一种CAN网络的安全通讯方法、系统、设备及存储介质与流程

本发明涉及信息安全，特别涉及一种can网络的安全通讯方法、系统、设备及存储介质。

背景技术：

1、现有技术中can网络在实现安全传输中，采用des算法，源端发送时将密文拆分为两个数据包(a和b)，a和b同时在两根不同的can线上发送。当a和b都到了目标端时，目标端将a和b合并成一个数据包，再使用des算法进行解密。上述方案的不足之处在于：1)需要分包和组包，效率不高。在源端需要将一个应用数据报文拆分为两个can帧，在目标端需要将两个can帧组合成一个应用数据报文，而当can网络延迟或者传输异常时，源端需要重新计算出两帧报文并丢弃其中一帧，浪费宝贵的cpu和内存；2)无法防止重放攻击。窃听者可以录制一段can报文，然后将该报文重新发送至can网络上，目标端依然将此报文当做正常报文予以处理；3)需要两根can线，增了使用成本。

2、此外，还有采用ecc算法在can网络上进行加密，虽然没有增加额外的can线，但其不足在于：11)该方案要求必须使用can fd，但目前绝大多数设备均使用标准can网络，未使用can fd；12)需要分包和组包，效率不高。在源端需要将一个应用数据报文拆分为两个can帧，在目标端需要将两个can帧组合成一个应用数据报文，而当can网络延迟或者传输异常时，源端需要重新计算出两帧报文并丢弃其中一帧，浪费宝贵的cpu和内存；13)对抗重放攻击能力不足。输入条件不变的情况下，理论上经过256运算即可得相同的密文。

技术实现思路

1、根据本发明实施例提供的方案解决的技术问题是如何低成本的实现标准can网络上的“一次一密”安全通讯。

2、根据本发明实施例提供的一种can网络的安全通讯方法，包括：

3、发送端ecu利用第一过程密钥对业务请求can报文进行加密处理，得到加密业务请求can报文，并将所述加密业务请求can报文发送给接收端ecu；

4、接收端ecu接收到所述加密业务请求can报文后，读取预存的发送端ecu设备序列号ssn-a和业务序号sbn-a，并利用所述ssn-a和所述sbn-a计算第二过程密钥；

5、接收端ecu利用所述第二过程密钥对所述加密业务请求can报文进行解密处理，得到明文业务请求can报文，并根据所述明文业务请求can报文生成包含业务数据的业务响应can报文；

6、接收端ecu将所述包含业务数据的业务响应can报文发送给发送端ecu，从而使发送端ecu和接收端ecu实现安全通讯。

7、根据本发明实施例提供的一种can网络的安全通讯系统，包括：

8、发送端ecu，用于利用第一过程密钥对业务请求can报文进行加密处理，得到加密业务请求can报文，并将所述加密业务请求can报文发送给接收端ecu；

9、接收端ecu，用于接收到所述加密业务请求can报文后，读取预存的发送端ecu设备序列号ssn-a和业务序号sbn-a，并利用所述ssn-a和所述sbn-a计算第二过程密钥；利用所述第二过程密钥对所述加密业务请求can报文进行解密处理，得到明文业务请求can报文，并根据所述明文业务请求can报文生成包含业务数据的业务响应can报文；以及将所述包含业务数据的业务响应can报文发送给发送端ecu，每次通讯过程中sbn-a自增1，从而使发送端ecu和接收端ecu的每次传输过程秘钥各不相同，实现“一次一密”安全通讯。

10、根据本发明实施例提供的方案，在不增加额外can线、不分包和组包、不使用canfd的前提下，完成两个ecu之间的安全通讯；提升对重放攻击的抵御能力；can网络为广播型网络，can设备可以监听到所有报文，因此can网络上的重放攻击成本极低；安全算法速度快。

技术特征：

1.一种can网络的安全通讯方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，还包括：发送端ecu与接收端ecu进行身份认证的操作步骤，其具体包括：

3.根据权利要求2所述的方法，其特征在于，还包括：发送端ecu与接收端ecu进行业务序号同步的操作步骤，其具体包括：

4.根据权利要求3所述的方法，其特征在于，所述接收端ecu获取发送端ecu发送的包含发送端ecu业务序号sbn-a的业务序号同步请求can报文之后，还包括：

5.根据权利要求3或4所述的方法，其特征在于，所述第一过程密钥是发送端ecu利用所述ssn-a和所述sbn-a2计算所得到的，其具体包括：根据所述ssn-a、所述sbn-a2、预存的第一加密主密钥以及16轮反馈异或分散算法计算所述第一过程密钥。

6.根据权利要求5所述的方法，其特征在于，所述接收端ecu利用所述ssn-a和所述sbn-a计算第二过程密钥包括：

7.根据权利要求3所述的方法，其特征在于，还包括：

8.一种can网络的安全通讯系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括：存储器；处理器；以及计算机程序；

10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序；所述计算机程序被处理器执行以实现如权利要求1-7任一项所述的方法。

技术总结
本发明公开了一种CAN网络的安全通讯方法、系统、设备及存储介质，其方法包括：发送端ECU利用第一过程密钥对业务请求CAN报文进行加密处理，得到加密业务请求CAN报文，并将所述加密业务请求CAN报文发送给接收端ECU；接收端ECU接收到所述加密业务请求CAN报文后，读取预存的发送端ECU设备序列号SSN‑A和业务序号SBN‑A，并利用所述SSN‑A和所述SBN‑A计算第二过程密钥；接收端ECU利用所述第二过程密钥对所述加密业务请求CAN报文进行解密处理，得到明文业务请求CAN报文，并根据所述明文业务请求CAN报文生成包含业务数据的业务响应CAN报文；接收端ECU将所述包含业务数据的业务响应CAN报文发送给发送端ECU，从而使发送端ECU和接收端ECU实现安全通讯。

技术研发人员：马勃,闫立,杨洋,郭鹏,刘小光
受保护的技术使用者：上海启源芯动力科技有限公司
技术研发日：
技术公布日：2024/1/12