CN107465507A - 基于分级多层单向密钥链时间触发车载网络消息认证方法 - Google Patents

Abstract

本发明提供一种基于分级多层单向密钥链时间触发车载网络消息认证方法，属于车联网环境下时间触发车载网络上数据的认证方法。发送节点初始化，发送节点构建分级多层单向密钥链并分布初始密钥；发送节点多播验证的消息及密钥；接收节点验证接收的消息及密钥。本发明在分级多层密钥链延迟释放的理念基础上，最底层的密钥具有较短的释放延时和长度用来认证实时通信数据，每个高层密钥具有较长的释放延时和长度用来可信地分布其低一层密钥链的初始密钥，发送节点只需提前计算并且存储每层的第一个密钥链；在时间触发车载网络的资源约束、实时性和安全性之间提供一个恰当的权衡，大幅度降低了消息认证产生的带宽、存储和计算资源开销。

Description

基于分级多层单向密钥链时间触发车载网络消息认证方法

技术领域

本发明涉及一种基于分级多层单向密钥链的时间触发车载网络消息认证方法，用于确保车联网环境下时间触发车载网络上数据的完整性和数据源的真实性。

背景技术

网联化使汽车具备了更加丰富的舒适性和信息娱乐功能，例如汽车制造商使用手机APP来提供门锁控制、暖气调节、手动泊车、更新软件等服务，并且极大地推动了汽车智能化、交通智能化的发展，然而同时也为汽车带来了新的信息安全隐患。传统上，车载控制系统与外界是物理隔离的，因此当前车载控制系统的内部网络(即车载网络，如CAN/CAN_FD、FlexRay、TTEthernet等)在设计时几乎没有任何信息安全防护方面的考虑。随着汽车与其他嵌入式系统、周边物理环境和基础设施以及云端的互联日益增多，汽车被攻击的可能性也随之增大，信息安全已经成为车载网络设计和应用面临的一个紧迫问题。

一旦连接在车载控制系统内的某个节点被恶意攻击者通过任意一个汽车开放的网络接口(如USB、OBD-II、RFID、Bluetooth、Wi-Fi、DSRC和3G/4G等)攻陷，攻击者便能够轻松地向系统内安全相关的车载网络发送伪造的消息或者进行消息重放攻击，进而破坏车载控制系统的正常操作，造成系统故障。例如在2015年黑帽大会上，著名的白帽黑客Miller和Valasek演示了通过“0day”漏洞远程攻击车载娱乐系统，并成功侵入了一辆正在行驶的JEEP自由光SUV的控制局域网络(CAN)，向变速箱、发动机、转向、制动等系统发送伪造的错误指令，使这辆车开翻到马路边的斜坡下。最终克莱斯勒宣布在美国召回140万辆相关车辆，造成了巨大的经济损失。美国研究机构Ponemon公布了一项关于车辆信息安全的调查报告，其预计“未来将有60％-70％的车辆因信息安全漏洞被召回”，汽车正逐渐成为黑客攻击的热门目标。

为了避免此类攻击，为车载网络设计消息认证机制，以确保网络上数据的完整性和数据源的真实性，具有十分重要的理论价值和实际意义。尽管在传统互联网领域已经存在多个关于消息认证机制的研究，然而由于车载网络和连接在网络上的电子控制单元通常具有严格的资源约束(如有限的计算、存储和带宽资源)和性能需求(如高实时性和安全性)，以及车载信号多播的属性，导致直接应用现有的消息认证机制到车载网络并不可行。

例如点对点的认证机制，即在每个消息上附加一个由网络上所有节点共享的密钥生成的消息认证码(Message Authentication Code,MAC)，并不能提供适当的消息认证。如果两个以上的节点共享同一个密钥，则消息的接收方无法分辨出哪个节点发送了消息，网络上任意的一个节点都能够伪装成发送方。因此，车载网络需要某种形式上的非对称以实现多播认证。首先，消息发送方为每个接收方生成一个MAC是共享密钥认证机制一个简单的扩展，即发送方与它的每个接收方建立唯一的共享密钥以提供非对称的密钥所有权。然而即使在只有极少量接收方的情况下，多个MAC所产生的时间开销、带宽开销和计算开销仍然令这个方法无法应用在车载网络上。基于公钥密码体制的数字签名是另一种非对称的认证方法。该方法能够提供非常强的源认证，然而其产生的处理开销使其无法应用到资源严重受限的车载控制系统中，如使用中等性能的微控制器计算512位的RSA签名需要几秒钟。一些机制通过使用一次性数字签名令发送方能够更快地对消息进行签名，然而其代价则是增加了消息的大小，如每个消息产生几千字节的认证数据。因此，这类方法对于具有较小数据段负载的车载网络而言仍然不可行。

此外，TESLA通过使用单向密钥链延时释放的方式提供了非对称属性，该协议将时间分成多个长度相同的间隔I₁,...,I_N，需要发送方与接收方之间时间同步。协议执行前，发送方选择一个随机数K_N，使用哈希函数H生成一个单向密钥链K₀,K₁,...,K_N，其中K_v＝H(K_v+1)，并依次将这些密钥分配到对应的时间间隔上。密钥链从K₁开始使用，K₀作为初始密钥提前发送到每一个接收方。接收方已知K₀，便能够通过验证K₀＝H(K₁)认证密钥K₁的真实性，进而依次以同样的方式认证随后的密钥。发送方在时间间隔I_v发送消息时，其使用对应于当前间隔的密钥K_v生成MAC，并在之后一个预定义的时间间隔内释放该密钥。接收方收到消息后，先将其放到缓存中，待接收到生成该消息MAC的密钥K_v后，先认证密钥的真实性，进一步认证消息的真实性。与上述方法相比，TESLA在计算开销、通信开销和安全性之间提供了一个相对的权衡。但由于其定义的密钥链结构要求节点在使用协议前一次性计算并存储所有密钥，因此该方法所产生的内存空间和初始化时间开销仍然使其无法直接应用到资源受限的车载控制系统中。除此之外，TESLA要求每个时间间隔内释放的密钥必须附加在当前间隔发送的所有消息上，并使用全尺寸的消息认证码和密钥，从而也导致了大量带宽资源和计算资源浪费。

发明内容

本发明提供一种基于分级多层单向密钥链时间触发车载网络消息认证方法，以克服现有消息认证机制在车载环境中应用的缺点与不足。

本发明采取的技术方案是：包括下列步骤：

第一阶段：发送节点初始化，在此阶段，发送节点构建分级多层单向密钥链，并可信地分布每一层第一个密钥链的初始密钥到其接收节点；

第二阶段：发送节点多播验证的消息及密钥；

第三阶段：接收节点验证接收的消息及密钥；

本发明所述第一阶段中发送节点构建分级多层单向密钥链包括以下步骤：

定义1：一个分级n层单向密钥链的结构被定义为一个包含n个二元组的集合S＝{(α₁,β₁),(α₂,β₂),...,，(α_n,β_n)}，其中α_i和β_i分别用来表示第i层(i∈[1,...n])每个单向密钥链的长度、不包含其初始密钥和密钥大小；

定义2：一个分级n层单向密钥链的密钥生成函数被定义为一个包含n个哈希函数的集合H＝{H₁,H₂,...,H_n}；

定义3：分级多层单向密钥链第i层的任意一个密钥由标识，其中ρ_i为一个包含i个元素的向量，用来定义该密钥在整个链中的绝对位置，向量ρ_i每个元素的值小于等于α_j,j∈[0,...,i]；

已知密钥链的结构S和密钥生成函数H，时间触发车载网络上的发送节点按照自顶向下的顺序来构造分级的n层单向密钥链：

(1)发送节点构建第一层密钥链：第一层只包含一个密钥链，发送节点选择一个随机数作为第一层密钥链的最后一个密钥；发送节点使用该密钥和第一层对应的密钥生成函数H₁，根据以下公式依次生成第一层密钥链的所有其他密钥：

(2)发送节点构建其他层(第i层，i∈[2,...,n])密钥链：

a、构建第i层每个密钥链的最后一个密钥：第i层每个密钥链的最后一个密钥都由上一层(第i-1层)的密钥产生：

其中“|”表示连接运算符，表示i-2个0。由此可知，第i层所包含的密钥链的数量等于第i-1层的总密钥数量；

b、与第一层类似，已知第i层每个密钥链的最后一个密钥以及该层对应的密钥生成函数H_i，每个链其他的密钥根据以下公式依次生成：

其中“|”表示连接运算符，表示i-1个0；

除了初始密钥外，第i层的每个密钥都对应着一个长度相同的时间间隔并且第i层每个密钥所对应的时间间隔长度等于第i+1层每个密钥对应的间隔长度与该层单个密钥链长度的乘积；为了减少带宽、计算和内存开销，提出多层链使用了截短的密钥，并且采取分级结构，考虑到越低层的密钥，其释放的时间间隔越短、即需要保护的时间越短，因此越低层的密钥链对应越小的密钥大小；

上述分级多层单向密钥链的使用方法为：每个最底层的密钥用来认证该密钥所在时间间隔内发送节点多播的实时通信数据，而每个高层密钥则用来认证该密钥所在时间间隔内需要提前分布的低一层密钥链的初始密钥，发送节点在每个密钥对应间隔的后一个时间间隔将其将其释放，即发送到时间触发车载网络上，并且只发送一次；

分级n层单向密钥链所覆盖的时间即认证方法的运行周期，由车载控制系统设计者根据需求设定，最底层密钥链的密钥释放时间间隔由车载控制系统设计者根据车载网络上消息的实时性约束设定，需确保密钥释放间隔小于车载网络上所有消息的最小时间期限，已知运行周期和最底层密钥的时间间隔，便能确定最底层需要的总密钥数；

本发明所述第一阶段中发送节点可信地分布每一层第一个密钥链的初始密钥到其接收节点的方法为：为了启动提出的认证方法，对于发送节点每层的第一个密钥链，接收节点需要提前拥有一个经过认证的初始密钥以用于该链随后密钥的认证，由于该操作只在车载控制系统初始化或者整个多层密钥链被耗尽时发生，因此车载网络上的发送节点采用开销较大但安全性相对较高的数字签名提前将每层第一个密钥链的初始密钥可信地发送到其每一个接收节点；

本发明所述第二阶段中发送节点多播验证的消息及密钥的方法为：

使用分级多层密钥链提供认证后，时间触发车载网络上共有三种信号，包括：原有的车载控制应用信号、发送节点分布的低层链初始密钥信号以及发送节点释放的每层其他密钥信号；

(1)当发送节点发送一个包含控制应用信号的消息m时，其执行的具体步骤如下:

a、发送节点使用对应当前底层时间间隔的底层密钥通过哈希函数生成该消息的消息认证码(ρ_n|m)，其中“|”表示连接符，向量ρ_n作为哈希函数输入以避免重放攻击；

c、根据ISO 26262标准所定义的安全需求截短了消息认证码的长度，该标准规定了在时间段λ内各个安全级别的车载控制系统允许出现故障的概率τ，已知伪造一个长度为l_MAC比特的消息认证码的成功率为假定车载控制系统中信号的平均周期为T，为了达到标准定义的安全需求，消息认证码的长度l_MAC取满足以下条件的最小长度：

(ρ_n|m)用来表示截短后的消息认证码；

c、发送节点将截短后的消息认证码附加到消息m上，构造数据帧并将其发送到时间触发车载网络上，此处省略了数据帧除了有效负载段外的其他部分；

(2)发送节点在每个高层密钥链时间间隔发布其对应下一层密钥链的后一个链的初始密钥，以确保在该链使用前，车载网络上的接收节点安全地收到该链的初始密钥。当发送节点在高层密钥链时间间隔i∈[1,...,n-1]发布其对应下一层密钥链的后一个链的初始密钥 表示i-1个0时，其执行的具体步骤如下：

a、发送节点使用对应当前高层时间间隔的密钥通过哈希函数生成该初始密钥的消息认证码其中“|”表示连接符，向量ρ_i作为哈希函数输入以避免重放攻击；

发送节点构造数据帧并将其发送到时间触发车载网络上；

(3)发送节点在每个密钥对应间隔的后一个时间间隔将其释放，当发送节点在密钥链时间间隔释放其前一个时间间隔对应的密钥 表示i-1个0时，其构造数据帧

在时间触发的车载网络上，时间是同步的，每个节点都通过一个预定义的全局静态调度表进行数据帧传输，表中包含了每个帧的发送时刻，因此，使用本认证方法后，系统设计者需要为每个发送节点所产生的上述三种数据帧分配发送时刻，在满足认证方法规定的前提下，调度表的制定属于应用设计相关的范畴；

本发明所述第三阶段中接收节点验证接收的消息及密钥的方法为：

时间触发车载网络上的接收节点在接收数据帧时，根据调度表便能够确定帧的类型；

(1)当接收节点接收到一个包含控制应用消息的数据帧时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的底层时间间隔

b、接收节点将四元组(s,ρ_n,m,(ρ_n|m))放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和消息m通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码采用与发送节点相同的方式进行截短，进而将截短后的消息认证码与之前存储的(ρ_n|m)进行比较，如果相同，则接收该消息，否则将其丢弃；

(2)当接收节点接收到一个包含低层链初始密钥的数据帧(i∈[1,...,n-1]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的高底层时间间隔

b、接收节点将四元组(s,ρ_i,)放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码与之前存储的进行比较，如果相同，则接收该消息，否则将其丢弃；

(3)当接收节点接收到一个包含释放密钥的数据帧(i∈[1,...,n]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点通过调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及密钥对应的时间间隔

b、接收节点使用之前间隔接收并检查过的该发送节点所释放的密钥通过判断来检查密钥的合法性，如果检测成功，则使用密钥认证在对应的底层时间间隔内接收到的该发送节点发送的所有数据帧，如本阶段第(1)和第(2)部分所述，并使用新认证的密钥替代

本发明在TESLA的基础上，为时间触发的车载网络提供了一个轻量级消息认证方法，是目前首个为时间触发车载网络专门设计的消息认证方法，在汽车网联化蓬勃发展的势态下，具有十分重要的理论价值和实际意义。与现有的消息认证机制相比，本发明提出的认证方法应用在时间触发的车载网络上具有如下优点：

(1)本发明提出的认证方法能够同时满足时间触发车载网络对实时性和安全性的需求。在车载环境下，实时性和安全性都是认证机制设计时首要考虑的因素。基于共享密钥体制的认证机制由于无法唯一地辨别消息发送方，因此并不能为多播的车载网络提供安全的消息认证。基于公钥密码体制的数字签名尽管能够提供较强的源认证，但计算数字签名所产生的时间开销会使车载网络上的消息违背实时性约束。基于密钥延迟释放的TESLA多播认证机制在同时满足实时性和安全性的基础上，由于需要提前计算和存储整个密钥链(为了满足实时性约束，需要设置非常短的密钥释放间隔，因而在覆盖一个可接受的认证机制生命周期的前提下，需要预计算和存储一个极长的密钥链)，因此同样无法应用在存储资源严重受限的车载环境中。相比之下，根据本发明提出的密钥链构建方式，底层密钥的释放时间间隔可以在不需要大量存储空间的前提下被设置的足够短，从而能够确保认证操作产生的延时不会使消息错过其时间期限。顶层密钥的时间间隔能够被设置的足够长，从而保证了长时间的认证机制生命周期，以避免初始化带来的开销与不便。

(2)本发明提出的认证方法具有轻量性。出于对制造成本等因素的考虑，车载微控制器的计算能力和存储能力以及时间触发车载网络的带宽通常较低。本发明采用对称秘钥延迟释放的方式提供了非对称的属性，提出的密钥链构建及使用方法只需提前计算和存储极少数的密钥，并且根据车载控制系统的安全需求进一步截短了消息认证码的长度，因此大幅度降低了消息认证产生计算资源、存储资源和带宽资源开销。

附图说明

图1是本发明分级多层单向密钥链架构图；

图2是车载微控制器S12X、MPC564X和Tricore计算哈希函数MD5产生的时间开销示意图，其中横坐标为MD5输入的长度，纵坐标为微控制器进行MD5运算所用的时间(单位为毫秒)；

图3是本发明和原始TESLA在时间触发车载网络节点的初始化时间方面的对比示意图，其中横坐标为底层总密钥数量，纵坐标为初始化时间开销(单位为毫秒)；

图4是本发明和原始TESLA在时间触发车载网络节点的内存资源开销方面的对比示意图，其中横坐标为底层总密钥数量，纵坐标为内存资源开销(单位为字节)；

图5是本发明和原始TESLA在时间触发车载网络的带宽开销方面的对比示意图，其中横坐标为底层总密钥数量，纵坐标为带宽消耗率；

图6是本发明和原始TESLA在时间触发车载网络节点的CPU资源开销方面的对比示意图，其中横坐标为底层总密钥数量，纵坐标为CPU消耗率。

具体实施方式

包括下列步骤：

第一阶段：发送节点初始化，在此阶段，发送节点构建分级多层单向密钥链，并可信地分布每一层第一个密钥链的初始密钥到其接收节点；

第二阶段：发送节点多播验证的消息及密钥；

第三阶段：接收节点验证接收的消息及密钥；

本发明所述第一阶段中发送节点构建分级多层单向密钥链包括以下步骤：

定义1：一个分级n层单向密钥链的结构被定义为一个包含n个二元组的集合S＝{(α₁,β₁),(α₂,β₂),...,，(α_n,β_n)}，其中α_i和β_i分别用来表示第i层(i∈[1,...n])每个单向密钥链的长度、不包含其初始密钥和密钥大小；

定义2：一个分级n层单向密钥链的密钥生成函数被定义为一个包含n个哈希函数的集合H＝{H₁,H₂,...,H_n}；

定义3：分级多层单向密钥链第i层的任意一个密钥由标识，其中ρ_i为一个包含i个元素的向量，用来定义该密钥在整个链中的绝对位置，向量ρ_i每个元素的值小于等于α_j,j∈[0,...,i]；

已知密钥链的结构S和密钥生成函数H，时间触发车载网络上的发送节点按照自顶向下的顺序来构造分级的n层单向密钥链：

(1)发送节点构建第一层密钥链：第一层只包含一个密钥链，发送节点选择一个随机数作为第一层密钥链的最后一个密钥；发送节点使用该密钥和第一层对应的密钥生成函数H₁，根据以下公式依次生成第一层密钥链的所有其他密钥：

(2)发送节点构建其他层(第i层，i∈[2,...,n])密钥链：

a、构建第i层每个密钥链的最后一个密钥：第i层每个密钥链的最后一个密钥都由上一层(第i-1层)的密钥产生：

其中“|”表示连接运算符，表示i-2个0。由此可知，第i层所包含的密钥链的数量等于第i-1层的总密钥数量；如图1所示，第三层第一个密钥链的最后一个密钥由上一层的密钥K_1,2通过公式计算；

b、与第一层类似，已知第i层每个密钥链的最后一个密钥以及该层对应的密钥生成函数H_i，每个链其他的密钥根据以下公式依次生成：

其中“|”表示连接运算符，表示i-1个0；如图1所示，第三层第一个密钥链的第二个密钥K_1,1,2通过公式K_1,1,2＝H₃(K_1,1,3)计算；

除了初始密钥外，第i层的每个密钥都对应着一个长度相同的时间间隔并且第i层每个密钥所对应的时间间隔长度等于第i+1层每个密钥对应的间隔长度与该层单个密钥链长度的乘积；如图1所示，第二层第一个密钥链的第一个密钥K_1,1对应着时间间隔I_1,1，该间隔的长度等于第三层密钥对应的时间间隔长度与该层单个密钥链长度α₃的乘积；为了减少带宽、计算和内存开销，提出多层链使用了截短的密钥，并且采取分级结构，考虑到越低层的密钥，其释放的时间间隔越短、即需要保护的时间越短，因此越低层的密钥链对应越小的密钥大小；

上述分级多层单向密钥链的使用方法为：每个最底层的密钥用来认证该密钥所在时间间隔内发送节点多播的实时通信数据，以便密钥释放和认证产生的延时不会影响消息的实时性；而每个高层密钥则用来认证该密钥所在时间间隔内需要提前分布的低一层密钥链的初始密钥。从而发送节点只需提前计算并且存储每层的第一个密钥链，剩余的所有密钥链都可以在系统运行时进行计算，在该链使用前完成计算并通过上一层密钥将该链的初始密钥可信地发送到接收节点即可，发送节点在每个密钥对应间隔的后一个时间间隔将其将其释放，即发送到时间触发车载网络上，并且只发送一次；

分级n层单向密钥链所覆盖的时间即认证方法的运行周期，由车载控制系统设计者根据需求设定，最底层密钥链的密钥释放时间间隔由车载控制系统设计者根据车载网络上消息的实时性约束设定，需确保密钥释放间隔小于车载网络上所有消息的最小时间期限，已知运行周期和最底层密钥的时间间隔，便能确定最底层需要的总密钥数；由于密钥链层数越多，认证方法越复杂，因此在满足车载系统约束的前提下，使用者选择最小的可行层数；此外，在满足车载系统内存约束和初始化时间约束的前提下，每层单个密钥链的长度由系统设计者是任意指定。

传统的单层密钥链(即只包含最底层密钥)需要一次性计算并存储所有的密钥，因此无法满足车载电子控制单元内存约束和车载系统的初始化时间约束。例如，当车载控制系统需要的密钥释放时间间隔为8ms时，认证方法的生存周期为8*10⁹ms的情况下，根据TESLA协议单层密钥链的构建方式，发送节点需提前计算的密钥数量为1*10⁹。假定每个密钥的长度为16字节(哈希函数MD5标准输出)，微控制器进行一次哈希函数计算的时间为0.011ms(英飞凌的TriCore频率设置为180MHz时进行一次MD5运算的时间)，则发送节点需要的存储空间多至16GB，初始化时间长为1.1*10⁴s；

本发明使用多级和分层的方式，车载网络上的发送节点只预计算和存储每层的第一个密钥链，而剩余的所有密钥链都可以在系统运行时进行计算，在该链使用前完成计算，并将该链的初始密钥发送到接收节点即可。从而在满足系统约束的前提下，能够得到所需要的最底层总密钥数。为了构建分级n层单向密钥链，车载网络上的发送节点只需迭代进行次哈希操作以一次性计算每层的第一个密钥链，同时占用字节的存储空间对其进行存储。由于密钥链层数越多，认证方法越复杂，因此在满足车载控制系统约束的前提下，建议使用者选择最小的可行层数。此外，在满足系统内存约束和初始化时间约束的前提下，每层单个密钥链的长度由系统设计者是任意指定。例如使用三层密钥链，每层单个密钥链的长度设置1000，同样能够得到1*10⁹个最底层密钥，假定自顶向下每层的密钥大小分别设置为4、10和16个字节，根据本发明提出的密钥链构建方式，发送节点需要的存储空间仅为30KB，初始化时间仅为33ms；

本发明所述第一阶段中发送节点可信地分布每一层第一个密钥链的初始密钥到其接收节点的方法为：为了启动提出的认证方法，对于发送节点每层的第一个密钥链，接收节点需要提前拥有一个经过认证的初始密钥以用于该链随后密钥的认证，由于该操作只在车载控制系统初始化或者整个多层密钥链被耗尽时发生，因此车载网络上的发送节点采用开销较大但安全性相对较高的数字签名提前将每层第一个密钥链的初始密钥可信地发送到其每一个接收节点；

本发明所述第二阶段中发送节点多播验证的消息及密钥的方法为：

使用分级多层密钥链提供认证后，时间触发车载网络上共有三种信号，包括：原有的车载控制应用信号、发送节点分布的低层链初始密钥信号以及发送节点释放的每层其他密钥信号；

(1)当发送节点发送一个包含控制应用信号的消息m时，其执行的具体步骤如下:

a、发送节点使用对应当前底层时间间隔的底层密钥通过哈希函数生成该消息的消息认证码(ρ_n|m)，其中“|”表示连接符，向量ρ_n作为哈希函数输入以避免重放攻击；

c、根据ISO 26262标准所定义的安全需求截短了消息认证码的长度，该标准规定了在时间段λ内各个安全级别的车载控制系统允许出现故障的概率τ，已知伪造一个长度为l_MAC比特的消息认证码的成功率为假定车载控制系统中信号的平均周期为T，为了达到标准定义的安全需求，消息认证码的长度l_MAC取满足以下条件的最小长度：

(ρ_n|m)用来表示截短后的消息认证码；

c、发送节点将截短后的消息认证码附加到消息m上，构造数据帧并将其发送到时间触发车载网络上，此处省略了数据帧除了有效负载段外的其他部分；

(2)发送节点在每个高层密钥链时间间隔发布其对应下一层密钥链的后一个链的初始密钥，以确保在该链使用前，车载网络上的接收节点安全地收到该链的初始密钥。当发送节点在高层密钥链时间间隔i∈[1,...,n-1]发布其对应下一层密钥链的后一个链的初始密钥(表示i-1个0)时，其执行的具体步骤如下：

a、发送节点使用对应当前高层时间间隔的密钥通过哈希函数生成该初始密钥的消息认证码其中“|”表示连接符，向量ρ_i作为哈希函数输入以避免重放攻击；

发送节点构造数据帧并将其发送到时间触发车载网络上；

(3)发送节点在每个密钥对应间隔的后一个时间间隔将其释放，当发送节点在密钥链时间间隔释放其前一个时间间隔对应的密钥(表示i-1个0)时，其构造数据帧

在时间触发的车载网络上，时间是同步的，每个节点都通过一个预定义的全局静态调度表进行数据帧传输，表中包含了每个帧的发送时刻，因此，使用本认证方法后，系统设计者需要为每个发送节点所产生的上述三种数据帧分配发送时刻，在满足认证方法规定的前提下，调度表的制定属于应用设计相关的范畴；

本发明所述第三阶段中接收节点验证接收的消息及密钥的方法为：

时间触发车载网络上的接收节点在接收数据帧时，根据调度表便能够确定帧的类型；

(1)当接收节点接收到一个包含控制应用消息的数据帧时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的底层时间间隔

b、接收节点将四元组(s,ρ_n,m,(ρ_n|m))放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和消息m通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码采用与发送节点相同的方式进行截短，进而将截短后的消息认证码与之前存储的(ρ_n|m)进行比较，如果相同，则接收该消息，否则将其丢弃；

(2)当接收节点接收到一个包含低层链初始密钥的数据帧(i∈[1,...,n-1]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的高底层时间间隔

b、接收节点将四元组(s,ρ_i,)放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码与之前存储的进行比较，如果相同，则接收该消息，否则将其丢弃；

(3)当接收节点接收到一个包含释放密钥的数据帧(i∈[1,...,n]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点通过调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及密钥对应的时间间隔

b、接收节点使用之前间隔接收并检查过的该发送节点所释放的密钥通过判断来检查密钥的合法性，如果检测成功，则使用密钥认证在对应的底层时间间隔内接收到的该发送节点发送的所有数据帧，如本阶段第(1)和第(2)部分所述，并使用新认证的密钥替代

本发明利用时间触发网络上发送方与接收方时间同步的属性，使用分级多层单向密钥链延迟释放的方式来实现消息认证。分级多层单向密钥链如图1所示，除了最顶层外，每层都由多个密钥链组成，并且每个高层密钥对应着其低一层的一个密钥链。最底层的密钥具有较短的释放时间间隔和长度，用来认证时间触发车载网络上的实时通信数据，以便密钥释放和认证产生的延时不会影响消息的实时性。高层密钥具有较长的释放时间间隔和长度，用来可信地分布低一层密钥链的初始密钥，从而车载网络上的发送节点只需提前计算并且存储每层的第一个密钥链，剩余的所有密钥链都可以在系统运行时进行计算，在该链使用前完成计算并将该链的初始密钥发送到接收节点即可。此外，本发明提出的认证方法规定了每个密钥只在其随后的时间间隔内被释放一次，并根据ISO 26262标准所定义的车载控制系统安全需求截短了消息认证码的长度。因此，与传统基于密钥延迟释放的TESLA多播认证协议相比，本发明提出的方法具有轻量性，能够在时间触发车载网络的资源约束、实时性和安全性之间提供一个恰当的权衡，大幅度降低了消息认证产生的带宽、存储和计算资源开销。

下边通过具体实验例来进一步说明本发明的效果。

(1)可行性评估实验

由于在提出的轻量级消息认证方法(以下简称为LW-TESLA)中，生成和验证消息认证码、产生和验证密钥都使用了哈希函数，因此为了评估LW-TESLA在现实车载环境下的可行性，本发明首先测试了三款在汽车领域常用的具有不同性能特点的微控制器(包括Freescale S12X、MPC564X和Infineon TriCore)进行一次哈希函数运算所用的时间。考虑到哈希函数MD5对于车载实时环境下较短的密钥释放间隔(即密钥生命周期)而言是安全的并同时具有易于计算的优点，本发明使用MD5来构建密钥链以及计算消息认证码。图2分别给出了三款微控制器计算不同输入长度的MD5所用的时间开销，其中S12X、MPC564X和TriCore的频率分别被设置为40MHz,80MHz,和180MHz.测试结果显示，MPC564X的平均计算时间为0.215毫秒，比S12X快了近似1.005倍，而TriCore的平均计算时间仅为0.0116毫秒，比MPC564X又快了一个数量级。根据实验结果，上述运行时间相对于车载网络上毫秒级的消息发送时间期限而言是可行的。

(2)轻量性评估实验

此外，本发明测试了对于具有不同实时性需求的车载控制系统，LW-TESLA在初始化时间、内存资源、带宽资源和计算资源方面的开销，并同时给出了其在上述各个开销方面与原始TESLA协议的对比。

本次实验的设置如下：Infineon TriCore作为车载电控单元的微控制器，MD5作为构建整个密钥链以及生成MAC的哈希函数，时间触发车载网络的传输速率为10Mbit/s。对于释放时间间隔在1-10³毫秒区间内的密钥，其大小设置为4字节，对于释放时间间隔在10³-10⁶毫秒区间内的密钥，其大小设置为10字节，而对于释放时间间隔大于10⁶毫秒的密钥，其大小设置为16字节。车载控制系统允许的认证机制生命周期、初始化时间和内存上限分别为8*10⁹毫秒、100毫秒和24KB(千字节)。本次实施考虑了具有不同实时性需求的5个车载控制系统。如本发明第四部分所述，底层密钥释放间隔必须小于车载控制系统内所有消息的最小时间期限，以确保消息认证产生的延迟不会使其违背实时性约束。因此对于5种不同的实时性需求，本次实施设置的底层密钥释放时间间隔分别为8、4、2、1和0.5毫秒。

图3显示了LW-TESLA与TESLA在时间触发车载网络节点的初始化时间方面的对比。图中横坐标为底层总密钥数量，由于本次实施考虑的认证机制生命周期为8*10⁹毫秒，因此当底层密钥释放时间间隔为8、4、2、1和0.5毫秒时，对应的底层密钥总数量则分别为1*10⁹、2*10⁹、4*10⁹、8*10⁹和1.6*10¹⁰。实施结果显示，在所有的测试中，采用单层密钥链的TESLA协议需要的初始化时间都远大于本发明提出的采用分级多层密钥链的LW-TESLA，平均为LW-TESLA的1.37*10⁶倍。此外，随着底层总密钥数量成比例的增加，TESLA协议需要的初始化时间也随之按比例增加。相比之下，LW-TESLA在所有测试中的初始化时间基本保持在50毫秒左右。这是由于TESLA协议需要在初始化时，一次性产生并存储所有的密钥，而本发明提出的LW-TESLA则只需产生并存储每层第一个密钥链的密钥。

图4显示了LW-TESLA与TESLA在时间触发车载网络节点的内存开销方面的对比。实施结果显示，在所有测试中，TESLA协议需要的发送节点内存空间都远大于本发明提出的LW-TESLA，平均为LW-TESLA的4.6*10⁷倍。此外，随着底层总密钥数量的增加，TESLA协议产生的内存开销也随之按比例增加。相比之下，LW-TESLA在所有测试中发送节点的内存开销则基本保持在21KB左右。

图5显示了LW-TESLA与TESLA在时间触发车载网络的带宽开销方面的对比。本实施使用带宽消耗率来衡量带宽开销，即发送节点发送密钥和消息认证码对带宽的使用率。实施结果显示，在所有测试中，TESLA协议产生的带宽消耗率都要远大于LW-TESLA，平均为LW-TESLA的4.4倍。此外，当底层总密钥数量为8*10⁹和1.6*10¹⁰时，TESLA协议的带宽消耗率分别为2.56和1.28，因此当为时间触发车载网络增加TESLA消息认证协议时，仅用于传输密钥以及消息认证码所使用的带宽就已经超过上限。这一方面是由于TESLA协议要求每个间隔释放的密钥要附加到当前间隔所发送的所有消息上，从而浪费了大量带宽资源；另一方面是由于TESLA协议使用了全尺寸的消息认证码，即16字节，从而又导致了每个数据帧中的协议开销部分过大。而根据本发明提出的LW-TESLA，每个密钥在其对应时间间隔内只被发送节点释放一次，消息认证码的长度根据安全需求进行了适当截短，从而大幅度降低了认证产生的带宽开销(本次实施假定系统允许的失败率为每小时10^-9，时间触发车载网络上最小的消息周期与底层密钥释放时间间隔的长度相等，时间间隔为8、4、2、1和0.5毫秒时，经过计算消息认证码长度分别为49、50、51、52和53比特)。

最后，图6显示了LW-TESLA与TESLA在时间触发车载网络节点的CPU资源开销方面的对比。本实施使用CPU消耗率来衡量CPU资源开销，即产生和验证消息认证码以及产生和验证密钥对CPU资源的使用率。实施结果显示，在所有测试中，TESLA协议产生的CPU消耗率都大于LW-TESLA，其中TESLA平均CPU消耗率为0.17，LW-TESLA为0.10。这是由于TESLA协议规定每个间隔释放的密钥需要附加到当前间隔所发送的所有消息上，从而导致了大量计算资源的浪费。

Claims (5)

1.一种基于分级多层单向密钥链时间触发车载网络消息认证方法，其特征在于：包括下列步骤：

第一阶段：发送节点初始化，在此阶段，发送节点构建分级多层单向密钥链，并可信地分布每一层第一个密钥链的初始密钥到其接收节点；

第二阶段：发送节点多播验证的消息及密钥；

第三阶段：接收节点验证接收的消息及密钥。

2.根据权利要求1所述的一种基于分级多层单向密钥链时间触发车载网络消息认证方法，其特征在于：所述第一阶段中发送节点构建分级多层单向密钥链包括以下步骤：

定义1：一个分级n层单向密钥链的结构被定义为一个包含n个二元组的集合S＝{(α₁,β₁),(α₂,β₂),...,，(α_n,β_n)}，其中α_i和β_i分别用来表示第i层(i∈[1,...n])每个单向密钥链的长度、不包含其初始密钥和密钥大小；

定义2：一个分级n层单向密钥链的密钥生成函数被定义为一个包含n个哈希函数的集合H＝{H₁,H₂,...,H_n}；

定义3：分级多层单向密钥链第i层的任意一个密钥由标识，其中ρ_i为一个包含i个元素的向量，用来定义该密钥在整个链中的绝对位置，向量ρ_i每个元素的值小于等于α_j,j∈[0,...,i]；

已知密钥链的结构S和密钥生成函数H，时间触发车载网络上的发送节点按照自顶向下的顺序来构造分级的n层单向密钥链：

(1)发送节点构建第一层密钥链：第一层只包含一个密钥链，发送节点选择一个随机数作为第一层密钥链的最后一个密钥；发送节点使用该密钥和第一层对应的密钥生成函数H₁，根据以下公式依次生成第一层密钥链的所有其他密钥：

<mrow> <msub> <mi>K</mi> <msub> <mi>&amp;rho;</mi> <mn>1</mn> </msub> </msub> <mo>=</mo> <msub> <mi>H</mi> <mn>1</mn> </msub> <mrow> <mo>(</mo> <msub> <mi>K</mi> <mrow> <msub> <mi>&amp;rho;</mi> <mn>1</mn> </msub> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> </mrow>

(2)发送节点构建其他层(第i层，i∈[2,...,n])密钥链：

a、构建第i层每个密钥链的最后一个密钥：第i层每个密钥链的最后一个密钥都由上一层(第i-1层)的密钥产生：

<mrow> <msub> <mi>K</mi> <mrow> <msub> <mi>&amp;rho;</mi> <mrow> <mi>i</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>|</mo> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> </mrow> </msub> <mo>=</mo> <msub> <mi>H</mi> <mi>i</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>K</mi> <mrow> <msub> <mi>&amp;rho;</mi> <mrow> <mi>i</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <mover> <mn>0</mn> <mo>&amp;OverBar;</mo> </mover> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> </mrow>

其中“|”表示连接运算符，表示i-2个0。由此可知，第i层所包含的密钥链的数量等于第i-1层的总密钥数量；

b、与第一层类似，已知第i层每个密钥链的最后一个密钥以及该层对应的密钥生成函数H_i，每个链其他的密钥根据以下公式依次生成：

<mrow> <msub> <mi>K</mi> <msub> <mi>&amp;rho;</mi> <mi>i</mi> </msub> </msub> <mo>=</mo> <msub> <mi>H</mi> <mi>i</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>K</mi> <mrow> <msub> <mi>&amp;rho;</mi> <mi>i</mi> </msub> <mo>+</mo> <mover> <mn>0</mn> <mo>&amp;OverBar;</mo> </mover> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> </mrow>

其中“|”表示连接运算符，表示i-1个0；

除了初始密钥外，第i层的每个密钥都对应着一个长度相同的时间间隔并且第i层每个密钥所对应的时间间隔长度等于第i+1层每个密钥对应的间隔长度与该层单个密钥链长度的乘积；为了减少带宽、计算和内存开销，提出多层链使用了截短的密钥，并且采取分级结构，考虑到越低层的密钥，其释放的时间间隔越短、即需要保护的时间越短，因此越低层的密钥链对应越小的密钥大小；

上述分级多层单向密钥链的使用方法为：每个最底层的密钥用来认证该密钥所在时间间隔内发送节点多播的实时通信数据，而每个高层密钥则用来认证该密钥所在时间间隔内需要提前分布的低一层密钥链的初始密钥，发送节点在每个密钥对应间隔的后一个时间间隔将其将其释放，即发送到时间触发车载网络上，并且只发送一次；

分级n层单向密钥链所覆盖的时间即认证方法的运行周期，由车载控制系统设计者根据需求设定，最底层密钥链的密钥释放时间间隔由车载控制系统设计者根据车载网络上消息的实时性约束设定，需确保密钥释放间隔小于车载网络上所有消息的最小时间期限，已知运行周期和最底层密钥的时间间隔，便能确定最底层需要的总密钥数。

3.根据权利要求1所述的一种基于分级多层单向密钥链时间触发车载网络消息认证方法，其特征在于：所述第一阶段中发送节点可信地分布每一层第一个密钥链的初始密钥到其接收节点的方法为：为了启动提出的认证方法，对于发送节点每层的第一个密钥链，接收节点需要提前拥有一个经过认证的初始密钥以用于该链随后密钥的认证，由于该操作只在车载控制系统初始化或者整个多层密钥链被耗尽时发生，因此车载网络上的发送节点采用开销较大但安全性相对较高的数字签名提前将每层第一个密钥链的初始密钥可信地发送到其每一个接收节点。

4.根据权利要求1所述的一种基于分级多层单向密钥链时间触发车载网络消息认证方法，其特征在于：所述第二阶段中发送节点多播验证的消息及密钥的方法为：

使用分级多层密钥链提供认证后，时间触发车载网络上共有三种信号，包括：原有的车载控制应用信号、发送节点分布的低层链初始密钥信号以及发送节点释放的每层其他密钥信号；

(1)当发送节点发送一个包含控制应用信号的消息m时，其执行的具体步骤如下:

a、发送节点使用对应当前底层时间间隔I_ρn的底层密钥通过哈希函数生成该消息的消息认证码其中“|”表示连接符，向量ρ_n作为哈希函数输入以避免重放攻击；

c、根据ISO 26262标准所定义的安全需求截短了消息认证码的长度，该标准规定了在时间段λ内各个安全级别的车载控制系统允许出现故障的概率τ，已知伪造一个长度为l_MAC比特的消息认证码的成功率为假定车载控制系统中信号的平均周期为T，为了达到标准定义的安全需求，消息认证码的长度l_MAC取满足以下条件的最小长度：

<mrow> <msup> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msup> <mn>2</mn> <mrow> <mo>-</mo> <msub> <mi>l</mi> <mrow> <mi>M</mi> <mi>A</mi> <mi>C</mi> </mrow> </msub> </mrow> </msup> <mo>)</mo> </mrow> <mrow> <mi>&amp;lambda;</mi> <mo>/</mo> <mi>T</mi> </mrow> </msup> <mo>&gt;</mo> <mn>1</mn> <mo>-</mo> <mi>&amp;tau;</mi> </mrow>

用来表示截短后的消息认证码；

c、发送节点将截短后的消息认证码附加到消息m上，构造数据帧并将其发送到时间触发车载网络上，此处省略了数据帧除了有效负载段外的其他部分；

(2)发送节点在每个高层密钥链时间间隔发布其对应下一层密钥链的后一个链的初始密钥，以确保在该链使用前，车载网络上的接收节点安全地收到该链的初始密钥。当发送节点在高层密钥链时间间隔i∈[1,...,n-1]发布其对应下一层密钥链的后一个链的初始密钥(表示i-1个0)时，其执行的具体步骤如下：

a、发送节点使用对应当前高层时间间隔的密钥通过哈希函数生成该初始密钥的消息认证码其中“|”表示连接符，向量ρ_i作为哈希函数输入以避免重放攻击；

发送节点构造数据帧并将其发送到时间触发车载网络上；

(3)发送节点在每个密钥对应间隔的后一个时间间隔将其释放，当发送节点在密钥链时间间隔释放其前一个时间间隔对应的密钥 表示i-1个0时，其构造数据帧

在时间触发的车载网络上，时间是同步的，每个节点都通过一个预定义的全局静态调度表进行数据帧传输，表中包含了每个帧的发送时刻，因此，使用本认证方法后，系统设计者需要为每个发送节点所产生的上述三种数据帧分配发送时刻，在满足认证方法规定的前提下，调度表的制定属于应用设计相关的范畴。

5.根据权利要求1所述的一种基于分级多层单向密钥链时间触发车载网络消息认证方法，其特征在于：所述第三阶段中接收节点验证接收的消息及密钥的方法为：

时间触发车载网络上的接收节点在接收数据帧时，根据调度表便能够确定帧的类型；

(1)当接收节点接收到一个包含控制应用消息的数据帧时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的底层时间间隔

b、接收节点将四元组放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和消息m通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码采用与发送节点相同的方式进行截短，进而将截短后的消息认证码与之前存储的进行比较，如果相同，则接收该消息，否则将其丢弃；

(2)当接收节点接收到一个包含低层链初始密钥的数据帧(i∈[1,...,n-1]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点首先根据调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及当前对应的高底层时间间隔

b、接收节点将四元组放到缓存中，等待接收该发送节点释放的密钥并判断该密钥的合法性；

c、当接收节点接收到正确的密钥其使用该密钥和通过与发送节点相同的哈希函数计算消息认证码，并将得到的消息认证码与之前存储的进行比较，如果相同，则接收该消息，否则将其丢弃；

(3)当接收节点接收到一个包含释放密钥的数据帧(i∈[1,...,n]，表示i-1个0)时，其执行的具体步骤如下：

a、接收节点通过调度表和时间触发车载网络同步的时钟判断该消息的发送节点s以及密钥对应的时间间隔

b、接收节点使用之前间隔接收并检查过的该发送节点所释放的密钥通过判断来检查密钥的合法性，如果检测成功，则使用密钥认证在对应的底层时间间隔内接收到的该发送节点发送的所有数据帧，并使用新认证的密钥替代