一种用于车载CAN网络的信息安全增强方法及电子设备技术

本发明专利技术提供了一种用于车载CAN网络的信息安全增强方法及电子设备，所述方法包括：将特定水印信息(包括图片、字符串等)利用哈夫曼编码对数字水印进行编码压缩得到待植入水印信息，为每个节点设置水印插入计数器和水印提取计数器用于水印信息发送和接收的同步，接收节点将接收到的报文按照它们在网络中的ID号进行分组，再根据报文ID号的分组对接收到的报文进行认证，一旦发现提取出的水印信息与原始水印信息不一致，说明报文的发送时序被破坏，网络中存在入侵报文。本发明专利技术提供的一种用于车载CAN网络的信息安全增强技术相比现有技术，具有带宽资源占用小，计算复杂度低，易于实施的特点。特点。特点。

【技术实现步骤摘要】
一种用于车载CAN网络的信息安全增强方法及电子设备


[0001]本专利技术涉及汽车网络通信及汽车安全
，具体为一种用于车载CAN网络的信息安全增强方法及电子设备。

技术介绍

[0002]近年来，随着网络技术的发展，汽车越来越趋向于网联化，汽车内部各个部件之间以及车辆和外部网络之间的联通性的提高，产生了通信时的信息和驾驶安全问题。目前汽车内部使用最广泛的是车载网络协议是CAN总线协议，被用于车内电子控制单元(ECU)之间的数据交换。CAN总线使用差分信号线进行通信，具有较强的抗干扰能力，可以在恶劣的工作环境下提供稳定可靠的通信质量。但是这种通信协议目前并没有任何安全机制，因此容易受到黑客攻击。随着联网汽车的兴起，汽车在设计时引入了许多接口用于连接外部网络，如蓝牙、WIFI、GPS等等，这就为攻击者提供更加广泛的攻击面。黑客一旦进入到CAN总线中，便可以向总线上注入各种恶意报文，干扰车内ECU之间正常的数据交换或者使车内的服务停止，甚至操控汽车的行驶，造成诸多危险。
[0003]目前针对CAN网络已经有了一些信息安全手段，例如基于特征提取的入侵检测，信息加密、信息认证。但是由于汽车内部ECU的计算能力有限，如果对每条报文都进行加密处理，会占用过多的计算资源，在对信息进行加密的同时，增加了有效载荷的长度，导致总线需要传输过多与有用信息无关的字节，增加了总线传输数据的负担。使用入侵检测系统，则需另外建立特征库，特征库需被实时更新，不便于维护。
[0004]综上所述，现有技术存在的问题是：
[0005](1)现有的CAN网络协议中，没有考虑车载网络信息的安全性问题，CAN网络上的数据没有加密的措施，通过明文的方式进行传输，CAN网络也没有身份认证机制，任何连接到CAN网络上的设备，所发送的报文格式如果符合网络协议，就可以被其他ECU所接收，因此CAN网络很容易被黑客进行攻击和监听。
[0006](2)现有技术中的ECU设备没有防护措施，容易受到黑客攻击。
[0007](3)现有技术适应性弱，对ECU的计算能力要求过高，占用过多的带宽资源，不能适应复杂的驾驶环境。

技术实现思路

[0008]针对现有技术存在的问题，本专利技术的目的在于提供一种用于车载CAN网络的信息安全增强方法及电子设备，为CAN网络提供一种计算量小、带宽资源占用率低、响应速度快、可靠性高，能够实时的检测针对CAN网络的DOS攻击、注入攻击、篡改攻击的信息安全增强方法。
[0009]为实现上述目的，本专利技术提供如下技术方案：一种用于车载CAN网络的信息安全增强方法，包括如下内容：
[0010]将特定水印信息(包括图片、字符串等)利用哈夫曼编码对数字水印进行编码压缩
得到待植入水印信息，将水印信息植入CAN网络的报文中，接收节点实时提取CAN网络中的水印信息对CAN网络中的报文进行认证。具体包括如下步骤：
[0011]步骤一：在发送节点，为CAN网络中的每个节点分配若干个与其可用ID数相匹配的水印插入计数器，所述插入计数器的计数上限设置为数字水印的总字节数；在接收节点，为CAN网络中的每个节点分配水印提取计数器，记录CAN网络中入侵报文的数量；
[0012]步骤二：通过哈夫曼编码生成一串二进制数字水印信息，将其划分成若干个字节；
[0013]步骤三：每次发送报文之前，检查水印插入计数器的值，如果所述插入计数器未达到计数上限，在该报文的数据域的冗余位插入一字节的水印信息，该报文ID对应的计数器加1，如果达到计数上限，计数器清0，将数字水印的第一个字节插入到报文数据域的冗余位中，将计数器加1；
[0014]步骤四：接收节点接收到了报文后，根据报文的ID，进行分组，每个分组中的报文具有相同的ID；
[0015]步骤五：提取各分组中报文的水印信息，与原始水印信息比对，如果比对结果不一致，则判定CAN网络存在恶意报文；
[0016]步骤六：更新水印提取计数器值。
[0017]进一步的，利用哈夫曼编码对待植入的水印信息进行有效的压缩，编码冗余度达到最小，编码效率趋近于1。包括如下步骤：
[0018](1)将信源取值于集合A，信源概率分布取值于集合P；
[0019](2)集合A中每个信源都代表哈夫曼树的一个终端结点(叶结点)，比较集合A中信源的概率分布，将概率最小的两个叶节点合并成一颗二叉树，二叉树根节点的值等于信源概率分布之和；递归处理剩余节点，生成哈夫曼树；
[0020](3)将左子树分支编码为0，右子树分支编码为1，得到各信源的编码结果。
[0021]CAN网络中的每个节点都设置了水印插入计数器并对接收到的报文根据ID号进行了分组，实现了CAN网络中任意两个节点在通信过程中，发送和接收的水印同步。
[0022]CAN网络中的每个节点都设置了水印插入计数器并对接收到的报文根据ID号进行了分组，针对ID不同的报文，可以做到分别提取水印信息，互不干扰。CAN网络中的每个节点都设置了水印提取计数器，用户能够实时查询CAN网络的状态。
[0023]利用CAN网络中报文ID号的时序，在无入侵报文的情况下，可以解码得到长度、内容都确定的具有唯一性且与原始水印信息相同的数字水印信息，入侵报文会破坏报文ID号的时序性，因此可有效地对CAN网络中的报文进行认证。
[0024]CAN网络上每个不处于离线状态的节点，实时的对接收到的报文进行身份认证，一旦发现某个字节与原始水印信息不一致，判定CAN网络存在恶意报文，更新水印提取计数器值。
[0025]CAN网络协议规定，同一时刻，只有一个节点可以占有网络，当CAN网络中有多个节点同时竞争网络时，CAN网络通过这些节点发送的报文的ID优先级判定可以占用网络的节点，ID越小的报文具有越高的优先级，当高优先级的报文发送完成后，剩下的节点再次竞争网络。当对CAN网络进行DOS攻击、注入攻击，具有更高优先级的恶意报文会打乱CAN网络正常通信的时序，导致接收节点无法提取正确的水印信息。
[0026]本专利技术可适用于具有11比特ID号的标准CAN2.0A协议、具有29比特ID号的可扩展
CAN2.0B协议、CAN
‑
FD协议(数据域占64字节，比特率8Mbps)。
[0027]本专利技术提取水印的算法时间复杂度较低，与数字水印的长度相等，为O(n)。
[0028]本专利技术还提供一种电子设备，包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述用于车载CAN网络的信息安全增强方法的步骤。
[0029]本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被设置为运行时执行上述用于车载CAN网络的信息安全增强方法的步骤。
[0030]与现有技术相比，本专利技术的有益效果是：
[0031]1.本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于车载CAN网络的信息安全增强方法，其特征在于：包括：将特定水印信息利用哈夫曼编码对数字水印进行编码压缩得到待植入水印信息，将水印信息植入CAN网络的报文中，接收节点实时提取CAN网络中的水印信息对CAN网络中的报文进行认证。2.根据权利要求1所述的一种用于车载CAN网络的信息安全增强方法，其特征在于：包括以下步骤：步骤一：在发送节点，为CAN网络中的每个节点分配若干个与其可用ID数相匹配的水印插入计数器，所述插入计数器的计数上限设置为数字水印的总字节数；在接收节点，为CAN网络中的每个节点分配水印提取计数器，记录CAN网络中入侵报文的数量；步骤二：通过哈夫曼编码生成一串二进制数字水印信息，将其划分成若干个字节；步骤三：每次发送报文之前，检查水印插入计数器的值，如果所述插入计数器未达到计数上限，在该报文的数据域的冗余位插入一字节的水印信息，该报文ID对应的计数器加1，如果达到计数上限，计数器清0，将数字水印的第一个字节插入到报文数据域的冗余位中，将计数器加1；步骤四：接收节点接收到了报文后，根据报文的ID，进行分组，每个分组中的报文具有相同的ID；步骤五：提取各分组中报文...

【专利技术属性】
技术研发人员：吴武飞，戴君豪，
申请(专利权)人：南昌大学，
类型：发明
国别省市：