JPWO2018211790A1 - Ecu - Google Patents
Ecu Download PDFInfo
- Publication number
- JPWO2018211790A1 JPWO2018211790A1 JP2019519078A JP2019519078A JPWO2018211790A1 JP WO2018211790 A1 JPWO2018211790 A1 JP WO2018211790A1 JP 2019519078 A JP2019519078 A JP 2019519078A JP 2019519078 A JP2019519078 A JP 2019519078A JP WO2018211790 A1 JPWO2018211790 A1 JP WO2018211790A1
- Authority
- JP
- Japan
- Prior art keywords
- data
- ecu
- time
- cpu
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 238000012544 monitoring process Methods 0.000 description 22
- 230000005540 biological transmission Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000004092 self-diagnosis Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
Abstract
車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現し得るECUを提案する。CANバス(20)に接続されているECU(10)において、ECU(10)のCPU(100)は、通信バス(20)を介して正規のデータ(D1)を受信した後、正規のデータ(D1)とIDが同一のデータ(D2〜D8)を受信し、IDが同一のデータ(D2〜D8)の一定期間内における受信回数が予め定められた規定回数(DC)以上である場合、異常な状態であると判断して、安全な制御状態に移行することを特徴とする。
Description
本発明は、ECUに関し、特に車載ネットワーク上に配置されるECUに適用して好適なものである。
近年、CAN(Controller Area Network)と呼ばれる通信規格を利用した車載ネットワーク(CANネットワーク)が普及している。このCANネットワークは、車両に設置された複数の電子制御装置(ECU:Electronic Control Unit)と、CANを利用した通信バス(CANバス)とが接続されて構成される。ECUは、このCANバスを介して、他のECUと互いに通信(CAN通信)することができる。
CANバスは、ECU同士を互いに通信可能に接続する一方で、データリンクコネクタ(DLC:Data Link Connector)を備える。このデータリンクコネクタに専用の機器を接続することで、ECUが備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。故障コードを参照することで、例えばサービスエンジニアは故障箇所を容易に特定することができる。
ところで、このDLCが不正に利用された場合、具体的にはDLCを介して、正規のデータとIDが同一で中身が異なる不正なデータが外部からCANバスに送信された場合、CANバスに接続されているECUがこの不正なデータを受信して誤動作するおそれがある。よってセキュリティ保護の観点から、このような不正なデータを防御する技術が必要となる。
なお不正なデータは、DLCに有線で接続された機器からCANバスに送信される場合と、DLCに無線通信可能な機器が接続されて、この機器を介して無線でCANバスに送信される場合とが考えられる。
特許文献1には、CANバスに対して送信されたデータについて、前回の送信タイミングと、今回の送信タイミングとの間の差分を送信周期として算出し、この送信周期と、予め記憶する不正データ判定用の送信周期とを比較し、比較した結果、算出した送信周期が不正データ判定用の送信周期よりも短い場合、今回送信されたデータを不正データとして判定する技術が開示されている。
この特許文献1に記載の技術によれば、一のECUがCANバスを監視し、他のECUが不正データの受信を完了する前にこれを検出して無効化することができる。これにより正規なデータとIDが同一で中身が異なる不正なデータがCANバスに侵入し、CANバスに接続されているECUの誤動作を引き起こすなりすまし攻撃から、車載ネットワークに接続している全てのECUを防御することができるとしている。
しかしこの特許文献1に記載の技術では、CANバスに対して送信されたデータを常時監視するための追加の機器が必要になる。具体的には、ECUとCANバスとを接続する通常の通信線に加えて、これと並列にこのECUとCANバスとを接続する追加の通信線が更に必要となる。またCANバス上のデータを常時監視する処理、不正データか否かを判定する処理及び不正データである場合の無効化処理等の追加の処理が必要になる。
よって車載ネットワークのハードウェア構成及びソフトウェア構成が複雑化し、これに伴い、車載ネットワークを実現するための全体のコストが増加するという課題が生じる。
本発明は以上の点を考慮してなされたものであり、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現し得るECUを提案する。
かかる課題を解決するために、本発明においては、CANバス(20)に接続されているECU(10)において、ECU(10)のCPU(100)は、通信バス(20)を介して正規のデータ(D1)を受信した後、正規のデータ(D1)とIDが同一のデータ(D2〜D8)を受信し、IDが同一のデータ(D2〜D8)の一定期間内における受信回数が予め定められた規定回数(DC)以上である場合、異常な状態であると判断して、安全な制御状態に移行することを特徴とする。
本発明によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。
以下本発明について、図面を参照しながら本発明の一実施の形態を詳述する。なお以下の説明はあくまで本発明の一実施の形態にすぎず、本発明の技術的範囲がこれに限定されるものではない。
図1は、車両1における車載ネットワークN1の全体構成を示す。車載ネットワークN1は、CAN(Controller Area Network)と呼ばれる通信規格を利用したネットワークであり、電子制御装置(ECU:Electronic Control Unit)10及びCANバス20を備えて構成される。
ECU10は、車両1の各種動作を制御する制御装置である。ECU10は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)及び入出力インタフェース等を備えて構成される。各ECU10は、それぞれCANバス20に接続される。これにより各ECU10は、CANバス20を介して互いに通信可能に接続される。
なおCANバス20に接続されるECU10のうち、エンジンECUと呼ばれるECU10は、車両1の動作を統括的に制御する。そのため本実施の形態においては、このエンジンECUに本発明を適用することで、特に走行に関する制御についてセキュリティの保護を実現しようとするものである。
CANバス20は、CANを利用した通信バスであり、各ECU10を互いに通信可能に接続する。またCANバス20は、データリンクコネクタ(DLC:Data Link Connector)30を備える。DLC30は、スキャンツール40を有線又は無線によりCANバス20に接続するための接続コネクタである。
DLC30にスキャンツール40を接続し、スキャンツール40上で特定の操作を行うと、ECU10が備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。例えばサービスエンジニアは、スキャンツール40の表示画面上に表示される故障コードを参照して、車両1の故障箇所を特定することができる。
ここで、DLC30を介して車両1の外部から不正なデータがCANバス20に送信される場合が考えられる。ここでいう不正なデータとは、少なくともCANバス20に送信されるタイミングが正規のデータとは異なるデータをいう。
例えば一の正規のデータのIDが「1」で、「100ms」ごとにCANバス20に送信される場合、IDが「1」で、「120ms」ごとにCANバス20に送信されるデータは本実施の形態においては不正なデータとして取り扱われる。またこのIDが「1」のデータとの関係において、IDが異なるデータ、或いは、IDが同一であっても内容が異なるデータも当然に不正なデータとなる。
このような不正なデータがDLC30を介してCANバス20に送信された場合であって何らの防御手段もない場合、CANバス20に接続されているECU10がこれを受信して演算処理してしまう。特にエンジンECUが不正なデータを受信して演算処理すると、走行に関する制御が不能になるおそれがある。
本実施の形態においては、たとえ不正なデータがCANバス20に送信された場合であっても、ECU10においてこの不正なデータは演算処理の対象から除外し、正規のデータだけを演算処理の対象とするようにしている。またECU10がCANバス20を介して、不正なデータを受信する受信回数が増加した場合、これを異常な状態と判断し、安全な制御状態に移行するようにしている。
安全な制御状態には、エンジンを停止させた状態(エンストさせた状態)、CANバス20からのデータの受信を拒否した状態、最小のギア段による走行を維持するリンプホームモードに移行した状態などがある。
図2は、ECU10の内部構成を示す。ECU10は、ここでは図示しないRAM及びROM等のメモリや入出力インタフェースを備えるとともに、CPU100を備える。CPU100は、データ送受信部101、受信データ監視部102、CANバッファ103及び制御判断部104及び演算部105等のプログラム又はメモリを備える。
データ送受信部101は、CANバス20からの正規又は不正なデータD0〜D8を受信して、受信データ監視部102に出力する。またデータ送受信部101は、これらのデータD0〜D8のうちの正規のデータに対する演算結果D21、D22又は安全な制御状態に移行するためのフェールセーフデータD23をCANバス20に送信する。
演算結果D21、D22、フェールセーフデータD23は、その後他のECU10や他の機器の動作に用いられる。他のECU10や他の機器がフェールセーフデータD23を受信した場合、安全な制御がドライバの操作によらずに実行されることになる。
受信データ監視部102は、データ送受信部101からの正規又は不正なデータD0〜D8を入力すると、これらのデータをCANバッファ103に出力するとともに、これらのデータD0〜D8の受信回数をカウントして異常な状態であるか否かを判断する。
具体的に、受信データ監視部102は、基準となる一の正規のデータD0を受信すると、これをCANバッファ103に出力するとともに、CPU100の内部に保持するタイマTを起動して時間のカウントを開始する。
受信データ監視部102は、IDごとに予め対応付けられた規定時間DTを参照して、この規定時間DTが経過するまでの間に受信したデータD0〜D8をCANバッファ103に出力する。またこれらのデータD0〜D8の受信回数をカウンタCによりカウントする。すなわち受信データ監視部102は、単位時間当たりのデータの受信回数をカウントする。
そして受信データ監視部102は、予め定められた規定回数DCを参照して、カウンタCによりカウントされた受信回数が規定回数DC以上であるか否かを判断する。受信回数が規定回数DC以上になった場合、受信データ監視部102は異常な状態であるものと判断する。そして受信データ監視部102は、異常な状態であることを示す監視結果を制御判断部104に出力する。
CANバッファ103は、演算処理待ちのデータを格納するメモリである。
制御判断部104は、受信データ監視部102からの監視結果に基づいて、CANバッファ103に格納されているデータを演算対象とするか、或いは、演算対象から除外するかを判断する。そして制御判断部104は、判断結果を演算部105に出力する。
制御判断部104は、受信データ監視部102からの監視結果に基づいて、CANバッファ103に格納されているデータを演算対象とするか、或いは、演算対象から除外するかを判断する。そして制御判断部104は、判断結果を演算部105に出力する。
演算部105は、制御判断部104からの判断結果に基づいて、CANバッファ103に格納されたデータD0〜D8のうちの規定時間DTの経過後で所定時間内(ウインドウ内)に受信したデータを演算処理して、演算結果D21、D22を生成する。或いは、演算処理の対象から除外してフェールセーフデータD23を生成する。
例えば演算部105は、データD0のIDが「1」であり、このIDに予め対応付けられている規定時間DTが「100ms」である場合、IDが「1」のデータについてはデータD0を受信してから100ms〜110ms、或いは、95ms〜105msの間のウインドウ内に受信したデータを演算処理して、演算結果D21、D22を生成する。
一方で演算部105は、異常な状態である場合、CANバッファ103に格納されたデータD0〜D8を演算対象から除外し、安全な制御状態に移行するためのフェールセーフデータD23を生成する。演算部105は、生成した演算結果D21、D22又はフェールセーフデータD23をデータ送受信部101に出力する。
図3は、本実施の形態における受信処理のフローチャートを示す。受信処理は、ECU10のCPU100により、カウンタCが起動された時点から開始され、それ以後は常時実行される。カウンタCの起動タイミングは、ECU10の電源ON時であることを想定しているが、必ずしもこれに限られない。
またここでは、基準となる一の正規のデータを受信した後の一定期間に限って説明する。ここで説明するデータのIDは全て同一である(例えば「1」)。すなわちIDごとに本処理が行われる。説明の便宜上、処理主体をCPU100として説明する。
まずCPU100は、カウンタCを起動して受信回数のカウントを開始する(S1)。その後CPU100は、CANバス20から一の正規のデータを受信すると(S2)、タイマTを起動して時間のカウントを開始する(S3)。
CPU100は、タイマTを起動した後、ステップS2で正規のデータを受信しているので受信回数iを+1だけカウントアップする(S4)。そしてCPU100は、受信回数iがi≧規定回数DCであるか否かを判断する(S5)。
例えば規定回数DCが「6」回であるものとして定められている場合、一の正規のデータを受信した時点では受信回数iは「1」回であるため受信回数i<規定回数DCであり、ステップS5の判断では否定結果を得ることになる。
CPU100は、ステップS5の判断で否定結果を得ると(S5:N)、受信した正規のデータをCANバッファ103に出力する(S6)。そしてCPU100は、タイマTを起動した以後で他に受信したデータがあるか否かを判断する(S7)。CPU100は、ステップS7の判断で肯定結果を得ると(S7:Y)、ステップS4に移行して上述の処理を繰り返す。
これに対しCPU100は、ステップS7の判断で否定結果を得ると(S7:N)、ステップS2で受信した正規のデータのIDに対応付けられている規定時間DTと、ステップS3でカウントを開始したカウント時間とを参照して、カウント時間が規定時間DTを経過したか否かを判断する(S8)。
CPU100は、ステップS8の判断で否定結果を得ると(S8:N)、カウント時間が規定時間DTを経過するまでステップS4に移行して、上述の処理を繰り返す。そしてCPU100は、ステップS5の判断で肯定結果を得ると(S5:Y)、異常な状態であるものと判断する(S9)。そしてCPU100は、安全な制御状態に移行して(S10)、本処理を終了する。
これに対しCPU100は、ステップS8の判断で肯定結果を得ると(S8:Y)、カウンタCを停止及び再起動することにより、カウント回数を一旦リセットして受信回数のカウントを再度開始する(S12)。
次いでCPU100は、CANバッファ103に格納されているデータのうち、規定時間DTの経過後から所定時間内(ウインドウ内)に受信したデータがあるか否かを判断する(S13)。
CPU100は、ステップS13の判断で否定結果を得ると(S13:N)、CANバッファ103に格納されているデータを演算処理せずに本処理を終了する。これに対しCPU100は、肯定結果を得ると(S13:Y)、CANバッファ103に格納されているデータのうち、ウインドウ内に受信したデータを演算処理して(S14)、本処理を終了する。
なおCPU100は、これ以降に受信するIDが同一のデータについてはステップS4に移行して上述の処理を繰り返すことになる。
図4は、図3で説明した受信処理の概念図を示す。以下時系列に沿って、データD0〜D8の処理について説明する。
時間t=t0のタイミングで、基準となる正規のデータD0がデータ送受信部101により受信される。また受信データ監視部102により、タイマTが起動されるとともに規定時間DTが参照される。またカウンタCの受信回数が+1だけカウントアップされる。
その後データD0は、CANバッファ103に出力される。CANバッファ103に格納されたデータD0は、制御判断部104により演算対象であると判断された後、演算部105により演算処理される。その結果、演算結果D21が生成される。
時間tがt0≦t<t1の間では、受信されるデータの監視が受信データ監視部102により行われる。具体的にはタイマTにより時間がカウントされ、カウンタCにより受信回数がカウントされる。ここではデータD0のみが受信されただけであるため、受信回数は1回である。
時間t=t1のタイミングで、タイマT及びカウンタCが受信データ監視部102により停止及び再起動されて、カウント時間及び受信回数がリセットされる。リセットされた後はカウントが再開される。ここでのタイマTは、時間t=t2のタイミングで時間のカウントを再開し、カウンタCはリセットされた後すぐにデータのカウントを再開する。
時間tがt1<t≦t3の間は、受信したデータを演算処理の対象とする期間を示す。この期間をここではウインドウWと呼ぶ。正規のデータD1は、時間t=t2のタイミングで受信されたデータであり、このウインドウW内で受信されたデータである。
よってデータD1は、その後CANバッファ103に出力されて、制御判断部104により演算対象と判断された後、演算部105により演算処理される。その結果、演算結果D22が生成される。
時間tがt2≦t<t5の間は、受信されるデータの監視が再び行われる。ここではこの間に複数の不正なデータD2〜D7が受信されている。カウンタCにより不正なデータD2〜D7が受信されるたびに受信回数が+1だけカウントアップされる。
時間t=t4のタイミングで、受信回数が規定回数DCに到達していることが示されている。この場合、受信データ監視部102からの監視結果が制御判断部104に出力され、制御判断部104により以降に受信するデータは演算処理の対象から除外される。
時間tがt5<t≦t7の間は、ここでは2回目のウインドウWが設定されている。このようにウインドウWは規定時間DTが経過するたびに定期的に設けられる。正規のデータD8は、時間t=t6のタイミングで受信されたデータであり、このウインドウW内で受信されたデータであるが、演算処理の対象から除外される。そしてこれに代えてフェールセーフデータD23が生成される。
以上のように本実施の形態によれば、基準となる正規のデータD0を受信した場合、その後に受信するデータのうち、データD0と同一のIDのデータの受信回数をカウントし、一定期間内における受信回数が規定回数DCに到達しない場合はその後に受信するデータD1を演算処理し、受信回数が規定回数DC以上になる場合は異常な状態であると判断して、安全な制御状態に移行するようにした。
より具体的には、正規のデータD0を受信した時点でタイマTを起動し、カウント時間が規定時間DTを経過するまでの間に受信したデータの受信回数をカウントし、受信回数が規定回数DCに到達しない場合はその後にウインドウW内で受信した正規のデータD1を演算処理するようにする一方で、受信回数が規定回数DCに到達した場合は正規のデータD8を演算処理の対象から除外し、代わりにフェールセーフデータD23を生成し、これに基づいて安全な制御状態に移行するようにした。
これにより、なりすまし攻撃に対する防御手段として追加の機器を必要とすることなく、また不正な受信データを監視、判定及び無効化する等の煩雑な処理を必要とすることなく、単にソフトウェアの制御によって不正なデータを防御することができる。よって本実施の形態によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。
なお本実施の形態においては、IDと規定時間DTとが予め対応付けられているが、これに加えて規定時間DTとウインドウ幅(図4においては時間t1とt3との間の時間)とが対応付けられているとしてもよい。
例えばIDが「1」については、規定時間DTが「99ms」、ウインドウ幅が「10ms」が予め対応付けられており、IDが「2」については、規定時間DTが「50ms」、ウインドウ幅が「5ms」が予め対応付けられているとしてもよい。すなわち単位時間当たりの受信回数に応じてウインドウ幅を可変にしてもよい。
この場合、単位時間当たりの受信回数が多いデータについてはウインドウ幅を短くするようにして、不正なデータを演算処理の対象から除外し易くすることができる。よってより確実にセキュリティの保護を実現することができる。
また本実施の形態においては、カウント時間が規定時間DTを経過した時点で受信回数を一旦リセットするとしているが、これに限らず、受信回数の累計が規定回数DCに到達するまでリセットしないとしてもよい。すなわちカウンタCが受信回数のカウントを開始してから、定期的に設けるウインドウWの範囲外で受信したデータの受信回数の累計が規定回数DCに到達したタイミングで、受信回数をリセットするとしてもよい。
この場合、カウント時間が規定時間DTを経過するたびに受信回数をリセットする必要がなくなるため処理の簡素化を図ることができる。また異常な状態と判断されるほどに不正なデータを受信していなくとも、定常的に不正なデータを受信している場合、これを異常な状態と判断することができる。
1 車両
10 ECU
20 CANバス
30 DLC
40 スキャンツール
100 CPU
101 データ送受信部
102 受信データ監視部
103 CANバッファ
104 制御判断部
105 演算部
10 ECU
20 CANバス
30 DLC
40 スキャンツール
100 CPU
101 データ送受信部
102 受信データ監視部
103 CANバッファ
104 制御判断部
105 演算部
Claims (8)
- 通信バス(20)に接続されているECU(10)において、
前記ECU(10)のCPU(100)は、
前記通信バス(20)を介して正規のデータ(D1)を受信した後、前記正規のデータ(D1)とIDが同一のデータ(D2〜D8)を受信し、前記IDが同一のデータ(D2〜D8)の一定期間内における受信回数が予め定められた規定回数(DC)以上である場合、異常な状態であると判断して、安全な制御状態に移行する
ことを特徴とするECU。 - 前記CPU(100)は、
前記IDが同一のデータ(D2〜D8)の一定期間内における受信回数が前記規定回数(DC)未満である場合、定期的に設けるウインドウ(W)内で受信したデータ(D1)を演算処理の対象とする
ことを特徴とする請求項1に記載のECU。 - 前記CPU(100)は、
異常な状態であると判断した場合、
定期的に設けるウインドウ(W)内で受信したデータ(D8)を演算処理の対象から除外し、安全な制御状態に移行するためのフェールセーフデータを生成する
ことを特徴とする請求項1又は2に記載のECU。 - 前記CPU(100)は、
前記正規のデータ(D1)のIDに予め対応付けられている規定時間(DT)が経過するごとに前記ウインドウ(W)を定期的に設ける
ことを特徴とする請求項2又は3に記載のECU。 - 前記CPU(100)は、
前記正規のデータ(D1)の受信時に時間のカウントを開始し、カウント時間が予め定められる規定時間(DT)を経過した時点(t5)から所定時間が経過するまで(t7)の間に前記ウインドウ(W)を設定することにより、前記ウインドウ(W)を定期的に設ける
ことを特徴とする請求項2〜4の何れか一項に記載のECU。 - 前記規定時間(DT)は、
前記正規のデータ(D1)のIDごとに異なる
ことを特徴とする請求項4又は5に記載のECU。 - 前記ウインドウ(W)は、
前記正規のデータ(D1)のIDごとに幅が異なる
ことを特徴とする請求項2〜6の何れか一項に記載のECU。 - 前記CPU(100)は、
異常な状態であると判断した場合、
エンジンを停止させる制御、前記通信バス(20)からのデータの受信を拒否する制御又は最小のギア段による走行を維持する制御のうち、何れかの制御を実行することより、安全な制御状態に移行する
ことを特徴とする請求項1〜7の何れか一項に記載のECU。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017099285 | 2017-05-18 | ||
| JP2017099285 | 2017-05-18 | ||
| PCT/JP2018/008882 WO2018211790A1 (ja) | 2017-05-18 | 2018-03-08 | Ecu |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018211790A1 true JPWO2018211790A1 (ja) | 2020-02-27 |
| JP6838147B2 JP6838147B2 (ja) | 2021-03-03 |
Family
ID=64274048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019519078A Active JP6838147B2 (ja) | 2017-05-18 | 2018-03-08 | Ecu |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP6838147B2 (ja) |
| CN (1) | CN110915170B (ja) |
| DE (1) | DE112018002549T5 (ja) |
| WO (1) | WO2018211790A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7211051B2 (ja) * | 2018-12-05 | 2023-01-24 | 株式会社デンソー | ネットワークスイッチおよび回線監視装置 |
| CN111596570B (zh) * | 2020-05-26 | 2023-09-12 | 杭州电子科技大学 | 车辆can总线仿真与攻击系统及方法 |
| JP7491203B2 (ja) * | 2020-12-09 | 2024-05-28 | トヨタ自動車株式会社 | 制御装置、システム、車両、プロブラム及び制御装置の動作方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013068216A (ja) * | 2011-09-10 | 2013-04-18 | Denso Corp | 車載速度低下装置 |
| WO2013094072A1 (ja) * | 2011-12-22 | 2013-06-27 | トヨタ自動車 株式会社 | 通信システム及び通信方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
| JP2017073834A (ja) * | 2014-09-12 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子制御ユニット、車載ネットワークシステム及び車両用通信方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101417636B (zh) * | 2008-03-14 | 2013-03-20 | 北京理工大学 | 基于三路can总线的纯电动客车通信系统和方法 |
| CN103605349B (zh) * | 2013-11-26 | 2017-11-14 | 厦门雅迅网络股份有限公司 | 一种基于CAN‑bus的远程数据实时采集及分析统计系统及方法 |
| WO2015159520A1 (ja) * | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| CN111181732A (zh) * | 2014-05-08 | 2020-05-19 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| JP6267596B2 (ja) * | 2014-07-14 | 2018-01-24 | 国立大学法人名古屋大学 | 通信システム、通信制御装置及び不正情報送信防止方法 |
| CN105981336B (zh) * | 2014-12-01 | 2020-09-01 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| CN111934994B (zh) * | 2015-08-31 | 2022-06-07 | 松下电器(美国)知识产权公司 | 网关装置、车载网络系统以及通信方法 |
-
2018
- 2018-03-08 JP JP2019519078A patent/JP6838147B2/ja active Active
- 2018-03-08 DE DE112018002549.7T patent/DE112018002549T5/de active Pending
- 2018-03-08 CN CN201880047811.3A patent/CN110915170B/zh active Active
- 2018-03-08 WO PCT/JP2018/008882 patent/WO2018211790A1/ja active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013068216A (ja) * | 2011-09-10 | 2013-04-18 | Denso Corp | 車載速度低下装置 |
| WO2013094072A1 (ja) * | 2011-12-22 | 2013-06-27 | トヨタ自動車 株式会社 | 通信システム及び通信方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2017073834A (ja) * | 2014-09-12 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子制御ユニット、車載ネットワークシステム及び車両用通信方法 |
| JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110915170A (zh) | 2020-03-24 |
| DE112018002549T5 (de) | 2020-04-09 |
| WO2018211790A1 (ja) | 2018-11-22 |
| JP6838147B2 (ja) | 2021-03-03 |
| CN110915170B (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107431709B (zh) | 攻击识别方法、攻击识别装置和用于汽车的总线系统 | |
| CN107005447B (zh) | 通信控制装置及通信系统 | |
| WO2017038422A1 (ja) | 通信装置 | |
| JP6369341B2 (ja) | 車載通信システム | |
| JP6838147B2 (ja) | Ecu | |
| US7305587B2 (en) | Electronic control unit for monitoring a microcomputer | |
| US10554623B2 (en) | On-board communication system | |
| US20210258187A1 (en) | Electronic control device, electronic control method, and recording medium | |
| US10721241B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
| JP6586500B2 (ja) | データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| CN111147437A (zh) | 基于错误帧归因总线断开攻击 | |
| US10243941B2 (en) | Need based controller area network bus authentication | |
| CN107196897B (zh) | 监视装置及通信系统 | |
| KR20200040876A (ko) | 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 | |
| JP2016097879A (ja) | 車両制御システム | |
| JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| JP2020145547A (ja) | 不正送信データ検知装置 | |
| JP2015192216A (ja) | 通信装置および通信方法 | |
| JPWO2018198545A1 (ja) | Ecu | |
| JP6528239B2 (ja) | 通信装置およびプログラム | |
| JP6512205B2 (ja) | 通信システム | |
| JP2020096322A (ja) | 不正信号処理装置 | |
| JP2002314556A (ja) | 車両制御システム | |
| JP2013229670A (ja) | 通信制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191009 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200708 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210210 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6838147 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |