一种基于身份信息的车内网络通信方法

本发明涉及车内网络安全的防护，具体是一种基于身份信息的车内网络通信方法。

背景技术：

1、随着智能化和信息化的发展，汽车电气系统变得日益复杂。当前汽车普遍拥有数十个电子控制单元（ecu），而攻击者可以通过车载ecu的自身漏洞，对ecu之间的通信进行远程攻击，造成汽车信息安全事件的频发。

2、目前传统的车内网络通信协议缺乏对数据的认证和加密，也缺乏消息完整性验证，无法判断消息在传输过程中是否经过中间人攻击或者数据篡改。另外，还缺乏有效的方法来防止重放攻击，即攻击者截获并重新发送已经发送过的消息。

技术实现思路

1、为了避免和克服现有技术中存在的技术问题，本发明提供了一种基于身份信息的车内网络通信方法。本发明基于ecu的身份信息生成公私钥对，以此将对称密钥和mac生成密钥加密传输至ecu，使得车内网络通信更为安全，并在发送方ecu和接收方ecu之间引入消息认证码机制，从而验证了消息的完整性。

2、为实现上述目的，本发明提供如下技术方案：

3、本发明公开一种基于身份信息的车内网络通信方法，包括步骤s1-s4。

4、s1.基于ecu的身份信息为车内的各个ecu生成相应的公私钥对。

5、s2.密钥管理器生成对称密钥和mac生成密钥；然后基于公私钥对并采用非对称加密算法将对称密钥和mac生成密钥传输至各个ecu。

6、s3.发送方ecu利用所要发送的消息和mac生成密钥生成第一消息认证码mac1，并通过对称密钥将消息及mac1加密后发送给接收方ecu。

7、s4.接收方ecu通过对称密钥对收到的密文进行解密，并利用消息和mac生成密钥生成第二消息认证码mac2，随后通过对比mac1和mac2是否一致以判断消息的安全性。

8、作为上述方案的进一步改进，步骤s1中，车内的密钥管理器产生第一随机数r1以用作根密钥的种子，基于所有ecu的身份信息，使用根密钥生成相应的公钥pk；同时密钥管理器确定好系统的安全参数，并发送给各个ecu。

9、ecu接收到安全参数后，根据自身的身份信息与安全参数，生成相对应的私钥sk，从而根据公钥pk和私钥sk形成公私钥对。

10、作为上述方案的进一步改进，步骤s2中，密钥管理器使用公钥pk将对称密钥和mac生成密钥进行加密以形成第一密文，并将第一密文发送给所有的ecu。

11、每个ecu接收到第一密文后，使用自身的私钥sk对密文进行解密，从而获取对称密钥和mac生成密钥。

12、作为上述方案的进一步改进，在密钥管理器生成公钥pk后，还将公钥pk存储在可读存储器中。

13、作为上述方案的进一步改进，步骤s2中，密钥管理器还产生第二随机数r2和第三随机数r3，分别作为对称密钥和mac生成密钥。

14、作为上述方案的进一步改进，第一随机数r1、第二随机数r2和第三随机数r3均为量子随机数。

15、作为上述方案的进一步改进，步骤s3中，发送方ecu将消息m输入自身的消息认证码生成器中，利用mac生成密钥生成第一消息认证码mac1。

16、随后发送方ecu形成消息组合<消息id|消息m|mac1|时间戳ts>，并通过对称密钥加密消息组合，形成第二密文并发送给接收方ecu。

17、步骤s4中，接收方ecu收到第二密文后，先使用对称密钥进行解密以获取消息组合，验证时间戳ts是否在设定范围内，若不在则判定消息组合存在安全隐患，反之则将接收到的消息m输入自身的消息认证码生成器中，利用mac生成密钥计算生成第二消息认证码mac2。

18、随后接收方ecu将mac2与mac1进行对比，若两者一致则判定消息组合安全可信，反之仍判定消息组合存在安全隐患。

19、作为上述方案的进一步改进，消息认证码的生成过程如下：

20、选择一个哈希函数，用于将消息m和mac生成密钥组合并生成一个固定长度的哈希值，该哈希值即为消息认证码。

21、作为上述方案的进一步改进，发送方ecu在将包含有第一消息认证码mac1的消息组合发送给接收方ecu。接收方ecu接收到消息组合后，使用与发送方ecu相同的加密密钥和哈希函数，对消息进行计算以得到第二消息认证码mac2。

22、作为上述方案的进一步改进，非对称加密算法采用rsa算法。

23、与现有技术相比，本发明的有益效果是：

24、1、本发明通过在车内网中使用基于身份信息的加密广播通信，即通过ecu的身份信息来生成私钥和公钥，系统可以在不需要中心密钥管理的情况下，安全地协商对称密钥，这提升了通信的安全性，特别是在一个分散的车内网络中。在此基础上，通过在通信过程中引入消息验证码的验证机制，可以验证消息在传输过程中是否被篡改，降低了伪造消息的可能，进一步保障了通信的安全性。

25、2、本发明采用量子随机数作为根密钥的种子，量子随机数在理论上是真正随机的，这意味着根密钥是真正随机的，而不是基于伪随机算法的，这使得根密钥不可破解。同时还将量子随机数作为对称密钥和mac生成密钥，进一步保障了通信的安全。

26、3、本发明引入了时间戳验证，可以防止重放攻击。这确保了每条消息都是当前有效的，而不是过时的或者被重复利用的。同时，由于mac是基于消息内容和时间戳生成的，攻击者无法伪造一个有效的mac，除非他们知道消息的内容和时间戳，进一步降低了伪造消息的可能。

27、4、本发明通过将对称加密应用于组合消息，实现了安全性和效率之间的平衡。对称加密提供了高效的加密和解密过程，同时保护了消息的隐私性。

技术特征：

1.一种基于身份信息的车内网络通信方法，其特征在于，包括步骤：

2.根据权利要求1所述的一种基于身份信息的车内网络通信方法，其特征在于，步骤s1中，车内的密钥管理器产生第一随机数r1以用作根密钥的种子，基于所有ecu的身份信息，使用根密钥生成相应的公钥pk；同时密钥管理器确定好系统的安全参数，并发送给各个ecu；

3.根据权利要求2所述的一种基于身份信息的车内网络通信方法，其特征在于，步骤s2中，密钥管理器使用公钥pk将所述对称密钥和所述mac生成密钥进行加密以形成第一密文，并将第一密文发送给所有的ecu；

4.根据权利要求2所述的一种基于身份信息的车内网络通信方法，其特征在于，在密钥管理器生成公钥pk后，还将公钥pk存储在可读存储器中。

5.根据权利要求2所述的一种基于身份信息的车内网络通信方法，其特征在于，步骤s2中，密钥管理器还产生第二随机数r2和第三随机数r3，分别作为所述对称密钥和所述mac生成密钥。

6.根据权利要求5所述的一种基于身份信息的车内网络通信方法，其特征在于，第一随机数r1、第二随机数r2和第三随机数r3均为量子随机数。

7.根据权利要求1所述的一种基于身份信息的车内网络通信方法，其特征在于，步骤s3中，发送方ecu将消息m输入自身的消息认证码生成器中，利用mac生成密钥生成所述第一消息认证码mac1；

8.根据权利要求7所述的一种基于身份信息的车内网络通信方法，其特征在于，消息认证码的生成过程如下：

9.根据权利要求8所述的一种基于身份信息的车内网络通信方法，其特征在于，发送方ecu在将包含有第一消息认证码mac1的消息组合发送给接收方ecu；接收方ecu接收到消息组合后，使用与发送方ecu相同的加密密钥和哈希函数，对消息进行计算以得到第二消息认证码mac2。

10.根据权利要求1所述的一种基于身份信息的车内网络通信方法，其特征在于，所述非对称加密算法采用rsa算法。

技术总结
本发明涉及车内网络安全的防护技术领域，公开了一种基于身份信息的车内网络通信方法。该方法包括步骤S1.基于ECU的身份信息为车内的各个ECU生成相应的公私钥对。S2.密钥管理器生成对称密钥和MAC生成密钥，然后采用非对称加密算法将其传输至各个ECU。S3.发送方ECU利用所要发送的消息和MAC生成密钥生成第一消息认证码MAC1，并通过对称密钥将消息及MAC1加密后发送给接收方ECU。S4.接收方ECU通过对称密钥对密文进行解密，并利用消息和MAC生成密钥生成第二消息认证码MAC2，随后通过对比MAC1和MAC2是否一致以判断消息的安全性。本发明使得车内网络通信更为安全，验证了消息的完整性。

技术研发人员：程腾,江文杰,张强,石琴,潘廷亮
受保护的技术使用者：合肥工业大学
技术研发日：
技术公布日：2024/3/17