用于车辆网络中的控制器间的安全通信的系统和方法技术方案

描述了一种用于车辆网络中的控制器间的安全通信的系统和方法。该系统包括在一个组中相关联的并且被配置为彼此通信的多个控制器，每个控制器具有初始控制器标识(ID)号并且被配置为与网关控制器通信。组中的每个控制器被配置为计算更新的控制器ID号并将更新的控制器ID以安全方式传送给网关控制器，并且网关控制器被配置为认证组中每个控制器的更新的控制器ID并以安全方式将其传送给组中的所有控制器。该组中的每个控制器还被配置成将其更新的控制器ID包括在传送给该组中其他控制器的网络消息中，并且基于来自其他控制器的网络消息中的更新的控制器ID来认证该组中的其他控制器。

【技术实现步骤摘要】
用于车辆网络中的控制器间的安全通信的系统和方法
以下涉及一种用于车辆网络中的控制器间的安全通信的系统和方法。背景现代车辆包括分布式嵌入式电子控制单元(ECU)和基于软件的部件，这些部件进行了仔细的测试以用于适当的功能行为。新的车辆可以配备有多于70个的ECU，这些ECU可以经由控制器局域网(CAN)、本地互连网络(LIN)、FlexRay、WLAN或其他合适的网络进行控制。CAN是车辆中最广泛的嵌入式网络协议。对车辆网络的攻击可以经由注入这种网络中的未经授权的控制消息来发起。在这方面，当前汽车网络中的安全漏洞已经通过执行各种攻击场景得到了验证。这些场景可以分类为四个类别：注入、拦截(interception)、修改和中断。为了阻止注入和重放攻击，CAN网络需要支持帧认证。然而，CAN的最大数据传输速率是1Mbps，并且消息的最大有效载荷是8字节，这使得在CAN上进行认证变得困难。为了克服这些类型的车辆网络攻击，需要一种消息认证技术来实现安全的车辆网络通信。申请人已经认识到，这种技术将包括用于车辆网络(诸如CAN网络)的集中式认证系统，在连接的ECU之间建立认证密钥。在CAN网络中，申请人已经认识到这种技术将提供一种新的对称密钥框架来保护定义的虚拟CAN组内的通信。使用这种技术的密码系统，虚拟组中的每个ECU将生成与新的随机ID相关联的周期性认证密钥。因此，这种技术将提供一种反欺骗机制，该反欺骗机制基于通过周期性地生成随机ID并将消息认证标签附加到每个有效载荷CAN消息来隐藏原始CANID。申请人已经认识到，利用这种技术，只有属于虚拟组的那些ECU能够解释和利用接收到的消息。攻击者将不能够将新的CANID链接到原始ID，且因此将不能够发起攻击或注入、拦截或修改任何CAN消息。这种技术的密钥框架还将允许车辆制造商加密两个ECU之间或者云和ECU之间的数据通信。概述根据本文描述的一个非限制示例性实施例，提供了一种用于在车辆网络中的控制器间进行安全通信的系统。该系统包括多个控制器，所述多个控制器在一个组中相关联并且被配置为彼此通信，该组中的每个控制器具有初始控制器标识(ID)号并且被配置为与网关控制器通信。组中的每个控制器被配置为计算更新的控制器ID号并将更新的控制器ID号以安全方式传送给网关控制器，并且网关控制器被配置为以安全方式认证组中每个控制器的更新的控制器ID号并将其传送给组中的所有控制器。该组中的每个控制器还被配置成将其更新的控制器ID号包括在传送给该组中其他控制器的网络消息中，并且基于从其他控制器接收的网络消息中的更新的控制器ID号来认证该组中的其他控制器。根据本文描述的另一个非限制示例性实施例，提供了一种用于在车辆网络中进行安全通信的方法，该车辆网络包括网关控制器和多个控制器，该多个控制器在组中相关联并被配置为彼此通信，该组中的控制器中的每一个控制器具有初始控制器标识(ID)号，并且该网关控制器被配置为与该组中的每个控制器通信。该方法包括该组中的每个控制器计算更新的控制器ID号并将更新的控制器ID号以安全方式传送给网关控制器，并且网关控制器以安全方式认证该组中每个控制器的更新的控制器ID号并将其传送给该组中的所有控制器。该方法还包括该组中的每个控制器将其更新的控制器ID号包括在传送给该组中其他控制器的网络消息中，并且基于从其他控制器接收的网络消息中的更新的控制器ID号来认证该组中的其他控制器。根据本文描述的又一个非限制示例性实施例，提供了一种存储了用于在车辆网络中提供安全通信的计算机可执行指令的非暂时性储存介质，该车辆网络包括网关控制器和多个控制器，该多个控制器在组中相关联并被配置为彼此通信，该组中控制器中的每一个控制器具有初始控制器标识(ID)号，并且网关控制器被配置为与该组中的每个控制器通信。指令在被执行时使该组中的每个控制器计算更新的控制器ID号并将更新的控制器ID号以安全方式传送到网关控制器，并且该组中的每个控制器将其更新的控制器ID号包括在传送到该组中其他控制器的网络消息中，并且基于从其他控制器接收的网络消息中的更新的控制器ID号来认证该组中的其他控制器。下面结合附图阐述了用于车辆网络中的控制器间的安全通信的系统和方法的这些和其他非限制示例性实施例的详细描述。附图说明图1是根据本公开的一个非限制示例性实施例的控制器局域网(CAN)格式化帧的图示；图2是根据本公开的一个非限制示例性实施例的密钥框架的框图；图3A是示出根据本公开的一个非限制示例性实施例的动态认证密钥生成的流程图；图3B是根据本公开的一个非限制示例性实施例的示例性控制器的框图；图3C是示出根据本公开的一个非限制示例性实施例的加密消息认证码的生成的框图；图4示出了用于检查根据本公开的一个非限制示例性实施例的安全规范的验证工具的安全检查结果；图5示出了用于与本公开一起使用的控制器局域网(CAN)总线负载计算器；图6是示出根据本公开的一个非限制示例性实施例的控制器局域网(CAN)总线负载消耗与控制器数量的函数关系的曲线图；以及图7是根据本公开的一个非限制示例性实施例的简化系统框图。详细描述根据需要，本文公开了详细的非限制实施例。然而，应当理解的是，所公开的实施例仅仅是示例性的并且可以采取各种形式和替换形式。附图不一定是按比例的，并且特征可能被放大或最小化以示出特定部件的细节。因此，本文公开的具体结构细节和功能细节不应被解释为限制性的，而仅被解释为用于教导本领域的技术人员的代表性基础。参考图1-7，将提供用于在车辆网络中的控制器间的安全通信的系统和方法的非限制示例性实施例的更详细的描述。为了便于说明并帮助理解，在全部附图中，类似的参考数字在本文中用于类似的部件和特征。本公开针对一种消息认证技术，以克服各种车辆网络攻击并实现安全的车辆网络通信。这种技术包括用于车辆网络(诸如CAN网络)的集中式认证系统，具有在连接的ECU之间建立认证密钥。使用CAN网络作为示例，本公开提供了一种反欺骗机制，该反欺骗机制基于通过周期性地生成对于ECU的随机ID并将消息认证标签附加到每个有效载荷CAN消息来隐藏该ECU的原始CANID。本公开还提出了一种新的对称密钥框架来保护定义的虚拟CAN组内部的通信。使用本公开的密码系统，虚拟组中的每个ECU生成与新的随机ID相关联的周期性认证密钥。根据本公开，只有属于虚拟组的那些ECU可以解释和利用接收到的消息。攻击者不能将新的CANID链接到原始ID且因此不能发起攻击或注入、拦截或修改任何CAN消息。本公开的密钥框架还允许车辆制造商加密两个ECU之间或者云和ECU之间的数据通信。更具体地，车辆制造商或其他实体定义了由网关GECU控制的特定ECU的虚拟组。形成虚拟组的所有ECU共享在装配线处随机生成的对称密钥K_S。在装配线处，每个ECU_i创建一个将与网关GECU共享的对称密钥K_i。每个ECU具有包含网络中所有帧的ID和它们的共享认证密钥的安全ID_key表。CAN帧由定义的CAN-ID及其在ID_key表中的顺序来标识。例如，CAN速度帧在ID_key表中总是具有索引2。密钥框架包括对于每个ECU根据K_S生成静态和动态认证密钥，并且每个认证密钥对应于生成的随机ID。ECU的静态认证密钥仅本文档来自技高网...

【技术保护点】
1.一种用于在车辆网络中的控制器之间的安全通信的系统，所述系统包括：多个控制器，所述多个控制器在一个组中是相关联的并且被配置为彼此通信，所述组中的每个控制器具有初始控制器标识(ID)号并且被配置为与网关控制器通信；其中，所述组中的每个控制器被配置为计算更新的控制器ID号并将所述更新的控制器ID号以安全方式传送给所述网关控制器，并且所述网关控制器被配置为认证所述组中的每个控制器的所述更新的控制器ID号并以安全方式将所述组中的每个控制器的所述更新的控制器ID号传送给所述组中的所有控制器；以及其中，所述组中的每个控制器还被配置成将其更新的控制器ID号包括在传送给所述组中其他控制器的网络消息中，并且基于从所述其他控制器接收的网络消息中的所述更新的控制器ID号来认证所述组中的其他控制器。

【技术特征摘要】
2017.10.03 US 15/723,2731.一种用于在车辆网络中的控制器之间的安全通信的系统，所述系统包括：多个控制器，所述多个控制器在一个组中是相关联的并且被配置为彼此通信，所述组中的每个控制器具有初始控制器标识(ID)号并且被配置为与网关控制器通信；其中，所述组中的每个控制器被配置为计算更新的控制器ID号并将所述更新的控制器ID号以安全方式传送给所述网关控制器，并且所述网关控制器被配置为认证所述组中的每个控制器的所述更新的控制器ID号并以安全方式将所述组中的每个控制器的所述更新的控制器ID号传送给所述组中的所有控制器；以及其中，所述组中的每个控制器还被配置成将其更新的控制器ID号包括在传送给所述组中其他控制器的网络消息中，并且基于从所述其他控制器接收的网络消息中的所述更新的控制器ID号来认证所述组中的其他控制器。2.根据权利要求1所述的系统，其中，所述车辆网络包括控制器局域网(CAN)。3.根据权利要求1所述的系统，其中，所述组中的所述控制器和所述网关控制器共享初始组密钥，并且所述组中的每个控制器具有与所述网关控制器共享的唯一静态密钥，并且其中所述组中的每个控制器被配置为计算更新的控制器ID号、使用其唯一共享静态密钥加密所述更新的控制器ID号、并且向所述网关控制器传送包括加密的更新的控制器ID号的请求消息。4.根据权利要求3所述的系统，其中，响应于从所述组中的所述控制器中的一个控制器接收到请求消息，所述网关控制器被配置为使用其唯一共享静态密钥来认证所述组中的所述控制器中的所述一个控制器，并且计算所述组中的所述控制器中的所述一个控制器的所述更新的控制器ID号。5.根据权利要求4所述的系统，其中，所述网关控制器还被配置为基于所述初始共享组密钥计算更新的共享组密钥，使用所述更新的共享组密钥加密所述组中的所有控制器的所述更新的控制器ID号，并且向所述组中的所有控制器传送包括所加密的更新的控制器ID号的网络广播消息。6.根据权利要求5所述的系统，其中，响应于从所述网关控制器接收到所述广播消息，所述组中的每个控制器还被配置为基于所述初始共享组密钥计算所述更新的共享组密钥，使用所述更新的组密钥认证所述网关控制器并解密所述组中的所有控制器的所述更新的控制器ID号，并且存储所述组中的所有控制器的所述更新的控制器ID号，并且其中所述组中的每个控制器还被配置为将其更新的控制器ID号包括在传送给所述组中的其他控制器的网络消息中，并且基于从所述其他控制器接收到的网络消息中的所述更新的控制器ID号认证所述组中的其他控制器。7.根据权利要求6所述的系统，还包括网关控制器。8.一种用于在车辆网络中进行安全通信的方法，所述车辆网络包括网关控制器和多个控制器，所述多个控制器在组中相关联并被配置为彼此通信，所述组中的所述控制器中的每一个控制器具有初始控制器标识(ID)号，并且所述网关控制器被配置为与所述组中的每个控制器通信，所述方法包括：所述组中的每个控制器计算更新的控制器ID号并将所述更新的控制器ID号以安全方式传送给所述网关控制器；所述网关控制器认证所述组中的每个控制器的所述更新的控制器ID号，并以安全方式将所述组中的每个控制器的所述更新的控制器ID号传送给所述组中的所有控制器；和所述组中的每个控制器将其更新的控制器ID号包括在传送给所述组中的其他控制器的网络消息中，并且基于从所述其他控制器接收的网络消息中的所述更新的控制器ID号来认证所述组中的所述其他控制器。9.根据权利要求8所述的方法，其中，所述车辆网络包括控制器局域网(CAN)。10.根据权利要求8所述的方法，其中，所述组中的所述控制器和所述网关控制器共享初始组密钥，并且所述组中的每个控制器具有与所述网关控制器共享的唯一静态密钥，并且所述方法还包括所述组中的每个控制器计算更新的控制器ID号、使用其唯一共享静态密钥加密所述更新的控制器ID号、并且向所述网关控制器传送包括加密的更新的控制器ID号的请求消...

【专利技术属性】
技术研发人员：尤尼斯·埃尔·哈贾吉·埃尔伊德里西，安德烈·维梅斯基奇，
申请(专利权)人：李尔公司，
类型：发明
国别省市：美国,US