先行して送信されたデータフレームとの関係から、データフレームの内容に変化がない場合において阻止処理による車載ネットワークへの影響を抑制し得る。
また、前記所定阻止条件は、前記不正検知電子制御ユニットを搭載する車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つに関する条件を含み、前記所定阻止条件が満たされるか否かを、前記不正フレームの内容と当該不正フレームに先行して送信された1以上のフレームの内容と、前記車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つについての検出結果とに基づいて判別することとしても良い。また、前記所定阻止条件は、前記不正検知電子制御ユニットを搭載する車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つに関する条件であり、前記不正検知電子制御ユニットが、前記車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つについての検出結果に基づいて前記所定阻止条件が満たされるか否かを判別することとしても良い。これらにより、車両の状態との関係において阻止処理による影響を考慮して所定阻止条件を定めることにより、適切に不正フレームへの対処を行うことが可能になる。
また、前記車載ネットワークシステムでは前記複数の電子制御ユニットの通信に複数のバスが用いられ、前記不正検知電子制御ユニットは前記複数のバスのうち一のバスに現れたフレームを他のバスに転送する機能を有し、前記一のバス上に現れた不正フレームを検知した場合において、前記所定阻止条件が満たされるときには当該不正フレームについては前記転送を抑止することで前記阻止処理を実行し、前記所定阻止条件が満たされないときには、前記転送を実行することとしても良い。これにより、所定阻止条件が満たされた場合に不正なフレームの転送を行わないことで、不正なフレームがECUに伝達されてしまうことを阻止し得る。
また、前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行うこととしても良い。これにより、CANに従った車載ネットワークシステムにおいて、車両制御への影響度に応じて、不正なフレームを阻止するか否かの切り換えが可能となり得る。
また、前記阻止処理として、前記バスにエラーフレームを送出することとしても良い。これにより、エラーフレームの送信による車載ネットワークへの影響に鑑みて所定阻止条件を定めることで、不正なフレームに対する適切な対処が可能となる。
また、本発明の一態様に係る不正検知電子制御ユニットは、複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットであって、前記検査により所定ルールに適合しない不正フレームを検知する不正検知部と、所定阻止条件が満たされるか否かを判別することにより、前記不正検知部により検知された不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行するか否かを判断する阻止判断部とを備える不正検知電子制御ユニットである。これにより、不正なフレームを検知した場合に適切な対処がなされるようになる。
また、本発明の一態様に係る車載ネットワークシステムは、バスを介してフレームの授受を行う複数の電子制御ユニットと、前記バスに接続されて当該バス上に現れるフレームを検査する不正検知電子制御ユニットとを備える車載ネットワークシステムであって、前記不正検知電子制御ユニットが、所定ルールに適合しない不正フレームを検知した場合において、所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、前記所定阻止条件が満たされないときには、前記阻止処理を実行しない車載ネットワークシステムである。これにより、車両制御への影響を考慮した不正フレームの伝達の阻止等が可能となる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
以下、実施の形態に係る不正フレーム対処方法を用いる車載ネットワークシステムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本発明の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
以下、本発明の実施の形態として、車両に搭載されて複数のECUがバスを介して通信する車載ネットワークシステム10において、バスに送出された不正なデータフレームを不正検知ECUが検知して対処する不正フレーム対処方法について、図面を用いて説明する。不正検知ECUは、車載ネットワークシステム10を構成するECU間での通信に用いられるバス上に現れるフレームについて、不正フレームか否かを検査するための所定ルール(不正検知ルール)に基づいて検査(つまりルールへの適合性の判定)を行う。不正検知ECUの検査の結果として不正なフレームと判定した場合(つまり不正なフレームを検知した場合)に、その不正なフレームに従った処理のECUによる実行を阻止(ここではこの実行の阻止を単に阻止とも呼ぶ。)するか否かを所定阻止条件が満たされるか否かにより判別して対処する。阻止するとは、阻止のための阻止処理を実行することである。ここでは、不正なフレームと判定したデータフレームに含まれるデータである車両制御情報に関して、予め車両の制御への影響の度合いに鑑みて定められた所定阻止条件を満たすか否かにより、不正なフレームを阻止するか否かを切り替える不正検知ECU100を含む車載ネットワークシステム10について説明する。不正なフレームの阻止は、車載ネットワークシステム10を構成する1台以上のECUがその不正なフレームを受信して正規のフレームと同様にその不正なフレームに従った処理(制御等)を実行してしまうことを阻止することである。不正なフレームの阻止は、例えば、不正なフレームを完全な状態でバスからECUが受信することを阻止すべくバス上で不正なフレームのビット値を変更すること(例えばエラーフレームの送信により不正なフレームを上書きすること)等といった、不正フレームの伝達の阻止により、実現できる。
[1.1 車載ネットワークシステム10の全体構成]
図1は、車載ネットワークシステム10の全体構成を示す図である。車載ネットワークシステム10は、CANプロトコルに従って通信するネットワーク通信システムの一例であり、制御装置、センサ等の各種機器が搭載された自動車におけるネットワーク通信システムである。車載ネットワークシステム10は、バス300と、不正検知ECU100及び各種機器に接続されたECU200a、200b等のECUといったバスに接続された各ノードとを含んで構成される。なお、図1では省略しているものの、車載ネットワークシステム10にはECU200a、200b以外にもいくつものECUが含まれ得る。車載ネットワークシステム10においてはCANプロトコルに従って各ECUがフレームの授受を行う。ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、ECUは各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。バス300には不正なメッセージを送信する不正なECUが接続されている可能性があり、不正検知ECU100は、不正検知ルールに基づいてルールに適合しない不正なフレームがバス上に現れるとその不正なフレームを検知する。
不正検知ECU100は、バス300に接続される一種のECUであり、自ECUが接続されたバス上に現れるフレームを監視して不正なフレームを検知した場合には、所定阻止条件が満たされるか否かを判別した結果に応じて例えばエラーフレームの送信等といった対処を行う機能を有する。
ECU200a、200bは、それぞれ、ウィンドウスイッチ210、ウィンドウ220に接続されている。ECU200aは、ウィンドウスイッチ210の状態を取得して、その状態に係る車両制御情報(ここではウィンドウ220を制御するための情報)をデータフレームに含めて、バス300に送信する。ECU200bは、ECU200aから送信された、データフレームに含まれるウィンドウスイッチ210の状態に係る車両制御情報に従い、ウィンドウ220の開閉を制御する。
[1.2 データフレームフォーマット]
以下、CANプロトコルに従ったネットワークで用いられるフレームの1つであるデータフレームについて説明する。
図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。
SOFは、1bitのドミナントで構成される。バスがアイドルの状態はレセシブになっており、SOFによりドミナントへ変更することでフレームの送信開始を通知する。
IDフィールドは、11bitで構成される、データの種類を示す値であるID(フレームID)を格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。フレームIDをメッセージIDとも称する。
RTRは、データフレームとリモートフレームとを識別するための値であり、データフレームにおいてはドミナント1bitで構成される。
IDEと「r」とは、両方ドミナント1bitで構成される。
DLCは、4bitで構成され、データフィールドの長さを示す値である。なお、IDE、r及びDLCを合わせてコントロールフィールドと称する。
データフィールドは、最大64bitで構成される送信するデータの内容を示す値である。8bit毎に長さを調整できる。送られるデータの仕様については、CANプロトコルで規定されておらず、車載ネットワークシステム10において定められる。従って、車種、製造者(製造メーカ)等に依存した仕様となる。
CRCシーケンスは、15bitで構成される。SOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出される。
CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。なお、CRCシーケンス及びCRCデリミタを合わせてCRCフィールドと称する。
ACKスロットは、1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットをドミナントとして送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、いずれかの受信ノードが受信に成功していることを確認できる。
ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
[1.3 エラーフレームフォーマット]
図3は、CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。エラーフレームは、エラーフラグ(プライマリ)と、エラーフラグ(セカンダリ)と、エラーデリミタとから構成される。
エラーフラグ(プライマリ)は、エラーの発生を他のノードに知らせるために使用される。エラーを検知したノードはエラーの発生を他のノードに知らせるために6bitのドミナントを連続で送信する。この送信は、CANプロトコルにおけるビットスタッフィングルール(連続して同じ値を6bit以上送信しない)に違反し、他のノードからのエラーフレーム(セカンダリ)の送信を引き起こす。
エラーフラグ(セカンダリ)は、エラーの発生を他のノードに知らせるために使用される連続した6ビットのドミナントで構成される。エラーフラグ(プライマリ)を受信してビットスタッフィングルール違反を検知した全てのノードがエラーフラグ(セカンダリ)を送信することになる。
エラーデリミタ「DEL」は、8bitの連続したレセシブであり、エラーフレームの終了を示す。
[1.4 不正検知ECU100の構成]
図4は、不正検知ECU100の構成図である。不正検知ECU100は、フレーム送受信部110と、フレーム処理部120と、不正検知部130と、阻止判断部140と、フレーム生成部150と、不正検知ルール保持部160と、フレーム受信時刻保持部170と、車両制御履歴保持部180と、阻止判断ルール保持部190とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU100における通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
フレーム送受信部110は、バス300に対して、CANのプロトコルに従ったデータフレームを送受信する。即ち、フレーム送受信部110は、バス300からフレームを1bitずつ受信し、受信中のデータフレームのID、DLC、データといった情報を不正検知部130に転送し、また、エラー無くデータフレームの受信を完了すると、データフレーム内のID、DLC、データといった情報をフレーム処理部120に転送する。また、フレーム送受信部110は、CANプロトコルに則っていないデータフレームと判断した場合は、エラーフレームを送信する。また、フレーム送受信部110は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する。また、フレーム送受信部110は、阻止判断部140の要求によりフレーム生成部150が生成したエラーフレームの通知を受けた場合にも、バス300へエラーフレームを送信する。通信調停といったCANのプロトコルに則った処理も、フレーム送受信部110によって、実現される。
フレーム処理部120は、フレーム送受信部110よりデータフレームの情報を受け取り、データフレームの内容を解釈する。ECU200aから送信されるデータフレーム内のウィンドウスイッチ210の状態を示す車両制御情報に応じて、車両制御履歴保持部180に格納されている車両制御履歴を更新する。
不正検知部130は、バスから受信したデータフレームが、不正なデータフレームか否かを、不正検知ルール保持部160が保持する所定ルール(不正検知ルール)に基づいて判定(検査)する。不正検知部130は、現在時刻を計測する機能を有する。不正検知部130は、不正検知ルール保持部160に格納されている不正検知ルールとしてのデータフレームのID(メッセージID)毎に定められた送信周期を参照し、受信したデータフレームの受信時刻と、フレーム受信時刻保持部170に格納しているID毎のデータフレームの前回の受信時刻とから求められる送信周期が、定められた送信周期よりも短い場合に受信したデータフレームを不正と判定する。通信調停等の影響で送信周期が長くなり得ることから、定められた送信周期より短くない場合にはデータフレームが不正でないと判定する。受信したデータフレームを不正と判定した場合(つまり不正なフレームを検知した場合)には、不正検知部130は、データフレームのデータフィールド内のデータ(車両制御情報)まで受信できたタイミングでそこまでのデータフレームの内容を阻止判断部140に通知する。また、不正検知部130は、受信したデータフレームが不正でない(正規のデータフレームである)と判定した場合には、フレーム受信時刻保持部170に、格納されている該当するIDのデータフレームの受信時刻を更新する。不正検知部130は1回目のデータフレームの受信の場合には送信周期を特定できないが正規のデータフレームであると判定して、フレーム受信時刻保持部170の該当するIDの受信時刻を更新する。
阻止判断部140は、不正検知部130により不正と判定されたデータフレームの通知を受けて、車両制御履歴保持部180に格納しているデータフレームに含まれる車両制御情報の履歴を参照し、予め車両の制御への影響の度合いに鑑みて定められた所定阻止条件を満たすか否かを判別することにより、不正なフレームを阻止するか否かを判別する。例えば阻止判断部140は、ECU200aが送信に用いるメッセージIDを含むデータフレームが不正検知部130により不正であるとして通知された場合に、阻止判断ルール保持部190が保持する阻止判断ルールが示す所定阻止条件を満たすか否かを判別する。所定阻止条件は、阻止処理を実行するか否かの判別に用いる条件である。例えば、不正と判定されたデータフレームに含まれる車両制御情報と、車両制御履歴保持部180に記録された履歴としての車両制御情報との関係が所定阻止条件を満たす場合には、データフレームの阻止のために(つまりデータフレームに対応する処理をECUが実行することを阻止するために)、フレーム生成部150に、エラーフレームの生成の要求を行う。エラーフレームが生成されるとフレーム送受信部110によりバスにエラーフレームが送出され、バス上において不正なデータフレームは、レセシブに優先するドミナントが複数連続して構成されるエラーフレームにより、上書きされることになる。また、所定阻止条件を満たさない場合には、阻止判断部140は、不正と判定されたデータフレームの阻止を行わず、このためエラーフレームは送信されないことになる。
フレーム生成部150は、阻止判断部140からのエラーフレームの生成の要求に従ってエラーフレームを生成し、フレーム送受信部110へエラーフレームを通知して送信させる。
不正検知ルール保持部160は、不正検知部130が参照する不正検知ルール(図5参照)を保持する。
フレーム受信時刻保持部170は、不正検知部130が参照するID毎のデータフレームの前回受信時刻を示すフレーム受信履歴(図6参照)を保持している。
車両制御履歴保持部180は、フレーム処理部120が解釈したデータフレームに含まれていた車両制御情報の履歴(図7参照)を記憶媒体等に記録して保持する。
阻止判断ルール保持部190は、阻止判断部140が、不正と判定されたデータフレームを阻止するか否かを判別するためのルールを保持する。
[1.5 不正検知ルールの例]
図5は、不正検知ルール保持部160が保持する不正検知ルールの一例を示す。同図の例では、不正検知ルールとして、データフレームのID(メッセージID)毎に正常な送信周期が定められている。この例では、IDが0x100であるデータフレームの正常な送信周期は20msであり、IDが0x200であるデータフレームの正常な周期は100msであることを示す。不正検知ECU100において、この正常な送信周期よりも短い周期となった場合に不正なデータフレームであると判定されることになる。なお、不正検知ルール保持部160では、不正検知ルールを暗号化して保持しても良い。
[1.6 フレーム受信履歴の例]
図6は、フレーム受信時刻保持部170が保持するフレーム受信履歴の一例を示す。フレーム受信履歴は、同図に示すように、データフレームのID(メッセージID)毎に、そのデータフレームの前回受信時刻を示す。図6の例では、IDが0x100であるデータフレームの前回受信時刻は200msecであり、IDが0x200であるデータフレームの前回受信時刻は210msecである。前回受信時刻は、例えば不正検知ECU100が、起動してからの時間を示している。前回受信時刻は、不正検知ECU100の起動時に0にセットすることとし、前回受信時刻が0であるIDのデータフレームは、1回目の受信であると判別する。不正検知ECU100の起動は、例えば、不正検知ECU100を搭載する車両においてイグニッション状態へ変化した時(例えばイグニッションキーがイグニッションキーシリンダに差し込まれた時)等に行われる。フレーム受信履歴における前回受信時刻は、データフレームの受信の都度更新される。
[1.7 車両制御履歴の例]
図7は、車両制御履歴保持部180が保持する車両制御履歴の一例を示す。同図の例では、車両制御履歴として、前回受信されたウィンドウスイッチ210に係るデータフレームのデータフィールド内の車両制御情報を示しており、ウィンドウスイッチ210に係る車両制御情報は、「閉じる」を示している。この例の車両制御履歴における車両制御情報は、前回受信したデータフレームのデータフィールドを記録したものであり、データフレームの受信の都度、そのデータフレームのデータフィールドに応じて更新される。
[1.8 阻止判断ルールの例]
図8は、阻止判断ルール保持部190が保持する、データフレームを阻止するか否かを判別するためのルール(所定阻止条件)の一例を示す。このルールは、車両制御への影響の度合いの大きさに鑑みて定められる。図8の例では、不正と判定されたデータフレームに含まれる車両制御情報と、そのデータフレームのメッセージIDと同じメッセージIDを含む前回受信されたデータフレームに係る車両制御履歴とから判別可能な所定阻止条件を定めている。この例では、ウィンドウスイッチ210に係る車両制御情報を含む、メッセージIDが0x100のデータフレームが不正と判定されたときに、そのデータフレームに含まれる車両制御情報が、車両制御履歴保持部180が保持する対応するIDの車両制御履歴としての車両制御情報から変化している場合(車両制御情報のデータ値が相違する場合)は、所定阻止条件が満たされることを表している。この所定阻止条件が満たされると、その不正なデータフレームの阻止(そのデータフレームをECUが受信して対応する処理を実行することの阻止)が行われることになる。
[1.9 ECU200aの構成]
図9は、ECU200aの構成図である。ECU200aはフレーム送受信部201と、フレーム処理部202と、外部機器入出力部203と、フレーム生成部204とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ECU200aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。なお、ECU200bも同様の構成を有する。
フレーム送受信部201は、バス300に対して、CANのプロトコルに従ったデータフレームを送受信する。バス300からデータフレームを1bitずつ受信し、エラー無くデータフレームの受信を完了すると、データフレーム内のID、DLC、データといった情報をフレーム処理部202に転送する。CANプロトコルに則っていないデータフレームと判断した場合は、エラーフレームを送信する。また、エラーフレームを受信した場合、受信中のデータフレーム対し、以降のデータフレームを破棄する。通信調停といったCANのプロトコルに則った処理も、フレーム送受信部201において実現される。
フレーム処理部202は、受信したデータフレームの内容を解釈する。例えばECU200bでは、ECU200aから送信されたデータフレームに含まれるウィンドウスイッチ210の状態に関する車両制御情報を解釈し、ウィンドウ220の制御を行うために、外部機器入出力部203に、ウィンドウ220を制御するための情報を通知する。
外部機器入出力部203は、ECU200a或いはECU200bに接続される外部機器と、通信を行う。例えば、ECU200aの場合は、ウィンドウスイッチ210と接続され、ウィンドウスイッチ210が押下(操作)されているか否かといった状態を取得してウィンドウ220を「閉じる」旨の操作がなされたか「開ける」旨の操作がなされたか、「操作無し」であるかを、フレーム生成部204に通知する。ECU200bの場合は、ウィンドウ220へ、フレーム処理部202から通知された値に基づいて制御情報を出力することで、ウィンドウ220の開閉を行う。
フレーム生成部204は、バス300へ送信するデータフレームを生成する。例えばECU200aでは、外部機器入出力部203から通知された、ウィンドウスイッチ210の状態に関する情報(車両制御情報)を含んだデータフレームを、予め定められた周期である20ms間隔で生成し、フレーム送受信部201に通知する。なお、データフレームが生成される間隔を20msとしたが、20ms以外の間隔でも良い。図10に、ECU200aが送信するデータフレームの例を示す。
[1.10 ECU200aが送信するデータフレームの例]
図10は、ウィンドウスイッチ210に接続されたECU200aが送信するデータフレームのIDとデータ(データフィールド内の車両制御情報)の一例を示す。メッセージIDが「0x100」のデータフレームのデータの値は、ウィンドウスイッチ210の状態を示している。ウィンドウスイッチ210の状態によって、0x00から0x02の範囲の値を取り、0x00はウィンドウスイッチ210の「操作無し」という状態を示しており、0x01はウィンドウ220を「閉じる」ための操作がウィンドウスイッチ210に対してなされたことを示している。0x02はウィンドウ220を「開ける」ための操作がウィンドウスイッチ210に対してなされたことを示している。データは1Byteで送信される。図10の上行から下行へと、ECU200aから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、「操作無し」から、「開ける」要求が送信され、その後に「閉じる」要求が送信される様子を示している。
[1.11 データフレーム送受信時の各ECUの動作例]
図11は、データフレーム送受信時における各ECUの動作例を示す図である。同図の例では、ECU200aが20ms毎にウィンドウスイッチ210の状態に従って、ウィンドウ220を制御するためのデータフレームを送信している。ECU200aが、まずウィンドウ220を「開ける」ためのデータフレームを送信し(ステップS1a)、その後は「閉じる」ためのデータフレームを送信している(ステップS2a〜S6a)。ECU200aによる2回目のデータフレーム送信時に(ステップS2a)、通信調停が発生し、2回目の送信までの送信周期が20msよりも長くなっている。このときECU200aのフレーム送受信部201において、通信調停処理が行われるが、フレーム生成部204は、定期的に、データフレーム送信要求をフレーム送受信部201に行うため、2回目と3回目のデータフレームの送信間隔が、設定された送信周期よりも短くなっている。そのためECU200aが3回目のデータフレームを送信した場合に(ステップS3a)、不正検知ECU100は、不正なデータフレームと判定(不正検知)するが、データフレームの内容が「閉じる」となっており、前回受信した値から変化しておらず、所定阻止条件(図8参照)が満たされないため、阻止を行わない(ステップS3c)。次に、ECU200aが4回目のデータフレームの送信を行う(ステップS4a)。これまで、ECU200aからのデータフレームを受信したECU200bでは、そのデータフレームに対応してウィンドウ220を制御している(ステップS1b、S2b、S3b、S4b)。またECU200aの4回目と5回目のデータフレーム送信(ステップS4a、S6a)の間に、ECU200a以外から、バス300にウィンドウ220を「開ける」データフレームが不正に送信される(ステップS5)。このデータフレームについて、不正検知ECU100は、不正なフレームであると判定(不正検知)し、データフレームの内容が「閉じる」から「開ける」に変化しており所定阻止条件が満たされるため、阻止(具体的にはエラーフレームの送信)を行う(ステップS5c)。これによりECU200bは不正なデータフレームを完全には受信せず、ウィンドウ220の不正制御を防ぐことができる。続くECU200aからの5回目のデータフレームの送信(ステップS6a)に対しては、ECU200bが受信し、データフレームの内容に従ってウィンドウ220の開閉を制御する(ステップS6b)。
[1.12 不正検知ECU100のデータフレーム受信処理]
図12は、不正検知ECU100のデータフレーム受信処理を示すフローチャートである。以下、同図に即して不正検知ECU100のデータフレーム受信時の動作について説明する。
不正検知ECU100は、バス300上にデータフレームが送出されると、バス300上に現れたデータフレームのID(メッセージID)を受信する(ステップS1001)。
不正検知ECU100は、不正検知ルール保持部160が保持する不正検知ルールと、フレーム受信時刻保持部170に格納しているフレーム受信履歴とを参照することで、受信中のデータフレームが、そのID(メッセージID)のデータフレームのうち初めて受信されたものであるかを判断する(ステップS1002)。初めて受信されたデータフレームでない場合には、受信時刻から特定される送信周期が正常な送信周期であるか否か(つまり不正検知ルールが示す送信周期よりも短くないか否か)を判定し(ステップS1003)、初めて受信されたデータフレームである場合は、ステップS1003での判定をスキップして、そのデータフレームの受信時刻を計時して、フレーム受信時刻保持部170のフレーム受信履歴を更新して(ステップS1004)、データフレーム受信処理を終了する。
ステップS1003での判定において、正常な送信周期であると判定された場合には、ステップS1004でのフレーム受信履歴の更新を行ってデータフレーム受信処理を終了し、正常な送信周期でないと判定された場合(つまり不正なフレームと判定された場合)には、不正検知ECU100は、受信中のデータフレームのデータフィールド(データ)を受信する(ステップS1005)。
ステップS1005に続いて、不正検知ECU100は、受信中のデータフレームのデータ(車両制御情報)と、車両制御履歴保持部180に格納している車両制御履歴としての、ウィンドウスイッチ210の状態に係る車両制御情報とから、阻止判断ルール保持部190が保持するルールに基づいて所定阻止条件が満たされるか否かを判別する(ステップS1006)。ウィンドウスイッチ210の状態を示す車両制御情報に変化がある場合には、不正検知ECU100は、所定阻止条件が満たされたとして、エラーフレームの送信を行うことで不正なデータフレームがECUにおいて正規のフレームと同様に処理されることを阻止する(ステップS1007)。一方、車両制御情報に変化がない場合には、ステップS1007をスキップしてエラーフレームの送信を行わずに、データフレーム受信処理を終了する。
[1.13 実施の形態1の効果]
実施の形態1に係る車載ネットワークシステム10では、不正検知ECU100が、不正検知部130によって、不正と判定した受信中のデータフレームに対して、阻止判断ルール保持部190が保持する阻止判断ルールで示される所定阻止条件に従って、そのデータフレームを阻止するか否かを決定する。所定阻止条件に係る阻止判断ルールは、車両制御への影響の度合いの大きさに鑑みて定められる。例えば、不正なフレームがバスに現れたときにECUが正規のフレームと同様に対応することを阻止した場合に車載ネットワークへ与える悪影響と阻止の必要性とに鑑みて、悪影響を制限するように、所定阻止条件について定めておくことができる。これにより、不正検知ルールへの適合性の判定の結果として不正と判定されたデータフレームを、車両制御への影響度に応じて、阻止するか否か(例えば不正なデータフレームに対応した処理を他のECUが実行しないようにエラーフレームを送信して上書きするか否か)の切り換えが可能となる。このため、エラーフレームの送信等により車載ネットワークへの悪影響を与えることを制限し得る。この結果として、車載ネットワークシステム10を搭載した車両は安全な走行を維持できるようになる。
(実施の形態2)
以下、実施の形態1で示した車載ネットワークシステム10を一部変形してなる車載ネットワークシステム11について説明する。
本実施の形態に係る車載ネットワークシステム11では、バスに送出された不正なデータフレームを不正検知ECUが検知した場合に、車載ネットワークシステム11を搭載する車両の状態に応じて対処を切り替える不正フレーム対処方法を用いる。
[2.1 車載ネットワークシステム11の全体構成]
図13は、車載ネットワークシステム11の全体構成を示す図である。車載ネットワークシステム11は、バス300と、不正検知ECU1100及び各種機器に接続されたECU1200a、1200b等のECUといったバスに接続された各ノードとを含んで構成される。車載ネットワークシステム11は、ここで特に説明しない点については車載ネットワークシステム10と同様である。
不正検知ECU1100は、バス300に接続される一種のECUであり、自ECUが接続されたバス上に現れるフレームを監視して不正なフレームを検知し得る。不正検知ECU1100は、車速センサ1110と接続され、現在の車両の状態を取得し、不正なフレームを検知した場合に、車両の状態に関連した所定阻止条件が満たされるか否かを判別した結果に応じて例えばエラーフレームの送信等といった対処を行う機能を有する。
ECU1200a、1200bは、それぞれ、ドアロックスイッチ1210、ドアロック1220に接続されている。ECU1200aは、ドアロックスイッチ1210の状態を取得して、その状態に係る車両制御情報(ここではドアロック1220を制御するための情報)をデータフレームに含めて、バス300に送信する。ECU1200bは、ECU1200aから送信された、データフレームに含まれるドアロックスイッチ1210の状態に係る車両制御情報に従い、ドアロック1220の開閉を制御する。
[2.2 不正検知ECU1100の構成]
図14は、不正検知ECU1100の構成図である。不正検知ECU1100は、フレーム送受信部110と、フレーム処理部1120と、不正検知部130と、阻止判断部1140と、フレーム生成部150と、不正検知ルール保持部160と、フレーム受信時刻保持部170と、車両状態保持部1180と、阻止判断ルール保持部1190と、車両状態判断部1111とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU1100における通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。なお実施の形態1で示した不正検知ECU100と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
フレーム処理部1120は、フレーム送受信部110よりデータフレームの情報を受け取り、データフレームの内容を解釈する。フレーム処理部1120は、データフレームの内容が車両の状態を示す場合においては、車両状態保持部1180に格納されている車両状態を更新しても良い。
阻止判断部1140は、不正検知部130により不正と判定されたデータフレームの通知を受けて、車両状態保持部1180に格納されている現在の車両状態を参照し、予め車両の制御への影響の度合いに鑑みて定められた所定阻止条件を満たすか否かにより、不正なフレームを阻止するか否かを判別する。例えば阻止判断部1140は、ECU200aが送信に用いるメッセージIDを含むデータフレームが不正検知部130により不正であるとして通知された場合に、阻止判断ルール保持部1190が保持する阻止判断ルールが示す所定阻止条件を満たすか否かを判別する。例えば、不正と判定されたデータフレームに含まれる車両制御情報と、現在の車両状態とから所定阻止条件が満たされる場合には、データフレームの阻止のために(つまりデータフレームに対応する処理をECUが実行することを阻止するために)、フレーム生成部150に、エラーフレームの生成の要求を行う。また、所定阻止条件を満たさない場合には、阻止判断部1140は、不正と判定されたデータフレームの阻止を行わず、このためエラーフレームは送信されないことになる。
車両状態判断部1111は、車速センサ1110で測定された値を取得して解釈し、現在の車両の状態が、「走行中」か「停車中」かを判断し、判断結果に応じて車両状態保持部1180に車両状態を格納する。
車両状態保持部1180は、車両状態判断部1111或いはフレーム処理部1120が格納した車両状態を保持する(図15参照)。
阻止判断ルール保持部1190は、阻止判断部1140が、不正と判定されたデータフレームを阻止するか否かを判別するためのルールを保持する(図16参照)。
[2.3 車両状態の例]
図15は、車両状態保持部1180に格納される車両状態の一例を示す。
同図の例は、車両状態として、車載ネットワークシステム11を搭載する車両の走行状態を示し、現在の車両の状態が「走行中」であることを表している。
[2.4 阻止判断ルールの例]
図16は、阻止判断ルール保持部1190が保持する、データフレームを阻止するか否かを判別するためのルール(所定阻止条件)の一例を示す。このルールは、車両制御への影響の度合いの大きさに鑑みて定められる。図16の例では、不正と判定されたデータフレームに含まれる車両制御情報と、車両状態保持部1180に格納される車両状態とから判別可能な所定阻止条件を定めている。この例では、ドアロック1220を制御するためのドアロックスイッチ1210の状態に係る車両制御情報を含むデータフレームが不正と判定されたときに、その車両制御情報が、ドアロック解錠を示す場合でありかつ車両状態が「走行中」である場合においては所定阻止条件が満たされることを表している。
[2.5 ECU1200a、ECU1200bの構成]
ECU1200aの構成は、ECU200aと同様である(図9参照)。また、ECU1200bも同様の構成である。
ECU1200aは、ドアロックスイッチ1210の状態を外部機器入出力部203で取得し、予め定められた周期で、ドアロックスイッチ1210の状態に対応してドアロック1220の「施錠」或いは「解錠」の制御を要求するデータフレームを、フレーム生成部204で生成して、フレーム送受信部201で送信する。ECU1200bは、ECU1200aから、送信されたデータフレームに従って、ドアロック1220の制御を行う。図17に、ECU1200aが送信するデータフレームの例を示す。
[2.6 ECU1200aが送信するデータフレームの例]
図17は、ドアロックスイッチ1210に接続されたECU1200aが送信するデータフレームのIDとデータ(データフィールド内の車両制御情報)の一例を示す。メッセージIDが「0x200」のデータフレームのデータの値は、ドアロックスイッチ1210の状態によって、0x00か0x01の値を取り、0x00はドアロック1220を「施錠」することを示しており、0x01はドアロック1220を「解錠」することを示している。データは1Byteで送信される。図17の上行から下行へと、ECU1200aから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、ドアロック1220に対して「施錠」するためのデータフレームが2回送信されてから、「解錠」するためのデータフレームが複数回送信される様子を示している。
[2.7 不正検知ECU1100のデータフレーム受信処理]
図18は、不正検知ECU1100のデータフレーム受信処理を示すフローチャートである。以下、同図に即して不正検知ECU1100のデータフレーム受信時の動作について説明する。なお、実施の形態1で示した不正検知ECU100のデータフレーム受信処理と同様の処理ステップについては同じ符号を付して適宜説明を省略する。
不正検知ECU1100は、バス300上に現れたデータフレームのID(メッセージID)を受信し(ステップS1001)、受信時刻から特定される送信周期が正常な送信周期であるか否かを判定し(ステップS1003)、正常な送信周期でないと判定した場合(つまり不正なフレームと判定した場合)には、受信中のデータフレームのデータフィールド(データ)を受信する(ステップS1005)。
ステップS1005に続いて、不正検知ECU1100は、受信中のデータフレームのデータ(車両制御情報)と、車両状態保持部1180に格納されている車両状態とを参照して、阻止判断ルール保持部1190が保持するルールに基づいて所定阻止条件が満たされるか否かを判別する(ステップS2006)。具体的には、車両状態(走行状態)が「走行中」であり、かつ、不正と判定したデータフレームの車両制御情報がドアロックの「解錠」を示すか否かを判別する。車両状態が「走行中」で車両制御情報がドアロックの「解錠」を示す場合には、不正検知ECU1100は、所定阻止条件が満たされたとして、エラーフレームの送信を行うことで不正なデータフレームがECU1200b等に伝達されることを阻止する(ステップS1007)。その他の場合(所定阻止条件が満たされない場合)には、不正検知ECU1100は、ステップS1007をスキップしてエラーフレームの送信を行わずに、データフレーム受信処理を終了する。
[2.8 実施の形態2の効果]
実施の形態2に係る車載ネットワークシステム11では、不正検知ECU1100が、不正検知部130によって、不正と判定した受信中のデータフレームに対して、阻止判断ルール保持部1190が保持する阻止判断ルールが示す所定阻止条件に従って、データフレームの伝達を阻止するか否かを決定する。これにより、不正検知ルールに適合せずに不正と判定されたデータフレームを、車両状態との関係に応じた車両制御への影響度を鑑みて定められた所定阻止条件を満たすか否かに応じて、阻止するか否かを切り替えることが可能となる。このため、エラーフレームの送信等により車載ネットワークへの悪影響を与えることを制限し得る。この結果として、車載ネットワークシステム11を搭載した車両は安全な走行を維持できるようになる。
(他の実施の形態)
以上のように、本発明に係る技術の例示として実施の形態1、2を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
(1)上記実施の形態では、不正検知ルールに基づく不正なフレームの検知方法として、データフレームの送信周期を用いた例を示したが、他の検知方法を用いても良い。例えば、データフレームの送信頻度について、一定期間に、一定数以上送信されている場合に不正として検出する検知方法を用いても良い。また、複数の検知方法を組み合わせて用いても良い。
(2)上記実施の形態では、CANプロトコルにおけるデータフレームを標準IDフォーマットで記述しているが、拡張IDフォーマットで合っても良い。拡張IDフォーマットの場合には、標準IDフォーマットにおけるID位置のベースIDと、拡張IDとを合わせて29ビットで、データフレームのID(メッセージID)を表す。なお、車載ネットワークシステムは、必ずしもCANプロトコルに完全に準拠したものでなくても良い。
(3)上記実施の形態では、車両制御履歴として1つのメッセージIDのデータフレームの値を保持していたが、複数のメッセージIDそれぞれについてのデータフレームの値を保持しても良い。
(4)上記実施の形態では、車両制御履歴として、前回のデータフレームの値を保持する例を示したが、前々回の値を保持していても良い。また任意の回数前の値を履歴として保持していても良い。また、車両制御履歴は、データフレームの値に関する情報であれば良く、例えばデータフレームの一部を保存しても良い。また複数回のデータフレームの値についての平均値等といった統計情報を保持しても良い。また、上記実施の形態では、車両制御履歴として、ウィンドウスイッチに関するデータフレームの例を示したが、その他のデータフレームに関する情報を保持しても良い。上記実施の形態で示した車両制御履歴は、所定阻止条件の判別に用いるための履歴情報の一例であり、履歴情報は、例えば、バス上で送信された1以上のフレームの少なくとも一部の内容を記録した情報であり得る。これにより、不正検知ECUでは、所定阻止条件が満たされるか否かを、履歴情報を参照することにより、不正なフレームの内容とその不正なフレームに先行して送信された1以上のフレームの内容とに基づいて判別することが可能となる。例えば、不正なフレームの所定フィールドの内容(例えばデータフィールドの一部のデータ等)が、その不正フレームと同一のフレームID(メッセージID)を含むフレームのうちその不正フレームに先行して最後に送信されたフレームの対応する所定フィールドの内容と異なる場合に所定阻止条件が満たされると判別し、その所定フィールドの両内容が一致する場合に所定阻止条件が満たされないと判別しても良い。これは、データフレームの所定フィールドの内容の変化が車両の状態を変化させる制御と結びつくような場合には、車両の安全状態の維持のために阻止すべき必要性が高いことから、有用である。
(5)上記実施の形態では、不正検知ECUが、不正なフレーム検知して、そのフレームについて阻止するか否かを判別してその判別の結果に従って阻止(エラーフレームの送信)を行う例を示したが、不正検知ECUが検知した不正なフレームを阻止するか否かの判別について、或いは、その阻止については、不正検知ECUから専用の通信路等で指示をすることにより、他のECUに実行させても良い。即ち、不正検知ECUが所定ルールに適合しない不正なフレームを検知した場合において、所定阻止条件が満たされるときにはその不正フレームに従った処理をECUが実行することを阻止する阻止処理を何らかの装置により実行し、所定阻止条件が満たされないときには阻止処理を実行しないように車載ネットワークシステムを構成し得る。
(6)上記実施の形態で示した不正検知ECUは、不正なフレームを検知した場合に、そのフレームについて阻止するか否かに拘らず、不正なフレームの内容及び検知日時等の情報をログ情報として記憶媒体等に記録しても良い。上述した不正フレーム対処方法では、不正検知ルールへ適合しないフレームを一律に阻止するのではなく、誤検知の可能性に鑑みて不正検知ルールの策定を柔軟に行うことが可能となる。また、ログ情報は、将来の不正検知ルールの更新等に活用可能となる。
(7)上記実施の形態では、阻止判断ルールとして、データフレームの内容としての車両制御情報に関連して、その車両制御情報の値の変化があった場合にそのフレームの伝達を阻止する例を示したが、その他のルールを定めても良い。例えば、データフレームのデータフィールドの値の減少或いは増加があった場合にそのフレームの伝達を阻止するためのルールを定めても良い。また、阻止判断ルールは、閾値を超える変化があった場合に阻止するルールであっても良い。また、阻止判断ルールとして、複数の車両制御履歴を用いた条件を定めても良い。また、阻止判断ルールは、例えば、不正と判定されたデータフレームのデータフィールドの内容と、過去に受信された1つ又は複数のデータフレームのデータフィールドの内容とから演算により、そのデータフレームの伝達を阻止するか否かを判別するルールであっても良い。
(8)上記実施の形態では、車両状態が、「走行中」或いは「停車中」を表す例を示したが、その他の「後進中」、「高速走行中」等の走行状態を表しても良い。
(9)上記実施の形態では、車両状態が走行状態を表す例を示したが、走行状態以外の状態(例えば、燃料残量に係る状態、ライトの点灯状態等)を表しても良い。また、車両状態に、バスで授受するデータフレームの内容により示すことができる、ステアリングの回転角度等の操作状態、過去の不正検知の履歴、車載ネットワークにおける各種バスのトラフィック量に係る統計情報等を含めても良い。また更に車両状態に、不正検知ECUが搭載される車両の車種、製造メーカ、走行距離等の情報を含めても良い。
(10)上記実施の形態では、所定阻止条件として車両状態に関する条件を定める例を示したが、車両状態、車載ネットワークシステムを搭載する車両の運転者の状態、及び、当該車両の走行環境の状態のうちの少なくとも1つに関する条件を定めても良い。また、不正検知ECUが、所定阻止条件が満たされるか否かを、不正フレームの内容とその不正フレームに先行して送信された1つ以上のフレームの内容と、車両の状態、車両の運転者の状態及び車両の走行環境の状態の少なくとも1つについての検出結果とに基づいて判別するようにしても良い。車両の運転者の状態及び車両の走行環境の状態に係る測定値或いは情報は、ユーザインタフェースを介してなされる操作を受け付けることにより、センサにより、又は、車載ネットワークシステムの外部装置との通信により、取得可能である。この外部装置(例えばコンピュータ等)との間でいかなる通信方式で通信をしても良い。車両の走行環境の状態については、例えば、現在の車両の走行中の位置を示す地図情報、その走行中の位置を包含する地域、国等の情報、走行中の位置に関わる天候の情報、路面の状態の情報、道路の混雑状況を示す情報等により表し得る。また、車両の運転者の状態は、例えば連続運転時間、脈拍数その他の運転者の生体情報等により表し得る。
(11)上記実施の形態では、不正なフレームのECUによる実行の阻止を行う対象として、パワーウィンドウ及びドアロックの制御に関するデータフレームを例示したが、これに限るものではない。ワイパーの制御、車両の「走る」、「曲がる」、「止まる」等に係る駆動制御等といった車両における各種制御に関するデータフレームのいずれもが対象となり得る。
(12)上記実施の形態では、不正検知部で不正と判定したデータフレームに関しては、フレーム受信時刻を更新していなかったが、阻止判断部において、阻止しないと判別したデータフレームについては、阻止判断部がフレーム受信時刻を更新しても良い。
(13)上記実施の形態では、不正検知ECUの起動は、イグニッション状態へ変化した時としたが、これは一例に過ぎず、他の時であっても良く、バッテリにより、車載ネットワークシステムの各ECUに電力の供給が開始された時としても良い。
(14)上記実施の形態では、受信時刻は、不正検知ECUの起動時に、0にセットされるとしたが、これは一例に過ぎず、他の時に0にセットされることとしても良い。また、受信時刻の更新が一定期間されていない場合に、受信時刻を0にリセットしても良い。
(15)上記実施の形態では、受信時刻は、不正検知ECUの起動時に、0にセットされるとしたが、例えば、受信時刻を不揮発メモリに保持しておき、不正検知ECUの起動時には、0へのセットを行わないこととしても良い。
(16)上記実施の形態では、データフレームの送信周期を求めるために、受信時刻を保持する例を示したが、データフレームの受信間隔を計算できれば、必ずしも受信時刻を保持する必要はない。2つのデータフレームの受信時刻の相対的な時間差を求めることができれば足りるため、例えば、1回目のデータフレーム受信時に、タイマがセットされ、2回目のデータフレーム受信時のタイマの値により、受信間隔(送信周期)を求めても良い。
(17)上記実施の形態では、不正なフレームに対応した処理(制御)がECUにより実行されることを阻止するための阻止処理(手段)として、不正なフレームの伝達を阻止すべくエラーフレームの送信を用いたが、阻止処理は、これに限らない。阻止処理として、例えば、不正なデータフレームが送信されている間に、バスに流れているビット値を、変更することによって、受信側のECUにおいてデータフレームのCRCをチェックすることでエラーを検出できるようにしても良い。また、不正なフレームの送信中において、不正検知ECUから他のECUにバス以外の専用の通信路から異常を伝達することでECUに不正なフレームを正規のフレームと同様に処理しないように通知しても良い。また、車載ネットワークシステムが複数のバスを含む場合にバス間でフレームの転送に係る制御を行うゲートウェイとしての機能(つまり複数のバスのうち一のバスに現れたフレームを他のバスに転送する機能)を有する不正検知ECUにより、あるバスで検知された不正なフレームの他のバスへの転送を抑止する阻止処理を行うようにしても良い。なお、不正検知ECUが、不正なフレームの阻止のための阻止処理を実行した場合において、車載ネットワークシステムにおいて何らかの影響が生じ得るため、車両の制御への影響を考慮して定めた所定阻止条件が満たされた場合にのみ阻止を行うことは有用である。
(18)上記実施の形態における不正検知ECU及び他のECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイ、キーボード、マウス等の他のハードウェアを含んでいても良い。また、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。
(19)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
(20)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
(21)本発明の一態様としては、例えば図12、図18等に表される不正フレーム対処方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
(22)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、車載ネットワークにおいてバス上への不正なフレームの送信が検知された場合に車両制御等への影響を踏まえて対処を行うために利用可能である。
10、11 車載ネットワークシステム
100、1100 不正検知電子制御ユニット(不正検知ECU)
110、201 フレーム送受信部
120、202、1120 フレーム処理部
130 不正検知部
140 阻止判断部
150、204 フレーム生成部
160 不正検知ルール保持部
170 フレーム受信時刻保持部
180 車両制御履歴保持部
190 阻止判断ルール保持部
200a、200b、1200a、1200b 電子制御ユニット(ECU)
203 外部機器入出力部
210 ウィンドウスイッチ
220 ウィンドウ
300 バス
1110 車速センサ
1111 車両状態判断部
1140 阻止判断部
1180 車両状態保持部
1190 阻止判断ルール保持部
1210 ドアロックスイッチ
1220 ドアロック

Claims (11)

  1. 車載ネットワークシステムにおける複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットに用いられる不正フレーム対処方法であって、
    所定ルールに適合しない不正フレームを検知した場合において、
    所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、
    前記所定阻止条件が満たされないときには、前記阻止処理を実行しない
    不正フレーム対処方法。
  2. 前記阻止処理として、前記バス上に現れた前記不正フレームに係るビット値を変更する
    請求項1記載の不正フレーム対処方法。
  3. 前記バス上で送信された1以上のフレームについて当該フレームの少なくとも一部の内容を履歴情報として記録し、
    前記所定阻止条件が満たされるか否かを、前記履歴情報を参照することにより、前記不正フレームの内容と当該不正フレームに先行して送信された1以上のフレームの内容とに基づいて判別する
    請求項2記載の不正フレーム対処方法。
  4. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行い、
    前記不正フレームの所定フィールドの内容が、当該不正フレームと同一のフレームIDを含むフレームのうち当該不正フレームに先行して最後に送信されたフレームの前記所定フィールドの内容と異なる場合に前記所定阻止条件が満たされると判別し、当該両内容が一致する場合に前記所定阻止条件が満たされないと判別する
    請求項3記載の不正フレーム対処方法。
  5. 前記所定阻止条件は、前記不正検知電子制御ユニットを搭載する車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つに関する条件を含み、
    前記所定阻止条件が満たされるか否かを、前記不正フレームの内容と当該不正フレームに先行して送信された1以上のフレームの内容と、前記車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つについての検出結果とに基づいて判別する
    請求項3記載の不正フレーム対処方法。
  6. 前記所定阻止条件は、前記不正検知電子制御ユニットを搭載する車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つに関する条件であり、
    前記不正検知電子制御ユニットが、前記車両の状態、当該車両の運転者の状態及び当該車両の走行環境の状態の少なくとも1つについての検出結果に基づいて前記所定阻止条件が満たされるか否かを判別する
    請求項2記載の不正フレーム対処方法。
  7. 前記車載ネットワークシステムでは前記複数の電子制御ユニットの通信に複数のバスが用いられ、前記不正検知電子制御ユニットは前記複数のバスのうち一のバスに現れたフレームを他のバスに転送する機能を有し、
    前記一のバス上に現れた不正フレームを検知した場合において、前記所定阻止条件が満たされるときには当該不正フレームについては前記転送を抑止することで前記阻止処理を実行し、前記所定阻止条件が満たされないときには、前記転送を実行する
    請求項1記載の不正フレーム対処方法。
  8. 前記複数の電子制御ユニットは、CAN(Controller Area Network)プロトコルに従って前記バスを介して通信を行う
    請求項1記載の不正フレーム対処方法。
  9. 前記阻止処理として、前記バスにエラーフレームを送出する
    請求項8記載の不正フレーム対処方法。
  10. 複数の電子制御ユニットがフレームの授受に用いるバスに接続され、当該バス上に現れるフレームを検査する不正検知電子制御ユニットであって、
    前記検査により所定ルールに適合しない不正フレームを検知する不正検知部と、
    所定阻止条件が満たされるか否かを判別することにより、前記不正検知部により検知された不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行するか否かを判断する阻止判断部とを備える
    不正検知電子制御ユニット。
  11. バスを介してフレームの授受を行う複数の電子制御ユニットと、前記バスに接続されて当該バス上に現れるフレームを検査する不正検知電子制御ユニットとを備える車載ネットワークシステムであって、
    前記不正検知電子制御ユニットが、所定ルールに適合しない不正フレームを検知した場合において、所定阻止条件が満たされるときには、当該不正フレームに従った処理を前記電子制御ユニットが実行することを阻止する阻止処理を実行し、前記所定阻止条件が満たされないときには、前記阻止処理を実行しない
    車載ネットワークシステム。
JP2015209331A 2015-01-20 2015-10-23 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム Active JP6594732B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
PCT/JP2015/005669 WO2016116973A1 (ja) 2015-01-20 2015-11-13 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
CN201580002671.4A CN106031098B (zh) 2015-01-20 2015-11-13 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统
EP15877368.9A EP3249855B1 (en) 2015-01-20 2015-11-13 Invalid frame handling method, invalidity detection electronic-control unit and vehicle-mounted network system
US15/209,882 US10277598B2 (en) 2015-01-20 2016-07-14 Method for detecting and dealing with unauthorized frames in vehicle network system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201562105347P 2015-01-20 2015-01-20
US62/105,347 2015-01-20

Publications (2)

Publication Number Publication Date
JP2016134913A true JP2016134913A (ja) 2016-07-25
JP6594732B2 JP6594732B2 (ja) 2019-10-23

Family

ID=56434721

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015209331A Active JP6594732B2 (ja) 2015-01-20 2015-10-23 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム

Country Status (3)

Country Link
US (1) US10277598B2 (ja)
JP (1) JP6594732B2 (ja)
CN (1) CN106031098B (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018020833A1 (ja) * 2016-07-28 2018-02-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP2018026791A (ja) * 2016-07-28 2018-02-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
WO2018051607A1 (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
WO2018100783A1 (ja) * 2016-12-01 2018-06-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP2018144800A (ja) * 2017-03-03 2018-09-20 株式会社日立製作所 連携クラウド・エッジ車両異常検出
JP2018152842A (ja) * 2017-03-13 2018-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP2018160851A (ja) * 2017-03-23 2018-10-11 株式会社オートネットワーク技術研究所 車載通信装置、コンピュータプログラム及びメッセージ判定方法
JP2019009617A (ja) * 2017-06-23 2019-01-17 株式会社デンソー 異常検知装置、異常検知システム、異常検知方法、異常検知プログラム及び記録媒体
WO2019017056A1 (ja) * 2017-07-19 2019-01-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
WO2019026353A1 (ja) * 2017-08-03 2019-02-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP2019022210A (ja) * 2017-07-19 2019-02-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載中継装置、中継方法及びプログラム
JP6527647B1 (ja) * 2018-03-29 2019-06-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知装置及びプログラム
WO2019187350A1 (ja) * 2018-03-29 2019-10-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法、不正検知装置及びプログラム
JP2020088798A (ja) * 2018-11-30 2020-06-04 トヨタ自動車株式会社 ネットワークシステム
JP2020524951A (ja) * 2017-06-23 2020-08-20 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh 通信の異常をチェックすることによって、車両の通信システムにおける途絶を検出するための方法
WO2021024786A1 (ja) * 2019-08-07 2021-02-11 株式会社日立製作所 情報処理装置および正規通信判定方法

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
FR3055063B1 (fr) 2016-08-11 2018-08-31 Soitec Procede de transfert d'une couche utile
CN110268412A (zh) * 2016-08-24 2019-09-20 三菱电机株式会社 通信控制装置、通信系统以及通信控制方法
EP3541022A4 (en) * 2016-11-10 2020-06-17 Lac Co., Ltd. COMMUNICATION CONTROLLER, COMMUNICATION CONTROL METHOD AND PROGRAM
JP2018082247A (ja) * 2016-11-14 2018-05-24 株式会社東芝 通信装置、通信システム、通信方法及びプログラム
EP3554015B1 (en) * 2016-12-06 2020-12-30 Panasonic Intellectual Property Corporation of America Information processing method, information processng system, and program
WO2018158848A1 (ja) * 2017-02-28 2018-09-07 三菱電機株式会社 車両通信監視装置、車両通信監視方法および車両通信監視プログラム
DE102017209557A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
WO2018230280A1 (ja) * 2017-06-14 2018-12-20 住友電気工業株式会社 車外通信装置、通信制御方法および通信制御プログラム
WO2019021403A1 (ja) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
WO2020021715A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法、不正対処装置および通信システム
WO2020021713A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法および不正検知電子制御装置
DE102018213198A1 (de) * 2018-08-07 2020-02-13 Continental Teves Ag & Co. Ohg Verfahren zum Überwachen der Kommunikation eines Bussystems eines Fahrzeugs
EP3700138B1 (en) * 2019-02-22 2023-08-02 Volvo Car Corporation Monitoring lin nodes
KR20210151948A (ko) 2019-05-03 2021-12-14 마이크로칩 테크놀로지 인코포레이티드 유선 로컬 영역 네트워크에서의 충돌 에뮬레이팅 및 관련 시스템, 방법, 및 디바이스
WO2021002010A1 (ja) * 2019-07-04 2021-01-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム検知装置および不正フレーム検知方法
DE102019118452A1 (de) * 2019-07-08 2021-01-14 E-Service GmbH One-Wire Bus mit einem oder mehreren One-wire-Devices
CN112422153B (zh) 2019-08-23 2023-04-07 微芯片技术股份有限公司 检测到共享传输介质处冲突后处理数据接收的方法和系统
CN112422295B (zh) 2019-08-23 2023-06-13 微芯片技术股份有限公司 以太网接口及相关系统、方法和设备
CN112415323A (zh) 2019-08-23 2021-02-26 微芯片技术股份有限公司 诊断网络内的电缆故障
CN112423403A (zh) 2019-08-23 2021-02-26 微芯片技术股份有限公司 检测网络上的冲突
CN112491435B (zh) 2019-08-23 2022-11-18 微芯片技术股份有限公司 包括收发器和驱动器架构的物理层的电路
CN112422385B (zh) 2019-08-23 2022-11-29 微芯片技术股份有限公司 用于改进的媒体访问的接口以及相关的系统、方法和设备
CN112422219A (zh) 2019-08-23 2021-02-26 微芯片技术股份有限公司 以太网接口和相关系统、方法和设备
WO2021065068A1 (ja) * 2019-09-30 2021-04-08 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
DE102019220022A1 (de) 2019-12-18 2021-06-24 Robert Bosch Gesellschaft mit beschränkter Haftung Sende-/Empfangseinrichtung für ein Bussystem und Verfahren zur Reduzierung von Schwingungen einer Busdifferenzspannung bei eingekoppelten Störungen
JP7247905B2 (ja) * 2020-01-22 2023-03-29 トヨタ自動車株式会社 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム
CN111371777B (zh) * 2020-02-28 2022-06-24 北京天融信网络安全技术有限公司 一种车辆网络的攻击检测方法、装置、检测器及存储介质
WO2021189191A1 (zh) * 2020-03-23 2021-09-30 华为技术有限公司 一种接入控制方法、装置及通信系统
JP2023518827A (ja) 2020-03-24 2023-05-08 マイクロチップ テクノロジー インコーポレイテッド 10speローカル及びリモートウェイクによる少接続部数インターフェースウェイクソース通信、並びに関連するシステム、方法、及びデバイス
JP7452336B2 (ja) * 2020-09-02 2024-03-19 株式会社デンソー 駆動装置および負荷駆動システム
JP2021057908A (ja) * 2020-12-17 2021-04-08 パナソニックIpマネジメント株式会社 記録装置および車両
CN113852532B (zh) * 2021-09-22 2023-01-06 河北通合新能源科技有限公司 用于机号匹配的can通讯方法和can控制器
CN114299634A (zh) * 2021-12-30 2022-04-08 上海柴油机股份有限公司 汽车网联设备传输数据异常判定方法
CN115242609B (zh) * 2022-07-13 2023-10-20 东风越野车有限公司 一种整车can总线故障帧分析方法、装置及车辆

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) * 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2007315535A (ja) * 2006-05-26 2007-12-06 Denso Corp 変速操作指示装置
JP2009194497A (ja) * 2008-02-13 2009-08-27 Hitachi Ltd 送信フィルタ方法及び車載ゲートウェイ装置、プログラム
JP4763819B2 (ja) * 2009-05-22 2011-08-31 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
JP2013101426A (ja) * 2011-11-07 2013-05-23 Toyota Motor Corp 車載通信装置
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030037141A1 (en) * 2001-08-16 2003-02-20 Gary Milo Heuristic profiler software features
US7266088B1 (en) * 2004-03-24 2007-09-04 The United States Of America As Represented By The National Security Agency Method of monitoring and formatting computer network data
DE102008000562A1 (de) * 2008-03-07 2009-09-10 Robert Bosch Gmbh Kommunikationssystem umfassend einen Datenbus und mehrere daran angeschlossene Teilnehmerknoten sowie Verfahren zum Betreiben eines solchen Kommunikationssystems
KR101292887B1 (ko) * 2009-12-21 2013-08-02 한국전자통신연구원 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
CN102594643B (zh) * 2012-03-12 2015-11-25 北京经纬恒润科技有限公司 一种控制器局域网总线通讯控制方法、装置及系统
CN103856288B (zh) * 2012-12-04 2017-06-06 北汽福田汽车股份有限公司 用于汽车的can通讯信号校验与传输方法和系统
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
CN103475523B (zh) * 2013-09-10 2016-04-27 浙江大学 带总线错误解析功能的can总线分析系统
EP2892199B1 (en) 2014-01-06 2018-08-22 Argus Cyber Security Ltd. Global automotive safety system
CN104301177B (zh) * 2014-10-08 2018-08-03 清华大学 Can报文异常检测方法及系统
US9361797B1 (en) * 2014-12-11 2016-06-07 Here Global B.V. Detecting road condition changes from probe data

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) * 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2007315535A (ja) * 2006-05-26 2007-12-06 Denso Corp 変速操作指示装置
JP2009194497A (ja) * 2008-02-13 2009-08-27 Hitachi Ltd 送信フィルタ方法及び車載ゲートウェイ装置、プログラム
JP4763819B2 (ja) * 2009-05-22 2011-08-31 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
JP2013101426A (ja) * 2011-11-07 2013-05-23 Toyota Motor Corp 車載通信装置
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Cited By (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4109826A1 (en) * 2016-07-28 2022-12-28 Panasonic Intellectual Property Corporation of America Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP2018026791A (ja) * 2016-07-28 2018-02-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US11356475B2 (en) 2016-07-28 2022-06-07 Panasonic Intellectual Property Corporation Of America Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP7027592B2 (ja) 2016-07-28 2022-03-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、方法及び車載ネットワークシステム
EP3493480A4 (en) * 2016-07-28 2019-07-03 Panasonic Intellectual Property Corporation of America FRAME TRANSMISSION BLOCKING DEVICE, FRAME TRANSMISSION BLOCKING METHOD, AND ONBOARD NETWORK SYSTEM
CN109076001B (zh) * 2016-07-28 2021-10-01 松下电器(美国)知识产权公司 帧传送阻止装置、帧传送阻止方法及车载网络系统
JP2021083125A (ja) * 2016-07-28 2021-05-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、方法及び車載ネットワークシステム
EP3748919A1 (en) * 2016-07-28 2020-12-09 Panasonic Intellectual Property Corporation of America Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
CN109076001A (zh) * 2016-07-28 2018-12-21 松下电器(美国)知识产权公司 帧传送阻止装置、帧传送阻止方法及车载网络系统
WO2018020833A1 (ja) * 2016-07-28 2018-02-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US10880415B2 (en) 2016-09-15 2020-12-29 Sumitomo Electric Industries, Ltd. Detecting device, gateway device, and detecting method
CN109691029B (zh) * 2016-09-15 2021-10-22 住友电气工业株式会社 检测装置、网关装置和检测方法
JP2018046432A (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
WO2018051607A1 (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
CN109691029A (zh) * 2016-09-15 2019-04-26 住友电气工业株式会社 检测装置、网关装置、检测方法、以及检测程序
WO2018100783A1 (ja) * 2016-12-01 2018-06-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
US11392683B2 (en) 2016-12-01 2022-07-19 Sumitomo Electric Industries, Ltd. Detection device, detection method and recording medium
US10382466B2 (en) 2017-03-03 2019-08-13 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
JP2018144800A (ja) * 2017-03-03 2018-09-20 株式会社日立製作所 連携クラウド・エッジ車両異常検出
US11411681B2 (en) 2017-03-13 2022-08-09 Panasonic Intellectual Property Corporation Of America In-vehicle information processing for unauthorized data
JP2018152842A (ja) * 2017-03-13 2018-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP2018160851A (ja) * 2017-03-23 2018-10-11 株式会社オートネットワーク技術研究所 車載通信装置、コンピュータプログラム及びメッセージ判定方法
US11296970B2 (en) 2017-06-23 2022-04-05 Robert Bosch Gmbh Method for detecting a disruption in a vehicle's communication system by checking for abnormalities in communication
JP2019009617A (ja) * 2017-06-23 2019-01-17 株式会社デンソー 異常検知装置、異常検知システム、異常検知方法、異常検知プログラム及び記録媒体
JP2020524951A (ja) * 2017-06-23 2020-08-20 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh 通信の異常をチェックすることによって、車両の通信システムにおける途絶を検出するための方法
JP7020990B2 (ja) 2017-07-19 2022-02-16 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
US11824871B2 (en) 2017-07-19 2023-11-21 Panasonic Intellectual Property Corporation Of America Vehicle relay device, relay method, and recording medium storing program for stopping unauthorized control by in-vehicle equipment
WO2019017056A1 (ja) * 2017-07-19 2019-01-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
JP2019022210A (ja) * 2017-07-19 2019-02-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載中継装置、中継方法及びプログラム
CN109804603A (zh) * 2017-07-19 2019-05-24 松下电器(美国)知识产权公司 车载中继装置、中继方法以及程序
CN109804603B (zh) * 2017-07-19 2022-04-29 松下电器(美国)知识产权公司 车载中继装置、中继方法以及介质
JP2019029961A (ja) * 2017-08-03 2019-02-21 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP7007632B2 (ja) 2017-08-03 2022-01-24 住友電気工業株式会社 検知装置、検知方法および検知プログラム
WO2019026353A1 (ja) * 2017-08-03 2019-02-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
WO2019187350A1 (ja) * 2018-03-29 2019-10-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法、不正検知装置及びプログラム
JP6527647B1 (ja) * 2018-03-29 2019-06-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知装置及びプログラム
JP7110950B2 (ja) 2018-11-30 2022-08-02 トヨタ自動車株式会社 ネットワークシステム
JP2020088798A (ja) * 2018-11-30 2020-06-04 トヨタ自動車株式会社 ネットワークシステム
JP2021027518A (ja) * 2019-08-07 2021-02-22 株式会社日立製作所 情報処理装置および正規通信判定方法
JP7175858B2 (ja) 2019-08-07 2022-11-21 株式会社日立製作所 情報処理装置および正規通信判定方法
US11824687B2 (en) 2019-08-07 2023-11-21 Hitachi, Ltd. Information processing apparatus and legitimate communication determination method
WO2021024786A1 (ja) * 2019-08-07 2021-02-11 株式会社日立製作所 情報処理装置および正規通信判定方法

Also Published As

Publication number Publication date
US10277598B2 (en) 2019-04-30
US20160323287A1 (en) 2016-11-03
JP6594732B2 (ja) 2019-10-23
CN106031098A (zh) 2016-10-12
CN106031098B (zh) 2020-06-19

Similar Documents

Publication Publication Date Title
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016116973A1 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6203365B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP6684690B2 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US10798114B2 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
JP6173541B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
JP6063606B2 (ja) ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
WO2015159520A1 (ja) 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
US11848755B2 (en) Anomaly detection device, anomaly detection method, and recording medium
WO2017119027A1 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
WO2019193786A1 (ja) ログ出力方法、ログ出力装置及びプログラム
CN110546921A (zh) 不正当检测方法、不正当检测装置以及程序
WO2017061079A1 (ja) セキュリティ装置、攻撃検知方法及びプログラム
CN115580471A (zh) 不正当检测方法、不正当检测装置以及存储介质
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US11832098B2 (en) Vehicle communication system, communication method, and storage medium storing communication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190401

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190917

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190925

R150 Certificate of patent or registration of utility model

Ref document number: 6594732

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150