本發明實施例提供一種基于CAN總線的車載網絡安全防護方法及裝置，所述方法包括：獲取待進入CAN總線的通信數據，并對所述通信數據進行接口安全防護，以獲取通過接口安全防護的第一目標通信數據；對所述第一目標通信數據進行網關安全防護，并放行通過網關安全防護的第二目標通信數據至CAN總線的車載網絡；在所述第二目標通信數據基于所述車載網絡進行的通信過程中，根據預先劃分的控制域的訪問權限隔離所述第二目標通信數據，以獲取與各控制域分別對應的第三目標通信數據；對各控制域中的第三目標通信數據分別進行加密處理。所述裝置執行上述方法。本發明實施例提供的方法及裝置，能夠全面地實現對車載網絡的安全防護。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于CAN總線的車載網絡安全防護方法及裝置。

背景技術

隨著電子技術的發展，汽車電子部件和系統的數量不斷增加，對車載網絡的可靠性和實時性提出了更高的要求。CAN總線作為車載網絡系統的主流標準，具有實時性強、抗電磁干擾能力強、傳輸距離較遠和成本低等優點，是當前在汽車上應用最廣的總線網絡之一。同時，隨著車聯網技術與產業的發展，汽車電子系統的網絡化和智能化已成為汽車工業未來發展趨勢，在豐富汽車功能、增強駕駛交互體驗的同時，也增加了遭受惡意網絡攻擊的可能。

現有技術實現車載網絡安全防護的方法，僅僅基于某個局部能夠實現安全防護，但是，由于汽車車載網絡以及汽車自身的復雜性，還不能全面地實現對車載網絡的安全防護。

發明內容

針對現有技術存在的問題，本發明實施例提供一種基于CAN總線的車載網絡安全防護方法及裝置。

本發明實施例提供一種基于CAN總線的車載網絡安全防護方法，包括：

獲取待進入CAN總線的通信數據，并對所述通信數據進行接口安全防護，以獲取通過接口安全防護的第一目標通信數據；

對所述第一目標通信數據進行網關安全防護，并放行通過網關安全防護的第二目標通信數據至CAN總線的車載網絡；

在所述第二目標通信數據基于所述車載網絡進行的通信過程中，根據預先劃分的控制域的訪問權限隔離所述第二目標通信數據，以獲取與各控制域分別對應的第三目標通信數據；

對各控制域中的第三目標通信數據分別進行加密處理。

其中，所述對所述通信數據進行接口安全防護，包括：

通過防火墻對從有線接口輸入的所述通信數據進行過濾；

和/或，通過對無線通信網絡的身份合法性進行認證，并對從無線接口輸入的所述通信數據進行安全防護。

其中，所述對從無線接口輸入的所述通信數據進行安全防護，包括：

在集成所述無線接口的設備中預先部署防火墻和入侵檢測系統，并分別通過預先部署在所述設備中的防火墻和所述入侵檢測系統進行網絡訪問控制和惡意流量檢測。

其中，所述對所述第一目標通信數據進行網關安全防護，包括：

對所述第一目標通信數據進行加密防護。

其中，所述預先劃分的控制域包括：動力驅動控制域、車身控制域、ADAS控制域和信息娛樂控制域中的至少一種；相應的，所述根據預先劃分的控制域的訪問權限隔離所述第二目標通信數據，以獲取與各控制域分別對應的第三目標通信數據，包括：

根據與所述動力驅動控制域相對應的訪問權限隔離所述第二目標通信數據，以獲取與所述動力驅動控制域對應的第三目標通信數據；

根據與所述車身控制域相對應的訪問權限隔離所述第二目標通信數據，以獲取與所述車身控制域對應的第三目標通信數據；