用于保护网络中的时间同步免受未经授权的更改的方法与流程

1.本发明涉及一种具有彼此时间同步的网络设备的通信网络，特别是在车辆的电气系统中。


背景技术：

2.以太网技术正越来越多地被用于车辆，以取代其中的旧的或专有的数据连接和数据总线。以太网连接支持osi层模型第3层的多个网络协议，以在发射器与接收器之间传输数据包。在更高协议层上，将数据流分割成数据包，在相互通信的系统之间进行进程通信，将数据转换为与系统无关的形式，并且最后为应用提供功能。
3.车辆中通过以太网连接进行相互通信连接的系统可能对传输的可靠性和数据包的时间协调性要求特别高。特别是对于车辆中的安全关键应用(例如自主驾驶系统或驾驶员辅助系统的传感器信息和控制信息的传输)的时间协调性，有很高要求。
4.时间同步网络设备的使用范围在未来将进一步增加，其中一个原因是越来越多的控制单元传输来自不同传感器的传感器数据，这些传感器数据被组合和评估以提供安全和便利的功能。对来自不同传感器的数据进行的这种组合也被称为传感器融合。传感器数据融合的一个特别重要的方面是传感器数据在时间上的关联。根据应用，可能需要在毫秒或微秒精度下融合相关联的传感器数据，而对于其他应用，有时可能允许检测时间之间有较大的时间间隔。还可以设想的是，检测时间必须在纳秒范围内的精度下关联。然而，除了传感器融合所需的数据外，在监测车辆运行期间捕获的、且仅用于维护目的或用于记录批准运行和正确运行的数据，例如也可能对其以正确时间捕获和存储有严格要求。
5.在车辆中采用的几乎所有以太网通信网络都使用时间同步协议，以在网络中提供全局时基。在ieee 802.1as标准中约定了以太网网络中的时间同步，例如，其基于精确时间协议(ptp)。ptp定义了在网络内有最佳时钟(也被称为最高级时钟)的主/从时钟层次结构。从该最佳时钟(即最高级时钟)得到该网络中其他网络设备的时基。使用最佳主时钟算法(bmca)来找到该最佳时钟，并将该信息公布给网络。为了保持正确的同步，支持ieee 802.1as的系统周期性地向其相邻节点发送包含与网络中的最佳时钟有关的信息的公告消息。这种消息的接收者将该信息与其自己的时钟特征以及已经在另一个物理接口上收到的包含有关其他网络设备的时钟信息的消息进行比较。基于这些消息，构建了时间同步树。在此过程中，每个物理接口(在下文中也被称为端口)被分配有四个状态之一。“主端口”状态被赋予给到最高级时钟的路径比其连接伙伴短的端口。如果该网络设备上的其他端口还没有“从端口”状态，则分派“从端口”状态。对于不能完全支持ptp协议的端口，选择“禁用”状态。如果其他三种状态都不适用，则选择“被动”状态。
6.在ptp的变体中，即在广义精确时间协议(gptp)中，两个网络设备各自总是直接相互通信以实现时间同步，而这两个网络设备中的任何一个都不是仅仅将所收到的时间同步相关消息转发到网络中的另一网络设备。而是，在转发之前，由网络设备针对接收线上和网络设备本身中的延迟对所收到的时间信息进行校正，然后转发经校正的时间信息。这些网
b4提出通过在通信网络内监测时间同步相关消息的延迟来识别这种类型的攻击。稍后在两个网络设备之间连接、拦截和转发消息、或者以与数据转发相关的方式对网络设备的软件进行操纵的附加网络设备将不可避免地改变消息的延迟，即使转发的消息没有改变也是如此，这意味着可以识别攻击。
12.网络中正确和安全的时基在其他情况下也是非常重要的。因此，例如，de 102014200558 a1描述了一种安全网络访问保护，其涉及使用通过认证协议保护的经认证的时间。在这种情况下，确定消息的延迟，并且通过额外的协议来校验时间同步相关消息的完整性。
13.虽然网络中的时间同步机制和协议的使用被广泛用于次要目的，但迄今为止尚未考虑或者只很少考虑保护时间同步本身免受攻击。
14.因此，本发明的目的是指定一种至少阻止对网络中时间同步的未经授权的更改的方法和网络设备。


技术实现要素：

15.因此本发明的目的是，通过如权利要求1中所述的方法和权利要求8中所述的网络设备来实现。在相应从属权利要求中说明了该方法或系统的改进和进一步发展。
16.本发明对时间同步的保护主要是针对防止或至少阻止攻击者对网络的基准时域的最高级时钟进行不希望的或未经授权的更改，或在初始同步之后的硬件或软件故障。这里，基准时域表示适用于网络中所有网络设备的基本时域。
17.在本说明书中，通信连接表示发射器与接收器之间的物理连接或逻辑连接。通信连接可以由端口号唯一标识。端口号可以用于区分源自某端点或终止于某端点的多个不同的通信连接。
18.在本说明书中，术语网络设备和网络节点作为同义词使用，除非各自的上下文表明有区别。
19.在下面的描述中，假设例如已经根据ieee 802.1as标准的最佳主时钟算法(bmca)对基准时域进行了正确且未经操纵的初始化，并且网络中的所有网络设备都有关于哪个网络设备为网络提供基准时域的最高级时钟以及最高级时钟具有什么时钟id和什么时钟参数的信息。每个网络设备还可以具有关于其哪些物理接口用于传递有效的时间同步相关消息的信息。这种初始情况对应于前面参考图1描述的情况。
20.根据本发明，一种用于保护网络中的时间同步免受未经授权的更改的方法包括：监测第一网络设备的所有物理通信接口，以获得来自第二网络设备的通知(announce)消息、同步(sync)消息或跟进(followup)消息的到来，这些消息用于传播与该网络中的最佳时钟有关的信息。通常，在基于ieee 802.1as标准的网络系统中，这种消息是循环发送的并且可能还会循环转发。
21.时间信息是从所收到的通知消息、同步消息或跟进消息中提取的，包括grandmaster clock class(最高级时钟等级)、grandmaster clock accuracy(最高级时钟精度)、grandmaster priority1(最高级优先级1)、grandmaster priority2(最高级优先级2)和current utc offset(当前utc偏移量)。此外，第一网络设备检查这些消息是否适用于基准时域。如果不是这种情况，并且通知消息、同步消息或跟进消息适用于第一网络设备不
属于的单独时域，则例如可以根据标准转发该消息。否则，例如，如果该消息适用于第一网络设备先前已经针对来自第二网络设备的时间同步相关消息启动的虚拟基准时域，则该消息可以被转发到稍后描述的处理步骤以验证在所述消息中传输的时钟参数，否则可以拒绝该消息。
22.如果通知消息适用于基准时域，则执行检查以确定该通知消息是否公布了时钟参数比之前最高级时钟的时钟参数更好的新最高级时钟。如果不是这种情况，则可以忽略通知消息，或者可以从第一网络设备向第二网络设备发送包含网络的最高级时钟相关信息的时间同步相关消息。
23.如果在通知消息中收到的时钟参数描述了具有更好参数的时钟，则本发明涉及第二网络设备就所述网络设备发送的时间同步相关消息而言，与网络的其他部分隔离。该隔离用于确保由第二网络设备提供的潜在的新最高级时钟在系统中不被立即采用或激活，或者甚至不转发所述网络设备的与时间同步相关的消息，因为还没有确定第二网络设备作为新计时器是否是安全且可信的，并且在不希望的情况下，整个系统将在几毫秒内改变为有时不可靠或不正确的时钟。为此，第一网络设备针对从第二网络设备到达的时间同步相关消息启动虚拟基准时域。基于从第二网络设备到达的时间同步相关消息，第一网络设备不向直接连接到它的其他网络设备发送其自己的时间同步相关消息，而只是向第二网络设备发送根据ieee 802.1as标准必要的请求和响应。迄今为止适用的时间同步被第一网络设备和除第二网络设备外的所有其他网络设备继续保持不变。虚拟基准时域仅适用于第二网络设备以及与第一网络设备的其他部分相隔离的区域。
24.第一网络设备还对第二网络设备发送的时钟参数进行验证。这可以包括，例如，与第二网络设备在时间同步初始化期间报告的并存储在第一网络设备中的时钟参数进行比较，检查时钟等级和时钟精度的允许或不允许的组合，但也包括在较长时期内将第二网络设备发送的时间同步相关消息中包含的时间信息与原始最高级时钟发送的时间信息进行比较，或检查在通过相关接口连续收到的时间同步相关消息中是否重复传输不同的时钟参数。在验证过程中，新最高级时钟还可以例如由具有足够权限的临时连接到系统上的控制单元进行更高协议级别的授权。也可以由第一网络设备通过适当的消息向配备有更高权限的网络设备请求授权。如果验证表明第二网络设备提议的最高级时钟是可信的或有效的，则第一网络设备中断虚拟基准时域，更新其针对最高级时钟存储的信息，并向网络发送基于新时钟参数的时间同步相关消息。否则，第一网络设备拒绝将该时钟作为新最高级时钟。
25.例如，该拒绝可以涉及第一网络设备本身向第二网络设备发送声称自己具有比第二网络设备提议的时钟更好的时钟的时间同步相关消息。然后，第二网络设备将立即停止发送其自己的同步消息、通知消息或跟进消息。如果是这种情况，则中断虚拟时域，并且该方法继续监测到达的时间同步相关消息。如果第二网络设备没有停止发送其自己的同步消息、通知消息或跟进消息，尽管来自第一网络设备的“响应”具有“更好”的时钟，则保持虚拟时域以将来自第二网络设备的时间同步相关消息与网络的其他部分隔离，直到第二网络设备停止发送同步消息、通知消息或跟进消息或者第二网络设备报告的时钟的有效性在更高协议级别得到确认。
26.在第一网络设备启动虚拟基准时域之前，第一网络设备可以向第二网络设备发送提议建立单独时域的消息，在该单独时域中，第二网络设备充当最高级时钟。如果第二网络
设备接受该提议，则第一网络设备运行单独时域。在这种情况下，第一网络设备不一定需要将单独时域的时间同步相关消息转发到网络上；它可以简单地终止或忽略这些消息而不告知第二网络设备。然而，在某些情况下，它可以将这些消息转发到例如网络设备，该网络设备旨在检查与适用于单独时域的时间同步相关消息。在这种情况下，例如这些消息带有单独的域号。如果第二网络设备不接受该提议，则它如上所述启动虚拟基准时域并执行进一步的方法步骤。
27.即使第一网络设备已经启动了虚拟基准时域，它也能以通常的方式通过网络将来自第二网络设备的与时间无关的通信转发给相应的接收者。第一网络设备可以拒绝时间要求严格的消息，例如具有明显用于安全相关应用的时间戳的消息，或者它可以向网络发送消息，向其他网络设备指示来自第二网络设备的消息是不可信的，至少在相关的时间信息方面是不可信的。第一网络设备还可以在消息中提供其自己的时间戳，并以适当的方式识别消息。为此，可以在消息或报头中提供标志或其他字段。
28.根据本发明的计算机程序产品包含指令，这些指令在由计算机执行时，使所述计算机执行上述方法的一个或多个改进和进一步发展。
29.该计算机程序产品可以存储在计算机可读数据载体上。数据载体在物理上可以体现为例如硬盘、cd、dvd、闪存等；然而，数据载体也可以包括调制的电、电磁或光信号，该信号可以通过适当的接收器被计算机接收并可以存储在计算机的存储器中。
30.实施根据本发明的方法的网络设备不仅包括微处理器和非易失性存储器和易失性存储器，还包括至少两个物理通信接口。网络设备的元件通过一个或多个数据线或数据总线进行相互通信连接。网络设备被配置为在接口上接收时间同步相关消息，并使用上述方法对通知消息、同步消息或跟进消息执行检查和必要时的隔离。
31.根据本发明的具有通过通信网络连接的多个网络设备的系统包括被配置为执行上述根据本发明的方法的至少一个网络设备。
32.根据本发明的方法可以有利地用于提高时间同步的可靠性，特别是在安全相关网络中的通信连接(例如那些自主驾驶系统或驾驶员辅助系统传输传感器数据时所需的通信连接)的可靠性。
33.根据本发明的方法可以使用现有的网络设备来实施，在这种情况下，只需要对软件进行调整就可以建立和运行单独时域。因此，如果有的话，在实施过程中也只产生少量的额外成本。现有的系统可以被配置为通过适当地改变软件来实施该方法。根据本发明的方法的另一个优点在于，只要支持建立或运行多个单独时域和ptp，相应底层硬件平台是不相关的。
附图说明
34.下面参考附图通过示例解释本发明。在附图中：
35.图1示出车辆网络的示例性框图，该车辆网络具有与第一最高级时钟时间同步的多个网络设备；
36.图2示出来自图1的具有多个时间同步网络设备的车辆网络的示例性框图，其中，第一最高级时钟已被第二最高级时钟取代；
37.图3示出具有多个时间同步网络设备的车辆网络在执行根据本发明的方法步骤时
的示例性框图；
38.图4示出根据本发明的方法的实施例的示意性流程图，以及
39.图5示出了被配置为执行根据本发明的方法的网络设备的示例性框图。
具体实施方式
40.在附图中相同或相似的元件可以用相同的附图标记来表示。
41.图1和图2已经在上面进行了解释，因此在此处不再描述。
42.图3示出了具有多个时间同步网络设备的车辆网络100在执行根据本发明的方法步骤时的示例性框图。如先前参考图2所述，网络设备108已经向网络设备102发送了公布了具有更好的时钟参数的时钟的通知消息。基于ieee 802.1as标准中规定的方法，该时钟将成为整个网络的最高级时钟。为了阻止或防止简单的操纵，网络设备102启动了虚拟时域，在该虚拟时域中，网络设备108提议的时钟充当最高级时钟。对于其他网络设备来说，由网络设备112提供的时钟是最高级时钟，如前所述。由网络设备102将时域划分为之前时域和虚拟时域由网络设备102的部分阴影表示。虚线箭头指示来自网络的最高级时钟或虚拟时域的时间同步相关消息的发送方向。
43.图4示出了第一网络设备中的根据本发明的方法200的实施例的示意性流程图。在步骤202中，首先监测接口是否有来自与其连接的第二网络设备的通知消息、同步消息或跟进消息。当这种时间同步相关消息到达时，首先要检查它是否适用于初始建立和同步的基准时域。如果不是这种情况，即步骤204的“否”分支，则在步骤204a中执行检查以确定时间同步相关消息是否适用于先前启动的虚拟基准时域。如果不是这种情况，即步骤204a的“否”分支，则在步骤206中转发时间同步相关消息。如果步骤204中的检查表明时间同步相关消息适用于基准时域，即步骤204的“是”分支，则在步骤208中执行下一检查以确定这些时间同步相关消息是否公布了时钟参数比之前最高级时钟的时钟参数更好的新最高级时钟。如果不是这种情况，即步骤208的“否”分支，则在步骤210中拒绝或忽略该消息，并且继续监测。如果步骤208中的检查表明公布了时钟参数比之前最高级时钟的时钟参数更好的新最高级时钟，即步骤208的“是”分支，则在步骤218中由第一网络设备启动虚拟基准时域。在步骤218中启动虚拟基准时域之前，在步骤212中第一网络设备可以可选地向第二网络设备提议建立单独时域。如果第二网络设备接受这个提议，即步骤214的“是”分支，则第一网络设备可以运行单独时域，并适当地将适用于单独时域的时间同步相关消息转发到网络的其余部分。如果第二网络设备不接受建立单独时域的提议，即步骤214的“否”分支，则第一网络设备启动虚拟基准时域。在虚拟基准时域中，随后在步骤220中对第二网络设备发送的时钟参数进行验证。如果步骤204a中的检查已经表明从第二网络设备收到的时间同步相关消息适用于先前建立的虚拟基准时域，即步骤204a的“是”分支，则该方法绕过步骤208和(可能地)步骤214中的检查，立即在步骤220中继续时钟参数的验证。如果步骤220中的验证表明第二网络设备提议的最高级时钟是可信的或有效的，即步骤220的“是”分支，则在步骤222中第一网络设备中断虚拟时域，在步骤224中更新其存储的与最高级时钟有关的信息，并从此时起向网络发送基于新时钟参数的时间同步相关消息。如果步骤220中的验证表明第二网络设备提议的最高级时钟是不可信的或无效的，即步骤220的“否”分支，则在步骤226中第一网络设备拒绝将第二网络设备提议的时钟作为基准时域的最高级时钟。该拒绝
可以包括第一网络设备向第二网络设备发送其自己的通知消息，该通知消息中的时钟参数表示比来自第二网络设备的时间同步相关消息中所传输的时钟参数的时钟更好的时钟。只要通知消息、同步消息或跟进消息从第二网络设备到达，并且没有发生更高协议级别的授权，就保持虚拟基准时域。在步骤228和230中进行适用的检查。
44.图5示出了被配置为执行根据本发明的方法的网络设备400的示例性框图。网络设备400不仅包括微处理器402，还包括易失性存储器和非易失性存储器404、406以及两个通信接口408。网络设备的元件通过一个或多个数据连接或数据总线410进行相互通信连接。非易失性存储器406包含程序指令，这些程序指令在由微处理器402执行时，实施根据本发明的方法的至少一个改进。
45.附图标记列表：
46.100
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
网络
47.102-112
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
网络设备
48.200
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
方法
49.202
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
监测时间同步相关消息
50.204
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
基准时域检查
51.204a
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
虚拟基准时域检查
52.206
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
在虚拟基准时域转发
53.208
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
时钟参数检查
54.210
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
拒绝/忽略
55.212
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
提议单独时域
56.214
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
检查是否接受单独时域
57.216
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
转发
58.218
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
启动虚拟基准时域
59.220
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
时钟参数验证
60.222
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
中断虚拟时域
61.224
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
更新所存储的时钟参数
62.226
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
拒绝新时钟
63.228
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
保持虚拟时域
64.230
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
检查新时钟的授权
65.400
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
网络设备
66.402
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
微处理器
67.404
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
ram
68.406
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
rom
69.408
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
通信接口
70.410
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
总线