本發明涉及汽車網絡通信及其汽車安全技術領域，尤其是涉及了一種車載MOST/CAN安全網關及其入侵檢測方法。

背景技術：

隨著汽車電子設備和車載總線技術的飛速發展，車載總線網絡的使用范圍正逐步擴大，CAN(Controller Area Network，控制器局域網絡)和MOST(Media Oriented System Transport，面向媒體的系統傳輸)網絡是兩種車載網絡。其中，CAN是一種串行控制器局域網絡，其支持實時控制和分布式控制，主要用于車輛動力傳動系統、底盤控制系統和車身控制系統的連接；而MOST網絡以其高速、抗干擾、質量輕、靈活等優勢成為許多車載數字多媒體系統的主干網絡，但同時也帶來了一些潛在的安全威脅。

近些年，汽車被攻擊的事件報道的越來越多，很多攻擊都是通過車載娛樂系統進行的。由于汽車在發動后，與外部的交流主要通過MOST總線連接的相關設備，如GPS和各種多媒體設備，這些設備通過移動互聯網與外界交互信息，給攻擊者提供可乘之機，他們利用MOST和CAN總線的信息交互，對行駛汽車的駕駛和動力子系統等連接在CAN總線上的ECU(電子控制單元)，發動攻擊,而汽車網關是汽車內部通信的核心設備，也是汽車內部數據集中交流的地方，如何檢測出異常的數據，這是如今大多數汽車面對的考驗。

技術實現要素：

本發明所要解決的技術問題是提供一種MOST/CAN安全網關，解決了MOST網絡與CAN網絡的協議轉換，同時也提高了汽車網關的安全性，增強了汽車的危險識別能力。

本發明解決上述技術問題的技術方案如下：

一種MOST/CAN安全網關，包括CAN網絡模塊和MOST網絡模塊，所述CAN網絡模塊包括相連接的CAN網絡收發器和CAN網絡控制器；所述MOST網絡模塊包括相連接的MOST網絡光纖收發器和MOST網絡控制器，還包括主控模塊，所述主控模塊包括依次連接的第一微處理器、外部存儲器以及第二微處理器，所述第一微處理器分別與CAN網絡控制器和MOST網絡控制器連接；

所述第一微處理器；用于對MOST網絡模塊接收的MOST總線上的各節點數據與CAN網絡模塊接收的CAN總線上的各節點數據的協議轉換，同時對接收的數據進行解析，再將解析的數據存入外部存儲器中，最后進行數據封裝，更新路由表；

所述外部存儲器：用于接收第一微處理器存入的經過解析后的數據，存儲路由表和節點關聯關系數據庫；

所述第二微處理器：用于讀取外部存儲器中的數據，進行數據分析，將分析結果與節點關聯關系數據庫中的數據對比，若判斷結果為異常，則顯示在汽車顯示器中。

本發明的有益效果是：第一微處理器主要完成MOST和CAN總線之間的協議轉化，第二微處理器把經過第一微處理器的解析后的數據，按照相關的安全規則分析，把對汽車駕駛和動力子系統等攻擊的數據丟棄，這樣在不影響網關轉換性能的前提下，第二微處理器實現入侵檢測功能，保證了駕駛安全，因此本發明既提高了汽車網關的安全性，又增強了汽車的危險識別能力。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述MOST網絡與CAN網絡的協議轉換過程為，把CAN網絡中的信息幀中的數據部分分離出來，封裝成MOST網絡中的幀格式，再送進MOST網絡收發器里，使用相關的發送模塊將該MOST格式的幀傳輸到MOST網絡中，經過MOST網絡的傳輸，最后被目的節點獲得后執行相應的操作；

相應地，用MOST報文中的源地址去路由表里查詢到該報文在CAN網絡中目的節點的地址，再提取出該報文中的數據，把該數據包裝成能被CAN網絡上節點識別的數據格式，再經過CAN收發器傳送到CAN網絡上，這就完成了由MOST網絡到CAN網絡的數據傳輸。

進一步，所述外部存儲器存儲的路由表有兩張，一張為Gateway_M表，存放MOST總線上節點對應于CAN總線上節點的信息，一張為Gateway_C表，存放CAN總線上節點對應于MOST總線上節點的信息。

進一步，所述更新路由表具體過程為：第一微處理器對收到的數據解析并查詢路由表，若查詢不到此節點，則將該節點數據域的仲裁標識符與數據域長度寫入路由表作為該節點的地址，當接收到MOST網絡的報文時，若發現該報文發送的目的地址為該新CAN節點的仲裁域標識符時，就將該報文的源地址、功能塊ID和數據域長度存儲在路由表中，完成了更新路由表一條數據。

進一步，所述第一微處理器、第二微處理器均采用32位的芯片STM32F030分別實現協議轉換和數據分析處理，CAN網絡收發器采用芯片TJA1050，CAN網絡控制器采用芯片MCP2515，MOST網絡控制器采用芯片OS81060。

本發明，還提供了一種MOST/CAN安全網關入侵檢測方法，包括以下步驟：

(1)采集汽車正常行駛時各節點產生的數據；

(2)對采集的數據進行關聯關系分析，將分析結果建立成節點關聯關系數據庫，并將該節點關聯關系數據庫存入外部存儲器中；

(3)汽車行駛過程中各節點產生的數據通過CAN網絡模塊發送給第一微處理器進行解析，第一微處理器將經過解析后的數據寫入到外部存儲器中；

(4)第二微處理器從外部存儲器中讀取數據，然后進行分析，將分析結果與節點關聯關系數據庫中的數據對比，若差值在設定閾值范圍外，則認為此時存在入侵行為，并將判斷結果返回CAN網絡模塊，發送到汽車顯示器中顯示。

進一步，所述步驟(2)的對采集的數據進行關聯關系分析具體過程為：以毫秒為單位時間來采集數據，以CAN總線上節點為坐標點，當分析得到CAN總線上某個節點在某時刻的值為valuei，在該時刻CAN總線上其他節點數據值為valuex，再分析出在該單位時間內，valuei發生變化時，其余valuex的變化范圍值。

進一步，所述步驟(4)的將分析結果與節點關聯關系數據庫中的數據對比具體過程為：

單位時間內讀取一次數據，以CAN總線上的節點為坐標點，當分析得到CAN總線上某個節點在某單位時間內的值為valuem，同時分析得到在該單位時間內CAN總線上其他節點數據的最大值valuemax與最小值valuemin；再將分析得到的valuem、valuemax、valuemin三個值與關聯關系數據庫中的值進行比較，若在valuem時，valuemax與valuemin在設定的閾值內，則判為正常，若超出閾值，則判為異常。

附圖說明

圖1是本發明的安全網關系統結構框圖；

圖2是本發明的MOST/CAN網絡協議轉換示意圖；

圖3是本發明的安全網關入侵檢測分析流程圖。

具體實施方式

以下結合附圖對本發明的原理和特征進行描述，所舉實例只用于解釋本發明，并非用于限定本發明的范圍。

本發明的目的在于實現一種具有入侵檢測功能的車載MOST/CAN安全網關，當汽車在駕駛過程中，如果出現一些異常數據，會及時通知駕駛員，以防汽車出現危險行駛行為。

本發明在硬件設計上考慮到協議轉換和數據處理的運算工作量大，主控模塊選擇了兩個微處理器來工作，第一微處理器進行協議轉換，第二微處理器進行數據分析處理，這樣既不影響網關轉換性能，又實現了入侵檢測功能。

如圖1所示是本發明的安全網關系統結構框圖，整體結構分為三大模塊，分別為CAN網絡模塊、主控模塊、MOST網絡模塊，其中，

CAN網絡模塊包括CAN網絡收發器、CAN網絡控制器；MOST網絡模塊包括MOST網絡光纖收發器、MOST網絡控制器；主控模塊包括第一微處理器、第二微處理器以及分別與第一微處理器和第二微處理器相連的用于存儲路由表和關聯關系數據庫的外部存儲器；其中第二微處理器得到的數據以毫毫秒為單位時間，將一個單位時間內的數據進行分析處理，分析出該單位時間內各節點的關聯關系，然后將該關聯關系跟本地的關聯關系數據庫進行對比，若大于一定的差值，則說明該單位內發生了異常行為。

其中，第一微處理器和第二微處理器均選用32位的STM32F030芯片分別實現協議轉換和數據處理，該芯片帶有所有設備通用的通信接口(最多2個I²C，最多2個SPI等)。一個特殊的CAN節點用于接收CAN總線上的數據，該節點的屏蔽模式范圍設置最大，可以接收所有節點的數據。CAN網絡收發器選擇了NXP公司的TJA1050，TJA1050是PCA82C250和PCA82C251高速CAN收發器的后繼產品，它被用來連接CAN網絡控制器器與物理總線。CAN網絡控制器器選擇了MCP2515，該芯片不僅可以收發標準數據幀與擴展數據幀，還擁有過濾數據并對數據進行管理的作用。MOST網絡控制器采用OS81060，該芯片是OS81050芯片的升級，專門用于MOST25網絡。

MOST/CAN網絡協議轉換示意圖如圖2所示，協議轉換的原理就是將MOST網絡中的數據格式和CAN網絡中的數據格式進行互相轉換，使之能夠在目的網絡中進行傳輸，并能被目的節點識別。

協議轉換的核心是對網關路由引擎的配置，它可以解析出CAN報文中的仲裁域標識符ID1與數據域，由于CAN總線各個設備節點的優先級不同，優先級由仲裁域標識符ID1表示，因此根據標識符ID1可以表示該設備節點地址，因此可以用DI1來推斷該報文的源節點，還可以查詢網關的路由表來得到該報文所要傳輸到MOST網絡上的目的節點的地址。

協議轉換過程就是把CAN網絡中的信息幀中的數據部分分離出來，封裝成MOST網絡中的幀格式，再送進MOST網絡收發器里，使用相關的發送模塊將該MOST格式的幀傳輸到MOST網絡中，經過MOST網絡的傳輸，最后被目的節點獲得后執行相應的操作。相反，用MOST報文中的源地址去路由表里查詢到該報文在CAN網絡中目的節點的地址，再提取出該報文中的數據，把該數據包裝成能被CAN網絡上節點識別的數據格式，再經過CAN收發器傳送到CAN網絡上，這就完成了由MOST網絡到CAN網絡的數據傳輸。

路由表采用動態更新，當有新的節點加入時，可以自動識別并更新路由表。更新方法為：當網關接收一個CAN數據包，解析并查詢路由表發現無此節點時，就將該節點數據域的仲裁標識符與數據域長度寫入路由表作為該節點的地址，當網關接收到MOST網絡中的報文時，若發現該報文發送的目的地址為該新CAN節點的仲裁域標識符時，就將該報文的源地址、功能塊ID和數據域長度存儲在路由表中，于是便成功更新了路由表一條數據。

路由表結構如下表：

在本發明中，考慮到汽車的實時性要求，為降低查詢路由表時間，本設計為每個總線設計一張表，因此在本網關中，有兩張表：Gateway_M表示MOST總線上節點與對應CAN總線節點的信息，Gateway_C表示CAN總線節點與對應MOST總線節點的信息。Gateway_M表中的字段有：MOST節點地址、功能塊ID、MOST數據幀中數據長度、CAN節點地址、CAN報文數據域長度，Gateway_C表中的字段有：CAN節點地址、CAN報文數據域長度、MOST節點地址、功能塊ID、MOST數據幀中數據長度。

在實際中，有時候車主會改裝自己的愛車，當添加新的節點時，這時就需要更新路由表，路由表采用動態更新，在本發明中，當汽車有新的節點加入時，該節點會發送一個數據幀給網關，網關查詢路由表發現無此節點時，就在路由表中新增一條數據，將該節點數據域的仲裁標識符寫入路由表作為該節點的地址，當網關接收到MOST網絡中的報文時，若發現該報文發送的目的地址為該新CAN節點的仲裁域標識符時，就將該報文的源地址與功能塊ID存儲在路由表中，這樣就成功更新了路由表一條數據。

圖3是安全網關入侵檢測分析流程圖，本發明的另一個功能就是入侵檢測，這是區別于傳統車載網關，增強了汽車的危險識別能力。汽車在行駛過程中，每一個動作，都會引起許多參數的變化，各個參數的變化又會有一定的規律。比如當駕駛員踩剎車時，那么發動機中的進油量會減少，汽車速度會降低，方向盤可能會發生改變等等。在實驗過程中，我們先采集大量的正常駕駛時的數據，進行各個參數間的關聯關系分析，然后將分析結果建立一個關聯關系數據庫，并將該關聯關系數據庫存入外部存儲器中。

關聯節點關系數據庫中的數據采集，在前期，我們在正常車的OBD-II上安裝一個接收裝置，把該駕駛員在正常行駛過程中產生的數據采集起來，在PC端進行分析，分析方法為：以毫秒為單位采集數據，以CAN總線上節點為坐標點，當分析得到CAN總線上某個節點在某時刻的值為valuei，在該時刻其他總線節點數據值為valuex(n個)，再分析出在該單位時間內，valuei發生變化時，其余valuex(n個)的變化范圍值。將分析的結果存入到外部存儲器中，該外部存儲器是受保護不被攻擊的。當我們在駕駛過程中，汽車上的數據會先經過第一微處理器進行解析，第一微處理器將解析的結果一邊寫入到外部寄存器中，同時將寫好的部分進行路由表查詢，再進行數據封裝，最后將該數據發送出去。

第二微處理器從外部存儲器中讀取數據，然后進行分析，分析過程為，以毫秒為單位讀取一次數據，以CAN總線上節點為坐標點，當分析得到CAN總線上某個節點在某時刻的值為valuem，在該單位時間內CAN總線上其他節點數據的最大值valuemax與最小值valuemin。再將分析的得到的valuem、valuemax、valuemin三個值在節點關聯關系數據庫中進行對比，若在valuem時，valuemax與valuemin在上述的變化范圍中，則為正常，若超出范圍一定值(根據實際情況確定)，則判為異常，最后將判斷的結果反饋到顯示器中。

本發明是一種具有入侵檢測功能的車載MOST/CAN安全網關，該車載安全網關不僅能夠實現傳統車載網關MOST總線與CAN總線的協議轉換還能夠檢測出汽車是否遭受了外部的攻擊，協議轉換的原理就是將MOST網絡中的數據格式和CAN網絡中的數據格式進行互相轉換，使之能夠在目的網絡中進行傳輸，并能被目的節點識別。協議轉換的核心是對安全網關路由引擎的配置,它可以解析出CAN報文中的仲裁域標識符ID1與數據域，用這些來推斷該報文的源節點,還可以查詢網關的路由表來得到該報文所要傳輸到MOST網絡上的目的節點的地址，反之也可以根據網關路由表查找MOST網絡對應CAN網絡中節點的地址；入侵檢測的原理是在網關的主控模塊添加一個微處理器，即第二微處理器用于進行數據分析，當第一微處理器解析后的數據寫入外部存儲器中，第二微處理器再從外部存儲器中讀取這些數據進行處理分析，將處理分析結果與外部存儲器中的關聯關系數據庫進行對比，正常情況下，一個駕駛的動作會引起許多節點的變化，各個節點之間存在著一種關聯關系，若發現分析結果中一個孤立的信號點，或者多個節點間的關聯關系遠遠偏離正常范圍，那么表示為該車受到入侵。

以上所述僅為本發明的較佳實施例，并不用以限制本發明，凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。