本發(fā)明涉及一種通信系統(tǒng)、控制裝置和控制方法。

背景技術(shù)：

近年來(lái)，存在一種通信系統(tǒng)，其由設(shè)在車輛內(nèi)的多個(gè)控制裝置彼此通過(guò)車輛內(nèi)部網(wǎng)絡(luò)進(jìn)行通信，用來(lái)對(duì)車輛內(nèi)的各種功能進(jìn)行控制。這種通信系統(tǒng)中有一種公知技術(shù)，當(dāng)網(wǎng)絡(luò)中產(chǎn)生不正當(dāng)行為時(shí)該技術(shù)可用來(lái)降低其影響(例如參照日本發(fā)明申請(qǐng)公開(kāi)公報(bào)特開(kāi)2014-11621號(hào)(以下記為專利文獻(xiàn)1))。

在專利文獻(xiàn)1中公開(kāi)了如下內(nèi)容：在包含信道和連接在該信道上的多個(gè)ecu的can通信系統(tǒng)中，檢測(cè)出存在的假冒行為，并利用表示存在假冒行為的消息(message)來(lái)進(jìn)行通知。

但是，根據(jù)專利文獻(xiàn)1時(shí)，為了接收存在假冒行為的通知，需發(fā)送表示存在假冒行為的消息并對(duì)發(fā)送的消息進(jìn)行接收以進(jìn)行判斷。當(dāng)想用這種方法使各控制裝置免受網(wǎng)絡(luò)中的不正當(dāng)行為影響時(shí)，需重新追加收發(fā)表示不正當(dāng)行為的消息的處理，因而存在連接于網(wǎng)絡(luò)的裝置的處理變得繁雜這一問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明是鑒于上述情況而做出，其目的之一是提供如下一種通信系統(tǒng)、控制裝置和通信控制方法：其能通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)使控制裝置免受網(wǎng)絡(luò)中的不正當(dāng)行為的影響。

為實(shí)現(xiàn)上述目的，本發(fā)明采用以下實(shí)施方式。

(1)本發(fā)明的一個(gè)實(shí)施方式所述的通信系統(tǒng)具有：發(fā)信裝置，其連接于網(wǎng)絡(luò)，并且在自裝置處于規(guī)定的異常狀態(tài)的情況下向所述網(wǎng)絡(luò)發(fā)送的消息為產(chǎn)生了規(guī)定的缺損的消息；收信裝置，其連接于所述網(wǎng)絡(luò)，并且在檢測(cè)出從所述網(wǎng)絡(luò)接收到的消息中存在所述規(guī)定的缺損的情況下進(jìn)行規(guī)定的故障安全系統(tǒng)(failsafesystem)處理，在所述網(wǎng)絡(luò)中的不正當(dāng)行為被檢測(cè)出的情況下，所述發(fā)信裝置在生成并發(fā)送與所述自裝置處于所述規(guī)定的異常狀態(tài)的所述情況相同的產(chǎn)生了規(guī)定缺損的消息。

根據(jù)上述實(shí)施方式(1)，通信系統(tǒng)具有連接于網(wǎng)絡(luò)的發(fā)信裝置和收信裝置。發(fā)信裝置在自裝置處于規(guī)定的異常狀態(tài)的情況下向所述網(wǎng)絡(luò)發(fā)送的消息產(chǎn)生規(guī)定的缺損。在檢測(cè)出從所述網(wǎng)絡(luò)接收到的消息中存在所述規(guī)定的缺損時(shí)，收信裝置進(jìn)行規(guī)定的故障安全系統(tǒng)處理。在網(wǎng)絡(luò)中的不正當(dāng)行為被檢測(cè)出時(shí)，發(fā)信裝置也生成并發(fā)送與所述自裝置處于規(guī)定的異常狀態(tài)時(shí)相同的產(chǎn)生了規(guī)定的缺損的消息。

(2)在上述實(shí)施方式(1)中，作為所述網(wǎng)絡(luò)中的所述不正當(dāng)行為，所述發(fā)信裝置可檢測(cè)假冒所述自裝置的裝置連接于所述網(wǎng)絡(luò)。

(3)在上述實(shí)施方式(1)或(2)中，所述發(fā)信裝置可檢測(cè)出由其他裝置發(fā)送了附有表示所述自裝置為發(fā)信方的識(shí)別符的消息，而判定為檢測(cè)到網(wǎng)絡(luò)中的所述不正當(dāng)行為。

(4)在上述實(shí)施方式(1)中，作為所述網(wǎng)絡(luò)中的所述不正當(dāng)行為，所述發(fā)信裝置可檢測(cè)所述網(wǎng)絡(luò)中的dos攻擊。

(5)在上述實(shí)施方式(1)中，作為所述網(wǎng)絡(luò)中的所述不正當(dāng)行為，所述發(fā)信裝置可檢測(cè)對(duì)所述網(wǎng)絡(luò)的不正當(dāng)訪問(wèn)。

(6)在上述實(shí)施方式(1)～(5)的任意一項(xiàng)中，所述發(fā)信裝置可使用于對(duì)所述發(fā)送的消息的傳輸錯(cuò)誤進(jìn)行檢測(cè)的信息為不同于正當(dāng)值的值，來(lái)將其作為產(chǎn)生了所述規(guī)定的缺損的所述消息。

(7)在上述實(shí)施方式(1)～(5)的任意一項(xiàng)中，所述發(fā)信裝置可使表示通過(guò)所述發(fā)送的消息而被發(fā)送的信息已被更新的信息為不同于正當(dāng)值的值，而作為產(chǎn)生了所述規(guī)定的缺損的所述消息。

(8)在上述實(shí)施方式(1)～(7)的任意一項(xiàng)中，也可以是：在來(lái)自所述發(fā)信裝置的消息中被檢測(cè)出所述規(guī)定的缺損之后的一定時(shí)間的期間，所述收信裝置不接收消息。

(9)在上述實(shí)施方式(1)～(7)的任意一項(xiàng)中，也可以是：在來(lái)自所述發(fā)信裝置的消息中被檢測(cè)出所述規(guī)定的缺損之后的一定時(shí)間的期間，在所述發(fā)信裝置接收到包含表示與被檢測(cè)出所述規(guī)定的缺損的所述消息的發(fā)信方相同的發(fā)信方的識(shí)別符的消息時(shí)，所述收信裝置不在所述收信裝置的處理中使用接收到的消息中所包含的信息。

(10)本發(fā)明的一個(gè)實(shí)施方式所述的控制裝置為如下一種控制裝置：其向在從網(wǎng)絡(luò)的消息中檢測(cè)到規(guī)定的缺損的情況下進(jìn)行規(guī)定的故障安全系統(tǒng)處理的收信裝置發(fā)送消息，所述控制裝置連接于所述網(wǎng)絡(luò)，并且在自裝置處于規(guī)定的異常狀態(tài)的情況下向所述網(wǎng)絡(luò)發(fā)送的消息為產(chǎn)生了規(guī)定的缺損的消息，所述控制裝置具有控制部，該控制部在被檢測(cè)出所述網(wǎng)絡(luò)中的不正當(dāng)行為的情況下，生成并發(fā)送與所述自裝置處于所述規(guī)定的異常狀態(tài)的所述情況相同的產(chǎn)生了規(guī)定的缺損的消息。

(11)本發(fā)明的一個(gè)實(shí)施方式所述的控制方法是具有發(fā)信裝置和收信裝置的通信系統(tǒng)的控制方法，所述發(fā)信裝置連接于網(wǎng)絡(luò)并且在自裝置處于規(guī)定的異常狀態(tài)的情況下向所述網(wǎng)絡(luò)發(fā)送的消息為產(chǎn)生了規(guī)定的缺損的消息；所述收信裝置連接于所述網(wǎng)絡(luò)并且在檢測(cè)出從所述網(wǎng)絡(luò)接收到的消息中存在所述規(guī)定的缺損的情況下進(jìn)行規(guī)定的故障安全系統(tǒng)處理，其中包含如下過(guò)程：在所述網(wǎng)絡(luò)中的不正當(dāng)行為被檢測(cè)出的情況下，生成并發(fā)送與所述自裝置處于所述規(guī)定的異常狀態(tài)的所述情況相同的產(chǎn)生了規(guī)定的缺損的消息。

根據(jù)上述的本發(fā)明實(shí)施方式，通信系統(tǒng)具有：發(fā)信裝置，其連接于網(wǎng)絡(luò)并且在自裝置處于規(guī)定的異常狀態(tài)的情況下向所述網(wǎng)絡(luò)發(fā)送的消息為產(chǎn)生了規(guī)定的缺損的消息；收信裝置，其連接于所述網(wǎng)絡(luò)并且在檢測(cè)出從所述網(wǎng)絡(luò)接收到的消息中存在所述規(guī)定的缺損的情況下進(jìn)行規(guī)定的故障安全系統(tǒng)處理，其中，所述發(fā)信裝置在所述網(wǎng)絡(luò)中的不正當(dāng)行為被檢測(cè)出的情況下，也生成并發(fā)送與所述自裝置處于所述規(guī)定的異常狀態(tài)的所述情況相同的產(chǎn)生了規(guī)定的缺損的消息，因此能通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)使控制裝置免受網(wǎng)絡(luò)中的不正當(dāng)行為的影響。

附圖說(shuō)明

圖1是表示實(shí)施方式的車輛通信系統(tǒng)1的結(jié)構(gòu)的圖。

圖2是表示ecu10的結(jié)構(gòu)例的圖。

圖3是ecu10向總線2發(fā)送的幀f的形式例。

圖4是表示ecu10中的信息接收處理概要的流程圖。

圖5是表示用于檢測(cè)產(chǎn)生了信息缺損的判定處理的一例的圖。

圖6是表示檢測(cè)不出網(wǎng)絡(luò)nw中的不正當(dāng)行為時(shí)的車輛通信系統(tǒng)的動(dòng)作的時(shí)序圖(其1)。

圖7是表示檢測(cè)不出網(wǎng)絡(luò)nw中的不正當(dāng)行為時(shí)的車輛通信系統(tǒng)的動(dòng)作的時(shí)序圖(其2)。

圖8是對(duì)比較例的車輛通信系統(tǒng)的動(dòng)作進(jìn)行例示的圖。

圖9是表示實(shí)施方式的ecu10-1的結(jié)構(gòu)的圖。

圖10是表示ecu10-1檢測(cè)不正當(dāng)行為時(shí)所實(shí)施的處理概要的流程圖。

圖11是表示實(shí)施假冒行為時(shí)的車輛通信系統(tǒng)1的動(dòng)作的時(shí)序圖。

圖12是表示實(shí)施假冒行為時(shí)的車輛通信系統(tǒng)1的動(dòng)作的圖。

圖13是表示在網(wǎng)絡(luò)nw中實(shí)施dos攻擊時(shí)的車輛通信系統(tǒng)1a的動(dòng)作的時(shí)序圖。

圖14是表示實(shí)施不正當(dāng)訪問(wèn)時(shí)的車輛通信系統(tǒng)1b的動(dòng)作的時(shí)序圖。

具體實(shí)施方式

下面，參照附圖來(lái)說(shuō)明本發(fā)明的通信系統(tǒng)、控制裝置和控制方法的實(shí)施方式。

(第1實(shí)施方式)

圖1是表示實(shí)施方式的車輛通信系統(tǒng)1(通信系統(tǒng))的結(jié)構(gòu)的圖。

車輛通信系統(tǒng)1例如搭載在車輛上。車輛通信系統(tǒng)1至少在車輛內(nèi)構(gòu)成網(wǎng)絡(luò)nw。網(wǎng)絡(luò)nw例如經(jīng)總線2進(jìn)行基于can(controllerareanetwork：控域網(wǎng))的通信。

車輛通信系統(tǒng)1具有連接于總線2的ecu10-1～ecu10-3。以下，在不區(qū)分ecu10-1～ecu10-3時(shí)只記為“ecu10”?？偩€2例如為雙絞電纜，采用差動(dòng)電壓方式傳遞信號(hào)。對(duì)ecu10-1～ecu10-3等裝置連接于同一總線2上的情況進(jìn)行說(shuō)明，也可連接于不同的總線上，該總線可通過(guò)未圖示的中轉(zhuǎn)裝置等相互進(jìn)行通信。

ecu10例如為控制發(fā)動(dòng)機(jī)的發(fā)動(dòng)機(jī)ecu、控制安全帶的安全帶ecu等。ecu10用于接收發(fā)送給自裝置所屬的網(wǎng)絡(luò)nw的幀。以下，將發(fā)送給網(wǎng)絡(luò)nw的各幀稱為幀f。通過(guò)各自所附有的識(shí)別符(以下稱為id)來(lái)識(shí)別幀f。ecu10這樣工作：參照接收到的幀f所附有的id(以下稱為收信id)，從接收到的幀f中將用于識(shí)別涉及自ecu10的幀f的id(以下稱為注冊(cè)id)預(yù)先存儲(chǔ)在存儲(chǔ)部20(圖2)之中，抽取附有與注冊(cè)id相同值的收信id的幀。另外，ecu10例如以接收到包含與自ecu10的注冊(cè)id相同值的收信id的幀f為條件，根據(jù)預(yù)先設(shè)定的優(yōu)先度將幀發(fā)送給總線2。

網(wǎng)絡(luò)nw中設(shè)有供驗(yàn)證裝置等外部裝置連接的dlc3。dlc3具有與外部裝置進(jìn)行通信的連接端子。在車輛點(diǎn)檢時(shí)等，連接到dlc3的驗(yàn)證裝置等與連接于總線2的ecu10進(jìn)行通信，用以檢查、驗(yàn)證車輛通信系統(tǒng)1的狀態(tài)。除了車輛點(diǎn)檢時(shí)等，可以不將驗(yàn)證裝置等連接于dlc3而使車輛通信系統(tǒng)1發(fā)揮作用。

發(fā)送給該網(wǎng)絡(luò)nw的各幀f分別設(shè)定有優(yōu)先度，在車輛通信系統(tǒng)1中進(jìn)行從優(yōu)先度較高的幀f開(kāi)始發(fā)送這樣的優(yōu)先度控制。

圖2是表示ecu10的結(jié)構(gòu)例的圖。ecu10例如具有存儲(chǔ)部20、控制部30、can控制器36和can收發(fā)器38。控制部30例如具有cpu(centralprocessingunit)等處理器。

存儲(chǔ)部20例如通過(guò)以下裝置實(shí)現(xiàn)：rom(readonlymemory)、eeprom(electricallyerasableandprogrammablereadonlymemory)、hdd(harddiskdrive)等非易失性存儲(chǔ)裝置；ram(randomaccessmemory)、寄存器等易失性存儲(chǔ)裝置。存儲(chǔ)部20用于存儲(chǔ)應(yīng)用程序22、通信控制程序24等程序和上述程序所參照的各種信息。另外，存儲(chǔ)部20具有包含信息發(fā)送緩沖區(qū)(未圖示)和信息接收緩沖區(qū)(未圖示)的暫存區(qū)域26。另外，作為各種信息，存儲(chǔ)部20例如存儲(chǔ)id表，該id表中存儲(chǔ)有通過(guò)網(wǎng)絡(luò)nw收發(fā)的幀f的id。例如，幀f的id包含表示發(fā)信方、收信方、幀f的種類等的信息。更具體地講，id表包含ecu10-1應(yīng)接收的幀f的id和應(yīng)由ecu10-1發(fā)送的幀f的id。另外，存儲(chǔ)部20中存儲(chǔ)有發(fā)送給網(wǎng)絡(luò)nw的幀f的送信計(jì)劃和優(yōu)先度信息，其中，優(yōu)先度信息是表示幀f的優(yōu)先度的信息。

應(yīng)用程序22是用于進(jìn)行分別分配給ecu10的信息處理的程序。通信控制程序24是這樣一種程序：根據(jù)來(lái)自應(yīng)用程序22的指示來(lái)控制can控制器36以實(shí)施通信處理，并且用于獲取經(jīng)can控制器36進(jìn)行通信的通信處理結(jié)果以作為管理信息。通信控制程序24可構(gòu)成為包含can控制器36自身所執(zhí)行的控制程序，或在can控制器36具有can控制器36自身所執(zhí)行的控制程序時(shí)還可構(gòu)成為不包含can控制器36自身所執(zhí)行的控制程序。在以下說(shuō)明中，例示通信控制程序24構(gòu)成為包含can控制器36的控制程序的情況。

控制部30具有中央控制部32和通信控制部34。中央控制部32通過(guò)執(zhí)行應(yīng)用程序22而發(fā)揮作用以執(zhí)行分給ecu10的控制。

通信控制部34通過(guò)執(zhí)行通信控制程序24而發(fā)揮作用，接受來(lái)自中央控制部32的控制而執(zhí)行ecu10的通信處理。通信控制部34參照經(jīng)can收發(fā)器38接收到的幀f的收信id和存儲(chǔ)在id表中的注冊(cè)id，判定接收到的幀f是否為包含有自裝置的中央控制部32所使用的信息的幀f。存儲(chǔ)在id表中的注冊(cè)id中包含ecu10-1應(yīng)接收的幀f的id(注冊(cè)收信id)和應(yīng)由ecu10-1發(fā)送的幀f的id(注冊(cè)送信id)。在實(shí)施上述判定時(shí)，通信控制部34例如利用id表中的注冊(cè)收信id。

幀f包含有自ecu10使用的信息時(shí)，通信控制部34獲取幀f所包含的信息并存儲(chǔ)在存儲(chǔ)部20的暫存區(qū)域26中。另一方面，幀f不包含自ecu10使用的信息時(shí)，通信控制部34例如控制成廢棄幀f所包含的信息。

經(jīng)can收發(fā)器38接收到的幀f有時(shí)包含來(lái)自信息發(fā)送側(cè)ecu10的消息。由通信控制部34檢測(cè)構(gòu)成幀f的信息的至少一部分、例如包含來(lái)自信息發(fā)送側(cè)ecu10的消息的部分產(chǎn)生規(guī)定的缺損。當(dāng)檢測(cè)出產(chǎn)生了上述規(guī)定的缺損時(shí)，通信控制部34控制成實(shí)施ecu10中的故障安全(fail-safe)處理。所謂ecu10中的故障安全系統(tǒng)處理是指檢測(cè)到異常的ecu10為了降低對(duì)車輛的行駛等帶來(lái)的影響，保持車輛控制狀態(tài)為安全狀態(tài)所實(shí)施的處理。

作為ecu10中的故障安全系統(tǒng)處理，例如通信控制部34控制成：在檢測(cè)出規(guī)定的缺損之時(shí)以后的至少一定時(shí)間的期間，至少不接收新的幀f。通信控制部34不接收的幀f也可限定于如下這樣的幀f：其附有表示附在檢測(cè)出產(chǎn)生了上述規(guī)定的缺損的幀f上的發(fā)信方(信息發(fā)送源)的id。如上所述，ecu10經(jīng)故障安全系統(tǒng)處理來(lái)限制接收的幀f，據(jù)此能限制接收來(lái)自有可能發(fā)生了故障的ecu10的信息。而且，通信控制部34作為上述判定條件的規(guī)定的缺損的詳細(xì)情況將在后面敘述。

通信控制部34將來(lái)自can收發(fā)器38的幀f發(fā)送給can控制器36。例如，通信控制部34將附有表示自裝置發(fā)送幀f的id的幀f(要求幀)發(fā)送給總線2，通信控制部34在接收到發(fā)送來(lái)的要求幀時(shí)，將包含有表示自裝置發(fā)送信息的id的幀f(應(yīng)答幀)發(fā)送給總線2。

can控制器36經(jīng)can收發(fā)器38與總線2之間收發(fā)各種幀f。can控制器36向總線2發(fā)送幀f時(shí)，例如以nrz(non-return-to-zero)方式將存儲(chǔ)在暫存區(qū)域26的信息發(fā)送緩沖區(qū)中的幀f轉(zhuǎn)換為串行發(fā)送信號(hào)并輸出給can收發(fā)器38。can控制器36針對(duì)轉(zhuǎn)換后信號(hào)為“0”(顯性)的比特位(bit)輸出邏輯電平為low的電壓，針對(duì)“1”(隱性)的比特位輸出邏輯電平為high的電壓。另外，can控制器36從can收發(fā)器38接收幀f時(shí)，從can收發(fā)器38所提供的接收信號(hào)中抽出幀f并將所抽出的幀f存儲(chǔ)在暫存區(qū)域26的信息接收緩沖區(qū)中。can控制器36具有用于執(zhí)行幀f中的錯(cuò)誤檢測(cè)處理的錯(cuò)誤檢測(cè)處理部(未圖示)。在發(fā)送幀f時(shí)，錯(cuò)誤檢測(cè)處理部生成包含于幀f的一部分而發(fā)送的規(guī)定的錯(cuò)誤檢測(cè)符號(hào)(校驗(yàn)碼)。在接收幀f時(shí)，錯(cuò)誤檢測(cè)處理部輸出包含于幀f的一部分的錯(cuò)誤檢測(cè)信息的檢測(cè)結(jié)果。

can收發(fā)器38起到發(fā)送幀f的信息發(fā)送部或接收幀f的信息接收部的作用。在向總線2發(fā)送幀f時(shí)，can收發(fā)器38生成對(duì)應(yīng)于從can控制器36獲取的發(fā)送信號(hào)的理論狀態(tài)的差動(dòng)電壓并輸出給總線2。另外，在從總線2獲取幀f時(shí)，can收發(fā)器38生成已被整形為包含于總線2的差動(dòng)電壓起在規(guī)定的電壓范圍的接收信號(hào)并發(fā)送給can控制器36。can控制器36從來(lái)自can收發(fā)器38的信號(hào)中抽出幀f并存儲(chǔ)在存儲(chǔ)部20中。

如上所示，各ecu10具有關(guān)于上述通信處理的同一構(gòu)成。

圖3是ecu10向總線2發(fā)送的幀f的形式例。圖3(a)表示1次信息發(fā)送中被發(fā)送的幀f。幀f包含如下部分等：幀頭(sof)，其表示幀f的開(kāi)始；仲裁域(arbitrationfield)，其包含幀f的id以及用于識(shí)別幀f和遠(yuǎn)程幀的遠(yuǎn)程發(fā)送請(qǐng)求(rtr)；控制域(controlfield)，其表示幀f的字節(jié)(byte)數(shù)等；數(shù)據(jù)域(datafield)，其為被傳送的幀f的實(shí)體；crc域，其附加有用于檢測(cè)幀f的錯(cuò)誤的錯(cuò)誤檢測(cè)符號(hào)(crc)；ack間隙和ack界定符，兩者用于接收來(lái)自接收到正確幀f的單元的通知(ack)；幀尾(eof)，其表示幀f的結(jié)束。

ecu10將用戶數(shù)據(jù)分配給幀f的數(shù)據(jù)域內(nèi)的規(guī)定位置以進(jìn)行通信。除了用戶數(shù)據(jù)以外，數(shù)據(jù)域內(nèi)還可包含用于驗(yàn)證用戶數(shù)據(jù)的可信度的管理信息。用于驗(yàn)證可信度的管理信息例如可包含用于檢查單個(gè)幀f內(nèi)的用戶數(shù)據(jù)或總結(jié)多個(gè)幀f的用戶數(shù)據(jù)的錯(cuò)誤的錯(cuò)誤檢查用信息、用于檢查數(shù)據(jù)域的值被更新的更新檢查信息等。

圖3(b)表示將錯(cuò)誤檢查用信息分配給數(shù)據(jù)域的一例。錯(cuò)誤檢查用信息例如由sum值(checksum)、奇偶性(parity)等錯(cuò)誤檢查用符號(hào)構(gòu)成。圖3(c)表示將用于檢查數(shù)據(jù)域的值被更新的更新檢查信息分配給數(shù)據(jù)域的一例。更新檢查信息包含每次發(fā)送幀f時(shí)會(huì)變化的信息。每次發(fā)送幀f時(shí)會(huì)變化的信息可以是表示與幀f的發(fā)送次數(shù)對(duì)應(yīng)的值的保活計(jì)數(shù)器(alivecounter)。

根據(jù)上述幀f的一例，ecu10可將用于驗(yàn)證用戶數(shù)據(jù)的可信度的管理信息和對(duì)應(yīng)于此的用戶數(shù)據(jù)包含于同一個(gè)幀f進(jìn)行發(fā)送，也可分配至多個(gè)幀f進(jìn)行發(fā)送。而且，管理信息和用戶數(shù)據(jù)任意分配至數(shù)據(jù)域，例如可預(yù)先確定。在以下說(shuō)明中，將幀f、分配給幀f的用戶數(shù)據(jù)和用于驗(yàn)證用戶數(shù)據(jù)的可信度的管理信息合稱為消息。

參照?qǐng)D4～圖7說(shuō)明車輛通信系統(tǒng)的處理。圖4～圖7所示的處理表示本實(shí)施方式中網(wǎng)絡(luò)nw中的不實(shí)施特別的不正當(dāng)?shù)男袨?也稱為不正當(dāng)行為。)的情況。

圖4是表示ecu10中的信息接收處理概要的流程圖。通過(guò)ecu10中的信息接收處理檢測(cè)出從網(wǎng)絡(luò)nw接收的消息有規(guī)定的缺損時(shí)，通信控制部34依照以下順序?qū)嵤┮?guī)定的故障安全系統(tǒng)處理。

通信控制部34參照在can收發(fā)器38所接收到的消息(收信消息)的幀f中附有的收信id來(lái)實(shí)施對(duì)收信消息的過(guò)濾處理(s10)。通信控制部34所實(shí)施的過(guò)濾處理包含如下處理：對(duì)照收信id和存儲(chǔ)在存儲(chǔ)部20中的id表的注冊(cè)收信id，判定是否為包含自ecu10使用的信息的幀f。當(dāng)上述id表中包含與收信id相同值的注冊(cè)收信id時(shí)，通信控制部34將附有與注冊(cè)收信id一致的收信id的幀f作為收信消息而抽出并存儲(chǔ)在存儲(chǔ)部20的暫存區(qū)域26中。

接著，通信控制部34將通過(guò)上述s10中的過(guò)濾處理而抽出的收信消息作為判定對(duì)象而實(shí)施判定處理(s11)。上述判定處理的詳細(xì)情況將在后面敘述。

接著，通信控制部34根據(jù)上述s11中的判定結(jié)果，判定作為判定對(duì)象的收信消息的信息是否有缺損(s12)。若根據(jù)上述s12的判定結(jié)果判定為信息沒(méi)有缺損時(shí)(s12：no)，在針對(duì)作為上述s11的判定處理對(duì)象的收信消息的應(yīng)答處理中，通信控制部34發(fā)出正常接收到收信消息(收信正常)的通知(s13)。由中央控制部32實(shí)施由上述收信消息所指示事項(xiàng)的處理(s14)。

另一方面，若根據(jù)上述s12的判定結(jié)果判定為信息有缺損時(shí)(s12：yes)，在針對(duì)作為上述s11的判定處理對(duì)象的收信消息的應(yīng)答處理中，通信控制部34發(fā)出在接收到收信消息時(shí)檢測(cè)出異常(收信異常)的通知(s15)。由中央控制部32實(shí)施針對(duì)上述收信消息中的信息缺損的故障安全系統(tǒng)處理(s16)。

在以下說(shuō)明中，作為消息的信息發(fā)送側(cè)裝置而例示ecu10-1，作為消息的信息接收側(cè)裝置而例示ecu10-2而進(jìn)行說(shuō)明。

(關(guān)于ecu10的異常/故障及其通知方法)

ecu10的異常/故障即使在自裝置內(nèi)沒(méi)有檢測(cè)出，也可通過(guò)如下所述的基于因異常/故障而產(chǎn)生的消息的缺損的方法來(lái)通知其他ecu10。其他ecu10收到該通知而檢測(cè)通知方ecu10的異常/故障。舉一例說(shuō)明ecu10的異常/故障的種類及其檢測(cè)結(jié)果的通知方法。而且，該例中不在自裝置內(nèi)檢測(cè)ecu10的異常/故障，但也可以在自裝置內(nèi)檢測(cè)的基礎(chǔ)上采用同樣的方法。

(1)作為發(fā)信裝置的ecu10的硬件故障

ecu10-1的結(jié)構(gòu)為：自裝置的硬件出現(xiàn)故障會(huì)導(dǎo)致發(fā)送的用戶數(shù)據(jù)或錯(cuò)誤檢查用信息產(chǎn)生信息缺損。即，ecu10-1的硬件出現(xiàn)故障時(shí)，被發(fā)送的用戶數(shù)據(jù)或錯(cuò)誤檢查用信息產(chǎn)生信息缺損，即應(yīng)在用戶數(shù)據(jù)和錯(cuò)誤檢查用信息之間保持的規(guī)則性產(chǎn)生缺損。所謂應(yīng)在用戶數(shù)據(jù)和錯(cuò)誤檢查用信息之間保持的規(guī)則性，例如是指消息的規(guī)定的部分總和值和錯(cuò)誤檢查用信息所示值相同的規(guī)則性。ecu10-1將產(chǎn)生缺損的信息用于自身的異常/故障通知。收到通知的ecu10-2根據(jù)針對(duì)上述產(chǎn)生信息缺損、規(guī)則性缺損的消息的錯(cuò)誤檢測(cè)結(jié)果，判定為ecu10-1側(cè)有可能產(chǎn)生了異常、即有可能產(chǎn)生了硬件故障。

(2)作為信息發(fā)送設(shè)備的ecu10的超負(fù)荷狀態(tài)

例如有時(shí)ecu10的處理因網(wǎng)絡(luò)nw中產(chǎn)生了某種異常狀態(tài)而呈超負(fù)荷狀態(tài)，ecu10無(wú)法發(fā)送正常的消息。當(dāng)ecu10-2的控制部30所實(shí)施的處理呈超負(fù)荷狀態(tài)時(shí)，例如控制部30無(wú)法將作為應(yīng)答消息而發(fā)送的用戶數(shù)據(jù)寫入存儲(chǔ)部20。其結(jié)果，ecu10-2有時(shí)無(wú)法發(fā)送已更新信息的正常的應(yīng)答消息。例如ecu10將每次發(fā)送幀f時(shí)會(huì)變化的信息、即更新檢查信息包含于發(fā)送用戶數(shù)據(jù)的幀f而進(jìn)行發(fā)送，但產(chǎn)生上述情況時(shí)，表示已更新用戶數(shù)據(jù)的更新檢查信息的規(guī)則性產(chǎn)生混亂，應(yīng)保持規(guī)則性的更新檢查信息的規(guī)則性產(chǎn)生缺損。

所謂表示已更新用戶數(shù)據(jù)的更新檢查信息的規(guī)則性，例如為每次更新用戶數(shù)據(jù)時(shí)更新檢查信息所示值各加規(guī)定值的規(guī)則性。ecu10-2將產(chǎn)生缺損的信息用于自身的異常/故障通知。收到通知的ecu10-1檢測(cè)所收到的消息中的信息缺損、規(guī)則性缺損，判定為ecu10-2側(cè)有可能產(chǎn)生了異常、即有可能產(chǎn)生了超負(fù)荷狀態(tài)。

(檢測(cè)產(chǎn)生了信息缺損的判定處理)

ecu10例如依照?qǐng)D5所示的判定規(guī)則實(shí)施檢測(cè)產(chǎn)生了信息缺損的判定處理。圖5是表示用于檢測(cè)產(chǎn)生了信息缺損的判定處理的一例的圖。當(dāng)檢測(cè)到錯(cuò)誤檢查用信息異常和更新檢查信息異常的至少一方時(shí)，ecu10判定為收信消息中存在異常。

例如檢測(cè)出上述“(1)作為發(fā)信裝置的ecu10的硬件故障”時(shí)，作為上述錯(cuò)誤檢測(cè)處理對(duì)象，ecu10-2實(shí)施將從ecu10-1接收到的消息的錯(cuò)誤檢查用信息包含于檢查對(duì)象的檢查。作為消息的錯(cuò)誤檢查用信息，ecu10-2使從ecu10-1接收到的消息的幀f中的crc、賦予用戶數(shù)據(jù)的sum值、奇偶性等各種錯(cuò)誤檢查用信息中的至少某個(gè)包含于檢查對(duì)象。

ecu10-2可將這些各種錯(cuò)誤檢查用信息中的至少某個(gè)選作上述錯(cuò)誤檢測(cè)處理對(duì)象并實(shí)施上述檢測(cè)，或可組合多個(gè)種類的錯(cuò)誤檢查用信息并實(shí)施上述檢測(cè)。

另外，例如檢測(cè)出上述“(2)作為信息發(fā)送設(shè)備的ecu10的超負(fù)荷狀態(tài)”時(shí)，ecu10-2發(fā)送被賦予每次發(fā)送幀f時(shí)會(huì)變化的信息、即規(guī)則性被保持的更新檢查信息的幀f。ecu10-1通過(guò)檢測(cè)更新檢查信息所示的規(guī)則性而能檢測(cè)出規(guī)則性被保持的更新檢查信息所示的規(guī)則性產(chǎn)生了缺損。ecu10-1也可從應(yīng)答消息中的更新檢查信息的缺損的檢測(cè)結(jié)果來(lái)檢測(cè)ecu10-1的超負(fù)荷狀態(tài)。

而且，ecu10也可這樣：對(duì)于更新檢查信息的異常檢測(cè)，以在預(yù)先確定的期間累計(jì)n次以上檢測(cè)出異常時(shí)判定為異常發(fā)生的方式，依照異常檢測(cè)時(shí)的保護(hù)級(jí)數(shù)進(jìn)行檢測(cè)。像這樣，ecu10通過(guò)規(guī)定保護(hù)級(jí)數(shù)既能防止過(guò)度檢測(cè)異常狀態(tài)，又能實(shí)施檢測(cè)產(chǎn)生了信息缺損的判定。

(故障安全系統(tǒng)處理)

如上所述，為實(shí)施故障安全系統(tǒng)處理，本實(shí)施方式中的ecu10自己檢測(cè)某種異常狀態(tài)、或接收來(lái)自其他ecu10的因信息缺損、規(guī)則性缺損而產(chǎn)生的異常的通知而檢測(cè)該ecu10的異常。檢測(cè)到發(fā)生了某種異常的ecu10或接收到其他ecu10的異常通知的ecu10實(shí)施故障安全系統(tǒng)處理，以至少將自身的控制狀態(tài)保持為安全狀態(tài)。ecu10中的故障安全系統(tǒng)處理包括各ecu10共通的處理和根據(jù)分配給各個(gè)ecu10的功能的種類而預(yù)先確定的處理。

以下，舉例說(shuō)明各ecu10共通實(shí)施的故障安全系統(tǒng)處理。與是否實(shí)施網(wǎng)絡(luò)nw中的不正當(dāng)行為無(wú)關(guān)，各ecu10分別實(shí)施對(duì)應(yīng)于檢測(cè)到的信息缺損、規(guī)則性缺損的故障安全系統(tǒng)處理。

ecu10-2從由ecu10-1發(fā)送來(lái)的消息中檢測(cè)到信息缺損、規(guī)則性缺損時(shí)，實(shí)施遵從在ecu10-2的處理中不使用由ecu10-1發(fā)送來(lái)的控制信息(用戶數(shù)據(jù))等這一規(guī)則的故障安全系統(tǒng)處理。這樣的ecu10-2也可這樣：接收到包含上述控制信息的消息時(shí)，進(jìn)行取消接收到上述消息自身的處理或取消包含在所收到的消息中的控制信息等預(yù)先規(guī)定的處理。

如上所述，ecu10-2在處理中不使用發(fā)送來(lái)的控制信息等。但是，為實(shí)施處理，需要取代上述控制信息的某種信息。ecu10-2也可將處理中不使用的控制信息等置換為用于實(shí)施所希望的動(dòng)作的標(biāo)準(zhǔn)值。此時(shí)，ecu10-2例如預(yù)先將用于實(shí)施所希望的動(dòng)作的標(biāo)準(zhǔn)值存儲(chǔ)在存儲(chǔ)部20中，將包含于消息中的控制信息等所示的值置換為上述標(biāo)準(zhǔn)值。ecu10-2通過(guò)預(yù)先準(zhǔn)備標(biāo)準(zhǔn)值作為用于置換控制信息等所示的值的假想值，就能利用上述假想值而保持安全狀態(tài)并實(shí)施規(guī)定的處理。

參照?qǐng)D6和圖7說(shuō)明實(shí)施上述收信處理的ecu10的動(dòng)作。圖6和圖7是表示檢測(cè)不出網(wǎng)絡(luò)nw中的不正當(dāng)行為時(shí)的車輛通信系統(tǒng)的動(dòng)作的時(shí)序圖。

各ecu10向網(wǎng)絡(luò)nw發(fā)送如下消息，該消息中包含能識(shí)別作為收信方的ecu等的id(s101)。例如，圖6中例示的由ecu10-1發(fā)送的消息的id表示該消息是發(fā)送給ecu10-2的消息。

接著，ecu10-2接收由ecu10-1發(fā)送的消息(s201)并向網(wǎng)絡(luò)nw發(fā)送對(duì)應(yīng)于收信消息的應(yīng)答消息(s202)。ecu10-2實(shí)施接收到的消息中是否包含表示異常的信息的判定。其判定結(jié)果，ecu10-2檢測(cè)出接收到的消息中沒(méi)有信息缺損、規(guī)則性缺損。這樣，ecu10-2至少判定為ecu10-1在正常工作，并且不實(shí)施作為ecu10-2自身的處理的故障安全系統(tǒng)處理。

接著，ecu10-1從ecu10-2接收應(yīng)答消息(s102)。這樣，ecu10-1能檢測(cè)到ecu10-2已正常接收到消息。

如上所述，通過(guò)s101～s102的一系列步驟而結(jié)束從ecu10-1向ecu10-2的消息發(fā)送。而且，通過(guò)重復(fù)s101～s102的一系列順序，可重復(fù)從ecu10-1向ecu10-2的消息發(fā)送。

另外，如圖7所示，在ecu10-1處于規(guī)定的異常狀態(tài)的情況下，當(dāng)ecu10-1向網(wǎng)絡(luò)nw發(fā)送消息時(shí)，在該消息中會(huì)產(chǎn)生規(guī)定的缺損(s111)。

接著，ecu10-2接收由ecu10-1發(fā)送的消息(s211)并向網(wǎng)絡(luò)nw發(fā)送對(duì)應(yīng)于收信消息的應(yīng)答消息(s212)。而且，ecu10-2實(shí)施接收到的信息中是否有信息缺損、規(guī)則性缺損的判定。其判定結(jié)果，ecu10-2檢測(cè)出接收到的消息中有信息缺損、規(guī)則性缺損，并實(shí)施作為ecu10-2自身的處理的故障安全系統(tǒng)處理(s213)。

接著，ecu10-1從ecu10-2接收應(yīng)答消息(s112)。這樣，ecu10-1能檢測(cè)到ecu10-2沒(méi)能正常接收到消息。

而且，在s213中，在檢測(cè)出接收到的消息中存在異常、即信息缺損、規(guī)則性缺損時(shí)，ecu10-2限制檢測(cè)出異常之后的收信處理。例如，ecu10-2使ecu10-2的處理中不使用從與引起異常的發(fā)信方裝置的ecu10-1使用同一id的裝置(例如不正當(dāng)?shù)嘏cecu10-1使用同一id的節(jié)點(diǎn)50)接收的數(shù)據(jù)。例如，ecu10-2廢棄接收到的消息，或?qū)⒔邮盏降南⑺拘畔⒅脫Q為不同于該信息所示值的其他值而實(shí)施關(guān)于接收到的消息的處理。

接著，參照?qǐng)D8～圖12說(shuō)明實(shí)施了網(wǎng)絡(luò)nw中的不正當(dāng)行為時(shí)的車輛通信系統(tǒng)。

在此例示作為非正規(guī)外部裝置的節(jié)點(diǎn)50連接到dlc3的情形。作為網(wǎng)絡(luò)nw中的不正當(dāng)行為，由節(jié)點(diǎn)50實(shí)施假冒行為、dos攻擊、不正當(dāng)訪問(wèn)等網(wǎng)絡(luò)nw中的不正當(dāng)行為，例如節(jié)點(diǎn)50在車輛行駛時(shí)被激活并實(shí)施給車輛通信系統(tǒng)1的處理帶來(lái)影響的處理。

以下，作為網(wǎng)絡(luò)nw中的不正當(dāng)行為而說(shuō)明實(shí)施了假冒行為的情形。

圖8例示了在比較例的車輛通信系統(tǒng)的網(wǎng)絡(luò)nw中實(shí)施了假冒行為的情形。圖8是對(duì)比較例的車輛通信系統(tǒng)的動(dòng)作進(jìn)行例示的圖。節(jié)點(diǎn)50假冒ecu10-1向ecu10-2發(fā)送“假冒幀a”。即使ecu10-2接收“假冒幀a”也無(wú)法識(shí)別其與正常幀f的不同，因而接收因“假冒幀a”而帶來(lái)的不正當(dāng)消息。由于ecu10-2以外的其他ecu10也無(wú)法檢測(cè)出假冒ecu10-1的節(jié)點(diǎn)50連接在網(wǎng)絡(luò)nw上，因此比較例的車輛通信系統(tǒng)無(wú)法降低因節(jié)點(diǎn)50而產(chǎn)生的假冒行為的影響。

對(duì)此，本實(shí)施方式的車輛通信系統(tǒng)1中的ecu10-1檢測(cè)出假冒自ecu10-1的節(jié)點(diǎn)50連接在網(wǎng)絡(luò)nw上。

以下說(shuō)明ecu10-1的詳細(xì)情況。

圖9是表示本實(shí)施方式的ecu10-1的結(jié)構(gòu)的圖。對(duì)于和圖2相同的結(jié)構(gòu)標(biāo)注同于上述標(biāo)記的標(biāo)記。附有標(biāo)記“k－1”的結(jié)構(gòu)對(duì)應(yīng)于圖2中附有標(biāo)記“k”的結(jié)構(gòu)。

ecu10-1具有存儲(chǔ)部20-1、控制部30-1、can控制器36和can收發(fā)器38。以下對(duì)于ecu10-1，以與上述ecu10的不同點(diǎn)為中心進(jìn)行說(shuō)明。

存儲(chǔ)部20-1用于存儲(chǔ)應(yīng)用程序22、通信控制程序24-1等程序和上述程序所參照的各種信息等。

通信控制程序24-1包含同于通信控制程序24的程序、和用于執(zhí)行作為網(wǎng)絡(luò)nw中的不正當(dāng)行為而實(shí)施了假冒行為的檢測(cè)處理的程序。檢測(cè)假冒行為的處理的詳細(xì)情況將在后面敘述。

控制部30-1具有中央控制部32和通信控制部34-1。

通信控制部34-1通過(guò)執(zhí)行通信控制程序24-1而發(fā)揮作用，接受來(lái)自中央控制部32的控制以執(zhí)行ecu10-1的通信處理。通信控制部34-1參照由can收發(fā)器38接收到的幀f的收信id和id表中的注冊(cè)送信id，判定是否實(shí)施了假冒行為和關(guān)于接收到的幀f是否為包含有自裝置的中央控制部32所使用的信息的幀f這兩者。

圖10是表示ecu10-1檢測(cè)不正當(dāng)行為時(shí)所實(shí)施的處理概要的流程圖。ecu10-1中的通信控制部34-1依照下述步驟實(shí)施規(guī)定的處理。

首先，通信控制部34-1實(shí)施網(wǎng)絡(luò)nw中的不正當(dāng)行為(本實(shí)施方式中為假冒行為)的檢測(cè)處理(s20)。例如通信控制部34-1檢測(cè)由自ecu10-1以外的其他裝置發(fā)送了附有表示ecu10-1為發(fā)信方的id的消息，來(lái)判定為實(shí)施了假冒行為這樣的網(wǎng)絡(luò)nw中的不正當(dāng)行為。

進(jìn)行上述判定時(shí)，通信控制部34-1利用存儲(chǔ)在id表中的注冊(cè)id中的注冊(cè)送信id。關(guān)于接收到的幀f，通信控制部34-1通過(guò)判定是否為附有與注冊(cè)送信id相同值的收信id的幀f，據(jù)此來(lái)判定是否檢測(cè)出網(wǎng)絡(luò)nw中的不正當(dāng)狀況、即判定是否實(shí)施了假冒行為(s22)。

通過(guò)s22中的判定，若判定為實(shí)施了假冒行為(s22：yes)，通信控制部34-1控制成：使其他ecu10來(lái)實(shí)施針對(duì)不正當(dāng)行為的故障安全系統(tǒng)處理(s26)。

例如，如上所述，即使在通信控制部34-1檢測(cè)出網(wǎng)絡(luò)中的不正當(dāng)行為時(shí)，也利用與產(chǎn)生了規(guī)定的異常狀態(tài)時(shí)相同的方法，控制成使其他ecu10來(lái)實(shí)施故障安全系統(tǒng)處理。與產(chǎn)生了規(guī)定的異常狀態(tài)時(shí)一樣，由通信控制部34-1生成產(chǎn)生了信息缺損、規(guī)則性缺損這樣的規(guī)定的缺損的消息。規(guī)定的異常狀態(tài)例如包含裝置出現(xiàn)故障狀態(tài)、裝置的處理呈超負(fù)荷狀態(tài)等。所謂產(chǎn)生了規(guī)定的缺損的消息，是指將消息中所包含的所有信息中的至少部分值變更為其他值而使ecu10-2無(wú)法判定為是正當(dāng)消息的消息。ecu10-1以產(chǎn)生規(guī)定的缺損的方式變更值的信息中，不包含能向ecu10-2送達(dá)消息所需的id等信息。例如，ecu10-1使用于檢測(cè)錯(cuò)誤的信息、表示更新了數(shù)據(jù)的更新檢查信息等信息產(chǎn)生缺損。

示出更為具體的一例。通信控制部34-1將用于對(duì)發(fā)送的消息的傳遞錯(cuò)誤進(jìn)行檢測(cè)而附加的crc、sum值、奇偶性等錯(cuò)誤檢測(cè)符號(hào)，作為不同于正當(dāng)值的值而生成產(chǎn)生了規(guī)定的缺損的消息。或者通信控制部34-1將表示包含于消息而被發(fā)送的信息已被更新的更新檢查信息，作為不同于正當(dāng)值的值而生成產(chǎn)生了規(guī)定的缺損的消息。

通信控制部34-1經(jīng)can控制器36將上述產(chǎn)生了規(guī)定的缺損的消息發(fā)送給總線2。這樣，通信控制部34-1控制成使作為目標(biāo)對(duì)象而選擇的其他ecu10、例如ecu10-2實(shí)施故障安全系統(tǒng)處理。

ecu10-2通過(guò)接收上述產(chǎn)生了規(guī)定的缺損的消息而實(shí)施故障安全系統(tǒng)處理。ecu10-2根據(jù)接收到產(chǎn)生了規(guī)定的缺損的消息而將表示收信錯(cuò)誤的應(yīng)答消息發(fā)送給ecu10-1。

接著，通信控制部34-1從ecu10-2接收表示收信錯(cuò)誤的應(yīng)答消息(s27)，檢測(cè)出在ecu10-2中的收信處理過(guò)程中檢測(cè)出錯(cuò)誤的情況，并結(jié)束該圖所示步驟的處理。

另一方面，通過(guò)s22中的判定，判定為沒(méi)實(shí)施假冒行為時(shí)(s22：no)，通信控制部34-1針對(duì)接收到的幀f實(shí)施通常的收信處理(s24)，該通常的收信處理包含判定是否處于需要進(jìn)行自裝置的故障安全系統(tǒng)處理狀況的處理。例如，由通信控制部34-1實(shí)施上述圖4中的s11～s16的處理。通信控制部34-1結(jié)束對(duì)收信消息的收信處理并結(jié)束該圖所示步驟的處理。

參照?qǐng)D11和圖12來(lái)說(shuō)明車輛通信系統(tǒng)1，該系統(tǒng)1用于實(shí)施針對(duì)網(wǎng)絡(luò)nw中的假冒行為的對(duì)策。圖11是表示實(shí)施了假冒行為時(shí)的車輛通信系統(tǒng)1的動(dòng)作的時(shí)序圖。圖12是表示在網(wǎng)絡(luò)nw中實(shí)施了假冒行為時(shí)的車輛通信系統(tǒng)1的動(dòng)作的圖。

如圖11所示，節(jié)點(diǎn)50假冒ecu10-1而成為發(fā)信方，將發(fā)給ecu10-2的消息發(fā)送給網(wǎng)絡(luò)nw(s521)。由包含上述消息的幀f(以下稱為假冒幀a)的id可知，發(fā)信方為ecu10-1，收信方為ecu10-2。但是，如上所述，消息的真正發(fā)信方為節(jié)點(diǎn)50而非ecu10-1。

該消息發(fā)送給連接到網(wǎng)絡(luò)nw的各ecu10。由于假冒幀a的id所示的收信方指定自裝置，因此ecu10-2接收該消息(s221)。ecu10-3是假冒幀a的id所示的收信方為與表示自裝置的值不同的值，因此不接收該消息(s321)。另外，ecu10-1檢測(cè)包含上述消息的假冒幀a中附有表示發(fā)信方為自裝置的值的id，根據(jù)檢測(cè)結(jié)果識(shí)別為是假冒發(fā)信方的消息而接收該消息(s121)。

接著，ecu10-2將對(duì)應(yīng)于節(jié)點(diǎn)50所發(fā)送的消息的應(yīng)答消息發(fā)送給網(wǎng)絡(luò)nw(s222)。ecu10-1從ecu10-2接收應(yīng)答消息(s122)。而且，以下所示的處理可獨(dú)立于s222和s122的處理而實(shí)施，ecu10-1可在s122結(jié)束之前實(shí)施以下的處理。

接著，ecu10-1通過(guò)將s121中所接收到的消息作為對(duì)于自ecu10-1而言發(fā)信方被假冒的消息而檢測(cè)，ecu10-1判定為實(shí)施了假冒行為這樣的網(wǎng)絡(luò)nw中的不正當(dāng)行為(s123)。

接著，ecu10-1為使ecu10-2實(shí)施故障安全系統(tǒng)處理，而生成與自裝置處于規(guī)定的異常狀態(tài)情形同樣的產(chǎn)生了規(guī)定的缺損的消息，并向ecu10-2發(fā)送包含所生成的消息的幀b(s124)。

接著，ecu10-2從ecu10-1接收消息(s224)，并實(shí)施所接收的消息中是否存在異常的判定。ecu10-2檢測(cè)出所接收的消息中有缺損且生成并發(fā)送針對(duì)該消息的應(yīng)答消息(s225)。ecu10-2也可將上述應(yīng)答消息作為要求再次發(fā)送的消息而發(fā)送。

接著，ecu10-1從ecu10-2接收應(yīng)答消息(s125)，據(jù)此，ecu10-1能檢測(cè)到ecu10-2未能正常接收到消息。

并且，ecu10-2實(shí)施根據(jù)其判定結(jié)果的作為ecu10-2自身處理的故障安全系統(tǒng)處理(s226)。

根據(jù)以上說(shuō)明的第1實(shí)施方式，車輛通信系統(tǒng)1至少具有ecu10-1和ecu10-2。ecu10-1連接于網(wǎng)絡(luò)nw，在自ecu10-1處于規(guī)定的異常狀態(tài)時(shí)，向網(wǎng)絡(luò)nw發(fā)送的消息會(huì)產(chǎn)生規(guī)定的缺損。ecu10-2連接于網(wǎng)絡(luò)nw，在檢測(cè)出從網(wǎng)絡(luò)nw所接收的消息中有規(guī)定的缺損時(shí)進(jìn)行規(guī)定的故障安全系統(tǒng)處理。并且，在檢測(cè)出網(wǎng)絡(luò)nw中的不正當(dāng)行為時(shí)，ecu10-1也生成并發(fā)送與自裝置處于規(guī)定的異常狀態(tài)時(shí)相同的產(chǎn)生了規(guī)定的缺損的消息。據(jù)此，車輛通信系統(tǒng)1降低不正當(dāng)行為對(duì)作為不正當(dāng)行為對(duì)象的ecu10的影響，能通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)使ecu10免受網(wǎng)絡(luò)nw中的不正當(dāng)行為的影響。

(第2實(shí)施方式)

以下說(shuō)明第2實(shí)施方式。在第2實(shí)施方式中，說(shuō)明網(wǎng)絡(luò)nw中的不正當(dāng)行為是dos(denialofservice)攻擊的情況。

更具體地講，在第1實(shí)施方式中，示出了由車輛通信系統(tǒng)1實(shí)施針對(duì)節(jié)點(diǎn)50所進(jìn)行的假冒行為的處理的情況，作為其替代，本實(shí)施方式的車輛通信系統(tǒng)1a實(shí)施針對(duì)節(jié)點(diǎn)50所進(jìn)行的dos攻擊的不正當(dāng)行為的處理。以下以該點(diǎn)為中心進(jìn)行說(shuō)明。

車輛通信系統(tǒng)1a具有ecu10-1a、ecu10-2和ecu10-3。ecu10-1a對(duì)應(yīng)于第1實(shí)施方式的ecu10-1。由ecu10-1檢測(cè)假冒行為，作為其替代，由ecu10-1a檢測(cè)dos攻擊。ecu10-1a具有存儲(chǔ)部20-1a、控制部30-1a、can控制器36和can收發(fā)器38。以下對(duì)于ecu10-1a，以與上述ecu10-1的不同點(diǎn)為中心進(jìn)行說(shuō)明。

存儲(chǔ)部20-1a用于存儲(chǔ)應(yīng)用程序22、通信控制程序24-1a等程序和上述程序所參照的各種信息。

通信控制程序24-1a包含同于通信控制程序24的程序、和用于執(zhí)行對(duì)作為網(wǎng)絡(luò)nw中的不正當(dāng)行為而實(shí)施了dos攻擊的檢測(cè)處理的程序。檢測(cè)dos攻擊的處理的詳細(xì)情況將在后面敘述。

控制部30-1a具有中央控制部32和通信控制部34-1a。

通信控制部34-1a通過(guò)執(zhí)行通信控制程序24-1a而發(fā)揮作用，接受來(lái)自中央控制部32的控制以執(zhí)行ecu10-1a的通信處理。由通信控制部34-1a判定是否實(shí)施了針對(duì)其他ecu10的dos攻擊。

例如參照上述圖10說(shuō)明ecu10-1a的處理。

作為對(duì)網(wǎng)絡(luò)nw中的不正當(dāng)行為的檢測(cè)處理(s20)，通信控制部34-1a檢測(cè)與向其他ecu10發(fā)送的消息相對(duì)應(yīng)的應(yīng)答消息的收信狀況。通信控制部34-1a通過(guò)判定是否在規(guī)定的時(shí)間內(nèi)接收到與向其他ecu10發(fā)送的消息相對(duì)應(yīng)的應(yīng)答消息，來(lái)判定是否檢測(cè)出不正當(dāng)狀況(s22)。在規(guī)定的時(shí)間內(nèi)未接收到應(yīng)答消息時(shí)，通信控制部34-1a判定為先發(fā)送消息的其他ecu10處于無(wú)法回復(fù)應(yīng)答消息的狀況，從而判定為有可能在實(shí)施針對(duì)其他ecu10的dos攻擊。通過(guò)s22中的判定，判定為有可能在實(shí)施作為網(wǎng)絡(luò)nw中的不正當(dāng)行為之一的dos攻擊(s22：yes)之后，通信控制部34-1a實(shí)施與上述通信控制部34-1同樣的處理(s26、s27)。

另一方面，通過(guò)s22中的判定，在規(guī)定的時(shí)間內(nèi)接收到應(yīng)答消息時(shí)(s22：no)，通信控制部34-1a判定為先發(fā)送消息的其他ecu10在正常工作而未實(shí)施針對(duì)其他ecu10的dos攻擊，并實(shí)施與上述s24的處理相同的處理。

參照?qǐng)D13說(shuō)明用于實(shí)施針對(duì)網(wǎng)絡(luò)nw中的dos攻擊的對(duì)策的車輛通信系統(tǒng)1a。圖13是表示實(shí)施dos攻擊時(shí)的車輛通信系統(tǒng)1a的動(dòng)作的時(shí)序圖。而且，在以下說(shuō)明中，假定節(jié)點(diǎn)50向網(wǎng)絡(luò)nw發(fā)送用于對(duì)ecu10-2進(jìn)行dos攻擊的幀dos。

如圖13所示，ecu10-1a向網(wǎng)絡(luò)nw發(fā)送包含表示作為發(fā)送給ecu10-2的消息的id的消息(s131)。

接著，ecu10-2接收ecu10-1a所發(fā)送的消息(s231)并想要向網(wǎng)絡(luò)nw發(fā)送對(duì)應(yīng)于收信消息的應(yīng)答消息(s231)，但是受到由節(jié)點(diǎn)50進(jìn)行的對(duì)ecu10-2的dos攻擊的影響而陷入無(wú)法發(fā)送應(yīng)答的狀況(s222)。

因此，ecu10-1a等待來(lái)自ecu10-2的應(yīng)答消息的到達(dá)，但是在規(guī)定的時(shí)間內(nèi)無(wú)法檢測(cè)到應(yīng)答消息(s132)。這樣，ecu10-1判定為產(chǎn)生節(jié)點(diǎn)50對(duì)ecu10-2的dos攻擊(網(wǎng)絡(luò)nw中的不正當(dāng)行為)(s133)。

接著，ecu10-1a為使ecu10-2實(shí)施故障安全系統(tǒng)處理而生成與自裝置處于規(guī)定的異常狀態(tài)時(shí)相同的產(chǎn)生了規(guī)定缺損的消息并發(fā)送給ecu10-2(s134)。

接著，ecu10-2從ecu10-1a接收消息(s234)并實(shí)施所接收的消息中是否有異常的判定。ecu10-2檢測(cè)出所接收的消息中有缺損且生成并發(fā)送對(duì)應(yīng)于該消息的應(yīng)答消息(s235)。ecu10-2也可將上述應(yīng)答消息作為要求再次發(fā)送的消息而發(fā)送。

接著，ecu10-1a從ecu10-2接收應(yīng)答消息(s135)，這樣，ecu10-1a能檢測(cè)到ecu10-2未能正常接收到消息。

并且，ecu10-2實(shí)施根據(jù)其判定結(jié)果的作為ecu10-2自身處理的故障安全系統(tǒng)處理(s236)。

根據(jù)以上說(shuō)明的第2實(shí)施方式，在車輛通信系統(tǒng)1中，ecu10-1a通過(guò)檢測(cè)出已向構(gòu)成車輛通信系統(tǒng)1的ecu10發(fā)送了規(guī)定量的消息，來(lái)判定已檢測(cè)出網(wǎng)絡(luò)nw中的不正當(dāng)行為。車輛通信系統(tǒng)1從檢測(cè)出ecu10-2的處理因上述dos攻擊而處于停滯狀態(tài)的ecu10-1a，使ecu10-2實(shí)施故障安全系統(tǒng)處理，并能將其控制狀態(tài)保持為安全狀態(tài)。

(第3實(shí)施方式)

以下說(shuō)明第3實(shí)施方式。在第3實(shí)施方式中，說(shuō)明網(wǎng)絡(luò)nw中的不正當(dāng)行為是不正當(dāng)訪問(wèn)的情況。更具體地講，在第1實(shí)施方式中，示出了由車輛通信系統(tǒng)1實(shí)施針對(duì)節(jié)點(diǎn)50所進(jìn)行的假冒行為的處理，作為其替代，本實(shí)施方式的車輛通信系統(tǒng)1b實(shí)施針對(duì)節(jié)點(diǎn)50對(duì)ecu10-1的不正當(dāng)訪問(wèn)的處理。例如，與向自ecu10發(fā)送的正當(dāng)消息不同的消息發(fā)送給ecu10之事被包含在上述不正當(dāng)訪問(wèn)中。以下以該點(diǎn)為中心進(jìn)行說(shuō)明。

車輛通信系統(tǒng)1b具有ecu10-1b、ecu10-2和ecu10-3。ecu10-1b對(duì)應(yīng)于第1實(shí)施方式的ecu10-1。ecu10-1檢測(cè)假冒行為，作為其替代，ecu10-1b檢測(cè)對(duì)自裝置的不正當(dāng)訪問(wèn)。ecu10-1b具有存儲(chǔ)部20-1b、控制部30-1b、can控制器36和can收發(fā)器38。以下對(duì)于ecu10-1b，以與上述ecu10-1的不同點(diǎn)為中心進(jìn)行說(shuō)明。

存儲(chǔ)部20-1用于存儲(chǔ)應(yīng)用程序22、通信控制程序24-1b等程序和上述程序所參照的各種信息。

通信控制程序24-1b包含同于通信控制程序24的程序、和用于執(zhí)行對(duì)作為網(wǎng)絡(luò)nw中的不正當(dāng)行為而實(shí)施了不正當(dāng)訪問(wèn)的檢測(cè)處理的程序。檢測(cè)不正當(dāng)訪問(wèn)的處理的詳細(xì)情況將在后面敘述。

控制部30-1b具有中央控制部32和通信控制部34-1b。

通信控制部34-1b通過(guò)執(zhí)行通信控制程序24-1b而發(fā)揮作用，接受來(lái)自中央控制部32的控制以執(zhí)行ecu10-1b的通信處理。由通信控制部34-1b判定是否對(duì)自裝置實(shí)施了不正當(dāng)訪問(wèn)。

例如參照上述圖10說(shuō)明ecu10-1b的處理。

作為網(wǎng)絡(luò)nw中的不正當(dāng)行為的檢測(cè)處理(s20)，通信控制部34-1b對(duì)比到達(dá)的幀f的id和存儲(chǔ)在存儲(chǔ)部20的id表中的注冊(cè)收信id，以檢測(cè)針對(duì)自裝置的不正當(dāng)消息的到達(dá)。通信控制部34-1b通過(guò)檢測(cè)針對(duì)自裝置的不正當(dāng)消息的到達(dá)，來(lái)判定是否檢測(cè)出不正當(dāng)行為(不正當(dāng)訪問(wèn))在實(shí)施的狀況(s22)。通過(guò)s22中的判定，判定為有可能在實(shí)施作為網(wǎng)絡(luò)nw中的不正當(dāng)行為之一的不正當(dāng)訪問(wèn)(s22：yes)，通信控制部34-1b控制成：由自裝置實(shí)施針對(duì)不正當(dāng)行為的故障安全系統(tǒng)處理，并使自裝置發(fā)送消息的收信方的ecu10也實(shí)施針對(duì)不正當(dāng)行為的故障安全系統(tǒng)處理(s26)。

例如，通信控制部34-1b在如上所述那樣檢測(cè)出網(wǎng)絡(luò)中的不正當(dāng)行為時(shí)，也利用同于產(chǎn)生了規(guī)定的異常狀態(tài)時(shí)的方法，控制成使自裝置發(fā)送消息的收信方的ecu10實(shí)施故障安全系統(tǒng)處理。

通信控制部34-1b用與上述通信控制部34-1同樣的方法，與產(chǎn)生了規(guī)定的異常狀態(tài)時(shí)一樣，生成產(chǎn)生了信息缺損、規(guī)則性缺損這樣的規(guī)定的缺損的消息。

其后的處理為實(shí)施同于上述通信控制部34-1的處理(s27)。

另一方面，通過(guò)s22中的判定，未檢測(cè)出不正當(dāng)狀況時(shí)(s22：no)，通信控制部34-1b判定為未實(shí)施不正當(dāng)訪問(wèn)，并實(shí)施與上述s24的處理相同的處理。

參照?qǐng)D14說(shuō)明用于實(shí)施針對(duì)網(wǎng)絡(luò)nw中的不正當(dāng)訪問(wèn)的對(duì)策的車輛通信系統(tǒng)1b。圖14是表示實(shí)施不正當(dāng)訪問(wèn)時(shí)的車輛通信系統(tǒng)1的動(dòng)作的時(shí)序圖。

如圖14所示，節(jié)點(diǎn)50將包含用于嘗試向ecu10-1進(jìn)行不正當(dāng)訪問(wèn)的消息的幀f發(fā)送給網(wǎng)絡(luò)nw(s541)。根據(jù)包含上述消息的幀f的id，至少表示收信方是ecu10-1。

該消息發(fā)送給連接到網(wǎng)絡(luò)nw的各ecu10。ecu10-1由于與幀f的id所示的收信方一致而接收該消息(s141)。由于與幀f的id所示的收信方不同，所以其他ecu10不接收該消息(s241、s341)。

接著，ecu10-1通過(guò)將s141中所接收的消息作為對(duì)自ecu10-1而言以不正當(dāng)訪問(wèn)為目的的消息而檢測(cè)，ecu10-1判定為實(shí)施了不正當(dāng)訪問(wèn)這樣的網(wǎng)絡(luò)nw中的不正當(dāng)行為(s143)。

接著，ecu10-1為使其他ecu10實(shí)施故障安全系統(tǒng)處理，而生成與自裝置處于規(guī)定的異常狀態(tài)時(shí)同樣的產(chǎn)生了規(guī)定的缺損的消息，并向例如ecu10-2發(fā)送包含所生成的消息的幀(s144)。

接著，ecu10-2從ecu10-1接收消息(s244)，并實(shí)施所接收的消息中是否存在異常的判定。ecu10-2檢測(cè)出所接收的消息中有缺損并實(shí)施基于其結(jié)果的作為ecu10-2自身處理的故障安全系統(tǒng)處理(s226)。

并且，ecu10-1實(shí)施自裝置中的故障安全系統(tǒng)處理(s146)。

根據(jù)以上說(shuō)明的第3實(shí)施方式，在車輛通信系統(tǒng)1b中，ecu10-1通過(guò)檢測(cè)出與向自ecu10-1發(fā)送的正當(dāng)消息不同的消息被發(fā)送給ecu10-1，判定為檢測(cè)出網(wǎng)絡(luò)nw中的不正當(dāng)行為。

而且，假冒行為的檢測(cè)方法、dos攻擊的檢測(cè)方法、不正當(dāng)訪問(wèn)的檢測(cè)方法不限于上例，可采用其他方法。

根據(jù)以上說(shuō)明的至少一個(gè)實(shí)施方式，通信系統(tǒng)具有發(fā)信裝置和收信裝置。發(fā)信裝置連接于網(wǎng)絡(luò)并且在自裝置處于規(guī)定的異常狀態(tài)時(shí)，向所述網(wǎng)絡(luò)發(fā)送的消息為產(chǎn)生規(guī)定的缺損的消息。

收信裝置連接于所述網(wǎng)絡(luò)并且在檢測(cè)出所述網(wǎng)絡(luò)所發(fā)送的消息中存在所述規(guī)定的缺損時(shí)進(jìn)行故障安全系統(tǒng)處理，在檢測(cè)出所述網(wǎng)絡(luò)中的不正當(dāng)行為時(shí)，發(fā)信裝置也生成并發(fā)送與所述自裝置處于規(guī)定的異常狀態(tài)時(shí)相同的產(chǎn)生了規(guī)定的缺損的消息。據(jù)此，通信系統(tǒng)能夠通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)使控制裝置免受網(wǎng)絡(luò)中的不正當(dāng)行為的影響。

而且，在上述實(shí)施方式中，在因信息發(fā)送側(cè)ecu10中的故障而產(chǎn)生的缺損的情況和因信息發(fā)送側(cè)ecu10檢測(cè)出不正當(dāng)行為而產(chǎn)生的缺損的情況中的任一情況下，接收產(chǎn)生了缺損的消息的信息接收側(cè)ecu10均通過(guò)圖4所示的共通處理來(lái)實(shí)施故障安全系統(tǒng)處理。據(jù)此，車輛通信系統(tǒng)1(1a、1b)無(wú)需在ecu10的處理中追加用于實(shí)施故障安全系統(tǒng)處理的判斷處理，能夠通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)來(lái)使ecu10免受網(wǎng)絡(luò)中的不正當(dāng)行為的影響。

并且，作為收信裝置的ecu10通過(guò)兼具用于檢測(cè)異常目的的檢測(cè)功能，無(wú)需作為ecu10之間的通信消息而準(zhǔn)備用于通知假冒行為等網(wǎng)絡(luò)nw中的不正當(dāng)行為的新的消息。另外，無(wú)需在ecu10的處理中追加用于將新的信息用于異常通知的通信處理，ecu10就能傳遞表示實(shí)施了不正當(dāng)行為的信息。假設(shè)在ecu10之間利用新的消息時(shí)，需要在ecu10和與ecu10相關(guān)的各裝置中追加上述通信處理功能。如果ecu10和與ecu10相關(guān)的裝置的廠商不同時(shí)，從車輛通信系統(tǒng)1的設(shè)計(jì)到驗(yàn)證需要辛苦的勞動(dòng)，若為本實(shí)施方式的車輛通信系統(tǒng)1則無(wú)需上述般繁雜的處理就能實(shí)施。

本實(shí)施方式的車輛通信系統(tǒng)1從以上觀點(diǎn)出發(fā)也能通過(guò)更為簡(jiǎn)單的結(jié)構(gòu)來(lái)使車輛控制裝置免受網(wǎng)絡(luò)中不正當(dāng)行為的影響。

以上利用實(shí)施方式說(shuō)明了用于實(shí)施本發(fā)明的方式，但本發(fā)明不限于上述實(shí)施方式，在不脫離本發(fā)明主旨的范圍內(nèi)可對(duì)其進(jìn)行各種變形和替換。