一种车载以太网信息安全隔离方法及其系统与流程

1.本发明属于车载通讯技术领域，尤其是涉及一种车载以太网信息安全隔离方法及其系统。


背景技术：

2.众所周知，汽车无人驾驶已成为汽车发展的一种趋势，它对汽车ecu(electronic control unit电子控制单元)系统数量和质量有了更大的需求，目前主流的电子架构体系已经显露出不足，而车载以太网因其众多优点，必然会在汽车车载网络中普遍应用。车载以太网用于连接汽车内不同的电气设备的一种网络，从而满足车载环境中一些特殊需求。车辆在研发阶段、工厂组装阶段和售后阶段都存在外部设备通过以太网网络访问车辆中ecu，就会存在外部设备恶意访问或者篡改车内重要数据、车主隐私数据，以及启动相关的远程类功能，甚至会造成一定的人身伤害。
3.因此，本领域技术人员对于车载以太网信息安全技术进行了大量的研究。例如cn201810852175.3公开了一种车载以太网安全接入方法，将加密数据发送至请求接入的网络设备；其中，所述加密数据包括第一设备编号；接收所述网络设备发送的设备识别码和第二设备编号；所述第二设备编号由所述网络设备解密所述加密数据得到；判断所述第一设备编号与所述第二设备编号一致，且所述设备识别码合法，则所述网络设备合法，允许所述网络设备接入以太网；若所述第一设备编号与所述第二设备编号一致，且所述设备识别码不合法，则所述网络设备不合法，不允许所述网络设备接入以太网，从而有效阻止了不合法网络设备的入侵。但是，该发明主要用于解决外部设备接入时的身份认证，而对于设备已经通过了身份认证并接入网络情况，不能用于环网中设备之间的隔离。又如cn201610822664.5公开了一种数据传输方法、安全隔离装置及车载以太网系统。该方法包括：接收来自于对外交互模块的第一以太网数据；根据预设协议对第一以太网数据进行过滤，得到第二以太网数据；判断第二以太网数据是否满足预设的安全策略；若第二以太网数据满足该安全策略，则允许第二以太网数据继续传输。该发明能够解决现有车载以太网技术中存在的容易造成因信息泄露导致整车受到外部控制等意外性事件发生的问题，满足车载以太网系统下汽车信息安全的需求。但是，该发明主要适用于传统的星型网络拓扑结构，虽然预设安全策略，但是技术方案主要侧重数据的密文传输；并不涉及解决安全隔离的问题。
4.综上，现有技术没有解决对车载以太网访问车内的ecu设备的隔离问题，难以避免各网络之间不必要的任意相互访问，因此如何解决车载以太网信息安全问题是本领域技术人员急待解决的问题。


技术实现要素：

5.针对现有技术存在的上述不足，本发明的目的在于提供一种车载以太网信息安全隔离方法及其系统，解决非法设备通过车载以太网访问车内ecu设备，以及车辆内各个ecu
设备之间任意互访存在不安全的问题。
6.为实现上述目的，本发明采用如下技术方案：
7.一种车载以太网信息安全隔离方法，包括以下步骤：
8.s1、设置安全隔离：根据整车功能，将不同的ecu根据业务类型、功能业务的重要程度和面临的威胁等级程度，划分到不同的vlan(virtual local area network)，实现ecu的物理隔离；
9.s2、设置访问控制：同一vlan内的ecu设备之间可以互访，通过设置访问权限实现访问控制。
10.进一步，还包括步骤s3、部署ids(intrusion detection systems)入侵检测系统：对网络传输进行即时检测，报告网络威胁。
11.具体的，所述步骤s1设置安全隔离，包括以下步骤：
12.s11、根据整车业务功能，将不同的ecu根据以太网功能业务进行划分；
13.s12、划分业务的重要程度；
14.s13、划分ecu面临的威胁等级；
15.s14、划分vlan，分配vlan id；
16.s15、根据vlan分配网段，设置ecu的ip。
17.具体的，所述步骤s2设置访问控制，包括如下步骤：
18.s21、根据访问权限设计访问规则，进行包过滤，配置防火墙；
19.s22、划分不同的安全区域，设置不同等级；分别设置域间安全策略和域内安全策略；
20.s23、在ecu设置业务访问权限；为了避免ecu之间的业务互访，在ecu端添加业务访问的黑/白名单，实现ecu端业务访问控制。
21.具体的，所述步骤s3部署ids入侵检测系统，包括如下步骤：
22.对网络传输进行即时检测，设置一定的安全策略，当一个数据包成功通过mac、ip、port的访问控制，则该数据包可以到达某个业务ecu，则对该ecu造成严重的网络威胁，则会生成日志，报告风险。
23.进一步，所述业务类型包括车辆控制业务、ota业务、大数据业务和/或诊断业务。
24.所述功能业务重要程度可以分为非常重要业务、重要业务和一般业务三个级别。
25.所述面临的威胁等级程度分为对内业务和对外业务。
26.所述安全策略包括mac地址过滤、ip地址过滤、port端口过滤等。
27.进一步，本发明还提供一种车载以太网信息安全隔离系统，采用上述方法将车载不同的ecu根据业务类型、功能业务的重要程度和面临的威胁等级程度，划分到不同的vlan，实现物理隔离；同一vlan内的ecu设备之间可以互访，通过设置访问权限实现访问控制.
28.进一步，各个ecu设置黑/白名单，所述黑/白名单通过诊断仪或者ota模式进行动态配置，对到达某个业务ecu的检测数据包进行过滤。
29.进一步，对于需要连接外网的ecu部署入侵检测系统，对到ecu某业务数据包进行动态检测和预警。
30.其中，所述入侵检测系统对网络传输进行即时监视，在发现异常情况时发出警报
或者采取主动反应措施。
31.相比现有技术，本发明具有如下有益效果：
32.1、本发明车载以太网信息安全隔离方法，将不同的业务划分不同的vlan实现物理隔离，彻底避免各网络之间不必要的任意相互访问，通过访问权限控制实现中心数据的安全控制及过滤，保证访问核心的安全。
33.2、本发明还增加入侵检测机制，对网络传输进行即时监视，在发现可疑传输时发出警报。
34.3、采用本发明车载以太网信息安全隔离方法设计的安全隔离系统，可有效解决非法设备通过车载以太网访问车内任意ecu设备，以及车辆内各个ecu设备之间任意互访，大大提高了系统的安全性。
附图说明
35.图1为本发明车载以太网信息安全隔离方法的流程图；
36.图2为本发明设置安全隔离的主要操作流程图；
37.图3为本发明设置访问控制主要操作流程图；
38.图4为ecu访问控制示例图。
具体实施方式
39.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和显示的本发明实施例的组合可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.如图1所示，本发明提供了一种车载以太网信息安全隔离方法，实现虚拟的物理隔离，有效提高了系统的安全性。包括如下步骤：
41.s1、设置安全隔离：根据整车功能，将不同的ecu根据业务类型、功能业务的重要程度和面临的威胁等级程度，划分到不同的vlan(virtual local area network)，实现ecu的物理隔离；
42.s2、设置访问控制：同一vlan内的ecu设备之间可以互访，通过设置访问权限实现访问控制。
43.一般整车中vlan(virtual local area network)划分需要考虑业务类型、功能业务的重要程度和面临的威胁等级程度：比如根据业务类型可以分为车辆控制业务、ota业务、大数据业务、诊断业务等；根据业务重要程度可以分为非常重要业务、重要业务和一般业务共3个级别；根据面临的威胁等级程度可以分为对内业务和对外业务。涉及某个相同业务(例如：ota业务)的所有ecu(即thu、a、b、c)划分到一个vlan中，其他各个业务也单独做vlan划分。
44.基于业务类型、功能业务的重要程度和面临的威胁等级程度的vlan划分可以有效
的达到隔离的目的。例如对外的业务被黑客攻破之后，对内的业务依旧可以正常工作，保证了车辆安全；ota业务被攻破之后，黑客只能在ota所属的vlan进行进一步攻击，无法将攻击扩散到其他vlan，即无法将攻击扩散到其他业务。
45.参见图2，本发明所述步骤s1设置安全隔离的方法，包括以下步骤：
46.s11、根据整车业务功能，将不同的ecu根据以太网功能业务进行划分；
47.s12、划分业务的重要程度；
48.s13、划分ecu面临的威胁等级；
49.s14、划分vlan，分配vlan id；
50.s15、根据vlan分配网段，设置ecu的ip。
51.其中，根据整车功能，划分业务类型；整理整车各个功能所涉及的ecu，划分业务，梳理业务流程；例如：
52.业务一：车辆控制，业务流程为(1)thu-》a；(2)a-》b/c；
53.业务二：ota，业务流程为(1)thu-》a/b/c；(2)a-》b/c；
54.业务三：大数据，业务流程为(1)a-》thu(2)c-》thu；
55.业务四：诊断，业务流程为(1)tester-》a；(2)a-》b/c/e/thu；
56.业务五：车辆驾驶，业务流程为(1)d-》b(2)e-》b/c/thu；
57.具体的，划分业务的重要程度；例如
[0058][0059]
具体的，划分ecu面临的威胁等级；例如
[0060][0061]
具体的，划分vlan，分配vlan id；综合业务类型、功能业务的重要程度和面临的威
胁等级程度进行vlan的划分，并分配vlan id，例如
[0062][0063]
对不同vlan分配不同id，例如：
[0064]
vlannamevlanid涉及业务vlan_01101车辆控制vlan_02102车辆控制、ota、诊断vlan_03103otavlan_04104大数据vlan_05105大数据vlan_06106诊断vlan_07107车辆驾驶
[0065]
具体的，根据vlan分配网段，设置ecu的ip。例如：
[0066][0067]
具体的，访问权限设置可以实现同一vlan内设备之间的访问控制。
[0068]
参见图3，设置访问控制，包括如下步骤：
[0069]
s21、根据访问权限设计访问规则，进行包过滤，配置防火墙；
[0070]
s22、划分不同的安全区域，设置不同等级；分别设置域间安全策略和域内安全策略；
[0071]
s23、在ecu设置业务访问权限；为了避免ecu之间的业务互访，在ecu端添加业务访问的黑/白名单，实现ecu端业务访问控制。
[0072]
所述安全策略包括mac地址过滤、ip地址过滤、port端口过滤等。
[0073]
根据访问权限设计访问规则，进行包过滤，配置防火墙；
[0074]
例如：ecu-thu有连接外部网络的业务，面临外部的威胁等级高，将ecu-thu的网络连接模式设置为强控制器模式－所有外来连接被禁止，外发访问被放行，白名单列表中ip
来访被放行；为接口设置可取所有由外向内连接列表或者可取所有由内向外连接列表。
[0075]
例如：ecu-d只有连接内部网络的业务，面临的威胁等级低，将ecu-d的网络连接模式设置为中控制模式－所有外来连接被允许，外发访问被放行，黑名单列表中ip来访问被禁止；为接口设置可取所有由外向内连接列表或者可取所有由内向外连接列表。
[0076]
例如：根据业务中ecu之间是否有访问权限，通过设置mac地址过滤、ip地址过滤和port端口过滤，进行防火墙规则设计，配置防火墙。
[0077]
具体的，划分不同的安全区域，设置不同等级：
[0078]
例如：将安全区域分为如下等级，分别设置域间安全策略和域内安全策略
[0079]
缺省区域描述安全等级local本地区域，防火墙自身100trust信任区域，需要保护的区域85dmz公共区域/中立区域50untrust不信任区域：需要地域的区域5
[0080]
例如：local区域为防火墙自身，凡是主动发出的报文都是从local区域发出的，报文目的地址是防火墙的报文均是local区域接收的。
[0081]
例如：trust区域一般提供内部通信，b、c、d、e只存在于内部业务中，可以将它们设置为trust区域。
[0082]
例如：dmz区域一般提供内网服务，ecu-thu中大数据功能需要连接内网，上传数据，可以将功能设置为trust区域。
[0083]
例如：untrust区域提供internet等不安全网络服务，ecu-thu在车辆控制业务和ota业务中需要连接中internet网络，可以将功能设置为untrust区域。
[0084]
具体的：在ecu端设置业务访问权限；
[0085]
例如：为了有效控制ecu之间的业务互访，可以在ecu端设置业务添加黑/白名单，实现业务访问控制。ecu端的业务黑/白名单可以通过诊断仪或者ota模式进行动态配置。
[0086]
参见图4，给了ecu业务访问控制流程。本发明主要用于突出增加了ecu之间的业务访问控制。例如：a、b、c、d、e、f、g、h分别代表不同的ecu，在这些ecu中添加业务黑/白名单，并且这些黑/白名单是可以通过ota服务进行更新的。在这些ecu之间业务互访时，需要查询自己的黑/白名单，如果有业务访问权限才可以进行通信。这样可能出现c《-》e:c和e之间可以互相访问，e-》b:e可以访问b，但是b不能访问e的,d-》e,g-》e:d、g可以访问e，但是e不能访问d、g等。
[0087]
本发明还包括步骤s3、部署ids(intrusion detection systems)入侵检测系统：对网络传输进行即时检测，报告网络威胁。
[0088]
例如：设置一定的安全策略，如os command injection以及sql injection的检测，当一个数据包成功通过防火墙的mac、ip、port的过滤控制，则该数据包可以到达ecu的某个业务应用。此时，如果该数据包属于网络畸形报文、dos攻击报文、端口扫描或服务扫描报文甚至木马类型的攻击报文，则将对该ecu造成严重的网络威胁，则会生成日志，报告风险，发送短信给用户。
[0089]
进一步，本发明还提供一种车载以太网信息安全隔离系统，采用上述方法，将车载不同的ecu根据业务类型、功能业务的重要程度和面临的威胁等级程度，划分到不同的
vlan，实现物理隔离；同一vlan内的ecu设备之间可以互访，通过设置访问权限实现访问控制。
[0090]
其中，各个ecu设置黑/白名单，所述黑/白名单通过诊断仪或者ota模式进行动态配置，对到达某个业务ecu的检测数据包进行过滤。
[0091]
对于需要连接外网的ecu部署入侵检测系统，对到ecu某业务数据包进行动态检测和预警。
[0092]
本发明根据业务类型、功能业务的重要程度和面临的威胁等级程度将不同的ecu划分到不同的vlan，实现物理隔离；同一vlan内的ecu设备之间可以互访，通过设置访问权限实现访问控制；各个ecu设置检测数据包，对到达某个业务的数据流进行动态检测和预警。本发明车载以太网信息安全隔离方法，将基于业务类型、功能业务的重要程度和面临的威胁等级程度划分不同的vlan实现物理隔离，彻底避免各相同vlan内ecu之间不必要的任意相互访问，通过访问权限控制实现中心数据的安全控制及过滤，保证访问核心的安全；增加入侵检测机制，对网络传输进行即时监视，在发现可疑传输时发出警报。
[0093]
最后需要说明的是，以上实施例仅用以说明本发明的技术方案而非限制技术方案，本领域的普通技术人员应当理解，那些对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，均应涵盖在本发明的权利要求范围当中。