IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Continental Automotive GmbH

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングの特許一覧

特許7566912サーバECUにおいて時刻同期を確保するための方法
<>
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図1
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図2
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図3
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図4
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図5
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図6
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図7a
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図7b
  • 特許-サーバECUにおいて時刻同期を確保するための方法 図8
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-04
(45)【発行日】2024-10-15
(54)【発明の名称】サーバECUにおいて時刻同期を確保するための方法
(51)【国際特許分類】
   H04L 7/00 20060101AFI20241007BHJP
   H04L 41/34 20220101ALI20241007BHJP
【FI】
H04L7/00 990
H04L41/34
【請求項の数】 7
(21)【出願番号】P 2022537049
(86)(22)【出願日】2020-12-17
(65)【公表番号】
(43)【公表日】2023-02-21
(86)【国際出願番号】 EP2020086854
(87)【国際公開番号】W WO2021123040
(87)【国際公開日】2021-06-24
【審査請求日】2022-06-16
(31)【優先権主張番号】102019220498.8
(32)【優先日】2019-12-20
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】508097870
【氏名又は名称】コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング
【氏名又は名称原語表記】Continental Automotive GmbH
【住所又は居所原語表記】Vahrenwalder Strasse 9, D-30165 Hannover, Germany
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【弁理士】
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ヘルゲ ツィナー
【審査官】川口 貴裕
(56)【参考文献】
【文献】特開2015-179999(JP,A)
【文献】特開2018-037885(JP,A)
【文献】特表2019-530308(JP,A)
【文献】米国特許出願公開第2017/0251508(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 7/00
H04L 41/34
H04J 3/06
(57)【特許請求の範囲】
【請求項1】
時刻同期規格に従って時刻同期が行われるサーバECU(100)において時刻同期を確保するための方法(200)であって、
- 前記サーバECU(100)のネットワークデバイス(102、104、106、108、110、112)の前記時刻同期を初期化すること(202)、
前記初期化(202)中に決定されたグランドマスタークロックを提供しない前記サーバECU(100)の前記ネットワークデバイス(102、104、106、108、110、112)のそれぞれにおいて、前記初期化(202)中に決定されたグランドマスタークロックの一意クロック識別子を格納すること(204)、
- 前記初期化(202)中に決定されたグランドマスタークロックを提供しないネットワークデバイスが、前記サーバECU(100)の前記ネットワークデバイス(102、104、106、108、110、112)から選択されるシャドウコントローラを識別すること、
- 前記シャドウコントローラが、同期メッセージを送信すること(213)、
- 前記初期化(202)中に決定されたグランドマスタークロックを提供しないネットワークデバイスが、前記シャドウコントローラに送信時刻を照会すること(215)、
- 前記グランドマスタークロックを形成する前記シャドウコントローラによってフォローアップメッセージに時刻を挿入し、且つ前記時刻を送信すること、
- 前記初期化(202)中に決定されたグランドマスタークロックを提供しない選択されたネットワークデバイスにより、時刻同期に関連する追加メッセージを送信すること(206)
を含み、
時刻同期に関連する前記追加メッセージで送信された時刻情報並びにまたBMCAによってベストクロックを決定することに関連するクロックパラメータ及びドメイン番号は、前記初期化(202)中に決定されたグランドマスタークロックのものと一致するか又はそれらと同等であり、
時刻同期に関連する前記追加メッセージは、それぞれの前記選択されたネットワークデバイスの識別子に対応する一意クロック識別子を含む、
方法(200)。
【請求項2】
前記初期化(202)中に決定された前記グランドマスタークロックを提供しないネットワークデバイスにおいて、
- 第1のネットワークインターフェースにおいて、時刻同期に関連するメッセージを受信すること(208)、
- 時刻同期に関連する前記メッセージで送信された前記クロック識別子が、前記初期化(202)中に決定された前記グランドマスタークロックの前記格納されたクロック識別子と一致するかどうかをチェックし(210)、及び一致する場合、IEEE802.1ASに従って決定された遅延時間に従い、時刻同期に関連する前記メッセージで受信された前記時刻情報を補正し(214a)、且つ時刻同期に関連する前記メッセージで受信された前記時刻情報を使用することにより、ローカルクロックを同期すること(212)
も含む、請求項1に記載の方法(200)。
【請求項3】
前記ネットワークデバイスが、更なるネットワークデバイスが接続される2つ以上のインターフェースを有する場合、
- IEEE802.1ASに従って決定された前記遅延時間及び/又はデバイス内部遅延に従い、時刻同期に関連する前記メッセージで受信された前記時刻情報を補正すること(214a、214b)と、
- 1つ又は複数の第2のネットワークインターフェースを介して、時刻同期に関連する、それに応じて補正されたメッセージを送信することと
を追加的に含む、請求項2に記載の方法(200)。
【請求項4】
- 前記初期化(202)中に決定されたグランドマスタークロックを提供しないネットワークデバイスの第1のネットワークインターフェースにおいて、時刻同期に関連するメッセージを受信すること(208)と、
- 前記シャドウコントローラが、前記初期化(202)中に決定された前記グランドマスタークロックの前記クロック識別子を含む、時刻同期に関連するメッセージで送信された時刻情報に対する差分について、時刻同期に関連する追加メッセージで送信された前記時刻情報を監視すること(220)と、
- 前記シャドウコントローラが、差分が検出された前記ネットワークデバイスの前記クロック識別子を含む、時刻同期に関連する追加メッセージをブロックすること(222)、又は
- 前記シャドウコントローラが、転送前の、前記初期化(202)中に決定された前記グランドマスタークロックから受信された時刻情報に基づいて、異なる時刻情報を補正すること(224)、及び/又は
- 前記シャドウコントローラが、保護手段を開始及び/又は制御するように構成される、ネットワークの前記初期化(202)中に決定されたグランドマスタークロックを提供しないネットワークデバイスにメッセージを送信すること(226)と
を追加的に含む、請求項1~3のいずれか一項に記載の方法(200)。
【請求項5】
前記初期化(202)中に決定された前記グランドマスタークロックは、前記時刻情報が実際の時刻と異なる、時刻同期に関連するメッセージを散発的又は周期的に送信し、前記初期化(202)中に決定された前記グランドマスタークロックを提供する前記シャドウコントローラは、他のネットワークデバイスによって送信される、時刻同期に関連する追加メッセージを、時刻同期に関連する前記追加メッセージが前記時刻情報の差分を適宜反映するかどうかについて監視し(220)、反映しない場合、前記初期化(202)中に決定された前記グランドマスタークロックを提供する前記シャドウコントローラは、対応するメッセージを、保護手段を開始及び/又は制御するように構成される、ネットワークの前記初期化(202)中に決定されたグランドマスタークロックを提供しないネットワークデバイスに送信する(226)、請求項1~4のいずれか一項に記載の方法(200)。
【請求項6】
命令を含むコンピュータプログラムであって、前記命令は、プログラムがコンピュータによって実行されると、前記コンピュータに、請求項1~4のいずれか一項に記載の方法(200)を実行させる、コンピュータプログラム。
【請求項7】
請求項6に記載のコンピュータプログラムが格納されるコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、相互に同期されたネットワークデバイスを有する通信ネットワークに関する。
【背景技術】
【0002】
イーサネット技術は、車両において一層使用されており、旧来又は独自のデータ接続及びデータバスに取って代わりつつある。OSI階層モデルのレイヤ3では、イーサネット接続は、送信機と受信機との間におけるデータパケットの伝送のための多数のスイッチングプロトコルをサポートしている。より上位のプロトコルレイヤでは、パケットへのデータストリームの分割、相互に通信するシステム間のプロセス通信、システム非依存の形式へのデータ変換及び最後にアプリケーションのための機能の提供が行われる。
【0003】
車両で使用されるほとんどすべてのイーサネット通信ネットワークは、すべてのネットワークデバイスに同期したグローバルネットワークタイムベースを提供する、時刻同期に関連するプロトコルを使用する。時刻同期ネットワークデバイスの普及は、将来増え続けることが予想される。
【0004】
IEEE802.1AS規格は、このような時刻同期に関連するプロトコルを提供する。グランドマスター又はグランドマスタークロックとも呼ばれるネットワーク内のいわゆる「ベストクロック」から、マスター-スレーブクロック階層が構築される。グランドマスターは、ネットワークのためのタイムベースを提供し、このタイムベースに対して、ネットワーク内の他のすべてのネットワークデバイスが同期される。グランドマスターは、いわゆるベストマスタークロックアルゴリズム(BMCA)によって決定され、ネットワーク内でアナウンスされる。これを行うために、IEEE802.1AS対応ネットワークデバイスは、直接接続されている他のネットワークデバイスに、自らの内部クロックに関する情報を含むAnnounceメッセージを送信する。内部クロックに関連する情報は、それぞれのクロックの精度、基準又は時刻基準及びネットワーク内のベストクロックを決定するために使用され得る他の特性の指標となる。このようなAnnounceメッセージを受信したネットワークデバイスは、受信された情報を、自らの内部クロックの特徴及び別のポートから既に受信された、他のネットワークデバイスのクロックに関する情報を含むメッセージと比較し、クロックパラメータが優れている場合には別のネットワークデバイスのクロックを受け入れる。程なくしてネットワークにおけるベストクロックが決定され、その後、ベストクロックは、ネットワークにおけるグランドマスターとなる。グランドマスターから始まって、時刻同期に関連するメッセージがネットワーク上にブロードキャストされる。時刻同期に関連するメッセージを受信したネットワークデバイスは、メッセージを単純に転送するのではなく、直接接続されているネットワークデバイスから時刻同期に関連するメッセージを受信する接続において、以前に決定された遅延時間及び内部処理時間に関する時刻情報を補正し、その後、補正された時刻情報と共に時刻同期に関連するメッセージを再送信する。
【0005】
IEEE802.1AS及びそこで定義されたジェネラライズドプレシジョンタイムプロトコル(gPTP)によるクロック階層の場合、ネットワーク内では常に単一のネットワークデバイスのみがベストクロックを提供する。したがって、このネットワークデバイスが車両の全時間を制御及び調整する。ネットワーク内のネットワークデバイスの他のすべてのクロックは、すべてこの1つのクロックのみに支配される。いくつかの車両製造会社は、このイーサネットタイムマスターにより、他の規格(例えば、CAN)のネットワークさえも同期させる。すなわち、車両内のほとんどすべてのネットワークデバイスは、グランドマスターを提供するネットワークデバイスによってシステム時刻を通知される。その結果、単一のネットワークデバイスがネットワーク又は車両における単一障害点として規定され、そのデバイスの障害又は操作が車両の動作安全性に対して重大な影響を及ぼし得る。そのため、例えば、適切なシステムによる高度な運転者支援を伴うか、又は(半)自律走行のためのシステムを伴う車両では、車両のアクチュエータのための適切な制御信号を導出するために、狭い時間窓内で取得した大量のセンサデータをまとめて処理しなければならない。文書化の目的のため(例えば、故障又は操作の誤りを再現するために分析され得るログファイルに格納する場合)、可能な限り正確にセンサデータの時間記録を行うことも非常に重要であり得る。後者は、特に保険会社及び法執行機関が大きい関心を寄せている。そのため、時刻情報を安全に同期して提供することが重要である。
【0006】
時刻同期に関連する現在の方法及びプロトコルには、グランドマスターを容易に保護する手法が存在しない。各ネットワークデバイスは、ネットワーク内の複数又はすべてのネットワークデバイスに対して単純なマルチキャストイーサネットフレームとして送信される、時刻同期に関連するメッセージから、ネットワーク内のいずれのネットワークデバイスがグランドマスターであるかを容易に推論し得る。IPSEC又はTLSなどの上位プロトコル層での保護機構は、このレベルでは依然として有効ではない。時刻同期に関連するメッセージに含まれるグランドマスターのMACアドレスにより、攻撃者がネットワークデバイスを識別し、とりわけ攻撃を集中させ得る、特に攻撃する価値のある攻撃対象として特定することが容易になっている。
【0007】
ネットワークの時刻同期を使用することにより、通信ネットワークの構成又は構造の変化を検出するためのいくつかの手法が従来技術から知られている。ネットワークの構成に対する不正な変更としては、例えば、攻撃を準備するためにネットワークデバイスを介在させ、このネットワークデバイスがメッセージを解析のために傍受し、必要に応じて、改ざんしたメッセージを再送信することが挙げられる。これは、安全且つ適切な動作を妨げるか又は少なくとも乱すために用いられ得る。
【0008】
独国特許出願公開第102014200558A1号明細書は、認証されたタイミングによる安全なネットワークアクセス保護を記載している。これは、認証プロトコルを用いてタイミングを確保する手法を記載している。時刻同期メッセージの完全性を検証するために、遅延時間が決定され、且つ/又は追加プロトコルが使用される。しかしながら、アプリケーションは、パラメータが変化しているかどうか、またクロックパラメータの品質が実際に正しいかどうかを検出することができない。
【0009】
独国特許第102012216689B4号明細書は、通信ネットワークを介して接続された2つのネットワークノード間の通信接続を監視することにより、自動車内のイーサネットベースの通信ネットワークを監視するための方法と、それに応じて構成されたネットワークノードとを記載している。この場合、通信ネットワークのネットワークノード間の信号の遅延時間を双方向且つ周期的に測定し、信号の遅延時間の変化を評価するようにされている。更に、このタイプの攻撃を検出するために、この出願は、通信ネットワーク内の時刻同期に関連するメッセージの遅延時間を監視することを提案している。2つのネットワークデバイスの間に接続されたメッセージを傍受して転送する追加のネットワークデバイスは、転送されるメッセージが変更されない場合でもメッセージの遅延時間を必然的に変える。
【0010】
独国特許出願公開第102017219209A1号明細書では、時刻同期メッセージが、その妥当性をチェックされる。この文献は、イーサネットメッセージの不正なタイムスタンプを検出するための方法を開示しており、この方法では、自動車の制御ユニットによってタイムスタンプを含むイーサネットメッセージを受信するステップと、タイムスタンプのグローバルタイムと制御ユニットのクロックのローカルタイムとの時間差分を決定するステップと、イーサネットメッセージのタイムスタンプを不正なものとして検出するステップとが実行される。タイムスタンプのグローバルタイムは、タイムスタンプが不正と判定された場合、制御ユニットのクロックのローカルタイムによって置き換えられる。
【0011】
時刻同期プロトコルを用いて、新たな制御デバイスが盗聴器として車両の電気系統に埋め込まれたときを検出する手法も知られている。しかしながら、既知の制御ユニットに対して攻撃/エラーが発生したかどうかを検出することはできない。
【0012】
独国特許出願公開第102015209047A1号明細書は、オーディオビデオブリッジング(AVB)イーサネット通信ネットワークに接続されたノードにおいて時刻同期を提供するための方法を開示している。この方法は、近隣ノードから静的通知メッセージを受信して静的グランドマスターテーブルを形成するステップと、同期メッセージタイマが切れたときに静的グランドマスターテーブルを参照してグランドマスターを再選択するステップと、グランドマスターの再選択に従って静的グランドマスターテーブルを更新するステップとを含む。この方法は、オーディオビデオブリッジング(AVB)イーサネット通信ネットワークにおける同期を迅速にスケジューリングし、ネットワーク負荷を最小化することができる。
【0013】
ベストクロック、いわゆるグランドマスターは、単一障害点である。この1つの制御ユニット若しくはこの1つのコントローラ又は実装形態が攻撃されると、攻撃者は、車両の全時間を操作することができる。これは、例えば、アクションのパフォーマンス、センサデータのフュージョン及びロギングデータの格納に影響し、その結果、システム障害から事故に至るまで壊滅的な影響を与え得る。同期メッセージは、マルチキャストで送信され、したがって多くの、おそらくすべての加入者によって受信され得る。これは、ISO26262の自動方法及び安全性要件を考えると、極めて深刻な脅威を意味する。
【0014】
しかしながら、現在、IEEE802.1AS規格に基本的に準拠しつつ、簡素な手段でグランドマスターを攻撃からどのように保護し得るかという問題に取り組んだ既知のアプリケーションはない。
【0015】
イーサネットベースの時刻同期は、第1に時刻マスターが1つのみあり、第2にグランドマスターの正確な位置がネットワーク上のいずれのポイントでも識別され得るため、車両に単一障害点があることを意味する。
【発明の概要】
【発明が解決しようとする課題】
【0016】
したがって、本発明の目的は、車両の電気系統における時刻同期を確保する方法及び方法を実施するネットワークデバイスを規定することである。
【課題を解決するための手段】
【0017】
上記の目的は、請求項1において規定される方法及び請求項5において規定されるネットワークデバイスによって達成される。実施形態及び更なる発展形態は、それぞれの従属請求項において規定される。
【0018】
時刻同期規格に従って時刻同期が行われるサーバECUにおいて時刻同期を確保するための方法は、サーバECUのコンポーネントの時刻同期を初期化すること、以前に決定されたグランドマスタークロックを提供しないサーバECUのコンポーネントのそれぞれにおいて、初期化中に決定されたグランドマスタークロックの一意クロック識別子を格納すること、サーバECUのコンポーネントから選択されるシャドウコントローラを識別すること、同期メッセージを送信すること、シャドウコントローラに送信時刻を照会すること、グランドマスタークロックを形成するコントローラによってフォローアップメッセージに時刻を挿入し、且つ時刻を再送信すること、以前に決定されたグランドマスタークロックを提供しない選択されたネットワークデバイスにより、時刻同期に関連する追加メッセージを送信すること(206)を含み、時刻同期に関連する追加メッセージで送信された時刻情報並びにまたBMCAによってベストクロックを決定することに関連するクロックパラメータ及びドメイン番号は、以前に決定されたグランドマスタークロックのものと一致するか又はそれらと同等であり、時刻同期に関連する追加メッセージは、それぞれの選択されたネットワークデバイスの識別子に対応する一意クロック識別子を含む。
【0019】
時刻同期の初期化が、攻撃を十分に高い確率で排除できる安全な環境において、例えばセキュアネットワークを含む製品が製造される製造工程の終了時に実行されると特に有利である。とりわけ、例えばあらゆる種類の車両において、初期化後にネットワーク又はその構成が再び変化しない場合、1回限りの初期化で十分であり得る。
【0020】
本発明による方法は、以前に決定されたグランドマスタークロックを提供しない選択されたネットワークデバイスにより、時刻同期に関連する追加メッセージを送信することも含み、時刻同期に関連する追加メッセージで送信された時刻情報並びにまたBMCAによってベストクロックを決定することに関連するクロックパラメータ及びドメイン番号は、以前に決定されたグランドマスタークロックのものと一致するか又はそれらと同等である。しかし、時刻同期に関連する追加メッセージは、それぞれの選択されたネットワークデバイスの識別子に対応する一意クロック識別子を含む。BMCAの実行に関連するクロックパラメータは、特に、IEEE802.1AS規格による変数priority1、priority2、clockClass、clockAccuracy、offsetScaledLogVariance及びtimeSourceの値を含む。したがって、ネットワークトラフィックを盗聴する者には、選択されたネットワークデバイスによって送信される、時刻同期に関連する追加メッセージのそれぞれが、初期化中に決定されたグランドマスタークロックからの時刻同期に関連するメッセージと同様に、グランドマスタークロックから到来するメッセージに見え、すなわち観測者には複数のグランドマスタークロックがネットワークに存在するように見える。
【0021】
好ましくは、選択されたネットワークデバイスは、初期化中に決定されたグランドマスタークロックの周期に対応する周期において、時刻同期に関連する追加メッセージを送信する。したがって、選択されたネットワークデバイスのそれぞれは、あたかもネットワーク内で唯一のクロック且つベストクロックであるかのように挙動する一種の擬似グランドマスタークロックである。時刻同期に関連する追加メッセージは、同じドメイン番号で送信されるため、時刻同期ツリーは、時刻同期に関連するメッセージのネットワーク内での発信の点で異なるという事実にも関わらず、外部の観測者は、擬似グランドマスタークロックを、初期化中に決定されたグランドマスタークロックと区別することができない。
【0022】
選択されたネットワークデバイスは、初期化中に決定されたグランドマスタークロックの一意クロック識別子がすべてのネットワークデバイスに送信されると同時に、時刻同期に関連する追加メッセージの送信を開始することができる。しかしながら、ネットワーク内のすべてのネットワークデバイスの時刻同期が初めて完了した時点でのみ、時刻同期に関連する追加メッセージの送信を開始することも可能である。
【0023】
時刻同期に関連する追加メッセージのそれぞれが、初期化中に決定されたグランドマスタークロックによって送信される、時刻同期に関連するメッセージと同様に、すべてのネットワークデバイスによって規格に準拠して転送される。すなわち、時刻情報が受信リンクの遅延時間及び内部処理時間について補正された後、時刻同期に関連するメッセージは、直接接続された他のネットワークデバイスに送信される。
【0024】
ネットワークデバイスは、物理インターフェースによって互いに接続される。時刻同期に関連するメッセージは、インターフェースに定義された論理ポートを介して送信され、すなわち物理伝送媒体が共有される場合でも、2つのネットワークデバイス間で時刻同期のためのポイントツーポイント接続が存在する。本明細書では、「インターフェース」という用語は、文脈上他の意味であることが明らかでない限り、「ポート」という用語と同義で使用される。
【0025】
本発明による方法は、初期化が完了した後にのみネットワークトラフィックを盗聴し始めた観察者にとって、初期化中に決定されたグランドマスタークロックの識別をかなり困難にするか又は更に不可能にする。
【0026】
グランドマスタークロックに加えて、時刻同期に関連する独自のメッセージを送信し、それによりグランドマスタークロックのふりをするネットワークデバイスの選択は、ネットワークデバイスがネットワーク又はネットワークを含むシステムの動作に不可欠であり、したがって起こり得る攻撃のためのおとりとして使用すべきではないかどうかを判定するためのチェックを含むことができる。例えば、不可欠なネットワークデバイスは、例えば、スイッチ、ブリッジなど、複数のネットワークセグメントを互いに接続するネットワークデバイス又は例えば自動運転若しくは自律走行又は他の安全に関連する機能のためのドメインコンピュータなど、他のネットワークデバイスには引き受けられない機能が実装されるネットワークデバイスである。好ましくは、このようなネットワークデバイスは、選択されない。選択は、ネットワーク内の別のネットワークデバイスによっても実行され得、したがって必要に応じて(例えば、ネットワークデバイスへの攻撃が検出された場合に)これらの他のネットワークデバイスの1つに移転され得る汎用機能又はソフトウェアを実行するようにネットワークデバイスが構成されているかどうかをチェックすることも含み得る。好ましくは、このようなネットワークデバイスは、ネットワークのエッジに位置し、及び/又は安全性に関連しない機能を提供し、且つネットワークの残りの部分から分離されても、攻撃が検出された場合に大きい誤動作を引き起こさないネットワークデバイスと同様に、時刻同期に関連する独自のメッセージを送信するように選択され得る。他のネットワークデバイスが数台のみ接続されているネットワークデバイス、例えばポートが1つのみあり、そのため、近隣のネットワークデバイスが1つのみあり、したがってより容易に分離され得るネットワークデバイスも同様である。好ましくは、時刻同期に関連する独自のメッセージを送信するネットワークデバイスの選択は、特に強力な安全機構を備え、したがってより良好に攻撃に耐えることができるネットワークデバイスも含み得る。単純なケースでは、時刻同期に関連する独自のメッセージを送信するネットワークデバイスの選択は、ネットワークデバイスが製造されたとき又はネットワーク内で動作するように構成されたときに設定されたフラグを読み取ることを含み得る。ネットワークデバイスが、時刻同期に関連する追加メッセージを送信するように構成され得るかどうかを判定するための他の特徴は、適切な機能クエリによって判定され得る。
【0027】
初期化中に決定されたグランドマスタークロックを提供しないネットワークデバイスでは、本発明による方法はまた、第1のネットワークインターフェースにおいて時刻同期に関連するメッセージを受信することと、時刻同期に関連するメッセージで送信されたクロック識別子が、初期化中に決定されたグランドマスタークロックの格納されたクロック識別子と一致するかどうかを判定することのチェックとを含む。クロック識別子が一致した場合、時刻同期に関連するメッセージで受信された時刻情報を使用して、ローカルクロックが同期される。
【0028】
本発明による方法の更なる発展形態は、初期化中に決定されたグランドマスタークロックのクロック識別子を含む、時刻同期に関連するメッセージで送信された時刻情報に対する差分について、時刻同期に関連する追加メッセージで送信された時刻情報を監視することを含む。ネットワークデバイスが、初期化中に決定されたグランドマスタークロックと同期される限り、比較が基づく時刻情報は、ネットワークデバイスのクロックによっても提供され得る。時刻情報の差分が検出された場合、差分が検出されたクロック識別子を含む、時刻同期に関連する追加メッセージがブロックされ得、すなわちネットワークに転送されない。差分がネットワークデバイスへの攻撃の結果であった場合、時刻同期に関連するメッセージは、受手によって確認されないため、1つのポイントのみでネットワークを監視している攻撃者は、ブロックを認識しない。代替的に、時刻同期に関連する受信された追加メッセージで送信された異なる時刻情報は、初期化中に決定されたグランドマスタークロックから受信された時刻情報に基づいて補正及び転送され得る。時刻補正の根拠は、初期化中に決定されたグランドマスタークロックに同期されたローカルクロックでもあり得る。代替的又は追加的に、対応するメッセージは、適切な保護手段を開始及び/又は制御するように構成される、ネットワークの以前に定義されたネットワークデバイスに送信され得る。適切な保護手段としては、例えば、異なる時刻情報を送信しているネットワークデバイス又はそのネットワークデバイスからの個々のストリーム若しくはメッセージをネットワークの他の部分から分離すること或いは対象とするネットワークデバイスを再起動することが挙げられる。
【0029】
本発明による方法の一実施形態は、初期化中に決定されたグランドマスタークロックによる、時刻情報が実際の時刻と異なる、時刻同期に関連するメッセージの散発的又は周期的な送信と、追加メッセージが異なる時刻情報を適宜反映するかどうかに関する、他のネットワークデバイスによって送信される、時刻同期に関連する追加メッセージの監視とを含む。反映しない場合、すなわち同期中の避けられない許容誤差が無視され得る場合、誤動作又は攻撃があり得、初期化中に決定されたグランドマスタークロックを提供するネットワークデバイスは、例えば、異なる時刻情報の変化を反映しないネットワークデバイスをネットワークの残りの部分から分離するために、対応するメッセージを、適切な保護手段を開始及び/又は制御するように構成される、ネットワークの以前に定義されたネットワークデバイスに送信することができる。他のネットワークデバイスによって送信される、時刻同期に関連する追加メッセージが、変更された時刻情報を反映する場合、すべての擬似グランドマスタークロックが規則に従って挙動していると想定され得る。
【0030】
本発明によるコンピュータプログラム製品は、コンピュータによって実行されると、前記コンピュータに、上述した方法の1つ又は複数の実施形態及び更なる発展形態を実行させる命令を含む。
【0031】
タイムマスター機能を実装したコントローラは、特定の割り込みに対応する必要があり、そのためのリソースを確保する必要もある。しかしながら、本発明の開示の結果として、ほとんどすべてのコントローラを使用することができ、その結果、システムのコスト及びリソースが削減される。
【0032】
本方法によって提供される効果、すなわち時刻同期に対する不正な攻撃、通信の歪み及びデバイスの交換に対する保護は、他の方法で且つ更に高い安全レベルでも(例えば、ハードウェア暗号化(又は認証)を使用することによって)達成され得る。本方法により、保護機構をより安価に設けることができ(ISO26262の要件を満たすのに有用)、システムコストも削減される。本方法は、後にOTAを介してインポートすることも可能である。
【0033】
対照的に、車両では、ネットワークに接続されたすべての加入者が、シームレスに暗号化された通信を行うのに十分なハードウェア機器を購入することは、一般に経済的ではない。説明される本方法は、必要とされるハードウェアリソースが大幅に少なく(既存の実装を使用して実行可能であり)、その結果、ネットワーク又はネットワークに接続されたデバイスの製造コストの上昇に必ずしも結び付くことなく、安全性レベルを大幅に向上させる。
【0034】
本方法は、特に、ネットワーク内の加入者の既存のソフトウェア又はファームウェアの更新又はアップグレードとして配信され得るソフトウェアの形態で実施され得、この点で独立した製品である。
【0035】
ソフトウェアベースのアプリケーション(例えば、自動運転)の実行の品質は、有利には、本発明により、特に追加の金銭的支出なしに向上させることができる。新たに導入されたイーサネットプロトコルを自動車で使用する場合、高価な実装及び他の追加のハードウェアなしで済ますことができるように、簡素な技方及び技術の所与の特性を利用する機構が必要とされる。本発明によるネットワークシステムは、コスト及び信頼性の点で改善される。
【0036】
有利には、車両ネットワークの安全性は、本発明により、特に追加の金銭的支出なしに著しく且つ極めて単純に向上され得る。新たに導入されたイーサネットプロトコルを自動車で使用する場合、高価な実装及び他の追加のハードウェアなしで済ますことができるように、簡素な技方及び技術の所与の特性を利用する機構が必要とされる。通信経路の早期解析による攻撃及び異常挙動の早期検出により、車両が納車される前にギャップ及びエラーを識別することができる。本発明によるネットワークシステムは、コスト及び信頼性の点で改善される。本発明によってシステムのテスト容易性がより明確に規定され、これによりテストコストを節約することができる。加えて、本発明は、トランスペアレントな安全性機能を提供する。
【0037】
現在、アプリケーションは、ほとんどの場合、1つのみの車種又はモデルに実装、調整及び適応される。提示される本方法により、ソフトウェアをより柔軟に設計し、あらかじめソフトウェアに恒久的にプログラムすることなく、基盤となるシステムから付加価値のあるサービスをもたらすことができる。現在、実際には最悪のケースを想定しなければならず、これには、リソース(費用)がかかり、品質も落ちる。本発明により、ソフトウェア開発者及びソフトウェアアーキテクトは、より柔軟且つ正確にアプリケーションの要件に合わせることができるソフトウェア/アプリケーションを提供することができる。上述の方法をソフトウェアに組み込むことにより、制御ユニット内で最適化を行うことができる。すなわち、ソフトウェアは、プラットフォーム及び車種に一層依存しないように設計され得る。
【0038】
新しい技術は、もはや自動車のみにとどまり得ない。IP、AVB及びTSNなどのプロトコルには、何千ページもの仕様及びテストスイートがある。これらの新しいプロトコルが自動車で制御可能であることは、現在ところ既知の事実ではない。
【0039】
新しい方法は、既存のデバイスを損なうことなく、既存のネットワークに組み込むことができる。既存のプロトコルを使用できるため、規格に反することはない。
【0040】
本方法の使用は、クロック同期コンポーネント及び埋め込みシステムを備えた他の通信システムでも可能である。
【0041】
コンピュータプログラム製品は、コンピュータ可読媒体又はデータキャリアに格納され得る。データキャリアは、例えば、ハードディスク、CD、DVD又はフラッシュメモリなどとして物理的な実施形態であり得るが、データキャリア又は媒体は、適切な受信機によりコンピュータによって受信することができ、且つコンピュータのメモリに格納することができる変調された電気信号、電磁信号又は光信号も含み得る。
【0042】
本発明によるネットワークデバイスは、少なくとも、マイクロプロセッサと、不揮発性メモリ及び揮発性メモリと、タイマとに加えて、少なくとも1つの物理通信インターフェースを含む。ネットワークデバイスのコンポーネントは、1つ又は複数のデータライン又はデータバスによって互いに通信可能に接続される。ネットワークデバイスのメモリは、マイクロプロセッサによって実行された場合、上述の方法の1つ又は複数の実施形態を実施するようにネットワークデバイスを構成するコンピュータプログラム命令を含む。
【0043】
本発明は、従来容易に見つけることができたグランドマスターの痕跡を、複数の偽の痕跡によって偽装又は隠蔽し、攻撃者がネットワーク内のグランドマスターの位置を定めることをより困難にして、グランドマスターを保護する。これにより、攻撃者は、もはやまったく攻撃ができなくなるか、又は少なくともかなりの時間を必要とすることになる。グランドマスターに同時に直ちに影響を与えない攻撃を検知することができ、必要な精度でシステムを同期させたままで適切な防御手段を取ることができる。
【0044】
本発明による方法は、既存のネットワークデバイスを用いて実行させることができ、必要に応じて、初期化中に決定されたグランドマスタークロックから到来する時刻同期に関連するメッセージのみを使用してクロックを同期させるが、単に削除せず時刻同期に関連する追加メッセージを転送するために、時刻同期に関連するメッセージを受信及び処理するために使用されるソフトウェア又はステートマシンの調整のみが必要とされる。その結果、本方法を実行するための追加コストは、あったとしてもわずかである。既存のシステムも、適切に修正されたソフトウェアを使用することにより、本方法を実行するように構成され得る。本発明による方法の別の利点は、IEEE802.1AS規格に従った同期をサポートする限り、特定の基礎となるハードウェアプラットフォームが関係しないことである。
【0045】
以下では、例を通して図面を参照しながら本発明を説明する。
【図面の簡単な説明】
【0046】
図1】時刻同期規格に従って同期されたネットワークの例示的なブロック図を示す。
図2】攻撃中の図1のネットワークのブロック図を示す。
図3】時刻同期規格に従って同期され、本発明による方法を実施するネットワークの例示的なブロック図を示す。
図4】攻撃中の図3のネットワークの第1のブロック図表現を示す。
図5】攻撃中の図3のネットワークの第2のブロック図表現を示す。
図6】本発明による方法の一態様の概略フローチャートを示す。
図7a】本方法を実施するネットワークデバイスの概略ブロック図を示す。
図7b】コンポーネントを個別に示し、一般的な解決策としての時刻情報の形成を示す、本方法を実施するネットワークデバイスの概略ブロック図を示す。
図8】同期メッセージに含まれるグランドマスターのアドレスを示す。
【発明を実施するための形態】
【0047】
図において、同一又は類似の要素は、同じ参照符号によって参照され得る。
【0048】
図1は、第1のグランドマスタークロックに時刻同期された複数のネットワークデバイス102、104、106と、スイッチ108、110及び112とを有する、時刻同期規格に従って同期されたサーバECU100の例示的なブロック図を示す。この場合、コントローラ102及びスイッチ108、コントローラ102及びスイッチ104、コントローラ104及びスイッチ110、コントローラ104及びスイッチ106並びにコントローラ106及びスイッチ112は、それぞれ双方向通信接続によって互いに接続される。アクセスは、イーサネット又はMDIO若しくはSPIなどの別のバスのいずれかを介する。コントローラ102、104及び106は、双方向通信接続により、図示されていない他のネットワークデバイスにも接続される。サーバECUの各コンポーネント102~112は、時刻同期規格に従って同期され得るタイマを有する。規格で取り決められている手法を実行した後、コントローラ102がシステム全体のグランドマスタークロックとして決定され、すなわち時刻同期に関連するメッセージがコントローラ102からネットワークに送信される。この場合、コントローラ102は、コントローラ102に接続されたコントローラ106及び図示されていない別のネットワークデバイスに対して、時刻同期に関連するメッセージを送信する。時刻同期に関連するメッセージが送信される方向は、通信接続の隣に示されている白抜きの矢印でそれぞれ示されている。スイッチ108は、コントローラ108から受信された時刻情報を、コントローラ102との通信接続について以前に決定された遅延時間並びに補正及び転送のためにスイッチ108で必要とされる時間について補正し、時刻同期に関連する、それに応じて修正されたメッセージを、図示されていない別のネットワークデバイスに再送信する。補正された時刻情報に加えて、時刻同期に関連するメッセージは、システムのグランドマスタークロック(この場合にはコントローラ102)に関する情報も含む。コントローラ104は、これに応じて次の段階に進み、適用可能な遅延時間に関して補正されて、ある時刻同期に関連するメッセージをスイッチ110及び102並びに図示されていない別のネットワークデバイスにもう一度送信する。これに応じて、再度、ネットワークデバイス102は、補正された時刻情報をスイッチ108に送信する。転送前の時刻情報のそれぞれの補正により、ネットワークデバイスのすべてのタイマは、それぞれの転送前の時刻情報の補正における個々の差分に起因する残存する誤差を除いて、グランドマスタークロックの時刻と同期される。グランドマスタークロックは、時刻同期に関連するメッセージをネットワークに周期的に送信し、これらのメッセージは、その後、上述のように再配信される。
【0049】
図1に示すXは、ネットワークトラフィックを盗聴することにより、いずれのネットワークデバイスがグランドマスタークロックを提供しているかを調べようとする攻撃者を表している。盗聴は、ドクロマークが描かれた三角形から出る矢印によって示されている。時刻同期に関連する各メッセージは、クロック識別子と、また送信側及び受信側のそれぞれのMACアドレスとを含むため、ネットワークデバイス102をネットワークのグランドマスタークロックとして識別し、これを攻撃の標的として選択することは、攻撃者にとって容易である。盗聴を示す矢印は、あくまで例として理解されることを意図されており、盗聴及び攻撃は、ネットワーク上のいずれのポイントでも行われ得る。
【0050】
本方法では、本発明の開示は、図1のグランドマスター102を攻撃者から隠すこと又はグランドマスター102を攻撃者から見えなくすることを提案する。本発明の開示は、タイムスタンプが、予約されたタイムスタンプではなく、且つロバスト(これが重要である)であるか、又はタイムスタンプが同じノードから発信され、送信者アドレスが使用されるコントローラ若しくはコントローラソフトウェアによって生成されないことを提案する。
【0051】
図1は、上記の課題の1つの解決法を示す。複数のコントローラ102、104、106と複数のイーサネットスイッチ108、110、112とが組み込まれたサーバECU100が例示されている。例えば、PTP、gPTP又は802.1ASなどの個別の時刻同期ソフトウェアは、これらのコントローラのそれぞれにおいて稼働する。これらのコントローラの1つが「グランドマスター102」である。前記グランドマスターは、自らの送信者アドレスを含む時刻同期メッセージAを送信するが、実際のタイムスタンプ又は基準時刻をスイッチモジュール108から取得する。センサや他の制御デバイスにネットワークを介して外部に送信される時刻同期メッセージDは、コントローラ102からのID(MACアドレス又はIPアドレス)を常に含むが、(保護される必要がある)スイッチからタイムスタンプを取得する。
【0052】
時刻同期メッセージDは、マルチキャストで送信されるため、部外者又は操作されたECU/SW102、104、106によってかなり容易に受信及び解釈され得る。図8に示すように、グランドマスターのアドレスは、メッセージ内にある。
【0053】
ここで、このコントローラ102が攻撃された場合、攻撃者Xが知らない実際のベストクロック102は、攻撃されない。ここで、コントローラ102、104、106又は実行中の時刻同期ソフトウェアは、比較的容易に変えることができ、同じ基盤、すなわち同じスイッチ108、110、112を用いてシームレスに同期を継続することができる。したがって、時間が飛ぶことはない。制御ユニットは、多くのユニットから構成されているため、制御ユニット全体自体をネットワークレベルで直接攻撃することはできない。
【0054】
方法200は、常にアクティブであり得るか、又は特定のユースケースによってトリガされていてもよい。このための動機は、オンラインアクセスがある場合又は継続的な攻撃の疑いがある場合、より高い自動化レベルや安全レベルへの変更であり得る。
【0055】
ここで、実際の時刻を取得することになるコントローラが決定される。これは、スイッチ108、110、112又は別のコントローラ102、104、106であり得、理想的には直接接続できるようになっている。アクセスは、イーサネット又はMDIO若しくはSPIなどの別のバスのいずれかを介する。
【0056】
ここで、コントローラ102の時刻同期ソフトウェアが開始される。このため、タイムスタンプが取得されたスイッチであるシャドウコントローラ108に同期メッセージがsyncメッセージの形態で送信される。「シャドウコントローラ」スイッチ108によるこのメッセージDの送信により、出力において、例えばレジスタにハードウェアタイムスタンプが書き込まれ、メッセージは、修正されずに送信される。この場合、スイッチ108ではなく、コントローラ102の送信者アドレスが使用される。
【0057】
次いで、コントローラ102は、このシャドウコントローラ108にそれぞれのポートのこのレジスタをハードウェアライン又はイーサネット若しくはSPIによって照会し、新たに生成されたフォローアップメッセージに挿入するために、この時刻を取る。次いで、前記メッセージは、(ポート毎に)シャドウコントローラ108に送信され、変更されずに送信される。
【0058】
ここで、実際のコントローラ102がソフトウェアでメッセージを生成しており、フレームを構築したとしても、前記コントローラから発信されたものではない。車両の電気系統の同期は、一定の精度で行われ得る。
【0059】
図2は、別のポイントにおける攻撃中の図1のサーバECU100のブロック図を示す。コントローラ106をグランドマスタークロックとして識別した後、攻撃者は、タイマ自体又はコントローラ106によって送信される、時刻同期に関連するメッセージを操作することを試みることがある。同期により、コントローラを表すボックスの網掛けで示されるように、すべてのネットワークデバイスに操作された時刻情報が取り込まれ、しばらくするとサーバECUのすべてのコントローラが不正な時刻に同期される。このような攻撃が発生した場合、別のスイッチが時刻情報に使用されるために提供される。
【0060】
図3は、IEEE802.1AS規格に従って同期され、本発明による方法を実施するネットワーク100の例示的なブロック図を示す。サーバECUのコントローラ及びスイッチは、図1及び図2のコントローラ及びスイッチに対応当し、図1と同様に、ネットワークデバイス112がグランドマスタークロックとして規定されている。スイッチ112は、時刻同期に関連する適用可能なメッセージをネットワークに送信し、前記メッセージは、白抜きの矢印で示されるように、規格に準拠して時刻情報が補正された後、他のネットワークデバイスによって転送される。しかしながら、本発明によれば、ネットワークデバイスは、時刻同期が初期化された後、時刻同期に関連する追加メッセージをネットワークに送信するように構成される。コントローラ102及びスイッチ110並びに図示されていない別のネットワークデバイスは、それぞれグランドマスタークロックのクロックパラメータ及び時刻情報と同等又は対応するクロックパラメータ及び時刻情報を含む時刻同期に関連する追加メッセージを送信するが、独自の一意クロック識別子と共に送信する。時刻同期に関連するメッセージを表す、追加のグランドマスタークロックから出る矢印は、それに応じて異なって網掛けされている。攻撃者には、異なるコントローラ又はスイッチによって送信されるが、それぞれがグランドマスタークロックから発信され、同じ同期時刻情報を含むように見える、時刻同期に関連する複数のメッセージが見える。これにより、いずれのネットワークデバイス又はいずれのコントローラが実際にグランドマスタークロックを提供しているのかを攻撃者が見出すのは、かなり難しくなる。時刻同期に関連する追加メッセージを送信するコントローラの選択では、コントローラができるだけ分離しやすいもの又は特に攻撃をかわしやすいものであることが考慮される。
【0061】
図4は、攻撃中の図3のサーバECU100の第1のブロック図表現を示す。クロック記号、ネットワークデバイスを表すボックス及び時刻同期に関連するメッセージを表し、ネットワークデバイスから出る矢印の太い斜線の網掛けによって示されるように、攻撃者は、スイッチ108を標的とし、このネットワークデバイスの時刻同期に関連するメッセージに含まれる時刻情報を変えている。コントローラ102は、スイッチ112によって供給される時刻に依然として同期しており、ネットワークデバイス108から到来する時刻同期に関連するメッセージが不正確な時刻情報を含むことを検出する。したがって、スイッチは、「シャドウコントローラ」である。例として、ここで、シャドウコントローラは、スイッチ108から到来する時刻同期に関連するメッセージに含まれる時刻情報を、「本物」のグランドマスタークロックに同期されている自らの時刻に基づいて補正し、これをネットワークに送信することができる。これは、矢印のより細い斜線の網掛けによって示されている。しかしながら、図5に示すように、ネットワークデバイス102は、スイッチ108から到来する時刻同期に関連するメッセージを無視し、これをネットワークに再送信しなくてもよい。
【0062】
図6は、本発明による方法200の一態様の概略フローチャートを示す。ステップ202において、時刻同期が基本的に既知の方法、例えばベストマスタークロックアルゴリズムの実行により初期化され、続いてステップ204において、初期化中に決定されたグランドマスタークロックの一意クロック識別子が格納される。ステップ203において、シャドウコントローラが識別される。ステップ204は、サーバECUの各コントローラにおいて実行され得る。ステップ206において、本発明によれば、以前に決定されたグランドマスタークロックを提供しないサーバECUの選択されたコンポーネントは、時刻同期に関連する追加メッセージを送信する。
【0063】
この時点において、本方法は、様々な方法で続行され得る。通常、初期化中に決定されたグランドマスタークロックからの時刻同期に関連するメッセージと、ステップ206で選択されたコンポーネントによって送信される時刻同期に関連する追加メッセージとは、ステップ208においてほとんどすべてのコンポーネントによって受信される。論理的に、自らが時刻同期に関連するメッセージを送信するコントローラ及びスイッチは、時刻同期に関連する自らのメッセージを受信しない。ステップ210において、各ネットワークデバイスは、時刻同期に関連する受信されたメッセージが、スイッチ108と記される、初期化中に決定されたグランドマスタークロックから発信されているかどうかをチェックする。到来しており、ステップ210において、時刻同期に関連するメッセージが、初期化中に決定されたグランドマスタークロックから発信されている場合、コントローラは、ステップ214で受信接続の遅延を事前に補正した後、ステップ212で自らのタイマを同期させる。ステップ213において、同期メッセージが送信される。ステップ215において、送信時刻がシャドウコントローラ(スイッチ)に照会され、ステップ216において、時刻がフォローアップメッセージに挿入され、シャドウコントローラ又はスイッチ102が再送信する。
【0064】
更なるコンポーネントがコントローラに直接接続されている場合、コントローラは、ステップ214で内部遅延時間を補正した可能性のある時刻情報を含む時刻同期に関連するメッセージを、図8による設定内容のために、ステップ216において、近隣のネットワークデバイスに送信する。
【0065】
加えて、ステップ220において差分を監視することも可能であり、ステップ222において再送信をブロックすることも可能である。次いで、ステップ224において時刻情報を補正することができ、ステップ226においてメッセージDを他のネットワークデバイスに送信することができる。
【0066】
時刻同期に関連するメッセージが、初期化中に決定されたグランドマスタークロックから発信されていない場合、コントローラは、ステップ214において、受信された時刻情報を受信接続時の遅延及び既知の内部遅延について補正し、ステップ216において、補正された時刻情報を含む、時刻同期に関連するメッセージを近隣のコンポーネントに送信する。
【0067】
加えて、ステップ220において、時刻同期に関連する追加メッセージで受信された時刻情報が、初期化中に決定されたグランドマスタークロックのクロック識別子を含む、時刻同期に関連するメッセージで送信された時刻情報と異なるかどうかをチェックすることが可能である。異なっていない場合、これ以上何も行う必要はない。しかしながら、同期中の避けられない許容誤差によって説明できない差分が検出された場合、ステップ222において時刻同期に関連する追加メッセージの転送がブロックされ得る。代替的に、シャドウコントローラに対して、初期化中に決定されたグランドマスタークロックに同期された内部クロックの時刻情報に基づいて、ステップ224において異なる差分時刻を補正した後、遅延時間及び遅延を補正した後に再送信することも可能である。代替的又は追加的に、ステップ226において、メッセージは、保護手段を開始及び/又は制御するように構成される、ネットワークの以前に定義されたスイッチ又はコントローラに送信され得る。
【0068】
図7は、本発明による方法を実行するように構成されたネットワークデバイス400の例示的なブロック図を示す。マイクロプロセッサ402に加えて、ネットワークデバイス400は、揮発性メモリ及び不揮発性メモリ404、406と、2つの通信インターフェース408と、同期可能なタイマ410とを含む。ネットワークデバイスの要素は、1つ又は複数のデータ接続又はデータバス412によって相互に通信可能に接続される。不揮発性メモリ406は、マイクロプロセッサ402によって実行されると、本発明による方法の少なくとも1つの実施形態を実施するプログラム命令を含む。
【0069】
図8は、同期メッセージによってグランドマスターのアドレスがどのように形成され、そこにどのような情報が含まれるかを示す。加えて、攻撃された場合、シャドウコントローラ(108、110、112)を識別することにより、他のコントローラ(102、104、106)に通信を伝えることができる。これにより、グランドマスターが攻撃を受けているかどうかを検出することができる。攻撃を受けている場合、コントローラは、シャドウコントローラを保持したままで変更される。攻撃にも関わらず、ネットワーク及びセンサには何らの制約もなく、時間の飛びも発生しない。
【符号の説明】
【0070】
100 車両ネットワーク
102 SOC、μP又はμC
104 SOC、μP又はμC
106 SOC、μP又はμC
108 スイッチ
110 スイッチ
112 スイッチ
200 方法
202 初期化する
203 シャドウコントローラを識別する
204 格納する
206 送信する
208 受信する
210 クロック識別子をチェックする
212 時刻同期を開始する
213 同期メッセージを送信する
214 時刻を補正する
215 シャドウコントローラ(スイッチ)に送信時刻を照会する
216 フォローアップメッセージに時刻を挿入し、且つ再送信する
220 差分を監視する
222 再送信をブロックする
224 時刻情報を補正する
226 メッセージを送信する
400 ネットワークデバイス
402 マイクロプロセッサ
404 RAM
406 ROM
408 通信インターフェース
410 タイマ/クロック
412 バス
500 イーサネットヘッダ
510 PTPメッセージ
511 グランドマスターのアドレス
512 タイムスタンプ
520 FCS
図1
図2
図3
図4
図5
図6
図7a
図7b
図8
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.