作者 | 不可说

出品 | 汽车电子与软件

#01

概  述

AUTOSAR中的防火墙作为一个额外的安全层，负责检查网络流量并根据预设的规则集进行过滤。防火墙的一般行为描述如下：防火墙管理一个预期网络数据包模式的列表，其中每个模式都与一个相应的动作相关联（例如，允许或阻止网络数据包）。网络数据包模式和动作的组合被称为防火墙规则（FirewallRule）。对于通过网络堆栈（入口和出口）的每个网络数据包，防火墙都会将其与模式列表进行比较。如果匹配到某个模式，防火墙将执行与该模式相关联的动作。如果没有匹配到任何模式（即不匹配的情况），防火墙将执行默认动作。

模式匹配机制示意图

防火墙通过LSduR接口接收网络数据包。检查之后，如果网络数据包被允许继续在网络堆栈中传输，防火墙会将其返回给LSduR；否则，防火墙将丢弃该数据包。防火墙规则通常是静态的，但防火墙提供了一种机制，可以在运行时动态启用/禁用防火墙规则：防火墙与BswM相连，BswM根据当前车辆状态（例如行驶、停车、诊断会话）切换防火墙状态，从而实现动态的防火墙行为。

将防火墙模块集成到AUTOSAR堆栈中

此外，防火墙还支持通过触发安全事件来辅助入侵检测系统。因此，防火墙集成到AUTOSAR堆栈中的情况可以表示如下：防火墙还支持将AUTOSAR堆栈直接部署在智能交换机上的场景。在这种情况下，防火墙可以直接在交换机上过滤网络流量，从而直接保护车内网络。

下面会详细描述防火墙模块的功能规范，包括其架构、接口、配置、运行时行为以及错误处理机制。

#02

防火墙模块架构

防火墙模块的架构同样严格遵循AUTOSAR的分层架构原则，确保模块的可扩展性、可维护性和可移植性。这个模块主要分为以下几个核心部分：

2.1 防火墙管理器（Firewall Manager）

防火墙管理器是模块的核心控制单元，负责协调和管理整个防火墙模块的运行。其主要功能包括：

• 规则集的加载和初始化：在系统启动时，防火墙管理器负责从非易失性存储器（如EEPROM或Flash）中加载预定义的规则集，并将其初始化到内存中，以供后续使用。

• 通信数据的过滤和验证：防火墙管理器实时监控通信数据流，根据规则集对数据包进行过滤和验证，确保只有符合规则的数据能够通过。

• 运行时规则的动态更新：支持在系统运行过程中动态更新规则集，以适应不同的运行场景或应对潜在的安全威胁。

防火墙管理器通过高效的调度算法和状态机设计，确保在复杂的车载网络环境中能够快速响应并处理大量通信数据。

2.2 规则集（Rule Sets）

规则集是防火墙模块的核心配置部分，定义了通信数据的过滤策略和行为。每条规则由以下几个关键属性组成：

• 源地址（Source Address）：标识通信数据的来源，可以是ECU（电子控制单元）的物理地址或逻辑地址。

• 目标地址（Destination Address）：标识通信数据的目标地址，用于确定数据包的流向。

• 协议类型（Protocol Type）：指定通信数据所使用的协议类型，如CAN、LIN、Ethernet等。

• 动作（Action）：定义对符合规则的通信数据的处理方式，通常包括“允许”或“拒绝”两种操作。

规则集的设计支持灵活配置，能够适应不同的网络拓扑结构和安全需求。同时，规则集还支持优先级设置，以确保在规则冲突时能够按照预定义的优先级执行。

2.3 过滤器（Filter）

过滤器是防火墙模块的执行单元，负责根据规则集对通信数据进行实时过滤。其工作流程如下：

1. 接收通信数据：过滤器从通信总线接收数据包，并将其解析为可处理的格式。

2. 匹配规则集中的规则：过滤器将接收到的数据包与规则集中的每条规则进行匹配，检查其源地址、目标地址和协议类型是否符合规则条件。

3. 执行允许或拒绝操作：根据匹配结果，过滤器执行相应的动作。如果数据包符合规则，则允许其通过；如果不符合规则，则将其丢弃或记录为异常事件。

过滤器通过高效的匹配算法（如哈希表或状态机）实现快速的数据包处理，确保在高负载环境下仍能保持低延迟和高吞吐量。

2.4 接口模块（Interface Module）

接口模块是防火墙模块与外部系统交互的桥梁，负责与上层应用和其他BSW模块进行通信。其主要功能包括：

• 接收上层应用的配置请求：接口模块提供标准化的API接口，允许上层应用动态配置规则集或查询防火墙状态。

• 向其他模块发送过滤结果：接口模块将过滤结果（如允许或拒绝的通信数据）发送给相关的BSW模块（如诊断模块或日志模块），以便进一步处理。

• 提供调试和日志功能：接口模块支持详细的日志记录功能，能够记录通信数据的过滤过程、规则匹配结果以及异常事件，便于系统调试和故障排查。

接口模块的设计遵循AUTOSAR标准，确保与其他BSW模块的兼容性和互操作性。

#03

防火墙模块接口

防火墙模块通过标准化的接口与其他模块进行交互，确保模块的独立性、可移植性和可扩展性。这些接口设计遵循AUTOSAR标准，主要分为以下几类：

3.1 配置接口（Configuration Interface）

配置接口是防火墙模块的初始化入口，负责加载和初始化防火墙模块的规则集及相关配置。其核心功能包括：

• 加载规则集配置文件：配置接口从非易失性存储器（如EEPROM或Flash）或上层应用加载预定义的规则集配置文件。这些文件通常以XML或二进制格式存储，包含源地址、目标地址、协议类型和动作等规则信息。

• 初始化过滤器：在加载规则集后，配置接口负责初始化过滤器组件，将规则集解析为过滤器可识别的数据结构，并建立高效的匹配机制（如哈希表或状态机）。

• 验证规则集的有效性：在初始化过程中，配置接口会对规则集进行语法和语义检查，确保规则集的完整性和正确性。如果发现无效或冲突的规则，接口会触发错误处理机制，并向上层应用反馈错误信息。

配置接口的设计支持灵活性和可扩展性，能够适应不同车型和网络拓扑的需求。

3.2 运行时接口（Runtime Interface）

运行时接口是防火墙模块的核心功能接口，用于在系统运行期间动态更新规则集和执行通信数据的过滤操作。其核心功能包括：

• 接收通信数据：运行时接口从通信总线接收数据包，并将其传递给过滤器进行处理。接口支持多路复用机制，能够同时处理多个通信通道的数据。

• 执行过滤操作：运行时接口调用过滤器组件，根据当前加载的规则集对接收到的通信数据进行匹配和过滤。过滤操作包括检查数据包的源地址、目标地址和协议类型，并根据匹配结果执行允许或拒绝操作。

• 返回过滤结果：过滤操作完成后，运行时接口将过滤结果（如允许通过或拒绝的数据包）返回给上层应用或其他BSW模块（如诊断模块或日志模块）。接口还支持实时反馈机制，能够在检测到异常数据时立即触发告警。

运行时接口的设计注重高效性和实时性，确保在高负载环境下仍能快速响应并处理大量通信数据。

3.3 调试接口（Debug Interface）

调试接口是防火墙模块的辅助功能接口，用于监控和调试模块的运行状态，帮助开发人员和维护人员快速定位和解决问题。其核心功能包括：

• 记录过滤日志：调试接口能够详细记录防火墙模块的运行日志，包括接收到的通信数据、规则匹配结果、过滤操作执行情况以及异常事件。日志信息可以存储到非易失性存储器中，便于后续分析。

• 提供运行时状态信息：调试接口支持实时查询防火墙模块的运行状态，如当前加载的规则集、过滤器的匹配效率、通信数据的吞吐量等。这些信息可以通过诊断工具或上位机软件进行可视化展示。

• 支持故障诊断：在防火墙模块运行过程中，调试接口能够检测并记录故障事件（如规则集加载失败、过滤器初始化错误等），并生成详细的诊断报告。这些报告可以帮助开发人员快速定位问题根源，优化模块设计和实现。

调试接口的设计注重易用性和可维护性，能够显著提高防火墙模块的开发效率和运行可靠性。

#04

防火墙模块配置

防火墙模块的配置通过AUTOSAR配置工具（如DaVinci Configurator）完成，主要包括以下内容：

4.1 规则集配置

规则集是防火墙模块的核心配置，每条规则包括以下参数：

• 规则ID：唯一标识符。

• 源地址范围：定义通信数据的来源。

• 目标地址范围：定义通信数据的目标。

• 协议类型：定义通信数据的协议。

• 动作：定义允许或拒绝操作。

4.2 过滤器配置

过滤器配置定义了过滤器的行为，包括以下参数：

• 过滤器ID：唯一标识符。

• 规则集关联：定义过滤器使用的规则集。

• 优先级：定义过滤器的执行顺序。

4.3 接口配置

接口配置定义了防火墙模块与其他模块的交互方式，包括以下参数：

• 接口类型：定义接口的通信协议（如CAN、LIN、Ethernet等）。

• 缓冲区大小：定义接口的缓冲区大小。

• 超时时间：定义接口的超时时间。

#05

防火墙模块运行时行为

防火墙模块的运行时行为主要包括以下几个阶段：

5.1 初始化阶段

在系统启动时，防火墙模块会执行以下操作：

• 加载规则集配置文件。

• 初始化过滤器和接口模块。

• 验证规则集的有效性。

5.2 过滤阶段

在系统运行期间，防火墙模块会执行以下操作：

• 接收通信数据。

• 匹配规则集中的规则。

• 根据匹配结果执行允许或拒绝操作。

5.3 动态更新阶段

在系统运行期间，防火墙模块支持动态更新规则集。其操作包括：

• 接收新的规则集配置文件。

• 验证新规则集的有效性。

• 更新过滤器和接口模块。

#06

防火墙模块错误处理

防火墙模块的错误处理机制主要包括以下几个方面：

6.1 规则集错误

如果规则集配置文件无效或无法加载，防火墙模块会执行以下操作：

• 记录错误日志。

• 通知上层应用。

• 使用默认规则集继续运行。

6.2 过滤器错误

如果过滤器在执行过程中发生错误，防火墙模块会执行以下操作：

• 记录错误日志。

• 通知上层应用。

• 停止过滤操作。

6.3 接口错误

如果接口模块在通信过程中发生错误，防火墙模块会执行以下操作：

• 记录错误日志。

• 通知上层应用。

• 尝试重新初始化接口。

#07

防火墙模块性能优化

为了提高防火墙模块的性能，可以采取以下优化措施：

7.1 规则集优化

• 合并重复规则。

• 删除无效规则。

• 优化规则匹配算法。

7.2 过滤器优化

• 使用高效的匹配算法。

• 减少过滤器的执行时间。

• 优化过滤器的优先级设置。

7.3 接口优化

• 增加缓冲区大小。

• 优化超时时间设置。

• 使用高效的通信协议。

#08

总  结

AUTOSAR防火墙模块通过配置接口、运行时接口和调试接口的协同工作，实现了对车载网络通信数据的高效过滤和安全保护。这些接口不仅满足了模块的功能需求，还提供了灵活的配置和调试能力，为车辆电子系统的安全运行提供了可靠保障。同时，接口的标准化设计确保了防火墙模块与其他AUTOSAR模块的兼容性和互操作性，为车载软件的开发和维护提供了便利。

/ END /

原文始发于微信公众号（AI赋能汽车）：CP AUTOSAR 中防火墙功能规范详解