车载通信装置、通信控制方法和通信控制程序与流程

车载通信装置、通信控制方法和通信控制程序
1.相关申请交叉引用
2.本申请要求于2018年11月5日提交的日本专利申请no.2018
‑
208370的优先权，其全部内容以引用方式并入本文中。
技术领域
3.本发明涉及一种车载通信装置、一种通信控制方法和一种通信控制程序。


背景技术：

4.日本特开专利公开no.2013
‑
168865(专利文献1)公开了如下的一种车载网络系统。即，一种车载网络系统包括：车载控制装置，其设置有用于存储定义数据的存储器，所述定义数据定义基于车载网络上使用的通信协议中的车载网络上的实施的部分；以及通信协议发出装置，其被配置为将定义数据发出至车载控制装置。当从用于允许车载控制装置参与车载网络的注册装置接收请求允许车载控制装置参与车载网络的注册请求时，在认证注册装置之后，通信协议发出装置基于车载网络上的实施创建定义数据，并且将定义数据返回至注册装置。注册装置接收通信协议发出装置发送的定义数据，并且请求车载控制装置将接收到的定义数据存储在存储器中。车载控制装置从注册装置接收定义数据，将定义数据存储在存储器中，并且根据定义数据所定义的部分利用符合通信协议的车载网络进行通信。
5.同时，“国际标准iso13400
‑
2”，[线上]，[2018年8月30日搜索]，互联网url:https://www.sis.se/api/document/preview/914803/(非专利文献1)，以及“国际标准iso13400
‑
4”，[线上]，[2018年8月30日搜索]，互联网url:https://www.sis.se/api/document/preview/920321/(非专利文献2)均公开了一种关于doip(通过互联网诊断协议(diagnostics overinternet protocol))的技术，其为用于对车辆执行诊断的通信协议。
[0006]
引文列表
[0007]
[专利文献]
[0008]
专利文献1：日本特开专利公开no.2013
‑
168865
[0009]
[非专利文献]
[0010]
非专利文献1：“国际标准iso13400
‑
2”，[线上]，[2018年8月30日搜索]，互联网url:https://www.sis.se/api/document/preview/914803/
[0011]
非专利文献2：“国际标准iso13400
‑
4”，[线上]，[2018年8月30日搜索]，互联网url:https://www.sis.se/api/document/preview/920321/


技术实现要素：

[0012]
(1)本公开的车载通信装置是一种将被安装在车辆中的车载通信装置。车载通信装置包括：存储单元，其被配置为存储指示地址与端口编号之间的对应关系的对应信息；以及通信单元，其被配置为利用存储单元中的对应信息对接收到的分组执行筛选。在对应信
息中预先注册目标端口编号，所述目标端口编号是目标设备的端口编号。在筛选时，通信单元选择性地允许包括目标端口编号的分组通过。通信单元执行地址注册处理，即，从包括目标端口编号的分组获取地址，以及将获取的地址与目标端口编号关联地注册在对应信息中，并且在地址注册处理之后的筛选中，通信单元选择性地允许接收到的包括目标端口编号和相应地址的分组通过。
[0013]
(6)本公开的通信控制方法是一种在安装在车辆中的车载通信装置中执行的通信控制方法。所述通信控制方法包括步骤：从包括目标端口编号的分组中获取地址，所述目标端口编号是目标设备的端口编号，并且将获取的地址与目标端口编号关联地注册至指示地址与端口编号之间的对应关系的对应信息中；以及利用对应信息执行筛选，其中选择性地允许包括目标端口编号和相应地址的接收到的分组通过。
[0014]
(7)本公开的通信控制程序是一种用于车载通信装置中的通信控制程序。车载通信装置安装在车辆中，并且包括存储单元，其被配置为存储指示地址与端口编号之间的对应关系的对应信息。通信控制程序被配置为使得计算机用作：通信单元，该通信单元被配置为通过利用存储单元中的对应信息对接收到的分组执行筛选。在对应信息中预先注册目标端口编号，所述目标端口编号是目标设备的端口编号。在筛选时，通信单元选择性地允许包括目标端口编号的分组通过。通信单元执行地址注册处理，即，从包括目标端口编号的分组获取地址，以及将获取的地址与目标端口编号关联地注册在对应信息中，并且在地址注册处理之后的筛选中，通信单元选择性地允许接收到的包括目标端口编号和相应地址的分组通过。
[0015]
本公开的一个模式不仅可以实现为包括这种特征处理单元的车载通信装置，还可以实现为包括车载通信装置的车载通信系统。本公开的一个模式可以实现为半导体集成电路，其实现一部分或整个车载通信装置。
附图说明
[0016]
图1示出了根据本公开的实施例的车载通信系统的配置。
[0017]
图2示出了根据本公开的实施例的车载通信系统的应用示例。
[0018]
图3示出了根据本公开的实施例的车载通信装置的比较示例的配置。
[0019]
图4示出了在根据比较示例的车载通信装置中在存储单元中存储的筛选表的示例。
[0020]
图5示出了根据本公开的实施例的车载通信装置的配置。
[0021]
图6示出了在根据本公开的实施例的车载通信装置中在存储单元中存储的在认证之前的筛选表的示例。
[0022]
图7示出了在根据本公开的实施例的车载通信装置中在存储单元中存储的在认证后的筛选表的示例。
[0023]
图8是示出根据本公开的实施例的车载通信系统中的在加入设备(entry instrument)与车载通信装置之间的信息流的时序图。
[0024]
图9示出了根据本公开的实施例的修改例的车载通信装置的配置。
[0025]
图10示出了在根据本公开的实施例的修改例的车载通信装置中在存储单元中存储的筛选表的示例。
具体实施方式
[0026]
如今，已经研发了用于改进车载网络中的安全性的车载网络系统。
[0027]
[本公开要解决的问题]
[0028]
例如，当使用doip的工具连接至车载网络时，在工具与车辆之间执行通信，可以执行关于车辆的诊断。
[0029]
然而，例如，当伪装为授权工具的未授权工具连接至车载网络时，可能无法检测到未授权工具，并且不能确保车载网络中的正常通信。
[0030]
提出本公开以解决以上问题。本公开的一方面是提供能够提高车载网络中的安全性的一种车载通信装置、一种通信控制方法和一种通信控制程序。
[0031]
[本公开的效果]
[0032]
根据本公开，可以进一步提高车载网络中的安全性。
[0033]
[本公开的实施例的描述]
[0034]
首先，列出和描述本公开的实施例的内容。
[0035]
(1)根据本公开的实施例的车载通信装置是一种安装在车辆中的车载通信装置。车载通信装置包括：存储单元，其被配置为存储指示地址与端口编号之间的对应关系的对应信息；以及通信单元，其被配置为利用存储单元中的对应信息对接收到的分组执行筛选。在对应信息中预先注册目标端口编号，所述目标端口编号是目标设备的端口编号。在筛选中，通信单元选择性地允许包括目标端口编号的分组通过。通信单元执行地址注册处理，即，从包括目标端口编号的分组获取地址，以及将获取的地址与目标端口编号关联地注册在对应信息中，并且在地址注册处理之后的筛选中，通信单元选择性地允许接收到的包括目标端口编号和相应地址的分组通过。
[0036]
因此，通过其中除设备的地址之外、还使用端口编号执行分组的筛选的配置，可以确定例如其中正确地址被非法使用的分组。另外，在诸如在将设备连接至车载网络时还未获取设备的地址的阶段，可以通过使用端口编号执行分组的筛选，并且通过进一步使用从具有正确的端口编号的分组中获取的地址来执行筛选。因此，可以进一步提高车载网络中的安全性。
[0037]
(2)优选地，通信单元利用在包括目标端口编号并且被允许通过的分组中包括的信息来执行用于与目标设备建立通信连接的连接处理，并且通信单元将分组中包括的地址与目标端口编号关联地注册至对应信息中。在通信连接断开之后，通信单元从对应信息中删除地址。
[0038]
根据该配置，例如，当目标设备再次执行与车载通信装置的连接处理，并且使得分组包括与先前连接处理中的分组中包括的地址不同的地址时，或者当与目标设备不同的另一目标设备执行与车载通信装置的连接处理时，可以通过从新执行连接处理的目标设备中筛选分组，以允许分组通过。
[0039]
(3)优选地，通信单元利用在包括目标端口编号并且被允许通过的分组中包括的信息来对分组的传输源执行认证处理，并且当认证处理成功时，通信单元执行地址注册处理。
[0040]
根据该配置，例如，可以确定其中目标端口编号被非法使用的分组。因此，可以进一步提高车载网络中的安全性。
[0041]
(4)优选地，所述通信单元利用在包括所述目标端口编号并且被允许通过的所述分组中包括的信息来执行用于与所述目标设备建立通信连接的连接处理，并且所述通信单元许可用于一个或多个目标设备的地址注册处理，直到已经建立了通信连接的目标设备的数量达到预定值为止。
[0042]
根据该配置，车载通信装置可以并行建立与多个目标设备的通信连接。
[0043]
(5)优选地，在对应信息中预先注册与目标设备不同的设备的地址与端口编号之间的对应关系。
[0044]
根据该配置，例如，可以确定其中安装在车辆中的设备的地址被非法使用的分组。因此，可以进一步提高车载网络中的安全性。
[0045]
(6)根据本公开的实施例的通信控制方法是一种在安装在车辆中的车载通信装置中执行的通信控制方法。通信控制方法包括步骤：从包括目标端口编号的分组中获取地址，所述目标端口编号是目标设备的端口编号，以及将获取的地址与目标端口编号关联地注册至指示地址与端口编号之间的对应关系的对应信息中；以及利用对应信息执行筛选，其中选择性地允许接收到的包括目标端口编号和相应地址的分组通过。
[0046]
因此，根据其中利用除设备的地址之外的端口编号执行分组的筛选的方法，可以确定例如其中正确地址被非法使用的分组。另外，在诸如在将设备连接至车载网络时还未获取设备的地址的阶段，可以通过使用端口编号执行分组的筛选，并且通过进一步使用从具有正确的端口编号的分组中获取的地址来执行筛选。因此，可以进一步提高车载网络中的安全性。
[0047]
(7)根据本公开的实施例的通信控制程序是一种用于车载通信装置中的通信控制程序。所述车载通信装置被安装在车辆中并且包括存储单元，所述存储单元被配置为存储指示地址与端口编号之间的对应关系的对应信息。所述通信控制程序被配置为使得计算机用作：通信单元，其被配置为利用存储单元中的对应信息对接收到的分组执行筛选。在对应信息中预先注册目标端口编号，所述目标端口编号是目标设备的端口编号。在筛选时，通信单元选择性地允许包括目标端口编号的分组通过。通信单元执行地址注册处理，即，从包括目标端口编号的分组获取地址，以及将获取的地址与目标端口编号关联地注册在对应信息中，并且在地址注册处理之后的筛选中，通信单元选择性地允许接收到的包括目标端口编号和相应地址的分组通过。
[0048]
因此，根据其中通过利用除设备的地址之外的端口编号执行分组的筛选的方法，可以确定例如其中正确地址被非法使用的分组。另外，在诸如在将设备连接至车载网络时还未获取设备的地址的阶段，可以通过使用端口编号执行分组的筛选，并且通过进一步使用从具有正确的端口编号的分组中获取的地址来执行筛选。因此，可以进一步提高车载网络中的安全性。
[0049]
下文中，将参照附图描述本公开的实施例。在图中，相同或对应的部分由相同标号指示，并且不重复其描述。下面描述的实施例的至少一些部分可以根据需要组合在一起。
[0050]
<配置和基本操作>
[0051]
[车载通信系统的概述]
[0052]
图1示出了根据本公开的实施例的车载通信系统的配置。
[0053]
参照图1，车载通信系统301包括车载通信装置101和多个功能单元111。车载通信
系统301安装在车辆1中。
[0054]
例如，每个功能单元111是自动驾驶ecu(电子控制单元)、传感器、导航装置、tcu(远程通信单元)、人机接口、相机等，并且可以与车载通信装置101通信。
[0055]
车载通信装置101和每个功能单元111通过例如车载以太网(注册商标)通信线缆(下文中，还称作以太网线缆)彼此连接。
[0056]
车载通信装置101和功能单元111利用以太网线缆彼此通信。例如，根据ieee 802.3，在车载通信装置101与功能单元111之间利用以太网帧进行信息通信。
[0057]
[车载通信系统的应用示例]
[0058]
图2示出了根据本公开的实施例的车载通信系统的应用示例。
[0059]
在图2中，示出了自动驾驶ecu 111a、传感器111b和导航装置111c作为功能单元111的特定示例。自动驾驶ecu 111a、传感器111b和导航装置111c中的每一个连接至车载通信装置101中的通信端口(未示出)。
[0060]
车载通信系统301可以不一定包括三个功能单元111，而是可包括两个、四个或更多个功能单元111。
[0061]
在车载网络201中，例如，通过利用ip分组发送/接收信息。ip分组存储在以太网帧中并且被发送。
[0062]
例如，车载通信装置101是一种车载网关装置，并且执行在车载网络201中的功能单元111之间中继数据的中继处理。也就是说，车载通信装置101中继在自动驾驶ecu 111a、传感器111b和导航装置111c之间发送的以太网帧。
[0063]
具体地说，传感器111b对例如车辆1周围的对象定期执行感测，并且创建包括指示感测结果的传感器信息的ip分组，并且将ip分组存储在以太网帧中。在ip分组中，例如，包括传感器111b的ip地址和自动驾驶ecu 111a的ip地址，分别作为传输源ip地址和传输目的地ip地址。
[0064]
例如，传感器111b将自动驾驶ecu 111a的mac地址和传感器111b的mac地址分别作为传输目的地mac地址和传输源mac地址写入以太网帧。
[0065]
然后，传感器111b将其中写了传输目的地mac地址和传输源mac地址的以太网帧发送至车载通信装置101。
[0066]
在从传感器111b接收到以太网帧时，车载通信装置101对接收到的以太网帧执行中继处理，从而将以太网帧发送至自动驾驶ecu111a。
[0067]
例如，自动驾驶ecu 111a从经车载通信装置101从传感器111b接收到的以太网帧中获取传感器信息，并且基于获取的传感器信息控制车辆1的驾驶。
[0068]
[车载通信装置]
[0069]
(比较示例)
[0070]
图3示出了根据本公开的实施例的车载通信装置的比较示例的配置。
[0071]
参照图3，根据比较示例的车载通信装置901包括通信单元51、中继单元52和存储单元53。
[0072]
(a)中继处理
[0073]
通信单元51和中继单元52执行在车载网络201中的功能单元111之间中继数据的中继处理。
[0074]
在存储单元53中存储有筛选表t9。
[0075]
图4示出了在根据比较示例的车载通信装置中在存储单元中存储的筛选表的示例。
[0076]
参照图3和图4，筛选表t9包括对应信息，其指示车载网络201中的每个功能单元111的mac地址与ip地址之间的对应关系。
[0077]
更具体地说，筛选表t9包括每个功能单元111的mac地址与ip地址之间的对应关系以及功能单元111所属的vlan(虚拟局域网)的识别信息。
[0078]
具体地说，注册mac地址“mac
‑
a”和ip地址“ip
‑
a”作为功能单元111a的地址。另外，注册“l1”作为功能单元111a所属的vlan的识别信息，并且注册了许可包括mac地址“mac
‑
a”和ip地址“ip
‑
a”的分组通过。
[0079]
注册mac地址“mac
‑
b”和ip地址“ip
‑
b”作为功能单元111b的地址。另外，注册“l1”作为功能单元111b所属的vlan的识别信息，并且注册了许可包括mac地址“mac
‑
b”和ip地址“ip
‑
b”的分组通过。
[0080]
注册mac地址“mac
‑
c”和ip地址“ip
‑
c”作为功能单元111c的地址。另外，注册“l2”作为功能单元111c所属的vlan的识别信息，并且注册了许可包括mac地址“mac
‑
c”和ip地址“ip
‑
c”的分组通过。
[0081]
当通信单元51从功能单元111接收到以太网帧时，通信单元51参照接收到的以太网帧中包括的传输源mac地址和传输源ip地址。
[0082]
当在筛选表t9中注册在以太网帧中包括的传输源mac地址和传输源ip地址的集合时，通信单元51将以太网帧输出至中继单元52。
[0083]
同时，当在筛选表t9中未注册在以太网帧中包括的传输源mac地址和传输源ip地址的集合时，例如，通信单元51丢弃以太网帧。
[0084]
在接收到从通信单元51输出的以太网帧时，中继单元52利用以太网帧中包括的传输目的地mac地址、传输目的地ip地址等执行层2或层3的切换处理，并且将以太网帧发送至目的地功能单元111。
[0085]
(b)地址注册处理
[0086]
例如，车载通信装置901还包括当用户添加诸如功能单元111的工具时使用的端口(下文中，还称作扩展端口)。扩展端口在初始状态下是开放式端口。
[0087]
在图4中，如筛选表t9中所示，注册了例如，当根据doip执行通信的工具连接至车载网络201时，许可从该工具发送的分组通过。具体地说，例如，在vlan项中注册“doip”，并且指示未指明mac地址或ip地址的“任意(any)”与“doip”关联。
[0088]
这里，假设其中新工具(下文中，还称作加入设备(entry instrument))连接至扩展端口的情况。假设加入设备的ip地址和mac地址分别为“ip
‑
d”和“mac
‑
d”。
[0089]
例如，加入设备保存用作“默认网关”的车载通信装置901的ip地址，但不保存对应于该ip地址的mac地址。为了获取车载通信装置901的mac地址，加入设备广播arp(地址解析协议)请求帧。
[0090]
在这种情况下，在arp请求帧中，数据字段中的传输源硬件地址、传输源协议地址、传输目的地硬件地址和传输目的地协议地址的设置值为“mac
‑
d”、“ip
‑
d”、零和车载通信装置901的ip地址。
[0091]
当车载通信装置901中的通信单元51从加入设备接收到arp请求帧时，通信单元51识别出arp请求帧的目的地是车载通信装置901，因为arp请求帧中包括的传输目的地协议地址是车载通信装置901的ip地址。
[0092]
然后，通信单元51创建包括车载通信装置901的作为传输源硬件地址和传输源协议地址的mac地址和ip地址的arp应答帧，并且将创建的arp应答帧发送至加入设备。
[0093]
另外，通信单元51接收包括udp(用户数据报协议)分组等并且从加入设备发送的以太网帧。然后，基于接收到的以太网帧，通信单元51获取传输源协议地址(即“ip
‑
d”)以及传输源硬件地址(即，“mac
‑
d”)，并且在筛选表t9中与“doip”关联地注册获取的地址的集合。
[0094]
也就是说，通信单元51在筛选表t9中将mac地址“任意”改为“mac
‑
d”，并且将ip地址“任意”改为“ip
‑
d”。
[0095]
当通信单元51在执行地址注册处理之后接收到新分组时，通信单元51参照筛选表t9，并且选择性地允许该分组通过。在执行加入设备的地址注册之后，通信单元51许可来自加入设备分组(即，包括在筛选表t9中注册的mac地址和ip地址的集合的分组)通过，并且通信单元51将该分组输出至中继单元52。
[0096]
在接收到从通信单元51输出的分组时，中继单元52将该分组发送至另一功能单元111。
[0097]
[问题的描述]
[0098]
例如，假设伪装成授权加入设备(下文中，还称作目标设备)的未授权工具连接至车载网络201。在这种情况下，未授权工具具有目标设备的mac地址和ip地址的集合，即，在筛选表t9中注册的mac地址和ip地址的集合。
[0099]
因此，车载通信装置901中的通信单元51许可来自未授权工具的分组通过，并且将该分组输出至中继单元52。然后，中继单元52中继从通信单元51接收到的分组。结果，车载网络201可能被攻击，并且可以导致不利影响。
[0100]
根据本公开的实施例的车载通信装置101通过如下的配置和操作解决了以上问题。
[0101]
(根据本公开的实施例的车载通信装置)
[0102]
图5示出了根据本公开的实施例的车载通信装置的配置。
[0103]
参照图5，根据本公开的实施例的车载通信装置101包括通信单元11、中继单元12、存储单元13和检测单元14。通信单元11包括地址/端口管理单元21和认证单元22。在存储单元13中存储筛选表t1。存储单元13是例如非易失性存储器。
[0104]
(a)地址注册处理和中继处理
[0105]
图6示出了根据本公开的实施例的车载通信装置中在存储单元中存储的在认证之前的筛选表的示例。图6示出了在车载通信装置101的激活等时在初始状态下的筛选表t1的内容。
[0106]
参照图5和图6，筛选表t1包括指示地址与逻辑端口编号之间的对应关系的对应信息。在筛选表t1中预先注册作为目标设备的逻辑端口编号的目标端口编号。
[0107]
这里，目标设备是连接至车载通信装置101中的扩展端口的加入设备，并且是根据doip执行通信的诊断工具。另外，目标端口编号是l4(层4)的逻辑端口编号，假设其为
“
13400”。
[0108]
更具体地说，在筛选表t1中，例如，注册了许可根据doip通信并且包括逻辑端口编号“13400”的分组通过。另外，注册了不许可根据doip通信并且包括除“13400”以外的逻辑端口编号的分组通过。
[0109]
同时，在筛选表t1中预先注册与目标设备不同的设备的地址与逻辑端口编号之间的对应关系。
[0110]
具体地说，注册了许可来自属于“l1”的vlan并且包括分别作为mac地址、ip地址和逻辑端口编号的“mac
‑
a”、“ip
‑
a”和“10000”的功能单元111的分组通过。
[0111]
注册了许可来自属于“l1”的vlan并且包括分别作为mac地址、ip地址和逻辑端口编号的“mac
‑
b”、“ip
‑
b”和“20000”的功能单元111的分组通过。
[0112]
注册了许可来自属于“l2”的vlan并且包括分别作为mac地址、ip地址和逻辑端口编号的“mac
‑
c”、“ip
‑
c”和“30000”的功能单元111的分组通过。
[0113]
通信单元11利用存储在存储单元13中的筛选表t1对接收到的分组执行筛选。具体地说，在筛选中，通信单元11中的地址/端口管理单元21选择性地允许包括目标端口编号的分组通过。也就是说，地址/端口管理单元21：参照筛选表t1；从接收到的分组中选择包括目标端口编号的分组；许可选择的分组通过；并且将分组输出至认证单元22。
[0114]
通信单元11利用在包括目标端口编号并且被允许通过的分组中包括的信息执行建立与目标设备的通信连接的连接处理。另外，通信单元11执行用于将分组中包括的地址与目标端口编号关联地注册至对应信息中的地址注册处理。
[0115]
更具体地说，当加入设备已连接至车载网络201时，地址/端口管理单元21接收从加入设备广播的arp请求帧。
[0116]
当地址/端口管理单元21从加入设备接收到arp请求帧并且识别出arp请求帧的目的地是车载通信装置101时，地址/端口管理单元21创建arp应答帧。然后，地址/端口管理单元21将创建的arp应答帧发送至作为arp请求帧的传输源的加入设备。
[0117]
地址/端口管理单元21接收例如包括从加入设备发送的udp分组的以太网帧，并且参照接收到的以太网帧中的udp分组中包括的逻辑端口编号。
[0118]
然后，当逻辑端口编号为“13400”时，例如，地址/端口管理单元21与加入设备通信包括发现信息的以太网帧。因此，在车载通信装置101与加入设备之间执行发现处理。
[0119]
同时，当逻辑端口编号不是“13400”时，地址/端口管理单元21不执行加入设备的发现处理。因此，防止建立车载通信装置101与加入设备之间的通信连接，从而可以防止加入设备对车载网络201的攻击等。在这种情况下，例如，地址端口/管理单元21将指示加入设备的mac地址等的设备信息输出至检测单元14。
[0120]
接收到从地址端口/管理单元21输出的设备信息，检测单元14检测到作为未授权工具的加入设备连接至车载网络201。然后，例如，检测单元14将其中设备信息的内容与当前时间彼此关联的日志信息注册至存储单元13中。
[0121]
同时，当完成对车载通信装置101的发现处理时，加入设备将用于认证的udp分组或tcp(传输控制协议)分组发送至车载通信装置101。
[0122]
当车载通信装置101中的地址/端口管理单元21接收到包括逻辑端口编号“13400”并且已从加入设备发送的用于认证的分组时，地址/端口管理单元21将分组输出至认证单
元22。
[0123]
在接收到从地址/端口管理单元21输出的分组时，认证单元22尝试利用分组来认证加入设备。
[0124]
当加入设备的认证成功时，认证单元22将包括指示认证成功的响应信息的分组经由地址/端口管理单元21发送至加入设备。因此，建立了车载通信装置101与加入设备之间的通信连接。
[0125]
另外，认证单元22获取从已认证成功的加入设备接收到的分组中包括的地址，并且执行将获取的地址与目标端口编号关联地注册至对应信息中的地址注册处理。
[0126]
图7示出了根据本公开的实施例的车载通信装置中在存储单元中存储的在认证后的筛选表的示例。
[0127]
参照图7，具体地说，例如，认证单元22获取筛选表t1中的已认证成功的加入设备的mac地址“mac
‑
d1”和加入设备的ip地址“ip
‑
d1”。然后，认证单元22将这些获取的地址与逻辑端口编号“13400”关联地注册至筛选表t1中。
[0128]
当通信单元11在执行地址注册处理之后接收到新分组时，通信单元11在分组的筛选中参照筛选表t1，并且选择性地允许包括目标端口编号和对应地址的分组通过。
[0129]
也就是说，当接收到新分组时，地址/端口管理单元21许可包括在筛选表t1中注册的mac地址、ip地址和逻辑端口编号的分组通过，并且地址/端口管理单元21将该分组输出至中继单元12。
[0130]
再参照图5，与根据比较示例的车载通信装置901中的中继单元52相似，当中继单元12接收到从通信单元11输出的分组时，中继单元12通过利用分组中包括的传输目的地mac地址、ip地址等执行层2或层3的切换处理，并且将该分组发送至目的地功能单元111。
[0131]
同时，当加入设备的认证失败时，认证单元22不执行地址注册处理。因此，通过地址/端口管理单元21中的分组的筛选，例如，可以防止中继其中授权加入设备的地址被非法使用的分组。
[0132]
(b)地址的删除
[0133]
当加入设备要与车载通信装置101断开通信连接时，加入设备将包括断开请求的分组发送至车载通信装置101。
[0134]
在接收到包括从加入设备发送的断开请求的分组时，车载通信装置101中的地址/端口管理单元21将例如包括许可断开通信连接的响应信息的分组发送至加入设备。因此，车载通信装置101与加入设备之间的通信连接断开。
[0135]
在车载通信装置101与加入设备之间的通信连接断开之后，地址/端口管理单元21从对应信息中删除加入设备的地址。也就是说，地址/端口管理单元21删除与筛选表t1中的目标端口编号“13400”关联的mac地址“mac
‑
d1”和ip地址“ip
‑
d1”。因此，在筛选表t1中，如图6所示，与目标端口编号“13400”关联的mac地址和ip地址二者均恢复为“任意”。
[0136]
然后，在从筛选表t1中删除“mac
‑
d1”和“ip
‑
d1”之后，在新接收到的分组的筛选中，地址/端口管理单元21选择性地允许包括逻辑端口编号“13400”的分组通过。
[0137]
当加入装置执行与车载通信装置101的连接处理时分组中包括的地址通常是可变的。也就是说，对于作为被认证的授权加入装置的目标设备，在与车载通信装置101的通信连接断开之后，并且当目标设备再次执行与车载通信装置101的连接处理时，目标设备有时
使得分组包括与先前的连接处理中的分组中包括的地址不同的地址。
[0138]
另外，与目标设备不同的另一授权加入设备，即，地址与目标设备的地址不同的另一授权加入设备，有时执行与车载通信装置101的连接处理。
[0139]
在这些情况下，如果筛选表t1中保留与逻辑端口编号“13400”关联的地址，则新执行与车载通信装置101的连接处理的授权加入设备不能建立与车载通信装置101的通信连接。
[0140]
相反，如上所述，在车载通信装置101与认证的目标设备之间的通信连接断开之后，地址/端口管理单元21删除与筛选表t1中的逻辑端口编号“13400”关联的地址。根据该配置，许可来自新执行与车载通信装置101的连接处理的授权加入设备的分组通过，并且可以建立加入设备与车载通信装置101之间的通信连接。
[0141]
应该注意，在车载通信装置101与加入设备之间的通信连接断开之后，地址/端口管理单元21可以不必从对应信息中删除加入设备的地址。可以采用以下配置：其中即使通信连接断开，地址/端口管理单元21也不从对应信息中删除加入设备的地址。
[0142]
在这种情况下，例如，在车载通信装置101与加入设备之间的通信连接断开之后，并且当地址/端口管理单元21新接收到包括目标端口编号的分组时，地址/端口管理单元21允许分组通过，而不管分组中包括的地址。然后，当认证单元22成功认证作为分组的传输源的加入设备时，例如，认证单元22将与筛选表t1中的目标端口编号关联的地址更新为加入设备的地址。
[0143]
在筛选表t1中，可以与逻辑端口编号“13400”关联地注册的mac地址和ip地址的集合的数量可为预定值2或更大。在这种情况下，认证单元22执行一个或多个目标设备的地址注册处理，直到建立了与车载通信装置101的通信连接的目标设备的数量(即，作为包括逻辑端口编号“13400”的分组的传输源并且成功认证的目标设备的数量)达到预定值为止。
[0144]
因此，车载通信装置101可以并行建立与多个目标设备的通信连接。
[0145]
认证单元22可以将成功认证的目标设备的mac地址和ip地址中的任一个注册至筛选表t1中。在这种情况下，在通过认证单元22的地址注册处理之后的分组筛选中，地址/端口管理单元21选择性地允许包括在筛选表t1中注册的mac地址或ip地址和逻辑端口编号为“13400”的分组通过。
[0146]
车载通信装置101可以不必包括认证单元22，并且可以采用其中车载通信装置101不包括认证单元22的配置。
[0147]
车载通信装置101可以不必包括检测单元14，并且可以采用其中车载通信装置101不包括检测单元14的配置。
[0148]
<操作流程>
[0149]
车载通信系统301中的每个装置包括带有存储器的计算机。诸如计算机中的cpu的算术处理单元从存储器中读出，包括时序图中的一部分步骤或所有步骤的程序，并且执行程序。所述多个装置的程序可以均从外部安装。所述多个装置的程序均在被存储在存储介质中的状态下进行分布。
[0150]
图8是示出根据本公开的实施例的车载通信系统中的加入设备与车载通信装置之间的信息流的时序图。
[0151]
这里，假设图6示出的筛选表t1在激活车载通信装置101时已经被存储在存储单元
13中。应该注意，可以在激活车载通信装置101之后，通过地址/端口管理单元21创建筛选表t1或者通过用户注册筛选表t1。
[0152]
参照图8，首先，当加入设备已经连接至车载网络201(步骤s11)时，加入设备广播arp请求帧(步骤s12)。
[0153]
接着，当车载通信装置101中的地址/端口管理单元21已经从加入设备接收到arp请求帧时，基于arp请求帧中包括的传输目的地协议地址，地址/端口管理单元21识别出arp请求帧的目的地是车载通信装置101。
[0154]
然后，地址/端口管理单元21创建包括车载通信装置101的mac地址和ip地址的arp应答帧，分别作为传输源硬件地址和传输源协议地址。然后，地址/端口管理单元21将创建的arp应答帧发送至作为arp请求帧的传输源的加入设备(步骤s13)。
[0155]
接着，加入设备接收从车载通信装置101发送的arp应答帧。然后，加入设备例如通过使用arp应答帧中包括的车载通信装置101的mac地址和ip地址将包括udp分组的以太网帧发送至车载通信装置101(步骤s14)。
[0156]
接着，在从加入设备接收到以太网帧时，例如，车载通信装置101中的地址/端口管理单元21确认接收到的以太网帧中的udp分组中包括的逻辑端口编号是否与目标端口编号相同(步骤s15)。
[0157]
然后，当包括与目标端口编号相同的逻辑端口编号时(步骤s15中为是)，地址/端口管理单元21与加入设备通信包括发现信息的以太网帧。因此，在车载通信装置101与加入设备之间执行发现处理(步骤s16)。
[0158]
接着，在车载通信装置101与加入设备之间执行其中通信用于建立通信连接的分组(诸如用于认证的分组)的连接处理(步骤s17)。
[0159]
接着，当来自加入设备的分组包括筛选表t1中注册的目标端口编号时，车载通信装置101中的地址/端口管理单元21将分组输出至认证单元22。然后，认证单元22尝试通过利用从地址/端口管理单元21接收到的分组来认证加入设备(步骤s18)。
[0160]
接着，当已经成功认证加入设备时(步骤s18中为“是”)，认证单元22将包括指示认证成功的响应信息的分组经由地址/端口管理单元21发送至加入设备(步骤s19)。因此，建立了车载通信装置101与加入设备之间的通信连接。
[0161]
接着，通过利用从加入设备接收到的分组，认证单元22执行将已认证成功的加入设备的mac地址和ip地址与筛选表t1中的目标端口编号关联地进行注册的地址注册处理(步骤s20)。
[0162]
应该注意，在发送指示认证成功的响应信息之后(步骤s19)，认证单元22可以发送/接收用于建立与加入装置的通信连接的预定信息。在这种情况下，认证单元22可以在加入设备的认证成功之后并且在建立车载通信装置101与加入设备之间的通信连接之前执行地址注册处理。
[0163]
接着，例如，在车载通信装置101与加入设备之间通信包括将用于车辆1的诊断的诊断信息的以太网帧。
[0164]
也就是说，车载通信装置101中的地址/端口管理单元21将包括筛选表t1中注册的逻辑端口编号、mac地址和ip地址的集合的分组输出至中继单元12。
[0165]
然后，中继单元12执行将从地址/端口管理单元21接收到的以太网帧发送至功能
单元111的中继处理。中继单元12可以执行将从功能单元111发送的分组中继至加入设备的中继处理(步骤s21)。
[0166]
接着，当加入设备要与车载通信装置101断开通信连接时，加入设备将包括断开请求的分组发送至车载通信装置101(步骤s22)。
[0167]
接着，在接收到包括从加入设备发送的断开请求的分组时，例如，车载通信装置101中的地址/端口管理单元21将包括许可断开通信连接的响应信息的分组发送至加入设备(步骤s23)。因此，车载通信装置101与加入设备之间的通信连接断开。
[0168]
接着，在车载通信装置101与加入设备之间的通信连接断开之后，地址/端口管理单元21从筛选表t1删除加入设备的地址(步骤s24)。
[0169]
同时，在步骤s15中，当从加入设备接收到的以太网帧中的udp分组中包括的逻辑端口编号与目标端口编号不同时(步骤s15中为“否”)，地址/端口管理单元21不执行加入设备的发现处理。在这种情况下，例如，地址/端口管理单元21将指示加入设备的mac地址等的设备信息输出至检测单元14，并且从加入设备丢弃该分组。
[0170]
然后，在接收到从地址/端口管理单元21输出的设备信息时，检测单元14检测到作为未授权工具的加入设备已连接至车载网络201，并且例如将其中设备信息的内容和当前时间彼此关联的日志信息注册至存储单元13中(步骤s25)。
[0171]
在步骤s18中，当认证单元22利用来自地址/端口管理单元21的分组对加入设备的认证失败时(步骤s18中为“否”)，认证单元22将指示加入设备的mac地址等的设备信息输出至检测单元14，并且例如从加入设备中丢弃该分组。
[0172]
然后，在接收到从认证单元22输出的设备信息时，检测单元14检测到作为未授权工具的加入设备已连接至车载网络201，并且例如将其中设备信息的内容和当前时间彼此关联的日志信息注册至存储单元13中(步骤s25)。
[0173]
在步骤s21中，当从加入设备接收到的分组不包括目标端口编号和对应地址中的至少一个时，地址/端口管理单元21就丢弃分组。
[0174]
当将日志信息注册至存储单元13中时，检测单元14可以向外部装置、用户等通知日志信息的内容。
[0175]
<车载通信装置的修改例>
[0176]
根据本公开的实施例的上述车载通信装置101执行在车载网络201中的功能单元111之间中继数据的中继处理。相反，根据本公开的实施例的修改例的车载通信装置102是自动驾驶ecu、传感器、导航装置、tcu、人机接口、相机等的ecu，并且不执行中继处理。
[0177]
图9示出了根据本公开的实施例的修改例的车载通信装置的配置。
[0178]
参照图9，车载通信装置102包括通信单元31、处理单元32、存储单元33和检测单元34。通信单元31包括地址/端口管理单元41和认证单元42。筛选表t2存储在存储单元33中。
[0179]
图10示出了在根据本公开的实施例的修改例的车载通信装置中在存储单元中存储的筛选表的示例。图10示出了在车载通信装置102的激活等时在初始状态下的筛选表t2的内容。
[0180]
参照图9和图10，在筛选表t2中预先注册作为目标设备的逻辑端口编号的目标端口编号。
[0181]
具体地说，在筛选表t2中，例如，注册了许可根据doip进行通信并且包括目标端口
编号“13400”的分组通过。另外，注册了不许可根据doip进行通信并且包括“13400”以外的逻辑端口编号的分组通过。
[0182]
与图5所示的通信单元11相似，通信单元31通过利用存储在存储单元33中的筛选表t2执行对接收到的分组的筛选。
[0183]
也就是说，在对从加入设备接收到的分组的筛选中，地址/端口管理单元41选择性地允许包括目标端口编号的分组通过，并且地址/端口管理单元41将该分组输出至认证单元42。地址/端口管理单元41丢弃不包括目标端口编号的分组，并且地址/端口管理单元41将指示作为分组的传输源的设备的mac地址等的设备信息输出至检测单元34。
[0184]
认证单元42尝试利用从地址/端口管理单元41接收到的分组来认证加入设备，并且执行与逻辑端口编号“13400”关联地在筛选表t2中注册已认证成功的加入设备的mac地址与ip地址的地址注册处理。
[0185]
地址/端口管理单元41将包括逻辑端口编号“13400”和通过认证单元42在筛选表t2中注册的mac地址和ip地址的分组输出至处理单元32。
[0186]
同时，地址/端口管理单元41丢弃不包括目标端口编号以及对应的mac地址和ip地址中的至少一个的分组，并且地址/端口管理单元41将指示作为分组的传输源的设备的mac地址等的设备信息输出至检测单元34。
[0187]
在接收到从地址/端口管理单元41输出的设备信息时，检测单元34检测到作为未授权工具的加入设备已经连接至车载网络201。然后，例如，检测单元34将其中设备信息的内容和当前时间彼此关联的日志信息注册至存储单元33中。检测单元34可以向外部装置、用户等通知日志信息的内容。
[0188]
在断开车载通信装置102与加入设备之间的通信连接之后，地址/端口管理单元41从筛选表t2中删除加入设备的mac地址与ip地址。
[0189]
当接收到从认证单元42输出的分组之后，处理单元32通过利用分组中包括的信息执行各种处理，诸如，其中安装有车载通信装置101的车辆1的驾驶控制。
[0190]
应该注意，图5所示的根据本公开的实施例的车载通信装置101中的存储单元13可以存储如图10所示的筛选表t2。另外，图9所示的根据本公开的实施例的修改例的车载通信装置102中的存储单元33可以存储如图6所示的筛选表t1。
[0191]
车载通信装置102可以不必包括检测单元34，并且可以采用其中车载通信装置102不包括检测单元34的配置。
[0192]
同时，例如，当使用doip的工具连接至车载网络并且在工具与车辆之间执行通信时，可以执行关于车辆的诊断。
[0193]
然而，例如，当伪装成授权工具的未授权工具连接至车载网络时，未授权工具可能不能被检测到，并且不能确保车载网络中的正常通信。
[0194]
相反，在根据本公开的实施例的车载通信装置101中，存储单元13存储指示地址与端口编号之间的对应关系的对应信息。通信单元11通过利用存储单元13中的对应信息执行接收到的分组的筛选。在对应信息中预先注册作为目标设备的端口编号的目标端口编号。在筛选中，通信单元11选择性地允许包括目标端口编号的分组通过。通信单元11执行从包括目标端口编号的分组中获取地址并将获取的地址与目标端口编号关联地注册到对应信息中的地址注册处理，并且在地址注册处理之后的筛选中，通信单元11选择性地允许被接
收到的并且包括目标端口编号和对应地址的分组通过。
[0195]
因此，根据其中通过利用除设备的地址之外的端口编号执行分组的筛选的配置，可以确定例如其中正确地址被非法使用的分组。另外，在诸如在将设备连接至车载网络201时还未获取设备的地址的阶段，可以通过使用端口编号执行分组的筛选，并且通过进一步使用从具有正确的端口编号的分组中获取的地址来执行筛选。
[0196]
因此，在根据本公开的实施例的车载通信装置101中，可以进一步提高车载网络201中的安全性。
[0197]
在根据本公开的实施例的车载通信装置101中，通信单元11利用包括目标端口编号并且被允许通过的分组中包括的信息来执行用于建立与目标设备的通信连接的连接处理，并且通信单元11将分组中包括的地址与目标端口编号关联地注册至对应信息中。在与目标设备的通信连接断开之后，通信单元11从对应信息中删除地址。
[0198]
根据该配置，例如，当目标设备再次执行与车载通信装置101的连接处理，并且使得分组包括与先前连接处理中的分组中包括的地址不同的地址时，或者当与目标设备不同的另一目标设备执行与车载通信装置101的连接处理时，在从新执行连接处理的目标设备中筛选分组中，可以允许分组通过。
[0199]
在根据本公开的实施例的车载通信装置101中，通信单元11利用包括目标端口编号并且被允许通过的分组中包括的信息针对分组的传输源执行认证处理，并且当认证处理成功时，通信单元11执行地址注册处理。
[0200]
根据该配置，例如，可以确定其中目标端口编号被非法使用的分组。因此，可以进一步提高车载网络201中的安全性。
[0201]
在根据本公开的实施例的车载通信装置101中，通信单元11利用包括目标端口编号并且被允许通过的分组中包括的信息来执行用于建立与目标设备的通信连接的连接处理，并且通信单元11许可用于一个或多个目标设备的地址注册处理，直到建立了通信连接的目标设备的数量达到预定值为止。
[0202]
根据该配置，车载通信装置101可以并行地建立与多个目标设备的通信连接。
[0203]
在根据本公开的实施例的车载通信装置101中，在对应信息中预先注册与目标设备不同的设备的地址与端口编号之间的对应关系。
[0204]
根据该配置，例如，可以确定其中车辆1中安装的设备的地址被非法使用的分组。因此，可以进一步提高车载网络201中的安全性。
[0205]
在根据本公开的实施例的通信控制方法中，首先，通信单元11从包括作为目标设备的端口编号的目标端口编号的分组中获取地址，并且将获取的地址与目标端口编号关联地注册至指示地址与端口编号之间的对应关系的对应信息中。接着，通信单元11利用对应信息执行筛选，其中选择性地允许接收到并且包括目标端口编号和相应地址的分组通过。
[0206]
因此，根据其中通过利用除设备的地址之外的端口编号执行分组的筛选的方法，可以确定例如其中正确地址被非法使用的分组。另外，在诸如在将设备连接至车载网络201时还未获取设备的地址的阶段，可以通过使用端口编号执行分组的筛选，并且通过进一步使用从具有正确的端口编号的分组中获取的地址来执行筛选。
[0207]
因此，在根据本公开的实施例的通信控制方法中，可以进一步提高车载网络201中的安全性。
[0208]
公开的实施例在所有方面都仅是说明性的，并且不应理解为是限制性的。本公开的范围由权利要求的范围限定，而不是由以上说明限定，并且其旨在包括等同于权利要求的范围的含义和该范围内的所有修改例。
[0209]
以上说明包括下面的额外条目中的特征。
[0210]
[额外条目1]
[0211]
一种将安装在车辆中的车载通信装置，所述车载通信装置包括：
[0212]
存储单元，其被配置为存储指示地址与端口编号之间的对应关系的对应信息；以及
[0213]
通信单元，其被配置为利用存储单元中的对应信息对接收到的分组执行筛选，其中，
[0214]
在对应信息中预先注册作为目标设备的端口编号的目标端口编号，
[0215]
在筛选时，通信单元选择性地允许包括目标端口编号的分组通过，
[0216]
通信单元执行地址注册处理，即，从包括目标端口编号的分组获取地址，以及将获取的地址与目标端口编号关联地注册在对应信息中，并且在地址注册处理之后的筛选中，通信单元选择性地允许包括目标端口编号和相应地址的接收到的分组通过，
[0217]
当目标设备执行用于与车载通信装置的通信连接的连接处理时分组中包括的地址是可变的，
[0218]
在筛选时，通信单元丢弃不包括目标端口编号的分组，
[0219]
在执行地址注册处理之后，通信单元在筛选时丢弃不包括目标端口编号和相应地址中的至少一个的分组，
[0220]
在与目标设备的通信连接断开之后，通信单元从对应信息中删除地址，并且在筛选时，选择性地允许包括目标端口编号的分组通过，
[0221]
车载通信装置还包括检测单元，其被配置为检测未授权工具已经被连接，
[0222]
当在筛选时丢弃分组时，通信单元将关于分组的传输源的设备信息输出至检测单元，并且
[0223]
在接收到从通信单元输出的设备信息时，检测单元检测到未授权工具已经被连接，并且注册设备信息的内容。
[0224]
参考标号列表：
[0225]
1：车辆
[0226]
11、31、51：通信单元
[0227]
12、52：中继单元
[0228]
13、33、53：存储单元
[0229]
14、34：检测单元
[0230]
21、41：地址/端口管理单元
[0231]
22、42：认证单元
[0232]
32：处理单元
[0233]
101、102、901：车载通信装置
[0234]
111：功能单元
[0235]
201：车载网络
[0236]
301：车载通信系统