JP6512205B2 - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP6512205B2
JP6512205B2 JP2016221925A JP2016221925A JP6512205B2 JP 6512205 B2 JP6512205 B2 JP 6512205B2 JP 2016221925 A JP2016221925 A JP 2016221925A JP 2016221925 A JP2016221925 A JP 2016221925A JP 6512205 B2 JP6512205 B2 JP 6512205B2
Authority
JP
Japan
Prior art keywords
message
communication
ecu
transmission
reception
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016221925A
Other languages
English (en)
Other versions
JP2018082254A (ja
Inventor
昌俊 松本
昌俊 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2016221925A priority Critical patent/JP6512205B2/ja
Priority to DE102017123903.0A priority patent/DE102017123903B4/de
Priority to US15/784,641 priority patent/US10862687B2/en
Priority to CN201711105312.9A priority patent/CN108076046B/zh
Publication of JP2018082254A publication Critical patent/JP2018082254A/ja
Application granted granted Critical
Publication of JP6512205B2 publication Critical patent/JP6512205B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Power Engineering (AREA)
  • Mechanical Engineering (AREA)

Description

本発明は、通信システムに関する。
従来、車両に搭載された通信システムにおいて、通信バスを伝送するメッセージの正当性を担保するため、メッセージ認証コード(Message Authentication Code:MAC)を用いる方法が知られている(例えば、特許文献1を参照)。
特許文献1では、メッセージ送信側の送信ECU(Electronic Control Unit)は、メインメッセージと、当該メインメッセージに基づき共通の暗号鍵を使用して生成したMACを含むMACメッセージとを、通信バスに送信する。メッセージ受信側の受信ECUは、通信バスから受信したメインメッセージに基づき共通の暗号鍵を使用して生成したMACと、通信バスから受信したMACメッセージに含まれるMACとを比較する。
受信ECUは、これら2つのMACが同じであれば、通信バスから受信したメインメッセージは正当と判断し、当該メインメッセージを処理する。一方、受信ECUは、これら2つのMACが異なれば、通信バスから受信したメインメッセージは不正と判断し、当該メインメッセージを処理しない。
特開2013−98719号公報
しかしながら、従来の技術では、不正メッセージに対処するため、それぞれのECUがMACを生成する必要があるので、不正メッセージに対処するためのECUの処理負荷が増加するおそれがある。
そこで、本開示の一態様は、不正メッセージに対処するためのECUの処理負荷を抑制できる通信システムの提供を目的とする。
上記目的を達成するため、本開示の一態様では、
第1のECUと、
第2のECUと、
前記第1のECUと前記第2のECUとが接続された通信バスとを備え、
前記第1のECUは、
前記通信バスへのメッセージの送信を制御する送信制御部と、
前記通信バスからのメッセージの受信を制御する受信制御部と、
前記第1のECUが前記通信バスへ送信することが予め決められている通信メッセージに、前記受信制御部が前記通信バスから受信した受信メッセージが該当するか否かを判定する該否判定部と、
前記通信メッセージが前記送信制御部により前記通信バスへ送信されたか否かを判定する送信有無判定部と、
前記受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定され、且つ、前記通信メッセージが前記送信制御部により前記通信バスへ送信されていないと前記送信有無判定部により判定された場合、前記第2のECUが前記通信バスから取得した前記通信メッセージを前記第2のECUから削除させるための信号を出力する信号出力部とを備える、通信システムが提供される。
以下、前記受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定され、且つ、前記通信メッセージが前記送信制御部により前記通信バスへ送信されていないと前記送信有無判定部により判定された場合を、「場合X」とする。本開示の一態様に係る通信システムによれば、場合Xにおいて、前記第2のECUが前記通信バスから取得した前記通信メッセージを前記第2のECUから削除させるための信号が出力される。
例えば、前記第1のECUが、前記送信制御部により、前記第1のECUが前記通信バスへ送信することが予め決められている通信メッセージを前記通信バスへ送信した場面を、「場面A」とする。場面Aにおいて、前記第1のECUの前記受信制御部は、前記通信メッセージを前記通信バスから受信することになる。よって、場面Aでは、前記受信制御部が前記通信バスから受信した受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定され、且つ、前記通信メッセージが前記送信制御部により前記通信バスへ送信されたと前記送信有無判定部により判定される。
一方、前記第1のECUとは別の不正機器が、前記第1のECUになりすまして、前記第1のECUが前記通信バスへ送信することが予め決められている通信メッセージを、前記通信バスへ送信する場面を、「場面B」とする。場面Bでも、前記第1のECUの前記受信制御部は、前記通信メッセージを前記通信バスから受信することになるので、前記受信制御部が前記通信バスから受信した受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定される。しかしながら、場面Bでは、前記第1のECUは、前記送信制御部により、前記通信メッセージを前記通信バスへ送信していない。よって、場面Bでは、前記受信制御部が前記通信バスから受信した受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定され、且つ、前記通信メッセージが前記送信制御部により前記通信バスへ送信されていないと前記送信有無判定部により判定される。つまり、場面Bでは、場合Xが成立する。また、場面Bでは、当該不正機器が前記第1のECUから送信されるべき前記通信メッセージを前記通信バスへ送信するので、前記第2のECUが前記通信バスから取得した前記通信メッセージは、当該不正機器が前記通信バスへ送信した不正メッセージに相当する。
したがって、場合Xにおいて、前記第2のECUが前記通信バスから取得した前記通信メッセージは、前記第1のECUが前記通信バスへ送信した通信メッセージではなく、前記第1のECUとは別の不正機器が前記通信バスへ送信した不正メッセージと推定可能である。
場合Xにおいて、本開示の一態様に係る通信システムでは、前記信号出力部は、前記第2のECUが前記通信バスから取得した前記通信メッセージを前記第2のECUから削除させるための信号を出力する。
場合Xにおいて当該信号が出力されると、前記第2のECUが前記通信バスから取得した前記通信メッセージ(すなわち、この場合、不正メッセージ)が前記第2のECUから削除される。したがって、前記第2のECUが従来の技術のようにMACを生成したりMACによる認証を行なったりしなくても、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための前記第2のECUの処理負荷を抑制することができる。また、前記第1のECUは、従来の技術のようにMACを生成しなくても、当該信号を出力することによって、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための前記第1のECUの処理負荷を抑制することができる。
また、本開示の一態様に係る通信システムにおいて、
前記第2のECUは、
前記第2のECUが前記通信バスから取得した前記通信メッセージが格納されるメッセージ格納部と、
前記通信メッセージが前記通信バスから前記第2のECUにより取得されてから所定時間が経過した後、前記メッセージ格納部から前記通信メッセージを受領して処理する処理部とを備え、
前記所定時間が経過するまでに前記信号の受信又は出力がある場合、前記通信メッセージが前記メッセージ格納部から削除される。
これにより、場合Xにおいて、前記第2のECUが前記通信バスから取得した前記通信メッセージ(すなわち、この場合、不正メッセージ)は、前記所定時間が経過するまでに前記信号の受信又は出力により削除される。そのため、前記所定時間の経過後に前記メッセージ格納部に残存しているメッセージは、前記第1のECUから送信されるべき前記通信メッセージ(すなわち、正当メッセージ)となる。したがって、前記処理部は、前記所定時間の経過後に、前記メッセージ格納部から前記通信メッセージを受領して処理することによって、不正メッセージを誤って処理することなく、正当メッセージを正しく処理することができる。
また、前記処理部は、前記所定時間の経過後、前記メッセージ格納部から前記通信メッセージを受領して処理する。これにより、前記第2のECUが前記所定時間の経過後に前記通信バスからメッセージを取得しても、前記メッセージ格納部に格納された正当メッセージが、前記処理部に受領されないまま、その取得メッセージによって上書きされることを防止することができる。
また、本開示の一態様に係る通信システムにおいて、
前記信号出力部は、前記通信バスを使用して前記信号を前記第2のECUに受信させる。
これにより、前記通信メッセージと前記信号とが共通の前記通信バスを伝送するので、前記信号を前記第2のECUに受信させるための新たな信号線の導入コストを抑えることができる。
また、本開示の一態様に係る通信システムにおいて、
前記通信バスとは別の信号線を備え、
前記信号出力部は、前記信号線を使用して前記信号を前記第2のECUに受信させる。
これにより、前記通信メッセージと前記信号とが別々の伝送路を伝送するので、前記通信バスの通信負荷の増大を抑えることができ、前記信号の送信遅延を抑えることができる。
また、本開示の一態様に係る通信システムにおいて、
前記信号出力部は、前記信号を出力することによって、前記第2のECUの電源を遮断させ、
前記第2のECUの電源が遮断されることにより、前記第2のECUが前記通信バスから取得した前記通信メッセージが前記第2のECUから削除される。
これにより、前記信号が出力されることにより、前記第2のECUの電源が強制的に遮断されるので、不正メッセージを前記第2のECUから速やかに削除することができる。
また、本開示の一態様に係る通信システムにおいて、
前記第1のECUは、データ格納部を備え、
前記送信制御部は、前記通信バスへのメッセージの送信を完了させたとき、前記通信バスへのメッセージの送信が完了したことを表す送信完了データを前記データ格納部に格納し、前記送信完了データを前記データ格納部に格納してから、前記通信バスへのメッセージの送信を次に実行するまでに、前記データ格納部から前記送信完了データを削除し、
前記送信有無判定部は、前記送信完了データが前記データ格納部に格納されているか否かに基づいて、前記通信メッセージが前記送信制御部により前記通信バスへ送信されたか否かを判定する。
例えば、前記第1のECUは、前記送信制御部により、前記第1のECUから送信されるべき前記通信メッセージを前記通信バスへ送信した場合、前記通信バスへの前記通信メッセージの送信が完了すると、前記送信完了データが前記データ格納部に格納される。したがって、前記送信有無判定部は、前記送信完了データが前記データ格納部に格納されているので、前記通信メッセージが前記送信制御部により前記通信バスへ送信されたと判定できる。
一方、前記第1のECUとは別の不正機器が、前記第1のECUになりすまして、前記第1のECUから送信されるべき前記通信メッセージを、前記通信バスへ送信した場合、前記送信制御部が前記通信メッセージを前記通信バスへ送信していないことになる。この場合、前記送信完了データは、前記データ格納部に格納されない。したがって、前記送信有無判定部は、前記送信完了データが前記データ格納部に格納されていないので、前記通信メッセージが前記送信制御部により前記通信バスへ送信されていないと判定できる。
また、本開示の一態様に係る通信システムにおいて、
前記該否判定部は、前記受信メッセージを前記通信メッセージのリストと照合することによって、前記受信メッセージが前記通信メッセージに該当するか否かを判定する。
例えば、前記第1のECUは、前記送信制御部により、前記第1のECUから送信されるべき前記通信メッセージを前記通信バスへ送信した場合、前記受信メッセージは当該リスト内に含まれている。また、前記第1のECUとは別の不正機器が、前記第1のECUになりすまして、前記第1のECUから送信されるべき前記通信メッセージを、前記通信バスへ送信した場合も、前記受信メッセージは当該リスト内に含まれている。したがって、これらの場合、前記受信メッセージは当該リスト内に含まれているので、前記該否判定部は、前記受信メッセージが前記通信メッセージに該当すると判定できる。
一方、前記第1のECUとは別の正当機器が前記通信バスへ送信することが予め決められている通信メッセージを、当該正当機器が前記通信バスへ送信した場合、前記受信メッセージは当該リスト内に含まれていない。したがって、この場合、前記受信メッセージは当該リスト内に含まれていないので、前記該否判定部は、前記受信メッセージが前記第1のECUから送信されるべき前記通信メッセージに該当しないと判定できる。
本開示の一態様によれば、不正メッセージに対処するためのECUの処理負荷を抑制することができる。
第1の実施形態に係る通信システムの構成の一例を示す図である。 第1の実施形態に係る通信システムの動作の一例を示す図である。 第1の実施形態に係る第1のECUの動作の一例を示すタイミングチャートである。 第1の実施形態に係る第1のECUの動作の一例を示すフローチャートである。 第1の実施形態に係る第2のECUの動作の一例を示すフローチャートである。 第2の実施形態に係る通信システムの構成の一例を示す図である。 第3の実施形態に係る通信システムの構成の一例を示す図である。 第3の実施形態に係る通信システムの動作の一例を示す図である。 第3の実施形態に係る第1のECUの動作の一例を示すフローチャートである。 第3の実施形態に係る第2のECUの動作の一例を示すフローチャートである。
以下、本発明に係る実施形態を図面を参照して説明する。
<第1の実施形態>
図1は、第1の実施形態に係る通信システムの構成の一例を示す図である。図1に示される通信システム1は、車両に搭載されるシステムの一例である。通信システム1は、通信バス60上を伝送する不正メッセージを監視する機能を有する。通信システム1は、送信ECU10と、受信ECU30と、通信バス60とを備える。通信システム1では、送信ECU10と受信ECU30との間のメッセージの送受が、例えば、CAN(Control Area Network)通信により行われる。
送信ECU10は、通信バス60に接続されており、通信バス60へ通信メッセージを送信する。送信ECU10は、第1のECUの一例である。受信ECU30は、通信バス60に接続されており、通信バス60からメッセージを受信する。受信ECU30は、第2のECUの一例である。通信バス60は、送信ECU10と受信ECU30との間で送受されるメッセージが伝送する伝送路である。
送信ECU10は、通信コントローラ17と、マイコン11とを備える電子制御装置の一例である。
通信コントローラ17は、マイコン11と通信バス60との間のメッセージの送受を制御する。マイコン11は、通信コントローラ17内の送信制御部19が通信バス60へ送信すべき通信メッセージを、送信ECU10とは別の不正機器50が送信していないかどうかを監視する。送信制御部19が通信バス60へ送信すべき通信メッセージは、送信ECU10が通信バス60へ送信することが予め決められている通信メッセージを表す。
以下、送信制御部19が通信バス60へ送信すべき通信メッセージを、「通信メッセージM」と称する。通信メッセージMは、通信バス60に接続される複数のECUのうち送信ECU10のみが通信バス60へ送信することが通信仕様上予め決められたメッセージを表す。
受信ECU30は、通信コントローラ37と、マイコン31とを備える電子制御装置の一例である。
通信コントローラ37は、マイコン31と通信バス60との間のメッセージの送受を制御する。マイコン31は、フィルタ部33と、処理部32とを有する。フィルタ部33は、通信コントローラ37内の受信制御部42が通信バス60から受信した受信メッセージをメッセージ格納部35に一時的に保管する。処理部32は、メッセージ格納部35に一時的に保管された受信メッセージを、所定時間の経過後にフィルタ部33から受領して、その受領した受信メッセージを処理する。
不正機器50は、通信バス60に接続される非正規の機器である。不正機器50は、コネクタやゲートウェイ装置などを介して通信バス60に接続される機器でもよいし、不図示の無線通信モジュールを介して通信バス60に接続される機器でもよい。
送信ECU10は、通信メッセージMを送信制御部19が通信バス60へ送信していないにもかかわらず、通信コントローラ17内の受信制御部22が通信メッセージMを通信バス60から受信することがある。マイコン11は、通信メッセージMを送信制御部19が通信バス60へ送信していないにもかかわらず、受信制御部22が通信メッセージMを通信バス60から受信した場合、当該受信した通信メッセージMを不正機器50が送信した不正メッセージと判定する。
マイコン11は、当該受信した通信メッセージMを不正機器50が送信した不正メッセージと判定した場合(不正メッセージを検出した場合)、不正メッセージの検出を知らせる通知メッセージを受信ECU30に対して通信バス60を介して通知する。以下、不正メッセージの検出を知らせる通知メッセージを、「通知メッセージN」と称する。
受信ECU30は、通知メッセージNを通信バス60から受信した場合、通信バス60から取得してフィルタ部33に一時的に保管された通信メッセージMを不正メッセージとして削除する。
したがって、受信ECU30は、従来の技術のようにMACを生成したりMACによる認証を行なったりしなくても、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための受信ECU30の処理負荷を抑制することができる。また、送信ECU10は、従来の技術のようにMACを生成しなくても、通知メッセージNを出力することによって、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための送信ECU10の処理負荷を抑制することができる。
図2は、第1の実施形態に係る通信システムの動作の一例を示す図である。図2は、不正機器50が不正メッセージを送信した場面において、通信システム1の動作の一例を示す。
ステップS1にて、不正機器50は、送信ECU10になりすまして、不正メッセージ(すなわち、送信ECU10の送信制御部19が送信すべき通信メッセージM)を通信バス60へ送信する。不正機器50から通信バス60へ送信されたメッセージは、送信ECU10と受信ECU30で受信される。
ステップS2にて、送信ECU10のマイコン11は、ステップS1にて受信した受信メッセージが、マイコン11自身が保有する送信メッセージリストの中に含まれるか否かを判定する。送信メッセージリストは、送信ECU10が通信バス60へ送信することが予め決められている通信メッセージMが複数記されたリストデータを表す。マイコン11は、通信メッセージMを送信制御部19が通信バス60へ送信していないにもかかわらず、ステップS1にて受信した受信メッセージが送信メッセージリストに含まれているため、ステップS1にて受信した受信メッセージを不正メッセージと判定する。
一方、ステップS3にて、受信ECU30のフィルタ部33は、ステップS1にて受信した受信メッセージを、メッセージ格納部35に一時的に保存する。
ステップS4にて、マイコン11は、ステップS1にて受信した受信メッセージを不正メッセージと判定した場合、不正メッセージを検出したことを知らせる通知メッセージNが通信バス60へ送信されるように送信制御部19を制御する。
ステップS5にて、受信ECU30のフィルタ部33は、通信バス60から通知メッセージNを受信したことを通信コントローラ37により検知すると、ステップS1での受信によりメッセージ格納部35に保存されていた受信メッセージを破棄する。
これにより、受信ECU30は、不正機器50から通信バス60へ送信された不正メッセージを受信しても、通知メッセージNを受信することにより、その受信した不正メッセージを自身から削除できる。
次に、図1に示される通信システム1の構成について、より詳細に説明する。
送信ECU10は、マイコン11を備える。マイコン11は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)などを備えたマイクロコンピュータの一例である。マイコン11は、処理部12、該否判定部13、送信有無判定部14、信号出力部15、リストメモリ16を備える。処理部12、該否判定部13、送信有無判定部14及び信号出力部15の各機能は、CPUが処理するプログラムによって実現される。リストメモリ16は、ROMにより実現される。
送信ECU10は、通信コントローラ17を備える。通信コントローラ17は、送信完了レジスタ18、送信制御部19、送信メッセージバッファ20、受信完了レジスタ21、受信制御部22、受信メッセージバッファ23を備える。
処理部12は、通信メッセージMの送信要求が発生した場合、通信メッセージMに識別番号を付与し、識別番号を付与した通信メッセージMを送信メッセージバッファ20に格納する。送信メッセージバッファ20に格納されている通信メッセージMには、その通信メッセージMを識別可能な識別番号が付与されている。識別番号は、通信バス60を介して送受されるメッセージを識別するための符号を表す。受信ECU30の通信コントローラ17は、通信バス60から受信したメッセージに付与された識別番号を参照することにより、その受信メッセージが、受信ECU30が受信すべきメッセージであるか否かを判断する受信制御部42を有する。
送信制御部19は、送信メッセージバッファ20に格納された通信メッセージMを通信バス60へ送信することを制御する。送信制御部19は、通信メッセージMが送信メッセージバッファ20に格納された場合、送信メッセージバッファ20に格納された通信メッセージMを通信バス60へ送信することを試みる。送信制御部19は、通信バス60上を伝送する他のメッセージとの通信調停に勝った場合、その通信メッセージMの通信バス60への送信が完了したことを表す送信完了データを、送信完了レジスタ18に格納する。送信完了レジスタ18は、データ格納部の一例である。送信完了データは、送信完了フラグデータとも称する。
受信制御部22は、通信バス60からのメッセージの受信を制御する。受信制御部22は、送信制御部19が通信バス60へ送信した通信メッセージMも受信できるように設定されている。
受信制御部22は、通信バス60から受信した受信メッセージに付与された識別番号に基づいて、送信ECU10が受信すべきメッセージであると判断した場合、当該受信メッセージを受信メッセージバッファ23に格納する。受信制御部22は、通信バス60から受信した受信メッセージを受信メッセージバッファ23に格納することが完了した場合、その受信メッセージの受信が完了したことを表す受信完了データを、受信完了レジスタ21に格納する。受信完了データは、受信完了フラグデータとも称する。
該否判定部13は、受信制御部22が通信バス60から受信した受信メッセージが、送信制御部19が通信バス60へ送信すべき通信メッセージMに該当するか否かを判定する。該否判定部13は、受信完了データが受信完了レジスタ21に格納された場合、その受信完了データによって受信完了が示された受信メッセージを受信メッセージバッファ23から取得する。
該否判定部13は、例えば、受信制御部22が通信バス60から受信した受信メッセージを、識別番号の比較により、送信メッセージリストと照合することによって、当該受信メッセージが通信メッセージMに該当するか否かを判定する。
送信メッセージリストは、送信ECU10が通信バス60へ送信することが予め決められている通信メッセージMが複数記されたリストデータを表す。送信メッセージリストは、例えば、リストメモリ16に予め記憶されている。
例えば、送信制御部19が、通信メッセージMを通信バス60へ送信した場合、受信制御部22が通信バス60から受信した受信メッセージは、送信メッセージリスト内に含まれている。また、不正機器50が、送信ECU10になりすまして、通信メッセージMを通信バス60へ送信した場合も、受信制御部22が通信バス60から受信した受信メッセージは、当該リスト内に含まれている。したがって、これらの場合、受信制御部22が通信バス60から受信した受信メッセージは、送信メッセージリスト内に含まれているので、該否判定部13は、当該受信メッセージが通信メッセージMに該当すると判定する。
一方、送信ECU10とは別の正当機器が通信バス60へ送信することが予め決められている通信メッセージを、当該正当機器が通信バス60へ送信した場合、受信制御部22が通信バス60から受信した受信メッセージは、送信メッセージリスト内に含まれていない。したがって、この場合、受信制御部22が通信バス60から受信した受信メッセージは、送信メッセージリスト内に含まれていないので、該否判定部13は、当該受信メッセージが通信メッセージMに該当しないと判定する。
なお、送信ECU10とは別の正当機器とは、通信バス60に接続される一又は複数の正規の機器である。当該正当機器には、受信ECU30が送信ECU10と同様の送信機能を有している場合、受信ECU30が含まれてもよい。
送信有無判定部14は、通信メッセージMが送信制御部19により通信バス60へ送信されたか否かを判定する。例えば、送信有無判定部14は、送信完了データが送信完了レジスタ18に格納されているか否かに基づいて、通信メッセージMが送信制御部19により通信バス60へ送信されたか否かを判定する。具体的には、送信有無判定部14は、送信完了レジスタ18に送信完了データが格納されている通信メッセージMは、送信制御部19により通信バス60へ送信されたと判定する。一方、送信有無判定部14は、送信完了レジスタ18に送信完了データが格納されていない通信メッセージMは、送信制御部19により通信バス60へ送信されていないと判定する。
信号出力部15は、受信メッセージが通信メッセージMに該当すると該否判定部13により判定され、且つ、その通信メッセージMが送信制御部19により通信バス60へ送信されていないと送信有無判定部14により判定された場合、通知メッセージNを出力する。
通知メッセージNは、受信ECU30が通信バス60から取得した通信メッセージMを受信ECU30から削除させるための信号の一例である。信号出力部15は、通信メッセージMに該当すると判定され且つ通信バス60へ送信されていないと判定された受信メッセージ(つまり、不正メッセージ)の識別番号を通知メッセージNに追加する。これにより、受信ECU30のフィルタ部33は、通知メッセージNに追加された識別番号と同一の受信メッセージ(つまり、不正メッセージ)をメッセージ格納部35から削除できる。
信号出力部15は、通信バス60を使用して、通知メッセージNを受信ECU30に受信させる。これにより、通信メッセージMと通知メッセージNとが共通の通信バス60を伝送するので、通知メッセージNを受信ECU30に受信させるための新たな信号線の導入コストを抑えることができる。
一方、受信ECU30は、マイコン31を備える。マイコン31は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)などを備えたマイクロコンピュータの一例である。マイコン31は、フィルタ部33、処理部32を備える。フィルタ部33は、受領判定部34、メッセージ格納部35を備える。処理部32及び受領判定部34の各機能は、CPUが処理するプログラムによって実現される。メッセージ格納部35は、RAMにより実現される。
受信ECU30は、通信コントローラ37を備える。通信コントローラ37は、受信完了レジスタ41、受信制御部42、受信メッセージバッファ43を備える。
受信制御部42は、通信バス60から受信した受信メッセージに付与された識別番号に基づいて、受信ECU30が受信すべきメッセージであると判断した場合、当該受信メッセージを受信メッセージバッファ43に格納する。受信制御部42は、通信バス60から受信した受信メッセージを受信メッセージバッファ43に格納することが完了した場合、その受信メッセージの受信が完了したことを表す受信完了データを、受信完了レジスタ41に格納する。受信完了データは、受信完了フラグデータとも称する。
受領判定部34は、受信完了データが受信完了レジスタ41に格納された場合、その受信完了データによって受信完了が示された受信メッセージを受信メッセージバッファ43から取得する。受領判定部34は、受信メッセージバッファ43から取得した受信メッセージをメッセージ格納部35に一時的に保管する。
受領判定部34は、全ての受信メッセージをメッセージ格納部35に一時的に保管してもよいが、予め決められた一部の受信メッセージのみをメッセージ格納部35に一時的に保管してもよい。例えば、受領判定部34は、不正の疑いが比較的高いことが事前に予想される一部の受信メッセージのみをメッセージ格納部35に一時的に保管し、その一部以外の残りの受信メッセージをメッセージ格納部35に保管することなく処理部32に提供してもよい。これにより、受信メッセージが受信されてから処理部32により処理されるまでの平均時間を、全ての受信メッセージをメッセージ格納部35に一時的に保管する場合に比べて短縮することができる。
処理部32は、メッセージ格納部35に一時的に保管された受信メッセージを、所定時間の経過後にフィルタ部33から受領して、その受領した受信メッセージを処理する。例えば、処理部32は、所定時間の経過後に受領した受信メッセージを、所定の制御に使用する。具体的には、処理部32は、所定時間の経過後に受領した受信メッセージを、受信ECU30内で実行される制御で使用したり、受信ECU30外部の装置に送信したりする。
次に、図1に示される通信システム1の動作について、説明する。
図3は、第1の実施形態に係る第1のECUの動作の一例を示すタイミングチャートである。図3は、送信ECU10の動作の一例を示す。
処理部12は、識別番号を付与した通信メッセージMを送信メッセージバッファ20に格納する(タイミングt1)。これにより、送信制御部19は、送信メッセージバッファ20に格納された通信メッセージMを、通信バス60へ送信し始める。受信制御部22は、送信制御部19が送信し始めた通信メッセージMを通信バス60から受信し始め、受信し始めた通信メッセージMを受信メッセージバッファ23に格納し始める(タイミングt2)。
送信制御部19は、通信バス60へ送信した通信メッセージMが、通信バス60上を伝送する他のメッセージとの通信調停に勝った場合、その通信メッセージMの送信を完了させることができる。送信制御部19は、通信バス60への通信メッセージMの送信を完了させたとき、その通信メッセージMの通信バス60への送信が完了したことを表す送信完了データを、送信完了レジスタ18に格納する(タイミングt3)。受信制御部22は、通信バス60から受信し始めて通信メッセージMを受信メッセージバッファ23に格納することが完了した場合、その通信メッセージMの通信バス60からの受信が完了したことを表す受信完了データを、受信完了レジスタ21に格納する(タイミングt4)。
送信有無判定部14は、送信完了データが送信完了レジスタ18にタイミングt4で格納されているので、その送信完了データが送信完了したことを示す通信メッセージMが送信制御部19により通信バス60へ送信されたと判定する。
送信制御部19は、送信完了データを送信完了レジスタ18に格納してから、通信バス60へのメッセージの送信を次に実行するまでに、その送信完了レジスタ18からその送信完了データを削除する(タイミングt5)。送信制御部19は、例えば、予め決められた一定時間の経過後に、送信完了レジスタ18に格納された送信完了データを削除する。
受信制御部22は、受信完了データを受信完了レジスタ21に格納してから、通信バス60からのメッセージの受信を次に実行するまでに、その受信完了レジスタ21からその受信完了データを削除する(タイミングt6)。受信制御部22は、例えば、予め決められた一定時間の経過後に、受信完了レジスタ21に格納された受信完了データを削除する。
一方、不正機器50が、送信ECU10になりすまして、識別番号を付与した通信メッセージMを通信バス60へ送信した場合、その通信メッセージMは送信メッセージバッファ20には格納されない(タイミングt7)。受信制御部22は、不正機器50が送信し始めた通信メッセージMを通信バス60から受信し始め、受信し始めた通信メッセージMを受信メッセージバッファ23に格納し始める(タイミングt7)。
受信制御部22は、通信バス60から受信し始めて通信メッセージMを受信メッセージバッファ23に格納することが完了した場合、その通信メッセージMの通信バス60からの受信が完了したことを表す受信完了データを、受信完了レジスタ21に格納する(タイミングt8)。
送信有無判定部14は、送信完了データが送信完了レジスタ18にタイミングt8で格納されていないので、通信メッセージMが送信制御部19により通信バス60へ送信されていないと判定する。
信号出力部15は、通信メッセージMが受信制御部22により受信されたにもかかわらず、その通信メッセージMが送信制御部19により通信バス60へ送信されていないので、その通信メッセージMを削除させる通知メッセージNを出力する(タイミングt9)。通知メッセージNが出力されることにより、受信ECU30が受信した通信メッセージMが削除される。
受信制御部22は、受信完了データを受信完了レジスタ21に格納してから、通信バス60からのメッセージの受信を次に実行するまでに、その受信完了レジスタ21からその受信完了データを削除する(タイミングt10)。
なお、図3において、受信制御部22は、受信完了データを受信完了レジスタ21に格納してから、通信バス60からのメッセージの受信を次に実行するまでに、その受信完了レジスタ21からその受信完了データを削除する(タイミングt6)。この理由は、送信ECU10の送信メッセージと不正機器50の送信メッセージとが図示のように連続する場面において、送信有無判定部14が不正機器50の送信メッセージを送信ECU10の送信メッセージと誤判定することを防ぐためである。図示のような場面では、受信完了データが仮にタイミングt8まで受信完了レジスタ21に保持されているとすると、送信有無判定部14は、不正機器50の送信メッセージを送信ECU10の送信メッセージと誤判定してしまう。
図4は、第1の実施形態に係る第1のECUの動作の一例を示すフローチャートである。図4は、送信ECU10のマイコン11が不正メッセージを検出する方法の一例を示す。図4に示される一連の処理は、受信制御部22が通信バス60から受信メッセージを受信したことが該否判定部13により検知されたときに開始する。
該否判定部13は、受信制御部22が通信バス60から受信した受信メッセージが、送信制御部19が通信バス60へ送信すべき通信メッセージMを複数記した送信メッセージリスト内に含まれているか否かを判定する(ステップS20)。
該否判定部13は、受信制御部22が通信バス60から受信した受信メッセージが送信メッセージリスト内に含まれていない場合、当該受信メッセージは通信メッセージMに該当しないと判定する。この場合、本フローは、終了する。
一方、該否判定部13は、受信制御部22が通信バス60から受信した受信メッセージが送信メッセージリスト内に含まれている場合、当該受信メッセージは通信メッセージMに該当すると判定する。この場合、ステップS30の処理が実行される。
ステップS30にて、送信有無判定部14は、その通信メッセージMの送信が送信制御部19により完了しているか否かを判定する。
その通信メッセージMの送信を送信制御部19が完了させていないと送信有無判定部14により判定された場合、信号出力部15は、受信ECU30に対して不正メッセージの検出を知らせる通知メッセージNを出力する(ステップS40)。この際、信号出力部15は、通信メッセージMに該当すると判定され且つ通信バス60への送信が完了していないと判定された受信メッセージ(つまり、不正メッセージ)の識別番号を通知メッセージNに含ませる。
一方、その通信メッセージMの送信を送信制御部19が完了させていると送信有無判定部14により判定された場合、信号出力部15は、通知メッセージNを出力しない。この場合、本フローは、終了する。
図5は、第1の実施形態に係る第2のECUの動作の一例を示すフローチャートである。図5は、受信ECU30のマイコン31が受信メッセージを受領又は破棄する方法の一例を示す。図5に示される一連の処理は、受信制御部42が通信バス60から受信メッセージ受信したことが受領判定部34により検知されたときに開始する。
受領判定部34は、受信制御部42が通信バス60から受信メッセージ受信したことが受領判定部34により検知されたとき、当該受信メッセージを受信メッセージバッファ43から取得する。そして、受領判定部34は、その取得した受信メッセージをメッセージ格納部35に一時的に格納する(ステップS50)。
受領判定部34は、不正メッセージの検出を知らせる通知メッセージNが受信制御部42により受信されているか否かを判定する(ステップS60)。
受領判定部34は、不正メッセージの検出を知らせる通知メッセージNが受信制御部42により受信されていると判定した場合、当該通知メッセージNに含まれている識別番号と同一の受信メッセージ(つまり、不正メッセージ)をメッセージ格納部35から抽出する。そして、受領判定部34は、その抽出した受信メッセージを破棄する(ステップS70)。これにより、受信ECU30で受信された不正メッセージは、処理部32により処理されることなく、削除される。
一方、受領判定部34は、不正メッセージの検出を知らせる通知メッセージNが受信制御部42により受信されていないと判定した場合、ステップS80の処理を行う。受領判定部34は、受信メッセージが通信バス60から受信制御部42により受信(取得)されてから所定時間が経過したか否かを判定する(ステップS80)。
受領判定部34は、受信メッセージの受信から所定時間経過していない場合、ステップS60の判定を再び実施する。一方、受領判定部34は、受信メッセージの受信から所定時間経過していると受領判定部34により判定された場合、ステップS90の処理が行われる。
ステップS90にて、処理部32は、通信バス60からの受信から所定時間経過した受信メッセージをメッセージ格納部35から受領し、その受領した受信メッセージを処理する。これにより、処理部32は、受信ECU30で受信された不正メッセージを誤って処理することなく、受信ECU30で受信された正当メッセージを正しく処理できる。
このように、第1の実施形態によれば、受信ECU30は、従来の技術のようにMACを生成したりMACによる認証を行なったりしなくても、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための受信ECU30の処理負荷を抑制することができる。また、送信ECU10は、従来の技術のようにMACを生成しなくても、通知メッセージNを出力することによって、不正メッセージを削除するという対処が可能となる。よって、不正メッセージに対処するための送信ECU10の処理負荷を抑制することができる。
また、暗号鍵を使用しなくても、不正メッセージの削除が可能となる。したがって、暗号鍵の外部漏洩を防ぐための新たな工場設備(例えば、各ECUに共通の暗号鍵を書き込むためのセキュアルーム)の導入が不要となる。また、MACを使用しなくても、不正メッセージの削除が可能となる。したがって、MACのデータサイズ分、メッセージのデータサイズが減少することを防ぐことができる。
<第2の実施形態>
図6は、第2の実施形態に係る通信システムの構成の一例を示す図である。図6に示される第2の実施形態に係る通信システム2は、通信バス60とは別の信号線61を備える点で、第1の実施形態に係る通信システム1と異なる。第2の実施形態の構成及び効果のうち第1の実施形態と同様の内容については、第1の実施形態についての上述の説明を援用する。
通信システム2では、信号出力部15は、信号線61を使用して、通知メッセージNを受信ECU30に受信させる。これにより、通信メッセージMと通知メッセージNとが別々の伝送路を伝送するので、通信バス60の通信負荷の増大を抑えることができ、通知メッセージNの送信遅延を抑えることができる。
受領判定部34は、所定時間経過するまでに、信号線61を介しての通知メッセージNの受信がある場合、当該通知メッセージNに含まれている識別番号と同一の受信メッセージ(つまり、不正メッセージ)をメッセージ格納部35から削除する。
<第3の実施形態>
図7は、第3の実施形態に係る通信システムの構成の一例を示す図である。図7に示される第3の実施形態に係る通信システム3は、電源遮断信号の出力によって不正メッセージをメッセージ格納部35から削除する点で、第1の実施形態に係る通信システム1と異なる。第3の実施形態の構成及び効果のうち第1の実施形態と同様の内容については、第1の実施形態についての上述の説明を援用する。
通信システム3では、信号出力部15は、電源遮断信号を出力することによって、受信ECU30の電源65を遮断させ、電源65が遮断されることにより、受信ECU30が通信バス60から取得した通信メッセージがメッセージ格納部35から削除される。
これにより、電源遮断信号が出力されることにより、受信ECU30の電源65が強制的に遮断されるので、不正メッセージを受信ECU30から速やかに削除することができる。
通信システム3は、リレー62を備える。リレー62は、コイル63と、スイッチ64とを有する。
信号出力部15は、受信メッセージが通信メッセージMに該当すると該否判定部13により判定され、且つ、その通信メッセージMが送信制御部19により通信バス60へ送信されていないと送信有無判定部14により判定された場合、電源遮断信号を出力する。
電源遮断信号は、受信ECU30が通信バス60から取得した通信メッセージMを受信ECU30から削除させるための信号の一例である。信号出力部15は、電源遮断信号の出力によりスイッチ25をオフさせる。これにより、送信ECU10の電源24からコイル63に流れる電流は遮断されるので、スイッチ64はオフとなる。スイッチ64がオフとなることにより、電源65から受信ECU30に供給される電源電力は遮断されるので、メッセージ格納部35は、それまで格納されていた受信メッセージを保持できなくなる。つまり、メッセージ格納部35に格納されていた受信メッセージは消失する。
図8は、第3の実施形態に係る通信システムの動作の一例を示す図である。図8は、不正機器50が不正メッセージを送信した場面において、通信システム3の動作の一例を示す。
図8のステップS1,S2,S3は、図2の場合と同様である。ステップS1にて、不正機器50は、送信ECU10になりすまして、不正メッセージ(すなわち、送信ECU10の送信制御部19が送信すべき通信メッセージM)を通信バス60へ送信する。ステップS2にて、マイコン11は、通信メッセージMを送信制御部19が通信バス60へ送信していないにもかかわらず、ステップS1にて受信した受信メッセージが送信メッセージリストに含まれているため、当該受信メッセージを不正メッセージと判定する。一方、ステップS3にて、受信ECU30のフィルタ部33は、ステップS1にて受信した受信メッセージを、メッセージ格納部35に一時的に保存する。
ステップS7にて、マイコン11の信号出力部15は、ステップS1にて受信した受信メッセージを不正メッセージと判定した場合、リレー62をオフさせるための電源遮断信号を出力する。
ステップS8にて、リレー62のオフにより、受信ECU30の電源65は遮断されるため、ステップS1での受信によりメッセージ格納部35に保存されていた受信メッセージは、消失する。
これにより、受信ECU30は、不正機器50から通信バス60へ送信された不正メッセージを受信しても、電源65が遮断されることにより、その受信した不正メッセージを自身から削除できる。
図9は、第3の実施形態に係る第1のECUの動作の一例を示すフローチャートである。図9は、送信ECU10のマイコン11が不正メッセージを検出する方法の一例を示す。図9に示される一連の処理は、受信制御部22が通信バス60から受信メッセージを受信したことが該否判定部13により検知されたときに開始する。図9のステップS120,S130は、それぞれ、図4のステップS20,S30と同様である。
通信メッセージMの送信を送信制御部19が完了させていないとステップS130にて判定された場合、信号出力部15は、電源遮断信号を出力する(ステップS140)。一方、通信メッセージMの送信を送信制御部19が完了させているとステップS130にて判定された場合、信号出力部15は、電源遮断信号を出力しない。この場合、本フローは、終了する。
図10は、第3の実施形態に係る第2のECUの動作の一例を示すフローチャートである。図10は、受信ECU30の受領判定部34が受信メッセージの受領判定を行う方法の一例を示す。図10に示される一連の処理は、受信制御部42が通信バス60から受信メッセージ受信したことが受領判定部34により検知されたときに開始する。
受領判定部34は、受信制御部42が通信バス60から受信メッセージ受信したことが受領判定部34により検知されたとき、当該受信メッセージを受信メッセージバッファ43から取得する。そして、受領判定部34は、その取得した受信メッセージをメッセージ格納部35に一時的に格納する(ステップS150)。
受領判定部34は、メッセージ格納部35に一時的に格納された受信メッセージが通信バス60から受信制御部42により受信(取得)されてから所定時間が経過したか否かを当該所定時間が経過するまで判定する(ステップS180)。
当該所定時間が経過するまでに電源遮断信号の出力がある場合、受信ECU30の電源が強制的に遮断されるので、メッセージ格納部35に一時的に格納された受信メッセージは、不正か否かにかかわらず、メッセージ格納部35から削除される。これにより、受信ECU30で受信された不正メッセージは、処理部32により処理されることなく、削除される。
一方、当該所定時間が経過するまでに電源遮断信号の出力がない場合、ステップS190の処理が行われる。ステップS190にて、処理部32は、通信バス60からの受信から所定時間経過した受信メッセージをメッセージ格納部35から受領し、その受領した受信メッセージを処理する。これにより、処理部32は、受信ECU30で受信された不正メッセージを誤って処理することなく、受信ECU30で受信された正当メッセージを正しく処理できる。
以上、通信システムを実施形態により説明したが、本発明は上記実施形態に限定されるものではない。他の実施形態の一部又は全部との組み合わせや置換などの種々の変形及び改良が、本発明の範囲内で可能である。
例えば、ECUは、メッセージを中継する中継装置(具体的には、ゲートウェイ装置)でもよい。また、送信ECU10と受信ECU30との間で送受されるメッセージが中継装置を経由してもよい。また、本開示の技術は、Ethernet(登録商標)を用いた通信システム等にも適用可能である。
1,2,3 通信システム
10 送信ECU
11 マイコン
12 処理部
13 該否判定部
14 送信有無判定部
15 信号出力部
16 リストメモリ
17 通信コントローラ
18 送信完了レジスタ
19 送信制御部
20 送信メッセージバッファ
21 受信完了レジスタ
22 受信制御部
23 受信メッセージバッファ
24 電源
25 スイッチ
30 受信ECU
31 マイコン
32 処理部
33 フィルタ部
34 受領判定部
35 メッセージ格納部
37 通信コントローラ
41 受信完了レジスタ
42 受信制御部
43 受信メッセージバッファ
50 不正機器
60 通信バス
61 信号線
62 リレー

Claims (6)

  1. 第1のECUと、
    第2のECUと、
    前記第1のECUと前記第2のECUとが接続された通信バスとを備え、
    前記第1のECUは、
    前記通信バスへのメッセージの送信を制御する送信制御部と、
    前記通信バスからのメッセージの受信を制御する受信制御部と、
    前記第1のECUが前記通信バスへ送信することが予め決められている通信メッセージに、前記受信制御部が前記通信バスから受信した受信メッセージが該当するか否かを判定する該否判定部と、
    前記通信メッセージが前記送信制御部により前記通信バスへ送信されたか否かを判定する送信有無判定部と、
    前記受信メッセージが前記通信メッセージに該当すると前記該否判定部により判定され、且つ、前記通信メッセージが前記送信制御部により前記通信バスへ送信されていないと前記送信有無判定部により判定された場合、前記第2のECUが前記通信バスから取得した前記通信メッセージを前記第2のECUから削除させるための信号を出力する信号出力部と
    データ格納部とを備え、
    前記送信制御部は、前記通信バスへのメッセージの送信を完了させたとき、前記通信バスへのメッセージの送信が完了したことを表す送信完了データを前記データ格納部に格納し、前記送信完了データを前記データ格納部に格納してから、予め決められた一定時間の経過後に、前記データ格納部から前記送信完了データを削除し、
    前記送信有無判定部は、前記送信完了データが前記データ格納部に格納されているか否かに基づいて、前記通信メッセージが前記送信制御部により前記通信バスへ送信されたか否かを判定する、通信システム。
  2. 前記第2のECUは、
    前記第2のECUが前記通信バスから取得した前記通信メッセージが格納されるメッセージ格納部と、
    前記通信メッセージが前記通信バスから前記第2のECUにより取得されてから所定時間が経過した後、前記メッセージ格納部から前記通信メッセージを受領して処理する処理部とを備え、
    前記所定時間が経過するまでに前記信号の受信又は出力がある場合、前記通信メッセージが前記メッセージ格納部から削除される、請求項1に記載の通信システム。
  3. 前記信号出力部は、前記通信バスを使用して前記信号を前記第2のECUに受信させる、請求項1又は2に記載の通信システム。
  4. 前記通信バスとは別の信号線を備え、
    前記信号出力部は、前記信号線を使用して前記信号を前記第2のECUに受信させる、請求項1又は2に記載の通信システム。
  5. 前記信号出力部は、前記信号を出力することによって、前記第2のECUの電源を遮断させ、
    前記第2のECUの電源が遮断されることにより、前記第2のECUが前記通信バスから取得した前記通信メッセージが前記第2のECUから削除される、請求項1又は2に記載の通信システム。
  6. 前記該否判定部は、前記受信メッセージを前記通信メッセージのリストと照合することによって、前記受信メッセージが前記通信メッセージに該当するか否かを判定する、請求項1からのいずれか一項に記載の通信システム。
JP2016221925A 2016-11-14 2016-11-14 通信システム Expired - Fee Related JP6512205B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2016221925A JP6512205B2 (ja) 2016-11-14 2016-11-14 通信システム
DE102017123903.0A DE102017123903B4 (de) 2016-11-14 2017-10-13 Kommunikationssystem
US15/784,641 US10862687B2 (en) 2016-11-14 2017-10-16 Communication system for suppressing a processing load of an ECU when dealing with fraudulent messages
CN201711105312.9A CN108076046B (zh) 2016-11-14 2017-11-10 通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016221925A JP6512205B2 (ja) 2016-11-14 2016-11-14 通信システム

Publications (2)

Publication Number Publication Date
JP2018082254A JP2018082254A (ja) 2018-05-24
JP6512205B2 true JP6512205B2 (ja) 2019-05-15

Family

ID=62026781

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016221925A Expired - Fee Related JP6512205B2 (ja) 2016-11-14 2016-11-14 通信システム

Country Status (4)

Country Link
US (1) US10862687B2 (ja)
JP (1) JP6512205B2 (ja)
CN (1) CN108076046B (ja)
DE (1) DE102017123903B4 (ja)

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982688B1 (ko) * 2006-09-13 2010-09-16 삼성전자주식회사 홉 단위 재전송을 적용하는 다중 홉 릴레이 시스템에서 패킷 버퍼링 장치 및 방법
JP2008084120A (ja) * 2006-09-28 2008-04-10 Fujitsu Ten Ltd 電子制御装置
KR101179738B1 (ko) * 2007-11-07 2012-09-04 미쓰비시덴키 가부시키가이샤 안전 제어 장치
JP5180259B2 (ja) * 2010-06-11 2013-04-10 株式会社日本自動車部品総合研究所 車両用電力線通信システム
WO2013061396A1 (ja) * 2011-10-24 2013-05-02 トヨタ自動車 株式会社 通信装置、通信システム及び通信方法
US8925083B2 (en) 2011-10-25 2014-12-30 GM Global Technology Operations LLC Cyber security in an automotive network
DE102012219093A1 (de) * 2011-10-25 2013-04-25 GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
US9614767B2 (en) * 2011-12-02 2017-04-04 Autonetworks Technologies, Ltd. Transmission message generating device and vehicle-mounted communication system
JP5976674B2 (ja) * 2011-12-08 2016-08-24 住友電気工業株式会社 通信装置、車載通信システム及び検査方法
JP5772666B2 (ja) * 2012-03-05 2015-09-02 株式会社オートネットワーク技術研究所 通信システム
JP2014091487A (ja) * 2012-11-06 2014-05-19 Toyota Motor Corp 車両用ネットワーク
JP6012867B2 (ja) * 2013-06-13 2016-10-25 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
JP2015065546A (ja) * 2013-09-25 2015-04-09 日立オートモティブシステムズ株式会社 車両制御装置
JP6490058B2 (ja) * 2014-04-17 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム及び不正検知方法
CN110610092B (zh) * 2014-04-17 2023-06-06 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
JP6349244B2 (ja) * 2014-12-18 2018-06-27 日立オートモティブシステムズ株式会社 車載ネットワークの試験装置
KR101638613B1 (ko) * 2015-04-17 2016-07-11 현대자동차주식회사 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
JP6525824B2 (ja) * 2015-08-31 2019-06-05 国立大学法人名古屋大学 中継装置
CN105893844A (zh) * 2015-10-20 2016-08-24 乐卡汽车智能科技(北京)有限公司 车辆总线网络的报文发送方法和装置
JP2017143497A (ja) * 2016-02-12 2017-08-17 富士通株式会社 パケット転送装置及びパケット転送方法

Also Published As

Publication number Publication date
DE102017123903A1 (de) 2018-05-17
CN108076046A (zh) 2018-05-25
US20180139052A1 (en) 2018-05-17
DE102017123903B4 (de) 2020-08-13
US10862687B2 (en) 2020-12-08
JP2018082254A (ja) 2018-05-24
CN108076046B (zh) 2020-09-01

Similar Documents

Publication Publication Date Title
CN107683589B (zh) 车载中继装置及车载通信系统
US10298578B2 (en) Communication relay device, communication network, and communication relay method
JP6525824B2 (ja) 中継装置
JP5770602B2 (ja) 通信システムにおけるメッセージ認証方法および通信システム
US10554623B2 (en) On-board communication system
US11444939B2 (en) Authentication control device, authentication control method, and authentication control program
US11938897B2 (en) On-vehicle device, management method, and management program
CN111147437B (zh) 基于错误帧归因总线断开攻击
JP2005341528A (ja) 通信システム、鍵配信装置、暗号処理装置、盗難防止装置
JP6369341B2 (ja) 車載通信システム
JP2018121220A (ja) 車載ネットワークシステム
JP6375962B2 (ja) 車載ゲートウェイ装置及び電子制御装置
JP6512205B2 (ja) 通信システム
JPWO2018211790A1 (ja) Ecu
JP6468133B2 (ja) 車載ネットワークシステム
Ansari et al. A low-cost masquerade and replay attack detection method for CAN in automobiles
CN106658484A (zh) 防无线网络攻击的方法、终端和无线接入点
JP2016163245A (ja) イーサネットスイッチおよびゲートウェイ装置
JP2015192216A (ja) 通信装置および通信方法
JP7067508B2 (ja) ネットワークシステム
JP2013121071A (ja) 中継システム及び、当該中継システムを構成する中継装置、外部装置
JP2020096320A (ja) 不正信号処理装置
JP2018198363A (ja) 通信システム、及び通信制御方法
CN114282230A (zh) 一种数据处理方法、装置、设备及计算机存储介质
WO2017065100A1 (ja) 車載通信システム及び監視装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190325

R151 Written notification of patent or utility model registration

Ref document number: 6512205

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees