GB/T 40857-2021 汽车网关信息安全技术要求及试验方法
- 发表时间:2023-02-07
- 来源:共立消防
- 人气:
1 范围
本文件规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法。
本文件适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 37935-2019 信息安全技术 可信计算规范 可信软件基
GB/T 40861 汽车信息安全通用技术要求
3 术语和定义
GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列术语和定义适用于本文件。
3.1
汽车网关 vehicle gateway
主要功能为安全可靠地在车辆内的多个网络间进行数据转发和传输的电子控制单元。
注1:汽车网关通过不同网络间的隔离和不同通信协议间的转换,可以在各个共享通信数据的功能域之间进行信息交互。
注2:汽车网关也称中央网关。
3.2
后门 backdoor
能够绕过系统认证等安全机制的管控而进入信息系统的通道。
[来源:GB/T 40861-2021,3.12]
3.3
可信根实体 entity of root of trust
用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。
注:可信根实体包括TPCM、TCM、TPM等。
[来源:GB/T 37935-2019,3.12]
4 缩略语
下列缩略语适用于本文件。
ACL 访问控制列表(Access Control Lists)
ARP 地址解析协议(Address Resolution Protocol)
CAN 控制器局域网络(Controller Area Network)
CAN-FD 灵活数据速率的控制器局域网络(CAN with Flexible Data-rate)
DLC 数据长度码(Data Length Code)
DoS 拒绝服务(Denial of Service)
ECU 电子控制单元(Electronic Control Unit)
ICMP 网际控制报文协议(Internet Control Message Protocol)
ID 标识符(ldentifier)
IP 网际互连协议(Internet Protocol)
JTAG 联合测试工作组(Joint TestAction Group)
LIN 局域互联网络(Local Interconnect Network)
MAC 媒体访问控制(Media Access Control)
MOST 面向媒体的串列传输(Media Oriented System Transport)
OBD 车载诊断(On-Board Diagnostics)
PCB 印制电路板(Printed Circuit Board)
SPI 串行外设接口(Serial Peripheral Interface)
SYN 同步序列编号(Synchronize Sequence Numbers)
TCP 传输控制协议(Transmission Control Protocol)
TCM 可信密码模块(Trusted Cryptography Module)
TPCM 可信平台控制模块(Trusted Platform Control Module)
TPM 可信平台模块(Trusted Platform Module)
UART 通用异步收发器(Universal Asynchronous Receiver/Transmitter)
UDP 用户数据报协议(User Datagram Protocol)
UDS 统一诊断服务(Unified Diagnostic Services)
USB 通用串行总线(Universal Serial Bus)
VLAN 虚拟局域网(Virtual Local Area Network)
5 汽车网关网络拓扑结构
5.1 CAN网关
基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU、域控制器之间都会通过CAN和/或CAN-FD总线进行通信。
这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。
典型的CAN网关拓扑结构见附录A中图A.1。
5.2 以太网网关
基于以太网的车内网络结构中,大多数的ECU、域控制器之间会通过以太网进行通信。
这类结构中的汽车网关主要有以太网接口,可称为以太网网关。
典型的以太网网关拓扑结构见图A.2。
5.3 混合网关
部分新一代车内网络结构中,一部分ECU、域控制器之间通过以太网通信,而另一部分ECU、域控制器之间仍通过传统通信协议(例如:CAN、CAN-FD、LIN、MOST等)通信。
这类结构中的汽车网关既有以太网接口,还有传统通信协议接口,可称为混合网关。
典型的混合网关拓扑结构见图A.3。
附录B中举例列出了针对汽车网关和车内网络通信的部分典型攻击。
6 技术要求
6.1 硬件信息安全要求
6.1.1 按照7.1a)进行试验,网关不应存在后门或隐蔽接口。
6.1.2 按照7.1b)进行试验,网关的调试接口应禁用或设置安全访问控制。
6.2 通信信息安全要求
6.2.1 CAN网关通信信息安全要求
6.2.1.1 访问控制
网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据帧标识符(CAN ID)的访问控制策略,按照7.2.1a)进行试验后,应在列表指定的目的端口检测接收到源端口发送的数据帧;按照7.2.1b)进行试验后,应对不符合定义的数据帧进行丢弃或者记录日志。
6.2.1.2 拒绝服务攻击检测
网关应对车辆对外通信接口的CAN通道(例如:连接OBD-II端口的通道和连接车载信息交互系统的通道)进行CAN总线DoS攻击检测。
网关应具备基于CAN总线接口负载的DoS攻击检测功能,宜具备基于某个或多个CANID数据帧周期的DoS攻击检测功能。
按照7.2.1c)、d)进行试验,当网关检测到某一路或多路CAN通道存在DoS攻击时,应满足以下要求:
a)网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响;
b) 网关对检测到的攻击数据帧进行丢弃或者记录日志。
6.2.1.3 数据帧健康检测
网关宜根据通信矩阵中的信号定义,对数据帧进行检查,检查内容包括DLC字段、信号值有效性等,按照7.2.1e)、f)进行试验,对不符合通信矩阵定义的数据帧进行丢弃或者记录日志。
6.2.1.4 数据帧异常检测
网关宜具有数据帧异常检测功能,即检查和记录数据帧之间发送与接收关系的机制,按照7.2.1g)进行试验,对检测到异常的数据帧进行丢弃或者记录日志。
示例:
网关检测到一定时间内数据帧的发送频率与预定义的频率差距较大,或相邻时间同一数据帧的信号值内容冲突或者不正常跳跃时,对数据帧进行丢弃或者记录日志。
6.2.1.5 UDS会话检测
网关应检查UDS会话发起的CAN通道是否正常,按照7.2.1h)进行试验,对非正常通道发起的会话进行拦截或者记录日志。
注:正常通道通常包括连接OBD-II端口的通道和连接车载信息交互系统的通道。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
- IG541混合气体灭火系统
IG541混合气体灭火系统:IG-541灭火系统采用的IG-541混合气体灭火剂是由大气层中的氮气(N2)、氩气(Ar)和二氧化碳(CO2)三种气体分别以52%、40%、8%的比例混合而成的一种灭火剂
- 二氧化碳气体灭火系统
二氧化碳气体灭火系统:二氧化碳气体灭火系统由瓶架、灭火剂瓶组、泄漏检测装置、容器阀、金属软管、单向阀(灭火剂管)、集流管、安全泄漏装置、选择阀、信号反馈装置、灭火剂输送管、喷嘴、驱动气体瓶组、电磁驱动
- 七氟丙烷灭火系统
七氟丙烷(HFC—227ea)灭火系统是一种高效能的灭火设备,其灭火剂HFC—ea是一种无色、无味、低毒性、绝缘性好、无二次污染的气体,对大气臭氧层的耗损潜能值(ODP)为零,是卤代烷1211、130
- 手提式干粉灭火器
手提式干粉灭火器适灭火时,可手提或肩扛灭火器快速奔赴火场,在距燃烧处5米左右,放下灭火器。如在室外,应选择在上风方向喷射。使用的干粉灭火器若是外挂式储压式的,操作者应一手紧握喷枪、另一手提起储气瓶上的