更多标准英文版,欢迎联系我们
GB/T-英文版汽车网关信息安全技术要求及试验方法
Technicalrequirementsandtestmethodsforcybersecurityofvehiclegateway
1范围
本文件规定了汽车网关产品硬件、通信、固件.数据的信息安全技术要求及试验方法。
本文件适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T信息安全技术术语
GB/T--信息安全技术可信计算规范可信软件基
GB/T汽车信息安全通用技术要求
3术语和定义
GB/T,GB/T--、GB/T界定的以及下列术语和定义适用于本文件。
3.1
汽车网关
vehiclegateway
主要功能为安全可靠地在车辆内的手个网络间进行数据转发和传输的电子控制单元。
注1:汽车网关通过不同网络间的隔离和不同通信协议间的转换,可以在各个共享通信数据的功能域之间进行信息交互。
注2:汽车网关也称中央网关。
3.2
后门.
backdoor
能够绕过系统认证等安全机制的管控而进入信息系统的通道。
[来源:GB/T--,3.12]
3.3
可信根实体.
entityofrootoftrust
用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。
注:可信根实体包括TPCM.TCM.TPM等。
[来源:GB/T--,3.12]
4缩略语
下列缩略语适用于本文件。
ACL访问控制列表(AccessControlLists)
ARP地址解析协议(AddressResolutionProtocol)
5汽车网关网络拓扑结构
5.1CAN网关
基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU.域控制器之间都会通过CAN和/或CAN-FD总线进行通信。
这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。
典型的CAN网关拓扑结构见附录A中图A.1。
5.2以太网网关
基于以太网的车内网络结构中,大多数的ECU.域控制器之间会通过以太网进行通信。
这类结构中的汽车网关主要有以太网接口,可称为以太网网关。
典型的以太网网关拓扑结构见图A.2。
5.3
混合网关
部分新-代车内网络结构中,一部分ECU.域控制器之间通过以太网通信,而另一部分ECU、域控制器之间仍通过传统通信协议(例如:CAN.CAN-FD、LIN、MOST等)通信。
这类结构中的汽车网关既有以太网接口,还有传统通信协议接口,可称为混合网关。
典型的混合网关拓扑结构见图A.3。
附录B中举例列出了针对汽车网关和车内网络通信的部分典型攻击。.
6技术要求
6.1硬件信息安全要求
6.1.1按照7.1a)进行试验,网关不应存在后门或隐蔽接口。
6.1.2按照7.1b)进行试验,网关的调试接口应禁用或设置安全访问控制。
6.2通信信息安全要求
6.2.1CAN网关通信信息安全要求
6.2.1.1访问控制
网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据帧标识符(CANID)的访问控制策略,按照7.2.1a)进行试验后,应在列表指定的目的端口检测接收到源端口发送的数据帧;按照
7.2.1b)进行试验后,应对不符合定义的数据帧进行丢弃或者记录日志。
6.2.1.2拒绝服务攻击检测
网关应对车辆对外通信接口的CAN通道(例如:连按OBD-II端口的通道和连接车载信息交互系统的通道)进行CAN总线DoS攻击检测。
网关应具备基于CAN总线接口负载的DoS变击检测功能,宜具备基于某个或多个CANID数据帧周期的DoS攻击检测功能。
按照7.2.1c)、d)进行试验,当网关检测勇某一路或多路CAN通道存在DoS攻击时,应满足以下
要求:
a)网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响;
b)网关对检测到的攻击数据帧进行丢弃或者记录日志。
6.2.1.3数据帧健康检测
网关宜根据通信矩阵中的信号定义,对数据帧进行检查,检查内容包括DLC字段、信号值有效性等,按照7.2.1e)、f)进行试验,对不符合通信矩阵定义的数据帧进行丢弃或者记录日志。
6.2.1.4数据帧异常检测
网关宜具有数据帧异常检测功能,即检查和记录数据帧之间发送与接收关系的机制,按照7.2.1g)进行试验,对检测到异常的数据帧进行丢弃或者记录日志。
示例:
网关检测到一定时间内数据帧的发送频率与预定义的额率差距较大,或相邻时间同一数据帧的信号值内容冲突或者不正常跳跃时,对数据帧进行丢弃或者记录日志。
6.2.1.5UDS会话检测
网关应检查UDS会话发起的CAN通道是否正常,按照7.2.1h)进行试验,对非正常通道发起的会.话进行拦截或者记录日志。.
注:正常通道通常包括连接OBD-II端口的通道和连接车载信息交互系统的通道。
6.2.2
以太网网关通信信息安全要求
6.2.2.1
网络分域
网关应支持网络分域,按照7.2.2a)进行试验,对不符合网络分域的数据包进行丢弃。
示例:用VLAN分隔车载网络内的不同域。
6.2.2.2访问控制
网关应配置访问控制列表(ACL),访问控制列表中的访问控制要素主要应包括源IP地址、目的IP地址、协议类型(例如TCP、UDP、ICMP等)、协议源端口、协议目的端口,也可包括物理端口、通信方向(输入或输出)、源MAC地址.目的MAC地址等。
访问控制列表应遵循默认拒绝原则,即丢弃所有不符合条件的数据包。
访问控制列表应遵循最小化授权原则,即只授予必要的权限。
按照7.2.2b).c)进行试验,对不符合访问控制列表的数据包进行丢弃或者记录日志。
6.2.2.3拒绝服务攻击检测
网关应对车辆对外通信的以太网通道进行以太网DoS攻击检测。支持ICMP协议、TCP协议和UDP协议的网关,检测的DoS攻击类型,应分别至少包括ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪攻击。
按照7.2.2d)进行试验,当网关检测到以太网DoS攻击时,应确保自身正常的功能和预先设定的性能不受影响,并对检测到的攻击数据包进行丢弃或者记录日志。
6.2.2.4
协议状态检测
网关宜具有对部分或全部的TCP/IP会话流进行状态检查的功能。检查项包括TCP握手状态、数据包长度、包序列和TCP会话关闭状态瓷,按照7.2.2e)进行试验,对检测到的攻击数据包进行丢弃或者记录日志。
6.2.3
混合网关通信信息安全要求
对于混合网关,CAN通信和以太网通信的信息安全要求应分别符合6.2.1和6.2.2的规定。
6.3固件信息安全要求
6.3.1安全启动
网关应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护。按照7.3a).b).c)进行试验,网关的可信根、Bootloader程序及系统固件不应被篡改,或被篡改后网关无法正常启动。
6.3.2安全日志
如网关具有安全日志功能,则满足如下要求:
a)按照7.3d)、e).f)进行试验,当网关探测到不符合6.2要求的通信、网关发生软件配置变更、网关软件完整性校验失败等各类事件时,应对相关信息进行记录;
b)按照7.3g)进行试验,网关的安全日志中,应至少包括触发日志的事件发生时间(绝对时间或相对时间)、事件类型和车辆唯-.标识码;
c)按照7.3h)进行试验,网关应对安全日志进行安全存储,防止非物理破坏攻击情况下日志记录的损毁,同时防止未授权的添加、访问、修改和刪除,安全日志记录存储的位置可在网关内.其他ECU内或云端服务器内;
按照7.3i)进行试验,网关的安全日志中,不应包含任何形式的个人信息。
6.3.3安全漏洞.
按照7.3j)进行试验,网关不应存在权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。
注:处置包括消除漏洞.制定减级措施等方式。
6.4数据信息安全要求
网关中的安全重要参数应以安全的方式存储和处理,防止未经授权的访问.修改、删除和检索。按照7.4进行试验,网关内的安全区域或安全模块不被未经授权的破解、读取和写人。可通过使用提供适当授权程序的安全区域、安全模块或等效安全技术来实现。
7试验方法
7.1硬件信息安全试验
网关硬件信息安全试验按照下列流程及要求依次进行;
拆解被测样件设备外壳,取出PCB板,检查PCB板硬件是否存在后门或隐蔽接口;
b)检查是否有存在暴露在PCB板上的JTAG,USB.UART.SPI等调试接口,如存在则使用试验
工具尝试获取调试权限。
7.2通信信息安全试验
7.2.1CAN网关通信信息安全试验
7.4数据信息安全试验
网关数据信息安全试验按照下列流程及要求依次进行:
a)试验人员尝试对网关安全区域或安全模块的授权访问控制进行破解(例如:使用暴力破解或字典破解方式,尝试破解安全区域或安全模块的访问口令);
b)被测样件送样方提供网关内部安全存储区域的地址范围或安全模块的访问方式,试验人员使用送样方授权的软件工具,尝试对安全区域或安全模块进行读取访问;
c)试验人员使用非送样方授权的软件工具或访问方式,尝试对安全区域或安全模块进行读取和写人。
GB/T-英文版