GB/T 40857-2021 英文版(www.GB-GBT.cn): Technical requirements and test methods for cybersecurity of vehicle gateway

GB/T 40857-2021: 汽車網關信息安全技術要求及試驗方法

(資料圖)

1 范圍

本文件規定了汽車網關產品硬件、通信、固件、數據的信息安全技術要求及試驗方法。

本文件適用于汽車網關產品信息安全的設計與實現,也可用于產品測試、評估和管理。

2 規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文

件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T 25069 信息安全技術 術語

GB/T 37935-2019 信息安全技術 可信計算規范 可信軟件基

GB/T 40861 汽車信息安全通用技術要求

3 術語和定義

GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列術語和定義適用于本文件。

3.1

汽車網關

主要功能為安全可靠地在車輛內的多個網絡間進行數據轉發和傳輸的電子控制單元。

注1:汽車網關通過不同網絡間的隔離和不同通信協議間的轉換,可以在各個共享通信數據的功能域之間進行信息交互。

注2:汽車網關也稱中央網關。

3.2

后門

能夠繞過系統認證等安全機制的管控而進入信息系統的通道。

3.3

可信根實體

用于支撐可信計算平臺信任鏈建立和傳遞的可對外提供完整性度量、安全存儲、密碼計算等服務的功能模塊。

注:可信根實體包括TPCM、TCM、TPM等。

4 縮略語

下列縮略語適用于本文件。

ACL 訪問控制列表

ARP 地址解析協議

CAN 控制器局域網絡

CAN-FD 靈活數據速率的控制器局域網絡

DLC 數據長度碼

DoS 拒絕服務

ECU 電子控制單元

ICMP 網際控制報文協議

ID 標識符

IP 網際互連協議

JTAG 聯合測試工作組

LIN 局域互聯網絡

MAC 媒體訪問控制

MOST 面向媒體的串列傳輸

OBD 車載診斷

PCB 印制電路板

SPI 串行外設接口

SYN 同步序列編號

TCP 傳輸控制協議

TCM 可信密碼模塊

TPCM 可信平臺控制模塊

TPM 可信平臺模塊

UART 通用異步收發器

UDP 用戶數據報協議

UDS 統一診斷服務

USB 通用串行總線

VLAN 虛擬局域網

5 汽車網關網絡拓撲結構

5.1 CAN網關

基于CAN和/或CAN-FD總線的車內網絡結構中,大多數的ECU、域控制器之間都會通過CAN

和/或CAN-FD總線進行通信。

這類結構中的汽車網關主要有CAN和/或CAN-FD總線接口,可稱為CAN網關。

典型的CAN網關拓撲結構見附錄A中圖A.1。

5.2 以太網網關

基于以太網的車內網絡結構中,大多數的ECU、域控制器之間會通過以太網進行通信。

這類結構中的汽車網關主要有以太網接口,可稱為以太網網關。

典型的以太網網關拓撲結構見圖A.2。

5.3 混合網關

部分新一代車內網絡結構中,一部分ECU、域控制器之間通過以太網通信,而另一部分ECU、域控

制器之間仍通過傳統通信協議(例如:CAN、CAN-FD、LIN、MOST等)通信。

這類結構中的汽車網關既有以太網接口,還有傳統通信協議接口,可稱為混合網關。

典型的混合網關拓撲結構見圖A.3。

附錄B中舉例列出了針對汽車網關和車內網絡通信的部分典型攻擊。

6 技術要求

6.1 硬件信息安全要求

6.1.1 按照7.1a)進行試驗,網關不應存在后門或隱蔽接口。

6.1.2 按照7.1b)進行試驗,網關的調試接口應禁用或設置安全訪問控制。

6.2 通信信息安全要求

6.2.1 CAN網關通信信息安全要求

6.2.1.1 訪問控制

網關應在各路CAN網絡間建立通信矩陣,并建立基于CAN數據幀標識符(CANID)的訪問控制

策略,按照7.2.1a)進行試驗后,應在列表指定的目的端口檢測接收到源端口發送的數據幀;按照

7.2.1b)進行試驗后,應對不符合定義的數據幀進行丟棄或者記錄日志。

6.2.1.2 拒絕服務攻擊檢測

網關應對車輛對外通信接口的CAN通道(例如:連接OBD-II端口的通道和連接車載信息交互系

統的通道)進行CAN總線DoS攻擊檢測。

網關應具備基于CAN總線接口負載的DoS攻擊檢測功能,宜具備基于某個或多個CANID數據

幀周期的DoS攻擊檢測功能。

按照7.2.1c)、d)進行試驗,當網關檢測到某一路或多路CAN通道存在DoS攻擊時,應滿足以下

要求:

a) 網關未受攻擊的CAN通道的通信功能和預先設定的性能不應受影響;

b) 網關對檢測到的攻擊數據幀進行丟棄或者記錄日志。

6.2.1.3 數據幀健康檢測

網關宜根據通信矩陣中的信號定義,對數據幀進行檢查,檢查內容包括DLC字段、信號值有效性

等,按照7.2.1e)、f)進行試驗,對不符合通信矩陣定義的數據幀進行丟棄或者記錄日志。

6.2.1.4 數據幀異常檢測

網關宜具有數據幀異常檢測功能,即檢查和記錄數據幀之間發送與接收關系的機制,按照7.2.1g)

進行試驗,對檢測到異常的數據幀進行丟棄或者記錄日志。

6.2.1.5 UDS會話檢測

網關應檢查UDS會話發起的CAN通道是否正常,按照7.2.1h)進行試驗,對非正常通道發起的會

話進行攔截或者記錄日志。

注:正常通道通常包括連接OBD-II端口的通道和連接車載信息交互系統的通道。

6.2.2 以太網網關通信信息安全要求

6.2.2.1 網絡分域

網關應支持網絡分域,按照7.2.2a)進行試驗,對不符合網絡分域的數據包進行丟棄。

示例:用VLAN分隔車載網絡內的不同域。

6.2.2.2 訪問控制

網關應配置訪問控制列表 (ACL),訪問控制列表中的訪問控制要素主要應包括源IP地址、目的IP

地址、協議類型(例如TCP、UDP、ICMP等)、協議源端口、協議目的端口,也可包括物理端口、通信方向(輸入或輸出)、源 MAC地址、目的 MAC地址等。

6.2.2.3 拒絕服務攻擊檢測

網關應對車輛對外通信的以太網通道進行以太網DoS攻擊檢測。支持ICMP協議、TCP協議和

UDP協議的網關,檢測的DoS攻擊類型,應分別至少包括ICMP泛洪攻擊、TCP泛洪攻擊和UDP泛洪攻擊。

按照7.2.2d)進行試驗,當網關檢測到以太網DoS攻擊時,應確保自身正常的功能和預先設定的性

能不受影響,并對檢測到的攻擊數據包進行丟棄或者記錄日志。

6.2.2.4 協議狀態檢測

網關宜具有對部分或全部的TCP/IP會話流進行狀態檢查的功能。檢查項包括TCP握手狀態、數

據包長度、包序列和TCP會話關閉狀態等,按照7.2.2e)進行試驗,對檢測到的攻擊數據包進行丟棄或者記錄日志。

6.2.3 混合網關通信信息安全要求

對于混合網關,CAN通信和以太網通信的信息安全要求應分別符合6.2.1和6.2.2的規定。

6.3 固件信息安全要求

6.3.1 安全啟動

網關應具備安全啟動的功能,可通過可信根實體對安全啟動所使用的可信根進行保護。按照7.3

a)、b)、c)進行試驗,網關的可信根、Bootloader程序及系統固件不應被篡改,或被篡改后網關無法正常啟動。

6.3.2 安全日志

如網關具有安全日志功能,則滿足如下要求:

a) 按照7.3d)、e)、f)進行試驗,當網關探測到不符合6.2要求的通信、網關發生軟件配置變更、網關軟件完整性校驗失敗等各類事件時,應對相關信息進行記錄;

b) 按照7.3g)進行試驗,網關的安全日志中,應至少包括觸發日志的事件發生時間(絕對時間或

相對時間)、事件類型和車輛唯一標識碼;

c) 按照7.3h)進行試驗,網關應對安全日志進行安全存儲,防止非物理破壞攻擊情況下日志記錄

的損毀,同時防止未授權的添加、訪問、修改和刪除,安全日志記錄存儲的位置可在網關內、其

他ECU內或云端服務器內;

d) 按照7.3i)進行試驗,網關的安全日志中,不應包含任何形式的個人信息。

6.3.3 安全漏洞

按照7.3j)進行試驗,網關不應存在權威漏洞平臺6個月前公布且未經處置的高危及以上的安全

漏洞。

注:處置包括消除漏洞、制定減緩措施等方式。

6.4 數據信息安全要求

網關中的安全重要參數應以安全的方式存儲和處理,防止未經授權的訪問、修改、刪除和檢索。按照7.4進行試驗,網關內的安全區域或安全模塊不被未經授權的破解、讀取和寫入。可通過使用提供適當授權程序的安全區域、安全模塊或等效安全技術來實現。

7 試驗方法

7.1 硬件信息安全試驗

網關硬件信息安全試驗按照下列流程及要求依次進行:

a) 拆解被測樣件設備外殼,取出PCB板,檢查PCB板硬件是否存在后門或隱蔽接口;

b) 檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調試接口,如存在則使用試驗

工具嘗試獲取調試權限。

7.2 通信信息安全試驗

7.2.1 CAN網關通信信息安全試驗

CAN網關通信信息安全試驗按照下列流程及要求依次進行。

a) 設置6.2.1.1所規定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則

由送樣方提供已預置的訪問控制策略列表),檢測設備向列表指定的源端口發送符合策略規定

的數據幀,并在列表指定的目的端口檢測接收數據幀。

b) 設置6.2.1.1所規定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則

由送樣方提供已預置的訪問控制策略列表),檢測設備向列表指定的源端口發送不符合策略規

定的數據幀,在列表指定的目的端口檢測接收到的數據幀,并收集樣件日志。

c) 由送樣方確認網關連接車輛對外通信接口的CAN通道,檢測設備對此通道以大于80%總線

負載率發送符合通信矩陣的泛洪攻擊數據幀,在指定的目的端口檢測接收到的數據幀,并收集

樣件日志。如果有多個此類通道,則依次分別試驗。

d) 由送樣方確認網關連接車輛對外通信接口的CAN通道,檢測設備對此通道以1ms為周期,

發送符合通信矩陣的某個CANID數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣

件日志。如果有多個此類通道,則依次分別試驗。

e) 檢測設備對網關發送一個或多個DCL字段值不符合通信矩陣定義的數據幀,在指定的目的端

口檢測接收到的數據幀,并收集樣件日志。

f) 檢測設備對網關發送一個或多個信號值不符合通信矩陣定義的數據幀,在指定的目的端口檢

測接收到的數據幀,并收集樣件日志。

g) 檢測設備對網關連續發送一個或多個周期不符合通信矩陣定義(與定義周期偏差±50%)的周

期型數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣件日志。如果有多個此類通

道,則依次分別試驗。

關鍵詞：