[发明专利]一种CAN总线中ECU安全通信的方法

说明书

本发明公开了一种CAN总线中ECU安全通信的方法，包括：1、建立系统模型；2、网关电子控制单元GECU将会话密钥加载到它的安全存储中；3、GECU对CAN总线中的每个ECU进行会话密钥分发；4、接收方ECU_r对发送方ECU_s发送的加密数据帧进行认证；5、GECU对通信的加密密钥和认证密钥进行更新，主要分为车内ECU密钥更新、释放外部设备连接时的密钥更新两个阶段；6、车辆与外部设备连接时，设计附加认证和密钥分配的方法，保证接入的外部设备的合法性。本发明能够显著降低计算成本，减少CAN总线的负载；针对车内CAN总线中的密钥分发协议进行了优化，考虑到了连接和释放外部设备时的密钥更新问题，使用计数器生成随机数来改变用于密钥生成的参数，有效地防止了重放攻击。

技术领域

本发明涉及车内网、通信协议设计、密钥分配、安全认证和加密等领域，尤其涉及车内CAN总线中电子控制单元的安全通信领域。

背景技术

现有的汽车模型与各种信息技术融合，给用户提供了舒适的驾驶环境。为了将信息技术应用到车辆中，安装了多种智能应用组件。在这些部件中，电子控制单元(ECU)是控制车辆电子系统的最重要的部件。车辆电子系统由超过70个ECU组成，这些ECU通过不同的通信网络互联如控制器区域网(CAN)，如果攻击者在ECU中注入非法控制信息，将直接威胁乘客的生命安全，因此我们需要一种能够进行密钥分配、验证消息以及认证合法ECU的安全机制来保证车内网的安全。

大多数现有的解决方案仅考虑到了车载网安全，在车内并没有高效的安全机制。CAN是最有代表性的车内局域网络，它显着减少了通信线路的数量并且确保了数据传输的可靠性。车内传输的每个比特的信息对驾驶者的生命安全至关重要。但是在CAN的设计中没有考虑到信息安全。当使用CAN总线网络进行数据广播，CAN不能确保CAN数据帧的机密性,以及ECU对CAN数据帧的认证，使得恶意攻击者轻松地窃取数据或进行重放攻击。因此车内CAN总线中需要拥有密钥更新机制，不仅要考虑车内的密钥更新，还要考虑外部设备接入带来的安全隐患。然而，大多数方案没有包括这一点，仅考虑了车内的情况，既不安全也不高效。

发明内容

为解决上述情况，我们需要提出一种更全面的安全方案，在密钥更新中考虑释放外部设备和连接外部设备的情况克服以上的缺点。本发明的目的在于，提出一种CAN总线中ECU安全通信方法，用以解决车内CAN总线中ECU被攻击者注入非法信息，窃取车内网的数据，以及外部设备接入和释放等安全问题。

为了实现上述目的，本发明的技术方案为：

一种CAN总线中ECU安全通信的方法，包括以下步骤：(1)建立系统模型，包括电子控制单元ECU、网关电子控制单元GECU以及连接在车辆上的外部设备；(2)网关电子控制单元GECU将会话密钥加载到它的安全存储中：当车辆启动或者更换ECU时，GECU将认证密钥k_i和长期对称密钥G_k加载到安全存储中，并将安装在车辆上的ECU的数量N记录下来；(3)GECU对CAN总线中的每个ECU进行会话密钥分发：启动车辆之后，每个ECU轮流等待GECU分发会话密钥，在没有收到会话密钥之前，ECU之间不进行通信；(4)接受方ECU_r对发送方ECU_s发送的加密数据帧进行认证：ECU_s使用AES算法加密两个数据帧，并为数据帧生成MAC值，ECU_r对MAC进行认证和解密；(5)GECU对加密密钥EK_k和认证密钥AK_k进行更新，主要分为车内ECU密钥更新、释放外部设备连接时的密钥更新两个阶段；(6)当车辆与外部设备连接时，设计附加认证和密钥分配的方法，保证了所接入的外部设备的合法性。

进一步，所述步骤(3)GECU对CAN总线中的每个ECU进行会话密钥分发部分，启动车辆之后，每个ECU轮流等待GECU分发会话密钥，在没有收到会话密钥之前，ECU之间不进行通信；其步骤如下：