JP6628106B2 - 通信システム、及び通信制御方法 - Google Patents
通信システム、及び通信制御方法 Download PDFInfo
- Publication number
- JP6628106B2 JP6628106B2 JP2017101841A JP2017101841A JP6628106B2 JP 6628106 B2 JP6628106 B2 JP 6628106B2 JP 2017101841 A JP2017101841 A JP 2017101841A JP 2017101841 A JP2017101841 A JP 2017101841A JP 6628106 B2 JP6628106 B2 JP 6628106B2
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- prohibition
- signal
- communication
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、通信システム、及び通信制御方法に関する。
近年、車両内に設けた複数の制御装置同士が車両内のネットワークを共用して通信することで、車両における各種機能を制御するための通信システムがある。ネットワークを共用している特定の装置が、通信システムに不要な信号を送信する異常状態にあると、その影響が他の装置に波及する場合がある。通信システムの中には、ネットワークに対し不要な信号を送信する制御装置に対し、その信号の送信を制限するものがある(例えば、特許文献1参照)。このように不要な信号の送信が制限されれば、ネット―ワークの通信状況を所望の状況にすることができる。
しかしながら、送信が禁止された対象の装置が、その送信の禁止によらずに信号を送信する異常状態にあるのか、その送信の禁止により信号の送信を制限しているのかを検証することが困難である。
本発明は、このような事情を考慮してなされたものであり、ネットワークに対する送信が停止していることをより簡便に検出できる通信システム、及び通信制御方法を提供することを目的の一つとする。
(1):ネットワークに信号を送信する通信部に対して信号の送信を禁止させる禁止部と、前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部と、を備え、前記ネットワークはCAN(Controller Area Network)であり、前記制御部は、前記禁止部による禁止処理の実行時に、信号生成部が生成するフレームと受信フレームの両フレームを比較し、前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致する場合に前記送信の禁止に係る禁止機能の異常と判定するとともに、前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致しない場合になりすましと判定する通信システムである。
(2):(1)において、前記通信部は、前記禁止部によって送信が禁止されている期間であっても、前記ネットワークから信号を受信可能であり、前記制御部は、前記通信部が受信する前記受信フレームに基づいて前記判定を行う。
(3):(1)において、前記禁止部が信号の送信を禁止する対象とする前記通信部と、前記制御部とは、それぞれ異なる通信装置に含まれる。
(4):(3)において、前記禁止機能の異常と判定した場合に、前記通信装置からの信号を破棄する指示を、前記CANとは異なる信号線を通じて送信する。
(5):(1)から(4)において、前記禁止機能の異常と判定した場合に、前記通信部への供給電力を遮断する。
(6):(1)から(5)において、前記制御部は、前記両フレーム内の所定の位置の情報が一致する場合を、前記両フレームが一致する場合と判定する。
(7):ネットワークに信号を送信する通信部に対して信号の送信を禁止部に禁止処理を実行させ、前記禁止部による禁止処理の実行時に、信号生成部が生成するフレームと前記ネットワークから受信した受信フレームの両フレームを比較して前記送信の禁止が正常に行われているかの判定を行う過程を含み、前記ネットワークはCANであり、前記判定を行う過程は、前記両フレームの比較により、前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致する場合に前記送信の禁止に係る禁止機能の異常と判定するとともに、前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致しない場合になりすましと判定する過程を含む通信制御方法である。
(1)によれば、通信システムは、ネットワークに信号を送信する通信部に対して信号の送信を禁止する禁止部と、前記ネットワークからの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部と、を備えることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。
以下、図面を参照し、本発明の通信システム、及び通信制御方法の実施形態について説明する。以下の説明において、同じ機能を有する構成には、同じ符号を付す。
(第1の実施形態)
図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、例えば車両4(移動体)に搭載される。通信システム1は、少なくとも車両4内にネットワークNWを構成する。ネットワークNWでは、例えば、バス2(通信バス)を介してCAN(Controller Area Network)、IEEE802.3などの通信方式に基づく通信が行われる。
図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、例えば車両4(移動体)に搭載される。通信システム1は、少なくとも車両4内にネットワークNWを構成する。ネットワークNWでは、例えば、バス2(通信バス)を介してCAN(Controller Area Network)、IEEE802.3などの通信方式に基づく通信が行われる。
通信システム1は、バス2に接続されたECU10−1からECU10−3とインタフェース装置(IF装置)3とを備える。以下、ECU10−1からECU10−3を区別しない場合は、単にECU10と表記する。「−1」から「−3」などの記載は以下で説明する他の構成についても同様である。ECU10とIF装置3は、通信装置の一例である。
以下の説明では、ECU10は、車両4のデバイスを制御する制御装置として説明するが、信号の中継機能を有する中継装置であってもよい。また、ECU10は、共通のバス2に接続されたものとして説明するが、バス2と、バス2以外のバスとに接続されていてもよい。
ECU10は、例えばエンジンを制御するエンジンECUや、シートベルトを制御するシートベルトECU等である。ECU10は、自装置が所属するネットワークNWに送信されたフレームを受信する。以下、ネットワークNWに送信される各フレームのことをフレームFという。フレームFは、それぞれに附された識別子(以下、IDという。)により識別される。ECU10は、自ECU10に係るフレームFを識別するID(以下、受信IDという)を記憶部12(図2B)に格納しておく。ECU10は、フレームFを受信する際には、受け付けたフレームFに附されたID(以下、送信IDという)を参照して、受信IDと同じ値の送信IDが附されたフレームFを抽出して取得する。ECU10は、通信をする際に通信相手の認証処理を実施する。
ネットワークNWには、ECU10の他に、外部装置50が接続されるIF装置3が設けられている。例えば、IF装置3は、外部装置50と有線回線を利用して通信するための接続端子(DLC)、又は、外部装置50と無線回線を利用して通信するための無線通信部を有している。
例えば、外部装置50は、ECU10の状態を判定する測定器である。外部装置50は、図1に示すようにIF装置3に接続される。IF装置3は、ゲートウエイとして機能して、外部装置50とECU10の通信を中継する。なお、外部装置50をIF装置3に接続することなく、通信システム1を機能させることができる。
図2は、本実施形態のECU10のハードウエア構成を示す図である。ECU10は、CPU10Aと、RAM(Random Access Memory)、レジスタ等の揮発性記憶装置10Bと、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)の不揮発性記憶装置10Cと、無線通信インタフェース10Dと、入出力装置10Eと、通信インタフェース10Fなどを含むコンピュータである。なお、ECU10は、その種類又は用途により、無線通信インタフェース10Dと入出力装置10Eの何れか又は両方を含まない場合がある。
図3は、本実施形態のECU10の機能構成を示す図である。ECU10は、制御部11と、記憶部12と、通信制御部13(送信信号生成部)と、禁止部19とを含む。例えば、制御部11と通信制御部13は、CPU10A等のプロセッサが制御プログラム(ソフトウェアプログラム)を実行することにより実現される。
制御部11は、ECU10内の各部を制御する。例えば、制御部11は、他のECU10、IF装置3、外部装置50等の他の装置からの通信要求を受け付ける。
記憶部12は、揮発性記憶装置10Bと不揮発性記憶装置10Cとによって実現される。記憶部12は、アプリケーションプログラム、通信制御プログラム等の制御プログラム125と、上記の制御プログラムの実行により参照される各種情報とを格納する。各種情報には、送信ID121と受信ID122とが含まれる。送信ID121には、信号の送信時に付与する識別情報が格納されている。受信ID122には、受信を許容する信号(受信フレーム)を抽出するための識別情報が格納されている。
通信制御部13は、通信インタフェース10F(通信部)を介した外部の装置との通信を制御する。通信インタフェース10Fは、ECU10をバス2に接続するインタフェースである。通信制御部13が生成した送信信号は、有効状態に設定された通信インタフェース10Fによって変換されてバス2に出力される。なお、無効状態として設定された通信インタフェース10Fは、バス2に信号を出力しない。無効状態とは、バス2に信号を出力しないように送信が禁止された状態、つまり、送信に関する機能が制限された状態である。
例えば、通信インタフェース10Fは、フレーム処理部15と、ドライバ回路17とを備える。フレーム処理部15は、通信制御部13が生成した送信信号を、所定のフレーム形式の送信フレームに変換して、ドライバ回路17を介してバス2に送信する。フレーム処理部15は、バス2からドライバ回路17を介して受信した信号から所定のフレーム形式の受信フレームを抽出して、通信制御部13に受信信号を供給する。
通信インタフェース10Fは、上記の無効状態に制御されて送信が禁止されている期間であっても、バス2から信号を受信する。通信制御部13は、バス2から受信した信号に対する受信処理をして、他の装置からの通信要求を制御部11に通知する。
禁止部19は、例えば、所定の条件が満たされた場合に、バス2に信号を送信する通信インタフェース10Fによって、信号の送信を禁止する。例えば、禁止部19は、ドライバ回路17からバス2に対する信号の送信を禁止する。
ここで、制御部11による送信禁止制御について説明する。制御部11は、ネットワークNWからの受信信号に基づいて、送信の禁止が正常に行われているかを判定する。
図4は、本実施形態の送信禁止処理の判定基準について説明するための図である。
送信IDと所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、送信IDと所定の程度の同一性がともにある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、送信IDと所定の程度の同一性がともにない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。
第3のケースとして、送信IDが一致して、所定の程度の同一性がない場合には、自ECU10の送信IDを詐称してなりすました装置が存在する可能性が高いものと判断し得ることから「なりすまし」の疑義があると判定する。
第4のケースとして、送信IDが一致せずに、所定の程度の同一性がある場合には、他のECU10が送信した信号に、単に所定の範囲と同じ情報が含まれていた可能性が高いものと判断し得ることから「正常状態」と判定する。
なお、上記の判定は、制御部11が実施する。
送信IDと所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、送信IDと所定の程度の同一性がともにある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、送信IDと所定の程度の同一性がともにない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。
第3のケースとして、送信IDが一致して、所定の程度の同一性がない場合には、自ECU10の送信IDを詐称してなりすました装置が存在する可能性が高いものと判断し得ることから「なりすまし」の疑義があると判定する。
第4のケースとして、送信IDが一致せずに、所定の程度の同一性がある場合には、他のECU10が送信した信号に、単に所定の範囲と同じ情報が含まれていた可能性が高いものと判断し得ることから「正常状態」と判定する。
なお、上記の判定は、制御部11が実施する。
図5は、本実施形態の送信禁止処理の手順を示すフローチャートである。この図5に示す処理は、図4の判定基準に従った処理の一例を示すものである。
まず、制御部11は、送信の禁止を設定する処理を実施する(SA11)。例えば、制御部11は、通信インタフェース10Fを活性化状態にしたまま、上位処理が通信要求を発行しないように制御して、通信インタフェース10Fに対する信号(送信信号)が出力されないように制御する。上記の制御により送信信号の出力が停止することが期待されるが、何らかの要因により送信信号の出力が停止しないことがある。以下の処理により、そのような状況が生じたことを検出する。
次に、制御部11は、バス2から受信した信号に基づく受信信号と、通信制御部13から出力された送信信号とを検出する(SA12)。例えば、制御部11は、フレーム処理部15が抽出した受信フレームに含まれた受信信号と、通信制御部13が生成した送信信号と、を検出する。
次に、制御部11は、その受信信号が、対象の制御部11を含むECU10(例えば、ECU10−1)を送信元とするものであるか否かを判定する(SA13)。例えば、受信信号が、制御部11を含むECU10を送信元とするものであるか否かの判定は、受信信号に含まれる送信IDが、送信ID121に格納されているものと一致するか否かを判定の基準にしてもよい。
制御部11は、受信信号に含まれる送信IDが送信ID121に格納されているものと一致せず、その受信信号がECU10−1を送信元とするものと識別されなかった場合には、「正常状態」にあると判定し(SA14)、上記の一連の処理を終える。
制御部11は、受信信号に含まれる送信IDが送信ID121に格納されているものと一致して、その受信信号がECU10−1を送信元とするものと識別された場合には、ECU10−1の通信制御部13が生成する信号と所定の程度で同一であるか否かを判定する(SA15)。
制御部11は、受信信号が、通信制御部13が生成する信号と所定の程度で同一である場合に、送信の禁止が正常に行われていない「異常状態」にあると判定し(SA16)、例えば、通信インタフェース10Fに供給する電力を遮断して通信インタフェース10Fからバス2に対する信号の送信を停止させるといった所定の異常判定時処理を行う(SA17)。その後、上記の一連の処理を終える。
制御部11は、その受信信号が、通信制御部13が生成する信号と所定の程度で同一ではない場合に、ECU10−1になりすました装置(「なりすまし」)が存在すると判定する(SA18)。つまり、上記の場合は、ECU10−1を送信元とする信号であり、且つ、通信制御部13が生成する信号と所定の程度で同一ではない場合に相当する。制御部11は、上記の一連の処理を終える。
なお、所定の程度で同一であることとは、下記の例が挙げられる。下記の例のうちの何れか又は複数を組み合わせにより、所定の程度で同一性を判定してもよい。
第1の例として、所定の期間内の送出信号と受信信号の論理が、所定の個数連続して一致するかを判定する場合がある。
第2の例として、所定の期間内で送出信号と受信信号の論理が一致した比率が、所定値以上であるかを判定する場合がある。
第3の例として、所定の期間内で送出信号と受信信号の論理が一致しなかった比率が、所定値以下であるかを判定する場合がある。
第4の例として、送出信号と受信信号のフレーム構造の特徴が一致するかを判定する場合がある。例えば、上記の特徴は、所定のフレーム様式、フレーム長などである。
第5の例として、送出信号と受信信号のフレーム内の所定の位置の情報が一致する場合がある。例えば、上記の情報は、通信エラー検出のための補助情報、暗号鍵、特定の識別情報などである。
第2の例として、所定の期間内で送出信号と受信信号の論理が一致した比率が、所定値以上であるかを判定する場合がある。
第3の例として、所定の期間内で送出信号と受信信号の論理が一致しなかった比率が、所定値以下であるかを判定する場合がある。
第4の例として、送出信号と受信信号のフレーム構造の特徴が一致するかを判定する場合がある。例えば、上記の特徴は、所定のフレーム様式、フレーム長などである。
第5の例として、送出信号と受信信号のフレーム内の所定の位置の情報が一致する場合がある。例えば、上記の情報は、通信エラー検出のための補助情報、暗号鍵、特定の識別情報などである。
上記の実施形態によれば、通信システム1は、ネットワーク(バス2)に信号を送信する通信インタフェース10Fに対して信号の送信を禁止させる禁止部19と、ネットワーク(バス2)からの受信信号に基づいて、上記の送信の禁止が正常に行われているかの判定を行う制御部11と、を備えていることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。
なお、通信インタフェース10Fは、禁止部19によって送信が禁止されている期間であっても、機能が活性化されていてネットワーク(バス2)から信号を受信可能である。制御部11は、通信インタフェース10Fが受信する受信信号に基づいて判定を行うことができ、これにより、ネットワークに対する送信が停止していることをより簡便に検出できる。
なお、制御部11は、受信信号が、制御部11を含むECU10の通信制御部13が生成する信号と所定の程度で同一の場合に、送信の禁止が正常に行われていないと判定することにより、ネットワークに対する送信が停止していることをより簡便に検出できる。
なお、制御部11は、受信信号が、制御部11を含むECU10を送信元とする信号であり且つ通信制御部13が生成する信号と所定の程度で同一の場合に、送信の禁止が正常に行われていないと判定してもよい。
なお、制御部11は、受信信号が、制御部11を含むECU10を送信元とする信号であり且つ通信制御部13が生成する信号と所定の程度で同一ではない場合に、ECU10になりすました装置が存在すると判定してもよい。
(第1の実施形態の変形例)
第1の実施形態の変形例について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性について判定するものであった。これに代えて、本変形例の判定基準は、送信IDの同一性について判定するものであり、この点が第1の実施形態の判定基準とは異なる。以下、これについて説明する。
第1の実施形態の変形例について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性について判定するものであった。これに代えて、本変形例の判定基準は、送信IDの同一性について判定するものであり、この点が第1の実施形態の判定基準とは異なる。以下、これについて説明する。
例えば、図5のSA15とSA17の処理を省略することにより、制御部11は、受信信号が、通信制御部13が生成する信号と所定の程度で同一である場合に、送信の禁止が正常に行われていない「異常状態」にあると判定し(SA16)、上記の一連の処理を終えてもよい。
この場合、ECU10自体の異常状態なのか、なりすましが存在するのかの識別結果を得ることはできないが、通信システム1内に「異常状態」が生じていることを検出することができる。
本変形例によれば、上記の差異があるものの、第1の実施形態と同様の効果を奏する。
(第2の実施形態)
第2の実施形態について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性を判定するものであった。これに代えて、本実施形態の判定基準は、所定の程度の同一性を判定するものであり、第1の実施形態の判定基準とは異なる。以下、これについて説明する。
第2の実施形態について説明する。第1の実施形態の判定基準は、送信IDと所定の程度の同一性を判定するものであった。これに代えて、本実施形態の判定基準は、所定の程度の同一性を判定するものであり、第1の実施形態の判定基準とは異なる。以下、これについて説明する。
図6は、本実施形態の送信禁止処理の判定基準について説明するための図である。
図6に、所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、所定の程度の同一性がある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、所定の程度の同一性がない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。
図6に、所定の程度の同一性を判定対象にした判定基準の一例を示す。
第1のケースとして、所定の程度の同一性がある場合には、自ECU10が送信状態にある可能性が高いものと判断し得ることから「異常状態」と判定する。
第2のケースとして、所定の程度の同一性がない場合には、他のECU10が送信したものを受信したと判断し得ることから「正常状態」と判定する。
図7は、本実施形態の送信禁止処理の手順を示すフローチャートである。この図7に示す処理は、図6の判定基準に従った処理の一例を示すものである。
まず、制御部11は、送信の禁止を設定する処理を実施する(SB11)。
次に、制御部11は、バス2から受信した信号と、通信制御部13から出力された信号を検出する(SB12)。
次に、制御部11は、その受信信号が、制御部11を含むECU10(例えば、ECU10−1)の通信制御部13が生成する信号と所定の程度で同一性があるか否かを判定する(SB13)。
制御部11は、受信信号が、ECU10−1の通信制御部13が生成する信号と所定の程度で同一性がない場合には、対象のECU10−1とは異なるECU10が送信した可能性が見込まれる。制御部11は、対象のECU10−1が送信の禁止状態にあり「正常状態」と判定し(SB14)、上記の一連の処理を終える。
制御部11は、受信信号が、ECU10−1の通信制御部13が生成する信号と所定の程度で同一性がある場合には、対象のECU10−1が送信した可能性が見込まれる。制御部11は、対象のECU10−1における送信の禁止が正常に行われていない「異常状態」にあると判定し(SB16)、例えば、通信インタフェース10Fに供給する電力を遮断して通信インタフェース10Fからバス2に対する信号の送信を停止させるといった所定の異常判定時処理を行う所定の異常判定時処理を行う(SB17)。その後、上記の一連の処理を終える。
上記の実施形態によれば、第1の実施形態と同様の効果を奏することの他、所定の程度の同一性を判定するという構成により、ネットワークに対する送信が停止していることをより簡便に検出できる。
(異常判定時処理の例)
前述の実施例で示したSA17およびSB17における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。
(ア)通信インタフェース10Fに供給する電力を遮断する。これにより、通信インタフェース10Fを不活性化させ、バス2に対して信号が送信されることを停止させる。
(イ)ECU10−1を送信元とする信号を受信する場合にこれを破棄することを要求する信号を、他の通信装置に対して送信する。
当該信号は、制御部を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。
(異常判定時処理の例)
前述の実施例で示したSA17およびSB17における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。
(ア)通信インタフェース10Fに供給する電力を遮断する。これにより、通信インタフェース10Fを不活性化させ、バス2に対して信号が送信されることを停止させる。
(イ)ECU10−1を送信元とする信号を受信する場合にこれを破棄することを要求する信号を、他の通信装置に対して送信する。
当該信号は、制御部を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。
(第3の実施形態)
第3の実施形態について説明する。第1の実施形態と第2の実施形態の事例は、共に1つのECU10内で判定処理を実施するものである。これに代えて、本実施形態では、禁止部が信号の送信を禁止する対象とする通信部と、ECU10の送信状態を判定する制御部(判定部)とが互いに異なるECU10に含まれて構成され、これらの複数のECU10が連携して機能するものであり、この点が前述の実施形態の事例とは異なる。以下、これについて説明する。
第3の実施形態について説明する。第1の実施形態と第2の実施形態の事例は、共に1つのECU10内で判定処理を実施するものである。これに代えて、本実施形態では、禁止部が信号の送信を禁止する対象とする通信部と、ECU10の送信状態を判定する制御部(判定部)とが互いに異なるECU10に含まれて構成され、これらの複数のECU10が連携して機能するものであり、この点が前述の実施形態の事例とは異なる。以下、これについて説明する。
図8は、本実施形態の通信システム1の概略構成を示す図である。図8に示す通信システム1は、監視装置と被監視装置の関係にある3つのECU10を含む。例えば、ECU10−1が監視装置であり、ECU10−2とECU10−3とが被監視装置である。
ECU10−1は、制御部11−1と、記憶部12−1と、通信制御部13−1とを含む。ECU10−2は、制御部11−2と、記憶部12−2と、通信制御部13−2(送信信号生成部)と、禁止部19−2とを含む。ECU10−3は、制御部11−3と、記憶部12−3と、通信制御部13−3(送信信号生成部)と、禁止部19−3とを含む。
つまり、禁止部19−2は、被監視装置としてのECU10−2に設けられ、禁止部19−3は、被監視装置としてのECU10−3に設けられている。制御部11−1は、監視装置としてのECU10−1に設けられている。このように、実施形縦の制御部は、制御対象の禁止部とは別体で構成されている。
ECU10−2の禁止部19−2に関する機能は、ECU10−1の制御部11−1から制御される。この点が、第1の実施形態と第2の実施形態とに示した禁止部19とは異なる。前述の実施形態との相違点を中心に説明する。
各ECU10は、バス2を介して接続されており、さらに、バス2とは異なる制御線により接続されている。実施形態のECU10−2は、平常時に少なくともECU10−3に対して所定の周期で制御信号を送信する。
図9は、本実施形態の送信禁止処理の手順を示すフローチャートである。
まず、ECU10−2は、ECU10−3に対して所定の周期で所望の制御信号を送信する(SC211からSC213)。ECU10−3は、ECU10−2からの制御信号を受信して、その制御信号に応じた所定の処理を実施する(SC311からSC313)。
次に、ECU10−1の制御部11−1は、バス2を介した通信を利用してECU10−2の送信の禁止を指示するための処理を実施する(SC111)。その後、制御部11−1は、バス2を介した通信の信号を継続して受信する。
ECU10−2の制御部11−2は、ECU10−1から送信の禁止に関する通知を受け、送信の禁止を設定する処理を実施する(SC214)。例えば、制御部11−2は、通信インタフェース10F−2を活性化状態にしたまま、上位処理が通信要求を発行しないように制御して、通信制御部13−2から通信インタフェース10F−2に対する信号(送信信号)が出力されないように制御する。
次に、制御部11−1は、バス2から信号(受信信号)を受信する(SC112)。同じ信号は、バス2に接続された他のECU10においても受信可能である。例えば、制御部11−3は、バス2から上記と同じ受信信号を受信する(SC314)。
次に、制御部11−1は、その受信信号が、ECU10−2を送信元とするものであるか否かを、受信信号に付与された送信IDに基づいて判定する(SC113)。
制御部11−1は、受信信号に含まれる送信IDがECU10−2の送信IDに一致しなかった場合には、「正常状態」にあると判定し、上記の一連の処理を終える。
制御部11−1は、受信信号に含まれる送信IDがECU10−2の送信IDに一致した場合には、所望の異常判定処理を実施する(SC116)。
例えば、制御部11−1は、所望の異常判定処理として、ECU10−2を送信元とする信号を受信する場合に、これを破棄することを要求する信号(破棄要求信号)を、他のECU10に対して送信する(SC114)。例えば、ECU10−3は、上記の破棄要求信号を受け、先にSC314において受信していた受信信号を無効化して、所定の制御に適用せずに破棄する(SC315)。
例えば、制御部11−1は、所望の異常判定処理として、ECU10−2を送信元とする信号を受信する場合に、これを破棄することを要求する信号(破棄要求信号)を、他のECU10に対して送信する(SC114)。例えば、ECU10−3は、上記の破棄要求信号を受け、先にSC314において受信していた受信信号を無効化して、所定の制御に適用せずに破棄する(SC315)。
制御部11−1は、ECU10−2の禁止部19−2に対して送信停止を指示する(SC115)。
次に、ECU10−2の禁止部19−2は、送信停止の指示を受け、通信インタフェース10Fからバス2に対する信号の送信を停止させる(SC215)。その後、上記の一連の処理を終える。
上記の実施形態によれば、第1の実施形態と同様の効果を奏することの他、通信インタフェース10F−2と、制御部11−1とは、それぞれ異なるECU10に含まれており、これらの複数のECU10を連系させることにより、送信の禁止を指示する監視装置からの指示に従って、被監視装置がネットワークに対する送信を停止することが可能になる。この被監視装置は、ネットワークに対する送信が停止していることを自装置内で検出することができ、より簡便な方法で送信の停止を検出することができる。
(異常判定時処理の例)
上記実施例で示したECU10−1における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。
上記実施例で示したECU10−1における「異常判定時処理」については、例えば以下のものから1つまたは複数を組み合わせて実施することができる。
(ア)通信インタフェース10F−2に供給する電力を遮断する。これにより、通信インタフェース10F−2を不活性化させ、バス2に対して信号が送信されることを停止させる。
(イ)ECU10−2を送信元とする信号を受信する場合にこれを破棄することを要求する信号を、他の通信装置に対して送信する。
当該信号は、制御部11−1を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。なお、「異常判定時処理」を、当該信号線を介して当該信号を送信する処理とすることは、SC214での「送信禁止(送信停止)」の処理が、例えば、通信インタフェース10F−2に供給する電力を遮断して通信インタフェース10F−2を不活性化させる処理である場合に、より好適となる場合がある。
当該信号は、制御部11−1を制御することによりバス2を介して送信されてもよいし、通信装置同士を接続する、バス2とは異なる信号線を介して送信されてもよい。なお、「異常判定時処理」を、当該信号線を介して当該信号を送信する処理とすることは、SC214での「送信禁止(送信停止)」の処理が、例えば、通信インタフェース10F−2に供給する電力を遮断して通信インタフェース10F−2を不活性化させる処理である場合に、より好適となる場合がある。
なお、上記の実施形態によれば、上記のSC111とSC214の処理によりECU10−2からの送信信号の出力が停止することが期待されるが、何らかの要因により送信信号の出力が停止しないことがあっても、上記の処理により、そのような状況が生じたことの影響を低減させることができる。
以上説明した少なくともひとつの実施形態によれば、通信システム1は、ネットワーク(バス2)に信号を送信する通信部に対して信号の送信を禁止させる禁止部19と、ネットワーク(バス2)からの受信信号に基づいて前記送信の禁止が正常に行われているかの判定を行う制御部11と、を備える。ネットワーク(バス2)からの受信信号に基づいて通信部からの送信の禁止が正常に行われているかの判定を行い、判定の結果に基づいて通信部に対して信号の送信を禁止させることができることにより、ネットワークに対する送信が停止していることをより簡便に検出できる。
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
1‥通信システム、2…バス、3…IF装置、10、10−1、10−2、10−3…ECU、11…制御部、12…記憶部、50…外部装置。
Claims (7)
- ネットワークに信号を送信する通信部に対して信号の送信を禁止させる禁止部と、
前記禁止部による禁止処理の実行時に、信号生成部が生成するフレームと前記ネットワークから受信した受信フレームの両フレームを比較して前記送信の禁止が正常に行われているかの判定を行う制御部と、
を備え、
前記ネットワークはCAN(Controller Area Network)であり、
前記制御部は、
前記両フレームの比較により、
前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致する場合に前記送信の禁止に係る禁止機能の異常と判定するとともに、
前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致しない場合になりすましと判定する
通信システム。 - 前記通信部は、前記禁止部によって送信が禁止されている期間であっても、前記ネットワークから信号を受信可能であり、
前記制御部は、前記通信部が受信する前記受信フレームに基づいて前記判定を行う、
ことを特徴とする請求項1に記載の通信システム。 - 前記禁止部が信号の送信を禁止する対象とする前記通信部と、前記制御部とは、それぞれ異なる通信装置に含まれる、
ことを特徴とする請求項1に記載の通信システム。 - 前記禁止機能の異常と判定した場合に、前記通信装置からの信号を破棄する指示を、前記CANとは異なる信号線を通じて送信する
ことを特徴とする請求項3に記載の通信システム。 - 前記禁止機能の異常と判定した場合に、前記通信部への供給電力を遮断する
ことを特徴とする請求項1から請求項4の何れか1項に記載の通信システム。 - 前記制御部は、
前記両フレーム内の所定の位置の情報が一致する場合を、前記両フレームが一致する場合と判定する
ことを特徴とする請求項1から請求項5の何れか1項に記載の通信システム。 - ネットワークに信号を送信する通信部に対して信号の送信を禁止部に禁止処理を実行させ、
前記禁止部による禁止処理の実行時に、信号生成部が生成するフレームと前記ネットワークから受信した受信フレームの両フレームを比較して前記送信の禁止が正常に行われているかの判定を行う過程
を含み、
前記ネットワークはCANであり、
前記判定を行う過程は、
前記両フレームの比較により、
前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致する場合に前記送信の禁止に係る禁止機能の異常と判定するとともに、
前記両フレームの送信IDが一致する場合であって、前記両フレームのフレーム長が一致しない場合になりすましと判定する過程
を含む通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017101841A JP6628106B2 (ja) | 2017-05-23 | 2017-05-23 | 通信システム、及び通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017101841A JP6628106B2 (ja) | 2017-05-23 | 2017-05-23 | 通信システム、及び通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018198363A JP2018198363A (ja) | 2018-12-13 |
| JP6628106B2 true JP6628106B2 (ja) | 2020-01-08 |
Family
ID=64663949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017101841A Active JP6628106B2 (ja) | 2017-05-23 | 2017-05-23 | 通信システム、及び通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6628106B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7117559B2 (ja) * | 2019-02-22 | 2022-08-15 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システム及びプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3152055B2 (ja) * | 1994-03-22 | 2001-04-03 | 松下電器産業株式会社 | データ伝送方法 |
| JP5283651B2 (ja) * | 2010-03-17 | 2013-09-04 | 日立オートモティブシステムズ株式会社 | 車両用の制御装置 |
| EP3151462B1 (en) * | 2014-05-29 | 2018-10-24 | Panasonic Intellectual Property Management Co., Ltd. | Transmission device, reception device, transmission method, and reception method |
-
2017
- 2017-05-23 JP JP2017101841A patent/JP6628106B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018198363A (ja) | 2018-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104094B2 (en) | On-vehicle communication system | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| US10432421B2 (en) | Communication control device and communication system | |
| JP5880898B2 (ja) | 送信装置 | |
| US11070547B2 (en) | Electronic control device, a communication management method performable and a non-transitory storage medium configured to restrict predetermined communication in an in-vehicle network | |
| US20170149950A1 (en) | Communication system and control device | |
| KR101754951B1 (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| KR101966345B1 (ko) | Can 통신 기반 우회 공격 탐지 방법 및 시스템 | |
| JP6628106B2 (ja) | 通信システム、及び通信制御方法 | |
| JP6375962B2 (ja) | 車載ゲートウェイ装置及び電子制御装置 | |
| US11757745B2 (en) | Gateway apparatus, abnormality monitoring method, and storage medium | |
| JP6369334B2 (ja) | 車載ネットワーク | |
| US20180183612A1 (en) | Authentication target apparatus, communication system, communication method, and program | |
| JP6365876B2 (ja) | ノード | |
| US20180269961A1 (en) | Communication apparatus, communication method, and program | |
| JP7067508B2 (ja) | ネットワークシステム | |
| EP4231594A1 (en) | Relay device, communication network system and communication control method | |
| JP6108251B2 (ja) | 受信装置、及び受信方法 | |
| JP7110950B2 (ja) | ネットワークシステム | |
| JP6447974B2 (ja) | 送信方法 | |
| JP2013121071A (ja) | 中継システム及び、当該中継システムを構成する中継装置、外部装置 | |
| JP6954167B2 (ja) | ネットワークシステム | |
| JP6919430B2 (ja) | ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180129 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20181005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181120 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190416 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190614 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191120 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6628106 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |