107进行与该数据帧相对应的处理。
[0243]在步骤S4403中判断为车辆的状态不满足MAC赋予事件驱动数据帧接收条件的情况下以及在步骤S4405中MAC为正确的验证没有成功的情况下,EClMlOOb判断为接收到的数据帧是不正常的数据帧而舍弃数据帧(步骤S4407)。因此,E⑶4100b不对由不正常的ECU发送的不正常的数据帧进行处理。
[0244]【4.7实施方式4的效果】
[0245]在实施方式4中,示出了在除了周期性地发送的数据帧之外还存在非周期性地发送的事件驱动数据帧的情况下,通过使事件驱动数据帧内包括作为特定标识符的MAC,能够对是否为正常的事件驱动数据帧进行验证的车载网络系统13。即,在车载网络系统13中,通过发送周期的条件对是否为正常的数据帧进行判别,仅在无法根据发送周期的条件进行判别的情况下通过特定标识符对是否为正常的数据帧进行判别(即验证)。由此,能够防止不满足发送周期的条件的正常的事件驱动数据帧被误检测为不正常的数据帧。另外,在不正常的ECU发送数据帧的情况下,不满足发送周期的条件的可能性高,无法正确地赋予MAC,所以能够通过接受到该数据帧的ECU判定为是不正常的数据帧。另外,关于事件驱动数据帧,也根据车辆的状态切换是否对MAC进行赋予和验证,能够高效地检测不正常的数据帧。
[0246](其他实施方式等)
[0247]如上所述,作为本公开的技术的例示对实施方式I?4进行了说明。然而,本公开的技术不限于此,也能够应用于进行了适当的变更、替换、附加、省略等的实施方式。例如,以下的变形例也包含于本公开的一实施方案中。
[0248](I)在上述实施方式中,示出了发送事件驱动数据帧的ECU对事件驱动数据帧赋予事件驱动识别标志、事件计数、或预定运算的结果值即MAC这一特定标识符,在接收事件驱动数据帧的ECU中对特定标识符进行验证的例子,但特定标识符可以是例示以外的形式的信息。特定标识符的验证是例如,检查数据帧的预定位置上的预定数据长度的数据值是否与固定值或通过预定运算导出的值一致,如果一致则当作验证成功来处理,如果不一致则当作验证失败来处理的处理程序等。此外,在上述实施方式中,示出了接收数据帧的ECU在判断为数据帧是不符合关于发送周期的规则(条件)的事件驱动数据帧后进行特定标识符的验证的例子,但是数据帧中的特定标识符的验证可以在是否符合发送周期的规则的判断之前,或与该判断同时进行。
[0249](2)在上述实施方式中,通过基于消息ID、数据值以及计数值的运算来生成(计算)MAC,但反映数据帧的一部分的内容(即基于一部分的内容)生成MAC即可,可以仅根据数据值生成MAC。另外可以仅根据计数值生成MAC。接收数据帧的E⑶中的MAC的验证方式与发送数据帧的ECU对数据帧赋予MAC的方式相对应即可。另外,在赋予MAC的数据帧中,在数据段内除了数据值和MAC之外,还可以包括一部分或全部的计数值。另外,在上述实施方式中,MAC算出的算法米用了HMAC,但也可以是CBC_MAC(Cipher Block Chaining MessageAuthenticat1n Code:密码块链接信息验证码),CMAC(Cipher_based MAC:基于密文的信息验证码)。另外,对于在MAC计算中所使用的填充(padding),只要是补零、IS010126、PKCS#
1、PKCS#5、PKCS#7等,计算中需要块的数据大小的填充方式即可,可以是任意的。
[0250](3)在上述实施方式中,作为车辆的状态,对行驶中及驻车中这2个状态进行了说明,但也可以对停车中、高速行驶中、低速行驶中、倒车中、发动机停止等各种状态进行区另IJ,并设定各种状态中的作为应该对事件驱动数据帧进行MAC的赋予及验证的条件的车辆的状态。例如,在由不正常的ECU将不正常的数据帧发送到总线上的情况下,与对是不正常的这一情况进行检测的必要性较高的定时相关联地设定作为应进行MAC的赋予及验证的条件的车辆的状态等是有用的。另外,车辆的状态不一定必须基于传动装置4130的状态来判断,也可以通过车辆内的任一 ECU发送包括从任一设备取得的传感器值等的数据帧、另外的ECU接收该数据帧来判断车辆的状态。例如,可以通过在ECU之间收发表示与行驶速度有关的信息等的数据帧,接收到该数据帧的各ECU能够基于该数据帧而将处于高速行驶中等判断为车辆的状态。因此,例如发送表示车辆的状态的数据帧的ECU4100C不一定必须与传动装置4130连接。只要各ECU基于接收到的数据帧同样地对车辆的状态进行判断,当某个ECU在处于需要赋予MAC的车辆的状态下赋予MAC并发送数据帧时,接收侧的ECU就能够基于该车辆的状态对需要进行MAC的验证进行识别并进行验证。
[0251](4)在上述实施方式中,对作为用于识别事件驱动数据帧的特定标识符使用事件驱动识别标志、事件计数、MAC的例子分别进行了说明,但也可以对事件驱动识别标志、事件计数及MAC中的2个以上进行组合而使用。例如,接收到数据帧的E⑶可以在通过事件驱动识别标志判断为是事件驱动数据帧之后,通过MAC对数据帧的正常性进行验证。此外,虽然关于不是事件驱动数据帧的数据帧也可以赋予特定标识符,但没有赋予的必要。
[0252](5)在上述实施方式中,各ECU发送数据帧,但车载网络系统可以包括仅接收数据帧而不发送数据帧的ECU。并且与此相反,车载网络系统可以包括仅发送数据帧而不接收数据帧的ECU。另外,各ECU不一定进行周期性的数据帧的发送,车载网络系统可以包括仅发送事件驱动数据帧的ECU。
[0253](6)在上述实施方式中,例示了ECU与电动车窗开关或电动车窗连接的结构,但ECU不限于与电动车窗开关及电动车窗连接,也可以与其他设备连接,可以进行该设备的控制,或者从该设备取得状态等。
[0254](7)在上述实施方式中,ECU在检测到不正常的数据帧的情况下,舍弃数据帧,但不一定必须舍弃,也可以在检测到不正常的数据帧的情况下例如发送通知检测到不正常的数据帧,另外,可以例如使该发送的数据帧中包括与不正常的数据帧有关的信息。另外,在检测到不正常的数据帧的情况下,例如,可以进行作为运行记录来记录、或将车辆的动作模式变更为进一步提高安全性的状态等的处理。
[0255](8)在上述实施方式中,在事件驱动数据帧的每次发送以及每次接收时使各ECU的相应的发送计数或接收计数增加1(累加),但对这些计数值的运算不限于增加I。对于这些计数值的运算,可以在数据帧的发送侧和接收侧进行同样的计算,只要是使发送计数与接收计数同步的运算即可。例如,将上次的运算结果作为输入值,将基于预先设定的算法确定出的输出值作为运算结果的运算等。即,ECU可以使下次发送的事件驱动数据帧包括如下的值作为特定标识符,该值是作为基于在上次发送时对事件驱动数据帧赋予的计数等特定标识符(即上次的运算结果)进行了预定的运算的结果而得到的值。
[0256](9)上述实施方式所示的数据帧生成规则及周期规则信息为一例,可以设为与例示的值不同的值。另外,数据帧生成规则或周期规则信息可以在各ECU的出厂时设定,也可以在搭载车载网络系统的车体出厂时设定。另外,数据帧生成规则或周期规则信息也可以基于与外部的通信来设定、可以使用各种记录介质等来设定、也可以通过工具类等来设定。
[0257](10)在上述实施方式中,示出了各ECU具有检测不正常的数据帧的功能的例子,但是可以仅使I台以上的特定的ECU具有该功能。例如车载网络系统由与多个总线分别连接的ECU群构成的情况下,可以仅使作为将各总线连接起来的网关的ECU具备检测不正常的数据帧的功能。另外,例如在车载网络系统包括主机(head unit)的情况下,可以仅使主机具备检测不正常的数据帧的功能,该主机是具备设置于汽车的仪表板等而显示供驾驶员目视确认的信息的液晶显示屏(LCD: liquid crystal display)等显示装置、受理驾驶员的操作的输入单元等的一种ECU。另外,车载网络系统可以包括具有上述检测不正常的数据帧的功能,对总线进行监视而在检测到不正常的数据帧的情况下发送表示检测到不正常的数据帧这一情况的数据帧等的I台以上的特定的E⑶。
[0258](11)在上述实施方式中,示出了按每个消息ID而保持有I个MAC的例子,但也可以按每个ECU而保持I个。另外,不需要使所有的ECU保持有相同的MAC密钥。另外,与同一总线连接的各ECU可以保持有共通的MAC密钥。
[0259](12)在上述实施方式中,按每个发送或接收的数据帧的消息ID而保持有I个发送计数或接收计数,但是也可以相对于多个消息ID保持I个。另外,对于在同一总线上传播的所有数据帧,可以使用相同的计数。
[0260](13)上述实施方式中的、不正常数据帧判断部可以安装于被称为CAN控制器的硬件,或者在与CAN控制器连接而工作的微型计算机上工作的固件。另外,MAC密钥保持部、计数保持部、接收数据帧周期保持部、数据帧接收历史记录保持部可以储存于被称为CAN控制器的硬件的寄存器,或者在与CAN控制器连接而工作的微型计算机上工作的固件。
[0261](14)在上述实施方式中,CAN协议中的数据帧以标准ID格式描述,但也可以是扩展ID格式。在扩展ID格式的情况下,由于标准ID格式中的ID位置的基本ID和扩展ID总计29位来表示ID(消息ID),所以将该29位的ID当作上述实施方式中的ID(消息ID)来处理即可。
[0262](15)上述实施方式所示的CAN协议可以是包括TTCAN(Time-Triggered CAN:时间触发CAN)、CANFD(CAN with Flexible Data Rate:具有灵活数据传输率的CAN)等派生协议的具有广义含义的CAN协议。
[0263](16)上述实施方式中的各ECU是包括例如,处理器、存储器等的数字电路、模拟电路、通信电路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等其他硬件构成要素。另外,可以取代通过处理器执行在存储器中存储的控制程序来软件上地实现功能,而通过专用的硬件(数字电路等)实现该功能。
[0264](17)构成上述实施方式中的各装置(ECU等)的构成要素的一部分或全部可以由I个系统LSI(Large Scale Integrat1n:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI,具体地说,是构成为包括微处理器、R0M、RAM等的计算机系统。在所述RAM中记录有计算机程序。通过所述微处理器按照所述计算机程序工作,系统LSI能够实现其功能。另外,构成上述各装置的构成要素的各部分可以各别地单片化,或者包括一部分或全部地单片化。另外,在此,采用了系统LSI,但根据集成度的不同,也会被称作IC、LS1、超大LSI,特大LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器实现。可以利用能够在LSI制造后编程的FPGA(Field Programmable GateArray:现场可编程门阵列)、能够重构LSI内部的电路单元的连接或设定的可重构处理器。此外,如果出现通过半导体技术的进步或派生的其他技术来置换LSI的集成电路化的技术,当然,也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。
[0265](18)构成上述各装置的构成要素的一部分或全部可以由能够相对于各装置拆装的IC卡或单体的模块构成。所述IC卡或所述模块是由微处理器、R0M、RAM等构成的计算机系统。所述IC卡或所述模块可以包括上述的超多功能LSI。通过使微处理器按照计算机程序工作,所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
[0266](19)作为本公开的一个技术方案,可以是上述所示的不正常检测方法。另外,也可以是通过计算机实现该方法的计算机程序,或者由所述计算机程序构成的数字信号。另外,作为本公开的一个技术方案,可以将所述计算机程序或所述数字信号储存于能够由计算机读取的记录介质,例如,软盘、硬盘、CD-R0M、M0、DVD、DVD-R0M、DVD-RAM、m)(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是在这些记录介质中记录的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电气通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等来传送。另外,作为本公开的一个技术方案,可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序工作。另外,通过将所述程序或所述数字信号记录于所述记录媒体而移送,或者将所述程序或所述数字信号经由所述网络等移送,可以通过独立的其他计算机系统实施。
[0267](20)通过对在上述实施方式及上述变形例中所示的各构成要素及功能任意地进行组合而实现的形态也包含于本公开的范围。
[0268]产业上的可利用性
[0269]本公开能够用于在车载网络系统中高效且恰当地对由不正常的E⑶向总线上发送了不正常的消息这一情况进行检测。
[0270]附图标记说明
[0271]10、11、12、13车载网络系统
[0272]100a、100b、2100a、2100b、3100a、3100b、4100a、4100b、4100c 电子控制单元(ECU)
[0273]101数据帧收发部
[0274]102、2102、3102、4102 数据帧生成部
[0275]103、2103、3103、4103数据帧生成规则保持部
[0276]104、2104、3104、4104不正常数据帧判断部
[0277]105,3105,4105接收数据帧周期保持部
[0278]106、2106数据帧接收历史记录保持部
[0279]107数据帧处理部
[0280]108计时器
[0281]109传感器值取得部
[0282]HO电动车窗开关
[0283]120电动车窗
[0284]200 总线
[0285]3110 MAC生成部
[0286]3111 MAC密钥保持部
[0287]3112计数保持部
[0288]4113车辆状态保持部
[0289]4130传动装置
【主权项】
1.一种不正常检测方法,使用于具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中,该不正常检测方法包括: 接收步骤,接收在所述总线上发送的数据帧;和 验证步骤,在所述接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。2.根据权利要求1所述的不正常检测方法, 所述特定标识符是在所述数据帧的数据段内的预定位置配置且反映该数据帧的内容的消息认证码, 在所述验证步骤中,通过基于该数据帧的内容对不符合所述预定规则的所述数据帧中的所述预定位置的数据是否为所述消息认证码进行判别的预定处理步骤,来进行所述验证。3.根据权利要求1所述的不正常检测方法, 所述特定标识符是在所述数据帧的数据段内的预定位置配置的预定值, 在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值是否与所述预定值相同进行判别来进行所述验证。4.根据权利要求1所述的不正常检测方法, 所述特定标识符是在所述数据帧的数据段内的预定位置配置的计数值, 在所述验证步骤中,通过对不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与所述计数值是否相同进行判别来进行所述验证,所述计数值反映了在所述接收步骤中接收到不符合所述预定规则的数据帧的次数。5.根据权利要求1所述的不正常检测方法, 所述接收步骤中的数据帧的接收反复进行, 所述特定标识符是在所述数据帧的数据段内的预定位置配置的、预定运算的结果值, 在所述验证步骤中,通过对在所述接收步骤中接收到的不符合所述预定规则的所述数据帧中的所述预定位置的数据的值与如下的结果值是否相同进行判别来进行所述验证,该结果值是作为基于包括在所述接收步骤中上次接收到的所述特定标识符的数据帧中的该特定标识符来进行了所述预定运算的结果而得到的值。6.根据权利要求1所述的不正常检测方法, 在所述验证步骤中,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下,仅在搭载所述车载网络系统的车辆的状态为预定状态时,进行针对该数据帧中的特定标识符的所述验证, 所述不正常检测方法中,在所述接收步骤中接收到符合所述预定规则的数据帧的情况下将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证成功时将该数据帧检测为正常的数据帧,在所述接收步骤中接收到不符合所述预定规则的数据帧的情况下在所述验证步骤中的针对所述数据帧中的所述特定标识符的所述验证失败时将该数据帧检测为不正常的数据帧。7.—种不正常检测方法,在具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单元的车载网络系统中发送成为不正常检测的对象的数据帧,该不正常检测方法包括: 赋予步骤,在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和 发送步骤,通过所述总线发送包括在所述赋予步骤中赋予的特定标识符且不符合所述预定规则的数据帧。8.根据权利要求7所述的不正常检测方法, 在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置反映该数据帧的内容的消息认证码作为所述特定标识符来进行所述特定标识符的所述赋予。9.根据权利要求7所述的不正常检测方法, 在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置预定值作为所述特定标识符来进行所述特定标识符的所述赋予。10.根据权利要求7所述的不正常检测方法, 在所述赋予步骤中,通过在所述数据帧的数据段内的预定位置配置计数值作为所述特定标识符来进行所述特定标识符的所述赋予,所述计数值反映了在所述发送步骤中发送了不符合所述预定规则的数据帧的次数。11.根据权利要求7所述的不正常检测方法, 针对不符合所述预定规则的数据帧的所述发送步骤中的发送及所述赋予步骤中的特定标识符的赋予反复进行, 在所述赋予步骤中,通过在所述发送步骤中的数据帧的发送时在该数据帧的数据段内的预定位置配置如下的值作为特定标识符来进行所述特定标识符的所述赋予,该值是作为基于对在所述发送步骤中上次发送的不符合所述预定规则的数据帧赋予的特定标识符来进行了预定运算的结果而得到的值。12.根据权利要求7所述的不正常检测方法, 在所述发送步骤中还进行符合所述预定规则的数据帧的发送, 在所述赋予步骤中,在搭载所述车载网络系统的车辆的状态为预定状态的情况下仅在所述发送步骤中发送不符合所述预定规则的数据帧时,向该数据帧中进行特定标识符的所述赋予。13.—种车载网络系统,具备按照CAN协议即控制器局域网络协议而经由总线进行通信的多个电子控制单兀,该车载网络系统具备: 第I电子控制单元,其具有赋予部和发送部,所述赋予部在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符,所述发送部通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧;和 第2电子控制单元,其具有接收部和验证部,所述接收部接收在所述总线上发送的数据帧,所述验证部在由所述接收部接收到不符合所述预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。14.一种电子控制单元,按照CAN协议即控制器局域网络协议而经由总线进行通信,该电子控制单元具备: 赋予部,其在不符合关于发送周期的预定规则的数据帧的发送时,向该数据帧中赋予特定标识符;和 发送部,其通过所述总线发送包括由所述赋予部赋予的特定标识符且不符合所述预定规则的数据帧。15.—种电子控制单元,按照CAN协议即控制器局域网络协议而经由总线进行通信,该电子控制单元具备: 接收部,其接收在所述总线上发送的数据帧;和 验证部,其在由所述接收部接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
【专利摘要】一种使用于具备按照CAN协议而经由总线进行通信的多个电子控制单元的车载网络系统中的不正常检测方法,包括:接收步骤,接收在总线上发送的数据帧;和验证步骤,在接收步骤中接收到不符合关于发送周期的预定规则的数据帧的情况下,对该数据帧中的特定标识符进行验证。
【IPC分类】H04L9/32, B60R16/023
【公开号】CN105594156
【申请号】CN201580001979
【发明人】岸川刚, 松岛秀树, 芳贺智之, 前田学, 海上勇二, 氏家良浩
【申请人】松下电器(美国)知识产权公司
【公开日】2016年5月18日
【申请日】2015年4月21日
【公告号】US20160205194, WO2015170451A1