JP5720618B2 - Security equipment - Google Patents

Security equipment Download PDF

Info

Publication number
JP5720618B2
JP5720618B2 JP2012100012A JP2012100012A JP5720618B2 JP 5720618 B2 JP5720618 B2 JP 5720618B2 JP 2012100012 A JP2012100012 A JP 2012100012A JP 2012100012 A JP2012100012 A JP 2012100012A JP 5720618 B2 JP5720618 B2 JP 5720618B2
Authority
JP
Japan
Prior art keywords
switch
security device
connector
control circuit
communication line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012100012A
Other languages
Japanese (ja)
Other versions
JP2013118609A (en
Inventor
智哉 徳永
智哉 徳永
岸上 友久
友久 岸上
加来 芳史
芳史 加来
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2012100012A priority Critical patent/JP5720618B2/en
Publication of JP2013118609A publication Critical patent/JP2013118609A/en
Application granted granted Critical
Publication of JP5720618B2 publication Critical patent/JP5720618B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、車外装置を接続するコネクタを備えた車載通信システムに適用するセキュリティ装置に関する。   The present invention relates to a security device applied to an in-vehicle communication system having a connector for connecting an external device.

従来、車両では、電子制御化の進歩に伴い、エンジンやブレーキ等といった各種の車両構成品が電子部品を介して制御され、これら電子部品に接続された電子制御ユニット(ECU)の数も増加傾向にある。また、ECUは、相互間での連携動作や情報の共有化を可能とするために車載通信ネットワークを構築している。   Conventionally, in vehicles, various types of vehicle components such as engines and brakes are controlled via electronic parts as electronic control advances, and the number of electronic control units (ECUs) connected to these electronic parts is also increasing. It is in. In addition, the ECU constructs an in-vehicle communication network in order to enable mutual operation and information sharing between the ECUs.

ところで、車載通信システムには、ECUを介して車両の状態を診断したり、ECUのプログラムをバージョンアップしたりする際に、外部ツールを接続するためのコネクタが設けられている。   By the way, the in-vehicle communication system is provided with a connector for connecting an external tool when diagnosing the state of the vehicle via the ECU or upgrading the ECU program.

但し、このようなコネクタは、不正行為(例えば、ECUプログラムの不正な書き換えなど)に悪用される可能性がある。このような不正行為を阻止する方法の一つとして、コネクタに接続された外部ツールの認証を行うゲートウェイ装置を設置し、認証に成功すると外部ツールからのデータがゲートウェイ装置を介して車載通信システムに提供されるようにしたものが知られている(例えば、特許文献1参照。)。   However, such a connector may be abused for fraud (for example, unauthorized rewriting of an ECU program). As one method of preventing such fraud, a gateway device that authenticates an external tool connected to a connector is installed, and if authentication is successful, data from the external tool is transferred to the in-vehicle communication system via the gateway device. What was provided is known (for example, refer patent document 1).

特開2003−46536号公報JP 2003-46536 A

しかし、このようなゲートウェイ装置を実現するには、マイクロコンピュータ(マイコン)や通信トランシーバ、通信コントローラ、デコーダ、リングバッファ等が必要であり、部品点数の増加やコストアップ、重量増加に繋がってしまうという問題があった。   However, in order to realize such a gateway device, a microcomputer, a communication transceiver, a communication controller, a decoder, a ring buffer, and the like are necessary, which leads to an increase in the number of parts, an increase in cost, and an increase in weight. There was a problem.

また、このようなゲートウェイ装置を車載通信システムに追加すると、通信線路上での通信波形の歪みが増大し通信品質を劣化させてしまうおそれがあるという問題もあった。
本発明は、上記問題点を解決するために、車外装置接続用のコネクタを介した車載通信システムに対する不正行為を簡易な構成で阻止するセキュリティ装置を提供することを目的とする。 Moreover, when such a gateway device is added to the in-vehicle communication system, there is a problem that communication waveform distortion on the communication line increases and communication quality may be deteriorated.
SUMMARY OF THE INVENTION In order to solve the above problems, an object of the present invention is to provide a security device that prevents unauthorized actions on an in-vehicle communication system via a connector for connecting to an external device with a simple configuration.

上記目的を達成するためになされた本発明は、車両に構築された車載通信システムと、該車載通信システムに車外装置を接続するためのコネクタとの間に配置されるセキュリティ装置である。   The present invention made to achieve the above object is a security device disposed between an in-vehicle communication system built in a vehicle and a connector for connecting an external device to the in-vehicle communication system.

本発明のセキュリティ装置では、コネクタから前記車載通信システムに至る通信線路に、該通信線路を導通,遮断するスイッチが設けられており、制御回路は、コネクタを介して入力されるデータが、予め許可された許可情報を有している場合に通信線路を導通させ、予め設定された終了条件が成立した場合に通信線路を遮断するようにスイッチを制御する。   In the security device of the present invention, the communication line from the connector to the in-vehicle communication system is provided with a switch for connecting and disconnecting the communication line, and the control circuit permits the data input via the connector in advance. The switch is controlled so that the communication line is conducted when the permission information is set, and the communication line is cut off when a preset termination condition is satisfied.

このように本発明のセキュリティ装置は、許可情報を有していないデータが車載通信システムに提供されることを防止するセキュリティ機能を、マイコン,通信トランシーバ,通信コントローラ等を必要とせず、簡易な構成により実現することができる。   As described above, the security device according to the present invention has a simple configuration that does not require a microcomputer, a communication transceiver, a communication controller, or the like, as a security function for preventing data without permission information from being provided to the in-vehicle communication system. Can be realized.

また、通信線路には、スイッチが接続されるだけであるために、セキュリティ装置を接続することによって、車載通信システムでの通信波形の歪みを増大させてしまうこと、ひいては通信品質が劣化することを防止することができる。   In addition, since only a switch is connected to the communication line, connecting the security device increases the distortion of the communication waveform in the in-vehicle communication system, which in turn degrades the communication quality. Can be prevented.

本発明のセキュリティ装置において、制御回路は、許可情報を検出してからの経過時間が、予め設定された許容時間に達することを終了条件とするように構成されていてもよい。   In the security device of the present invention, the control circuit may be configured so that the elapsed time after detecting the permission information reaches a preset allowable time as an end condition.

つまり、許可情報を有するデータが一旦検出されると、その後、許容時間の間は、コネクタに接続された車外装置との通信を可能とすることができる。
この場合、制御回路は、更に、スイッチにより通信線路が導通している時に、許可情報が検出されると、経過時間の計時値をリセットするように構成されていてもよい。 That is, once data having permission information is detected, communication with an external device connected to the connector can be enabled thereafter for an allowable time.
In this case, the control circuit may be further configured to reset the elapsed time measurement value when the permission information is detected when the communication line is conducted by the switch.

これにより、許容時間内での許可情報を有したデータの送信を繰り返すことにより、車外装置との通信が許可された状態を、継続させることができる。
また、本発明のセキュリティ装置において、制御回路は、許可情報とは異なる終了情報を有したデータを検出することを終了条件とするように構成されていてもよい。 Thereby, the state in which the communication with the external device is permitted can be continued by repeating the transmission of the data having the permission information within the allowable time.
In the security device of the present invention, the control circuit may be configured to detect the data having end information different from the permission information as an end condition.

この場合、終了情報を有したデータは、車外装置側及び車載通信システム側のいずれから出力されたものであってもよい。例えば、車外装置との通信対象となるECUが予め決められた手順や回数のやり取りを終了した時点で、或いは、不正なデータを検出した時点で強制的にスイッチをオフすることができる。   In this case, the data having the end information may be output from either the external device side or the in-vehicle communication system side. For example, the switch can be forcibly turned off when the ECU to be communicated with the external device finishes exchanging a predetermined procedure or number of times, or when invalid data is detected.

ところで、本発明のセキュリティ装置において、スイッチは、通信線路の遮断時に、通信線路を物理的に切り離すタイプのものを使用してもよい。
この場合、コネクタを未使用の時には、コネクタと車載通信システムとは電気的に非導通の状態となるため、不注意によりコネクタを被水(ジュースをこぼす等)させてしまったり、金属片等を接触させてしまったりすることで、コネクタ4の端子間が短絡した場合でも、その影響が車載通信システム内での通信に及ぶことを防止することができる。 By the way, in the security device of the present invention, the switch may be of a type that physically disconnects the communication line when the communication line is interrupted.
In this case, when the connector is not used, the connector and the in-vehicle communication system are in an electrically non-conductive state, so the connector may be inadvertently covered with water (spilling juice, etc.) Even if the terminals of the connector 4 are short-circuited by being brought into contact with each other, it is possible to prevent the influence from affecting communication in the in-vehicle communication system.

車載通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of a vehicle-mounted communication system. 制御回路が実行する処理の内容を示すフローチャートである。It is a flowchart which shows the content of the process which a control circuit performs. 車載通信システムの動作例を示すタイミング図である。It is a timing diagram which shows the operation example of a vehicle-mounted communication system. 制御回路が実行する処理の内容を示すフローチャートである。It is a flowchart which shows the content of the process which a control circuit performs. 車載通信システムの動作例を示すタイミング図である。It is a timing diagram which shows the operation example of a vehicle-mounted communication system.

以下に本発明の実施形態を図面と共に説明する。
[第1実施形態]
<全体構成>
図1は、本発明が適用された車載通信システム1の構成を示すブロック図である。 Embodiments of the present invention will be described below with reference to the drawings.
[First Embodiment]
<Overall configuration>
FIG. 1 is a block diagram showing a configuration of an in-vehicle communication system 1 to which the present invention is applied.

車載通信システム1は、図1に示すように、車両の各部に設置された複数の電子制御ユニット(ECU)2と、ECU2を相互に接続する通信線路であるバス3と、ECU2を介して車両の状態を診断したり、ECU2のプログラムをバージョンアップしたりする外部ツール(車外装置)10を接続するためのコネクタ4と、コネクタ4をバス3に接続する通信線路に設けられたセキュリティ装置5とを備えている。   As shown in FIG. 1, the in-vehicle communication system 1 includes a plurality of electronic control units (ECUs) 2 installed in each part of the vehicle, a bus 3 that is a communication line connecting the ECUs 2 to each other, and the vehicle via the ECU 2. A connector 4 for connecting an external tool (external device) 10 for diagnosing the state of the ECU 2 and upgrading the program of the ECU 2, and a security device 5 provided on a communication line connecting the connector 4 to the bus 3 It has.

なお、車載通信システム1では、データと、そのデータの種類を表す識別子(ID)とを少なくとも含んだフレーム(図3参照)を用いて、データを送受信するように構成されている。   The in-vehicle communication system 1 is configured to transmit and receive data using a frame (see FIG. 3) including at least data and an identifier (ID) indicating the type of the data.

また、以下では、バス3のうち、セキュリティ装置5からECU2に至る部位を基幹バス3a、セキュリティ装置5からコネクタに至る部位をツールバス3bともいう。そして、ここでは、ECU2,基幹バス3aによって構成される通信システムが、特許請求の範囲でいう車載通信システムに対応する。   In the following, a part of the bus 3 from the security device 5 to the ECU 2 is also referred to as a backbone bus 3a, and a part from the security device 5 to the connector is also referred to as a tool bus 3b. Here, the communication system constituted by the ECU 2 and the backbone bus 3a corresponds to the in-vehicle communication system referred to in the claims.

セキュリティ装置5は、基幹バス3aとツールバス3bとを導通,遮断するスイッチ51と、ツールバス3b上のデータのIDを検出し、その検出結果に従ってスイッチのオン/オフ状態を制御する制御回路52とからなる。   The security device 5 detects the ID of data on the tool bus 3b, and controls the switch on / off state according to the detection result. The switch 51 connects and disconnects the main bus 3a and the tool bus 3b. It consists of.

なお、スイッチ51は、セキュリティ装置5への電源供給が行われていない時にはオフ状態となるノーマルオープン型のリレーによって構成されている。つまり、スイッチ51がオフ状態の時には、ツールバス3b(ひいてはコネクタ4)が基幹バス3aから物理的にも切り離された状態となるように構成されている。   Note that the switch 51 is configured by a normally open relay that is turned off when power is not supplied to the security device 5. That is, when the switch 51 is in the OFF state, the tool bus 3b (and thus the connector 4) is configured to be physically disconnected from the backbone bus 3a.

また、セキュリティ装置5への電源供給は、コネクタ4に外部ツール10が接続されている間だけ行われるように構成されている。
ここで図2は、制御回路52が実行する処理の内容を示すフローチャートである。 Further, the power supply to the security device 5 is configured to be performed only while the external tool 10 is connected to the connector 4.
Here, FIG. 2 is a flowchart showing the contents of the processing executed by the control circuit 52.

なお、制御回路52は、論理回路によって構成されたシーケンサからなり、セキュリティ装置5への電源供給が開始されると起動する。また、制御回路52は、図示しないシステムクロックによって自走するタイマーを少なくとも備えている。   The control circuit 52 is composed of a sequencer constituted by a logic circuit, and is activated when power supply to the security device 5 is started. In addition, the control circuit 52 includes at least a timer that runs on its own by a system clock (not shown).

制御回路52が起動すると、まず、スイッチ51をオフ状態にする(S110)。
IDとして予め設定された許可ID(許可情報)が付与されたフレーム(以下「許可フレーム」という)を受信するまで待機し(S120)、許可フレームを受信すると(S120:YES)、スイッチ51をオン状態にして(S130)、タイマーの計時値をリセットする(S140)。これにより、基幹バス3aとツールバス3bとが接続され、コネクタ4に接続された外部ツール10とECU2との通信が可能な状態となる。 When the control circuit 52 is activated, first, the switch 51 is turned off (S110).
Wait until a frame (hereinafter referred to as “permitted frame”) with a permission ID (permission information) set in advance as an ID is received (S120). When a permission frame is received (S120: YES), switch 51 is turned on. The state is set (S130), and the timer value is reset (S140). As a result, the main bus 3a and the tool bus 3b are connected, and the external tool 10 connected to the connector 4 and the ECU 2 can communicate with each other.

そして、タイマーの計時値に基づき、計時値がリセットされてから、予め設定された許容時間が経過したか否かを判断する(S150)。なお、許容時間は、少なくとも、外部ツール10からの要求に対してECU2が応答を完了するのに要する時間より長い時間に設定される。   Then, based on the time value of the timer, it is determined whether a preset allowable time has elapsed since the time value was reset (S150). The allowable time is set to a time longer than at least the time required for the ECU 2 to complete the response to the request from the external tool 10.

許容時間が経過していなければ(S150:NO)、許可フレームを受信したか否かを判断し(S160)、許可フレームを受信していなければ(S160:NO)、S150に戻って、許容時間が経過するか或いは許可フレームを受信するまで待機する。   If the allowable time has not elapsed (S150: NO), it is determined whether or not a permission frame has been received (S160). If the permission frame has not been received (S160: NO), the process returns to S150 to allow the allowable time. It waits until elapse of time or until a permission frame is received.

許可フレームを受信した場合(S160:YES)、S140に戻り、タイマーの計時値をリセットして、再び許容時間が経過するか許可フレームを受信するまで待機する。
また、タイマーの計時値をリセット後、許可フレームを受信することなく許容時間が経過すると(S150:YES)、S110に戻り、スイッチをオフして許可フレームを受信するまで待機する。 When the permission frame is received (S160: YES), the process returns to S140, the timer time value is reset, and the process waits until the allowable time elapses again or the permission frame is received.
In addition, if the allowable time elapses without receiving the permission frame after resetting the time value of the timer (S150: YES), the process returns to S110 and waits until the switch is turned off and the permission frame is received.

<動作例>
図3は、車載通信システム1の動作例を示すタイミング図である。
まず、外部ツール10をコネクタ4に接続すると、セキュリティ装置5への電源供給が開始される。この時、スイッチ51はオフ状態となる。 <Operation example>
FIG. 3 is a timing diagram illustrating an operation example of the in-vehicle communication system 1.
First, when the external tool 10 is connected to the connector 4, power supply to the security device 5 is started. At this time, the switch 51 is turned off.

次に、外部ツール10によりコネクタ4を介して入力されたツールバス3b上のフレームが許可フレームである場合、制御回路52は、受信したフレームのIDが許可IDであることを認識した時点で、スイッチ51をオフ状態からオン状態に切り替える共に、計時用タイマーの計時値をリセットする。これにより、外部ツール10とECU2との通信が可能な状態となる。   Next, when the frame on the tool bus 3b input by the external tool 10 via the connector 4 is a permission frame, the control circuit 52 recognizes that the received frame ID is a permission ID. The switch 51 is switched from the off state to the on state, and the time value of the time timer is reset. As a result, communication between the external tool 10 and the ECU 2 becomes possible.

但し、スイッチ51がオフ状態からオン状態に切り替わるタイミングは、フレームのID部分を受信した後となり、IDを除くデータだけが基幹バス3aに供給されることになるため、この許可フレームは、車載通信システム1上では無効なフレーム(エラー)と判断され破棄される。なお、外部ツール10は、破棄された許可フレームについての応答が得られないため、同じ許可フレームを再送することになる。   However, the switch 51 is switched from the OFF state to the ON state after receiving the ID portion of the frame, and only the data excluding the ID is supplied to the backbone bus 3a. On the system 1, it is determined as an invalid frame (error) and discarded. Since the external tool 10 cannot obtain a response for the discarded permission frame, it retransmits the same permission frame.

その後、許容時間内に新たな許可フレームを受信した場合、即ち、受信したフレームのIDが制御回路52にて許可IDであることを認識した場合、制御回路52は、その認識したタイミングで計時用タイマーの計時値をリセットする。   Thereafter, when a new permission frame is received within the allowable time, that is, when the control circuit 52 recognizes that the ID of the received frame is a permission ID, the control circuit 52 uses the timing at the recognized timing. Reset the timer timing.

一方、最後に許可フレームを受信してからの経過時間が許容時間を超えた場合、即ち、計時用タイマーがタイムアウトした場合、制御回路52は、スイッチ51をオン状態からオフ状態に切り替える。これにより、外部ツール10とECU2との通信が不能な状態となる。   On the other hand, when the elapsed time from the last reception of the permission frame exceeds the allowable time, that is, when the timer for time-out has timed out, the control circuit 52 switches the switch 51 from the on state to the off state. As a result, communication between the external tool 10 and the ECU 2 becomes impossible.

つまり、セキュリティ装置5は、外部ツール10から許可フレームが送信されてきた場合に、スイッチ51を許容時間(即ち計時用タイマーがタイムアウトするまで)の間だけオン状態にすることで、外部ツール10にECU2との通信を許可する。また、セキュリティ装置5は、許容時間内に再度許可フレームを受信した場合、その都度、計時用タイマーの計時値をリセットすることで、連続的に許可フレームが送受信されている間はスイッチ51のオン状態、即ち通信が許可された状態を継続させている。   In other words, when a permission frame is transmitted from the external tool 10, the security device 5 turns on the switch 51 for an allowable time period (that is, until the time-out timer times out), thereby allowing the external tool 10 to Communication with the ECU 2 is permitted. Further, when the security device 5 receives the permission frame again within the allowable time, the security device 5 resets the time value of the timer for each time so that the switch 51 is turned on while the permission frame is continuously transmitted and received. The state, that is, the state where communication is permitted is continued.

<効果>
以上説明したように、車載通信システム1によれば、セキュリティ装置5を用いることにより、許可フレーム以外のフレームがコネクタ4を介してツールバス3bから基幹バス3aに提供されてしまうことを防止するセキュリティ機能を、マイコン,通信トランシーバ,通信コントローラ等を必要とせず、簡易な構成により実現することができる。 <Effect>
As described above, according to the in-vehicle communication system 1, by using the security device 5, security that prevents a frame other than the permission frame from being provided from the tool bus 3 b to the backbone bus 3 a via the connector 4. The function can be realized with a simple configuration without requiring a microcomputer, a communication transceiver, a communication controller, or the like.

また、車載通信システム1では、基幹バス3aとツールバス3bとを導通,遮断するスイッチ51として、バスを物理的に切り離すノーマルオフ型のリレーを用いている。このため、コネクタ4を使用していない時に、不注意によりコネクタ4を被水(ジュース等をが被ること)させてしまったり、金属片等を接触させてしまったりすることで、コネクタ4の端子間が短絡した場合でも、その影響が基幹バス3aに及ぶことがない。   Further, in the in-vehicle communication system 1, a normally-off type relay that physically disconnects the bus is used as the switch 51 that connects and disconnects the main bus 3a and the tool bus 3b. For this reason, when the connector 4 is not used, the connector 4 may be inadvertently covered with water (covered with juice, etc.) or contacted with a metal piece or the like. Even when there is a short circuit, the influence does not reach the main bus 3a.

更に、車載通信システム1では、スイッチ51がオン状態の時に許容時間を越えて許可フレームの送信が検出されなかった場合、スイッチ51がオフ状態となるため、コネクタに接続された外部ツール10の故障などにより、ツールバス3bが短絡したとしても、許容時間が経過すると自動的にスイッチ51がオフ状態となるため、基幹バス3aを保護することができる。   Further, in the in-vehicle communication system 1, when the transmission of the permission frame is not detected after the allowable time is exceeded when the switch 51 is in the on state, the switch 51 is in the off state, so that the external tool 10 connected to the connector is broken. Even if the tool bus 3b is short-circuited due to the above, the switch 51 is automatically turned off when the allowable time elapses, so that the backbone bus 3a can be protected.

なお、本実施形態では、許可フレームを受信する毎に計時用タイマーの計時値をリセットするようにされているが、計時用タイマーは、スイッチ51をオン状態にしてからの経過時間を計時するように構成してもよい。この場合、許容時間は、少なくとも、外部ツール10からの要求を契機としてECU2との間で実行される一連の通信が完了するまでに要する時間以上に設定すればよい。   In this embodiment, every time a permission frame is received, the time measurement value of the time measurement timer is reset. However, the time measurement timer measures the elapsed time since the switch 51 is turned on. You may comprise. In this case, the allowable time may be set to at least the time required for completing a series of communications performed with the ECU 2 triggered by a request from the external tool 10.

[第2実施形態]
次に第2実施形態について説明する。
本実施形態は、制御回路の動作が第1実施形態とは異なるだけであるため、この相違点を中心に説明する。 [Second Embodiment]
Next, a second embodiment will be described.
In the present embodiment, only the operation of the control circuit is different from that of the first embodiment, and thus this difference will be mainly described.

<制御回路>
図4は、制御回路52が実行する処理の内容を示すフローチャートである。
なお、制御回路52は、第1実施形態の場合と同様に、論理回路によって構成されたシーケンサからなり、セキュリティ装置5への電源供給が開始されると起動する。但し、計時用タイマーは省略されている。 <Control circuit>
FIG. 4 is a flowchart showing the contents of processing executed by the control circuit 52.
As in the case of the first embodiment, the control circuit 52 is composed of a sequencer configured by a logic circuit, and is activated when power supply to the security device 5 is started. However, the timer for timing is omitted.

制御回路52が起動すると、まず、スイッチ51をオフ状態にして(S210)、許可フレームを受信するまで待機し(S220)、許可フレームを受信すると(S220:YES)、スイッチ51をオン状態にする(S230)。   When the control circuit 52 is activated, first, the switch 51 is turned off (S210), waits until a permission frame is received (S220), and when a permission frame is received (S220: YES), the switch 51 is turned on. (S230).

その後、許可IDとは異なる終了ID(終了情報)が付与されたフレーム(以下「終了フレーム」という)を受信するまで待機し(S240)、終了フレームを受信すると(S240:YES)、S210に戻る。   Thereafter, it waits until it receives a frame (hereinafter referred to as “end frame”) to which an end ID (end information) different from the permission ID is received (S240), and when it receives an end frame (S240: YES), it returns to S210. .

<動作例>
図5は、車載通信システム1の動作例を示すタイミング図である。
まず、外部ツール10をコネクタ4に接続すると、セキュリティ装置5への電源供給が開始される。この時、スイッチ51はオフ状態となる。 <Operation example>
FIG. 5 is a timing chart showing an operation example of the in-vehicle communication system 1.
First, when the external tool 10 is connected to the connector 4, power supply to the security device 5 is started. At this time, the switch 51 is turned off.

次に、外部ツール10によりコネクタ4を介して入力されたツールバス3b上のフレームが許可フレームである場合、制御回路52は、受信したフレームのIDが許可IDであることを認識した時点で、スイッチ51をオフ状態からオン状態に切り替える。これにより、外部ツール10とECU2との通信が可能な状態となる。   Next, when the frame on the tool bus 3b input by the external tool 10 via the connector 4 is a permission frame, the control circuit 52 recognizes that the received frame ID is a permission ID. The switch 51 is switched from the off state to the on state. As a result, communication between the external tool 10 and the ECU 2 becomes possible.

外部ツール10の通信対象となったECU2は、予め設定された手順に従って、所定回数のフレームのやり取りが完了するか、或いは、許可フレームのデータに不正なものが含まれていることを検出した場合に、終了フレームを送信する。   When the ECU 2 that is the communication target of the external tool 10 detects that a predetermined number of frames have been exchanged according to a preset procedure, or that the permission frame data contains illegal data The end frame is transmitted.

ECU2から出力された終了フレームを受信した制御回路52は、受信したフレームのIDが終了IDであることを認識した時点で、スイッチ51をオン状態からオフ状態に切り替える。これにより、外部ツール10とECU2との通信が不能な状態となる。   The control circuit 52 that has received the end frame output from the ECU 2 switches the switch 51 from the on state to the off state when recognizing that the ID of the received frame is the end ID. As a result, communication between the external tool 10 and the ECU 2 becomes impossible.

つまり、セキュリティ装置5は、外部ツール10から許可フレームが送信されてきた場合に、スイッチ51をオン状態に切り替えることで外部ツール10とECU2との通信を許可し、終了フレームを検出した場合に、スイッチ51をオフ状態に切り替えることで外部ツール10とECU2との通信を禁止するようにされている。   That is, when the permission frame is transmitted from the external tool 10, the security device 5 permits communication between the external tool 10 and the ECU 2 by switching the switch 51 to the on state, and detects the end frame. By switching the switch 51 to the OFF state, communication between the external tool 10 and the ECU 2 is prohibited.

<効果>
以上説明したように、本実施形態の車載通信システム1によれば、第1実施形態の場合と同様に、セキュリティ装置5を用いることにより、許可フレーム以外のフレームがコネクタ4を介してツールバス3bから基幹バス3aに提供されてしまうことを防止するセキュリティ機能を、マイコン,通信トランシーバ,通信コントローラ等を必要とせず、簡易な構成により実現することができる。 <Effect>
As described above, according to the in-vehicle communication system 1 of the present embodiment, as in the case of the first embodiment, by using the security device 5, a frame other than the permission frame is sent via the connector 4 to the tool bus 3 b. Therefore, the security function for preventing from being provided to the backbone bus 3a can be realized with a simple configuration without requiring a microcomputer, a communication transceiver, a communication controller, or the like.

[他の実施形態]
以上本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において様々な態様にて実施することができる。 [Other Embodiments]
Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and can be implemented in various modes without departing from the gist of the present invention.

例えば、上記実施形態では、基幹バス3aとツールバス3bとを遮断する終了条件として、計時用タイマーがタイムアウトすること(第1実施形態)、及びECU2から送信される終了フレームを受信すること(第2実施形態)を用いているが、例えば、基幹バス3a上でやり取りされるフレームの内容を監視するECU2と、セキュリティ装置5との間にじか線を設け、このじか線を介してスイッチ51をオフ状態に切り替えることを指示する電気信号を受けることを終了条件とするように構成してもよい。   For example, in the above embodiment, as an end condition for shutting off the main bus 3a and the tool bus 3b, the timer for time-out times out (first embodiment), and an end frame transmitted from the ECU 2 is received (first). 2 embodiment), for example, a direct line is provided between the security device 5 and the ECU 2 that monitors the contents of the frames exchanged on the trunk bus 3a, and the switch is connected via the direct line. You may comprise so that it may be made into termination conditions to receive the electric signal which instruct | indicates switching 51 to an OFF state.

上記実施形態では、スイッチ51としてリレーを用いているが、トランジスタ等の半導体素子を用いて構成されたスイッチ等を用いてもよい。   In the above embodiment, a relay is used as the switch 51, but a switch configured using a semiconductor element such as a transistor may be used.

1…車載通信システム 2…電子制御ユニット(ECU) 3…バス 3a…基幹バス 3b…ツールバス 4…コネクタ 5…セキュリティ装置 10…外部ツール 51…スイッチ 52…制御回路   DESCRIPTION OF SYMBOLS 1 ... In-vehicle communication system 2 ... Electronic control unit (ECU) 3 ... Bus 3a ... Core bus 3b ... Tool bus 4 ... Connector 5 ... Security device 10 ... External tool 51 ... Switch 52 ... Control circuit

Claims (5)

車両に構築された車載通信システム(2、3a)と、該車載通信システムに車外装置を接続するためのコネクタ(4)との間に配置されるセキュリティ装置(5)であって、
前記コネクタから前記車載通信システムに至る通信線路に設けられ、該通信線路を導通,遮断するスイッチ(51)と、
前記コネクタを介して入力されるデータが、予め許可された許可情報を有している場合に前記通信線路を導通させ、予め設定された終了条件が成立した場合に前記通信線路を遮断するように前記スイッチを制御する制御回路(52、S110〜S160、S210〜S240)と、
を備えることを特徴とするセキュリティ装置。 A security device (5) disposed between an in-vehicle communication system (2, 3a) built in a vehicle and a connector (4) for connecting an external device to the in-vehicle communication system,
A switch (51) provided on a communication line from the connector to the in-vehicle communication system, and conducting and blocking the communication line;
When the data input through the connector has permission information permitted in advance, the communication line is made conductive, and when a preset termination condition is satisfied, the communication line is cut off. A control circuit (52, S110 to S160, S210 to S240) for controlling the switch;
A security device comprising: 前記制御回路は、前記許可情報を検出してからの経過時間が、予め設定された許容時間に達することを前記終了条件とすること(S150)を特徴とする請求項1に記載のセキュリティ装置。   The security device according to claim 1, wherein the control circuit sets the end condition that an elapsed time after detecting the permission information reaches a preset allowable time (S150). 前記制御回路は、前記スイッチにより前記通信線路が導通している時に、前記許可情報が検出されると、前記経過時間の計時値をリセットすること(S140,S160))を特徴とする請求項2に記載のセキュリティ装置。   The control circuit resets the time value of the elapsed time when the permission information is detected when the communication line is conducted by the switch (S140, S160). The security device described in 1. 前記制御回路は、前記許可情報とは異なる終了情報を有したデータを検出することを前記終了条件とすること(S240)を特徴とする請求項1に記載のセキュリティ装置。   The security device according to claim 1, wherein the control circuit sets the end condition to detect data having end information different from the permission information (S240). 前記スイッチは、前記通信線路の遮断時には、前記通信線路を物理的に切り離すことを特徴とする請求項1乃至請求項4のいずれか1項に記載のセキュリティ装置。   The security device according to any one of claims 1 to 4, wherein the switch physically disconnects the communication line when the communication line is interrupted.
JP2012100012A 2011-10-31 2012-04-25 Security equipment Expired - Fee Related JP5720618B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012100012A JP5720618B2 (en) 2011-10-31 2012-04-25 Security equipment

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011239250 2011-10-31
JP2011239250 2011-10-31
JP2012100012A JP5720618B2 (en) 2011-10-31 2012-04-25 Security equipment

Publications (2)

Publication Number Publication Date
JP2013118609A JP2013118609A (en) 2013-06-13
JP5720618B2 true JP5720618B2 (en) 2015-05-20

Family

ID=48712855

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012100012A Expired - Fee Related JP5720618B2 (en) 2011-10-31 2012-04-25 Security equipment

Country Status (1)

Country Link
JP (1) JP5720618B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013202064A1 (en) * 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Method and device for connecting a diagnostic device to a control device in a motor vehicle
JP5958425B2 (en) * 2013-06-18 2016-08-02 株式会社デンソー Relay device
JP6277943B2 (en) * 2014-11-19 2018-02-14 トヨタ自動車株式会社 Vehicle driving support device
JP6369341B2 (en) * 2015-01-30 2018-08-08 株式会社デンソー In-vehicle communication system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008009743A (en) * 2006-06-29 2008-01-17 Toshiba Corp Data processing apparatus
JP2008019725A (en) * 2006-07-11 2008-01-31 Denso Corp Electronic control device for vehicle

Also Published As

Publication number Publication date
JP2013118609A (en) 2013-06-13

Similar Documents

Publication Publication Date Title
US20180278616A1 (en) In-vehicle communication system, communication management device, and vehicle control device
US9038132B2 (en) Bus monitoring security device and bus monitoring security system
EP3166256B1 (en) On-vehicle gateway apparatus and communication system for vehicle
US9800319B2 (en) Relay apparatus
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US11063968B2 (en) Communication system, communication device, relay device, communication integrated circuit (IC), control IC, and communication method
JP5702829B2 (en) Relay device
US10404721B2 (en) Communication device for detecting transmission of an improper message to a network
JP2019012337A (en) Car sharing system and car sharing program
US11938897B2 (en) On-vehicle device, management method, and management program
JP5720618B2 (en) Security equipment
CN103809574A (en) Method for improving security of remote control vehicle
US9596225B2 (en) Out-of-vehicle device interface apparatus and method for protecting in-vehicle network
KR101972457B1 (en) Method and System for detecting hacking attack based on the CAN protocol
US9411609B2 (en) Electronic control apparatus
US9440541B2 (en) In-vehicle control system
JP2016143963A (en) On-vehicle communication system
JP6036569B2 (en) Security equipment
JP2009296280A (en) Communication network system, and communication control method thereof
JP2014083874A (en) Communication monitoring unit, and communication monitoring method
US11570022B2 (en) Electrical device that accesses a mobile telephony network in an alternative operating mode
KR101570711B1 (en) Gateway for vehicle, and diagnostic communication method for MCU disable of the same, and reprogram method of the same
JP2020167570A (en) Monitoring device
JP2017047773A (en) Communication system, communication control device and communication control method
JP2005059809A (en) On-vehicle system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150309

R151 Written notification of patent or utility model registration

Ref document number: 5720618

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees