CN109033862B - 一种分布式车载电子系统信息安全防护方法 - Google Patents

Abstract

本发明涉及一种分布式车载电子系统信息安全防护方法，属于车载系统信息安全技术领域。包括系统初始化，系统内部的电子控制单元通过安全通道加载预置的长期密钥；会话密钥生成与分发，基于所加载的长期密钥和生成的临时密钥，网关电子控制单元按固定顺序分别与每个其他电子控制单元执行会话密钥的推导和分发；数据帧加密与认证，在会话密钥分发完成后，每个电子控制单元执行数据帧的加密和认证。本发明在各阶段均采用计算和通信开销较小的对称加密算法与哈希函数，并将更多任务分配到车载系统中具备更高计算性能的网关上，能够同时满足车载系统对其内部信号传输安全性和实时性的需求，易于实际应用和部署。

Description

一种分布式车载电子系统信息安全防护方法

技术领域

本发明涉及车载系统信息安全技术领域，特别是涉及一种分布式车载电子系统内部电子控制单元之间的安全通信方法。

背景技术

分布式车载电子系统是汽车内部具有一个或多个实时响应及控制功能的专用系统，这些功能通常由连接在车载网络上的多个电子控制单元协同完成。汽车内部所包含的各类分布式车载电子系统，为驾驶员提供了诸如自适应巡航、碰撞预警、线控制动/转向、自动变速、车身稳定控制、空调和座椅控制、智能导航以及音视频播放等多种功能应用，具有可观的经济价值、深远的社会影响和重要的环保意义。据统计，目前，中高档汽车的电子产品价值比率已经达到50％，其内部超过70个电控单元交换多达2500个实时信号以完成各个响应及控制功能。因而，这些系统运行的服务质量直接关系到整辆汽车的安全和性能。

随着车载电子系统网联化程度的提高，系统与物理环境、周边基础设施、云端以及其他嵌入式系统的互联日益增多。网联化在增强系统功能、提高系统效率和智能性的同时，也带了信息安全隐患。大量的通信接口(OBD-II、USB、Bluetooth、Wi-Fi、DSRC、GPS、3G/4G和LTE等)增大了的系统被攻击的可能性，信息安全已经成为系统设计面临的一个紧迫问题。美国独立研究机构Ponemon公布了一项关于汽车信息安全的调查报告，其大胆预计了“未来将有60％-70％的车辆将因为信息安全漏洞被召回”，汽车正逐渐成为网络黑客入侵的热门目标。然而，目前车载电子系统的内部网络(CAN、CAN-FD、FlexRay和TTEthernet等)在设计时几乎没有任何信息安全防护方面的考虑。一旦系统的某个电子控制单元被攻击者通过任意一个接口攻陷，攻击者能够非常轻松地监听内部网络上传输的信息，甚至向内部网络注入伪造、篡改或重放的数据，进而攻击网络上连接的其他安全关键部件，如制动和发动机电子控制单元等。因此，安全的内部数据传输已经成为分布式车载电子系统正常运行的基本保障，为其内部通信网络增加信息安全防护机制变得十分迫切和必要。

已有的信息安全防护方案或是针对传统的计算机网络，或是针对如传感器网络、车间通信网络等其他嵌入式网络，无法同时适应车载网络的低资源开销、高安全性和高实时性要求，使得难以在车载系统中实际应用和部署。例如，基于公钥密码体制的加解密、数字签名和密钥交换尽管能够提供较强的安全性，但所产生的计算开销和通信开销使其无法应用在计算资源受限的车载系统中；TESLA类的安全协议由于增加了额外的密钥释放延时，所产生的时间开销会导致车载信号违背实时性约束，因此同样无法应用在车载系统中。特别是，车载电子系统具有明显不同于其他系统的特点，包括：多播通信、电子控制单元计算和存储资源受限、车载网络带宽受限和强实时性约束。因此，有必要针对车载电子系统的自身特点，设计专有的信息安全防护方法，从而在原有的系统功能不受到妨碍，并能够达到理想性能的前提下，实现安全的系统内部数据传输。

发明内容

本发明提供一种分布式车载电子系统信息安全防护方法，依据分布式车载电子系统的强实时性、资源受限性和组播通信等特征，提供了一种轻量级信息安全防护方法，能够保障系统内部网络通信数据的机密性、完整性、真实性和新鲜性。该方法在资源开销、时间开销和安全性之间提供了恰当的权衡，易于在车载系统中实际应用和部署。

本发明采取的技术方案是，包括下列步骤：

第一阶段：系统初始化，在此阶段，系统内部的电子控制单元通过安全通道加载长期密钥；

第二阶段：会话密钥生成与分发，在此阶段，网关电子控制单元按固定顺序分别与每个其他电子控制单元进行会话密钥的推导和分发；

第三阶段：数据帧加密与认证，在此阶段，电子控制单元进行数据帧的加解密与认证。

本发明所述第一阶段中系统初始化的方法如下，网关电子控制单元ECU_GW通过安全通道将预置的长期Diffie-Hellman(DH)公私密钥对(A_GW,a_GW)以及所有其他电子控制单元ECU_i的DH公钥A_i加载到安全存储区域，同时ECU_i通过安全通道将预置的长期DH公私密钥对(A_i,a_i)以及ECU_GW的长期DH公钥A_GW加载到安全存储区域，该操作只需在生产车辆或变更电子控制单元时执行，所加载的长期DH密钥用于后续会话密钥的计算。

本发明所述第二阶段中会话密钥生成与分发具体包括如下步骤：

1)生成会话密钥：ECU_i按固定顺序分别与ECU_GW进行会话密钥推导过程，该过程具体包括以下子步骤：

(A)ECU_i生成临时DH私钥x_i和公钥并将X_i发送到ECU_GW以使其用于计算会话密钥；

(B)ECU_GW生成临时DH私钥x_GW和公钥接收到X_i后，ECU_GW使用X_i、加载的长期DH密钥对(A_GW,a_GW)、生成的临时DH私钥x_GW和双方的身份标识计算其与ECU_i之间的一个共享值；基于该共享值，ECU_GW进一步计算ECU_i的认证密钥AK_i和加密密钥EK_i；ECU_GW使用AK_i通过带密钥的哈希函数计算X_GW的消息认证码MAC_GW，并将X_GW与MAC_GW一同发送到ECU_i，以回应ECU_i的会话密钥生成请求；

(C)类似地，在接收到X_GW后，ECU_i根据同样的方法计算其与ECU_GW的共享值，并基于该值使用同样的哈希函数计算认证密钥AK_i与加密密钥EK_i；ECU_i使用AK_i计算X_GW的消息认证码MAC_GW，与接收到的消息认证码MAC_GW进行比较，通过验证，ECU_i能够确认ECU_GW已经正确地接收了其临时DH公钥X_i并生成了同样的会话密钥；进一步，ECU_i使用AK_i计算X_i的消息认证码MAC_i，并将该认证码发送给ECU_GW以进行会话密钥确认；

(D)ECU_GW使用ECU_i的认证密钥AK_i计算X_i的消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i生成了正确的会话密钥，因此其分别将AK_i与EK_i存储为ECU_i本次会话的认证密钥与加密密钥；

2)分发会话密钥：在已知所有ECU_i的会话密钥后，ECU_GW向每个ECU_i分发与其通信的其他电子控制单元会话密钥，该过程具体包括以下子步骤：

(A)ECU_GW生成ECU_i的密钥分发消息，以EK_i为密钥通过对称加密算法将消息进行加密，同时以AK_i为密钥使用带密钥的哈希函数生成消息认证码，并将通信双方共同维护的计数器值CTR^init作为哈希函数的输入，将生成的密文与消息认证码MAC_GW一同发送到车载网络上；

(B)ECU_i接收到密钥分发消息后，首先使用其认证密钥AK_i与密钥分发消息计数器的值CTR^init验证消息认证码的正确性；通过验证后,ECU_i使用其加密密钥EK_i对消息进行解密，并将消息内包含的与其通信的电子控制单元会话密钥进行存储；ECU_i使用ECU_GW的认证密钥AK_GW与计数器值CTR^init生成消息认证码MAC_i，并将该认证码发送给ECU_GW以确认其正确接收到密钥分发消息，同时更新CTR^init的值；

(C)ECU_GW使用其认证密钥AK_GW计算消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i正确接收了密钥分发消息，其更新CTR^init的值。

本发明所述第三阶段中数据帧加密与认证包括以下步骤：

1)消息发送：

(A)当发送方ECU_i传输消息时，其使用加密密钥EK_i生成密文，并使用认证密钥AK_i和通信消息计数器值生成消息认证码MAC，为了减少消息认证码传输以及生成/认证过程产生的带宽开销以及计算开销，本发明提出的方法根据ISO 26262标准中定义的车载电子系统故障概率上限，对消息认证码长度进行了截短；

(B)ECU_i发送密文与消息认证码，并将通信消息计数器值加1；

2)消息接收：

(A)当接收方ECU_i'接收到ECU_i发送的消息时，其使用ECU_i的认证密钥AK_i和通信消息计数器值计算消息认证码；

(B)通过验证后，ECU_i'使用ECU_i的加密密钥EK_i对接收到的密文进行解密，并将ECU_i通信消息计数器值加1。

本发明的优点：

本发明针对车载电子系统的自身特点，设计专有的信息安全防护方法，在汽车网联化蓬勃发展的势态下，具有十分重要的理论价值和实际意义。相比现有的信息安全防护方法，本发明提出的方法应用在分布式车载电子系统中具有如下优点：

1)本发明提出的信息安全防护方法能够同时满足车载电子系统对其内部信号传输安全性和实时性的需求。对车载电子系统而言，安全性和实时性都是设计信息安全防护方法时需要考虑的首要因素。本发明提出的方法能够保障系统内部电子控制单元之间通信数据的机密性、完整性、真实性和新鲜性，具备较全面的安全防护能力。同时，本发明在会话密钥生成与分发阶段和数据帧加密与认证阶段都采用计算开销较小的对称加密算法与哈希函数，并将更多的计算任务分配到车载电系统中具备更高计算性能的网关电子控制单元，因此，能够在不违背系统实时性的前提下，实现安全的系统内部数据传输，更具有效性。

2)本发明提出的信息安全防护方法具备轻量性。出于对汽车生产成本等因素的考虑，车载微控制器的存储和计算能力以及车载网络的带宽通常较低。本发明只应用了存储、计算和通信开销较小的对称加密算法与哈希函数，具备轻量性。同时，本发明根据车载电子系统的安全需求对消息认证码长度进行了截短，从而进一步降低了认证产生计算资源和带宽资源开销。

附图说明

图1为本发明所述的分布式车载电子系统架构示意图；

图2为本发明所述的会话密钥生成过程示意图；

图3为本发明所述的会话密钥分发过程示意图；

图4为本发明所述的数据帧加/解密与认证过程示意图；

图5为车载微控制器进行加/解密计算与哈希计算所产生的时间开销，其中横坐标为微控制器CPU时钟频率，纵坐标为算法的执行时间。

具体实施方式

包括下列步骤：

第一阶段：系统初始化，在此阶段，系统内部的电子控制单元通过安全通道加载长期密钥；

第二阶段：会话密钥生成与分发，在此阶段，网关电子控制单元按固定顺序分别与每个其他电子控制单元进行会话密钥的推导和分发；

第三阶段：数据帧加密与认证，在此阶段，电子控制单元进行数据帧的加解密与认证。

本发明所述第一阶段中系统初始化的方法如下，网关电子控制单元ECU_GW通过安全通道将预置的长期Diffie-Hellman(DH)公私密钥对(A_GW,a_GW)以及所有其他电子控制单元ECU_i的DH公钥A_i加载到安全存储区域，同时ECU_i通过安全通道将预置的长期DH公私密钥对(A_i,a_i)以及ECU_GW的长期DH公钥A_GW加载到安全存储区域，该操作只需在生产车辆或变更电子控制单元时执行，所加载的长期DH密钥用于后续会话密钥的计算。

本发明所述第二阶段中会话密钥生成与分发具体包括如下步骤：

1)生成会话密钥：ECU_i按固定顺序分别与ECU_GW进行会话密钥推导过程，该过程具体包括以下子步骤：

(A)ECU_i生成临时DH私钥x_i和公钥并将X_i发送到ECU_GW以使其用于计算会话密钥；

(B)ECU_GW生成临时DH私钥x_GW和公钥接收到X_i后，ECU_GW使用X_i、加载的长期DH密钥对(A_GW,a_GW)、生成的临时DH私钥x_GW和双方的身份标识计算其与ECU_i之间的一个共享值；基于该共享值，ECU_GW进一步计算ECU_i的认证密钥AK_i和加密密钥EK_i；ECU_GW使用AK_i通过带密钥的哈希函数计算X_GW的消息认证码MAC_GW，并将X_GW与MAC_GW一同发送到ECU_i，以回应ECU_i的会话密钥生成请求；

(C)类似地，在接收到X_GW后，ECU_i根据同样的方法计算其与ECU_GW的共享值，并基于该值使用同样的哈希函数计算认证密钥AK_i与加密密钥EK_i；ECU_i使用AK_i计算X_GW的消息认证码MAC_GW，与接收到的消息认证码MAC_GW进行比较，通过验证，ECU_i能够确认ECU_GW已经正确地接收了其临时DH公钥X_i并生成了同样的会话密钥；进一步，ECU_i使用AK_i计算X_i的消息认证码MAC_i，并将该认证码发送给ECU_GW以进行会话密钥确认；

(D)ECU_GW使用ECU_i的认证密钥AK_i计算X_i的消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i生成了正确的会话密钥，因此其分别将AK_i与EK_i存储为ECU_i本次会话的认证密钥与加密密钥；

本发明所述的会话密钥生成方法利用哈希函数和通信双方共享值计算会话密钥，具备防监听、防伪造和防重放等安全属性；同时采用三次握手方式，通过密钥确认消息，通信双方能够验证所生成密钥的正确性。此外，本发明所述的会话密钥生成方法只应用了计算和通信开销较小的哈希函数，具备轻量性；

2)分发会话密钥：在已知所有ECU_i的会话密钥后，ECU_GW向每个ECU_i分发与其通信的其他电子控制单元会话密钥，该过程具体包括以下子步骤：

(A)ECU_GW生成ECU_i的密钥分发消息，以EK_i为密钥通过对称加密算法将消息进行加密，同时以AK_i为密钥使用带密钥的哈希函数生成消息认证码，并将通信双方共同维护的计数器值CTR^init作为哈希函数的输入，将生成的密文与消息认证码MAC_GW一同发送到车载网络上；

(B)ECU_i接收到密钥分发消息后，首先使用其认证密钥AK_i与密钥分发消息计数器的值CTR^init验证消息认证码的正确性；通过验证后,ECU_i使用其加密密钥EK_i对消息进行解密，并将消息内包含的与其通信的电子控制单元会话密钥进行存储；ECU_i使用ECU_GW的认证密钥AK_GW与计数器值CTR^init生成消息认证码MAC_i，并将该认证码发送给ECU_GW以确认其正确接收到密钥分发消息，同时更新CTR^init的值；

(C)ECU_GW使用其认证密钥AK_GW计算消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i正确接收了密钥分发消息，其更新CTR^init的值。

本发明所述的会话密钥分发方法利用对称加密算法将密钥进行加密，利用哈希函数生成消息认证码，并将通信双方共同维护的计数器值作为哈希函数的输入，从而具备了防监听、防伪造和防重放等安全属性；同时，通过密钥确认消息，网关能够确认对方已正确接收到分发的密钥。此外，本发明所述的会话密钥分发方法只应用了计算和通信开销较小的对称加密算法与哈希函数，具备轻量性。

上述会话密钥生成与分发操作周期性地执行，会话密钥更新周期可根据车载电子系统信息安全需求制定。

本发明所述第三阶段中数据帧加密与认证包括以下步骤：

1)消息发送：

(A)当发送方ECU_i传输消息时，其使用加密密钥EK_i生成密文，并使用认证密钥AK_i和通信消息计数器值生成消息认证码MAC，为了减少消息认证码传输以及生成/认证过程产生的带宽开销以及计算开销，本发明提出的方法根据ISO 26262标准中定义的车载电子系统故障概率上限，对消息认证码长度进行了截短；

(B)ECU_i发送密文与消息认证码，并将通信消息计数器值加1；

2)消息接收：

(A)当接收方ECU_i'接收到ECU_i发送的消息时，其使用ECU_i的认证密钥AK_i和通信消息计数器值计算消息认证码；

(B)通过验证后，ECU_i'使用ECU_i的加密密钥EK_i对接收到的密文进行解密，并将ECU_i通信消息计数器值加1。

本发明所述的数据帧加密与认证方法利用加密算法将消息进行加密，利用哈希函数生成消息认证码，并将通信双方共同维护的计数器值作为哈希函数的输入，从而具备了防监听、防伪造和防重放等安全属性；此外，本发明所述的数据帧加密与认证方法只应用了计算和通信开销较小的对称加密算法与哈希函数，具备轻量性。

下边结合附图对发明做进一步说明。

如图1所示，为保障车联网环境下系统内部电子控制单元之间通信数据的机密性、完整性、真实性和新鲜性，本发明以现有分布式车载电子系统内部的网关电子控制单元ECU_GW和若干其他普通电子控制单元ECU_i为应用基础，包括如下阶段：

第一阶段：系统初始化，在此阶段，系统内部的电子控制单元通过安全通道加载长期密钥；

第二阶段：会话密钥生成与分发，在此阶段，网关电子控制单元按固定顺序分别与每个其他电子控制单元进行会话密钥推导和分发；

第三阶段：数据帧加密与认证，在此阶段，电子控制单元进行数据帧的加解密与认证。

本发明所述第一阶段中系统初始化的方法为：网关电子控制单元ECU_GW通过安全通道将预置的长期Diffie-Hellman(DH)公私密钥对(A_GW,a_GW)以及所有其他电子控制单元ECU_i的DH公钥A_i加载到安全存储区域，同时ECU_i通过安全通道将预置的长期DH公私密钥对(A_i,a_i)以及ECU_GW的长期DH公钥A_GW加载到安全存储区域，其中A_i和A_GW是生成元为g的q阶循环群G中的元素，a_i和a_GW是Z_q中对应的元素，即 该操作只需在生产车辆或变更电子控制单元时执行，所加载的长期DH密钥用于后续会话密钥的计算。

本发明所述第二阶段中会话密钥生成与分发具体包括如下步骤：

1)生成会话密钥：ECU_i按固定顺序分别与ECU_GW进行会话密钥推导过程，如图2所示，该过程具体包括以下子步骤：

(A)ECU_i生成临时DH私钥x_i和公钥并将X_i发送到ECU_GW以使其用于计算会话密钥；

(B)ECU_GW生成临时DH私钥x_GW和公钥接收到X_i后，ECU_GW计算与ECU_i之间的一个共享值：

d＝H₀(X_i,ID_GW)，e＝H₀(X_GW,ID_i)

其中H₀是输出为位的哈希函数，采用经典的HMQV协议中的通信双方共享值计算方法，该方法混合了双方DH公钥和私钥以及身份标识值，并使用哈希函数进行随机化处理，同时具有高安全性(包括防监听、防伪造和防重放攻击)以及低资源开销(包括计算和通信资源)的优点；基于该共享值，ECU_GW计算ECU_i的认证密钥AK_i和加密密钥EK_i：

H₁(σ_i,GW,0)＝AK_i||EK_i (2)

其中H₁是用于生成密钥的哈希函数，||表示连接符；进一步，ECU_GW使用ECU_i的认证密钥AK_i计算X_GW的消息认证码：

MAC_GW＝H₁(AK_i,X_GW) (3)

并将X_GW与MAC_GW一同发送到ECU_i，以回应ECU_i的会话密钥生成请求；

(C)类似地，ECU_i在接收到ECU_GW的临时DH公钥X_GW后，计算其与ECU_GW的共享值：

d＝H₀(X_i,ID_GW)，e＝H₀(X_GW,ID_i)

基于该共享值，ECU_i使用同样的哈希函数H₁计算认证密钥与加密密钥，即H₁(σ′_i,GW,0)＝AK_i||EK_i；ECU_i使用计算的认证密钥AK_i计算X_GW的消息认证码MAC_GW＝H₁(AK_i,X_GW)，并与收到的消息认证码MAC_GW进行比较；通过验证,ECU_i能够确认ECU_GW正确地接收了其临时DH公钥X_i并生成了同样的会话密钥；进一步，ECU_i使用AK_i计算X_i的消息认证码MAC_i＝H₁(AK_i,X_i)，并将该认证码发送给ECU_GW以进行会话密钥确认；

(D)ECU_GW使用其之前计算的ECU_i认证密钥AK_i计算X_i的消息认证码MAC_i＝H₁(AK_i,X_i)，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i生成了正确的会话密钥，因此其分别将AK_i与EK_i存储为ECU_i本次会话的认证密钥与加密密钥；

2)分发会话密钥：已知所有ECU_i的会话密钥后，ECU_GW向每个ECU_i分发与其通信的电子控制单元的会话密钥，如图3所示，该过程具体包括以下子步骤：

(A)ECU_GW生成ECU_i的密钥分发消息，并发送到车载网络上，消息组成如下：

MAC_GW＝H₁(AK_i,C||CTR^init) (6)

其中AK_GW和EK_GW为ECU_GW本次会话的认证密钥和加密密钥，AK_i',EK_i',AK_i”,EK_i”分别为与ECU_i通信的电子控制单元ECU_i'和ECU_i”认证密钥与加密密钥，C表示明文，表示以EK_i为密钥的对称加密算法，CTR^init为ECU_GW与ECU_i同时维护的密钥分发消息计数器值；

(B)ECU_i接收到密钥分发消息后，首先使用其认证密钥AK_i计算消息认证码MAC_GW，并与收到的消息认证码进行比较；通过验证后,ECU_i使用其加密密钥EK_i对消息进行解密，并将AK_GW,AK_i'和AK_i”分别存储为ECU_GW,ECU_i'和ECU_i”的认证密钥，将EK_GW,EK_i'和EK_i”分别存储为ECU_GW,ECU_i'和ECU_i”的加密密钥；ECU_i生成消息认证码MAC_i＝H₁(AK_GW,CTR^init)，并将该认证码发送给ECU_GW以确认其正确接收到密钥分发消息，同时更新密钥分发消息计数器CTR^init的值；

(C)ECU_GW使用其认证密钥AK_GW和密钥分发消息计数器的值CTR^init计算消息认证码MAC_i＝H₁(AK_GW,CTR^init)，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i正确接收了密钥分发消息，其更新密钥分发消息计数器CTR^init的值；

上述会话密钥生成与分发操作周期性地执行，会话密钥更新周期可根据车载电子系统信息安全需求制定。

所述第三阶段中数据帧加密与认证包括以下步骤：

1)消息发送

(A)当发送方ECU_i传输消息M时，如图4所示，其使加密密钥EK_i生成密文C＝EEK_i(M)；

ECU_i使用认证密钥AK_i和通信消息计数器值生成消息认证码其中H₂表示用于生成消息认证码的哈希函数；

为了减少消息认证码传输以及生成/认证过程产生的带宽开销以及计算开销，本发明提出的方法根据ISO 26262标准中定义的车载电子系统安全需求，即规定了一个时间段τ内各级车载电子系统的故障概率上限ρ，对消息认证码长度进行了截断；已知成功伪造l比特长的消息认证码的概率为1/2^l，车载信号的平均周期为t，为了满足ISO26262定义的安全需求并降低资源开销，消息认证码的长度可选取满足以下条件的最小值：

(1-1/2^l)^τ/t>1-ρ (7)

(B)ECU_i发送密文与消息认证码，并将通信消息计数器值加1；

2)消息接收

(A)当接收方ECU_i'接收到ECU_i发送的消息时，如图4所示，其使用ECU_i的认证密钥AK_i和通信消息计数器值计算消息认证码，验证消息的真实性、完整性与新鲜性；

(B)通过验证后，ECU_i'使用ECU_i的加密密钥EK_i对接收到的密文进行解密，并将ECU_i通信消息计数器值加1。

本发明提出的信息安全防护方法只应用到对称加密算法与哈希函数，所涉及的对称加密算法可选择DES、RC5和AES等，所涉及的带密钥哈希函数可选择HMAC-MD5和HMAC-SHA-1等。此外，发明中应用的H₀,H₁,H₂可以选择同一个哈希函数，并将其设置为不同长度的输出。接下来通过具体测试进一步说明本发明的效果。

为了评估该方法在真实车载环境中的性能，本发明首先测试了具有不同性能的两款常用车载微控制器飞思卡尔MC9S12XF512和MPC5646C进行一次哈希计算与加解密计算所产生的时间开销。如图5所示，本发明分别测试了哈希函数HMAC-MD5和HMAC-SHA-1及对称加密算法DES、RC5和AES-128在时钟频率设置为40MHZ和80MHZ的MC9S12XF512上以及时钟频率设置为120MHZ的MPC5646C上运行一次的时间。结果显示，所有算法的执行时间均为微秒级，带密钥哈希函数中HMAC-MD5的执行时间较短，平均为169.5微秒，对称加密算法中RC5的执行时间较短，平均为98.2微秒。根据测试结果，上述时间开销相对于车载信号毫秒级的时间期限而言是可行的。另外，如果本发明所应用的安全算法在ASIC或FPGA运行，会进一步大幅度降低时间开销。

其次，本发明测试了提出的信息安全防护方法在基于FlexRay网络的车载电子系统上应用的效果。测试参数如下：FlexRay总线周期设置为5毫秒，其中静态段为3毫秒，动态段为2毫秒，静态段包含91个时隙，静态时隙长度设置为0.032毫秒，时隙内有效数据长度设置为16字节；带密钥哈希函数选择HMAC-MD5，对称加密算法选择RC5；网关电子控制单元选择MPC5646C，时钟频率设置为120MHZ，其他电子控制单元选择MC9S12XF512，时钟频率设置为80MHZ。本发明分别测试了由5、10和15个电子控制单元构成的车载电子系统运行信息安全防护方法的效果，并设置每个普通电子控制单元在每个周期被分配2个静态时隙，网关控制单元每个周期被分配5个静态时隙。根据测试结果，当系统由5、10和15个电子控制单元构成时，会话密钥生成操作能够在1、2和3个FlexRay周期内完成，会话密钥分发操作能够在1、2和3个FlexRay周期内完成，每个FlexRay帧的加解密与认证操作所产生的平均时间开销为686.2微秒。上述测试证明了本发明提出的信息安全防护方法在车载电子系统中具备可行性与轻量性。

Claims (1)

1.一种分布式车载电子系统信息安全防护方法，其特征在于，包括下列步骤：

第一阶段：系统初始化，在此阶段，系统内部的电子控制单元通过安全通道加载长期密钥；方法如下，网关电子控制单元ECU_GW通过安全通道将预置的长期Diffie-Hellman(DH)公私密钥对(A_GW,a_GW)以及所有其他电子控制单元ECU_i的DH公钥A_i加载到安全存储区域，同时ECU_i通过安全通道将预置的长期DH公私密钥对(A_i,a_i)以及ECU_GW的长期DH公钥A_GW加载到安全存储区域，该操作只需在生产车辆或变更电子控制单元时执行，所加载的长期DH密钥用于后续会话密钥的计算；

第二阶段：会话密钥生成与分发，在此阶段，网关电子控制单元按固定顺序分别与每个其他电子控制单元进行会话密钥的推导和分发；

所述会话密钥生成与分发具体包括如下步骤：

1)生成会话密钥：ECU_i按固定顺序分别与ECU_GW进行会话密钥推导过程，该过程具体包括以下子步骤：

(A)ECU_i生成临时DH私钥x_i和公钥g是生成元，并将X_i发送到ECU_GW以使其用于计算会话密钥；

(B)ECU_GW生成临时DH私钥x_GW和公钥接收到X_i后，ECU_GW使用X_i、加载的长期DH密钥对(A_GW,a_GW)、生成的临时DH私钥x_GW和双方的身份标识计算其与ECU_i之间的一个共享值；基于该共享值，ECU_GW进一步计算ECU_i的认证密钥AK_i和加密密钥EK_i；ECU_GW使用AK_i通过带密钥的哈希函数计算X_GW的消息认证码MAC_GW，并将X_GW与MAC_GW一同发送到ECU_i，以回应ECU_i的会话密钥生成请求；

(C)类似地，在接收到X_GW后，ECU_i根据同样的方法计算其与ECU_GW的共享值，并基于该值使用同样的哈希函数计算认证密钥AK_i与加密密钥EK_i；ECU_i使用AK_i计算X_GW的消息认证码MAC_GW，与接收到的消息认证码MAC_GW进行比较，通过验证，ECU_i能够确认ECU_GW已经正确地接收了其临时DH公钥X_i并生成了同样的会话密钥；进一步，ECU_i使用AK_i计算X_i的消息认证码MAC_i，并将该认证码发送给ECU_GW以进行会话密钥确认；

(D)ECU_GW使用ECU_i的认证密钥AK_i计算X_i的消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i生成了正确的会话密钥，因此其分别将AK_i与EK_i存储为ECU_i本次会话的认证密钥与加密密钥；

2)分发会话密钥：在已知所有ECU_i的会话密钥后，ECU_GW向每个ECU_i分发与其通信的其他电子控制单元会话密钥，该过程具体包括以下子步骤：

(A)ECU_GW生成ECU_i的密钥分发消息，以EK_i为密钥通过对称加密算法将消息进行加密，同时以AK_i为密钥使用带密钥的哈希函数生成消息认证码，并将通信双方共同维护的计数器值CTR^init作为哈希函数的输入，将生成的密文与消息认证码MAC_GW一同发送到车载网络上；

(B)ECU_i接收到密钥分发消息后，首先使用其认证密钥AK_i与密钥分发消息计数器的值CTR^init验证消息认证码的正确性；通过验证后,ECU_i使用其加密密钥EK_i对消息进行解密，并将消息内包含的与其通信的电子控制单元会话密钥进行存储；ECU_i使用ECU_GW的认证密钥AK_GW与计数器值CTR^init生成消息认证码MAC_i，并将该认证码发送给ECU_GW以确认其正确接收到密钥分发消息，同时更新CTR^init的值；

(C)ECU_GW使用其认证密钥AK_GW计算消息认证码MAC_i，并与收到的消息认证码MAC_i进行比较；通过验证,ECU_GW能够确认ECU_i正确接收了密钥分发消息，其更新CTR^init的值；

第三阶段：数据帧加密与认证，在此阶段，电子控制单元进行数据帧的加解密与认证；具体包括以下步骤：

1)消息发送：

(A)当发送方ECU_i传输消息时，其使用加密密钥EK_i生成密文，并使用认证密钥AK_i和通信消息计数器值生成消息认证码MAC，为了减少消息认证码传输以及生成/认证过程产生的带宽开销以及计算开销，根据ISO 26262标准中定义的车载电子系统故障概率上限，对消息认证码长度进行了截短；

(B)ECU_i发送密文与消息认证码，并将通信消息计数器值加1；

2)消息接收：

(A)当接收方ECU_i'接收到ECU_i发送的消息时，其使用ECU_i的认证密钥AK_i和通信消息计数器值计算消息认证码；

(B)通过验证后，ECU_i'使用ECU_i的加密密钥EK_i对接收到的密文进行解密，并将ECU_i通信消息计数器值加1。