“9) as :‘z‘:‘:‘:‘:‘7////////A_
`
`”mm
`Patent- und Markenamt
`
`H|||H|1||1|HiHIHIIHIHIH||\IH\|H|\|\|H||H\|\H||\|\IHIMINI“\IIH\|\|H|H||\|\WNW||1||\H|H\|H||\H||\
`
`(10) DE 10 2014 217 993 A1 2016.03.10
`
`(12>
`
`Offenlegungsschrift
`
`(21) Aktenzeichen: 10 2014 217 993.9
`(22) Anmeldetag: 09.09.2014
`(43) Offenlegungstag: 1 0.03.2016
`
`(51) Int CL:
`
`H04L 7/04 (200601)
`
`(71) Anmelder:
`
`(56) Ermittelter Stand der Technik:
`
`Siemens Aktlengesellschaft, 80333 Munchen, DE
`
`_
`_
`(72) Erfinder=_
`Falk, Rainer, 85586 Pomg, DE; Frles, Steffen,
`85598 Baldham, DE
`
`
`
`US 2008/0 075 217
`US 2010 I 0 223 399
`us 2010 I 0 287 402
`US 2012 I 0 163 521
`us 2013 I 0 170 507
`US 2013/0215 889
`
`A1
`A1
`A1
`A1
`A1
`A1
`
`Norm IEC 61588 (IEEE 1588) Edition 2.0; 2009-
`02; Precision clock synchronization protocol for
`networked measurement and control systems.
`
`Rechercheantrag geméB § 43 Abs. 1 Satz 1 PatG ist gestellt.
`
`Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen
`
`(54) Bezeichnung: Sender, Empféinger, Zwischenknoten und Verfahren zum Synchronisieren von mindestens
`einer Uhr mindestens eines Empféingers mit einer Uhr eines Senders
`
`(57) Zusammenfassung: Sender, Empfénger, Zwischenkno-
`ten und Verfahren zum Synchronisieren von mindestens ei-
`ner Uhr mindestens eines Empféngers mit einer Uhr eines
`Senders
`
`Verfahren zum Synchronisieren von mindestens einer Uhr
`mindestens eines Empféngers (12) mit einer Uhr eines Sen-
`ders (11), wobei der mindestens eine Empfénger (12) und
`der Sender (11) fiber ein Kommunikationsnetz miteinander
`verbunden sind, umfassend die Verfahrensschritte:
`— Erzeugen (S1) und Senden einer Synchronisationsnach-
`richt (SYNCH) durch den Sender (11),
`(TS)
`— Erfassen (S3) eines exakten Sendezeitpunkts
`der Synchronisationsnachricht (SYNCH) beim tatséchlichen
`Verlassen des Senders (11) mittels der Uhr des Senders (1 1)
`und
`
`— Erfassen (E1) eines exakten Empfangszeitpunkts (TR)
`der Synchronisationsnachricht (SYNCH) mittels der Uhr des
`Empféngers (12)
`— Erzeugen (SS) einer Folgenachricht (FU) im Sender (11)
`umfassend den erfassten exakten Sendezeitpunkt (TS) der
`Synchronisationsnachricht (SYNCH) und Senden an den
`Empfénger (12),
`wobei im Sender (11)
`— eine erste Referenzkennung (R1) erzeugt (82) und in die
`Synchronisationsnachricht (SYNCH) eingergt wird und
`— die erste Referenzkennung (R1) oder eine, mit der ersten
`Referenzkennung (R1) in einem eindeutigen Verhéltnis ste-
`hende, zweite Referenzkennung (R2) erzeugt (S4) und in die
`Folgenachricht (FU) eingergt wird.
`
`SYNCH (R1)
`
`
`
`
`
`FU (R2, TS)
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`Beschreibung
`
`[0001] Die Erfindung betrifft ein Verfahren zum Syn—
`chronisieren von mindestens einer Uhr mindestens
`
`eines Empfangers mit einer Uhr eines Senders, die
`iiber ein Kommunikationsnetz miteinander verbun-
`
`den sind sowie einen entsprechenden Sender, Emp-
`fanger sowie einen Zwischenknoten.
`
`[0002] In vielfaltigen Anwendungen, die iiber ein
`Kommunikationsnetz zwischen einem Sender und ei-
`
`nem Empfanger ablaufen, wird eine genaue, syn-
`chrone und zuverlassige Uhrzeitinformation benétigt.
`Solche Anwendungen sind beispielsweise eine groB-
`flachige Uberwachung von Energienetzen, Steue-
`rungs- und Industrieanlagen, Fahrzeug-, Nachver-
`folgungssysteme, Mobilfunksysteme, Rundfunk- und
`Fernsehiibertragungssysteme.
`
`[0003] In Kommunikationsnetzen zwischen Compu-
`tersystemen werden beispielsweise Netzwerkproto-
`kolle zur Zeitsynchronisation venNendet. Ein Netz-
`werk-Zeit—Protokoll (NTP) wird beispielsweise im In-
`ternet bzw. allgemein in IP-basierten Netzen verwen-
`det. Es ist jedoch relativ ungenau, insbesondere bei
`Netzwerkverbindungen mit schwankender Verzége—
`rung. Daher ist es fiir hohe Anforderungen an die zeit—
`liche Synchronisation nicht geeignet. Beispielsweise
`fiir die Prozesssteuerung sind eine groBe Anzahl von
`Prozesssteuerungsgeraten in einer Industrieanlage
`verteilt und iiber ein Kommunikationssystem verbun—
`den. Fiir solche Industrieanlagen ist ein Prazisions—
`zeitprotokoll (PTP) gemais dem Standard |EEE1588
`spezifiziert, das eine Synchronisation mit einer Ge-
`nauigkeit von einigen Mikrosekunden bei einer Soft-
`ware-basierten Realisierung erlaubt. Bei einer Hard-
`ware-basierten Realisierung ist eine Genauigkeit im
`Nanosekundenbereich méglich.
`
`[0004] In der EP 2 395 404 wird ein Verfahren
`zur geschiitzten Synchronisation basierend auf ei-
`nem einstufigen Ansatz nach |EEE1588 beschrie-
`ben. Dabei wird eine Synchronisationsnachricht fijr
`einen bestimmten Sendezeitpunkt vorbereitet und
`erst zum eingetragenen Sendezeitpunkt abgeschickt
`wird. Dies hat den Nachteil, dass ein Senden nur
`zu einem vorbestimmten Zeitpunkt méglich ist. Die-
`ser vorbestimmte Sendezeitpunkt kann bei einem
`Ubertragungsmedium wie einem Internet oder einem
`drahtlosen Datennetz (WLAN), das durch mehrere
`Teilnehmer konkurrierend verwendet wird und bei
`
`dem [iber Kanalzugriffsverfahren der Ubertragungs-
`zeitpunkt geregelt ist, nicht garantiert werden. Ein
`sicher eingehaltener vorbestimmter Sendezeitpunkt
`kann daher nur durch Eingriff in das Kanalzugriffsver—
`fahren erméglicht werden.
`
`[0005] Aus dem |EEE1588 Standard ist auch ein
`zweistufiger Synchronisationsprozess, der aIs ,,Two-
`Step Clock“ bezeichnetwird, bekannt, bei dem zuerst
`
`eine Synchronisationsnachricht beispielsweise mit ei—
`nem Wert Null als Sendezeitpunkt iibertragen wird.
`Der Sendezeitpunkt der Synchronisationsnachricht
`wird dabei im Sender so exakt als méglich, beispiels—
`weise durch Hardwareunterstiitzung, bestimmt. Di-
`rekt anschliefiend an die Synchronisationsnachricht
`wird eine Folgenachricht mit diesem exakt bestimm-
`ten Sendezeitpunkt versendet.
`
`[0006] Nachteilig ist dabei, dass im Empfanger ei-
`ne eindeutige Zuordnung der Folgenachricht zu der
`zugehérigen Synchronisationsnachricht nicht még-
`Iich ist, da die Folgenachricht keine entsprechen-
`de Information enthalt. Lediglich bei einer Weiterlei-
`tung der Folgenachricht durch einen Zwischenknoten
`kann dieser durch Vergleich der Kennung des Sen-
`deports und eines Sequenzfeldes der Synchronisa-
`tionsnachricht mit den gleichen Feldern der Folge-
`nachricht die beiden Nachrichten einander zuordnen.
`
`Eine exakte Zuordnung der Folgenachricht zur Syn-
`chronisationsnachricht selbst ist somit nicht eindeu-
`
`tig méglich. Es ist somit erforderlich, dass die Folge-
`nachricht in sehr kurzem zeitlichem Abstand zur Syn-
`chronisationsnachricht gesendet wird, um eine Zu-
`ordnung zueinander mit ausreichender Sicherheit er-
`méglichen. Aber auch dies kann in einem Kommu—
`nikationsnetz mit Kanalzugriffsverfahren nicht garan—
`tiert werden.
`
`[0007] Es ist somit die Aufgabe der vorliegenden Er-
`findung, ein Verfahren zur exakten Zeitsynchronisa—
`tion der Uhren von einem Sender und mindestens
`
`einem Empfanger in einem Kommunikationsnetz zu
`erméglichen, das einfach und méglichst ohne signi-
`fikante Anderungen in den vorhandenen Ubertra-
`gungsverfahren, beispielsweise einem Kanalzugriffs-
`verfahren, realisierbar ist.
`
`[0008] Die Aufgabe wird durch die in den unabhangi-
`gen Anspriichen beschriebenen MaBnahmen gelést.
`In den Unteranspriichen sind vorteilhafte Weiterbil-
`dungen der Erfindung dargestellt.
`
`[0009] Im erfindungsgemaISen Verfahren zum Syn-
`chronisieren von mindestens einer Uhr mindestens
`
`eines Empfangers mit einer Uhr eines Senders, die
`iiber ein Kommunikationsnetz miteinander verbun-
`
`den sind, umfassen die Verfahrensschritte:
`— Erzeugen und Senden einer Synchronisations-
`nachricht durch den Sender,
`— Erfassen eines
`exakten Sendezeitpunktes
`der Synchronisationsnachricht beim tatsachlichen
`Verlassen des Senders mittels der Uhr des Sen—
`ders,
`— Erfassen eines exakten Empfangszeitpunkts der
`Synchronisationsnachricht (SYNCH) mittels der
`Uhr des Empfangers, und
`
`2/13
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`— Erzeugen einer Folgenachricht im Sender um—
`fassend den exakten Sendezeitpunkt der Syn-
`chronisationsnachricht und Senden an den Emp—
`fénger,
`
`im Sender eine erste Referenzkennung er-
`wobei
`zeugt und in die Synchronisationsnachricht einge-
`fiigt wird und die erste Referenzkennung oder eine
`mit der ersten Referenzkennung in einem eindeuti-
`gen Verhéltnis stehende zweite Referenzkennung er-
`zeugt und in die Folgenachricht eingefiigt wird.
`
`[0010] Dies hat den Vorteil, dass ein Senden der
`Synchronisationsnachricht zu einem beliebigen Zeit-
`punkt erfolgen kann. Die Synchronisationsnachricht
`und die Folgenachricht kénnen durch die enthalte-
`ne Referenzkennung eindeutig einander zugeord-
`net werden. Ein Senden der Synchronisationsnach-
`richt und der Folgenachricht in sehr kurzem Zeitab-
`stand ist damit nicht mehr zur Zuordnung der beiden
`Nachrichten zueinander notwendig. Durch das Sen-
`den des exakten Sendezeitpunktes in der Folgenach-
`richt muss das Senden der Synchronisationsnach-
`richt nicht in Echtzeit erfolgen. Dies hat den Vorteil,
`dass kryptographischen Schutzverfahren und insbe-
`sondere auch relativ Iangsame kryptographischen
`Schutzverfahren anwendbar sind, da die Verzége—
`rung durch die Berechnung beispielsweise kryptogra-
`phischer Priifsummen die eigentliche Zeitsynchroni—
`sation nicht beeinflusst.
`
`In einer vorteilhaften Ausfiihrungsform wird
`[0011]
`Iediglich die Folgenachricht durch ein kryptographi-
`schen Verfahren geschiitzt.
`
`[0012] Dadurch wird der Sender entlastet und Pro-
`zessorleistung Iediglich zum Durchfiihren eines kryp-
`tographischen Verfahrens angewandt auf die Folge-
`nachricht belastet. Da Iediglich die Empfangszeit der
`Synchronisationsnachricht im Empfénger fiir die Syn-
`chronisierung relevant ist, kann der Nachrichteninhalt
`der Synchronisationsnachricht ungeschiitzt [ibertra-
`gen werden.
`
`[0013] In einer vorteilhaften Ausfiihrungsform wird
`die Synchronisationsnachricht durch ein kryptogra-
`phisches Verfahren geschiitzt.
`
`[0014] Dies hat den Vorteil, dass auch eine Manipu-
`lation der Synchronisationsnachricht identifiziert wer-
`den kann.
`
`[0015] In einer Variante des erfindungsgeméBen
`Verfahrens wird eine Zusatz—Synchronisationsnach—
`richt von einem Zwischenknoten, der die Synchroni—
`sationsnachricht weitergeleitet hat, erzeugt und ge—
`sendet. Die Zusatz—Synchronisationsnachricht wird
`der Synchronisationsnachricht eindeutig zugeord net,
`indem die Zusatz—Synchronisationsnachricht die ers-
`te Referenzkennung oder die zweite Referenzken-
`
`nung oder eine zumindest eindeutig mit der ers—
`ten Referenzkennung verkniipfte dritte Referenzken—
`nung umfasst.
`
`[0016] Dies erméglicht es, beispielsweise Verzége—
`rungszeiten, die durch ein Weiterleiten der Synchro-
`nisationsnachricht in einen Zwischenknoten entste-
`
`hen, bereitzustellen, die durch die Referenzkennung
`vom Empfénger eindeutig einer Synchronisations-
`nachricht zugeordnet werden kann.
`
`[0017] In einer vorteilhaften Ausfijhrungsform der
`vorliegenden Erfindung wird als kryptographisches
`Verfahren zur Sicherung der Synchronisationsnach-
`richt, der Folgenachricht und/oder der Zusatz—Syn-
`chronisationsnachricht eine Pristumme unter Ver-
`
`wendung eines kryptographischen Schliissels iiber
`die jeweilige Nachricht berechnet.
`
`vorteilhaften Variante werden
`einer
`[0018] In
`die Synchronisationsnachricht und die Folgenach-
`richt und/oder die Zusatz-Synchronisationsnachricht
`durch ein symmetrisches kryptographisches Verfah-
`ren geschiitzt.
`
`[0019] Dabei ist es ausreichend, wenn der Empfén-
`ger nur eine Priifung vornimmt, ob die Synchronisa—
`tions— bzw. die Folgenachricht bzw. die Zusatz—Syn—
`chronisationsnachricht mit dem gleichen Schliissel
`geschfltzt wurden. Dadurch ist ein einfaches Schliis—
`selmanagement méglich. Es kénnen dabei Schliis—
`sel, die beispielsweise fiir eine begrenzte Zeit giil-
`tig sind, verwendet werden. Solche Schliissel kénnen
`beispielsweise nur fiir einen Synchronisationsdurch-
`Iauf, fiir eine bestimmte Anzahl solcher Durchléufe
`oder fiir eine bestimmte Zeitdauer giiltig sein.
`
`alternativen Variante wird die
`einer
`[0020] In
`Synchronisationsnachricht und/oder die Folgenach-
`richt und/oder die Zusatz-Synchronisationsnachricht
`durCh ein asymmetrisches kryptographisches Verfah-
`ren, insbesondere durch Verwendung einer digitalen
`Signatur geschijtzt.
`
`[0021] Eine digitale Signatur wird mit Hilfe eines
`privaten Schliissels berechnet und kann durch ei-
`nen Empfénger, der im Rahmen einer 6ffentlichen
`Schliisselinfrastruktur (PKI) ein Zertifikat mit einem
`6ffent|ichen Schliissel des Senders erhalten hat,
`nicht nur die Integritét der Nachricht sondern auch
`die Authentizitét des Senders priifen. Die Verwen-
`dung eines solchen asymmetrischen kryptographi-
`schen Verfahrens bzw. eine Anwendung einer digi—
`talen Signatur zur Priifsummenberechnung ist zwar
`deutlich rechen— und zeitaufwendig. Da die genann—
`ten Nachrichten fiir sich nicht mehr zeitkritisch sind,
`kann aber eine solche digitale Signatur problemlos
`verwendet werden. Es ist dabei auch méglich, dass
`ein Zertifikat mit einem dffentlichen Schliissel ein
`
`selbstsigniertes Zertifikat ist. Auch ist es méglich, den
`
`3/13
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`offentlichen Schliissel eines Teilnehmers direkt zu
`
`verwenden, d.h. ohne ein separates Zertifikat.
`
`[0022] In einer vorteilhaften Variante wird als kryp—
`tographisches Verfahren zur Sicherung der Syn—
`chronisationsnachricht (SYNCH), der Folgenachricht
`(FU) und/oder der Zusatz-Synchronisationsnachricht
`(ZSY) eine Priifsumme (CKS) unter Verwendung ei-
`nes kryptographischen Schliissels berechnet.
`
`[0023] In einer vorteilhaften Ausfiihrungsform ist die
`erste Referenzkennung eine Zufallszahl.
`
`[0024] Die Zufallszahl kann mittels eines kryptogra-
`phischen Zufallszahlengenerators, z.B. einem phy-
`sikalischen Zufallszahlengenerators oder mittels ei-
`nes Pseudozufallszahlengenerators, erzeugt wer-
`den. Dies hat den Vorteil, dass Zufallszahlen sys-
`temisch eindeutig sind und eine Wiederholung der-
`selben Zahl sehr unwahrscheinlich ist. Somit eignen
`sich Zufallszahlen besonders, um eine eindeutig un-
`terscheidbare Kennung zu bilden. Durch eine solche
`erste Referenzkennung kann eine Synchronisations-
`nachricht eindeutig gegeniiber jeder anderen Syn-
`chronisationsnachricht unterschieden werden. Durch
`
`die Gflte und die Lange der Zufallszahl kann dies zu-
`mindest innerhalb eines fur die Synchronisation aus—
`reichend Iangen Zeitraums gewahrleistet werden.
`
`[0025] In einer vorteilhaften Ausfiihrungsform ist die
`zweite Referenzkennung eine Zufallszahl und die
`erste Referenzkennung aus der zweiten Referenz—
`kennung eindeutig ableitbar.
`
`[0026] Dies hat den Vorteil, dass nur ein Sender, der
`die Zufallszahl kennt, eine Synchronisationsnachricht
`passend zur Folgenachricht erstellen kann. Somit
`kann der Empfanger durch das Anwenden der glei-
`chen Ableitfunktion priifen, ob beide Nachrichten vom
`gleichen Sender gesendet wurden. Ergibt sich die
`erste Referenzkennung aus einem Anwenden der
`Ableitfunktion auf die zweite Referenzkennung so
`kann von dem gleichen Sender ausgegangen wer-
`den. Somit wird die Authentizitat des Senders zu-
`
`mindest im beschrankten MaBe iiberpriifbar und es
`kann ein symmetrisches, effizientes Kryptoverfahren,
`das lediglich einen Integritatsschutz bietet, ven/ven-
`det werden. Des Weiteren kann nur der Sender, der
`die Zufallszahl kennt, eine der ersten Referenzken-
`nung zugeordnete giiltige Synchronisationsnachricht
`als erstes erstellen. Dadurch ist also gewahrleistet,
`dass ein Angreifer, nur wenn es schon zu spat ist, ei—
`ne manipulierte Synchronisationsnachricht erzeugen
`kann. Es kann also ohne vorausgehende Schliissel—
`verteilung ein kryptographisch geschiitztes Protokoll
`realisiert werden.
`
`[0028] Hashfunktionen sind beispielsweise einfach
`in Hardware implementierbar und somit schnell und
`mit geringem Aufwand zu berechnen.
`
`[0029] Ein erfindungsgemaBer Sender ist mit einem
`Kommunikationsnetz verbunden und derart ausgebil-
`det, eine Synchronisationsnachricht zu erzeugen und
`zu senden, einen exakten Sendezeitpunkt der Syn-
`chronisationsnachricht beim tatsachlichen Verlassen
`des Senders mittels einer Uhr des Senders zu erfas-
`
`sen und eine Folgenachricht umfassend den erfass-
`ten exakten Sendezeitpunkt der Synchronisations-
`nachricht an einen Empfanger zu senden. lnsbeson-
`dere ist der Sender derart ausgebildet, eine eindeu-
`tige erste Referenzkennung zu erzeugen und in die
`Synchronisationsnachricht einzufiigen und die erste
`Referenzkennung oder eine mit der ersten Referenz-
`kennung in einem eindeutigen Verhaltnis stehende
`zweite Referenzkennung zu erzeugen und in die Fol-
`genachricht einzufiigen.
`
`[0030] Ein solcher Sender hat den Vorteil, dass
`die entsprechenden Kennungen einfach zu erzeu-
`gen sind und die Synchronisations- und Folgenach-
`richt ohne Echtzeitanforderung gemal?) einem vor-
`liegenden Kanalzugriffsverfahren gesendet werden
`konnen. Der Sender muss weder einen voraussicht—
`
`lichen Sendezeitpunkt vorberechnen noch fiir eine
`Einhaltung der voraussichtlichen Sendezeit sorgen.
`
`[0031] Ein erfindungsgemaBer Empfanger ist mit ei—
`nem Kommunikationsnetz verbu nden und derart aus—
`
`gebildet, einen Empfangszeitpunkt einer Synchro-
`nisationsnachricht (SYNCH) mittels einer Uhr des
`Empfangers exakt zu bestimmen, einen Sendezeit-
`punkt der Synchronisationsnachricht (SYNCH) aus
`einer Folgenachricht zu extrahieren und bei Emp-
`fang einer Synchronisationsnachricht und einer Fol-
`genachricht und/oder einer Zwischen-Synchronisati-
`onsnachricht eine erste und/oder eine zweite und/
`
`oder eine dritte Referenzkennung auszulesen und
`diese auf Gleichheit und/oder eindeutige Verkniip-
`fung miteinander zu prijfen und bei erfolgreicher
`Uberpriifung einen Zeitversatz zwischen einer Uhr
`des Senders und mindestens einer Uhr des Empfan-
`gers zu bestimmen.
`
`[0032] Ein erfindungsgemaBer Zwischenknoten, der
`eine Synchronisationsnachricht empfangt und weiter—
`leitet,
`ist derart ausgebildet, eine Zusatz-Synchroni-
`sationsnachricht bereitzustellen, die der Synchroni-
`sationsnachricht zugeordnet ist,
`indem die Zusatz—
`Synchronisationsnachricht die erste Referenzken—
`nung oder eine zumindest eindeutig mit der ersten
`Referenzkennung verkniipfte zweite oder dritte Refe—
`renzkennung umfasst.
`
`[0027] Es ist insbesondere vorteilhaft, wenn die ers—
`te Referenzkennung aus einer Hash-Funktion ange-
`wandt auf die zweite Referenzkennung gebildet wird.
`
`in
`[0033] Dieser Zwischenknoten hat den Vorteil,
`einfacher Weise Zusatzinformation an einen Em pfan-
`ger senden zu konnen, der diese Information ein-
`
`4/13
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`deutig einer zuvor eingegangenen Synchronisations—
`nachricht zugeordnen kann.
`
`[0034] Es wird des Weiteren ein Computerpro-
`grammprodukt beansprucht mit Programmbefehlen
`zur Durchffihrung des beschriebenen erfindungsge-
`méfien Verfahrens.
`
`zu senden. Dabei wird beim tatséchlichen Verlassen
`
`der Synchronisationseinheit méglichst exakt der Sen—
`dezeitpunkt mittels der Uhr 21 des Senders 11 fest—
`gestellt. Dies kann vorzugsweise durch die Hardware
`der Kommunikationsschnittstelle 16 unterstfitzt wer—
`
`den. Dies Iiefert die genaueste Angabe fiber den Sen-
`dezeitpunkt.
`
`[0035] Ausffihrungsbeispiele des erfindungsgemé-
`Ben Verfahrens sowie des erfindungsgeméBen Sen-
`ders, Empféngers und Zwischenknotens sind in den
`Zeichnungen beispielhaft dargestellt und werden an-
`hand der nachfolgenden Beschreibung néher erléu-
`tert. Es zeigen:
`
`[0036] Fig. 1 jeweils ein Ausffihrungsbeispiel eines
`erfindungsgeméBen Senders, eines erfindungsge-
`méBen Empféngers sowie eines erfindungsgeméBen
`Zwischenknotens verbunden durch ein Kommunika-
`
`tionsnetz in schematischer Darstellung;
`
`[0037] Fig. 2 ein erstes Ausffihrungsbeispiel des er-
`findungsgeméBen Verfahrens in Form eines Nach-
`richtenverlaufs zwischen Sender und Empfénger;
`
`[0038] Fig. 3 ein zweites Ausffihrungsbeispiel des
`erfindungsgeméBen Verfahrens mit einer eindeutig
`aus der zweiten Referenzkennung sich ergebenden
`erste Referenzkennung in Form eines Nachrichten—
`verlaufs; und
`
`[0039] Fig. 4 ein drittes Ausffihrungsbeispiel des er—
`findungsgeméfien Verfahrens umfassend eine Zu-
`satzsynchronisationsnachricht in Form eines Nach-
`richtenverlaufs zwischen Sender und Empfénger.
`
`[0040] Einander entsprechende Teile sind in allen Fi-
`guren mit den gleichen Bezugszeichen versehen.
`
`[0041] Fig. 1 zeigt einen Sender 11, einen Empfén-
`ger 12 sowie einen Zwischenknoten 19, die jeweils
`eine KommunikationsschnittstelIe 16 umfassen, fiber
`die sie mit einem Kommunikationsnetz 13 verbunden
`
`sind. Der Sender 11 verffigt fiber eine Synchronisati-
`onseinheit 14 find eine interne Uhr 21, beispielswei-
`se eine Echtzeituhr. Der Sender 11 und der Empfén-
`ger 12 sind beispielsweise Steuergeréte in einem Au-
`tomatisierungsnetz 10. Der Sender 11 und der Emp-
`fénger 12 umfassen jeweils eine Eingabe-/Ausgabe—
`Einheit 15 an die Sensoren 18 angeschlossen sind.
`Die vom Sender 11 find vom Empfénger 12 fiber die
`Sensoren 18 erfassten Messdaten sollen zeitlich ex-
`
`akt einander zugeordnet werden. Dazu mfissen die
`Uhr 21 im Sender 11 find eine Uhr 22 im Empfénger
`12 synchronisiert werden bzw. ein zeitlicher Versatz
`der Uhren 21, 22 bestimmt werden.
`
`[0043] Die Synchronisationseinheit 14 ist des Weite-
`ren derart ausgebildet, eine Folgenachricht zu erzeu-
`gen und den erfassten Sendezeitpunkt der Synchro-
`nisationsnachricht in die Folgenachricht einzuffigen
`und zu versenden. Damit im Empfénger 12 eine Fol-
`genachricht eindeutig einer bestimmten Synchronisa-
`tionsnachricht zugeordnet werden kann, erzeugt die
`Synchronisationseinheit 14 im Sender 11 eine erste
`Referenzkennung, die diese Synchronisationsnach-
`richt eindeutig von allen Synchronisationsnachrichten
`im Automatisierungsnetz oder zumindest von allen
`Synchronisationsnachrichten, die von dem Sender 11
`in einem bestimmten Zeitraum erzeugt werden, un-
`terscheidet.
`
`[0044] Als erste Referenzkennung kann beispiels-
`weise eine Zufallszahl venNendet werden, die bei-
`spielsweise von einem Zufallsgenerator erzeugt wird.
`Diese erste Referenzkennung wird in die Synchroni—
`sationsnachricht eingeffigt und an den Empfénger 12
`fibermittelt.
`
`[0045] Die gleiche erste Referenzkennung wird nun
`beispielsweise auch in die Folgenachricht eingeffigt
`und versandt. Alternativ dazu kann eine zweite Refe-
`
`renzkennung im Sender 11 erzeugt werden, die aber
`eindeutig mit der ersten Referenzkennung verknfipft
`ist. Sowohl die Synchronisationsnachricht als auch
`die Folgenachricht kénnen zu einem frei wéhlbaren
`Sendezeitpunkt fiber das Kommunikationsnetz 13 an
`den Empfénger 12 fibermittelt werden. Durch die ers-
`te bzw. zweite Referenzkennung kénnen beide Nach-
`richten eindeutig einander zugeordnet werden.
`
`[0046] Der Empfénger 12 umfasst eine Synchroni-
`sationseinheit 17 sowie eine Uhr 22, beispielswei-
`se einer internen Echtzeituhr. Um einen Zeitversatz
`
`der Uhr 22 des Empféngers zur Uhr 21 des Senders
`11 zu ermitteln, wird beim Empfang einer Synchroni-
`sationsnachricht die Empfangszeit méglichst genau,
`beispielsweise in der Kommunikationsschnittstelle 1 6
`und mittels Hardwareunterstfitzu ng entsprechend der
`Uhr 22 des Empféngers 12 erfasst. Die Synchroni-
`sationseinheit 17 ist derart ausgebildet, bei Empfang
`einer Synchronisationsnachricht die erste Referenz-
`kennung auszulesen, diese dem ermittelten Emp-
`fangszeitpunkt zuzuordnen und die erste Referenz—
`kennung zusammen mit dem Empfangszeitpunkt zu
`speichern.
`
`[0042] Die Synchronisationseinheit 14 des Senders
`11 ist dabei derart ausgebildet, eine Synchronisati-
`onsnachricht zu erzeugen und an den Empfénger 12
`
`[0047] Die Synchronisationseinheit 17 ist des Wei—
`teren derart ausgebildet, bei Empfang einer Folge-
`
`5/13
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`nachricht eine darin enthaltene erste oder zweite Re—
`
`ferenzkennung auszulesen. Empfangt der Empfan—
`ger 12 eine Zwischen—Synchronisationsnachrichten,
`so wird auch aus dieser Nachricht eine erste, zwei-
`te oder dritte Referenzkennung sowie synchronisati—
`onsrelevante Information, wie beispielsweise Verzo-
`gerungszeiten durch ein Weiterleiten der Synchroni-
`sationsnachricht durch den Zwischenknoten 19, aus-
`gelesen. Die Synchronisationseinheit 17 des Emp-
`fangers 12 ist weiterhin derart ausgebildet, die ers-
`te, zweite und dritte Referenzkennung entweder auf
`Gleichheit zu iiberpriifen oder zu iiberpriifen, ob die
`erste, zweite und dritte Referenzkennung eindeutig
`miteinander verknijpft sind.
`
`[0048] Ist dies der Fall, so wird der in der Folgenach-
`richt gesandte exakte Sendezeitpunkt der Synchroni-
`sationsnachricht mit der ersten Referenzkennung so-
`wie eventuelle weitere synchronisationsrelevante In-
`formation aus der Zusatz-Synchronisationsnachricht
`mit der ersten, zweiten oder dritten Referenzkennung
`verwendet und daraus ein Zeitversatz zwischen der
`
`Uhr des Senders 11 und der Uhr des Empfangers 12
`bestimmt. AnschlieBend wird beispielsweise die Uhr
`22 des Empfangers 12 um den ermittelten Zeitver-
`satz korrigiert und somit beide Uhren synchronisiert.
`In diesem Fall nimmt die Uhr des Empfangers 11 ei—
`ne Rolle eines Masters, die mindestens eine Uhr des
`Empfangers 12 eine Rolle eines Slaves ein.
`
`[0049] Um die Uhr 22 des Empfangers 12 mit der
`Uhr 21 des Senders 11 exakt synchronisieren zu kon—
`nen, sind zusatzlich Synchronisationsinformationen
`von Zwischenknoten 19 notwendig, wenn solche Zwi-
`schenknoten die Synchronisationsnachricht des Sen-
`ders 12 empfangen und direkt oder auch indirekt an
`den Empfanger 12 weitergeleitet haben. Durch die
`Verarbeitung der Synchronisationsnachricht im Zwi-
`schenknoten 19 entstehen weitere Verzogerungszei-
`ten der Synchronisationsnachricht, die bei der Syn-
`chronisation beriicksichtigt werden miissen.
`
`[0050] Der Zwischenknoten 19 umfasst daher auch
`eine Synchronisationseinheit 20 und eine Uhr 23 bei-
`spielsweise einer internen Echtzeituhr. Die Synchro-
`nisationseinheit 20 ist derart ausgebildet, eine Zu-
`satz—Synchronisationsnachricht mit Zusatzinformati-
`on beispielsweise Verzogeru ngszeiten im Zwischen-
`knoten, bereitzustellen und diese der Synchronisa-
`tionsnachricht zuzuordnen,
`indem die Synchronisa-
`tionseinheit 20 die erste Referenzkennung, die bei
`der Weiterleitung der Synchronisationsnachricht er-
`mittelt wurde,
`in die Zusatz-Synchronisationsnach-
`richt einfiigt. Alternativ kann die zweite Referenzken—
`nung oder eine eindeutige, mit der ersten Referenz-
`kennung verbundene dritte Referenzkennung in die
`Zusatz—Synchronisationsnachricht eingefiigt und an
`den Empfanger 12 [ibermittelt werden. Durch die ers—
`te Referenzkennung bzw. die zweite oder dritte Refe—
`renzkennung kann somit eine eindeutige Zuordnung
`
`der Zusatz—Synchronisationsnachricht zur Synchroni—
`sationsnachricht im Empfanger 12 erfolgen.
`
`[0051] Fig. 2 zeigt nun den Ablauf eines entspre—
`chenden Verfahrens, wobei einzelne Verfahrens—
`schritte jeweils dem Sender 11 bzw. dem Empfan-
`ger 12 zugeordnet sind und Nachrichten durch Pfei-
`Ie und eine Nachrichtenbezeichnung dargestellt sind.
`Rechts neben dem Empfanger sind jeweils die Daten
`genannt, die dem Empfanger 12 nach dem Verfah-
`rensschritt bekannt sind.
`
`[0052] Als erster Verfahrensschritt S1 wird im Sen-
`der 11 eine Synchronisationsnachricht SYNCH er-
`zeugt. AnschlieBend wird in Verfahrensschritt 82 eine
`eindeutige erste Referenzkennung R1 erzeugt. Die
`Verfahrensschritte S1 und 82 konnen auch in um-
`
`gekehrter Reihenfolge ausgefiihrt werden. Die Refe-
`renzkennung R1 wird in die Synchronisationsnach-
`richt SYNCH eingefiigt und an den Empfanger 12 ge-
`sandt. Im Empfanger 12 wird bei Empfang der Syn-
`chronisationsnachricht SYNCH deren exakte Emp-
`fangszeitpunkt TR ermittelt und gespeichert.
`
`[0053] Im Sender 11 wird im Verfahrensschritt S3 der
`exakte Sendezeitpunkt TS vorzugsweise durch Hard—
`ware—Unterstiitzung ermittelt. Im Verfahrensschritt S4
`wird eine Folgenachricht FU erzeugt und der exak—
`te Sendezeitpunkt TS sowie die erste Referenzken-
`nung R1 in die Folgenachricht FU eingefiigt. Alter—
`nativ kann eine mit der ersten Kennung R1 eindeu—
`tig verkniipfte zweite Referenzkennung R2 erzeugt
`werden und statt der ersten Referenzkennung in die
`Folgenachricht FU eingefiigt werden. Die Folgenach-
`richt FU kann nun in Verfahrensschritt S5 an den
`Sender 12 iibermittelt werden. Im Sender 12 wird in
`
`Verfahrensschritt E2 der exakte Sendezeitpunkt TS
`aus der Folgenachricht FU extrahiert und im Verfah-
`rensschritt E3 ein Zeitversatz TD aus der Differenz
`
`dem exakten Empfangszeitpunkt TR und der exakten
`Ubermittelten Sendezeitpunkt TS ermittelt.
`
`[0054] Optional kann im Schritt S11 bzw. S12 die
`Synchronisationsnachricht SYNCH bzw. die Folge-
`nachricht FU durch ein kryptographisches Verfahren
`beziiglich Integritat des Nachrichteninhalts und /oder
`Authentizitat des Senders geschiitzt werden. Bei ei-
`nem Integritatsschutz kann iiberpriift werden, ob die
`Nachricht bei der Ubertragung verandert wurde. Bei
`einem Authentizitatsschutz kann iiberpriift werden,
`ob die Nachricht von einem erwarteten Sender ge-
`sendet wurde. Prinzipiell
`ist es ausreichend, wenn
`lediglich die Folgenachricht FU kryptographisch ge-
`schiitzt wird, da nur in der Folgenachricht FU der re—
`levante Sendezeitpunkt TS des Senders 11 Ubertra—
`gen wird.
`
`insbe—
`[0055] Als kryptographischen Verfahren ist
`sondere die Berechnung einer Priifsumme [iber die
`
`6/13
`
`

`

`DE 10 2014 217 993 A1
`
`2016.03.10
`
`jeweilige Nachricht unter Verwendung eines krypto—
`graphischen Schliissels vorteilhaft.
`
`[0056] Im beschriebenen Verfahren ist es ausrei-
`chend, zu Uberprflfen, ob die Synchronisationsnach-
`richt SYNCH und die Folgenachricht FU mit dem glei-
`chen Schliissel geschiitzt wurden. Um dies sicher-
`zustellen reicht ein einfaches Schliisselmanagement.
`Es ist nicht erforderlich, dass beglaubigte Schliissel,
`beispielsweise private SchliJsseI eines einer offentli-
`Chen Schlflssel Infrastruktur, auch PKI genannt, ver-
`wendet werden. Die Schliissel konnen ebenfalls Ie-
`
`diglich fiir einen begrenzten Zeitraum giiltig sein.
`
`[0057] In Fig. 3 ist eine Variante des Verfahrens dar-
`gestellt, bei der im Sender 11 im Verfahrensschritt
`S20 vor dem Senden der Synchronisationsnachricht
`SYNCH eine Zufallszahl RAND bereitgestellt wird.
`Die Verfahrensschritte S1, 83 und S4 im Sender 11,
`sowie die Verfahrensschritte E1 und E3 im Empfan-
`ger 12 entsprechen denen in Fig. 2 gezeigten und
`beschriebenen Verfahrensschritten. Aus dieser Zu-
`
`fallszahl RAND wird eine eindeutig verkniipfte erste
`Referenzkennung gebildet. Dabei kann insbesonde—
`re auf die Zufallszahl RAND eine Hash-Funktion an-
`
`gewandt werden und der resultierende Hash—Wert als
`erste Referenzkennung R1 in die Synchronisations—
`nachricht SYNCH eingefiigt werden. Die Zufallszahl
`RAND wird als zweite Referenzkennung R2 in der
`Folgenachricht FU eingefiigt.
`
`[0058] Der erste Referenzwert R1 und der zwei-
`te Referenzwert R2 sind somit eindeutig miteinan-
`der verkniipft. Dabei bedeutet eindeutig miteinander
`verkniipft, dass der Empfanger 12 in Kenntnis der
`im Sender 11 verwendeten Hashfunktion H, aus der
`zweiten Referenzkennung R2 ausschliefilich die ers-
`te Referenzkennung R1 ermitteln kann.
`In Verfah-
`rensschritt E20 fiihrt der Empfanger die Hash-Funkti-
`on H auf die zweite Referenzkennung R2 an. Stimmt
`der ermittelte Hash-Wert H(R2) mit der ersten Refe-
`renzkennung R1 iiberein, werden die erste und zwei-
`te Referenzkennung R1 und R2 als eindeutig mit-
`einander verkniipft validiert. Als Hash-Funktion sind
`Funktionen, wie beispielsweise SHA—256, SHA—512
`verwendbar.
`
`[0059] Statt einer Hash-Funktion kann auch eine
`symmetrische Verschliisselungsform mit Bildung ei-
`nes Nachrichtenauthentisierungscodes, auch Mes-
`sage Authentication Code MAC genannt, verwen-
`det werden, die einen authentifizierten Verschliisse-
`Iungsmodus darstellt. Beispielsweise kann hier ein
`Verfahren nach AES—GMAC verwendet werden. Ins—
`
`besondere in dieser Ausfflhrungsform ist es lediglich
`notwendig, die Folgenachricht FU durch eine krypto—
`graphische Pristumme CKS zu schiitzen.
`
`[0060] Fig. 4 zeigt nun die Verfahrensschritte, die
`im Zusammenwirken mit einem Zwischenknoten 19
`
`zusatzlich ausgefiihrt werden. Dazu wurden zur bes—
`seren Ubersicht die bereits beschriebenen Verfah-
`rensschritte im Sender 11 bzw.
`im Empfanger 12
`nicht mehr dargestellt.
`In diesem Szenario wurde
`von einem Sender 11 eine Synchronisationsnachricht
`SYNCH mit einer ersten Referenzkennung R1 iiber
`einen Zwischenknoten 19 an den Empfanger 12 fiber-
`mittelt und im Empfanger 12 der exakte Empfangs-
`zeitpunkt TR der Synchronisationsnachricht SYNCH
`erfasst. Anschliefiend hat der Sender 11 die Folge-
`nachricht FU umfassend die erste Referenzkennung
`R1 oder aber, wie hier dargestellt, eine mit der ers-
`ten Referenzkennung R1 eindeutig verknijlpfte zweite
`Referenzkennung R2, dem exakten Sendezeitpunkt
`TS sowie einer kryptographischen Prijfsumme CKS
`ebenfalls [iber den Zwischenknoten 19 an den Emp-
`fanger 12 iibermittelt. Auch hier liest der Empfanger
`12 den exakten Sendezeitpunkt aus.
`
`[0061] Im Zwischenknoten 19 wird nun im Verfah-
`rensschritt SBO eine Zusatz-Synchronisatio