通信装置的制作方法

本发明涉及一种经由通信线进行消息的收发的通信装置。

背景技术：

以往，在车辆搭载有多个ecu(electroniccontrolunit，电子控制单元)，并经由can(controllerareanetwork，控域网)等网络将这些ecu连接。该多个ecu在经由网络交换信息的同时进行各个处理。近年来，存在车辆内的网络的规模变大的倾向，在该情况下，采用将多个小规模的网络连接到网关等中继装置并由中继装置进行网络间的消息中继的结构的情况较多。

在专利文献1中，记载了如下can系统：在can系统的第一节点接收帧失败而成为错误被动状态的情况下，发送再次发送请求帧，第二节点存储对通信线发送的帧，将被请求再次发送的帧再次发送给第一节点，从而实现容错性的提高。

在专利文献2中，记载了如下通信系统，该通信系统的目的在于，构成为，由can控制器对从帧的输入至开始向通信线的发送为止的发送延时进行计测，将与发送延时相关的信息包含在该帧中而进行发送，并且接收到该帧的can控制器根据发送延时而确定应该执行的处理，从而防止帧的接收侧的误动作。

现有技术文献

专利文献

专利文献1：日本特开2014-86812号公报

专利文献2：日本特开2011-103577号公报

非专利文献

非专利文献1：k.koscher,a.czeskis,f.roesner,s.patel,t.kohno,s.checkoway,d.mccoy,b.kantor,d.anderson,h.shacham,ands.savage.experimentalsecurityanalysisofamodernautomobile.inproc.oftheieeesymposiumonsecurityandprivacy,pages447-462,2010.

技术实现要素：

发明要解决的课题

然而，在非专利文献1中，报告了由于将不正当的程序存入到ecu而有可能向车辆内的网络进行不正当的消息发送的情形。由于进行通过不正当的程序实施的不正当的消息发送，在连接于网络的其他ecu中有可能发生误动作等。针对这样的不正当的消息发送，在专利文献1所记载的can系统以及专利文献2所记载的通信系统的情况下，无法成为有效的应对措施。

另外，公知通过存入有不正当的程序的ecu对网络进行大量的消息发送来阻碍其他ecu的通信而使通信系统产生不良状况的攻击、即所谓的dos攻击。在搭载于车辆的通信系统中，近年来，也被指出dos攻击的可能性，而期望应对措施。

本发明是鉴于上述情形而完成的，其目的在于，提供一种能够检测到对网络进行了不正当的消息发送的情形的通信装置。

用于解决课题的技术方案

本发明涉及一种通信装置，包括：通信部，经由通信线收发被附加有优先度的消息；以及仲裁部，在同时进行本装置的消息发送以及其他装置的消息发送的情况下，基于所述优先度来仲裁进行哪一方的消息发送，所述通信装置的特征在于，包括：连续阻碍数存储部，存储由于所述仲裁部的仲裁而消息发送连续地被阻碍的连续阻碍数；允许阻碍数存储部，与所述优先度建立对应地存储有允许消息发送连续地被阻碍的允许阻碍数；以及检测部，针对所述通信部发送或接收的每个消息，基于所述连续阻碍数存储部存储的连续阻碍数以及所述允许阻碍数存储部存储的允许阻碍数，来检测与通信相关的异常。

另外，本发明的通信装置的特征在于，每当所述通信部将要发送消息时，所述检测部判定所述连续阻碍数存储部存储的连续阻碍数是否超过与附加于所述消息的优先度相应地存储在所述允许阻碍数存储部中的允许阻碍数，在判定为所述连续阻碍数超过所述允许阻碍数的时刻下检测到发生了与通信相关的异常。

另外，本发明的通信装置的特征在于，在所述通信部接收到消息的情况下，所述检测部判定所述连续阻碍数存储部存储的连续阻碍数是否超过与附加于所述消息的优先度相应地存储在所述允许阻碍数存储部中的允许阻碍数。

另外，本发明的通信装置的特征在于，还包括：累积比特数存储部，存储在所述通信线上收发的消息的比特数的累积数；以及第二检测部，基于预定时间内的所述累积数来检测与通信相关的异常。

另外，本发明的通信装置的特征在于，还具备控制部，该控制部在所述检测部检测到异常的情况下进行使所述通信线的电位固定的控制。

另外，本发明的通信装置的特征在于，还具备通知部，该通知部在所述检测部检测到异常的情况下，经由在所述通信线之外另行设置的信号线进行向其他装置的通知。

在本发明中，通信装置经由通信线在与其他装置之间收发被附加有优先度的消息。另外，通信装置在同时进行本装置的消息发送与其他装置的消息发送而发生了冲突的情况下，进行基于优先度来仲裁进行哪一方的消息发送的处理。这些处理相当于例如can(controllerareanetwork，控域网)的通信标准中的判决处理。

进行上述处理的本发明的通信装置在由于仲裁处理而被阻碍消息的发送(即，屈服于仲裁而无法发送消息)的情况下，对连续地被阻碍消息发送的次数进行计数来作为连续阻碍数。另外，通信装置以与附加于消息的优先度建立对应的方式将允许阻碍消息发送的连续次数存储为允许阻碍数。通信装置针对发送或接收的每个消息，对于该消息，对连续阻碍数与允许阻碍数进行比较。通信装置在连续阻碍数超过允许阻碍数的情况下，能够检测到对该通信线进行了某种异常的消息发送的情形。

优先度高的消息不易被仲裁处理阻碍发送，优先度低的消息容易被阻碍，因此，针对消息的每个优先度存储允许阻碍数并用于异常的有无的判断，从而能够高精度地检测dos攻击等异常的消息发送。

另外，在本发明中，通信装置每当将要进行消息发送而被仲裁处理阻碍发送时，判定所计数的连续阻碍数是否超过与附加于将要发送的消息的优先度对应的允许阻碍数。由此，即使在消息的发送完成之前，也能够在判定为连续阻碍数超过允许阻碍数的时刻下检测异常。该结构适合于通信系统中包括的各通信装置单独地进行异常检测的处理的情况。

另外，在本发明中，通信装置始终监视在通信线上连续的消息，并作为连续阻碍数进行计数。通信装置在接收到消息的情况下，判定该时刻下的连续阻碍数是否超过与附加于所接收到的消息的优先度相应的允许阻碍数。该结构适合于通信系统中包括的某一个通信装置例如网关等通信装置进行异常检测的处理、而其他通信装置不进行异常检测的处理的情况。

另外，在本发明中，通信装置在上述异常检测的处理之外还进行基于其他方法的异常检测。即，通信装置对在通信线上收发的消息的比特数的累积数进行计数，在预定时间内的累积数超过阈值的情况等之下，检测到对通信线进行了异常的消息发送的情形。该异常检测方法适合于检测在通信线进行大量的不正当的消息发送的dos攻击。

另外，在本发明中，通信装置在检测到异常的情况下，进行使通信线的电位固定的控制。通过该控制，任何通信装置都无法对通信线进行消息发送。因此，即使在存在自身不进行异常检测的处理的通信装置的情况下，也能够识别出由于通信线的电位固定而发生异常的情形，进行错误处理等。

另外，在本发明中，通信装置在检测到异常的情况下，经由在进行消息的收发的通信线之外另行设置的信号线，向其他通信装置通知检测到异常。由此，即使在存在自身不进行异常检测的处理的通信装置的情况下，通过接受经由通知用的信号线的通知，也能够识别出发生异常的情形，进行错误处理等。

发明效果

在本发明的情况下，通过构成为对收发的消息的连续阻碍数与附加于消息的每个优先度的允许阻碍数进行比较而进行异常检测，能够高精度地检测出对网络进行了不正当的消息发送的情形。

附图说明

图1是示出本实施方式的车载通信系统的结构的框图。

图2是示出本实施方式的网关的结构的框图。

图3是示出本实施方式的can控制器的结构的框图。

图4是示出允许阻碍数表格的一个例子的示意图。

图5是示出固定控制部的一个结构例的电路图。

图6是用于说明实施方式1的连续阻碍数计数器的动作的时序图。

图7是示出实施方式1的网关的can控制器进行的连续阻碍数的计数处理的步骤的流程图。

图8是用于说明基于连续阻碍数的异常检测的时序图。

图9是示出实施方式1的网关的can控制器进行的异常检测处理的步骤的流程图。

图10是示出实施方式1的网关的can控制器进行的异常检测处理的步骤的流程图。

图11是示出实施方式1的变形例的车载通信系统的结构的框图。

图12是示出实施方式2的车载通信系统的结构的框图。

图13是用于说明实施方式2的连续阻碍数计数器的动作的时序图。

图14是用于说明实施方式2的基于连续阻碍数的异常检测的时序图。

图15是示出实施方式2的can控制器进行的异常检测处理的步骤的流程图。

具体实施方式

＜实施方式1＞

以下，针对本发明，根据示出其实施方式的附图来具体说明。图1是示出本实施方式的车载通信系统的结构的框图。本实施方式的车载通信系统具备搭载于车辆1的一个网关10以及多个ecu(electroniccontrolunit，电子控制单元)4而构成。在图示的例子中，将6个ecu4搭载于车辆1，将这6个ecu4分成两个组。第一组的三个ecu4连接于第一通信线2，能够经由该通信线2而相互进行消息的收发。同样地，第二组的三个ecu4连接于第二通信线3，能够经由该通信线3而相互进行消息的收发。

两条通信线2、3不直接连接，而分别连接于网关10。网关10是通过取得例如输出到一条通信线2上的消息并将所取得的消息输出到另一条通信线3来进行组间(网络间、通信线间)的消息中继的装置。由此，通过网关10对由连接于第一通信线2的ecu4发送的消息进行中继，并由连接于第二通信线3的ecu4接收。

图2是示出本实施方式的网关10的结构的框图。本实施方式的网关10具备处理部11、两个固定控制部12以及两个can控制器20等而构成。处理部11使用例如cpu(centralprocessingunit，中央处理单元)或mpu(micro-processingunit，微处理单元)等运算处理装置而构成。处理部11通过读取并执行未图示的rom(readonlymemory，只读存储器)等中存储的程序，能够进行与消息的中继相关的各种处理。

两个can控制器20分别连接通信线2或3，经由通信线2或3，在与ecu4之间进行消息的收发。can控制器20通过进行采样而取得ecu4对通信线2或3输出的信号，从而接收消息，并将接收到的消息提供给处理部11。另外，can控制器20通过将从处理部11提供的消息作为信号输出到通信线2或3，从而进行向ecu4的消息发送。

固定控制部12针对每个can控制器20各设置有一个。一组can控制器20以及固定控制部12连接到共同的通信线2或3。固定控制部12通过进行使所连接的通信线2或3的电位固定的控制，使得实质上无法进行向通信线2或3的消息发送。由固定控制部12进行的控制是通过从成组的can控制器20提供的命令来进行的。can控制器20在检测到针对通信线2或3的异常的消息发送的情况下，对固定控制部12提供进行使电位固定的控制的命令。

图3是示出本实施方式的can控制器20的结构的框图。本实施方式的can控制器20具备控制部21、发送部22、接收部23以及存储部24等而构成。控制部21通过控制can控制器20的各部的动作，从而进行用于实现依照can的通信标准的消息的收发的控制处理。控制部21通过将从网关10的处理部11提供的发送用的消息提供给发送部22而进行消息发送。控制部21将从接收部23提供的接收消息提供给处理部11。控制部21在自身的消息发送与其他ecu4的消息发送产生冲突的情况下，进行对优先进行哪一方的消息发送进行仲裁的判决处理。此外，该判决处理由控制部21内的仲裁部21a进行。另外，控制部21对固定控制部12输出控制命令。

发送部22通过将从控制部21作为发送消息而提供的数字数据转换成显性/隐性的二进制的电信号，并针对每1比特向通信线2或3输出，从而进行消息的发送。接收部23通过对通信线2或3的电位进行采样，取得通信线2或3上的电信号作为数字数据，将所取得的数字数据作为接收消息提供给控制部21。此外，接收部23在发送部22进行消息的发送时，也进行通信线2或3的采样，并将作为采样结果的数字数据提供给控制部21。控制部21的仲裁部21a能够通过判定由发送部22发送的数据与此时接收部23接收到的数据是否一致，来检测通信线2或3中与其他ecu4的消息发送的冲突。此外，关于仲裁部21a进行的判决处理，由于是依照can的通信标准的处理，因此省略详细说明。

本实施方式的can控制器20具有对由其他装置进行了对通信线2或3的异常的消息发送的情形进行检测的功能。此外，本实施方式的can控制器20通过以下的两个方法来进行异常的消息发送的检测。

(1)基于连续阻碍数的异常检测

(2)基于累积比特数的异常检测

can控制器20为了实现上述异常检测，具备控制部21内的连续阻碍数计数器21b和比特数计数器21c以及在存储部24中存储的允许阻碍数表格24a。连续阻碍数计数器21b是用于对由于仲裁部21a的判决处理而无法进行消息发送的次数进行计数的计数器，用于上述(1)的异常检测。比特数计数器21c是用于对由通信线2或3收发的消息的累积数进行计数的计数器，用于上述(2)的异常检测。存储部24例如使用掩模rom(readonlymemory，只读存储器)或eeprom(electricallyerasableprogrammablereadonlymemory，电可擦可编程只读存储器)等非易失性的存储器元件而构成，预先存储允许阻碍数表格24a。允许阻碍数表格24a用于上述(1)的异常检测。

图4是示出允许阻碍数表格24a的一个例子的示意图。在允许阻碍数表格24a中，与附加于消息的id建立对应地存储有允许阻碍数。在can的通信标准中附加于消息的id表示该消息的优先度，其数值越小，则优先度越高。允许阻碍数是表示允许通过判决处理连续几次阻碍被附加有该优先度的消息的发送的数值。在图示的例子中，针对最高优先度的0x001，将允许阻碍数设定为1，针对优先度0x002，将允许阻碍数设定为2。允许阻碍数能够通过下式来大概计算。

允许阻碍数＝(最多连续妨碍作为对象的消息的优先度高的消息的次数)+1

另外，本实施方式的can控制器20在进行上述两个异常检测的处理而检测到某种异常的情况下，由控制部21输出针对固定控制部12的命令。由此，固定控制部12进行使通信线2或3的电位固定的控制，禁止针对通信线2或3的消息发送。通过can控制器20以及固定控制部12进行这样的控制，网关10能够对连接于通信线2或3的ecu4通知检测到异常。

图5是示出固定控制部12的一个结构例的电路图。此外，在图5中，图示出连接于通信线2的固定控制部12，但连接到通信线3的固定控制部12也是相同的结构。在can的通信标准中，通信线2使用双股扭绞缆线来构成，因此，实际上包括两根通信线2a、2b。因此，网关10以及ecu4针对通信线2或3进行差动信号的收发。固定控制部12具备串联连接在该两根通信线2a、2b之间的电阻器r以及开关sw。开关sw通常是开路状态。固定控制部12根据从控制部21提供的命令而进行使开关sw闭合的控制。由此，两根通信线2a、2b经由电阻器r连接，因此，两根通信线2a、2b的电位被固定为大致相同电位。由此，连接于通信线2的网关10以及ecu4判断为两根通信线2a、2b间的电位差约为0v，并判定为通信线2上的信号为隐性。

以下，说明本实施方式的网关10的can控制器20进行的异常检测处理的详细内容。

(1)基于连续阻碍数的异常检测

在实施方式1的通信系统中，是由网关10进行异常检测并向ecu4进行通知的结构，各ecu4不进行异常检测的处理。网关10需要对在通信系统中收发的全部消息判定连续阻碍数。因此，在网关10的can控制器20存储于存储部24中的允许阻碍数表格24a中，关于通过所连接的通信线2或3收发的全部消息，存储有优先度和允许阻碍数的对应关系。

网关10的can控制器20每当接收部23接收到消息时，根据连续阻碍数计数器21b的计数值，而取得该消息由于判决处理而被连续地阻碍发送的次数。实施方式1的can控制器20针对所接收的全部消息，需要每当接收到消息时取得连续阻碍数。因此，实施方式1的can控制器20在通信线2或3中多个消息连续的情况下，使连续阻碍数计数器21b进行递增计数，从而进行连续阻碍数的计数。关于两个消息是否连续，例如能够根据第一个消息的最终比特的发送完成定时与第二个消息的最开始比特的发送开始定时之间的时间比预定时间短还是长来判断。

图6是用于说明实施方式1的连续阻碍数计数器21b的动作的时序图。在产生了未将消息发送到通信线2或3的状态的情况下，can控制器20重置连续阻碍数计数器21b。由此，连续阻碍数计数器21b所保持的值成为0。如图所示，在依次连续接收到id为1、3、5、6的消息的情况下，can控制器20首先判断为id为1的消息与id为3的消息连续，对连续阻碍数计数器21b的值加1。由此，连续阻碍数计数器21b所保持的值成为1。接下来，can控制器20判断为id为3的消息与id为5的消息连续，对连续阻碍数计数器21b的值加1。由此，连续阻碍数计数器21b所保持的值成为2。同样地，can控制器20判断为id为5的消息与id为6的消息连续，对连续阻碍数计数器21b的值加1。由此，连续阻碍数计数器21b所保持的值成为3。其后，没有其他消息与id为6的消息连续，成为未将消息发送到通信线2或3的状态，因此，can控制器20重置连续阻碍数计数器21b。

由此，例如在id为3的消息的接收完成的时刻下，连续阻碍数计数器21b的值是1，can控制器20能够取得1来作为该消息的连续阻碍数。另外，例如在id为5的消息的接收完成的时刻下，连续阻碍数计数器21b的值是2，can控制器20能够取得2来作为该消息的连续阻碍数。另外，例如在id为6的消息的接收完成的时刻下，连续阻碍数计数器21b的值是3，can控制器20能够取得3来作为该消息的连续阻碍数。这样，实施方式1的连续阻碍数计数器21b通过对所接收的消息的连续次数进行计数，从而对各消息的连续阻碍数进行计数。

图7是示出实施方式1的网关10的can控制器20进行的连续阻碍数的计数处理的步骤的流程图。实施方式1的网关10的can控制器20的控制部21根据接收部23对通信线2或3的采样结果，判定在通信线2或3上是否存在消息(步骤s1)。在存在消息的情况下(s1：“是”)，控制部21判定该消息与前一个消息是否连续(步骤s2)。在连续的情况下(s2：“是”)，控制部21对连续阻碍数计数器21b加1(步骤s3)，使处理返回到步骤s1。在该消息不连续的情况下(s2：“否”)，控制部21使处理返回到步骤s1。另外，当在通信线2或3上不存在消息的情况下(s1：“否”)，控制部21重置连续阻碍数计数器21b(步骤s4)，使处理返回到步骤s1。

监视所连接的通信线2或3上的消息并通过连续阻碍数计数器21b对消息的连续次数进行计数的can控制器20在接收到消息的情况下，根据连续阻碍数计数器21b的计数值以及存储部24的允许阻碍数表格24a中存储的允许阻碍数，来进行异常检测。can控制器20在由接收部23接收到消息的情况下，取得由连续阻碍数计数器21b计数的值来作为连续阻碍数。另外，can控制器20取得所接收到的消息中包含的id(优先度)，从允许阻碍数表格24a取得与该id对应的允许阻碍数。在所取得的连续阻碍数超过允许阻碍数的情况下，can控制器20能够判断为对通信线2或3进行了异常的消息发送。

图8是用于说明基于连续阻碍数的异常检测的时序图。此外，在本图中，设想连续地不正当发送id为2的消息的dos攻击。另外，如图4示出的允许阻碍数表格24a所示，针对id为1的消息，将允许阻碍数设定为1，针对id为2的消息，将允许阻碍数设定为2。can控制器20中，对于最开始的id为1的消息、接下来的id为2的消息、再接下来的id为2的消息，连续阻碍数计数器21b计数的连续阻碍数未超过允许阻碍数，因此不检测异常。在进一步地接收到接下来的id为2的消息(图中粗线所示)的情况下，由于连续阻碍数计数器21b计数的连续阻碍数是3，超过对id为2的消息设定的允许阻碍数的2，因此，can控制器20在通信线2或3上的消息收发中检测异常。

在检测到异常的can控制器20中，控制部21向固定控制部12输出电位固定的命令。根据该命令，固定控制部12将开关sw设为导通状态，从而将构成通信线2或3的两根电线连接，成为无法进行对通信线2或3的消息发送的状态。此外，通过网关10进行该控制，从而通信线2或3无法进行消息发送，因此，在图8所示的时序图的情况下，实际上不进行异常检测后的消息发送。

图9是示出实施方式1的网关10的can控制器20进行的异常检测处理的步骤的流程图。实施方式1的网关10的can控制器20的控制部21判定是否由接收部23接收到消息(步骤s11)。在未接收到消息的情况下(s11：“否”)，控制部21待机直至接收到消息为止。在接收到消息的情况下(s11：“是”)，控制部21取得在该时刻下连续阻碍数计数器21b计数的连续阻碍数(步骤s12)。

接下来，控制部21取得所接收到的消息中包含的id(步骤s13)。控制部21基于所取得的id，取得存储部24的允许阻碍数表格24a中存储的允许阻碍数(步骤s14)。控制部21判定在步骤s12中取得的连续阻碍数是否超过在步骤s14中取得的允许阻碍数(步骤s15)。在连续阻碍数超过允许阻碍数的情况下(s15：“是”)，控制部21检测异常，对固定控制部12输出进行固定控制的命令(步骤s16)，结束处理。在连续阻碍数未超过允许阻碍数的情况下(s15：“否”)，控制部21不检测异常，结束处理。

(2)基于累积比特数的异常检测

本实施方式的can控制器20通过由接收部23进行通信线2或3的采样而进行消息的接收。此时，can控制器20每当接收部23接收到消息的1比特的信息时，进行对比特数计数器21c加1的处理。can控制器20例如每隔1秒周期等预定时间，取得比特数计数器21c的计数值，并进行与预先确定的阈值的比较。在比特数计数器21c计数的累积比特数超过阈值的情况下，can控制器20检测到进行dos攻击等异常的消息发送的情形，对固定控制部12发送进行使通信线2或3的电位固定的控制的命令。另外，can控制器20在每隔预定时间地进行上述比较处理之后，重置比特数计数器21c。此外，关于与累积比特数进行比较的阈值，可以构成为存储于存储部24中，也可以构成为由控制部21存储。

图10是示出实施方式1的网关10的can控制器20进行的异常检测处理的步骤的流程图。实施方式1的网关10的can控制器20的控制部21使用内部的计时器功能等来进行计时。控制部21判定是否经过了预定时间(步骤s21)。在未经过预定时间的情况下(s21：“否”)，控制部21判定是否由接收部23接收到从其他ecu4发送的消息中包含的1比特(步骤s22)。在未接收到消息的1比特的情况下(s22：“否”)，控制部21使处理返回到步骤s21，待机直至经过预定时间或接收到1比特为止。

在由接收部23接收到消息的1比特的情况下(s22：“是”)，控制部21对比特数计数器21c的计数值加1(步骤s23)，使处理返回到步骤s21。

在经过了预定时间的情况下(s21：“是”)，控制部21取得比特数计数器21c计数的累积比特数(步骤s24)。控制部21判定在步骤s24中取得的累积比特数是否超过预先确定的阈值(步骤s25)。在累积比特数未超过阈值的情况下(s25：“否”)，控制部21不检测异常，使处理返回到步骤s21。在累积比特数超过阈值的情况下(s25：“是”)，控制部21检测异常，对固定控制部12输出进行固定控制的命令(步骤s16)，结束处理。

以上结构的实施方式1的网关10经由通信线2、3在与ecu4之间收发附加有优先度(id)的消息。网关10的can控制器20具有仲裁部21a，该仲裁部21a在同时进行本装置的消息发送和其他装置的消息发送而产生了消息发送的冲突的情况下，针对进行哪一方的消息发送，根据优先度进行仲裁处理即所谓的判决处理。实施方式1的can控制器20中，将由于判决处理而连续地被阻碍消息发送的次数设为连续阻碍数，由连续阻碍数计数器21b进行计数。另外，can控制器20中，与附加于由通信线2或3接收的消息的优先度建立对应地，将允许阻碍消息发送的连续次数作为允许阻碍数存储于存储部24的允许阻碍数表格24a中。can控制器20每当接收到消息时，针对该消息，对连续阻碍数与允许阻碍数进行比较，在连续阻碍数超过允许阻碍数的情况下检测异常。

优先度高的消息不易由于判决处理而被阻碍发送，优先度低的消息容易被阻碍，因此，通过针对消息的每个优先度存储允许阻碍数并用于有没有异常的判定，本实施方式的网关10能够高精度地检测dos攻击等异常的消息发送。

实施方式1的网关10的can控制器20始终监视在所连接的通信线2或3上连续的消息，在连续阻碍数计数器21b中对消息的连续次数进行计数而作为连续阻碍数。can控制器20在接收部23接收到消息的情况下，判定在该时刻下连续阻碍数计数器21b计数的连续阻碍数是否超过与附加于所接收到的消息的优先度相应的允许阻碍数。由此，即使是由通信系统中包括的某一个装置例如网关10进行异常检测的处理而其他ecu4不进行异常检测的处理的系统结构，网关10也能够检测dos攻击等异常的消息发送。

另外，实施方式1的网关10的can控制器20通过比特数计数器21c对在通信线2或3上收发的消息的比特数的累积数进行计数，在预定时间内的累积比特数超过阈值的情况下，检测到对通信线2或3进行异常的消息发送的情形。由此，can控制器20能够高精度地检测对通信线2或3进行大量的不正当的消息发送的dos攻击。

另外，实施方式1的网关10的can控制器20在通过上述方法检测到异常的情况下，由固定控制部12进行使通信线2或3的电位固定的控制。通过该控制，任何ecu4都无法对通信线2或3进行消息发送。因此，在地震的情况下，不进行异常检测的处理的ecu4能够通过通信线2或3的电位固定而识别出发生异常的情形，进行错误处理等。

此外，在本实施方式中，构成为网关10以及ecu4进行依照can的通信标准的通信，但不限于此。网关10以及ecu4也可以构成为进行依照can以外的通信标准、例如tcp/ip、以太网(注册商标)或flexray等的通信。另外，虽然以搭载于车辆1的通信系统为例进行了说明，但不限于此，也可以将本技术应用于如搭载于航空器或船舶等移动体的通信系统、或者设置于工厂或办公室等的通信系统等那样的车载以外的通信系统。

(变形例)

图11是示出实施方式1的变形例的车载通信系统的结构的框图。变形例的车载通信系统与图1所示的上述车载通信系统同样地构成为将两条通信线2、3连接到一个网关110，并对各通信线2、3分别连接三个ecu104。但是，在变形例的车载通信系统中，经由通信线2连接的网关110和三个ecu104还经由信号线102连接。另外，经由通信线3连接的网关110和三个ecu104还经由信号线103连接。

变形例的网关110进行的异常检测处理与上述实施方式1的网关10进行的异常检测处理相同。但是，在变形例的网关110中，can控制器20不具有固定控制部12，在检测到异常的情况下，不进行使通信线2、3的电位固定的控制。作为代替，变形例的网关110在can控制器20检测到异常的情况下，经由信号线102、103向ecu104进行通知。经由信号线102、103从网关110被提供通知的ecu104能够识别出发生异常的情形而进行错误处理等。

＜实施方式2＞

图12是示出实施方式2的车载通信系统的结构的框图。实施方式2的车载通信系统与图1所示的上述车载通信系统同样地，构成为将两条通信线2、3连接到一个网关210，并对各通信线2、3分别连接三个ecu204。但是，在变形例的车载通信系统中，构成为不仅在网关210中进行对通信线2、3的异常的消息发送的检测处理，还在各ecu204中进行对通信线2、3的异常的消息发送的检测处理。

实施方式2的各ecu204具备处理部241、can控制器220以及固定控制部12等而构成。处理部241例如使用cpu或mpu等运算处理装置来构成。处理部241通过读取未图示的rom等中存储的程序来执行，能够进行与车辆1的控制相关的各种处理。固定控制部12是与实施方式1的网关10具备的固定控制部相同的结构(参照图5)。

另外，虽然省略图示，实施方式2的网关210是与图2所示的实施方式1的网关10大致相同的结构，但代替can控制器20而具备与ecu204相同的can控制器220。

实施方式2的网关210以及ecu204具备的can控制器220与实施方式1的can控制器20同样地，进行(1)基于连续阻碍数的异常检测以及(2)基于累积比特数的异常检测，在检测到异常的情况下，通过向固定控制部12提供命令，进行使通信线2或3的电位固定的控制。但是，实施方式2的can控制器220所进行的(1)基于连续阻碍数的异常检测与实施方式1中说明的基于连续阻碍数的异常检测相比，处理方法有若干不同。以下，说明实施方式2的can控制器220进行的基于连续阻碍数的异常检测的方法。

实施方式2的can控制器220针对自身发送的消息进行连续阻碍数的计数而检测异常，针对其他装置发送的消息不进行异常检测。因此，在实施方式2的can控制器220存储到存储部24中的允许阻碍数表格24a中，针对自身发送的消息存储有优先度和允许阻碍数的对应关系。此外，在构成为各ecu204仅使用一个id来进行消息发送的情况下，各ecu204不需要存储图4所示的允许阻碍数表格24a，仅存储有针对自身设定的一个允许阻碍数即可。

can控制器220在从处理部11或241被提供应该发送的消息的情况下，通过发送部22尝试对通信线2或3发送该消息。can控制器220根据接收部23对通信线2或3的采样结果，在自身的消息发送与其他装置的消息发送产生冲突而由于仲裁部21a的判决处理阻碍了自身的消息发送的情况下，对连续阻碍数计数器21b的值加1。其后，can控制器220重复尝试进行自身的消息发送，每当消息发送被阻碍时，使连续阻碍数计数器21b的值增加。

此时，can控制器220每当自身的消息发送被阻碍时，判定由连续阻碍数计数器21b计数的连续阻碍数是否超过与该消息的优先度建立对应地存储在允许阻碍数表格24a中的允许阻碍数。在连续阻碍数超过允许阻碍数的情况下，can控制器220在通信线2或3上的消息收发中检测异常，对固定控制部12输出进行固定控制的命令。

图13是用于说明实施方式2的连续阻碍数计数器21b的动作的时序图。此外，在图13中，图示出关于can控制器220发送id为5的消息的情况的例子。实施方式2的can控制器220在被提供来自处理部11或241的消息发送请求的情况下，尝试对通信线2或3发送消息。在此时在通信线2或3上发送了id为1的消息的情况下，can控制器220被阻碍消息发送，对连续阻碍数计数器21b的值加1。由此，连续阻碍数计数器21b计数的连续阻碍数从0变化到1。

在id为1的消息发送结束之后，can控制器220再次尝试进行自身的消息发送。此时在通信线2或3同时进行由其他装置进行的id为3的消息发送，由于判决处理，can控制器220被阻碍自身的消息发送，因此，对连续阻碍数计数器21b的值加1。由此，连续阻碍数计数器21b计数的连续阻碍数从1变化到2。在id为3的消息发送结束之后也同样地，由于id为4的消息发送，can控制器220被阻碍自身的消息发送，连续阻碍数计数器21b计数的连续阻碍数从2变化到3。

在id为4的消息发送结束之后，can控制器220尝试进行id为5的消息发送，设为能够进行发送。此时连续阻碍数计数器21b的值不变化。根据图4所示的允许阻碍数表格24a，id为5的消息的允许阻碍数是5，在图13所示的例子中，发送了id为5的消息时的连续阻碍数计数器21b的值是3。即，连续阻碍数未超过允许阻碍数，因此，can控制器220不检测异常，进行通常的消息发送。can控制器220在id为5的消息发送完成后，重置连续阻碍数计数器21b。由此，将连续阻碍数计数器21b计数的值重置为0。

图14是用于说明实施方式2的基于连续阻碍数的异常检测的时序图。此外，在本图中，设想连续地不正当发送id为4的消息的dos攻击。实施方式2的can控制器220每当被阻碍id为5的自身的消息发送时，对阻碍数计数器21b的值加1。另外，此时，can控制器220进行由连续阻碍数计数器21b计数的连续阻碍数和与将要发送的消息的id对应的允许阻碍数的比较。在连续阻碍数未超过允许阻碍数的情况下，can控制器220重复尝试进行消息的发送，直至消息发送完成为止。在连续阻碍数超过允许阻碍数的情况下(在本例子中是连续阻碍数成为6的情况)，can控制器220在通信线2或3上的消息收发中检测异常，对固定控制部12输出进行固定控制的命令。

此外，在由其他装置的固定控制部12固定了通信线2或3的电位的情况下，can控制器220无法通过接收部23进行隐性的接收以外的接收。因此，can控制器220例如在通过接收部23在预定时间内持续地进行隐性的接收的等情况下，判断为由其他装置固定了通信线2或3的电位。由此，can控制器220识别出由其他装置检测到异常的情形，进行规定的错误处理等。

图15是示出实施方式2的can控制器220进行的异常检测处理的步骤的流程图。实施方式2的can控制器220的控制部21判定是否从处理部11或241被提供向其他装置的消息的发送请求(步骤s41)。在未被提供发送请求的情况下(s41：“否”)，控制部21待机直至被提供消息的发送请求为止。在被提供消息的发送请求的情况下(s41：“是”)，控制部21从由处理部11或241提供的发送用的消息取得id(步骤s42)。控制部21基于所取得的id来取得存储部24的允许阻碍数表格24a中存储的允许阻碍数(步骤s43)。

接下来，控制部21通过将从处理部11或241提供的发送用的消息提供给发送部22，从而进行该消息的发送(步骤s44)。此时，控制部21判定自身的消息发送是否被其他装置的消息发送阻碍(步骤s45)。在消息发送未被阻碍的情况下(s45：“否”)，控制部21完成消息发送，结束处理。

在消息发送被阻碍的情况下(s45：“是”)，控制部21对连续阻碍数计数器21b加1(步骤s46)。另外，控制部21判定在该时刻下连续阻碍数计数器21b计数的连续阻碍数是否超过在步骤s43中取得的允许阻碍数(步骤s47)。在连续阻碍数未超过允许阻碍数的情况下(s47：“否”)，控制部21使处理返回到步骤s44，继续进行消息发送。在连续阻碍数超过允许阻碍数的情况下(s47：“是”)，控制部21检测异常，对固定控制部12输出进行固定控制的命令(步骤s48)，结束处理。

以上结构的实施方式2的can控制器220每当根据来自处理部11或241的发送请求将要进行消息发送而被判决处理阻碍发送时，使连续阻碍数计数器21b的计数值增加。另外，can控制器20判定连续阻碍数计数器21b计数的连续阻碍数是否超过以与附加于将要发送的消息的id建立对应的方式存储在允许阻碍数表格24a中的允许阻碍数，检测通信的异常。通过该结构，can控制器220即使在自身的消息发送完成之前，也能够在判定为连续阻碍数超过允许阻碍数的时刻下检测异常。

此外，实施方式2的车载通信系统的其他结构与实施方式1的车载通信系统的结构相同，因此，对相同的部位附加相同的标号并省略详细说明。

标号说明

1车辆

2、3通信线

4ecu(通信装置)

10网关(通信装置)

11处理部

12固定控制部(控制部)

20can控制器(通信部)

21控制部(检测部、第二检测部)

21a仲裁部

21b连续阻碍数计数器(连续阻碍数存储部)

21c比特数计数器(累积比特数存储部)

22发送部

23接收部

24存储部(允许阻碍数存储部)

24a允许阻碍数表格

102、103信号线

104ecu

110网关

204ecu

210网关

220can控制器

241处理部

r电阻器

sw开关。