CN113794734A - 车载can总线加密通信方法、控制装置和可读存储介质 - Google Patents
车载can总线加密通信方法、控制装置和可读存储介质 Download PDFInfo
- Publication number
- CN113794734A CN113794734A CN202111132209.XA CN202111132209A CN113794734A CN 113794734 A CN113794734 A CN 113794734A CN 202111132209 A CN202111132209 A CN 202111132209A CN 113794734 A CN113794734 A CN 113794734A
- Authority
- CN
- China
- Prior art keywords
- message
- authentication code
- ciphertext
- key
- temporary key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 3
- 230000001276 controlling effect Effects 0.000 description 32
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 11
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 11
- 102100039558 Galectin-3 Human genes 0.000 description 11
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 11
- 101150115300 MAC1 gene Proteins 0.000 description 11
- 101150051246 MAC2 gene Proteins 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000005484 gravity Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种车载CAN总线加密通信方法、控制装置和可读存储介质,所述车载CAN总线加密通信方法包括以下步骤:按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;使用所述临时密钥对报文明文进行加密以得到报文密文;使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;判断所述第一认证码和所述第二认证码是否一致;若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。通过实施本发明,保证了报文数据的机密性、完整性和真实性,达到了防止报文重放攻击的效果,保证了车载CAN总线通信的安全。
Description
技术领域
本发明涉及车载CAN通信领域,尤其涉及车载CAN总线加密通信方法、控制装置和计算机可读存储介质。
背景技术
随着智能网联汽车的快速发展,在智能交互、智能驾驶技术上的不断提升,车辆信息安全问题日益凸显。目前CAN(Controller Area Network控制器局域网络)总线仍是智能网联汽车车内通信的主要方式,其作为整个车联网链路上最底层的通讯网络,直接参与控制车辆各传感器、ECU(Electronic Control Unit电子控制单元,又称“行车电脑”、“车载电脑”等)以及执行器,其可控性直接影响整车安全。车联网与传统网络被攻击所造成的结果有明显的区别,车联网被成功攻破后不仅可能是后端TSP(Telematics Service Provider汽车远程服务提供商)服务平台的不可用、车厂或者用户的个人隐私敏感信息的泄露,还可能直接引发车辆安全事故,造成社会危害。因此对于智能网联汽车即使在传统的通信网络被攻破后,车内CAN总线仍需自身具备安全防御能力。
发明内容
本发明的主要目的在于提供一种车载CAN总线加密通信方法、控制装置和可读存储介质,旨在解决车载CAN总线通信缺乏对报文数据加密、来源真实性验证以及无防止重放攻击措施的技术问题。
为实现上述目的,本发明提供一种车载CAN总线加密通信方法,所述车载CAN总线加密通信方法包括以下步骤:
按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;
使用所述临时密钥对报文明文进行加密以得到报文密文;
使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;
判断所述第一认证码和所述第二认证码是否一致;
若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。
可选地,所述按照预设周期生成临时密钥的步骤之前包括:
在网关预置网关私钥,在各ECU模块预置网关公钥。
可选地,所述按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文的步骤包括:
控制所述网关按照预设周期生成临时密钥,并使用所述网关私钥对所述临时密钥通过非对称加密算法进行加密,得到密钥密文。
可选地,所述使用所述临时密钥对报文明文进行加密以得到报文密文的步骤之前包括:
控制所述各ECU模块接收所述密钥密文;
控制所述各ECU模块使用所述网关公钥对所述密钥密文通过非对称加密算法进行解密,以得到所述临时密钥。
可选地,所述各ECU模块包括发送端ECU,所述使用所述临时密钥对报文明文进行加密以得到报文密文的步骤包括:
控制所述发送端ECU使用所述临时密钥对报文明文进行对称加密以得到报文密文。
可选地,所述各ECU模块还包括接收端ECU,所述使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码的步骤包括:
控制所述发送端ECU使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码;
控制所述发送端ECU将所述报文密文和所述第一认证码发送至接收端ECU;
控制所述接收端ECU接收所述报文密文和所述第一认证码,并使用所述临时密钥对所述报文密文进行消息认证以得到第二认证码。
可选地,所述对判断所述第一认证码和所述第二认证码是否一致的步骤包括:
控制所述接收端ECU对比判断所述第一认证码和所述第二认证码是否一致;
所述使用所述临时密钥解密所述报文密文以得到所述报文明文的步骤包括:
控制所述接收端ECU使用所述临时密钥对所述报文密文基于对称加密算法进行解密以得到所述报文明文。
可选地,所述判断所述第一认证码和所述第二认证码是否一致的步骤之后还包括:
若所述第一认证码和所述第二认证码不一致,则控制所述接收端ECU返回报文异常消息,并丢弃接收到的所述报文密文。
此外,为实现上述目的,本发明还提供一种控制装置,所述控制装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的车载CAN总线加密通信程序,所述车载CAN总线加密通信程序被所述处理器执行时实现如上所述任一项所述的车载CAN总线加密通信方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有车载CAN总线加密通信程序,所述车载CAN总线加密通信程序被处理器执行时实现如上所述任一项所述的车载CAN总线加密通信方法的步骤。
本发明提出的一种车载CAN总线加密通信方法,按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块,使用所述临时密钥对报文明文进行加密以得到报文密文,由于CAN总线对报文加密的密钥是变化的,用于加密的密钥的安全性得到提高,可以有效防止对用于加密的密钥的暴力破解分析;由于CAN总线对报文加密的密钥是变化的,ECU对于重放的数据报文将无法解密执行,可以有效的防止CAN总线的重放攻击;且由于CAN总线发送的报文数据是通过加密后再传输,可以有效防止报文数据被窃听截取后的逆向分析;通过使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码,判断所述第一认证码和所述第二认证码是否一致,若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文,由于数据报文的发送端和接收端都经过消息认证码算法计算MAC值进行对比,故可以保证数据报文的完整性,防止数据报文被篡改;综上所述,通过实施本发明,保证了报文数据的机密性、完整性和真实性,达到了防止报文重放攻击的效果,保证了车载CAN总线通信的安全。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明车载CAN总线加密通信方法第一实施例的流程示意图;
图3为本发明车载CAN总线加密通信方法中临时密钥的生成与分发过程示意图;
图4为本发明车载CAN总线加密通信方法中临时密钥在CAN总线通信时的应用过程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:一种车载CAN总线加密通信方法,所述车载CAN总线加密通信方法包括以下步骤:
按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;
使用所述临时密钥对报文明文进行加密以得到报文密文;
使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;
判断所述第一认证码和所述第二认证码是否一致;
若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。
由于智能网联汽车的快速发展,在智能交互、智能驾驶技术上的不断提升,车辆信息安全问题日益凸显。目前CAN总线仍是智能网联汽车车内通信的主要方式,其作为整个车联网链路上最底层的通讯网络,直接参与控制车辆各传感器、ECU以及执行器,其可控性直接影响整车安全。车联网与传统网络被攻击所造成的结果有明显的区别,车联网被成功攻破后不仅可能是后端TSP服务平台的不可用、车厂或者用户的个人隐私敏感信息的泄露,还可能直接引发车辆安全事故,造成社会危害。因此对于智能网联汽车即使在传统的通信网络被攻破后,车内CAN总线仍需自身具备安全防御能力。
目前传统的CAN总线为广播式通信,缺乏对报文数据来源真实性验证以及无报文加密措施,无法抵御CAN网络中的重放攻击和DoS攻击等。若车辆遭受网络入侵渗透到车内CAN总线网络时各个ECU模块将面临严重的威胁,严重将引发车辆安全事故。
本发明实施例提供一种车载CAN总线加密通信方法,按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块,使用所述临时密钥对报文明文进行加密以得到报文密文,由于CAN总线对报文加密的密钥是变化的,用于加密的密钥的安全性得到提高,可以有效防止对用于加密的密钥的暴力破解分析;由于CAN总线对报文加密的密钥是变化的,ECU对于重放的数据报文将无法解密执行,可以有效的防止CAN总线的重放攻击;且由于CAN总线发送的报文数据是通过加密后再传输,可以有效防止报文数据被窃听截取后的逆向分析;通过使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码,判断所述第一认证码和所述第二认证码是否一致,若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文,由于数据报文的发送端和接收端都经过消息认证码算法计算MAC值进行对比,故可以保证数据报文的完整性,防止数据报文被篡改;综上所述,通过实施本发明,保证了报文数据的机密性、完整性和真实性,达到了防止报文重放攻击的效果,保证了车载CAN总线通信的安全。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是车载电脑,也可以是PC、智能手机、平板电脑、便携计算机等能够与车载控制系统建立连接的终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示屏的亮度,接近传感器可在移动终端移动到耳边时,关闭显示屏和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别移动终端姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;当然,移动终端还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及车载CAN总线加密通信程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的车载CAN总线加密通信程序,并执行以下操作:
按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;
使用所述临时密钥对报文明文进行加密以得到报文密文;
使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;
判断所述第一认证码和所述第二认证码是否一致;
若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
在网关预置网关私钥,在各ECU模块预置网关公钥。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
所述按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文的步骤包括:
控制所述网关按照预设周期生成临时密钥,并使用所述网关私钥对所述临时密钥通过非对称加密算法进行加密,得到密钥密文。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
控制所述各ECU模块接收所述密钥密文;
控制所述各ECU模块使用所述网关公钥对所述密钥密文通过非对称加密算法进行解密,以得到所述临时密钥。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
所述各ECU模块包括发送端ECU,所述使用所述临时密钥对报文明文进行加密以得到报文密文的步骤包括:
控制所述发送端ECU使用所述临时密钥对报文明文进行对称加密以得到报文密文。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
所述各ECU模块还包括接收端ECU,所述使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码的步骤包括:
控制所述发送端ECU使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码;
控制所述发送端ECU将所述报文密文和所述第一认证码发送至接收端ECU;
控制所述接收端ECU接收所述报文密文和所述第一认证码,并使用所述临时密钥对所述报文密文进行消息认证以得到第二认证码。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
所述对判断所述第一认证码和所述第二认证码是否一致的步骤包括:
控制所述接收端ECU对比判断所述第一认证码和所述第二认证码是否一致;
所述使用所述临时密钥解密所述报文密文以得到所述报文明文的步骤包括:
控制所述接收端ECU使用所述临时密钥对所述报文密文基于对称加密算法进行解密以得到所述报文明文。
进一步地,处理器1001可以调用存储器1005中存储的车载CAN总线加密通信程序,还执行以下操作:
若所述第一认证码和所述第二认证码不一致,则控制所述接收端ECU返回报文异常消息,并丢弃接收到的所述报文密文。
参照图2,本发明第一实施例提供一种车载CAN总线加密通信方法,所述车载CAN总线加密通信方法包括:
步骤S10,按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;
需要说明的是,本实施例中,执行主体为控制装置,所述控制装置可以是车载电脑,也可以是PC、智能手机、平板电脑、便携计算机等能够与车载控制系统建立连接的终端设备。所述车载电脑通过车载CAN总线向各模块发送操作指令,使得各模块能够根据所述操作指令执行对应的动作。所述预设周期在本实施例中被设定为3分钟,该周期也可以被人为设定,例如1分钟、5分钟、1小时等,具体可根据使用者的加密通信的需求进行设置。所述临时密钥由于是按照预设周期生成,故可以理解为周期性密钥,它可以由随机数组合生成,也可以根据使用者提供的配置文件生成特定格式但顺序随机的密钥,例如大小写字母加数字加符号等等。
本实施例中,步骤S10之前包括:
在网关预置网关私钥,在各ECU模块预置网关公钥。
需要说明的是,汽车车内的通信系统中包括网关和各ECU模块,步骤S10中周期性密钥生成的前提是在各个ECU内预置了网关的公钥Pa,网关预置了自己私钥Sa,该预置过程都在产线完成,以上公私钥预置的过程都是写入后存储在各模块安全可靠的环境中以保证公私钥的安全。
本实施例中,步骤S10中按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文的步骤包括:
控制所述网关按照预设周期生成临时密钥,并使用所述网关私钥对所述临时密钥通过非对称加密算法进行加密,得到密钥密文。
可以理解的是,车载电脑通过CAN网络给网关发送指令使其生成周期性密钥,参照图3,网关使用网关私钥Sa对临时密钥明文通过非对称加密算法进行加密后,得到了临时密钥密文,即所述密钥密文,在得到所述密钥密文之后将其发给了各ECU。
需要说明的是,所述非对称加密算法即加密和解密时使用的密钥不同,例如本实施例中使用的是网关私钥Sa进行加密,后续会提到各ECU模块使用网关公钥Pa进行解密。
步骤S20,使用所述临时密钥对报文明文进行加密以得到报文密文;
本实施例中,步骤S20之前包括:
控制所述各ECU模块接收所述密钥密文;
控制所述各ECU模块使用所述网关公钥对所述密钥密文通过非对称加密算法进行解密,以得到所述临时密钥。
可以理解的是,在控制网关发送了密钥密文之后,需要控制各ECU模块接收所述密钥密文,并对所述密钥密文通过非对称加密算法进行解密以得到所述临时密钥,即后续发送报文的过程中所需要使用的密钥,所述非对称解密对应前述步骤中的非对称加密,参照图3,各ECU用预置的网关公钥Pa对临时密钥密文通过非对称加密算法进行解密后,得到了临时密钥明文,并将所述临时密钥保存在本地。
本实施例中,所述各ECU模块包括发送端ECU,步骤S20包括:
控制所述发送端ECU使用所述临时密钥对报文明文进行对称加密以得到报文密文。
需要说明的是,所述发送端ECU即需要向CAN网络中发送消息的ECU,所述报文明文即所述发送端ECU需要发送的报文,所述对称加密指的是加密和解密用的是同一把密钥。
可以理解的是,需要向CAN网络中发送消息的ECU,在发送报文前需用临时密钥对需要发送的报文,进行对称加密得到报文密文。
具体实现中,参照图4,从图4中可以看到发送报文的ECU将报文明文和临时密钥经过对称加密算法得到报文密文。
步骤S30,使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;
本实施例中,所述各ECU模块还包括接收端ECU,步骤S30包括:
控制所述发送端ECU使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码;
控制所述发送端ECU将所述报文密文和所述第一认证码发送至接收端ECU;
控制所述接收端ECU接收所述报文密文和所述第一认证码,并使用所述临时密钥对所述报文密文进行消息认证以得到第二认证码。
需要说明的是,所述接收端ECU即接收报文的ECU,本实施例中,所述第一认证码为发送端ECU用报文密文和保存在本地的临时密钥经过消息认证码算法得到报文的消息认证码MAC1,所述第二认证码为接受端ECU收到消息后利用接受到的报文密文和保存在本地的临时密钥经过消息认证码算法得到报文的消息认证码MAC2。
所述消息认证码算法有两种计算方式:
一种是利用已有的加密算法,如DES等直接对摘要值进行加密处理;另一种是使用专门的MAC算法。HMAC,它基于MD5或者SHA-1,在计算散列值时将密钥和数据同时作为输入,并采用了二次散列迭代的方式,实际计算方法如下:
HMAC(K,M)=H(K⊕opad⊕H(K⊕ipad⊕M))
其中K是密钥,长度应为64字节,若小于该长度,则自动在密钥后面用“0”填充补足。M是消息;H是散列函数;opad和Ipad分别是由若干个0x5c和0x36组成的字符串;⊕表示异或运算,∣表示连接操作。
可以理解的是,所述MAC1和所述MAC2并非在同一模块生成,而是在发送端ECU和接收端ECU分别生成,其中,所述第一认证码在发送端ECU生成,生成后发送端ECU将发送给接收端ECU,所述第二认证码在接收端ECU生成,接受报文的ECU收到消息后利用接收到的密文A和保存在本地的临时密钥经过消息认证码算法得到报文的消息认证码MAC2。
具体实现中,参照图4,从图4中可以看到发送报文的ECU将报文密文和临时密钥经过消息认证码算法得到MAC1,然后将报文密文和MAC1发送至接收报文的ECU,接收报文的ECU将报文密文和临时密钥经过消息认证码算法得到MAC2。
步骤S40,判断所述第一认证码和所述第二认证码是否一致;
可以理解的是,密文在传输过程中是否可能被黑客截取修改,而判断所述第一认证码和第二认证码是否一致,即可得知密文是否被修改过。
本实施例中,步骤S40包括:
控制所述接收端ECU对比判断所述第一认证码和所述第二认证码是否一致。
可以理解的是,比对和判断的过程是在接收端ECU上执行的,因为第二认证码是在所述接收端ECU上生成的,只有在两个认证码都存在的情况下才能进行对比判断。
具体实现中,参照图4,从图4中可以得知,接收报文的ECU在得到MAC2后,会对比MAC1和MAC2。
步骤S50,若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。
本实施例中,步骤S50中使用所述临时密钥解密所述报文密文以得到所述报文明文的步骤包括:
控制所述接收端ECU使用所述临时密钥对所述报文密文基于对称加密算法进行解密以得到所述报文明文。
可以理解的是,若MAC1和MAC2一致,则表示报文密文在传输过程中并未出现问题,此时使用接收端ECU本地保存的临时密钥将报文密文解密,即所述对称解密,即可得到发送端ECU原本需要发送的报文明文。
具体实现中,参照图4,从图4可以得知,接收报文的ECU在对比完MAC1和MAC2后,若MAC1与MAC2一致,将报文密文和临时密钥经过对称加密算法得到报文明文。
本实施例中,步骤S40之后还包括:
若所述第一认证码和所述第二认证码不一致,则控制所述接收端ECU返回报文异常消息,并丢弃接收到的所述报文密文。
可以理解的是,若MAC1和MAC2不一致,则表示报文密文在传输途中可能被截取后修改替换了,或者因为某些不明原因导致报文密文的数据损坏了,此时即使将报文密文解密也无法获取到原来需要传递的信息,故返回报文异常消息,直接丢弃接收到的报文密文。
具体实现中,参照图4,从图4可以得知,接收报文的ECU在对比完MAC1和MAC2后,若MAC1与MAC2不一致,向发送报文的ECU返回报文异常消息并丢弃报文。
在本实施例中,由于CAN总线发送的报文数据是通过加密后再传输,可以有效防止报文数据被窃听截取后的逆向分析;由于CAN总线对报文加密的密钥是变化的,用于加密的密钥的安全性得到提高,可以有效防止对用于加密的密钥的暴力破解分析;由于CAN总线对报文加密的密钥是变化的,ECU对于重放的数据报文将无法解密执行,可以有效的防止CAN总线的重放攻击;由于整车各ECU收到的临时密钥是经过网关私钥加密后发出的,在起到对临时密钥传输加密的同时还对临时密钥的来源完成了身份认证,间接保证了各ECU间通信时身份的合法性和真实性;由于数据报文的发送端和接收端都经过消息认证码算法计算MAC值进行对比,故可以保证数据报文的完整性,防止数据报文被篡改。进行CAN报文加密的密钥是周期性变化的,密钥的安全性得到提高;报文数据的机密性得到保证;可以避免发生CAN网络的重放攻击;用于加密的密钥是经网关私钥加密后分发给各ECU的,间接保证了各ECU间通信时身份的合法性和真实性。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有车载CAN总线加密通信程序,所述车载CAN总线加密通信程序被处理器执行时实现上述各实施例中车载CAN总线加密通信方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种车载CAN总线加密通信方法,其特征在于,所述车载CAN总线加密通信方法包括以下步骤:
按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文,将所述密钥密文通过车载CAN总线发送至各ECU模块;
使用所述临时密钥对报文明文进行加密以得到报文密文;
使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码;
判断所述第一认证码和所述第二认证码是否一致;
若所述第一认证码和所述第二认证码一致,则使用所述临时密钥解密所述报文密文以得到所述报文明文。
2.如权利要求1所述的车载CAN总线加密通信方法,其特征在于,所述按照预设周期生成临时密钥的步骤之前包括:
在网关预置网关私钥,在各ECU模块预置网关公钥。
3.如权利要求2所述的车载CAN总线加密通信方法,其特征在于,所述按照预设周期生成临时密钥,对所述临时密钥进行加密以得到密钥密文的步骤包括:
控制所述网关按照预设周期生成临时密钥,并使用所述网关私钥对所述临时密钥通过非对称加密算法进行加密,得到密钥密文。
4.如权利要求2所述的车载CAN总线加密通信方法,其特征在于,所述使用所述临时密钥对报文明文进行加密以得到报文密文的步骤之前包括:
控制所述各ECU模块接收所述密钥密文;
控制所述各ECU模块使用所述网关公钥对所述密钥密文通过非对称加密算法进行解密,以得到所述临时密钥。
5.如权利要求1所述的车载CAN总线加密通信方法,其特征在于,所述各ECU模块包括发送端ECU,所述使用所述临时密钥对报文明文进行加密以得到报文密文的步骤包括:
控制所述发送端ECU使用所述临时密钥对报文明文进行对称加密以得到报文密文。
6.如权利要求5所述的车载CAN总线加密通信方法,其特征在于,所述各ECU模块还包括接收端ECU,所述使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码和第二认证码的步骤包括:
控制所述发送端ECU使用所述临时密钥对所述报文密文进行消息认证以得到第一认证码;
控制所述发送端ECU将所述报文密文和所述第一认证码发送至接收端ECU;
控制所述接收端ECU接收所述报文密文和所述第一认证码,并使用所述临时密钥对所述报文密文进行消息认证以得到第二认证码。
7.如权利要求5所述的车载CAN总线加密通信方法,其特征在于,所述对判断所述第一认证码和所述第二认证码是否一致的步骤包括:
控制所述接收端ECU对比判断所述第一认证码和所述第二认证码是否一致;
所述使用所述临时密钥解密所述报文密文以得到所述报文明文的步骤包括:
控制所述接收端ECU使用所述临时密钥对所述报文密文基于对称加密算法进行解密以得到所述报文明文。
8.如权利要求6所述的车载CAN总线加密通信方法,其特征在于,所述判断所述第一认证码和所述第二认证码是否一致的步骤之后还包括:
若所述第一认证码和所述第二认证码不一致,则控制所述接收端ECU返回报文异常消息,并丢弃接收到的所述报文密文。
9.一种控制装置,其特征在于,所述控制装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的车载CAN总线加密通信程序,所述车载CAN总线加密通信程序被所述处理器执行时实现如权利要求1至8中任一项所述的车载CAN总线加密通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有车载CAN总线加密通信程序,所述车载CAN总线加密通信程序被处理器执行时实现如权利要求1至8中任一项所述的车载CAN总线加密通信方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111132209.XA CN113794734A (zh) | 2021-09-26 | 2021-09-26 | 车载can总线加密通信方法、控制装置和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111132209.XA CN113794734A (zh) | 2021-09-26 | 2021-09-26 | 车载can总线加密通信方法、控制装置和可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113794734A true CN113794734A (zh) | 2021-12-14 |
Family
ID=79184425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111132209.XA Pending CN113794734A (zh) | 2021-09-26 | 2021-09-26 | 车载can总线加密通信方法、控制装置和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113794734A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500112A (zh) * | 2022-04-12 | 2022-05-13 | 北京智科车联科技有限公司 | 语音播报方法、车载喇叭、车载终端和车辆 |
| CN114697119A (zh) * | 2022-04-07 | 2022-07-01 | 中国工商银行股份有限公司 | 数据检验方法、装置、计算机可读存储介质及电子设备 |
| CN114785557A (zh) * | 2022-03-28 | 2022-07-22 | 重庆长安汽车股份有限公司 | 一种整车对称密钥分发系统、方法及存储介质 |
| CN115314253A (zh) * | 2022-07-06 | 2022-11-08 | 湖南行必达网联科技有限公司 | 数据处理方法、装置、系统、设备及作业机械 |
| CN115396190A (zh) * | 2022-08-24 | 2022-11-25 | 北京天融信网络安全技术有限公司 | 一种数据加密的方法、解密方法及装置 |
| CN115459973A (zh) * | 2022-08-30 | 2022-12-09 | 重庆长安汽车股份有限公司 | 安全通信认证方法、装置、系统及存储介质 |
| CN115499124A (zh) * | 2022-11-17 | 2022-12-20 | 达芬骑动力科技(北京)有限公司 | 一种数据传输方法、系统及电动汽车 |
| CN116055181A (zh) * | 2023-01-28 | 2023-05-02 | 中汽研汽车检验中心(天津)有限公司 | 一种基于时钟同步技术的数据篡改行为识别方法及装置 |
| CN117395003A (zh) * | 2023-12-11 | 2024-01-12 | 智极(广州)科技有限公司 | 一种低成本高可靠的车载can总线安全通信方法及安全通信系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170118020A1 (en) * | 2015-10-21 | 2017-04-27 | Leauto Intelligent Technology (Beijing) Co. Ltd. | Data communication method, system and gateway for in-vehicle network including a plurality of subnets |
| US20180084412A1 (en) * | 2016-09-20 | 2018-03-22 | 2236008 Ontario Inc. | In-vehicle networking |
| CN108965218A (zh) * | 2017-05-25 | 2018-12-07 | 华为技术有限公司 | 一种控制器区域网总线安全通信方法、装置及系统 |
| US20190007215A1 (en) * | 2015-06-29 | 2019-01-03 | Clarion Co., Ltd. | In-vehicle information communication system and authentication method |
| CN110492995A (zh) * | 2019-07-25 | 2019-11-22 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种用于汽车电子控制单元通信的密钥交换方法 |
| CN110635893A (zh) * | 2019-09-21 | 2019-12-31 | 吉林大学 | 一种车载以太网信息安全防护方法 |
| CN111077883A (zh) * | 2019-12-27 | 2020-04-28 | 国家计算机网络与信息安全管理中心 | 一种基于can总线的车载网络安全防护方法及装置 |
| CN111294795A (zh) * | 2018-12-10 | 2020-06-16 | 大陆汽车电子(连云港)有限公司 | 用于实现车内通信的系统 |
| CN111740825A (zh) * | 2020-07-20 | 2020-10-02 | 中国科学院电工研究所 | 一种can总线多网络节点的认证方法及系统 |
| CN111865922A (zh) * | 2020-06-23 | 2020-10-30 | 国汽(北京)智能网联汽车研究院有限公司 | 一种通信方法、装置、设备及存储介质 |
| CN112600838A (zh) * | 2020-12-08 | 2021-04-02 | 国汽(北京)智能网联汽车研究院有限公司 | 一种can总线数据的加密方法、装置、存储介质及电子设备 |
-
2021
- 2021-09-26 CN CN202111132209.XA patent/CN113794734A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190007215A1 (en) * | 2015-06-29 | 2019-01-03 | Clarion Co., Ltd. | In-vehicle information communication system and authentication method |
| US20170118020A1 (en) * | 2015-10-21 | 2017-04-27 | Leauto Intelligent Technology (Beijing) Co. Ltd. | Data communication method, system and gateway for in-vehicle network including a plurality of subnets |
| US20180084412A1 (en) * | 2016-09-20 | 2018-03-22 | 2236008 Ontario Inc. | In-vehicle networking |
| CN108965218A (zh) * | 2017-05-25 | 2018-12-07 | 华为技术有限公司 | 一种控制器区域网总线安全通信方法、装置及系统 |
| CN111294795A (zh) * | 2018-12-10 | 2020-06-16 | 大陆汽车电子(连云港)有限公司 | 用于实现车内通信的系统 |
| CN110492995A (zh) * | 2019-07-25 | 2019-11-22 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种用于汽车电子控制单元通信的密钥交换方法 |
| CN110635893A (zh) * | 2019-09-21 | 2019-12-31 | 吉林大学 | 一种车载以太网信息安全防护方法 |
| CN111077883A (zh) * | 2019-12-27 | 2020-04-28 | 国家计算机网络与信息安全管理中心 | 一种基于can总线的车载网络安全防护方法及装置 |
| CN111865922A (zh) * | 2020-06-23 | 2020-10-30 | 国汽(北京)智能网联汽车研究院有限公司 | 一种通信方法、装置、设备及存储介质 |
| CN111740825A (zh) * | 2020-07-20 | 2020-10-02 | 中国科学院电工研究所 | 一种can总线多网络节点的认证方法及系统 |
| CN112600838A (zh) * | 2020-12-08 | 2021-04-02 | 国汽(北京)智能网联汽车研究院有限公司 | 一种can总线数据的加密方法、装置、存储介质及电子设备 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785557A (zh) * | 2022-03-28 | 2022-07-22 | 重庆长安汽车股份有限公司 | 一种整车对称密钥分发系统、方法及存储介质 |
| CN114785557B (zh) * | 2022-03-28 | 2023-06-06 | 重庆长安汽车股份有限公司 | 一种整车对称密钥分发系统、方法及存储介质 |
| CN114697119A (zh) * | 2022-04-07 | 2022-07-01 | 中国工商银行股份有限公司 | 数据检验方法、装置、计算机可读存储介质及电子设备 |
| CN114697119B (zh) * | 2022-04-07 | 2023-10-10 | 中国工商银行股份有限公司 | 数据检验方法、装置、计算机可读存储介质及电子设备 |
| CN114500112A (zh) * | 2022-04-12 | 2022-05-13 | 北京智科车联科技有限公司 | 语音播报方法、车载喇叭、车载终端和车辆 |
| CN115314253B (zh) * | 2022-07-06 | 2023-08-11 | 湖南行必达网联科技有限公司 | 数据处理方法、装置、系统、设备及作业机械 |
| CN115314253A (zh) * | 2022-07-06 | 2022-11-08 | 湖南行必达网联科技有限公司 | 数据处理方法、装置、系统、设备及作业机械 |
| CN115396190A (zh) * | 2022-08-24 | 2022-11-25 | 北京天融信网络安全技术有限公司 | 一种数据加密的方法、解密方法及装置 |
| CN115459973A (zh) * | 2022-08-30 | 2022-12-09 | 重庆长安汽车股份有限公司 | 安全通信认证方法、装置、系统及存储介质 |
| CN115499124A (zh) * | 2022-11-17 | 2022-12-20 | 达芬骑动力科技(北京)有限公司 | 一种数据传输方法、系统及电动汽车 |
| WO2024104218A1 (zh) * | 2022-11-17 | 2024-05-23 | 达芬骑动力科技(北京)有限公司 | 一种数据传输方法、系统及电动汽车 |
| CN116055181B (zh) * | 2023-01-28 | 2023-07-11 | 中汽研汽车检验中心(天津)有限公司 | 一种基于时钟同步技术的数据篡改行为识别方法及装置 |
| CN116055181A (zh) * | 2023-01-28 | 2023-05-02 | 中汽研汽车检验中心(天津)有限公司 | 一种基于时钟同步技术的数据篡改行为识别方法及装置 |
| CN117395003A (zh) * | 2023-12-11 | 2024-01-12 | 智极(广州)科技有限公司 | 一种低成本高可靠的车载can总线安全通信方法及安全通信系统 |
| CN117395003B (zh) * | 2023-12-11 | 2024-03-08 | 智极(广州)科技有限公司 | 一种低成本高可靠的车载can总线安全通信方法及安全通信系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113794734A (zh) | 车载can总线加密通信方法、控制装置和可读存储介质 | |
| CN109472166B (zh) | 一种电子签章方法、装置、设备及介质 | |
| CN107743067B (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| CN105635147A (zh) | 基于车载特种装备系统的数据安全传输方法及系统 | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| US20180219688A1 (en) | Information Transmission Method and Mobile Device | |
| CN113114668B (zh) | 一种信息传输方法、移动终端、存储介质及电子设备 | |
| CN106487659B (zh) | 信息加密方法、信息加密装置及终端 | |
| CN115396121B (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
| CN107154935B (zh) | 业务请求方法及装置 | |
| CN110719173A (zh) | 一种信息处理方法及装置 | |
| CN111845624B (zh) | 一种无钥匙启动车辆的方法 | |
| CN106845177A (zh) | 密码管理方法及系统 | |
| CN110677382A (zh) | 数据安全处理方法、装置、计算机系统及存储介质 | |
| CN110690956A (zh) | 双向认证方法及系统、服务器和终端 | |
| CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
| CN114419765A (zh) | Nfc卡实现车辆安全控制的方法、装置及可读存储介质 | |
| CN114125832A (zh) | 一种网络连接方法及终端、待配网设备、存储介质 | |
| CN106161472A (zh) | 一种数据加密的方法、装置及系统 | |
| US20240073020A1 (en) | Digital key pairing method, pairing system, and vehicle | |
| CN108599961A (zh) | 一种通信方法、车载终端、汽车服务平台及系统 | |
| CN111444496A (zh) | 应用控制方法、装置、设备以及存储介质 | |
| CN111541660B (zh) | 用于远程车辆控制的身份认证方法 | |
| CN116760575A (zh) | 异常控制指令的检测方法、装置、电子设备及存储介质 | |
| CN114338173B (zh) | 一种账户注册方法、系统、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211214 |