[发明专利]一种车载CAN网络防火墙实现方法

说明书

本发明公开了一种车载CAN网络防火墙实现方法，将CAN控制器从CAN总线上接收到的报文和CAN协议栈发送的报文按照预设规则进行检查；通过规则检查的接收报文将发送给CAN协议栈进行解析处理，通过规则检查的发送报文将通过CAN控制器发送到CAN总线；未通过规则检查的报文被CAN网络防火墙拦截丢弃，将拦截的报文和违反的规则信息记录到CAN网络防火墙日志中进行安全存储，同时上报信息安全事件到宿主控制器的事件管理软件模块，用于记录故障码和发送信息安全事件报文到车载通信终端，由车载通信终端上报到车辆管理平台；防火墙部署到车辆各控制器中，满足车辆CAN网络信息安全需求，有效防护车辆入侵和攻击。

技术领域

本发明涉及一种车载网络防火墙，尤其是涉及一种使用于车载信息技术上的车载CAN网络防火墙实现方法。

背景技术

随着汽车工业的发展，汽车自动化程度实现也越加广泛，现在一辆汽车基本有一百个左右的控制器以及众多的传感器与执行器，而这些电子零部件通过车内通信网络（如控制局域网络CAN）相互通信。控制局域网络CAN总线是20世纪80年代初开发的一种多主广播通信协议，传输速率可以达到1Mbps，单帧报文传输最大数据长度为8字节；CANFD发布于2012年，在实际应用中CAN总线数据场传输速率可以达到5Mbps，单帧报文传输最大数据长度为64字节。CAN总线采用双绞线作为传输介质，具有成本低廉、抗干扰能力强、自诊断和纠错等优点，在车内通信网络中得到广泛应用，现在大部分车辆仍以CAN网络作为主干网络进行通信。

虽然CAN网络优点很多，但其作为开放式总线，采用明文数据传输，任何接入CAN总线的节点都可以接收和发送CAN报文，很容易受到网络攻击。而目前CAN总线普遍没有采用数据加密技术，导致任何接入CAN网络的节点都可以接收到报文，通过长时间的录取报文并进行数据分析，很容易获得数据变化规律，从而破解车辆的通信协议，修改数据以后发送到CAN网络即可实施对车辆的攻击。当前汽车面临着物理访问攻击和远程访问攻击，物理访问攻击是攻击者通过车辆OBD诊断接口对车辆进行攻击，远程访问攻击是攻击者通过攻击车载wifi、蓝牙以及远程通讯终端等设备，进而访问车内CAN网络实施攻击。

因此，针对上述问题，有必要对汽车CAN网络提供一种网络防火墙用于检测拦截网络攻击。

发明内容

本发明为解决现有汽车存在着可能被攻击车载wifi、蓝牙以及远程通讯终端等设备，进而访问车内CAN网络实施攻击对车辆的远程访问攻击，造成的车辆安全危害等现状而提供的一种可对汽车CAN网络进行检测，实现对汽车CAN网络攻击拦截，提高车辆CAN网络安全可靠性的车载CAN网络防火墙实现方法。

本发明为解决上述技术问题所采用的具体技术方案为：一种车载CAN网络防火墙实现方法，包括如下实现方法步骤：

S1、根据车辆各控制器通信协议和规范要求，对每个CAN物理通道建立CAN网络防火墙检查规则；

S2、CAN网络防火墙可对各个CAN物理通道接收和发送的报文进行规则检查；

S3、通过规则检查的报文才可以通过CAN网络防火墙，通知到CAN协议栈或发送到CAN总线；

S4、未通过规则检查的报文均上报异常信息安全事件，并记录到防火墙日志中。

将CAN控制器从CAN总线上接收到的报文和CAN协议栈发送的报文按照预设的规则进行检查；通过规则检查的接收报文将发送给CAN协议栈进行解析处理，通过规则检查的发送报文将通过CAN控制器发送到CAN总线；未通过规则检查的报文，被CAN网络防火墙拦截丢弃，将拦截的报文和违反的规则信息记录到CAN网络防火墙日志中进行安全存储，同时上报信息安全事件到宿主控制器的事件管理软件模块，用于记录故障码和发送信息安全事件报文到车载通信终端，由车载通信终端上报到车辆管理平台；将该车载CAN网络防火墙部署到车辆各控制器中，可满足车辆CAN网络的信息安全需求，有效防护车辆入侵和攻击。可对汽车CAN网络进行检测，实现对汽车CAN网络攻击拦截，提高车辆CAN网络安全可靠性。