1 范圍

      本文件規(guī)定了汽車網(wǎng)關(guān)產(chǎn)品硬件、通信、固件、數(shù)據(jù)的信息安全技術(shù)要求及試驗(yàn)方法。

      本文件適用于汽車網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計(jì)與實(shí)現(xiàn)，也可用于產(chǎn)品測試、評估和管理。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069 信息安全技術(shù) 術(shù)語

      GB/T 37935-2019 信息安全技術(shù) 可信計(jì)算規(guī)范 可信軟件基

      GB/T 40861 汽車信息安全通用技術(shù)要求

3 術(shù)語和定義

      GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列術(shù)語和定義適用于本文件。

3.1

      汽車網(wǎng)關(guān) vehicle gateway

      主要功能為安全可靠地在車輛內(nèi)的多個(gè)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸?shù)碾娮涌刂茊卧?/p>

      注1：汽車網(wǎng)關(guān)通過不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換，可以在各個(gè)共享通信數(shù)據(jù)的功能域之間進(jìn)行信息交互。

      注2：汽車網(wǎng)關(guān)也稱中央網(wǎng)關(guān)。

3.2

      后門 backdoor

      能夠繞過系統(tǒng)認(rèn)證等安全機(jī)制的管控而進(jìn)入信息系統(tǒng)的通道。

      ［來源：GB/T 40861-2021,3.12］

3.3

      可信根實(shí)體 entity of root of trust

      用于支撐可信計(jì)算平臺信任鏈建立和傳遞的可對外提供完整性度量、安全存儲、密碼計(jì)算等服務(wù)的功能模塊。

      注：可信根實(shí)體包括TPCM、TCM、TPM等。

      ［來源：GB/T 37935-2019,3.12］

4 縮略語

      下列縮略語適用于本文件。

      ACL 訪問控制列表（Access Control Lists）

      ARP 地址解析協(xié)議（Address Resolution Protocol）

      CAN 控制器局域網(wǎng)絡(luò)（Controller Area Network）

      CAN-FD 靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)（CAN with Flexible Data-rate）

      DLC 數(shù)據(jù)長度碼（Data Length Code）

      DoS 拒絕服務(wù)（Denial of Service）

      ECU 電子控制單元（Electronic Control Unit）

      ICMP 網(wǎng)際控制報(bào)文協(xié)議（Internet Control Message Protocol）

      ID 標(biāo)識符（ldentifier）

      IP 網(wǎng)際互連協(xié)議（Internet Protocol）

      JTAG 聯(lián)合測試工作組（Joint TestAction Group）

      LIN 局域互聯(lián)網(wǎng)絡(luò)（Local Interconnect Network）

      MAC 媒體訪問控制（Media Access Control）

      MOST 面向媒體的串列傳輸（Media Oriented System Transport）

      OBD 車載診斷（On-Board Diagnostics）

      PCB 印制電路板（Printed Circuit Board）

      SPI 串行外設(shè)接口（Serial Peripheral Interface）

      SYN 同步序列編號（Synchronize Sequence Numbers）

      TCP 傳輸控制協(xié)議（Transmission Control Protocol）

      TCM 可信密碼模塊（Trusted Cryptography Module）

      TPCM 可信平臺控制模塊（Trusted Platform Control Module）

      TPM 可信平臺模塊（Trusted Platform Module）

      UART 通用異步收發(fā)器（Universal Asynchronous Receiver／Transmitter）

      UDP 用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol）

      UDS 統(tǒng)一診斷服務(wù)（Unified Diagnostic Services）

      USB 通用串行總線（Universal Serial Bus）

      VLAN 虛擬局域網(wǎng)（Virtual Local Area Network）

5 汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

5.1 CAN網(wǎng)關(guān)

      基于CAN和/或CAN-FD總線的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU、域控制器之間都會通過CAN和/或CAN-FD總線進(jìn)行通信。

      這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口，可稱為CAN網(wǎng)關(guān)。

      典型的CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見附錄A中圖A.1。

5.2 以太網(wǎng)網(wǎng)關(guān)

      基于以太網(wǎng)的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU、域控制器之間會通過以太網(wǎng)進(jìn)行通信。

      這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有以太網(wǎng)接口，可稱為以太網(wǎng)網(wǎng)關(guān)。

      典型的以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見圖A.2。

5.3 混合網(wǎng)關(guān)

      部分新一代車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，一部分ECU、域控制器之間通過以太網(wǎng)通信，而另一部分ECU、域控制器之間仍通過傳統(tǒng)通信協(xié)議（例如：CAN、CAN-FD、LIN、MOST等）通信。

      這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)既有以太網(wǎng)接口，還有傳統(tǒng)通信協(xié)議接口，可稱為混合網(wǎng)關(guān)。

      典型的混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見圖A．3。

      附錄B中舉例列出了針對汽車網(wǎng)關(guān)和車內(nèi)網(wǎng)絡(luò)通信的部分典型攻擊。

6 技術(shù)要求

6.1 硬件信息安全要求

6.1.1 按照7.1a）進(jìn)行試驗(yàn)，網(wǎng)關(guān)不應(yīng)存在后門或隱蔽接口。

6.1.2 按照7.1b）進(jìn)行試驗(yàn)，網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。

6.2 通信信息安全要求

6.2.1 CAN網(wǎng)關(guān)通信信息安全要求

6.2.1.1 訪問控制

      網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣，并建立基于CAN數(shù)據(jù)幀標(biāo)識符（CAN ID）的訪問控制策略，按照7.2.1a）進(jìn)行試驗(yàn)后，應(yīng)在列表指定的目的端口檢測接收到源端口發(fā)送的數(shù)據(jù)幀；按照7.2.1b）進(jìn)行試驗(yàn)后，應(yīng)對不符合定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.2 拒絕服務(wù)攻擊檢測

      網(wǎng)關(guān)應(yīng)對車輛對外通信接口的CAN通道（例如：連接OBD-II端口的通道和連接車載信息交互系統(tǒng)的通道）進(jìn)行CAN總線DoS攻擊檢測。

      網(wǎng)關(guān)應(yīng)具備基于CAN總線接口負(fù)載的DoS攻擊檢測功能，宜具備基于某個(gè)或多個(gè)CANID數(shù)據(jù)幀周期的DoS攻擊檢測功能。

      按照7.2.1c）、d）進(jìn)行試驗(yàn)，當(dāng)網(wǎng)關(guān)檢測到某一路或多路CAN通道存在DoS攻擊時(shí)，應(yīng)滿足以下要求：

      a）網(wǎng)關(guān)未受攻擊的CAN通道的通信功能和預(yù)先設(shè)定的性能不應(yīng)受影響；

      b) 網(wǎng)關(guān)對檢測到的攻擊數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.3 數(shù)據(jù)幀健康檢測

      網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號定義，對數(shù)據(jù)幀進(jìn)行檢查，檢查內(nèi)容包括DLC字段、信號值有效性等，按照7.2.1e）、f）進(jìn)行試驗(yàn)，對不符合通信矩陣定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.4 數(shù)據(jù)幀異常檢測

      網(wǎng)關(guān)宜具有數(shù)據(jù)幀異常檢測功能，即檢查和記錄數(shù)據(jù)幀之間發(fā)送與接收關(guān)系的機(jī)制，按照7.2.1g）進(jìn)行試驗(yàn)，對檢測到異常的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

      示例：

      網(wǎng)關(guān)檢測到一定時(shí)間內(nèi)數(shù)據(jù)幀的發(fā)送頻率與預(yù)定義的頻率差距較大，或相鄰時(shí)間同一數(shù)據(jù)幀的信號值內(nèi)容沖突或者不正常跳躍時(shí)，對數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

6.2.1.5 UDS會話檢測

      網(wǎng)關(guān)應(yīng)檢查UDS會話發(fā)起的CAN通道是否正常，按照7.2.1h）進(jìn)行試驗(yàn)，對非正常通道發(fā)起的會話進(jìn)行攔截或者記錄日志。

      注：正常通道通常包括連接OBD-II端口的通道和連接車載信息交互系統(tǒng)的通道。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。