[发明专利]一种车载CAN网络防火墙实现方法

权利要求书

1.一种车载CAN网络防火墙实现方法，其特征在于，包括如下实现方法步骤：

S1、根据车辆各控制器通信协议和规范要求，对每个CAN物理通道建立CAN网络防火墙检查规则；

S2、CAN网络防火墙可对各个CAN物理通道接收和发送的报文进行规则检查；

S3、通过规则检查的报文才可以通过CAN网络防火墙，通知到CAN协议栈或发送到CAN总线；

S4、未通过规则检查的报文均上报异常信息安全事件，并记录到防火墙日志中。

2.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括黑白名单检查功能，所述黑白名单检查功能对发送和接收的报文类型、报文ID、报文ID类型、报文长度进行过滤，通过白名单检查的报文才可以通过CAN网络防火墙。

3.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括报文周期监测功能，报文周期监测功能对周期报文建立报文周期检查规则，报文周期超出设定的范围时，上报周期异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、报文ID和监测实际周期值到防火墙日志中。

4.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括负载监测功能，所述负载监测对每个CAN物理通道的总线平均负载率进行实时监测；如果总线平均负载率超出设定的负载率上下限且持续时间超出设定的最小时间阈值，则上报总线负载异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道和实际负载率到防火墙日志中。

5.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括访问控制功能，所述访问控制功能对诊断接口建立防护规则，对客户端控制器或诊断仪进行身份认证，认证通过才可以访问该控制器。

6.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括会话控制功能，所述会话控制功能对诊断会话或其他有请求和应答关系的报文进行预设规则检查。

7.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括数据健康监测功能，数据健康监测功能对报文中包含的计数值进行规则检查，对报文中包含的车辆状态信号与宿主控制器检测的车辆状态进行比较检查，对信号阈值和信号变化速率阈值进行规则检查；如果检测到违反规则，则上报数据健康异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、CAN ID和异常信号到防火墙日志中。

8.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括数据相关性检查功能，数据相关性检查功能对通信矩阵中有相关性的信号建立约束规则；当检测到具有相关性的两个或多个信号没有按照定义的对应关系进行变化时，上报数据相关性异常信息安全事件，并记录信息安全事件ID、发生时间、CAN通道、CANID和异常信号到防火墙日志中。

9.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括诊断规范检查功能，诊断规范检查功能对设定的诊断请求和应答报文进行诊断规范检查；对不符合规范的数据帧进行丢弃，上报诊断规范异常信息安全事件，并记录信息安全事件ID、发送时间、CAN通道和报文内容到防火墙日志中。

10.按照权利要求1所述的车载CAN网络防火墙实现方法，其特征在于：所述的CAN网络防火墙检查规则包括DOS攻击检测功能，DOS攻击检测功能对诊断服务状态进行监测。