[发明专利]帧传送阻止装置、帧传送阻止方法及车载网络系统

说明书

与供多个电子控制单元经由总线进行通信的网络系统中的该总线连接的帧传送阻止装置，具备：接收部，其从总线接收帧的；以及处理部，其基于表示是否允许阻止帧的传送的管理信息，对在由接收部接收到的帧满足预定条件的情况下是否执行阻止该帧的传送的预定处理进行切换。

技术领域

本公开涉及阻止向车载网络系统等网络传送不正当帧的安全对策技术。

背景技术

近年来，在汽车内的系统中配置有很多称作电子控制单元(ECU：ElectronicControl Unit)的装置。连接这些ECU的网络称作车载网络。车载网络中存在多种通信标准。作为其中最主流的车载网络之一，存在由ISO11898规定的CAN(Controller Area Network)这一标准。

在CAN中，通信路径是由2条线路构成的总线，与总线连接的ECU称作节点。与总线连接的各节点收发被称作数据帧的帧。发送数据帧的发送节点对2条线路施加电压，使得线路间产生电位差，由此发送被称作隐性(recessive，隐性电平)的“1”的值和被称作显性(dominant，显性电平)的“0”的值。在多个发送节点全都在同一时刻(timing，定时)发送了隐性和显性的情况下，显性被优先发送。接收节点在接收到的数据帧的格式存在异常的情况下，发送被称作错误帧的帧。错误帧是指通过连续发送6bit的显性而向发送节点及其他接收节点通知数据帧的异常的帧。

另外，在CAN中，不存在用于指示发送目的地或发送源的标识符，发送节点对每个数据帧附加ID(identifier，标识符)并进行发送，各接收节点仅接收预先确定的ID的数据帧。另外，采用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance，载波侦听多址访问/冲突避免)方式，在多个节点同时发送时，基于ID进行仲裁，ID值较小的数据帧被优先发送。

关于车载网络系统，存在攻击者通过访问总线并发送不正当数据帧等攻击帧来不正当地控制ECU这样的威胁，正在研究安全对策。

例如专利文献1中记载了如下方法：在规定的通信间隔内接收到两个具有同一标识符的帧的情况下，丢弃该各帧而不进行转送，由此阻止不正当帧的传送。另外，在非专利文献1中记载了如下方法：在多个节点不会发送具有同一ID的数据帧的前提条件下，当检测出与本节点发送的ID为同一ID的数据帧的发送时，利用错误帧来阻止不正当数据帧的传送。

现有技术文献

专利文献1:日本特开2014－146868号公报

非专利文献

非专利文献1:Matsumoto、其他4名、“A Method of Preventing UnauthorizedData Transmission in Controller Area Network”、Vehicular Technology Conference(VTC Spring)、IEEE、2012年

发明内容

发明要解决的技术问题

在现有的方法中，例如根据在车辆制造阶段等预先规定的ID、基于通信间隔等规则的条件判定的结果来阻止帧的传送。在这样的方法中，无法适当地应对在车辆制造后等的构成车载网络系统的ECU组编组的变更、例如ECU的追加、替换等，例如可能会错误地阻止由被追加的ECU发送的不会引起特别问题的帧的传送。

因此，本公开提供一种帧传送阻止装置，其能够在网络系统中阻止由攻击者发送的攻击帧的传送，并且能够抑制对不会引起特别问题的帧的传送的阻止。另外，本公开提供一种用于适当地阻止帧的传送的帧传送阻止方法及车载网络系统。

用于解决问题的技术方案