本發(fā)明涉及例如can(controllerareanetwork：控制器區(qū)域網(wǎng)絡(luò))等那樣多個通信裝置發(fā)送接收報文的通信系統(tǒng)及檢測不正當?shù)膱笪膶τ谠撓到y(tǒng)的侵入的通信控制裝置。

背景技術(shù)：

以往，搭載于車輛的多個ecu(electroniccontrolunit：電子控制單元)之間的通信廣泛采用can的通信協(xié)議。采用了can的通信協(xié)議的通信系統(tǒng)成為多個ecu連接于共用的can總線的結(jié)構(gòu)，接收側(cè)的ecu取得發(fā)送側(cè)的ecu向can總線輸出的信號，由此發(fā)送接收報文。在這樣的通信系統(tǒng)中，研究了用于檢測或防止不正當?shù)膱笪南蚬灿玫耐ㄐ啪€侵入的技術(shù)。

在專利文獻1中，提出有對外部數(shù)據(jù)進行輸入限制的車輛網(wǎng)絡(luò)的通信管理裝置。該通信管理裝置對can總線上的數(shù)據(jù)進行監(jiān)視及對從外部輸入的數(shù)據(jù)進行監(jiān)視，在can總線的使用率超過了負荷基準值時及預(yù)測出隨著外部數(shù)據(jù)的傳送而can總線的使用率超過負荷基準值時，執(zhí)行外部數(shù)據(jù)的發(fā)送限制。

專利文獻1：日本特開2013-38711號公報

技術(shù)實現(xiàn)要素：

發(fā)明要解決的課題

在車載的通信系統(tǒng)中，例如can總線有可能與有惡意的裝置連接。這樣的裝置有可能通過對例如can總線發(fā)送不正當?shù)膱笪?，而使與can總線連接的正規(guī)的ecu等誤動作。專利文獻1記載的通信管理裝置是判定can總線的使用率是否超過負荷基準值的結(jié)構(gòu)，因此存在如下的問題：在有惡意的裝置的報文發(fā)送量較少的情況下，無法進行發(fā)送限制。

本發(fā)明鑒于上述情況而作出，其目的是提供在不正當?shù)难b置對共用的通信線進行了報文發(fā)送的情況下能夠檢測出這種報文發(fā)送的通信控制裝置及通信系統(tǒng)。

用于解決課題的方案

本發(fā)明的通信控制裝置對通信裝置的通信進行控制，上述通信裝置具有周期性地進行報文發(fā)送的報文發(fā)送部，上述通信控制裝置的特征在于，具備：基準時刻決定部，決定與上述報文發(fā)送部的報文發(fā)送相關(guān)的基準時刻；允許期間決定部，對于該基準時刻決定部決定的基準時刻加上上述報文發(fā)送部的報文發(fā)送周期的整數(shù)倍的期間而得到的發(fā)送預(yù)定時刻，將包含該發(fā)送預(yù)定時刻的預(yù)定期間作為報文發(fā)送的允許期間；報文檢測部，對上述通信裝置發(fā)送的報文進行檢測；及發(fā)送可否判定部，根據(jù)該報文檢測部檢測出的報文是否是在上述允許期間決定部決定的允許期間內(nèi)發(fā)送的，來判定是否能夠發(fā)送上述報文。

另外，本發(fā)明的通信控制裝置的特征是，在控制對象的通信裝置存在多個的情況下，上述基準時刻決定部及上述允許期間決定部對多個通信裝置分別決定上述基準時刻及上述允許期間。

另外，本發(fā)明的通信控制裝置的特征是，上述通信裝置發(fā)送的上述報文中包含表示該報文的優(yōu)先級的信息，上述允許期間決定部按照各報文的優(yōu)先級來決定上述允許期間。

另外，本發(fā)明的通信控制裝置的特征是，上述通信控制裝置具備仲裁單元，在多個上述通信裝置的報文發(fā)送產(chǎn)生了沖突的情況下，上述仲裁單元根據(jù)對報文設(shè)定的優(yōu)先級來對發(fā)送順序進行仲裁，上述發(fā)送可否判定部調(diào)查在從與判定對象的報文相關(guān)的上述發(fā)送預(yù)定時刻到完成上述判定對象的報文的發(fā)送為止的期間內(nèi)完成了發(fā)送的其他報文的優(yōu)先級，并在存在優(yōu)先級比上述判定對象的報文低的其他報文的情況下，判定為不允許上述判定對象的報文的發(fā)送。

另外，本發(fā)明的通信控制裝置的特征是，在從與判定對象的報文相關(guān)的上述發(fā)送預(yù)定時刻到完成上述判定對象的報文的發(fā)送為止的期間內(nèi)存在超過預(yù)定長度的無報文發(fā)送期間的情況下，上述發(fā)送可否判定部判定為不允許上述判定對象的報文的發(fā)送。

另外，本發(fā)明的通信控制裝置的特征是，上述通信控制裝置具備：哈希(hash)值要求部，對上述通信裝置賦予哈希值的算出要求；哈希值接收部，接收上述通信裝置發(fā)送的哈希值作為對上述算出要求的響應(yīng)；及哈希值判定部，對該哈希值接收部接收到的哈希值的正誤進行判定，上述基準時刻決定部基于從上述通信裝置完成了正確的哈希值的接收的時刻來決定上述基準時刻。

另外，本發(fā)明的通信控制裝置的特征是，上述通信控制裝置具備廢棄處理部，上述廢棄處理部進行使接收上述發(fā)送可否判定部判定為不允許發(fā)送的報文的上述通信裝置廢棄該報文的處理。

另外，本發(fā)明的通信系統(tǒng)具備相互進行報文發(fā)送接收的多個通信裝置及對該通信裝置的通信進行控制的通信控制裝置，上述通信系統(tǒng)的特征在于，上述通信裝置具有周期性地進行報文發(fā)送的報文發(fā)送部，上述通信控制裝置具有：基準時刻決定部，決定與上述報文發(fā)送部的報文發(fā)送相關(guān)的基準時刻；允許期間決定部，對于該基準時刻決定部決定的基準時刻加上上述報文發(fā)送部的報文發(fā)送周期的整數(shù)倍的期間而得到的發(fā)送預(yù)定時刻，將包含該發(fā)送預(yù)定時刻的預(yù)定期間作為報文發(fā)送的允許期間；報文檢測部，對上述通信裝置發(fā)送的報文進行檢測；及發(fā)送可否判定部，根據(jù)該報文檢測部檢測出的報文是否是在上述允許期間決定部決定的允許期間內(nèi)發(fā)送的，來判定是否能夠發(fā)送上述報文。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述基準時刻決定部及上述允許期間決定部對上述多個通信裝置分別決定上述基準時刻及上述允許期間。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述通信裝置發(fā)送的上述報文中包含表示該報文的優(yōu)先級的信息，上述允許期間決定部按照各報文的優(yōu)先級來決定上述允許期間。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述通信系統(tǒng)具備仲裁單元，在多個上述通信裝置的報文發(fā)送產(chǎn)生了沖突的情況下，上述仲裁單元根據(jù)對報文設(shè)定的優(yōu)先級來對發(fā)送順序進行仲裁，上述發(fā)送可否判定部調(diào)查在從與判定對象的報文相關(guān)的上述發(fā)送預(yù)定時刻到完成上述判定對象的報文的發(fā)送為止的期間內(nèi)完成了發(fā)送的其他報文的優(yōu)先級，并在存在優(yōu)先級比上述判定對象的報文低的其他報文的情況下，判定為不允許上述判定對象的報文的發(fā)送。

另外，本發(fā)明的通信系統(tǒng)的特征是，在從與判定對象的報文相關(guān)的上述發(fā)送預(yù)定時刻到完成上述判定對象的報文的發(fā)送為止的期間內(nèi)存在超過預(yù)定長度的無報文發(fā)送期間的情況下，上述發(fā)送可否判定部判定為不允許上述判定對象的報文的發(fā)送。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述通信控制裝置具備：哈希值要求部，對上述通信裝置賦予哈希值的算出要求；哈希值接收部，接收上述通信裝置發(fā)送的哈希值作為對上述算出要求的響應(yīng)；及哈希值判定部，對該哈希值接收部接收到的哈希值的正誤進行判定，上述通信裝置具有：哈希值算出部，根據(jù)來自上述通信控制裝置的算出要求而算出哈希值；及哈希值發(fā)送部，向上述通信控制裝置發(fā)送該哈希值算出部算出的哈希值，上述基準時刻決定部基于從上述通信裝置完成了正確的哈希值的接收的時刻來決定上述基準時刻。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述報文發(fā)送部決定基于上述哈希值發(fā)送部完成了正確的哈希值的發(fā)送的時刻的基準時刻，并以所決定的時刻為基準而周期性地進行報文發(fā)送。

另外，本發(fā)明的通信系統(tǒng)的特征是，上述通信控制裝置具有廢棄處理部，上述廢棄處理部進行使接收上述發(fā)送可否判定部判定為不允許發(fā)送的報文的上述通信裝置廢棄該報文的處理。

在本發(fā)明中，對構(gòu)成為在共用的通信線上連接有多個通信裝置且各通信裝置周期性地進行報文發(fā)送的通信系統(tǒng)設(shè)置檢測不正當?shù)膱笪陌l(fā)送的通信控制裝置。通信控制裝置決定通信裝置的周期性的報文發(fā)送的基準時刻(t0)，將對基準時刻(t0)加上報文的發(fā)送周期(t)的整數(shù)(n＝1、2、3、…)倍的期間而得到的多個時刻(t1＝t0+t、t2＝t0+2t、t3＝t0+3t、…、tn＝t0+nt)決定為發(fā)送預(yù)定時刻，對于各發(fā)送預(yù)定時刻(t1、t2、t3、…、tn)，將包含該時刻的預(yù)定期間(t1-a～t1+b、t2-a～t2+b、t3-a～t3+b、…、tn-a～tn+b)決定為報文發(fā)送的允許期間。

另外，通信控制裝置通過監(jiān)視共用的通信線來檢測通信裝置發(fā)送的報文。通信控制裝置能夠通過判定檢測出的報文是否是在上述允許期間內(nèi)發(fā)送的，來判定該報文是否是不正當?shù)膱笪模軌蚺卸ㄊ欠裨试S該報文的發(fā)送。

如上所述，本發(fā)明的通信控制裝置構(gòu)成為基于在最初的階段決定的基準時刻來決定以后的報文發(fā)送的允許期間，即以絕對的基準決定允許期間。與此相對，可想到采用如下的結(jié)構(gòu)：例如對于每次報文接收，將包含對該報文的接收時刻加上周期t而得到的時刻的預(yù)定期間作為允許期間，即以相對的基準決定允許期間。但是，在can的通信協(xié)議中在報文發(fā)送產(chǎn)生了沖突的情況下進行仲裁處理，優(yōu)先級較低的報文的發(fā)送會產(chǎn)生延遲。在進行相對的決定的結(jié)構(gòu)中，在報文發(fā)送產(chǎn)生了延遲的情況下，用于判定的允許期間發(fā)生變動，因此需要一定程度地擴大設(shè)定允許期間，而不容易縮小允許期間。允許期間越大則將不正當?shù)膱笪恼`判定為正當?shù)目赡苄栽礁?。另外，在相對的決定的結(jié)構(gòu)中，有可能以不正當?shù)膱笪牡慕邮諡榛鶞蕘頉Q定下一個報文的允許期間。在產(chǎn)生了這樣的情況的情況下，有可能將不正當?shù)膱笪倪B續(xù)地誤判定為正當?shù)膱笪?。本發(fā)明的通信控制裝置以絕對的基準決定允許期間，由此能夠避免產(chǎn)生上述問題。

另外，在本發(fā)明中，通信控制裝置對通信系統(tǒng)所包含的各通信裝置分別單獨地決定基準時刻。另外，通信控制裝置對于決定的各基準時刻按照各通信裝置分別決定允許期間。此外，各通信裝置的報文發(fā)送周期也可以分別不同。由此，即使在通信系統(tǒng)包含報文的發(fā)送周期及發(fā)送時刻等不同的通信裝置的情況下，通信控制裝置也能夠按照各通信裝置判定是否能夠進行報文發(fā)送。

另外，在本發(fā)明中，通信裝置能夠發(fā)送發(fā)送周期不同的多個類別的報文，通信控制裝置按照各報文類別來決定允許期間。此外，通信控制裝置也可以按照各報文的類別而決定基準時刻。由此，即使在一個通信裝置發(fā)送發(fā)送周期不同的報文的情況下，通信控制裝置也能夠按照各報文的類別判定是否能夠進行發(fā)送。

另外，在本發(fā)明中，構(gòu)成為多個通信裝置與共用的通信線連接，因此在多個通信裝置同時進行了報文發(fā)送的情況下，在通信線上多個報文有可能產(chǎn)生沖突。在這樣的情況下，通信裝置之間進行仲裁處理，以與報文的優(yōu)先級對應(yīng)的順序進行發(fā)送。即，關(guān)于產(chǎn)生了沖突的多個報文，首先發(fā)送優(yōu)先級較高的報文，然后發(fā)送優(yōu)先級較低的報文。

在進行這樣的仲裁處理的通信系統(tǒng)中，通信裝置想要周期性地發(fā)送的報文有可能與其他報文產(chǎn)生沖突而延遲。因此，通信控制裝置調(diào)查在從與判定對象的報文發(fā)送有關(guān)的預(yù)定時刻到該報文的發(fā)送完成為止的期間內(nèi)是否發(fā)送了其他報文。在發(fā)送了其他報文的情況下，通信控制裝置對判定對象的報文的優(yōu)先級與其他報文的優(yōu)先級進行比較。

在其他報文的優(yōu)先級高于判定對象的報文的優(yōu)先級的情況下，認為判定對象的報文由于正當?shù)闹俨锰幚矶l(fā)送產(chǎn)生了延遲，因此通信控制裝置允許判定對象的報文的發(fā)送。與此相對，在其他報文的優(yōu)先級低于判定對象的報文的優(yōu)先級的情況下，認為判定對象的報文的延遲不是由于正當?shù)闹俨锰幚硪鸬?，因此通信控制裝置不允許判定對象的報文的發(fā)送。由此，即使在由于仲裁處理而報文發(fā)送產(chǎn)生延遲的通信系統(tǒng)中，通信控制裝置也能夠判定是否能夠進行報文發(fā)送。

另外，在本發(fā)明中，通信控制裝置判定在從判定對象的報文的發(fā)送預(yù)定時刻到完成該報文的發(fā)送為止的期間內(nèi)是否存在超過預(yù)定長度的無報文發(fā)送期間。在存在無報文發(fā)送期間的情況下，認為判定對象的報文的延遲不是由于正當?shù)闹俨锰幚矶a(chǎn)生的，通信控制裝置不允許判定對象的報文的發(fā)送。

另外，在本發(fā)明中，為了決定基準時刻而在通信控制裝置與通信裝置之間進行預(yù)定手續(xù)。通信控制裝置對通信裝置發(fā)送哈希值的算出要求。此時，通信控制裝置可以將哈希值算出所需要的信息與算出要求一起向通信裝置提供。從通信控制裝置接收到算出要求的通信裝置基于例如存儲于自身的存儲器的信息等，使用預(yù)定的哈希函數(shù)來算出哈希值，并向通信控制裝置發(fā)送算出的哈希值。從通信裝置接收到哈希值的通信控制裝置判定該哈希值是否正確。在接收到的哈希值正確的情況下，通信控制裝置基于完成了該哈希值的接收的時刻來決定基準時刻。此外，通信裝置可以將正確的哈希值的接收完成時刻作為基準時刻，也可以將對接收完成時刻增減了預(yù)定的時間而得到的時刻作為基準時刻。

相同地，通信裝置基于完成了正確的哈希值的發(fā)送的時刻來決定基準時刻，并以所決定的時刻為基準而周期性地進行報文發(fā)送。

能夠根據(jù)基于哈希值的可靠性較高的通信結(jié)果來決定基準時刻，因此通信控制裝置能夠進行可靠性較高的不正當報文檢測。

另外，在本發(fā)明中，對于通信控制裝置判定為是不正當?shù)膱笪亩辉试S發(fā)送的報文，通信控制裝置進行使接收該報文的通信裝置廢棄報文的處理。由此，能夠防止通信裝置接收不正當?shù)膱笪牟⑼ㄟ^通信裝置進行與該報文對應(yīng)的處理。

發(fā)明效果

在本發(fā)明的情況下，通信控制裝置構(gòu)成為決定包含對基準時刻加上報文發(fā)送期間的整數(shù)倍的期間而得到的時刻的允許期間，并判定通信裝置發(fā)送的報文是否在允許期間內(nèi)，由此能夠高精度地檢測出不正當?shù)难b置對共用的通信線發(fā)送的報文。

附圖說明

圖1是表示本實施方式的通信系統(tǒng)的結(jié)構(gòu)的示意圖。

圖2是表示ecu的結(jié)構(gòu)的框圖。

圖3是表示監(jiān)視裝置的結(jié)構(gòu)的框圖。

圖4是對存儲于監(jiān)視裝置的存儲部的復(fù)制數(shù)據(jù)的結(jié)構(gòu)進行說明的示意圖。

圖5是對存儲于監(jiān)視裝置的存儲部的周期信息的結(jié)構(gòu)進行說明的示意圖。

圖6是用于對監(jiān)視裝置的不正當報文檢測處理進行說明的示意圖。

圖7是用于對發(fā)送可否判定部的與仲裁處理相關(guān)的條件判定進行說明的示意圖。

圖8是用于對發(fā)送可否判定部的與仲裁處理相關(guān)的條件判定進行說明的示意圖。

圖9是用于對發(fā)送可否判定部的與仲裁處理相關(guān)的條件判定進行說明的示意圖。

圖10是用于對發(fā)送可否判定部的與無報文發(fā)送期間相關(guān)的條件判定進行說明的示意圖。

圖11是表示監(jiān)視裝置進行的報文發(fā)送的可否判定處理的順序的流程圖。

圖12是表示監(jiān)視裝置進行的報文發(fā)送的可否判定處理的順序的流程圖。

圖13是用于對在ecu及監(jiān)視裝置之間進行的基準時刻決定處理進行說明的示意圖。

圖14是用于對監(jiān)視裝置與多個ecu之間的基準時刻決定處理進行說明的示意圖。

圖15是表示監(jiān)視裝置的基準時刻決定處理的順序的流程圖。

圖16是表示ecu根據(jù)來自監(jiān)視裝置的哈希值算出要求而進行的處理的順序的流程圖。

圖17是表示ecu根據(jù)來自監(jiān)視裝置的哈希值確認要求而進行的處理的順序的流程圖。

具體實施方式

＜系統(tǒng)結(jié)構(gòu)>

圖1是表示本實施方式的通信系統(tǒng)的結(jié)構(gòu)的示意圖。本實施方式的通信系統(tǒng)構(gòu)成為具備搭載于車輛1的多個ecu3及一個監(jiān)視裝置5。ecu3及監(jiān)視裝置5經(jīng)由敷設(shè)于車輛1的共用的通信線而連接，能夠相互發(fā)送接收報文。在本實施方式中，將該通信線設(shè)為can總線，ecu3及監(jiān)視裝置5進行符合can協(xié)議的通信。ecu3也可以是例如對車輛1的發(fā)動機進行控制的發(fā)動機ecu、對車體的電子組件進行控制的車身ecu、進行與abs(antilockbrakesystem:制動防抱死系統(tǒng))相關(guān)的控制的abs-ecu或?qū)囕v1的安全氣囊進行控制的安全氣囊ecu等那樣的各種電子控制裝置。監(jiān)視裝置5是對針對車內(nèi)網(wǎng)絡(luò)的不正當?shù)膱笪陌l(fā)送進行監(jiān)視的裝置。監(jiān)視裝置5可以設(shè)為監(jiān)視專用的裝置，也可以是在例如網(wǎng)關(guān)等裝置中附加了監(jiān)視的功能的結(jié)構(gòu)，另外也可以是在例如任一個ecu3中附加了監(jiān)視的功能的結(jié)構(gòu)。

圖2是表示ecu3的結(jié)構(gòu)的框圖。此外，在圖2中，關(guān)于設(shè)于車輛1的多個ecu3，提取出關(guān)于通信及不正當檢測等的塊而進行圖示。上述塊對于各ecu3是共用的。本實施方式的ecu3構(gòu)成為具備處理部31、rom(readonlymemory：只讀存儲器)32、ram(randomaccessmemory：隨機存取存儲器)33及can通信部34等。處理部31使用cpu(centralprocessingunit：中央處理單元)或mpu(micro-processingunit：微處理單元)等運算處理裝置而構(gòu)成。處理部31通過執(zhí)行存儲于rom32的程序32a，而進行車輛1的各種信息處理或控制處理等。

rom32使用閃存或eeprom(electricallyerasableprogrammablerom：電可擦可編程只讀存儲器)等非易失性存儲器元件而構(gòu)成。rom32存儲有處理部31執(zhí)行的程序32a和由此進行的處理所需要的各種數(shù)據(jù)32b。此外，存儲于rom32的程序32a及數(shù)據(jù)32b按照各ecu3而不同。ram33使用sram(staticrandomaccessmemory：靜態(tài)隨機存取存儲器)或dram(dynamicrandomaccessmemory：動態(tài)隨機存取存儲器)等能夠改寫數(shù)據(jù)的存儲器元件而構(gòu)成。ram33存儲通過處理部31的處理而生成的各種數(shù)據(jù)。

can通信部34按照can的通信協(xié)議，經(jīng)由can總線而與其他ecu3或監(jiān)視裝置5進行通信。can通信部34將從處理部31發(fā)送的發(fā)送用的信息轉(zhuǎn)換為符合can的通信協(xié)議的信號，并將轉(zhuǎn)換后的信號向can總線輸出，由此進行向其他ecu3或監(jiān)視裝置5的信息發(fā)送。can通信部34通過對can總線的電位進行采樣而取得其他ecu3或監(jiān)視裝置5輸出的信號，將該信號按照can的通信協(xié)議轉(zhuǎn)換為二進制信息而接收信息，并將接收到的信息向處理部31發(fā)送。

另外，在自身的報文發(fā)送與其他ecu3或監(jiān)視裝置5的報文發(fā)送產(chǎn)生了沖突的情況下，can通信部34進行調(diào)節(jié)先發(fā)送哪一個報文的處理、即所謂的仲裁處理。各ecu3發(fā)送的報文根據(jù)報文的類別而預(yù)先確定了id。該id是被作為數(shù)值對待的信息，其值越小則報文發(fā)送的優(yōu)先級越高。因此在通信系統(tǒng)中，當在can總線上多個報文發(fā)送產(chǎn)生了沖突的情況下，發(fā)送優(yōu)先級最高的報文，在該報文的發(fā)送完成后發(fā)送其他報文。此外，can通信部34進行的仲裁處理是現(xiàn)有技術(shù)，省略詳細的處理順序的說明。

在本實施方式中，在ecu3的處理部31中執(zhí)行程序32a，由此報文處理部41及哈希值算出部42等作為軟件方式的功能塊而實現(xiàn)。此外，報文處理部41及哈希值算出部42等的一部分或全部也可以作為基于硬件的功能塊而實現(xiàn)。報文處理部41周期性地進行如下的處理：取得傳感器等檢測出的信息或來自控制對象的設(shè)備的反饋信息等信息，生成包含所取得的信息的can協(xié)議的報文，并將生成的報文向can總線發(fā)送。此外，報文的發(fā)送周期能夠按照各報文的類別(即id)而確定，報文處理部41能夠按照各報文的類別而以不同的周期進行發(fā)送。

哈希值算出部42根據(jù)來自監(jiān)視裝置5的算出要求而進行算出哈希值的處理。哈希值算出部42基于存儲于rom32的數(shù)據(jù)(可以包含程序32a及數(shù)據(jù)32b這兩方)的一部分或全部、來自監(jiān)視裝置5的算出要求所附的隨機種子，而通過使用預(yù)定的哈希函數(shù)來算出哈希值。通過哈希值算出部42進行的哈希值算出的詳細順序后述。哈希值算出部42將算出的哈希值作為對于算出要求的響應(yīng)而向監(jiān)視裝置5發(fā)送。

圖3是表示監(jiān)視裝置5的結(jié)構(gòu)的框圖。監(jiān)視裝置5構(gòu)成為具備處理部51、存儲部52及can通信部53等。處理部51使用cpu或mpu等運算處理裝置而構(gòu)成，通過讀出并執(zhí)行存儲于存儲部52的程序而進行監(jiān)視車輛1的ecu3的舉動及通信等的處理。存儲部52使用閃存或eeprom等能夠改寫數(shù)據(jù)的非易失性存儲器元件而構(gòu)成。在本實施方式中存儲部52存儲有復(fù)制了搭載于車輛1的ecu3的rom32的存儲內(nèi)容的復(fù)制數(shù)據(jù)52a和與各ecu3發(fā)送的報文的發(fā)送周期相關(guān)的周期信息52b。

can通信部53按照can的通信協(xié)議，經(jīng)由can總線而與ecu3進行通信。can通信部53將從處理部51發(fā)送的發(fā)送用的信息轉(zhuǎn)換為符合can的通信協(xié)議的信號，并將轉(zhuǎn)換后的信號向can總線輸出，由此向ecu3發(fā)送信息。can通信部53通過對can總線的電位進行采樣而取得ecu3輸出的信號，并將該信號按照can的通信協(xié)議轉(zhuǎn)換為二進制信息，由此接收信息，并將接收到的信息向處理部51發(fā)送。

在本實施方式中，在監(jiān)視裝置5的處理部51中設(shè)有基準時刻決定部61、允許期間決定部62、發(fā)送可否判定部63及廢棄處理部64等?；鶞蕰r刻決定部61～廢棄處理部64可以構(gòu)成為硬件的功能塊，也可以構(gòu)成為軟件的功能塊?；鶞蕰r刻決定部61及允許期間決定部62進行決定用于監(jiān)視裝置5檢測不正當?shù)膱笪陌l(fā)送的條件等的處理。發(fā)送可否判定部63基于基準時刻決定部61及允許期間決定部62決定的條件，進行判定是否能夠發(fā)送輸出到can總線上的報文的處理。廢棄處理部64進行如下的處理：關(guān)于未由發(fā)送可否判定部63允許發(fā)送的報文，為了阻止ecu3接收該報文，而使ecu3廢棄報文。

圖4是對存儲于監(jiān)視裝置5的存儲部52的復(fù)制數(shù)據(jù)52a的結(jié)構(gòu)進行說明的示意圖。監(jiān)視裝置5對于搭載于車輛1的監(jiān)視對象的全部ecu3，存儲有與rom32的存儲內(nèi)容相同的內(nèi)容作為復(fù)制數(shù)據(jù)52a。復(fù)制數(shù)據(jù)52a將對各ecu3唯一附設(shè)的識別信息(在圖4中為ecua、ecub…)與各ecu3的rom32的存儲內(nèi)容建立對應(yīng)地進行存儲。

圖5是對存儲于監(jiān)視裝置5的存儲部52的周期信息52b的結(jié)構(gòu)進行說明的示意圖。監(jiān)視裝置5將對在車輛1內(nèi)的網(wǎng)絡(luò)上發(fā)送接收的報文附設(shè)的識別信息(can-id)與對具有該can-id的報文進行發(fā)送的周期建立對應(yīng)地存儲為周期信息52b。在圖示的例子中，周期信息52b中存儲有：can-id為1的報文的發(fā)送周期是10ms，can-id為2的報文的發(fā)送周期是50ms，can-id為3的報文的發(fā)送周期是32ms。此外，上述數(shù)值是一例。

＜不正當報文檢測處理>

在本實施方式的通信系統(tǒng)中，檢測對多個ecu3進行報文的發(fā)送接收的can總線上發(fā)送了不正當?shù)膱笪牡奶幚碛杀O(jiān)視裝置5進行。例如能夠想到不正當?shù)耐ㄐ叛b置不正當?shù)剡B接于can總線，該通信裝置將不正當?shù)膱笪南騝an總線上發(fā)送。另外能夠想到例如對搭載于車輛1的任一個ecu3進行不正當?shù)母脑旎蚋淖兊龋揺cu3發(fā)送不正當?shù)膱笪?。上述是不正當?shù)膱笪牡囊焕?，監(jiān)視裝置5檢測的不正當?shù)膱笪囊部梢允怯捎谏鲜鲆酝獾脑蛞鸬摹?/p>

不正當?shù)耐ㄐ叛b置能夠按照can協(xié)議發(fā)送附設(shè)有特定的can-id的不正當報文。附設(shè)于這種不正當報文的can-id使用在車輛1的通信系統(tǒng)中利用的正當?shù)腸an-id，但不正當報文所包含的其他數(shù)據(jù)是不正當?shù)臄?shù)據(jù)。在ecu3基于can-id而接收到不正當報文的情況下，ecu3進行基于不正當?shù)臄?shù)據(jù)的處理。在本實施方式的通信系統(tǒng)中，對附設(shè)有正規(guī)的can-id的不正當報文、即所謂的偽裝報文進行檢測。

本實施方式的監(jiān)視裝置5對于應(yīng)周期性地發(fā)送的報文，判斷該報文是否以正確的周期被發(fā)送，由此對不正當?shù)膱笪倪M行檢測。圖6是用于對監(jiān)視裝置5的不正當報文檢測處理進行說明的示意圖。監(jiān)視裝置5按照附設(shè)于在通信系統(tǒng)內(nèi)發(fā)送接收的報文的各can-id，來決定允許具有該can-id的報文的發(fā)送的允許期間。圖6圖示有監(jiān)視裝置5對于附設(shè)某一個can-id的報文決定的允許期間等。此外，在本實施方式中，不可以多個ecu3利用一個can-id，即不可以多個ecu3發(fā)送附設(shè)有同一can-id的報文。

在本例中，監(jiān)視裝置5設(shè)為監(jiān)視對象的報文的發(fā)送周期是t。監(jiān)視裝置5的基準時刻決定部61通過與發(fā)送該報文的ecu3之間進行預(yù)定手續(xù)，而決定報文發(fā)送的基準時刻t0(此外基準時刻的決定處理的詳細情況后述)。監(jiān)視裝置5的允許期間決定部62通過參照存儲于存儲部52的周期信息52b而取得監(jiān)視對象的報文的發(fā)送周期t。允許期間決定部62將對基準時刻t0加上發(fā)送周期t而得到的時刻t1作為報文的發(fā)送預(yù)定時刻t1。相同地，允許期間決定部62能夠?qū)鶞蕰r刻t0加上發(fā)送周期t的2倍而得到的時刻t2設(shè)為發(fā)送預(yù)定時刻t2，將對基準時刻t0加上發(fā)送周期t的3倍而得到的時刻t3作為發(fā)送預(yù)定時刻t3，…，將對基準時刻t0加上發(fā)送周期t的n倍而得到的時刻tn作為發(fā)送預(yù)定時刻tn(n＝1，2，3…)。

監(jiān)視裝置5的允許期間決定部62將對發(fā)送預(yù)定時刻t1設(shè)置預(yù)定期間a及期間b的緩期而得到的期間決定為允許期間。允許期間決定部62將t1-a≤t≤t1+b的期間決定為允許期間。關(guān)于發(fā)送預(yù)定時刻t2、t3…也相同。即允許期間決定部62將t0+nt-a≤t≤t0+nt+b(n＝1，2，3…)決定為允許期間。

此外，用于決定允許期間的期間a及期間b基于例如通信系統(tǒng)的模擬或?qū)崣C上的測定結(jié)果等而預(yù)先決定。期間a及期間b可以關(guān)于全部報文使用相同的值，也可以例如按照各can-id使用不同的值。在按照各can-id使用不同的值的情況下，能夠在周期信息52b中與can-id建立對應(yīng)地存儲期間a及期間b。期間a能夠基于監(jiān)視裝置5與發(fā)送該報文的ecu3之間的時鐘誤差等來決定。期間b考慮該報文由于仲裁處理而延遲的時間來決定。

監(jiān)視裝置5的can通信部53監(jiān)視報文對can總線的發(fā)送，在檢測出報文發(fā)送的情況下向處理部51進行通知。處理部51的發(fā)送可否判定部63基于來自can通信部53的通知，取得所發(fā)送的報文的can-id及與報文發(fā)送的開始時刻或終止時刻相關(guān)的信息。另外，發(fā)送可否判定部63取得允許期間決定部62對所取得的can-id決定的允許期間。發(fā)送可否判定部63判定檢測出發(fā)送的報文是否在允許期間內(nèi)被發(fā)送。

此外，判斷報文是否在允許期間內(nèi)被發(fā)送的條件能夠想到以報文的發(fā)送在允許期間內(nèi)開始為條件或以報文的發(fā)送在允許期間內(nèi)完成為條件這兩種。能夠采用任一條件，只要根據(jù)采用哪一個條件來適當?shù)卦O(shè)定期間b的值即可。此外在本實施方式中，設(shè)為以在允許期間內(nèi)報文發(fā)送完成為條件，發(fā)送可否判定部63判定報文是否在允許期間內(nèi)被發(fā)送。

在報文不是在允許期間內(nèi)被發(fā)送的情況下，發(fā)送可否判定部63判斷為該報文是不正當報文，并判定為不允許該報文的發(fā)送。在發(fā)送可否判定部63判定為不允許報文發(fā)送的情況下，監(jiān)視裝置5的廢棄處理部64對連接于can總線的ecu3進行廢棄該報文的處理。此外，報文廢棄處理的詳細情況后述。

當報文在允許期間內(nèi)被發(fā)送的情況下，發(fā)送可否判定部63還進行其他條件判定。發(fā)送可否判定部63進行與仲裁處理相關(guān)的條件判定及與無報文發(fā)送期間相關(guān)的條件判定。

圖7至圖9是用于對發(fā)送可否判定部63的與仲裁處理相關(guān)的條件判定進行說明的示意圖。如上所述，在can的通信系統(tǒng)中，在多個報文發(fā)送產(chǎn)生了沖突的情況下進行仲裁處理，優(yōu)先級較低的報文的發(fā)送有可能產(chǎn)生延遲。在圖7中，圖示了判定對象的報文的can-id是7、優(yōu)先級比該報文高的三個報文(can-id分別是3、5、2的報文)通過仲裁處理而先被發(fā)送的狀態(tài)。

發(fā)送可否判定部63判定在判定對象的報文的允許期間內(nèi)，在判定對象的報文的發(fā)送之前是否進行了其他報文發(fā)送。當進行了其他報文發(fā)送的情況下，發(fā)送可否判定部63調(diào)查所發(fā)送的一個或多個其他報文的can-id，并與判定對象的報文的can-id進行比較。在can協(xié)議中附設(shè)于報文的can-id表示優(yōu)先級，其數(shù)值越小則優(yōu)先級越高。只在關(guān)于之前發(fā)送的其他全部報文而以下的條件1或條件2中的任一個成立的情況下，發(fā)送可否判定部63判斷為判定對象的報文是正規(guī)的報文。

條件1：其他報文的can-id小于判定對象的報文的can-id的情況、即之前的報文全部是優(yōu)先級較高的報文的情況

條件2：其他報文的優(yōu)先級比判定對象的報文低、但在判定對象報文的允許期間開始之前開始進行發(fā)送而發(fā)送低優(yōu)先級的報文的情況

關(guān)于條件1，在發(fā)送允許后連續(xù)地發(fā)送的報文中的、之前發(fā)送的報文的至少一個報文的can-id大于判定對象的報文的can-id的情況下，即之前發(fā)送了優(yōu)先級較低的報文的情況下，發(fā)送可否判定部63將判定對象的報文判斷為不正當?shù)膱笪摹Ｔ趫D8中，圖示了判定對象的報文的can-id為7、且在該報文的發(fā)送之前發(fā)送了can-id為3、5、9的報文的狀態(tài)。can-id為9的報文的優(yōu)先級低于can-id為7的判定對象的報文。因此判定對象的報文有可能不是由于仲裁處理而延遲至圖示的時刻，而是通過不正當?shù)耐ㄐ叛b置在圖示的時刻發(fā)送。在發(fā)送可否判定部63判定為判定對象的報文為不正當?shù)膱笪亩辉试S發(fā)送的情況下，進行廢棄處理部64的報文廢棄處理。

條件2規(guī)定了條件1的例外。即根據(jù)條件1，判定對象的報文之前的其他報文的優(yōu)先級必須比判定對象的報文高。但是，條件2設(shè)為，在報文的允許期間內(nèi)發(fā)送的一個或多個其他報文中的最初發(fā)送的報文是在允許期間的開始時刻已經(jīng)發(fā)送的報文的情況下，其優(yōu)先級也可以低于判定對象的報文。在圖9中，除了圖7所示的報文以外，還圖示了在允許期間開始之前發(fā)送了can-id為10的報文的狀態(tài)。can-id為10的報文的優(yōu)先級低于can-id為7的判定對象的報文。但是，由于該低優(yōu)先級的報文是在判定對象的報文的允許期間開始之前開始發(fā)送的報文，因此發(fā)送可否判定部63允許判定對象的報文的發(fā)送。

圖10是用于對發(fā)送可否判定部63的與無報文發(fā)送期間相關(guān)的條件判定進行說明的示意圖。發(fā)送可否判定部63調(diào)查在判定對象的報文的允許期間內(nèi)，在從發(fā)送預(yù)定時刻t1到判定對象報文的發(fā)送為止的期間內(nèi)是否存在在can總線上不發(fā)送報文的無報文發(fā)送期間。在存在無報文發(fā)送期間的情況下，發(fā)送可否判定部63判定該無報文發(fā)送期間是否超過預(yù)定長度。此外，在存在多個無報文發(fā)送期間的情況下，發(fā)送可否判定部63對各無報文發(fā)送期間與預(yù)定長度分別進行比較。

作為預(yù)定長度，例如能夠設(shè)定為用于發(fā)送3比特～10比特左右的報文所需要的期間。其基于can協(xié)議的報文發(fā)送的ifs(interframespace：幀間空間)的3比特或?qū)fs加上eof(endofframe：幀結(jié)束)的7比特而得到的10比特等的期間。但是上述數(shù)值是一例，預(yù)定長度也可以是上述以外的期間。

當在從發(fā)送預(yù)定時刻到報文發(fā)送為止的期間內(nèi)存在的無報文發(fā)送期間超過預(yù)定長度的情況下，能夠判斷為判定對象的報文的延遲不是正當?shù)难舆t。因此在這樣的情況下，發(fā)送可否判定部63判定為判定對象的報文是不正當?shù)膱笪亩辉试S發(fā)送。在發(fā)送可否判定部63判定為判定對象的報文是不正當?shù)膱笪亩辉试S發(fā)送的情況下，進行廢棄處理部64的報文廢棄處理。

另外，當在從發(fā)送預(yù)定時刻到報文發(fā)送為止的期間內(nèi)不存在無報文發(fā)送期間的情況下、或雖然存在無報文發(fā)送期間但短于預(yù)定長度的情況下，發(fā)送可否判定部63判定為判定對象的報文是正當?shù)膱笪?，而允許發(fā)送。

這樣，在發(fā)送可否判定部63在允許期間內(nèi)檢測出具有判定對象的can-id的報文的發(fā)送的情況下，判定該報文的發(fā)送是否產(chǎn)生了由正當?shù)闹俨锰幚硪鸬难舆t以外的延遲。即發(fā)送可否判定部63將在允許期間內(nèi)比判定對象的報文先發(fā)送的報文的優(yōu)先級較高(但是除了在允許期間之前開始發(fā)送的報文)及從發(fā)送預(yù)定時刻到判定對象的報文發(fā)送為止不存在超過預(yù)定長度的無報文發(fā)送期間設(shè)為允許判定對象的報文的發(fā)送的條件。發(fā)送可否判定部63在滿足兩個條件的情況下允許判定對象的報文發(fā)送，在至少一個條件不滿足的情況下不允許判定對象的報文發(fā)送。

此外，監(jiān)視裝置5為了進行發(fā)送可否判定部63的上述條件判定，而將發(fā)送到can總線上的報文的履歷存儲于存儲部52。存儲的履歷中包含所發(fā)送的報文的can-id及與發(fā)送開始時刻或發(fā)送終止時刻相關(guān)的信息等。另外，基于監(jiān)視裝置5的報文發(fā)送的監(jiān)視按照每個can-id而進行。即，監(jiān)視裝置5按照每個can-id決定允許期間，按照每個can-id判定是否能夠發(fā)送報文。例如在圖7中，對監(jiān)視裝置5將can-id為7的報文作為對象而進行判定的例子進行了說明，但此時監(jiān)視裝置5對can-id為3、5、2的報文也分別單獨地進行發(fā)送可否的判定。

圖11及圖12是表示監(jiān)視裝置5進行的報文發(fā)送的可否判定處理的順序的流程圖。此外在本流程圖中使用的變量n例如可利用具有監(jiān)視裝置5的處理部51的寄存器或存儲器等的存儲區(qū)域而實現(xiàn)。首先，監(jiān)視裝置5的處理部51進行通過基準時刻決定部61決定基準時刻t0的處理(步驟s1)。處理部51讀出存儲于存儲部52的周期信息52b(步驟s2)而取得判定對象的報文的發(fā)送周期t。接下來，處理部51將變量n的值初始化成1(步驟s3)。處理部51的允許期間決定部62基于在步驟s1中決定的基準時刻t0、在步驟s2中取得的周期t、預(yù)先確定的定量a及b和變量n來決定允許期間(步驟s4)。此外，允許期間能夠決定為從(t0+nt-a)到(t0+nt+b)的期間。

處理部51的發(fā)送可否判定部63判定在步驟s4中決定的允許期間是否終止(步驟s5)。在允許期間未終止的情況下(s5：否)，發(fā)送可否判定部63調(diào)查是否通過can通信部53檢測出can總線上的報文接收(步驟s7)。在未檢測出報文接收的情況下(s7：否)，發(fā)送可否判定部63使處理返回到步驟s5。在檢測出報文接收的情況下(s7：是)，發(fā)送可否判定部63通過調(diào)查檢測出的報文的can-id，來判定該報文是否是判定對象的報文(步驟s8)。在不是判定對象的報文的情況下(s8：否)，發(fā)送可否判定部63記錄與該報文相關(guān)的信息(can-id、發(fā)送開始時刻及終止時刻等信息)作為履歷(步驟s9)，并使處理返回到步驟s5。在是判定對象的報文的情況下(s8：是)，發(fā)送可否判定部63判定該報文是否在允許期間內(nèi)被發(fā)送(步驟s10)。在未在允許期間內(nèi)被發(fā)送的情況下(s10：否)，處理部10進行廢棄處理部64的報文廢棄處理(步驟s11)，并使處理返回到步驟s5。

在判定對象的報文在允許期間內(nèi)被發(fā)送的情況下(s10：是)，發(fā)送可否判定部63判定該報文相對于發(fā)送預(yù)定時刻tn有無延遲(步驟s12)。在沒有延遲的情況下(s12：否)，發(fā)送可否判定部63判定為該報文是正當?shù)膱笪?，因此允許發(fā)送，不進行報文廢棄處理而使處理返回到步驟s5。在報文相對于發(fā)送預(yù)定時刻tn存在延遲的情況下(s12：是)，發(fā)送可否判定部63取得在步驟s9中記錄的與報文發(fā)送相關(guān)的履歷(步驟13)。

發(fā)送可否判定部63基于取得的履歷，判定在從發(fā)送預(yù)定時刻tn到判定對象的報文發(fā)送為止的期間內(nèi)是否發(fā)送了優(yōu)先級比判定對象的報文低的報文(步驟s14)。在發(fā)送了低優(yōu)先級的報文的情況下(s14：是)，發(fā)送可否判定部63進一步判定該低優(yōu)先級的報文是否在判定對象的報文的允許期間之前開始發(fā)送(步驟s15)。

在未發(fā)送低優(yōu)先級的報文的情況下(s14：否)、或低優(yōu)先級的報文在允許期間之前開始發(fā)送的情況下(s15：是)，發(fā)送可否判定部63判定在從發(fā)送預(yù)定時刻tn到發(fā)送判定對象的報文為止的期間內(nèi)是否存在超過預(yù)定長度的無報文發(fā)送的期間(步驟s16)。在沒有無報文發(fā)送期間的情況下(s16：否)，發(fā)送可否判定部63判定為該報文是正當?shù)膱笪?，因此允許發(fā)送，不進行報文廢棄處理而使處理返回到步驟s5。

在低優(yōu)先級的報文不是在允許期間之前開始發(fā)送的報文的情況下(s15：否)、或存在超過預(yù)定長度的無報文發(fā)送期間的情況下(s16：是)，發(fā)送可否判定部63判定為該報文不是正當?shù)膱笪?，因此不允許發(fā)送，進行廢棄處理部64的報文廢棄處理(步驟s17)，并使處理返回到步驟s5。

當在步驟s5中判定為允許期間已終止的情況下(s5：是)，處理部51對變量n加上1(步驟s6)，并使處理返回到步驟s4，而進行關(guān)于下一個允許期間的監(jiān)視。

＜報文廢棄處理>

在本實施方式的通信系統(tǒng)中，在判定為輸出到can總線上的報文不是正當?shù)膱笪亩辉试S發(fā)送的情況下，監(jiān)視裝置5進行用于使與can總線連接的ecu3廢棄該報文的處理。在本實施方式的通信系統(tǒng)中發(fā)送接收的報文符合can協(xié)議，構(gòu)成為包含can標記、數(shù)據(jù)字段、crc(cyclicredundancycheck：循環(huán)冗余檢查)字段、ack字段及eof(endofframe：幀結(jié)束)等。can標記包含以往的can協(xié)議中的sof(startofframe：幀起始)、仲裁字段及控制字段等，在仲裁字段設(shè)定上述can-id。數(shù)據(jù)字段存儲例如對于ecu3的控制指示或傳感器檢測結(jié)果等那樣應(yīng)在ecu3之間供給和接收的信息的主體。crc字段、ack字段及eof與在以往的can協(xié)議中使用的結(jié)構(gòu)相同，因此省略詳細的說明。crc字段存儲用于進行錯誤檢測的信息。ack字段是用于基于接收該幀的ecu3的接收響應(yīng)的字段。eof是表示字段的終止的特定的比特列。

監(jiān)視裝置5的廢棄處理部64對于發(fā)送可否判定部63判定為不允許發(fā)送的報文，在該報文的eof的輸出期間內(nèi)對can總線發(fā)送錯誤幀。通過該錯誤幀，與can總線連接的全部ecu3能夠廢棄接收中的不正當?shù)膱笪摹?/p>

為了通過該方法廢棄報文，需要監(jiān)視裝置5的發(fā)送可否判定部63在報文的eof輸出到can總線之前結(jié)束判定。發(fā)送可否判定部63在例如向can總線上輸出的報文的can標記輸出終止的時刻開始上述判定處理，而在eof的輸出前結(jié)束判定。此外，can協(xié)議的報文的報文長度被規(guī)定，因此發(fā)送可否判定部63在報文的發(fā)送終止前也能夠算出發(fā)送終止時刻。

此外，也可以構(gòu)成為監(jiān)視裝置5預(yù)先存儲發(fā)送可否判定部63判定為不正當?shù)膱笪牡腸an-id，在以后對can總線輸出相同的can-id的報文的情況下，不進行發(fā)送可否判定部63的判定地通過廢棄處理部64廢棄該報文。另外，監(jiān)視裝置5的報文廢棄的處理不限于上述方法的處理，也可以以其他各種方法進行。另外，也可以構(gòu)成為，在發(fā)送可否判定部63判定為是不正當?shù)膱笪牡那闆r下，監(jiān)視裝置5進行對于ecu3的警告報文發(fā)送、對于車輛1的使用者的報知、對外部的服務(wù)器裝置的信息發(fā)送或通信系統(tǒng)或?qū)?yīng)的通信網(wǎng)絡(luò)的關(guān)斷等廢棄以外的處理。

＜基準時刻決定處理>

在本實施方式的通信系統(tǒng)中，在開始ecu3的報文發(fā)送及監(jiān)視裝置5的報文發(fā)送監(jiān)視之前，需要進行決定基準時刻t0的處理。圖13是用于說明在ecu3及監(jiān)視裝置5之間進行的基準時刻決定處理的示意圖。本實施方式的通信系統(tǒng)的監(jiān)視裝置5在由于電源接通等而啟動之后，開始進行處理部51的基準時刻決定部61的基準時刻決定處理。

在基準時刻決定處理中，監(jiān)視裝置5的基準時刻決定部61首先生成用于哈希值算出的信息。在本實施方式中，基準時刻決定部61生成隨機種子及區(qū)域指定信息。基準時刻決定部61將通過預(yù)定的算法產(chǎn)生隨機數(shù)而得到的預(yù)定比特長度的數(shù)據(jù)作為隨機種子。區(qū)域指定信息是指定設(shè)為哈希值算出的對象的rom32的區(qū)域的信息，例如開始地址及終止地址或開始地址及數(shù)據(jù)尺寸等信息?；鶞蕰r刻決定部61能夠例如基于隨機數(shù)而決定開始地址，并將對該開始地址加上預(yù)定量而得到的地址設(shè)為終止地址。

監(jiān)視裝置5的基準時刻決定部61將生成的隨機種子及區(qū)域指定信息與哈希值的算出要求一起向ecu3發(fā)送。另外，基準時刻決定部61從存儲部52的復(fù)制數(shù)據(jù)52a讀出處理對象的ecu3的存儲內(nèi)容，并使用讀出的存儲內(nèi)容與生成的隨機種子及區(qū)域指定信息來算出哈希值。基準時刻決定部61從復(fù)制的存儲內(nèi)容中提取出由區(qū)域指定信息指定的部位，并將提取出的存儲內(nèi)容與隨機種子向預(yù)先確定的哈希函數(shù)輸入，由此算出哈希值。在本實施方式中，基準時刻決定部61使用sha-1的哈希函數(shù)而算出160比特的哈希值。

接收到來自監(jiān)視裝置5的隨機種子及區(qū)域指定信息的ecu3使用自身的rom32的存儲內(nèi)容與接收到的隨機種子及區(qū)域指定信息，通過處理部31的哈希值算出部42算出哈希值。哈希值算出部42從rom32中提取出由區(qū)域指定信息指定的部位，并將提取出的存儲內(nèi)容與隨機種子向預(yù)先確定的哈希函數(shù)輸入，由此算出哈希值。此外，監(jiān)視裝置5使用的哈希函數(shù)與ecu3使用的哈希函數(shù)相同，監(jiān)視裝置5存儲于復(fù)制數(shù)據(jù)52a的內(nèi)容與ecu3存儲于rom32的內(nèi)容相同，因此監(jiān)視裝置5及ecu3應(yīng)算出相同的哈希值。此外，在兩個哈希值為不同的值的情況下，ecu3的rom32的存儲內(nèi)容有可能被篡改。

在此，簡單地說明監(jiān)視裝置5及ecu3的哈希值算出的方法。監(jiān)視裝置5及ecu3能夠構(gòu)成為利用例如md(messagedigest：報文摘要)4、md5、sha-1、sha-256、sha-384、sha-512、eipemd-160或sha-3等現(xiàn)有的哈希函數(shù)來算出哈希值。上述是所謂的單方向的哈希函數(shù)，是對于輸入的信息輸出一個哈希值的函數(shù)。輸入到哈希函數(shù)的信息是在本實施方式中存儲于ecu3的rom32的程序32a或數(shù)據(jù)32b的一部分或全部。輸入到哈希函數(shù)的信息無論是程序32a或數(shù)據(jù)32b中的任一個還是程序32a及數(shù)據(jù)32b這兩方，哈希函數(shù)都能夠?qū)⑤斎氲男畔H作為二進制信息對待而算出哈希值。監(jiān)視裝置5及ecu3存儲有預(yù)先確定的哈希函數(shù)，使用該哈希函數(shù)來算出哈希值。

以下，關(guān)于監(jiān)視裝置5及ecu3使用sha-1的哈希函數(shù)而算出哈希值的情況，對算出方法進行說明。此外，關(guān)于sha-1的哈希函數(shù)的詳細的處理和監(jiān)視裝置5及ecu3使用其他哈希函數(shù)的情況，上述哈希函數(shù)是現(xiàn)有技術(shù)，因此省略說明。

在利用sha-1的哈希函數(shù)的情況下，監(jiān)視裝置5及ecu3首先進行填充處理。在填充處理中，監(jiān)視裝置5及ecu3在輸入信息之后對多余的數(shù)據(jù)進行補充，由此將處理對象的信息的尺寸調(diào)整為預(yù)定值(512比特)的整數(shù)倍。接下來，監(jiān)視裝置5及ecu3進行將填充處理后的信息按照每512比特分割成塊并對各塊算出80個值的第一處理。

接下來，監(jiān)視裝置5及ecu3進行使用在第一處理中算出的值算出預(yù)定尺寸(160比特)的初始值并且將算出的160比特的值作為哈希值的第二處理。在第二處理中，首先，監(jiān)視裝置5及ecu3對于160比特的初始值，使用關(guān)于一個塊算出的80個值而進行80步的運算。通過該80步的運算，能夠?qū)?60比特的初始值混入塊的信息，作為輸出而得到160比特的值。監(jiān)視裝置5及ecu3將得到的160比特的值作為初始值，使用關(guān)于下一個塊而算出的80個值來相同地進行80步的運算。監(jiān)視裝置5及ecu3對全部塊進行相同的80步的處理，將最終得到的160比特的值設(shè)為哈希值。

另外，在本實施方式中，監(jiān)視裝置5及ecu3需要利用監(jiān)視裝置5生成的隨機種子來算出哈希值。例如監(jiān)視裝置5及ecu3在上述填充處理中，能夠?qū)Ω郊佑谳斎胄畔⒌臄?shù)據(jù)使用隨機種子。另外，例如監(jiān)視裝置5及ecu3在上述第二處理中，能夠?qū)?60比特初始值使用隨機種子。在本實施方式中，對第二處理的初始值使用隨機種子。

此外，監(jiān)視裝置5及ecu3的隨機種子的利用方法不限于上述內(nèi)容。例如監(jiān)視裝置5及ecu3將設(shè)為哈希值算出的對象的rom32的存儲內(nèi)容與隨機種子的邏輯運算值(“異”門等)設(shè)為向哈希函數(shù)輸入的輸入信息。另外，例如監(jiān)視裝置5及ecu3能夠?qū)υO(shè)為哈希值算出的對象的rom32的存儲內(nèi)容的先頭部分或末尾部分等的預(yù)定位置附加隨機種子而得到的信息設(shè)為向哈希函數(shù)輸入的輸入信息。

監(jiān)視裝置5的基準時刻決定部61在結(jié)束了隨機種子及區(qū)域指定信息向ecu3的發(fā)送和哈希值的算出之后，進行提取出所算出的哈希值的一部分的處理。在本實施方式中，基準時刻決定部61從算出的160比特的哈希值中提取出64比特的值并設(shè)為確認用信息。基準時刻決定部61將包含提取出的確認用信息的哈希確認要求向處理對象的ecu3發(fā)送。

從監(jiān)視裝置5接收到哈希確認要求的ecu3取得接收到的哈希確認要求所包含的確認用信息。ecu3的處理部31對從監(jiān)視裝置5取得的確認用信息與自身通過哈希值算出部42算出的哈希值進行比較。處理部31判定哈希值算出部42算出的哈希值中是否包含從監(jiān)視裝置5作為確認用信息而取得的哈希值的一部分。在判定為自身的哈希值中不包含確認用信息的哈希值的情況下，認為ecu3算出的哈希值與監(jiān)視裝置5算出的哈希值不一致，因此處理部31中斷處理，對監(jiān)視裝置5進行錯誤通知等。

在判定為自身的哈希值中包含確認用信息的哈希值的情況下，認為ecu3算出的哈希值與監(jiān)視裝置5算出的哈希值是相同的值，處理部31進行向監(jiān)視裝置5發(fā)送對哈希確認要求的響應(yīng)(哈希確認響應(yīng))的處理。此時，處理部31在哈希值算出部42算出的160比特的哈希值中提取出與來自監(jiān)視裝置5的確認用信息連續(xù)的64比特的信息作為響應(yīng)信息。處理部31將提取出的64比特的響應(yīng)信息包含于哈希確認響應(yīng)并向監(jiān)視裝置5發(fā)送。此外，從哈希值提取出確認用信息及響應(yīng)信息的方法不限于此。例如確認用信息及響應(yīng)信息的一部分也可以重復(fù)。

從ecu3接收到哈希確認響應(yīng)的監(jiān)視裝置5的基準時刻決定部61取得接收到的哈希確認響應(yīng)所包含的響應(yīng)信息?；鶞蕰r刻決定部61對從ecu3取得的響應(yīng)信息與自身算出的哈希值進行比較?；鶞蕰r刻決定部61判定從自身算出的哈希值去除了確認用信息后的部分中是否包含作為來自ecu3的響應(yīng)信息而取得的哈希值的一部分。在判定為自身的哈希值中不包含響應(yīng)信息的哈希值的情況下，認為監(jiān)視裝置5算出的哈希值與ecu3算出的哈希值不一致，因此基準時刻決定部61中斷處理，對ecu3進行錯誤通知等。

在判定為自身的哈希值中包含響應(yīng)信息的哈希值的情況下，基準時刻決定部61認為監(jiān)視裝置5算出的哈希值與ecu3算出的哈希值是相同的值。此時，基準時刻決定部61可以向ecu3通知哈希值的判定成功這一內(nèi)容?；鶞蕰r刻決定部61將從ecu3完成了正當?shù)墓４_認響應(yīng)的接收的時刻決定為基準時刻t0。在決定了基準時刻t0后，監(jiān)視裝置5如上所述地決定發(fā)送預(yù)定時刻及允許期間并開始進行報文發(fā)送的監(jiān)視。

相同地，ecu3的處理部31將完成了哈希確認響應(yīng)向監(jiān)視裝置5的發(fā)送的時刻設(shè)為基準時刻t0。ecu3的報文處理部41相對于該基準時刻t0以周期t發(fā)送報文。

此外，在本實施方式的通信系統(tǒng)中，在can總線上連接有多個ecu3，監(jiān)視裝置5需要在與多個ecu3之間分別進行基準時刻決定處理。圖14是用于說明監(jiān)視裝置5與多個ecu3之間的基準時刻決定處理的示意圖。在本例中，設(shè)為監(jiān)視裝置5在與三個ecu3之間進行基準時刻決定處理，但監(jiān)視裝置5與兩個以下的ecu3或四個以上的ecu3進行基準時刻決定處理的情況也相同。

監(jiān)視裝置5將包含隨機種子及區(qū)域指定信息的哈希值算出要求向各ecu3依次發(fā)送。此時，包含于各哈希值算出要求的隨機種子及區(qū)域指定信息可以使用共用的值，也可以設(shè)定成按照各ecu3而不同的值。從監(jiān)視裝置5接收到哈希值算出要求的各ecu3基于自身的rom32的存儲內(nèi)容而分別算出哈希值。另外，監(jiān)視裝置5從存儲部52的復(fù)制數(shù)據(jù)52a讀出各ecu3的存儲內(nèi)容，并關(guān)于各ecu3算出哈希值。

結(jié)束了各ecu3的哈希值的算出的監(jiān)視裝置5對任一個ecu3發(fā)送哈希值確認要求，并從該ecu3接收哈希值確認響應(yīng)。監(jiān)視裝置5判定接收到的哈希值確認響應(yīng)所包含的哈希值是否正確，若哈希值正確，則將完成哈希值確認響應(yīng)的接收的時刻決定為與該ecu3的基準時刻t0。

接下來，監(jiān)視裝置5對另一個ecu3進行哈希值確認要求的發(fā)送、哈希值確認響應(yīng)的接收及基準時刻的決定。這樣，監(jiān)視裝置5對通信系統(tǒng)所包含的各ecu3依次反復(fù)進行哈希值確認要求的發(fā)送、哈希值確認響應(yīng)的接收及基準時刻的決定。在關(guān)于全部ecu3決定了基準時刻后，監(jiān)視裝置5開始進行報文發(fā)送的監(jiān)視，各ecu3開始進行報文的發(fā)送接收。此外，監(jiān)視裝置5的監(jiān)視及ecu3的報文發(fā)送也可以從決定為基準時刻的時刻依次開始。

圖15是表示監(jiān)視裝置5的基準時刻決定處理的順序的流程圖。監(jiān)視裝置5的基準時刻決定部61生成用于哈希值算出的隨機種子和指定設(shè)為哈希值算出的對象的ecu3的rom32的存儲區(qū)域的區(qū)域指定信息(步驟s21)。基準時刻決定部61將包含生成的隨機種子及區(qū)域指定信息的哈希值算出要求通過can通信部53向處理對象的ecu3發(fā)送(步驟s22)。

基準時刻決定部61從存儲部52取得處理對象的ecu3的存儲內(nèi)容的復(fù)制數(shù)據(jù)52a，基于所取得的復(fù)制數(shù)據(jù)52a和在步驟s21中生成的隨機種子及區(qū)域指定信息，使用預(yù)定的哈希函數(shù)來算出哈希值(步驟s23)?；鶞蕰r刻決定部61從在步驟s23中算出的哈希值中提取出一部分作為確認用信息(步驟s24)?；鶞蕰r刻決定部61將包含提取出的確認用信息的哈希值確認要求通過can通信部53向處理對象的ecu3發(fā)送(步驟s25)。

接下來，基準時刻決定部61判定是否由can通信部53接收到ecu3與哈希值確認要求對應(yīng)地發(fā)送的哈希值確認響應(yīng)(步驟s26)。在未接收到哈希值確認響應(yīng)的情況下(s26：否)，基準時刻決定部61判定是否從處理對象的ecu3接收到錯誤通知(步驟s27)。在未接收到錯誤通知的情況下(s27：否)，基準時刻決定部61使處理返回到步驟s26，待機直至從ecu3接收到哈希值確認響應(yīng)或錯誤通知。

在從處理對象的ecu3接收到哈希值確認響應(yīng)的情況下(s26：是)，基準時刻決定部61根據(jù)接收到的哈希值確認響應(yīng)所包含的響應(yīng)信息是否包含在步驟s23中算出的哈希值，而判定響應(yīng)信息是否成功(步驟s28)。在從ecu3接收到錯誤通知的情況下(s27：是)、或從ecu3接收到的響應(yīng)信息不是正確的信息的情況下(s28：否)，基準時刻決定部61判斷為對象的ecu3的rom32的存儲內(nèi)容可能被改變，進行例如使該ecu3的動作停止等適當?shù)腻e誤處理(步驟s29)，并終止處理。

在從ecu3接收到的響應(yīng)信息正確的情況下(s28：是)，基準時刻決定部61將從ecu3完成了哈希值確認響應(yīng)的接收的時刻決定為基準時刻(步驟s30)，并終止處理。

圖16是表示ecu3根據(jù)來自監(jiān)視裝置5的哈希值算出要求而進行的處理的順序的流程圖。ecu3的處理部31判定是否由can通信部34從監(jiān)視裝置5接收到哈希值算出要求(步驟s31)。在未接收到哈希值算出要求的情況下(s31：否)，處理部31待機直至接收到哈希值算出要求。在接收到哈希值算出要求的情況下(s31：是)，處理部31取得接收到的哈希值算出要求所包含的隨機種子及區(qū)域指定信息(步驟s32)。處理部31的哈希值算出部42基于rom32的存儲內(nèi)容、在步驟s32中取得的隨機種子及區(qū)域指定信息，使用預(yù)定的哈希函數(shù)來算出哈希值(步驟s33)。處理部31將算出的哈希值存儲于存儲部33(步驟s34)，并終止處理。

圖17是表示ecu3根據(jù)來自監(jiān)視裝置5的哈希值確認要求而進行的處理的順序的流程圖。ecu3的處理部31判定是否由can通信部34從監(jiān)視裝置5接收到哈希值確認要求(步驟s41)。在未接收到哈希值確認要求的情況下(s41：否)，處理部31待機直至接收到哈希值確認要求。在接收到哈希值確認要求的情況下(s41：是)，處理部31讀出存儲于存儲部33的哈希值(步驟s42)。處理部31根據(jù)在步驟s41中接收到的哈希值確認要求所包含的確認用信息是否包含于在步驟s42中讀出的哈希值，來判定確認用信息是否成功(步驟s43)。在確認用信息不是正確的信息的情況下(s43：否)，處理部31向監(jiān)視裝置5發(fā)送錯誤通知(步驟s44)，并終止處理。

在來自監(jiān)視裝置5的確認用信息正確的情況下(s43：是)，處理部31從在步驟s42中讀出的哈希值提取出與確認用信息連續(xù)的預(yù)定長度的部分作為響應(yīng)信息(步驟s45)。處理部31將包含提取出的響應(yīng)信息的哈希值確認響應(yīng)通過can通信部34向監(jiān)視裝置5發(fā)送(步驟s46)。處理部31將完成了哈希值確認響應(yīng)的發(fā)送的時刻決定為基準時刻(步驟s47)，并終止處理。

此外，在本實施方式的通信系統(tǒng)中，構(gòu)成為在監(jiān)視裝置5及ecu3啟動時進行基準時刻的決定處理，但進行處理的時機不限于此。另外，在由于某些原因而ecu3發(fā)送報文的時機產(chǎn)生了偏差等的情況下或變更了報文發(fā)送的周期的情況下等，也可以在監(jiān)視裝置5及ecu3之間進行再次決定基準時刻的處理。

在再次決定基準時刻的情況下，也可以進行與上述那樣的最初的基準時刻決定處理相同的處理。即，也可以是監(jiān)視裝置5發(fā)送哈希值算出要求及哈希值確認要求，與其對應(yīng)地，ecu3發(fā)送哈希值確認響應(yīng)而再次決定基準時刻。此外，有時也可以構(gòu)成為，從ecu3對監(jiān)視裝置5發(fā)送進行再次決定基準時刻的處理的要求，與其對應(yīng)地，監(jiān)視裝置5開始進行基準時刻決定處理。

或者，也可以預(yù)先存儲進行基準時刻決定處理時的哈希值，ecu3將包含該哈希值的基準時刻的再決定要求向監(jiān)視裝置5發(fā)送。接收到該再決定要求的監(jiān)視裝置5在再決定要求所包含的哈希值正確的情況下，將完成了再決定要求的接收的時刻設(shè)為新的基準時刻。ecu3將完成了再決定要求的發(fā)送的時刻設(shè)為新的基準時刻即可。

＜總結(jié)>

以上的結(jié)構(gòu)的本實施方式的通信系統(tǒng)構(gòu)成為，對多個ecu3與can總線連接且各ecu3周期性地進行報文發(fā)送的結(jié)構(gòu)的通信系統(tǒng)設(shè)有檢測不正當?shù)膱笪陌l(fā)送的監(jiān)視裝置5。監(jiān)視裝置5決定ecu3的周期性的報文發(fā)送的基準時刻t0，決定對基準時刻t0加上報文的發(fā)送周期t的整數(shù)倍的期間而得到的多個發(fā)送預(yù)定時刻t1＝t0+t、t2＝t0+2t、…，對于各發(fā)送預(yù)定時刻，將包含該時刻的預(yù)定期間t1-a～t1+b、t2-a～t2+b、…決定為報文發(fā)送的允許期間。

另外，監(jiān)視裝置5通過監(jiān)視can總線來檢測ecu3發(fā)送的報文。監(jiān)視裝置5能夠通過判定檢測出的報文是否在允許期間內(nèi)被發(fā)送，來判定該報文是否是不正當?shù)男畔ⅲ⒛軌蚺卸ㄊ欠裨试S該報文的發(fā)送。

這樣的本實施方式的監(jiān)視裝置5構(gòu)成為，基于在最初階段決定的基準時刻t0來決定以后的報文發(fā)送的允許期間，即以絕對的基準決定允許期間。與此相對，可想到采用如下的結(jié)構(gòu)：例如對于每次報文接收，將對該報文的接收時刻加上周期t而得到的時刻作為發(fā)送預(yù)定時刻來決定允許期間，即以相對的基準決定允許期間。但是，在can的通信協(xié)議中在報文發(fā)送產(chǎn)生了沖突的情況下進行仲裁處理，優(yōu)先級較低的報文的發(fā)送會產(chǎn)生延遲。在進行相對的決定的結(jié)構(gòu)中，在報文發(fā)送產(chǎn)生了延遲的情況下，用于判定的允許期間發(fā)生變動，因此需要一定程度地擴大設(shè)定允許期間，而不容易縮小允許期間。允許期間越大則將不正當?shù)膱笪恼`判定為正當?shù)目赡苄栽礁摺Ａ硗?，在相對的決定的結(jié)構(gòu)中，有可能以不正當?shù)膱笪牡慕邮諡榛鶞蕘頉Q定下一個報文的允許期間。在產(chǎn)生了這樣的情況的情況下，有可能將不正當?shù)膱笪倪B續(xù)地誤判定為正當?shù)膱笪摹１緦嵤┓绞降谋O(jiān)視裝置5以絕對的基準決定允許期間，由此能夠避免產(chǎn)生上述問題。

另外，監(jiān)視裝置5對通信系統(tǒng)所包含的各ecu3分別單獨地決定基準時刻t0。監(jiān)視裝置5按照各ecu3與決定的各基準時刻t0對應(yīng)地決定發(fā)送預(yù)定時刻tn及允許期間。由此，即使通信系統(tǒng)包含報文的發(fā)送周期t及發(fā)送時機等不同的ecu3，監(jiān)視裝置5也能夠按照各ecu3判定是否能夠進行報文發(fā)送。

另外，ecu3能夠進行發(fā)送周期不同的多個類別的報文發(fā)送，監(jiān)視裝置5按照各報文的can-id來決定允許期間。由此，即使在一個ecu3發(fā)送發(fā)送周期不同的報文的情況下，監(jiān)視裝置5也能夠按照各報文的類別來判定是否能夠進行發(fā)送。此外，在本實施方式中，按照各ecu3決定基準時刻t0，但不限于此，也可以按照各can-id決定基準時刻t0。在該情況下，監(jiān)視裝置5對一個ecu3進行多次(即，分配給該ecu3的can-id的個數(shù))基準時刻決定處理即可。

另外，當在can的通信協(xié)議中報文的發(fā)送產(chǎn)生了沖突的情況下，有可能由于仲裁處理而報文發(fā)送延遲。因此，監(jiān)視裝置5調(diào)查在關(guān)于判定對象的報文從發(fā)送預(yù)定時刻tn到該報文的發(fā)送完成為止的期間內(nèi)是否發(fā)送了其他報文。在發(fā)送了其他報文的情況下，監(jiān)視裝置5對判定對象的報文的優(yōu)先級與其他報文的優(yōu)先級進行比較。在其他報文的優(yōu)先級高于判定對象的報文的優(yōu)先級的情況下，認為判定對象的報文由于仲裁處理而發(fā)送產(chǎn)生了延遲，因此監(jiān)視裝置5允許判定對象的報文的發(fā)送。與此相對，在其他報文的優(yōu)先級低于判定對象的報文的優(yōu)先級的情況下(其中，除了在允許期間開始之前已發(fā)送的報文)，認為判定對象的報文的延遲不是由正當?shù)闹俨锰幚硪鸬?，因此監(jiān)視裝置5不允許判定對象的報文的發(fā)送。由此，即使是由于仲裁處理而報文發(fā)送產(chǎn)生延遲的通信系統(tǒng)，監(jiān)視裝置5也能夠判定是否能夠進行報文發(fā)送。

另外，監(jiān)視裝置5判定在從判定對象的報文的發(fā)送預(yù)定時刻tn到完成該報文的發(fā)送為止的期間內(nèi)是否存在超過預(yù)定長度的無報文發(fā)送期間。在存在無報文發(fā)送期間的情況下，認為判定對象的報文的延遲不是由于正當?shù)闹俨锰幚矶a(chǎn)生的，因此監(jiān)視裝置5不允許判定對象的報文的發(fā)送。

另外，在本實施方式的通信系統(tǒng)中，為了決定基準時刻t0而在監(jiān)視裝置5與ecu3之間進行預(yù)定手續(xù)。監(jiān)視裝置5對ecu3發(fā)送哈希值算出要求。此時，監(jiān)視裝置5向ecu3供給哈希值算出所需要的隨機種子及區(qū)域指定信息。從監(jiān)視裝置5接收到哈希值算出要求的ecu3基于哈希值算出要求所包含的隨機種子及區(qū)域指定信息、存儲于rom32的數(shù)據(jù)，使用預(yù)定的哈希函數(shù)來算出哈希值。ecu3根據(jù)來自監(jiān)視裝置5的哈希值確認要求，而將包含所算出的哈希值的哈希值確認響應(yīng)向監(jiān)視裝置5發(fā)送。從ecu3接收到哈希值確認響應(yīng)的監(jiān)視裝置5判定哈希值確認響應(yīng)所包含的哈希值是否正確。在哈希值正確的情況下，監(jiān)視裝置5基于完成了哈希值確認響應(yīng)的接收的時刻來決定基準時刻t0。例如監(jiān)視裝置5將哈希值確認等的接收完成時刻設(shè)為基準時刻t0。但是，基準時刻t0不限于此，可以例如將哈希值確認響應(yīng)的發(fā)送開始時刻設(shè)為基準時刻t0，另外也可以例如將對哈希值確認響應(yīng)的接收完成時刻增減了預(yù)定期間而得到的時刻設(shè)為基準時刻t0。在該情況下，ecu3基于包含正確的哈希值的哈希確認響應(yīng)的發(fā)送完成時刻來決定基準時刻t0，并以決定的時刻為基準以周期t進行報文發(fā)送。能夠根據(jù)基于哈希值的可靠性較高的信息發(fā)送接收來決定基準時刻t0，因此監(jiān)視裝置5能夠進行可靠性較高的不正當報文檢測處理。

另外，在對不正當?shù)膱笪呐卸椴辉试S發(fā)送的情況下，監(jiān)視裝置5進行用于使接收該報文的ecu3廢棄報文的處理。例如監(jiān)視裝置5能夠通過在不正當?shù)膱笪牡膃of的輸出期間內(nèi)對can總線發(fā)送錯誤幀，而使ecu3廢棄該報文。由此，能夠防止ecu3接收不正當?shù)膱笪牟⑼ㄟ^ecu3進行與該報文對應(yīng)的處理。

此外，在本實施方式中，構(gòu)成為監(jiān)視裝置5的處理部51(所謂的cpu等)進行基準時刻的決定處理、允許期間的決定處理、發(fā)送可否的判定處理及不正當報文的廢棄處理等，但不限于此，也可以構(gòu)成為can通信部53(所謂的can控制器等)進行上述處理。相同地，也可以構(gòu)成為ecu3的哈希值算出處理等基準時刻的決定處理由can通信部34進行，而不是由處理部31進行。

另外，構(gòu)成為在監(jiān)視裝置5及ecu3之間進行利用了哈希值的信息交換來決定基準時刻t0，但也可以通過不利用哈希值的方法來決定基準時刻t0。也可以例如在監(jiān)視裝置5及ecu3之間發(fā)送接收利用公鑰或密鑰等而加密的信息，并基于該發(fā)送接收結(jié)果來決定基準時刻t0。監(jiān)視裝置5及ecu3進行可靠性較高的通信，基于該通信結(jié)果來決定基準時刻t0即可。另外，在監(jiān)視裝置5及ecu3具有時刻同步功能的情況下，也可以利用通過該功能同步后的時刻來決定基準時刻t0。

另外，監(jiān)視裝置5構(gòu)成為將復(fù)制了ecu3的rom32的存儲內(nèi)容的復(fù)制數(shù)據(jù)52a存儲于存儲部52，但不限定于此。例如也可以是復(fù)制數(shù)據(jù)52a存儲于其他服務(wù)器裝置等，監(jiān)視裝置5根據(jù)需要而從服務(wù)器裝置取得復(fù)制數(shù)據(jù)52a，此外也可以構(gòu)成為對服務(wù)器裝置設(shè)有哈希值算出功能而監(jiān)視裝置5從服務(wù)器裝置取得需要的哈希值。另外，在本實施方式中，以搭載于車輛1的通信系統(tǒng)為例進行了說明，但通信系統(tǒng)不限于搭載于車輛1，也可以搭載于例如飛機或船舶等移動體，另外也可以不設(shè)置于移動體而設(shè)置于例如工廠、辦公室或?qū)W校等。

(變形例)

上述實施方式的監(jiān)視裝置5構(gòu)成為，當在從發(fā)送預(yù)定時刻到報文發(fā)送為止的期間內(nèi)不存在無報文發(fā)送期間的情況下、或即使存在無報文發(fā)送期間也短于預(yù)定長度的情況下，發(fā)送可否判定部63判定為判定對象的報文是正當?shù)膱笪?，而允許發(fā)送。變形例的監(jiān)視裝置5是對上述監(jiān)視裝置5的結(jié)構(gòu)追加了發(fā)送可否判定部63的判定條件的結(jié)構(gòu)。

例如，在成為對象的兩個以上的報文在發(fā)送允許期間內(nèi)到達的情況下，無法在該時刻判定哪一個報文是正當?shù)膱笪摹Ｈ欢?，在頻繁地產(chǎn)生這樣的狀況的情況下，有可能某一個報文是不正當?shù)膱笪摹?/p>

因此，在變形例的監(jiān)視裝置5的發(fā)送可否判定部63判定為在發(fā)送允許期間內(nèi)到達了兩個以上的對象報文的情況下，關(guān)于全部上述多個報文不允許以后的報文發(fā)送。由此，變形例的監(jiān)視裝置5能夠禁止有可能是不正當?shù)膱笪牡膱笪牡陌l(fā)送。

此外，也可以構(gòu)成為，變形例的監(jiān)視裝置5對例如在發(fā)送允許期間內(nèi)到達了兩個以上的對象報文的次數(shù)進行計數(shù)，在該次數(shù)超過了預(yù)定次數(shù)的情況下禁止報文的發(fā)送。

附圖標記說明

1車輛

3ecu(通信裝置)

5監(jiān)視裝置(通信控制裝置)

31處理部(哈希值發(fā)送部)

32rom

32a程序

32b數(shù)據(jù)

33ram

34can通信部(仲裁單元)

41報文處理部(報文發(fā)送部)

42哈希值算出部

51處理部

52存儲部

52a復(fù)制數(shù)據(jù)

52b周期信息

53can通信部(報文檢測部)

61基準時刻決定部(哈希值要求部、哈希值接收部、哈希值判定部)

62允許期間決定部

63發(fā)送可否判定部

64廢棄處理部