【技术实现步骤摘要】
车载防火墙的数据处理方法、装置及车载防火墙设备
[0001]本专利技术涉及车载通信
,具体而言,涉及一种车载防火墙的数据处理方法、装置及车载防火墙设备。
技术介绍
[0002]随着汽车智能化、网联化的逐步推进,汽车在给人们的交通出行带来舒适便捷的同时,系统复杂和丰富的对外通信接口更暴露出车载网络的脆弱,为了保证车载网络的安全性,支持车载信息系统的网络防火墙的设计尤为重要。
[0003]相关技术中,车载防火墙一般是基于目标地址及源地址对数据包进行过滤,对于传输层数据,只能识别TCP/UDP类型及使用的端口信息,并对TCP头信息进行简单解析。而针对车载以太应用层协议并没有进行任何安全过滤,应用数据报文都可送达应用层。也就是说,在基于现有的车载以太网协议实现过程中,所有应用层数据报文包括无效甚至已被篡改的数据包都能够经过完整的网络协议栈送达应用层进行处理,所以任何外部设备与车载控制单元ECU的应用层数据交互都会增加车辆受到安全攻击的隐患,这对车内安全造成了巨大威胁。
技术实现思路
[0004]本专利技...
【技术保护点】
【技术特征摘要】
1.一种车载防火墙的数据处理方法,其特征在于,所述方法包括:响应于车载应用层内应用数据包的传输,加载基于内核数据包过滤器机制实现的防火墙应用程序,其中,所述防火墙应用程序包括针对不同应用服务设置的检测子程序链;当传输的应用数据包经过所述防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时,利用尾调机制调用所述防火墙应用程序中的检测子程序链,对所述应用数据包执行安全检测;基于所述防火墙应用程序对应的返回值,对所述应用数据包执行处理动作。2.如权利要求1所述的方法,其特征在于,在所述响应于车载应用层内应用数据包的传输,加载基于内核数据包过滤器机制实现的防火墙应用程序之前,所述方法还包括:在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则,并将所述缺省安全策略和防火墙过滤规则存储至数据共享空间;当所述数据共享空间接收到应用层防火墙的数据层面的访问时,以所述数据共享空间作为传输通道,将所述缺省安全策略和防火墙过滤规则编译成使用不同应用服务的过滤字节码后下发至应用层防火墙的数据层面;当所述数据共享空间接收到应用层防火墙的控制层面的访问时,所述数据共享空间通过读取所述应用层防火墙的数据层面更新的数据统计信息,并将所述数据统计信息上传至应用层防火墙的控制层面。3.如权利要求2所述的方法,其特征在于,在所述在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则之后,所述方法还包括:针对每种服务类型的应用数据包,配置相应协议规范的缼省安全策略和防火墙过滤规则,使得每个缼省安全策略和/或防火墙过滤规则形成一种检测子程序链。4.如权利要求2所述的方法,其特征在于,所述数据共享空间内的缺省安全策略和防火墙过滤规则按照键/值形式存储,所述在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则,并将所述缺省安全策略和防火墙过滤规则存储至数据共享空间,包括:获取应用层防火墙的控制层面中不同应用服务对应的使用场景,根据所述不同应用服务对应的使用场景在数据共享空间中创建适用不同使用场景的对象空间,并返回与所述对象空间关联的文件描述符;在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则,并利用所述与所述对象空间关联的文件描述符将所述缺省安全策略和防火墙过滤规则存储至数据共享空间中相应的对象空间。5.如权利要求4所述的方法,其特征在于,所述在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则,并利用所述与所述对象空间关联的文件描述符将所述缺省安全策略和防火墙过滤规则存储至数据共享空间,包括:在所述应用层防火墙的控制层面配置不同应用服务的缼省安全策略和防火墙过滤规则,查询适用于不同应用服务存储的文件描述符;利用所述适用于不同应用服务存储的文件描述符,将所述缺省安全策略和防火墙过滤规则存储至数据共享空间中适用于相应应用服务的对象空间。6.如权利要求5所述的方法,其特征在于,在所述应用层防火墙的控制层...
【专利技术属性】
技术研发人员:梁琼,杨孙永,武剑,郭卫华,
申请(专利权)人:北京经纬恒润科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。