[发明专利]基于PUF的车内网络CAN总线轻量级安全通信方法

说明书

本发明公开了一种基于PUF的车内网络CAN总线轻量级安全通信方法，包括：在车内CAN总线上建立会话密钥，使得基于会话密钥进行总线通信；对于未注册外部设备，在车内网关ECU上注册未注册外部设备的身份信息，并协商密钥；对于已注册车外设备，根据已注册车外设备的身份信息和密钥计入车内CAN总线。该方法可以在实现CAN总线的内部安全密钥协商，以及与外部设备的安全认证接入。

技术领域

本发明涉及信息安全技术领域，特别涉及一种基于PUF的车内网络CAN总线轻量级安全通信方法。

背景技术

现代汽车已经从单纯的交通运输工具发展为面向多种连接方式的移动计算平台，无论是车辆内部控制单元的协同工作还是车辆与外部设备的连接都需要通过工业总线或无线通信协议进行信息的交互。在车辆内部存在的众多种类总线中，控制器局域网(Controller Area Network，CAN)占有举足轻重的地位，尤其是承担了众多安全关键功能，如碰撞预测和防抱死制动系统。近年来，车内集成的服务变得越发复杂和庞大，CAN总线肩负的功能也在快速扩展。它负责将车内上百个电子控制单元(Electronic Control Unit，ECU)连接起来，综合多个传感器、执行器和控制器完成复杂的驾驶指令，同时可通过车载诊断系统(On-Board Diagnostics，OBD-II)接口，以及车载蓝牙、蜂窝网络和互联网连接(如Wi-Fi和4G)接口等与外部设备相连接，传递消息和指令。

随着车辆通信功能的不断增强，车辆通信接口种类的增长，针对现代汽车的攻击手段正在迅速扩展，CAN总线面临的安全威胁也愈发严峻。在过去的十年里，有大量的研究表明，在实际道路测试中，攻击者已经具备了通过物理有线接入甚至无线远程接入等方式恶意控制汽车的能力。作为最重要的汽车接口，OBD-II接口提供了对车辆内部CAN总线网络的直接访问功能，CAN总线会在物理上暴露给来自外部接入设备的攻击者。此外，蓝牙、蜂窝网络等无线接口也可通过车内网关间接地连入CAN总线，攻击者可以通过以上接口实现车内通信的监听、恶意操控车辆的转向、制动、加速等功能，甚至篡改固件和内置代码。

目前，车辆面临的最常见的两类攻击手段分别为重放攻击和中继攻击。重放攻击是指攻击者重新发送一个目的主机已接收过的包，以此达到欺骗系统的目的。重放攻击用于身份认证过程时，可以伪装合法身份获得授权；当用于消息传输过程时可以充当一条可通过系统认证的非法消息，干扰系统的正常通信。

由于CAN总线在设计之初没有考虑到通信过程中的安全需求，面对着攻击者可以任意接入网络内部的现实情况，CAN总线的以下三大漏洞成为了亟待解决的安全问题：访问控制薄弱、缺乏认证机制和缺乏保密通信机制。同时，随着车内ECU设备的增长，总线上传输的消息更复杂，通信负载更大，这也要求为CAN总线设计的安全解决方案要保证高实时性，最低程度地影响总线传输的通信时延。

目前针对CAN总线的安全解决方案分为两类，入侵检测系统(IntrusionDetection System，IDS)和密码协议。入侵检测系统可以在不改变CAN总线消息帧结构的条件下，检测总线中的异常行为。然而，IDS系统只有在攻击者发出攻击行为后才能发现异常，难以具备预防攻击的能力，同时很难对攻击行为做出相应的防御动作。此外，总线上传输的消息依旧没有进行机密性保护，对于被动的窃听者不具备防范能力。相比较而言，密码协议提供了完备的保密性和完整性保护功能，覆盖了初始密钥协商、密钥更新、加密传输、外部设备接入等车辆通信各方面的安全需求。然而，现有面向CAN总线的密码协议在外部设备接入阶段，由于存在认证的需求，往往会采用计算复杂度很高的非对称密码算法，这会引入较大的计算开销和通信时延。而车内的ECU设备的会话密钥建立，也只依赖于GECU与各ECU间共享的长期对称密钥。这使得一旦长期密钥被窃取，协议的安全性将无法得到保障。因此，CAN总线密码协议需要更为轻量级，安全等级更高的解决方案。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。