一种面向CAN网络的信息安全增强方法及控制器,所述控制器包括:跳变控制模块(1)、应用层ID模块(2)、ID跳变表模块(3)、消息计数器(4)、接收过滤器(5)。消息发送状态:控制器将应用层的消息ID映射为物理层ID后再经物理线路传输;接收状态:物理层ID在通过接收过滤器(5)后,控制器将消息ID将还原为应用层ID并写入FIFO缓存。所述方法通过消息计数器同步和相对优先级映射保障各ECU所存储的ID表格处在同一页面,且各时刻下全局ID的优先级相对顺序固定,实现物理层ID传输的匿名化。本发明专利技术可有效提高CAN网络防逆向工程能力和抵御重放伪装等攻击,兼容现有汽车网络应用设计,具有实时不占带宽的特点。
【技术实现步骤摘要】
一种面向CAN网络的信息安全增强方法及控制器
本专利技术是一种面向CAN网络的信息安全增强方法及控制器,特别是一种实时的信息安全增强方法和CAN信息安全增强控制器设计,可用于汽车电子网络、工业设备现场控制网络等多种工业系统领域。
技术介绍
随着汽车不断朝着智能化、互联化和电动化以及无人驾驶方向的的不断发展,越来越多的汽车电子内部网络开始通过OBD、WIFI、Bluetooth等接口与外部网络进行通信,一方面給汽车赋予更多智能化和舒适的功能,同时也給汽车带来了新的信息安全问题,CAN网络作为使用最为广泛的一种汽车内部网络,其本身的设计的初衷在于提供一种高效率、稳健的现场总线网络,旨在降低链接汽车各个ECU的线束和降低汽车生产成本,提高效率,并没有考虑信息安全方面的问题,已有研究者通过实验实现了对汽车的远程无线攻击和控制,越来越多的研究表明针对汽车CAN网络的安全攻击成为可能,例如Dos攻击和重放攻击,针对CAN网络的安全攻击将造成严重的用户生命财产损失;然而CAN在设计之初没有考虑信息安全的问题,缺乏消息认证和数据加密的功能,但在汽车领域通过CAN网络互联的ECU往往是安全关键的,例如防抱死系统(Anti-lockBrakingSystem(ABS))等,这类系统有着严格的端到端的时延和强实时间约束,因此在设计信息安全增强方法的同时需要考虑到计算和通信时间开销給这类系统带来的问题。针对CAN的信息安全增强设计显得尤其重要,现有研究在进行信息安全争强的同时不免带来了更多的计算和通信开销,而本专利技术旨在不增加计算资源和通信开销的情况下,利用CAN网络本身的广播通信的特性,采用了消息计数器作为同步参数,提出一种消息ID跳变的信息安全增强方法,并为实现本方法设计了基于FPGA的信息安全增强控制器设计,这种优化方案也符合当代汽车系统的增量设计风格,即在不改变原有平台的前提下仅对当前系统进行渐进式的升级。CAN网络是一种基于广播的消息ID优先级总线,1986年由RobertBoschGmbH专利技术,被设计用于满足汽车实时系统下串行总线要求,具有良好的抗干扰能力和较高的带宽,现在已经成为汽车总线协议的标准规范,被广泛应用于汽车领域,CAN具有四种不同的协议帧。其中基本协议帧由仲裁ID域、控制域、数据域、CRC域、ACK域和帧结束符以及3bits的帧间隔位组成,其中普通帧仲裁ID域为11bits,扩展帧为29bits。CAN采用无损仲裁方式解决消息并发冲突,ID域即作为消息的接收目的节点识别符,同时也是消息传输冲突时用于仲裁的优先级,其中ID数值越小,优先级越高。目前的CAN协议及其信息安全增强方法存在以下不足:1)一般的CAN协议本身没有安全机制,CAN协议是一种基于广播的串行总线网络,因此一旦被非法接入,攻击者即可实现消息侦听、重放、伪装攻击等行为,CAN消息采用基于优先级的无损仲裁机制,其消息ID数值越小,优先级越高;2)现有的信息安全增强方法主要包括,消息加密、MAC等方法、CAN+三种类型,其中消息加密需要消耗大量的计算资源和时间开销,MAC的方法不可避免的需要消耗消息桢的有效数据段,而CAN协议的数据段资源仅有16Bytes,CAN+协议需要通过握手等方式实现消息的认证,这将需要额外的消息,降低了网络有效利用,另外更重要的是,以上针对CAN的信息安全增强方法都将影响CAN消息的可调度行分析,这对汽车电子这类安全关键的实时系统将造成重大影响。综上,现有的CAN是一种缺乏信息安全保护机制的网络协议,而现有的信息安全增强方案又将带来计算和时间的开销,且将影响系统消息的可调度性。
技术实现思路
本专利技术的首要目的是,针对当前CAN协议无法提供信息安全保障,且现有针对CAN协议提出的信息安全争强方法存在计算和通信带宽及时间开销的问题,提供一种实时,符合汽车产品开发特点的CAN协议信息安全增强方法,并通过FPGA设计了专用控制器来实现该方法,通过采用本专利技术方法能够有效抵御CAN网络中的重放,伪装等攻击,提高系统防范逆向工程的效果,使用本专利技术可兼容现有系统设计,因此具有经济高效的特点。为解决上述技术问题,本专利技术采用以下技术方案,一种面向CAN网络的信息安全增强方法及控制器,它的步骤为:(1)根据系统设计需求和资源约束,完成可调度性分析、消息集分配及消息优先级ID分配后确定系统ECU集合E{e1,e2,e3,…,en}中所有ECU节点的应用层消息数量N及其相对优先级顺序Pm{p1,p2,…,pn},根据系统需求对ECU进行消息分配,确定各个ECU所包含消息子集Ei(m1,m2,m3,…,mn)(包括发送和接收消息);(2)从可用CAN消息ID可选范围0-2048中选取数量为N的不重复消息ID集按照优先级从高到低的顺序排序后作为一组物理层ID作为一页ID组,按信息安全级别的1、2、3级分布生成4、8、16组组合系统层面ID_hopping_table;(3)根据消息子集Ei(m1,m2,m3,…,mn)、Pm{p1,p2,…,pn}和系统层ID_hopping_table按照消息分配,生成ECU层面Ei_ID_hopping_table,并依据其中各页ID接收消息集合生成各ECU对应的新的掩码及消息过滤寄存器相加后得到新的Ei_ID_hopping_table;(4)在系统生成部署阶段将Ei_ID_hopping_table和排序后的应用层ID集Ei(m1,m2,m3,…,mn)写入到各ECU的CAN安全增强控制器寄存器当中,其中寄存器写入后锁定为只可读模式;(5)系统通过启动指令0x000进行服务和启动,系统运行中所有ECU中安全增强控制器对当前网络传输的消息进行计数,当收到同步跳变指令或计数器累计到达触发跳变阀值,全局ECU同步跳变到下一页物理层ID组。一种面向CAN的信息安全增强方法及控制器,所述控制器包括跳变控制模块(1)、排序后的应用层ID存储模块(2)、ID_hopping_table存储模块(3)、消息计数器模块(4)以及接收过滤器(5),所述跳变控制器模块其功能为控制同步跳变,控制应用层消息ID到物理层消息ID的映射,实现对物理层消息ID到应用层消息ID的还原和FIFO写入,通过对接收过滤器寄存器及掩码的写入等保障伪装和重放攻击的消息ID被阻隔,符合要求的消息ID将被接收处理。作为本专利技术的进一步改进,所述ID_hopping_table的生成步骤为:(1)根据系统设计需求和资源约束,通过可调度性分析、消息集分配及消息优先级ID分配,确定系统ECU集合E{e1,e2,e3,…,en}中所有ECU节点的应用层消息数量N及其相对优先级顺序Pm{p1,p2,…,pn},根据系统需求确定ECU于消息集之间的关系,确定各个ECU所包含消息子集Ei(m1,m2,m3,…,mn)(包括发送和接收消息);(2)从可用CAN消息ID可选范围0-2048中选取数量为N的消息ID集按照优先级从高到低的顺序排序后作为一组物理层ID集作为一页ID集,按信息安全级别的1、2、3级分布生成4、8、16组组合系统层面ID_hopping_table=IDs[N_page][k][11or29bits],其中可用组合ID数可通过组合计算公式:(本文档来自技高网...
【技术保护点】
一种面向CAN网络的信息安全增强方法及控制器,应用于CAN网络系统,其特征在于,CAN网络中所有ECU根据同步参数以查找
【技术特征摘要】
1.一种面向CAN网络的信息安全增强方法及控制器,应用于CAN网络系统,其特征在于,CAN网络中所有ECU根据同步参数以查找ID_hopping_table的方式对系统物理层传输的ID进行同步跳变,实现物理层实际传输的ID的动态变化及匿名化,控制器实现ID从应用层到物理层及物理层到应用层的双向映射,该方法包括如下步骤:(1)根据系统设计需求和资源约束,完成可调度性分析、消息集分配及消息优先级ID分配后确定系统ECU集合E{e1,e2,e3,…,en}中所有ECU节点的应用层消息数量N及其相对优先级顺序Pm{p1,p2,…,pn},根据系统需求对ECU进行消息分配,确定各个ECU所包含消息子集Ei(m1,m2,m3,…,mn)(包括发送和接收消息);(2)从可用CAN消息ID可选范围0-2048中选取数量为N的不重复消息ID集按照优先级从高到低的顺序排序后作为一组物理层ID作为一页ID组,按信息安全级别的1、2、3级分布生成4、8、16组组合系统层面ID_hopping_table;(3)根据消息子集Ei(m1,m2,m3,…,mn)、Pm{p1,p2,…,pn}和系统层ID_hopping_table按照消息分配,生成ECU层面Ei_ID_hopping_table,并依据其中各页ID接收消息集合生成各ECU对应的新的掩码及消息过滤寄存器相加后得到新的Ei_ID_hopping_table;(4)在系统生成部署阶段将Ei_ID_hopping_table和排序后的应用...
【专利技术属性】
技术研发人员:吴武飞,李仁发,
申请(专利权)人:吴武飞,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。