不正常应对方法、车载网络系统及电子控制单元技术方案

本公开涉及不正常应对方法、车载网络系统及电子控制单元。在具备经由总线进行附加有MAC的数据帧的授受的多个电子控制单元的车载网络系统中使用的不正常应对方法，包括：接收步骤，接收在总线上发送的数据帧；验证步骤，利用数据来生成MAC，对在通过接收步骤接收到的数据帧中附加有该MAC这一情况进行验证；以及更新处理步骤，在验证步骤中的验证失败了的情况下，进行关于MAC的生成所利用的数据的更新处理。

Abnormal response method, on-board network system and electronic control unit

【技术实现步骤摘要】
不正常应对方法、车载网络系统及电子控制单元本申请是申请日为2015年4月21日、申请号为201580002183.3、专利技术名称为“车载网络系统、不正常检测电子控制单元以及不正常应对方法”的中国专利申请的分案申请。
本公开涉及检测在电子控制单元进行通信的车载网络中发送的不正常(fraud，非法)帧并进行应对的技术。
技术介绍
近年来，在汽车中的系统内，配置有许多称为电子控制单元(ECU：ElectronicControlUnit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一，存在由ISO11898-1规定的CAN(ControllerAreaNetwork：控制器局域网络)这一标准(参照“非专利文献1”)。在CAN中，通信路径由两条总线构成，与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压，并在总线间产生电位差，从而发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下，优先发送显性。接收节点在接收到的帧的格式存在异常的情况下，发送被称为错误帧(errorframe)的帧。错误帧是通过连续地发送6比特(bit)的显性，从而向发送节点和/或其他接收节点通知帧的异常的帧。另外，在CAN中不存在指示发送目的地或发送源的识别符，发送节点在每帧中附加被称为消息ID的ID并进行发送(也即是，向总线送出信号)，各接收节点仅接收预先确定的消息ID(也即是，从总线读取信号)。另外，采用CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance：载波侦听多址访问/冲突避免)方式，在多个节点的同时发送时，进行利用消息ID的仲裁(调停)，优先发送消息ID的值小的帧。此外，在车载网络中，存在因不正常节点与总线连接且不正常节点不正常地发送帧，从而导致不正常地控制车体的可能性。为了防止这样的不正常帧的发送所导致的控制，一般已知有如下技术：在CAN的数据域(datafield，数据段)中附加消息认证码(MAC：MessageAuthenticationCode)并进行发送(参照“专利文献1”)。在先技术文献专利文献专利文献1：日本特开2013-98719号公报非专利文献非专利文献1：CANSpecification2.0partA，[online]，CANinAutomation(CiA)，[2014年11月14日检索]，互联网(URL：http://www.can-cia.org/fileadmin/cia/specifications/CAN20A.pdf)非专利文献2：RFC2104HMAC：Keyed-HashingforMessageAuthentication
技术实现思路
专利技术要解决的问题然而，由于能够保存在CAN的数据域中的MAC的数据长度不能说足够长，所以会担心与总线连接的不正常节点对MAC的暴力攻击等。因此，本公开提供一种用于提高对于对MAC的暴力攻击的抗攻击性，并适当地应对不正常帧的发送的车载网络系统。另外，本公开提供一种为了在该车载网络系统中检测不正常帧的发送而使用的不正常检测电子控制单元(不正常检测ECU)以及用于适当地应对不正常帧的发送的不正常应对方法。用于解决问题的技术方案为了解决上述技术问题，本公开的一个技术方案涉及的不正常应对方法是在具备多个电子控制单元的车载网络系统中使用的方法，所述多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受，所述不正常应对方法包括：接收步骤，接收在所述总线上发送的数据帧；验证步骤，利用数据生成消息认证码，对在通过所述接收步骤接收到的数据帧中附加有该消息认证码这一情况进行验证；以及更新处理步骤，在所述验证步骤中的验证失败了的情况下，进行关于消息认证码的生成所利用的数据的更新处理。另外，为了解决上述技术问题，本公开的一个技术方案涉及的车载网络系统是具备多个电子控制单元的车载网络系统，所述多个电子控制单元遵循CAN协议即控制器局域网协议经由总线进行附加有消息认证码即MAC的数据帧的授受，所述车载网络系统具备：第一电子控制单元，其具有保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部，使用该MAC密钥来生成消息认证码，附加于数据帧并发送；和第二电子控制单元，其具备保持消息认证码的生成所利用的MAC密钥的MAC密钥保持部，使用该MAC密钥来生成消息认证码，接收数据帧并对在该数据帧中附加有该消息认证码这一情况进行验证，所述第一电子控制单元和所述第二电子控制单元分别还具有MAC密钥更新部，该MAC密钥更新部在所述第二电子控制单元中的所述验证失败了的情况下，对本单元具有的所述MAC密钥保持部所保持的MAC密钥进行更新。另外，为了解决上述技术问题，本公开的一个技术方案涉及的不正常检测电子控制单元，与遵循CAN协议即控制器局域网协议进行通信的多个电子控制单元在通信中所使用的总线连接，所述不正常检测电子控制单元具备：帧收发部，其用于从所述总线接收帧并向所述总线发送帧；和不正常MAC检测部，其对在由所述帧收发部接收到的帧中附加有消息认证码即MAC这一情况进行验证，所述帧收发部在由所述不正常MAC检测部进行的所述验证失败了的情况下，发送MAC密钥更新请求帧，该MAC密钥更新请求帧表示消息认证码的生成所利用的MAC密钥的更新请求。专利技术的效果根据本公开，能够提高对于对MAC的暴力攻击的抗攻击性，适当地应对不正常帧的发送。附图说明图1是表示实施方式1涉及的车载网络系统的整体构成的图。图2是表示由CAN协议规定的数据帧的格式的图。图3是表示由CAN协议规定的错误帧的格式的图。图4是头单元的构成图。图5是示出了接收ID列表的一例的图。图6是网关的构成图。图7是示出了传送规则的一例的图。图8是实施方式1涉及的ECU的构成图。图9是示出了接收ID列表的一例的图。图10是表示从与发动机连接的ECU发送的帧的ID以及数据域的一例的图。图11是表示从与制动器连接的ECU发送的帧的ID以及数据域的一例的图。图12是表示从与门开关传感器连接的ECU发送的帧的ID以及数据域的一例的图。图13是表示从与窗开关传感器连接的ECU发送的帧的ID以及数据域的一例的图。图14是实施方式1涉及的不正常检测ECU的构成图。图15是示出了不正常检测ECU所保持的正规ID列表的一例的图。图16是示出了不正常检测ECU所保持的正规ID列表的一例的图。图17是表示各个消息ID的不正常检测计数器的状态的一例的图。图18是表示实施方式1中的与不正常帧的检测以及执行阻止相关的工作例的时序本文档来自技高网...

【技术保护点】
1.一种不正常应对方法，是在具备多个电子控制单元的车载网络系统中使用的方法，所述多个电子控制单元在车载网络中进行附加有消息认证码即MAC的数据帧的授受，在所述不正常应对方法中，/n接收发送到所述车载网络的数据帧，/n利用计数器的值以及MAC密钥生成第一消息认证码，所述计数器对附加有消息认证码的数据帧被发送的次数进行计数，/n对在所述接收到的数据帧中附加有所述生成的第一消息认证码这一情况进行验证，/n在对于包含预定ID的数据帧，所述验证失败了的情况下，使错误产生次数递增，在所述错误产生次数超过了预定阈值的情况下，执行与该预定ID预先相关联的处理。/n

【技术特征摘要】
20150220 JP 2015-032008;20140508 US 61/990,3401.一种不正常应对方法，是在具备多个电子控制单元的车载网络系统中使用的方法，所述多个电子控制单元在车载网络中进行附加有消息认证码即MAC的数据帧的授受，在所述不正常应对方法中，
接收发送到所述车载网络的数据帧，
利用计数器的值以及MAC密钥生成第一消息认证码，所述计数器对附加有消息认证码的数据帧被发送的次数进行计数，
对在所述接收到的数据帧中附加有所述生成的第一消息认证码这一情况进行验证，
在对于包含预定ID的数据帧，所述验证失败了的情况下，使错误产生次数递增，在所述错误产生次数超过了预定阈值的情况下，执行与该预定ID预先相关联的处理。


2.根据权利要求1所述的不正常应对方法，
在所述预定ID与预定的不正常ID列表所示出的一个以上的ID中的任一个相同的情况下，与所述预定ID预先相关联的处理是向所述不正常ID列表追加所述预定ID。


3.根据权利要求1所述的不正常应对方法，
与所述预定ID预先相关联的所述处理是发送包含表示进行了不正常帧的发送之意的信息的帧。


4.根据权利要求1所述的不正常应对方法，
与所述预定ID预先相关联的所述处理是用于对搭载所述车载网络系统的车辆的功能施加一定的抑制而使其成为预先确定的特定状态的控制。


5.根据权利要求4所述的不正常应对方法，
所述控制是将所述车辆限制在预定速度以下的控制。


6.根据权利要求4所述的不正常应对方法，
所述控制生成用于向所述特定状态变更的预先确定的帧并进行发送。


7.根据权利要求3所述的不正常应对方法，
在所述不正常应对方法中，进一步在所述车载网络中已开始发送的数据帧的ID与预定的不正常ID列表所示出的一个以上的ID中的任一个相同的情况下，在该数据帧的尾端被发送之前发送错误帧，
与所述预定ID预先相关联的处理是向所述不正常ID列表追加所述预定ID。


8.根据权利要求1所述的不正常应对方法
与所述预定ID预先相关联的处理是向记录介质记录表示所述预定ID的日志信息。


9.根据权利要求1所述的不正常应对方法，
所述多个电...

【专利技术属性】
技术研发人员：芳贺智之，松岛秀树，前田学，海上勇二，氏家良浩，岸川刚，
申请(专利权)人：松下电器美国知识产权公司，
类型：发明
国别省市：美国;US