[发明专利]车载防火墙的数据处理方法、装置及车载防火墙设备

说明书

本发明公开一种车载防火墙的数据处理方法、装置及车载防火墙设备，方法包括：响应于车载应用层内应用数据包的传输，加载基于内核数据包过滤器机制实现的防火墙应用程序，防火墙应用程序包括针对不同应用服务设置的检测子程序链；当传输的应用数据包经过防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时，利用尾调机制调用防火墙应用程序中的检测子程序链，对应用数据包执行安全检测；基于防火墙应用程序对应的返回值，对应用数据包执行处理动作。通过上述方法可以实现车载防火墙的数据处理，解决了现有车载以太网协议实现可以将所有应用层数据报文都能送达应用层进行处理而导致车载网络存在安全隐患的问题。

技术领域

本发明涉及车载通信技术领域，具体而言，涉及一种车载防火墙的数据处理方法、装置及车载防火墙设备。

背景技术

随着汽车智能化、网联化的逐步推进，汽车在给人们的交通出行带来舒适便捷的同时，系统复杂和丰富的对外通信接口更暴露出车载网络的脆弱，为了保证车载网络的安全性，支持车载信息系统的网络防火墙的设计尤为重要。

相关技术中，车载防火墙一般是基于目标地址及源地址对数据包进行过滤，对于传输层数据，只能识别TCP/UDP类型及使用的端口信息，并对TCP头信息进行简单解析。而针对车载以太应用层协议并没有进行任何安全过滤，应用数据报文都可送达应用层。也就是说，在基于现有的车载以太网协议实现过程中，所有应用层数据报文包括无效甚至已被篡改的数据包都能够经过完整的网络协议栈送达应用层进行处理，所以任何外部设备与车载控制单元ECU的应用层数据交互都会增加车辆受到安全攻击的隐患，这对车内安全造成了巨大威胁。

发明内容

本发明提供了一种车载防火墙的数据处理方法、装置及车载防火墙设备，通过灵活地在数据路径中内核包过滤器流量控制子系统上挂载的触发点上配置应用层协议处理程序，实现对应用层数据报文进行网络统计和流量监控，从而解决了现有车载以太网协议实现可以将所有应用层数据报文都能送达应用层进行处理而导致车载网络存在安全隐患的问题。具体的技术方案如下：

第一方面，本发明实施例提供了一种车载防火墙的数据处理方法，所述方法包括：

响应于车载应用层内应用数据包的传输，加载基于内核数据包过滤器机制实现的防火墙应用程序，其中，所述防火墙应用程序包括针对不同应用服务设置的检测子程序链；

当传输的应用数据包经过所述防火墙应用程序在数据路径中内核包过滤器流量控制子系统上挂载的触发点时，利用尾调机制调用所述防火墙应用程序中的检测子程序链，对所述应用数据包执行安全检测；

基于所述防火墙应用程序对应的返回值，对所述应用数据包执行处理动作。

在一种实施方式中，在所述响应于车载应用层内应用数据包的传输，加载基于内核数据包过滤器机制实现的防火墙应用程序之前，所述方法还包括：

在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则，并将所述缺省安全策略和防火墙过滤规则存储至数据共享空间；

当所述数据共享空间接收到应用层防火墙的数据层面的访问时，以所述数据共享空间作为传输通道，将所述缺省安全策略和防火墙过滤规则编译成使用不同应用服务的过滤字节码后下发至应用层防火墙的数据层面；

当所述数据共享空间接收到应用层防火墙的控制层面的访问时，所述数据共享空间通过读取所述应用层防火墙的数据层面更新的数据统计信息，并将所述数据统计信息上传至应用层防火墙的控制层面。

在一种实施方式中在所述在应用层防火墙的控制层面配置针对不同应用服务的缼省安全策略和防火墙过滤规则之后，所述方法还包括：

针对每种服务类型的应用数据包，配置相应协议规范的缼省安全策略和防火墙过滤规则，使得每个缼省安全策略和/或防火墙过滤规则形成一种检测子程序链。