Nothing Special   »   [go: up one dir, main page]

CN105594156A - 车载网络系统、电子控制单元及不正常检测方法 - Google Patents

车载网络系统、电子控制单元及不正常检测方法 Download PDF

Info

Publication number
CN105594156A
CN105594156A CN201580001979.7A CN201580001979A CN105594156A CN 105594156 A CN105594156 A CN 105594156A CN 201580001979 A CN201580001979 A CN 201580001979A CN 105594156 A CN105594156 A CN 105594156A
Authority
CN
China
Prior art keywords
frame
unique identifier
transmission
event
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201580001979.7A
Other languages
English (en)
Other versions
CN105594156B (zh
Inventor
岸川刚
松岛秀树
芳贺智之
前田学
海上勇二
氏家良浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to CN202010008717.6A priority Critical patent/CN111181732B/zh
Publication of CN105594156A publication Critical patent/CN105594156A/zh
Application granted granted Critical
Publication of CN105594156B publication Critical patent/CN105594156B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

一种使用于具备按照CAN协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在总线上发送的数据帧;和验证步骤,在接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。

Description

车载网络系统、电子控制单元及不正常检测方法
技术领域
本公开涉及对由电子控制单元进行通信的车载网络中所发送的不正常(irregularity)帧进行检测的技术。
背景技术
近些年,在机动车中的系统中,配置有许多被称为电子控制单元(ECU:ElectronicControlUnit)的装置。将这些ECU连接起来的网络被称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在ISO11898-1所规定的CAN(ControllerAreaNetwork:控制器局域网络)这一标准(参照“非专利文献1”)。
在CAN中,通信路由2条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点对2条总线施加电压,通过在总线之间产生电位差来发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。在多个发送节点在完全相同的定时发送隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下,发送被称为出错帧(errorframe)的帧。出错帧是通过连续发送6bit的显性来向发送节点和/或其他接收节点通知帧的异常的帧。
另外,在CAN中不存在指示发送目的地和/或发送源的标识符,发送节点对每一帧加上被称为消息ID的ID而进行发送(也就是说向总线送出信号),各接收节点仅接收预先确定的消息ID(也就是说从总线读取信号)。另外,采用了CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时基于消息ID进行仲裁(调停),优先发送消息ID的值小的帧。
在车载网络中不正常的节点与总线连接,且不正常的节点以不正常的方式发送了数据帧的情况下,由于在CAN中不存在发送源的标识符,因此接收节点不能检测到发送了不正常的数据帧这一情况。
于是,以往提出了利用ECU周期性地发送数据帧这一特征,将如从正常的周期脱离的数据帧的发送检测为不正常的数据帧的技术(参照“非专利文献2”)。另外,提出了如下的不正常检测方法:为了表示数据帧被从正规的ECU发送这一状况,使用了消息认证码(MAC:MessageAuthenticationCode)的技术(参照“非专利文献3”)。
现有技术文献
非专利文献
非专利文献1:“CANSpecification2.0PartA”,[在线],CANinAutomation(CiA),[平成26年11月14日检索],互联网(URL:http://www.can-cia.org/fileadmin/cia/specifications/CAN20A.pdf)
非专利文献2:大塚敏史,石郷岡祐,“既存ECUを変更不要な車載LAN向け侵入検知手法(不需要改变现有的ECU的面向车载LAN的入侵检测方法)”,情報処理学会研究報告.組込みシステム研究会(信息处理学会研究报告.嵌入式系统研究会),2013-EMB-28(6),p.1-5
非专利文献3:D.K.Nilsson,U.E.Larson,E.Jonsson,“EfficientIn-VehicleDelayedDataAuthenticationBasedonCompoundMessageAuthenticationCodes”,VehicularTechnologyConference,2008-Fall,p.1-5
非专利文献4:RFC2104HMAC:Keyed-HashingforMessageAuthentication
发明内容
发明所要解决的技术问题
然而,在非专利文献2的技术中,在ECU除了周期性发送数据帧之外,有时还以事件为触发而非周期性地发送数据帧(以下,将非周期性地发送的数据帧称为“事件驱动数据帧”。)的情况下,会将正常的事件驱动数据帧误检测为不正常的数据帧。另外,在对所发送的所有数据帧附加MAC的方法中,MAC的附加及验证所需的处理负荷大。
于是,本公开提供一种电子控制单元(ECU),在按照CAN协议等进行通信的车载网络系统中,可高效且恰当地检测在总线上进行了不正常的消息的发送这一情况。另外,本公开提供一种用于高效且恰当地检测不正常的消息的不正常检测方法及具备ECU的车载网络系统。
用于解决技术问题的技术方案
为了解决上述问题,本公开的一个技术方案的不正常检测方法,是使用于具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在所述总线上发送的数据帧;和验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
另外,本公开的一个技术方案的不正常检测方法,是在具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测对象的数据帧的不正常检测方法,包括:赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。
另外,为了解决上述问题,本公开的一个技术方案的车载网络系统,是具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统,该车载网络系统具备:第1电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在通过所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
另外,为了解决上述问题,本公开的一个技术方案的电子控制单元(ECU),是按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。
另外,本公开的一个技术方案的电子控制单元(ECU),是按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:接收部,其接收在所述总线上发送的数据帧;验证部,其在通过所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
发明的效果
根据本公开,在车载网络系统中总线与不正常的节点连接而发送了不正常的数据帧的情况下能够高效且恰当地对其进行检测。
附图说明
图1是示出实施方式1的车载网络系统的整体结构的图。
图2是示出CAN协议所规定的数据帧的格式的图。
图3是在实施方式1的车载网络系统中所使用的数据段格式(datafieldformat)的一例的图。
图4是实施方式1的ECU的结构图。
图5是示出实施方式1的数据帧生成规则的一例的图。
图6是示出实施方式1的周期规则信息的一例的图。
图7是示出列举了表示实施方式1的数据帧的上次接收时刻的信息的列表的一例的图。
图8是示出实施方式1的数据帧的收发的流程的图。
图9是示出实施方式1的数据帧的发送处理的流程图。
图10是示出实施方式1的数据帧的接收处理的流程图。
图11是示出实施方式2的车载网络系统的整体结构的图。
图12是示出在实施方式2的车载网络系统中所使用的数据段格式的一例的图。
图13是实施方式2的ECU的结构图。
图14是示出实施方式2的数据帧生成规则及发送事件计数的一例的图。
图15是示出列举了表示实施方式2的数据帧的上次接收时刻及接收事件计数的列表的一例的图。
图16是示出实施方式2的数据帧的发送处理的流程图。
图17是示出实施方式2的数据帧的接收处理的流程图。
图18是示出实施方式3的车载网络系统的整体结构的图。
图19是在实施方式3的车载网络系统中所使用的数据段格式的一例的图。
图20是实施方式3的ECU的结构图。
图21是示出实施方式3的数据帧生成规则的一例的图。
图22是示出实施方式3的周期规则信息的一例的图。
图23是示出实施方式3的数据帧的发送处理的流程图。
图24是示出实施方式3的数据帧的接收处理的流程图。
图25是示出实施方式4的车载网络系统的整体结构的图。
图26是实施方式4的ECU的结构图。
图27是示出实施方式4的数据帧生成规则的一例的图。
图28是示出实施方式4的周期规则信息的一例的图。
图29是示出在实施方式4的车辆状态保持部中保持的车辆的状态的一例的图。
图30是示出实施方式4的数据帧的发送处理的流程图。
图31是示出实施方式4的数据帧的接收处理的流程图。
图32是示出实施方式4的表示车辆的状态的数据帧的发送处理的流程图。
图33是示出实施方式4的数据帧的接收处理的变形例的流程图。
具体实施方式
本公开的一个技术方案的不正常检测方法是使用于具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在所述总线上发送的数据帧;和验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。在此,关于发送周期的预定规则是预先设定的规则,例如是针对具有同一ID的数据帧的发送周期(从上次发送时刻到本次发送时刻的时间差)的条件。在不正常检测方法中验证是为了不正常的数据帧的检测而进行的,对于数据帧在验证成功的情况下,该数据帧不被检测为不正常。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不满足预定规则而被误检测为不正常,能够恰当地检测不正常的数据帧(消息)。另外,通过针对不符合预定规则的数据帧的特定标识符的验证而能够检测不正常的消息,因此不需要使所有数据帧包括特定标识符而进行该验证,能够进行高效的不正常的检测。此外,高效的不正常的检测有助于抑制车载网络系统的电能消耗。
另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置且反映该数据帧的内容的消息认证码,在所述验证步骤中,通过基于该数据帧的内容对不符合所述预定规则的所述数据帧中的所述预定位置的数据是否为所述消息认证码进行判别的预定处理程序,来进行所述验证。由此,对于不了解关于发送周期的预定规则及验证的预定处理程序的不正常的ECU(例如除了作为车载网络系统的正规的结构要素的ECU以外的ECU)而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置的预定值,在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值是否与所述预定值相同进行判别来进行所述验证。在此,特定标识符可以由1位或多位构成。由此,能够通过仅与预定值进行比较这一负荷较少的处理步骤来进行用于不正常检测的验证。
另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置的计数值,在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与所述计数值是否相同进行判别来进行所述验证,所述计数值反映了在所述接收步骤中接收到不符合所述预定规则的数据帧的次数。由此,由于特定标识符是能够根据数据帧的收发而变动的计数值,所以对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,所述接收步骤中的数据帧的接收可以反复进行,所述特定标识符是在所述数据帧的数据段内的预定位置配置的、预定运算的结果值,在所述验证步骤中,通过对在所述接收步骤中接收到的不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与如下的结果值是否相同进行判别来进行所述验证,该结果值是作为基于包括在所述接收步骤中上次接收到的所述特定标识符的数据帧中的该特定标识符来进行了所述预定运算的结果而得到的值。预定运算是例如,在对不符合关于发送周期的预定规则的(非周期性的)数据帧进行收发的正常的发送侧和接收侧共同进行的运算(函数),基于输入值能够导出输出值(结果值)。如果在发送侧和接收侧分别存储在对上次的非周期性的数据帧进行发送时的特定标识符即预定运算的结果值,则发送侧将以上次的特定标识符为输入的预定运算(函数)的输出值(结果值)设定为下一非周期性的数据帧而进行发送,在接收侧能够对接收到的数据帧中是否包括与以上次的特定标识符为输入的预定运算的结果值相同的值进行验证。由此,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,在所述验证步骤中,可以在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下,仅在搭载所述车载网络系统的车辆的状态为预定状态时,进行针对该数据帧中的特定标识符的所述验证,所述不正常检测方法中,在所述接收步骤中接收到符合所述预定规则的数据帧的情况下将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证成功时将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证失败时将该数据帧检测为不正常的数据帧。检测为不正常的数据帧的情况下的处理能够在车载网络系统中预先设定,作为处理可以举出例如,舍弃数据帧(不基于数据帧的内容进行车辆的控制等)、作为运行记录而进行记录、变更车辆的动作模式等。预定状态例如是设想为在不正常的数据帧在总线上传播的情况下应进行检测的必要性比预定状态以外的状态高的状态。由此,例如能够在不正常检测的必要性高时等车辆处于预定状态的情况下高效地进行验证。
另外,本公开的一个技术方案的不正常检测方法是在具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测的对象的数据帧的不正常检测方法,包括:赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。由此,在正规地构成车载网络系统的发送侧的ECU发送包括特定标识符的、不符合预定规则的数据帧,以使得在数据帧的接收侧即使不符合预定规则也能够通过对该数据帧中是否包括特定标识符进行验证来验证是否为不正常的数据帧。因此,通过赋予步骤和发送步骤能够实现恰当的不正常检测。
另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置反映该数据帧的内容的消息认证码作为所述特定标识符来进行所述特定标识符的所述赋予。由此,对于不了解关于发送周期的预定规则及消息认证码的不正常的ECU(例如除了作为车载网络系统的正规的构成要素的ECU以外的ECU)而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置预定值作为所述特定标识符来进行所述特定标识符的所述赋予。由此,在接收数据帧的ECU中仅通过与预定值进行比较这一负荷较少的处理步骤就能够进行用于不正常检测的验证。
另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置计数值作为所述特定标识符来进行所述特定标识符的所述赋予,所述计数值反映了在所述发送步骤中发送了不符合所述预定规则的数据帧的次数。由此,特定标识符成为能够根据数据帧的发送而变动的计数值,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,针对不符合所述预定规则的数据帧的所述发送步骤中的发送及所述赋予步骤中的特定标识符的赋予可以反复进行,在所述赋予步骤中,通过在所述发送步骤中的数据帧的发送时在该数据帧的数据段内的预定位置配置如下的值作为特定标识符来进行所述特定标识符的所述赋予,该值是作为基于对在所述发送步骤中上次发送的不符合所述预定规则的数据帧赋予的特定标识符来进行了预定运算的结果而得到的值。由此,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
另外,在所述发送步骤中还可以进行符合所述预定规则的数据帧的发送,在所述赋予步骤中,在搭载所述车载网络系统的车辆的状态为预定状态的情况下仅在所述发送步骤中发送不符合所述预定规则的数据帧时,向该数据帧中进行特定标识符的所述赋予。预定状态例如是设想为在不正常的数据帧在总线上传播的情况下应进行检测的必要性比预定状态以外的状态高的状态。由此,对于接收数据帧的ECU而言,能够仅在例如不正常检测的必要性高时等预定状态的情况下高效地进行验证。
另外,为了解决上述问题,本公开的一技术方案的车载网络系统是具备按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统,具备:第1电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在由所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不满足预定规则而被误检测为不正常,能够恰当地检测不正常的数据帧(消息)。
另外,为了解决上述问题,本公开的一个技术方案的电子控制单元(ECU)是按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。由此,在对发送周期不满足条件的数据帧即事件驱动数据帧进行发送的情况下,能够以不被误检测为不正常的方式发送数据帧。
另外,本公开的一个技术方案的电子控制单元(ECU)是按照CAN(ControllerAreaNetwork)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:接收部,其接收在所述总线上发送的数据帧;和验证部,其在由所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不满足预定规则而被误检测为不正常,能够恰当地检测不正常的数据帧。
此外,这些全面或具体的技术方案可以通过系统、方法、集成电路、计算机程序或计算机能够读取的CD-ROM等记录介质实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合实现。
以下,参照附图对实施方式的车载网络系统、ECU等进行说明。在此所示的实施方式均表示本公开的一具体例。因此,在以下实施方式中所示的数值、形状、材料、构成要素、构成要素的配置及连接形态、步骤(工序)及步骤的顺序等仅为一例而并非限定本公开。关于以下实施方式中的结构要素中没有记载于独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各附图仅为示意图,并非严密地进行图示。
(实施方式1)
以下,作为本公开的实施方式,使用附图对在进行数据帧的收发的ECU100a与ECU100b之间,除了周期性发送的数据帧之外还能够发送非周期性的事件驱动数据帧的前提下,实现用于恰当地检测发送了不正常的数据帧这一情况的不正常检测方法的车载网络系统10进行说明。
【1.1车载网络系统10的整体结构】
图1是示出实施方式1的车载网络系统10的整体结构的图。车载网络系统10是按照CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统10构成为包括与各种设备连接的ECU100a、100b及将各ECU连接起来的总线200。此外,在图1中虽然省略了图示,但在车载网络系统10中,除了ECU100a、100b以外还可以包括几个ECU,但在此,为了便于说明,关注ECU100a、100b而进行说明。ECU是例如包括处理器(微处理器)、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如,通过处理器按照控制程序(计算机程序)工作,ECU可实现各种功能。此外,为了达成预定的功能,计算机程序通过组合多个表示对处理器的指令的命令码而构成。以下,以总线200有可能与发送不正常的数据帧的不正常的ECU连接为前提进行说明。
ECU100a与作为包括1个以上传感器的设备的一例的电动车窗开关110连接。ECU100a周期性地将包括表示电动车窗开关110的状态的信息的数据帧发送到总线200。而且,在电动车窗开关110的状态发生了变化时,也将包括表示电动车窗开关110的状态的信息(即表示传感器值的信息)的数据帧发送到总线200。因此,ECU100a除了以一定的发送周期反复发送数据帧之外,还在电动车窗开关110的状态的变化时间与该发送周期不一致时,向总线200发送非周期性的事件驱动数据帧。另外,ECU100a接收从ECU100b发送到总线200上而在总线200上传播的数据帧,对例如ECU100a所发送的数据帧被正确接收等进行确认。
ECU100b与电动车窗120连接,接收从ECU100a发送且在总线200上传播的数据帧,根据该数据帧所包括的电动车窗开关110的状态,进行电动车窗120的开闭控制。并且,周期性地将与电动车窗120的开闭控制状态相应的数据帧发送到总线200。在该车载网络系统10中各ECU按照CAN协议进行帧的授受。各ECU具有判断接收到的数据帧是否为不正常的数据帧的功能。
【1.2数据帧格式】
以下,对作为在基于CAN协议的网络中所使用的帧之一的数据帧进行说明。
图2是示出由CAN协议规定的数据帧的格式的图。在该图中,示出了在CAN协议中规定的标准ID格式下的数据帧。数据帧由SOF(StartOfFrame:帧起始)、ID段、RTR(RemoteTransmissionRequest:远程传输请求)、IDE(IdentifierExtension:识别符扩展)、预留位“r”、DLC(DataLengthCode:数据长度码)、数据段、CRC(CyclicRedundancyCheck:循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement:确认)间隙、ACK定界符“DEL”及EOF(EndOfFrame:帧结尾)的各段构成。
SOF由1bit的显性构成。在总线为空闲的状态下成为隐性,通过利用SOF改变为显性来通知帧的发送开始。
ID段由11bit构成,是储存表示数据的种类的值即ID(消息ID)的段。在多个节点同时开始发送的情况下,为了利用该ID段进行通信仲裁,设计成ID具有小的值的帧成为高的优先级。
RTR是用于对数据帧和远程帧进行识别的值,在数据帧中由显性1bit构成。
IDE和“r”两者由显性1bit构成。
DLC由4bit构成,是表示数据段的长度的值。此外,将IDE、“r”及DLC统称为控制段。
数据段是最大由64bit构成的表示所发送的数据的内容的值。能够每8bit地调整长度。对于所输送的数据的规格,在CAN协议中没有规定,而是在车载网络系统10中设定。因此,成为依赖于车辆种类、制造者(制造商)等的规格。
CRC序列由15bit构成。能够根据SOF、ID段、控制段及数据段的发送值来算出。
CRC定界符是由1bit的隐性构成的表示CRC序列结束的分隔符号。此外,将CRC序列和CRC定界符统称为CRC段。
ACK间隙由1bit构成。发送节点将ACK间隙设为隐性而进行发送。如果接收节点到CRC序列为止都正常地完成了接收,则将ACK间隙设为显性而发送。由于显性比隐性优先,所以只要在发送后ACK间隙为显性,则发送节点能够确认到某一接收节点成功地进行了接收。
ACK定界符是由1bit的隐性构成的表示ACK结束的分隔符号。
EOF由7bit的隐性构成,表示数据帧结束。
【1.3数据段格式】
以下,对在车载网络系统10中所使用的数据帧中的数据段进行说明。
图3是示出在车载网络系统中所使用的数据段格式的一例的图。如该图所示,数据段的最高位“I”(最靠前的1位)是用于识别包括该数据段的数据帧是否为事件驱动数据帧的识别标志(称为“事件驱动识别标志”。)。事件驱动识别标志I在周期性地发送的数据帧中被设为0,在事件驱动数据帧中被设为1。在事件驱动识别标志I之后的数据域中,包括表示ECU从设备等取得的传感器值的数据(在ECU100a所发送的数据帧中表示例如电动车窗开关110的状态的值等)。在图3的例子中使最高位为事件驱动识别标志I,但是也可以将事件驱动识别标志I设置在数据段内的最低位等任意部位。
【1.4ECU100a的结构】
图4是ECU100a的结构图。ECU100a构成为包括:数据帧收发部101、数据帧生成部102、数据帧生成规则保持部103、不正常数据帧判断部104、接收数据帧周期保持部105、数据帧接收历史记录保持部106、数据帧处理部107、计时器108和传感器值取得部109。这些各构成要素是功能性的构成要素,其各功能可通过ECU100a中的通信电路、执行在存储器中储存的控制程序的处理器或数字电路等实现。此外,ECU100b也具备与ECU100a基本上同样的结构。但是,数据帧生成规则保持部103、接收数据帧周期保持部105及数据帧接收历史记录保持部106的各保持内容可以按每个ECU而成为不同的内容。另外,数据帧处理部107的处理内容按每个ECU而不同。
数据帧收发部101接收在总线200中传播的数据帧,按照CAN协议解释(解析)数据帧。在所接收到的数据帧中的ID段的内容即ID(消息ID)为预先设定成使本设备(ECU100a)进行接收的消息ID的情况下,向不正常数据帧判断部104通知数据帧的内容。另外,数据帧收发部101按照CAN协议将从数据帧生成部102通知的数据帧向总线200发送。
数据帧生成部102按照在数据帧生成规则保持部103中储存的数据帧生成规则,生成数据帧,并向数据帧收发部101通知。数据帧生成部102从计时器108取得当前时刻。而且,数据帧生成部102从传感器值取得部109取得关于与ECU100a连接的设备(电动车窗开关110)的数据(传感器值)。为了从ECU100a周期性地发送数据帧,数据帧生成部102根据当前时刻和在数据帧生成规则保持部103中储存的发送周期,决定生成数据帧的定时,周期性地进行数据帧的生成。此外,在由数据帧生成部102生成数据帧后,该数据帧被通知给数据帧收发部101,数据帧收发部101进行该数据帧的发送。进而,数据帧生成部102在从传感器值取得部109取得的传感器值产生了变化的时间与所述周期性的定时为不同的时间的情况下(例如处于表示周期性的定时的容许范围的余裕的范围外的情况下),进行事件驱动数据帧的生成。即,数据帧生成部102作为在不符合表示发送周期的数据帧生成规则的定时进行数据帧的发送时生成在数据帧中赋予了事件驱动识别标志这一特定标识符的数据帧的、可以说是赋予部而发挥作用。传感器值取得部109可以以在传感器值产生了变更和没有产生变更的情况下随时从传感器(电动车窗开关110)取得传感器值的方式工作,也可以以仅在传感器值产生了变更的情况下取得从传感器供给的传感器值的方式工作。数据帧生成部102除了周期性地生成将传感器值取得部109最后从传感器取得的传感器值储存于数据段的数据帧之外,还生成包括从上次的传感器值产生了变化的传感器值的事件驱动数据帧。此外,在周期性地生成数据帧的定时,有可能生成包括没有从上次的传感器值产生变化而与上次的传感器值相同的传感器值的数据帧,也有可能生成包括从上次的传感器值产生了变化的传感器值的数据帧。另外,在不是该周期性的定时的定时生成的事件驱动数据帧是包括从上次的传感器值产生了变化的传感器值的数据帧。因此,通过数据帧收发部101从ECU100a向总线200周期性地发送数据帧,而且,非周期性地发送事件驱动数据帧。即,数据帧收发部101除了作为接收在总线200上发送的数据帧的接收部的功能之外,还具有通过总线200将包括特定标识符且不符合表示发送周期的数据帧生成规则的数据帧即事件驱动数据帧发送到其他ECU的、可以说是作为发送部的功能等。
数据帧生成规则保持部103能够通过存储器等存储介质实现,作为数据帧生成规则,按照本设备(ECU100a)所发送的每个消息ID存储有用于周期性地发送数据帧的发送周期。图5是示出在数据帧生成规则保持部103中储存的数据帧生成规则的一例的图。在此,ECU100a发送表示电动车窗开关110的状态的数据帧等多个种类的数据帧(每一种类能够通过消息ID来识别的数据帧)。在图5的例子中,示出了从ECU100a周期性地发送的消息ID为0x100的数据帧的发送周期为50ms,消息ID为0x200的数据帧的发送周期为100ms,消息ID为0x300的数据帧的发送周期为300ms。
不正常数据帧判断部104对接收到的数据帧是否为正常的数据帧(不是不正常的数据帧)进行判断。即,不正常数据帧判断部104对于从数据帧收发部101通知的数据帧,参照接收数据帧周期保持部105的周期规则信息(后述),确认是否满足按每个消息ID而预先设定的发送周期的条件,在满足发送周期的条件的情况下判断为是从正规的ECU发送的数据帧(正常的数据帧)。另外,即使是不满足发送周期的条件的数据帧,对用于识别是否为事件驱动数据帧的事件驱动识别标志进行确认,在识别为事件驱动数据帧的情况下判断为是从正规的ECU发送的数据帧(正常的数据帧)。即,不正常数据帧判断部104具有作为在由数据帧收发部101接收到不符合与表示发送周期的数据帧生成规则呼应的周期规则信息(后述)的数据帧的情况下,对该数据帧中的事件驱动识别标志这一特定标识符进行验证的、可以说是验证部的功能。不正常数据帧判断部104在接收到的数据帧不满足预先设定的发送周期的条件,且未通过事件驱动识别标志确认为是事件驱动数据帧的情况下(即特定标识符的验证失败的情况下),将接收到的数据帧判断为是不正常的数据帧。不正常数据帧判断部104在判断为是正常的数据帧的情况下,使数据帧处理部107进行该数据帧的处理,在判断为是不正常的数据帧的情况下,舍弃该数据帧(即关于该数据帧,不使数据帧处理部107进行处理)。另外,不正常数据帧判断部104在接收到满足发送周期的条件的数据帧的情况下,将接收时刻作为上次接收时刻记录于数据帧接收历史记录保持部106(后述)。
接收数据帧周期保持部105能够通过存储器等存储介质实现,保持周期规则信息。该周期规则信息是按本设备(ECU100a)所接收的每个数据帧的消息ID,将预先设定的发送周期与关于数据帧的接收间隔而表示用于判断为满足发送周期的条件(即与正常的发送周期相符)的容许范围的余裕相关联的信息。在数据帧的接收侧ECU的接收数据帧周期保持部105中保持的周期规则信息中的发送周期,与在该数据帧的发送侧ECU的数据帧生成规则保持部103中保持的数据帧生成规则中的发送周期相呼应。图6是示出在接收从ECU100a发送的数据帧的ECU100b中的接收数据帧周期保持部105中储存的周期规则信息的一例的图。在该图的例子中,示出了消息ID为0x100的数据帧的发送周期为50ms,消息ID为0x200的数据帧的发送周期为100ms,消息ID为0x300的数据帧的发送周期为70ms。在该图的例子中,余裕对于任一消息ID均为1ms。由于该余裕为1ms,所以对于消息ID为0x100的数据帧,如果发送周期在49ms以上且51ms以下的范围内,则ECU100b中的不正常数据帧判断部104判断为满足发送周期的条件。
数据帧接收历史记录保持部106能够通过存储器等存储介质实现,关于本设备(ECU100a)正常接收(即作为正常的数据帧接收)到的周期性的数据帧,保持有将每个消息ID与周期性地接收到的最终时刻即上次接收时刻相关联而成的列表。图7示出按作为正常的数据帧接收到的周期性的数据帧的每个消息ID列举了表示数据帧的上次接收时刻的信息的列表的一例。该图的例子是ECU100b中的数据帧接收历史记录保持部106所保持的列表的一例。在该例子中,示出了周期性地接收到消息ID为0x100的数据帧的最终时刻(上次接收时刻)为200ms,周期性地接收到消息ID为0x200的数据帧的上次接收时刻为220ms,周期性地接收到消息ID为0x300的数据帧的上次接收时刻为230ms。
数据帧处理部107对于由不正常数据帧判断部104判断为是正常的数据帧的数据帧,与该数据帧对应地在每个ECU中进行预先确定的处理。例如,在发送了表示电动车窗开关110的状态的数据帧的ECU100a中,从ECU100b接收与电动车窗120的开闭控制状态相应的数据帧,进行对电动车窗120是否恰当地做出反应进行确认的处理、在没有恰当地做出反应的情况下鸣响警报音的处理或向其他ECU通知异常的处理等。
计时器108是计时机构,例如在车辆的发动机起动时或开始从蓄电池供给电力时等被重置为0,将从该时间起经过的时刻通知给数据帧生成部102和不正常数据帧判断部104。通过计时器108,数据帧生成部102能够以一定的发送周期周期性地发送数据帧,不正常数据帧判断部104能够判断接收到的数据帧的接收周期是否满足预先设定的发送周期的条件。
传感器值取得部109取得表示本设备(ECU100a)所连接的设备(电动车窗开关110)的状态的传感器值,周期性地通知给数据帧生成部102,而且在传感器的值发生了变化时也将传感器值通知给数据帧生成部102。
【1.5数据帧的收发】
以下,使用图8~图10,对经由总线200在ECU之间的数据帧的收发进行说明。
图8是示出将ECU100a设为数据帧的发送侧,将ECU100b设为数据帧的接收侧时的数据帧的收发的流程的图。
图8所示的期间T是周期性地发送的数据帧的发送周期。该期间T是发送侧即ECU100a的数据帧生成规则保持部103所保持的数据帧生成规则中的发送周期。另外,设想期间T与接收侧即ECU100b的接收数据帧周期保持部105所保持的周期规则信息中的发送周期一致。ECU100a周期性地发送数据帧。ECU100a除了该周期性的发送之外,在所连接的电动车窗开关110的状态的变化的定时与该周期性的发送定时不一致的情况下,在该状态的变化的定时,发送事件驱动数据帧。
在车载网络系统10中,在不正常的ECU与总线200连接而发送不正常的数据帧的情况下,能够与ECU100a所发送的正常的数据帧进行区别。即,可通过ECU100b对不正常的数据帧和正常的数据帧进行判别。在该判别中,关于上述周期性地发送的数据帧,能够使用周期规则信息(发送周期的条件),另外,关于不满足关于该发送周期的条件的事件驱动数据帧,能够使用数据段中的事件驱动识别标志这一特定标识符。
图9是示出ECU100a中的数据帧的发送处理的流程图。
ECU100a在遵循数据帧生成规则中的发送周期的发送定时(从上次发送起经过了发送周期的定时)或者来自传感器值取得部109的传感器值发生了变化的定时,需要生成数据帧,开始进行图9的发送处理。在发送处理中,首先,ECU100a判断所要发送的数据帧是事件驱动数据帧还是周期性的数据帧(步骤S1101)。
ECU100a在步骤S1101中判断为所要发送的数据帧是没有遵循数据帧生成规则中的发送周期的事件驱动数据帧的情况下,将生成的数据帧的数据段的事件驱动识别标志I(参照图3)设为表示是事件驱动数据帧的1(步骤S1102)。
ECU100a在步骤S1101中判断为所要发送的数据帧是遵循数据帧生成规则中的发送周期的周期性的数据帧的情况下(判断为不是事件驱动数据帧的情况下),将生成的数据帧的数据段的事件驱动识别标志I(参照图3)设为表示不是事件驱动数据帧的0(步骤S1103)。
ECU100a在结束步骤S1102或S1103中的处理后,在数据段的数据域设定从传感器值取得部109取得的最新的传感器值,生成要发送的数据帧,向总线200发送(步骤S1104)。由此,数据帧在总线200上传播,被ECU100b接收。
图10是示出ECU100b中的数据帧的接收处理的流程图。
ECU100b接收在总线200上出现的数据帧(步骤S1201)。此外,如果是不包括本设备应接收的消息ID的数据帧,则ECU100b舍弃该数据帧而结束处理。在接收到包括本设备应接收的消息ID的数据帧的情况下,ECU100b判断该接收是否处于由所保持的周期规则信息规定的发送周期范围内(步骤S1202)。此外,ECU100b的不正常数据帧判断部104基于从计时器108、接收数据帧周期保持部105及数据帧接收历史记录保持部106得到的信息来判断接收到的数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内(即是否满足由周期规则信息设定的发送周期的条件)。此外,规定的发送周期的范围内意味着上次接收时刻与本次接收到的数据帧的接收时刻的差量(接收间隔)为从与接收到的数据帧的消息ID相关联地设定的发送周期减去余裕而得到的值以上,并且为在该发送周期加上余裕而得到的值以下的情况。
在步骤S1202中数据帧的接收间隔处于发送周期的范围内的情况下,满足了发送周期的条件,ECU100b在数据帧接收历史记录保持部106所保持的列表中,与接收到的数据帧的消息ID相关联地记录该数据帧的接收时刻,作为上次接收时刻(即更新上次接收时刻)(步骤S1204)。然后,紧接着步骤S1204中的处理之后,由ECU100b的不正常数据帧判断部104判断为接收到的数据帧为正常的数据帧(步骤S1205),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S1202中数据帧的上次接收时刻与本次接收时刻的差量不在发送周期的范围内的情况下,ECU100b判别数据帧的数据段的事件驱动识别标志I是否为1(步骤S1203)。在事件驱动识别标志I为1的情况下,ECU100b的不正常数据帧判断部104判断为接收到的数据帧是正常的数据帧(步骤S1205),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S1203中判别为数据帧的数据段的事件驱动识别标志I不为1的情况下,ECU100b判断为接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S1206)。因此,ECU100b不对由不正常的ECU发送的不正常的数据帧进行处理。
此外,在步骤S1202中判断数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内时,在第一次等未保存有上次接收时刻的情况下,将接收到的数据帧当作事件驱动数据帧来处理,在事件驱动识别标志I正确时,在将该数据帧的接收时刻作为上次接收时刻进行记录之后能够进行步骤S1205的处理。在该情况下,在发送侧的ECU中,在第一次等周期性的发送的起点发送事件驱动数据帧。另外,在各ECU例如进入休眠状态等而存在使数据帧的周期性的发送停止的期间的情况下,在之后的周期性的发送再次开始时可以将数据帧作为事件驱动数据帧发送。在该情况下,在接收侧的ECU中,在从上次接收时刻起的一定时间以上的期间,发送侧的ECU进入休眠状态而周期性的发送中断了的情况下,使上次接收时刻无效而将下次作为第一次,将接收到的数据帧当作事件驱动数据帧来处理,能够对其正常性进行判断。
在此,示出了ECU100a发送数据帧而ECU100b接收数据帧的例子,但在ECU100b发送数据帧而ECU100a接收数据帧的情况下也进行同样的处理。即,ECU100b也能够执行与图9所示的处理同样的发送处理,ECU100a也能够执行与图10所示的处理同样的接收处理。
【1.6实施方式1的效果】
在实施方式1中,示出了如下的车载网络系统10:在除了周期性地发送的数据帧之外还存在非周期性地发送的事件驱动数据帧的情况下,也能够通过使事件驱动数据帧内包括特定标识符,对是否为正常的数据帧进行区别。即,在车载网络系统10中,根据发送周期的条件对是否为正常的数据帧进行判别,仅在无法根据发送周期的条件进行判别的情况下通过特定标识符对是否为正常的数据帧进行判别。在不正常的ECU发送数据帧的情况下,不满足发送周期的条件的可能性高,尤其是没有赋予特定标识符,所以能够通过接收到该数据帧的ECU判定为是不正常的数据帧。此外,在不是事件驱动数据帧的数据帧(即周期性地发送的数据帧)中,可以使数据段中不包括事件驱动识别标志I,而使数据段中仅包括表示ECU从设备等取得的传感器值的数据。这样,在正规的ECU周期性地发送的数据帧中,由于不需要设置特定标识符,所以例如能够最大限度地有效活用数据段。
(实施方式2)
以下,作为本公开的另一实施方式,使用附图对在收发数据帧的ECU2100a与ECU2100b之间,除了周期性地发送的数据帧之外还能够发送非周期性的事件驱动数据帧的前提下,实现用于恰当地检测发送了不正常的数据帧的不正常检测方法的车载网络系统11进行说明。
【2.1车载网络系统11的整体结构】
图11是示出实施方式2的车载网络系统11的整体结构的图。车载网络系统11是对实施方式1中所示的车载网络系统10的一部分进行变形后得到的车载网络系统,是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统11构成为包括与各种设备连接的ECU2100a、2100b以及将各ECU连接起来的总线200。对车载网络系统11的结构要素中的具有与实施方式1所示的车载网络系统10同样的功能的构成要素标注相同的附图标记而省略说明。ECU例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。以下,以总线200有可能与发送不正常的数据帧的不正常的ECU连接为前提进行说明。
ECU2100a是对实施方式1中所示的ECU100a的一部分进行了变形而得到的ECU,与电动车窗开关110连接。ECU2100a周期性地将包括表示电动车窗开关110的状态的信息的数据帧发送到总线200。而且在电动车窗开关110的状态发生了变化时,也将包括表示电动车窗开关110的状态的信息(即表示传感器值的信息)的数据帧发送到总线200。因此,ECU2100a除了以一定的发送周期反复发送数据帧之外,还在电动车窗开关110的状态的变化时间与该发送周期不一致时,向总线200发送非周期性的事件驱动数据帧。另外,ECU2100a接收从ECU2100b发送到总线200上而在总线200上传播的数据帧,对例如ECU2100a所发送的数据帧被正确接收等进行确认。
ECU2100b是对实施方式1所示的ECU100b的一部分进行了变形而得到的ECU,与电动车窗120连接。ECU2100b接收从ECU2100a发送且在总线200上传播的数据帧,根据该数据帧所包括的电动车窗开关110的状态,进行电动车窗120的开闭控制。并且周期性地将与电动车窗120的开闭控制状态相应的数据帧发送到总线200。在该车载网络系统11中各ECU按照CAN协议进行帧的授受。各ECU具有判断接收到的数据帧是否为不正常的数据帧的功能。
【2.2数据段格式】
以下,对在车载网络系统11中所使用的数据帧中的数据段进行说明。
图12是示出在车载网络系统11中所使用的数据段格式的一例的图。如该图所示,数据段的最高的8位“I”(最靠前的8位)是在每次发送事件驱动数据帧时增加的计数(称为“事件计数”。)。事件计数I的值在周期性的数据帧的发送时不产生变化,每发送一次相同消息ID的事件驱动数据帧时,值增加1(累加)。此外,作为例外,若在事件计数I的值成为了最大值(8位的最大值)的情况下使事件计数增加1,则成为最小值。事件计数I在数据帧的接收侧作为用于识别是否为正常的事件驱动数据帧的特定识别符发挥作用。在事件计数I之后的数据域中包括表示ECU从设备等取得的传感器值的数据(在ECU2100a所发送的数据帧中例如是表示电动车窗开关110的状态的值等)。在图12的例子中将最高的8位设为事件计数I,但也可以将事件计数I设置在数据段内的最低的8位等任意的部位。另外,虽然将事件计数I的长度设为了8位,但不一定必须是8位,可以设为任意的长度。
【2.3ECU2100a的结构】
图13是ECU2100a的结构图。ECU2100a构成为包括:数据帧收发部101、数据帧生成部2102、数据帧生成规则保持部2103、不正常数据帧判断部2104、接收数据帧周期保持部105、数据帧接收历史记录保持部2106、数据帧处理部107、计时器108和传感器值取得部109。对ECU2100a的结构要素中的具有与实施方式1所示的ECU100a同样的功能的构成要素标注相同的附图标记而省略说明。这些各构成要素是功能性的构成要素,其各功能通过ECU2100a中的通信电路、执行在存储器中储存的控制程序的处理器或数字电路等实现。此外,ECU2100b也具备与ECU2100a基本上同样的结构。但是,数据帧生成规则保持部2103、接收数据帧周期保持部105及数据帧接收历史记录保持部2106的各保持内容可以按每个ECU而成为不同的内容。另外,数据帧处理部107的处理内容按每个ECU而不同。
数据帧生成部2102按照在数据帧生成规则保持部2103中储存的数据帧生成规则,生成数据帧,并向数据帧收发部101发送。数据帧生成部2102从计时器108取得当前时刻。而且,数据帧生成部2102从传感器值取得部109取得关于与ECU2100a连接的设备(电动车窗开关110)的数据(传感器值)。为了从ECU2100a周期性地发送数据帧,数据帧生成部2102根据当前时刻和在数据帧生成规则保持部2103中储存的发送周期,决定生成数据帧的定时,周期性地进行数据帧的生成。此外,在由数据帧生成部2102生成数据帧后,该数据帧被通知给数据帧收发部101,数据帧收发部101进行该数据帧的发送。进而,数据帧生成部2102在从传感器值取得部109取得的传感器值产生了变化的时间与周期性的定时为不同的时间的情况下,进行事件驱动数据帧的生成。因此,通过数据帧收发部101从ECU2100a向总线200周期性地发送数据帧,而且,非周期性地发送事件驱动数据帧。数据帧生成部2102使周期性地发送的数据帧及事件驱动数据帧的数据段包括储存在数据帧生成规则保持部2103中的每个消息ID的发送事件计数的值,作为事件计数I。此外,数据帧生成部2102在生成事件驱动数据帧的情况下,在数据帧的生成前使储存在数据帧生成规则保持部2103中的发送事件计数的值增加1(累加)。数据帧生成部2102也与实施方式1所示的数据帧生成部102同样地具有作为在不符合表示发送周期的数据帧生成规则的定时进行数据帧的发送时生成在数据帧中赋予了事件计数这一特定标识符的数据帧的赋予部的功能。
数据帧生成规则保持部2103能够通过存储器等存储介质实现,作为数据帧生成规则,按ECU2100a发送的每个消息ID储存有用于周期性地发送数据帧的发送周期,而且,对数据帧生成规则赋予了表示所发送的事件驱动数据帧的次数的发送事件计数。该发送事件计数在发送数据帧时,作为对数据段的事件计数设定的值而被使用。数据帧生成部2102在事件驱动数据帧的发送时,使发送事件计数增加1,使用该发送事件计数的值作为数据段内的事件计数I。图14是示出数据帧生成规则保持部2103中储存的数据帧生成规则和发送事件计数的一例的图。在此,ECU2100a发送表示电动车窗开关110的状态的数据帧等多个种类的数据帧(每一种类能够通过消息ID来识别的数据帧)。在图14的例子中,示出了:关于从ECU2100a周期性地发送的消息ID为0x100的数据帧,发送周期为50ms且当前发送事件计数为15(例如表示发送了15次事件驱动数据帧的状态的值),关于消息ID为0x200的数据帧,发送周期为100ms且当前发送事件计数为0(例如表示尚未发送事件驱动数据帧的状态的值),关于消息ID为0x300的数据帧,发送周期为300ms且当前发送事件计数为5。
不正常数据帧判断部2104对接收到的数据帧是否为正常的数据帧(不是不正常的数据帧)进行判断。即,不正常数据帧判断部2104参照接收数据帧周期保持部105的周期规则信息,确认是否满足按每个消息ID预先设定的发送周期的条件,在满足发送周期的条件的情况下判断为是从正规的ECU发送的数据帧(正常的数据帧)。另外,即使是不满足发送周期的条件的数据帧,也对在数据帧接收历史记录保持部2106中储存的接收事件计数的值与接收到的数据帧所包括的事件计数I的值进行比较而进行确认,在判定为事件计数I的值为在正常的事件驱动数据帧中所期待的值的情况下,判断为是从正规ECU发送的事件驱动数据帧(正常的数据帧)。即,不正常数据帧判断部2104与在实施方式1中所示的不正常数据帧判断部104同样地具有作为在由数据帧收发部101接收到不符合与表示发送周期的数据帧生成规则呼应的周期规则信息的数据帧的情况下,对该数据帧中的事件计数这一特定标识符进行验证的验证部的功能。在接收到的数据帧中所包括的事件计数I的值与使接收事件计数的值增加1而得到的值一致的情况下,是在正常的事件驱动数据帧中所期待的值,判断为是正常的数据帧。不正常数据帧判断部2104在接收到的数据帧不满足预先设定的发送周期的条件,且未通过事件计数I判定为是正常的事件驱动数据帧的情况下,将接收到的数据帧判断为是不正常的数据帧。不正常数据帧判断部2104在判断为是正常的数据帧的情况下,使数据帧处理部107进行该数据帧的处理,在判断为是不正常的数据帧的情况下,舍弃该数据帧(即关于该数据帧,不使数据帧处理部107进行处理)。另外,不正常数据帧判断部2104在接收到满足发送周期的条件的数据帧的情况下,将接收时刻作为上次接收时刻记录于数据帧接收历史记录保持部2106。
数据帧接收历史记录保持部2106能够通过存储器等存储介质实现,关于本设备(ECU2100a)正常接收(即作为正常的数据帧接收)到的周期性的数据帧,保持有将每个消息ID与周期性地接收到的最终时刻即上次接收时刻相关联而成的列表,在该列表中还对每个消息ID赋予正常地接收到的事件驱动数据帧的接收次数即接收事件计数。图15示出按作为正常的数据帧的接收到的周期性的数据帧的每个消息ID列举了数据帧的上次接收时刻和接收事件计数的列表的一例。该图的例子是ECU2100b中的数据帧接收历史记录保持部2106所保持的列表的例子。在该例子中,示出了周期性地接收到消息ID为0x100的数据帧的最终时刻(上次接收时刻)为200ms且当前与消息ID为0x100的事件驱动数据帧对应的接收事件计数为15(例如表示接收了15次事件驱动数据帧的状态的值),周期性地接收到消息ID为0x200的数据帧的上次接收时刻为220ms且当前接收事件计数为0(例如表示尚未接收到事件驱动数据帧的状态的值),周期性地接收到消息ID为0x300的数据帧的上次接收时刻为230ms且当前接收事件计数为5。
【2.4ECU2100a中的数据帧的发送处理】
以下,设想ECU2100a向总线200发送数据帧、ECU2100b从总线200接收数据帧的例子,对ECU2100a中的数据帧的发送处理进行说明。
图16是示出ECU2100a中的数据帧的发送处理的流程图。
ECU2100a在遵循数据帧生成规则中的发送周期的发送定时(从上次的发送起经过了发送周期的定时)或者来自传感器值取得部109的传感器值发生了变化的定时,需要生成数据帧,开始进行图16的发送处理。在发送处理中,首先,ECU2100a判断所要发送的数据帧是事件驱动数据帧还是周期性的数据帧(步骤S2101)。
ECU2100a在步骤S2101中判断为所要发送的数据帧是没有遵循数据帧生成规则中的发送周期的事件驱动数据帧的情况下,使在数据帧生成规则保持部2103中储存的发送事件计数的值增加1(累加)(步骤S2102)。另外,ECU2100a在步骤S2101中判断为所要发送的数据帧是遵循数据帧生成规则中的发送周期的周期性的数据帧的情况下(判断为不是事件驱动数据帧的情况下),跳过步骤S2102中的发送事件计数的值的增加。
ECU2100a在结束步骤S2102中的处理的情况下以及跳过了步骤S2102中的处理的情况下,将发送事件计数的值设定为数据段的事件计数I,在数据段的数据域设定从传感器值取得部109取得的最新的传感器值,生成要发送的数据帧,向总线200发送(步骤S2103)。由此,数据帧在总线200上传播,被ECU2100b接收。
此外,ECU2100b也能够执行与图16所示的处理同样的发送处理。
【2.5ECU2100b中的数据帧的接收处理】
以下,设想ECU2100a向总线200发送数据帧、ECU2100b从总线200接收数据帧的例子,对ECU2100b中的数据帧的接收处理进行说明。
图17是示出ECU2100b中的数据帧的接收处理的流程图。
ECU2100b接收在总线200上出现的数据帧(步骤S2201)。此外,如果是不包括本设备应接收的消息ID的数据帧,则ECU2100b舍弃该数据帧而结束处理。在接收到包括本设备应接收的消息ID的数据帧的情况下,ECU2100b判断该接收是否处于由所保持的周期规则信息规定的发送周期范围内(步骤S2202)。此外,ECU2100b的不正常数据帧判断部2104基于从计时器108、接收数据帧周期保持部105及数据帧接收历史记录保持部106得到的信息来判断接收到的数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内(即是否满足由周期规则信息设定的发送周期的条件)。即,不正常数据帧判断部2104对上次接收时刻与本次接收到的数据帧的接收时刻的差量(接收间隔)是否为从与接收到的数据帧的消息ID相关联地设定的发送周期减去余裕而得到的值以上,并且为在该发送周期加上余裕而得到的值以下进行判断。
在步骤S2202中数据帧的接收间隔处于发送周期的范围内的情况下,满足了发送周期的条件,ECU2100b在数据帧接收历史记录保持部2106所保持的列表中,与接收到的数据帧的消息ID相关联地记录该数据帧的接收时刻,作为上次接收时刻(即更新上次接收时刻)(步骤S2204)。然后,紧接着步骤S2204中的处理之后,由ECU2100b的不正常数据帧判断部2104判断为接收到的数据帧为正常的数据帧(步骤S2206),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S2202中数据帧的上次接收时刻与本次接收时刻的差量不在发送周期的范围内的情况下,ECU2100b判定数据帧的数据段的事件计数I是否与使储存于数据帧接收历史记录保持部2106中的接收事件计数的值增加1而得到的值一致(步骤S2203)。在一致的情况下,在ECU2100b中使接收事件计数的值增加1(累加)(步骤S2205)。接着,ECU2100b的不正常数据帧判断部2104判断为接收到的数据帧是正常的数据帧(步骤S2206),由数据帧处理部107进行与该数据帧相对应的处理。
在步骤S2203中判定为不一致的情况下,ECU2100b判断为接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S2207)。因此,ECU2100b不对由不正常的ECU发送的不正常的数据帧进行处理。
此外,在步骤S2202中判断数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内时,在第一次等未保存有上次接收时刻的情况下,将接收到的数据帧当作事件驱动数据帧来处理,在事件计数正确时,在使接收事件计数增加1后,在将该数据帧的接收时刻作为上次接收时刻进行记录之后能够进行步骤S2206的处理。在该情况下,在发送侧的ECU中,在第一次等周期性的发送的起点发送事件驱动数据帧。另外,在各ECU例如进入休眠状态等而存在使数据帧的周期性的发送停止的期间的情况下,在之后的周期性的发送再次开始时可以将数据帧作为事件驱动数据帧发送。在该情况下,在接收侧的ECU中,在从上次接收时刻起的一定时间以上的期间,发送侧的ECU进入休眠状态而周期性的发送中断了的情况下,使上次接收时刻无效而将下次作为第一次,将接收到的数据帧当作事件驱动数据帧来处理,能够对其正常性进行判断。
另外,ECU2100a也能够执行与图17所示的处理同样的接收处理。
【2.6实施方式2的效果】
在实施方式2中,示出了在除了周期性地发送的数据帧之外还存在非周期性地发送的事件驱动数据帧的情况下,通过使事件驱动数据帧内包括特定标识符(即事件计数),能够对是否为正常的数据帧进行区别的车载网络系统11。即,在车载网络系统11中,根据发送周期的条件对是否为正常的数据帧进行判别,仅在无法根据发送周期的条件进行判别的情况下通过特定标识符对是否为正常的数据帧进行判别。由于事件计数不是固定值,所以不正常的ECU难以对数据帧赋予与事件计数相同的值。在不正常的ECU发送数据帧的情况下,不满足发送周期的条件的可能性高,不容易正确地设定事件计数,所以能够通过接收到该数据帧的ECU判定为是不正常的数据帧。此外,在不是事件驱动数据帧的数据帧(即周期性发送的数据帧)中,可以使数据段中不包括事件计数I,而使数据段中仅包括表示ECU从设备等取得的传感器值的数据。这样,在正规的ECU周期性地发送的数据帧中,由于不需要设置特定标识符,所以例如能够最大限度地有效活用数据段。
(实施方式3)
以下,作为本公开的另一实施方式,使用附图对在收发数据帧的ECU3100a与ECU3100b之间,除了周期性地发送的数据帧之外还能够发送非周期性的事件驱动数据帧的前提下,实现用于恰当地检测发送了不正常的数据帧的不正常检测方法的车载网络系统12进行说明。
【3.1车载网络系统12的整体结构】
图18是示出实施方式3的车载网络系统12的整体结构的图。车载网络系统12是对实施方式1中所示的车载网络系统10的一部分进行变形后得到的车载网络系统,是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统12构成为包括与各种设备连接的ECU3100a、3100b以及将各ECU连接起来的总线200。对车载网络系统12的结构要素中的具有与实施方式1所示的车载网络系统10同样的功能的构成要素标注相同的附图标记而省略说明。ECU例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。以下,以总线200有可能与发送不正常的数据帧的不正常的ECU连接为前提进行说明。
ECU3100a是对实施方式1中所示的ECU100a的一部分进行了变形而得到的ECU,与电动车窗开关110连接。ECU3100a周期性地将包括表示电动车窗开关110的状态的信息的数据帧发送到总线200。而且在电动车窗开关110的状态发生了变化时,也将包括表示电动车窗开关110的状态的信息(即表示传感器值的信息)的数据帧发送到总线200。因此,ECU3100a除了以一定的发送周期反复发送数据帧之外,还在电动车窗开关110的状态的变化时间与该发送周期不一致时,向总线200发送非周期性的事件驱动数据帧。另外,ECU3100a接收从ECU3100b发送到总线200上而在总线200上传播的数据帧,对例如ECU3100a所发送的数据帧被正确接收等进行确认。
ECU3100b是对实施方式1所示的ECU100b的一部分进行了变形而得到的ECU,与电动车窗120连接。ECU3100b接收从ECU3100a发送且在总线200上传播的数据帧,根据该数据帧所包括的电动车窗开关110的状态,进行电动车窗120的开闭控制。另外,周期性地将与电动车窗120的开闭控制状态相应的数据帧发送到总线200。在该车载网络系统12中各ECU按照CAN协议进行帧的授受。各ECU具有判断接收到的数据帧是否为不正常的数据帧的功能。
【3.2数据段格式】
以下,对在车载网络系统12中所使用的数据帧中的数据段进行说明。
图19是示出在车载网络系统12中所使用的数据段格式的一例的图。该图的例子是事件驱动数据帧的情况下的一例,数据段的最低的16位“I”(最靠后的16位)是储存消息认证码(MAC:MessageAuthenticationCode)的MAC段I。对于与事件驱动数据帧有关的数据段是否包括MAC段I,以及,在包括MAC段I的情况下MAC段I的位置及长度,由数据帧生成规则保持部3103所储存的数据帧生成规则内的事件驱动数据帧格式(后述)规定。在生成事件驱动数据帧并发送的情况下,按照数据帧生成规则保持部3103所储存的事件驱动数据帧格式将MAC设定为MAC段I。MAC作为识别事件驱动数据帧是否正常的特定标识符发挥功能。在生成周期性的数据帧并发送的情况下,不需要在数据段内储存MAC,可以代替MAC而使其包括固定值,但也可以不包括MAC及其代替数据而将数据段整个区域作为数据域灵活运用。在此,设为周期性的数据帧中未储存MAC,事件驱动数据帧中储存有MAC而继续进行说明。在数据段的MAC段I以外的区域即数据域(参照图19),包括表示ECU从设备等取得的传感器值的数据(在ECU3100a所发送的数据帧中例如表示电动车窗开关110的状态的值等)。在图19的例子中将最低的16位设为MAC段I,但只要由事件驱动数据帧格式规定即可,可以使最高位等任意的部位包括MAC段。另外,也可以将MAC的大小设为16位以外。
【3.3ECU3100a的结构】
图20是ECU3100a的结构图。ECU3100a构成为包括:数据帧收发部101、数据帧生成部3102、数据帧生成规则保持部3103、不正常数据帧判断部3104、接收数据帧周期保持部3105、数据帧接收历史记录保持部106、数据帧处理部107、计时器108、传感器值取得部109、MAC生成部3110、MAC密钥保持部3111和计数保持部3112。对ECU3100a的结构要素中的具有与实施方式1所示的ECU100a同样的功能的构成要素标注相同的附图标记而省略说明。这些各构成要素是功能性的构成要素,其各功能通过ECU3100a中的通信电路、执行在存储器中储存的控制程序的处理器或数字电路等实现。此外,ECU3100b也具备与ECU3100a基本上同样的结构。但是,数据帧生成规则保持部3103、接收数据帧周期保持部3105及数据帧接收历史记录保持部106的各保持内容可以按每个ECU而成为不同的内容。另外,数据帧处理部107的处理内容按每个ECU而不同。
数据帧生成部3102按照在数据帧生成规则保持部3103中储存的数据帧生成规则,生成数据帧,并向数据帧收发部101发送。数据帧生成部3102从计时器108取得当前时刻。而且,数据帧生成部3102从传感器值取得部109取得关于与ECU3100a连接的设备(电动车窗开关110)的数据(传感器值)。为了从ECU3100a周期性地发送数据帧,数据帧生成部3102根据当前时刻和在数据帧生成规则保持部3103中储存的发送周期,决定生成数据帧的定时,周期性地进行数据帧的生成。此外,在由数据帧生成部3102生成数据帧后,该数据帧被通知给数据帧收发部101,数据帧收发部101进行该数据帧的发送。进而,数据帧生成部3102在从传感器值取得部109取得的传感器值产生了变化的时间与周期性的定时为不同的时间的情况下,进行事件驱动数据帧的生成。在生成事件驱动数据帧时,数据帧生成部3102按照在数据帧生成规则保持部3103中储存的每个消息ID的数据帧生成规则的事件驱动数据帧格式使数据帧包括MAC。该MAC是通过对将所生成的数据帧的消息ID和在数据段的数据域中储存的数据(传感器值)通知给MAC生成部3110而从MAC生成部3110得到的值进行剪切以使得其成为由事件驱动数据帧格式规定的数据长度(位长)后的MAC。作为数据帧生成部3102的数据帧的生成的结果,通过数据帧收发部101从ECU3100a向总线200周期性地发送数据帧,而且非周期性地发送事件驱动数据帧。数据帧生成部3102也与实施方式1所示的数据帧生成部102同样地具有作为在不符合表示发送周期的数据帧生成规则的定时进行数据帧的发送时生成在数据帧中赋予了MAC这一特定标识符的数据帧的赋予部的功能。
数据帧生成规则保持部3103能够通过存储器等存储介质实现,作为数据帧生成规则,按ECU3100a发送的每个消息ID储存有用于周期性地发送数据帧的发送周期和表示MAC的储存位置、数据长度等的事件驱动数据帧格式。图21示出了在数据帧生成规则保持部3103中储存的数据帧生成规则的一例。在此,ECU3100a发送表示电动车窗开关110的状态的数据帧等多个种类的数据帧(每一种类能够通过消息ID来识别的数据帧)。在图21的例子中,示出了关于从ECU3100a周期性地发送的消息ID为0x100的数据帧,发送周期为50ms,在不遵循该发送周期而作为事件驱动数据帧发送的情况下,需要在数据段的最低的16位储存MAC。另外,示出了关于消息ID为0x200的数据帧,发送周期为100ms,不发送消息ID为0x200的事件驱动数据帧。另外,示出了关于从ECU3100a周期性地发送的消息ID为0x300的数据帧,发送周期为70ms,在不遵循该发送周期而作为事件驱动数据帧发送的情况下,需要在数据段的最低的16位储存MAC。
不正常数据帧判断部3104对接收到的数据帧是否为正常的数据帧(不是不正常的数据帧)进行判断。即,不正常数据帧判断部3104参照接收数据帧周期保持部3105的周期规则信息,确认是否满足按每个消息ID而预先设定的发送周期的条件,在满足发送周期的条件的情况下判断为是从正规的ECU发送的数据帧(正常的数据帧)。另外,即使是不满足发送周期的条件的数据帧,在验证为数据段包括正常的MAC的情况下,也判断为是正常的数据帧。MAC的验证通过对将数据帧的消息ID和数据段的数据域的内容通知给MAC生成部3110而从MAC生成部3110得到的值与数据段内的MAC段I的内容是否一致进行判别来进行,在一致的情况验证成功。即,不正常数据帧判断部3104与在实施方式1中所示的不正常数据帧判断部104同样地具有作为在由数据帧收发部101接收到不符合与表示发送周期的数据帧生成规则呼应的周期规则信息的数据帧的情况下,对该数据帧中的MAC这一特定标识符进行验证的验证部的功能。不正常数据帧判断部3104在接收到的数据帧不满足预先设定的发送周期的条件,且未通过MAC的验证判定为是正常的事件驱动数据帧的情况下,将接收到的数据帧判断为是不正常的数据帧。在不正常数据帧判断部2104判断为是正常的数据帧的情况下,使数据帧处理部107进行该数据帧的处理,在判断为是不正常的数据帧的情况下,舍弃该数据帧(即关于该数据帧,不使数据帧处理部107进行处理)。另外,不正常数据帧判断部3104在接收到满足发送周期的条件的数据帧的情况下,将接收时刻作为上次接收时刻记录于数据帧接收历史记录保持部106。
接收数据帧周期保持部3105能够通过存储器等存储介质实现,保持周期规则信息。该周期规则信息是按本设备(ECU3100a)所接收的每个数据帧的消息ID,将预先设定的发送周期与关于数据帧的接收间隔而表示用于判断为满足发送周期的条件(即与正常的发送周期相符)的容许范围的余裕相关联的信息。在周期规则信息中还包括表示在不满足发送周期的条件的事件驱动数据帧的数据段内储存的MAC的储存位置、数据长度等的事件驱动数据帧格式。该事件驱动数据帧格式在不正常数据帧判断部3104验证关于事件驱动数据帧的正常性(即对MAC进行验证)时使用。此外,在数据帧的接收侧的ECU的接收数据帧周期保持部3105中保持的周期规则信息中的发送周期,与在该数据帧的发送侧的ECU的数据帧生成规则保持部3103中保持的数据帧生成规则中的发送周期相呼应。另外,在数据帧的接收侧的ECU的接收数据帧周期保持部3105中保持的周期规则信息中的事件驱动数据帧格式,与在该数据帧的发送侧的ECU的数据帧生成规则保持部3103中保持的数据帧生成规则中的事件驱动数据帧格式相呼应。图22是示出在接收从ECU3100a发送的数据帧的ECU3100b中的接收数据帧周期保持部3105中储存的周期规则信息的一例的图。在该图的例子中,示出了消息ID为0x100的数据帧的发送周期为50ms,消息ID为0x200的数据帧的发送周期为100ms,消息ID为0x300的数据帧的发送周期为70ms。在该图的例子中,余裕对于任一消息ID均为1ms。由于该余裕为1ms,所以对于消息ID为0x100的数据帧,如果发送周期在49ms以上且51ms以下的范围,则ECU3100b中的不正常数据帧判断部3104判断为满足发送周期的条件。另外,对于图22的例子中的事件驱动数据帧格式,示出了消息ID为0x100及0x300的事件驱动数据帧在数据段的最低的16位被赋予了MAC,不发送消息ID为0x200的事件驱动数据帧。
MAC生成部3110基于从不正常数据帧判断部3104或数据帧生成部3102通知的数据帧的内容(消息ID和数据段的数据域的数据),生成MAC而将MAC的值发送到通知源。即,MAC生成部3110对于将所通知的消息ID、数据段的数据域的数据值以及在计数保持部3112中储存的、与所通知的消息ID对应的计数值连结起来的规则,通过使用在MAC密钥保持部3111中储存的与通知的消息ID对应的MAC密钥进行HMAC(非专利文献4)的运算来生成MAC,将MAC的值返回给通知源。
MAC密钥保持部3111能够通过存储器等存储介质实现,储存按本设备(ECU3100a)所发送的每个数据帧的消息ID用于生成MAC的加密密钥,而且储存按本设备(ECU3100a)所接收的每个数据帧的消息ID用于生成MAC的加密密钥。
计数保持部3112能够通过包括存储器等存储介质来实现,与本设备(ECU3100a)所发送的每个数据帧的消息ID相关联地保持发送计数,与本设备(ECU3100a)所接收的每个数据帧的消息ID相关联地保持接收计数。每当接收到来自数据帧生成部3102的通知而在MAC生成部3110中生成MAC时,对应的消息ID的发送计数增加1(累加)。另外,每当不正常数据帧判断部3104判断为接收到的数据帧不是不正常的而向数据帧处理部107通知该数据帧时,对应的消息ID的接收计数增加1(累加)。由此,进行同步以使每个消息ID的事件驱动数据帧的发送侧的ECU所保持的发送计数与接收侧的ECU所保持的接收计数成为相同的值。MAC生成部3110在用于数据帧的发送的MAC的生成时使用发送计数生成MAC,在用于对接收到的数据帧的验证的MAC的生成时使用接收计数来生成MAC。
【3.4ECU3100a中的数据帧的发送处理】
以下,设想ECU3100a向总线200发送数据帧,ECU3100b从总线200接收数据帧的例子,对ECU3100a中的数据帧的发送处理进行说明。
图23是示出ECU3100a中的数据帧的发送处理的流程图。
ECU3100a在遵循数据帧生成规则中的发送周期的发送定时(从上次的发送起经过了发送周期的定时)或者来自传感器值取得部109的传感器值发生了变化的定时,需要生成数据帧,开始进行图23的发送处理。在发送处理中,首先,ECU3100a判断所要发送的数据帧是事件驱动数据帧还是周期性的数据帧(步骤S3101)。
ECU3100a在步骤S3101中判断为所要发送的数据帧是没有遵循数据帧生成规则中的发送周期的事件驱动数据帧的情况下,按照事件驱动数据帧格式,对生成的数据帧的数据段的MAC段I赋予MAC(步骤S3102)。
ECU3100a在步骤S3101中判断为所要发送的数据帧是遵循数据帧生成规则中的发送周期的周期性的数据帧的情况下(判断为不是事件驱动数据帧的情况下),跳过步骤S3102中的处理。
ECU3100a在步骤S3102之后,或跳过步骤S3102中的处理之后,在数据段的数据域设定从传感器值取得部109取得的最新的传感器值,生成要发送的数据帧,向总线200发送(步骤S3103)。由此,数据帧在总线200上传播,被ECU3100b接收。
此外,ECU3100b也能够执行与图23所示的处理同样的发送处理。
【3.5ECU3100b中的数据帧的接收处理】
以下,设想ECU3100a向总线200发送数据帧,ECU3100b从总线200接收数据帧的例子,对ECU3100b中的数据帧的接收处理进行说明。
图24是示出ECU3100b中的数据帧的接收处理的流程图。
ECU3100b接收在总线200上出现的数据帧(步骤S3201)。此外,如果是不包括本设备应接收的消息ID的数据帧,则ECU3100b舍弃该数据帧而结束处理。在接收到包括本设备应接收的消息ID的数据帧的情况下,ECU3100b判断该接收是否处于由所保持的周期规则信息规定的发送周期范围内(步骤S3202)。此外,ECU3100b的不正常数据帧判断部3104基于从计时器108、接收数据帧周期保持部3105及数据帧接收历史记录保持部106得到的信息来判断接收到的数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内(即是否满足周期规则信息所设定的发送周期的条件)。即,不正常数据帧判断部3104对上次接收时刻与本次接收到的数据帧的接收时刻的差量(接收间隔)是否为从与接收到的数据帧的消息ID相关联地设定的发送周期减去余裕而得到的值以上,并且为在该发送周期加上余裕而得到的值以下进行判断。
在步骤S3202中数据帧的接收间隔处于发送周期的范围内的情况下,满足了发送周期的条件,ECU3100b在数据帧接收历史记录保持部106所保持的列表中,与接收到的数据帧的消息ID相关联地记录该数据帧的接收时刻,作为上次接收时刻(即更新上次接收时刻)(步骤S3204)。然后,紧接着步骤S3204中的处理之后,由ECU3100b的不正常数据帧判断部3104判断为接收到的数据帧为正常的数据帧(步骤S3205),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S3202中数据帧的上次接收时刻与本次接收时刻的差量不在发送周期的范围内的情况下,ECU3100b按照在接收数据帧周期保持部3105中储存的事件驱动数据帧格式将数据帧的数据段分为MAC段I和数据域,通过对根据数据域及消息ID算出的MAC与MAC段所包括的MAC进行比较,对数据帧的正常性(MAC为正确)进行验证(步骤S3203)。如果算出的MAC与MAC段所包括的MAC一致,则MAC的验证(即MAC的正常性的验证)成功,判断为接收到的数据帧是正常的数据帧(步骤S3205),由数据帧处理部107进行与该数据帧相对应的处理。
在步骤S3203中算出的MAC与MAC段所包括的MAC不一致的情况下(MAC的验证不成功的情况下),ECU3100b判断接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S3206)。因此,ECU3100b不对由不正常的ECU发送的不正常的数据帧进行处理。
此外,在步骤S3202中判断数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内时,在第一次等未保存有上次接收时刻的情况下,将接收到的数据帧当作事件驱动数据帧来处理,在MAC的验证成功时,在将该数据帧的接收时刻作为上次接收时刻进行记录之后能够进行步骤S3205的处理。在该情况下,作为例外,在发送侧的ECU中,在第一次等周期性的发送的起点发送事件驱动数据帧。另外,在各ECU例如进入休眠状态等而存在使数据帧的周期性的发送停止的期间的情况下,在之后的周期性的发送再次开始时可以将数据帧作为事件驱动数据帧发送。在该情况下,在接收侧的ECU中,在从上次接收时刻起的一定时间以上的期间,发送侧的ECU进入休眠状态而周期性的发送中断了的情况下,使上次接收时刻无效而将下次作为第一次,将接收到的数据帧当作事件驱动数据帧来处理,能够对其正常性进行判断。
另外,ECU3100a也能够执行与图24所示的处理同样的接收处理。
【3.6实施方式3的效果】
在实施方式3中,示出了在除了周期性地发送的数据帧之外还存在非周期性地发送的事件驱动数据帧的情况下,通过使事件驱动数据帧内包括作为特定标识符的MAC,能够对是否为正常的事件驱动数据帧进行验证的车载网络系统12。即,在车载网络系统12中,通过发送周期的条件对是否为正常的数据帧进行判别,仅在无法根据发送周期的条件进行判别的情况下通过特定标识符对是否为正常的数据帧进行判别(即验证)。由此,能够防止不满足发送周期的条件的正常的事件驱动数据帧被误检测为不正常的数据帧。另外,在不正常的ECU发送数据帧的情况下,不满足发送周期的条件的可能性高,无法正确地赋予MAC,所以能够通过接收到该数据帧的ECU判定为是不正常的数据帧。此外,在不是事件驱动数据帧的数据帧(即周期性发送的数据帧)中,不需要使数据段中包括MAC,例如能够最大限度地有效利用数据段。
(实施方式4)
以下,作为本公开的另一实施方式,使用附图对在收发数据帧的ECU4100a与ECU4100b之间,除了周期性地发送的数据帧之外还能够发送非周期性的事件驱动数据帧的前提下,基于车辆的状态,实现用于恰当地检测发送了不正常的数据帧这一情况的不正常检测方法的车载网络系统13进行说明。此外,车载网络系统13是对实施方式1所示的车载网络系统10和实施方式3所示的车载网络系统12的一部分进行了变形而得到的车载网络系统,车载网络系统13中所使用的数据帧中的数据段的格式与实施方式3所示的数据段格式是同样的。
【4.1车载网络系统13的整体结构】
图25是示出实施方式4的车载网络系统13的整体结构的图。车载网络系统13是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统13构成为包括与各种设备连接的ECU4100a~4100c以及将各ECU连接起来的总线200。对车载网络系统13的结构要素中的具有与前述车载网络系统10等同样的功能的构成要素标注相同的附图标记而省略说明。ECU例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。以下,以总线200有可能与发送不正常的数据帧的不正常的ECU连接为前提进行说明。
ECU4100c与传动装置(gear)4130连接,根据传动装置4130的状态来判定车辆的状态,向总线200发送表示车辆的状态的数据帧。根据传动装置4130判定的车辆的状态例如是行驶中、驻车中等各种状态。
ECU4100a是对实施方式1中所示的ECU100a的一部分进行了变形而得到的ECU,与电动车窗开关110连接。ECU4100a周期性地将包括表示电动车窗开关110的状态的信息的数据帧发送到总线200。而且在电动车窗开关110的状态发生了变化时,也将包括表示电动车窗开关110的状态的信息(即表示传感器值的信息)的数据帧发送到总线200。因此,ECU4100a除了以一定的发送周期反复发送数据帧之外,还在电动车窗开关110的状态的变化时间与该发送周期不一致时,向总线200发送非周期性的事件驱动数据帧。另外,ECU4100a接收从ECU4100b发送到总线200上而在总线200上传播的数据帧,对例如ECU4100a所发送的数据帧被正确地接收了这一情况等进行确认。另外,ECU4100a接收从ECU4100c发送的表示车辆的状态的数据帧,能够掌握车辆的状态。
ECU4100b是对实施方式1所示的ECU100b的一部分进行了变形而得到的ECU,与电动车窗120连接。ECU4100b接收从ECU4100a发送且在总线200上传播的数据帧,根据该数据帧所包括的电动车窗开关110的状态,进行电动车窗120的开闭控制。另外,周期性地将与电动车窗120的开闭控制状态相应的数据帧发送到总线200。另外,ECU4100b接收ECU4100c所发送的表示车辆的状态的数据帧,能够掌握车辆的状态。该车载网络系统13中各ECU按照CAN协议进行帧的授受。各ECU具有判断接收到的数据帧是否为不正常的数据帧的功能。
【4.2ECU4100a的结构】
图26是ECU4100a的结构图。ECU4100a构成为包括:数据帧收发部101、数据帧生成部4102、数据帧生成规则保持部4103、不正常数据帧判断部4104、接收数据帧周期保持部4105、数据帧接收历史记录保持部106、数据帧处理部107、计时器108、传感器值取得部109、MAC生成部3110、MAC密钥保持部3111和计数保持部3112。对ECU4100a的结构要素中的具有与实施方式1所示的ECU100a或实施方式3所示的ECU3100a同样的功能的构成要素标注相同的附图标记而省略说明。这些各构成要素是功能性的构成要素,其各功能通过ECU4100a中的通信电路、执行在存储器中储存的控制程序的处理器或数字电路等实现。此外,ECU4100b及ECU4100c也具备与ECU4100a基本上同样的结构。此外,数据帧生成规则保持部4103、接收数据帧周期保持部4105及数据帧接收历史记录保持部106的各保持内容可以按每个ECU而成为不同的内容。另外,数据帧处理部107的处理内容按每个ECU而不同。
数据帧生成部4102按照在数据帧生成规则保持部4103中储存的数据帧生成规则,生成数据帧,并向数据帧收发部101发送。数据帧生成部4102从计时器108取得当前时刻。而且,数据帧生成部4102从传感器值取得部109取得关于与ECU4100a连接的设备(电动车窗开关110)的数据(传感器值)。为了从ECU4100a周期性地发送数据帧,数据帧生成部4102根据当前时刻和在数据帧生成规则保持部4103中储存的发送周期,决定生成数据帧的定时,周期性地进行数据帧的生成。此外,在由数据帧生成部4102生成数据帧后,该数据帧被通知给数据帧收发部101,数据帧收发部101进行该数据帧的发送。进而,数据帧生成部4102在从传感器值取得部109取得的传感器值产生了变化的时间与周期性的定时为不同的时间的情况下,进行事件驱动数据帧的生成。在生成事件驱动数据帧时,数据帧生成部4102基于在数据帧生成规则保持部4103中储存的每个消息ID的数据帧生成规则的MAC赋予条件(后述)对事件驱动数据帧是否包括MAC进行判断,在判断为包括MAC的情况下,按照事件驱动数据帧格式使MAC包括在数据帧中。MAC与在实施方式3中所说明的MAC是同样的。即,数据帧生成部4102也与实施方式3所示的数据帧生成部3102同样地具有作为在不符合表示发送周期的数据帧生成规则的定时进行数据帧的发送时生成在数据帧中赋予了MAC这一特定标识符的数据帧的赋予部的功能。作为数据帧生成部4102的数据帧的生成的结果,通过数据帧收发部101从ECU3100a向总线200周期性地发送数据帧,而且,非周期性地发送事件驱动数据帧。另外,数据帧生成部4102在ECU4100a进行发送的第一次等(例如发动机起动时或起动之前、从休眠状态恢复时等)周期性的发送的起点,以事件驱动数据帧的形式发送数据帧。这是因为,如果在周期性的发送的起点设为不是事件驱动数据帧的周期性的数据帧,则在接收侧不能够进行关于发送周期的条件的判断。此外,在第一次等可以使事件驱动数据帧包括MAC。
数据帧生成规则保持部4103能够通过存储器等存储介质实现,作为数据帧生成规则,按ECU4100a发送的每个消息ID而储存有用于周期性地发送数据帧的发送周期、表示MAC的存入位置、数据长等的事件驱动数据帧格式、对事件驱动数据帧赋予MAC的条件即MAC赋予条件。MAC赋予条件针对在车辆的状态为何种情况下应赋予MAC而设定。图27示出了在数据帧生成规则保持部4103中储存的数据帧生成规则的一例。在此,ECU4100a发送表示电动车窗开关110的状态的数据帧等多个种类的数据帧(每一种类能够通过消息ID来识别的数据帧)。在图27的例子中,示出了关于从ECU4100a周期性地发送的消息ID为0x100的数据帧,发送周期为50ms,在不遵循该发送周期而作为事件驱动数据帧发送的情况下,仅在车辆的状态处于行驶中时赋予MAC,在赋予MAC时需要在数据段的最低的16位储存MAC。另外,示出了关于消息ID为0x200的数据帧,发送周期为100ms,不发送消息ID为0x200的事件驱动数据帧。另外,示出了关于从ECU4100a周期性地发送的消息ID为0x300的数据帧,发送周期为70ms,在不遵循该发送周期而作为事件驱动数据帧发送的情况下,仅在车辆的状态处于行驶中时及驻车中时赋予MAC,在赋予MAC时需要在数据段的最低的16位储存MAC。
不正常数据帧判断部4104对接收到的数据帧是否为正常的数据帧(不是不正常的数据帧)进行判断。即,不正常数据帧判断部4104参照接收数据帧周期保持部4105的周期规则信息,确认是否满足按每个消息ID而预先设定的发送周期的条件,在满足发送周期的条件的情况下判断为是从正规的ECU发送的数据帧(正常的数据帧)。另外,即使是不满足发送周期的条件的数据帧,在车辆状态保持部4113中储存的车辆的状态满足在接收数据帧周期保持部4105中储存的MAC赋予事件驱动数据帧接收条件的情况下,不正常数据帧判断部4104对数据帧是否按照事件驱动数据帧格式包括了MAC进行验证,由此来判断是否为不正常的数据帧。MAC赋予事件驱动数据帧接收条件是表示在车辆的状态处于何种情况下接收赋予了MAC的事件驱动数据帧的条件。不正常数据帧判断部4104在车辆的状态满足MAC赋予事件驱动数据帧接收条件的情况下,如果数据段内的MAC的验证成功,则判断为接收到的数据帧是正常的,如果验证失败,则判断为接收到的数据帧为不正常的数据帧。即,不正常数据帧判断部4104与实施方式3所示的不正常数据帧判断部3104同样地具有作为在由数据帧收发部101接收到不符合与表示发送周期的数据帧生成规则呼应的周期规则信息的数据帧的情况下,对该数据帧中的MAC这一特定标识符进行验证的验证部的功能。MAC的验证能够通过判别将数据帧的消息ID和数据段的数据域的内容通知给MAC生成部3110而从MAC生成部3110得到的值与数据段内的MAC段I的内容是否一致来进行,在一致的情况下验证成功。不正常数据帧判断部4104在接收到的数据帧不满足预先设定的发送周期的条件,且车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下,不进行MAC的验证而将事件驱动数据帧判断为正常的数据帧。也就是说,对于事件驱动数据帧,在车辆的状态满足MAC赋予事件驱动数据帧接收条件的情况下对MAC进行验证,在其他情况下省略验证。但是,在周期性的发送的第一次等在发送侧使事件驱动数据帧包括MAC的情况下,可以在接收侧进行对应的MAC的验证。此外,不正常数据帧判断部4104在接收到满足发送周期的条件的数据帧的情况下,可以将接收时刻作为上次接收时刻记录于数据帧接收历史记录保持部106。在不正常数据帧判断部4104判断为接收到的数据帧是正常的数据帧的情况下,使数据帧处理部107进行该数据帧的处理,在判断为是不正常的数据帧的情况下,舍弃该数据帧(即关于该数据帧,不使数据帧处理部107进行处理)。
接收数据帧周期保持部4105能够通过存储器等存储介质实现,保持周期规则信息。该周期规则信息是按本设备(ECU4100a)所接收的每个数据帧的消息ID,将预先设定的发送周期与关于数据帧的接收间隔而表示用于判断为满足发送周期的条件(即与正常的发送周期相符)的容许范围的余裕相关联的信息。在周期规则信息中还包括表示在不满足发送周期的条件的事件驱动数据帧的数据段内储存的MAC的储存位置、数据长度等的事件驱动数据帧格式和MAC赋予事件驱动数据帧接收条件。事件驱动数据帧格式在不正常数据帧判断部4104验证关于事件驱动数据帧的正常性(即对MAC进行验证)时使用。另外,MAC赋予事件驱动数据帧接收条件是关于车辆的状态的条件,表示在车辆的状态处于何种状态下应关于事件驱动数据帧验证MAC。此外,在数据帧的接收侧的ECU的接收数据帧周期保持部4105中保持的周期规则信息中的发送周期,与在该数据帧的发送侧的ECU的数据帧生成规则保持部4103中保持的数据帧生成规则中的发送周期相呼应。另外,在数据帧的接收侧的ECU的接收数据帧周期保持部4105中保持的周期规则信息中的事件驱动数据帧格式,与在该数据帧的发送侧的ECU的数据帧生成规则保持部4103中保持的数据帧生成规则中的事件驱动数据帧格式相呼应。另外,在数据帧的接收侧的ECU的接收数据帧周期保持部4105中保持的周期规则信息中的MAC赋予事件驱动数据帧接收条件,与在该数据帧的发送侧的ECU的数据帧生成规则保持部4103中保持的数据帧生成规则中的MAC赋予条件相呼应。图28是示出在接收从ECU4100a发送的数据帧的ECU4100b中的接收数据帧周期保持部4105中储存的周期规则信息的一例的图。在该图的例子中,示出了消息ID为0x100的数据帧的发送周期为50ms,消息ID为0x200的数据帧的发送周期为100ms,消息ID为0x300的数据帧的发送周期为70ms。在该图的例子中,余裕对于任一消息ID均为1ms。由于该余裕为1ms,所以对于消息ID为0x100的数据帧,如果发送周期在49ms以上且51ms以下的范围,则ECU4100b中的不正常数据帧判断部4104判断为满足发送周期的条件。另外,对于图28的例子中的事件驱动数据帧格式,示出了消息ID为0x100及0x300的事件驱动数据帧在数据段的最低的16位被赋予了MAC,不发送消息ID为0x200的事件驱动数据帧。另外,关于图28的例中的MAC赋予事件驱动数据帧接收条件,示出了:消息ID为0x100的事件驱动数据帧在车辆的状态处于行驶中时需要进行MAC的验证,由于不发送消息ID为0x200的事件驱动数据帧所以不需要MAC的验证,消息ID为0x300的事件驱动数据帧在车辆的状态处于行驶中及驻车中的任一状态时需要进行MAC的验证。
车辆状态保持部4113能够通过存储器等存储介质实现,储存有表示车辆的状态的值。在图29中示出了在车辆状态保持部4113中储存的车辆的状态的一例。在该例子中,示出了车辆的状态处于行驶中。在接收到从ECU4100c发送的数据帧(表示车辆的状态的数据帧),且判定为是正常的数据帧的情况下,通过数据帧处理部107,根据该数据帧的内容来储存(更新)车辆状态保持部4113中的车辆的状态。
【4.3ECU4100a中的数据帧的发送处理】
以下,设想ECU4100a向总线200发送数据帧,ECU4100b从总线200接收数据帧的例子,对ECU4100a中的数据帧的发送处理进行说明。
图30是示出ECU4100a中的数据帧的发送处理的流程图。
ECU4100a在遵循数据帧生成规则中的发送周期的发送定时(从上次的发送起经过了发送周期的定时)或者来自传感器值取得部109的传感器值发生了变化的定时,需要生成数据帧,开始进行图30的发送处理。在发送处理中,首先,ECU4100a判断所要发送的数据帧是事件驱动数据帧还是周期性的数据帧(步骤S4101)。
ECU4100a在步骤S4101中判断为所要发送的数据帧是没有遵循数据帧生成规则中的发送周期的事件驱动数据帧的情况下,判断与来自ECU4100c的数据帧相关联地储存在车辆状态保持部4113中的车辆的状态是否满足数据帧生成规则的MAC赋予条件(步骤S4102)。例如,MAC赋予条件表示处于行驶中及驻车中的任一种,在来自ECU4100a的数据帧所示的车辆的状态(车辆状态保持部4113的车辆的状态)表示行驶中的情况下,判断为车辆的状态满足MAC赋予条件。
ECU4100a在步骤S4102中判断为车辆的状态满足MAC赋予条件的情况下,按照数据帧生成规则的事件驱动数据帧格式,对所生成的数据帧的数据段的MAC段I赋予MAC(步骤S4103)。
ECU4100a在步骤S4101中判断为所要发送的数据帧是遵循数据帧生成规则中的发送周期的周期性的数据帧的情况下(判断为不是事件驱动数据帧的情况下),跳过步骤S4102、S4103中的处理。另外,ECU4100a在步骤S4102中判断为车辆的状态不满足MAC赋予条件的情况下,跳过步骤S4103中的处理。
ECU4100a在步骤S4103之后或跳过步骤S4103中的处理后,在数据段的数据域设定从传感器值取得部109取得的最新的传感器值,生成所要发送的数据帧,并向总线200发送(步骤S4104)。由此,数据帧在总线200上传播,被ECU4100b接收。
此外,ECU4100b也能够执行与图30所示的处理同样的发送处理。
【4.4ECU4100b中的数据帧的接收处理】
以下,设想ECU4100a向总线200发送数据帧,ECU4100b从总线200接收数据帧的例子,对ECU4100b中的数据帧的接收处理进行说明。
图31是示出ECU4100b中的数据帧的接收处理的流程图。
ECU4100b接收在总线200上出现的数据帧(步骤S4201)。此外,如果是不包括本设备应接收的消息ID的数据帧,则ECU4100b舍弃该数据帧而结束处理。在接收到包括本设备应接收的消息ID的数据帧的情况下,ECU4100b判断该接收是否处于由所保持的周期规则信息规定的发送周期范围内(步骤S4202)。此外,ECU4100b的不正常数据帧判断部4104基于从计时器108、接收数据帧周期保持部4105及数据帧接收历史记录保持部106得到的信息来判断接收到的数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内(即是否满足周期规则信息所设定的发送周期的条件)。即,不正常数据帧判断部4104对上次接收时刻与本次接收到的数据帧的接收时刻的差量(接收间隔)是否为从与接收到的数据帧的消息ID相关联地设定的发送周期减去余裕而得到的值以上,并且为在该发送周期加上余裕而得到的值以下进行判断。
在步骤S4202中数据帧的接收间隔处于发送周期的范围内的情况下,满足了发送周期的条件,ECU4100b在数据帧接收历史记录保持部106所保持的列表中,与接收到的数据帧的消息ID相关联地记录该数据帧的接收时刻,作为上次接收时刻(即更新上次接收时刻)(步骤S4204)。然后,紧接着步骤S4204中的处理之后,由ECU4100b的不正常数据帧判断部4104判断为接收到的数据帧为正常的数据帧(步骤S4206),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S4202中数据帧的上次接收时刻与本次接收时刻的差量不在发送周期的范围内的情况下,ECU4100b判断车辆的状态是否满足MAC赋予事件驱动数据帧接收条件(步骤S4203)。即,ECU4100b对与来自ECU4100c的数据帧相关联地储存于车辆状态保持部4113中的车辆的状态是否满足MAC赋予事件驱动数据帧接收条件进行判断。
在步骤S4203中判断为车辆的状态满足MAC赋予事件驱动数据帧接收条件的情况下,ECU4100b按照在接收数据帧周期保持部4105中储存的事件驱动数据帧格式将数据帧的数据段分为MAC段I和数据域,通过对根据数据域及消息ID算出的MAC与MAC段所包括的MAC进行比较,来对数据帧的正常性(MAC为正确)进行验证(步骤S4205)。如果算出的MAC与MAC段所包括的MAC一致,则MAC的验证(即MAC的正常性的验证)成功,判断为接收到的数据帧是正常的数据帧(步骤S4206),由数据帧处理部107进行与该数据帧相对应的处理。
在步骤S4205中算出的MAC与MAC段所包括的MAC不一致的情况下(MAC的验证不成功的情况下),ECU4100b判断接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S4207)。因此,ECU4100b不对由不正常的ECU发送的不正常的数据帧进行处理。
另外,在步骤S4203中判断为车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下,ECU4100b判断为接收到的数据帧是正常的数据帧(步骤S4206),由数据帧处理部107进行与该数据帧相对应的处理。
此外,在步骤S4202中判断数据帧的接收间隔(即发送周期)是否处于规定的发送周期的范围内时,在第一次等未保存有上次接收时刻的情况下,将接收到的数据帧当作事件驱动数据帧来处理,在MAC的验证成功时,在将该数据帧的接收时刻作为上次接收时刻进行记录之后能够进行步骤S4206的处理。在该情况下,作为例外,在发送侧的ECU中,在第一次等周期性的发送的起点发送赋予了MAC的事件驱动数据帧。另外,在各ECU例如进入休眠状态等而存在使数据帧的周期性的发送停止的期间的情况下,在之后的周期性的发送再次开始时可以将数据帧作为事件驱动数据帧发送。在该情况下,在接收侧的ECU中,在从上次接收时刻起的一定时间以上的期间,发送侧的ECU进入休眠状态而周期性的发送中断了的情况下,使上次接收时刻无效而将下次作为第一次,将接收到的数据帧当作事件驱动数据帧来处理,能够对其正常性进行判断。
另外,ECU4100a也能够执行与图31所示的处理同样的接收处理。
【4.5ECU4100c中的表示车辆的状态的数据帧的发送处理】
以下,对ECU4100c取得车辆的状态而将表示车辆的状态的数据帧向总线200发送的发送处理进行说明。
图32是示出ECU4100c中的表示车辆的状态的数据帧的发送处理的流程图。通过ECU4100c反复执行该图所示的处理。
ECU4100c从传感器取得所连接的传动装置4130的状态(步骤S4301)。
ECU4100c判断所取得的传动装置4130的状态是否从上次取得的状态发生了变化(步骤S4302),在传动装置4130的状态发生了变化的情况下,基于预先设定的传动装置4130的状态(例如,关于传动装置档位的驻车、1档、2档等)和车辆的状态(行驶中、驻车中等)的对应关系,确定车辆的状态而生成包括该车辆的状态作为数据段的内容的数据帧,并作为事件驱动数据帧向总线200发送(步骤S4303)。
此外,ECU4100c可以对事件驱动数据帧赋予MAC而发送,在该情况下,ECU4100a及ECU4100b对从总线200接收到的事件驱动数据帧的MAC进行验证,仅在验证成功了的情况下取得车辆的状态并将其储存于车辆状态保持部4113。
【4.6ECU4100b中的数据帧的接收处理的变形例】
在上述数据帧的接收处理(参照图31)中,在步骤S4203中车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下,将接收到的数据帧判断为是正常的,但是可以变形为,在车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下,将接收到的数据帧判断为是不正常的数据帧而进行舍弃。以下,表示接收处理的变形例。
图33是示出ECU4100b中的数据帧的接收处理的变形例的流程图。
ECU4100b接收在总线200上出现的数据帧(步骤S4401)。ECU4100b在接收到包括本设备应接收的消息ID的数据帧的情况下,判断该接收是否处于由所保持的周期规则信息规定的发送周期范围内(步骤S4402)。在步骤S4402中数据帧的接收间隔处于发送周期的范围内的情况下,ECU4100b在数据帧接收历史记录保持部106所保持的列表中,与接收到的数据帧的消息ID相关联地记录该数据帧的接收时刻,作为上次接收时刻(步骤S4404)。然后,紧接着步骤S4404中的处理之后,由ECU4100b的不正常数据帧判断部4104判断为接收到的数据帧为正常的数据帧(步骤S4406),由数据帧处理部107进行与该数据帧相对应的处理。
另外,在步骤S4402中判断为数据帧的接收不在所规定的发送周期范围内的情况下,ECU4100b判断车辆的状态是否满足MAC赋予事件驱动数据帧接收条件(步骤S4403)。
在步骤S4403中判断为车辆的状态满足MAC赋予事件驱动数据帧接收条件的情况下,ECU4100b基于在接收数据帧周期保持部4105中储存的事件驱动数据帧格式,通过对根据数据域及消息ID算出的MAC与在MAC段中包括的MAC进行比较,来对数据帧的正常性(MAC为正确)进行验证(步骤S4405)。在验证为MAC是正确的情况下,ECU4100b将接收到的数据帧判断为是正常的数据帧(步骤S4406),由数据帧处理部107进行与该数据帧相对应的处理。
在步骤S4403中判断为车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下以及在步骤S4405中MAC为正确的验证没有成功的情况下,ECU4100b判断为接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S4407)。因此,ECU4100b不对由不正常的ECU发送的不正常的数据帧进行处理。
【4.7实施方式4的效果】
在实施方式4中,示出了在除了周期性地发送的数据帧之外还存在非周期性地发送的事件驱动数据帧的情况下,通过使事件驱动数据帧内包括作为特定标识符的MAC,能够对是否为正常的事件驱动数据帧进行验证的车载网络系统13。即,在车载网络系统13中,通过发送周期的条件对是否为正常的数据帧进行判别,仅在无法根据发送周期的条件进行判别的情况下通过特定标识符对是否为正常的数据帧进行判别(即验证)。由此,能够防止不满足发送周期的条件的正常的事件驱动数据帧被误检测为不正常的数据帧。另外,在不正常的ECU发送数据帧的情况下,不满足发送周期的条件的可能性高,无法正确地赋予MAC,所以能够通过接受到该数据帧的ECU判定为是不正常的数据帧。另外,关于事件驱动数据帧,也根据车辆的状态切换是否对MAC进行赋予和验证,能够高效地检测不正常的数据帧。
(其他实施方式等)
如上所述,作为本公开的技术的例示对实施方式1~4进行了说明。然而,本公开的技术不限于此,也能够应用于进行了适当的变更、替换、附加、省略等的实施方式。例如,以下的变形例也包含于本公开的一实施方案中。
(1)在上述实施方式中,示出了发送事件驱动数据帧的ECU对事件驱动数据帧赋予事件驱动识别标志、事件计数、或预定运算的结果值即MAC这一特定标识符,在接收事件驱动数据帧的ECU中对特定标识符进行验证的例子,但特定标识符可以是例示以外的形式的信息。特定标识符的验证是例如,检查数据帧的预定位置上的预定数据长度的数据值是否与固定值或通过预定运算导出的值一致,如果一致则当作验证成功来处理,如果不一致则当作验证失败来处理的处理程序等。此外,在上述实施方式中,示出了接收数据帧的ECU在判断为数据帧是不符合关于发送周期的规则(条件)的事件驱动数据帧后进行特定标识符的验证的例子,但是数据帧中的特定标识符的验证可以在是否符合发送周期的规则的判断之前,或与该判断同时进行。
(2)在上述实施方式中,通过基于消息ID、数据值以及计数值的运算来生成(计算)MAC,但反映数据帧的一部分的内容(即基于一部分的内容)生成MAC即可,可以仅根据数据值生成MAC。另外可以仅根据计数值生成MAC。接收数据帧的ECU中的MAC的验证方式与发送数据帧的ECU对数据帧赋予MAC的方式相对应即可。另外,在赋予MAC的数据帧中,在数据段内除了数据值和MAC之外,还可以包括一部分或全部的计数值。另外,在上述实施方式中,MAC算出的算法采用了HMAC,但也可以是CBC-MAC(CipherBlockChainingMessageAuthenticationCode:密码块链接信息验证码),CMAC(Cipher-basedMAC:基于密文的信息验证码)。另外,对于在MAC计算中所使用的填充(padding),只要是补零、ISO10126、PKCS#1、PKCS#5、PKCS#7等,计算中需要块的数据大小的填充方式即可,可以是任意的。
(3)在上述实施方式中,作为车辆的状态,对行驶中及驻车中这2个状态进行了说明,但也可以对停车中、高速行驶中、低速行驶中、倒车中、发动机停止等各种状态进行区别,并设定各种状态中的作为应该对事件驱动数据帧进行MAC的赋予及验证的条件的车辆的状态。例如,在由不正常的ECU将不正常的数据帧发送到总线上的情况下,与对是不正常的这一情况进行检测的必要性较高的定时相关联地设定作为应进行MAC的赋予及验证的条件的车辆的状态等是有用的。另外,车辆的状态不一定必须基于传动装置4130的状态来判断,也可以通过车辆内的任一ECU发送包括从任一设备取得的传感器值等的数据帧、另外的ECU接收该数据帧来判断车辆的状态。例如,可以通过在ECU之间收发表示与行驶速度有关的信息等的数据帧,接收到该数据帧的各ECU能够基于该数据帧而将处于高速行驶中等判断为车辆的状态。因此,例如发送表示车辆的状态的数据帧的ECU4100c不一定必须与传动装置4130连接。只要各ECU基于接收到的数据帧同样地对车辆的状态进行判断,当某个ECU在处于需要赋予MAC的车辆的状态下赋予MAC并发送数据帧时,接收侧的ECU就能够基于该车辆的状态对需要进行MAC的验证进行识别并进行验证。
(4)在上述实施方式中,对作为用于识别事件驱动数据帧的特定标识符使用事件驱动识别标志、事件计数、MAC的例子分别进行了说明,但也可以对事件驱动识别标志、事件计数及MAC中的2个以上进行组合而使用。例如,接收到数据帧的ECU可以在通过事件驱动识别标志判断为是事件驱动数据帧之后,通过MAC对数据帧的正常性进行验证。此外,虽然关于不是事件驱动数据帧的数据帧也可以赋予特定标识符,但没有赋予的必要。
(5)在上述实施方式中,各ECU发送数据帧,但车载网络系统可以包括仅接收数据帧而不发送数据帧的ECU。并且与此相反,车载网络系统可以包括仅发送数据帧而不接收数据帧的ECU。另外,各ECU不一定进行周期性的数据帧的发送,车载网络系统可以包括仅发送事件驱动数据帧的ECU。
(6)在上述实施方式中,例示了ECU与电动车窗开关或电动车窗连接的结构,但ECU不限于与电动车窗开关及电动车窗连接,也可以与其他设备连接,可以进行该设备的控制,或者从该设备取得状态等。
(7)在上述实施方式中,ECU在检测到不正常的数据帧的情况下,舍弃数据帧,但不一定必须舍弃,也可以在检测到不正常的数据帧的情况下例如发送通知检测到不正常的数据帧,另外,可以例如使该发送的数据帧中包括与不正常的数据帧有关的信息。另外,在检测到不正常的数据帧的情况下,例如,可以进行作为运行记录来记录、或将车辆的动作模式变更为进一步提高安全性的状态等的处理。
(8)在上述实施方式中,在事件驱动数据帧的每次发送以及每次接收时使各ECU的相应的发送计数或接收计数增加1(累加),但对这些计数值的运算不限于增加1。对于这些计数值的运算,可以在数据帧的发送侧和接收侧进行同样的计算,只要是使发送计数与接收计数同步的运算即可。例如,将上次的运算结果作为输入值,将基于预先设定的算法确定出的输出值作为运算结果的运算等。即,ECU可以使下次发送的事件驱动数据帧包括如下的值作为特定标识符,该值是作为基于在上次发送时对事件驱动数据帧赋予的计数等特定标识符(即上次的运算结果)进行了预定的运算的结果而得到的值。
(9)上述实施方式所示的数据帧生成规则及周期规则信息为一例,可以设为与例示的值不同的值。另外,数据帧生成规则或周期规则信息可以在各ECU的出厂时设定,也可以在搭载车载网络系统的车体出厂时设定。另外,数据帧生成规则或周期规则信息也可以基于与外部的通信来设定、可以使用各种记录介质等来设定、也可以通过工具类等来设定。
(10)在上述实施方式中,示出了各ECU具有检测不正常的数据帧的功能的例子,但是可以仅使1台以上的特定的ECU具有该功能。例如车载网络系统由与多个总线分别连接的ECU群构成的情况下,可以仅使作为将各总线连接起来的网关的ECU具备检测不正常的数据帧的功能。另外,例如在车载网络系统包括主机(headunit)的情况下,可以仅使主机具备检测不正常的数据帧的功能,该主机是具备设置于汽车的仪表板等而显示供驾驶员目视确认的信息的液晶显示屏(LCD:liquidcrystaldisplay)等显示装置、受理驾驶员的操作的输入单元等的一种ECU。另外,车载网络系统可以包括具有上述检测不正常的数据帧的功能,对总线进行监视而在检测到不正常的数据帧的情况下发送表示检测到不正常的数据帧这一情况的数据帧等的1台以上的特定的ECU。
(11)在上述实施方式中,示出了按每个消息ID而保持有1个MAC的例子,但也可以按每个ECU而保持1个。另外,不需要使所有的ECU保持有相同的MAC密钥。另外,与同一总线连接的各ECU可以保持有共通的MAC密钥。
(12)在上述实施方式中,按每个发送或接收的数据帧的消息ID而保持有1个发送计数或接收计数,但是也可以相对于多个消息ID保持1个。另外,对于在同一总线上传播的所有数据帧,可以使用相同的计数。
(13)上述实施方式中的、不正常数据帧判断部可以安装于被称为CAN控制器的硬件,或者在与CAN控制器连接而工作的微型计算机上工作的固件。另外,MAC密钥保持部、计数保持部、接收数据帧周期保持部、数据帧接收历史记录保持部可以储存于被称为CAN控制器的硬件的寄存器,或者在与CAN控制器连接而工作的微型计算机上工作的固件。
(14)在上述实施方式中,CAN协议中的数据帧以标准ID格式描述,但也可以是扩展ID格式。在扩展ID格式的情况下,由于标准ID格式中的ID位置的基本ID和扩展ID总计29位来表示ID(消息ID),所以将该29位的ID当作上述实施方式中的ID(消息ID)来处理即可。
(15)上述实施方式所示的CAN协议可以是包括TTCAN(Time-TriggeredCAN:时间触发CAN)、CANFD(CANwithFlexibleDataRate:具有灵活数据传输率的CAN)等派生协议的具有广义含义的CAN协议。
(16)上述实施方式中的各ECU是包括例如,处理器、存储器等的数字电路、模拟电路、通信电路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等其他硬件构成要素。另外,可以取代通过处理器执行在存储器中存储的控制程序来软件上地实现功能,而通过专用的硬件(数字电路等)实现该功能。
(17)构成上述实施方式中的各装置(ECU等)的构成要素的一部分或全部可以由1个系统LSI(LargeScaleIntegration:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI,具体地说,是构成为包括微处理器、ROM、RAM等的计算机系统。在所述RAM中记录有计算机程序。通过所述微处理器按照所述计算机程序工作,系统LSI能够实现其功能。另外,构成上述各装置的构成要素的各部分可以各别地单片化,或者包括一部分或全部地单片化。另外,在此,采用了系统LSI,但根据集成度的不同,也会被称作IC、LSI、超大LSI,特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器实现。可以利用能够在LSI制造后编程的FPGA(FieldProgrammableGateArray:现场可编程门阵列)、能够重构LSI内部的电路单元的连接或设定的可重构处理器。此外,如果出现通过半导体技术的进步或派生的其他技术来置换LSI的集成电路化的技术,当然,也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。
(18)构成上述各装置的构成要素的一部分或全部可以由能够相对于各装置拆装的IC卡或单体的模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块可以包括上述的超多功能LSI。通过使微处理器按照计算机程序工作,所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
(19)作为本公开的一个技术方案,可以是上述所示的不正常检测方法。另外,也可以是通过计算机实现该方法的计算机程序,或者由所述计算机程序构成的数字信号。另外,作为本公开的一个技术方案,可以将所述计算机程序或所述数字信号储存于能够由计算机读取的记录介质,例如,软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是在这些记录介质中记录的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电气通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等来传送。另外,作为本公开的一个技术方案,可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序工作。另外,通过将所述程序或所述数字信号记录于所述记录媒体而移送,或者将所述程序或所述数字信号经由所述网络等移送,可以通过独立的其他计算机系统实施。
(20)通过对在上述实施方式及上述变形例中所示的各构成要素及功能任意地进行组合而实现的形态也包含于本公开的范围。
产业上的可利用性
本公开能够用于在车载网络系统中高效且恰当地对由不正常的ECU向总线上发送了不正常的消息这一情况进行检测。
附图标记说明
10、11、12、13车载网络系统
100a、100b、2100a、2100b、3100a、3100b、4100a、4100b、4100c电子控制单元(ECU)
101数据帧收发部
102、2102、3102、4102数据帧生成部
103、2103、3103、4103数据帧生成规则保持部
104、2104、3104、4104不正常数据帧判断部
105、3105、4105接收数据帧周期保持部
106、2106数据帧接收历史记录保持部
107数据帧处理部
108计时器
109传感器值取得部
110电动车窗开关
120电动车窗
200总线
3110MAC生成部
3111MAC密钥保持部
3112计数保持部
4113车辆状态保持部
4130传动装置

Claims (15)

1.一种不正常检测方法,使用于具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中,该不正常检测方法包括:
接收步骤,接收在所述总线上发送的数据帧;和
验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
2.根据权利要求1所述的不正常检测方法,
所述特定标识符是在所述数据帧的数据段内的预定位置配置且反映该数据帧的内容的消息认证码,
在所述验证步骤中,通过基于该数据帧的内容对不符合所述预定规则的所述数据帧中的所述预定位置的数据是否为所述消息认证码进行判别的预定处理步骤,来进行所述验证。
3.根据权利要求1所述的不正常检测方法,
所述特定标识符是在所述数据帧的数据段内的预定位置配置的预定值,
在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值是否与所述预定值相同进行判别来进行所述验证。
4.根据权利要求1所述的不正常检测方法,
所述特定标识符是在所述数据帧的数据段内的预定位置配置的计数值,
在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与所述计数值是否相同进行判别来进行所述验证,所述计数值反映了在所述接收步骤中接收到不符合所述预定规则的数据帧的次数。
5.根据权利要求1所述的不正常检测方法,
所述接收步骤中的数据帧的接收反复进行,
所述特定标识符是在所述数据帧的数据段内的预定位置配置的、预定运算的结果值,
在所述验证步骤中,通过对在所述接收步骤中接收到的不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与如下的结果值是否相同进行判别来进行所述验证,该结果值是作为基于包括在所述接收步骤中上次接收到的所述特定标识符的数据帧中的该特定标识符来进行了所述预定运算的结果而得到的值。
6.根据权利要求1所述的不正常检测方法,
在所述验证步骤中,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下,仅在搭载所述车载网络系统的车辆的状态为预定状态时,进行针对该数据帧中的特定标识符的所述验证,
所述不正常检测方法中,在所述接收步骤中接收到符合所述预定规则的数据帧的情况下将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证成功时将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证失败时将该数据帧检测为不正常的数据帧。
7.一种不正常检测方法,在具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测的对象的数据帧,该不正常检测方法包括:
赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和
发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。
8.根据权利要求7所述的不正常检测方法,
在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置反映该数据帧的内容的消息认证码作为所述特定标识符来进行所述特定标识符的所述赋予。
9.根据权利要求7所述的不正常检测方法,
在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置预定值作为所述特定标识符来进行所述特定标识符的所述赋予。
10.根据权利要求7所述的不正常检测方法,
在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置计数值作为所述特定标识符来进行所述特定标识符的所述赋予,所述计数值反映了在所述发送步骤中发送了不符合所述预定规则的数据帧的次数。
11.根据权利要求7所述的不正常检测方法,
针对不符合所述预定规则的数据帧的所述发送步骤中的发送及所述赋予步骤中的特定标识符的赋予反复进行,
在所述赋予步骤中,通过在所述发送步骤中的数据帧的发送时在该数据帧的数据段内的预定位置配置如下的值作为特定标识符来进行所述特定标识符的所述赋予,该值是作为基于对在所述发送步骤中上次发送的不符合所述预定规则的数据帧赋予的特定标识符来进行了预定运算的结果而得到的值。
12.根据权利要求7所述的不正常检测方法,
在所述发送步骤中还进行符合所述预定规则的数据帧的发送,
在所述赋予步骤中,在搭载所述车载网络系统的车辆的状态为预定状态的情况下仅在所述发送步骤中发送不符合所述预定规则的数据帧时,向该数据帧中进行特定标识符的所述赋予。
13.一种车载网络系统,具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元,该车载网络系统具备:
第1电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和
第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在由所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
14.一种电子控制单元,按照CAN协议即控制器局域网络协议而经由总线进行通信,该电子控制单元具备:
赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和
发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。
15.一种电子控制单元,按照CAN协议即控制器局域网络协议而经由总线进行通信,该电子控制单元具备:
接收部,其接收在所述总线上发送的数据帧;和
验证部,其在由所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
CN201580001979.7A 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法 Active CN105594156B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010008717.6A CN111181732B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201461990360P 2014-05-08 2014-05-08
US61/990,360 2014-05-08
JP2015032206 2015-02-20
JP2015-032206 2015-02-20
PCT/JP2015/002161 WO2015170451A1 (ja) 2014-05-08 2015-04-21 車載ネットワークシステム、電子制御ユニット及び不正検知方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202010008717.6A Division CN111181732B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法

Publications (2)

Publication Number Publication Date
CN105594156A true CN105594156A (zh) 2016-05-18
CN105594156B CN105594156B (zh) 2020-01-21

Family

ID=54392311

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202010008717.6A Active CN111181732B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法
CN201580001979.7A Active CN105594156B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202010008717.6A Active CN111181732B (zh) 2014-05-08 2015-04-21 车载网络系统、电子控制单元及不正常检测方法

Country Status (5)

Country Link
US (2) US10158717B2 (zh)
EP (1) EP3142289B1 (zh)
JP (2) JP6417407B2 (zh)
CN (2) CN111181732B (zh)
WO (1) WO2015170451A1 (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107707520A (zh) * 2016-08-09 2018-02-16 东芝数字解决方案株式会社 网络监视装置
CN108023833A (zh) * 2016-11-04 2018-05-11 丰田自动车株式会社 车载网络系统
CN108886480A (zh) * 2016-07-05 2018-11-23 松下电器(美国)知识产权公司 异常检测电子控制单元、车载网络系统以及异常检测方法
CN109691029A (zh) * 2016-09-15 2019-04-26 住友电气工业株式会社 检测装置、网关装置、检测方法、以及检测程序
CN109696900A (zh) * 2017-10-23 2019-04-30 北京长城华冠汽车科技股份有限公司 一种测试汽车控制器局域网络报文发送周期的系统和方法
CN110383770A (zh) * 2017-03-23 2019-10-25 株式会社自动网络技术研究所 车载通信装置、计算机程序及消息判定方法
CN111434077A (zh) * 2018-05-23 2020-07-17 松下电器(美国)知识产权公司 通信控制装置、非法检测电子控制单元、移动网络系统、通信控制方法、非法检测方法以及程序
CN111788811A (zh) * 2018-01-29 2020-10-16 耐瑞唯信有限公司 车载电子控制单元之间的安全通信
CN112889259A (zh) * 2019-07-04 2021-06-01 松下电器(美国)知识产权公司 不正常帧检测装置以及不正常帧检测方法
CN112930662A (zh) * 2018-10-17 2021-06-08 日立安斯泰莫株式会社 信息处理装置、管理装置
US11240253B2 (en) * 2014-09-12 2022-02-01 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
CN114503518A (zh) * 2019-11-28 2022-05-13 住友电气工业株式会社 检测装置、车辆、检测方法及检测程序
CN114747182A (zh) * 2019-12-06 2022-07-12 株式会社自动网络技术研究所 判定装置、判定程序和判定方法
WO2024022096A1 (zh) * 2022-07-29 2024-02-01 中国第一汽车股份有限公司 消息加密方法、解密方法、装置及存储介质

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6967097B2 (ja) * 2014-05-08 2021-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、電子制御ユニット及び不正検知方法
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
EP3151462B1 (en) * 2014-05-29 2018-10-24 Panasonic Intellectual Property Management Co., Ltd. Transmission device, reception device, transmission method, and reception method
KR101572935B1 (ko) * 2014-10-02 2015-12-11 현대자동차주식회사 메시지 인증 코드 혼합을 통한 can 패킷 인증 방법 및 그 장치
KR101596753B1 (ko) * 2014-10-02 2016-02-23 현대자동차주식회사 메시지 인증 코드 분할을 통한 순차적 can 패킷 인증 방법 및 그 장치
US10708293B2 (en) 2015-06-29 2020-07-07 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US11165851B2 (en) 2015-06-29 2021-11-02 Argus Cyber Security Ltd. System and method for providing security to a communication network
WO2017013622A1 (en) 2015-07-22 2017-01-26 Arilou Information Security Technologies Ltd. Vehicle communications bus data security
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
US11044260B2 (en) 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
JP2018032977A (ja) * 2016-08-24 2018-03-01 株式会社オートネットワーク技術研究所 送信装置、通信システム、送信方法及びコンピュータプログラム
MX2019003356A (es) 2016-09-23 2019-08-12 Apple Inc Comunicacion segura del trafico de red.
US10567400B2 (en) 2016-09-27 2020-02-18 Fujitsu Limited Attack detection device, attack detection method, and non-transitory computer-readable recording medium
US10630481B2 (en) 2016-11-07 2020-04-21 Ford Global Technologies, Llc Controller area network message authentication
JP6822090B2 (ja) * 2016-11-16 2021-01-27 トヨタ自動車株式会社 通信システム
JP6798280B2 (ja) * 2016-11-29 2020-12-09 富士通株式会社 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム
US11588567B2 (en) * 2016-12-02 2023-02-21 Texas Instruments Incorporated Synchronizing vehicle devices over a controller area network
JP6782444B2 (ja) * 2017-01-18 2020-11-11 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP6846706B2 (ja) * 2017-03-22 2021-03-24 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
DE112017006854T5 (de) 2017-01-18 2019-10-02 Panasonic Intellectual Property Management Co., Ltd. Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
JP6981755B2 (ja) * 2017-01-25 2021-12-17 トヨタ自動車株式会社 車載ネットワークシステム
US10382466B2 (en) * 2017-03-03 2019-08-13 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP2018157463A (ja) * 2017-03-21 2018-10-04 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、通信管理装置、車両制御装置
WO2018198545A1 (ja) * 2017-04-26 2018-11-01 ボッシュ株式会社 Ecu
WO2018207168A1 (en) * 2017-05-10 2018-11-15 Osr Enterprises Ag Security enforcement in a system with a multiplicity of end units
DE112018002549T5 (de) * 2017-05-18 2020-04-09 Bosch Corporation Elektronisches Steuergerät
KR102464430B1 (ko) * 2017-06-27 2022-11-07 현대자동차주식회사 차량 전자 모듈의 통신방법 및 이를 포함하는 차량
JP6891671B2 (ja) 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法
JP7020990B2 (ja) * 2017-07-19 2022-02-16 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載中継装置、中継方法及びプログラム
SG10201705960QA (en) * 2017-07-20 2019-02-27 Huawei Int Pte Ltd System and method for managing secure communications between modules in a controller area network
WO2019021403A1 (ja) 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
WO2019026077A1 (en) 2017-08-02 2019-02-07 Enigmatos Ltd. SYSTEM AND METHOD FOR PREVENTING MALBUSED CAN BUS ATTACKS
KR102272081B1 (ko) * 2017-09-25 2021-07-02 현대모비스 주식회사 자동차 네트워크의 데이터 통신방법
JP7003544B2 (ja) * 2017-09-29 2022-01-20 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
EP3742677B1 (en) * 2018-01-17 2023-07-12 Nippon Telegraph And Telephone Corporation Detection device, detection method, and program
JP7172043B2 (ja) 2018-01-19 2022-11-16 富士通株式会社 攻撃検知装置および攻撃検知方法
JP7119537B2 (ja) * 2018-04-24 2022-08-17 日本電信電話株式会社 検知システムおよび検知方法
JP7046700B2 (ja) * 2018-04-25 2022-04-04 矢崎総業株式会社 通信システム
CN111373701B (zh) * 2018-05-23 2022-05-17 松下电器(美国)知识产权公司 异常检测装置、异常检测系统以及控制方法
WO2019239669A1 (ja) * 2018-06-14 2019-12-19 住友電気工業株式会社 非正規車載装置の検出システム、ハーネスシステム、検出装置、及びコンピュータプログラム
US11711384B2 (en) 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies
CN109286547B (zh) * 2018-08-30 2021-03-23 百度在线网络技术(北京)有限公司 报文处理方法、装置、电子控制单元及可读存储介质
WO2020079874A1 (ja) * 2018-10-18 2020-04-23 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
RU2726884C1 (ru) 2019-02-07 2020-07-16 Акционерное общество "Лаборатория Касперского" Система и способ контроля доступа к кибер-физической системе
JP7147635B2 (ja) * 2019-03-05 2022-10-05 トヨタ自動車株式会社 不正送信データ検知装置
US12069027B2 (en) * 2019-03-22 2024-08-20 Fortinet, Inc. Securing intra-vehicle communications via a controller area network bus system based on behavioral statistical analysis
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
JP7046869B2 (ja) * 2019-06-12 2022-04-04 矢崎総業株式会社 占有率算出装置及び占有率算出方法
JP2021005821A (ja) * 2019-06-27 2021-01-14 矢崎総業株式会社 異常検出装置
US11546353B2 (en) * 2019-07-18 2023-01-03 Toyota Motor North America, Inc. Detection of malicious activity on CAN bus
JP7011637B2 (ja) * 2019-10-17 2022-01-26 本田技研工業株式会社 不正信号検出装置
JP7323046B2 (ja) * 2020-02-26 2023-08-08 日本電信電話株式会社 通信装置、外部装置、通信システム、通信方法及びプログラム
CN111641948B (zh) * 2020-04-30 2023-07-18 深圳精匠云创科技有限公司 边缘计算接入时的注册方法及边缘计算节点装置
US11677582B2 (en) 2020-12-09 2023-06-13 Raytheon Company Detecting anomalies on a controller area network bus
JPWO2022137661A1 (zh) * 2020-12-25 2022-06-30
US11995183B2 (en) * 2021-06-24 2024-05-28 Intel Corporation Context-based response to attacks against autonomous systems
CN117501661A (zh) * 2021-06-24 2024-02-02 住友电气工业株式会社 车载装置、检测装置、发送控制方法以及检测方法
US20230046788A1 (en) * 2021-08-16 2023-02-16 Capital One Services, Llc Systems and methods for resetting an authentication counter

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080288137A1 (en) * 2005-09-16 2008-11-20 Autonetworks Technologies, Ltd. Vehicle-Mounted Load Drive Control System
WO2013065689A1 (ja) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター 通信システムにおけるメッセージ認証方法および通信システム
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
CN103475523A (zh) * 2013-09-10 2013-12-25 浙江大学 带总线错误解析功能的can总线分析系统
CN103580911A (zh) * 2012-07-27 2014-02-12 丰田自动车株式会社 通信系统及通信方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003324459A (ja) * 2002-04-26 2003-11-14 Sumitomo Electric Ind Ltd 通信システム
US8903385B2 (en) * 2003-05-29 2014-12-02 Kyocera Corporation Wireless transmission system
JP4701977B2 (ja) * 2005-10-06 2011-06-15 株式会社デンソー 車載ネットワークの診断システム及び車載制御装置
IL189530A0 (en) * 2007-02-15 2009-02-11 Marvell Software Solutions Isr Method and apparatus for deep packet inspection for network intrusion detection
JP4826609B2 (ja) * 2008-08-29 2011-11-30 トヨタ自動車株式会社 車両用異常解析システム及び車両用異常解析方法
CN101540094B (zh) * 2009-04-27 2011-12-07 天泽信息产业股份有限公司 车载无线传感器系统及其检测方法
CA2754159C (en) * 2009-08-11 2012-05-15 Certusview Technologies, Llc Systems and methods for complex event processing of vehicle-related information
JP2011250110A (ja) * 2010-05-26 2011-12-08 Denso Corp 電子制御装置
FR2962241A1 (fr) * 2010-06-30 2012-01-06 France Telecom Verification de la mise en fonction d'un equipement embarque dans un vehicule
JP5267598B2 (ja) * 2011-02-25 2013-08-21 トヨタ自動車株式会社 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
US8723687B2 (en) * 2011-03-31 2014-05-13 Alex Thomas Advanced vehicle traffic management and control
US9648107B1 (en) * 2011-04-22 2017-05-09 Angel A. Penilla Methods and cloud systems for using connected object state data for informing and alerting connected vehicle drivers of state changes
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5899739B2 (ja) * 2011-09-16 2016-04-06 株式会社リコー 配線基板
CN102638562A (zh) * 2012-02-01 2012-08-15 浙江大学 工程机械车辆联网应用的车载终端通信方法
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US20150244743A1 (en) * 2014-02-21 2015-08-27 Airwatch Llc Risk assessment for managed client devices
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
US9301082B2 (en) * 2013-12-06 2016-03-29 Apple Inc. Mobile device sensor data subscribing and sharing
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080288137A1 (en) * 2005-09-16 2008-11-20 Autonetworks Technologies, Ltd. Vehicle-Mounted Load Drive Control System
WO2013065689A1 (ja) * 2011-10-31 2013-05-10 株式会社トヨタIt開発センター 通信システムにおけるメッセージ認証方法および通信システム
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
CN103580911A (zh) * 2012-07-27 2014-02-12 丰田自动车株式会社 通信系统及通信方法
CN103475523A (zh) * 2013-09-10 2013-12-25 浙江大学 带总线错误解析功能的can总线分析系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHUNG-WEI LIN ; ALBERTO SANGIOVANNI-VINCENTELLI: "Cyber-Security for the Controller Area Network (CAN) Communication Protocol", 《2012 INTERNATIONAL CONFERENCE ON CYBER SECURITY》 *

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11943233B2 (en) 2014-09-12 2024-03-26 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US11240253B2 (en) * 2014-09-12 2022-02-01 Panasonic Intellectual Property Corporation Of America Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
CN108886480A (zh) * 2016-07-05 2018-11-23 松下电器(美国)知识产权公司 异常检测电子控制单元、车载网络系统以及异常检测方法
CN107707520A (zh) * 2016-08-09 2018-02-16 东芝数字解决方案株式会社 网络监视装置
CN107707520B (zh) * 2016-08-09 2020-11-10 东芝数字解决方案株式会社 网络监视装置
CN109691029A (zh) * 2016-09-15 2019-04-26 住友电气工业株式会社 检测装置、网关装置、检测方法、以及检测程序
CN109691029B (zh) * 2016-09-15 2021-10-22 住友电气工业株式会社 检测装置、网关装置和检测方法
CN108023833B (zh) * 2016-11-04 2021-10-29 丰田自动车株式会社 车载网络系统
CN108023833A (zh) * 2016-11-04 2018-05-11 丰田自动车株式会社 车载网络系统
CN110383770A (zh) * 2017-03-23 2019-10-25 株式会社自动网络技术研究所 车载通信装置、计算机程序及消息判定方法
CN109696900A (zh) * 2017-10-23 2019-04-30 北京长城华冠汽车科技股份有限公司 一种测试汽车控制器局域网络报文发送周期的系统和方法
CN111788811B (zh) * 2018-01-29 2022-11-25 耐瑞唯信有限公司 车载电子控制单元之间的安全通信
CN111788811A (zh) * 2018-01-29 2020-10-16 耐瑞唯信有限公司 车载电子控制单元之间的安全通信
US11916924B2 (en) 2018-01-29 2024-02-27 Nagravision S.A. Secure communication between in-vehicle electronic control units
CN111434077A (zh) * 2018-05-23 2020-07-17 松下电器(美国)知识产权公司 通信控制装置、非法检测电子控制单元、移动网络系统、通信控制方法、非法检测方法以及程序
CN111434077B (zh) * 2018-05-23 2023-02-24 松下电器(美国)知识产权公司 通信控制装置、移动网络系统、通信控制方法以及存储介质
CN112930662B (zh) * 2018-10-17 2022-06-10 日立安斯泰莫株式会社 信息处理装置、管理装置
CN112930662A (zh) * 2018-10-17 2021-06-08 日立安斯泰莫株式会社 信息处理装置、管理装置
CN112889259B (zh) * 2019-07-04 2023-08-22 松下电器(美国)知识产权公司 不正常帧检测装置以及不正常帧检测方法
CN112889259A (zh) * 2019-07-04 2021-06-01 松下电器(美国)知识产权公司 不正常帧检测装置以及不正常帧检测方法
CN114503518A (zh) * 2019-11-28 2022-05-13 住友电气工业株式会社 检测装置、车辆、检测方法及检测程序
CN114503518B (zh) * 2019-11-28 2024-01-12 住友电气工业株式会社 检测装置、车辆、检测方法及检测程序
CN114747182A (zh) * 2019-12-06 2022-07-12 株式会社自动网络技术研究所 判定装置、判定程序和判定方法
WO2024022096A1 (zh) * 2022-07-29 2024-02-01 中国第一汽车股份有限公司 消息加密方法、解密方法、装置及存储介质

Also Published As

Publication number Publication date
JP6670354B2 (ja) 2020-03-18
CN105594156B (zh) 2020-01-21
US10158717B2 (en) 2018-12-18
EP3142289B1 (en) 2020-10-07
US20190068715A1 (en) 2019-02-28
JP6417407B2 (ja) 2018-11-07
JP2019024227A (ja) 2019-02-14
EP3142289A4 (en) 2017-05-17
CN111181732B (zh) 2024-10-01
JPWO2015170451A1 (ja) 2017-04-20
US10462226B2 (en) 2019-10-29
WO2015170451A1 (ja) 2015-11-12
EP3142289A1 (en) 2017-03-15
US20160205194A1 (en) 2016-07-14
CN111181732A (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
CN105594156A (zh) 车载网络系统、电子控制单元及不正常检测方法
US11240253B2 (en) Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US12095783B2 (en) Method for sensing fraudulent frames transmitted to in-vehicle network
JP7030046B2 (ja) 不正通信検知方法、不正通信検知システム及びプログラム
JP6494821B2 (ja) 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
US20150172306A1 (en) Method and apparatus for enhancing security in an in-vehicle communication network
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
CN105981336A (zh) 不正常检测电子控制单元、车载网络系统以及不正常检测方法
CN105594155A (zh) 车载网络系统、电子控制单元以及更新处理方法
CN104170326A (zh) 通信装置及通信方法
CN110546921A (zh) 不正当检测方法、不正当检测装置以及程序
CN114731301B (zh) 决定方法、决定系统以及程序记录介质
JP5337861B2 (ja) 車載ゲートウェイ装置
JP6967097B2 (ja) 車載ネットワークシステム、電子制御ユニット及び不正検知方法
CN115580471A (zh) 不正当检测方法、不正当检测装置以及存储介质
JP5892889B2 (ja) 通信制御装置
JP2022017118A (ja) ログ送信制御装置
CN118119921A (zh) 管理装置、管理系统、管理方法及计算机程序
CN116700617A (zh) 轨道系统中设备日志的存储方法、装置、介质及电子设备
CN118219873A (zh) 轨道车辆的充电方法及装置
KR950023112A (ko) 신호단말 버스 점유시간의 예약 방법 및 그 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant