[发明专利]防攻击的网络接口

说明书

本发明涉及一种网络接口(1)，具有：输入端口(11)，其构造用于从第一设备(21a)或第一网络(22a)接收消息(2)；输出端口(12)，其构造用于将消息(2)转发到第二设备(21b)或第二网络(22b)，其中，为时间表(3)设置存储器(13)，其中，网络接口(1)构造用于将在由时间表(3)定义的开放时间(31)期间在输入端口(11)处到达的消息(2)转发到输出端口(12)上，并且丢弃在由时间表(3)定义的关闭时间(32)期间在输入端口(11)处到达的消息(2)，其中，附加地设置配置单元(14)，其构造用于接收由控制单元(4)作为网络接口(1)和消息(2)的至少一个发送方(21a、22a)的共享秘密确定的时间表(3)并将该时间表存储在存储器(13)中，和/或与消息(2)的至少一个发送方(21a、22a)协商作为共享秘密的时间表(3)。本发明还涉及用于车辆(5)的控制设备(52a)、导航系统(51a)、娱乐系统(51b)和车载网络(50)。本发明最后涉及一种运行方法(100)。

技术领域

本发明涉及一种网络接口，该网络接口特别是防止未经授权地输入消息并且因此特别适合于车辆中的以太网网络。

背景技术

为了将车辆中的控制设备、传感器和执行器彼此间相连接，长期以来使用网络来代替各个点对点连接，以便节省布线的成本和重量。为此，通常使用总线系统，如CAN、MOST和FlexRay。此外期望的是，未来使用在车辆之外作为网络的最常见的标准而实施的以太网。

这种网络的一个主要优点是，原则上可以从网络中的任何位置到达任意设备。不利的是，干扰也在网络中传播，表面上无害的故障例如仅仅由于网络的过载可能会成长为危险问题，这是因为对于车辆安全性来说，关键消息不再能及时被传送。因此，文献EP 3166 255A1公开了一种用于在网络中处理时间临界的数据通信的方法，其中在事先分配的时间段之外到达的数据包不考虑其内容地被丢弃。因此保证了在错误的时刻到达的数据不妨碍传输其他重要的数据。

发明内容

本发明提供了一种网络接口。该网络接口具有输入端口，该输入端口被构造为从第一设备或第一网络接收消息。网络接口还具有输出端口，该输出端口被构造为将消息转发给第二设备或第二网络。网络接口因此例如可以安装在控制设备、传感器或执行器中，以便将这些部件与车辆网络连接。但是，网络接口也可以例如安装在网络基础设施的设备中，例如交换机或者路由器中。

网络接口还具有用于时间表的存储器，并且该网络接口被构造用于将在由时间表定义的开放时间期间在输入端口处到达的消息转发给输出端口，并且丢弃在由时间表定义的关闭时间期间在输入端口处到达的消息。

附加地，设有配置单元，该配置单元被构造为接收由控制单元规定的、作为网络接口和消息的至少一个发送方的共享秘密的时间表，并且将该时间表存储在存储器中，和/或与消息的至少一个发送方协商该作为共享秘密的时间表。

在此，术语“共享秘密”尤其意味着，在网络中的时间表不是普遍已知的，并且开放时间和关闭时间的时间份额/时间比例如此选择，使得通过简单的尝试基本不可能找出该时间表或包含在该时间表中的开放时间。例如，如果每奇数秒(或毫秒)是开放时间和每偶数秒(或毫秒)是关闭时间，则在随机时间发送到网络接口的数据包将以50％的概率被接受。在每秒内仅一毫秒的开放时间的情况下，该概率则降低到0.1％。

已经认识到，以这种方式能够以小的耗费保护网络接口以防引入未经授权地发送的消息。对于这种未经授权的消息，在车辆中可以考虑多个来源。例如，附加设备可以连接到网络，诸如通过物理地接合到线缆连接中、通过使用分配器(诸如网桥)上的自由端口、通过使用诊断输入端或者通过用未经授权的设备替换当前不需要的设备。例如网络中的本身被授权的设备也可能遭受恶意软件，其促使设备在本身规定的时间之外的其他时间也发送附加消息。