用于建立车内密码管理器的系统和方法与流程

用于建立车内密码管理器的系统和方法
1.引言在此部分中提供的信息是出于总体上呈现本公开的背景的目的。在此部分中描述的范围内的目前命名的发明人的工作以及在申请时可能原本无法作为现有技术的本说明书的方面都既不明确地也不隐含地被承认为承认本公开的现有技术。
技术领域
2.本公开涉及车辆，并且特别涉及使用密码术来保护车辆系统的完整性和操作的安全系统和方法。


背景技术：

3.包括微处理器和相关联存储器的电子控制单元(ecu)模块控制自主和手动驾驶车辆中越来越多的子系统。在常规实践中，车辆制造商从供应商处接收包含ecu模块的子系统。供应商已经将密码密钥、部件id和相关数据加载（或注入）到每一ecu模块中。然后，车辆制造商将包含ecu模块的子系统组装到车辆中。当车辆制造商知道安装在每一车辆中的特定ecu模块时，车辆制造商于是可以将额外密码材料加载或注入到车辆中的ecu模块中的每一者中。
4.在不同供应商和车辆制造商之间分发的密码材料存在明显的安全问题。另外，在将密码材料注入到ecu模块中和追踪与每一车辆相关联的密码材料中涉及的多个步骤增加了制造过程的成本。此外，车辆制造商公开密钥被放置在固件中，而无撤销或恢复方法。


技术实现要素：

5.本公开的目的是提供一种供用于包括多个车辆子系统的车辆系统中的车内加密系统。所述车内加密系统包括安全ecu模块，所述安全ecu模块被配置成与远程密码模块通信，所述安全ecu模块包括处理器和存储在所述安全ecu模块中的每车辆主秘密(pvms)值。所述安全ecu模块使用所述pvms值来与所述远程密码模块进行认证并与所述远程密码模块建立外部加密通信链路。所述车内加密系统进一步包括：第一子系统ecu模块，所述第一子系统ecu模块被配置成生成第一全局唯一标识符(guid)并将所述第一guid值传输到所述安全ecu模块；以及第二子系统ecu模块，所述第二子系统ecu模块被配置成生成第二全局唯一标识符(guid)并将所述第二guid值传输到所述安全ecu模块。所述安全ecu模块使用第一guid值来与第一子系统ecu模块建立第一加密通信链路。
6.在一个实施例中，第一子系统ecu模块被进一步配置成生成第一随机数并将所述第一随机数传输到所述安全ecu模块。
7.在另一实施例中，所述安全ecu模块进一步使用第一随机数和第一guid值两者来与第一子系统ecu模块建立第一加密通信链路。
8.在再一实施例中，所述安全ecu模块生成用于建立第一加密通信链路的第一密钥，其中所述第一密钥基于第一随机数、第一guid值和pvms值。
9.在又一实施例中，所述安全ecu模块使用第二guid值来与第二子系统ecu模块建立第二加密通信链路。
10.在进一步实施例中，第二子系统ecu模块被进一步配置成生成第二随机数并将所述第二随机数传输到所述安全ecu模块。
11.在再进一步实施例中，所述安全ecu模块进一步使用第二随机数和第二guid值两者来与第二子系统ecu模块建立第二加密通信链路。
12.在又进一步实施例中，所述安全ecu模块生成用于建立第二加密通信链路的第二密钥，其中所述第二密钥基于第二随机数、第二guid值和pvms值。
13.在一个实施例中，所述安全ecu模块被进一步配置成经由外部加密通信链路将第一guid值、第一随机数、第二guid值和第二随机数传输到密码模块。
14.在另一实施例中，第一子系统ecu模块被进一步配置成生成用于与第二子系统ecu模块建立第三加密通信链路的第三密钥，其中所述第三密钥基于第一随机数和第二guid值。
15.在再一实施例中，第二子系统ecu模块被进一步配置成生成用于与第一子系统ecu模块建立第三加密通信链路的第四密钥，其中所述第四密钥基于第二随机数和第一guid值。
16.本公开的另一目的是提供一种供用于包括多个车辆子系统的车辆系统中的车内加密方法。所述方法包括：i) 在包括处理器和存储在所述安全ecu模块中的每车辆主秘密(pvms)值的安全ecu模块中：a) 使用所述pvms值与远程密码模块进行认证；以及b) 使用所述pvms值与所述远程密码模块建立外部加密通信链路。所述方法进一步包括：ii) 在第一子系统ecu模块中，生成第一全局唯一标识符(guid)并将所述第一guid值传输到所述安全ecu模块；iii) 在第二子系统ecu模块中，生成第二全局唯一标识符(guid)并将所述第二guid值传输到所述安全ecu模块；以及 iv)在所述安全ecu模块中，使用第一guid值来与第一子系统ecu模块建立第一加密通信链路。
17.在一个实施例中，所述方法进一步包括：在第一子系统ecu模块中，生成第一随机数并将所述第一随机数传输到所述安全ecu模块。
18.在另一实施例中，所述方法进一步包括：在所述安全ecu模块中，使用第一随机数和第一guid值两者来与第一子系统ecu模块建立第一加密通信链路。
19.在再一实施例中，所述方法进一步包括：在所述安全ecu模块中，生成用于建立第一加密通信链路的第一密钥，其中所述第一密钥基于第一随机数、第一guid值和pvms值。
20.在又一实施例中，所述方法进一步包括：在所述安全ecu模块中，使用第二guid值来与第二子系统ecu模块建立第二加密通信链路。
21.在进一步实施例中，所述方法进一步包括：在第二子系统ecu模块中，生成第二随机数并将所述第二随机数传输到所述安全ecu模块。
22.在再进一步实施例中，所述方法进一步包括：在所述安全ecu模块中，使用第二随机数和第二guid值两者来与第二子系统ecu模块建立第二加密通信链路。
23.在又一实施例中，所述方法进一步包括：在所述安全ecu模块中，生成用于建立第二加密通信链路的第二密钥，其中所述第二密钥基于第二随机数、第二guid值和pvms值。
24.在另一实施例中，所述方法进一步包括：在所述安全ecu模块中，经由外部加密通
信链路将第一guid值、第一随机数、第二guid值和第二随机数传输到密码模块。
25.根据具体实施方式、权利要求书和附图，本公开的其他适用领域将变得显而易见。详细描述和特定示例仅打算用于图解目的，并且并不打算限制本公开的范围。
26.本发明提供了以下技术方案：1. 一种供用于包括多个车辆子系统的车辆系统中的车内加密系统，其包括：安全ecu模块，所述安全ecu模块被配置成与远程密码模块通信，所述安全ecu模块包括处理器和存储在所述安全ecu模块中的每车辆主秘密(pvms)值，其中所述安全ecu模块使用所述pvms值来与所述远程密码模块进行认证并与所述远程密码模块建立外部加密通信链路；第一子系统ecu模块，所述第一子系统ecu模块被配置成生成第一全局唯一标识符(guid)并将所述第一guid值传输到所述安全ecu模块；以及第二子系统ecu模块，所述第二子系统ecu模块被配置成生成第二全局唯一标识符(guid)并将所述第二guid值传输到所述安全ecu模块，其中，所述安全ecu模块使用所述第一guid值来与所述第一子系统ecu模块建立第一加密通信链路。
27.根据技术方案1所述的车内加密系统，其中，所述第一子系统ecu模块被进一步配置成生成第一随机数并将所述第一随机数传输到所述安全ecu模块。
28.根据技术方案2所述的车内加密系统，其中，所述安全ecu模块进一步使用所述第一随机数和所述第一guid值两者来与所述第一子系统ecu模块建立所述第一加密通信链路。
29.根据技术方案3所述的车内加密系统，其中，所述安全ecu模块生成用于建立所述第一加密通信链路的第一密钥，其中，所述第一密钥基于所述第一随机数、所述第一guid值和所述pvms值。
30.根据技术方案4所述的车内加密系统，其中，所述安全ecu模块使用所述第二guid值来与所述第二子系统ecu模块建立第二加密通信链路。
31.根据技术方案5所述的车内加密系统，其中，所述第二子系统ecu模块被进一步配置成生成第二随机数并将所述第二随机数传输到所述安全ecu模块。
32.根据技术方案6所述的车内加密系统，其中，所述安全ecu模块进一步使用所述第二随机数和所述第二guid值两者来与所述第二子系统ecu模块建立所述第二加密通信链路。
33.根据技术方案7所述的车内加密系统，其中，所述安全ecu模块生成用于建立所述第二加密通信链路的第二密钥，其中，所述第二密钥基于所述第二随机数、所述第二guid值和所述pvms值。
34.根据技术方案8所述的车内加密系统，其中，所述安全ecu模块被进一步配置成经由所述外部加密通信链路将所述第一guid值、所述第一随机数、所述第二guid值和所述第二随机数传输到所述远程密码模块。
35.根据技术方案9所述的车内加密系统，其中，所述第一子系统ecu模块被进一步配置成生成用于与所述第二子系统ecu模块建立第三加密通信链路的第三密钥，其中，所述第三密钥基于所述第一随机数和所述第二guid值。
36.根据技术方案10所述的车内加密系统，其中，所述第二子系统ecu模块被进一步配置成生成用于与所述第一子系统ecu模块建立所述第三加密通信链路的第四密钥，其中，所述第四密钥基于所述第二随机数和所述第一guid值。
37.一种供用于包括多个车辆子系统的车辆系统中的车内加密方法，所述方法包括：在包括处理器和存储在所述安全ecu模块中的每车辆主秘密(pvms)值的安全ecu模块中：使用所述pvms值与远程密码模块进行认证；以及使用所述pvms值与所述远程密码模块建立外部加密通信链路；在第一子系统ecu模块中，生成第一全局唯一标识符(guid)并将所述第一guid值传输到所述安全ecu模块；在第二子系统ecu模块中，生成第二全局唯一标识符(guid)并将所述第二guid值传输到所述安全ecu模块；以及在所述安全ecu模块中，使用所述第一guid值来与所述第一子系统ecu模块建立第一加密通信链路。
38.根据技术方案12所述的方法，其进一步包括：在所述第一子系统ecu模块中，生成第一随机数并将所述第一随机数传输到所述安全ecu模块。
39.根据技术方案13所述的方法，其进一步包括：在所述安全ecu模块中，使用所述第一随机数和所述第一guid值两者来与所述第一子系统ecu模块建立所述第一加密通信链路。
40.根据技术方案14所述的方法，其进一步包括：在所述安全ecu模块中，生成用于建立所述第一加密通信链路的第一密钥，其中，所述第一密钥基于所述第一随机数、所述第一guid值和所述pvms值。
41.根据技术方案15所述的方法，其进一步包括：在所述安全ecu模块中，使用所述第二guid值来与所述第二子系统ecu模块建立第二加密通信链路。
42.根据技术方案16所述的方法，其进一步包括：在所述第二子系统ecu模块中，生成第二随机数并将所述第二随机数传输到所述安全ecu模块。
43.根据技术方案17所述的方法，其进一步包括：在所述安全ecu模块中，使用所述第二随机数和所述第二guid值两者来与所述第二子系统ecu模块建立所述第二加密通信链路。
44.根据技术方案18所述的方法，其进一步包括：在所述安全ecu模块中，生成用于建立所述第二加密通信链路的第二密钥，其中，所述第二密钥基于所述第二随机数、所述第二guid值和所述pvms值。
45.根据技术方案19所述的方法，其进一步包括：在所述安全ecu模块中，经由所述外部加密通信链路将所述第一guid值、所述第一随机数、所述第二guid值和所述第二随机数传输到所述远程密码模块。
附图说明
46.根据详细描述和随附附图，本公开将得到更充分的理解，其中：图1是根据本公开的原理的包括车内密码管理器和内聚密码架构的示例性车辆系统10的功能框图。
47.图2图示根据本公开的原理的车内密码管理器和内聚密码架构的部件。
48.图3a-3h图示了根据本公开的原理的车内密码管理器和内聚密码架构的操作。
49.在附图中，附图标记可以重复用来标识类似和/或相同元件。
具体实施方式
50.本公开描述一种用于通过车内过程针对车内密码架构生成和同意密码密钥的设备和方法。这防止了密码密钥暴露给外部各方，并且简化了电子控制单元(ecu)模块的制造和车辆系统的组装。
51.所公开设备和方法利用受信任的部件和组装时间过程来建立车内密码管理器和内聚密码架构。由于大多数ecu模块不再需要从外部源注入密钥，因此这消除了密码密钥在制造和组装期间的暴露并降低了制造复杂性。这显著降低了注入密钥的成本。所公开设备和方法通过以下组合在车辆内生成部件标识符(id)和密码密钥：i) 用于生成全局唯一id的车载ecu计算； ii) ecu间密码密钥的生成；以及 iii) 车内密钥生成器。
52.图1是根据本公开的原理的包括车内密码管理器和内聚密码架构的示例性车辆系统10的功能框图。虽然本公开示出和描述了作为具有驱动器的混合动力车辆的车辆系统10，但是本公开也适用于仅并入内燃机的非混合动力车辆，适用于纯电动车辆(ev)，并且适用于无人驾驶自主车辆(av)。虽然本公开使用车辆作为示例性实施例，但是本公开也适用于非汽车实施方式，诸如船只和飞机。
53.发动机102燃烧空气/燃料混合物以生成驱动转矩。发动机控制模块(ecm) 106基于一个或多个驾驶员输入来控制发动机102。例如，ecm 106可以控制发动机致动器（诸如电子控制节流阀、一个或多个火花塞、一个或多个燃料喷射器、阀致动器、凸轮轴相位器、废气再循环(egr)阀、一个或多个进气气流增压装置以及其他合适发动机致动器）的致动。
54.发动机102可以将转矩输出到变速器110。变速器控制模块(tcm) 114控制变速器110的操作。例如，tcm 114可以控制变速器110和一个或多个转矩传递装置（例如，转矩转换器、一个或多个离合器等等）内的档位选择。
55.车辆系统10可以包括一个或多个电动马达。例如，电动马达可以在变速器内实施，如图1的示例中所示。在给定时间处，电动马达可以充当发电机抑或马达。在充当发电机时，电动马达将机械能转换成电能。所述电能可以经由电力控制装置(pcd) 来给电池充电。在充当马达时，电动马达生成补充或者替代由发动机输出的转矩的转矩。虽然提供了一个电动马达的示例，但是车辆可以包括零个或多于一个电动马达。
56.功率逆变器控制模块(pim) 134可以控制电动马达118和pcd 130。pcd 130基于来自pim 134的信号将来自电池126的（例如，直流）功率施加到（例如，交流）电动马达118，并且pcd 130将由电动马达118输出的功率提供到例如电池126。在各种实施方式中，pim 134可以称为功率逆变器模块(pim)。
57.转向控制模块140例如基于车辆内方向盘的驾驶员转弯和/或来自一个或多个车
辆控制模块的转向命令来控制车辆的车轮的转向/转弯。方向盘角度传感器(swa)监视方向盘的旋转位置，并且基于方向盘的位置生成swa 142。作为示例，转向控制模块140可以基于swa 142经由eps马达144来控制车辆转向。然而，车辆可以包括另一类型的转向系统。电子制动控制模块(ebcm) 150可以选择性地控制车辆的制动器154。
58.车辆的模块可以经由控制器局域网(can) 162共享参数。can 162也可以称为汽车局域网。例如，can 162可以包括一个或多个数据总线。各种参数可以由给定控制模块经由can 162供给另一控制模块。
59.驾驶员输入可以包括例如可以提供给ecm 106的加速器踏板位置(app) 166。制动踏板位置(bpp) 170可以提供给ebcm 150。停车、倒档、空档、驱动杆(prndl)的位置174可以提供给tcm 114。点火状态178可以提供给车身控制模块(bcm) 180。例如，点火状态178可以由驾驶员经由点火钥匙、按钮或开关输入。在给定时间处，点火状态178可以是关闭、辅助、运行或启动中的一者。
60.在车辆系统10中，执行相关联嵌入式存储器中的程序指令的嵌入式微处理器控制电子车辆子系统中的每一者的操作。此后，每一子系统中的微处理器和存储器可以统称为电子控制单元(ecu)模块。转向控制模块140、发动机控制模块106和电子制动控制模块150全部都是车辆子系统的示例。专用嵌入式ecu模块控制这些车辆子系统中的每一者。车辆子系统中的每一个ecu模块执行控制车辆系统10中的特定车辆子系统的整体操作的内核程序。内核的关键代码通常被加载到存储器的单独区域中，以防被第三方应用程序和车辆系统10的其他不太关键部分存取。
61.根据本公开的示例性实施例，车辆系统10进一步包括高级计算模块185、传感器模块188和无线收发器(xcvr)模块195。传感器模块188可以包括支持例如基本巡航控制、全速范围自适应巡航控制和/或半自主或真正自主驾驶的多个传感器。这些传感器可以包括但不限于车载gps接收器、检测靠近车辆系统10的对象（例如，其他车辆）的多个雷达检测器和多个摄像机、光检测和测距(lidar)系统、轮速传感器、方向盘角度(swa)传感器、多个加速度计等等。
62.高级计算模块185包括控制车辆系统10的许多高阶功能和低阶功能的高性能计算平台。在典型实施方式中，高级计算模块185可以被实施为微处理器和相关联存储器。像车辆子系统中的ecu模块一样，高级计算模块185也执行控制高级计算模块185的整体操作的内核程序。高级计算模块185还负责经由无线收发器模块195与外部云服务器通信。
63.根据本公开的原理，高级计算模块185包括充当车内密码管理器的主ecu模块，其与车辆子系统中的其他ecu模块通信，以便通过车内过程生成和同意密码密钥。仅主ecu模块与外部服务器通信，从而防止密码密钥暴露至外部各方，并且简化电子控制单元(ecu)模块的制造和车辆系统的组装。
64.图2图示了根据本公开的原理的车内密码管理器和密码架构的部件。所述密码架构包括远程密码模块205和后台210以及在车辆系统10的安全电子控制单元(sec ecu)模块185和多个子系统电子控制单元(ecu)模块。所述多个子系统ecu模块包括示例性子系统ecu模块240（或ecu a）和示例性子系统ecu模块250（或ecu b）。许多其他子系统ecu模块也存在于车辆系统10中。然而，为简洁起见，仅讨论两个示例性子系统ecu模块。在有利实施例中，高级计算模块185被配置成作为安全ecu模块185（或密码管理器）操作。
65.安全ecu模块185包括处理器232和相关联存储器，所述存储器存储仅与安全ecu模块185相关联并且为远程密码模块205所知的每车辆主秘密(pvms)值235。在示例性实施例中，pvms值235由q代码的图形表示。然而，这仅出于代表性目的。在实际实施例中，秘密值235可以是长主号码（诸如rsa密钥）或椭圆曲线上的点等等。安全ecu模块185使用pvms值235来向远程密码模块205认证其自身，远程密码模块205在其认证pvms值235时创建公开密钥证书220。根据本公开的原理，pvms值235是用于与远程密码模块205通信的唯一加密密钥，并且是与远程密码模块205知道的车辆系统10相关联的唯一密码密钥。
66.子系统ecu a模块240包括处理器242和相关联存储器。子系统ecu a模块240被配置成生成全局唯一标识符(guid) 271，全局唯一标识符(guid) 271用于创建与安全ecu模块185建立安全通信链路261的安全密钥。子系统ecu b模块250还包括处理器252和相关联存储器。子系统ecu b模块250被配置成生成全局唯一标识符(guid) 272，全局唯一标识符(guid) 272用于创建与安全ecu模块185建立安全通信链路262的安全密钥。最后，子系统ecu a模块240和子系统ecu b模块250被配置成生成用于安全通信链路281上的车内密钥交换的额外安全密钥。安全ecu模块185、子系统ecu a模块240和子系统ecu b模块250通过控制器局域网(can) 162使用通信链路261、262和281相互通信。替代地，所述模块可以通过本地以太网或avb网络通信。
67.图3a-3h图示了根据本公开的原理的车内密码管理器和密码架构的操作。最初，在图3a中，安全ecu模块185在305中将其pvms值235传输到车辆制造商的后台210以供由远程密码模块205认证。远程密码模块205存储与由车辆制造商制造的每一辆车辆系统10中的每一个安全ecu模块185相关联的pvms值235。以此方式，远程密码模块205需要仅一个机密或秘密值来认证车辆系统10及其所有子系统。
68.接下来，在图3b中，远程密码模块205在310中将公开密钥证书310传输到车辆系统10中的安全ecu模块185。此后，安全ecu模块185使用公开密钥证书310来加密与远程密码模块205的通信。公开密钥证书是证明公开密钥的所有权的数据文件或文档。所述证书包括关于密钥的信息、密钥所有者（主体）的身份以及已经验证证书的内容的实体（颁发者）的数字签名。如果签名有效，则颁发者使用所述密钥来与证书的主体安全地通信。
69.在图3c中，所述子系统ecu模块中的每一者使用存储在子系统ecu模块中的数据生成全局唯一标识符(guid)值。在320中，子系统ecu a模块240生成guid_a值。在325中，子系统ecu b模块240生成guid_b值。在示例性实施例中，子系统ecu模块使用制造商数据（诸如子系统ecu模块序列号、子系统ecu模块制造商名称、子系统ecu模块的型号或类型等等）生成其相应guid值。该制造商数据对于两个不同子系统ecu模块决不相同。以此方式，用于生成每个guid值的算法使用确保每个子系统ecu模块是能够生成其特定guid值的唯一一个子系统ecu模块的唯一数据集。
70.在图3d中，每个子系统ecu模块生成随机数并与安全ecu模块185通信，从而使用其guid值和其生成的随机数识别其自身。通过示例，在330中，子系统ecu a模块240将guid_a值和随机数r_a传输到安全ecu模块185。在335，子系统ecu b模块240将guid_b值和随机数r_b传输到安全ecu模块185。
71.接下来，在340中，安全ecu模块185将每个子系统ecu模块的身份以及相关guid值和随机数传输到远程密码模块205。因此，例如，安全ecu模块185识别子系统ecu a模块240、
其guid_a值及其相关联随机数r_a。安全ecu模块185还识别子系统ecu b模块250以及其guid_b值及其相关联随机数r_b。安全ecu模块185针对车辆系统10中的所有其他子系统ecu模块重复该过程。
72.在车辆系统10在制造设施中的组装过程期间，安全ecu模块185向密码模块205报告安装在每个车辆系统10中的所有子系统ecu模块。为实现此，对于每个车辆系统10，安全ecu模块185针对每个子系统ecu模块传输车辆识别号(vin)和秘密信息。
73.在图3e和图3f中，远程密码模块205和后台210在345中对照制造商组装(asm)数据验证每个子系统ecu模块的guid值。后台210使用每个子系统ecu模块的身份（例如，制造商和零件号）来验证每个子系统ecu模块的guid值是否匹配制造商数据值。假定验证了所有子系统ecu模块，后台210在350中验证与车辆系统185相关联的所有子系统模块的合法性。
74.此时，一组已知子系统ecu模块和已知安全ecu模块与车辆系统10相关联。随后，如果在车辆系统10上实施车辆服务，则远程密码模块205接收更换部件的更新。例如，如果汽车经销商更换车辆系统10中的信息娱乐系统，则安全ecu模块185可以将新信息娱乐系统中的替换子系统ecu模块的guid值和随机数值发送到远程密码模块205和后台210。
75.在图3g中，后台210可以在355中计算和存储从子系统ecu模块接收的随机数r_a、r_b、
……
、r_n。安全ecu模块185在360中使用密钥导出函数(kdf)针对每个子系统ecu模块生成密钥。kdf针对特定子系统ecu模块基于所述子系统ecu模块的guid、pvms 235和所述子系统ecu模块的随机数来生成密钥k。例如，用于加密安全ecu模块185与子系统ecu a模块240之间的通信的密钥k_a被确定为k_a = kdf(guid_a, pvms 235, r_a)。在生成密钥之后，安全ecu模块185在365中将密钥k_a传输到子系统ecu a模块240，并且在370中将密钥k_b传输到子系统ecu b模块250。
76.最后，子系统ecu a模块240和子系统ecu b模块250生成用于加密彼此的通信的唯一密钥。举例来说，子系统ecu a模块240可以基于其自己的密钥k_a和子系统ecu b模块250的guid_b使用密钥导出函(kdf)来生成用于与子系统ecu b模块250通信的密钥。类似地，子系统ecub模块250将基于其自己的密钥k_b和子系统ecu a模块240的guid_a使用密钥导出函数(kdf)来生成用于与子系统ecu a模块240通信的密钥。以此方式，所述子系统ecu模块具有仅其可以读取的彼此的加密通信链路。
77.前面的描述本质上仅仅是说明性的，并决不旨在限制本公开、其应用或用途。本公开的广泛教导可以以多种形式实施。因此，尽管本公开包括特定示例，但是本公开的真实范围不应该如此限制，因为在研究附图、说明书和所附权利要求后，其他修改将变得明显。应当理解，在不更改本公开的原理的情况下，方法中的一个或多个步骤可以以不同的顺序（或同时）执行。此外，尽管每个实施例在上面被描述为具有某些特征，但是关于本公开的任何实施例描述的那些特征中的任何一个或多个可以在任何其他实施例中实施和/或与任何其他实施例的特征相结合，即使该结合没有被明确描述。换句话说，所描述的实施例并不相互排斥，并且一个或多个实施例彼此的置换仍在本公开的范围内。
78.使用各种术语来描述元件（例如，模块、电路元件、半导体层等之间）之间的空间和功能关系，包括“连接的”、“接合的”、“耦合的”、“相邻的”、“紧挨着的”、“在
……
顶部上”、“上方”、“下方”和“设置的”。除非明确描述为“直接的”，否则当在上述公开中描述第一和第二元件之间的关系时，该关系可以是在第一和第二元件之间不存在其他介入元件的直接关
系，但是也可以是在第一和第二元件之间存在一个或多个介入元件（空间上抑或功能上）的间接关系。如本文所用，短语“a、b和c中的至少一者”应被解释为意指使用非排他性逻辑“或”来表示逻辑“a或b或c”，并且不应解释为意指“a中的至少一个、b中的至少一个和c中的至少一个”。
79.在图中，如由箭头所指示的箭头方向通常表示对图示所关注的信息流（诸如数据或指令）。例如，当元件a和元件b交换各种信息、但是从元件a传输到元件b的信息与图示相关时，箭头可以从元件a指向元件b。这个单向箭头并不意味着没有其他信息从元件b传输到元件a。此外，对于从元件a发送到元件b的信息，元件b可以向元件a发送对信息的请求或接收确认。
80.在本技术中，包括下面的定义，术语“模块”或术语“控制器”可以用术语“电路”代替。术语“模块”或术语“控制器”可以指、是其一部分或包括：专用集成电路（asic）；数字、模拟或混合模拟/数字离散电路；数字、模拟或混合模拟/数字集成电路；组合逻辑电路；现场可编程门阵列（fpga）；执行代码的处理器电路（共享、专用或组）；存储由处理器电路执行的代码的存储器电路（共享、专用或组）；提供所述功能的其他合适的硬件部件；或者上述的一些或全部的组合，诸如在片上系统中。
81.模块或控制器可以包括一个或多个接口电路。在一些示例中，接口电路可以包括连接到局域网（lan）、互联网、广域网（wan）或其组合的有线或无线接口。本公开的任何给定模块的功能可以分布在经由接口电路连接的多个模块中。例如，多个模块可能允许负载平衡。在另外的示例中，服务器（也称为远程或云）模块可以代表客户端模块完成一些功能。
82.如上所述，术语“代码”可以包括软件、固件和/或微码，并且可以指程序、例程、函数、类、数据结构和/或对象。术语“共享处理器电路”涵盖执行一些或所有来自多个模块的代码的单个处理器电路。术语“组处理器电路”涵盖结合附加的处理器电路执行来自一个或多个模块的一些或所有代码的处理器电路。对“多个处理器电路”的引用涵盖分立管芯上的多个处理器电路、单个管芯上的多个处理器电路、单个处理器电路的多个内核、单个处理器电路的多个线程或以上各者的组合。术语“共享存储器电路”涵盖存储来自多个模块的一些或全部代码的单个存储器电路。术语“组存储器电路”涵盖与附加存储器结合存储来自一个或多个模块的部分或全部代码的存储器电路。
83.术语“存储器电路”是术语计算机可读介质的子集。如本文使用的术语“计算机可读介质”不涵盖通过介质（诸如在载波上）传播的瞬态电信号或电磁信号；因此，术语“计算机可读介质”可以被认为是有形的和非暂时性的。非暂时性有形计算机可读介质的非限制性示例是非易失性存储器电路（诸如闪存电路、可擦除可编程只读存储器电路或屏蔽只读存储器电路）、易失性存储器电路（诸如静态随机存取存储器电路或动态随机存取存储器电路）、磁存储介质（诸如模拟或数字磁带或硬盘驱动器）和光存储介质（诸如cd、dvd或蓝光光盘）。
84.本技术中描述的设备和方法可以部分或全部由专用计算机实施，该专用计算机通过配置通用计算机来执行计算机程序中包含的一个或多个特定功能而创建。上文描述的功能框、流程图部件和其他元件用作软件规范，其可以通过熟练的技术人员或程序员的日常工作将其翻译成计算机程序。
85.计算机程序包括存储在至少一个非暂时性有形计算机可读介质上的处理器可执
行指令。计算机程序还可以包括或依赖于存储的数据。计算机程序可以涵盖与专用计算机的硬件交互的基本输入/输出系统（bios）、与专用计算机的特定装置交互的装置驱动程序、一个或多个操作系统、用户应用程序、后台服务、后台应用程序等。
86.计算机程序可以包括：（i）待解析的描述性文本，诸如html（超文本标记语言）、xml（可扩展标记语言）或json（javascript object notation）（ii）汇编代码，（iii）由编译器从源代码生成的目标代码，（iv）由解释器执行的源代码，（v）由及时编译器编译和执行的源代码，等等。仅作为示例，源代码可以使用来自以下语言的语法编写：c、c++、c#、objective-c、swift、haskell、go、sql、r、lisp、java
®
、fortran、perl、pascal、curl、ocaml、javascript
®
、html5（超文本标记语言第五修订版）、ada、asp（活动服务器页面）、php （php：超文本预处理器）、scala、eiffel、smalltalk、erlang、ruby、flash
®
、visual basic
®
、lua、matlab、simulink和python
®
。

技术特征：
1.一种供用于包括多个车辆子系统的车辆系统中的车内加密系统，其包括：安全ecu模块，所述安全ecu模块被配置成与远程密码模块通信，所述安全ecu模块包括处理器和存储在所述安全ecu模块中的每车辆主秘密(pvms)值，其中所述安全ecu模块使用所述pvms值来与所述远程密码模块进行认证并与所述远程密码模块建立外部加密通信链路；第一子系统ecu模块，所述第一子系统ecu模块被配置成生成第一全局唯一标识符(guid)并将所述第一guid值传输到所述安全ecu模块；以及第二子系统ecu模块，所述第二子系统ecu模块被配置成生成第二全局唯一标识符(guid)并将所述第二guid值传输到所述安全ecu模块，其中，所述安全ecu模块使用所述第一guid值来与所述第一子系统ecu模块建立第一加密通信链路。2.根据权利要求1所述的车内加密系统，其中，所述第一子系统ecu模块被进一步配置成生成第一随机数并将所述第一随机数传输到所述安全ecu模块。3.根据权利要求2所述的车内加密系统，其中，所述安全ecu模块进一步使用所述第一随机数和所述第一guid值两者来与所述第一子系统ecu模块建立所述第一加密通信链路。4.根据权利要求3所述的车内加密系统，其中，所述安全ecu模块生成用于建立所述第一加密通信链路的第一密钥，其中，所述第一密钥基于所述第一随机数、所述第一guid值和所述pvms值。5.根据权利要求4所述的车内加密系统，其中，所述安全ecu模块使用所述第二guid值来与所述第二子系统ecu模块建立第二加密通信链路。6.根据权利要求5所述的车内加密系统，其中，所述第二子系统ecu模块被进一步配置成生成第二随机数并将所述第二随机数传输到所述安全ecu模块。7.根据权利要求6所述的车内加密系统，其中，所述安全ecu模块进一步使用所述第二随机数和所述第二guid值两者来与所述第二子系统ecu模块建立所述第二加密通信链路。8.根据权利要求7所述的车内加密系统，其中，所述安全ecu模块生成用于建立所述第二加密通信链路的第二密钥，其中，所述第二密钥基于所述第二随机数、所述第二guid值和所述pvms值。9.根据权利要求8所述的车内加密系统，其中，所述安全ecu模块被进一步配置成经由所述外部加密通信链路将所述第一guid值、所述第一随机数、所述第二guid值和所述第二随机数传输到所述远程密码模块。10.根据权利要求9所述的车内加密系统，其中，所述第一子系统ecu模块被进一步配置成生成用于与所述第二子系统ecu模块建立第三加密通信链路的第三密钥，其中，所述第三密钥基于所述第一随机数和所述第二guid值。

技术总结
一种供用于包括多个车辆子系统的车辆中的车内加密系统。所述系统包括安全ECU模块，安全ECU模块与远程密码模块通信，所述安全ECU模块包括处理器和存储在安全ECU模块中的每车辆主秘密(PVMS)值。安全ECU模块使用PVMS值来与远程密码模块进行认证并与远程密码模块建立外部加密通信链路。该系统进一步包括生成第一全局唯一标识符(GUID)的第一子系统ECU模块和生成第二GUID的第二子系统ECU模块。安全ECU模块使用第一GUID值来与第一子系统ECU模块建立第一加密通信链路。第一加密通信链路。第一加密通信链路。


技术研发人员：J
受保护的技术使用者：通用汽车环球科技运作有限责任公司
技术研发日：2022.04.29
技术公布日：2022/11/1