JP2018198363A - Communication system, and communication control method - Google Patents

Communication system, and communication control method Download PDF

Info

Publication number
JP2018198363A
JP2018198363A JP2017101841A JP2017101841A JP2018198363A JP 2018198363 A JP2018198363 A JP 2018198363A JP 2017101841 A JP2017101841 A JP 2017101841A JP 2017101841 A JP2017101841 A JP 2017101841A JP 2018198363 A JP2018198363 A JP 2018198363A
Authority
JP
Japan
Prior art keywords
signal
transmission
control unit
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017101841A
Other languages
Japanese (ja)
Other versions
JP6628106B2 (en
Inventor
和樹 八幡
Kazuki Yahata
和樹 八幡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2017101841A priority Critical patent/JP6628106B2/en
Publication of JP2018198363A publication Critical patent/JP2018198363A/en
Application granted granted Critical
Publication of JP6628106B2 publication Critical patent/JP6628106B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To more easily detect that transmission to a network is stopped.SOLUTION: A communication system comprises: a prohibition unit prohibiting a communication unit that transmits a signal to a network from transmitting the signal; and a control unit for determining whether prohibition of transmission is normally performed on the basis of a signal received from the network.SELECTED DRAWING: Figure 3

Description

本発明は、通信システム、及び通信制御方法に関する。   The present invention relates to a communication system and a communication control method.

近年、車両内に設けた複数の制御装置同士が車両内のネットワークを共用して通信することで、車両における各種機能を制御するための通信システムがある。ネットワークを共用している特定の装置が、通信システムに不要な信号を送信する異常状態にあると、その影響が他の装置に波及する場合がある。通信システムの中には、ネットワークに対し不要な信号を送信する制御装置に対し、その信号の送信を制限するものがある(例えば、特許文献1参照)。このように不要な信号の送信が制限されれば、ネット―ワークの通信状況を所望の状況にすることができる。   2. Description of the Related Art In recent years, there is a communication system for controlling various functions in a vehicle by allowing a plurality of control devices provided in the vehicle to communicate using a network in the vehicle. If a specific device sharing the network is in an abnormal state in which an unnecessary signal is transmitted to the communication system, the influence may be spread to other devices. Some communication systems restrict the transmission of signals to a control device that transmits unnecessary signals to a network (see, for example, Patent Document 1). If transmission of unnecessary signals is restricted in this way, the network communication state can be changed to a desired state.

特開2013−197982号公報JP 2013-197982 A

しかしながら、送信が禁止された対象の装置が、その送信の禁止によらずに信号を送信する異常状態にあるのか、その送信の禁止により信号の送信を制限しているのかを検証することが困難である。   However, it is difficult to verify whether the target device whose transmission is prohibited is in an abnormal state in which a signal is transmitted regardless of the prohibition of the transmission or whether the transmission of the signal is restricted by the prohibition of the transmission. It is.

本発明は、このような事情を考慮してなされたものであり、ネットワークに対する送信が停止していることをより簡便に検出できる通信システム、及び通信制御方法を提供することを目的の一つとする。   The present invention has been made in view of such circumstances, and an object of the present invention is to provide a communication system and a communication control method that can more easily detect that transmission to the network is stopped. .

(1):ネットワークに信号を送信する通信部に対して信号の送信を禁止させる禁止部と、前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部と、を備える通信システムである。 (1): a prohibition unit that prohibits transmission of a signal to a communication unit that transmits a signal to a network, and a control that determines whether the prohibition of transmission is normally performed based on a received signal from the network A communication system.

(2):(1)において、前記通信部は、前記禁止部によって送信が禁止されている期間であっても、前記ネットワークから信号を受信可能であり、前記制御部は、前記通信部が受信する前記受信信号に基づいて前記判定を行う。 (2): In (1), the communication unit can receive a signal from the network even during a period in which transmission is prohibited by the prohibition unit, and the control unit receives the communication unit. The determination is performed based on the received signal.

(3):(1)において、前記禁止部が信号の送信を禁止する対象とする前記通信部と、前記制御部とは、それぞれ異なる通信装置に含まれる。 (3): In (1), the communication unit that is a target for which the prohibition unit prohibits signal transmission and the control unit are included in different communication devices.

(4):(1)において、前記制御部は、前記受信信号が、前記制御部を含む通信装置の送信信号生成部が生成する信号と所定の程度で同一の場合に、前記送信の禁止が正常に行われていないと判定する。 (4): In (1), the control unit prohibits the transmission when the received signal is identical to a signal generated by a transmission signal generation unit of a communication apparatus including the control unit to a predetermined degree. It is determined that it is not performed normally.

(5):(1)において、前記制御部は、前記受信信号が、前記制御部を含む通信装置を送信元とする信号であり且つ前記送信信号生成部が生成する信号と所定の程度で同一の場合に、前記送信の禁止が正常に行われていないと判定する。 (5): In (1), the control unit is configured such that the received signal is a signal having a communication device including the control unit as a transmission source, and the signal generated by the transmission signal generation unit is identical to a predetermined degree. In this case, it is determined that the prohibition of transmission is not normally performed.

(6):(1)において、前記制御部は、前記受信信号が、前記制御部を含む通信装置を送信元とする信号であり且つ前記送信信号生成部が生成する信号と所定の程度で同一ではない場合に、前記通信装置になりすました装置が存在すると判定する。 (6): In (1), the control unit is configured such that the received signal is a signal having a communication device including the control unit as a transmission source, and is identical to a signal generated by the transmission signal generation unit to a predetermined degree. If not, it is determined that there is a device impersonating the communication device.

(7):ネットワークに信号を送信する通信部に対して信号の送信を禁止部に禁止させ、前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う過程を含む通信制御方法である。 (7): A process of allowing the communication unit that transmits a signal to the network to prohibit the transmission of the signal by the prohibition unit, and determining whether the prohibition of transmission is normally performed based on the received signal from the network Is a communication control method.

(1)によれば、通信システムは、ネットワークに信号を送信する通信部に対して信号の送信を禁止する禁止部と、前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部と、を備えることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。   According to (1), in the communication system, the prohibition unit that prohibits signal transmission to the communication unit that transmits a signal to the network, and the prohibition of the transmission are normally performed based on the received signal from the network. And a control unit that determines whether or not the transmission to the network is stopped more easily.

第1の実施形態の通信システムの構成を示す図である。It is a figure which shows the structure of the communication system of 1st Embodiment. 本実施形態のECUのハードウエア構成を示す図である。It is a figure which shows the hardware constitutions of ECU of this embodiment. 本実施形態のECUの機能構成を示す図である。It is a figure which shows the function structure of ECU of this embodiment. 本実施形態の送信禁止処理の判定基準について説明するための図である。It is a figure for demonstrating the determination criterion of the transmission prohibition process of this embodiment. 本実施形態の送信禁止処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the transmission prohibition process of this embodiment. 第2の実施形態の送信禁止処理の判定基準について説明するための図である。It is a figure for demonstrating the determination criterion of the transmission prohibition process of 2nd Embodiment. 本実施形態の送信禁止処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the transmission prohibition process of this embodiment. 第3の実施形態の通信システム1の概略構成を示す図である。It is a figure which shows schematic structure of the communication system 1 of 3rd Embodiment. 本実施形態の送信禁止処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the transmission prohibition process of this embodiment.

以下、図面を参照し、本発明の通信システム、及び通信制御方法の実施形態について説明する。以下の説明において、同じ機能を有する構成には、同じ符号を付す。   Embodiments of a communication system and a communication control method of the present invention will be described below with reference to the drawings. In the following description, components having the same function are denoted by the same reference numerals.

(第1の実施形態)
図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、例えば車両4(移動体)に搭載される。通信システム1は、少なくとも車両4内にネットワークNWを構成する。ネットワークNWでは、例えば、バス2(通信バス)を介してCAN(Controller Area Network)、IEEE802.3などの通信方式に基づく通信が行われる。 (First embodiment)
FIG. 1 is a diagram illustrating a configuration of a communication system 1 according to the present embodiment. The communication system 1 is mounted on, for example, a vehicle 4 (moving body). The communication system 1 forms a network NW in at least the vehicle 4. In the network NW, for example, communication based on a communication method such as CAN (Controller Area Network) or IEEE 802.3 is performed via the bus 2 (communication bus).

通信システム1は、バス2に接続されたECU10−1からECU10−3とインタフェース装置(IF装置)3とを備える。以下、ECU10−1からECU10−3を区別しない場合は、単にECU10と表記する。「−1」から「−3」などの記載は以下で説明する他の構成についても同様である。ECU10とIF装置3は、通信装置の一例である。   The communication system 1 includes ECUs 10-1 to ECU 10-3 and an interface device (IF device) 3 connected to a bus 2. Hereinafter, when the ECUs 10-1 to 10-3 are not distinguished from each other, they are simply expressed as ECU10. The descriptions such as “−1” to “−3” are the same for other configurations described below. The ECU 10 and the IF device 3 are examples of communication devices.

以下の説明では、ECU10は、車両4のデバイスを制御する制御装置として説明するが、信号の中継機能を有する中継装置であってもよい。また、ECU10は、共通のバス2に接続されたものとして説明するが、バス2と、バス2以外のバスとに接続されていてもよい。   In the following description, the ECU 10 is described as a control device that controls a device of the vehicle 4, but may be a relay device having a signal relay function. Although the ECU 10 is described as being connected to the common bus 2, the ECU 10 may be connected to the bus 2 and a bus other than the bus 2.

ECU10は、例えばエンジンを制御するエンジンECUや、シートベルトを制御するシートベルトECU等である。ECU10は、自装置が所属するネットワークNWに送信されたフレームを受信する。以下、ネットワークNWに送信される各フレームのことをフレームFという。フレームFは、それぞれに附された識別子(以下、IDという。)により識別される。ECU10は、自ECU10に係るフレームFを識別するID(以下、受信IDという)を記憶部12(図2B)に格納しておく。ECU10は、フレームFを受信する際には、受け付けたフレームFに附されたID(以下、送信IDという)を参照して、受信IDと同じ値の送信IDが附されたフレームFを抽出して取得する。ECU10は、通信をする際に通信相手の認証処理を実施する。   The ECU 10 is, for example, an engine ECU that controls the engine, a seat belt ECU that controls the seat belt, or the like. The ECU 10 receives a frame transmitted to the network NW to which the own device belongs. Hereinafter, each frame transmitted to the network NW is referred to as a frame F. The frame F is identified by an identifier (hereinafter referred to as ID) attached to each frame F. The ECU 10 stores an ID for identifying the frame F related to the ECU 10 (hereinafter referred to as a reception ID) in the storage unit 12 (FIG. 2B). When the ECU 10 receives the frame F, the ECU 10 refers to an ID attached to the received frame F (hereinafter referred to as a transmission ID) and extracts the frame F attached with a transmission ID having the same value as the reception ID. Get. The ECU 10 performs an authentication process for a communication partner when communicating.

ネットワークNWには、ECU10の他に、外部装置50が接続されるIF装置3が設けられている。例えば、IF装置3は、外部装置50と有線回線を利用して通信するための接続端子(DLC)、又は、外部装置50と無線回線を利用して通信するための無線通信部を有している。   In addition to the ECU 10, the network NW is provided with an IF device 3 to which an external device 50 is connected. For example, the IF device 3 includes a connection terminal (DLC) for communicating with the external device 50 using a wired line, or a wireless communication unit for communicating with the external device 50 using a wireless line. Yes.

例えば、外部装置50は、ECU10の状態を判定する測定器である。外部装置50は、図1に示すようにIF装置3に接続される。IF装置3は、ゲートウエイとして機能して、外部装置50とECU10の通信を中継する。なお、外部装置50をIF装置3に接続することなく、通信システム1を機能させることができる。   For example, the external device 50 is a measuring instrument that determines the state of the ECU 10. The external device 50 is connected to the IF device 3 as shown in FIG. The IF device 3 functions as a gateway and relays communication between the external device 50 and the ECU 10. Note that the communication system 1 can function without connecting the external device 50 to the IF device 3.

図2は、本実施形態のECU10のハードウエア構成を示す図である。ECU10は、CPU10Aと、RAM(Random Access Memory)、レジスタ等の揮発性記憶装置10Bと、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)の不揮発性記憶装置10Cと、無線通信インタフェース10Dと、入出力装置10Eと、通信インタフェース10Fなどを含むコンピュータである。なお、ECU10は、その種類又は用途により、無線通信インタフェース10Dと入出力装置10Eの何れか又は両方を含まない場合がある。   FIG. 2 is a diagram illustrating a hardware configuration of the ECU 10 according to the present embodiment. The ECU 10 is nonvolatile in a CPU 10A, a volatile storage device 10B such as a RAM (Random Access Memory) and a register, a ROM (Read Only Memory), an EEPROM (Electrically Erasable and Programmable Read Only Memory), and an HDD (Hard Disk Drive). The computer includes a storage device 10C, a wireless communication interface 10D, an input / output device 10E, a communication interface 10F, and the like. The ECU 10 may not include either or both of the wireless communication interface 10D and the input / output device 10E depending on the type or application.

図3は、本実施形態のECU10の機能構成を示す図である。ECU10は、制御部11と、記憶部12と、通信制御部13(送信信号生成部)と、禁止部19とを含む。例えば、制御部11と通信制御部13は、CPU10A等のプロセッサが制御プログラム(ソフトウェアプログラム)を実行することにより実現される。   FIG. 3 is a diagram illustrating a functional configuration of the ECU 10 of the present embodiment. The ECU 10 includes a control unit 11, a storage unit 12, a communication control unit 13 (transmission signal generation unit), and a prohibition unit 19. For example, the control unit 11 and the communication control unit 13 are realized by a processor such as the CPU 10A executing a control program (software program).

制御部11は、ECU10内の各部を制御する。例えば、制御部11は、他のECU10、IF装置3、外部装置50等の他の装置からの通信要求を受け付ける。 The control unit 11 controls each unit in the ECU 10. For example, the control unit 11 receives a communication request from another device such as another ECU 10, the IF device 3, or the external device 50.

記憶部12は、揮発性記憶装置10Bと不揮発性記憶装置10Cとによって実現される。記憶部12は、アプリケーションプログラム、通信制御プログラム等の制御プログラム125と、上記の制御プログラムの実行により参照される各種情報とを格納する。各種情報には、送信ID121と受信ID122とが含まれる。送信ID121には、信号の送信時に付与する識別情報が格納されている。受信ID122には、受信を許容する信号(受信フレーム)を抽出するための識別情報が格納されている。   The storage unit 12 is realized by a volatile storage device 10B and a nonvolatile storage device 10C. The storage unit 12 stores a control program 125 such as an application program and a communication control program, and various types of information referred to by executing the control program. Various information includes a transmission ID 121 and a reception ID 122. The transmission ID 121 stores identification information that is given when a signal is transmitted. The reception ID 122 stores identification information for extracting a signal (reception frame) that allows reception.

通信制御部13は、通信インタフェース10F(通信部)を介した外部の装置との通信を制御する。通信インタフェース10Fは、ECU10をバス2に接続するインタフェースである。通信制御部13が生成した送信信号は、有効状態に設定された通信インタフェース10Fによって変換されてバス2に出力される。なお、無効状態として設定された通信インタフェース10Fは、バス2に信号を出力しない。無効状態とは、バス2に信号を出力しないように送信が禁止された状態、つまり、送信に関する機能が制限された状態である。   The communication control unit 13 controls communication with an external device via the communication interface 10F (communication unit). The communication interface 10 </ b> F is an interface that connects the ECU 10 to the bus 2. The transmission signal generated by the communication control unit 13 is converted by the communication interface 10F set to the valid state and output to the bus 2. Note that the communication interface 10 </ b> F set as an invalid state does not output a signal to the bus 2. The invalid state is a state in which transmission is prohibited so as not to output a signal to the bus 2, that is, a state in which functions related to transmission are restricted.

例えば、通信インタフェース10Fは、フレーム処理部15と、ドライバ回路17とを備える。フレーム処理部15は、通信制御部13が生成した送信信号を、所定のフレーム形式の送信フレームに変換して、ドライバ回路17を介してバス2に送信する。フレーム処理部15は、バス2からドライバ回路17を介して受信した信号から所定のフレーム形式の受信フレームを抽出して、通信制御部13に受信信号を供給する。   For example, the communication interface 10 </ b> F includes a frame processing unit 15 and a driver circuit 17. The frame processing unit 15 converts the transmission signal generated by the communication control unit 13 into a transmission frame in a predetermined frame format, and transmits the transmission frame to the bus 2 via the driver circuit 17. The frame processing unit 15 extracts a reception frame in a predetermined frame format from a signal received from the bus 2 via the driver circuit 17 and supplies the reception signal to the communication control unit 13.

通信インタフェース10Fは、上記の無効状態に制御されて送信が禁止されている期間であっても、バス2から信号を受信する。通信制御部13は、バス2から受信した信号に対する受信処理をして、他の装置からの通信要求を制御部11に通知する。   The communication interface 10F receives a signal from the bus 2 even during a period in which transmission is prohibited by being controlled to the invalid state. The communication control unit 13 performs reception processing on the signal received from the bus 2 and notifies the control unit 11 of a communication request from another device.

禁止部19は、例えば、所定の条件が満たされた場合に、バス2に信号を送信する通信インタフェース10Fによって、信号の送信を禁止する。例えば、禁止部19は、ドライバ回路17からバス2に対する信号の送信を禁止する。   For example, the prohibition unit 19 prohibits signal transmission by the communication interface 10F that transmits a signal to the bus 2 when a predetermined condition is satisfied. For example, the prohibition unit 19 prohibits signal transmission from the driver circuit 17 to the bus 2.

ここで、制御部11による送信禁止制御について説明する。制御部11は、ネットワークNWからの受信信号に基づいて、送信の禁止が正常に行われているかを判定する。   Here, transmission prohibition control by the control unit 11 will be described. The control unit 11 determines whether or not transmission is normally prohibited based on the received signal from the network NW.

図4は、本実施形態の送信禁止処理の判定基準について説明するための図である。
送信IDと所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、送信IDと所定の程度の同一性がともにある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、送信IDと所定の程度の同一性がともにない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。
第3のケースとして、送信IDが一致して、所定の程度の同一性がない場合には、自ECU10の送信IDを詐称してなりすました装置が存在する可能性が高いものと判断し得ることから「なりすまし」の疑義があると判定する。
第4のケースとして、送信IDが一致せずに、所定の程度の同一性がある場合には、他のECU10が送信した信号に、単に所定の範囲と同じ情報が含まれていた可能性が高いものと判断し得ることから「正常状態」と判定する。
なお、上記の判定は、制御部11が実施する。 FIG. 4 is a diagram for explaining the determination criterion of the transmission prohibition process of the present embodiment.
An example of a determination criterion in which a transmission ID and a predetermined degree of identity are determined is shown.
As a first case, when there is a certain degree of identity with the transmission ID, it is determined that the ECU 10 is likely to be in a transmission state, so that it is determined as an “abnormal state”.
As a second case, when there is no predetermined degree of identity with the transmission ID, it can be determined that a transmission transmitted by another ECU 10 has been received, so that the “normal state” is determined.
As a third case, when the transmission IDs match and there is no predetermined degree of identity, it can be determined that there is a high possibility that a device spoofing the transmission ID of the own ECU 10 is present. It is determined that there is a suspicion of “spoofing”.
As a fourth case, when the transmission IDs do not match and there is a predetermined degree of identity, there is a possibility that the signal transmitted by another ECU 10 simply includes the same information as the predetermined range. Since it can be determined to be high, it is determined as “normal state”.
The determination is performed by the control unit 11.

図5は、本実施形態の送信禁止処理の手順を示すフローチャートである。この図5に示す処理は、図4の判定基準に従った処理の一例を示すものである。   FIG. 5 is a flowchart showing the procedure of the transmission prohibition process of the present embodiment. The process shown in FIG. 5 shows an example of the process according to the determination standard of FIG.

まず、制御部11は、送信の禁止を設定する処理を実施する(SA11)。例えば、制御部11は、通信インタフェース10Fを活性化状態にしたまま、上位処理が通信要求を発行しないように制御して、通信インタフェース10Fに対する信号(送信信号)が出力されないように制御する。上記の制御により送信信号の出力が停止することが期待されるが、何らかの要因により送信信号の出力が停止しないことがある。以下の処理により、そのような状況が生じたことを検出する。   First, the control unit 11 performs processing for setting prohibition of transmission (SA11). For example, the control unit 11 performs control so that a host process does not issue a communication request while keeping the communication interface 10F in an activated state so that a signal (transmission signal) for the communication interface 10F is not output. Although the output of the transmission signal is expected to stop due to the above control, the output of the transmission signal may not stop due to some factor. The following process detects that such a situation has occurred.

次に、制御部11は、バス2から受信した信号に基づく受信信号と、通信制御部13から出力された送信信号とを検出する(SA12)。例えば、制御部11は、フレーム処理部15が抽出した受信フレームに含まれた受信信号と、通信制御部13が生成した送信信号と、を検出する。   Next, the control unit 11 detects a reception signal based on the signal received from the bus 2 and a transmission signal output from the communication control unit 13 (SA12). For example, the control unit 11 detects a reception signal included in the reception frame extracted by the frame processing unit 15 and a transmission signal generated by the communication control unit 13.

次に、制御部11は、その受信信号が、対象の制御部11を含むECU10(例えば、ECU10−1)を送信元とするものであるか否かを判定する(SA13)。例えば、受信信号が、制御部11を含むECU10を送信元とするものであるか否かの判定は、受信信号に含まれる送信IDが、送信ID121に格納されているものと一致するか否かを判定の基準にしてもよい。   Next, the control unit 11 determines whether or not the received signal is transmitted from the ECU 10 (for example, ECU 10-1) including the target control unit 11 (SA13). For example, whether or not the received signal is sent from the ECU 10 including the control unit 11 is determined by whether or not the transmission ID included in the received signal matches that stored in the transmission ID 121. May be used as a criterion for determination.

制御部11は、受信信号に含まれる送信IDが送信ID121に格納されているものと一致せず、その受信信号がECU10−1を送信元とするものと識別されなかった場合には、「正常状態」にあると判定し(SA14)、上記の一連の処理を終える。   When the transmission ID included in the reception signal does not match that stored in the transmission ID 121 and the reception signal is not identified as having the ECU 10-1 as the transmission source, the control unit 11 It is determined that it is in the “state” (SA14), and the above series of processing ends.

制御部11は、受信信号に含まれる送信IDが送信ID121に格納されているものと一致して、その受信信号がECU10−1を送信元とするものと識別された場合には、ECU10−1の通信制御部13が生成する信号と所定の程度で同一であるか否かを判定する(SA15)。   When the transmission ID included in the received signal matches that stored in the transmission ID 121 and the received signal is identified as having the ECU 10-1 as the transmission source, the control unit 11 determines that the ECU 10-1 It is determined whether or not the signal generated by the communication control unit 13 is identical to a predetermined level (SA15).

制御部11は、受信信号が、通信制御部13が生成する信号と所定の程度で同一である場合に、送信の禁止が正常に行われていない「異常状態」にあると判定し(SA16)、例えば、通信インタフェース10Fに供給する電力を遮断して通信インタフェース10Fからバス2に対する信号の送信を停止させるといった所定の異常判定時処理を行う(SA17)。その後、上記の一連の処理を終える。   When the received signal is the same as the signal generated by the communication control unit 13 to a predetermined degree, the control unit 11 determines that the transmission is not normally prohibited and is in an “abnormal state” (SA16). For example, predetermined abnormality determination processing is performed such that power supplied to the communication interface 10F is cut off and transmission of signals from the communication interface 10F to the bus 2 is stopped (SA17). Thereafter, the above series of processing is completed.

制御部11は、その受信信号が、通信制御部13が生成する信号と所定の程度で同一ではない場合に、ECU10−1になりすました装置(「なりすまし」)が存在すると判定する(SA18)。つまり、上記の場合は、ECU10−1を送信元とする信号であり、且つ、通信制御部13が生成する信号と所定の程度で同一ではない場合に相当する。制御部11は、上記の一連の処理を終える。   The control unit 11 determines that there is a device impersonating the ECU 10-1 (“spoofing”) when the received signal is not identical to a signal generated by the communication control unit 13 to a predetermined degree (SA18). That is, the above case corresponds to a case where the signal is transmitted from the ECU 10-1 and is not identical to a signal generated by the communication control unit 13 to a predetermined extent. The control unit 11 finishes the series of processes described above.

なお、所定の程度で同一であることとは、下記の例が挙げられる。下記の例のうちの何れか又は複数を組み合わせにより、所定の程度で同一性を判定してもよい。   In addition, the following example is mentioned that it is the same in a predetermined degree. The identity may be determined to a predetermined degree by combining any one or more of the following examples.

第1の例として、所定の期間内の送出信号と受信信号の論理が、所定の個数連続して一致するかを判定する場合がある。
第2の例として、所定の期間内で送出信号と受信信号の論理が一致した比率が、所定値以上であるかを判定する場合がある。
第3の例として、所定の期間内で送出信号と受信信号の論理が一致しなかった比率が、所定値以下であるかを判定する場合がある。
第4の例として、送出信号と受信信号のフレーム構造の特徴が一致するかを判定する場合がある。例えば、上記の特徴は、所定のフレーム様式、フレーム長などである。
第5の例として、送出信号と受信信号のフレーム内の所定の位置の情報が一致する場合がある。例えば、上記の情報は、通信エラー検出のための補助情報、暗号鍵、特定の識別情報などである。 As a first example, there is a case where it is determined whether a predetermined number of logics of a transmission signal and a reception signal within a predetermined period coincide with each other.
As a second example, there is a case where it is determined whether or not the ratio at which the logics of the transmission signal and the reception signal match within a predetermined period is equal to or greater than a predetermined value.
As a third example, there is a case where it is determined whether or not the ratio at which the logics of the transmission signal and the reception signal do not match within a predetermined period is equal to or less than a predetermined value.
As a fourth example, it may be determined whether the characteristics of the frame structure of the transmission signal and the reception signal match. For example, the above features are a predetermined frame format, a frame length, and the like.
As a fifth example, there is a case where information of a predetermined position in a frame of a transmission signal and a reception signal matches. For example, the information is auxiliary information for detecting a communication error, an encryption key, specific identification information, and the like.

上記の実施形態によれば、通信システム1は、ネットワーク(バス2)に信号を送信する通信インタフェース10Fに対して信号の送信を禁止させる禁止部19と、ネットワーク(バス2)からの受信信号に基づいて、上記の送信の禁止が正常に行われているかの判定を行う制御部11と、を備えていることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。   According to the above-described embodiment, the communication system 1 uses the prohibition unit 19 that prohibits transmission of signals to the communication interface 10F that transmits signals to the network (bus 2), and the reception signal from the network (bus 2). On the basis of this, it is possible to more easily detect that transmission to the network is stopped by including the control unit 11 that determines whether or not the prohibition of transmission is normally performed.

なお、通信インタフェース10Fは、禁止部19によって送信が禁止されている期間であっても、機能が活性化されていてネットワーク(バス2)から信号を受信可能である。制御部11は、通信インタフェース10Fが受信する受信信号に基づいて判定を行うことができ、これにより、ネットワークに対する送信が停止していることをより簡便に検出できる。   Note that the communication interface 10F is capable of receiving a signal from the network (bus 2) because the function is activated even during a period in which transmission is prohibited by the prohibition unit 19. The control unit 11 can make a determination based on a reception signal received by the communication interface 10F, and thereby can more easily detect that transmission to the network is stopped.

なお、制御部11は、受信信号が、制御部11を含むECU10の通信制御部13が生成する信号と所定の程度で同一の場合に、送信の禁止が正常に行われていないと判定することにより、ネットワークに対する送信が停止していることをより簡便に検出できる。   The control unit 11 determines that the prohibition of transmission is not normally performed when the received signal is the same as the signal generated by the communication control unit 13 of the ECU 10 including the control unit 11 to a predetermined degree. Thus, it is possible to more easily detect that transmission to the network is stopped.

なお、制御部11は、受信信号が、制御部11を含むECU10を送信元とする信号であり且つ通信制御部13が生成する信号と所定の程度で同一の場合に、送信の禁止が正常に行われていないと判定してもよい。   The control unit 11 normally prohibits transmission when the received signal is a signal having the ECU 10 including the control unit 11 as a transmission source and is identical to a signal generated by the communication control unit 13 to a predetermined extent. It may be determined that it has not been performed.

なお、制御部11は、受信信号が、制御部11を含むECU10を送信元とする信号であり且つ通信制御部13が生成する信号と所定の程度で同一ではない場合に、ECU10になりすました装置が存在すると判定してもよい。   The control unit 11 is a device that impersonates the ECU 10 when the received signal is a signal originating from the ECU 10 including the control unit 11 and not identical to a signal generated by the communication control unit 13 to a predetermined extent. May be determined to exist.

(第1の実施形態の変形例)
第1の実施形態の変形例について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性について判定するものであった。これに代えて、本変形例の判定基準は、送信IDの同一性について判定するものであり、この点が第1の実施形態の判定基準とは異なる。以下、これについて説明する。 (Modification of the first embodiment)
A modification of the first embodiment will be described. The determination criterion of the first embodiment is to determine a predetermined degree of identity with the transmission ID. Instead, the determination criterion of this modification is for determining the identity of the transmission ID, and this point is different from the determination criterion of the first embodiment. This will be described below.

例えば、図5のSA15とSA17の処理を省略することにより、制御部11は、受信信号が、通信制御部13が生成する信号と所定の程度で同一である場合に、送信の禁止が正常に行われていない「異常状態」にあると判定し(SA16)、上記の一連の処理を終えてもよい。   For example, by omitting the processing of SA15 and SA17 in FIG. 5, the control unit 11 correctly prohibits transmission when the received signal is the same level as the signal generated by the communication control unit 13. It may be determined that there is an “abnormal state” that has not been performed (SA16), and the above-described series of processing may be terminated.

この場合、ECU10自体の異常状態なのか、なりすましが存在するのかの識別結果を得ることはできないが、通信システム1内に「異常状態」が生じていることを検出することができる。   In this case, although it is not possible to obtain an identification result as to whether the ECU 10 itself is in an abnormal state or whether impersonation exists, it is possible to detect that an “abnormal state” has occurred in the communication system 1.

本変形例によれば、上記の差異があるものの、第1の実施形態と同様の効果を奏する。   According to this modification, although there is the above difference, the same effect as the first embodiment can be obtained.

(第2の実施形態)
第2の実施形態について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性を判定するものであった。これに代えて、本実施形態の判定基準は、所定の程度の同一性を判定するものであり、第1の実施形態の判定基準とは異なる。以下、これについて説明する。 (Second Embodiment)
A second embodiment will be described. The criterion of the first embodiment is to determine a certain degree of identity with the transmission ID. Instead, the determination criterion of this embodiment is to determine a predetermined degree of identity, and is different from the determination criterion of the first embodiment. This will be described below.

図6は、本実施形態の送信禁止処理の判定基準について説明するための図である。
図6に、所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、所定の程度の同一性がある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、所定の程度の同一性がない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。 FIG. 6 is a diagram for explaining the determination criterion of the transmission prohibition process of the present embodiment.
FIG. 6 shows an example of a criterion for determining a predetermined degree of identity.
As a first case, when there is a predetermined degree of identity, it is determined that the own ECU 10 is highly likely to be in a transmission state, and therefore, it is determined as an “abnormal state”.
As a second case, when there is no predetermined degree of identity, it can be determined that a transmission transmitted by another ECU 10 has been received, so that the “normal state” is determined.

図7は、本実施形態の送信禁止処理の手順を示すフローチャートである。この図7に示す処理は、図6の判定基準に従った処理の一例を示すものである。   FIG. 7 is a flowchart showing the procedure of the transmission prohibition process of the present embodiment. The process shown in FIG. 7 shows an example of the process according to the determination standard of FIG.

まず、制御部11は、送信の禁止を設定する処理を実施する(SB11)。   First, the control unit 11 performs processing for setting prohibition of transmission (SB11).

次に、制御部11は、バス2から受信した信号と、通信制御部13から出力された信号を検出する(SB12)。   Next, the control unit 11 detects the signal received from the bus 2 and the signal output from the communication control unit 13 (SB12).

次に、制御部11は、その受信信号が、制御部11を含むECU10(例えば、ECU10−1)の通信制御部13が生成する信号と所定の程度で同一性があるか否かを判定する(SB13)。   Next, the control unit 11 determines whether or not the received signal is identical to a signal generated by the communication control unit 13 of the ECU 10 (for example, the ECU 10-1) including the control unit 11 to a predetermined degree. (SB13).

制御部11は、受信信号が、ECU10−1の通信制御部13が生成する信号と所定の程度で同一性がない場合には、対象のECU10−1とは異なるECU10が送信した可能性が見込まれる。制御部11は、対象のECU10−1が送信の禁止状態にあり「正常状態」と判定し(SB14)、上記の一連の処理を終える。   When the received signal is not identical to a signal generated by the communication control unit 13 of the ECU 10-1 to a predetermined degree, the control unit 11 is expected to be transmitted by an ECU 10 different from the target ECU 10-1. It is. The control unit 11 determines that the target ECU 10-1 is in a transmission prohibited state and is in a “normal state” (SB14), and ends the above series of processes.

制御部11は、受信信号が、ECU10−1の通信制御部13が生成する信号と所定の程度で同一性がある場合には、対象のECU10−1が送信した可能性が見込まれる。制御部11は、対象のECU10−1における送信の禁止が正常に行われていない「異常状態」にあると判定し(SB16)、例えば、通信インタフェース10Fに供給する電力を遮断して通信インタフェース10Fからバス2に対する信号の送信を停止させるといった所定の異常判定時処理を行う所定の異常判定時処理を行う(SB17)。その後、上記の一連の処理を終える。   When the received signal is identical to the signal generated by the communication control unit 13 of the ECU 10-1 to a predetermined degree, the control unit 11 is expected to be transmitted by the target ECU 10-1. The control unit 11 determines that the target ECU 10-1 is in an “abnormal state” in which transmission is not normally prohibited (SB16), and cuts off the power supplied to the communication interface 10F, for example. Then, a predetermined abnormality determination process is performed to perform a predetermined abnormality determination process such as stopping transmission of a signal to the bus 2 (SB17). Thereafter, the above series of processing is completed.

上記の実施形態によれば、第1の実施形態と同様の効果を奏することの他、所定の程度の同一性を判定するという構成により、ネットワークに対する送信が停止していることをより簡便に検出できる。
(異常判定時処理の例)
前述の実施例で示したSA17およびSB17における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。
(ア)通信インタフェース10Fに供給する電力を遮断する。これにより、通信インタフェース10Fを不活性化させ、バス2に対して信号が送信されることを停止させる。
(イ)ECU10−1を送信元とする信号を受信する場合にこれを破棄することを要求する信号を、他の通信装置に対して送信する。
当該信号は、制御部を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。 According to the above embodiment, it is possible to more easily detect that transmission to the network is stopped by the configuration in which a predetermined degree of identity is determined in addition to the same effects as the first embodiment. it can.
(Example of abnormality determination processing)
The “abnormality determination process” in SA17 and SB17 shown in the above-described embodiment can be implemented by combining one or more of the following, for example.
(A) The power supplied to the communication interface 10F is cut off. As a result, the communication interface 10F is deactivated, and transmission of signals to the bus 2 is stopped.
(A) When receiving a signal having the ECU 10-1 as a transmission source, a signal requesting discarding the signal is transmitted to another communication device.
The signal may be transmitted via the bus 2 by controlling the control unit, or may be transmitted via a signal line different from the bus 2 that connects the communication devices.

(第3の実施形態)
第3の実施形態について説明する。第1の実施形態と第2の実施形態の事例は、共に1つのECU10内で判定処理を実施するものである。これに代えて、本実施形態では、禁止部が信号の送信を禁止する対象とする通信部と、ECU10の送信状態を判定する制御部(判定部)とが互いに異なるECU10に含まれて構成され、これらの複数のECU10が連携して機能するものであり、この点が前述の実施形態の事例とは異なる。以下、これについて説明する。 (Third embodiment)
A third embodiment will be described. In both cases of the first embodiment and the second embodiment, the determination process is performed in one ECU 10. Instead, in the present embodiment, the communication unit that is the target for which the prohibition unit prohibits signal transmission and the control unit (determination unit) that determines the transmission state of the ECU 10 are included in different ECUs 10. The plurality of ECUs 10 function in cooperation, and this point is different from the case of the above-described embodiment. This will be described below.

図8は、本実施形態の通信システム1の概略構成を示す図である。図8に示す通信システム1は、監視装置と被監視装置の関係にある3つのECU10を含む。例えば、ECU10−1が監視装置であり、ECU10−2とECU10−3とが被監視装置である。   FIG. 8 is a diagram showing a schematic configuration of the communication system 1 of the present embodiment. The communication system 1 shown in FIG. 8 includes three ECUs 10 that are in a relationship between a monitoring device and a monitored device. For example, the ECU 10-1 is a monitoring device, and the ECU 10-2 and the ECU 10-3 are monitored devices.

ECU10−1は、制御部11−1と、記憶部12−1と、通信制御部13−1とを含む。ECU10−2は、制御部11−2と、記憶部12−2と、通信制御部13−2(送信信号生成部)と、禁止部19−2とを含む。ECU10−3は、制御部11−3と、記憶部12−3と、通信制御部13−3(送信信号生成部)と、禁止部19−3とを含む。   The ECU 10-1 includes a control unit 11-1, a storage unit 12-1, and a communication control unit 13-1. ECU 10-2 includes a control unit 11-2, a storage unit 12-2, a communication control unit 13-2 (transmission signal generation unit), and a prohibition unit 19-2. The ECU 10-3 includes a control unit 11-3, a storage unit 12-3, a communication control unit 13-3 (transmission signal generation unit), and a prohibition unit 19-3.

つまり、禁止部19−2は、被監視装置としてのECU10−2に設けられ、禁止部19−3は、被監視装置としてのECU10−3に設けられている。制御部11−1は、監視装置としてのECU10−1に設けられている。このように、実施形縦の制御部は、制御対象の禁止部とは別体で構成されている。   That is, the prohibition unit 19-2 is provided in the ECU 10-2 as the monitored device, and the prohibition unit 19-3 is provided in the ECU 10-3 as the monitored device. The control part 11-1 is provided in ECU10-1 as a monitoring apparatus. As described above, the vertical control unit according to the embodiment is configured separately from the prohibited unit to be controlled.

ECU10−2の禁止部19−2に関する機能は、ECU10−1の制御部11−1から制御される。この点が、第1の実施形態と第2の実施形態とに示した禁止部19とは異なる。前述の実施形態との相違点を中心に説明する。   Functions related to the prohibition unit 19-2 of the ECU 10-2 are controlled by the control unit 11-1 of the ECU 10-1. This point is different from the prohibition unit 19 shown in the first embodiment and the second embodiment. The description will focus on the differences from the above-described embodiment.

各ECU10は、バス2を介して接続されており、さらに、バス2とは異なる制御線により接続されている。実施形態のECU10−2は、平常時に少なくともECU10−3に対して所定の周期で制御信号を送信する。   Each ECU 10 is connected via a bus 2 and further connected by a control line different from that of the bus 2. The ECU 10-2 of the embodiment transmits a control signal at a predetermined cycle to at least the ECU 10-3 at normal times.

図9は、本実施形態の送信禁止処理の手順を示すフローチャートである。   FIG. 9 is a flowchart showing the procedure of the transmission prohibition process of the present embodiment.

まず、ECU10−2は、ECU10−3に対して所定の周期で所望の制御信号を送信する(SC211からSC213)。ECU10−3は、ECU10−2からの制御信号を受信して、その制御信号に応じた所定の処理を実施する(SC311からSC313)。   First, the ECU 10-2 transmits a desired control signal to the ECU 10-3 at a predetermined cycle (SC211 to SC213). The ECU 10-3 receives the control signal from the ECU 10-2, and performs predetermined processing according to the control signal (SC311 to SC313).

次に、ECU10−1の制御部11−1は、バス2を介した通信を利用してECU10−2の送信の禁止を指示するための処理を実施する(SC111)。その後、制御部11−1は、バス2を介した通信の信号を継続して受信する。   Next, the control part 11-1 of ECU10-1 implements the process for instruct | indicating prohibition of transmission of ECU10-2 using the communication via the bus | bath 2 (SC111). Thereafter, the control unit 11-1 continuously receives a communication signal via the bus 2.

ECU10−2の制御部11−2は、ECU10−1から送信の禁止に関する通知を受け、送信の禁止を設定する処理を実施する(SC214)。例えば、制御部11−2は、通信インタフェース10F−2を活性化状態にしたまま、上位処理が通信要求を発行しないように制御して、通信制御部13−2から通信インタフェース10F−2に対する信号(送信信号)が出力されないように制御する。   The control unit 11-2 of the ECU 10-2 receives the notification regarding the prohibition of transmission from the ECU 10-1, and performs a process of setting the prohibition of transmission (SC214). For example, the control unit 11-2 controls the host processing so as not to issue a communication request while the communication interface 10F-2 is in an activated state, and the communication control unit 13-2 transmits a signal to the communication interface 10F-2. Control (transmission signal) is not output.

次に、制御部11−1は、バス2から信号(受信信号)を受信する(SC112)。同じ信号は、バス2に接続された他のECU10においても受信可能である。例えば、制御部11−3は、バス2から上記と同じ受信信号を受信する(SC314)。   Next, the control unit 11-1 receives a signal (reception signal) from the bus 2 (SC112). The same signal can also be received by other ECUs 10 connected to the bus 2. For example, the control unit 11-3 receives the same reception signal as described above from the bus 2 (SC314).

次に、制御部11−1は、その受信信号が、ECU10−2を送信元とするものであるか否かを、受信信号に付与された送信IDに基づいて判定する(SC113)。   Next, control unit 11-1 determines whether or not the received signal is sent from ECU 10-2 based on the transmission ID given to the received signal (SC113).

制御部11−1は、受信信号に含まれる送信IDがECU10−2の送信IDに一致しなかった場合には、「正常状態」にあると判定し、上記の一連の処理を終える。   When the transmission ID included in the received signal does not match the transmission ID of the ECU 10-2, the control unit 11-1 determines that the control unit 11-1 is in the “normal state” and ends the above series of processes.

制御部11−1は、受信信号に含まれる送信IDがECU10−2の送信IDに一致した場合には、所望の異常判定処理を実施する(SC116)。
例えば、制御部11−1は、所望の異常判定処理として、ECU10−2を送信元とする信号を受信する場合に、これを破棄することを要求する信号(破棄要求信号)を、他のECU10に対して送信する(SC114)。例えば、ECU10−3は、上記の破棄要求信号を受け、先にSC314において受信していた受信信号を無効化して、所定の制御に適用せずに破棄する(SC315)。 When the transmission ID included in the received signal matches the transmission ID of ECU 10-2, control unit 11-1 performs a desired abnormality determination process (SC116).
For example, when a signal having the ECU 10-2 as a transmission source is received as a desired abnormality determination process, the control unit 11-1 transmits a signal (discard request signal) requesting discarding this signal to another ECU 10 (SC114). For example, the ECU 10-3 receives the discard request signal, invalidates the received signal that was previously received in the SC 314, and discards it without applying the predetermined control (SC 315).

制御部11−1は、ECU10−2の禁止部19−2に対して送信停止を指示する(SC115)。   The control unit 11-1 instructs the prohibition unit 19-2 of the ECU 10-2 to stop transmission (SC115).

次に、ECU10−2の禁止部19−2は、送信停止の指示を受け、通信インタフェース10Fからバス2に対する信号の送信を停止させる(SC215)。その後、上記の一連の処理を終える。   Next, the prohibition unit 19-2 of the ECU 10-2 receives an instruction to stop transmission, and stops transmission of signals from the communication interface 10F to the bus 2 (SC215). Thereafter, the above series of processing is completed.

上記の実施形態によれば、第1の実施形態と同様の効果を奏することの他、通信インタフェース10F−2と、制御部11−1とは、それぞれ異なるECU10に含まれており、これらの複数のECU10を連系させることにより、送信の禁止を指示する監視装置からの指示に従って、被監視装置がネットワークに対する送信を停止することが可能になる。この被監視装置は、ネットワークに対する送信が停止していることを自装置内で検出することができ、より簡便な方法で送信の停止を検出することができる。   According to the above embodiment, in addition to the same effects as those of the first embodiment, the communication interface 10F-2 and the control unit 11-1 are included in different ECUs 10, respectively. By linking the ECU 10, the monitored device can stop transmission to the network in accordance with an instruction from the monitoring device instructing prohibition of transmission. This monitored apparatus can detect that transmission to the network is stopped in its own apparatus, and can detect the stop of transmission by a simpler method.

(異常判定時処理の例)
上記実施例で示したECU10−1における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。 (Example of abnormality determination processing)
About "the process at the time of abnormality determination" in ECU10-1 shown in the said Example, it can implement, for example, combining one or more from the following.

(ア)通信インタフェース10F−2に供給する電力を遮断する。これにより、通信インタフェース10F−2を不活性化させ、バス2に対して信号が送信されることを停止させる。 (A) The power supplied to the communication interface 10F-2 is cut off. As a result, the communication interface 10F-2 is deactivated, and transmission of signals to the bus 2 is stopped.

(イ)ECU10−2を送信元とする信号を受信する場合にこれを破棄することを要求する信号を、他の通信装置に対して送信する。
当該信号は、制御部11−1を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。なお、「異常判定時処理」を、当該信号線を介して当該信号を送信する処理とすることは、SC214での「送信禁止(送信停止)」の処理が、例えば、通信インタフェース10F−2に供給する電力を遮断して通信インタフェース10F−2を不活性化させる処理である場合に、より好適となる場合がある。 (A) When a signal having the transmission source of the ECU 10-2 is received, a signal requesting that the signal be discarded is transmitted to another communication device.
The signal may be transmitted via the bus 2 by controlling the control unit 11-1, or may be transmitted via a signal line different from the bus 2 that connects the communication devices. It should be noted that the processing for transmitting the signal via the signal line as the “abnormality determination time processing” means that the “transmission prohibited (transmission stopped)” processing in SC214 is performed, for example, on the communication interface 10F-2 It may be more preferable when the process is to inactivate the communication interface 10F-2 by cutting off the power to be supplied.

なお、上記の実施形態によれば、上記のSC111とSC214の処理によりECU10−2からの送信信号の出力が停止することが期待されるが、何らかの要因により送信信号の出力が停止しないことがあっても、上記の処理により、そのような状況が生じたことの影響を低減させることができる。   Note that, according to the above embodiment, the output of the transmission signal from the ECU 10-2 is expected to stop due to the processing of SC111 and SC214, but the output of the transmission signal may not stop for some reason. However, the above processing can reduce the influence of such a situation.

以上説明した少なくともひとつの実施形態によれば、通信システム1は、ネットワーク(バス2)に信号を送信する通信部に対して信号の送信を禁止させる禁止部19と、ネットワーク(バス2)からの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部11と、を備える。ネットワーク(バス2)からの受信信号に基づいて通信部からの送信の禁止が正常に行われているかの判定を行い、判定の結果に基づいて通信部に対して信号の送信を禁止させることができることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。   According to at least one embodiment described above, the communication system 1 includes a prohibition unit 19 that prohibits a communication unit that transmits a signal to the network (bus 2) and a network (bus 2) from the prohibition unit 19. And a control unit 11 that determines whether the prohibition of transmission is normally performed based on a received signal. Based on the received signal from the network (bus 2), it is determined whether the prohibition of transmission from the communication unit is normally performed, and the communication unit is prohibited from transmitting a signal based on the determination result. As a result, it is possible to more easily detect that transmission to the network is stopped.

以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。   As mentioned above, although the form for implementing this invention was demonstrated using embodiment, this invention is not limited to such embodiment at all, In the range which does not deviate from the summary of this invention, various deformation | transformation and substitution Can be added.

1‥通信システム、2…バス、3…IF装置、10、10−1、10−2、10−3…ECU、11…制御部、12…記憶部、50…外部装置。 DESCRIPTION OF SYMBOLS 1 ... Communication system, 2 ... Bus, 3 ... IF apparatus, 10, 10-1, 10-2, 10-3 ... ECU, 11 ... Control part, 12 ... Memory | storage part, 50 ... External device.

Claims (7)

ネットワークに信号を送信する通信部に対して信号の送信を禁止させる禁止部と、
前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部と、
を備える通信システム。 A prohibition unit that prohibits transmission of a signal to a communication unit that transmits a signal to the network;
A control unit that determines whether the prohibition of transmission is normally performed based on a received signal from the network;
A communication system comprising: 前記通信部は、前記禁止部によって送信が禁止されている期間であっても、前記ネットワークから信号を受信可能であり、
前記制御部は、前記通信部が受信する前記受信信号に基づいて前記判定を行う、
ことを特徴とする請求項1に記載の通信システム。 The communication unit can receive a signal from the network even during a period in which transmission is prohibited by the prohibition unit,
The control unit performs the determination based on the reception signal received by the communication unit.
The communication system according to claim 1. 前記禁止部が信号の送信を禁止する対象とする前記通信部と、前記制御部とは、それぞれ異なる通信装置に含まれる、
ことを特徴とする請求項1に記載の通信システム。 The communication unit, which is a target for which the prohibition unit prohibits signal transmission, and the control unit are included in different communication devices, respectively.
The communication system according to claim 1. 前記制御部は、前記受信信号が、前記制御部を含む通信装置の送信信号生成部が生成する信号と所定の程度で同一の場合に、前記送信の禁止が正常に行われていないと判定する、
ことを特徴とする請求項1から請求項3の何れか1項に記載の通信システム。 The control unit determines that the prohibition of transmission is not normally performed when the received signal is identical to a signal generated by a transmission signal generation unit of a communication apparatus including the control unit to a predetermined degree. ,
The communication system according to any one of claims 1 to 3, characterized in that: 前記制御部は、前記受信信号が、前記制御部を含む通信装置を送信元とする信号であり且つ前記送信信号生成部が生成する信号と所定の程度で同一の場合に、前記送信の禁止が正常に行われていないと判定する、
ことを特徴とする請求項4に記載の通信システム。 The control unit prohibits the transmission when the received signal is a signal originating from a communication device including the control unit and is identical to a signal generated by the transmission signal generation unit to a predetermined extent. Determine that it is not done normally,
The communication system according to claim 4. 前記制御部は、前記受信信号が、前記制御部を含む通信装置を送信元とする信号であり且つ前記送信信号生成部が生成する信号と所定の程度で同一ではない場合に、前記通信装置になりすました装置が存在すると判定する
ことを特徴とする請求項4又は請求項5に記載の通信システム。 When the received signal is a signal originating from a communication device including the control unit and is not identical to a signal generated by the transmission signal generation unit to a predetermined extent, the control unit The communication system according to claim 4, wherein it is determined that a spoofed device exists. ネットワークに信号を送信する通信部に対して信号の送信を禁止部に禁止させ、
前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う過程
を含む通信制御方法。 Forbid the transmission of the signal to the communication unit that transmits the signal to the network,
A communication control method including a step of determining whether the prohibition of transmission is normally performed based on a received signal from the network.
JP2017101841A 2017-05-23 2017-05-23 Communication system and communication control method Active JP6628106B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017101841A JP6628106B2 (en) 2017-05-23 2017-05-23 Communication system and communication control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017101841A JP6628106B2 (en) 2017-05-23 2017-05-23 Communication system and communication control method

Publications (2)

Publication Number Publication Date
JP2018198363A true JP2018198363A (en) 2018-12-13
JP6628106B2 JP6628106B2 (en) 2020-01-08

Family

ID=64663949

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017101841A Active JP6628106B2 (en) 2017-05-23 2017-05-23 Communication system and communication control method

Country Status (1)

Country Link
JP (1) JP6628106B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020137013A (en) * 2019-02-22 2020-08-31 パナソニックIpマネジメント株式会社 Electronic control device, electronic control system, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07264219A (en) * 1994-03-22 1995-10-13 Matsushita Electric Ind Co Ltd Data transmission method
JP2011189918A (en) * 2010-03-17 2011-09-29 Hitachi Automotive Systems Ltd Vehicular control device
WO2015182103A1 (en) * 2014-05-29 2015-12-03 パナソニックIpマネジメント株式会社 Transmission device, reception device, transmission method, and reception method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07264219A (en) * 1994-03-22 1995-10-13 Matsushita Electric Ind Co Ltd Data transmission method
JP2011189918A (en) * 2010-03-17 2011-09-29 Hitachi Automotive Systems Ltd Vehicular control device
WO2015182103A1 (en) * 2014-05-29 2015-12-03 パナソニックIpマネジメント株式会社 Transmission device, reception device, transmission method, and reception method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020137013A (en) * 2019-02-22 2020-08-31 パナソニックIpマネジメント株式会社 Electronic control device, electronic control system, and program
JP7117559B2 (en) 2019-02-22 2022-08-15 パナソニックIpマネジメント株式会社 Electronic controller, electronic control system and program

Also Published As

Publication number Publication date
JP6628106B2 (en) 2020-01-08

Similar Documents

Publication Publication Date Title
US10104094B2 (en) On-vehicle communication system
US8925083B2 (en) Cyber security in an automotive network
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US9787817B2 (en) Communication system and control device
US11070547B2 (en) Electronic control device, a communication management method performable and a non-transitory storage medium configured to restrict predetermined communication in an in-vehicle network
KR101972457B1 (en) Method and System for detecting hacking attack based on the CAN protocol
US11228602B2 (en) In-vehicle network system
JP2016134671A (en) Data generation device, communication device, communication system, mobile, data generation method and program
JP6375962B2 (en) In-vehicle gateway device and electronic control device
US20170187567A1 (en) Electronic control apparatus
US20180183612A1 (en) Authentication target apparatus, communication system, communication method, and program
JP2018198363A (en) Communication system, and communication control method
US11757745B2 (en) Gateway apparatus, abnormality monitoring method, and storage medium
JP7067508B2 (en) Network system
CN113273144B (en) Vehicle-mounted communication system, vehicle-mounted communication control device, vehicle-mounted communication device, communication control method, and communication method
JP7110950B2 (en) network system
CN111107078B (en) Application access method, robot control unit, server and storage medium
JP6950539B2 (en) Network system
JP6950540B2 (en) Network system
JP6919430B2 (en) Network system
JP2013121071A (en) Relay system, and relay device and external device forming the same
JP7328419B2 (en) In-vehicle communication system, in-vehicle communication device, computer program and communication method
JP6954167B2 (en) Network system
JP6885305B2 (en) Network system
JP2016129339A (en) Reception device and reception method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180129

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20181005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191120

R150 Certificate of patent or registration of utility model

Ref document number: 6628106

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150