JP6838147B2 - ECU - Google Patents
ECU Download PDFInfo
- Publication number
- JP6838147B2 JP6838147B2 JP2019519078A JP2019519078A JP6838147B2 JP 6838147 B2 JP6838147 B2 JP 6838147B2 JP 2019519078 A JP2019519078 A JP 2019519078A JP 2019519078 A JP2019519078 A JP 2019519078A JP 6838147 B2 JP6838147 B2 JP 6838147B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- ecu
- time
- received
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 12
- 230000007704 transition Effects 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 22
- 238000000034 method Methods 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000001186 cumulative effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000004092 self-diagnosis Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ECUに関し、特に車載ネットワーク上に配置されるECUに適用して好適なものである。 The present invention relates to an ECU, and is particularly suitable for an ECU arranged on an in-vehicle network.
近年、CAN(Controller Area Network)と呼ばれる通信規格を利用した車載ネットワーク(CANネットワーク)が普及している。このCANネットワークは、車両に設置された複数の電子制御装置(ECU:Electronic Control Unit)と、CANを利用した通信バス(CANバス)とが接続されて構成される。ECUは、このCANバスを介して、他のECUと互いに通信(CAN通信)することができる。 In recent years, an in-vehicle network (CAN network) using a communication standard called CAN (Controller Area Network) has become widespread. This CAN network is configured by connecting a plurality of electronic control units (ECUs) installed in a vehicle and a communication bus (CAN bus) using CAN. The ECU can communicate with each other (CAN communication) with other ECUs via this CAN bus.
CANバスは、ECU同士を互いに通信可能に接続する一方で、データリンクコネクタ(DLC:Data Link Connector)を備える。このデータリンクコネクタに専用の機器を接続することで、ECUが備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。故障コードを参照することで、例えばサービスエンジニアは故障箇所を容易に特定することができる。 The CAN bus includes a data link connector (DLC) while connecting the ECUs to each other so as to be able to communicate with each other. By connecting a dedicated device to this data link connector, it is possible to read the failure code generated by the self-diagnosis function (OBD: On Board Diagnostics) provided in the ECU. By referring to the failure code, for example, a service engineer can easily identify the failure location.
ところで、このDLCが不正に利用された場合、具体的にはDLCを介して、正規のデータとIDが同一で中身が異なる不正なデータが外部からCANバスに送信された場合、CANバスに接続されているECUがこの不正なデータを受信して誤動作するおそれがある。よってセキュリティ保護の観点から、このような不正なデータを防御する技術が必要となる。 By the way, when this DLC is used illegally, specifically, when illegal data having the same ID and different contents as the legitimate data is transmitted from the outside to the CAN bus, it connects to the CAN bus. There is a possibility that the ECU being used receives this invalid data and malfunctions. Therefore, from the viewpoint of security protection, a technology for preventing such malicious data is required.
なお不正なデータは、DLCに有線で接続された機器からCANバスに送信される場合と、DLCに無線通信可能な機器が接続されて、この機器を介して無線でCANバスに送信される場合とが考えられる。 Incorrect data is transmitted to the CAN bus from a device connected to the DLC by wire, or when a device capable of wireless communication is connected to the DLC and transmitted wirelessly to the CAN bus via this device. You could think so.
特許文献1には、CANバスに対して送信されたデータについて、前回の送信タイミングと、今回の送信タイミングとの間の差分を送信周期として算出し、この送信周期と、予め記憶する不正データ判定用の送信周期とを比較し、比較した結果、算出した送信周期が不正データ判定用の送信周期よりも短い場合、今回送信されたデータを不正データとして判定する技術が開示されている。
In
この特許文献1に記載の技術によれば、一のECUがCANバスを監視し、他のECUが不正データの受信を完了する前にこれを検出して無効化することができる。これにより正規なデータとIDが同一で中身が異なる不正なデータがCANバスに侵入し、CANバスに接続されているECUの誤動作を引き起こすなりすまし攻撃から、車載ネットワークに接続している全てのECUを防御することができるとしている。
According to the technique described in
しかしこの特許文献1に記載の技術では、CANバスに対して送信されたデータを常時監視するための追加の機器が必要になる。具体的には、ECUとCANバスとを接続する通常の通信線に加えて、これと並列にこのECUとCANバスとを接続する追加の通信線が更に必要となる。またCANバス上のデータを常時監視する処理、不正データか否かを判定する処理及び不正データである場合の無効化処理等の追加の処理が必要になる。
However, the technique described in
よって車載ネットワークのハードウェア構成及びソフトウェア構成が複雑化し、これに伴い、車載ネットワークを実現するための全体のコストが増加するという課題が生じる。 Therefore, the hardware configuration and software configuration of the in-vehicle network become complicated, and as a result, there arises a problem that the overall cost for realizing the in-vehicle network increases.
本発明は以上の点を考慮してなされたものであり、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現し得るECUを提案する。 The present invention has been made in consideration of the above points, and proposes an ECU that can realize security protection while avoiding the complexity of the in-vehicle network and the increase in cost.
かかる課題を解決するために、本発明においては、CANバス(20)に接続されているECU(10)において、ECU(10)のCPU(100)は、通信バス(20)を介して正規のデータ(D1)を受信した後、正規のデータ(D1)とIDが同一のデータ(D2〜D8)を受信し、IDが同一のデータ(D2〜D8)の一定期間内における受信回数が予め定められた規定回数(DC)以上である場合、異常な状態であると判断して、安全な制御状態に移行することを特徴とする。 In order to solve such a problem, in the present invention, in the ECU (10) connected to the CAN bus (20), the CPU (100) of the ECU (10) is a regular one via the communication bus (20). After receiving the data (D1), the data (D2 to D8) having the same ID as the regular data (D1) is received, and the number of times the data (D2 to D8) having the same ID is received within a certain period is predetermined. When the number of times (DC) or more is specified, it is determined that the state is abnormal, and the state shifts to a safe control state.
本発明によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。 According to the present invention, security protection can be realized while avoiding the complexity of the in-vehicle network and the increase in cost.
以下本発明について、図面を参照しながら本発明の一実施の形態を詳述する。なお以下の説明はあくまで本発明の一実施の形態にすぎず、本発明の技術的範囲がこれに限定されるものではない。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. The following description is merely an embodiment of the present invention, and the technical scope of the present invention is not limited thereto.
図1は、車両1における車載ネットワークN1の全体構成を示す。車載ネットワークN1は、CAN(Controller Area Network)と呼ばれる通信規格を利用したネットワークであり、電子制御装置(ECU:Electronic Control Unit)10及びCANバス20を備えて構成される。
FIG. 1 shows the overall configuration of the vehicle-mounted network N1 in the
ECU10は、車両1の各種動作を制御する制御装置である。ECU10は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)及び入出力インタフェース等を備えて構成される。各ECU10は、それぞれCANバス20に接続される。これにより各ECU10は、CANバス20を介して互いに通信可能に接続される。
The ECU 10 is a control device that controls various operations of the
なおCANバス20に接続されるECU10のうち、エンジンECUと呼ばれるECU10は、車両1の動作を統括的に制御する。そのため本実施の形態においては、このエンジンECUに本発明を適用することで、特に走行に関する制御についてセキュリティの保護を実現しようとするものである。
Of the
CANバス20は、CANを利用した通信バスであり、各ECU10を互いに通信可能に接続する。またCANバス20は、データリンクコネクタ(DLC:Data Link Connector)30を備える。DLC30は、スキャンツール40を有線又は無線によりCANバス20に接続するための接続コネクタである。
The CAN
DLC30にスキャンツール40を接続し、スキャンツール40上で特定の操作を行うと、ECU10が備える自己診断機能(OBD:On Board Diagnostics)により生成される故障コードを読み取ることができる。例えばサービスエンジニアは、スキャンツール40の表示画面上に表示される故障コードを参照して、車両1の故障箇所を特定することができる。
When the scan tool 40 is connected to the
ここで、DLC30を介して車両1の外部から不正なデータがCANバス20に送信される場合が考えられる。ここでいう不正なデータとは、少なくともCANバス20に送信されるタイミングが正規のデータとは異なるデータをいう。
Here, it is conceivable that invalid data may be transmitted to the
例えば一の正規のデータのIDが「1」で、「100ms」ごとにCANバス20に送信される場合、IDが「1」で、「120ms」ごとにCANバス20に送信されるデータは本実施の形態においては不正なデータとして取り扱われる。またこのIDが「1」のデータとの関係において、IDが異なるデータ、或いは、IDが同一であっても内容が異なるデータも当然に不正なデータとなる。
For example, if the ID of one regular data is "1" and is transmitted to the CAN
このような不正なデータがDLC30を介してCANバス20に送信された場合であって何らの防御手段もない場合、CANバス20に接続されているECU10がこれを受信して演算処理してしまう。特にエンジンECUが不正なデータを受信して演算処理すると、走行に関する制御が不能になるおそれがある。
If such invalid data is transmitted to the CAN
本実施の形態においては、たとえ不正なデータがCANバス20に送信された場合であっても、ECU10においてこの不正なデータは演算処理の対象から除外し、正規のデータだけを演算処理の対象とするようにしている。またECU10がCANバス20を介して、不正なデータを受信する受信回数が増加した場合、これを異常な状態と判断し、安全な制御状態に移行するようにしている。
In the present embodiment, even when invalid data is transmitted to the
安全な制御状態には、エンジンを停止させた状態(エンストさせた状態)、CANバス20からのデータの受信を拒否した状態、最小のギア段による走行を維持するリンプホームモードに移行した状態などがある。
Safe control states include a state in which the engine is stopped (state in which the engine is stalled), a state in which data reception from the CAN
図2は、ECU10の内部構成を示す。ECU10は、ここでは図示しないRAM及びROM等のメモリや入出力インタフェースを備えるとともに、CPU100を備える。CPU100は、データ送受信部101、受信データ監視部102、CANバッファ103及び制御判断部104及び演算部105等のプログラム又はメモリを備える。
FIG. 2 shows the internal configuration of the
データ送受信部101は、CANバス20からの正規又は不正なデータD0〜D8を受信して、受信データ監視部102に出力する。またデータ送受信部101は、これらのデータD0〜D8のうちの正規のデータに対する演算結果D21、D22又は安全な制御状態に移行するためのフェールセーフデータD23をCANバス20に送信する。
The data transmission /
演算結果D21、D22、フェールセーフデータD23は、その後他のECU10や他の機器の動作に用いられる。他のECU10や他の機器がフェールセーフデータD23を受信した場合、安全な制御がドライバの操作によらずに実行されることになる。
The calculation results D21 and D22 and the fail-safe data D23 are subsequently used for the operation of another
受信データ監視部102は、データ送受信部101からの正規又は不正なデータD0〜D8を入力すると、これらのデータをCANバッファ103に出力するとともに、これらのデータD0〜D8の受信回数をカウントして異常な状態であるか否かを判断する。
When the received
具体的に、受信データ監視部102は、基準となる一の正規のデータD0を受信すると、これをCANバッファ103に出力するとともに、CPU100の内部に保持するタイマTを起動して時間のカウントを開始する。
Specifically, when the reception
受信データ監視部102は、IDごとに予め対応付けられた規定時間DTを参照して、この規定時間DTが経過するまでの間に受信したデータD0〜D8をCANバッファ103に出力する。またこれらのデータD0〜D8の受信回数をカウンタCによりカウントする。すなわち受信データ監視部102は、単位時間当たりのデータの受信回数をカウントする。
The reception
そして受信データ監視部102は、予め定められた規定回数DCを参照して、カウンタCによりカウントされた受信回数が規定回数DC以上であるか否かを判断する。受信回数が規定回数DC以上になった場合、受信データ監視部102は異常な状態であるものと判断する。そして受信データ監視部102は、異常な状態であることを示す監視結果を制御判断部104に出力する。
Then, the reception
CANバッファ103は、演算処理待ちのデータを格納するメモリである。
制御判断部104は、受信データ監視部102からの監視結果に基づいて、CANバッファ103に格納されているデータを演算対象とするか、或いは、演算対象から除外するかを判断する。そして制御判断部104は、判断結果を演算部105に出力する。The
Based on the monitoring result from the received
演算部105は、制御判断部104からの判断結果に基づいて、CANバッファ103に格納されたデータD0〜D8のうちの規定時間DTの経過後で所定時間内(ウインドウ内)に受信したデータを演算処理して、演算結果D21、D22を生成する。或いは、演算処理の対象から除外してフェールセーフデータD23を生成する。
Based on the determination result from the
例えば演算部105は、データD0のIDが「1」であり、このIDに予め対応付けられている規定時間DTが「100ms」である場合、IDが「1」のデータについてはデータD0を受信してから100ms〜110ms、或いは、95ms〜105msの間のウインドウ内に受信したデータを演算処理して、演算結果D21、D22を生成する。 For example, when the ID of the data D0 is "1" and the predetermined time DT associated with the ID is "100 ms", the calculation unit 105 receives the data D0 for the data whose ID is "1". Then, the data received in the window between 100 ms and 110 ms or 95 ms and 105 ms is subjected to arithmetic processing to generate arithmetic results D21 and D22.
一方で演算部105は、異常な状態である場合、CANバッファ103に格納されたデータD0〜D8を演算対象から除外し、安全な制御状態に移行するためのフェールセーフデータD23を生成する。演算部105は、生成した演算結果D21、D22又はフェールセーフデータD23をデータ送受信部101に出力する。
On the other hand, when the calculation unit 105 is in an abnormal state, the data D0 to D8 stored in the
図3は、本実施の形態における受信処理のフローチャートを示す。受信処理は、ECU10のCPU100により、カウンタCが起動された時点から開始され、それ以後は常時実行される。カウンタCの起動タイミングは、ECU10の電源ON時であることを想定しているが、必ずしもこれに限られない。
FIG. 3 shows a flowchart of the reception process according to the present embodiment. The reception process is started from the time when the counter C is started by the
またここでは、基準となる一の正規のデータを受信した後の一定期間に限って説明する。ここで説明するデータのIDは全て同一である(例えば「1」)。すなわちIDごとに本処理が行われる。説明の便宜上、処理主体をCPU100として説明する。
Further, here, only a certain period of time after receiving one regular data as a reference will be described. The IDs of the data described here are all the same (for example, "1"). That is, this process is performed for each ID. For convenience of explanation, the processing subject will be described as the
まずCPU100は、カウンタCを起動して受信回数のカウントを開始する(S1)。その後CPU100は、CANバス20から一の正規のデータを受信すると(S2)、タイマTを起動して時間のカウントを開始する(S3)。
First, the
CPU100は、タイマTを起動した後、ステップS2で正規のデータを受信しているので受信回数iを+1だけカウントアップする(S4)。そしてCPU100は、受信回数iがi≧規定回数DCであるか否かを判断する(S5)。
After starting the timer T, the
例えば規定回数DCが「6」回であるものとして定められている場合、一の正規のデータを受信した時点では受信回数iは「1」回であるため受信回数i<規定回数DCであり、ステップS5の判断では否定結果を得ることになる。 For example, when the specified number of times DC is set to be "6" times, the number of times received i is "1" times when one regular data is received, so the number of times received i <the specified number of times DC. The judgment in step S5 will give a negative result.
CPU100は、ステップS5の判断で否定結果を得ると(S5:N)、受信した正規のデータをCANバッファ103に出力する(S6)。そしてCPU100は、タイマTを起動した以後で他に受信したデータがあるか否かを判断する(S7)。CPU100は、ステップS7の判断で肯定結果を得ると(S7:Y)、ステップS4に移行して上述の処理を繰り返す。
When the
これに対しCPU100は、ステップS7の判断で否定結果を得ると(S7:N)、ステップS2で受信した正規のデータのIDに対応付けられている規定時間DTと、ステップS3でカウントを開始したカウント時間とを参照して、カウント時間が規定時間DTを経過したか否かを判断する(S8)。
On the other hand, when the
CPU100は、ステップS8の判断で否定結果を得ると(S8:N)、カウント時間が規定時間DTを経過するまでステップS4に移行して、上述の処理を繰り返す。そしてCPU100は、ステップS5の判断で肯定結果を得ると(S5:Y)、異常な状態であるものと判断する(S9)。そしてCPU100は、安全な制御状態に移行して(S10)、本処理を終了する。
When the
これに対しCPU100は、ステップS8の判断で肯定結果を得ると(S8:Y)、カウンタCを停止及び再起動することにより、カウント回数を一旦リセットして受信回数のカウントを再度開始する(S12)。
On the other hand, when the
次いでCPU100は、CANバッファ103に格納されているデータのうち、規定時間DTの経過後から所定時間内(ウインドウ内)に受信したデータがあるか否かを判断する(S13)。
Next, the
CPU100は、ステップS13の判断で否定結果を得ると(S13:N)、CANバッファ103に格納されているデータを演算処理せずに本処理を終了する。これに対しCPU100は、肯定結果を得ると(S13:Y)、CANバッファ103に格納されているデータのうち、ウインドウ内に受信したデータを演算処理して(S14)、本処理を終了する。
When the
なおCPU100は、これ以降に受信するIDが同一のデータについてはステップS4に移行して上述の処理を繰り返すことになる。
The
図4は、図3で説明した受信処理の概念図を示す。以下時系列に沿って、データD0〜D8の処理について説明する。 FIG. 4 shows a conceptual diagram of the reception process described with reference to FIG. The processing of the data D0 to D8 will be described below in chronological order.
時間t=t0のタイミングで、基準となる正規のデータD0がデータ送受信部101により受信される。また受信データ監視部102により、タイマTが起動されるとともに規定時間DTが参照される。またカウンタCの受信回数が+1だけカウントアップされる。
At the timing of time t = t0, the reference regular data D0 is received by the data transmission /
その後データD0は、CANバッファ103に出力される。CANバッファ103に格納されたデータD0は、制御判断部104により演算対象であると判断された後、演算部105により演算処理される。その結果、演算結果D21が生成される。
After that, the data D0 is output to the
時間tがt0≦t<t1の間では、受信されるデータの監視が受信データ監視部102により行われる。具体的にはタイマTにより時間がカウントされ、カウンタCにより受信回数がカウントされる。ここではデータD0のみが受信されただけであるため、受信回数は1回である。
When the time t is t0 ≦ t <t1, the received
時間t=t1のタイミングで、タイマT及びカウンタCが受信データ監視部102により停止及び再起動されて、カウント時間及び受信回数がリセットされる。リセットされた後はカウントが再開される。ここでのタイマTは、時間t=t2のタイミングで時間のカウントを再開し、カウンタCはリセットされた後すぐにデータのカウントを再開する。
At the timing of time t = t1, the timer T and the counter C are stopped and restarted by the reception
時間tがt1<t≦t3の間は、受信したデータを演算処理の対象とする期間を示す。この期間をここではウインドウWと呼ぶ。正規のデータD1は、時間t=t2のタイミングで受信されたデータであり、このウインドウW内で受信されたデータである。 When the time t is t1 <t ≦ t3, it indicates a period during which the received data is subject to arithmetic processing. This period is referred to as window W here. The regular data D1 is the data received at the timing of time t = t2, and is the data received in this window W.
よってデータD1は、その後CANバッファ103に出力されて、制御判断部104により演算対象と判断された後、演算部105により演算処理される。その結果、演算結果D22が生成される。
Therefore, the data D1 is then output to the
時間tがt2≦t<t5の間は、受信されるデータの監視が再び行われる。ここではこの間に複数の不正なデータD2〜D7が受信されている。カウンタCにより不正なデータD2〜D7が受信されるたびに受信回数が+1だけカウントアップされる。 While the time t is t2 ≦ t <t5, the reception data is monitored again. Here, a plurality of invalid data D2 to D7 are received during this period. Each time the counter C receives invalid data D2 to D7, the number of receptions is counted up by +1.
時間t=t4のタイミングで、受信回数が規定回数DCに到達していることが示されている。この場合、受信データ監視部102からの監視結果が制御判断部104に出力され、制御判断部104により以降に受信するデータは演算処理の対象から除外される。
It is shown that the number of receptions has reached the specified number of times DC at the timing of time t = t4. In this case, the monitoring result from the received
時間tがt5<t≦t7の間は、ここでは2回目のウインドウWが設定されている。このようにウインドウWは規定時間DTが経過するたびに定期的に設けられる。正規のデータD8は、時間t=t6のタイミングで受信されたデータであり、このウインドウW内で受信されたデータであるが、演算処理の対象から除外される。そしてこれに代えてフェールセーフデータD23が生成される。 While the time t is t5 <t ≦ t7, the second window W is set here. In this way, the window W is periodically provided every time the specified time DT elapses. The regular data D8 is data received at the timing of time t = t6, and is data received in this window W, but is excluded from the target of arithmetic processing. Then, instead of this, fail-safe data D23 is generated.
以上のように本実施の形態によれば、基準となる正規のデータD0を受信した場合、その後に受信するデータのうち、データD0と同一のIDのデータの受信回数をカウントし、一定期間内における受信回数が規定回数DCに到達しない場合はその後に受信するデータD1を演算処理し、受信回数が規定回数DC以上になる場合は異常な状態であると判断して、安全な制御状態に移行するようにした。 As described above, according to the present embodiment, when the reference regular data D0 is received, the number of times of receiving the data having the same ID as the data D0 is counted among the data received thereafter, and within a certain period of time. If the number of receptions in the above does not reach the specified number of times DC, the data D1 to be received after that is processed, and if the number of times of reception exceeds the specified number of times DC, it is judged to be an abnormal state and the state shifts to a safe control state. I tried to do it.
より具体的には、正規のデータD0を受信した時点でタイマTを起動し、カウント時間が規定時間DTを経過するまでの間に受信したデータの受信回数をカウントし、受信回数が規定回数DCに到達しない場合はその後にウインドウW内で受信した正規のデータD1を演算処理するようにする一方で、受信回数が規定回数DCに到達した場合は正規のデータD8を演算処理の対象から除外し、代わりにフェールセーフデータD23を生成し、これに基づいて安全な制御状態に移行するようにした。 More specifically, the timer T is activated when the regular data D0 is received, the number of times the received data is received before the specified time DT elapses, and the number of times of reception is DC. If it does not reach, the regular data D1 received in the window W is processed after that, while if the number of receptions reaches the specified number DC, the regular data D8 is excluded from the calculation processing. Instead, fail-safe data D23 was generated, and based on this, a safe control state was entered.
これにより、なりすまし攻撃に対する防御手段として追加の機器を必要とすることなく、また不正な受信データを監視、判定及び無効化する等の煩雑な処理を必要とすることなく、単にソフトウェアの制御によって不正なデータを防御することができる。よって本実施の形態によれば、車載ネットワークの複雑化及びコストの増加を回避しつつ、セキュリティの保護を実現することができる。 As a result, fraud is simply controlled by software without the need for additional equipment as a defense against spoofing attacks and without the need for complicated processing such as monitoring, determining, and invalidating unauthorized received data. Data can be protected. Therefore, according to the present embodiment, it is possible to realize security protection while avoiding the complexity of the in-vehicle network and the increase in cost.
なお本実施の形態においては、IDと規定時間DTとが予め対応付けられているが、これに加えて規定時間DTとウインドウ幅(図4においては時間t1とt3との間の時間)とが対応付けられているとしてもよい。 In the present embodiment, the ID and the specified time DT are associated with each other in advance, but in addition to this, the specified time DT and the window width (the time between the times t1 and t3 in FIG. 4) are It may be associated.
例えばIDが「1」については、規定時間DTが「99ms」、ウインドウ幅が「10ms」が予め対応付けられており、IDが「2」については、規定時間DTが「50ms」、ウインドウ幅が「5ms」が予め対応付けられているとしてもよい。すなわち単位時間当たりの受信回数に応じてウインドウ幅を可変にしてもよい。 For example, when the ID is "1", the specified time DT is "99 ms" and the window width is "10 ms" in advance, and when the ID is "2", the specified time DT is "50 ms" and the window width is "50 ms". "5 ms" may be associated in advance. That is, the window width may be changed according to the number of receptions per unit time.
この場合、単位時間当たりの受信回数が多いデータについてはウインドウ幅を短くするようにして、不正なデータを演算処理の対象から除外し易くすることができる。よってより確実にセキュリティの保護を実現することができる。 In this case, the window width can be shortened for data that is received a large number of times per unit time, so that invalid data can be easily excluded from the target of arithmetic processing. Therefore, security protection can be realized more reliably.
また本実施の形態においては、カウント時間が規定時間DTを経過した時点で受信回数を一旦リセットするとしているが、これに限らず、受信回数の累計が規定回数DCに到達するまでリセットしないとしてもよい。すなわちカウンタCが受信回数のカウントを開始してから、定期的に設けるウインドウWの範囲外で受信したデータの受信回数の累計が規定回数DCに到達したタイミングで、受信回数をリセットするとしてもよい。 Further, in the present embodiment, the number of receptions is reset once when the count time elapses from the specified time DT, but the present invention is not limited to this, and even if the cumulative number of receptions does not reset until the specified number of times DC is reached. Good. That is, after the counter C starts counting the number of receptions, the number of receptions may be reset at the timing when the cumulative number of receptions of the data received outside the range of the window W provided periodically reaches the specified number DC. ..
この場合、カウント時間が規定時間DTを経過するたびに受信回数をリセットする必要がなくなるため処理の簡素化を図ることができる。また異常な状態と判断されるほどに不正なデータを受信していなくとも、定常的に不正なデータを受信している場合、これを異常な状態と判断することができる。 In this case, it is not necessary to reset the number of receptions each time the count time elapses for the specified time DT, so that the processing can be simplified. Further, even if the invalid data is not received to the extent that it is determined to be an abnormal state, if the invalid data is constantly received, this can be determined to be an abnormal state.
1 車両
10 ECU
20 CANバス
30 DLC
40 スキャンツール
100 CPU
101 データ送受信部
102 受信データ監視部
103 CANバッファ
104 制御判断部
105 演算部
1
20
40
101 Data transmission /
Claims (5)
前記ECU(10)のCPU(100)は、
規定時間(DT)毎に設けられるウインドウ(W)内において前記通信バス(20)を介して正規のデータ(D1)を受信した後、前記正規のデータ(D1)とIDが同一のデータ(D2〜D8)を受信し、前記IDが同一のデータ(D2〜D8)の前記規定時間(DT)内における受信回数が予め定められた規定回数(DC)以上である場合、異常な状態であると判断して、安全な制御状態に移行し、
前記IDが同一のデータ(D2〜D8)の前記規定時間(DT)における受信回数が前記規定回数(DC)未満である場合、前記ウインドウ(W)内で受信した前記正規のデータ(D1)を演算処理の対象とし、
前記正規のデータ(D1)の受信時に時間のカウントを開始し、カウント時間が前記規定時間(DT)を経過した時点(t5)から所定時間が経過するまで(t7)の間に前記ウインドウ(W)を設定する、
ことを特徴とするECU。 In the ECU (10) connected to the communication bus (20)
The CPU (100) of the ECU (10) is
After receiving the regular data (D1) via the communication bus (20) in the window (W) provided every specified time (DT) , the data (D2) having the same ID as the regular data (D1). ~ D8) is received, and when the number of times of receiving the same data (D2 to D8) within the specified time (DT) is equal to or more than the predetermined number of times (DC), it is considered to be an abnormal state. Judge, move to a safe control state,
When the number of times of receiving the data (D2 to D8) having the same ID in the specified time (DT) is less than the specified number of times (DC), the regular data (D1) received in the window (W) is displayed. Target of arithmetic processing
The time count is started when the regular data (D1) is received, and the window (W) is between the time when the count time elapses from the specified time (DT) (t5) and the time when the predetermined time elapses (t7). ) To set
An ECU characterized by that.
異常な状態であると判断した場合、
前記ウインドウ(W)内で受信したデータ(D8)を演算処理の対象から除外し、安全な制御状態に移行するためのフェールセーフデータを生成する
ことを特徴とする請求項1に記載のECU。 The CPU (100)
If it is determined that the condition is abnormal,
The ECU according to claim 1 , wherein the data (D8) received in the window (W) is excluded from the target of arithmetic processing, and fail-safe data for shifting to a safe control state is generated.
前記正規のデータ(D1)のIDごとに異なる
ことを特徴とする請求項1又は2に記載のECU。 The specified time (DT) is
The ECU according to claim 1 or 2 , wherein the ECU differs for each ID of the regular data (D1).
前記正規のデータ(D1)のIDごとに幅が異なる
ことを特徴とする請求項1〜3の何れか一項に記載のECU。 The window (W) is
The ECU according to any one of claims 1 to 3 , wherein the width is different for each ID of the regular data (D1).
異常な状態であると判断した場合、
エンジンを停止させる制御、前記通信バス(20)からのデータの受信を拒否する制御又は最小のギア段による走行を維持する制御のうち、何れかの制御を実行することより、安全な制御状態に移行する
ことを特徴とする請求項1〜4の何れか一項に記載のECU。 The CPU (100)
If it is determined that the condition is abnormal,
By executing any of the control of stopping the engine, the control of rejecting the reception of data from the communication bus (20), and the control of maintaining the running by the minimum gear stage, a safe control state can be obtained. The ECU according to any one of claims 1 to 4 , characterized in that the transition is performed.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017099285 | 2017-05-18 | ||
JP2017099285 | 2017-05-18 | ||
PCT/JP2018/008882 WO2018211790A1 (en) | 2017-05-18 | 2018-03-08 | Ecu |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018211790A1 JPWO2018211790A1 (en) | 2020-02-27 |
JP6838147B2 true JP6838147B2 (en) | 2021-03-03 |
Family
ID=64274048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019519078A Active JP6838147B2 (en) | 2017-05-18 | 2018-03-08 | ECU |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP6838147B2 (en) |
CN (1) | CN110915170B (en) |
DE (1) | DE112018002549T5 (en) |
WO (1) | WO2018211790A1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7211051B2 (en) * | 2018-12-05 | 2023-01-24 | 株式会社デンソー | Network switches and line monitoring devices |
CN111596570B (en) * | 2020-05-26 | 2023-09-12 | 杭州电子科技大学 | Vehicle CAN bus simulation and attack system and method |
JP7491203B2 (en) * | 2020-12-09 | 2024-05-28 | トヨタ自動車株式会社 | Control device, system, vehicle, program, and control device operation method |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101417636B (en) * | 2008-03-14 | 2013-03-20 | 北京理工大学 | Pure electric motor coach communication system and method based on three CAN bus |
JP2013068216A (en) * | 2011-09-10 | 2013-04-18 | Denso Corp | On-board speed reducing device |
WO2013094072A1 (en) * | 2011-12-22 | 2013-06-27 | トヨタ自動車 株式会社 | Communication system and communication method |
JP5919205B2 (en) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | Network device and data transmission / reception system |
CN103605349B (en) * | 2013-11-26 | 2017-11-14 | 厦门雅迅网络股份有限公司 | A kind of remote real-time data collection and analytic statistics system and method based on CAN bus |
CN110610092B (en) * | 2014-04-17 | 2023-06-06 | 松下电器(美国)知识产权公司 | In-vehicle network system, gateway device, and abnormality detection method |
WO2015170451A1 (en) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | In-vehicle network system, electronic control unit, and irregularity detection method |
JP6267596B2 (en) * | 2014-07-14 | 2018-01-24 | 国立大学法人名古屋大学 | Communication system, communication control apparatus, and unauthorized information transmission prevention method |
WO2016038816A1 (en) * | 2014-09-12 | 2016-03-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Vehicle communication device, in-vehicle network system, and vehicle communication method |
EP3337102B1 (en) * | 2014-12-01 | 2020-03-25 | Panasonic Intellectual Property Corporation of America | Illegality detection electronic control unit, car onboard network system, and illegality detection method |
JP6603617B2 (en) * | 2015-08-31 | 2019-11-06 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Gateway device, in-vehicle network system, and communication method |
WO2017037977A1 (en) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Gateway apparatus, in-vehicle network system, and communication method |
-
2018
- 2018-03-08 DE DE112018002549.7T patent/DE112018002549T5/en active Pending
- 2018-03-08 CN CN201880047811.3A patent/CN110915170B/en active Active
- 2018-03-08 WO PCT/JP2018/008882 patent/WO2018211790A1/en active Application Filing
- 2018-03-08 JP JP2019519078A patent/JP6838147B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN110915170B (en) | 2021-11-16 |
DE112018002549T5 (en) | 2020-04-09 |
JPWO2018211790A1 (en) | 2020-02-27 |
CN110915170A (en) | 2020-03-24 |
WO2018211790A1 (en) | 2018-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107005447B (en) | Communication control device and communication system | |
CN107431709B (en) | Attack recognition method, attack recognition device and bus system for automobile | |
JP6838147B2 (en) | ECU | |
JP5423754B2 (en) | Bus monitoring security device and bus monitoring security system | |
US10326793B2 (en) | System and method for guarding a controller area network | |
JP6369341B2 (en) | In-vehicle communication system | |
WO2017038422A1 (en) | Communication device | |
US11938897B2 (en) | On-vehicle device, management method, and management program | |
US10721241B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
KR101972457B1 (en) | Method and System for detecting hacking attack based on the CAN protocol | |
EP3854651A1 (en) | Electronic control device, electronic control method, and program | |
JP5578207B2 (en) | Communication load judgment device | |
CN107196897B (en) | Monitoring device and communication system | |
JP6913869B2 (en) | Surveillance equipment, surveillance systems and computer programs | |
JP2015192216A (en) | Communication device and communication method | |
JP2017126204A (en) | Data communication system for vehicle | |
EP3121753B1 (en) | System for controlling the communication between a main device and an auxiliary device and associated main device and auxiliary device used in the system | |
JP6528239B2 (en) | Communication device and program | |
JPWO2018198545A1 (en) | ECU | |
EP3904161A1 (en) | Information processing device | |
JP2017149234A (en) | Vehicle monitoring system | |
WO2020008872A1 (en) | On-board security system and attack dealing method | |
JP2015112962A (en) | Information processing apparatus | |
JP2020096320A (en) | Illegal signal processing device | |
WO2018037894A1 (en) | Authentication device for vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191009 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200708 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200904 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210126 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210210 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6838147 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |