车载中继装置、中继方法以及程序与流程
本公开涉及在车载网络中进行数据中继的车载中继装置、中继方法以及程序。
背景技术:
近年来,在汽车的内部搭载有车载网络。例如,专利文献1公开了一种对车载网络进行中继的车载中继装置。专利文献1的车载中继装置由路由器或者网关构成,构成为监视成为数据发送对象的ecu(电子控制单元,electroniccontrolunit)的状态以及电压来控制传送。在专利文献1中,由网关构成的车载中继装置利用电压检测部监视电池电压。在检测出电压下降的情况下,车载中继装置针对以特定的ecu作为发送目的地的数据发送,使发送停止或者变更发送目的地。例如,车载中继装置在判断为被检测出电源线的电压下降的ecu的工作存在故障时,使以该ecu为发送目的地的数据转送停止。
现有技术文献
专利文献:日本特开2004-349961号公报
技术实现要素:
发明要解决的技术问题
专利文献1的车载中继装置在发送数据的任意车载设备受到攻击而发送不正当数据(非法数据)的情况下,由于未监视作为数据发送源的车载设备,所以无法检测出攻击以及不正当。因此,车载中继装置无法阻止由发送不正当数据的车载设备进行的控制。
本公开提供一种与车载设备连接并且使来自受到攻击的车载设备的不正当控制停止的车载中继装置、中继方法以及程序。
用于解决问题的技术方案
本公开的一技术方案的车载中继装置,搭载于车辆并且对车载设备间的数据的收发进行中继,所述车载中继装置具备:第1通信部,其与第1车载设备之间收发数据;第2通信部,其与第2车载设备之间收发数据;以及控制部,其对所述第1通信部与所述第2通信部之间的数据的中继进行控制,在从所述第1通信部或者所述第2通信部接收到的接收数据存在不正当的情况下,所述控制部根据所述车辆的行驶状态,使所述中继停止。
本公开的一技术方案的中继方法,用于对车载设备间的数据的收发进行中继,所述中继方法包括:与第1车载设备之间收发数据,与第2车载设备之间收发数据,在所述第1车载设备与所述第2车载设备之间对数据进行中继,在所述第1车载设备或者所述第2车载设备的数据存在不正当的情况下,根据搭载所述车载设备的车辆的行驶状态,使所述中继停止。
本公开的一技术方案的程序,使计算机执行下述处理:与第1车载设备之间收发数据,与第2车载设备之间收发数据,在所述第1车载设备与所述第2车载设备之间对数据进行中继,在所述第1车载设备或者所述第2车载设备的数据存在不正当的情况下,根据搭载所述车载设备的车辆的行驶状态,使所述中继停止。
此外,上述的总括性或者具体的技术方案既可以利用系统、装置、方法、集成电路、计算机程序或者计算机可读取的记录盘等记录介质来实现,也可以利用系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。计算机可读取的记录介质例如包含cd-rom(compactdisc-readonlymemory,光盘只读存储器)等非易失性记录介质。
发明效果
根据本公开的车载中继装置等,与车载设备连接并且能够使来自受到攻击的车载设备的不正当控制停止。
附图说明
图1是表示具备实施方式1的车载中继装置的车载网络的功能性构成的一例的框图。
图2是表示实施方式1的第一车载中继装置的功能性构成的一例的框图。
图3是表示实施方式1的第一车载中继装置的处理的一例的流程图。
图4是表示实施方式1的第一车载中继装置的端口连接变更处理的一例的流程图。
图5是表示实施方式1的第一车载中继装置的存储部中所存储的接收端口存储表的一例的图。
图6a是表示实施方式1的第一车载中继装置的存储部中所存储的端口连接存储表的一例的图。
图6b是表示实施方式1的第一车载中继装置的存储部中所存储的端口连接存储表的另一例的图。
图7是表示实施方式1的第一车载中继装置的电源接通时的端口间的连接关系的反映处理的一例的流程图。
图8是表示实施方式1的第一车载中继装置的通常转送处理的一例的流程图。
图9是表示实施方式1的第一车载中继装置的存储部中所存储的id-mac转换表的一例的图。
图10是表示实施方式1的第一车载中继装置的存储部中所存储的mac地址转换表的一例的图。
图11是表示实施方式1的第一车载中继装置的端口连接变更处理的变形例的流程图。
图12是表示具备实施方式2的第一车载中继装置的车载网络的功能性构成的一例的框图。
图13是表示实施方式2的第一车载中继装置的功能性构成的一例的框图。
图14是表示实施方式2的第一车载中继装置的处理的一例的流程图。
图15是表示实施方式2的第一车载中继装置的中继可否判定处理的一例的流程图。
图16是表示实施方式2的第一车载中继装置的存储部中所存储的接收mac地址存储表的一例的图。
图17是表示实施方式2的第一车载中继装置的通常转送处理的一例的流程图。
图18是表示实施方式2的第一车载中继装置的电源接通时的中继可否判定条件的反映处理的一例的流程图。
图19是表示实施方式2的第一车载中继装置的中继可否判定处理的变形例的流程图。
图20是表示具备实施方式3的第一车载中继装置的车载网络的功能性构成的一例的框图。
图21是表示实施方式3的第一车载中继装置的功能性构成的一例的框图。
图22是表示实施方式3的第一车载中继装置的处理的一例的流程图。
图23是表示实施方式3的第一车载中继装置的通常转送处理的一例的流程图。
图24是表示实施方式3的第一车载中继装置的存储部中所存储的接收ip地址存储表的一例的图。
图25是表示实施方式3的第一车载中继装置的不正当检测处理的一例的流程图。
图26是表示实施方式3的第一车载中继装置的不正当检测处理的变形例的流程图。
标号的说明
100、120a、120b、120c、900、906、1200、1804车载中继装置
102端口a
104、901端口b
106端口c
108端口d
110端口e
124ivi设备
126传感器
128摄像头
130、1806adasecu
132制动器ecu
134转向机构ecu
136通信单元
138解析i/f
142、908can
144、146、148、150、904以太网(注册商标)
140、920不正当检测装置
400、402、404、406、408、918接收部
410、910、1204存储部
414、916、1214连接控制部
416、418、420、422、424、914发送部
600接收端口存储表
700id-mac转换表
1000、2000、3000车载网络
1100接收mac地址存储表
1216不正当检测部
1802不正当切断装置
1400接收ip地址存储表
2300端口连接存储表
具体实施方式
(发明人的见解)
搭载于汽车内部的车载网络逐年持续发展。例如,除了以往的控制器局域网(controllerareanetwork,以下也记为“can”)等车载网络以外,最近市场上还出现了一部分适用车载以太网(注册商标)(ethernet)的汽车。可以预想今后以太网(注册商标)占车载网络的比例会增加。而且,便携式电话网等外部网络与车载网络连接的情况也在增加。可以认为,在将要来到的自动驾驶汽车中,为了收发道路状况以及高精度地图信息等,车载网络与外部网络的连接是必须的。
另外,随着以制动辅助、自动停车以及车道维持辅助系统(lanekeepassist)为代表的高级驾驶辅助系统(advanceddriverassistancesystem,以下也记为“adas”)的普及,会使得制动器ecu等车体控制ecu由经由车载网络被送来的控制数据来控制。
这样,随着与外部网络连接的增加以及经由网络进行的车体控制的增加,对汽车的网络攻击的风险升高。例如,也发表过从便携式电话网对正在行驶的车的方向盘或者制动器进行操作的攻击实例。因此,要求汽车的安全对策,并且认为在车载网络中也需要安全应对。
以往的车载中继装置如专利文献1中公开的那样,构成为监视成为数据发送对象的ecu的状态或者电压来控制传送。专利文献1所公开的由网关构成的车载中继装置利用电压检测部监视电池电压。在检测出电压下降的情况下,该车载中继装置针对以特定的ecu作为发送目的地的数据发送,由其控制部使发送停止或者进行发送目的地的变更。例如,车载中继装置在判断为被检测出电源线的电压下降的ecu的工作存在故障时,使以该ecu作为发送目的地的数据转送停止。
但是,在发送数据的任意车载设备受到攻击而发送不正当数据的情况下,由于上述那样的以往的车载中继装置未监视作为数据发送源的车载设备,所以无法检测攻击以及不正当。因此,车载中继装置无法阻止由发送不正当数据的车载设备进行的控制。
另外,在以往的车载中继装置中,由于转送的停止判定仅使用发送目的地id来进行,所以对于被决定停止转送的发送目的地id的车载设备而言,所有的数据转送都被停止。因此,对于被决定停止转送的发送目的地id的车载设备而言,诊断装置或者诊断服务器的诊断命令的转送、以及复原所需要的命令的转送都无法再进行。
另外,在以往的车载中继装置中,在从不正当车载设备转送数据的情况下可能会产生如下状况:虽然不对数据转送被停止的车载设备进行数据的转送,但是对数据转送未被停止的车载设备仍进行数据的转送。因此,无法可靠地防止由以不正当车载设备作为发送源的不正当数据进行的攻击。
因此,本发明人研究了下述技术:在车载网络中检测出存在任意的车载设备受到攻击而发送不正当数据的可能性时,使来自该车载设备的不正当控制停止。例如,本发明人研究了如下技术:在因攻击而导致任意的车载设备受到攻击且发送了不正当数据的情况下,一边能够进行解析或者复原一边抑制对其他车载设备的影响。然后,本发明人研发了如以下所示的技术。
本公开的一技术方案的车载中继装置,其搭载于车辆并且对车载设备间的数据的收发进行中继,所述车载中继装置具备:第1通信部,其与第1车载设备之间收发数据;第2通信部,其与第2车载设备之间收发数据;以及控制部,其对所述第1通信部与所述第2通信部之间的数据的中继进行控制,在从所述第1通信部或者所述第2通信部接收到的接收数据存在不正当的情况下,所述控制部根据所述车辆的行驶状态,使所述中继停止。
根据上述技术方案,在接收数据存在不正当的情况下,车载中继装置使第1通信部与第2通信部之间的数据中继停止,由此能够使从存在不正当的车载设备发送来的数据的转送停止,抑制由存在不正当的车载设备进行的不正当控制。并且,车载中继装置根据车辆的行驶状态来停止进行中继。由此,通过停止进行中继,能够抑制车辆的行驶变得不稳定。
在本公开的一技术方案的车载中继装置中,也可以是,所述第1通信部和所述第2通信部中的至少一个经由网络与所述车载设备之间进行收发。
根据上述技术方案,能够通过经由网络来将多个车载设备与1个通信部连接。能够增加由车载中继装置进行中继的车载设备的数量。
本公开的一技术方案的车载中继装置,也可以是,还具备:第1端口,其用于连接所述第1通信部和所述第1车载设备;以及第2端口,其用于连接所述第2通信部和所述第2车载设备,所述控制部通过切断所述第1端口与所述第2端口之间的连接来使所述中继停止。
根据上述技术方案,在接收数据存在不正当的情况下,车载中继装置使端口间的数据的中继停止,从而使与不正当化的车载设备之间的数据转送停止。由此,车载中继装置抑制由不正当化的车载设备进行的不正当控制,并且抑制从不正当化的车载设备对其他车载设备的影响。例如,使端口间的数据的中继停止,能够使与连接至can这样的总线型网络上的车载设备之间的数据的转送停止。
在本公开的一技术方案的车载中继装置中,也可以是,所述控制部通过使包含mac地址的数据的中继停止来停止进行所述中继,所述mac地址将存在不正当的所述接收数据的发送源的所述车载设备设为目的地或者发送源。
根据上述技术方案,在接收数据存在不正当的情况下,车载中继装置使包含将存在不正当的接收数据的发送源的车载设备设为目的地或者发送源的mac地址的数据的中继停止。由此,车载中继装置能够使与不正当化的车载设备之间的数据的转送停止。例如,像这样的中继的停止,能够使与连接至以太网(注册商标)上的车载设备之间的数据的转送停止。
在本公开的一技术方案的车载中继装置中,也可以是,所述控制部通过使包含ip地址的数据的中继停止来停止进行所述中继,所述ip地址将存在不正当的所述接收数据的发送源的所述车载设备设为目的地或者发送源。
根据上述技术方案,在接收数据存在不正当的情况下,车载中继装置使包含将存在不正当的接收数据的发送源的车载设备设为目的地或者发送源的ip地址的数据的中继停止。由此,车载中继装置能够使与不正当化的车载设备之间的数据的转送停止。例如,像这样的中继的停止,能够使与连接至以太网(注册商标)上的车载设备之间的数据的转送停止。并且,即使多个车载设备与1个通信部连接,ip地址也能够确定数据的发送源。因此,能够使与单个的车载设备之间的数据的转送停止。
在本公开的一技术方案的车载中继装置中,也可以是,所述控制部从所述第1通信部或者所述第2通信部接收用于通知所述接收数据存在不正当的不正当检出数据,在接收到所述不正当检出数据之后经过预定时间后使所述中继停止。
根据上述技术方案,从车载中继装置接收到不正当检出数据时起至停止进行中继为止存在预定时间。因此,搭载有车载中继装置的车辆的操作者能够切换车辆的控制。例如,操作者能够关闭车辆的自动驾驶功能等而切换为手动驾驶。例如,在不正当车载设备是与自动驾驶功能相关联的ecu这样的情况下,如果来自该ecu的数据的中继突然停止,则存在车辆会成为无控制状态的可能性。车载中继装置能够抑制车辆的无控制状态。
在本公开的一技术方案的车载中继装置中,也可以是,所述车辆具备自动驾驶功能,所述控制部从所述第1通信部或者所述第2通信部接收用于通知所述接收数据存在不正当的不正当检出数据,在接收到所述不正当检出数据之后,当作为所述车辆的行驶状态而接收到通知所述自动驾驶功能为关闭状态的数据时,使所述中继停止。
根据上述技术方案,车载中继装置在接收到通知自动驾驶功能为关闭状态的数据时使中继停止。例如,在不正当车载设备是与自动驾驶功能相关联的ecu这样的情况下,如果来自该ecu的数据的中继突然停止,则存在车辆会成为无控制状态的可能性。车载中继装置能够抑制车辆的无控制状态。
在本公开的一技术方案的车载中继装置中,也可以是,所述不正当检出数据包含被检测出不正当的数据的信息和所述被检测出不正当的数据的发送源的信息。
根据上述技术方案,车载中继装置通过接收不正当检出数据,能够确定被检测出不正当的车载设备。
本公开的一技术方案的车载中继装置,也可以是,还具备存储部,其将所述被检测出不正当的数据的信息和所述被检测出不正当的数据的发送源的信息相关联地进行存储,所述控制部基于所述存储部的所述被检测出不正当的数据的信息和所述被检测出不正当的数据的发送源的信息,来确定所述被检测出不正当的数据的发送源。
根据上述技术方案,车载中继装置通过参照存储部,能够溯及以往地确定被检测出不正当的车载设备。
本公开的一技术方案的车载中继装置,也可以是,还具备:第3通信部,其与第3车载设备之间收发数据,在从所述第1通信部接收到的接收数据存在不正当的情况下,所述控制部使所述第1通信部与所述第2通信部之间的数据的中继停止,使所述第1通信部与所述第3通信部之间的数据的中继继续进行。
根据上述技术方案,在第1通信部与第2通信部之间的数据的中继停止的状态下,通过利用接收数据存在不正当的第1通信部与第3通信部之间的数据的中继,使得基于不正当车载设备的解析或者软件、固件的更新所进行的应对变得容易。
在本公开的一技术方案的车载中继装置中,也可以是,对所述第1车载设备的状态进行诊断的诊断设备与所述第3车载设备连接。
根据上述技术方案,在中继停止后,对于被认为不正当化的车载设备,也能够由诊断设备进行诊断或者进行软件的更新。
在本公开的一技术方案的车载中继装置中,也可以是,所述第3车载设备是能够与外部进行通信的通信单元。
根据上述技术方案,在中继停止后,对于被认为不正当化的车载设备,也能够通过外部通信进行诊断或者进行软件更新。
在本公开的一技术方案的车载中继装置中,也可以是,所述控制部,在从所述第1通信部或者所述第2通信部接收到的接收数据存在不正当的情况下,当从所述第1通信部或者所述第2通信部接收到请求解除所述中继停止的数据时,使已停止的所述中继再次开始。
根据上述技术方案,在接收数据存在不正当的情况下,车载中继装置对不正当车载设备进行了适当的应对之后使中继再次开始,由此能够返回被检测到不正当之前的正常的状态。
本公开的一技术方案的车载中继装置,也可以是,还具备:存储部,其存储所述第1车载设备与所述第2车载设备的中继的状况,所述控制部在所述车载中继装置的电源接通时基于所述存储部中所存储的所述中继状况,使所述第1车载设备与所述第2车载设备的中继维持或者停止。
根据上述技术方案,车载中继装置在电源关闭之后电源又被打开的情况下,能够使中继状态成为与电源关闭之前相同的状态,从而能够与电源关闭之前同样地维持中继或者停止中继。能够防止车载中继装置因电源打开及关闭而不慎使中继已停止的不正当数据的中继再次开始。
本公开的一技术方案的中继方法,用于对车载设备间的数据的收发进行中继,所述中继方法包括:与第1车载设备之间收发数据,与第2车载设备之间收发数据,在所述第1车载设备与所述第2车载设备之间对数据进行中继,在所述第1车载设备或者所述第2车载设备的数据存在不正当的情况下,根据搭载所述车载设备的车辆的行驶状态,使所述中继停止。根据上述技术方案,能够得到与本公开的一技术方案的车载中继装置相同的效果。
本公开的一技术方案的程序,使计算机执行下述处理:与第1车载设备之间收发数据,与第2车载设备之间收发数据,在所述第1车载设备与所述第2车载设备之间对数据进行中继,在所述第1车载设备或者所述第2车载设备的数据存在不正当的情况下,根据搭载所述车载设备的车辆的行驶状态,使所述中继停止。根据上述技术方案,能够得到与本公开的一技术方案的车载中继装置相同的效果。
本公开的另一技术方案的车载中继装置,其具备:第1接收部,其从第1网络接收数据;第1发送部,其向所述第1网络发送数据;第2接收部,其从第2网络接收数据;第2发送部,其向所述第2网络发送数据;以及控制部,其对所述第1网络与所述第2网络之间的数据的中继进行控制,在从所述第1接收部接收到的第1数据为用于通知检测出不正当这一情况的不正当检出数据的情况下,所述控制部使所述第1网络与所述第2网络之间的中继停止。
根据上述构成,车载中继装置在接收到不正当检出数据时使与接收到不正当检出数据的网络之间的数据的中继停止,由此使从该网络中所包含的不正当ecu等车载设备发送来的数据的转送停止,能够抑制由不正当车载设备进行的不正当控制。
在本公开的另一技术方案的车载中继装置中,也可以是,在所述第1数据是所述不正当检出数据的情况下,所述控制部在接收到所述第1数据之后经过预定时间后使所述第1网络与所述第2网络之间的中继停止。
根据上述构成,在从接收到不正当检出数据时起至与接收到不正当检出数据的网络之间停止进行数据中继为止的预定时间内,搭载有车载中继装置的车辆的操作者能够关闭自动驾驶功能等而切换为手动驾驶。例如,在接收到不正当检出数据的网络所包含的不正当车载设备是与自动驾驶功能相关联的ecu这样的情况下,能够降低在来自该ecu的数据的中继突然停止时车辆成为无控制状态的可能性。
在本公开的另一技术方案的车载中继装置中,也可以是,在所述第1数据是所述不正当检出数据的情况下,在接收到所述第1数据之后从所述第1接收部或者所述第2接收部接收到通知自动驾驶功能为关闭状态的第2数据的情况下,所述控制部使所述第1网络与所述第2网络之间的中继停止。
本公开的另一技术方案的车载中继装置,也可以是,还具备:第3接收部,其从第3网络接收数据;以及第3发送部,其向所述第3网络发送数据,在所述第1数据是所述不正当检出数据的情况下,在接收到所述第1数据之后从所述第3接收部接收到通知自动驾驶功能为关闭状态的第2数据的情况下,所述控制部使所述第1网络与所述第2网络之间的中继停止。
根据上述构成,在接收到通知自动驾驶功能为关闭状态的第2数据之后使第1网络与第2网络之间的中继停止,因此例如在接收到不正当检出数据的网络所包含的不正当车载设备是与自动驾驶功能相关联的ecu这样的情况下,能够降低在来自该ecu的数据的中继突然停止时车辆成为无控制状态的可能性。
本公开的另一技术方案的车载中继装置,也可以是,还具备:第3接收部,其从第3网络接收数据;以及第3发送部,其向所述第3网络发送数据,在所述第1数据是所述不正当检出数据的情况下,所述控制部使所述第1网络与所述第2网络之间的中继停止,并使所述第1网络与所述第3网络之间的中继继续进行。
根据本构成,使基于连接限制后的解析或软件、固件的更新所进行的应对变得容易。
在本公开的另一技术方案的车载中继装置中,也可以是,所述第3网络与连接至所述第1网络上的车载设备进行通信,并且与诊断所述车载设备的状态的诊断设备连接。
根据上述构成,在使第1网络与第2网络之间的中继停止之后,对于被认为不正当化的车载设备,也能够由诊断设备进行诊断或者进行软件的更新。
在本公开的另一技术方案的车载中继装置中,也可以是,能够与外部进行通信的通信单元,与所述第3网络连接。
根据上述构成,在使第1网络与第2网络之间的中继停止之后,对于被认为不正当化的车载设备,也能够通过外部通信进行诊断或者进行软件更新。
在本公开的另一技术方案的车载中继装置中,也可以是,在接收到所述第1数据之后从所述第1接收部或者所述第2接收部接收到请求解除所述第1网络与所述第2网络之间的中继停止的第3数据的情况下,所述控制部使所述第1网络与所述第2网络之间的中继再次开始。
根据上述构成,在接收到不正当检出数据后对不正当车载设备进行了适当的应对之后,使第1网络与第2网络之间的中继再次开始,由此能够返回接收到不正当检出数据之前的正常的状态。
在本公开的另一技术方案的车载中继装置中,也可以是,还具备:存储部,其存储所述第1网络与所述第2网络之间的中继的状况,所述控制部在所述车载中继装置的电源接通时基于所述存储部中所存储的所述中继状况,使所述第1网络与所述第2网络之间的中继维持或者停止。
根据上述构成,在电源关闭之后电源又被打开的情况下,能够使第1网络与第2网络之间的中继状况与电源关闭之前相同,维持中继或者停止中继,从而能够防止对不正当数据进行中继。
本公开的另一技术方案的车载中继装置,也可以是,还具备:第1端口,其用于将所述第1接收部和所述第1发送部连接至所述第1网络;以及第2端口,其用于将所述第2接收部和所述第2发送部连接至所述第2网络,所述第1网络与所述第2网络之间的数据中继的停止是所述第1端口与所述第2端口之间的中继的停止。
根据上述构成,通过在接收到不正当检出数据时针对发送了不正当检出数据的端口停止进行数据的中继,使与不正当化的车载设备之间的数据转送停止,能够抑制由不正当化的车载设备进行的不正当控制,并且能够抑制对其他车载设备的影响。
在本公开的另一技术方案的车载中继装置中,也可以是,所述第1网络与所述第2网络之间的数据中继的停止是经由所述第1网络连接的由第1mac地址表示的车载设备与所述第2端口之间的中继的停止。
根据上述构成,在接收到不正当检出数据时,针对由发送了不正当检出数据的mac地址表示的车载设备,停止进行数据的中继,由此使与不正当化的车载设备之间的数据的转送停止,能够抑制由不正当化的车载设备进行的不正当控制,并且能够抑制对其他车载设备的影响。
在本公开的另一技术方案的车载中继装置中,也可以是,所述第1网络与所述第2网络之间的数据中继的停止是经由所述第1网络连接的由第1ip地址表示的车载设备与所述第2端口之间的中继的停止。
根据上述构成,在接收到不正当检出数据时,针对由发送了不正当检出数据的ip地址表示的车载设备停止进行数据的中继,使与不正当化的车载设备之间的数据的转送停止,能够抑制由不正当化的车载设备进行的不正当控制,并且能够抑制对其他车载设备的影响。
此外,上述的总括性或者具体的技术方案既可以利用系统、装置、方法、集成电路、计算机程序或者计算机可读取的记录盘等记录介质来实现,也可以利用系统、装置、方法、集成电路、计算机程序或者记录介质的任意组合来实现。计算机可读取的记录介质例如包含cd-rom等非易失性记录介质。另外,装置也可以由1个以上的装置构成。在装置由两个以上的装置构成的情况下,该两个以上的装置既可以配置在1个设备内,也可以分开配置在分离的两个以上的设备内。在本说明书以及权利要求的范围内,“装置”不仅可以指1个装置,还可以指由多个装置构成的系统。
以下,参照附图对本公开的车载中继装置等进行具体说明。此外,以下进行说明的实施方式均表示总括性或者具体的示例。由以下的实施方式示出的数值、形状、构成要素、构成要素的配置位置及连接形态、步骤(工序)、以及步骤的顺序等仅是一例,并不是限定本公开的主旨。另外,将以下的实施方式的构成要素中的、未记载在表示最上位概念的独立权利要求中的构成要素作为任意的构成要素来进行说明。另外,各图是示意图,不一定严密地进行了图示。并且,在各图中对实质相同的构成要素标注了相同的标号,有时将重复的说明省略或者简化。
(实施方式1)
在以下的实施方式中,设车载中继装置以及车载网络搭载在具备自动驾驶功能的汽车中来进行说明。自动驾驶功能可以是从符合驾驶辅助的自动驾驶等级1至符合完全自动驾驶的自动驾驶等级5的所有自动驾驶等级。
图1是表示具备实施方式1的车载中继装置100的车载网络1000的功能性构成的一例的框图。如图1所示,实施方式1的车载网络1000包含车载中继装置100、120a、120b及120c、ivi(车载信息娱乐系统,in-vehicleinfotainment)设备124、传感器126、摄像头128、adasecu130、制动器ecu132、转向机构ecu134、通信单元136、解析接口(以下也记为“i/f”)138和不正当检测装置140作为构成要素。并且,车载网络1000包含can142、以太网(注册商标)144、146、148及150作为连接上述构成要素间的网络。
以下,还将车载中继装置100称为“第一车载中继装置”,还将车载中继装置120a、120b及120c称为“第二车载中继装置”。在以下的实施方式中,第二车载中继装置是现有技术的车载中继装置,第一车载中继装置是本公开的新的车载中继装置。此外,第一车载中继装置也可以适用于第二车载中继装置。第一车载中继装置100以及第二车载中继装置120a、120b及120c的例子是网关、switch(交换机)、路由器或者内置有这些功能的装置。
实施方式1的第一车载中继装置100具备端口a102、端口b104、端口c106、端口d108以及端口e110这5个端口。
端口a102经由以太网(注册商标)144与第二车载中继装置120c连接。第二车载中继装置120c与通信单元136以及解析i/f138连接。通信单元136是tcu(车载远程信息通信单元,telematicscommunicationunit),是与便携式电话网或者wi-fi(wirelessfidelity,无线保真)等外部网络进行连接的设备。解析i/f138是为了进行车内设备的测试或者解析而用于与外部设备连接的i/f。
端口b104经由can142与不正当检测装置140、制动器ecu132以及转向机构ecu134连接。不正当检测装置140具有对经由can142接收到的数据进行不正当检测的功能,并且具有基于错误帧进行不正当数据的无效化的功能。制动器ecu132是基于经由can142接收到的数据进行制动控制的车载设备。转向机构ecu134是基于经由can142接收到的数据进行转向控制的车载设备。在can142上,收发与车体控制相关的数据、与车速以及加速度等自车的车辆状态相关的数据。
端口c106经由以太网(注册商标)146与第二车载中继装置120a连接。第二车载中继装置120a与ivi设备124连接。ivi设备124具备导航功能、以及音乐和动态图像等多媒体再现功能等功能。ivi设备124还具备用于设定与adasecu130相关的功能的接口。当针对adasecu130设定自动驾驶功能的打开或者关闭时,ivi设备124向adasecu130发送自动驾驶功能打开的通知或者自动驾驶功能关闭的通知。另外,在接收到用于通知检测出不正当的数据的情况下,ivi设备124能够向汽车驾驶员通知检测出不正当,并且对adasecu130提示自动驾驶功能关闭的设定。
端口d108经由以太网(注册商标)148与第二车载中继装置120b连接。第二车载中继装置120b与传感器126以及摄像头128连接。传感器126以及摄像头128是收集与自车周边环境相关的信息,并将收集到的信息从第二车载中继装置120b发送到以太网(注册商标)148的设备。传感器126的例子是lidar(lightdetectionandranging,光探测和测距)等激光传感器、磁传感器以及超声波传感器等。
端口e110经由以太网(注册商标)150与adasecu130连接。adasecu130是具备以下这样的功能的车载设备。也就是说,adasecu130基于从传感器126及摄像头128得到的信息、从ivi设备124得到的地图信息、以及从can142得到的控制信息,识别自车的周边状况以及自车的状况,决定接下来要进行的车辆控制。并且,adasecu130将车辆控制数据发送到制动器ecu132以及转向机构ecu134等车辆控制用ecu。adasecu130在自动驾驶功能被设定为打开时发送车辆控制数据。
在车载网络1000中,不正当检测装置140对can142上的数据进行数据不正当检测。针对在can142上被收发的所有数据,不正当检测装置140对数据的id、数据的周期以及数据的值等进行监视。在针对数据检测出不正当的情况下,不正当检测装置140将对被判定为不正当的数据所赋予的id与检测出不正当的通知一起发送到第一车载中继装置100。
不正当检测装置140也可以由包括cpu(centralprocessingunit,中央处理单元)或dsp(digitalsignalprocessor,数字信号处理器)等处理器、以及ram(randomaccessmemory,随机存取存储器)及rom(read-onlymemory,只读存储器)等存储器等的计算机系统(未图示)构成。不正当检测装置140的一部分或者全部的功能也可以通过由cpu或dsp使用ram作为作业用存储器执行记录在rom中的程序来实现。另外,不正当检测装置140的一部分或者全部的功能也可以通过电子电路或者集成电路等专用的硬件电路来实现。不正当检测装置140的一部分或者全部的功能也可以通过上述的软件功能和硬件电路的组合来构成。
对第一车载中继装置100的构成进行说明。图2是表示实施方式1的第一车载中继装置100的功能性构成的一例的框图。如图2所示,除了端口a102、端口b104、端口c106、端口d108以及端口e110以外,车载中继装置100还具备以下的构成要素。车载中继装置100具备:端口a102的接收部400及发送部416、端口b104的接收部402及发送部418、端口c106的接收部404及发送部420、端口d108的接收部406及发送部422、端口e110的接收部408及发送部424、存储部410、以及连接控制部414。
接收部400、402、404、406及408、以及发送部416、418、420、422及424例如由通信电路构成。端口a102的接收部400及发送部416、端口b104的接收部402及发送部418、端口c106的接收部404及发送部420、端口d108的接收部406及发送部422、以及端口e110的接收部408及发送部424均是通信部的一例。
存储部410存储数据。存储部410例如通过rom、ram、快闪存储器等半导体存储器、硬盘驱动器、或者ssd(solidstatedrive,固态硬盘)等存储装置来实现。存储部410也可以由临时保管数据的易失性存储装置以及电源关闭时也能够保持数据的非易失性存储装置构成。
连接控制部414进行端口间的中继控制及连接控制、接收数据的目的地确认、数据的格式变更、不正当检出数据的接收、自动驾驶功能打开/关闭数据的接收、以及端口限制解除的请求数据的接收等。连接控制部414也可以由包括cpu或dsp等处理器、以及ram及rom等存储器等的计算机系统(未图示)构成。连接控制部414的一部分或者全部的功能也可以通过cpu或dsp使用ram作为作业用存储器执行记录在rom中的程序来实现。另外,连接控制部414的一部分或者全部的功能也可以通过电子电路或者集成电路等专用的硬件电路来实现。连接控制部414的一部分或者全部的功能也可以由上述的软件功能和硬件电路的组合构成。连接控制部414是控制部的一例。
接下来,参照图3对实施方式1的第一车载中继装置100的工作进行说明。此外,图3是表示实施方式1的第一车载中继装置100的处理的一例的流程图。
首先,在步骤s500中,第一车载中继装置100从端口a102的接收部400、端口b104的接收部402、端口c106的接收部404、端口d108的接收部406、以及端口e110的接收部408中的某一端口接收数据。
接着,在步骤s502中,连接控制部414基于接收到的数据即接收数据的mac(mediaaccesscontrol,介质访问控制)地址或者can的id来判定接收数据是否是发给自己即发给第一车载中继装置100的数据。在并非发给自己的数据的情况下(步骤s502:“否”),连接控制部414进行步骤s504的处理。在是发给自己的数据的情况下(步骤s502:“是”),连接控制部414进行步骤s506的处理。
在步骤s504中,连接控制部414进行通常的转送处理即后述的通常转送处理。
在步骤s506中,连接控制部414判定是否是用于通知接收数据检测出不正当的不正当检出数据。不正当检出数据包含检测出不正当的通知和对被判定为不正当的数据所赋予的id。在接收数据是不正当检出数据的情况下(步骤s506:“是”),连接控制部414进行步骤s508的处理。在接收数据并非不正当检出数据的情况下(步骤s506:“否”),连接控制部414进行步骤s510的处理。
此外,不正当检出数据能够由分别与端口a102~端口e110连接的车载设备、第二车载中继装置120a~120c或者不正当检测装置140发送到第一车载中继装置100。例如,第二车载中继装置120a~120c也可以构成为具备进行数据不正当检测的不正当检测功能,并且发送不正当检出数据。ivi设备124等与以太网(注册商标)144、146、148或150、或者can142连接的车载设备也可以构成为具备不正当检测功能,并且发送不正当检出数据。
在步骤s508中,连接控制部414进行用于变更端口间的连接关系的后述的端口连接变更处理。
在步骤s510中,连接控制部414判定接收数据是否是用于请求解除针对预定端口进行连接切断这一限制的限制解除请求数据。在接收数据是限制解除请求数据的情况下(步骤s510:“是”),连接控制部414进行步骤s512的处理。在接收数据并非限制解除请求数据的情况下(步骤s510:“否”),连接控制部414进行步骤s514的处理。
在步骤s512中,连接控制部414针对由限制解除请求数据指定的端口,解除该端口与其他端口的切断连接的限制。连接控制部414对存储部410中所存储的后述的接收端口存储表进行更新。
在步骤s514中,连接控制部414判定接收数据是否是表示自动驾驶功能为关闭状态的自动驾驶功能关闭数据。也就是说,连接控制部414判定自动驾驶功能是否是关闭状态。自动驾驶功能关闭数据还可以包含用于使自动驾驶功能关闭的指令等用于使自动驾驶功能关闭的数据。在接收数据是自动驾驶功能关闭数据的情况下(步骤s514:“是”),连接控制部414进行步骤s516的处理。在接收数据并非自动驾驶功能关闭数据的情况下(步骤s514:“否”),连接控制部414进行步骤s518的处理。
在步骤s516中,连接控制部414将自动驾驶功能为关闭状态这一情况通知给连接控制部414的内部。
在步骤s518中,接收数据是通常的控制包(控制数据包),因此连接控制部414进行与接收数据的控制内容相对应的处理。
接下来,参照图4,对步骤s508的端口连接变更处理的详细情况进行说明。图4是表示实施方式1的第一车载中继装置100的端口连接变更处理的一例的流程图。
首先,在步骤s2102中,连接控制部414启动第一车载中继装置100所具备的未图示的计时器即变更等待计时器并开始计时。
接着,在步骤s2104中,连接控制部414基于不正当检出数据所包含的id,来确定接收到所检测出的不正当数据的端口。具体而言,连接控制部414使用存储部410中所存储的接收端口存储表,来确定接收到所检测出的不正当数据的端口。在接收端口存储表中,将数据的id、接收端口和发送端口相关联。接收端口是该数据被第一车载中继装置100接收的端口。发送端口是接收到的该数据从第一车载中继装置100被发送的端口。接收端口存储表表示各种id的数据从接收端口向发送端口的流动。接收端口存储表由连接控制部414记录。
在此,图5表示实施方式1的第一车载中继装置100的存储部410中所存储的接收端口存储表的一例。如图5所示,接收端口存储表600是列举了接收数据所包含的id、接收到接收数据的端口(接收端口)、以及发送接收数据的端口(发送端口)的分组的表。例如,在不正当检出数据所包含的id为“0x1a”的情况下,在接收端口存储表600中,id为“0x1a”的接收端口能够确定为是“端口e”。也就是说,所检测出的不正当数据的接收端口能够确定为是端口e110。
返回图4,在确定接收到所检测出的不正当数据的端口之后,连接控制部414将该端口与其他端口的连接切断。也就是说,该端口的接收部及发送部与其他端口的接收部及发送部的连接被切断。该连接的切断处理是以下的步骤s2106、s2108以及s2110的处理。如后述那样,连接控制部414在经过预定时间之后的时刻(timing)或者接收到自动驾驶功能关闭数据的时刻实施连接切断。
在步骤s2106中,连接控制部414判定由变更等待计时器计时出的时间即计时器值是否大于预定值(计时器值>预定值)。在判定的结果是计时器值大于预定值的情况下(步骤s2106:“是”),连接控制部414进行步骤s2110的处理。在判定的结果是计时器值为预定值以下的情况下(步骤s2106:“否”),连接控制部414进行步骤s2108的处理。
在步骤s2108中,连接控制部414判定是否接收到自动驾驶功能关闭数据。在判定的结果是接收到自动驾驶功能关闭数据的情况下(步骤s2108:“是”),连接控制部414进行步骤s2110的处理。在判定的结果是未接收到自动驾驶功能关闭数据的情况下(步骤s2108:“否”),连接控制部414返回步骤s2106的处理。此外,自动驾驶功能被关闭的时刻既可以是接收到不正当检出数据之后也可以是接收不正当检出数据之前。
在步骤s2110中,连接控制部414将接收到所检测出的不正当数据的端口与除此以外的端口的连接切断。例如,在接收到所检测出的不正当数据的端口是“端口e”的情况下,连接控制部414将端口e与端口a、b、c及d的连接切断。
在此,图6a表示实施方式1的第一车载中继装置100的存储部410中所存储的端口连接存储表的一例。图6a示出步骤s2110的处理之后的端口连接存储表的一例。如图6a所示,端口连接存储表2300是表示端口间可否连接的表。换言之,端口连接存储表2300表示端口间的连接关系。连接控制部414根据端口连接存储表,进行端口间连接。在端口连接存储表2300中,纵轴表示第一车载中继装置100的接收端口,横轴表示接收端口的发送目的地的第一车载中继装置100的端口。在接收端口与发送目的地的端口之间为可连接的状态的情况下用“〇”表示,在为不可连接的状态的情况下用“×”表示。
当如上述那样将端口间的连接切断时,连接控制部414更新存储部410中所存储的端口连接存储表2300。例如,在将端口e与端口a、b、c及d的连接切断的情况下,连接控制部414将端口连接存储表2300中表示端口e与端口a、b、c及d可以连接的“〇”变更为表示不可连接的“×”来进行更新。在图6a中,端口连接存储表2300的由虚线包围的部分被更新。
返回图4,在步骤s2112中,连接控制部414使变更等待计时器停止,使变更等待计时器的计时器值复位,例如使其变成“0”。
接着,在步骤s2114中,连接控制部414确认有无特定端口的连接设定。特定端口是指以解析不正当化的ecu等构成要素等为目的而准备的端口。在本实施方式中,连接有解析i/f138的端口a是特定端口。在存在特定端口的连接设定、即设定有向特定端口的连接的情况下(步骤s2114:“是”),连接控制部414进行步骤s2116的处理。在没有特定端口的连接设定、即未设定向特定端口的连接的情况下(步骤s2114:“否”),连接控制部414使处理结束。
此外,表示特定端口的连接设定的信息是表示有无被连接的特定端口的信息、以及端口编号等指定被连接的特定端口的信息等。这样的信息也可以被预先设定,例如在第一车载中继装置100或者具备第一车载中继装置100的装置或系统出厂时或者搭载于汽车时等被写入存储部410等。
在步骤s2116中,连接控制部414将接收到所检测出的不正当数据的端口与特定的端口连接,对端口连接存储表2300进行更新。在本实施方式中,连接控制部414将端口e与端口a连接。
在此,图6b表示实施方式1的车载中继装置100的存储部410中所存储的端口连接存储表的另一例。图6b示出在步骤s2116处理之后的端口连接存储表的一例。如图6b所示,在端口连接存储表2300中,由虚线包围的部分相对于图6a的端口连接存储表2300被更新。
通过上述的连接,连接控制部414将从端口e接收到的数据的中继目的地限定为通信单元136或者解析i/f138。然后,经由通信单元136或者解析i/f138,通过车载网络1000的外部的未图示的诊断装置或者诊断服务器等诊断设备,对作为数据发送源的车载设备进行诊断,并根据需要来进行固件的升级。由此,所检测出的不正当被修正,能够使该车载设备恢复正常状态。在使该车载设备恢复正常状态之后,诊断设备经由通信单元136,向连接控制部414发送限制解除请求数据。此外,虽然将限制解除请求数据的发送设为经由通信单元136来进行,但是不限于此。也可以利用其他路径或方式来发送限制解除请求数据。
在此,本实施方式的第一车载中继装置100在变更了上述端口间的连接之后切断电源,然后在电源重新接通时反映电源切断之前的端口间的连接关系。参照图7,对第一车载中继装置100的电源重新接通之后反映电源切断之前的端口间的连接关系的处理进行说明。图7是表示在实施方式1的第一车载中继装置100的电源接通时端口间的连接关系的反映处理的一例的流程图。
首先,在步骤s1600中,将第一车载中继装置100与电源接通。接着,在步骤s1602中,连接控制部414从存储部410读取端口连接存储表2300。此外,端口连接存储表2300被存储在存储部410所具有的非易失性区域中。接着,在步骤s1604中,连接控制部414基于被读取的端口连接存储表2300,进行端口间的连接的变更、即设定端口间的连接。
如上所述,即使在电源关闭之后电源又重新接通,第一车载中继装置100也能够使端口间的连接关系恢复到与电源关闭之前相同的关系。由此,即使在随着检测出不正当而变更了端口的连接关系之后因发动机停止等原因而使电源关闭,第一车载中继装置100也不会恢复到初始状态,能够防止不正当数据经由第一车载中继装置100进行中继。
接下来,参照图8,对图3中的步骤s504的通常转送处理的详细情况进行说明。图8是表示实施方式1的第一车载中继装置100的通常转送处理的一例的流程图。
首先,在步骤s2000中,连接控制部414判定接收到数据的端口是与can连接还是与以太网(注册商标)连接。在该端口与can连接的情况下(步骤s2000:“是”),连接控制部414进行步骤s2002的处理。在该端口与以太网(注册商标)连接的情况下(步骤s2000:“否”),连接控制部414进行步骤s2006的处理。
在步骤s2002中,由于接收数据是遵守can协议的数据格式,所以连接控制部414将接收数据转换成遵守以太网(注册商标)协议的数据格式。因此,接收数据所包含的id必须转换成mac地址。连接控制部414为了将接收数据所包含的id转换成mac地址,使用id-mac转换表。id-mac转换表将经由can得到的接收数据的id和与该id对应的目的地的mac地址相关联地记录。连接控制部414使用id-mac转换表来确认与接收数据的id对应的目的地的mac地址、即目的地mac地址。
在此,图9表示实施方式1的第一车载中继装置100的存储部410中所存储的id-mac转换表的一例。如图9所示,id-mac转换表700是列举了接收数据所包含的id和与该id对应的目的地mac地址的分组的表。例如,在接收数据所包含的id是“02”的情况下,对应的目的地mac地址是“mac地址b”。此外,在本实施方式中,id-mac转换表存储在存储部410所具有的非易失性区域中,但是也可以存储在存储部410所具有的易失性区域中。
返回图8,接着,在步骤s2004中,连接控制部414使用由id-mac转换表700确认的目的地mac地址,将接收数据转换成遵守以太网(注册商标)协议的格式。
在步骤s2006中,连接控制部414使用接收数据的报头所包含的目的地mac地址,决定成为发送目的地的端口的发送端口。在步骤s2006的阶段中,即使接收到接收数据的端口与can以及以太网(注册商标)中的某一个连接,接收数据也是遵守以太网(注册商标)协议的格式。连接控制部414使用接收数据的报头所包含的目的地mac地址,通过参照存储部410中所存储的mac地址转换表,来决定发送接收数据的发送端口。mac地址转换表将接收数据的目的地mac地址和与该目的地mac地址对应的发送端口相关联地记录。
在此,图10是表示实施方式1的第一车载中继装置100的存储部410中所存储的mac地址转换表的一例。如图10所示,mac地址转换表800是表示与接收数据的报头所包含的目的地mac地址对应的发送端口的表。例如,在mac地址转换表800中,在接收数据的报头所包含的目的地mac地址是“mac地址b”的情况下,对应的发送端口是端口“a”。
接着,在步骤s2008中,连接控制部414判定是否处于能够连接接收数据的端口和由步骤s2006决定的发送端口的状态、即连接状态。连接控制部414使用端口连接存储表来判定连接状态。如果是连接状态(步骤s2008:“是”),则连接控制部414进行步骤s2010的处理。如果不是连接状态(步骤s2008:“否”),则连接控制部414使处理结束。
在步骤s2010中,连接控制部414对存储部410中所存储的如图5所示的接收端口存储表600进行更新。此外,在存储部410的容量有限制的情况下,连接控制部414也可以使接收端口存储表600的新的内容优先存储在存储部410中。或者,连接控制部414也可以限制针对每个发送端口所存储的“发送端口-id-接收端口”的分组的数量。
接着,在步骤s2012中,连接控制部414判定发送接收数据的发送端口是与can连接还是与以太网(注册商标)连接。在发送端口与can连接的情况下(步骤s2012:“是”),连接控制部414进行步骤s2014的处理。在发送端口与以太网(注册商标)连接的情况下(步骤s2012:“否”),连接控制部414进行步骤s2016的处理。
在步骤s2014中,连接控制部414将接收数据转换为遵守can协议的数据格式。连接控制部414使用id-mac转换表进行转换。
在步骤s2016中,连接控制部414将接收数据从由步骤s2006决定的发送端口发送。
此外,图1所示的实施方式1的车载网络1000的构成是一示例,只要具备第一车载中继装置100和不正当检测装置140等用于检测不正当的构成即可,但是不限于此。例如,在实施方式1中,第一车载中继装置100的多个端口中与can连接的端口仅是1个端口,但是也可以是多个端口与can连接的构成。或者,也可以是,与制动器ecu等控制系统ecu连接的网络也包含在内,所有网络都由以太网(注册商标)构成。在该情况下,不正当检出数据中也可以记载应变更连接的发送源mac地址,第一车载中继装置构成为基于该mac地址进行端口间的连接变更。
另外,在实施方式1的车载网络1000的构成中,包含车载设备、网络、设备以及车外设备作为构成要素,但是构成要素不限于此。车载网络1000也可以是包含其他车载设备、网络、设备以及车外设备的构成。另外,车载网络1000是具备adasecu130的构成,但是也可以不具备adas功能,而具备与更高级的自动驾驶功能对应的ecu。
另外,第一车载中继装置100也可以使用vlan(virtuallocalareanetwork,虚拟局域网)来进行端口间的连接的变更。
另外,不正当检出数据不仅仅以第一车载中继装置100为目的地,也可以以其他ecu等为目的地来进行发送,也可以利用多播进行发送,也可以利用宽带进行发送。在利用多播或者广播进行发送的情况下,第一车载中继装置100将所接收到的不正当检出数据转送到其他ecu等。
另外,在实施方式1中,自动驾驶功能关闭数据设为由ivi设备124发送,但是也可以由其他ecu、仪表设备或者接口设备发送。
如上述那样的实施方式1的第一车载中继装置100,当接收到不正当检出数据时,通过变更与不正当检出数据对应的端口的连接,能够停止从接收到不正当数据的端口向其他端口转送数据,抑制攻击的扩散。另外同时,第一车载中继装置100通过将接收到不正当数据的端口连接至与数据通信单元等外部连接接口相连的端口或者与诊断设备等外部连接接口相连的端口,能够从外部设备进行固件的升级或者诊断解析。例如,can是总线型网络,从设备输出到can的信号由与can连接的所有设备接收。因此,如实施方式1的第一车载中继装置100那样,在多个端口与can和以太网(注册商标)混杂连接的情况下,停止从接收到不正当数据的端口向其他端口转送数据,对防止攻击的扩散而言是有效的。
另外,第一车载中继装置100从接收到不正当检出数据时起等待预定时间、或者等待直至被通知检测出不正当的车辆的操作者受到了不正当的影响或将作为不正当的原因的自动驾驶功能关闭为止的时间后,切断接收到不正当数据的端口的连接。例如,在与接收到不正当数据的端口连接的ecu是与自动驾驶功能相关联的ecu的情况下,当来自该ecu的数据的中继突然停止时,存在汽车会成为无控制状态的可能性。第一车载中继装置100能够防止发生这样的无控制状态并且减少上述端口的连接切断的延迟。
另外,实施方式1的接收端口存储表通过存储id、接收端口和发送端口的分组,能够针对同一发送端口存储多个信息。另外,从接收到不正当数据时起至接收到不正当检出数据为止的期间内由第一车载中继装置100进行了其他数据的中继的情况下,也能够通过参照接收端口存储表,来确定接收到不正当数据的端口。因此,第一车载中继装置100在不正当检测需要时间的情况以及接收不正当检出数据需要时间的情况下,也能够溯及以往地进行应对。
另外,实施方式1的第一车载中继装置100也可以在步骤s508的端口连接变更处理中考虑搭载第一车载中继装置100的车辆的行驶状态。例如,如图11所示,连接控制部414也可以进行步骤s2118的判定处理来替代步骤s2108。图11是表示实施方式1的第一车载中继装置100的端口连接变更处理的变形例的流程图。在步骤s2118中,连接控制部414在切断接收到所检测出的不正当数据的端口与除此以外的端口的连接之前判定车辆的行驶状态是否是可切断连接的状态、即车辆的行驶状态是允许切断连接还是不允许切断连接。在为可切断连接的状态的情况下(步骤s2118:“是”),连接控制部414进行步骤s2110的处理。在为不可切断连接的状态的情况下(步骤s2118:“否”),连接控制部414返回步骤s2106的处理。
车辆的行驶状态为可切断连接的状态的必要条件的例子为车辆停止、车速为预定速度以下的低速、制动器正在被踩踏、危险提示灯正点亮、驾驶员处于可驾驶的状态、车辆位于退避区等特定的场所。车辆的行驶状态为可切断连接的状态的必要条件也可以包含自动驾驶功能为关闭状态的情况。在满足上述必要条件中的至少1个条件的情况下,连接控制部414也可以判定为车辆的行驶状态为可切断连接的状态。连接控制部414也可以基于车辆的车速传感器、传感器126及摄像头128等检测装置的检测信息、以及制动器ecu132、ivi设备124的导航信息、转向机构ecu134及adasecu130等ecu的输出信息来判定上述各状态的有无。
例如,车辆的停止能够基于车速或者传感器126的检测信息来判断。制动器的踩下能够基于制动器ecu132的输出信息来判断。危险提示灯的点亮能够基于对照明进行控制的ecu的输出信息来判断。驾驶员的状态能够基于对车室内进行拍摄的摄像头的图像、或者对车辆的操作系统的装置进行控制的ecu的输出信息来判断。车辆的场所能够基于ivi设备124的导航信息来判断。
第一车载中继装置100根据车辆的行驶状态,切断接收到所检测出的不正当数据的端口与除此以外的端口的连接。由此,通过切断连接,能够抑制车辆的行驶变得不稳定。
(实施方式2)
对实施方式2的车载中继装置进行说明。作为实施方式2的车载中继装置的第一车载中继装置900与实施方式1的不同之处在于,所有端口均与以太网(注册商标)连接。以下,对于实施方式2,以与实施方式1的不同之处为中心进行说明。
图12是表示具备实施方式2的第一车载中继装置900的车载网络2000的功能性构成的一例的框图。如图12所示,车载网络2000包含第一车载中继装置900、第二车载中继装置120a、120b及906、ivi设备124、传感器126、摄像头128、adasecu130、制动器ecu132、转向机构ecu134、通信单元136、解析i/f138和不正当检测装置920作为构成要素。并且,车载网络2000包含can908、以太网(注册商标)144、146、148、150及904,作为连接上述构成要素间的网络。
实施方式2的第一车载中继装置900具备端口a102、端口b901、端口c106、端口d108以及端口e110这5个端口。
端口a102经由以太网(注册商标)144与第二车载中继装置906连接。第二车载中继装置906与通信单元136连接。并且,第二车载中继装置906经由can908与不正当检测装置920、制动器ecu132、以及转向机构ecu134连接。端口b901经由以太网(注册商标)904与解析i/f138连接。端口c106、端口d108、以及端口e110的连接对象与实施方式1相同。
在针对经由can908接收到的数据检测出不正当的情况下,不正当检测装置920经由can908将包含对被判定为不正当的数据所赋予的id的不正当检出数据通知给第二车载中继装置906,并且经由以太网(注册商标)144发送到第一车载中继装置900。此外,除了不正当检测功能以外,不正当检测装置920还可以具备基于错误帧进行不正当数据的无效化的功能。
对第一车载中继装置900的构成进行说明。图13是表示实施方式2的第一车载中继装置900的功能性构成的一例的框图。如图13所示,第一车载中继装置900具备:端口a102的接收部400及发送部416、端口b901的接收部918及发送部914、端口c106的接收部404及发送部420、端口d108的接收部406及发送部422、端口e110的接收部408及发送部424、存储部910、以及连接控制部916。
接收部400、918、404、406及408、以及发送部416、914、420、422及424是与实施方式1相同的构成。存储部910是与实施方式1的存储部410相同的构成。连接控制部916进行端口间的中继控制及连接控制、接收数据的目的地确认、数据的格式变更、不正当检出数据的接收、自动驾驶功能打开/关闭数据的接收、以及限制解除请求数据的接收等。
接下来,参照图14,对实施方式2的第一车载中继装置900的工作进行说明。此外,图14是表示实施方式2的第一车载中继装置900的处理的一例的流程图。
首先,在步骤s1000中,第一车载中继装置900从端口a102的接收部400、端口b901的接收部918、端口c106的接收部404、端口d108的接收部406、以及端口e110的接收部408中的某一个端口接收数据。
接着,在步骤s1002中,连接控制部916基于接收数据的目的地mac地址,来判定接收数据是否是发给自己、即发给第一车载中继装置900的数据。在并非发给自己的数据的情况下(步骤s1002:“否”),连接控制部916进行步骤s1004的处理。在是发给自己的数据的情况下(步骤s1002:“是”),连接控制部916进行步骤s1006的处理。
在步骤s1004中,连接控制部916进行后述的通常转送处理。
在步骤s1006中,连接控制部916判定接收数据是否是不正当检出数据。在接收数据是不正当检出数据的情况下(步骤s1006:“是”),连接控制部916进行步骤s1008的处理。在接收数据不是不正当检出数据的情况下(步骤s1006:“否”),连接控制部916进行步骤s1010的处理。
在步骤s1008中,连接控制部916进行用于设定下述条件的后述的中继可否判定条件设定处理,上述条件用于判定可否针对mac地址进行数据的中继。
在步骤s1010中,连接控制部916判定接收数据是否是用于请求解除针对预定的mac地址进行中继切断这一限制的限制解除请求数据。在接收数据是限制解除请求数据的情况下(步骤s1010:“是”),连接控制部916进行步骤s1012的处理。在接收数据不是限制解除请求数据的情况下(步骤s1010:“否”),连接控制部916进行步骤s1014的处理。
在步骤s1012中,连接控制部916针对由限制解除请求数据指定的mac地址,使用于判定数据可否进行中继的条件即中继可否判定条件复位。
在步骤s1014中,连接控制部916判定接收数据是否是自动驾驶功能关闭数据。在接收数据是自动驾驶功能关闭数据的情况下(步骤s1014:“是”),连接控制部916进行步骤s1016的处理。在接收数据不是自动驾驶功能关闭数据的情况下(步骤s1014:“否”),连接控制部916进行步骤s1018的处理。
在步骤s1016中,连接控制部916将自动驾驶功能为关闭状态这一情况通知给连接控制部916的内部。
在步骤s1018中,由于接收数据是通常的控制包,所以连接控制部916进行与接收数据的控制内容相对应的处理。
接下来,参照图15,对步骤s1008的中继可否判定条件设定处理的详细情况进行说明。图15是表示实施方式2的第一车载中继装置900的中继可否判定条件设定处理的一例的流程图。
首先,在步骤s2302中,连接控制部916基于不正当检出数据所包含的id来确定所检测出的不正当数据的发送源的mac地址。具体而言,连接控制部916使用存储部910中所存储的接收mac地址存储表,来确定所检测出的不正当数据的发送源的mac地址。在接收mac地址存储表中,将数据的id、接收mac地址和发送端口相关联。接收mac地址是发送该数据的发送源的mac地址。发送端口是该数据从第一车载中继装置100发送的端口。接收mac地址存储表表示各种id的数据从发送源向发送目的地即发送端口的流动。接收mac地址存储表由连接控制部916记录。
在此,图16是表示实施方式2的第一车载中继装置900的存储部910中所存储的接收mac地址存储表的一例。如图16所示,接收mac地址存储表1100是列举了接收数据所包含的id、接收数据的发送源的mac地址(接收mac地址)和发送接收数据的端口(发送端口)的分组的表。例如,在不正当检出数据所包含的id是“0x1a”的情况下,在接收mac地址存储表1100中,能够确定id是“0x1a”的mac地址是“mac地址c”。也就是说,能够确定所检测出的不正当数据的发送源的mac地址是“mac地址c”。此外,在本实施方式中,接收mac地址存储表存储在存储部910所具有的非易失性区域中,但是也可以存储在存储部910所具有的易失性区域中。
返回图15,接着,在步骤s2304中,连接控制部916在确定了不正当数据的发送源的mac地址之后,以使将该mac地址设为目的地或发送源的数据的中继成为不能进行、即将其切断的方式设定中继可否判定条件。能够针对多个mac地址设定多个中继可否判定条件,连接控制部916将所设定的中继可否判定条件保存在存储部910中。
接着,在步骤s2306中,连接控制部916判定是否接收到自动驾驶功能关闭数据。在判定的结果是接收到自动驾驶功能关闭数据的情况下(步骤s2306:“是”),连接控制部916进行步骤s2308的处理。在判定的结果是未接收到自动驾驶功能关闭数据的情况下(步骤s2306:“否”),连接控制部916返回步骤s2306的处理。
在步骤s2308中,连接控制部916根据数据的目的地的mac地址以及发送源的mac地址,来变更中继可否判定条件。具体而言,在数据的目的地的mac地址或者发送源的mac地址是通信单元136或者解析i/f138的mac地址的情况下,即使该数据是不正当数据,连接控制部916也以对该mac地址进行中继的方式设定中继可否判定条件。
如上所述,在检测出不正当的情况下,第一车载中继装置900通过不对与所检测出的不正当数据的发送源的mac地址相关的数据进行中继,来抑制所检测出的不正当化的车载设备对其他设备的影响。并且,第一车载中继装置900在考虑将自动驾驶功能设为关闭状态来确保安全的状态下,能够使不正当数据对通信单元136及/或解析i/f138进行访问,从而能够进行不正当解析以及升级。由此,能够对不正当ecu等车载设备进行解析,并根据需要进行固件的升级,将其修复为正常状态。另外,在修复为正常状态完成之后,通过将限制解除请求数据经由解析i/f138发送到第一车载中继装置900,第一车载中继装置900使因接收到不正当检出数据而被设定的中继可否判定条件复位,能够恢复到检测出不正当之前的状态。此外,在本实施方式中,对限制解除请求数据从解析i/f138发送的情况进行了说明,但是限制解除请求数据也可以通过其他路径来发送。
接下来,参照图17,对图14中的步骤s1004的通常转送处理的详细情况进行说明。图17是表示实施方式2的第一车载中继装置900的通常转送处理的一例的流程图。
首先,在步骤s2202中,连接控制部916使用接收数据的报头所包含的目的地mac地址,使用存储部910中所存储的如图10所示的mac地址转换表800来决定发送接收数据的端口。
接着,在步骤s2204中,连接控制部916判定目的地mac地址是否是事先设定的将可中继的mac地址列表化而得到的白名单中所列出的mac地址。在目的地mac地址在白名单中被列出的情况下(步骤s2204:“是”),连接控制部916进行步骤s2208的处理。在目的地mac地址在白名单中未被列出的情况下(步骤s2204:“否”),连接控制部916进行步骤s2206的处理。此外,白名单是将可中继的发送源mac地址以及目的地mac地址列表化而得到的,被预先设定并存储在存储部910中。连接控制部916也可以不管白名单中所列出的mac地址的数据是否包含不正当,都对该数据进行中继。白名单的例子是以通信单元136作为发送源或/及目的地的mac地址、以及以解析i/f138作为发送源或/及目的地的mac地址等。白名单例如也可以被预先设定,在第一车载中继装置900或者具备第一车载中继装置900的装置或系统出厂时或者搭载于汽车时等被写入存储部910。
在步骤s2206中,连接控制部916判定目的地mac地址是否与不正当数据的发送源的mac地址一致。在一致的情况下(步骤s2206:“是”),连接控制部916使处理结束。在不一致的情况下(步骤s2206:“否”),连接控制部916进行步骤s2208的处理。
在步骤s2208中,连接控制部916对图16所示的接收mac地址存储表1100进行更新。此外,在存储部910的容量存在限制的情况下,连接控制部916也可以构成为使接收mac地址存储表1100的新的内容优先地存储在存储部910中。或者,连接控制部916也可以限制针对每个发送端口所存储的“发送端口-id-接收mac地址”的分组的数量。
接着,在步骤s2210中,连接控制部916将接收数据从由步骤s2202决定的发送端口进行发送。
在此,连接控制部916在中继可否判定条件的设定以及复位时将中继可否判定条件记录在存储部910中。本实施方式的第一车载中继装置900在变更了中继可否判定条件之后切断电源,然后在重新接通电源时反映电源切断之前的中继可否判定条件。参照图18,对在电源重新接通之后反映第一车载中继装置900的电源切断之前的中继可否判定条件的处理进行说明。图18是表示实施方式2的第一车载中继装置900的电源接通时中继可否判定条件的反映处理的一例的流程图。
首先,在步骤s1700中,将第一车载中继装置900与电源接通。接着,在步骤s1702中,连接控制部916从存储部910读取中继可否判定条件。接着,在步骤s1704中,连接控制部916基于被读取的中继可否判定条件,进行中继可否判定条件的设定,使中继可否判定条件反映电源关闭之前的状态。
如上所述,即使在电源关闭之后电源又重新接通的情况下,第一车载中继装置900也能够使中继可否判定条件恢复到与电源关闭之前相同的状态。由此,即使在随着检测出不正当而变更了中继可否判定条件的设定之后因发动机停止等原因使电源关闭,第一车载中继装置900也不会恢复到初始状态,能够防止不正当数据经由第一车载中继装置900进行中继。
此外,如图12所示的实施方式2的车载网络2000的构成是一例,只要具备第一车载中继装置900和不正当检测装置920等用于检测不正当的构成即可,但是不限于此。例如,也可以是,与制动器ecu等控制系统ecu连接的网络也包含在内,所有网络都由以太网(注册商标)构成。在该情况下,不正当检出数据中也可以记载应变更连接的发送源mac地址,第一车载中继装置构成为基于该mac地址来设定中继可否判定条件。
另外,不正当检出数据不仅仅以第一车载中继装置900为目的地,也可以以其他ecu等为目的地进行发送,也可以利用多播进行发送,还可以利用宽带进行发送。在利用多播或者广播进行发送的情况下,第一车载中继装置900将所接收到的不正当检出数据转送到其他ecu等。
另外,在实施方式2的车载网络2000的构成中,包含车载设备、网络、设备以及车外设备作为构成要素,但是构成要素不限于此。车载网络2000也可以是包含其他车载设备、网络、设备以及车外设备的构成。另外,车载网络2000是具备adasecu130的构成,但是也可以不具备adas功能,而具备与更高级的自动驾驶功能对应的ecu。
如上述那样的实施方式2的第一车载中继装置900,当接收到不正当检出数据时,通过针对与不正当检出数据相对应的不正当数据的发送源的mac地址来变更是否可以中继,能够使与不正当数据的发送源的mac地址之间的数据转送停止,抑制由发送了不正当数据的ecu等车载设备进行的不正当控制等攻击。并且,第一车载中继装置900能够通过中继可否变更来抑制对其他ecu等车载设备的影响。
另外,实施方式2的接收mac地址存储表通过存储id、接收mac地址和发送端口的分组,能够针对同一发送端口存储多个信息。另外,从接收到不正当数据时起至接收到不正当检出数据为止的期间内由第一车载中继装置900进行了其他数据的中继的情况下,也能够通过参照接收mac地址存储表,来确定不正当数据的mac地址。因此,第一车载中继装置900在不正当检测需要时间的情况以及接收不正当检出数据需要时间的情况下,也能够溯及以往地进行应对。
另外,实施方式2的第一车载中继装置900也可以在步骤s1008的中继可否判定条件设定处理中考虑搭载第一车载中继装置900的车辆的行驶状态。例如,如图19所示,连接控制部916也可以进行步骤s2310的判定处理来替代步骤s2306。图19是表示实施方式2的第一车载中继装置900的中继可否判定条件设定处理的变形例的流程图。在步骤s2310中,连接控制部916在由步骤s2308变更中继可否判定条件之前判定车辆的行驶状态是否是可以变更中继可否判定条件的状态、即车辆的行驶状态是允许变更还是不允许变更。在为可变更状态的情况下(步骤s2310:“是”),连接控制部916进行步骤s2308的处理。在为不可变更状态的情况下(步骤s2310:“否”),连接控制部916返回步骤s2310的处理。车辆的行驶状态为可变更中继可否判定条件的状态的必要条件也可以包含自动驾驶功能为关闭状态。在满足如上述那样的必要条件中的至少1个条件的情况下,连接控制部916也可以判定为车辆的行驶状态为可变更中继可否判定条件的状态。
另外,步骤s2310的处理也可以在步骤s2302与步骤s2304之间进行。在该情况下,连接控制部916在由步骤s2304变更中继可否判定条件之前判定车辆的行驶状态是否是可变更中继可否判定条件的状态,根据该判定结果来变更中继可否判定条件。
如上述那样,第一车载中继装置900根据车辆的行驶状态,以将不正当数据的发送源的数据的中继切断或者变更为能够使不正当数据对通信单元136以及解析i/f138进行访问的方式设定中继可否判定条件。由此,通过切断以及变更数据的中继,能够抑制车辆的行驶变得不稳定。
(实施方式3)
接下来,对实施方式3的车载中继装置进行说明。作为实施方式3的车载中继装置的第一车载中继装置1200与实施方式2的不同之处在于,经由第二车载中继装置与adasecu连接。以下,以与实施方式1以及2的不同之处为中心,对实施方式3进行说明。
图20是表示具备实施方式3的第一车载中继装置1200的车载网络3000的功能性构成的一例的框图。如图20所示,车载网络3000包含第一车载中继装置1200、第二车载中继装置120a、120b、906及1804、ivi设备124、传感器126、摄像头128、adasecu130及1806、制动器ecu132、转向机构ecu134、通信单元136、解析i/f138和不正当切断装置1802作为构成要素。并且,车载网络3000包含can908和以太网(注册商标)144、146、148、150及904作为连接上述构成要素间的网络。
在车载网络3000中,不正当切断装置1802与can908连接,监视can908上的数据。不正当切断装置1802在针对数据检测出不正当时使用错误帧使不正当数据无效化。
adasecu130及1806经由第二车载中继装置1804与第一车载中继装置1200连接。例如,adasecu130具备停车辅助功能,adasecu1806具备巡航控制功能。adasecu130及1806分担adas的功能。
第二车载中继装置1804例如搭载路由器功能,在进行数据中继时对数据的报头所记录的mac地址进行转换。第二车载中继装置1804针对从adasecu130及1806发送的各个数据,将发送源的mac地址从adasecu130的mac地址以及adasecu1806的mac地址转换成第二车载中继装置1804的mac地址。因此,在由第一车载中继装置1200的端口e110接收数据时,该数据的发送源的mac地址是第二车载中继装置1804的mac地址。因此,对于端口e110的接收数据是从adasecu130及1806中的哪一个被发送的数据,无法根据mac地址进行区分。因此,第二车载中继装置1804为了区分从adasecu130及1806发送来的数据,利用数据的报头所记录的ip(internetprotocol,互联网协议)地址。端口b901、端口c106以及端口d108的连接对象与实施方式2相同。
对第一车载中继装置1200的构成进行说明。图21是表示实施方式3的第一车载中继装置1200的功能性构成的一例的框图。如图21所示,第一车载中继装置1200具备:端口a102的接收部400及发送部416、端口b901的接收部918及发送部914、端口c106的接收部404及发送部420、端口d108的接收部406及发送部422、端口e110的接收部408及发送部424、存储部1204、连接控制部1214、以及不正当检测部1216。
接收部400、918、404、406及408、以及发送部416、914、420、422及424是与实施方式2相同的构成。存储部1204是与实施方式1的存储部410相同的构成。连接控制部1214进行端口间的中继控制及连接控制、接收数据的目的地确认、数据的格式变更、不正当检出数据的接收、自动驾驶功能打开/关闭数据的接收、以及限制解除请求数据的接收等。不正当检测部1216对由第一车载中继装置1200进行中继的数据进行监视,基于周期、id、格式以及数据的变化量等检测数据的不正当。
接下来,参照图22,对实施方式3的第一车载中继装置1200的工作进行说明。此外,图22是表示实施方式3的第一车载中继装置1200的处理的一例的流程图。
首先,在步骤s1300中,第一车载中继装置1200从端口a102的接收部400、端口b901的接收部918、端口c106的接收部404、端口d108的接收部406、以及端口e110的接收部408中的某一个端口接收数据。
接着,在步骤s1302中,连接控制部1214基于接收数据的目的地mac地址来判定接收数据是否是发给自己、即发给第一车载中继装置1200的数据。在不是发给自己的数据的情况下(步骤s1302:“否”),连接控制部1214进行步骤s1304的处理。在是发给自己的数据的情况下(步骤s1302:“是”),连接控制部1214进行步骤s1306的处理。
在步骤s1304中,连接控制部1214进行后述的通常转送处理。
在步骤s1306中,连接控制部1214判定接收数据是否是用于请求解除针对预定的ip地址进行中继切断这一限制的限制解除请求数据。在接收数据是限制解除请求数据的情况下(步骤s1306:“是”),连接控制部1214进行步骤s1308的处理。在接收数据不是限制解除请求数据的情况下(步骤s1306:“否”),连接控制部1214进行步骤s1310的处理。
在步骤s1308中,连接控制部1214针对被限制解除请求数据指定的ip地址,使用于判定数据可否进行中继的条件即中继可否判定条件复位。
在步骤s1310中,连接控制部1214判定接收数据是否是自动驾驶功能关闭数据。在接收数据是自动驾驶功能关闭数据的情况下(步骤s1310:“是”),连接控制部1214进行步骤s1312的处理。在接收数据不是自动驾驶功能关闭数据的情况下(步骤s1310:“否”),连接控制部1214进行步骤s1314的处理。
在步骤s1312中,连接控制部1214将自动驾驶功能为关闭状态这一情况通知给连接控制部1214的内部。
在步骤s1314中,由于接收数据是通常的控制包,所以连接控制部1214进行与接收数据的控制内容相对应的处理。
接下来,参照图23,对步骤s1304的通常转送处理的详细情况进行说明。图23是表示实施方式3的第一车载中继装置1200的通常运转处理的一例的流程图。
首先,在步骤s2402中,连接控制部1214使用接收数据的报头所包含的目的地mac地址,使用存储部1204中所存储的如图10所示的mac地址转换表800来决定发送接收数据的端口。
接着,在步骤s2404中,连接控制部1214判定接收数据的报头所包含的目的地ip地址是否是事先设定的将可中继的ip地址列表化而得到的白名单中所列出的ip地址。在目的地ip地址在白名单中被列出的情况下(步骤s2404:“是”),连接控制部1214进行步骤s2408的处理。在目的地ip地址在白名单中未被列出的情况下(步骤s2404:“否”),连接控制部1214进行步骤s2406的处理。此外,白名单是将可中继的发送源ip地址以及目的地ip地址列表化而得到的,被预先设定并存储在存储部1204中。连接控制部1214也可以不管白名单中所列出的ip地址的数据是否包含不正当,都对该数据进行中继。白名单的例子是以通信单元136作为发送源或/及目的地的ip地址、以及以解析i/f138为发送源或/及目的地的ip地址等。
在步骤s2406中,连接控制部1214判定接收数据的报头所包含的目的地ip地址或者发送源ip地址是否与作为中继可否判定条件而在存储部1204中存储的不正当数据的发送源的ip地址中的某一个一致。在一致的情况下(步骤s2406:“是”),连接控制部1214使处理结束。在不一致的情况下(步骤s2406:“否”),连接控制部1214进行步骤s2408的处理。
在步骤s2408中,连接控制部1214对接收ip地址存储表进行更新。在接收ip地址存储表中,将数据的id、接收ip地址和发送端口相关联。接收ip地址是发送了该数据的发送源的ip地址。发送端口是该数据从第一车载中继装置1200被发送的端口。接收ip地址存储表表示各种id的数据从发送源向发送目的地即发送端口的流动。接收ip地址存储表由连接控制部1214记录。
在此,图24表示实施方式3的第一车载中继装置1200的存储部1204中所存储的接收ip地址存储表的一例。如图24所示,接收ip地址存储表1400是列举了接收数据所包含的id、接收数据的发送源的ip地址(接收ip地址)和发送接收数据的端口(发送端口)的分组的表。此外,在存储部1204的容量存在限制的情况下,连接控制部1214也可以构成为使接收ip地址存储表1400的新的内容优先地存储在存储部1204中。或者,连接控制部1214也可以限制针对每个发送端口所存储的“发送端口-id-接收ip地址”的分组的数量。
接着,在步骤s2410中,连接控制部1214将接收数据从由步骤s2402决定的发送端口进行发送。
接下来,参照图25,对第一车载中继装置1200的不正当检测部1216的不正当检测的工作进行说明。图25是表示实施方式3的第一车载中继装置1200的不正当检测处理的一例的流程图。
首先,在步骤s1502中,不正当检测部1216针对接收数据检测不正当。不正当检测部1216向连接控制部1214发送不正当检出数据。
接着,在步骤s1504中,连接控制部1214启动第一车载中继装置1200所具备的未图示的变更等待计时器并开始计时。
接着,在步骤s1506中,连接控制部1214基于不正当检出数据所包含的id来确定发送了不正当数据的发送源ip地址。具体而言,连接控制部1214使用存储部1204中所存储的图24所示的接收ip地址存储表1400,通过对照不正当检出数据所包含的id,来确定发送了不正当数据的发送源ip地址。
接着,在步骤s1508中,连接控制部1214判定变更等待计时器的计时器值是否大于预定值(计时器值>预定值)。在判定的结果是计时器值大于预定值的情况下(步骤s1508:“是”),连接控制部1214进行步骤s1512的处理。在判定的结果是计时器值为预定值以下的情况下(步骤s1508:“否”),连接控制部1214进行步骤s1510的处理。
在步骤s1510中,连接控制部1214判定是否接收到自动驾驶功能关闭数据。在判定的结果是接收到自动驾驶功能关闭数据的情况下(步骤s1510:“是”),连接控制部1214进行步骤s1512的处理。在判定的结果是未接收到自动驾驶功能关闭数据的情况下(步骤s1510:“否”),连接控制部1214返回步骤s1508的处理。
在步骤s1512中,连接控制部1214以使将不正当检出数据的发送源ip地址设为目的地或发送源的数据的中继变成不可以进行即将其切断的方式设定中继可否判定条件。能够针对多个ip地址设定多个中继可否判定条件,连接控制部1214将所设定的中继可否判定条件保存在存储部1204中。
接着,在步骤s1514中,连接控制部1214使变更等待计时器停止,使变更等待计时器的计时器值复位,例如使其为“0”。
此外,在本实施方式中,连接控制部1214使用接收ip地址存储表1400,基于不正当检出数据所包含的id来确定不正当数据的发送源ip地址,但是不限于此。例如,不正当检出数据也可以包含不正当数据的发送源ip地址,连接控制部1214基于不正当检出数据所包含的发送源ip地址来设定中继可否判定条件。
另外,在本实施方式中,连接控制部1214在接收数据是否是发给自己的判定以及接收数据的发送目的地端口的决定中使用mac地址,但是不限于此。例如,第一车载中继装置1200也可以具备路由器功能,使用接收数据的ip地址来决定发送目的地端口。
如上述那样的实施方式3的第一车载中继装置1200,即使在从不正当ecu等车载设备至第一车载中继装置1200的路径中通过路由器等变更mac地址的情况下,也能够确定不正当车载设备。并且,第一车载中继装置1200不会使不正当车载设备以外的收发数据的中继停止,能够仅使不正当车载设备的收发数据作为中继停止的对象。例如,在本实施方式中,第一车载中继装置1200能够将从adasecu130发送的数据与从adasecu1806发送的数据加以区分应对。
另外,由于第一车载中继装置1200具有不正当检测部1216,所以能够不受到来自不正当ecu等车载设备的影响地进行不正当检出数据的收发,从而可靠地实施检测出不正当之后的处理。
另外,实施方式3的第一车载中继装置1200也可以在不正当检测处理中考虑搭载第一车载中继装置1200的车辆的行驶状态。例如,如图26所示,连接控制部1214也可以进行步骤s1516的判定处理来替代步骤s1510。图26是表示实施方式3的第一车载中继装置1200的不正当检测处理的变形例的流程图。在步骤s1516中,连接控制部1214判定在变更中继可否判定条件之前车辆的行驶状态是否是可以变更中继可否判定条件的状态、即车辆的行驶状态是允许变更还是不允许变更。在为可变更状态的情况下(步骤s1516:“是”),连接控制部1214进行步骤s1512的处理。在为不可变更状态的情况下(步骤s1516:“否”),连接控制部1214返回步骤s1508的处理。车辆的行驶状态为可变更中继可否判定条件的状态的必要条件也可以包含自动驾驶功能为关闭状态。在满足如上述那样的必要条件中的至少1个条件的情况下,连接控制部1214也可以判定为车辆的行驶状态为可变更中继可否判定条件的状态。这样,第一车载中继装置1200以根据车辆的行驶状态切断不正当数据的发送源的数据的中继的方式设定中继可否判定条件。由此,能够抑制因切断数据的中继而使车辆的行驶变得不稳定。
(其他变形例)
以上,基于实施方式以及变形例对1个或者多个技术方案的车载中继装置等进行了说明,但是本公开不限定于这些实施方式以及变形例。只要不脱离本公开的要旨,将本领域技术人员想到的各种变形施加于实施方式以及变形例所得到的形态、或者将不同的实施方式以及变形例中的构成要素组合所构建的形态也可以包含在1个或者多个技术方案的范围内。
例如,在实施方式以及变形例中,对第一车载中继装置所具备的端口为5个的情况进行了说明,但是不限于此。第一车载中继装置所具备的端口为两个以上即可。
另外,在实施方式以及变形例中,对与第一车载中继装置连接的网络是can和以太网(注册商标)中的至少1个进行了说明,但是不限于此。与第一车载中继装置连接的网络也可以是most(mediaorientedsystemtransport,多媒体定向系统传输网)、lin(localinterconnectnetwork,局域互联网)、以及flexray等其他网络的标准。另外,第一车载中继装置也可以不经由网络而与车载设备连接。
另外,在实施方式以及变形例中,分别对由端口的连接变更、使用mac地址进行的中继可否判定条件的设定、以及使用ip地址进行的中继可否判定条件的设定构成的第一车载中继装置的三个处理进行了说明,但是第一车载中继装置也可以混合进行三个处理中的至少两个处理。例如,根据作为不正当数据的发送源的车载设备以及连接该车载设备的网络,第一车载中继装置也可以选择进行三个处理。
另外,与实施方式3的第一车载中继装置1200的端口e110连接的第二车载中继装置1804也可以适用于实施方式1、2以及变形例的第一车载中继装置的端口e110。
另外,实施方式1以及变形例的第一车载中继装置100也可以在端口连接变更处理中省略由变更等待计时器进行的计时。在该情况下,在图4以及图11中可以省略的步骤s2102、步骤s2106、以及步骤s2112的处理。另外,实施方式3以及变形例的第一车载中继装置1200也可以在不正当检测处理中省略由变更等待计时器进行的计时。在该情况下,在图25以及图26中也可以省略步骤s1504、步骤s1508、以及步骤s1514的处理。无论在哪种情况下,第一车载中继装置在接收到自动驾驶功能关闭的通知时,或者根据车辆的行驶状态进行端口的连接变更或者中继可否判定条件的设定。
另外,也可以使用实施方式1以及2的不正当检测装置来替代实施方式3的与第一车载中继装置1200的端口a102连接的不正当切断装置1802。同样地,也可以使用不正当切断装置1802来替代实施方式1以及2的不正当检测装置。
此外,在上述实施方式以及变形例中,将本公开的技术作为搭载于汽车的车载网络的安全对策进行了说明,但是本公开的技术的适用范围不限于此。本公开的技术不限于汽车,也可以适用于建筑机械、农业机械、船舶、铁路、飞机等移动装置。
另外,如上所述,本公开的技术既可以通过系统、装置、方法、集成电路、计算机程序或者计算机可读取的记录盘等记录介质来实现,也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。计算机可读取的记录介质例如包含cd-rom等非易失性记录介质。
例如,上述实施方式以及变形例所包含的各处理部典型而言作为集成电路即lsi(largescaleintegration:大规模集成电路)来实现。既可以将它们单独地单芯片化,也可以以包含一部分或者全部的方式单芯片化。
另外,集成电路化不限于lsi,也可以通过专用电路或者通用处理器来实现。也可以利用能够在lsi制造后进行编程的fpga(fieldprogrammablegatearray,现场可编程门阵列)或者能够使lsi内部的电路单元的连接或设定重构的可重构处理器。
此外,在上述实施方式以及变形例中,各构成要素也可以由专用的硬件构成或者通过执行适用于各构成要素的软件程序来实现。各构成要素也可以由cpu等处理器等的程序执行部读取并执行硬盘或者半导体存储器等记录介质中所记录的软件程序来实现。
另外,上述构成要素的一部分或者全部也可以由能够装卸的ic(integratedcircuit,集成电路)卡或者单体模块构成。ic卡或者模块是由微处理器、rom、ram等构成的计算机系统。ic卡或者模块也可以包含上述的lsi或者系统lsi。通过微处理器根据计算机程序进行工作,ic卡或者模块实现其功能。这些ic卡以及模块也可以具有抗篡改性。
本公开的中继方法也可以通过mpu(microprocessingunit,微处理单元)以及cpu等处理器、lsi等电路、ic卡、或者单体模块等来实现。
并且,本公开的技术既可以通过软件程序或者由软件程序构成的数字信号来实现,也可以是记录有程序的非瞬时性的计算机可读取的记录介质。另外,上述程序当然能够经由网络等传输介质流通。
另外,上述中所使用的序数、数量等数字全都是为了具体地说明本公开的技术而例示的,本公开不被例示的数字所限制。另外,构成要素间的连接关系是为了具体地说明本公开的技术而例示的,实现本公开的功能的连接关系不限于此。
另外,框图中的功能框的分割是一示例,也可以使多个功能框作为一个功能框来实现、将一个功能框分割成多个功能框、或者将一部分功能转移到其他功能框中。另外,也可以将具有类似功能的多个功能框的功能由单一的硬件或者软件以并列或者时间分割的方式进行处理。
产业上的可利用性
本公开的技术具有与不正当检测相对应地控制连接的功能,作为安全应对的车载网络等是有用的。另外,本公开的技术也能够应用于产业网络等的用途。
- 还没有人留言评论。精彩留言会获得点赞!