JP2018007211A - 車載通信システム - Google Patents
車載通信システム Download PDFInfo
- Publication number
- JP2018007211A JP2018007211A JP2016136232A JP2016136232A JP2018007211A JP 2018007211 A JP2018007211 A JP 2018007211A JP 2016136232 A JP2016136232 A JP 2016136232A JP 2016136232 A JP2016136232 A JP 2016136232A JP 2018007211 A JP2018007211 A JP 2018007211A
- Authority
- JP
- Japan
- Prior art keywords
- signal
- unit
- communication system
- ecu
- vehicle communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】車載通信システムの処理負荷を過大にすることなく、車載通信システムへの不正なアクセスを阻害する技術を提供することを目的とする。【解決手段】本出願は、複数のノード間で互いに異なる識別子が付された複数の信号の通信がなされる車載通信システムを開示する。車載通信システムは、前記識別子として第1識別子が付された第1信号を出力する通信部を有する第1ノードを、前記複数のノードのうち1つとして備える。前記通信部は、前記複数のノードのうち他のもう1つとして前記車載通信システムに組み込まれた第2ノードから第2信号を受信する。前記第1ノードは、前記第2信号に前記第1識別子が付されているならば、前記車載通信システムの異常を通知する通知信号を生成する信号生成部を含む。【選択図】図1
Description
本発明は、車載通信システムに関する。
車載通信システムは、自動車に対する様々な制御に利用される。しかしながら、近年、車載通信システムの脆弱性がしばしば指摘されている。特許文献1は、従来の車載通信システムが抱える脆弱性を克服するための技術を開示する。
特許文献1の開示技術は、メッセージ認証符号を用いて、車載通信システムへの不正アクセスを防止する。特許文献1の開示技術は、メッセージ認証符号を用いて符号化された信号を利用し、不正アクセスの防止措置を常時採る。
不正アクセスに対する常時の防止措置は、車載通信システムの処理負荷を過大にする。
本発明は、車載通信システムの処理負荷を過大にすることなく、車載通信システムへの不正なアクセスを阻害する技術を提供することを目的とする。
本発明の一局面に係る車載通信システムは、複数のノード間で互いに異なる識別子が付された複数の信号の通信がなされるように設計される。車載通信システムは、前記識別子として第1識別子が付された第1信号を出力する通信部を有する第1ノードを、前記複数のノードのうち1つとして備える。前記通信部は、前記複数のノードのうち他のもう1つとして前記車載通信システムに組み込まれた第2ノードから第2信号を受信する。前記第1ノードは、前記第2信号に前記第1識別子が付されているならば、前記車載通信システムの異常を通知する通知信号を生成する信号生成部を含む。
上記構成によれば、第1ノードの通信部は、識別子として第1識別子が付された第1信号を出力するので、車載通信システムの他のノードは、第1信号を、第1ノードから出力された信号として認識することができる。通信部が、第1識別子が付されている第2信号を第2ノードから受け取るならば、信号生成部は、車載通信システムの異常を通知する通知信号を生成するので、他のノードは、通知信号によって車載通信システムの異常を知ることができる。この結果、他のノードは、通知信号に応じて、車載通信システムへの不正なアクセスを阻害するための措置を採ることができる。第2信号に第1識別子が付されていないならば、車載通信システムへの不正なアクセスを阻害するための処理はなされないので、車載通信システムの処理負荷は、過度に大きくならない。
上記構成に関して、前記信号生成部は、前記通知信号を符号化してもよい。
上記構成によれば、第1識別子が、第2信号に付されているならば、第2ノードは、車載通信システムに不正に組み込まれている。不正に組み込まれた第2ノードは、符号化された通知信号を復号するための手段を有さないので、第2ノードは、通知信号の内容を認識することができない。したがって、第2ノードは、通知信号に対する不正な処理を実行することはできない。
上記構成に関して、車載通信システムは、前記複数のノードそれぞれに通信可能に接続されたバスを更に備えてもよい。前記信号生成部は、メッセージ認証符号を用いて、前記通知信号を符号化してもよい。前記通信部は、前記符号化された通知信号を前記バスへ出力してもよい。前記複数のノードは、前記通知信号を受信する第3ノードを含んでもよい。前記第3ノードは、前記通知信号の符号化に用いられた共通鍵を用いて、前記通知信号を復号してもよい。
上記構成によれば、第1ノードは、メッセージ認証符号を用いて、通知信号を符号化するので、第2ノードは、通知信号の内容を認識することができない。したがって、第2ノードは、通知信号に対する不正な処理を実行することはできない。一方、第3ノードは、通知信号の符号化に用いられた共通鍵を用いて、通知信号を復号するので、第3ノードは、車載通信システムに異常が生じていることを認識することができる。
上記構成に関して、前記第1ノードは、前記バスを通じて前記通信部が受け取った信号が前記第1信号であるか否かを判定する判定部を含んでもよい。前記判定部が、前記信号が前記第1信号でないと判定することを条件として、前記信号生成部は、前記通知信号を生成してもよい。
上記構成によれば、第1ノードの判定部は、バスを通じて通信部が受け取った信号が第1信号であるか否かを判定するので、第1ノードは、第1信号がバスへ適切に出力されたか否かを判定することができる。判定部が、信号が第1信号でないと判定することを条件として、信号生成部は、通知信号を生成するので、通知信号は、不必要に生成されない。
上記構成に関して、前記通知信号は、前記第1識別子を表すメッセージを含んでもよい。
上記構成によれば、通知信号は、第1識別子を表すメッセージを含むので、車載通信システムに適正に組み込まれたノードは、第1識別子が付された信号に関して、不正のリスクを有する信号として処理することができる。
上記構成に関して、前記第1ノードは、エンジンを制御するように設計されたエレクトロニックコントロールユニットであってもよい。
上記構成によれば、第1ノードは、エンジンを制御するように設計されたエレクトロニックコントロールユニットであるので、エンジンへの制御に対する不正な処理は阻害される。
上記構成に関して、前記第1ノードは、ブレーキを制御するように設計されたエレクトロニックコントロールユニットであってもよい。
上記構成によれば、第1ノードは、ブレーキを制御するように設計されたエレクトロニックコントロールユニットであるので、ブレーキへの制御に対する不正な処理は阻害される。
上述の技術は、車載通信システムの処理負荷を過大にすることなく、車載通信システムへの不正なアクセスを阻害することに貢献する。
<第1実施形態>
車載通信システムに対する不正アクセスへの対抗措置が常時採られるならば、対抗措置にために必要とされる演算処理や通信処理は、車載通信システムに過大な負荷を与える。不正アクセスを検出することができる検出技術が、車載通信システムに組み込まれるならば、不正アクセスへの対抗措置は、不正アクセスが検出されたときのみ実行されればよい。第1実施形態において、不正アクセスを検出するための例示的な技術が説明される。
車載通信システムに対する不正アクセスへの対抗措置が常時採られるならば、対抗措置にために必要とされる演算処理や通信処理は、車載通信システムに過大な負荷を与える。不正アクセスを検出することができる検出技術が、車載通信システムに組み込まれるならば、不正アクセスへの対抗措置は、不正アクセスが検出されたときのみ実行されればよい。第1実施形態において、不正アクセスを検出するための例示的な技術が説明される。
図1は、第1実施形態の車載通信システム(以下、通信システム100と称される)の概念的なブロック図である。図1を参照して、通信システム100が説明される。
通信システム100は、複数のエレクトロニックコントロールユニット(Electronic Control Unit:以下、ECU111,112,113,114と称される)と、バス120と、を備える。バス120は、ECU111,112,113,114それぞれに接続される。ECU111,112,113,114それぞれは、バス120にパケット信号を出力する。パケット信号は、バス120を通じて、ECU111,112,113,114間でやりとりされる。通信システム100は、既知のコントローラエリアネットワーク(CAN:Control Area Network)の技術に基づいて構築されてもよい。本実施形態において、複数のノードは、ECU111,112,113,114によって例示される。車載通信システムは、4未満のECUを有してもよいし、4を超えるECUを有してもよい。本実施形態の原理は、いくつのECUが車載通信システムに組み込まれるかによっては何ら限定されない。
ECU111,112,113,114は、通信システム100が搭載された車両のエンジンを制御するために用いられてもよい。代替的に、ECU111,112,113,114は、通信システム100が搭載された車両のナビゲーションシステムを制御するために用いられてもよい。更に代替的に、ECU111,112,113,114は、通信システム100が搭載された車両のブレーキを制御するために用いられてもよい。更に代替的に、ECU111,112,113,114は、通信システム100が搭載された車両のエアコンディショナを制御するために用いられてもよい。本実施形態の原理は、ECU111,112,113,114それぞれの特定の制御対象に限定されない。
図1に示される如く、ECU111,112,113,114から出力されるパケット信号には、互いに異なる識別子が付される。本実施形態において、複数の信号は、ECU111,112,113,114から出力されるパケット信号によって例示される。
ECU111から出力されるパケット信号には、「ID111」との識別子が付されている。「ID111」との識別子が、バス120から取得されたパケット信号に付されているならば、ECU112,113,114は、パケット信号が、エンジンを制御するための制御因子に関する情報(データ(W111,X111,Y111,Z111))を含んでいると認識してもよい。ECU112,113,114が、ECU111が制御対象とする制御因子に関する情報を必要とするならば、ECU112,113,114は、「ID111」との識別子が付されたパケット信号を取り込む。
ECU112から出力されるパケット信号には、「ID112」との識別子が付されている。「ID112」との識別子が、バス120から取得されたパケット信号に付されているならば、ECU111,113,114は、パケット信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W112,X112,Y112,Z112))を含んでいると認識してもよい。ECU111,113,114が、ECU112が制御対象とする制御因子に関する情報を必要とするならば、ECU111,113,114は、「ID112」との識別子が付されたパケット信号を取り込む。
ECU113から出力されるパケット信号には、「ID113」との識別子が付されている。「ID113」との識別子が、バス120から取得されたパケット信号に付されているならば、ECU111,112,114は、パケット信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W113,X113,Y113,Z113))を含んでいると認識してもよい。ECU111,112,114が、ECU113が制御対象とする制御因子に関する情報を必要とするならば、ECU111,112,114は、「ID113」との識別子が付されたパケット信号を取り込む。
ECU114から出力されるパケット信号には、「ID114」との識別子が付されている。「ID114」との識別子が、バス120から取得されたパケット信号に付されているならば、ECU111,112,113は、パケット信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W114,X114,Y114,Z114))を含んでいると認識してもよい。ECU111,112,113が、ECU114が制御対象とする制御因子に関する情報を必要とするならば、ECU111,112,113は、「ID114」との識別子が付されたパケット信号を取り込む。
図2は、不正に改変された車載通信システム(以下、通信システム101と称される)の概念的なブロック図である。図1及び図2を参照して、通信システム101が説明される。
通信システム100と同様に、通信システム101は、ECU111,112,113,114と、バス120と、を備える。通信システム101は、第三者によって不正に組み込まれたECU115を更に備える。ECU115は、バス120に通信可能に接続される。
ECU111,112,113,114と同様に、ECU115は、パケット信号を、バス120へ出力する。ECU115から出力されたパケット信号は、通信システム101が搭載された車両のエンジンの不適切な動作を引き起こしうるデータ(W115,X115,Y115,Z115)を含んでいる。
ECU115から出力されたパケット信号には、ECU111によって付される識別子と同一の識別子「ID111」が付されている。したがって、ECU112,113,114は、ECU115から出力されたパケット信号が、ECU111が制御対象とする制御因子に関する情報を含んでいると認識しうる。一方、ECU111は、自身が固有に付すはずの識別子「ID111」が、ECU111が送信していないパケット信号に付されているので、ECU115から出力されたパケット信号を、不正な信号として認識し得る。
本実施形態において、第1ノードは、ECU111によって例示される。第1信号は、ECU111から出力されたパケット信号によって例示される。第1識別子は、ECU111が固有に付す識別子「ID111」によって例示される。第2ノードは、ECU112,113,114のうち1つ又はECU115によって例示される。第2信号は、ECU112,113,114のうち1つ又はECU115から出力されたパケット信号によって例示される。
図3は、ECU200の例示的な機能構成を表す概略的なブロック図である。ECU200の機能構成は、ECU111,112,113,114それぞれに適用されてもよい。図2及び図3を参照して、ECU200が説明される。
ECU200は、通信部210と、判定部220と、信号処理部230と、信号生成部240と、を含む。通信部210は、一般的なECUが有するトランシーバであってもよい。判定部220及び信号処理部230は、一般的なECUが有するCPU(Central Processing Unit)であってもよい。信号生成部240は、一般的なECUが有するCANコントローラであってもよい。
通信部210は、送信部211と受信部212とを含む。送信部211は、パケット信号をバス120へ出力する。受信部212は、バス120を通じて、他のECUから出力されたパケット信号を受け取る。受信部212が受け取ったパケット信号は、判定部220へ伝達される。
判定部220は、受信部212から受け取ったパケット信号に付された識別子を参照する。パケット信号が、信号処理部230によって実行される処理に必要とされる情報を含んでいることを、識別子が表すならば、判定部220は、パケット信号に含まれるデータを信号処理部230へ出力する。パケット信号が、信号処理部230によって実行される処理とは無関係な情報を含んでいることを、識別子が表すならば、判定部220は、パケット信号に含まれるデータの伝達を遮断する。
たとえば、ECU111の信号処理部230は、ECU112,113から出力されたパケット信号に含まれる情報を必要とする一方で、ECU114からの出力されたパケット信号に含まれる情報を必要としなくてもよい。この場合、識別子「ID112」又は「ID113」が、受信部212が受け取ったパケット信号に付されているならば、ECU111の判定部220は、データ(W112,X112,Y112,Z112)又はデータ(W113,X113,Y113,Z113)を、ECU111の信号処理部230へ伝達する。識別子「ID114」が、受信部212が受け取ったパケット信号に付されているならば、ECU111の判定部220は、受信部212が受け取ったパケット信号の伝達を遮断する。
受信部212から受け取ったパケット信号に付された識別子が、信号生成部240によって付されるはずの識別子に一致するならば、判定部220は、受信部212が受け取ったパケット信号が不正であると判定してもよい。たとえば、ECU111の判定部220は、ECU111の受信部212が受け取ったパケット信号に、識別子「ID111」が付されているならば、判定部220は、不正なパケット信号が存在していると判定することができる。この場合、判定部220は、トリガ信号を生成する。トリガ信号は、判定部220から信号生成部240へ出力される。
信号処理部230は、判定部220から信号処理部230へのデータの伝達に応じて、所定の処理を行う。たとえば、信号処理部230は、制御対象(たとえば、エンジン)の制御に必要とされる情報を得るための演算処理を実行してもよい。本実施形態の原理は、信号処理部230が実行する特定の処理に限定されない。
信号処理部230の演算処理の結果が、他のECUに必要とされる情報であるならば、信号処理部230は、演算結果を表すパケット信号の生成を要求する要求信号を生成する。信号処理部230は、演算結果を表す情報を要求信号に含める。要求信号は、信号処理部230から信号生成部240へ出力される。
信号生成部240は、要求信号に応じて、演算結果を表すデータを含むパケット信号を生成する。加えて、信号生成部240は、パケット信号に、ECU200に固有に定められた識別子を付す。たとえば、ECU111の信号生成部240は、パケット信号に識別子「ID111」を付す。パケット信号は、信号生成部240から送信部211へ出力される。その後、パケット信号は、送信部211からバス120へ出力される。
信号生成部240は、トリガ信号に応じて、バス120に不正なパケット信号が流されていることを表す通知信号を生成する。通知信号は、パケット信号のフォーマットで生成されてもよい。
信号生成部240は、通知信号に、ECU200に固有に定められた識別子を付してもよい。たとえば、ECU111の信号生成部240は、パケット信号に識別子「ID111」を付す。この場合、識別子「ID111」が付されたパケット信号を信号処理する他のECUは、通知信号の受信によって、識別子「ID111」が付されたパケット信号が不正である可能性があることを認識することができる。他のECUは、通知信号の受信に応じて、不正なパケット信号に対する所定の警戒措置(たとえば、インストルメントパネル上の警告ランプを点灯させること)を採ることができる。本実施形態の原理は、通知信号の通信後に行われる特定の措置に限定されない。
代替的に、信号生成部240は、通知信号に、他のパケット信号とは区別するための識別子を付してもよい。この場合、バス120に接続された全てのECUは、識別子「ID111」が付されたパケット信号が不正である可能性があることを認識することができる。本実施形態の原理は、通知信号に付される特定の識別子に限定されない。
図4は、ECU200内で実行される例示的な処理を表す概略的なフローチャートである。図2乃至図4を参照して、ECU200が実行する処理が説明される。
(ステップS110)
受信部212は、他のECUがバス120に出力したパケット信号を待つ。受信部212がパケット信号を受信すると、ステップS120が実行される。
受信部212は、他のECUがバス120に出力したパケット信号を待つ。受信部212がパケット信号を受信すると、ステップS120が実行される。
(ステップS120)
受信部212は、パケット信号を判定部220へ伝達する。その後、ステップS130が実行される。
受信部212は、パケット信号を判定部220へ伝達する。その後、ステップS130が実行される。
(ステップS130)
判定部220は、パケット信号に付された識別子を参照する。信号生成部240が付するはずの識別子が、パケット信号に付されているならば、ステップS140が実行される。他の場合には、ステップS150が実行される。
判定部220は、パケット信号に付された識別子を参照する。信号生成部240が付するはずの識別子が、パケット信号に付されているならば、ステップS140が実行される。他の場合には、ステップS150が実行される。
(ステップS140:警戒ルーチン)
通知信号を生成するための処理が実行される。この結果、他のECUに不正なパケット信号の存在が通知される。
通知信号を生成するための処理が実行される。この結果、他のECUに不正なパケット信号の存在が通知される。
(ステップS150:通常ルーチン)
パケット信号を処理するための演算が実行される。この結果、ECU200によって得られた演算結果が他のECUに通知される。
パケット信号を処理するための演算が実行される。この結果、ECU200によって得られた演算結果が他のECUに通知される。
図5は、警戒ルーチン(図4のステップS140)を表す概略的なフローチャートである。図2乃至図5を参照して、警戒ルーチンが説明される。
(ステップS210)
判定部220は、トリガ信号を生成する。トリガ信号は、判定部220から信号生成部240へ伝達される。判定部220から信号生成部240へのトリガ信号の伝達の後、ステップS220が実行される。
判定部220は、トリガ信号を生成する。トリガ信号は、判定部220から信号生成部240へ伝達される。判定部220から信号生成部240へのトリガ信号の伝達の後、ステップS220が実行される。
(ステップS220)
信号生成部240は、トリガ信号に応じて、通知信号を生成する。通知信号は、信号生成部240から送信部211へ伝達される。信号生成部240から送信部211への通知信号の伝達の後、ステップS230が実行される。
信号生成部240は、トリガ信号に応じて、通知信号を生成する。通知信号は、信号生成部240から送信部211へ伝達される。信号生成部240から送信部211への通知信号の伝達の後、ステップS230が実行される。
(ステップS230)
送信部211は、バス120へ通知信号を出力する。この結果、他のECUに不正なパケット信号の存在が通知される。
送信部211は、バス120へ通知信号を出力する。この結果、他のECUに不正なパケット信号の存在が通知される。
図6は、通常ルーチン(図4のステップS150)を表す概略的なフローチャートである。図2乃至図4及び図6を参照して、通常ルーチンが説明される。
(ステップS310)
判定部220は、パケット信号に付された識別子からパケット信号に含まれるデータが信号処理部230での処理に必要とされるか否かを判定する。信号処理部230が、データを必要としているならば、ステップS320が実行される。他の場合には、通常ルーチンは終了される。
判定部220は、パケット信号に付された識別子からパケット信号に含まれるデータが信号処理部230での処理に必要とされるか否かを判定する。信号処理部230が、データを必要としているならば、ステップS320が実行される。他の場合には、通常ルーチンは終了される。
(ステップS320)
パケット信号に含まれるデータは、判定部220から信号処理部230へ伝達される。その後、ステップS330が実行される。
パケット信号に含まれるデータは、判定部220から信号処理部230へ伝達される。その後、ステップS330が実行される。
(ステップS330)
信号処理部230は、判定部220から受け取ったデータを用いて、所定の演算処理を行う。その後、ステップS340が実行される。
信号処理部230は、判定部220から受け取ったデータを用いて、所定の演算処理を行う。その後、ステップS340が実行される。
(ステップS340)
演算処理の結果が、他のECUに必要とされるならば、ステップS350が実行される。他の場合には、通常ルーチンは終了される。この場合、ECU200は、演算結果を用いた他の制御動作を実行してもよい。
演算処理の結果が、他のECUに必要とされるならば、ステップS350が実行される。他の場合には、通常ルーチンは終了される。この場合、ECU200は、演算結果を用いた他の制御動作を実行してもよい。
(ステップS350)
信号処理部230は、他のECUへの演算結果の伝達を要求する要求信号を生成する。要求信号は、信号処理部230から信号生成部240へ伝達される。その後、ステップS360が実行される。
信号処理部230は、他のECUへの演算結果の伝達を要求する要求信号を生成する。要求信号は、信号処理部230から信号生成部240へ伝達される。その後、ステップS360が実行される。
(ステップS360)
信号生成部240は、要求信号に応じて、演算結果を表すパケット信号を生成する。信号生成部240は、ECU200に固有に定められた識別子をパケット信号に付す。パケット信号は、信号生成部240から送信部211へ伝達される。その後、ステップS370が実行される。
信号生成部240は、要求信号に応じて、演算結果を表すパケット信号を生成する。信号生成部240は、ECU200に固有に定められた識別子をパケット信号に付す。パケット信号は、信号生成部240から送信部211へ伝達される。その後、ステップS370が実行される。
(ステップS370)
送信部211は、バス120へパケット信号を出力する。この結果、他のECUに、パケット信号に含まれるデータ(演算結果)が伝達される。
送信部211は、バス120へパケット信号を出力する。この結果、他のECUに、パケット信号に含まれるデータ(演算結果)が伝達される。
<第2実施形態>
通知信号のみが符号化処理を受けるならば、車載通信システムの通信負荷はあまり大きくならない。したがって、通知信号を選択的に符号化する技術が、第1実施形態に組み込まれてもよい。第2実施形態において、符号化技術として、メッセージ認証符号(以下、MAC(Message Authentication Code)と称される)が用いられる。代替的に、符号化技術は、他の様々な技術であってもよい。
通知信号のみが符号化処理を受けるならば、車載通信システムの通信負荷はあまり大きくならない。したがって、通知信号を選択的に符号化する技術が、第1実施形態に組み込まれてもよい。第2実施形態において、符号化技術として、メッセージ認証符号(以下、MAC(Message Authentication Code)と称される)が用いられる。代替的に、符号化技術は、他の様々な技術であってもよい。
通知信号が符号化処理を受けるならば、不正に組み込まれたECUは、通知信号が出力されたことを認識しにくい。このことは、不正に組み込まれたECUが通知信号を無効化することができないことを意味する。第2実施形態において、符号化技術が組み込まれた車載通信システムが説明される。
図7は、第2実施形態のECU200Aの例示的な機能構成を表す概略的なブロック図である。第1実施形態の説明は、第1実施形態と同一の符号が付された要素に援用される。図2、図4乃至図7を参照して、ECU200Aが説明される。
図7は、ECU200Aと、警告動作部AMPと、を示す。ECU200Aの機能構成は、図2に示されるECU111,112,113,114それぞれに適用されてもよい。
ECU200Aは、他のECUから通知信号を受け取ったとき、警告信号を生成する。警告信号は、ECU200Aから警告動作部AMPへ出力される。警告動作部AMPは、警告信号に応じて、所定の動作を行う。警告動作部AMPは、インスツルメントパネルに組み込まれた警告表示板であってもよい。この場合、警告表示板は、警告信号に応じて、不正アクセスに曝されている車両部位(たとえば、エンジンやブレーキ)に関する情報を表示する。本実施形態の原理は、警告動作部AMPとして用いられる特定の装置に限定されない。
第1実施形態と同様に、ECU200Aは、通信部210を備える。第1実施形態の説明は、通信部210に援用される。
ECU200Aは、判定部220Aと、信号処理部230Aと、信号生成部240Aと、を更に備える。判定部220A及び信号処理部230Aは、一般的なECUが有するCPUであってもよい。信号生成部240Aは、一般的なECUが有するCANコントローラであってもよい。
第1実施形態と同様に、受信部212は、他のECUからパケット信号を受信する。パケット信号は、その後、受信部212から判定部220Aへ出力される。
信号処理部230Aは、演算部231と復号部232とを含む。パケット信号が符号化されていないならば、判定部220Aは、図4乃至図6のフローチャートに関連して説明された処理を実行する。パケット信号が符号化されているならば、判定部220Aは、符号化されたパケット信号を復号部232へ出力する。
復号部232は、パケット信号を復号する。パケット信号の復号に利用される鍵は、他のECUにも共有されている(すなわち、共通鍵)。復号部232は、復号されたパケット信号に含まれるデータから、不正アクセスに曝されている車両部位に関する情報を見出してもよい。復号部232は、該当する車両部位を表す警告信号を生成してもよい。警告信号は、復号部232から警告動作部AMPへ出力される。
他のもう1つのECUに割り当てられた識別子が、受信部212によって受け取られたパケット信号に付されているならば、パケット信号に含まれるデータは、判定部220Aから演算部231へ伝達される。演算部231は、データを用いて、所定の演算処理を実行する。必要に応じて、演算部231は、要求信号を生成する。要求信号は、演算部231から信号生成部240Aへ出力される。
信号生成部240Aは、通知信号生成部241と、パケット信号生成部242と、符号化部243と、を含む。パケット信号生成部242は、要求信号を演算部231から受け取る。パケット信号生成部242は、演算結果を表すデータを含むパケット信号を生成する。パケット信号は、パケット信号生成部242から送信部211へ直接的に伝達される。したがって、パケット信号生成部242によって生成されたパケット信号は、符号化されることなく、送信部211からバス120へ出力される。
第1実施形態と同様に、ECU200Aに割り当てられた識別子が、受信部212によって受け取られたパケット信号に付されているならば、判定部220Aは、トリガ信号を生成する。トリガ信号は、判定部220Aから通知信号生成部241へ出力される。通知信号生成部241は、トリガ信号に応じて、通知信号を生成する。通知信号生成部241は、ECU200Aに割り当てられた識別子と、ECU200Aに割り当てられた識別子を表すデータと、を通知信号に組み込む。通知信号は、通知信号生成部241から符号化部243へ伝達される。本実施形態において、メッセージは、ECU200Aに割り当てられた識別子を表すデータによって例示される。
符号化部243は、復号部232が復号に利用した鍵と同一の鍵を用いて、通知信号を符号化する。この結果、MACが、通知信号に組み込まれる。既知の様々な符号化技術が、通知信号へのMACの組み込みに利用可能である。本実施形態の原理は、特定の符号化技術に限定されない。
符号化された通知信号は、符号化部243から送信部211へ伝達される。送信部211は、符号化された通知信号をバス120へ出力する。
図2を参照して説明された通信システム101に関して、ECU111が、符号化された通知信号をバス120へ出力すると、ECU112,113,114それぞれの復号部232は、通知信号を復号することができる。この結果、ECU112,113,114は、所定の警告動作を実行することができる。一方、不正なECU115は、復号部232を有さない、或いは、復号のための共通鍵を有していない。したがって、ECU115は、通知信号を復号できず、通知信号の内容を把握することができない。この結果、ECU115は、通知信号を無効化する不正な動作を実行することはできない。本実施形態において、第3ノードは、ECU112,113,114のうち1つによって例示される。
通知信号は、MACの分だけ、パケット信号生成部242によって生成されるパケット信号よりもビット数において大きい。しかしながら、ビット数において大きい信号の通信は、不正アクセスの存在下でのみ生ずるので、通信負荷は、過度に大きくならない。
<第3実施形態>
ECUは、パケット信号がバスへ適切に出力されたか否かを検証する機能を有してもよい。第3実施形態において、パケット信号がバスへ適切に出力されたか否かを検証する機能を有する車載通信システムが説明される。
ECUは、パケット信号がバスへ適切に出力されたか否かを検証する機能を有してもよい。第3実施形態において、パケット信号がバスへ適切に出力されたか否かを検証する機能を有する車載通信システムが説明される。
図8は、第3実施形態のECU200Bの例示的な機能構成を表す概略的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図2及び図8を参照して、ECU200Bが説明される。
図8は、ECU200Bと、警告動作部AMPと、を示す。ECU200Bの機能構成は、図2に示されるECU111,112,113,114それぞれに適用されてもよい。
ECU200Bは、他のECUから通知信号を受け取ったとき、警告信号を生成する。警告信号は、ECU200Bから警告動作部AMPへ出力される。警告動作部AMPは、警告信号に応じて、所定の動作を行う。警告動作部AMPは、インスツルメントパネルに組み込まれた警告表示板であってもよい。この場合、警告表示板は、警告信号に応じて、不正アクセスに曝されている部位に関する情報を表示する。本実施形態の原理は、警告動作部AMPとして用いられる特定の装置に限定されない。
第1実施形態と同様に、ECU200Bは、通信部210を備える。第1実施形態の説明は、通信部210に援用される。
第2実施形態と同様に、ECU200Bは、信号処理部230Aと、信号生成部240Aと、を更に備える。第2実施形態の原理は、これらの要素に援用される。
ECU200Bは、判定部220Bを更に備える。判定部220B及び信号処理部230Aは、一般的なECUが有するCPUであってもよい。信号生成部240Aは、一般的なECUが有するCANコントローラであってもよい。
第1実施形態と同様に、受信部212は、他のECUからパケット信号を受信する。パケット信号は、その後、受信部212から判定部220Bへ出力される。
判定部220Bは、第1判定部221と、第2判定部222と、第3判定部223と、記憶部224と、を含む。第1判定部221は、受信部212からパケット信号を受け取る。第1判定部221は、パケット信号に付された識別子を参照する。パケット信号が符号化されていないならば、第1判定部221は、パケット信号から識別子を見出すことができる。この場合、パケット信号を、第2判定部222へ伝達する。パケット信号が符号化されているならば、第1判定部221は、パケット信号から識別子を見出すことができない。この場合、第1判定部221は、パケット信号を、復号部232へ伝達する。復号部232は、第2実施形態と同様に、パケット信号を復号し、警告信号を生成する。警告動作部AMPは、警告信号に応じて、所定の警告動作を実行する。
第2判定部222は、第1判定部221からパケット信号を受け取る。他のECUに割り当てられた識別子が、第1判定部221からのパケット信号に付され、且つ、演算部231によって必要とされる情報を出力するECUに割り当てられているものであるならば、第2判定部222は、パケット信号に含まれるデータを演算部231へ出力する。第2実施形態と同様に、演算部231は、第2判定部222から受け取ったデータを用いて、所定の演算処理を実行する。必要に応じて、演算部231は、要求信号を生成する。要求信号は、演算部231からパケット信号生成部242へ出力される。パケット信号生成部242は、要求信号に応じて、パケット信号を生成する。パケット信号生成部242によって生成されたパケット信号は、送信部211へ出力される。送信部211は、パケット信号をバス120へ出力する。加えて、パケット信号生成部242が生成したパケット信号は、記憶部224へ出力される。この結果、記憶部224は、パケット信号生成部242が生成したパケット信号を表す信号データを記憶することができる。
送信部211が、パケット信号生成部242によって生成された正規のパケット信号をバス120へ出力すると、受信部212は、送信部211が出力した正規のパケット信号を受信する。この場合、正規のパケット信号は、第1判定部221を通じて、第2判定部222へ伝達される。加えて、ECU200Bに成り代わろうとする不正なECUが、不正なパケット信号をバス120へ出力したときにも、不正なパケット信号は、不正なパケット信号は、第1判定部221を通じて、第2判定部222へ伝達される。これらの場合、第1判定部221からのパケット信号は、第2判定部222から第3判定部223へ伝達される。
第3判定部223は、第2判定部222からのパケット信号の伝達に応じて、記憶部224から信号データを読み出す。第3判定部223は、パケット信号を、信号データと比較し、受信部212が受け取った信号が正規のパケット信号であるか否かを判定する。パケット信号が、信号データによって表される信号に一致しているならば、第3判定部223は、正規のパケット信号がバス120へ適切に出力されたことを確認することができる。パケット信号が、信号データによって表される信号に一致していないならば、第3判定部223は、トリガ信号を生成する。トリガ信号は、第3判定部223から通知信号生成部241へ出力する。通知信号生成部241は、トリガ信号に応じて、通知信号を生成する。その後、符号化部243は、通知信号を符号化する。符号化された通知信号は、符号化部243から送信部211へ伝達される。送信部211は、符号化された通知信号をバス120へ出力する。本実施形態において、第1信号は、正規のパケット信号によって例示される。
図9は、ECU200B内で実行される例示的な処理を表す概略的なフローチャートである。図2、図8及び図9を参照して、ECU200Bが実行する処理が説明される。
(ステップS111)
受信部212は、バス120に出力されたパケット信号を待つ。受信部212がパケット信号を受信すると、ステップS121が実行される。
受信部212は、バス120に出力されたパケット信号を待つ。受信部212がパケット信号を受信すると、ステップS121が実行される。
(ステップS121)
受信部212は、パケット信号を第1判定部221へ伝達する。その後、ステップS131が実行される。
受信部212は、パケット信号を第1判定部221へ伝達する。その後、ステップS131が実行される。
(ステップS131)
第1判定部221は、パケット信号に付された識別子を参照する。第1判定部221が識別子を参照することができるならば、ステップS132が実行される。他の場合には、ステップS160が実行される。
第1判定部221は、パケット信号に付された識別子を参照する。第1判定部221が識別子を参照することができるならば、ステップS132が実行される。他の場合には、ステップS160が実行される。
(ステップS132)
信号生成部240Aが付するはずの識別子が、パケット信号に付されているならば、ステップS141が実行される。他の場合には、ステップS151が実行される。
信号生成部240Aが付するはずの識別子が、パケット信号に付されているならば、ステップS141が実行される。他の場合には、ステップS151が実行される。
(ステップS141:警戒ルーチン)
通知信号を生成するための処理が実行される。この結果、他のECUに不正なパケット信号の存在が通知される。
通知信号を生成するための処理が実行される。この結果、他のECUに不正なパケット信号の存在が通知される。
(ステップS151:通常ルーチン)
パケット信号を処理するための演算が実行される。この結果、ECU200Bによって得られた演算結果が他のECUに通知される。
パケット信号を処理するための演算が実行される。この結果、ECU200Bによって得られた演算結果が他のECUに通知される。
(ステップS160:復号ルーチン)
パケット信号を復号する処理が実行される。パケット信号が復号された後、所定の警告動作が実行される。
パケット信号を復号する処理が実行される。パケット信号が復号された後、所定の警告動作が実行される。
図10は、警戒ルーチン(図9のステップS141)を表す概略的なフローチャートである。図8乃至図10を参照して、警戒ルーチンが説明される。
(ステップS201)
パケット信号は、第2判定部222から第3判定部223へ伝達される。その後、ステップS202が実行される。
パケット信号は、第2判定部222から第3判定部223へ伝達される。その後、ステップS202が実行される。
(ステップS202)
第3判定部223は、記憶部224から信号データを読み出す。その後、ステップS203が実行される。
第3判定部223は、記憶部224から信号データを読み出す。その後、ステップS203が実行される。
(ステップS203)
第3判定部223は、パケット信号が、信号データによって表される信号に一致するか否かを判定する。パケット信号が、信号データによって表される信号に一致するならば、警戒ルーチンは終了する。他の場合には、ステップS211が実行される。
第3判定部223は、パケット信号が、信号データによって表される信号に一致するか否かを判定する。パケット信号が、信号データによって表される信号に一致するならば、警戒ルーチンは終了する。他の場合には、ステップS211が実行される。
(ステップS211)
第3判定部223は、トリガ信号を生成する。トリガ信号は、第3判定部223から通知信号生成部241へ伝達される。第3判定部223から通知信号生成部241へのトリガ信号の伝達の後、ステップS221が実行される。
第3判定部223は、トリガ信号を生成する。トリガ信号は、第3判定部223から通知信号生成部241へ伝達される。第3判定部223から通知信号生成部241へのトリガ信号の伝達の後、ステップS221が実行される。
(ステップS221)
通知信号生成部241は、トリガ信号に応じて、通知信号を生成する。通知信号は、通知信号生成部241から符号化部243へ伝達される。通知信号生成部241から符号化部243への通知信号の伝達の後、ステップS222が実行される。
通知信号生成部241は、トリガ信号に応じて、通知信号を生成する。通知信号は、通知信号生成部241から符号化部243へ伝達される。通知信号生成部241から符号化部243への通知信号の伝達の後、ステップS222が実行される。
(ステップS222)
符号化部243は、通知信号を符号化する。符号化された通知信号は、符号化部243から送信部211へ伝達される。その後、ステップS231が実行される。
符号化部243は、通知信号を符号化する。符号化された通知信号は、符号化部243から送信部211へ伝達される。その後、ステップS231が実行される。
(ステップS231)
送信部211は、バス120へ通知信号を出力する。この結果、他のECUに不正なパケット信号の存在が通知される。
送信部211は、バス120へ通知信号を出力する。この結果、他のECUに不正なパケット信号の存在が通知される。
図11は、通常ルーチン(図9のステップS151)を表す概略的なフローチャートである。図8、図9及び図11を参照して、通常ルーチンが説明される。
(ステップS311)
第2判定部222は、パケット信号に付された識別子からパケット信号に含まれるデータが演算部231での処理に必要とされるか否かを判定する。演算部231が、データを必要としているならば、ステップS321が実行される。他の場合には、通常ルーチンは終了される。
第2判定部222は、パケット信号に付された識別子からパケット信号に含まれるデータが演算部231での処理に必要とされるか否かを判定する。演算部231が、データを必要としているならば、ステップS321が実行される。他の場合には、通常ルーチンは終了される。
(ステップS321)
パケット信号に含まれるデータは、第2判定部222から演算部231へ伝達される。その後、ステップS331が実行される。
パケット信号に含まれるデータは、第2判定部222から演算部231へ伝達される。その後、ステップS331が実行される。
(ステップS331)
演算部231は、第2判定部222から受け取ったデータを用いて、所定の演算処理を行う。その後、ステップS341が実行される。
演算部231は、第2判定部222から受け取ったデータを用いて、所定の演算処理を行う。その後、ステップS341が実行される。
(ステップS341)
演算処理の結果が、他のECUに必要とされるならば、ステップS351が実行される。他の場合には、通常ルーチンは終了される。この場合、ECU200Bは、演算結果を用いた他の制御動作を実行してもよい。
演算処理の結果が、他のECUに必要とされるならば、ステップS351が実行される。他の場合には、通常ルーチンは終了される。この場合、ECU200Bは、演算結果を用いた他の制御動作を実行してもよい。
(ステップS351)
演算部231は、他のECUへの演算結果の伝達を要求する要求信号を生成する。要求信号は、演算部231からパケット信号生成部242へ伝達される。その後、ステップS361が実行される。
演算部231は、他のECUへの演算結果の伝達を要求する要求信号を生成する。要求信号は、演算部231からパケット信号生成部242へ伝達される。その後、ステップS361が実行される。
(ステップS361)
パケット信号生成部242は、要求信号に応じて、演算結果を表すパケット信号を生成する。パケット信号生成部242は、ECU200Bに固有に定められた識別子をパケット信号に付す。パケット信号は、パケット信号生成部242から送信部211及び記憶部224へ伝達される。パケット信号生成部242から記憶部224へのパケット信号の伝達の結果、パケット信号を表す信号データが記憶部224に書き込まれる。パケット信号生成部242から送信部211及び記憶部224への伝達の後、ステップS371が実行される。
パケット信号生成部242は、要求信号に応じて、演算結果を表すパケット信号を生成する。パケット信号生成部242は、ECU200Bに固有に定められた識別子をパケット信号に付す。パケット信号は、パケット信号生成部242から送信部211及び記憶部224へ伝達される。パケット信号生成部242から記憶部224へのパケット信号の伝達の結果、パケット信号を表す信号データが記憶部224に書き込まれる。パケット信号生成部242から送信部211及び記憶部224への伝達の後、ステップS371が実行される。
(ステップS371)
送信部211は、バス120へパケット信号を出力する。この結果、他のECUに、パケット信号に含まれるデータ(演算結果)が伝達される。
送信部211は、バス120へパケット信号を出力する。この結果、他のECUに、パケット信号に含まれるデータ(演算結果)が伝達される。
図12は、復号ルーチン(図9のステップS160)を表す概略的なフローチャートである。図8、図9及び図12を参照して、復号ルーチンが説明される。
(ステップS410)
パケット信号は、第1判定部221から復号部232へ出力される。その後、ステップS420が実行される。
パケット信号は、第1判定部221から復号部232へ出力される。その後、ステップS420が実行される。
(ステップS420)
復号部232は、パケット信号を復号する。パケット信号の復号が成功するならば、ステップS430が実行される。他の場合には、ステップS450が実行される。
復号部232は、パケット信号を復号する。パケット信号の復号が成功するならば、ステップS430が実行される。他の場合には、ステップS450が実行される。
(ステップS430)
復号部232は、パケット信号に含まれる情報から、不正アクセスがなされている可能性がある車両部位を特定してもよい。復号部232は、特定された車両部位に関する情報を含む警告信号を生成してもよい。警告信号の生成の後、ステップS440が実行される。
復号部232は、パケット信号に含まれる情報から、不正アクセスがなされている可能性がある車両部位を特定してもよい。復号部232は、特定された車両部位に関する情報を含む警告信号を生成してもよい。警告信号の生成の後、ステップS440が実行される。
(ステップS440)
警告信号は、復号部232から警告動作部AMPへ伝達される。警告動作部AMPは、警告信号に応じて、所定の警告動作を実行する。
警告信号は、復号部232から警告動作部AMPへ伝達される。警告動作部AMPは、警告信号に応じて、所定の警告動作を実行する。
(ステップS450)
復号部232は、所定のエラー処理を実行する。たとえば、復号部232は、第2判定部222から受け取った信号をノイズ信号として処理してもよい。
復号部232は、所定のエラー処理を実行する。たとえば、復号部232は、第2判定部222から受け取った信号をノイズ信号として処理してもよい。
<第4実施形態>
上述の実施形態に説明された技術は、車載通信システムに搭載された複数のECUのうち一部に適用されてもよい。不正アクセスが深刻な事態を引き起こし得るECUにのみ、上述の実施形態に関連して説明された技術が適用されるならば、車載通信システムへの通信負荷の増大は抑制される。第4実施形態において、不正アクセスを検知する機能を有するECUと、不正アクセスの検知機能を有さないECUと、を含む車載通信システムが説明される。
上述の実施形態に説明された技術は、車載通信システムに搭載された複数のECUのうち一部に適用されてもよい。不正アクセスが深刻な事態を引き起こし得るECUにのみ、上述の実施形態に関連して説明された技術が適用されるならば、車載通信システムへの通信負荷の増大は抑制される。第4実施形態において、不正アクセスを検知する機能を有するECUと、不正アクセスの検知機能を有さないECUと、を含む車載通信システムが説明される。
図13は、第4実施形態の車載通信システム(以下、通信システム100Cと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図8及び図13を参照して、通信システム100Cが説明される。
通信システム100Cは、ゲートウェイECU300と、バス121,122,123,124,125と、ECU311〜314,321〜324,331〜334,341〜344,351〜354と、を含む。バス121,122,123,124,125は、ゲートウェイECU300に接続される。
ECU311〜314は、バス121に接続される。ECU311〜314は、協働して、通信システム100Cが搭載された車両のエンジンを制御する。ECU321〜324は、バス122に接続される。ECU321〜324は、協働して、通信システム100Cが搭載された車両のブレーキを制御する。ECU331〜334は、バス123に接続される。ECU331〜334は、協働して、通信システム100Cが搭載された車両のナビゲーションシステムを制御する。ECU341〜344は、バス124に接続される。ECU341〜344は、協働して、通信システム100Cが搭載された車両のエアコンディショナを制御する。ECU351〜354は、バス125に接続される。ECU351〜354は、協働して、通信システム100Cが搭載された車両の先進運転支援システム(ADAS:ADVANCED Driver Assistance Systems)を制御する。
ゲートウェイECU300及びECU311〜314,321〜324それぞれは、図8を参照して説明されたECU200Bと同様の機能構成を有する。したがって、ECU200Bの説明は、ゲートウェイECU300及びECU311〜314,321〜324に援用される。一方、ECU331〜334,341〜344,351〜354それぞれは、一般的なECUであってもよい。
エンジンの制御に影響を与える不正アクセスが生じたとき、ゲートウェイECU300及びECU311〜314のうち少なくとも1つは、通知信号を生成する。ゲートウェイECU300及びECU311〜314のうち少なくとも他のもう1つは、警告信号を生成し、車両を運転する運転者に警告を与えることができる。
ブレーキの制御に影響を与える不正アクセスが生じたとき、ゲートウェイECU300及びECU321〜324のうち少なくとも1つは、通知信号を生成する。ゲートウェイECU300及びECU321〜324のうち少なくとも他のもう1つは、警告信号を生成し、車両を運転する運転者に警告を与えることができる。
<第5実施形態>
車載通信システムは、複数のECU間の通信を統括的に管理及び制御するドメインマスタECUを含んでもよい。第5実施形態において、ドメインマスタECUを含む車載通信システムが説明される。
車載通信システムは、複数のECU間の通信を統括的に管理及び制御するドメインマスタECUを含んでもよい。第5実施形態において、ドメインマスタECUを含む車載通信システムが説明される。
図14は、第5実施形態の車載通信システム(以下、通信システム100Dと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図14を参照して、通信システム100Dが説明される。
第4実施形態と同様に、通信システム100Dは、ゲートウェイECU300と、バス121,122,123と、ECU312〜314,322〜324,332〜334と、を含む。第4実施形態の説明は、これらの要素に援用される。
通信システム100Dは、ドメインマスタECU315,325,335を更に含む。ドメインマスタECU315は、バス121に接続される。ドメインマスタECU325は、バス122に接続される。ドメインマスタECU335は、バス123に接続される。
ドメインマスタECU315は、ECU312〜314を統括的に管理及び制御する。たとえば、ドメインマスタECU315は、ECU312〜314から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU315がまとめた情報は、その後、ゲートウェイECU300を通じて、バス122,123のうち少なくとも一方に伝達される。
ドメインマスタECU325は、ECU322〜324を統括的に管理及び制御する。たとえば、ドメインマスタECU325は、ECU322〜324から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU325がまとめた情報は、その後、ゲートウェイECU300を通じて、バス121,123のうち少なくとも一方に伝達される。
ドメインマスタECU335は、ECU332〜334を統括的に管理及び制御する。たとえば、ドメインマスタECU335は、ECU332〜334から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU335がまとめた情報は、その後、ゲートウェイECU300を通じて、バス121,122のうち少なくとも一方に伝達される。
<第6実施形態>
ドメインマスタECU間の通信は、Ethernetといった高速通信技術に依存してもよい。この場合、ゲートウェイECUは必要とされない。第6実施形態において、ドメインマスタECU間で高速通信を行う車載通信システムが説明される。
ドメインマスタECU間の通信は、Ethernetといった高速通信技術に依存してもよい。この場合、ゲートウェイECUは必要とされない。第6実施形態において、ドメインマスタECU間で高速通信を行う車載通信システムが説明される。
図15は、第6実施形態の車載通信システム(以下、通信システム100Eと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図15を参照して、通信システム100Eが説明される。
第5実施形態と同様に、通信システム100Eは、バス121,122,123と、ECU312〜314,322〜324,332〜334と、ドメインマスタECU315,325,335と、を含む。第5実施形態の説明は、これらの要素に援用される。
通信システム100Eは、高速通信回線301を更に含む。高速通信回線301は、一般的なEthernet回線であってもよい。
通信システム100Eは、ドメインマスタECU315,325,335それぞれに接続される。通信システム100Eは、ドメインマスタECU315,325,335間の相互の情報伝達を可能にする。
第5実施形態に関連して説明された如く、ドメインマスタECU315は、ECU312〜314を統括的に管理及び制御する。ECU315は、ECU312〜314から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU315によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU325,335のうち少なくとも1つに伝達される。
第5実施形態に関連して説明された如く、ドメインマスタECU325は、ECU322〜324を統括的に管理及び制御する。ドメインマスタECU325は、ECU322〜324から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU325によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU315,335のうち少なくとも1つに伝達される。
第5実施形態に関連して説明された如く、ドメインマスタECU335は、ECU332〜334を統括的に管理及び制御する。ドメインマスタECU335は、ECU332〜334から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU335によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU315,325のうち少なくとも1つに伝達される。
上述の様々な実施形態の原理は、車両に対する要求に適合するように、組み合わされてもよい。上述の様々な実施形態のうち1つに関連して説明された様々な特徴のうち一部が、他のもう1つの実施形態に関連して説明された制御装置に適用されてもよい。
上述の実施形態の原理は、様々な車両の制御に好適に利用される。
100,100C・・・・・・・・・・・・・・・通信システム
101・・・・・・・・・・・・・・・・・・・・通信システム
111〜115・・・・・・・・・・・・・・・・ECU
120〜125・・・・・・・・・・・・・・・・バス
200,200A,200B・・・・・・・・・・ECU
210・・・・・・・・・・・・・・・・・・・・通信部
220,220A,220B・・・・・・・・・・判定部
240,240A・・・・・・・・・・・・・・・信号生成部
300・・・・・・・・・・・・・・・・・・・・ゲートウェイECU
311〜314・・・・・・・・・・・・・・・・ECU
321〜324・・・・・・・・・・・・・・・・ECU
331〜334・・・・・・・・・・・・・・・・ECU
341〜344・・・・・・・・・・・・・・・・ECU
351〜354・・・・・・・・・・・・・・・・ECU
101・・・・・・・・・・・・・・・・・・・・通信システム
111〜115・・・・・・・・・・・・・・・・ECU
120〜125・・・・・・・・・・・・・・・・バス
200,200A,200B・・・・・・・・・・ECU
210・・・・・・・・・・・・・・・・・・・・通信部
220,220A,220B・・・・・・・・・・判定部
240,240A・・・・・・・・・・・・・・・信号生成部
300・・・・・・・・・・・・・・・・・・・・ゲートウェイECU
311〜314・・・・・・・・・・・・・・・・ECU
321〜324・・・・・・・・・・・・・・・・ECU
331〜334・・・・・・・・・・・・・・・・ECU
341〜344・・・・・・・・・・・・・・・・ECU
351〜354・・・・・・・・・・・・・・・・ECU
Claims (7)
- 複数のノード間で互いに異なる識別子が付された複数の信号の通信がなされる車載通信システムであって、
前記識別子として第1識別子が付された第1信号を出力する通信部を有する第1ノードを、前記複数のノードのうち1つとして備え、
前記通信部は、前記複数のノードのうち他のもう1つとして前記車載通信システムに組み込まれた第2ノードから第2信号を受信し、
前記第1ノードは、前記第2信号に前記第1識別子が付されているならば、前記車載通信システムの異常を通知する通知信号を生成する信号生成部を含む
車載通信システム。 - 前記信号生成部は、前記通知信号を符号化する
請求項1に記載の車載通信システム。 - 前記複数のノードそれぞれに通信可能に接続されたバスを更に備え、
前記信号生成部は、メッセージ認証符号を用いて、前記通知信号を符号化し、
前記通信部は、前記符号化された通知信号を前記バスへ出力し、
前記複数のノードは、前記通知信号を受信する第3ノードを含み、
前記第3ノードは、前記通知信号の符号化に用いられた共通鍵を用いて、前記通知信号を復号する
請求項1に記載の車載通信システム。 - 前記第1ノードは、前記バスを通じて前記通信部が受け取った信号が前記第1信号であるか否かを判定する判定部を含み、
前記判定部が、前記信号が前記第1信号でないと判定することを条件として、前記信号生成部は、前記通知信号を生成する
請求項3に記載の車載通信システム。 - 前記通知信号は、前記第1識別子を表すメッセージを含む
請求項2乃至4のいずれか1項に記載の車載通信システム。 - 前記第1ノードは、エンジンを制御するように設計されたエレクトロニックコントロールユニットである
請求項1乃至5のいずれか1項に記載の車載通信システム。 - 前記第1ノードは、ブレーキを制御するように設計されたエレクトロニックコントロールユニットである
請求項1乃至5のいずれか1項に記載の車載通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016136232A JP2018007211A (ja) | 2016-07-08 | 2016-07-08 | 車載通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016136232A JP2018007211A (ja) | 2016-07-08 | 2016-07-08 | 車載通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018007211A true JP2018007211A (ja) | 2018-01-11 |
Family
ID=60949665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016136232A Pending JP2018007211A (ja) | 2016-07-08 | 2016-07-08 | 車載通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018007211A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020145086A1 (ja) * | 2019-01-09 | 2020-07-16 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、通信制御方法及び通信方法 |
| JP2020137013A (ja) * | 2019-02-22 | 2020-08-31 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システム及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012155608A (ja) * | 2011-01-27 | 2012-08-16 | Denso Corp | 車両用データ記録装置 |
| JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
| WO2015151418A1 (ja) * | 2014-04-03 | 2015-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法 |
-
2016
- 2016-07-08 JP JP2016136232A patent/JP2018007211A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012155608A (ja) * | 2011-01-27 | 2012-08-16 | Denso Corp | 車両用データ記録装置 |
| JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
| WO2015151418A1 (ja) * | 2014-04-03 | 2015-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法 |
Non-Patent Citations (3)
| Title |
|---|
| 中野 学、他, 自動車の情報セキュリティ, vol. 初版, JPN6017046098, 27 December 2013 (2013-12-27), pages 156 - 165, ISSN: 0003901955 * |
| 畑 正人、他: "不正送信阻止:CANではそれが可能である", CSS2011コンピュータセキュリティシンポジウム2011論文集, vol. 第2011巻, JPN6017046100, 19 October 2011 (2011-10-19), JP, pages 624 - 629, ISSN: 0003695023 * |
| 菅原 健、佐伯 稔、三澤 学: "「強いリセッシブを用いたCANの電気的データ改ざん」", 電子情報通信学会技術研究報告, vol. 114, no. 489, JPN6018041098, 24 February 2015 (2015-02-24), pages 67 - 72, ISSN: 0003901956 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020145086A1 (ja) * | 2019-01-09 | 2020-07-16 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、通信制御方法及び通信方法 |
| JP2020113852A (ja) * | 2019-01-09 | 2020-07-27 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 |
| CN113273144A (zh) * | 2019-01-09 | 2021-08-17 | 国立大学法人东海国立大学机构 | 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 |
| US20220094540A1 (en) * | 2019-01-09 | 2022-03-24 | National University Corporation Tokai National Higher Education And Research System | On-vehicle communication system, on-vehicle communication control device, on-vehicle communication device, communication control method and communication method |
| JP7132132B2 (ja) | 2019-01-09 | 2022-09-06 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 |
| CN113273144B (zh) * | 2019-01-09 | 2022-10-25 | 国立大学法人东海国立大学机构 | 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法 |
| JP2020137013A (ja) * | 2019-02-22 | 2020-08-31 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システム及びプログラム |
| JP7117559B2 (ja) | 2019-02-22 | 2022-08-15 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システム及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11748474B2 (en) | Security system and methods for identification of in-vehicle attack originator | |
| Carsten et al. | In-vehicle networks: Attacks, vulnerabilities, and proposed solutions | |
| CN107431709B (zh) | 攻击识别方法、攻击识别装置和用于汽车的总线系统 | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| CN109257374B (zh) | 安全控制方法、装置和计算机设备 | |
| KR102310252B1 (ko) | 자동차 운전자 보조 시스템에 관련된 방법 | |
| US11184340B2 (en) | Apparatus, method, and computer program for enabling a transportation vehicle component and vehicle-to-vehicle communication module | |
| US11647045B2 (en) | Monitoring a network connection for eavesdropping | |
| JP2016092645A (ja) | 車載通信システム | |
| JP2018133743A (ja) | 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム | |
| US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
| JP2017091360A (ja) | データ配布装置、通信システム、移動体およびデータ配布方法 | |
| US20160014105A1 (en) | Out-of-vehicle device interface apparatus and method for protecting in-vehicle network | |
| US20230083716A1 (en) | Devices, methods, and computer program for releasing transportation vehicle components, and vehicle-to-vehicle communication module | |
| JP2005203882A (ja) | 通信システム及び鍵送信方法 | |
| JP2018007211A (ja) | 車載通信システム | |
| JP2020167494A (ja) | メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置 | |
| JP4921947B2 (ja) | 車両用盗難防止システム | |
| JP6394650B2 (ja) | 認証システム、故障診断ツール、車載通信システム及び認証方法 | |
| JP6631426B2 (ja) | 車載通信システム | |
| JP2020096320A (ja) | 不正信号処理装置 | |
| JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
| WO2018037894A1 (ja) | 車両用認証装置 | |
| EP3618385B1 (en) | Method and arrangement for encoding/decoding a signal at a first and second communication node in a road vehicle | |
| JP7523855B2 (ja) | 検知ルール出力方法、及び、セキュリティシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180119 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180612 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180912 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20180919 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20181019 |