一种外部设备接入安全认证方法、系统、汽车、设备及存储介质技术方案

本发明专利技术涉及设备安全认证技术领域，提出一种外部设备接入安全认证方法、系统、汽车、设备及存储介质，其中包括以下步骤：配置外部设备接入车联网的端口；通过端口建立外部设备与车辆设备通信的安全通道；通过安全通道对外部设备的接入进行安全认证；当外部设备的安全认证通过后，对外部设备进行持续性的安全认证。本发明专利技术通过对外部设备配置接入车联网的端口，实现外部设备和车内网络的物理隔离，避免外部设备直接与车内网络连接，再通过对外部设备建立与车辆设备通信的安全通道，并对建立安全通道的外部设备进一步执行安全认证，实现身份合法性校验和数据安全性校验，有效保证外部设备的身份的合法性和安全性，以满足车载以太网的安全性需求。全性需求。全性需求。

【技术实现步骤摘要】
一种外部设备接入安全认证方法、系统、汽车、设备及存储介质


[0001]本专利技术涉及设备安全认证
，更具体地，涉及一种外部设备接入安全认证方法、系统、汽车、设备及存储介质。

技术介绍

[0002]随着汽车功能需求的提高，车载以太网应运而生。车载以太网的首要优势之一在于支持各种网络介质，因此可以在汽车领域进行使用，同时由于物理介质与协议无关，因此可以在汽车领域做相应的调整与拓展。
[0003]车辆在研发阶段、工厂组装阶段和售后阶段都会使用外部设备，比如下线电检设备、诊断仪以及其它的外部诊断设备等，用于对车辆进行数据读取，命令写入，刷写ECU(Electronic Control Unit，电子控制单元)等。利用车载以太网实现车辆与外部设备之间的通信将成为趋势。外部设备通过交换机(switch)接入车辆后，如果没有对外部接入设备进行身份合法性认证，就会导致外部非法设备可以恶意的读写车内重要数据、车主隐私数据，以及启动相关的远程类功能，甚至会造成一定的人身伤害。
[0004]为提高车辆与外部设备之间通信的安全性，目前有提出对外部设备的接入进行安全认证的方法，通过发起外部设备接入网关的认证请求，与测试设备进行认证，对认证成功的外部设备保持会话连接。然而该方法仅实现了外部设备的安全认证，对设备访问控制不够全面，仍难以满足现阶段车载以太网的安全性需求。

技术实现思路

[0005]本专利技术为克服上述现有技术所述的外部设备接入安全认证存在安全性不够全面，难以满足车载以太网的安全性需求的缺陷，提供一种外部设备接入安全认证方法、系统、汽车、设备及存储介质。
[0006]为解决上述技术问题，本专利技术的技术方案如下：
[0007]一种外部设备接入安全认证方法，包括以下步骤：
[0008]配置外部设备接入车联网的端口；
[0009]通过端口建立外部设备与车辆设备通信的安全通道；
[0010]通过安全通道对外部设备的接入进行安全认证；
[0011]当外部设备的安全认证通过后，对外部设备进行持续性的安全认证。
[0012]本技术方案中，通过配置外部设备接入车联网的端口，将外部设备与车联网实现物理隔离，再通过建立安全通道及安全认证，确保接入车联网的外部设备身份的合法性和安全性。
[0013]作为优选方案，车辆设备包括至少2个ECU，则配置外部设备接入车联网的端口时，包括以下任一方式：
[0014](1)将外部设备与一ECU划入一VLAN(Virtual Local Area Network，虚拟局域
网)，将其他ECU划入另一VLAN；
[0015](2)将外部设备与所有ECU划入同一VLAN；
[0016]其中，外部设备与位于同一VLAN内的任一ECU进行外部设备接入安全认证。
[0017]作为优选方案，通过端口建立外部设备与车辆设备通信的安全通道的步骤包括：车辆设备根据外部设备发出的校验请求进行设备信息校验，对通过校验的外部设备建立安全通道；其中，所述校验请求包括经过对称算法密钥加密的外部设备ID；所述车辆设备接收校验请求后采用对称算法密钥进行解密。
[0018]作为优选方案，对称算法密钥包括由外部设备采集信道的特征值所生成的外部设备指纹，以及由车辆设备采集信道的特征值所生成的车辆设备指纹。
[0019]作为优选方案，车辆设备根据外部设备发出的校验请求进行设备信息校验，包括：
[0020]外部设备将外部设备指纹作为对称算法密钥对其外部设备ID进行加密，生成校验请求并发送至车辆设备；
[0021]车辆设备将车辆设备指纹作为对称算法密钥对接收的校验请求进行解密，得到外部设备ID；
[0022]车辆设备根据解密得到的外部设备ID在预设的白名单中进行查询：若存在，则采用车辆设备指纹对其车辆ID进行加密，生成第一校验数据并发送至外部设备；否则与外部设备断开连接；
[0023]当外部设备接收到第一校验数据时，采用外部设备指纹对接收的第一校验数据进行解密，得到车辆设备ID并在其预设的白名单中进行查询：若存在，则建立安全通道，用于进行标准安全认证；否则与车辆设备断开连接。
[0024]作为优选方案，信道的特征值包括经过FFT变换的信道的噪声、波峰、波谷和带宽。
[0025]作为优选方案，通过安全通道对外部设备的接入进行安全认证，包括以下步骤：
[0026]车辆设备根据外部设备发出的认证请求中携带的第一随机数和外部设备MAC(Message Authentication Code，身份校验码)，生成第二随机数；
[0027]车辆设备利用会话密钥对第一随机数和第二随机数进行加密生成第一认证数据，并将第一认证数据和车辆设备ID发送至外部设备；
[0028]外部设备向车辆设备返回第一认证结果和第二认证数据；
[0029]车辆设备利用会话密钥对第一认证结果解密，若第一认证结果为失败，则关闭外部设备的会话；若第一认证结果为成功，则对第二认证数据进行校验；
[0030]车辆设备对第二随机数按照内部组合算法生成原始数据，再利用会话密钥对原始数据进行加密，生成第二校验数据；
[0031]将第二校验数据与第二认证数据进行一致性比对，若比对一致，则外部设备通过标准安全认证，车辆设备与外部设备建立安全连接；否则车辆设备与外部设备的连接关闭。
[0032]作为优选方案，对外部设备进行持续性的安全认证，包括以下步骤：所述车辆设备周期性接收由通过标准安全认证的外部设备发出的会话保持报文并对其进行校验，对校验通过的外部设备保持会话连接；对检验不通过的外部设备断开会话连接。
[0033]作为优选方案，会话保持报文包括随机数、时间戳和MAC值，其中，MAC值由会话密钥对随机数和时间戳进行MAC计算生成；
[0034]车辆设备根据外部设备发出的会话保持报文对时间戳进行校验，若时间戳校验成
功，则对随机数和时间戳进行MAC计算，并将接收的MAC值与计算得到的MAC值进行比较，若一致，则校验通过，对外部设备保持会话连接；若时间戳检验不成功，或MAC值不一致，则对外部设备断开会话连接。
[0035]进一步地，本专利技术还提出了一种外部设备接入安全认证系统，应用上述任一技术方案提出的外部设备接入安全认证方法。该系统包括：
[0036]交换机，用于配置外部设备接入车联网的端口；
[0037]搭载于车辆设备的请求接收模块，用于接收由外部设备发出的请求信号；
[0038]搭载于车辆设备的校验模块，用于对外部设备进行设备信息校验，对通过校验的外部设备建立外部设备与车辆设备通信的安全通道；
[0039]搭载于车辆设备的认证模块，用于通过安全通道对外部设备的接入进行安全认证，以及对通过安全人的外部设备进行持续性的安全认证。
[0040]进一步地，本专利技术还提出了一种汽车，其上搭载有本专利技术提出的外部设备接入安全认证系统。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种外部设备接入安全认证方法，其特征在于，包括以下步骤：配置外部设备接入车联网的端口；通过端口建立外部设备与车辆设备通信的安全通道；通过安全通道对外部设备的接入进行安全认证；当外部设备的安全认证通过后，对外部设备进行持续性的安全认证。2.根据权利要求1所述的外部设备接入安全认证方法，其特征在于，所述车辆设备包括至少2个ECU；则配置外部设备接入车联网的端口时，包括以下任一方式：(1)将外部设备与一ECU划入一VLAN，将其他ECU划入另一VLAN；(2)将外部设备与所有ECU划入同一VLAN；所述外部设备与位于同一VLAN内的任一ECU进行外部设备接入安全认证。3.根据权利要求1所述的外部设备接入安全认证方法，其特征在于，通过端口建立外部设备与车辆设备通信的安全通道的步骤包括：车辆设备根据外部设备发出的校验请求进行设备信息校验，对通过校验的外部设备建立安全通道；其中，所述校验请求包括经过对称算法密钥加密的外部设备ID；所述车辆设备接收校验请求后采用对称算法密钥进行解密。4.根据权利要求3所述的外部设备接入安全认证方法，其特征在于，所述对称算法密钥包括由外部设备采集信道的特征值所生成的外部设备指纹，以及由车辆设备采集信道的特征值所生成的车辆设备指纹。5.根据权利要求4所述的外部设备接入安全认证方法，其特征在于，所述车辆设备根据外部设备发出的校验请求进行设备信息校验，包括：外部设备将所述外部设备指纹作为对称算法密钥对其外部设备ID进行加密，生成校验请求并发送至车辆设备；车辆设备将所述车辆设备指纹作为对称算法密钥对接收的校验请求进行解密，得到外部设备ID；车辆设备根据解密得到的外部设备ID在预设的白名单中进行查询：若存在，则采用所述车辆设备指纹对其车辆ID进行加密，生成第一校验数据并发送至外部设备；否则与所述外部设备断开连接；当所述外部设备接收到第一校验数据时，采用外部设备指纹对接收的第一校验数据进行解密，得到车辆设备ID并在其预设的白名单中进行查询：若存在，则建立安全通道，用于进行标准安全认证；否则与所述车辆设备断开连接。6.根据权利要求4所述的外部设备接入安全认证方法，其特征在于，所述信道的特征值包括经过FFT变换的信道的噪声、波峰、波谷和带宽。7.根据权利要求1所述的外部设备接入安全认证方法，其特征在于，通过安全通道对外部设备的接入进行安全认证，包括以下步骤：所述车辆设备根据外部设备发出的认证请求中携带的第一随机数和外部设备MAC，生成第二随机数；所述车辆设备利用会话密钥对第一随...

【专利技术属性】
技术研发人员：宁廷聪，汪向阳，谭成宇，张贤，张科强，
申请(专利权)人：重庆长安汽车股份有限公司，
类型：发明
国别省市：