[发明专利]面向大规模车内网络的可扩展CAN总线安全通信方法及装置

说明书

本发明公开了一种面向大规模车内网络的可扩展CAN总线安全通信方法及装置，其中，方法涵盖了总线内的初始密钥分发、密钥更新、数据保密性与完整性保护以及外部设备接入等安全场景，恰当地利用总线的广播机制和密码学群认证机制有效简化了初始密钥分发阶段的通信流程，实现了密钥初始化的轻量级设计，对CAN总线上日益增长的设备数量具备良好可扩展性；使用全局计数器解决了数据加密通信面对延迟攻击的脆弱性；引入跨子网数据传输模块解决加密消息的加密消息不能跨网传输的缺陷；此外设计了外部设备接入的认证流程基于无双线性对的无证书签名机制，摆脱对于公钥基础设施机制的依赖、降低通信开销的同时，避免了复杂双线性对运算，满足了实时性需求。

技术领域

本发明涉及信息安全技术领域，特别涉及一种面向大规模车内网络的可扩展CAN总线安全通信方法及装置。

背景技术

现代汽车已经从单纯的交通运输工具发展到面向多种连接方式的计算平台。在现代车辆中，各种类型的总线和数百个ECU(Electronic Control Unit，电子控制单元)通过车内网关连接起来，以确保正常的安全操作，如碰撞预测和防抱死制动系统。这些ECU通过CAN(Controller Area Network，控制器局域网)总线进行通信，通过传感器、执行器和控制器来保证驾驶安全，为用户提供更舒适的驾驶体验。随着传感器节点的增多，汽车的功能越来越复杂，需要连接到总线上的ECU越来越多。在豪华轿车上，甚至安装了超过100个ECU。

随着越来越复杂的服务和复杂的通信功能融入到汽车中，面向现代汽车的攻击手段正在迅速增长。在过去的几十年里，大量的研究表明，无论是在实验室还是在道路测试中，物理接入还是远程攻击方式，都有能力恶意控制车辆。作为最重要的汽车接口，车载诊断系统(OBD-II)提供了对内部网络的直接访问功能，通过该系统，CAN总线可以从外部接入，并在物理上暴露给攻击者。此外，蓝牙、蜂窝网络和互联网连接(如Wi-Fi和4G)等各种攻击手段也是可行的。这些接口经常与外部世界交互，为攻击者在CAN中插入恶意代码提供了潜在的接入点。据报道，福特、丰田和特斯拉汽车在停车和驾驶模式下，其发动机、制动器、车灯和燃油表都可被攻击，实现了转向、制动、加速和显示控制，甚至可以修改固件和内置代码。

车载CAN的三个主要漏洞是访问控制薄弱、无认证和无加密机制。由于CAN消息帧中没有目的地址，每个节点都可以根据预定义的配置发送和接收广播到总线的消息。攻击者还可以插入恶意信息或进行重放，这对司机和乘客都构成了威胁。因此，CAN总线的保护需要适当的认证和加密机制。

最近发布的密码协议套件是由Palaniswamy等人提出的。该套件由七个协议组成，涵盖了总线内部安全通信和与外部设备连接的过程。但这些协议存在潜在的安全缺陷以及协议设计冗余。

在初始会话密钥分发协议和会话密钥更新协议中，这些协议没有利用CAN总线中的广播机制。GECU必须与每个ECU建立挑战-响应机制，这会导致不必要的通信开销，面对车内不断增长的ECU总数会造成明显的通信时延。

数据帧传输协议和远程帧传输协议中，每个计数器都被安排用于记录来自某个仲裁ID的数据流。然而，该方案容易受到延迟攻击，被攻击者延迟一段时间再发出的消息，不能通过检测计数器的异常消息校验值得到发现。另一缺点是没有为跨子网数据传输设计协议。由于现代车辆中通常存在两个或多个CAN总线，因此有必要进行跨子网信息交换。然而，会话密钥在各子网之间是不同的，来自不同子网的ECU之间没有直接进行安全通信的能力。此外，针对外部设备的接入协议在此前还未针对CAN总线场景进行特别优化，使用依赖于PKI(Public Key Infrastructure，公钥基础设施)的证书体制进行身份认证会显著增加CAN总线上的通信开销。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。