JP2021163978A - 車載通信システム及び通信制御方法 - Google Patents
車載通信システム及び通信制御方法 Download PDFInfo
- Publication number
- JP2021163978A JP2021163978A JP2020060677A JP2020060677A JP2021163978A JP 2021163978 A JP2021163978 A JP 2021163978A JP 2020060677 A JP2020060677 A JP 2020060677A JP 2020060677 A JP2020060677 A JP 2020060677A JP 2021163978 A JP2021163978 A JP 2021163978A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- control unit
- ecu
- routing map
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 296
- 238000000034 method Methods 0.000 title claims description 25
- 230000000903 blocking effect Effects 0.000 claims description 15
- 238000011144 upstream manufacturing Methods 0.000 claims description 13
- 230000005856 abnormality Effects 0.000 claims description 11
- 230000002411 adverse Effects 0.000 abstract description 8
- 238000003745 diagnosis Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 abstract description 4
- 230000003252 repetitive effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 29
- 230000002159 abnormal effect Effects 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 230000007704 transition Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 230000008571 general function Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】追加する部品の増加に起因するコストアップを抑制しつつ、不正な電子制御ユニットがシステム全体や他の電子制御ユニットに対して悪影響を及ぼすのを防止すること。【解決手段】車両のIG−ON時等の診断処理において、セントラルゲートウェイ、ゾーン制御部、スイッチングハブ等がルーティングマップに登録されている内容に基づいて、ワイヤハーネスに接続されている不正ECUや、なりすましECUを検知し、問題箇所の通信を遮断する。更に、ルーティングマップの内容を書き換え、安全を確保するために運転者に報知する。なりすましECUを検知するために、定期的に繰り返し診断処理を実行して各ECUの通信を監視する。実際の通信状況がルーティングマップの内容と比べて大きく異なるかどうかを判別する。【選択図】図4
Description
本発明は、車載通信システム及び通信制御方法に関し、特に不正な装置の悪影響を排除するための技術に関する。
自動車などの車両においては、一般的に車両に搭載されている様々な電装品が、1つのワイヤハーネスを介して互いに接続されている。通常は、車載バッテリーからの電源電力がワイヤハーネスに含まれる電源線を経由して各電装品に供給される。また、ワイヤハーネスに含まれる通信線は、CAN (Controller Area Network)などの1つ以上の通信網を形成し、電子制御ユニット(ECU)のように通信機能を有する多数の電装品の間を互いに接続する共通の通信バスとして利用されている。
電子制御ユニットなどの各電装品は、ワイヤハーネスの末端に配置されたコネクタに接続することができる。ワイヤハーネス接続された各電子制御ユニットは、車載通信システムの一部分を形成するので、システム全体や他の電子制御ユニットに対して影響を及ぼすことになる。
正規の製造元が製造した正規の電子制御ユニットは、車両の設計者が意図した仕様の動作だけを行うので、システム全体や他の電子制御ユニットに対して悪影響を及ぼすことはない。
しかし、例えば1つの正規の電子制御ユニットを交換しようとする際に、正規の電子制御ユニットの代わりに、正規の製造元とは異なる製造元が製造した不正な電子制御ユニットがワイヤハーネスに接続される可能性も考えられる。そのような場合は、不正な電子制御ユニットがシステム全体や他の電子制御ユニットに対して悪影響を及ぼすことが考えられる。
そこで、例えば特許文献1の通信遮断システムは、不正なECUが車載ネットワークシステム上にある場合に、その動作の悪影響の拡散を抑えて安全性をより高めるための技術を示している。
特許文献1では、通信遮断システムは、複数の通信装置及び通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、通信線を介して、第1のグループに含まれる通信装置の少なくとも一部からデータを受信する通信部と、通信部が受信したデータに基づいて第1のグループでの通信異常を検出し、検出した通信異常の内容に基づいて、グループ間での所定の通信遮断を実行するか否かを決定する判断部と、決定されたこの所定の通信遮断を実行する切替部とを備え、所定の通信遮断には、第1のグループから送信されるデータの第1のグループ以外のグループへの流入の遮断が含まれる。
特許文献1の技術を採用することにより、不正な電子制御ユニットがシステム全体や他の電子制御ユニットに対して悪影響を及ぼすのを防止できる。しかしながら、特許文献1の技術を採用する場合には、特許文献1に示されている通信部、判断部、及び切替部を含む複数の通信遮断システムを、車載システム上の複数箇所にそれぞれ追加的に接続しなければならない。したがって、車載システム全体のコストが大幅に上昇するのは避けられない。また、追加する各通信遮断システムを設置するために必要な新たな空間を、車両上で確保しなければならない。
また、例えばワイヤハーネスを介して車載ネットワークに接続された不正な電子制御ユニットが、正規の電子制御ユニットになりすますように巧妙に作られている場合には、これが不正な電子制御ユニットであることを車載ネットワーク側で自動的に検知するのは難しい。
本発明は、上述した事情に鑑みてなされたものであり、その目的は、追加する部品の増加に起因するコストアップを抑制しつつ、不正な電子制御ユニットがシステム全体や他の電子制御ユニットに対して悪影響を及ぼすのを防止することが可能な車載通信システム及び通信制御方法を提供することにある。
前述した目的を達成するために、本発明に係る車載通信システム及び通信制御方法は、下記(1)〜(5)を特徴としている。
(1) 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムであって、
下流側の通信を遮断可能な通信遮断部が前記分岐部に配置され、
前記ゲートウェイは、少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記ゲートウェイは、前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
車載通信システム。
(1) 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムであって、
下流側の通信を遮断可能な通信遮断部が前記分岐部に配置され、
前記ゲートウェイは、少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記ゲートウェイは、前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
車載通信システム。
(2) 前記ゲートウェイは、前記第1のルーティングマップに基づいて、事前に登録されているIDとは異なる不正IDが割り当てられている制御ユニットを、前記第1の制御ユニットとして自動的に認識する、
上記(1)に記載の車載通信システム。
上記(1)に記載の車載通信システム。
(3) 前記ゲートウェイは、前記ルーティングマップに基づいて、前記分岐部の下流側に接続されている前記制御ユニットのそれぞれの通信状態を少なくとも定期的に監視し、
前記ゲートウェイは、通信状態が事前に定めた標準状態に対して大きく異なっている場合に、不正な動作又は攻撃を検知して、該当する前記制御ユニットをなりすましの不正な第2の制御ユニットとして認識し、
前記ゲートウェイは、第2の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第2のルーティングマップから、少なくとも前記第2の制御ユニットが通信対象から除外された第3のルーティングマップに切り替えることにより不正が検知された前記第2の制御ユニットを切り離す、
上記(1)又は(2)に記載の車載通信システム。
前記ゲートウェイは、通信状態が事前に定めた標準状態に対して大きく異なっている場合に、不正な動作又は攻撃を検知して、該当する前記制御ユニットをなりすましの不正な第2の制御ユニットとして認識し、
前記ゲートウェイは、第2の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第2のルーティングマップから、少なくとも前記第2の制御ユニットが通信対象から除外された第3のルーティングマップに切り替えることにより不正が検知された前記第2の制御ユニットを切り離す、
上記(1)又は(2)に記載の車載通信システム。
(4) 前記ゲートウェイは、前記分岐部の下流側に接続された1つ以上の前記制御ユニットの不正を検知した場合に、異常の発生を運転者に対して報知する報知部を備える、
上記(1)乃至(3)のいずれかに記載の車載通信システム。
上記(1)乃至(3)のいずれかに記載の車載通信システム。
(5) 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムを制御するための通信制御方法であって、
少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
通信制御方法。
少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
通信制御方法。
上記(1)の構成の車載通信システムによれば、ゲートウェイがルーティングマップに基づいて不正な第1の制御ユニットを検知するので、不正検知用の特別なハードウェア要素を追加する必要がない。また、不正な第1の制御ユニットを検知した場合に、分岐部でその下流側の通信を遮断し、更に使用するルーティングマップを切り替えるので、不正な第1の制御ユニットを車載システムの通信網から確実に切り離すことができる。
上記(2)の構成の車載通信システムによれば、不正な第1の制御ユニットを容易に検知できる。すなわち、車両の設計上、ワイヤハーネスの各位置に接続されるECUの固有のIDや、バス上の通信において各ビットに割り当てられる固有のIDは予め決められている場合が多く、そのIDはルーティングマップの内容から認識できるので、このIDに基づいて実際に接続されている各々のECUが不正なECUか否かを認識できる。
上記(3)の構成の車載通信システムによれば、正規のIDを利用して正規のECUになりすますように構成された第2の制御ユニットがシステムに接続された場合でも、第2の制御ユニットを不正なECUであると認識して、システムから切り離すことができる。すなわち、不正なECUは、車載システムに対して攻撃を仕掛けて通信の負荷を増大させたり、通常とは異なる動作をする場合が多いので、その通信状態のパターンを周期的に監視して事前に定めた標準状態と比較することにより、異常の有無を認識できる。更に、ルーティングマップを切り替えることにより、なりすましの第2の制御ユニットをシステムの通信網から切り離すことができる。
上記(4)の構成の車載通信システムによれば、車載システム上に不正なECUが存在することを運転者に知らせて注意喚起できるので、不正なECUを取り外すように促すことができる。これにより、車両の安全を確保できる。
上記(5)の通信制御方法によれば、ルーティングマップに基づいて不正な第1の制御ユニットを検知するので、不正検知用の特別なハードウェア要素を追加する必要がない。また、不正な第1の制御ユニットを検知した場合に、分岐部でその下流側の通信を遮断し、更に使用するルーティングマップを切り替えるので、不正な第1の制御ユニットを車載システムの通信網から確実に切り離すことができる。
本発明の車載通信システム及び通信制御方法によれば、追加する部品の増加に起因するコストアップを抑制しつつ、不正な電子制御ユニットがシステム全体や他の電子制御ユニットに対して悪影響を及ぼすのを防止することが可能である。
以上、本発明について簡潔に説明した。更に、以下に説明される発明を実施するための形態(以下、「実施形態」という。)を添付の図面を参照して通読することにより、本発明の詳細は更に明確化されるであろう。
本発明に関する具体的な実施形態について、各図を参照しながら以下に説明する。
<第1実施形態>
<通信システムの構成>
図1(a)及び図1(b)は、それぞれ車両上に搭載した第1実施形態に係る通信システム100の構成及び通信経路を表すブロック図である。なお、図1(a)及び図1(b)において各構成要素は車体を上方から視た平面におけるレイアウトと略同じになるように配置してある。
<通信システムの構成>
図1(a)及び図1(b)は、それぞれ車両上に搭載した第1実施形態に係る通信システム100の構成及び通信経路を表すブロック図である。なお、図1(a)及び図1(b)において各構成要素は車体を上方から視た平面におけるレイアウトと略同じになるように配置してある。
また、図1(a)及び図1(b)において、左側が車体10の前方、右側が車体10の後方を表している。また、4つのドア10a、10b、10c、および10dが車体10の左右に配置されている。
図1(a)に示すように、車体10上の様々な箇所に、電装品である様々なECU18A、18B、18C、18D、18E、18F、18G、18H、18I、18J、18K、及び18Lが設置されている。
各ECU18A〜18Lは、それぞれCAN規格の通信機能、及びマイクロコンピュータ(CPU)を主体とする制御回路を内蔵する電子制御ユニットとして構成されている。各ECU18A〜18Lは、互いに異なる機能を有している。各ECU18A〜18Lは、通信システム100を経由して有線で通信することができる。
2系統の幹線12及び13は、それぞれCANの通信規格に対応した通信用の伝送路であり、例えば2本の通信線、電源線、及びアース線により構成される。勿論、電源線、及びアース線は別体として用意してもよい。また、CANと同様のバス型のネットワークを利用するCAN FD(Flexible Data rate)など他の通信規格をCANの代わりに採用してもよい。
図1(a)に示すように、この通信システム100は、通信経路を制御するためにセントラルゲートウェイ(G/W)11を備えている。セントラルゲートウェイ11は、車体10上の通信系で最も上位に位置する権限を有する制御部であり、ファイアウォールなどセキュリティに関する特別な機能や、システムの状態を運転者に伝達するための機能も内蔵している。
ゲートウェイは、その管理下にある様々な通信経路を制御する機能を有している。セントラルゲートウェイ11は、適切な通信経路の制御を可能にするために、後述するルーティングマップを内蔵している。セントラルゲートウェイ11は、このルーティングマップに基づいて、通信経路を制御する。また、セントラルゲートウェイ11は、必要に応じてルーティングマップの内容を書き換える。
図1(a)の構成では、セントラルゲートウェイ11のCAN規格の1つの通信ポートに幹線12の先端12aが接続され、セントラルゲートウェイ11のもう1つの通信ポートに幹線13の先端13aが接続されている。
図示しないが、セントラルゲートウェイ11は、CANの規格に対応した複数の通信インタフェース、ルーティングマップ、及びマイクロコンピュータを主体とする制御回路を有し、最上位のECUとして通信システム100全体を制御する。したがって、通信システム100上のECU18A〜18L等が通信するための通信経路は、通常はセントラルゲートウェイ11内のルーティングマップの内容により決定される。
ルーティングマップに割り当てられる内容は、セントラルゲートウェイ11から幹線12又は13、1つ以上のジョイントコネクタ14〜17、枝線19等を経由して各々のECU18A〜18K等に到達するまでの通信経路を表す情報を含み、通信するノード毎に個別に経路が割り当てられる。
図1(a)の構成においては、幹線12の途中に1つのジョイントコネクタ(J/C)14が接続され、幹線12の末端にジョイントコネクタ16が接続されている。また、ジョイントコネクタ14と各ECU18A、18B、18Cの間は、それぞれ枝線19を介して接続されている。各々の枝線19は、それぞれ幹線12と比べて細い電線で構成される2本の通信線、電源線、及びアース線を含んでいる。また、ジョイントコネクタ16と各ECU18J、18K、18Lとの間が、それぞれ枝線19を経由して接続されている。
また、幹線13の途中に1つのジョイントコネクタ15が接続され、幹線13の末端にジョイントコネクタ17が接続されている。また、ジョイントコネクタ15と各ECU18D、18E、18Fの間は、それぞれ枝線19を介して接続されている。また、ジョイントコネクタ17と各ECU18G、18H、18Iの間が、それぞれ枝線19を経由して接続されている。
各ジョイントコネクタ14〜17は、各ECU18A〜18L等の電装品を接続するための枝線19と各幹線12、13とを物理的及び電気的に連結するための中間部品である。また、本実施形態の通信システム100においては、各ジョイントコネクタ14〜17は、その下流側の通信を遮断するための機能を内蔵している。
特別な問題が発生していない通常の状態では、図1(b)に示すような各通信経路23、24を利用して通信することができる。例えば、幹線12の末端に接続されているECU18Kと、幹線13の末端に接続されているECU18Hとの間で通信する場合には、ジョイントコネクタ16とセントラルゲートウェイ11とを接続する通信経路23と、セントラルゲートウェイ11とジョイントコネクタ17とを接続する通信経路24とを利用して通信経路を確保できる。
このような利用可能な通信経路の情報は、通常は予め決定してセントラルゲートウェイ11上のルーティングマップに予め登録してあるので、通信を開始する時にセントラルゲートウェイ11がすぐに通信経路を決めることができる。
<不正ECU等の説明>
ところで、例えば図1(a)に示したECU18Kが故障したような場合には、車両のディーラーや、修理業者の工場などにおいて、あるいはこの車両のユーザ自身が、故障したECU18Kを取り外して、代わりに別のECUを取り付ける必要がある。ここで、車両メーカの定めた仕様を満たす正規ECUの代わりに、その仕様とは無関係に任意の業者が製造した不正ECU20Aが取り付けられる可能性が考えられる。
ところで、例えば図1(a)に示したECU18Kが故障したような場合には、車両のディーラーや、修理業者の工場などにおいて、あるいはこの車両のユーザ自身が、故障したECU18Kを取り外して、代わりに別のECUを取り付ける必要がある。ここで、車両メーカの定めた仕様を満たす正規ECUの代わりに、その仕様とは無関係に任意の業者が製造した不正ECU20Aが取り付けられる可能性が考えられる。
また、例えばワイヤハーネス上の所定のコネクタを介して通信システム100に新たに接続された不正なECUが、正規のECUになりすますように巧妙に作られたなりすましECU20Bである可能性もある。
不正ECU20Aは、正規ECUの仕様をあまり考慮することなく製造されているので、例えばそれが使用するIDなどの違いにより、セントラルゲートウェイ11は不正を検知することが可能である。一方、なりすましECU20Bは、正規ECUの仕様を考慮して製造されるため、例えば正規ECUに割り当てたIDと同じIDを使って正規ECUになりすますように動作することが想定される。したがって、なりすましECU20Bを検知するのは難しいが、本実施形態では後述するようにセントラルゲートウェイ11はなりすましECU20Bも検知できる。
<ジョイントコネクタ内部の電気回路>
図2は、1つのジョイントコネクタ16内部の電気回路を示す電気回路図である。
図1(a)、図1(b)に示した通信システム100においては、図2のように、幹線12の末端にジョイントコネクタ16が接続されている。また、ジョイントコネクタ16の内部では、幹線12の末端に共通の接続部29を介して複数の枝線19が連結されている。
図2は、1つのジョイントコネクタ16内部の電気回路を示す電気回路図である。
図1(a)、図1(b)に示した通信システム100においては、図2のように、幹線12の末端にジョイントコネクタ16が接続されている。また、ジョイントコネクタ16の内部では、幹線12の末端に共通の接続部29を介して複数の枝線19が連結されている。
したがって、各枝線19の下流側に接続されるECU等の電装品は、ジョイントコネクタ16を介して幹線12と接続し、通信システム100上で通信を行うことができる。
図2に示すジョイントコネクタ16は、幹線12の接続を途中で遮断するためのスイッチ22を内部に備えている。このスイッチ22は、例えばリレーのように開閉制御が可能な接点を有する部品、あるいは接点のない半導体スイッチなどの部品を用いて構成されている。
また、ジョイントコネクタ16は、遮断指示受信部21の電気回路を内部に備えている。この遮断指示受信部21は、セントラルゲートウェイ11等が幹線12上に送出するジョイントコネクタ16宛ての「遮断指示」の信号を受信可能に構成され、「遮断指示」に従って、スイッチ22のオンオフを切り替えることができる。スイッチ22は、通常はオン(接点閉)であり、「遮断指示」があるとオフ(接点開)に切り替わる。
本実施形態では、通信システム100の各ジョイントコネクタ14〜17のそれぞれに、図2の構成と同様に遮断指示受信部21及びスイッチ22が組み込まれている。各ジョイントコネクタ14〜17内のスイッチ22は、不正ECU20AやなりすましECU20Bを通信システム100から遮断するために利用される。
<ルーティングマップ状態遷移>
図3(a)及び図3(b)は、第1実施形態に係る通信システムにおける2種類のルーティングマップ状態遷移を表す状態遷移図である。
図3(a)及び図3(b)は、第1実施形態に係る通信システムにおける2種類のルーティングマップ状態遷移を表す状態遷移図である。
セントラルゲートウェイ11上に存在する記憶装置であるマップ保持部50は、様々な種類のルーティングマップを保持することができる。このルーティングマップについては、種類毎に予め用意した複数組のデータが予めマップ保持部50上に保持されており、いずれか1種類のルーティングマップをセントラルゲートウェイ11が状況の変化に合わせて逐次選択するように切り替える。勿論、必要に応じて情報を逐次追加したり変更することによりルーティングマップを切り替えることもできる。
図3(a)に示した例では、セントラルゲートウェイ11により選択されるマップ保持部50上のルーティングマップが、ルーティングマップ51からルーティングマップ52に切り替わり、更にルーティングマップ52からルーティングマップ53に切り替わる。すなわち、通常の状態では初期状態のルーティングマップ51が選択され、不正ECU20Aが検知されるとルーティングマップ52が選択され、更にルーティングマップ53の選択に切り替わる。
図3(b)に示した例では、セントラルゲートウェイ11により選択されるマップ保持部50上のルーティングマップが、ルーティングマップ51からルーティングマップ54に切り替わり、更にルーティングマップ52からルーティングマップ55に切り替わる。すなわち、通常の状態では初期状態のルーティングマップ51が選択され、なりすましECU20Bが検知されるとルーティングマップ52が選択され、更にルーティングマップ53の選択に切り替わる。
また、自車両のイグニッションがオンになりこの車載システムが起動する際には、セントラルゲートウェイ11が保持しているルーティングマップに登録されている様々な情報のうち、必要とされる一部の情報が下流側の各ECU18A〜18Lにそれぞれ送信される。したがって、各ECU18A〜18Lはそれ自身が通信で使用するCANバス上の経路、通信先などの情報を把握し通信を開始することが可能である。
<イグニッションオン時の動作>
第1実施形態の通信システム100におけるイグニッションオン(IG−ON)時のセントラルゲートウェイの動作例を図4に示す。すなわち、車両を利用するためにイグニッションをオンにしてこの車載システムを起動する際に、車両を使用する前の診断機能の一部として、図4の動作がセントラルゲートウェイ11により1回だけ実行される。図4の動作について以下に説明する。
第1実施形態の通信システム100におけるイグニッションオン(IG−ON)時のセントラルゲートウェイの動作例を図4に示す。すなわち、車両を利用するためにイグニッションをオンにしてこの車載システムを起動する際に、車両を使用する前の診断機能の一部として、図4の動作がセントラルゲートウェイ11により1回だけ実行される。図4の動作について以下に説明する。
最初のステップS11では、セントラルゲートウェイ11は、マップ保持部50上の選択しているルーティングマップ51の内容に従って、この通信システム100のジョイントコネクタ14〜17下流側に接続されている各ECU18A〜18Lとの間でそれぞれCANの通信を実行する。これにより、各ECU18A〜18Lのそれぞれに割り当てられている固有のIDをセントラルゲートウェイ11が取得する。
次のS12では、セントラルゲートウェイ11は、ルーティングマップ51上にあるノード毎の予め定めたIDと、S11で受信したIDとをECU毎に比較する。ここで、正規のECUだけが通信システム100に接続されている場合には、S12の比較結果が一致するが、車両の設計仕様を把握していない不正ECU20Aが存在する場合には、S12でIDの不一致等が発生する。
セントラルゲートウェイ11は、IDの不一致を検知するとS13からS14の処理に進み、IDの不一致が検知されない場合は、S18に進んで通常の動作を開始する。
S14では、セントラルゲートウェイ11は、IDの不一致が検知された特定ノード位置のECUを不正ECU20Aとして認識する。
S14では、セントラルゲートウェイ11は、IDの不一致が検知された特定ノード位置のECUを不正ECU20Aとして認識する。
次のS15では、セントラルゲートウェイ11は、検知された不正ECU20Aの接続位置をルーティングマップ51の内容から把握すると共に、その上流近傍にあるジョイントコネクタ14〜17のいずれかに対して、通信の遮断指示を送信する。
例えば、図1の通信システム100において、ジョイントコネクタ16の下流側で正規のECU18Kの代わりに不正ECU20Aが接続されている時には、ジョイントコネクタ16に対してセントラルゲートウェイ11が遮断指示を送信する。これにより、ジョイントコネクタ16内のスイッチ22がオフに切り替わり、幹線12が途中で切断されるためそれ以降のジョイントコネクタ16下流側の通信が遮断される。
次のS16で、セントラルゲートウェイ11は、マップ保持部50上での選択をルーティングマップ51からルーティングマップ52に切り替えるようにその内容を書き換える。ルーティングマップ52の内容は、利用可能な通信経路の中から、不正ECU20Aを検知したノード位置の通信経路を全て排除した内容に定められている。したがって、不正ECU20Aを通信システム100から確実に切り離すことができる。
更に、不正ECU20Aが接続されている異常な状況を運転者に報知するために、セントラルゲートウェイ11は、マップ保持部50上での選択をルーティングマップ52に切り替える。そして、S17ではセントラルゲートウェイ11は、ルーティングマップ52の内容に従い、不正ECU20Aが存在することを運転者に報知すると共に、車両の運転を開始しないように要請するための注意喚起を、例えば音声出力や画面上に表示するメッセージ等で実施する。これにより、異常な状態での車両の走行を中止できるので安全を確保できる。
<定期的に実行される動作>
第1実施形態の通信システム100においてセントラルゲートウェイ11が定期的に実施する動作の例を図5に示す。
第1実施形態の通信システム100においてセントラルゲートウェイ11が定期的に実施する動作の例を図5に示す。
すなわち、車載システムである通信システム100が起動して車両が走行可能な状況になった後、車両の走行中であっても、車両及び乗員の安全を確保するために診断動作を周期的に実施する必要がある。その診断動作の一部として、図5の動作もセントラルゲートウェイ11により周期的に繰り返し実行される。
なお、図5の動作を実行する時間間隔については、例えばミリ秒程度が想定される。また、この時間間隔は必ずしも一定である必要はなく、例えばなりすましECU20B側でそのタイミングを把握されないように時間間隔を例えばランダムに変更してもよい。
図5に示した動作はなりすましECU20Bを検知するために実行される。すなわち、なりすましECU20Bは車両の仕様を考慮して製造されるので、正規のECUに似た動作を行い、正規のECUと同じIDを使用する。そのため、なりすましECU20Bを図4に示した動作の診断によりシステム起動後の早い段階で発見するのは困難である。しかし、なりすましECU20Bは車両の走行中などの任意のタイミングにおいて、正規のECUとは大きく異なる動作を行うので、その動作を周期的に監視することで、セントラルゲートウェイ11はなりすましECU20Bが、なりすましであることを認識可能である。図5の動作について以下に説明する。
セントラルゲートウェイ11は、一定時間が経過する毎に、図5のステップS21からS22に進み以下の診断動作を実行する。
セントラルゲートウェイ11は、S22において、マップ保持部50上で選択しているルーティングマップ51に基づき、通信システム100に接続されているECU18A〜18Lの各ノード位置における通信動作を監視して、通信状況を表す情報をID毎に個別に取得する。
セントラルゲートウェイ11は、S22において、マップ保持部50上で選択しているルーティングマップ51に基づき、通信システム100に接続されているECU18A〜18Lの各ノード位置における通信動作を監視して、通信状況を表す情報をID毎に個別に取得する。
セントラルゲートウェイ11は、S22で取得した各ECUの通信状況を、ルーティングマップ51に予め登録されている「標準状態の情報」と個別に対比する。「標準状態の情報」の内容の代表例としては、例えば、信号毎の送出元のバスと宛先のバスとの対応関係、各ノードのECUが送出する信号の発生頻度、発生周期、情報量の違いなどが想定される。信号毎の送出元のバスと宛先のバスとの対応関係は、ビットアサイン表としてルーティングマップ51上に用意されている。
例えば、なりすましECU20Bが車載システムの機能を麻痺させるために攻撃を仕掛けるような場合には、特定のバスに対して大量に信号を送出するような異常な動作を行うことが想定される。その場合、なりすましECU20Bによってバスが占有され、特に優先順位の低い他のECUがバスを使えなくなるため、車載システムの機能が大幅に低下したり機能不全に陥る可能性がある。
また、なりすましECU20Bが情報の収集を目的として動作する場合には、通常とは異なる様々な経路を使って、様々な情報に対するアクセスを繰り返す可能性があり、更に通常は使用しない通信経路を利用して車両外部に情報を送信する可能性もある。
上記のようななりすましECU20Bによる異常な動作は、正規の各ECUの標準的な動作とはパターンが大きく異なっている。そのため、S22で取得した実際の通信状況と、ルーティングマップ51上の「標準状態の情報」との間に大きな隔たりがある場合には、S23の比較処理の結果としてなりすましECU20Bの存在を検知できる。
セントラルゲートウェイ11は、S23の比較により異常な通信状況を検知した場合は、S24からS25に進み、該当するノードに接続されているなりすましECU20Bを、なりすましとして認識する。なりすましECU20Bを検知しない場合は、S24からS29に進み、セントラルゲートウェイ11は通常の動作を継続する。
次のS26では、セントラルゲートウェイ11は、検知されたなりすましECU20Bの接続位置をルーティングマップ51の内容から把握すると共に、その上流近傍にあるジョイントコネクタ14〜17のいずれかに対して、通信の遮断指示を送信する。
例えば、図1の通信システム100において、ジョイントコネクタ17の下流側で正規のECU18Iの代わりになりすましECU20Bが接続されている時には、ジョイントコネクタ17に対してセントラルゲートウェイ11が遮断指示を送信する。これにより、ジョイントコネクタ17内のスイッチ22がオフに切り替わり、幹線13が途中で切断されるためそれ以降のジョイントコネクタ17下流側の通信が遮断される。
次のS27で、セントラルゲートウェイ11は、マップ保持部50上での選択をルーティングマップ51からルーティングマップ54に切り替えるようにその内容を書き換える。ルーティングマップ54の内容は、利用可能な通信経路の中から、なりすましECU20Bを検知したノード位置の通信経路を全て排除した内容に定められている。したがって、なりすましECU20Bを通信システム100から確実に切り離すことができる。
更に、なりすましECU20Bが接続されている異常な状況を運転者に報知して、運転中の安全を確保する。そのために、セントラルゲートウェイ11はマップ保持部50上での選択をルーティングマップ55に切り替える。そして、S28ではセントラルゲートウェイ11はルーティングマップ55の内容に従い、なりすましECU20Bが存在することを運転者に報知すると共に、安全な場所で自車両を停止させるように要請するための注意喚起を、例えば音声出力や画面上に表示するメッセージ等で実施する。これにより、異常な状態での車両の走行を最小限にとどめることが可能になり、安全を確保できる。
セントラルゲートウェイ11が図5に示した動作を繰り返し実行することにより、なりすましECU20Bが任意のタイミングで攻撃を仕掛ける場合でも、その異常を確実に検知可能である。
また、なりすましECU20Bにおける異常な動作パターンを検知するための「標準状態の情報」はECU18A〜18Lのそれぞれの特性に基づいて個別に決めた情報をECUの種類毎にルーティングマップ51に登録できるので、なりすましECU20Bを高精度で検知できる。
<第2実施形態>
<通信システムの構成>
図6(a)及び図6(b)は、それぞれ車両上に搭載した第2実施形態に係る通信システム100Bの構成及び通信経路を表すブロック図である。なお、図6(a)及び図6(b)において、各構成要素は車体を上方から視た状態の平面におけるレイアウトと略同じになるように配置してある。
<通信システムの構成>
図6(a)及び図6(b)は、それぞれ車両上に搭載した第2実施形態に係る通信システム100Bの構成及び通信経路を表すブロック図である。なお、図6(a)及び図6(b)において、各構成要素は車体を上方から視た状態の平面におけるレイアウトと略同じになるように配置してある。
また、図6(a)及び図6(b)において、左側が車体10の前方、右側が車体10の後方を表している。また、4つのドア10a、10b、10c、および10dが車体10の左右に配置されている。
図6(a)に示すように、車体10上の様々な箇所に、電装品である様々な種類のECU18が設置されている。各ECU18は、それぞれCAN規格の通信機能、及びマイクロコンピュータを主体とする制御回路を内蔵する電子制御ユニットとして構成されている。各ECU18は、それぞれ所定の機能を有している。各ECU18は、通信システム100Bを経由して有線で通信することができる。
図6(a)の通信システム100Bにおいては、設計上、車体10内の領域が中央付近で左右方向に分割され、2つのゾーンを形成している。そして、右側のゾーンを管理するためにゾーン制御部31が設置され、左側のゾーンを管理するためにゾーン制御部32が設置されている。セントラルゲートウェイ11Aは車両全体を管理するので、管理上、ゾーン制御部31、32よりも上位の権限を有し、2つのゾーンの両方を管理している。
セントラルゲートウェイ11A及びゾーン制御部31、32は、それぞれ通信経路を制御するゲートウェイ(G/W)の機能を有し、それぞれがルーティングマップを備えている。セントラルゲートウェイ11Aは、車体10上の通信系で最も上位に位置する権限を有する制御部であり、ファイアウォールなどセキュリティに関する特別な機能や、システムの状態を運転者に伝達するための機能も内蔵している。
セントラルゲートウェイ11Aと右側ゾーンのゾーン制御部31との間は幹線12Aで接続され、セントラルゲートウェイ11Aと左側ゾーンのゾーン制御部32との間は幹線13Aで接続されている。
2系統の幹線12A及び13Aは、それぞれCANの通信規格に対応した通信用の伝送路であり、例えば2本の通信線、電源線、及びアース線により構成される。勿論、電源線、及びアース線は別体として用意してもよい。また、CANと同様のバス型のネットワークを利用するCAN FD(Flexible Data rate)など他の通信規格をCANの代わりに採用してもよい。また、各ゾーンの上位に位置するセントラルゲートウェイ11Aと2つのゾーン制御部31、32の間を接続する幹線12A、13Aについては、例えばイーサネット(登録商標)など他の規格の伝送路に変更してもよい。
右側のゾーン内には、ゾーン制御部31の他に、ジョイントコネクタ14A、14B、及び14Cが配置されている。ゾーン制御部31とジョイントコネクタ14Aとの間は幹線33で接続されている。また、ゾーン制御部31とジョイントコネクタ14Bとの間は幹線34で接続され、ジョイントコネクタ14B、14Cの間は幹線35で接続されている。幹線33、34、及び35は、それぞれ幹線12Aと同様にCANの通信規格に対応した通信用の伝送路であり、例えば2本の通信線、電源線、及びアース線により構成されている。
左側のゾーン内には、ゾーン制御部32の他に、ジョイントコネクタ15A、15B、及び15Cが配置されている。ゾーン制御部32とジョイントコネクタ15Aとの間は幹線36で接続されている。また、ゾーン制御部32とジョイントコネクタ15Bとの間は幹線37で接続され、ジョイントコネクタ15B、15Cの間は幹線38で接続されている。幹線36、37、及び38は、それぞれ幹線13Aと同様にCANの通信規格に対応した通信用の伝送路であり、例えば2本の通信線、電源線、及びアース線により構成されている。
ゾーン制御部31、32、ジョイントコネクタ14A〜14C、及び15A〜15Cのそれぞれの箇所の幹線から分岐する状態で複数の枝線19がそれぞれ接続されている。各枝線19の末端に各ECU18が接続されている。
図6(a)に示した例では、右側ゾーンのジョイントコネクタ14Aの下流側に接続される正規のECU18Kの代わりに不正ECU20Aが接続される場合を想定している。また、左側ゾーンのジョイントコネクタ15Aの下流側に接続される正規のECU18Iの代わりになりすましECU20Bが接続される場合を想定している。
図6(a)に示した通信システム100Bにおいては、右側ゾーンに接続される不正ECU20A、及びなりすましECU20Bを検出する機能が右側ゾーンのゲートウェイであるゾーン制御部31に備わっている。また、左側ゾーンに接続される不正ECU20A、及びなりすましECU20Bを検出する機能が左側ゾーンのゲートウェイであるゾーン制御部32に備わっている。
図示しないが、セントラルゲートウェイ11、ゾーン制御部31、及び32のそれぞれは、CANの規格に対応した複数の通信インタフェース、ルーティングマップ、及びマイクロコンピュータを主体とする制御回路を有している。
各ジョイントコネクタ14A〜14C、及び15A〜15Cは、各ECU18等の電装品を接続するための枝線19と各幹線33〜38とを物理的及び電気的に連結するための中間部品である。また、本実施形態の通信システム100Bにおいては、各ジョイントコネクタ14A〜14C、及び15A〜15Cは、図2の例と同様に、その下流側の通信を遮断するための機能として、遮断指示受信部21及びスイッチ22を内蔵している。
特別な問題が発生していない通常の状態では、例えば図6(b)に示すような各通信経路25、26を利用して通信することができる。例えば、セントラルゲートウェイ11Aと右側ゾーンの幹線33の末端に接続されているECU18Kとの間で通信する場合は、セントラルゲートウェイ11Aから、幹線12A、ゾーン制御部31、幹線33、ジョイントコネクタ14Aを経由する通信経路25を利用して通信する。
また、セントラルゲートウェイ11Aと右側ゾーンの幹線35の末端に接続されているECU18Iとの間で通信する場合は、セントラルゲートウェイ11Aから、幹線12A、ゾーン制御部31、幹線34、ジョイントコネクタ14B、幹線35、及びジョイントコネクタ14Cを経由する通信経路26を利用して通信する。
このような利用可能な通信経路の情報は、通常は予め決定してセントラルゲートウェイ11上のルーティングマップ、及び各ゾーン制御部31、32上のルーティングマップに予め登録してあるので、通信を開始する時にセントラルゲートウェイ11、及び各ゾーン制御部31、32がすぐに通信経路を決めることができる。
例えば、右側のゾーン制御部31上のルーティングマップに割り当てられる内容は、ゾーン制御部31、又はその下流側の1つ以上のジョイントコネクタ14A〜14C、枝線19等を経由して各々のECU18等に到達するまでの通信経路を表す情報を含み、通信するノード毎に個別に経路が割り当てられる。
<イグニッションオン時の動作>
第2実施形態の通信システム100Bにおけるイグニッションオン時の各ゾーン制御部31、32の動作例を図7に示す。すなわち、車両を利用するためにイグニッションをオンにしてこの車載システムを起動する際に、車両を使用する前の診断機能の一部として、図7の動作が各ゾーン制御部31、32により1回だけ実行される。
第2実施形態の通信システム100Bにおけるイグニッションオン時の各ゾーン制御部31、32の動作例を図7に示す。すなわち、車両を利用するためにイグニッションをオンにしてこの車載システムを起動する際に、車両を使用する前の診断機能の一部として、図7の動作が各ゾーン制御部31、32により1回だけ実行される。
なお、図7において、図4中の動作と同等の処理ステップについては同一の番号を付けて示してある。右側ゾーンのゾーン制御部31が図7に示した動作を実行する場合について、以下に説明する。
最初のステップS11では、ゾーン制御部31は、マップ保持部50A上の選択しているルーティングマップ51Aの内容に従って、この通信システム100Bのジョイントコネクタ14A〜14C下流側に接続されている各ECU18との間でそれぞれCANの通信を実行する。これにより、各ECU18のそれぞれに割り当てられている固有のIDをゾーン制御部31が取得する。
次のS12では、セントラルゲートウェイ11は、ルーティングマップ51A上にあるノード毎の予め定めたIDと、S11で受信したIDとをECU毎に比較する。ここで、正規のECU18、18K、18Iだけが通信システム100Bに接続されている場合には、S12の比較結果が一致するが、車両の設計仕様を把握していない不正ECU20Aが存在する場合には、S12でIDの不一致等が発生する。
ゾーン制御部31は、IDの不一致を検知するとS13からS14の処理に進み、IDの不一致が検知されない場合は、S18に進んで通常の動作を開始する。
S14では、ゾーン制御部31はIDの不一致が検知された特定ノード位置のECUを不正ECU20Aとして認識する。
S14では、ゾーン制御部31はIDの不一致が検知された特定ノード位置のECUを不正ECU20Aとして認識する。
次のS15では、ゾーン制御部31は、検知された不正ECU20Aの接続位置をルーティングマップ51Aの内容から把握すると共に、その上流近傍にあるジョイントコネクタ14A〜14Cのいずれかに対して、通信の遮断指示を送信する。
例えば、図6(b)に示した通信システム100Bにおいて、ジョイントコネクタ14Aの下流側で正規のECU18Kの代わりに不正ECU20Aが接続されている時には、ジョイントコネクタ14Aに対してゾーン制御部31が遮断指示を送信する。これにより、ジョイントコネクタ14A内のスイッチ22がオフに切り替わり、幹線33が途中で切断されるためそれ以降はジョイントコネクタ14A下流側の通信が遮断される。
次のS16で、ゾーン制御部31は、マップ保持部50上Aでの選択をルーティングマップ51Aからルーティングマップ52Aに切り替えるようにその内容を書き換える。ルーティングマップ52Aの内容は、利用可能な通信経路の中から、不正ECU20Aを検知したノード位置の通信経路を全て排除した内容に定められている。したがって、不正ECU20Aを通信システム100Bから確実に切り離すことができる。
更に、次のS17Bでゾーン制御部31は、不正ECU20Aが接続されている異常な状況を表す情報をそれよりも上位のセントラルゲートウェイ11Aに対して通知する。
セントラルゲートウェイ11Aは、ゾーン制御部31からの通知の受信により不正ECU20Aの存在及びそのノード位置を把握した後、その状況を運転者に報知するために、セントラルゲートウェイ11AはS31でマップ保持部50上での選択をルーティングマップ52に切り替える。そして、S31ではセントラルゲートウェイ11Aはルーティングマップ52の内容に従い、不正ECU20Aが存在することを運転者に報知すると共に、車両の運転を開始しないように要請するための注意喚起を、例えば音声出力や画面上に表示するメッセージ等で実施する。これにより、異常な状態での車両の走行を中止できるので安全を確保できる。
<定期的に実行される動作>
第2実施形態の通信システム100Bにおいて各ゾーン制御部31、32が定期的に実施する動作の例を図8に示す。
第2実施形態の通信システム100Bにおいて各ゾーン制御部31、32が定期的に実施する動作の例を図8に示す。
すなわち、車載システムである通信システム100Bが起動して車両が走行可能な状況になった後、車両の走行中であっても、車両及び乗員の安全を確保するために診断動作を定期的に実施する必要がある。その診断動作の一部として、図8の動作も各ゾーン制御部31、32により定期的に繰り返し実行される。
なお、図8において、図5中の動作と同等の処理ステップについては同一の番号を付けて示してある。右側ゾーンのゾーン制御部31が図8に示した動作を実行する場合について、以下に説明する。
図8に示した動作はなりすましECU20Bを検知するために実行される。すなわち、なりすましECU20Bは車両の仕様を考慮して製造されるので、正規のECUに似た動作を行い、正規のECUと同じIDを使用する。そのため、なりすましECU20Bを図7に示した動作の診断によりシステム起動後の早い段階で発見するのは困難である。しかし、なりすましECU20Bは車両の走行中などの任意のタイミングにおいて、正規のECU18、18K、18Iとは大きく異なる動作を行うので、その動作を定期的に監視することで、ゾーン制御部31はなりすましECU20Bが、なりすましであることを認識可能である。
ゾーン制御部31は、一定時間が経過する毎に、図8のステップS21からS22に進み以下の診断動作を実行する。
ゾーン制御部31は、S22において、マップ保持部50A上で選択しているルーティングマップ51Aに基づき、通信システム100Bの右側ゾーンに接続されている各ECU18、18K、18Iの各ノード位置における通信動作を監視して、通信状況を表す情報をID毎に個別に取得する。
ゾーン制御部31は、S22において、マップ保持部50A上で選択しているルーティングマップ51Aに基づき、通信システム100Bの右側ゾーンに接続されている各ECU18、18K、18Iの各ノード位置における通信動作を監視して、通信状況を表す情報をID毎に個別に取得する。
ゾーン制御部31は、S22で取得した各ECUの通信状況を、ルーティングマップ51に予め登録されている「標準状態の情報」と個別に対比する。「標準状態の情報」の内容の代表例としては、例えば、信号毎の送出元のバスと宛先のバスとの対応関係、各ノードのECUが送出する信号の発生頻度、発生周期、情報量の違いなどが想定される。信号毎の送出元のバスと宛先のバスとの対応関係は、ビットアサイン表としてルーティングマップ51A上に用意されている。
例えば、なりすましECU20Bが車載システムの機能を麻痺させるために攻撃を仕掛けるような場合には、特定のバスに対して大量に信号を送出するような異常な動作を行うことが想定される。その場合、なりすましECU20Bによってバスが占有され、特に優先順位の低い他のECUがバスを使えなくなるため、車載システムの機能が大幅に低下したり機能不全に陥る可能性がある。
また、なりすましECU20Bが情報の収集を目的として動作する場合には、通常とは異なる様々な経路を使って、様々な情報に対するアクセスを繰り返す可能性があり、更に通常は使用しない通信経路を利用して車両外部に情報を送信する可能性もある。
上記のようななりすましECU20Bによる異常な動作は、正規の各ECU18、18K、18Iの標準的な動作とはパターンが大きく異なっている。そのため、S22で取得した実際の通信状況と、ルーティングマップ51A上の「標準状態の情報」との間に大きな隔たりがある場合には、S23の比較処理の結果としてなりすましECU20Bの存在を検知できる。
ゾーン制御部31は、S23の比較により異常な通信状況を検知した場合は、S24からS25に進み、該当するノードに接続されているなりすましECU20Bを、なりすましとして認識する。なりすましECU20Bを検知しない場合は、S24からS29に進み、ゾーン制御部31は通常の動作を継続する。
次のS26では、ゾーン制御部31は検知されたなりすましECU20Bの接続位置をルーティングマップ51Aの内容から把握すると共に、その上流近傍にあるジョイントコネクタ14A〜14Cのいずれかに対して、通信の遮断指示を送信する。
例えば、図6(b)に示した通信システム100Bにおいて、ジョイントコネクタ14Cの下流側で正規のECU18Iの代わりになりすましECU20Bが接続されている時には、ジョイントコネクタ14Cに対してゾーン制御部31が遮断指示を送信する。これにより、ジョイントコネクタ14C内のスイッチ22がオフに切り替わり、幹線35が途中で切断されるためそれ以降はジョイントコネクタ14C下流側の通信が遮断される。
次のS27で、ゾーン制御部31は、マップ保持部50A上での選択をルーティングマップ51Aからルーティングマップ54Aに切り替えるようにその内容を書き換える。ルーティングマップ54Aの内容は、利用可能な通信経路の中から、なりすましECU20Bを検知したノード位置の通信経路を全て排除した内容に定められている。したがって、なりすましECU20Bを通信システム100Bから確実に切り離すことができる。
更に、なりすましECU20Bが接続されている異常な状況を、ゾーン制御部31がそれより上位のセントラルゲートウェイ11Aに対してS28Bで通知する。
セントラルゲートウェイ11Aは、ゾーン制御部31からの通知によりなりすましECU20Bの存在及びそのノード位置を把握した後、その状況をS32で運転者に報知して運転中の安全を確保する。そのために、セントラルゲートウェイ11Aはマップ保持部50上での選択をルーティングマップ55に切り替える。そして、S32ではセントラルゲートウェイ11Aはルーティングマップ55の内容に従い、なりすましECU20Bが存在することを運転者に報知すると共に、安全な場所で自車両を停止させるように要請するための注意喚起を、例えば音声出力や画面上に表示するメッセージ等で実施する。これにより、異常な状態での車両の走行を最小限にとどめることが可能になり、安全を確保できる。
ゾーン制御部31が図8に示した動作を繰り返し実行することにより、なりすましECU20Bが任意のタイミングで攻撃を仕掛ける場合でも、その異常を確実に検知可能である。
また、なりすましECU20Bにおける異常な動作パターンを検知するための「標準状態の情報」はECU18、18K、18Iのそれぞれの特性に基づいて個別に決めた情報をECUの種類毎にルーティングマップ51Aに登録できるので、なりすましECU20Bを高精度で検知できる。
なお、図6(a)、図6(b)に示した通信システム100Bにおいて、実際にはなりすましECU20Bが接続されているにもかかわらず、ゾーン制御部31がなりすましECU20Bを検知できない可能性もあり、更にゾーン制御部31自身がなりすましECU20Bに交換される可能性も考えられる。
上記のような場合には、例えば右側ゾーンが正常であるとゾーン制御部31がセントラルゲートウェイ11Aに通知した場合であっても、最上位のセントラルゲートウェイ11Aが車両全体のゾーンについて図5と同様の診断動作を実施する。そして、ゾーン制御部31における不正な動作をセントラルゲートウェイ11Aが検知した場合には、ゾーン制御部31を通信網から切り離し、セントラルゲートウェイ11Aがゾーン制御部31の機能を代行するように動作する。但し、その場合でも、セントラルゲートウェイ11Aは最初に下流側の末端のジョイントコネクタ14A、14Cから1つずつ順番に遮断を実行し、それらを遮断しても異常な動作が止まらない場合に、最終的にゾーン制御部31の動作を停止してそれを切り離すように制御する。
<第3実施形態>
<通信システムの構成>
車両上に搭載した第3実施形態の通信システム100Cの構成及び通信経路を図9(a)及び図9(b)にそれぞれ示す。なお、図9(a)及び図9(b)において、各構成要素は車体を上方から視た状態の平面におけるレイアウトと略同じになるように配置してある。
<通信システムの構成>
車両上に搭載した第3実施形態の通信システム100Cの構成及び通信経路を図9(a)及び図9(b)にそれぞれ示す。なお、図9(a)及び図9(b)において、各構成要素は車体を上方から視た状態の平面におけるレイアウトと略同じになるように配置してある。
また、図9(a)及び図9(b)において、左側が車体10の前方、右側が車体10の後方を表している。また、4つのドア10a、10b、10c、および10dが車体10の左右に配置されている。
図9(a)に示すように、車体10上の様々な箇所に、電装品である様々な種類のECU18、18K、18Iが設置されている。本実施形態における各ECU18、18K、18Iは、それぞれイーサネット(登録商標)規格の通信機能、及びマイクロコンピュータを主体とする制御回路を内蔵する電子制御ユニットとして構成されている。各ECU18は、それぞれ所定の機能を有している。各ECU18、18K、18Iは、通信システム100Cを経由して有線で通信することができる。
図9(a)に示した通信システム100Cにおいては、車体10上の5箇所に分散した状態でスイッチングハブ41、42、43、44、及び45が設置されている。また、この車両上のシステム管理上で最上位の管理権限を有するセントラルゲートウェイ11Bが、車体10の中央部前寄りの箇所に設置されている。
各スイッチングハブ41〜45は、イーサネットの伝送路上で通信経路を制御する機能を有し、その制御に必要なルーティングマップも保持している。セントラルゲートウェイ11Bも同様である。また、セントラルゲートウェイ11Bは、更にファイアウォールなどセキュリティに関する特別な機能や、システムの状態を運転者に伝達するための機能も内蔵している。
セントラルゲートウェイ11Bとスイッチングハブ41との間は幹線61の伝送路により接続されている。また、スイッチングハブ41、42の間は幹線62で接続され、スイッチングハブ41、43の間は幹線63で接続され、スイッチングハブ42、44の間は幹線64で接続され、スイッチングハブ43、45の間は幹線65で接続され、スイッチングハブ44、45の間は幹線66でそれぞれ接続されている。
各幹線61〜66は、全てイーサネット規格に対応した伝送路である。なお、図9(b)中においては、図9(a)中のセントラルゲートウェイ11B及びスイッチングハブ41の両方の機能を一体化した状況を表している。このような構成に変更してもよい。
特別な問題が発生していない通常の状態では、例えば図9(b)に示すような各通信経路27、28を利用して通信することができる。例えば、セントラルゲートウェイ11Bとスイッチングハブ44下流側に接続されているECU18Kとの間で通信する場合は、セントラルゲートウェイ11Bから、幹線62、スイッチングハブ42、幹線64、スイッチングハブ44を経由する通信経路27を利用して通信する。
また、セントラルゲートウェイ11Bとスイッチングハブ45の下流側に接続されているECU18Iとの間で通信する場合は、セントラルゲートウェイ11Bから、幹線63、スイッチングハブ43、幹線65、スイッチングハブ45を経由する通信経路28を利用して通信する。
このような利用可能な通信経路の情報は、通常は予め決定してセントラルゲートウェイ11B上のルーティングマップ、及び各スイッチングハブ41〜45上のルーティングマップに予め登録してある。したがって、通信を開始する時にセントラルゲートウェイ11B、及び各スイッチングハブ41〜45がすぐに通信経路を決めることができる。
各スイッチングハブ41〜45は、一般的な機能として、出力側の経路が複数存在する場合に、中継する各信号の発信元、宛先などの情報に基づき選択した特定の経路だけに選択的に信号を送出することができる。
各ルーティングマップに割り当てられる内容は、各信号の発信元毎に、及び各信号の種類毎に、発信元、宛先、中継点などの経路上の各ノードを表すIP(Internet Protocol)アドレス、ポート番号、各ノードのIDなどを含み、更に不正ECU20Aや、なりすましECU20Bを検知するために必要な情報も含まれている。
図9(a)及び図9(b)に示した通信システム100Cにおいては、スイッチングハブ44の下流側に枝線19を介して接続される正規のECU18Kの代わりとして不正ECU20Aが接続される場合を想定している。また、スイッチングハブ45の下流側に枝線19を介して接続される正規のECU18Iの代わりとしてなりすましECU20Bが接続される場合を想定している。
<各部の動作>
図9(a)及び図9(b)に示した通信システム100Cにおいては、既に説明した図7の動作のうちステップS11〜S18の処理と同等の動作を、スイッチングハブ41〜45のそれぞれに内蔵された制御部がイグニッションオン時に実行する。また、図9(a)及び図9(b)に示した通信システム100Cにおいては、既に説明した図8の動作のうちステップS21〜S29の処理と同等の動作を、スイッチングハブ41〜45のそれぞれに内蔵された制御部がシステム起動後に定期的に繰り返し実行する。
図9(a)及び図9(b)に示した通信システム100Cにおいては、既に説明した図7の動作のうちステップS11〜S18の処理と同等の動作を、スイッチングハブ41〜45のそれぞれに内蔵された制御部がイグニッションオン時に実行する。また、図9(a)及び図9(b)に示した通信システム100Cにおいては、既に説明した図8の動作のうちステップS21〜S29の処理と同等の動作を、スイッチングハブ41〜45のそれぞれに内蔵された制御部がシステム起動後に定期的に繰り返し実行する。
また、図7、図8の動作を実行する際に、スイッチングハブ41〜45のそれぞれは、それ自身に内蔵されているマップ保持部50Aが保持しているルーティングマップを使用し、その内容を例えば図3(a)及び図3(b)に示されているように必要に応じて順次に書き換える。
したがって、例えば図9(a)及び図9(b)のようにスイッチングハブ44の下流側の1つのポートに枝線19を介して接続されるECU18Kの代わりに不正ECU20Aが存在する場合には、スイッチングハブ44がスイッチングハブ44上のルーティングマップを用いて図7の動作を実行する際に、IDの不一致により不正ECU20Aが認識される。この場合、スイッチングハブ44は少なくとも下流側の不正ECU20Aが検知されたポートを使えないように切り離すと共に、不正ECU20Aを通信から除外するように自身の管理しているルーティングマップを書き換える。更に、不正ECU20Aの存在及びそのノード位置の情報を、スイッチングハブ44が通信経路27等を利用してセントラルゲートウェイ11Bに通知する。
また、例えば図9(a)及び図9(b)のようにスイッチングハブ45の下流側の1つのポートに枝線19を介して接続されるECU18Iの代わりになりすましECU20Bが存在する場合には、スイッチングハブ45がスイッチングハブ45上のルーティングマップを用いて図8の動作を実行する際に、標準的な動作パターンからかけ離れた動作が検知され、なりすましECU20Bが認識される。この場合、スイッチングハブ45は少なくとも下流側のなりすましECU20Bが検知されたポートを使えないように切り離すと共に、なりすましECU20Bを通信から除外するように自身の管理しているルーティングマップを書き換える。更に、なりすましECU20Bの存在及びそのノード位置の情報を、スイッチングハブ45が通信経路28等を利用してセントラルゲートウェイ11Bに通知する。
したがって、図9(a)及び図9(b)に示したセントラルゲートウェイ11Bは、既に説明した第2実施形態と同様に、図7のステップS31又は図8のステップS32で、不正ECU20A又はなりすましECU20Bの存在を把握し、自車両の安全を確保するように運転者に報知する。
<各実施形態の通信システムの利点>
一般的なスイッチングハブやゲートウェイなどの装置は改ざん検知機能を有しているが、そのような一般的な機能だけでは検知には限界がある。特に、車載システムの場合には、不正ECU20AやなりすましECU20Bの検知が困難であったり、それを検知するために診断用の特別なECUを追加したり、特別なECUを設置する数や場所を適切に決める必要がある。しかし、上述の通信システム100A、100B、100Cのいずれにおいても、ルーティングマップを利用して診断するので、特別なECUを追加することなく、不正ECU20A及びなりすましECU20Bを検知して車両の安全を確保できる。
一般的なスイッチングハブやゲートウェイなどの装置は改ざん検知機能を有しているが、そのような一般的な機能だけでは検知には限界がある。特に、車載システムの場合には、不正ECU20AやなりすましECU20Bの検知が困難であったり、それを検知するために診断用の特別なECUを追加したり、特別なECUを設置する数や場所を適切に決める必要がある。しかし、上述の通信システム100A、100B、100Cのいずれにおいても、ルーティングマップを利用して診断するので、特別なECUを追加することなく、不正ECU20A及びなりすましECU20Bを検知して車両の安全を確保できる。
なお、各ECU18A〜18L等にそれぞれ割り当てるIDについては事前に定めた固定IDの他に、セントラルゲートウェイ11がそれぞれ動的に割り当てたIDを利用することも考えられる。但し、その場合のID割り当ては、不正ECU20A、なりすましECU20B等が存在しない安全な状態であることを認識しているときに限定することが必要になる。
ここで、上述した本発明の実施形態に係る車載通信システム及び通信制御方法の特徴をそれぞれ以下[1]〜[5]に簡潔に纏めて列記する。
[1] 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイ(セントラルゲートウェイ11、ゾーン制御部31、32、又はスイッチングハブ41〜45)を具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部(ジョイントコネクタ14〜17等)を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニット(ECU18A〜18L)が接続される車載通信システムであって、
下流側の通信を遮断可能な通信遮断部(遮断指示受信部21、スイッチ22、又はスイッチングハブ41〜45)が前記分岐部に配置され、
前記ゲートウェイは、少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し(S11〜S17)、
前記ゲートウェイは、前記不正を検知した場合に、不正が検知された第1の制御ユニット(不正ECU20A)の上流側の前記分岐部(ジョイントコネクタ16等)でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップ(51)から、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップ(52)に切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
車載通信システム。
[1] 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイ(セントラルゲートウェイ11、ゾーン制御部31、32、又はスイッチングハブ41〜45)を具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部(ジョイントコネクタ14〜17等)を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニット(ECU18A〜18L)が接続される車載通信システムであって、
下流側の通信を遮断可能な通信遮断部(遮断指示受信部21、スイッチ22、又はスイッチングハブ41〜45)が前記分岐部に配置され、
前記ゲートウェイは、少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し(S11〜S17)、
前記ゲートウェイは、前記不正を検知した場合に、不正が検知された第1の制御ユニット(不正ECU20A)の上流側の前記分岐部(ジョイントコネクタ16等)でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップ(51)から、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップ(52)に切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
車載通信システム。
[2] 前記ゲートウェイは、前記第1のルーティングマップに基づいて、事前に登録されているIDとは異なる不正IDが割り当てられている制御ユニットを、前記第1の制御ユニットとして自動的に認識する(S11〜S17)、
請求項1に記載の車載通信システム。
請求項1に記載の車載通信システム。
[3] 前記ゲートウェイは、前記ルーティングマップに基づいて、前記分岐部の下流側に接続されている前記制御ユニットのそれぞれの通信状態を少なくとも定期的に監視し(S21〜S24)、
前記ゲートウェイは、通信状態が事前に定めた標準状態に対して大きく異なっている場合に、不正な動作又は攻撃を検知して、該当する前記制御ユニットをなりすましの不正な第2の制御ユニット(なりすましECU20B)として認識し(S25)、
前記ゲートウェイは、第2の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し(S26)、使用するルーティングマップを前記第2のルーティングマップ(51又は52)から、少なくとも前記第2の制御ユニットが通信対象から除外された第3のルーティングマップ(54)に切り替えることにより不正が検知された前記第2の制御ユニットを切り離す、
請求項1又は請求項2に記載の車載通信システム。
前記ゲートウェイは、通信状態が事前に定めた標準状態に対して大きく異なっている場合に、不正な動作又は攻撃を検知して、該当する前記制御ユニットをなりすましの不正な第2の制御ユニット(なりすましECU20B)として認識し(S25)、
前記ゲートウェイは、第2の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し(S26)、使用するルーティングマップを前記第2のルーティングマップ(51又は52)から、少なくとも前記第2の制御ユニットが通信対象から除外された第3のルーティングマップ(54)に切り替えることにより不正が検知された前記第2の制御ユニットを切り離す、
請求項1又は請求項2に記載の車載通信システム。
[4] 前記ゲートウェイは、前記分岐部の下流側に接続された1つ以上の前記制御ユニットの不正を検知した場合に、異常の発生を運転者に対して報知する報知部(S17,S28)を備える、
請求項1乃至請求項3のいずれか1項に記載の車載通信システム。
請求項1乃至請求項3のいずれか1項に記載の車載通信システム。
[5] 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムを制御するための通信制御方法であって、
少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施する(S11)と共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し(S12,S13)、
前記不正を検知した場合に、不正が検知された第1の制御ユニット(不正ECU20A)の上流側の前記分岐部でその下流側の通信を遮断し(S15)、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替える(S16)ことにより不正が検知された前記第1の制御ユニットを切り離す、
通信制御方法。
少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施する(S11)と共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し(S12,S13)、
前記不正を検知した場合に、不正が検知された第1の制御ユニット(不正ECU20A)の上流側の前記分岐部でその下流側の通信を遮断し(S15)、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替える(S16)ことにより不正が検知された前記第1の制御ユニットを切り離す、
通信制御方法。
10 車体
10a,10b,10c,10d ドア
11,11A,11B セントラルゲートウェイ
12,13 幹線
12A,12B 幹線
12a,13a 先端
14,15,16,17 ジョイントコネクタ
14A,14B,14C ジョイントコネクタ
15A,15B,15C ジョイントコネクタ
18,18A,18B,18C,18D,18E,18F,18G ECU
18H,18I,18J,18K,18L ECU
19 枝線
20A 不正ECU
20B なりすましECU
21 遮断指示受信部
22 スイッチ
23,24,25,26,27,28 通信経路
29 接続部
31,32 ゾーン制御部
33,34,35,36,37,38 幹線
41,42,43,44,45 スイッチングハブ
50,50A マップ保持部
51,52,53,54,55 ルーティングマップ
61,62,63,64,65,66 幹線
100,100B,100C 通信システム
10a,10b,10c,10d ドア
11,11A,11B セントラルゲートウェイ
12,13 幹線
12A,12B 幹線
12a,13a 先端
14,15,16,17 ジョイントコネクタ
14A,14B,14C ジョイントコネクタ
15A,15B,15C ジョイントコネクタ
18,18A,18B,18C,18D,18E,18F,18G ECU
18H,18I,18J,18K,18L ECU
19 枝線
20A 不正ECU
20B なりすましECU
21 遮断指示受信部
22 スイッチ
23,24,25,26,27,28 通信経路
29 接続部
31,32 ゾーン制御部
33,34,35,36,37,38 幹線
41,42,43,44,45 スイッチングハブ
50,50A マップ保持部
51,52,53,54,55 ルーティングマップ
61,62,63,64,65,66 幹線
100,100B,100C 通信システム
Claims (5)
- 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムであって、
下流側の通信を遮断可能な通信遮断部が前記分岐部に配置され、
前記ゲートウェイは、少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記ゲートウェイは、前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
車載通信システム。 - 前記ゲートウェイは、前記第1のルーティングマップに基づいて、事前に登録されているIDとは異なる不正IDが割り当てられている制御ユニットを、前記第1の制御ユニットとして自動的に認識する、
請求項1に記載の車載通信システム。 - 前記ゲートウェイは、前記ルーティングマップに基づいて、前記分岐部の下流側に接続されている前記制御ユニットのそれぞれの通信状態を少なくとも定期的に監視し、
前記ゲートウェイは、通信状態が事前に定めた標準状態に対して大きく異なっている場合に、不正な動作又は攻撃を検知して、該当する前記制御ユニットをなりすましの不正な第2の制御ユニットとして認識し、
前記ゲートウェイは、第2の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第2のルーティングマップから、少なくとも前記第2の制御ユニットが通信対象から除外された第3のルーティングマップに切り替えることにより不正が検知された前記第2の制御ユニットを切り離す、
請求項1又は請求項2に記載の車載通信システム。 - 前記ゲートウェイは、前記分岐部の下流側に接続された1つ以上の前記制御ユニットの不正を検知した場合に、異常の発生を運転者に対して報知する報知部を備える、
請求項1乃至請求項3のいずれか1項に記載の車載通信システム。 - 通信経路の制御に利用されるルーティングマップを有する1つ以上のゲートウェイを具備し、前記ゲートウェイの下流側に接続された通信線が複数の経路に分岐する1つ以上の分岐部を有し、前記分岐部の下流側の通信線のそれぞれに固有のIDを有する制御ユニットが接続される車載通信システムを制御するための通信制御方法であって、
少なくともシステム起動開始時に、第1のルーティングマップを用いて通信を実施すると共に、前記第1のルーティングマップに基づいて前記分岐部の下流側の通信線に接続された各制御ユニットにおける不正の有無を検知し、
前記不正を検知した場合に、不正が検知された第1の制御ユニットの上流側の前記分岐部でその下流側の通信を遮断し、使用するルーティングマップを前記第1のルーティングマップから、少なくとも前記第1の制御ユニットが通信対象から除外された第2のルーティングマップに切り替えることにより不正が検知された前記第1の制御ユニットを切り離す、
通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020060677A JP7420623B2 (ja) | 2020-03-30 | 2020-03-30 | 車載通信システム及び通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020060677A JP7420623B2 (ja) | 2020-03-30 | 2020-03-30 | 車載通信システム及び通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021163978A true JP2021163978A (ja) | 2021-10-11 |
| JP7420623B2 JP7420623B2 (ja) | 2024-01-23 |
Family
ID=78003753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020060677A Active JP7420623B2 (ja) | 2020-03-30 | 2020-03-30 | 車載通信システム及び通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7420623B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023157939A1 (ja) * | 2022-02-21 | 2023-08-24 | 矢崎総業株式会社 | 車載通信線接続装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6684690B2 (ja) | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| JP7020990B2 (ja) | 2017-07-19 | 2022-02-16 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載中継装置、中継方法及びプログラム |
| WO2019117184A1 (ja) | 2017-12-15 | 2019-06-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 |
-
2020
- 2020-03-30 JP JP2020060677A patent/JP7420623B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023157939A1 (ja) * | 2022-02-21 | 2023-08-24 | 矢崎総業株式会社 | 車載通信線接続装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7420623B2 (ja) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5522160B2 (ja) | 車両ネットワーク監視装置 | |
| CN105009546B (zh) | 信息处理装置和信息处理方法 | |
| US20210075800A1 (en) | Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers | |
| US9471770B2 (en) | Method and control unit for recognizing manipulations on a vehicle network | |
| US10044564B2 (en) | Connecting node for a communications network | |
| EP3866405A1 (en) | Communication system | |
| JP2008278403A (ja) | 監視装置及びネットワークシステムの監視方法 | |
| JP7420623B2 (ja) | 車載通信システム及び通信制御方法 | |
| JP6497656B2 (ja) | 通信方法およびそれを利用した通信装置 | |
| JP2004090787A (ja) | バス方式通信ネットワークにおける通信エラー検出方法 | |
| US11012453B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
| JP7439669B2 (ja) | ログ分析装置 | |
| JP6369334B2 (ja) | 車載ネットワーク | |
| JP7160103B2 (ja) | 車載通信システム、データ取得装置、管理装置および監視方法 | |
| CN113271243B (zh) | 通信系统 | |
| EP4072065B1 (en) | In-vehicle system for abnormality detection | |
| JP7405709B2 (ja) | 車両通信装置接続判定システム | |
| EP3809731A1 (en) | Advanced intrusion prevention manager | |
| WO2023157939A1 (ja) | 車載通信線接続装置 | |
| KR20240043982A (ko) | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 | |
| JPH1141266A (ja) | 多重通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230926 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240111 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7420623 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |