本发明专利技术实施例提供一种基于CAN总线的车载网络安全防护方法及装置,所述方法包括:获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;对各控制域中的第三目标通信数据分别进行加密处理。所述装置执行上述方法。本发明专利技术实施例提供的方法及装置,能够全面地实现对车载网络的安全防护。
A security protection method and device of vehicle network based on CAN bus
【技术实现步骤摘要】
一种基于CAN总线的车载网络安全防护方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于CAN总线的车载网络安全防护方法及装置。
技术介绍
随着电子技术的发展,汽车电子部件和系统的数量不断增加,对车载网络的可靠性和实时性提出了更高的要求。CAN总线作为车载网络系统的主流标准,具有实时性强、抗电磁干扰能力强、传输距离较远和成本低等优点,是当前在汽车上应用最广的总线网络之一。同时,随着车联网技术与产业的发展,汽车电子系统的网络化和智能化已成为汽车工业未来发展趋势,在丰富汽车功能、增强驾驶交互体验的同时,也增加了遭受恶意网络攻击的可能。现有技术实现车载网络安全防护的方法,仅仅基于某个局部能够实现安全防护,但是,由于汽车车载网络以及汽车自身的复杂性,还不能全面地实现对车载网络的安全防护。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种基于CAN总线的车载网络安全防护方法及装置。本专利技术实施例提供一种基于CAN总线的车载网络安全防护方法,包括:获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;对各控制域中的第三目标通信数据分别进行加密处理。其中,所述对所述通信数据进行接口安全防护,包括:通过防火墙对从有线接口输入的所述通信数据进行过滤;和/或,通过对无线通信网络的身份合法性进行认证,并对从无线接口输入的所述通信数据进行安全防护。其中,所述对从无线接口输入的所述通信数据进行安全防护,包括:在集成所述无线接口的设备中预先部署防火墙和入侵检测系统,并分别通过预先部署在所述设备中的防火墙和所述入侵检测系统进行网络访问控制和恶意流量检测。其中,所述对所述第一目标通信数据进行网关安全防护,包括:对所述第一目标通信数据进行加密防护。其中,所述预先划分的控制域包括:动力驱动控制域、车身控制域、ADAS控制域和信息娱乐控制域中的至少一种;相应的,所述根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据,包括:根据与所述动力驱动控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述动力驱动控制域对应的第三目标通信数据;根据与所述车身控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述车身控制域对应的第三目标通信数据;根据与所述ADAS控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述ADAS控制域对应的第三目标通信数据;根据与所述信息娱乐控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述信息娱乐控制域对应的第三目标通信数据;其中,所述动力驱动控制域、所述车身控制域、所述ADAS控制域和所述信息娱乐控制域分别对应的访问权限被配置有不同级别的访问权限。其中,所述各控制域中都包括主ECU节点和受所述主ECU节点控制的从ECU节点;相应的,所述对各控制域中的第三目标通信数据分别进行加密处理,包括:所述主ECU节点获取各从ECU节点发送的明文报文;所述主ECU节点将预先存储在本地的通信密钥和所述明文报文发送至硬件安全模块中,以供所述硬件安全模块在根据所述通信密钥和所述明文报文生成加密报文之后,发送所述加密报文至所述CAN总线;其中,所述硬件安全模块预先部署在所述基于CAN总线的车载网络安全防护方法的执行方中。其中,所述基于CAN总线的车载网络安全防护方法还包括:在车辆启动自检时进行节点认证;所述节点认证包括对车辆的ECU节点和网关自身进行身份认证;其中,所述对车辆的ECU节点和网关自身进行身份认证,包括:在所述车辆启动自检时的所述网关和所述ECU节点进行的会话过程中,基于双向挑战/应答认证机制实现对所述ECU节点和所述网关自身进行身份认证汽车启动自检时进行节点认证。本专利技术实施例提供一种基于CAN总线的车载网络安全防护装置,包括:第一安全防护单元,用于获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;第二安全防护单元,用于对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;第三安全防护单元,用于在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;第四安全防护单元,用于对各控制域中的第三目标通信数据分别进行加密处理。本专利技术实施例提供一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如下方法步骤:获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;对各控制域中的第三目标通信数据分别进行加密处理。本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;对各控制域中的第三目标通信数据分别进行加密处理。本专利技术实施例提供的基于CAN总线的车载网络安全防护方法及装置,通过获取多源的通信数据,并采用多种安全防护策略防护车载网络的安全,能够全面地实现对车载网络的安全防护。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术基于CAN总线的车载网络安全防护方法实施例流程图;图2为本专利技术实施本文档来自技高网...
【技术保护点】
1.一种基于CAN总线的车载网络安全防护方法,其特征在于,包括:/n获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;/n对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;/n在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;/n对各控制域中的第三目标通信数据分别进行加密处理。/n
【技术特征摘要】
1.一种基于CAN总线的车载网络安全防护方法,其特征在于,包括:
获取待进入CAN总线的通信数据,并对所述通信数据进行接口安全防护,以获取通过接口安全防护的第一目标通信数据;
对所述第一目标通信数据进行网关安全防护,并放行通过网关安全防护的第二目标通信数据至CAN总线的车载网络;
在所述第二目标通信数据基于所述车载网络进行的通信过程中,根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据;
对各控制域中的第三目标通信数据分别进行加密处理。
2.根据权利要求1所述的基于CAN总线的车载网络安全防护方法,其特征在于,所述对所述通信数据进行接口安全防护,包括:
通过防火墙对从有线接口输入的所述通信数据进行过滤;
和/或,通过对无线通信网络的身份合法性进行认证,并对从无线接口输入的所述通信数据进行安全防护。
3.根据权利要求2所述的基于CAN总线的车载网络安全防护方法,其特征在于,所述对从无线接口输入的所述通信数据进行安全防护,包括:
在集成所述无线接口的设备中预先部署防火墙和入侵检测系统,并分别通过预先部署在所述设备中的防火墙和所述入侵检测系统进行网络访问控制和恶意流量检测。
4.根据权利要求1所述的基于CAN总线的车载网络安全防护方法,其特征在于,所述对所述第一目标通信数据进行网关安全防护,包括:
对所述第一目标通信数据进行加密防护。
5.根据权利要求1至4任一所述的基于CAN总线的车载网络安全防护方法,其特征在于,所述预先划分的控制域包括:动力驱动控制域、车身控制域、ADAS控制域和信息娱乐控制域中的至少一种;相应的,所述根据预先划分的控制域的访问权限隔离所述第二目标通信数据,以获取与各控制域分别对应的第三目标通信数据,包括:
根据与所述动力驱动控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述动力驱动控制域对应的第三目标通信数据;
根据与所述车身控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述车身控制域对应的第三目标通信数据;
根据与所述ADAS控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述ADAS控制域对应的第三目标通信数据;
根据与所述信息娱乐控制域相对应的访问权限隔离所述第二目标通信数据,以获取与所述信息娱乐控制域对应的第三目标通信数据;其中,所述动力驱动控制...
【专利技术属性】
技术研发人员:李政,陈燕呢,王智勇,吴志敏,吴昊,李承泽,肖佃艳,范乐君,袁静,申任远,黄磊,张伟,赵怀瑾,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。