JP2017050643A - 中継装置 - Google Patents

中継装置 Download PDF

Info

Publication number
JP2017050643A
JP2017050643A JP2015171190A JP2015171190A JP2017050643A JP 2017050643 A JP2017050643 A JP 2017050643A JP 2015171190 A JP2015171190 A JP 2015171190A JP 2015171190 A JP2015171190 A JP 2015171190A JP 2017050643 A JP2017050643 A JP 2017050643A
Authority
JP
Japan
Prior art keywords
message
unit
relay
storage unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015171190A
Other languages
English (en)
Other versions
JP6525824B2 (ja
Inventor
広章 高田
Hiroaki Takada
広章 高田
亮 倉地
Ryo Kuramochi
亮 倉地
浩史 上田
Hiroshi Ueda
浩史 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Nagoya University NUC
Priority to JP2015171190A priority Critical patent/JP6525824B2/ja
Priority to US15/753,663 priority patent/US10439842B2/en
Priority to DE112016003907.7T priority patent/DE112016003907T5/de
Priority to PCT/JP2016/074225 priority patent/WO2017038500A1/ja
Priority to CN201680046946.9A priority patent/CN108353015B/zh
Publication of JP2017050643A publication Critical patent/JP2017050643A/ja
Application granted granted Critical
Publication of JP6525824B2 publication Critical patent/JP6525824B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】中継処理を行うプログラムに不正な改ざんが行われた場合であっても、不正なメッセージが一又は複数のネットワークへ送信されることを防止し得る中継装置を提供する。【解決手段】ゲートウェイ10は、一のCANコントローラ13a,13bがメッセージを受信した場合、受信したメッセージをメッセージ記憶部21に記憶すると共に、処理部11へ与える。メッセージを与えられた処理部11は、中継プログラム12aの実行により、メッセージの中継に必要な処理を行い、中継すべきメッセージをCANコントローラ13a,13bへ与える。ゲートウェイ10は、CANコントローラ13a,13bから処理部11へ与えられる前のメッセージと、処理部11からCANコントローラ13a,13bへ与えられたメッセージとを比較して、メッセージの正当性を判定する。【選択図】図2

Description

本発明は、複数のネットワーク間でメッセージを中継する処理を行う中継装置に関する。
従来、車両には複数のECU(Electronic Control Unit)が搭載され、これらがCAN(Controller Area Network)などのネットワークを介して接続されている。これら複数のECUは、ネットワークを介して情報を交換しながら各個の処理を進めている。近年では車両内のネットワークの規模が大きくなる傾向があり、この場合には複数の小規模なネットワークがゲートウェイなどの中継装置に接続され、中継装置がネットワーク間のメッセージ中継を行う構成が採用される場合が多い。
特許文献1においては、CANシステムの第1ノードがフレームの受信に失敗してエラーパッシブ状態となっている場合に再送要求フレームを送信し、第2ノードが通信線に対して送信されたフレームを記憶しておき、再送が要求されたフレームを第1ノードへ再送することにより、耐障害性の向上を目指したCANシステムが記載されている。
特許文献2においては、CANコントローラがフレームの入力から通信線への送信開始までの送信レイテンシを計測し、このフレームに送信レイテンシに関する情報を含めて送信を行うと共に、このフレームを受信したCANコントローラが送信レイテンシに応じて実行すべき処理を決定する構成とすることにより、フレームの受信側における誤動作を防止することを目的とした通信システムが記載されている。
特開2014−86812号公報 特開2011−103577号公報
K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham, and S. Savage. Experimental security analysis of a modern automobile. In Proc. of the IEEE Symposium on Security and Privacy, pages 447-462, 2010. 氏家良浩,岸川剛,芳賀智之,松島秀樹,田邉正人,北村嘉彦,安齋潤、車載ネットワークにおけるCANフィルタの提案、暗号とセキュリティのシンポジウム(SCIS2015)、2015年
しかしながら非特許文献1においては、ECUに不正なプログラムを注入することによって、車両内のネットワークへ不正なメッセージ送信を行うことが可能であることが報告されている。不正なプログラムによる不正なメッセージ送信が行われることにより、ネットワークに接続された他のECUに誤動作などが発生する虞がある。このような不正なメッセージ送信に対しては、特許文献1に記載のCANシステム及び特許文献2に記載の通信システムでは有効な対策となり得なかった。
また非特許文献2においては、CANメッセージのID、DLC、送信周期及び送信頻度の条件に基づいてフィルタリング処理を行うことにより、不正なメッセージ送信を検出する手法が提案されている。非特許文献2に記載のフィルタリング処理を、例えば中継装置が行うことによって、不正なメッセージが一のネットワークから他のネットワークへ中継されることを防止することが期待される。しかしながら、このようなフィルタリング処理を行うプログラムが不正に改ざんされた場合には、フィルタリング処理自体が無効化されてしまう虞がある。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、中継処理を行うプログラムに不正な改ざんが行われた場合であっても、不正なメッセージが一又は複数のネットワークへ送信されることを防止し得る中継装置を提供することにある。
本発明に係る中継装置は、それぞれが通信線に接続されて該通信線を介したメッセージの送受信を行う通信部を複数備え、前記通信部間でのメッセージを中継する中継装置において、前記通信部が受信したメッセージを記憶するメッセージ記憶部と、メッセージの中継処理を行うソフトウェアプログラムを記憶するプログラム記憶部と、該プログラム記憶部に記憶されたソフトウェアプログラムを実行してメッセージの中継処理を行う処理部と、前記処理部から前記通信部へ中継すべきメッセージが与えられた場合に、該メッセージの正当性を前記メッセージ記憶部に記憶されたメッセージに基づいて判定する判定部とを備えることを特徴とする。
また、本発明に係る中継装置は、前記判定部が正当でないと判定したメッセージの前記通信部による送信を禁止する禁止部を備えることを特徴とする。
また、本発明に係る中継装置は、前記判定部が、前記処理部から前記通信部へ与えられた中継すべきメッセージと、前記メッセージ記憶部に記憶されたメッセージとが一致する場合に、前記中継すべきメッセージが正当であると判定することを特徴とする。
また、本発明に係る中継装置は、前記判定部が、前記処理部から前記通信部へ与えられた中継すべきメッセージが、前記メッセージ記憶部に記憶されたいずれか一つのメッセージと一致する場合に、前記中継すべきメッセージが正当であると判定し、前記メッセージ記憶部は、前記判定部により正当であると判定されて中継されたメッセージを削除することを特徴とする。
また、本発明に係る中継装置は、前記判定部が、前記処理部から前記通信部へ与えられた中継すべきメッセージの一部分と、前記メッセージ記憶部に記憶されたメッセージの一部分とが一致する場合に、前記中継すべきメッセージが正当であると判定することを特徴とする。
また、本発明に係る中継装置は、前記メッセージが、CANの通信規格に従うメッセージであり、前記一部分は、前記メッセージに含まれるID及びCRCであることを特徴とする。
また、本発明に係る中継装置は、前記処理部が、前記プログラム記憶部に記憶されたソフトウェアプログラムの実行により、一又は複数の通信部から取得した複数のメッセージを統合した中継用メッセージを生成し、前記判定部は、前記処理部から前記通信部へ与えられた前記中継用メッセージの一部分と、前記メッセージ記憶部に記憶された一又は複数のメッセージの一部分とが一致する場合に、前記中継用メッセージが正当であると判定することを特徴とする。
また、本発明に係る中継装置は、前記処理部が、前記プログラム記憶部に記憶されたソフトウェアプログラムの実行により、前記通信部から取得したメッセージを分割して複数の中継用メッセージを生成し、前記判定部は、前記処理部から前記通信部へ与えられた前記中継用メッセージの一部分と、前記メッセージ記憶部に記憶されたメッセージの一部分とが一致する場合に、前記中継用メッセージが正当であると判定することを特徴とする。
また、本発明に係る中継装置は、前記判定部が正当であると判定したメッセージを前記通信部が送信する際に、送信されたメッセージに対する改ざんを検出する検出部と、該検出部が改ざんを検出した場合に、前記通信部によるメッセージ送信を中断させる中断部とを備えることを特徴とする。
本発明において中継装置は、それぞれが通信線に接続される通信部を複数備え、処理部がソフトウェアプログラムを実行することによって、一の通信部が受信したメッセージを他の通信部から送信するメッセージ中継の処理を行う。中継装置は、処理部とは別に、通信部が受信したメッセージを記憶する記憶部を備える。一の通信部が通信線を介して他のECUなどからメッセージを受信した場合、この通信部が受信したメッセージは記憶部に記憶されると共に、処理部へ与えられる。メッセージを与えられた処理部は、ソフトウェアプログラムの実行により、メッセージの中継に必要な処理、例えばメッセージのスケジューリング処理などを行う。処理部は、中継すべきメッセージを、このメッセージを中継すべきECUなどが接続された通信部へ与える。処理部から中継すべきメッセージを与えられた通信部は、このメッセージに応じた信号を通信線へ出力することによりメッセージ送信を行う。
ここで本発明の中継装置は、処理部から通信部へ中継すべきメッセージが与えられた場合、このメッセージが正当なものであるか否かを記憶部に記憶したメッセージに基づいて判定し、正当でないと判定したメッセージの送信を禁止する。
これにより中継装置は、処理部へ与える前のメッセージと、処理部から与えられたメッセージとを比較して、メッセージの正当性を判定することができる。即ち中継装置は、中継すべきメッセージが処理部にて不正に改ざんされていないかどうかを判定することができ、正当でないメッセージが中継装置からECUなどの他の装置へ送信されることを防止できる。
また本発明において中継装置は、処理部から通信部へ与えられた中継すべきメッセージと、記憶部に記憶されたメッセージとが一致するか否かを判定することにより、中継すべきメッセージが正当なものであるか否かを判定する。これにより中継装置は、単純な比較処理を行うのみでメッセージの改ざんの有無を確実に判定することができる。
また本発明においては、中継装置の記憶部は、通信部が受信したメッセージを複数記憶することが可能な構成とする。処理部から中継すべきメッセージが与えられた場合、中継装置は、与えられたメッセージが記憶部に記憶されたいずれか一つのメッセージと一致する場合に、このメッセージが正当であると判定する。これにより、処理部にてスケジューリングなどの処理が行われ、中継の順序が受信順序と異なる場合であっても、中継装置はメッセージの改ざんの有無を確実に判定することができる。
また本発明においては、処理部から通信部へ与えられた中継すべきメッセージの一部分と、記憶部に記憶されたメッセージの一部分とが一致するか否かを判定することにより、中継すべきメッセージが正当なものであるか否かを判定する。比較をメッセージの一部分とすることによって、メッセージを記憶しておく記憶部の記憶容量を削減することができる。比較を行うメッセージの一部分を、例えばCANの通信規格のメッセージに含まれるID及びCRCとすることができる。
また中継装置の処理部は、ソフトウェアプログラムの実行により、複数のメッセージを統合するか、又は、1つのメッセージを複数に分割するかして、中継用メッセージを生成することができる。本発明の中継装置は、処理部から通信部へ与えられた中継用メッセージの一部分と、記憶部に記憶された一又は複数のメッセージの一部分とが一致するか否かを判定することにより、中継用メッセージが正当なものであるか否かを判定する。これにより、処理部にてメッセージの統合又は分割等の処理が行われる場合であっても、中継装置はメッセージの改ざんの有無を判定することができる。
また本発明において中継装置は、正当であると判定したメッセージを通信部が通信線に対して出力することにより、メッセージの中継を行う。この際に中継装置は、通信部が送信するメッセージに対する改ざんを検出する。例えば中継装置は、通信部が通信線へメッセージの1ビットに応じた信号を出力する都度、通信線上の信号をサンプリングして正しい送信が行われているか否かを判定することにより、メッセージの改ざんを検出できる。メッセージの改ざんを検出した場合、中継装置は、通信部によるメッセージの送信を中断する。これにより中継装置が送信するメッセージへの外部装置による悪意の改ざんに対して、メッセージ送信を中断することにより、改ざんされたメッセージが他のECUなどにて受信されることを防止できる。
本発明による場合は、受信したメッセージを記憶しておき、このメッセージに基づいて中継すべきメッセージが正当なものであるか否かの判定を行う構成とすることにより、中継処理を行うプログラムに不正な改ざんが行われた場合であっても、不正なメッセージが一又は複数のネットワークへ送信されることを防止することができる。
本実施の形態に係る車載通信システムの構成を示すブロック図である。 本実施の形態に係るゲートウェイの構成を示すブロック図である。 メッセージ受信の際に中継監視回路が行う処理の手順を示すフローチャートである。 中継すべきメッセージが与えられた際に中継監視回路が行う処理の手順を示すフローチャートである。 メッセージ送信の際に中継監視回路が行う処理の手順を示すフローチャートである。 実施の形態2に係るゲートウェイの構成を示すブロック図である。 メッセージの統合を説明するための模式図である。 メッセージの分割を説明するための模式図である。 判定条件記憶部に記憶される判定条件の一例を示す模式図である。 実施の形態2に係る中継監視回路が行う処理の手順を示すフローチャートである。 実施の形態2に係る中継監視回路が行う処理の手順を示すフローチャートである。
<実施の形態1>
以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。図1は、本実施の形態に係る車載通信システムの構成を示すブロック図である。本実施の形態に係る車載通信システムは、車両1に搭載された1つのゲートウェイ10と、複数のECU(Electronic Control Unit)4とを備えて構成されている。図示の例では、車両1に6つのECU4が搭載され、これら6つのECU4が2つのグループに別けられている。第1グループの3つのECU4は、第1の通信線2に接続されており、この通信線2を介して相互にメッセージの送受信を行うことができる。同様に、第2グループの3つのECU4は、第2の通信線3に接続されており、この通信線3を介して相互にメッセージの送受信を行うことができる。
2つの通信線2,3は、直接的に接続されておらず、それぞれゲートウェイ10に接続されている。ゲートウェイ10は、例えば一方の通信線2上に出力されたメッセージを取得し、取得したメッセージを他方の通信線3へ出力することによって、グループ間(ネットワーク間、通信線間)のメッセージ中継を行う装置である。これにより、第1の通信線2に接続されたECU4が送信したメッセージは、ゲートウェイ10により中継されて、第2の通信線3に接続されたECU4にて受信される。
図2は、本実施の形態に係るゲートウェイ10の構成を示すブロック図である。本実施の形態に係るゲートウェイ10は、処理部11、プログラム記憶部12、2つのCANコントローラ13a,13b及び中継監視回路20を備えて構成されている。処理部11は、例えばCPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を用いて構成されている。処理部11は、プログラム記憶部12に記憶された中継プログラム12aを読み出して実行する。これにより処理部11には、メッセージの中継処理を行う中継処理部11aがソフトウェアの機能ブロックとして実現される。
プログラム記憶部12は、EEPROM(Electrically Erasable Programmable Read Only Memory)又はフラッシュメモリ等の不揮発性のメモリ素子を用いて構成されている。プログラム記憶部12は、処理部11が実行する中継プログラム12aを予め記憶している。またプログラム記憶部12は、中継処理に用いられる種々のデータ、又は、中継プログラム12aとは別のプログラム等を更に記憶してもよい。
CANコントローラ13a,13bは、通信線2,3がそれぞれ接続され、通信線2,3を介してECU4との間でメッセージの送受信を行う。CANコントローラ13a,13bは、ECU4が通信線2,3に対して出力した信号をサンプリングして取得することによりメッセージを受信する。CANコントローラ13a,13bが受信したメッセージは、中継監視回路20を経て、処理部11へ与えられる。またCANコントローラ13a,13bは、中継監視回路20を経て、処理部11から中継すべきメッセージが与えられる。CANコントローラ13a,13bは、与えられたメッセージを信号として通信線2,3へ出力することによりECU4へのメッセージ送信を行う。
なお、図2及び以下の説明では、CANコントローラ13aがメッセージ受信を行い、CANコントローラ13bがメッセージ送信を行う者とする。ただしこれは一例であって、CANコントローラ13bがメッセージ受信を行い、CANコントローラ13aがメッセージ送信を行う場合もあり得る。CANコントローラ13a,13bは、メッセージの送信及び受信の両方を行うことができる。
処理部11に実現される中継処理部11aは、一方のCANコントローラ13aが受信したメッセージを、他方のCANコントローラ13bに与えて送信を行わせることにより、通信線2,3の間で(即ち、第1グループのECU4及び第2グループのECU4の間で)メッセージを中継する処理を行う。このときに中継処理部11aは、例えばメッセージの中継順序を調整するスケジューリング、又は、不正なメッセージを排除するフィルタリング等の処理を行ってよい。
中継監視回路20は、処理部11とCANコントローラ13a,13bとの間に介在し、通信線2,3の間で中継されるメッセージを監視する。なお従来のゲートウェイには、中継監視回路20が設けられておらず、CANコントローラ13a,13bが受信したメッセージは直接的に処理部11へ与えられ、処理部11から中継すべきメッセージがCANコントローラ13a,13bへ直接的に与えられていた。中継監視回路20は、メッセージ記憶部21、メッセージ判定部22及び改ざん検出部23等を備えて構成されている。なお本実施の形態において中継監視回路20は、ハードウェアとして実現される。
メッセージ記憶部21は、例えばSRAM(Static Random Access Memory)又はDRAM(Dynamic Random Access Memory)等のメモリ素子を用いて構成されている。中継監視回路20は、CANコントローラ13aにて受信したメッセージをメッセージ記憶部21に記憶した後、このメッセージを処理部11へ与える。中継監視回路20からメッセージを与えられた処理部11では、中継処理部11aにより上述の中継処理が行われ、この中継処理の結果として、中継すべきメッセージが処理部11から中継監視回路20へ与えられる。
中継監視回路20のメッセージ判定部22は、処理部11から与えられたメッセージが、メッセージ記憶部21に記憶されたメッセージと一致するか否かを判定する。これによりメッセージ判定部22は、中継するメッセージに対する不正な改ざんなどが処理部11にて行われていないことを確認する。メッセージ判定部22は、両メッセージが一致すると判定した場合、不正な改ざんは行われていないと判断し、処理部11から与えられたメッセージをCANコントローラ13bへ与える。中継監視回路20からメッセージを与えられたCANコントローラ13bは、与えられたメッセージを電気信号として通信線3へ出力することにより、メッセージの送信を行う。これに対して、両メッセージが一致しないとメッセージ判定部22が判定した場合、中継監視回路20は、処理部11から与えられたメッセージを送信せずに破棄する。
また中継監視回路20のメッセージ記憶部21は、複数のメッセージを記憶することができる。このため、メッセージ判定部22は、処理部11から与えられたメッセージと、メッセージ記憶部21に記憶された複数のメッセージとの比較を順に行い、いずれか1つのメッセージと一致した場合に不正な改ざんが行われていないと判定する。メッセージ判定部22は、処理部11から与えられたメッセージが、メッセージ記憶部21に記憶された全てのメッセージと一致しない場合に、不正な改ざんが行われたと判断し、メッセージを送信せずに破棄する。
なお本実施の形態において中継監視回路20のメッセージ記憶部21は、CANコントローラ13a,13bが受信したメッセージについて全ビットの情報を記憶する。即ちCANの通信規格のメッセージの場合、SOF〜EOFまでの全ビットの情報を記憶する(ただし、SOF及びEOFは省略してもよい)。メッセージ判定部22は、メッセージ記憶部21に記憶されたメッセージと、処理部11から与えられたメッセージとを比較する場合、両メッセージの全ビットが一致するか否かを判定する。
ただし、中継監視回路20のメッセージ記憶部21は、CANコントローラ13a,13bが受信したメッセージの一部分のみを記憶する構成としてよい。この構成の場合、メッセージ判定部22は、メッセージ記憶部21に記憶されたメッセージの一部分と、処理部11から与えられたメッセージの一部分とを比較すればよい。メッセージ記憶部21が記憶する一部分として、例えばCANの通信規格のメッセージであれば、CAN−ID及びCRCを記憶しておくことが好適である。このような構成とすることにより、メッセージ記憶部21の記憶容量を削減することができ、メッセージ判定部22の判定処理を容易化することができるため、中継監視回路20の回路規模の増大を抑制することができる。
また中継監視回路20のメッセージ記憶部21は、CANコントローラ13a,13bが受信したメッセージを記憶した後、記憶したメッセージがメッセージ判定部22の判定に用いられ、処理部11から与えられたメッセージと一致するとの判定がなされるまでの間、メッセージを記憶し続ける。即ち、メッセージ記憶部21は、受信したメッセージが正当な中継処理により中継されるまでの間、メッセージを記憶し続ける。ただしメッセージ記憶部21は、メッセージを記憶してから所定時間が経過した場合に、メッセージが中継される前であってもこのメッセージを破棄してもよい。またメッセージ記憶部21は、記憶できる限りのメッセージを記憶し続け、記憶容量の限界に達してこれ以上のメッセージを記憶できなくなった場合に、古いものから順にメッセージを破棄してもよい。
また本実施の形態に係る中継監視回路20の改ざん検出部23は、メッセージ判定部22が不正な改ざんが行われていないと判定してCANコントローラ13a,13bへ与えたメッセージについて、このメッセージがCANコントローラ13a,13bから送信される際に、通信線2,3上にてメッセージの不正な改ざんが行われたか否かを監視する。CANコントローラ13a,13bは、メッセージ送信を行う場合、メッセージの各ビットに対応する電気信号を通信線2,3へ出力すると共に、通信線2,3上の信号をサンプリングして取得する処理を行っている。中継監視回路20の改ざん検出部23は、CANコントローラ13a,13bがメッセージ送信に際して取得した信号に応じたデジタルデータを、メッセージ送信の1ビット毎に取得する。改ざん検出部23は、中継すべきメッセージとしてCANコントローラ13a,13bへ与えたメッセージの送信対象となった1ビットのデータと、CANコントローラ13a,13bがメッセージ送信に際して取得したデータとが一致するか否かを1ビット毎に判定する。両データが一致しない場合、改ざん検出部23は、通信線2,3上で不正な改ざんが行われたと判断し、CANコントローラ13a,13bにCANの通信規格のエラーフレームを送信させることにより、メッセージ送信を中断する。
図3は、メッセージ受信の際に中継監視回路20が行う処理の手順を示すフローチャートである。中継監視回路20は、CANコントローラ13a,13bのいずれかにてメッセージを受信したか否かを判定する(ステップS1)。いずれのCANコントローラ13a,13bもメッセージを受信していない場合(S1:NO)、中継監視回路20は、いずれかのCANコントローラ13a,13bにてメッセージを受信するまで待機する。いずれかのCANコントローラ13a,13bにてメッセージを受信した場合(S1:YES)、中継監視回路20は、CANコントローラ13a,13bが受信したメッセージを取得してメッセージ記憶部21に記憶する(ステップS2)。ついで中継監視回路20は、CANコントローラ13a,13bが受信したメッセージを処理部11へ与えて(ステップS3)、処理を終了する。
図4は、中継すべきメッセージが与えられた際に中継監視回路20が行う処理の手順を示すフローチャートである。中継監視回路20は、処理部11から中継すべきメッセージが与えられたか否かを判定する(ステップS11)。処理部11からメッセージが与えられていない場合(S11:NO)、中継監視回路20は、中継すべきメッセージが与えられるまで待機する。処理部11からメッセージが与えられた場合(S11:YES)、中継監視回路20は、メッセージ記憶部21に記憶されたメッセージを読み出して(ステップS12)、処理部11から与えられたメッセージとの比較を行う(ステップS13)。
メッセージを比較した結果、中継監視回路20は、両メッセージが一致するか否かを判定する(ステップS14)。両メッセージが一致する場合(S14:YES)、中継監視回路20は、このメッセージをCANコントローラ13a,13bへ与えて(ステップS15)、メッセージを送信する。また中継監視回路20は、中継を終えたメッセージについて、メッセージ記憶部21からこのメッセージを消去し(ステップS16)、処理を終了する。また両メッセージが一致しない場合(S14:NO)、中継監視回路20は、このメッセージを破棄して(ステップS17)、処理を終了する。
図5は、メッセージ送信の際に中継監視回路20が行う処理の手順を示すフローチャートである。中継監視回路20の改ざん検出部23は、CANコントローラ13a,13bにてメッセージの1ビット分の送信処理が行われたか否かを判定する(ステップS21)。1ビット分の送信処理が行われていない場合(S21:NO)、改ざん検出部23は、送信処理が行われるまで待機する。1ビット分の送信処理が行われた場合(S21:YES)、改ざん検出部23は、1ビット分の信号出力と共に行われる通信線2,3のサンプリング結果である1ビット分のサンプリングデータをCANコントローラ13a,13bから取得する(ステップS22)。
改ざん検出部23は、取得したサンプリングデータと、送信すべきメッセージの1ビット分のデータとの比較を行う(ステップS23)。この比較により、改ざん検出部23は、両データが一致するか否かを判定する(ステップS24)。両データが一致する場合(S24:YES)、改ざん検出部23は、ステップS21へ処理を戻す。両データが一致しない場合(S24:NO)、改ざん検出部23は、CANコントローラ13a,13bにエラーフレームを送信させて(ステップS25)、処理を終了する。
以上の構成の実施の形態1に係るゲートウェイ10は、それぞれが通信線2,3に接続される複数のCANコントローラ13a,13bを備え、処理部11が中継プログラム12aを実行することによって、一のCANコントローラ13a,13bが受信したメッセージを他のCANコントローラ13a,13bから送信するメッセージ中継の処理を行う。ゲートウェイ10は、処理部11とは別に、CANコントローラ13a,13bが受信したメッセージを記憶するメッセージ記憶部21を備える。一のCANコントローラ13a,13bが通信線2,3を介して他のECU4からメッセージを受信した場合、このCANコントローラ13a,13bが受信したメッセージはメッセージ記憶部21に記憶されると共に、処理部11へ与えられる。メッセージを与えられた処理部11は、中継プログラム12aの実行により、メッセージの中継に必要な処理を行う。処理部11は、中継すべきメッセージを、このメッセージを中継すべきECU4が接続されたCANコントローラ13a,13bへ与える。処理部11から中継すべきメッセージを与えられたCANコントローラ13a,13bは、このメッセージに応じた信号を通信線2,3へ出力することによりメッセージ送信を行う。
ただし本実施の形態に係るゲートウェイ10は、CANコントローラ13a,13bから処理部11へ与える前のメッセージと、処理部11からCANコントローラ13a,13bへ与えられたメッセージとを比較して、メッセージの正当性をメッセージ判定部22が判定する。即ちゲートウェイ10は、中継すべきメッセージが処理部11にて不正に改ざんされていないかどうかを判定することができ、正当でないメッセージの送信を禁止することで、正当でないメッセージがゲートウェイ10から他のECU4へ送信されることを防止できる。
またゲートウェイ10は、CANコントローラ13a,13bが受信してメッセージ記憶部21に記憶したメッセージと、処理部11がCANコントローラ13a,13bへ与える中継すべきメッセージとを比較する。この比較によりゲートウェイ10は、両メッセージが一致するか否かを判定して、中継すべきメッセージが正当なものであるか否かを判定する。これによりゲートウェイ10は、単純な比較処理を行うのみで、処理部11によるメッセージの改ざんの有無を確実に判定することができる。
またゲートウェイ10のメッセージ記憶部21は、CANコントローラ13a,13bが受信したメッセージを複数記憶することができる。処理部11からCANコントローラ13a,13bへの中継すべきメッセージが与えられた場合、ゲートウェイ10は、与えられたメッセージがメッセージ記憶部21に記憶されたいずれか一つのメッセージと一致する場合に、このメッセージが正当であると判定する。これにより、処理部11にてスケジューリングなどの中継処理が行われ、中継の順序が受信順序と異なる場合であっても、ゲートウェイ10はメッセージの改ざんの有無を確実に判定することができる。
なおゲートウェイ10は、メッセージ記憶部21に受信メッセージの全てを記憶するのではなく、その一部分を記憶しておく構成としてもよい。この場合にゲートウェイ10は、処理部11からCANコントローラ13a,13bへ与えられた中継すべきメッセージの一部分と、メッセージ記憶部21に記憶されたメッセージの一部分とが一致するか否かを判定することにより、中継すべきメッセージが正当なものであるか否かを判定する。比較をメッセージの一部分とすることによって、メッセージ記憶部21の記憶容量を削減することができる。比較を行うメッセージの一部分を、例えばCANの通信規格のメッセージに含まれるID及びCRCとすることができる。
またゲートウェイ10は、正当であると判定したメッセージをCANコントローラ13a,13bが通信線2,3に対して出力することにより、メッセージの中継を行う。この際にゲートウェイ10は、CANコントローラ13a,13bが送信するメッセージに対する改ざんの検出を行う。ゲートウェイ10は、CANコントローラ13a,13bが通信線2,3へメッセージの1ビットに応じた信号を出力する都度、通信線2,3上の信号をサンプリングして比較を行い、正しいメッセージが送信されているか否かを判定することにより、メッセージの改ざんを検出する。メッセージの改ざんを検出した場合、ゲートウェイ10は、CANコントローラ13a,13bにエラーフレームの送信を行わせることにより、メッセージ送信を中断する。これにより、ゲートウェイ10が送信するメッセージへの外部の悪意の装置による改ざんに対して、ゲートウェイ10はメッセージの送信を中断して、改ざんされたメッセージがECU4にて受信されることを防止できる
なお本実施の形態においては、ゲートウェイ10に2つの通信線2,3を接続する構成としたが、これに限るものではなく、3つ以上の通信線を接続する構成としてもよい。この場合にゲートウェイ10は、一の通信線にて受信したメッセージを他の2つの通信線へ中継すればよい。また本実施の形態においては、各通信線2,3に3つのECU4を接続する構成としたが、これに限るものではない。通信線2,3に接続されるECU4の数はいくつであってもよい。
また本実施の形態においてゲートウェイ10は、メッセージ記憶部21及びメッセージ判定部22を1つのハードウェア、即ち中継監視回路20として備える構成としたが、これに限るものではない。メッセージ記憶部21及びメッセージ判定部22をそれぞれ別のハードウェアとして備える構成としてもよい。ただしメッセージ記憶部21及びメッセージ判定部22は、処理部11にて実行されるソフトウェア的な機能ブロックとして実現されるのではなく、処理部11とは別のハードウェアとして実現される。
なお本実施の形態においては、ゲートウェイ10及びECU4がCANの通信規格に従った通信を行う構成としたが、これに限るものではない。ゲートウェイ10及びECU4は、CAN以外の通信規格、例えばTCP/IP、イーサネット(登録商標)又はFlexRay等に従った通信を行う構成としてもよい。また車両1に搭載される通信システムを例に説明を行ったが、これに限るものではなく、航空機若しくは船舶等の移動体に搭載される通信システム、又は、工場若しくはオフィス等に設置される通信システム等のように、車載以外の通信システムに対して本技術を適用してもよい。
<実施の形態2>
図6は、実施の形態2に係るゲートウェイ210の構成を示すブロック図である。上述の実施の形態1に係るゲートウェイ10は、処理部11の中継処理においてスケジューリングなどの処理は行うが、メッセージの内容を変更するような処理は行われないことを前提としている。これに対して実施の形態2に係るゲートウェイ210は、複数のメッセージを統合して1つの中継用メッセージを生成する処理、又は、1つのメッセージを複数に分割して複数の中継用メッセージを生成する処理等を、処理部11の中継処理において行うことが許可されている。
実施の形態2に係るゲートウェイ210の中継監視回路220は、メッセージ記憶部21、メッセージ判定部222及び判定条件記憶部223(図6において単に”判定条件”と記載してある)を備えている。判定条件記憶部223は、メッセージ判定部222による判定の条件を記憶する。判定条件記憶部223は、例えばEEPROM又はフラッシュメモリ等のメモリ素子を用いて構成することができる。ただし、判定条件記憶部223は、例えばデータ書き換え不可能なマスクROM(Read Only Memory)又は電気的なデータ書き換えが不可能なEPROM(Erasable Programmable Read Only Memory)等のメモリ素子を用いることにより、セキュリティ性を向上することができる。いずれのメモリ素子を用いる場合であっても、判定条件記憶部223は、耐タンパ性のあるメモリに保持するなどの方法を用いて、処理部11が直接的にデータの読み書きを行うことができない構成とすることが好ましい。メッセージ判定部222は、例えばゲートウェイ210の起動時などに判定条件記憶部223から判定条件を読み出し、読み出した判定条件に従ってメッセージの正当性を判定する。
図7は、メッセージの統合を説明するための模式図である。図7は、通信線2を介してCANコントローラ13aが受信した3つのメッセージを処理部11が1つのメッセージに統合して中継用メッセージを生成し、この中継用メッセージをCANコントローラ13bから通信線3を介してECU4へ送信する場合の例である。この場合、CANコントローラ13aが受信した複数のメッセージは順にメッセージ記憶部21に記憶されると共に、処理部11へ与えられる。処理部11は、必要なメッセージが揃ったと判断した場合に、3つのメッセージからそれぞれ必要な情報(データ1、データ2、データ3)を抽出し、抽出した3つの情報を連結してヘッダ部及びフッタ部を付加したものを中継用メッセージとすることができる。なおCANの通信規格のメッセージの場合、図示のヘッダ部はSOF、アービトレーションフィールド及びコントロールフィールド等を含むものであり、フッタ部はCRCフィールド、ACKフィールド及びEOF等を含むものである。
処理部11から中継用メッセージを与えられたメッセージ判定部222は、この中継用メッセージとメッセージ記憶部21に記憶されたメッセージとを比較して中継用メッセージの正当性を判定する必要がある。ヘッダ部及びフッタ部はメッセージの統合により変更されている可能性があるため、メッセージ判定部222は、中継用メッセージに含まれる複数のデータとメッセージ記憶部21に記憶された複数のメッセージにそれぞれ含まれるデータとを比較する。このときにメッセージ判定部222は、例えば中継用メッセージに含まれる3つのデータ1,2,3の全てについて、メッセージ記憶部21に記憶されたメッセージに含まれるデータ1,2,3との一致を正当性の条件として判定を行ってもよい。またメッセージ判定部222は、例えば中継用メッセージに含まれる3つのデータ1,2,3のいずれか1つについて、メッセージ記憶部21に記憶されたメッセージに含まれるデータ1,2,3との一致を正当性の条件として判定を行ってもよい。中継用メッセージに含まれるデータ1,2,3のいずれか1つの一致を判定する場合、例えば受信時刻が最新のデータについてのみ判定を行う構成としてもよい。これらの判定条件は、ゲートウェイ210の設計段階などにおいて予め決定され、判定条件記憶部223に記憶される。
図8は、メッセージの分割を説明するための模式図である。図8は、通信線2を介してCANコントローラ13aが受信したメッセージが3つのデータ1,2,3を含み、このメッセージを与えられた処理部11が受信メッセージを3つの中継用メッセージに分割し、分割された3つの中継用メッセージをCANコントローラ13bから通信線3を介してECU4へ順に送信する場合の例である。この場合、CANコントローラ13aが受信したメッセージはメッセージ記憶部21に記憶されると共に、処理部11へ与えられる。処理部11は、与えられたメッセージに複数のデータ1,2,3が含まれていると判断した場合、このメッセージから3つのデータ1,2,3を抽出し、各データ1,2,3にヘッダ部及びフッタ部をそれぞれ付加したものと中継用メッセージとすることができる。
処理部11から中継用メッセージを与えられたメッセージ判定部222は、この中継用メッセージとメッセージ記憶部21に記憶されたメッセージとを比較して中継用メッセージの正当性を判定する必要がある。例えばデータ1を含む中継用メッセージを与えられたメッセージ判定部222は、メッセージ記憶部21に記憶されている一又は複数のメッセージの中に、データ1を含むメッセージが存在するか否かを判定することにより、中継用メッセージの正当性を判定する。なおメッセージ記憶部21は、データ1を含む中継用メッセージがCANコントローラ13bにより送信された場合であっても、データ1,2,3を含む受信メッセージを消去せずに記憶しておく必要がある。これはその後にデータ2,3を含む中継用メッセージが処理部11から与えられた場合に、メッセージ判定部222が判定を行うためである。よってメッセージ記憶部21は、例えば記憶しているメッセージに含まれる全てのデータについてメッセージ判定部222による比較が完了することを確認した後にメッセージの消去を行う構成とすることができる。又は、メッセージ記憶部21は、例えばメッセージの受信から所定時間が経過した場合、若しくは、いずれか1つのデータに対する比較がメッセージ判定部222にて行われてから所定時間が経過した場合等に、メッセージの消去を行う構成とすることができる。
図9は、判定条件記憶部223に記憶される判定条件の一例を示す模式図である。図示の判定条件では、転送元情報(CANコントローラ13a,13bにて受信したメッセージに関する情報)として、中継元通信線、CAN−ID、データ比較範囲及びCRC要否の情報が設定される。また判定条件では、転送先情報(処理部11からCANコントローラ13a,13bへ与えられる送信用のメッセージに関する情報)として、中継先通信線、CAN−ID、データ比較範囲、比較方式及び中継ルール等の情報が設定される。
転送元情報に含まれる中継元通信線の設定は、受信したメッセージが通信線2,3のいずれを介して受信したものであるかを示す。CAN−IDは、受信したメッセージに付されていたCAN−IDを示す。データ比較範囲は、受信したメッセージに含まれるデータ(本例では64ビット)のうち、比較に用いる範囲を“開始ビット〜終了ビット”の態様で示す。CRC要否は、メッセージに含まれるCRCの比較を行う必要があるか否かを示す。
転送先情報に含まれる中継先通信線の設定は、メッセージの送信先が通信線2,3のいずれであるかを示す。CAN−IDは、処理部11から与えられた送信メッセージに付されたCAN−IDを示す。データ比較範囲は、送信メッセージに含まれるデータ(本例では64ビット)のうち、比較に用いる範囲を“開始ビット〜終了ビット”の態様で示す。比較方式は、データの比較を行う方式1、又は、CRCの比較を行う方式2のいずれかが設定される。中継ルールは、処理部11から与えられた送信メッセージとメッセージ記憶部21に記憶された最新のメッセージとが一致した場合に中継を行うルール1、又は、送信メッセージがメッセージ記憶部21に記憶されたいずれかのメッセージと一致した場合に中継を行うルール2のいずれかが設定される。
図9の判定条件に示された1つ目の例は、通信線2を介してCANコントローラ13aが受信してメッセージ記憶部21に記憶されたCAN−IDが2のメッセージに含まれるデータの0〜63ビットと、処理部11からCANコントローラ13bへ与えられた通信線3へ送信すべきCAN−IDが3のメッセージに含まれるデータの0〜63ビットとを比較し、両データが一致した場合にCANコントローラ13bが通信線3へメッセージを送信する。なおメッセージの比較は、メッセージ記憶部21に記憶された最新のメッセージと、処理部11から与えられたメッセージとを対象に行われる。
図9の判定条件に示された2つ目の例は、通信線2を介してCANコントローラ13aが受信してメッセージ記憶部21に記憶されたCAN−IDが10のメッセージに含まれるデータの0〜7ビットと、処理部11からCANコントローラ13bへ与えられた通信線3へ送信すべきCAN−IDが10のメッセージに含まれるデータの0〜7ビットとを比較し、両データが一致した場合にCANコントローラ13bが通信線3へメッセージを送信する。なおメッセージの比較は、メッセージ記憶部21に記憶された全てのメッセージと、処理部11から与えられたメッセージとを対象に行われ、いずれかのメッセージが一致すればよい。
図9の判定条件に示された3つ目の例は、通信線2を介してCANコントローラ13aが受信してメッセージ記憶部21に記憶されたCAN−IDが10のメッセージに含まれるデータの8〜63ビットと、処理部11からCANコントローラ13bへ与えられた通信線3へ送信すべきCAN−IDが20のメッセージに含まれるデータの8〜63ビットとを比較し、両データが一致した場合にCANコントローラ13bが通信線3へメッセージを送信する。なおメッセージの比較は、メッセージ記憶部21に記憶された全てのメッセージと、処理部11から与えられたメッセージとを対象に行われ、いずれかのメッセージが一致すればよい。
図9の判定条件に示された4つ目の例は、通信線2を介してCANコントローラ13aが受信してメッセージ記憶部21に記憶されたCAN−IDが30のメッセージに含まれるCRCと、処理部11からCANコントローラ13bへ与えられた通信線3へ送信すべきCAN−IDが10のメッセージに含まれるCRCとを比較し、両CRCが一致した場合にCANコントローラ13bが通信線3へメッセージを送信する。なおメッセージの比較は、メッセージ記憶部21に記憶された全てのメッセージと、処理部11から与えられたメッセージとを対象に行われ、いずれかのメッセージが一致すればよい。
図10及び図11は、実施の形態2に係る中継監視回路220が行う処理の手順を示すフローチャートである。中継監視回路220は、処理部11から中継すべきメッセージが与えられたか否かを判定する(ステップS51)。処理部11からメッセージが与えられていない場合(S51:NO)、中継監視回路220は、中継すべきメッセージが与えられるまで待機する。
処理部11からメッセージが与えられた場合(S51:YES)、中継監視回路220は、判定条件記憶部223に記憶された判定条件を取得する(ステップS52)。中継監視回路220は、ステップS52にて取得した判定条件の転送先情報の中に、ステップS51にて与えられたメッセージに付されたCAN−IDに該当する条件が含まれているか否かを判定する(ステップS53)。該当する条件が含まれていない場合(S53:NO)、中継監視回路20は、このメッセージを破棄して(ステップS55)、処理を終了する。
該当する条件が含まれている場合(S53:YES)、中継監視回路220は、この条件の転送元情報に設定されたCAN−IDを有するメッセージがメッセージ記憶部21に記憶されているか否かを判定する(ステップS54)。メッセージが記憶されていない場合(S54:NO)、中継監視回路20は、このメッセージを破棄して(ステップS55)、処理を終了する。
メッセージが記憶されている場合(S54:YES)、中継監視回路220は、メッセージ記憶部21からメッセージを読み出す(ステップS56)。中継監視回路220は、ステップS56にて読み出したメッセージと、ステップS51にて与えられたメッセージとからそれぞれ比較用の情報を生成する(ステップS57)。このときに中継監視回路220は、判定条件にて指定されたビットのデータ又はCRCをメッセージから抽出することで比較用の方法を生成することができる。
中継監視回路220は、生成した2つの比較用の情報を比較し、両情報が一致するか否かを判定する(ステップS58)。両情報が一致しない場合(S58:NO)、中継監視回路220は、判定条件に設定された中継ルールがルール2であるか否かを判定する(ステップS59)。中継ルールがルール1である場合(S59:NO)、中継監視回路220は、このメッセージを破棄して(ステップS61)、処理を終了する。
中継ルールがルール2である場合(S59:YES)、中継監視回路220は、メッセージ記憶部21に比較対象となる他のメッセージが記憶されているか否かを判定する(ステップS60)。他のメッセージが記憶されていない場合(S60:NO)、中継監視回路220は、このメッセージを破棄して(ステップS61)、処理を終了する。他のメッセージが記憶されている場合(S60:YES)、中継監視回路220は、ステップS56へ処理を戻し、次のメッセージを読み出して上述の処理を繰り返す。
ステップS58において、生成した2つの比較用の情報が一致した場合(S58:YES)、中継監視回路220は、送信用のメッセージをCANコントローラ13a,13bへ与えて(ステップS62)、メッセージを送信し、処理を終了する。
以上の構成の実施の形態2に係るゲートウェイ210は、処理部11が中継プログラム12aを実行することにより、複数のメッセージを統合するか、又は、1つのメッセージを複数に分割するかして、中継用メッセージを生成することができる。ゲートウェイ210は、処理部11からCANコントローラ13a,13bへ与えられる中継用メッセージの一部分(データ部分)と、メッセージ記憶部21に記憶された一又は複数のメッセージの一部分とが一致するか否かを判定することにより、中継用メッセージが正当なものであるか否かを判定する。これにより実施の形態2に係るゲートウェイ210は、処理部11にてメッセージの統合又は分割等の処理がなされる場合であっても、処理部11内でのメッセージの改ざんの有無を判定することができる。
なお実施の形態2においては、ゲートウェイ210の中継監視回路220が判定条件記憶部223を備え、判定条件記憶部223に記憶された判定条件に従ってメッセージ判定部222が判定処理を行う構成としたが、これに限るものではない。中継監視回路220は判定条件記憶部223を備えず、メッセージ判定部222が回路的に定められた判定条件に従って判定処理を行う構成としてもよい。またゲートウェイ210の処理部11は、メッセージの統合及び分割の両処理を行うことが可能な構成としたが、これに限るものではなく、処理部11がメッセージの統合又は分割のいずれか一つのみを行うことが可能な構成としてもよい。
なお、実施の形態2に係るゲートウェイ210のその他の構成は、実施の形態1に係るゲートウェイ10の構成と同様であるため、同様の箇所には同じ符号を付して詳細な説明を省略する。
1 車両
2,3 通信線
4 ECU
10 ゲートウェイ
11 処理部
11a 中継処理部
12 プログラム記憶部
12a 中継プログラム(ソフトウェアプログラム)
13a,13b CANコントローラ(通信部)
20 中継監視回路(禁止部、検出部、中断部)
21 メッセージ記憶部
22 メッセージ判定部(判定部)
210 ゲートウェイ
220 中継監視回路
222 メッセージ判定部
223 判定条件記憶部

Claims (9)

  1. それぞれが通信線に接続されて該通信線を介したメッセージの送受信を行う通信部を複数備え、前記通信部間でのメッセージを中継する中継装置において、
    前記通信部が受信したメッセージを記憶するメッセージ記憶部と、
    メッセージの中継処理を行うソフトウェアプログラムを記憶するプログラム記憶部と、
    該プログラム記憶部に記憶されたソフトウェアプログラムを実行してメッセージの中継処理を行う処理部と、
    前記処理部から前記通信部へ中継すべきメッセージが与えられた場合に、該メッセージの正当性を前記メッセージ記憶部に記憶されたメッセージに基づいて判定する判定部と
    を備えることを特徴とする中継装置。
  2. 前記判定部が正当でないと判定したメッセージの前記通信部による送信を禁止する禁止部を備えること
    を特徴とする請求項1に記載の中継装置。
  3. 前記判定部は、前記処理部から前記通信部へ与えられた中継すべきメッセージと、前記メッセージ記憶部に記憶されたメッセージとが一致する場合に、前記中継すべきメッセージが正当であると判定すること
    を特徴とする請求項1又は請求項2に記載の中継装置。
  4. 前記判定部は、前記処理部から前記通信部へ与えられた中継すべきメッセージが、前記メッセージ記憶部に記憶されたいずれか一つのメッセージと一致する場合に、前記中継すべきメッセージが正当であると判定し、
    前記メッセージ記憶部は、前記判定部により正当であると判定されて中継されたメッセージを削除すること
    を特徴とする請求項3に記載の中継装置。
  5. 前記判定部は、前記処理部から前記通信部へ与えられた中継すべきメッセージの一部分と、前記メッセージ記憶部に記憶されたメッセージの一部分とが一致する場合に、前記中継すべきメッセージが正当であると判定すること
    を特徴とする請求項1又は請求項2に記載の中継装置。
  6. 前記メッセージは、CANの通信規格に従うメッセージであり、
    前記一部分は、前記メッセージに含まれるID及びCRCであること
    を特徴とする請求項5に記載の中継装置。
  7. 前記処理部は、前記プログラム記憶部に記憶されたソフトウェアプログラムの実行により、一又は複数の通信部から取得した複数のメッセージを統合した中継用メッセージを生成し、
    前記判定部は、前記処理部から前記通信部へ与えられた前記中継用メッセージの一部分と、前記メッセージ記憶部に記憶された一又は複数のメッセージの一部分とが一致する場合に、前記中継用メッセージが正当であると判定すること
    を特徴とする請求項3に記載の中継装置。
  8. 前記処理部は、前記プログラム記憶部に記憶されたソフトウェアプログラムの実行により、前記通信部から取得したメッセージを分割して複数の中継用メッセージを生成し、
    前記判定部は、前記処理部から前記通信部へ与えられた前記中継用メッセージの一部分と、前記メッセージ記憶部に記憶されたメッセージの一部分とが一致する場合に、前記中継用メッセージが正当であると判定すること
    を特徴とする請求項3に記載の中継装置。
  9. 前記判定部が正当であると判定したメッセージを前記通信部が送信する際に、送信されたメッセージに対する改ざんを検出する検出部と、
    該検出部が改ざんを検出した場合に、前記通信部によるメッセージ送信を中断させる中断部と
    を備えることを特徴とする請求項1乃至請求項8のいずれか1つに記載の中継装置。
JP2015171190A 2015-08-31 2015-08-31 中継装置 Active JP6525824B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015171190A JP6525824B2 (ja) 2015-08-31 2015-08-31 中継装置
US15/753,663 US10439842B2 (en) 2015-08-31 2016-08-19 Relay device
DE112016003907.7T DE112016003907T5 (de) 2015-08-31 2016-08-19 Weiterleitungsvorrichtung
PCT/JP2016/074225 WO2017038500A1 (ja) 2015-08-31 2016-08-19 中継装置
CN201680046946.9A CN108353015B (zh) 2015-08-31 2016-08-19 中继装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015171190A JP6525824B2 (ja) 2015-08-31 2015-08-31 中継装置

Publications (2)

Publication Number Publication Date
JP2017050643A true JP2017050643A (ja) 2017-03-09
JP6525824B2 JP6525824B2 (ja) 2019-06-05

Family

ID=58187485

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015171190A Active JP6525824B2 (ja) 2015-08-31 2015-08-31 中継装置

Country Status (5)

Country Link
US (1) US10439842B2 (ja)
JP (1) JP6525824B2 (ja)
CN (1) CN108353015B (ja)
DE (1) DE112016003907T5 (ja)
WO (1) WO2017038500A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020130136A1 (ja) * 2018-12-21 2020-06-25 株式会社オートネットワーク技術研究所 車載中継装置、中継方法及びプログラム
WO2023149205A1 (ja) * 2022-02-02 2023-08-10 株式会社オートネットワーク技術研究所 車載中継装置、車載中継方法および車載中継プログラム

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3185486B1 (de) * 2015-12-23 2019-07-31 TTTech Computertechnik AG Verfahren zur übertragung von nachrichten in einem computernetzwerk und computernetzwerk
JP6280662B2 (ja) * 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP6512205B2 (ja) * 2016-11-14 2019-05-15 トヨタ自動車株式会社 通信システム
US10798104B2 (en) * 2018-01-15 2020-10-06 Ford Global Technologies, Llc Networked communications control for vehicles
JP7269955B2 (ja) * 2018-11-30 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両ログ送信装置、車両ログ解析サーバおよび車両ログ解析システム
US11269795B2 (en) 2019-08-01 2022-03-08 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including a link media expansion and conversion mechanism
US11156987B2 (en) 2019-08-01 2021-10-26 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including a message retransmission mechanism
US11689386B2 (en) 2019-08-01 2023-06-27 Vulcan Technologies International Inc. Intelligent controller and sensor network bus, system and method for controlling and operating an automated machine including a failover mechanism for multi-core architectures
US11269316B2 (en) 2019-08-01 2022-03-08 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including smart compliant actuator module
US11809163B2 (en) 2019-08-01 2023-11-07 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including a message retransmission mechanism
US11258538B2 (en) 2019-08-01 2022-02-22 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including an error avoidance and correction mechanism
US11263157B2 (en) 2019-08-01 2022-03-01 Vulcan Technologies Shanghai Co., Ltd. Intelligent controller and sensor network bus, system and method including a dynamic bandwidth allocation mechanism
CN112867997A (zh) * 2019-10-15 2021-05-28 鹏瞰科技(上海)有限公司 包括智能柔性执行器模块的智能控制器及传感器网络总线、系统和方法
CN113543088A (zh) * 2020-04-16 2021-10-22 上海泽辛信息技术有限公司 一种基于LoRaWAN多通道的数据传输方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS54121707U (ja) * 1978-02-15 1979-08-25
JPH0331181A (ja) * 1989-06-29 1991-02-08 Mitsubishi Electric Corp エレベータの制御装置
JPH0366242A (ja) * 1989-08-04 1991-03-20 Fujitsu Ltd バス線信号監視回路
JP2000209236A (ja) * 1999-01-13 2000-07-28 Toshiba Corp インタ―フェ―ス機器
US6226260B1 (en) * 1995-12-29 2001-05-01 Mci Communications Corporation Method and system for resilient frame relay network interconnection
JP2009298499A (ja) * 2008-06-10 2009-12-24 Hitachi Ltd エレベーターの通信用中継器

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7173923B2 (en) * 2000-03-17 2007-02-06 Symbol Technologies, Inc. Security in multiple wireless local area networks
US20030200342A1 (en) * 2001-07-02 2003-10-23 Globespan Virata Incorporated Communications system using rings architecture
US10021062B2 (en) * 2005-07-01 2018-07-10 Cirius Messaging Inc. Secure electronic mail system
US7835306B2 (en) * 2008-01-23 2010-11-16 Cisco Technology, Inc. Translating MST instances between ports of a bridge in a computer network
EP2477362A4 (en) * 2009-09-10 2013-12-04 Nec Corp RELAY CONTROL DEVICE, RELAY CONTROL SYSTEM, RELAY CONTROL METHOD, AND RELAY CONTROL PROGRAM
JP2011103577A (ja) 2009-11-11 2011-05-26 Renesas Electronics Corp 通信コントローラ、通信システム、及び通信制御方法
US9225544B2 (en) * 2011-12-22 2015-12-29 Toyota Jidosha Kabushiki Kaisha Communication system and communication method
JP2014086812A (ja) 2012-10-22 2014-05-12 Renesas Electronics Corp Canシステム及びノード
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
DE112013006757B4 (de) * 2013-03-01 2022-03-24 Mitsubishi Electric Corporation Datenverarbeitungsvorrichtung und Kommunikationssystem
US9736055B2 (en) * 2013-05-31 2017-08-15 Metanoia Communications Inc. Inter-medium bridging with inter-domain routing and multi-medium domain coordination
EP3852313B1 (en) * 2014-04-03 2022-06-08 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and anti-fraud handling method
CN104301177B (zh) * 2014-10-08 2018-08-03 清华大学 Can报文异常检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS54121707U (ja) * 1978-02-15 1979-08-25
JPH0331181A (ja) * 1989-06-29 1991-02-08 Mitsubishi Electric Corp エレベータの制御装置
JPH0366242A (ja) * 1989-08-04 1991-03-20 Fujitsu Ltd バス線信号監視回路
US6226260B1 (en) * 1995-12-29 2001-05-01 Mci Communications Corporation Method and system for resilient frame relay network interconnection
JP2000209236A (ja) * 1999-01-13 2000-07-28 Toshiba Corp インタ―フェ―ス機器
JP2009298499A (ja) * 2008-06-10 2009-12-24 Hitachi Ltd エレベーターの通信用中継器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MIZRAK, A. ET AL.: "Faith: detecting and isolating malicious routers", PROCEEDINGS OF THE 2005 INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS (DSN'05), JPN6018042339, 2005, pages pp. 538-547 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020130136A1 (ja) * 2018-12-21 2020-06-25 株式会社オートネットワーク技術研究所 車載中継装置、中継方法及びプログラム
WO2023149205A1 (ja) * 2022-02-02 2023-08-10 株式会社オートネットワーク技術研究所 車載中継装置、車載中継方法および車載中継プログラム

Also Published As

Publication number Publication date
US10439842B2 (en) 2019-10-08
US20190007234A1 (en) 2019-01-03
JP6525824B2 (ja) 2019-06-05
CN108353015B (zh) 2021-02-26
WO2017038500A1 (ja) 2017-03-09
DE112016003907T5 (de) 2018-05-30
CN108353015A (zh) 2018-07-31

Similar Documents

Publication Publication Date Title
WO2017038500A1 (ja) 中継装置
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
US10432421B2 (en) Communication control device and communication system
US9331854B2 (en) Message authentication method in communication system and communication system
JP6481579B2 (ja) 車載通信システム及び監視装置
US20170109521A1 (en) Vehicle network system whose security is improved using message authentication code
US10404721B2 (en) Communication device for detecting transmission of an improper message to a network
US11838303B2 (en) Log generation method, log generation device, and recording medium
CN111447235A (zh) 网络装置以及网络系统
CN110546921B (zh) 不正当检测方法、不正当检测装置以及程序
US20200014758A1 (en) On-board communication device, computer program, and message determination method
JP2014236248A (ja) 電子制御装置、電子制御システム
JP2016021623A (ja) 通信システム、通信制御装置及び不正情報送信防止方法
JP2018121220A (ja) 車載ネットワークシステム
JP7110950B2 (ja) ネットワークシステム
US20180269961A1 (en) Communication apparatus, communication method, and program
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
JP2018166309A (ja) 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム
JP2018019218A (ja) 電子制御装置
JP2017085197A (ja) 通信システム、送信装置、及び通信方法
WO2017065100A1 (ja) 車載通信システム及び監視装置
CN116114222A (zh) 通信系统、中继装置、接收装置以及通信控制方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190507

R150 Certificate of patent or registration of utility model

Ref document number: 6525824

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250