基于车联网的整车网络安全防护方法及整车网络架构与流程

本发明涉及汽车技术领域，特别涉及一种基于车联网的整车网络安全防护方法及整车网络架构。

背景技术：

目前，纯电动智能网联汽车的显著特征体现在车辆系统的高度电控化，ecu(electroniccontrolunit，电子控制器)数量及交互功能显著增加，软件代码及控制算法量显著增大，同时系统性漏洞风险也加大，这也导致“黑客”组织或个人带着商业或其他目的对车辆的网络攻击活动也在增加，比如整车安全限制参数修改、车辆里程表的篡改、obd(on-boarddiagnostic，车载诊断系统)侵入、远程控制等。

黑客侵入重要的手段是通过非法访问夺取整车车载网络的控制权，主要表现在：发送非驾驶员意图的控制总线报文；发送非预期的高优先级报文恶意增加网断负载率；发送诊断服务请求，窃取车辆核心数据或盗取车辆。而目前的网络完全防护技术并不能有效解决以上问题，因此，有效性和安全性较差。

可以想象到，未来网络攻击的概率会进一步增加，而汽车网络安全又极其重要，因此，亟待一种更加安全有效的网络安全防护手段来对整车网络进行防护。

技术实现要素：

本发明旨在至少解决上述技术问题之一。

为此，本发明的一个目的在于提出一种基于车联网的整车网络安全防护方法，该方法能够有效抵御网络攻击，提高整车网络安全性。

本发明的另一个目的在于提出一种基于车联网的整车网络架构。

为了实现上述目的，本发明第一方面的实施例提出了一种基于车联网的整车网络安全防护方法，包括以下步骤：对整车网络建立多个安全防御层，所述多个安全防御层至少包括：车联网防御层、整车电子电气架构防御层、车载网络防御层和汽车电子控制器物理防御层；对于每个安全防御层，分别选取与其对应的预设的安全防御技术实现整车网络安全防护，其中，所述车联网防御层对应采用防火墙技术，所述整车电子电气架构防御层对应采用中央网关技术；所述车载网络防御层对应采用网络报文mac加密技术，所述汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术。

根据本发明实施例的基于车联网的整车网络安全防护方法，采用多层防御策略，即建立多个安全防御层实现整车安全防护，能够有效抵御黑客通过无线通信和obd诊断接口进行的网络攻击，同时能够有效抵御黑客的伪装重播攻击，从而进一步提高了整车网络安全性。

另外，根据本发明上述实施例的基于车联网的整车网络安全防护方法还可以具有如下附加的技术特征：

在一些示例中，所述车联网防御层对应采用防火墙技术，进一步包括：在车联网服务平台与整车之间增加t-box硬件，且二者之间的通信和外部接口相关的安全标准按照ieee1609.2中针对智能交通系统定义的相关的无线网络的安全通信规范执行。

在一些示例中，所述整车电子电气架构防御层对应采用中央网关技术，进一步包括：根据can总线网络的规范，以报文id和周期及信号内容为基础，对通信内容进行检查和过滤，进行相应报文的转发，并对诊断请求和非标准数据的传输采用seed-key安全访问机制。

在一些示例中，所述车载网络防御层对应采用网络报文mac加密技术，进一步包括：确定发送节点和接收节点，所述发送节点和接收节点各自保存且共享密钥；所述发送节点生成一个报文认证码mac，采用mac生成算法，根据实际报文、密钥和新鲜值计算出唯一的认证数据；所述发送节点将实际报文、新鲜值以及报文认证码组成消息的有效负荷，并将所述有效负荷发送到所述接收节点；所述接收节点对所述有效负荷进行验证，如果接收到的新鲜值比本地保存的新鲜值高，则将接收到的实际报文、本地保存的新鲜值和接收到的新鲜值连接起来，连接后的值和密钥作为所述mac生成算法的输入；将计算出来的mac和接收到的mac进行匹配，如果匹配成功，则接收节点判定报文来自可靠的发送节点。

在一些示例中，所述汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术，进一步包括：根据汽车电子控制器的功能需求按照evita的分级标准确定所述汽车电子控制器选取的evita等级，其中，所述evita等级包括：evitafull级、evitamedium级和evitalight级。

为了实现上述目的，本发明第二方面的实施例提出了一种基于车联网的整车网络架构，包括：多个安全防御层，所述多个安全防御层至少包括：车联网防御层、整车电子电气架构防御层、车载网络防御层和汽车电子控制器物理防御层，其中，对于每个安全防御层，分别选取与其对应的预设的安全防御技术实现整车网络安全防护，其中，所述车联网防御层对应采用防火墙技术，所述整车电子电气架构防御层对应采用中央网关技术；所述车载网络防御层对应采用网络报文mac加密技术，所述汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术。

根据本发明实施例的基于车联网的整车网络架构，采用多层防御策略，即建立多个安全防御层实现整车安全防护，能够有效抵御黑客通过无线通信和obd诊断接口进行的网络攻击，同时能够有效抵御黑客的伪装重播攻击，从而进一步提高了整车网络安全性。

另外，根据本发明上述实施例的基于车联网的整车网络架构还可以具有如下附加的技术特征：

在一些示例中，所述车联网防御层对应采用防火墙技术，进一步包括：在车联网服务平台与整车之间增加t-box硬件，且二者之间的通信和外部接口相关的安全标准按照ieee1609.2中针对智能交通系统定义的相关的无线网络的安全通信规范执行。

在一些示例中，所述整车电子电气架构防御层对应采用中央网关技术，进一步包括：根据can总线网络的规范，以报文id和周期及信号内容为基础，对通信内容进行检查和过滤，进行相应报文的转发，并对诊断请求和非标准数据的传输采用seed-key安全访问机制。

在一些示例中，所述车载网络防御层对应采用网络报文mac加密技术，进一步包括：确定发送节点和接收节点，所述发送节点和接收节点各自保存且共享密钥；所述发送节点生成一个报文认证码mac，采用mac生成算法，根据实际报文、密钥和新鲜值计算出唯一的认证数据；所述发送节点将实际报文、新鲜值以及报文认证码组成消息的有效负荷，并将所述有效负荷发送到所述接收节点；所述接收节点对所述有效负荷进行验证，如果接收到的新鲜值比本地保存的新鲜值高，则将接收到的实际报文、本地保存的新鲜值和接收到的新鲜值连接起来，连接后的值和密钥作为所述mac生成算法的输入；将计算出来的mac和接收到的mac进行匹配，如果匹配成功，则接收节点判定报文来自可靠的发送节点。

在一些示例中，所述汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术，进一步包括：根据汽车电子控制器的功能需求按照evita的分级标准确定所述汽车电子控制器选取的evita等级，其中，所述evita等级包括：evitafull级、evitamedium级和evitalight级。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是根据本发明实施例的基于车联网的整车网络安全防护方法的流程图；

图2是根据本发明一个实施例的多个安全防御层的示意图；

图3是根据本发明一个实施例的基于车联网的整车网络安全防护方法的多层防御拓扑结构示意图；

图4是根据本发明一个实施例的mac生成及认证流程示意图；

图5是根据本发明一个实施例的包含mac的有效负荷示意图；

图6是根据本发明实施例的基于车联网的整车网络架构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

以下结合附图描述根据本发明实施例的基于车联网的整车网络安全防护方法及整车网络架构。

图1是根据本发明一个实施例的基于车联网的整车网络安全防护方法的流程图。如图1所示，该方法包括以下步骤：

步骤s1：对整车网络建立多个安全防御层，多个安全防御层至少包括：车联网防御层、整车电子电气架构防御层、车载网络防御层和汽车电子控制器物理防御层，具体例如图2所示。

步骤s2：对于每个安全防御层，分别选取与其对应的预设的安全防御技术实现整车网络安全防护，其中，车联网防御层对应采用防火墙技术，整车电子电气架构防御层对应采用中央网关技术；车载网络防御层对应采用网络报文mac加密技术，汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术。具体地说，即对每个安全防御层选取相应的安全防御技术手段。车联网防御层(云服务端和整车之间)对应采用防火墙技术，整车电子电气架构防御层(车辆模块和车载网络之间)对应采用中央网关技术；车载网络防御层(各域控制器或各电控ecu之间)对应采用网络报文mac加密技术，汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术，具体例如图3所示。

具体地，在本发明的一个实施例中，车联网防御层对应采用防火墙技术，进一步包括：在车联网服务平台tsp与整车之间增加t-box硬件，且二者之间的通信和外部接口相关的安全标准按照ieee1609.2中针对its(intelligenttrafficsystems，智能交通系统)定义的相关的无线网络的安全通信规范执行，从而可以有效对车联网的云服务端和整车之间的网络安全防护，提高网络安全性。

在本发明的一个实施例中，整车电子电气架构防御层对应采用中央网关技术，进一步包括：根据can总线网络的规范，以报文id和周期及信号内容为基础，对通信内容进行检查和过滤，进行相应报文的转发，并对诊断请求和非标准数据的传输采用seed-key安全访问机制，从而可以有效实现对车辆模块和车载网络之间的网络安全防护，提高网络安全性。

在本发明的一个实施例中，车载网络防御层采用的网络报文mac加密技术，是对重要报文采用基于autosar的secoc(安全的片上系统)规范要求的mac加密技术。首先将重要报文的发送节点和接收节点确定，要求这些节点都实现secoc，每个secoc模块有用于数据新鲜性保护的新鲜值(如新鲜性计数器、时间戳等)。

基于此，在本发明的一个实施例中，结合图4所示，车载网络防御层对应采用网络报文mac加密技术，进一步包括：

步骤1：确定重要报文的发送节点(如图4中的发送节点a)和接收节点(如图4中的接收节点b)，发送节点和接收节点各自保存且共享密钥。

步骤2：发送节点生成一个报文认证码mac，采用mac生成算法，根据实际报文、密钥和新鲜值计算出唯一的认证数据。

步骤3：发送节点将实际报文、新鲜值以及报文认证码组成消息的有效负荷，并将有效负荷发送到接收节点。有效负荷的具体示意如图5所示。

步骤4：接收节点对有效负荷进行验证，如果接收到的新鲜值(lsb)比本地保存的新鲜值(msb)高，则将接收到的实际报文、本地保存的新鲜值(msb)和接收到的新鲜值(lsb)连接起来，连接后的值和密钥作为mac生成算法的输入，从而可以有效防止重播攻击。

步骤5：将计算出来的mac和接收到的mac进行匹配，如果匹配成功，则接收节点判定报文来自可靠(共享同一个私钥)的发送节点，从而确保消息没有被篡改，也是新鲜的，即未被重播，从而可以有效实现对各域控制器或各电控ecu之间的网络安全防护，提高了网络安全性。

在本发明的一个实施例中，汽车电子控制器物理防御层对应采用基于evita的安全硬件模块技术，进一步包括：采用面向车载网络安全基于evita的安全硬件模块，根据汽车电子控制器的功能需求按照evita的分级标准确定汽车电子控制器选取的evita等级，从而可以有效实现对汽车电子控制器相关网络的安全防护，提高了网络安全性。其中，evita等级包括：evitafull级、evitamedium级和evitalight级。具体地，例如，v-box、t-box等选取evitafull级；gateway、vcu、mcu、esp、adas、bms等驾驶及主动安全相关的ecu(电子控制器)选取evitamedium级；bcm、dcm等舒适性系统相关的ecu选取evitalight级。

综上，根据本发明实施例的基于车联网的整车网络安全防护方法，采用多层防御策略，即建立多个安全防御层实现整车安全防护，能够有效抵御黑客通过无线通信和obd诊断接口进行的网络攻击，同时能够有效抵御黑客的伪装重播攻击，从而进一步提高了整车网络安全性。

本发明的进一步实施例还提出了一种基于车联网的整车网络架构。

图6是根据本发明一个实施例的基于车联网的整车网络架构示意图。如图6所示，该基于车联网的整车网络架构1000包括：多个安全防御层100。具体地，多个安全防御层100至少包括：车联网防御层110、整车电子电气架构防御层120、车载网络防御层130和汽车电子控制器物理防御层140。

其中，对于每个安全防御层，分别选取与其对应的预设的安全防御技术实现整车网络安全防护，其中，车联网防御层110对应采用防火墙技术，整车电子电气架构防御层120对应采用中央网关技术；车载网络防御层130对应采用网络报文mac加密技术，汽车电子控制器物理防御层140对应采用基于evita的安全硬件模块技术。具体地说，即对每个安全防御层选取相应的安全防御技术手段。车联网防御层110(云服务端和整车之间)对应采用防火墙技术，整车电子电气架构防御层120(车辆模块和车载网络之间)对应采用中央网关技术；车载网络防御层130(各域控制器或各电控ecu之间)对应采用网络报文mac加密技术，汽车电子控制器物理防御层140对应采用基于evita的安全硬件模块技术。

具体地，在本发明的一个实施例中，车联网防御层110对应采用防火墙技术，进一步包括：在车联网服务平台tsp与整车之间增加t-box硬件，且二者之间的通信和外部接口相关的安全标准按照ieee1609.2中针对its(intelligenttrafficsystems，智能交通系统)定义的相关的无线网络的安全通信规范执行，从而可以有效对车联网的云服务端和整车之间的网络安全防护，提高网络安全性。

在本发明的一个实施例中，整车电子电气架构防御层120对应采用中央网关技术，进一步包括：根据can总线网络的规范，以报文id和周期及信号内容为基础，对通信内容进行检查和过滤，进行相应报文的转发，并对诊断请求和非标准数据的传输采用seed-key安全访问机制，从而可以有效实现对车辆模块和车载网络之间的网络安全防护，提高网络安全性。

在本发明的一个实施例中，车载网络防御层130采用的网络报文mac加密技术，是对重要报文采用基于autosar的secoc(安全的片上系统)规范要求的mac加密技术。首先将重要报文的发送节点和接收节点确定，要求这些节点都实现secoc，每个secoc模块有用于数据新鲜性保护的新鲜值(如新鲜性计数器、时间戳等)。

基于此，在本发明的一个实施例中，车载网络防御层130对应采用网络报文mac加密技术，进一步包括：确定重要报文的发送节点和接收节点，发送节点和接收节点各自保存且共享密钥；发送节点生成一个报文认证码mac，采用mac生成算法，根据实际报文、密钥和新鲜值计算出唯一的认证数据；发送节点将实际报文、新鲜值以及报文认证码组成消息的有效负荷，并将有效负荷发送到接收节点；接收节点对有效负荷进行验证，如果接收到的新鲜值(lsb)比本地保存的新鲜值(msb)高，则将接收到的实际报文、本地保存的新鲜值(msb)和接收到的新鲜值(lsb)连接起来，连接后的值和密钥作为mac生成算法的输入，从而可以有效防止重播攻击；将计算出来的mac和接收到的mac进行匹配，如果匹配成功，则接收节点判定报文来自可靠(共享同一个私钥)的发送节点，从而确保消息没有被篡改，也是新鲜的，即未被重播，从而可以有效实现对各域控制器或各电控ecu之间的网络安全防护，提高了网络安全性。

在本发明的一个实施例中，汽车电子控制器物理防御层140对应采用基于evita的安全硬件模块技术，进一步包括：采用面向车载网络安全基于evita的安全硬件模块，根据汽车电子控制器的功能需求按照evita的分级标准确定汽车电子控制器选取的evita等级，从而可以有效实现对汽车电子控制器相关网络的安全防护，提高了网络安全性。其中，evita等级包括：evitafull级、evitamedium级和evitalight级。具体地，例如，v-box、t-box等选取evitafull级；gateway、vcu、mcu、esp、adas、bms等驾驶及主动安全相关的ecu(电子控制器)选取evitamedium级；bcm、dcm等舒适性系统相关的ecu选取evitalight级。

需要说明的是，本发明实施例的基于车联网的整车网络架构的具体实现方式与本发明实施例的基于车联网的整车网络安全防护方法的具体实现方式类似，具体请参见方法部分的描述，为了减少冗余，此处不再赘述。

综上，根据本发明实施例的基于车联网的整车网络架构，采用多层防御策略，即建立多个安全防御层实现整车安全防护，能够有效抵御黑客通过无线通信和obd诊断接口进行的网络攻击，同时能够有效抵御黑客的伪装重播攻击，从而进一步提高了整车网络安全性。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同限定。