一种车载MOST/CAN安全网关及其入侵检测方法与流程

本发明涉及汽车网络通信及其汽车安全技术领域，尤其是涉及了一种车载MOST/CAN安全网关及其入侵检测方法。

背景技术：

随着汽车电子设备和车载总线技术的飞速发展，车载总线网络的使用范围正逐步扩大，CAN(Controller Area Network，控制器局域网络)和MOST(Media Oriented System Transport，面向媒体的系统传输)网络是两种车载网络。其中，CAN是一种串行控制器局域网络，其支持实时控制和分布式控制，主要用于车辆动力传动系统、底盘控制系统和车身控制系统的连接；而MOST网络以其高速、抗干扰、质量轻、灵活等优势成为许多车载数字多媒体系统的主干网络，但同时也带来了一些潜在的安全威胁。

近些年，汽车被攻击的事件报道的越来越多，很多攻击都是通过车载娱乐系统进行的。由于汽车在发动后，与外部的交流主要通过MOST总线连接的相关设备，如GPS和各种多媒体设备，这些设备通过移动互联网与外界交互信息，给攻击者提供可乘之机，他们利用MOST和CAN总线的信息交互，对行驶汽车的驾驶和动力子系统等连接在CAN总线上的ECU(电子控制单元)，发动攻击,而汽车网关是汽车内部通信的核心设备，也是汽车内部数据集中交流的地方，如何检测出异常的数据，这是如今大多数汽车面对的考验。

技术实现要素：

本发明所要解决的技术问题是提供一种MOST/CAN安全网关，解决了MOST网络与CAN网络的协议转换，同时也提高了汽车网关的安全性，增强了汽车的危险识别能力。

本发明解决上述技术问题的技术方案如下：

一种MOST/CAN安全网关，包括CAN网络模块和MOST网络模块，所述CAN网络模块包括相连接的CAN网络收发器和CAN网络控制器；所述MOST网络模块包括相连接的MOST网络光纤收发器和MOST网络控制器，还包括主控模块，所述主控模块包括依次连接的第一微处理器、外部存储器以及第二微处理器，所述第一微处理器分别与CAN网络控制器和MOST网络控制器连接；

所述第一微处理器；用于对MOST网络模块接收的MOST总线上的各节点数据与CAN网络模块接收的CAN总线上的各节点数据的协议转换，同时对接收的数据进行解析，再将解析的数据存入外部存储器中，最后进行数据封装，更新路由表；

所述外部存储器：用于接收第一微处理器存入的经过解析后的数据，存储路由表和节点关联关系数据库；

所述第二微处理器：用于读取外部存储器中的数据，进行数据分析，将分析结果与节点关联关系数据库中的数据对比，若判断结果为异常，则显示在汽车显示器中。

本发明的有益效果是：第一微处理器主要完成MOST和CAN总线之间的协议转化，第二微处理器把经过第一微处理器的解析后的数据，按照相关的安全规则分析，把对汽车驾驶和动力子系统等攻击的数据丢弃，这样在不影响网关转换性能的前提下，第二微处理器实现入侵检测功能，保证了驾驶安全，因此本发明既提高了汽车网关的安全性，又增强了汽车的危险识别能力。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述MOST网络与CAN网络的协议转换过程为，把CAN网络中的信息帧中的数据部分分离出来，封装成MOST网络中的帧格式，再送进MOST网络收发器里，使用相关的发送模块将该MOST格式的帧传输到MOST网络中，经过MOST网络的传输，最后被目的节点获得后执行相应的操作；

相应地，用MOST报文中的源地址去路由表里查询到该报文在CAN网络中目的节点的地址，再提取出该报文中的数据，把该数据包装成能被CAN网络上节点识别的数据格式，再经过CAN收发器传送到CAN网络上，这就完成了由MOST网络到CAN网络的数据传输。

进一步，所述外部存储器存储的路由表有两张，一张为Gateway_M表，存放MOST总线上节点对应于CAN总线上节点的信息，一张为Gateway_C表，存放CAN总线上节点对应于MOST总线上节点的信息。

进一步，所述更新路由表具体过程为：第一微处理器对收到的数据解析并查询路由表，若查询不到此节点，则将该节点数据域的仲裁标识符与数据域长度写入路由表作为该节点的地址，当接收到MOST网络的报文时，若发现该报文发送的目的地址为该新CAN节点的仲裁域标识符时，就将该报文的源地址、功能块ID和数据域长度存储在路由表中，完成了更新路由表一条数据。

进一步，所述第一微处理器、第二微处理器均采用32位的芯片STM32F030分别实现协议转换和数据分析处理，CAN网络收发器采用芯片TJA1050，CAN网络控制器采用芯片MCP2515，MOST网络控制器采用芯片OS81060。

本发明，还提供了一种MOST/CAN安全网关入侵检测方法，包括以下步骤：

(1)采集汽车正常行驶时各节点产生的数据；

(2)对采集的数据进行关联关系分析，将分析结果建立成节点关联关系数据库，并将该节点关联关系数据库存入外部存储器中；

(3)汽车行驶过程中各节点产生的数据通过CAN网络模块发送给第一微处理器进行解析，第一微处理器将经过解析后的数据写入到外部存储器中；

(4)第二微处理器从外部存储器中读取数据，然后进行分析，将分析结果与节点关联关系数据库中的数据对比，若差值在设定阈值范围外，则认为此时存在入侵行为，并将判断结果返回CAN网络模块，发送到汽车显示器中显示。

进一步，所述步骤(2)的对采集的数据进行关联关系分析具体过程为：以毫秒为单位时间来采集数据，以CAN总线上节点为坐标点，当分析得到CAN总线上某个节点在某时刻的值为valuei，在该时刻CAN总线上其他节点数据值为valuex，再分析出在该单位时间内，valuei发生变化时，其余valuex的变化范围值。

进一步，所述步骤(4)的将分析结果与节点关联关系数据库中的数据对比具体过程为：

单位时间内读取一次数据，以CAN总线上的节点为坐标点，当分析得到CAN总线上某个节点在某单位时间内的值为valuem，同时分析得到在该单位时间内CAN总线上其他节点数据的最大值valuemax与最小值valuemin；再将分析得到的valuem、valuemax、valuemin三个值与关联关系数据库中的值进行比较，若在valuem时，valuemax与valuemin在设定的阈值内，则判为正常，若超出阈值，则判为异常。

附图说明

图1是本发明的安全网关系统结构框图；

图2是本发明的MOST/CAN网络协议转换示意图；

图3是本发明的安全网关入侵检测分析流程图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明的目的在于实现一种具有入侵检测功能的车载MOST/CAN安全网关，当汽车在驾驶过程中，如果出现一些异常数据，会及时通知驾驶员，以防汽车出现危险行驶行为。

本发明在硬件设计上考虑到协议转换和数据处理的运算工作量大，主控模块选择了两个微处理器来工作，第一微处理器进行协议转换，第二微处理器进行数据分析处理，这样既不影响网关转换性能，又实现了入侵检测功能。

如图1所示是本发明的安全网关系统结构框图，整体结构分为三大模块，分别为CAN网络模块、主控模块、MOST网络模块，其中，

CAN网络模块包括CAN网络收发器、CAN网络控制器；MOST网络模块包括MOST网络光纤收发器、MOST网络控制器；主控模块包括第一微处理器、第二微处理器以及分别与第一微处理器和第二微处理器相连的用于存储路由表和关联关系数据库的外部存储器；其中第二微处理器得到的数据以毫毫秒为单位时间，将一个单位时间内的数据进行分析处理，分析出该单位时间内各节点的关联关系，然后将该关联关系跟本地的关联关系数据库进行对比，若大于一定的差值，则说明该单位内发生了异常行为。

其中，第一微处理器和第二微处理器均选用32位的STM32F030芯片分别实现协议转换和数据处理，该芯片带有所有设备通用的通信接口(最多2个I²C，最多2个SPI等)。一个特殊的CAN节点用于接收CAN总线上的数据，该节点的屏蔽模式范围设置最大，可以接收所有节点的数据。CAN网络收发器选择了NXP公司的TJA1050，TJA1050是PCA82C250和PCA82C251高速CAN收发器的后继产品，它被用来连接CAN网络控制器器与物理总线。CAN网络控制器器选择了MCP2515，该芯片不仅可以收发标准数据帧与扩展数据帧，还拥有过滤数据并对数据进行管理的作用。MOST网络控制器采用OS81060，该芯片是OS81050芯片的升级，专门用于MOST25网络。

MOST/CAN网络协议转换示意图如图2所示，协议转换的原理就是将MOST网络中的数据格式和CAN网络中的数据格式进行互相转换，使之能够在目的网络中进行传输，并能被目的节点识别。

协议转换的核心是对网关路由引擎的配置，它可以解析出CAN报文中的仲裁域标识符ID1与数据域，由于CAN总线各个设备节点的优先级不同，优先级由仲裁域标识符ID1表示，因此根据标识符ID1可以表示该设备节点地址，因此可以用DI1来推断该报文的源节点，还可以查询网关的路由表来得到该报文所要传输到MOST网络上的目的节点的地址。

协议转换过程就是把CAN网络中的信息帧中的数据部分分离出来，封装成MOST网络中的帧格式，再送进MOST网络收发器里，使用相关的发送模块将该MOST格式的帧传输到MOST网络中，经过MOST网络的传输，最后被目的节点获得后执行相应的操作。相反，用MOST报文中的源地址去路由表里查询到该报文在CAN网络中目的节点的地址，再提取出该报文中的数据，把该数据包装成能被CAN网络上节点识别的数据格式，再经过CAN收发器传送到CAN网络上，这就完成了由MOST网络到CAN网络的数据传输。

路由表采用动态更新，当有新的节点加入时，可以自动识别并更新路由表。更新方法为：当网关接收一个CAN数据包，解析并查询路由表发现无此节点时，就将该节点数据域的仲裁标识符与数据域长度写入路由表作为该节点的地址，当网关接收到MOST网络中的报文时，若发现该报文发送的目的地址为该新CAN节点的仲裁域标识符时，就将该报文的源地址、功能块ID和数据域长度存储在路由表中，于是便成功更新了路由表一条数据。

路由表结构如下表：

在本发明中，考虑到汽车的实时性要求，为降低查询路由表时间，本设计为每个总线设计一张表，因此在本网关中，有两张表：Gateway_M表示MOST总线上节点与对应CAN总线节点的信息，Gateway_C表示CAN总线节点与对应MOST总线节点的信息。Gateway_M表中的字段有：MOST节点地址、功能块ID、MOST数据帧中数据长度、CAN节点地址、CAN报文数据域长度，Gateway_C表中的字段有：CAN节点地址、CAN报文数据域长度、MOST节点地址、功能块ID、MOST数据帧中数据长度。

在实际中，有时候车主会改装自己的爱车，当添加新的节点时，这时就需要更新路由表，路由表采用动态更新，在本发明中，当汽车有新的节点加入时，该节点会发送一个数据帧给网关，网关查询路由表发现无此节点时，就在路由表中新增一条数据，将该节点数据域的仲裁标识符写入路由表作为该节点的地址，当网关接收到MOST网络中的报文时，若发现该报文发送的目的地址为该新CAN节点的仲裁域标识符时，就将该报文的源地址与功能块ID存储在路由表中，这样就成功更新了路由表一条数据。

图3是安全网关入侵检测分析流程图，本发明的另一个功能就是入侵检测，这是区别于传统车载网关，增强了汽车的危险识别能力。汽车在行驶过程中，每一个动作，都会引起许多参数的变化，各个参数的变化又会有一定的规律。比如当驾驶员踩刹车时，那么发动机中的进油量会减少，汽车速度会降低，方向盘可能会发生改变等等。在实验过程中，我们先采集大量的正常驾驶时的数据，进行各个参数间的关联关系分析，然后将分析结果建立一个关联关系数据库，并将该关联关系数据库存入外部存储器中。

关联节点关系数据库中的数据采集，在前期，我们在正常车的OBD-II上安装一个接收装置，把该驾驶员在正常行驶过程中产生的数据采集起来，在PC端进行分析，分析方法为：以毫秒为单位采集数据，以CAN总线上节点为坐标点，当分析得到CAN总线上某个节点在某时刻的值为valuei，在该时刻其他总线节点数据值为valuex(n个)，再分析出在该单位时间内，valuei发生变化时，其余valuex(n个)的变化范围值。将分析的结果存入到外部存储器中，该外部存储器是受保护不被攻击的。当我们在驾驶过程中，汽车上的数据会先经过第一微处理器进行解析，第一微处理器将解析的结果一边写入到外部寄存器中，同时将写好的部分进行路由表查询，再进行数据封装，最后将该数据发送出去。

第二微处理器从外部存储器中读取数据，然后进行分析，分析过程为，以毫秒为单位读取一次数据，以CAN总线上节点为坐标点，当分析得到CAN总线上某个节点在某时刻的值为valuem，在该单位时间内CAN总线上其他节点数据的最大值valuemax与最小值valuemin。再将分析的得到的valuem、valuemax、valuemin三个值在节点关联关系数据库中进行对比，若在valuem时，valuemax与valuemin在上述的变化范围中，则为正常，若超出范围一定值(根据实际情况确定)，则判为异常，最后将判断的结果反馈到显示器中。

本发明是一种具有入侵检测功能的车载MOST/CAN安全网关，该车载安全网关不仅能够实现传统车载网关MOST总线与CAN总线的协议转换还能够检测出汽车是否遭受了外部的攻击，协议转换的原理就是将MOST网络中的数据格式和CAN网络中的数据格式进行互相转换，使之能够在目的网络中进行传输，并能被目的节点识别。协议转换的核心是对安全网关路由引擎的配置,它可以解析出CAN报文中的仲裁域标识符ID1与数据域，用这些来推断该报文的源节点,还可以查询网关的路由表来得到该报文所要传输到MOST网络上的目的节点的地址，反之也可以根据网关路由表查找MOST网络对应CAN网络中节点的地址；入侵检测的原理是在网关的主控模块添加一个微处理器，即第二微处理器用于进行数据分析，当第一微处理器解析后的数据写入外部存储器中，第二微处理器再从外部存储器中读取这些数据进行处理分析，将处理分析结果与外部存储器中的关联关系数据库进行对比，正常情况下，一个驾驶的动作会引起许多节点的变化，各个节点之间存在着一种关联关系，若发现分析结果中一个孤立的信号点，或者多个节点间的关联关系远远偏离正常范围，那么表示为该车受到入侵。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。