基于HSM的安全时间同步方法及系统技术方案

技术编号：40074668 阅读：7 留言：0更新日期：2024-01-17 00:53

本发明专利技术公开了一种基于HSM的安全时间同步方法及系统，包括GM节点和Slave节点，GM节点和Slave节点包括HSM硬件安全模块、OS层、gPTP协议栈、MAC层；HSM硬件安全模块提供证书管理和gPTP报文的消息认证加密接口，gPTP协议栈通过OS层访问HSM硬件安全模块的证书管理和消息认证加密接口服务以及MAC层的gPTP服务，以此完成安全时间同步。本发明专利技术通过HSM硬件安全模块在保证车载网络安全的前提下完成时间同步，能够有效的识别并阻止入侵者的重放攻击、Dos、欺骗攻击、协议漏洞攻击，中间人攻击等行为，提升车辆的网络的安全性和稳定性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及时间同步技术，尤其涉及一种基于hsm的安全时间同步方法及系统。

技术介绍

1、广义时钟同步协议(generalized precision time protocol，gptp)，是由ieeestd802.1as标准定义的，目的是确保所有局域网里的节点时间完全一致，即时间同步。传统网络存在的重放攻击、dos、欺骗攻击、协议漏洞攻击、中间人攻击等在车载gptp网络中同样存在，而车载网络的通信环境对安全性、可靠性要求极高，gptp服务又是车载网络不可或缺的一部分，因此在使用gptp协议时面临的网络安全风险急需解决。

技术实现思路

1、为解决现有技术中存在的不足，本专利技术的目的在于，提供一种基于hsm的安全时间同步方法及系统，通过hsm硬件安全模块在保证车载网络安全的前提下完成时间同步，能够有效的识别并阻止入侵者的重放攻击、dos、欺骗攻击、协议漏洞攻击，中间人攻击等行为，提升车辆的网络的安全性和稳定性。

2、为实现本专利技术的目的，本专利技术所采用的技术方案是：

3、一种基于hsm的安全时间同步系统，包括gm节点和slave节点，gm节点发送时间同步报文，slave节点接收时间同步报文；

4、gm节点和slave节点均包括hsm硬件安全模块、os层、gptp协议栈、mac层；hsm硬件安全模块提供证书管理和gptp报文的消息认证加密接口，gptp协议栈通过os层访问hsm硬件安全模块的证书管理和消息认证加密接口服务以及mac层的gptp服务，完成安全时间同步。

5、进一步地，车辆生产时由产线工具统一导入hsm硬件安全模块的hsm证书。

6、进一步地，车载系统中gm节点和slave节点的hsm硬件安全模块导入相同的hsm证书。

7、一种基于hsm的安全时间同步方法，包括步骤：

8、(1)gm节点发送gptp报文时，通过调用hsm硬件安全模块的消息认证加密接口服务对gptp报文进行消息认证，将gptp时间同步报文连同消息认证结果m一同发送至车内gptp网络中的slave节点；

9、(2)slave节点接收gptp报文后，将gptp报文及对应的消息认证结果分别提取出来，通过调用hsm硬件安全模块的消息认证加密接口服务对gptp报文进行消息认证，得到消息认证结果m1；将本地计算的gptp报文消息认证结果m1与接收gptp报文中提取到的消息认证结果m进行比较，若两次消息认证结果一致，则进行时间同步处理。

10、进一步地，步骤(1)具体包括：

11、(1.1)启动gptp时间同步程序，检查hsm状态及证书是否有效，若失效，则记录失效状态并停止时间同步；

12、(1.2)若有效，则继续进行时间同步；首先，封装gptp同步消息；

13、(1.3)然后，调用hsm硬件安全模块的消息认证加密接口服务对gptp报文进行消息认证，生成消息认证结果m；

14、(1.4)填充消息认证结果m到gptp同步消息的扩展字段中；

15、(1.5)最后，发送填充消息认证结果的gptp同步消息。

16、进一步地，步骤(2)具体包括：

17、(2.1)启动gptp时间同步程序，检查hsm状态及证书是否有效，若失效，则记录失效状态并停止时间同步；

18、(2.2)若有效，则继续进行时间同步，接收gptp同步消息；

19、(2.3)调用hsm硬件安全模块的消息认证加密接口服务对gptp报文进行消息认证，得到消息认证结果m1；

20、(2.4)将本地计算的gptp报文消息认证结果m1与接收gptp报文中提取到的消息认证结果m进行比较；若两次消息认证结果不一致，则表明报文为攻击报文或hsm错误，记录失效状态并停止时间同步；

21、(2.5)若两次消息认证结果一致，则进行时间同步处理。

22、进一步地，步骤(2.3)中，slave节点用于进行消息认证的证书与gm节点进行消息认证的证书相同。

23、本专利技术的有益效果在于，与现有技术相比，本专利技术消息认证算法使用专用hsm模块，使gptp报文的完整性和真实性得到保证，阻止了报文被篡改或来自恶意gptp节点的可能；无需新增应用程序，能够快速适配现有gptp协议栈。

24、在保证时间同步的前提下，通过消息认证的机制完成对时间同步报文的验证，可以有效防护重放攻击、dos、欺骗攻击、协议漏洞攻击、中间人攻击等，提升了车载网络的安全性和可靠性。

本文档来自技高网...

【技术保护点】

1.一种基于HSM的安全时间同步系统，其特征在于，包括GM节点和Slave节点，GM节点发送时间同步报文，Slave节点接收时间同步报文；

2.根据权利要求1所述的基于HSM的安全时间同步系统，其特征在于，车辆生产时由产线工具统一导入HSM硬件安全模块的HSM证书。

3.根据权利要求1所述的基于HSM的安全时间同步系统，其特征在于，车载系统中GM节点和Slave节点的HSM硬件安全模块导入相同的HSM证书。

4.一种基于HSM的安全时间同步方法，其特征在于，包括步骤：

5.根据权利要求4所述的基于HSM的安全时间同步方法，其特征在于，步骤(1)具体包括：

6.根据权利要求4所述的基于HSM的安全时间同步方法，其特征在于，步骤(2)具体包括：

7.根据权利要求4所述的基于HSM的安全时间同步方法，其特征在于，步骤(2.3)中，Slave节点用于进行消息认证的证书与GM节点进行消息认证的证书相同。

【技术特征摘要】

1.一种基于hsm的安全时间同步系统，其特征在于，包括gm节点和slave节点，gm节点发送时间同步报文，slave节点接收时间同步报文；

2.根据权利要求1所述的基于hsm的安全时间同步系统，其特征在于，车辆生产时由产线工具统一导入hsm硬件安全模块的hsm证书。

3.根据权利要求1所述的基于hsm的安全时间同步系统，其特征在于，车载系统中gm节点和slave节点的hsm硬件安全模块导入相同的hsm证书。

【专利技术属性】
技术研发人员：翟国权，陈诚，张旸，
申请(专利权)人：奥特酷智能科技南京有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人