CN116055190A - 一种车载网关防火墙的防护方法、装置及车载网关防火墙 - Google Patents
一种车载网关防火墙的防护方法、装置及车载网关防火墙 Download PDFInfo
- Publication number
- CN116055190A CN116055190A CN202310050415.9A CN202310050415A CN116055190A CN 116055190 A CN116055190 A CN 116055190A CN 202310050415 A CN202310050415 A CN 202310050415A CN 116055190 A CN116055190 A CN 116055190A
- Authority
- CN
- China
- Prior art keywords
- data packet
- random number
- detecting whether
- password
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种车载网关防火墙的防护方法、装置及车载网关防火墙。方法包括:接收传输到车载网关的数据包和报文;依次检测数据包的多项内容是否在预先建立的相应白名单/黑名单中;在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规。本发明使得对数据包不仅从网络协议特征的角度进行入侵检测,还从密码协议、密码算法等密码应用安全的角度对数据进行入侵检测,确保数据安全性。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种车载网关防火墙的防护方法、装置及车载网关防火墙。
背景技术
汽车的安全性一直被视为重中之重,在智能网联汽车发展如火如荼的今天,由于车载网络环境愈加复杂,信息安全在车辆的安全属性中也占据了举足轻重的地位。对于智能网联汽车,一方面由于汽车与外界网络交互的接口迅速增多,使得汽车更容易受到外部的攻击;另一方面,StrategyAnalytics的报告指出,由于汽车功能的增加,车辆电子控制单元(ElectronicControlUnit,ECU)已经多达上百个,代码近亿行,导致汽车存在更多的网络漏洞和信息安全隐患。而这些漏洞和隐患都必将直接或间接的影响到汽车驾驶员和乘客的生命财产安全。
目前针对车联网安全防护层的防火墙机制主要包含:
①MAC地址过滤,黑白名单设置;
②URL/包含的关键字过滤;
③源或目标端口访问控制;
④端口扫描检测;
⑤DDOS攻击、ARP欺骗拦截。
实现技术手段主要包括Linux下iptables,netfilter等功能模块实现。现有技术缺点包括。
(1)原算法异常报文的检测时间片过长,入侵检测系统实时性较差。
(2)原算法检测灵敏度低,对于单位时间内数量较少的入侵报文无法检测,或者检测准确率极低。
(3)检测方案简单,攻击者很容易试探出防火墙的检测逻辑,从而有针对性地设计伪造报文,轻松绕过防火墙地检测机制。
(4)CAN总线帧格式中唯一提供与安全相关的校验机制的就是CRC域,当前的检测没有对密码应用保护机制进行检测,不足以确保数据机密性、消息完整性、可用性、真实性、不可否认性。
发明内容
基于此,针对上述技术问题,提供一种车载网关防火墙的防护方法、装置及车载网关防火墙,以解决现目前针对车联网安全防护层的防火墙机制,仅对数据包从网络安全的角度进行协议特征检测,没有从密码应用安全的角度考虑安全问题的技术问题。
为了实现上述目的,本申请提供如下技术方案:
第一方面,一种车载网关防火墙的防护方法,应用于车载网关防火墙,所述方法包括:
S1,接收传输到车载网关的数据包和报文;
S2,依次检测所述数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃所述数据包并向风险告警模块发送相应告警提示指令;
S3,在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令;
S4,检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令;
S5,对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
可选地,步骤S2具体包括:
S21,检测所述数据包中的MAC地址是否在MAC地址白名单中;当在MAC地址白名单中,转到步骤S22,当不在MAC地址白名单中,检测MAC地址是否在MAC地址黑名单中;若在MAC地址黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在MAC地址黑名单中,转到步骤S22;
S22,检测所述数据包中的IP地址是否在端口白名单中;当在端口白名单中,转到步骤S23,当不在端口白名单中,检测IP地址是否在端口黑名单中;若在端口黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在端口黑名单中,转到步骤S23;
S23,检测所述数据包中的URL是否在URL关键字白名单中;当在URL关键字白名单中,转到步骤S24,当不在URL关键字白名单中,检测URL是否在URL关键字黑名单中;若在URL关键字黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在URL关键字黑名单中,转到步骤S24;
S24,检测所述数据包中的总线地址是否在总线地址白名单中;当在总线地址白名单中,转到步骤S3,当不在总线地址白名单中,检测总线地址是否在总线地址黑名单中;若在总线地址黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在总线地址黑名单中,转到步骤S3。
可选地,步骤S3还包括:
每接收到一个总线ID的报文,对总线ID对应的Anti-DDoS接收计数器做加一操作。
可选地,步骤S4之后还包括:
预先建立新鲜值/随机数记忆存储区,记录认证成功会话中的新鲜值或随机数;
当检测到有密码认证协议数据帧,检测密码认证协议数据帧是否包含新鲜值或随机数;
若检测到不包含新鲜值或随机数,转到步骤S5;
若检测到包含新鲜值或随机数,读取密码认证协议数据帧中包含的新鲜值或随机数,并与记录的新鲜值或随机数进行对比;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数重复,丢弃该数据包并向风险告警模块发送相应告警提示指令;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数不重复,将密码认证协议数据帧中包含的新鲜值或随机数存放在缓存中,并进行认证;
在认证成功后,将密码认证协议数据帧中包含的新鲜值或随机数存放到所述新鲜值/随机数记忆存储区中;
认证不成功,从缓存中将密码认证协议数据帧中包含的新鲜值或随机数进行删除,并向风险告警模块发送相应告警提示指令。
可选地,所述多个密码算法指标包括椭圆曲线参数的正确性、签名算法的正确性、密码算法密钥长度、分组密码分组长度、密码杂凑算法长度。
可选地,所述方法还包括:
检测报文的长度和格式是否正确,当检测到长度或格式不正确,向风险告警模块发送相应告警提示指令;
检测报文内容中的信号值是否在有效数据范围内,当检测到不在有效数据范围内,向风险告警模块发送相应告警提示指令。
可选地,所述方法还包括:
分别验证网络实体与公钥和数字证书的绑定关系;
在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期;
当发现存在异常,丢弃数据包并向风险告警模块发送相应告警提示指令。
第二方面,一种车载网关防火墙的防护装置,包括:
数据获取模块,用于接收传输到车载网关的数据包和报文;
过滤模块,用于依次检测所述数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃所述数据包并向风险告警模块发送相应告警提示指令;
DDoS攻击检测模块,用于在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令;
协议检测模块,用于检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令;
密码算法检测模块,用于对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
第三方面,一种车载网关防火墙,包括第二方面所述的车载网关防火墙的防护装置和风险告警模块,所述风险告警模块用于接收告警提示指令,并通过人机交互界面输出告警提示。
第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。
本发明至少具有以下有益效果:
本发明实施例提供的一种车载网关防火墙的防护方法中,通过接收传输到车载网关的数据包和报文;依次检测数据包的多项内容是否在预先建立的相应白名单/黑名单中;在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;使得对数据包不仅从网络协议特征的角度进行入侵检测,还从密码协议、密码算法等密码应用安全的角度对数据进行入侵检测,能够更好地确保数据机密性、消息完整性、可用性、真实性、不可否认性。
附图说明
图1为现代汽车网络架构示意图;
图2为本发明一个实施例提供的一种车载网关防火墙的防护方法的流程示意图;
图3为本发明一个实施例提供的一种车载网关防火墙的防护装置的模块架构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在现代汽车网络架构中,如图1所示,车载网关作为车辆内部组网信息的交汇处,是整车电子电器架构中核心的部件,不仅为各网段ECU提供报文路由转发服务,与车内几乎所有ECU均有数据交互,更承担着OTA升级的主要刷新控制器功能,甚至在下一代中央计算式架构中将作为车辆的控制中枢。结合车载网络防火墙本身需要对整车的数据流有一个完整的把控,因此将防火墙设在网关成为了最佳的选择。
在一个实施例中,如图2所示,提供了一种车载网关防火墙的防护方法,应用于车载网关防火墙,包括以下步骤:
S1,接收传输到车载网关的最新的数据包和报文。
具体来说,可以在初始化阶段,建立一个数据包记忆存储区,记录时间长度为t的网络流量数据。
S2,依次检测数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃数据包并向风险告警模块发送相应告警提示指令。
进一步地,具体来说,步骤S2包括:
S21,检测数据包中的MAC地址是否在MAC地址白名单中;当在MAC地址白名单中,转到步骤S22,当不在MAC地址白名单中,检测MAC地址是否在MAC地址黑名单中;若在MAC地址黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在MAC地址黑名单中,转到步骤S22;
S22,检测数据包中的IP地址是否在端口白名单中;当在端口白名单中,转到步骤S23,当不在端口白名单中,检测IP地址是否在端口黑名单中;若在端口黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在端口黑名单中,转到步骤S23;
S23,检测数据包中的URL是否在URL关键字白名单中;当在URL关键字白名单中,转到步骤S24,当不在URL关键字白名单中,检测URL是否在URL关键字黑名单中;若在URL关键字黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在URL关键字黑名单中,转到步骤S24;
S24,检测数据包中的总线地址是否在总线地址白名单中;当在总线地址白名单中,转到步骤S3,当不在总线地址白名单中,检测总线地址是否在总线地址黑名单中;若在总线地址黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在总线地址黑名单中,转到步骤S3。
简单来说:
S21,检测MAC地址是否在白名单中,若是,则转到步骤S22,不是则检测MAC地址是否在黑名单中,如果在黑名单中则丢弃这个数据包,并报警,不是则转到步骤S22;
S22,检测IP地址是否在白名单中,若是,则转到步骤S23,不是则检测IP地址是否在黑名单中,如果在黑名单中则丢弃这个数据包,并报警,不是则转到步骤S23;
S23,检测URL是否在白名单中,若是,则转到步骤S24,不是则检测URL是否包含黑名单中的字串,如果包含则丢弃这个数据包,并报警,不是则转到步骤S24;
S24,检测总线地址是否在白名单中,若是,则转到步骤S3,不是则检测总线地址是否在黑名单中,如果在黑名单中则丢弃这个数据包,并报警,不是则转到步骤S3。
S3,在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令。
在t间隔的诊断运行期间,判断每一个合法ID的每秒帧出现率,如果每秒帧出现率超过预先根据CAN通讯矩阵标定的出现率,则判定发生DDoS攻击,丢弃攻击报文,并在系统中给出报警提示。
通过该步骤,能够检测或阻断攻击源连续不断的flooding攻击,这样既可保护网关资源,同时也防止这种攻击扩散到其他子网中。
进一步地,步骤S3还包括:
每接收到一个总线ID的报文,对该总线ID对应的Anti-DDoS接收计数器做加一操作。
S4,检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令。
检测是否有密码认证协议数据帧,如果没有,则转到步骤S5,如果有,则检测实际数据与密码协议的初始条件、假设要求之间的符合性,防止二者之间的差距导致密码协议在实现和使用上的安全问题,一旦发现问题则报警提示。执行检测后,转到步骤S5。
进一步地,步骤S4之后还包括:
在初始化阶段,预先建立新鲜值/随机数记忆存储区,记录认证成功会话中的新鲜值或随机数;
当检测到有密码认证协议数据帧,检测密码认证协议数据帧是否包含新鲜值或随机数;
若检测到不包含新鲜值或随机数,转到步骤S5;
若检测到包含新鲜值或随机数,读取密码认证协议数据帧中包含的新鲜值或随机数,并与记录的新鲜值或随机数进行对比;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数重复,丢弃该数据包并向风险告警模块发送相应告警提示指令;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数不重复,将密码认证协议数据帧中包含的新鲜值或随机数存放在缓存中,并进行认证;
在认证成功后,将密码认证协议数据帧中包含的新鲜值或随机数存放到新鲜值/随机数记忆存储区中;
认证不成功,从缓存中将密码认证协议数据帧中包含的新鲜值或随机数进行删除,并向风险告警模块发送相应告警提示指令。
简单来说,检测数据帧是否包含新鲜值或随机数,如果没有则转到步骤S5,如果有,则读取新鲜值或随机数,并与新鲜值/随机数记忆存储区中的新鲜值或随机数进行对比,若出现重复,则丢弃数据包并报警。若不重复,则将新鲜值或随机数存放在缓存中,待认证成功,则将新鲜值或随机数存放至新鲜值/随机数记忆存储区,认证不成功则删除缓存中的新鲜值或随机数并报警。
对新鲜值或随机数的随机性进行检测,保证密码协议中挑战数的随机性和唯一性,保障能够检测出攻击者是否发动了重放攻击,能够保证传输的数据是最近发送的,而不是已经被发送过的数据。
S5,对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
其中,多个密码算法指标包括椭圆曲线参数的正确性、签名算法的正确性、密码算法密钥长度、分组密码分组长度、密码杂凑算法长度。
换句话说,对于密码认证协议数据包,分析密码算法OID、算法指示字段、密文长度、密钥长度,对使用密码算法进行识别;根据识别出的算法和对应的数据进行计算和对比分析,验证内容包括椭圆曲线参数的正确性、签名算法的正确性、密码算法密钥长度、分组密码分组长度、密码杂凑算法长度等,一旦发现不正确、不合规的算法指标,则丢弃数据包并报警。
在密码学研究中,通常直接使用密钥来代表不同身份的实体,假定密钥与实体之间的绑定关系是明确的、公开已知的。由于公钥密码学和PKI的发展,在实际运行系统中实体与密钥的绑定关系大量体现为PKI数字证书。正确的PKI数字证书验证关系到大量实际运行系统的安全性。正确地验证网络实体与公钥/数字证书的绑定关系,在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期,防止非法证书使用和身份仿冒攻击。
进一步地,该方法还包括:
检测报文的长度和格式是否正确,当检测到长度或格式不正确,向风险告警模块发送相应告警提示指令;
检测报文内容中的信号值是否在有效数据范围内,当检测到不在有效数据范围内,向风险告警模块发送相应告警提示指令。
基于通信协议的报文内容进行检测,校核报文的长度是否正确,以及信号值是否在有效数据范围内,从而准确地定位攻击并给出报警提示。
进一步地,该方法还包括:
分别验证网络实体与公钥和数字证书的绑定关系;
在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期;
一旦发现存在异常,丢弃数据包并向风险告警模块发送相应告警提示指令。
由于车载网络与互联网的系统软件拓扑结构都具有某些共同的特点,因此汽车信息安全可以借鉴互联网领域发展较为成熟的网络防御机制,例如在汽车上部署网络防火墙。
上述一种车载网关防火墙的防护方法中,通过接收传输到车载网关的数据包和报文;依次检测数据包的多项内容是否在预先建立的相应白名单/黑名单中;在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规,对数据包不仅从网络协议特征的角度进行入侵检测,还从密码协议、密码算法、数字证书等密码应用安全的角度对数据进行入侵检测,能够更好地确保数据机密性、消息完整性、可用性、真实性、不可否认性。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种车载网关防火墙的防护装置,包括以下程序模块:
数据获取模块31,用于接收传输到车载网关的数据包和报文;
过滤模块32,用于依次检测数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃数据包并向风险告警模块发送相应告警提示指令;
DDoS攻击检测模块33,用于在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令;
协议检测模块34,用于检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令;
密码算法检测模块35,用于对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
进一步地,过滤模块32具体包括:
MAC地址过滤模块,用于检测数据包中的MAC地址是否在MAC地址白名单中;当在MAC地址白名单中,转到源或目标端口过滤模块,当不在MAC地址白名单中,检测MAC地址是否在MAC地址黑名单中;若在MAC地址黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在MAC地址黑名单中,转到源或目标端口过滤模块;
源或目标端口过滤模块,用于检测数据包中的IP地址是否在端口白名单中;当在端口白名单中,转到URL/包含的关键字过滤模块,当不在端口白名单中,检测IP地址是否在端口黑名单中;若在端口黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在端口黑名单中,转到URL/包含的关键字过滤模块;
URL/包含的关键字过滤模块,用于检测数据包中的URL是否在URL关键字白名单中;当在URL关键字白名单中,转到总线地址过滤模块,当不在URL关键字白名单中,检测URL是否在URL关键字黑名单中;若在URL关键字黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在URL关键字黑名单中,转到总线地址过滤模块;
总线地址过滤模块,检测数据包中的总线地址是否在总线地址白名单中;当在总线地址白名单中,转到DDoS攻击检测模块33,当不在总线地址白名单中,检测总线地址是否在总线地址黑名单中;若在总线地址黑名单中,丢弃数据包并向风险告警模块发送告警提示指令,若不在总线地址黑名单中,转到DDoS攻击检测模块33。
进一步地,DDoS攻击检测模块33还用于:
每接收到一个总线ID的报文,对该总线ID对应的Anti-DDoS接收计数器做加一操作。
进一步地,该车载网关防火墙的防护装置还包括:
新鲜值/随机数检测模块,用于在初始化阶段,预先建立新鲜值/随机数记忆存储区,记录认证成功会话中的新鲜值或随机数;
当检测到有密码认证协议数据帧,检测密码认证协议数据帧是否包含新鲜值或随机数;
若检测到不包含新鲜值或随机数,转到密码算法检测模块35;
若检测到包含新鲜值或随机数,读取密码认证协议数据帧中包含的新鲜值或随机数,并与记录的新鲜值或随机数进行对比;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数重复,丢弃该数据包并向风险告警模块发送相应告警提示指令;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数不重复,将密码认证协议数据帧中包含的新鲜值或随机数存放在缓存中,并进行认证;
在认证成功后,将密码认证协议数据帧中包含的新鲜值或随机数存放到新鲜值/随机数记忆存储区中;
认证不成功,从缓存中将密码认证协议数据帧中包含的新鲜值或随机数进行删除,并向风险告警模块发送相应告警提示指令。
进一步地,协议检测模块33还用于:
检测报文的长度和格式是否正确,当检测到长度或格式不正确,向风险告警模块发送相应告警提示指令;
检测报文内容中的信号值是否在有效数据范围内,当检测到不在有效数据范围内,向风险告警模块发送相应告警提示指令。
进一步地,该车载网关防火墙的防护装置还包括数字实体检测模块,用于:
分别验证网络实体与公钥和数字证书的绑定关系;
在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期;
一旦发现存在异常,丢弃数据包并向风险告警模块发送相应告警提示指令。
关于一种车载网关防火墙的防护装置的具体限定可以参见上文中对于一种车载网关防火墙的防护方法的限定,在此不再赘述。上述一种车载网关防火墙的防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种车载网关防火墙,包括上述实施例所述的车载网关防火墙的防护装置和风险告警模块,风险告警模块用于接收告警提示指令,并通过人机交互界面输出告警提示。
也就是说,该车载网关防火墙具体包括:
MAC地址过滤模块:设置MAC地址黑白名单,防止与非法MAC地址的通信。
源或目标端口过滤模块:设置源或目标端口黑白名单,防止非法端口的通信。
URL/包含的关键字过滤模块:设置URL/包含的关键字黑白名单,防止非法的URL访问。
总线地址过滤模块:设置总线地址黑白名单,防止非法的总线地址访问。
DDoS攻击检测模块:DDoS攻击检测模块用来检测或阻断攻击源连续不断的flooding攻击,这样即可保护网关资源同时也防止这种攻击扩散到其他子网中。在时间间隔为t的诊断运行期间,判断每一个合法ID的每秒帧出现率,如果每秒帧出现率超过预先根据CAN通讯矩阵标定的出现率,则判定发生Anti-DDoS攻击,丢弃攻击报文,并在系统中给出报警提示。
新鲜值/随机数检测模块:对新鲜值或随机数的随机性进行检测,保证密码协议中挑战数的随机性和唯一性,保障能够检测出攻击者是否发动了重放攻击,能够保证传输的数据是最近发送的,而不是已经被发送过的数据。
数字实体检测模块:在密码学研究中,通常直接使用密钥来代表不同身份的实体,假定密钥与实体之间的绑定关系是明确的、公开已知的。由于公钥密码学和PKI的发展,在实际运行系统中实体与密钥的绑定关系大量体现为PKI数字证书。正确的PKI数字证书验证关系到大量实际运行系统的安全性。数字实体检测模块正确地验证网络实体与公钥/数字证书的绑定关系,在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期,防止非法证书使用和身份仿冒攻击。
协议检测模块:协议检测模块分析对报文长度、格式和内容进行检测,并检测实际数据与密码协议的初始条件、假设要求之间的符合性,防止二者之间的差距导致密码协议在实现和使用上的安全问题。
密码算法检测模块:密码算法检测模块分析算法OID、算法指示字段、密文长度、密钥长度,对使用密码算法进行识别;根据识别出的算法和对应的数据进行计算和对比分析,主要验证内容包括椭圆曲线参数的正确性、签名算法的正确性、密码算法密钥长度、分组密码分组长度、密码杂凑算法长度等。
风险告警模块:当各个检测模块检测到攻击时,把攻击情况上传到风险告警模块,风险告警模块将事件输出到人机交互界面,并记录日志。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random AccessMemory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(StaticRandomAccessMemory,SRAM)或动态随机存取存储器(DynamicRandomAccessMemory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种车载网关防火墙的防护方法,其特征在于,应用于车载网关防火墙,所述方法包括:
S1,接收传输到车载网关的数据包和报文;
S2,依次检测所述数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃所述数据包并向风险告警模块发送相应告警提示指令;
S3,在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令;
S4,检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令;
S5,对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
2.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,步骤S2具体包括:
S21,检测所述数据包中的MAC地址是否在MAC地址白名单中;当在MAC地址白名单中,转到步骤S22,当不在MAC地址白名单中,检测MAC地址是否在MAC地址黑名单中;若在MAC地址黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在MAC地址黑名单中,转到步骤S22;
S22,检测所述数据包中的IP地址是否在端口白名单中;当在端口白名单中,转到步骤S23,当不在端口白名单中,检测IP地址是否在端口黑名单中;若在端口黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在端口黑名单中,转到步骤S23;
S23,检测所述数据包中的URL是否在URL关键字白名单中;当在URL关键字白名单中,转到步骤S24,当不在URL关键字白名单中,检测URL是否在URL关键字黑名单中;若在URL关键字黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在URL关键字黑名单中,转到步骤S24;
S24,检测所述数据包中的总线地址是否在总线地址白名单中;当在总线地址白名单中,转到步骤S3,当不在总线地址白名单中,检测总线地址是否在总线地址黑名单中;若在总线地址黑名单中,丢弃所述数据包并向风险告警模块发送告警提示指令,若不在总线地址黑名单中,转到步骤S3。
3.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,步骤S3还包括:
每接收到一个总线ID的报文,对总线ID对应的Anti-DDoS接收计数器做加一操作。
4.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,步骤S4之后还包括:
预先建立新鲜值/随机数记忆存储区,记录认证成功会话中的新鲜值或随机数;
当检测到有密码认证协议数据帧,检测密码认证协议数据帧是否包含新鲜值或随机数;
若检测到不包含新鲜值或随机数,转到步骤S5;
若检测到包含新鲜值或随机数,读取密码认证协议数据帧中包含的新鲜值或随机数,并与记录的新鲜值或随机数进行对比;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数重复,丢弃该数据包并向风险告警模块发送相应告警提示指令;
如密码认证协议数据帧中包含的新鲜值或随机数与新鲜值/随机数记忆存储区中的新鲜值或随机数不重复,将密码认证协议数据帧中包含的新鲜值或随机数存放在缓存中,并进行认证;
在认证成功后,将密码认证协议数据帧中包含的新鲜值或随机数存放到所述新鲜值/随机数记忆存储区中;
认证不成功,从缓存中将密码认证协议数据帧中包含的新鲜值或随机数进行删除,并向风险告警模块发送相应告警提示指令。
5.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,所述多个密码算法指标包括椭圆曲线参数的正确性、签名算法的正确性、密码算法密钥长度、分组密码分组长度、密码杂凑算法长度。
6.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,所述方法还包括:
检测报文的长度和格式是否正确,当检测到长度或格式不正确,向风险告警模块发送相应告警提示指令;
检测报文内容中的信号值是否在有效数据范围内,当检测到不在有效数据范围内,向风险告警模块发送相应告警提示指令。
7.根据权利要求1所述的车载网关防火墙的防护方法,其特征在于,所述方法还包括:
分别验证网络实体与公钥和数字证书的绑定关系;
在数字证书验证过程中,检查根CA证书配置、证书链签名验证、实体身份标识和证书有效期;
当发现存在异常,丢弃数据包并向风险告警模块发送相应告警提示指令。
8.一种车载网关防火墙的防护装置,其特征在于,包括:
数据获取模块,用于接收传输到车载网关的数据包和报文;
过滤模块,用于依次检测所述数据包的多项内容是否在预先建立的相应白名单/黑名单中,当检测到存在一项内容在相应黑名单中,丢弃所述数据包并向风险告警模块发送相应告警提示指令;
DDoS攻击检测模块,用于在诊断运行期间,判断每一个合法报文的ID的每秒帧出现率是否超过预设出现率阈值;当判定超过预设出现率阈值,丢弃该报文并向风险告警模块发送相应告警提示指令;
协议检测模块,用于检测数据包中是否有密码认证协议数据帧,当检测到有密码认证协议数据帧,检测实际数据与密码协议的初始条件、假设要求之间的符合性;若检测到实际数据与密码协议的初始条件、假设要求之间的差异超过预设差异阈值,向风险告警模块发送相应告警提示指令;
密码算法检测模块,用于对于有密码认证协议数据帧的数据包,分析得到多个密码算法指标,检测每个密码算法指标是否合规;当检测到存在一个密码算法指标不合规,丢弃该数据包并向风险告警模块发送相应告警提示指令。
9.一种车载网关防火墙,包括权利要求8所述的车载网关防火墙的防护装置和风险告警模块,所述风险告警模块用于接收告警提示指令,并通过人机交互界面输出告警提示。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310050415.9A CN116055190A (zh) | 2023-02-01 | 2023-02-01 | 一种车载网关防火墙的防护方法、装置及车载网关防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310050415.9A CN116055190A (zh) | 2023-02-01 | 2023-02-01 | 一种车载网关防火墙的防护方法、装置及车载网关防火墙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116055190A true CN116055190A (zh) | 2023-05-02 |
Family
ID=86129173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310050415.9A Pending CN116055190A (zh) | 2023-02-01 | 2023-02-01 | 一种车载网关防火墙的防护方法、装置及车载网关防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055190A (zh) |
-
2023
- 2023-02-01 CN CN202310050415.9A patent/CN116055190A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134100B2 (en) | Network device and network system | |
| Jo et al. | A survey of attacks on controller area networks and corresponding countermeasures | |
| Hu et al. | Review of secure communication approaches for in-vehicle network | |
| Aliwa et al. | Cyberattacks and countermeasures for in-vehicle networks | |
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| US11245535B2 (en) | Hash-chain based sender identification scheme | |
| US20090013181A1 (en) | Method and attestation system for preventing attestation replay attack | |
| US11695574B2 (en) | Method and system for establishing trust for a cybersecurity posture of a V2X entity | |
| KR20190125047A (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| CN111935325B (zh) | 一种ota升级方法及装置 | |
| Studnia et al. | Security of embedded automotive networks: state of the art and a research proposal | |
| KR20180137306A (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| CN116405302A (zh) | 一种用于车内安全通信的系统及方法 | |
| Luo et al. | Security mechanisms design for in-vehicle network gateway | |
| Nilsson et al. | Creating a secure infrastructure for wireless diagnostics and software updates in vehicles | |
| Koyama et al. | SOME/IP intrusion detection system using real-time and retroactive anomaly detection | |
| Carsten et al. | A system to recognize intruders in controller area network (can) | |
| US20220131834A1 (en) | Device, method and computer program for providing communication for a control appliance of a vehicle, method, central device and computer program for providing an update, control appliance, and vehicle | |
| KR102462736B1 (ko) | 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체 | |
| CN116055190A (zh) | 一种车载网关防火墙的防护方法、装置及车载网关防火墙 | |
| Sahana et al. | Survey on can-bus packet filtering firewall | |
| Sharma et al. | Review of the Security of Backward-Compatible Automotive Inter-ECU Communication | |
| Tanksale | Controller area network security requirements | |
| Lacroix et al. | Vehicular ad hoc network security and privacy: A second look | |
| Zhang et al. | Securing connected vehicles end to end |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |