搜索结果: PLAN20191070-T-339-2020
| 标准编号 | PLAN20191070-T-339-2020 (PLAN20191070-T-339-2020) | | 中文名称 | 汽车网关信息安全技术要求 | | 英文名称 | [20191070-T-339 Draft version] Technical requirements for cybersecurity of vehicle gateway | | 行业 | Chinese Industry Standard | | 字数估计 | 15,137 | PLAN20191070-T-339-2020: 汽车网关信息安全技术要求
PLAN20191070-T-339-2020 英文名称: [20191070-T-339 Draft version] Technical requirements for cybersecurity of vehicle gateway
中华 人民共 和国 国家标 准
汽车网关信息安全技术要求
发 布国家市场监督管理总局国家标准化管理委员会
1 范围
本标准规定了汽车网关产品硬件、通信、软件、数据的信息安全技术要求与测试方法。
本标准适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 37935-2019 信息安全技术 可信计算规范 可信计算基
5 汽车网关网络拓扑结构
5.1 CAN 网关
基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU和域控制器之间都会通过CAN和/或
CAN-FD总线进行通信。
这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。
典型的CAN网关拓扑结构参考附录A中图A.1所示。
5.2 以太网网关
基于以太网的车内网络结构中,大多数的 ECU 和域控制器之间会通过以太网进行通信。
这类结构中的汽车网关主要有以太网接口,可称为以太网网关。
典型的以太网网关拓扑结构参考附录 A 中图 A.2 所示。
5.3 混合网关
部分新一代车内网络结构中,一部分 ECU 和域控制器之间通过以太网通信,而另一部分 ECU 和域控
制器之间仍通过传统通信协议(例如:CAN、CAN-FD、LIN、MOST 等)通信。
这类结构中的网关既有以太网接口,还有传统通信协议接口,可称为混合网关。
典型的混合网关拓扑结构参考附录 A 中图 A.3 所示。
6 技术要求
6.1 硬件信息安全要求
6.1.1 按照 7.1 a)进行测试,网关不应存在后门或隐蔽接口。
6.1.2 按照 7.1 b)进行测试,网关的调试接口应禁用或设置安全访问控制。
6.2 通信信息安全要求
6.2.1 CAN 网关通信信息安全要求
6.2.1.1 访问控制
网关应在各路 CAN 网络间建立通信矩阵,并建立基于 CAN 数据帧标识符(CAN ID)的访问控制策略,
按照 7.2.1 a)进行测试后,应在列表指定的目的端口检测接收到源端口发送的数据帧;按照 7.2.1 b)
进行测试后,应对不符合定义的数据帧进行丢弃或者记录日志。
6.2.1.2 拒绝服务攻击检测
网关应对车辆对外通信接口的 CAN 通道(例如:连接 OBD-II 端口的通道和连接车载信息交互系统
的通道)进行 CAN 总线 DoS 攻击检测。
网关应具备基于 CAN 总线接口负载的 DoS 攻击检测功能,宜具备基于 CAN ID 的 DoS 攻击检测功能。
按照 7.2.1 c)、d)进行测试,当网关检测到 DoS 攻击时,应满足以下要求:
a) 网关全部功能和性能不应受影响;
b) 网关对检测到的攻击数据帧进行丢弃或者记录日志。
6.2.1.3 数据帧健康检测
网关宜根据通信矩阵中的信号定义,对数据帧中的信号值进行检查,检查内容包括信号值长度、信
号值有效性等,按照 7.2.1 e)、f)进行测试,对不符合通信矩阵定义的数据帧进行丢弃或者记录日志。
6.2.1.4 数据帧异常检测
网关宜具有数据帧异常检测功能,即检查和记录数据帧之间发送与接收关系的机制,按照 7.2.1 g)
进行测试,对检测到异常的数据帧进行丢弃或者记录日志。
6.2.1.5 UDS 会话检测
网关应检查 UDS 会话发起的 CAN 通道是否正常,按照 7.2.1 h)进行测试,对非正常通道发起的会话
进行拦截或者记录日志。
注:正常通道通常包括连接OBD-II端口的通道和连接车载信息交互系统(如T-Box)的通道。
6.2.2 以太网网关通信信息安全要求
6.2.2.1 安全区域划分
网关应支持网络分域,按照 7.2.2 a)进行测试,对不符合网络分域的数据包进行丢弃。
6.2.2.2 访问控制
网关应配置访问控制列表 (ACLs),访问控制列表中的访问控制要素主要应包括源 IP 地址、目的
IP 地址、协议类型(例如 TCP、UDP、ICMP 等)、协议源端口、协议目的端口,另外也可包括物理端口、
通信方向(输入或输出)、源 MAC 地址、目的 MAC 地址等要素。
访问控制列表应遵循默认拒绝原则,即丢弃所有不符合条件的数据包。
访问控制列表应遵循最小化授权原则,即只授予必要的权限。
按照 7.2.2 b)、c)进行测试,对不符合访问控制列表的数据包进行丢弃或者记录日志。
6.2.2.3 拒绝服务攻击检测
网关应具备以太网 DoS 攻击检测功能。支持 ICMP 协议和 UDP 协议的网关,检测的 DoS 攻击类型,
应至少包括 ICMP 泛洪攻击和 UDP 泛洪攻击。
按照7.2.2 d)进行测试,当网关检测到以太网DoS攻击时,应确保自身正常的功能和性能不受影响,
并对检测到的攻击数据包进行丢弃或者记录日志。
6.2.2.4 协议状态检测
网关宜具有对部分或全部的 TCP/IP 会话流进行状态检查的功能。检查项包括 TCP 握手状态、数据
包长度、包序列和 TCP 会话关闭状态等,按照 7.2.2 e)进行测试,对检测到的攻击数据包进行丢弃或者
记录日志。
6.2.3 混合网关通信信息安全要求
对于混合网关,CAN 通信和以太网通信的信息安全要求应分别符合 6.2.1 和 6.2.2 的规定。
6.3 软件信息安全要求
6.3.1 安全启动
网关应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护。按照 7.3
a)、b)、c)进行测试,网关的可信根、BootLoader 程序、系统固件不应被篡改,或被篡改后网关无法正
常启动。
6.3.2 安全日志
如网关具有安全日志功能,则应满足如下要求:
a) 按照7.3 d)、e)、f)进行测试,当网关探测到不安全通信、网关发生软件配置变更、网关安全
启动校验失败等各类事件时,应对相关信息进行记录;
b) 按照7.3 g)进行测试,网关的安全日志中,应至少包括触发日志的事件发生时间、事件类型等
内容;
c) 按照7.3 h)进行测试,网关应对安全日志进行安全存储,防止非物理破坏攻击情况下日志记录
的损毁,同时防止未授权的添加、访问、修改和删除,安全日志记录存储的位置可在网关内、
其他ECU内或云端服务器内;
d) 按照7.3 i)进行测试,网关安全日志在车载端应至少存储100条记录;
e) 按照7.3 j)进行测试,在非车载端(比如后台服务器)存储的安全日志,应至少保存7天;
f) 按照7.3 k)进行测试,网关的安全日志中,不应包含任何形式的个人信息。
6.3.3 安全漏洞
按照7.3 l)进行测试,网关不应存在由权威漏洞平台公开发布6个月及以上且未经处置的高危安全
漏洞。
6.4 数据信息安全要求
网关中的安全重要参数应以安全的方式存储和处理,防止未经授权的访问、修改、删除和检索。按
照 7.4 进行测试,网关的安全区域或安全模块不被未经授权的破解、读取和写入。可通过使用提供适当
授权程序的安全区域、安全模块或等效安全技术来实现。
7 测试方法
7.1 硬件信息安全测试
网关硬件信息安全测试应按照下列流程及要求依次进行:
a) 拆解被测样件设备外壳,取出PCB板,通过5倍率以上的光学放大镜,观察网关PCB板,检查PCB
板硬件是否存在后门;
b) 检查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等调试接口,如存
在则使用测试工具尝试获取调试权限。
7.2 通信信息安全测试
7.2.1 CAN 网关通信信息安全测试
CAN网关通信信息安全测试应按照下列流程及要求依次进行:
a) 设置6.2.1.1所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则
由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定
的数据帧,并在列表指定的目的端口检测接收数据帧;
b) 设置6.2.1.1所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则
由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规
定的数据帧,在列表指定的目的端口检测接收到的数据帧,并收集样件日志;
c) 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以大于80%总线负载
率发送符合通信矩阵的泛洪攻击数据帧,在指定的目的端口检测接收到的数据帧,并收集样件
日志。如果有多个此类通道,则依次分别测试;
d) 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以1毫秒为周期,发
送符合通信矩阵的某个CAN ID数据帧,在指定的目的端口检测接收到的数据帧,并收集样件日
志。如果有多个此类通道,则依次分别测试;
e) 检测设备对网关发送一个或多个信号长度不符合通信矩阵定义的数据帧,在指定的目的端口
检测接收到的数据帧,并收集样件日志;
f) 检测设备对网关发送一个或多个信号值不符合通信矩阵定义的数据帧,在指定的目的端口检
测接收到的数据帧,并收集样件日志;
g) 检测设备对网关连续发送一个或多个周期不符合通信矩阵定义(实际周期相比定义周期偏差
大于±50%)的周期型数据帧,在指定的目的端口检测接收到的数据帧,并收集样件日志。如
果有多个此类通道,则依次分别测试;
h) 由送样方确认网关连接OBD-II端口的通道和连接车载信息交互系统(如T-Box)的通道,检测
设备对除此类通道以外的通道,发送UDS诊断数据帧,在指定的目的端口检测接收到的数据帧,
并收集样件日志。如果有多个此类通道,则依次分别测试。
7.2.2 以太网网关通信信息安全测试
以太网网关通信信息安全测试应按照下列流程及要求依次进行:
a) 对被测样件设置不同网络分域(如VLAN1与VLAN 2)(若被测样件的网络分域策略无法通过软
件配置修改,则由送样方提供已预置的网络分域策略列表),在选定区域(如VLAN 1)发送符
合网络分域策略和访问控制策略的广播数据包,检查不同区域(VLAN 2)是否可以收到数据包;
b) 设置6.2.2.2所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则
由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定
的数据包,在列表指定的目的端口检测接收数据包;
c) 设置6.2.2.2所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则
由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规
定的数据包,在列表指定的目的端口检测接收数据包,并收集样件日志;
d) 检测设备对网关发送符合网络分域策略和访问控制策略的泛洪攻击数据包,攻击类型可选择
ICMP泛洪攻击和UDP泛洪攻击,在目的端口检测接收数据包,并收集样件日志;
e) 基于IP、TCP和UDP协议,构造多个不符合协议标准的数据包或数据包序列,组成测试集,检
测设备对网关发送该测试集,在目的端口检测接收数据包,并收集样件日志。
7.2.3 混合网关通信信息安全测试
对于混合网关,CAN通信和以太网通信的信息安全测试应分别按7.3.1和7.3.2的执行。
7.3 软件信息安全测试
网关系统信息安全测试应按照下列流程及要求依次进行:
a) 网关安全启动可信根防篡改测试:
1) 获取网关安全启动可信根存储区域的访问方法和地址;
2) 测试人员使用软件调试工具写入数据,重复多次验证是否可将数据写入该存储区域。
b) 网关安全启动Bootloader程序校验测试:
1) 提取网关正常运行的Bootloader程序;
2) 使用软件调试工具对该Bootloader程序进行篡改;
3) 将修改后的Bootloader程序写入到车载终端内的指定区域;
4) 监测网关是否正常加载Bootloader及下一阶段系统固件。
c) 网关安全启动系统固件校验测试:
1) 获取网关正常运行的系统固件;
2) 使用软件调试工具对系统固件进行篡改;
3) 将破坏后的系统固件写入到车载终端内的指定区域;
4) 监测网关是否正常工作。
d) 如果被测网关有安全日志记录功能,检查被测样件依次执行7.3所产生的日志;
e) 如果被测网关有安全日志记录功能,尝试对被测样件改变信息安全设置(如修改访问控制列
表),检查产生的日志;
f) 如果被测网关有安全日志记录功能......
|