一种处理报文的方法及装置制造方法及图纸

本发明专利技术提供了一种处理报文的方法及装置，该方法包括：接收由第一ECU发送至目标端口的待处理报文；解析待处理报文的数据链路层数据和网络IP层数据，以得到至少一条待匹配字段；将待匹配字段与相应的过滤规则进行匹配，获取匹配结果；根据由各条待匹配字段与相应的过滤规则进行匹配所得到的匹配结果，确定允许待处理报文通过或者丢弃待处理报文。本方案中，在接收到待处理报文时，解析待处理报文的数据链路层数据和网络IP层数据，得到至少一条待匹配字段。利用过滤规则对待匹配字段进行匹配，并根据匹配结果确定允许待处理报文通过或者丢弃待处理报文，以实现对数据链路层数据的过滤，提高车载网络系统的安全性。提高车载网络系统的安全性。提高车载网络系统的安全性。

【技术实现步骤摘要】
一种处理报文的方法及装置


[0001]本专利技术涉及通信
，具体涉及一种处理报文的方法及装置。

技术介绍

[0002]目前车载网络系统主要由车内交换网络中的多个电子控制单元(Electronic Control Unit，ECU)组成，为保证车载网络系统的安全，需要对ECU所接收到的数据进行过滤以防止网络攻击。
[0003]目前对ECU接收到的数据进行过滤的方式包括：在网络IP层中设置诸如Iptables的防火墙软件，在网络IP层对ECU接收到的数据进行过滤。但是，目前的防火墙软件只针对网络IP层数据进行过滤，无法对车载网络系统的数据链路层数据进行过滤，不能有效防止数据链路层数据的攻击，导致车载网络系统的安全性较差。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种处理报文的方法及装置，以解决现有防火墙软件不能有效防止数据链路层数据的攻击从而导致车载网络系统的安全性较差的问题。
[0005]为实现上述目的，本专利技术实施例提供如下技术方案：
[0006]本专利技术实施例第一方面公开一种处理报文的方法，所述方法包括：
[0007]接收由第一ECU发送至目标端口的待处理报文，其中，所述目标端口为第二ECU与车内交换网络连接的端口，与所述车内交换网络连接的每个ECU均设置有相应的链路层防火墙，各个ECU接收到的报文由其它ECU发送，所述待处理报文由所述第一ECU发送至所述第二ECU，所述待处理报文由所述第二ECU的链路层防火墙进行过滤；
[0008]解析所述待处理报文的数据链路层数据和网络IP层数据，以得到至少一条待匹配字段；
[0009]将所述待匹配字段与相应的过滤规则进行匹配，获取匹配结果；
[0010]在所有所述匹配结果均指示匹配失败的情况下，或者，在部分所述匹配结果指示匹配成功，且指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为允许所述待处理报文通过的情况下，根据预设的缺省规则处理所述待处理报文，所述缺省规则为允许所述待处理报文通过或丢弃所述待处理报文；
[0011]在任意所述匹配结果指示匹配成功的情况下，若指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为丢弃所述待处理报文，丢弃所述待处理报文；
[0012]在所有所述匹配结果均指示匹配成功的情况下，若指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为允许所述待处理报文通过，允许所述待处理报文通过并记录所述待处理报文的日志。
[0013]优选的，接收由第一ECU发送至目标端口的待处理报文之前，所述方法还包括：
[0014]将与所述车内交换网络连接的各个ECU的MAC地址记录到MAC地址列表，以及将所述各个ECU的IP地址记录到IP地址列表，其中，MAC地址分为源MAC地址和目的MAC地址，IP地
址分为源IP地址和目的IP地址，所述MAC地址列表中至少包括：记录了源MAC地址的源MAC地址列表；所述IP地址列表至少包括：记录了源IP地址的源IP地址列表；
[0015]至少根据所述MAC地址列表和所述IP地址列表，设置所述第二ECU的类型对应的过滤规则，以用于检测待处理报文中不同域的值；
[0016]其中，所述待处理报文中不同域的值至少分别为源MAC地址、目的MAC地址、源IP地址和目的IP地址；不同的所述过滤规则可分别用于检测所述待处理报文的源MAC地址、目的MAC地址、源IP地址和目的IP地址；每条所述过滤规则预先设定动作，每条所述过滤规则所设定的动作为丢弃待处理报文或允许所述待处理报文通过，所述第二ECU为通信盒子TBOX或除通信盒子TBOX以外的其它ECU。
[0017]优选的，解析所述待处理报文的数据链路层数据和网络IP层数据，以得到至少一条待匹配字段，包括：
[0018]解析待处理报文的数据链路层数据以获取MAC报文头，及解析所述待处理报文的网络IP层数据以获取IP报文头；
[0019]分别提取所述MAC报文头中的第一目的MAC地址和第一源MAC地址以作为待匹配字段，及分别提取所述IP报文头中的第一目的IP地址和第一源IP地址以作为待匹配字段；
[0020]其中，调用查找程序查找所述待处理报文中的内容以得到所述MCA报文头和所述MCA报文头中各个域的值，调用查找程序查找所述待处理报文中的内容以得到所述IP报文头和所述IP报文头中各个域的值，所述MAC报文头中各个域的值至少为所述第一目的MAC地址和所述第一源MAC地址，所述IP报文头中各个域的值至少为所述第一目的IP地址和所述第一源IP地址。
[0021]优选的，将所述待匹配字段与相应的过滤规则进行匹配，获取匹配结果，包括：
[0022]将所述第一目的MAC地址与目的MAC过滤规则中的第二目的MAC地址进行匹配，获取相应的匹配结果；
[0023]将所述第一源MAC地址与源MAC过滤规则中的第二源MAC地址进行匹配，获取相应的匹配结果；
[0024]将所述第一目的IP地址与目的IP过滤规则中的第二目的IP地址进行匹配，获取相应的匹配结果；
[0025]将所述第一源IP地址与源IP过滤规则中的第二源IP地址进行匹配，获取相应的匹配结果；
[0026]将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配，获取相应的匹配结果，其中，所述第二源MAC地址和所述第二源IP地址具有绑定关系。
[0027]优选的，将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配，获取相应的匹配结果，包括：
[0028]将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配；
[0029]若所述第一源MAC地址与所述第二源MAC地址一致，且所述第一源IP地址与所述第二源IP地址一致，获取指示匹配成功的匹配结果，记录所述绑定关系过滤规则设定的动作；
[0030]若所述第一源MAC地址与所述第二源MAC地址不一致，和/或，若所述第一源IP地址
与所述第二源IP地址不一致，获取指示匹配失败的匹配结果，根据预设的缺省规则处理所述待处理报文，所述缺省规则为允许所述待处理报文通过或丢弃所述待处理报文。
[0031]优选的，允许所述待处理报文通过并记录所述待处理报文的日志之后，所述方法还包括：
[0032]将所述待处理报文发送至网络协议栈或网络硬件以进行相关逻辑处理。
[0033]优选的，链路层防火墙为EBPF链路层防火墙，
[0034]设置所述第二ECU的类型对应的过滤规则的过程，包括：
[0035]响应于在EBPF链路层防火墙对应的EBPF软件中输入的设置指令，基于所述设置指令所携带的命令行，生成与第二ECU的类型对应的过滤规则，其中，每条所述过滤规则包含匹配字段和动作，所述匹配字段用于检测待处理报文是否与过本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种处理报文的方法，其特征在于，所述方法包括：接收由第一ECU发送至目标端口的待处理报文，其中，所述目标端口为第二ECU与车内交换网络连接的端口，与所述车内交换网络连接的每个ECU均设置有相应的链路层防火墙，各个ECU接收到的报文由其它ECU发送，所述待处理报文由所述第一ECU发送至所述第二ECU，所述待处理报文由所述第二ECU的链路层防火墙进行过滤；解析所述待处理报文的数据链路层数据和网络IP层数据，以得到至少一条待匹配字段；将所述待匹配字段与相应的过滤规则进行匹配，获取匹配结果；在所有所述匹配结果均指示匹配失败的情况下，或者，在部分所述匹配结果指示匹配成功，且指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为允许所述待处理报文通过的情况下，根据预设的缺省规则处理所述待处理报文，所述缺省规则为允许所述待处理报文通过或丢弃所述待处理报文；在任意所述匹配结果指示匹配成功的情况下，若指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为丢弃所述待处理报文，丢弃所述待处理报文；在所有所述匹配结果均指示匹配成功的情况下，若指示匹配成功的所述匹配结果对应的所述过滤规则设定的动作为允许所述待处理报文通过，允许所述待处理报文通过并记录所述待处理报文的日志。2.根据权利要求1所述的方法，其特征在于，接收由第一ECU发送至目标端口的待处理报文之前，所述方法还包括：将与所述车内交换网络连接的各个ECU的MAC地址记录到MAC地址列表，以及将所述各个ECU的IP地址记录到IP地址列表，其中，MAC地址分为源MAC地址和目的MAC地址，IP地址分为源IP地址和目的IP地址，所述MAC地址列表中至少包括：记录了源MAC地址的源MAC地址列表；所述IP地址列表至少包括：记录了源IP地址的源IP地址列表；至少根据所述MAC地址列表和所述IP地址列表，设置所述第二ECU的类型对应的过滤规则，以用于检测待处理报文中不同域的值；其中，所述待处理报文中不同域的值至少分别为源MAC地址、目的MAC地址、源IP地址和目的IP地址；不同的所述过滤规则可分别用于检测所述待处理报文的源MAC地址、目的MAC地址、源IP地址和目的IP地址；每条所述过滤规则预先设定动作，每条所述过滤规则所设定的动作为丢弃待处理报文或允许所述待处理报文通过，所述第二ECU为通信盒子TBOX或除通信盒子TBOX以外的其它ECU。3.根据权利要求2所述的方法，其特征在于，解析所述待处理报文的数据链路层数据和网络IP层数据，以得到至少一条待匹配字段，包括：解析待处理报文的数据链路层数据以获取MAC报文头，及解析所述待处理报文的网络IP层数据以获取IP报文头；分别提取所述MAC报文头中的第一目的MAC地址和第一源MAC地址以作为待匹配字段，及分别提取所述IP报文头中的第一目的IP地址和第一源IP地址以作为待匹配字段；其中，调用查找程序查找所述待处理报文中的内容以得到所述MCA报文头和所述MCA报文头中各个域的值，调用查找程序查找所述待处理报文中的内容以得到所述IP报文头和所述IP报文头中各个域的值，所述MAC报文头中各个域的值至少为所述第一目的MAC地址和所
述第一源MAC地址，所述IP报文头中各个域的值至少为所述第一目的IP地址和所述第一源IP地址。4.根据权利要求3所述的方法，其特征在于，将所述待匹配字段与相应的过滤规则进行匹配，获取匹配结果，包括：将所述第一目的MAC地址与目的MAC过滤规则中的第二目的MAC地址进行匹配，获取相应的匹配结果；将所述第一源MAC地址与源MAC过滤规则中的第二源MAC地址进行匹配，获取相应的匹配结果；将所述第一目的IP地址与目的IP过滤规则中的第二目的IP地址进行匹配，获取相应的匹配结果；将所述第一源IP地址与源IP过滤规则中的第二源IP地址进行匹配，获取相应的匹配结果；将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配，获取相应的匹配结果，其中，所述第二源MAC地址和所述第二源IP地址具有绑定关系。5.根据权利要求4所述的方法，其特征在于，将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配，获取相应的匹配结果，包括：将所述第一源MAC地址和所述第一源IP地址分别与绑定关系过滤规则中的第二源MAC地址和第二源IP地址进行匹配；若所述第一源MAC地址与所述第二源MAC地址一致，且所述第一源IP地址与所述第二源IP地址一致，获取指示匹配成功的匹配结果，记录所述绑定关系过滤规则设定的动作；若所述第一源MAC地址与所述第二源MAC地址不一致，和/或，若所述第一源IP地址与所述第二源IP地址不一致，获取指示匹配失败的匹配结果，根据预设的缺省规则处理所述待处理报文，所述缺省规则为允许所述待处理报文通过或丢弃所述待处理报文。6.根据权利要求1所述的方法，其特征在于，允许所述待处理报文通过并记录所述待处理报文的日志之后，所述方法还包括：将所述待处理报文发送至网络协议栈或网络硬件以进行相关逻辑处理。7.根据权利要求2所述的方法，其特征在于，链路层防火墙为EBPF链路层防火墙，设置所述第二ECU的类...

【专利技术属性】
技术研发人员：杨孙永，武剑，梁琼，郭卫华，
申请(专利权)人：北京经纬恒润科技股份有限公司，
类型：发明
国别省市：