JPWO2018198545A1 - Ecu - Google Patents

Ecu Download PDF

Info

Publication number
JPWO2018198545A1
JPWO2018198545A1 JP2019515134A JP2019515134A JPWO2018198545A1 JP WO2018198545 A1 JPWO2018198545 A1 JP WO2018198545A1 JP 2019515134 A JP2019515134 A JP 2019515134A JP 2019515134 A JP2019515134 A JP 2019515134A JP WO2018198545 A1 JPWO2018198545 A1 JP WO2018198545A1
Authority
JP
Japan
Prior art keywords
data
ecu
received
bus
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019515134A
Other languages
English (en)
Inventor
浩介 中園
浩介 中園
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bosch Corp
Original Assignee
Bosch Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bosch Corp filed Critical Bosch Corp
Publication of JPWO2018198545A1 publication Critical patent/JPWO2018198545A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)

Abstract

車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現し得る電子制御装置を提案する。CANバス(20)に接続されているECU(10)において、ECU(10)のCPU(100)は、CANバス(20)を介して基準となる正規のデータ(D0)を受信した場合、正規のデータ(D0)を受信した後にIDが同一のデータ(D1、D2、D3、D4)を受信する場合の該データ(D1、D2、D3、D4)の受け入れ期間を制限し、定期的に設けるウインドウ(W)外で受信したデータ(D1、D2、D4)についてはブロックして演算処理の対象から除外し、ウインドウ(W)内で受信したデータ(D3)のみを演算処理の対象とすることを特徴とする。

Description

本発明は、ECUに関し、特に車載ネットワーク上に配置されるECUに適用して好適なものである。
近年、CAN(Controller Area Network)と呼ばれる通信規格を利用した車載ネットワーク(CANネットワーク)が普及している。このCANネットワークは、車両に設置された複数の電子制御装置(ECU:Electronic Control Unit)と、CANを利用した通信バス(CANバス)とが接続されて構成される。ECUは、このCANバスを介して、他のECUと互いに通信(CAN通信)することができる。
CANバスは、ECU同士を互いに通信可能に接続する一方で、データリンクコネクタ(DLC:Data Link Connector)を備える。このデータリンクコネクタに専用の機器を接続することで、ECUが備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。故障コードを参照することで、例えばサービスエンジニアは故障箇所を容易に特定することができる。
ところで、このDLCが不正に利用された場合、具体的にはDLCを介して、正規のデータとIDが同一で中身が異なる不正なデータが外部からCANバスに送信された場合、CANバスに接続されているECUがこの不正なデータを受信して誤動作するおそれがある。よってセキュリティ保護の観点から、このような不正なデータを防御する技術が必要となる。
なお不正なデータは、DLCに有線で接続された機器からCANバスに送信される場合と、DLCに無線通信可能な機器が接続されて、この機器を介して無線でCANバスに送信される場合とが考えられる。
特許文献1には、CANバスに対して送信されたデータについて、前回の送信タイミングと、今回の送信タイミングとの間の差分を送信周期として算出し、この送信周期と、予め記憶する不正データ判定用の送信周期とを比較し、比較した結果、算出した送信周期が不正データ判定用の送信周期よりも短い場合、今回送信されたデータを不正データとして判定する技術が開示されている。
この特許文献1に記載の技術によれば、一のECUがCANバスを監視し、他のECUが不正データの受信を完了する前にこれを検出して無効化することができる。これにより正規なデータとIDが同一で中身が異なる不正なデータがCANバスに侵入し、CANバスに接続されているECUの誤動作を引き起こすなりすまし攻撃から、車載ネットワークに接続している全てのECUを防御することができるとしている。
特開2014−236248号公報
しかしこの特許文献1に記載の技術では、CANバスに対して送信されたデータを常時監視するための追加の機器が必要になる。具体的には、ECUとCANバスとを接続する通常の通信線に加えて、これと並列にこのECUとCANバスとを接続する追加の通信線が更に必要となる。またCANバス上のデータを常時監視する処理、不正データか否かを判定する処理及び不正データである場合の無効化処理等の追加の処理が必要になる。
よって車載ネットワークのハードウェア構成及びソフトウェア構成が複雑化し、これに伴い、車載ネットワークを実現するための全体のコストが増加するという課題が生じる。
本発明は以上の点を考慮してなされたものであり、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現し得るECUを提案する。
かかる課題を解決するために、本発明においては、CANバス(20)に接続されているECU(10)において、ECU(10)のCPU(100)は、CANバス(20)を介して基準となる正規のデータ(D0)を受信した場合、正規のデータ(D0)を受信した後にIDが同一のデータ(D1、D2、D3、D4)を受信する場合の該データ(D1、D2、D3、D4)の受け入れ期間を制限することを特徴とする。
本発明によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。
車載ネットワークの全体構成図である。 ECUの内部構成図である。 受信処理のフローチャートである。 受信処理の概念図である。
以下本発明について、図面を参照しながら本発明の一実施の形態を詳述する。なお以下の説明はあくまで本発明の一実施の形態にすぎず、本発明の技術的範囲がこれに限定されるものではない。
図1は、車両1における車載ネットワークN1の全体構成を示す。車載ネットワークN1は、CAN(Controller Area Network)と呼ばれる通信規格を利用したネットワークであり、電子制御装置(ECU:Electronic Control Unit)10及びCANバス20を備えて構成される。
ECU10は、車両1の各種動作を制御する制御装置である。ECU10は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)及び入出力インタフェース等を備えて構成される。各ECU10は、それぞれCANバス20に接続される。これにより各ECU10は、CANバス20を介して互いに通信可能に接続される。
なおCANバス20に接続されるECU10のうち、エンジンECUと呼ばれるECU10は、車両1の動作を統括的に制御する。そのため本実施の形態においては、このエンジンECUに本発明を適用することで、特に走行に関する制御についてセキュリティの保護を実現しようとするものである。
CANバス20は、CANを利用した通信バスであり、各ECU10を互いに通信可能に接続する。またCANバス20は、データリンクコネクタ(DLC:Data Link Connector)30を備える。DLC30は、スキャンツール40を有線又は無線によりCANバス20に接続するための接続コネクタである。
DLC30にスキャンツール40を接続し、スキャンツール40上で特定の操作を行うと、ECU10が備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。例えばサービスエンジニアは、スキャンツール40の表示画面上に表示される故障コードを参照して、車両1の故障箇所を特定することができる。
ここで、DLC30を介して車両1の外部から不正なデータがCANバス20に送信される場合が考えられる。ここでいう不正なデータとは、少なくともCANバス20に送信されるタイミングが正規のデータとは異なるデータをいう。
例えば一の正規のデータのIDが「1」で、「100ms」ごとにCANバス20に送信される場合、IDが「1」で、「120ms」ごとにCANバス20に送信されるデータは本実施の形態においては不正なデータとして取り扱われる。またこのIDが「1」のデータとの関係において、IDが異なるデータ、或いは、IDが同一であっても内容が異なるデータも当然に不正なデータとなる。
このような不正なデータがDLC30を介してCANバス20に送信された場合であって何らの防御手段もない場合、CANバス20に接続されているECU10がこれを受信して演算処理してしまう。特にエンジンECUが不正なデータを受信して演算処理すると、走行に関する制御が不能になるおそれがある。
本実施の形態においては、たとえ不正なデータがCANバス20に送信された場合であっても、ECU10においてこの不正なデータは演算処理の対象から除外し、正規のデータだけを演算処理の対象とするようにしている。処理の詳細については後述する(図2〜図4)。
図2は、ECU10の内部構成を示す。ECU10は、ここでは図示しないRAM及びROM等のメモリや入出力インタフェースを備えるとともに、CPU100を備える。CPU100は、データ送受信部101、受信データ規制部102、CANバッファ103及び制御演算部104等のプログラム又はメモリを備える。
データ送受信部101は、CANバス20からの正規又は不正なデータD0〜D4を受信して、受信データ規制部102に出力する。またデータ送受信部101は、これらのデータD0〜D4のうちの正規のデータに対する演算結果D21、D22をCANバス20に送信する。演算結果D21、D22は、その後他のECU10や他の機器の動作に用いられる。
受信データ規制部102は、データ送受信部101からの正規又は不正なデータD0〜D4を入力すると、これらのデータD0〜D4のうちの正規のデータのみをCANバッファ103に出力し、正規のデータ以外の不正なデータはブロックするようにして、CANバッファ103に出力するデータを規制する。
具体的に、受信データ規制部102は、基準となる一の正規のデータD0を受信すると、これをCANバッファ103に出力するとともに、CPU100の内部に保持するタイマTを起動して時間のカウントを開始する。
一方で受信データ規制部102は、IDごとに予め対応付けられた規定時間DTを参照し、規定時間経過後で所定時間内(ウインドウ内)に受信したデータだけをCANバッファ103に出力する。
例えば受信データ規制部102は、データD0のIDが「1」であり、IDが「1」に予め対応付けられている規定時間DTが「100ms」である場合、IDが「1」のデータについては、データD0を受信してから100ms〜110ms、或いは、95ms〜105msの間のウインドウ内に受信したデータのみをCANバッファ103に出力する。
CANバッファ103は、演算処理待ちのデータを格納するメモリである。制御演算部104は、CANバッファ103に格納されたデータを演算処理して演算結果D21、D22を生成し、これらの演算結果D21、D22をデータ送受信部101に出力する。
図3は、本実施の形態における受信処理のフローチャートを示す。受信処理は、ECU10のCPU100により、基準となる一の正規のデータを受信した時点から開始され、それ以後は常時実行される。
ここでは、基準となる一の正規のデータを受信して処理するまでの間に限って説明する。ここで説明するデータのIDは全て同一である(例えば「1」)。すなわちIDごとに本処理が行われる。説明の便宜上、処理主体をCPU100として説明する。
まずCPU100は、CANバス20からの正規のデータを受信すると(S1)、タイマTを起動して時間のカウントを開始し(S2)、ブロックの設定を「有効」にする(S3)。CPU100は、ブロックの設定が有効に設定されている場合にデータを受信すると、そのデータをブロック(隔離又は破棄)する。
次いでCPU100は、ステップS1で受信した正規のデータのIDに対応付けられている規定時間DTと、ステップS2でカウントしているカウント時間とを参照して、カウント時間が規定時間DTを経過したか否かを判断する(S4)。
CPU100は、ステップS4の判断で否定結果を得ると(S4:N)、カウント時間が規定時間DTを経過するまでの間に受信した同一のIDのデータを不正なデータとみなして、この不正なデータがCANバッファ103に出力されないようにブロックする(S5)。
これに対し、CPU100はステップS4の判断で肯定結果を得ると(S4:Y)、ブロックの設定を「無効」にする(S6)。CPU100は、ブロックの設定が無効に設定されている場合に限って、受信したデータをCANバス20に出力する。この状態でCPU100は、規定時間DT経過後から所定時間内(ウインドウ内)に受信したデータがあるか否かを判断する(S7)。
CPU100は、ステップS7の判断で否定結果を得ると(S7:N)、ステップS9に移行する。これに対し、CPU100は肯定結果を得ると(S7:Y)、受信したデータをCANバッファ103に出力する(S8)。CPU100は、規定時間DTが経過した後はタイマTを停止してカウント時間をリセットし、再びタイマTを起動する(S9)。
次いでCPU100は、所定時間経過した(ウインドウ外)か否かを判断する(S10)。CPU100は、ステップS10の判断で否定結果を得ると(S10:N)、ステップS7に移行して引き続き受信したデータの有無を判断する。これに対し、CPU100は肯定結果を得ると(S10:Y)、ブロックの設定を再度「有効」にする(S11)。
そしてCPU100は、これ以降に受信するIDが同一のデータについて再びブロックする一方で、ステップS8でCANバッファ103に格納されたデータを演算処理して(S12)、本処理を終了する。なおこれ以後、CPU100はステップS4に移行して再び上述してきた処理を実行することになる。
図4は、図3で説明した受信処理の概念図を示す。以下時系列に沿って、データD0〜D4の処理について説明する。
時間tがt=t0は、基準となる正規のデータD0がCPU100において受信されたタイミングを示す。この時間t0のタイミングで、データD0はデータ送受信部101により受信される。また受信データ規制部102により、タイマTが起動されるとともに規定時間DTが参照される。
その後データD0は、CANバッファ103に出力される。CANバッファ103に格納されたデータD0は、制御演算部104により演算処理される。その結果、演算結果D21が生成される。
時間tがt0<t≦t1の間は、受信データ規制部102によりブロックの設定が「有効」に設定されていることを示す。よってこの間に受信されるデータのうち、データD0と同一のIDを有するデータD1、D2は不正なデータとみなされ、受信データ規制部102によりCANバッファ103に出力されないようにブロックされる。
時間tがt1<t≦t2の間は、受信データ規制部102によりブロックの設定が「無効」に設定されていることを示す。この間の時間をここではウインドウWと呼んでいる。このウインドウW内で受信されたデータD3は、正規のデータとみなされ、受信データ規制部102によりCANバッファ103に出力される。
CANバッファ103に格納されたデータD3は、制御演算部104により演算処理される。その結果、演算結果D22が生成される。
時間tがt2<t≦t3の間は、再び受信データ規制部102によりブロックの設定が「有効」に設定されていることを示す。よってこの間に受信されるデータのうち、データD0と同一のIDを有するデータD4は、不正なデータとみなされ、受信データ規制部102によりCANバッファ103に出力されないようにブロックされる。
以上のように本実施の形態によれば、基準となる正規のデータD0を受信した場合、その後に受信するデータのうち、データD0と同一のIDのデータの受け入れ期間をソフトウェアの動作により制限し、定期的に設けるウインドウW内で受信したデータD3のみを演算処理するようにした。
より具体的には、正規のデータD0を受信した時点でタイマTを起動し、カウント時間が規定時間DTを経過するまでの間に受信したデータD1、D2、D4を不正なデータとみなしてブロックし、カウント時間が規定時間DTを経過した後であって、所定時間経過前のウインドウW内で受信したデータD3のみを演算処理するようにした。
これにより、なりすまし攻撃に対する防御手段として追加の機器を必要とすることなく、また不正な受信データを監視、判定及び無効化する等の煩雑な処理を必要とすることなく、単にソフトウェアの制御によって不正なデータを防御することができる。よって本実施の形態によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。
なお本実施の形態において、IDと規定時間DTとが予め対応付けられているが、これに加えて規定時間DTとウインドウ幅(図4においては時間t1とt2との間の時間)とが対応付けられているとしてもよい。
例えばIDが「1」については、規定時間DTが「100ms」、ウインドウ幅が「10ms」が予め対応付けられており、IDが「2」については、規定時間DTが「50ms」、ウインドウ幅が「5ms」が予め対応付けられているとしてもよい。すなわち単位時間当たりの受信回数に応じてウインドウ幅を可変にしてもよい。
この場合、単位時間当たりの受信回数が多いデータについてはウインドウ幅を短くするようにして、不正なデータをブロックし易くすることができる。よってより確実にセキュリティの保護を実現することができる。
1 車両
10 ECU
20 CANバス
30 DLC
40 スキャンツール
100 CPU
101 データ送受信部
102 受信データ規制部
103 CANバッファ
104 制御演算部

Claims (6)

  1. 通信バス(20)に接続されているECU(10)において、
    前記ECU(10)のCPU(100)は、
    前記通信バス(20)を介して基準となる正規のデータ(D0)を受信した場合、
    前記正規のデータ(D0)を受信した後にIDが同一のデータ(D1、D2、D3、D4)を受信する場合の該データ(D1、D2、D3、D4)の受け入れ期間を制限する
    ことを特徴とするECU。
  2. 前記CPU(100)は、
    前記IDが同一のデータ(D1、D2、D3、D4)の受け入れ期間の制限について、
    定期的に設けるウインドウ(W)外で受信したデータ(D1、D2、D4)についてはブロックして演算処理の対象から除外し、前記ウインドウ(W)内で受信したデータ(D3)のみを演算処理の対象とする
    ことを特徴とする請求項1に記載のECU。
  3. 前記CPU(100)は、
    前記正規のデータ(D0)のIDに予め対応付けられている規定時間(DT)が経過するごとに前記ウインドウ(W)を定期的に設ける
    ことを特徴とする請求項2に記載のECU。
  4. 前記CPU(100)は、
    前記正規のデータ(D0)を受信した時点(t0)から前記規定時間(DT)が経過するまでの間に受信した前記データ(D1、D2)をブロックし、
    前記規定時間(DT)が経過した時点(t1)から所定時間が経過するまでの間に受信した前記データ(D3)のみを演算処理し、
    前記所定時間が経過した時点(t2)から前記規定時間(DT)が経過するまでの間に受信した前記データ(D4)をブロックする
    ことを特徴とする請求項3に記載のECU。
  5. 前記規定時間(DT)は、
    前記基準となる正規のデータ(D0)のIDごとに異なる
    ことを特徴とする請求項3又は4に記載のECU。
  6. 前記ウインドウ(W)は、
    前記基準となる正規のデータ(D0)のIDごとに幅が異なる
    ことを特徴とする請求項3〜5の何れか一項に記載のECU。


JP2019515134A 2017-04-26 2018-03-08 Ecu Pending JPWO2018198545A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017087064 2017-04-26
JP2017087064 2017-04-26
PCT/JP2018/008881 WO2018198545A1 (ja) 2017-04-26 2018-03-08 Ecu

Publications (1)

Publication Number Publication Date
JPWO2018198545A1 true JPWO2018198545A1 (ja) 2020-01-23

Family

ID=63918281

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019515134A Pending JPWO2018198545A1 (ja) 2017-04-26 2018-03-08 Ecu

Country Status (2)

Country Link
JP (1) JPWO2018198545A1 (ja)
WO (1) WO2018198545A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
WO2017037977A1 (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
WO2017037977A1 (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法

Also Published As

Publication number Publication date
WO2018198545A1 (ja) 2018-11-01

Similar Documents

Publication Publication Date Title
CN107005447B (zh) 通信控制装置及通信系统
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
US20180091525A1 (en) On-vehicle communication system
JP6525825B2 (ja) 通信装置
JP6369341B2 (ja) 車載通信システム
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
US20180288000A1 (en) On-board communication system
JP6838147B2 (ja) Ecu
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
JP6586500B2 (ja) データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置
US11528284B2 (en) Method for detecting an attack on a control device of a vehicle
CN107196897B (zh) 监视装置及通信系统
JP2016097879A (ja) 車両制御システム
JPWO2018198545A1 (ja) Ecu
JP2020145547A (ja) 不正送信データ検知装置
JP2015192216A (ja) 通信装置および通信方法
JP6528239B2 (ja) 通信装置およびプログラム
KR102204656B1 (ko) 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템
JP7110950B2 (ja) ネットワークシステム
WO2024071120A1 (ja) 情報処理装置、情報処理システム、情報処理プログラム、情報処理方法
JP6149716B2 (ja) 車載ネットワークシステム
JP2020096322A (ja) 不正信号処理装置
CN111447165A (zh) 车辆安全防护方法及装置
JP2021072582A (ja) 通信装置および異常判定装置
JP2013229670A (ja) 通信制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190923

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20201118