CN106911807A - 一种安全感知的车载can fd网络设计空间搜索方法 - Google Patents

Abstract

本发明公开一种安全感知的车载CAN FD网络设计空间搜索方法，依据汽车电子功能的安全需求对信号进行分组，分为安全关键功能涉及的安全关键信号组和非安全关键功能涉及的非安全关键信号组；采用对称加密算法对安全关键的CAN FD消息进行安全防护；将CAN FD网络设计涉及的设计空间搜索问题抽象成整数线性规划问题，将安全性、实时性需求、信号打包限制抽象表示为整数线性规划问题中的限制条件，将带宽资源利用率最小化抽象表示为整数线性规划问题的优化目标；最后利用整数线性规划问题求解工具进行求解，得到信号打包的消息集，以及所有消息的属性，从而完成CAN FD网络的设计。此种方法可在保证CAN FD消息安全、可调度的前提下，实现网络带宽利用率的最优化。

Description

一种安全感知的车载CAN FD网络设计空间搜索方法

技术领域

本发明属于汽车电子领域，涉及车载网络系统的设计问题，特别涉及一种安全感知的CAN FD网络设计空间搜索方法，可在保证消息通信安全、可靠的前提下实现网络带宽利用率的最优化。

背景技术

汽车的电子化、网络化、智能化和自动化发展，使得汽车电子系统的复杂性骤增，车载网络中需传输的数据量急剧增多。因此，博世在2011年推出了车载网络协议CAN的升级版-CAN FD。CAN FD的最大带宽可达10Mbps，消息的负载大小可分别设置为{1,2,3,4,5,6,7,8,12,16,20,24,32,48,64}，可满足快速增长的车载数据的传输要求。一方面，CAN FD消息的传输需满足实时性方面的限制，以保障相应汽车电子功能的可靠执行。另一方面，CAN协议在身份认证、消息广播等方面存在的安全缺陷在CAN FD中仍未被解决。因此，需要提出一种有效的设计空间搜索方法，对CAN FD网络的设计在实时性、安全性和资源利用率之间进行权衡。

为解决该问题，“Bordoloi U D,Samii S.The Frame Packing Problem for CAN-FD.In:Proc.of RTSS.2014.284-293.”提出一种基于动态规划的CAN FD信号打包算法，但是该算法仅考虑了消息的实时性，未对消息可能面临的安全威胁进行考虑。“Xie Y,LiuLiangjiao,and et al.Security-Aware Signal Packing Algo-rithm for CAN-basedAutomotive Cyber-Physical Systems.IEEE/CAA Journal of Automatia Sinica,2(4):248-257,2015.”提出一种安全感知的CAN信号打包算法，但是该方法采取了理想的安全模型，即假设消息中需增加的消息认证码的长度依赖于可量化的安全威胁。“Lin C W,Zhu Q,and et al.Security-Aware Mapping for CAN-based Real-Time DistributedAutomotive Systems.In：Proc of ICCAD,2013,115-121”同时对ECU中的任务分配和CAN网络系统设计进行了研究，同时考虑了实时性和安全性方面的要求，但是该方法采取了与上一研究相类似的理想的安全模型。因此，必须根据汽车电子行业的规范，提出符合要求安全模型，并基于此提出有效的CAN FD网络设计搜索方法，在满足安全性、实时性要求的前提下，实现网络带宽利用率的优化。

发明内容

本发明的目的，在于提供一种安全感知的车载CAN FD网络设计空间搜索方法，其可在保证CAN FD消息安全、可调度的前提下，实现网络带宽利用率的最优化。

为了达成上述目的，本发明的解决方案是：

一种安全感知的车载CAN FD网络设计空间搜索方法，包括如下步骤：

步骤1，信号分组，依据汽车电子功能的安全需求对信号进行分组，安全关键功能涉及的信号为一组，即安全关键信号组，非安全关键功能涉及的信号为另外一组，即非安全关键信号组；

步骤2，采用对称加密算法对安全关键的CAN FD消息进行安全防护；

步骤3，将CAN FD网络设计涉及的设计空间搜索问题抽象成整数线性规划问题，将安全性、实时性需求、信号打包限制抽象表示为整数线性规划问题中的限制条件，将带宽资源利用率最小化抽象表示为整数线性规划问题的优化目标；

步骤4，利用整数线性规划问题求解工具对上述问题进行求解，得到信号打包的消息集，以及所有消息的属性，从而完成CAN FD网络的设计。

上述步骤1中，定义二进制变量s_sec(k,i)来表示ECU_k中包含的信号s_k,i是否属于安全关键功能，如果是，s_sec(k,i)＝1；否则，s_sec(k,i)＝0；其中，k为ECU表示符号的下标，i为信号表示符号的下标，j为消息表示符号的下标。

上述步骤2的详细内容是：消息的通信双方之间共享一个公共的密匙，消息发送方利用该密匙和消息的内容产生一个消息认证码MAC_s，MAC_s被添加到消息中与消息一同被传输到消息接收方；接收方利用密匙和接收到的消息内容再生成另一个消息认证码MAC_d，通过对比MAC_s和MAC_d来验证消息发送方的身份，以及消息的内容是否被篡改。

上述步骤2中，还在消息中加入一个计数器，该计数器用于标识当前发送的消息实例，接收方通过检查接收到的消息中的计数器的当前值是否更新来判断该消息实例是否是发送方发送过来的最新消息，而不是其他攻击者转发过来的消息。

上述步骤3中，优化目标表示为：

其中，MN_k表示ECU_k中的信号集S_k打包得到的消息个数，EN表示系统中ECU的个数，U(k,j)表示消息m_k,j的带宽利用率；

限制条件包括：

(1)每个信号仅被打包一个消息中：

其中二进制变量assign(i,j,k)表示信号s_k,i是否被打包到消息m_k,j之中；

(2)消息需满足实时性方面的要求，即消息m_k,j的最差反应时间m_r(k,j)必须小于等于其最终时限m_deadline(k,j)：

m_r(k,j)≤m_deadline(k,j)

(3)消息满足安全性方面的要求，即需在安全关键消息中加入消息认证码和计数器来分别避免伪装攻击和重继攻击，消息m_k,j的安全关键属性根据如下公式进行计算：

其中m_sec(k,j)是一个二进制变量，用来表示ECU_k中的信号打包得到的消息m_k,j是否是安全关键消息，如果是，m_sec(k,j)＝1，否则，m_sec(k,j)＝0；当m_sec(k,j)＝1时，需在消息中加入消息认证码和计数器；

(4)消息m_k,j的负载大小m_payload(k,j)不能超过CAN FD协议规定的最大值64，单位：字节：

m_payload(k,j)≤64

m_payload(k,j)的计算方法如下：

其中，m_size(k,j)表示消息的大小。

上述步骤4的详细内容是：ECU_k中的信号集S_k将被打包成消息集M_k，M_k中的消息m_k,j的周期m_period(k,j)、大小m_size(k,j)和最终截止时限m_deadline(k,j)的计算公式如下：

m_period(k,j)＝{s_period(k,i)|s_k,i∈m_k,j}

m_deadline(k,j)＝m_period(k,j)

其中，s_period(k,i)和s_size(k,i)分别表示信号s_k,i的周期和大小，s_period(k,i)、m_deadline(k,j)的单位为毫秒，s_size(k,i)的单位为字节。

采用上述方案后，本发明对CAN FD网络设计在安全性、实时性和带宽资源利用率之间进行权衡，可在保证CAN FD网络中的消息安全、可靠传输的前提下，实现网络带宽资源利用率的优化。

附图说明

图1是本发明中步骤2的流程图。

具体实施方式

以下将结合附图，对本发明的技术方案及有益效果进行详细说明。

本发明提供一种安全感知的CAN FD网络设计空间搜索方法，此处的安全是指信息安全(Cyber-Security)，所述方法包括如下步骤：

步骤1，信号分组，依据汽车电子功能的安全需求对信号进行分组，安全关键功能涉及的信号为一组，即安全关键信号组，非安全关键功能涉及的信号为另外一组，即非安全关键信号组；

汽车电子系统中包含的功能分为安全关键功能和非安全关键功能，为保障安全关键功能的安全、可靠执行，需对功能包含的通信信号进行安全防护。为降低安全防护带来的成本和资源开销，不对非安全关键功能包含的信号进行安全防护。定义二进制变量s_sec(k,i)来表示ECU_k(Electronic Control Unit,ECU)中包含的信号s_k,i是否属于安全关键功能：如果是，s_sec(k,i)＝1；否则，s_sec(k,i)＝0。其中，ECU_k表示下标为k的ECU，s_k,i表示下标为k的ECU包含的下标为i的信号，m_k,j表示下标为k的ECU包含的信号打包得到的下标为j的消息。

步骤2，建立安全模型，采用对称加密算法对安全关键的CAN FD消息进行安全防护，在消息中加入消息认证码和计数器以分别预防伪装攻击和重放攻击；

采用对称加密方式对CAN FD消息进行安全防护。即消息的通信双方之间共享一个公共的密匙，消息发送方利用该密匙和消息的内容产生一个消息认证码MAC_s，MAC_s被添加到消息中与消息一同被传输到消息接收方。接收方利用密匙和接收到的消息内容再生成另一个消息认证码MAC_d，通过对比MAC_s和MAC_d来验证消息发送方的身份，以及消息的内容是否被篡改。为进一步避免重继攻击，可在消息中加入一个计数器，该计数器用于标识当前发送的消息实例。接收方可通过检查接收到的消息中的计数器的当前值是否更新(接收到的计数器值是否加1？)来判断该消息实例是否是发送方发送过来的最新消息，而不是其他攻击者转发过来的消息。上述消息的加密通信和验证的详细过程如图1所示。

如果CAN FD消息是安全关键消息，则需要在消息中加入消息认证码和计数器以实现对伪装攻击和重继攻击的防护。固定消息认证码的大小为24个比特位、计数器的大小为8个比特位，即需在安全关键消息中增加4个字节的信息以实现安全防护。

步骤3，将CAN FD网络设计涉及的设计空间搜索问题抽象成整数线性规划问题，将安全性、实时性需求、信号打包限制等抽象表示为整数线性规划问题中的限制条件，将带宽资源利用率最小化抽象表示为整数线性规划问题的优化目标。利用整数线性规划问题求解工具对上述问题进行求解，得到信号打包的消息集，以及所有消息的大小、周期、优先级等，从而完成CAN FD网络的设计。

步骤3的详细内容是：

31)CAN FD网络的设计空间搜索问题是将系统中各个ECU包含的信号集打包成消息，消息的大小需满足CAN FD通信协议的相关规定，消息的传输需满足安全性、实时性要求，并以最小化网络带宽利用率为优化目标。该问题的输入为各个ECU包含的信号集，以及信号的相关属性包括周期、大小、安全性。该问题的输出为打包得到的消息集，消息的相关属性包括周期、大小、传输时间、安全性、优先级、最差反应时间，以及消息集对应的带宽利用率。

CAN FD网络的设计空间搜索问题可抽象表示为如下数学优化问题：

优化目标：

其中MN_k表示ECU_k中的信号集S_k打包得到的消息个数，EN表示系统中ECU的个数，U(k,j)表示消息m_k,j的带宽利用率。U(k,j)的计算方法如下：

其中m_time(k,j)和m_period(k,j)分别表示m_k,j的传输时间和周期。

m_time(k,j)的计算方法如下：

限制条件：

(1)每个信号仅被打包一个消息中。

其中二进制变量assign(i,j,k)表示信号s_k,i是否被打包到消息m_k,j之中。

(2)消息需满足实时性方面的要求，即消息m_k,j的最差反应时间m_r(k,j)必须小于等于其最终时限m_deadline(k,j)。

m_r(k,j)≤m_deadline(k,j)

(3)消息需满足安全性方面的要求，即需在安全关键消息中加入消息认证码和计数器来分别避免伪装攻击和重继攻击。消息m_k,j的安全关键属性可根据如下公式进行计算：

其中m_sec(k,j)是一个二进制变量，用来表示ECU_k中的信号打包得到的消息m_k,j是否是安全关键消息。如果是，m_sec(k,j)＝1，否则，m_sec(k,j)＝0。当m_sec(k,j)＝1时，需在消息中加入消息认证码和计数器。

(4)消息m_k,j的负载大小m_payload(k,j)(单位：字节)不能超过CAN FD协议规定的最大值64。

m_payload(k,j)≤64

m_payload(k,j)的计算方法如下：

32)ECU_k中的信号集S_k将被打包成消息集M_k，M_k中的消息m_k,j的周期m_period(k,j)(单位：毫秒)、大小m_size(k,j)(单位：字节)和最终截止时限m_deadline(k,j)(单位：毫秒)的计算公式如下：

m_period(k,j)＝{s_period(k,i)|s_k,i∈m_k,j}

m_deadline(k,j)＝m_period(k,j)

其中s_period(k,i)(单位：毫秒)和s_size(k,i)(单位：字节)分别表示信号s_k,i的周期和大小。

33)基于上述分析，CAN FD网络的设计空间搜索问题可进一步转为一个整数线性规划问题。其中，该整数线性规划问题的优化目标为最小化网络带宽的利用率：

其中在该整数线性规划问题中，假设每个信号都对应一个虚拟消息。当该虚拟消息中被打包进入信号的时候，二进制变量taken(k,i)＝1，否则，taken(k,i)＝0。

该整数线性规划问题需满足如下几个方面的限制条件：

(1)信号和虚拟消息之间的映射方面的限制

每个信号仅能被打包到一个消息之中，该限制条件可表述为如下不等式：

(2)消息的周期大小方面的限制

仅允许周期相等的信号打包到同一个消息之中，因此虚拟消息的周期等于其包含的信号的周期。该限制条件可表述为如下不等式：

(3)消息的安全性方面的限制

包含安全关键信号的消息即安全关键消息，需在安全关键性消息中增加消息认证码和计数器以预防伪装攻击和重继攻击。该限制条件可表述为如下不等式：

(4)消息大小方面的限制

CAN FD协议规定消息的负载不能超过64字节，该限制可表述为如下不等式：

(5)消息需满足实时性方面的限制

消息需在设定的最终时限之前完成传输，即消息的最差反应时间需小于等于设定的最终期限。该限制条件可表述为如下不等式：

其中，m_r(k,j)的计算可划分为如下三个步骤：

a.消息的优先级分配

根据CAN FD协议，每个消息的优先级唯一。为此，定义一个二进制变量hp(j,j')来表示任意两个消息m_k,j和m_k',j'之间的优先级关系。如果m_k,j的优先级比m_k',j'高，那么hp(j,j')＝1，否则，hp(j,j')＝0。并且，消息之间的优先级大小关系具备传递性，即对于任意三个消息m_k,j，m_k',j'和m_k”,j”，如果hp(j,j')＝1，且hp(j',j”)＝1，hp(j,j”)＝1。上述限制条件可表述为如下不等式：

b.消息的阻塞时间分析

由于CAN FD协议规定消息采用非抢占方式进行网络访问仲裁，因此高优先级消息可能因为刚好错过仲裁而被低优先级消息阻塞。消息的阻塞时长可通过如下公式进行计算：

c.消息的最差反应时间分析

根据上述优先级分配和阻塞时间分析，消息的最差反应时间可按照如下公式进行计算：

34)CAN FD网络的设计空间搜索对应的整数线性规划问题的求解

通过上述步骤33)的操作，将安全感知的CAN FD网络的设计空间搜索问题转为一个典型的混合整数线性问题。然后，可利用相关的求解工具如IBM的CPLEX工具、MOSEK工具等对上述问题进行求解。

以下将给出本发明的具体实施例。

假设CAN FD网络裁断段的带宽为500kbps，数据传输段的带宽为2Mbps。假设系统中仅包含1个ECU，该ECU中包含的信号集为S＝{s₁,s₂,s₃,s₄,s₅,s₆}，所有信号的已知参数如表1所示。根据本发明提供的技术方案，该信号集将打包得到的2个消息，其中m₁的优先级比m₂高。消息的相关属性如表2所示。

表1信号集实例的相关属性

表2消息集实例的相关属性

Message	Period(ms)	Size(byte)	Safety-Critical	Priority
						1	36	Yes	High
	2	18	Yes	Low

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (6)

1.一种安全感知的车载CAN FD网络设计空间搜索方法，其特征在于包括如下步骤：

步骤1，依据汽车电子功能的安全需求对信号进行分组，安全关键功能涉及的信号为一组，即安全关键信号组，非安全关键功能涉及的信号为另外一组，即非安全关键信号组；

步骤2，采用对称加密算法对安全关键的CAN FD消息进行安全防护；

步骤3，将CAN FD网络设计涉及的设计空间搜索问题抽象成整数线性规划问题，将安全性、实时性需求、信号打包限制抽象表示为整数线性规划问题中的限制条件，将带宽资源利用率最小化抽象表示为整数线性规划问题的优化目标；

步骤4，利用整数线性规划问题求解工具对上述问题进行求解，得到信号打包的消息集，以及所有消息的属性，从而完成CAN FD网络的设计。

2.如权利要求1所述的一种安全感知的CAN FD网络设计空间搜索方法，其特征在于：所述步骤1中，定义二进制变量s_sec(k,i)来表示ECU_k中包含的信号s_k,i是否属于安全关键功能，如果是，s_sec(k,i)＝1；否则，s_sec(k,i)＝0；其中，k为ECU表示符号的下标，i为信号表示符号的下标，j为消息表示符号的下标。

3.如权利要求1所述的一种安全感知的CAN FD网络设计空间搜索方法，其特征在于所述步骤2的详细内容是：消息的通信双方之间共享一个公共的密匙，消息发送方利用该密匙和消息的内容产生一个消息认证码MAC_s，MAC_s被添加到消息中与消息一同被传输到消息接收方；接收方利用密匙和接收到的消息内容再生成另一个消息认证码MAC_d，通过对比MAC_s和MAC_d来验证消息发送方的身份，以及消息的内容是否被篡改。

4.如权利要求1所述的一种安全感知的CAN FD网络设计空间搜索方法，其特征在于：所述步骤2中，还在消息中加入一个计数器，该计数器用于标识当前发送的消息实例，接收方通过检查接收到的消息中的计数器的当前值是否更新来判断该消息实例是否是发送方发送过来的最新消息，而不是其他攻击者转发过来的消息。

5.如权利要求1所述的一种安全感知的CAN FD网络设计空间搜索方法，其特征在于：所述步骤3中，优化目标表示为：

其中，MN_k表示ECU_k中的信号集S_k打包得到的消息个数，EN表示系统中ECU的个数，U(k,j)表示消息m_k,j的带宽利用率；

限制条件包括：

(1)每个信号仅被打包一个消息中：

$\underset{j=1}{\overset{{\mathrm{MN}}_k}{\Σ}}assign(i,j,k)=1$

其中二进制变量assign(i,j,k)表示信号s_k,i是否被打包到消息m_k,j之中；

(2)消息需满足实时性方面的要求，即消息m_k,j的最差反应时间m_r(k,j)必须小于等于其最终时限m_deadline(k,j)：

m_r(k,j)≤m_deadline(k,j)

(3)消息满足安全性方面的要求，即需在安全关键消息中加入消息认证码和计数器来分别避免伪装攻击和重继攻击，消息m_k,j的安全关键属性根据如下公式进行计算：

其中m_sec(k,j)是一个二进制变量，用来表示ECU_k中的信号打包得到的消息m_k,j是否是安全关键消息，如果是，m_sec(k,j)＝1，否则，m_sec(k,j)＝0；当m_sec(k,j)＝1时，需在消息中加入消息认证码和计数器；

(4)消息m_k,j的负载大小m_payload(k,j)不能超过CAN FD协议规定的最大值64，单位：字节：

m_payload(k,j)≤64

m_payload(k,j)的计算方法如下：

$m\_payload\left(k,j\right)=\left\{\begin{array}{cc}m\_size\left(k,j\right)& if0<m\_size\left(k,j\right)\&le;8\\ 12& if8<m\_size\left(k,j\right)\&le;12\\ 16& if12<m\_size\left(k,j\right)\&le;16\\ 20& if16<m\_size\left(k,j\right)\&le;20\\ 24& if20<m\_size\left(k,j\right)\&le;24\\ 32& if24<m\_size\left(k,j\right)\&le;32\\ 48& if32<m\_size\left(k,j\right)\&le;48\\ 64& if48<m\_size\left(k,j\right)\&le;64\end{array}\right.$

其中，m_size(k,j)表示消息的大小。

6.如权利要求1所述的一种安全感知的CAN FD网络设计空间搜索方法，其特征在于所述步骤4的详细内容是：ECU_k中的信号集S_k将被打包成消息集M_k，M_k中的消息m_k,j的周期m_period(k,j)、大小m_size(k,j)和最终截止时限m_deadline(k,j)的计算公式如下：

m_period(k,j)＝{s_period(k,i)s_k,i∈m_k,j}

$m\_size(k,j)=4\&times;m\_\sec (k,j)+\underset{s_{k,i}\&Element;m_{k,j}}{\&Sigma;}s\_size(k,i)$

m_deadline(k,j)＝m_period(k,j)

其中，s_period(k,i)和s_size(k,i)分别表示信号s_k,i的周期和大小，s_period(k,i)、m_deadline(k,j)的单位为毫秒，s_size(k,i)的单位为字节。