车载网络系统、电子控制单元以及更新处理方法
【技术领域】
[0001 ] 本公开涉及在电子控制单元进行通信的车载网络中对抗不正常(irregularity)帧的发送的技术。
【背景技术】
[0002]近年来,在汽车中的系统内,配置有许多称为电子控制单元(E⑶:ElectronicControl Unit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISOl 1898-1规定的CAN(ControIIer Area Network:控制器局域网络)这一标准(参照“非专利文献I” )。
[0003]在CAN中,通信路径由两条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(re c e s s i Ve)的“ I”的值和被称为显性(dom i nan t)的“O”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接受到的帧的格式存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性,从而向发送节点和/或其他接收节点通知帧的异常的帧。
[0004]另外,在CAN中不存在指示发送目的地或发送源的识别符,发送节点在每帧中附加被称为消息ID的ID并进行发送(也即是,向总线送出信号),各接收节点仅接收预先确定的消息ID(也即是,从总线读取信号)。另外,采用CSMA/CA(Carrier Sense Multiple Access/Collis1n Avoidance:载波侦听多址访问/冲突避免)方式,在多个节点的同时发送时,进行利用消息ID的仲裁(调停),优先发送消息ID的值小的帧。
[0005]此外,在车载网络中,存在因不正常节点与总线连接,不正常节点不正常地发送帧,从而导致不正常地控制车体的可能性。为了防止这样的不正常帧的发送所导致的控制,一般已知有如下技术:在CAN的数据段中附加消息认证码(MAC:Message Authenticat1nCode)来进行发送(参照“专利文献I” )。
[0006]在先技术文献
[0007]专利文献
[0008]专利文献I:日本特开2013-98719号公报
[0009]非专利文献
[0010]非专利文献1:CAN Specificat1n 2.0part A, [online] ,CAN in Automat1n(CiA),[2014年11 月 14 日检索],互联网(URL:http: //www.can-cia.0rg/f ileadmin/cia/specificat1ns/CAN20A.pdf)
[0011 ]非专利文献2:RFC2104HMAC:Keyed_Hashing for Message Authenticat1n
【发明内容】
[0012]发明要解决的问题
[0013]然而,由于能够保存在CAN的数据段中的MAC的数据长度不能说足够长,所以会担心与总线连接的不正常节点对MAC的暴力攻击等。
[0014]因此,本公开提供一种车载网络系统,其用于提高对于与总线连接的不正常节点对MAC的暴力攻击的抗攻击性。另外,本公开提供一种在该车载网络系统中使用的电子控制单元(ECU)、以及为了提高对于不正常节点对MAC的暴力攻击的抗攻击性而进行与被利用于生成MAC的数据(MAC密钥(key)等)的更新有关的更新处理的更新处理方法。
[0015]用于解决问题的技术方案
[0016]为了解决上述问题,本公开的一个技术方案涉及的更新处理方法是用于在车载网络系统中更新消息认证码密钥即MAC密钥的更新处理方法,所述车载网络系统具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述MAC密钥被利用于生成所述消息认证码,所述更新处理方法包括:检测步骤,检测搭载所述车载网络系统的车辆的状态;和更新步骤,将在所述检测步骤中检测到的车辆的状态为预定状态这一情况作为条件,更新被利用于生成所述消息认证码的MAC密钥。
[0017]另外,为了解决上述问题,本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其生成消息认证码,并附加到以预定消息ID识别的数据帧而进行发送;和第二电子控制单元,其生成消息认证码,接收以所述预定消息ID识别的数据帧,并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别具有:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述车载网络系统的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
[0018]另外,为了解决上述问题,本公开的一个技术方案涉及的电子控制单元(ECU)是为了按照CAN协议即控制器局域网络协议经由总线对数据帧附加消息认证码即MAC来进行发送、或者为了按照CAN协议即控制器局域网络协议经由总线接收数据帧并对在该数据帧中附加有消息认证码这一情况进行验证,生成消息认证码的电子控制单元,所述电子控制单元具备:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述电子控制单元的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。
[0019]发明的效果
[0020]根据本公开,在遵循CAN协议进行通信的网络通信系统中,能够提高对于与总线连接的不正常节点的攻击的抗攻击性。
【附图说明】
[0021]图1是表示实施方式I涉及的车载网络系统的整体构成的图。
[0022]图2是表示由CAN协议规定的数据帧的格式的图。
[0023]图3是实施方式I涉及的ECU的构成图。
[0〇24]图4是表不接收ID列表的一例的图。
[0025]图5是表示判定规则的一例的图。
[0026]图6是表示从与发动机连接的ECU发送来的数据帧中的ID和数据段的一例的图。
[0027]图7是表示从与制动器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
[0028]图8是表示从与门开闭传感器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
[0029]图9是表示从与窗开闭传感器连接的ECU发送来的数据帧中的ID和数据段的一例的图。
[0030]图10是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图11)。
[0031]图11是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图10)。
[0032]图12是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图13)。
[0033]图13是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图12)。
[0034]图14是表示实施方式2涉及的车载网络系统的整体构成的图。
[0035]图15是实施方式2涉及的E⑶的构成图。
[0036]图16是表示判定规则的一例的图。
[0037]图17是网关(gateway)的构成图。
[0038]图18是表不传输规则的一例的图。
[0039]图19是表示利用网关的更新开始帧发送处理的一例的流程图。
[0040]图20是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图21)。
[0041]图21是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图20)。
[0042]图22是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(后接图23)。
[0043]图23是表示ECU的更新处理和该更新处理的开始判断涉及的处理的一例的流程图(前接图22)。
[0044]标号说明
[0045]10,20车载网络系统
[0046]101、2401帧收发部
[0047]102、2402帧解释部
[0048]103、2403接收 ID判断部
[0049]104、2404接收ID列表保持部
[0050]105、2105、2405 帧处理部
[0051 ] 106,2406车辆状态保持部
[0052]107、2107、2407 判定规则保持部
[0053]108定时器
[0054]109、2109、2409 更新判定部
[0055]110、2410更新处理部
[0056]11U2411MAC 密钥保持部
[0057]112,2412计数保持部
[0058]113、2413MAC 生成部
[0059]114,2414帧生成部
[0060]115数据取得部
[0061]200、2200a、2200b 总线
[0062]310发动机
[0063]320制动器
[0064]330门开闭传感器
[0065]340窗开闭传感器
[0066]2116、2416区域类别保持部
[0067]2400网关
[0068]2417传输处理部
[0069]2418传输规则保持部
[0070]2419更新处理定时器
【具体实施方式】
[0071]本公开的一个技术方案涉及的更新处理方法是用于在车载网络系统中更新消息认证码密钥即MAC密钥的更新处理方法,所述车载网络系统具备多个电子控制单元,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述MAC密钥被利用于生成所述消息认证码,所述更新处理方法包括:检测步骤,检测搭载所述车载网络系统的车辆的状态;和更新步骤,将在所述检测步骤中检测到的车辆的状态为预定状态这一情况作为条件,更新被利用于生成所述消息认证码的MAC密钥。由于车辆的状态与电子控制单元(ECU)的处理负荷或总线的通信量具有某种程度的关联性,所以,例如通过在适于更新MAC密钥的车辆的状态下进行更新,能够在ECU间进行同步的更新。由于能够恰当地进行用于生成MAC的MAC密钥的更新,所以对于不正常节点对MAC的暴力攻击的抗攻击性变高。
[0072]另外,也可以是,所述多个电子控制单元中的发送以预定消息ID识别的数据帧的第一电子控制单元,以反映对发送次数进行计数的发送计数器的值的方式使用所述MAC密钥生成消息认证码并附加到所述数据帧,所述多个电子控制单元中的接收以所述预定消息ID识别的数据帧的第二电子控制单元,以反映对接收次数进行计数的接收计数器的值方式使用所述MAC密钥生成消息认证码并对在所述数据帧中附加有该消息认证码这一情况进行验证,所述更新处理方法还包括:复位步骤,将在所述检测步骤中检测到的车辆的状态为所述预定状态这一情况作为条件,将所述发送计数器和所述接收计数器复位。由此,由于用于生成MAC的计数值(发送计数器、接收计数器)被复位,所以,对于不正常节点对MAC的暴力攻击的抗攻击性变高。
[0073]另外,也可以是,所述车载网络系统具备多条总线,在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线对应地确定。由此,能够与适合于连接有ECU的总线的车辆的状态对应地执行MAC密钥的更新。
[0074]另外,也可以是,所述车载网络系统具备多条总线,所述多条总线分别属于多个种类的组中的某一个组,在所述更新步骤中,通过所述多个电子控制单元中的一个以上电子控制单元的各个电子控制单元,对该电子控制单元保持并利用的MAC密钥进行所述更新,成为所述更新的条件的所述预定状态与连接有该电子控制单元的总线所属的组对应地确定。由此,能够与适合于连接有ECU的总线所属的组的车辆的状态对应地执行MAC密钥的更新。
[0075]另外,也可以是,在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,如果在所述检测步骤中检测到的车辆的状态为所述预定状态,则进行所述MAC密钥的更新。由此,成为空开一定时间而执行MAC密钥的更新。
[0076]另外,也可以是,在所述更新步骤中,在从所述MAC密钥的前一次更新时起计数的预定数量达到一定数量的定时,在所述检测步骤中检测到的车辆的状态不是所述预定状态的情况下,在所述检测步骤中检测到的车辆的状态变化成所述预定状态的定时进行所述MAC密钥的更新。由此,成为当从MAC密钥的前一次更新起超过一定时间时,在车辆的状态成为预定状态后进行更新。
[0077]另外,也可以是,所述预定状态为所述车辆不行驶的状态。另外,也可以是,所述预定状态为驻车状态。由此,能抑制由于MAC密钥的更新而提高例如车辆的行驶期间的ECU的处理负荷。
[0078]另外,也可以是,本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统,所述多个电子控制单元按照CAN协议即控制器局域网络协议经由总线进行附加了消息认证码即MAC的数据帧的授受,所述车载网络系统具备:第一电子控制单元,其生成消息认证码,并附加到以预定消息ID识别的数据帧而进行发送;和第二电子控制单元,其生成消息认证码,接收以所述预定消息ID识别的数据帧,并对在该数据帧中附加有该消息认证码这一情况进行验证,所述第一电子控制单元和所述第二电子控制单元分别具有:MAC密钥保持部,其保持被利用于生成所述消息认证码的MAC密钥;和更新处理部,其将搭载所述车载网络系统的车辆的状态为预定状态这一情况作为条件,更新保持于所述MAC密钥保持部的MAC密钥。由此,由于能在CAN的发送帧(消息)的ECU间恰当地进行MAC密钥的更新,所以对于不正常节点对MAC的暴力攻击的抗攻击性变高,所述MAC密钥是在为了向消息附加或验证而生成MAC时使用的密钥。
[007