CN112104608A - 一种车辆信息安全防护方法、系统及存储介质 - Google Patents
一种车辆信息安全防护方法、系统及存储介质 Download PDFInfo
- Publication number
- CN112104608A CN112104608A CN202010830268.3A CN202010830268A CN112104608A CN 112104608 A CN112104608 A CN 112104608A CN 202010830268 A CN202010830268 A CN 202010830268A CN 112104608 A CN112104608 A CN 112104608A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- safety
- ethernet data
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种车辆信息安全防护方法、系统及存储介质,其中方法包括实时获取每一从节点对应的信息数据;当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。本发明实施例提供的车辆信息安全防护方法、系统及存储介质,充分考虑到车辆在网联化过程中产生的车辆信息安全问题,通过对车辆数据进行实时监测,能够实现对车辆信息安全的防护。
Description
技术领域
本发明涉及车辆信息安全技术领域,尤其是涉及一种车辆信息安全防护方法、系统及存储介质。
背景技术
随着车辆智能化与网联化的不断发展,现有的车辆网络体系结构缺少对信息安全防护的完善,而实际上,车辆信息安全是车辆在网联化过程中必然会遇到的问题,一旦车载系统和车辆关键零部件、车联网平台等遭受到网络攻击、木马病毒、数据窃取等互联网安全威胁,会导致车辆面临用户隐私数据泄露与未授权控车的风险,严重时会带来一定的财产损失。
发明内容
本发明提供一种车辆信息安全防护方法、系统及存储介质,以解决在车辆在网联化过程中的信息安全防护问题,通过对车辆数据进行实时监测,能够实现对车辆信息安全的防护。
为了解决上述技术问题,本发明实施例提供了一种车辆信息安全防护方法,包括:
实时获取每一从节点对应的信息数据;
当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;
将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
在其中一种实施例中,所述当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息的步骤,具体为:
当所述总线数据的信号ID列入被检测范围时,则判断所述预设防御条件得到满足,并生成对应的第一安全日志信息。
在其中一种实施例中,所述当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息的步骤,具体为:
当所述总线数据的信号ID不属于被检测范围时,判断所述总线数据中的信号ID不属于所述被检测范围之前的信号特征与信号ID不属于所述被检测范围之后的信号特征是否匹配;
若所述总线数据中的信号ID不属于所述被检测范围之前的信号特征不匹配所述信号ID不属于所述被检测范围之后的信号特征,则判断所述预设防御条件得到满足,生成对应的第一安全日志信息。
在其中一种实施例中,所述信号特征至少包括:报文范围、报文长度与信号关系。
在其中一种实施例中,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口不属于预设的防火墙配置IP区间时,判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
在其中一种实施例中,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口属于预设的防火墙配置IP区间时,判断所述以太网数据的传输协议是否出现错误;
若所述以太网数据的传输协议出现错误,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
在其中一种实施例中,所述传输协议至少包括:TCP传输协议、IP传输协议、UDP传输协议与ICMP传输协议。
在其中一种实施例中,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口不属于预设的防火墙配置IP区间,且所述以太网数据的传输协议正常时,判断所述以太网数据的有效载荷数据是否出现HTTP木马病毒;
若所述以太网数据的有效载荷数据出现HTTP木马病毒,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
本发明另一实施例提供了一种车辆信息安全防护系统,包括控制器,所述控制器被配置为:
实时获取每一从节点对应的信息数据;
当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;
将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
在其中一种实施例中,每一所述从节点包括总线数据处理模块和以太网数据处理模块;
所述总线数据处理模块的输出端与对应的所述以太网数据处理模块的输入端连接;
所述以太网数据处理模块的输出端与所述主节点的输入端连接;
所述主节点的数据通信端与所述网络安全管理平台的数据通信端连接。
在其中一种实施例中,每一所述从节点还包括安全日志模块;
所述安全日志模块的数据输入端与所述以太网数据处理模块的输出端连接。
在其中一种实施例中,所述主节点为TBOX。
本发明又一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的车辆信息安全防护方法。
相比于现有技术,本发明实施例具有如下有益效果:
(1)充分考虑到车辆在网联化过程中产生的车辆信息安全问题,通过实时监测车辆的总线数据和以太网数据,实现了车辆信息的检测、判断和分析,再针对不同的数据类型执行对应的防御或拦截策略,实现了对车辆信息数据的决策控制,从而降低未授权控车的风险,防止车辆遭受到网络攻击、木马病毒、数据窃取等互联网安全威胁,为用户隐私数据提供了有力的保护,实现对车辆信息安全的防护。
(2)通过统一的网络安全管理平台来接收相关的安全日志信息,从而实现了对车辆各级安全信息的有效管理,为车辆的信息安全防护提供了准确的数据支撑,推进了车辆信息化的进程。
附图说明
图1是本发明其中一种实施例中的车辆信息安全防护方法的流程示意图;
图2是本发明其中一种实施例中的车端网络安全威胁分类的示意图;
图3是本发明其中一种实施例中的车辆主从节点的结构示意图;
图4是本发明其中一种实施例中的总线数据检测流程示意图;
图5是本发明其中一种实施例中的以太网数据的流向示意图;
图6是本发明其中一种实施例中的以太网数据检测流程示意图;
图7是本发明其中一种实施例中的后台服务器的数据流向示意图;
其中,说明书附图中的附图标记如下:
1、主节点;2、从节点;3、网络安全管理平台;A、平台端;B、用户端。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请的描述中,需要说明的是,除非另有定义,本发明所使用的所有的技术和科学术语与属于本的技术领域的技术人员通常理解的含义相同。本发明中说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明,对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
在本申请描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本发明提供了一种电机台架测试方法,具体的,请参见图1,图1示出为其中一实施例的车辆信息安全防护方法的流程示意图,具体包括:
S101、实时获取每一从节点对应的信息数据;
S102、当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
S103、当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息(需要说明的是,步骤S102与步骤S103为同步进行,即同时对车辆的以太网数据和总线数据进行监测);
S104、将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
应当说明的是,随着越来越多的信息化技术(如自动驾驶、V2X等)被引入至现有车辆中,智能网联车辆将会持续面临敏感数据泄露和未授权控车的风险,具体的,请参见图2,图2示出为其中一实施例的车端网络安全威胁分类的示意图,一旦不法分子采取图中所示的安全威胁类型对车辆信息进行攻击,就会威胁到车主的财产安全甚至公共安全,本发明针对车辆在信息化过程中产生的两种关键数据类型(总线CAN数据和以太网数据),设定不同的信息防护策略,从而实现了车辆信息的感知、判断和分析,以及决策控制,防止车辆遭受到网络攻击、木马病毒、数据窃取等互联网安全威胁,为用户隐私数据提供了有力的保护,实现对车辆信息安全的防护。
在本实施例中,具体的,请参见图3,图3示出为其中一实施例的车辆主从节点的结构示意图,汽车CAN总线网络由一个主节点1和多个从节点2组成(图中为方便显示,绘制有4个从节点与1个主节点),主节点1通常为数字化仪表(在本实施例中主节点1优选为T-BOX),用于接收各从节点2传送的数据,各从节点2为分布在车辆的各个位置的车身控制单元,各从节点2一方面对安装在附近的各种传感器的模拟信号(例如,水温、油温和前桥压力等等)进行AD采集,并将采集的数据根据传感器的电气特性,转换为具有实际含义的物理量,同时采集开关量信号、脉冲量信号(转速、车速等脉冲信号),以及对应的CAN数据和以太网数据,并将以上物理量、开关量信号、CAN数据和以太网数据发送给主节点1,以及对以上车辆信息数据进行计算和控制,最终产生输出信号控制对应连接的输出设备(例如电磁阀、继电器等),并将处理的结果发送至主节点1,由主节点1传送至后台的网络安全管理平台3。
因此,在实际应用中,车型的不同,从节点附近安装的传感器的电气特性和位置不同,都会导致从节点控制功能的不同,导致从节点的软件功能需要相应进行改变,进而导致从节点的软件开发、汽车CAN总线网络的项目管理的功能实现发生变化。
作为其中一种优选方案,在本实施例中每个从节点2的MCU侧均部署有第一IDS监控模块(图未示),第一IDS监控模块用于实现对总线数据的监控功能,每个从节点2的MPU侧均部署有第二IDS监控模块(图未示),第二IDS监控模块用于实现对以太网数据的监控功能。每个从节点2在收集到其本身的MCU和MPU的日志信息之后,集中传输到主节点1中,再由主节点1上传到后台的网络安全管理平台3中。当然,主节点1也可部署MCU与MPU以实现对应的功能。此外,每个主从节点内部均需要通过SPI/TCP/UDP进行数据传输,从而保证数据传输的稳定性。
作为其中一种优选方案,所述当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息的步骤,具体为:
当所述总线数据的信号ID列入被检测范围时,则判断所述预设防御条件得到满足,并生成对应的第一安全日志信息。
若所述总线数据中的信号ID不属于所述被检测范围之前的信号特征不匹配所述信号ID不属于所述被检测范围之后的信号特征,则判断所述预设防御条件得到满足,生成对应的第一安全日志信息。
应当说明的是,位于MCU侧的第一IDS监控模块只具有检测功能,其从底层并行接收总线信号,当信号通过第一IDS模块时,会触发第一IDS模块工作,根据预设的监控策略,判断信号是否正常,如果判定信号不正常,则生成并记录相应的第一安全日志信息,将其传送给对应从节点的MPU。具体的,请参见图4,图4示出为其中一实施例的总线数据检测流程示意图,首先,检查信号ID是否属于被检测范围,如果是,则说明信号有误,执行检测。信号ID作为表征信号地址的关键参量,可以根据实际的要求,在后台预设多个正常信号ID的集合,通过判断被测信号的ID是否属于正常信号ID的集合来判断预设的防御条件是否得到满足,将此作为对车辆总线数据防护的第一道屏障。当然,每一从节点的第一IDS监控模块会接收到不同的总线数据信号,不同零部件的基础功能,基础硬件能力都会对应不同的总线数据信号,本实施例优选为以功能安全挑选出来的信号作为第一考虑优先级进行信号的检测。
作为优选地,为了适应不断多样化的数据攻击类型,提高车辆信息数据的防范等级,本实施例在执行对信号ID的相关检测之后,还设置了对信号特征进行检测的策略,作为对车辆总线数据防护的第二道屏障,具体为判断所述总线数据中的信号ID不属于所述被检测范围之前的信号特征与信号ID不属于所述被检测范围之后的信号特征是否匹配,如果不匹配,则在对应的第一安全日志信息中记录为怀疑攻击事件,将其传送给对应从节点的MPU。当然,每一从节点的MCU在向MPU传输时,可以采用数据加密的传输方式来进一步提高对车辆信息数据的防护。
作为其中一种优选方案,所述信号特征至少包括:报文范围、报文长度与信号关系。举例来说,原信号的报文范围为0~110,如果在检测的过程中发现信号的报文范围发生了改变,则意味着车辆信息收到了黑客攻击,导致信号失真,此时判定预设防御条件得到满足,由第一IDS监控模块生产对应的第一安全日志信息;又例如,原信号的报文长度为32位,如果在检测的过程中发现信号的报文长度变成24位或其他长度位,则意味着车辆信息收到了黑客攻击,导致信号失真,此时判定预设防御条件得到满足,由第一IDS监控模块生产对应的第一安全日志信息;对于信号关系这一信号特征而言,需要检查信号所代表的某一功能响应是否符合原设计逻辑,例如检测ESC变速杆位的信号关系的流程为:车辆动态控制模块先收到第一激活信号的请求指令,接着查看是否收到第二反向信号,并检查确认是否为第二反向信号,如果检查到第二反向信号无误,则车辆动态控制模块响应第三控制信号的指令,执行扭矩更改的功能。
优选地,对部分信号ID与相关信号特征的检测如下表所示:
作为其中一种优选方案,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口不属于预设的防火墙配置IP区间时,判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
当所述以太网数据的端口属于预设的防火墙配置IP区间时,判断所述以太网数据的传输协议是否出现错误;
若所述以太网数据的传输协议出现错误,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
当所述以太网数据的端口不属于预设的防火墙配置IP区间,且所述以太网数据的传输协议正常时,判断所述以太网数据的有效载荷数据是否出现HTTP木马病毒;
若所述以太网数据的有效载荷数据出现HTTP木马病毒,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
应当说明的是,位于MPU侧的第二IDS监控模块不仅具有检测功能,还具有拦截功能,用于实现对以太网数据的及时保护,具体的,请参见图5与图6,图5示出为其中一实施例的以太网数据的流向示意图,图6示出为其中一实施例的以太网数据检测流程示意图,通过对以太网数据的端口、传输协议以及有效载荷进行检测,实现对以太网数据的多级防护。当以太网数据传入第二IDS监控模块时会触发各级模块进行检测,首先信号进入以太网数据的端口检测,通过将信号端口与防火墙配置IP区间进行比对分析,判断所述以太网数据的端口是否属于预设的防火墙配置IP区间,当不属于预设的防火墙配置IP区间时,意味着以太网数据信号的端口为非法区间,此时判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
在完成第一级的端口过滤之后,如果以太网数据信号的端口正常,则进行以太网数据的传输协议检测,判断所述以太网数据的传输协议是否出现错误,具体的传输协议包括TCP传输协议、IP传输协议、UDP传输协议与ICMP传输协议,通过对协议头进行检测,判断以太网数据是否出现错误,若所述以太网数据的传输协议出现错误,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
在完成第二级的传输协议的过滤之后,还可以对数据流进行分片与重组,以提高数据的多样化程度,从而有利于识别出不同以太网数据的非法伪装,提高车辆信息数据的防护程度。如果第二IDS监控模块检测到所述以太网数据的端口不属于预设的防火墙配置IP区间,且所述以太网数据的传输协议正常时,则进行以太网数据的有效载荷检测,对以太网数据的payload有效载荷数据进行检测,若检测到所述以太网数据的有效载荷数据出现HTTP木马病毒,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
此外,在本实施例中,请参见图7,图7示出为其中一实施例的后台服务器的数据流向示意图,网络安全管理平台作为数据管理后台,其通过相关的HHT服务器集群(服务器集群内设有两道防火墙用于对数据进行加密保护)实现对应的通信传输,且网络安全管理平台直观地提供了车辆信息防护的相关数据,包括记录被攻击的事件、次数、车辆数量、攻击类型等等,通过对相关数据进行整合,绘制出对应的饼图与曲线图,从而为后续的车辆信息安全分析提供了准确的数据支撑。网络安全管理平台一般设于对应的车企中,车辆主节点通过建立TLS加密传输将相关的安全日志信息传送至对应的平台端A进行整合分析,同时,网络运维运营供应商提供静态IP提供堡垒机,并连接到HHT服务器,并通过单项认证TLS的方式获取到安全的车辆日志信息。当然,也可借助相关的终端设备,在用户端B来接收车辆信息安全数据,可以通过设置账号管理权限,例如平台端A有最高账号管理权限,用户端B具有普通管理员权限,以此方式来防止车辆信息数据出现泄露,进一步加强了车辆信息的安全。
本发明另一实施例提供了一种车辆信息安全防护系统,包括控制器,所述控制器被配置为:
实时获取车辆每一从节点对应的信息数据;
当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;
将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
需要说明的是,各从节点为分布在车辆的各个位置的车身控制单元,其内部通常设有数据采集模块用于对安装在附近的各种传感器的模拟信号(例如,水温、油温和前桥压力等等)进行AD采集。在本发明实施例中,每一所述从节点包括总线数据处理模块和以太网数据处理模块,优选地,在上述实施例中,如图3所示,在从节点的MCU侧部署有CAN总线数据处理模块,用于判断信息数据中的总线数据是否满足预设防御条件;在从节点的MPU侧部署有以太网数据处理模块,用于判断信息数据中的以太网数据是否满足预设拦截条件,然后将相关数据信息发送给主节点,由主节点与后台的网络安全管理平台进行通信交互。
此外,在实际应用中,由于车型的不同,从节点附近安装的传感器的电气特性和位置不同,都会导致从节点的功能模块发生变化,例如,为了实现主节点与从节点之间通过无线通信进行数据交互,在从节点中需要部署相关的无线通信模块,当主节点与从节点之间通过其他方式进行通信交互时,从节点也需要增设对应的功能管理模块。优选地,在上述实施例中,为了实现对本地数据的保护功能,每一所述从节点还包括安全日志模块(即为图3中的LibSelog),安全日志模块的数据输入端与所述以太网数据处理模块的输出端连接。在以太网数据处理模块与主节点进行数据传输的同时,还会通过安全日志模块接收相关的数据处理结果(即相关的日志信息),并在本地进行存储,以实现对本地数据的保护与备份功能。当然,安全日志模块的部署位置也会根据车型的不同而发生改变。
优选地,在上述实施例中,所述主节点为TBOX。车载T-BOX可以通过GPRS网络将数据传输至后台的服务器平台,用于提供包括车况报告、行车报告、故障提醒、安全防盗等多种信息。当然,主节点也可选用其他数字化仪表,接收各从节点传送的数据,并通过指示灯、显示屏、表盘等设备显示数据。
本发明又一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的车辆信息安全防护方法。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等,所述计算机代码可以运行于相应的操作系统中,所述操作系统包括但不限于andriod,QNX,Linux,autosar,仿autosar框架等。
相比于现有技术,本发明实施例提供的车辆信息安全防护方法、系统及存储介质,具有如下有益效果:
(1)充分考虑到车辆在网联化过程中产生的车辆信息安全问题,通过实时监测车辆的总线数据和以太网数据,实现了车辆信息的检测、判断和分析,再针对不同的数据类型执行对应的防御或拦截策略,实现了对车辆信息数据的决策控制,从而降低未授权控车的风险,防止车辆遭受到网络攻击、木马病毒、数据窃取等互联网安全威胁,为用户隐私数据提供了有力的保护,实现对车辆信息安全的防护。
(2)通过统一的网络安全管理平台来接收相关的安全日志信息,从而实现了对车辆各级安全信息的有效管理,为车辆的信息安全防护提供了准确的数据支撑,推进了车辆信息化的进程。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
Claims (13)
1.一种车辆信息安全防护方法,其特征在于,包括:
实时获取每一从节点对应的信息数据;
当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;
将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
2.如权利要求1所述的车辆信息安全防护方法,其特征在于,所述当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息的步骤,具体为:
当所述总线数据的信号ID列入被检测范围时,则判断所述预设防御条件得到满足,并生成对应的第一安全日志信息。
3.如权利要求1所述的车辆信息安全防护方法,其特征在于,所述当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息的步骤,具体为:
当所述总线数据的信号ID不属于被检测范围时,判断所述总线数据中的信号ID不属于所述被检测范围之前的信号特征与信号ID不属于所述被检测范围之后的信号特征是否匹配;
若所述总线数据中的信号ID不属于所述被检测范围之前的信号特征不匹配所述信号ID不属于所述被检测范围之后的信号特征,则判断所述预设防御条件得到满足,生成对应的第一安全日志信息。
4.如权利要求3所述的车辆信息安全防护方法,其特征在于,所述信号特征至少包括:报文范围、报文长度与信号关系。
5.如权利要求1所述的车辆信息安全防护方法,其特征在于,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口不属于预设的防火墙配置IP区间时,判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
6.如权利要求1所述的车辆信息安全防护方法,其特征在于,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口属于预设的防火墙配置IP区间时,判断所述以太网数据的传输协议是否出现错误;
若所述以太网数据的传输协议出现错误,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
7.如权利要求6所述的车辆信息安全防护方法,其特征在于,所述传输协议至少包括:TCP传输协议、IP传输协议、UDP传输协议与ICMP传输协议。
8.如权利要求1所述的车辆信息安全防护方法,其特征在于,所述当所述实时信息数据中的以太网数据满足拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息的步骤,具体为:
当所述以太网数据的端口不属于预设的防火墙配置IP区间,且所述以太网数据的传输协议正常时,判断所述以太网数据的有效载荷数据是否出现HTTP木马病毒;
若所述以太网数据的有效载荷数据出现HTTP木马病毒,则判断所述拦截条件得到满足,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息。
9.一种车辆信息安全防护系统,其特征在于,包括控制器,所述控制器被配置为:
实时获取每一从节点对应的信息数据;
当所述信息数据中的总线数据满足预设防御条件时,生成对应的第一安全日志信息;
当所述信息数据中的以太网数据满足预设拦截条件时,中断对应的所述从节点向主节点的以太网数据传输,并生成对应的第二安全日志信息;
将所述信息数据、所述第一安全日志信息与所述第二安全日志信息发送至网络安全管理平台。
10.如权利要求9所述的车辆信息安全防护系统,其特征在于,每一所述从节点包括总线数据处理模块和以太网数据处理模块;
所述总线数据处理模块的输出端与对应的所述以太网数据处理模块的输入端连接;
所述以太网数据处理模块的输出端与所述主节点的输入端连接;
所述主节点的数据通信端与所述网络安全管理平台的数据通信端连接。
11.如权利要求10所述的车辆信息安全防护系统,其特征在于,每一所述从节点还包括安全日志模块;
所述安全日志模块的数据输入端与所述以太网数据处理模块的输出端连接。
12.如权利要求9-11任一项所述的车辆信息安全防护系统,其特征在于,所述主节点为TBOX。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至8中任意一项所述的车辆信息安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010830268.3A CN112104608A (zh) | 2020-08-17 | 2020-08-17 | 一种车辆信息安全防护方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010830268.3A CN112104608A (zh) | 2020-08-17 | 2020-08-17 | 一种车辆信息安全防护方法、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112104608A true CN112104608A (zh) | 2020-12-18 |
Family
ID=73753874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010830268.3A Pending CN112104608A (zh) | 2020-08-17 | 2020-08-17 | 一种车辆信息安全防护方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104608A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407956A (zh) * | 2021-05-31 | 2021-09-17 | 江铃汽车股份有限公司 | 一种数据控制方法、系统、可读存储介质及车辆 |
| CN116545685A (zh) * | 2023-04-28 | 2023-08-04 | 零束科技有限公司 | 车内校验失败信息管理方法、通讯系统、车辆及存储介质 |
Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014131176A (ja) * | 2012-12-28 | 2014-07-10 | Toyota Motor Corp | 通信ノード、及び通信システム |
| CN104834276A (zh) * | 2014-12-19 | 2015-08-12 | 北汽福田汽车股份有限公司 | 汽车can总线网络及其从节点和汽车 |
| CN105553946A (zh) * | 2015-12-08 | 2016-05-04 | 严威 | 基于can总线防火墙的车载系统及其控制方法 |
| CN106143364A (zh) * | 2016-07-22 | 2016-11-23 | 北京航空航天大学 | 一种电动汽车分布式控制器信息安全方法及系统 |
| CN106647724A (zh) * | 2017-02-15 | 2017-05-10 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
| CN106919495A (zh) * | 2015-12-25 | 2017-07-04 | 比亚迪股份有限公司 | 用于车辆的can总线日志文件获取装置、系统和车辆 |
| CN107426285A (zh) * | 2017-05-19 | 2017-12-01 | 北京软安科技有限公司 | 一种车载can总线安全防护方法和装置 |
| CN108521410A (zh) * | 2018-03-19 | 2018-09-11 | 北京航空航天大学 | 车载以太网的安全防护架构 |
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| CN109117313A (zh) * | 2018-08-28 | 2019-01-01 | 成都信息工程大学 | 一种带隔离灾备管控机制的车辆智慧安全网关及管控方法 |
| CN109495439A (zh) * | 2017-09-11 | 2019-03-19 | 通用汽车环球科技运作有限责任公司 | 用于车内网络入侵检测的系统和方法 |
| CN109714344A (zh) * | 2018-12-28 | 2019-05-03 | 国汽(北京)智能网联汽车研究院有限公司 | 基于“端-管-云”的智能网联汽车信息安全平台 |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| US20190306180A1 (en) * | 2018-03-30 | 2019-10-03 | AO Kaspersky Lab | System and method of generating rules for blocking a computer attack on a vehicle |
| CN110857111A (zh) * | 2018-08-23 | 2020-03-03 | 比亚迪股份有限公司 | 车辆控制器、车辆控制方法及车辆 |
| CN110971620A (zh) * | 2020-01-03 | 2020-04-07 | 清华大学深圳国际研究生院 | 一种智能网关流量安全策略方法 |
| CN110995836A (zh) * | 2019-11-29 | 2020-04-10 | 安徽江淮汽车集团股份有限公司 | 基于车联网平台的日志管理方法、设备、存储介质及装置 |
| CN111061584A (zh) * | 2019-11-21 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种故障诊断方法、装置、设备及可读存储介质 |
| CN111181829A (zh) * | 2019-12-24 | 2020-05-19 | 中国铁道科学研究院集团有限公司 | 列车以太网数据传输设备及列车以太网数据传输方法 |
| CN111343128A (zh) * | 2018-12-18 | 2020-06-26 | 上海汽车集团股份有限公司 | 应用于机动车辆的网络安全监控设备及网络安全监控系统 |
| CN111371777A (zh) * | 2020-02-28 | 2020-07-03 | 北京天融信网络安全技术有限公司 | 一种车辆网络的攻击检测方法、装置、检测器及存储介质 |
| CN111431864A (zh) * | 2020-02-28 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 车联网监控系统、方法、装置及可读存储介质 |
| CN111447128A (zh) * | 2020-03-24 | 2020-07-24 | 重庆长安汽车股份有限公司 | 可远程动态配置的整车数据采集上传方法及存储介质 |
-
2020
- 2020-08-17 CN CN202010830268.3A patent/CN112104608A/zh active Pending
Patent Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014131176A (ja) * | 2012-12-28 | 2014-07-10 | Toyota Motor Corp | 通信ノード、及び通信システム |
| CN104834276A (zh) * | 2014-12-19 | 2015-08-12 | 北汽福田汽车股份有限公司 | 汽车can总线网络及其从节点和汽车 |
| CN105553946A (zh) * | 2015-12-08 | 2016-05-04 | 严威 | 基于can总线防火墙的车载系统及其控制方法 |
| CN106919495A (zh) * | 2015-12-25 | 2017-07-04 | 比亚迪股份有限公司 | 用于车辆的can总线日志文件获取装置、系统和车辆 |
| CN106143364A (zh) * | 2016-07-22 | 2016-11-23 | 北京航空航天大学 | 一种电动汽车分布式控制器信息安全方法及系统 |
| CN106647724A (zh) * | 2017-02-15 | 2017-05-10 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
| CN107426285A (zh) * | 2017-05-19 | 2017-12-01 | 北京软安科技有限公司 | 一种车载can总线安全防护方法和装置 |
| CN109495439A (zh) * | 2017-09-11 | 2019-03-19 | 通用汽车环球科技运作有限责任公司 | 用于车内网络入侵检测的系统和方法 |
| CN108521410A (zh) * | 2018-03-19 | 2018-09-11 | 北京航空航天大学 | 车载以太网的安全防护架构 |
| US20190306180A1 (en) * | 2018-03-30 | 2019-10-03 | AO Kaspersky Lab | System and method of generating rules for blocking a computer attack on a vehicle |
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| CN110857111A (zh) * | 2018-08-23 | 2020-03-03 | 比亚迪股份有限公司 | 车辆控制器、车辆控制方法及车辆 |
| CN109117313A (zh) * | 2018-08-28 | 2019-01-01 | 成都信息工程大学 | 一种带隔离灾备管控机制的车辆智慧安全网关及管控方法 |
| CN111343128A (zh) * | 2018-12-18 | 2020-06-26 | 上海汽车集团股份有限公司 | 应用于机动车辆的网络安全监控设备及网络安全监控系统 |
| CN109714344A (zh) * | 2018-12-28 | 2019-05-03 | 国汽(北京)智能网联汽车研究院有限公司 | 基于“端-管-云”的智能网联汽车信息安全平台 |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| CN111061584A (zh) * | 2019-11-21 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种故障诊断方法、装置、设备及可读存储介质 |
| CN110995836A (zh) * | 2019-11-29 | 2020-04-10 | 安徽江淮汽车集团股份有限公司 | 基于车联网平台的日志管理方法、设备、存储介质及装置 |
| CN111181829A (zh) * | 2019-12-24 | 2020-05-19 | 中国铁道科学研究院集团有限公司 | 列车以太网数据传输设备及列车以太网数据传输方法 |
| CN110971620A (zh) * | 2020-01-03 | 2020-04-07 | 清华大学深圳国际研究生院 | 一种智能网关流量安全策略方法 |
| CN111371777A (zh) * | 2020-02-28 | 2020-07-03 | 北京天融信网络安全技术有限公司 | 一种车辆网络的攻击检测方法、装置、检测器及存储介质 |
| CN111431864A (zh) * | 2020-02-28 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 车联网监控系统、方法、装置及可读存储介质 |
| CN111447128A (zh) * | 2020-03-24 | 2020-07-24 | 重庆长安汽车股份有限公司 | 可远程动态配置的整车数据采集上传方法及存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407956A (zh) * | 2021-05-31 | 2021-09-17 | 江铃汽车股份有限公司 | 一种数据控制方法、系统、可读存储介质及车辆 |
| CN116545685A (zh) * | 2023-04-28 | 2023-08-04 | 零束科技有限公司 | 车内校验失败信息管理方法、通讯系统、车辆及存储介质 |
| CN116545685B (zh) * | 2023-04-28 | 2024-10-01 | 零束科技有限公司 | 车内校验失败信息管理方法、通讯系统、车辆及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11411917B2 (en) | Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units | |
| US9646156B2 (en) | System and method for detecting OBD-II CAN BUS message attacks | |
| CN107431709B (zh) | 攻击识别方法、攻击识别装置和用于汽车的总线系统 | |
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| US20190182267A1 (en) | Vehicle security manager | |
| US20210075800A1 (en) | Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers | |
| JP6382724B2 (ja) | グローバル自動車安全システム | |
| US12107876B2 (en) | Intrusion path analysis device and intrusion path analysis method | |
| EP3776367A1 (en) | Detecting data anomalies on a data interface using machine learning | |
| EP3528163A1 (en) | Cryptic vehicle shield | |
| KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
| KR101907011B1 (ko) | 차량 네트워크 통신보안성 평가 및 모니터링 장치 | |
| CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
| CN111077883A (zh) | 一种基于can总线的车载网络安全防护方法及装置 | |
| CN112104608A (zh) | 一种车辆信息安全防护方法、系统及存储介质 | |
| KR101781135B1 (ko) | 차량 네트워크 통신보안성 평가 및 모니터링 장치 | |
| KR20190003112A (ko) | Can 통신 기반 우회 공격 탐지 방법 및 시스템 | |
| JP2022024266A (ja) | ログ分析装置 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| Fallstrand et al. | Applicability analysis of intrusion detection and prevention in automotive systems | |
| WO2020184001A1 (ja) | 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム | |
| Iclodean et al. | Safety and cybersecurity | |
| KR101902823B1 (ko) | 차량 네트워크 통신보안성 평가 및 모니터링 장치 | |
| CN115333938B (zh) | 一种车辆安全防护控制方法及相关设备 | |
| Rashmi | Intrusion Detection System: An Approach to Autonomous Vehicles |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201218 |