JP2020088798A - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP2020088798A
JP2020088798A JP2018225324A JP2018225324A JP2020088798A JP 2020088798 A JP2020088798 A JP 2020088798A JP 2018225324 A JP2018225324 A JP 2018225324A JP 2018225324 A JP2018225324 A JP 2018225324A JP 2020088798 A JP2020088798 A JP 2020088798A
Authority
JP
Japan
Prior art keywords
message
transmission
reception
ecu
history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018225324A
Other languages
Japanese (ja)
Other versions
JP7110950B2 (en
Inventor
友和 守谷
Tomokazu Moriya
友和 守谷
拓丸 永井
Takumaru NAGAI
拓丸 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2018225324A priority Critical patent/JP7110950B2/en
Publication of JP2020088798A publication Critical patent/JP2020088798A/en
Application granted granted Critical
Publication of JP7110950B2 publication Critical patent/JP7110950B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

To provide a network system mounted on a vehicle, the network system having improved ability to determine messages transmitted from unauthorized transmission sources.SOLUTION: A network system is mounted on a vehicle and comprises: a transmission ECU for transmitting a message and a transmission history including transmission time of the message; and a reception ECU for receiving a message and the transmission history. On the basis of reception time of the received message and the transmission time included in the received transmission history, the reception ECU determines whether or not the received message is the message transmitted from the transmission ECU.SELECTED DRAWING: Figure 1

Description

本発明は、車両等に搭載されるネットワークシステムに関する。 The present invention relates to a network system mounted on a vehicle or the like.

車両には、複数のバスを含むネットワークシステムが搭載されている。各バスにはそれぞれ1つ以上のECU(Electronic Control Unit)と呼ばれる車載機器が接続されている。各ECUは、互いにバスを介してメッセージを送受信したり、車両が備えるセンサから情報を取得したりして、センサや車両が備えるアクチュエータの制御を行って、車両の各機能を分担して実行する。 A vehicle is equipped with a network system including a plurality of buses. One or more in-vehicle devices called ECUs (Electronic Control Units) are connected to each bus. Each ECU transmits and receives messages to and from each other via a bus, acquires information from a sensor included in the vehicle, controls sensors and actuators included in the vehicle, and shares and executes each function of the vehicle. ..

このようなネットワークシステムへの不正な侵入によって、バスに不正なメッセージが送出されると、不正なメッセージを受信したECUの動作に支障が生じるおそれがある。そのため、ECUがバスから受信するメッセージが不正なメッセージであるか否か判定して、不正なメッセージについては破棄する等の対応を行うことが望まれる。特許文献1は、CAN(Controller Area Network)規格に準拠したネットワークシステムにおいて、受信側の装置が、バスから順次受信するフレームの受信間隔を測定し、測定値が規定範囲から外れた場合に、そのフレームを不正と判断することを開示している。 If an unauthorized message is sent to the bus due to such unauthorized intrusion into the network system, the operation of the ECU that receives the unauthorized message may be hindered. Therefore, it is desired that the ECU determines whether or not the message received from the bus is an illegal message and takes a countermeasure such as discarding the illegal message. Patent Document 1 discloses a network system conforming to the CAN (Controller Area Network) standard, in which a device on the receiving side measures a reception interval of frames sequentially received from a bus, and when the measured value is out of a specified range, It discloses that the frame is determined to be invalid.

特許第5664799号公報Patent No. 5664799

特許文献1の方法では、所定の送信元から一定周期で送信されることが想定される一連のメッセージを判定対象とし、前回の受信からの経過時間が規定範囲から外れた時刻にメッセージを受信した場合に、そのメッセージを不正メッセージであると判定する。そのため、一定周期で送信されないイベント系メッセージと呼ばれる、単発的なメッセージについては判定することができない。また、一定周期で送信されるメッセージであっても、前回の受信からの経過時刻が規定範囲内である時刻にメッセージを受信した場合は、そのメッセージが所定の送信元以外から送信された不正なメッセージであっても、不正ではないと誤判定されてしまう。 In the method of Patent Document 1, a series of messages that are supposed to be transmitted from a predetermined transmission source in a fixed cycle are targeted for determination, and a message is received at a time when the elapsed time from the previous reception is out of the specified range. In that case, the message is determined to be an illegal message. For this reason, it is not possible to make a judgment about a single event message called an event message that is not transmitted in a fixed cycle. Also, even if the message is sent at a fixed cycle, if the message is received at a time within the specified range since the previous reception, the message is an unauthorized message sent from a source other than the specified sender. Even if it is a message, it is erroneously determined not to be illegal.

本発明は、上記課題を鑑みてなされたものであり、車両に搭載される、所定の送信元から送信されていないメッセージの判定能力を向上したネットワークシステムを提供することを目的とする。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a network system mounted on a vehicle and having an improved ability to determine a message that is not transmitted from a predetermined transmission source.

上記課題を解決するために、本発明の一局面は、車両に搭載されるネットワークシステムであって、メッセージおよびメッセージの送信時刻を含む送信履歴を送信する送信ECUと、メッセージおよび送信履歴を受信する受信ECUとを備え、受信ECUは、受信したメッセージの受信時刻と、受信した送信履歴に含まれる送信時刻とに基づいて、受信したメッセージが送信ECUから送信されたメッセージであるか否かを判定する、ネットワークシステムである。 In order to solve the above-mentioned problem, one aspect of the present invention is a network system mounted on a vehicle, which transmits a transmission history including a message and a transmission time of the message, and receives the message and the transmission history. The reception ECU includes a reception ECU, and the reception ECU determines whether the received message is the message transmitted from the transmission ECU, based on the reception time of the received message and the transmission time included in the received transmission history. It is a network system.

以上のように、本発明によれば、車両に搭載される、正当な送信元から送信されていないメッセージの判定能力を向上したネットワークシステムを提供することができる。 As described above, according to the present invention, it is possible to provide a network system mounted on a vehicle and having an improved ability to determine a message that has not been transmitted from a legitimate source.

本発明の一実施形態に係るネットワークシステムの構成図Configuration diagram of a network system according to an embodiment of the present invention 本発明の一実施形態に係る処理を示すシーケンス図Sequence diagram showing processing according to an embodiment of the present invention 本発明の一実施形態に係る送信履歴の例を示す図The figure which shows the example of the transmission history which concerns on one Embodiment of this invention. 本発明の一実施形態に係る受信履歴の例を示す図The figure which shows the example of the reception history which concerns on one Embodiment of this invention. 本発明の一実施形態に係る受信履歴と送信履歴との比較の例を示す図The figure which shows the example of comparison of the reception history and transmission history which concern on one Embodiment of this invention. 本発明の一実施形態に係る処理を示すシーケンス図Sequence diagram showing processing according to an embodiment of the present invention 本発明の一実施形態に係る送信履歴の例を示す図The figure which shows the example of the transmission history which concerns on one Embodiment of this invention. 本発明の一実施形態に係る受信履歴の例を示す図The figure which shows the example of the reception history which concerns on one Embodiment of this invention. 本発明の一実施形態に係る受信履歴と送信履歴との比較の例を示す図The figure which shows the example of comparison of the reception history and transmission history which concern on one Embodiment of this invention.

本発明に係るネットワークシステムにおいては、メッセージを送信する送信ECUが、メッセージの送信履歴も送信する。メッセージを受信する受信ECUは、送信履歴も受信し、自装置が生成する受信履歴と受信した送信履歴とに基づいて、メッセージが送信ECUから送信された正当なメッセージか、それ以外の不正なメッセージであるかを判定する。 In the network system according to the present invention, the transmission ECU that transmits the message also transmits the transmission history of the message. The receiving ECU that receives the message also receives the transmission history, and based on the reception history generated by the own device and the received transmission history, the message is a legitimate message transmitted from the transmission ECU or another invalid message. Is determined.

(実施形態)
以下、本発明の一実施形態について、図面を参照しながら詳細に説明する。 (Embodiment)
Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

<構成>
図1に、本実施形態に係るネットワークシステム1の構成の一部を示す。ネットワークシステム1は、一例として車両に搭載される、CAN(Controller Area Network)規格に準拠したネットワークシステムである。ネットワークシステム1は、複数のECU(Electronic Control Unit)を備える。各ECUは、バスに接続されており、バスを介して互いにメッセージを送受信したり、車両が備えるセンサから情報を取得したりして、センサや車両が備えるアクチュエータの制御を行って、車両の各機能を分担して実行する。図1には、ネットワークシステム1の一部として、バス30と、バス30に接続された送信ECU10および受信ECU20を示す。 <Structure>
FIG. 1 shows a part of the configuration of the network system 1 according to the present embodiment. The network system 1 is mounted on a vehicle as an example, and is a network system compliant with the CAN (Controller Area Network) standard. The network system 1 includes a plurality of ECUs (Electronic Control Units). Each ECU is connected to a bus, sends and receives messages to and from each other via the bus, and obtains information from a sensor included in the vehicle to control sensors and actuators included in the vehicle. Share and execute functions. FIG. 1 shows a bus 30, and a transmission ECU 10 and a reception ECU 20 connected to the bus 30, as a part of the network system 1.

送信ECU10は、第1制御部11、第1記憶部12、リアルタイムクロックである第1クロック13を含む。第1制御部11はメッセージを生成して、バス30に送出する。第1制御部11は、メッセージを送出した時、第1クロック13を参照することで送信時刻を取得し、送信時刻を含むメッセージの送信履歴を生成して第1記憶部12に記憶させる。 The transmission ECU 10 includes a first control unit 11, a first storage unit 12, and a first clock 13 which is a real time clock. The first controller 11 generates a message and sends it to the bus 30. When the message is sent, the first control unit 11 acquires the transmission time by referring to the first clock 13, generates the transmission history of the message including the transmission time, and stores it in the first storage unit 12.

受信ECU20は、第2制御部21、第2記憶部22、リアルタイムクロックである第2クロック23を含む。第2制御部21は、バス30からメッセージを受信する。第2制御部21は、メッセージを受信した時、第2クロック23を参照することで受信時刻を取得し、受信時刻を含む受信履歴を生成して第2記憶部22に記憶させる。 The reception ECU 20 includes a second control unit 21, a second storage unit 22, and a second clock 23 that is a real-time clock. The second control unit 21 receives the message from the bus 30. When receiving the message, the second control unit 21 acquires the reception time by referring to the second clock 23, generates the reception history including the reception time, and stores the reception history in the second storage unit 22.

また、送信ECU10の第1制御部11は、第1記憶部12から送信履歴を取得して、受信ECU20あてに送信する。送信経路はバス30でもよいし、ネットワークシステム1が備える他のバスでもよいし、送信ECU10と受信ECU20との間に個別に設けられた通信線であってもよい。また、送信タイミングは、メッセージの送信から所定期間以内に、そのメッセージの送信時刻を含む送信履歴を送信できればよく、定期的に送信してもよいし、不定期的に送信してもよい。 In addition, the first control unit 11 of the transmission ECU 10 acquires the transmission history from the first storage unit 12 and transmits the transmission history to the reception ECU 20. The transmission path may be the bus 30, another bus provided in the network system 1, or a communication line provided individually between the transmission ECU 10 and the reception ECU 20. As for the transmission timing, the transmission history including the transmission time of the message can be transmitted within a predetermined period from the transmission of the message, and the transmission history may be transmitted periodically or irregularly.

受信ECU20の第2制御部21は、メッセージをバス30から受信した後、上述の所定期間、送信履歴が送信されるのを待機する。所定期間内に送信ECU10から送信履歴を取得できなかった場合、第2制御部21は、メッセージを不正なメッセージと判断する。所定期間内に送信ECU10から送信履歴を取得した場合、第2制御部21は、送信履歴を第2記憶部22に記憶させる。第2制御部21は、第2記憶部22から受信履歴および送信履歴を取得し、これらを比較する。受信したメッセージに対応する受信時刻に一致するとみなせる送信時刻が送信履歴にあれば、受信したメッセージが送信ECU10から送信された正当なメッセージであると判定し、なければ不正なメッセージであると判定する。第2制御部21は、メッセージを正当と判断した場合、このメッセージに基づいて、正当なメッセージに対する処理として定められた正常系の処理を行う。また、メッセージを不正と判断した場合、このメッセージを処理対象とはせずに破棄したり、不正なメッセージに対する処理として定められた攻撃対応処理を行ったりする。なお、送信履歴を待機する所定期間は、受信ECU20の処理上許容できる期間以内で設定すればよい。 After receiving the message from the bus 30, the second control unit 21 of the reception ECU 20 waits for the transmission history to be transmitted for the predetermined period described above. When the transmission history cannot be acquired from the transmission ECU 10 within the predetermined period, the second control unit 21 determines that the message is an invalid message. When the transmission history is acquired from the transmission ECU 10 within the predetermined period, the second control unit 21 stores the transmission history in the second storage unit 22. The second control unit 21 acquires the reception history and the transmission history from the second storage unit 22 and compares them. If there is a transmission time in the transmission history that can be considered to match the reception time corresponding to the received message, it is determined that the received message is a valid message transmitted from the transmission ECU 10, and if it is not, it is determined to be an invalid message. .. When the second control unit 21 determines that the message is valid, the second control unit 21 performs the normal processing, which is set as the processing for the valid message, based on the message. Further, when the message is determined to be fraudulent, the message is discarded without being processed, or the attack response process defined as the process for the fraudulent message is performed. The predetermined period for waiting the transmission history may be set within a period allowable for the processing of the reception ECU 20.

<処理>
以下に、受信ECU20が受信したメッセージを、正当なメッセージであると判定するシーケンスと、不正なメッセージであると判定するシーケンスとを説明する。図2に示すシーケンスは、受信ECU20が受信したメッセージを正当なメッセージと判定するシーケンスである。まずこのシーケンスを説明する。 <Process>
Hereinafter, a sequence for determining a message received by the reception ECU 20 as a valid message and a sequence for determining an invalid message will be described. The sequence shown in FIG. 2 is a sequence in which a message received by the reception ECU 20 is determined to be a valid message. First, this sequence will be described.

(ステップS101):送信ECU10の第1制御部11は、メッセージを生成して、バス30に送信する。メッセージは、一例としてCAN_IDと呼ばれる識別子を含むフレームであり、CAN_IDが、フレームの送信元のECUを表したり、メッセージの種別を表したりすることができる。 (Step S101): The first control unit 11 of the transmission ECU 10 generates a message and transmits it to the bus 30. The message is a frame including an identifier called CAN_ID as an example, and the CAN_ID can represent the ECU that is the transmission source of the frame or the type of the message.

(ステップS102):受信ECU20の第2制御部21は、例えばバス30を流れるメッセージに含まれるCAN_IDを参照して、メッセージが、自装置が処理すべきメッセージであると判定すれば、そのメッセージを受信する。本ステップでは、第2制御部21はステップS101で送信されたメッセージを受信する。 (Step S102): If the second control unit 21 of the reception ECU 20 refers to the CAN_ID included in the message flowing through the bus 30 and determines that the message is a message to be processed by itself, the second control unit 21 returns the message. To receive. In this step, the second control unit 21 receives the message transmitted in step S101.

(ステップS103):送信ECU10の第1制御部11は、ステップS101でメッセージを送出した時、第1クロック13を参照することで送信時刻を取得する。第1制御部11は、取得した送信時刻に基づいて送信履歴を更新して第1記憶部12に記憶させる。送信履歴は、例えば、CAN_IDごとにまとめられた、過去所定回数のメッセージを送信した各時刻のリストである。送信履歴の例を図3に示す。 (Step S103): The first control unit 11 of the transmission ECU 10 acquires the transmission time by referring to the first clock 13 when the message is transmitted in step S101. The first control unit 11 updates the transmission history based on the acquired transmission time and stores it in the first storage unit 12. The transmission history is, for example, a list of times at which the messages have been transmitted a predetermined number of times in the past, which are grouped by CAN_ID. An example of the transmission history is shown in FIG.

(ステップS104):受信ECU20の第2制御部21は、ステップS102でメッセージを受信した時、第2クロック23を参照することで受信時刻を取得する。第2クロック23と第1クロック13とは、同期されており、それぞれの時刻は所定の精度で一致している。第2制御部21は、取得した受信時刻に基づいて受信履歴を更新して第2記憶部22に記憶させる。受信履歴は、例えば、CAN_IDごとにまとめられた、過去所定回数のメッセージの内容であるデータと、メッセージを受信した各時刻との組み合わせのリストである。受信履歴の例を図4に示す。 (Step S104): When the message is received in step S102, the second control unit 21 of the reception ECU 20 acquires the reception time by referring to the second clock 23. The second clock 23 and the first clock 13 are synchronized, and their times match with each other with a predetermined accuracy. The second control unit 21 updates the reception history based on the acquired reception time and stores it in the second storage unit 22. The reception history is, for example, a list of combinations of data, which is the content of the message a predetermined number of times in the past, and each time when the message is received, which is collected for each CAN_ID. An example of the reception history is shown in FIG.

(ステップS105):送信ECU10の第1制御部11は、ステップS103で更新した送信履歴を、第1記憶部12から取得し、受信ECU20あてに送信する。送信履歴を含むフレームのCAN_IDは、ステップS101で送信したメッセージのフレームのCAN_IDと同一にする。このように、第1制御部11は、送信履歴が、いずれのCAN_IDのメッセージの送信履歴を表すかを特定可能にして送信履歴を送信することが好ましい。送信履歴は、送信の際、暗号化してもよいし、暗号化せず平文のままでもよい。なお、送信履歴の送信経路は上述したように限定されない。また、送信履歴のCAN_IDは、いずれのメッセージの送信履歴であるか特定する情報をさらに含んでいれば、メッセージのCAN_IDと異なっていてもよい。 (Step S105): The first control unit 11 of the transmission ECU 10 acquires the transmission history updated in step S103 from the first storage unit 12 and transmits it to the reception ECU 20. The CAN_ID of the frame including the transmission history is set to be the same as the CAN_ID of the frame of the message transmitted in step S101. As described above, it is preferable that the first control unit 11 transmit the transmission history by making it possible to specify which CAN_ID of the message the transmission history represents. The transmission history may be encrypted at the time of transmission, or may be in plain text without being encrypted. The transmission route of the transmission history is not limited as described above. Further, the CAN_ID of the transmission history may be different from the CAN_ID of the message as long as it further includes information that identifies which message the transmission history is.

(ステップS106):本シーケンスでは、ステップS102でメッセージを受信してから所定期間内に、受信ECU20の第2制御部21は、ステップS105で送信された送信履歴を受信する。第2制御部21は、受信した送信履歴を、第2記憶部22に記憶させる。 (Step S106): In this sequence, the second control unit 21 of the receiving ECU 20 receives the transmission history transmitted in step S105 within a predetermined period after receiving the message in step S102. The second control unit 21 stores the received transmission history in the second storage unit 22.

(ステップS107):受信ECU20の第2制御部21は、第2記憶部22から送信履歴および受信履歴を取得し、これらを比較する。すなわちステップS102で受信したメッセージについて、そのメッセージと同じCAN_IDのメッセージについて、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれるか否かを判定する。本シーケンスでは、ステップS102で受信したメッセージは、ステップS101で、送信ECU10から送信された正当なメッセージであるので、図5に示すように、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれる。これにより、第2制御部21は、ステップS102で受信したメッセージを正当なメッセージと判断する。なお、送信履歴の時刻と受信履歴の時刻とが完全に一致しなくても、第1クロック13、第2クロック23の同期誤差やバス30を介したメッセージの送受信の遅延程度のごく小さな時間差であれば、一致するものとみなしてもよい。 (Step S107): The second control unit 21 of the reception ECU 20 acquires the transmission history and the reception history from the second storage unit 22 and compares them. That is, for the message received in step S102, it is determined whether or not the transmission history matching the reception time included in the reception history is included in the transmission history for the message having the same CAN_ID. In this sequence, the message received in step S102 is a legitimate message transmitted from the transmission ECU 10 in step S101, so that the transmission time that matches the reception time included in the reception history is transmitted as shown in FIG. Included in history. As a result, the second control unit 21 determines that the message received in step S102 is a valid message. Even if the time of the transmission history and the time of the reception history do not completely match, there is a very small time difference such as a synchronization error between the first clock 13 and the second clock 23 or a delay in message transmission/reception via the bus 30. If so, they may be considered a match.

図6に示すシーケンスは、受信ECU20が受信したメッセージを不正なメッセージと判定するシーケンスである。次にこのシーケンスを説明する。 The sequence shown in FIG. 6 is a sequence in which a message received by the reception ECU 20 is determined as an invalid message. Next, this sequence will be described.

(ステップS201):例えば、ネットワークシステム1に取り付けられた不正装置が、メッセージを生成して、バス30に送信する。不正装置は、送信ECU10に成りすますために、例えば送信ECU10が送信するメッセージと同じCAN_IDを有するメッセージを生成する。 (Step S201): For example, the unauthorized device attached to the network system 1 generates a message and sends it to the bus 30. In order to impersonate the transmitting ECU 10, the unauthorized device generates a message having the same CAN_ID as the message transmitted by the transmitting ECU 10, for example.

(ステップS202):受信ECU20の第2制御部21は、例えばバス30を流れるメッセージに含まれるCAN_IDを参照して、メッセージが、自装置が処理すべきメッセージであると判定すれば、そのメッセージを受信する。本ステップでは、第2制御部21はステップS201で送信されたメッセージを受信する。 (Step S202): If the second control unit 21 of the reception ECU 20 refers to the CAN_ID included in the message flowing through the bus 30 and determines that the message is a message to be processed by the own device, the second control unit 21 returns the message. To receive. In this step, the second control unit 21 receives the message transmitted in step S201.

(ステップS203):受信ECU20の第2制御部21は、ステップS202でメッセージを受信した時、第2クロック23を参照することで受信時刻を取得する。第2制御部21は、取得した受信時刻に基づいて受信履歴を更新して第2記憶部22に記憶させる。受信履歴の例を図7に示す。 (Step S203): When the message is received in step S202, the second control unit 21 of the reception ECU 20 acquires the reception time by referring to the second clock 23. The second control unit 21 updates the reception history based on the acquired reception time and stores it in the second storage unit 22. An example of the reception history is shown in FIG.

(ステップS204):送信ECU10の第1制御部11は、送信履歴を、第1記憶部12から取得し、受信ECU20あてに送信する。本シーケンスでは、送信ECU10は新たにメッセージの生成、送信を行っておらず、送信履歴は、例えば前回送信したものと同じである。送信履歴の例を図8に示す。 (Step S204): The first control unit 11 of the transmission ECU 10 acquires the transmission history from the first storage unit 12 and transmits it to the reception ECU 20. In this sequence, the transmission ECU 10 does not newly generate or transmit a message, and the transmission history is the same as that transmitted last time, for example. An example of the transmission history is shown in FIG.

(ステップS205):本シーケンスでは、ステップS102でメッセージを受信してから所定期間内に、受信ECU20の第2制御部21は、ステップS204で送信された送信履歴を受信する。第2制御部21は、受信した送信履歴を、第2記憶部22に記憶させる。なお、ステップS204で送信ECU10が送信履歴を送信する処理は、ステップS201において不正装置がメッセージの送信を行うこととは独立的に実行されるものであり、本ステップにおいて、ステップS202でメッセージを受信してから所定期間内に、送信履歴を受信するのは必然ではない。ステップS202でメッセージを受信してから所定期間内に、送信ECU10から送信履歴を受信しない場合は、第2制御部21は、上述したように、ステップS202で受信したメッセージを不正なメッセージである判断することができる。 (Step S205): In this sequence, the second control unit 21 of the reception ECU 20 receives the transmission history transmitted in step S204 within a predetermined period after receiving the message in step S102. The second control unit 21 stores the received transmission history in the second storage unit 22. The process in which the transmission ECU 10 transmits the transmission history in step S204 is executed independently of the message transmission by the unauthorized device in step S201, and in this step, the message is received in step S202. It is not inevitable to receive the transmission history within a predetermined period after that. When the transmission history is not received from the transmission ECU 10 within the predetermined period after receiving the message in step S202, the second control unit 21 determines that the message received in step S202 is an invalid message, as described above. can do.

(ステップS206):受信ECU20の第2制御部21は、第2記憶部22から送信履歴および受信履歴を取得し、これらを比較する。すなわちステップS202で受信したメッセージについて、そのメッセージと同じCAN_IDのメッセージについて、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれるか否かを判定する。本シーケンスでは、ステップS202で受信したメッセージは、ステップS201で、不正装置から送信された不正なメッセージである。不正装置は、送信履歴を送信しないので、図9に示すように、第2記憶部22から取得する送信履歴にはステップS202で受信したメッセージの送信履歴が反映されておらず、送信履歴にない受信時刻が受信履歴に含まれる。すなわち、受信履歴に含まれる受信時刻に一致する送信時刻が送信履歴に含まれない。これにより、第2制御部21は、ステップS202で受信したメッセージを不正なメッセージと判断する。 (Step S206): The second control unit 21 of the reception ECU 20 acquires the transmission history and the reception history from the second storage unit 22 and compares them. That is, regarding the message received in step S202, it is determined whether or not the transmission history matching the reception time included in the reception history is included in the transmission history for the message having the same CAN_ID. In this sequence, the message received in step S202 is an invalid message transmitted from the unauthorized device in step S201. Since the unauthorized device does not transmit the transmission history, as shown in FIG. 9, the transmission history acquired from the second storage unit 22 does not reflect the transmission history of the message received in step S202 and is not included in the transmission history. The reception time is included in the reception history. That is, the transmission time that matches the reception time included in the reception history is not included in the transmission history. As a result, the second control unit 21 determines that the message received in step S202 is an invalid message.

以上の各シーケンスが繰り返し実行されることで、受信ECU20が受信する各メッセージについて正当なメッセージであるか不正なメッセージであるか判定される。このような判定は、受信ECU20が受信する全メッセージについて行ってもよいし、受信ECU20が所定のアプリケーションプログラムを実行している場合に行ってもよいし、あるいは、受信ECU20が、外部からの攻撃、侵入が発生していると考えられる何らかの異常を検出した場合に行ってもよい。 By repeatedly executing the above-described sequences, it is determined whether each message received by the reception ECU 20 is a valid message or an invalid message. Such a determination may be made for all the messages received by the reception ECU 20, may be made when the reception ECU 20 is executing a predetermined application program, or the reception ECU 20 may make an attack from the outside. Alternatively, it may be performed when any abnormality that is considered to have occurred is detected.

(変形例)
上述の実施形態においては、送信ECU10が自発的に送信履歴を送信するが、変形例として、代わりに、受信ECU20からの要求があれば送信履歴を送信するようにしてもよい。本例では、受信ECU20の第2制御部21は、例えば、外部からの攻撃、侵入が発生していると考えられる何らかの異常を検出した場合、送信ECU10に送信履歴を送信することを要求するメッセージを送信する。このメッセージは例えば、送信ECU10が送信するメッセージとは異なるCAN_IDを有する。送信ECU10の第1制御部11は、受信ECU20から、このメッセージを受信すると、第1記憶部12から送信履歴を取得して、受信ECU20に送信する。 (Modification)
In the above-described embodiment, the transmission ECU 10 voluntarily transmits the transmission history, but as a modified example, the transmission history may be transmitted instead if there is a request from the reception ECU 20. In the present example, the second control unit 21 of the reception ECU 20 requests the transmission ECU 10 to transmit the transmission history when, for example, some abnormality that is considered to be an attack or intrusion from the outside is detected. To send. This message has, for example, a CAN_ID different from the message transmitted by the transmission ECU 10. Upon receiving this message from the reception ECU 20, the first control unit 11 of the transmission ECU 10 acquires the transmission history from the first storage unit 12 and transmits it to the reception ECU 20.

受信ECU20の第2制御部21は、送信履歴を受信して、上述の実施形態と同様に、送信履歴と受信履歴とに基づいて、受信したメッセージが不正であるか否か判定することができる。 The second control unit 21 of the reception ECU 20 can receive the transmission history and determine whether or not the received message is invalid based on the transmission history and the reception history, as in the above-described embodiment. ..

なお、本例においては、受信ECU20の第2制御部21は、送信ECU10に送信履歴を送信することを要求するメッセージの代わりに、第2記憶部22から受信履歴を取得して、受信履歴を含むメッセージを、送信ECU10に送信してもよい。この場合、送信ECU10の第1制御部11は、受信した受信履歴に含まれる時刻と、第1記憶部12から取得する送信履歴に含まれる時刻とを比較し、受信履歴に含まれる各時刻が送信履歴に含まれるか否かを表す情報を生成し、比較結果として受信ECU20に送信してもよい。受信ECU20の第2制御部21は、比較結果を受信し、これに基づいて、受信したメッセージが不正であるか否か判定することができる。 In this example, the second control unit 21 of the reception ECU 20 acquires the reception history from the second storage unit 22 instead of the message requesting the transmission history to be transmitted to the transmission ECU 10, and acquires the reception history. The message containing may be transmitted to transmission ECU10. In this case, the first control unit 11 of the transmission ECU 10 compares the time included in the received reception history with the time included in the transmission history acquired from the first storage unit 12, and the respective times included in the reception history are compared. Information indicating whether or not it is included in the transmission history may be generated and transmitted to the reception ECU 20 as a comparison result. The second control unit 21 of the reception ECU 20 receives the comparison result, and based on this, can determine whether or not the received message is incorrect.

<効果>
以上のように、本発明に係るネットワークシステムにおいては、メッセージを送信する送信ECUが、メッセージの送信履歴も送信する。メッセージを受信する受信ECUは、送信履歴も受信し、自装置が生成する受信履歴と受信した送信履歴とに基づいて、メッセージが送信ECUから送信された正当なメッセージか、それ以外の不正なメッセージであるかを判定する。この判定方法は、判定対象のメッセージが、一定周期で送信される一連のメッセージであることを前提としないので、単発的なメッセージも判定対象にできるし、一定周期で送信される一連のメッセージも判定対象にできる。またこの判定方法は、一定周期で送信される一連のメッセージであっても、前回の受信からの経過時刻に依存せず判定を行うので、前回の受信からの経過時刻に依存した判定を行う場合に比べて、メッセージの受信タイミングに起因する誤判定を抑制でき、判定能力を向上することができる。 <Effect>
As described above, in the network system according to the present invention, the transmission ECU that transmits the message also transmits the transmission history of the message. The receiving ECU that receives the message also receives the transmission history, and based on the reception history generated by the own device and the received transmission history, the message is a legitimate message transmitted from the transmission ECU or another invalid message. Is determined. Since this judgment method does not assume that the message to be judged is a series of messages transmitted at a fixed cycle, it is possible to make a judgment target for a sporadic message, and a series of messages sent at a fixed cycle. Can be judged. In addition, this judgment method does not depend on the elapsed time from the previous reception even if it is a series of messages sent at a fixed cycle, so if the judgment depends on the elapsed time from the previous reception. Compared with the above, it is possible to suppress the erroneous determination due to the reception timing of the message and improve the determination capability.

本発明は、ネットワークシステムだけでなく、ネットワークシステムにおける送信ECU、受信ECUが実行する不正メッセージ判定方法、送信ECU、受信ECUの各コンピュータが実行する不正メッセージ判定プログラムおよびこれを記憶したコンピュータ読み取り可能な非一時的記憶媒体、ネットワークシステムを備えた車両等として捉えることが可能である。また、本発明は、車両に搭載されるネットワークシステム以外のネットワークシステムにも適用できる。 INDUSTRIAL APPLICABILITY The present invention is not limited to a network system, and a fraudulent message determination method executed by a transmission ECU and a reception ECU in the network system, a fraudulent message determination program executed by each computer of the transmission ECU and the reception ECU, and a computer-readable program storing the program It can be regarded as a non-transitory storage medium, a vehicle equipped with a network system, or the like. Further, the present invention can be applied to a network system other than the network system mounted on the vehicle.

本発明は、車両等に搭載されるネットワークシステムに有用である。 The present invention is useful for network systems installed in vehicles and the like.

1 ネットワークシステム
10 送信ECU
11 第1制御部
12 第1記憶部
13 第1クロック
20 受信ECU
21 第2制御部
22 第2記憶部
23 第2クロック
30 バス 1 Network system 10 Transmission ECU
11 First Control Unit 12 First Storage Unit 13 First Clock 20 Reception ECU
21 second control unit 22 second storage unit 23 second clock 30 bus

Claims (1)

車両に搭載されるネットワークシステムであって、
メッセージおよび前記メッセージの送信時刻を含む送信履歴を送信する送信ECUと、
メッセージおよび前記送信履歴を受信する受信ECUとを備え、
前記受信ECUは、受信したメッセージの受信時刻と、受信した前記送信履歴に含まれる送信時刻とに基づいて、受信した前記メッセージが前記送信ECUから送信されたメッセージであるか否かを判定する、ネットワークシステム。 A network system installed in a vehicle,
A transmission ECU that transmits a transmission history including a message and a transmission time of the message,
A reception ECU that receives the message and the transmission history,
The reception ECU determines whether or not the received message is a message transmitted from the transmission ECU, based on a reception time of the received message and a transmission time included in the received transmission history, Network system.
JP2018225324A 2018-11-30 2018-11-30 network system Active JP7110950B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018225324A JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018225324A JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Publications (2)

Publication Number Publication Date
JP2020088798A true JP2020088798A (en) 2020-06-04
JP7110950B2 JP7110950B2 (en) 2022-08-02

Family

ID=70910202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018225324A Active JP7110950B2 (en) 2018-11-30 2018-11-30 network system

Country Status (1)

Country Link
JP (1) JP7110950B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220174073A1 (en) * 2020-11-27 2022-06-02 Robert Bosch Gmbh Method for checking a message in a communication system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260575A (en) * 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer
JP4410791B2 (en) * 2006-12-20 2010-02-03 富士通株式会社 Address spoofing check device and network system
WO2013094072A1 (en) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 Communication system and communication method
JP2016134913A (en) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Unauthorized frame handling method, unauthorized detection electronic control unit and on-vehicle network system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260575A (en) * 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer
JP4410791B2 (en) * 2006-12-20 2010-02-03 富士通株式会社 Address spoofing check device and network system
WO2013094072A1 (en) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 Communication system and communication method
JP2016134913A (en) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Unauthorized frame handling method, unauthorized detection electronic control unit and on-vehicle network system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220174073A1 (en) * 2020-11-27 2022-06-02 Robert Bosch Gmbh Method for checking a message in a communication system

Also Published As

Publication number Publication date
JP7110950B2 (en) 2022-08-02

Similar Documents

Publication Publication Date Title
CN107707520B (en) Network monitoring device
JP6525824B2 (en) Relay device
US11251891B2 (en) Method for identifying an incorrect time stamp of an ethernet message and control unit for a motor vehicle
JP6282216B2 (en) Communication system and communication apparatus
EP3772200B1 (en) Illicit act detection method, illicit act detection device, and program
WO2017187924A1 (en) Computing device, authentication system, and authentication method
WO2017038422A1 (en) Communication device
WO2018173732A1 (en) On-board communication device, computer program, and message determination method
CN105814861B (en) Apparatus and method for transmitting data
US10050983B2 (en) Communication system, receiving apparatus, receiving method, and computer program product
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
JP2021005821A (en) Abnormality detection device
JP2018121220A (en) In-vehicle network system
JP2014017733A (en) Communication system, communication device, and relay device
JP2020088798A (en) Network system
US11165794B2 (en) Alert system for controller area networks
JP6527647B1 (en) Fraud detection method, fraud detection device and program
JP2018166309A (en) In-vehicle network system, electronic control device, communication method and computer program
CN108632242B (en) Communication device and receiving device
JP2013121071A (en) Relay system, and relay device and external device forming the same
JP6615721B2 (en) COMMUNICATION SYSTEM, RECEPTION DEVICE, RECEPTION METHOD, AND PROGRAM
US20230164221A1 (en) Network communication system and process to optimize network performance
WO2024004594A1 (en) Relay device, information processing method, and in-vehicle system
JP5207106B2 (en) In-vehicle communication system and in-vehicle communication method
JP6681755B2 (en) Vehicle communication network device and communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210325

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220704

R151 Written notification of patent or utility model registration

Ref document number: 7110950

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151