异常检测装置、异常检测系统以及控制方法与流程
本发明涉及,异常检测装置、异常检测系统以及控制方法。
背景技术:
近几年,在搭载在汽车的网络系统中,配置有用于控制汽车的称为ecu(electroniccontrolunit)的多个电子控制装置。这些多个ecu,经由车载网络相互连接。作为车载网络的标准之一,iso11898-1所规定的can(controllerareanetwork)为人所知。
在can中,通信路由两条总线构成,与总线连接的ecu被称为节点。与总线连接的各个节点,收发称为帧的消息。在can中,不存在示出发送目的地节点以及发送源节点的标识符,各个发送侧节点按每个帧添付消息id(identification)来发送,各个接收侧节点仅接收预先决定的消息id。因此,存在如下威胁,即,将不正当的ecu连接于can的总线,不正当的ecu伪装为正规的ecu发送包括异常的控制指令的帧(以下,称为“异常帧”),从而汽车被不正当地控制。
例如非专利文件1公开如下技术,即,针对这样的威胁,确定作为异常帧的发送源节点的ecu,将确定的ecu与总线切断。
(现有技术文献)
(非专利文献)
(非专利文献1)
k.atsumi,etal,“smartcancable,anotherproposalofintrusionpreventionsystem(ips)forin-vehiclenetworks”,scis2018the35thsymposiumoncryptographyandinformationsecurityniigata,japan,jan.23-26,2018.
然而,在所述非专利文件1公开的技术中,根据网络系统的状态,会有不能确定作为异常帧的发送源节点的ecu的情况,因此,会有不能适当地应对网络系统的异常状态的情况。
技术实现要素:
于是,本发明提供,能够适当地应对网络系统的异常状态的异常检测装置、异常检测系统以及控制方法。
本发明的一个形态涉及的异常检测装置,能够经由搭载在移动体的网络系统中的网络,与一个以上的通信装置进行通信,所述一个以上的通信装置分别与用于控制所述移动体的一个以上的电子控制装置连接,所述异常检测装置,具备:异常帧检测部,检测异常帧,该异常帧是从所述电子控制装置经由所述通信装置发送到所述网络的异常的数据帧;通信部,将异常请求帧发送到所述通信装置,并且,从所述通信装置接收异常响应帧,所述异常请求帧用于向发送了检测出的所述异常帧的所述通信装置请求响应,所述异常响应帧是所述通信装置根据所述异常请求帧生成的示出所述异常帧的发送源的帧;网络异常判断部,根据接收的所述异常响应帧,计算示出发送了所述异常响应帧的所述通信装置的数量的异常通信装置数,在所述异常通信装置数为0的情况下,判断为所述网络系统为第一异常状态,在所述异常通信装置数不是0的情况下,判断为所述网络系统为第二异常状态;以及网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第一异常状态或所述第二异常状态的情况下,应对所述第一异常状态或所述第二异常状态。
而且,它们的总括或具体形态,也可以由系统、方法、集成电路、计算机程序或计算机可读取的cd-rom(compactdisc-readonlymemory)等的记录介质实现,也可以由系统、方法、集成电路、计算机程序或记录介质的任意组合实现。
根据本发明的一个形态涉及的异常检测装置等,能够适当地应对网络系统的异常状态。
附图说明
图1是示出以往的车载网络系统的全体结构的框图。
图2是示出实施方式涉及的车辆分析系统的全体结构的框图。
图3是示出实施方式涉及的车载网络系统的全体结构的框图。
图4是示出实施方式涉及的车载网络系统的帧的格式的图。
图5是示出实施方式涉及的连接器的结构的框图。
图6是示出实施方式涉及的ecu的结构的框图。
图7是示出实施方式涉及的idsecu的结构的框图。
图8是示出实施方式涉及的连接器的发送帧存储部存储的发送帧信息的一个例子的图。
图9是示出实施方式涉及的idsecu的异常帧存储部存储的异常发生次数的一个例子的图。
图10是示出实施方式涉及的idsecu的连接器响应存储部存储的异常连接器数以及异常响应次数的一个例子的图。
图11是示出实施方式涉及的idsecu的连接器响应存储部存储的全连接器数的一个例子的图。
图12是示出实施方式涉及的车载网络系统的异常帧的检测处理的序列图。
图13是示出实施方式涉及的车载网络系统的异常状态的判断处理的序列图。
图14是示出实施方式涉及的车载网络系统的对异常状态的应对处理的序列图。
图15是示出实施方式涉及的连接器的处理的流程图。
图16是示出实施方式涉及的idsecu的异常状态的判断处理的流程图。
图17是示出实施方式涉及的idsecu的异常状态的判断处理的变形例的流程图。
图18是示出实施方式涉及的idsecu的对异常状态的应对处理的流程图。
具体实施方式
(作为本发明的基础的知识)
本发明人,关于“背景技术”的栏中记载的技术,发现了发生以下的问题。
在此,参照图1,说明所述非专利文件1公开的技术。图1是示出以往的车载网络系统1000的全体结构的框图。
如图1示出,车载网络系统1000具备,总线500、ids(intrusiondetectionsystem)ecu510、控制ecu520a、520b、520c、以及连接器530a、530b、530c。
idsecu510,监视总线500,检测发送到总线500的异常帧。idsecu510,在检测出异常帧的情况下,针对连接器530a、530b、530c,发送用于请求关于是否是异常帧的发送源的响应的请求帧。请求帧包括,与异常帧有关的信息。
连接器530a、530b、530c,分别与控制ecu520a、520b、520c连接,存储与从控制ecu520a、520b、520c经由连接器530a、530b、530c发送到总线500的帧(以下,称为“发送帧”)有关的信息。连接器530a、530b、530c的每一个,根据来自idsecu510的请求帧,对异常帧与自己存储的发送帧进行比较,在两者一致的情况下,将示出自己是异常帧的发送源的响应帧发送到idsecu510。
据此,idsecu510能够,根据从连接器530a、530b、530c的任一个接收的响应帧,从控制ecu520a、520b、520c中确定发送了异常帧的异常的控制ecu。其结果为,例如,能够执行将异常的控制ecu与总线500切断等的应对。
然而,在所述以往的车载网络系统1000中,例如,在以a)与连接器没有连接的异常的控制ecu与总线500连接的状态,b)与连接器连接的正规的控制ecu与总线500切断的状态,c)与连接器连接的异常的控制ecu与总线500连接的状态,异常帧发送到总线500的情况下,不能确定异常的控制ecu。因此,根据所述以往的车载网络系统1000,不能适当地应对车载网络系统1000中的异常状态。
为了解决这样的问题,本发明的一个形态涉及的异常检测装置,能够经由搭载在移动体的网络系统中的网络,与一个以上的通信装置进行通信,所述一个以上的通信装置分别与用于控制所述移动体的一个以上的电子控制装置连接,所述异常检测装置,具备:异常帧检测部,检测异常帧,该异常帧是从所述电子控制装置经由所述通信装置发送到所述网络的异常的数据帧;通信部,将异常请求帧发送到所述通信装置,并且,从所述通信装置接收异常响应帧,所述异常请求帧用于向发送了检测出的所述异常帧的所述通信装置请求响应,所述异常响应帧是所述通信装置根据所述异常请求帧生成的示出所述异常帧的发送源的帧;网络异常判断部,根据接收的所述异常响应帧,计算示出发送了所述异常响应帧的所述通信装置的数量的异常通信装置数,在所述异常通信装置数为0的情况下,判断为所述网络系统为第一异常状态,在所述异常通信装置数不是0的情况下,判断为所述网络系统为第二异常状态;以及网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第一异常状态或所述第二异常状态的情况下,应对所述第一异常状态或所述第二异常状态。
根据本形态,能够由网络异常判断部适当地判断网络系统的异常状态。例如,在网络异常判断部计算出的异常通信装置数为0的情况下,即使异常帧检测部检测出异常帧,通信装置也没有存储将异常帧发送到网络的情况。因此,网络异常判断部能够,将网络系统的异常状态判断为,例如“没有通信装置的异常的电子控制装置与网络连接”这第一异常状态。并且,在网络异常判断部计算出的异常通信装置数不是0的情况下,网络异常判断部能够将网络系统的异常状态判断为第二异常状态。据此,网络异常应对部能够,适当地应对网络系统的异常状态。
例如,也可以构成为,所述通信部,进一步,在由所述网络异常判断部判断为所述网络系统为所述第二异常状态的情况下,向与所述网络连接的所有的所述通信装置发送用于请求响应的状态请求帧,并且,接收状态响应帧,所述状态响应帧是来自所有的所述通信装置的针对所述状态请求帧的响应,所述网络异常判断部,进一步,在判断为所述网络系统为所述第二异常状态时,对接收的所述状态响应帧的数量与预先存储的示出正常的所述通信装置的数量的全通信装置数进行比较,在接收的所述状态响应帧的数量比所述全通信装置数多的情况下,判断为所述网络系统为第三异常状态,在接收的所述状态响应帧的数量比所述全通信装置数少的情况下,判断为所述网络系统为第四异常状态,在接收的所述状态响应帧的数量与所述全通信装置数相同的情况下,判断为所述网络系统为第五异常状态。
根据本形态,能够由网络异常判断部更仔细地判断网络系统的异常状态。例如,网络异常判断部能够,在判断为接收的状态响应帧的数量比全通信装置数多的情况下,将网络系统的异常状态判断为,“具有通信装置的异常的电子控制装置与网络连接”这第三异常状态。并且,例如,网络异常判断部能够,在判断为接收的状态响应帧的数量比全通信装置数少的情况下,将网络系统的异常状态判断为,“存在不能通信的电子控制装置”这第四异常状态。并且,例如,网络异常判断部能够,在判断为接收的状态响应帧的数量与全通信装置数相同的情况下,将网络系统的异常状态判断为第五异常状态。据此,网络异常应对部能够,更有效地应对网络系统的异常状态。
并且,例如,也可以构成为,所述异常帧检测部,进一步,按每个数据帧的类别,将所述异常帧的检测次数计数为异常发生次数,所述通信部,进一步,按每个数据帧的类别,将接收到所述异常响应帧的次数计数为异常响应次数,所述网络异常判断部,进一步,在判断为所述网络系统为所述第五异常状态时,在所述异常响应次数小于所述异常发生次数的情况下,判断为所述网络系统为所述第一异常状态,在所述异常响应次数为所述异常发生次数以上的情况下,判断为所述网络系统为第六异常状态。
根据本形态,能够由网络异常判断部更仔细地判断网络系统的异常状态。网络异常判断部,能够根据每个数据帧的类别的异常发生次数,掌握异常帧的检测次数,能够根据每个数据帧的类别的异常响应次数,掌握异常响应帧的接收次数。因此,网络异常判断部能够,在判断为异常响应次数小于异常发生次数的情况下,将网络系统的异常状态判断为,例如“没有通信装置的异常的电子控制装置与网络连接”这第一异常状态。并且,网络异常判断部能够,在判断为异常响应次数为异常发生次数以上的情况下,将网络系统的异常状态判断为,例如“具有通信装置的正规的电子控制装置被占领”这第六异常状态。据此,网络异常应对部能够,更有效地应对网络系统的异常状态。
并且,例如,也可以构成为,所述异常帧检测部,进一步,按每个数据帧的类别,将所述异常帧的检测次数计数为异常发生次数,所述通信部,进一步,按每个数据帧的类别,将接收到所述异常响应帧的次数计数为异常响应次数,所述网络异常判断部,进一步,在判断为所述网络系统为所述第二异常状态时,在所述异常响应次数小于所述异常发生次数的情况下,判断为所述网络系统为所述第一异常状态,在所述异常响应次数为所述异常发生次数以上的情况下,判断为所述网络系统为第七异常状态。
根据本形态,能够由网络异常判断部更仔细地判断网络系统的异常状态。网络异常判断部,能够根据每个数据帧的类别的异常发生次数,掌握异常帧的检测次数,能够根据每个数据帧的类别的异常响应次数,掌握异常响应帧的接收次数。因此,网络异常判断部能够,在判断为异常响应次数小于异常发生次数的情况下,将网络系统的异常状态判断为,例如“没有通信装置的异常的电子控制装置与网络连接”这第一异常状态。并且,网络异常判断部能够,在判断为异常响应次数为异常发生次数以上的情况下,将网络系统的异常状态判断为第七异常状态。据此,网络异常应对部能够,更有效地应对网络系统的异常状态。
并且,例如,也可以构成为,所述通信部,进一步,在由所述网络异常判断部判断为所述网络系统为所述第七异常状态的情况下,向与所述网络连接的所有的所述通信装置发送用于请求响应的状态请求帧,并且,接收状态响应帧,所述状态响应帧是来自所有的所述通信装置的针对所述状态请求帧的响应,所述网络异常判断部,进一步,在判断为所述网络系统为所述第七异常状态时,对接收的所述状态响应帧的数量与预先存储的示出正常的所述通信装置的数量的全通信装置数进行比较,在接收的所述状态响应帧的数量比所述全通信装置数多的情况下,判断为所述网络系统为第三异常状态,在接收的所述状态响应帧的数量比所述全通信装置数少的情况下,判断为所述网络系统为第四异常状态,在接收的所述状态响应帧的数量与所述全通信装置数相同的情况下,判断为所述网络系统为第六异常状态。
根据本形态,能够由网络异常判断部更仔细地判断网络系统的异常状态。例如,网络异常判断部能够,在判断为接收的状态响应帧的数量比全通信装置数多的情况下,将网络系统的异常状态判断为,“具有通信装置的异常的电子控制装置与网络连接”这第三异常状态。并且,例如,网络异常判断部能够,在判断为接收的状态响应帧的数量比全通信装置数少的情况下,将网络系统的异常状态判断为,“存在不能通信的电子控制装置”这第四异常状态。并且,例如,网络异常判断部能够,在判断为接收的状态响应帧的数量与全通信装置数相同的情况下,将网络系统的异常状态判断为,“具有通信装置的正规的电子控制装置被占领”这第六异常状态。据此,网络异常应对部能够,更有效地应对网络系统的异常状态。
并且,例如,也可以构成为,所述网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第一异常状态的情况下,将用于请求催促所述移动体的驾驶员进行所述移动体的安全停止的消息的显示的显示请求帧,发送到所述网络。
根据本形态,在网络异常判断部将网络系统的异常状态判断为,例如“没有通信装置的异常的电子控制装置与网络连接”这第一异常状态的情况下,难以切断与异常的电子控制装置的通信。因此,在此情况下,显示催促驾驶员进行移动体的安全停止的消息,据此,能够执行针对第一异常状态有效的应对。
并且,例如,也可以构成为,所述网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第三异常状态的情况下,将用于向发送了所述异常响应帧的所述通信装置,请求与连接于该通信装置的所述电子控制装置的通信的停止的通信停止请求帧发送到所述网络。
根据本形态,在网络异常判断部将网络系统的异常状态判断为,例如“具有通信装置的异常的电子控制装置与网络连接”这第三异常状态的情况下,即使该电子控制装置不能通信,也不会影响移动体的功能。因此,在此情况下,停止电子控制装置与通信装置的通信,据此,能够执行针对第三异常状态有效的应对。
并且,例如,也可以构成为,所述网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第四异常状态的情况下,将用于向所述移动体请求停止的移动体停止请求帧发送到所述网络。
根据本形态,在网络异常判断部将网络系统的异常状态判断为,例如“存在不能通信的电子控制装置”这第四异常状态的情况下,能够判断为与电子控制装置的故障同等。因此,在此情况下,停止移动体,据此,能够执行针对第四异常状态有效的应对。
并且,例如,也可以构成为,所述网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第六异常状态的情况下,将用于向与发送了所述异常响应帧的所述通信装置连接的所述电子控制装置请求软件的初始化的初始化请求帧发送到所述网络。
根据本形态,在网络异常判断部将网络系统的异常状态判断为,例如“具有通信装置的正规的电子控制装置被占领”这第六异常状态的情况下,需要恢复电子控制装置的正常工作。因此,在此情况下,电子控制装置的软件初始化,据此,能够执行针对第六异常状态有效的应对。
并且,例如,也可以构成为,所述通信部,进一步,在所述异常检测装置启动时或所述异常检测装置启动后,每当经过规定的时间时,向与所述网络连接的所有的所述通信装置发送所述状态请求帧,并且,根据从所有的所述通信装置接收的所述状态响应帧的数量,更新所述全通信装置数。
根据本形态,不需要预先将全通信装置数设定在异常检测装置,因此,能够容易适应通信装置的数量不同的移动体的类别。其结果为,能够削减异常检测装置的开发成本。
并且,本形态的一个形态涉及的异常检测系统,用于检测搭载在移动体的网络系统中的异常,所述异常检测系统,具备:搭载在所述移动体的网络;用于控制所述移动体的一个以上的电子控制装置;与所述一个以上的电子控制装置分别连接的一个以上的通信装置;以及异常检测装置,能够经由所述网络与所述一个以上的通信装置进行通信,所述异常检测装置,具有:异常帧检测部,检测异常帧,该异常帧是从所述电子控制装置经由所述通信装置发送到所述网络的异常的数据帧;第一通信部,将异常请求帧发送到所述通信装置,并且,从所述通信装置接收异常响应帧,所述异常请求帧用于向发送了检测出的所述异常帧的所述通信装置请求响应且包括与所述异常帧有关的异常帧信息,所述异常响应帧示出所述异常帧的发送源;网络异常判断部,根据接收的所述异常响应帧,计算示出发送了所述异常响应帧的所述通信装置的数量的异常通信装置数,在所述异常通信装置数为0的情况下,判断为所述网络系统为第一异常状态,在所述异常通信装置数不是0的情况下,判断为所述网络系统为第二异常状态;以及网络异常应对部,在由所述网络异常判断部判断为所述网络系统为所述第一异常状态或所述第二异常状态的情况下,应对所述第一异常状态或所述第二异常状态,所述通信装置,具有:第二通信部,从所述异常检测装置接收所述异常请求帧,并且,向所述异常检测装置发送所述异常响应帧,并且,将来自所述电子控制装置的数据帧发送到所述网络;存储部,存储与由所述第二通信部发送到所述网络的所述数据帧有关的发送帧信息;以及生成部,根据接收的所述异常请求帧,对所述异常帧信息与所述发送帧信息进行比较,在所述异常帧信息与所述发送帧信息一致的情况下,生成所述异常响应帧。
根据本形态,与所述同样,能够更有效地应对网络系统的异常状态。
并且,本形态的一个形态涉及的控制方法,经由搭载在移动体的网络系统中的网络,与一个以上的通信装置之间能够通信,所述一个以上的通信装置分别与用于控制所述移动体的一个以上的电子控制装置连接,所述控制方法,包括:检测异常帧的步骤,该异常帧是从所述电子控制装置经由所述通信装置发送到所述网络的异常的数据帧;将用于向发送了检测出的所述异常帧的所述通信装置请求响应的异常请求帧发送到所述通信装置的步骤;从所述通信装置接收异常响应帧的步骤,所述异常响应帧是所述通信装置根据所述异常请求帧生成的示出所述异常帧的发送源的帧;根据接收的所述异常响应帧,计算示出发送了所述异常响应帧的所述通信装置的数量的异常通信装置数的步骤;在所述异常通信装置数为0的情况下,判断为所述网络系统为第一异常状态,在所述异常通信装置数不是0的情况下,判断为所述网络系统为第二异常状态的步骤;以及在判断为所述网络系统为所述第一异常状态或所述第二异常状态的情况下,应对所述第一异常状态或所述第二异常状态的步骤。
根据本形态,与所述同样,能够更有效地应对网络系统的异常状态。
而且,它们的总括或具体形态,也可以由系统、方法、集成电路、计算机程序或计算机可读取的cd-rom等的记录介质实现,也可以由系统、方法、集成电路、计算机程序或记录介质的任意组合实现。
以下,对于实施方式,参照附图进行具体说明。
而且,以下说明的实施方式,都示出本公开的总括或具体例子。以下的实施方式示出的数值、形状、材料、构成要素、构成要素的配置位置以及连接形态、步骤、步骤的顺序等是一个例子,不是限定本公开的宗旨。并且,对于以下实施方式的构成要素中的示出最上位概念的实施方案中没有记载的构成要素,作为任意的构成要素而被说明。
(实施方式)
[1.车辆分析系统的全体结构]
首先,参照图2,说明实施方式涉及的车辆分析系统1的全体结构。图2是示出实施方式涉及的车辆分析系统1的全体结构的框图。
如图2示出,车辆分析系统1具备,车载网络系统10以及车辆分析服务器20。车辆分析系统1是,用于检测车载网络系统10中的异常的异常检测系统的一个例子。车载网络系统10以及车辆分析服务器20,例如,经由互联网等的外部网络30连接成能够相互通信。
车载网络系统10是,搭载在汽车等的车辆40的用于控制车辆40的驾驶操作的网络系统的一个例子。对于车载网络系统10的结构,在后面进行说明。而且,车辆40是,移动体的一个例子。
车辆分析服务器20是,例如,设置在管理车辆分析系统1的管理公司等的服务器。车辆分析服务器20,从搭载在各种各样的地区的各种各样的车辆40的车载网络系统10收集通信日志以及异常状态等,从而监视车载网络系统10的状态。据此,车辆分析服务器20,执行用于研究陷入异常状态的原因的集成的车辆分析。
[2.车载网络系统的全体结构]
接着,参照图3,说明实施方式涉及的车载网络系统10的全体结构。图3是示出实施方式涉及的车载网络系统10的全体结构的框图。
如图3示出,车载网络系统10具备,总线100、idsecu110、诊断端口120a、发动机ecu120b、制动器ecu120c、仪表面板ecu120d(以下,称为“仪表板ecu120d”)、ivi(in-vehicleinformation)ecu120e、以及连接器130a、130b、130c、130d、130e。
总线100是,用于根据can协议进行通信的网络的一个例子,构成在车辆40(参照图2)的内部。
idsecu110是,用于监视总线100,从而检测车载网络系统10的异常的异常检测装置的一个例子。对于idsecu110的结构,在后面进行说明。
诊断端口120a、发动机ecu120b、制动器ecu120c、仪表板ecu120d以及iviecu120e分别是,用于控制车辆40的驾驶操作的电子控制装置的一个例子。而且,诊断端口120a、发动机ecu120b、制动器ecu120c、仪表板ecu120d以及iviecu120e,基本上结构相同,因此,在以下的说明中,会有将它们总称为“ecu120”的情况。
诊断端口120a是,一般称为obd(on-boarddiagnostic)端口的端口。例如,将汽车的经销商具有的专用终端连接到诊断端口120a,从而能够进行与总线100连接的ecu120的故障诊断等。
发动机ecu120b是,用于根据从总线100获得的信息,控制车辆40的发动机(图中未示出)的转数的ecu。
制动器ecu120c是,用于根据从总线100获得的信息,控制车辆40的制动器(图中未示出)的ecu。
仪表板ecu120d是,用于根据从总线100获得的信息,控制车辆40的仪表面板(图中未示出)的显示的ecu。
iviecu120e是,例如,用于控制汽车导航系统以及音频头单元等的、处理车辆40内的信息系统的车载设备(图中未示出)的ecu。iviecu120e,能够经由专用线路与外部服务器(图中未示出)进行通信,具有进行地图信息以及各种应用的更新、向车辆分析服务器20的异常通知等的功能。
连接器130a、130b、130c、130d、130e分别是,用于将总线100与诊断端口120a、发动机ecu120b、制动器ecu120c、仪表板ecu120d以及iviecu120e一对一地连接的通信装置的一个例子。而且,连接器130a、130b、130c、130d、130e,基本上结构相同,因此,在以下的说明中,会有将它们总称为“连接器130”的情况。
连接器130,将从ecu120发送的基于can协议的数据帧(以下,简称为“帧”)传输到总线100,并且,存储与从ecu120发送的帧(以下,也称为“发送帧”)有关的发送帧信息。并且,连接器130,将从与该连接器130连接的ecu120以外的其他的ecu120发送到总线100的帧,传输到与该连接器130连接的ecu120。
进一步,连接器130,接收从idsecu110发送到总线100的、包括异常连接器请求id(后述)的异常请求帧。而且,异常请求帧,包括与从ecu120经由连接器130发送到总线100的帧之中的、由idsecu110判断为异常的帧(以下,称为“异常帧”)有关的异常帧信息。连接器130,在接收异常请求帧时,对该异常请求帧中包括的异常帧信息、与该连接器130所存储的发送帧信息进行比较,在两者一致的情况下,将示出该连接器130是异常帧的发送源的异常响应帧发送到idsecu110。对于连接器130的结构,在后面进行说明。
[3.帧的格式]
接着,参照图4,说明车载网络系统10的帧的格式。图4是示出实施方式涉及的车载网络系统10的帧的格式的图。而且,图4示出,can协议的标准id格式的帧。
如图4示出,帧,由startofframe(sof)、id字段、remotetransmissionrequest(rtr)、identifierextension(ide)、预约bit(r)、数据长度代码(dlc)、数据字段、crc(cyclicredundancycheck)序列、crc界定符(del)、acknowledgement间隙(ack)、ack界定符(del)、以及endofframe(eof)构成。
sof,由1bit的显性构成。sof,总线100为空闲的状态下成为隐性,从此变化为显性来通知帧的发送开始。
id是,由11bit构成的、示出数据的种类的值。在多个节点(ecu120)同时开始发送的情况下,为了由该id字段进行通信仲裁,而设计为具有id小的值的帧的优先级高。
rtr,由示出帧的显性1bit构成。并且,ide以及r,都由显性1bit构成。
dlc是,由4bit构成的、示出数据字段的长度的值。数据字段是,由最大64bit构成的、示出发送的数据的内容的值。数据字段能够,按每8bit调整长度。而且,发送的数据的规格,依赖于车辆40的车型或制造者等。
crc序列,由15bit构成。crc序列是,根据sof、id字段、控制字段以及数据字段的发送值计算的。crc界定符是,由1bit的隐性构成的、示出crc序列的结束的分隔符。
ack间隙,由1bit构成。发送节点,在该ack间隙进行隐性的发送。接收节点,在正常接收到crc序列为止的情况下,发送显性,从而优先显性。
ack界定符是,由1bit的隐性构成的、示出ack的结束的分隔符。eof,由7bit的隐性构成,示出数据帧的结束。
[4.连接器的结构]
接着,参照图5,说明连接器130的结构。图5是示出实施方式涉及的连接器130的结构的框图。
如图5示出,连接器130具备,总线通信部131(第二通信部的一个例子)、总线通信部132、帧中继部133、发送帧存储部134(存储部的一个例子)、以及ids响应部135(生成部的一个例子)。
总线通信部131,与总线100以及帧中继部133的每一个之间收发帧。具体而言,总线通信部131,接收从帧中继部133发送的帧,将接收的帧发送到总线100。并且,总线通信部131,接收从总线100发送的帧,将接收的帧发送到帧中继部133。
总线通信部132,与一对一地连接于连接器130的ecu120之间,以及在与帧中继部133之间,分别收发帧。具体而言,总线通信部132,接收从一对一地连接于连接器130的ecu120发送的帧,将接收的帧发送到帧中继部133。并且,总线通信部132,接收从帧中继部133发送的帧,将接收的帧发送到一对一地连接于连接器130的ecu120。
帧中继部133,接收从总线通信部131发送的帧,将接收的帧发送到总线通信部132以及ids响应部135。并且,帧中继部133,接收从总线通信部132发送的帧,将接收的帧发送到总线通信部131以及发送帧存储部134。
帧中继部133,在从总线通信部131接收的帧中包括异常连接器请求id的情况下,将该帧(以下,称为“异常请求帧”)发送到ids响应部135。而且,异常连接器请求id是,用于向发送了异常帧的连接器130请求响应的id。异常请求帧,除了异常连接器请求id以外,作为与异常帧有关的异常帧信息,还包括该异常帧的散列值。
并且,帧中继部133,在从总线通信部131接收的帧中包括全连接器请求id的情况下,将该帧(以下,称为“状态请求帧”)发送到ids响应部135。而且,全连接器请求id是,用于向与总线100连接的所有的连接器130(130a、130b、130c、130d、130e)请求响应的id。
进一步,帧中继部133,将从ids响应部135发送的帧(后述的异常响应帧以及状态响应帧)发送到总线通信部131。
发送帧存储部134,作为与从总线通信部132发送到帧中继部133的帧(即,从一对一地连接于连接器130的ecu120发送的发送帧)有关的发送帧信息,存储该发送帧的散列值等。对于发送帧信息,在后面进行说明。
ids响应部135,在从帧中继部133接收异常响应帧的情况下,对该异常响应帧中包括的异常帧的散列值、与发送帧存储部134所存储的来自ecu120的发送帧的散列值进行比较。ids响应部135,在所述比较的结果为,两者一致的情况下,生成包括异常连接器响应id的异常响应帧,将生成的异常响应帧发送到帧中继部133。而且,异常连接器响应id是,按每个连接器130预先决定的、示出针对异常请求帧的响应的id。
并且,ids响应部135,在从帧中继部133接收状态请求帧的情况下,生成包括全连接器响应id的状态响应帧,将生成的状态响应帧发送到帧中继部133。而且,全连接器响应id是,按每个连接器130预先决定的、示出针对状态请求帧的响应的id。
[5.ecu的结构]
接着,参照图6,说明ecu120的结构。图6是示出实施方式涉及的ecu120的结构的框图。
如图6示出,ecu120具备,总线通信部121、以及外部装置控制部122。
总线通信部121,接收从连接器130发送的帧,将接收的帧发送到外部装置控制部122。并且,总线通信部121,接收从外部装置控制部122发送的帧,将接收的帧发送到连接器130。
外部装置控制部122,与搭载在车辆40的外部装置(图中未示出)连接。而且,外部装置是,例如,发动机、制动器、仪表面板、汽车导航系统以及音频头单元等。外部装置控制部122,读取经由总线通信部121从连接器130接收的帧中包括的外部装置的控制信息,根据读取的控制信息控制外部装置。并且,外部装置控制部122,收集从外部装置得到的信息,生成包括收集的信息的帧。外部装置控制部122,将生成的帧发送到总线通信部121。
例如,在ecu120是发动机ecu120b的情况下,外部装置控制部122,与作为外部装置的发动机连接,根据从总线通信部121接收的帧中包括的发动机旋转控制请求,控制成使发动机的转数上升或降低。并且,外部装置控制部122,为了将发动机的当前的转数通知给其他的ecu120(例如仪表板ecu120d等),而生成包括发动机的转数信息的帧,将生成的帧发送到总线通信部121。
并且,例如,在ecu120是制动器ecu120c的情况下,外部装置控制部122,与作为外部装置的制动器连接。在ecu120是仪表板ecu120d的情况下,外部装置控制部122,与作为外部装置的仪表面板连接。在ecu120是iviecu120e的情况下,外部装置控制部122,与作为外部装置的导航系统连接。在此情况下,各个ecu120,从与该ecu120连接的外部设备获得各种信息,从而进行该外部设备的控制。
[6.idsecu的结构]
接着,参照图7,说明idsecu110的结构。图7是示出实施方式涉及的idsecu110的结构的框图。
如图7示出,idsecu110具备,总线通信部111、帧中继部112、异常帧检测部113、异常帧存储部114、连接器通信部115(通信部以及第一通信部的一个例子)、连接器响应存储部116、网络异常判断部117、以及网络异常应对部118。
总线通信部111,接收从连接器130发送到总线100的帧,将接收的帧发送到帧中继部112。并且,总线通信部111,接收从帧中继部112发送的帧,将接收的帧发送到总线100。
帧中继部112,接收从总线通信部111发送的帧,将接收的帧发送到异常帧检测部113。并且,帧中继部112,在从总线通信部111接收异常响应帧以及状态响应帧的情况下,将接收的异常响应帧以及状态响应帧发送到连接器通信部115。
并且,帧中继部112,接收从连接器通信部115发送的帧(异常请求帧以及状态请求帧),将接收的帧发送到总线通信部111。并且,帧中继部112,接收从网络异常应对部118发送的帧,将接收的帧发送到总线通信部111。
异常帧检测部113,接收从帧中继部112发送的帧(即,从ecu120经由连接器130发送到总线100的帧),根据预先决定的异常检测规则,检测接收的帧是否是异常帧。异常帧检测部113,在检测出异常帧的情况下,将该异常帧的散列值存储到异常帧存储部114。并且,异常帧检测部113,按每个异常帧的散列值(即,按每个数据帧的类别)将异常帧的检测次数计数为异常发生次数,将计数的异常发生次数存储到异常帧存储部114。并且,异常帧检测部113,将异常帧的散列值发送到连接器通信部115,并且,将检测出异常帧的情况通知给网络异常判断部117。而且,对于异常发生次数,在后面进行说明。
异常帧存储部114,存储由异常帧检测部113检测出的异常帧的散列值、以及由异常帧检测部113计数的异常发生次数等。
连接器通信部115,接收从异常帧检测部113发送的异常帧的散列值。连接器通信部115,根据接收的异常帧的散列值,生成包括异常帧的散列值以及异常连接器请求id的异常请求帧,将生成的异常请求帧发送到帧中继部112。
并且,连接器通信部115,在接收从帧中继部112发送的异常响应帧的情况下,确认接收的异常响应帧中包括的、按每个连接器130预先决定的异常连接器响应id。连接器通信部115,将异常连接器响应id的种类数计算为,对异常请求帧响应的连接器130的数量(以下,称为“异常连接器数”)(异常通信装置数的一个例子),将计算出的异常连接器数存储到连接器响应存储部116。并且,连接器通信部115,按每个异常帧的散列值将异常响应帧的接收次数计数为异常响应次数,将计数的异常响应次数存储到连接器响应存储部116。
并且,连接器通信部115,生成包括全连接器请求id的状态请求帧,将生成的状态请求帧发送到帧中继部112。而且,连接器通信部115,在idsecu110的启动时或idsecu110的启动后,每当经过规定的时间(例如30分)时,生成状态请求帧,将生成的状态请求帧发送到帧中继部112。
进一步,连接器通信部115,在接收从帧中继部112发送的状态响应帧的情况下,确认接收的状态响应帧中包括的、按每个连接器130预先决定的全连接器响应id。连接器通信部115,将全连接器响应id的种类数(即,接收的状态响应帧的数量),计算为对状态请求帧响应的连接器130的数量(以下,称为“全连接器数”)(全通信装置数的一个例子),将计算出的全连接器数存储到连接器响应存储部116。并且,连接器通信部115,将接收状态响应帧的时刻存储到连接器响应存储部116。
连接器响应存储部116,存储由连接器通信部115计算出的异常连接器数以及全连接器数、由连接器通信部115计数的异常响应次数、以及连接器通信部115的状态响应帧的接收时刻等。
网络异常判断部117,从接收来自异常帧检测部113的通知起经过一定时间之后,如下判断车载网络系统10的异常状态。
网络异常判断部117,在连接器响应存储部116所存储的异常连接器数为“0个”的情况下,将车载网络系统10的异常状态判断为,“没有连接器的异常ecu与总线连接”这第一异常状态。而且,网络异常判断部117,在连接器响应存储部116所存储的异常连接器数不是“0个”(即,是一个以上)的情况下,判断为车载网络系统10为第二异常状态。
并且,网络异常判断部117,在判断为车载网络系统10为第二异常状态的情况下,对连接器响应存储部116所存储的当前的全连接器数(即,接收的状态响应帧的数量)、与过去的全连接器数(即,连接器响应存储部116预先存储的正常的连接器130的数量)进行比较。网络异常判断部117,在当前的全连接器数比过去的全连接器数多的情况下,将车载网络系统10的异常状态判断为,“具有连接器的异常ecu与总线连接”这第三异常状态。另一方面,网络异常判断部117,在当前的全连接器数比过去的全连接器数少的情况下,将车载网络系统10的异常状态判断为,“存在不能通信的ecu”这第四异常状态。并且,网络异常判断部117,在当前的全连接器数与过去的全连接器数相同的情况下,判断为车载网络系统10为第五异常状态。
并且,网络异常判断部117,在判断为车载网络系统10为第五异常状态的情况下,对连接器响应存储部116所存储的异常响应次数、与异常帧存储部114所存储的异常发生次数进行比较。网络异常判断部117,在异常响应次数小于异常发生次数的情况下,将车载网络系统10的异常状态判断为,“没有连接器的异常ecu与总线连接”这第一异常状态。另一方面,网络异常判断部117,在异常响应次数与异常发生次数相同(为异常发生次数以上)的情况下,将车载网络系统10的异常状态判断为,“具有连接器的正规的ecu被占领”这第六异常状态。
进一步,网络异常判断部117,在进行了车载网络系统10的异常状态的判断的情况下,将示出判断的异常状态的信息发送到网络异常应对部118。
网络异常应对部118,在接收从网络异常判断部117发送的示出异常状态的信息时,执行按每个异常状态预先决定的应对。
在车载网络系统10的异常状态为,“没有连接器的异常ecu与总线连接”这第一异常状态的情况下,难以进行与异常的ecu120之间的通信的切断。因此,在此情况下,网络异常应对部118,将用于向iviecu120e请求将催促驾驶员进行车辆40的安全停止的消息显示在仪表面板等的显示请求帧发送到帧中继部112。
并且,在车载网络系统10的异常状态为,“具有连接器的正规的ecu被占领”这第六异常状态的情况下,需要恢复不正当地被占领的正规的ecu120的正常工作。因此,在此情况下,网络异常应对部118,将用于向与发送了异常响应帧的连接器130连接的正规的ecu120请求软件的初始化的初始化请求帧,发送到帧中继部112。
并且,在车载网络系统10的异常状态为,“存在不能通信的ecu”这第四异常状态的情况下,能够判断为与ecu120的故障同等。因此,在此情况下,网络异常应对部118,将用于向车辆40请求停止的车辆停止请求帧(移动体停止请求帧的一个例子)发送到帧中继部112。
并且,在车载网络系统10的异常状态为,“具有连接器的异常ecu与总线连接”这第三异常状态的情况下,即使与总线100不正当地连接的异常的ecu120不能通信,也不会影响车辆40的控制。因此,在此情况下,网络异常应对部118,将用于向发送了异常响应帧的连接器130,请求与异常的ecu120的通信的停止的通信停止请求帧发送到帧中继部112。
[7.发送帧存储部存储的发送帧信息的一个例子]
接着,参照图8,说明连接器130的发送帧存储部134存储的发送帧信息的一个例子。图8是示出实施方式涉及的连接器130的发送帧存储部134存储的发送帧信息的一个例子的图。
如图8示出,在连接器130的发送帧存储部134中,作为发送帧信息,从与连接器130连接的ecu120发送的发送帧的id、发送帧的散列值、以及发送帧的发送次数相对应而被存储。
在图8示出的例子中示出,对于id“110”的发送帧,发送帧的散列值为“b8c93214ad2333ab”,发送帧的发送次数为“两次”。并且,示出对于id“120”的发送帧,发送帧的散列值为“c1995611d32343b3”,发送帧的发送次数为“一次”。
每当与连接器130一对一地连接的ecu120将发送帧发送时,关于该发送帧的发送帧信息被存储到连接器130的发送帧存储部134。连接器130,在接收从idsecu110发送的异常响应帧时,对异常帧的散列值与发送帧的散列值进行比较,在两者一致的情况下,判断为与该连接器130一对一地连接的ecu120为异常帧的发送源。据此,连接器130,将示出自己是异常帧的发送源的异常响应帧发送到idsecu110。
[8.异常帧存储部存储的异常发生次数]
接着,参照图9,说明idsecu110的异常帧存储部114存储的异常发生次数的一个例子。图9是示出实施方式涉及的idsecu110的异常帧存储部114存储的异常发生次数的一个例子的图。
如图9示出,在idsecu110的异常帧存储部114中,异常帧的id、异常帧的散列值、以及异常发生次数相对应而被存储。
在图9示出的例子中示出,对于id“100”的异常帧,异常帧的散列值为“a9b143916aca92aa”,异常发生次数为“一次”。这意味着,散列值为“a9b143916aca92aa”的异常帧被检测“一次”。
并且,示出对于id“110”的异常帧,异常帧的散列值为“b8c93214ad2333ab”,异常发生次数为“三次”。这意味着,散列值为“b8c93214ad2333ab”的异常帧被检测“三次”。
idsecu110,根据所述异常发生次数,判断车载网络系统10的异常状态。具体而言,idsecu110,对异常帧的检测次数即异常发生次数、与异常响应帧的接收次数即异常响应次数进行比较,在异常响应次数小于异常发生次数的情况下,判断为车载网络系统10为“没有连接器的异常ecu与总线连接”这第一异常状态。另一方面,idsecu110,在异常响应次数为异常发生次数以上的情况下,判断为车载网络系统10为“具有连接器的正规的ecu被占领”这第六异常状态。
[9.连接器响应存储部存储的异常连接器数以及异常响应次数的一个例子]
接着,参照图10,说明idsecu110的连接器响应存储部116存储的异常连接器数以及异常响应次数的一个例子。图10是示出实施方式涉及的idsecu110的连接器响应存储部116存储的异常连接器数以及异常响应次数的一个例子的图。
如图10示出,在idsecu110的连接器响应存储部116中,异常帧的id、异常帧的散列值、异常连接器数、以及异常响应次数相对应而被存储。
在图10示出的例子中示出,对于id“100”的异常帧,异常帧的散列值为“a9b143916aca92aa”,异常连接器数为“一个”,异常响应次数为“一次”。这意味着,对于散列值为“a9b143916aca92aa”的异常帧,对异常请求帧响应的连接器130的数量为“一个”,从“一个”连接器130发送的异常响应帧的接收次数为“一次”。
并且,示出对于id“110”的异常帧,异常帧的散列值为“b8c93214ad2333ab”,异常连接器数为“两个”,异常响应次数为“三个”。这意味着,对于散列值为“b8c93214ad2333ab”的异常帧,对异常请求帧响应的连接器130的数量为“两个”,从“两个”连接器130发送的异常响应帧的接收次数的共计为“三个”。
idsecu110,根据所述异常连接器数,判断车载网络系统10的异常状态。具体而言,idsecu110,在异常连接器数为“0个”的情况下,判断为车载网络系统10为“没有连接器的异常ecu与总线连接”这第一异常状态。
[10.连接器响应存储部存储的全连接器数的一个例子]
接着,参照图11,说明idsecu110的连接器响应存储部116存储的全连接器数的一个例子。图11是示出实施方式涉及的idsecu11的连接器响应存储部116存储的全连接器数的一个例子的图。
如图11示出,在idsecu110的连接器响应存储部116中,状态响应帧的接收时刻、以及全连接器数相对应而被存储。
在图11示出的例子中示出,时刻t1时的全连接器数为“41个”,时刻t1之后的时刻t2时的全连接器数为“40个”。
idsecu110,根据所述全连接器数,判断车载网络系统10的异常状态。具体而言,idsecu110,对当前的全连接器数与过去的全连接器数进行比较,在当前的全连接器数比过去的全连接器数多的情况下,判断为车载网络系统10为“具有连接器的异常ecu与总线连接”这第三异常状态。另一方面,idsecu110,在当前的全连接器数比过去的全连接器数少的情况下,判断为车载网络系统10为“存在不能通信的ecu”这第四异常状态。进一步,idsecu110,在当前的全连接器数与过去的全连接器数相同、且异常响应次数为异常发生次数以上的情况下,判断为“具有连接器的正规的ecu被占领”这第六异常状态。
[11.车载网络系统的处理]
接着,参照图12至图14,说明在车载网络系统10中,ecu120发送帧后,i)idsecu110检测异常帧,ii)idsecu110判断车载网络系统10的异常状态,iii)应对判断的异常状态为止的各个处理。
[11-1.异常帧的检测处理]
参照图12,说明车载网络系统10的异常帧的检测处理。图12是示出实施方式涉及的车载网络系统10的异常帧的检测处理的序列图。
首先,说明ecu120发送正规的帧时的处理。
如图12示出,ecu120,生成正规的帧,将生成的正规的帧,发送到与该ecu120连接的连接器130(s1201)。而且,帧,基于图4示出的帧的格式。
连接器130,接收从ecu120发送的帧,计算接收的帧的散列值,从而将与接收的帧有关的发送帧信息(参照图8)存储到发送帧存储部134(s1202)。而且,在发送帧存储部134已经存储相同的散列值的情况下,与该散列值对应的发送次数递增“1”。连接器130,将从ecu120接收的帧发送到总线100(s1203)。
总线100,接收从连接器130发送的帧,将接收的帧中继给与总线100连接的所有的ecu120(包括idsecu110)(s1204)。
idsecu110,接收由总线100中继的帧(s1205)。idsecu110,根据预先决定的异常检测规则,检测接收的帧是否是异常帧。在此情况下,接收的帧是,正规的帧,因此,不符合所述异常检测规则。因此,在此情况下,idsecu110,不检测异常帧(s1206)。
而且,异常检测规则是,例如,在之前接收的帧中包括的车辆40的速度、与当前接收的帧中包括的车辆40的速度之差,脱离通常范围(+10km/h至-10km/h)的情况下,检测为当前接收的帧是异常帧的规则。例如,在所述的两个速度之差为-60km/h的情况下,检测为当前接收的帧是异常帧。
或者,异常检测规则也可以是,例如,在之前接收的帧的接收时刻、与当前接收的帧的接收时刻之差,脱离通常范围(10毫秒)的情况下,检测为当前接收的帧是异常帧的规则。例如,在所述的两个接收时刻之差为2毫秒的情况下,检测为当前接收的帧是异常帧。
接着,例如,说明由恶意的攻击者不正当地占领的ecu120,发送与正规的帧不同的异常帧时的处理。
如图12示出,ecu120,例如将用于不正地当控制车辆40的异常帧发送到连接器130(s1207)。ecu120发送异常帧,从而会有车辆40,产生不安全的异常工作的可能性。例如,在想要将车辆40的速度提高到100km/h的情况下,ecu120(例如发动机ecu120b),发送将车辆40的当前速度示出为比实际的速度80km/h低的20km/h的异常帧,从而导致向车辆40的发动机等请求比为了达到目标的速度而本来需要的加速度大的加速度。
然后,与所述步骤s1202至s1205的各个处理同样,执行步骤s1208至步骤s1211的各个处理。在步骤s1211之后,idsecu110,根据预先决定的异常检测规则,检测接收的帧是否是异常帧。在此情况下,接收的帧是,异常帧,因此,符合异常检测规则。因此,在此情况下,idsecu110,判断为接收的帧为异常帧,检测异常帧(s1212)。
然后,idsecu110的异常帧检测部113,将异常帧的散列值存储到异常帧存储部114。此时,在异常帧存储部114已经存储相同的散列值的情况下,与该散列值对应的异常发生次数递增“1”。
[11-2.异常状态的判断处理]
接着,参照图13,说明车载网络系统10的异常状态的判断处理。图13是示出实施方式涉及的车载网络系统10的异常状态的判断处理的序列图。
如图13示出,在所述步骤s1212之后,idsecu110的连接器通信部115,生成包括异常连接器请求id的异常请求帧,将生成的异常请求帧发送到总线100(s1213)。而且,在异常请求帧的数据区域,存放异常帧的散列值。
总线100,接收从idsecu110发送的异常请求帧,将接收的异常请求帧中继给与总线100连接的所有的连接器130(s1214)。
连接器130的ids响应部135,接收由总线100中继的异常请求帧,确认接收的异常请求帧中是否包括异常连接器请求id(s1215)。连接器130的ids响应部135,在接收的异常请求帧中包括异常连接器请求id的情况下,对发送帧存储部134存储的发送帧的散列值、与异常响应帧中存放的异常帧的散列值进行比较(s1216)。
连接器130的ids响应部135,在步骤s1216的比较中,发送帧的散列值与异常帧的散列值一致的情况下,生成包括按每个连接器130预先决定的异常连接器响应id的异常响应帧,将生成的异常响应帧发送到总线100(s1217)。
总线100,接收从连接器130发送的异常响应帧,将接收的异常响应帧中继给与总线100连接的idsecu110(s1218)。
idsecu110的连接器通信部115,接收由总线100中继的异常响应帧,确认接收的异常响应帧中包括的异常连接器响应id。异常连接器响应id是按每个连接器130预先决定的值,因此,idsecu110的连接器通信部115,将异常连接器响应id的种类数计算为异常连接器数,按每个异常帧的散列值将异常连接器数存储到连接器响应存储部116(s1219)。进一步,idsecu110的连接器通信部115,将异常响应帧的接收次数计算为异常响应次数,按每个异常帧的散列值将异常响应次数存储到连接器响应存储部116(s1219)。此时,在连接器响应存储部116已经记录相同的散列值的情况下,与该散列值对应的异常响应次数递增“1”。而且,连接器响应存储部116存储的异常连接器数以及异常响应次数的信息是,图10示出那样的。
idsecu110的连接器通信部115,生成包括全连接器请求id的状态请求帧,将生成的状态请求帧发送到总线100(s1220)。
总线100,接收从idsecu110发送的状态请求帧,将接收的状态请求帧中继给与总线100连接的所有的连接器130(s1221)。
连接器130的ids响应部135,接收由总线100中继的状态请求帧,确认接收的状态请求帧中是否包括全连接器请求id(s1222)。连接器130,在接收的状态请求帧中包括全连接器请求id的情况下,生成包括按每个连接器130预先决定的全连接器响应id的状态响应帧,将生成的状态响应帧发送到总线100(s1223)。
总线100,接收从连接器130发送的状态响应帧,将接收的状态响应帧中继给与总线100连接的idsecu110(s1224)。
idsecu110的连接器通信部115,接收由总线100中继的状态响应帧,确认接收的状态响应帧中包括的全连接器响应id。全连接器响应id是按每个连接器130预先决定的值,因此,idsecu110的连接器通信部115,将全连接器响应id的种类数计算为全连接器数,将全连接器数与接收时刻一起存储到连接器响应存储部116(s1225)。而且,连接器响应存储部116存储的全连接器数以及接收时刻的信息是,图11示出那样的。
idsecu110的网络异常判断部117,根据异常帧存储部114以及连接器响应存储部116存储的信息,判断车载网络系统10的异常状态(s1226)。对于idsecu110的异常状态的判断处理,在后面进行说明。
[11-3.对异常状态的应对处理]
接着,参照图14,说明车载网络系统10的对异常状态的应对处理。图14是示出实施方式涉及的车载网络系统10的对异常状态的应对处理的序列图。
如图14示出,在所述步骤s1226之后,idsecu110的网络异常应对部118,按照网络异常判断部117的异常状态的判断结果,执行对异常状态的应对处理。
而且,在图14中,为了便于说明,而示出作为对异常状态的应对处理,依次执行步骤s1227至s1230的处理、步骤s1231至s1234的处理、步骤s1235至s1238的处理以及步骤s1239至s1241的处理,但是,实际上,网络异常应对部118,选择并执行所述各个处理之中的任意处理。
在判断为车载网络系统10的异常状态为第一异常状态的情况下,idsecu110的网络异常应对部118,将包括用于向iviecu120e请求将催促驾驶员进行车辆40的安全停止的消息显示在仪表面板等的显示请求id的显示请求帧发送到总线100(s1227)。
总线100,接收从idsecu110发送的显示请求帧,将接收的显示请求帧中继给与总线100连接的连接器130(s1228)。
连接器130,接收由总线100中继的显示请求帧,将接收的显示请求帧传输到ecu120(iviecu120e)(s1229)。
iviecu120e,根据传输的显示请求帧中包括的显示请求id,将催促驾驶员进行车辆40的安全停止的消息显示在仪表面板等(s1230)。
在判断为车载网络系统10的异常状态为第六异常状态的情况下,idsecu110的网络异常应对部118,将包括用于向与发送了异常响应帧的连接器130连接的正规的ecu120请求软件的初始化的初始化请求id的初始化请求帧发送到总线100(s1231)。
总线100,接收从idsecu110发送的初始化请求帧,将接收的初始化请求帧中继给与总线100连接的连接器130(s1232)。
连接器130,接收由总线100中继的初始化请求帧,将接收的初始化请求帧传输到ecu120(s1233)。
ecu120,根据传输的初始化请求帧中包括的初始化请求id,将ecu120的软件初始化(s1234)。
在判断为车载网络系统10的异常状态为第四异常状态的情况下,idsecu110的网络异常应对部118,将包括用于向车辆40请求停止的车辆停止请求id的车辆停止请求帧发送到总线100(s1235)。
总线100,接收从idsecu110发送的车辆停止请求帧,将接收的车辆停止请求帧中继给与总线100连接的连接器130(s1236)。
连接器130,接收由总线100中继的车辆停止请求帧,将接收的车辆停止请求帧传输到ecu120(制动器ecu120c)(s1237)。
制动器ecu120c,根据传输的车辆停止请求帧中包括的车辆停止请求id,以停止车辆40的方式控制车辆40的制动器(s1238)。
在判断为车载网络系统10的异常状态为第三异常状态的情况下,idsecu110的网络异常应对部118,将包括用于向发送了异常响应帧的发送连接器130,请求与异常的ecu120的通信的停止的通信停止请求id的通信停止请求帧发送到总线100(s1239)。
总线100,接收从idsecu110发送的通信停止请求帧,将接收的通信停止请求帧中继给与总线100连接的连接器130(s1240)。
连接器130,接收由总线100中继的通信停止请求帧,根据接收的通信停止请求帧中包括的通信停止请求id,停止与连接于该连接器130的ecu120的通信(s1241)。
在执行所述步骤s1227至s1230的处理、步骤s1231至s1234的处理、步骤s1235至s1238的处理以及步骤s1239至s1241的处理的任意哪个处理之后,idsecu110的网络异常应对部118,将包括用于向iviecu120e请求向异常状态的车辆分析服务器20的通知的服务器通知请求id的服务器通知请求帧发送到总线100(s1242)。
总线100,接收从idsecu110发送的服务器通知请求帧,将接收的服务器通知请求帧中继给与总线100连接的连接器130(s1243)。
连接器130,接收由总线100中继的服务器通知请求帧,将接收的服务器通知请求帧传输到ecu120(iviecu120e)(s1244)。
iviecu120e,根据传输的服务器通知请求帧中包括的服务器通知请求id,将车载网络系统10的异常状态通知给车辆分析服务器20(s1245)。
[12.连接器的处理]
接着,参照图15,说明连接器130的处理。图15是示出实施方式涉及的连接器130的处理的流程图。
如图15示出,连接器130的总线通信部131,接收从总线100发送的帧,总线通信部132,接收从ecu120发送的帧(s1501)。
连接器130的帧中继部133,确认接收的帧是否是从ecu120发送的帧(s1502)。
在接收的帧是从ecu120发送的帧的情况下(s1502的“是”),帧中继部133,将与发送帧有关的发送帧信息存储到发送帧存储部134(s1503)。然后,帧中继部133,将从总线通信部131接收的帧发送到总线通信部132。据此,总线通信部132,将从帧中继部133接收的帧发送到总线100(s1504)。
返回到步骤s1502,在接收的帧不是从ecu120发送的帧的情况下(s1502的“否”),帧中继部133,确认接收的帧中包括的id是否是异常连接器请求id(s1505)。
在接收的帧中包括的id是异常连接器请求id的情况下(s1505的“是”),ids响应部135,确认接收的帧(异常请求帧)的数据区域,读取异常帧的散列值,判断异常帧的散列值、与发送帧存储部134存储的发送帧的散列值是否一致(s1506)。
在异常帧的散列值与发送帧的散列值一致的情况下(s1506的“是”),ids响应部135,生成包括按每个连接器130预先决定的异常连接器响应id的异常响应帧。帧中继部133,将生成的异常响应帧,经由总线通信部131发送到总线100(s1507)。
返回到步骤s1506,在异常帧的散列值与发送帧的散列值不一致的情况下(s1506的“否”),结束处理。
返回到步骤s1505,在接收的帧中包括的id不是异常连接器请求id的情况下(s1505的“否”),帧中继部133,确认接收的帧中包括的id是否是全连接器请求id(s1508)。
在接收的帧中包括的id是全连接器请求id的情况下(s1508的“是”),ids响应部135,生成包括按每个连接器130预先决定的全连接器响应id的状态响应帧。帧中继部133,将生成的状态响应帧,经由总线通信部131发送到总线100(s1509)。
返回到步骤s1508,在接收的帧中包括的id不是全连接器请求id的情况下(s1508的“否”),帧中继部133,将接收的帧,经由总线通信部132传输到ecu120(s1510)。
[13.idsecu的处理]
[13-1.异常状态的判断处理]
接着,参照图16,说明idsecu110的异常状态的判断处理。图16是示出实施方式涉及的idsecu110的异常状态的判断处理的流程图。
如图16示出,首先,idsecu110的异常帧检测部113,检测异常帧(s1601)。据此,异常帧检测部113,将检测出的异常帧的散列值以及异常发生次数存储到异常帧存储部114。
idsecu110的连接器通信部115,生成包括异常连接器请求id的异常请求帧,将生成的异常请求帧,经由帧中继部112以及总线通信部111发送到总线100(s1602)。而且,在异常请求帧的数据区域,存放异常帧的散列值。连接器通信部115,在接收包括异常连接器响应id的异常响应帧时,将异常连接器数以及异常响应次数存储到连接器响应存储部116。
idsecu110的网络异常判断部117,确认连接器响应存储部116存储的异常连接器数是否是“0个”(s1603)。
在异常连接器数为“0个”的情况下(s1603的“是”),网络异常判断部117,将车载网络系统10的异常状态判断为,“没有连接器的异常ecu与总线连接”这第一异常状态(s1604)。
返回到步骤s1603,在异常连接器数不是“0个”的情况下(s1603的“否”),网络异常判断部117,判断为车载网络系统10为第二异常状态。在此情况下,连接器通信部115,生成包括全连接器请求id的状态请求帧,将生成的状态请求帧,经由帧中继部112以及总线通信部111发送到总线100(s1605)。连接器通信部115,在接收包括全连接器响应id的状态响应帧时,将全连接器数以及接收时刻存储到连接器响应存储部116。
网络异常判断部117,确认连接器响应存储部116存储的当前的全连接器数、与过去的全连接器数(n个)是否一致(s1606)。
在当前的全连接器数比过去的全连接器数少的情况下(s1606的“n-1个以下”),网络异常判断部117,将车载网络系统10的异常状态判断为,“存在不能通信的ecu”这第四异常状态(s1607)。
返回到s1606,在当前的全连接器数比过去的全连接器数多的情况下(s1606的“n+1个以上”),网络异常判断部117,将车载网络系统10的异常状态判断为,“具有连接器的异常ecu与总线连接”这第三异常状态(s1608)。
返回到s1606,在当前的全连接器数与过去的全连接器数相同的情况下(s1606的“n个”),网络异常判断部117,判断为车载网络系统10为第五异常状态。在此情况下,网络异常判断部117,对连接器响应存储部116存储的异常响应次数、与异常帧存储部114存储的异常发生次数进行比较(s1609)。
在异常响应次数小于异常发生次数的情况下(s1609的“是”),网络异常判断部117,将车载网络系统10的异常状态判断为,所述第一异常状态(s1604)。另一方面,在异常响应次数为异常发生次数以上的情况下(s1609的“否”),网络异常判断部117,将车载网络系统10的异常状态判断为,“具有连接器的正规的ecu被占领”这第六异常状态(s1610)。
[13-2.异常状态的判断处理的变形例]
在此,参照图17,说明idsecu110的异常状态的判断处理的变形例。图17是示出实施方式涉及的idsecu110的异常状态的判断处理的变形例的流程图。而且,在图17的流程图中,对于与图16的流程图的处理相同的处理,附上相同的步骤号码,省略其说明。
如图17示出,首先,与所述同样,执行步骤s1601至s1604的各个处理。在步骤s1603中,在异常连接器数不是“0个”的情况下(s1603的“否”),网络异常判断部117,判断为车载网络系统10为第二异常状态。在此情况下,网络异常判断部117,对连接器响应存储部116存储的异常响应次数、与异常帧存储部114存储的异常发生次数进行比较(s1701)。
在异常响应次数小于异常发生次数的情况下(s1701的“是”),进入所述步骤s1604。另一方面,在异常响应次数为异常发生次数以上的情况下(s1701的“否”),网络异常判断部117,判断为车载网络系统10为第七异常状态。在此情况下,连接器通信部115,生成包括全连接器请求id的状态请求帧,将生成的状态请求帧,经由帧中继部112以及总线通信部111发送到总线100(s1702)。连接器通信部115,在接收包括全连接器响应id的状态响应帧时,将全连接器数以及接收时刻存储到连接器响应存储部116。
网络异常判断部117,确认连接器响应存储部116存储的当前的全连接器数与过去的全连接器数(n个)是否一致(s1703)。在当前的全连接器数比过去的全连接器数少的情况下(s1703的“n-1个以下”),进入所述步骤s1607。并且,在当前的全连接器数比过去的全连接器数多的情况下(s1703的“n+1个以上”),进入所述步骤s1608。并且,在当前的全连接器数与过去的全连接器数相同的情况下(s1703的“n个”),进入所述步骤s1610。
[13-3.对异常状态的应对处理]
接着,参照图18,说明idsecu110的对异常状态的应对处理。图18是示出实施方式涉及的idsecu110的对异常状态的应对处理的流程图。
如图18示出,idsecu110的网络异常应对部118,确认网络异常判断部117的异常状态的种类(s1801)。
在网络异常判断部117判断的异常状态为第三异常状态的情况下(s1801的“没有连接器的异常ecu与总线连接”),网络异常应对部118,生成显示请求帧,将生成的显示请求帧,经由帧中继部112以及总线通信部111发送到总线100。据此,网络异常应对部118,向iviecu120e请求将催促驾驶员进行车辆40的安全停止的消息显示在仪表面板等(s1802)。
返回到步骤s1801,在网络异常判断部117判断的异常状态为第六异常状态的情况下(s1801的“具有连接器的正规的ecu被占领”),网络异常应对部118,生成初始化请求帧,将生成的初始化请求帧,经由帧中继部112以及总线通信部111发送到总线100。据此,网络异常应对部118,向与发送了异常响应帧的连接器130连接的正规的ecu120请求软件的初始化(s1803)。
返回到步骤s1801,在网络异常判断部117判断的异常状态为第四异常状态的情况下(s1801的“存在不能通信的ecu”),网络异常应对部118,生成停止请求帧,将生成的停止请求帧,经由帧中继部112以及总线通信部111发送到总线100。据此,网络异常应对部118,向车辆40请求停止(s1804)。
返回到步骤s1801,在网络异常判断部117判断的异常状态为第三异常状态的情况下(s1801的“具有连接器的异常ecu与总线连接”),网络异常应对部118,生成通信停止帧,将生成的通信停止帧,经由帧中继部112以及总线通信部111发送到连接器130(发送了异常响应帧的连接器130)。据此,网络异常应对部118,向发送了异常响应帧的连接器130,请求与一对一地连接于该连接器130的异常的ecu120的通信的停止(s1805)。
在所述步骤s1802、s1803、s1804以及s1805之后,网络异常应对部118,将网络异常判断部117判断的异常状态通知给车辆分析服务器20(s1806)。
[14.效果]
由网络异常判断部117,能够适当地判断车载网络系统10的异常状态。例如,在网络异常判断部117计算出的异常连接器数为“0个”的情况下,即使异常帧检测部113检测出异常帧,连接器130也没有存储将异常帧发送到总线100的情况。
因此,在此情况下,网络异常判断部117能够,将车载网络系统10的异常状态判断为,“没有连接器130的异常的ecu120与总线100连接”这第一异常状态。并且,在网络异常判断部117计算出的异常连接器数不是“0个”的情况下,能够将车载网络系统10的异常状态判断为第二异常状态。
据此,网络异常应对部118能够,适当地应对车载网络系统10的异常状态。
(其他的变形例)
以上,对于一个或多个形态涉及的异常检测装置、异常检测系统以及控制方法,根据所述实施方式进行了说明,但是,本公开,不仅限于所述实施方式。只要不脱离本公开的宗旨,对实施方式实施本领域技术人员想到的各种变形的形态,或组合不同的实施方式的构成要素来构成的形态,也可以包含在一个或多个形态的范围内。
(1)在所述实施方式中,作为搭载在汽车等的车辆40的车载网络中的安全对策进行了说明,但是,适用范围,不仅限于此。例如,也可以除了汽车等的车辆40以外,还适用于作为移动体的建筑机械、农业机械、船舶、铁路以及飞机等。也就是说,能够适用于移动性网络以及移动性网络系统的网络安全对策。
(2)在所述实施方式中,说明了车载网络是can,但是,不仅限于此,例如,也可以是can-fd(canwithflexibledatarate)、ethernet(注册商标)、lin(localinterconnectnetwork)、flexray(注册商标)等,或者,也可以是它们的组合。
(3)在所述实施方式中,根据与车速有关的数据帧的异常判断了车载网络系统10的异常状态,但是,不仅限于此,也可以检测例如停车支援系统、车道保持功能或冲突防止功能等的先进驾驶支援系统的控制的异常。
(4)在所述实施方式中,判断了与安全性有关的车载网络系统10的异常状态,但是,也可以将ecu120或连接器130的故障检测为异常状态。
(5)在所述实施方式中,idsecu110,存储了异常发生次数、异常连接器数、异常响应次数以及全连接器数,但是,也可以由非易失性存储器存储它们,也可以按每车辆40的点火的on复位非易失性存储器的存储内容。
(6)在所述实施方式中,idsecu110,对当前的全连接器数与正常时的全连接器数进行了比较,但是,对于正常时的全连接器数,也可以不利用过去的全连接器数,而利用在车辆40的出货前在idsecu110预先设定的数据。
(7)在所述实施方式中,idsecu110,经由iviecu120e向车辆分析服务器20通知了异常状态,但是,不仅限于此。例如,idsecu110也可以,不经由iviecu120e,而经由与该idsecu110直接连接的外部网络30向车辆分析服务器20通知异常状态。
(8)在所述实施方式中,在异常状态的判断时向车辆分析服务器20以及驾驶员通知了异常状态,但是,不仅限于此,也可以向例如iviecu120e等的ecu120通知异常状态。进一步,在车辆40与车车间通信以及路车间通信等对应的情况下,也可以向其他的车辆以及路侧机等的基础结构装置通知异常状态。据此,能够向本车周边的车辆以及过路人具有的设备等通知异常状态,能够实现事故防止。
(9)在所述实施方式中,在异常状态的判断时向车辆分析服务器20以及驾驶员通知了异常状态,但是,也可以在车载网络系统10上的设备保存为记录。在将异常状态保存为记录的情况下,从外部经由诊断端口120a读出记录,从而汽车的经销商能够掌握异常内容。或者,也可以将记录定期地发送到车辆分析服务器20。
(10)在所述实施方式中,在异常状态的判断时,从a)催促驾驶员进行安全停止的请求、b)ecu120的软件的初始化的请求、c)车辆40的停止的请求、d)与ecu120的通信的停止的请求、这四种应对手段中选择了,但是,应对手段不仅限于所述四种。例如,也可以利用e)发动机的紧急停止的请求、f)紧急刹车的工作的请求、g)警告声以及警告灯的工作的请求、h)ecu120的软件的更新请求、i)向手动驾驶模式的切换的请求等、其他的应对手段,也可以选择这些应对手段的组合。据此,能够执行更安全的应对。
(11)在所述实施方式中,在异常状态的判断时,从a)催促驾驶员进行安全停止的请求、b)ecu120的软件的初始化的请求、c)车辆40的停止的请求、d)与ecu120的通信的停止的请求、这四种应对手段中选择了,但是,也可以按照判断为异常的ecu120的特性选择应对手段。例如,在判断为空调控制ecu被占领的情况下,即使将空调控制ecu与总线100切断,安全方面的影响也小,因此,也可以不利用请求催促驾驶员进行安全停止的消息的显示的应对手段,而利用将空调控制ecu与总线100切断的应对手段。据此,能够执行更安全的应对。
(12)在所述实施方式中,在异常状态的判断时,将每个异常的数据帧的连接器130的响应次数作为异常响应次数利用了,但是,也可以不将异常响应次数存储到连接器响应存储部116,而将连接器130所存储的异常帧的发送次数存储到异常响应帧,通知给网络异常判断部117。
(13)构成所述实施方式的各个装置的构成要素的一部分或全部,也可以由一个系统lsi(largescaleintegration:大规模集成电路)构成。系统lsi是,将多个结构部集成在一个芯片上而制造的超多功能lsi,具体而言,构成为包括微处理器、rom、ram等的计算机系统。在ram,记录有计算机程序。微处理器,根据计算机程序工作,据此,系统lsi实现其功能。并且,构成所述各个装置的构成要素的各个部分,也可以个别地单片化,也可以以包含一部分或全部的方式单片化。并且,在此,设为系统lsi,但是,也会有根据集成度的不同,称为ic、lsi、超lsi、特大lsi的情况。并且,集成电路化的方法,不仅限于lsi,也可以由专用电路或通用处理器来实现。也可以利用能够编程的fpga(fieldprogrammablegatearray)、或能够重构lsi内部的电路单元的连接以及设定的可重构处理器。进而,若因半导体技术的进步或派生的其他的技术而出现代替lsi的集成电路化的技术,当然,也可以利用该技术进行功能块的集成化。会有生物技术的适用等的可能性。
(14)构成所述各个装置的构成要素的一部分或全部也可以,由与各个装置能够装卸的ic卡或单体的组件构成。ic卡或模块是,由微处理机、rom、ram等构成的计算机系统。ic卡或模块也可以包括,所述超多功能lsi。微处理机根据计算机程序工作,从而ic卡或模块实现其功能。该ic卡或该模块也可以具有,防篡改性。
(15)作为本发明的一个形态,也可以是由计算机实现异常检测装置的控制方法的程序(计算机程序),也可以是由计算机程序构成的数字信号。并且,作为本发明的一个形态,也可以将计算机程序或数字信号记录到计算机可读取的记录介质,例如软盘、硬盘、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blue-ray(注册商标)disc)、半导体存储器等。并且,也可以是这些记录介质中记录的数字信号。并且,作为本发明的一个形态,也可以将计算机程序或数字信号,经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等传输。并且,作为本发明的一个形态,也可以是具备微处理器和存储器的计算机系统,存储器,记录所述计算机程序,微处理器,根据计算机程序工作。并且,也可以将程序或数字信号传输到记录介质来记录,或者,将程序或数字信号经由网络等传输,从而由独立的其他的计算机系统执行。
(16)由所述实施方式以及所述变形例示出的各个构成要素以及功能的任意的组合实现的形态也包含在本发明的范围内。
本发明涉及的异常检测装置,有用于例如搭载在车载网络系统的idsecu等。
符号说明
1车辆分析系统
10、1000车载网络系统
20车辆分析服务器
30外部网络
40车辆
100、500总线
110、510idsecu
111、121、131、132总线通信部
112帧中继部
113异常帧检测部
114异常帧存储部
115连接器通信部
116连接器响应存储部
117网络异常判断部
118网络异常应对部
120ecu
120a诊断端口
120b发动机ecu
120c制动器ecu
120d仪表板ecu
120eiviecu
122外部装置控制部
130、130a、130b、130c、130d、130e、530a、530b、530c连接器
133帧中继部
134发送帧存储部
135ids响应部
520a、520b、520c控制ecu
- 还没有人留言评论。精彩留言会获得点赞!