发布日期:2023-02-07 17:05 浏览次数:
本文件规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法。
本文件适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 37935-2019 信息安全技术 可信计算规范 可信软件基
GB/T 40861 汽车信息安全通用技术要求
GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列术语和定义适用于本文件。
3.1
汽车网关 vehicle gateway
主要功能为安全可靠地在车辆内的多个网络间进行数据转发和传输的电子控制单元。
注1:汽车网关通过不同网络间的隔离和不同通信协议间的转换,可以在各个共享通信数据的功能域之间进行信息交互。
注2:汽车网关也称中央网关。
3.2
后门 backdoor
能够绕过系统认证等安全机制的管控而进入信息系统的通道。
[来源:GB/T 40861-2021,3.12]
3.3
可信根实体 entity of root of trust
用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。
注:可信根实体包括TPCM、TCM、TPM等。
[来源:GB/T 37935-2019,3.12]
下列缩略语适用于本文件。
ACL 访问控制列表(Access Control Lists)
ARP 地址解析协议(Address Resolution Protocol)
CAN 控制器局域网络(Controller Area Network)
CAN-FD 灵活数据速率的控制器局域网络(CAN with Flexible Data-rate)
DLC 数据长度码(Data Length Code)
DoS 拒绝服务(Denial of Service)
ECU 电子控制单元(Electronic Control Unit)
ICMP 网际控制报文协议(Internet Control Message Protocol)
ID 标识符(ldentifier)
IP 网际互连协议(Internet Protocol)
JTAG 联合测试工作组(Joint TestAction Group)
LIN 局域互联网络(Local Interconnect Network)
MAC 媒体访问控制(Media Access Control)
MOST 面向媒体的串列传输(Media Oriented System Transport)
OBD 车载诊断(On-Board Diagnostics)
PCB 印制电路板(Printed Circuit Board)
SPI 串行外设接口(Serial Peripheral Interface)
SYN 同步序列编号(Synchronize Sequence Numbers)
TCP 传输控制协议(Transmission Control Protocol)
TCM 可信密码模块(Trusted Cryptography Module)
TPCM 可信平台控制模块(Trusted Platform Control Module)
TPM 可信平台模块(Trusted Platform Module)
UART 通用异步收发器(Universal Asynchronous Receiver/Transmitter)
UDP 用户数据报协议(User Datagram Protocol)
UDS 统一诊断服务(Unified Diagnostic Services)
USB 通用串行总线(Universal Serial Bus)
VLAN 虚拟局域网(Virtual Local Area Network)
5.1 CAN网关
基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU、域控制器之间都会通过CAN和/或CAN-FD总线进行通信。
这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。
典型的CAN网关拓扑结构见附录A中图A.1。
5.2 以太网网关
基于以太网的车内网络结构中,大多数的ECU、域控制器之间会通过以太网进行通信。
这类结构中的汽车网关主要有以太网接口,可称为以太网网关。
典型的以太网网关拓扑结构见图A.2。
5.3 混合网关
部分新一代车内网络结构中,一部分ECU、域控制器之间通过以太网通信,而另一部分ECU、域控制器之间仍通过传统通信协议(例如:CAN、CAN-FD、LIN、MOST等)通信。
这类结构中的汽车网关既有以太网接口,还有传统通信协议接口,可称为混合网关。
典型的混合网关拓扑结构见图A.3。
附录B中举例列出了针对汽车网关和车内网络通信的部分典型攻击。
6.1 硬件信息安全要求
6.1.1 按照7.1a)进行试验,网关不应存在后门或隐蔽接口。
6.1.2 按照7.1b)进行试验,网关的调试接口应禁用或设置安全访问控制。
6.2 通信信息安全要求
6.2.1 CAN网关通信信息安全要求
6.2.1.1 访问控制
网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据帧标识符(CAN ID)的访问控制策略,按照7.2.1a)进行试验后,应在列表指定的目的端口检测接收到源端口发送的数据帧;按照7.2.1b)进行试验后,应对不符合定义的数据帧进行丢弃或者记录日志。
6.2.1.2 拒绝服务攻击检测
网关应对车辆对外通信接口的CAN通道(例如:连接OBD-II端口的通道和连接车载信息交互系统的通道)进行CAN总线DoS攻击检测。
网关应具备基于CAN总线接口负载的DoS攻击检测功能,宜具备基于某个或多个CANID数据帧周期的DoS攻击检测功能。
按照7.2.1c)、d)进行试验,当网关检测到某一路或多路CAN通道存在DoS攻击时,应满足以下要求:
a)网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响;
b) 网关对检测到的攻击数据帧进行丢弃或者记录日志。
6.2.1.3 数据帧健康检测
网关宜根据通信矩阵中的信号定义,对数据帧进行检查,检查内容包括DLC字段、信号值有效性等,按照7.2.1e)、f)进行试验,对不符合通信矩阵定义的数据帧进行丢弃或者记录日志。
6.2.1.4 数据帧异常检测
网关宜具有数据帧异常检测功能,即检查和记录数据帧之间发送与接收关系的机制,按照7.2.1g)进行试验,对检测到异常的数据帧进行丢弃或者记录日志。
示例:
网关检测到一定时间内数据帧的发送频率与预定义的频率差距较大,或相邻时间同一数据帧的信号值内容冲突或者不正常跳跃时,对数据帧进行丢弃或者记录日志。
6.2.1.5 UDS会话检测
网关应检查UDS会话发起的CAN通道是否正常,按照7.2.1h)进行试验,对非正常通道发起的会话进行拦截或者记录日志。
注:正常通道通常包括连接OBD-II端口的通道和连接车载信息交互系统的通道。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
