(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210068202.4 (22)申请日 2022.01.20 (71)申请人 南京飞航智驾人工智能科技有限公 司 地址 210004 江苏省南京市秦淮区汉中路 139号2004室 (72)发明人 吉骏　 (74)专利代理 机构 南京北辰联和知识产权代理 有限公司 323 50 专利代理师 于忠洲 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 12/40(2006.01) H04L 67/12(2022.01) (54)发明名称 一种基于分布式的车内网络通信安全方法 (57)摘要 本发明公开了一种基于分布式的车内网络 通信安全方法， 方法步骤包括： 首先在CAN总线与 连接的各个ECU模块之间均串联设置一个安全模 块； 在每个分布式认 证周期时间内， 当各个ECU模 块向CAN总线发送数据帧时， 由前置的安全模块 对ECU模块发送的数据帧进行加密， 当各个ECU模 块从CAN总线接收数据帧时， 由前置的安全模块 对发送往ECU模块的数据帧进行解密； 在每个分 布式认证周期时间结束时， 对各个安全模块的密 钥进行更新， 再进入下一个分布式认证周 期。 该 基于分布式的车内网络通信安全方法可以让每 个ECU在不感知任何安全相关信息的情况下， 完 成数据帧的加解密， 从而提升整个车载网络的安 全性和健壮性。 权利要求书3页 说明书6页 附图1页 CN 114448642 A 2022.05.06 CN 114448642 A 1.一种基于分布式的车内网络通信安全方法， 其特 征在于， 包括如下步骤： 首先在CAN总线与连接的各个E CU模块之间均串联设置一个安全 模块； 在每个分布式认证周期时间内， 当各个ECU模块向CAN总线发送数据帧时， 由前置的安 全模块对ECU模块发送的数据帧进行加密， 当各个ECU模块 从CAN总线接收数据帧时， 由前置 的安全模块对发送往E CU模块的数据帧进行解密； 在每个分布式认证周期时间结束时， 对各个安全模块的密钥进行更新， 再进入下一个 分布式认证周期。 2.根据权利要求1所述的基于分布式的车内网络通信安全方法， 其特征在于， 在安全模 块中存储有自身的密钥， 用于对数据帧进行加密或解密。 3.根据权利要求1所述的基于分布式的车内网络通信安全方法， 其特征在于， 安全模块 对ECU模块发送的数据帧进行加密的具体步骤为： 由ECU模块前置的安全模块对发出的数据帧根据自身保存的密钥进行加密， 然后用密 文替换原数据帧的明文数据部分； 再由安全 模块将替换后的数据帧通过CAN线缆发送到 CAN总线上。 4.根据权利要求1所述的基于分布式的车内网络通信安全方法， 其特征在于， 对发送往 ECU模块的数据帧进行解密的具体步骤为： 由CAN总线实时接收各个安全模块发送的数据帧， 并在收到数据帧后广播到CAN总线 上； 各个ECU设备前置的安全模块首先接收到广播的数据帧， 并对接收到的数据帧用保存 的密钥进行解密， 再用解密后的明文数据替换 数据帧里面的相应数据位置； 再由安全 模块将替换后的数据帧发送给后置的E CU设备。 5.根据权利要求1所述的基于分布式的车内网络通信安全方法， 其特征在于， 对各个安 全模块的密钥进行 更新的具体步骤为： 在每个分布式认证周期时间到达时， 由CAN总线上除了旧根安全模块以外的所有安全 模块通过选择算法确定出一个新 根安全模块； 在新根安全模块被选出后， 由新根安全模块根据当前时间戳和安全算法生成一组随机 数据， 再向CAN总线上广播 生成的随机数据； 在各个安全模块收到随机数据后， 由各个安全模块根据自身保存的密钥进行加密， 并 将密文加上自身的模块 ID发送至 CAN总线上； 再由新根安全模块对收到的各个密文进行解析获得当前时间戳和安全算法， 再根据当 前时间戳和安全算法判断各个安全模块的运行是否正常， 若判断出存在安全模块运行不正 常， 则新根安全模块通知复位设备对运行不 正常的安全 模块进行强制复位； 在所有安全模块判断所有安全模块的运行正常后， 新根安全模块生成最新的密钥， 并 将最新的密钥加密后通过CAN总线广播给 所有的安全 模块； 所有安全模块更新密钥， 并利用最新的密钥进行后续数据帧的收发， 直到下一次分布 式认证周期到 达后再重复上述密钥更新过程。 6.根据权利要求5所述的基于分布式的车内网络通信安全方法， 其特征在于， 通过选择 算法确定出一个新 根安全模块的具体步骤为： 首先将除了旧根 安全模块以外的所有安全 模块参与投票选举过程；权　利　要　求　书 1/3 页 2 CN 114448642 A 2再由参与投票选举过程的各个安全模块首先判断自身是否为候选根模块， 若为候选根 模块， 则将自身的候选根信息广播到CAN总线上， 候选根信息包括候选根模块的模块ID、 当 前时间戳以及上一个分布式认证周期内加解密的出错次数； 在各个安全模块收到候选根信息后， 根据收到的各个候选根信息选定一个票选候选 根， 再将票选候选根的候选根信息加入到投票信息中发送到 CAN总线上； 各个安全模块同时接收CAN总线上的全部投票信息， 并统计出当前投票周期内各个票 选候选根的票选数量； 若当前投票周期内各个安全模块均只收到同一个票选候选根的候选根信 息， 则直接将 该票选候选根确定为新根安全模块， 否则将票选数量最多的票选候选根选定为新根安全模 块。 7.根据权利要求6所述的基于分布式的车内网络通信安全方法， 其特征在于， 判断自身 是否为候选根模块的具体步骤为： 由安全模块计算自身的模块ID与旧根安全模块的模块ID的ID差值， 再判断ID差值是否 在候选阈值范围内， 若在候选阈值范围内， 则确认该安全 模块为候选根模块； 若当前投票周期内的候选根模块的个数为0， 则扩大候选阈值范围， 再由各个安全模块 继续判断自身 是否为候选根模块， 若为候选根模块， 则将自身的候选根信息广播到CA N总线 上。 8.根据权利要求7所述的基于分布式的车内网络通信安全方法， 其特征在于， 根据收到 的各个候选根信息 选定一个票选候选根的具体步骤为： 若当前投票周期内安全模块收到的候选根信 息数量超过两个， 则按照接收候选根信 息 的时间先后顺序选定最早接收的两个， 再由安全模块对两个候选根信息进 行解析确定出一 个票选候选根； 若当前投票周期内安全模块收到的候选根信 息数量为两个， 则直接由安全模块对两个 候选根信息进行解析确定出一个票选候选根。 9.根据权利要求8所述的基于分布式的车内网络通信安全方法， 其特征在于， 由安全模 块对两个候选根信息进行解析确定出票选候选根的具体步骤为： 首先根据模块ID比较各个候选根模块在上一个分布式认证周期内加解密的出错次数， 选出出错次数最少的候选根模块； 若选出了多个出错 次数相同的候选根模块， 则进一步比较各个候选根模块的当前时间 戳先后顺序， 将当前时间戳靠前的那个候选根模块确定为 票选候选根。 10.根据权利要求6所述的基于分布式的车内网络通信安全方法， 其特征在于， 在将票 选数量最多的票选候选根选定为新根安全模块时， 若票选数量最多的票选候选根有多个， 则根据各个票选候选根的候选根信息 选定出一个新 根安全模块， 具体步骤为： 选定一个票选候选根， 计算出该票选候选根的模块ID与其余票选候选根的模块ID的差 值绝对值， 再将各个差值 绝对值相加获得 该票选候选根的ID总差值； 按照上述 步骤计算出其 余各个票选候选根的ID总差值； 比较各个票选候选根的ID总差值的大小， 将ID总差值最小的票选候选根选定为新根安 全模块； 若ID总差值最小票选候选根有多个， 则进一步比较各个票选候选根在上一个分布式认权　利　要　求　书 2/3 页 3 CN 114448642 A 3