(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111671376.1 (22)申请日 2021.12.31 (71)申请人 网络通信与安全紫金山实验室 地址 211100 江苏省南京市江宁区秣周东 路9号 申请人 国家数字交换系统工程 技术研究中 心 (72)发明人 张震　刘涵　刘少勋　于婧　段通　 仝国利　胡涛　 (74)专利代理 机构 江苏圣典律师事务所 32 237 专利代理师 梅学兵 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/40(2006.01) G07C 5/00(2006.01)G07C 5/08(2006.01) (54)发明名称 一种Tbox裁决方法及装置 (57)摘要 本发明公开了一种Tbox裁决方法及装置， 其 中Tbox裁决方法包括： 接收多个执行体下发的携 带更新消息的CAN报文； 将对应执行体的CAN报 文 与协议信息一起封装成Tbox更新事件消息， 并送 入裁决队列； 确定多个执行体的通信流水号是否 一致， 如果不一致， 将流水号最小的元素移出 队 列， 如果一致， 则对所述CAN报文进行裁决； 根据 裁决结果确定所述CAN报文是否为异常表项； 该 Tbox裁决方法仅可以通过异常CAN报文发现攻击 者的篡改Tbox数据行为， 抵御基于CAN协议软件 漏洞或后门实施的攻击， 还满足了Tbox对实时性 和可靠性的要求， 并支持多种Tbox裁决模式， 可 以根据需求进行相应 配置。 权利要求书2页 说明书5页 附图1页 CN 114531269 A 2022.05.24 CN 114531269 A 1.一种Tbox裁决方法， 其特 征在于， 包括： 接收多个执 行体下发的携带业 务信息的CAN报文； 将对应执 行体的CAN报文与协议信息一 起封装成Tbox更新事 件消息， 并送入裁决队列； 其中， 所述协议信息包括 通信流水号； 确定多个执行体的通信流水号是否一致， 如果不一致， 将流水号最小的元素移出队列， 如果一致， 则对所述CAN报文 进行裁决； 根据裁决结果确定所述CAN报文是否为异常表项， 若是则修改对应执行体的可信程度 并修正该执行体配置的权 重， 重新裁决， 否则输出裁决结果。 2.根据权利要求1所述的Tbox裁决方法， 其特征在于： 所述协议信息还包括执行体标识 id、 业务消息id、 时间戳和裁决数据长度中的一项或多 项。 3.根据权利要求1所述的Tbox裁决方法， 其特征在于： 在将对应执行体的CAN报文与协 议信息一起封装成Tbox更新事件消 息的同时判断是否开启了Tbox特权模式， 如果开启， 则 根据所述CAN报文生成更新指令， 并下发到Tbox的输出接口， Tbox的输出接口下发至各个 ECU执行。 4.根据权利要求1所述的Tbox裁决方法， 其特征在于， 在根据裁决结果确定所述CAN报 文是为异常表项 时， 判断所述CAN报文是否属于Tbox特权模式， 若是则根据异常CAN报文的 内容来实施相应的恢复方案 。 5.根据权利要求4所述的Tbox裁决方法， 其特征在于： 根据异常CAN报文 的内容来实施 相应的恢复方案， 进一 步包括： 若异常CAN报文的内容是 添加新配置， 则恢复方案为从输出接口删除该配置； 若异常CAN报文的内容是更新配置， 则恢复方案是先从输出接口删除该配置， 然后从 Tbox回收缓存中搜索原先的配置并将其下发到 输出接口； 若异常CAN报文 的内容是删除配置， 则从Tbox回收缓存中搜索原先的配置并重新将其 下发到输出接口。 6.根据权利要求1所述的Tbox裁决方法， 其特征在于： 对所述CAN报文进行裁决进一步 包括： 根据自适应一致性表决算法对所述CAN报文进 行裁决， 票数多的Tbox表项将为裁决结 果。 7.根据权利要求6所述的Tbox裁决方法， 其特征在于： 若票数相同， 根据执行体的历史 裁决结果或可信度因素进行加权处 理后再进行二次裁决。 8.一种Tbox裁决装置， 其特 征在于， 包括： 接收单元， 用于接收多个执 行体下发的携带 更新消息的CAN报文； 封装单元， 将对应执行体的CAN报文与协议信息一起封装成Tbox更新事件消息， 并送入 裁决队列； 其中， 所述协议信息包括 通信流水号； 裁决单元， 用于确定多个执行体的通信流水号是否一致， 如果不一致， 将流水号最小的 元素移出队列， 如果 一致， 则对所述CAN报文 进行裁决； 修正单元， 用于根据裁决结果确定所述CAN报文是否为异常表项， 若是则修改对应执行 体的可信程度并修 正该执行体配置的权 重， 重新裁决， 否则输出裁决结果。 9.根据权利要求8所述的Tbox裁决装置， 其特 征在于， 还 包括： 判断单元， 用于判断是否开启了Tbox特权模式， 如果开启， 则根据所述CAN报文生成更权　利　要　求　书 1/2 页 2 CN 114531269 A 2新指令， 并下发到Tbox的输出接口， Tbox的输出接口下发至各个E CU执行。 10.根据权利 要求8所述的Tbox裁决装置， 其特征在于， 在根据裁决结果确定所述CAN报 文是为异常表项 时， 判断所述CAN报文是否属于Tbox特权模式， 若是则根据异常CAN报文的 内容来实施相应的恢复方案 。 11.根据权利要求10所述的Tbox裁决装置， 其特征在于： 根据异常CAN报文 的内容来实 施相应的恢复方案， 进一 步包括： 若异常CAN报文的内容是 添加新配置， 则恢复方案为从输出接口删除该配置； 若异常CAN报文的内容是更新配置， 则恢复方案是先从输出接口删除该配置， 然后从 Tbox回收缓存中搜索原先的配置并将其下发到 输出接口； 若异常CAN报文 的内容是删除配置， 则从Tbox回收缓存中搜索原先的配置并重新将其 下发到输出接口。 12.根据权利 要求8所述的Tbox裁决装置， 其特征在于： 对所述CAN报文进行裁决进一步 包括： 根据自适应一致性表决算法对所述CAN报文进 行裁决， 票数多的Tbox表项将为裁决结 果。 13.根据权利要求12所述的Tbox裁决装置， 其特征在于： 若票数相同， 根据执行体的历 史裁决结果或可信度因素进行加权处 理后再进行二次裁决。 14.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的一种Tbox裁决方法 的步骤。权　利　要　求　书 2/2 页 3 CN 114531269 A 3