一种基于ECU身份属性的车内网络细粒度授权访问方法与流程

本发明涉及智能网联汽车、车内网、加密、访问控制等领域，尤其涉及车内电子控制单元的安全通信领域。

背景技术：

随着云计算、大数据、物联网、量子计算等新兴技术的迅猛发展,信息系统网络安全面临着一系列新的威胁和挑战。智能网联汽车车内网络系统是典型的信息系统，信息通过车内网络总线(can、lin等)在内部各ecu(车内电子控制单元)之间进行交互，通过无线通信方式在车内ecu节点和外部接入设备间进行交互；既有信息系统的通用特点，又具有嵌入式系统所特有的软硬件资源有限问题，因此不可避免的面临更为严峻的信息安全威胁。

目前车内网信息安全问题已成为智能网联汽车进一步发展不可回避的障碍，国内外对智能网联汽车车内网络安全保护的研究方兴未艾。2011年，欧洲evita(e-safetyvehicleintrusionprotectedapplications)研究项目，为汽车网络安全提供了包括信息“攻击”场景、危险分析、建议性硬件系统结构等方面有价值的指导。2012年，国际电工委员会(iec)发布的《工业过程测量、控制和自动化网络与系统信息安全》标准(iec62443)，对用户、系统集成商、组件供应商提出了信息安全相关的基本要求。2013年，日本信息处理推进机构(ipa)从汽车可靠性角度出发，通过对汽车信息安全的攻击方式和攻击途径进行分析，定义了一种汽车信息安全模型“ipacar”。2016年，美国sae发布的saej3061(《汽车网络物理系统网络的网络安全指南》)，将汽车信息安全理念贯穿到汽车全生命周期流程中，为汽车行业和相关企业提供技术参考和建议。2016年7月由中国汽车工程学会牵头，国内部分高校、汽车企业和互联网公司等60余家单位共同发起成立智能网联汽车信息安全工作委员会，着手研究智能网联汽车信息安全标准的起草和实施。2016年11月发布了《中华人名共和国网络安全法》，对包括车厂、车联网运营商在内的智能网联汽车上下游产业链提出了明确的信息安全保护要求。2017年2月在合肥工业大学召开的第六届车载信息服务年会期间就车内网络信息安全问题进行了专门讨论，并发布了《车联网网络安全白皮书》，与会专家一致认为：网络安全已经从客观上严重阻碍了传统汽车向智能网联汽车的发展。

目前对于如何解决智能网联汽车车内网络的信息安全问题，国外研究起步早于国内，已经取得了一定成果。传统的车内网络是一种封闭式网络，且计算能力、传输带宽和资源受限，但智能网联汽车网络环境开放、拓扑结构复杂多变，所面临的攻击方式和安全威胁更加隐蔽和多样化，现有的研究成果难以满足大规模智能网联环境下的车内网络信息安全需求。因此，基于智能网联汽车的信息安全需求，充分考虑交通及网络环境的综合作用，结合车内网络系统拓扑结构复杂、环境开放等特征，建立基于ecu身份属性的车内网络细粒度授权访问方法，对车内网络的隐私数据进行有效保护。

技术实现要素：

为解决上述情况，我们需要提出一种更全面的安全方案，根据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画，实现了车内隐私数据有选择的共享，实现了车内ecu节点隐私信息共享的安全，克服以上的缺点。本发明的目的在于，提出一种基于ecu身份属性的车内网络细粒度授权访问方法，用以解决非法节点访问车内数据的安全问题，防止攻击者在ecu内注入恶意信息。

为了实现上述目的，本发明的技术方案为：

一种基于ecu身份属性的车内网络细粒度授权访问方法，其特征在于，包括以下步骤：(1)建立基于ecu属性的车内网络细粒度访问控制模型：包括子网内具有不同属性的ecu、车载网关gecu、外部设备以及子网内的主ecu(mecu)；在整个模型中，gecu互联不同子网的ecu，每个子网内设置mecu，不同子网内的普通ecu节点通过mecu与gecu相连；(2)根据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画；ecu的解密密钥将由gecu中的安全存储负责生成，gecu根据ecu的属性集合生成对应的解密密钥，并将生成的密钥分发给ecu；(3)设计车内网络中的不同子网间的访问权限及访问控制策略；gecu中的安全存储将根据每个ecu的相对应的属性集合生成与之相应的访问密钥即解密密钥；(4)根据构造的基于ecu属性的车内网络细粒度访问控制模型，拟通过属性聚类的方法构造合法节点私钥属性集与ecu密文访问结构匹配策略；(5)基于上述对匹配策略的刻画，构造基于ecu属性的合法节点私钥属性集与ecu密文访问结构匹配策略的加密算法。

进一步，所述步骤(2)根据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画；ecu的解密密钥将由gecu中的安全存储负责生成，gecu根据ecu的属性集合生成对应的解密密钥，并将生成的密钥分发给ecu；其步骤如下：

步骤2.1：根据车内子网的服务属性，将子网划分成动力子网、舒适子网、安全子网、决策控制子网以及环境感知子网等；

步骤2.2：gecu互联不同的子网，每个子网内设置mecu，ecu需要通信时，向mecu发送通信请求，然后mecu对其身份进行判定；

步骤2.3：访问结构存储在mecu中，当ecu访问车内数据时，节点属性必须满足访问结构才能解密数据；

步骤2.4：当ecu属性满足mecu中的访问结构时，gecu的安全存储生成ecu的解密密钥skecu，并将生成的密钥分发给ecu；

步骤2.5：同时各子网中主控制器作为中间服务器，负责判定ecu之间的信任距离，在信任距离的计算中，主控制器需要结合车内网络结构的特点，进行计算。

进一步，所述步骤(3)设计车内网络中的不同子网间的访问权限及访问控制策略，gecu中的安全存储将根据每个ecu的相对应的属性集合生成与之相应的访问密钥即解密密钥；其步骤如下：

步骤3.1：娱乐ecu和空调ecu均在舒适子网中，分别记为a和b，在环境感知子网的距离ecu记为c，c与b有联系，b对a有一定的访问权限，密钥的访问权限由b相对应的a的属性集合决定，同样，c对b有一定的访问权限；

步骤3.2：车内gecu中的安全存储将根据每个ecu的相对应的属性集合生成与之相应的访问密钥即解密密钥，即b拥有解密密钥skba，c拥有解密密钥skcb；

步骤3.3：当环境感知子网的c要求访问舒适子网的a时，由于c和a不在同一个子网，c不具有访问a的解密密钥，因而无法完成访问，为实现通信，c需要通过与其有联系的b获得对a的访问权限；

步骤3.4：每个子网内的主ecu根据其存储的车内网络结构图计算c与a之间的信任距离δ；

步骤3.5：当信任距离满足一定的条件时，mecu将向gecu中的安全存储提供c与a之间产生关联的节点b。密钥生成中心根据b相对于a的属性集合为c生成相应的访问a的解密密钥skca，从而实现跨网访问。

进一步，所述步骤(4)根据构造的基于ecu属性的车内网络细粒度访问控制模型，拟通过属性聚类的方法构造合法节点私钥属性集与ecu密文访问结构匹配策略；其步骤如下：

步骤4.1：引入访问树结构，对叶子节点赋予不同的属性，非叶子节点由一对运算符(and,or)组成；

步骤4.2：mecu记录下同一子网或者不同子网内ecu节点的距离d，并根据有向图中的dijkstra算法判断最短路径，满足最短路径的节点优先通信；

步骤4.3：根据步骤(3)建立的逻辑结构，进一步设计细粒度访问控制策略，有以下情况：娱乐和转向或者空调服务需求属性的ecu、娱乐或者转向和空调服务需求属性的ecu两种不同的粒度；

步骤4.4：根据步骤4.2的最短路径和步骤4.3的服务需求属性，满足娱乐、转向、决策服务需求的ecu可以访问网关，从而实现了匹配策略。

进一步，所述步骤(5)基于上述对匹配策略的刻画，构造基于ecu属性的合法节点私钥属性集与ecu密文访问结构匹配策略的加密算法部分，设g1是一个以素数q为阶的双线性群，其生成元是m，双线性映射e:g1×g1→g2，n是由zq中元素构成的集合，n∈zq。同时定义一个哈希函数hash(·)，该函数将所有的属性映射到g1中。其步骤如下：

步骤5.1：车辆启动时，初始化车内环境，gecu生成公共公钥mpk和主密钥msk；

步骤5.2：初始化过程完成之后，加密车内通信数据。通过步骤4的匹配策略和公共公钥mpk将车内数据由信息m转化为密文c；

步骤5.3：以智能ecu对车辆的操控行为为媒介，与车载电源系统之间产生耦合作用，使得车载电源电压变化具有马尔科夫特性，生成真随机数，作为会话密钥，利用主密钥msk和属性集合s生成解密密钥；

步骤5.4：利用递归函数dn(c,sk,α)进行判断，为未授权的ecu节点生成新的访问密钥，即新的访问密钥的生成是建立在已有的访问密钥的基础上；

步骤5.5：根据步骤3所假设的节点a、b、c，b其对应的属性集合为sb，节点c生成的对节点a的访问密钥skca'，生成的新密钥skca'与密钥skca在形式上是等价的，实现密文与ecu节点私钥相匹配。

进一步，所述根据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画部分，实现了车内隐私数据有选择的共享，实现了车内ecu节点隐私信息共享的安全。

进一步，所述基于ecu属性的车内网络细粒度访问控制模型，拟通过属性聚类的方法构造合法节点私钥属性集与ecu密文访问结构匹配策略部分，将ecu属性与访问结构相匹配，防止非法节点访问车内数据，保证了车载信息的安全。

进一步，所述对访问匹配策略的刻画部分，根据ecu的属性特征，推导出车内网络私钥属性与ecu密文访问结构匹配关系，建立基于ecu属性的车内网络细粒度密文访问控制策略，对已授权的ecu进行记录，使得只有合法节点才能在车内通信。

本文提出一种基于ecu身份属性的车内网络细粒度授权访问方法，该方法有以下有益效果：

1)结合车内ecu节点的特性，建立了基于ecu属性的密文访问结构策略，使得所构造的车内网络访问控制方案满足细粒度的要求，解决了当前智能网联汽车网络环境开放、拓扑结构复杂等特点带来的访问控制细粒度刻画困难的问题。

2)在每个子网内设置主电子控制单元(mecu)，减轻了gecu的计算能力和存储压力，提高了通信效率，保证了合法的ecu接入网关。

3)结合属性聚类的思想构造合法节点私钥属性集与ecu密文访问结构匹配策略，将ecu属性与车内逻辑结构相匹配保证了车内隐私数据的信息安全。

4)首次将细粒度引入车内网，针对车内广播通信的问题，细粒度的访问可以让ecu节点有选择的共享信息，实现了单个ecu节点的信息安全。

5)利用访问树结构建立车内网的逻辑结构，符合车内特性，并结合属性基加密思想，有效的抵抗了合谋攻击，即使结合多个节点的属性集合，都不能解密密文。

附图说明

图1为本发明的总体设计图；

图2为本发明中访问控制模型图；

图3为本发明中车内子网划分图；

图4为本发明中的访问结构匹配策略图；

图5为本发明中的基于ecu属性的加密流程图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

如图1所示，互联网和车内网络系统的远程无线通讯模块相连，车内网络系统分别和外部接入设备以及外部交通环境互连；车内网络系统包括远程无线通讯模块、车载通信、网关；网关的一端通过车载总线分别和环境感知传感器、中央门锁、电动门窗、照明控制ecu、仪表管理ecu相连，网关的另一端分别和车身控制bcu、发动机ems、悬架ecu、牵引力ecu、absecu、驾驶决策与控制单元相连；本发明的方法以现有车内电源系统、若干电子控制单元ecu、车内通信单元以及网关中的数据库为应用系统基础，主要包括以下五部分，

本发明的方法主要包括以下五部分(本发明中的所有符号见表1)：

表1主要符号定义

1、建立一个系统模型

包括子网内具有不同属性的ecu、车载网关gecu、外部设备以及子网内的主ecu(mecu)。如图2所示，在车内网络中，网关互连不同子网的ecu，具有不同功能的ecu可以访问不同的数据，因此需要对ecu进行不同粒度的划分，即细粒度访问。拟设计细粒度访问控制模型示意如图2所示。在我们的模型中假设网关是安全的，gecu负责密钥分发，作为可信中心，每个子网内的mecu负责对ecu节点进行访问控制，gecu对授权的节点分发密钥，然后利用属性基算法对节点之间通信的数据加密。

2、将车内网络划分为不同子网

据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画；ecu的解密密钥将由gecu中的安全存储负责生成，gecu根据ecu的属性集合生成对应的解密密钥，并将生成的密钥分发给ecu；过程如图3所示，具体步骤如下：

第一步：根据车内子网的服务属性，将子网划分成动力子网、舒适子网、安全子网、决策控制子网以及环境感知子网等；

第二步：gecu互联不同的子网，每个子网内设置mecu，ecu需要通信时，向mecu发送访问gecu的通信请求request，然后mecu对其身份进行判定；

第三步：访问结构存储在mecu中，当ecu访问车内数据时，节点属性必须满足车内逻辑结构时才能解密数据；

第四步：当ecu属性满足mecu中的访问结构时，gecu的安全存储生成ecu的解密密钥skecu，并将生成的密钥分发给ecu；

第五步：同时各子网中主控制器(mecu)作为中间服务器，负责判定ecu之间的信任距离，在信任距离的计算中，mecu需要结合车内网络结构的特点，进行计算。

3、车内网络不同子网间访问权限的设计

gecu中的安全存储将根据每个ecu节点相对应的属性集合生成与之相应的访问密钥即解密密钥，分发给ecu节点；过程如图4所示，具体步骤如下：

第一步：娱乐ecu和空调ecu均在舒适子网中，分别记为a和b，在环境感知子网的ecu记为c，c与b有联系，b对a有一定的访问权限，密钥的访问权限由b相对应的a的属性集合决定，同样，c对b有一定的访问权限；

第二步：车内gecu中的安全存储将根据每个ecu的相对应的属性集合生成与之相应的访问密钥即解密密钥，即b拥有解密密钥skba，c拥有解密密钥skcb；

第三步：当环境感知子网的c要求访问舒适子网的a时，由于c和a不在同一个子网，c不具有访问a的解密密钥，因而无法完成访问，为实现通信，c需要通过与其有联系的b获得对a的访问权限；

第四步：每个子网内的主ecu根据其存储的车内网络拓扑图，利用无向图的方法计算c与a之间的信任距离δ；

第五步：当信任距离满足一定的条件时，mecu将向gecu中的安全存储提供c与a之间产生关联的节点b。密钥生成中心根据b相对于a的属性集合为c生成相应的访问a的解密密钥skca，从而实现跨网访问。

4、ecu节点属性集与密文访问结构的匹配策略

据构造的基于ecu属性的车内网络细粒度访问控制模型，拟通过属性聚类的方法构造合法节点私钥属性集与ecu密文访问结构匹配策略；私钥与ecu属性相关，具体步骤如下:

第一步：引入访问树结构，如图5所示，对叶子节点(ecu节点)赋予不同的属性，非叶子节点(mecu节点)由一对运算符(and,or)组成，mecu节点存储逻辑结构；

第二步：mecu记录下同一子网或者不同子网内ecu节点的距离d，并根据有向图中的dijkstra算法判断最短路径，满足最短路径的节点优先通信；

第三步：根据步骤3建立的逻辑结构，进一步设计细粒度访问控制策略，有以下情况：娱乐和转向或者空调服务需求属性的ecu、娱乐或者转向和空调服务需求属性的ecu两种不同的粒度；

第四步：根据步骤第二步的最短路径和第三步的服务需求属性以及访问树，满足不同子网、信任距离等于3、通信次数大于3、访问mecu的次数大于4的ecu节点可以访问网关，从而实现了匹配策略。

5、基于ecu属性的车内数据加密

基于上述对匹配策略的刻画，构造基于ecu属性的合法节点私钥属性集与ecu密文访问结构匹配策略的加密算法部分，设g1是一个以素数q为阶的双线性群，其生成元是m，双线性映射e:g1×g1→g2，n是由zq中元素构成的集合，n∈zq。同时定义一个哈希函数hash(·)。具体步骤如下：

第一步：车辆启动时，初始化车内环境，gecu生成公共公钥mpk和主密钥msk：mpk＝m^ω，msk＝(ω,m^λ)。

第二步：初始化过程完成之后，加密车内通信数据。通过步骤4的匹配策略τ和公共公钥mpk将车内数据由信息m转化为密文c：ct＝(τ,c'＝(e(g,g)^λ,c＝h^r,

第三步：以智能ecu对车辆的操控行为为媒介，与车载电源系统之间产生耦合作用，使得车载电源电压变化具有马尔科夫特性，生成真随机数，作为会话密钥，利用主密钥msk和属性集合s生成解密密钥sk＝m^λ+s/ω；

第四步：利用递归函数dn(c,sk,α)进行判断，为未授权的ecu节点生成新的访问密钥：即新的访问密钥的生成是建立在已有的访问密钥的基础上；

第五步：根据步骤3所假设的节点a、b、c，b其对应的属性集合为sb，节点c生成的对节点a的访问密钥skca'，生成的新密钥skca'与密钥skca在形式上是等价的，实现密文与ecu节点私钥相匹配。

综上，本发明的方法包括以下步骤：(1)建立基于电子控制单元(ecu)属性的车内网络细粒度访问控制模型；(2)根据车内电子控制单元ecu的服务属性，在车内网络中划分子网，进行细粒度访问控制刻画；(3)设计车内网络中的不同子网间的访问权限及访问控制策略；(4)根据构造的基于ecu属性的车内网络细粒度访问控制模型，拟通过属性聚类的方法构造合法节点私钥属性集与ecu密文访问结构匹配策略；(5)基于上述对匹配策略的刻画，构造基于ecu属性的合法节点私钥属性集与ecu密文访问结构匹配策略的加密算法。本发明提出了一种基于ecu身份属性的车内网络细粒度授权访问方法，结合车内网络的特点，一方面根据车内网络内各ecu节点及其发送的信息具有不同的属性，各ecu节点获取网络传输层密文数据的种类和数量也各不相同，建立基于密文属性的属性基加密方案；另一方面通过将合法用户的私钥设置为属性集，并为数据密文设置访问结构，建立了访问控制模型。将加密方案与访问控制模型相结合，提出了基于属性基加密方案的细粒度的访问控制策略，有效解决了车内网络通信协议应用层的隐私保护问题。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。