一种车载CAN网络防火墙实现方法技术

本发明专利技术公开了一种车载CAN网络防火墙实现方法，将CAN控制器从CAN总线上接收到的报文和CAN协议栈发送的报文按照预设规则进行检查；通过规则检查的接收报文将发送给CAN协议栈进行解析处理，通过规则检查的发送报文将通过CAN控制器发送到CAN总线；未通过规则检查的报文被CAN网络防火墙拦截丢弃，将拦截的报文和违反的规则信息记录到CAN网络防火墙日志中进行安全存储，同时上报信息安全事件到宿主控制器的事件管理软件模块，用于记录故障码和发送信息安全事件报文到车载通信终端，由车载通信终端上报到车辆管理平台；防火墙部署到车辆各控制器中，满足车辆CAN网络信息安全需求，有效防护车辆入侵和攻击。防护车辆入侵和攻击。防护车辆入侵和攻击。

【技术实现步骤摘要】
一种车载CAN网络防火墙实现方法


[0001]本专利技术涉及一种车载网络防火墙，尤其是涉及一种使用于车载信息技术上的车载CAN网络防火墙实现方法。

技术介绍

[0002]随着汽车工业的发展，汽车自动化程度实现也越加广泛，现在一辆汽车基本有一百个左右的控制器以及众多的传感器与执行器，而这些电子零部件通过车内通信网络（如控制局域网络CAN）相互通信。控制局域网络CAN总线是20世纪80年代初开发的一种多主广播通信协议，传输速率可以达到1Mbps，单帧报文传输最大数据长度为8字节；CANFD发布于2012年，在实际应用中CAN总线数据场传输速率可以达到5Mbps，单帧报文传输最大数据长度为64字节。CAN总线采用双绞线作为传输介质，具有成本低廉、抗干扰能力强、自诊断和纠错等优点，在车内通信网络中得到广泛应用，现在大部分车辆仍以CAN网络作为主干网络进行通信。
[0003]虽然CAN网络优点很多，但其作为开放式总线，采用明文数据传输，任何接入CAN总线的节点都可以接收和发送CAN报文，很容易受到网络攻击。而目前CAN总线普遍没有采用数据加密技术，导致任何接入CAN网络的节点都可以接收到报文，通过长时间的录取报文并进行数据分析，很容易获得数据变化规律，从而破解车辆的通信协议，修改数据以后发送到CAN网络即可实施对车辆的攻击。当前汽车面临着物理访问攻击和远程访问攻击，物理访问攻击是攻击者通过车辆OBD诊断接口对车辆进行攻击，远程访问攻击是攻击者通过攻击车载wifi、蓝牙以及远程通讯终端等设备，进而访问车内CAN网络实施攻击。
[0004]因此，针对上述问题，有必要对汽车CAN网络提供一种网络防火墙用于检测拦截网络攻击。

技术实现思路

[0005]本专利技术为解决现有汽车存在着可能被攻击车载wifi、蓝牙以及远程通讯终端等设备，进而访问车内CAN网络实施攻击对车辆的远程访问攻击，造成的车辆安全危害等现状而提供的一种可对汽车CAN网络进行检测，实现对汽车CAN网络攻击拦截，提高车辆CAN网络安全可靠性的车载CAN网络防火墙实现方法。
[0006]本专利技术为解决上述技术问题所采用的具体技术方案为：一种车载CAN网络防火墙实现方法，包括如下实现方法步骤：S1、根据车辆各控制器通信协议和规范要求，对每个CAN物理通道建立CAN网络防火墙检查规则；S2、CAN网络防火墙可对各个CAN物理通道接收和发送的报文进行规则检查；S3、通过规则检查的报文才可以通过CAN网络防火墙，通知到CAN协议栈或发送到CAN总线；S4、未通过规则检查的报文均上报异常信息安全事件，并记录到防火墙日志中。
[0007]将CAN控制器从CAN总线上接收到的报文和CAN协议栈发送的报文按照预设的规则进行检查；通过规则检查的接收报文将发送给CAN协议栈进行解析处理，通过规则检查的发送报文将通过CAN控制器发送到CAN总线；未通过规则检查的报文，被CAN网络防火墙拦截丢弃，将拦截的报文和违反的规则信息记录到CAN网络防火墙日志中进行安全存储，同时上报信息安全事件到宿主控制器的事件管理软件模块，用于记录故障码和发送信息安全事件报文到车载通信终端，由车载通信终端上报到车辆管理平台；将该车载CAN网络防火墙部署到车辆各控制器中，可满足车辆CAN网络的信息安全需求，有效防护车辆入侵和攻击。可对汽车CAN网络进行检测，实现对汽车CAN网络攻击拦截，提高车辆CAN网络安全可靠性。
[0008]作为优选，所述的CAN网络防火墙检查规则包括黑白名单检查功能，所述黑白名单检查功能对发送和接收的报文类型（CAN或CANFD）、报文ID、报文ID类型（标准ID或扩展ID）、报文长度等信息进行过滤，通过白名单检查的报文才可以通过CAN网络防火墙。提高CAN网络防火墙对黑白名单规则的信息安全检查过滤有效性；黑白名单检查功能可以使CAN网络防火墙快速识别未配置的非法入侵报文，并对此报文有效过滤拦截。
[0009]作为优选，所述的CAN网络防火墙检查规则包括报文周期监测功能，报文周期监测功能对周期报文建立报文周期检查规则，报文周期超出设定的范围时，上报周期异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、报文ID和监测实际周期值到防火墙日志中。提高CAN网络防火墙对报文周期规则的信息安全检查过滤有效性；报文周期监测功能可以使CAN网络防火墙识别发送周期报文的控制器节点工作异常或通过周期报文实施的CAN网络入侵，包括报文回放攻击。
[0010]作为优选，所述的CAN网络防火墙检查规则包括负载监测功能，所述负载监测对每个CAN物理通道的总线平均负载率进行实时监测；如果总线平均负载率超出设定的负载率上下限且持续时间超出设定的最小时间阈值，则上报总线负载异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道和实际负载率到防火墙日志中。提高CAN网络防火墙对负载监测规则的信息安全检查过滤有效性。负载监测功能可以使CAN网络防火墙识别通过非周期报文的持续攻击。
[0011]作为优选，所述的CAN网络防火墙检查规则包括访问控制功能，所述访问控制功能对诊断接口（如OBD接口连接的CAN总线通道或车载通信终端连接的CAN总线通道）建立防护规则，对客户端控制器或诊断仪进行身份认证，认证通过才可以访问该控制器。提高CAN网络防火墙对访问控制规则的信息安全检查过滤有效性。访问控制功能可以使CAN网络防火墙对外部诊断设备和车载通信终端进行身份认证，保证诊断接口的信息安全。
[0012]作为优选，所述的CAN网络防火墙检查规则包括会话控制功能，所述会话控制功能对诊断会话或其他有请求和应答关系的报文进行预设规则检查。如对UDS诊断的请求和应答CAN ID进行相关性规则约束，如果检测到违反规则，则上报会话异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道和CAN ID到防火墙日志中。会话控制功能可以使CAN网络防火墙有效检测基于诊断服务的DOS攻击。提高CAN网络防火墙对DOS攻击安全检查有效性。
[0013]作为优选，所述的CAN网络防火墙检查规则包括数据健康监测功能，数据健康监测功能对报文中包含的计数值进行规则检查，对报文中包含的车辆状态信号与宿主控制器检测的车辆状态进行比较检查，对信号阈值和信号变化速率阈值进行规则检查；如果检测到
违反规则，则上报数据健康异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、CAN ID和异常信号到防火墙日志中。提高CAN网络防火墙对数据健康规则的信息安全检查过滤有效性。
[0014]作为优选，所述的CAN网络防火墙检查规则包括数据相关性检查功能，数据相关性检查功能对通信矩阵中有相关性的信号建立约束规则；当检测到具有相关性的两个或多个信号没有按照定义的对应关系进行变化时，上报数据相关性异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、CAN ID和异常信号到防火墙日志中。数据相关性检查功能可以使CAN网络防火墙有效识别对CAN报文采集和信号修改攻击，或零星的关键信号攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车载CAN网络防火墙实现方法，其特征在于，包括如下实现方法步骤：S1、根据车辆各控制器通信协议和规范要求，对每个CAN物理通道建立CAN网络防火墙检查规则；S2、CAN网络防火墙可对各个CAN物理通道接收和发送的报文进行规则检查；S3、通过规则检查的报文才可以通过CAN网络防火墙，通知到CAN协议栈或发送到CAN总线；S4、未通过规则检查的报文均上报异常信息安全事件，并记录到防火墙日志中。2.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括黑白名单检查功能，所述黑白名单检查功能对发送和接收的报文类型、报文ID、报文ID类型、报文长度进行过滤，通过白名单检查的报文才可以通过CAN网络防火墙。3.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括报文周期监测功能，报文周期监测功能对周期报文建立报文周期检查规则，报文周期超出设定的范围时，上报周期异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、报文ID和监测实际周期值到防火墙日志中。4.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括负载监测功能，所述负载监测对每个CAN物理通道的总线平均负载率进行实时监测；如果总线平均负载率超出设定的负载率上下限且持续时间超出设定的最小时间阈值，则上报总线负载异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道和实际负载率到防火墙日志中。5.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括访问控制功能，所述访问控制功能对诊断接口建立防护规则，对客户端控制器或诊断仪进行身份...

【专利技术属性】
技术研发人员：赵俊鹏，邵德，徐旭，全剑敏，李巍，
申请(专利权)人：杭州云动智能汽车技术有限公司，
类型：发明
国别省市：