Nothing Special   »   [go: up one dir, main page]

JP2020115620A - Control device and communication system - Google Patents

Control device and communication system Download PDF

Info

Publication number
JP2020115620A
JP2020115620A JP2019006514A JP2019006514A JP2020115620A JP 2020115620 A JP2020115620 A JP 2020115620A JP 2019006514 A JP2019006514 A JP 2019006514A JP 2019006514 A JP2019006514 A JP 2019006514A JP 2020115620 A JP2020115620 A JP 2020115620A
Authority
JP
Japan
Prior art keywords
communication
switch
slave
area
communication area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019006514A
Other languages
Japanese (ja)
Inventor
高橋 健一
Kenichi Takahashi
健一 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tokai Rika Co Ltd
Original Assignee
Tokai Rika Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tokai Rika Co Ltd filed Critical Tokai Rika Co Ltd
Priority to JP2019006514A priority Critical patent/JP2020115620A/en
Publication of JP2020115620A publication Critical patent/JP2020115620A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

To make it possible to appropriately maintain the security of more important masters and slaves in a communication system.SOLUTION: In a communication system including a first communication area including a master and at least one first slave, a second communication area including at least one second slave different from the first slave, and a first switch used for connection and disconnection between the first communication area and the second communication area, and a control device is provided which includes a control unit that controls the first switch on the basis of communication schedule information and communication content information in the communication system.SELECTED DRAWING: Figure 1

Description

本発明は、制御装置及び通信システムに関する。 The present invention relates to a control device and a communication system.

近年、自動車に搭載される通信システムのセキュリティを向上させる様々な技術が開発されている。例えば、以下の特許文献1には、不正な実施者により車載ネットワークに接続された外部通信装置による車載ECU(Electronic Control Unit)へのアクセスを防止するための技術が記載されている。より具体的には、イモビライザ制御によるエンジン又は走行システムの始動や、スマートキー制御によるドアの施錠/開錠のように、正規の実施者の認証を伴う操作が行われない限り、不正なアクセス(以降、「不正アクセス」と呼称する)を目的とする外部通信装置が、車載ECUとの間でセキュリティに関する特定の通信を行えないように制限できる技術が記載されている。 In recent years, various technologies have been developed to improve the security of communication systems mounted on automobiles. For example, Patent Document 1 below describes a technique for preventing access to an in-vehicle ECU (Electronic Control Unit) by an external communication device connected to an in-vehicle network by an unauthorized person. More specifically, unauthorized access (unauthorized access (unlocked) is performed unless an operation involving authentication of a legitimate practitioner is performed, such as starting an engine or traveling system by immobilizer control or locking/unlocking a door by smart key control. Hereinafter, a technique is described in which an external communication device for the purpose of “unauthorized access”) can be restricted so as not to perform specific communication regarding security with the vehicle-mounted ECU.

特開2013−107454号公報JP, 2013-107454, A

しかし、特許文献1に記載の技術等によっては、通信システムにおけるセキュリティを適切に維持することができない場合があった。例えばLIN(Local Interconnect Network)通信のように、マスタ/スレーブ方式により実現される通信システムに対して不正アクセスが行われた場合、通信システム全体、すなわち当該通信システムにおいてより重要なマスタ及びスレーブまでもセキュリティを維持することができなくなる。また、LIN通信のように低速度かつ送受信可能なデータ長の短い通信については、コストが重視されること等によりセキュリティ対策が容易ではない(なお、LIN通信はあくまで一例であり、上記課題はLIN通信のみに該当するものではない点に留意されたい)。 However, depending on the technique described in Patent Document 1, there are cases where it is not possible to appropriately maintain security in the communication system. For example, when an unauthorized access is made to a communication system realized by a master/slave method such as LIN (Local Interconnect Network) communication, even the entire communication system, that is, a master and a slave, which are more important in the communication system, It becomes impossible to maintain security. In addition, security measures are not easy for communication such as LIN communication, which has a low data rate and a short data length that can be transmitted/received, because cost is important (the LIN communication is merely an example, and the above-mentioned problem is LIN. Note that it does not apply only to communications).

そこで、本発明は、上記事情に鑑みてなされたものであり、通信システムにおいて、より重要なマスタ及びスレーブのセキュリティを適切に維持することが可能な、新規かつ改良された制御装置及び通信システムを提供する。 Therefore, the present invention has been made in view of the above circumstances, and provides a new and improved control device and communication system capable of appropriately maintaining security of more important masters and slaves in a communication system. provide.

上記課題を解決するために、本発明のある観点によれば、マスタ及び少なくとも一つの第1のスレーブを含む第1の通信領域と、前記第1のスレーブとは異なる少なくとも一つの第2のスレーブを含む第2の通信領域と、前記第1の通信領域及び前記第2の通信領域間の導通及び遮断に用いられる第1のスイッチと、を含む通信システムについて、前記通信システムにおける通信スケジュール情報及び通信内容情報に基づいて前記第1のスイッチを制御する制御部を備える、制御装置が提供される。 In order to solve the above problems, according to an aspect of the present invention, a first communication area including a master and at least one first slave, and at least one second slave different from the first slave. Communication schedule information in the communication system including a second communication area including a second communication area and a first switch used to connect and disconnect the first communication area and the second communication area. A control device is provided that includes a control unit that controls the first switch based on communication content information.

また、前記通信システムは自動車に搭載され、前記マスタ、前記第1のスレーブ、及び前記第2のスレーブはECU(Electronic Control Unit)により実現されてもよい。 Further, the communication system may be mounted on an automobile, and the master, the first slave, and the second slave may be realized by an ECU (Electronic Control Unit).

また、前記通信システムにおける通信路はシングルワイヤ方式により実現されてもよい。 Further, the communication path in the communication system may be realized by a single wire system.

また、前記制御部は、前記通信スケジュール情報及び前記通信内容情報に基づいて、通信の対象装置が前記第1の通信領域のみに含まれる場合、前記第1のスイッチを制御することで前記第1の通信領域及び前記第2の通信領域間を遮断してもよい。 In addition, the control unit controls the first switch by controlling the first switch when the communication target device is included only in the first communication area based on the communication schedule information and the communication content information. The communication area and the second communication area may be blocked.

また、前記制御部は、前記通信システムにおける通信状況に基づいて、前記通信システムへの不正アクセスの発生、又は前記通信システムにおける不具合の発生を検出した場合、前記第1のスイッチを制御することで前記第1の通信領域及び前記第2の通信領域間を遮断してもよい。 Further, the control unit controls the first switch when detecting an unauthorized access to the communication system or a defect in the communication system based on the communication status in the communication system. You may interrupt|block between the said 1st communication area and the said 2nd communication area.

また、前記第1のスレーブは、前記第2のスレーブよりも高いセキュリティが求められてもよい。 Further, the first slave may be required to have higher security than the second slave.

また、前記第2の通信領域が複数存在する場合、前記通信システムは、複数の前記第2の通信領域間の導通及び遮断に用いられる第2のスイッチをさらに含み、前記制御部は、前記通信スケジュール情報及び前記通信内容情報に基づいて前記第2のスイッチを制御してもよい。 In addition, when there are a plurality of the second communication areas, the communication system further includes a second switch used to connect and disconnect between the plurality of the second communication areas, and the control unit controls the communication. The second switch may be controlled based on the schedule information and the communication content information.

また、上記課題を解決するために、本発明の別の観点によれば、マスタ及び少なくとも一つの第1のスレーブを含む第1の通信領域と、前記第1のスレーブとは異なる少なくとも一つの第2のスレーブを含む第2の通信領域と、前記第1の通信領域及び前記第2の通信領域間の導通及び遮断に用いられる第1のスイッチと、を含む、通信システムが提供される。 In order to solve the above problems, according to another aspect of the present invention, a first communication area including a master and at least one first slave, and at least one first communication area different from the first slave. A communication system is provided that includes a second communication area including two slaves, and a first switch used to connect and disconnect between the first communication area and the second communication area.

以上説明したように本発明によれば、通信システムにおいて、より重要なマスタ及びスレーブのセキュリティを適切に維持することができる。 As described above, according to the present invention, security of more important masters and slaves can be appropriately maintained in a communication system.

本実施形態に係る通信システムの構成例を示すブロック図である。It is a block diagram showing an example of composition of a communication system concerning this embodiment. 本実施形態に係るマスタによるスイッチの制御処理の一例を示すフローチャートである。6 is a flowchart illustrating an example of switch control processing by a master according to the present embodiment. 変形例に係る通信システムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the communication system which concerns on a modification.

以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In this specification and the drawings, constituent elements having substantially the same functional configuration are designated by the same reference numerals, and a duplicate description will be omitted.

<1.構成例>
まず、本発明の一実施形態に係る通信システムの構成例について説明する。図1は、本実施形態に係る通信システム1の構成例を示すブロック図である。
<1. Configuration example>
First, a configuration example of a communication system according to an embodiment of the present invention will be described. FIG. 1 is a block diagram showing a configuration example of a communication system 1 according to this embodiment.

図1に示すように、通信システム1は、マスタ10及び少なくとも一つのスレーブ20(以降、「第1のスレーブ」とも呼称する。図1の例ではスレーブ20a及びスレーブ20b)を含む第1の通信領域50と、第1のスレーブとは異なる少なくとも一つのスレーブ20(以降、「第2のスレーブ」とも呼称する。図1の例ではスレーブ20c〜スレーブ20e)を含む第2の通信領域51と、第1の通信領域50及び第2の通信領域51間の導通及び遮断に用いられるスイッチ30a(第1のスイッチ)と、を含む。 As illustrated in FIG. 1, the communication system 1 includes a master 10 and at least one slave 20 (hereinafter, also referred to as a “first slave”. In the example of FIG. 1, the slave 20a and the slave 20b) include a first communication. A second communication area 51 including an area 50 and at least one slave 20 different from the first slave (hereinafter, also referred to as “second slave”. In the example of FIG. 1, slaves 20c to 20e), The switch 30a (first switch) used for connecting and disconnecting between the first communication area 50 and the second communication area 51.

また図1に示すように、マスタ10及び各スレーブ20はLINバス40に接続し、マスタ/スレーブ方式により実現されるLIN通信を行う。LIN通信では、1つのマスタ10によるスケジューリングに従って通信が行われる。例えば、スレーブ20は、マスタ10の指示がないかぎりデータを送信することはできない。LIN通信では、メッセージフレーム構造がプロトコルにより規定されている。LIN通信におけるメッセージフレーム構造は、マスタタスクとして送信されるヘッダと、スレーブタスクとして送信されるレスポンスとからなり、LINプロトコルでは、ヘッダの送受信とレスポンスの送受信とを交互に繰り返す形で通信メッセージのやり取りがなされる。 Further, as shown in FIG. 1, the master 10 and each slave 20 are connected to a LIN bus 40 to perform LIN communication realized by a master/slave system. In LIN communication, communication is performed according to the scheduling by one master 10. For example, the slave 20 cannot transmit data unless instructed by the master 10. In LIN communication, the message frame structure is defined by the protocol. The message frame structure in LIN communication is composed of a header sent as a master task and a response sent as a slave task. In the LIN protocol, communication of messages is exchanged by alternately repeating header transmission/reception and response transmission/reception. Is done.

マスタ10は、LIN通信を実現するために、通信スケジュールに関する情報(以降、「通信スケジュール情報」と呼称する)及び通信内容に関する情報(以降、「通信内容情報」と呼称する)を保持する。「通信スケジュール情報」とは、各ECU(マスタ10及び各スレーブ20)それぞれが通信を行うタイミングを示す情報である。また、「通信内容情報」とは、各ECUによって通信される信号の内容を示す情報であり、少なくとも通信の対象装置(送信処理を行うECU、及び受信処理を行うECU)を示す情報が含まれる。なお、通信スケジュール情報及び通信内容情報の形式は特に限定されず、本発明が適用される通信システムに応じて適宜変わり得る。 The master 10 holds information regarding a communication schedule (hereinafter referred to as “communication schedule information”) and information regarding communication contents (hereinafter referred to as “communication content information”) in order to implement LIN communication. The “communication schedule information” is information indicating the timing at which each ECU (master 10 and each slave 20) communicates with each other. The “communication content information” is information indicating the content of a signal communicated by each ECU, and includes at least information indicating a communication target device (an ECU that performs a transmission process and an ECU that performs a reception process). .. The formats of the communication schedule information and the communication content information are not particularly limited, and may be changed appropriately according to the communication system to which the present invention is applied.

また、LIN通信が行われる通信システム1における通信路はシングルワイヤ方式により実現される。なお、本実施形態ではLIN通信が用いられる場合を一例として説明するところ、本発明は、他の通信方式に適用されてもよい。例えば、本発明は、同じくマスタ/スレーブ方式により実現されるCXPI(Clock Extension Peripheral Interface)通信等に適用されてもよい。 Further, the communication path in the communication system 1 in which the LIN communication is performed is realized by the single wire system. In the present embodiment, the case where LIN communication is used will be described as an example, but the present invention may be applied to other communication methods. For example, the present invention may be applied to CXPI (Clock Extension Peripheral Interface) communication, which is also realized by a master/slave system.

通信システム1は、自動車に搭載され、マスタ10、第1のスレーブ、及び第2のスレーブはECUにより実現されることを想定しているところ、必ずしもこれに限定されない。例えば、通信システム1は、自動車以外の移動体等に搭載されてもよいし、マスタ10、第1のスレーブ、及び第2のスレーブは、ECU以外の情報処理装置により実現されてもよい。 The communication system 1 is mounted on an automobile, and it is assumed that the master 10, the first slave, and the second slave are realized by an ECU, but the present invention is not limited to this. For example, the communication system 1 may be mounted on a moving body other than an automobile, and the master 10, the first slave, and the second slave may be realized by an information processing device other than the ECU.

通信システム1においては、より高いセキュリティが求められる領域とそうでない領域が定義される。より具体的には、第1の通信領域50がより高いセキュリティが求められる領域として定義され、第2の通信領域51がそうでない領域として定義される。すなわち、第1の通信領域50に含まれるマスタ10及び第1のスレーブは、第2の通信領域51に含まれる第2のスレーブよりも高いセキュリティが求められる。第1のスレーブを実現するECUは、例えば処理に個人情報を用いる装置であったり、ユーザによる自動車の運転や自動車の走行に関する機能(例えば、ワイパーやパワーウィンドウに関する機能等を含む)を実現する装置であったりする。反対に、第2のスレーブを実現するECUは、処理に個人情報を用いない装置であったり、ユーザによる自動車の運転や自動車の走行とは関連の低い機能(例えば、オーディオや空調に関する機能等を含む)を実現する装置であったりする。なお、上記はあくまで一例であり、各ECUが実現する機能は特に限定されない。 In the communication system 1, a region requiring higher security and a region not requiring higher security are defined. More specifically, the first communication area 50 is defined as an area for which higher security is required, and the second communication area 51 is defined as an area that does not. That is, the master 10 and the first slave included in the first communication area 50 are required to have higher security than the second slave included in the second communication area 51. The ECU that realizes the first slave is, for example, a device that uses personal information for processing, or a device that realizes a function related to a user driving a car or running a car (for example, including a function related to a wiper or a power window). It is. On the other hand, the ECU that realizes the second slave is a device that does not use personal information for processing, or has a function (such as a function related to audio or air conditioning) that is not related to driving a car by a user or running a car. It is a device that realizes (including). Note that the above is merely an example, and the function realized by each ECU is not particularly limited.

マスタ10は、本実施形態において制御装置として機能する構成であり、図1に示すようにマイコン11と、トランシーバ12と、を含む。マイコン11は、本実施形態において制御部として機能する構成であり、通信システム1全体の通信を制御する。より具体的に説明すると、マイコン11には、通信回路(図示なし)と、CPU(Central Processing Unit)(図示なし)と、メモリ(図示なし)が実装され、マイコン11は、これらの構成を用いて通信システム1における通信スケジュール及び通信内容を管理する。トランシーバ12は、LINバス40に接続され、通信ドライバによる制御によって、通信回路からのメッセージ等のデータをLINバス40に送信するとともに、LINバス40からメッセージ等のデータを受信し、通信回路に入力する。トランシーバ12は、入力電圧、信号の振幅、及び省電力のためのスリープ、ウェイクアップの制御を行う。 The master 10 has a configuration that functions as a control device in this embodiment, and includes a microcomputer 11 and a transceiver 12 as shown in FIG. The microcomputer 11 has a configuration that functions as a control unit in this embodiment, and controls the communication of the entire communication system 1. More specifically, a communication circuit (not shown), a CPU (Central Processing Unit) (not shown), and a memory (not shown) are mounted on the microcomputer 11, and the microcomputer 11 uses these configurations. It manages the communication schedule and communication contents in the communication system 1. The transceiver 12 is connected to the LIN bus 40, transmits data such as a message from the communication circuit to the LIN bus 40 under the control of the communication driver, receives data such as a message from the LIN bus 40, and inputs the data to the communication circuit. To do. The transceiver 12 controls input voltage, signal amplitude, and sleep and wakeup for power saving.

本実施形態において、マイコン11(制御部)は、通信システム1における通信スケジュール情報及び通信内容情報に基づいてスイッチ30a(第1のスイッチ)を制御する。より具体的に説明すると、マイコン11は、通信が発生しない場合にはスイッチ30aを制御することで第1の通信領域50及び第2の通信領域51間を遮断しておく。そして、マイコン11は、通信スケジュール情報及び通信内容情報に基づいて、通信が発生し、かつ通信の対象装置が第1の通信領域50のみに含まれる場合、スイッチ30aを制御することで第1の通信領域50及び第2の通信領域51間を遮断したままの状態にする。一方、通信の対象装置が第1の通信領域50だけでなく第2の通信領域51にも含まれる場合、マイコン11は、スイッチ30aを制御することで第1の通信領域50及び第2の通信領域51間を導通させる。 In the present embodiment, the microcomputer 11 (control unit) controls the switch 30a (first switch) based on the communication schedule information and the communication content information in the communication system 1. More specifically, the microcomputer 11 disconnects the first communication area 50 and the second communication area 51 by controlling the switch 30a when communication does not occur. Then, the microcomputer 11 controls the switch 30a when the communication occurs and the target device of the communication is included only in the first communication region 50 based on the communication schedule information and the communication content information. The communication area 50 and the second communication area 51 are kept in a disconnected state. On the other hand, when the communication target device is included not only in the first communication area 50 but also in the second communication area 51, the microcomputer 11 controls the switch 30a to control the first communication area 50 and the second communication area. The regions 51 are electrically connected.

これによって、通信システム1は、より重要な領域へ不正アクセスが行われる可能性を低減させることができる。より具体的には、仮に第2の通信領域51に対して不正アクセスが行われたとしても、通信システム1は、第1の通信領域50に含まれるECU(マスタ10及び第1のスレーブ)のセキュリティを維持することができる。ここで「不正アクセス」とは、例えば、ECUの改ざん、ECUのなりすまし、DOS攻撃、又は不正な情報取得等を含むところ、必ずしもこれらに限定されない。例えば、第2の通信領域51に、正常なスレーブ20になりすました不正なECUが接続された場合や、第2の通信領域51に含まれるスレーブ20が改ざんされた場合でも、通信システム1は、第1の通信領域50で通信される情報の漏洩を防止することができる。また、第2の通信領域51に対してDOS攻撃が行われた場合でも、通信システム1は、第1の通信領域50における通信を正常に維持することができる。 Thereby, the communication system 1 can reduce the possibility of unauthorized access to a more important area. More specifically, even if an unauthorized access is made to the second communication area 51, the communication system 1 does not operate the ECUs (master 10 and first slave) included in the first communication area 50. Security can be maintained. Here, “unauthorized access” includes, for example, falsification of ECU, spoofing of ECU, DOS attack, unauthorized acquisition of information, etc., but is not necessarily limited to these. For example, even when an unauthorized ECU that impersonates the normal slave 20 is connected to the second communication area 51, or even if the slave 20 included in the second communication area 51 is tampered with, the communication system 1 It is possible to prevent the leakage of information communicated in the first communication area 50. Further, even when a DOS attack is performed on the second communication area 51, the communication system 1 can normally maintain the communication in the first communication area 50.

また、第1の通信領域50と第2の通信領域51とをスイッチ30によって遮断することができるため、セキュリティ対策が第1の通信領域50に重点的に施され、第2の通信領域51に施されなかったとしても一定の効果を期待することができる。例えば、第1の通信領域50におけるLINバス40のみを硬質の被覆(例えば、金属により形成される被覆等)により保護することで、通信システム1は、被覆が剥かれてLINバス40に不正な装置が接続され情報取得が行われることを防ぐことができる。 Further, since the first communication area 50 and the second communication area 51 can be cut off by the switch 30, security measures are focused on the first communication area 50, and the second communication area 51 is Even if it is not applied, a certain effect can be expected. For example, by protecting only the LIN bus 40 in the first communication area 50 with a hard coating (for example, a coating formed of metal), the communication system 1 peels off the coating and improperly protects the LIN bus 40. It is possible to prevent the device from being connected and the information acquisition being performed.

また、マイコン11(制御部)は、通信システム1における通信状況に基づいて、通信システム1への不正アクセス、又は通信システム1における不具合(例えば、断線やショート等)の発生を検出した場合、スイッチ30a(第1のスイッチ)を制御することで第1の通信領域50及び第2の通信領域51間を遮断してもよい。例えば、マイコン11は、通信スケジュール情報に基づいてスレーブ20に対してヘッダを送信しても、当該スレーブ20からのレスポンスが受信されない場合(又は、このような状況が何回か続いた場合)、通信システム1への不正アクセス、又は通信システム1における不具合が発生したと判定し、第1の通信領域50及び第2の通信領域51間を遮断してもよい。また、マイコン11は、LINバス40上の通信量をモニタしておき、通信量が過剰に増加した場合には不正アクセス(例えば、DOS攻撃等)が発生したと判定し、第1の通信領域50及び第2の通信領域51間を遮断してもよい。また、通信システム1への不正アクセス、又は通信システム1における不具合の発生が検出された後の通信において、マイコン11は、これらが検出された領域とそうでない領域とを遮断し続けてもよい。これによって、例えば不正アクセスの検出後に、不正アクセスが検出された領域とそうでない領域とが導通し影響範囲が拡大することを防止することができる。 Further, when the microcomputer 11 (control unit) detects an unauthorized access to the communication system 1 or a malfunction (for example, disconnection or short circuit) in the communication system 1 based on the communication status in the communication system 1, the switch You may interrupt|block between the 1st communication area 50 and the 2nd communication area 51 by controlling 30a (1st switch). For example, if the microcomputer 11 sends a header to the slave 20 based on the communication schedule information but does not receive a response from the slave 20 (or if such a situation continues for several times), It may be determined that an unauthorized access to the communication system 1 or a malfunction has occurred in the communication system 1, and the first communication area 50 and the second communication area 51 may be cut off. Further, the microcomputer 11 monitors the communication amount on the LIN bus 40, determines that an unauthorized access (for example, DOS attack) has occurred when the communication amount excessively increases, and determines the first communication area. You may cut off between 50 and the 2nd communication area 51. Further, in the communication after the unauthorized access to the communication system 1 or the occurrence of the malfunction in the communication system 1 is detected, the microcomputer 11 may continue to block the area where these are detected and the area where they are not detected. Thereby, for example, after the unauthorized access is detected, it is possible to prevent the area where the unauthorized access is detected and the area where the unauthorized access is not conducted from being electrically connected to each other and the influence range from being expanded.

なお、マイコン11(制御部)によるスイッチ30a(第1のスイッチ)の制御方法は特に限定されない。例えば、マイコン11は、スイッチ30aとLINバス40以外の通信路で接続されており、所定の信号をスイッチ30aに対して送信することでスイッチ30aのON/OFFを制御できてもよい。これによって、マイコン11は、LIN通信に影響されることなく所望のタイミングでスイッチ30aのON/OFFを制御することができる。また、マイコン11は、スイッチ30aとLINバス40による接続されており(例えば、スレーブ20がスイッチ30aとして機能する等)、LIN通信を用いてスイッチ30aのON/OFFを制御できてもよい。 The method of controlling the switch 30a (first switch) by the microcomputer 11 (control unit) is not particularly limited. For example, the microcomputer 11 may be connected to the switch 30a via a communication path other than the LIN bus 40, and may control ON/OFF of the switch 30a by transmitting a predetermined signal to the switch 30a. Thereby, the microcomputer 11 can control the ON/OFF of the switch 30a at a desired timing without being affected by the LIN communication. The microcomputer 11 may be connected to the switch 30a by the LIN bus 40 (for example, the slave 20 functions as the switch 30a), and may be capable of controlling ON/OFF of the switch 30a using LIN communication.

また、上記では、マスタ10のマイコン11(制御部)がスイッチ30a(第1のスイッチ)を制御する場合を一例として説明したが、必ずしもこれに限定されない。より具体的には、スイッチ30aは、ユーザからの入力により制御されてもよい。例えば、スイッチ30aは、ユーザが手動で操作可能な物理スイッチであってもよい。これによって、機能が正常に動作しない等の異常の発生にユーザが気づいた場合、ユーザはスイッチ30aを手動で操作することで強制的に第1の通信領域50と第2の通信領域51とを遮断することができる。これによって、例えばマイコン11が不正アクセスや不具合の発生を検出できていない場合でも、ユーザは、その影響を受ける領域を最小に抑えることができる。 Moreover, although the case where the microcomputer 11 (control unit) of the master 10 controls the switch 30a (first switch) has been described above as an example, the present invention is not limited to this. More specifically, the switch 30a may be controlled by an input from the user. For example, the switch 30a may be a physical switch that can be manually operated by the user. As a result, when the user notices the occurrence of an abnormality such as a malfunction of the function, the user manually operates the switch 30a to forcibly switch the first communication area 50 and the second communication area 51. Can be shut off. This allows the user to minimize the affected area even if the microcomputer 11 has not detected an unauthorized access or a failure.

また、マスタ10ではなくスレーブ20がスイッチ30aを制御してもよい。例えば、複数のスレーブ20のうちのいずれかが、マスタ10からのヘッダの受信間隔の遅れに基づいて不正アクセスを検出した場合に(不正アクセスの検出方法はこれに限定されない)、スイッチ30aを制御することで第1の通信領域50と第2の通信領域51とを遮断することができてもよい。スレーブ20がスイッチ30aを制御する方法はマスタ10と同様であり得る。例えば、各スレーブ20は、スイッチ30aとLINバス40以外の通信路で接続されており、所定の信号をスイッチ30aに対して送信することでスイッチ30aのON/OFFを制御できてもよい。なお、スレーブ20の構成は特に限定されず、例えばマスタ10と同様の構成であり得る。 Further, the slave 20 may control the switch 30a instead of the master 10. For example, when any of the plurality of slaves 20 detects an unauthorized access based on the delay of the reception interval of the header from the master 10 (the unauthorized access detection method is not limited to this), the switch 30a is controlled. By doing so, it may be possible to block the first communication area 50 and the second communication area 51. The method by which the slave 20 controls the switch 30a may be similar to that by the master 10. For example, each slave 20 may be connected to the switch 30a via a communication path other than the LIN bus 40, and ON/OFF of the switch 30a may be controlled by transmitting a predetermined signal to the switch 30a. The configuration of the slave 20 is not particularly limited, and may be the same as that of the master 10, for example.

<2.処理フロー例>
上記では、本実施形態に係る通信システム1の構成例について説明した。続いて、図2を参照して、マスタ10の処理フロー例について説明する。図2は、マスタ10によるスイッチ30aの制御処理の一例を示すフローチャートである。
<2. Process flow example>
The configuration example of the communication system 1 according to the present embodiment has been described above. Subsequently, an example of the processing flow of the master 10 will be described with reference to FIG. FIG. 2 is a flowchart showing an example of control processing of the switch 30a by the master 10.

ステップS1000では、マイコン11(制御部)が通信スケジュール情報に基づいて、いずれかの装置(ECU)による通信が行われるか否かを判定する。いずれかの装置による通信が行われる場合(ステップS1000/Yes)、ステップS1004にて、マイコン11は、通信内容情報に基づいて、通信の対象装置が第1の通信領域50のみに含まれるか否かを判定する。 In step S1000, the microcomputer 11 (control unit) determines, based on the communication schedule information, whether any device (ECU) performs communication. When communication is performed by any device (step S1000/Yes), in step S1004, the microcomputer 11 determines whether the communication target device is included only in the first communication area 50 based on the communication content information. Determine whether.

通信の対象装置が第1の通信領域50のみに含まれない、すなわち通信の対象装置が第2の通信領域51にも含まれる場合(ステップS1004/No)、ステップS1008にて、マイコン11は、スイッチ30aを「ON」にすることで、第1の通信領域50及び第2の通信領域51間を導通させる。 When the communication target device is not included only in the first communication area 50, that is, when the communication target device is also included in the second communication area 51 (step S1004/No), in step S1008, the microcomputer 11 By turning on the switch 30a, the first communication area 50 and the second communication area 51 are electrically connected.

ステップS1000にて、いずれかの装置による通信が行われない場合(ステップS1000/No)、又は通信の対象装置が第1の通信領域50のみに含まれる場合(ステップS1004/Yes)、ステップS1012にて、マイコン11は、スイッチ30aを「OFF」にすることで、第1の通信領域50及び第2の通信領域51間を遮断する。 In step S1000, if communication by any device is not performed (step S1000/No), or if the communication target device is included only in the first communication area 50 (step S1004/Yes), the process proceeds to step S1012. Then, the microcomputer 11 turns off the switch 30a to disconnect between the first communication area 50 and the second communication area 51.

マイコン11は、上記の処理を繰り返すことで、スイッチ30aを適切に制御し、通信システム1における第1の通信領域50のセキュリティを維持することができる。 The microcomputer 11 can appropriately control the switch 30a and maintain the security of the first communication area 50 in the communication system 1 by repeating the above processing.

<3.変形例>
上記では、マスタ10の処理フロー例について説明した。続いて、本実施形態の変形例について説明する。
<3. Modification>
The example of the processing flow of the master 10 has been described above. Next, a modified example of this embodiment will be described.

変形例に係る通信システム1においては、第2の通信領域51が複数存在し、複数の第2の通信領域51間の導通及び遮断に用いられる第2のスイッチが含まれ、マイコン11(制御部)は、通信スケジュール情報及び通信内容情報に基づいて第1のスイッチだけでなく第2のスイッチも制御する。 In the communication system 1 according to the modified example, there are a plurality of second communication areas 51, and a second switch used to connect and disconnect between the plurality of second communication areas 51 is included. ) Controls not only the first switch but also the second switch based on the communication schedule information and the communication content information.

図3は、変形例に係る通信システム1の構成例を示すブロック図である。図3に示すように、変形例に係る通信システム1は、スレーブ20c及びスレーブ20dを含む第2の通信領域51aと、スレーブ20eを含む第2の通信領域51bと、を含み、さらにこれらの第2の通信領域51間の導通及び遮断に用いられるスイッチ30b(第2のスイッチ)を含む。なお、変形例に係る通信システム1の構成例は図3の例に限定されない。例えば、第2の通信領域51の数は特に限定されない(もちろん、第2のスイッチの数は第2の通信領域51の数に応じて決まる)。 FIG. 3 is a block diagram showing a configuration example of the communication system 1 according to the modification. As shown in FIG. 3, the communication system 1 according to the modified example includes a second communication area 51a including the slaves 20c and 20d and a second communication area 51b including the slave 20e, and further, these It includes a switch 30b (second switch) used to connect and disconnect between the two communication areas 51. The configuration example of the communication system 1 according to the modification is not limited to the example of FIG. For example, the number of second communication areas 51 is not particularly limited (of course, the number of second switches is determined according to the number of second communication areas 51).

このように第2の通信領域51が複数存在する場合、各第2の通信領域51は、第1の通信領域50の近くに位置するものほど、より高いセキュリティが求められる領域として定義される。すなわち図3の例では、第2の通信領域51aの方が第2の通信領域51bよりも高いセキュリティが求められる。 When there are a plurality of second communication areas 51 in this way, each second communication area 51 is defined as an area for which higher security is required, as it is closer to the first communication area 50. That is, in the example of FIG. 3, the second communication area 51a is required to have higher security than the second communication area 51b.

上記のとおり、変形例に係るマイコン11(制御部)は、通信スケジュール情報及び通信内容情報に基づいて、第1のスイッチだけでなく第2のスイッチも制御する。より具体的に説明すると、マイコン11は、通信が発生しない場合にはスイッチ30a(第1のスイッチ)、及びスイッチ30b(第2のスイッチ)を制御することで第1の通信領域50及び第2の通信領域51a間と、第2の通信領域51a及び第2の通信領域51b間を遮断しておく。そして、マイコン11は、通信スケジュール情報及び通信内容情報に基づいて、通信が発生し、かつ通信の対象装置が第1の通信領域50のみに含まれる場合、スイッチ30aを制御することで第1の通信領域50及び第2の通信領域51a間を遮断したままの状態にする。そして、通信の対象装置が第2の通信領域51aにも含まれる場合、マイコン11は、スイッチ30aを制御することで第1の通信領域50及び第2の通信領域51a間を導通させつつ、スイッチ30bを制御することで第2の通信領域51a及び第2の通信領域51b間を遮断したままの状態にする。さらに、通信の対象装置が第2の通信領域51bにも含まれる場合、マイコン11は、スイッチ30bを制御することで第2の通信領域51a及び第2の通信領域51b間を導通させる。このように、マイコン11は、第1の通信領域50の近くに配置されたスイッチ30から順に必要なだけ導通させていくことで、通信システム1におけるより重要な領域に対して不正アクセスが行われる可能性を低減させることができる。換言すると、マイコン11は、不正アクセスが行われた際に影響を受ける領域を最小に抑えることができる。 As described above, the microcomputer 11 (control unit) according to the modification controls not only the first switch but also the second switch based on the communication schedule information and the communication content information. More specifically, the microcomputer 11 controls the switch 30a (first switch) and the switch 30b (second switch) when communication does not occur, so that the first communication area 50 and the second communication area 50 The communication areas 51a are blocked from each other and the second communication area 51a and the second communication area 51b are blocked from each other. Then, the microcomputer 11 controls the switch 30a when the communication occurs and the target device of the communication is included only in the first communication region 50 based on the communication schedule information and the communication content information. The communication area 50 and the second communication area 51a are kept in a disconnected state. When the communication target device is also included in the second communication area 51a, the microcomputer 11 controls the switch 30a to electrically connect the first communication area 50 and the second communication area 51a, and to switch the switch. By controlling 30b, the second communication area 51a and the second communication area 51b are kept in a disconnected state. Further, when the communication target device is also included in the second communication area 51b, the microcomputer 11 controls the switch 30b to establish conduction between the second communication area 51a and the second communication area 51b. In this way, the microcomputer 11 sequentially conducts the switches 30 arranged in the vicinity of the first communication area 50 from the switch 30 as needed, thereby performing unauthorized access to a more important area in the communication system 1. The possibility can be reduced. In other words, the microcomputer 11 can minimize the area affected by the unauthorized access.

なお変形例においても、マイコン11(制御部)は、通信システム1への不正アクセス、又は通信システム1における不具合の発生を検出した場合、スイッチ30a(第1のスイッチ)、又はスイッチ30b(第2のスイッチ)を制御することで第1の通信領域50及び第2の通信領域51a間、又は第2の通信領域51a及び第2の通信領域51b間を遮断してもよい。また、変形例においても、スイッチ30a(第1のスイッチ)、又はスイッチ30b(第2のスイッチ)は、ユーザが手動により操作可能な物理スイッチであってもよいし、マスタ10ではなくスレーブ20がスイッチ30a(第1のスイッチ)、又はスイッチ30b(第2のスイッチ)を制御してもよい。 Also in the modification, when the microcomputer 11 (control unit) detects an unauthorized access to the communication system 1 or a malfunction in the communication system 1, the switch 30a (first switch) or the switch 30b (second switch) is detected. It is also possible to cut off between the first communication area 50 and the second communication area 51a or between the second communication area 51a and the second communication area 51b by controlling the switch). Also in the modification, the switch 30a (first switch) or the switch 30b (second switch) may be a physical switch that can be manually operated by the user, or the slave 20 may be used instead of the master 10. The switch 30a (first switch) or the switch 30b (second switch) may be controlled.

以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。 The preferred embodiments of the present invention have been described above in detail with reference to the accompanying drawings, but the present invention is not limited to these examples. It is obvious that a person having ordinary knowledge in the technical field to which the present invention pertains can come up with various changes or modifications within the scope of the technical idea described in the claims. Of course, it is understood that these also belong to the technical scope of the present invention.

例えば、上記では、シングルワイヤ方式により実現されるLIN通信に本開示が適用される場合を一例として説明してきたところ、本開示の適用対象は、必ずしもシングルワイヤ方式の通信に限定されない。より具体的には、本開示は、第1の通信領域50及び第2の通信領域51のように、ネットワーク全体を複数の領域に区切ることが可能な有線通信であれば適用可能である点に留意されたい。 For example, the case where the present disclosure is applied to the LIN communication realized by the single wire system has been described above as an example, but the application target of the present disclosure is not necessarily limited to the single wire system communication. More specifically, the present disclosure is applicable to any wire communication such as the first communication area 50 and the second communication area 51 that can divide the entire network into a plurality of areas. Please note.

1 通信システム、10 マスタ(制御装置)、11 マイコン(制御部)、12 トランシーバ、20 スレーブ(第1のスレーブ、第2のスレーブ)、30 スイッチ(第1のスイッチ、第2のスイッチ)、40 LINバス、50 第1の通信領域、51 第2の通信領域
1 Communication System, 10 Master (Control Device), 11 Microcomputer (Control Unit), 12 Transceiver, 20 Slave (First Slave, Second Slave), 30 Switch (First Switch, Second Switch), 40 LIN bus, 50 first communication area, 51 second communication area

Claims (8)

マスタ及び少なくとも一つの第1のスレーブを含む第1の通信領域と、前記第1のスレーブとは異なる少なくとも一つの第2のスレーブを含む第2の通信領域と、前記第1の通信領域及び前記第2の通信領域間の導通及び遮断に用いられる第1のスイッチと、を含む通信システムについて、
前記通信システムにおける通信スケジュール情報及び通信内容情報に基づいて前記第1のスイッチを制御する制御部を備える、
制御装置。
A first communication area including a master and at least one first slave; a second communication area including at least one second slave different from the first slave; the first communication area and the A communication system including a first switch used for connection and disconnection between second communication areas,
A control unit that controls the first switch based on communication schedule information and communication content information in the communication system;
Control device.
前記通信システムは自動車に搭載され、
前記マスタ、前記第1のスレーブ、及び前記第2のスレーブはECU(Electronic Control Unit)により実現される、
請求項1に記載の制御装置。
The communication system is installed in an automobile,
The master, the first slave, and the second slave are realized by an ECU (Electronic Control Unit).
The control device according to claim 1.
前記通信システムにおける通信路はシングルワイヤ方式により実現される、
請求項1又は2に記載の制御装置。
The communication path in the communication system is realized by a single wire system,
The control device according to claim 1.
前記制御部は、前記通信スケジュール情報及び前記通信内容情報に基づいて、通信の対象装置が前記第1の通信領域のみに含まれる場合、前記第1のスイッチを制御することで前記第1の通信領域及び前記第2の通信領域間を遮断する、
請求項1から3のいずれか1項に記載の制御装置。
Based on the communication schedule information and the communication content information, the control unit controls the first switch by controlling the first switch when the communication target device is included only in the first communication area. Disconnecting the area and the second communication area,
The control device according to any one of claims 1 to 3.
前記制御部は、前記通信システムにおける通信状況に基づいて、前記通信システムへの不正アクセスの発生、又は前記通信システムにおける不具合の発生を検出した場合、前記第1のスイッチを制御することで前記第1の通信領域及び前記第2の通信領域間を遮断する、
請求項1から4のいずれか1項に記載の制御装置。
The control unit controls the first switch to detect the occurrence of unauthorized access to the communication system or the occurrence of a defect in the communication system based on the communication status in the communication system. Disconnecting between the first communication area and the second communication area,
The control device according to any one of claims 1 to 4.
前記第1のスレーブは、前記第2のスレーブよりも高いセキュリティが求められる、
請求項1から5のいずれか1項に記載の制御装置。
The first slave requires higher security than the second slave,
The control device according to any one of claims 1 to 5.
前記第2の通信領域が複数存在する場合、前記通信システムは、複数の前記第2の通信領域間の導通及び遮断に用いられる第2のスイッチをさらに含み、
前記制御部は、前記通信スケジュール情報及び前記通信内容情報に基づいて前記第2のスイッチを制御する、
請求項1から6のいずれか1項に記載の制御装置。
When there are a plurality of the second communication areas, the communication system further includes a second switch used to connect and disconnect the plurality of second communication areas,
The control unit controls the second switch based on the communication schedule information and the communication content information,
The control device according to any one of claims 1 to 6.
マスタ及び少なくとも一つの第1のスレーブを含む第1の通信領域と、
前記第1のスレーブとは異なる少なくとも一つの第2のスレーブを含む第2の通信領域と、
前記第1の通信領域及び前記第2の通信領域間の導通及び遮断に用いられる第1のスイッチと、を含む、
通信システム。

A first communication area including a master and at least one first slave;
A second communication area including at least one second slave different from the first slave;
A first switch used for connecting and disconnecting between the first communication area and the second communication area,
Communications system.

JP2019006514A 2019-01-18 2019-01-18 Control device and communication system Pending JP2020115620A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019006514A JP2020115620A (en) 2019-01-18 2019-01-18 Control device and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019006514A JP2020115620A (en) 2019-01-18 2019-01-18 Control device and communication system

Publications (1)

Publication Number Publication Date
JP2020115620A true JP2020115620A (en) 2020-07-30

Family

ID=71778779

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019006514A Pending JP2020115620A (en) 2019-01-18 2019-01-18 Control device and communication system

Country Status (1)

Country Link
JP (1) JP2020115620A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022102397A1 (en) * 2020-11-11 2022-05-19 株式会社オートネットワーク技術研究所 Vehicle-mounted device, management device, abnormality determination method, and abnormality determination program
WO2024161921A1 (en) * 2023-01-30 2024-08-08 株式会社デンソー Time-synchronized communication system, relay node, and message transfer control program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1282273A1 (en) * 2001-08-03 2003-02-05 Finmek Magneti Marelli Sistemi Elettronici S.p.A. A system for the controlled exclusion of branches of a serial communication network in an electronic control system for onboard devices of motor vehicles
US20060190648A1 (en) * 2005-02-16 2006-08-24 Markus Larisch Secure local network
JP2013107454A (en) * 2011-11-18 2013-06-06 Denso Corp Onboard relay device
JP2015076697A (en) * 2013-10-08 2015-04-20 矢崎総業株式会社 Relay terminal for communication network system and communication network system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1282273A1 (en) * 2001-08-03 2003-02-05 Finmek Magneti Marelli Sistemi Elettronici S.p.A. A system for the controlled exclusion of branches of a serial communication network in an electronic control system for onboard devices of motor vehicles
US20060190648A1 (en) * 2005-02-16 2006-08-24 Markus Larisch Secure local network
JP2013107454A (en) * 2011-11-18 2013-06-06 Denso Corp Onboard relay device
JP2015076697A (en) * 2013-10-08 2015-04-20 矢崎総業株式会社 Relay terminal for communication network system and communication network system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022102397A1 (en) * 2020-11-11 2022-05-19 株式会社オートネットワーク技術研究所 Vehicle-mounted device, management device, abnormality determination method, and abnormality determination program
JP7528731B2 (en) 2020-11-11 2024-08-06 株式会社オートネットワーク技術研究所 On-board device, management device, abnormality determination method, and abnormality determination program
WO2024161921A1 (en) * 2023-01-30 2024-08-08 株式会社デンソー Time-synchronized communication system, relay node, and message transfer control program

Similar Documents

Publication Publication Date Title
EP3166256B1 (en) On-vehicle gateway apparatus and communication system for vehicle
Wolf et al. Security in automotive bus systems
Fröschle et al. Analyzing the capabilities of the CAN attacker
KR101393539B1 (en) Integrated network system for vehicle
WO2016185514A1 (en) Attack detection device
WO2014034345A1 (en) Vehicle control system, and vehicular electronic control unit
US12118083B2 (en) System and method for detection and prevention of cyber attacks at in-vehicle networks
JP6586500B2 (en) Method and apparatus for transmitting message sequences over a data bus and method and apparatus for recognizing attacks on message sequences thus transmitted
JP2020115620A (en) Control device and communication system
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
EP3761568B1 (en) Method of controlling communication over a local interconnect network bus
JP6369334B2 (en) In-vehicle network
JP2009302783A (en) Failure detecting method and failure detection system of communication network
Groza et al. Designing security for in-vehicle networks: a Body Control Module (BCM) centered viewpoint
WO2019044174A1 (en) Monitoring device, monitoring system, and computer program
CN113428212A (en) Vehicle control device
CN105599709A (en) Safety device and method applied to automobile bus system
Liu et al. Source identification from in-vehicle can-fd signaling: what can we expect?
JP6337783B2 (en) In-vehicle network system
CN109167712B (en) Vehicle network topology
CN210149261U (en) Vehicle-mounted intelligent electronic system
WO2024106222A1 (en) Relay device, unauthorized frame detection method, and in-vehicle device
Galletti CANguru: a reliable intrusion detection system for CAN and CAN FD networks
Baek et al. Adaptive and Lightweight Cyber-Attack Detection in Modern Automotive Cyber-Physical Systems
TW200304742A (en) Communication network and arrangement for use therein

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20190328

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190329

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220531

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220531

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221122