本发明涉及进行在多个网络之间对报文进行中继的处理的中继装置。
背景技术:
以往,在车辆搭载有多个ecu(electroniccontrolunit),它们经由can(controllerareanetwork)等网络而连接。这多个ecu经由网络一边交换信息一边推进各个处理。近年来,车辆内的网络的规模存在变大的倾向,在这种情况下,多采用将多个小规模的网络与网关等中继装置连接且中继装置进行网络间的报文中继的结构。
在专利文献1中记载了如下的can系统:在can系统的第一节点接收帧失败而成为错误被动状态的情况下发送重发请求帧,将第二节点对通信线发送的帧预先存储,向第一节点重发被请求了重发的帧,由此起到提高容错性的目的。
在专利文献2中记载了如下的通信系统:can控制器计测从帧的输入至向通信线的发送开始为止的发送延迟,在该帧中包含与发送延迟相关的信息而进行发送,并且接收到该帧的can控制器根据发送延迟来决定应执行的处理,由此起到防止帧的接收侧的误动作的目的。
在先技术文献
专利文献
专利文献1:日本特开2014-86812号公报
专利文献2:日本特开2011-103577号公报
非专利文献
非专利文献1:k.koscher、a.czeskis、f.roesner、s.patel、t.kohno、s.checkoway、d.mccoy、b.kantor、d.anderson、h.shacham、ands.savage.experimentalsecurityanalysisofamodernautomobile.inproc.oftheieeesymposiumonsecurityandprivacy、pages447-462、2010.
非专利文献2:氏家良浩、岸川刚、芳贺智之、松岛秀树、田边正人、北村嘉彦、安斋润,车载网络中的can滤波器的提案,加密和安全的论文集(scis2015),2015年
技术实现要素:
发明要解决的课题
然而,在非专利文献1中,被报告有如下情况:由于向ecu注入非法程序而可能会向车辆内的网络进行非法报文发送。由于进行基于非法程序的非法报文发送,与网络连接的其他的ecu可能会产生误动作等。对于这样的非法报文发送,在专利文献1记载的can系统及专利文献2记载的通信系统中未成为有效的对策。
另外,在非专利文献2中,提出了如下的方法:基于can报文的id、dlc、发送周期及发送频度的条件而进行滤波处理,由此检测非法报文发送。例如通过中继装置进行非专利文献2记载的滤波处理,可期待防止非法报文从一个网络向其他的网络进行中继。然而,在进行这样的滤波处理的程序被非法篡改的情况下,滤波处理自身可能被无效化。
本发明鉴于这样的情况而作出,其目的在于提供一种即使在进行中继处理的程序被进行了非法篡改的情况下也能防止非法报文向一个或多个网络发送的中继装置。
用于解决课题的方案
本发明的中继装置具备分别连接于通信线而经由该通信线进行报文的收发的多个通信部,并对所述通信部之间的报文进行中继,所述中继装置的特征在于,具备:报文存储部,存储所述通信部接收到的报文;程序存储部,存储进行报文的中继处理的软件程序;处理部,执行存储于该程序存储部的软件程序而进行报文的中继处理;及判定部,在从所述处理部向所述通信部赋予了应中继的报文的情况下,基于存储于所述报文存储部的报文来判定该应中继的报文的正当性。
另外,本发明的中继装置的特征在于,具备禁止部,该禁止部禁止所述判定部判定为不正当的报文由所述通信部发送。
另外,本发明的中继装置的特征在于,在从所述处理部向所述通信部赋予的应中继的报文与存储于所述报文存储部的报文一致的情况下,所述判定部判定为所述应中继的报文正当。
另外,本发明的中继装置的特征在于,在从所述处理部向所述通信部赋予的应中继的报文与存储于所述报文存储部的任一个报文一致的情况下,所述判定部判定为所述应中继的报文正当,所述报文存储部将由所述判定部判定为正当而进行了中继的报文删除。
另外,本发明的中继装置的特征在于,在从所述处理部向所述通信部赋予的应中继的报文的一部分与存储于所述报文存储部的报文的一部分一致的情况下,所述判定部判定为所述应中继的报文正当。
另外,本发明的中继装置的特征在于,所述报文是遵照can的通信标准的报文,所述一部分是包含于所述报文的id及crc。
另外,本发明的中继装置的特征在于,所述处理部通过存储于所述程序存储部的软件程序的执行,生成将从一个或多个通信部取得的多个报文合并而成的中继用报文,在从所述处理部向所述通信部赋予的所述中继用报文的一部分与存储于所述报文存储部的一个或多个报文的一部分一致的情况下,所述判定部判定为所述中继用报文正当。
另外,本发明的中继装置的特征在于,所述处理部通过存储于所述程序存储部的软件程序的执行,将从所述通信部取得的报文分割而生成多个中继用报文,在从所述处理部向所述通信部赋予的所述中继用报文的一部分与存储于所述报文存储部的报文的一部分一致的情况下,所述判定部判定为所述中继用报文正当。
另外,本发明的中继装置的特征在于,具备:检测部,在所述通信部发送所述判定部判定为正当的报文时,检测对所发送的报文的篡改;及中断部,在该检测部检测出篡改的情况下,使由所述通信部进行的报文发送中断。
在本发明中,中继装置具备分别与通信线连接的多个通信部,通过处理部执行软件程序,来进行将一个通信部接收到的报文从其他的通信部发送的报文中继的处理。中继装置除了处理部之外,还具备存储通信部接收到的报文的存储部。在一个通信部经由通信线从其他的ecu等接收到报文的情况下,该通信部接收到的报文被存储于存储部,并向处理部赋予。被赋予了报文的处理部通过软件程序的执行,来进行报文的中继所需的处理、例如报文的调度处理等。处理部将应中继的报文向连接有应中继该报文的ecu等的通信部赋予。从处理部被赋予了应中继的报文的通信部通过将与该报文对应的信号向通信线输出来进行报文发送。
在此,本发明的中继装置在从处理部向通信部赋予了应中继的报文的情况下,基于存储于存储部的报文来判定该报文是否正当,并禁止判定为不正当的报文的发送。
由此,中继装置对向处理部赋予之前的报文与从处理部所赋予的报文进行比较,能够判定报文的正当性。即,中继装置能够判定应中继的报文是否由处理部非法篡改,能够防止不正当的报文从中继装置向ecu等其他的装置发送。
另外,在本发明中,中继装置通过判定从处理部向通信部赋予的应中继的报文与存储于存储部的报文是否一致,来判定应中继的报文是否正当。由此,中继装置仅通过进行简单的比较处理就能够可靠地判定报文有无篡改。
另外,在本发明中,中继装置的存储部构成为能够将通信部接收到的报文存储多个。在从处理部被赋予了应中继的报文的情况下,中继装置在赋予的报文与存储于存储部的任一个报文一致时,判定为该报文正当。由此,即使由处理部进行调度等处理而中继的顺序与接收顺序不同的情况下,中继装置也能够可靠地判定报文有无篡改。
另外,在本发明中,通过判定从处理部向通信部赋予的应中继的报文的一部分与存储于存储部的报文的一部分是否一致,来判定应中继的报文是否正当。通过将比较设为报文的一部分,能够削减预先存储报文的存储部的存储容量。进行比较的报文的一部分可以设为例如can的通信标准的报文所包含的id及crc。
另外,中继装置的处理部通过软件程序的执行,能够将多个报文合并或者将1个报文分割成多个来生成中继用报文。本发明的中继装置通过判定从处理部向通信部赋予的中继用报文的一部分与存储于存储部的一个或多个报文的一部分是否一致,来判定中继用报文是否正当。由此,即使由处理部进行报文的合并或分割等处理的情况下,中继装置也能够判定报文有无篡改。
另外,在本发明中,中继装置通过通信部将判定为正当的报文向通信线输出,来进行报文的中继。此时,中继装置检测对于通信部发送的报文的篡改。例如中继装置每当通信部向通信线输出与报文的1位对应的信号时,对通信线上的信号进行采样而判定是否进行正确的发送,由此能够检测报文的篡改。在检测出报文的篡改的情况下,中继装置使由通信部进行的报文的发送中断。由此,对于外部装置对中继装置所发送的报文的恶意的篡改,通过中断报文发送,能够防止篡改后的报文由其他的ecu等接收。
发明效果
在本发明的情况下,将接收到的报文预先存储,基于该报文进行应中继的报文是否正当的判定,由此,即使在进行中继处理的程序被进行了非法篡改的情况下,也能够防止非法报文向一个或多个网络发送。
附图说明
图1是表示本实施方式的车载通信系统的结构的框图。
图2是表示本实施方式的网关的结构的框图。
图3是表示在报文接收时中继监控电路进行的处理的次序的流程图。
图4是表示在被赋予应中继的报文时中继监控电路进行的处理的次序的流程图。
图5是表示在报文发送时中继监控电路进行的处理的次序的流程图。
图6是表示实施方式2的网关的结构的框图。
图7是用于说明报文的合并的示意图。
图8是用于说明报文的分割的示意图。
图9是表示存储于判定条件存储部的判定条件的一例的示意图。
图10是表示实施方式2的中继监控电路进行的处理的次序的流程图。
图11是表示实施方式2的中继监控电路进行的处理的次序的流程图。
具体实施方式
<实施方式1>
以下,基于表示本发明的实施方式的附图来具体说明本发明。图1是表示本实施方式的车载通信系统的结构的框图。本实施方式的车载通信系统具备搭载于车辆1的1个网关10和多个ecu(electroniccontrolunit)4。在图示的例子中,在车辆1搭载有6个ecu4,这6个ecu4分为两组。第一组的3个ecu4与第一通信线2连接,经由该通信线2能够相互进行报文的收发。同样,第二组的3个ecu4与第二通信线3连接,经由该通信线3能够相互进行报文的收发。
2个通信线2、3未直接连接而分别与网关10连接。网关10例如是如下的装置:取得向一方的通信线2上输出的报文,并将取得的报文向另一方的通信线3输出,由此进行组间(网络间、通信线间)的报文中继。由此,与第一通信线2连接的ecu4发送的报文通过网关10进行中继,由与第二通信线3连接的ecu4接收。
图2是表示本实施方式的网关10的结构的框图。本实施方式的网关10具备处理部11、程序存储部12、2个can控制器13a、13b及中继监控电路20而构成。处理部11使用例如cpu(centralprocessingunit)或mpu(micro-processingunit)等运算处理装置而构成。处理部11将存储于程序存储部12的中继程序12a读出并执行。由此,在处理部11,进行报文的中继处理的中继处理部11a作为软件的功能块而实现。
程序存储部12使用eeprom(electricallyerasableprogrammablereadonlymemory)或闪存等非易失性的存储器元件而构成。程序存储部12预先存储有处理部11执行的中继程序12a。而且,程序存储部12还可以存储中继处理中所使用的各种数据或者与中继程序12a不同的程序等。
can控制器13a、13b分别连接通信线2、3,经由通信线2、3而与ecu4之间进行报文的收发。can控制器13a、13b通过对ecu4对通信线2、3输出的信号进行采样并取得,来接收报文。can控制器13a、13b接收到的报文经由中继监控电路20向处理部11赋予。而且,can控制器13a、13b经由中继监控电路20,从处理部11被赋予应中继的报文。can控制器13a、13b通过将被赋予的报文作为信号向通信线2、3输出,来进行向ecu4的报文发送。
需要说明的是,在图2及以下的说明中,can控制器13a进行报文接收,can控制器13b进行报文发送。但是,这是一例,也存在can控制器13b进行报文接收、can控制器13a进行报文发送的情况。can控制器13a、13b可以进行报文的发送及接收这两方。
由处理部11实现的中继处理部11a将一方的can控制器13a接收到的报文向另一方的can控制器13b赋予而使另一方的can控制器13b进行发送,由此在通信线2、3之间(即,在第一组的ecu4及第二组的ecu4之间)进行中继报文的处理。此时,中继处理部11a可以进行例如调整报文的中继顺序的调度或将非法报文排除的滤波等处理。
中继监控电路20介于处理部11与can控制器13a、13b之间,对于在通信线2、3之间中继的报文进行监控。需要说明的是,在以往的网关未设置中继监控电路20,can控制器13a、13b接收到的报文直接向处理部11赋予,从处理部11将应中继的报文直接向can控制器13a、13b赋予。中继监控电路20具备报文存储部21、报文判定部22及篡改检测部23等而构成。需要说明的是,在本实施方式中,中继监控电路20作为硬件实现。
报文存储部21例如使用sram(staticrandomaccessmemory)或dram(dynamicrandomaccessmemory)等存储器元件而构成。中继监控电路20将由can控制器13a接收到的报文存储于报文存储部21之后,将该报文向处理部11赋予。在从中继监控电路20被赋予了报文的处理部11中,通过中继处理部11a进行上述的中继处理,作为该中继处理的结果,将应中继的报文从处理部11向中继监控电路20赋予。
中继监控电路20的报文判定部22判定从处理部11赋予的报文与存储于报文存储部21的报文是否一致。由此,报文判定部22确认在处理部11是否进行了对于中继的报文的非法篡改等。报文判定部22在判定为两报文一致的情况下,判断为未进行非法篡改,将从处理部11赋予的报文向can控制器13b赋予。从中继监控电路20被赋予了报文的can控制器13b将赋予的报文作为电信号向通信线3输出,由此进行报文的发送。相对于此,在报文判定部22判定为两报文不一致的情况下,中继监控电路20将从处理部11被赋予的报文不发送而废弃。
另外,中继监控电路20的报文存储部21能够存储多个报文。因此,报文判定部22依次进行从处理部11赋予的报文与存储于报文存储部21的多个报文的比较,在与任一个报文一致的情况下,判定为未进行非法篡改。报文判定部22在从处理部11赋予的报文与存储于报文存储部21的全部的报文都不一致的情况下,判断为进行了非法篡改,将报文不发送而废弃。
需要说明的是,在本实施方式中,中继监控电路20的报文存储部21对于can控制器13a、13b接收到的报文,存储全部位的信息。即在can的通信标准的报文的情况下,存储sof~eof的全部位的信息(但是,sof及eof可以省略)。报文判定部22在对存储于报文存储部21的报文与从处理部11赋予的报文进行比较的情况下,判定两报文的全部位是否一致。
但是,中继监控电路20的报文存储部21可以设为仅存储can控制器13a、13b接收到的报文的一部分的结构。在该结构的情况下,报文判定部22只要对存储于报文存储部21的报文的一部分与从处理部11赋予的报文的一部分进行比较即可。作为报文存储部21存储的一部分,只要是例如can的通信标准的报文即可,优选预先存储can-id及crc。通过设为这样的结构,能够削减报文存储部21的存储容量,能够实现报文判定部22的判定处理的容易化,因此能够抑制中继监控电路20的电路规模的增大。
另外,中继监控电路20的报文存储部21在存储了can控制器13a、13b接收到的报文之后,将存储的报文用于报文判定部22的判定,在进行与从处理部11赋予的报文一致的判定之前的期间,持续存储报文。即,报文存储部21在接收到的报文由正当的中继处理中继之前的期间,持续存储报文。但是,报文存储部21在从存储报文起经过了预定时间的情况下,即使在报文被中继之前也可以废弃该报文。而且,报文存储部21将尽可能存储的报文持续存储,在达到存储容量的极限而无法再存储更多的报文的情况下,可以按照从旧到新的顺序依次将报文废弃。
另外,本实施方式的中继监控电路20的篡改检测部23对于报文判定部22判定为未进行非法篡改而向can控制器13a、13b赋予的报文,在该报文从can控制器13a、13b被发送时,监控在通信线2、3上是否进行了报文的非法篡改。can控制器13a、13b在进行报文发送的情况下,进行将与报文的各位对应的电信号向通信线2、3输出并对通信线2、3上的信号进行采样而取得的处理。中继监控电路20的篡改检测部23对应报文发送的每1位来取得与can控制器13a、13b在报文发送时取得的信号对应的数字数据。篡改检测部23对应每1位来判定作为应中继的报文而成为向can控制器13a、13b赋予的报文的发送对象的1位的数据与can控制器13a、13b在报文发送时取得的数据是否一致。在两数据不一致的情况下,篡改检测部23判断为在通信线2、3上进行了非法篡改,使can控制器13a、13b发送can的通信标准的错误帧,由此中断报文发送。
图3是表示在报文接收时中继监控电路20进行的处理的次序的流程图。中继监控电路20判定在can控制器13a、13b中的任一个是否接收到报文(步骤s1)。在任一个can控制器13a、13b都未接收到报文的情况下(s1:否),中继监控电路20等待至任一个can控制器13a、13b接收到报文为止。在任一个can控制器13a、13b接收到报文的情况下(s1:是),中继监控电路20取得can控制器13a、13b接收到的报文而存储于报文存储部21(步骤s2)。接下来,中继监控电路20将can控制器13a、13b接收到的报文向处理部11赋予(步骤s3),结束处理。
图4是表示在被赋予应中继的报文时中继监控电路20进行的处理的次序的流程图。中继监控电路20判定从处理部11是否被赋予应中继的报文(步骤s11)。在从处理部11未被赋予报文的情况下(s11:否),中继监控电路20等待至被赋予应中继的报文为止。在从处理部11被赋予了报文的情况下(s11:是),中继监控电路20将存储于报文存储部21的报文读出(步骤s12),进行与从处理部11赋予的报文的比较(步骤s13)。
对报文进行了比较的结果是,中继监控电路20判定两报文是否一致(步骤s14)。在两报文一致的情况下(s14:是),中继监控电路20将该报文向can控制器13a、13b赋予(步骤s15),发送报文。而且中继监控电路20对于中继结束的报文,从报文存储部21删除该报文(步骤s16),结束处理。而且在两报文不一致的情况下(s14:否),中继监控电路20将该报文废弃(步骤s17),结束处理。
图5是表示在报文发送时中继监控电路20进行的处理的次序的流程图。中继监控电路20的篡改检测部23判定在can控制器13a、13b是否进行了报文的1位量的发送处理(步骤s21)。在未进行1位量的发送处理的情况下(s21:否),篡改检测部23等待至进行发送处理为止。在进行了1位量的发送处理的情况下(s21:是),篡改检测部23从can控制器13a、13b取得与1位量的信号输出一起进行的通信线2、3的采样结果即1位量的采样数据(步骤s22)。
篡改检测部23进行取得的采样数据与应发送的报文的1位量的数据的比较(步骤s23)。通过该比较,篡改检测部23判定两数据是否一致(步骤s24)。在两数据一致的情况下(s24:是),篡改检测部23使处理返回步骤s21。在两数据不一致的情况下(s24:否),篡改检测部23使can控制器13a、13b发送错误帧(步骤s25),结束处理。
以上的结构的实施方式1的网关10具备分别与通信线2、3连接的多个can控制器13a、13b,通过处理部11执行中继程序12a而进行将一个can控制器13a、13b接收到的报文从其他的can控制器13a、13b发送的报文中继的处理。网关10除了处理部11之外,还具备存储can控制器13a、13b接收到的报文的报文存储部21。在一个can控制器13a、13b经由通信线2、3从其他的ecu4接收到报文的情况下,将该can控制器13a、13b接收到的报文存储于报文存储部21,并向处理部11赋予。被赋予了报文的处理部11通过中继程序12a的执行而进行报文的中继所需的处理。处理部11将应中继的报文向连接有应中继该报文的ecu4的can控制器13a、13b赋予。从处理部11被赋予了应中继的报文的can控制器13a、13b通过将与该报文对应的信号向通信线2、3输出而进行报文发送。
其中,本实施方式的网关10对从can控制器13a、13b向处理部11赋予之前的报文与从处理部11向can控制器13a、13b赋予后的报文进行比较,报文判定部22判定报文的正当性。即,网关10能够判定应中继的报文在处理部11是否被非法篡改,禁止不正当的报文的发送,由此能够防止不正当的报文从网关10向其他的ecu4发送。
另外,网关10对can控制器13a、13b接收而存储于报文存储部21的报文与处理部11向can控制器13a、13b赋予的应中继的报文进行比较。通过该比较,网关10判定两报文是否一致,而判定应中继的报文是否正当。由此,网关10仅通过进行简单的比较处理,就能够可靠地判定处理部11有无篡改报文。
另外,网关10的报文存储部21可以将can控制器13a、13b接收到的报文存储多个。在被赋予从处理部11向can控制器13a、13b的应中继的报文的情况下,网关10在被赋予的报文与存储于报文存储部21的任一个报文一致时,判定为该报文正当。由此,即使由处理部11进行调度等中继处理而中继的顺序与接收顺序不同的情况下,网关10也能够可靠地判定报文有无篡改。
需要说明的是,网关10可以构成为在报文存储部21不存储接收报文的全部而存储其一部分。在这种情况下,网关10通过判定从处理部11向can控制器13a、13b赋予的应中继的报文的一部分与存储于报文存储部21的报文的一部分是否一致,来判定应中继的报文是否正当。通过将比较设为报文的一部分,能够削减报文存储部21的存储容量。可以将进行比较的报文的一部分设为例如can的通信标准的报文所包含的id及crc。
另外,网关10通过can控制器13a、13b将判定为正当的报文向通信线2、3输出,来进行报文的中继。此时,网关10进行对于can控制器13a、13b发送的报文的篡改的检测。网关10每当can控制器13a、13b向通信线2、3输出与报文的1位对应的信号时,对通信线2、3上的信号进行采样而进行比较,判定是否发送正确的报文,由此来检测报文的篡改。在检测出报文的篡改的情况下,网关10使can控制器13a、13b进行错误帧的发送,由此中断报文发送。由此,对于外部恶意装置对网关10所发送的报文的篡改,网关10中断报文的发送,能够防止被篡改的报文由ecu4接收。
需要说明的是,在本实施方式中,设为在网关10连接2条通信线2、3的结构,但是并不局限于此,也可以设为连接3条以上的通信线的结构。在这种情况下,网关10只要将一条通信线接收到的报文向其他的2条通信线进行中继即可。而且,在本实施方式中,设为在各通信线2、3上连接3个ecu4的结构,但是并不局限于此。在通信线2、3上连接的ecu4的个数可以任意。
另外,在本实施方式中,网关10具备报文存储部21及报文判定部22作为1个硬件、即中继监控电路20,但是并不局限于此。也可以分别具备报文存储部21及报文判定部22作为不同的硬件。但是,报文存储部21及报文判定部22不是作为由处理部11执行的软件性的功能块来实现,而是作为与处理部11不同的硬件来实现。
需要说明的是,在本实施方式中,网关10及ecu4进行遵照can的通信标准的通信,但是并不局限于此。网关10及ecu4也可以进行遵照can以外的通信标准、例如tcp/ip、以太网(注册商标)或flexray等的通信。而且,虽然以搭载于车辆1的通信系统为例进行了说明,但是并不局限于此,也可以如搭载于飞机或船舶等移动体的通信系统、或者设置于工厂或办公室等的通信系统等那样,对于车载以外的通信系统适用本技术。
<实施方式2>
图6是表示实施方式2的网关210的结构的框图。上述的实施方式1的网关10在处理部11的中继处理中进行调度等处理,但是以不进行变更报文的内容那样的处理为前提。相对于此,实施方式2的网关210在处理部11的中继处理中,许可进行将多个报文合并而生成1个中继用报文的处理、或者将1个报文分割成多个而生成多个中继用报文的处理等。
实施方式2的网关210的中继监控电路220具备报文存储部21、报文判定部222及判定条件存储部223(在图6中,简称为“判定条件”)。判定条件存储部223存储基于报文判定部222的判定的条件。判定条件存储部223可以使用例如eeprom或闪存等存储器元件而构成。但是,判定条件存储部223通过使用例如不能进行数据改写的掩膜(mask)rom(readonlymemory)或不能进行电气性的数据改写的eprom(erasableprogrammablereadonlymemory)等存储器元件而能够提高安全性。优选如下结构:无论在使用哪个存储器元件的情况下,判定条件存储部223使用保持于具有防篡改性的存储器等的方法,处理部11都无法直接进行数据的读写。报文判定部222例如在网关210的起动时等,从判定条件存储部223读出判定条件,按照读出的判定条件来判定报文的正当性。
图7是用于说明报文的合并的示意图。图7是处理部11将can控制器13a经由通信线2接收到的3个报文合并成1个报文而生成中继用报文、将该中继用报文从can控制器13b经由通信线3向ecu4发送时的例子。在这种情况下,can控制器13a接收到的多个报文依次存储于报文存储部21,并向处理部11赋予。处理部11在判断为所需的报文聚齐的情况下,可以从3个报文中分别提取所需的信息(数据1、数据2、数据3),将连结提取出的3个信息并附加了头部(header)及尾部(footer)的信息作为中继用报文。需要说明的是,在can的通信标准的报文的情况下,图示的头部是包含sof、判优字段及控制字段等的结构,尾部是包含crc字段、ack字段及eof等的结构。
从处理部11被赋予了中继用报文的报文判定部222需要对该中继用报文与存储于报文存储部21的报文进行比较来判定中继用报文的正当性。头部及尾部存在由于报文的合并而被变更的可能性,因此报文判定部222对中继用报文所包含的多个数据与存储于报文存储部21的多个报文分别所包含的数据进行比较。此时,报文判定部222例如可以对于中继用报文所包含的3个数据1、2、3的全部,判定与存储于报文存储部21的报文所包含的数据1、2、3的一致来作为正当性的条件。而且,报文判定部222例如可以对于中继用报文所包含的3个数据1、2、3中的任1个,判定与存储于报文存储部21的报文所包含的数据1、2、3的一致来作为正当性的条件。在判定中继用报文所包含的数据1、2、3中的任1个的一致的情况下,例如可以仅对于接收时刻为最新的数据进行判定。上述的判定条件在网关210的设计阶段等预先决定,存储在判定条件存储部223中。
图8是用于说明报文的分割的示意图。图8是can控制器13a经由通信线2接收到的报文包含3个数据1、2、3、被赋予该报文的处理部11将接收报文分割成3个中继用报文并将分割的3个中继用报文从can控制器13b经由通信线3向ecu4依次发送时的例子。在这种情况下,can控制器13a接收到的报文存储于报文存储部21,并向处理部11赋予。处理部11在判断为赋予的报文包含多个数据1、2、3的情况下,可以从该报文中提取3个数据1、2、3,将向各数据1、2、3分别附加了头部及尾部的结构作为中继用报文。
从处理部11被赋予了中继用报文的报文判定部222需要对该中继用报文与存储于报文存储部21的报文进行比较来判定中继用报文的正当性。例如被赋予了包含数据1的中继用报文的报文判定部222通过判定存储于报文存储部21的一个或多个报文之中是否存在包含数据1的报文,来判定中继用报文的正当性。需要说明的是,报文存储部21需要即使在通过can控制器13b发送了包含数据1的中继用报文的情况下也不删除包含数据1、2、3的接收报文而存储。这是因为,在之后包含数据2、3的中继用报文从处理部11被赋予的情况下,报文判定部222进行判定。由此,报文存储部21例如可以在关于存储的报文所包含的全部的数据而确认到基于报文判定部222的比较完成的情况之后进行报文的删除。或者,报文存储部21例如可以在从报文的接收起经过了预定时间的情况下,或者从对于任1个数据的比较由报文判定部222进行起经过了预定时间的情况下等,进行报文的删除。
图9是表示存储于判定条件存储部223的判定条件的一例的示意图。在图示的判定条件中,设定中继源通信线、can-id、数据比较范围及是否需要crc的信息作为传送源信息(与由can控制器13a、13b接收到的报文相关的信息)。而且,在判定条件中,设定中继目的地通信线、can-id、数据比较范围、比较方式及中继规则等信息作为传送目的地信息(与从处理部11向can控制器13a、13b赋予的发送用的报文相关的信息)。
传送源信息所包含的中继源通信线的设定表示接收到的报文经由通信线2、3中的哪一个而接收到。can-id表示向接收的报文赋予的can-id。数据比较范围将接收到的报文所包含的数据(在本例中为64位)中的用于比较的范围以“开始位~结束位”的形态表示。是否需要crc表示是否需要进行报文所包含的crc的比较。
传送目的地信息所包含的中继目的地通信线的设定表示报文的发送目的地为通信线2、3中的哪一个。can-id表示向从处理部11被赋予的发送报文标注的can-id。数据比较范围将发送报文所包含的数据(在本例中为64位)中的用于比较的范围以“开始位~结束位”的形态表示。比较方式设定进行数据的比较的方式1或进行crc的比较的方式2中的任一个。中继规则设定从处理部11被赋予的发送报文与存储于报文存储部21的最新的报文一致的情况下进行中继的规则1或者发送报文与存储于报文存储部21的任一个报文一致的情况下进行中继的规则2中的任一个。
图9的判定条件所示的第一个例子中,对can控制器13a经由通信线2接收而存储于报文存储部21的can-id为2的报文所包含的数据的0~63位与从处理部11向can控制器13b赋予的应向通信线3发送的can-id为3的报文所包含的数据的0~63位进行比较,在两数据一致的情况下,can控制器13b向通信线3发送报文。需要说明的是,报文的比较以存储于报文存储部21的最新的报文和从处理部11赋予的报文为对象进行。
图9的判定条件所示的第二个例子中,对can控制器13a经由通信线2接收而存储于报文存储部21的can-id为10的报文所包含的数据的0~7位与从处理部11向can控制器13b赋予的应向通信线3发送的can-id为10的报文所包含的数据的0~7位进行比较,在两数据一致的情况下,can控制器13b向通信线3发送报文。需要说明的是,报文的比较以存储于报文存储部21的全部的报文和从处理部11赋予的报文为对象进行,只要任一个报文一致即可。
图9的判定条件所示的第三个例子中,对can控制器13a经由通信线2接收而存储于报文存储部21的can-id为10的报文所包含的数据的8~63位与从处理部11向can控制器13b赋予的应向通信线3发送的can-id为20的报文所包含的数据的8~63位进行比较,在两数据一致的情况下,can控制器13b向通信线3发送报文。需要说明的是,报文的比较以存储于报文存储部21的全部的报文与从处理部11赋予的报文为对象进行,只要任一个报文一致即可。
图9的判定条件所示的第四个例子中,对can控制器13a经由通信线2接收而存储于报文存储部21的can-id为30的报文所包含的crc与从处理部11向can控制器13b赋予的应向通信线3发送的can-id为10的报文所包含的crc进行比较,在两crc一致的情况下,can控制器13b向通信线3发送报文。需要说明的是,报文的比较以存储于报文存储部21的全部的报文和从处理部11赋予的报文为对象进行,只要任一个报文一致即可。
图10及图11是表示实施方式2的中继监控电路220进行的处理的次序的流程图。中继监控电路220判定从处理部11是否被赋予应中继的报文(步骤s51)。在从处理部11未被赋予报文的情况下(s51:否),中继监控电路220等待至被赋予应中继的报文为止。
在从处理部11被赋予了报文的情况下(s51:是),中继监控电路220取得存储于判定条件存储部223的判定条件(步骤s52)。中继监控电路220判定步骤s52中取得的判定条件的传送目的地信息之中是否包含与向步骤s51中赋予的报文标注的can-id对应的条件(步骤s53)。在不包含对应的条件的情况下(s53:否),中继监控电路20将该报文废弃(步骤s55),结束处理。
在包含对应的条件的情况下(s53:是),中继监控电路220判定具有设定为该条件的传送源信息的can-id的报文是否存储于报文存储部21(步骤s54)。在未存储报文的情况下(s54:否),中继监控电路20将该报文废弃(步骤s55),结束处理。
在存储有报文的情况下(s54:是),中继监控电路220从报文存储部21读出报文(步骤s56)。中继监控电路220根据在步骤s56中读出的报文和在步骤s51中被赋予的报文而分别生成比较用的信息(步骤s57)。此时,中继监控电路220从报文中提取由判定条件指定的位的数据或crc,由此能够生成比较用的方法。
中继监控电路220对生成的2个比较用的信息进行比较,判定两信息是否一致(步骤s58)。在两信息不一致的情况下(s58:否),中继监控电路220判定被设定为判定条件的中继规则是否为规则2(步骤s59)。在中继规则为规则1的情况下(s59:否),中继监控电路220将该报文废弃(步骤s61),结束处理。
在中继规则为规则2的情况下(s59:是),中继监控电路220判定报文存储部21是否存储有成为比较对象的其他的报文(步骤s60)。在未存储其他的报文的情况下(s60:否),中继监控电路220将该报文废弃(步骤s61),结束处理。在存储有其他的报文的情况下(s60:是),中继监控电路220使处理返回步骤s56,读出下一报文而重复上述的处理。
在步骤s58中,在生成的2个比较用的信息一致的情况下(s58:是),中继监控电路220将发送用的报文向can控制器13a、13b赋予(步骤s62),发送报文,结束处理。
以上的结构的实施方式2的网关210通过处理部11执行中继程序12a,能够将多个报文合并或者将1个报文分割成多个来生成中继用报文。网关210通过判定从处理部11向can控制器13a、13b赋予的中继用报文的一部分(数据部分)与存储于报文存储部21的一个或多个报文的一部分是否一致,来判定中继用报文是否正当。由此,实施方式2的网关210即使在处理部11进行了报文的合并或分割等处理的情况下,也能够判定处理部11内的报文有无篡改。
需要说明的是,在实施方式2中,网关210的中继监控电路220具备判定条件存储部223,报文判定部222按照存储于判定条件存储部223的判定条件进行判定处理,但是并不局限于此。中继监控电路220也可以不具备判定条件存储部223,报文判定部222按照电路性地确定的判定条件来进行判定处理。而且,网关210的处理部11设为能够进行报文的合并及分割这两处理的结构,但是并不局限于此,处理部11可以是仅进行报文的合并或分割的任一个的结构。
需要说明的是,实施方式2的网关210的其他的结构与实施方式1的网关10的结构相同,因此对同样的部位标注相同的附图标记而省略详细的说明。
附图标记说明
1车辆
2、3通信线
4ecu
10网关
11处理部
11a中继处理部
12程序存储部
12a中继程序(软件程序)
13a、13bcan控制器(通信部)
20中继监控电路(禁止部、检测部、中断部)
21报文存储部
22报文判定部(判定部)
210网关
220中继监控电路
222报文判定部
223判定条件存储部