车联网中汽车内部网络的安全通信方法

车联网中汽车内部网络的安全通信方法
【技术领域】
[0001] 本发明属于无线网络技术领域，涉及车内网的安全通信方法，可用于汽车行驶的 实时路况信息传递。
【背景技术】
[0002] 车内网通过提供互联网连接，移动设备连接，远程调试，固件空中更新以及自动防 碰撞等功能，来实现智能交通，车内娱乐和汽车智能。远程控制者希望能够实时了解汽车行 驶过程中各项实时参数，并可以进行远程控制。
[0003] 传统的车内网通常有70多个电子控制单元E⑶和连接这些控制单元的控制器局 域网络CAN总线构成。然而，CAN总线设计的时候并未考虑安全问题，例如：当控制器局域 网络CAN总线广播数据帧的时候，其由于没有考虑数据帧的机密性，使得一个恶意的攻击 者能够非常容易窃听到所广播的数据帧并且发起重放攻击。
[0004] 作为构成车联网的节点，如果一个汽车内部的控制网络本身不是安全的，就不能 够保证整个车联网是安全的。此外，随着车内网连接到外部网络，以前只能通过物理接触发 起的对汽车的攻击，现如今可以通过远程攻击的方式实现了。因此，车内网的安全问题必须 得到重视。
[0005] 针对安全问题，福特公司所提出的OpenXC框架，是一个较好解决此问题的平台。 OpenXC是汽车的一个应用接口API:通过安装一个小的硬件模块即网关可从一辆车的内部 网络读取和转换各种统计指标，数据可以被大多数使用OpenXC库的安卓应用程序所访问。 通过使用OpenXC库，外部节点不需要关联到车内网的数据帧格式，就能够便于用户的体 验。虽然国际上另一种方案证明了针对这种通过网关连接外部节点的车内网是安全的，但 是一些效率和认证问题仍然存在。
[0006] 为了实现车内网的安全通信，国内外各领域专家基于车内网CAN数据帧的特点， 提出各自的解决方案。然而，这些方案并没有达到实时控制的目的。一些方案的框架存在 一定问题：首先，为了实现外部节点直接和车内网相连，外部节点必须能够要知道各种车辆 的数据帧格式以及该数据帧所代表的含义，而现实中，各汽车生产商为了各自的商业机密， 其控制器局域网络CAN总线数据帧所代表的含义是不予公开并且各不相同的。其次，直接 与车内网相连，可能带来更多的安全问题。

【发明内容】

[0007] 本发明的目的在于针对上述已有技术的不足，提出了一种车联网中汽车内部网络 的安全通信方法，以尽量少的开销实现车内网通信的机密性，完整性和防止重放攻击，提高 车内网通信的安全性。
[0008] 为实现上述目的，本发明的技术方案包括如下步骤：
[0009] (1)建立一个由外部移动设备、网关、电子控制单元构成的安全通信系统框架：
[0010] (2)由汽车生产商为每辆汽车安装一个专门负责密钥管理的密钥电子控制单元 KECU，并完成汽车内部初始化密钥的分配过程：
[0011] (3)构建安全车内网，分配群组密钥；
[0012] (3a)电子控制单元E⑶向密钥电子控制单元KE⑶发送构建群组密钥的请求消 息；
[0013] (3b)密钥电子控制单元KE⑶对初始群组密钥种子#进行加密后，发送给电子控 制单元E⑶；
[0014] (3c)电子控制单元E⑶解密得到初始群组密钥种子尤f，并用<和密钥电子控制 单元KECU分配给的前项哈希链种子反f计算所需的群组密钥GK1;
[0015] (4)外部通信节点请求与车内网通信，汽车分配网关与外部通信节点连接，网关 GW向密钥电子控制单元KECU发送请求连接车内网消息；
[0016] (5)密钥电子控制单元KE⑶检查外部网关GW发送的证书Ce是否在自己持有的证 书注销列表中，如果证书Ce在该列表中，则丢弃网关GW的身份认证消息并发送警告信息给 车内网电子控制单元ECU;如果证书Ce不在该列表中，则执行步骤（6);
[0017] (6)网关GW在第j个时间内接入车内网中，密钥电子控制单元KE⑶给网关GW分 配群组密钥：
[0018] (6a)密钥电子控制单元KECU对第j个时间时的群组密钥种子0_i+1进行加密后 发送给网关GW;
[0019] (6b)网关GW进行解密操作得到，并用该密钥种子If#与车内网连接时产 生的前向哈希链种子< 汁算出网关GW接入后的群组密钥61^后接入车内网；
[0020] (7)密钥电子控制单元检验网关GW在不同通信周期内是否发生变化，若网关发生 变化，则执行步骤（11);若网关没有发生变化，则执行下一步；
[0021] (8)密钥电子控制单元检验群组密钥在一个通信周期时间内是否被使用，若群组 密钥被使用过，则执行步骤（10);若没被使用过，则执行下一步；
[0022] (9)网关GW用群组密钥加密外部通信节点发送的通信信息m，并将加密信息发送 到车内网中，完成外部节点与车内网的信息传输；
[0023] (10)群组密钥周期性更新：密钥电子控制单元KE⑶产生周期性更新的群组密钥 种子夂,1.并分配给电子控制单元ECU，电子控制单元ECU用该更新群组密钥与改变性 更新时采用的前向哈希链种子夂；进行哈希操作，得到周期性更新的群组密钥GKU;
[0024] (11)群组密钥改变性更新：密钥电子控制单元KE⑶产生改变性更新的群组密钥 种子夂,1/并分配给电子控制单元ECU，电子控制单元ECU用该新群组密钥与改变性更 新时采用的前向哈希链种子夂f,"进行哈希操作得到改变性更新的群组密钥GKn。
[0025] 本发明具有如下优点：
[0026] 1)本发明由于使用密钥电子控制单元管理和分发群组密钥，对车内网与外界通信 的消息进行加密，解决了通信信息泄露问题，提高了车内网通信机密性；
[0027] 2)本发明由于将各单元通信信息以消息认证码的方式传递，能够保证信息的完整 性，减少通信开销；
[0028] 3)本发明由于使用外部网关证书，使得车内网能够验证接入网关身份的合法性， 从而阻止了恶意网关对车内网的攻击。
【附图说明】
[0029]图1是本发明的实现流程图；
[0030]图2是本发明中构建的车内网安全通信系统模型图；
[0031] 图3是本发明中电子控制单元向密钥电子控制单元发送消息的数据帧格式；
[0032] 图4是本发明中密钥电子控制单元向电子控制单元发送回应消息的数据帧格式；
[0033] 图5是本发明中网关向密钥电子控制单元发送请求连接车内网消息的数据帧格 式；
[0034] 图6是本发明中密钥电子控制单元向网关发送返回消息的数据帧格式；
[0035] 图7是本发明与现有方案中的通信开销和计算开销对比图。 具体实施方案
[0036] 本发明的中心思想是基于控制局域网CAN总线的数据帧格式，电子控制单元计算 功能以及实时控制等特点，在尽量不改变现有车内网的软硬件的基础上，利用群组密钥形 成安全的车内网。网关得到验证后补充到车内网中，随后产生新的密钥保证外部节点和网 关之间的安全通信。
[0037]参照图1，本发明的实现步骤如下：
[0038] 步骤1，构建车内网安全通信系统模型。
[0039] 如图2所示，本步骤建立的车内网安全通信系统包括：外部通信节点EN、电子控制 单元E⑶、网关GW，其中外部通信节点与网关使用3G或4G蜂窝网或WiFi进行无线连接，网 关、电子控制单元双向有线连接。
[0040] 所述外部通信节点EN，使用3G或4G蜂窝网或WiFi通过网关GW与控制器局域网 络CAN中的电子控制单元ECU进行通信；
[0041] 所述网关GW，连接外部网络节点EN和车内网中的电子控制单元ECU，负责车内网 与