JP7218234B2 - ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER - Google Patents

ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER Download PDF

Info

Publication number
JP7218234B2
JP7218234B2 JP2019075716A JP2019075716A JP7218234B2 JP 7218234 B2 JP7218234 B2 JP 7218234B2 JP 2019075716 A JP2019075716 A JP 2019075716A JP 2019075716 A JP2019075716 A JP 2019075716A JP 7218234 B2 JP7218234 B2 JP 7218234B2
Authority
JP
Japan
Prior art keywords
communication
electronic control
control device
control unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019075716A
Other languages
Japanese (ja)
Other versions
JP2020174298A (en
Inventor
一司 真鼻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2019075716A priority Critical patent/JP7218234B2/en
Publication of JP2020174298A publication Critical patent/JP2020174298A/en
Application granted granted Critical
Publication of JP7218234B2 publication Critical patent/JP7218234B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、電子制御装置、および電子制御装置の制御方法に関する。 The present invention relates to an electronic control device and a control method for the electronic control device.

従来、内部への不正侵入が検出された場合に、通信制御部と並列に接続されたI/O制御部と、通信バスとを接続するラインを用いて、通信バスに不正データを無効化させる信号を出力し、さらなる不正侵入を防止する電子制御装置が知られている(例えば、特許文献1参照)。 Conventionally, when an unauthorized intrusion to the inside is detected, a line connecting an I/O control unit connected in parallel with a communication control unit and a communication bus is used to invalidate unauthorized data in the communication bus. An electronic control device that outputs a signal to prevent further unauthorized access is known (see Patent Document 1, for example).

特開2014-236248号公報JP 2014-236248 A

しかしながら、上記電子制御装置は、不正データを無効化させる信号を、I/O制御部と通信バスとを接続するラインを用いて通信バスに出力させるため、さらなる不正侵入を防止するための構成が複雑となる。 However, since the electronic control unit outputs a signal for invalidating unauthorized data to the communication bus using the line connecting the I/O control unit and the communication bus, there is no configuration for preventing further unauthorized access. complicated.

本発明は、上記に鑑みてなされたものであって、内部への不正侵入が検出された場合に、簡易な構成でさらなる不正侵入を防止する電子制御装置、および電子制御装置の制御方法を提供することを目的とする。 SUMMARY OF THE INVENTION The present invention has been made in view of the above, and provides an electronic control device and a control method for the electronic control device that prevent further unauthorized entry with a simple configuration when unauthorized entry into the interior is detected. intended to

実施形態の一態様に係る電子制御装置は、通信部と、生成部と、出力部とを備える。通信部は、通信バスを介し、所定の通信プロトコルを用いたデータを送受信する。生成部は、内部への不正侵入が検出された場合に、通信妨害信号を生成する。出力部は、通信部を介して通信バスに通信妨害信号を出力する。 An electronic control device according to an aspect of an embodiment includes a communication section, a generation section, and an output section. The communication unit transmits and receives data using a predetermined communication protocol via a communication bus. The generation unit generates a communication jamming signal when unauthorized intrusion into the inside is detected. The output unit outputs a communication jamming signal to the communication bus via the communication unit.

実施形態の一態様によれば、内部への不正侵入が検出された場合に、簡易な構成でさらなる不正侵入を防止することができる。 According to one aspect of the embodiments, it is possible to prevent further unauthorized access with a simple configuration when unauthorized access to the inside is detected.

図1は、電子制御システムの構成を示すブロック図である。FIG. 1 is a block diagram showing the configuration of an electronic control system. 図2は、電子制御装置の制御方法の概要を示す図である。FIG. 2 is a diagram showing an overview of the control method of the electronic control unit. 図3は、電子制御装置の構成を示すブロック図である。FIG. 3 is a block diagram showing the configuration of the electronic control unit. 図4は、不正侵入拡散防止処理を説明するフローチャートである。FIG. 4 is a flowchart for explaining unauthorized intrusion diffusion prevention processing. 図5は、不正侵入拡散防止処理を説明するタイムチャートである。FIG. 5 is a time chart for explaining unauthorized intrusion diffusion prevention processing.

以下、添付図面を参照して、実施形態に係る電子制御装置、および電子制御装置の制御方法について詳細に説明する。なお、本実施形態によりこの発明が限定されるものではない。 Hereinafter, an electronic control device and a control method for the electronic control device according to embodiments will be described in detail with reference to the accompanying drawings. In addition, this invention is not limited by this embodiment.

まず、図1、および図2を用いて実施形態に係る電子制御装置2の制御方法の概要について説明する。図1は、電子制御システム1の構成を示すブロック図である。図2は、電子制御装置2の制御方法の概要を示す図である。 First, the outline of the control method of the electronic control unit 2 according to the embodiment will be described with reference to FIGS. 1 and 2. FIG. FIG. 1 is a block diagram showing the configuration of an electronic control system 1. As shown in FIG. FIG. 2 is a diagram showing an overview of the control method of the electronic control unit 2. As shown in FIG.

電子制御システム1は、複数の電子制御装置(ECU:Electronic Control Unit)2と、無線通信装置20とを備える。各電子制御装置2、および無線通信装置20は、通信バスBによって接続される。ここでは、車両に搭載された電子制御装置2を一例として説明する。そのため、電子制御システム1は、車載システム1であり、以下では、車載システム1として説明する。なお、電子制御装置2は、車両以外にも搭載されてもよい。また、図1では、4つの電子制御装置2を記載しているが、電子制御装置2は、4つに限られることはない。 The electronic control system 1 includes a plurality of electronic control units (ECUs) 2 and a wireless communication device 20 . Each electronic controller 2 and wireless communication device 20 are connected by a communication bus B. FIG. Here, an electronic control unit 2 mounted on a vehicle will be described as an example. Therefore, the electronic control system 1 is the in-vehicle system 1 and will be described as the in-vehicle system 1 below. Note that the electronic control unit 2 may be mounted on a vehicle other than the vehicle. Further, although four electronic control units 2 are shown in FIG. 1, the number of electronic control units 2 is not limited to four.

電子制御装置2は、所定の通信プロトコル、具体的には、CAN(Control Area Network)通信を用いた車載ネットワークによって通信部3(図3参照)を介してデータを送受信する。電子制御装置2は、他の電子制御装置2などとの間でCAN通信を用いてデータの送受信を行うことができる。電子制御装置2は、車両の各機器、エンジンや、変速機や、ナビゲーションシステムなどの制御装置である。 The electronic control unit 2 transmits and receives data via a communication unit 3 (see FIG. 3) by an in-vehicle network using a predetermined communication protocol, specifically, CAN (Control Area Network) communication. The electronic control device 2 can transmit and receive data to and from other electronic control devices 2 and the like using CAN communication. The electronic control unit 2 is a control unit for each device of the vehicle, the engine, the transmission, the navigation system, and the like.

無線通信装置20は、携帯電話や、無線LANなどであり、外部と通信可能である。そのため、車載システム1の電子制御装置2は、悪意のある者によって外部から不正信号が送信され、不正侵入されるおそれがある。例えば、電子制御装置2は、不正侵入されることで、プログラムが変更されて車両の挙動が変更されるおそれがある。また、電子制御装置2は、不正侵入されることで、データが不正に取得されるおそれがある。 The wireless communication device 20 is a mobile phone, a wireless LAN, or the like, and can communicate with the outside. Therefore, the electronic control unit 2 of the in-vehicle system 1 may be illegally intruded by a person with malicious intent who sends an unauthorized signal from the outside. For example, if the electronic control unit 2 is hacked, there is a risk that the program will be changed and the behavior of the vehicle will be changed. In addition, there is a risk that the electronic control unit 2 may be illegally acquired due to illegal intrusion.

そこで、電子制御装置2は、内部への不正侵入を検出した場合には(S1)、通信妨害信号を生成する(S2)。通信妨害信号は、CAN通信(所定の通信プロトコル)とは異なる通信方式に基づいた信号であり、CAN通信によるデータの送受信を不能とする異常波形の信号である。具体的には、通信妨害信号は、ドミナントが連続して出力される信号である。 Therefore, when the electronic control unit 2 detects unauthorized entry into the interior (S1), it generates a communication jamming signal (S2). The communication jamming signal is a signal based on a communication method different from CAN communication (predetermined communication protocol), and is a signal with an abnormal waveform that disables transmission and reception of data by CAN communication. Specifically, the communication jamming signal is a signal in which dominants are continuously output.

そして、電子制御装置2は、生成した通信妨害信号を通信バスBに出力する(S3)。具体的には、電子制御装置2は、通信妨害信号を電子制御装置2の通信部3(図3参照)を介して通信バスBに出力する。 Then, the electronic control unit 2 outputs the generated communication jamming signal to the communication bus B (S3). Specifically, the electronic control unit 2 outputs a communication jamming signal to the communication bus B via the communication unit 3 (see FIG. 3) of the electronic control unit 2 .

これにより、通信バスBには、ドミナントが連続する通信妨害信号が出力される。そのため、車載システム1では、通信バスBによるCAN通信を用いたデータの送受信が不能となる。従って、電子制御装置2は、他の電子制御装置2を含む電子制御装置2へのさらなる不正侵入を防止することができる。 As a result, a communication interference signal having continuous dominants is output to the communication bus B. FIG. Therefore, in the in-vehicle system 1, transmission and reception of data using CAN communication via the communication bus B becomes impossible. Therefore, the electronic control device 2 can prevent further unauthorized access to the electronic control device 2 including other electronic control devices 2 .

また、電子制御装置2は、CAN通信によってデータを送受信する通信部3を介して通信妨害信号を通信バスBに出力することで、通信妨害信号を出力するためのラインを別途用いることなく、通信妨害信号を通信バスBに出力することができる。そのため、電子制御装置2は、簡易な構成で通信妨害信号を通信バスBに出力することができる。 In addition, the electronic control unit 2 outputs a communication jamming signal to the communication bus B via the communication unit 3 that transmits and receives data by CAN communication, thereby enabling communication without using a separate line for outputting the communication jamming signal. An interfering signal can be output on the communication bus B. Therefore, the electronic control unit 2 can output the communication interference signal to the communication bus B with a simple configuration.

次に、電子制御装置2について図3を参照し説明する。図3は、電子制御装置2の構成を示すブロック図である。なお、図3では、1つの電子制御装置2を記載するが、他の電子制御装置2も同様の構成である。 Next, the electronic control unit 2 will be described with reference to FIG. FIG. 3 is a block diagram showing the configuration of the electronic control unit 2. As shown in FIG. Although one electronic control unit 2 is shown in FIG. 3, other electronic control units 2 have the same configuration.

電子制御装置2は、通信部3と、記憶部4と、制御部5とを備える。 The electronic control device 2 includes a communication section 3 , a storage section 4 and a control section 5 .

通信部3は、例えば、CANトランシーバであり、通信バスBを介してCAN通信を用いたデータの送受信が可能である。また、通信部3は、制御部5によって生成された信号を通信バスBに送信可能である。 The communication unit 3 is, for example, a CAN transceiver, and can transmit and receive data via the communication bus B using CAN communication. Also, the communication unit 3 can transmit a signal generated by the control unit 5 to the communication bus B. FIG.

通信部3は、ドミナント固着が発生した場合、具体的には、ドミナントが第1所定時間(所定時間)連続して出力された場合に、制御部5に異常が発生していると判定し、外部への出力を禁止するフェールセーフ機能を有している。第1所定時間は、予め設定された時間である。 The communication unit 3 determines that an abnormality has occurred in the control unit 5 when the dominant fixation occurs, specifically, when the dominant is continuously output for a first predetermined time (predetermined time), It has a fail-safe function that prohibits output to the outside. The first predetermined time is a preset time.

記憶部4は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。 The storage unit 4 is implemented by a semiconductor memory device such as RAM (Random Access Memory) or flash memory, or a storage device such as a hard disk or optical disk.

制御部5は、検出部10と、判定部11と、生成部12と、設定部13(変更部)と、出力部14とを備える。 The control unit 5 includes a detection unit 10 , a determination unit 11 , a generation unit 12 , a setting unit 13 (change unit), and an output unit 14 .

制御部5は、コントローラ(controller)であり、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、記憶部4内部の記憶デバイスに記憶されている各種プログラムがRAMを作業領域として実行される。これにより、制御部5は、検出部10、判定部11、生成部12、設定部13、および出力部14として機能する。 The control unit 5 is a controller, and various programs stored in a storage device inside the storage unit 4 are executed by a CPU (Central Processing Unit), an MPU (Micro Processing Unit), or the like using the RAM as a work area. be. Thereby, the control unit 5 functions as the detection unit 10 , the determination unit 11 , the generation unit 12 , the setting unit 13 and the output unit 14 .

また、制御部5は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現することができる。なお、検出部10、判定部11、生成部12、設定部13、および出力部14は、統合されてもよく、また複数に分けられてもよい。 Also, the control unit 5 can be realized by an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array). Note that the detection unit 10, the determination unit 11, the generation unit 12, the setting unit 13, and the output unit 14 may be integrated or divided into a plurality of units.

検出部10は、外部からの不正侵入を検出する。例えば、検出部10は、メッセージ認証コードを用いたメッセージ認証により、不正侵入を検出する。なお、不正侵入の検出方法は、これに限定されない。 The detection unit 10 detects unauthorized intrusion from the outside. For example, the detection unit 10 detects unauthorized intrusion by message authentication using a message authentication code. Note that the method of detecting unauthorized access is not limited to this.

判定部11は、車載システム1(図1参照)の電源がOFFにされたか否かを判定する。具体的には、判定部11は、車両のスタートスイッチ(不図示)がOFFにされたか否かを判定する。 The determination unit 11 determines whether or not the in-vehicle system 1 (see FIG. 1) is powered off. Specifically, the determination unit 11 determines whether or not a start switch (not shown) of the vehicle has been turned off.

生成部12は、検出部10によって外部からの不正侵入が検出された場合に、通信妨害信号を生成する。通信妨害信号は、ドミナントが連続する信号であり、具体的には、第2所定時間連続するドミナントと、第3所定時間連続するレセシブとが交互に繰り返される信号である。 The generation unit 12 generates a communication jamming signal when the detection unit 10 detects an unauthorized intrusion from the outside. The communication jamming signal is a signal in which dominants continue, and more specifically, a signal in which a dominant that continues for a second predetermined time period and a recessive signal that continues for a third predetermined time period are alternately repeated.

第2所定時間は、予め設定された時間であり、通信部3によるフェールセーフ機能が作動しない時間、すなわち第1所定時間よりも短い時間である。 The second predetermined time is a time set in advance and is a time during which the fail-safe function by the communication unit 3 does not operate, that is, a time shorter than the first predetermined time.

第3所定時間は、予め設定された時間であり、CAN通信の1フレームの最短長よりも短い時間である。また、第3所定時間は、CAN通信の1Bit時間よりも長い時間である。例えば、第3所定時間は、CAN通信の1Bit時間に対し、数%のマージンを設定した時間であり、かつCAN通信の1フレームの最短長よりも短い時間である。換言すると、第3所定時間は、CAN通信によるデータの割り込みを防ぐことが可能な時間であり、CAN通信によるさらなる不正侵入を防ぐことが可能な時間である。 The third predetermined time is a time set in advance, and is a time shorter than the shortest length of one frame of CAN communication. Also, the third predetermined time is a time longer than 1 Bit time of CAN communication. For example, the third predetermined time is a time set with a margin of several percent with respect to 1 Bit time of CAN communication, and is a time shorter than the shortest length of one frame of CAN communication. In other words, the third predetermined time is a time during which data interruption by CAN communication can be prevented, and a time during which further unauthorized access by CAN communication can be prevented.

設定部13は、検出部10によって外部からの不正侵入が検出されていない場合には、出力部14の動作をCAN通信に対応したCAN用ポートに設定する。設定部13は、検出部10によって外部からの不正侵入が検出された場合に、出力部14の動作をCAN用ポートから、CAN通信とは異なる通信方法に対応した汎用ポートに変更する。すなわち、設定部13は、不正侵入が検出された場合には、出力部14における通信方式をCAN用ポートとは異なる通信方式に変更する。 The setting unit 13 sets the operation of the output unit 14 to the CAN port corresponding to CAN communication when the detection unit 10 does not detect any unauthorized intrusion from the outside. The setting unit 13 changes the operation of the output unit 14 from the CAN port to a general-purpose port corresponding to a communication method different from CAN communication when the detection unit 10 detects an unauthorized intrusion from the outside. That is, when unauthorized access is detected, the setting unit 13 changes the communication method in the output unit 14 to a communication method different from the CAN port.

また、設定部13は、車載システム1の電源がOFFにされた場合、具体的には、車両のスタートスイッチ(不図示)がOFFにされ再起動した場合に、出力部14の動作を汎用ポートからCAN用ポートに変更する。 Further, the setting unit 13 controls the operation of the output unit 14 when the vehicle system 1 is powered off, specifically, when the start switch (not shown) of the vehicle is turned off and the vehicle is restarted. to CAN port.

すなわち、設定部13は、不正侵入が検出されて、出力部14の動作を汎用ポートに設定した後に、車載システム1の電源がOFFにされると、出力部14の動作をCAN用ポートに戻す。 That is, the setting unit 13 returns the operation of the output unit 14 to the CAN port when the in-vehicle system 1 is turned off after the unauthorized access is detected and the operation of the output unit 14 is set to the general port. .

なお、設定部13は、車載システム1の電源がONにされると、出力部14の動作をCAN用ポートに設定してもよい。すなわち、設定部13は、不正侵入が検出されて、出力部14の動作を汎用ポートに設定した後に、車載システム1の電源がOFFにされ、車載システム1の電源がONにされた場合に、出力部14の動作をCAN用ポートに戻してもよい。 Note that the setting unit 13 may set the operation of the output unit 14 to the CAN port when the in-vehicle system 1 is powered on. That is, when the setting unit 13 detects an unauthorized intrusion and sets the operation of the output unit 14 to the general-purpose port, the power of the in-vehicle system 1 is turned off, and then the power of the in-vehicle system 1 is turned on. You may return the operation|movement of the output part 14 to the port for CAN.

上記するように、出力部14の動作は、設定部13によってCAN用ポート、および汎用ポートに設定される。出力部14の動作が汎用ポートに設定された場合には、CAN通信が不能となり、データを含まない信号の送受信のみが可能となる。 As described above, the operation of the output unit 14 is set by the setting unit 13 to the CAN port and general-purpose port. When the operation of the output unit 14 is set to the general-purpose port, CAN communication is disabled and only transmission and reception of signals containing no data is possible.

出力部14は、検出部10によって外部からの不正侵入が検出された場合に、生成部12によって生成された通信妨害信号を、通信部3を介して通信バスBに出力する。また、出力部14は、通信妨害信号の出力結果を記憶部4に記憶させる。 The output unit 14 outputs the communication jamming signal generated by the generation unit 12 to the communication bus B via the communication unit 3 when the detection unit 10 detects unauthorized access from the outside. Further, the output unit 14 causes the storage unit 4 to store the output result of the communication jamming signal.

通信妨害信号が通信部3を介して通信バスBに出力されることで、通信バスBには、ドミナントが連続して出力され、通信バスBを介したCAN通信が不能となる。そのため、他の電子制御装置2に対するCAN通信によるデータの送受信が不能となり、他の電子制御装置2に対する不正侵入を防止することができる。すなわち、他の電子制御装置2へのさらなる不正侵入を防止することができる。 By outputting the communication jamming signal to the communication bus B via the communication unit 3, a dominant signal is continuously output to the communication bus B, and CAN communication via the communication bus B becomes impossible. Therefore, it becomes impossible to transmit and receive data to and from other electronic control devices 2 by CAN communication, and unauthorized access to other electronic control devices 2 can be prevented. That is, further unauthorized access to other electronic control units 2 can be prevented.

なお、通信妨害信号を出力する電子制御装置2、すなわち不正侵入を検出した電子制御装置2では、出力部14の動作が汎用ポートに設定されるため、CAN通信は不能となる。そのため、不正侵入を検出した電子制御装置2に対するさらなる不正侵入も防止することができる。 In the electronic control unit 2 that outputs the communication jamming signal, that is, the electronic control unit 2 that has detected unauthorized access, the operation of the output unit 14 is set to the general-purpose port, so CAN communication is disabled. Therefore, it is possible to prevent further unauthorized access to the electronic control unit 2 that detected the unauthorized access.

次に、不正侵入拡散防止処理について図4のフローチャートを参照し説明する。図4は、不正侵入拡散防止処理を説明するフローチャートである。なお、不正侵入は検出されておらず、出力部14の動作はCAN用ポートに設定されているものとする。 Next, unauthorized intrusion diffusion prevention processing will be described with reference to the flowchart of FIG. FIG. 4 is a flowchart for explaining unauthorized intrusion diffusion prevention processing. Assume that no illegal intrusion has been detected and the operation of the output unit 14 is set to the CAN port.

電子制御装置2は、不正侵入が検出されない場合には(S100:No)、今回の処理を終了する。 If the electronic control unit 2 does not detect unauthorized access (S100: No), the current process ends.

電子制御装置2は、不正侵入が検出された場合には(S100:Yes)、通信妨害信号を生成し(S101)、出力部14の動作をCAN用ポートから汎用ポートに変更する(S102)。 When unauthorized access is detected (S100: Yes), the electronic control unit 2 generates a communication jamming signal (S101), and changes the operation of the output unit 14 from the CAN port to the general-purpose port (S102).

なお、電子制御装置2は、通信妨害信号を生成する前、または通信妨害信号を生成すると同時に、出力部14の動作をCAN用ポートから汎用ポートに変更してもよい。すなわち、図4のステップS101とステップS102とは逆であってもよく、同じステップであってもよい。 The electronic control unit 2 may change the operation of the output unit 14 from the CAN port to the general-purpose port before or at the same time as generating the communication jamming signal. That is, step S101 and step S102 in FIG. 4 may be reversed, or may be the same step.

電子制御装置2は、生成した通信妨害信号を、通信部3を介して通信バスBに出力する(S103)。 The electronic control unit 2 outputs the generated communication jamming signal to the communication bus B via the communication unit 3 (S103).

電子制御装置2は、車載システム1の電源がOFFにされたか否かを判定する(S104)。電子制御装置2は、車載システム1の電源がOFFにされていない場合には(S104:No)、通信妨害信号の出力を継続する(S103)。 The electronic control unit 2 determines whether or not the in-vehicle system 1 is powered off (S104). When the power of the in-vehicle system 1 is not turned off (S104: No), the electronic control unit 2 continues to output the communication jamming signal (S103).

電子制御装置2は、車載システム1の電源がOFFにされた場合には(S104:Yes)、出力部14の動作を汎用ポートからCAN用ポートに変更する(S105)。 When the in-vehicle system 1 is powered off (S104: Yes), the electronic control unit 2 changes the operation of the output unit 14 from the general-purpose port to the CAN port (S105).

なお、車載システム1の電源がOFFにされることで、通信バスBによるデータの送受信が行われないため、電子制御装置2へのさらなる不正侵入は防止される。また、電子制御装置2は、車載システム1の電源がOFFにされた場合であっても、例えば、電子制御装置2の内部電源から電力が供給されることで、出力部14の動作をCAN用ポートに変更することができる。 By turning off the power of the in-vehicle system 1 , data transmission and reception via the communication bus B are not performed, so further unauthorized access to the electronic control unit 2 is prevented. In addition, even when the power supply of the in-vehicle system 1 is turned off, the electronic control unit 2 is supplied with power from the internal power supply of the electronic control unit 2, for example, so that the operation of the output unit 14 can be controlled for CAN. Port can be changed.

電子制御装置2では、不正侵入が検出されて車載システム1の電源がOFFになり、その後、車載システム1の電源がONになった場合には、出力部14の動作はCAN用ポートになっている。 In the electronic control unit 2, the power of the in-vehicle system 1 is turned off due to the detection of the unauthorized intrusion. there is

そのため、不正侵入が検出された場合には、その後、車載システム1の電源がONにされることで、ダイアグツールなどとCAN通信を行うことが可能となる。従って、不正侵入が検出された場合に、さらなる不正侵入を防止しつつ、ダイアグツールなどによって、電子制御装置2内の異常情報を読み出すことができ、不正侵入に対する解析を実施することができる。 Therefore, when an unauthorized intrusion is detected, the in-vehicle system 1 is turned on after that, so that CAN communication with a diagnostic tool or the like can be performed. Therefore, when an unauthorized intrusion is detected, it is possible to read abnormal information in the electronic control unit 2 using a diagnostic tool or the like while preventing further unauthorized intrusion, and to analyze the unauthorized intrusion.

次に、不正侵入拡散防止処理について図5のタイムチャートを参照し説明する。図5は、不正侵入拡散防止処理を説明するタイムチャートである。なお、不正侵入は検出されておらず、出力部14の動作は、CAN用ポートに設定されているものとする。 Next, unauthorized intrusion diffusion prevention processing will be described with reference to the time chart of FIG. FIG. 5 is a time chart for explaining unauthorized intrusion diffusion prevention processing. Assume that no unauthorized access has been detected and the operation of the output unit 14 is set to the CAN port.

不正侵入が検出されていない状態で、時間t0において不正侵入が検出されると、出力部14の動作は、CAN用ポートから汎用ポートに変更される。 If an unauthorized access is detected at time t0 while no unauthorized access is detected, the operation of the output unit 14 is changed from the CAN port to the general-purpose port.

また、通信妨害信号が生成され、出力部14から通信妨害信号が出力される。通信妨害信号では、時間t0から時間t1までの第2所定時間T1ドミナントとなり、時間t1において反転し、レセシブとなる。そして、通信妨害信号では、時間t1から時間t2までの第3所定時間T2レセシブとなり、時間t2において再びドミナントとなる。その後、同様に、ドミナントとレセシブとが交互に出力される。このように、不正侵入が検出された場合には、通信妨害信号として、ドミナントとレセシブとが交互に繰り返される。 Also, a communication jamming signal is generated, and the communication jamming signal is output from the output unit 14 . The communication jamming signal becomes dominant for a second predetermined time period T1 from time t0 to time t1, then reverses at time t1 and becomes recessive. Then, the communication jamming signal becomes recessive for a third predetermined time T2 from time t1 to time t2, and becomes dominant again at time t2. Thereafter, similarly, dominant and recessive are alternately output. In this way, when an unauthorized intrusion is detected, the dominant and recessive signals are alternately repeated as a communication jamming signal.

そして、時間t3において、車載システム1の電源がOFFにされると、出力部14の動作は、汎用ポートからCAN用ポートに変更される。 At time t3, when the in-vehicle system 1 is powered off, the operation of the output unit 14 is changed from the general-purpose port to the CAN port.

次に、実施形態に係る電子制御装置2の効果について説明する。 Next, effects of the electronic control unit 2 according to the embodiment will be described.

電子制御装置2は、CAN通信を用いてデータを通信部3によって送受信し、不正侵入が検出された場合には、通信妨害信号を生成し、通信部3を介して通信妨害信号を通信バスBに出力する。 The electronic control unit 2 transmits and receives data through the communication unit 3 using CAN communication, generates a communication jamming signal when unauthorized access is detected, and transmits the communication jamming signal via the communication unit 3 to the communication bus B output to

これにより、電子制御装置2は、通信部3を用いた簡易な構成で通信妨害信号を通信バスBに出力することができる。電子制御装置2は、通信妨害信号を出力するためのラインを別途用いることなく、通信妨害信号を通信バスBに出力することができる。そのため、電子制御装置2は、不正侵入が検出された場合に、簡易な構成でさらなる不正侵入を防止することができる。また、電子制御装置2は、制御部5の変更によってさらなる不正侵入を防止することができ、不正侵入を防止するための設計変更を容易とし、低コストで上記した不正侵入拡散防止処理を実装させることができる。また、電子制御装置2は、通信妨害信号を通信バスBに出力することで、通信バスBによるCAN通信を不能とし、他の電子制御装置2に対する不正侵入を防止することができる。 Thereby, the electronic control unit 2 can output the communication jamming signal to the communication bus B with a simple configuration using the communication unit 3 . The electronic control unit 2 can output the communication jamming signal to the communication bus B without using a separate line for outputting the communication jamming signal. Therefore, when unauthorized access is detected, the electronic control unit 2 can prevent further unauthorized access with a simple configuration. In addition, the electronic control unit 2 can prevent further unauthorized intrusions by changing the control unit 5, facilitates design changes for preventing unauthorized intrusions, and implements the above-described unauthorized intrusion diffusion prevention processing at low cost. be able to. Further, the electronic control unit 2 outputs a communication jamming signal to the communication bus B, thereby disabling CAN communication through the communication bus B and preventing unauthorized access to other electronic control units 2 .

また、電子制御装置2は、不正侵入が検出された場合には、出力部14における通信方式をCAN通信からCAN通信とは異なる通信方式に変更し、CAN通信とは異なる通信方式による通信妨害信号を生成する。具体的には、電子制御装置2は、CAN通信によるデータの送受信を不能とする異常波形の信号である通信妨害信号を生成する。 Further, when an unauthorized intrusion is detected, the electronic control unit 2 changes the communication method in the output unit 14 from CAN communication to a communication method different from the CAN communication, and the communication jamming signal by the communication method different from the CAN communication. to generate Specifically, the electronic control unit 2 generates a communication interference signal, which is a signal with an abnormal waveform that disables transmission and reception of data by CAN communication.

これにより、電子制御装置2は、他の電子制御装置2を含む電子制御装置2へのさらなる不正侵入を防止することができる。また、電子制御装置2は、出力部14における通信方式をCAN通信から変更することで、電子制御装置2へのさらなる不正侵入を防止することができる。 As a result, the electronic control unit 2 can prevent further unauthorized access to the electronic control unit 2 including other electronic control units 2 . Further, the electronic control unit 2 can prevent further unauthorized access to the electronic control unit 2 by changing the communication method in the output unit 14 from CAN communication.

また、電子制御装置2は、不正侵入が検出され、かつ車載システム1の電源がOFFにされた後は、出力部14における通信方式をCAN通信に変更する。 Further, the electronic control unit 2 changes the communication method in the output unit 14 to CAN communication after the intrusion is detected and the power supply of the in-vehicle system 1 is turned off.

これにより、電子制御装置2は、不正侵入が検出され、車載システム1の電源が再びONにされた場合に、例えば、ダイアグツールによって電子制御装置2内の異常情報を読み出すことができ、不正侵入に対する解析を実施することができる。 As a result, when an unauthorized intrusion is detected and the power supply of the in-vehicle system 1 is turned on again, the electronic control unit 2 can read abnormal information in the electronic control unit 2 using, for example, a diagnostic tool, and prevent unauthorized intrusion. analysis can be performed for

また、電子制御装置2では、ドミナントが第1所定時間以上連続する場合に、通信部3が制御部5に異常が発生していると判定し、外部への信号の出力を禁止するフェールセーフを実行する。また、電子制御装置2は、第1所定時間よりも短いドミナントと、レセシブとが交互に繰り返される通信妨害信号を生成する。 Further, in the electronic control unit 2, when the dominant continues for a first predetermined time or more, the communication unit 3 determines that the control unit 5 has an abnormality, and performs a fail-safe operation that prohibits output of a signal to the outside. Execute. Further, the electronic control unit 2 generates a communication jamming signal in which dominant and recessive signals shorter than the first predetermined time are alternately repeated.

これにより、電子制御装置2は、通信部3によってフェールセーフ機能を実行させつつ、不正侵入が検出された場合に通信妨害信号を通信バスBに出力することができる。すなわち、フェールセーフ機能を有する通信部3を用いた電子制御装置2に対しても、さらなる不正侵入を防止することができる。 As a result, the electronic control unit 2 can output a communication jamming signal to the communication bus B when unauthorized access is detected while causing the communication unit 3 to perform the fail-safe function. That is, it is possible to prevent further unauthorized access to the electronic control unit 2 using the communication unit 3 having a fail-safe function.

また、電子制御装置2は、通信妨害信号に含まれるレセシブの第2所定時間を、CAN通信における1フレームの最短長よりも短くする。 Further, the electronic control unit 2 makes the recessive second predetermined time included in the communication jamming signal shorter than the shortest length of one frame in CAN communication.

これにより、電子制御装置2は、フェールセーフ機能を実行させつつ、通信妨害信号がレセシブとなっている間にCAN通信による不正信号が割り込むことを防止することができる。すなわち、電子制御装置2は、フェールセーフ機能を実行させつつ、さらなる不正侵入を防止することができる。 Thereby, the electronic control unit 2 can prevent an illegal signal by CAN communication from interrupting while the communication jamming signal is recessive while executing the fail-safe function. That is, the electronic control unit 2 can prevent further unauthorized access while executing the fail-safe function.

なお、通信部3は、上記したフェールセーフ機能を有さなくてもよい。この場合、生成部12は、レセシブに反転することがない通信妨害信号を生成する。具体的には、生成部12は、ドミナントのみで構成される通信妨害信号を生成する。 In addition, the communication part 3 does not need to have the above-described fail-safe function. In this case, the generator 12 generates a communication jamming signal that is not recessively inverted. Specifically, the generator 12 generates a communication jamming signal composed only of dominants.

また、変形例に係る電子制御装置2は、他の電子制御装置2における通信妨害信号とは異なる波形の通信妨害信号を生成する。すなわち、変形例に係る車載システム1は、電子制御装置2毎に異なる波形の通信妨害信号を生成する。 Further, the electronic control unit 2 according to the modification generates a communication jamming signal with a waveform different from that of the communication jamming signal in the other electronic control units 2 . That is, the in-vehicle system 1 according to the modification generates a communication jamming signal with a different waveform for each electronic control device 2 .

例えば、各電子制御装置2は、ドミナントの連続時間(第2所定時間)、レセシブの連続時間(第3所定時間)の少なくとも一方をそれぞれ異なる時間とした通信妨害信号を生成する。また、例えば、各電子制御装置2は、第2所定時間連続するドミナント間におけるレセシブの反転回数がそれぞれ異なる通信妨害信号を生成する。 For example, each electronic control unit 2 generates a communication jamming signal in which at least one of a dominant continuous time (second predetermined time) and a recessive continuous time (third predetermined time) is different. Further, for example, each electronic control unit 2 generates a communication jamming signal with a different recessive inversion number between dominants that continue for the second predetermined time.

これにより、不正侵入が検出され、その後、ダイアグツールが使えない場合でも通信ラインの波形を確認することで不正侵入が行われた電子制御装置2を容易に特定することができる。 As a result, even if a diagnostic tool cannot be used after an unauthorized intrusion is detected, it is possible to easily identify the electronic control unit 2 in which the unauthorized intrusion has occurred by checking the waveform of the communication line.

また、上記した実施形態では、電子制御装置2は、所定の通信プロトコルとして、CAN通信を用いた一例について説明したが、CANFD(CAN with Flexible Data)通信などであってもよい。 Further, in the above-described embodiment, an example in which the electronic control unit 2 uses CAN communication as a predetermined communication protocol has been described, but CAN FD (CAN with Flexible Data) communication or the like may also be used.

さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。従って、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。 Further effects and modifications can be easily derived by those skilled in the art. Therefore, the broader aspects of the invention are not limited to the specific details and representative embodiments so shown and described. Accordingly, various changes may be made without departing from the spirit or scope of the general inventive concept defined by the appended claims and equivalents thereof.

1 電子制御システム
2 電子制御装置
3 通信部
4 記憶部
5 制御部
10 検出部
11 判定部
12 生成部
13 設定部(変更部)
14 出力部
B 通信バス 1 electronic control system 2 electronic control device 3 communication unit 4 storage unit 5 control unit 10 detection unit 11 determination unit 12 generation unit 13 setting unit (change unit)
14 output section B communication bus

Claims (7)

他の電子制御装置と通信バスとともに制御システムを構成する電子制御装置であって、
前記他の電子制御装置と、前記通信バスを介して、データを送受信する通信部と、
制御部とを備え、
前記制御部は、
外部からの不正侵入を検出すると、他の電子制御装置が生成する通信妨害信号とは異なる通信妨害信号を生成し、前記通信部を介して前記通信バスに出力する、電子制御装置。 An electronic control device that forms a control system together with another electronic control device and a communication bus,
a communication unit that transmits and receives data via the other electronic control device and the communication bus;
and a control unit,
The control unit
An electronic control device that, upon detecting an unauthorized intrusion from the outside, generates a communication jamming signal different from a communication jamming signal generated by another electronic control device, and outputs the signal to the communication bus via the communication unit. 前記通信部は、ドミナントが所定時間以上連続する場合に、外部への信号の出力を禁止し、
前記制御部は、前記所定時間よりも短いドミナントと、レセシブとが交互に繰り返される前記通信妨害信号を生成する、請求項1記載の電子制御装置。 The communication unit prohibits the output of a signal to the outside when the dominant continues for a predetermined time or more,
2. The electronic control device according to claim 1 , wherein said control unit generates said communication jamming signal in which dominant and recessive periods shorter than said predetermined time are alternately repeated. 前記制御部は、定の通信プロトコルにおける1フレームの最短長よりも短い前記レセシブを含む前記通信妨害信号を生成する、請求項に記載の電子制御装置。 3. The electronic control device according to claim 2 , wherein said control unit generates said communication jamming signal including said recess that is shorter than the shortest length of one frame in a predetermined communication protocol. 前記制御部は、前記不正侵入検出すると信方式を定の通信プロトコルから異なる方式に変更し、
記所定の通信プロトコルによるデータの送受信を不能とする異常波形の前記通信妨害信号を前記異なる方式によって生成する、請求項1に記載の電子制御装置。 When the control unit detects the unauthorized intrusion , the control unit changes the communication method from a predetermined communication protocol to a different method ,
2. The electronic control unit according to claim 1, wherein said different method generates said communication interference signal having an abnormal waveform that disables transmission and reception of data according to said predetermined communication protocol. 前記制御部は、前記不正侵入が検出され、かつ電源がOFFにされた後は、記通信方式を前記異なる方式から前記所定の通信プロトコルに変更する、請求項に記載の電子制御装置。 5. The electronic control device according to claim 4 , wherein said control unit changes said communication method from said different method to said predetermined communication protocol after said unauthorized access is detected and power is turned off. . 前記通信部は、前記他の電子制御装置と前記通信バスを介し、CAN通信でデータの送受信を行う、請求項1~5のいずれか一つに記載の電子制御装置。 The electronic control device according to any one of claims 1 to 5, wherein the communication unit transmits and receives data to and from the other electronic control device via the communication bus by CAN communication . 他の電子制御装置と通信バスとともに制御システムを構成する電子制御装置の制御方法であって、
前記他の電子制御装置と、前記通信バスを介して、データを送受信し、
外部からの不正侵入を検出すると、他の電子制御装置が生成する通信妨害信号とは異なる通信妨害信号を生成し、前記通信バスに出力する、電子制御装置の制御方法。 A control method for an electronic control device that forms a control system together with another electronic control device and a communication bus,
Sending and receiving data to and from the other electronic control device via the communication bus ;
A method of controlling an electronic control device , comprising : generating a communication jamming signal different from a communication jamming signal generated by another electronic control device , and outputting the signal to the communication bus when an unauthorized intrusion from the outside is detected.
JP2019075716A 2019-04-11 2019-04-11 ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER Active JP7218234B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019075716A JP7218234B2 (en) 2019-04-11 2019-04-11 ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019075716A JP7218234B2 (en) 2019-04-11 2019-04-11 ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER

Publications (2)

Publication Number Publication Date
JP2020174298A JP2020174298A (en) 2020-10-22
JP7218234B2 true JP7218234B2 (en) 2023-02-06

Family

ID=72831896

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019075716A Active JP7218234B2 (en) 2019-04-11 2019-04-11 ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER

Country Status (1)

Country Link
JP (1) JP7218234B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014236248A (en) 2013-05-30 2014-12-15 日立オートモティブシステムズ株式会社 Electronic control device and electronic control system
JP2017069941A (en) 2015-09-29 2017-04-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud-detection electronic control unit, in-vehicle network system, and communication method
JP2017121091A (en) 2017-04-10 2017-07-06 日立オートモティブシステムズ株式会社 Ecu and network device for vehicle
US20180025156A1 (en) 2016-07-21 2018-01-25 Ramot At Tel-Aviv University Ltd. Anti-Spoofing Defense System for a Can Bus

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014236248A (en) 2013-05-30 2014-12-15 日立オートモティブシステムズ株式会社 Electronic control device and electronic control system
JP2017069941A (en) 2015-09-29 2017-04-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud-detection electronic control unit, in-vehicle network system, and communication method
US20180025156A1 (en) 2016-07-21 2018-01-25 Ramot At Tel-Aviv University Ltd. Anti-Spoofing Defense System for a Can Bus
JP2017121091A (en) 2017-04-10 2017-07-06 日立オートモティブシステムズ株式会社 Ecu and network device for vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
相馬 大輔 ほか,車載ネットワークCANにおけるバスオフカウンター攻撃の改善 Improvement of the counter bus-off attack,CSS2018 コンピュータセキュリティシンポジウム2018論文集,日本,一般社団法人情報処理学会,2018年10月15日,pp.448-453

Also Published As

Publication number Publication date
JP2020174298A (en) 2020-10-22

Similar Documents

Publication Publication Date Title
CN107005447B (en) Communication control device and communication system
WO2016204081A1 (en) Vehicle-mounted relay device, vehicle-mounted communication system and relay program
JP4959429B2 (en) System and method for masking hardware boot sequence
EP1802030A1 (en) Secure system-on-chip
EP1811415A1 (en) Secure system-on-chip
JP6481579B2 (en) In-vehicle communication system and monitoring device
JP2016134671A (en) Data generation device, communication device, communication system, mobile, data generation method and program
JP6586500B2 (en) Method and apparatus for transmitting message sequences over a data bus and method and apparatus for recognizing attacks on message sequences thus transmitted
Pfeiffer Implementing scalable can security with cancrypt
JP2005001534A (en) Anti-theft system
JP2016046719A (en) Data generation device, communication device, mobile body, data generation method, and program
JP7218234B2 (en) ELECTRONIC CONTROLLER AND CONTROL METHOD OF ELECTRONIC CONTROLLER
US20190303566A1 (en) Attack detector, controller, and attack detection method
JP2020167494A (en) Message monitoring system, electronic control device for message transmission, and electronic control device for monitoring
US11537717B2 (en) Information processing apparatus
JP7235586B2 (en) Attack detection device
WO2019225369A1 (en) Vehicle-mounted communication system, determination device, communication device, determination method, and computer program
US9693224B2 (en) Restricting software to authorized wireless environments
JP2015227157A (en) Data gateway, and method for interfering with vehicular operation thereof
JP2015192216A (en) Communication device and communication method
JP2022109024A (en) vehicle control system
JP7132132B2 (en) In-vehicle communication system, in-vehicle communication control device, in-vehicle communication device, computer program, communication control method and communication method
CN111343129B (en) Method and equipment for preventing protocol networking from being cracked
JP6628106B2 (en) Communication system and communication control method
CN112436935A (en) Password device, method of operating password device, vehicle, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230125

R150 Certificate of patent or registration of utility model

Ref document number: 7218234

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150