JP2017220717A - 制御装置 - Google Patents
制御装置 Download PDFInfo
- Publication number
- JP2017220717A JP2017220717A JP2016111973A JP2016111973A JP2017220717A JP 2017220717 A JP2017220717 A JP 2017220717A JP 2016111973 A JP2016111973 A JP 2016111973A JP 2016111973 A JP2016111973 A JP 2016111973A JP 2017220717 A JP2017220717 A JP 2017220717A
- Authority
- JP
- Japan
- Prior art keywords
- transmission data
- unauthorized
- control device
- transmission
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 238
- 238000004891 communication Methods 0.000 claims abstract description 140
- 238000012544 monitoring process Methods 0.000 claims abstract description 58
- 230000005856 abnormality Effects 0.000 claims description 39
- 230000006870 function Effects 0.000 claims description 36
- 238000000034 method Methods 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 24
- 238000001514 detection method Methods 0.000 description 16
- 239000000470 constituent Substances 0.000 description 9
- 230000000694 effects Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002411 adverse Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】不正動作状態になったとしても通信バスに不正なデータを送信してしまうことを防止することができる制御装置、を提供する。【解決手段】通信バス10を介して他の装置と通信するECU11は、CPU31の操作によって通信バス10にデータを送信する通信コントローラ34と、通信コントローラ34が備える送信バッファ39内の送信データを監視する監視モジュール35と、送信バッファ39内の送信データが不正送信データか否かを判定するための判定用情報が記録されるメモリ36と、を備える。監視モジュール35は、メモリ36内の判定用情報に基づいて、送信バッファ39内に不正送信データがあるか否かを判定し、不正送信データがあると判定した場合には、送信バッファ39内の不正送信データを消去して、不正送信データの送信を阻止する。【選択図】図1
Description
本開示は、通信バスを介して他の装置と通信する制御装置に関する。
例えば特許文献1に記載の車両ネットワークでは、監視用の車載制御装置が、ネットワークに送信されたデータを監視し、不正データを検知したとき、その不正データのネットワーク内への侵入に起因する複数の車載制御装置の不正動作を抑止する抑止処理を実行する。その抑止処理としては、他の各車載制御装置に対して、不正データに基づくプログラムの書き換え動作を禁止させるための警告情報を送信する処理が行われる。
特許文献1の技術は、ネットワークに不正に取り付けられた装置(以下、不正装置)からの不正データによって車載制御装置が不正動作状態になってしまうこと、すなわち、不正装置からの外部攻撃による車載制御装置の不正操作を、未然に防止しようとするものである。不正動作状態とは、本来とは異なる不正な動作をする状態である。
このため、特許文献の技術では、外部攻撃によって不正動作状態に陥った車載制御装置が通信バスに不正なデータを送信してしまうこと、を阻止することはできない。例えば、不正動作状態の車載制御装置が、高い優先度の不正なデータを送信し続けると、通信バスが占有されてしまい、他の制御装置間での正常な通信ができなくなってしまう。なお、占有とは、全ての通信を独占することに限らず、バス負荷率が設計時の想定範囲以上に増加して通信システムに悪影響を与えることも含む。
そこで、本開示は、不正動作状態になったとしても通信バスに不正なデータを送信してしまうことを防止することができる制御装置、を提供する。
本開示の制御装置は、少なくとも1つの通信バス(10,20)を介して少なくとも1つの他の装置と通信する制御装置である。この制御装置は、通信コントローラ(34,44)と、監視モジュール(35)と、メモリ(36)と、を備える。
通信コントローラは、CPU(31)の操作によって前記少なくとも1つの通信バスにデータを送信する。監視モジュールは、通信コントローラが備える送信バッファ(39)内の送信データを監視する。メモリには、送信バッファ内の送信データが不正な送信データである不正送信データか否かを判定するための判定用情報が記録される。
そして、監視モジュールは、メモリに記録された判定用情報に基づいて、送信バッファ内に不正送信データがあるか否かを判定し、不正送信データがあると判定した場合には、送信バッファ内の不正送信データを消去して、その不正送信データの送信を阻止する。
この制御装置によれば、外部攻撃などによって不正動作状態になったとしても、通信バスに不正なデータ(すなわち、不正送信データ)を送信してしまうことを、監視モジュー
ルの機能によって防止することができる。
ルの機能によって防止することができる。
なお、この欄及び特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
以下、図面を参照しながら、本開示の実施形態を説明する。
[1.第1実施形態]
[1−1.全体構成]
図1に示す実施形態の通信システム1は、乗用車等の車両に搭載される通信システムであり、通信バス10と、通信バス10に接続された複数のECUを備える。本実施形態では、通信バス10に接続された複数のECUとして、4つのECU11〜14があるが、ECUの数は4つ以外の複数でも良い。なお、ECUは、「Electronic Control Unit」の略であり、すなわち電子制御装置の略である。
[1.第1実施形態]
[1−1.全体構成]
図1に示す実施形態の通信システム1は、乗用車等の車両に搭載される通信システムであり、通信バス10と、通信バス10に接続された複数のECUを備える。本実施形態では、通信バス10に接続された複数のECUとして、4つのECU11〜14があるが、ECUの数は4つ以外の複数でも良い。なお、ECUは、「Electronic Control Unit」の略であり、すなわち電子制御装置の略である。
ECU11〜14が実施する通信のプロトコルは、例えば周知のCANである。CANは、「Controller Area Network」の略である。また、CANは、登録商標である。
[1−2.ECUの構成]
次に、ECU11の構成について説明する。なお、ECU12〜14の構成もECU11と同様である。
[1−2.ECUの構成]
次に、ECU11の構成について説明する。なお、ECU12〜14の構成もECU11と同様である。
ECU11は、CPU31と、ROM32と、RAM33とを有する周知のマイクロコンピュータを備える。CPU31は、ROM32内のプログラムを実行する。ROM32は、例えば記憶内容が書き換え可能なフラッシュメモリなどの不揮発性メモリである。
そして、ECU11は、通信コントローラ34と、送信監視モジュール35と、メモリ36と、を備える。メモリ36は、記憶内容が書き換え可能な不揮発性メモリ(例えばフラッシュメモリ)である。更に、ECU11は、異常管理モジュール37を備える。異常管理モジュール37は、メモリ36に記録される情報を更新する更新部38を備える。記録とは、記憶と同じ意味である。
送信監視モジュール35、メモリ36及び異常管理モジュール37は、CPU31から独立している。このため、メモリ36は、CPU31によってアクセスされないし、送信監視モジュール35と異常管理モジュール37の動作も、CPU31の動作に影響されない。
通信コントローラ34は、送信データが格納される送信バッファ39と、受信データが格納される受信バッファ40と、を備える。送信バッファ39と受信バッファ40は、例えばレジスタやRAMによって構成されている。また、送信バッファ39と受信バッファ40は、通信コントローラ34の外部に設けられていても良い。
送信バッファ39に格納される送信データは、当該ECU11が通信バス10へ送信するデータである。そして、その送信データにはCAN−IDが含まれる。CAN−ID(
以下、ID)は、送信データの識別子であると共に、送信データの優先度を示す優先度情報である。送信バッファ39への送信データの格納(すなわち書き込み)は、CPU31によって行われる。通信コントローラ34は、CPU31の操作によって、換言すればCPU31からの操作信号に従って、送信バッファ39内の送信データを通信バス10に送信する。また、通信コントローラ34は、送信が完了した送信データを送信バッファ39から消去する。
以下、ID)は、送信データの識別子であると共に、送信データの優先度を示す優先度情報である。送信バッファ39への送信データの格納(すなわち書き込み)は、CPU31によって行われる。通信コントローラ34は、CPU31の操作によって、換言すればCPU31からの操作信号に従って、送信バッファ39内の送信データを通信バス10に送信する。また、通信コントローラ34は、送信が完了した送信データを送信バッファ39から消去する。
受信バッファ40に格納される受信データは、当該通信コントローラ34が通信バス10から受信したデータである。受信バッファ40内の受信データは、CPU31によって読み出され、制御対象を制御するための処理や他の処理に使用される。
[1−3.送信監視モジュールの動作]
送信監視モジュール35は、CPU31によって送信バッファ39に書き込まれた送信データ、すなわち通信バス10に送信される前の送信データを監視する。具体的には、送信監視モジュール35は、CPU31によって送信バッファ39に送信データが書き込まれると、送信バッファ39内に不正送信データがあるか否かを判定する動作(以下、不正送信データ判定動作)を行う。不正送信データとは、不正な送信データである。送信監視モジュール35の不正送信データ判定動作については後で説明する。
送信監視モジュール35は、CPU31によって送信バッファ39に書き込まれた送信データ、すなわち通信バス10に送信される前の送信データを監視する。具体的には、送信監視モジュール35は、CPU31によって送信バッファ39に送信データが書き込まれると、送信バッファ39内に不正送信データがあるか否かを判定する動作(以下、不正送信データ判定動作)を行う。不正送信データとは、不正な送信データである。送信監視モジュール35の不正送信データ判定動作については後で説明する。
そして、送信監視モジュール35は、送信バッファ39内に不正送信データがあると判定した場合には、送信バッファ39をリセットすることにより、送信バッファ39内の不正送信データを消去する。このため、不正送信データの通信バス10への送信が阻止される。なお、送信監視モジュール35は、送信バッファ39内のデータのうち、不正送信データであると判別した部分のデータだけを消去するように構成されていても良い。
また、送信監視モジュール35は、送信バッファ39内に不正送信データがあると判定した場合には、更に、異常管理モジュール37に対して、不正送信データを検出したことを通知する。具体的には、異常管理モジュール37に不正送信データ検出通知を出力する。
[1−4.メモリに記録される情報]
メモリ36には、送信バッファ39内の送信データが不正送信データであるか否かを判定するための判定用情報が記録されている。判定用情報は、送信データの優先度を特定可能な情報である。本実施形態では、メモリ36に、判定用情報として前述のIDが記録されている。このため、メモリ36には、判定用情報として、送信データの優先度を示す情報が記録されていると言える。また、メモリ36には、判定用情報として、送信データの識別子が記録されているとも言える。
メモリ36には、送信バッファ39内の送信データが不正送信データであるか否かを判定するための判定用情報が記録されている。判定用情報は、送信データの優先度を特定可能な情報である。本実施形態では、メモリ36に、判定用情報として前述のIDが記録されている。このため、メモリ36には、判定用情報として、送信データの優先度を示す情報が記録されていると言える。また、メモリ36には、判定用情報として、送信データの識別子が記録されているとも言える。
[1−5.送信監視モジュールの不正送信データ判定動作]
送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDと、メモリ36に記録された判定用情報としてのIDとを比較する。そして、送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDが示す優先度が、メモリ36に記録されたIDが示す優先度よりも高い場合に、送信バッファ39内に不正送信データがあると判定する。つまり、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度よりも高い場合に、送信バッファ39内に不正送信データがあると判定するように構成されている。
送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDと、メモリ36に記録された判定用情報としてのIDとを比較する。そして、送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDが示す優先度が、メモリ36に記録されたIDが示す優先度よりも高い場合に、送信バッファ39内に不正送信データがあると判定する。つまり、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度よりも高い場合に、送信バッファ39内に不正送信データがあると判定するように構成されている。
例えば、悪意のある者が、通信システム1における何れかのECUを何らかの方法で不正に操作して、通信バス10を占有しようとした場合、不正に操作するECUからは、より高い優先度のデータを送信させると考えられる。
このため、本実施形態では、ECU11から本来ならば送信されない高い優先度のデータが、送信監視モジュール35により不正送信データとして判定されるようにしている。よって、メモリ36には、例えば、正常状態のECU11から送信される送信データのうちで優先度が最も高い送信データのIDが、判定用情報の初期値として記録される。
[1−6.異常管理モジュールの動作]
異常管理モジュール37は、送信監視モジュール35によって送信バッファ39内に不正送信データがあると判定された場合の異常処理を管理するモジュールである。
異常管理モジュール37は、送信監視モジュール35によって送信バッファ39内に不正送信データがあると判定された場合の異常処理を管理するモジュールである。
異常管理モジュール37は、送信監視モジュール35からの不正送信データ検出通知をn回受けると、異常処理の1つとして、CPU31をリセットする処理を行う。nは1以上の整数である。
また、異常管理モジュール37は、送信監視モジュール35からの不正送信データ検出通知をm回受けると、異常処理の1つとして、通信コントローラ34をディセーブルにする処理を行う。つまり、通信コントローラ34の動作を停止させる。なお、mは1以上の整数である。このmと上記nは、同じ値であっても良いし、異なる値であっても良い。
また、異常管理モジュール37は、受信バッファ40を監視して、不正データ検知機能搭載のECUからの不正通信通知が通信コントローラ34により受信されたか否かを判定する。そして、不正通信通知が受信されたと判定した場合には、CPU31をリセットする。不正データ検知機能搭載のECUと不正通信通知については後で説明する。更に、異常管理モジュール37は、不正通信通知が受信されたと判定した場合には、その不正通信通知に含まれる情報を用いてメモリ36内の判定用情報を更新する更新処理を行う。更新処理は、更新部38によって行われる。この更新処理についても後で説明する。
[1−7.不正データ検知機能搭載のECUの動作]
通信バス10に接続されるECU11〜14のうち、例えばECU12は、不正データ検知機能搭載のECUである。ECU12は、少なくともECU11から送信される送信データを監視して、ECU11から不正送信データが送信されたか否かを判定する。
通信バス10に接続されるECU11〜14のうち、例えばECU12は、不正データ検知機能搭載のECUである。ECU12は、少なくともECU11から送信される送信データを監視して、ECU11から不正送信データが送信されたか否かを判定する。
例えば、ECU12は、ECU11との通信において、MACを付加したフレームの送受信を行うことにより、ECU11から不正送信データが送信されたか否かを判定する。MACは、「Message Authentication Code」の略であり、すなわちメッセージ認証符号の略である。具体的には、ECU11は、正常ならば、少なくともECU12と通信する場合、送信対象のデータから特定のアルゴリズムによりMACを生成する。更に、ECU11は、送信対象のデータをメッセージ部とし、そのメッセージ部と、生成したMACとを含むフレームを、送信データとしてECU12に送信する。ECU12は、ECU11から受信したフレーム(すなわち受信データ)のメッセージ部から上記アルゴリズムでMACを生成し、その生成したMACと、受信データに含まれていたMACとを比較する。そして、ECU12は、両方のMACが不一致ならば、受信データが不正送信データであると判定する。つまり、ECU11から不正送信データが送信されたと判定する。
ECU12は、ECU11から不正送信データが送信されたと判定した場合、すなわちECU11から不正送信データが送信されたことを検知した場合には、ECU11へ不正通信通知を送信する。そして、ECU12は、不正通信通知には、当該ECU12が検知した不正送信データの優先度、すなわちECU11が送信した不正送信データの優先度を特定可能な情報として、その不正送信データのID(以下、更新用ID)を含ませる。
また、不正通信通知は、ECU11のメモリ36に記録される初期値のIDよりも高い優先度のデータとして送信される。つまり、不正通信通知のヘッダ部分に設けられる通信調停用のIDとしては、ECU11のメモリ36に記録される初期値のIDよりも高い優先度のIDが用いられる。
[1−8.更新処理]
異常管理モジュール37の更新部38は、受信されたECU12からの不正通信通知に含まれる更新用IDを用いてメモリ36内の判定用情報を更新する。具体的には、更新用IDよりも優先度が1段階低いIDを、新たな判定用情報としてのID(以下、新ID)として、メモリ36に書き込む。なお、新IDは、メモリ36に追加して書き込んでも良いし、メモリ36に既に記録されている判定用情報としてのIDに代えて、新IDをメモリ36に書き込んでも良い。
異常管理モジュール37の更新部38は、受信されたECU12からの不正通信通知に含まれる更新用IDを用いてメモリ36内の判定用情報を更新する。具体的には、更新用IDよりも優先度が1段階低いIDを、新たな判定用情報としてのID(以下、新ID)として、メモリ36に書き込む。なお、新IDは、メモリ36に追加して書き込んでも良いし、メモリ36に既に記録されている判定用情報としてのIDに代えて、新IDをメモリ36に書き込んでも良い。
つまり、更新部38は、ECU12によって検知された不正送信データの優先度以上の優先度を有する送信データが、送信監視モジュール35によって不正送信データであると判定されるように、メモリ36内の判定用情報を更新する。
なお、通信コントローラ34、送信監視モジュール35及び異常管理モジュール37のそれぞれは、論理回路やアナログ回路等を組み合わせたハードウェアを用いて実現されても良い。また、通信コントローラ34、送信監視モジュール35及び異常管理モジュール37のそれぞれは、CPU31とは別のCPUを有する1つ又は複数のマイクロコンピュータによって実現されても良い。この場合、通信コントローラ34、送信監視モジュール35及び異常管理モジュール37の各機能は、CPUがROMなどの非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現されることとなる。このプログラムが実行されることで、プログラムに対応する方法が実行される。また、更新部38は、異常管理モジュール37とは別のモジュールとして構成されても良い。
[1−9.効果]
以上詳述した第1実施形態によれば、以下の効果を奏する。
(1a)ECU11の送信監視モジュール35は、メモリ36に記録された判定用情報としてのIDに基づいて、送信バッファ39内に不正送信データがあるか否かを判定し、不正送信データがあると判定した場合には、送信バッファ39内の不正送信データを消去する。このため、不正送信データの通信バス10への送信が阻止される。
以上詳述した第1実施形態によれば、以下の効果を奏する。
(1a)ECU11の送信監視モジュール35は、メモリ36に記録された判定用情報としてのIDに基づいて、送信バッファ39内に不正送信データがあるか否かを判定し、不正送信データがあると判定した場合には、送信バッファ39内の不正送信データを消去する。このため、不正送信データの通信バス10への送信が阻止される。
このECU11によれば、CPU31が実行するプログラムが外部攻撃などによって不正に書き換えられ、その結果、当該ECU11が不正動作状態になったとしても、通信バス10に不正送信データを送信してしまうことを、防止することができる。よって、不正送信データによって通信バス10が占有されてしまうことを防止することができる。
(1b)メモリ36に記録される判定用情報は、送信データの優先度を特定可能な情報である。そして、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度よりも高い場合に、送信バッファ39内に不正送信データがあると判定する。
このため、悪意のある者が、通信バス10を占有しようとして、ECU11に不正に送信させようとする高い優先度のデータを検知して、そのデータの通信バス10への送信を阻止することができる。
更に、ECU11が不正動作状態になったとしても、他のECU12〜14の間では、ECU11のメモリ36に記録された判定用情報により特定される優先度よりも高い優先
度のデータであれば、妨害されることなく通信することができる。このため、他のECU12〜14は、例えば車両の機能を維持するのに最低限必要な通信を継続して実施することができる。
度のデータであれば、妨害されることなく通信することができる。このため、他のECU12〜14は、例えば車両の機能を維持するのに最低限必要な通信を継続して実施することができる。
(1c)ECU11と通信する装置として、不正データ検知機能搭載のECU12がある。そして、そのECU12が、ECU11から不正送信データが送信されたと判定した場合に送信する不正通信通知は、ECU11のメモリ36に記録される判定用情報により特定される優先度よりも高い優先度のデータとして送信される。
よって、ECU12からの不正通信通知は、ECU11が送信可能な送信データよりも優先度が高いということになり、ECU11からの送信に妨害されずにECU11に受信される。このため、ECU11においては、不正通信通知を受信することで、当該ECU11が不正動作状態になっていることを検知することができ、何らかのフェールセーフ処置を実施することができる。例えば、前述したように、異常管理モジュール37は、不正通信通知が通信コントローラ34により受信された場合に、フェールセーフ処置の一例としてCPU31をリセットするが、このようなフェールセーフ処置が確実に実施されるようにすることができる。
(1d)ECU12が送信する不正通信通知には、当該ECU12が検知した不正送信データの優先度を特定可能な情報が含まれる。そして、ECU11の更新部38は、その不正通信通知に含まれる情報を用いて、メモリ36内の判定用情報を更新する。具体的には、前述したように、更新部38は、ECU12によって検知された不正送信データの優先度以上の優先度を有する送信データが、送信監視モジュール35によって不正送信データであると判定されるように、メモリ36内の判定用情報を更新する。
このため、不正送信データの検出範囲を拡大することができ、より低い優先度の不正送信データについても、通信バス10への送信を阻止することができる。
具体的には、ECU11から、メモリ36に記録された初期値の判定用情報によって特定される優先度以下の不正送信データが送信されたとすると、その後は、送信された不正送信データの優先度以上の優先度を有するデータは、ECU11から送信されなくなる。よって、不正送信データの送信阻止能力を高めることができる。
具体的には、ECU11から、メモリ36に記録された初期値の判定用情報によって特定される優先度以下の不正送信データが送信されたとすると、その後は、送信された不正送信データの優先度以上の優先度を有するデータは、ECU11から送信されなくなる。よって、不正送信データの送信阻止能力を高めることができる。
(1e)判定用情報は、送信データの優先度を示す情報又は送信データの識別子である。このため、その判定用情報から優先度を容易に特定することができる。
なお、変形例として、判定用情報は、CANのIDに限らず、例えば、データの優先度だけを示す専用情報であっても良い。この場合、その専用情報から直接的に優先度を特定することができる。また、判定用情報は、データを識別するためだけの識別子であっても良い。この場合、データの識別子と優先度との対応関係を記録した対応関係情報があれば、その対応関係情報から、識別子に対応する優先度、すなわち識別子が表す優先度を特定することができる。このような変形例は、後述する他の実施形態についても同様に適用することができる。
なお、変形例として、判定用情報は、CANのIDに限らず、例えば、データの優先度だけを示す専用情報であっても良い。この場合、その専用情報から直接的に優先度を特定することができる。また、判定用情報は、データを識別するためだけの識別子であっても良い。この場合、データの識別子と優先度との対応関係を記録した対応関係情報があれば、その対応関係情報から、識別子に対応する優先度、すなわち識別子が表す優先度を特定することができる。このような変形例は、後述する他の実施形態についても同様に適用することができる。
一方、本実施形態では、送信監視モジュール35が監視モジュールに相当する。また、不正データ検知機能搭載のECU12が、特定の装置に相当する。
[2.第2実施形態]
第2実施形態は、基本的な構成は第1実施形態と同様であるため、相違点について以下に説明する。なお、第1実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。また、これらのことは、後述する他の実施形態についても同様である。
[2.第2実施形態]
第2実施形態は、基本的な構成は第1実施形態と同様であるため、相違点について以下に説明する。なお、第1実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。また、これらのことは、後述する他の実施形態についても同様である。
第2実施形態の通信システム1は、第1実施形態と比較すると、下記[2−1]〜[2−3]の点が異なる。
[2−1]
送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDが示す優先度が、メモリ36に記録されたIDが示す優先度以上の場合に、送信バッファ39内に不正送信データがあると判定する。つまり、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度以上の場合に、送信バッファ39内に不正送信データがあると判定するように構成されている。このため、メモリ36には、例えば、正常状態のECU11から送信される最高優先度の送信データよりも優先度が1段階高いデータのIDが、判定用情報の初期値として記録される。
[2−1]
送信監視モジュール35は、送信バッファ39内の送信データに含まれるIDが示す優先度が、メモリ36に記録されたIDが示す優先度以上の場合に、送信バッファ39内に不正送信データがあると判定する。つまり、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度以上の場合に、送信バッファ39内に不正送信データがあると判定するように構成されている。このため、メモリ36には、例えば、正常状態のECU11から送信される最高優先度の送信データよりも優先度が1段階高いデータのIDが、判定用情報の初期値として記録される。
[2−2]
ECU12が送信する不正通信通知は、ECU11のメモリ36に記録される判定用情報により特定される優先度以上の優先度のデータとして送信される。例えば、不正通信通知のヘッダ部分に設けられる通信調停用のIDとしては、ECU11のメモリ36に記録される初期値のIDと同じIDが用いられる。
ECU12が送信する不正通信通知は、ECU11のメモリ36に記録される判定用情報により特定される優先度以上の優先度のデータとして送信される。例えば、不正通信通知のヘッダ部分に設けられる通信調停用のIDとしては、ECU11のメモリ36に記録される初期値のIDと同じIDが用いられる。
[2−3]
異常管理モジュール37の更新部38は、ECU12からの不正通信通知に含まれる更新用IDを、新IDとしてメモリ36に書き込む。上記[2−1],[2−2]の相違点があるためである。つまり、第2実施形態においても、更新部38は、ECU12によって検知された不正送信データの優先度以上の優先度を有する送信データが、送信監視モジュール35によって不正送信データであると判定されるように、メモリ36内の判定用情報を更新する。
異常管理モジュール37の更新部38は、ECU12からの不正通信通知に含まれる更新用IDを、新IDとしてメモリ36に書き込む。上記[2−1],[2−2]の相違点があるためである。つまり、第2実施形態においても、更新部38は、ECU12によって検知された不正送信データの優先度以上の優先度を有する送信データが、送信監視モジュール35によって不正送信データであると判定されるように、メモリ36内の判定用情報を更新する。
[2−4.効果]
以上のような第2実施形態によっても、前述した第1実施形態と同じ効果が得られる。なお、このような第2実施形態の構成は、後述する他の実施形態についても同様に適用することができる。
以上のような第2実施形態によっても、前述した第1実施形態と同じ効果が得られる。なお、このような第2実施形態の構成は、後述する他の実施形態についても同様に適用することができる。
[3.第3実施形態]
[3−1.全体構成]
図2に示すように、第3実施形態の通信システム3は、中継機能を有するECU(以下、GWECU)5と、GWECU5を介して接続される複数のネットワークと、を備える。この例では、複数のネットワークは、第1のネットワークN1と、第2のネットワークN2である。なお、GWECU5を介して接続されるネットワークの数は、3つ以上であっても良い。
[3−1.全体構成]
図2に示すように、第3実施形態の通信システム3は、中継機能を有するECU(以下、GWECU)5と、GWECU5を介して接続される複数のネットワークと、を備える。この例では、複数のネットワークは、第1のネットワークN1と、第2のネットワークN2である。なお、GWECU5を介して接続されるネットワークの数は、3つ以上であっても良い。
第1のネットワークN1は、第1実施形態の通信システム1である。また、第2のネットワークN2も、第1実施形態の通信システム1と同様の通信システムである。例えば、第2のネットワークN2は、通信バス20と、通信バス20に接続された複数のECU21〜24と、を備える。第2のネットワークN2における通信プロトコルも、例えばCANである。ECU21〜24の構成は、前述したECU11と同様である。また、ECU21〜24のうち、例えばECU22は、ECU12と同様に、不正データ検知機能搭載のECUである。
[3−2.GWECUの構成]
GWECU5は、通信ノードとして機能するだけでなく、中継装置としても機能する。そして、GWECU5の構成は、第1実施形態のECU11と比較すると、下記[3−2
−1]〜[3−2−4]の点が異なる。なお、本実施形態では、GWECU5が制御装置に相当する。
GWECU5は、通信ノードとして機能するだけでなく、中継装置としても機能する。そして、GWECU5の構成は、第1実施形態のECU11と比較すると、下記[3−2
−1]〜[3−2−4]の点が異なる。なお、本実施形態では、GWECU5が制御装置に相当する。
[3−2−1]
図3に示すように、GWECU5は、通信コントローラ44を更に備える。
通信コントローラ34が、通信バス10を介した送受信を行うためのモジュールであるのに対して、通信コントローラ44は、通信バス20を介した送受信を行うためのモジュールである。通信コントローラ44も、通信コントローラ34と同様に、送信バッファ39と、受信バッファ40と、を備える。そして、通信コントローラ44とCPU31との関係は、通信コントローラ34とCPU31との関係と同様である。
図3に示すように、GWECU5は、通信コントローラ44を更に備える。
通信コントローラ34が、通信バス10を介した送受信を行うためのモジュールであるのに対して、通信コントローラ44は、通信バス20を介した送受信を行うためのモジュールである。通信コントローラ44も、通信コントローラ34と同様に、送信バッファ39と、受信バッファ40と、を備える。そして、通信コントローラ44とCPU31との関係は、通信コントローラ34とCPU31との関係と同様である。
[3−2−2]
CPU31は、通信コントローラ34によって通信バス10から受信された特定のデータを、通信コントローラ44から通信バス20へ送信させる転送機能を備える。また、CPU31は、通信コントローラ44によって通信バス20から受信された特定のデータを、通信コントローラ34から通信バス10へ送信させる転送機能も備える。これらの転送機能は中継装置としての機能(すなわち中継機能)である。
CPU31は、通信コントローラ34によって通信バス10から受信された特定のデータを、通信コントローラ44から通信バス20へ送信させる転送機能を備える。また、CPU31は、通信コントローラ44によって通信バス20から受信された特定のデータを、通信コントローラ34から通信バス10へ送信させる転送機能も備える。これらの転送機能は中継装置としての機能(すなわち中継機能)である。
[3−2−3]
送信監視モジュール35は、通信コントローラ44に対しても、通信コントローラ34に対する動作と同様の動作を行う。このため、送信監視モジュール35は、通信コントローラ44の送信バッファ39内に不正送信データがあると判定した場合にも、異常管理モジュール37に不正送信データ検出通知を出力する。
送信監視モジュール35は、通信コントローラ44に対しても、通信コントローラ34に対する動作と同様の動作を行う。このため、送信監視モジュール35は、通信コントローラ44の送信バッファ39内に不正送信データがあると判定した場合にも、異常管理モジュール37に不正送信データ検出通知を出力する。
[3−2−4]
GWECU5は、処理部45を更に備える。
そして、異常管理モジュール37は、送信監視モジュール35からの不正送信データ検出通知を受けた場合、すなわち送信監視モジュール35によって送信バッファ39内に不正送信データがあると判定された場合に、処理部45へ動作通知を出力する。更に、異常管理モジュール37は、処理部45へ動作通知を出力する場合、CPU31の動作を停止させる。
GWECU5は、処理部45を更に備える。
そして、異常管理モジュール37は、送信監視モジュール35からの不正送信データ検出通知を受けた場合、すなわち送信監視モジュール35によって送信バッファ39内に不正送信データがあると判定された場合に、処理部45へ動作通知を出力する。更に、異常管理モジュール37は、処理部45へ動作通知を出力する場合、CPU31の動作を停止させる。
なお、異常管理モジュール37は、送信監視モジュール35から不正送信データ検出通知が出力された回数が、1回以上の所定回数に達した場合に、上記動作作通知を出力するように構成することができる。また、異常管理モジュール37は、送信監視モジュール35から不正送信データ検出通知が出力された頻度が、所定レベルに達した場合に、上記動作通知を出力するように構成することができる。頻度とは、例えば所定時間内における不正送信データ検出通知の出力回数である。
処理部45は、CPU31から独立している。例えば、処理部45は、CPU31によって干渉されない論理回路やアナログ回路等を組み合わせたハードウェアを用いて実現されても良い。また、処理部45は、CPU31とは別のCPUを有する1つ又は複数のマイクロコンピュータによって実現されても良い。
処理部45は、異常管理モジュール37からの動作通知を受けることで動作する。そして、処理部45は、動作を開始すると、当該GWECU5の通常動作に代わる特殊モードの処理を行う。
処理部45は、特殊モードの処理として、例えば、最小限のルーティング処理を行う。最小のルーティングとは、正常時において通信バス10,20間で転送させるデータのう
ちの一部だけを、通信バス10,20間で転送させることである。その一部のデータとしては、例えば、車両の機能を維持するのに最低限必要な特定のデータとすることができる。つまり、通信バス10,20間の最低限の通信を維持することによって、最低限の車両機能を維持することができる。特に、GWECU5が外部攻撃を受けてCPU31の動作が正常ではなくなり、その結果、通信バス10,20間のデータ転送が完全に途絶すると、車両の機能への影響が大きくなる。しかし、特殊モードの処理として、例えば最小限のルーティング処理が行われることで、車両の機能への影響を抑制することができる。また同様の趣旨から、処理部45は、特殊モードの処理として、例えば、所定のIDあるいは所定の優先度以上のデータだけ、全ての通信バス10,20にブロードキャストする、という処理を行うようになっていても良い。このように構成すれば、所定のデータについては、各ネットワークN1,N2の全てのECUに送信することができる。よって、車両の機能への影響を抑制することができる。
ちの一部だけを、通信バス10,20間で転送させることである。その一部のデータとしては、例えば、車両の機能を維持するのに最低限必要な特定のデータとすることができる。つまり、通信バス10,20間の最低限の通信を維持することによって、最低限の車両機能を維持することができる。特に、GWECU5が外部攻撃を受けてCPU31の動作が正常ではなくなり、その結果、通信バス10,20間のデータ転送が完全に途絶すると、車両の機能への影響が大きくなる。しかし、特殊モードの処理として、例えば最小限のルーティング処理が行われることで、車両の機能への影響を抑制することができる。また同様の趣旨から、処理部45は、特殊モードの処理として、例えば、所定のIDあるいは所定の優先度以上のデータだけ、全ての通信バス10,20にブロードキャストする、という処理を行うようになっていても良い。このように構成すれば、所定のデータについては、各ネットワークN1,N2の全てのECUに送信することができる。よって、車両の機能への影響を抑制することができる。
[3−3.効果]
以上詳述した第3実施形態のGWECU5によっても、第1実施形態のECU11について述べた効果が得られる。更に、GWECU5によれば、CPU31が実行するプログラムが外部攻撃などによって不正に書き換えられたとしても、処理部45によって特殊モードの処理が行われるため、通信システム3によって実現される機能のうち最低限必要な機能を実現することができる。
以上詳述した第3実施形態のGWECU5によっても、第1実施形態のECU11について述べた効果が得られる。更に、GWECU5によれば、CPU31が実行するプログラムが外部攻撃などによって不正に書き換えられたとしても、処理部45によって特殊モードの処理が行われるため、通信システム3によって実現される機能のうち最低限必要な機能を実現することができる。
なお、本実施形態では、異常管理モジュール37から処理部45への動作通知が、処理部45を動作させるための通知に相当する。
また、処理部45を備える構成は、第1及び第2実施形態の例えばECU11についても適用することができる。この場合、ECU11の処理部45は、特殊モードの処理として、当該ECU11が担う制御機能のうち、最低限必要な制御機能を実現するための処理を行うように構成することができる。
また、処理部45を備える構成は、第1及び第2実施形態の例えばECU11についても適用することができる。この場合、ECU11の処理部45は、特殊モードの処理として、当該ECU11が担う制御機能のうち、最低限必要な制御機能を実現するための処理を行うように構成することができる。
[4.第4実施形態]
図4に示す第4実施形態のGWECU7は、第3実施形態のGWECU5と比較すると、処理部45に代えて、接続モジュール47を備える。接続モジュール47は、異常管理モジュール37から接続指令が与えられると、複数の通信バス10,20間を接続する。また、接続モジュール47も、処理部45と同様に、CPU31から独立している。
図4に示す第4実施形態のGWECU7は、第3実施形態のGWECU5と比較すると、処理部45に代えて、接続モジュール47を備える。接続モジュール47は、異常管理モジュール37から接続指令が与えられると、複数の通信バス10,20間を接続する。また、接続モジュール47も、処理部45と同様に、CPU31から独立している。
そして、異常管理モジュール37は、第3実施形態の処理部45への動作通知に代えて、接続モジュール47に接続指令を与える。その接続指令は、接続モジュール47に対して複数の通信バス10,20間を接続させる指令に相当する。更に、異常管理モジュール37は、接続モジュール部47へ接続指令を出力する場合、CPU31の動作を停止させる。
このようなGWECU7によれば、CPU31が実行するプログラムが外部攻撃などによって不正に書き換えられたとしても、通信バス10,20を跨いだECU間の通信が可能となる。よって、第3実施形態のGWECU5と同様に、通信システム3によって実現される機能のうち最低限必要な機能を実現することが可能となる。
また、例えば接続モジュール47は、通信バス10,20間を接続した場合に、他のECUに対して、最低限のデータだけを送信するモード、すなわち送信データ量を抑制するモードに移行させるための通知を送信するように構成することもできる。このように構成すれば、通信バス10,20が接続されることによるバス負荷の増加を抑制することができる。
[5.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
例えば、送信監視モジュール35は、送信バッファ39内の送信データの優先度が、メモリ36に記録された判定用情報により特定される優先度と同じ場合に、送信バッファ39内に不正送信データがあると判定するように構成しても良い。この場合、メモリ36に、異なる優先度を表す複数の判定用情報が記録されても良い。
また、上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしても良い。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしても良い。また、上記実施形態の構成の一部を省略しても良い。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換しても良い。なお、特許請求の範囲に記載した文言から特定される技術思想に含まれるあらゆる態様が本開示の実施形態である。また、上述したECU及びGWECUの他、当該ECU又はGWECUを構成要素とする通信システム、当該ECU又はGWECUとしてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、不正データの送信防止方法など、種々の形態で本開示を実現することもできる。
10,20…通信バス、31…CPU、34,44…通信コントローラ、35…送信監視モジュール、36…メモリ、39…送信バッファ
Claims (9)
- 少なくとも1つの通信バス(10,20)を介して少なくとも1つの他の装置と通信する制御装置であって、
CPU(31)の操作によって前記少なくとも1つの通信バスにデータを送信する通信コントローラ(34,44)と、
前記通信コントローラが備える送信バッファ(39)内の送信データを監視する監視モジュール(35)と、
前記送信バッファ内の送信データが不正な送信データである不正送信データか否かを判定するための判定用情報が記録されるメモリ(36)と、を備え、
前記監視モジュールは、
前記メモリに記録された前記判定用情報に基づいて、前記送信バッファ内に前記不正送信データがあるか否かを判定し、前記不正送信データがあると判定した場合には、前記送信バッファ内の前記不正送信データを消去して、前記不正送信データの送信を阻止するように構成されている、
制御装置。 - 請求項1に記載の制御装置であって、
前記判定用情報は、送信データの優先度を特定可能な情報であり、
前記監視モジュールは、
前記送信バッファ内の送信データの優先度が、前記メモリに記録された前記判定用情報により特定される優先度よりも高い場合に、前記送信バッファ内に前記不正送信データがあると判定するように構成されている、
制御装置。 - 請求項1に記載の制御装置であって、
前記判定用情報は、送信データの優先度を特定可能な情報であり、
前記監視モジュールは、
前記送信バッファ内の送信データの優先度が、前記メモリに記録された前記判定用情報により特定される優先度以上の場合に、前記送信バッファ内に前記不正送信データがあると判定するように構成されている、
制御装置。 - 請求項2に記載の制御装置であって、
当該制御装置と通信する装置として、当該制御装置から送信された送信データを監視し、当該制御装置から不正送信データが送信されたことを検知した場合に、不正通信通知を送信する特定の装置(12)があり、
前記不正通信通知は、前記メモリに記録される前記判定用情報により特定される優先度よりも高い優先度のデータとして送信され、
当該制御装置は、前記不正通信通知を受信する機能を、更に備える、
制御装置。 - 請求項3に記載の制御装置であって、
当該制御装置と通信する装置として、当該制御装置から送信された送信データを監視し、当該制御装置から不正送信データが送信されたことを検知した場合に、不正通信通知を送信する特定の装置(12)があり、
前記不正通信通知は、前記メモリに記録される前記判定用情報により特定される優先度以上の優先度のデータとして送信され、
当該制御装置は、前記不正通信通知を受信する機能を、更に備える、
制御装置。 - 請求項4又は請求項5に記載の制御装置であって、
前記不正通信通知には、前記特定の装置によって検知された不正送信データの優先度を特定可能な情報が含まれ、
当該制御装置は、
前記不正通信通知に含まれる前記情報を用いて前記メモリ内の判定用情報を更新する更新部(38)を、更に備える、
制御装置。 - 請求項2ないし請求項6の何れか1項に記載の制御装置であって、
前記判定用情報は、送信データの優先度を示す情報又は送信データの識別子である、
制御装置。 - 請求項1ないし請求項7の何れか1項に記載の制御装置であって、
前記監視モジュールによって前記送信バッファ内に前記不正送信データがあると判定された場合の異常処理を管理する異常管理モジュール(37)と、
前記監視モジュールによって前記送信バッファ内に前記不正送信データがあると判定された場合に、前記異常管理モジュールから通知を受けることで動作する処理部であって、当該制御装置の通常動作に代わる特殊モードの処理を行う処理部(45)と、を更に備える、
制御装置。 - 請求項1ないし請求項7の何れか1項に記載の制御装置であって、
前記少なくとも1つの通信バスは、複数の通信バス(10,20)であり、
当該制御装置は、前記複数の通信バス間の通信を中継する中継機能を備え、
更に、当該制御装置は、
与えられる指令に応じて前記複数の通信バス間を接続する接続モジュール(47)と、
前記監視モジュールによって前記送信バッファ内に前記不正送信データがあると判定された場合の異常処理を管理する異常管理モジュール(37)と、を備え、
前記異常管理モジュールは、
前記監視モジュールによって前記送信バッファ内に前記不正送信データがあると判定された場合に、前記接続モジュールに対して前記複数の通信バス間を接続させる指令を与えるように構成されている、
制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016111973A JP6561917B2 (ja) | 2016-06-03 | 2016-06-03 | 制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016111973A JP6561917B2 (ja) | 2016-06-03 | 2016-06-03 | 制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017220717A true JP2017220717A (ja) | 2017-12-14 |
| JP6561917B2 JP6561917B2 (ja) | 2019-08-21 |
Family
ID=60656246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016111973A Active JP6561917B2 (ja) | 2016-06-03 | 2016-06-03 | 制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6561917B2 (ja) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004064626A (ja) * | 2002-07-31 | 2004-02-26 | Denso Corp | 車両用通信システム |
| JP2008079108A (ja) * | 2006-09-22 | 2008-04-03 | Fujitsu Ltd | 送信制御装置 |
| JP2009194787A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Kokusai Electric Inc | ゲートウェイ装置 |
| JP2009253557A (ja) * | 2008-04-03 | 2009-10-29 | Autonetworks Technologies Ltd | 車載用の中継接続ユニット |
| WO2012020455A1 (ja) * | 2010-08-11 | 2012-02-16 | 富士通株式会社 | パケット交換装置、パケット交換方法及び計算機システム |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2014187445A (ja) * | 2013-03-22 | 2014-10-02 | Toyota Motor Corp | ネットワーク監視装置及びネットワーク監視方法 |
| JP2014200126A (ja) * | 2013-03-29 | 2014-10-23 | 富士通株式会社 | 乗り物用制御システムおよび駆動制御ユニット |
-
2016
- 2016-06-03 JP JP2016111973A patent/JP6561917B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004064626A (ja) * | 2002-07-31 | 2004-02-26 | Denso Corp | 車両用通信システム |
| JP2008079108A (ja) * | 2006-09-22 | 2008-04-03 | Fujitsu Ltd | 送信制御装置 |
| JP2009194787A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Kokusai Electric Inc | ゲートウェイ装置 |
| JP2009253557A (ja) * | 2008-04-03 | 2009-10-29 | Autonetworks Technologies Ltd | 車載用の中継接続ユニット |
| WO2012020455A1 (ja) * | 2010-08-11 | 2012-02-16 | 富士通株式会社 | パケット交換装置、パケット交換方法及び計算機システム |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2014187445A (ja) * | 2013-03-22 | 2014-10-02 | Toyota Motor Corp | ネットワーク監視装置及びネットワーク監視方法 |
| JP2014200126A (ja) * | 2013-03-29 | 2014-10-23 | 富士通株式会社 | 乗り物用制御システムおよび駆動制御ユニット |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6561917B2 (ja) | 2019-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7027592B2 (ja) | ゲートウェイ装置、方法及び車載ネットワークシステム | |
| JP6836340B2 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 | |
| US11848755B2 (en) | Anomaly detection device, anomaly detection method, and recording medium | |
| KR102524204B1 (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| US10778696B2 (en) | Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus | |
| JP6525824B2 (ja) | 中継装置 | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP7280082B2 (ja) | 不正検知方法、不正検知装置及びプログラム | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| JP2014236248A (ja) | 電子制御装置、電子制御システム | |
| WO2017057165A1 (ja) | 車載通信システム | |
| WO2019225369A1 (ja) | 車載通信システム、判定装置、通信装置、判定方法及びコンピュータプログラム | |
| US20220019669A1 (en) | Information processing device | |
| JP6769270B2 (ja) | 車載電子制御装置、車載電子制御システム、中継装置 | |
| JP6527647B1 (ja) | 不正検知方法、不正検知装置及びプログラム | |
| JP6561917B2 (ja) | 制御装置 | |
| JP2018166309A (ja) | 車載ネットワークシステム、電子制御装置、通信方法およびコンピュータプログラム | |
| KR102204655B1 (ko) | 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법 | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| JP7281714B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
| JP2019047177A (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| JP2018164232A (ja) | 通信システム、中継装置、通信方法およびコンピュータプログラム | |
| WO2020105657A1 (ja) | 車載中継装置及び中継方法 | |
| KR20220023213A (ko) | 차량의 can 제어 장치 및 그 동작 방법 | |
| WO2018020833A1 (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180730 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190425 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190514 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190610 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190625 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190708 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6561917 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |