[发明专利]基于预共享密钥的车载CAN FD总线通信系统及方法

权利要求书

1.一种基于预共享密钥的车载CAN FD总线通信系统的通信方法，其特征在于，该系统包括多个ECU和主管理节点控制器，所述的主管理节点控制器和ECU分别连接至CAN FD通信总线形成总线结构，所述的ECU内分别存储有彼此相互独立的预共享密钥，所述的主管理节点控制器中存储所有ECU对应的预共享密钥；

系统启动时，主管理节点控制器和ECU分别采用对应的预共享密钥进行安全启动检查、时钟同步和会话密钥分配，进而后续ECU通过分配的会话密钥进行会话；

所述的通信方法包括如下步骤：

(1)系统启动，主管理节点控制器对每个ECU分别进行安全启动检查，若安全启动完成则执行步骤(2)；

(2)主管理节点控制器作将自身作为基准时钟，通过多帧问答方式对各ECU进行时钟同步，同步完成后执行步骤(3)；

(3)主管理节点控制器对各ECU随机分配会话密钥，分配成功后执行步骤(4)；

(4)各ECU通过分配的会话密钥进行会话；

在上述步骤(1)～(3)中主管理节点控制器和ECU之间分别通过对应的预共享密钥进行数据通信过程中的加密和MAC认证；

步骤(1)～(4)中主管理节点控制器和ECU之间采用CAN FD安全报文，所述的CAN FD安全报文包括64个字节的数据场，所述的数据场第一字节设置为安全级别标识，进而根据不同的安全级别标识将CAN FD安全报文划分为不同的安全等级；

CAN FD安全报文包括3安全等级，分别为等级0、等级1和等级2；

当CAN FD安全报文安全等级为等级0时，CAN FD安全报文64个字节的数据场依次配置为：1个字节的安全级别标识和63字节的明文数据；

当CAN FD安全报文安全等级为等级1时，CAN FD安全报文64个字节的数据场依次配置为：1个字节的安全级别标识、48字节的明文数据和15字节的MAC校验场数据；

当CAN FD安全报文安全等级为等级2时，CAN FD安全报文64个字节的数据场依次配置为：1个字节的安全级别标识、48字节的密文数据和15字节的MAC校验场数据；

步骤(1)对于任一ECU进行安全启动检查具体为：

(1a)主管理节点控制器生成随机数r，主管理节点控制器将包括随机数r的明文数据以及MAC校验值的报文发送至ECU；

(1b)ECU对接收的第一报文进行MAC验证，验证成功后向ECU将随机数r的明文通过预共享密钥进行加密和MAC认证，发回主管理节点控制器；

(1c)主管理节点控制器对ECU发来的数据通过主管理节点控制器中存储的对应的预共享密钥进行解密，如果随机数解密值和步骤(1a)中主管理节点控制器最初发送的随机数r一致且MAC有效，安全启动完成；

步骤(2)对任一ECU进行时钟同步具体为：

(2a)主管理节点控制器通过预共享密钥向ECU发起时钟同步请求，时钟同步请求中包含主管理节点控制器生成的随机数R1；

(2b)ECU验证时钟同步请求，验证通过后ECU生成随机数R2附在R1后发给主管理节点控制器；

(2c)主管理节点控制器进行消息验证，验证通过后，主管理节点控制器发送包含随机数R1、随机数R2和当前时间T1的报文给ECU；

(2d)ECU接收到主管理节点控制器发送的报文，记录主管理节点控制器发送的当前时间T1以及本地接收时间T2；

(2e)ECU发送包含随机数R1、随机数R2和本地时间T3的报文给主管理节点控制器；

(2f)主管理节点控制器接收ECU发送的报文并将本地接收时间T4并发回给ECU；

(2g)ECU接收到主管理节点控制器发送的本地接收时间T4后根据T1、T2、T3和T4按照IEEE 1588时间同步原理进行时钟同步更新，ECU将更新后的时间发送至主管理节点控制器，结束时钟同步；

上述过程中主管理节点控制器和ECU通信过程中报文采用第2安全等级的CAN FD安全报文，CAN FD安全报文64个字节的数据场依次配置为：1个字节的安全级别标识、48字节的密文数据和15字节的MAC校验场数据，所述的密文数据通过预共享密钥中的加密秘钥进行加密，MAC校验场数据通过预共享密钥中的签注秘钥对密文数据进行认证生成。