一种密钥管理方法

技术领域

本发明涉及车辆技术领域，特别涉及一种密钥管理方法。

背景技术

车载ECU(Electronic Control Unit，电子控制单元)之间进行通讯时，会对重要的报文内容进行加解密或者增加消息认证码，来保障车辆的信息安全。报文内容的加解密和消息认证码通常使用对称密码算法实现，需要在产线提前将密钥写入ECU。目前越来越多的OEM(Original Equipment Manufacturer，原始设备制造商，即车辆制造商)采用“一机一密”的密钥生成方式，即每个ECU使用的密钥均不同。随着车辆功能逐渐复杂化，ECU数量和ECU所需的密钥数量都在增加。因此，对数量庞大的密钥进行灵活、高效的管理是十分有必要的。

目前OEM通常采用专门的密钥服务器生成存储密钥，并且配合OBD(On BoardDiagnostics，车载诊断)工具及TBOX(Telematics BOX，车载通讯终端)实现密钥的分发与更新。这种传统管理方式的不足在于：

1.OEM需要管理的密钥种类与数量逐渐增加，密钥服务器面临存储空间不足以及管理逻辑复杂的问题；

2.密钥的分发通常在供应商产线或者OEM工厂通过OBD工具对逐个ECU发送诊断实现，写入步骤耗时较长，拖慢产线节拍；

3.写入密钥时，密钥传递链路较长，且写入通常使用明文传输，过程中存在密钥被窃取或者篡改的风险；

4.车辆使用过程中，更新密钥需要通过TBOX或OBD工具实现，更新流程需要人工触发，因此面临紧急的安全事件时，这种更新方式响应速度较慢。

发明内容

本发明的目的在于提供一种密钥管理方法，以解决现有技术中的一个或多个问题。

为解决上述技术问题，本发明提供一种密钥管理方法，包括：

利用车载网关功能模块向车载电子控制单元发送密钥以完成对所述电子控制单元的密钥的派发或更新。

可选的，在所述的密钥管理方法中，所述车载网关功能模块在向所述车载电子控制单元发送所述密钥之前，将所述密钥加密成密文，使得所述密钥以密文形式被发送。

可选的，在所述的密钥管理方法中，所述车载网关功能将所述密文随消息认证码发送给所述车载电子控制单元，以使得所述车载电子控制单元在对所述消息认证码验证通过后存储所述密钥，进而以完成对所述电子控制单元的密钥的派发或更新。

可选的，在所述的密钥管理方法中，所述车载网关功能模块将所述密钥加密成密文的方法包括：

所述车载网关功能模块生成随机的所述密钥，并与车载电子控制单元之间通过密钥协商算法协商会话密钥；以及，

利用所述会话密钥将所述密钥加密成密文。

可选的，在所述的密钥管理方法中，所述密钥协商算法为DH密钥协商算法或ECDH密钥协商算法。

可选的，在所述的密钥管理方法中，所述车载网关功能模块在接收到目标诊断指令或接收到密钥泄露信息时执行所述密钥管理方法。

可选的，在所述的密钥管理方法中，所述目标诊断指令通过车载通讯终端或车载诊断工具发送。

可选的，在所述的密钥管理方法中，所述密钥泄露信息通过车载入侵检测与防御系统或车载防火墙发送。

可选的，在所述的密钥管理方法中，所述车载网关功能模块为中央网关模块、域控制器或区域控制器。

可选的，在所述的密钥管理方法中，所述会话密钥在生成之后被保存以多次使用，或，在完成对所述电子控制单元的密钥的派发或更新后被销毁。

综上，在本发明提供的密钥管理方法中，包括：车载网关功能模块生成随机的密钥，并与车载电子控制单元之间通过密钥协商算法协商会话密钥；以及，利用所述会话密钥将所述密钥加密成密文，并将所述密文随消息认证码发送给所述车载电子控制单元，以使得所述车载电子控制单元在对所述消息认证码验证通过后存储所述密钥，以完成对所述电子控制单元的密钥的派发或更新。即，本发明提供的密钥管理方法，利用车内节点充当密钥管理者来实现对车载控制单元的密钥的派发或更新，与现有技术相比，具有如下优势：

(1)通过车载网关功能模块节点保存密钥，可以大幅度减少服务器需要管理的密钥数量，简化服务器的密钥管理逻辑；

(2)密钥分发时，密钥仅在车内传递，链路较短，且密钥通过加密和消息认证码保护，传递过程更加安全可靠；

(3)密钥的分发可以在工厂下线前通过较少诊断指令触发，可以降低产线节拍；

(4)在车辆使用过程中，如果出现密钥泄露事件时，车载网关模块可以自主完成密钥更新，不需要人工触发，具有更高的响应速度。

附图说明

图1为本发明实施例提供的一种密钥管理方法的流程图；

图2为本发明实施例中示例的车载网关功能模块和电子控制单元的密钥协商流程图；

图3为本发明实施例中示例的一种整车网络架构图。

具体实施方式

为使本发明的目的、优点和特征更加清楚，以下结合附图和具体实施例对本发明作详细说明。需说明的是，附图均采用非常简化的形式且未按比例绘制，仅用以方便、明晰地辅助说明本发明实施例的目的。此外，附图所展示的结构往往是实际结构的一部分。特别的，各附图需要展示的侧重点不同，有时会采用不同的比例。还应当理解的是，除非特别说明或者指出，否则说明书中的术语“第一”、“第二”、“第三”等描述仅仅用于区分说明书中的各个组件、元素、步骤等，而不是用于表示各个组件、元素、步骤之间的逻辑关系或者顺序关系等。

本实施例提供一种密钥管理方法，包括：利用车载网关功能模块向车载电子控制单元发送密钥以完成对所述电子控制单元(ECU)的密钥的派发或更新。

本实施例提供的所述密钥管理方法，利用车内节点充当密钥管理者来实现对车载控制单元的密钥的派发或更新，因此，可大幅度减少服务器需要管理的密钥数量，简化服务器的密钥管理逻辑，且由于密钥仅在车内传递，链路较短，传递过程更加安全可靠，另外，采用本实施例提供的所述密钥管理方法，密钥的分发可以在工厂下线前通过较少的诊断报文触发，可以降低产线节拍；在车辆使用过程中，如果出现密钥泄露事件时，车载网关模块可自主完成密钥更新，不需要人工触发，具有更高的响应速度。

优选的，所述车载网关功能模块在向所述车载电子控制单元发达所述密钥之前，将所述密钥加密成密文，使得所述密钥以密文形式被发送。

进一步优选的，所述车载网关功能将所述密文随消息认证码发送给所述车载电子控制单元，以使得所述车载电子控制单元在对所述消息认证码验证通过后存储所述密钥，进而以完成对所述电子控制单元的密钥的派发或更新。

通过对密钥进行加密和消息认证码保护，可进一步提高传递过程的安全可靠性。

本实施例中，所述车载网关功能模块可采用如下方法将所述密钥加密成密文：

所述车载网关功能模块生成随机的所述密钥，并与车载电子控制单元之间通过密钥协商算法协商会话密钥；以及，

利用所述会话密钥将所述密钥加密成密文。

因此，在一具体实施方式中，本实施例提供的所述密钥管理方法可包括如下步骤：

S11，车载网关功能模块生成随机的所述密钥，并与车载电子控制单元之间通过密钥协商算法协商会话密钥；

S12，所述车载网关功能模块利用所述会话密钥将所述密钥加密成密文，并将所述密文随消息认证码发送给所述车载电子控制单元，以使得所述车载电子控制单元在对所述消息认证码验证通过后存储所述密钥，以完成对所述电子控制单元的密钥的派发或更新。

其中，所述车载网关功能模块可采用PBKDF2、KBKDF、HMAC_DRBG、Hash_DRBG等算法生成随机的所述密钥。所述车载网关功能模块利用所述会话密钥将所述密钥加密成密文可采用AES128-GCM、AES256-GCM、AES128-CCM、AES256-CCM等算法。所述会话密钥在生成之后被保存以多次使用，具体而言，可保存在所述车载网关功能模块和所述车载电子控制单元各自的安全设备(Security peripheral)中，所述安全设备具有密钥保护和密码学习运算能力，包括HSM(hardware security module，硬件安全模块)，SHE(Secure hardwareextension，安全硬件扩展)、HSE(Hardware Security Engine，硬件加密模块)，trustzone(可信区域)，secure element(安全扩展芯片)等，在另外一些实施中，所述会话密钥还可在完成对所述电子控制单元的密钥的派发或更新后被销毁。

本实施例中，所述密钥协商算法可采用DH密钥协商算法或ECDH密钥协商算法等，当所述密钥协商算法采用DH密钥协商算法时，所述车载网关功能模块与所述车载电子控制单元之间通过密钥协商算法协商会话密钥的方法具体可如下：

所述车载网关功能模块生成两个质数G、P，并将生成的两个所述质数G、P传递给所述车载电子控制单元；

所述车载电子控制单元在接收到所述车载网关功能模发送的两个所述质数G、P后，生成第一随机数A，并利用密钥协商算法F对所述第一随机数A和两个所述质数G、P进行计算以得到第一值C＝F(G，A，P)，以及将所述第一值C＝F(G，A，P)传递给所述车载网关模块；

所述车载网关模块生成第二随机数B，并利用所述密钥协商算法对所述第二随机数B和两个所述质数G、P计算以得到第二值D＝F(G，B，P)，以及将所述第二值D＝F(G，B，P)传递给所述车载电子控制单元；

所述车载网关模块利用密钥协商算法对所述第一值C＝F(G，A，P)和所述第二随机数B进行计算以得到第三值作为会话密钥session key＝F(C，B，

P)，所述车载电子控制单元利用密钥协商算法对所述第二值D＝F(G，B，P)和所述第一随机数A进行计算以得到所述第三值作为会话密钥session key＝F(D，A，P)。

一般的，整车网络架构如如图3所示，CGM(Central Gateway Module，中央网关模块)与具有网关功能的DCU(Domain Control Unit，域控制器)或具有网关功能的ZCU(ZoneControl Unit，区域控制器)之间通过Ethernet通讯，DCU与ECU之间通过CAN总线通信。因此，本实施例中，所述车载网关功能模块可为CGM、DCU或ZCU。

本实施例提供的密钥管理方法可在CGM、DCU或ZCU接收到目标诊断指令或接收到密钥泄露信息时执行。其中，所述目标诊断指令可通过车载通讯终端(如OEM)或车载诊断工具(OBD)发送，所述密钥泄露信息可通过车载防入侵模块发送(如车载IDPS或Firewall模块)。亦即，采用本实施例提供的所述密钥管理方法，车载电子控制单元的密钥的派发/更新包括如下情况：

(1)派发

工厂下线前，通过OEM或OBD工具向DCU发送诊断指令，以实现对车载电子控制单元的密钥的派发；

(2)被动更新

OEM周期性地通过TBOX向DCU发送诊断指令，远程触发密钥更新流程(包括sessionkey协商、密钥生成和密钥传递)更新车载电子控制单元密钥；或者用户定期到4S店，通过OBD工具触发车载电子控制单元密钥更新流程。

(3)主动更新

当车载IDPS或Firewall模块检测到密钥泄露时通知DCU，DCU主动触发密钥更新流程，完成车载电子控制单元的密钥的更新。

综上所述，本发明提供的密钥管理方法包括：利用车载网关功能模块向车载电子控制单元发送密钥以完成对所述电子控制单元(ECU)的密钥的派发或更新。即，利用车内节点充当密钥管理者来实现对车载控制单元的密钥的派发或更新，因此，可大幅度减少服务器需要管理的密钥数量，简化服务器的密钥管理逻辑，且由于密钥仅在车内传递，链路较短，传递过程更加安全可靠，另外，采用本实施例提供的所述密钥管理方法，密钥的分发可以在工厂下线前通过较少的诊断命令触发，可以降低产线节拍；在车辆使用过程中，如果出现密钥泄露事件时，车载网关模块可自主完成密钥更新，不需要人工触发，具有更高的响应速度。

此外还应该认识到，虽然本发明已以较佳实施例披露如上，然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言，在不脱离本发明技术方案范围情况下，都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围。