| 标准编号 | GB/T 44778-2024 (GB/T44778-2024) | | 中文名称 | 汽车诊断接口信息安全技术要求及试验方法 | | 英文名称 | Technical requirements and test methods for cybersecurity of vehicle diagnostic interfaces | | 行业 | 国家标准 (推荐) | | 中标分类 | T40 | | 国际标准分类 | 43.020 | | 字数估计 | 19,123 | | 发布日期 | 2024-10-26 | | 实施日期 | 2024-10-26 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 44778-2024: 汽车诊断接口信息安全技术要求及试验方法
ICS 43.020
CCST40
中华人民共和国国家标准
汽车诊断接口信息安全技术
要求及试验方法
2024-10-26发布
2024-10-26实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 诊断接口架构 2
5 技术要求 3
6 试验方法 5
附录A(资料性) 常见的汽车诊断接口架构示例 8
参考文献 14
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国汽车标准化技术委员会(SAC/TC114)归口。
本文件起草单位:中国第一汽车股份有限公司、中国汽车技术研究中心有限公司、吉利汽车研究院
(宁波)有限公司、泛亚汽车技术中心有限公司、上汽集团创新研究开发总院、北京汽车研究总院有限公
司、华为技术有限公司、戴姆勒大中华区投资有限公司、襄阳达安汽车检测中心有限公司、重庆长安汽车
股份有限公司、北京百度智行科技有限公司、东风汽车集团股份有限公司、中国网络安全审查技术与认
证中心、国家计算机网络应急技术处理协调中心、公安部交通管理科学研究所。
本文件主要起草人:高长胜、李宝田、李木犀、孙航、林营、王萌、李秋实、张玲智、潘凯、刘帆、李广军、
韩光省、谭成宇、程周、孙伟、申永波、王晖、封正。
汽车诊断接口信息安全技术
要求及试验方法
1 范围
本文件规定了汽车诊断接口的信息安全架构、信息安全技术要求,描述了相应的试验方法。
本文件适用于 M类、N类汽车。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
诊断接入端 diagnosticaccessunit
能够对车辆发起诊断服务的设备、平台或电子控制单元。
3.2
车辆中处理或响应诊断接入端的诊断请求,并确定诊断接入端是否满足身份认证或权限控制的电
子控制单元。
3.3
诊断连接器 diagnosticconnector
用于车辆和外插诊断设备通信、短时连接、可带电插拔的连接器。
注:包括车辆端连接器插座和外插设备端连接器插头。
[来源:GB/T 34589-2017,3.1,有修改]
3.4
被诊断控制器 diagnosedcontroler
响应诊断接入端发送的诊断请求消息,向诊断接入端发送诊断响应消息的电子控制单元。
3.5
诊断网关 diagnosticgateway
连接在诊断网络和诊断子网之间进行诊断请求和响应消息转发和传输的电子控制单元。
注:诊断网关通过主从节点间不同网络协议间的格式转换,在车辆子网之间进行诊断消息交互。
3.6
具有与诊断服务器进行连接和通信功能的电子控制单元。
3.7
诊断接口 diagnosticinterface
连接诊断接入端以及诊断准入端并在其之间提供诊断服务的接口。
4 诊断接口架构
4.1 总体架构
汽车诊断接口架构由不同的诊断网络形式体现,诊断接入端和诊断准入端是汽车诊断接口架构的
重要组成部分。
汽车诊断接口总体架构见图1。
图1 汽车诊断接口总体架构
常见的汽车诊断接口架构示例见附录A。根据不同诊断网络架构分类,典型诊断网络架构有如下
几种。
a) 物理诊断接口架构:诊断设备通过诊断连接器与诊断网关或被诊断控制器物理连接,见
图A.2~图A.4。
b) 远程诊断接口架构:远程诊断服务器与诊断设备、诊断网关、远程诊断控制器或被诊断控制器
连接,见图A.5~图A.9。
c) 远程和物理诊断接口混合架构:既具备物理诊断接口架构又具备远程诊断接口架构的混合连
接架构,见图A.10。
4.2 诊断接入端
下列设备或服务可在诊断过程中归类为诊断接入端。
a) 诊断设备:能够发起诊断请求的设备,从被诊断控制器获取诊断响应消息,对诊断响应消息进
行处理后通过设备的人机界面向用户显示诊断结果。例如:
1) 用于研发阶段控制器参数标定的标定设备;
2) 用于生产线检测的生产下线(EOL)设备;
3) 用于售后维修服务的售后诊断仪;
4) 用于车载诊断系统(OBD)排放故障检测的检测设备等。
b) 远程诊断服务器:能够通过远程联网的方式向车辆提供诊断任务并对诊断任务进行管理、监
控,显示车辆诊断任务的执行情况,接收和处理车辆上报的诊断数据并解析和转换为用户可读
的语言,同时还可对数据进行统计分析。
c) 诊断接入端的控制器:能够对整车发起诊断服务的电子控制单元,该电子控制单元一般为诊断
网关或者远程诊断控制器。
4.3 诊断准入端
下列设备可在诊断过程中归类为诊断准入端:
a) 诊断网关:执行身份认证或权限控制的诊断网关控制器;
b) 远程诊断控制器:当远程诊断服务器作为诊断接入端发送诊断请求时,执行身份认证或权限控
制的远程诊断控制器;
c) 被诊断控制器:执行身份认证或权限控制的被诊断控制器。
5 技术要求
5.1 一般要求
5.1.1 身份认证和权限控制
满足以下要求:
a) 按照6.1.1a)进行试验,诊断准入端应支持为诊断接入端开放不同的访问权限;
b) 按照6.1.1b)进行试验,诊断准入端应支持对诊断接入端进行身份认证或权限控制;
c) 按照6.1.1c)进行试验,诊断接入端宜支持对诊断准入端进行身份认证。
5.1.2 身份认证算法
5.1.2.1 基于对称加密算法的认证技术要求
满足以下要求:
a) 按照6.1.2.1a)进行试验,使用对称加密算法的身份认证过程,加密算法应选择SM4、AES128
或同级别及以上强度算法;
b) 按照6.1.2.1b)进行试验,使用对称加密算法的身份认证过程,对称密钥宜具备更新途径。
5.1.2.2 基于非对称加密算法的认证技术要求
按照6.1.2.2进行试验,使用非对称加密算法的身份认证过程,加密算法应选择SM2、ECC256或同
级别及以上强度算法,或选择数据长度不低于2048位的RSA算法。
5.1.2.3 摘要算法要求
按照6.1.2.3进行试验,摘要计算应选择SM3、SHA256或同级别及以上强度算法。
5.2 诊断接入端信息安全技术要求
5.2.1 安全存储
按照6.2.1进行试验,诊断接入端应对身份认证使用的对称密钥、非对称算法私钥进行防篡改
保护。
5.2.2 数据使用
满足以下要求:
a) 按照6.2.2a)进行试验,诊断接入端应对身份认证使用的对称密钥、非对称算法私钥进行访问
控制,防止非法访问;
b) 按照6.2.2b)进行试验,用于身份认证的对称密钥、非对称算法私钥不应对外传输;
c) 按照6.2.2c)进行试验,对于非车内电子控制单元的诊断接入端,宜具备安全访问控制机制。
示例:常见的安全访问控制机制包括账户登录、动态获取操作权限等。
5.2.3 密钥信息销毁
按照6.2.3进行试验,对于非车内电子控制单元的诊断接入端,应具有密钥销毁机制(例如:将非易
失存储区重置FF或00等方式),支持身份认证相关数据的销毁。如果使用会话密钥,会话密钥宜在诊
断访问转换到锁定状态和重启时被清除。
5.3 诊断准入端信息安全技术要求
5.3.1 控制器信息安全要求
5.3.1.1 安全存储
按照6.3.1.1a)、6.3.1.1b)进行试验,对于身份认证使用的对称密钥、非对称算法私钥信息,诊断准
入端宜使用硬件安全存储机制。对于身份认证使用的身份信息(例如:准入端设备信息等),诊断准入端
应进行防篡改保护。
5.3.1.2 权限控制
按照6.3.1.2a)、6.3.1.2b)进行试验,诊断准入端应实现对诊断接入端的权限控制。对于不同的诊
断接入端应开放不同的权限,具体权限应由车辆制造商依据诊断服务安全风险评估结果自行定义,被授
权的功能宜仅用于诊断服务、软件升级。
5.3.1.3 认证失败处理机制
按照6.3.1.3进行试验,诊断准入端应具备与诊断接入端身份认证失败的处理机制[例如:恢复到身
5.3.2 诊断安全要求
5.3.2.1 安全访问解锁及执行要求
满足以下要求:
a) 按照6.3.2.1a)进行试验,涉及行车安全相关诊断服务的被诊断控制器应进行安全访问解锁或
采取其他安全措施,且应选择公开的、已发布的、有效的密码算法;
b) 按照6.3.2.1b)进行试验,支持安全访问解锁的被诊断控制器宜使用不同的安全访问密钥;
c) 按照6.3.2.1c)进行试验,诊断接入端在未经安全访问解锁的条件下,诊断网关或被诊断控制
器应拒绝执行任何可能导致车辆行车安全功能暂时丧失的诊断服务;
d) 按照6.3.2.1d)进行试验,被诊断控制器在执行诊断写服务前,宜进行车辆状态合理性检查(例
如:车速等),不满足合理性条件时不执行诊断服务。
5.3.2.2 诊断权限要求
满足以下要求:
a) 按照6.3.2.2a)进行试验,应按照不同诊断用户(例如:开发、生产、售后、供应商零部件开发等)
对诊断服务划分诊断访问权限,诊断服务应通过安全访问进行分组,从而实现不同诊断用户的
权限分离;
b) 按照6.3.2.2b)进行试验,诊断用户的权限设置应遵循车辆制造商定义的最小化原则。
5.4 物理连接安全要求
5.4.1 诊断连接器物理连接要求
满足以下要求。
a) 按照6.4.1a)进行试验,车载诊断连接器不宜连接其他非用于诊断的通信总线。
b) 按照6.4.1b)进行试验,对于车载诊断连接器连接的非通信类硬线,应仅支持以下功能:
1) 诊断接入端供电;
2) 法规、标准要求连接的硬线连接(例如:以太网激活线、回收点爆线等)。
5.4.2 诊断连接器通信总线要求
按照6.4.2进行试验,与车载诊断连接器连接的通信总线,宜仅连接执行诊断准入端功能的电子控
制单元。
6 试验方法
6.1 诊断接口信息安全试验方法
6.1.1 身份认证和权限控制试验方法
按照以下流程依次进行试验:
a) 通过试验工具对诊断准入端分别发起不同权限的身份认证或访问请求,检查诊断准入端是否
通过具有权限的请求,拒绝不具有权限的请求;
b) 通过试验工具对诊断准入端发起访问请求,检查诊断准入端是否对该请求设备进行身份认证
或权限控制;
c) 通过诊断接入端向试验工具发起访问请求,检查诊断接入端是否对试验工具进行身份认证。
6.1.2 身份认证算法试验方法
6.1.2.1 基于对称加密算法的认证的试验方法
按照以下流程依次进行试验:
a) 针对使用对称加密算法的身份认证,通过监测和解析诊断接入端和诊断准入端之间的身份认
证报文数据,正向检查是否使用SM4或AES128或同级别及以上强度的加密算法;
b) 检查用于身份认证的对称密钥是否可根据提供的密钥安全管理策略或使用场景需求进行
更新。
6.1.2.2 基于非对称加密算法的认证的试验方法
针对使用非对称加密算法的身份认证,通过监测和解析诊断接入端和诊断准入端之间的身份认证
报文数据,正向检查是否使用SM2、ECC256或同级别及以上强度算法,或选择数据长度不低于2048
位的RSA算法。
6.1.2.3 摘要算法试验方法
通过监测和解析诊断接入端和诊断准入端之间的身份认证报文数据,正向检查摘要算法是否使用
SM3、SHA256或同级别及以上强度算法。
6.2 诊断接入端信息安全试验方法
6.2.1 安全存储试验方法
通过试验工具尝试修改或删除诊断接入端存储的身份认证使用的对称密钥、非对称算法私钥信
息,检查其是否可被篡改。
6.2.2 数据使用试验方法
按照以下流程依次进行试验:
a) 分别使用不同的用户身份对诊断接入端中存储的身份认证使用的对称密钥、非对称算法私钥
进行访问,检查是否仅具有访问权限的用户可成功访问,其他用户无法使用或访问;
b) 监测解析诊断接入端发出的报文数据,检查数据中是否有身份认证涉及的对称密钥、非对称算
法私钥的信息;
c) 通过检查非车内电子控制单元的诊断接入端,检测其是否具有访问控制的方式(例如:账户登
录、动态获取操作权限等)。
6.2.3 密钥信息销毁试验方法
对于非车内电子控制单元的诊断接入端,检查其是否具有密钥销毁机制(例如:将非易失存储区重
置FF或00等方式),可销毁身份认证相关数据。如果使用会话密钥,检查会话密钥是否在诊断接口转
换到锁定状态和控制器启动时被清除。
6.3 诊断准入端信息安全试验方法
6.3.1 控制器信息安全试验方法
6.3.1.1 安全存储试验方法
按照以下流程依次进行试验:
a) 审查信息安全设计相关文档,检查诊断准入端是否使用硬件安全存储机制存储身份认证使用
的对称密钥、非对称算法私钥信息;
b) 通过试验工具尝试访问、修改或删除诊断准入端存储的身份认证使用的身份信息,检查其是否
实现安全存储。
6.3.1.2 权限控制试验方法
按照以下流程依次进行试验:
a) 通过试验工具分别模拟不同的诊断接入端对诊断准入端发送诊断服务请求,检查诊断准入端
是否对权限范围内的请求发送肯定响应,对非权限范围内的请求发送拒绝访问响应;
b) 根据诊断服务设计文档,检查诊断准入端是否只开放了诊断服务和软件升级功能。
6.3.1.3 认证失败处理机制试验方法
通过试验工具向诊断准入端发起无效的身份认证请求,检查诊断准入端是否有认证失败处理机制。
6.3.2 车内诊断安全试验方法
6.3.2.1 安全访问解锁及执行试验方法
按照以下流程依次进行试验:
a) 通过试验工具向涉及行车安全相关诊断服务的被诊断控制器发起行车安全相关诊断服务请
求,检查该控制器是否进行安全访问解锁或采取其他安全认证措施,且其使用的算法是否是公
开的、已发布的、有效的算法;
b) 通过试验工具使用被诊断控制器对应的密钥发起安全访问请求,检查被诊断控制器是否通过
安全访问,以及不同的被诊断控制器是否使用不同的密钥;
c) 通过试验工具在未经安全访问解锁的条件下向诊断网关或被诊断控制器发起能够使车辆行车
安全相关的功能暂时丧失的诊断服务请求,检查被测样件是否无响应或发送否定响应;
d) 审查诊断服务设计文档,检查是否设置诊断服务执行前合理性条件检查,模拟不满足合理性条
件时工况向被诊断控制器发送诊断服务请求,检查是否发送否定响应。
6.3.2.2 诊断权限试验方法
按照以下流程依次进行试验。
a) 审查诊断服务设计文档,检查诊断服务定义是否按照不同诊断用户划分诊断访问权限,且诊断
服务是否定义对应的安全访问等级。通过试验工具模拟不同的诊断用户向被测样件发送不符
合访问权限的诊断服务请求,检查是否发送否定响应。通过试验工具向被测样件发送不符合
安全等级的诊断服务请求,检查是否发送否定响应。
b) 通过试验工具使用不同诊断用户权限分别发起诊断请求,检查其访问权限是否满足最小权限
原则。
6.4 物理连接安全试验方法
6.4.1 诊断连接器物理连接试验方法
按照以下流程依次进行试验:
a) 审查车载诊断连接器引脚定义文档,检查是否有非诊断用通信总线;
b) 审查车载诊断连接器引脚定义文档,检查非通信类硬线是否只有接入端供电硬线和法规、标准
要求连接的硬线。
6.4.2 诊断连接器通信总线试验方法
根据整车制造商提供的网络拓扑图,检查车载诊断连接器连接的通信总线是否仅有具备诊断接入
端功能的电控单元。
附 录 A
(资料性)
常见的汽车诊断接口架构示例
A.1 常见的诊断接口架构
诊断网络通常包含诊断接入端、诊断连接器、诊断准入端、被诊断控制器以及各部分之间相互连接
的线路。诊断网络的架构包含从简单的点对点物理连接的架构到复杂的网络连接的架构。因电子电气
架构和远程诊断功能架构均存在较大差异,以物理诊断接口架构、远程诊断接口架构、远程和物理诊断
接口混合架构三个架构为例,说明诊断接入端和诊断准入端的定义方法,除此三个示例之外的架构不做
具体说明。物理诊断接口架构、远程诊断接口架构、远程和物理诊断接口混合架构三个架构示意图中的
连接线不局限于任何一种网络通信连接线,示意图只体现位置连接关系。
常见的诊断接口架构见图A.1。
图A.1 常见的诊断接口架构
A.2 物理诊断接口架构
A.2.1 诊断设备直连被诊断控制器架构
诊断设备直连被诊断控制器架构示例如图A.2所示,诊断接入端为诊断设备,诊断准入端为被诊
断控制器。
图A.2 诊断设备直连被诊断控制器架构
A.2.2 诊断设备直连单网关架构
诊断设备直连单网关架构示例如图A.3所示,诊断接入端为诊断设备,诊断准入端为诊断网关。
图A.3 诊断设备直连单网关架构
A.2.3 诊断设备直连多网关架构
诊断设备直连多网关架构示例如图A.4所示,诊断接入端为诊断设备,诊断准入端为诊断网关。
图A.4 诊断设备直连多网关架构
A.3 远程诊断接口架构
A.3.1 远程诊断服务器直接诊断架构
远程诊断服务器直接诊断架构示例如图A.5所示,诊断接入端为远程诊断服务器,诊断准入端为
诊断网......
|