JP6370717B2 - 通信システム、異常検出装置及び異常検出方法 - Google Patents

通信システム、異常検出装置及び異常検出方法 Download PDF

Info

Publication number
JP6370717B2
JP6370717B2 JP2015005260A JP2015005260A JP6370717B2 JP 6370717 B2 JP6370717 B2 JP 6370717B2 JP 2015005260 A JP2015005260 A JP 2015005260A JP 2015005260 A JP2015005260 A JP 2015005260A JP 6370717 B2 JP6370717 B2 JP 6370717B2
Authority
JP
Japan
Prior art keywords
communication
sampling
unit
abnormality
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015005260A
Other languages
English (en)
Other versions
JP2016131325A (ja
Inventor
高田 広章
広章 高田
亮 倉地
亮 倉地
浩史 上田
浩史 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Tokai National Higher Education and Research System NUC
Original Assignee
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Tokai National Higher Education and Research System NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd, Tokai National Higher Education and Research System NUC filed Critical Nagoya University NUC
Priority to JP2015005260A priority Critical patent/JP6370717B2/ja
Priority to US15/542,202 priority patent/US10320640B2/en
Priority to PCT/JP2016/050826 priority patent/WO2016114301A1/ja
Priority to DE112016000411.7T priority patent/DE112016000411B4/de
Priority to CN201680004971.0A priority patent/CN107113215B/zh
Publication of JP2016131325A publication Critical patent/JP2016131325A/ja
Application granted granted Critical
Publication of JP6370717B2 publication Critical patent/JP6370717B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge

Description

複数の通信装置が共通の通信線に接続された構成において通信に係る異常を検出することができる通信システム、異常検出装置及び異常検出方法に関する。
従来、車両に搭載された複数のECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。CANの通信プロトコルを採用した通信システムは、複数のECUが共通のCANバスに接続された構成となり、送信側のECUがCANバスへ出力した信号を受信側のECUがサンプリングすることによって情報の送受信が行われる。また送信側のECUは、CANバスへの信号出力を行うと共に、CANバスの信号をサンプリングすることによって、自らが送信した情報に関する変化の有無を検出している。
非特許文献1においては、送信側のECUと受信側のECUとでCANバスの信号をサンプリングするタイミングが異なる場合に、受信側のECUがサンプリングを行う短い期間のみCANバス上の信号を意図的に変化させることによって、送信側のECUに悟られることなく、受信側のECUに対して改ざんした情報を受信させることが可能であることが指摘されている。
松本勉,向達泰希,土屋遊,中山淑文,吉岡克成、「電気的データ改ざんに対するCANのインテグリティ強化策」、コンピュータセキュリティシンポジウム2014、2014年10月22日〜24日
例えば車両内に配されたCANバスに対して不正な機器が接続され、非特許文献1に記載の方法によって特定のECUに対する情報改ざんが行われた場合、車両に搭載された種々の電子機器にて誤動作などが発生する虞がある。よって、このような情報改ざんを検出又は防止する技術が求められる。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、複数の通信装置のサンプリングタイミングの差異を利用した情報改ざんなど、通信に係る異常を検出し得る通信システム、異常検出装置及び異常検出方法を提供することにある。
本発明に係る通信システムは、共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにおいて、前記通信線に接続され、前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングするサンプリング部と、該サンプリング部による複数のサンプリング結果に基づいて通信に係る異常を検出する検出部とを有する異常検出装置を備えることを特徴とする。
また、本発明に係る通信システムは、前記サンプリング部が、前記所定期間にサンプリングを周期的に複数回行い、前記検出部は、前記サンプリング部がサンプリングしたサンプリング結果が、以前のサンプリング結果と異なる場合に、通信に係る異常を検出するようにしてあることを特徴とする。
また、本発明に係る通信システムは、前記異常検出装置が、前記検出部が異常を検出した場合に、前記複数の通信装置へ異常検出を通知する通知部を有することを特徴とする。
また、本発明に係る通信システムは、前記通知部が、前記検出部が異常を検出した場合に、前記通信線に対する所定の情報送信を行い、該情報送信により前記複数の通信装置による情報の受信が妨げられることを特徴とする。
また、本発明に係る異常検出装置は、共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにて通信に係る異常を検出する異常検出装置であって、前記通信線に接続され、前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングするサンプリング部と、該サンプリング部による複数のサンプリング結果に基づいて通信に係る異常を検出する検出部とを備えることを特徴とする。
また、本発明に係る異常検出方法は、共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにて通信の異常を検出する異常検出方法であって、前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングし、複数回のサンプリング結果に基づいて通信に係る異常を検出することを特徴とする。
本発明に係る通信システムにおいては、複数の通信装置が共通の通信線を介して情報の送受信を行うシステム構成に対して、この通信線に接続した異常検出装置にて通信に関する異常検出を行う。各通信装置は、1ビットの情報の送信期間中に所定のタイミングで1回のサンプリングを行うことで情報を受信する。ただし複数の通信装置が異なるタイミングでサンプリングを行うことが許容されている。異常検出装置は、1ビットの情報の送信期間において、通信装置による最も早いサンプリングのタイミングと最も遅いサンプリングのタイミングとを含む所定期間に亘って、通信線の電圧を複数回サンプリングする。異常検出装置は、通信システムに含まれる複数の通信装置がサンプリングを行い得る期間に亘って、共通の通信線の電圧の変化などを監視することができ、複数回のサンプリングの結果に基づいて異常検出を行うことができる。
また本発明においては、異常検出装置が所定期間にサンプリングを周期的に複数回行い、今回のサンプリング結果が以前のサンプリング結果と異なる場合、即ち所定期間中に通信線の信号が変化した場合に、通信に異常が発生したと判断する。これにより、特定の通信装置のサンプリングタイミングに合わせて信号を変化させることによる情報改ざんを検出することができる。
また本発明においては、通信に関する異常を検出した場合に異常検出装置が複数の通信装置へ通知を行う。異常検出装置は、例えばCANプロトコルにおけるエラーフレームを通信線に対して出力するなど、所定の情報送信を行うことにより異常の発生を通知することができる。また本通信システムでは、異常検出装置による異常通知のための情報送信によって、通信システム中の各通信装置では情報の受信が妨げられる。これにより改ざんされた情報が通信装置によって受信されることを防止することができる。
本発明による場合は、通信装置毎のサンプリングタイミングの差異を利用した情報改ざんなどの通信に係る異常を、異常検出装置が検出することができる。
本実施の形態に係る通信システムの構成を示す模式図である。 ECUの構成を示すブロック図である。 監視装置の構成を示すブロック図である。 監視装置による監視期間を説明するための模式図である。 監視装置による監視処理を説明するための状態遷移図である。 監視装置が同期状態において行う処理の手順を示すフローチャートである。 監視装置が第1監視状態において行う処理の手順を示すフローチャートである。 監視装置が第2監視状態において行う処理の手順を示すフローチャートである。
以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。
<システム構成>
図1は、本実施の形態に係る通信システムの構成を示す模式図である。本実施の形態に係る通信システムは、車両1に搭載された複数のECU3と、1つの監視装置5とを備えて構成されている。ECU3及び監視装置5は、車両1に敷設された共通の通信線を介して接続され、相互にメッセージを送受信することができる。本実施の形態においては、この通信線をCANバスとし、ECU3及び監視装置5は、CANプロトコルに従った通信を行う。ECU3は、例えば車両1のエンジンの制御を行うエンジンECU、車体の電装品の制御を行うボディECU、ABS(Antilock Brake System)に関する制御を行うABS−ECU、又は、車両1のエアバッグの制御を行うエアバッグECU等のように、種々の電子制御装置であってよい。監視装置5は、車内ネットワークに対する不正なメッセージ送信を監視する装置である。監視装置5は、監視専用の装置として設けられてもよく、例えばゲートウェイなどの装置に監視の機能を付加した構成であってもよく、また例えばいずれか1つのECU3に監視の機能を付加した構成であってもよい。
図2は、ECU3の構成を示すブロック図である。なお図2においては、車両1に設けられた複数のECU3について、通信に関するブロックを抜き出して図示してあり、各ECU3に特有の車両制御などに関するブロックは図示を省略してある。図2に図示するこれらのブロックは、複数のECU3に共通して設けられるブロックである。本実施の形態に係るECU3は、処理部31、ROM(Read Only Memory)32、RAM(Random Access Memory)33及びCAN通信部34等を備えて構成されている。処理部31は、CPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を用いて構成されている。処理部31は、ROM32に記憶されたプログラムを読み出して実行することにより、車両1に係る種々の情報処理又は制御処理等を行う。
ROM32は、フラッシュメモリ又はEEPROM(Electrically Erasable Programmable ROM)等の不揮発性のメモリ素子を用いて構成されている。ROM32は、処理部31が実行するプログラムと、これにより行われる処理に必要な種々のデータとが記憶されている。なおROM32に記憶されるプログラム及びデータは、ECU3毎に異なる。RAM33は、SRAM(Static Random Access Memory)又はDRAM(Dynamic Random Access Memory)等のデータ書き換え可能なメモリ素子を用いて構成されている。RAM33は、処理部31の処理により生成された種々のデータを記憶する。
CAN通信部34は、CANの通信プロトコルに従って、CANバスを介した他のECU3又は監視装置5との通信を行う。CAN通信部34は、処理部31から与えられた送信用の情報を、CANの通信プロトコルに従った信号に変換し、変換した信号をCANバスへ出力することで他のECU3又は監視装置5への情報送信を行う送信部35を有している。またCAN通信部34は、CANバスの電位をサンプリングすることによって、他のECU3又は監視装置5が出力した信号を取得し、この信号をCANの通信プロトコルに従って2値の情報に変換することで情報の受信を行う受信部36を有している。受信部36は、受信した情報を処理部31へ与える。
またCAN通信部34は、自らのメッセージ送信と、他のECU3又は監視装置5によるメッセージ送信とに衝突が発生した場合に、いずれのメッセージを先に送信するかを調停する処理、いわゆるアービトレーション処理を行う。各ECU3が送信するメッセージには、メッセージの種別に応じて予めIDが定められている。このIDは、数値として扱われる情報であり、その値が小さいほどメッセージ送信の優先度が高い。このため通信システムにおいては、CANバス上で複数のメッセージ送信が衝突した場合、最も優先度が高いメッセージ送信が行われ、このメッセージの送信完了後に他のメッセージの送信が行われる。なおCAN通信部34が行うアービトレーション処理は、既存の技術であるため、詳細な処理手順の説明は省略する。
図3は、監視装置5の構成を示すブロック図である。監視装置5は、処理部51、記憶部52及びCAN通信部53等を備えて構成されている。処理部51は、CPU又はMPU等の演算処理装置を用いて構成され、記憶部52に記憶されたプログラムを読み出して実行することにより、車両1のECU3の挙動及び通信等を監視する処理を行う。記憶部52は、フラッシュメモリ又はEEPROM等のデータ書き換え可能な不揮発性のメモリ素子を用いて構成されている。本実施の形態において記憶部52は、通信システムに含まれる各ECU3がメッセージ受信の際にCANバス上の信号をサンプリングするタイミングに関する情報をタイミング情報52aとして記憶している。
CAN通信部53は、CANの通信プロトコルに従って、CANバスを介したECU3との通信を行う。CAN通信部53は、処理部51から与えられた送信用の情報を、CANの通信プロトコルに従った信号に変換し、変換した信号をCANバスへ出力することでECU3への情報送信を行う送信部54を有している。またCAN通信部53は、CANバスの電位をサンプリングすることによって、ECU3が出力した信号を取得し、この信号をCANの通信プロトコルに従って2値の情報に変換することで情報の受信を行う受信部55を有している。受信部55は、受信した情報を処理部51へ与える
また本実施の形態に係る監視装置5のCAN通信部53は、通信システムにおける通信異常の検出に係る機能ブロックとして、サンプリング部56及び異常検出部57を更に有している。サンプリング部56は、通信システムにおいてCANバスを介して送受信されるメッセージの1ビットの送信期間中に、CANバス上の信号のサンプリングを複数回行う。なお従来のCANプロトコルにて通信を行うECU3では、メッセージの1ビット期間中に1回のサンプリングが行われ、このサンプリング結果によりメッセージ受信が行われる。本実施の形態に係る通信システムでは、監視装置5が1ビット期間中に複数回のサンプリングを行うことにより、1ビット期間中での信号の変化を取得して異常検出を行うことができる。
CAN通信部53の異常検出部57は、サンプリング部56が行った複数回のサンプリング結果に基づいて、通信システムにおける通信の異常を検出する処理を行う。本実施の形態において異常検出部57は、サンプリング部56がサンプリングを行う毎にその結果を取得し、前回のサンプリング結果と今回のサンプリング結果とが一致するか否かを判定する。両サンプリング結果が一致する場合、異常検出部57は、異常が発生していないと判断し、サンプリング結果の取得及び比較を継続する。これに対して両サンプリング結果が一致しない場合、異常検出部57は、通信に異常が発生したと判断し、処理部51へ通知する。
本実施の形態において監視装置5の処理部51には、異常通知処理部61が設けられている。異常通知処理部61は、ハードウェアの機能ブロックとして構成されるものであってもよく、ソフトウェアの機能ブロックとして構成されるものであってもよい。異常通知処理部61は、CAN通信部53の異常検出部57から通信に異常を検出した旨の通知が与えられた場合に、通信システムに含まれる各ECU3へ異常発生を通知する処理を行う。本実施の形態において異常通知処理部61は、CAN通信部53にエラーフレームをCANバスへ出力させることにより、ECU3への異常発生の通知を行う。これにより通信に異常が発生した際に送信されていたメッセージ(データフレームなど)は、監視装置5のエラーフレームにより送信が妨げられる。エラーフレームを受信した各ECU3は、これ以前に受信処理を行っていたメッセージを破棄する。これにより異常が含まれる可能性があるメッセージがECU3にて受信されることを防止できる。
<監視処理>
本実施の形態に係る通信システムでは、ECU3がCANバスに対して出力するメッセージに対し、監視装置5が異常の有無を監視している。なお監視装置5による監視は、例えば常時的に行われてもよく、また例えば特定のIDが付されたメッセージ送信に対して行われてもよい。本実施の形態においては、監視装置5は常時的に監視を行うものとする。
本通信システムにおいて送受信されるメッセージは、ドミナント(0)/レセシブ(1)の2値のデジタルデータが複数ビットに亘って連なったものであり、いわゆるCANプロトコルのデータフレームなどである。通信システムにおいて、メッセージに含まれる1ビットのデータを送信する期間は予め定められている。監視装置5は、1ビットの送信期間中において、この送信期間より短い所定の監視期間に亘って、この1ビットのデータに変化が生じたか否かを調べることによって通信異常を監視している。
図4は、監視装置5による監視期間を説明するための模式図である。CANプロトコルにおけるメッセージの1ビットは、4つの期間(セグメント)で構成されている。即ち、CANプロトコルの1ビットは、SS(シンクロナイゼーションセグメント)、PTS(プロパゲーションタイムセグメント)、PBS1(フェーズバッファセグメント1)及びPBS2(フェーズバッファセグメント2)の4つのセグメントで構成されている。各セグメントの長さ(時間)は、基準時間Tq(Time Quantum)の整数倍として決定される。基準時間Tqは、各ECU3のCAN通信部34が生成するサンプリングのためのクロック信号の周期である。なおSSの長さは1Tqと定められている。PTS、PBS1及びPBS2の長さは、ECU3毎に異なる値を設定することができる。
SSは、各ECU3が同期を行うためのセグメントであり、信号のエッジがこのセグメントの中にあることが期待される。PTSは、CANバス上の信号遅延及び雑音等の影響を吸収するためのセグメントである。PTSは、1Tq〜8Tqの範囲で設定することができる。PBS1は、信号のエッジがSSの中に入らなかった場合の誤差を保証するためのセグメントである。PBS1は、1Tq〜8Tqの範囲で設定することができ、SJW(シンクロナイゼーションジャンプ幅)の時間だけ延長又は短縮され得る。PBS2は、信号のエッジが早く検出された場合にSJWの時間だけ短縮されるセグメントである。PBS2は、2Tq〜8Tqの範囲で設定することができる。なお各ECU3のCAN通信部34がサンプリングを行うタイミングは、PBS1からPBS2へ移行するタイミングである。
例えば図4においては、本実施の形態に係る通信システムに5つのECU3(以下、ECU3a〜3eとして区別して記載する)が含まれているものとし、各ECU3a〜3eのセグメント構成を示してある。ECU3aは、SSが1Tqであり、PTSが3Tqであり、PBS1が4Tqであり、PBS2が8Tqである。ECU3bは、SSが1Tqであり、PTSが6Tqであり、PBS1が7Tqであり、PBS2が2Tqである。ECU3cは、SSが1Tqであり、PTSが4Tqであり、PBS1が5Tqであり、PBS2が6Tqである。ECU3dは、SSが1Tqであり、PTSが5Tqであり、PBS1が6Tqであり、PBS2が4Tqである。ECU3eは、SSが1Tqであり、PTSが4Tqであり、PBS1が6Tqであり、PBS2が5Tqである。なおこれらセグメントの長さは一例であって、これに限るものではない。
本実施の形態に係る監視装置5は、監視する通信システムに含まれる各ECU3a〜3eのセグメント構成に関する情報を、タイミング情報52aとして記憶部52に記憶している。監視装置5のCAN通信部53は、記憶部52に記憶されたタイミング情報52aに基づいて、通信異常の監視を行う監視期間を決定する。各ECU3a〜3eのCAN通信部34によるサンプリングタイミングは、PBS1からPBS2へ移行するタイミグである。よって本例では、ECU3aによるサンプリングが最も早く行われ、ECU3bによるサンプリングが最も遅く行われる。監視装置5のCAN通信部53は、最早のサンプリングタイミングと、最遅のサンプリングタイミングとを含むように監視期間を決定する。なお本実施の形態においては、最早のサンプリングタイミングが設定されたECU3aのPBS1及びPBS2を合わせた期間を、監視装置5のCAN通信部53による監視期間としている。なおこの監視期間は、何らかの理由によりPBS1又はPBS2の期間が延長又は短縮された場合、これに伴って延長又は短縮される。
ECU3によるメッセージ送信が行われた場合、監視装置5のCAN通信部53は、メッセージの各ビットについて監視期間における監視を行う。CAN通信部53のサンプリング部56は、監視期間において1Tq毎に1回の頻度で、CANバス上の信号をサンプリングする。図4に示す例では、監視期間はPBS1の4Tq+PBS2の8Tqであるため、サンプリング部56は、監視期間中に合計で12回のサンプリングを行うこととなる。サンプリング部56によるサンプリング結果は、異常検出部57へ与えられる。
異常検出部57は、監視期間中におけるサンプリング部56による2回目のサンプリング結果を取得した時点から検出処理を開始する。異常検出部57は、前回のサンプリング結果と今回のサンプリング結果とが一致するか否かを判定する。両サンプリング結果が一致しない場合、異常検出部57は、通信に異常が発生したと判断し、処理部51へ異常を検出した旨を通知する。両サンプリング結果が一致する場合、異常検出部57は、前回のサンプリング結果を破棄し、今回のサンプリング結果を記憶して、監視期間が終了するまで異常検出処理を継続して行う。
本実施の形態においては、サンプリング部56による12回のサンプリング結果が全て一致すること、即ち12回のサンプリング結果が全てドミナント(0)であるか、又は、全てレセシブ(1)であることが必要である。12回のサンプリング結果中に1つでも異なる値のものが含まれる場合、監視装置5は通信に異常が発生したものと判断する。
CAN通信部53の異常検出部57から異常検出を通知された処理部51は、異常通知処理部61が通信システム中の全てのECU3に対して異常発生を通知する処理を行う。本実施の形態において異常通知処理部61は、CANプロトコルにおけるエラーフレームをCAN通信部53に送信させることによって、全てのECU3に対して異常発生を通知する。エラーフレームの送信は、ECU3によるメッセージ(データフレーム)の送信中であっても、これを上書きする態様で行われる。監視装置5が送信したエラーフレームは、CANバスを介して接続された全てのECU3にて受信される。これにより異常が検出されたメッセージがECU3にて受信されることを妨げることができる。
<状態遷移及びフローチャート>
図5は、監視装置5による監視処理を説明するための状態遷移図である。本実施の形態に係る監視装置5のCAN通信部53は、同期状態St0、第1監視状態St1及び第2監視状態St2の3つの状態を遷移しながら監視処理を行っている。なお同期状態St0がメッセージのSS及びPTSの期間に相当し、第1監視状態St1がPBS1の期間に相当し、第2監視状態St2がPBS2の期間に相当する。CAN通信部53は、監視処理においてTq数を計数するためのカウンタを用いるが、これはCAN通信部53内に設けられたレジスタなどの記憶領域を利用して実現することができる。またCAN通信部53は、周期Tqのサンプリングクロックに同期して監視処理を行っており、1Tq毎に条件判定及び状態遷移等が行われる。
CANバスに対するメッセージ送信が開始された場合、CAN通信部53は、カウンタの値を0に初期化し、同期状態St0での処理を開始する。なおCAN通信部53による監視処理を開始させるメッセージ送信には、車両1に搭載された正規のECU3によるメッセージ送信の他に、例えばCANバスに対して不正な手段で接続された不正な装置によるメッセージ送信なども含まれ得る。
同期状態St0においてCAN通信部53は、遷移条件1が成立するか否かを判定する。遷移条件1は、第1監視状態St1へ状態遷移を行う条件であり、本例ではカウンタの値がSSのTq数及びPTSのTq数の合計値に達することを条件とする。遷移条件1が成立しない場合、CAN通信部53は、カウンタの値をインクリメントして(カウンタの値に1を加算して)、同期状態St0を維持する。遷移条件1が成立した場合、CAN通信部53は、カウンタの値を0に初期化し、第1監視状態St1へ状態を遷移する。
第1監視状態St1においてCAN通信部53は、遷移条件2が成立するか否かを判定する。遷移条件2は、第2監視状態St2へ状態遷移を行う条件であり、本例ではカウンタの値がPBS1のTq数に達することを条件とする。なお本実施の形態において監視装置5の各セグメントの長さは、通信システムにおいて最早のタイミングでサンプリングを行うECU3aと同じ値を採用するものとする。即ち、図4によれば監視装置5のSSは1Tqであり、PTSは3Tqであり、PBS1は4Tqであり、PBS2は8Tqである。よって遷移条件2は、カウンタの値が4に達することである。ただしこのセグメント長は一例であって、別の値を採用してもよい。
遷移条件2が成立しない場合、CAN通信部53は、第1監視状態St1における1回目の処理であるか否かを判定する。CAN通信部53は、カウンタの値が0であるか否かに応じて、1回目の処理であるか否かを判定することができる。1回目の処理である場合、CAN通信部53は、サンプリング部56によるCANバスの信号のサンプリングを行い、サンプリング結果を取得して内部のレジスタなどに記憶すると共に、カウンタをインクリメントして、第1監視状態St1を維持する。
2回目以降の処理である場合、CAN通信部53は、サンプリング部56のサンプリング結果を取得して、前回のサンプリング結果と今回のサンプリング結果とが一致するか否かを判定する。両サンプリング結果が一致する場合、CAN通信部53は、前回のサンプリング結果を破棄して今回のサンプリング結果を記憶すると共に、カウンタをインクリメントして、第1監視状態St1を維持する。両サンプリング結果が一致しない場合、CAN通信部53は、処理部51へ異常を検知した旨の通知を行い、監視処理を終了する。なおCAN通信部53は、監視処理を終了する場合、図5に示した状態遷移から脱してもよく、第1監視状態St1を維持してもよい。
遷移条件2が成立する場合、CAN通信部53は、カウンタの値を0に初期化し、第2監視状態St2へ状態を遷移する。第2監視状態St2においてCAN通信部53は、遷移条件3が成立するか否かを判定する。遷移条件3は、同期状態St0へ状態遷移を行う条件であり、本例ではカウンタの値がPBS2のTq数に達することを条件とする。なお本実施の形態において遷移条件2は、カウンタ値が8に達することである。
遷移条件3が成立しない場合、CAN通信部53は、サンプリング部56のサンプリング結果を取得して、前回のサンプリング結果と今回のサンプリング結果とが一致するか否かを判定する。両サンプリング結果が一致する場合、CAN通信部53は、前回のサンプリング結果を破棄して今回のサンプリング結果を記憶すると共に、カウンタをインクリメントして、第2監視状態St2を維持する。両サンプリング結果が一致しない場合、CAN通信部53は、処理部51へ異常を検知した旨の通知を行い、監視処理を終了する。なおCAN通信部53は、監視処理を終了する場合、図5に示した状態遷移から脱してもよく、第2監視状態St2を維持してもよい。遷移条件3が成立する場合、CAN通信部53は、カウンタの値を0に初期化し、同期状態St0へ状態を遷移する。
このようにCAN通信部53が3つの状態を遷移して処理を行うことによって、メッセージの1ビット中におけるPBS1及びPBS2を監視期間としてCANバス上の信号の変化を監視し、通信に関する異常を検出することができる。
図6は、監視装置5が同期状態St0において行う処理の手順を示すフローチャートである。なお監視装置5のCAN通信部53は、本フローチャートに示す処理を、例えばサンプリングクロックなどと同期して、1Tqに1回の頻度で実行する。同期状態St0においてCAN通信部53は、遷移条件1が成立したか否かを判定する(ステップS1)。遷移条件1が成立していない場合(S1:NO)、CAN通信部53は、カウンタをインクリメントして(ステップS2)、処理を終了する。遷移条件1が成立した場合(S1:YES)、CAN通信部53は、カウンタの値を0に初期化し(ステップS3)、第1監視状態St1へ状態を遷移し(ステップS4)、処理を終了する。
図7は、監視装置5が第1監視状態St1において行う処理の手順を示すフローチャートである。第1監視状態St1においてCAN通信部53は、まずサンプリング部56によるCANバスの信号のサンプリングを行い、サンプリング結果を取得する(ステップS11)。次いでCAN通信部53は、遷移条件2が成立したか否かを判定する(ステップS12)。
遷移条件2が成立しない場合(S12:NO)、CAN通信部53は、カウンタの値に基づいて、第1監視状態St1における1回目の処理であるか否かを判定する(ステップS13)。1回目の処理である場合(S13:YES)、CAN通信部53は、ステップS11にて取得したサンプリング結果を内部のレジスタなどに記憶し(ステップS14)、カウンタをインクリメントして(ステップS15)、処理を終了する。
1回目の処理でない場合、即ち2回目以降の処理である場合(S13:NO)、CAN通信部53は、前回のサンプリング結果と今回のサンプリング結果とを比較し、両サンプリング結果が一致するか否かを判定する(ステップS16)。両サンプリング結果が一致する場合(S16:YES)、CAN通信部53は、ステップS11にて取得したサンプリング結果を内部のレジスタなどに記憶し(ステップS14)、カウンタをインクリメントして(ステップS15)、処理を終了する。
両サンプリング結果が一致しない場合(S16:NO)、CAN通信部53は、処理部51へ異常を検出した旨を通知する(ステップS17)。CAN通信部53は、監視処理を終了し(ステップS18)、第1監視状態St1における処理を終了する。
遷移条件2が成立した場合(S12:YES)、CAN通信部53は、ステップS11にて取得したサンプリング結果を内部のレジスタなどに記憶し(ステップS19)、カウンタの値を0に初期化する(ステップS20)。CAN通信部53は、第2監視状態St2へ状態を遷移し(ステップS21)、処理を終了する。
図8は、監視装置5が第2監視状態St2において行う処理の手順を示すフローチャートである。第2監視状態St2においてCAN通信部53は、まずサンプリング部56によるCANバスの信号のサンプリングを行い、サンプリング結果を取得する(ステップS31)。次いでCAN通信部53は、遷移条件3が成立したか否かを判定する(ステップS32)。
遷移条件3が成立しない場合(S32:NO)、前回のサンプリング結果と今回のサンプリング結果とを比較し、両サンプリング結果が一致するか否かを判定する(ステップS33)。両サンプリング結果が一致する場合(S33:YES)、CAN通信部53は、ステップS31にて取得したサンプリング結果を内部のレジスタなどに記憶し(ステップS34)、カウンタをインクリメントして(ステップS35)、処理を終了する。
両サンプリング結果が一致しない場合(S33:NO)、CAN通信部53は、処理部51へ異常を検出した旨を通知する(ステップS36)。CAN通信部53は、監視処理を終了し(ステップS37)、第2監視状態St2における処理を終了する。
遷移条件3が成立した場合(S32:YES)、CAN通信部53は、カウンタの値を0に初期化し(ステップS38)、同期状態St0へ状態を遷移し(ステップS39)、処理を終了する。
<まとめ>
本実施の形態に係る通信システムは、複数のECU3が共通の通信線を介して情報の送受信を行うシステム構成に対して、この通信線に接続した監視装置5にて通信に関する異常検出を行う。各ECU3は、1ビットの情報の送信期間中に所定のタイミングで1回のサンプリングを行うことで情報を受信する。ただし複数のECU3が異なるタイミングでサンプリングを行うことが許容されている。監視装置5は、1ビットの情報の送信期間において、ECU3による最も早いサンプリングのタイミングと最も遅いサンプリングのタイミングとを含む所定の監視期間に亘って、通信線の電圧を複数回サンプリングする。監視装置5は、通信システムに含まれる複数のECU3がサンプリングを行い得る期間に亘って、共通の通信線の電圧の変化などを監視することができ、複数回のサンプリングの結果に基づいて異常検出を行うことができる。
監視装置5は、所定の監視期間にサンプリングを周期的に複数回行い、前回のサンプリング結果と今回のサンプリング結果とが異なる場合、即ち所定期間中に通信線の信号が変化した場合に、通信に異常が発生したと判断する。これにより、特定のECU3のサンプリングタイミングに合わせて信号を変化させることによる情報改ざんを検出することができる。
また監視装置5は、通信に関する異常を検出した場合に複数のECU3へ通知を行う。監視装置5は、例えばCANプロトコルにおけるエラーフレームを通信線に対して出力するなど、所定の情報送信を行うことにより異常の発生を通知することができる。また本通信システムでは、監視装置5による異常通知のための情報送信によって、通信システム中の各ECU3では情報の受信が妨げられる。これにより改ざんされた情報がECU3によって受信されることを防止することができる。
なお本実施の形態においては、各ECU3のセグメントの長さ及びサンプリングタイミング等の情報を監視装置5が記憶部52にタイミング情報52aとして記憶しておく構成としたが、これに限るものではない。例えば監視装置5は、ECU3毎のタイミング等の情報を記憶せず、単に監視期間の設定を記憶しておく構成であってもよい。また本実施の形態においては、監視期間をPBS1及びPBS2を合わせた期間としたが、これに限るものではない。監視期間は、例えば図4において最早のサンプリングタイミングを開始時点とし、最遅のサンプリングタイミングを終了時点として設定されてもよく、これ以外の期間であってもよい。また監視装置5は、監視期間においてTq単位でのサンプリング(即ち、1Tqに1回の頻度でのサンプリング)を行う構成としたが、これに限るものではない。監視装置5は、例えば処理部31又はCPU等が生成するクロック単位でサンプリングを行う構成としてもよく、その他の周期でサンプリングを行う構成としてもよい。
また監視装置5は、監視期間において前回のサンプリング結果と今回のサンプリング結果とを比較して異常検出を行う構成としたが、これに限るものではない。監視装置5は、例えば一の監視期間において初回のサンプリング結果を保持しておき、初回のサンプリング結果と今回のサンプリング結果とを比較し、今回のサンプリング結果が初回のサンプリング結果と異なる場合に異常が発生したと判断してもよい。監視装置5は、今回のサンプリング結果と以前のサンプリング結果とを比較し、今回のサンプリング結果が以前のサンプリング結果と異なる場合に異常が発生したと判断することができる。
また本実施の形態に係る通信システムは、ECU3とは異なる監視装置5が異常検出を行う構成としたが、これに限るものではない。通信システムに含まれる複数のECU3のうち、いずれか1つ又は複数のECU3に対して異常検出を行う機能を備えさせてもよい。また監視装置5は、通信に関する異常を検出した場合に、エラーフレームを送信してECU3へ異常を通知する構成としたが、これに限るものではなく、エラーフレームの送信以外の方法で異常通知を行う構成としてもよい。また本実施の形態においては、車両1に搭載された通信システムを例に説明を行ったが、通信システムは車両1に搭載されるものに限らず、例えば飛行機又は船舶等の移動体に搭載されるものであってよく、また例えば移動体ではなく工場、オフィス又は学校等に設置されるものであってもよい。
1 車両
3 ECU(通信装置)
5 監視装置(異常検出装置)
31 処理部
32 ROM
33 RAM
34 CAN通信部
35 送信部
36 受信部
51 処理部
52 記憶部
52a タイミング情報
53 CAN通信部
54 送信部
55 受信部
56 サンプリング部
57 異常検出部(検出部)
61 異常通知処理部(通知部)

Claims (6)

  1. 共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにおいて、
    前記通信線に接続され、
    前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングするサンプリング部と、
    該サンプリング部による複数のサンプリング結果に基づいて通信に係る異常を検出する検出部と
    を有する異常検出装置を備えること
    を特徴とする通信システム。
  2. 前記サンプリング部は、前記所定期間にサンプリングを周期的に複数回行い、
    前記検出部は、前記サンプリング部がサンプリングしたサンプリング結果が、以前のサンプリング結果と異なる場合に、通信に係る異常を検出するようにしてあること
    を特徴とする請求項1に記載の通信システム。
  3. 前記異常検出装置は、前記検出部が異常を検出した場合に、前記複数の通信装置へ異常検出を通知する通知部を有すること
    を特徴とする請求項1又は請求項2に記載の通信システム。
  4. 前記通知部は、前記検出部が異常を検出した場合に、前記通信線に対する所定の情報送信を行い、
    該情報送信により前記複数の通信装置による情報の受信が妨げられること
    を特徴とする請求項3に記載の通信システム。
  5. 共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにて通信に係る異常を検出する異常検出装置であって、
    前記通信線に接続され、
    前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングするサンプリング部と、
    該サンプリング部による複数のサンプリング結果に基づいて通信に係る異常を検出する検出部と
    を備えることを特徴とする異常検出装置。
  6. 共通の通信線を介して接続され、該通信線を介して2値の情報の送受信を行う複数の通信装置を備え、前記通信装置は1ビットの情報の送信期間中に所定のタイミングで前記通信線の電圧を1回サンプリングすることで情報の受信を行う受信部をそれぞれ有し、前記複数の通信装置が異なるタイミングでサンプリングを行うことが許容された通信システムにて通信の異常を検出する異常検出方法であって、
    前記複数の通信装置によるサンプリングのうち、最も早いサンプリングのタイミング及び最も遅いサンプリングのタイミングを含む所定期間に亘って、前記通信線の電圧を複数回サンプリングし、
    複数回のサンプリング結果に基づいて通信に係る異常を検出すること
    を特徴とする異常検出方法。
JP2015005260A 2015-01-14 2015-01-14 通信システム、異常検出装置及び異常検出方法 Active JP6370717B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015005260A JP6370717B2 (ja) 2015-01-14 2015-01-14 通信システム、異常検出装置及び異常検出方法
US15/542,202 US10320640B2 (en) 2015-01-14 2016-01-13 Communication system, abnormality detection device and abnormality detection method
PCT/JP2016/050826 WO2016114301A1 (ja) 2015-01-14 2016-01-13 通信システム、異常検出装置及び異常検出方法
DE112016000411.7T DE112016000411B4 (de) 2015-01-14 2016-01-13 Kommunikationssystem, Anomalitätserfassungsvorrichtung und Verfahren zum Erfassen einer Anomalität
CN201680004971.0A CN107113215B (zh) 2015-01-14 2016-01-13 通信系统、异常检测装置及异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015005260A JP6370717B2 (ja) 2015-01-14 2015-01-14 通信システム、異常検出装置及び異常検出方法

Publications (2)

Publication Number Publication Date
JP2016131325A JP2016131325A (ja) 2016-07-21
JP6370717B2 true JP6370717B2 (ja) 2018-08-08

Family

ID=56405842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015005260A Active JP6370717B2 (ja) 2015-01-14 2015-01-14 通信システム、異常検出装置及び異常検出方法

Country Status (5)

Country Link
US (1) US10320640B2 (ja)
JP (1) JP6370717B2 (ja)
CN (1) CN107113215B (ja)
DE (1) DE112016000411B4 (ja)
WO (1) WO2016114301A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6819359B2 (ja) * 2017-03-01 2021-01-27 株式会社ノーリツ 給湯システム
JP2018157288A (ja) * 2017-03-16 2018-10-04 本田技研工業株式会社 通信システム
JP2018157463A (ja) 2017-03-21 2018-10-04 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、通信管理装置、車両制御装置
DE102017212757A1 (de) * 2017-07-25 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Feldbusses
JP7003544B2 (ja) * 2017-09-29 2022-01-20 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
CN108957237B (zh) * 2018-08-01 2020-12-01 歌尔光学科技有限公司 一种异常线路检测方法、装置、设备及存储介质
CN109101359B (zh) * 2018-08-13 2022-04-26 上海联影医疗科技股份有限公司 设备、设备部件间信息传输方法、模块及计算机设备
JP7030742B2 (ja) * 2019-05-27 2022-03-07 本田技研工業株式会社 通信システム、および通信制御方法
WO2021002013A1 (ja) * 2019-07-04 2021-01-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4389662B2 (ja) * 2004-05-18 2009-12-24 パナソニック電工株式会社 端末制御装置及びこれを用いた端末制御システム
US7724814B2 (en) 2006-08-15 2010-05-25 Texas Instruments Incorporated Methods and apparatus for decision feedback equalization with dithered updating
JP5003516B2 (ja) * 2008-01-31 2012-08-15 横河電機株式会社 通信装置
JP5904163B2 (ja) 2013-06-19 2016-04-13 株式会社オートネットワーク技術研究所 接続検出装置及び車載中継装置

Also Published As

Publication number Publication date
WO2016114301A1 (ja) 2016-07-21
DE112016000411T5 (de) 2017-10-12
JP2016131325A (ja) 2016-07-21
US10320640B2 (en) 2019-06-11
US20170359241A1 (en) 2017-12-14
DE112016000411B4 (de) 2020-08-06
CN107113215B (zh) 2020-04-14
CN107113215A (zh) 2017-08-29

Similar Documents

Publication Publication Date Title
JP6370717B2 (ja) 通信システム、異常検出装置及び異常検出方法
CN107005447B (zh) 通信控制装置及通信系统
US10778696B2 (en) Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus
US10742675B2 (en) Fraudulent message detection device, electronic control apparatus equipped with fraudulent message detection device, fraudulent message detection method, and fraudulent message detection program
CN107005449B (zh) 通信系统和通信装置
US11863569B2 (en) Bus-off attack prevention circuit
JP7232832B2 (ja) 不正検知方法及び不正検知装置
JP2011123545A (ja) 比較冗長型情報処理装置
US20160357159A1 (en) Method for Determining a Master Time Signal, Vehicle, and System
US11841942B2 (en) Anomaly detection device and anomaly detection method
US11647045B2 (en) Monitoring a network connection for eavesdropping
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
WO2019225369A1 (ja) 車載通信システム、判定装置、通信装置、判定方法及びコンピュータプログラム
KR102016029B1 (ko) 차량 통신의 부하 분산 장치 및 방법
JP6492885B2 (ja) 診断装置
JP2020088439A (ja) Can通信装置、can通信システム、can通信方法およびプログラム
JP5874568B2 (ja) 演算処理装置
EP3975455A1 (en) Determining correctness of actually received timestamp
WO2019188055A1 (ja) 通信システム、受信装置、送信間隔変更方法及びコンピュータプログラム
JP3528123B2 (ja) データ評価回路
JP6292740B2 (ja) データ受信装置
JP2020035205A (ja) 演算装置、及び相互監視システム
JP2019097012A (ja) 情報処理装置、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180711

R150 Certificate of patent or registration of utility model

Ref document number: 6370717

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250