[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6490058B2 - 車載ネットワークシステム及び不正検知方法 - Google Patents

車載ネットワークシステム及び不正検知方法 Download PDF

Info

Publication number
JP6490058B2
JP6490058B2 JP2016513622A JP2016513622A JP6490058B2 JP 6490058 B2 JP6490058 B2 JP 6490058B2 JP 2016513622 A JP2016513622 A JP 2016513622A JP 2016513622 A JP2016513622 A JP 2016513622A JP 6490058 B2 JP6490058 B2 JP 6490058B2
Authority
JP
Japan
Prior art keywords
frame
electronic control
ecu
unit
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016513622A
Other languages
English (en)
Other versions
JPWO2015159486A1 (ja
Inventor
前田 学
学 前田
松島 秀樹
秀樹 松島
芳賀 智之
智之 芳賀
勇二 海上
勇二 海上
良浩 氏家
良浩 氏家
剛 岸川
剛 岸川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2015159486A1 publication Critical patent/JPWO2015159486A1/ja
Application granted granted Critical
Publication of JP6490058B2 publication Critical patent/JP6490058B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Small-Scale Networks (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Description

本開示は、電子制御ユニットが通信を行う車載ネットワークにおいて送信された不正なフレームを検知する技術に関する。
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898−1で規定されているCAN(Controller Area Network)という規格が存在する(「非特許文献1」参照)。
CANでは、通信路は2本のバスで構成され、バスに接続されているECUはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
またCANでは送信先や送信元を指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し(つまりバスに信号を送出し)、各受信ノードは予め定められたメッセージIDのみを受信する(つまりバスから信号を読み取る)。また、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはメッセージIDによる調停が行われ、メッセージIDの値が小さいフレームが優先的に送信される。
また、異常なメッセージがCANのバス上に送信された場合にゲートウェイ装置が異常メッセージを検出して、他のバスに転送しないことで、バスの負荷の上昇を抑える技術が知られている(「特許文献1」参照)。
特開2007−38904号公報
"CAN Specification 2.0 Part A"、[online]、CAN in Automation(CiA)、[平成26年11月14日検索]、インターネット(URL:http://www.can−cia.org/fileadmin/cia/specifications/CAN20A.pdf) RFC2104 HMAC: Keyed−Hashing for Message Authentication
ところで、車載ネットワークにおいて不正なノードがバスに接続され、不正なノードが不正にフレーム(メッセージ)を送信することで、車体を不正にコントロールしてしまう可能性があるため、その抑制のために不正なメッセージの検知が必要となる。
そこで、本開示は、CANプロトコル等に従って通信する車載ネットワークシステムにおいて、車載バッテリーの消費抑制等のために効率的に、バスに送信される不正なメッセージを検知する不正検知電子制御ユニット(不正検知ECU)を提供する。また、本開示は、効率的に不正なメッセージを検知するための不正検知方法、及び、不正検知ECUを備える車載ネットワークシステムを提供する。
本開示の一態様に係る不正検知方法は、1以上のバスを介して通信する複数の第1の電子制御ユニットを備える車載ネットワークシステムにおいて用いられる不正検知方法であって、前記車載ネットワークシステムを備えた車両の状態が第1の条件または第2の条件を満たしたことを検出する検出ステップと、(i)前記検出ステップにおいて前記車両の状態が前記第1の条件を満たしたことが検出された場合に、前記1以上のバスに接続された第2の電子制御ユニットの動作モードを、前記1以上のバス上の不正なメッセージを検知する第1の種類の検知処理を行う第1モードから前記第1の種類の検知処理を行わない第2モードへ切り替え、(ii)前記検出ステップにおいて前記車両の状態が前記第2の条件を満たしたことが検出された場合に、前記第2の電子制御ユニットの動作モードを、前記第2のモードから前記第1のモードへ切り替える、切替ステップとを含む。
また、上記課題を解決するために本開示の一態様に係る車載ネットワークシステムは、1以上のバスを介して通信する複数の電子制御ユニットと前記バスに接続された不正検知電子制御ユニットとを備える車載ネットワークシステムであって、前記車載ネットワークシステムを搭載する車両の状態が一定条件を満たしたことを検出する検出部と、前記検出部により前記車両の状態が一定条件を満たしたことが検出された場合に、前記バスに接続された不正検知電子制御ユニットの動作モードを、当該バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モードと当該所定種類の検知処理を行わない第2モードとの間で切り替える切替部とを備える車載ネットワークシステムである。
また、上記課題を解決するために本開示の一態様に係る不正検知電子制御ユニット(不正検知ECU)は、1以上のバスを介して通信する複数の電子制御ユニットが通信に用いるバスに接続される不正検知電子制御ユニットであって、前記複数の電子制御ユニットを搭載する車両の状態が一定条件を満たしたことを検出する検出部と、前記検出部により前記車両の状態が一定条件を満たしたことが検出された場合に、自装置の動作モードを、前記バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モードと当該所定種類の検知処理を行わない第2モードとの間で切り替える切替部を備える不正検知電子制御ユニットである。
本開示によれば、例えば車載バッテリーの電力等で稼動する車載ネットワークシステムでバスに不正なノードが接続されて不正なメッセージが送信された場合にその検知が可能となり、車両の状態に応じて一定条件下で検知を省略するので、バッテリー消費が抑制され得る。
実施の形態1に係る車載ネットワークシステムの全体構成を示す図である。 CANプロトコルで規定されるデータフレームのフォーマットを示す図である。 CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。 ヘッドユニットの構成図である。 受信IDリストの一例を示した図である。 ゲートウェイの構成図である。 転送ルールの一例を示した図である。 実施の形態1に係るECUの構成図である。 受信IDリストの一例を示した図である。 エンジンに接続されたECUから送信されるフレームにおけるID及びデータフィールドの一例を示す図である。 ブレーキに接続されたECUから送信されるフレームにおけるID及びデータフィールドの一例を示す図である。 ドア開閉センサに接続されたECUから送信されるフレームにおけるID及びデータフィールドの一例を示す図である。 窓開閉センサに接続されたECUから送信されるフレームにおけるID及びデータフィールドの一例を示す図である。 実施の形態1に係る不正検知ECUの構成図である。 不正検知ECUに保持される正規IDリストの一例を示した図である。 不正検知ECUに保持される正規IDリストの一例を示した図である。 メッセージID毎の不正検知カウンタの状態の一例を示す図である。 実施の形態1における不正なフレームの検知及び実行阻止に係る動作例を示すシーケンス図である。 実施の形態2に係る車載ネットワークシステムの全体構成を示す図である。 実施の形態2に係る不正検知ECUの構成図である。 不正検知ECUに保持されるデータ範囲リストの一例を示した図である。 実施の形態2における不正なフレームの検知及び実行阻止に係る動作例を示すシーケンス図である(図23に続く)。 実施の形態2における不正なフレームの検知及び実行阻止に係る動作例を示すシーケンス図である(図22から続く)。 実施の形態3に係る車載ネットワークシステムの全体構成を示す図である。 実施の形態3に係るECUの構成図である。 エンジンに接続されたECUから送信されるデータフレームにおけるID及びデータフィールドの一例を示す図である。 ブレーキに接続されたECUから送信されるデータフレームにおけるID及びデータフィールドの一例を示す図である。 ドア開閉センサに接続されたECUから送信されるデータフレームにおけるID及びデータフィールドの一例を示す図である。 窓開閉センサに接続されたECUから送信されるデータフレームにおけるID及びデータフィールドの一例を示す図である。 実施の形態3に係る不正検知ECUの構成図である。 実施の形態3に係るカウンタ保持部に保持されているメッセージID毎のカウンタ値の一例を示す図である。 実施の形態3における不正なフレームの検知及び実行阻止に係る動作例を示すシーケンス図である(図33に続く)。 実施の形態3における不正なフレームの検知及び実行阻止に係る動作例を示すシーケンス図である(図32から続く)。 実施の形態4に係る車載ネットワークシステムシステムの全体構成を示す図である。 実施の形態4に係るヘッドユニットの構成図である。 実施の形態4に係る不正検知ECUの構成図である。 実施の形態4におけるチェックモードへの移行シーケンスの一例を示す図である。 実施の形態4における待機モードへの移行シーケンスの一例を示す図である。 実施の形態4における待機モードへの移行シーケンスの一例を示す図である。 他の実施の形態に係るECUの構成図である。 他の実施の形態に係る不正検知ECUの構成図である。 他の実施の形態に係る不正検知ECUの構成図である。
本開示の一態様に係る不正検知方法は、1以上のバスを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムにおいて用いられる不正検知方法であって、前記車載ネットワークシステムを搭載する車両の状態が一定条件を満たしたことを検出する検出ステップと、前記検出ステップにおいて前記車両の状態が一定条件を満たしたことが検出された場合に、前記バスに接続された不正検知電子制御ユニットの動作モードを、当該バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モードと当該所定種類の検知処理を行わない第2モードとの間で切り替える切替ステップとを含む不正検知方法である。ここで、不正検知電子制御ユニット(不正検知ECU)は、バスに接続され、そのバスに送信される不正なメッセージを検知するための所定種類の検知処理を実行する機能を有する。不正なメッセージか否かは、検知処理により、予め定められた条件に適合するか否かで判断される。例えば不正検知ECUが1種類の検知処理しか行えない場合には、検知処理を行うか行わないかが動作モードにより切り替わることになる。この不正検知方法によれば、車両の状態に応じて一定条件下で、不正検知ECUが不正なメッセージの所定種類の検知処理を省略可能となるため、車両のバッテリー消費が抑制され得る。
また、前記複数の電子制御ユニットは、Controller Area Network(CAN)プロトコルに従って前記バスを介して通信を行うこととしても良い。これにより、CANプロトコルに従って通信する車載ネットワークシステムに不正なECUが接続されて不正なフレームが送信された場合にその不正を不正検知ECUが検知する期間が、車両の状態に応じて限定され得るため、電力消費量が低減され得る。
また、前記検出ステップでは、前記複数の電子制御ユニットのうち1つの電子制御ユニットが前記検出を行い、前記切替ステップでは、前記検出ステップで前記検出を行った1つの電子制御ユニットが切替指示メッセージを送信し、当該切替指示メッセージを受信した場合に前記不正検知電子制御ユニットが前記動作モードを切り替えることとしても良い。これにより、例えば、不正検知ECUは、不正なメッセージを検知する検知処理を行わない第2モードにおいては、切替指示メッセージ(つまり動作モードの切り替えのトリガーとなるトリガーフレーム)の検出を行うだけで足りるようになる。即ち、不正検知ECUは、車両の状態を直接検出するための検出部(例えばセンサ等)を有さなくても良い。
また、前記検出ステップでは、前記1つの電子制御ユニットが、前記バス上で不正なメッセージを検知した場合に、前記車両の状態が前記一定条件を満たしたとして前記検出を行い、前記切替ステップでは、前記検出ステップで前記検出を行った場合に前記1つの電子制御ユニットが、前記第1モードに切り替える旨を示す切替指示メッセージを送信し、当該切替指示メッセージを受信した場合に前記不正検知電子制御ユニットが前記動作モードを前記第1モードに切り替えることとしても良い。これにより、あるバス上に不正なメッセージが送信されていることが検出された場合に、不正検知ECUが第1モード(不正なメッセージを検知するチェックモード)になり、不正検知ECUが接続されたバス上の不正なメッセージが検知されるようになる。
また、前記検出ステップでは、前記1つの電子制御ユニットが、前記バス上で一定期間において不正なメッセージを検知しなかった場合に、前記車両の状態が前記一定条件を満たしたとして前記検出を行い、前記切替ステップでは、前記検出ステップで前記検出を行った場合に前記1つの電子制御ユニットが、前記第2モードに切り替える旨を示す切替指示メッセージを送信し、当該切替指示メッセージを受信した場合に前記不正検知電子制御ユニットが前記動作モードを前記第2モードに切り替えることとしても良い。これにより、あるバス上に一定期間、不正なメッセージが送信されなかったことが検出された場合に、不正検知ECUが第2モード(不正なメッセージを検知しない待機モード)になり電力消費量が低減され得る。
また、前記一定条件は、前記車両の使用が開始されたことであり、前記切替ステップでは、前記検出ステップで前記車両の使用が開始されたことが検出された場合に、前記動作モードを前記第1モードに切り替えることとしても良い。車両の使用とは、例えば、ユーザが、車両を走行させること、車両の走行の準備(ドア開け、乗車、エンジン始動等)をすること等である。また、例えば走行が不要となったときに、駐車(エンジン停止等)すること、降車すること等で使用が終わる。なお、ユーザの自宅の駐車場等といった特定の駐車場以外の場所における駐車中(給油所その他の外出先での駐車中)においては駐車及び降車があっても使用が終わらないと扱っても良い。これにより、車両の使用が開始された場合に、不正検知ECUが第1モード(不正なメッセージを検知するチェックモード)になり、不正検知ECUが接続されたバス上の不正なメッセージが検知されるようになる。従って、例えば駐車してユーザが車両から離れている間に車載ネットワークシステムに不正なECUが付加されたとしても、ユーザが車両に戻って車両の使用を開始してからはその不正なECUが不正なメッセージを送信すれば、その不正が検知されるようになる。
また、前記車両に搭載されたエンジンが始動したことを検出することにより、車両の使用が開始されたことの前記検出を行うこととしても良い。これにより、エンジンが始動したときから、不正検知ECUが不正なメッセージを検知する状態となる。従って、例えば駐車してユーザが車両から離れている間に車載ネットワークシステムに不正なECUが付加されたとしても、ユーザが車両に戻ってエンジンを始動してからはその不正なECUが不正なメッセージを送信すれば、その不正が検知されるようになる。
また、前記不正検知方法は更に、前記切替ステップで前記動作モードが前記第1モードに切り替えられた後に、前記車両の使用が開始されてから所定時間が経過した際に、前記動作モードを前記第2モードに切り替える再切替ステップを含むこととしても良い。これにより、車両の使用が開始されてから所定時間が経過した際に、無条件又は一定条件下で不正検知ECUが第2モード(不正なメッセージを検知しない待機モード)になり、電力消費量が低減され得る。
また、前記一定条件は、前記複数の電子制御ユニットのいずれかが前記車両の外部の装置と通信を開始する状態になったことであり、前記切替ステップでは、前記検出ステップで前記通信を開始する状態になったことが検出された場合に、前記動作モードを前記第1モードに切り替えることとしても良い。これにより、外部との通信が開始されると不正検知ECUが不正なメッセージを検知する状態となる。従って、例えば外部の装置から車載ネットワークシステムのヘッドユニット等が攻撃され、不正なメッセージ(フレーム)を外部から注入されても迅速に検知し得るようになる。なお、外部から不正なメッセージを送信するためのプログラム等が供給されたような場合にも同様に対処し得る。
また、前記一定条件は、前記複数の電子制御ユニットのいずれかが前記車両の外部の装置と通信して通信終了後の一定状態になったことであり、前記切替ステップでは、前記検出ステップで前記通信終了後の一定状態になったことが検出された場合に、前記動作モードを前記第2モードに切り替えることとしても良い。これにより、外部との通信が終了しバス上に不正なメッセージが送信される可能性が低下した場合に、不正なメッセージの検知の省略によりバッテリー消費を抑制できる。なお、不正なメッセージが送信される可能性が低下した場合は具体的には、例えば、通信が遮断された状態になった場合、通信終了から一定時間(例えば数分間)が経過した状態になった場合等である。
また、前記車載ネットワークシステムでは前記複数の電子制御ユニットの通信に複数のバスが用いられ、前記車載ネットワークシステムは更に前記複数のバスの間でメッセージを転送する機能を有するゲートウェイ装置を備え、前記検出ステップでは、前記複数の電子制御ユニットのうち、前記不正検知電子制御ユニットと異なるバスに接続された1つの電子制御ユニットが前記検出を行い、前記切替ステップでは、前記検出ステップで前記検出を行った1つの電子制御ユニットが切替指示メッセージを送信し、前記ゲートウェイ装置に転送された当該切替指示メッセージを受信した場合に前記不正検知電子制御ユニットが前記動作モードを切り替えることとしても良い。これにより、車載ネットワークシステムにおける1つのバスに接続されたECUにより検出された車両の状態に応じて別の1以上のバスそれぞれに接続された各不正検知ECUが動作モードを切り替えることができるようになる。
また、前記検出ステップでは、車両の状態が変化した場合において、所定のユーザインタフェースにより前記動作モードの切り替えの要否に係る入力を受け付け、当該入力が前記動作モードの切り替えを要する旨を示すときには、前記車両の状態が前記一定条件を満たしたとして前記検出を行うこととしても良い。これにより、不正検知ECUの動作モードの切り替えに、ユーザの判断が反映されるようになるので、ユーザの事情等に応じて適切に動作モードが切り替えられるようになる。
また、前記第2モードでは、不正なメッセージを検知可能な程度が、前記所定種類の検知処理とは異なる種類の検知処理を行うこととしても良い。例えば不正検知ECUが、不正なメッセージを検知するために処理量の比較的多い第一種の検知処理と処理量の比較的少ない第二種の検知処理とを実行可能である場合に、第一種の検知処理を行うか第二種の検知処理を行うかが動作モードにより切り替わる。これにより、車両の状態に応じて一定条件下で、不正検知ECUが不正なメッセージの所定種類の検知処理(例えば第一種の検知処理)を省略可能となるため、車両のバッテリー消費が抑制され得る。なお、不正検知ECUにおける検知処理の処理量の多さは、必ずしも不正を検知可能な程度の高さに比例するものではないが、概ね不正なメッセージを検知可能な程度の高さと関連する傾向がある。このため、例えば概ね不正検知程度が高く処理量の多い検知処理を一定の場合に限って実行しその他の場合にはそれより処理量の少ない検知処理を行うように動作モードを切り換えること等が有用となる。
また、本開示の一態様に係る車載ネットワークシステムは、1以上のバスを介して通信する複数の電子制御ユニットと前記バスに接続された不正検知電子制御ユニットとを備える車載ネットワークシステムであって、前記車載ネットワークシステムを搭載する車両の状態が一定条件を満たしたことを検出する検出部と、前記検出部により前記車両の状態が一定条件を満たしたことが検出された場合に、前記バスに接続された不正検知電子制御ユニットの動作モードを、当該バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モードと当該所定種類の検知処理を行わない第2モードとの間で切り替える切替部とを備える車載ネットワークシステムである。これにより、車両の状態に応じて一定条件下で、不正検知ECUが不正なメッセージの所定種類の検知処理を省略可能となるため、車両のバッテリー消費が抑制され得る。
また、本開示の一態様に係る不正検知電子制御ユニット(不正検知ECU)は、1以上のバスを介して通信する複数の電子制御ユニットが通信に用いるバスに接続される不正検知電子制御ユニットであって、前記複数の電子制御ユニットを搭載する車両の状態が一定条件を満たしたことを検出する検出部と、前記検出部により前記車両の状態が一定条件を満たしたことが検出された場合に、自装置の動作モードを、前記バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モードと当該所定種類の検知処理を行わない第2モードとの間で切り替える切替部を備える不正検知電子制御ユニットである。これにより、車両の状態に応じて一定条件下で、不正検知ECUが不正なメッセージの所定種類の検知処理を省略可能となるため、車両のバッテリー消費が抑制され得る。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
以下、実施の形態に係る車載ネットワークシステム、不正検知ECU等について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
以下、本開示の実施の形態として、メッセージIDを用いて他のノード(ECU)において不正なフレームに基づく処理が実行されることを阻止するための不正対処方法を実現する不正検知ECUを含む車載ネットワークシステム10について図面を用いて説明する。
[1.1 車載ネットワークシステム10の全体構成]
図1は、実施の形態1に係る車載ネットワークシステム10の全体構成を示す図である。車載ネットワークシステム10は、CANプロトコルに従って通信するネットワーク通信システムの一例であり、制御装置、センサ等の各種機器が搭載された自動車におけるネットワーク通信システムである。車載ネットワークシステム10は、バス500a、500bと、不正検知ECU100a、100b、ヘッドユニット200、ゲートウェイ300、及び、各種機器に接続されたECU400a〜400d等のECUといったバスに接続された各ノードとを含んで構成される。なお、図1では省略しているものの、車載ネットワークシステム10にはECU400a〜400d以外にもいくつものECUが含まれ得るが、ここでは、便宜上ECU400a〜400dに注目して説明を行う。ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、ECUは各種機能を実現することになる。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。ここでは、バス500a、500bには不正なフレームを送信する不正ECUが接続されている可能性があることを前提として説明する。
不正検知ECU100a、100bは、それぞれバス500a、バス500bに接続され、ECU400a〜400d等により送信されたフレームが不正であるかどうかを判定し、不正であればエラーフレームを送信する機能を有するECUである。
ECU400a〜400dは、いずれかのバスと接続され、また、それぞれエンジン401、ブレーキ402、ドア開閉センサ403、窓開閉センサ404に接続されている。ECU400a〜400dのそれぞれは、接続されている機器(エンジン401等)の状態を取得し、定期的に状態を表すフレーム(後述するデータフレーム)等をネットワーク(つまりバス)に送信している。
ゲートウェイ300は、不正検知ECU100a、ECU400a及びECU400bがつながるバス500aと、不正検知ECU100b、ECU400c及びECU400dがつながるバス500bと、ヘッドユニット200がつながるバス500cとに接続しており、それぞれのバスから受信したフレームを他のバスに転送する機能を有する。また受信したフレームを転送するかしないかを接続されたバス間毎に切り替えることも可能である。ゲートウェイ300も一種のECUである。
ヘッドユニット200は、フレームを受信する機能を持ち、ECU400a〜400dから送信されるフレームを受信し、各種状態をディスプレイ(図示しない)に表示して、ユーザに提示する機能を持つ。ヘッドユニット200も一種のECUである。
この車載ネットワークシステム10においてはCANプロトコルに従って各ECUがフレームの授受を行う。CANプロトコルにおけるフレームには、データフレーム、リモートフレーム、オーバーロードフレーム及びエラーフレームがある。説明の便宜上、まずはデータフレーム及びエラーフレームを中心に説明する。
[1.2 データフレームフォーマット]
以下、CANプロトコルに従ったネットワークで用いられるフレームの1つであるデータフレームについて説明する。
図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。
SOFは、1bitのドミナントで構成される。バスがアイドルの状態はレセシブになっており、SOFによりドミナントへ変更することでフレームの送信開始を通知する。
IDフィールドは、11bitで構成される、データの種類を示す値であるID(メッセージID)を格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。
RTRは、データフレームとリモートフレームとを識別するための値であり、データフレームにおいてはドミナント1bitで構成される。
IDEと「r」とは、両方ドミナント1bitで構成される。
DLCは、4bitで構成され、データフィールドの長さを示す値である。なお、IDE、「r」及びDLCを合わせてコントロールフィールドと称する。
データフィールドは、最大64bitで構成される送信するデータの内容を示す値である。8bit毎に長さを調整できる。送られるデータの仕様については、CANプロトコルで規定されておらず、車載ネットワークシステム10において定められる。従って、車種、製造者(製造メーカ)等に依存した仕様となる。
CRCシーケンスは、15bitで構成される。SOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出される。
CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。なお、CRCシーケンス及びCRCデリミタを合わせてCRCフィールドと称する。
ACKスロットは、1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットをドミナントとして送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、いずれかの受信ノードが受信に成功していることを確認できる。
ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
[1.3 エラーフレームフォーマット]
図3は、CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。エラーフレームは、エラーフラグ(プライマリ)と、エラーフラグ(セカンダリ)と、エラーデリミタとから構成される。
エラーフラグ(プライマリ)は、エラーの発生を他のノードに知らせるために使用される。エラーを検知したノードはエラーの発生を他のノードに知らせるために6bitのドミナントを連続で送信する。この送信は、CANプロトコルにおけるビットスタッフィングルール(連続して同じ値を6bit以上送信しない)に違反し、他のノードからのエラーフレーム(セカンダリ)の送信を引き起こす。
エラーフラグ(セカンダリ)は、エラーの発生を他のノードに知らせるために使用される連続した6ビットのドミナントで構成される。エラーフラグ(プライマリ)を受信してビットスタッフィングルール違反を検知した全てのノードがエラーフラグ(セカンダリ)を送信することになる。
エラーデリミタ「DEL」は、8bitの連続したレセシブであり、エラーフレームの終了を示す。
[1.4 ヘッドユニット200の構成]
ヘッドユニット200は、例えば、自動車のインパネ(インストルメントパネル)等に設けられ、運転者に視認されるための情報を表示する液晶ディスプレイ(LCD:liquid crystal display)等の表示装置、運転者の操作を受け付ける入力手段等を備える一種のECUである。
図4は、ヘッドユニット200の構成図である。ヘッドユニット200は、フレーム送受信部270と、フレーム解釈部260と、受信ID判断部240と、受信IDリスト保持部250と、フレーム処理部220と、表示制御部210と、フレーム生成部230とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ヘッドユニット200における通信回路、LCD、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
フレーム送受信部270は、バス500cに対して、CANプロトコルに従ったフレームを送受信する。バス500cからフレームを1bitずつ受信し、フレーム解釈部260に転送する。また、フレーム生成部230より通知を受けたフレームの内容をバス500cに1bitずつ送信する。
フレーム解釈部260は、フレーム送受信部270よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。フレーム解釈部260は、IDフィールドと判断した値は受信ID判断部240へ転送する。フレーム解釈部260は、受信ID判断部240から通知される判定結果に応じて、IDフィールドの値と、IDフィールド以降に現れるデータフィールドとを、フレーム処理部220へ転送するか、その判定結果を受けた以降においてフレームの受信を中止する(つまりそのフレームとしての解釈を中止する)かを決定する。また、フレーム解釈部260は、例えば、CRCの値が合わなかったり、ドミナント固定とされている項目がレセシブだったりする等、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部230へ通知する。また、フレーム解釈部260は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。例えばデータフレームの途中からエラーフレームと解釈された場合においては、そのデータフレームの解釈は中止され、そのデータフレームに応じて特段の処理を行うことがなくなる。
受信ID判断部240は、フレーム解釈部260から通知されるIDフィールドの値を受け取り、受信IDリスト保持部250が保持しているメッセージIDのリストに従い、そのIDフィールド以降のフレームの各フィールドを受信するかどうかの判定を行う。この判定結果を、受信ID判断部240は、フレーム解釈部260へ通知する。
受信IDリスト保持部250は、ヘッドユニット200が受信するID(メッセージID)のリストである受信IDリストを保持する。図5は、受信IDリストの一例を示した図である。ヘッドユニット200は、エンジン401に接続されたECU400aからメッセージIDが「1」であるフレーム(メッセージ)を受信し、ブレーキ402に接続されたECU400bからメッセージIDが「2」であるフレームを受信し、ドア開閉センサ403に接続されたECU400cからメッセージIDが「3」であるフレームを受信し、窓開閉センサ404に接続されたECU400dからメッセージIDが「4」であるフレームを受信する。
フレーム処理部220は、受信したフレームの内容(例えばメッセージID及びデータフィールドの内容)に基づいて、例えばLCDに表示されるべき画像を形成して、表示制御部210に通知する。なお、フレーム処理部220は、受信したデータフィールドの内容を保持し、入力手段を通じて受け付けた運転者による操作に応じて、LCDに表示されるべき画像(例えば車速表示用の画像、窓開閉状態表示用の画像等)を選択して通知しても良い。
表示制御部210は、フレーム処理部220より通知を受けた内容をLCD等に表示する。
フレーム生成部230は、フレーム解釈部260からのエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部270へ通知して送信させる。
[1.5 受信IDリスト例1]
図5は、ヘッドユニット200、ゲートウェイ300、ECU400c及びECU400dのそれぞれにおいて保持される受信IDリストの一例を示す図である。同図に例示する受信IDリストは、ID(メッセージID)の値が「1」、「2」、「3」及び「4」のいずれかであるメッセージIDを含むフレームを選択的に受信して処理するために用いられる。例えば、ヘッドユニット200の受信IDリスト保持部250に図5の受信IDリストが保持されていると、メッセージIDが「1」、「2」、「3」及び「4」のいずれでもないフレームについては、フレーム解釈部260でのIDフィールド以後のフレームの解釈が中止される。
[1.6 ゲートウェイ300の構成]
図6は、ゲートウェイ300の構成図である。ゲートウェイ300は、フレーム送受信部360と、フレーム解釈部350と、受信ID判断部330と、受信IDリスト保持部340と、フレーム生成部320と、転送処理部310と、転送ルール保持部370とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ゲートウェイ300における通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
フレーム送受信部360は、バス500a、500b、500cそれぞれに対して、CANプロトコルに従ったフレームを送受信する。バスからフレームを1bitずつ受信し、フレーム解釈部350に転送する。また、フレーム生成部320より通知を受けた転送先のバスを示すバス情報及びフレームに基づいて、そのフレームの内容をバス500a、500b、500cに1bitずつ送信する。
フレーム解釈部350は、フレーム送受信部360よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は受信ID判断部330へ転送する。フレーム解釈部350は、受信ID判断部330から通知される判定結果に応じて、IDフィールドの値と、IDフィールド以降に現れるデータフィールド(データ)とを、転送処理部310へ転送するか、その判定結果を受けた以降においてフレームの受信を中止する(つまりそのフレームとしての解釈を中止する)かを決定する。また、フレーム解釈部350は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部320へ通知する。また、フレーム解釈部350は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
受信ID判断部330は、フレーム解釈部350から通知されるIDフィールドの値を受け取り、受信IDリスト保持部340が保持しているメッセージIDのリストに従い、そのIDフィールド以降のフレームの各フィールドを受信するかどうかの判定を行う。この判定結果を、受信ID判断部330は、フレーム解釈部350へ通知する。
受信IDリスト保持部340は、ゲートウェイ300が受信するID(メッセージID)のリストである受信IDリスト(図5参照)を保持する。
転送処理部310は、転送ルール保持部370が保持する転送ルールに従って、受信したフレームのメッセージIDに応じて、転送するバスを決定し、転送するバスを示すバス情報とフレーム解釈部350より通知されたメッセージIDとデータとをフレーム生成部320へ通知する。なお、ゲートウェイ300は、あるバスから受信されたエラーフレームについては他のバスに転送しない。
転送ルール保持部370は、バス毎のフレームの転送についてのルールを表す情報である転送ルールを保持する。図7は、転送ルールの一例を示した図である。
フレーム生成部320は、フレーム解釈部350から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部360へ通知して送信させる。また、フレーム生成部320は、転送処理部310より通知されたメッセージIDとデータとを使ってフレームを構成し、フレーム及びバス情報をフレーム送受信部360へ通知する。
[1.7 転送ルール例]
図7は、ゲートウェイ300が保有する転送ルールの一例を示す。この転送ルールは、転送元のバスと転送先のバスと転送対象のID(メッセージID)とを対応付けている。図7中の「*」はメッセージIDにかかわらずフレームの転送がなされることを表している。また、同図中の「−」は転送対象のフレームがないことを示す。同図の例は、バス500aから受信するフレームはメッセージIDにかかわらず、バス500b及びバス500cに転送するように設定されていることを示している。また、バス500bから受信するフレームのうち、バス500cには全てのフレームが転送されるが、バス500aにはメッセージIDが「3」であるフレームのみが転送されるように設定されていることを示している。また、バス500cから受信されるフレームは、バス500aにもバス500bにも転送されないように設定されていることを示している。
[1.8 ECU400aの構成]
図8は、ECU400aの構成図である。ECU400aは、フレーム送受信部460と、フレーム解釈部450と、受信ID判断部430と、受信IDリスト保持部440と、フレーム処理部410と、フレーム生成部420と、データ取得部470とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ECU400aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。
フレーム送受信部460は、バス500aに対して、CANプロトコルに従ったフレームを送受信する。バス500aからフレームを1bitずつ受信し、フレーム解釈部450に転送する。また、フレーム生成部420より通知を受けたフレームの内容をバス500aに送信する。
フレーム解釈部450は、フレーム送受信部460よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は受信ID判断部430へ転送する。フレーム解釈部450は、受信ID判断部430から通知される判定結果に応じて、IDフィールドの値と、IDフィールド以降に現れるデータフィールドとを、フレーム処理部410へ転送するか、その判定結果を受けた以降においてフレームの受信を中止する(つまりそのフレームとしての解釈を中止する)かを決定する。また、フレーム解釈部450は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部420へ通知する。また、フレーム解釈部450は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
受信ID判断部430は、フレーム解釈部450から通知されるIDフィールドの値を受け取り、受信IDリスト保持部440が保持しているメッセージIDのリストに従い、そのIDフィールド以降のフレームの各フィールドを受信するかどうかの判定を行う。この判定結果を、受信ID判断部430は、フレーム解釈部450へ通知する。
受信IDリスト保持部440は、ECU400aが受信するID(メッセージID)のリストである受信IDリストを保持する。図9は、受信IDリストの一例を示した図である。
フレーム処理部410は、受信したフレームのデータに応じてECU毎に異なる機能に係る処理を行う。例えば、エンジン401に接続されたECU400aは、時速が30kmを超えた状態でドアが開いている状態だと、アラーム音を鳴らす機能を備える。ECU400aは、例えばアラーム音を鳴らすためのスピーカ等を有している。そして、ECU400aのフレーム処理部410は、他のECUから受信したデータ(例えばドアの状態を示す情報)を管理し、エンジン401から取得された時速に基づいて一定条件下でアラーム音を鳴らす処理等を行う。
データ取得部470は、ECUにつながっている機器、センサ等の状態を示すデータを取得し、フレーム生成部420に通知する。
フレーム生成部420は、フレーム解釈部450から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部460へ通知して送信させる。また、フレーム生成部420は、データ取得部470より通知されたデータの値に対して、予め定められたメッセージIDをつけてフレームを構成し、フレーム送受信部460へ通知する。
なお、ECU400b〜400dも、上述したECU400aと基本的に同様の構成を備える。但し、受信IDリスト保持部440に保持される受信IDリストはECU毎に異なる内容となり得る。ECU400bは図9に例示する受信IDリストを保持し、ECU400c及びECU400dは図5に例示する受信IDリストを保持する。また、フレーム処理部410の処理内容は、ECU毎に異なる。例えば、ECU400cにおけるフレーム処理部410の処理内容は、ブレーキがかかっていない状況でドアが開くとアラーム音を鳴らす機能に係る処理を含む。例えば、ECU400b及びECU400dにおけるフレーム処理部410では特段の処理を行わない。なお、各ECUは、ここで例示した以外の機能を備えていても良い。なお、ECU400a〜400dのそれぞれが送信するフレームの内容については後に図10〜図13を用いて説明する。
[1.9 受信IDリスト例2]
図9は、ECU400a及びECU400bのそれぞれにおいて保持される受信IDリストの一例を示す図である。同図に例示する受信IDリストは、ID(メッセージID)の値が「1」、「2」及び「3」のいずれかであるメッセージIDを含むフレームを選択的に受信して処理するために用いられる。例えば、ECU400aの受信IDリスト保持部440に図9の受信IDリストが保持されていると、メッセージIDが「1」、「2」及び「3」のいずれでもないフレームについては、フレーム解釈部450でのIDフィールド以後のフレームの解釈が中止される。
[1.10 エンジンに係るECU400aの送信フレーム例]
図10は、エンジン401に接続されたECU400aから送信されるフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU400aが送信するフレームのメッセージIDは「1」である。データは、時速(km/時)を表し、最低0(km/時)〜最高180(km/時)までの範囲の値を取り、データ長は1byteである。図10の上行から下行へと、ECU400aから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、0km/時から1km/時ずつ加速されている様子を表している。
[1.11 ブレーキに係るECU400bの送信フレーム例]
図11は、ブレーキ402に接続されたECU400bから送信されるフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU400bが送信するフレームのメッセージIDは「2」である。データは、ブレーキのかかり具合を割合(%)で表し、データ長は1byteである。この割合は、ブレーキを全くかけていない状態を0(%)、ブレーキを最大限かけている状態を100(%)としたものである。図11の上行から下行へと、ECU400bから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、100%から徐々にブレーキを弱めている様子を表している。
[1.12 ドア開閉センサに係るECU400cの送信フレーム例]
図12は、ドア開閉センサ403に接続されたECU400cから送信されるフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU400cが送信するフレームのメッセージIDは「3」である。データは、ドアの開閉状態を表し、データ長は1byteである。データの値は、ドアが開いている状態が「1」、ドアが閉まっている状態が「0」である。図12の上行から下行へと、ECU400cから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、ドアが開いている状態から次第に閉められた状態へと移った様子を表している。
[1.13 窓開閉センサに係るECU400dの送信フレーム例]
図13は、窓開閉センサ404に接続されたECU400dから送信されるフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU400dが送信するフレームのメッセージIDは「4」である。データは、窓の開閉状態を割合(%)で表し、データ長は1byteである。この割合は、窓が完全に閉まっている状態を0(%)、窓が全開の状態を100(%)としたものである。図13の上行から下行へと、ECU400dから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、窓が閉まっている状態から徐々に開いていく様子を表している。
[1.14 不正検知ECU100aの構成]
図14は、不正検知ECU100aの構成図である。不正検知ECU100aは、フレーム送受信部160と、フレーム解釈部150と、不正フレーム検知部130と、正規IDリスト保持部120と、不正検知カウンタ保持部110と、フレーム生成部140とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU100aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。なお、不正検知ECU100bも基本的に同様の構成を備えるが、正規IDリスト保持部120が保持するリスト情報(正規IDリスト)の内容が不正検知ECU100aと不正検知ECU100bとでは異なる。
フレーム送受信部160は、バス500aに対して、CANプロトコルに従ったフレームを送受信する。即ち、フレーム送受信部160は、バス上でのフレームの送信が開始された場合においてフレームを受信する言わば受信部として働き、また、バスにエラーフレーム等を送信する言わば送信部として働く。即ち、フレーム送受信部160は、バス500aからフレームを1bitずつ受信し、フレーム解釈部150に転送する。また、フレーム生成部140より通知を受けたフレームの内容をバス500aに送信する。
フレーム解釈部150は、フレーム送受信部160よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。IDフィールドと判断した値は、不正フレーム検知部130へ転送する。また、フレーム解釈部150は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部140へ通知する。また、フレーム解釈部150は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
不正フレーム検知部130は、フレーム解釈部150から通知されるIDフィールドの値を受け取り、IDフィールドの値が不正を示す所定条件に該当するか否かを判定する。即ち不正フレーム検知部130は、受信されたフレームにおける所定フィールドの内容が不正を示す所定条件に該当するか否かを判定する言わば判定部として機能する。この不正を示す所定条件は、IDフィールドの値が、正規IDリスト保持部120が保持しているメッセージIDのリストに載っていないという条件である。即ち、正規IDリスト保持部120が保持しているメッセージIDのリストに従い、通知されたIDフィールドの値(メッセージID)が不正かどうかの判定を行う。このリスト(つまり後述する正規IDリスト)に載っていないメッセージIDを受信した場合は、不正の検知回数をインクリメントするために、受信したメッセージIDを不正検知カウンタ保持部110へ通知する。また、正規IDリストに載っていないメッセージIDを受信した場合は、エラーフレームを送信するように、フレーム生成部140へ通知する。また、不正の検知回数が一定回数以上に達した場合に、不正検知カウンタ保持部110より通知を受け、該当するメッセージIDを発行する不正なECUが存在することを示すエラー表示メッセージ(フレーム)を送信するようフレーム生成部140へ通知する。エラー表示メッセージのメッセージIDは予め定められており、このメッセージIDのメッセージ(フレーム)をヘッドユニット200が受信してエラー表示を行うようになっている。このエラー表示メッセージについては便宜上説明を省略していたが、エラー表示メッセージのメッセージIDは、ゲートウェイ300及びヘッドユニット200が保持する受信IDリスト、及び、後述する正規IDリストに掲載される。但し、図15、図16ではエラー表示メッセージについてのメッセージIDを省略している。
正規IDリスト保持部120は、車載ネットワークシステム10においてバス500a上を送信されることとなるフレームに含まれるメッセージIDを予め規定したリストである正規IDリストを保持する(図15、図16参照)。
不正検知カウンタ保持部110は、メッセージID毎に検知回数をカウントするための不正検知カウンタを保持しており、不正フレーム検知部130からメッセージIDが通知されると、該当する不正検知カウンタをインクリメント(増加)する。不正検知カウンタが一定数(所定回数)以上に達した場合、不正フレーム検知部130に一定数を超えたことを通知する。ここでいう一定数(所定回数)の一例は、CANプロトコルにおける送信エラーカウンタの取り扱い規則に対応して定められた値である。CANプロトコルでは、ECUがエラーフレームによって送信を阻止する度に送信エラーカウンタが8カウントアップする。そして、この結果として送信ノードにおける送信エラーカウンタが128迄カウントアップすれば送信ノードはパッシブ状態に遷移してフレーム送信をしなくなるように規定されている。従って、128/8(=16)より大きな17をこの一定数として定めておけば、CANプロトコルにおける送信エラーカウンタに係る規則を無視した送信ノード(不正なECU)の存在が推定される場合に不正検知ECU100aからエラー表示メッセージが送信されるようになる。なお、不正なフレームを送信する、不正なECUが、CANプロトコルにおける送信エラーカウンタに係る規則に従うものであった場合には、不正検知ECU100aによるエラーフレームの送信によって、不正なECUの送信エラーカウンタは8インクリメントされる。この場合、不正なフレームの送信を繰り返すことで不正なECUの送信エラーカウンタが128まで上昇すると、不正なECUがパッシブ状態に遷移し、不正なECUによる不正なフレームの送信が停止することになる。
フレーム生成部140は、フレーム解釈部150から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部160へ通知して送信させる。また、フレーム生成部140は、不正フレーム検知部130から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部160へ通知して送信させる。更にフレーム生成部140は、不正フレーム検知部130から通知されたエラー表示メッセージの送信を指示する通知に従い、エラー表示メッセージをフレーム送受信部160へ通知して送信させる。
[1.15 不正検知ECU100aの正規IDリスト例]
図15は、不正検知ECU100aの正規IDリスト保持部120に保持される正規IDリストの一例を示した図である。同図に例示する正規IDリストは、ID(メッセージID)の値が「1」、「2」及び「3」のいずれかであるメッセージIDを含むフレームがバス500aに流れ得ることを示している。
[1.16 不正検知ECU100bの正規IDリスト例]
図16は、不正検知ECU100bの正規IDリスト保持部120に保持される正規IDリストの一例を示した図である。同図に例示する正規IDリストは、ID(メッセージID)の値が「1」、「2」、「3」及び「4」のいずれかであるメッセージIDを含むフレームがバス500bに流れ得ることを示している。
[1.17 不正検知カウンタ保存リスト例]
図17は、メッセージID毎の不正検知カウンタの状態の一例を示す図である。同図の例は、メッセージIDが「4」の不正検知カウンタだけが、不正を一度検知しており、その他のメッセージIDでは一度も検知していないことを示す。即ち、この例はバス500aに本来流れるはずがないメッセージID「4」のメッセージ(フレーム)が一度送信されたことを不正検知ECU100aが検知し、該当するメッセージID「4」に対応する不正検知カウンタを1インクリメントした場合を示している。
[1.18 不正フレームの検知に係るシーケンス]
以下、上述の構成を備える車載ネットワークシステム10のバス500aに不正なECUが接続された場合について、バス500aに接続された不正検知ECU100a、ECU400a、ECU400b、ゲートウェイ300等の動作について説明する。
図18は、不正検知ECU100aが不正なフレーム(メッセージ)を検知して、他のECUによりその不正なフレームに対応した処理がなされることを阻止する動作例を示すシーケンス図である。同図では、不正なECUが、バス500aにメッセージIDが「4」でデータフィールド(データ)が「255(0xFF)」となるデータフレームを送信する場合の例を示している。ここでの各シーケンスは、各種装置における各処理手順(ステップ)を意味する。
まず、不正なECUは、メッセージIDが「4」、データが「255(0xFF)」となるデータフレームの送信を開始する(シーケンスS1001)。フレームを構成する各ビットの値は、上述したデータフレームフォーマットに従ってSOF、IDフィールド(メッセージID)といった順に逐次バス500a上に送出される。
不正なECUがIDフィールド(メッセージID)までをバス500aに送出し終えたときにおいて、不正検知ECU100a、ECU400a、ECU400b及びゲートウェイ300はそれぞれメッセージIDを受信する(シーケンスS1002)。
ECU400a、ECU400b及びゲートウェイ300はそれぞれ、保持している受信IDリストを用いてメッセージIDをチェックする(シーケンスS1003)。このとき、不正検知ECU100aは、保持している正規IDリストを用いてメッセージIDをチェックする(シーケンスS1004)。即ち、不正検知ECU100aは、送信されたフレームにおけるIDフィールドの内容が、不正を示す所定条件(正規IDリストに掲載されていないこと)に該当するか否かを判定する。
シーケンスS1003において、ECU400a及びECU400bは、それぞれが保持している受信IDリストに「4」が含まれていないため(図9参照)、受信を終了する。つまりこれ以上不正なECUが送信を継続するフレームの解釈をせずフレームに対応した処理を行わない。また、シーケンスS1003においてゲートウェイ300は、保持している受信IDリストに「4」が含まれているため(図5参照)、受信を継続する。また、シーケンスS1004において不正検知ECU100aは、保持している正規IDリストに「4」が含まれていないため、不正なメッセージIDであると判断して、続いてエラーフレームの発行準備を開始する(シーケンスS1005)。
シーケンスS1003に続いて、ゲートウェイ300はフレームの受信を継続する。例えば、不正検知ECU100aがエラーフレームの発行準備をしている間に、不正なECUからはバス500a上にIDフィールドより後の部分であるRTR、コントロールフィールド(IDE、r、DLC)が逐次送出され、続いてデータフィールドが1ビットずつ逐次送出される。ゲートウェイ300はこのRTR、コントロールフィールド(IDE、r、DLC)を受信し、続いてデータフィールドの受信を開始する(シーケンスS1006)。
次にエラーフレームの発行準備が終わって、不正検知ECU100aがエラーフレームを送信する(シーケンスS1007)。このエラーフレームの送信は、不正なフレームの最後尾が送信される前(例えばCRCシーケンスの最後尾が送信される前等)に行われる。この動作例においては、データフィールドの途中で行われる。このエラーフレームの送信が開始されることによりバス500aでは、不正なECUから送信中のフレームのデータフィールドの途中部分がエラーフレーム(優先されるドミナントのビット列)により上書きされることになる。
シーケンスS1007において送信されたエラーフレームを受信したゲートウェイ300は、データフィールドの受信途中で不正なECUが送信していたフレームの受信を中止する(シーケンスS1008)。つまり、ゲートウェイ300は、不正なECUからのデータフィールドがエラーフレームで上書きされており、エラーフレームを検出するので、不正なECUが送信していたフレームの受信を継続しない。
不正検知ECU100aは、エラーフレームを送信する対象となったデータフレームのメッセージID「4」に対応する不正検知カウンタをインクリメントする(シーケンスS1009)。
インクリメントした結果としてメッセージID「4」に対応する不正検知カウンタが17以上となった場合、不正検知ECU100aは、ヘッドユニット200に受信されるようにエラー表示を通知するフレーム(エラー表示メッセージ)を送信する(シーケンスS1010)。この結果としてヘッドユニット200のフレーム処理部220によってエラー表示のための処理がなされLCD等を介してエラーが報知される。なお、エラーの報知は、LCD等への表示の他、音声出力、発光等によるものでも良い。
[1.19 実施の形態1の効果]
実施の形態1で示した不正検知ECUは、送信されたフレーム(データフレーム)が不正なフレームか否かを、フレームのIDフィールドについて正規IDリストを用いて判定する。これにより、データフレームにおけるIDフィールドによって不正を判定できるため、既存のノード(つまり不正検知ECU及び不正なECU以外のECU)において不正なフレームが解釈されてそのフレームに対応する処理が実行されることを阻止できる。また、データフレームの先頭のSOFに続くIDフィールドまで受信するだけで判定ができるため、データフレームの後部等を受信して判定を行う場合よりも、バスのトラフィックを抑えることが可能となる。
また、不正検知ECUが、不正検知カウンタを用いてエラーフレームを送信した回数をカウントすることで、エラーフレームの受信により不正なメッセージIDを送信するノードにおける送信エラーカウンタがCANプロトコルに従えばパッシブ状態に遷移すべき上限値まで到達していることを検出することができる。これにより、不正なメッセージIDを送信するノードが、CANプロトコルのエラーカウンタの仕様に準拠しているか否かを判定することが可能となる。
また、不正なフレームの判定を行うノードを不正検知ECUのみとすることで、既存のネットワーク構成への影響を最小限に抑えることができ、システム全体として処理量、電力消費量を抑えることができる。
なお、上述した車載ネットワークシステム10における1つ又は複数の不正検知ECUが、検知を行うか否かを切り替え可能にしても良い。そして、車両の状態が、例えば使用開始から一定期間が経過した等といった一定の場合に限って、不正検知ECUが不正なメッセージの検知を行わないこととしても良い。これにより、電力消費量を抑えることが可能となり、車載ネットワークシステム10の電力供給源である車載バッテリーの消費を抑制できる。
(実施の形態2)
以下、本開示の実施の形態として、メッセージID毎に許容されるデータ範囲に基づいて、他のノード(ECU)において不正なフレームに基づく処理が実行されることを阻止するための不正対処方法を実現する不正検知ECUを含む車載ネットワークシステム11について説明する。
[2.1 車載ネットワークシステム11の全体構成]
図19は、実施の形態2に係る車載ネットワークシステム11の全体構成を示す図である。車載ネットワークシステム11は、実施の形態1で示した車載ネットワークシステム10の一部を変形したものである。車載ネットワークシステム11は、バス500a、500bと、不正検知ECU2100a、2100b、ヘッドユニット200、ゲートウェイ300、及び、各種機器に接続されたECU400a〜400d等のECUといったバスに接続された各ノードとを含んで構成される。車載ネットワークシステム11の構成要素のうち、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
不正検知ECU2100a、2100bは、それぞれバス500a、バス500bに接続され、ECU400a〜400d等により送信されたフレームが不正であるかどうかを判定し、不正であればエラーフレームを送信する機能を有するECUである。
[2.2 不正検知ECU2100aの構成]
図20は、不正検知ECU2100aの構成図である。不正検知ECU2100aは、フレーム送受信部160と、フレーム解釈部2150と、不正フレーム検知部2130と、データ範囲リスト保持部2120と、不正検知カウンタ保持部110と、フレーム生成部140とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU2100aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。不正検知ECU2100aは、実施の形態1で示した不正検知ECU100aの一部を変形したものであり、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。なお、不正検知ECU2100bも不正検知ECU2100aと同様の構成を備える。
フレーム解釈部2150は、実施の形態1で示したフレーム解釈部150を変形したものであり、フレーム送受信部160よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。フレームがデータフレームであると判断した場合においてデータフィールドと判断した値(データ)は、IDフィールドのID(メッセージID)と共に、不正フレーム検知部2130へ転送する。また、フレーム解釈部2150は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部140へ通知する。また、フレーム解釈部2150は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
不正フレーム検知部2130は、実施の形態1で示した不正フレーム検知部130を変形したものであり、フレーム解釈部2150から通知されるメッセージIDと、データフィールドの値(データ)を受け取り、これらの値が不正を示す所定条件に該当するか否かを判定する。即ち不正フレーム検知部2130は、受信されたフレームにおける所定フィールドの内容が不正を示す所定条件に該当するか否かを判定する言わば判定部として機能する。この不正を示す所定条件は、データが、データ範囲リスト保持部2120が保持しているデータ範囲リストにメッセージIDと対応付けて載っているデータ範囲に入らないという条件である。不正フレーム検知部2130は、データ範囲リスト保持部2120に保持しているメッセージID毎のデータ範囲を定めたリストであるデータ範囲リストに従い、不正かどうかの判定を行う。不正フレーム検知部2130は、データ範囲リストで示される範囲以外のデータを受信した場合は、不正の検知回数をインクリメントするために、受信したメッセージIDを不正検知カウンタ保持部110へ通知する。この不正の検知回数が一定回数以上に達した場合において、ヘッドユニット200で受信されるようにエラー表示メッセージを送信するための制御については実施の形態1で説明した通りであるため、ここでの説明を省略する。また、データ範囲リストで示される範囲以外のデータを受信した場合は、エラーフレームを送信するように、フレーム生成部140へ通知する。
データ範囲リスト保持部2120は、車載ネットワークシステム11においてバス上を送信されるデータフレームに含まれるデータ(データフィールドの値)について許容される範囲を予め規定したリストであるデータ範囲リストを保持する(図21参照)。
[2.3 データ範囲リスト例]
図21は、不正検知ECU2100aのデータ範囲リスト保持部2120に保持されるデータ範囲リストの一例を示した図である。このデータ範囲リストは、各ID(メッセージID)と、そのメッセージIDのデータフレームにおけるデータフィールドの値(データ)として許容されるデータ範囲とを対応付けたものである。図21の例では、メッセージIDが「1」のデータフレームについては、データ範囲「0〜180」、メッセージIDが「2」又は「4」のデータフレームについては、データ範囲「0〜100」、メッセージIDが「3」のデータフレームについて、データ範囲「0、1」をそれぞれ正常としている。
[2.4 不正フレームの検知に係るシーケンス]
以下、上述の構成を備える車載ネットワークシステム11のバス500aに不正なECUが接続された場合について、バス500aに接続された不正検知ECU2100a、ECU400a、ECU400b、ゲートウェイ300等の動作について説明する。
図22及び図23は、不正検知ECU2100aが不正なフレーム(メッセージ)を検知して、他のECUによりその不正なフレームに対応した処理がなされることを阻止する動作例を示すシーケンス図である。図22及び図23では、実施の形態1で示した図18の場合と同様に、不正なECUが、バス500aにメッセージIDが「4」でデータフィールド(データ)が「255(0xFF)」となるデータフレームを送信する場合の例を示している。実施の形態1で示したシーケンスと同じシーケンスには同じ符号を付しており、ここでは説明を簡略化する。
まず、不正なECUは、不正なデータフレームの送信を開始する(シーケンスS1001)。不正検知ECU2100a、ECU400a、ECU400b及びゲートウェイ300はそれぞれメッセージIDを受信する(シーケンスS1002)。ECU400a、ECU400b及びゲートウェイ300はそれぞれ、保持している受信IDリストを用いてメッセージIDをチェックする(シーケンスS1003)。ECU400a及びECU400bは、それぞれが保持している受信IDリストに「4」が含まれていないため(図9参照)、受信を終了する。ゲートウェイ300は、保持している受信IDリストに「4」が含まれているため(図5参照)、受信を継続しデータフィールドの受信を行う(シーケンスS1006a)。同様に不正検知ECU2100aもデータフィールドの受信を行う(シーケンスS1006a)。
シーケンスS1006aに続いて、不正検知ECU2100aは、データ範囲リスト(図21参照)を用いて、データフィールドのデータをチェックする(シーケンスS2001)。即ち、不正検知ECU2100aは、送信されたフレームにおけるIDフィールドの内容が、不正を示す所定条件(データ範囲リストに記載されているデータの範囲に入らないこと)に該当するか否かを判定する。不正検知ECU2100aは、データ範囲リストにおいてID「4」に対応する「255(0xFF)」の値が記載されていないため、不正なデータフレームであると判断し、続いてエラーフレームの発行準備を開始する(シーケンスS1005)。
不正検知ECU2100aがエラーフレームの発行準備をしている間に、不正なECUからはバス500a上にデータフィールドより後の部分であるCRCフィールド(CRCシーケンス及びCRCデリミタ)が1ビットずつ逐次送出される。ゲートウェイ300はこのCRCフィールドの受信を開始する(シーケンスS2002)。
次にエラーフレームの発行準備が終わって、不正検知ECU2100aがエラーフレームを送信する(シーケンスS1007)。このエラーフレームの送信が開始されることによりバス500aでは、不正なECUから送信中のフレームのCRCシーケンスの途中部分がエラーフレーム(優先されるドミナントのビット列)により上書きされることになる。
シーケンスS1007において送信されたエラーフレームを受信したゲートウェイ300は、CRCシーケンスを含むCRCフィールドの受信途中で、不正なECUが送信していたデータフレームの受信を中止する(シーケンスS2003)。つまり、ゲートウェイ300は、不正なECUからのCRCシーケンスがエラーフレームで上書きされており、エラーフレームを検出するので、不正なECUが送信していたデータフレームの受信を継続しない。
不正検知ECU2100aは、エラーフレームを送信する対象となったデータフレームのID「4」に対応する不正検知カウンタをインクリメントする(シーケンスS1009)。インクリメントした結果としてID「4」に対応する不正検知カウンタが17以上となった場合、不正検知ECU2100aは、エラー表示メッセージを送信する(シーケンスS1010)。
[2.5 実施の形態2の効果]
実施の形態2で示した不正検知ECUは、送信されたフレームが不正なフレームか否かを、フレーム(データフレーム)のIDフィールド及びデータフィールドについてデータ範囲リストを用いて判定する。これにより、データフレームにおけるIDフィールドとデータフィールドとの組み合わせによって不正を判定できるため、既存のECU(つまり不正検知ECU及び不正なECU以外のECU)において不正なフレームが解釈されてそのフレームに対応する処理が実行されることを阻止することができる。また、データフレームのデータフィールドまで受信するだけで判定ができるため、データフレームの後部を受信して判定を行う場合よりも、バスのトラフィックを抑えることが可能となる。
また、不正検知ECUが、不正検知カウンタを用いてエラーフレームを送信した回数をカウントすることで、エラーフレームの受信により不正なメッセージIDを送信するノードにおける送信エラーカウンタがCANプロトコルに従えばパッシブ状態に遷移すべき上限値まで到達していることを検出することができる。これにより、不正なメッセージIDを送信するノードが、CANプロトコルのエラーカウンタの仕様に準拠しているか否かを判定することが可能となる。
また、不正なフレームの判定を行うノードを不正検知ECUのみとすることで、既存のネットワーク構成への影響を最小限に抑えることができ、システム全体として処理量、電力消費量を抑えることができる。
なお、上述した車載ネットワークシステム11における1つ又は複数の不正検知ECUが、検知を行うか否かを切り替え可能にしても良い。そして、車両の状態が、例えば使用開始から一定期間が経過した等といった一定の場合に限って、不正検知ECUが不正なメッセージの検知を行わないこととしても良い。これにより、電力消費量を抑えることが可能となる。
(実施の形態3)
以下、本開示の実施の形態として、メッセージID、データ及びカウンタ値から算出されるメッセージ認証コード(MAC:Message Authentication Code)を用いて、他のノード(ECU)において不正なフレームに基づく処理が実行されることを阻止するための不正対処方法を実現する不正検知ECUを含む車載ネットワークシステム12について説明する。
[3.1 車載ネットワークシステム12の全体構成]
図24は、実施の形態3に係る車載ネットワークシステム12の全体構成を示す図である。車載ネットワークシステム12は、実施の形態1で示した車載ネットワークシステム10の一部を変形したものである。車載ネットワークシステム12は、バス500a、500bと、不正検知ECU3100a、3100b、ヘッドユニット200、ゲートウェイ300、及び、各種機器に接続されたECU3400a〜3400d等のECUといったバスに接続された各ノードとを含んで構成される。車載ネットワークシステム12の構成要素のうち、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
不正検知ECU3100a、3100bは、それぞれバス500a、バス500bに接続され、ECU3400a〜3400d等により送信されたフレームが不正であるかどうかを判定し、不正であればエラーフレームを送信する機能を有するECUである。
ECU3400a〜3400dは、いずれかのバスと接続され、また、それぞれエンジン401、ブレーキ402、ドア開閉センサ403、窓開閉センサ404に接続されている。ECU3400a〜3400dのそれぞれは、接続されている機器(エンジン401等)の状態を取得し、定期的に状態を表すデータフレームをネットワーク(つまりバス)に送信している。送信されるデータフレームのデータフィールドには、メッセージIDとデータ値と送信毎にインクリメントされるカウンタ値とから計算により導出されるメッセージ認証コード(MAC)が付与される。
[3.2 ECU3400aの構成]
図25は、ECU3400aの構成図である。ECU3400aは、フレーム送受信部460と、フレーム解釈部450と、受信ID判断部430と、受信IDリスト保持部440と、フレーム処理部410と、フレーム生成部3420と、データ取得部470と、MAC生成部3410と、MAC鍵保持部3430と、カウンタ保持部3440とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ECU3400aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。ECU3400aは、実施の形態1で示したECU400aの一部を変形したものであり、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
フレーム生成部3420は、実施の形態1で示したフレーム生成部420の一部を変形したものである。フレーム生成部3420は、フレーム解釈部450から通知されたエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部460へ通知して送信させる。また、フレーム生成部3420は、データ取得部470より通知されたデータの値と予め定められたメッセージIDとをMAC生成部3410へ通知して、算出されたMACを受け取る。フレーム生成部3420は、予め定められたメッセージIDとデータ取得部470より通知されたデータの値とMAC生成部3410から受け取ったMACとを含むようにフレームを構成し(図26参照)、フレーム送受信部460へ通知する。
MAC生成部3410は、フレーム生成部3420より通知されるメッセージIDとデータの値と、カウンタ保持部3440で保持するカウンタ値とを結合した値(結合値)に対し、MAC鍵保持部3430で保持するMAC鍵を用いて、MACを算出(計算により導出)して、この算出した結果であるMACをフレーム生成部3420へと通知する。ここではMACの計算方法として、HMAC(Hash-based Message Authentication Code)(非特許文献2参照)を採用し、上述した結合値に対し、所定のブロック分(例えば4bytes)までパディングした値でMAC鍵を使って計算し、出てきた計算結果の先頭4bytesをMACとする。なお、ここでは、MACを算出するために用いる結合値は、メッセージIDとデータの値とカウンタ保持部3440で保持するカウンタ値とを使用しているが、これらの3つのうち、いずれか1つ又は2つの組み合わせを用いてMACを算出しても良い。
MAC鍵保持部3430は、MACを計算するため必要となるMAC鍵を保持する。
カウンタ保持部3440は、MACを計算するために必要となるカウンタ値を保持する。なお、このカウンタ値は、フレーム送受信部460においてデータフレームが正常に送信された度にインクリメントされる。
なお、ECU3400b〜3400dは、それぞれ実施の形態1で示したECU400b〜400dの一部を変形したものであり、上述したECU3400aと基本的に同様の構成を備える。但し、受信IDリスト保持部440に保持される受信IDリストはECU毎に異なる内容となり得る。例えばECU3400a及びECU3400bは図9に例示する受信IDリストを保持し、ECU3400c及びECU3400dは図5に例示する受信IDリストを保持する。また、フレーム処理部410の処理内容は、実施の形態1で示したようにECU毎に異なる。以下、ECU3400a〜3400dのそれぞれが送信するフレームの内容について図26〜図29を用いて説明する。
[3.3 エンジンに係るECU3400aの送信フレーム例]
図26は、エンジン401に接続されたECU3400aから送信されるデータフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU3400aが送信するフレームのメッセージIDは「1」である。データは、同図において1バイト毎に空白で区分して表しており、先頭の1byteが時速(km/時)を表し、次の1byteはカウンタ値を表し、次の4bytesがMACを表す。なお、図26の例においてMACは16進数で表記している。先頭1byteの時速(km/時)は、最低0(km/時)〜最高180(km/時)までの範囲の値を取る。図26の上行から下行へと、ECU3400aから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、カウンタ値が次第に増加し、時速が0km/時から1km/時ずつ加速されている様子を表している。
[3.4 ブレーキに係るECU3400bの送信フレーム例]
図27は、ブレーキ402に接続されたECU3400bから送信されるデータフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU3400bが送信するフレームのメッセージIDは「2」である。データは、同図において1バイト毎に空白で区分して表しており、先頭の1byteがブレーキのかかり具合を割合(%)で表し、次の1byteはカウンタ値を表し、次の4bytesがMACを表す。なお、図27の例においてMACは16進数で表記している。先頭1byteのブレーキのかかり具合は、ブレーキを全くかけていない状態を0(%)、ブレーキを最大限かけている状態を100(%)としたものである。図27の上行から下行へと、ECU3400bから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、カウンタ値が次第に増加し、ブレーキについては100%から徐々にブレーキを弱めている様子を表している。
[3.5 ドア開閉センサに係るECU3400cの送信フレーム例]
図28は、ドア開閉センサ403に接続されたECU3400cから送信されるデータフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU3400cが送信するフレームのメッセージIDは「3」である。データは、同図において1バイト毎に空白で区分して表しており、先頭の1byteがドアの開閉状態を表し、次の1byteはカウンタ値を表し、次の4bytesがMACを表す。なお、図28の例においてMACは16進数で表記している。先頭1byteのドアの開閉状態は、ドアが開いている状態を「1」、ドアが閉まっている状態を「0」としたものである。図28の上行から下行へと、ECU3400cから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、カウンタ値が次第に増加し、ドアが開いている状態から次第に閉められた状態へと移った様子を表している。
[3.6 窓開閉センサに係るECU3400dの送信フレーム例]
図29は、窓開閉センサ404に接続されたECU3400dから送信されるデータフレームにおけるID(メッセージID)及びデータフィールド(データ)の一例を示す図である。ECU3400dが送信するフレームのメッセージIDは「4」である。データは、同図において1バイト毎に空白で区分して表しており、先頭の1byteが窓の開閉状態を割合(%)で表し、次の1byteはカウンタ値を表し、次の4bytesがMACを表す。なお、図29の例においてMACは16進数で表記している。先頭1byteの窓の開閉状態は、窓が完全に閉まっている状態を0(%)、窓が全開の状態を100(%)としたものである。図29の上行から下行へと、ECU3400dから逐次送信される各フレームに対応する各メッセージID及びデータを例示しており、カウンタ値が次第に増加し、窓が閉まっている状態から徐々に開いていく様子を表している。
[3.7 不正検知ECU3100aの構成]
図30は、不正検知ECU3100aの構成図である。不正検知ECU3100aは、フレーム送受信部160と、フレーム解釈部3150と、不正MAC検知部3130と、MAC鍵保持部3180と、カウンタ保持部3190と、フレーム生成部140と、MAC生成部3170と、不正検知カウンタ保持部110から構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU3100aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。不正検知ECU3100aは、実施の形態1で示した不正検知ECU100aの一部を変形したものであり、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。なお、不正検知ECU3100bも同様の構成である。
フレーム解釈部3150は、実施の形態1で示したフレーム解釈部150を変形したものであり、フレーム送受信部160よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。フレームがデータフレームであると判断した場合においてデータフィールドと判断した値(データ)は、IDフィールドのID(メッセージID)と共に、不正MAC検知部3130へ転送する。また、フレーム解釈部3150は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部140へ通知する。また、フレーム解釈部3150は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。
不正MAC検知部3130は、フレーム解釈部3150から通知されるメッセージIDと、データフィールドの値(データ)を受け取ってデータフィールド中のMACを検証する機能を有する。不正MAC検知部3130は、通知されたメッセージID及びデータフィールドの値を、MAC生成部3170へと通知し、MAC生成部3170により生成されたMACを取得する。不正MAC検知部3130は、データフィールドのデータが不正を示す所定条件に該当するか否かを判定する。即ち不正MAC検知部3130は、受信されたフレームにおける所定フィールドの内容が不正を示す所定条件に該当するか否かを判定する言わば判定部として機能する。この不正を示す所定条件は、定められた検証処理手順(MACの生成、MACの比較等を含む手順)での検証に失敗することであり、つまり、データに含まれるMACが、MAC生成部3170により生成されたMACと相違するという条件である。不正MAC検知部3130は、MAC生成部3170から取得したMACと、データフィールド中のMACとを比較することで、不正かどうかの判定(即ちMACの検証)を行う。両MACの値の比較の結果、不一致の場合は、不正の検知回数をインクリメントするために、受信したメッセージIDを不正検知カウンタ保持部110へ通知する。この不正の検知回数が一定回数以上に達した場合において、ヘッドユニット200で受信されるようにエラー表示メッセージを送信するための制御については実施の形態1で説明した通りであるため、ここでの説明を省略する。また、両MACの値の比較の結果、不一致の場合は、エラーフレームを送信するように、フレーム生成部140へ通知する。MAC値の比較の結果、一致する場合は、カウンタ保持部3190が保持する、メッセージIDに対応するカウンタ値をインクリメントするようにMAC生成部3170へ通知する。
MAC生成部3170は、不正MAC検知部3130より通知されたメッセージIDを使って、MAC鍵保持部3180より、対応するMAC鍵を取得し、カウンタ保持部3190より対応するカウンタをそれぞれ取得する。MAC生成部3170は、不正MAC検知部3130より通知されたデータフィールドの値(先頭1byteの値)と、カウンタ保持部3190より取得したカウンタ値に対して、MAC鍵保持部3180より取得したMAC鍵を使ってMACを算出(計算により導出)し、算出したMACを不正MAC検知部3130へ通知する。なお、不正検知ECU3100a、3100b及びECU3400a〜3400dのいずれにおいても、MAC鍵を用いてMACを算出するアルゴリズムは同一のものを用いる。
MAC鍵保持部3180は、MACを計算するため必要となるMAC鍵をメッセージID毎に対応付けて保持する。このMAC鍵保持部3180が保持するMAC鍵は、対応付けられたメッセージID毎に異なる値である。なお、ECU及び不正検知ECUにおいて用いられるMAC鍵は、1つの送信ノードが複数のメッセージIDそれぞれのフレームを送信する場合を想定すると、送信ノード毎に異なる鍵であることとしても良い。また、MAC鍵は、例えば同一のバス上で送信されるフレームに同一の値が用いられるようにしても良いし、異なるバス上であっても同一の鍵(値)としても良いし、車一台あたり同一の鍵としても良く、同一車種で同一の鍵としても良く、同一製造メーカ毎に同一の鍵としても良く、異なる製造メーカであっても同一の鍵としても良い。
カウンタ保持部3190は、MAC値を計算するために必要となるカウンタ値をメッセージID毎に保持する。このカウンタ値は、フレームを正常に受信した場合(つまり不正MAC検知部3130において比較した両MACが一致する場合)には、インクリメントされる。
[3.8 カウンタ値の例]
図31は、カウンタ保持部3190に保持されているメッセージID毎のカウンタ値の一例を示す図である。同図では、メッセージIDが「1」のカウンタが1回、メッセージIDが「2」のカウンタが10回、メッセージIDが「3」のカウンタが15回、メッセージIDが「4」のカウンタが100回をそれぞれ示している。この各メッセージIDに対応するカウンタ値は、そのメッセージIDを含むフレームが正常に受信されている回数を表している。
[3.9 不正フレームの検知に係るシーケンス]
以下、上述の構成を備える車載ネットワークシステム12のバス500aに不正なECUが接続された場合について、バス500aに接続された不正検知ECU3100a、ECU3400a、ECU3400b、ゲートウェイ300等の動作について説明する。
図32及び図33は、不正検知ECU3100aが不正なフレーム(メッセージ)を検知して、他のECUによりその不正なフレームに対応した処理がなされることを阻止する動作例を示すシーケンス図である。図32及び図33では、実施の形態1で示した図18並びに実施の形態2で示した図22及び図23の場合と同様に、不正なECUが、バス500aに接続された例を示している。この不正なECUは、メッセージIDが「4」でデータフィールド(データ)が「0xFF FF FFFFFFFF」(6bytes)となるデータフレームを送信する。実施の形態1又は2で示したシーケンスと同じシーケンスには同じ符号を付しており、ここでは説明を簡略化する。
まず、不正なECUは、上述した不正なデータフレームの送信を開始する(シーケンスS1001a)。不正検知ECU3100a、ECU3400a、ECU3400b及びゲートウェイ300はそれぞれメッセージIDを受信する(シーケンスS1002)。ECU3400a、ECU3400b及びゲートウェイ300はそれぞれ、保持している受信IDリストを用いてメッセージIDをチェックする(シーケンスS1003)。ECU3400a及びECU3400bは、それぞれが保持している受信IDリストに「4」が含まれていないため(図9参照)、受信を終了する。ゲートウェイ300は、保持している受信IDリストに「4」が含まれているため(図5参照)、受信を継続しデータフィールドの受信を行う(シーケンスS1006a)。同様に不正検知ECU3100aもデータフィールドの受信を行う(シーケンスS1006a)。
シーケンスS1006aに続いて、不正検知ECU3100aは、データフィールドにおけるデータに含まれるMACを検証(チェック)する(シーケンスS3001)。即ち、不正検知ECU3100aは、送信されたフレームにおけるIDフィールドの内容が、不正を示す所定条件(MACの検証に失敗すること)に該当するか否かを判定する。不正検知ECU3100aは、不正なECUにより送信されたデータフレームにおけるデータフィールドの6bytesのデータ「0xFFFFFFFF」について、後半4bytesのMACと、メッセージID「4」に対応するMAC鍵とカウンタを用いて算定したMACとを比較することでMACの検証を行う。この比較の結果は不一致になり検証が失敗するので、不正検知ECU3100aでは、不正なデータフレームであると判断し、続いてエラーフレームの発行準備を開始する(シーケンスS1005)。
不正検知ECU3100aがエラーフレームの発行準備をしている間に、ゲートウェイ300はCRCフィールドの受信を開始する(シーケンスS2002)。
次にエラーフレームの発行準備が終わって、不正検知ECU3100aがエラーフレームを送信する(シーケンスS1007)。このエラーフレームの送信が開始されることによりバス500aでは、不正なECUから送信中のフレームのCRCシーケンスの途中部分がエラーフレームにより上書きされることになる。
シーケンスS1007において送信されたエラーフレームを受信したゲートウェイ300は、CRCシーケンスを含むCRCフィールドの受信途中で、不正なECUが送信していたデータフレームの受信を中止する(シーケンスS2003)。
不正検知ECU3100aは、エラーフレームを送信する対象となったデータフレームのID「4」に対応する不正検知カウンタをインクリメントする(シーケンスS1009)。インクリメントした結果としてID「4」に対応する不正検知カウンタが17以上となった場合、不正検知ECU3100aは、エラー表示メッセージを送信する(シーケンスS1010)。
[3.10 実施の形態3の効果]
実施の形態3で示した不正検知ECUは、送信されたフレームが不正なフレームか否かを、フレーム(データフレーム)のデータフィールドに含ませたMACを検証することによって判定する。これにより、既存のECU(つまり不正検知ECU及び不正なECU以外のECU)において不正なフレームが解釈されてそのフレームに対応する処理が実行されることを阻止することができる。また、データフレームのデータフィールドまで受信するだけで判定ができるため、データフレームの後部を受信して判定を行う場合よりも、バスのトラフィックを抑えることが可能となる。
また、不正検知ECUが、不正検知カウンタを用いてエラーフレームを送信した回数をカウントすることで、エラーフレームの受信により不正なメッセージIDを送信するノードにおける送信エラーカウンタがCANプロトコルに従えばパッシブ状態に遷移すべき上限値まで到達していることを検出することができる。これにより、不正なメッセージIDを送信するノードが、CANプロトコルのエラーカウンタの仕様に準拠しているか否かを判定することが可能となる。
また、MACの検証を行うノードを不正検知ECUのみとすることで、不正検知ECU以外のECUで検証する必要がなく、システム全体として処理量、電力消費量を抑えることができる。
なお、上述した車載ネットワークシステム12における1つ又は複数の不正検知ECUが、検知を行うか否かを切り替え可能にしても良い。そして、車両の状態が、例えば使用開始から一定期間が経過した等といった一定の場合に限って、不正検知ECUが不正なメッセージの検知を行わないこととしても良い。これにより、電力消費量を抑えることが可能となる。
(実施の形態4)
以下、本開示の実施の形態として、車両の状態に応じて不正なメッセージ(フレーム)を検知する特定の検知処理を実行するか否かに係る不正検知ECUの動作モードを切り替えるための不正検知方法を実現する車載ネットワークシステム13について説明する。
[4.1 車載ネットワークシステム13の全体構成]
図34は、実施の形態4に係る車載ネットワークシステム13の全体構成を示す図である。車載ネットワークシステム13は、実施の形態1で示した車載ネットワークシステム10の一部を変形したものである。車載ネットワークシステム13は、バス500a〜500cと、不正検知ECU4100a、4100b、ヘッドユニット4200、ゲートウェイ300、及び、各種機器に接続されたECU400a〜400d等のECUといったバスに接続された各ノードとを含んで構成される。車載ネットワークシステム13の構成要素のうち、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
不正検知ECU4100a、4100bは、それぞれバス500a、バス500bに接続され、ECU400a〜400d等により送信されたフレーム(メッセージ)が不正であるかどうかを判定し、不正であればエラーフレームを送信する機能を有するECUである。不正検知ECU4100a、4100bは、それぞれ実施の形態1で示した不正検知ECU100a、100bの一部を変形したものである。不正検知ECU4100a、4100bは動作モードとして、ECU400a〜400dが送信するフレーム(メッセージ)が不正であるかどうかを判定するチェックモード(検知モード)と、ECU400a〜dが送信するフレーム(メッセージ)が不正であるかどうかを判定しない待機モードとを持つ。そして不正検知ECU4100a、4100bは、ヘッドユニット4200からの指示(トリガーフレーム)を受けて、動作モードを切り替える機能を有する。トリガーフレームは動作モードの切り替えのトリガーとなる切替指示メッセージである。動作モードを待機モードにした場合には、不正なメッセージの検知に係る一定の処理を省略するため、チェックモードの場合と比べて処理量の軽減、消費電力の抑制等が実現され得る。
ヘッドユニット4200は、フレームを送受信する機能を持ち、ECU400a〜400dから送信されるフレームを受信し、各種状態をディスプレイ(図示しない)に表示して、ユーザに提示する機能を有する。ヘッドユニット4200は、実施の形態1で示したヘッドユニット200の一部を変形したものである。ヘッドユニット4200は、例えばECU400a〜400dが送信するフレームが不正であるかどうかを判定し、不正なフレームが送信された場合に不正検知ECU4100a、4100bへチェックモードへの切り替えを指示する機能を有する。即ち、ヘッドユニット4200は、車両の状態が一定条件を満たす場合に、不正検知ECU4100a、4100bへトリガーフレームを送信して動作モードを変更するように指示する機能を有する。一定条件は、不正検知ECUにより不正なメッセージを検知する必要性の高さを左右する事象の発生を判断するための条件である。動作モードをチェックモードに切り替える場合の一定条件としては、例えば、車両に搭載された車載ネットワークシステムにおいて、不正なメッセージが伝送されたことが検知された場合、車両の使用が開始された場合、車両の外部の装置と通信を開始する状態になった場合等が挙げられる。また、動作モードを待機モードに切り替える場合の一定条件としては、例えば、一定期間において不正なメッセージが検知されなかった場合、車両の使用が開始されてから一定時間が経過した場合、車両の外部の装置と通信を終了して一定状態となった場合等のそれぞれ又は複数の組み合わせ等が挙げられる。
なお、本実施の形態では、ゲートウェイ300は、バス500a〜500c間で、トリガーフレームを転送するものとする。
[4.2 ヘッドユニット4200の構成]
図35は、ヘッドユニット4200の構成図である。ヘッドユニット4200は、フレーム送受信部270と、フレーム解釈部4260と、受信ID判断部240と、受信IDリスト保持部250と、フレーム処理部220と、表示制御部210と、フレーム生成部4230と、不正フレーム検出部4280と、モード変更指示部4281と、車使用開始検出部4282と、通信開始・終了検出部4283とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、ヘッドユニット4200における通信回路、LCD、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。なお、実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。
フレーム解釈部4260は、実施の形態1で示したフレーム解釈部260の一部を変形したものである。フレーム解釈部4260は、フレーム送受信部270よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。フレーム解釈部4260は、IDフィールドと判断した値は受信ID判断部240へ転送する。フレーム解釈部4260は、受信ID判断部240から通知される判定結果に応じて、IDフィールドの値と、IDフィールド以降に現れるデータフィールドとを、フレーム処理部220及び不正フレーム検出部4280へ転送するか、その判定結果を受けた以降においてフレームの受信を中止する(つまりそのフレームとしての解釈を中止する)かを決定する。また、フレーム解釈部4260は、CANプロトコルに則っていないフレームと判断した場合は、エラーフレームを送信するようにフレーム生成部4230へ通知する。また、フレーム解釈部4260は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームになっていると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。例えばデータフレームの途中からエラーフレームと解釈された場合においては、そのデータフレームの解釈は中止され、そのデータフレームに応じて特段の処理を行うことがなくなる。
フレーム送受信部270は、バス500cに対して、CANプロトコルに従ったフレームを送受信する。バス500cからフレームを1bitずつ受信し、フレーム解釈部4260に転送する。また、フレーム生成部4230より通知を受けたフレームの内容をバス500cに1bitずつ送信する。
受信ID判断部240は、フレーム解釈部4260から通知されるIDフィールドの値を受け取り、受信IDリスト保持部250が保持しているメッセージIDのリストに従い、そのIDフィールド以降のフレームの各フィールドを受信するかどうかの判定を行う。この判定結果を、受信ID判断部240は、フレーム解釈部4260へ通知する。
フレーム生成部4230は、実施の形態1のフレーム生成部230と同様に、フレーム解釈部4260からのエラーフレームの送信を指示する通知に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部270へ通知して送信させる。更に、フレーム生成部4230は、モード変更指示部4281からのトリガーフレームの送信の依頼に従い、トリガーフレームを構成し、トリガーフレームをフレーム送受信部270へ通知して送信させる。
不正フレーム検出部4280は、フレーム解釈部4260から通知されるIDフィールドの値とデータフィールドの値とを受け取り、不正なフレームがバス500c上に送信された場合に検出する。不正フレーム検出部4280は、不正なフレームを検出した場合に、モード変更指示部4281へ不正検知ECU4100a、4100bのチェックモードへの移行指示の通知を依頼する。不正フレーム検出部4280は、チェックモードへの移行指示の通知を依頼してから一定期間において不正なフレームを検出しなかった場合に、モード変更指示部4281へ不正検知ECU4100a、4100bの待機モードへの移行指示の通知を依頼しても良い。不正フレーム検出部4280における不正フレームの検出方法は、例えば、実施の形態1の不正フレーム検知部130と同じ方法である。また、不正フレーム検出部4280における不正フレームの検出方法は、例えば実施の形態2の不正フレーム検知部2130と同じ方法、実施の形態3の不正MAC検知部3130と同じ方法、或いは、その他の方法であっても良い。
モード変更指示部4281は、不正検知ECU4100a、4100bの動作モードの変更を指示するトリガーフレームの不正検知ECU4100a、4100bへの送信をフレーム生成部4230へ依頼する機能を有する。モード変更指示部4281は、車両の状態が一定条件を満たした場合に、不正フレーム検出部4280、車使用開始検出部4282或いは通信開始・終了検出部4283から依頼を受けて、フレーム生成部4230にトリガーフレームの送信の依頼を行う。このトリガーフレームは不正検知ECUの動作モードの切り替えのトリガーとなる切替指示メッセージである。トリガーフレームには、待機モードからチェックモードへの移行を指示するものと、チェックモードから待機モードへの移行を指示するものとがあり、両者は例えばIDフィールドのメッセージID、データフィールド内に設けた識別子等で区別される。トリガーフレームが送信されると、ゲートウェイ300はバス間でトリガーフレームを転送し、各不正検知ECUがトリガーフレームを受信する。
車使用開始検出部4282は、車両の使用が開始されたことを検出し、モード変更指示部4281へ、不正検知ECU4100a、4100bのチェックモードへの移行指示の通知を依頼する。車使用開始検出部4282は、車両の使用が開始されたことの検出を、例えば、各ECUからのメッセージ等により、ドアロックの解除、ドアのオープン、エンジンの始動等を検知することで実現する。この結果として、例えば、駐車場に駐車された車両に不正ECUが取り付けられた場合にも、その後に車両が使用開始された際に、不正検知ECU4100a、4100bがチェックモードとなり不正ECUの検出が行えるようになる。なお、車両の使用開始前においてもバッテリー等から電力が供給されていれば車載ネットワークシステムは稼動し得る。また、車使用開始検出部4282は、車両の使用が開始されたことを検出してから一定時間が経過したことを検出し、モード変更指示部4281へ、不正検知ECU4100a、4100bの待機モードへの移行指示の通知を依頼する。この一定時間は、車両の使用開始前に仮に不正なECUが車載ネットワークシステムのバスに接続されていたとした場合において車両の使用開始後にその不正なECUが不正なメッセージを送信するのに要すると想定される時間より長い時間(例えば数分間)である。
通信開始・終了検出部4283は、ヘッドユニット4200が外部と通信を開始したことを検出し、モード変更指示部4281へ、不正検知ECU4100a、4100bのチェックモードへの移行指示の通知を依頼する。この結果として、例えば、外部から通信によりヘッドユニット4200を介して不正に車載ネットワークシステムのバス上に不正なフレームが送信された場合に、チェックモードの不正検知ECU4100a、4100bにより不正の検出が行える。なお、外部からの通信によりヘッドユニット4200の制御プログラムが不正に書き換えられて、不正フレーム検出部4280、モード変更指示部4281等が機能しなくなることが想定される。しかし、外部との通信の前に、不正検知ECU4100a、4100bへチェックモードへの移行を指示しておくことで、不正フレーム検出部4280、モード変更指示部4281等が機能しなくなっても、不正なフレームを検出できる。また、通信開始・終了検出部4283は、ヘッドユニット4200が外部との通信を終了した後の一定状態になったことを検出し、モード変更指示部4281へ、不正検知ECU4100a、4100bの待機モードへの移行指示の通知を依頼する。外部との通信を終了した後の一定状態は、例えば外部との通信を終了した状態である。また、外部との通信を終了した後の一定状態は、外部との通信を終了した後に一定時間が経過した状態であるとしても良い。これにより、外部との通信により不正に書き換えられた制御プログラムが外部との通信の終了後に不正なフレームを送信するような場合に対応できる。この場合における一定時間は、外部との通信で外部から不正なプログラム等が供給された場合において通信終了後にそのプログラムが実行されて不正なメッセージを送信するのに要すると想定される時間より長い時間(例えば数分間)である。
なお、モード変更指示部4281は、不正フレーム検出部4280、車使用開始検出部4282及び通信開始・終了検出部4283と連携して、一定期間において不正なメッセージが検知されなかった状況であり、かつ、車両の使用が開始されてから一定時間が経過した状況であり、かつ、車両の外部の装置と通信を終了して一定状態となった状況である場合に限って待機モードへの移行を指示するトリガーフレームの送信をフレーム生成部4230に依頼することとしても良い。モード変更指示部4281は、車両の状態に応じてどのような条件が満たされたらトリガーフレームの送信を依頼するかについて、判断基準となる予め定められたルールを保持し得る。このルールは、単一でも複数であっても良い。また、ルールは、ヘッドユニット4200の出荷時、車載ネットワークシステムを搭載する車両の出荷時、販売時等に設定され得る。また、ヘッドユニット4200が外部から通信によりルールを取得及び更新しても良い。また、ヘッドユニット4200を、ルールを保持する記録媒体が着脱自在となるように構成しても良い。なお、車両の状態として、駐車中、停車中、給油中、充電中、外部との通信中等を検知することを前提としたルールを定めていても良い。トリガーフレームの内容(例えばデータフィールド内)に例えば不正検知ECUを個別に識別する情報を含ませる等により、特定の不正検知ECUにだけ動作モードの変更を指示するようにしても良い。例えば、駐車中で外部と通信中に不正なフレームが検出され、不正フレーム検出部4280から不正検知ECU4100a、4100bのチェックモードへの移行指示の通知を依頼された場合、不正検知ECU4100bにのみチェックモードへの移行を指示するトリガーフレームを送信すると判断するルールが設定されていても良い。これは、駐車中であればエンジン401やブレーキ402の動作に影響を与えるような不正なフレームは送信されない、或いは、不正なフレームが送信されたとしても駐車中であれば問題ないと考えた場合のルールの例である。なお、特定の不正検知ECUに動作モードの変更を指示するようにトリガーフレームを構成する場合には、ゲートウェイ300はその特定の不正検知ECUにトリガーフレームが伝達されるために必要なバスにだけトリガーフレームの転送を行うようにしても良い。
[4.3 不正検知ECU4100aの構成]
図36は、不正検知ECU4100aの構成図である。不正検知ECU4100aは、フレーム送受信部160と、フレーム解釈部4150と、不正フレーム検知部130と、正規IDリスト保持部120と、不正検知カウンタ保持部110と、フレーム生成部140と、トリガーフレーム検出部4170と、モード保持部4180とを含んで構成される。これらの各構成要素は、機能的な構成要素であり、その各機能は、不正検知ECU4100aにおける通信回路、メモリに格納された制御プログラムを実行するプロセッサ或いはデジタル回路等により実現される。実施の形態1と同様の機能を有する構成要素は、同じ符号を付して説明を省略する。なお、不正検知ECU4100bも基本的に同様の構成を備える。
フレーム解釈部4150は、実施の形態1のフレーム解釈部150と同様に、フレーム送受信部160よりフレームの値を受け取り、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。また、フレーム解釈部4150は、モード保持部4180から不正検知ECU4100aの動作モードを取得し、受け取ったフレームの値の転送先を動作モードに応じて判断する。例えば、不正検知ECU4100aがチェックモードである場合には、IDフィールドの値を不正フレーム検知部130とトリガーフレーム検出部4170とへ転送し、IDフィールドの後のデータフィールドの値をトリガーフレーム検出部4170へ転送する。不正検知ECU4100aが待機モードである場合には、IDフィールドの値とその後のデータフィールドの値とをトリガーフレーム検出部4170へのみ転送する。これにより、動作モードがチェックモードである場合に限って、不正フレーム検知部130による不正の検知がなされるようになる。つまり、動作モードが待機モードである場合には、不正フレーム検知部130による不正の検知に係る処理が行われない。
トリガーフレーム検出部4170は、不正検知ECU4100aが受信したフレームが、ヘッドユニット4200が送信したトリガーフレームであるかどうかを判断する。トリガーフレーム検出部4170は、不正検知ECU4100aが受信したフレームがトリガーフレームの場合は、モード保持部4180に、動作モードとしてのチェックモード或いは待機モードを記録する。即ち、トリガーフレーム検出部4170は、受信されたフレームが待機モードからチェックモードへの移行を指示すトリガーフレームであった場合には、チェックモードであることを記録する。また、トリガーフレーム検出部4170は、受信されたフレームがチェックモードから待機モードへの移行を指示するトリガーフレームであった場合には、待機モードであることを記録する。
モード保持部4180は、自機(不正検知ECU4100a)の動作モードが待機モードであるか、チェックモードであるかをメモリ等の記憶媒体に保持する機能を有する。
[4.4 チェックモードへの移行に係るシーケンス]
以下、上述の構成を備える車載ネットワークシステム13のバス500cに不正なフレーム(メッセージ)が送信された場合におけるヘッドユニット4200及び不正検知ECU4100aの動作について説明する。
図37は、ヘッドユニット4200が不正なメッセージを検知し、不正検知ECU4100aへチェックモードへの移行を指示し、不正検知ECU4100aがチェックモードへ移行する動作例を示すシーケンス図である。
この動作例の開始段階では、不正検知ECU4100aは、待機モードになっている(シーケンスS4001)。例えば、この段階以前に待機モードへの移行を指示するトリガーフレームを不正検知ECU4100aが受けた結果として、待機モードになっている状態である。このとき不正検知ECU4100aは、不正フレーム検知部130による不正なメッセージの検知を行っていない。
ヘッドユニット4200は、バス500cに送信されたフレーム(メッセージ)を受信する(シーケンスS4002)。
ヘッドユニット4200は、不正フレーム検出部4280により受信したメッセージが、不正なメッセージであるかどうかを確認する(シーケンスS4003)。不正なメッセージでなかった場合には、メッセージの受信の処理手順(シーケンスS4002)へ戻る。
ヘッドユニット4200は、受信したメッセージが不正なメッセージであることを検出した場合に、以前の不正検知ECU4100aへの指示履歴から不正検知ECU4100aの動作モードが既にチェックモードであるか否かを判断する(シーケンスS4004)。なお、不正なメッセージは、例えば不正なECUがバスに接続されて送信され得る。ヘッドユニット4200は、トリガーフレームにより不正検知ECU4100a等にチェックモードへの移行指示又は待機モードへの移行指示をした場合に指示履歴を保持する等により、各不正検知ECUの動作モードを把握している。
ヘッドユニット4200は、不正検知ECU4100aの動作モードがチェックモードではない(待機モードである)と判断した場合、チェックモードへの移行を指示する(シーケンスS4005)。具体的には、ヘッドユニット4200は、チェックモードへの移行を指示するトリガーフレームを送信する。なお、シーケンスS4004で不正検知ECU4100aの動作モードが既にチェックモードであると判断した場合には、ヘッドユニット4200はチェックモードへの移行の指示の処理手順をスキップして動作を終える。
ヘッドユニット4200からバス500cに送信されたチェックモードへの移行を指示するトリガーフレームは、ゲートウェイ300によりバス500a、500bに転送される。
不正検知ECU4100aは、バス500aに送信されたトリガーフレームを受信して、動作モードをチェックモードに移行する(シーケンスS4006)。このときから、不正検知ECU4100aは、不正フレーム検知部130により不正なメッセージの検知を行う。即ち、チェックモードでは、不正検知ECU4100aは、他のノード(ECU)において不正なフレームに基づく処理が実行されることを阻止するための不正対処方法を実現する状態になる。従って、実施の形態1で示したように、不正検知ECU4100aが接続されているバス上に不正なメッセージが送信されても、その不正なメッセージに対応して処理がなされることを阻止できるようになる(図18参照)。
ここでは不正検知ECUのうち不正検知ECU4100aに着目して説明したが、例えば不正検知ECU4100bについても同様に、シーケンスS4005において送信されたトリガーフレームに対応して、動作モードをチェックモードにし得る。また、ヘッドユニット4200は、シーケンスS4004での判断を省略してシーケンスS4005でのチェックモードへの移行の指示を行うこととしても良い。シーケンスS4004での判断を省略する場合には、各不正検知ECUの動作モードを把握しなくても良く、指示履歴の保持を省略できる。但し、シーケンスS4004は、無用のトリガーフレームがバスに流れるのを防ぐために有用である。
ここで示したシーケンスS4003の場合以外では、チェックモードへの移行は、例えば、通信開始・終了検出部4283が外部との通信開始を検出した場合、或いは車使用開始検出部4282が車両の使用開始を検出した場合に行われる。
[4.5 待機モードへの移行に係るシーケンス(外部との通信終了時)]
以下、ヘッドユニット4200が外部との通信を終了した場合におけるヘッドユニット4200及び不正検知ECU4100aの動作について説明する。
図38は、ヘッドユニット4200が外部との通信の終了を検知し、不正検知ECU4100aへ待機モードへの移行を指示し、不正検知ECU4100aが待機モードへ移行する動作例を示すシーケンス図である。
この動作例の開始段階では、不正検知ECU4100aは、チェックモードになっている(シーケンスS4101)。例えば、この段階以前に、ヘッドユニット4200が外部との通信を開始する際にチェックモードへの移行を指示するトリガーフレームを不正検知ECU4100aが受けた結果として、チェックモードになっている状態である。このとき不正検知ECU4100aは、不正フレーム検知部130により不正なメッセージの検知を行う状態である。
ヘッドユニット4200は、通信開始・終了検出部4283により外部との通信の終了が検出されると(シーケンスS4102)、車両の使用開始から一定時間が経過したか否かを判断する(シーケンスS4103)。車両の使用開始から一定時間が経過していない場合には、待機モードへ移行してはならないため、待機モードへの移行を指示するトリガーフレームを送信しない(つまりシーケンスS4104、S4105をスキップする)。
車両の使用開始から一定時間が経過した場合には、ヘッドユニット4200は、不正なメッセージを検出したかを判断する(シーケンスS4104)。チェックモードへの移行を指示するトリガーフレームの送信後に不正なメッセージを検出していた場合には、待機モードへ移行してはならないため、待機モードへの移行を指示するトリガーフレームを送信しない(つまりシーケンスS4105をスキップする)。
シーケンスS4104において不正なメッセージを検出していないと判断した場合には、ヘッドユニット4200は、待機モードへの移行を指示する(ステップS4105)。具体的には、ヘッドユニット4200は、待機モードへの移行を指示するトリガーフレームを送信する。
ヘッドユニット4200からバス500cに送信された待機モードへの移行を指示するトリガーフレームは、ゲートウェイ300によりバス500a、500bに転送される。
不正検知ECU4100aは、バス500aに送信されたトリガーフレームを受信して、動作モードを待機モードに移行する(シーケンスS4106)。このときから、不正検知ECU4100aは、不正フレーム検知部130による不正なメッセージの検知を行わなくなる。
ここでは不正検知ECUのうち不正検知ECU4100aに着目して説明したが、例えば不正検知ECU4100bについても同様に、シーケンスS4105において送信されたトリガーフレームに対応して、動作モードを待機モードにし得る。
[4.6 待機モードへの移行に係るシーケンス(車両の使用開始から一定時間経過時)]
以下、車両の使用が開始されてから一定時間が経過した場合におけるヘッドユニット4200及び不正検知ECU4100aの動作について説明する。
図39は、ヘッドユニット4200が車両の使用開始から一定時間が経過したことを検知し、不正検知ECU4100aへ待機モードへの移行を指示し、不正検知ECU4100aが待機モードへ移行する動作例を示すシーケンス図である。
この動作例の開始段階では、不正検知ECU4100aは、チェックモードになっている(シーケンスS4201)。例えば、この段階以前に、ヘッドユニット4200が車両の使用開始を検出した際にチェックモードへの移行を指示するトリガーフレームを不正検知ECU4100aが受けた結果として、チェックモードになっている状態である。このとき不正検知ECU4100aは、不正フレーム検知部130により不正なメッセージの検知を行う状態である。
ヘッドユニット4200は、車使用開始検出部4282により車両の使用が開始されてから一定時間が経過したことが検出されると(シーケンスS4202)、外部との通信中であるか否かを判断する(シーケンスS4203)。外部と通信している場合には、待機モードへ移行してはならないため、待機モードへの移行を指示するトリガーフレームを送信しない(つまりシーケンスS4204、S4205をスキップする)。
外部と通信中ではない場合には、ヘッドユニット4200は、不正なメッセージを検出したかを判断する(シーケンスS4204)。チェックモードへの移行を指示するトリガーフレームの送信後に不正なメッセージを検出していた場合には、待機モードへ移行してはならないため、待機モードへの移行を指示するトリガーフレームを送信しない(つまりシーケンスS4205をスキップする)。
シーケンスS4204において不正なメッセージを検出していないと判断した場合には、ヘッドユニット4200は、待機モードへの移行を指示する(シーケンスS4205)。具体的には、ヘッドユニット4200は、待機モードへの移行を指示するトリガーフレームを送信する。
ヘッドユニット4200からバス500cに送信された待機モードへの移行を指示するトリガーフレームは、ゲートウェイ300によりバス500a、500bに転送される。
不正検知ECU4100aは、バス500aに送信されたトリガーフレームを受信して、動作モードを待機モードに移行する(シーケンスS4206)。このときから、不正検知ECU4100aは、不正フレーム検知部130による不正なメッセージの検知を行わなくなる。
ここでは不正検知ECUのうち不正検知ECU4100aに着目して説明したが、例えば不正検知ECU4100bについても同様に、シーケンスS4205において送信されたトリガーフレームに対応して、動作モードを待機モードにし得る。
[4.7 実施の形態4の効果]
車載ネットワークシステム13では、車両の状態に応じて不正検知ECU4100a、4100bが、動作モードを、不正なメッセージの検知を行うチェックモードと不正なメッセージの検知を行わない待機モードとの間で切り替える。これにより、車両の状態に応じて必要な場合にだけ不正なメッセージの検知を行うようにすることで電力消費量を抑えることができる。また、不正検知ECU4100a、4100bは、車両の状態を直接検知する機構を有さなくても、ヘッドユニット4200からのトリガーフレームにより、動作モードを切り替えるタイミングを得ることができる。
(他の実施の形態等)
以上のように、本開示に係る技術の例示として実施の形態1〜4を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。
(1)上記実施の形態では、ECU400a〜400d或いはECU3400a〜3400dによりフレームが定期的に送信される例を示したが、フレームは、状態変化を通知するイベントとして送信されることとしても良い。例えば、ECUは、ドアの開閉状態を定期的に送信するのではなく、ドアの開閉状態が変化した場合にのみ、フレームを送信するとしても良い。また、ECUがフレームを、定期的に送信、かつ、状態変化が発生した時に送信することとしても良い。
(2)実施の形態3では、データ値とカウンタ値からMACを算出する例を示したが、データ値のみからMACを算出することとしても良い。またカウンタ値のみからMACを算出することとしても良い。また、フレームに含まれるMACのサイズは4bytesに制限されるものではなく、送信毎に異なるサイズであっても良い。同様に時速等のデータ値のサイズ及びカウンタ値のサイズも1byteに制限されるものではない。また、必ずしもフレームにカウンタ値が含まれていなくても良い。
(3)実施の形態3では、カウンタ値を送信毎にインクリメントする例を示したが、カウンタ値が時刻に応じて自動的にインクリメントされる値であっても良い。また、時刻そのものの値をカウンタの代わりに使用しても良い。即ち、データフレームが送信される度に変化する変数(カウンタ、時刻等)に基づいてMACが生成されるようにすると、MACの不正な解読を困難化することが可能となる。また、実施の形態3では、不正検知ECUにおけるMAC生成部3170が、メッセージIDとデータフィールドの先頭1byteと、カウンタ保持部3190のカウンタ値とからMAC値を算出することとした。この代わりに、メッセージIDとデータフィールドの先頭1byteと、データフィールドの次の1byteであるカウンタ値とからMAC値を算出することとしても良い。また、不正ではないと判定されたデータフィールドにおけるカウンタ値に合わせるように、カウンタ保持部3190のカウンタ値を更新することとしても良い。
(4)上記実施の形態では、CANプロトコルにおけるデータフレームを標準IDフォーマットで記述しているが、拡張IDフォーマットであっても良い。拡張IDフォーマットの場合には、標準IDフォーマットにおけるID位置のベースIDと、拡張IDとを合わせて29ビットでID(メッセージID)を表すので、この29ビットのIDを上述の実施の形態におけるID(メッセージID)と扱えば良い。
(5)上記実施の形態では、MAC算出のアルゴリズムをHMACとしているが、これCBC−MAC(Cipher Block Chaining Message Authentication Code)、CMAC((Cipher-based MAC)であっても良い。また、MAC計算に用いられるパディングについては、ゼロパディング、ISO10126、PKCS#1、PKCS#5、PKCS#7、その他、ブロックのデータサイズが計算に必要となるパディングの方式であれば何でも良い。また4bytes等のブロックへのサイズの変更方法についても、先頭、最後尾、中間のいずれの部分にパディングを行っても良い。また、MAC算出に用いるデータは、連続しているデータ(例えば4bytes分の連続データ)でなくても、特定のルールに従って1bitずつ収集して結合したものでも良い。
(6)上記実施の形態で示したCANプロトコルは、TTCAN(Time-Triggered CAN)、CANFD(CAN with Flexible Data Rate)等の派生的なプロトコルをも包含する広義の意味を有するものであっても良い。
(7)上記実施の形態では、不正なECUがバスに接続される例を示したが、ECU400a〜400d或いはECU3400a〜3400dのような既存のECUが何らかの要因によって不正なECUとして働く可能性もある。その場合であっても、上記実施の形態で示したように不正検知ECUが適切に不正なフレームを検知してエラーフレームを送信することで、他のECUが不正なフレームを処理してしまうことを阻止できる。
(8)実施の形態2では、メッセージIDと許容されているデータ範囲とが対応付けられたデータ範囲リストを用いて、受信されたデータフレームのデータが、メッセージID毎に許容されているデータ範囲に含まれているか否かによって、不正か否かの判定を行うこととしたが、データ範囲リストにメッセージIDを含ませず、全てのメッセージIDに共通して許容されているデータ範囲(例えば「0〜180」)を定めておき、メッセージIDにかかわらず不正か否かの判定を行うこととしても良い。また、不正検知ECUが保持するデータ範囲リストは、その不正検知ECUが接続されたバスにおいて送信され得るメッセージIDとデータ範囲とを対応付けたものとしても良い。これにより、データ範囲リストが、実施の形態1で示した正規IDリストとしても用いることができるようになる。これを利用して実施の形態2に示した不正検知ECUにおいても実施の形態1で示したメッセージIDのチェック(シーケンスS1004)を行うようにしても良い。
(9)実施の形態2で示したメッセージIDと許容されているデータ範囲とが対応付けられたデータ範囲リストの代わりに、不正検知ECUが、メッセージIDと、許容されているデータ長とを対応付けたデータ長リストを用いることとしても良い。この場合には、不正検知ECUは、受信されたデータフレームのコントロールフィールドの値が不正を示す所定条件に該当するか否かを判定する。この不正を示す所定条件は、コントロールフィールドにおけるデータ長(DLC)が、データ長リストにおいてメッセージIDに対応付けられているデータ長ではないという条件である。不正検知ECUは、受信されたDCLが、データ長リストにおいてメッセージID毎に許容されているデータ長であるか否かによって、不正か否かの判定を行う。
(10)上記実施の形態では、特にデータフレームに注目して説明したが、リモートフレームについても不正検知ECUが一定の不正を検知することが可能である。例えば、不正検知ECUが、実施の形態1で示した正規IDリストを用いて受信したリモートフレームにおけるメッセージIDが不正か否かを判定しても良い。また、不正検知ECUが、上述したデータ長リストを用いて受信したリモートフレームにおけるコントロールフィールドにおけるデータ長(DLC)が、メッセージID毎に許容されているデータ長であるか否かにより不正か否かを判定しても良い。また、上記実施の形態で示した不正検知ECUが不正なフレームを受信することで不正の検知を行った場合に送信するエラーフレームは、不正の検知後に迅速に送信されると良い。なお、不正検知ECUは、不正の検知後、その不正なフレームのCRCシーケンスの最後尾が送信される前までにエラーフレームを送信することは有用である。これにより他のECUは、エラーフレームの検出或いはCRCのチェックでのエラー検出により、その不正なフレームの処理を中止することになる。なお、リモートフレームもデータフレームと同様にメッセージID、コントロールフィールド及びCRCシーケンスを含む。
(11)上記実施の形態では、不正検知ECUが一定条件下でエラー表示メッセージを送信することを示したが、エラー表示メッセージを送信しないこととしても良い。この場合には、ゲートウェイ及びヘッドユニット等のECUは特に不正検知ECUに対応した構成(エラー表示メッセージを受信するための受信IDリスト等)を保持する必要がなくなる。なお、不正検知ECUは、エラー表示メッセージの送信の代わりに自らスピーカ或いはディスプレイ等を備える場合においてエラーを自ら報知しても良いし、エラーのログを記憶媒体等に記録しても良い。
(12)実施の形態4で示した車載ネットワークシステム13において、動作モードを切り替え可能な不正検知ECUと、動作モードを切り替えない不正検知ECU(つまり常時チェックモードと同様である不正検知ECU)が混在しても良い。また、不正検知ECUは、バス上で送信される不正なメッセージを検知する機能の他に、他のECUと同様に、不正でないメッセージに応じて予め定められた処理を実行する機能、或いは、車両の状態の検知又は車両の制御等の処理を実行する機能を有していても良い。動作モードが特定の不正検知を行わない待機モードである場合においては、電力消費の低減の他に、不正検知ECUの処理負荷の低減及びバスでのトラフィック低減等の効果も生じ得る。
(13)実施の形態4では、ヘッドユニット4200が、車両の状態が一定条件を満たした場合にトリガーフレームを送信する機能を有することとしたが、この機能を他のECUが有することとしても良い。この車両の状態が一定状態を満たした場合にトリガーフレームを送信する機能は、車載ネットワークシステム13における1台のECUが有しても良いし、複数のECU(全ECUであっても一部のECUであっても良い。)が有しても良い。即ち、実施の形態4で示したヘッドユニット4200の不正フレーム検出部4280、モード変更指示部4281、車使用開始検出部4282及び通信開始・終了検出部4283を、他のECU(ECU400a等)に含ませることとしても良い。図40は、ECU400aを一部変形して、不正フレーム検出部4280、モード変更指示部4281、車使用開始検出部4282及び通信開始・終了検出部4283を含ませてなるECU4400の構成図である。図40に示すECU4400におけるフレーム解釈部4450は、実施の形態1で示したフレーム解釈部450を一部変形したものである。フレーム解釈部4450は、フレーム処理部410、フレーム生成部4420及び受信ID判断部430へのデータの転送に加えて、不正フレーム検出部4280、車使用開始検出部4282及び通信開始・終了検出部4283へも、受信したフレームを転送する。この転送は、全ての受信したフレームの転送でも良いし、各検出部に関連するフレームのみの転送であっても良い。不正フレーム検出部4280は、実施の形態4の不正フレーム検出部4280と同じ動作を行う。車使用開始検出部4282及び通信開始・終了検出部4283は、ECU4400が受信したフレームから、車体が使用開始されたこと、通信が開始されたこと、通信が終了されたこと等を検出する。例えば、ヘッドユニット4200や外部との通信機能を持つECUが通信の開始或いは終了を知らせるフレームを送信し、通信開始・終了検出部4283がそのフレームの受信に対応して通信の開始或いは通信の終了を検出しても良い。モード変更指示部4281は、実施の形態4の機能と同様である。フレーム生成部4420は、実施の形態1のフレーム生成部420の機能を有する。フレーム生成部4420は更に、モード変更指示部4281からのモード変更のためのトリガーフレームの送信依頼に従ってトリガーフレームを構成してトリガーフレームをフレーム送受信部270へ通知して送信させる機能を有する。このECU4400は、図37のシーケンスS4002〜S4005で示す処理手順、図38のシーケンスS4102〜S4105で示す処理手順、及び、図39のシーケンスS4202〜S4205で示す処理手順と、同様の処理手順を実行する。この車両の状態が一定状態を満たした場合にトリガーフレームを送信する機能は、不正検知ECUが有しても良い。
(14)実施の形態4で示したヘッドユニット4200による待機モードへの移行を指示すべきか否かの判断(図38、図39参照)は、有用な判断の一例にすぎず、この他の判断も可能である。例えば、単に通信終了を検出した場合に待機モードへの移行の指示がなされても良く、また、車両の使用開始から所定時間が経過した場合に待機モードへの移行の指示がなされても良い。この所定時間は、例えば数分間等の一定時間であっても良いし、また、車両の使用開始後にバス上で一定数のメッセージの送信がなされるまでに要した時間、使用開始後に一定の処理手順が実行されるまでに要した時間であっても良い。また、単にバス上で一定期間において不正なメッセージを検知しなかった場合に待機モードへの移行の指示がなされても良い。即ち、車両の状態に応じて不正検知ECUの動作モードをチェックモード或いは待機モードに変更するために、実験、理論等に基づき有用であるならば任意の判断材料に基づき任意の判断方法(判断アルゴリズム等)を利用し得る。例えば、ヘッドユニット4200は、車使用開始検出部4282及び通信開始・終了検出部4283の両方を必ずしも含まなくても良く、どちらか一方のみ含んでも良いし、他の車両の状態を検出するための検出部を含んでも良い。検出部としては、例えば駐車中か否かの検出部、停車中か否かの検出部、ドアの開閉の検出部、給油口の開閉の検出部、充電中か否かの検出部、走行中か否かの検出部、シートへの着席の検出部、乗車中の検出部、乗車完了の検出部、降車中の検出部等が挙げられる。車載ネットワークシステムは、車両の状態が一定条件を満たしたことが検出された場合に、不正検知ECUの動作モードを、バス上の不正なメッセージを検知する所定種類の検知処理を行う第1モード(チェックモード)とその検知処理を行わない第2モード(待機モード等)との間で切り替えるように構成されていれば良い。また、第2モードで不正なメッセージの検知処理を全く行わない方式の他に、第2モードでは、その所定種類の検知処理を行わないが、その所定種類の検知処理よりは処理量の少ない、ある種の不正なメッセージの検知処理を実行する方式も採り得る。また、ヘッドユニット4200が不正検知ECUの動作モード変更用ボタンその他のユーザインタフェースを備え、そのユーザインタフェースへのユーザによる操作、入力等に応じて不正検知ECUへ動作モードの変更を指示しても良い。そのユーザインタフェースとしては、物理的なボタンの他、タッチパネル等に表示したボタン等であっても良いし、音声入力機構を用いても良い。なお、車使用開始検出部4282、通信開始・終了検出部4283等の検出部により車両の状態の変化が検出されたときに、画面表示、音声出力等により、ユーザに動作モードの変更が必要か否かを問い合わせても良い。ヘッドユニット4200は、ユーザからの応答としての動作モードの変更の要否に係る入力を受け付けると、その入力が動作モードの切り替えを要する旨を示すならば不正検知ECUへ動作モードの変更を指示し得る。例えば、ヘッドユニット4200が、車両の使用開始から一定時間が経過した際に待機モードに移行するか否かをユーザに問い合わせ、これに対してユーザがチェックモードを継続することを選択し得る。また、ヘッドユニット4200が単に車両の使用開始、通信開始、通信終了等のイベントの情報だけを不正検知ECU4100a等に通知し、どの動作モードに移行するべきかを不正検知ECU4100a等が判断するようにしても良い。
(15)実施の形態4で示した不正検知ECU4100aは、実施の形態1の不正検知ECU100aの機能を含むものとしたが、不正検知ECUにおける不正対処方法の具体的な実現態様は、実施の形態2、3に示したものであっても良い。即ち、車載ネットワークシステム13における各不正検知ECU(不正検知ECU4100a等)を、例えば図41に示すように実施の形態2の不正検知ECU2100aの機能を含む不正検知ECU5100としても良い。また、不正検知ECU4100a等を、図42に示すように実施の形態3の不正検知ECU3100aの機能を含む不正検知ECU6100としても良い。なお、図41に示した不正検知ECU5100及び図42に示した不正検知ECU6100はいずれも、不正検知ECU4100aと同様にフレーム解釈部4150、トリガーフレーム検出部4170、モード保持部4180を含む。また、不正検知ECU4100aが、実施の形態1〜3のそれぞれで示した不正検知の処理手順の2つ以上を、切り替えて実行できるように構成されても良い。例えば、不正検知ECUが、不正なメッセージを検知するために処理量の比較的多い実施の形態2又は3で示した不正検知の処理手順と、処理量の比較的少ない実施の形態1で示した不正検知の処理手順とを動作モードにより切り替えることとしても良い。この場合において、動作モードは、例えば処理量の比較的多い検知処理を行う第1モードと、処理量の比較的多い検知処理を行わず処理量の比較的少ない検知処理を行う第2モードとの間で切り替えられることになる。
(16)上記実施の形態で示した不正フレーム検知部及び不正MAC検知部はCANコントローラと呼ばれるハードウェア、または、CANコントローラと接続して動作するプロセッサ上で動作するファームウェアに実装しても良い。また、MAC鍵保持部、カウンタ保持部、正規IDリスト保持部、データ範囲リスト保持部は、CANコントローラと呼ばれるハードウェアのレジスタ、または、CANコントローラと接続して動作するプロセッサ上で動作するファームウェアに格納されていても良い。
(17)上記実施の形態における各ECU(ゲートウェイ及びヘッドユニットを含む)は、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイ、キーボード、マウス等の他のハードウェア構成要素を含んでいても良い。また、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。
(18)上記実施の形態における各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
(19)上記各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしても良い。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしても良い。
(20)本開示の一態様としては、上記に示す不正検知方法、不正対処方法等の方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示の一態様としては、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
(21)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。
本開示は、車載ネットワークシステムにおいて不正なECUによる影響を効率的に抑制するために利用可能である。
10,11,12,13 車載ネットワークシステム
100a,100b,2100a,2100b,3100a,3100b,4100a,4100b,5100,6100 不正検知電子制御ユニット(不正検知ECU)
110 不正検知カウンタ保持部
120 正規IDリスト保持部
130,2130 不正フレーム検知部
140,230,320,420,3420,4230,4420 フレーム生成部
150,260,350,450,2150,3150,4150,4260,4450 フレーム解釈部
160,270,360,460 フレーム送受信部
200,4200 ヘッドユニット
210 表示制御部
220,410 フレーム処理部
240,330,430 受信ID判断部
250,340,440 受信IDリスト保持部
300 ゲートウェイ
310 転送処理部
370 転送ルール保持部
400a,400b,400c,400d,3400a,3400b,3400c,3400d,4400 電子制御ユニット(ECU)
401 エンジン
402 ブレーキ
403 ドア開閉センサ
404 窓開閉センサ
470 データ取得部
500a,500b,500c バス
2120 データ範囲リスト保持部
3130 不正MAC検知部
3410,3170 MAC生成部
3430,3180 MAC鍵保持部
3440,3190 カウンタ保持部
4170 トリガーフレーム検出部
4180 モード保持部
4280 不正フレーム検出部
4281 モード変更指示部
4282 車使用開始検出部
4283 通信開始・終了検出部

Claims (13)

  1. 1以上のネットワークを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムにおいて用いられる不正検知方法であって、
    前記複数の電子制御ユニットは、第1の電子制御ユニットと第2の電子制御ユニットと第3の電子制御ユニットを含み、
    前記1以上のネットワークは、第1のネットワークと第2のネットワークを含み、
    前記第1の電子制御ユニットは前記第1のネットワークに接続され、
    前記第2の電子制御ユニットは前記第2のネットワークに接続され、
    前記不正検知方法は、
    前記第3の電子制御ユニットが前記車載ネットワークシステムを備えた車両の状態が第1の条件または第2の条件を満たしたことを検出する検出ステップと、
    前記車両の状態が前記第1の条件または前記第2の条件を満たしたことを検出した場合に、前記第3の電子制御ユニットが切替指示メッセージを前記第1の電子制御ユニットと前記第2の電子制御ユニットへ送信し、
    (i)前記車両の状態が前記第1の条件を満たしたことが検出された場合に、前記第1の電子制御ユニットと前記第2の電子制御ユニットは、動作モードを、前記1以上のネットワーク上の不正なメッセージを検知する第1の種類の検知処理を行わない第1のモードへ移行し、
    (ii)前記車両の状態が前記第2の条件を満たしたことが検出された場合に、前記第2の電子制御ユニットは、動作モードを、前記第1の種類の検知処理を行う第2のモードへ移行する、切替ステップと、を含む、
    不正検知方法。
  2. 前記第2の条件は、前記第3の電子制御ユニットが、前記1以上のネットワーク上で不正なメッセージを検知したことである、
    請求項1記載の不正検知方法。
  3. 前記第1の条件は、前記第3の電子制御ユニットが、前記1以上のネットワーク上で所
    定の期間において不正なメッセージを検知しなかったことである、
    請求項2記載の不正検知方法。
  4. 前記第2の条件は、前記第3の電子制御ユニットが前記車両の外部の装置と通信を開始する状態になったことである、
    請求項1記載の不正検知方法。
  5. 前記第1の条件は、前記第3の電子制御ユニットが前記車両の外部の装置との通信を終了して所定の状態になったことである、
    請求項4記載の不正検知方法。
  6. 前記第2の条件は、前記車両の状態が駐車中である、
    請求項1記載の不正検知方法。
  7. 前記第2のネットワークは、前記複数の電子制御ユニットのうち、前記車両の駆動に関する電子制御ユニットを含まない、
    請求項6記載の不正検知方法。
  8. 前記1以上のネットワークは、さらに、第3のネットワークを含み、
    前記第3の電子制御ユニットは、前記第3のネットワークに接続され、
    前記車載ネットワークシステムは更に、前記第1のネットワークと前記第2のネットワークと前記第3のネットワークとの間でメッセージを転送するゲートウェイ装置を備え、
    前記切替ステップでは、
    前記第3の電子制御ユニットが切替指示メッセージを前記ゲートウェイ装置へ送信し、
    前記車両の状態が前記第1の条件を満たしたことが検出された場合は、前記ゲートウェイ装置は、前記切替指示メッセージを前記第1の電子制御ユニットと前記第2の電子制御ユニットへ送信し、
    前記車両の状態が前記第2の条件を満たしたことが検出された場合は、前記ゲートウェイ装置は、前記切替指示メッセージを前記第2の電子制御ユニットへ送信する、
    請求項1記載の不正検知方法。
  9. 前記第1の条件または前記第2の条件は、
    前記車両の状態が変化した場合において、所定のユーザインタフェースで前記動作モードの切り替えを要することを示す入力を受け付けることである、
    請求項1記載の不正検知方法。
  10. 前記第1のモードでは、不正なメッセージを検知可能な程度が、前記第1の種類の検知処理とは異なる、第2の種類の検知処理を行う、
    請求項1記載の不正検知方法。
  11. 前記第3の電子制御ユニットは、前記第1のネットワークと前記第2のネットワークの間でメッセージを転送するゲートウェイ装置であり、
    前記切替ステップでは、
    前記車両の状態が前記第1の条件を満たしたことが検出された場合は、前記第3の電子制御ユニットは、前記切替指示メッセージを前記第1の電子制御ユニットと前記第2の電子制御ユニットへ送信し、
    前記車両の状態が前記第2の条件を満たしたことが検出された場合は、前記第3の電子制御ユニットは、前記切替指示メッセージを前記第2の電子制御ユニットへ送信する、
    請求項1記載の不正検知方法。
  12. 前記複数の電子制御ユニットは、Controller Area Network(CAN)プロトコルに従って前記1以上のネットワークを介して通信を行う、
    請求項1記載の不正検知方法。
  13. 車載ネットワークシステムであって、
    1以上のネットワークを介して通信する複数の電子制御ユニットと、
    前記複数の電子制御ユニットは、第1の電子制御ユニットと第2の電子制御ユニットと第3の電子制御ユニットを含み、
    前記1以上のネットワークは、第1のネットワークと第2のネットワークを含み、
    前記第1の電子制御ユニットは前記第1のネットワークに接続され、
    前記第2の電子制御ユニットは前記第2のネットワークに接続され、
    前記第3の電子制御ユニットは、
    前記車載ネットワークシステムを備えた車両の状態が第1の条件または第2の条件を満たしたことを検出する検出部と、
    前記検出部により前記車両の状態が前記第1の条件または前記第2の条件を満たしたことが検出された場合に、切替指示メッセージを前記第1の電子制御ユニットと前記第2の電子制御ユニットへ送信する送信部と、を備え、
    前記車両の状態が前記第1の条件を満たしたことが検出された場合に、
    前記第1の電子制御ユニットと前記第2の電子制御ユニットは、動作モードを、前記1以上のネットワーク上の不正なメッセージを検知する第1の種類の検知処理を行わない第1のモードへ移行し
    前記車両の状態が前記第2の条件を満たしたことが検出された場合に、
    前記第2の電子制御ユニットは、動作モードを、前記第1の種類の検知処理を行う第2のモードへ移行する、
    車載ネットワークシステム。
JP2016513622A 2014-04-17 2015-03-23 車載ネットワークシステム及び不正検知方法 Active JP6490058B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201461980821P 2014-04-17 2014-04-17
US61/980,821 2014-04-17
JP2015032179 2015-02-20
JP2015032179 2015-02-20
PCT/JP2015/001602 WO2015159486A1 (ja) 2014-04-17 2015-03-23 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019032763A Division JP6651662B2 (ja) 2014-04-17 2019-02-26 不正検知電子制御ユニット及び不正検知方法

Publications (2)

Publication Number Publication Date
JPWO2015159486A1 JPWO2015159486A1 (ja) 2017-04-13
JP6490058B2 true JP6490058B2 (ja) 2019-03-27

Family

ID=54323714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016513622A Active JP6490058B2 (ja) 2014-04-17 2015-03-23 車載ネットワークシステム及び不正検知方法

Country Status (5)

Country Link
US (5) US10187406B2 (ja)
EP (3) EP3800092B1 (ja)
JP (1) JP6490058B2 (ja)
CN (2) CN105593067B (ja)
WO (1) WO2015159486A1 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10708293B2 (en) 2015-06-29 2020-07-07 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US11165851B2 (en) 2015-06-29 2021-11-02 Argus Cyber Security Ltd. System and method for providing security to a communication network
WO2017013622A1 (en) 2015-07-22 2017-01-26 Arilou Information Security Technologies Ltd. Vehicle communications bus data security
WO2017090351A1 (ja) * 2015-11-25 2017-06-01 日立オートモティブシステムズ株式会社 車載ゲートウェイ装置、電子制御装置、車載ネットワークシステム
WO2017104106A1 (ja) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 評価装置、評価システム及び評価方法
JP6712938B2 (ja) * 2015-12-14 2020-06-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 評価装置、評価システム及び評価方法
WO2017127639A1 (en) * 2016-01-20 2017-07-27 The Regents Of The University Of Michigan Exploiting safe mode of in-vehicle networks to make them unsafe
CN109644153B (zh) * 2016-04-12 2020-10-13 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
JP6890025B2 (ja) * 2016-05-27 2021-06-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、フレーム生成方法及びプログラム
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP6849528B2 (ja) * 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP6395992B2 (ja) * 2016-08-24 2018-09-26 三菱電機株式会社 通信制御装置、通信システム及び通信制御方法
JP6561950B2 (ja) * 2016-09-09 2019-08-21 株式会社デンソー 中継装置
EP3541022A4 (en) * 2016-11-10 2020-06-17 Lac Co., Ltd. COMMUNICATION CONTROLLER, COMMUNICATION CONTROL METHOD AND PROGRAM
JP6512205B2 (ja) * 2016-11-14 2019-05-15 トヨタ自動車株式会社 通信システム
JP6558703B2 (ja) * 2016-12-14 2019-08-14 パナソニックIpマネジメント株式会社 制御装置、制御システム、及びプログラム
JP2018121109A (ja) * 2017-01-23 2018-08-02 本田技研工業株式会社 通信システム、移動体、及び通信方法
WO2018186054A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
DE102017209556A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
CN110753912A (zh) * 2017-06-23 2020-02-04 罗伯特·博世有限公司 用于通过检查通信中的异常来检测车辆的通信系统中的中断的方法
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
JP6787262B2 (ja) * 2017-07-10 2020-11-18 住友電気工業株式会社 車載通信装置、ログ収集方法およびログ収集プログラム
DE102017211860B3 (de) * 2017-07-11 2018-09-20 Volkswagen Aktiengesellschaft Verfahren zur Übertragung von Daten über einen seriellen Kommunikationsbus, entsprechend ausgelegte Busschnittstelle sowie entsprechend ausgelegtes Computerprogramm
WO2019026077A1 (en) * 2017-08-02 2019-02-07 Enigmatos Ltd. SYSTEM AND METHOD FOR PREVENTING MALBUSED CAN BUS ATTACKS
JP6620133B2 (ja) * 2017-09-28 2019-12-11 株式会社Subaru 車両用通信制御装置及び車両用通信制御システム
US10934987B2 (en) * 2017-11-24 2021-03-02 Bezalel Hirsch Remote starter adapter for use with a communication device
WO2019107210A1 (ja) 2017-12-01 2019-06-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御装置、不正検知サーバ、車載ネットワークシステム、車載ネットワーク監視システム及び車載ネットワーク監視方法
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство
JP7121737B2 (ja) * 2018-05-23 2022-08-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム
WO2020021715A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法、不正対処装置および通信システム
US12069027B2 (en) * 2019-03-22 2024-08-20 Fortinet, Inc. Securing intra-vehicle communications via a controller area network bus system based on behavioral statistical analysis
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
FR3097988B1 (fr) * 2019-06-25 2021-06-04 Renault Sas Procédé de dialogue avec un calculateur sur bus embarqué de véhicule.
JP7226177B2 (ja) * 2019-08-02 2023-02-21 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム、通信プログラム及び通信方法
US11165794B2 (en) * 2019-09-30 2021-11-02 Infineon Technologies Ag Alert system for controller area networks
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
US11570186B2 (en) * 2019-12-12 2023-01-31 Intel Corporation Security reporting via message tagging
GB2592924A (en) 2020-03-10 2021-09-15 Daimler Ag Method for detecting a fraud device in a communication network of a vehicle
US20240031404A1 (en) 2020-10-21 2024-01-25 Foundation Of Soongsil University-Industry Cooperation Counterattack method against hacked node in can bus physical layer, physical layer security method with can bus node id auto-setting, and recording medium and system for performing the method
US20240152607A1 (en) * 2021-01-14 2024-05-09 Autonetworks Technologies, Ltd. Detection device, detection method and detection program
JP7308236B2 (ja) * 2021-03-04 2023-07-13 本田技研工業株式会社 故障予兆検知システム、車両、故障予兆検知方法、及びプログラム
DE112021008401T5 (de) * 2021-10-25 2024-08-08 Mitsubishi Electric Corporation Einbruchserkennungssystem
US12019574B2 (en) 2022-01-12 2024-06-25 Toyota Motor North America, Inc. Transport component authentication
WO2024089723A1 (ja) * 2022-10-24 2024-05-02 三菱電機株式会社 サイバー攻撃検知装置およびサイバー攻撃検知方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107805A (ja) * 1996-09-30 1998-04-24 Mazda Motor Corp 多重伝送装置
JP2003271205A (ja) * 2002-03-14 2003-09-26 Omron Corp プログラマブルコントローラ及び周辺ユニット
JP4093075B2 (ja) * 2003-02-18 2008-05-28 住友電気工業株式会社 不正データ検出方法及び車載機器
JP2005038099A (ja) * 2003-07-17 2005-02-10 Hitachi Ltd 無線ネットワークを構築する情報機器およびプログラム
JP4254683B2 (ja) * 2004-10-04 2009-04-15 株式会社デンソー コンパレータ切替え回路
JP2007038904A (ja) * 2005-08-04 2007-02-15 Fujitsu Ten Ltd 車載ゲートウェイ装置及び同装置におけるメッセージ中継方法
US8067861B2 (en) * 2008-02-29 2011-11-29 Panasonic Corporation Interface device for host device, interface device for slave device, host device, slave device, communication system and interface voltage switching method
EP2688329B1 (en) * 2011-03-17 2019-05-01 Nec Corporation Communication system, base station, and method for coping with cyber attacks
KR101251531B1 (ko) * 2011-09-21 2013-04-05 기아자동차주식회사 자동차 원격시동 시스템 및 방법
KR101360705B1 (ko) * 2011-09-22 2014-02-07 기아자동차주식회사 차량 업그레이드 시스템 및 그 방법
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US9225544B2 (en) 2011-12-22 2015-12-29 Toyota Jidosha Kabushiki Kaisha Communication system and communication method
JP5651615B2 (ja) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
CN102594643B (zh) * 2012-03-12 2015-11-25 北京经纬恒润科技有限公司 一种控制器局域网总线通讯控制方法、装置及系统
JP5626266B2 (ja) * 2012-06-05 2014-11-19 株式会社デンソー 通信システム

Also Published As

Publication number Publication date
EP3800092B1 (en) 2023-09-13
US20240031385A1 (en) 2024-01-25
US11811798B2 (en) 2023-11-07
EP3800092A1 (en) 2021-04-07
CN105593067A (zh) 2016-05-18
WO2015159486A1 (ja) 2015-10-22
EP3132979A4 (en) 2017-04-05
CN105593067B (zh) 2019-07-02
US10187406B2 (en) 2019-01-22
EP4246893A3 (en) 2023-12-27
EP3132979A1 (en) 2017-02-22
JPWO2015159486A1 (ja) 2017-04-13
CN110406485A (zh) 2019-11-05
CN110406485B (zh) 2023-01-06
US20190104143A1 (en) 2019-04-04
US12095783B2 (en) 2024-09-17
US20200186552A1 (en) 2020-06-11
US20160294855A1 (en) 2016-10-06
US20230016161A1 (en) 2023-01-19
EP4246893A2 (en) 2023-09-20
US10609049B2 (en) 2020-03-31
US11496491B2 (en) 2022-11-08
EP3132979B1 (en) 2021-01-27

Similar Documents

Publication Publication Date Title
JP6490058B2 (ja) 車載ネットワークシステム及び不正検知方法
JP6099802B2 (ja) ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法
JP6407981B2 (ja) 車載ネットワークシステム、電子制御ユニット及び不正対処方法
JP2024023912A (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6864759B2 (ja) 不正検知方法および車載ネットワークシステム
JP6698190B2 (ja) 不正対処方法、不正検知電子制御ユニット、および、ネットワーク通信システム
JP6875576B2 (ja) 不正対処方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190226

R150 Certificate of patent or registration of utility model

Ref document number: 6490058

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150