[发明专利]一种管理控制器局域网中模块间安全通信的系统及方法

说明书

本文描述了一种安全管理控制器局域网(CAN)中模块间通信的系统和方法。具体地，系统采用分级密钥生成方法，其允许CAN中的模块使用单个祖先密钥和相关的标识符来生成控制器局域网中的CAN标识的子孙密钥。之后，CAN广播与接收模块使用这些密钥来验证发布的消息。

发明领域

本发明涉及一种安全管理控制器局域网(CAN)中模块间通信的系统和方法。具体地，系统采用分级密钥生成方法，其允许CAN中的模块使用单个祖先密钥和相关的标识符来生成控制器局域网中的CAN标识符的子孙密钥。之后，CAN广播与接收模块使用这些密钥来验证发布的消息。

现有技术概述

在我们的日常生活中，车辆已经成为基本日用品，为通勤者带来极大的舒适、便利及自主体验。如今，现代车辆的设计与构造旨在自动、安全、高效及环保。为此，现代的车辆通常包括多达60余个电子控制单元(ECU)，其中每个ECU都控制一辆车辆的具体子系统。例如，这些ECU可包含控制所述发动机子系统、传输子系统、安全气囊子系统、巡航控制子系统、再充电系统子系统等的ECU。借此，每个ECU控制并接收来自车辆中大量执行器或传感器的反馈。不管ECU类型如何，这些ECUs通常都需要彼此通信来分享产生于不同传感器的信息和/或来控制多种执行器。

在车载通信网络中最常用的物理和单独数据链路层协议是控制器局域网(CAN)标准，其利用串行总线将车辆中所有的ECU连在一起。在CAN标准中，用串行总线代替所有点到点布线，随后将CAN特定硬件增添到每个ECU上，因此ECU会具备在CAN网络上发布和订阅帧的必要协议。通常，CAN网络是一个高级的串行总线系统，其有效支持分布式控制系统。通常,一车载网络会包括若干CAN总线。借此，每个总线用于执行一特定功能或用于特定能力。在每个CAN总线内，会有多个通过CAN总线连通地连接的ECU。

尽管在车辆中的ECU间通信中使用CAN标准极大的提高并扩展了车辆的功能，但也使得车辆容易收到网络攻击。对车载通信网络的攻击，如欺骗车辆的CAN总线数据消息特别隐蔽，因为这些攻击可以导致车辆驾驶员失去对车辆的控制。

实际上,本领域的技术人员已经证明了车载网络很容易受到攻击。例如，已证明，车辆的车载信息服务系统可能会被恶意入侵并被恶意方远程接管。发生这种情况是因为CAN标准不包括广播源验证手段。因此，这使得恶意消息容易被恶意攻击者或被入侵的ECU在CAN网络上广播，结果，这些消息被所有其他ECU接受，就好像它们是合法的一样。

为了解决上面提到的问题，本领域的技术人员已提出了很多与CAN总线标准兼容的验证协议。在提出的方法中，使用基于散列的消息验证协议验证CAN总线上发布的消息。对于此方法，在消息发布之前，广播ECU首先从静态预共享密钥中获取会话密钥，然后使用该会话密钥以及通过带外CAN发送的计数器值和随机数来验证在CAN上发布的消息。

本途径和其他现有CAN验证方法的劣势在于这些方法使用了非常规的密码原语，例如消息验证代码(MAC)混合。此外，检查使用非常规密码原语的安全性并不容易和/或这些方法涉及复杂的计数器重新同步算法。再者，这些方法也没有指定可以如何执行计数器同步以解决出现无法验证消息的问题。除此之外，车载通信通常对时间很敏感。因此，在ECU在CAN网络发布或广播消息之前，ECU不可能有充足的时间和通用会话密钥协商。

基于上述原因，本领域的技术人员正在不断努力提出一种系统和方法来实现车载通信的安全消息验证，该系统和方法提供了源验证、消息完整性和防止回放攻击。

发明内容

本发明实施例提出用于管理控制器局域网(CAN)中的模块间的安全通信的系统和方法，且下文根据本发明实施例阐述这些系统和方法。

根据本发明的系统和方法的实施例提出的第一改进是：大大减少了CAN网络中的模块需要维护的认证密钥的数量。此外，可以根据分配至模块的功能性，将密钥选择性地将发布至CAN网络中的模块，以便保持模块间的职责分离。