JP6528239B2

Movatterモバイル変換

Info

Publication number: JP6528239B2
Application number: JP2015138416A
Authority: JP
Inventors: 正人田邉; 安齋　潤; 潤安齋; 嘉彦北村; 清治坂木; 良浩氏家; 松島　秀樹; 秀樹松島
Original assignee: Panasonic Intellectual Property Management Co Ltd
Current assignee: Panasonic Intellectual Property Management Co Ltd
Priority date: 2015-07-10
Filing date: 2015-07-10
Publication date: 2019-06-12
Anticipated expiration: 2035-07-10
Also published as: JP2017022551A

Description

本発明は、バスで接続された通信システムにおける通信装置およびプログラムに関する。The present invention relates to acommunication apparatus and program in a communication system connected by a bus.

車載ネットワークにおいて、不正なデータを侵入させて誤動作させる攻撃を検知し防御することが求められる。そのため、フィルタテーブルに監視すべきＩＤを記憶しておき、記憶したＩＤのメッセージの送信周期をチェックすることによって、不正なデータの侵入が検出される。つまり、正規の送信ノードが、所定のＩＤのメッセージを周期的に送信している場合、不正な送信ノードが、なりすまし攻撃により不正なデータを送信すると、周期異常により不正なデータが検出可能である（例えば、特許文献１参照）。 In an in-vehicle network, it is required to detect and prevent an attack that intrudes illegitimate data and causes a malfunction. Therefore, the ID to be monitored is stored in the filter table, and by checking the transmission cycle of the stored ID message, intrusion of unauthorized data is detected. That is, when a legitimate transmitting node periodically transmits a message of a predetermined ID, if an illegal transmitting node transmits invalid data by a spoofing attack, invalid data can be detected due to a cycle abnormality. (See, for example, Patent Document 1).

特開２０１４−１４６８６８号公報JP, 2014-146868, A

フィルタテーブルによるフィルタリング処理では、受信したメッセージに対して不正か否かを即時に判定したり、あるいは一定時間待機後に判定したりする。一方、不正なメッセージを判定するために待機可能な時間は、メッセージに応じて異なる。不正なメッセージの検出精度を向上するためには、最適な待機時間を設定することが求められる。 In the filtering process by the filter table, it is immediately determined whether or not the received message is incorrect, or after waiting for a predetermined time. On the other hand, the time that can be waited to determine an incorrect message varies depending on the message. In order to improve the detection accuracy of an incorrect message, it is required to set an optimum waiting time.

本発明はこうした状況に鑑みなされたものであり、その目的は、不正なメッセージの検出精度を向上する技術を提供することにある。 The present invention has been made in view of such circumstances, and an object thereof is to provide a technique for improving the accuracy of detecting an unauthorized message.

上記課題を解決するために、本発明のある態様の通信装置は、ネットワークにおけるメッセージを受信する通信部と、通信部において受信されるメッセージのうち、ネットワークが設けられた物体の第１状態および第１状態とは異なる物体の第２状態のいずれか一方で設定されたIDに対応する第１メッセージに対して、メッセージの種類に応じて遅延時間を設定する設定部と、第１メッセージが不正なメッセージであるか否かの判定を、第１状態および第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから設定部において設定された遅延時間まで遅らせながら、第１メッセージに対するフィルタリング処理を実行するフィルタ部と、を備える。In order to solve the above problems, a communication apparatus according to an aspect of the present invention includes a communication unit for receiving a message in anetwork, and a first state ofan object provided with a network and a first state of messages received in the communication unit. For the first message corresponding to the ID set in oneof the second states of theobject different from the one state, the setting unit for setting the delay time according to the type of the message, and the first message being invalid While delaying from the timing performed on the second message corresponding to the ID set in either the first state or the second state to the delay time set in the setting unit, the first And a filter unit that executes a filtering process on the message.

本発明の別の態様もまた、通信装置である。この装置は、ネットワークにおけるメッセージを受信する通信部と、通信部において受信されるメッセージの種類に応じて遅延時間を設定する設定部と、受信されたメッセージのうちの第１メッセージが不正なメッセージであるか否かの判定を、ネットワークが設けられた物体の第１状態および物体の第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから設定部において設定された遅延時間まで遅らせながら、第１メッセージに対するフィルタリング処理を実行するフィルタ部とを備える。フィルタ部は、設定部において設定された遅延時間まで判定を遅らせずに、第１メッセージに対するフィルタリング処理を実行して、判定結果を出力する第１フィルタ部と、設定部において設定した遅延時間まで判定を遅らせながら、第１メッセージに対するフィルタリング処理を実行する第２フィルタ部と、第２フィルタ部での判定結果が、第１フィルタ部での判定結果と異なっている場合、第１フィルタ部での判定結果を修正するための情報を出力する修正部と、を備える。Another aspect of the present invention is also a communication device. This apparatus comprises a communication unit for receiving a message in the network, a setting unit for setting a delay time according to the type of message received by the communication unit, and a first message among the received messages being an invalid message. The delay set in the setting unit from the timing at which the determination as to whether or not there is a second message corresponding to the ID set in either the first stateof theobject provided with thenetwork or the second state of theobject And a filter unit that performs a filtering process on the first message while delaying time. The filter unit executes the filtering process on the first message without delaying the determination until the delay time set by the setting unit, and determines the first filter unit outputting the determination result and the delay time set by the setting unit When the determination result in the second filter unit that executes the filtering process on the first message while delaying the second message and the determination result in the second filter unit is different from the determination result in the first filter unit, the determination in the first filter unit And a correction unit that outputs information for correcting the result.

なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、コンピュータプログラム、またはコンピュータプログラムを記録した記録媒体などの間で変換したものもまた、本発明の態様として有効である。 It is to be noted that any combination of the above-described components, and a conversion of the expression of the present invention between a method, an apparatus, a system, a computer program, or a recording medium having a computer program recorded thereon is also effective as an aspect of the present invention. is there.

本発明によれば、不正なメッセージの検出精度を向上できる。 According to the present invention, it is possible to improve the detection accuracy of an unauthorized message.

本発明の実施例１に係るＣＡＮシステムの構成を示す図である。It is a figure which shows the structure of the CAN system which concerns on Example 1 of this invention.図１のＣＡＮシステムで使用される標準フォーマットのデータフレームを示す図である。It is a figure which shows the data frame of the standard format used by CAN system of FIG.図１のＥＣＵの構成を示す図である。It is a figure which shows the structure of ECU of FIG.図４（ａ）−（ｂ）は、図３の設定部において設定されるフィルタリングルールのデータ構造を示す図である。FIGS. 4A and 4B are diagrams showing data structures of filtering rules set in the setting unit of FIG. 3.図３の記憶部に記憶されるテーブルのデータ構造を示す図である。It is a figure which shows the data structure of the table memorize | stored in the memory | storage part of FIG.図３のフィルタ部の構成を示す図である。It is a figure which shows the structure of the filter part of FIG.図１のＣＡＮシステムによる判定手順を示すシーケンス図である。It is a sequence diagram which shows the determination procedure by the CAN system of FIG.図３のＥＣＵによる判定手順を示すフローチャートである。It is a flowchart which shows the determination procedure by ECU of FIG.図９（ａ）−（ｃ）は、本発明の実施例２に係るフィルタ部の動作概要を示す図である。FIGS. 9 (a) to 9 (c) are diagrams showing an operation outline of the filter unit according to the second embodiment of the present invention.本発明の実施例３に係るフィルタ部による判定手順を示すフローチャートである。It is a flowchart which shows the determination procedure by the filter part which concerns on Example 3 of this invention.本発明の実施例４に係るフィルタ部の構成を示す図である。It is a figure which shows the structure of the filter part which concerns on Example 4 of this invention.

（実施例１）
本発明の実施例１を具体的に説明する前に、実施例１の概要を説明する。実施例１は、車載ネットワークであるＣＡＮ（ＣｏｎｔｒｏｌｌｅｒＡｒｅａＮｅｔｗｏｒｋ）における不正なメッセージを検出する通信装置に関する。ＣＡＮはバス型ネットワークを採用したシリアル通信プロトコルである。バスに接続される各通信装置からのメッセージは、バスに接続されるすべての通信装置にブロードキャスト送信される。当該メッセージには送信元通信装置および宛先通信装置の識別情報が含まれない。したがって、メッセージを受信した通信装置は、正規の通信装置からのメッセージであるか否かを単純に判定できない。そのため、不正なメッセージの検出精度を向上することが望まれる。Example 1
Before concretely explaining Example 1 of the present invention, an outline of Example 1 will be described. The first embodiment relates to a communication device that detects an unauthorized message in a controller area network (CAN) that is an in-vehicle network. CAN is a serial communication protocol that employs a bus network. A message from each communication device connected to the bus is broadcasted to all communication devices connected to the bus. The message does not include identification information of the source communication device and the destination communication device. Therefore, the communication device that has received the message can not simply determine whether the message is from the legitimate communication device. Therefore, it is desirable to improve the detection accuracy of an unauthorized message.

本実施例に係る通信装置は、ＣＡＮの通信仕様にもとづいた通信規則であって、かつ正しいメッセージの通信規則をルールとして保持する。ここで、通信規則の一例は、対象のＣＡＮで送信可能なＣＡＮのメッセージＩＤ（以下、「ＣＡＮＩＤ」）である。また、通信規則の一例は、ＣＡＮＩＤごとのＤＬＣ(データ長)、送信周期、送信頻度、データの取り得る値、データの増加・減少の規則などであってもよい。通信装置は、通信仕様に応じたフィルタリングルールを設定しており、フィルタリングルールによって、送受信されるＣＡＮのメッセージをフィルタリング処理する。また、通信装置は、フィルタリング処理の判定結果をもとに、アプリケーションあるいはＣＡＮバスに、メッセージを出力するか否かを決定する。 The communication apparatus according to the present embodiment is a communication rule based on the CAN communication specification, and holds a correct message communication rule as a rule. Here, an example of the communication rule is a CAN message ID (hereinafter, "CAN ID") that can be transmitted by the target CAN. Further, an example of the communication rule may be DLC (data length) for each CAN ID, transmission cycle, transmission frequency, possible value of data, rule of increase / decrease of data, or the like. The communication apparatus sets a filtering rule according to the communication specification, and performs filtering processing of CAN messages transmitted and received by the filtering rule. Also, the communication apparatus determines whether to output a message to the application or the CAN bus based on the determination result of the filtering process.

メッセージの内容によってはフィルタリング処理の結果を即時に判定できない場合がある。このような場合があっても、フィルタリング処理によって不正なメッセージの検出精度を向上することが望まれる。これに対応するために、本実施例に係る通信装置は、メッセージの種類に応じて遅延時間を設定し、設定した遅延時間までフィルタリング処理の判定を延期させる。 Depending on the content of the message, the result of the filtering process may not be determined immediately. Even in such a case, it is desirable to improve the detection accuracy of an incorrect message by filtering processing. In order to cope with this, the communication apparatus according to the present embodiment sets the delay time according to the type of the message, and postpones the determination of the filtering process until the set delay time.

図１は、本発明の実施例１に係るＣＡＮシステム５００の構成を示す。ＣＡＮシステム５００は、ＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）１００と総称される第１ＥＣＵ１００ａ、第２ＥＣＵ１００ｂ、第３ＥＣＵ１００ｃ、第４ＥＣＵ１００ｄ、ＣＡＮバス２００を含む。なお、ＣＡＮシステム５００に含まれるＥＣＵ１００の数は、「４」に限定されない。 FIG. 1 shows the configuration of aCAN system 500 according to a first embodiment of the present invention. The CANsystem 500 includes afirst ECU 100a, asecond ECU 100b, athird ECU 100c, afourth ECU 100d, and aCAN bus 200 collectively referred to as an ECU (Electronic Control Unit) 100. The number ofECUs 100 included inCAN system 500 is not limited to “4”.

各ＥＣＵ１００は、車両に搭載されたエンジン、モータ、メータ、トランスミッション、ブレーキ、エアバッグ、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン等を制御するユニットであり、例えば、マイクロコントローラを搭載する。各ＥＣＵ１００は、ＣＡＮバス２００に接続されており、ＣＡＮの通信を実行する。そのため、各ＥＣＵ１００は、前述の「通信装置」に相当する。ＣＡＮバス２００は、例えば、２本の通信線によって構成されており、電圧の差動によって信号を伝送する。 Each ECU 100 is a unit for controlling an engine, a motor, a meter, a transmission, a brake, an air bag, a lamp, a power steering, a power window, a car air conditioner and the like mounted on a vehicle. EachECU 100 is connected to theCAN bus 200 and executes communication of CAN. Therefore, eachECU 100 corresponds to the "communication device" described above. TheCAN bus 200 is constituted by, for example, two communication lines, and transmits signals by differential voltage.

ＣＡＮではＣＳＭＡ／ＣＡ(ＣａｒｒｉｅｒＳｅｎｓｅＭｕｌｔｉｐｌｅＡｃｃｅｓｓｗｉｔｈＣｏｌｌｉｓｉｏｎＡｖｏｉｄａｎｃｅ)と呼ばれるアクセス制御方式が採用されている。ＣＳＭＡ／ＣＡでは、ＣＡＮバス２００に対して最初に送信を開始したＥＣＵ１００が送信権を取得する。なお、同時に複数のＥＣＵ１００が送信した場合は、通信調停（ｂｕｓａｒｂｉｔｒａｔｉｏｎ）が行われる。ＣＡＮでは、ＣＡＮＩＤの値が小さい方が優先される。 In CAN, an access control method called Carrier Sense Multiple Access with Collision Avoidance (CSMA / CA) is adopted. In CSMA / CA, theECU 100 that first starts transmitting to the CANbus 200 acquires the transmission right. Note that when a plurality ofECUs 100 transmit at the same time, communication arbitration (bus arbitration) is performed. In CAN, the smaller the CAN ID value is given priority.

図２は、ＣＡＮシステム５００で使用される標準フォーマットのデータフレームを示す。図示のごとく、ＳＯＦ、ＩＤフィールド、ＲＴＲ、ＩＤＥ、ｒ０、ＤＬＣ、データフィールド、ＣＲＣデリミタ、Ａｃｋ、Ａｃｋデリミタ、ＥＯＦが先頭から順に配置されることによって、データフレームが構成される。各ボックス内の数字はビット数を示す。またボックスの上が開放されている項目は常に「０」をとる項目であり、ボックスの下が開放されている項目は常に「１」をとる項目である。上下が開放されていない項目は「０」と「１」の両方をとりうる項目である。なお、送信可能な状態のデータフレームは、メッセージと呼ばれる。 FIG. 2 shows a data frame in a standard format used inCAN system 500. As shown, a data frame is configured by arranging SOF, ID field, RTR, IDE, r0, DLC, data field, CRC delimiter, Ack, Ack delimiter, and EOF sequentially from the top. The numbers in each box indicate the number of bits. Also, the item opened at the top of the box is an item that always takes "0", and the item opened at the bottom of the box is an item that always takes "1". Items whose upper and lower sides are not open are items that can take both “0” and “1”. A data frame in a transmittable state is called a message.

ＩＤフィールドには、前述のＣＡＮＩＤが格納される。ＣＡＮＩＤは、メッセージの種類および優先度を表すための識別情報である。ＣＡＮにおけるメッセージには、車両内の特定の処理対象における特定の通知事項が含まれる。当該処理対象には、特定の監視対象および特定の制御対象が含まれる。例えば、車両内の特定の処理対象に関するメッセージとして、速度情報を含むメッセージ、ドアの開閉を指示するメッセージ等がある。また、同じ処理対象に対して複数の通知事項が設定されることがある。例えば、１つのメータに対してエンジン回転数を通知するための通知事項、エンジン水温を通知するための通知事項などの複数の通知事項が設定可能である。 The above-mentioned CAN ID is stored in the ID field. The CAN ID is identification information for indicating the type and priority of the message. The message in CAN includes specific notification items in a specific processing target in the vehicle. The processing targets include specific monitoring targets and specific control targets. For example, as a message regarding a specific processing target in a vehicle, there is a message including speed information, a message instructing to open and close a door, and the like. Also, multiple notification items may be set for the same processing target. For example, a plurality of notification items such as a notification item for notifying an engine rotation speed to one meter and a notification item for notifying an engine water temperature can be set.

ＣＡＮＩＤは、送信されるメッセージに含まれる特定の処理対象の特定の通知事項に関連づけられている。メッセージを受信したＥＣＵ１００では、そのＣＡＮＩＤにもとづいて、メッセージに含まれる特定の通知事項の内容を判断する。図２に示すように、ＣＡＮのデータフレームには送信先アドレスおよび送信元アドレスが含まれない。そのため、受信側のＥＣＵ１００は、正しい通信相手からのメッセージであるか否かを判断できない。例えば、エンジン回転数を含むメッセージは、エンジンのＥＣＵ１００から送信される。当該メッセージに付与されるＣＡＮＩＤと同じＣＡＮＩＤが付与されたメッセージが、不正なＥＣＵ１００から送信されると、受信側のＥＣＵ１００は、正当なエンジンのＥＣＵ１００からのメッセージであるか、不正なＥＣＵ１００からのメッセージであるかを判別できない。 The CAN ID is associated with a particular notification subject to be processed that is included in the message to be sent. TheECU 100 having received the message determines the content of the specific notification item included in the message based on the CAN ID. As shown in FIG. 2, the CAN data frame does not include the transmission destination address and the transmission source address. Therefore, theECU 100 on the receiving side can not determine whether or not the message is from the correct communication counterpart. For example, a message including the engine speed is transmitted from theECU 100 of the engine. When a message with the same CAN ID as the CAN ID given to the message is transmitted from theunauthorized ECU 100, the receivingECU 100 is a message from theECU 100 of the valid engine or from theunauthorized ECU 100. It can not be judged whether it is a message of

不正なＥＣＵ１００が送信側のＥＣＵ１００になりすまして不正な情報を含むメッセージを送信し、かつ受信側のＥＣＵが、これを正当なメッセージとして処理した場合、その後の処理（補機の制御など）に悪影響が及んでしまう。例えば、不正なＥＣＵ１００が、エンジンのＥＣＵ１００になりすましてエンジン回転数を含むメッセージを送信することにより、それを受信したメータのＥＣＵ１００の制御に悪影響が及ぶ。このようにＣＡＮプロトコルでは、なりすましがなされやすい。また、メッセージがＣＡＮバス２００に対してブロードキャスト送信されるので、ユニキャスト送信よりも盗聴がなされやすい。 If theillegal ECU 100 spoofs the transmittingside ECU 100 to transmit a message including illegal information, and the receiving ECU processes this as a valid message, the subsequent processing (such as control of auxiliary equipment) is adversely affected. It will reach. For example, when theunauthorized ECU 100 spoofs theECU 100 of the engine and transmits a message including the engine rotational speed, the control of theECU 100 of the meter that has received it is adversely affected. Thus, in the CAN protocol, spoofing is easily performed. Also, since the message is broadcasted to theCAN bus 200, it is easier to eavesdropper than unicast transmission.

図３は、ＥＣＵ１００の構成を示す。ＥＣＵ１００は、通信部１０、処理部１２、アプリケーション実行部１４を含む。処理部１２は、取得部２０、推定部２２、設定部２４、記憶部２６、入力部２８、フィルタ部３０、出力部３２を含む。 FIG. 3 shows the configuration of theECU 100. TheECU 100 includes acommunication unit 10, aprocessing unit 12, and anapplication execution unit 14. Theprocessing unit 12 includes anacquisition unit 20, anestimation unit 22, asetting unit 24, astorage unit 26, aninput unit 28, afilter unit 30, and anoutput unit 32.

アプリケーション実行部１４は、各ＥＣＵ１００の処理対象（例えば、エンジン、ステアリング、ブレーキ、その他の各種補機）と接続し、それらの処理対象からステータス情報または指示情報を取得する。アプリケーション実行部１４は、当該処理対象から取得した情報をもとに、ＣＡＮにおいてブロードキャスト送信すべきデータを生成し、処理部１２に出力する。また、アプリケーション実行部１４は、ＣＡＮバス２００から受信されたメッセージに含まれるデータを処理部１２から入力し、当該データに応じて当該処理対象を制御する。 Theapplication execution unit 14 is connected to the processing target (for example, engine, steering, brake, various other accessories) of eachECU 100, and acquires status information or instruction information from the processing target. Theapplication execution unit 14 generates data to be broadcasted in CAN based on the information acquired from the processing target, and outputs the data to theprocessing unit 12. In addition, theapplication execution unit 14 receives, from theprocessing unit 12, data included in the message received from theCAN bus 200, and controls the processing target according to the data.

通信部１０は、ネットワークであるＣＡＮシステム５００におけるメッセージを送受信する。具体的に説明すると、通信部１０は、処理部１２により生成されたメッセージであって、かつアプリケーション実行部１４において生成されたデータが含まれたメッセージをＣＡＮバス２００へブロードキャスト送信する。通信部１０は、他のＥＣＵ１００で生成されＣＡＮバス２００へブロードキャスト送信されたメッセージをＣＡＮバス２００から受信する。通信部１０は、受信したメッセージを処理部１２に渡す。 Thecommunication unit 10 transmits and receives messages in theCAN system 500 which is a network. Specifically, thecommunication unit 10 broadcasts to the CAN bus 200 a message generated by theprocessing unit 12 and including data generated by theapplication execution unit 14. Thecommunication unit 10 receives from the CAN bus 200 a message generated by anotherECU 100 and broadcasted to theCAN bus 200. Thecommunication unit 10 passes the received message to theprocessing unit 12.

処理部１２は、アプリケーション実行部１４と通信部１０の間に配置される。処理部１２は、アプリケーション実行部１４からのデータを入力し、当該データが含まれたメッセージを生成する。処理部１２は、生成したメッセージに対して、後述のフィルタリング処理を実行してから通信部１０に出力する。一方、処理部１２は、通信部１０からのメッセージを入力し、入力したメッセージに対して、後述のフィルタリング処理を実行する。フィルタリング処理したメッセージに含まれたデータを抽出してアプリケーション実行部１４に出力する。処理部１２は、フィルタリング処理において、不正ではないメッセージだけを選択する。以下では、フィルタリング処理を中心に説明する。 Theprocessing unit 12 is disposed between theapplication execution unit 14 and thecommunication unit 10. Theprocessing unit 12 receives data from theapplication execution unit 14 and generates a message including the data. Theprocessing unit 12 performs filtering processing described later on the generated message and then outputs the message to thecommunication unit 10. On the other hand, theprocessing unit 12 inputs a message from thecommunication unit 10, and executes filtering processing described later on the input message. The data contained in the message subjected to the filtering process is extracted and output to theapplication execution unit 14. Theprocessing unit 12 selects only non-illegal messages in the filtering process. The following description will focus on the filtering process.

取得部２０は、ＣＡＮシステム５００が設けられた物体、例えば車両の状態に関する状態情報を取得する。車両の状態とは、イグニッションがオンになっているか、ＡＣＣ（アクセサリーポジション）がオンになっているか、車速等であり、これらが状態情報に含まれている。取得部２０は、例えば、状態情報を図示しないセンサ等から取得する。また、取得部２０は、ＣＡＮバス２００から状態情報を取得してもよい。取得部２０は、取得した状態情報を推定部２２に出力する。 Theacquisition unit 20 acquires state information related to the state of an object provided with theCAN system 500, for example, a vehicle. The state of the vehicle refers to whether the ignition is on, the ACC (accessory position) is on, the vehicle speed, etc., and these are included in the state information. Theacquisition unit 20, for example, acquires state information from a sensor or the like (not shown). In addition, theacquisition unit 20 may acquire state information from theCAN bus 200. Theacquisition unit 20 outputs the acquired state information to theestimation unit 22.

推定部２２は、取得部２０からの状態情報を入力する。推定部２２は、状態情報をもとに、車両の状態を推定する。例えば、推定部２２は、「第１状態」として、例えば、ＡＣＣがオンであることが示された状態情報をもとに、ＡＣＣがオンである状態を推定する。これに続いて、推定部２２は、「第２状態」として、例えば、イグニッションがオンであることが示された状態情報をもとに、イグニッションがオンである情報を推定する。なお、推定部２２において推定される状態、状態の遷移は、これらに限定されない。推定部２２は、推定した車両の状態を設定部２４に出力する。 Theestimation unit 22 inputs the state information from theacquisition unit 20. Theestimation unit 22 estimates the state of the vehicle based on the state information. For example, theestimation unit 22 estimates, as the “first state”, a state in which the ACC is on, based on state information indicating that the ACC is on, for example. Following this, theestimation unit 22 estimates information in which the ignition is on, based on state information indicating that the ignition is on, as the “second state”, for example. Note that the state estimated by theestimation unit 22 and the transition of the state are not limited to these. Theestimation unit 22 outputs the estimated state of the vehicle to thesetting unit 24.

所定のタイミングにおける車両の状態は、いずれかに特定されるべきである。第１状態から第２状態への遷移がなされる場合であっても、車両の状態は、第１状態あるいは第２状態で特定される。しかしながら、図１における各ＥＣＵ１００において推定される車両の状態にずれが生じる可能性がある。例えば、第１ＥＣＵ１００ａは、車両の状態が第２状態であると推定し、第２ＥＣＵ１００ｂは、車両の状態が第１状態であると推定する。この場合、第１ＥＣＵ１００ａにおいて、車両の状態が第１状態であると推定するタイミングが、第２ＥＣＵ１００ｂにおいて、車両の状態が第２状態であると推定するタイミングよりも遅れている。 The state of the vehicle at a predetermined timing should be specified in any way. Even when the transition from the first state to the second state is made, the state of the vehicle is specified as the first state or the second state. However, a deviation may occur in the state of the vehicle estimated in eachECU 100 in FIG. For example, thefirst ECU 100a estimates that the state of the vehicle is the second state, and thesecond ECU 100b estimates that the state of the vehicle is the first state. In this case, the timing at which thefirst ECU 100a estimates that the state of the vehicle is the first state is later than the timing at which thesecond ECU 100b estimates that the state of the vehicle is the second state.

記憶部２６は、正しいメッセージの通信規則をルールとして記憶する。前述のごとく、記憶されるルールは、送受信可能なＣＡＮＩＤ、ＣＡＮＩＤごとのＤＬＣ、ＣＡＮＩＤごとの送信周期、ＣＡＮＩＤごとの送信頻度、ＣＡＮＩＤごとのデータなどである記憶部２６は、ルールに含まれる情報の一覧を記憶する。 Thestorage unit 26 stores the correct message communication rule as a rule. As described above, thestorage unit 26 stores the rules that can be transmitted and received, such as CAN ID that can be transmitted and received, DLC for each CAN ID, transmission cycle for each CAN ID, transmission frequency for each CAN ID, data for each CAN ID, etc. Store a list of information contained in.

設定部２４は、推定部２２から、車両の状態を入力する。設定部２４は、推定部２２において推定した車両の状態をもとに、フィルタリングルールを設定する。具体的に説明すると、設定部２４は、記憶部２６に記憶した情報の一覧から、推定部２２において推定した車両の状態に適した一部の情報をフィルタリングルールとして選択する。なお、設定部２４には、車両の状態と、選択すべき一部の情報との対応関係が予め記憶されている。記憶部２６に記憶されている情報の一覧には、ＣＡＮＩＤだけではなく、ＤＬＣ、送信周期等も含まれているが、ここでは、説明を明瞭にするために、ＣＡＮＩＤだけを説明の対象とする。 The settingunit 24 receives the state of the vehicle from theestimation unit 22. The settingunit 24 sets a filtering rule based on the state of the vehicle estimated by theestimation unit 22. Specifically, the settingunit 24 selects, as a filtering rule, part of information suitable for the state of the vehicle estimated by theestimation unit 22 from the list of information stored in thestorage unit 26. The settingunit 24 stores in advance a correspondence between the state of the vehicle and part of information to be selected. Although the list of the information stored in thestorage unit 26 includes not only the CAN ID but also the DLC, the transmission cycle, and the like, here, in order to clarify the explanation, only the CAN ID will be explained. I assume.

例えば、推定部２２が第１状態を推定した場合に、記憶部２６は、第１状態に対応したフィルタリングルールを設定する。図４（ａ）−（ｂ）は、設定部２４において設定されるフィルタリングルールのデータ構造を示す。図４（ａ）は、第１状態、つまりＡＣＣがオンである状態において設定されるフィルタリングルールを示す。図示のごとく、ＣＡＮＩＤの「０ｘ１００」、「０ｘ２００」、「０ｘ３００」、「０ｘ１１０」、「０ｘ２１０」、「０ｘ３１０」が設定されている。図３に戻る。 For example, when theestimation unit 22 estimates the first state, thestorage unit 26 sets a filtering rule corresponding to the first state. FIGS. 4A and 4B show the data structure of the filtering rule set in thesetting unit 24. FIG. FIG. 4A shows the filtering rule set in the first state, that is, in the state where the ACC is on. As illustrated, CAN IDs "0x100", "0x200", "0x300", "0x110", "0x210", and "0x310" are set. Return to FIG.

例えば、推定部２２が第２状態を推定した場合に、記憶部２６は、第２状態に対応したフィルタリングルールを設定する。図４（ｂ）は、第２状態、つまりイグニッションがオンである情報において設定されるフィルタリングルールを示す。図示のごとく、ＣＡＮＩＤの「０ｘ１２０」、「０ｘ２２０」、「０ｘ３２０」、「０ｘ４００」、「０ｘ１１０」、「０ｘ２１０」、「０ｘ３１０」が設定されている。なお、ＣＡＮＩＤの「０ｘ１１０」、「０ｘ２１０」、「０ｘ３１０」は、第１状態においても含まれるので、複数の状態で共通に設定されうるＣＡＮＩＤである。また、ＣＡＮＩＤの「０ｘ１２０」、「０ｘ２２０」、「０ｘ３２０」、「０ｘ４００」は、第１状態において含まれないので、第２状態のみで設定されうるＣＡＮＩＤである。図３に戻る。 For example, when theestimation unit 22 estimates the second state, thestorage unit 26 sets a filtering rule corresponding to the second state. FIG. 4B shows the filtering rule set in the second state, that is, the information in which the ignition is on. As illustrated, CAN IDs "0x120", "0x220", "0x320", "0x400", "0x110", "0x210", and "0x310" are set. The CAN IDs “0x110”, “0x210”, and “0x310” are also included in the first state, and thus are CAN IDs that can be commonly set in a plurality of states. Further, CAN IDs “0x120”, “0x220”, “0x320”, and “0x400” are CAN IDs that can be set only in the second state because they are not included in the first state. Return to FIG.

入力部２８は、ＥＣＵ１００が送信側に相当する場合、アプリケーション実行部１４からのデータが含まれたメッセージを入力する。一方、入力部２８は、ＥＣＵ１００が受信側に相当する場合、通信部１０からのメッセージを入力する。入力部２８は、メッセージを設定部２４、フィルタ部３０に出力する。 When theECU 100 corresponds to the transmission side, theinput unit 28 inputs a message including data from theapplication execution unit 14. On the other hand, when theECU 100 corresponds to the receiving side, theinput unit 28 inputs a message from thecommunication unit 10. Theinput unit 28 outputs the message to thesetting unit 24 and thefilter unit 30.

設定部２４は、入力部２８からのメッセージを入力する。設定部２４は、入力したメッセージ、つまり通信部１０において送受信されるメッセージの種類に応じて、フィルタ部３０において判定を延期する際の遅延時間を設定する。これは、前述のごとく、車両が第１状態から第２状態へ遷移する場合、ＥＣＵ１００ごとに推定される状態が異なる場合があり、それに対応するためになされる。例えば、車両が第２状態であると推定している第１ＥＣＵ１００ａによって、メッセージが送信され、当該車両が第１状態であると推定している第２ＥＣＵ１００ｂによって、当該メッセージが受信される場合である。この場合、第１ＥＣＵ１００ａは、例えば、ＣＡＮＩＤ「０ｘ１２０」のメッセージを正規のメッセージとして送信するが、第２ＥＣＵ１００ｂは、そのようなＣＡＮＩＤをフィルタリングルールに含めていない。その結果、第２ＥＣＵ１００ｂは、当該メッセージを受信せず、不正なメッセージと判定する。このような状況は、車両の状態の推定にずれが生じる可能性のある場合、例えば、ＡＣＣのオン／オフやイグニッションのオン／オフの場合に発生する。 The settingunit 24 inputs a message from theinput unit 28. The settingunit 24 sets a delay time when thefilter unit 30 postpones the determination in accordance with the input message, that is, the type of the message transmitted and received in thecommunication unit 10. As described above, when the vehicle transitions from the first state to the second state, the estimated state of eachECU 100 may be different, and this is done to cope with this. For example, the message is transmitted by thefirst ECU 100a that estimates that the vehicle is in the second state, and the message is received by thesecond ECU 100b that estimates that the vehicle is in the first state. In this case, thefirst ECU 100 a transmits, for example, a message of CAN ID “0x120” as a legitimate message, but thesecond ECU 100 b does not include such a CAN ID in the filtering rule. As a result, thesecond ECU 100b does not receive the message, and determines that the message is an unauthorized message. Such a situation occurs when there is a possibility of deviation in the estimation of the state of the vehicle, for example, when the ACC is on / off or the ignition is on / off.

このようなずれに対応するために、設定部２４は、推定のずれが発生しうる場合に、フィルタリング処理における判定を延期させる。また、前述のごとく、判定を延期させるための遅延時間は、メッセージの種類ごとに決められる。例えば、メッセージの種類ごとに求められる即時応答性を判定し、即時応答性の高いメッセージに対してすぐに判定が実行され、即時応答性の低いメッセージに対して遅延時間だけ判定が保留されてもよい。設定部２４は、遅延時間を設定するために、記憶部２６に記憶されたテーブルを参照する。図５は、記憶部２６に記憶されるテーブルのデータ構造を示す。図示のごとく、各ＣＡＮＩＤに対する遅延時間が示される。なお、遅延時間は、「０」であってもよく、それは判定を延期させないことに相当する。図３に戻る。 In order to cope with such a deviation, the settingunit 24 postpones the determination in the filtering process when a deviation in estimation may occur. Also, as described above, the delay time for deferring the determination is determined for each type of message. For example, even if the prompt responsiveness determined for each type of message is determined, the determination is immediately executed for the highly responsive message, and the determination is suspended for the message with low immediate response. Good. The settingunit 24 refers to the table stored in thestorage unit 26 in order to set the delay time. FIG. 5 shows the data structure of a table stored in thestorage unit 26. As shown, delay times for each CAN ID are shown. The delay time may be “0”, which corresponds to not delaying the determination. Return to FIG.

遅延時間について、前述のごとく、第１状態から第２状態に遷移する場合を一例として説明する。図４（ａ）−（ｂ）のごとく、ＣＡＮＩＤの「０ｘ１００」、「０ｘ２００」、「０３００」、「０ｘ１２０」、「０ｘ２２０」、「０ｘ３２０」、「０ｘ４００」については、第１状態と第２状態のいずれか一方のみで設定される。そのため、これらのＣＡＮＩＤに対しては、複数のＥＣＵ１００間の推定のずれに応じた時間が遅延時間として設定される。一方、ＣＡＮＩＤの「０ｘ１１０」、「０ｘ２１０」、「０ｘ３１０」については、第１状態と第２状態のいずれでも設定される。そのため、これらのＣＡＮＩＤに対しては、遅延時間が「０」に設定される。設定部２４は、設定した遅延時間をフィルタ部３０に設定する。なお、設定部２４は、メッセージごとに異なった遅延時間を設定してもよい。 Regarding the delay time, as described above, the case of transition from the first state to the second state will be described as an example. As shown in Fig. 4 (a)-(b), for the CAN IDs "0x100", "0x200", "0300", "0x120", "0x220", "0x320" and "0x400", the first state and the first state It is set in only one of the two states. Therefore, for these CAN IDs, a time corresponding to the deviation of estimation among the plurality ofECUs 100 is set as a delay time. On the other hand, the CAN IDs “0x110”, “0x210”, and “0x310” are set in either the first state or the second state. Therefore, the delay time is set to “0” for these CAN IDs. The settingunit 24 sets the set delay time in thefilter unit 30. The settingunit 24 may set different delay times for each message.

フィルタ部３０は、入力部２８からのメッセージを入力する。また、フィルタ部３０は、設定部２４によって、フィルタリングルールを設定されるとともに、遅延時間も設定される。フィルタ部３０は、フィルタリングルールと遅延時間にしたがって、メッセージに対するフィルタリング処理を実行する。図６は、フィルタ部３０の構成を示す。フィルタ部３０は、第１ルール記憶部５０、第２ルール記憶部５２、第３ルール記憶部５４、第４ルール記憶部５６、第５ルール記憶部５８、ＩＤフィルタ部６０、ＤＬＣフィルタ部６２、送信周期フィルタ部６４、送信頻度フィルタ部６６、データフィルタ部６８、結果判定部７０を含む。 Thefilter unit 30 inputs a message from theinput unit 28. In addition, in thefilter unit 30, the filtering unit is set by the settingunit 24, and the delay time is also set. Thefilter unit 30 executes the filtering process on the message according to the filtering rule and the delay time. FIG. 6 shows the configuration of thefilter unit 30. Thefilter unit 30 includes a firstrule storage unit 50, a secondrule storage unit 52, a thirdrule storage unit 54, a fourthrule storage unit 56, a fifthrule storage unit 58, anID filter unit 60, and aDLC filter unit 62. A transmissionperiod filter unit 64, a transmissionfrequency filter unit 66, adata filter unit 68, and aresult determination unit 70 are included.

第１ルール記憶部５０は、設定部２４において設定されたフィルタリングルールのうち、ＣＡＮＩＤに関するルールを記憶する。第１ルール記憶部５０は、例えば、図４（ａ）−（ｂ）のようなＣＡＮＩＤを記憶する。なお、車両の状態に応じて、設定部２４は、フィルタリングルールを変更するので、第１ルール記憶部５０に記憶されるルールも変更される。ＩＤフィルタ部６０は、入力部２８からのメッセージに対して、設定部２４において設定した遅延時間まで判定を遅らせながら、ＣＡＮＩＤによるフィルタング処理を実行する。つまり、ＩＤフィルタ部６０は、第１ルール記憶部５０に記憶されたＣＡＮＩＤが含まれたメッセージを抽出する。なお、ＩＤフィルタ部６０は、遅延時間に達していなくても、可能であればメッセージを抽出してもよい。 The firstrule storage unit 50 stores a rule related to CAN ID among the filtering rules set in thesetting unit 24. The firstrule storage unit 50 stores, for example, CAN IDs as shown in FIGS. 4 (a) and 4 (b). Since thesetting unit 24 changes the filtering rule according to the state of the vehicle, the rule stored in the firstrule storage unit 50 is also changed. TheID filter unit 60 executes the filtering process using the CAN ID while delaying the determination from the message from theinput unit 28 until the delay time set in thesetting unit 24. That is, theID filter unit 60 extracts the message including the CAN ID stored in the firstrule storage unit 50. TheID filter unit 60 may extract a message if possible, even if the delay time has not been reached.

第２ルール記憶部５２は、設定部２４において設定されたフィルタリングルールのうち、ＤＬＣに関するルールを記憶する。第３ルール記憶部５４は、設定部２４において設定されたフィルタリングルールのうち、送信周期に関するルールを記憶する。第４ルール記憶部５６は、設定部２４において設定されたフィルタリングルールのうち、送信頻度に関するルールを記憶する。これは、例えば、異常に高い頻度で送信される場合を除外するように定められる。第５ルール記憶部５８は、設定部２４において設定されたフィルタリングルールのうち、データに関するルールを記憶する。これは、例えば、固定値である部分が異常な値になってる場合を除外したり、増加／減少の傾向が異常なもの場合を除外したりするように定められる。なお、第２ルール記憶部５２から第５ルール記憶部５８は、第１ルール記憶部５０と同様に、設定部２４によって設定される。 The secondrule storage unit 52 stores a rule related to DLC among the filtering rules set in thesetting unit 24. The thirdrule storage unit 54 stores, among the filtering rules set by the settingunit 24, a rule regarding a transmission cycle. The fourthrule storage unit 56 stores, among the filtering rules set by the settingunit 24, a rule regarding transmission frequency. This is defined to exclude, for example, the case of being transmitted at an abnormally high frequency. The fifthrule storage unit 58 stores a rule related to data among the filtering rules set in thesetting unit 24. This is defined to exclude, for example, the case where the fixed value part is an abnormal value, or to exclude the case where the tendency of increase / decrease is abnormal. The secondrule storage unit 52 to the fifthrule storage unit 58 are set by the settingunit 24 in the same manner as the firstrule storage unit 50.

ＤＬＣフィルタ部６２は、入力部２８からのメッセージに対して、第２ルール記憶部５２に記憶されたＤＬＣによるフィルタング処理を実行する。送信周期フィルタ部６４は、入力部２８からのメッセージに対して、第３ルール記憶部５４に記憶された送信周期によるフィルタング処理を実行する。送信頻度フィルタ部６６は、入力部２８からのメッセージに対して、第４ルール記憶部５６に記憶された送信周期によるフィルタング処理を実行する。送信周期フィルタ部６４は、入力部２８からのメッセージに対して、第５ルール記憶部５８に記憶されたデータによるフィルタング処理を実行する。ＤＬＣフィルタ部６２からデータフィルタ部６８は、ＩＤフィルタ部６０と同様の処理を実行する。なお、ＤＬＣフィルタ部６２からデータフィルタ部６８には、ＩＤフィルタ部６０と同様に、設定部２４によって遅延時間が設定される。 TheDLC filter unit 62 executes the filtering process by the DLC stored in the secondrule storage unit 52 on the message from theinput unit 28. The transmissioncycle filter unit 64 performs filtering processing on the message from theinput unit 28 according to the transmission cycle stored in the thirdrule storage unit 54. The transmissionfrequency filter unit 66 performs filtering processing on the message from theinput unit 28 according to the transmission cycle stored in the fourthrule storage unit 56. The transmissioncycle filter unit 64 performs filtering processing on the message from theinput unit 28 using the data stored in the fifthrule storage unit 58. TheDLC filter unit 62 to the data filterunit 68 execute the same process as theID filter unit 60. The delay time is set by the settingunit 24 from theDLC filter unit 62 to the data filterunit 68 in the same manner as theID filter unit 60.

結果判定部７０は、ＩＤフィルタ部６０からデータフィルタ部６８でのフィルタリング処理の結果を入力する。結果判定部７０は、フィルタリング処理の結果をもとに、判定を実行する。例えば、ＩＤフィルタ部６０からデータフィルタ部６８のすべてにおいてメッセージが抽出されている場合、結果判定部７０は、当該抽出されたメッセージが正規のメッセージであると判定する。一方、ＩＤフィルタ部６０からデータフィルタ部６８のいずれかにおいてメッセージが抽出されていない場合、結果判定部７０は、入力部２８からのメッセージが、不正なメッセージであると判定する。結果判定部７０は、正規のメッセージであると判定した場合、当該メッセージを出力する。一方、結果判定部７０は、不正なメッセージであると判定した場合、何も出力しないか、不正なメッセージを検出した旨を出力する。 Theresult determination unit 70 inputs the result of the filtering process in thedata filter unit 68 from theID filter unit 60. Theresult determination unit 70 performs the determination based on the result of the filtering process. For example, when a message is extracted from all of the data filterunit 68 from theID filter unit 60, theresult determination unit 70 determines that the extracted message is a legitimate message. On the other hand, when no message is extracted from theID filter unit 60 in any of the data filterunits 68, theresult determination unit 70 determines that the message from theinput unit 28 is an invalid message. When theresult determination unit 70 determines that the message is a legitimate message, theresult determination unit 70 outputs the message. On the other hand, when it is determined that the message is an invalid message, theresult determining unit 70 outputs nothing or outputs that an invalid message has been detected.

なお、結果判定部７０は、ＩＤフィルタ部６０からデータフィルタ部６８の１つ以上においてメッセージが抽出されている場合、当該抽出されたメッセージが正規のメッセージであると判定してもよい。その際、この条件を満たさなければ、結果判定部７０は、入力部２８からのメッセージが、不正なメッセージであると判定してもよい。図３に戻る。 When one or more of the data filterunits 68 extracts a message from theID filter unit 60, theresult determination unit 70 may determine that the extracted message is a legitimate message. At this time, if this condition is not satisfied, theresult determination unit 70 may determine that the message from theinput unit 28 is an invalid message. Return to FIG.

出力部３２は、結果判定部７０からのメッセージを入力する。出力部３２は、ＥＣＵ１００が送信側に相当する場合、メッセージを通信部１０に出力する。一方、出力部３２は、ＥＣＵ１００が受信側に相当する場合、メッセージに含まれたデータをアプリケーション実行部１４に出力する。 Theoutput unit 32 receives the message from theresult determination unit 70. Theoutput unit 32 outputs a message to thecommunication unit 10 when theECU 100 corresponds to the transmission side. On the other hand, when theECU 100 corresponds to the reception side, theoutput unit 32 outputs the data included in the message to theapplication execution unit 14.

この構成は、ハードウエア的には、任意のコンピュータのＣＰＵ、メモリ、その他のＬＳＩで実現でき、ソフトウエア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウエアのみ、ハードウエアとソフトウエアの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。 In terms of hardware, this configuration can be realized with the CPU, memory, or other LSI of any computer, and with software, it can be realized by a program loaded into the memory, etc. Are drawing functional blocks. Therefore, it is understood by those skilled in the art that these functional blocks can be realized in various forms only by hardware and by a combination of hardware and software.

以上の構成によるＣＡＮシステム５００の動作を説明する。図７は、ＣＡＮシステム５００による判定手順を示すシーケンス図である。第１ＥＣＵ１００ａは、イグニッションがオンである状態を認識する（Ｓ５０）。第１ＥＣＵ１００ａは、イグニッションがオンである状態に対応したメッセージを送信する（Ｓ５２）。第２ＥＣＵ１００ｂは、メッセージに対する判定を行わずに、イグニッションがオンである状態を認識する（Ｓ５４）。その後、第２ＥＣＵ１００ｂは、当該メッセージが正規のメッセージであると判定する（Ｓ５６）。 The operation of theCAN system 500 having the above configuration will be described. FIG. 7 is a sequence diagram showing a determination procedure byCAN system 500. Thefirst ECU 100a recognizes a state in which the ignition is on (S50). Thefirst ECU 100a transmits a message corresponding to the state in which the ignition is on (S52). Thesecond ECU 100b recognizes the state in which the ignition is on without performing the determination on the message (S54). Thereafter, thesecond ECU 100b determines that the message is a legitimate message (S56).

図８は、ＥＣＵ１００による判定手順を示すフローチャートである。設定部２４は、ＣＡＮＩＤを取得し（Ｓ１００）、それに応じた遅延時間を設定する（Ｓ１０２）。フィルタ部３０は、判定結果が保留であり（Ｓ１０４のＹ）、遅延時間が経過しなければ（Ｓ１０６のＮ）、ステップ１０４に戻る。遅延時間が経過すれば（Ｓ１０６のＹ）、フィルタ部３０は、不正なメッセージと判定する（Ｓ１１０）。フィルタ部３０は、判定結果が保留でなく（Ｓ１０４のＮ）、判定結果がＯＫでなければ（Ｓ１０８のＮ）、不正なメッセージと判定する（Ｓ１１０）。フィルタ部３０は、判定結果がＯＫであれば（Ｓ１０８のＹ）、正規のメッセージと判定する（Ｓ１１２）。なお、ステップ１０６における遅延時間が経過していない場合の処理として、ステップ１０６のＮからステップ１０４へは、遅延時間が経過しない範囲内で、一定時間経過してから移行してもよい。また、フィルタリング処理に利用可能な情報が追加された時点で移行するよう制御してもよい。 FIG. 8 is a flowchart showing the determination procedure by theECU 100. The settingunit 24 acquires the CAN ID (S100), and sets a delay time according to that (S102). If the determination result is pending (Y in S104) and the delay time has not elapsed (N in S106), thefilter unit 30 returns to Step S104. If the delay time has elapsed (Y in S106), thefilter unit 30 determines that the message is an unauthorized message (S110). If the determination result is not on hold (N in S104) and the determination result is not OK (N in S108), thefilter unit 30 determines that the message is an invalid message (S110). If the determination result is OK (Y in S108), thefilter unit 30 determines that the message is a legitimate message (S112). In addition, as processing in the case where the delay time in step 106 has not elapsed, from N of step 106 to step 104 may be shifted after a predetermined time has elapsed within the range in which the delay time does not elapse. In addition, it may be controlled to shift when available information is added to the filtering process.

本実施例によれば、メッセージの種類に応じて設定した遅延時間まで判定を遅らせるので、直ちに判定できない場合でも正確な判定を実行できる。また、直ちに判定できない場合でも正確な判定が実行されるので、不正なメッセージの検出精度を向上できる。また、直ちに判定できない場合でも判定を遅延させるので、推定した車両の状態がＥＣＵごとに異なる場合でも、不正なメッセージの検出精度を向上できる。 According to this embodiment, since the determination is delayed until the delay time set according to the type of the message, accurate determination can be performed even when the determination can not be made immediately. Further, even if the determination can not be made immediately, the accurate determination is performed, so that the accuracy of detecting an incorrect message can be improved. Further, even if the determination can not be made immediately, the determination is delayed, so that the accuracy of detecting an incorrect message can be improved even when the estimated vehicle state is different for each ECU.

また、状態情報をもとに推定した車両の状態に応じたフィルタリングルールを設定するので、そのときの車両の状態に応じたフィルタリングルールだけを使用できる。また、車両の状態に応じたフィルタリングルールだけが使用されるので、不正なメッセージの検出精度を向上できる。また、変動する車両の状態に応じてルールセットを動的に切りかえるので、検知率を向上させ、誤検知率を低下できる。 Moreover, since the filtering rule according to the state of the vehicle estimated based on state information is set, only the filtering rule according to the state of the vehicle at that time can be used. Moreover, since only the filtering rule according to the state of the vehicle is used, the detection accuracy of an incorrect message can be improved. In addition, since the rule set is dynamically switched according to the changing state of the vehicle, the detection rate can be improved and the false detection rate can be reduced.

（実施例２）
次に、実施例２を説明する。実施例２は、実施例１と同様に、ＣＡＮにおける不正なメッセージを検出する通信装置、つまりＥＣＵに関する。実施例２でも、メッセージの種類に応じた遅延時間まで判定を遅らせながら、フィルタング処理を実行する。実施例２は、遅延時間まで判定を遅らせている場合のフィルタリング処理に関しており、延期させている間に、後から追加された情報を考慮したり、複数メッセージ間の相関を考慮したりして、判定を実行する。実施例２に係るＣＡＮシステム５００は、図１と同様のタイプである。また、実施例２に係るＥＣＵ１００は、図３と同様のタイプであってもよいが、車両の状態に応じたフィルリングルールを設定せずに、固定のフィルタリングルールが使用されてもよい。その際は、図３の取得部２０、推定部２２が省略されてもよい。ここでは、固定のフィルタリングルールが使用されているとし、これまでとの差異を中心に説明する。(Example 2)
Next, Example 2 will be described. The second embodiment relates to a communication device, that is, an ECU that detects an incorrect message in CAN, as in the first embodiment. Also in the second embodiment, the filtering process is performed while delaying the determination until the delay time corresponding to the type of the message. The second embodiment relates to the filtering process when the determination is delayed until the delay time, and during the delaying, considering the information added later or considering the correlation between multiple messages, Execute the judgment. TheCAN system 500 which concerns on Example 2 is a type similar to FIG. Further, theECU 100 according to the second embodiment may be of the same type as that of FIG. 3, but a fixed filtering rule may be used without setting a filling rule according to the state of the vehicle. At that time, theacquisition unit 20 and theestimation unit 22 of FIG. 3 may be omitted. Here, it is assumed that fixed filtering rules are used, and the differences from the above are mainly described.

図９（ａ）−（ｃ）は、本発明の実施例２に係るフィルタ部３０の動作概要を示す。これらは、特に、同一のＣＡＮＩＤに対して、図６のデータフィルタ部６８に入力されるデータ値の時間変化を示しており、縦軸がデータ値を示し、横軸が時間を示す。また、このようなデータ値が含まれたメッセージは周期的に発生しているとし、その送信周期が「Ｔ」と示される。 FIGS. 9A to 9C show an operation outline of thefilter unit 30 according to the second embodiment of the present invention. These show, in particular, the time change of the data value input to the data filterunit 68 of FIG. 6 for the same CAN ID, the vertical axis shows the data value, and the horizontal axis shows the time. In addition, it is assumed that a message including such a data value is periodically generated, and the transmission cycle is indicated as "T".

図９（ａ）は、周期的なメッセージに加えて、何らかのトリガによってイベント的にメッセージが発生している場合の一例を示す。ポイント「Ｐ１」は、周期的なメッセージ含まれたデータを示す。ポイント「Ｐ２」は、イベント的なメッセージに含まれたデータを示し、ポイント「Ｐ１」から間隔「Ｔ’」で発生している。ポイント「Ｐ２」は、設定変更などで発生するので、ポイント「Ｐ１」でのデータ値とは異なったデータ値を有する。 FIG. 9A shows an example of a case where a message is generated as an event by some trigger in addition to the periodic message. Point “P1” indicates periodic message included data. Point “P2” indicates data included in an eventual message, and occurs at an interval “T ′” from point “P1”. The point "P2" is generated due to a setting change or the like, and thus has a data value different from the data value at the point "P1".

ポイント「Ｐ３」は、ポイント「Ｐ２」から送信周期「Ｔ」で発生した周期的なメッセージである。そのため、ポイント「Ｐ３」のデータ値は、ポイント「Ｐ２」のデータ値と同一である。また、ポイント「Ｐ４」は、ポイント「Ｐ３」から送信周期「Ｔ」で発生した周期的なメッセージである。そのため、ポイント「Ｐ４」のデータ値も、ポイント「Ｐ２」のデータ値と同一である。 Point "P3" is a periodic message generated from transmission point "T" from point "P2". Therefore, the data value of the point "P3" is the same as the data value of the point "P2". Also, the point "P4" is a periodic message generated from the point "P3" in the transmission cycle "T". Therefore, the data value of the point “P4” is also the same as the data value of the point “P2”.

このような傾向を示す図９（ａ）のポイント「Ｐ１」からポイント「Ｐ４」のメッセージは、正規のメッセージであるので、データフィルタ部６８によって抽出される。そのため、フィルタ部３０は、遅延時間までの間に追加された別のメッセージも利用して、フィルタリング処理の判定を実行する。その際、フィルタ部３０は、遅延時間までの間に追加された別のメッセージの送信周期を利用する。 The messages from point “P1” to point “P4” in FIG. 9A showing such a tendency are normal messages, so they are extracted by the data filterunit 68. Therefore, thefilter unit 30 uses the other messages added up to the delay time to execute the determination of the filtering process. At that time, thefilter unit 30 uses the transmission cycle of another message added up to the delay time.

図９（ｂ）は、周期的なメッセージが発生している場合を示す。ここで、ポイント「Ｑ１」、「Ｑ３」、「Ｑ４」は、送信周期「Ｔ」間隔で発生した周期的なメッセージであり、それらのデータ値は同一である。一方、ポイント「Ｑ２」は、ポイント「Ｑ１」のタイミングとポイント「Ｑ３」のタイミングとの間に発生したメッセージであり、送信周期にしたがっていない。また、ポイント「Ｑ３」のデータ値は、他のポイントでのデータ値とは異なっている。このような傾向を示す図９（ｂ）のポイント「Ｑ１」、「Ｑ３」、「Ｑ４」は、正規のメッセージであるので、データフィルタ部６８によって抽出されるが、図９（ｂ）のポイント「Ｑ２」は、不正なメッセージであるので、データフィルタ部６８によって抽出されない。 FIG. 9 (b) shows the case where a periodic message is generated. Here, points “Q1”, “Q3”, and “Q4” are periodic messages generated at transmission cycle “T” intervals, and their data values are the same. On the other hand, point “Q2” is a message generated between the timing of point “Q1” and the timing of point “Q3” and does not follow the transmission cycle. Also, the data value of point "Q3" is different from the data values at other points. The points “Q1”, “Q3” and “Q4” in FIG. 9 (b) showing such a tendency are normal messages, so they are extracted by the data filterunit 68, but the points in FIG. 9 (b) Since “Q2” is an incorrect message, it is not extracted by the data filterunit 68.

図９（ｃ）は、ポイント「Ｒ１」からポイント「Ｒ７」のメッセージがランダムに発生している場合を示す。ポイント「Ｒ１」の値からポイント「Ｒ７」の値は不安定に変化する。このような傾向を示す図９（ｃ）のポイント「Ｒ１」からポイント「Ｒ７」は、不正なメッセージを含んでいる可能性が高いので、データフィルタ部６８が抽出しなくてもよく、安全な制御に向かう値を含むメッセージのみを抽出してもよい。 FIG. 9C shows a case where a message from point "R1" to point "R7" is randomly generated. The value of the point "R7" changes from the value of the point "R1" to unstable. The points “R1” to “R7” in FIG. 9 (c) showing such a tendency are highly likely to contain an illegal message, so the data filterunit 68 does not have to extract them, which is safe. Only messages that contain values towards control may be extracted.

本実施例によれば、遅延時間までの間に追加された別のメッセージも利用するので、メッセージ間の相関を利用してメッセージを判定できる。また、メッセージ間の相関を利用してメッセージが判定されるので、不正なメッセージの検出精度を向上できる。また、別のメッセージの送信周期を利用するので、不正なメッセージが発生したタイミングを正確に特定できる。また、不正なメッセージが発生したタイミングが正確に特定されるので、不正なメッセージの検出精度を向上できる。 According to this embodiment, since another message added up to the delay time is also used, the correlation between messages can be used to determine the message. In addition, since the correlation between messages is used to determine a message, it is possible to improve the accuracy of detecting an incorrect message. In addition, since another message transmission cycle is used, it is possible to accurately identify the timing at which an incorrect message has occurred. In addition, since the timing at which the fraudulent message has occurred can be accurately identified, the accuracy of fraudulent message detection can be improved.

（実施例３）
次に、実施例３を説明する。実施例３は、これまでと同様に、ＣＡＮにおける不正なメッセージを検出する通信装置、つまりＥＣＵに関する。実施例３では、遅延時間に達するまでに、同一のメッセージに対する判定を複数回実行し、１つのＣＡＮＩＤにおいて保留したメッセージ数がしきい値以上になれば、メッセージを不正なメッセージであると判定する。実施例３に係るＣＡＮシステム５００は、図１と同様のタイプである。また、実施例３に係るＥＣＵ１００は、図３と同様のタイプであってもよいが、車両の状態に応じたフィルリングルールを設定せずに、固定のフィルタリングルールが使用されてもよい。その際は、図３の取得部２０、推定部２２が省略されてもよい。ここでは、固定のフィルタリングルールが使用されているとし、これまでとの差異を中心に説明する。(Example 3)
Next, Example 3 will be described. The third embodiment relates to a communication device, that is, an ECU that detects an incorrect message in CAN as before. In the third embodiment, the determination for the same message is performed multiple times until the delay time is reached, and the message is determined to be an invalid message if the number of pending messages in one CAN ID becomes equal to or greater than the threshold. Do. TheCAN system 500 which concerns on Example 3 is a type similar to FIG. In addition, theECU 100 according to the third embodiment may be of the same type as that of FIG. 3, but a fixed filtering rule may be used without setting a filling rule according to the state of the vehicle. At that time, theacquisition unit 20 and theestimation unit 22 of FIG. 3 may be omitted. Here, it is assumed that fixed filtering rules are used, and the differences from the above are mainly described.

図６のＩＤフィルタ部６０からデータフィルタ部６８のうちの少なくとも１つは、設定部２４において設定した遅延時間が経過するまでに、メッセージに対するフィルタリング処理を複数回実行して、各処理結果を結果判定部７０に出力する。 At least one of theID filter unit 60 to the data filterunit 68 in FIG. 6 executes the filtering process on the message multiple times until the delay time set in thesetting unit 24 elapses, and the result of each process is a result It is output to thedetermination unit 70.

結果判定部７０は、ＩＤフィルタ部６０からデータフィルタ部６８のうちの少なくとも１つでの各処理結果を入力する。結果判定部７０は、フィルタリング処理の結果をもとに、判定を実行する。判定はこれまでと同様になされればよいので、ここでは説明を省略する。判定結果を保留する場合、結果判定部７０は、１つのメッセージに対して１回のみ保留回数のカウンタをインクリメントする。なお、結果判定部７０は、保留後、タイムアウトとなった回数をカウントしてもよい。なお、このようなカウントは、ＣＡＮＩＤごとになされる。結果判定部７０は、カウント値がしきい値以上になった場合、あるいは遅延時間を経過した場合、当該ＣＡＮＩＤのメッセージを不正なメッセージであると判定する。 Theresult determination unit 70 inputs each processing result in at least one of the data filterunits 68 from theID filter unit 60. Theresult determination unit 70 performs the determination based on the result of the filtering process. The determination may be made in the same manner as the above, so the description will be omitted here. When holding the determination result, theresult determination unit 70 increments the number of holding times counter once for one message. Note that theresult determination unit 70 may count the number of times of timeout after holding. Such counting is performed for each CAN ID. When the count value exceeds the threshold value or the delay time has elapsed, theresult determination unit 70 determines that the message of the CAN ID is an invalid message.

以上の構成によるＣＡＮシステム５００の動作を説明する。図１０は、本発明の実施例４に係るフィルタ部３０による判定手順を示すフローチャートである。設定部２４は、ＣＡＮＩＤを取得し（Ｓ１５０）、それに応じた遅延時間を設定する（Ｓ１５２）。フィルタ部３０は、判定結果が保留であり（Ｓ１５４のＹ）、当該ＩＤの保留回数のカウント値がしきい値よりも小さく（Ｓ１５６のＹ）、当該メッセージに対する初回の判定であれば（Ｓ１５８のＹ）、カウント値をインクリメントする（Ｓ１６０）。当該メッセージに対する初回の判定でなければ（Ｓ１５８のＮ）、ステップ１６０はスキップされる。 The operation of theCAN system 500 having the above configuration will be described. FIG. 10 is a flowchart showing the determination procedure by thefilter unit 30 according to the fourth embodiment of the present invention. The settingunit 24 acquires a CAN ID (S150), and sets a delay time according to that (S152). If the determination result is pending (Y at S154), the count value of the number of pending times of the ID is smaller than the threshold (Y at S156), and thefilter unit 30 determines that it is the first determination for the message (S158 Y) increment the count value (S160). If it is not the first determination for the message (N at S158), step 160 is skipped.

遅延時間が経過しなければ（Ｓ１６２のＮ）、ステップ１５４に戻る。遅延時間が経過すれば（Ｓ１６２のＹ）、フィルタ部３０は、不正なメッセージと判定する（Ｓ１６６）。フィルタ部３０は、当該ＩＤの保留回数のカウント値がしきい値よりも小さくなければ（Ｓ１５６のＮ）、不正なメッセージと判定する（Ｓ１６６）。フィルタ部３０は、判定結果が保留でなく（Ｓ１５４のＮ）、判定結果がＯＫでなければ（Ｓ１６４のＮ）、不正なメッセージと判定する（Ｓ１６６）。フィルタ部３０は、判定結果がＯＫであれば（Ｓ１６４のＹ）、正規のメッセージと判定する（Ｓ１６８）。 If the delay time has not elapsed (N in S162), the process returns to step 154. If the delay time has elapsed (Y in S162), thefilter unit 30 determines that the message is an unauthorized message (S166). If the count value of the number of holding times of the ID is not smaller than the threshold (N in S156), thefilter unit 30 determines that the message is an invalid message (S166). If the determination result is not on hold (N in S154) and the determination result is not OK (N in S164), thefilter unit 30 determines that the message is an invalid message (S166). If the determination result is OK (Y in S164), thefilter unit 30 determines that the message is a legitimate message (S168).

本実施例によれば、判定を保留した回数をもとに判定を実行するので、不正なメッセージの検出精度を向上できる。 According to the present embodiment, the determination is performed based on the number of times the determination is suspended, so that the accuracy of detecting an incorrect message can be improved.

（実施例４）
次に、実施例４を説明する。実施例４は、これまでと同様に、ＣＡＮにおける不正なメッセージを検出する通信装置、つまりＥＣＵに関する。実施例４でも、メッセージの種類に応じた遅延時間まで判定を遅らせながら、フィルタング処理を実行するが、判定までの遅延を短縮することを目的とする。そのため、実施例４に係る通信装置は、メッセージを即時に判定した後に、当該メッセージを遅延時間まで遅延させてから判定する。通信装置は、両方の判定結果が異なれば、即時に判定した結果を修正する。実施例４に係るＣＡＮシステム５００は、図１と同様のタイプである。また、実施例４に係るＥＣＵ１００は、図３と同様のタイプであってもよいが、車両の状態に応じたフィルリングルールを設定せずに、固定のフィルタリングルールが使用されてもよい。その際は、図３の取得部２０、推定部２２が省略されてもよい。ここでは、固定のフィルタリングルールが使用されているとし、これまでとの差異を中心に説明する。(Example 4)
A fourth embodiment will now be described. The fourth embodiment relates to a communication device, that is, an ECU that detects an incorrect message in CAN as before. Also in the fourth embodiment, the filtering process is executed while delaying the determination until the delay time corresponding to the type of the message, but the purpose is to reduce the delay to the determination. Therefore, after determining the message immediately, the communication apparatus according to the fourth embodiment makes the determination after delaying the message to the delay time. If both determination results are different, the communication device corrects the determination result immediately. TheCAN system 500 which concerns on Example 4 is a type similar to FIG. Further, theECU 100 according to the fourth embodiment may be of the same type as that of FIG. 3, but a fixed filtering rule may be used without setting a filtering rule according to the state of the vehicle. At that time, theacquisition unit 20 and theestimation unit 22 of FIG. 3 may be omitted. Here, it is assumed that fixed filtering rules are used, and the differences from the above are mainly described.

図１１は、本発明の実施例４に係るフィルタ部３０の構成を示す。フィルタ部３０は、第１フィルタ部８０、第２フィルタ部８２、結果判定部７０を含む。また、結果判定部７０は、修正部８４を含む。 FIG. 11 shows the configuration of thefilter unit 30 according to the fourth embodiment of the present invention. Thefilter unit 30 includes afirst filter unit 80, asecond filter unit 82, and aresult determination unit 70. In addition, theresult determination unit 70 includes acorrection unit 84.

第１フィルタ部８０は、図３の第１ルール記憶部５０からデータフィルタ部６８を含むように構成される。第１フィルタ部８０に含まれたＩＤフィルタ部６０からデータフィルタ部６８の少なくとも１つは、設定部２４において設定した遅延時間まで判定を遅らせずに直ちに、メッセージに対するフィルタリング処理を実行して、処理結果を結果判定部７０に出力する。つまり、第１フィルタ部８０においては、即時のフィルタリング処理が実行される。 Thefirst filter unit 80 is configured to include the data filterunit 68 from the firstrule storage unit 50 of FIG. 3. At least one of theID filter unit 60 and the data filterunit 68 included in thefirst filter unit 80 immediately executes the filtering process on the message without delaying the determination until the delay time set in thesetting unit 24. The result is output to theresult determination unit 70. That is, in thefirst filter unit 80, an immediate filtering process is performed.

結果判定部７０は、第１フィルタ部８０の処理結果を入力する。結果判定部７０は、フィルタリング処理の結果をもとに、判定を実行する。判定はこれまでと同様になされればよいので、ここでは説明を省略する。結果判定部７０は、正規のメッセージであると判定した場合、当該メッセージを出力する。一方、結果判定部７０は、不正なメッセージであると判定した場合、何も出力しないか、不正なメッセージを検出した旨を出力する。 Theresult determination unit 70 inputs the processing result of thefirst filter unit 80. Theresult determination unit 70 performs the determination based on the result of the filtering process. The determination may be made in the same manner as the above, so the description will be omitted here. When theresult determination unit 70 determines that the message is a legitimate message, theresult determination unit 70 outputs the message. On the other hand, when it is determined that the message is an invalid message, theresult determining unit 70 outputs nothing or outputs that an invalid message has been detected.

第２フィルタ部８２は、図３の第１ルール記憶部５０からデータフィルタ部６８を含むように構成される。第１フィルタ部８０に含まれたＩＤフィルタ部６０からデータフィルタ部６８の少なくとも１つであって、かつ第１フィルタ部８０において使用した少なくとも１つは、設定部２４において設定した遅延時間まで判定を遅らせながら、メッセージに対するフィルタリング処理を実行し、処理結果を結果判定部７０に出力する。 Thesecond filter unit 82 is configured to include the data filterunit 68 from the firstrule storage unit 50 of FIG. 3. At least one of theID filter unit 60 and the data filterunit 68 included in thefirst filter unit 80 and used in thefirst filter unit 80 is determined until the delay time set in thesetting unit 24 While delaying, the filtering process is performed on the message, and the processing result is output to theresult determination unit 70.

結果判定部７０は、第２フィルタ部８２の処理結果を入力する。結果判定部７０は、フィルタリング処理の結果をもとに、判定を実行する。判定はこれまでと同様になされればよいので、ここでは説明を省略する。修正部８４は、第１フィルタ部８０での判定結果を入力するとともに、第２フィルタ部８２での判定結果を入力する。第１フィルタ部８０は、第１フィルタ部８０での判定結果と、第２フィルタ部８２での判定結果とを比較する。比較の結果、両者が一致していれば、修正部８４は、判定結果に対応したメッセージに対する処理を終了する。これは、第１フィルタ部８０における判定結果が有効となる場合といえる。一方、判定の結果、両者が異なっていれば、修正部８４は、第１フィルタ部８０での判定結果を修正するための情報と、第２フィルタ部８２での判定結果とを出力する。 Theresult determination unit 70 inputs the processing result of thesecond filter unit 82. Theresult determination unit 70 performs the determination based on the result of the filtering process. The determination may be made in the same manner as the above, so the description will be omitted here. Thecorrection unit 84 inputs the determination result of thefirst filter unit 80 and also inputs the determination result of thesecond filter unit 82. Thefirst filter unit 80 compares the determination result of thefirst filter unit 80 with the determination result of thesecond filter unit 82. As a result of the comparison, if the two match, thecorrection unit 84 ends the processing for the message corresponding to the determination result. This can be said to be the case where the determination result in thefirst filter unit 80 is effective. On the other hand, if both are different as a result of determination, thecorrection unit 84 outputs information for correcting the determination result of thefirst filter unit 80 and the determination result of thesecond filter unit 82.

本実施例によれば、判定結果をすぐに出力するので、判定までの処理遅延を短縮できる。また、遅延させずに判定した結果と、遅延させてから判定した結果とが異なる場合に、判定結果を修正するので、判定精度を向上できる。また、判定精度が向上されるので、不正なメッセージの検出精度を向上できる。 According to this embodiment, since the determination result is immediately output, the processing delay until the determination can be shortened. In addition, when the determination result without delay is different from the determination result after being delayed, the determination result is corrected, so that the determination accuracy can be improved. In addition, since the determination accuracy is improved, it is possible to improve the detection accuracy of an incorrect message.

以上、本発明を実施例をもとに説明した。この実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。 The present invention has been described above based on the embodiments. It is understood by those skilled in the art that this embodiment is an exemplification, and that various modifications can be made to their respective components or combinations of processing processes, and such modifications are also within the scope of the present invention. .

本発明の一態様の概要は、次の通りである。本発明のある態様の通信装置は、ネットワークにおけるメッセージを送受信する通信部と、通信部において送受信されるメッセージの種類に応じて、遅延時間を設定する設定部と、設定部において設定した遅延時間まで判定を遅らせながら、メッセージに対するフィルタリング処理を実行するフィルタ部と、を備える。 The outline of one aspect of the present invention is as follows. A communication apparatus according to an aspect of the present invention includes a communication unit that transmits and receives messages in a network, a setting unit that sets a delay time according to a type of message transmitted and received by the communication unit, and a delay time set by the setting unit. And a filter unit that executes a filtering process on the message while delaying the determination.

この態様によると、メッセージの種類に応じて設定した遅延時間まで判定を遅らせるので、不正なメッセージの検出精度を向上できる。 According to this aspect, since the determination is delayed until the delay time set according to the type of message, it is possible to improve the accuracy of detecting an incorrect message.

フィルタ部は、遅延時間までの間に追加された別のメッセージも利用して、フィルタリング処理の判定を実行してもよい。この場合、遅延時間までの間に追加された別のメッセージも利用するので、不正なメッセージの検出精度を向上できる。 The filter unit may use another message added up to the delay time to execute the determination of the filtering process. In this case, since another message added up to the delay time is also used, the accuracy of detecting an incorrect message can be improved.

フィルタ部は、遅延時間までの間に追加された別のメッセージの送信周期を利用してもよい。この場合、別のメッセージの送信周期を利用するので、不正なメッセージの検出精度を向上できる。 The filter unit may use another message transmission period added up to the delay time. In this case, since another message transmission cycle is used, the accuracy of detecting an incorrect message can be improved.

フィルタ部は、設定部において設定した遅延時間まで判定を遅らせずに、メッセージに対するフィルタリング処理を実行して、判定結果を出力する第１フィルタ部と、設定部において設定した遅延時間まで判定を遅らせながら、メッセージに対するフィルタリング処理を実行する第２フィルタ部と、第２フィルタ部での判定結果が、第１フィルタ部での判定結果と異なっている場合、第１フィルタ部での判定結果を修正するための情報を出力する修正部と、を備えてもよい。この場合、判定結果をすぐに出力してから、修正がある場合だけ修正するので、処理遅延を短縮できる。 The filter unit executes the filtering process on the message without delaying the determination until the delay time set by the setting unit, and delays the determination until the delay time set by the setting unit and the first filter unit that outputs the determination result. In order to correct the determination result in the first filter unit when the second filter unit that executes the filtering process on the message and the determination result in the second filter unit are different from the determination result in the first filter unit And a correction unit that outputs the information of In this case, since the determination result is immediately output and then corrected only when there is a correction, processing delay can be shortened.

本発明の別の態様は、通信方法である。この方法は、ネットワークにおけるメッセージを送受信するステップと、送受信されるメッセージの種類に応じて、遅延時間を設定するステップと、設定した遅延時間まで判定を遅らせながら、メッセージに対するフィルタリング処理を実行するステップと、を備える。 Another aspect of the present invention is a communication method. This method comprises the steps of transmitting and receiving a message in a network, setting a delay time according to the type of message to be transmitted and received, and performing filtering processing on the message while delaying the determination until the set delay time. And.

１０通信部、１２処理部、１４アプリケーション実行部、２０取得部、２２推定部、２４設定部、２６記憶部、２８入力部、３０フィルタ部、３２出力部、１００ＥＣＵ、２００ＣＡＮバス、５００ＣＡＮシステム。 Reference Signs List 10 communication unit, 12 processing unit, 14 application execution unit, 20 acquisition unit, 22 estimation unit, 24 setting unit, 26 storage unit, 28 input unit, 30 filter unit, 32 output unit, 100 ECU, 200 CAN bus, 500 CAN system.

Claims

Translated fromJapanese

ネットワークにおけるメッセージを受信する通信部と、
前記通信部において受信されるメッセージのうち、前記ネットワークが設けられた物体の第１状態および前記第１状態とは異なる前記物体の第２状態のいずれか一方で設定されたIDに対応する第１メッセージに対して、メッセージの種類に応じて遅延時間を設定する設定部と、
前記第１メッセージが不正なメッセージであるか否かの判定を、前記第１状態および前記第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから前記設定部において設定された遅延時間まで遅らせながら、前記第１メッセージに対するフィルタリング処理を実行するフィルタ部と、
を備えることを特徴とする通信装置。A communication unit for receiving messages in the network;
A first message corresponding to an ID set in one of a first state ofan object provided with the network and a second state of theobject different from the first state among messages received by the communication unit A setting unit that sets a delay time for the message according to the type of the message;
The setting unit is set based on the timing at which the determination as to whether the first message is an invalid message is performed on the second message corresponding to the ID set in either the first state or the second state. A filter unit that executes a filtering process on the first message while delaying up to the specified delay time;
A communication apparatus comprising:

前記フィルタ部は、遅延時間までの間に追加された別のメッセージも利用して、フィルタリング処理の判定を実行することを特徴とする請求項１に記載の通信装置。 The communication apparatus according to claim 1, wherein the filter unit executes the determination of the filtering process using another message added up to the delay time.

前記フィルタ部は、遅延時間までの間に追加された別のメッセージの送信周期を利用することを特徴とする請求項２に記載の通信装置。 The communication apparatus according to claim 2, wherein the filter unit uses a transmission cycle of another message added up to the delay time.

前記フィルタ部は、
前記設定部において設定した遅延時間まで判定を遅らせずに、前記第１メッセージに対するフィルタリング処理を実行して、判定結果を出力する第１フィルタ部と、
前記設定部において設定した遅延時間まで判定を遅らせながら、前記第１メッセージに対するフィルタリング処理を実行する第２フィルタ部と、
前記第２フィルタ部での判定結果が、前記第１フィルタ部での判定結果と異なっている場合、前記第１フィルタ部での判定結果を修正するための情報を出力する修正部と、
を備えることを特徴とする請求項１に記載の通信装置。The filter unit is
A first filter unit that executes a filtering process on the first message and outputs a determination result without delaying the determination until the delay time set in the setting unit;
A second filter unit that executes a filtering process on the first message while delaying the determination until the delay time set in the setting unit;
A correction unit that outputs information for correcting the determination result of the first filter unit when the determination result of the second filter unit is different from the determination result of the first filter unit;
The communication apparatus according to claim 1, comprising:

ネットワークにおけるメッセージを受信する処理と、
前記受信されるメッセージのうち、前記ネットワークが設けられた物体の第１状態および前記第１状態とは異なる前記物体の第２状態のいずれか一方で設定されたIDに対応する第１メッセージに対して、メッセージの種類に応じて遅延時間を設定する処理と、
前記第１メッセージが不正なメッセージであるか否かの判定を、前記第１状態および前記第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから前記設定された遅延時間まで遅らせながら、前記第１メッセージに対するフィルタリング処理を実行する処理と、
を、コンピュータが実行するためのプログラム。The process of receiving messages in the network,
For the first message corresponding to an ID set in oneof the first stateof theobject provided with the network and the second state of theobject different from the first state among the received messages Process to set the delay time according to the type of message,
The set delay from the timing at which the determination as to whether the first message is an invalid message is performed on the second message corresponding to the ID set in either the first state or the second state. Performing a filtering process on the first message while delaying to a time,
, A program for the computer to run.

ネットワークにおけるメッセージを受信する通信部と、
前記通信部において受信されるメッセージの種類に応じて遅延時間を設定する設定部と、
前記受信されたメッセージのうちの第１メッセージが不正なメッセージであるか否かの判定を、前記ネットワークが設けられた物体の第１状態および前記物体の第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから前記設定部において設定された遅延時間まで遅らせながら、前記第１メッセージに対するフィルタリング処理を実行するフィルタ部と、
を備え、
前記フィルタ部は、
前記設定部において設定された遅延時間まで判定を遅らせずに、前記第１メッセージに対するフィルタリング処理を実行して、判定結果を出力する第１フィルタ部と、
前記設定部において設定した遅延時間まで判定を遅らせながら、前記第１メッセージに対するフィルタリング処理を実行する第２フィルタ部と、
前記第２フィルタ部での判定結果が、前記第１フィルタ部での判定結果と異なっている場合、前記第１フィルタ部での判定結果を修正するための情報を出力する修正部と、
を備える通信装置。A communication unit for receiving messages in the network;
A setting unit configured to set a delay time according to the type of message received by the communication unit;
The determination as to whether or not the first message of the received messages is an unauthorized message is set to an ID set in anyof the first stateof theobject provided with the network and the second state of theobject . A filter unit that executes a filtering process on the first message while delaying from the timing performed for the corresponding second message to the delay time set in the setting unit;
Equipped with
The filter unit is
A first filter unit that executes a filtering process on the first message and outputs a determination result without delaying the determination until the delay time set in the setting unit;
A second filter unit that executes a filtering process on the first message while delaying the determination until the delay time set in the setting unit;
A correction unit that outputs information for correcting the determination result of the first filter unit when the determination result of the second filter unit is different from the determination result of the first filter unit;
A communication device comprising

ネットワークにおけるメッセージを受信する受信処理と、
前記受信されるメッセージの種類に応じて遅延時間を設定する設定処理と、
前記受信されたメッセージのうちの第１メッセージが不正なメッセージであるか否かの判定を、前記ネットワークが設けられた物体の第１状態および前記物体の第２状態のいずれでも設定されたIDに対応する第２メッセージに対して行うタイミングから、設定された遅延時間まで遅らせながら、前記第１メッセージに対するフィルタリング処理を実行するフィルタ処理と、
を含み、
前記フィルタ処理は、
設定された遅延時間まで判定を遅らせずに、前記第１メッセージに対するフィルタリング処理を実行して、判定結果を出力する第１フィルタ処理と、
設定した遅延時間まで判定を遅らせながら、前記第１メッセージに対するフィルタリング処理を実行する第２フィルタ処理と、
前記第２フィルタ処理での判定結果が、前記第１フィルタ処理での判定結果と異なっている場合、前記第１フィルタ処理での判定結果を修正するための情報を出力する処理と、
を含む、コンピュータが実行するためのプログラム。Reception processing for receiving messages in the network;
Setting processing for setting a delay time according to the type of the received message;
The determination as to whether or not the first message of the received messages is an unauthorized message is set to an ID set in anyof the first stateof theobject provided with the network and the second state of theobject . A filtering process for executing a filtering process on the first message while delaying from a timing performed on a corresponding second message to a set delay time;
Including
The filtering process is
First filtering processing that executes filtering processing on the first message and outputs a determination result without delaying the determination until a set delay time;
A second filtering process that performs filtering on the first message while delaying the determination until a set delay time;
A process of outputting information for correcting the determination result of the first filter process if the determination result of the second filter process is different from the determination result of the first filter process;
A program for the computer to execute, including: