[发明专利]一种车辆数据报文安全通信方法

说明书

本发明涉及一种车辆数据报文安全通信方法，用于车辆的ECU的通信，所述车辆的ECU通过通信总线连通，所述方法包括以下步骤：获取加解密数据写入到每个所述ECU中，所述加解密数据包括每个ECU的加解密信息；当所述ECU发送报文时，根据所述发送报文的ECU的加解密信息对报文进行加密形成密文，并通过总线发送至接收报文的ECU；当所述ECU接收报文时，根据所述加解密信息对接收到的密文进行解密，获取明文报文。与现有技术相比，本发明具有有效防止车辆报文窃听、回放攻击、伪装攻击的优点。

技术领域

本发明涉及车辆通信领域，尤其是涉及一种车辆数据报文安全通信方法。

背景技术

CAN(控制器局域网)总线是当今汽车高速网络的最主要应用总线，其上面连接了与动力、车身控制、舒适以及制动安全相关的ECU(电子控制单元)，因此CAN总线一旦遭到攻击，后果将不堪设想。CAN总线自设计之初就没有考虑其信息安全，存在诸多安全漏洞，其过短的数据域长度导致现有的信息安全算法难以直接应用。CAN-FD继承了CAN总线的主要特性，弥补了CAN总线带宽和数据场长度的不足，但是依旧没有考虑其信息安全。

从数据安全的角度来分析CAN和CAN-FD总线协议的漏洞，其信息除了完整性外，其真实性、机密性、有效性和不可否认性4个方面都没有保障。

真实性：CAN和CAN-FD总线报文里面没有发送地址，看不出报文是谁发送的，总线上任何ECU都可以发送相同的ID，接收ECU无法确认收到的报文的真实性，因此攻击模块完全可以伪装发送某ID的报文。

机密性：CAN和CAN-FD总线报文是以明文的方式传播，没有任何加密，而且总线上的所有ECU都可以同时接收到报文，不具备机密性，攻击模块可以实时监控到总线上的所有原始报文。

有效性：CAN和CAN-FD总线报文里面不含时间标志或者序数标志，接收ECU不能判断接收到的报文是否属于有效时间段的报文。

不可否认性：由于报文没有任何身份标志，因此没有ECU能够证明其本身发送了某个报文或者接收了某个报文。

根据以上CAN和CAN-FD的漏洞，CAN和CAN-FD总线容易收到如下方式的攻击：

(1)窃听

攻击模块可以实时采集和保存总线上的数据，然后通过实际车辆操纵和对应报文数据变化来分析出整车的报文协议。如静态时人为开关门然后根据报文的数据变化来找出之间的对应关系。分析出少部分报文协议还是比较容易，但是要想分析出整车的控制逻辑工作量还是很大，需要艰苦的逆向分析。不同的汽车厂商有不同的报文协议，可以说这是目前汽车制造商手中最主要的CAN总线信息安全防御手段，但是报文协议一旦被逆向解析出来，对某个汽车制造商的损失将是巨大的，因为报文协议里面包含了大量的控制逻辑和技术参数。

(2)伪装

由于CAN总线报文里面只有ID，没有发送地址和接收地址，因此攻击模块可以伪造发送某个ID。车载CAN总线上连接了太多的ECU，包括和动力、车身、舒适、制动安全等系统相关的ECU，比如BMS、VCU和ABS等等，因此一旦攻击模块伪造发送和动力或制动安全相关的ID，轻则会给正常的运行和制动安全带来控制冲突，重则会造成重大交通安全事故。

(3)回放

由于报文里面没有时间标志或者序数，接收ECU并不能判断接收到的报文是否是有效时间段发送的，因此攻击模块可以采集上一时间段的报文然后到下一个时间段回放到总线，这也会和实时的控制发生矛盾冲突，严重程度和伪装报文并无区别。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种车辆数据报文安全通信方法。

本发明的目的可以通过以下技术方案来实现：