本發(fā)明公開(kāi)了一種車(chē)載CAN網(wǎng)絡(luò)防火墻實(shí)現(xiàn)方法，將CAN控制器從CAN總線上接收到的報(bào)文和CAN協(xié)議棧發(fā)送的報(bào)文按照預(yù)設(shè)規(guī)則進(jìn)行檢查；通過(guò)規(guī)則檢查的接收?qǐng)?bào)文將發(fā)送給CAN協(xié)議棧進(jìn)行解析處理，通過(guò)規(guī)則檢查的發(fā)送報(bào)文將通過(guò)CAN控制器發(fā)送到CAN總線；未通過(guò)規(guī)則檢查的報(bào)文被CAN網(wǎng)絡(luò)防火墻攔截丟棄，將攔截的報(bào)文和違反的規(guī)則信息記錄到CAN網(wǎng)絡(luò)防火墻日志中進(jìn)行安全存儲(chǔ)，同時(shí)上報(bào)信息安全事件到宿主控制器的事件管理軟件模塊，用于記錄故障碼和發(fā)送信息安全事件報(bào)文到車(chē)載通信終端，由車(chē)載通信終端上報(bào)到車(chē)輛管理平臺(tái)；防火墻部署到車(chē)輛各控制器中，滿足車(chē)輛CAN網(wǎng)絡(luò)信息安全需求，有效防護(hù)車(chē)輛入侵和攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及一種車(chē)載網(wǎng)絡(luò)防火墻，尤其是涉及一種使用于車(chē)載信息技術(shù)上的車(chē)載CAN網(wǎng)絡(luò)防火墻實(shí)現(xiàn)方法。

背景技術(shù)

隨著汽車(chē)工業(yè)的發(fā)展，汽車(chē)自動(dòng)化程度實(shí)現(xiàn)也越加廣泛，現(xiàn)在一輛汽車(chē)基本有一百個(gè)左右的控制器以及眾多的傳感器與執(zhí)行器，而這些電子零部件通過(guò)車(chē)內(nèi)通信網(wǎng)絡(luò)（如控制局域網(wǎng)絡(luò)CAN）相互通信?？刂凭钟蚓W(wǎng)絡(luò)CAN總線是20世紀(jì)80年代初開(kāi)發(fā)的一種多主廣播通信協(xié)議，傳輸速率可以達(dá)到1Mbps，單幀報(bào)文傳輸最大數(shù)據(jù)長(zhǎng)度為8字節(jié)；CANFD發(fā)布于2012年，在實(shí)際應(yīng)用中CAN總線數(shù)據(jù)場(chǎng)傳輸速率可以達(dá)到5Mbps，單幀報(bào)文傳輸最大數(shù)據(jù)長(zhǎng)度為64字節(jié)。CAN總線采用雙絞線作為傳輸介質(zhì)，具有成本低廉、抗干擾能力強(qiáng)、自診斷和糾錯(cuò)等優(yōu)點(diǎn)，在車(chē)內(nèi)通信網(wǎng)絡(luò)中得到廣泛應(yīng)用，現(xiàn)在大部分車(chē)輛仍以CAN網(wǎng)絡(luò)作為主干網(wǎng)絡(luò)進(jìn)行通信。

雖然CAN網(wǎng)絡(luò)優(yōu)點(diǎn)很多，但其作為開(kāi)放式總線，采用明文數(shù)據(jù)傳輸，任何接入CAN總線的節(jié)點(diǎn)都可以接收和發(fā)送CAN報(bào)文，很容易受到網(wǎng)絡(luò)攻擊。而目前CAN總線普遍沒(méi)有采用數(shù)據(jù)加密技術(shù)，導(dǎo)致任何接入CAN網(wǎng)絡(luò)的節(jié)點(diǎn)都可以接收到報(bào)文，通過(guò)長(zhǎng)時(shí)間的錄取報(bào)文并進(jìn)行數(shù)據(jù)分析，很容易獲得數(shù)據(jù)變化規(guī)律，從而破解車(chē)輛的通信協(xié)議，修改數(shù)據(jù)以后發(fā)送到CAN網(wǎng)絡(luò)即可實(shí)施對(duì)車(chē)輛的攻擊。當(dāng)前汽車(chē)面臨著物理訪問(wèn)攻擊和遠(yuǎn)程訪問(wèn)攻擊，物理訪問(wèn)攻擊是攻擊者通過(guò)車(chē)輛OBD診斷接口對(duì)車(chē)輛進(jìn)行攻擊，遠(yuǎn)程訪問(wèn)攻擊是攻擊者通過(guò)攻擊車(chē)載wifi、藍(lán)牙以及遠(yuǎn)程通訊終端等設(shè)備，進(jìn)而訪問(wèn)車(chē)內(nèi)CAN網(wǎng)絡(luò)實(shí)施攻擊。

因此，針對(duì)上述問(wèn)題，有必要對(duì)汽車(chē)CAN網(wǎng)絡(luò)提供一種網(wǎng)絡(luò)防火墻用于檢測(cè)攔截網(wǎng)絡(luò)攻擊。

發(fā)明內(nèi)容

本發(fā)明為解決現(xiàn)有汽車(chē)存在著可能被攻擊車(chē)載wifi、藍(lán)牙以及遠(yuǎn)程通訊終端等設(shè)備，進(jìn)而訪問(wèn)車(chē)內(nèi)CAN網(wǎng)絡(luò)實(shí)施攻擊對(duì)車(chē)輛的遠(yuǎn)程訪問(wèn)攻擊，造成的車(chē)輛安全危害等現(xiàn)狀而提供的一種可對(duì)汽車(chē)CAN網(wǎng)絡(luò)進(jìn)行檢測(cè)，實(shí)現(xiàn)對(duì)汽車(chē)CAN網(wǎng)絡(luò)攻擊攔截，提高車(chē)輛CAN網(wǎng)絡(luò)安全可靠性的車(chē)載CAN網(wǎng)絡(luò)防火墻實(shí)現(xiàn)方法。

本發(fā)明為解決上述技術(shù)問(wèn)題所采用的具體技術(shù)方案為：一種車(chē)載CAN網(wǎng)絡(luò)防火墻實(shí)現(xiàn)方法，包括如下實(shí)現(xiàn)方法步驟：

S1、根據(jù)車(chē)輛各控制器通信協(xié)議和規(guī)范要求，對(duì)每個(gè)CAN物理通道建立CAN網(wǎng)絡(luò)防火墻檢查規(guī)則；

S2、CAN網(wǎng)絡(luò)防火墻可對(duì)各個(gè)CAN物理通道接收和發(fā)送的報(bào)文進(jìn)行規(guī)則檢查；

S3、通過(guò)規(guī)則檢查的報(bào)文才可以通過(guò)CAN網(wǎng)絡(luò)防火墻，通知到CAN協(xié)議?；虬l(fā)送到CAN總線；

S4、未通過(guò)規(guī)則檢查的報(bào)文均上報(bào)異常信息安全事件，并記錄到防火墻日志中。

將CAN控制器從CAN總線上接收到的報(bào)文和CAN協(xié)議棧發(fā)送的報(bào)文按照預(yù)設(shè)的規(guī)則進(jìn)行檢查；通過(guò)規(guī)則檢查的接收?qǐng)?bào)文將發(fā)送給CAN協(xié)議棧進(jìn)行解析處理，通過(guò)規(guī)則檢查的發(fā)送報(bào)文將通過(guò)CAN控制器發(fā)送到CAN總線；未通過(guò)規(guī)則檢查的報(bào)文，被CAN網(wǎng)絡(luò)防火墻攔截丟棄，將攔截的報(bào)文和違反的規(guī)則信息記錄到CAN網(wǎng)絡(luò)防火墻日志中進(jìn)行安全存儲(chǔ)，同時(shí)上報(bào)信息安全事件到宿主控制器的事件管理軟件模塊，用于記錄故障碼和發(fā)送信息安全事件報(bào)文到車(chē)載通信終端，由車(chē)載通信終端上報(bào)到車(chē)輛管理平臺(tái)；將該車(chē)載CAN網(wǎng)絡(luò)防火墻部署到車(chē)輛各控制器中，可滿足車(chē)輛CAN網(wǎng)絡(luò)的信息安全需求，有效防護(hù)車(chē)輛入侵和攻擊。可對(duì)汽車(chē)CAN網(wǎng)絡(luò)進(jìn)行檢測(cè)，實(shí)現(xiàn)對(duì)汽車(chē)CAN網(wǎng)絡(luò)攻擊攔截，提高車(chē)輛CAN網(wǎng)絡(luò)安全可靠性。