[发明专利]在网络上进行数据交换以增强网络的安全措施的方法和系统、包括这样的系统的交通工具

说明书

一种用于在通信网络(2)上进行数据交换的方法，该通信网络根据协议进行操作，并且包括传输总线(4)、第一节点(E₁)和第二节点(E_N)。第一节点执行以下步骤：构造传输第一信息数据(Data1)和第二信息数据(Data2)的第一数据帧和第二数据帧(10)；根据第一信息数据和第二信息数据计算第一消息认证码(MAC₁)；构造传输第一消息认证码(MAC₁)的第三数据帧(20)；传输如此构造的所有数据帧。第二节点执行以下步骤：接收第一数据帧、第二数据帧和第三数据帧；提取第一信息数据和第二信息数据以及第一消息认证码；根据提取的第一信息数据和第二信息数据计算第二消息认证码(MAC_EXP)；将提取的消息认证码与计算的消息认证码进行比较，以验证其同一性。

相关申请的交叉引用

本专利申请要求于2019年12月10日提交的意大利专利申请第102019000023544号的优先权，该意大利专利申请的全部公开内容通过引用并入本文。

技术领域

本发明涉及用于在通信网络上进行数据交换的方法和系统，并且涉及包括这样的系统的交通工具，特别地涉及增强在网络上传输的数据的安全措施。

背景技术

用于机动交通工具的现代电子系统提供了对在电子控制单元(ECU)上运行的软件的使用，这些电子控制单元经由串行总线和网关在网络中彼此通信。当前系统中的大多数系统未被设计成考虑机载数据相对于内部或外部攻击的安全性，例如，以改变交换的数据并引起马达控制应用和/或交通工具应用的故障、改变或崩溃为目的而产生的内部或外部攻击。

用于设计当前机动车电子系统的过程、方法和仪器专注于可靠性和成本优化。用于测试机动车电子系统相对于随机故障的可靠性的方法和仪器是商业上可获得的。

然而，在硬件和软件架构的开发期间很少考虑与安全性有关的方面；同时，标准通信协议不提供用于防止或缓解攻击的共享方法。

因此，机载交通工具通信网络由于其允许以相对简单的方式进行非授权访问而易受攻击，这是因为交通工具中ECU之间的所有通信均是在缺乏足以保证发送者和接收者的身份不受损害的认证机制的情况下执行的。

不幸的是，当前的通信网络协议，例如以CAN(控制器局域网络)、FlexRay、MOST和LIN为例，不需要认证或最多具有错误控制机制(error control mechanism，CRC)以保证数据的完整性并以纯文本发送其消息。

因此，在控制单元之间存在欺骗性通信的可能性。

特别地参考CAN协议，为了克服上述缺点，已经提出了旨在提高安全性的各种解决方案，特别是在消息的真实性和信息的新鲜度方面。

例如，Hiroshi UEDA等人的“Security Authentication System for In-VehicleNetwork”、SEI TECHNICALREVIEW、第81号、2015年10月提议对CAN消息的结构或格式进行审查，以便包括与控制代码相关的字段。然而，这样的解决方案将使得已实施的协议的总体适配变得必要，该总体适配必须能够解译新的消息结构。