GB/T 40857-2021 英文版(www.GB-GBT.cn): Technical requirements and test methods for cybersecurity of vehicle gateway

GB/T 40857-2021: 汽车网关信息安全技术要求及试验方法

(资料图)

1 范围

本文件规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法。

本文件适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069 信息安全技术 术语

GB/T 37935-2019 信息安全技术 可信计算规范 可信软件基

GB/T 40861 汽车信息安全通用技术要求

3 术语和定义

GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列术语和定义适用于本文件。

3.1

汽车网关

主要功能为安全可靠地在车辆内的多个网络间进行数据转发和传输的电子控制单元。

注1:汽车网关通过不同网络间的隔离和不同通信协议间的转换,可以在各个共享通信数据的功能域之间进行信息交互。

注2:汽车网关也称中央网关。

3.2

后门

能够绕过系统认证等安全机制的管控而进入信息系统的通道。

3.3

可信根实体

用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。

注:可信根实体包括TPCM、TCM、TPM等。

4 缩略语

下列缩略语适用于本文件。

ACL 访问控制列表

ARP 地址解析协议

CAN 控制器局域网络

CAN-FD 灵活数据速率的控制器局域网络

DLC 数据长度码

DoS 拒绝服务

ECU 电子控制单元

ICMP 网际控制报文协议

ID 标识符

IP 网际互连协议

JTAG 联合测试工作组

LIN 局域互联网络

MAC 媒体访问控制

MOST 面向媒体的串列传输

OBD 车载诊断

PCB 印制电路板

SPI 串行外设接口

SYN 同步序列编号

TCP 传输控制协议

TCM 可信密码模块

TPCM 可信平台控制模块

TPM 可信平台模块

UART 通用异步收发器

UDP 用户数据报协议

UDS 统一诊断服务

USB 通用串行总线

VLAN 虚拟局域网

5 汽车网关网络拓扑结构

5.1 CAN网关

基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU、域控制器之间都会通过CAN

和/或CAN-FD总线进行通信。

这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。

典型的CAN网关拓扑结构见附录A中图A.1。

5.2 以太网网关

基于以太网的车内网络结构中,大多数的ECU、域控制器之间会通过以太网进行通信。

这类结构中的汽车网关主要有以太网接口,可称为以太网网关。

典型的以太网网关拓扑结构见图A.2。

5.3 混合网关

部分新一代车内网络结构中,一部分ECU、域控制器之间通过以太网通信,而另一部分ECU、域控

制器之间仍通过传统通信协议(例如:CAN、CAN-FD、LIN、MOST等)通信。

这类结构中的汽车网关既有以太网接口,还有传统通信协议接口,可称为混合网关。

典型的混合网关拓扑结构见图A.3。

附录B中举例列出了针对汽车网关和车内网络通信的部分典型攻击。

6 技术要求

6.1 硬件信息安全要求

6.1.1 按照7.1a)进行试验,网关不应存在后门或隐蔽接口。

6.1.2 按照7.1b)进行试验,网关的调试接口应禁用或设置安全访问控制。

6.2 通信信息安全要求

6.2.1 CAN网关通信信息安全要求

6.2.1.1 访问控制

网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据帧标识符(CANID)的访问控制

策略,按照7.2.1a)进行试验后,应在列表指定的目的端口检测接收到源端口发送的数据帧;按照

7.2.1b)进行试验后,应对不符合定义的数据帧进行丢弃或者记录日志。

6.2.1.2 拒绝服务攻击检测

网关应对车辆对外通信接口的CAN通道(例如:连接OBD-II端口的通道和连接车载信息交互系

统的通道)进行CAN总线DoS攻击检测。

网关应具备基于CAN总线接口负载的DoS攻击检测功能,宜具备基于某个或多个CANID数据

帧周期的DoS攻击检测功能。

按照7.2.1c)、d)进行试验,当网关检测到某一路或多路CAN通道存在DoS攻击时,应满足以下

要求:

a) 网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响;

b) 网关对检测到的攻击数据帧进行丢弃或者记录日志。

6.2.1.3 数据帧健康检测

网关宜根据通信矩阵中的信号定义,对数据帧进行检查,检查内容包括DLC字段、信号值有效性

等,按照7.2.1e)、f)进行试验,对不符合通信矩阵定义的数据帧进行丢弃或者记录日志。

6.2.1.4 数据帧异常检测

网关宜具有数据帧异常检测功能,即检查和记录数据帧之间发送与接收关系的机制,按照7.2.1g)

进行试验,对检测到异常的数据帧进行丢弃或者记录日志。

6.2.1.5 UDS会话检测

网关应检查UDS会话发起的CAN通道是否正常,按照7.2.1h)进行试验,对非正常通道发起的会

话进行拦截或者记录日志。

注:正常通道通常包括连接OBD-II端口的通道和连接车载信息交互系统的通道。

6.2.2 以太网网关通信信息安全要求

6.2.2.1 网络分域

网关应支持网络分域,按照7.2.2a)进行试验,对不符合网络分域的数据包进行丢弃。

示例:用VLAN分隔车载网络内的不同域。

6.2.2.2 访问控制

网关应配置访问控制列表 (ACL),访问控制列表中的访问控制要素主要应包括源IP地址、目的IP

地址、协议类型(例如TCP、UDP、ICMP等)、协议源端口、协议目的端口,也可包括物理端口、通信方向(输入或输出)、源 MAC地址、目的 MAC地址等。

6.2.2.3 拒绝服务攻击检测

网关应对车辆对外通信的以太网通道进行以太网DoS攻击检测。支持ICMP协议、TCP协议和

UDP协议的网关,检测的DoS攻击类型,应分别至少包括ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪攻击。

按照7.2.2d)进行试验,当网关检测到以太网DoS攻击时,应确保自身正常的功能和预先设定的性

能不受影响,并对检测到的攻击数据包进行丢弃或者记录日志。

6.2.2.4 协议状态检测

网关宜具有对部分或全部的TCP/IP会话流进行状态检查的功能。检查项包括TCP握手状态、数

据包长度、包序列和TCP会话关闭状态等,按照7.2.2e)进行试验,对检测到的攻击数据包进行丢弃或者记录日志。

6.2.3 混合网关通信信息安全要求

对于混合网关,CAN通信和以太网通信的信息安全要求应分别符合6.2.1和6.2.2的规定。

6.3 固件信息安全要求

6.3.1 安全启动

网关应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护。按照7.3

a)、b)、c)进行试验,网关的可信根、Bootloader程序及系统固件不应被篡改,或被篡改后网关无法正常启动。

6.3.2 安全日志

如网关具有安全日志功能,则满足如下要求:

a) 按照7.3d)、e)、f)进行试验,当网关探测到不符合6.2要求的通信、网关发生软件配置变更、网关软件完整性校验失败等各类事件时,应对相关信息进行记录;

b) 按照7.3g)进行试验,网关的安全日志中,应至少包括触发日志的事件发生时间(绝对时间或

相对时间)、事件类型和车辆唯一标识码;

c) 按照7.3h)进行试验,网关应对安全日志进行安全存储,防止非物理破坏攻击情况下日志记录

的损毁,同时防止未授权的添加、访问、修改和删除,安全日志记录存储的位置可在网关内、其

他ECU内或云端服务器内;

d) 按照7.3i)进行试验,网关的安全日志中,不应包含任何形式的个人信息。

6.3.3 安全漏洞

按照7.3j)进行试验,网关不应存在权威漏洞平台6个月前公布且未经处置的高危及以上的安全

漏洞。

注:处置包括消除漏洞、制定减缓措施等方式。

6.4 数据信息安全要求

网关中的安全重要参数应以安全的方式存储和处理,防止未经授权的访问、修改、删除和检索。按照7.4进行试验,网关内的安全区域或安全模块不被未经授权的破解、读取和写入。可通过使用提供适当授权程序的安全区域、安全模块或等效安全技术来实现。

7 试验方法

7.1 硬件信息安全试验

网关硬件信息安全试验按照下列流程及要求依次进行:

a) 拆解被测样件设备外壳,取出PCB板,检查PCB板硬件是否存在后门或隐蔽接口;

b) 检查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等调试接口,如存在则使用试验

工具尝试获取调试权限。

7.2 通信信息安全试验

7.2.1 CAN网关通信信息安全试验

CAN网关通信信息安全试验按照下列流程及要求依次进行。

a) 设置6.2.1.1所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则

由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定

的数据帧,并在列表指定的目的端口检测接收数据帧。

b) 设置6.2.1.1所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则

由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规

定的数据帧,在列表指定的目的端口检测接收到的数据帧,并收集样件日志。

c) 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以大于80%总线

负载率发送符合通信矩阵的泛洪攻击数据帧,在指定的目的端口检测接收到的数据帧,并收集

样件日志。如果有多个此类通道,则依次分别试验。

d) 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以1ms为周期,

发送符合通信矩阵的某个CANID数据帧,在指定的目的端口检测接收到的数据帧,并收集样

件日志。如果有多个此类通道,则依次分别试验。

e) 检测设备对网关发送一个或多个DCL字段值不符合通信矩阵定义的数据帧,在指定的目的端

口检测接收到的数据帧,并收集样件日志。

f) 检测设备对网关发送一个或多个信号值不符合通信矩阵定义的数据帧,在指定的目的端口检

测接收到的数据帧,并收集样件日志。

g) 检测设备对网关连续发送一个或多个周期不符合通信矩阵定义(与定义周期偏差±50%)的周

期型数据帧,在指定的目的端口检测接收到的数据帧,并收集样件日志。如果有多个此类通

道,则依次分别试验。

关键词：