用于确保在服务器ECU中时间同步的方法与流程

用于确保在服务器ecu中时间同步的方法
技术领域
1.本发明涉及具有相互同步的网络设备的通信网络。


背景技术：

2.以太网技术正越来越多地用于车辆中，它们正取代更旧的或专有的数据连接和数据总线。在osi层模型的第3层上，以太网连接支持大量的交换协议，以在发射器与接收器之间传输数据包。在更高协议层中，将数据流分割成数据包，在通信的系统之间进行进程通信，将数据转换为与系统无关的形式，并且最后为应用提供功能。
3.在车辆中使用的几乎所有以太网通信网络都使用时间同步相关协议，该协议提供在所有网络设备中同步的全球网络时基。预期时间同步网络设备的普及率在未来会持续增加。
4.ieee 802.1as标准提供了这样的时间同步相关协议。从网络中所谓的“最佳时钟”(也称为最高级计时装置或最高级时钟)出发，建立主从时钟层次结构。该最高级计时装置为网络提供时基，该网络中的所有其他网络设备都与该时基同步。该最高级计时装置借助于所谓的最佳主时钟算法(bmca)来确定并在网络内被宣告。为此，支持ieee 802.1as的网络设备将包含关于它们的内部时钟的信息的宣告消息发送到直接连接的其他网络设备。关于内部时钟的信息提供了以下指示：相应时钟的准确性、其基准或时间基准以及可以用来确定网络中的最佳时钟的其他性质。这样的宣告消息的接收者将随着其自身的内部时钟的特征接收的信息与已经从另一端口随着关于其他网络设备的时钟的信息接收的任何消息进行比较，并且如果另一网络设备具有更佳的时钟参数，则接受该另一网络设备中的时钟。在短时间之后，网络中的最佳时钟被确定，该最佳时钟然后成为网络中的最高级计时装置。从最高级计时装置出发，通过网络广播时间同步相关消息。接收时间同步相关消息的网络设备不是简单地转发该消息，而是针对先前确定的连接(该网络设备通过该连接从直接连接的网络设备接收时间同步相关消息)上的延迟时间并针对内部处理时间来校正时间信息，然后再将时间同步相关消息和经校正的时间信息一起重新传输。
5.在根据ieee 802.1as和其中定义的通用精确时间协议(gptp)的时钟层次结构的情况下，仅单个网络设备一直提供网络中的最佳时钟。因此，这个网络设备控制并调节车辆的全部时间。网络中的网络设备的所有其他时钟都仅仅由这一个时钟管控。一些车辆制造商甚至通过这个以太网时间主控器来同步其他标准的网络，例如can，这意味着车辆中的几乎所有网络设备都由提供最高级计时装置的网络设备告知系统时间。因此，单个网络设备被定义为网络或车辆中的单个故障点，该设备的故障或操纵可能对车辆的操作安全有严重影响。这样，例如在具有通过适当系统实现的高程度驾驶员辅助或具有(半)自主驾驶系统的车辆中，在窄时间窗内捕获的大量传感器数据必须一起被处理，以便得到适当控制信号以用于车辆中的致动器。出于文档记录目的，例如当存储在可以被分析以便重现故障或操作错误的日志文件中时，传感器数据的最准确可能时间记录也可能是非常重要的。保险公司和执法机构对后者尤其感兴趣。因此，时间信息的安全、同步提供是至关重要的。
6.现今的时间同步相关方法和协议未提供保护最高级计时装置的容易方式。每个网络设备可以依据作为简单的多播以太网帧被发送到网络中的多个或所有网络设备的时间同步相关消息来容易地推断出网络中的哪个网络设备是最高级计时装置。关于比如ipsec或tls等的更高协议层的保护机制还不能在这个水平上起作用。时间同步相关消息中所包含的最高级计时装置的mac地址使攻击者容易识别网络设备并首先将其定位为特别值得攻击的目标，然后可以集中攻击该目标。
7.使用网络的时间同步来检测通信网络的配置或结构的改变的几种方法是现有技术中已知的。对网络的配置的未经授权改变可以包括例如插入网络设备以准备进行攻击，该网络设备会拦截消息以供分析并在必要时重新传输被更改的消息。这可能被用来阻止或至少破坏安全和恰当的操作。
8.de 10 2014 200 558 a1描述了通过经过认证的计时进行安全网络访问保护。该文件描述了打算如何使用认证协议来确保计时。确定延迟时间和/或使用附加协议来证实时间同步消息的完整性。然而，该应用无法检测参数是否改变以及时钟参数的质量实际上是否正确。
9.de 10 2012 216 689 b4描述了一种用于通过监测经由通信网络连接的两个网络节点之间的通信连接来监测机动车辆中的基于以太网的通信网络的方法以及一种相应地配置的网络节点。规定在这种情况下双向地且循环地测量通信网络的网络节点之间的信号的延迟时间以及评估信号延迟时间的改变。此外，为了检测这种类型的攻击，此应用提出了监测通信网络内时间同步相关消息的延迟时间。连接在两个网络设备之间的拦截并转发消息的附加网络设备将不可避免地改变消息的延迟时间，即使所转发的消息未被更改也是如此。
10.在de 10 2017 219 209 a1中，检查时间同步消息的合理性。该文档披露了一种用于检测以太网消息的不正确时间戳的方法，其中执行如下步骤：通过机动车辆的控制单元接收包含时间戳的以太网消息；确定该时间戳的全局时间与该控制单元的时钟的本地时间之间的时间差异；以及将该以太网消息的时间戳检测为不正确的。如果将该时间戳检测为不正确的，则将该时间戳的全局时间替换为该控制单元的时钟的本地时间。
11.还已知使用时间同步协议来检测新的控制设备何时作为窃听器被安插在车辆电气系统中的方法。然而，无法检测已知控制单元上是否发生攻击/错误。
12.de 10 2015 209 047 a1披露了一种用于在连接到音频视频桥接(avb)以太网通信网络的节点中提供时间同步的方法。该方法包括如下步骤：从相邻节点接收静态通知消息并形成静态最高级计时装置表；当同步消息定时器到期时参考该静态最高级计时装置表来重新选择最高级计时装置；以及根据对该最高级计时装置的重新选择来更新该静态最高级计时装置表。该方法可以迅速地调度音频视频桥接(avb)以太网通信网络中的同步并最小化网络负载。
13.最佳时钟，即所谓的最高级计时装置表示单个故障点。如果这一个控制单元或这一个控制器或实施方式受到攻击，则攻击者能够操纵车辆中的全部时间。这会影响行动的执行、传感器数据的融合和日志数据的存储，例如，从而可能导致从系统故障直到系统事故的毁灭性影响。同步消息通过多播来发送并因此可以被许多、可能地是所有订户接收。就自动化方法和iso26262的安全要求来说，这代表着非常严重的威胁。
14.然而，到目前为止，没有一个已知应用将如下的问题处理好了：可以如何使用简单的手段来保护最高级计时装置免受攻击而不失去对ieee 802.1as标准的基本遵从。
15.基于以太网的时间同步表示车辆中的单个故障点，因为首先仅存在一个时间主控器，其次可以在网络中的任何点处识别最高级计时装置的确切位置。


技术实现要素：

16.因此，本发明的目的是指定一种确保车辆电气系统中时间同步的方法和一种实施该方法的网络设备。
17.这个目的是通过权利要求1中指定的方法和权利要求5中指定的网络设备来实现的。在相应的从属权利要求中指定了实施例和进一步发展。
18.一种用于确保在服务器ecu中时间同步的方法，其中，时间同步根据时间同步标准来进行，该方法包括：初始化该服务器ecu的组件的时间同步；将在该初始化期间确定的最高级时钟的唯一时钟标识存储在服务器ecu的不提供先前确定的最高级时钟的组件中的每个组件中；识别选自服务器ecu的组件的影子控制器；发送同步消息；向影子控制器查询发出时间；通过形成最高级时钟的控制器在后续消息中插入时间，并重新发送该时间；由不提供先前确定的最高级时钟的选定的网络设备发送(206)附加的时间同步相关消息，其中，在附加的时间同步相关消息中发送的时间信息以及对借助bmca确定最佳时钟重要的时钟参数和域编号与先前已确定的最高级时钟的时间信息和时钟参数以及域编号相一致，或相类似，其中，这些附加的时间同步相关消息包含唯一的与相应的选定网络设备的标识相对应的时钟标识。
19.如果时间同步的初始化在可以以足够高的概率排除攻击的安全环境中、例如在制造包含安全网络的产品的生产过程结束时执行，则是特别有利的。例如在所有种类的车辆中，尤其是如果网络或其配置在初始化之后没有再次发生改变，则一次初始化可能就足够了。
20.根据本发明的方法还包括：由不提供先前确定的最高级时钟的选定网络设备来发送附加的时间同步相关消息，其中，在这些附加的时间同步相关消息中发送的时间信息以及对借助bmca确定最佳时钟重要的时钟参数和域编号与先前确定的最高级时钟的时间信息和时钟参数以及域编号相一致，或相类似。然而，这些附加的时间同步相关消息包含唯一的与相应的选定网络设备的标识相对应的时钟标识。根据ieee802.1as标准，对执行bmca重要的时钟参数尤其包括变量priority1(优先级1)、priority2(优先级2)、clockclass(时钟类别)、clockaccuracy(时钟准确性)、offsetscaledlogvariance(偏移量缩放对数方差)和timesource(时间源)的值。因此，对于监听网络流量的任何人来说，由选定网络设备发送的附加的时间同步相关消息中的每个消息似乎都来自最高级时钟，就像来自在初始化期间确定的最高级时钟的时间同步相关消息一样，这意味着观察者看到网络中存在的大量最高级时钟。
21.选定的网络设备优选地循环地发送它们的与在初始化期间确定的最高级时钟的时间同步相关消息相对应的附加的时间同步相关消息。因此，选定的网络设备中的每个网络设备表示一种伪最高级时钟，该伪最高级时钟表现得就像它是网络中仅有的且最佳的时钟一样。对于外部观察者来说，尽管事实是时间同步树在网络内传播时间同步相关消息的
方面不同，但因为附加的时间同步相关消息是用相同域编号发送的，所以无法将伪最高级时钟与在初始化期间确定的最高级时钟区分开。
22.一旦在初始化期间确定的最高级时钟的唯一时钟标识已被发送到所有网络设备，选定的网络设备就可以开始发送附加的时间同步相关消息。然而，也可能仅当网络中的所有网络设备的第一时间同步已完成时发送附加的时间同步相关消息。
23.所有网络设备遵从标准以与由在初始化期间确定的最高级时钟发送的时间同步相关消息相同的方式转发附加的时间同步相关消息中的每个消息。这意味着在已针对接收链路上的延迟时间和内部处理时间来校正时间信息之后，将时间同步相关消息发送到其他直接连接的网络设备。
24.这些网络设备通过物理接口相互连接。时间同步相关消息经由针对接口定义的逻辑端口来发送，这意味着即使当物理传输介质被共享时两个网络设备之间也存在用于时间同步的点对点连接。在本说明书中，术语接口与术语端口同义地使用，除非上下文另有指明。
25.对于仅在已完成初始化之后才开始监听网络流量的观察者来说，根据本发明的方法使得识别在初始化期间确定的最高级时钟相当困难，或甚至不可能。
26.选择除了最高级时钟之外的也发送它们自身的时间同步相关消息并由此伪装为最高级时钟的网络设备可以包括检查以确定网络设备对于网络或包含该网络的系统的操作是否至关重要并且因此不应被用作可能攻击的诱饵。至关重要的网络设备是例如将多个网络分段相互连接网络设备(比如例如交换机、桥接器)、或者在其上实施其他网络设备无法承担的功能的网络设备(比如用于自动或自主驾驶或其他安全相关功能的域计算机)。优选地，不选择这类网络设备。该选择还可以涉及检查网络设备是否被配置为执行通用功能或软件，这些通用功能或软件还可以由网络内的另一网络设备执行并可以相应地被重新定位到这些其他网络设备之一(如果有必要的话，例如如果检测到对网络设备的攻击)。优选地，可以选择这类网络设备来发送它们自身的时间同步相关消息，就如所选网络设备可以是位于网络的边缘处和/或提供非安全相关功能并且与网络的其余部分的隔离的网络设备，这些网络设备在检测到攻击的情况下不会导致重大故障。这同样适用于仅连接到几个其他网络设备的网络设备，例如具有仅一个端口及相应地仅一个邻居并因此可以更容易地被隔离的网络设备。优选地，选择网络设备来发送它们自身的时间同步相关消息还可以涉及具备特别强大的安全机制并因此更能抵挡攻击的网络设备。在简单的情况下，选择网络设备来发送它们自身的时间同步相关消息可以包括读取当制造网络设备时或该网络设备被配置为在网络中操作时设定的标志。用于确定网络设备是否可以被配置为发送附加的时间同步相关消息的其他特征可以通过适当的功能查询来确定。
27.在不提供在初始化期间确定的最高级时钟的网络设备中，根据本发明的方法还包括在第一网络接口上接收时间同步相关消息并检查以确定在时间同步相关消息中传输的时钟标识是否与在初始化期间确定的最高级时钟的所存储时钟标识相一致。如果这些时钟标识相一致，则使用在时间同步相关消息中接收的时间信息来同步本地时钟。
28.根据本发明的方法的进一步发展包括，在相对于在包含初始化期间确定的最高级时钟的时钟标识的时间同步相关消息中传输的时间信息的差异方面，监测在附加的时间同步相关消息中传输的时间信息。只要网络设备与在初始化期间确定的最高级时钟同步，该
比较所基于的时间信息也可以由该网络设备的时钟提供。如果已确认时间信息的差异，则可以阻止包含有已确认有差异的相关联的时钟标识的附加的时间同步相关消息，即，不将其转发到网络。倘若差异是对网络设备的攻击的结果，则仅在一个点处监测网络的攻击者不会注意到该阻止，因为时间同步相关消息未被接收者确认。替代性地，可以基于从在初始化期间确定的最高级时钟接收的时间信息来校正在所接收的附加的时间同步相关消息中传输的有差异的时间信息并进行转发。时间校正的基础也可以是与在初始化期间确定的最高级时钟同步的本地时钟。替代性地或另外地，可以向网络的先前确认的网络设备发送对应的消息，该网络设备被配置为发起和/或控制合适的保护措施。合适的保护措施可以包括例如将正在发送有差异的时间信息的网络设备或者来自该网络设备的各个流或消息与网络的其余部分隔离，或重新启动所讨论的网络设备。
29.根据本发明的方法的一个实施例包括：由在初始化期间确定的最高级时钟偶发地或循环地发送时间信息与实际时间有差异的时间同步相关消息；以及监测由其他网络设备发送的附加的时间同步相关消息以了解这些附加的时间同步相关消息是否相应地反映有差异的时间信息。如果情况并非如此——在同步期间不可避免的容差可以忽略，则可能存在故障或攻击，并且提供在初始化期间确定的最高级时钟的网络设备可以向网络的先前确认的网络设备发送对应的消息，该网络设备被配置为发起和/或控制合适的保护措施，例如将未反映有差异的时间信息的改变的网络设备与网络的其余部分隔离。如果由其他网络设备发送的附加的时间同步相关消息反映了改变的时间信息，则可以认为所有伪最高级时钟的表现都符合规则。
30.一种根据本发明的计算机程序产品包含指令，这些指令在由计算机执行时使所述计算机执行上文描述的方法的一个或多个实施例和进一步发展。
31.已实施时间主控器功能的控制器需要注意特定中断并还为此预留资源。然而，本发明的披露内容使得可以使用几乎任何控制器，这进而减少了系统成本和资源。
32.该方法提供的效果，即，防止对时间同步的未经授权的攻击、通信的失真和设备的调换，也可以以其他方式并且例如通过使用硬件加密(或认证)以更高的安全级别来实现。该方法允许更便宜地提供保护机制(对满足iso26262要求有用)，并且还减少了系统成本。该方法甚至可以稍后经由ota导入。
33.相比之下，在车辆中，购买足以为连接到网络的所有订户进行无缝加密的通信的硬件装备通常是不经济的。所描述的方法需要显著更少的硬件资源(可以使用现有实施方式来实行)，并且因此显著提高安全级别而不必与网络或连接到其的设备的更高生产成本有联系。
34.这种方法可以尤其以软件的形式实施，该软件可以作为对网络中的订户的现有软件或固件的更新或升级来分配，并且在这方面是独立的产品。
35.通过本发明可以有利地提高基于软件的应用(例如自动驾驶)的执行的质量，尤其是无需额外的财务支出。在汽车中使用新引入的以太网协议的情况下，需要利用简单的技术和给定的技术性质的机制而无需昂贵的实施方式和其他附加硬件。根据本发明的网络系统在成本和可靠性方面得到改进。
36.有利地，通过本发明可以显著地并且非常简单地提高车辆网络的安全性，尤其是无需额外的财务支出。在汽车中使用新引入的以太网协议的情况下，需要利用简单的技术
和给定的技术性质的机制而无需昂贵的实施方式和其他附加硬件。借助于对通信路径的早期分析来对攻击和异常行为进行更早的检测，从而允许在车辆交付之前识别出漏洞和错误。根据本发明的网络系统在成本和可靠性方面得到改进。通过本发明更清楚地定义了系统的可测试性，并且这允许节省测试成本。另外，本发明提供透明的安全功能。
37.现今，大部分应用是针对仅一种车辆类型或型号来实施、定制和适配的。这种提出的方法允许更灵活地设计软件并从底层系统生成增值服务，而无需事先将其永久地编程到软件中。现今，我们实际上不得不假设最坏的情况，这耗费资源(金钱)并损失质量。本发明允许软件开发人员和软件架构师提供可以更灵活地且精确地针对应用的要求定制的软件/应用程序。将所引用的方法并入到软件中允许在控制单元内进行优化。这意味着软件可以被设计得更独立于平台和车辆类型。
38.新技术在汽车中不能再受到抑制。比如ip、avb和tsn等协议具有数千页的规范和测试套件。这些新协议在汽车中的可控性并不是立即就能得到的。
39.新方法可以集成到现有网络中，而不会损坏现有设备。由于可以使用现有协议，因此不违反标准。
40.该方法的使用对于具有时钟同步组件和嵌入式系统的其他通信系统也将是可能的。
41.计算机程序产品可以存储在计算机可读介质或数据载体上。该数据载体在物理实施例中可以例如作为硬盘、cd、dvd、闪速存储器等；然而，该数据载体或介质还可以包括经调制的电信号、电磁信号或光学信号，该信号可以由计算机借助于适当的接收器接收并且可以存储在该计算机的存储器中。
42.除了微处理器和非易失性和易失性存储器以及计时器之外，至少根据本发明的网络设备还包括至少一个物理通信接口。该网络设备的组件借助于一个或多个数据线或数据总线进行相互通信连接。该网络设备的存储器包含计算机程序指令，这些计算机程序指令在由该微处理器执行时将该网络设备配置为实施上文描述的方法的一个或多个实施例。
43.本发明通过以下方式来保护最高级计时装置：通过大量虚假踪迹掩饰或隐藏最高级计时装置的先前容易被发现的踪迹，使攻击者更难以确定最高级计时装置在网络内的位置。攻击者然后根本无法再进行攻击，或至少需要相当多的时间。可以检测到并没有偶然地立即影响到最高级计时装置的攻击，并且可以在系统仍以所需准确性保持同步的同时采取合适的防御措施。
44.可以使用现有网络设备来实行根据本发明的方法，其中，如果有必要的话，仅需要在软件中或在状态机中调整用于接收和处理时间同步相关消息，以便仅使用在初始化期间确定的最高级时钟的时间同步相关消息来同步时钟，但仍转发附加的时间同步相关消息，而不是简单地删除它们。因此，实行该方法仅需要很少的额外成本(如果存在的话)。现有系统还可以被配置为通过使用适当地修改的软件来实行该方法。根据本发明的方法的另一优点是：具体的底层硬件平台是无关的，只要该平台支持根据ieee 802.1as标准的同步即可。
附图说明
45.将在下文中参考附图通过示例解释本发明。在附图中：
46.图1示出了根据时间同步标准进行同步的网络的说明性框图，
47.图2示出了在攻击期间来自图1的网络的框图，
48.图3示出了根据时间同步标准进行同步并且实施根据本发明的方法的网络的说明性框图。
49.图4示出了在攻击期间来自图3的网络的框图的第一表示，
50.图5示出了在攻击期间来自图3的网络的框图的第二表示，
51.图6示出了根据本发明的方法的方面的示意性流程图，
52.图7a示出了实施方法的网络设备的示意性框图，
53.图7b示出了实施方法的网络设备的示意性框图，该示意性框图单独地示出了多个组件并将时间信息的形成示出为总体解决方案，
54.图8示出了同步消息中包含最高级计时装置的地址。
55.在附图中，相同或相似的元素可以用相同的附图标记来指代。
具体实施方式
56.图1示出了根据时间同步标准进行同步的服务器ecu 100的说明性框图，该服务器ecu具有与第一最高级时钟时间同步的多个网络设备102、104、106，以及交换机108、110和112。在这种情况下，控制器102与交换机108、控制器102与交换机104、控制器104与交换机110、控制器104与交换机106以及控制器106与交换机112在每种情况下通过双向通信连接进行相互连接。访问是经由以太网或另一总线(比如mdio或spi)进行的。控制器102、104和106还通过双向通信连接来连接到图中未示出的其他网络设备。服务器ecu的每个组件102至112具有可以根据时间同步标准进行同步的计时器。在执行标准中约定的方法之后，已将控制器102确定为整个系统的最高级时钟，即，从控制器102向网络发送时间同步相关消息。在这种情况下，控制器102例如向连接到它的控制器106而且向图中未示出的另一网络设备发送时间同步相关消息。时间同步相关消息的发送方向在每种情况下由紧挨着通信连接所示出的白色填充箭头来指示。交换机108针对先前确定的到控制器102的通信连接上的延迟时间以及在交换机108中校正和转发所需的时间来校正从控制器108接收的时间信息，并且向图中未示出的另一网络设备重新发送相应地修改的时间同步相关消息。除了经校正的时间信息之外，时间同步相关消息还包含关于系统的最高级时钟(在这种情况下是控制器102)的信息。控制器104相应地继续进行，并且再次向交换机110和102而且向图中未示出的另一网络设备发送已针对适用延迟时间校正的时间同步相关消息。同样相应地，网络设备102向交换机108发送经校正的时间信息。由于在转发之前对时间信息的相应校正，网络设备中的所有计时器都同步到最高级时钟的时间，除了由于在相应转发之前对时间信息的校正存在个体差异而导致的任何剩余的残余不准确性。最高级时钟循环地向网络发送时间同步相关消息，然后如上文所描述的那样重新分配这些消息。
57.图1中示出的x表示想要通过监听网络流量来找出哪个网络设备正在提供最高级时钟的攻击者。监听由具有背离带有骷髅图的三角形的指示方向的箭头来指示。由于每个时间同步相关消息包含时钟标识以及发送方和接收方的相应mac地址，因此攻击者容易将网络设备102识别为网络中的最高级时钟并选择它作为攻击目标。指示监听的箭头旨在仅被理解为示例——监听和攻击可能发生在网络中的任何点处。
58.在方法中，本发明的披露内容提出了向攻击者隐藏来自图1的最高级计时装置
102，或使攻击者看不见该最高级计时装置。本发明的披露内容提出了时间戳是无条件地(并且这一点是最重要的)稳健的，或源自同一节点且并非由发送方地址被使用的控制器或控制器软件产生。
59.图1示出了解决上文描述的问题的方式。展示了服务器ecu 100，其中集成有多个控制器102、104、106和多个以太网交换机108、110、112。各个时间同步软件(比如ptp、gptp或802.1as)在这些控制器中的每个控制器上运行。这些控制器中的一个控制器是最高级计时装置102。尽管所述最高级计时装置发送包含其发送方地址的时间同步消息a，但其从交换机模块108获得实际时间戳或基准时间。经由网络向外传输到传感器、其他控制设备的时间同步消息d始终包括来自控制器102的id(mac地址或ip地址)，但从交换机(其需要被保护)获得时间戳。
60.由于时间同步消息d通过多播来发送，因此它们也可以相当容易地由外来的或被操纵的ecu/sw 102、104、106接收和解译。最高级计时装置的地址在消息中，如图8中所指示的。
61.如果这个控制器102现在受到攻击，则实际的最佳时钟102未受攻击，攻击者x不知道这一点。控制器102、104、106或执行时间同步的软件现在可以相对容易地被改变，并且同步可以使用相同的基础(即，相同的交换机108、110、112)来无缝地继续。因此，将不存在时间上的跳跃。整个控制单元本身不会直接受到网络级别的攻击，因为它由许多单元组成。
62.方法200可以始终活动或被特定使用情况触发。这样做的动机可以是如果存在在线访问或如果怀疑存在正在进行的攻击，则改变到更高的自动化级别、安全级别。
63.现在确定要从中提取实际时间的控制器。这个控制器可以是理想地存在直接连接的交换机108、110、112或另一控制器102、104、106。访问是经由以太网或另一总线(比如mdio或spi)进行的。
64.现在启动控制器102中的时间同步软件。为此，将同步消息发送到影子控制器108、即以同步消息的形式从中获得时间戳的交换机。由“影子控制器”交换机108发射此消息d会致使在输出处将硬件时间戳写入到例如寄存器，并且消息在没有修改的情况下被发送。在这种情况下，使用控制器102而非交换机108的发送方地址。
65.控制器102然后通过硬件线路或以太网或spi向这个影子控制器108查询相应端口的这个寄存器，并获得此时间以便将该时间插入到新生成的后续消息中。所述消息然后被发送到影子控制器108(针对每个端口)并被无改变地发送。
66.即使实际控制器102现在已在软件中生成了消息并已对帧进行汇编，但这些消息也并非源自所述控制器。车辆电气系统的同步可以以恒定的准确性来执行。
67.图2示出了在不同点处的攻击期间来自图1的服务器ecu 100的框图。在将控制器106识别为最高级时钟之后，攻击者可能试图操纵计时器本身或由控制器106发送的时间同步相关消息。由于同步，所有网络设备都将接受被操纵的时间信息，并在短时间之后，服务器ecu的所有控制器都将同步到不正确的时间(由表示控制器的方框的阴影指示)。在发生这样的攻击的情况下，规定使用另一交换机来获得时间信息。
68.图3示出了根据ieee 802.1as标准进行同步并且实施根据本发明的方法的网络100的说明性框图。服务器ecu的控制器和交换机与来自图1和图2的控制器和交换机相对应，并且像图1中一样，网络设备112已被定义为最高级时钟。交换机112向网络发送适用的
时间同步相关消息，所述消息在已遵从标准来校正时间信息之后由其他网络设备转发，这由白色填充的箭头指示。然而，根据本发明，网络设备被配置为在已将时间同步初始化之后向网络发送附加的时间同步相关消息。控制器102和交换机110以及图中未示出的另一网络设备各自发送附加的时间同步相关消息，这些消息包含与最高级时钟的时钟参数和时间信息相等或相对应但具有它们自身的唯一时钟标识的时钟参数和时间信息。以这些附加的最高级时钟为起点的表示时间同步相关消息的箭头相应地以不同方式加阴影。攻击者将看到由不同控制器或交换机发送的大量的时间同步相关消息，但每个时间同步相关消息似乎都源自最高级时钟并包括相同的经同步的时间信息。这使攻击者相当难以找出哪个网络设备或哪个控制器实际上正在提供最高级时钟。对发送附加的时间同步相关消息的控制器的选择应考虑到控制器应尽可能容易地被隔离，或特别擅长抵御攻击。
69.图4示出了在攻击期间来自图3的服务器ecu 100的框图的第一表示。攻击者已以交换机108为目标并更改了在这个网络设备的时间同步相关消息中所包括的时间信息，这由以下各项的粗体对角线阴影指示：时钟符号、表示网络设备的方框和具有远离网络设备的指示方向的表示时间同步相关消息的箭头。控制器102仍同步到由交换机112提供的时间，并检测到来自网络设备108的时间同步相关消息包括不正确的时间信息。因此，交换机是“影子控制器”。例如，控制器102现在可以基于其自身的时间(该时间同步到“真正的”最高级时钟)来校正在来自交换机108的时间同步相关消息中所包括的时间信息，并可以将经校正的时间信息发送到网络。这是由箭头的较细对角线阴影指示的。然而，如图5中所示出的，网络设备102还可以忽略来自交换机108的时间同步相关消息，并且不将它们重新发送到网络。
70.图6示出了根据本发明的方法200的方面的示意性流程图。在步骤202中，以基本上已知的方式将时间同步初始化(例如执行最佳主时钟算法)，随后在步骤204中，存储在初始化期间确定的最高级时钟的唯一时钟标识。在步骤203中，识别影子控制器。可以在服务器ecu的每个控制器中执行步骤204。在步骤206中，根据本发明，不提供先前确定的最高级时钟的服务器ecu的选定组件发送附加的时间同步相关消息。
71.此时，可以以不同的方式继续该方法。通常，在步骤208中，由几乎所有组件接收来自在初始化期间确定的最高级时钟的时间同步相关消息以及在步骤206中由选定组件发送的附加的时间同步相关消息。本身发送时间同步相关消息的控制器和交换机在逻辑上不会接收它们自身的时间同步相关消息。在步骤210中，每个网络设备检查所接收的时间同步相关消息是否源自在初始化期间确定的最高级时钟，该最高级时钟被指定为交换机108。如果是这样，即步骤210的“是”分支，则在步骤212中，控制器同步其自身的计时器，从而使得在步骤214之前已校正了接收连接上的延迟。在步骤213中，发送同步消息。在步骤215中，向影子控制器(交换机)查询发出时间，并在步骤216中，在后续消息中插入该时间，并且影子控制器或交换机102重新发送。
72.如果另外的组件直接连接到控制器，则对于步骤216，控制器向相邻的网络设备发送具有根据图8的设定内容的包含时间信息的时间同步相关消息，该时间信息可能在步骤214中针对内部延迟时间被校正。
73.另外地，还可能在步骤220中执行对差异的监测并在步骤222中阻止重新发送。然后，可以在步骤224中校正时间信息，并且可以在步骤226中向其他网络设备发送消息d。
74.如果时间同步相关消息并非源自在初始化期间确定的最高级时钟，则控制器在步骤214中针对接收连接上的延迟和已知的内部延迟来校正所接收的时间信息，并在步骤216中向相邻组件发送包含经校正的时间信息的时间同步相关消息。
75.另外，可能在步骤220中检查在附加的时间同步相关消息中接收的时间信息是否不同于在包含初始化期间确定的最高级时钟的时钟标识的时间同步相关消息中传输的时间信息。如果情况并非如此，则无需采取进一步行动。然而，如果检测到在同步期间不可避免的容差无法解释的差异，则可以在步骤222中阻止附加的时间同步相关消息的转发。替代性地，在步骤224中，可以基于内部时钟的时间信息来校正有差异的时间信息，该内部时钟被同步到在初始化期间用影子控制器确定的最高级时钟，并然后在步骤216中，在已校正延迟时间和延迟之后重新发送该时间信息。替代性地或另外地，在步骤226中，可以向服务器ecu的先前确认的交换机或控制器发送消息，该交换机或控制器被配置为发起和/或控制保护措施。
76.图7示出了被配置为执行根据本发明的方法的网络设备400的示例性框图。除了微处理器402之外，网络设备400还包括易失性存储器和非易失性存储器404和406、两个通信接口408以及可同步计时器410。网络设备的元件通过一个或多个数据连接或数据总线412进行相互通信连接。非易失性存储器406包含程序指令，这些程序指令在由微处理器402执行时实施根据本发明的方法的至少一个实施例。
77.图8描绘了最高级计时装置的地址是如何与同步消息一起形成的以及同步消息中包括什么信息。另外地，在发生攻击的情况下，识别影子控制器(108，110，112)允许通信被传送到其他控制器(102，104，106)。这允许检测最高级计时装置是否受到攻击。如果是这种情况，则在保留影子控制器的同时改变控制器。尽管受到攻击，网络和传感器没有限制，并且未出现时间跳跃。
78.附图标记列表
79.100 车辆网络
80.102 soc、μp或μc
81.104 soc、μp或μc
82.106 soc、μp或μc
83.108 交换机
84.110 交换机
85.112 交换机
86.200 方法
87.202 初始化
88.203 识别影子控制器
89.204 存储
90.206 发送
91.208 接收
92.210 检查时钟标识
93.212 开始时间同步
94.213 发送同步消息
95.214 校正时间
96.215 向影子控制器(交换机)查询发送时间
97.216 在后续消息中插入时间并重新发送
98.220 监测差异
99.222 阻止重新发送
100.224 校正时间信息
101.226 发送消息
102.400 网络设备
103.402 微处理器
104.404 ram
105.406 rom
106.408 通信接口
107.410 计时器/时钟
108.412 总线
109.500 以太网报头
110.510 ptp消息
111.511 最高级计时装置的地址
112.512 时间戳
113.520 fcs