JP2020072433A - Incorrect signal determination device - Google Patents

Incorrect signal determination device Download PDF

Info

Publication number
JP2020072433A
JP2020072433A JP2018207043A JP2018207043A JP2020072433A JP 2020072433 A JP2020072433 A JP 2020072433A JP 2018207043 A JP2018207043 A JP 2018207043A JP 2018207043 A JP2018207043 A JP 2018207043A JP 2020072433 A JP2020072433 A JP 2020072433A
Authority
JP
Japan
Prior art keywords
vehicle
signal
unauthorized
external
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018207043A
Other languages
Japanese (ja)
Inventor
怜史 西本
Reishi Nishimoto
怜史 西本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2018207043A priority Critical patent/JP2020072433A/en
Publication of JP2020072433A publication Critical patent/JP2020072433A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

To handle an incorrect signal input into an on-vehicle communication network from the outside.SOLUTION: An incorrect signal determination device 100 includes: an ECU 2 installed on a vehicle and controlling an operation of the vehicle; a communication network connected to be communicatable with the ECU 2; and a gateway 5 connected to be communicatable with the communication network and relaying communication between the ECU 2 and an external apparatus. The gateway 5 includes an external signal detection section 53 for detecting an external signal input from the external apparatus and an incorrect signal determination section 54 for determining whether or not an external signal detected by the external signal detection section 53 is an incorrect signal on the basis of an operation state of a vehicle.SELECTED DRAWING: Figure 2

Description

本発明は、外部から車載通信網に入力される不正な信号を判定する不正信号判定装置に関する。   The present invention relates to an unauthorized signal determination device that determines an unauthorized signal externally input to an in-vehicle communication network.

従来、車両の状態に応じて外部機器による車両制御用プログラムの更新を許可するようにした装置が知られている。例えば特許文献1記載の装置では、車両の電動パーキングブレーキ装置のロックが完了している場合に、電動パーキングブレーキ装置の動作を制御する制御装置のプログラムの更新を許可する。   2. Description of the Related Art Conventionally, there is known a device that permits updating of a vehicle control program by an external device according to the state of the vehicle. For example, in the device described in Patent Document 1, when the lock of the electric parking brake device of the vehicle is completed, the update of the program of the control device that controls the operation of the electric parking brake device is permitted.

特許文献1:特開2013−174974号公報   Patent Document 1: JP 2013-174974 A

しかしながら、上記特許文献1記載の装置は、電動パーキングブレーキ装置の作動時に車両制御用プログラムの更新を許可するだけであり、上記特許文献1記載の装置では、外部から車載通信網に不正な信号が入力された場合に対処することは難しい。   However, the device described in Patent Document 1 only permits the update of the vehicle control program when the electric parking brake device is activated, and in the device described in Patent Document 1, an unauthorized signal is transmitted from the outside to the in-vehicle communication network. It is difficult to deal with when input.

本発明の一態様である不正信号判定装置は、車両に搭載された制御装置と、制御装置と通信可能に接続された通信網と、通信網と通信可能に接続され、制御装置と外部機器との通信を中継する中継装置と、を備える。中継装置は、外部機器から入力された外部信号を検出する外部信号検出部と、車両の動作状態に基づいて、外部信号検出部により検出された外部信号が不正な信号であるか否かを判定する不正信号判定部と、を有する。   An unauthorized signal determination device according to one aspect of the present invention includes a control device mounted on a vehicle, a communication network communicatively connected to the control device, a communication network communicatively connected, and a control device and an external device. And a relay device that relays the communication. The relay device determines whether or not the external signal detected by the external signal detection unit is an illegal signal based on the external signal detection unit that detects the external signal input from the external device and the operating state of the vehicle. And an unauthorized signal determination unit that does.

本発明によれば、外部から車載通信網に不正な信号が入力された場合であっても容易に対処することができる。   According to the present invention, it is possible to easily deal with the case where an unauthorized signal is input to the vehicle-mounted communication network from the outside.

本発明の実施形態に係る不正信号判定装置を概略的に示す図。FIG. 1 is a diagram schematically showing an unauthorized signal determination device according to an embodiment of the present invention. 本発明の実施形態に係る不正信号判定装置の要部構成を示すブロック図。The block diagram which shows the principal part structure of the incorrect signal determination device which concerns on embodiment of this invention. 図2の演算部で実行される処理の一例を示すフローチャート。3 is a flowchart showing an example of processing executed by the calculation unit in FIG. 2.

以下、図1〜図3を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る不正信号判定装置100を概略的に示す図である。不正信号判定装置100が適用される車両1には、エンジン制御用ECU、変速機制御用ECU、操舵制御用ECUなどの車両の動作に直接的な影響を与えるECU、エアコンやナビゲーションなどの車両の動作に直接的な影響を与えない機器の制御用ECU等、機能の異なる複数のECU(電子制御ユニット)2が搭載され、CAN(コントローラエリアネットワーク)等の車載通信網により互いに通信可能に接続される。また、各ECU2には、車載通信網を介して、車両1の走行速度(車輪速)や車両1に搭載される駆動源の動作状態(例えばエンジン回転数)、操舵機構の動作状態(例えばステアリング角)等を検出する各種センサが接続される。各ECU2は、演算処理を行うCPU、揮発性メモリ(RAM)、書き換え可能な不揮発性メモリ(フラッシュメモリやEEPROM等)、その他の周辺回路を有するコンピュータを含んで構成される。各ECU2は、予め不揮発性メモリに記憶されたプログラムに従い、各種センサからの出力値に基づいて各種制御を実行する。   Hereinafter, embodiments of the present invention will be described with reference to FIGS. 1 to 3. FIG. 1 is a diagram schematically showing an unauthorized signal determination device 100 according to an embodiment of the present invention. The vehicle 1 to which the illegal signal determining device 100 is applied includes an ECU for engine control, an ECU for transmission control, an ECU for steering control, which directly affects the operation of the vehicle, and an operation of the vehicle such as an air conditioner and a navigation. A plurality of ECUs (electronic control units) 2 having different functions, such as a control ECU of a device that does not directly affect the vehicle, are mounted and are communicably connected to each other by an in-vehicle communication network such as a CAN (controller area network). .. In addition, each ECU 2 has a traveling speed (wheel speed) of the vehicle 1, an operating state of a drive source mounted on the vehicle 1 (for example, engine speed), an operating state of a steering mechanism (for example, steering wheel) via an in-vehicle communication network. Various sensors for detecting corners, etc. are connected. Each ECU 2 is configured to include a CPU that performs arithmetic processing, a volatile memory (RAM), a rewritable nonvolatile memory (flash memory, EEPROM, etc.), and a computer having other peripheral circuits. Each ECU 2 executes various controls based on output values from various sensors according to programs stored in the nonvolatile memory in advance.

さらに各ECU2には、車載通信網を介して、外部との無線通信を行うTCU(テレマティクス制御ユニット)3、ECU2に記憶された故障コードを読み出して車両1の故障診断を行う診断機6を接続可能なDLC(データリンクコネクタ)4が接続される。ECU2とTCU3およびDLC4との間にはゲートウェイ5が設けられ、車載通信網と車外との通信あるいは複数の車載通信網間の通信を中継する。診断機6は、故障診断に加え、ECU2に記憶されたプログラムの更新を行うことができる。車両メーカは、プログラムのアップデートや品質改善などの必要に応じ、販売店等を通じて更新用プログラムを配布する。販売店等では、来店したユーザの車両1の助手席の足元付近などに配置されたDLC4に、更新用プログラムをダウンロードした正当な診断機6を接続して、車両1のECU2に記憶されたプログラムを更新する。   Further, a TCU (telematics control unit) 3 that performs wireless communication with the outside and a diagnostic device 6 that reads a fault code stored in the ECU 2 and performs a fault diagnosis of the vehicle 1 are connected to each ECU 2 via an in-vehicle communication network. A possible DLC (Data Link Connector) 4 is connected. A gateway 5 is provided between the ECU 2 and the TCU 3 and the DLC 4 to relay communication between the vehicle-mounted communication network and the outside of the vehicle or communication between a plurality of vehicle-mounted communication networks. The diagnostic device 6 can update the program stored in the ECU 2 in addition to the failure diagnosis. The vehicle manufacturer distributes the update program through a store or the like as necessary for updating the program or improving the quality. At a store or the like, the program stored in the ECU 2 of the vehicle 1 is connected to the DLC 4 arranged near the foot of the passenger seat of the vehicle 1 of the user who came to the store by connecting the legitimate diagnostic machine 6 that downloaded the update program. To update.

通常、このようなプログラムの更新や故障診断のためのECU2との通信は、車両1が安全に停止した状態で販売店等の正当な診断機6を用いて行われる。一方、悪意のある第三者が不正な外部機器60a〜60cにより、不正なプログラムへの更新等を目的として、車両1の走行中などにECU2との通信(不正アクセス)を試みることがある。例えば、駐車中の車両1のDLC4に不正な外部機器60aを装着し、あるいは車載通信網に不正な外部機器60bを挿入し、車両1の走行中など車載通信網に電源が供給されたときに不正アクセスを試みる可能性がある。また、TCU3を介して通信中に不正な外部機器60cから不正アクセスを試みる可能性もある。不正なプログラムへの更新が行われると、車両1の走行に支障を来たすおそれがある。そこで、本発明の実施形態に係る不正信号判定装置100は、このような不正な外部機器60a〜60cからの入力信号を検出して対処するよう、以下のように構成する。   Usually, communication with the ECU 2 for such program updating and failure diagnosis is performed using a legitimate diagnostic machine 6 such as a dealer while the vehicle 1 is safely stopped. On the other hand, a malicious third party may attempt communication (unauthorized access) with the ECU 2 while the vehicle 1 is traveling, etc., for the purpose of updating to an unauthorized program by the unauthorized external devices 60a to 60c. For example, when the unauthorized external device 60a is attached to the DLC 4 of the parked vehicle 1 or the unauthorized external device 60b is inserted into the in-vehicle communication network, when power is supplied to the in-vehicle communication network such as when the vehicle 1 is running. It may attempt unauthorized access. Further, there is a possibility that an unauthorized external device 60c may attempt unauthorized access during communication via the TCU 3. If the program is updated to an unauthorized program, running of the vehicle 1 may be hindered. Therefore, the unauthorized signal determination device 100 according to the embodiment of the present invention is configured as follows so as to detect and deal with such unauthorized input signals from the external devices 60a to 60c.

図2は、不正信号判定装置100の要部構成を示すブロック図である。図1および図2に示すように、不正信号判定装置100は、車両1に搭載されたECU2と、TCU3と、DLC4と、ECU2とTCU3およびDLC4との間に設けられたゲートウェイ5とを備えた車載通信網として構成される。   FIG. 2 is a block diagram showing a main configuration of the unauthorized signal determination device 100. As shown in FIGS. 1 and 2, the unauthorized signal determination device 100 includes an ECU 2 mounted on the vehicle 1, a TCU 3, a DLC 4, and a gateway 5 provided between the ECU 2 and the TCU 3 and the DLC 4. It is configured as an in-vehicle communication network.

図2に示すように、ゲートウェイ5は、CPU等の演算部50と、ROM,RAM,ハードディスク等の記憶部51と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部50は、機能的構成として、車両状態判定部52と、外部信号検出部53と、不正信号判定部54と、不正信号処理部55とを有する。   As shown in FIG. 2, the gateway 5 is configured to include a computer having an arithmetic unit 50 such as a CPU, a storage unit 51 such as a ROM, a RAM, a hard disk, and other peripheral circuits. The arithmetic unit 50 has a vehicle state determination unit 52, an external signal detection unit 53, an unauthorized signal determination unit 54, and an unauthorized signal processing unit 55 as a functional configuration.

車両状態判定部52は、車両1の動作状態に基づいて、車両1がECU2のプログラムの更新を禁止すべき動作状態であるか否かを判定する。車両1の動作を制御するECU2のプログラムを実行中、すなわち車両1の動作中にECU2のプログラムが更新されると、車両1の動作を適切に制御することができなくなる可能性がある。このため、車両1の動作中はECU2のプログラムの更新を禁止する必要がある。したがって、例えば、車輪速センサの出力値に基づいて算出される車両1の走行速度が0でなければECU2のプログラムの更新を禁止すべき動作状態であると判定する。このような判定は、車両1に搭載される駆動源の動作状態に基づいて行ってもよい。例えば、車両1の駆動源としてエンジンが搭載される場合は、エンジン回転数センサの出力値が0でなければECU2のプログラムの更新を禁止すべき動作状態であると判定する。さらに、このような判定を車両1に搭載される操舵機構の動作状態に基づいて行ってもよい。例えば、ステアリング角センサの出力値に基づいて算出されるステアリング角の変動が0でなければECU2のプログラムの更新を禁止すべき動作状態であると判定する。これらの動作状態のいずれかに該当する場合にECU2のプログラムの更新を禁止すべき動作状態であると判定してもよく、これらの動作状態のすべてに該当する場合にECU2のプログラムの更新を禁止すべき動作状態であると判定してもよい。   The vehicle state determination unit 52 determines, based on the operating state of the vehicle 1, whether or not the vehicle 1 is in an operating state in which updating of the program of the ECU 2 should be prohibited. If the program of the ECU 2 that controls the operation of the vehicle 1 is being executed, that is, if the program of the ECU 2 is updated during the operation of the vehicle 1, it may not be possible to appropriately control the operation of the vehicle 1. Therefore, it is necessary to prohibit the updating of the program of the ECU 2 while the vehicle 1 is operating. Therefore, for example, if the traveling speed of the vehicle 1 calculated based on the output value of the wheel speed sensor is not 0, it is determined that the operation state in which the update of the program of the ECU 2 should be prohibited. Such a determination may be made based on the operating state of the drive source mounted on the vehicle 1. For example, when the engine is mounted as the drive source of the vehicle 1, if the output value of the engine speed sensor is not 0, it is determined that the operation of the ECU 2 is prohibited from updating the program. Further, such a determination may be made based on the operating state of the steering mechanism mounted on the vehicle 1. For example, if the variation of the steering angle calculated based on the output value of the steering angle sensor is not 0, it is determined that the operation of the ECU 2 is prohibited from updating the program. If any of these operating states is met, it may be determined that the update of the program of the ECU 2 should be prohibited, and if all of these operating states are met, the update of the program of the ECU 2 is prohibited. It may be determined that the operating state should be made.

外部信号検出部53は、DLC4を介して接続された診断機6または不正な外部機器60a〜60cから入力された外部信号を検出する。車載通信網で送受信される信号、例えばCAN通信のデジタル信号(データフレーム)には、送受信されるデータそのものを示すデータフィールドに加え、データの送信元やデータの内容等を示すIDが含まれる。このため、各信号に含まれるIDを参照することで、その信号の送信元を判別できるとともに、そのデータが故障コードの出力を指令するものかプログラムの更新を指令するものかを判別することができる。ECU2の故障コードの読み出しまたはプログラムの更新を行うときの各通信信号には、サービス専用のIDが割り当てられる。不正な外部機器60a〜60cは、サービス専用のIDを使用することで正当な診断機6を装い、ECU2へのアクセスを試みる。したがって、サービス専用のIDを含む信号の送信元は、外部機器、すなわち正当な診断機6または不正な外部機器60a〜60cであると判定することができる。   The external signal detection unit 53 detects an external signal input from the diagnostic device 6 connected via the DLC 4 or the unauthorized external devices 60a to 60c. A signal transmitted / received in an in-vehicle communication network, for example, a digital signal (data frame) of CAN communication includes an ID indicating a data transmission source and data content in addition to a data field indicating the transmitted / received data itself. Therefore, by referring to the ID included in each signal, it is possible to determine the transmission source of the signal and determine whether the data commands the output of the fault code or the program update. it can. An ID dedicated to the service is assigned to each communication signal when the failure code of the ECU 2 is read or the program is updated. The unauthorized external devices 60a to 60c impersonate the legitimate diagnostic device 6 by using the service-specific ID, and try to access the ECU 2. Therefore, it can be determined that the transmission source of the signal including the service-dedicated ID is the external device, that is, the legitimate diagnostic device 6 or the unauthorized external devices 60a to 60c.

不正信号判定部54は、車両状態判定部52により車両1がECU2のプログラムの更新を禁止すべき動作状態であると判定されたときに外部信号検出部53により検出された外部信号を、不正な外部機器60a〜60cから送信された不正な信号であると判定する。正当な診断機6は車両1が安全に停止した状態で接続されるため、車両1の走行中などECU2のプログラムの更新を禁止すべき動作状態で検出される信号は、不正な外部機器60a〜60cから送信されたものと判定する。ECU2のプログラムの更新を指令する信号のみを不正な信号として判定してもよい。   The unauthorized signal determination unit 54 validates the external signal detected by the external signal detection unit 53 when the vehicle state determination unit 52 determines that the vehicle 1 is in the operating state in which the update of the program of the ECU 2 should be prohibited. It is determined that the signal is an unauthorized signal transmitted from the external device 60a to 60c. Since the legitimate diagnostic device 6 is connected in a state where the vehicle 1 is safely stopped, a signal detected in an operating state in which updating of the program of the ECU 2 should be prohibited, such as while the vehicle 1 is running, is an unauthorized external device 60a ... It is determined that it is transmitted from 60c. Only the signal instructing to update the program of the ECU 2 may be determined as an invalid signal.

不正信号処理部55は、不正信号判定部54により不正な外部機器60a〜60cから出力された不正な信号であると判定された外部信号を処理する。すなわち、ゲートウェイ5による送信元から送信先への信号の中継を禁止(遮断)し、車両1のインストルメントパネルに、例えば「異常な診断通信が発生しました。点検を行ってください」などの警告メッセージを表示する。警告表示を介して車両1のユーザに異常を報知するとともに販売店等への来店を促すことで、不正な外部機器60a〜60cを早期に発見し、対処することができる。例えば、車両1のDLC4に不正な外部機器60aが装着されていないか、車載通信網の配線に不正な外部機器60bが挿入されていないか、あるいは、TCU3の通信記録に不正な外部機器60cからの外部信号が記録されていないか点検し、必要に応じて対処することができる。   The unauthorized signal processing unit 55 processes the external signal determined by the unauthorized signal determination unit 54 to be an unauthorized signal output from the unauthorized external devices 60a to 60c. In other words, the relay of the signal from the source to the destination by the gateway 5 is prohibited (blocked), and the instrument panel of the vehicle 1 warns, for example, "Abnormal diagnostic communication has occurred. Please check." Display a message. By informing the user of the vehicle 1 of the abnormality through the warning display and urging the user to visit the store or the like, the unauthorized external devices 60a to 60c can be detected and dealt with early. For example, whether the unauthorized external device 60a is not attached to the DLC 4 of the vehicle 1, the unauthorized external device 60b is not inserted in the wiring of the in-vehicle communication network, or the unauthorized external device 60c is included in the communication record of the TCU 3 You can check for any external signals recorded and take any necessary action.

不正信号判定装置100では、車載通信網全体の信号を監視するゲートウェイ5が車両状態判定部52、外部信号検出部53、不正信号判定部54および不正信号処理部55を備えるため、各ECU2が個別に不正な外部信号を検出、遮断する必要がない。このため、不正信号判定装置100全体を簡易な構成とすることができる。   In the unauthorized signal determination device 100, since the gateway 5 that monitors the signals of the entire in-vehicle communication network includes the vehicle state determination unit 52, the external signal detection unit 53, the unauthorized signal determination unit 54, and the unauthorized signal processing unit 55, each ECU 2 is individually provided. There is no need to detect and block unauthorized external signals. For this reason, the entire unauthorized signal determination device 100 can have a simple configuration.

図3は、予め記憶されたプログラムに従い、ゲートウェイ5の演算部50で実行される処理の一例を示すフローチャートである。このフローチャートに示す処理は、例えば、車両1が起動されて車載通信網に電源が供給されると開始され、所定周期で繰り返される。   FIG. 3 is a flowchart showing an example of processing executed by the arithmetic unit 50 of the gateway 5 according to a program stored in advance. The process shown in this flowchart is started, for example, when the vehicle 1 is started and power is supplied to the vehicle-mounted communication network, and is repeated in a predetermined cycle.

まず、ステップS1で、車両状態判定部52での処理により、各種センサの出力値を読み込み、ステップS2で、車両1がECU2のプログラムの更新を禁止すべき動作状態であるか否かを判定する。ステップS2で肯定されるとステップS3に進み、否定されると処理を終了する。ステップS3では、外部信号検出部53での処理により、診断機6または不正な外部機器60a〜60cから車載通信網に信号が入力されたか否かを判定する。より具体的には、車載通信網上に外部信号が入力されたか否かを判定する。ステップS3で肯定されるとステップS4に進み、否定されると処理を終了する。ステップS4では、不正信号判定部54での処理により、ステップS3で検出された外部信号を不正な外部機器60a〜60cから送信された不正な信号であると判定する。次いで、ステップS5で、不正信号処理部55での処理により、ステップS4で不正な信号であると判定された外部信号を遮断し、ステップS6で、車両1のインストルメントパネルに警告メッセージを表示する。   First, in step S1, the output values of various sensors are read by the process in the vehicle state determination unit 52, and in step S2, it is determined whether or not the vehicle 1 is in an operating state in which the update of the program of the ECU 2 should be prohibited. .. If the result in step S2 is affirmative, the process proceeds to step S3. If the result is negative, the process ends. In step S3, the external signal detector 53 determines whether or not a signal has been input to the vehicle-mounted communication network from the diagnostic device 6 or the unauthorized external devices 60a to 60c. More specifically, it is determined whether or not an external signal is input on the vehicle-mounted communication network. When the result in step S3 is affirmative, the process proceeds to step S4, and when the result is negative, the process ends. In step S4, the external signal detected in step S3 is determined to be an unauthorized signal transmitted from the unauthorized external device 60a to 60c by the processing in the unauthorized signal determination unit 54. Next, in step S5, the external signal determined to be an illegal signal in step S4 is blocked by the processing in the illegal signal processing unit 55, and a warning message is displayed on the instrument panel of the vehicle 1 in step S6. ..

本実施形態に係る不正信号判定装置100の主要な動作についてより具体的に説明する。車両1には、駐車中に不正な外部機器(例えば図1の不正な外部機器60b)が装着されたものとする。ユーザが車両1を始動すると、車載通信網に電源が供給され、不正な外部機器60bがECU2に対してプログラムの更新を行う信号を出力する。ゲートウェイ5は、車両1のエンジンが動作中にサービス専用のIDを含む信号を検出すると、その信号を遮断して車両1のインストルメントパネルに警告メッセージを表示する(ステップS1〜S6)。ゲートウェイ5により不正な信号が遮断されるため、ECU2への攻撃を阻止することができる。また、警告メッセージを見た車両1のユーザが販売店等で専門の技術者による車両1の点検を受けることで、不正な外部機器60bが複雑な車載通信網に装着された場合でも早期に発見し、対処することができる。   The main operation of the unauthorized signal determination device 100 according to this embodiment will be described more specifically. It is assumed that an unauthorized external device (for example, the unauthorized external device 60b in FIG. 1) is mounted on the vehicle 1 during parking. When the user starts the vehicle 1, power is supplied to the vehicle-mounted communication network, and the unauthorized external device 60b outputs a signal for updating the program to the ECU 2. When the gateway 5 detects a signal including an ID dedicated to the service while the engine of the vehicle 1 is operating, the gateway 5 shuts off the signal and displays a warning message on the instrument panel of the vehicle 1 (steps S1 to S6). Since an unauthorized signal is blocked by the gateway 5, an attack on the ECU 2 can be blocked. Further, when the user of the vehicle 1 who has seen the warning message has the vehicle 1 inspected by a professional engineer at a shop or the like, it can be found early even if an unauthorized external device 60b is attached to a complicated in-vehicle communication network. Can be dealt with.

本実施形態によれば以下のような作用効果を奏することができる。
(1)不正信号判定装置100は、車両1に搭載され、車両1の動作を制御するECU2と、ECU2と通信可能に接続された車載通信網と、車載通信網と通信可能に接続され、ECU2と診断機6および不正な外部機器60a〜60c(外部機器)との通信を中継するゲートウェイ5とを備える(図1)。ゲートウェイ5は、外部機器から入力された外部信号を検出する外部信号検出部53と、車両1の動作状態に基づいて、外部信号検出部53により検出された外部信号が不正な信号であるか否かを判定する不正信号判定部54とを有する。ゲートウェイ5により外部から車載通信網に入力された不正な信号を検出する簡易な構成により、不正な外部機器60a〜60cの早期発見などの対処を容易に行うことができる。 According to this embodiment, the following operational effects can be achieved.
(1) The unauthorized signal determination device 100 is mounted on the vehicle 1 and controls the operation of the vehicle 1. The ECU 2 is connected to the in-vehicle communication network communicatively connected to the ECU 2. The in-vehicle communication network is communicatively connected to the ECU 2 And a gateway 5 that relays communication with the diagnostic device 6 and unauthorized external devices 60a to 60c (external devices) (FIG. 1). The gateway 5 detects whether or not the external signal detected by the external signal detector 53 based on the operating state of the vehicle 1 and the external signal detector 53 that detects the external signal input from the external device is an illegal signal. And an unauthorized signal determination unit 54 for determining whether or not. With a simple configuration in which the gateway 5 detects an unauthorized signal input from the outside to the in-vehicle communication network, it is possible to easily deal with the unauthorized detection of the unauthorized external devices 60a to 60c.

(2)外部信号検出部53は、ECU2で実行される制御プログラムに対する更新の指令を含む外部信号を検出する。不正信号判定部54は、車両1がECU2の制御プログラムの更新を禁止すべき動作状態であるとき、外部信号検出部53により検出された外部信号が不正な信号であると判定する。車両1がECU2のプログラムの更新を禁止すべき動作状態のときに検出される外部からの信号を不正な信号として判定することで、不正な外部機器60a〜60cから入力された信号を容易に検出することができる。 (2) The external signal detector 53 detects an external signal including an update command for the control program executed by the ECU 2. The unauthorized signal determination unit 54 determines that the external signal detected by the external signal detection unit 53 is an unauthorized signal when the vehicle 1 is in an operating state in which updating of the control program of the ECU 2 should be prohibited. By determining an external signal detected when the vehicle 1 is in an operating state in which the update of the program of the ECU 2 should be prohibited as an invalid signal, it is possible to easily detect a signal input from an unauthorized external device 60a to 60c. can do.

(3)不正信号判定部54は、車両1の走行速度、車両1に搭載された駆動源の動作状態、および車両1に搭載された操舵機構の動作状態のいずれかに基づいて、車両1がECU2の制御プログラムの更新を禁止すべき動作状態であるか否かを判定する。これにより、車両1の動作を制御するECU2のプログラムを実行中にECU2のプログラムが更新されることを防止することができる。 (3) The unauthorized signal determination unit 54 determines whether the vehicle 1 is operating based on the traveling speed of the vehicle 1, the operating state of the drive source mounted on the vehicle 1, and the operating state of the steering mechanism mounted on the vehicle 1. It is determined whether or not the operating state in which the update of the control program of the ECU 2 should be prohibited. This can prevent the program of the ECU 2 from being updated while the program of the ECU 2 that controls the operation of the vehicle 1 is being executed.

(4)不正信号判定装置100は、不正信号判定部54により不正な信号であると判定された外部信号について、ゲートウェイ5による通信の中継を禁止する不正信号処理部55をさらに備える。不要な通信信号の中継を禁止することで、意図せずにECU2のプログラムが更新されることを防止することができる。 (4) The unauthorized signal determination device 100 further includes an unauthorized signal processing unit 55 that prohibits relaying of communication by the gateway 5 with respect to an external signal determined to be an unauthorized signal by the unauthorized signal determination unit 54. By prohibiting unnecessary relaying of communication signals, it is possible to prevent the program of the ECU 2 from being unintentionally updated.

上記実施形態は種々の形態に変更することができる。以下、変形例について説明する。上記実施形態では、外部信号検出部53がサービス専用のIDを含む信号を外部機器として検出するようにしたが、外部機器から入力された外部信号を検出する外部信号検出部の構成はこれに限らない。例えば、予め登録されたID以外のIDを含む送信元をすべて外部機器として検出してもよい。   The above embodiment can be modified into various forms. Hereinafter, modified examples will be described. In the above embodiment, the external signal detection unit 53 detects the signal including the ID dedicated to the service as the external device, but the configuration of the external signal detection unit that detects the external signal input from the external device is not limited to this. Absent. For example, all transmission sources including IDs other than the pre-registered IDs may be detected as external devices.

上記実施形態では、不正信号判定部54が、車両1がECU2のプログラムの更新を禁止すべき動作状態であるときに検出された外部信号を不正な信号であると判定するようにしたが、車両の動作状態に基づいて外部信号が不正な信号であるか否かを判定する不正信号判定部はこのようなものに限らない。車載通信網上の複数の信号を比較して、整合性のない信号があれば不正な信号として判定するようにしてもよい。   In the above embodiment, the unauthorized signal determination unit 54 determines that the external signal detected when the vehicle 1 is in the operating state in which the update of the program of the ECU 2 should be prohibited is an unauthorized signal. The unauthorized signal determination unit that determines whether the external signal is an unauthorized signal based on the operating state of is not limited to this. A plurality of signals on the vehicle-mounted communication network may be compared, and if there is an inconsistent signal, it may be determined as an invalid signal.

以上の説明はあくまで一例であり、本発明の特徴を損なわない限り、上述した実施形態および変形例により本発明が限定されるものではない。上記実施形態と変形例の1つまたは複数を任意に組み合わせることも可能であり、変形例同士を組み合わせることも可能である。   The above description is merely an example, and the present invention is not limited to the above-described embodiments and modifications unless the characteristics of the present invention are impaired. It is also possible to arbitrarily combine one or more of the above-described embodiment and modifications, and it is also possible to combine modifications.

1 車両、2 ECU、3 TCU、4 DLC、5 ゲートウェイ、6 診断機、50 演算部、51 記憶部、52 車両状態判定部、53 外部信号検出部、54 不正信号判定部、55 不正信号処理部、60a〜60c 不正な外部機器、100 不正信号判定装置
1 vehicle, 2 ECU, 3 TCU, 4 DLC, 5 gateway, 6 diagnostic machine, 50 arithmetic unit, 51 storage unit, 52 vehicle state determination unit, 53 external signal detection unit, 54 illegal signal determination unit, 55 illegal signal processing unit , 60a to 60c Unauthorized external device, 100 Unauthorized signal determination device

Claims (4)

車両に搭載された制御装置と、
前記制御装置と通信可能に接続された通信網と、
前記通信網と通信可能に接続され、前記制御装置と外部機器との通信を中継する中継装置と、を備え、
前記中継装置は、
前記外部機器から入力された外部信号を検出する外部信号検出部と、
前記車両の動作状態に基づいて、前記外部信号検出部により検出された外部信号が不正な信号であるか否かを判定する不正信号判定部と、を有することを特徴とする不正信号判定装置。 A control device mounted on the vehicle,
A communication network communicatively connected to the control device,
A relay device that is communicably connected to the communication network and relays communication between the control device and an external device;
The relay device is
An external signal detection unit that detects an external signal input from the external device,
An unauthorized signal determination unit that determines whether the external signal detected by the external signal detection unit is an unauthorized signal based on the operating state of the vehicle. 請求項1に記載の不正信号判定装置において、
前記外部信号検出部は、前記制御装置で実行される制御プログラムに対する更新の指令を含む外部信号を検出し、
前記不正信号判定部は、前記車両が前記制御装置の制御プログラムの更新を禁止すべき動作状態であるとき、前記外部信号検出部により検出された外部信号が不正な信号であると判定することを特徴とする不正信号判定装置。 In the incorrect signal determination device according to claim 1,
The external signal detection unit detects an external signal including an update instruction for a control program executed by the control device,
The unauthorized signal determination unit determines that the external signal detected by the external signal detection unit is an unauthorized signal when the vehicle is in an operating state in which updating of the control program of the control device should be prohibited. A device for determining an illegal signal. 請求項2に記載の不正信号判定装置において、
前記不正信号判定部は、前記車両の走行速度、前記車両に搭載された駆動源の動作状態、および前記車両に搭載された操舵機構の動作状態の少なくとも一つに基づいて、前記車両が前記制御装置の制御プログラムの更新を禁止すべき動作状態であるか否かを判定することを特徴とする不正信号判定装置。 The false signal determination device according to claim 2,
The illegal signal determining unit controls the vehicle based on at least one of a traveling speed of the vehicle, an operating state of a drive source mounted on the vehicle, and an operating state of a steering mechanism mounted on the vehicle. An unauthorized signal determination device, characterized in that it is determined whether or not an update of a control program of the device is prohibited. 請求項1〜3のいずれか1項に記載の不正信号判定装置において、
前記不正信号判定部により不正な信号であると判定された外部信号について、前記中継装置による通信の中継を禁止する不正信号処理部をさらに備えることを特徴とする不正信号判定装置。
The false signal determination device according to any one of claims 1 to 3,
The unauthorized signal determination device further comprising an unauthorized signal processing unit that prohibits relaying of communication by the relay device with respect to an external signal determined to be an unauthorized signal by the unauthorized signal determination unit.
JP2018207043A 2018-11-02 2018-11-02 Incorrect signal determination device Pending JP2020072433A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018207043A JP2020072433A (en) 2018-11-02 2018-11-02 Incorrect signal determination device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018207043A JP2020072433A (en) 2018-11-02 2018-11-02 Incorrect signal determination device

Publications (1)

Publication Number Publication Date
JP2020072433A true JP2020072433A (en) 2020-05-07

Family

ID=70548252

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018207043A Pending JP2020072433A (en) 2018-11-02 2018-11-02 Incorrect signal determination device

Country Status (1)

Country Link
JP (1) JP2020072433A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016092645A (en) * 2014-11-06 2016-05-23 トヨタ自動車株式会社 On-vehicle communication system
JP2017168907A (en) * 2016-03-14 2017-09-21 本田技研工業株式会社 Communication system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016092645A (en) * 2014-11-06 2016-05-23 トヨタ自動車株式会社 On-vehicle communication system
JP2017168907A (en) * 2016-03-14 2017-09-21 本田技研工業株式会社 Communication system

Similar Documents

Publication Publication Date Title
JP6782446B2 (en) Monitoring equipment, communication systems, vehicles, monitoring methods, and computer programs
WO2016088304A1 (en) Illegality detection electronic control unit, car onboard network system, and illegality detection method
WO2018070155A1 (en) Information processing apparatus, information processing method, and information processing system
JP6922667B2 (en) Program update device, program update system and program update method
JP7074004B2 (en) Relay device system and relay device
JP2007312193A (en) Abnormality monitoring unit
WO2012105215A1 (en) Vehicle control device
KR20140133544A (en) Processing of automobile data on a smartphone
JP2015214226A (en) On-vehicle electronic control device
JP2023115229A (en) Mobility control system, method, and program
WO2019235231A1 (en) In-vehicle control device, control program and control method
JP2013101426A (en) On-vehicle communication device
JP7177272B2 (en) Security processor
JP2020072433A (en) Incorrect signal determination device
JP5733429B2 (en) Information processing apparatus and information processing method
CN108924835B (en) Vehicle control system, method and safety control unit
JP2020092326A (en) Fraudulent signal processor
JP6662657B2 (en) Vehicle monitoring system
JP2021147008A (en) Vehicle control device
JP2020096320A (en) Illegal signal processing device
WO2022091786A1 (en) Information processing device, monitoring method, program, and security system
JP6693170B2 (en) Tire pressure reduction detection device
US20230376588A1 (en) Vehicle control system and method for controlling vehicle control system
JP2003343342A (en) Vehicle electronic control unit
JP7184585B2 (en) travel limit device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210811

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210907

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220524