通信系统、控制装置和控制方法与流程

本发明涉及一种通信系统、控制装置和控制方法。

背景技术：

近年来，存在一种通信系统，其由设在车辆内的多个控制装置彼此通过车辆内部网络进行通信，用来对车辆内的各种功能进行控制。这种通信系统中有一种公知技术，当网络中产生不正当行为时该技术可用来降低其影响(例如参照日本发明申请公开公报特开2014-11621号(以下记为专利文献1))。

在专利文献1中公开了如下内容：在包含信道和连接在该信道上的多个ecu的can通信系统中，检测出存在的假冒行为，并利用表示存在假冒行为的消息(message)来进行通知。

但是，根据专利文献1时，为了接收存在假冒行为的通知，需发送表示存在假冒行为的消息并对发送的消息进行接收以进行判断。当想用这种方法使各控制装置免受网络中的不正当行为影响时，需重新追加收发表示不正当行为的消息的处理，因而存在连接于网络的装置的处理变得繁杂这一问题。

技术实现要素：

本发明是鉴于上述情况而做出，其目的之一是提供如下一种通信系统、控制装置和通信控制方法：其能通过更为简单的结构使控制装置免受网络中的不正当行为的影响。

为实现上述目的，本发明采用以下实施方式。

(1)本发明的一个实施方式所述的通信系统具有：发信装置，其连接于网络，并且在自装置处于规定的异常状态的情况下向所述网络发送的消息为产生了规定的缺损的消息；收信装置，其连接于所述网络，并且在检测出从所述网络接收到的消息中存在所述规定的缺损的情况下进行规定的故障安全系统(failsafesystem)处理，在所述网络中的不正当行为被检测出的情况下，所述发信装置在生成并发送与所述自装置处于所述规定的异常状态的所述情况相同的产生了规定缺损的消息。

根据上述实施方式(1)，通信系统具有连接于网络的发信装置和收信装置。发信装置在自装置处于规定的异常状态的情况下向所述网络发送的消息产生规定的缺损。在检测出从所述网络接收到的消息中存在所述规定的缺损时，收信装置进行规定的故障安全系统处理。在网络中的不正当行为被检测出时，发信装置也生成并发送与所述自装置处于规定的异常状态时相同的产生了规定的缺损的消息。

(2)在上述实施方式(1)中，作为所述网络中的所述不正当行为，所述发信装置可检测假冒所述自装置的装置连接于所述网络。

(3)在上述实施方式(1)或(2)中，所述发信装置可检测出由其他装置发送了附有表示所述自装置为发信方的识别符的消息，而判定为检测到网络中的所述不正当行为。

(4)在上述实施方式(1)中，作为所述网络中的所述不正当行为，所述发信装置可检测所述网络中的dos攻击。

(5)在上述实施方式(1)中，作为所述网络中的所述不正当行为，所述发信装置可检测对所述网络的不正当访问。

(6)在上述实施方式(1)～(5)的任意一项中，所述发信装置可使用于对所述发送的消息的传输错误进行检测的信息为不同于正当值的值，来将其作为产生了所述规定的缺损的所述消息。

(7)在上述实施方式(1)～(5)的任意一项中，所述发信装置可使表示通过所述发送的消息而被发送的信息已被更新的信息为不同于正当值的值，而作为产生了所述规定的缺损的所述消息。

(8)在上述实施方式(1)～(7)的任意一项中，也可以是：在来自所述发信装置的消息中被检测出所述规定的缺损之后的一定时间的期间，所述收信装置不接收消息。

(9)在上述实施方式(1)～(7)的任意一项中，也可以是：在来自所述发信装置的消息中被检测出所述规定的缺损之后的一定时间的期间，在所述发信装置接收到包含表示与被检测出所述规定的缺损的所述消息的发信方相同的发信方的识别符的消息时，所述收信装置不在所述收信装置的处理中使用接收到的消息中所包含的信息。

(10)本发明的一个实施方式所述的控制装置为如下一种控制装置：其向在从网络的消息中检测到规定的缺损的情况下进行规定的故障安全系统处理的收信装置发送消息，所述控制装置连接于所述网络，并且在自装置处于规定的异常状态的情况下向所述网络发送的消息为产生了规定的缺损的消息，所述控制装置具有控制部，该控制部在被检测出所述网络中的不正当行为的情况下，生成并发送与所述自装置处于所述规定的异常状态的所述情况相同的产生了规定的缺损的消息。

(11)本发明的一个实施方式所述的控制方法是具有发信装置和收信装置的通信系统的控制方法，所述发信装置连接于网络并且在自装置处于规定的异常状态的情况下向所述网络发送的消息为产生了规定的缺损的消息；所述收信装置连接于所述网络并且在检测出从所述网络接收到的消息中存在所述规定的缺损的情况下进行规定的故障安全系统处理，其中包含如下过程：在所述网络中的不正当行为被检测出的情况下，生成并发送与所述自装置处于所述规定的异常状态的所述情况相同的产生了规定的缺损的消息。

根据上述的本发明实施方式，通信系统具有：发信装置，其连接于网络并且在自装置处于规定的异常状态的情况下向所述网络发送的消息为产生了规定的缺损的消息；收信装置，其连接于所述网络并且在检测出从所述网络接收到的消息中存在所述规定的缺损的情况下进行规定的故障安全系统处理，其中，所述发信装置在所述网络中的不正当行为被检测出的情况下，也生成并发送与所述自装置处于所述规定的异常状态的所述情况相同的产生了规定的缺损的消息，因此能通过更为简单的结构使控制装置免受网络中的不正当行为的影响。

附图说明

图1是表示实施方式的车辆通信系统1的结构的图。

图2是表示ecu10的结构例的图。

图3是ecu10向总线2发送的帧f的形式例。

图4是表示ecu10中的信息接收处理概要的流程图。

图5是表示用于检测产生了信息缺损的判定处理的一例的图。

图6是表示检测不出网络nw中的不正当行为时的车辆通信系统的动作的时序图(其1)。

图7是表示检测不出网络nw中的不正当行为时的车辆通信系统的动作的时序图(其2)。

图8是对比较例的车辆通信系统的动作进行例示的图。

图9是表示实施方式的ecu10-1的结构的图。

图10是表示ecu10-1检测不正当行为时所实施的处理概要的流程图。

图11是表示实施假冒行为时的车辆通信系统1的动作的时序图。

图12是表示实施假冒行为时的车辆通信系统1的动作的图。

图13是表示在网络nw中实施dos攻击时的车辆通信系统1a的动作的时序图。

图14是表示实施不正当访问时的车辆通信系统1b的动作的时序图。

具体实施方式

下面，参照附图来说明本发明的通信系统、控制装置和控制方法的实施方式。

(第1实施方式)

图1是表示实施方式的车辆通信系统1(通信系统)的结构的图。

车辆通信系统1例如搭载在车辆上。车辆通信系统1至少在车辆内构成网络nw。网络nw例如经总线2进行基于can(controllerareanetwork：控域网)的通信。

车辆通信系统1具有连接于总线2的ecu10-1～ecu10-3。以下，在不区分ecu10-1～ecu10-3时只记为“ecu10”。总线2例如为双绞电缆，采用差动电压方式传递信号。对ecu10-1～ecu10-3等装置连接于同一总线2上的情况进行说明，也可连接于不同的总线上，该总线可通过未图示的中转装置等相互进行通信。

ecu10例如为控制发动机的发动机ecu、控制安全带的安全带ecu等。ecu10用于接收发送给自装置所属的网络nw的帧。以下，将发送给网络nw的各帧称为帧f。通过各自所附有的识别符(以下称为id)来识别帧f。ecu10这样工作：参照接收到的帧f所附有的id(以下称为收信id)，从接收到的帧f中将用于识别涉及自ecu10的帧f的id(以下称为注册id)预先存储在存储部20(图2)之中，抽取附有与注册id相同值的收信id的帧。另外，ecu10例如以接收到包含与自ecu10的注册id相同值的收信id的帧f为条件，根据预先设定的优先度将帧发送给总线2。

网络nw中设有供验证装置等外部装置连接的dlc3。dlc3具有与外部装置进行通信的连接端子。在车辆点检时等，连接到dlc3的验证装置等与连接于总线2的ecu10进行通信，用以检查、验证车辆通信系统1的状态。除了车辆点检时等，可以不将验证装置等连接于dlc3而使车辆通信系统1发挥作用。

发送给该网络nw的各帧f分别设定有优先度，在车辆通信系统1中进行从优先度较高的帧f开始发送这样的优先度控制。

图2是表示ecu10的结构例的图。ecu10例如具有存储部20、控制部30、can控制器36和can收发器38。控制部30例如具有cpu(centralprocessingunit)等处理器。

存储部20例如通过以下装置实现：rom(readonlymemory)、eeprom(electricallyerasableandprogrammablereadonlymemory)、hdd(harddiskdrive)等非易失性存储装置；ram(randomaccessmemory)、寄存器等易失性存储装置。存储部20用于存储应用程序22、通信控制程序24等程序和上述程序所参照的各种信息。另外，存储部20具有包含信息发送缓冲区(未图示)和信息接收缓冲区(未图示)的暂存区域26。另外，作为各种信息，存储部20例如存储id表，该id表中存储有通过网络nw收发的帧f的id。例如，帧f的id包含表示发信方、收信方、帧f的种类等的信息。更具体地讲，id表包含ecu10-1应接收的帧f的id和应由ecu10-1发送的帧f的id。另外，存储部20中存储有发送给网络nw的帧f的送信计划和优先度信息，其中，优先度信息是表示帧f的优先度的信息。

应用程序22是用于进行分别分配给ecu10的信息处理的程序。通信控制程序24是这样一种程序：根据来自应用程序22的指示来控制can控制器36以实施通信处理，并且用于获取经can控制器36进行通信的通信处理结果以作为管理信息。通信控制程序24可构成为包含can控制器36自身所执行的控制程序，或在can控制器36具有can控制器36自身所执行的控制程序时还可构成为不包含can控制器36自身所执行的控制程序。在以下说明中，例示通信控制程序24构成为包含can控制器36的控制程序的情况。

控制部30具有中央控制部32和通信控制部34。中央控制部32通过执行应用程序22而发挥作用以执行分给ecu10的控制。

通信控制部34通过执行通信控制程序24而发挥作用，接受来自中央控制部32的控制而执行ecu10的通信处理。通信控制部34参照经can收发器38接收到的帧f的收信id和存储在id表中的注册id，判定接收到的帧f是否为包含有自装置的中央控制部32所使用的信息的帧f。存储在id表中的注册id中包含ecu10-1应接收的帧f的id(注册收信id)和应由ecu10-1发送的帧f的id(注册送信id)。在实施上述判定时，通信控制部34例如利用id表中的注册收信id。

帧f包含有自ecu10使用的信息时，通信控制部34获取帧f所包含的信息并存储在存储部20的暂存区域26中。另一方面，帧f不包含自ecu10使用的信息时，通信控制部34例如控制成废弃帧f所包含的信息。

经can收发器38接收到的帧f有时包含来自信息发送侧ecu10的消息。由通信控制部34检测构成帧f的信息的至少一部分、例如包含来自信息发送侧ecu10的消息的部分产生规定的缺损。当检测出产生了上述规定的缺损时，通信控制部34控制成实施ecu10中的故障安全(fail-safe)处理。所谓ecu10中的故障安全系统处理是指检测到异常的ecu10为了降低对车辆的行驶等带来的影响，保持车辆控制状态为安全状态所实施的处理。

作为ecu10中的故障安全系统处理，例如通信控制部34控制成：在检测出规定的缺损之时以后的至少一定时间的期间，至少不接收新的帧f。通信控制部34不接收的帧f也可限定于如下这样的帧f：其附有表示附在检测出产生了上述规定的缺损的帧f上的发信方(信息发送源)的id。如上所述，ecu10经故障安全系统处理来限制接收的帧f，据此能限制接收来自有可能发生了故障的ecu10的信息。而且，通信控制部34作为上述判定条件的规定的缺损的详细情况将在后面叙述。

通信控制部34将来自can收发器38的帧f发送给can控制器36。例如，通信控制部34将附有表示自装置发送帧f的id的帧f(要求帧)发送给总线2，通信控制部34在接收到发送来的要求帧时，将包含有表示自装置发送信息的id的帧f(应答帧)发送给总线2。

can控制器36经can收发器38与总线2之间收发各种帧f。can控制器36向总线2发送帧f时，例如以nrz(non-return-to-zero)方式将存储在暂存区域26的信息发送缓冲区中的帧f转换为串行发送信号并输出给can收发器38。can控制器36针对转换后信号为“0”(显性)的比特位(bit)输出逻辑电平为low的电压，针对“1”(隐性)的比特位输出逻辑电平为high的电压。另外，can控制器36从can收发器38接收帧f时，从can收发器38所提供的接收信号中抽出帧f并将所抽出的帧f存储在暂存区域26的信息接收缓冲区中。can控制器36具有用于执行帧f中的错误检测处理的错误检测处理部(未图示)。在发送帧f时，错误检测处理部生成包含于帧f的一部分而发送的规定的错误检测符号(校验码)。在接收帧f时，错误检测处理部输出包含于帧f的一部分的错误检测信息的检测结果。

can收发器38起到发送帧f的信息发送部或接收帧f的信息接收部的作用。在向总线2发送帧f时，can收发器38生成对应于从can控制器36获取的发送信号的理论状态的差动电压并输出给总线2。另外，在从总线2获取帧f时，can收发器38生成已被整形为包含于总线2的差动电压起在规定的电压范围的接收信号并发送给can控制器36。can控制器36从来自can收发器38的信号中抽出帧f并存储在存储部20中。

如上所示，各ecu10具有关于上述通信处理的同一构成。

图3是ecu10向总线2发送的帧f的形式例。图3(a)表示1次信息发送中被发送的帧f。帧f包含如下部分等：帧头(sof)，其表示帧f的开始；仲裁域(arbitrationfield)，其包含帧f的id以及用于识别帧f和远程帧的远程发送请求(rtr)；控制域(controlfield)，其表示帧f的字节(byte)数等；数据域(datafield)，其为被传送的帧f的实体；crc域，其附加有用于检测帧f的错误的错误检测符号(crc)；ack间隙和ack界定符，两者用于接收来自接收到正确帧f的单元的通知(ack)；帧尾(eof)，其表示帧f的结束。

ecu10将用户数据分配给帧f的数据域内的规定位置以进行通信。除了用户数据以外，数据域内还可包含用于验证用户数据的可信度的管理信息。用于验证可信度的管理信息例如可包含用于检查单个帧f内的用户数据或总结多个帧f的用户数据的错误的错误检查用信息、用于检查数据域的值被更新的更新检查信息等。

图3(b)表示将错误检查用信息分配给数据域的一例。错误检查用信息例如由sum值(checksum)、奇偶性(parity)等错误检查用符号构成。图3(c)表示将用于检查数据域的值被更新的更新检查信息分配给数据域的一例。更新检查信息包含每次发送帧f时会变化的信息。每次发送帧f时会变化的信息可以是表示与帧f的发送次数对应的值的保活计数器(alivecounter)。

根据上述帧f的一例，ecu10可将用于验证用户数据的可信度的管理信息和对应于此的用户数据包含于同一个帧f进行发送，也可分配至多个帧f进行发送。而且，管理信息和用户数据任意分配至数据域，例如可预先确定。在以下说明中，将帧f、分配给帧f的用户数据和用于验证用户数据的可信度的管理信息合称为消息。

参照图4～图7说明车辆通信系统的处理。图4～图7所示的处理表示本实施方式中网络nw中的不实施特别的不正当的行为(也称为不正当行为。)的情况。

图4是表示ecu10中的信息接收处理概要的流程图。通过ecu10中的信息接收处理检测出从网络nw接收的消息有规定的缺损时，通信控制部34依照以下顺序实施规定的故障安全系统处理。

通信控制部34参照在can收发器38所接收到的消息(收信消息)的帧f中附有的收信id来实施对收信消息的过滤处理(s10)。通信控制部34所实施的过滤处理包含如下处理：对照收信id和存储在存储部20中的id表的注册收信id，判定是否为包含自ecu10使用的信息的帧f。当上述id表中包含与收信id相同值的注册收信id时，通信控制部34将附有与注册收信id一致的收信id的帧f作为收信消息而抽出并存储在存储部20的暂存区域26中。

接着，通信控制部34将通过上述s10中的过滤处理而抽出的收信消息作为判定对象而实施判定处理(s11)。上述判定处理的详细情况将在后面叙述。

接着，通信控制部34根据上述s11中的判定结果，判定作为判定对象的收信消息的信息是否有缺损(s12)。若根据上述s12的判定结果判定为信息没有缺损时(s12：no)，在针对作为上述s11的判定处理对象的收信消息的应答处理中，通信控制部34发出正常接收到收信消息(收信正常)的通知(s13)。由中央控制部32实施由上述收信消息所指示事项的处理(s14)。

另一方面，若根据上述s12的判定结果判定为信息有缺损时(s12：yes)，在针对作为上述s11的判定处理对象的收信消息的应答处理中，通信控制部34发出在接收到收信消息时检测出异常(收信异常)的通知(s15)。由中央控制部32实施针对上述收信消息中的信息缺损的故障安全系统处理(s16)。

在以下说明中，作为消息的信息发送侧装置而例示ecu10-1，作为消息的信息接收侧装置而例示ecu10-2而进行说明。

(关于ecu10的异常/故障及其通知方法)

ecu10的异常/故障即使在自装置内没有检测出，也可通过如下所述的基于因异常/故障而产生的消息的缺损的方法来通知其他ecu10。其他ecu10收到该通知而检测通知方ecu10的异常/故障。举一例说明ecu10的异常/故障的种类及其检测结果的通知方法。而且，该例中不在自装置内检测ecu10的异常/故障，但也可以在自装置内检测的基础上采用同样的方法。

(1)作为发信装置的ecu10的硬件故障

ecu10-1的结构为：自装置的硬件出现故障会导致发送的用户数据或错误检查用信息产生信息缺损。即，ecu10-1的硬件出现故障时，被发送的用户数据或错误检查用信息产生信息缺损，即应在用户数据和错误检查用信息之间保持的规则性产生缺损。所谓应在用户数据和错误检查用信息之间保持的规则性，例如是指消息的规定的部分总和值和错误检查用信息所示值相同的规则性。ecu10-1将产生缺损的信息用于自身的异常/故障通知。收到通知的ecu10-2根据针对上述产生信息缺损、规则性缺损的消息的错误检测结果，判定为ecu10-1侧有可能产生了异常、即有可能产生了硬件故障。

(2)作为信息发送设备的ecu10的超负荷状态

例如有时ecu10的处理因网络nw中产生了某种异常状态而呈超负荷状态，ecu10无法发送正常的消息。当ecu10-2的控制部30所实施的处理呈超负荷状态时，例如控制部30无法将作为应答消息而发送的用户数据写入存储部20。其结果，ecu10-2有时无法发送已更新信息的正常的应答消息。例如ecu10将每次发送帧f时会变化的信息、即更新检查信息包含于发送用户数据的帧f而进行发送，但产生上述情况时，表示已更新用户数据的更新检查信息的规则性产生混乱，应保持规则性的更新检查信息的规则性产生缺损。

所谓表示已更新用户数据的更新检查信息的规则性，例如为每次更新用户数据时更新检查信息所示值各加规定值的规则性。ecu10-2将产生缺损的信息用于自身的异常/故障通知。收到通知的ecu10-1检测所收到的消息中的信息缺损、规则性缺损，判定为ecu10-2侧有可能产生了异常、即有可能产生了超负荷状态。

(检测产生了信息缺损的判定处理)

ecu10例如依照图5所示的判定规则实施检测产生了信息缺损的判定处理。图5是表示用于检测产生了信息缺损的判定处理的一例的图。当检测到错误检查用信息异常和更新检查信息异常的至少一方时，ecu10判定为收信消息中存在异常。

例如检测出上述“(1)作为发信装置的ecu10的硬件故障”时，作为上述错误检测处理对象，ecu10-2实施将从ecu10-1接收到的消息的错误检查用信息包含于检查对象的检查。作为消息的错误检查用信息，ecu10-2使从ecu10-1接收到的消息的帧f中的crc、赋予用户数据的sum值、奇偶性等各种错误检查用信息中的至少某个包含于检查对象。

ecu10-2可将这些各种错误检查用信息中的至少某个选作上述错误检测处理对象并实施上述检测，或可组合多个种类的错误检查用信息并实施上述检测。

另外，例如检测出上述“(2)作为信息发送设备的ecu10的超负荷状态”时，ecu10-2发送被赋予每次发送帧f时会变化的信息、即规则性被保持的更新检查信息的帧f。ecu10-1通过检测更新检查信息所示的规则性而能检测出规则性被保持的更新检查信息所示的规则性产生了缺损。ecu10-1也可从应答消息中的更新检查信息的缺损的检测结果来检测ecu10-1的超负荷状态。

而且，ecu10也可这样：对于更新检查信息的异常检测，以在预先确定的期间累计n次以上检测出异常时判定为异常发生的方式，依照异常检测时的保护级数进行检测。像这样，ecu10通过规定保护级数既能防止过度检测异常状态，又能实施检测产生了信息缺损的判定。

(故障安全系统处理)

如上所述，为实施故障安全系统处理，本实施方式中的ecu10自己检测某种异常状态、或接收来自其他ecu10的因信息缺损、规则性缺损而产生的异常的通知而检测该ecu10的异常。检测到发生了某种异常的ecu10或接收到其他ecu10的异常通知的ecu10实施故障安全系统处理，以至少将自身的控制状态保持为安全状态。ecu10中的故障安全系统处理包括各ecu10共通的处理和根据分配给各个ecu10的功能的种类而预先确定的处理。

以下，举例说明各ecu10共通实施的故障安全系统处理。与是否实施网络nw中的不正当行为无关，各ecu10分别实施对应于检测到的信息缺损、规则性缺损的故障安全系统处理。

ecu10-2从由ecu10-1发送来的消息中检测到信息缺损、规则性缺损时，实施遵从在ecu10-2的处理中不使用由ecu10-1发送来的控制信息(用户数据)等这一规则的故障安全系统处理。这样的ecu10-2也可这样：接收到包含上述控制信息的消息时，进行取消接收到上述消息自身的处理或取消包含在所收到的消息中的控制信息等预先规定的处理。

如上所述，ecu10-2在处理中不使用发送来的控制信息等。但是，为实施处理，需要取代上述控制信息的某种信息。ecu10-2也可将处理中不使用的控制信息等置换为用于实施所希望的动作的标准值。此时，ecu10-2例如预先将用于实施所希望的动作的标准值存储在存储部20中，将包含于消息中的控制信息等所示的值置换为上述标准值。ecu10-2通过预先准备标准值作为用于置换控制信息等所示的值的假想值，就能利用上述假想值而保持安全状态并实施规定的处理。

参照图6和图7说明实施上述收信处理的ecu10的动作。图6和图7是表示检测不出网络nw中的不正当行为时的车辆通信系统的动作的时序图。

各ecu10向网络nw发送如下消息，该消息中包含能识别作为收信方的ecu等的id(s101)。例如，图6中例示的由ecu10-1发送的消息的id表示该消息是发送给ecu10-2的消息。

接着，ecu10-2接收由ecu10-1发送的消息(s201)并向网络nw发送对应于收信消息的应答消息(s202)。ecu10-2实施接收到的消息中是否包含表示异常的信息的判定。其判定结果，ecu10-2检测出接收到的消息中没有信息缺损、规则性缺损。这样，ecu10-2至少判定为ecu10-1在正常工作，并且不实施作为ecu10-2自身的处理的故障安全系统处理。

接着，ecu10-1从ecu10-2接收应答消息(s102)。这样，ecu10-1能检测到ecu10-2已正常接收到消息。

如上所述，通过s101～s102的一系列步骤而结束从ecu10-1向ecu10-2的消息发送。而且，通过重复s101～s102的一系列顺序，可重复从ecu10-1向ecu10-2的消息发送。

另外，如图7所示，在ecu10-1处于规定的异常状态的情况下，当ecu10-1向网络nw发送消息时，在该消息中会产生规定的缺损(s111)。

接着，ecu10-2接收由ecu10-1发送的消息(s211)并向网络nw发送对应于收信消息的应答消息(s212)。而且，ecu10-2实施接收到的信息中是否有信息缺损、规则性缺损的判定。其判定结果，ecu10-2检测出接收到的消息中有信息缺损、规则性缺损，并实施作为ecu10-2自身的处理的故障安全系统处理(s213)。

接着，ecu10-1从ecu10-2接收应答消息(s112)。这样，ecu10-1能检测到ecu10-2没能正常接收到消息。

而且，在s213中，在检测出接收到的消息中存在异常、即信息缺损、规则性缺损时，ecu10-2限制检测出异常之后的收信处理。例如，ecu10-2使ecu10-2的处理中不使用从与引起异常的发信方装置的ecu10-1使用同一id的装置(例如不正当地与ecu10-1使用同一id的节点50)接收的数据。例如，ecu10-2废弃接收到的消息，或将接收到的消息所示信息置换为不同于该信息所示值的其他值而实施关于接收到的消息的处理。

接着，参照图8～图12说明实施了网络nw中的不正当行为时的车辆通信系统。

在此例示作为非正规外部装置的节点50连接到dlc3的情形。作为网络nw中的不正当行为，由节点50实施假冒行为、dos攻击、不正当访问等网络nw中的不正当行为，例如节点50在车辆行驶时被激活并实施给车辆通信系统1的处理带来影响的处理。

以下，作为网络nw中的不正当行为而说明实施了假冒行为的情形。

图8例示了在比较例的车辆通信系统的网络nw中实施了假冒行为的情形。图8是对比较例的车辆通信系统的动作进行例示的图。节点50假冒ecu10-1向ecu10-2发送“假冒帧a”。即使ecu10-2接收“假冒帧a”也无法识别其与正常帧f的不同，因而接收因“假冒帧a”而带来的不正当消息。由于ecu10-2以外的其他ecu10也无法检测出假冒ecu10-1的节点50连接在网络nw上，因此比较例的车辆通信系统无法降低因节点50而产生的假冒行为的影响。

对此，本实施方式的车辆通信系统1中的ecu10-1检测出假冒自ecu10-1的节点50连接在网络nw上。

以下说明ecu10-1的详细情况。

图9是表示本实施方式的ecu10-1的结构的图。对于和图2相同的结构标注同于上述标记的标记。附有标记“k－1”的结构对应于图2中附有标记“k”的结构。

ecu10-1具有存储部20-1、控制部30-1、can控制器36和can收发器38。以下对于ecu10-1，以与上述ecu10的不同点为中心进行说明。

存储部20-1用于存储应用程序22、通信控制程序24-1等程序和上述程序所参照的各种信息等。

通信控制程序24-1包含同于通信控制程序24的程序、和用于执行作为网络nw中的不正当行为而实施了假冒行为的检测处理的程序。检测假冒行为的处理的详细情况将在后面叙述。

控制部30-1具有中央控制部32和通信控制部34-1。

通信控制部34-1通过执行通信控制程序24-1而发挥作用，接受来自中央控制部32的控制以执行ecu10-1的通信处理。通信控制部34-1参照由can收发器38接收到的帧f的收信id和id表中的注册送信id，判定是否实施了假冒行为和关于接收到的帧f是否为包含有自装置的中央控制部32所使用的信息的帧f这两者。

图10是表示ecu10-1检测不正当行为时所实施的处理概要的流程图。ecu10-1中的通信控制部34-1依照下述步骤实施规定的处理。

首先，通信控制部34-1实施网络nw中的不正当行为(本实施方式中为假冒行为)的检测处理(s20)。例如通信控制部34-1检测由自ecu10-1以外的其他装置发送了附有表示ecu10-1为发信方的id的消息，来判定为实施了假冒行为这样的网络nw中的不正当行为。

进行上述判定时，通信控制部34-1利用存储在id表中的注册id中的注册送信id。关于接收到的帧f，通信控制部34-1通过判定是否为附有与注册送信id相同值的收信id的帧f，据此来判定是否检测出网络nw中的不正当状况、即判定是否实施了假冒行为(s22)。

通过s22中的判定，若判定为实施了假冒行为(s22：yes)，通信控制部34-1控制成：使其他ecu10来实施针对不正当行为的故障安全系统处理(s26)。

例如，如上所述，即使在通信控制部34-1检测出网络中的不正当行为时，也利用与产生了规定的异常状态时相同的方法，控制成使其他ecu10来实施故障安全系统处理。与产生了规定的异常状态时一样，由通信控制部34-1生成产生了信息缺损、规则性缺损这样的规定的缺损的消息。规定的异常状态例如包含装置出现故障状态、装置的处理呈超负荷状态等。所谓产生了规定的缺损的消息，是指将消息中所包含的所有信息中的至少部分值变更为其他值而使ecu10-2无法判定为是正当消息的消息。ecu10-1以产生规定的缺损的方式变更值的信息中，不包含能向ecu10-2送达消息所需的id等信息。例如，ecu10-1使用于检测错误的信息、表示更新了数据的更新检查信息等信息产生缺损。

示出更为具体的一例。通信控制部34-1将用于对发送的消息的传递错误进行检测而附加的crc、sum值、奇偶性等错误检测符号，作为不同于正当值的值而生成产生了规定的缺损的消息。或者通信控制部34-1将表示包含于消息而被发送的信息已被更新的更新检查信息，作为不同于正当值的值而生成产生了规定的缺损的消息。

通信控制部34-1经can控制器36将上述产生了规定的缺损的消息发送给总线2。这样，通信控制部34-1控制成使作为目标对象而选择的其他ecu10、例如ecu10-2实施故障安全系统处理。

ecu10-2通过接收上述产生了规定的缺损的消息而实施故障安全系统处理。ecu10-2根据接收到产生了规定的缺损的消息而将表示收信错误的应答消息发送给ecu10-1。

接着，通信控制部34-1从ecu10-2接收表示收信错误的应答消息(s27)，检测出在ecu10-2中的收信处理过程中检测出错误的情况，并结束该图所示步骤的处理。

另一方面，通过s22中的判定，判定为没实施假冒行为时(s22：no)，通信控制部34-1针对接收到的帧f实施通常的收信处理(s24)，该通常的收信处理包含判定是否处于需要进行自装置的故障安全系统处理状况的处理。例如，由通信控制部34-1实施上述图4中的s11～s16的处理。通信控制部34-1结束对收信消息的收信处理并结束该图所示步骤的处理。

参照图11和图12来说明车辆通信系统1，该系统1用于实施针对网络nw中的假冒行为的对策。图11是表示实施了假冒行为时的车辆通信系统1的动作的时序图。图12是表示在网络nw中实施了假冒行为时的车辆通信系统1的动作的图。

如图11所示，节点50假冒ecu10-1而成为发信方，将发给ecu10-2的消息发送给网络nw(s521)。由包含上述消息的帧f(以下称为假冒帧a)的id可知，发信方为ecu10-1，收信方为ecu10-2。但是，如上所述，消息的真正发信方为节点50而非ecu10-1。

该消息发送给连接到网络nw的各ecu10。由于假冒帧a的id所示的收信方指定自装置，因此ecu10-2接收该消息(s221)。ecu10-3是假冒帧a的id所示的收信方为与表示自装置的值不同的值，因此不接收该消息(s321)。另外，ecu10-1检测包含上述消息的假冒帧a中附有表示发信方为自装置的值的id，根据检测结果识别为是假冒发信方的消息而接收该消息(s121)。

接着，ecu10-2将对应于节点50所发送的消息的应答消息发送给网络nw(s222)。ecu10-1从ecu10-2接收应答消息(s122)。而且，以下所示的处理可独立于s222和s122的处理而实施，ecu10-1可在s122结束之前实施以下的处理。

接着，ecu10-1通过将s121中所接收到的消息作为对于自ecu10-1而言发信方被假冒的消息而检测，ecu10-1判定为实施了假冒行为这样的网络nw中的不正当行为(s123)。

接着，ecu10-1为使ecu10-2实施故障安全系统处理，而生成与自装置处于规定的异常状态情形同样的产生了规定的缺损的消息，并向ecu10-2发送包含所生成的消息的帧b(s124)。

接着，ecu10-2从ecu10-1接收消息(s224)，并实施所接收的消息中是否存在异常的判定。ecu10-2检测出所接收的消息中有缺损且生成并发送针对该消息的应答消息(s225)。ecu10-2也可将上述应答消息作为要求再次发送的消息而发送。

接着，ecu10-1从ecu10-2接收应答消息(s125)，据此，ecu10-1能检测到ecu10-2未能正常接收到消息。

并且，ecu10-2实施根据其判定结果的作为ecu10-2自身处理的故障安全系统处理(s226)。

根据以上说明的第1实施方式，车辆通信系统1至少具有ecu10-1和ecu10-2。ecu10-1连接于网络nw，在自ecu10-1处于规定的异常状态时，向网络nw发送的消息会产生规定的缺损。ecu10-2连接于网络nw，在检测出从网络nw所接收的消息中有规定的缺损时进行规定的故障安全系统处理。并且，在检测出网络nw中的不正当行为时，ecu10-1也生成并发送与自装置处于规定的异常状态时相同的产生了规定的缺损的消息。据此，车辆通信系统1降低不正当行为对作为不正当行为对象的ecu10的影响，能通过更为简单的结构使ecu10免受网络nw中的不正当行为的影响。

(第2实施方式)

以下说明第2实施方式。在第2实施方式中，说明网络nw中的不正当行为是dos(denialofservice)攻击的情况。

更具体地讲，在第1实施方式中，示出了由车辆通信系统1实施针对节点50所进行的假冒行为的处理的情况，作为其替代，本实施方式的车辆通信系统1a实施针对节点50所进行的dos攻击的不正当行为的处理。以下以该点为中心进行说明。

车辆通信系统1a具有ecu10-1a、ecu10-2和ecu10-3。ecu10-1a对应于第1实施方式的ecu10-1。由ecu10-1检测假冒行为，作为其替代，由ecu10-1a检测dos攻击。ecu10-1a具有存储部20-1a、控制部30-1a、can控制器36和can收发器38。以下对于ecu10-1a，以与上述ecu10-1的不同点为中心进行说明。

存储部20-1a用于存储应用程序22、通信控制程序24-1a等程序和上述程序所参照的各种信息。

通信控制程序24-1a包含同于通信控制程序24的程序、和用于执行对作为网络nw中的不正当行为而实施了dos攻击的检测处理的程序。检测dos攻击的处理的详细情况将在后面叙述。

控制部30-1a具有中央控制部32和通信控制部34-1a。

通信控制部34-1a通过执行通信控制程序24-1a而发挥作用，接受来自中央控制部32的控制以执行ecu10-1a的通信处理。由通信控制部34-1a判定是否实施了针对其他ecu10的dos攻击。

例如参照上述图10说明ecu10-1a的处理。

作为对网络nw中的不正当行为的检测处理(s20)，通信控制部34-1a检测与向其他ecu10发送的消息相对应的应答消息的收信状况。通信控制部34-1a通过判定是否在规定的时间内接收到与向其他ecu10发送的消息相对应的应答消息，来判定是否检测出不正当状况(s22)。在规定的时间内未接收到应答消息时，通信控制部34-1a判定为先发送消息的其他ecu10处于无法回复应答消息的状况，从而判定为有可能在实施针对其他ecu10的dos攻击。通过s22中的判定，判定为有可能在实施作为网络nw中的不正当行为之一的dos攻击(s22：yes)之后，通信控制部34-1a实施与上述通信控制部34-1同样的处理(s26、s27)。

另一方面，通过s22中的判定，在规定的时间内接收到应答消息时(s22：no)，通信控制部34-1a判定为先发送消息的其他ecu10在正常工作而未实施针对其他ecu10的dos攻击，并实施与上述s24的处理相同的处理。

参照图13说明用于实施针对网络nw中的dos攻击的对策的车辆通信系统1a。图13是表示实施dos攻击时的车辆通信系统1a的动作的时序图。而且，在以下说明中，假定节点50向网络nw发送用于对ecu10-2进行dos攻击的帧dos。

如图13所示，ecu10-1a向网络nw发送包含表示作为发送给ecu10-2的消息的id的消息(s131)。

接着，ecu10-2接收ecu10-1a所发送的消息(s231)并想要向网络nw发送对应于收信消息的应答消息(s231)，但是受到由节点50进行的对ecu10-2的dos攻击的影响而陷入无法发送应答的状况(s222)。

因此，ecu10-1a等待来自ecu10-2的应答消息的到达，但是在规定的时间内无法检测到应答消息(s132)。这样，ecu10-1判定为产生节点50对ecu10-2的dos攻击(网络nw中的不正当行为)(s133)。

接着，ecu10-1a为使ecu10-2实施故障安全系统处理而生成与自装置处于规定的异常状态时相同的产生了规定缺损的消息并发送给ecu10-2(s134)。

接着，ecu10-2从ecu10-1a接收消息(s234)并实施所接收的消息中是否有异常的判定。ecu10-2检测出所接收的消息中有缺损且生成并发送对应于该消息的应答消息(s235)。ecu10-2也可将上述应答消息作为要求再次发送的消息而发送。

接着，ecu10-1a从ecu10-2接收应答消息(s135)，这样，ecu10-1a能检测到ecu10-2未能正常接收到消息。

并且，ecu10-2实施根据其判定结果的作为ecu10-2自身处理的故障安全系统处理(s236)。

根据以上说明的第2实施方式，在车辆通信系统1中，ecu10-1a通过检测出已向构成车辆通信系统1的ecu10发送了规定量的消息，来判定已检测出网络nw中的不正当行为。车辆通信系统1从检测出ecu10-2的处理因上述dos攻击而处于停滞状态的ecu10-1a，使ecu10-2实施故障安全系统处理，并能将其控制状态保持为安全状态。

(第3实施方式)

以下说明第3实施方式。在第3实施方式中，说明网络nw中的不正当行为是不正当访问的情况。更具体地讲，在第1实施方式中，示出了由车辆通信系统1实施针对节点50所进行的假冒行为的处理，作为其替代，本实施方式的车辆通信系统1b实施针对节点50对ecu10-1的不正当访问的处理。例如，与向自ecu10发送的正当消息不同的消息发送给ecu10之事被包含在上述不正当访问中。以下以该点为中心进行说明。

车辆通信系统1b具有ecu10-1b、ecu10-2和ecu10-3。ecu10-1b对应于第1实施方式的ecu10-1。ecu10-1检测假冒行为，作为其替代，ecu10-1b检测对自装置的不正当访问。ecu10-1b具有存储部20-1b、控制部30-1b、can控制器36和can收发器38。以下对于ecu10-1b，以与上述ecu10-1的不同点为中心进行说明。

存储部20-1用于存储应用程序22、通信控制程序24-1b等程序和上述程序所参照的各种信息。

通信控制程序24-1b包含同于通信控制程序24的程序、和用于执行对作为网络nw中的不正当行为而实施了不正当访问的检测处理的程序。检测不正当访问的处理的详细情况将在后面叙述。

控制部30-1b具有中央控制部32和通信控制部34-1b。

通信控制部34-1b通过执行通信控制程序24-1b而发挥作用，接受来自中央控制部32的控制以执行ecu10-1b的通信处理。由通信控制部34-1b判定是否对自装置实施了不正当访问。

例如参照上述图10说明ecu10-1b的处理。

作为网络nw中的不正当行为的检测处理(s20)，通信控制部34-1b对比到达的帧f的id和存储在存储部20的id表中的注册收信id，以检测针对自装置的不正当消息的到达。通信控制部34-1b通过检测针对自装置的不正当消息的到达，来判定是否检测出不正当行为(不正当访问)在实施的状况(s22)。通过s22中的判定，判定为有可能在实施作为网络nw中的不正当行为之一的不正当访问(s22：yes)，通信控制部34-1b控制成：由自装置实施针对不正当行为的故障安全系统处理，并使自装置发送消息的收信方的ecu10也实施针对不正当行为的故障安全系统处理(s26)。

例如，通信控制部34-1b在如上所述那样检测出网络中的不正当行为时，也利用同于产生了规定的异常状态时的方法，控制成使自装置发送消息的收信方的ecu10实施故障安全系统处理。

通信控制部34-1b用与上述通信控制部34-1同样的方法，与产生了规定的异常状态时一样，生成产生了信息缺损、规则性缺损这样的规定的缺损的消息。

其后的处理为实施同于上述通信控制部34-1的处理(s27)。

另一方面，通过s22中的判定，未检测出不正当状况时(s22：no)，通信控制部34-1b判定为未实施不正当访问，并实施与上述s24的处理相同的处理。

参照图14说明用于实施针对网络nw中的不正当访问的对策的车辆通信系统1b。图14是表示实施不正当访问时的车辆通信系统1的动作的时序图。

如图14所示，节点50将包含用于尝试向ecu10-1进行不正当访问的消息的帧f发送给网络nw(s541)。根据包含上述消息的帧f的id，至少表示收信方是ecu10-1。

该消息发送给连接到网络nw的各ecu10。ecu10-1由于与帧f的id所示的收信方一致而接收该消息(s141)。由于与帧f的id所示的收信方不同，所以其他ecu10不接收该消息(s241、s341)。

接着，ecu10-1通过将s141中所接收的消息作为对自ecu10-1而言以不正当访问为目的的消息而检测，ecu10-1判定为实施了不正当访问这样的网络nw中的不正当行为(s143)。

接着，ecu10-1为使其他ecu10实施故障安全系统处理，而生成与自装置处于规定的异常状态时同样的产生了规定的缺损的消息，并向例如ecu10-2发送包含所生成的消息的帧(s144)。

接着，ecu10-2从ecu10-1接收消息(s244)，并实施所接收的消息中是否存在异常的判定。ecu10-2检测出所接收的消息中有缺损并实施基于其结果的作为ecu10-2自身处理的故障安全系统处理(s226)。

并且，ecu10-1实施自装置中的故障安全系统处理(s146)。

根据以上说明的第3实施方式，在车辆通信系统1b中，ecu10-1通过检测出与向自ecu10-1发送的正当消息不同的消息被发送给ecu10-1，判定为检测出网络nw中的不正当行为。

而且，假冒行为的检测方法、dos攻击的检测方法、不正当访问的检测方法不限于上例，可采用其他方法。

根据以上说明的至少一个实施方式，通信系统具有发信装置和收信装置。发信装置连接于网络并且在自装置处于规定的异常状态时，向所述网络发送的消息为产生规定的缺损的消息。

收信装置连接于所述网络并且在检测出所述网络所发送的消息中存在所述规定的缺损时进行故障安全系统处理，在检测出所述网络中的不正当行为时，发信装置也生成并发送与所述自装置处于规定的异常状态时相同的产生了规定的缺损的消息。据此，通信系统能够通过更为简单的结构使控制装置免受网络中的不正当行为的影响。

而且，在上述实施方式中，在因信息发送侧ecu10中的故障而产生的缺损的情况和因信息发送侧ecu10检测出不正当行为而产生的缺损的情况中的任一情况下，接收产生了缺损的消息的信息接收侧ecu10均通过图4所示的共通处理来实施故障安全系统处理。据此，车辆通信系统1(1a、1b)无需在ecu10的处理中追加用于实施故障安全系统处理的判断处理，能够通过更为简单的结构来使ecu10免受网络中的不正当行为的影响。

并且，作为收信装置的ecu10通过兼具用于检测异常目的的检测功能，无需作为ecu10之间的通信消息而准备用于通知假冒行为等网络nw中的不正当行为的新的消息。另外，无需在ecu10的处理中追加用于将新的信息用于异常通知的通信处理，ecu10就能传递表示实施了不正当行为的信息。假设在ecu10之间利用新的消息时，需要在ecu10和与ecu10相关的各装置中追加上述通信处理功能。如果ecu10和与ecu10相关的装置的厂商不同时，从车辆通信系统1的设计到验证需要辛苦的劳动，若为本实施方式的车辆通信系统1则无需上述般繁杂的处理就能实施。

本实施方式的车辆通信系统1从以上观点出发也能通过更为简单的结构来使车辆控制装置免受网络中不正当行为的影响。

以上利用实施方式说明了用于实施本发明的方式，但本发明不限于上述实施方式，在不脱离本发明主旨的范围内可对其进行各种变形和替换。