本發(fā)明屬于汽車電子,具體涉及一種ecu密鑰安全灌裝方法及系統(tǒng)�����。
背景技術(shù):
1�、在汽車電子控制單元(ecu)的密鑰灌裝生產(chǎn)工序中,ecu作為一個(gè)全新的零部件�,其硬件安全模塊中是沒有任何密鑰的,因此現(xiàn)有技術(shù)通常無法驗(yàn)證密鑰灌裝上位機(jī)(klm)的身份合法性����。并且基于相同的原因,待灌裝密鑰在傳輸過程中以明文形式暴露于klm與ecu之間的通信通道�,且未對密鑰完整性進(jìn)行校驗(yàn)。此外�����,klm與密鑰管理系統(tǒng)(kms)之間缺乏雙向身份認(rèn)證。這種技術(shù)缺陷導(dǎo)致以下突出問題:
2����、身份偽造風(fēng)險(xiǎn):攻擊者可偽造klm身份欺騙kms和ecu,導(dǎo)致非法密鑰注入����;密鑰泄露風(fēng)險(xiǎn):明文傳輸?shù)拿荑€易被竊取,且ecu硬件安全模塊外的密鑰明文存儲存在泄露隱患���;密鑰篡改風(fēng)險(xiǎn):攻擊者可截獲并篡改通信通道中的密鑰數(shù)據(jù)��,破壞密鑰完整性�����。
3�、上述技術(shù)缺陷使得ecu密鑰灌裝生產(chǎn)工序面臨嚴(yán)重的安全威脅�����,無法滿足現(xiàn)代汽車生產(chǎn)過程中對密鑰灌裝機(jī)密性���、完整性和來源合法性的高標(biāo)準(zhǔn)要求�����。
技術(shù)實(shí)現(xiàn)思路
1��、本發(fā)明的目的在于提供一種ecu密鑰安全灌裝方法及系統(tǒng)�����,密鑰灌裝過程中的身份偽造�����、密鑰泄露和篡改風(fēng)險(xiǎn)被有效消除��,實(shí)現(xiàn)了密鑰灌裝過程中安全傳輸和存儲密鑰的目標(biāo)����,顯著提升了汽車信息安全水平�,解決了上述背景技術(shù)中提出的問題。
2��、為實(shí)現(xiàn)上述目的��,本發(fā)明采用了如下技術(shù)方案:一種ecu密鑰安全灌裝方法�����,包括以下步驟:
3、klm與kms通過雙向安全通信協(xié)議相互驗(yàn)證身份并建立安全連接���,klm從kms獲取待灌裝密鑰清單���;所述待灌裝密鑰清單包含kms與ecu支持的密碼學(xué)算法種類、ecu身份信息及待灌裝密鑰基本信息�����;
4�、klm根據(jù)所述待灌裝密鑰清單中kms和ecu支持的算法種類選擇非對稱密鑰算法和哈希算法作為選定算法,生成非對稱密鑰對作為klm工作密鑰�,并利用該密鑰基于所述待灌裝密鑰清單中ecu身份信息生成klm第一身份驗(yàn)證信息,通過車載通信協(xié)議向ecu發(fā)送包含klm第一身份驗(yàn)證信息和選定算法的ecu根密鑰生成請求�����;
5�、ecu驗(yàn)證klm第一身份驗(yàn)證信息,確認(rèn)klm身份合法性后�����,通過硬件安全模塊生成ecu根密鑰,將私鑰安全存儲并將公鑰返回klm����;
6、klm將ecu根密鑰公鑰及選定算法發(fā)送至kms��,請求生成kms工作密鑰��,kms基于選定的非對稱密鑰算法生成非對稱密鑰對作為kms工作密鑰���;
7���、klm向kms請求待灌裝密鑰密文及其簽名值和kms工作密鑰公鑰�����,kms利用ecu根密鑰公鑰加密待灌裝密鑰明文生成密文并使用kms工作密鑰私鑰進(jìn)行簽名�,連同kms工作密鑰公鑰一并返回klm;
8����、klm計(jì)算klm第二身份驗(yàn)證信息,向ecu發(fā)送包含密鑰密文�、密鑰密文簽名值及klm第二身份驗(yàn)證信息的密鑰灌裝請求��;
9����、ecu依次驗(yàn)證klm第二身份驗(yàn)證信息和密鑰密文簽名值��,確認(rèn)klm身份合法性和密鑰密文完整性后���,解密密鑰密文并將明文安全存儲��;
10����、ecu向klm反饋密鑰灌裝結(jié)果�,若成功則標(biāo)記當(dāng)前密鑰為已灌裝,klm根據(jù)灌裝結(jié)果更新密鑰清單狀態(tài)�����。
11�、優(yōu)選的,所述雙向安全通信協(xié)議為mtls協(xié)議��,包含服務(wù)端證書與客戶端證書的雙向認(rèn)證機(jī)制。
12��、優(yōu)選的�����,所述非對稱密鑰算法為rsa-2048算法��,所述哈希算法為sha-256算法���。
13����、優(yōu)選的�,所述生成klm第一身份驗(yàn)證信息,包括:
14���、使用klm工作密鑰私鑰對ecu身份信息簽名,將簽名值和klm工作密鑰公鑰作為klm第一身份驗(yàn)證信息�。
15、優(yōu)選的��,所述驗(yàn)證klm第一身份驗(yàn)證信息�����,包括:
16、使用klm第一身份驗(yàn)證信息中的klm工作密鑰公鑰驗(yàn)證klm第一身份驗(yàn)證信息中的簽名值�。
17、優(yōu)選的����,所述通過硬件安全模塊生成ecu根密鑰,將私鑰安全存儲并將公鑰返回klm��,包括:
18�����、硬件安全模塊基于硬件實(shí)時(shí)溫度����、時(shí)間、電壓作為熵值生成真隨機(jī)數(shù)�,將該真隨機(jī)數(shù)作為密鑰種子;
19����、采用選定的非對稱密鑰算法基于密鑰種子進(jìn)行密鑰生成運(yùn)算,生成非對稱密鑰對作為ecu根密鑰����;
20�����、將ecu根密鑰私鑰存儲于硬件安全模塊的安全存儲單元�,將ecu根密鑰公鑰通過車載通信協(xié)議返回klm����。
21、優(yōu)選的��,所述計(jì)算klm第二身份驗(yàn)證信息����,包括:
22、使用klm工作密鑰私鑰對kms工作密鑰公鑰進(jìn)行簽名�����,將簽名值作為klm第二身份驗(yàn)證信息�。
23、優(yōu)選的�,所述ecu依次驗(yàn)證klm第二身份驗(yàn)證信息和密鑰密文簽名值����,包括:
24�����、ecu使用klm工作密鑰公鑰驗(yàn)證klm第二身份驗(yàn)證信息��;
25����、klm第二身份驗(yàn)證信息驗(yàn)證通過后��,ecu使用kms工作密鑰公鑰對密鑰密文簽名值進(jìn)行驗(yàn)證����。
26、優(yōu)選的�,所述解密密鑰密文并將明文安全存儲,包括:
27��、使用ecu根密鑰私鑰解密密鑰密文�����,將得到的密鑰明文存儲于硬件安全模塊的安全存儲單元�。
28�����、另一方面�����,本發(fā)明提出一種ecu密鑰安全灌裝系統(tǒng)�����,包括:
29����、kms模塊�����,用于執(zhí)行:通過mtls協(xié)議與klm交換證書實(shí)現(xiàn)雙向認(rèn)證��;向klm提供待灌裝密鑰清單�����;接收ecu根密鑰公鑰��;生成kms工作密鑰;向klm提供待灌裝密鑰密文及其簽名值以及kms工作密鑰公鑰���;
30、klm模塊�,用于執(zhí)行:通過mtls協(xié)議與kms建立安全連接;向kms請求待密鑰灌裝清單�����;選定算法并生成klm工作密鑰����;發(fā)送ecu根密鑰生成請求;向kms提供ecu根密鑰公鑰����;請求生成kms工作密鑰;發(fā)送密鑰灌裝請求����;生成多重身份驗(yàn)證信息,支持ecu進(jìn)行身份驗(yàn)證����;
31��、ecu模塊����,包括硬件安全模塊��,用于執(zhí)行:解析ecu根密鑰生成請求并驗(yàn)證klm身份�����,生成并安全存儲ecu根密鑰��,向klm提供ecu根密鑰公鑰���;解析密鑰灌裝請求并驗(yàn)證klm身份����,驗(yàn)證密鑰完整性并完成密鑰解密與存儲����;向klm反饋灌裝結(jié)果,其中�,所述硬件安全模塊具有安全存儲單元,通過訪問控制保障已存儲密鑰的機(jī)密性。所述訪問控制是指已寫入安全存儲單元的密鑰只能由硬件安全模塊訪問��,從硬件安全模塊外部無法讀取已寫入安全存儲單元的密鑰明文���。
32�、本發(fā)明的技術(shù)效果和優(yōu)點(diǎn):本發(fā)明提出的一種ecu密鑰安全灌裝方法及系統(tǒng)���,與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn):
33�、本發(fā)明中雙向身份認(rèn)證,采用mtls協(xié)議建立klm與kms的安全通信通道�,結(jié)合證書雙向驗(yàn)證機(jī)制,防止偽造身份攻擊����;密鑰加密傳輸,利用ecu根密鑰公鑰對密鑰明文進(jìn)行非對稱加密����,確保傳輸過程機(jī)密性;多重簽名驗(yàn)證��,通過klm工作密鑰私鑰簽名ecu身份信息���,kms工作密鑰私鑰簽名密鑰密文和klm工作密鑰私鑰簽名kms工作密鑰公鑰���,ecu兩次驗(yàn)證klm身份合法性和驗(yàn)證密鑰完整性��,保障密鑰完整性與來源合法性����;密鑰安全存儲�����,依托ecu硬件安全模塊的安全存儲單元及基于真隨機(jī)數(shù)的根密鑰生成機(jī)制�,杜絕密鑰明文暴露風(fēng)險(xiǎn)。有效解決了傳統(tǒng)密鑰灌裝過程中身份偽造��、密鑰泄露與篡改的技術(shù)難題���,實(shí)現(xiàn)了密鑰灌裝過程中安全傳輸和存儲密鑰的目標(biāo)���,顯著提升了汽車信息安全水平。