GB/T 40857-2021 英文版(www.GB-GBT.cn): Technical requirements and test methods for cybersecurity of vehicle gateway

GB/T 40857-2021: 汽車(chē)網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法

(資料圖)

1 范圍

本文件規(guī)定了汽車(chē)網(wǎng)關(guān)產(chǎn)品硬件、通信、固件、數(shù)據(jù)的信息安全技術(shù)要求及試驗(yàn)方法。

本文件適用于汽車(chē)網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計(jì)與實(shí)現(xiàn),也可用于產(chǎn)品測(cè)試、評(píng)估和管理。

2 規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文

件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)

GB/T 37935-2019 信息安全技術(shù) 可信計(jì)算規(guī)范 可信軟件基

GB/T 40861 汽車(chē)信息安全通用技術(shù)要求

3 術(shù)語(yǔ)和定義

GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

汽車(chē)網(wǎng)關(guān)

主要功能為安全可靠地在車(chē)輛內(nèi)的多個(gè)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸?shù)碾娮涌刂茊卧?/p>

注1:汽車(chē)網(wǎng)關(guān)通過(guò)不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換,可以在各個(gè)共享通信數(shù)據(jù)的功能域之間進(jìn)行信息交互。

注2:汽車(chē)網(wǎng)關(guān)也稱(chēng)中央網(wǎng)關(guān)。

3.2

后門(mén)

能夠繞過(guò)系統(tǒng)認(rèn)證等安全機(jī)制的管控而進(jìn)入信息系統(tǒng)的通道。

3.3

可信根實(shí)體

用于支撐可信計(jì)算平臺(tái)信任鏈建立和傳遞的可對(duì)外提供完整性度量、安全存儲(chǔ)、密碼計(jì)算等服務(wù)的功能模塊。

注:可信根實(shí)體包括TPCM、TCM、TPM等。

4 縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ACL 訪問(wèn)控制列表

ARP 地址解析協(xié)議

CAN 控制器局域網(wǎng)絡(luò)

CAN-FD 靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)

DLC 數(shù)據(jù)長(zhǎng)度碼

DoS 拒絕服務(wù)

ECU 電子控制單元

ICMP 網(wǎng)際控制報(bào)文協(xié)議

ID 標(biāo)識(shí)符

IP 網(wǎng)際互連協(xié)議

JTAG 聯(lián)合測(cè)試工作組

LIN 局域互聯(lián)網(wǎng)絡(luò)

MAC 媒體訪問(wèn)控制

MOST 面向媒體的串列傳輸

OBD 車(chē)載診斷

PCB 印制電路板

SPI 串行外設(shè)接口

SYN 同步序列編號(hào)

TCP 傳輸控制協(xié)議

TCM 可信密碼模塊

TPCM 可信平臺(tái)控制模塊

TPM 可信平臺(tái)模塊

UART 通用異步收發(fā)器

UDP 用戶數(shù)據(jù)報(bào)協(xié)議

UDS 統(tǒng)一診斷服務(wù)

USB 通用串行總線

VLAN 虛擬局域網(wǎng)

5 汽車(chē)網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

5.1 CAN網(wǎng)關(guān)

基于CAN和/或CAN-FD總線的車(chē)內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,大多數(shù)的ECU、域控制器之間都會(huì)通過(guò)CAN

和/或CAN-FD總線進(jìn)行通信。

這類(lèi)結(jié)構(gòu)中的汽車(chē)網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口,可稱(chēng)為CAN網(wǎng)關(guān)。

典型的CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)附錄A中圖A.1。

5.2 以太網(wǎng)網(wǎng)關(guān)

基于以太網(wǎng)的車(chē)內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,大多數(shù)的ECU、域控制器之間會(huì)通過(guò)以太網(wǎng)進(jìn)行通信。

這類(lèi)結(jié)構(gòu)中的汽車(chē)網(wǎng)關(guān)主要有以太網(wǎng)接口,可稱(chēng)為以太網(wǎng)網(wǎng)關(guān)。

典型的以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖A.2。

5.3 混合網(wǎng)關(guān)

部分新一代車(chē)內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,一部分ECU、域控制器之間通過(guò)以太網(wǎng)通信,而另一部分ECU、域控

制器之間仍通過(guò)傳統(tǒng)通信協(xié)議(例如:CAN、CAN-FD、LIN、MOST等)通信。

這類(lèi)結(jié)構(gòu)中的汽車(chē)網(wǎng)關(guān)既有以太網(wǎng)接口,還有傳統(tǒng)通信協(xié)議接口,可稱(chēng)為混合網(wǎng)關(guān)。

典型的混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖A.3。

附錄B中舉例列出了針對(duì)汽車(chē)網(wǎng)關(guān)和車(chē)內(nèi)網(wǎng)絡(luò)通信的部分典型攻擊。

6 技術(shù)要求

6.1 硬件信息安全要求

6.1.1 按照7.1a)進(jìn)行試驗(yàn),網(wǎng)關(guān)不應(yīng)存在后門(mén)或隱蔽接口。

6.1.2 按照7.1b)進(jìn)行試驗(yàn),網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問(wèn)控制。

6.2 通信信息安全要求

6.2.1 CAN網(wǎng)關(guān)通信信息安全要求

6.2.1.1 訪問(wèn)控制

網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣,并建立基于CAN數(shù)據(jù)幀標(biāo)識(shí)符(CANID)的訪問(wèn)控制

策略,按照7.2.1a)進(jìn)行試驗(yàn)后,應(yīng)在列表指定的目的端口檢測(cè)接收到源端口發(fā)送的數(shù)據(jù)幀;按照

7.2.1b)進(jìn)行試驗(yàn)后,應(yīng)對(duì)不符合定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.2 拒絕服務(wù)攻擊檢測(cè)

網(wǎng)關(guān)應(yīng)對(duì)車(chē)輛對(duì)外通信接口的CAN通道(例如:連接OBD-II端口的通道和連接車(chē)載信息交互系

統(tǒng)的通道)進(jìn)行CAN總線DoS攻擊檢測(cè)。

網(wǎng)關(guān)應(yīng)具備基于CAN總線接口負(fù)載的DoS攻擊檢測(cè)功能,宜具備基于某個(gè)或多個(gè)CANID數(shù)據(jù)

幀周期的DoS攻擊檢測(cè)功能。

按照7.2.1c)、d)進(jìn)行試驗(yàn),當(dāng)網(wǎng)關(guān)檢測(cè)到某一路或多路CAN通道存在DoS攻擊時(shí),應(yīng)滿足以下

要求:

a) 網(wǎng)關(guān)未受攻擊的CAN通道的通信功能和預(yù)先設(shè)定的性能不應(yīng)受影響;

b) 網(wǎng)關(guān)對(duì)檢測(cè)到的攻擊數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.3 數(shù)據(jù)幀健康檢測(cè)

網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號(hào)定義,對(duì)數(shù)據(jù)幀進(jìn)行檢查,檢查內(nèi)容包括DLC字段、信號(hào)值有效性

等,按照7.2.1e)、f)進(jìn)行試驗(yàn),對(duì)不符合通信矩陣定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.4 數(shù)據(jù)幀異常檢測(cè)

網(wǎng)關(guān)宜具有數(shù)據(jù)幀異常檢測(cè)功能,即檢查和記錄數(shù)據(jù)幀之間發(fā)送與接收關(guān)系的機(jī)制,按照7.2.1g)

進(jìn)行試驗(yàn),對(duì)檢測(cè)到異常的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.5 UDS會(huì)話檢測(cè)

網(wǎng)關(guān)應(yīng)檢查UDS會(huì)話發(fā)起的CAN通道是否正常,按照7.2.1h)進(jìn)行試驗(yàn),對(duì)非正常通道發(fā)起的會(huì)

話進(jìn)行攔截或者記錄日志。

注:正常通道通常包括連接OBD-II端口的通道和連接車(chē)載信息交互系統(tǒng)的通道。

6.2.2 以太網(wǎng)網(wǎng)關(guān)通信信息安全要求

6.2.2.1 網(wǎng)絡(luò)分域

網(wǎng)關(guān)應(yīng)支持網(wǎng)絡(luò)分域,按照7.2.2a)進(jìn)行試驗(yàn),對(duì)不符合網(wǎng)絡(luò)分域的數(shù)據(jù)包進(jìn)行丟棄。

示例:用VLAN分隔車(chē)載網(wǎng)絡(luò)內(nèi)的不同域。

6.2.2.2 訪問(wèn)控制

網(wǎng)關(guān)應(yīng)配置訪問(wèn)控制列表 (ACL),訪問(wèn)控制列表中的訪問(wèn)控制要素主要應(yīng)包括源IP地址、目的IP

地址、協(xié)議類(lèi)型(例如TCP、UDP、ICMP等)、協(xié)議源端口、協(xié)議目的端口,也可包括物理端口、通信方向(輸入或輸出)、源 MAC地址、目的 MAC地址等。

6.2.2.3 拒絕服務(wù)攻擊檢測(cè)

網(wǎng)關(guān)應(yīng)對(duì)車(chē)輛對(duì)外通信的以太網(wǎng)通道進(jìn)行以太網(wǎng)DoS攻擊檢測(cè)。支持ICMP協(xié)議、TCP協(xié)議和

UDP協(xié)議的網(wǎng)關(guān),檢測(cè)的DoS攻擊類(lèi)型,應(yīng)分別至少包括ICMP泛洪攻擊、TCP泛洪攻擊和UDP泛洪攻擊。

按照7.2.2d)進(jìn)行試驗(yàn),當(dāng)網(wǎng)關(guān)檢測(cè)到以太網(wǎng)DoS攻擊時(shí),應(yīng)確保自身正常的功能和預(yù)先設(shè)定的性

能不受影響,并對(duì)檢測(cè)到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。

6.2.2.4 協(xié)議狀態(tài)檢測(cè)

網(wǎng)關(guān)宜具有對(duì)部分或全部的TCP/IP會(huì)話流進(jìn)行狀態(tài)檢查的功能。檢查項(xiàng)包括TCP握手狀態(tài)、數(shù)

據(jù)包長(zhǎng)度、包序列和TCP會(huì)話關(guān)閉狀態(tài)等,按照7.2.2e)進(jìn)行試驗(yàn),對(duì)檢測(cè)到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。

6.2.3 混合網(wǎng)關(guān)通信信息安全要求

對(duì)于混合網(wǎng)關(guān),CAN通信和以太網(wǎng)通信的信息安全要求應(yīng)分別符合6.2.1和6.2.2的規(guī)定。

6.3 固件信息安全要求

6.3.1 安全啟動(dòng)

網(wǎng)關(guān)應(yīng)具備安全啟動(dòng)的功能,可通過(guò)可信根實(shí)體對(duì)安全啟動(dòng)所使用的可信根進(jìn)行保護(hù)。按照7.3

a)、b)、c)進(jìn)行試驗(yàn),網(wǎng)關(guān)的可信根、Bootloader程序及系統(tǒng)固件不應(yīng)被篡改,或被篡改后網(wǎng)關(guān)無(wú)法正常啟動(dòng)。

6.3.2 安全日志

如網(wǎng)關(guān)具有安全日志功能,則滿足如下要求:

a) 按照7.3d)、e)、f)進(jìn)行試驗(yàn),當(dāng)網(wǎng)關(guān)探測(cè)到不符合6.2要求的通信、網(wǎng)關(guān)發(fā)生軟件配置變更、網(wǎng)關(guān)軟件完整性校驗(yàn)失敗等各類(lèi)事件時(shí),應(yīng)對(duì)相關(guān)信息進(jìn)行記錄;

b) 按照7.3g)進(jìn)行試驗(yàn),網(wǎng)關(guān)的安全日志中,應(yīng)至少包括觸發(fā)日志的事件發(fā)生時(shí)間(絕對(duì)時(shí)間或

相對(duì)時(shí)間)、事件類(lèi)型和車(chē)輛唯一標(biāo)識(shí)碼;

c) 按照7.3h)進(jìn)行試驗(yàn),網(wǎng)關(guān)應(yīng)對(duì)安全日志進(jìn)行安全存儲(chǔ),防止非物理破壞攻擊情況下日志記錄

的損毀,同時(shí)防止未授權(quán)的添加、訪問(wèn)、修改和刪除,安全日志記錄存儲(chǔ)的位置可在網(wǎng)關(guān)內(nèi)、其

他ECU內(nèi)或云端服務(wù)器內(nèi);

d) 按照7.3i)進(jìn)行試驗(yàn),網(wǎng)關(guān)的安全日志中,不應(yīng)包含任何形式的個(gè)人信息。

6.3.3 安全漏洞

按照7.3j)進(jìn)行試驗(yàn),網(wǎng)關(guān)不應(yīng)存在權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全

漏洞。

注:處置包括消除漏洞、制定減緩措施等方式。

6.4 數(shù)據(jù)信息安全要求

網(wǎng)關(guān)中的安全重要參數(shù)應(yīng)以安全的方式存儲(chǔ)和處理,防止未經(jīng)授權(quán)的訪問(wèn)、修改、刪除和檢索。按照7.4進(jìn)行試驗(yàn),網(wǎng)關(guān)內(nèi)的安全區(qū)域或安全模塊不被未經(jīng)授權(quán)的破解、讀取和寫(xiě)入。可通過(guò)使用提供適當(dāng)授權(quán)程序的安全區(qū)域、安全模塊或等效安全技術(shù)來(lái)實(shí)現(xiàn)。

7 試驗(yàn)方法

7.1 硬件信息安全試驗(yàn)

網(wǎng)關(guān)硬件信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行:

a) 拆解被測(cè)樣件設(shè)備外殼,取出PCB板,檢查PCB板硬件是否存在后門(mén)或隱蔽接口;

b) 檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調(diào)試接口,如存在則使用試驗(yàn)

工具嘗試獲取調(diào)試權(quán)限。

7.2 通信信息安全試驗(yàn)

7.2.1 CAN網(wǎng)關(guān)通信信息安全試驗(yàn)

CAN網(wǎng)關(guān)通信信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行。

a) 設(shè)置6.2.1.1所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改,則

由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定

的數(shù)據(jù)幀,并在列表指定的目的端口檢測(cè)接收數(shù)據(jù)幀。

b) 設(shè)置6.2.1.1所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改,則

由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)

定的數(shù)據(jù)幀,在列表指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀,并收集樣件日志。

c) 由送樣方確認(rèn)網(wǎng)關(guān)連接車(chē)輛對(duì)外通信接口的CAN通道,檢測(cè)設(shè)備對(duì)此通道以大于80%總線

負(fù)載率發(fā)送符合通信矩陣的泛洪攻擊數(shù)據(jù)幀,在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀,并收集

樣件日志。如果有多個(gè)此類(lèi)通道,則依次分別試驗(yàn)。

d) 由送樣方確認(rèn)網(wǎng)關(guān)連接車(chē)輛對(duì)外通信接口的CAN通道,檢測(cè)設(shè)備對(duì)此通道以1ms為周期,

發(fā)送符合通信矩陣的某個(gè)CANID數(shù)據(jù)幀,在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀,并收集樣

件日志。如果有多個(gè)此類(lèi)通道,則依次分別試驗(yàn)。

e) 檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)DCL字段值不符合通信矩陣定義的數(shù)據(jù)幀,在指定的目的端

口檢測(cè)接收到的數(shù)據(jù)幀,并收集樣件日志。

f) 檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)信號(hào)值不符合通信矩陣定義的數(shù)據(jù)幀,在指定的目的端口檢

測(cè)接收到的數(shù)據(jù)幀,并收集樣件日志。

g) 檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)連續(xù)發(fā)送一個(gè)或多個(gè)周期不符合通信矩陣定義(與定義周期偏差±50%)的周

期型數(shù)據(jù)幀,在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀,并收集樣件日志。如果有多個(gè)此類(lèi)通

道,則依次分別試驗(yàn)。

關(guān)鍵詞：