[发明专利]一种控制器区域网总线安全通信方法、装置及系统

说明书

一种控制器区域网总线安全通信方法、装置及系统，以有效的抵挡攻击者进行窃听﹑注入与重放攻击。网关ECU生成随机数并向至少一个CAN总线ECU发送随机数。第一CAN总线ECU，获取网关ECU发送的随机数，并基于第一CAN标识符的密钥、网关ECU发送的随机数、第一CAN标识符的计数值、第一CAN报文的数据，生成第一信息认证码。第一CAN总线ECU基于第一CAN标识符的密钥和第二CAN报文进行加密运算，以得到第一加密运算结果，并对第一加密运算结果、第一信息认证码、第一CAN标识符的计数值、第一CAN报文的数据进行等长加密运算，以得到加密认证的第一CAN报文，发送所述加密认证的第一CAN报文。

技术领域

本申请涉及通信技术领域，尤其涉及一种控制器区域网(Controller AreaNetwork，CAN)总线安全通信方法、装置及系统。

背景技术

CAN通信协议定义了物理层(Physical Layer，PHY)与数据链路层(Data LinkLayer，DLL)的数据传输标准，是一个广播型态的传输信道，且被广泛应用，例如被广泛地被运用在车内通信当中。

基于CAN通信协议进行通信的CAN通信网络架构中，一个中央网关电子控制单元(Electronic Control Unit，ECU)通过CAN总线系统连接多个ECU，其中，CAN总线系统中可包括多个CAN总线，每个CAN总线中的多个ECU通过其它CAN总线以及中央网关ECU互相连接，并进行各自业务与信息的收发。例如图1所示的应用于车内通信的CAN通信网络架构中，一个中央网关ECU连接多个负责车内功能业务的CAN总线(动力传动系统CAN总线、舒适系统CAN总线、诊断系统CAN总线以及信息娱乐系统CAN总线)。负责车内功能业务的每个CAN总线中的多个ECU通过其它CAN总线以及中央网关ECU互相连接，并进行各自业务与信息的收发。例如，动力传动系统可以实时侦测引擎转速并将引擎转速值传送到动力传动系统CAN总线，通过该动力传动系统CAN总线可将该引擎转速值传送给仪表板ECU，仪表板ECU收到引擎转速值后，可在仪表板上实时显示该引擎转速值。

目前，基于CAN通信协议进行通信过程中，恶意攻击者可以通过对通信过程中传输的CAN报文(frame)进行窃听，注入或重放攻击，对CAN总线系统进行有效攻击。例如，应用于车内通信的CAN通信系统中通过图2所示的原始CAN报文传送引擎转速数值，图2中原始CAN报文中引擎转速数值为0x5DC＝1500RPM，若攻击者通过窃听获取到该原始CAN报文，解析出CAN报文格式，针对攻击目标(引擎转速数值)注入错误的数值，例如图2中植入篡改的CAN报文中将引擎转速数值修改为0x1F40＝8000RPM，则仪表板在接收到该植入篡改的CAN报文后，解析得到引擎转速数值为0x1F40＝8000RPM，使得仪表板接收并且显示的引擎转速数值为错误的数值。

为抵挡攻击者对CAN报文的窃听，注入或重放攻击，目前存在一些对CAN报文进行认证或加密的机制，例如，一种机制中，可使用一个密钥对CAN报文的数据(CAN报文标识符、对应CAN标识符的计数器值以及该CAN报文标识符对应的CAN报文中的数据)进行加密运算并生成信息验证码，然后通过额外的CAN报文传输该信息验证码，但此种方法对于要传输的CAN报文中的数据仍是未被加密处理的，故此种方式并不能抵挡窃听，只是可以抵挡重放攻击，并且通过额外的CAN报文传输信息验证码，传输开销较大。再例如，另一种机制中，针对CAN报文标识符对应的CAN报文中的数据先计算一组循环冗余校验(Cyclic RedundancyCheck，CRC)值，然后将数据与CRC值串联后使用密钥进行加密，然而由于CRC值不具有随机性，若攻击者获取到合法的CRC值，则仍可进行重放攻击。又例如，又一种机制中，通过运用非标准的CAN收发器硬件将信息认证码镶嵌于较高的收发物理频率中，与标准CAN报文同时传送，实现对CAN报文的信息认证机制且采用信息认证码技术。由于使用非标准的CAN收发器硬件，需要对CAN收发器硬件进行修改，无法直接应用于现有的CAN总线通信系统中。

故，提供一种有效的基于CAN总线进行安全通信的方法，以抵挡攻击者进行窃听﹑注入与重放攻击，势在必行。