本发明涉及报文加密技术,尤其涉及一种基于动态加密规则的汽车网络安全传输方法。
背景技术:
1、随着智能网联汽车的快速发展,车内ecu的数量和交互功能显著增加,对汽车的通信需求也不断增加,导致车辆数据信息越来越丰富多样。车辆信息中包含了很多的重要数据,例如车主的个人信息、汽车行驶、故障、位置信息,甚至车外的路况环境等信息,这些信息一旦被泄露,可能会危害个人、组织的利益,甚至国家安全。因此,对数据安全防护的要求越来越高,如果汽车数据缺少安全存储、传输机制,那这些数据很有可能会被恶意利用,造成财产损失。所以,必须要保证信息的加密性(消息以密文的形式传输)、完整性(消息无法被篡改),以及对信息访问的身份认证。
2、对称加密算法保证信息的加密性,优点是加解密速度快,适合用于对大数据的加密;缺点是加密和解密使用同一个密钥,密钥分发、管理、变更困难。常见的对称加密算法有aes和sm4。
3、hmac算法是一种基于密钥的报文完整性的验证方法,其安全性是建立在摘要和加密算法基础上的。它要求通信双方共享密钥、约定算法、对报文进行hash运算,形成固定长度的消息认证码,通信双方通过校验认证码来确定报文的合法性。
4、但是,如果长时间使用相同的加密规则,容易被非法用户破解,而且无法保证前向安全。如果通过人工来修改通信双方的加密规则,那将变得异常繁琐,并且容易引入问题。此外,如果每个应用都独立使用自己的加密规则,那其它应用也需要对应的加密规则,这将会导致配置数据的重复和复杂化。
5、cn 115102752a基于单一的国密算法对汽车数据信息进行加解密,但是应用的密码一旦泄露,对应的应用数据信息将被破解。
6、cn 109729056a提出对整车网络建立多个安全防御层,从建立防火墙、中央网关,到采用硬件安全技术和网络报文mac加密技术,来实现整车网络的安全防护。但是,并未详细介绍加密的实现方案。
7、cn 112702170a基于pki实现车辆的数据的加密和认证,但是并未提及如何保存证书,一旦证书泄露,整个加密体系都将被瓦解。
8、此外,当前数据加密方案主要集中在对加解密技术的利用,仅考虑数据的保密性和完整性,对密钥和采用的加密方法并没有进行保护,而且通常长期单独使用一套加密规则,很少有与其它技术的集成方案。
9、为了解决上述问题,本发明提出了基于动态加密规则的汽车网络安全传输方法。
技术实现思路
1、为解决现有技术中存在的不足,本发明的目的在于,提供一种基于动态加密规则的汽车网络安全传输方法。
2、为实现本发明的目的,本发明所采用的技术方案是:
3、一种基于动态加密规则的汽车网络安全传输方法,所述方法动态地更改应用报文传输的加密规则,该加密规则包括加密算法、加密密钥、活跃时间;加密算法和加密密钥用于加密/解密报文和计算/校验mac,活跃时间表示在这段时间周期内,使用配置的加密算法和加密密钥对报文进行加/解密和计算/校验mac,并通过设置的活跃时间来实现动态变更加密算法和加密密钥。
4、进一步地,当系统时间处于加密规则key-rule配置的活跃时间范围内时,该key-rule处于活跃状态;应用发送报文时,使用此key-rule配置的加密算法和加密密钥对报文进行计算mac或者加密;应用接收报文时,使用此key-rule配置的加密算法和加密密钥对报文进行校验mac或者解密。
5、进一步地,加密规则key-rule支持的hmac算法有sha256、sm3、md5、sha1,支持的加密算法有sm4、aesgcm128、aesgcm256。
6、进一步地,应用接收端设置接受容忍时间,key-rule的接收活跃时间对应的起始和终止时间都将得到相应的延长。
7、进一步地,key-rule的时间模式为周期时间模式,包括四种模式:
8、daily,表示key-rule中的key在每天固定时间段内生效;
9、weekly,表示key-rule中的key在每周指定的日子生效;
10、monthly,表示key-rule中的key在每月指定的日期生效;
11、yearly,表示key-rule中的key在每年指定的月份生效。
12、进一步地,某个时间段没有活跃的key-rule,可以配置缺省的key-rule。
13、进一步地,应用使用动态加密服务发送报文,包括以下步骤:
14、1,应用向动态加密服务模块请求认证或者加密功能;
15、2,动态加密模块查询活跃的key-rule,如果没有活跃的,则使用缺省的key-rule,返回key-rule id;
16、3,应用收到key-rule id后,将id封装进协议报文;
17、4,应用向加密服务模块发送需要用来计算mac或者加密的明文;
18、5,动态加密模块基于查询到的key-rule计算mac或者加密并返回;
19、7,应用产生携带认证或者加密的信息报文,并发送出去。
20、进一步地,应用接收到报文后的处理,包括以下步骤:
21、1,应用读取报文并解析后,判断是认证还是解密,向动态加密服务模块发送key-rule id、数据报文以及认证/解密请求;
22、2,动态加密模块根据接收到的key-rule id,检查本端对应id的key-rule是否活跃;如果不活跃,则返回认证失败消息;
23、3,如果对应的接收key-rule活跃,动态加密模块使用此key-rule配置的算法和密钥,根据请求,如果是认证,则重新计算mac,并且比较新生成的mac和接收到的mac是否一致,返回成功消息或者失败消息;
24、4,如果是解密,先验证消息的mac,如果一致,则解密消息,并返回成功及解密后的消息;如果不一致,则返回失败消息;
25、5,应用根据动态加密模块的结果决定接收或丢弃报文。
26、本发明的有益效果在于,与现有技术相比,本发明中的数据传输,都是建立在加密和认证结合使用的基础之上,保证了数据传输的加密性和完整性。本发明提出的根据时间动态变更加密算法和密钥,有效地解决了长期使用相同加密规则容易被破解的问题,并且可以方便地修改加密规则。基于动态加密服务,可以简化应用的实现,加强应用的安全,极大地提高了车载网络的安全性,有效地防止了车辆数据信息的泄露。
1.一种基于动态加密规则的汽车网络安全传输方法,其特征在于,所述方法动态地更改应用报文传输的加密规则,该加密规则包括加密算法、加密密钥、活跃时间;加密算法和加密密钥用于加密/解密报文和计算/校验mac,活跃时间表示在这段时间周期内,使用配置的加密算法和加密密钥对报文进行加/解密和计算/校验mac,并通过设置的活跃时间来实现动态变更加密算法和加密密钥。
2.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,当系统时间处于加密规则key-rule配置的活跃时间范围内时,该key-rule处于活跃状态;应用发送报文时,使用此key-rule配置的加密算法和加密密钥对报文进行计算mac或者加密;应用接收报文时,使用此key-rule配置的加密算法和加密密钥对报文进行校验mac或者解密。
3.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,加密规则key-rule支持的hmac算法有sha256、sm3、md5、sha1,支持的加密算法有sm4、aesgcm128、aesgcm256。
4.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,应用接收端设置接受容忍时间,key-rule的接收活跃时间对应的起始和终止时间都将得到相应的延长。
5.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,key-rule的时间模式为周期时间模式,包括四种模式:
6.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,某个时间段没有活跃的key-rule,可以配置缺省的key-rule。
7.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,应用使用动态加密服务发送报文,包括以下步骤:
8.根据权利要求1所述的基于动态加密规则的汽车网络安全传输方法,其特征在于,应用接收到报文后的处理,包括以下步骤: