CN111788800B - 帧传送方法以及安全星型耦合器 - Google Patents

帧传送方法以及安全星型耦合器 Download PDF

Info

Publication number
CN111788800B
CN111788800B CN201980006599.0A CN201980006599A CN111788800B CN 111788800 B CN111788800 B CN 111788800B CN 201980006599 A CN201980006599 A CN 201980006599A CN 111788800 B CN111788800 B CN 111788800B
Authority
CN
China
Prior art keywords
frame
branch
unit
star coupler
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980006599.0A
Other languages
English (en)
Other versions
CN111788800A (zh
Inventor
岸川刚
氏家良浩
平野亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN111788800A publication Critical patent/CN111788800A/zh
Application granted granted Critical
Publication of CN111788800B publication Critical patent/CN111788800B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/417Bus networks with decentralised control with deterministic access, e.g. token passing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • H04L2012/445Star or tree networks with switching in a hub, e.g. ETHERNET switch

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

基于时隙的时间触发方式的通信网络中的安全星型耦合器(300)具备:多个收发器部(301a、301b、301c、301d),收发与多个分支分别连接的信号;路由表保持部(305),保持表示时隙与分支之间的对应的规定的规则;以及路由部(302),除了符合非传送条件的情况之外,为了将从第一分支接收到的信号传送到其他分支而进行路由。非传送条件包括:对于第一分支,未遵守上述规定的规则;以及在时隙中已经开始了用于将从与第一分支不同的第二分支接收到的信号向其他分支传送的路由。

Description

帧传送方法以及安全星型耦合器
技术领域
本公开涉及防止星型拓扑的通信网络中的非法的帧的发送的安全星型耦合器。
背景技术
近年来,在汽车的车载***中,大多配置有被称为电子控制单元(ElectronicControl Unit,以下称为ECU)的装置。连接这些ECU的通信网络被称为车载网络。车载网络存在多种标准。其中,存在作为比当前成为主流的ControllerAreaNetwork(以下称为CAN(注册商标))高速且高可靠性的协议而设计的FlexRay(注册商标)这样的标准。
在FlexRay中,通过两条绞线的电压差表示“0”的值和“1”的值。与总线连接的ECU被称为节点,与总线连接的各节点在收发被称为帧的消息的点上与CAN是共通的。另一方面,对于采用了事件触发的通信方式的CAN,在FlexRay中采用了时间触发方式即TimeDivision Multiple Access(以下称为TDMA)。在FlexRay的车载网络中,各帧以事先定义的定时以及顺序被发送。
另一方面,关于安全,在CAN的车载网络中,存在攻击者访问总线,通过发送非法的帧来非法地控制ECU这样的威胁,对这样的威胁的安全对策进行了研究。
例如在专利文献1中,提出了车载网络监视装置,公开了检测是否以预先规定的通信间隔将帧发送给总线,并将偏离规定的通信间隔的帧判断为非法,由此防止非法的帧的控制的方法。
现有技术文献
专利文献
专利文献1:日本专利第5664799号公报
专利文献2:日本专利第4871395号公报
发明内容
发明所要解决的课题
然而,在FlexRay的车载网络中,由于以预先规定的通信间隔进行通信,因此具有某确定的识别符(ID)的帧的接收间隔恒定,无法应用专利文献1那样的非法检测方法。
另外,在FlexRay中,从设计容易性的观点出发,大多利用星型的网络拓扑。在专利文献2中,公开了根据时间调度(schedule)对传送源的分支进行开关的智能星型耦合器。通过智能星型耦合器,能够防止来自本来没有预定发送帧的分支的攻击帧的注入,但无法掌握尝试了攻击的情况。进而,在专利文献2的智能星型耦合器中,无法防止来自存在于本来预定了发送的分支的非法节点的非法的帧的注入。
为了解决上述课题,本公开的目的在于,提供能够通过在通信网络中掌握非法的帧的发送位置,来应对非法的帧的帧传送方法以及安全星型耦合器,来实现更安全的通信网络***,所述通信网络采用由星型拓扑设计的时间触发方式的协议。
用于解决课题的手段
本公开的一个形态的一种安全星型耦合器,是基于时隙的时间触发方式的通信网络中的安全星型耦合器,其中,在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过所述安全星型耦合器连接,并且所述通信装置在规定的时隙内收发帧,所述安全星型耦合器具备路由规则保持部、路由部、以及分别与所述多个分支中的某一个连接的多个收发器部,所述路由规则保持部保持规定的规则,所述规定的规则表示时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支或所述多个收发器部中与所述发送源分支连接的收发器部的对应,作为所述多个收发器部之一的第一收发器部,对从所述多个分支中连接有所述第一收发器部的第一分支的总线接收到的物理信号进行转换而取得第一数字信号,所述路由部,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个收发器部中的所述第一收发器部以外的收发器部路由,所述第一收发器部以外的收发器部,将转换被路由的所述第一数字信号而取得的物理信号,向所述多个分支中的所述第一分支以外的分支的所述总线发送,所述非传送条件包含第一条件和第二条件,所述第一条件是,所述第一分支或所述第一收发器部未遵守所述规定的规则,所述第二条件是,在当前的时隙下已经将转换从所述多个分支中的与所述第一分支不同的第二分支接收到的物理信号而取得的第二数字信号向所述多个分支中的所述第二分支以外的分支进行路由。
另外,本公开的一个形态的帧传送方法,是基于时隙的时间触发方式的通信网络中的帧传送方法,其中,在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过安全星型耦合器连接,并且,所述通信装置在规定的时隙内收发帧,所述帧传送方法包括路由规则保持步骤、接收步骤、路由步骤、以及发送步骤,在所述路由规则保持步骤中,保持规定的规则,所述规定的规则关于时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支之间的对应,在所述接收步骤中,对从作为所述多个分支之一的第一分支的所述总线接收到的物理信号进行转换而取得第一数字信号,在所述路由步骤中,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个分支中的所述第一分支以外的分支进行路由,在所述发送步骤中,将转换被路由的所述第一数字信号而取得的物理信号向所述第一分支以外的分支的所述总线发送,所述非传送条件包含第一条件和第二条件,所述第一条件是,所述第一分支未遵守所述规定的规则,所述第二条件是,在当前的时隙下已经将转换从所述多个分支中的与所述第一分支不同的第二分支接收到的物理信号而取得的第二数字信号向所述多个分支中的所述第二分支以外的分支进行路由。
此外,这些总括性或具体的形态可以通过***、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过装置、***、方法、计算机程序以及记录介质的任意组合来实现。
发明效果
根据本公开,即使对于采用了时间触发方式的星型拓扑的通信网络,也能够通过掌握非法的帧的发送位置来应对非法的帧。由此,作为通信网络***整体,能够更可靠地维持安全的状态。
附图说明
图1是表示实施方式1、2中的车载网络***的整体结构的框图。
图2是用于说明实施方式1、2中的FlexRay的循环的图。
图3是表示实施方式1、2中的FlexRay帧的格式的图。
图4是表示实施方式1、2中的ECU的功能性结构的框图。
图5是表示实施方式1中的安全星型耦合器的结构例的框图。
图6是表示实施方式1中的非法检测ECU的功能性结构的例子的框图。
图7是表示实施方式1、2中的通信用设定参数保持部所保存的通信用设定参数的一例的图。
图8是表示实施方式1、2中的接收帧信息保持部所保存的接收帧信息的一例的图。
图9是表示实施方式1、2中的路由表保持部所保存的路由表的一例的图。
图10是表示实施方式1、2中的帧信息保持部所保存的帧信息的一例的图。
图11是表示实施方式1、2中的帧规则保持部所保存的帧规则的一例的图。
图12是表示实施方式1、2中的分支异常度保持部所保存的分支异常度的一例的图。
图13是表示实施方式1、2中的接收历史记录保持部所保存的接收历史记录的一例的图。
图14是表示实施方式1中的安全星型耦合器的动作的步骤例的流程图。
图15是表示实施方式1中的非法检测ECU的动作的步骤例的流程图。
图16是表示实施方式2中的安全星型耦合器的功能性结构的例子的框图。
图17是表示实施方式2中的非法检测ECU的功能性结构的例子的框图。
图18是表示实施方式2中的黑名单保持部所保存的黑名单的一例的图。
图19是表示实施方式2中的车辆状态保持部所保存的车辆状态的一例的图。
图20是表示实施方式2中的安全星型耦合器的帧接收时的动作的步骤例的流程图。
图21是表示实施方式2中的非法检测ECU的动作的步骤例的流程图。
具体实施方式
本公开的一个实施形态的安全星型耦合器是基于时隙的时间触发方式的通信网络中的安全星型耦合器,其中,在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过所述安全星型耦合器连接,并且所述通信装置在规定的时隙内收发帧,所述安全星型耦合器具备路由规则保持部、路由部、以及分别与所述多个分支中的某一个连接的多个收发器部,所述路由规则保持部保持规定的规则,所述规定的规则表示时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支或所述多个收发器部中与所述发送源分支连接的收发器部的对应,作为所述多个收发器部之一的第一收发器部,对从所述多个分支中连接有所述第一收发器部的第一分支的总线接收到的物理信号进行转换而取得第一数字信号,所述路由部,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个收发器部中的所述第一收发器部以外的收发器部路由,所述第一收发器部以外的收发器部,将转换被路由的所述第一数字信号而取得的物理信号,向所述多个分支中的所述第一分支以外的分支的所述总线发送,所述非传送条件包含第一条件和第二条件,所述第一条件是,所述第一分支或所述第一收发器部未遵守所述规定的规则,所述第二条件是,在当前的时隙下已经将转换从所述多个分支中的与所述第一分支不同的第二分支接收到的物理信号而取得的第二数字信号向所述多个分支中的所述第二分支以外的分支进行路由。由此,即使是在不符合路由规则的分支中发送的非法的帧,也能够通过安全星型耦合器防止向其他分支的传送,从而提高通信网络的安全性。
另外,也可以是,还具备用于与所述通信装置进行通信的通信控制部,所述通信控制部对所述第一数字信号进行解码并解释为帧,具备接收帧信息保持部,所述接收帧信息保持部将所述帧的信息与表示作为所述第一数字信号的传送源的所述第一分支或所述第一收发器部的识别符对应起来作为接收帧信息保持,所述通信控制部将所述接收帧信息通知给所述通信装置。由此,安全星型耦合器的外部的装置能够容易地掌握安全星型耦合器所接收到的帧被发送的分支,从而容易确定非法的帧的产生原因。
另外,也可以是,还具备分支异常度保持部,所述分支异常度保持部保持所述多个分支各自的异常度,所述路由部,在第三数字信号未遵守所述规定的规则的情况下,使作为所述多个分支之一的第三分支的异常度增加,所述第三数字信号是对从与所述第三分支连接的、作为所述多个收发器部之一的第三收发器部接收到的物理信号进行转换而取得的信号,所述路由部,在所述第三分支的异常度为规定值以上时,不将所述第三数字信号向所述多个收发器部中的所述第三收发器部以外的收发器部传送。由此,能够防止从反复地判断为发送了非法的帧的分支发送的帧的传送。
另外,也可以是,所述路由部检测在所述帧中利用于所述通信网络的通信协议上的错误产生,在从所述第三收发器部接收到的所述第三数字信号遵守了所述规定的规则的情况下检测到所述通信协议上的错误时,使所述第三分支的异常度增加。由此,通过进行遵循路由规则的传送,能够在保持车载网络的安全性的同时,掌握尝试发送非法的帧的可能性高的分支,阻止从该分支发送的帧的传送。
另外,也可以是,还具备非法基准列表保持部,所述非法基准列表保持部保持表示时隙与帧所包含的有效载荷的值之间适当或不适当的对应的非法基准列表,所述路由部针对解释了传送未完成的数字信号的帧进行与所述非法基准列表的对照,所述路由部,在所述对照的结果为接收到所述帧的时隙与所述帧中包含的有效载荷的值之间的对应不适当的情况下,停止所述传送未完成的数字信号的传送。由此,即使是符合路由规则的非法的帧,也能够根据帧中包含的有效载荷进行检测,防止其传送。
另外,也可以是,所述通信网络是车载网络,所述安全星型耦合器还具备车辆状态保持部,所述车辆状态保持部保持表示搭载所述车载网络的车辆的状态的车辆信息,所述通信控制部使用从所述通信装置接收的信息来更新所述车辆信息,所述路由部,在所述对照的结果判断为接收到所述帧的时隙与所述帧所包含的有效载荷的值之间的对应不适当,并且所述车辆信息所示的所述车辆的状态满足规定的条件的情况下,停止所述传送未完成的数字信号的传送。由此,在通信网络是车载网络的情况下,根据行驶状态等车辆状态,通过切换非法的帧的传送禁止的有无,能够防止对驾驶员而言危险的状况下的由非法的帧引起的对行驶的安全性的不良影响,并且在安全的状况下抑制因介入车载网络***而引起的先进的功能的停止。
另外,本公开的一实施形态的帧传送方法是基于时隙的时间触发方式的通信网络中的帧传送方法,在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过安全星型耦合器连接,并且,所述通信装置在规定的时隙内收发帧,所述帧传送方法包括路由规则保持步骤、接收步骤、路由步骤和发送步骤,在所述路由规则保持步骤中,保持规定的规则,所述规定的规则与时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支之间的对应相关,在所述接收步骤中,对从作为所述多个分支之一的第一分支的所述总线接收到的物理信号进行转换而取得第一数字信号,在所述路由步骤中,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个分支中的所述第一分支以外的分支进行路由,在所述发送步骤中,将转换所路由的所述第一数字信号而取得的物理信号向所述第一分支以外的分支的所述总线发送,所述非传送条件包含第一条件和第二条件,所述第一条件是对于所述第一分支未遵守所述规定的规则,所述第二条件是在当前的时隙,已经将转换从所述多个分支中的与所述第一分支不同的第二分支接收到的物理信号而取得的第二数字信号向所述多个分支中的所述第二分支以外的分支进行路由。由此,即使是在不符合路由规则的分支中发送的非法的帧,也能够通过安全星型耦合器防止向其他分支的传送,从而提高通信网络的安全性。
以下,参照附图对实施方式的安全星型耦合器进行说明。在此所示的实施方式均表示总括性或具体的例子。因此,以下的实施方式所示的数值、构成要素、构成要素的配置和连接方式、以及步骤(工序)和步骤的顺序等是一个例子,并不限定本公开的发明。另外,各图是示意图,并不一定是严格图示的图。
(实施方式1)
[1.***的结构]
在此,作为本公开的一实施方式,参照附图说明监视星型拓扑的车载网络,基于表示收发的各帧和作为各帧的发送源的分支的信息检测非法的帧的发送,或者防止该传送的安全星型耦合器以及非法检测ECU。
[1.1车载网络***的整体结构]
图1是表示本公开的车载网络***10的整体结构的例子的框图。车载网络***10具备:作为基于FlexRay协议的通信中使用的总线的总线100a、100b、100c和100d;作为与各总线连接的ECU的ECU200a、200b、200c和200d;作为各ECU的控制对象的转向装置210、齿轮220、制动器230和相机240;连接各总线间的安全星型耦合器300;以及通过通信线110与安全星型耦合器300连接的非法检测ECU310。ECU200a~200d分别通过总线100a~100d进行帧的收发,从而实现车辆的控制。非法检测ECU310为了检测车载网络***10中的非法的帧的产生,通过安全星型耦合器300观测总线100a~100d。ECU200a~200d及非法检测ECU310是本实施方式中的通信装置的例子。另外,安全星型耦合器300进行信号的整形,使得在总线100a~100d中均流过相同的信号,各ECU通过总线100a~100d取得同步。在本公开中,也将各总线以及与该总线连接的ECU称为分支。另外,在本公开中,作为包含该总线的分支的识别符的例子,为了方便,有时使用与各总线的参照标记相同的文字串。
[1.2FlexRay循环]
在FlexRay通信中,重复由四个段构成的被称为循环(Cycle)的动作的周期。一个FlexRay网络整体(也称为集群)所包含的各节点通过测定并校正表示循环的长度以及开始时刻的全球时间与各个固有的本地时间之差,来实现同步通信。
图2是表示FlexRay通信的循环的图。FlexRay通信重复该循环来执行。各节点同步地保持循环的重复次数(循环计数)。循环计数的值(图2中的n+0、n+1)从0至63逐次递增1,在63的下一个循环中暂时复位而再次成为0。
各循环由静态段(Static segment)、动态段(Dynamic segment)、符号窗口(Symbol window)、网络空闲时间(NIT)这四个段构成。由于各段的时间长度根据预先设计的参数在集群中共通,所以一个循环的时间长度也在集群中共通。此外,动态段和符号窗口是可选的。各个节点在静态段和动态段中发送帧。静态段和动态段以被称为时间隙(timeslot)或时隙(slot)的能够发送一个帧的一定时间为单位构成。
静态段由多个时隙构成,各循环以静态段开始。静态段内的时隙的个数以及各时隙的长度在集群内是共通的。在时隙中从开头起按顺序附加逐次递增1的编号(时隙编号),在各时隙内发送的帧中使用该时隙编号作为帧的识别符(Frame ID,以下也记作帧ID)。静态段内的时隙也称为静态时隙(slot)(或静态时间隙(time slot)),在静态段内发送的帧也称为静态帧。在各静态时隙中,预定的ECU始终在预定的循环中发送帧。静态帧的有效载荷长度在集群内是共通的。
动态段由被称为小型时隙的时隙构成,在各循环中位于静态段的下一个的位置。但是,如上所述不是必须的。在小型时隙中也与静态段的时隙同样地从开头起按顺序附加逐次递增1的编号(时隙编号)。在各ECU中,预定了发送帧的定时(小型时隙),但与静态段不同,不需要在每个预定的循环中发送帧。动态段内的时隙也被称为动态时隙(slot)(或动态时隙(time slot)),在动态段内发送的帧也被称为动态帧。动态帧的有效载荷长度可以取0~254的任意值。即,动态时隙的长度是可变的。
符号窗口是进行被称为符号的信号的收发的时间带。
网络空闲时间是不进行通信的时间带,必须设置于各循环的最后。在网络空闲时间中,各ECU不进行数据的发送而进行同步处理等,网络如字面所述处于空闲状态。
此外,在FlexRay协议中,不存在表示发送目的地或发送源的识别符。发送节点在如上所述预定的发送定时(时隙)中,向总线发送预定内容的帧。然后,接收节点仅在预定的接收定时(时隙)从总线接收帧。另外,即使是静态段或动态段的相同编号的时隙,也可以使用通过循环来实现不同内容的帧的通信的被称为“循环复用”的方法。
另外,在FlexRay协议中,不仅能够如CAN那样全部节点与一个总线连接的总线型的网络拓扑,还能够以经由星型耦合器的星型、总线型与星型的混合型的网络拓扑来设计通信网络。
[1.3帧格式]
图3是表示FlexRay协议的帧格式的图。该格式在静态帧和动态帧中是共通的。帧由头段(Header segment)、有效载荷段(Payload segment)、以及尾段(Trailer segment)这三个段构成。此外,在本公开中,有时也分别称为头、有效载荷、尾。
头段从Reserved bit开始,接着,分别各包含1比特的作为与帧的属性(类别)相关的元信息的Payloadpreamble indicator、Null frame indicator、Sync frameindicator、Startup frame indicator。而且,构成为进一步继续11比特的Frame ID、7比特的Payload length、11比特的Header CRC,到最后的6比特的Cycle count为止。
Frame ID中使用的是上述的时隙编号,也被称为时隙ID,用于识别静态段或动态段中的帧的发送定时以及帧的内容所相应的种类。
Payload length表示该帧的有效载荷的长度,最大值是127。有效载荷段中保存有对Payload length的值乘以2的字节数的数据。
Header CRC是从Sync frame indicator到Payload length的值计算的CRC(Cyclic Redundancy Check,循环冗余校验)。
在Cycle count中保存表示集群中的当前循环的重复次数的值(0~63)。
有效载荷段中包含帧的净的数据,最大为254字节。
在尾段中保存有根据包含头以及有效载荷的整体的值而计算的CRC。
[1.4ECU(非法检测ECU除外)的结构]
图4是表示ECU200a的功能性结构的例子的框图。此外,ECU200b、ECU200c以及ECU200d也可以是与ECU200a共通的结构,省略说明。
ECU200a具备帧收发部201、帧解释部202、外部设备控制部203、帧生成部204、以及通信用设定参数保持部205。此外,ECU200a例如具备包含处理器以及存储器的微控制器,在此列举的构成要素是通过处理器执行存储于存储器的一个或多个程序而实现的功能性构成要素。ECU200b、ECU200c以及ECU200d也同样。
帧收发部201将从总线100a接收到的物理信号转换为数字信号而取得帧的数据(帧的接收)。帧收发部201一边参照通信用设定参数保持部205所保持的通信用设定参数,一边与作为集群的车载网络***10所包含的其他ECU同步,由此能够正确地接收其他ECU发送的帧。另外,帧收发部201按照来自帧生成部204的发送帧请求,将帧转换为物理信号,在预定的定时(时隙)将该物理信号发送到总线100a(帧的发送)。
帧解释部202解释从帧收发部201通知的接收到的帧的有效载荷,并根据有效载荷的内容向外部设备控制部203发出通知,该通知用于执行与ECU200a连接的转向装置210的控制。通过该通知,例如基于从其他ECU通知的车辆的速度的信息,实现与帧解释部202判断出的行驶状态相应的转向装置的辅助控制。另外,例如,在自动停车模式时,实现基于从未图示的自动停车ECU接收的转向装置操作指示信号的转向装置的自动操纵。
外部设备控制部203进行与ECU200a连接的转向装置210的控制。另外,外部设备控制部203监视转向装置210的状态,向帧生成部请求用于将该状态通知给其他ECU的帧发送。转向装置210的状态例如是转向装置210的转向角(转向角度)。
帧生成部204基于来自外部设备控制部203的请求生成帧,向帧收发部201请求该帧的发送。
通信用设定参数保持部205保持有用于将从总线100a接收到的物理信号正确地转换为数字信号的参数。该参数在车载网络***10内是共通的。因此,在其他ECU中也保持相同的内容。关于通信用设定参数的详细情况,使用图7所示的一个例子在后面叙述。
[1.5安全星型耦合器的结构]
图5是表示安全星型耦合器300的结构的例子的图。安全星型耦合器300具备:收发器部301a、301b、301c及301d;路由部302;ECU接口部303;接收帧信息保持部304;以及路由表保持部305。
收发器部301a与总线100a连接,将从总线100a接收到的物理信号转换为数字信号,并将该数字信号通知给路由部302。另外,将从路由部302通知的数字信号转换为物理信号,并将该物理信号向总线100a发送。同样,收发器部301b与总线100b连接,收发器部301c与总线100c连接,收发器部301d与总线100d连接。收发器部301b~301e分别对从所连接的总线接收的物理信号与收发器部301a同样地发挥功能。
路由部302将从收发器部301a通知的数字信号向除了收发器部301a以外的收发器部301b、301c及301d进行路由。同样地,路由部302将从收发器部301b通知的数字信号向除了收发器部301b以外的各收发器部进行路由。路由部302还将路由中的数字信号和表示从哪个分支接收到该数字信号的信息(接收分支信息)通知给ECU接口部303。另外,路由部302按照从ECU接口部303接收的指示,基于路由表保持部305所保存的路由表,设定时隙编号(时隙ID)与在该时隙编号所示的时隙中发送应传送的信号的分支即发送源分支(或者与发送源分支连接的收发器部)的对应。路由部302在各时隙编号的时隙中,将从所设定的对应的发送源分支接收到的信号路由到其他分支。从与时隙编号不对应的分支接收到的信号在路由部302中被忽略,即不执行由安全星型耦合器300进行的向其他分支的传送。此外,在未设定时隙编号与发送源分支的对应的时隙中,路由部302将最初接收到的信号路由到发送了该信号的分支以外的分支。此外,分支和收发器部具有将连接有收发器部的总线作为媒介而对应的关系,可以通过识别一方来代替识别另一方。基于该对应关系,在本公开中,例如路由部302将信号向与某分支(的总线)连接的收发器部进行路由的情况有时也表现为向该分支进行路由,也有与之相反的情况。另外,例如,有时也使用与该分支(的总线)连接的收发器部来代替作为信号的发送源的分支。
当从路由部302被通知数字信号和接收分支信息时,ECU接口部303对该数字信号进行解码而解释为接收帧,将该接收帧的信息与接收分支信息对应起来保存在接收帧信息保持部304中。另外,按照来自非法检测ECU310的请求,将接收帧信息保持部304中保存的接收帧信息以及接收分支信息通知给非法检测ECU310。进而,ECU接口部303解释来自非法检测ECU310的指示,执行路由表的改写、以及向路由部302的控制的该改写后的设定的反映,所述路由表保存在路由表保持部305,表示在各时隙中应传送的信号的发送源即发送源分支。
在接收帧信息保持部304中,将上述的接收帧的信息和接收分支信息对应起来保持。图8表示接收帧信息保持部304中保存的接收帧的信息的一例。在该例子中,在各行中将表示分支的识别符(图中的100b、100a、100c)与基于从各分支接收到的信号的接收帧的信息对应起来。此外,在本公开中,对于这样将接收帧的信息和接收分支信息对应起来的信息也称为接收帧信息。接收帧信息的详细情况使用图8所示的该例子在后面叙述。
路由表保持部305保存表示发送在各时隙中应传送的信号的分支即发送源分支的表。图9表示路由表保持部305中保存的路由表的一例。路由表的详细情况使用图9所示的该例子在后面叙述。
[1.6非法检测ECU310的结构]
图6是表示非法检测ECU310的功能性结构的例子的框图。
非法检测ECU310具备星型耦合器通信控制部311、非法检测部312、帧生成部313、通信用设定参数保持部205、帧信息保持部314、帧规则保持部315、分支异常度保持部316、以及接收历史记录保持部317。此外,对与ECU200a同样的构成要素标注相同的编号并省略说明。非法检测ECU310也具备例如包含处理器以及存储器的微控制器,在此列举的构成要素是通过处理器执行存储于存储器的一个或多个程序而实现的功能性构成要素。
星型耦合器通信控制部311是与安全星型耦合器300的通信接口,并且基于保存在通信用设定参数保持部205中的通信用设定参数来进行安全星型耦合器300的设定。安全星型耦合器300的设定也可以包括基于表示时隙和发送源分支之间的对应的表的路由控制信息。另外,从安全星型耦合器300接收作为安全星型耦合器300接收到的帧的信息的上述接收帧信息,并通知给非法检测部312。当从帧生成部313请求帧的发送时,星型耦合器通信控制部311将该帧的内容通知给安全星型耦合器300。
非法检测部312基于从星型耦合器通信控制部311通知的包含接收分支的信息的接收帧信息,判断接收帧是否为非法的帧。在该判断中,非法检测部312首先参照保存在帧信息保持部314中的表示时隙ID与发送源分支之间的对应的表,判断实际的接收帧的帧ID与接收分支之间的对应是否合法。在接收帧的帧ID与接收分支的对应合法的情况下,非法检测部312还参照与保存在帧规则保持部315中的接收帧的有效载荷的内容相应的每个类别的规则、和保持在接收历史记录保持部317中的接收历史记录,将有效载荷的内容从该规则偏离的接收帧判断为非法。在判断为接收帧非法的情况下,非法检测部312还向帧生成部313请求用于向其他ECU通知发送了非法的帧的情况的帧的发送。并且,非法检测部312使分支异常度保持部316所保存的各分支的异常度中的、发送了非法的帧的分支的值增加。另外,非法检测部312为了防止将来从该分支发送的非法的帧传送到其他分支,经由星型耦合器通信控制部311向安全星型耦合器300的ECU接口部303通知路由表的改写以及该改写后的设定向路由部302的控制的反映的指示。
帧信息保持部314保存各ECU发送的帧的(或时隙的)ID、以及发送源的分支等信息即帧信息。将保存在帧信息保持部314中的帧信息的一例表示在图10中,详情后述。
帧规则保持部315保存有非法检测部312判断接收帧是否非法所使用的规则。将保存在帧规则保持部315中的帧规则的一例表示在图11中,详情后述。
分支异常度保持部316保存基于非法的帧的接收数的每个分支的异常度。将分支异常度保持部316中保存的分支异常度的一例表示在图12中,详情后述。
接收历史记录保持部317保存与接收帧有关的信息,例如有效载荷所示的值、帧的属性等元信息、以及帧的接收数。将接收历史记录保持部317中保存的接收历史记录的一例表示在图13中,详情后述。
[1.7通信用设定参数]
图7示出了保存在通信用设定参数保持部205中的通信用设定参数的一例。作为通信用设定参数,表示数据传送的速度为10Mbps、静态段的时隙ID(即在各时隙中收发的帧的帧ID)为1~50、动态段的时隙ID(同样,即帧ID)为51~100。另外,还示出了静态帧的有效载荷长度是8(即,16字节)。在集群中,这些参数的值在全部ECU中被共享,基于这些参数的值来实现FlexRay帧的收发。此外,图7所示的通信用设定参数的值只不过是一例,也可以是其他的值。另外,上述的通信用设定参数也只不过是一例,也可以包含图7中未记载的参数(例如,各段的长度、时隙的长度等),相反,图7所记载的参数并非全部是必须的。
[1.8接收帧信息]
图8示出了保存在安全星型耦合器300中所具备的接收帧信息保持部304中的接收帧信息的示例。
在图8所示的例子中,以列表形式从上起依次保持最新的接收帧的信息。接收帧的信息保持有由安全星型耦合器300接收的每个帧是从哪个分支接收到的信息即接收分支、接收了表示接收帧的信号的时隙的ID(接收时隙ID)、循环计数、有效载荷长度、有效载荷所包含的数据、Payload preamble indicator的标志状态、以及表示帧是否被正确地接收的错误标志。
[1.9路由表]
图9示出了保存在安全星型耦合器300中所具备的路由表保持部305中的路由表的一例。
图9的路由表针对每行,示出了由时隙ID、循环偏差(Cycle offset)、循环接收(Cycle reception)的组合而决定的确定的定时、和规定发送在该定时应传送的信号的发送源分支的规则(也称为路由规则)。例如,第一行用100c的识别符来表示时隙ID为1、Cycleoffset为0、Cycle reception为1的定时下的发送源分支。路由部302在该定时从该识别符所示的分支的总线(总线100c)接收信号时,以该信号向其他分支传送的方式进行路由。另外,在该定时存在从总线100c以外接收到的信号的情况下,路由部302也忽略该信号(不进行路由)。同样地,在第二行所示的规则中,由时隙ID为3、Cycle offset为0、Cyclereception为2的组合而决定的定时下的发送源分支为识别符为100a的分支。另外,在第三行所示的规则中,时隙ID为99、Cycle offset为1、Cycle reception为2的定时下的发送源分支为识别符为100b的分支。具备表示这样的路由规则的路由表的路由表保持部305是本实施方式中的路由规则保持部的例子。
[1.10帧信息]
图10表示非法检测ECU310所具备的帧信息保持部314中保存的帧信息的一例。
在图10所示的例子中,在表的各行中,作为一件帧信息,保持有时隙ID、Cycleoffset、Cycle reception、帧名以及帧所包含的有效载荷所示的信息的种类。Cycleoffset以及Cycle reception是在使用被称为循环复用(multiplexing)的、即使是相同的时隙ID也根据循环而收发包含不同的内容(种类)的数据的帧的方法时,为了提取对象的帧所需要的信息。例如,作为时隙ID为99的帧,存在D、E、F、G这四个帧名,分别在有效载荷中包含相机信息1、相机信息2、相机信息3、相机信息4的不同内容的信息,在不同的循环中收发。
例如,在相机信息1中,Cycle offset为0、Cycle reception为4。这意味着从循环计数为0的循环开始,按每四个循环执行将相机信息1的数据包含于有效载荷的帧即帧D的发送。即,帧D在循环计数为0、4、8、12、16、…、52、56、60的循环内的时隙ID为99的时隙中被发送。同样地,包含相机信息2的帧E在循环计数为1、5、9、…、53、57、61的循环内的时隙ID为99的时隙中被发送。包含相机信息3的帧F在循环计数为2、6、10、…、54、58、62的循环内的时隙ID为99的时隙中被发送。包含相机信息4的帧G在循环计数为3、7、11、…、55、59、63的循环内的时隙ID为99的时隙中被发送。如上所述,在不同循环内的同一时隙ID的时隙中发送内容不同的帧为循环复用(multiplexing)。
另外,在各帧信息中还包含表示作为该帧的车载网络***10的设计上的发送源的发送源ECU和发送源ECU所连接的分支的信息。这样的帧信息表示的是所谓车载网络***10中的帧的收发的调度。
进一步具体说明图10所例示的帧信息的内容。
图10的表的第一行表示在时隙ID为1的时隙中,在Cycle offset为0、Cyclereception为1(即,在全部的循环中发送包含相同内容的数据的帧)的调度下,发送帧名为A的帧、帧A的有效载荷的内容即有效载荷所示的信息是与速度相关的信息、发送源ECU是200c且分支是100c。该表的第二行表示在时隙ID为2的时隙中不发送帧。另外,该表的第三行表示在时隙ID为3的时隙中,在Cycle offset为0、Cycle reception为2(即,仅在循环计数为偶数的循环中发送)的调度下,发送帧名为B的帧、帧B的有效载荷所示的信息为转向角度、发送源ECU为200a且分支为100a的情况。另外,在该表的再下一行中表示在时隙ID为98的时隙中,在Cycle offset为1、Cycle reception为2(即,仅在循环计数为奇数时发送)的调度下,发送帧名为C的帧、帧C的有效载荷所示的信息为齿轮状态(变速杆或者选择器的位置)、发送源ECU为200b且分支为100b。在再下一行中表示在时隙ID为99的时隙中,在Cycleoffset为0、Cycle reception为4的调度下,发送帧名为D的帧、帧D的有效载荷所表示的是被称为相机信息1的规定的信息、发送源ECU为200d且分支为100d。在再下一行中表示在时隙ID为99的时隙中,在Cycle offset为1、Cycle reception为4的调度下,发送帧名为E的帧、帧E的有效载荷所表示的是被称为相机信息2的规定的信息、发送源ECU为200d且分支为100d。在再下一行中表示在时隙ID为99的时隙中,在Cycle offset为2、Cycle reception为4的调度下,发送帧名为F的帧、帧F的有效载荷所表示的是被称为相机信息3的规定的信息、发送源ECU为200d且分支为100d。在最下行中表示在时隙ID为99的时隙中,在Cycle offset为3、Cycle reception为4的调度下,发送帧名为G的帧、帧G的有效载荷所表示的是被称为相机信息4的规定的信息、发送源ECU为200d且分支为100d。此外,根据图7的通信用设定参数所包含的ID,帧A以及帧B是在静态段内发送的静态帧,从帧C到帧G是在动态段内发送的动态帧。
[1.11帧规则]
图11是表示非法检测ECU310所具备的帧规则保持部315所保存的帧规则的一例的图。在图11所示的例子中,针对在表的各行中由帧名确定的帧的每个类别设定了接收规则。
关于帧A,有效载荷长度固定为8,作为接收规则,在本次接收到的帧A的有效载荷所示的速度与上次接收到的帧A所示的速度的差分为0.5km/h以上的情况下,判断为是非法的帧。关于帧B,有效载荷长度固定为8,作为接收规则,在本次接收到的帧B的有效载荷所示的转向角度与上次接收到的帧B的有效载荷所示的转向角度的差分为30度以上的情况下,判断为是非法的帧。
此外,非法检测ECU310也可以不仅基于接收到的帧是否适合于接收规则,还基于有效载荷长度是否正确来判断帧是否非法。
[1.12分支异常度]
图12是在非法检测ECU310所具备的分支异常度保持部316中保存的分支异常度的一例。在图12所示的例子中,在表的各行中保持每个分支的异常度。分支异常度为,每当接收到基于非法检测部312的判断结果的非法的帧时,发送了该帧的分支的异常度逐次递增1。在图12所示的例子中,由识别符“100a”识别的分支的异常度为0,由识别符“100b”识别的分支的异常度为0,由识别符“100c”识别的分支的异常度为0,由识别符“100d”识别的分支的异常度为20。
[1.13接收历史记录]
图13是非法检测ECU310所具备的接收历史记录保持部317中保存的接收历史记录的一例。在图13所示的例子中,保持有在表内由帧名确定的每个帧的类别的有效载荷所示的上次接收值以及车辆状态。上次接收值与接收时刻(μs)一并被保持。在该例子中,表示车辆的速度的帧A的上次接收值为40.5km/h,上次的接收时刻为12100μs。另外,表示转向角度的帧B的上次接收值为5度,上次接收时刻为8100。另外,表示齿轮状态的帧C的上次接收值是驱动状态,上次的接收时刻是12400μs。另外,表示相机信息1的帧D的上次接收值表示前方车辆的检测,上次的接收时刻是1440μs。另外,表示相机信息2的帧E的上次接收值表示行人检测,接收时刻为5480μs。另外,表示相机信息3的帧F的上次接收值表示车道检测状态,接收时刻为9520μs。另外,表示相机信息4的帧G的上次接收值表示后方的相机未启动,接收时刻为13560μs。车辆状态的信息在帧A所示的车辆的速度大于0km/h的情况下被更新为“行驶中”,在0km/h的情况下被更新为“停止中”。此外,上述的上次接收值例如每当接收帧时,由非法检测部312更新该值。
此外,在该例中保持了接收时刻,但接收时刻不是必需的。另外,接收时刻以表示从成为基准的规定时刻起的经过时间的μs单位来表示,但只要是表示时间的单位即可。例如,既可以使用在FlexRay协议中使用的、根据内部时钟计算出的微拍(microtick)的个数,也可以使用利用微拍进行定义的宏拍(Macrotick)的个数。
[1.14安全星型耦合器的动作]
接着,使用例子对如上述那样构成的车载网络***10中的、使用了各信息以及规则的安全星型耦合器300的动作的步骤进行说明。此外,安全星型耦合器300的动作通过由安全星型耦合器300的构成要素执行的处理来实现。因此,希望以以下安全星型耦合器300的各构成要素的处理的说明,来理解为是安全星型耦合器300的动作的说明。
图14是表示安全星型耦合器300的动作的步骤例的流程图。
在安全星型耦合器300中,路由部302判断是否从收发器部301a~301d中的某一个的分支接收到信号(S1001)。在接收到信号的情况下(S1001:是),路由部302判断在路由表保持部305中保存的路由表中是否存在与接收到该信号的当前的定时(时隙)对应的路由规则(S1002)。在存在对应的路由规则的情况下(S1002:是),路由部302对照该路由规则,确认接收到信号的时隙与发送了该信号的分支之间的对应是否适当(S1003)。在不存在对应的路由规则的情况下(S1002:否),路由部302确认是否从其他分支接收信号(S1006)。
在步骤S1003中,在接收到帧的时隙与发送了接收到的帧的分支之间的对应适当的情况下(S1003:是),路由部302将该信号向发送了接收到的帧的分支以外的分支进行路由,并从收发器部发送(S1004)。另外,通过ECU接口部303,根据该接收到的信号来解释帧,接收帧被保存到接收帧信息保持部304(S1005)。在接收到帧的时隙与发送了接收到的帧的分支之间的对应不适当的情况下(S1003:否),安全星型耦合器300的处理结束。
在步骤S1006中,在没有从其他分支接收到信号的情况下(S1006:否),在安全星型耦合器300中执行上述的步骤S1004及S1005以后的处理。在从其他分支接收到信号的情况下(S1006:是),安全星型耦合器300的处理结束。
在步骤S1001中,在未接收到信号的情况下(S1001:否),ECU接口部303判断是否有来自非法检测ECU310的通知(S1007)。在未接收到通知的情况下(S1007:否),安全星型耦合器300的处理返回到S1001。在接收到通知的情况下(S1007:是),ECU接口部303判断该通知的内容是否是用于向其他ECU发出警报等的帧的发送请求(S1008)。在是帧的发送请求的情况下(S1008:是),ECU接口部303从各收发器部向全部分支发送帧(S1009),安全星型耦合器300的处理结束。在通知内容不是帧的发送请求的情况下(S1008:否),ECU接口部303,通知请求路由表(图中RT)的更新/设定的反映,更新路由表,反映设定(S1010),安全星型耦合器300的处理结束。
此外,在安全星型耦合器300的上述动作中,在步骤S1001中接收到信号的时隙与发送了该信号的分支之间的对应不适当(S1003:否)、以及从其他分支接收到信号的情况(S1006:是)分别是本实施方式中的非传送条件的第一条件以及第二条件的例子。
[1.15非法检测ECU的动作]
接着,使用例子对如上述那样构成的车载网络***10中的使用了各信息、规则以及接收历史记录的非法检测ECU310的动作的步骤进行说明。此外,非法检测ECU310的动作通过由非法检测ECU310的构成要素执行处理来实现。因此,希望以以下的非法检测ECU310的各构成要素的处理的说明,来理解为非法检测ECU310的动作的说明。
图15是表示非法检测ECU310的动作的步骤例的流程图。
在非法检测ECU310中,星型耦合器通信控制部311从安全星型耦合器300接收接收帧信息(S1101)。非法检测部312确认接收帧信息所示的接收分支和接收时隙ID的组合是否适合于帧信息保持部314中保存的帧信息(图10)所示的时隙ID和发送源分支的组合(S1102)。在适合于帧信息的情况下(S1102:是),非法检测部312进一步确认该接收帧信息所示的接收帧的内容(有效载荷)是否适合于保存在帧规则保持部315中的帧规则(图11)所包含的对应的帧规则(S1103)。在适合于对应的帧规则的情况下(S1103:是),非法检测ECU310的处理结束。
在接收分支与接收时隙ID的组合不适合于帧信息(S1102:否)的情况下,或者在接收帧的内容不适合于对应的帧规则的情况下(S1103:否),非法检测部312使该接收分支的异常度(图12)增加1(S1104)。进而,非法检测部312判断接收分支的累积的异常度是否为规定值以上(S1105)。在为规定值以上的情况下(S1105:是),为了抑制来自该分支的非法的可能性高的帧的发送,非法检测部312经由星型耦合器通信控制部311进行安全星型耦合器300的路由表的更新(S1106)。在异常度小于规定值的情况下(S1105:否),或者在路由表更新后,非法检测ECU310的处理结束。
此外,路由表的更新(S1106)例如也可以通过如下方式执行:删除在步骤S1105中判断出异常度为规定值以上的接收分支为发送源分支的路由规则。另外,也可以是,在路由表中还包含表示能否针对各路由规则传送的标志。
(实施方式2)
[2.***的结构]
接着,作为本公开的一个实施方式,参照附图说明监视星型拓扑的车载网络,使用收发的各帧、表示发送在各帧中应传送的信号的发送源分支的信息以及黑名单来检测非法的帧的发送,或者防止该传送的安全星型耦合器以及非法检测ECU。具有与实施方式1相同的功能的构成要素赋予相同的参照标记,并省略说明。
此外,使用上述的安全星型耦合器以及非法检测ECU的车载网络***的结构,在图1所示的车载网络***10中,将安全星型耦合器300以及非法检测ECU310分别置换为本实施方式的安全星型耦合器1300以及非法检测ECU1310,其他共通即可,因此省略图示及说明。另外,图2所示的FlexRay的循环、图3所示的FlexRay帧的格式、图4所示的ECU的功能性结构、以及图7~图13所示的参数、信息以及规则等也能够应用于本实施方式,省略再次的图示以及说明。
[2.1安全星型耦合器的结构]
图16是示出安全星型耦合器1300的功能性结构的例子的图。安全星型耦合器1300具备收发器部301a、301b、301c、301d、路由部1302、ECU接口部1303、接收帧信息保持部304、路由表保持部305、黑名单保持部1306、分支异常度保持部316、以及车辆状态保持部1307。此外,安全星型耦合器1300例如具备包括处理器和存储器的微控制器以及输入输出电路。安全星型耦合器1300的在此列举的构成要素是在输入电路中接收信号的输入,并且根据处理器对该信号执行存储在存储器中的一个或多个程序而进行的判断的结果,来实现从输出电路向规定的总线输出信号为止的处理的功能性构成要素。
路由部1302将从收发器部301a通知的数字信号路由到除了收发器部301a以外的收发器部301b、301c及301d。同样地,路由部1302将从收发器部301b通知的数字信号路由到除了收发器部301b以外的各收发器部。路由部1302还将路由中的数字信号和表示从哪个分支接收到该数字信号的接收分支信息通知给ECU接口部1303。另外,路由部1302基于路由表保持部305中保存的路由表,设定时隙编号(时隙ID)与发送源分支(或者与发送源分支连接的收发器部)的对应。路由部1302在各时隙编号的时隙中,将从所设定的对应的发送源分支接收到的信号路由到其他分支。从没有被设定的发送源分支接收到的信号在路由部1302中被忽略,即不执行由安全星型耦合器300进行的向其他分支的传送。在未设定时隙编号与发送源分支的对应的时隙中,路由部1302将最初接收到的信号路由到发送了该信号的分支以外的分支。
另外,路由部1302对路由中、即传送未完成的信号进行解码而取得帧,并判断该帧的内容是否符合被黑名单保持部1306保持的黑名单。路由部1302还参照保存在分支异常度保持部316的分支异常度、和保存在车辆状态保持部1307的车辆状态。在路由中的信号表示的帧的内容符合黑名单、且参照而取得的分支异常度以及车辆状态满足黑名单的有效化条件的情况下,路由部1302停止信号的路由。即,停止通过安全星型耦合器1300将该信号传送到其他分支。由此,即使在发送非法的帧的ECU存在于与路由表所包含的路由规则相符合的分支的情况下,从该ECU发送的帧基于有效载荷值也被判定为非法。因此,防止了非法的帧(信号)的传送。
另外,路由部1302对从各分支接收到的信号进行解码而取得帧,进行确认在该帧中是否在各分支中产生了协议上的错误的错误检测处理。在路由规则有效的时隙中接收到的帧中产生了错误的情况下,针对发送了该帧的分支的、保存在分支异常度保持部316中的分支的异常度增加。这是为了掌握试行了非法的帧的发送的分支而执行的。在某确定的时隙中发送规定的帧的正规的ECU和在该时隙中想要发送非法的帧的ECU包含于不同分支的情况下,在安全星型耦合器1300中,认为是来自不符合路由规则的分支的非法的帧的发送而被忽略。即,防止非法的帧的传送。但是,仅凭这不能确定发送了非法的帧的分支。从正规的ECU发送的帧被安全星型耦合器1300传送到其他分支。由于该传送的该帧与从非法的ECU发送的帧产生冲突,仅包含非法的ECU的分支成为错误状态,该错误状态由路由部1302检测。
ECU接口部1303若被通知从路由部302数字接收到的信号和接收分支信息,则对该数字信号进行解码而解释为接收帧,将该接收帧的信息和接收分支信息对应起来保存于接收帧信息保持部304。另外,按照来自非法检测ECU1310的请求,将接收帧信息保持部304中保存的接收帧的信息以及接收分支信息通知给非法检测ECU1310。进而,ECU接口部1303解释来自非法检测ECU1310的指示,执行在路由表保持部305中保存的、示出发送在各时隙中应传送的信号的发送源分支的路由表的改写、保存在黑名单保持部1306的黑名单的更新、保存在分支异常度保持部316的分支异常度的更新、以及保存在车辆状态保持部1307的车辆状态的更新。
黑名单保持部1306保存有黑名单,该黑名单由路由部1302参照,用于判断是否使传送中的信号的传送停止。将由黑名单保持部1306保持的黑名单的一例表示在图18中,详情后述。
车辆状态保持部1307保存有车辆状态,该车辆状态由路由部1302参照,用作使保存在黑名单保持部1306中的黑名单有效化的条件。图19表示车辆状态保持部1307保持的车辆状态的一例。在图19的例子中,表示车辆状态为行驶中。
[2.2非法检测ECU的结构]
图17是表示非法检测ECU1310的功能性结构的例子的框图。
非法检测ECU1310具备星型耦合器通信控制部1311、非法检测部1312、帧生成部313、通信用设定参数保持部205、帧信息保持部314、帧规则保持部315、以及接收历史记录保持部317。
星型耦合器通信控制部1311是与安全星型耦合器1300的通信接口,并且基于保存在通信用设定参数保持部205的通信用设定参数来进行安全星型耦合器1300的设定。安全星型耦合器1300的设定也可以包括基于表示时隙和发送源分支之间的对应的表的路由的控制信息和黑名单。进而,进行基于安全星型耦合器1300接收到的帧决定的行驶状态等车辆状态的更新通知、与分支异常度的增加有关的通知。另外,接收作为安全星型耦合器1300接收到的帧的信息的上述接收帧信息,并通知给非法检测部1312。当从帧生成部313请求帧的发送时,星型耦合器通信控制部1311将该帧的内容通知给安全星型耦合器1300。
非法检测部1312基于从星型耦合器通信控制部1311通知的包含接收分支的信息的接收帧信息,判断接收帧是否为非法的帧。在该判断中,非法检测部1312首先参照保存在帧信息保持部314的表示时隙ID与发送源分支之间的对应的表,确认实际的接收帧的帧ID与接收分支之间的对应是否合法。在接收帧的帧ID与接收分支的对应合法的情况下,非法检测部1312还参照与保存在帧规则保持部315的接收帧的有效载荷的内容相应的每个类别的规则、和由接收历史记录保持部317保持的接收历史记录,将有效载荷的内容从该规则偏离的接收帧判断为非法。在判断为接收帧非法的情况下,非法检测部312还向帧生成部313请求发送用于将发送了非法的帧这一情况通知给其他ECU的警报的帧。同时,非法检测部312向星型耦合器通信控制部1311通知接收分支为异常的情况。进而,非法检测部1312将路由表的改写通知给安全星型耦合器1300的ECU接口部1303,以防止将来从该分支发送的非法的帧被传送到其他分支。
[2.3黑名单]
图18是保存在黑名单保持部1306的黑名单的一例。图18的黑名单,按每行示出由时隙ID、Cycle offset和Cycle reception的组合所决定的确定的时隙中接收到的每个帧的接收分支、有效载荷的值以及黑名单有效化条件。例如,第一行表示对于在时隙ID为20、Cycle offset为3、Cycle reception为4的调度下接收的帧,在接收分支为100d、有效载荷的值为**5*…的情况下,在车辆状态为“行驶中”的情况下该帧符合黑名单,并且,以分支异常度大于30为条件中止传送。在此,黑名单的栏的“*”是指在有效载荷中对应的比特所示的值是不关注。即,在该例子中,表示在接收到上位第二字节的上位4比特所示的值为5的有效载荷的帧的情况下符合黑名单。同样地,第二行表示,对于在时隙ID为10、Cycle offset为0、Cycle reception为2的调度下接收的帧,在接收分支为100a、有效载荷的值为FF 11**…的情况下,该帧符合黑名单,符合黑名单的帧(的指示信号)始终被中止传送。
[2.4安全星型耦合器的动作]
接下来,将使用例子说明使用了上述各信息和规则等的安全星型耦合器1300的动作的步骤。此外,安全星型耦合器1300的动作通过由安全星型耦合器1300的构成要素执行处理来实现。因此,希望以以下安全星型耦合器1300的各构成要素的处理的说明,来理解安全星型耦合器1300的动作的说明。
图20是表示安全星型耦合器1300的帧接收时的动作的步骤例的流程图。
安全星型耦合器1300开始接收帧(的指示信号)(S2001)。
路由部1302判断在路由表保持部305中保存的路由表中是否存在与接收到该信号的当前的时隙对应的路由规则(图中,RR)(S2002)。在存在对应的路由规则的情况下(S2002:是),路由部1302执行步骤S2003的判断。否则(S2002:否),安全星型耦合器1300执行步骤S2011的判断。
路由部1302在步骤S2003中,确认接收到该信号的时隙与接收分支的关系是否符合对应的路由规则。在符合路由规则的情况下(S2003:是),路由部1302开始将接收到的信号向接收分支以外的分支传送的路由(S2004)。否则(S2003:否),安全星型耦合器1300增加接收分支的异常度(S2008),并且安全星型耦合器1300的处理结束。
另外,路由部1302在路由开始后,进行传送未完成的信号的解码,进行通过解码而取得的帧是否符合保存在黑名单保持部1306中的黑名单的判断(S2005)。在符合黑名单的情况下(S2005:是),路由部1302停止路由(S2009),结束安全星型耦合器1300的处理。在帧不符合黑名单的情况下(S2005:否),路由部1302使信号的传送完成(S2006)。
在步骤S2006之后,路由部1302确认各分支中的错误产生状况(S2007)。如果在所有分支中没有错误(S2007:否),则传送正常完成,并且安全星型耦合器1300的处理结束。在存在产生了错误的分支的情况下(S2007:是),路由部1302认为有可能进行了非法的帧的发送,使产生了错误的分支的异常度增加(S2010),安全星型耦合器1300的处理结束。
在步骤S2011中,路由部1302确认在当前的时隙中是否为为了传送从其他分支接收到的信号而在路由中。在不是路由中的情况下(S2011:否),执行S2004。在路由中的情况下(S2011:是),路由部1302忽略接收到的信号,安全星型耦合器1300的处理结束。
[2.5帧接收时的非法检测ECU的动作]
接着,使用例子对使用了上述的各信息以及规则等的非法检测ECU1310的动作的步骤进行说明。此外,非法检测ECU1310的动作通过由非法检测ECU1310的构成要素执行处理来实现。因此,希望以以下的非法检测ECU1310的各构成要素的处理的说明,来理解非法检测ECU1310的动作的说明。
图21是表示非法检测ECU1310的帧接收时的动作的步骤例的流程图。
在非法检测ECU1310中,当星型耦合器通信控制部1311从安全星型耦合器1300接收到帧接收的通知时,非法检测部1312取得与接收帧的接收时隙ID、有效载荷信息以及接收分支有关的接收帧信息(S2101)。非法检测部1312参照帧信息保持部314中保存的帧信息,判断该接收帧信息表示的接收分支和接收时隙ID的组合是否适当(S2102)。在组合适当的情况下(S2102:是),非法检测部1312执行步骤S2103。在对应不适当的情况下(S2102:否),非法检测部1312以使该接收分支的异常度增加的方式向安全星型耦合器1300进行通知(S2106),结束处理。
在步骤S2103中,非法检测部1312参照保存在帧规则保持部315中的帧规则,判断接收帧是否适合于对应的帧规则。在适合于帧规则的情况下(S2103:是),作为接收到不正规的帧,非法检测部1312更新保存于接收历史记录保持部317的接收历史记录(S2104),向安全星型耦合器1300进行车辆状态的更新通知(S2105),非法检测ECU1310的处理结束。在不适合于帧规则的情况下(S2103:否),作为接收到非法的帧,非法检测ECU1310以使接收分支的异常度增加的方式向安全星型耦合器1300进行通知(S2106),非法检测ECU1310的处理结束。
[3.变形例和补充事项]
根据本公开的一个或多个形态的帧传送方法和安全星型耦合器不限于上述各实施方式的说明。只要不脱离本公开的主旨,则对上述实施方式实施了本领域技术人员想到的各种变形的方式也可以包含在本公开的形态中。以下,列举这样的变形的例子以及对实施方式的说明的其他补充事项。
(1)上述的各实施方式使用图1所示的星型的网络拓扑中的例子进行了说明,但能够应用的网络拓扑不限于该例子。例如,本公开的安全星型耦合器等也能够应用于总线型或星型与总线型的混合型等的网络拓扑。
(2)在上述的各实施方式中,作为单独的物体说明的安全星型耦合器和非法检测ECU也可以一体地实现,另外,也可以将一方的功能性构成要素的一部分组装到另一方。由此,实现部件数量的削减。在该情况下,在上述安全星型耦合器的动作中由各构成要素执行的各步骤能够成为由非法检测ECU执行的步骤。另外,在上述的非法检测ECU的动作中由各构成要素执行的各步骤能够成为由安全星型耦合器执行的步骤。此外,即使是将安全星型耦合器和非法检测ECU一体地实现的结构,为了方便,在本公开中也称为安全星型耦合器,但将本公开的安全星型耦合器的构成要素和非法检测ECU的构成要素组合而具备的结构无论其称呼如何都包含在本公开的技术范围内。
(3)在上述实施方式中,安全星型耦合器和非法检测ECU进行了通信,但非法检测ECU不是必须的构成要素。例如,也可以预先将路由表保持部以及通信用设定参数保持部的内容嵌入到安全星型耦合器中,在运用开始时仅实现所需最小限度的功能。由此,能够削减通信网络上的通信装置的数量,对成本降低是有效的。
(4)在上述的实施方式中,对是否产生了非法的帧、或者帧是否非法这一非法检测处理以后没有详细说明,对该处理的结果的利用例进行补充。例如,也可以将在非法检测处理中得到的非法的帧的头所包含的信息、有效载荷值、接收时刻、接收时的车辆状态等(指这些信息的至少一部分,以下也称为非法的帧信息)保存在日志中。另外,也可以向车载网络上的其他ECU通知非法的帧的产生或者非法的帧信息,也可以向外部的服务器通知该车辆中的非法的帧的产生或者非法的帧信息。另外,也可以经由该车辆的用户接口向驾驶员通知车载网络中非法的帧的产生或者非法的帧信息。另外,在网关或域控制器具备非法检测部的情况下,也可以执行不传送该非法的帧、或者附加表示是非法的帧的信息并传送等处理。
(5)在上述的各实施方式中,以明文保持有帧信息、帧规则,但也可以加密并保持。
(6)在上述的各实施方式中,针对每个分支保持异常度,但也可以按每帧保持异常度。由此,能够仅切断异常度高的帧,有效地抑制对车辆的影响。
(7)在上述的各实施方式中,在帧规则中分别设定有一个接收规则(图11),但也可以设定两个以上。另外,也可以存在未设定接收规则的单独帧规则。例如,通过仅对重要性高的第二类别的帧设定接收规则,能够进行与帧的重要度相应的检查,对车载网络的安全性的提高是有效的。
(8)在上述的各实施方式中,关于动态帧没有设定帧规则(图11),但关于动态帧也可以设定帧规则。例如,也可以设定与从上次接收值的变化量相关的规则。
(9)在上述各实施方式中,安全星型耦合器从非法检测ECU接收帧的发送请求,能够向其他分支发送帧,但也可以不发送。由此,能够削减安全星型耦合器的功能,有效地削减成本。
(10)在上述的各实施方式中,在帧信息保持部所保存的帧信息中保持有帧名(图10),但帧名不是必须的。
(11)在上述的各实施方式中,关于帧信息保持部所保存的帧信息,一个帧所保持的有效载荷信息为一种一件(图10),但并不限定于此。既可以一个帧保持两种以上或者同种的信息保持有多个,也可以没有有效载荷信息。另外,在保持多件有效载荷信息的情况下,也可以包含表示有效载荷段中的各件的字段的信息(字段的位置、长度、单位等)。
(12)在上述的各实施方式中,接收历史记录(图13)的上次接收值按每个帧名保持相当于一个信号的量,但也可以保持相当于多个信号的量。另外,也可以直接保持有效载荷值。
(13)在上述的各实施方式中,接收历史记录(图13)中包含的车辆状态仅为行驶中还是停止中这两个状态,但车辆状态不限于该两个状态。例如,能够取得点火接通状态、附件接通状态、低速行驶状态、高速行驶状态、转向装置操纵状态、齿轮状态、或者它们的组合状态。
(14)在上述的实施方式2中,示出了黑名单(图18)是使用预先保持的黑名单的例子,但黑名单也可以是在使用开始后也能更新的动态名单。例如,也可以是,预先保持非法检测ECU检测为非法的帧的有效载荷值,在相同的ID、Cycle reception、Cycle offset的时隙发送的帧中检测到非法为规定次数以上时,使用在这些帧之间有效载荷值一致的字段来更新黑名单。由此,能够防止未预先在黑名单中登记的、更新的攻击模式的非法的帧的路由,对安全性的提高是有效的。
(15)在上述实施方式2中,路由部具备检测对信号进行解码而取得的帧的错误的功能,但错误检测的功能也可以不在路由部(安全星型耦合器)内执行。例如,也可以设为与安全星型耦合器连接的非法检测ECU能够接收任意的两分支的信号,由非法检测ECU所具备的解码器部进行错误的检测。
(16)在上述的实施方式2中,停止符合黑名单(图18)的帧(信号)的传送,但也可以进行除了停止符合黑名单的帧(信号)的传送以外的处理。例如,也可以改写帧中包含的CRC的值等。只要是能够防止被传送的信号被识别为对其他接收的ECU有效的帧而被处理的应对方法即可。
(17)在上述的实施方式2中,停止符合表示时隙和帧所包含的有效载荷的值的不适当的对应的黑名单(图18)的帧(信号)的传送,但并不限定于此。也可以停止不符合表示时隙和帧所包含的有效载荷的值的适当的对应的白名单的信号的传送。这样的黑名单以及白名单是上述的实施方式2以及本变形例中的非法基准列表的例子,并且,黑名单保持部是非法基准列表保持部的例子。
(18)在上述的实施方式2中,车辆状态以及分支异常度被用于黑名单(图18)的有效化条件,但也可以用于路由规则(图9)的有效化条件。由此,能够有效地使来自存在非法的ECU的分支的帧发送无效化。
(19)在上述的实施方式2中,保持于车辆状态保持部的是车辆的行驶状态(图19),但并不限定于此。例如可以是上述点火接通状态等,也可以是表示从各ECU通知的规定的状态、例如与ECU连接的外部设备的状态的标志。由此,能够根据标志而使黑名单有效化,能够根据车辆的多样的状态灵活地应对。
(20)在上述的实施方式中,作为车载网络使用了FlexRay协议,但并不限定于此。例如,也可以使用CAN、CAN-FD(CAN withFrexible Data Rate)、Ethernet(注册商标)、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)等。或者,也可以是将这些网络作为子网络而组合的网络。特别是对于采用时间触发方式的网络是有效的。另外,实施方式以车载网络中包含的安全星型耦合器及安全星型耦合器执行的非法的帧的传送防止方法为例进行了说明,但本公开的形态的安全星型耦合器等也能够应用于车载网络以外的通信网络。
(21)具体而言,上述的实施方式中的各装置是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机***。在RAM或硬盘单元中记录有计算机程序。微处理器按照计算机程序进行动作,由此各装置实现其功能。在此,计算机程序是为了实现规定的功能而组合多个表示针对计算机的指令的命令代码而构成的。
(22)上述的实施方式中的各装置的构成要素的一部分或全部也可以由一个***LSI(Large Scale Integration:大规模集成电路)构成。***LSI是将多个构成部集成到一个芯片上而制造的超多功能LSI,具体而言,是包括微处理器、ROM、RAM等而构成的计算机***。在RAM中记录有计算机程序。通过微处理器按照计算机程序进行动作,由此***LSI实现其功能。
另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。
另外,在此设为***LSI,但根据集成度的不同,有时也称为IC、LSI、超级LSI、特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器来实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable GateArray:现场可编程门阵列)、能够重构LSI内部的电路单元的连接、设定的可重构处理器。
进而,随着半导体技术的进步或派生的其他技术而出现能够替代LSI的集成电路化的技术,当然也可以使用该技术进行功能块的集成化。有可能应用生物技术等。
(23)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机***。IC卡或模块也可以包含上述的超多功能LSI。微处理器按照计算机程序进行动作,由此IC卡或模块实现其功能。该IC卡或该模块也可以具有防篡改性。
(24)本公开也可以是上述所示的方法。另外,既可以是通过计算机实现这些方法的计算机程序,也可以是由计算机程序构成的数字信号。
此外,本公开将计算机程序或数字信号记录在计算机可读取的记录介质,例如,软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等中。另外,也可以是记录在这些记录介质中的数字信号。
另外,本公开也可以将计算机程序或数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传送。
另外,本公开也可以是具备微处理器和存储器的计算机***,存储器记录有上述计算机程序,微处理器按照计算机程序进行动作。
另外,也可以通过将程序或数字信号记录于记录介质并进行输送,或者将程序或数字信号经由网络等输送,从而通过独立的其他计算机***来实施。
(25)也可以分别组合上述实施方式以及上述变形例。
产业上的可利用性
本公开所涉及的技术能够用于在通信网络、特别是采用了时间触发方式的网络中,能够应对由网络攻击等引起的非法的帧。
附图标记说明
10 车载网络***
100a、100b、100c、100d 总线
200a、200b、200c、200d ECU
201 帧收发部
202 帧解释部
203 外部设备控制部
204 帧生成部
205 通信用设定参数保持部
210 转向装置
220 齿轮
230 制动器
240 相机
300、1300 安全星型耦合器
301a、301b、301c、301d 收发器部
302、1302 路由部
303、1303 ECU接口部
304 接收帧信息保持部
305 路由表保持部
310、1310 非法检测ECU
311、1311 星型耦合器通信控制部
312、1312 非法检测部
313 帧生成部
314 帧信息保持部
315 帧规则保持部
316 分支异常度保持部
317 接收历史记录保持部
1306 黑名单保持部
1307 车辆状态保持部

Claims (7)

1.一种安全星型耦合器,是基于时隙的时间触发方式的通信网络中的安全星型耦合器,其中,
在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过所述安全星型耦合器连接,并且所述通信装置在规定的时隙内收发帧,
所述安全星型耦合器具备路由规则保持部、路由部、以及分别与所述多个分支中的某一个连接的多个收发器部,
所述路由规则保持部保持规定的规则,所述规定的规则表示时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支或所述多个收发器部中与所述发送源分支连接的收发器部的对应,
作为所述多个收发器部之一的第一收发器部,对从所述多个分支中连接有所述第一收发器部的第一分支的总线接收到的物理信号进行转换而取得第一数字信号,
所述路由部,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个收发器部中的所述第一收发器部以外的收发器部路由,
所述第一收发器部以外的收发器部,将转换被路由的所述第一数字信号而取得的物理信号,向所述多个分支中的所述第一分支以外的分支的所述总线发送,
所述非传送条件包含第一条件和第二条件,所述第一条件是,所述第一分支或所述第一收发器部未遵守所述规定的规则,所述第二条件是,在当前的时隙下已经将第二数字信号向所述多个分支中的第二分支以外的分支进行路由,所述第二数字信号是转换从所述多个分支中的与所述第一分支不同的所述第二分支接收到的物理信号而取得的。
2.根据权利要求1所述的安全星型耦合器,其中,
还具备用于与所述通信装置进行通信的通信控制部,
所述通信控制部对所述第一数字信号进行解码并解释为帧,具备接收帧信息保持部,所述接收帧信息保持部将所述帧的信息与表示作为所述第一数字信号的传送源的所述第一分支或所述第一收发器部的识别符对应起来作为接收帧信息保持,
所述通信控制部将所述接收帧信息通知给所述通信装置。
3.根据权利要求2所述的安全星型耦合器,其中,
还具备分支异常度保持部,所述分支异常度保持部保持所述多个分支各自的异常度,
所述路由部,在第三数字信号未遵守所述规定的规则的情况下,使作为所述多个分支之一的第三分支的异常度增加,所述第三数字信号是对从与所述第三分支连接的、作为所述多个收发器部之一的第三收发器部接收到的物理信号进行转换而取得的信号,
所述路由部,在所述第三分支的异常度为规定值以上时,不将所述第三数字信号向所述多个收发器部中的所述第三收发器部以外的收发器部传送。
4.根据权利要求3所述的安全星型耦合器,其中,
所述路由部检测是否在所述帧中产生了与利用于所述通信网络的通信协议相关的错误,在从所述第三收发器部接收到的所述第三数字信号遵守了所述规定的规则的情况下检测到所述通信协议上的错误时,使所述第三分支的异常度增加。
5.根据权利要求2至4中任一项所述的安全星型耦合器,其中,
还具备非法基准列表保持部,所述非法基准列表保持部保持表示时隙与帧所包含的有效载荷的值之间适当或不适当的对应的非法基准列表,
所述路由部针对解释了传送未完成的数字信号的帧进行与所述非法基准列表的对照,
所述路由部,在所述对照的结果为接收到所述帧的时隙与所述帧中包含的有效载荷的值之间的对应不适当的情况下,停止所述传送未完成的数字信号的传送。
6.根据权利要求5所述的安全星型耦合器,其中,
所述通信网络是车载网络,
所述安全星型耦合器还具备车辆状态保持部,所述车辆状态保持部保持表示搭载所述车载网络的车辆的状态的车辆信息,
所述通信控制部使用从所述通信装置接收的信息来更新所述车辆信息,
所述路由部,在所述对照的结果判断为接收到所述帧的时隙与所述帧所包含的有效载荷的值之间的对应不适当,并且所述车辆信息所示的所述车辆的状态满足规定的条件的情况下,停止所述传送未完成的数字信号的传送。
7.一种帧传送方法,是基于时隙的时间触发方式的通信网络中的帧传送方法,其中,
在所述通信网络中,分别包含一个以上的通信装置以及一个总线的多个分支通过安全星型耦合器连接,并且,所述通信装置在规定的时隙内收发帧,
所述帧传送方法包括路由规则保持步骤、接收步骤、路由步骤、以及发送步骤,
在所述路由规则保持步骤中,保持规定的规则,所述规定的规则关于时隙和在该时隙中发送所述安全星型耦合器应传送的物理信号的发送源分支之间的对应,
在所述接收步骤中,对从作为所述多个分支之一的第一分支的所述总线接收到的物理信号进行转换而取得第一数字信号,
在所述路由步骤中,除了符合非传送条件的情况之外,将所述第一数字信号向所述多个分支中的所述第一分支以外的分支进行路由,
在所述发送步骤中,将转换被路由的所述第一数字信号而取得的物理信号向所述第一分支以外的分支的所述总线发送,
所述非传送条件包含第一条件和第二条件,所述第一条件是,所述第一分支未遵守所述规定的规则,所述第二条件是,在当前的时隙下已经将第二数字信号向所述多个分支中的第二分支以外的分支进行路由,所述第二数字信号是转换从所述多个分支中的与所述第一分支不同的所述第二分支接收到的物理信号而取得的。
CN201980006599.0A 2018-07-27 2019-07-25 帧传送方法以及安全星型耦合器 Active CN111788800B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2018/028294 WO2020021714A1 (ja) 2018-07-27 2018-07-27 不正防止方法およびセキュアスターカプラ
JPPCT/JP2018/028294 2018-07-27
PCT/JP2019/029252 WO2020022445A1 (ja) 2018-07-27 2019-07-25 フレーム転送方法及びセキュアスターカプラ

Publications (2)

Publication Number Publication Date
CN111788800A CN111788800A (zh) 2020-10-16
CN111788800B true CN111788800B (zh) 2022-05-10

Family

ID=69180787

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980006599.0A Active CN111788800B (zh) 2018-07-27 2019-07-25 帧传送方法以及安全星型耦合器

Country Status (5)

Country Link
US (1) US11764998B2 (zh)
EP (1) EP3832956B1 (zh)
JP (1) JP7337063B2 (zh)
CN (1) CN111788800B (zh)
WO (2) WO2020021714A1 (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5210632A (en) * 1989-05-26 1993-05-11 Hitachi, Ltd. Signal transmission system having a star coupled repeater
CN101632262A (zh) * 2007-03-14 2010-01-20 Nxp股份有限公司 分布式通信***的节点、连接到通信***的节点及监测装置
WO2017104096A1 (ja) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ セキュリティ装置、ネットワークシステム及び攻撃検知方法
CN106982397A (zh) * 2017-05-16 2017-07-25 华北电力大学(保定) 基于回传检测的变电站通信网络及其时间同步安全方法
WO2017203904A1 (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御ユニット、フレーム生成方法及びプログラム
CN108028784A (zh) * 2016-01-08 2018-05-11 松下电器(美国)知识产权公司 不正常检测方法、监视电子控制单元以及车载网络***

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5222637Y2 (zh) 1971-12-10 1977-05-24
JPS5664799U (zh) 1979-10-23 1981-05-30
WO2008029318A2 (en) * 2006-09-06 2008-03-13 Nxp B.V. Cluster coupler in a time triggered network
WO2008029320A2 (en) * 2006-09-06 2008-03-13 Nxp B.V. Intelligent star coupler for time triggered communication protocol and method for communicating between nodes within a network using a time trigger protocol
CN101855866B (zh) * 2007-11-14 2012-09-05 Nxp股份有限公司 星形网络以及防止这种星形网络中的控制符号的重复传输的方法
AT507125B1 (de) * 2008-07-25 2010-05-15 Tttech Computertechnik Ag Multirouter für zeitgesteuerte kommunikationssysteme
DE102009030204A1 (de) * 2009-06-24 2010-12-30 Audi Ag Sternkoppler für ein Bussystem, Bussystem mit einem solchen Sternkoppler sowie Verfahren zum Austauschen von Signalen in einem Bussystem
CN103999410B (zh) 2011-12-22 2017-04-12 丰田自动车株式会社 通信***及通信方法
EP2852100A4 (en) * 2012-05-14 2015-05-06 Toyota Motor Co Ltd COMMUNICATION MANAGEMENT DEVICE AND COMMUNICATION MANAGEMENT PROCESS FOR A VEHICLE-SPECIFIC NETWORK
WO2015123712A1 (de) * 2014-02-24 2015-08-27 Fts Computertechnik Gmbh Verfahren und computernetzwerk zum übertragen von nachrichten
EP3139547B1 (en) * 2015-09-07 2018-10-17 TTTech Computertechnik AG An online incremental scheduling method for deterministic networks
US20170072876A1 (en) * 2015-09-14 2017-03-16 Broadcom Corporation Hardware-Accelerated Protocol Conversion in an Automotive Gateway Controller
JP6173541B2 (ja) * 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
WO2017061079A1 (ja) * 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ セキュリティ装置、攻撃検知方法及びプログラム
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
CN113556271B (zh) * 2016-07-05 2022-10-28 松下电器(美国)知识产权公司 非法控制抑止方法、非法控制抑止装置和车载网络***
JP6492234B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
CN107342833B (zh) * 2017-06-15 2019-03-15 西安微电子技术研究所 一种时间触发以太网交换控制方法
JP7033499B2 (ja) * 2017-07-26 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5210632A (en) * 1989-05-26 1993-05-11 Hitachi, Ltd. Signal transmission system having a star coupled repeater
CN101632262A (zh) * 2007-03-14 2010-01-20 Nxp股份有限公司 分布式通信***的节点、连接到通信***的节点及监测装置
WO2017104096A1 (ja) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ セキュリティ装置、ネットワークシステム及び攻撃検知方法
CN108028784A (zh) * 2016-01-08 2018-05-11 松下电器(美国)知识产权公司 不正常检测方法、监视电子控制单元以及车载网络***
WO2017203904A1 (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御ユニット、フレーム生成方法及びプログラム
CN106982397A (zh) * 2017-05-16 2017-07-25 华北电力大学(保定) 基于回传检测的变电站通信网络及其时间同步安全方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Detection of Illegal Dumping from CCTV at Recycling Centres;Naomi Harte;《International Machine Vision and Image Processing Conference (IMVIP 2007)》;20070924;全文 *
基于特征帧构建的运动目标检测算法的研究;刘明华;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20130228;全文 *

Also Published As

Publication number Publication date
WO2020021714A1 (ja) 2020-01-30
CN111788800A (zh) 2020-10-16
WO2020022445A1 (ja) 2020-01-30
JP7337063B2 (ja) 2023-09-01
US11764998B2 (en) 2023-09-19
EP3832956A4 (en) 2021-10-13
US20210051090A1 (en) 2021-02-18
JPWO2020022445A1 (ja) 2021-08-05
EP3832956A1 (en) 2021-06-09
EP3832956B1 (en) 2022-04-06

Similar Documents

Publication Publication Date Title
CN111492625B (zh) 非法检测方法以及非法检测装置
EP3142288B1 (en) In-car network system, electronic control unit and update processing method
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络***
US20190141070A1 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
CN107113214B (zh) 不正常检测电子控制单元、车载网络***以及通信方法
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络***
RU2712138C2 (ru) Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети
WO2017127639A1 (en) Exploiting safe mode of in-vehicle networks to make them unsafe
CN110546921B (zh) 不正当检测方法、不正当检测装置以及程序
CN103019167A (zh) 中心总线监护器及其操作方法
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
US20240031199A1 (en) Anomaly determination method, anomaly determination device, and recording medium
JP7340537B2 (ja) 不正制御防止システム、監視装置、および、不正制御防止方法
CN111788800B (zh) 帧传送方法以及安全星型耦合器
JP2019146145A (ja) 通信装置、通信方法及びプログラム
CN115580471A (zh) 不正当检测方法、不正当检测装置以及存储介质
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant