CN107770176B - Sae-j1939汽车总线节点认证ecu产生方法 - Google Patents

Abstract

本发明公开了一种SAE J1939汽车总线节点认证ECU产生方法，在总线上添加一个认证ECU_A，包括以下步骤：(1)采用互为标准时间获取工作ECU_i(1≤i≤29)与认证ECU_A间的时钟偏移；(2)加电完成后，工作ECU_i自己发送一条询问自己的地址是否被使用的“请求已声明地址”消息，将自己的Skew_iA传送到总线上，认证节点ECU_A获取每个ECU_i与自己的时钟偏移，并和第(1)步获取的Skew_iA进行比较，从而确定是否是非法ECU。

Description

SAE-J1939汽车总线节点认证ECU产生方法

技术领域

本发明涉及一种SAE J1939汽车总线节点认证电子控制单元ECU_A(ElectronicControl Unit)的产生方法，尤其涉及J1939总线上的工作单元ECU_i与认证ECU_A间的时钟偏移这一唯一物理属性作为确定ECU_i的真实性的方法及其在J1939总线上的实现及应用。

背景技术

SAE J1394是美国汽车工程协会定义的，主要用于客车、重型卡车等商用车辆，也可用于舰船、轨道机车、农业机械等内部电子控制单元ECU间网络连接与通信的一整套标准；其物理层采用特征阻抗为120Ω的屏蔽双绞线连接，传输速率为250kb/s，同一网络内最多ECU数目为30个；

J1939以CAN(Controller Area Networks)2.0B规范为物理层(J1939-11)，目的是解决不同发动机厂商、不同ECU厂商的兼容性问题，并增加了数据链路层(J1939-21)、网络层(J1939-31)、应用层(J1939-71)、故障诊断(J1939-73)和网络管理规范(J1939-81)。J1939使用29位消息ID，定义了一系列的参数组编号PGN(Parameter Group Number)和可疑参数编号SPN(Suspect Parameter Group Number)，这些PGN包含了发动机、变速箱、车轴等汽车上各部件的信息；对参数的表示方法(状态和值)又定义了SLOT(Scaling比例、Limit界限、Offset偏移、Transfer传送)；所有ECU厂商都应该遵循这些规范。协议数据单元PDU(Protocol Data Unit)被封装在一个或多个CAN 2.0B数据帧中，通过物理介质传送到其它设备，如图1所示，J1939和CAN2.0B消息头对应关系见图2。

ECU是汽车专用微机控制器，包含一个或多个控制器应用程序CA(ControllerApplication)，CA由ECU中的软、硬件构成，并能够执行某些功能(如果ECU中只有一个CA，ECU和CA的意义相同，见图3)；为了能够在J1939网络内实现通讯，每个CA应具有一个地址(8位)和与之相关的名称(NAME)，允许单个ECU具有多个名称和地址(多个CA)；NAME是一个64位的标识符，包含ID编号、制造商编码、功能、车辆系统等10个字段；为了便于初始化以确定网络中每个ECU的地址，那些广泛使用的设备都有SAE委员会分配的首选地址。使用首选地址可以将多个设备试图声明同一地址的概率最小化。设备启动后，必须在网络中对使用的地址进行声明，以解决任何可能发生的冲突，这个过程称“地址声明”ACL(AddressClaiming)。对于具有自动配置的ECU，能够动态地计算和声明一个未使用的地址，这样使得具有相同功能的ECU(如图3中的ECU A，另一个ECU A中的CA1、CA2、CA3通过地址声明而使用空闲地址)可以共存于J1939网络中，而不发生地址冲突。

地址声明分两种情况：

(1)ECU自己发送一条“地址声明”消息，消息中含有ECU中CA声明的地址(图2中的SA)和NAME(64位数据域)，等待预定的时间(250ms)，如果在此期间没有其它CA声明相同的地址，发出“地址声明”消息的CA就可以使用该地址进行正常通信了。如果地址重复，已申请了同一地址ECU发出具有不同NAME(SA相同)“地址声明”消息，则具有最小名称值的ECU将使用这个地址，其他ECU必须申请别的地址(具有自配置能力的ECU)或发出“不能声明源地址”消息(无自配置能力的ECU需要人工干预才能获取到空闲地址)。

(2)ECU可以发送一个“请求已声明地址”的消息，用来确定哪些地址已被其他ECU声明。当一个ECU发出“请求已声明地址”时，所有被请求的ECU于是发送其各自的己声明地址报文。这就使得那些临时性的ECU(如工具、拖车等)或上电较晚的ECU可获得当前地址表，从而找到并声明一个可用的地址，或者确定目前在网络中有哪些ECU。

“地址声明”、“不能声明源地址”、“请求已声明地址”三种消息见图4。

由于CAN总线没有安全组件，它假定所有的ECU是合法的、值得信任并且按它们的参数设定进行工作的。J1939采用以CAN 2.0B作为底层协议，也继承了CAN协议的所有漏洞，并带来了协议自身的安全问题，如DoS攻击(发送低值ID消息抢占总线)、破坏正常节点的地址声明(恶意节点声明一个正常节点的地址，并通过提供一个具有较低值的NAME字段而获取该地址)、修改消息优先级和发送错的SPN编号等。

解决这类漏洞最好的办法是ECU节点认证或消息认证。尽管PDU单元中含有ECU的源地址SA，但SA是可以改变的，更是可以被假冒的，所以通过源地址的ECU节点认证并不能解决ECU的真实性问题；而消息认证受CAN数据域长度的限制(最多8个字节)而不能将消息认证码MAC添加到数据后面，即使在发送数据后再单独传送该数据的MAC码，势必增加总线负载和验证消息的计算开销，从而影响总线上ECU的实时性。

发明内容

为了解决现有J1939汽车总线ECU节点认证的上述技术问题，本发明公开了一种认证节点合法性的认证ECU产生的方法，在总线上添加一个认证ECU，如图3所示，包括以下步骤：

(1)一种采用采用互为标准时间的获取工作ECU_i(1≤i≤29)与认证ECU_A间的时钟偏移；

两ECU节点的时钟偏移是由于ECU内部的时钟进展频率不同而引起的，这是电子设备内在的固有属性而具备唯一性，可以在PPM(Parts Per Million)级标识不同的ECU节点，可以作为一种指纹信息用于802.11设备标识、车载电脑和传感网络的节点认证中。具体定义如下：

如果C_x(t)表示节点ECU_x在真实时间t的时间，时钟进展频率定义为：

C_x'(t)＝dC_x(t)/dt(t＞＝0) (1)

则ECU₁与ECU₂的时钟偏移Skew定义为C'(t)的差值：

Skew＝C₁'(t)-C₂'(t) (2)

可以用4个字节表示这个PPM级的差值。

由于J1939网络中没有统一的标准时钟，任意工作节点ECU_i与认证节点ECU_A互相提供标准时钟，即ECU_A发出随机时间间隔T₁、T₂给ECU_i，则ECU_i的时钟进展频率为：

C_i'(T₂-T₁)＝(C_i(T₂)-C_i(T₁))/(T₂-T₁) (3)

然后，ECU_i发出随机时间间隔Ti₁、Ti₂给ECU_A，则ECU_A的时钟进展频率为：

C_A'(Ti₂-Ti₁)＝(C_A(Ti₂)-C_A(Ti₁))/(Ti₂-Ti₁) (4)

ECU_i与ECU_A互相向对方传送C_i'(T₂-T₁)和C_A'(Ti₂-Ti₁)，根据公式(2)，任意ECU_i保存一个自己与ECU_A的时钟偏移Skew_iA，而ECU_A保存了自己与网络所有节点的时钟偏移Skews_iA。

获取所有ECU的时钟偏移后，ECU_A就在自己内存里形成一张如表1的表，表中只有序号和偏移值，ECU_i的源地址未知。

(2)加电完成后，工作ECU_i自己发送一条询问自己的地址是否被使用的“请求已声明地址”消息，将自己的Skew_iA传送到总线上，认证节点ECU_A获取每个ECU_i与自己的时钟偏移，并和第(1)步获取的Skew_iA进行比较，从而确定是否是非法ECU。

按照J1939协议规定，加电时每个ECU必须发出“地址声明”消息，以确定自己在总线上的地址，只有确定在总线上具有唯一地址的ECU才能在总线上进行数据传输；由于“请求已声明地址”消息的数据字段只有3个字节(见图4)，所以只要每个获取唯一地址的ECU增加一项软件功能：即自己发送一条询问自己的地址是否被使用的“请求已声明地址”消息，该消息数据字段的最后4个字节为Skew_iA值(4个字节)，DA＝255(发给所有节点)且SA＝ECU_i自己的地址，数据字段的第4字节(PGN 60928后的第一字节)设置为0x00(进入网络)或0xFF(退出更换)；其它ECU_x由于没有使用这个地址，不用响应这个消息；认证ECU_A获取到这个消息后，在表1中查找Skew_iA的值，如果找到，将该“请求已声明地址”消息中的SA填入到表1中的SA字段，说明节点是合法节点；否则，说明是非法节点。

如果ECU需要更换，数据字段的第4字节(PGN 60928后)设置为0xFF，认证ECU_A在表1中查找Skew＝Skew_iA且SA＝SA，找到后从表1中删除。

附图说明

图1 J1939节点间数据传送图；

图2 J1939和CAN2.0B消息头示意图；

图3是本发明的J1939汽车总线节点认证ECU图；

图4是地址声明、不能声明源地址、请求已声明地址三种消息示意图。

具体实施方式

下面对本发明作进一步说明：

1、设计生产出一个满足本发明的认证ECU_A；

2、修改已有工作ECU的软件功能，使其具备和认证ECU_A交换时钟偏移并记录Skew_iA的值，同时在声明到总线地址后，能发送出一条询问自己的地址是否被使用的“请求已声明地址”消息，与认证ECU_A交换相关数据；

3、在安全环境下，认证ECU_A先与每一个工作ECU_i时钟进展频率，双方都获取到时钟偏移Skew_iA，并在ECU_A内存中形成表1，此时每个工作ECU_i还没有声明到自己在总线上的唯一地址，表1中的SA字段为空；

序号	SA	Skew
			1		Skew<sub>1A</sub>
2		Skew<sub>2A</sub>
			…….	…….	…….
N		Skew<sub>NA</sub>

表1ECU_A与所有ECU的时钟偏移表。

4、启动总线工作，每个工作ECU_i先发出“地址声明”消息，确定自己在总线上的唯一地址；然后发送出一条询问自己的地址是否被使用的“请求已声明地址”消息，该消息中携带有ECU_i声明到的源地址SA，Skew_iA和“进入网络”或“退出更换”标记；

5、认证ECU_A根据收到ECU_i的Skew_iA值，在表1中查找，找到后将SA写入到表1中对应记录SA字段，说明该节点合法；否则说明ECU_i为非法节点；

6、如果节点需要更换，匹配表1中的SA和Skew两个值，找到后从表1删除。

Claims (3)

1.一种SAE J1939汽车总线节点认证ECU产生方法，在总线上添加一个认证ECU_A，其中ECU为电子控制单元，其特征在于：包括以下步骤：

(1)采用互为标准时间获取工作ECU_i与认证ECU_A间的时钟偏移，其中，1≤i≤29；

如果C_x(t)表示节点ECU_x在真实时间t的时间，时钟进展频率定义为：

C_x'(t)＝dC_x(t)/dt，t＞＝0 (1)

则ECU₁与ECU₂的时钟偏移Skew定义为C_x'(t)的差值：

Skew＝C₁'(t)-C₂'(t) (2)

用4个字节表示这个PPM级的差值，PPM表示分率；

任意工作节点ECU_i与认证节点ECU_A互相提供标准时钟，即ECU_A发出随机时间间隔T₁、T₂给ECU_i，则ECU_i的时钟进展频率为：

C_i'(T₂-T₁)＝(C_i(T₂)-C_i(T₁))/(T₂-T₁) (3)

然后，ECU_i发出随机时间间隔Ti₁、Ti₂给ECU_A，则ECU_A的时钟进展频率为：

C_A'(Ti₂-Ti₁)＝(C_A(Ti₂)-C_A(Ti₁))/(Ti₂-Ti₁) (4)

ECU_i与ECU_A互相向对方传送C_i'(T₂-T₁)和C_A'(Ti₂-Ti₁)，根据公式(2)，任意ECU_i保存一个自己与ECU_A的时钟偏移Skew_iA，而ECU_A保存了自己与网络所有节点的时钟偏移Skews_iA；获取所有ECU_i的时钟偏移后，ECU_A形成一张表，表中只有序号和时钟偏移Skews_iA的偏移值，ECU_i的源地址未知；

(2)加电完成后，工作ECU_i自己发送一条询问自己的地址是否被使用的“请求已声明地址”消息，将自己的Skew_iA传送到总线上，认证节点ECU_A获取每个ECU_i与自己的时钟偏移，并和第(1)步获取的Skew_iA进行比较，从而确定是否是非法ECU。

2.如权利要求1所述的SAE J1939汽车总线节点认证ECU产生方法，其特征在于：步骤(2)中，工作ECU_i发送一条询问自己的地址是否被使用的“请求已声明地址”消息，该消息数据字段的最后4个字节为Skew_iA值，目的地址DA＝255，其中DA＝255表示发给所有节点，且源地址SA＝ECU_i自己的地址，数据字段的第4字节设置为0x00或0xFF，其中0x00表示进入网络，0xFF表示退出更换；其它ECU_x由于没有使用这个地址，不用响应这个消息；认证ECU_A获取到这个消息后，在所述表中查找Skew_iA的值，如果找到，将该“请求已声明地址”消息中的SA填入到所述表中的SA字段，说明节点是合法节点；否则，说明是非法节点。

3.如权利要求1所述的SAE J1939汽车总线节点认证ECU产生方法，其特征在于：如果ECU_i需要更换，数据字段的第4字节，即PGN 60928后设置为0xFF，认证ECU_A在所述表中查找Skew＝Skew_iA且所述表中字段SA等于需要删除的ECU_i的SA值，找到后从所述表中删除。

Images