车载网络系统、电子控制单元及不正常检测方法
【技术领域】
[0001]本公开涉及对由电子控制单元进行通信的车载网络中所发送的不正常(irregularity)帧进行检测的技术。
【背景技术】
[0002]近些年,在机动车中的系统中,配置有许多被称为电子控制单元(E⑶:ElectronicControl Unit)的装置。将这些ECU连接起来的网络被称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在IS011898-l所规定的CAN(Controller AreaNetwork:控制器局域网络)这一标准(参照“非专利文献I”)。
[0003]在CAN中,通信路由2条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点对2条总线施加电压,通过在总线之间产生电位差来发送被称为隐性(recessive)的“I”的值和被称为显性(dominant)的“O”的值。在多个发送节点在完全相同的定时发送隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下,发送被称为出错帧(error frame)的帧。出错帧是通过连续发送6bit的显性来向发送节点和/或其他接收节点通知帧的异常的帧。
[0004]另外,在CAN中不存在指示发送目的地和/或发送源的标识符,发送节点对每一帧加上被称为消息ID的ID而进行发送(也就是说向总线送出信号),各接收节点仅接收预先确定的消息ID(也就是说从总线读取信号)。另外,采用了CSMA/CA(Carrier Sense MultipleAccess/Collis1n Avoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时基于消息ID进行仲裁(调停),优先发送消息ID的值小的帧。
[0005]在车载网络中不正常的节点与总线连接,且不正常的节点以不正常的方式发送了数据帧的情况下,由于在CAN中不存在发送源的标识符,因此接收节点不能检测到发送了不正常的数据帧这一情况。
[0006]于是,以往提出了利用ECU周期性地发送数据帧这一特征,将如从正常的周期脱离的数据帧的发送检测为不正常的数据帧的技术(参照“非专利文献2”)。另外,提出了如下的不正常检测方法:为了表示数据帧被从正规的ECU发送这一状况,使用了消息认证码(MAC:Message Authenticat1n Code)的技术(参照“非专利文献3”)。
[0007]现有技术文献
[0008]非专利文献
[0009]非专利文献1: “CAN Specificat1n 2.0PartA”,[在线],CAN in Automat1n(CiA),[平成 26年11 月 14 日检索],互联网(URL: http://www.can_cia.0rg/fileadmin/cia/specificat1ns/CAN20A.pdf)
[0010]非专利文献2:大塚敏史,石郷岡祐,“既存E⑶旮变更不要^車載LAN向时侵入検知手法(不需要改变现有的ECU的面向车载LAN的入侵检测方法)”,情報処理学会研究報告.組込办亍Λ研究会(信息处理学会研究报告.嵌入式系统研究会),2013-EMB-28(6),p.1-5
[0011]非专利文献3:D.K.Nilsson,U.E.Larson,E.Jonsson,“Efficient In-VehicleDelayed Data Authenticat1n Based on Compound Message Authenticat1n Codes”,Vehicular Technology Conference,2008-Fall,p.1-5
[0012]非专利文献4:RFC2104HMAC:Keyed-Hashingfor Message Authenticat1n
【发明内容】
[0013]发明所要解决的技术问题
[0014]然而,在非专利文献2的技术中,在ECU除了周期性发送数据帧之外,有时还以事件为触发而非周期性地发送数据帧(以下,将非周期性地发送的数据帧称为“事件驱动数据帧”。)的情况下,会将正常的事件驱动数据帧误检测为不正常的数据帧。另外,在对所发送的所有数据帧附加MAC的方法中,MAC的附加及验证所需的处理负荷大。
[0015]于是,本公开提供一种电子控制单元(E⑶),在按照CAN协议等进行通信的车载网络系统中,可高效且恰当地检测在总线上进行了不正常的消息的发送这一情况。另外,本公开提供一种用于高效且恰当地检测不正常的消息的不正常检测方法及具备ECU的车载网络系统。
[0016]用于解决技术问题的技术方案
[0017]为了解决上述问题,本公开的一个技术方案的不正常检测方法,是使用于具备按照CAN(Controller Area Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在所述总线上发送的数据帧;和验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
[0018]另外,本公开的一个技术方案的不正常检测方法,是在具备按照CAN(ControllerArea Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测对象的数据帧的不正常检测方法,包括:赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。
[0019]另外,为了解决上述问题,本公开的一个技术方案的车载网络系统,是具备按照CAN(ControIIer Area Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统,该车载网络系统具备:第I电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在通过所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
[0020]另外,为了解决上述问题,本公开的一个技术方案的电子控制单元(ECU),是按照CAN (Contro I Ier Area Network)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。
[0021]另外,本公开的一个技术方案的电子控制单元(ECU),是按照CAN(ControllerArea Network)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:接收部,其接收在所述总线上发送的数据帧;验证部,其在通过所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
[0022]发明的效果
[0023]根据本公开,在车载网络系统中总线与不正常的节点连接而发送了不正常的数据帧的情况下能够高效且恰当地对其进行检测。
【附图说明】
[0024]图1是示出实施方式I的车载网络系统的整体结构的图。
[0025]图2是示出CAN协议所规定的数据帧的格式的图。
[0026]图3是在实施方式I的车载网络系统中所使用的数据段格式(datafield format)的一例的图。
[0027]图4是实施方式I的ECU的结构图。
[0028]图5是示出实施方式I的数据帧生成规则的一例的图。
[0029]图6是示出实施方式I的周期规则信息的一例的图。
[0030]图7是示出列举了表示实施方式I的数据帧的上次接收时刻的信息的列表的一例的图。
[0031]图8是示出实施方式I的数据帧的收发的流程的图。
[0032]图9是示出实施方式I的数据帧的发送处理的流程图。
[0033]图10是示出实施方式I的数据帧的接收处理的流程图。
[0034]图11是示出实施方式2的车载网络系统的整体结构的图。
[0035]图12是示出在实施方式2的车载网络系统中所使用的数据段格式的一例的图。
[0036]图13是实施方式2的E⑶的结构图。
[0037]图14是示出实施方式2的数据帧生成规则及发送事件计数的一例的图。
[0038]图15是示出列举了表示实施方式2的数据帧的上次接收时刻及接收事件计数的列表的一例的图。
[0039]图16是示出实施方式2的数据帧的发送处理的流程图。
[0040]图17是示出实施方式2的数据帧的接收处理的流程图。
[0041 ]图18是示出实施方式3的车载网络系统的整体结构的图。
[0042]图19是在实施方式3的车载网络系统中所使用的数据段格式的一例的图。
[0043]图20是实施方式3的ECU的结构图。
[0044]图21是示出实施方式3的数据帧生成规则的一例的图。
[0045]图22是示出实施方式3的周期规则信息的一例的图。
[0046]图23是示出实施方式3的数据帧的发送处理的流程图。
[0047]图24是示出实施方式3的数据帧的接收处理的流程图。
[0048]图25是示出实施方式4的车载网络系统的整体结构的图。
[0049]图26是实施方式4的ECU的结构图。
[0050]图27是示出实施方式4的数据帧生成规则的一例的图。
[0051]图28是示出实施方式4的周期规则信息的一例的图。
[0052]图29是示出在实施方式4的车辆状态保持部中保持的车辆的状态的一例的图。
[0053]图30是示出实施方式4的数据帧的发送处理的流程图。
[0054]图31是示出实施方式4的数据帧的接收处理的流程图。
[0055]图32是示出实施方式4的表示车辆的状态的数据帧的发送处理的流程图。
[0056]图33是示出实施方式4的数据帧的接收处理的变形例的流程图。
【具体实施方式】
[0057]本公开的一个技术方案的不正常检测方法是使用于具备按照CAN(Contrc)IlerArea Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在所述总线上发送的数据帧;和验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。在此,关于发送周期的预定规则是预先设定的规则,例如是针对具有同一 ID的数据帧的发送周期(从上次发送时刻到本次发送时刻的时间差)的条件。在不正常检测方法中验证是为了不正常的数据帧的检测而进行的,对于数据帧在验证成功的情况下,该数据帧不被检测为不正常。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不满足预定规则而被误检测为不正常,能够恰当地检测不正常的数据帧(消息)。另外,通过针对不符合预定规则的数据帧的特定标识符的验证而能够检测不正常的消息,因此不需要使所有数据帧包括特定标识符而进行该验证,能够进行高效的不正常的检测。此外,高效的不正常的检测有助于抑制车载网络系统的电能消耗。
[0058]另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置且反映该数据帧的内容的消息认证码,在所述验证步骤中,通过基于该数据帧的内容对不符合所述预定规则的所述数据帧中的所述预定位置的数据是否为所述消息认证码进行判别的预定处理程序,来进行所述验证。由此,对于不了解关于发送周期的预定规则及验证的预定处理程序的不正常的ECU(例如除了作为车载网络系统的正规的结构要素的ECU以外的ECU)而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0059]另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置的预定值,在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值是否与所述预定值相同进行判别来进行所述验证。在此,特定标识符可以由I位或多位构成。由此,能够通过仅与预定值进行比较这一负荷较少的处理步骤来进行用于不正常检测的验证。
[0060]另外,所述特定标识符可以是在所述数据帧的数据段内的预定位置配置的计数值,在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与所述计数值是否相同进行判别来进行所述验证,所述计数值反映了在所述接收步骤中接收到不符合所述预定规则的数据帧的次数。由此,由于特定标识符是能够根据数据帧的收发而变动的计数值,所以对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0061]另外,所述接收步骤中的数据帧的接收可以反复进行,所述特定标识符是在所述数据帧的数据段内的预定位置配置的、预定运算的结果值,在所述验证步骤中,通过对在所述接收步骤中接收到的不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与如下的结果值是否相同进行判别来进行所述验证,该结果值是作为基于包括在所述接收步骤中上次接收到的所述特定标识符的数据帧中的该特定标识符来进行了所述预定运算的结果而得到的值。预定运算是例如,在对不符合关于发送周期的预定规则的(非周期性的)数据帧进行收发的正常的发送侧和接收侧共同进行的运算(函数),基于输入值能够导出输出值(结果值)。如果在发送侧和接收侧分别存储在对上次的非周期性的数据帧进行发送时的特定标识符即预定运算的结果值,则发送侧将以上次的特定标识符为输入的预定运算(函数)的输出值(结果值)设定为下一非周期性的数据帧而进行发送,在接收侧能够对接收到的数据帧中是否包括与以上次的特定标识符为输入的预定运算的结果值相同的值进行验证。由此,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0062]另外,在所述验证步骤中,可以在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下,仅在搭载所述车载网络系统的车辆的状态为预定状态时,进行针对该数据帧中的特定标识符的所述验证,所述不正常检测方法中,在所述接收步骤中接收到符合所述预定规则的数据帧的情况下将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证成功时将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证失败时将该数据帧检测为不正常的数据帧。检测为不正常的数据帧的情况下的处理能够在车载网络系统中预先设定,作为处理可以举出例如,舍弃数据帧(不基于数据帧的内容进行车辆的控制等)、作为运行记录而进行记录、变更车辆的动作模式等。预定状态例如是设想为在不正常的数据帧在总线上传播的情况下应进行检测的必要性比预定状态以外的状态高的状态。由此,例如能够在不正常检测的必要性高时等车辆处于预定状态的情况下高效地进行验证。
[0063]另外,本公开的一个技术方案的不正常检测方法是在具备按照CAN(ControllerArea Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测的对象的数据帧的不正常检测方法,包括:赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。由此,在正规地构成车载网络系统的发送侧的ECU发送包括特定标识符的、不符合预定规则的数据帧,以使得在数据帧的接收侧即使不符合预定规则也能够通过对该数据帧中是否包括特定标识符进行验证来验证是否为不正常的数据帧。因此,通过赋予步骤和发送步骤能够实现恰当的不正常检测。
[0064]另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置反映该数据帧的内容的消息认证码作为所述特定标识符来进行所述特定标识符的所述赋予。由此,对于不了解关于发送周期的预定规则及消息认证码的不正常的ECU(例如除了作为车载网络系统的正规的构成要素的ECU以外的ECU)而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0065]另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置预定值作为所述特定标识符来进行所述特定标识符的所述赋予。由此,在接收数据帧的ECU中仅通过与预定值进行比较这一负荷较少的处理步骤就能够进行用于不正常检测的验证。
[0066]另外,在所述赋予步骤中,可以通过在所述数据帧的数据段内的预定位置配置计数值作为所述特定标识符来进行所述特定标识符的所述赋予,所述计数值反映了在所述发送步骤中发送了不符合所述预定规则的数据帧的次数。由此,特定标识符成为能够根据数据帧的发送而变动的计数值,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0067]另外,针对不符合所述预定规则的数据帧的所述发送步骤中的发送及所述赋予步骤中的特定标识符的赋予可以反复进行,在所述赋予步骤中,通过在所述发送步骤中的数据帧的发送时在该数据帧的数据段内的预定位置配置如下的值作为特定标识符来进行所述特定标识符的所述赋予,该值是作为基于对在所述发送步骤中上次发送的不符合所述预定规则的数据帧赋予的特定标识符来进行了预定运算的结果而得到的值。由此,对于不正常的ECU而言,为使验证成功而发送包括特定标识符的数据帧可能较为困难。
[0068]另外,在所述发送步骤中还可以进行符合所述预定规则的数据帧的发送,在所述赋予步骤中,在搭载所述车载网络系统的车辆的状态为预定状态的情况下仅在所述发送步骤中发送不符合所述预定规则的数据帧时,向该数据帧中进行特定标识符的所述赋予。预定状态例如是设想为在不正常的数据帧在总线上传播的情况下应进行检测的必要性比预定状态以外的状态高的状态。由此,对于接收数据帧的ECU而言,能够仅在例如不正常检测的必要性尚时等预定状态的情况下尚效地进彳丁验证。
[0069]另外,为了解决上述问题,本公开的一技术方案的车载网络系统是具备按照CAN(Controller Area Network)协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统,具备:第I电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在由所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不满足预定规则而被误检测为不正常,能够恰当地检测不正常的数据帧(消息)。
[0070]另外,为了解决上述问题,本公开的一个技术方案的电子控制单元(ECU)是按照CAN (Contro I Ier Area Network)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。由此,在对发送周期不满足条件的数据帧即事件驱动数据帧进行发送的情况下,能够以不被误检测为不正常的方式发送数据帧。[0071 ]另外,本公开的一个技术方案的电子控制单元(E⑶)是按照CAN(Controller AreaNetwork)协议即控制器局域网络协议而经由总线进行通信的电子控制单元,具备:接收部,其接收在所述总线上发送的数据帧;和验证部,其在由所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。由此,在接收到发送周期不满足条件的数据帧即事件驱动数据帧的情况下,虽然不能基于预定规则来判断正常性,但是通过特定标识符的验证,能够判断正常性。因此,能够防止由于不