JP2023506908A - イーサネット車載ネットワークの時刻同期を安全にする方法 - Google Patents

イーサネット車載ネットワークの時刻同期を安全にする方法 Download PDF

Info

Publication number
JP2023506908A
JP2023506908A JP2022537050A JP2022537050A JP2023506908A JP 2023506908 A JP2023506908 A JP 2023506908A JP 2022537050 A JP2022537050 A JP 2022537050A JP 2022537050 A JP2022537050 A JP 2022537050A JP 2023506908 A JP2023506908 A JP 2023506908A
Authority
JP
Japan
Prior art keywords
control unit
connection path
ethernet
delay time
vehicle network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022537050A
Other languages
English (en)
Inventor
ツィナー ヘルゲ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Publication of JP2023506908A publication Critical patent/JP2023506908A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0858One way delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0682Clock or time synchronisation in a network by delay compensation, e.g. by compensation of propagation delay or variations thereof, by ranging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/283Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • H04J3/0658Clock or time synchronisation among packet nodes
    • H04J3/0661Clock or time synchronisation among packet nodes using timestamps
    • H04J3/0667Bidirectional timestamps, e.g. NTP or PTP for compensation of clock drift and for compensation of propagation delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/1336Synchronisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Synchronisation In Digital Transmission Systems (AREA)

Abstract

本発明は、自動車(1)のイーサネット車載ネットワーク(2)の時刻同期を安全にする方法であって、イーサネット車載ネットワーク(2)の第1の制御ユニット(3)と、イーサネット車載ネットワーク(2)の第2の制御ユニット(4)との間の第1の接続経路(6)上の第1の信号(10)の遅延時間(9)を決定するステップと、遅延時間(9)に基づいて、第1の接続経路(6)の最大速度(11)を決定するステップと、最大速度(11)に基づいて、第1の接続経路(6)の伝送媒体(12)のタイプを決定するステップと、が実行される。第1の信号(10)の遅延時間(9)と、第1の接続経路(6)の最大速度(11)と、第1の接続経路(6)の伝送媒体(12)のタイプとを決定することにより、第1の接続経路(6)用の少なくとも1つの動的鍵(28)を確かめるために使用されるエントロピーソースが形成され、前記鍵は第1の接続経路(6)の時刻同期メッセージを暗号化するために使用される。

Description

本発明は、互いに同期したネットワークデバイスを含む通信ネットワークに関する。
自動車メーカー(OEM)及び自動車産業のティア1サプライヤーは、車両コントローラ又は電子制御デバイス/制御ユニット(ECU)の次世代アーキテクチャを準備している。開発の1つは、いわゆる「ゾーン指向型アーキテクチャ」であり、このアーキテクチャでは、制御デバイスが、例えばフロント右ドアゾーンなどのゾーンにグループ化される。以前のアーキテクチャとの違いは、特定の物理的又は空間的位置に位置付けられたセンサからデータを最適に捕捉するために、コントローラが、その特定の物理的又は空間的位置に配置される点である。そのため、例えば、フロント右ドアのセンサからデータを収集する制御ユニットは、フロント右ドアゾーンに位置付けられ得る。
他のコントローラ及びプロセッサに対する、フィーチャ及びアプリケーションのソフトウェア実行の局所化又は分散も検討中である。このような局所化又は分散は、最適化の一部であり得、例えば制御デバイスのエラー又は障害時にも使用され得る。この局所化又は分散は、動的マイグレーション又は単にマイグレーションとして知られる。車両内の他の制御デバイス/プロセッサに対するソフトウェアの動的マイグレーションの大量生産がまもなく期待される。
イーサネットは、ネットワーク内の制御デバイスを接続するためによく使用されるネットワークであり得る。イーサネット技術は、車両及びサプライヤー製品の電気システムにとって、ますます人気となっている。イーサネット技術の使用には、効果的な同期概念を必要とする。
既存のイーサネットシステムは、時刻同期規格IEEE802.1ASの実装を使用し得る。特に注目を集めた2つのバリアントは、802.1AS-Revの選択及び802.1AS-Revの時間領域であり、後者は、前者の必須要件である。物理的伝送規格を除く他のプロトコルは、イーサネットAVB及びその後継規格であるイーサネットTSNである。イーサネットAVBは、大量生産の自動車に既に導入されている。イーサネットTSN及びAVBにとって必須のサブ規格は、時刻同期規格IEEE802.1ASであり、これは、上位レイヤLANプロトコル(ブリッジング)のためにメイン規格IEEE802.1に依存する。両規格は、イーサネットネットワークにおいて共通の時間軸を確立するために、IEEE1588のPrecision Time Protocol(PTP)を使用する。
OSIレイヤモデルのレイヤ3では、イーサネット接続は、送信機と受信機との間のデータパケットの伝送のために多数のスイッチングプロトコルをサポートする。より上位のプロトコルレイヤでは、データストリームのパケットへのセグメント化、通信システム間のプロセス通信、システム非依存形式へのデータの翻訳、及び最後にアプリケーションに関する機能の提供が生じる。
車両で使用されるほとんど全てのイーサネット通信ネットワークは、全てのネットワークデバイスで同期するグローバルネットワーク時間軸を提供する時刻同期に関連するプロトコルを使用する。時刻同期ネットワークデバイスの普及は、今後増加し続けることが予期される。
IEEE802.1AS規格は、このような時刻同期に関連したプロトコルを提供する。ネットワーク内のいわゆる「ベストクロック」(グランドマスター又はグランドマスタークロックとしても知られる)に基づいて、マスター/スレーブクロック階層が設定される。グランドマスターは、ネットワーク内の全ての他のネットワークデバイスが同期するネットワークの時間軸を提供する。グランドマスターは、いわゆるBMCA(Best Master Clock Algorithm)を使用して決定され、ネットワーク内でアナウンスされる。これを行うために、IEEE802.1AS準拠ネットワークデバイスは、直接接続された他のネットワークデバイスに対して、内部クロックに関する情報を含むAnnounceメッセージを送信する。内部クロックに関する情報は、各クロックの精度の表示、その基準又は時間基準、及びネットワーク内のベストクロックを決定するために使用され得る他の特性を提供する。このようなAnnounceメッセージの受け手は、受信した情報をそれ自体の内部クロックの特徴及び他のネットワークデバイスのクロックに関連する情報を有する別のポートから既に受信されたメッセージと比較し、別のネットワークデバイスのクロックがより良いクロックパラメータを有する場合は、それを受け入れる。まもなく、ネットワーク内のベストクロックが確かめられ、その後、ネットワーク内のグランドマスターとなる。このグランドマスターに基づいて、時刻同期に関連するメッセージがネットワーク上でブロードキャストされる。時刻同期に関連するメッセージを受信したネットワークデバイスは、単にそのメッセージを転送するのではなく、それが、直接接続されたネットワークデバイスから時刻同期に関連するメッセージを受信するために使用する接続上の前に確かめられた遅延時間に関する時間情報、及び内部処理時間に関する時間情報も訂正した後に、訂正された時間情報と共に時刻同期に関連するメッセージを再送信する。
IEEE802.1AS及びそこで定義されるgPTP(generalized precision time protocol)によるクロック階層の場合、単一のネットワークデバイスのみが、常にネットワーク内のベストクロックを提供する。したがって、このネットワークデバイスが、車両の全時間の制御及び規制を行う。ネットワーク内のネットワークデバイスにおける他の全てのクロックは、この1つのクロックによってのみ支配される。一部の車両メーカーは、このイーサネット時刻マスターによって他の規格(例えば、CAN)のネットワークさえも同期させ、これは、車両のほとんど全てのネットワークデバイスが、グランドマスターを提供するネットワークデバイスによってシステム時刻を知らされることを意味する。その結果、単一のネットワークデバイスが、ネットワーク又は車両における単一障害点と定義され、このデバイスの障害又は操作は、車両の運転安全性に深刻な影響を与え得る。そのため、例えば、適切なシステムによる高度なドライバーサポートを備えた車両、又は(半)自動運転用のシステムを備えた車両において、車両のアクチュエータ用に適切な制御信号を導出するために、狭い時間窓内で捕捉された大量のセンサデータが、一緒に処理されなければならない。センサデータの可能な限り最も正確な時刻登録は、例えば、誤動作又は動作エラーを再構成するために解析することができるログファイルに保存する際に、ドキュメンテーション目的でも非常に重要となり得る。後者は、特に保険会社及び法執行機関にとって非常に興味深い。したがって、安全で、同期された時間情報の提供は必須である。
このタイプの攻撃を検出するために、(特許文献1)は、通信ネットワーク内の時刻同期に関連するメッセージの遅延時間を監視することを提案する。メッセージを傍受し、及び転送する2つのネットワークデバイス間に接続されたさらなるネットワークデバイスは、転送されたメッセージが変更されない場合でも、メッセージの遅延時間を不可避的に変更する。
AUTOSARを使用する例も考慮することによって、制御ユニット間でやり取りされるほとんど全てのデータは、IP、及びその結果としてIPレイヤを用いて伝送され、すなわち、IPレイヤの全てのフィーチャ及びサービスが使用される。ここで、関心の対象は、IPsecである。IPsec(Internet Protocol Securityの略)は、IPネットワーク上の安全な通信を可能にすることを目的とした一連のプロトコルである。その目標は、ネットワークレベルで暗号化に基づくセキュリティを提供することである。IPsecは、コネクションレスインテグリティ、並びにデータのアクセス制御及び認証により、この可能性を提供する。加えて、IPsecは、暗号化によるパケットシーケンスの機密性及び真正性を保証する。
gPTP又は802.1ASの例から分かるように、時刻同期は、IPレイヤを介して伝送されず、むしろ車両においてまだ保護されていない。IPsecなどの同等なプロトコルは、自動車の下位レイヤにはまだ存在していないか、或いははるかに高いコストを招くだろう(例えば、MACsec)。一般に、メッセージは、イーサネットを用いて運ばれる。イーサネットは、ここでは、実際のトランスポートプロトコルであり、すなわち、メッセージは、IPレイヤを介して運ばれない。そこで実装され、及び利用可能な保護機構は、使用することができない。
したがって、時刻同期に関連する現在の方法及びプロトコルは、保護のための簡単な選択肢を提供しない。各ネットワークデバイスは、ネットワーク内の複数又は全てのネットワークデバイスに対して単純なマルチキャストイーサネットフレームとして送信される時刻同期に関連するメッセージから、ネットワーク内のどのネットワークデバイスがグランドマスターであるかを簡単に推論することができる。IPsec又はTLSなどの高位プロトコルレイヤの保護機構は、このレベルでは、まだ有効にすることができない。一方、時刻同期メッセージがIPを介して送信される場合、クロック同期又は実際のデータ融合の精度は失われる。例えば、センサ融合に関連するデータが変更され、及び例えば一緒には属さないカメラ及びレーダーからのデータが融合される場合は、操作は、深刻な影響を与え得る。
ネットワークの時刻同期を使用した通信ネットワークの構成又は構造の変化を検出するための数個の手法が、先行技術から知られている。例として、ネットワークの構成に対する不正変更は、攻撃に備えるためのネットワークデバイスの介入を含み、これは、解析のためにメッセージを傍受し、必要であれば、変更されたメッセージを再送信する。これは、安全且つ適切な動作を阻止するため又は少なくとも中断させるために使用され得る。
独国特許第10 2012 216 689 B4号明細書
したがって、本発明の目的は、時刻同期の保護の向上を保証する方法、その方法を実装する制御デバイス、及び搭載ネットワークを規定することである。
この目的は、請求項1に規定される方法及び請求項11に規定される制御ユニットによって達成される。実施形態及びさらなる発展は、それぞれの従属請求項に規定される。
自動車1のイーサネット車載ネットワーク2の時刻同期を安全にする方法の一実施形態において、
イーサネット車載ネットワーク2の第1の制御ユニット3と、イーサネット車載ネットワーク2の第2の制御ユニット4との間の第1の接続経路6上の第1の信号10の遅延時間9を決定するステップと、
遅延時間9に基づいて、第1の接続経路6の最大速度11を決定するステップと、
最大速度11に基づいて、第1の接続経路6の伝送媒体12のタイプを決定するステップと、
が実行され、
第1の信号10の遅延時間9の決定と、第1の接続経路6の最大速度11の決定と、第1の接続経路6の伝送媒体12のタイプの決定とが、第1の接続経路6の時刻同期メッセージを暗号化するために使用される第1の接続経路6用の少なくとも1つの動的鍵28を確かめるために使用されるエントロピーソースの形成をもたらす。
本方法のさらなる実施形態では、第1の接続経路6用の動的鍵28が、単位時間当たりで、及びリンクごとに、及びイーサネット車載ネットワーク2において固有のものであるように形成される。
本発明のさらなる実施形態は、第1の接続経路6用の動的鍵28が、二地点間ライン遅延及びメッセージ周波数を組み合わせることによって生成される点で特徴付けられる。
本発明のさらなる実施形態は、伝送媒体12のタイプが、イーサネット車載ネットワーク2のプログラム13に伝えられ、プログラム13の接続経路選択14が、伝送媒体12のタイプに応じて適応され、プログラム13が、エントロピーソースの全情報を記録し、及び第1の接続経路6用の動的鍵28が生成される点で特徴付けられる。
本方法のさらなる実施形態では、伝送媒体12のタイプが、光学式、銅、又はワイヤレスとして決定される。
本発明のさらなる実施形態は、第1の接続経路6を介して伝送されるデータの損失の確率を表す伝送セキュリティ値15が、伝送媒体12のタイプに基づいて、第1の接続経路6に割り当てられる点で特徴付けられる。
本方法のさらなる実施形態は、第1の接続経路6上の複数の信号の遅延時間が決定され、複数の信号の最速遅延時間が選択され、最速遅延時間に基づいて、第1の接続経路6の最大速度11が決定される点で特徴付けられる。
本方法のさらなる実施形態は、第1の制御ユニット3と第2の制御ユニット4との間の、第1の接続経路6とは異なる第2の接続経路7上の第2の信号17の遅延時間16が決定され、第2の接続経路7の最大速度11が決定され、第2の接続経路7の伝送媒体19のタイプが、第2の接続経路7の最大速度11に基づいて決定される点で特徴付けられる。
本方法のさらなる実施形態は、第1の制御ユニット3が通常動作モードからエネルギー節約モードへと、及び/又はエネルギー節約モードから通常動作モードへと変更した後に、方法が行われる点で特徴付けられる。
さらなる実施形態では、第1の信号10の遅延時間9が、第1の制御ユニット3を使用して決定され、第2の制御ユニット4とイーサネット車載ネットワーク2の第3の制御ユニット5との間の、第1の制御ユニット3に間接的にのみ接続された第3の接続経路8上の第3の信号22の遅延時間21が、第3の制御ユニット5を使用して決定され、第3の信号22の遅延時間21の決定が、第1の制御ユニット3から第3の制御ユニット5へ送信されたサービスメッセージ20によってトリガされる。
イーサネット車載ネットワーク2用の制御ユニットであって、
イーサネット車載ネットワーク2の第2の制御ユニット4に信号10を送信し、及び第2の制御ユニット4から信号10を受信することと、
第2の制御ユニット4に対する接続経路6上の信号10の遅延時間9を決定することと、
遅延時間9に基づいて、接続経路6の最大速度11を決定することと、
最大速度11に基づいて、接続経路6の伝送媒体12のタイプを決定することと、
を行うように、第1の制御ユニット3として設計され、
この制御ユニット3が、
マイクロプロセッサ402と、
揮発性メモリ404及び不揮発性メモリ406と、
少なくとも2つの通信インタフェース408と、
同期可能タイマ410と、
を少なくとも含み、
不揮発性メモリ406が、マイクロプロセッサ402によって実行されると、請求項1~10に記載された本発明による方法の少なくとも1つの実施形態を実装するプログラム命令を含み、エントロピーソースが、揮発性メモリ404及び/又は不揮発性メモリ406において形成され、接続経路6用の動的鍵28を形成するために、前記エントロピーソースが使用される、制御ユニットの実施形態。
第1の制御ユニット3及び第2の制御ユニット4を有する、自動車1用のイーサネット車載ネットワーク2であって、制御ユニット3、4が、少なくとも1つの接続経路6、7を介して互いに接続され、第1の制御ユニット3が、請求項11に記載されるように設計される、イーサネット車載ネットワーク2の実施形態。
イーサネット車載ネットワーク2の別の実施形態は、イーサネット車載ネットワーク2が、第1の制御ユニット3と間接的にのみ接続され、及び第3の接続経路8を介して第2の制御ユニット4と直接接続される第3の制御ユニット5を有し、第3の制御ユニット5が、第3の接続経路8上の第3の信号22の遅延時間21を決定するように設計され、第1の制御ユニット3が、第3の制御ユニット5へのサービスメッセージ20によって、第3の信号22の遅延時間21の決定をトリガするように設計される点で特徴付けられる。
ある実施形態は、コンピュータプログラム製品によって示される。コンピュータプログラム製品は、コンピュータによってプログラムが実行されると、請求項1~10の1つ又は複数に記載の方法を前記コンピュータに行わせる命令を含む。
ある実施形態は、請求項14に記載のコンピュータプログラム製品が保存されるコンピュータ可読媒体において提供される。
ある実施形態は、イーサネット車載ネットワークを含む、請求項13に記載の複数の制御ユニット3、4、5を有する車両において提供される。
本発明は、イーサネットのエリアにおけるセキュリティを向上させ、したがって、セキュリティの欠陥を補う。さらに、自動車用の車両内イーサネットの使用を容易にする規格化可能な手法が規定される。
本方法は、制御ユニットが、搭載ネットワークを介した第2の制御ユニットへのデータ転送の遅延時間を確かめることを含む。重要な要素は、遅延時間が、第1の制御ユニットから第2の制御ユニットへの伝送経路の実際の物理的状態に基づいて何らかの形態で確かめられること、すなわち、伝送経路の物理的状態又は特性が変化したときに、確かめられた遅延時間に変化をもたらす伝送経路の物理的状態又は特性が存在することである。個々の、及び絶えず変化する鍵は、ライン遅延及びメッセージ周波数に基づいて生成される。この鍵は、単位時間当たりで固有のものであり、また、リンクごとに異なり、ネットワークにおいて2度存在する鍵はない。
つまり、時刻同期メッセージは、エントロピーソースを形成する、接続パートナーに関連する個々のパラメータから導出することができる動的鍵を使用して暗号化される。
二地点間ライン遅延及び水晶振動子の周波数の組み合わせから鍵を生成することは、第1に、鍵が絶えず変化しており、第2に、車両ネットワークの各リンク上で鍵が異なるため、特に鍵を回避しようとする試みに対する耐性を鍵に持たせる。2つの値は、鍵を生成するために、直接組み合わせて使用されてもよく、或いは、例えばアドレスなどの他の静的値(これらは、両制御デバイス又は制御ユニットに知られている必要がある)によって拡張されてもよい。
この文脈では、前に確かめられた遅延時間及びメッセージ周波数の考慮は、セキュリティをさらに向上させるエントロピーソースである。コンピュータ用、特に埋め込みシステム又はネットワークコンポーネント用の一般的な乱数発生器は、例えば電子雑音又は放射性崩壊などの非決定性物理的プロセスがデジタル信号に変換されるという意味では、「真の」乱数発生器ではない。より正確に言えば、ここでは、疑似乱数発生器が使用される。初期化から開始して、これらの発生器は、数値シーケンスを決定性方法で発生させ、多くの場合、初期化のための疑似ランダムシステム事象にも依存する。
本方法によって提供される効果、つまり、不正盗聴、通信のひずみ、及びデバイスのやり取りからの保護は、他のやり方で、及びさらに高いセキュリティレベルで(例えば、制御ユニット又は搭載ネットワークで用いられるハードウェア暗号化を使用することによって)達成することもできる。
一方、車両においては、ネットワークに接続された全ての加入者が、シームレスな暗号化通信に十分なハードウェア機器を装備することは、一般に不経済である。記載した方法は、必要とされるハードウェア資源がはるかに少なく、既存の実装を使用して実行に移すことができ、したがって、これが、搭載ネットワーク又は搭載ネットワークに接続されたデバイスに関する製造コストの増加に必ずしも結び付けられることなく、セキュリティレベルが大幅に向上する。
上記の通り、本方法の主要な利点は、追加のハードウェアさえ使用することなく、時刻暗号化のランダム生成のためのエントロピーのハードウェア関連の生成の手段として、第1の加入者から第2の加入者に到るラインを利用することができる点である。この方法は、特に、ネットワークにおける加入者の既存のソフトウェア又はファームウェアのアップデート又はアップグレードとして配布することができるソフトウェアの形態で実装されてもよく、この点で、独立したソリューションである。
ソフトウェアベースのアプリケーション(例えば、自動運転)の実行の品質は、特に追加の財政支出なしに、本発明によって有利に向上させることができる。本発明による車載ネットワークは、コスト及び信頼性の観点から改善される。その結果、後にメタ情報からより高いレベルの機能性を生じさせるように、ソフトウェアベースの方法を使用して、制御ユニット又は車載ネットワークからメタ情報を生成することができる。
有利に、本発明により、車両ネットワークのセキュリティを大幅に、且つ非常に簡単に向上させることが可能となる。自動車における新しく導入されたイーサネットプロトコルの使用は、高価な実装及びさらに追加のハードウェアなしに実施することができるためには、単純な技術及びテクノロジーの所定の特性を利用する機構を必要とする。通信経路の早期分析による攻撃及び異常な挙動の早期検出は、車両が納品される前に欠陥及びエラーが識別されることを可能にする。本発明による車載ネットワークは、コスト及び信頼性の観点から改善される。車載ネットワークの試験容易性は、本発明によってより明白に定義され、その結果、試験費用を節約することができる。本発明は、トランスペアレントなセキュリティ機能性も提供する。
提示された方法は、車両内のあらゆるリンク、ひいては世界中のあらゆる車両のあらゆるリンクが異なる暗号化を有することを保証する。したがって、この車載ネットワークは、鍵が絶えず変化しており、その上、安全なエントロピーソースに基づくため、同等のシステムよりもかなり安全である。
本発明は、例えばセンサ融合などの分散アプリケーションの品質の向上を可能にする。より良いクロックのアプリケーション特有の決定から得られる利点は、選択されたアプリケーションに関する時刻同期の向上である。これにより、このプロトコル又はたった1つのタイミングノードを有する類似のプロトコルから最大限の精度を実現することが可能となる。これにより、より正確な同期がもたらされ、このことは、より高価な水晶振動子及びコンポーネントなしで済ますことが可能であることを意味する。これは、それ以外の場合に必要とされるバッファストレージにも影響を与え得る(その場合、バッファストレージは、なしで済ませるか又は小さく作ることができる)。したがって、例えばカメラ及びレーダーなどの異なるデータの融合は、改善されること、及びより正確にされることが可能となる。さらに、データのロギングをさらに一層正確にすることができる。
本発明は、より高い品質のプラットフォームに依存しないソフトウェアを実現する。本方法は、ソフトウェアをより柔軟にすることを可能にし、及び基礎となるシステムからの情報が、事前にそれをソフトウェアに永久的にプログラムすることなく使用されることを有利に可能にする。本発明は、ソフトウェア開発者及びソフトウェア設計者が、より柔軟に、及びより正確にアプリケーションの要件に合わせることができるソフトウェア/アプリケーションを提供することを可能にする。前述の方法をソフトウェアに組み込むことにより、ケースごとに、又は制御デバイス内で最適化が生じることが可能となる。これは、ソフトウェアがよりプラットフォームに依存しないようになることを意味する。
本発明の利点は、通常のハードウェアを変更する必要がなく、既存のハードウェアを使用し続けることができる点である。この新しい方法は、既存のデバイス又は制御ユニットを損なうことなく、既存のネットワークに組み込むことができる。既存のプロトコルを使用することができるため、使用される規格に違反することはない。
選択されたネットワークデバイスは、初期化中に確かめられたグランドマスタークロックの固有のクロック識別が全てのネットワークデバイスに送信されるとすぐに、時刻同期に関連する暗号化メッセージを送信し始めることができる。しかしながら、ネットワーク内の全てのネットワークデバイスの最初の時刻同期の完了時にのみ、時刻同期に関連する暗号化メッセージの送信を開始することも可能である。
制御ユニットは、物理的インタフェースを介して互いに接続される。時刻同期に関連するメッセージは、インタフェースに関して定義された論理ポートを介して送信され、これは、物理的伝送媒体が共有される場合であっても、2つのネットワークデバイス間の時刻同期のために二地点間接続が存在することを意味する。本明細書では、インタフェースという用語は、文脈上他の意味を示す場合を除き、ポートという用語と同義に使用される。
本発明によるコンピュータプログラム製品は、コンピュータによって実行されると、1つ又は複数の実施形態及び上記の方法のさらなる発展を前記コンピュータに行わせる命令を含む。
コンピュータプログラム製品は、コンピュータ可読媒体又はデータ担体に保存され得る。データ担体は、物理的実施形態では、例えば、ハードディスク、CD、DVD、フラッシュメモリなどのようなものでもよいが、データ担体又は媒体は、適切な受信機を用いてコンピュータによって受信されることが可能で、及びコンピュータのメモリに保存されることが可能な変調された電気、電磁、又は光信号も含み得る。
少なくとも本発明によれば、制御ユニットは、マイクロプロセッサ、不揮発性及び揮発性メモリ、並びにタイマに加えて、少なくとも1つの物理的通信インタフェースを含む。制御ユニットのコンポーネントは、1つ又は複数のデータライン又はデータバスによって、互いに通信可能に接続される。制御ユニットのメモリは、マイクロプロセッサによって実行されると、上記の方法の1つ又は複数の実施形態を実装するようにネットワークデバイスを構成するコンピュータプログラム命令を含む。
本発明による方法は、既存のネットワークデバイスを使用して実装することができ、必要であれば、クロックを同期させるための初期化中に確かめられたグランドマスタークロックに由来する時刻同期に関連するメッセージを使用するだけでなく、時刻同期に関連するさらなるメッセージを単に削除するのではなく転送するために、ソフトウェアにおける、又は時刻同期に関連するメッセージの受信及び処理に使用される状態機械における調整のみが必要とされる。その結果、実装のために、たとえあったとしても低い追加コストのみが生じる。既存のシステムさえも、適切に変更されたソフトウェアを用いて、本方法を実装するように構成することができる。本発明による方法の別の利点は、特定の基礎となるハードウェアプラットフォームが、それがIEEE802.1AS規格による同期をサポートする限り無関係である点である。
本発明は、図面を参照して、例として以下に説明される。
本発明によるイーサネット車載ネットワークの例示的実施形態を有する自動車の概略平面図を示す。 第1の接続経路、第2の接続経路、及び第3の接続経路を介して接続された第1の制御ユニット、第2の制御ユニット、及び第3の制御ユニットを有するイーサネット車載ネットワークの概略図を示す。 各接続経路の伝送媒体のタイプを決定するための時刻同期メッセージの暗号化のためのフローチャートを示す。 2つの接続された制御デバイスのリンク遅延及びメッセージ周波数の測定の図を示す。 新しい鍵が反復的に生成されるフローチャートを示す。 鍵の第1のパラメータを形成する遅延の測定に関するフローチャートを示す。 鍵の第2のパラメータを形成する個々の水晶振動子の周波数の決定に関するフローチャートを示す。 鍵の計算及びメッセージの送信に関するフローチャートを示す。 経時的な鍵の使用に関するフローチャートを示す。 各接続経路の伝送媒体のタイプの決定に関するフローチャートを示す。 イーサネット車載ネットワークにおけるプログラムの適応に関するフローチャートを示す。 信号の遅延時間の決定及び保存に関するフローチャートを示す。 遅延時間の基準値リストの作成に関するフローチャートを示す。 イーサネット車載ネットワークにおけるプログラムの実例的適応に関するフローチャートを示す。 制御ユニットの通信からの生成された動的鍵を使用した暗号化リンクを示す。 制御ユニットの設計を示す。 復号のためのシーケンスを示す。
図面において、同じ参照符号を使用して、同一又は類似の要素が参照され得る。
図1は、自動車1の平面図を示す。自動車1は、イーサネット車載ネットワーク2を有する。更には、イーサネット車載ネットワーク2は、例示的実施形態によれば、複数の制御ユニット3、4、5を有し、これらは、制御装置又は制御デバイスと呼ばれることもある。この場合、制御ユニットは、接続経路を介して互いに接続される。この例示的実施形態におけるイーサネット車載ネットワーク2の既存のトポロジーのために、制御ユニット間に複数の並列通信経路が存在する。接続経路は、例えば、異なる媒体のタイプ又は材料から形成され得る。
イーサネットバリアントの数が増加するにつれて、例えば、接続速度の動的変化も使用される。これは、例えば、速度が実行時に変更され得ることを意味する。例えば、10Gbit/sの接続経路は、エネルギーが節約されるように、100Mbit/sに変更され得る。これは動的機能であるため、車載ネットワークは、例えば、ソフトウェアアップデート後又は故障状態時と比較して、納品後又は自動車における初期導入後で異なる形態であり得る。
イーサネット車載ネットワーク2は、少なくとも1つの第1の制御ユニット3、第2の制御ユニット4、及びさらに第3の制御ユニット5を有する。第1の制御ユニット3は、第1の接続経路6によって第2の制御ユニット4に接続される。さらに、この例示的実施形態による第1の制御ユニット3は、第2の接続経路7によっても、第2の制御ユニット4に接続される。
第1の制御ユニット3、第2の制御ユニット4、及び/又は第3の制御ユニット5は、例えば、制御デバイス又はネットワークスイッチの形態でもよい。第2の制御ユニット4及び第3の制御ユニット5は、第3の接続経路8によって互いに接続される。
図1の例示的実施形態によれば、第1の制御ユニット3及び第2の制御ユニット4は、第1の接続経路6を介して互いに直接接続される一方で、第1の制御ユニット3及び第2の制御ユニット4は、第2の接続経路7がさらなる制御ユニットによって2つの部分に分けられるため、第2の接続経路7を介して間接的にのみ接続される。しかしながら、別の例示的実施形態によれば、第2の接続経路7は、第1の制御ユニット3及び第2の制御ユニット4を互いに直接接続することもできる。
図2は、イーサネット車載ネットワーク2のさらなる例示的実施形態を示す。イーサネット車載ネットワーク2は、第1の制御ユニット3、第2の制御ユニット4、及び第3の制御ユニット5を有する。さらに、イーサネット車載ネットワーク2は、第1の接続経路6、第2の接続経路7、及び第3の接続経路8も有する。この例示的実施形態によれば、第1の接続経路6上の第1の信号10の遅延時間9が決定される。遅延時間9は、第1の信号10が第1の接続経路6を通って第1の制御ユニット3から第2の制御ユニット4へと(又はその逆も同様)移動中の時間の長さを表す。第1の接続経路6の最大速度11は、第1の信号10の遅延時間9に基づいて決定される。第1の接続経路6の最大速度11は、この場合、例えば、ケーブルの長さ、伝送速度及び/又は媒体のタイプ、又は伝送媒体のタイプに応じて異なる。第1の接続経路6の伝送媒体12のタイプは、最大速度11に基づいて決定される。
この例示的実施形態によれば、伝送媒体12のタイプは、光学式、銅、又はワイヤレスと定義される。光学式の場合、第1の接続経路6は、例えば、光ファイバ接続の形態である。銅の場合、第1の接続経路は、例えば、ツイストペア線を有するケーブル(例えば、非シールドツイストペア(UTP)ケーブル)によって形成される。ワイヤレスの場合、第1の接続経路6は、実質的に無線リンクの形態であり、第1の制御ユニット3及び/又は第2の制御ユニット4は、無線受信機及び/又は無線送信機を有し、又は無線受信機及び/又は無線送信機に接続される。
図3に示されるシーケンスに関連して、制御ユニット3は、搭載ネットワークを介した制御ユニット4へのデータ転送の遅延時間を平均する。重要な要素は、遅延時間が、第1の制御ユニット3から制御ユニット4への伝送経路の実際の物理的状態に基づいて何らかの形態で確かめられること、すなわち、伝送経路の物理的状態又は特性が変化したときに、確かめられた遅延時間に変化をもたらす伝送経路の物理的状態又は特性が存在することである。
この提示された方法は、1つの制御ユニット3が、ネットワークを介した制御ユニット4へのデータ転送の遅延時間を確かめることを含む。これは、任意の所望のやり方で実行され得る。例えば、遅延時間は、例えば時刻同期規格IEEE802.1AS及びそれに含まれるPTPプロトコルに従った、第1の加入者と第2の加入者との間の時刻同期の過程で生じ得る。そのため、例えば、このプロトコルの一部として実装される「遅延要求(Delay Request)」及び「ピア遅延(Peer Delay)」メッセージが、図3に示されるように、データパケットとして使用され得る。しかしながら、この方法は、これに限定されない。重要な要素は、遅延時間が、第1の加入者/制御ユニット3から第2の加入者/制御ユニット4への伝送経路の実際の物理的状態に基づいて何らかの形態で確かめられること、すなわち、伝送経路の物理的状態又は特性が変化したときに、確かめられた遅延時間に変化をもたらす伝送経路の物理的状態又は特性が存在することのみである。
さらに、第1の制御ユニット3は、反対側の制御ユニット4のメッセージ周波数(これは、原理上は、PLL及び水晶振動子の速度から導出される)を確かめる。温度、経年劣化などにより絶えず変化するこれら2つの値から、制御ユニット3は、これらの時刻メッセージを暗号化するための鍵を導出する。
時刻同期メッセージは、生成された動的鍵(これは、一般的に言えば、接続パートナーに関連する個々のパラメータから導出することができる)を使用して暗号化される。
個々の、及び絶えず変化する鍵は、ライン遅延221及びメッセージ周波数213に基づいて生成される。この鍵は、単位時間当たりで固有のものであり、また、リンクごとに異なる。この手法の結果、図15に示されるように、ネットワークにおいて2度存在する鍵はない。二地点間ライン遅延及び水晶振動子の周波数の組み合わせから鍵を生成することは、第1に、鍵が絶えず変化しており、第2に、車両ネットワークの各リンク上で鍵が異なるため、特に鍵を回避しようとする試みに対する耐性を鍵に持たせる。
2つの値は、鍵を生成するために、直接組み合わせて使用されてもよく、或いは、例えばアドレスなどの他の静的値(これらは、両制御デバイスに知られている必要がある)によって拡張されてもよい。
暗号化のための個々の鍵(この鍵は、短い時間だけ有効である)を取得するために、各制御ユニット、両制御ユニットに対して実行することができる方法、又は加入者/リンクパートナーは、そこから乱数値を確かめる。図3に示されるように、鍵は、前の測定に基づいて、反復的に変化し、これは、それらが時刻同期に使用されるため、さらなる努力を意味するものではない。
伝送媒体12のタイプは、イーサネット車載ネットワーク2のプログラム13に伝えられる。プログラム13は、例えば、第1の制御ユニット3、第2の制御ユニット4、又は第3の制御ユニット5、又はイーサネット車載ネットワーク2のさらなる制御ユニットに存在してもよい。伝送媒体12のタイプは、接続経路選択14を適応させるための根拠と見なされる。そのため、プログラム13は、例えば、接続経路選択の前とは異なる接続経路を介してデータを送るために、接続経路選択14を使用することができる。しかしながら、プログラム13は、例えば、接続経路選択14によってデータの送信を中断することもでき、及びそれを後に再開することができる。
この例示的実施形態によれば、伝送セキュリティ値15が、伝送媒体12のタイプに基づいて第1の接続経路6に割り当てられる。伝送セキュリティ値は、接続経路を介して伝送されるデータの損失の確率を表す。すなわち、伝送セキュリティ値15は、どの程度確実にデータを第1の接続経路を介して伝送することができるかに関するステートメントを可能にする。これは、エントロピーソース200に提供される。例えばセキュリティ限界値に到達せず、及びデータが不確実に伝送され得るのみである場合は、データが目的地に遅延して到達すること、又はデータが最新であることを求める要件のためにデータを再び送る価値がない場合は、目的地に全く到達しないことが予期されなければならない。
さらなる例示的実施形態によれば、第1の接続経路6上の複数の信号の遅延時間が決定され、複数の信号の最速遅延時間が選択される。次に、最速遅延時間に基づいて、第1の接続経路6の最大速度11が決定される。
制御ユニットは、遅延測定を開始し、リンクパートナーメッセージの受信を待つ。PTP例を使用したメッセージの受信に基づいて、図6に示されるように、ライン遅延を測定することができる。一方のリンクパートナーが遅延測定を開始すると、他方のリンクパートナーは、必然的にこれに気付き、2つの測定が図3に示されるように関連測定値も生成することができるように、同様に測定を開始すべきである。
説明のために、ここで、PTPの例を使用してプロシージャのデモンストレーションを行う。PTPは、3つの機構を定義する:隣接ノード間のライン遅延の測定、ベストクロックの決定、及び時刻情報の交換。ピア遅延機構の目的は、2つの接続されたポート間の遅延を測定することである。測定された遅延時間は、ノードの時刻情報を訂正し、及びこの時刻を含めるために使用される。Delay_Requestメッセージは、両通信パートナーによって、互いに独立して周期的に送信される。各ノードがIEEE802.1ASに準拠している場合、各ノードは、Delay_Response及びPdelay_Resp_Follow_Upメッセージで応答する。これらのメッセージは、到着次第、ハードウェアタイムスタンプを与えられ、PTPアプリケーションに転送される。これは、待ち時間及び隣接ポートに対する時間差の測定を可能にする。ポート(イニシエータ)は、それに接続されたポート(レスポンダ)に対してDelay_Requestメッセージを送信し、及び出口タイムスタンプt1を生成することによって測定を開始する。この出口タイムスタンプは、イーサネット送受信機を離れる際に可能な限り遅く書き込まれるハードウェアタイムスタンプを示す。このパケットが到着すると、レスポンダは、タイムスタンプt2を生成する。それに応じて、レスポンダは、Delay_Responseメッセージを送信する。このメッセージでは、レスポンダは、Delay_Requestメッセージの受信タイムスタンプt2を伝送する。このメッセージがレスポンダを離れるときに、レスポンダは、今度はタイムスタンプt3を生成し、これは、すぐ後のDelay_Response_Follow_Upメッセージで送信される。イニシエータがDelay_Responseメッセージを受信するときに、イニシエータは、タイムスタンプt4を生成する。イニシエータは、4つのタイムスタンプt1~t4を使用して、カバーされるルートの平均遅延時間を計算することができる。
PTPは、AVBネットワーク内のベストクロックを用いてマスター/スレーブクロック階層を定義する。このネットワーク内のノードの時間軸が、このクロック(グランドマスター)から導出される。BMCA(Best Master Clock Algorithm)を使用することによって、このクロックタイプが決定され、及びネットワークにおいてこの情報がアナウンスされる。IEEE802.1AS準拠システムは、AVBクラウド内のベストクロックに関する情報を用いて周期的Announceメッセージを隣接ノードに送信する。このようなメッセージの受け手は、この情報をそれのクロックの特徴及び別のポートから既に受信されたメッセージと比較する。これらのメッセージに基づいて、時刻同期スパニングツリーが設定される。この過程で、各ポートは、4つのポートステータスの1つを割り当てられる。リンクパートナーよりもグランドマスターまでの短い経路を有するポートは、「マスターポート」ステータスを与えられる。「スレーブ」ステータスは、このノードにおける他のポートがまだこのステータスを有していないときに割り当てられる。PTPプロトコルを完全にサポートすることができないポートによって無効が選択される。「パッシブ」ステータスは、他の3つのステータスの何れも当てはまらない場合に選択される。
時刻情報は、最後に、Sync_Follow_Up機構により交換される。マスターポートは、周期的にSync及びFollow_Upメッセージを隣接するリンクパートナーに送信する。Syncメッセージがマスターポートを離れるときに、後続のFollow_Upメッセージにおいてすぐに伝送されるタイムスタンプが生成される。このタイムスタンプは、Syncメッセージが送信される時点のグランドマスターの現在の時刻に対応する。グランドマスターから生じたメッセージは、転送されるのではなく、スイッチを含む各ノードで再生される。次に、メッセージ周波数から導出される個々の水晶振動子の周波数を決定するための測定を開始する。この周波数は、図3に示されるようなPTP例を使用したメッセージの受信に基づいて計算することができる。リンクパートナーも同時に周波数を測定していることは必ずしも明白であるとは限らず、このことは、周波数測定が絶えず実行されるべきである理由である。
第2の接続経路7及び/又は第3の接続経路8の伝送媒体12のタイプも、上記の手法に類似して決定することができる。それぞれの記録値は、異なり、秘密のままであり、及び毎回制御デバイスに保存され、及びネットワーク上で伝送もされない(伝送されなければならないものでもない)。単なる試行による鍵の発見は、十分に起こりそうもないことである。個々の鍵は、2つの値を考慮することによって生成される。第1に、各水晶振動子の周波数が異なり、第2に、各リンクのライン遅延が異なる。ここでは、2つの変動値が合計されることにより、推測することがさらに難しい第3の値(鍵の値)が得られる。ライン遅延は、一般的に、50~500ナノ秒の範囲内であり得、周波数は、パラメータであり、及び+/-ppm単位で提供される。往復ライン遅延は、同じチャネルに基づき、これは、リンクの両側の計算値が同一である理由である。したがって、パラメータは交換される必要がない。
NRRは、このポートに接続された接続の他端におけるTimeawareシステムのLocalClockユニットの周波数と、この時限システムのLocalClockユニットの周波数との間の測定比率を決定する。
Time Awarenessシステムは、ここでは、制御ユニットと同等と見なすことができる。
また、NRRは、それが交換される必要なしに、両パートナーが入手可能である。送信ノードは、メッセージが正確にいつ送信されたか(ハードウェアタイムスタンプ)を知っており、受信ノードは、前のライン測定から、このメッセージが正確にいつ送信されたかを知る。
これは、両パートナーが、鍵を生成するために同じ値をほとんど同時に有することを意味する。一方のリンクパートナーは、最後の測定から得られたこれら2つの値を使用して暗号化を行い、他方のリンクパートナーは、その最後の値を使用して復号を行う。
したがって、第2の接続経路7上の第2の信号17の遅延時間16が決定される規定も存在する。次に、第2の信号17の遅延時間16に基づいて、第2の接続経路7の最大速度18が決定される。更には、第2の接続経路7の伝送媒体19のタイプが、第2の接続経路7の最大速度18に基づいて決定される。
図9に示唆されるように、新しいライン測定が実行されない限り、現在の鍵A1を使用することが有益である。このようにして、リンクパートナーは、新しいライン測定が事前に開始されていなければ、どの鍵を使用すべきかを常に分かっている。新しい鍵は、周期的に(例えば、事前定義周波数)生成されるべきであり/生成することができ、又は必要に応じてトリガによって、若しくは常に重要なメッセージが送信される直前に開始されるべきである/開始することができる。
第1の制御ユニット3及び第2の制御ユニット4の両方、並びに第3の制御ユニット5も、通常動作モード又はエネルギー節約モードで動作することができる。エネルギー節約モードでは、各制御ユニットは、通常動作モードの場合よりも少ないエネルギーを消費する。例えば、エネルギー節約モードでは、各制御ユニットのポートの速度は、通常動作モードの速度と比較して低下させることができる。ポートの低下した速度は、次に、各接続経路の各最大速度にも影響を与える。
さらなる例示的実施形態によれば、サービスメッセージ20が、第1の制御ユニット3から第3の制御ユニット5へと送信され得る。次に、第3の信号22の遅延時間21の決定が、サービスメッセージ20によってトリガされる。第3の信号22は、第2の制御ユニット4と第3の制御ユニット5との間で送信される。この例示的実施形態によれば、第3の信号22の遅延時間21は、第3の制御ユニット5によって決定される。
図7は、遅延時間を決定する方法の概要を提供する。ステップS1では、第1の信号10の遅延時間9が決定される。ステップS2では、伝送媒体12のタイプが決定される。最後に、ステップS3では、プログラム13が適応される。
図8は、各パラメータ又は伝送媒体12のタイプに割り当てられた各パラメータの計算に関するフローチャートを示す。ステップS4において、第1の信号10の遅延時間9が決定される。その結果、ステップS5において、伝送媒体12のタイプを決定することができる。更には、伝送媒体12のタイプは、以下のパラメータ:速度23、媒体24、ケーブル長25、送電26、ビット誤り率27を含み得る。最後に、ステップS6において、プログラム13の適応及び接続経路選択14が次に続く。
この例示的実施形態によれば、接続された制御ユニット又はコントローラ間の信号の遅延時間を測定することが提案される。例えば、規格IEEE1588又はIEEE802.1ASの方法を使用して、遅延時間9、16、及び21を測定することができる。方法は、各遅延時間9、16、及び21を決定するために、例えばTTEthernet(time triggered Ethernet)によっても提供され得る。
図12は、各遅延時間9、16、及び21の決定を示す。遅延時間の局所及び非局所問い合わせを説明する。特に少なくとも1つの制御ユニットで実行されるプログラム13は、好ましくは、まず、局所遅延時間、又は2つ以上の制御ユニットが直接接続される場合は複数の遅延時間を局所的に決定する。次に、他の制御ユニットが、好ましくは、サービス指向型の方法(例えば、SOME/IP(Scalable Service-Oriented Middleware over IP))によって、隣接制御ユニットに対する遅延時間を問い合わせされる。これは、一元的に、又は分散して実装され得る。問い合わせは、システム起動時、システム定義時、又はソフトウェアアップデート後に一度実行されてもよく、又は動的変化を検出するために周期的に行われてもよい。次に、これらのデータは、初めて保存され、及び割り当てが行われる(特に制御ユニットのアドレスを含む)。
ステップS7において、直接接続された制御ユニットに対する各遅延時間が決定される。ステップS8において、他の接続経路の各遅延時間が問い合わせされる。ステップS9において、各遅延時間及びそれらの関連接続パートナーが保存される。
図13は、基準測定に基づいて、他の速度を導出するさらなる方法を示す。例えば、現在の温度が非常に高く、又は不十分なケーブルが使用されている場合、事前に保存された値は、場合によっては不正確過ぎる場合がある。したがって、アプリケーション又はプログラム13自体が、特に、それ自体のパラメータ、及び次にそれらから導出及び計算することができる他の速度を考慮して、それ自体の制御ユニットで測定を実行することが提案される。
ステップS10において、局所イーサネットポートごとに1つの解析が実行される。ステップS11において、チャネルパラメータが既知であるか否かの試験が行われる。既知でなければ、ステップS12が後に続き、本方法は終了する。既知であれば、ステップS13が後に続き、ステップS13において、各遅延時間9、16、及び21が決定される。ステップS14において、保存が行われ、決定された遅延時間は、チャネルパラメータに関連付けられる。ステップS15において、基準値のリストが作成される。
図14は、伝送媒体12、19のタイプの知識を用いた可能な最適化を示す。ステップS16において、伝送媒体12、19のタイプが銅であるか否かの決定が行われる。銅であれば、ステップS17が後に続き、ステップS17において、PoDL(Power over Data Lines)、すなわちイーサネットを通した電力の供給が可能であることが確認される。ステップS16の決定が、媒体が銅ではないということであれば、ステップS18が後に続く。ステップS18において、伝送媒体12のタイプが光学式であるか否かを確かめるための検査が行われる。光学式である場合は、ステップS19が後に続く。ステップS19では、結果としてビット誤り率がより低く、及びこの接続経路の信頼性が結果としてより高いことが分かる。ステップS20において、必要とされない場合は、制御ユニット3、4、5のRX(受信ユニット)又はTX(送信ユニット)の動作を停止させるオプションが提供される。
ステップS18の決定が、伝送媒体12の媒体又はタイプが光学式ではないということであれば、ステップS21において、関連接続経路としての各接続経路が、直接MII(Media Independent Interface)接続の形態であると仮定される。この場合、各制御ユニットは、例えばIEEE P802.1CB(Frame Replication and Elimination for Redundancy)に適している。
伝送速度の知識から、さらなるオプションが生じる。現在のデータストリームと組み合わせて、データは、例えば高帯域幅接続を使用して意図的に伝送することができ、その結果、必要とされない他の接続経路は、動作を停止させることができ、したがって、エネルギーの節約が可能となる。
加えて、高帯域幅接続の場合、冗長機構(例えば、IEEE 802.1CB)を使用するオプションがある。この場合、データは、冗長なやり方で連続的に伝送されるため、この目的のために高帯域幅が必要とされる。伝送経路の速度に応じてアプリケーションを適応させることも考えられる。カメラは、例えば、リンク又は接続経路6、7、8の速度に応じて伝送されるように、画像データの解像度を適応させることができる。
マイクロプロセッサ402に加えて、制御ユニット3、4、5は、揮発性メモリ404及び不揮発性メモリ406、2つの通信インタフェース408、及び同期可能タイマ410を含む。ネットワークデバイスの要素は、1つ又は複数のデータ接続又はデータバス412を介して互いに通信可能に接続される。不揮発性メモリ406は、マイクロプロセッサ402によって実行されると、本発明による方法の少なくとも1つの実施形態を実装するプログラム命令を含み、エントロピーソースが、揮発性メモリ404及び/又は不揮発性メモリ406において形成され、次に、接続経路6用の動的鍵28を形成するために、前記エントロピーソースが使用される。復号中の動的鍵の復号シーケンスが図17に示される。
1 自動車
2 イーサネット車載ネットワーク
3 第1の制御ユニット
4 第2の制御ユニット
5 第3の制御ユニット
6 第1の接続経路
7 第2の接続経路
8 第3の接続経路
9 第1の信号の遅延時間
10 第1の信号
11 第1の接続経路の最大速度
12 第1の接続経路の伝送媒体のタイプ
13 プログラム
14 接続経路選択
15 伝送セキュリティ値
16 第2の信号の遅延時間
17 第2の信号
18 第2の接続経路の最大速度
19 第2の接続経路の伝送媒体のタイプ
20 サービスメッセージ
21 第3の信号の遅延時間
22 第3の信号
23 速度
24 媒体
25 ケーブル長
26 送電
27 ビット誤り率
28 動的鍵
29 時刻同期メッセージ
200 エントロピーソース
211 時刻t1における送信
212 時刻t4における受信
213 時刻t4における受信
221 時刻t2における受信
222 時刻t3における送信
223 時刻t3における遅延送信
300 時刻t5における暗号化メッセージ
400 制御ユニット
402 マイクロプロセッサ
404 RAM
406 ROM
408 通信インタフェース
410 タイマ
412 バス/通信インタフェース
1001 暗号化メッセージを受信する
1002 ライン遅延の測定及び周波数測定を開始する
1003 最後のライン測定及び周波数パラメータを要求する
1004 鍵を生成する
1005 メッセージを復号する
A1 ライン遅延1の計算及び水晶振動子の周波数1の計算
A2 ライン遅延2の計算及び水晶振動子の周波数2の計算
B1 ライン遅延1の計算及び水晶振動子の周波数1の計算
B2 ライン遅延2の計算及び水晶振動子の周波数2の計算

Claims (16)

  1. 自動車(1)のイーサネット車載ネットワーク(2)の時刻同期を安全にする方法であって、以下のステップ:
    前記イーサネット車載ネットワーク(2)の第1の制御ユニット(3)と、前記イーサネット車載ネットワーク(2)の第2の制御ユニット(4)との間の第1の接続経路(6)上の第1の信号(10)の遅延時間(9)を決定するステップと、
    前記遅延時間(9)に基づいて、前記第1の接続経路(6)の最大速度(11)を決定するステップと、
    前記最大速度(11)に基づいて、前記第1の接続経路(6)の伝送媒体(12)のタイプを決定するステップと、
    が実行され、
    前記第1の信号(10)の前記遅延時間(9)の前記決定と、前記第1の接続経路(6)の前記最大速度(11)の前記決定と、前記第1の接続経路(6)の前記伝送媒体(12)の前記タイプの前記決定とが、前記第1の接続経路(6)の時刻同期メッセージを暗号化するために使用される前記第1の接続経路(6)用の少なくとも1つの動的鍵(28)を確かめるために使用されるエントロピーソースの形成をもたらすことを特徴とする、方法。
  2. 前記第1の接続経路(6)用の前記動的鍵(28)が、単位時間当たりで、リンクごとに、及び前記イーサネット車載ネットワーク(2)において固有のものであることを特徴とする、請求項1に記載の方法。
  3. 前記第1の接続経路(6)用の前記動的鍵(28)が、二地点間ライン遅延及びメッセージ周波数を組み合わせることによって生成されることを特徴とする、請求項1又は2に記載の方法。
  4. 前記伝送媒体(12)の前記タイプが、前記イーサネット車載ネットワーク(2)のプログラム(13)に伝えられ、前記プログラム(13)の接続経路選択(14)が、前記伝送媒体(12)の前記タイプに応じて適応され、前記プログラム(13)が、前記エントロピーソースの全情報を記録し、及び前記第1の接続経路(6)用の前記動的鍵(28)が生成されることを特徴とする、請求項1~3の何れか一項に記載の方法。
  5. 前記伝送媒体(12)の前記タイプが、光学式、銅、又はワイヤレスとして決定されることを特徴とする、請求項1~3の何れか一項に記載の方法。
  6. 前記第1の接続経路(6)を介して伝送されるデータの損失の確率を表す伝送セキュリティ値(15)が、前記伝送媒体(12)の前記タイプに基づいて、前記第1の接続経路(6)に割り当てられることを特徴とする、請求項1~5の何れか一項に記載の方法。
  7. 前記第1の接続経路(6)上の複数の信号の遅延時間が決定され、前記複数の信号の最速遅延時間が選択され、前記最速遅延時間に基づいて、前記第1の接続経路(6)の前記最大速度(11)が決定されることを特徴とする、請求項1~6の何れか一項に記載の方法。
  8. 前記第1の制御ユニット(3)と前記第2の制御ユニット(4)との間の、前記第1の接続経路(6)とは異なる第2の接続経路(7)上の第2の信号(17)の遅延時間(16)が決定され、前記第2の接続経路(7)の最大速度(11)が決定され、前記第2の接続経路(7)の伝送媒体(19)のタイプが、前記第2の接続経路(7)の前記最大速度(11)に基づいて決定されることを特徴とする、請求項1~7の何れか一項に記載の方法。
  9. 前記第1の制御ユニット(3)が通常動作モードからエネルギー節約モードへと、及び/又は前記エネルギー節約モードから前記通常動作モードへと変更した後に、前記方法が行われることを特徴とする、請求項1~8の何れか一項に記載の方法。
  10. 前記第1の信号(10)の前記遅延時間(9)が、前記第1の制御ユニット(3)を使用して決定され、前記第2の制御ユニット(4)と前記イーサネット車載ネットワーク(2)の第3の制御ユニット(5)との間の、前記第1の制御ユニット(3)に間接的にのみ接続された第3の接続経路(8)上の第3の信号(22)の遅延時間(21)が、前記第3の制御ユニット(5)を使用して決定され、前記第3の信号(22)の前記遅延時間(21)の前記決定が、前記第1の制御ユニット(3)から前記第3の制御ユニット(5)へ送信されたサービスメッセージ(20)によってトリガされることを特徴とする、請求項1~9の何れか一項に記載の方法。
  11. イーサネット車載ネットワーク(2)用の制御ユニットであって、
    前記イーサネット車載ネットワーク(2)の第2の制御ユニット(4)に信号(10)を送信し、及び前記第2の制御ユニット(4)から前記信号(10)を受信することと、
    前記第2の制御ユニット(4)に対する接続経路(6)上の前記信号(10)の遅延時間(9)を決定することと、
    前記遅延時間(9)に基づいて、前記接続経路(6)の最大速度(11)を決定することと、
    前記最大速度(11)に基づいて、前記接続経路(6)の伝送媒体(12)のタイプを決定することと、
    を行うように、第1の制御ユニット(3)として設計され、
    前記制御ユニット(3)が、
    マイクロプロセッサ(402)と、
    揮発性メモリ(404)及び不揮発性メモリ(406)と、
    少なくとも2つの通信インタフェース(408)と、
    同期可能タイマ(410)と、
    を少なくとも含み、
    前記不揮発性メモリ(406)が、前記マイクロプロセッサ(402)によって実行されると、請求項1~10の何れか一項に記載の本発明による前記方法の少なくとも1つの実施形態を実装するプログラム命令を含み、前記エントロピーソースが、前記揮発性メモリ(404)及び/又は前記不揮発性メモリ(406)において形成され、前記接続経路(6)用の前記動的鍵(28)を形成するために、前記エントロピーソースが使用されることを特徴とする、制御ユニット。
  12. 第1の制御ユニット(3)及び第2の制御ユニット(4)を有する、自動車(1)用のイーサネット車載ネットワーク(2)であって、前記制御ユニット(3、4)が、少なくとも1つの接続経路(6、7)を介して互いに接続され、前記第1の制御ユニット(3)が、請求項11に記載のように設計される、イーサネット車載ネットワーク(2)。
  13. 前記イーサネット車載ネットワーク(2)が、前記第1の制御ユニット(3)と間接的にのみ接続され、及び第3の接続経路(8)を介して前記第2の制御ユニット(4)と直接接続される第3の制御ユニット(5)を有し、前記第3の制御ユニット(5)が、前記第3の接続経路(8)上の第3の信号(22)の遅延時間(21)を決定するように設計され、前記第1の制御ユニット(3)が、前記第3の制御ユニット(5)へのサービスメッセージ(20)によって、前記第3の信号(22)の前記遅延時間(21)の前記決定をトリガするように設計されることを特徴とする、請求項12に記載のイーサネット車載ネットワーク(2)。
  14. コンピュータによってプログラムが実行されると、請求項1~10の何れか一項に記載の前記方法を前記コンピュータに行わせる命令を含む、コンピュータプログラム製品。
  15. 請求項14に記載の前記コンピュータプログラム製品が保存される、コンピュータ可読媒体。
  16. イーサネット車載ネットワークを含む、請求項13に記載の複数の制御ユニット(3、4、5)を有する、車両。
JP2022537050A 2019-12-18 2020-12-16 イーサネット車載ネットワークの時刻同期を安全にする方法 Pending JP2023506908A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102019220096.6 2019-12-18
DE102019220096.6A DE102019220096B4 (de) 2019-12-18 2019-12-18 Verfahren zur Absicherung der Zeitsynchronisation eines Ethernet-Bordnetzes
PCT/EP2020/086467 WO2021122778A1 (de) 2019-12-18 2020-12-16 Verfahren zur absicherung der zeitsynchronisation eines ethernet-bordnetzes

Publications (1)

Publication Number Publication Date
JP2023506908A true JP2023506908A (ja) 2023-02-20

Family

ID=74125186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022537050A Pending JP2023506908A (ja) 2019-12-18 2020-12-16 イーサネット車載ネットワークの時刻同期を安全にする方法

Country Status (6)

Country Link
US (1) US20230006751A1 (ja)
EP (1) EP4078921B1 (ja)
JP (1) JP2023506908A (ja)
CN (1) CN114846769A (ja)
DE (1) DE102019220096B4 (ja)
WO (1) WO2021122778A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389736B (zh) * 2021-12-15 2023-05-09 中国电子科技集团公司第三十研究所 一种基于长短期记忆网络的时间同步安全监测方法及系统
DE102022116903B3 (de) 2022-07-06 2023-11-30 Cariad Se Verfahren zum Betreiben eines Netzwerks eines Kraftfahrzeugs mittels eines Netzwerksystems des Kraftfahrzeugs, Computerprogrammprodukt sowie Netzwerksystem
DE102022213582A1 (de) 2022-12-13 2024-06-13 Continental Automotive Technologies GmbH Authentifizierungsgerät für ein Fahrzeug

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003273856A (ja) * 2002-03-14 2003-09-26 Communication Research Laboratory 通信装置および通信方法
JP2004254120A (ja) * 2003-02-20 2004-09-09 Toyota Motor Corp 暗号化通信方法、移動端末および移動体
JP2007181078A (ja) * 2005-12-28 2007-07-12 Doshisha アクセスポイントとステーション間における無線lan認証方法、および、無線lan通信方法
US20150236940A1 (en) * 2012-09-18 2015-08-20 Continental Automotive Gmbh Method for monitoring an Ethernet-based communication network in a motor vehicle
JP2015230728A (ja) * 2014-06-03 2015-12-21 パスロジ株式会社 取引システム、取引方法、ならびに、情報記録媒体
US20180034794A1 (en) * 2016-07-29 2018-02-01 Nxp B.V. Method and apparatus for updating an encryption key
JP2018145766A (ja) * 2017-03-09 2018-09-20 トヨタ自動車株式会社 施解錠システム、キーユニット、サーバ
WO2019001929A1 (de) * 2017-06-28 2019-01-03 Bayerische Motoren Werke Aktiengesellschaft Verfahren, computer-lesbares medium, system, und fahrzeug umfassend das system zum validieren einer zeitfunktion eines masters und der clients in einem netzwerk eines fahrzeugs

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005025328B4 (de) * 2005-05-31 2007-06-28 Siemens Ag Verfahren zur Übertragung von Synchronisierungs-Nachrichten
US8767954B2 (en) * 2011-12-01 2014-07-01 Colloid, Llc Methods and systems for deriving a cryptographic framework
CN105379409B (zh) * 2013-03-15 2019-09-27 凯萨股份有限公司 Ehf安全通信设备
EP3198810B1 (en) * 2014-09-24 2019-01-30 Foundation for Research and Technology Hellas FORTH Dynamic max-min fair rate regulation apparatuses, methods and systems
DE102015206169A1 (de) * 2015-04-07 2016-10-13 Robert Bosch Gmbh Verfahren zum Betreiben eines Bordnetzes
DE102018205264B3 (de) * 2018-04-09 2019-10-10 Continental Automotive Gmbh Verfahren zum Betreiben eines Ethernet-Bordnetzes eines Kraftfahrzeugs, Steuereinheit und Ethernet-Bordnetz

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003273856A (ja) * 2002-03-14 2003-09-26 Communication Research Laboratory 通信装置および通信方法
JP2004254120A (ja) * 2003-02-20 2004-09-09 Toyota Motor Corp 暗号化通信方法、移動端末および移動体
JP2007181078A (ja) * 2005-12-28 2007-07-12 Doshisha アクセスポイントとステーション間における無線lan認証方法、および、無線lan通信方法
US20150236940A1 (en) * 2012-09-18 2015-08-20 Continental Automotive Gmbh Method for monitoring an Ethernet-based communication network in a motor vehicle
JP2015230728A (ja) * 2014-06-03 2015-12-21 パスロジ株式会社 取引システム、取引方法、ならびに、情報記録媒体
US20180034794A1 (en) * 2016-07-29 2018-02-01 Nxp B.V. Method and apparatus for updating an encryption key
JP2018145766A (ja) * 2017-03-09 2018-09-20 トヨタ自動車株式会社 施解錠システム、キーユニット、サーバ
WO2019001929A1 (de) * 2017-06-28 2019-01-03 Bayerische Motoren Werke Aktiengesellschaft Verfahren, computer-lesbares medium, system, und fahrzeug umfassend das system zum validieren einer zeitfunktion eines masters und der clients in einem netzwerk eines fahrzeugs
US20190363815A1 (en) * 2017-06-28 2019-11-28 Bayerische Motoren Werke Aktiengesellschaft Method, Computer-Readable Medium, System, and Vehicle Comprising the System for Validating a Time Function of a Master and the Clients in a Network of a Vehicle

Also Published As

Publication number Publication date
US20230006751A1 (en) 2023-01-05
CN114846769A (zh) 2022-08-02
EP4078921A1 (de) 2022-10-26
DE102019220096B4 (de) 2021-09-16
DE102019220096A1 (de) 2021-06-24
EP4078921B1 (de) 2023-12-06
WO2021122778A1 (de) 2021-06-24

Similar Documents

Publication Publication Date Title
JP6870072B2 (ja) ネットワークタイミング同期
JP2023506908A (ja) イーサネット車載ネットワークの時刻同期を安全にする方法
Bello et al. A perspective on IEEE time-sensitive networking for industrial communication and automation systems
US11251891B2 (en) Method for identifying an incorrect time stamp of an ethernet message and control unit for a motor vehicle
JP7516517B2 (ja) イーサネットオンボードネットワークのセンサデータの有効性を検証するための方法
US8325616B2 (en) Method and system for determination and exchange of network timing information
US11647045B2 (en) Monitoring a network connection for eavesdropping
JP7322297B2 (ja) 通信ネットワークを介して接続されたネットワークデバイス間の時刻同期を最適化する方法
US20230155806A1 (en) Method and System for Performing Time-Synchronization Between Units of a Communication Bus System
KR20230088416A (ko) 시간 동기화 프로토콜에 의해 제어 장치 온도를 결정하기 위한 방법
US11740652B2 (en) Method for synchronizing clocks of at least two devices
EP4208992A1 (en) Safety extension for precision time protocol (ptp)
CN114616772A (zh) 用于保护网络中的时间同步免受未经授权的更改的方法
JP2023507143A (ja) サーバecuにおいて時刻同期を確保するための方法
JP2020065176A (ja) 情報処理装置、管理装置
US20240267390A1 (en) Techniques to Detect Attacks for Time Synchronization Networking
NASCIMENTO Design and Development of IDS for AVB/TSN
Chowdhury Packet Timing: Precision Time Protocol
Kumaraswamy et al. Enabling the Security of Global Time in Software-Defined-Vehicles (SGTS, MACsec)
Kakade et al. Vulnerability Analysis of Time Synchronization in Automotive Ethernet
Aravind et al. AI-Enabled Unified Diagnostic Services: Ensuring Secure and Efficient OTA Updates Over Ethernet/IP
TSN 7 Protocols for Automotive Ethernet

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220616

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231004

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240305

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240731

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240819