【技术实现步骤摘要】
一种面向CAN
‑
Ethernet的车载网络安全通信系统
[0001]本专利技术涉及车载网络
,特别涉及一种面向CAN
‑
Ethernet的车载网络安全通信系统。
技术介绍
[0002]随着汽车智能化、网联化趋势不断加深,大量外部设备与应用接入车载网络,为汽车安全带来了极大的风险与挑战。传统的域集中式汽车通信安全架构基于以边界防护为核心的安全理念,注重在车载网络与车外网络之间设置网络安全设备来构建安全边界,将域控制器作为安全防护的重点。目前域集中式架构中车载网络主要由CAN/CAN
‑
FD总线与车载以太网组成,单一的网络协议已无法满足车内通信数据量需求。然而两种网络安全性都不足,数据传输过程中容易遭到窃取或者篡改攻击,传统安全架构设置的安全边界一旦被打破,车载网络通信安全就无法得到保证。
[0003]现有的车载网络安全采取划分安全边界的方式,将域控制器作为关键的安全设备,一旦域控制器遭到入侵,车载网络通信安全无法得到保证;域集中式架构中单一网络通信无法兼顾数...
【技术保护点】
【技术特征摘要】
1.一种面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,包括中央网关和多个功能域,所述中央网关与多个所述功能域通过车载以太网连接,每个功能域包括域控制器和多个节点,每个所述节点与所述域控制器通过CAN总线连接;其中,多个功能域包括信息娱乐域、车身域、动力域、辅助驾驶域,所述中央网关控制多个所述节点的域内和域间通信,多个所述节点为车辆中各功能域中执行相应功能的非域控制器节点;在通信前,每个功能域中的每个节点通过中央网关和其对应的域控制器进行身份认证,在每次执行通信时,每个节点对应的域控制器判断节点身份合法性与通信请求合法性,以便所述中央网关执行对节点通信的授权,以完成安全通信。2.根据权利要求1所述的面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,所述中央网关包括以太网交换机和连接所述以太网交换机执行数据处理功能的第一数据处理节点;所述以太网交换机通过轻量级协TCP/IP协议栈LWIP与各功能域的节点之间进行数据传输,所述数据处理节点在身份认证和授权通信过程中进行数据的加密与解密。3.根据权利要求2所述的面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,在节点身份认证时,将进行身份认证的节点作为目标节点;所述中央网关向各功能域广播第一公钥证书,并将第一公钥发送给所述目标节点,在经过所述目标节点认证后,所述中央网关收到所述目标节点发送的认证信息,所述中央网关对所述认证信息进行解密并比对消息认证码确定所述认证信息未被篡改后,获得所述目标节点的身份密钥进行保存,并发送确认信息给所述目标节点;其中,所述第一公钥证书为中央网关的公钥证书,所述第一公钥为中央网关的公钥,所述认证信息包含所述目标节点的第二公钥、节点数字签名和加密的节点身份密钥;在节点授权通信时,将进行通信的双方节点作为发送节点和接收节点,所述中央网关接收到所述发送节点和接收节点发送的合法通信请求并确认时间戳是否超时,当所述时间戳未超时,所述中央网关生成授权密钥,并将所述授权密钥和当前时间的时间戳分别发送给执行通信的所述发送节点和接收节点;其中,所述授权密钥包括发送授权密钥和接收授权密钥,所述发送授权密钥为经过所述发送节点的身份密钥加密的密钥,所述接收授权密钥为经过所述接收节点的身份密钥加密的密钥。4.根据权利要求3所述的面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,所述域控制器包括以太网通信PHY、CAN通信PHY以及具有数据处理功能的第二数据处理节点,所述域控制器用于执行CAN
‑
Ethernet消息转换,读取中央网关通过LWIP协议栈发送的以太网帧中的数据,经过第二数据处理节点处理后转换为CAN帧通过CAN总线发送给对应功能域中的所述节点。5.根据权利要求4所述的面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,在节点身份认证时,所述域控制器收到所述中央网关发送的第一公钥证书后,查找可信证书列表,并根据所述可信证书列表判断所述第一公钥证书是否合法,当所述第一公钥证书合法时,将从所述第一公钥证书中获取的第一公钥通过CAN总线广播给对应功能域内的目标节点;所述域控制器收到所述目标节点的第二公钥证书后,根据所述可信证书列表进行判断所述第二公钥证书是否合法,当所述第二公钥证书合法时,获得所述目标节点的第二公钥,并将所述第二公钥和所述认证消息发送给所述中央网关;在节点授权通信时,所述域控制器收到对应功能域的节点的通信请求后,根据所述通
信请求中的消息ID判断是否越界,当未越界时,发送所述通信请求给所述中央网关。6.根据权利要求5所述的面向CAN
‑
Ethernet的车载网络安全通信系统,其特征在于,所述功能域的节点包括CAN通信PHY和执行相应功能的处理器;在节点身份认证时,所述目标节点收到所述中央网关的第一公钥后,生成节点数字签名,同时采用所述第一公钥对节点身份密钥进行加密生成加密信息,将所述数字证书、节点数字签名和加密信息组成所述认证信息发送给所述中央网关,当收到所述...
【专利技术属性】
技术研发人员:谢国琪,黄爽,韦东升,熊程来,
申请(专利权)人:湖南大学重庆研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。