(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114257986A(43)申请公布日2022.03.29(21)申请号202210105796.1(22)申请日2022.01.28(71)申请人北京经纬恒润科技股份有限公司地址100015北京市朝阳区酒仙桥路14号1幢4层(72)发明人杨东耳(74)专利代理机构北京科领智诚知识产权代理事务所(普通合伙)11782代理人陈士骞(51)Int.Cl.H04W4/40(2018.01)H04L9/40(2022.01)H04L69/06(2022.01)权利要求书3页说明书16页附图11页(54)发明名称车辆CAN网络攻击的识别方法及装置(57)摘要本发明公开一种车辆CAN网络攻击的识别方法及装置，方法包括：响应于CAN网络中节点被唤醒，接收网络管理系统发送的网络管理报文，利用节点休眠前存储的计数值生成用于验证网络管理报文的安全认证信息，并将安全认证信息填充至网络管理报文的预留字节中；在CAN网络中节点进行通信的过程中传输填充有安全认证信息的网络管理报文，并利用安全认证信息对总线发送的网络管理报文进行多重合法性验证；在多重合法性验证均通过的情况下，将网络管理报文作为合法报文传输至网络管理系统。通过上述方法可以实现车辆CAN网络攻击的识别，解决了现有车辆CAN网络的通信方式无法准确识别车辆CAN网络攻击的问题。CN114257986ACN114257986A权利要求书1/3页1.一种车辆CAN网络攻击的识别方法，其特征在于，所述方法包括：响应于CAN网络中节点被唤醒，接收网络管理系统发送的网络管理报文，利用节点休眠前存储的计数值生成用于验证网络管理报文的安全认证信息，并将所述安全认证信息填充至所述网络管理报文的预留字节中，所述计数值的初始值由节点随机生成；在CAN网络中节点进行通信的过程中传输填充有安全认证信息的网络管理报文，并利用所述安全认证信息对总线发送的网络管理报文进行多重合法性验证；在多重合法性验证均通过的情况下，将所述总线发送的网络管理报文识别为合法报文传输至网络管理系统；在任一合法性验证没有通过的情况下，将所述总线发送的网络管理报文识别为网络攻击报文进行丢弃。2.如权利要求1所述的方法，其特征在于，在所述响应于CAN网络中节点被唤醒，接收网络管理系统发送的网络管理报文，并将用于验证网络管理报文的安全认证信息填充至所述网络管理报文的预留字节中之前，所述方法还包括：接收节点识别到唤醒源所发起的主动唤醒请求，并利用所述主动唤醒请求携带的主动唤醒报文触发CAN网络中节点被唤醒；或接收由其他节点发出且经过总线过滤的被动唤醒报文，并根据休眠攻击监控逻辑识别CAN网络是否受到休眠攻击，在未受到休眠攻击的情况下，利用所述被动唤醒报文触发CAN网络中节点被唤醒；其中，所述经过总线过滤的被动唤醒报文由总线上设置的硬件滤波功能根据配置的安全认证信息与接收到的网络管理报文中安全认证信息进行比对后得到，所述硬件滤波功能通过在总线上增加具有硬件滤波功能的CAN收发器实现；在所述配置的安全认证信息与接收到的网络管理报文中安全认证信息对比一致的情况下，将接收到的网络管理报文作为被动唤醒报文；在所述配置的安全认证信息与接收的网络管理报文中安全认证信息对比不一致的情况下，丢弃接收到的网络管理报文。3.如权利要求2所述的方法，其特征在于，所述根据休眠攻击监控逻辑识别CAN网络是否受到休眠攻击，在未受到休眠攻击的情况下，利用所述被动唤醒报文触发CAN网络中节点被唤醒，包括：根据休眠攻击监控逻辑检查其他节点是否满足休眠条件；在所述其他节点满足休眠条件，且保持唤醒定时器的值超过第一预设阈值的情况下，识别CAN网络受到休眠攻击，并丢弃所述被动唤醒报文；在所述其他节点不满足休眠条件，或保持唤醒定时器的值未超过第一预设阈值的情况下，识别CAN网络未受到休眠攻击，并利用所述被动唤醒报文触发CAN网络中节点被唤醒；其中，所述保持唤醒定时器用于记录从节点不存在本地网络唤醒源开始至CAN网络仍处于唤醒状态的时间长度。4.如权利要求3所述的方法，其特征在于，所述根据休眠攻击监控逻辑检查其他节点是否满足休眠条件，包括：提取其它节点发出且经过总线过滤的被动唤醒报文的休眠指示位；在所述休眠指示位为预设数值的情况下，判定其他节点不存在本地网络唤醒源，满足2CN114257986A权利要求书2/3页休眠条件；在所述休眠指示位不是预设数值的情况下，判定其他节点存在本地网络唤醒源，不满足休眠条件。5.如权利要求1‑4中任一项所述的方法，其特征在于，所述方法还包括：在CAN网络中各节点满足休眠条件的情况下，接收休眠指示位为预设数值的网络管理报文；在所述休眠指示位为预设数值的网络管理报文通过多重合法性验证的情况下，提取