JP6481579B2 - 車載通信システム及び監視装置 - Google Patents

車載通信システム及び監視装置 Download PDF

Info

Publication number
JP6481579B2
JP6481579B2 JP2015192146A JP2015192146A JP6481579B2 JP 6481579 B2 JP6481579 B2 JP 6481579B2 JP 2015192146 A JP2015192146 A JP 2015192146A JP 2015192146 A JP2015192146 A JP 2015192146A JP 6481579 B2 JP6481579 B2 JP 6481579B2
Authority
JP
Japan
Prior art keywords
message
unit
processing unit
discard
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015192146A
Other languages
English (en)
Other versions
JP2017069719A5 (ja
JP2017069719A (ja
Inventor
井上 雅之
雅之 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2015192146A priority Critical patent/JP6481579B2/ja
Priority to PCT/JP2016/077959 priority patent/WO2017057165A1/ja
Priority to CN201680052782.0A priority patent/CN108028855B/zh
Priority to DE112016004438.0T priority patent/DE112016004438T5/de
Priority to US15/763,308 priority patent/US10554623B2/en
Publication of JP2017069719A publication Critical patent/JP2017069719A/ja
Publication of JP2017069719A5 publication Critical patent/JP2017069719A5/ja
Application granted granted Critical
Publication of JP6481579B2 publication Critical patent/JP6481579B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Description

本発明は、共通の通信線に接続された複数の通信装置がメッセージの送受信を行う車載通信システム、及び、メッセージを監視する監視装置に関する。
従来、車両には複数のECU(Electronic Control Unit)が搭載され、これらがCAN(Controller Area Network)などのネットワークを介して接続されている。これら複数のECUは、ネットワークを介して情報を交換しながら各個の処理を進めている。近年では車両内のネットワークの規模が大きくなる傾向がある。このような車両のネットワークに対する攻撃として、例えばECUに不正なプログラムを注入することが行われ得る。不正なプログラムを注入されたECUは、車両のネットワークへ不正なメッセージ送信を行う可能性があり、これによりネットワークに接続された他のECUが誤動作するなどの虞がある。
特許文献1においては、CANプロトコルを変更せずにMAC(Message Authentication Code)によるメッセージ認証を行う通信システムが提案されている。この通信システムにおいては、各ECUがCAN−ID毎にメッセージの送信回数をカウントする。送信ノードは、メインメッセージのデータフィールド、CAN−ID及びカウント値からMACを生成してMACメッセージとして送信する。受信ノードは、受信したメインメッセージに含まれるデータフィールド、CAN−IDとカウント値とからMACを生成し、MACメッセージに含まれるMACと一致するかを判断する。
非特許文献1においては、各ECUがネットワーク上を流れるメッセージを監視し、自身が送信するはずのCAN−IDが付されたメッセージが他のECUから送信された場合にこれを不正メッセージと判断し、不正メッセージを検出したECUが不正メッセージの送信完了前にエラーフレームを送信することで送信を阻止する通信システムが提案されている。
特開2013−98719号公報
畑正人,田邉正人,吉岡克成,大石和臣,松本勉、「不正送信阻止:CANではそれが可能である」、コンピュータセキュリティシンポジウム、2011年10月
非特許文献1に記載の通信システムでは、不正メッセージを検出したECUがエラーフレームを送信して不正メッセージの送信を阻止している。しかしながら、メッセージの送信がエラーとなったECU(不正なECU)は、このメッセージがエラーなく送信されるまで、メッセージの再送信を繰り返すこととなる。このようなメッセージの再送信が繰り返され続けた場合、これにより通信線が占有されてしまい、他のECUによる正規のメッセージ送信が阻害される虞がある。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、不正なメッセージ送信が繰り返されて通信線が占有されることを防止し得る車載通信システム及び監視装置を提供することにある。
本発明に係る車載通信システムは、車両に搭載された複数の通信装置が共通の通信線を介して接続された車載通信システムにおいて、前記通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部により破棄さたメッセージの識別情報を記憶する第1記憶部とを有する監視装置を備え、各通信装置は、前記監視装置により破棄させられたメッセージの識別情報を記憶する第2記憶部と、前記第2記憶部に記憶された識別情報が付されたメッセージに基づく処理を禁止する禁止部を有し、前記破棄部は、前記第1記憶部に記憶された識別情報が付されたメッセージに対しては破棄させる処理を行わず、前記監視装置は、前記第1記憶部に記憶された識別情報が付されたメッセージを受信した場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部を有することを特徴とする。
また、本発明に係る車載通信システムは、前記監視装置が、前記受信完了通知部による前記信号が出力された場合に、前記第1記憶部に記憶された識別情報を消去する第1記憶消去部を有し、各通信装置は、前記受信完了通知部による前記信号が出力された場合に、前記第2記憶部に記憶された識別情報を消去する第2記憶消去部を有することを特徴とする。
また、本発明に係る車載通信システムは、車両に搭載された複数の通信装置が共通の通信線を介して接続された車載通信システムにおいて、前記通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部によりメッセージ破棄さた回数をカウントする第1カウンタと、前記第1カウンタがカウントした回数が所定回数を超える場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部とを有する監視装置を備え、各通信装置は、前記監視装置によりメッセージを破棄させられた回数をカウントする第2カウンタと、前記第2カウンタがカウントした回数が前記所定回数を超える場合、受信したメッセージに基づく処理を禁止する禁止部を有し、前記破棄部は、前記第1カウンタがカウントした回数が前記所定回数を超える場合にメッセージを破棄させる処理を行わないことを特徴とする。
また、本発明に係る車載通信システムは、前記監視装置が、前記破棄部によりメッセージ破棄さた場合に、破棄さたメッセージの識別情報を記憶する第1記憶部と、前記第1記憶部に記憶された識別情報とは異なる識別情報が付されたメッセージが前記通信線に送信された場合に、前記第1カウンタを初期化する初期化部とを有し、各通信装置は、前記監視装置によりメッセージを破棄させられた場合に、破棄させられたメッセージの識別情報を記憶する第2記憶部と、前記第2記憶部に記憶された識別情報とは異なる識別情報が付されたメッセージが前記通信線に送信された場合に、前記第2カウンタを初期化する初期化部とを有することを特徴とする。
また、本発明に係る車載通信システムは、前記監視装置が、前記受信完了通知部による信号が出力された場合に、前記第1カウンタを初期化する初期化部を有し、各通信装置は、前記受信完了通知部による信号が出力された場合に、前記第2カウンタを初期化する初期化部を有することを特徴とする。
また、本発明に係る車載通信システムは、前記監視装置が、複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であることを特徴とする。
また、本発明に係る監視装置は、車両に搭載された複数の通信装置が接続された共通の通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部により破棄させたメッセージの識別情報を記憶する記憶部と、前記記憶部に記憶された識別情報が付されたメッセージを受信した場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部とを備え、前記破棄部は、前記記憶部に記憶された識別情報が付されたメッセージに対しては破棄させる処理を行わないことを特徴とする。
また、本発明に係る監視装置は、車両に搭載された複数の通信装置が接続された共通の通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部によりメッセージを破棄させた回数をカウントするカウンタと、前記カウンタがカウントした回数が所定回数を超える場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部とを備え、前記破棄部は、前記カウンタがカウントした回数が前記所定回数を超える場合にメッセージを破棄させる処理を行わないことを特徴とする。
本発明においては、共通の通信線を介して複数の通信装置が接続された構成の車載通信システム中に、正規のメッセージであるか否かを判定する判定部、正規でないメッセージを送信完了前に破棄させる破棄部、破棄されたメッセージに付された識別情報を記憶する記憶部、及び、この記憶部に記憶された識別情報のメッセージを受信した場合に受信完了を示す信号を出力する受信完了通知部を設ける。なお判定部、破棄部、記憶部及び受信完了通知部は、車載通信システムに含まれる各通信装置が備える構成であってもよく、通信線に接続された監視装置が備える構成であってもよい。
車載通信システムの各通信装置は、記憶部に記憶された識別情報が付されたメッセージに基づく処理を行わない。また破棄部は、記憶部に記憶された識別情報が付されたメッセージに対しては、このメッセージを破棄させる処理を行わない。
即ち本車載通信システムでは、不正なメッセージの1回目の送信に対しては破棄部による破棄が行われ、このときに破棄したメッセージの識別情報が記憶される。この破棄に対して、例えば不正な通信装置が不正メッセージの再送信を行った場合、再送信されたメッセージに付された識別情報が記憶部に記憶されているため、破棄部による破棄は行われず、受信完了通知部による受信完了の信号出力が行われるが、各通信装置はこの不正メッセージに基づく処理は行わない。受信完了の信号出力が行われることにより、不正メッセージを送信した不正な通信装置では、不正メッセージが他の通信装置により受信されたと判断されるため、不正メッセージの再送信は行われなくなる。
また本発明においては、破棄されたメッセージの識別情報を記憶する記憶部は、受信完了通知部による受信完了の信号出力が行われた場合に、記憶している識別情報を消去する。これにより、不正なメッセージと同じ識別情報が付される正規のメッセージに基づく処理が各ECUにて行われなくなることを防止できる。
また本発明においては、共通の通信線を介して複数の通信装置が接続された構成の車載通信システム中に、正規のメッセージであるか否かを判定する判定部、正規でないメッセージを送信完了前に破棄させる破棄部、メッセージが破棄された回数をカウントするカウンタ、及び、カウンタがカウントした回数が所定回数を超える場合に受信完了を示す信号を出力する受信完了通知部を設ける。なお判定部、破棄部、カウンタ及び受信完了通知部は、車載通信システムに含まれる各通信装置が備える構成であってもよく、通信線に接続された監視装置が備える構成であってもよい。
車載通信システムの各通信装置は、カウンタがカウントした回数が所定回数を超える場合に、受信メッセージに基づく処理を行わない。また破棄部は、カウンタがカウントした回数が所定回数を超える場合、メッセージを破棄させる処理を行わない。
即ち本車載通信システムでは、不正なメッセージの所定回数以下の送信に対しては破棄部による破棄が行われ、このときにメッセージを破棄した回数がカウンタによりカウントされる。この破棄に対して、例えば不正な通信装置が不正メッセージの再送信を繰り返し行って、破棄の回数が所定回数を超えた場合、受信完了通知部による受信完了の信号出力が行われるが、各通信装置はこの不正メッセージに基づく処理は行わない。受信完了の信号出力が行われることにより、不正メッセージを送信した不正な通信装置では、不正メッセージが他の通信装置により受信されたと判断されるため、不正メッセージの再送信は行われなくなる。
また本発明においては、破棄部により破棄されたメッセージに付された識別情報を記憶する記憶部を備え、記憶部に記憶された識別情報と異なる識別情報が付されたメッセージが通信線に送信された場合にはカウンタを初期化する。これにより、同一の識別情報が連続的に送信されている場合にのみカウンタによるカウントを行うことができる。
また本発明においては、メッセージの破棄回数をカウントするカウンタは、受信完了通知部による受信完了の信号出力が行われた場合に、そのカウント値を初期化する。これにより、正規のメッセージに基づく処理が各ECUにて行われなくなることを防止できる。
また本発明においては、メッセージを破棄させる処理などを監視装置が行う構成とする場合、通信線間のメッセージを中継するゲートウェイ装置をこの監視装置とすることが好適である。これにより複数の通信線に対する破棄処理などをゲートウェイ装置が一括して行うことができる。
本発明による場合は、不正メッセージを破棄した後、更に不正メッセージの再送信が繰り返される場合には、不正メッセージを破棄せずに受信完了の信号を出力し、このメッセージに基づく処理を各通信装置が行わない構成とすることにより、不正なメッセージ送信が繰り返されて通信線が占有されることを防止できる。
実施の形態1に係る車載通信システムの構成を示す模式図である。 本実施の形態に係る監視装置が行う監視処理の手順を示すフローチャートである。 本実施の形態に係る各ECUが行う受信処理の手順を示すフローチャートである。 本実施の形態に係る各ECUが行う受信処理の手順を示すフローチャートである。 変形例1に係る車載通信システムの構成を示すブロック図である。 変形例2に係る車載通信システムの構成を示すブロック図である。 実施の形態2に係る車載通信システムの構成を示すブロック図である。 実施の形態2に係る監視装置が行う監視処理の手順を示すフローチャートである。 実施の形態2に係る各ECUが行う受信処理の手順を示すフローチャートである。 実施の形態2に係る各ECUが行う受信処理の手順を示すフローチャートである。
(実施の形態1)
以下、本発明をその実施の形態を示す図面に基づき具体的に説明する。図1は、実施の形態1に係る車載通信システムの構成を示す模式図である。実施の形態1に係る車載通信システムは、車両1に搭載された複数のECU30が共通の通信線2を介して接続された構成であり、通信線2を介したECU30のメッセージの送受信を監視する監視装置10を備えている。
監視装置10は、処理部11、通信部12及び記憶部13等を備えて構成されている。処理部11は、CPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を用いて構成され、図示しないROM(Read Only Memory)などに記憶されたプログラムを実行することにより、メッセージの監視に係る種々の処理を行う。
通信部12は、通信線2が接続され、この通信線2を介して他のECU30との間でメッセージの送受信を行うことができる。通信部12は、いわゆるCANコントローラを用いて構成され得る。通信部12は、通信線2の電位をサンプリングすることによってメッセージを受信し処理部11へ与えると共に、処理部11から与えられた送信用のメッセージを電気信号に変換して通信線2へ出力することによってメッセージを送信することができる。ただし本実施の形態に係る監視装置10はECU30との間でメッセージの送受信を行う必要はなく、通信部12は通信線2を介してECU30の間で送受信されるメッセージを監視するために用いられる。
記憶部13は、例えばSRAM(Static Random Access Memory)又はDRAM(Dynamic Random Access Memory)等のデータ書き換えが可能なメモリ素子を用いて構成されている。処理部11は、受信メッセージなどの種々のデータを記憶部13に記憶することができる。ただし本実施の形態に係る監視装置10は、通信線2を介して送受信されるメッセージを監視し、不正メッセージであると判断して破棄処理を行ったメッセージに付されていたIDを記憶部13に記憶する。
本実施の形態に係る監視装置10の処理部11には、ROMなどに記憶された監視処理のためのプログラムを実行することにより、判定処理部21、破棄処理部22、通知処理部23及び消去処理部24等がソフトウェア的な機能ブロックとして実現される。判定処理部21は、通信線2上にECU30が送信したメッセージが正規のメッセージであるか否かを判定する。なお本実施の形態において、判定処理部21によるメッセージの判定方法については規定しない。判定処理部21は、例えばメッセージに付されたMACなどに基づいて判定を行う構成であってもよく、また例えば予め登録されていないIDが付されたメッセージを不正メッセージと判定する構成であってもよく、これら以外の方法で判定を行う構成であってもよい。
破棄処理部22は、判定処理部21が正規のメッセージではない、即ち不正メッセージであると判定したメッセージを、通信線2に接続された全てのECU30に破棄させる処理を行う。詳しくは、破棄処理部22は、通信線2に出力された不正メッセージの送信完了前に、通信線2に対して通信部12からエラーフレームを出力することにより、不正メッセージを破棄させる。破棄処理部22が破棄処理を行った場合、処理部11は、この不正メッセージに付されていたIDを記憶部13に破棄IDとして記憶しておく。なお本実施の形態においては、記憶部13に破棄IDとして記憶されるIDは1つである。破棄処理部22が不正メッセージの破棄処理を行うことによって、不正メッセージがECU30にて受信されてこれに基づく処理が行われることを防止できる。
通知処理部23は、通信線2に出力されたメッセージのIDと、記憶部13に破棄IDとして記憶したIDとが一致するか否かを判定する。両IDが一致する場合、通知処理部23は、このメッセージが正規のものであるか否かに関わらず、このメッセージの受信完了を通知する処理を行う。詳しくは、通知処理部23は、このメッセージの送信に対して通信部12にて通信線2へACKを出力することにより、このメッセージの送信元のECU30へ受信完了を通知する。通知処理部23が通知処理を行うことによって、不正メッセージの送信元に受信完了を通知することができるため、不正メッセージが再送信され続けることを防止できる。
消去処理部24は、通知処理部23によるACKの出力が行われた場合、記憶部13に破棄IDとして記憶されたIDを、記憶部13から消去する処理を行う。消去処理部24が破棄IDの消去を行うことにより、破棄IDと同じIDが付された正規のメッセージに基づく処理が各ECU30にて行われなくなることを防止できる。
本実施の形態に係る車載通信システムに含まれる各ECU30(ただし正規のECU30)は、処理部31、通信部32及び記憶部33等を備えて構成されている。処理部31は、CPU又はMPU等の演算処理装置を用いて構成され、車両1の制御に係る種々の処理を行う。通信部32は、他のECU30との間で通信線2を介したメッセージの送受信を行うためのものであり、いわゆるCANコントローラを用いて構成され得る。通信部32は、通信線2の電位をサンプリングすることによってメッセージを受信し処理部31へ与えると共に、処理部31から与えられた送信用のメッセージを電気信号に変換して通信線2へ出力することによってメッセージを送信することができる。
これによりECU30は、他のECU30が送信したメッセージを通信部32にて受信し、受信したメッセージに基づく処理を処理部31にて行うことができる。またECU30は、処理部31の処理により生成した情報をメッセージとして通信部32から他のECU30へ送信することができる。例えば、ECU30が車両1のヘッドライトを制御するECUである場合、他のECU30がセンサによって検知した明るさの情報をメッセージとして受信し、受信したメッセージに含まれる明るさの情報に応じてヘッドライトの点灯/消灯を切り替える制御処理を処理部31が行うことができる。なおECU30が受信メッセージに基づいて行う処理はこれに限定されるものではなく、どのような処理であってもよい。
記憶部33は、例えばSRAM又はDRAM等のデータ書き換えが可能なメモリ素子を用いて構成されている。処理部31は、制御に係る種々のデータを記憶部33に記憶することができる。また本実施の形態に係るECU30は、通信線2に出力されたメッセージが送信完了する前に、監視装置10によるエラーフレームの出力が行われた場合に、このメッセージを受信処理の途中で破棄すると共に、このメッセージに付されていたIDを破棄IDとして記憶部33に記憶する。なお本実施の形態においては、記憶部33に破棄IDとして記憶されるIDは1つである。
本実施の形態に係るECU30の処理部31には、ROMなどに記憶された通信処理のためのプログラムを実行することにより、禁止処理部41がソフトウェア的な機能ブロックとして実現される。禁止処理部41は、記憶部33に記憶された破棄IDと同じIDが付されたメッセージを用いた処理を禁止する。これにより処理部31は、記憶部33に記憶された破棄IDと同じIDが付されたメッセージを通信部32にて受信した場合、このメッセージを用いた処理を行わない。これにより、監視装置10が不正と判定して破棄処理が行われたメッセージと同じIDのメッセージに基づく処理が各ECU30にて行われることを防止できる。
また禁止処理部41は、記憶部33に記憶された破棄IDと同じIDが付されたメッセージを通信部32にて受信した場合、受信完了を通知するACKの出力と、記憶部33に記憶された破棄IDを消去する処理とを行う。(即ち禁止処理部41は、監視装置10の通知処理部23及び消去処理部24と略同じ処理をも行う。)
図2は、本実施の形態に係る監視装置10が行う監視処理の手順を示すフローチャートである。本実施の形態に係る監視装置10の処理部11は、通信線2に対するECU30のメッセージ送信が行われたか否かを判定する(ステップS1)。メッセージ送信が行われていない場合(S1:NO)、処理部11は、ECU30によるメッセージ送信が行われるまで待機する。ECU30によるメッセージ送信が行われた場合(S1:YES)、処理部11は、通信線2に対してメッセージのIDが出力された段階で、メッセージのIDを取得する(ステップS2)。また処理部11は、記憶部13に破棄IDとして記憶されたIDを取得する(ステップS3)。なおこのときに記憶部13に破棄IDが記憶されていない場合、処理部11は、IDの取得を行わなくてよい。
処理部11は、ステップS2にて取得したIDと、ステップS3にて取得したIDとが一致したか否かを判定する(ステップS4)。なおステップS3にて破棄IDを取得できなかった場合、処理部11は、ステップS4にてIDが一致しないと判定すればよい。両IDが一致しない場合(S4:NO)、処理部11の判定処理部21は、通信線2に対してメッセージに含まれる認証情報(MAC)が出力された段階でこの認証情報を取得し、取得した認証情報が正否判定を行い(ステップS5)、通信線2に送信中のメッセージが正規のメッセージであるか否かを判定する(ステップS6)。なお本フローチャートでは、メッセージに認証情報が付されており、この認証情報に基づいてメッセージの正否判定を行う構成としてあるが、これは一例であって、メッセージの正否判定は認証情報を用いる以外の方法で行ってもよい。
通信線2に送信中のメッセージが正規のメッセージではないと判定処理部21が判定した場合(S6:NO)、処理部11の破棄処理部22は、このメッセージの送信が完了する前に、通信線2に対してエラーフレームを出力し(ステップS7)、このメッセージをECU30に破棄させる。次いで処理部11は、このメッセージのIDを記憶部13に破棄IDとして記憶し(ステップS8)、処理を終了する。
通信線2に送信中のメッセージが正規のメッセージであると判定処理部21が判定した場合(S6:YES)、処理部11の通知処理部23は、通信線2へACKを出力し(ステップS9)、このメッセージの受信完了を通知する。次いで処理部11は、記憶部13に破棄IDとして記憶されているIDを消去し(ステップS10)、処理を終了する。
図3及び図4は、本実施の形態に係る各ECU30が行う受信処理の手順を示すフローチャートである。本実施の形態に係るECU30の処理部31は、通信線2に対する他のECU30のメッセージ送信が行われたか否かを判定する(ステップS21)。メッセージ送信が行われていない場合(S21:NO)、処理部31は、他のECU30によるメッセージ送信が行われるまで待機する。他のECU30によるメッセージ送信が行われた場合(S21:YES)、処理部31は、通信線2に対してメッセージのIDが出力された段階で、メッセージのIDを取得する(ステップS22)。また処理部31は、記憶部33に破棄IDとして記憶されたIDを取得する(ステップS23)。なおこのときに記憶部33に破棄IDが記憶されていない場合、処理部31は、IDの取得を行わなくてよい。
処理部31は、ステップS22にて取得したIDと、ステップS23にて取得したIDとが一致したか否かを判定する(ステップS24)。なおステップS23にて破棄IDを取得できなかった場合、処理部31は、ステップS24にてIDが一致しないと判定すればよい。両IDが一致しない場合(S24:NO)、処理部31は、このメッセージの送信完了前にエラーフレームを受信したか否かを判定する(ステップS25)。エラーフレームを受信していない場合(S25:NO)、処理部31は、通信線2に出力されているメッセージの受信を行う(ステップS26)。処理部31は、通信線2へACKを出力し(ステップS27)、このメッセージの受信完了を通知する。その後、処理部31は、受信したメッセージに基づく処理を行って(ステップS28)、処理を終了する。
通信線2上のメッセージの送信完了前にエラーフレームを受信した場合(S25:YES)、処理部31は、このメッセージの受信処理を中断し、このメッセージを破棄する(ステップS29)。また処理部31は、このメッセージのIDを記憶部33に破棄IDとして記憶し(ステップS30)、処理を終了する。
またステップS22にて取得したIDとステップS23にて取得したIDとが一致する場合(S24:YES)、処理部31の禁止処理部41は、受信メッセージに基づく処理を禁止する(ステップS31)。処理部31は、通信線2へACKを出力し(ステップS32)、このメッセージの受信完了を通知する。次いで処理部31は、記憶部33に破棄IDとして記憶されているIDを消去し(ステップS33)、処理を終了する。
以上の構成の実施の形態1に係る車載通信システムは、共通の通信線2を介して複数のECU30が接続された構成の車載通信システム中に、正規のメッセージであるか否かを判定する判定処理部21、不正なメッセージを送信完了前に破棄させる処理を行う破棄処理部22、破棄されたメッセージのIDを記憶する記憶部13、及び、この記憶部13に記憶されたIDのメッセージを受信した場合に受信完了を示すACKの信号を出力する処理を行う通知処理部23を有する監視装置10を設けた構成である。なお破棄処理部22は、記憶部13に破棄IDとして記憶されたIDが付されたメッセージに対しては、破棄処理を行わない。また各ECU30は、監視装置10により破棄処理がなされたメッセージに付されていたIDを破棄IDとして記憶部33に記憶し、禁止処理部41が記憶部33に記憶されたIDが付されたメッセージに基づく処理を禁止することで、不正メッセージに基づく処理を行わない。
即ち本実施の形態に係る車載通信システムでは、不正なメッセージの1回目の送信に対しては監視装置10の破棄処理部22による破棄が行われ、このときに破棄されたメッセージのIDが監視装置10及びECU30のそれぞれにて記憶される。このメッセージの破棄に対して、不正なECUなどが不正メッセージの再送信を行った場合、再送信されたメッセージに付されたIDが監視装置10及びECU30にて記憶されているため、監視装置10の破棄処理部22による破棄は行われず、通知処理部23による受信完了のACK信号出力が行われるが、各ECU30ではこの不正メッセージに基づく処理が禁止されており行われない。不正メッセージに対して受信完了のACK信号の出力が行われることにより、不正メッセージを送信した不正なECUではこのメッセージが他のECU30により受信されたと判断されるため、不正メッセージの再送信は行われなくなる。
また監視装置10の消去処理部24は、通知処理部23による受信完了のACK信号の出力が行われた場合に、記憶部13に破棄IDとして記憶しているIDを消去する。同様に、各ECU30は、記憶部33に破棄IDとして記憶しているIDが付されたメッセージを受信した場合、記憶部33に記憶されたIDを消去する。これにより、不正メッセージと同じIDが付される正規のメッセージに基づく処理が各ECU30にて行われなくなることを防止できる。
なお本実施の形態において監視装置10は、判定処理部21、破棄処理部22、通知処理部23及び消去処理部24の各処理を処理部11が行う構成としたが、これに限るものではなく、例えば通信部12が行う構成としてもよい。この場合には、記憶部13は通信部12が直接的にアクセス可能な構成とするか、又は、通信部12内に設けてもよい。同様にECU30は、禁止処理部41の処理を処理部31が行う構成としたが、これに限るものではなく、例えば通信部32が行う構成としてもよい。
また本実施の形態においては、車両1の車載通信システムに含まれる各ECU30がCANプロトコルに従った通信を行う構成としたが、これに限るものではない。各ECU30が、CAN以外のプロトコル、例えばTCP/IP又はFlexRay等のプロトコルに従った通信を行う構成としてもよい。また車両1に搭載される車載通信システムを例に説明を行ったが、これに限るものではなく、航空機若しくは船舶等の移動体に搭載される車載通信システム、又は、工場若しくはオフィス等に設置される車載通信システム等のように、車載以外の車載通信システムに対して本技術を適用してもよい。また上述の実施の形態においては、判定処理部21、破棄処理部22、通知処理部23及び消去処理部24の各処理を行う監視装置10をECU30とは別に設ける構成としたが、これに限るものではない。例えば以下の変形例1に示すように、判定処理部21、破棄処理部22、通知処理部23及び消去処理部24の各処理を各ECU30が行う構成としてもよい。
(変形例1)
図5は、変形例1に係る車載通信システムの構成を示すブロック図である。変形例1に係る車載通信システムは、通信線2上に送受信されるメッセージを監視する監視装置10を備えず、通信線2に接続される各ECU130がメッセージの監視を行う構成である。各ECU130は、ROMなどに記憶された所定のプログラムを実行することにより、処理部131に判定処理部21、破棄処理部22、通知処理部23、消去処理部24及び禁止処理部41等がソフトウェア的な機能ブロックとして実現される。これらの機能ブロックが行う処理は、上述の実施の形態1に係る監視装置10及びECU30のものと略同じである。
即ち、変形例1に係る各ECU130は、通信線2に対して他のECU130が送信したメッセージが正規のメッセージであるか否かを判定処理部21にて判定する。このときに判定処理部21は、例えば自身が送信すべきIDのメッセージが他のECU130により送信された場合にこのメッセージを不正メッセージと判定する構成としてもよく、また例えばメッセージに付された認証情報に基づいて判定を行う構成としてもよく、これら以外の方法で判定を行う構成としてもよい。各ECU130の破棄処理部22は、判定処理部21が不正メッセージと判定した場合に、このメッセージの送信完了前にエラーフレームを通信線2へ出力することで不正メッセージを他のECU130に破棄させる処理を行う。各ECU130の処理部131は、自身の破棄処理部22によりメッセージの破棄を行った場合、及び、他のECU130のエラーフレーム出力によりメッセージの破棄が行われた場合に、このメッセージに付されていたIDを破棄IDとして記憶部33に記憶する。
また各ECU130の通知処理部23は、通信線2に送信されたメッセージのIDが記憶部33に記憶された破棄IDと一致する場合、通信線2に対してACK信号を出力することでこのメッセージの送信元に対して受信完了を通知する。ただし各ECU130の禁止処理部41は、記憶部33に記憶された破棄IDと一致するIDが付されたメッセージに基づく処理を行うことを禁止し、これにより各ECU130の処理部131では不正メッセージに基づく処理は行われない。通知処理部23がACK信号を出力した場合、各ECU130の消去処理部24は、記憶部33に破棄IDとして記憶されたIDを消去する。
このように変形例1に係る車載通信システムでは、判定処理部21、破棄処理部22、通知処理部23、消去処理部24及び禁止処理部41を各ECU130が有する構成とすることにより、不正なECUが不正メッセージの再送信を繰り返すことを防止することができる。
(変形例2)
図6は、変形例2に係る車載通信システムの構成を示すブロック図である。変形例2に係る車載通信システムは、それぞれに複数のECU30が接続された通信線2及び通信線3がゲートウェイ210に接続され、ゲートウェイ210が通信線2,3間のメッセージを中継する構成である。この構成の場合、ゲートウェイ210に上述の実施の形態1に係る監視装置10と同様の監視機能を設けることができる。
変形例2に係るゲートウェイ210は、処理部211、通信部12a,12b及び記憶部13を備えて構成されている。2つの通信部12a,12bは、それぞれ通信線2,3が接続され、接続された通信線2,3を介してECU30との間でメッセージの送受信を行う。処理部211は、通信部12a,12bの一方にて受信したメッセージを他方から送信することにより、通信線2,3間でメッセージを中継する処理を行う。更に処理部211は、ROMなどに記憶された所定意のプログラムを実行することにより、判定処理部21、破棄処理部22、通知処理部23及び消去処理部24等がソフトウェア的な機能ブロックとして実現される。これらの機能ブロックが行う処理は、上述の実施の形態1に係る監視装置10のものと略同じであるが、2つの通信線2,3に対して個別にメッセージの監視処理を行う。
このように変形例2に係る車載通信システムでは、複数の通信線2,3が接続されるゲートウェイ210にメッセージ監視機能を設ける。これによりゲートウェイ210にてメッセージ監視を集中的に行うことができ、各通信線2,3にそれぞれ監視装置10を設ける構成と比較して、車載通信システムを小規模化及び低コスト化することができる。
(実施の形態2)
図7は、実施の形態2に係る車載通信システムの構成を示すブロック図である。実施の形態2に係る車載通信システムは、実施の形態1に係る車載通信システムと同様に、車両1に搭載された複数のECU330が共通の通信線2を介して接続された構成であり、通信線2を介したECU330のメッセージの送受信を監視する監視装置310を備えている。
監視装置310は、処理部311、通信部12、記憶部13及びカウンタ314等を備えて構成されている。処理部311は、CPU又はMPU等の演算処理装置を用いて構成され、図示しないROMなどに記憶されたプログラムを実行することにより、メッセージの監視に係る種々の処理を行う。カウンタ314は、数値を記憶する回路であり、処理部311から与えられる加算命令に応じて記憶している数値を増加(カウントアップ)し、初期化命令に応じて記憶している数値を0に初期化する。実施の形態2においてカウンタ314は、メッセージが不正であると判定されて破棄された回数をカウントする。
実施の形態2に係る監視装置310の処理部311には、ROMなどに記憶された監視処理のためのプログラムを実行することにより、判定処理部21、破棄処理部22、通知処理部23、消去処理部24及び初期化処理部325等がソフトウェア的な機能ブロックとして実現される。判定処理部21は、通信線2上にECU330が送信したメッセージが正規のメッセージであるか否かを判定する。破棄処理部22は、判定処理部21が正規のメッセージではないと判定した場合に、このメッセージの送信完了前にエラーフレームを通信線2へ出力することにより、ECU330に不正メッセージを破棄させる処理を行う。破棄処理部22が破棄処理を行った場合、処理部311は、この不正メッセージに付されていたIDを記憶部13に破棄IDとして記憶しておくと共に、カウンタ314をカウントアップする。
その後、処理部311は、通信線2にメッセージが送信された場合、このメッセージのIDが記憶部13に記憶した破棄IDと一致するか否かを判定する。両IDが一致しない場合、不正メッセージの再送信が行われていないと判断し、処理部311の初期化処理部325がカウンタ314を初期化すると共に、消去処理部24が記憶部13に記憶した破棄IDを消去する。両IDが一致する場合、処理部311は、カウンタ314が記憶している数値が所定数を超えたか否かを判定する。カウンタ314の数値が所定数を超えない場合、上述と同様に、判定処理部21による正規メッセージであるか否かの判定、及び、破棄処理部22による不正メッセージの破棄処理を行う。
カウンタ314の数値が所定数を超える場合、通知処理部23は、メッセージが正規のものであるか否かに関わらず、このメッセージの送信に対して通信部12にて通信線2へACKを出力することにより、メッセージの送信元へ受信完了を通知する。消去処理部24は、通知処理部23によるACKの出力が行われた場合、記憶部13に破棄IDとして記憶されたIDを、記憶部13から消去する処理を行う。同様に、この場合に初期化処理部325は、カウンタ314を初期化する処理を行う。
実施の形態2に係る車載通信システムに含まれる各ECU330は、処理部331、通信部32、記憶部33及びカウンタ334等を備えて構成されている。処理部331は、CPU又はMPU等の演算処理装置を用いて構成され、車両1の制御に係る種々の処理を行う。実施の形態2に係るECU330の処理部331には、ROMなどに記憶された通信処理のためのプログラムを実行することにより、禁止処理部41がソフトウェア的な機能ブロックとして実現される。カウンタ334は、数値を記憶する回路であり、処理部331から与えられる加算命令に応じて記憶している数値をカウントアップし、初期化命令に応じて記憶している数値を0に初期化する。
実施の形態2に係る各ECU330の処理部331は、通信線2に送信されたメッセージが監視装置310のエラーフレームにより破棄された場合、このメッセージに付されていたIDを記憶部33に記憶する。禁止処理部41は、記憶部33に記憶された破棄IDと同じIDが付されたメッセージを用いた処理を禁止する。その後、処理部331は、通信線2にメッセージが送信された場合、このメッセージのIDが記憶部33に記憶した破棄IDと一致するか否かを判定する。両IDが一致しない場合、不正メッセージの再送信が行われていないと判断し、処理部331はカウンタ334を初期化すると共に、記憶部33に記憶した破棄IDを消去する。両IDが一致する場合、処理部331は、カウンタ334が記憶している数値が所定数を超えたか否かを判定する。なおECU330がカウンタ334との比較を行う所定数は、監視装置310がカウンタ314との比較を行う所定数と同じ値である。カウンタ334の数値が所定数を超えない場合、処理部331は、通常のメッセージの受信処理を行う(ただし、このメッセージは監視装置310により破棄される可能性はある)。
カウンタ334の数値が所定数を超える場合、処理部331は、このメッセージの送信に対して通信部32にて通信線2へACKを出力することにより、メッセージの送信元へ受信完了を通知する。このときに処理部331は、記憶部33に破棄IDとして記憶されたIDを消去すると共に、カウンタ334を初期化する処理を行う。
図8は、実施の形態2に係る監視装置310が行う監視処理の手順を示すフローチャートである。実施の形態2に係る監視装置310の処理部311は、通信線2に対するECU330のメッセージ送信が行われたか否かを判定する(ステップS51)。メッセージ送信が行われていない場合(S51:NO)、処理部311は、ECU330によるメッセージ送信が行われるまで待機する。ECU330によるメッセージ送信が行われた場合(S51:YES)、処理部311は、通信線2に対してメッセージのIDが出力された段階で、メッセージのIDを取得する(ステップS52)。また処理部311は、記憶部13に破棄IDとして記憶されたIDを取得する(ステップS53)。なおこのときに記憶部13に破棄IDが記憶されていない場合、処理部11は、IDの取得を行わなくてよい。
処理部311は、ステップS52にて取得したIDと、ステップS53にて取得したIDとが一致したか否かを判定する(ステップS54)。なおステップS53にて破棄IDを取得できなかった場合、処理部311は、ステップS54にてIDが一致しないと判定すればよい。両IDが一致しない場合(S54:NO)、処理部311の初期化処理部325は、カウンタ314を初期化する(ステップS55)。また処理部311の消去処理部24は、記憶部33に破棄IDとして記憶されたIDを消去し(ステップS56)、ステップS58へ処理を進める。
両IDが一致する場合(S54:YES)、処理部311は、カウンタ314が記憶している数値が所定数を超えるか否かを判定する(ステップS57)。カウンタ314の数値が所定数を超えない場合(S57:NO)、又は、ステップS56にて記憶部33からIDを消去した後、処理部311の判定処理部21は、通信線2に対してメッセージに含まれる認証情報が出力された段階でこの認証情報を取得し、取得した認証情報が正否判定を行い(ステップS58)、通信線2に送信中のメッセージが正規のメッセージであるか否かを判定する(ステップS59)。
通信線2に送信中のメッセージが正規のメッセージではないと判定処理部21が判定した場合(S59:NO)、処理部311の破棄処理部22は、このメッセージの送信が完了する前に、通信線2に対してエラーフレームを出力し(ステップS60)、このメッセージをECU330に破棄させる。処理部311は、このメッセージのIDを記憶部13に破棄IDとして記憶する(ステップS61)。また処理部311は、カウンタ314の値に1を加算し(ステップS62)、処理を終了する。
カウンタ314の数値が所定数を超える場合(S57:YES)、又は、通信線2に送信中のメッセージが正規のメッセージであると判定処理部21が判定した場合(S59:YES)、処理部311の通知処理部23は、通信線2へACKを出力し(ステップS63)、このメッセージの受信完了を通知する。処理部311は、記憶部13に破棄IDとして記憶されているIDを消去する(ステップS64)。また処理部311は、カウンタ314を初期化して(ステップS65)、処理を終了する。
図9及び図10は、実施の形態2に係る各ECU330が行う受信処理の手順を示すフローチャートである。実施の形態2に係るECU330の処理部331は、通信線2に対する他のECU330のメッセージ送信が行われたか否かを判定する(ステップS71)。メッセージ送信が行われていない場合(S71:NO)、処理部331は、他のECU330によるメッセージ送信が行われるまで待機する。他のECU330によるメッセージ送信が行われた場合(S71:YES)、処理部331は、通信線2に対してメッセージのIDが出力された段階で、メッセージのIDを取得する(ステップS72)。また処理部331は、記憶部33に破棄IDとして記憶されたIDを取得する(ステップS73)。なおこのときに記憶部33に破棄IDが記憶されていない場合、処理部331は、IDの取得を行わなくてよい。
処理部331は、ステップS72にて取得したIDと、ステップS73にて取得したIDとが一致したか否かを判定する(ステップS74)。なおステップS73にて破棄IDを取得できなかった場合、処理部331は、ステップS74にてIDが一致しないと判定すればよい。両IDが一致しない場合(S74:NO)、処理部331は、このメッセージの送信完了前にエラーフレームを受信したか否かを判定する(ステップS75)。エラーフレームを受信していない場合(S75:NO)、処理部331は、通信線2に出力されているメッセージの受信を行う(ステップS76)。処理部331は、通信線2へACKを出力し(ステップS77)、このメッセージの受信完了を通知する。処理部331は、受信したメッセージに基づく処理を行う(ステップS78)。また処理部331は、カウンタ334を初期化すると共に(ステップS79)、記憶部33に破棄IDとして記憶されたIDを消去して(ステップS80)、処理を終了する。
通信線2上のメッセージの送信完了前にエラーフレームをした場合(S75:YES)、処理部331は、このメッセージの受信処理を中断し、このメッセージを破棄する(ステップS81)。また処理部331は、このメッセージのIDを記憶部33に破棄IDとして記憶すると共に(ステップS82)、カウンタ334の値に1を加算して(ステップS83)、処理を終了する。
またステップS72にて取得したIDとステップS73にて取得したIDとが一致する場合(S74:YES)、処理部331は、カウンタ334が記憶している数値が所定数を超えるか否かを判定する(ステップS84)。カウンタ334の数値が所定数を超えない場合(S84:NO)、処理部331は、ステップS75へ処理を進める。カウンタ334の数値が所定数を超える場合(S84:YES)、処理部331の禁止処理部41は、受信メッセージに基づく処理を禁止する(ステップS85)。処理部331は、通信線2へACKを出力し(ステップS86)、このメッセージの受信完了を通知する。次いで処理部331は、記憶部33に破棄IDとして記憶されているIDを消去すると共に(ステップS87)、カウンタ334を初期化して(ステップS88)、処理を終了する。
以上の構成の実施の形態2に係る車載通信システムは、共通の通信線2を介して複数のECU330が接続されたシステム中に、正規のメッセージであるか否かを判定する判定処理部21、正規でないメッセージを送信完了前に破棄させる破棄処理部22、メッセージが破棄された回数をカウントするカウンタ314、及び、カウンタが記憶する数値が所定数を超える場合にACK信号を出力する通知処理部23を有する監視装置310を設けた構成である。破棄処理部22は、カウンタ314の数値が所定数を超える場合、メッセージを破棄させる処理を行わない。また各ECU330は、監視装置310によりメッセージの破棄がなされた回数をカウントするカウンタ334を有し、カウンタ334の数値が所定数を超える場合、受信メッセージに基づく処理は禁止されて行われない。
即ち、実施の形態2に係る車載通信システムでは、不正メッセージの所定回数以下の送信に対しては破棄処理部22による破棄が行われ、このときにメッセージを破棄した回数がカウンタ314及びカウンタ334によりカウントされる。破棄処理部22による破棄に対して、例えば不正なECUが不正メッセージの再送信を繰り返し行って、破棄の回数が所定数を超えた場合、監視装置310の通知処理部23によるACK信号の出力が行われるが、各ECU330はこの不正メッセージに基づく処理が禁止されており行われない。受信完了を示すACK信号の出力が行われることにより、不正メッセージを送信した不正なECUでは、不正メッセージがECU330により受信されたと判断されるため、不正メッセージの再送信が行われなくなる。
また監視装置310は、破棄処理部22により破棄されたメッセージに付されたIDを記憶する記憶部13を備え、記憶部13に記憶されたIDとは異なるIDが付されたメッセージが通信線2に送信された場合にはカウンタ314を初期化する。同様に各ECU330は、監視装置310により破棄の処理がなされたメッセージに付されたIDを記憶する記憶部33を備え、記憶部33に記憶されたIDとは異なるIDが付されたメッセージが送信された場合にカウンタ334を初期化する。これにより同一のIDが連続的に送信されている場合にのみカウンタ314,334によるカウントを行うことができる。
またカウンタ314,334は、監視装置310の通知処理部23によるACK信号の出力が行われた場合に、初期化される。これにより正規のメッセージに基づく処理が各ECU330にて禁止され続けることを防止できる。
なお実施の形態2においては、判定処理部21、破棄処理部22、通知処理部23、消去処理部24及び初期化処理部325の各処理を行う監視装置310をECU330とは別に設ける構成としたが、これに限るものではない。例えば実施の形態1の変形例1に示した構成と同様に、判定処理部21、破棄処理部22、通知処理部23、消去処理部24及び初期化処理部325の各処理を各ECU330が行う構成としてもよい。
また、実施の形態2に係る車載通信システムのその他の構成は、実施の形態1に係る車載通信システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。
1 車両
2,3 通信線
10 監視装置
11 処理部
12,12a,12b 通信部
13 記憶部
21 判定処理部(判定部)
22 破棄処理部(破棄部)
23 通知処理部(受信完了通知部)
24 消去処理部(記憶消去部)
30 ECU(通信装置)
31 処理部
32 通信部
33 記憶部
41 禁止処理部(禁止部)
130 ECU(通信装置)
131 処理部
210 ゲートウェイ
211 処理部
310 監視装置
311 処理部
314 カウンタ
325 初期化処理部(初期化部)
330 ECU(通信装置)
331 処理部
334 カウンタ

Claims (8)

  1. 車両に搭載された複数の通信装置が共通の通信線を介して接続された車載通信システムにおいて、
    前記通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部により破棄さたメッセージの識別情報を記憶する第1記憶部とを有する監視装置を備え、
    各通信装置は、
    前記監視装置により破棄させられたメッセージの識別情報を記憶する第2記憶部と、
    前記第2記憶部に記憶された識別情報が付されたメッセージに基づく処理を禁止する禁止部
    を有し、
    前記破棄部は、前記第1記憶部に記憶された識別情報が付されたメッセージに対しては破棄させる処理を行わず、
    前記監視装置は、前記第1記憶部に記憶された識別情報が付されたメッセージを受信した場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部を有すること
    を特徴とする車載通信システム。
  2. 前記監視装置は、前記受信完了通知部による前記信号が出力された場合に、前記第1記憶部に記憶された識別情報を消去する第1記憶消去部を有し、
    各通信装置は、前記受信完了通知部による前記信号が出力された場合に、前記第2記憶部に記憶された識別情報を消去する第2記憶消去部を有すること
    を特徴とする請求項1に記載の車載通信システム。
  3. 車両に搭載された複数の通信装置が共通の通信線を介して接続された車載通信システムにおいて、
    前記通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、前記破棄部によりメッセージ破棄さた回数をカウントする第1カウンタと、前記第1カウンタがカウントした回数が所定回数を超える場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部とを有する監視装置を備え、
    各通信装置は、
    前記監視装置によりメッセージを破棄させられた回数をカウントする第2カウンタと、
    前記第2カウンタがカウントした回数が前記所定回数を超える場合、受信したメッセージに基づく処理を禁止する禁止部
    を有し、
    前記破棄部は、前記第1カウンタがカウントした回数が前記所定回数を超える場合にメッセージを破棄させる処理を行わないこと
    を特徴とする車載通信システム。
  4. 前記監視装置は、
    前記破棄部によりメッセージ破棄さた場合に、破棄さたメッセージの識別情報を記憶する第1記憶部と、
    前記第1記憶部に記憶された識別情報とは異なる識別情報が付されたメッセージが前記通信線に送信された場合に、前記第1カウンタを初期化する初期化部と
    を有し、
    各通信装置は、
    前記監視装置によりメッセージを破棄させられた場合に、破棄させられたメッセージの識別情報を記憶する第2記憶部と、
    前記第2記憶部に記憶された識別情報とは異なる識別情報が付されたメッセージが前記通信線に送信された場合に、前記第2カウンタを初期化する初期化部と
    を有すること
    を特徴とする請求項に記載の車載通信システム。
  5. 前記監視装置は、前記受信完了通知部による信号が出力された場合に、前記第1カウンタを初期化する初期化部を有し、
    各通信装置は、前記受信完了通知部による信号が出力された場合に、前記第2カウンタを初期化する初期化部を有すること
    を特徴とする請求項又は請求項に記載の車載通信システム。
  6. 前記監視装置は、複数の通信線に接続されて、通信線間のメッセージを中継するゲートウェイ装置であること
    を特徴とする請求項1乃至請求項5のいずれか1つに記載の車載通信システム。
  7. 車両に搭載された複数の通信装置が接続された共通の通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、
    前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、
    前記破棄部により破棄させたメッセージの識別情報を記憶する記憶部と、
    前記記憶部に記憶された識別情報が付されたメッセージを受信した場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部と
    を備え、
    前記破棄部は、前記記憶部に記憶された識別情報が付されたメッセージに対しては破棄させる処理を行わないこと
    を特徴とする監視装置。
  8. 車両に搭載された複数の通信装置が接続された共通の通信線に送信されたメッセージが正規のメッセージであるか否かを判定する判定部と、
    前記判定部が正規のメッセージでないと判定したメッセージを、該メッセージの送信完了前に前記通信装置に破棄させる処理を行う破棄部と、
    前記破棄部によりメッセージを破棄させた回数をカウントするカウンタと、
    前記カウンタがカウントした回数が所定回数を超える場合に、前記判定部の判定結果に関わらず、当該メッセージの受信を完了したことを示す信号を前記通信線へ出力する受信完了通知部と
    を備え、
    前記破棄部は、前記カウンタがカウントした回数が前記所定回数を超える場合にメッセージを破棄させる処理を行わないこと
    を特徴とする監視装置。
JP2015192146A 2015-09-29 2015-09-29 車載通信システム及び監視装置 Active JP6481579B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015192146A JP6481579B2 (ja) 2015-09-29 2015-09-29 車載通信システム及び監視装置
PCT/JP2016/077959 WO2017057165A1 (ja) 2015-09-29 2016-09-23 車載通信システム
CN201680052782.0A CN108028855B (zh) 2015-09-29 2016-09-23 车载通信系统
DE112016004438.0T DE112016004438T5 (de) 2015-09-29 2016-09-23 Bordkommunikationssystem
US15/763,308 US10554623B2 (en) 2015-09-29 2016-09-23 On-board communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015192146A JP6481579B2 (ja) 2015-09-29 2015-09-29 車載通信システム及び監視装置

Publications (3)

Publication Number Publication Date
JP2017069719A JP2017069719A (ja) 2017-04-06
JP2017069719A5 JP2017069719A5 (ja) 2018-02-15
JP6481579B2 true JP6481579B2 (ja) 2019-03-13

Family

ID=58423787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015192146A Active JP6481579B2 (ja) 2015-09-29 2015-09-29 車載通信システム及び監視装置

Country Status (5)

Country Link
US (1) US10554623B2 (ja)
JP (1) JP6481579B2 (ja)
CN (1) CN108028855B (ja)
DE (1) DE112016004438T5 (ja)
WO (1) WO2017057165A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6561811B2 (ja) * 2015-12-09 2019-08-21 株式会社オートネットワーク技術研究所 車載通信装置、車載通信システム及び車両特定処理禁止方法
JP6693577B2 (ja) * 2017-02-01 2020-05-13 富士通株式会社 暗号鍵配信システム、鍵配信ecu、鍵配信プログラム、及び暗号鍵配信方法
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP6620133B2 (ja) * 2017-09-28 2019-12-11 株式会社Subaru 車両用通信制御装置及び車両用通信制御システム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
CN113467409A (zh) * 2020-03-31 2021-10-01 北京新能源汽车股份有限公司 一种车辆的电子控制单元的故障诊断方法及装置
JP2022091585A (ja) * 2020-12-09 2022-06-21 トヨタ自動車株式会社 車両通信用中継装置、車両通信用中継方法及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3993063B2 (ja) * 2001-10-15 2007-10-17 三菱電機株式会社 暗号通信装置
WO2005006640A1 (en) * 2003-07-11 2005-01-20 Philips Intellectual Property & Standards Gmbh Transmission of data packets from a transmitter to a receiver
JP2007174287A (ja) * 2005-12-22 2007-07-05 Nec Corp 無線パケット通信システム、無線パケット基地局、無線パケット端末及び不正通信の排除方法
US7783300B2 (en) * 2006-11-22 2010-08-24 Airdefense, Inc. Systems and methods for proactively enforcing a wireless free zone
CN101795170B (zh) * 2009-02-02 2013-11-06 中兴通讯股份有限公司 一种实现数据反馈的方法、接收设备及系统
US8239932B2 (en) * 2009-08-12 2012-08-07 At&T Mobility Ii, Llc. Signal transfer point front end processor
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
WO2013080387A1 (ja) * 2011-12-02 2013-06-06 株式会社オートネットワーク技術研究所 送信メッセージ生成装置及び車載通信システム
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Also Published As

Publication number Publication date
CN108028855B (zh) 2020-10-13
US20180288000A1 (en) 2018-10-04
DE112016004438T5 (de) 2018-06-21
WO2017057165A1 (ja) 2017-04-06
JP2017069719A (ja) 2017-04-06
US10554623B2 (en) 2020-02-04
CN108028855A (zh) 2018-05-11

Similar Documents

Publication Publication Date Title
JP6481579B2 (ja) 車載通信システム及び監視装置
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
JP6525824B2 (ja) 中継装置
JP6685023B2 (ja) 電子制御装置、通信方法およびプログラム
JP6306206B2 (ja) 通信制御装置及び通信システム
JP2013098719A (ja) 通信システムにおけるメッセージ認証方法および通信システム
US11938897B2 (en) On-vehicle device, management method, and management program
WO2017038422A1 (ja) 通信装置
US20200014758A1 (en) On-board communication device, computer program, and message determination method
KR20110031752A (ko) 유비쿼터스 센서 네트워크에서의 위치 정보 및 해쉬 체인을 이용한 시빌 공격 노드 탐지 방법 및 장치
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
JP2023535474A (ja) アソシエーション制御方法及び関連装置
ES2657505T3 (es) Procedimiento, elemento seguro y sistema para supervisar dispositivos de red de área de controlador
JP2017050719A (ja) 車載ネットワークシステム
CN113273144B (zh) 车载通信系统、车载通信控制装置、车载通信装置、通信控制方法及通信方法
KR20190097216A (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
US11212314B2 (en) Method for an object to communicate with a connected objects network to report that a clone may be impersonating the object in the network
CN111343129B (zh) 一种防御协议组网被破解的方法和设备
JP2018019218A (ja) 電子制御装置
CN112740726B (zh) 一种数据传输方法及装置
JP6512205B2 (ja) 通信システム
KR20220065680A (ko) 차량 통신 시스템, 통신 방법 및 통신 프로그램을 기록한 기록 매체
JP2017076861A (ja) 車載通信システム及び監視装置
WO2018206139A1 (en) Authentication exchange for wireless networks using variable expected response lengths

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190128

R150 Certificate of patent or registration of utility model

Ref document number: 6481579

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150