CN107426187A - 一种基于ecu身份属性的车内网络细粒度授权访问方法 - Google Patents

一种基于ecu身份属性的车内网络细粒度授权访问方法 Download PDF

Info

Publication number
CN107426187A
CN107426187A CN201710498048.3A CN201710498048A CN107426187A CN 107426187 A CN107426187 A CN 107426187A CN 201710498048 A CN201710498048 A CN 201710498048A CN 107426187 A CN107426187 A CN 107426187A
Authority
CN
China
Prior art keywords
ecu
access
key
vehicle network
subnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710498048.3A
Other languages
English (en)
Other versions
CN107426187B (zh
Inventor
韩牟
万爱兰
马世典
华蕾
王运文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN201710498048.3A priority Critical patent/CN107426187B/zh
Publication of CN107426187A publication Critical patent/CN107426187A/zh
Application granted granted Critical
Publication of CN107426187B publication Critical patent/CN107426187B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于ECU身份属性的车内网络细粒度授权访问方法,包括以下步骤:(1)建立基于电子控制单元(ECU)属性的车内网络细粒度访问控制模型;(2)根据车内电子控制单元ECU的服务属性,进行细粒度刻画;(3)设计车内网络中的不同子网间的访问权限;(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,设计合法节点私钥属性集与ECU密文访问结构匹配策略;(5)基于对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与其密文访问结构相匹配的加密算法。本发明结合车内网络的特点,将加密方案与访问控制模型相结合,提出了一种基于ECU身份属性的车内网络细粒度授权访问方法,有效解决了车内网络通信协议应用层的隐私保护问题。

Description

一种基于ECU身份属性的车内网络细粒度授权访问方法
技术领域
本发明涉及智能网联汽车、车内网、加密、访问控制等领域,尤其涉及车内电子控制单元的安全通信领域。
背景技术
随着云计算、大数据、物联网、量子计算等新兴技术的迅猛发展,信息系统网络安全面临着一系列新的威胁和挑战。智能网联汽车车内网络系统是典型的信息系统,信息通过车内网络总线(CAN、LIN等)在内部各ECU(车内电子控制单元)之间进行交互,通过无线通信方式在车内ECU节点和外部接入设备间进行交互;既有信息系统的通用特点,又具有嵌入式系统所特有的软硬件资源有限问题,因此不可避免的面临更为严峻的信息安全威胁。
目前车内网信息安全问题已成为智能网联汽车进一步发展不可回避的障碍,国内外对智能网联汽车车内网络安全保护的研究方兴未艾。2011年,欧洲EVITA(E-safetyvehicle intrusion protected applications)研究项目,为汽车网络安全提供了包括信息“攻击”场景、危险分析、建议性硬件系统结构等方面有价值的指导。2012年,国际电工委员会(IEC)发布的《工业过程测量、控制和自动化网络与系统信息安全》标准(IEC62443),对用户、系统集成商、组件供应商提出了信息安全相关的基本要求。2013年,日本信息处理推进机构(IPA)从汽车可靠性角度出发,通过对汽车信息安全的攻击方式和攻击途径进行分析,定义了一种汽车信息安全模型“IPACar”。2016年,美国SAE发布的SAE J3061(《汽车网络物理系统网络的网络安全指南》),将汽车信息安全理念贯穿到汽车全生命周期流程中,为汽车行业和相关企业提供技术参考和建议。2016年7月由中国汽车工程学会牵头,国内部分高校、汽车企业和互联网公司等60余家单位共同发起成立智能网联汽车信息安全工作委员会,着手研究智能网联汽车信息安全标准的起草和实施。2016年11月发布了《中华人名共和国网络安全法》,对包括车厂、车联网运营商在内的智能网联汽车上下游产业链提出了明确的信息安全保护要求。2017年2月在合肥工业大学召开的第六届车载信息服务年会期间就车内网络信息安全问题进行了专门讨论,并发布了《车联网网络安全白皮书》,与会专家一致认为:网络安全已经从客观上严重阻碍了传统汽车向智能网联汽车的发展。
目前对于如何解决智能网联汽车车内网络的信息安全问题,国外研究起步早于国内,已经取得了一定成果。传统的车内网络是一种封闭式网络,且计算能力、传输带宽和资源受限,但智能网联汽车网络环境开放、拓扑结构复杂多变,所面临的攻击方式和安全威胁更加隐蔽和多样化,现有的研究成果难以满足大规模智能网联环境下的车内网络信息安全需求。因此,基于智能网联汽车的信息安全需求,充分考虑交通及网络环境的综合作用,结合车内网络系统拓扑结构复杂、环境开放等特征,建立基于ECU身份属性的车内网络细粒度授权访问方法,对车内网络的隐私数据进行有效保护。
发明内容
为解决上述情况,我们需要提出一种更全面的安全方案,根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画,实现了车内隐私数据有选择的共享,实现了车内ECU节点隐私信息共享的安全,克服以上的缺点。本发明的目的在于,提出一种基于ECU身份属性的车内网络细粒度授权访问方法,用以解决非法节点访问车内数据的安全问题,防止攻击者在ECU内注入恶意信息。
为了实现上述目的,本发明的技术方案为:
一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,包括以下步骤:(1)建立基于ECU属性的车内网络细粒度访问控制模型:包括子网内具有不同属性的ECU、车载网关GECU、外部设备以及子网内的主ECU(MECU);在整个模型中,GECU互联不同子网的ECU,每个子网内设置MECU,不同子网内的普通ECU节点通过MECU与GECU相连;(2)根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;ECU的解密密钥将由GECU中的安全存储负责生成,GECU根据ECU的属性集合生成对应的解密密钥,并将生成的密钥分发给ECU;(3)设计车内网络中的不同子网间的访问权限及访问控制策略;GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥;(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;(5)基于上述对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法。
进一步,所述步骤(2)根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;ECU的解密密钥将由GECU中的安全存储负责生成,GECU根据ECU的属性集合生成对应的解密密钥,并将生成的密钥分发给ECU;其步骤如下:
步骤2.1:根据车内子网的服务属性,将子网划分成动力子网、舒适子网、安全子网、决策控制子网以及环境感知子网等;
步骤2.2:GECU互联不同的子网,每个子网内设置MECU,ECU需要通信时,向MECU发送通信请求,然后MECU对其身份进行判定;
步骤2.3:访问结构存储在MECU中,当ECU访问车内数据时,节点属性必须满足访问结构才能解密数据;
步骤2.4:当ECU属性满足MECU中的访问结构时,GECU的安全存储生成ECU的解密密钥SKECU,并将生成的密钥分发给ECU;
步骤2.5:同时各子网中主控制器作为中间服务器,负责判定ECU之间的信任距离,在信任距离的计算中,主控制器需要结合车内网络结构的特点,进行计算。
进一步,所述步骤(3)设计车内网络中的不同子网间的访问权限及访问控制策略,GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥;其步骤如下:
步骤3.1:娱乐ECU和空调ECU均在舒适子网中,分别记为A和B,在环境感知子网的距离ECU记为C,C与B有联系,B对A有一定的访问权限,密钥的访问权限由B相对应的A的属性集合决定,同样,C对B有一定的访问权限;
步骤3.2:车内GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥,即B拥有解密密钥SKBA,C拥有解密密钥SKCB
步骤3.3:当环境感知子网的C要求访问舒适子网的A时,由于C和A不在同一个子网,C不具有访问A的解密密钥,因而无法完成访问,为实现通信,C需要通过与其有联系的B获得对A的访问权限;
步骤3.4:每个子网内的主ECU根据其存储的车内网络结构图计算C与A之间的信任距离δ;
步骤3.5:当信任距离满足一定的条件时,MECU将向GECU中的安全存储提供C与A之间产生关联的节点B。密钥生成中心根据B相对于A的属性集合为C生成相应的访问A的解密密钥SKCA,从而实现跨网访问。
进一步,所述步骤(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;其步骤如下:
步骤4.1:引入访问树结构,对叶子节点赋予不同的属性,非叶子节点由一对运算符(and,or)组成;
步骤4.2:MECU记录下同一子网或者不同子网内ECU节点的距离d,并根据有向图中的dijkstra算法判断最短路径,满足最短路径的节点优先通信;
步骤4.3:根据步骤(3)建立的逻辑结构,进一步设计细粒度访问控制策略,有以下情况:娱乐和转向或者空调服务需求属性的ECU、娱乐或者转向和空调服务需求属性的ECU两种不同的粒度;
步骤4.4:根据步骤4.2的最短路径和步骤4.3的服务需求属性,满足娱乐、转向、决策服务需求的ECU可以访问网关,从而实现了匹配策略。
进一步,所述步骤(5)基于上述对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法部分,设G1是一个以素数q为阶的双线性群,其生成元是m,双线性映射e:G1×G1→G2,n是由Zq中元素构成的集合,n∈Zq。同时定义一个哈希函数hash(·),该函数将所有的属性映射到G1中。其步骤如下:
步骤5.1:车辆启动时,初始化车内环境,GECU生成公共公钥MPK和主密钥MSK;
步骤5.2:初始化过程完成之后,加密车内通信数据。通过步骤4的匹配策略和公共公钥MPK将车内数据由信息M转化为密文C;
步骤5.3:以智能ECU对车辆的操控行为为媒介,与车载电源系统之间产生耦合作用,使得车载电源电压变化具有马尔科夫特性,生成真随机数,作为会话密钥,利用主密钥MSK和属性集合S生成解密密钥;
步骤5.4:利用递归函数DN(C,SK,α)进行判断,为未授权的ECU节点生成新的访问密钥,即新的访问密钥的生成是建立在已有的访问密钥的基础上;
步骤5.5:根据步骤3所假设的节点A、B、C,B其对应的属性集合为SB,节点C生成的对节点A的访问密钥SKCA',生成的新密钥SKCA'与密钥SKCA在形式上是等价的,实现密文与ECU节点私钥相匹配。
进一步,所述根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画部分,实现了车内隐私数据有选择的共享,实现了车内ECU节点隐私信息共享的安全。
进一步,所述基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略部分,将ECU属性与访问结构相匹配,防止非法节点访问车内数据,保证了车载信息的安全。
进一步,所述对访问匹配策略的刻画部分,根据ECU的属性特征,推导出车内网络私钥属性与ECU密文访问结构匹配关系,建立基于ECU属性的车内网络细粒度密文访问控制策略,对已授权的ECU进行记录,使得只有合法节点才能在车内通信。
本文提出一种基于ECU身份属性的车内网络细粒度授权访问方法,该方法有以下有益效果:
1)结合车内ECU节点的特性,建立了基于ECU属性的密文访问结构策略,使得所构造的车内网络访问控制方案满足细粒度的要求,解决了当前智能网联汽车网络环境开放、拓扑结构复杂等特点带来的访问控制细粒度刻画困难的问题。
2)在每个子网内设置主电子控制单元(MECU),减轻了GECU的计算能力和存储压力,提高了通信效率,保证了合法的ECU接入网关。
3)结合属性聚类的思想构造合法节点私钥属性集与ECU密文访问结构匹配策略,将ECU属性与车内逻辑结构相匹配保证了车内隐私数据的信息安全。
4)首次将细粒度引入车内网,针对车内广播通信的问题,细粒度的访问可以让ECU节点有选择的共享信息,实现了单个ECU节点的信息安全。
5)利用访问树结构建立车内网的逻辑结构,符合车内特性,并结合属性基加密思想,有效的抵抗了合谋攻击,即使结合多个节点的属性集合,都不能解密密文。
附图说明
图1为本发明的总体设计图;
图2为本发明中访问控制模型图;
图3为本发明中车内子网划分图;
图4为本发明中的访问结构匹配策略图;
图5为本发明中的基于ECU属性的加密流程图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
如图1所示,互联网和车内网络系统的远程无线通讯模块相连,车内网络系统分别和外部接入设备以及外部交通环境互连;车内网络系统包括远程无线通讯模块、车载通信、网关;网关的一端通过车载总线分别和环境感知传感器、中央门锁、电动门窗、照明控制ECU、仪表管理ECU相连,网关的另一端分别和车身控制BCU、发动机EMS、悬架ECU、牵引力ECU、ABS ECU、驾驶决策与控制单元相连;本发明的方法以现有车内电源系统、若干电子控制单元ECU、车内通信单元以及网关中的数据库为应用系统基础,主要包括以下五部分,
本发明的方法主要包括以下五部分(本发明中的所有符号见表1):
表1主要符号定义
1、建立一个系统模型
包括子网内具有不同属性的ECU、车载网关GECU、外部设备以及子网内的主ECU(MECU)。如图2所示,在车内网络中,网关互连不同子网的ECU,具有不同功能的ECU可以访问不同的数据,因此需要对ECU进行不同粒度的划分,即细粒度访问。拟设计细粒度访问控制模型示意如图2所示。在我们的模型中假设网关是安全的,GECU负责密钥分发,作为可信中心,每个子网内的MECU负责对ECU节点进行访问控制,GECU对授权的节点分发密钥,然后利用属性基算法对节点之间通信的数据加密。
2、将车内网络划分为不同子网
据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;ECU的解密密钥将由GECU中的安全存储负责生成,GECU根据ECU的属性集合生成对应的解密密钥,并将生成的密钥分发给ECU;过程如图3所示,具体步骤如下:
第一步:根据车内子网的服务属性,将子网划分成动力子网、舒适子网、安全子网、决策控制子网以及环境感知子网等;
第二步:GECU互联不同的子网,每个子网内设置MECU,ECU需要通信时,向MECU发送访问GECU的通信请求request,然后MECU对其身份进行判定;
第三步:访问结构存储在MECU中,当ECU访问车内数据时,节点属性必须满足车内逻辑结构时才能解密数据;
第四步:当ECU属性满足MECU中的访问结构时,GECU的安全存储生成ECU的解密密钥SKECU,并将生成的密钥分发给ECU;
第五步:同时各子网中主控制器(MECU)作为中间服务器,负责判定ECU之间的信任距离,在信任距离的计算中,MECU需要结合车内网络结构的特点,进行计算。
3、车内网络不同子网间访问权限的设计
GECU中的安全存储将根据每个ECU节点相对应的属性集合生成与之相应的访问密钥即解密密钥,分发给ECU节点;过程如图4所示,具体步骤如下:
第一步:娱乐ECU和空调ECU均在舒适子网中,分别记为A和B,在环境感知子网的ECU记为C,C与B有联系,B对A有一定的访问权限,密钥的访问权限由B相对应的A的属性集合决定,同样,C对B有一定的访问权限;
第二步:车内GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥,即B拥有解密密钥SKBA,C拥有解密密钥SKCB
第三步:当环境感知子网的C要求访问舒适子网的A时,由于C和A不在同一个子网,C不具有访问A的解密密钥,因而无法完成访问,为实现通信,C需要通过与其有联系的B获得对A的访问权限;
第四步:每个子网内的主ECU根据其存储的车内网络拓扑图,利用无向图的方法计算C与A之间的信任距离δ;
第五步:当信任距离满足一定的条件时,MECU将向GECU中的安全存储提供C与A之间产生关联的节点B。密钥生成中心根据B相对于A的属性集合为C生成相应的访问A的解密密钥SKCA,从而实现跨网访问。
4、ECU节点属性集与密文访问结构的匹配策略
据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;私钥与ECU属性相关,具体步骤如下:
第一步:引入访问树结构,如图5所示,对叶子节点(ECU节点)赋予不同的属性,非叶子节点(MECU节点)由一对运算符(and,or)组成,MECU节点存储逻辑结构;
第二步:MECU记录下同一子网或者不同子网内ECU节点的距离d,并根据有向图中的dijkstra算法判断最短路径,满足最短路径的节点优先通信;
第三步:根据步骤3建立的逻辑结构,进一步设计细粒度访问控制策略,有以下情况:娱乐和转向或者空调服务需求属性的ECU、娱乐或者转向和空调服务需求属性的ECU两种不同的粒度;
第四步:根据步骤第二步的最短路径和第三步的服务需求属性以及访问树,满足不同子网、信任距离等于3、通信次数大于3、访问MECU的次数大于4的ECU节点可以访问网关,从而实现了匹配策略。
5、基于ECU属性的车内数据加密
基于上述对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法部分,设G1是一个以素数q为阶的双线性群,其生成元是m,双线性映射e:G1×G1→G2,n是由Zq中元素构成的集合,n∈Zq。同时定义一个哈希函数hash(·)。具体步骤如下:
第一步:车辆启动时,初始化车内环境,GECU生成公共公钥MPK和主密钥MSK:MPK=mω,MSK=(ω,mλ)。
第二步:初始化过程完成之后,加密车内通信数据。通过步骤4的匹配策略τ和公共公钥M P K将车内数据由信息M转化为密文C:CT=(τ,C'=(e(g,g)λ,C=hr,
第三步:以智能ECU对车辆的操控行为为媒介,与车载电源系统之间产生耦合作用,使得车载电源电压变化具有马尔科夫特性,生成真随机数,作为会话密钥,利用主密钥MSK和属性集合S生成解密密钥SK=mλ+s/ω
第四步:利用递归函数DN(C,SK,α)进行判断,为未授权的ECU节点生成新的访问密钥:即新的访问密钥的生成是建立在已有的访问密钥的基础上;
第五步:根据步骤3所假设的节点A、B、C,B其对应的属性集合为SB,节点C生成的对节点A的访问密钥SKCA',生成的新密钥SKCA'与密钥SKCA在形式上是等价的,实现密文与ECU节点私钥相匹配。
综上,本发明的方法包括以下步骤:(1)建立基于电子控制单元(ECU)属性的车内网络细粒度访问控制模型;(2)根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;(3)设计车内网络中的不同子网间的访问权限及访问控制策略;(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;(5)基于上述对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法。本发明提出了一种基于ECU身份属性的车内网络细粒度授权访问方法,结合车内网络的特点,一方面根据车内网络内各ECU节点及其发送的信息具有不同的属性,各ECU节点获取网络传输层密文数据的种类和数量也各不相同,建立基于密文属性的属性基加密方案;另一方面通过将合法用户的私钥设置为属性集,并为数据密文设置访问结构,建立了访问控制模型。将加密方案与访问控制模型相结合,提出了基于属性基加密方案的细粒度的访问控制策略,有效解决了车内网络通信协议应用层的隐私保护问题。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。

Claims (8)

1.一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,包括以下步骤:(1)建立基于ECU属性的车内网络细粒度访问控制模型:包括子网内具有不同属性的ECU、车载网关电子控制单元GECU、外部设备以及子网内的主电子控制单元MECU,在整个模型中,GECU互联不同子网的ECU,每个子网内设置MECU,不同子网内的普通ECU节点通过MECU与GECU相连;(2)根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;ECU的解密密钥将由GECU中的安全存储负责生成,GECU根据ECU的属性集合生成对应的解密密钥,并将生成的密钥分发给ECU;(3)设计车内网络中的不同子网间的访问权限及访问控制策略;GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥;(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;(5)基于上述对访问匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法。
2.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述步骤(2)根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画;ECU的解密密钥将由GECU中的安全存储负责生成,GECU根据ECU的属性集合生成对应的解密密钥,并将生成的密钥分发给ECU;其步骤如下:
步骤2.1:根据车内子网的服务属性,将子网划分成动力子网、舒适子网、安全子网、决策控制子网以及环境感知子网等;
步骤2.2:GECU互联不同的子网,每个子网内设置MECU,ECU需要通信时,向MECU发送通信请求,然后MECU对其身份进行判定;
步骤2.3:访问结构存储在MECU中,当ECU访问车内数据时,节点属性必须满足访问结构才能解密数据;
步骤2.4:当ECU属性满足MECU中的访问结构时,GECU的安全存储生成ECU的解密密钥SKECU,并将生成的密钥分发给ECU;
步骤2.5:同时各子网中MECU作为中间服务器,负责判定ECU之间的信任距离,在信任距离的计算中,主控制器需要结合车内网络结构的特点,进行计算。
3.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述步骤(3)设计车内网络中的不同子网间的访问权限及访问控制策略,GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥;其步骤如下:
步骤3.1:娱乐ECU和空调ECU均在舒适子网中,分别记为A和B,在环境感知子网的距离ECU记为C,C与B有联系,B对A有一定的访问权限,密钥的访问权限由B相对应的A的属性集合决定,同样,C对B有一定的访问权限;
步骤3.2:车内GECU中的安全存储将根据每个ECU的相对应的属性集合生成与之相应的访问密钥即解密密钥,即B拥有解密密钥SKBA,C拥有解密密钥SKCB
步骤3.3:当环境感知子网的C要求访问舒适子网的A时,由于C和A不在同一个子网,C不具有访问A的解密密钥,因而无法完成访问,为实现通信,C需要通过与其有联系的B获得对A的访问权限;
步骤3.4:每个子网内的主ECU根据其存储的车内网络结构图计算C与A之间的信任距离δ;
步骤3.5:当信任距离满足一定的条件时,MECU将向GECU中的安全存储提供C与A之间产生关联的节点B,密钥生成中心根据B相对于A的属性集合为C生成相应的访问A的解密密钥SKCA,从而实现跨网访问。
4.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述步骤(4)根据构造的基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略;其步骤如下:
步骤4.1:引入访问树结构,对叶子节点赋予不同的属性,非叶子节点由一对运算符(and,or)组成;
步骤4.2:MECU记录下同一子网或者不同子网内ECU节点的距离d,并根据有向图中的dijkstra算法判断最短路径,满足最短路径的节点优先通信;
步骤4.3:根据步骤(3)建立的逻辑结构,进一步设计细粒度访问控制策略,有以下情况:娱乐和转向或者空调服务需求属性的ECU、娱乐或者转向和空调服务需求属性的ECU两种不同的粒度;
步骤4.4:根据步骤4.2的最短路径和步骤4.3的服务需求属性,满足娱乐、转向、决策服务需求的ECU可以访问网关,从而实现了匹配策略。
5.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述步骤(5)基于上述对匹配策略的刻画,构造基于ECU属性的合法节点私钥属性集与ECU密文访问结构匹配策略的加密算法,设G1是一个以素数q为阶的双线性群,其生成元是m,双线性映射e:G1×G1→G2,n是由Zq中元素构成的集合,n∈Zq。同时定义一个哈希函数hash(·),该函数将所有的属性映射到G1中。其步骤如下:
步骤5.1:车辆启动时,初始化车内环境,GECU生成公共公钥MPK和主密钥MSK,将这些参数加载到GECU的安全存储中;
步骤5.2:初始化过程完成之后,加密车内通信数据。通过步骤4的匹配策略和公共公钥MPK将车内数据由信息M转化为密文C;
步骤5.3:以智能ECU对车辆的操控行为为媒介,与车载电源系统之间产生耦合作用,使得车载电源电压变化具有马尔科夫特性,生成真随机数,作为会话密钥,利用主密钥MSK和属性集合S生成解密密钥;
步骤5.4:利用递归函数DN(C,SK,α)进行判断,为未授权的ECU节点生成新的访问密钥,即新的访问密钥的生成是建立在已有的访问密钥的基础上;
步骤5.5:根据步骤3所假设的节点A、B、C,B其对应的属性集合为SB,节点C生成的对节点A的访问密钥SKCA',生成的新密钥SKCA'与密钥SKCA在形式上是等价的,实现密文与ECU节点私钥相匹配。
6.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,根据车内电子控制单元ECU的服务属性,在车内网络中划分子网,进行细粒度访问控制刻画部分,实现了车内隐私数据有选择的共享,实现了车内ECU节点隐私信息共享的安全。
7.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述基于ECU属性的车内网络细粒度访问控制模型,拟通过属性聚类的方法构造合法节点私钥属性集与ECU密文访问结构匹配策略部分,将ECU属性与访问结构相匹配。
8.根据权利要求1所述的一种基于ECU身份属性的车内网络细粒度授权访问方法,其特征在于,所述对访问匹配策略的刻画部分,根据ECU的属性特征,推导出车内网络私钥属性与ECU密文访问结构匹配关系,建立基于ECU属性的车内网络细粒度密文访问控制策略,对已授权的ECU进行记录,使得只有合法节点才能在车内通信。
CN201710498048.3A 2017-06-27 2017-06-27 一种基于ecu身份属性的车内网络细粒度授权访问方法 Active CN107426187B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710498048.3A CN107426187B (zh) 2017-06-27 2017-06-27 一种基于ecu身份属性的车内网络细粒度授权访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710498048.3A CN107426187B (zh) 2017-06-27 2017-06-27 一种基于ecu身份属性的车内网络细粒度授权访问方法

Publications (2)

Publication Number Publication Date
CN107426187A true CN107426187A (zh) 2017-12-01
CN107426187B CN107426187B (zh) 2020-02-21

Family

ID=60426408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710498048.3A Active CN107426187B (zh) 2017-06-27 2017-06-27 一种基于ecu身份属性的车内网络细粒度授权访问方法

Country Status (1)

Country Link
CN (1) CN107426187B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259465A (zh) * 2017-12-08 2018-07-06 清华大学 一种智能汽车内部网络的认证加密方法
CN108494725A (zh) * 2018-01-30 2018-09-04 惠州市德赛西威汽车电子股份有限公司 一种车载can总线报文的加密通信方法
CN109934957A (zh) * 2019-03-20 2019-06-25 深圳市道通科技股份有限公司 显示车辆ecu系统分布及状态的方法、装置及移动终端
CN110086622A (zh) * 2018-01-25 2019-08-02 南京汽车集团有限公司 一种智能网联环境下车内网络安全架构设计
CN110754068A (zh) * 2017-06-14 2020-02-04 住友电气工业株式会社 车外通信装置、通信控制方法和通信控制程序
CN110958573A (zh) * 2019-11-22 2020-04-03 大连理工大学 车载内容中心网络下基于一致性哈希的移动感知协作缓存方法
CN111245613A (zh) * 2020-02-24 2020-06-05 江苏大学 一种基于身份的车内外网络三级密钥协商方法
WO2020139400A1 (en) * 2018-12-27 2020-07-02 Didi Research America, Llc Trusted platform protection in an autonomous vehicle
CN111651748A (zh) * 2020-05-29 2020-09-11 重庆长安汽车股份有限公司 一种车内ecu的安全访问处理系统及其方法
CN113179152A (zh) * 2021-03-11 2021-07-27 江苏大学 一种基于ecu通信频率特性的车内网络数据通信方法
CN115242410A (zh) * 2022-09-22 2022-10-25 合肥工业大学 一种基于量子随机数发生器的车内网身份认证方法
WO2022252226A1 (zh) * 2021-06-04 2022-12-08 华为技术有限公司 一种数据保护方法及车辆
CN117395001A (zh) * 2023-12-11 2024-01-12 合肥工业大学 一种基于量子密钥芯片的车联网安全通信方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002204249A (ja) * 2000-12-28 2002-07-19 Denso Corp 通信データ管理装置及び通信データ管理方法
CN103179114A (zh) * 2013-03-15 2013-06-26 华中科技大学 一种云存储中的数据细粒度访问控制方法
CN104079456A (zh) * 2013-03-28 2014-10-01 株式会社自动网络技术研究所 车载通信系统以及车载中继装置
CN105978895A (zh) * 2016-06-28 2016-09-28 电子科技大学 支持非单调访问结构和细粒度撤销的属性基加密方案
CN106331113A (zh) * 2016-08-27 2017-01-11 安徽中凯信息产业有限公司 一种车内网络自启动方法及其装置
CN106533655A (zh) * 2016-10-27 2017-03-22 江苏大学 一种车内网ecu安全通信的方法
KR101740957B1 (ko) * 2016-01-15 2017-05-30 고려대학교 산학협력단 차량용 데이터의 인증 및 획득 방법
CN106790053A (zh) * 2016-12-20 2017-05-31 江苏大学 一种can总线中ecu安全通信的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002204249A (ja) * 2000-12-28 2002-07-19 Denso Corp 通信データ管理装置及び通信データ管理方法
CN103179114A (zh) * 2013-03-15 2013-06-26 华中科技大学 一种云存储中的数据细粒度访问控制方法
CN104079456A (zh) * 2013-03-28 2014-10-01 株式会社自动网络技术研究所 车载通信系统以及车载中继装置
KR101740957B1 (ko) * 2016-01-15 2017-05-30 고려대학교 산학협력단 차량용 데이터의 인증 및 획득 방법
CN105978895A (zh) * 2016-06-28 2016-09-28 电子科技大学 支持非单调访问结构和细粒度撤销的属性基加密方案
CN106331113A (zh) * 2016-08-27 2017-01-11 安徽中凯信息产业有限公司 一种车内网络自启动方法及其装置
CN106533655A (zh) * 2016-10-27 2017-03-22 江苏大学 一种车内网ecu安全通信的方法
CN106790053A (zh) * 2016-12-20 2017-05-31 江苏大学 一种can总线中ecu安全通信的方法

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110754068A (zh) * 2017-06-14 2020-02-04 住友电气工业株式会社 车外通信装置、通信控制方法和通信控制程序
CN108259465A (zh) * 2017-12-08 2018-07-06 清华大学 一种智能汽车内部网络的认证加密方法
CN108259465B (zh) * 2017-12-08 2020-05-05 清华大学 一种智能汽车内部网络的认证加密方法
CN110086622A (zh) * 2018-01-25 2019-08-02 南京汽车集团有限公司 一种智能网联环境下车内网络安全架构设计
CN108494725A (zh) * 2018-01-30 2018-09-04 惠州市德赛西威汽车电子股份有限公司 一种车载can总线报文的加密通信方法
CN108494725B (zh) * 2018-01-30 2021-03-30 惠州市德赛西威汽车电子股份有限公司 一种车载can总线报文的加密通信方法
US11888833B2 (en) 2018-12-27 2024-01-30 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
US11290437B2 (en) 2018-12-27 2022-03-29 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
WO2020139400A1 (en) * 2018-12-27 2020-07-02 Didi Research America, Llc Trusted platform protection in an autonomous vehicle
CN109934957A (zh) * 2019-03-20 2019-06-25 深圳市道通科技股份有限公司 显示车辆ecu系统分布及状态的方法、装置及移动终端
CN110958573B (zh) * 2019-11-22 2020-12-11 大连理工大学 车载内容中心网络下基于一致性哈希的移动感知协作缓存方法
CN110958573A (zh) * 2019-11-22 2020-04-03 大连理工大学 车载内容中心网络下基于一致性哈希的移动感知协作缓存方法
CN111245613A (zh) * 2020-02-24 2020-06-05 江苏大学 一种基于身份的车内外网络三级密钥协商方法
CN111651748A (zh) * 2020-05-29 2020-09-11 重庆长安汽车股份有限公司 一种车内ecu的安全访问处理系统及其方法
CN111651748B (zh) * 2020-05-29 2023-03-14 重庆长安汽车股份有限公司 一种车内ecu的安全访问处理系统及其方法
CN113179152A (zh) * 2021-03-11 2021-07-27 江苏大学 一种基于ecu通信频率特性的车内网络数据通信方法
WO2022252226A1 (zh) * 2021-06-04 2022-12-08 华为技术有限公司 一种数据保护方法及车辆
CN115242410A (zh) * 2022-09-22 2022-10-25 合肥工业大学 一种基于量子随机数发生器的车内网身份认证方法
CN115242410B (zh) * 2022-09-22 2022-11-29 合肥工业大学 一种基于量子随机数发生器的车内网身份认证方法
CN117395001A (zh) * 2023-12-11 2024-01-12 合肥工业大学 一种基于量子密钥芯片的车联网安全通信方法及系统
CN117395001B (zh) * 2023-12-11 2024-02-20 合肥工业大学 一种基于量子密钥芯片的车联网安全通信方法及系统

Also Published As

Publication number Publication date
CN107426187B (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
CN107426187A (zh) 一种基于ecu身份属性的车内网络细粒度授权访问方法
Ma et al. Blockchain-driven trusted data sharing with privacy protection in IoT sensor network
CN111050317B (zh) 一种基于联盟区块链的智能交通数据安全共享方法
CN111372248A (zh) 一种车联网环境下高效匿名身份认证方法
CN114567473B (zh) 一种基于零信任机制的车联网访问控制方法
CN107222478A (zh) 基于区块链的软件定义网络控制层安全机制构建方法
CN110377002A (zh) 一种自适应的车内can总线安全控制方法及系统
Li et al. Attribute-based keyword search and data access control in cloud
CN106953839A (zh) 车联网中非可信资源传播的阻控系统及方法
CN108401243A (zh) 车载自组网消息认证方法与系统
CN114599028A (zh) 一种基于同态加密机制的车联网假名管理方法
CN107276766A (zh) 一种多授权属性加解密方法
CN113949541A (zh) 一种基于属性策略的dds安全通信中间件设计方法
Chen et al. A Summary of Security Techniques‐Based Blockchain in IoV
Zhang et al. Traffic data security sharing scheme based on blockchain and traceable ring signature for VANETs
CN115442048A (zh) 一种面向vanet的基于区块链的匿名认证方法
CN115002717A (zh) 一种基于区块链技术的车联网跨域认证隐私保护模型
Kakkar et al. Block-CPS: Blockchain and non-cooperative game-based data pricing scheme for car sharing
CN109510707A (zh) 基于树状结构模型的群组密钥管理方法
CN117793670A (zh) 一种区块链架构下的车联网安全通信方法
CN109474438A (zh) 一种基于选择性泄露的智能终端接入认证方法
CN111245613B (zh) 一种基于身份的车内外网络三级密钥协商方法
Zhang et al. An efficient privacy-preserving authentication protocol in VANETs
Wang et al. A secure solution of V2G communication based on trusted computing
CN114462061B (zh) 一种基于车联网隐私保护双认证的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201223

Address after: No. 101, Nanxu Avenue, Zhenjiang City, Jiangsu Province, 212000

Patentee after: JIANGSU HUIZHI INTELLECTUAL PROPERTY SERVICES Co.,Ltd.

Address before: Zhenjiang City, Jiangsu Province, 212013 Jingkou District Road No. 301

Patentee before: JIANGSU University

Effective date of registration: 20201223

Address after: 224200 No.8 Beihai Road, Dongtai City, Yancheng City, Jiangsu Province

Patentee after: Dongtai science and Technology Service Center

Address before: No. 101, Nanxu Avenue, Zhenjiang City, Jiangsu Province, 212000

Patentee before: JIANGSU HUIZHI INTELLECTUAL PROPERTY SERVICES Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210719

Address after: 224200 No. 48 Dongjin Avenue, Chengdong New District, Dongtai City, Yancheng City, Jiangsu Province

Patentee after: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Address before: 224200 No.8 Beihai Road, Dongtai City, Yancheng City, Jiangsu Province

Patentee before: Dongtai science and Technology Service Center

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Dongtai tepusong Machinery Equipment Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2023980043158

Denomination of invention: A fine-grained authorization access method for car network based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20231012

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Dongtai Donggao Electronic Information Technology Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2023980045160

Denomination of invention: A fine-grained authorization access method for car network based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20231102

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Dongtai Gaoxin Mechanical Equipment Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2023980046304

Denomination of invention: A fine-grained authorization access method for car network based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20231110

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Jiangsu sairuibo CNC Machine Tool Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980008542

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240702

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Spike (Dongtai) Equipment Manufacturing Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980008872

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240704

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Dongtai Expedition New Building Materials Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980012644

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240821

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20171201

Assignee: Yancheng Zhenglong electric heating technology Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980012864

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240823

Application publication date: 20171201

Assignee: DONGTAI LYVHUA PLASTIC WOOD TECHNOLOGY Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980012821

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240823

Application publication date: 20171201

Assignee: Dongtai Hongsheng Magnetic Industry Co.,Ltd.

Assignor: Dongtai Chengdong science and Technology Pioneer Park Management Co.,Ltd.

Contract record no.: X2024980012815

Denomination of invention: A fine-grained authorization access method for in car networks based on ECU identity attributes

Granted publication date: 20200221

License type: Common License

Record date: 20240823