用于保护和准确化系统时间的技术的制作方法

本公开总体上涉及计算系统，并且更具体来说，涉及用于保护和准确化例如汽车系统的系统中的系统时间的技术。

背景技术：

系统时间是计算系统所维护以便在其中运行的应用程序可随时获得所述应用程序操作的准确时间的当前时间和日期。系统时间通常基于与英国格林威治有关的当前时间，这被称为协调世界时(utc)。其它时区比utc时间早或晚几个小时。使用系统时钟来测量系统时间，系统时钟通常实施为自任意开始日期(称为纪元)以来发生的滴答声计数。系统时间也可转换为日历时间，这更适合人类理解。

在例如汽车系统的系统中，许多功能可能取决于具有准确的系统时间。例如，高级驾驶辅助系统(adas)通常根据系统时间执行例如应用紧急制动、车道辅助、避免碰撞、交通标志识别、巡航控制等动作。不正确的系统时间可能会延迟adas系统的响应，从而使生命受到威胁。作为另一实例，例如浏览器、媒体应用程序、支付应用程序和空中(ota)软件更新的座舱系统可依赖于数字证书或基于时间帧的付费服务。不正确的系统时间可能会导致此类座舱系统中数字证书或许可服务的意外到期或延期，这也可能导致拒绝服务攻击。因此，通常不希望系统时间偏离基于合法utc的时间，或者由于恶意攻击而损害系统时间。

如前所述，在本领域中需要用于保护和准确化例如汽车系统中的系统时间的更有效技术。

技术实现要素：

本申请的一个实施方案阐述一种用于更新系统时间的方法。所述方法包括基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数。所述方法还包括基于来自所述相应的一个或多个时间源中的一个时间源的时间和累积可信度分数来更新系统时间。

本申请的另一实施方案阐述一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质包括指令，所述指令在由处理器执行时使处理器执行用于更新系统时间的步骤。所述步骤包括基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数。所述步骤还包括基于来自所述相应的一个或多个时间源中的一个时间源的时间和累积可信度分数来更新系统时间。

本申请的另一实施方案阐述一种包括存储器和处理器的系统。所述存储器存储应用程序。所述处理器耦合至所述存储器并且在执行所述应用程序时被配置成：基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数；以及基于来自所述相应的一个或多个时间源中的一个时间源的时间和累积可信度分数来更新系统时间。

相对于现有技术，本文所公开的技术的至少一个技术优势在于，所公开的技术提供一种用于更新系统时间并保护系统时间免受攻击的可靠机制。在这方面，所公开的技术允许根据这些时间源的可信度来识别系统时间的偏离和损害，并且基于来自可用时间源的时间恢复系统时间。另外，可在恢复过程中使用的包括默认时间和恢复时间的时间值存储在安全的存储装置中，所述存储装置相对于一些其它类型的存储装置受到保护而免受攻击。这些技术优点表示相对于现有技术方法的一个或多个技术改进。

附图说明

为了详细理解本公开的上述特征，可通过参考实施方案对本公开进行更具体的描述，其中一些实施方案在附图中示出。然而，应注意，附图仅示出典型实施方案，因此决不应认为限制本公开的范围，本公开的范围可允许其它等效的实施方案。

图1示出被配置成实施各个实施方案的一个或多个方面的系统；

图2更详细地示出根据各个实施方案的图1的片上系统；

图3阐述根据各个实施方案的用于更新系统时间的方法步骤的流程图；

图4更详细地示出根据各个实施方案的图3的方法步骤中的一个；以及

图5更详细地示出根据各个实施方案的图3的方法步骤中的另一个。

具体实施方式

在以下描述中，阐述了许多具体细节以提供对本公开的实施方案的更透彻理解。然而，对于本领域技术人员将显而易见的是，可在没有这些具体细节中的一个或多个的情况下实践本公开的实施方案。

系统概述

图1示出被配置成实施各个实施方案的一个或多个方面的系统100。如图所示，系统100包括与多个时间源110、112和114通信的电子控制单元(ecu)101。在一些实施方案中，ecu101是可控制车辆中的一个或多个系统或子系统的嵌入式汽车电子系统。尽管本文相对于作为参考实例的汽车系统进行描述，但是本文中公开的用于保护和准确化系统时间的技术通常可在依赖系统时间的任何系统中使用。尽管出于说明性目的示出一个ecu101，但是车辆(或其它系统)通常可包括任何数目的ecu，并且这些ecu也可彼此通信。尽管本文主要相对于由各个ecu维护的系统时间进行描述，但在替代实施方案中，可为多个ecu维护中央系统时间。

ecu101示意性地包括与输入-输出控制器(ioc)106和安全存储装置120通信的片上系统(soc)102。soc102可通过一个或多个总线、网络连接等与ioc106和安全存储装置120通信。如下文结合图2更详细地论述，soc102可包括允许应用程序和/或其它软件在其中运行的任何技术上可行的硬件组件，例如物理存储器和一个或多个处理器。例如，在汽车环境中，在soc102中运行的应用程序可与通过主机提供的汽车信息娱乐系统、自主驾驶系统、高级驾驶辅助系统(adas)、智能交通管理系统、连接车辆系统、车辆到所有(v2x)通信系统、座舱系统、遥测系统、上述各项的组合或随时间变化的任何其它技术上可行的汽车系统相关联。尽管本文主要相对于作为参考实例的应用程序进行描述，但是在一些实施方案中，例如固件或多个应用程序的其它类型的软件可代替应用程序或除了应用程序外在soc中运行。

如图所示，soc102包括系统时间104。在一些实施方案中，系统时间104由在soc102中运行的应用程序(或其它软件)维护。如所描述，系统时间104可用于不用应用程序的各种目的。例如，在soc102中运行的应用程序可与座舱系统相关联，并且需要基于系统时间104来确定数字证书或基于时间帧的付费服务是否有效。作为另一实例，应用程序可与adas系统相关联，并且基于系统时间104等执行例如应用紧急制动、车道辅助、避免碰撞、交通标志识别、巡航控制等动作。

ioc106是在例如车辆网络接口装置的输入或输出装置与soc102之间介接的装置。尽管被示为与soc102分离，但是在替代实施方案中，soc102和ioc106可组合成具有在其中运行的软件的一个硬件单元。如图所示，ioc106从包括在其中的实时时钟(rtc)108提供时间。在替代实施方案中，rtc108可位于其它地方，例如在soc102中而不是在ioc106中，并且在一些实施方案中，ecu还可包括不止一个rtc。在一些实施方案中，rtc108是电池供电的时间源，当主电源关闭或不可用时，它可继续保持时间。如下面结合图3更详细描述，rtc108所维持的时间可经由进程间通信与soc102共享，并且所述共享时间可用于在启动期间初始化系统时间104。在汽车环境中，“启动”是指车辆的启动，进而启动ecu和在其中运行的应用程序。在其它实施方案中，启动可为依赖于系统时间的任何系统。在启动之后，可基于可比rtc108更可信赖的其它可用时间源(如果有的话)将系统时间104更新为对应于基于合法utc的时间，这在本文中也称为“恢复”系统时间104。应注意，具有更高可信度分数的新时间源的可用性有助于恢复过程的速度。

如图所示，安全存储装置120存储默认时间122和恢复时间124。在一些实施方案中，安全存储装置120可为重放保护存储器块(rpmb)，或任何其它类型的安全硬件和/或软件存储装置。安全存储装置120可保护存储在其中的包括默认时间122和恢复时间124在内的数据免受一些形式的攻击。默认时间122是制造商写入到安全存储装置120和rtc108中的时间，并且当所有其它时间源都不可用时，可将此默认时间用作系统时间104的默认值。在一些实施方案中，默认时间122是构建在soc102中运行的应用程序的时间。在其它实施方案中，默认时间122可为制造商选择的任何合适的时间，例如制造时间。如下面结合图3更详细地讨论，可将默认时间122与来自rtc108的时间和恢复时间124进行比较，并且在启动期间选择默认时间122、rtc108的时间和恢复时间124中的最大值以初始化系统时间104。恢复时间124是在恢复过程期间以预定频率添加到系统时间104以消除系统时间104与来自时间源(例如，时间源110、112或114中的一个)的时间之间的时间差的时间量，如下面结合图3至图5更详细地讨论。恢复时间124定义了执行恢复过程时的恢复速率。

时间源110、112和114是ecu101外部的时间源，所述时间源在可用时可用于恢复系统时间104。时间源的实例包括公共ntp(网络时间协议)、gps(全球定位系统)、来自tbm(车联网通信盒模块)的远程信息处理时间、无线电时间源等。ecu101可以任何技术上可行的方式与时间源110、112和114通信。例如，网络接口卡可用于与publicntp通信，无线电接收器可用于与无线电时间源通信，ecu101可通过例如另一个ecu间接地从时间源获取时间等。尽管出于说明性目的示出三个时间源110、112和114，但是例如ecu101的系统通常可与任何数目的时间源通信。

图2更详细地示出根据各个实施方案的图1的soc102。如图所示，soc102包括处理器202和存储器204。应用程序206存储在存储器204中并且在处理器202上执行。例如，在汽车系统的上下文中，应用程序206可与汽车信息娱乐系统、自主驾驶系统、高级驾驶辅助系统(adas)、智能交通管理系统、连接车辆系统、车辆到所有(v2x)通信系统、座舱系统或遥测系统相关联。

尽管出于说明性目的而被示出为片上系统，但是应当理解，soc102不要求为片上系统，并且通常可包括任何类型的计算系统。包括处理器202以表示单个中央处理单元(cpu)、多个cpu、具有多个处理核心的单个cpu、一个或多个图形处理单元(gpu)、现场可编程门阵列(fpga)，其它类型的处理器、前述内容的某种组合等。在操作中，处理器202可控制并协调其它系统组件的操作。处理器202还可从例如触摸屏的输入装置接收用户输入。

soc102的系统存储器204存储供处理器202使用的例如软件应用程序和数据的内容。系统存储器204可为能够存储数据和软件应用程序的任何类型的存储器，例如随机存取存储器(ram)、只读存储器(rom)、可擦可编程只读存储器(eprom或闪存rom)或上述各项的任何合适组合。在一些实施方案中，存储装置(未示出)可补充或替代系统存储器204。存储装置可包括处理器202可访问的任何数目和类型的外部存储器。例如但不限于，存储装置可包括安全数字卡、外部闪存存储器、便携式压缩光盘只读存储器(cd-rom)、光学存储装置、磁性存储装置或上述各项的任何合适组合。

如下面结合图3至图5更详细地讨论，由rtc108维护的时间在启动期间作为默认系统时间104在系统存储器204中恢复。此后，可基于除rtc108之外的可用时间源(例如，时间源110、112和114)的时间以及与所述时间源相关联的可信度分数来更新系统时间104，这些时间源在本文中也称为“可用时间源”。与可用时间源相关联的每个可信度分数都是基于时间源的攻击面得出的。在一些实施方案中，针对多个潜在可用时间源中的每一个执行风险分析以确定相关联的可信度分数，并且应用程序206被编程为直接用来自可用时间源的时间来更新系统时间104，或者执行使用来自可用时间源的时间和恢复时间124的迭代恢复技术，这取决于累积可信度分数，所述累积可信度分数是与可用时间源相关联的可信度分数的总和。在时间源的风险分析期间，可使用电子安全车辆入侵防护应用程序(evita)模型执行威胁分析和风险评估(tara)，以基于例如与时间源相关联的硬件和软件组件以及对时间源的潜在威胁来确定与时间源相关联的可信度分数。在这种情况下，较高的可信度分数指示时间源相对于其它时间源具有较小的攻击面和较高的可信度。在一些实施方案中，当可用时间源的总数小于或等于五时，可信度分数可在0至65的范围内。例如，使用tara方法和evita模型进行的风险分析可能分别针对来自tbm的公共ntp、gps和远程信息处理时间以及上述无线电时间源得出65、60、30和20的可信度分数。

在运行时间期间，并非所有时间源都可用，因此可用时间源的数目通常不固定。例如，在多云的天气情况期间、在地下、在建筑物内等，gps可能不可用。作为另一实例，如果soc102没有从ntp源获取时间所需的网络连接性，则ntp时间源可能不可用。在一些实施方案中，soc102被配置为在将系统时间104初始化为在启动期间从rtc108检索的时间之后，通过将与这些时间源相关联的可信度分数相加来确定可用时间源的累积可信度分数。在这些情况下，soc102(1)在累积可信度分数满足最大阈值的情况下，用任一可用时间源的时间(和日期)更新系统时间104，(2)在累积可信度分数在最小阈值与最大阈值之间并且系统时间104与可用时间源中的一个之间的时间差满足第一时间差阈值的情况下，执行迭代恢复技术，或者(3)在累积可信度分数小于最小阈值并系统时间104与可用时间源中的一个之间的时间差满足小于第一时间差阈值的第二时间差阈值的情况下，执行迭代恢复技术。

尽管本文主要相对于soc102进行讨论，但是应注意，归属于soc102的功能实际上可由在其中执行的应用程序206执行。此外，应了解，本文所示的soc102是说明性的并且可进行变化和修改。例如，可根据需要修改处理器202的数目、系统存储器204的数目以及系统存储器204中包括的应用程序和/或其它软件(例如，固件)的数目。此外，可根据需要修改图1和图2中各个单元之间的连接拓扑。在一些实施方案中，处理器202和系统存储器204的任何组合可用任何类型的虚拟计算系统、分布式计算系统或云计算环境代替。此外，可在经由位于任意数目的物理位置中的任意数目的装置存储和执行的任意数目的应用程序或其它软件上划分任何应用程序中包括的功能。

系统时间的保护和准确化

图3阐述根据各个实施方案的用于更新系统时间104的方法步骤的流程图。尽管参考图1至图2的系统描述方法步骤，但是本领域技术人员应理解，被配置成以任何顺序实施方法步骤的任何系统落入本发明的范围内。

如图所示，方法300从步骤302开始，其中soc102在启动期间检索rtc108的时间并将系统时间104设定为rtc时间。如所描述，rtc108是可由ioc106经由进程间通信与soc102共享的电池供电的时间源。在启动的初始阶段期间，rtc时间用作系统时间104的默认值，因为其它时间源可能仍然不可用。尽管本文主要相对于rtc108进行描述，但是在替代实施方案中，其它类型的时钟，例如基于软件的时钟也可用于在启动期间初始化系统时间104。

在一些实施方案中，还可将rtc时间与存储在安全存储装置120中的默认时间122和恢复时间124进行比较，并且可将三个时间中的最大值设定为启动期间的系统时间104。如所描述，可在没有其它时间源可用时从安全存储装置120中检索默认时间122并使用默认时间。

在启动之后，可使用来自除rtc108之外的其它可用时间源的时间来更新系统时间104。在步骤304处，soc102在启动之后确定是否存在除了rtc108之外的可用时间源，以及可用时间源(如果有的话)是否在时间上达成一致。可用时间源可包括公共ntp、gps、来自tbm的远程信息处理时间、无线电时间源等，并且可用时间源的数目通常不固定。例如，gps可能在多云的天气条件下、在地下、在建筑物内等不可用，如果soc102不具有网络连接性等，则ntp源可能不可用。尽管本文主要相对于在启动过程期间和之后建立系统时间104进行描述，但是在一些实施方案中，此后还可基于可用时间源(例如，周期性地)更新系统时间104。

如果没有其它可用时间源或可用时间源在时间上未达成一致，则在步骤306处，soc102将系统时间保持为rtc时间。在一些实施方案中，需要来自可用时间源的时间达成一致以达到容忍度阈值，例如预定的秒数。如果来自任何可用时间源的时间与另一个时间源的时间相差超过此阈值，则认为这些时间源中的一个受损。在这些情况下，由于soc102可能无法确定哪个时间源受损，因此不会基于任何可用时间源来更新系统时间104。

另一方面，如果存在其它可用时间源并且时间源达成一致，则在步骤308处，soc102通过将与可用时间源相关联的可信度分数相加在一起来确定累积可信度分数。例如，假设gps和无线电时间源可用并且分别具有可信度分数60、20，则累积可信度分数可计算为

cts＝(ts)gps+(ts)无线电，

cts＝60+20＝80，

其中cts是累积可信度分数，(ts)gps是与gps相关联的可信度分数，并且(ts)无线电是与无线电时间源相关联的可信度分数。应注意，rtc108不被视为可用时间源，其可信度分数需要包括在计算累积可信度分数中，因为当没有其它时间源可用时，rtc时间仅用作系统时间的默认值。在其它时间源变得可用之后，通过将与其它(可用)时间源相关联的可信度分数加在一起来计算累积可信度分数。如所描述，可通过针对多个潜在可用时间源中的每一个执行风险分析，例如使用tara方法和evita模型的分析，来在制造时间处确定对应时间源的个别可信度分数。然而，由于可用时间源的数目通常不固定(例如，gps可能不可用等等)，因此需要在步骤308处在运行时确定累积可信度分数。

如图所示，在步骤310处，soc102确定累积可信度分数是否满足累积可信度分数的最大阈值。为了确保可安全地且可靠地更新系统时间104，在实施方案中使用累积可信度分数的最大阈值和最小阈值来确定用于更新系统时间104的适当方式。可基于例如需要累积信任度分数的什么值来信任时间源而以实验方式确定这些阈值的值，如下面结合图4至图5更详细地讨论。

在一些实施方案中，在步骤310处满足最大阈值要求cts>＝ctsthr-max，其中ctsthr-max是累积可信度分数的最大阈值。在一些实施方案中，soc102可将最大阈值80和最小阈值60用于累积可信度分数。返回以上实例，gps和无线电时间源的累积可信度分数80将满足最大阈值80，这指示对gps和无线电时间源的最大置信度。

如果soc102确定累积可信度分数满足最大阈值，则在步骤312处，soc102用来自任一可用时间源的时间(和日期)更新系统时间104。在一些实施方案中，除了在步骤312处更新系统时间之外，还可以与用于更新系统时间104的外部源的相同时间来更新rtc108的时间。这样做允许rtc108的更新时间在将来启动期间使用。

另一方面，如果soc102确定累积可信度分数不超过最大阈值，则在步骤314处，soc102确定累积可信度分数是否在累积可信度分数的最小阈值与最大阈值之间。在一些实施方案中，确定累积可信度分数在最小阈值与最大阈值之间要求cts>＝ctsthr-min和cts<ctsthr-max，其中cts是累积可信度分数，ctsthr-min是最小阈值，并且ctsthr-max是最大阈值。在一些实施方案中，soc102可使用最大阈值80和最小阈值60。在最小阈值与最大阈值之间的任何累积可信度分数指示对可用时间源的可信度的较小置信度。小于最小阈值的任何累积可信度分数指示对可用时间源的可信度的最小置信度。

如果soc102确定累积可信度分数在最小阈值与最大阈值之间，则在步骤316处，在满足第一时间差阈值的情况下，soc102基于来自可用时间源中的一个时间源的时间(和日期)执行迭代恢复技术。结合图4更详细地示出方法300的步骤316。如图所示，在步骤402处，soc102确定源时间与系统时间之间的时间差。时间差(也称为时间增量)始终为正，并且可通过例如获取源时间的绝对值减去系统时间来确定(或反之亦然)。可将来自任一可用时间源的时间用作源时间，因为在方法300的步骤304处确定来自可用时间源的时间达成一致，如上面结合图3所描述。

在步骤404处，soc102确定源时间与系统时间104之间的时间差是否大于第一时间差阈值。选择第一时间差阈值的值，使得当时间差大于第一时间差阈值时，假定系统时间104已经受损并且需要恢复。在一些实施方案中，soc102可使用具有从0至5秒的值的第一时间差阈值。更一般地，soc102可将任何合适的值用于第一时间差阈值，并且可以实验方式确定所使用的第一时间差阈值的特定值。

如果时间差不大于第一时间差阈值，则在步骤406处，soc102不更新系统时间104。另一方面，如果时间差大于第一时间差阈值，则在步骤408处，soc102以预定频率将恢复时间124添加到系统时间104。在一些实施方案中，恢复时间124具有在上述第一时间差阈值与第二时间差阈值之间的值，tth1＜trecovery_time＜tth2，其中trecovery_time是恢复时间，tth1是第一时间差阈值，并且tth2是第二时间差阈值。在一些实施方案中，soc102从安全存储装置120检索恢复时间124，并且以预定频率将恢复时间124添加到系统时间104，直到源时间与系统时间104之间的时间差被消除(例如，通过完全减少时间差或将其减少至小于某一容忍度阈值)。例如，应用程序206可被编程为以每分钟给定的次数将恢复时间124添加到系统时间104，直到时间差被消除为止。尽管本文主要相对于作为说明性实例的添加进行描述，但是应理解，在源时间晚于系统时间104的情况下，可从系统时间104中有效地减去恢复时间124。

返回至图3，如果soc102确定累积可信度分数小于累积可信度分数的最小阈值，这指示对可用时间源的最小置信度，则在步骤318处，在满足第二时间差阈值的情况下，soc102基于来自可用时间源中的一个时间源的时间(和日期)执行迭代恢复技术。在图5中更详细地示出方法300的步骤316。如图所示，在步骤502处，soc102确定源时间与系统时间104之间的时间差。如上面结合图4所描述，可将任一可用源时间源用作源时间，因为在方法300的步骤304处确定可用时间源在时间上达成一致。

在步骤504处，soc102确定时间差是否大于第二时间差阈值。步骤504类似于上文结合图4描述的步骤404，不同之处在于，使用第二时间差阈值，而不是第一时间差阈值。在一些实施方案中，第二时间差阈值小于第一时间差阈值，因为在方法300的步骤314处将累积可信度分数确定为小于最小阈值的情况下，可用时间源的可信度较低，从而需要较小阈值来补偿较不太可信的时间源。在一些实施方案中，soc102可使用具有在0至15秒的范围内值的第二时间差阈值。更一般地，soc102可使用任何合适的第二时间差阈值，并且可以实验方式确定第二时间差阈值的特定值。

如果时间差不大于第二时间差阈值，则在步骤506处，soc102不更新系统时间。另一方面，如果时间差大于第二时间差阈值，则在步骤508处，soc102以预定频率将恢复时间124添加到系统时间104。类似于上文结合图4描述的步骤406，在一些实施方案中，soc102从安全存储装置120检索恢复时间124，并且以预定频率将恢复时间124添加到系统时间104，直到源时间与系统时间104之间的时间差被消除。例如，可以每分钟给定的次数将恢复时间124添加到系统时间104。

总而言之，公开用于保护和准确化在例如汽车系统的系统中使用的系统时间的技术。在所公开的技术中，通过在将系统时间初始化为在启动期间的实时时钟的时间之后，将与可用时间源相关联的可信度分数相加在一起，确定除了所述实时时钟之外的所述可用时间源的累积可信度分数。然后使用累积可信度分数基于可用时间源来确定用于更新系统时间的合适技术。如果累积可信度分数大于最大阈值，则用任一可用时间源的时间(和日期)更新系统时间。如果累积可信度分数在最小阈值与最大阈值之间，并且来自可用时间源中的一个时间源的时间与系统时间之间的时间差大于第一时间差阈值，则经由迭代恢复技术更新系统时间，在所述迭代恢复技术中，以预定频率将恢复时间添加到系统时间，直到来自可用时间源中的一个时间源的时间与系统时间之间的时间差被消除。如果累积可信度分数低于最小阈值，并且来自可用时间源中的一个时间源的时间与系统时间之间的时间差大于比第一时间差阈值小的第二时间差阈值，则经由相同迭代恢复技术更新系统时间，在所述迭代恢复技术中，以预定频率将恢复时间添加到系统时间，直到来自可用时间源中的一个时间源的时间与系统时间之间的时间差被消除。

相对于现有技术，本文所公开的技术的至少一个技术优势在于，所公开的技术提供一种用于更新系统时间并保护系统时间免受攻击的可靠机制。在这方面，取决于这些时间源的可信度，所公开的技术允许识别系统时间的偏离和损害，并且基于来自可用时间源的时间来恢复系统时间。另外，可在恢复过程中使用的包括默认时间和恢复时间的时间值存储在安全的存储装置中，所述存储装置相对于一些其它类型的存储装置受到保护而免受攻击。这些技术优点表示相对于现有技术方法的一个或多个技术改进。

1.在一些实施方案中，一种用于更新系统时间的方法包括基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数；以及基于来自所述相应的一个或多个时间源中的一个时间源的时间和所述累积可信度分数来更新系统时间。

2.如条款1所述的方法，其中更新所述系统时间包括：如果所述累积可信度分数大于第一阈值，则将所述系统时间设定成等于来自所述时间源中的所述一个时间源的所述时间；如果所述累积可信度分数小于所述第一阈值但大于第二阈值，并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的时间差大于第三阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行迭代恢复技术；以及如果所述累积可信度分数小于所述第二阈值并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的所述时间差大于第四阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行所述迭代恢复技术。

3.如条款1或2所述的方法，其中所述第四阈值大于所述第三阈值。

4.如条款1至3中任一项所述的方法，其中执行所述迭代恢复技术包括以预定频率将恢复时间添加到所述系统时间。

5.如条款1至4中任一项所述的方法，其中确定所述累积可信度分数包括将与所述相应的一个或多个时间源相关联的所述一个或多个可信度分数求和。

6.如条款1至5中任一项所述的方法，还包括基于所述时间源的风险分析确定所述一个或多个可信度分数。

7.如条款1至6中任一项所述的方法，其中所述风险分析中的每一个是使用电子安全车辆入侵防护应用程序(evita)模型执行的威胁分析和风险评估(tara)。

8.如条款1至7中任一项所述的方法，还包括将所述系统时间初始化为来自实时时钟的时间、默认时间和恢复时间中的最大值。

9.如条款1至8中任一项所述的方法，还包括在更新所述系统时间之前，确定来自所述相应的一个或多个时间源的时间在彼此的阈值时间内。

10.如条款1至9中任一项所述的方法，其中所述时间源包括网络时间协议(ntp)时间源、全球定位系统(gps)时间源、远程信息处理时间源、无线电时间源，或实时时钟时间源中的至少一个。

11.在一些实施方案中，一种非暂时性计算机可读存储介质包括指令，所述指令在由处理器执行时使所述处理器执行用于更新系统时间的步骤，所述步骤包括基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数；以及基于来自所述相应的一个或多个时间源中的一个时间源的时间和所述累积可信度分数来更新系统时间。

12.如条款11所述的计算机可读存储介质，其中所述系统时间由汽车系统维护。

13.如条款11或12所述的计算机可读存储介质，其中所述汽车系统是汽车信息娱乐系统、自主驾驶系统、高级驾驶辅助系统(adas)、智能交通管理系统、连接车辆系统、车辆到所有(v2x)通信系统、座舱系统或遥测系统中的一个。

14.如条款11至13中任一项所述的计算机可读存储介质，其中更新所述系统时间包括：如果所述累积可信度分数大于第一阈值，则将所述系统时间设定成等于来自所述时间源中的所述一个时间源的所述时间；如果所述累积可信度分数小于所述第一阈值但大于第二阈值，并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的时间差大于第三阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行迭代恢复技术；以及如果所述累积可信度分数小于所述第二阈值并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的所述时间差大于第四阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行所述迭代恢复技术。

15.如条款11至14中任一项所述的计算机可读存储介质，其中所述第四阈值大于所述第三阈值。

16.如条款11至15中任一项所述的计算机可读存储介质，其中执行所述迭代恢复技术包括以预定频率将恢复时间添加到所述系统时间，并且其中所述恢复时间存储在安全存储装置中。

17.如条款11至16中任一项所述的计算机可读存储介质，其中确定所述累积可信度分数包括将与所述相应的一个或多个时间源相关联的所述一个或多个可信度分数求和。

18.如条款11至17中任一项所述的计算机可读存储介质，所述步骤还包括将所述系统时间初始化为来自实时时钟的时间、默认时间和恢复时间中的最大值。

19.在一些实施方案中，一种系统包括存储应用程序的存储器以及处理器，所述处理器耦合到所述存储器，并且当执行所述应用程序时被配置成基于与相应的一个或多个时间源相关联的一个或多个可信度分数来确定累积可信度分数；以及基于来自所述相应的一个或多个时间源中的一个时间源的时间和所述累积可信度分数来更新系统时间。20.如条款19所述的系统，其中更新所述系统时间包括：如果所述累积可信度分数大于第一阈值，则将所述系统时间设定成等于来自所述时间源中的所述一个时间源的所述时间；如果所述累积可信度分数小于所述第一阈值但大于第二阈值，并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的时间差大于第三阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行迭代恢复技术；以及如果所述累积可信度分数小于所述第二阈值并且所述系统时间与来自所述时间源中的所述一个时间源的所述时间之间的所述时间差大于第四阈值，则使用来自所述时间源中的所述一个时间源的所述时间执行所述迭代恢复技术，其中所述第四阈值大于所述第三阈值。

任何权利要求中所述的任何权利要求元素和/或本申请中描述的任何元素的任何和所有组合以任何方式落入本公开和保护的预期范围内。

已经出于说明和描述的目标呈现对实施方案的描述。对实施方案的合适修改和变化可鉴于以上描述执行或可从实践方法获取。例如，除非另外指出，否则所描述方法中的一个或多个可由合适的装置和/或装置的组合执行。所描述的方法和相关联动作还可按照除了本申请中所描述的次序之外的各种次序并行地和/或同时执行。所描述系统在本质上是示例性的，并且可包括额外元件和/或省略元件。

如本申请中所使用，以单数形式叙述并且以单词“一”或“一个”开头的元件或步骤应被理解为不排除多个所述元件或步骤，除非说明了此种排除。此外，对本公开的”一个实施方案”或”一个实例”的引用并不意图解释为排除也结合所叙述特征的额外实施方案的存在。术语“第一”、“第二”和“第三”等仅用作标记，且并不意图对其对象施加数字要求或特定的位置次序。

本公开的实施方案通常提供多个电路、电气装置，和/或至少一个控制器。对电路、至少一个控制器和其它电气装置以及由每一者提供的功能的所有参考并不意图限于仅包括本文所示和所述的内容。尽管可将特定标签分配给所公开的各个电路、控制器和其它电气装置，但是这些标签并不意图限制各个电路、控制器和其它电气装置的操作的范围。此类电路、控制器和其它电气装置可基于所需的特定类型的电气实施方式彼此组合和/或以任何方式分离。

块被理解为具有以下项中的至少一个的硬件系统或其元件：执行软件的处理单元和用于实施相应的所需信号传递或处理功能的专用电路结构。因此，系统的部分或全部可实施为由处理器或可编程数字电路执行的软件和固件。应认识到，本文公开的任何系统可包括任何数目的微处理器、集成电路、存储器装置(例如，闪存、随机存取存储器(ram)、只读存储器(rom)、电可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)或它们的其它合适的变体)和软件，所述软件彼此协作以执行本文所公开的操作。另外，所公开的任何系统可利用任何一个或多个微处理器来执行体现在非暂时性计算机可读介质中的计算机程序，所述计算机可读介质被编程为执行所公开的任何数目的功能。此外，本文提供的任何控制器包括外壳和任何数目的微处理器、集成电路和存储器装置(例如，闪存、随机存取存储器(ram)、只读存储器(rom)、电可编程只读存储器(eprom)和/或电可擦除可编程只读存储器(eeprom))。

尽管描述了本发明的各个实施方案，但是所属领域的普通技术人员将明白，更多实施方案和实施方式可在本发明的范围内。具体来说，技术人员将认识到来自不同实施方案的各个特征的可互换性。尽管已在某些实施方案和实例的上下文中公开这些技术和系统，但是应理解，这些技术和系统可超过具体公开的实施方案扩展到其它实施方案，和/或其用途以及明显修改。