CN112003823B - 一种基于can总线的信息安全传输方法及应用 - Google Patents
一种基于can总线的信息安全传输方法及应用 Download PDFInfo
- Publication number
- CN112003823B CN112003823B CN202010690695.6A CN202010690695A CN112003823B CN 112003823 B CN112003823 B CN 112003823B CN 202010690695 A CN202010690695 A CN 202010690695A CN 112003823 B CN112003823 B CN 112003823B
- Authority
- CN
- China
- Prior art keywords
- communication
- segment
- data
- frame
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于CAN总线的信息安全传输方法,包括在CAN现场总线上连接多个用于通信数据接收或发送的通信终端,通信终端的发送方以帧格式结构将通信数据发送到CAN现场总线上,通信终端的接收方接收来自CAN现场总线上的帧格式结构的通信数据,且发送方与接收方遵循IFCAN通信协议,所述IFCAN通信协议的内容如下:S1:发送方更新计数器值;S2:发送方使用当前计数器值C与约定底数N进行异或运算,生成动态密钥D;S3:发送方使用动态密钥D和加密运算生成通信密文;S4:接收方根据约定底数N和动态密钥D,还原出发送方使用的计数器值C;S5:接收方根据自身计数器的值和C的值判定数据的合法性;S6:对通信数据进行解密运算,还原出通信明文。
Description
技术领域
本发明涉及现场总线通信技术领域,涉及使用CAN2.0作为通信链路的场合,特别涉及一种基于CAN总线的信息安全传输方法及应用。
背景技术
CAN现场总线广泛应用于汽车电子和工业自动化等通信领域,CAN总线是一种串行数据通信协议,其通信接口中集成了CAN协议的物理层和数据链路层功能,可完成对通信数据的成帧处理,包括位填充、数据块编码、循环冗余检验、优先级判别等项工作。
现有CAN通信协议中,数据通常是以字节为单位组成数据帧进行传送的。收、发端各有一套彼此独立,互不同步的通信机构,由于收发数据的帧格式相同,因此可以相互识别接收到的数据信息。现有CAN通信协议中的帧格式结构由七个段构成,包括帧起始(1位字节)、仲裁段(11或29位字节)、控制段(6位字节)、数据段(8位字节)、CRC段(15位字节)、ACK段(2位字节)和帧结束(7位字节)。其中,帧起始表示数据帧开始的段,仲裁段表示该帧优选级的段,控制段表示数据段的字节数,数据段为数据的内容,CRC段表示帧的传输错误的段,ACK段表示确认正常接收的段,帧结束表示数据帧结束的段。
CAN总线的硬件组成包括CAN收发器、CAN控制器和模块控制器。CAN收发器负责通过CAN总线进行信息的接收或发送,并与CAN控制器进行通信连接,CAN控制器通过模块控制器与各传感器或执行元件相连接。
现有CAN通信协议虽然具有连接简单,接入新设备方便等优势,但也存在着以下不可克服的缺点:
1.加密数据占用数据区,降低了CAN通信数据的有效载荷;
2.算法复杂,难以在资源紧缺的嵌入式设备上实现;
3.采用静态密钥,通信数据容易被破解、通信节点容易被攻击;
4.缺少认证功能,不能有效防止伪造数据。
发明内容
本发明针对现有CAN通信协议存在通信过程数据容易被获取、通信节点容易被攻击的弊端,提出一种基于CAN总线的信息安全传输方法及应用,该方法采用的加密算法数据不占用数据域,动态生成密钥,通信数据不易被破解,从而可以实现数据通信的保密性、可靠性和高效性。具体的技术方案如下:
一种基于CAN总线的信息安全传输方法,包括在CAN现场总线上连接多个用于通信数据接收或发送的通信终端,所述通信终端的发送方以帧格式结构将通信数据发送到CAN现场总线上,所述通信终端的接收方接收来自CAN现场总线上的所述帧格式结构的通信数据,且所述发送方与接收方遵循IFCAN通信协议,所述IFCAN通信协议的内容如下:
S1:发送方更新计数器值,形成当前计数器值C;
S2:发送方使用当前计数器值C与约定底数N进行异或运算,生成动态密钥D;
S3:发送方对通信数据的每个字节A使用动态密钥D,采用加密运算进行加密,生成通信密文;
S4:接收方根据约定底数N和动态密钥D,还原出发送方使用的计数器值C;
S5:接收方根据自身计数器的值和C的值判定数据的合法性;
S6:对通信数据的每个字节依次采用C的值进行解密运算,还原出通信明文。
其中,所述帧格式结构采用八段数据结构,所述八段数据结构包括应答标志段、帧类型段、分片标志段、加密标志段、认证标志段、源地址段、目的地址段和动态密钥段。
优选的,所述八段数据结构的总字节数为二十九位;其中,所述应答标志段为一位字节,表示是否需要回复应答;所述帧类型段为三位字节,表示是数据帧、指令帧、应答帧还是固件帧;所述分片标志段为一位字节表示是单包帧还是分片帧;所述加密标志段为一位字节,表示是否启用加密;所述认证标志段为一位字节,表示是否启用认证;所述源地址段为七位字节,表示数据发送的源地址;所述目的地址段为七位字节,表示数据发送的目标地址;所述动态密钥段为八位字节,由动态计数值与约定底数异或生成。
更优选的,所述应答标志段为一位字节,字节为0时表示无需回复应答,字节为1时表示需要回复应答;所述帧类型段为三位字节,字节为000时表示数据帧,字节为001时表示指令帧,字节为010时表示应答帧,字节为011时表示固件帧;所述分片标志段为一位字节,字节为0时表示单包帧,字节为1时表示分片帧;所述加密标志段为一位字节,字节为0时表示不启用加密,字节为1时表示启用加密;所述认证标志段为一位字节,字节为0时表示不启用认证,字节为1时表示启用认证;所述源地址段为七位字节,表示数据发送的源地址,有效地址为[0000000(b)~1111110(b)];所述目的地址段为七位字节,表示数据发送的目标地址,有效地址为[0000000(b)~1111110(b)];所述动态密钥段为八位字节,由动态计数值与约定底数异或生成。
本发明中,通过向CAN现场总线上定期广播用于时钟校正的指令帧实现各通信终端计数器的时间同步,所述IFCAN通信协议的内容S5中,通过制定如下规则判断通信数据的合法性:如果接收方自身计数器的值与C值之间的计数值之差未超过预先设定的阈值,则判定通信数据合法,否则判定通信数据非法。
由于通信数据从发送方传送到接收方所经历的时间间隔非常短,在发送方与接收方时间同步的情况下,经过解密算法还原出的发送方计数器C值与接收方自身计数器值的差值非常小,因此只要设定一个合理的差值作为阈值,就能够判定通信数据的合法性,从而可以防止非法设备的接入。
优选的,用作动态密钥的计数器值同时作为通信设备准入认证凭据。
一种基于CAN总线的信息安全传输方法的应用,所述方法应用于加油站的加油机集成系统。
本发明的有益效果是:
本发明的一种基于CAN总线的信息安全传输方法及应用,采用了新的IFCAN通信协议,其与传统的CAN通信协议相比较,具有以下优势:
1.加密算法数据不占用数据域,由此提高了CAN总线上通信数据的有效载荷和通信效率;
2.算法简单,特别适合于在资源紧缺的嵌入式设备上实现;
3.采用动态密钥,通信数据不容易被破解、通信节点不容易被攻击;
4.能够实现终端设备接入认证功能,从而有效防止数据伪造。
附图说明
图1是本发明的一种基于CAN总线的信息安全传输方法中所采用的加密算法示意图。
图2是本发明中的IFCAN通信协议所采用的帧格式结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例1:
如图1至2所示为本发明的一种基于CAN总线的信息安全传输方法的实施例,包括在CAN现场总线上连接多个用于通信数据接收或发送的通信终端,所述通信终端的发送方以帧格式结构将通信数据发送到CAN现场总线上,所述通信终端的接收方接收来自CAN现场总线上的所述帧格式结构的通信数据,且所述发送方与接收方遵循IFCAN通信协议,所述IFCAN通信协议的内容如下:
S1:发送方更新计数器值,形成当前计数器值C;
S2:发送方使用当前计数器值C与约定底数N进行异或运算,生成动态密钥D;
S3:发送方对通信数据的每个字节A使用动态密钥D,采用加密运算进行加密,生成通信密文;
S4:接收方根据约定底数N和动态密钥D,还原出发送方使用的计数器值C;
S5:接收方根据自身计数器的值和C的值判定数据的合法性;
S6:对通信数据的每个字节依次采用C的值进行解密运算,还原出通信明文。
其中,所述帧格式结构采用八段数据结构,所述八段数据结构包括应答标志段、帧类型段、分片标志段、加密标志段、认证标志段、源地址段、目的地址段和动态密钥段。
优选的,所述八段数据结构的总字节数为二十九位;其中,所述应答标志段为一位字节,表示是否需要回复应答;所述帧类型段为三位字节,表示是数据帧、指令帧、应答帧还是固件帧;所述分片标志段为一位字节表示是单包帧还是分片帧;所述加密标志段为一位字节,表示是否启用加密;所述认证标志段为一位字节,表示是否启用认证;所述源地址段为七位字节,表示数据发送的源地址;所述目的地址段为七位字节,表示数据发送的目标地址;所述动态密钥段为八位字节,由动态计数值与约定底数异或生成。
更优选的,所述应答标志段为一位字节,字节为0时表示无需回复应答,字节为1时表示需要回复应答;所述帧类型段为三位字节,字节为000时表示数据帧,字节为001时表示指令帧,字节为010时表示应答帧,字节为011时表示固件帧;所述分片标志段为一位字节,字节为0时表示单包帧,字节为1时表示分片帧;所述加密标志段为一位字节,字节为0时表示不启用加密,字节为1时表示启用加密;所述认证标志段为一位字节,字节为0时表示不启用认证,字节为1时表示启用认证;所述源地址段为七位字节,表示数据发送的源地址,有效地址为[0000000(b)~1111110(b)];所述目的地址段为七位字节,表示数据发送的目标地址,有效地址为[0000000(b)~1111110(b)];所述动态密钥段为八位字节,由动态计数值与约定底数异或生成。
优选的,用作动态密钥的计数器值同时作为通信设备准入认证凭据。
本实施例中,通过向CAN现场总线上定期广播用于时钟校正的指令帧实现各通信终端计数器的时间同步,所述IFCAN通信协议的内容S5中,通过制定如下规则判断通信数据的合法性:如果接收方自身计数器的值与C值之间的计数值之差未超过预先设定的阈值,则判定通信数据合法,否则判定通信数据非法。
由于通信数据从发送方传送到接收方所经历的时间间隔非常短,在发送方与接收方时间同步的情况下,经过解密算法还原出的发送方计数器C值与接收方自身计数器值的差值非常小,因此只要设定一个合理的差值作为阈值,就能够判定通信数据的合法性,从而可以防止非法设备的接入。
实施例2:
一种采用实施例1的基于CAN总线的信息安全传输方法的应用,所述方法应用于加油站的加油机集成系统。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种基于CAN总线的信息安全传输方法,其特征在于,包括在CAN现场总线上连接多个用于通信数据接收或发送的通信终端,所述通信终端的发送方以帧格式结构将通信数据发送到CAN现场总线上,所述通信终端的接收方接收来自CAN现场总线上的所述帧格式结构的通信数据,且所述发送方与接收方遵循IFCAN通信协议,所述IFCAN通信协议的内容如下:
S1:发送方更新计数器值,形成当前计数器值C;
S2:发送方使用当前计数器值C与约定底数N进行异或运算,生成动态密钥D;
S3:发送方对通信数据的每个字节A使用动态密钥D,采用加密运算进行加密,生成通信密文;
S4:接收方根据约定底数N和动态密钥D,还原出发送方使用的计数器值C;
S5:接收方根据自身计数器的值和C的值判定通信数据的合法性;
S6:对通信数据的每个字节依次采用C的值进行解密运算,还原出通信明文;
其中,所述帧格式结构采用八段数据结构,所述八段数据结构包括应答标志段、帧类型段、分片标志段、加密标志段、认证标志段、源地址段、目的地址段和动态密钥段。
2.根据权利要求1所述的一种基于CAN总线的信息安全传输方法,其特征在于,所述八段数据结构的总字节数为二十九位;其中,所述应答标志段为一位字节,表示是否需要回复应答;所述帧类型段为三位字节,表示是数据帧、指令帧、应答帧还是固件帧;所述分片标志段为一位字节表示是单包帧还是分片帧;所述加密标志段为一位字节,表示是否启用加密;所述认证标志段为一位字节,表示是否启用认证;所述源地址段为七位字节,表示数据发送的源地址;所述目的地址段为七位字节,表示数据发送的目标地址;所述动态密钥段为八位字节,由动态计数值与约定底数异或生成。
3.根据权利要求1所述的一种基于CAN总线的信息安全传输方法,其特征在于,通过向CAN现场总线上定期广播用于时钟校正的指令帧实现各通信终端计数器的时间同步,所述IFCAN通信协议的内容S5中,通过制定如下规则判断通信数据的合法性:如果接收方自身计数器的值与C值之间的计数值之差未超过预先设定的阈值,则判定通信数据合法,否则判定通信数据非法。
4.根据权利要求1所述的一种基于CAN总线的信息安全传输方法,其特征在于,用作动态密钥的计数器值同时作为通信设备准入认证凭据。
5.根据权利要求1所述的一种基于CAN总线的信息安全传输方法,其特征在于,所述方法应用于加油站的加油机集成系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010690695.6A CN112003823B (zh) | 2020-07-17 | 2020-07-17 | 一种基于can总线的信息安全传输方法及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010690695.6A CN112003823B (zh) | 2020-07-17 | 2020-07-17 | 一种基于can总线的信息安全传输方法及应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112003823A CN112003823A (zh) | 2020-11-27 |
CN112003823B true CN112003823B (zh) | 2023-01-17 |
Family
ID=73467065
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010690695.6A Active CN112003823B (zh) | 2020-07-17 | 2020-07-17 | 一种基于can总线的信息安全传输方法及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112003823B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113141289B (zh) * | 2021-05-18 | 2022-07-26 | 卡斯柯信号有限公司 | 一种用于轨旁安全平台的总线数据传输方法 |
CN114189573B (zh) * | 2022-02-15 | 2022-05-17 | 中国汽车技术研究中心有限公司 | 一种can信号解析方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102264013A (zh) * | 2011-09-07 | 2011-11-30 | 殷爱菡 | 一种基于时间标签的epon加密方法 |
CN102404737A (zh) * | 2011-12-29 | 2012-04-04 | 重庆邮电大学 | 基于动态探测的无线传感器网络安全路由的方法 |
CN110034934A (zh) * | 2019-03-26 | 2019-07-19 | 中国计量大学上虞高等研究院有限公司 | 基于瞬态的can总线安全鉴定方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1968079B (zh) * | 2005-11-17 | 2010-12-22 | 北京兆维电子(集团)有限责任公司 | 一种在单向开源数据传输的方法 |
JP5770602B2 (ja) * | 2011-10-31 | 2015-08-26 | トヨタ自動車株式会社 | 通信システムにおけるメッセージ認証方法および通信システム |
CN103845806A (zh) * | 2012-12-07 | 2014-06-11 | 苏州景昱医疗器械有限公司 | 一种安全的植入式神经刺激系统无线通信方法 |
CN103281224B (zh) * | 2013-04-02 | 2016-08-10 | 中船重工(武汉)凌久高科有限公司 | 一种智能照明控制系统中can总线安全通信方法 |
US10108557B2 (en) * | 2015-06-25 | 2018-10-23 | Intel Corporation | Technologies for memory confidentiality, integrity, and replay protection |
JP6260064B2 (ja) * | 2016-03-14 | 2018-01-17 | Kddi株式会社 | 通信ネットワークシステム及び車両 |
CN109672538B (zh) * | 2019-02-13 | 2021-08-27 | 北京仁信证科技有限公司 | 一种轻量级车载总线安全通信方法及安全通信系统 |
-
2020
- 2020-07-17 CN CN202010690695.6A patent/CN112003823B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102264013A (zh) * | 2011-09-07 | 2011-11-30 | 殷爱菡 | 一种基于时间标签的epon加密方法 |
CN102404737A (zh) * | 2011-12-29 | 2012-04-04 | 重庆邮电大学 | 基于动态探测的无线传感器网络安全路由的方法 |
CN110034934A (zh) * | 2019-03-26 | 2019-07-19 | 中国计量大学上虞高等研究院有限公司 | 基于瞬态的can总线安全鉴定方法 |
Non-Patent Citations (1)
Title |
---|
基于Motorola嵌入式控制器DSP56F805芯片的CAN总线通信;李静岚等;《电气传动》;20040420(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112003823A (zh) | 2020-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104717201B (zh) | 网络装置以及网络系统 | |
US9596075B2 (en) | Transparent serial encryption | |
WO2017080182A1 (zh) | 数据发送、接收方法、发送端、接收端和can总线网络 | |
US8913748B2 (en) | Methods to improve bluetooth low energy performance | |
JP6656617B2 (ja) | 無線ネットワーク環境における制御情報のセキュリティ通信のための方法及びシステム | |
US9009839B2 (en) | Method and device for protecting the integrity of data transmitted over a network | |
CN103841118B (zh) | 基于tcp有效载荷构建可靠双向隐蔽信道的方法 | |
CN112003823B (zh) | 一种基于can总线的信息安全传输方法及应用 | |
US20080044012A1 (en) | Reducing Security Protocol Overhead In Low Data Rate Applications Over A Wireless Link | |
US20040250072A1 (en) | Network connectable device and method for its installation and configuration | |
JP4608000B2 (ja) | セキュアで帯域効率の良い暗号化同期方法 | |
US11729021B2 (en) | User station for a serial bus system and method for communication in a serial bus system | |
CN111049803A (zh) | 基于车载can总线通讯系统数据加密及平台安全访问的方法 | |
WO2011028565A1 (en) | Galois/counter mode encryption in a wireless network | |
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
CN107836095B (zh) | 用于在网络中产生秘密或密钥的方法 | |
CN112865977A (zh) | 通信系统及通信方法 | |
US11706049B2 (en) | Subscriber station for a serial bus system and method for communication in a serial bus system | |
CN114205133B (zh) | 一种用于车载can网络的信息安全增强方法及电子设备 | |
US12021999B2 (en) | Devices and methods for the generating and authentication of at least one data packet to be transmitted in a bus system (BU), in particular of a motor vehicle | |
CN111740825A (zh) | 一种can总线多网络节点的认证方法及系统 | |
JP2003503743A (ja) | 変調メッセージの認証システム及び方法 | |
EP4231594A1 (en) | Relay device, communication network system and communication control method | |
Daraban et al. | Protocol over uart for real-time applications | |
US8539608B1 (en) | Integrity checking at high data rates |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |