CN118353735A - 汽车局域网安全通信系统及安全通信方法 - Google Patents

Abstract

本发明公开了一种汽车局域网安全通信系统及安全通信方法，所述系统包括总线、接入总线的设备节点以及域控制器，所述设备节点通过总线与所述域控制器进行通信，还包括设置于所述设备节点与总线之间的安全节点，所述安全节点用于与所述域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全。本发明在设备节点与总线之间设置安全节点，通过安全节点与域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全，防止未经授权的第三方截获或篡改数据，保障了汽车局域网的通信安全。

Description

汽车局域网安全通信系统及安全通信方法

技术领域

本发明涉及汽车局域网通信领域，特别涉及一种汽车局域网安全通信系统及安全通信方法。

背景技术

随着汽车技术的不断发展，汽车局域网通信已成为现代汽车不可或缺的一部分，其中，CAN/CAN-fd总线作为主要的通信协议，在汽车内部各设备节点之间实现了高效、实时的数据交换。然而，这种通信方式存在一个重要的安全隐患，即总线上的数据并未经过加密处理，这意味着，任何能够接入OBD接口的设备都能够直接读取节点之间的通信数据。从汽车安全的角度来看，这种通信方式存在极大的风险，可能导致车辆被恶意攻击、数据泄露或被篡改，进而影响到行车安全，如何在保证通信实时性和可靠性的前提下，提升汽车局域网通信的安全性，成为了一个亟待解决的问题。

目前，已经有一些技术尝试解决这一问题，有的方法是在原设备节点上增加认证和加密功能，但是由于汽车内部空间有限，设备节点往往需要小巧紧凑，限制了其硬件配置从而导致设备节点上的资源非常有限，在原设备节点上增加认证和加密功能这种做法会占用设备节点上有限的资源，导致通信性能下降或成本增加。还有的方法是使用CAN网关对车内网ECU进行身份认证和数据加密。还有的方法需要对原设备节点进行修改，并在通信前增加身份认证的过程，通信时对数据进行加密，虽然这种方法能够提升通信的安全性，但修改原设备节点可能会增加成本，并引入新的潜在风险。

发明内容

针对上述现有技术的不足，本发明所要解决的技术问题是：提供一种在不影响通信实时性和可靠性的前提下，通过增加安全节点提升通信安全性的汽车局域网安全通信系统及安全通信方法。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种汽车局域网安全通信系统，包括总线、接入总线的设备节点以及域控制器，所述设备节点通过总线与所述域控制器进行通信，还包括设置于所述设备节点与总线之间的安全节点，所述安全节点用于与所述域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全。

进一步的，所述安全节点为设置于设备节点与总线之间的嵌入式设备，具有两个接口，一个接口与所述设备节点连接以接收所述设备节点发送的通信数据以及将经安全节点解密的域控制器发送的通信数据发送给设备节点，另一个接口连接在总线上以将经安全节点加密的所述设备节点发送的通信数据传输到总线上以及接收域控制器发送到总线上的通信数据。

进一步的，所述安全节点还用于采集所述设备节点在发送通信数据的过程中产生的信号特征数据并发送给所述域控制器，所述域控制器用于根据所述信号特征数据对设备节点进行认证以预防设备节点的替换攻击。

进一步的，所述域控制器包括：

数据接收模块，用于接收所述信号特征数据，所述信号特征包括信号发送时间、重试时间、寄生电容以及电路延迟；

预处理模块，用于对数据接收模块接收的信号特征数据进行预处理，得到样本数据，所述样本数据可以划分为训练数据和验证数据；

模型构建模块，用于构建认证模型；

模型训练模块，用于使用所述样本数据训练所述认证模型；

认证模块，用于使用训练好的认证模型根据新的信号特征数据对设备节点进行认证，若认证成功，则所述设备节点合法，若认证失败，则触发报警。

进一步的，所述认证模型包括一个输入层、两个卷积层、两个池化层、一个Dropout层、一个F l atten层以及两个全连接层，其中，所述输入层用于输入所述信号特征数据，最后一层全连接层作为输出层输出认证结果，包括认证成功和认证失败两种情况。

进一步的，所述模型训练模块包括以下子模块：

前向传播模块，用于输入训练数据，通过网络层次结构进行前向传播，得到输出结果；

损失计算模块，用于采用损失函数计算输出结果与实际标签之间的误差；

反向传播模块，用于采用反向传播算法，计算每一层参数的梯度；

参数更新模块，用于利用梯度下降算法，根据计算得到的梯度更新网络参数，设定当训练轮数大于20但小于等于70时，每训练10轮，学习率缩小为原来的十分之八，当训练轮数大于70后，学习率就缩小为原来的十分之一；

验证与调整模块，用于利用验证数据评估模型性能，并根据评估结果调整参数。

为了解决上述技术问题，本发明采用的另一个技术方案是：提供一种汽车局域网安全通信方法，包括以下步骤：

配置安全节点后，安全节点和域控制器生成相同的通信密钥；

安全节点发送认证请求到域控制器，域控制器对安全节点进行认证；

认证成功后，安全节点接收设备节点发送的通信数据并用所述通信密钥加密后发送给域控制器；

域控制器接收到加密后的通信数据后用相同的通信密钥对其解密，得到设备节点发送的通信数据。

进一步的，在所述域控制器接收到加密后的通信数据后用相同的通信密钥对其解密的步骤后，还包括以下步骤：

域控制器根据设备节点发送的通信数据生成控制指令，并用通信密钥将所述控制指令加密后发送给安全节点；

安全节点接收到加密后的控制指令后用相同的通信密钥对其解密，并发送给设备节点。

进一步的，所述安全节点和域控制器生成相同的通信密钥的步骤中，包括以下子步骤：

安全节点上电自检；

域控制器发送密钥初始化指令给安全节点；

安全节点接收到密钥初始化指令后使用其ID生成通信密钥，其中，安全节点具有一个独立的MCU，所述MCU具有唯一ID，在配置安全节点时，将所述ID写入域控制器；

域控制器根据所述ID生成相同的通信密钥。

进一步的，所述安全节点在接收设备节点发送的通信数据时还采集设备节点在发送通信数据的过程中产生的信号特征数据，并将所述信号特征数据与设备节点发送的通信数据一起加密后发送给域控制器；

所述域控制器根据所述信号特征数据对设备节点进行认证，若认证成功则继续通信，若认证失败则报警。

本发明的汽车局域网安全通信系统及安全通信方法，至少具有如下有益效果：在设备节点与总线之间设置安全节点，通过安全节点与域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全，防止未经授权的第三方截获或篡改数据；所述安全节点具有唯一ID，通过唯一ID的认证、白名单机制以及通信密钥的生成，确保了汽车局域网安全通信系统的安全性、可靠性和稳定性；所述安全节点还用于采集设备节点在发送通信数据的过程中产生的信号特征数据并发送给所述域控制器，域控制器通过这些信号特征数据可以验证设备节点的真实性，从而有效地防止设备节点的替换攻击，为汽车局域网的安全通信提供坚实的保障。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明汽车局域网安全通信系统一实施方式的系统架构图。

图2为图1中的域控制器的结构框图。

图3为LeNet-5模型的网络结构图。

图4为本发明汽车局域网安全通信方法一实施方式的流程图。

图5为图4中步骤S1的流程图。

具体实施方式

下面结合附图对本发明作进一步说明。

请参阅图1，本发明汽车局域网安全通信系统包括总线、接入总线的设备节点以及域控制器，所述设备节点通过总线与所述域控制器进行通信以进行数据的传输与交互，还包括设置于所述设备节点与总线之间的安全节点，所述安全节点用于与所述域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全。不论是设备节点发送给域控制器的数据，还是域控制器返回给设备节点的数据，都会经过安全节点的加密和解密处理，从而确保数据的完整性和保密性。本实施方式中，总线为CAN总线，也可以是CAN-fd总线，所述域控制器也可以是车载计算中心。

所述安全节点为设置于设备节点与总线之间的嵌入式设备，所述嵌入式设备小巧且功能强大，具有两个接口，一个接口与所述设备节点连接以接收所述设备节点发送的通信数据以及将经安全节点解密的域控制器发送的通信数据发送给设备节点，另一个接口连接在总线上以将经安全节点加密的所述设备节点发送的通信数据传输到总线上以及接收域控制器发送到总线上的通信数据。为了确保安全节点的可靠性和可追溯性，所述安全节点的MCU有唯一ID，在配置安全节点时将所述ID写入到域控制器，域控制器可以利用这个唯一的ID生成相同的通信密钥，确保与对应的安全节点之间的通信是加密且安全的。另外，将所述ID在出厂前或授权维修点在厂商数据库中备案，域控制器将定期通过厂商数据库检查该安全节点的ID是否在白名单上，这一机制保证了只有合法的、经过授权的安全节点才能参与到通信中，进一步增强了系统的安全性。

为了对设备节点进行监控，所述安全节点还用于采集所述设备节点在发送通信数据的过程中产生的信号特征数据并发送给所述域控制器，所述域控制器用于根据所述信号特征数据对设备节点进行认证以预防设备节点的替换攻击。

请参阅图2，为本发明汽车局域网安全通信系统一实施方式中域控制器的结构框图，所述域控制器包括数据接收模块100、预处理模块200、模型构建模块300、模型训练模块400以及认证模块500，其中：

所述数据接收模块100用于接收所述信号特征数据，所述信号特征包括信号发送时间、重试时间、寄生电容以及电路延迟。每个设备节点在通信过程中产生的这些信号特征通常是唯一的或具有特定的模式，例如，信号发送时间会因设备内部的时钟精度或同步机制而异，重试时间反映了设备在通信失败后的重试策略，寄生电容和电路延迟则与设备的硬件设计和制造过程密切相关。这些特征组合起来，可以代表设备节点的行为模式，用于区分不同的设备节点，所以采用这些信号特征来认证设备节点，预防设备节点的替换攻击。

所述预处理模块200用于对数据接收模块接收的信号特征数据进行预处理，得到样本数据，所述预处理包括清洗、标准化、归一化等操作，以消除噪声和异常值，并提高数据的可用性；所述样本数据可以按一定比例划分为训练数据和验证数据，用于后续模型的训练。

所述模型构建模块300用于构建认证模型。本实施方式设计的认证模型为LeNet-5模型，请参阅图3，本LeNet-5模型包括一个输入层、两个卷积层、两个池化层、一个Dropout层、一个F l atten层以及两个全连接层，其中，所述输入层用于输入所述信号特征数据，所述两个卷积层中，第一个卷积层卷积核数目为32，第二个卷积层卷积核数目为64，一维卷积窗口的长度为5，卷积的步长为2，只进行有效的卷积，即对边界数据不处理，指定激活函数re l u；每个卷积层后都有一个池化层，池化区域范围大小为2,卷积池化操作后，再连接用于抑制过拟合的Dropout层和用于拉平多维数据的F l atten层，最后连接两个全连接层，最后一层全连接层选用softmax作为分类器，输出分类结果，即认证结果，包括认证成功和认证失败两种情况。

本认证模型通过两个卷积层的设置，模型能够从信号特征数据中自动提取深层次的特征，第一个卷积层使用32个卷积核，第二个卷积层使用64个卷积核，这有助于模型学习到更多的特征表示，从而提高对设备节点信号的识别能力；在卷积过程中，每个卷积核所对应的窗口会以一定的步长在输入矩阵(图像)上滑动并进行卷积操作，每个卷积核生成的feature map共享相同的权重，这降低了模型的计算复杂度，提高模型的训练效率；Dropout层的引入能够有效地抑制过拟合，在训练过程中，Dropout层会随机地关闭一部分神经元的输出，这使得模型不会过度依赖于某些特定的特征，从而提高了模型的泛化能力；LeNet-5使用池化操作实现了时空下采样，提取出重要的部分，增强了模型对于平移和扭曲的图像的鲁棒性；LeNet-5的网络结构相对简单，参数较少，训练速度较快。

所述模型训练模块400用于使用所述样本数据训练所述认证模型。

所述模型训练模块400包括前向传播模块410、损失计算模块420、反向传播模块430、参数更新模块440、验证与调整模块450，其中：

所述前向传播模块410用于输入训练数据，通过网络层次结构进行前向传播，得到输出结果。使用compute_c l ass_wei ght()函数来平衡输入样本的不同类别之间的权重，设置c l ass_weight参数为ba l anced，以便在处理非平衡的训练数据时，损失函数对样本数不足的数据更加关注。

所述损失计算模块420用于采用损失函数计算输出结果与实际标签之间的误差。

所述反向传播模块430用于采用反向传播算法，计算每一层参数的梯度。

所述参数更新模块440用于利用梯度下降算法，根据计算得到的梯度更新网络参数。设定当训练轮数大于20但小于等于70时，每训练10轮，学习率就缩小为原来的十分之八，当训练轮数大于70后，学习率就缩小为原来的十分之一；使用mode l.f it()函数将训练数据在模型中训练一定次数，返回一个H i story的对象，即记录了l oss和其他指标的数值随训练轮数变化的情况。本实施方式中，指定训练轮数为150，训练一次网络所用的样本数为256，并指定验证数据，参数ca l l backs作为回调函数，在训练过程中的适当时机被调用，用于调整学习率。

所述验证与调整模块450用于利用验证数据评估模型性能，并根据评估结果调整参数。使用mode l.eva l uate()函数对训练好的模型进行评估，该函数返回模型在验证数据集上的损失值以及选定的指标值，如准确度、精确度和召回率等，这些指标帮助了解模型的整体性能以及在不同类别上的表现。

所述认证模块500用于使用训练好的认证模型根据新的信号特征数据对设备节点进行认证，若认证成功，则所述设备节点合法，若认证失败，则触发报警。本实施方式中，用1表示认证成功，0表示认证失败。

请参阅图4，为本发明汽车局域网安全通信方法一实施方式的流程图。本发明汽车局域网安全通信方法具体包括以下步骤：

S1、配置安全节点后，安全节点和域控制器生成相同的通信密钥。

请参阅图5，本步骤S1包括以下子步骤：

S11、安全节点上电自检。

安全节点首次上电启动后，会先进行自检。这个过程包括检查节点的硬件组件(如处理器、存储器、通信接口等)是否工作正常，以及软件是否完整无误，以确保安全节点在投入工作前处于良好的状态，从而避免潜在的故障或安全隐患。

S12、域控制器发送密钥初始化指令给安全节点。

当域控制器需要与安全节点建立通信连接时，域控制器会首先发送一个密钥初始化指令给安全节点，这个指令包含了用于生成密钥的必要信息，如密钥的生成算法、密钥的长度、以及可能的初始向量等，安全节点在接收到这个指令后，会根据指令中的信息执行相应的密钥生成操作。此外，密钥初始化指令还可以用于验证安全节点的身份和授权状态，域控制器可以在指令中包含特定的验证信息，要求安全节点提供正确的响应或证明其身份。

S13、安全节点接收到密钥初始化指令后使用其ID生成通信密钥，其中，安全节点具有一个独立的MCU，所述MCU具有唯一ID，在配置安全节点时，将所述ID写入域控制器。

在密钥生成过程中，安全节点会利用自身的唯一ID结合域控制器提供的算法和参数，生成一个独特的通信密钥，这个密钥将用于后续与安全节点之间的加密通信，通过这种方式，每个安全节点都会拥有一个与其唯一对应的通信密钥，从而实现了通信的个性化和安全化。

S14、域控制器根据所述ID生成相同的通信密钥。

在安全节点使用其ID生成通信密钥的同时，域控制器也会根据相同的ID生成相同的通信密钥，这种密钥生成方式确保了通信双方能够使用相同的密钥进行加密和解密操作，从而实现了数据的机密性和完整性保护。

S2、安全节点发送认证请求到域控制器，域控制器对安全节点进行认证。

安全节点生成通信密钥后，会向域控制器发送一个申请认证请求，这个请求通常包含安全节点的ID和生成的通信密钥信息，以便域控制器进行验证；域控制器会验证安全节点的ID和通信密钥信息的有效性，如果验证通过，域控制器会向安全节点发送一个确认信息，表示密钥初始化成功。

S3、认证成功后，安全节点接收设备节点发送的通信数据并用所述通信密钥加密后发送给域控制器。

一旦密钥初始化过程完成，安全节点和域控制器之间的后续通信都将使用这个新生成的通信密钥进行加密通信，安全节点在接收设备节点发送的通信数据后会使用所述通信密钥对数据进行对称加密再发送给域控制器以确保通信数据的安全性，防止未经授权的访问和数据泄露。

S4、域控制器接收到加密后的通信数据后用相同的通信密钥对其解密，得到设备节点发送的通信数据。

所述安全节点在接收设备节点发送的通信数据时还采集设备节点在发送通信数据的过程中产生的信号特征数据，并将所述信号特征数据与设备节点发送的通信数据一起加密后发送给域控制器；所述域控制器根据所述信号特征数据对设备节点进行认证，若认证成功则继续通信，若认证失败则报警。

S5、域控制器根据设备节点发送的通信数据生成控制指令，并用通信密钥将所述控制指令加密后发送给安全节点。

域控制器会对这些数据进行分析和处理并生成相应的控制指令，这些控制指令包括对设备节点的操作指示、参数调整和/或其他控制动作；为了确保控制指令在传输过程中的安全性，域控制器会使用与安全节点相同的通信密钥对控制指令进行加密；加密完成后，域控制器将加密后的控制指令发送给安全节点。

S6、安全节点接收到加密后的控制指令后用相同的通信密钥对其解密，并发送给设备节点。

安全节点接收到域控制器发送的加密控制指令后，会首先验证其完整性和真实性；验证通过后，安全节点会使用与域控制器相同的通信密钥对加密的控制指令进行解密；解密完成后，安全节点会将解密后的控制指令发送给设备节点，从而确保设备节点能够接收到来自域控制器的准确指令，并执行相应的操作。

本发明在设备节点与总线之间设置安全节点，通过安全节点与域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全，防止未经授权的第三方截获或篡改数据；所述安全节点具有唯一ID，通过唯一ID的认证、白名单机制以及通信密钥的生成，确保了汽车局域网安全通信系统的安全性、可靠性和稳定性；所述安全节点还用于采集设备节点在发送通信数据的过程中产生的信号特征数据并发送给所述域控制器，域控制器通过这些信号特征数据可以验证设备节点的真实性，从而有效地防止设备节点的替换攻击，为汽车局域网的安全通信提供坚实的保障。

以上实施方式仅表达了本发明的优选的实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (10)

1.一种汽车局域网安全通信系统，包括总线、接入总线的设备节点以及域控制器，所述设备节点通过总线与所述域控制器进行通信，其特征在于：还包括设置于所述设备节点与总线之间的安全节点，所述安全节点用于与所述域控制器进行加密通信以保证设备节点与域控制器之间通信数据的安全。

2.如权利要求1所述的汽车局域网安全通信系统，其特征在于，所述安全节点为设置于设备节点与总线之间的嵌入式设备，具有两个接口，一个接口与所述设备节点连接以接收所述设备节点发送的通信数据以及将经安全节点解密的域控制器发送的通信数据发送给设备节点，另一个接口连接在总线上以将经安全节点加密的所述设备节点发送的通信数据传输到总线上以及接收域控制器发送到总线上的通信数据。

3.如权利要求1所述的汽车局域网安全通信系统，其特征在于，所述安全节点还用于采集所述设备节点在发送通信数据的过程中产生的信号特征数据并发送给所述域控制器，所述域控制器用于根据所述信号特征数据对设备节点进行认证以预防设备节点的替换攻击。

4.如权利要求3所述的汽车局域网安全通信系统，其特征在于，所述域控制器包括：

数据接收模块，用于接收所述信号特征数据，所述信号特征包括信号发送时间、重试时间、寄生电容以及电路延迟；

预处理模块，用于对数据接收模块接收的信号特征数据进行预处理，得到样本数据，所述样本数据可以划分为训练数据和验证数据；

模型构建模块，用于构建认证模型；

模型训练模块，用于使用所述样本数据训练所述认证模型；

认证模块，用于使用训练好的认证模型根据新的信号特征数据对设备节点进行认证，若认证成功，则所述设备节点合法，若认证失败，则触发报警。

5.如权利要求4所述的汽车局域网安全通信系统，其特征在于，所述认证模型包括一个输入层、两个卷积层、两个池化层、一个Dropout层、一个Flatten层以及两个全连接层，其中，所述输入层用于输入所述信号特征数据，最后一层全连接层作为输出层输出认证结果，包括认证成功和认证失败两种情况。

6.如权利要求4所述的汽车局域网安全通信系统，其特征在于，所述模型训练模块包括以下子模块：

前向传播模块，用于输入训练数据，通过网络层次结构进行前向传播，得到输出结果；

损失计算模块，用于采用损失函数计算输出结果与实际标签之间的误差；

反向传播模块，用于采用反向传播算法，计算每一层参数的梯度；

参数更新模块，用于利用梯度下降算法，根据计算得到的梯度更新网络参数，设定当训练轮数大于20但小于等于70时，每训练10轮，学习率缩小为原来的十分之八，当训练轮数大于70后，学习率就缩小为原来的十分之一；

验证与调整模块，用于利用验证数据评估模型性能，并根据评估结果调整参数。

7.一种汽车局域网安全通信方法，其特征在于，包括以下步骤：

配置安全节点后，安全节点和域控制器生成相同的通信密钥；

安全节点发送认证请求到域控制器，域控制器对安全节点进行认证；

认证成功后，安全节点接收设备节点发送的通信数据并用所述通信密钥加密后发送给域控制器；

域控制器接收到加密后的通信数据后用相同的通信密钥对其解密，得到设备节点发送的通信数据。

8.如权利要求7所述的汽车局域网安全通信方法，其特征在于，在所述域控制器接收到加密后的通信数据后用相同的通信密钥对其解密的步骤后，还包括以下步骤：

域控制器根据设备节点发送的通信数据生成控制指令，并用通信密钥将所述控制指令加密后发送给安全节点；

安全节点接收到加密后的控制指令后用相同的通信密钥对其解密，并发送给设备节点。

9.如权利要求7所述的汽车局域网安全通信方法，其特征在于，所述安全节点和域控制器生成相同的通信密钥的步骤中，包括以下子步骤：

安全节点上电自检；

域控制器发送密钥初始化指令给安全节点；

安全节点接收到密钥初始化指令后使用其ID生成通信密钥，其中，安全节点具有一个独立的MCU，所述MCU具有唯一ID，在配置安全节点时，将所述ID写入域控制器；

域控制器根据所述ID生成相同的通信密钥。

10.如权利要求7所述的汽车局域网安全通信方法，其特征在于，所述安全节点在接收设备节点发送的通信数据时还采集设备节点在发送通信数据的过程中产生的信号特征数据，并将所述信号特征数据与设备节点发送的通信数据一起加密后发送给域控制器；

所述域控制器根据所述信号特征数据对设备节点进行认证，若认证成功则继续通信，若认证失败则报警。