ROEDER JUERGEN (DE)
| EP1653643A1 | 2006-05-03 | |||
| US4658099A | 1987-04-14 |
"IEEE P802.1AS/D7.7 Draft Standard for Local and Metropolitan Area Networksâ Timing and Synchronization for Time- Sensitive Applications in Bridged Local Area Networks ; 802-1AS-d7-7", IEEE DRAFT; 802-1AS-D7-7, IEEE-SA, PISCATAWAY, NJ USA, vol. 802.1, no. d7-7, 11 November 2010 (2010-11-11), pages 1 - 296, XP017638134
LISHOY FRANCIS ET AL: "Practical NFC Peer-to-Peer Relay Attack using Mobile Phones", INTERNATIONAL ASSOCIATION FOR CRYPTOLOGIC RESEARCH,, vol. 20100428:135139, 23 April 2010 (2010-04-23), pages 1 - 15, XP061004466
JÜRGEN RÖDER: "IP/Ethernet Challenges in serial projects Next steps of pre-development", 19 September 2012 (2012-09-19), XP055088654, Retrieved from the Internet
| Patentansprüche Verfahren zur Überwachung eines Ethernet-basierten Kommunikationsnetzwerks (3) in einem Kraftfahrzeug durch Überwachung der Kommunikationsverbindung zwischen zwei über das Kommunikationsnetzwerk (3) verbundene Netzwerk knoten (1, 2) , d a d u r c h g e k e n n z e i c h n e t , dass die Laufzeit der Signale zwischen Netz¬ werkknoten (1, 2) des Kommunikationsnetzwerks (3) bidi¬ rektional und zyklisch gemessen wird und Änderungen in der Signallaufzeit bewertet werden. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass zur Messung der Laufzeit der Sig¬ nale ein Netzwerkknoten (1) eine Anfrage-Nachricht (5) an den anderen Netzwerkknoten (2) aussendet, welche Anfrage-Nachricht (5) die Sendezeit (ti) enthält, und der andere Netzwerkknoten (2) die Empfangszeit (t2) proto¬ kolliert . Verfahren nach Anspruch 2, d a d u r c h g e k e n n z e i c h n e t , dass der andere Netzwerkknoten (2) die Empfangszeit (t2) der Anfrage-Nachricht (5) in einer Antwort-Nachricht (6) an den einen Netzwerkknoten (2) aussendet . Verfahren nach Anspruch 3, d a d u r c h g e k e n n z e i c h n e t , dass der andere Netzwerkknoten (2) die Sendezeit (t3) der Antwort-Nachricht (6) protokolliert und in einer Nachfolge-Antwort-Nachricht (7) an den ei¬ nen Netzwerkknoten (1) aussendet, wobei der eine Netzwerkknoten (1) die Empfangszeit (t<i) der Antwort- Nachricht (7) protokolliert . Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass die Sig- nallaufzeit zwischen allen Netzwerkknoten (1, 2) des Kommunikationsnetzwerks (3) gemessen wird. 6. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass das zeitliche Verhalten der Signallaufzeit zwischen zwei Netzwerkknoten (1, 2) analyisert und ein über einem Schwellwert liegender Anstieg der Signallaufzeit als In diz für das Zwischenschalten eines Net zwerkanalysators (4) gewertet wird. 7. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass Verände¬ rungen in der Signallaufzeit protokolliert werden, die beteiligten Netzwerkknoten (1, 2) deaktiviert werden, die geänderten Signallaufzeiten der Anwendung eines Netzwerkknotens (1, 2) mitgeteilt werden und/oder das Zwischenschalten eines Diagnosegeräts erkannt und ein spezieller Betriebsmodus von Netzwerkknoten (1, 2) akti viert wird . 8. Netzwerkknoten eines Kraftfahrzeugs, der über ein Ether net-basiertes Kommunikationsnetzwerk (3) mit mindestens einem anderen Netzwerkknoten (1, 2) verbindbar ist und eine Recheneinheit aufweist, d a d u r c h g e ¬ k e n n z e i c h n e t , dass die Recheneinheit des Netzwerkknotens (1, 2) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 7 eingerichtet ist. |
Verfahren zur Überwachung eines Ethernet-basierten Kommunikationsnetzwerks in einem Kraftfahrzeug
Die Erfindung betrifft ein Verfahren zur Überwachung eines Ethernet-basierten Kommunikationsnetzwerkes in einem Kraft ¬ fahrzeug sowie einen zur Durchführung des Verfahrens einge ¬ richteten Netzwerkknoten, beispielsweise in Form eines Steu- ergeräts. Das Verfahren dient insbesondere zur Überwachung auf Fehler in dem Kommunikationsnetzwerk und/oder auf Änderungen der Net zwerktopologie . Dazu ist eine Überwachung der Kommunikationsverbindung zwischen zwei insbesondere als elektronische Steuergeräte ausgebildeten und über das Kommu- nikationsnet z verbundenen Netzwerkknoten vorgesehen.
Die Ethernet-basierte Kommunikation erfolgt nach dem soge ¬ nannten OSI-Schichtenmodell, in dem jeder Schicht bestimmte Aufgaben zugewiesen werden, die durch die Instanzen (Geräte und Software) der jeweiligen Schicht für das Funktionieren der Kommunikationen geleistet werden müssen. Dabei stellt jede Instanz einer Schicht entsprechend dem normierten Netzwerkprotokoll Dienste zur Verfügung, die eine darüber liegen ¬ de Instanz nutzen kann, ohne sich darum kümmern zu müssen, auf welche Weise und mit welchen technischen Mitteln die da ¬ runterliegende Instanz die ihr obliegenden Aufgaben löst. Zwischen den verschiedenen Schichten sind als entsprechende Schnittstellen definiert. Die untersten beiden Schichten, nämlich die Bitübertragungsschicht (Physical Layer) und die Sicherungsschicht (Data Link Layer) gemäß dem OSI-Schichtenmodell, dienen der physischen Datenübertragung, wobei die unterste Schicht (Bitübertra ¬ gungsschicht) die Hilfsmittel zur Aktivierung bzw. Deaktivie- rung der physischen Verbindung zur Verfügung stellt und die zweitunterste Schicht (Sicherungsschicht) den Zugriff auf das Übertragungsmedium steuert, insbesondere mittels einer Me- dienzugriffssteuerung (MAC - Media Access Control). Diese Si ¬ cherungsschicht erkennt auch, welche Teilnehmergeräte als Netzwerkknoten mit ihrer eineindeutigen MAC-Adresse an der Kommunikation teilnehmen. Daher eignet sich diese Schicht grundsätzlich auch für eine Überwachung des Netzwerks im Hinblick auf an der Kommunikation teilnehmende Netzwerkknoten.
Die darüber liegenden Schichten des OSI-Schichtenmodells be ¬ reiten die bei der physischen Datenübertragung übertragenen Daten stufenweise zur Verteilung an verschiedene Anwendungen vor. Hierauf muss im Rahmen der Erfindung nicht weiter eingegangen werden.
Da eine Überwachung der Teilnehmer an dem Kommunikationsnet z- werk grundsätzlich erst in Kenntnis deren Adressierung, d. h. deren MAC-Adressen oder anderen eindeutigen Identifikationsmerkmalen, in dem Netzwerk möglich ist, besteht potentiell ein Angriffspotential bei einem Ethernet-basierten Kommunika ¬ tionssystem darin, dass die Verbindung zwischen zwei Steuer- geräten bzw. Netzwerkknoten in der untersten Schicht des OSI- Schichtmodells (Bitübertragungsschicht, Physical Layer) auf ¬ getrennt werden kann, ohne dass das dazwischengeschaltete Ge ¬ rät an der eigentlichen Netzwerkkommunikation teilnimmt und eine eigene MAC-Adresse aufweist. Ein solches Gerät ist daher bereits in der Sicherungsschicht (Data Link Layer) nicht er ¬ kennbar .
Derartige Net zwerkanalysatoren, die in der Bitübertragungs ¬ schicht des OSI-Schichtenmodells in ein Kommunikationssystem eingesetzt werden können, werden als Tap (Test Access Point) bezeichnet, der direkt in eine Netzwerkverbindung eingefügt werden kann, beispielsweise durch Einschieifen in die Kabelverbindung. Diese Taps spiegeln den Full-Duplex-Datenverkehr auf dieser Verbindung und geben ihn beispielsweise an eine an den Tap angeschlossene Analyseeinheit oder Datensammelstelle aus, die die Daten auslesen kann. Aufgrund der reinen Datenspiegelung handelt es sich bei den Taps um passive Komponen- ten des Kommunikationsnetzwerks, die keine MAC oder IP- Adresse aufweisen und eine Rückwärtskommunikation des an den Tap angeschlossenen Sensors in das Kommunikationsnetzwerk nicht zulassen. Derartige Taps sind somit in dem Netzwerk selbst nicht als Kommunikationsteilnehmer erkennbar und auch nicht adressierbar.
Dies stellt gerade bei sicherheitsrelevanten Anwendungen, wie sie im Kraftfahrzeug vorliegen, ein gewisses Gefahrenpotenti- al dar. Wenn beispielsweise durch Fahrerassistenzsysteme aus ¬ gewertete Informationen übertragen werden, ist es notwendig festzustellen, ob diese Informationen mitgelesen werden. Ein derartiges Mitlesen kann einen gezielten Angriff auf das Kommunikationssystem des Kraftfahrzeugs vorbereiten, beispiels- weise durch Bekanntwerden benutzter Schlüssel oder Netzwerkadressen .
Aufgabe der vorliegenden Erfindung ist es daher, einen Eingriff in das Kommunikationsnetzwerk des Kraftfahrzeugs auch auf der technischen Bitübertragungsschicht zu erkennen, auf der lediglich der physische Datenverkehr abgewickelt wird.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Anspruchs 1 gelöst. Bei dem Verfahren der eingangs genannten Art ist dazu vorgesehen, dass die physi ¬ sche Laufzeit der Signale zwischen vorzugsweise jeweils zwei Netzwerkknoten des Kommunikationsnetzwerks bidirektional und zyklisch gemessen wird und Änderungen in der Signallaufzeit bewertet werden.
Hintergrund dieser erfinderischen Idee ist es, dass die Taps als Datenpaketkopierer zwar in dem Netzwerk nicht als eigene Netzwerkknoten, d. h. Teilnehmer an der Netzwerkkommunikation, in Erscheinung treten und damit in der Sicherungsschicht nicht erkennbar sind, jedoch für das Kopieren der Datenpakete und die Durchleitung des Signals durch den Tap eine bestimmte Signallaufzeit benötigen, die die Signallaufzeit gegenüber einer direkten Kabelverbindung zwischen den zwei Netzwerkknoten verlängert.
Während ein normales Ethernet beispielsweise bei einer Ver- netzung von Computern als internes oder sogar externes Netzwerk (Internet) in der Regel nicht statisch ist, so dass sich die Signallaufzeiten zwischen zwei Netzwerkknoten auch im regulären Betrieb ggf. häufiger ändern können, ist ein Fahrzeugnetz statisch aufgebaut, weil Steuergeräte und Netzwerk- knoten in der Regel nur im Fehlerfall getauscht werden und dies nur in einer hierfür autorisierten Werkstatt erfolgen kann. In einem statischen Kommunikationsnetzwerk, wie es bspw. in einem Kraftfahrzeug vorliegt, schwanken die Signal ¬ laufzeiten dagegen nicht, abgesehen von kleineren, nicht sig- nifikanten Abweichungen beispielsweise aufgrund eines übli ¬ chen Jitters oder temperaturbedingten Laufzeitunterschieden. Diese Eigenschaft macht sich die vorliegende Erfindung zunut ¬ ze, um durch Feststellen von Veränderungen in der Signallaufzeit zwischen zwei Netzwerkknoten zu erkennen, ob in den sta- tischen Aufbau des Netzwerks (Netzwerktopologie) ggf. auf der untersten Schicht (Bitübertragungsschicht) eingegriffen wur ¬ de. Beispielsweise anhand von Schwellenwerten oder anderen Kriterien können festgestellte Änderungen in der Signallaufzeit dann bewertet werden, so dass Änderungen in der Signal- laufzeit festgestellt und dadurch das Kommunikationsnetzwerk insgesamt überwacht wird. Beispielsweise lässt sich eine Sig ¬ nallaufzeit durch die Parameter der Bitübertragungsschicht (PHY-Parameter ) und die Art der Verkabelung (Kupfer, Lichtkabel, etc.) berechnen. Bei einem Gigabit Ethernet System mit einem Cat5e Kabel entsteht zwischen zwei verbundenen Instanzen der Bitübertragungsschicht (PHY) eine Verzögerung von et ¬ wa 400 ns .
Die Überwachung erfolgt erfindungsgemäß bidirektional, d. h. in jede Kommunikationsrichtung des Kommunikationsnetzwerks, und zyklisch, d. h. in vorgegebenen bzw. vorgebbaren Zeitabständen, so dass Veränderungen zuverlässig festgestellt wer- den können. Die zyklischen Messungen ermöglichen auch eine Unterscheidung, ob beispielsweise aufgrund einer Gerätealte ¬ rung eine schleichende Signallaufzeiterhöhung stattfindet, oder ob ein abrupter Signallaufzeitwechsel bei zuvor über ei- nen längeren Zeitraum im Wesentlichen konstanten Signallaufzeiten auftritt. Der letztgenannte Fall deutet auf ein Auf ¬ trennen der Signalverbindung zwischen den beiden Netzwerkknoten hin und kann entsprechend als Überwachungsfall gemeldet werden .
In einer bevorzugten Ausgestaltung des vorgeschlagenen Verfahrens kann vorgesehen sein, dass zur Messung der Signallaufzeit der Signale zwischen den Netzwerkknoten ein (nachfolgend auch als sendender Netzwerkknoten bezeichneter) Netz- werkknoten eine Anfrage-Nachricht an den anderen (nachfolgend auch als empfangenden Netzwerkknoten bezeichneten) Netzwerkknoten aussendet, welche die Sendezeit der Anfrage-Nachricht enthält, und der andere (empfangende) Netzwerkknoten die Emp ¬ fangszeit protokolliert.
Das Einbinden der Sendezeit in die Anfrage-Nachricht kann beispielsweise in Form eines Sendezeitstempels ti erfolgen, der von dem die Nachricht sendenden Sendeempfänger des einen (sendenden) Netzwerkknotens unmittelbar vor dem Aussenden er- zeugt und noch in die Anfrage-Nachricht eingebunden wird.
Hierdurch wird näherungsweise eine Messung der tatsächlichen Signallaufzeit der Signale (Datenpakete) erreicht. Ein bezo ¬ gen auf die tatsächliche Aussendung möglicherweise stattfin ¬ dender, systematischer Offset fällt bei der Betrachtung von Veränderungen der Laufzeit weg, da hier jeweils die Differenz zweier Signallaufzeiten betrachtet wird.
Die Protokollierung der Empfangszeit kann vorzugsweise da ¬ durch erfolgen, dass in dem anderen (empfangenden) Netzwerk- knoten ein Empfangszeitstempel t2 erzeugt wird, so dass durch Differenz der Zeitwerte des Empfangszeitstempels t2 und des Ausgangszeitstempels ti die Signallaufzeit ermittelt wird. Der andere (empfangende) Netzwerkknoten ist somit unmittelbar in der Lage, die Signallaufzeit von dem einen (sendenden) Netzwerkknoten zu dem anderen (empfangenden) Netzwerkknoten zu bestimmen und bei zyklischen Messungen Veränderungen festzustellen und zu bewerten.
Die Rolle von sendendem und empfangendem Netzwerkknoten kann erfindungsgemäß immer wieder wechseln, da die Anfrage-Nachrichten zyklisch und bidirektional ausgesendet werden können, d. h. in jede Kommunikationsrichtung zwischen den beiden Netzwerkknoten. Die Anfrage-Nachrichten können auch in beide Richtungen parallel gesendet werden. Insofern spricht die vorliegende Erfindung bewusst von dem „einen" Netzwerkknoten und dem „anderen" Netzwerkknoten in dem Kommunikationsnetzwerk. Diese Bezeichnung bezieht sich auf die eine Messung der Signallaufzeit zu einem bestimmten Zeitpunkt ausgehend von einem bestimmten Netzwerkknoten, ohne dass der eine physische Netzwerkknoten immer dem „einen" Netzwerkknoten entsprechen muss, der die Anfrage-Nachricht aussendet.
Gemäß einer bevorzugten Weiterentwicklung des vorgeschlagenen Verfahrens zur Messung der Signallaufzeit kann der andere (empfangende) Netzwerkknoten die Empfangszeit der Anfrage- Nachricht, insbesondere also den Empfangszeitstempel t2, in einer Antwort-Nachricht an den einen (ursprünglich sendenden) Netzwerkknoten aussenden. Dadurch kann die Auswertung sowohl in dem ursprünglich sendenden als auch in dem ursprünglich empfangenden Netzwerkknoten erfolgen.
Um im Rahmen eines Messzyklus auch eine bidirektionale Mes ¬ sung der Signallaufzeiten zu erreichen, kann gemäß einer erfindungsgemäßen Variante des vorgeschlagenen Verfahrens bei der Messung der Signallaufzeit vorgesehen sein, dass der andere (empfangende) Netzwerkknoten die Sendezeit der Antwort- Nachricht an den einen (ursprünglich sendenden) Netzwerkknoten protokolliert, beispielsweise in Form eines Antwortzeit ¬ stempels t 3 , der analog zu dem Ausgangszeitstempel ti erzeugt werden kann, und in einer Nachfolge-Antwort-Nachricht an den einen (ursprünglich sendenden) Netzwerkknoten aussendet.
Der eine (ursprünglich die Anfrage-Nachricht sendende) Netz- werkknoten protokolliert dann (beispielsweise auch in Form eines Antwortempfangszeitstempels t^) die Empfangszeit der Nachfolge-Antwort-Nachricht, so dass durch Differenz des Emp ¬ fangs- und des Sendezeitpunkts der Nachfolge-Antwort-Nach ¬ richt die Laufzeit auch in der anderen Kommunikationsrichtung der bidirektionalen Kommunikationsverbindung zwischen den Netzwerkknoten ermittelt werden kann.
Durch eine vorzugsweise statistische Auswertung der vielen gewonnenen Messwerte kann beispielsweise der Mittelwert der Laufzeiten gebildet und die typische Schwankungsbreite ermit ¬ telt werden. Sobald ein Wert statistisch signifikant außerhalb dieser Schwankungsbreite liegt, beispielsweise außerhalb eines 3o-Bereichs einer Gaußverteilung, wird eine Störung in der direkten Kommunikationsverbindung angenommen, die bei ei- ner Verlängerung der Signallaufzeit als Zwischenschalten eines zusätzlichen Kommunikationsteilnehmers gewertet werden kann .
Grundsätzlich sind derartige Nachrichten als Teil von Messun- gen der Signallaufzeit gemäß den Standards IEEE 1588, IE ¬ EE 802.1AS (als Teil von Ethernet AVB) oder des auch für die Automobilindustrie relevanten TTEthernet zur Synchronisation der Uhren eines aus verteilten Netzwerkknoten bzw. Steuergeräten aufgebauten Kommunikationsnetzwerks bekannt. Die gemäß dieser Technik bekannten Protokolle können auch erfindungsgemäß genutzt werden, wobei grundsätzlich auch proprietäre Lö ¬ sungen, d. h. eigenständige Netzwerkprotokolle zur Messung der Signallaufzeiten zwischen dem Netzwerkknoten in Kraftfahrzeugen, geschaffen werden können.
Gemäß einer besonders bevorzugten Variante des erfindungsge ¬ mäß vorgeschlagenen Verfahrens kann vorgesehen sein, dass die Signallaufzeit zwischen allen Netzwerkknoten des Kommunikati ¬ onsnetzwerks gemessen wird, vorzugsweise jeweils als Signal ¬ laufzeit zwischen zwei ausgewählten Netzwerkknoten. Hieraus kann beispielsweise eine Signallaufzeitkarte des Kommunikati- onsnetzwerks erstellt werden. Daraus können einfach signifikante Änderungen der Signallaufzeit zwischen den einzelnen Netzwerknoten abgelesen werden, beispielsweise wenn diese Signallaufzeitkarte jeweils die mittlere Signallaufzeit zwi ¬ schen zwei Netzwerkknoten und deren typische Schwankungsbrei- te enthält. So ist es auch einfach möglich festzustellen, ob eine Signallaufzeitänderung nur eine spezielle Kommunikati ¬ onsverbindung zwischen zwei Steuergeräten betrifft oder das gesamte Netzwerk. In letzterem Fall ist eher ein globaler Fehler der Netzwerkstruktur und/oder Netzwerksteuerung anzu- nehmen, wohingegen eine plötzliche Erhöhung eine Signallauf ¬ zeit ausschließlich zwischen zwei bestimmten Netzwerkknoten auf das Zwischenschalten eines Mitlesegerätes (Net zwerkanaly- sator, Tap) hindeutet. Zu nicht signifikanten Veränderungen der Signallaufzeit gehören normale, statistisch auftretende LaufZeitveränderungen oder LaufZeitveränderungen aufgrund von Temperaturschwankungen, die jedoch in der Regel klein sind. Auch kann eine geringe Überlast am Netzwerkknoten auftreten, der die Signalan- nähme bzw. die dabei ausgeführten Rechenoperationen etwas verzögert. Derartige LaufZeitveränderungen können durch Festlegen Schwellenwerte unberücksichtigt bleiben, wenn die Lauf ¬ zeitveränderungen die festgelegten Schwellwerte nicht überschreiben .
Aufgrund der zyklischen Messung ist es auch möglich, Schwellenwerte dynamisch aus den sich zyklisch wiederholenden Signallaufzeitmessungen abzuleiten, und so beispielsweise einer Alterung der Elektronikkomponenten in dem Fahrzeug Rechnung zu tragen, ohne dass es zu Fehlbewertungen bei der Überwa ¬ chung des Kommunikationsnetzwerks kommt. Eine besonders bevorzugten Ausführung des vorgeschlagenen Verfahrens sieht vor, dass das zeitliche Verhalten der Sig ¬ nallaufzeit zwischen zwei Netzwerkknoten analysiert und ein über einem Schwellenwert von beispielsweise zusätzlich 200 ns oder einem anderen vorgegebenen Schwellenwert liegender Anstieg der Signallaufzeit, insbesondere ausschließlich zwi ¬ schen den zwei beteiligten Netzwerkknoten, als Indiz für das Zwischenschalten eines Net zwerkanalysators beispielsweise in Form eines Tap, gewertet wird.
Zur Bewertung der Veränderung in der Signallaufzeit kann erfindungsgemäß vorgesehen sein, dass beispielsweise über einem Schwellwert liegende Veränderungen in der Signallaufzeit pro ¬ tokolliert werden, die beteiligten Netzwerkknoten insbesonde- re in Form beispielsweise sogar sicherheitsrelevanter Steuergeräte deaktiviert werden, die geänderten Signallaufzeiten der Anwendung eines Netzwerkknotens insbesondere eines Steu ¬ ergeräts mitgeteilt werden und/oder das Zwischenschalten eines Diagnosegeräts erkannt wird. Bei Erkennen eines Diagnose- gerätes aufgrund der durchgeführten Signallaufzeit-Überwachung des Kommunikationsnetzwerks kann erfindungsgemäß auch ein spezieller Betriebsmodus von Netzwerkknoten respektive Steuergeräten aktiviert werden. Bei dauerhaft geänderten Signallaufzeiten, die nicht auf ei ¬ nen zu meldenden Überwachungsfall hindeuten, ist es bei ¬ spielsweise auch möglich, die QoS(Quality of Service ) -Anfor ¬ derungen der beteiligten Steuergeräte anzupassen, um Fehlermeldungen in dem System zu vermeiden und die Steuergeräte über die zu erwartenden Signallaufzeiten zu informieren, so dass diese ggf. bei zeitkritischen Sicherheitsanwendungen entsprechend berücksichtigt werden können. Ferner können Ga ¬ teway-Verzögerungen zwischen verschiedenen Bussystemen, beispielsweise zwischen Ethernet und einem Fahrzeugbus (CAN oder dgl . ) vorberechnet werden. Außerdem ist eine Ferndiagnose der Verbindungen über die Netzwerkknoten so möglich, um eine Überlastung bestimmter Verbindungen beispielsweise in einer Lastkarte des Kommunikationsnetzwerks anzuzeigen.
Erfindungsgemäß kann es auch sinnvoll sein, weitere in dem Fahrzeug verbaute Sensoren für die Bewertung von Signallauf ¬ zeitveränderungen heranzuziehen, die auftretenden Laufzeitverzögerungen ggf. erklären können. Ein sinnvolles Beispiel hierfür ist die Antenne, die beispielsweise über Ethernet in das Fahrzeugbussystem eingebunden ist und für die Fahrzeug- zu-Umgebung-Kommunikation genutzt wird. Wenn diese Antenne im Sommer sehr heiß ist und das Fahrzeug in eine Waschanlage einfährt, in der die Antenne sehr schnell abgekühlt wird, kann dies zu Performanceschwankungen der elektronischen Komponenten der Antenne und/oder des Zeitsynchronisationsproto- kolls führen. Dies kann beispielsweise über einen Temperatursensor in der Antenne erkannt werden, so dass Signallaufzeit ¬ veränderungen in Folge einer starken Temperaturänderung der Antenne entsprechend bewertet werden können. Die Art der insgesamt erfindungsgemäß vorgeschlagenen Überwa ¬ chung hilft auch, zusätzliche komplexe und/oder rechenintensive Sicherheitsprotokolle einzusparen. Hierdurch wird das Kommunikationsnetzwerk insgesamt entlastet. Ferner bezieht sich die Erfindung auf Netzwerksknoten, insbesondere Steuergeräte, eines Kraftfahrzeugs, die über ein Ethernet-basiertes Kommunikationsnetzwerk mit mindestens ei ¬ nem anderen Netzwerkknoten oder Steuergerät verbindbar oder verbunden sind und eine Recheneinheit aufweisen, die erfin- dungsgemäß zur Durchführung des vorbeschriebenen Verfahrens oder Teilen hiervon eingerichtet ist.
Weitere Vorteile, Merkmale oder Anwendungsmöglichkeiten der Erfindung ergeben sich auch aus der nachfolgenden Beschrei- bung eines Ausführungsbeispiels und der Zeichnung. Dabei bil ¬ den alle beschriebenen und/oder bildlich dargestellte Merkmale für sich oder in beliebiger Kombination den Gegenstand der vorliegenden Erfindung, auch unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbezügen. Es zeigen:
Fig. 1 schematisch den Ablauf einer Kommunikation zwischen zwei Netzwerkknoten eines Ethernet-basierten Kommunikationsnetzwerks nach dem OSI-Schichtenmodell; schematisch den Kommunikationsablauf zwischen den zwei Netzwerkknoten gemäß Fig. 1 bei Zwischenschal tung eines Net zwerkanalysators in der Bitübertra ¬ gungsschicht (Schicht I) und die Messung der Signallaufzeit zwischen zwei Netzwerkknoten zur Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens.
In Fig. 1 ist schematisch die bekannte, aber auch gemäß der vorliegenden Erfindung angewendete Ethernet-basierte Kommunikation zwischen zwei beispielsweise als Steuergeräte ausge- bildeten Netzwerkknoten 1, 2 eines kabelgebundenen Kommunikationsnetzwerks 3 dargestellt, die in einem Netzwerkprotokoll nach dem OSI-Schichtenmodell mit insgesamt 7 Schichten I bis VII arbeitet. Die von den einzelnen Schichten zu übernehmenden Aufgaben sind in nicht gesondert dargestellten Rechenein- heiten der Netzwerkknoten 1, 2 implementiert und in Fig. 1 schematisch dargestellt.
Nach dem an sich bekannten OSI-Schichtmodell werden die
Schichten wie folgt bezeichnet:
Schicht I: Bitübertragungssicht (Pyhsical Layer),
Schicht II: Sicherungsschicht (Data Link Layer), Schicht III: Vermittlungsschicht (Network Layer),
Schicht IV: TransportSchicht (Transport Layer) Schicht V: Sitzungsschicht (Session Layer),
Schicht VI: Darstellungsschicht (Presentation Layer) , Schicht VII: Anwendungsschicht (Application Layer).
Die Schichten III bis VII dienen der Aufbereitung der physisch übertragenen Daten und ihrer Zuordnung zu speziellen Anwendungen, die auf die übertragenen Daten über die Anwen- dungsschicht (Schicht VII) zugreifen. Diese Schichten sind organisatorischer Art und haben mit der physischen Übertragung der Daten bzw. Datenpakete nichts zu tun. Da diese
Schichten von der vorliegenden Erfindung nicht betroffen sind, wird auf eine Beschreibung des Inhalts dieser Schichten verzichtet. Diese ist dem Fachmann bekannt.
Die eigentliche Datenübertragung findet in den Schichten I und II statt. Die Schicht I (PHY - Physical Layer; Bitüber ¬ tragungsschicht) beinhaltet direkt die Hilfsmittel zur Akti- vierung bzw. Deaktivierung der physischen Verbindung. Hierzu zählen insbesondere Geräte und Netzkomponenten wie Verstärker, Stecker, Buchsen für das Netzwerkkabel, Repeater, Hup, Transceiver und dergleichen. Diese Schicht I dient also dem physikalischen Ansprechen des Übertragungskanals durch geeig- nete elektrische, optische, elektromagnetische oder Schall ¬ signale, im Falle der leitungsgebundenen Ethernet-Kommunika- tionsnet zwerke üblicherweise um elektrische bzw. elektromag ¬ netische Signale. Die für die physische Kommunikation notwendigen Netzwerkschnittstellen sind jedem Netzwerkknoten zugeordnet und bilden die Schicht I gemäß dem OSI-Schichtenmodell . Die als Si- cherungs- oder auch Verbindungsschicht bezeichnete Schicht II des OSI-Schichtmodells dient der Organisation und Steuerung einer weitestgehend fehlerfreien Übertragung und der Regelung des Zugriffs auf das Übertragungsmedium. Hierbei wird auch eine Datenflusskontrolle zwischen Sender und Empfänger reali- siert. Logisch wird die Sicherungsschicht häufig in eine Me ¬ dienzugriffssteuerung MAC (Medium Access Control) und eine logische Verbindungssteuerung LLC (Logical Link Control) un ¬ terteilt. Die Medienzugriffssteuerung MAC regelt, wie sich mehrere Rechner das gemeinsam genutzte physikalische Übertra ¬ gungsmedium teilen. Hierzu verwendet sie u. a. die sogenannten MAC-Adressen der Kommunikationsteilnehmer, die als eindeutige Identifikation jedem Netzwerkknoten als Teilnehmer an dem Kommunikationsnetzwerk 3 zugeordnet sind. Die Medien- zugriffssteuerung MAC wird von der logischen Verbindungssteuerung LLC verwaltet, indem diese eingehende Daten in jede Übertragungsrichtung verteilt und den Zugriff auf die übergeordneten Schichten der Netzwerksteuerung koordiniert. Durch die Aufgaben der Medienzugriffssteuerung MAC und der logi- sehen Verbindungssteuerung LLC wird die sogenannte Siche ¬ rungsschicht (Schicht II) gebildet, in der die verschiedenen Netzwerkteilnehmer identifizierbar sind, um die Netzwerkkommunikation geregelt zu organisieren. Diese logische Verwaltung ist in Fig. 1 zwischen dem Netzwerkknoten 1 und 2 in der die physische Verbindung repräsentierenden Linie des Kommunikationsnetzwerks 3 schematisch eingebunden . Die einzige Kontrolle der Netzwerkknoten 1, 2 als Teilnehmer an dem Kommunikationsnetzwerk ergibt sich also in der Sicherungssicht (Schicht II), beispielsweise durch die eindeutigen MAC-Adressen zur Identifikation der einzelnen Netzwerkteilnehmer, die für die Medienzugriffssteuerung notwendig ist. In der Bitübertragungsschicht (Schicht I) hat ein Netzwerkknoten 1, 2 keine Kenntnis von den anderen Netzwerkknoten 2, 1 in dem Kommunikationsnetzwerk 3, sondern steuert nur die physische Kommunikation an seiner Schnittstelle zu dem Kommunika ¬ tionsnetzwerk 3.
Die logische Organisation des Netzwerkes findet also, wie auch in Fig. 2 dargestellt, in der Schicht II (hier kurz als MAC bezeichnet) des OSI-Schichtenmodells zwischen den Netz ¬ werkknoten 1 und 2 statt. Diese logische Verwaltung ist in Fig. 2 durch die gestrichelte Linie zwischen den beiden MAC- Schichten der Netzwerkknoten 1 und 2 dargestellt.
Aus der schematischen Darstellung der physikalischen Verbindung des Kommunikationsnetzwerks 3 entsprechend den durchge ¬ zogen dargestellten Pfeilen ist zu erkennen, dass die physische Verbindung durchaus aufgetrennt werden kann, ohne dass die Zugriffssteuerung (MAC gemäß der Sicherungsschicht bzw. Schicht II) dies wahrnehmen muss und kann. Hierzu ist an je ¬ weils zwei physischen Schnittstellen PHY ein Net zwerkanalysa- tor 4 zwischengeschaltet, der auch als sogenannter Tap (Test Access Point) bekannt ist.
Ein derartiger Tap 4 wird einfach in die bestehende Leitungs ¬ verbindung eingeschleift, kopiert beim Durchleiten des Datenstroms bitweise die Dateninformationen bzw. Datenpakte, ohne deren Inhalt zu analysieren und gibt die kopierten Datenin- formationen über eine weitere Schnittstelle aus. Der physika ¬ lische Datenstrom wird einfach unverändert weitergeleitet. Somit tritt der Net zwerkanalysator 4 in dem Kommunikationsnetzwerk 3 nicht in Erscheinung. Insbesondere erhält die Si ¬ cherungsschicht (Schicht II des OSI-Schichtmodells ) der Netz- werkknoten 1 und 2 keine Kenntnis von der Existenz dieses Net zwerkanalysators 4.
Gegenüber einer direkten Leitungsverbindung zwischen den Netzwerkknoten 1 und 2 führt das Durchschleifen des Daten- Stroms durch den Net zwerkanalysator 4 aber zu einer verlängerten Signallaufzeit der Signale (Datenpakete) , die zwischen den Netzwerkknoten 1 und 2 übertragen werden.
In dem statischen Kommunikationsnetzwerk 3 eines Kraftfahr- zeuges, in dem sich die Net zwerktopologie nicht ändert, wenn das Netzwerk nicht durch Eingriff in einer autorisierten Werkstatt geändert wird, ist es also möglich, Änderungen in der Signallaufzeit festzustellen und hierdurch das Einschlei- fen eines Net zwerkanalysators 4 festzustellen, der ggf. die zwischen dem Netzwerkknoten 1 und 2 übertragenen Daten mitlesen könnte.
Eine in diesem Zusammenhang besonders bevorzugte Möglichkeit zur Messung der Signallaufzeiten zwischen den Netzwerkknoten 1 und 2 ist in Fig. 3 schematisch dargestellt. Ausgehend von den Netzwerkknoten 1 und 2 sind jeweils paral ¬ lel verlaufende, nach unten gerichtete Zeitstrahle darge ¬ stellt sind, zwischen denen eine Kommunikation zur Messung der Signallaufzeiten zwischen den Netzwerkknoten 1 und 2 in ihrem zeitlichen Verlauf durch Pfeile repräsentiert ist.
Der eine Netzwerkknoten 1, der nachfolgend auch als sendender Netzwerkknoten 1 bezeichnet wird, sendet zur Messung der Signallaufzeit eine Anfrage-Nachricht 5 aus, die ihre eigene Sendezeit als Sendezeitstempel ti enthält. Dieser Sendezeit- Stempel ti wird von dem Sender bzw. Sendeempfänger des Netzwerkknotens 1 unmittelbar vor dem physischen Aussenden der Daten in das Signal (Datenpaket) eingefügt, so dass dieser Sendezeitstempel ti in guter Näherung die tatsächliche Sende ¬ zeit definiert. Der andere Netzwerkknotens 2, nachfolgend auch als empfangender Netzwerkknoten 2 bezeichnet, protokolliert die Empfangszeit als Empfangszeitstempel t 2 und über ¬ trägt diesen Empfangszeitstempel t 2 in einer Antwort-Nach ¬ richt 6 an den einen (ursprüngliche sendenden) Netzwerkknoten 1. Gleichzeitig protokolliert der andere, ursprünglich emp- fangende Netzwerkknoten 2 die Sendezeit der Antwort-Nachricht 6 als Antwort zeitstempel t3 und überträgt diesen Antwortzeit ¬ stempel t3 in einer Nachfolge-Antwort-Nachricht 7 an den ei ¬ nen, ursprünglich sendenden Netzwerkknoten 1. Dieser eine Netzwerkknoten 1 protokolliert ferner die Empfangszeit der Antwort-Nachricht 6 als Antwortempfangszeit- stempel t^, so dass sowohl die Signallaufzeit von dem Netz- werkknoten 1 zu dem Netzwerkknoten 2 als auch die Signallaufzeit von dem Netzwerkknoten 2 zu dem Netzwerkknoten 1 durch geeignete Differenzbildung festgestellt werden kann. Diese Messungen finden zyklisch, d. h. in vorgegebenen Zeitabständen von beispielsweise 100ms bis hin zu mehreren Sekunden oder Minuten statt. Ein erfindungsgemäß bevorzugter Zeitabstand liegt in der Größenordnung von etwa einer Sekunde, weil eine Nachricht in dieser Frequenz, d. h. mit diesem Zeitabstand, des Ethernet-Net zwerk nicht stark belastet.
Ferner ist es sinnvoll, derartige Signallaufzeitmessungen zwischen allen miteinander in Kommunikationsverbindung stehenden Netzwerkknoten 1, 2 des Kommunikationsnetzwerkes 3 durchzuführen, vorzugweise jeweils als direkte Signallaufzeit zwischen zwei Netzwerkknoten 1, 2.
Hierdurch und/oder durch eine Vorprogrammierung in der Produktion bei der ersten Inbetriebnahme des Fahrzeugs sind je- weils die typischen Signallaufzeiten zwischen allen Netzwerkknoten 1, 2 bekannt, so dass bei einer Verlängerung der Signallaufzeit von bspw. 400 ns um 200 ns auf 600 ns auf das Zwischenschalten eines Net zwerksanalysators 4 oder eines ähn ¬ lichen Gerätes geschlossen werden kann.
Besonders sinnvoll ist es, eine Signallaufzeitkarte des Kom ¬ munikationsnetzwerks 3 anzulegen, in der die typischen Sig ¬ nallaufzeiten mit ihrer typischen Schwankungsbreite festge ¬ legt sind. So ist es durch Auswertung der Änderungen ggf. möglich festzustellen, ob ein Net zwerkanalysator 4 eingeschleift wurde, eine andersartige Störung des Netzwerks vor ¬ liegt oder ein Diagnosegerät zwischengeschaltet wurde. In letzterem Fall können gewisse Steuergeräte beispielsweise in einen Diagnosemodus geschaltet werden. Das Zwischenschalten von Diagnosegeräten kann beispielsweise dadurch erkannt werden, dass die Signallaufzeiten zwischen zwei bestimmten Netzwerkknoten 1, 2 um einen definierten Betrag verlängert wird. Sowohl die Netzwerkknoten 1, 2 als auch die definierte Verlängerung sind der Überwachung des Kommunikationsnetzwerks vorzugsweise bekannt. Grundsätzlich kann die Unterscheidung zwischen einem "guten" Gerät, das beispielsweise als Diagnosegerät eingesetzt wird, und einem "bösen" Gerät, das unberechtigter Weise die Kommu ¬ nikationsdaten abhört, aufgrund mehrerer Prinzipien getroffen werden .
Beispielsweise kann beteiligten Netzwerkknoten eine neue veränderte Signallaufzeit beispielsweise in einer Werkstatt mit ¬ geteilt werden, so dass gezielt und berechtigt vorgenommene Änderungen an dem Kommunikationsnetzwerk nicht zu Fehlalarmen führen. Weiterhin kann durch Aufrufen eines Diagnosemodus, wie er bei Steuergeräten typisch ist, die Funktion der Überwachung der Kommunikationsverbindung vorzugsweise zeitweilig deaktiviert oder der Schwellenwert verändert werden. Soll das Zwischenschalten jedoch dynamisch erfolgen, so könnte dies durch eine spezielle Kodierung kenntlich gemacht werden, beispielsweise indem das Diagnosegerät in zeitlich kurzem Wech ¬ sel in das Netzwerk eingehängt, ausgehängt, einhängt, aus ¬ hängt, ... (bzw. an/aus/an/aus/an ... geschaltet) wird und da ¬ bei gewisse Zeiten zwischen den Umschalt zeiten eingehalten werden, ähnlich zu einem Morsecode. Durch eine spezielle Zertifizierung in den Protokollen auf höheren Schichten des OSI- Schichtenmodells kann das Diagnosegerät dann als solches ve ¬ rifiziert werden. So werden typischerweise Kommunikations ¬ partner auf höheren Schichten authentifiziert. Dies wird dann berücksichtigt und überprüft, wenn die Schwellenwerte über ¬ schritten werden.