[发明专利]车载处理器、车载控制器及通信方法

说明书

本发明提供一种车载处理器、车载控制器及通信方法，首先利用防火墙核解决SYN洪水攻击的问题，在当以太网请求端被认定为非洪水攻击方时，才将通过交由数据处理核处理，如此，不仅保留了以太网交换机的防火墙机制，解决了目前车载控制器在通信时，需借助交换机来对以太网报文和CAN报文进行过滤，且无法防止SYN洪水攻击，易导致车载控制器无法正常工作的问题，而且由于不同的功能运行在不同的核上，实现了功能之间的软件和硬件的隔离，因此，在一定程度上保证了安全，不至于一个核被攻击，所有的功能都无法正常工作。

技术领域

本发明涉及汽车技术领域，特别涉及一种车载处理器、车载控制器及通信方法。

背景技术

自从国家网络安全法规出台，汽车上对信息安全功能越来越关注，车辆上控制器的功能也越来越先进，现在大多数的整车厂几乎要求使用以太网总线，这样车辆上能够以更加快速的通信协议满足人们对汽车娱乐性和方便性的需求，可是以信息安全的角度来看，正因为采用以太网这种通信协议，同时也将通信协议本身信息安全的漏洞和威胁加入到车载控制器中。

根据网络七层模型的通信方式，以太网通信协议在网络通信七层协议中的第四层传输层，基本上采用的是UDP和TCP协议，而UDP协议中由于有丢包的缺陷，因此车载控制器中不太会被使用，并且UDP协议不安全，因此，大多数还是以TCP协议为传输层协议，可TCP协议虽避免了丢包的问题并且可以保证一定的安全性，不过同时也带来了其他的信息安全问题，那就是TCP/SYN洪水攻击，或者占据以太网通信总线带宽，导致正常的报文无法传输到控制器中，从而控制器无法进行正常工作。

目前车载控制器中使用的防火墙方案一般是通过交换机对以太网报文进行帧头的过滤，对CAN数据进行唯一标识符(ID)、周期和DLC(制段长度)的过滤，其他的类似洪水攻击的方式目前暂无解决方案。

SYN洪水攻击是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包)，被攻击服务器回应第二个握手包(SYN+ACK包)，因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽(CPU满负荷或内存不足)，让正常的业务请求连接不进来。

发明内容

本发明的目的在于提供一种车载处理器、车载控制器及通信方法，以解决目前车载控制器在通信时，需借助交换机来对以太网报文和CAN报文进行过滤，且无法防止SYN洪水攻击，易导致车载控制器无法正常工作的问题。

为解决上述技术问题，本发明提供一种车载处理器，使用TCP协议，所述车载处理器包括防火墙核以及数据处理核；

所述防火墙核配置为，当接收到来自一以太网请求端的一第一握手包时，回应一第二握手包，进行等待一预定时间；

若在所述预定时间接收到来自所述以太网请求端的一第三握手包，则将所述以太网请求端的通信交由所述数据处理核处理；

若在所述预定时间内未接收来自所述以太网请求端的所述第三握手包，则拒绝接收与所述以太网请求端的通信请求。

可选的，在所述的车载处理器中，所述将与所述以太网请求端的通信交由所述数据处理核处理包括：

接收来自所述以太网请求端的以太网报文和CAN报文，并对所述以太网报文和所述CAN报文进行过滤；以及，

将过滤后的所述以太网报文和过滤后的所述CAN报文传输给所述数据处理核。

可选的，在所述的车载处理器中，所述数据处理核包括以太网核和其他功能核；