CN106789040A - Can总线通讯加密密钥的设置方法 - Google Patents
Can总线通讯加密密钥的设置方法 Download PDFInfo
- Publication number
- CN106789040A CN106789040A CN201710075183.7A CN201710075183A CN106789040A CN 106789040 A CN106789040 A CN 106789040A CN 201710075183 A CN201710075183 A CN 201710075183A CN 106789040 A CN106789040 A CN 106789040A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- encryption key
- communication
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及CAN总线通讯技术,为解决现有CAN总线通讯加密密钥破解后所有使用该加密密钥的机器均被破解、安全性降低的问题;提供一种CAN总线通讯加密密钥的设置方法,该方法是CAN总线设备密钥初始化从其存储的多种加密方式随机选择一种以上加密方式组合成加密密钥并将加密密钥发送给其他CAN总线设备;各需要加密通讯的CAN总线设备将加密密钥存储在各自的存储单元内作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第一加密密钥设置第一加密密钥。本发明实现一机一密钥,提高了机器的安全性。
Description
技术领域
本发明涉及一种CAN总线通讯技术,更具体地说,涉及一种CAN总线通讯加密密钥的设置方法。
背景技术
现有CAN总线采用明码数据传输,数据在总线上广播。很容易被侦听和非法控制。为保证总线的安全,目前有采用防火墙技术,将车内电子与外部交互界面隔离;也有通过严格的访问机制,采用授权获半开放的形式进行访问权限控制;普遍使用的密码系统(验证或编码加密)来保护车内流通的数据;也有采用侦探/防护系统(IPS/IDS)对可能的攻击进行侦探预警。目前方法多,要么成本高,要么存在安全级别低,容易破解的问题。
发明内容
本发明要解决的技术问题是针对现有CAN总线通讯加密密钥破解后所有使用该加密密钥的机器均被破解、安全性降低的问题,而提供一种安全性高的CAN总线通讯加密密钥的设置方法。
本发明为实现其目的的技术方案是这样的:提供一种CAN总线通讯加密密钥的设置方法,其特征在于在CAN总线上所有需要进行加密通讯的CAN总线设备内均存储有多种加密方式和设置有密钥设置标志,在各个加密通讯的CAN总线设备内的密钥设置标志均为缺省状态时,其中的一个CAN总线设备通过明码发送密钥初始化请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给发送密钥初始化请求的CAN总线设备;发送密钥初始化请求的CAN总线设备收到各设备的响应,从其存储的多种加密方式随机选择一种以上加密方式组合成第一加密密钥并将第一加密密钥发送给需要使用第一加密密钥进行加密通讯的其他CAN总线设备;各需要加密通讯的CAN总线设备将第一加密密钥存储在各自的存储单元内作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第一加密密钥设置第一加密密钥。
上述CAN总线通讯加密密钥的设置方法中,需要进行加密通讯的CAN总线设备内存储的加密方式包括以下三种方式中至少一种:每帧CAN数据中8个字节的排列顺序、CAN数据帧中每个字节的格式转换方式、两种以上的基础加密算法。
上述CAN总线通讯加密密钥的设置方法中,各需要加密通讯的CAN总线设备中只有一台CAN总线设备的密钥设置标志为缺省状态而其他进行加密通讯的密钥设置标志为第一加密密钥设置时,密钥设置标志为缺省状态的CAN总线设备通过明码发出密钥初始化的请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给发送密钥初始化请求的CAN总线设备;发送密钥初始化请求的CAN总线设备收到各设备的响应后,从其存储的多种加密方式随机选择一种以上加密方式组合成第二加密密钥并将第二加密密钥发送给需要使用第二加密密钥进行加密通讯的其他CAN总线设备;各需要加密通讯的CAN总线设备将第二加密密钥存储在各自的存储单元作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第二加密密钥设置。
上述CAN总线通讯加密密钥的设置方法中,密钥设置标志状态为第二加密密钥设置的CAN总线设备不响应新的密钥初始化请求的数据帧。
本发明与现有技术相比,使用本发明CAN总线通讯加密密钥的设置方法,在机器第一次通讯之前,各CAN总线设备内没有设置密钥,在通讯之前设置密钥,通过本发明加密密钥的设置方法设置密钥,每台机器的加密密钥由多种加密方法随机组合而成,提高了破解难度,同时每台机器的加密密钥基本上都不同,即使存在密钥破解的情况,也只是针对一台机器的加密密钥破解,不会出现一种加密密钥破解造成大面积机器加密密钥破解的情况,提高了产品的安全性。
具体实施方式
在CAN总线通讯时,CAN总线广播的数据所有设备都可侦听,也可模仿伪造数据帧对设备进行控制,造成信息泄露或安全事故。为此对于一些重要的数据或指令需要进行加密,数据发送方利用密钥对数据或指令进行加密,数据接收方使用密钥对接收到的加密数据进行解密,实现数据安全通讯。CAN总线上连接的CAN总线设备,有些发送或接受的数据或指令是明码通讯的,但对于一些重要的数据,则需要进行加密通讯,在需要加密通讯的CAN总线设备上就要设置加密密钥。本发明在需要加密通讯的CAN总线设备上设置加密密钥的方法如下:
在CAN总线上所有需要进行加密通讯的CAN总线设备内均存储有多种加密方式和设置有密钥设置标志,需要进行加密通讯的CAN总线设备内存储的加密算法包括以下三种方式:
加密方式一:可以储存f1(x)、f2(x)、f3(x)三种加密算法,必要时可以四种、五种甚至更多,也可以设置跟多。选用该加密方式时,从其中存储的多种加密算法中随机选取其中的一种作为基础加密算法。
加密方式二:每帧CAN数据中8个字节的排列顺序;每帧CAN数据共8个字节,分别为data0~7,8个字节的数据按照不同顺序发送,共有8!=40320种排列顺序。为方便计算和解析,将数据初始排列顺序为:D7\D6\D5\D4\D3\D2\D1\D0。
为了知道打乱顺序后8个数据的准确位置,需要将每个数据给出一个位置,上面可以看出,每个数据可能出现的位置有8个。因此用3个bit位来表示该字节所在的位置,例如用3个bit位,二进制111表示该字节的位置在第7位,即上面D7所在的位置。这样共3个字节的数据就可以将40320种组合表示出来。见下表1:
表1
例如表征数据位置的数据为0xF9、0xAB、0x08,展开后为111 110 011 010 101100 001 000,因此解析后8个数据的为:D7\D6\D3\D2\D5\D4\D1\D0。
采用加密方式二时,从每帧CAN数据中8个字节的40320种排列顺序中随机选取一种作为每帧CAN数据中8个字节的排列顺序。
加密方式三:CAN数据帧中每个字节的格式转换方式,CAN数据帧中每个字节的格式选择高、低四位交换(例如用0x81表示该转换方式)和数据取反(采用0xFF-原始数据,用0x18表示该转换方式)两种数据格式转换方式。高低四位交换例如0xA8→0x8A;数据取反例如0xA8→0x57)。
在各个加密通讯的CAN总线设备内的密钥设置标志为均为缺省状态时,也即机器第一次装机时,各CAN总线设备不设任何加密密钥。使用加密密钥的CAN总线设备双方或多方在第一次装机时,在工厂通过明码通讯,设置确认该机器的第一加密密钥,其方法如下:使用加密密钥的CAN总线设备中的一个CAN总线设备通过明码发送密钥初始化请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给发送密钥初始化请求的CAN总线设备;发送密钥初始化请求的CAN总线设备收到各设备的响应,从其存储的三种加密方式中随机选取一种方式或两种以上的加密方式合成第一加密密钥,例如加密方式一中选取选择f2(x)为加密算法(f2(x)加密算法是数据取反,即采用0xFF-该数据);加密方式二中选择0xF9、0xAB、0x08的排列顺序;加密方式三中选择0x81的数据格式。发送密钥初始化请求的CAN总线设备合成第一加密密钥后将第一加密密钥发送给需要使用第一加密密钥的其他CAN总线设备;各需要加密通讯的CAN总线设备将第一加密密钥存在各自的存储单元内作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第一加密密钥设置。
第一机密密钥设置成功后,在需要加密码传输指令或关键数据时,可按照固定ID发送数据。每帧数据的8个字节内容如下:
由于采用了上面的加密密钥,因此每个字节数据的数据经过加密,并且高低四位交换,因此按照上面的密钥,则相关数据如下:
每帧数据的8个字节排列顺序、数据转换格式由该机的第一加密密钥确定,其中随机数是伪随机数据,没有意义,也可传输其他数据,本示例用随机数据代替。发送指令或数据的某一CAN总线设备(A设备)通过第一加密密钥将上述原始数据加密并将数据格式转化后,通过广播或指定接收方的方式在CAN总线上发送。当接收指令或数据的另一CAN总线设备收到该帧数据后,第一加密密钥进行指令或数据解密,首先将数据格式高低四位转换为正确的格式,再将数据位置排序正确,最后根据加密算法f2(x)进行数据解密。这样就得到正确的原始数据。根据目标地址来决定是否执行该指令,如果需要执行,则执行该指令后,再将响应指令的原始数据按第一加密密钥进行加密,让后将加密后的数据发送到CAN总线上。应答A设备或用广播方式表示指令已经响应。当发送指令或数据的CAN总线设备(A设备)收到应答后,也是将数据格式转换为正确的格式。再根据存储的第一加密密钥进行指令或数据解密。解密后数据正确时则确认指令执行有效,否则给出明码的报警提示。
当某个使用该第一加密密钥的CAN总线设备损坏或进行维修更换时,由于新更换的CAN总线设备没有存储第一加密密钥,因此需要启动第二加密密钥。此时新更换的CAN总线设备会通过明码发出密钥初始化的请求的数据帧。其他设备密钥设置标志状态为第一加密密钥设置,就重新进行一次加密密钥的设置,即第二加密密钥的设置。第二加密密钥的设置于第一加密密钥设置过程相同,即新更换的CAN总线设备通过明码发出密钥初始化的请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给新更换的CAN总线设备;新更换的CAN总线设备收到各设备的响应,从其存储三种的加密方式中随机选取一种方式或两种以上的加密方式合成第二加密密钥,新更换的CAN总线设备合成第二加密密钥后将第二加密密钥发送给需要使用第二加密密钥的其他CAN总线设备;各需要加密通讯的CAN总线设备将第二密钥存在各自的存储单元作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第二密钥设置。此时将启用第二加密密钥,作为唯一的密钥使用。
在新更换的CAN总线设备会发出密钥初始化的请求时,如果有一台CAN总线设备的密钥设置标志状态为第二密钥设置时,在此情况下该密钥初始化的请求不会被执行,以防止密钥泄露。
本发明密钥设置方法可以使得一台机器可以形成一个独有的密钥,对CAN总线上重要的数据或指令进行加密。每种机器的加密密钥不一样,即使单台破解对其他设备也没有影响。从而保证数据的安全性。更不用担心密钥被破解后,所有机器面临破解的问题。安全性提高。
Claims (4)
1.一种CAN总线通讯加密密钥的设置方法,其特征在于在CAN总线上所有需要进行加密通讯的CAN总线设备内均存储有多种加密方式和设置有密钥设置标志,在各个加密通讯的CAN总线设备内的密钥设置标志均为缺省状态时,其中的一个CAN总线设备通过明码发送密钥初始化请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给发送密钥初始化请求的CAN总线设备;发送密钥初始化请求的CAN总线设备收到各设备的响应,从其存储的多种加密方式随机选择一种以上加密方式组合成第一加密密钥并将第一加密密钥发送给需要使用第一加密密钥进行加密通讯的其他CAN总线设备;各需要加密通讯的CAN总线设备将第一加密密钥存储在各自的存储单元内作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第一加密密钥设置。
2.根据权利要求1所述的CAN总线通讯加密密钥的设置方法,其特征在于需要进行加密通讯的CAN总线设备内存储的加密方式包括以下三种方式中至少一种:每帧CAN数据中8个字节的排列顺序、CAN数据帧中每个字节的格式转换方式、两种以上的基础加密算法。
3.根据权利要求1或2所述的CAN总线通讯加密密钥的设置方法,其特征在于各需要加密通讯的CAN总线设备中只有一台CAN总线设备的密钥设置标志为缺省状态而其他进行加密通讯的密钥设置标志为第一加密密钥设置时,密钥设置标志为缺省状态的CAN总线设备通过明码发出密钥初始化的请求的数据帧,需要使用加密密钥通讯的其他CAN总线设备响应并将各自节点地址回传给发送密钥初始化请求的CAN总线设备;发送密钥初始化请求的CAN总线设备收到各设备的响应后,从其存储的多种加密方式随机选择一种以上加密方式组合成第二加密密钥并将第二加密密钥发送给需要使用第二加密密钥进行加密通讯的其他CAN总线设备;各需要加密通讯的CAN总线设备将第二加密密钥存储在各自的存储单元作为通讯数据的密钥使用并更改各自的密钥设置标志状态为第二加密密钥设置。
4.根据权利要求3所述的CAN总线通讯加密密钥的设置方法,其特征在于密钥设置标志状态为第二加密密钥设置的CAN总线设备不响应新的密钥初始化请求的数据帧。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710075183.7A CN106789040A (zh) | 2017-02-10 | 2017-02-10 | Can总线通讯加密密钥的设置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710075183.7A CN106789040A (zh) | 2017-02-10 | 2017-02-10 | Can总线通讯加密密钥的设置方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106789040A true CN106789040A (zh) | 2017-05-31 |
Family
ID=58955877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710075183.7A Pending CN106789040A (zh) | 2017-02-10 | 2017-02-10 | Can总线通讯加密密钥的设置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106789040A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105794146A (zh) * | 2014-11-13 | 2016-07-20 | 松下电器(美国)知识产权公司 | 密钥管理方法、车载网络系统以及密钥管理装置 |
CN105847238A (zh) * | 2016-03-16 | 2016-08-10 | 杭州狮说教育科技有限公司 | 一种基于rtmp连接的数据安全传输方法 |
-
2017
- 2017-02-10 CN CN201710075183.7A patent/CN106789040A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105794146A (zh) * | 2014-11-13 | 2016-07-20 | 松下电器(美国)知识产权公司 | 密钥管理方法、车载网络系统以及密钥管理装置 |
CN105847238A (zh) * | 2016-03-16 | 2016-08-10 | 杭州狮说教育科技有限公司 | 一种基于rtmp连接的数据安全传输方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109257327B (zh) | 一种配电自动化系统的通信报文安全交互方法及装置 | |
CA2137608C (en) | Apparatus and method for securing communication systems | |
CN1655495B (zh) | 用于以强配对将安全密钥传送到目标用户的系统和方法 | |
US8396218B2 (en) | Cryptographic module distribution system, apparatus, and program | |
CN1933393B (zh) | 用于内容保护的实体间连接方法、设备和系统 | |
CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
CN104244237B (zh) | 数据发送、接收方法及接收、发送终端和数据收发装置 | |
CN105553951A (zh) | 数据传输方法和装置 | |
CN101448130B (zh) | 监控系统中数据加密保护的方法、系统和设备 | |
CN103118363B (zh) | 一种互传秘密信息的方法、系统、终端设备及平台设备 | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
CN106571915A (zh) | 一种终端主密钥的设置方法和装置 | |
CN104753953A (zh) | 访问控制系统 | |
WO2010062028A2 (ko) | 디지털 방송용 제한수신장치를 다운로드하는 방법 | |
CN106534123B (zh) | 一种基于eoc网络的数据安全传输方法及系统 | |
CN103841469A (zh) | 一种数字电影版权保护方法和装置 | |
CN103067166A (zh) | 一种智能家庭系统的分级混合加密方法及装置 | |
CN105897748A (zh) | 一种对称密钥的传输方法及设备 | |
CN108684040A (zh) | 一种无线网络的连接方法及系统 | |
CN101626484A (zh) | 条件接收系统的保护控制字的方法、前端和终端 | |
CN105191332A (zh) | 用于在未压缩的视频数据中嵌入水印的方法和设备 | |
CN115348023A (zh) | 一种数据安全处理方法和装置 | |
CN101902610B (zh) | 实现iptv机顶盒和智能卡间安全通信的方法 | |
CN101442656B (zh) | 一种机卡间安全通信的方法及系统 | |
JP2011004039A (ja) | 無線lan暗号化通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |