JP2020065151A - 自動車用電子制御装置 - Google Patents
自動車用電子制御装置 Download PDFInfo
- Publication number
- JP2020065151A JP2020065151A JP2018195604A JP2018195604A JP2020065151A JP 2020065151 A JP2020065151 A JP 2020065151A JP 2018195604 A JP2018195604 A JP 2018195604A JP 2018195604 A JP2018195604 A JP 2018195604A JP 2020065151 A JP2020065151 A JP 2020065151A
- Authority
- JP
- Japan
- Prior art keywords
- data
- electronic control
- layout
- control unit
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】自動車の車載セキュリティを向上させる。【解決手段】自動車のCANバス200に接続された電子制御装置100は、CANバス200を流れるデータフレームのデータフィールドに割り当てるデータのレイアウトを所定タイミングで変更する。そして、電子制御装置100は、CANバス200に接続された他の電子制御装置100に対して変更したデータのレイアウトを特定可能な情報を通知し、変更したデータのレイアウトに応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出する。【選択図】図1
Description
本発明は、車載ネットワークに接続される自動車用電子制御装置に関する。
近年の自動車では、車載ネットワークに接続された複数の電子制御装置がデータを交換することで、各種の機能を実現する分散制御システムが採用されている。この場合、例えば、診断を行うインターフェースであるOBD2(On Board Diagnosis second generation)ポートにアナライザーを接続し、車載ネットワークで交換されるデータフレームを取得して解析することができる。このため、外部のネットワークと接続可能な電子制御装置が搭載されていると、その電子制御装置を介して車載ネットワークに任意のデータを送り付けることで、例えば、自動車を遠隔制御できてしまうおそれがある。そこで、特開2017−28742号公報(特許文献1)に記載されるように、車載ネットワークを流れるデータフレームの内容が不正を示す所定条件に該当するか否かを判定して、不正なデータを検知する技術が提案されている。
しかしながら、データフレームのデータフィールドのレイアウトが固定であったため、データフレームの解析が行われてしまうと、特許文献1に記載の技術では不正なデータの検知が困難となり、例えば、自動車が遠隔操作されてしまうおそれが依然としてあった。
そこで、本発明は、自動車の車載セキュリティを向上させた、自動車用電子制御装置を提供することを目的とする。
このため、自動車の車載ネットワークに接続された自動車用電子制御装置は、車載ネットワークを流れるデータフレームのデータフィールドに割り当てるデータのレイアウトを所定タイミングで変更する。そして、自動車用電子制御装置は、車載ネットワークに接続された少なくとも1つの他の電子制御装置に対して変更したデータのレイアウトを特定可能な情報を通知し、変更したデータのレイアウトに応じてデータフィールドにデータを割り当てたデータフレームを車載ネットワークに送出する。
本発明によれば、データフレームのデータフィールドに割り当てるデータのレイアウトが逐次変更されるので、データフレームの解析が困難になって、自動車の車載セキュリティを向上させることができる。
以下、添付された図面を参照し、本発明を実施するための実施形態について詳述する。
図1は、自動車に搭載されたライン型の車載ネットワークの一例を示している。エンジンシステム、自動変速システム、横滑り防止システム、自動ブレーキシステム、自動運転システムなどを電子制御する複数の電子制御装置100は、例えば、CAN(Controller Area Network)バス200を介して、任意のデータを交換可能に接続されている。以下の説明においては、CANを使用した実施形態について説明するが、車載ネットワークとしては、CANに限らず、FlexRay(登録商標)、LIN(Local Interconnect Network)などの公知のネットワークを使用することができる。
図1は、自動車に搭載されたライン型の車載ネットワークの一例を示している。エンジンシステム、自動変速システム、横滑り防止システム、自動ブレーキシステム、自動運転システムなどを電子制御する複数の電子制御装置100は、例えば、CAN(Controller Area Network)バス200を介して、任意のデータを交換可能に接続されている。以下の説明においては、CANを使用した実施形態について説明するが、車載ネットワークとしては、CANに限らず、FlexRay(登録商標)、LIN(Local Interconnect Network)などの公知のネットワークを使用することができる。
電子制御装置100は、図2に示すように、プロセッサ110と、不揮発性メモリ120と、揮発性メモリ130と、入出力回路140と、CANトランシーバ150と、CANコントローラ160と、を備えている。
プロセッサ110は、ソフトウエアプログラムに記述された命令セットを実行するハードウエアであって、例えば、CPU(Central Processing Unit)などからなる。不揮発性メモリ120は、電源を遮断してもデータが保持される電気的にデータを書き換え可能なメモリであって、例えば、EEPROM(Electrically Erasable Programmable Read Only Memory)、フラッシュROM(Read Only Memory)などからなる。揮発性メモリ130は、電源を遮断するとデータが消失するメモリであって、例えば、DRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)などからなる。入出力回路140は、各種のセンサ又はスイッチなどからアナログ信号又はデジタル信号を読み込むと共に、アクチュエータなどにアナログ又はデジタルの駆動信号を出力するデバイスであって、例えば、A/Dコンバータ、D/Dコンバータなどからなる。そして、プロセッサ110、不揮発性メモリ120、揮発性メモリ130及び入出力回路140は、内部バス170を介して、任意のデータを送受信可能に接続されている。
CANトランシーバ150は、複数の電子制御装置100の間で任意のデータを送受信するために、バス送信電圧の発生及び調整、動作電流の確保、配線の保護などを行う。CANコントローラ160は、ビットスタッフィング、通信調停、エラーハンドリング、CRC(Cyclic Redundancy Check)などのCANプロトコルの機能を実現する。また、CANコントローラ160は、外部の電子制御装置100との間でデータフレームを送受信するために、複数のメールボックスMBを実装するメッセージRAM162を内蔵している。そして、CANトランシーバ150は、専用のバス180を介して、CANコントローラ160を経由してプロセッサ110に接続されている。なお、CANトランシーバ150及びCANコントローラ160は、専用のバス180に代えて、内部バス170に接続されていてもよい。
複数の電子制御装置100の間で送受信されるデータフレームは、図3に示すように、SOF(Start Of Frame)と、ID(Identifier)と、RTR(Remote Transmission Request)と、コントロールフィールドと、データフィールドと、CRCフィールドと、ACK(Acknowledgement)フィールドと、EOF(End Of Frame)と、を含んでいる。
SOFは、データフレームの開始を表す。IDは、送信されるデータの内容を識別すると共に、データの優先順位を表す。RTRは、データフレームとリモートフレームとを識別する。コントロールフィールドは、IDE(Identifier Extension)と、予約ビットrと、データフィールドにおいて何バイトのデータが送信されるかを表すDLC(Data Length Code)と、を含んでいる。データフィールドは、送信されるデータの本体を格納する。CRCフィールドは、正常に受信できたかを判断するためのCRCシーケンスと、CRCシーケンスの終了を表すCRCデリミタと、を含んでいる。ACKフィールドは、ACKスロットと、ACKデリミタと、を含んでいる。EOFは、データフレームの終了を表す。なお、このデータフレームは、標準フォーマットのデータフレームの一例であるが、拡張フォーマットのデータフレームであってもよい。
電子制御装置100のプロセッサ110は、複数のメールボックスMBに格納されたデータフレームのIDに応じて、そのIDにより特定される優先順位でデータフレームを送信する。このとき、電子制御装置100のプロセッサ110は、最初に、複数のメールボックスMBに優先順位が上位のデータフレームを夫々格納し、それ以降においては、複数のメールボックスMBのいずれかに格納されたデータフレームの送信完了によるソフトウエア割り込みに応答して、そのメースボックスMBに優先順位が次に高いデータフレームを順次格納する。
データフレームのデータフィールドには、0〜8バイト(0〜256ビット)のデータが格納可能である。このため、電子制御装置100の不揮発性メモリ120には、図4に示すように、CANバス200を流れるデータフレームのデータフィールドに割り当てるデータのレイアウトを定義したレイアウト情報300が格納されている。図4に示すレイアウト情報300は、データフレームのデータフィールドに対して、8ビット(1バイト)のデータA0〜A7からなる車速、1ビットのデータBからなるブレーキスイッチ、1ビットのデータCからなるアクセルスイッチが割り当てられた初期状態を示している。ここで、レイアウト情報300は、IDにより識別されるデータフレームごとに異なる可能性があるため、各IDに対応付けられた状態で不揮発性メモリ120に格納されることが好ましい。なお、レイアウト情報300が、データのレイアウトを特定可能な情報の一例として挙げられる。
図5は、電子制御装置100が起動されたことを契機として、電子制御装置100のプロセッサ110が実行する起動時処理の第1実施形態を示している。ここで、電子制御装置100のプロセッサ110は、不揮発性メモリ120に格納されたプログラムに従って起動時処理を実行する(以下同様)。なお、起動時処理を実行する電子制御装置100としては、車載セキュリティの向上が要望される、例えば、電子的なキーの照合システムを使用した自動車盗難システム(イモビライザーシステム)の電子制御装置とすることができる(以下同様)。
ステップ1(図5では「S1」と略記する。以下同様。)では、電子制御装置100のプロセッサ110が、不揮発性メモリ120からレイアウト情報300を読み込む。
ステップ2では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、不揮発性メモリ120から読み込んだレイアウト情報300を通知する。
ステップ2では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、不揮発性メモリ120から読み込んだレイアウト情報300を通知する。
ステップ3では、電子制御装置100のプロセッサ110が、CANバス200に接続されたすべての電子制御装置100から、レイアウト情報300の受付完了通知があったか否かを判定する。そして、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知があったならば、処理をステップ4へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知がなかったならば、すべての電子制御装置100から受付完了通知があるまで待機する(No)。なお、一定時間内にすべての電子制御装置100から受付完了通知がなかった場合、電子制御装置100のプロセッサ110は、例えば、CAN通信異常であると判断して警告灯を点灯させてもよい(以下同様)。
ステップ4では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。従って、不揮発性メモリ120には、直近に更新されたレイアウト情報300が格納されることとなる。なお、レイアウト情報300の具体的な更新方法は、起動時処理を説明した後で詳細に説明する。
ステップ5では、電子制御装置100のプロセッサ110が、他の電子制御装置100に通知したレイアウト情報300に応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出することで、他の電子制御装置100との通信を開始する。
かかる起動時処理によれば、自動車のCANバス200に接続された電子制御装置100は、CANバス200を流れるデータフレームのデータフィールドに割り当てるデータのレイアウトを更新し、CANバス200に接続された他の電子制御装置100に対して変更したデータのレイアウトを特定可能なレイアウト情報300を通知する。そして、電子制御装置100は、更新したデータのレイアウトに応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出する。従って、電子制御装置100が起動されるたびに、データフィールドに割り当てるデータのレイアウトが逐次変更されるので、データフレームの解析が困難になって、自動車の車載セキュリティを向上させることができる。
レイアウト情報300を受信した他の電子制御装置100は、このレイアウト情報300を不揮発性メモリ120又は揮発性メモリ130に書き込み、これを参照してデータフレームのデータフィールドを解析することで、受信したデータフレームを正しく使用することができる(以下同様)。
ここで、レイアウト情報300の更新方法について説明する。
電子制御装置100のプロセッサ110は、複数のレイアウト定義の中からランダムに選定された1つのレイアウト定義に基づいて、レイアウト情報300を変更することができる。レイアウト定義としては、次のようなものが例として挙げられる。
電子制御装置100のプロセッサ110は、複数のレイアウト定義の中からランダムに選定された1つのレイアウト定義に基づいて、レイアウト情報300を変更することができる。レイアウト定義としては、次のようなものが例として挙げられる。
[レイアウト定義1]
レイアウト定義1は、図6に示すように、データフレームのデータフィールドに対して、最上位バイトの最上位ビット(第0バイトの第0ビット)から最下位バイトの最下位ビット(第7バイトの第7ビット)に向けて、各種のデータを詰めて配置することを定義したものである。この場合、各種のデータが配置されていない部分には、例えば、所定のダミーデータ、ランダムに生成したダミーデータなどを配置することができる(以下同様)。なお、CANバス200に接続された電子制御装置100は、データフレームのデータフィールドにダミーデータが配置されていても、データフィールドのレイアウトが分かっているため問題が生じない。
レイアウト定義1は、図6に示すように、データフレームのデータフィールドに対して、最上位バイトの最上位ビット(第0バイトの第0ビット)から最下位バイトの最下位ビット(第7バイトの第7ビット)に向けて、各種のデータを詰めて配置することを定義したものである。この場合、各種のデータが配置されていない部分には、例えば、所定のダミーデータ、ランダムに生成したダミーデータなどを配置することができる(以下同様)。なお、CANバス200に接続された電子制御装置100は、データフレームのデータフィールドにダミーデータが配置されていても、データフィールドのレイアウトが分かっているため問題が生じない。
[レイアウト定義2]
レイアウト定義2は、図7に示すように、データフレームのデータフィールドに対して、最上位バイトの最下位ビット(第0バイトの第7ビット)から最下位バイトの最上位ビット(第7バイトの第0ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、各バイトにおいては、最下位ビット(第7ビット)から最上位ビット(第0ビット)へと逆方向にデータが配置される。このようにすれば、データの各ビットの配置が逆になるため、データフィールドの解析がより困難になる。
レイアウト定義2は、図7に示すように、データフレームのデータフィールドに対して、最上位バイトの最下位ビット(第0バイトの第7ビット)から最下位バイトの最上位ビット(第7バイトの第0ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、各バイトにおいては、最下位ビット(第7ビット)から最上位ビット(第0ビット)へと逆方向にデータが配置される。このようにすれば、データの各ビットの配置が逆になるため、データフィールドの解析がより困難になる。
[レイアウト定義3]
レイアウト定義3は、図8に示すように、データフレームのデータフィールドに対して、最下位バイトの最上位ビット(第7バイトの第0ビット)から最上位バイトの最下位ビット(第0バイトの第7ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、最下位バイト(第7バイト)から最上位バイト(第0バイト)へと逆方向にデータが配置される。このようにすれば、各バイトの配列が逆になるため、データフィールドの解析がより困難になる。
レイアウト定義3は、図8に示すように、データフレームのデータフィールドに対して、最下位バイトの最上位ビット(第7バイトの第0ビット)から最上位バイトの最下位ビット(第0バイトの第7ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、最下位バイト(第7バイト)から最上位バイト(第0バイト)へと逆方向にデータが配置される。このようにすれば、各バイトの配列が逆になるため、データフィールドの解析がより困難になる。
[レイアウト定義4]
レイアウト定義4は、図9に示すように、データフレームのデータフィールドに対して、最下位バイトの最下位ビット(第7バイトの第7ビット)から最上位バイトの最上位ビット(第0バイトの第0ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、各バイトにおいては、最下位ビット(第7ビット)から最上位ビット(第0ビット)へと逆方向にデータが配置され、このようなバイトが最下位バイト(第7バイト)から最上位バイト(第0バイト)へと逆方向に配置される。このようにすれば、各バイトにおけるビット配列及び各バイトの配列が逆になるため、データフィールドの解析がより一層困難になる。
レイアウト定義4は、図9に示すように、データフレームのデータフィールドに対して、最下位バイトの最下位ビット(第7バイトの第7ビット)から最上位バイトの最上位ビット(第0バイトの第0ビット)に向けて、各種のデータを詰めて配置することを定義したものである。即ち、各バイトにおいては、最下位ビット(第7ビット)から最上位ビット(第0ビット)へと逆方向にデータが配置され、このようなバイトが最下位バイト(第7バイト)から最上位バイト(第0バイト)へと逆方向に配置される。このようにすれば、各バイトにおけるビット配列及び各バイトの配列が逆になるため、データフィールドの解析がより一層困難になる。
[レイアウト定義5]
レイアウト定義5は、図10に示すように、データフレームのデータフィールドのレイアウトを変更するたびに、最上位バイト(第0バイト)から最下位バイト(第7バイト)に向けて、各バイトをシフトすることを定義したものである。ここで、レイアウトを変更するとき、最下位バイト(第7バイト)は最上位バイト(第0バイト)へとシフトされる。このようにすれば、簡潔なレイアウト更新にもかかわらず、ダミーデータと各種のデータとの境界が不明確になることから、データフィールドの解析がより困難になる。なお、各バイトのシフト方向は、最下位バイト(第7バイト)から最上位バイト(第0バイト)に向かう方向であってもよい。
レイアウト定義5は、図10に示すように、データフレームのデータフィールドのレイアウトを変更するたびに、最上位バイト(第0バイト)から最下位バイト(第7バイト)に向けて、各バイトをシフトすることを定義したものである。ここで、レイアウトを変更するとき、最下位バイト(第7バイト)は最上位バイト(第0バイト)へとシフトされる。このようにすれば、簡潔なレイアウト更新にもかかわらず、ダミーデータと各種のデータとの境界が不明確になることから、データフィールドの解析がより困難になる。なお、各バイトのシフト方向は、最下位バイト(第7バイト)から最上位バイト(第0バイト)に向かう方向であってもよい。
そして、電子制御装置100のプロセッサ110は、例えば、乱数を用いて、レイアウト定義1〜5の中から1つのレイアウト定義をランダムに選定し、そのレイアウト定義に応じてレイアウト情報300を更新する。なお、レイアウト定義は、レイアウト定義1〜5に限らず、これらの中から選択された少なくとも2つのレイアウト定義、各種のデータをランダムに配置したレイアウト定義などであってもよい。
図11は、電子制御装置100が起動されたことを契機として、電子制御装置100のプロセッサ110が実行する起動時処理の第2実施形態を示している。ここで、起動時処理の第2実施形態について、起動時処理の第1実施形態と同様な処理は簡単に説明することとする。必要があれば、起動時処理の第1実施形態の説明を参照されたい。
ステップ11では、電子制御装置100のプロセッサ110が、不揮発性メモリ120からレイアウト情報300を読み込む。
ステップ12では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。
ステップ12では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。
ステップ13では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、不揮発性メモリ120から読み込んだレイアウト情報300を通知する。
ステップ14では、電子制御装置100のプロセッサ110が、CANバス200に接続されたすべての電子制御装置100から、レイアウト情報300の受付完了通知があったか否かを判定する。そして、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知があったならば、処理をステップ15へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知がなかったならば、すべての電子制御装置100から受付完了通知があるまで待機する(No)。
ステップ15では、電子制御装置100のプロセッサ110が、他の電子制御装置100に通知したレイアウト情報300に応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出することで、他の電子制御装置100との通信を開始する。
なお、かかる起動時処理の作用及び効果は、レイアウト情報300を更新するタイミングが異なるだけで、起動時処理の第1実施形態と同様であるため、その説明は省略することとする。必要があれば、起動時処理の第1実施形態の説明を参照されたい。
図12は、電子制御装置100の起動後、電子制御装置100のプロセッサ110が所定時間ごとに繰り返し実行するレイアウト更新処理の第1実施形態を示している。ここで、電子制御装置100のプロセッサ110は、不揮発性メモリ120に格納されたプログラムに従ってレイアウト変更処理を実行する(以下同様)。
ステップ21では、電子制御装置100のプロセッサ110が、自動車が安全状態にあるか否かを判定する。ここで、「自動車が安全状態にある」とは、例えば、エンジン作動状態で停車したとき、アイドリングストップ状態のとき、パーキングレンジに変速されたときなど、データフィールドのレイアウト変更を実行しても自動車の安全性に影響がない状態にあることを意味する。そして、電子制御装置100のプロセッサ110は、自動車が安全状態にあると判定すれば、処理をステップ22へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、自動車が安全状態にないと判定すれば、レイアウト変更処理を強制的に終了させる(No)。
ステップ22では、電子制御装置100のプロセッサ110が、不揮発性メモリ120からレイアウト情報300を読み込む。
ステップ23では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、不揮発性メモリ120から読み込んだレイアウト情報300を通知する。
ステップ23では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、不揮発性メモリ120から読み込んだレイアウト情報300を通知する。
ステップ24では、電子制御装置100のプロセッサ110が、CANバス200に接続されたすべての電子制御装置100から、レイアウト情報300の受付完了通知があったか否かを判定する。そして、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知があったならば、処理をステップ25へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知がなかったならば、すべての電子制御装置100から受付完了通知があるまで待機する(No)。
ステップ25では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。従って、不揮発性メモリ120には、直近に更新されたレイアウト情報300が格納されることとなる。
ステップ26では、電子制御装置100のプロセッサ110が、他の電子制御装置100に通知したレイアウト情報300に応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出することで、他の電子制御装置100との通信を開始する。
かかるレイアウト更新処理によれば、自動車のCANバス200に接続された電子制御装置100は、起動後の所定時間ごとに、データフィールドに割り当てるデータのレイアウトを更新し、CANバス200に接続された他の電子制御装置100に対して変更したデータのレイアウトを特定可能なレイアウト情報300を通知する。そして、電子制御装置100は、更新したデータのレイアウトに応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出する。従って、電子制御装置100の起動後の所定時間ごとに、データフィールドに割り当てるデータのレイアウトが逐次変更されるので、データフレームの解析が困難になり、自動車の車載セキュリティを向上させることができる。
図13は、電子制御装置100の起動後、電子制御装置100のプロセッサ110が所定時間ごとに繰り返し実行するレイアウト更新処理の第2実施形態を示している。レイアウト更新処理の第2実施形態について、レイアウト更新処理の第1実施形態と同様な処理は簡単に説明することとする。必要があれば、レイアウト更新処理の第1実施形態の説明を参照されたい。
ステップ31では、電子制御装置100のプロセッサ110が、自動車が安全状態にあるか否かを判定する。そして、電子制御装置100のプロセッサ110は、自動車が安全状態にあると判定すれば、処理をステップ32へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、自動車が安全状態にないと判定すれば、レイアウト変更処理を強制的に終了させる(No)。
ステップ32では、電子制御装置100のプロセッサ110が、不揮発性メモリ120からレイアウト情報300を読み込む。
ステップ33では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。
ステップ33では、電子制御装置100のプロセッサ110が、不揮発性メモリ120から読み込んだレイアウト情報300を更新し、これを不揮発性メモリ120に上書きして書き換える。
ステップ34では、電子制御装置100のプロセッサ110が、CANバス200に接続された他の電子制御装置100に対して、更新したレイアウト情報300を通知する。
ステップ35では、電子制御装置100のプロセッサ110が、CANバス200に接続されたすべての電子制御装置100から、レイアウト情報300の受付完了通知があったか否かを判定する。そして、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知があったならば、処理をステップ36へと進める(Yes)。一方、電子制御装置100のプロセッサ110は、すべての電子制御装置100から受付完了通知がなかったならば、すべての電子制御装置100から受付完了通知があるまで待機する(No)。
ステップ36では、電子制御装置100のプロセッサ110が、他の電子制御装置100に通知したレイアウト情報300に応じてデータフィールドにデータを割り当てたデータフレームをCANバス200に送出することで、他の電子制御装置100との通信を開始する。
なお、かかるレイアウト更新処理の作用及び効果は、レイアウト情報300を更新するタイミングが異なるだけで、レイアウト更新処理の第1実施形態と同様であるため、その説明は省略することとする。必要があれば、レイアウト更新処理の第1実施形態の説明を参照されたい。
要するに、自動車に搭載された電子制御装置100は、データフレームのデータフィールドに割り当てるデータのレイアウトを所定タイミングで変更することで、例えば、OBD2ポートにアナライザーが接続されても、データフィールドの解析が容易にできないようにして、車載セキュリティを向上させている。ここで、所定タイミングとしては、電子制御装置100の起動時、その起動後の所定時間ごとの少なくとも一方とすることができる。また、データフレームのデータフィールドに割り当てるデータのレイアウトは、不揮発性メモリ120に格納されて逐次更新されるため、レイアウト定義が特定できない限り、これを容易に解析することができない。
自動車の車載セキュリティを更に向上させる工夫として、レイアウト定義に関して、図14に示すように、データフレームのデータフィールドに割り当てるデータのレイアウトと関連がない少なくとも1つのキーワードを埋め込むようにしてもよい。図4に示す一例では、レイアウト定義1を前提として、第3バイトの第3及び第4ビット並びに第4バイトの第3及び第4ビットに、4ビットのキーワード(1)〜(4)を埋め込んでいるが、その埋め込み箇所及びその大きさ、前提とするレイアウト定義1〜4は任意とすることができる。ここで、キーワードの一例としては、データフレームに格納されないチェックサム、更新回数を計数するカウンタ、乱数により生成したランダムな値とすることができる。
このようにすれば、データフレームのデータフィールドに各種のデータとは関連がないキーワードが含まれることとなるので、そのデータフィールドを取得して解析しても、各種のデータとキーワードとを区別することができず、車載セキュリティを更に向上させることができる。
この場合、レイアウト定義5を適用すると、図15に示すように、データフレームのデータフィールドのレイアウトを変更するたびに、各バイトを最上位バイトから最下位バイトに向けてシフトすると、キーワードも併せてシフトされる。このため、簡潔なレイアウト更新にもかかわらず、各種のデータとキーワードとの境界が不明確になることから、データフィールドの解析がより一層困難になる。
キーワードの埋め込みについては、4ビットのキーワードであれば、図16に示すように、例えば、第0バイトの第0ビット、第0バイトの第7ビット、第7バイトの第0ビット及び第7バイトの第7ビットなど固定の箇所としてもよい。このようにすれば、固定箇所に埋め込まれたキーワードの存在が分からない限り、これと各種データとの区別ができず、自動車の車載セキュリティを更に向上させることができる。
この場合、レイアウト定義5を適用すると、図17に示すように、データフレームのデータフィールドのレイアウトを変更しても、キーワードの埋め込み箇所が固定であるため、キーワード周囲の解析が困難となって、自動車の車載セキュリティをより一層向上させることができる。
なお、当業者であれば、様々な上記実施形態の技術的思想について、その一部を省略したり、その一部を適宜組み合わせたり、その一部を置換したりすることで、新たな実施形態を生み出せることを容易に理解できるであろう。
100 電子制御装置(自動車用電子制御装置)
120 不揮発性メモリ
200 CANバス(車載ネットワーク)
300 レイアウト情報
120 不揮発性メモリ
200 CANバス(車載ネットワーク)
300 レイアウト情報
Claims (6)
- 自動車の車載ネットワークに接続された自動車用電子制御装置であって、
前記車載ネットワークを流れるデータフレームのデータフィールドに割り当てるデータのレイアウトを所定タイミングで変更し、前記車載ネットワークに接続された少なくとも1つの他の電子制御装置に対して前記変更したデータのレイアウトを特定可能な情報を通知し、前記変更したデータのレイアウトに応じてデータフィールドにデータを割り当てたデータフレームを前記車載ネットワークに送出する、
自動車用電子制御装置。 - 前記所定タイミングは、起動時及び起動後の所定時間ごとの少なくとも一方である、
請求項1に記載の自動車用電子制御装置。 - 前記所定タイミングが起動後の所定時間ごとである場合、
前記データのレイアウトは、前記自動車が安全状態にあるときのみ変更される、
請求項2に記載の自動車用電子制御装置。 - 前記データのレイアウトは、複数のレイアウト定義の中からランダムに選定された1つのレイアウト定義に基づいて変更された、
請求項1〜請求項3のいずれか1つに記載の自動車用電子制御装置。 - 前記データのレイアウトは、不揮発性メモリに格納されて逐次更新される、
請求項1〜請求項4のいずれか1つに記載の自動車用電子制御装置。 - 前記データのレイアウトに、当該レイアウトと関連がない少なくとも1つのキーワードが埋め込まれた、
請求項1〜請求項5のいずれか1つに記載の自動車用電子制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018195604A JP7100558B2 (ja) | 2018-10-17 | 2018-10-17 | 自動車用電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018195604A JP7100558B2 (ja) | 2018-10-17 | 2018-10-17 | 自動車用電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020065151A true JP2020065151A (ja) | 2020-04-23 |
| JP7100558B2 JP7100558B2 (ja) | 2022-07-13 |
Family
ID=70388433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018195604A Active JP7100558B2 (ja) | 2018-10-17 | 2018-10-17 | 自動車用電子制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7100558B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114362885A (zh) * | 2022-01-10 | 2022-04-15 | 中电望辰科技有限公司 | 物联网数据传输方法、装置、设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101519777B1 (ko) * | 2014-01-29 | 2015-05-12 | 현대자동차주식회사 | 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법 |
| JP2017017615A (ja) * | 2015-07-03 | 2017-01-19 | 本田技研工業株式会社 | 通信装置、および通信システム |
| JP2018032977A (ja) * | 2016-08-24 | 2018-03-01 | 株式会社オートネットワーク技術研究所 | 送信装置、通信システム、送信方法及びコンピュータプログラム |
| JP2018129093A (ja) * | 2014-06-19 | 2018-08-16 | 日立オートモティブシステムズ株式会社 | 車載プログラム書込み装置 |
-
2018
- 2018-10-17 JP JP2018195604A patent/JP7100558B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101519777B1 (ko) * | 2014-01-29 | 2015-05-12 | 현대자동차주식회사 | 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법 |
| CN104811434A (zh) * | 2014-01-29 | 2015-07-29 | 现代自动车株式会社 | 车辆网络中的控制器之间的数据传输方法和数据接收方法 |
| US20150215125A1 (en) * | 2014-01-29 | 2015-07-30 | Hyundai Motor Company | Data transmission method and data reception method between controllers in vehicle network |
| JP2018129093A (ja) * | 2014-06-19 | 2018-08-16 | 日立オートモティブシステムズ株式会社 | 車載プログラム書込み装置 |
| JP2017017615A (ja) * | 2015-07-03 | 2017-01-19 | 本田技研工業株式会社 | 通信装置、および通信システム |
| JP2018032977A (ja) * | 2016-08-24 | 2018-03-01 | 株式会社オートネットワーク技術研究所 | 送信装置、通信システム、送信方法及びコンピュータプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114362885A (zh) * | 2022-01-10 | 2022-04-15 | 中电望辰科技有限公司 | 物联网数据传输方法、装置、设备和介质 |
| CN114362885B (zh) * | 2022-01-10 | 2024-04-26 | 中电望辰科技有限公司 | 物联网数据传输方法、通信系统、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7100558B2 (ja) | 2022-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695790B2 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
| JP6887040B2 (ja) | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム | |
| RU2712138C2 (ru) | Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети | |
| CN109495439B (zh) | 用于车内网络入侵检测的系统和方法 | |
| US20190141070A1 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
| US11423145B2 (en) | Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization | |
| US9705699B2 (en) | Method and apparatus for reducing load in can communication | |
| CN109495438B (zh) | 用于车内网络入侵检测的系统和方法 | |
| JP2010258990A (ja) | 制御システム及び制御プログラム更新方法 | |
| JP2017079406A (ja) | 車載記録システム及び車載制御装置 | |
| US20200412756A1 (en) | Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium | |
| CN111066001A (zh) | 日志输出方法、日志输出装置以及程序 | |
| CN111108725A (zh) | 用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备 | |
| JP6342311B2 (ja) | CAN(Controller Area Network)通信システム及びエラー情報記録装置 | |
| JP7100558B2 (ja) | 自動車用電子制御装置 | |
| JP6783578B2 (ja) | 車両制御システム | |
| JP7176488B2 (ja) | データ保存装置、及びデータ保存プログラム | |
| CN108632242B (zh) | 通信装置及接收装置 | |
| JP6874102B2 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法 | |
| JP4962378B2 (ja) | 車両情報記憶装置、装置情報データ記憶システム、装置情報データ記憶方法 | |
| CN107444300B (zh) | 用于运行用于车辆的数据处理装置的方法 | |
| JP2021010123A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN111788800B (zh) | 帧传送方法以及安全星型耦合器 | |
| US11956188B1 (en) | Security aware routing in an in-vehicle communication network | |
| JP2017149234A (ja) | 車両用監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210603 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220315 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220701 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7100558 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |