车载网络系统、非法检测电子控制单元及非法检测方法
【技术领域】
[0001]本发明涉及在电子控制单元进行通信的车载网络中对发送来的非法的帧进行检测的技术。
【背景技术】
[0002]近年来,在汽车中的系统中,配置有许多称作电子控制单元(E⑶:ElectronicControI Unit)的装置。连接这些ECU的网络被称作车载网络。车载网络中存在许多的规格。在其中最主流的车载网络之一中,存在由IS011898 — I规定的CAN(Controller AreaNetwork:控制器局域网)的规格(参照“非专利文献I”)。
[0003]在CAN中,通信路径由两条总线构成,连接于总线的ECU被称作节点。连接于总线的各节点对被称作帧的消息进行收发。发送帧的发送节点通过向两条总线施加电压、使得在总线之间产生电位差,来发送称作隐性(Recessive)的“I”的值、和称作显性(Dominant)的“O”的值。在多个发送节点以完全相同的定时发送了隐性和显性的情况下,显性被优先发送。接收节点在接受到的帧的格式中有异常的情况下,发送称作错误帧的帧。所谓错误帧,是通过将显性连续发送6bit而向发送节点、其他接收节点通知帧的异常的帧。
[0004]此外,在CAN中,不存在指示发送目的地、发送源的识别码,发送节点按每个帧赋予称作消息ID的ID而发送(即向总线送出信号),各接收节点仅接收预先设定的消息ID(即从总线读取信号)。此外,米用CSMA/CA(Carrier Sense Multiple Access/Collis1nA vo i dan c e)方式,在多节点的同时发送时进行基于消息ID的调解,消息ID的值较小的帧被优先发送。
[0005]此外,已知有以下技术:在异常的消息被发送到CAN的总线上的情况下,由网关装置检测异常消息而不向其他总线转送,从而抑制总线的负荷上升(参照“专利文献I”)。
[0006]现有技术文献
[0007]专利文献
[0008]专利文献1:特开2007 — 38904号公报
[0009]非专利文献1: “CAN Specificat1n 2.0Part A”,[online],CAN in Automat1n(CiA),[平成 26年 11 月 14 日检索],因特网(URL: http: //www.can —cia.0rg/f i leadmin/cia/specificat1ns/CAN20A.pdf)
[0010]非专利文献2:RFC2104HMAC:Keyed—Hashingfor Message Authenticat1n
【发明内容】
[0011]发明要解决的问题
[0012]可是,在车载网络中,有可能将非法的节点连接到总线上、非法的节点非法地发送帧(消息)从而非法地控制车体,所以为了抑制该情况,需要检测非法的消息。
[0013]所以,本发明提供一种在按照CAN协议等进行通信的车载网络系统中、为了车载电池的消耗抑制等而有效率地检测向总线发送的非法的消息的非法检测电子控制单元(非法检测ECU)。此外,本发明提供用来有效地检测非法的消息的非法检测方法及具备非法检测ECU的车载网络系统。
[0014]用于解决问题的手段
[0015]有关本发明的一技术方案的非法检测方法,在车载网络系统中使用,该车载网络系统具备经由I个以上的总线进行通信的多个第I电子控制单元,该非法检测方法包括:检测步骤,检测具备上述车载网络系统的车辆的状态满足第I条件或第2条件的情况;以及切换步骤,(i)在上述检测步骤中检测到上述车辆的状态满足上述第I条件的情况下,将连接于上述I个以上的总线的第2电子控制单元的动作模式从第I模式切换为第2模式,上述第I模式中进行对上述I个以上的总线上的非法的消息进行检测的第I种检测处理,上述第2模式中不进行上述第I种检测处理,(ii)在上述检测步骤中检测到上述车辆的状态满足上述第2条件的情况下,将上述第2电子控制单元的动作模式从上述第2模式切换为上述第I模式。
[0016]此外,为了解决上述课题,有关本发明的一技术方案的车载网络系统,是具备经由I个以上的总线进行通信的多个电子控制单元、和连接于上述总线的非法检测电子控制单元的车载网络系统,具备:检测部,检测搭载上述车载网络系统的车辆的状态满足一定条件的情况;以及切换部,在由上述检测部检测到上述车辆的状态满足一定条件的情况下,将连接于上述总线的非法检测电子控制单元的动作模式在第I模式与第2模式之间进行切换,该第I模式中进行对该总线上的非法的消息进行检测的规定种类的检测处理,该第2模式不进行该规定种类的检测处理。
[0017]此外,为了解决上述课题,有关本发明的一技术方案的非法检测电子控制单元(非法检测ECU),是连接于经由I个以上的总线进行通信的多个电子控制单元在通信中使用的总线上的非法检测电子控制单元,具备:检测部,检测搭载上述车载网络系统的车辆的状态满足一定条件的情况;以及切换部,在由上述检测部检测到上述车辆的状态满足一定条件的情况下,将本装置的动作模式在第I模式与第2模式之间进行切换,该第I模式中进行对上述总线上的非法的消息进行检测的规定种类的检测处理,该第2模式不进行该规定种类的检测处理。
[0018]发明效果
[0019]根据本发明,例如在通过车载电池的电力等来工作的车载网络系统中,在非法的节点连接到总线而发送了非法的消息的情况下能够进行其检测,并根据车辆的状态在一定条件下省略检测,所以能够抑制电池消耗。
【附图说明】
[0020]图1是表示有关实施方式I的车载网络系统的整体结构的图。
[0021 ]图2是表示由CAN协议规定的数据帧的格式的图。
[0022]图3是表示由CAN协议规定的错误帧的格式的图。
[0023]图4是头单元的结构图。
[0024]图5是表不接收ID列表的一例的图。
[0025]图6是网关的结构图。
[0026]图7是表示转送规则的一例的图。
[0027]图8是有关实施方式I的ECU的结构图。
[0028]图9是表不接收ID列表的一例的图。
[0029]图10是表示从与发动机连接的E⑶发送的帧的ID及数据字段的一例的图。
[0030]图11是表示从与制动器连接的E⑶发送的帧的ID及数据字段的一例的图。
[0031]图12是表示从与门开闭传感器连接的ECU发送的帧的ID及数据字段的一例的图。
[0032]图13是表示从与窗开闭传感器连接的E⑶发送的帧的ID及数据字段的一例的图。
[0033]图14是表示有关实施方式I的非法检测ECU的结构图。
[0034]图15是表示非法检测ECU所保持的正规ID列表的一例的图。
[0035]图16是表示非法检测ECU所保持的正规ID列表的一例的图。
[0036]图17是表示各消息ID的非法检测计数器的状态的一例的图。
[0037]图18是表示实施方式I的有关非法的帧的检测及执行阻止的动作例的次序图。
[0038]图19是表示有关实施方式2的车载网络系统的整体结构的图。
[0039]图20是有关实施方式2的非法检测E⑶的结构图。
[0040]图21是表示非法检测ECU所保持的数据范围列表的一例的图。
[0041]图22是表示实施方式2的有关非法的帧的检测及执行阻止的动作例的次序图(后接图23)。
[0042]图23是表示实施方式2的有关非法的帧的检测及执行阻止的动作例的次序图(前接图22)。
[0043]图24是表示有关实施方式3的车载网络系统的整体结构的图。
[0044]图25是表示有关实施方式3的E⑶的结构图。
[0045]图26是表示从与发动机连接的ECU发送的数据帧的ID及数据字段的一例的图。
[0046]图27是表示从与制动器连接的E⑶发送的数据帧的ID及数据字段的一例的图。
[0047]图28是表示从与门开闭传感器连接的ECU发送的数据帧的ID及数据字段的一例的图。
[0048]图29是表示从与窗开闭传感器连接的ECU发送的数据帧的ID及数据字段的一例的图。
[0049]图30是有关实施方式3的非法检测E⑶的结构图。
[0050]图31是表示有关实施方式3的计数器保持部所保持的各消息ID的计数器值的一例的图。
[0051]图32是表示实施方式3的有关非法的帧的检测及执行阻止的动作例的次序图(后接图33)。
[0052]图33是表示实施方式3的有关非法的帧的检测及执行阻止的动作例的次序图(前接图32)。
[0053]图34是表示有关实施方式4的车载网络系统的整体结构的图。
[0054]图35是有关实施方式4的头单元的结构图。
[0055]图36是有关实施方式4的非法检测ECU的结构图。
[0056]图37是表示实施方式4的向检查模式的转移次序的一例的图。
[0057]图38是表示实施方式4的向待机模式的转移次序的一例的图。
[0058]图39是表示实施方式4的向待机模式的转移次序的一例的图。
[0059]图40是有关其他实施方式的ECU的结构图。
[0060]图41是有关其他实施方式的非法检测ECU的结构图。
[0061 ]图42是有关其他实施方式的非法检测ECU的结构图。
【具体实施方式】
[0062]有关本发明的一技术方案的非法检测方法,在具备经由I个以上的总线进行通信的多个电子控制单元的车载网络系统中使用,包括:检测步骤,检测搭载上述车载网络系统的车辆的状态满足一定条件的情况;以及切换步骤,在上述检测步骤中检测到上述车辆的状态满足一定条件的情况下,将连接于上述总线的非法检测电子控制单元的动作模式在第I模式与第2模式之间进行切换,该第I模式中进行对该总线上的非法的消息进行检测的规定种类的检测处理,该第2模式中不进行该规定种类的检测处理。这里,非法检测电子控制单元(非法检测ECU)连接于总线,具有执行用来检测发送到该总线的非法的消息的规定种类的检测处理的功能。是否是非法的消息,由检测处理根据是否适合预先决定的条件来判断。例如在非法检测ECU仅进行I种检测处理的情况下,通过动作模式切换是否进行检测处理。根据该非法检测方法,根据车辆的状态,在一定条件下非法检测ECU能够省略非法的消息的规定种类的检测处理,所以能够抑制车辆的电池消耗。
[0063]此外,也可以是,上述多个多个电子控制单元按照Controller Area Network(CAN)协议经由上述总线进行通信。由此,可以根据车辆的状态来限定在非法的ECU连接到按照CAN协议进行通信的车载网络系统上而发送了非法的帧的情况下非法检测ECU检测该非法的期间,所以能够降低电力消耗量。
[0064]此外,也可以是,在上述检测步骤中,作为上述多个电子控制单元中的I个电子控制单元进行上述检测;在上述切换步骤中,在上述检测步骤中进行了上述检测的I个电子控制单元发送切换指示消息,在接收到该切换指示消息的情况下,上述非法检测电子控制单元将上述动作模式切换。由此,例如,非法检测ECU在不进行检测非法的消息的检测处理的第2模式中,仅进行切换指示消息(即作为动作模式的切换的触发的触发帧)的检测就足够。即,非法检测ECU也可以不具有用来直接检测车辆的状态的检测部(例如传感器等)。
[0065]此外,也可以是,在上述检测步骤中,在上述I个电子控制单元在上述总线上检测到非法的消息的情况下,视为上述车辆的状态满足上述一定条件而进行上述检测;在上述切换步骤中,在上述检测步骤中进行了上述检测的情况下,上述I个电子控制单元发送表示切换为上述第I模式的切换指示消息,在接收到该切换指示消息的情况下,上述非法检测电子控制单元将上述动作模式切换为上述第I模式。由此,在检测到在某个总线上被发送了非法的消息的情况下,非法检测ECU成为第I模式(检测非法的消息的检查模式),检测与非法检测ECU连接的总线上的非法的消息。
[0066]此外,也可以是,在上述检测步骤中,在上述I个电子控制单元在上述总线上在一定期间中没有检测到非法的消息的情况下,视为上述车辆的状态满足上述一定条件而进行上述检测;在上述切换步骤中,在上述检测步骤中进行了上述检测的情况下,上述I个电子控制单元发送表示切换为上述第2模式的切换指示消息,在接收到该切换指示消息的情况下,上述非法检测电子控制单元将上述动作模式切换为上述第2模式。由此,在检测到在某个总线上在一定期间中没有被发送非法的消息的情况下,非法检测ECU成为第2模式(不检测非法的消息的待机模式),能够降低电力消耗量。
[0067]此外,也可以是,上述一定条件是开始了上述车辆的使用;在上述切换步骤中,在上述检测步骤中检测到开始了上述车辆的使用的情况下,将上述动作模式切换为上述第I模式。所谓车辆的使用,例如是用户使车辆行驶、进行车辆的行驶的准备(开门、乘车、发动机启动等)。此外,例如在不需要行驶时,通过停车(发动机停止等)、下车等而使用结束。另外也可以是,在用户的自宅的停车场等特定的停车场以外的场所的停车中(加油站或其他外出地的停车中)中,即使有停车及下车也作为使用没有结束来处理。由此,在开始了车辆的使用的情况下,非法检测ECU成为第I模式(检测非法的消息的检查模式),与非法检测ECU连接的总线上的非法的消息被检测出。因而,即使例如在停车而用户离开车辆的期间中车载网络系统被附加了非法的ECU,也从用户回到车辆而开始车辆的使用起,如果该非法的ECU发送非法的消息,则能够检测到该非法。
[0068]此外,也可以是,通过检测搭载在上述车辆中的发动机启动的情况,来进行开始了车辆的使用的情况的上述检测。由此,从发动机启动时起,成为非法检测ECU检测非法的消息的状态。因而,即使例如在停车而用户离开车辆的期间中车载网络系统被附加了非法的ECU,也从用户回到车辆而开始车辆的使用起,如果该非法的ECU发送非法的消息,则能够检测到该非法。
[0069]此外,也可以是,上述非法检测方法还包括再切换步骤,在上述再切换步骤中上述动作模式被切换为上述第I模式后,从开始上述车辆的使用起经过了规定时间时,将上述动作模式切换为上述第2模式。由此,在从开始车辆的使用起经过了规定时间时,无条件或在一定条件下非法检测ECU成为第2模式(不检测非法的消息的待机模式),能够降低电力消耗量。
[0070]此外,也可以是,上述一定条件是上述多个电子控制单元中的某一个成为了与上述车辆的外部的装置开始通信的状态;在上述切换步骤中,在上述检测步骤中检测到成为了开始上述通信的状态的情况下,将上述动作模式切换为上述第I模式。由此,如果开始与夕卜部的通信,则非法检测ECU成为检测非法的消息的状态。因而,即使例如从外部的装置攻击车载网络系统的头单元等、而从外部注入非法的消息(帧),也能够迅速地检测到。另外,在从外部供给了用来发送非法的消息的程序等那样的情况下也能够同样地应对。
[0071]此外,上述一定条件是上述多个电子控制单元中的某一个与上述车辆的外部的装置进行通信并成为了通信结束后的一定状态;在上述切换步骤中,在上述检测步骤中检测到成为了上述通信结束后的一定状态的情况下,将上述动作模式切换为上述第2模式。由此,在与外部的通信结束从而非法的消息发送到总线上的可能性下降的情况下,通过省略非法的消息的检测,能够抑制电池消耗。另外,发送非法的消息的可能性下降的情况,具体而言,例如是成为通信被切断的状态的情况、从通信结束起经过了一定时间(例如几分钟)的状态的情况等。
[0072]此外,也可以是,在上述车载网络系统中,在上述多个电子控制单元的通信中使用多个总线;上述车载网络系统还具备网关装置,该网关装置具有在上述多个总线之间转送消息的功能;在上述检测步骤中,上述多个电子控制单元中的连接于与上述非法检测电子控制单元不同的总线上的I个电子控制单元进行上述检测;在上述切换步骤中,在上述检测步骤中进行了上述检测的I个电子控制单元发送切换指示消息,在接收到转送给上述网关装置的该切换指示消息的情况下上述非法检测电子控制单元将上述动作模式切换。由此,根据由车载网络系统中的连接于I个总线的ECU检测到的车辆的状态,分别连接于其他I个以上的总线的各非法检测ECU能够切换动作模式。
[0073]此外,也可以是,在上述检测步骤中,在车辆的状态变化的情况下,通过规定的用户接口受理与是否需要上述动作模式的切换有关的输入,当该输入表示需要上述动作模式的切换时,视为上述车辆的状态满足上述一定条件而进行上述检测。由此,由于用户的判断被反映到非法检测E⑶的动作模式的切换中,所以根据用户的情况等适当地切换动作模式。
[0074]此外,也可以是,在上述第2模式中,进行能够检测非法的消息的程度与上述规定种类的检测处理不同的种类的检测处理。例如在非法检测ECU为了检测非法的消息而能够执行处理量比较多的第一种检测处理和处理量比较少的第二种检测处理的情况下,通过动作模式切换是进行第一种检测处理还是进行第二种检测处理。由此,根据车辆的状态,在一定条件下,非法检测ECU能够将非法的消息的规定种类的检测处理(例如第一种检测处理)省略,所以能够抑制车辆的电池消耗。另外,非法检测ECU中的检测处理的处理量的多少并不一定与能够检测非法的程度的高低成比例,但是有大致与能够检测非法的消息的程度的高低关联的趋向。因此,例如大致以仅限于一定的情况执行非法检测程度较高且处理量较多的检测处理、在其他情况下进行处理量比其少的检测处理的方式切换动作模式等变得有用。
[0075]此外,有关本发明的一技术方案的车载网络系统,是具备经由I个以上的总线进行通信的多个电子控制单元、和连接于上述总线的非法检测电子控制单元的车载网络系统,具备:检测部,检测搭载上述车载网络系统的车辆的状态满足一定条件的情况;以及切换部,在由上述检测部检测到上述车辆的状态满足一定条件的情况下,将连接于上述总线的非法检测电子控制单元的动作模式在第I模式与第2模式之间进行切换,该第I模式中进行对该总线上的非法的消息进行检测的规定种类的检测处理,该第2模式中不进行该规定种类的检测处理。由此,根据车辆的状态,在一定条件下,非法检测ECU能够将非法的消息的规定种类的检测处理省略,所以能够抑制车辆的电池消耗。
[0076]此外,有关本发明的一技术方案的非法检测电子控制单元(非法检测ECU),连接于经由I个以上的总线进行通信的多个电子控制单元在通信中使用的总线,具备:检测部,检测搭载上述多个电子控制单元的车辆的状态满足一定条件的情况;以及切换部,在由上述检测部检测到上述车辆的状态满足一定条件的情况下,将本装置的动作模式在第I模式与第2模式之间进行切换,该第I模式中进行对上述总线上的非法的消息进行检测的规定种类的检测处理,该第2模式中不进行该规定种类的检测处理。由此,根据车辆的状态,在一定条件下,非法检测ECU能够将非法的消息的规定种类的检测处理省略,所以能够抑制车辆的电池消耗。
[0077]另外,这些整体性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD — ROM等记录介质实现,也可以通过系统、方法、集成电路、计算机程序及记录介质的任意的组合实现。
[0078]以下,参照附图对有关实施方式的车载网络系统、非法检测ECU等进行说明。这里所示的实施方式都表示本发明的一具体例。因而,在以下的实施方式中表示的数值、形状、材料、构成要素、构成要素的配置位置及连接形态、步骤(工序)及步骤的顺序等是一例,并不限定本发明。以下的实施方式的构成要素中的、在独立权利要求中没有记载的构成要素,是可任意地附加的构成要素。此外,各图是示意图,并不是严格地图示的。
[0079](实施方式I)
[0080]以下,作为本发明的实施方式,使用【附图说明】包括非法检测ECU的车载网络系统10,该非法检测ECU使用消息ID实现用来阻止在其他节点(E⑶)中执行基于非法的帧的处理的非法应对方法。
[0081 ] [1.1车载网络系统10的整体结构]
[0082]图1是表示有关实施方式I的车载网络系统10的整体结构的图。车载网络系统10是按照CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器等各种设备的汽车的网络通信系统。车载网络系统10构成为包括总线500a、500b、和非法检测ECUlOOa、100b、头单元200、网关300及与各种设备连接的EClMOOa?400d等ECU这样的连接于总线的各节点。另外,虽然在图1中省略了,但在车载网络系统10中除了EClMOOa?400d以外还可以包括一些E⑶,这里,为了方便而关注于E⑶400a?400d进行说明。E⑶例如是包括处理器(微处理器)、存储器等数字电路