《汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法》是中國的一項(xiàng)國家標(biāo)準(zhǔn)，編號為GB/T 40857-2021，于2021年10月11日發(fā)布，并從2022年5月1日起開始實(shí)施 。這項(xiàng)標(biāo)準(zhǔn)由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（TC114）歸口，智能網(wǎng)聯(lián)汽車分會（TC114SC34）執(zhí)行，主管部門為工業(yè)和信息化部。

該標(biāo)準(zhǔn)主要起草單位包括廣州汽車集團(tuán)股份有限公司、中國汽車技術(shù)研究中心有限公司等多家企業(yè)和研究機(jī)構(gòu)，主要起草人有尚進(jìn)、孫航等多位專家。標(biāo)準(zhǔn)內(nèi)容涵蓋了汽車網(wǎng)關(guān)硬件、通信、固件、數(shù)據(jù)的信息安全技術(shù)要求及試驗(yàn)方法，目的在于保障汽車網(wǎng)關(guān)在車內(nèi)多個(gè)網(wǎng)絡(luò)間安全、可靠地進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸，滿足數(shù)據(jù)保密性、完整性、可用性等基本安全要求。

本篇文章主要摘取規(guī)范中對汽車網(wǎng)關(guān)網(wǎng)絡(luò)安全和信息安全要求和測試方法。其中基于以太網(wǎng)的網(wǎng)絡(luò)安全和信息安全技術(shù)較為成熟，無需過多介紹，而針對CAN網(wǎng)關(guān)的安全要求基于本人對CAN-IDPS開發(fā)經(jīng)驗(yàn)添加了說明。

---

目錄

1 汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1.1 CAN網(wǎng)關(guān)

1.2 以太網(wǎng)網(wǎng)關(guān)

1.3 混合網(wǎng)關(guān)

2 技術(shù)要求

2.1 硬件信息安全要求

2.2 通信信息安全要求

2.2.1 CAN網(wǎng)關(guān)通信信息安全要求

2.2.1.1 訪問控制

2.2.1.2 拒絕服務(wù)攻擊檢測

2.2.1.3 數(shù)據(jù)幀健康檢測

2.2.1.4 數(shù)據(jù)幀異常檢測

2.2.1.5 UDS會話檢測

2.2.2 以太網(wǎng)網(wǎng)關(guān)通信信息安全要求

2.2.2.1 網(wǎng)絡(luò)分域

2.2.2.2 訪問控制

2.2.2.3 拒絕服務(wù)攻擊檢測

2.2.2.4 協(xié)議狀態(tài)檢測

2.2.3 混合網(wǎng)關(guān)通信信息安全要求

2.3 固件信息安全要求

2.3.1 安全啟動(dòng)

2.3.2 安全日志

2.3.3 安全漏洞

2.4 數(shù)據(jù)信息安全要求

3 典型攻擊舉例

3.1 死亡之 Ping(Ping of death)

3.2 ICMP 泛洪攻擊

3.3 UDP泛洪攻擊

3.4 TCP SYN攻擊

3.5 Teardrop攻擊

3.6 ARP欺騙攻擊

3.7 IP欺騙攻擊

3.8 ICMP Smurf攻擊

3.9 IP地址掃描

3.10 端口掃描（Port scan）

3.11 惡意軟件

3.12 CAN 數(shù)據(jù)幀泛洪攻擊

3.13 CANID偽造

3.14 CAN 數(shù)據(jù)幀重放攻擊

3.15 CAN 網(wǎng)絡(luò)掃描

3.16 ECU 認(rèn)證破解

3.17 UDS服務(wù)攻擊

---

1 汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1.1 CAN網(wǎng)關(guān)

基于CAN和/或CAN-FD總線的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,大多數(shù)的ECU、域控制器之間都會通過CAN和/或CAN-FD總線進(jìn)行通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口,可稱為CAN網(wǎng)關(guān)。下圖是典型的CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)。

1.2 以太網(wǎng)網(wǎng)關(guān)

基于以太網(wǎng)的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,大多數(shù)的ECU、域控制器之間會通過以太網(wǎng)進(jìn)行通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有以太網(wǎng)接口,可稱為以太網(wǎng)網(wǎng)關(guān)。下圖是典型的以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)。

1.3 混合網(wǎng)關(guān)

部分新一代車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中,一部分ECU、域控制器之間通過以太網(wǎng)通信,而另一部分ECU、域控制器之間仍通過傳統(tǒng)通信協(xié)議(例如:CAN、CAN-FD、LIN、MOST等)通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)既有以太網(wǎng)接口,還有傳統(tǒng)通信協(xié)議接口,可稱為混合網(wǎng)關(guān)。下圖是典型的混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)。

2 技術(shù)要求

2.1 硬件信息安全要求

（1）網(wǎng)關(guān)不應(yīng)存在后門或隱蔽接口。

        測試方法：拆解被測樣件設(shè)備外殼,取出PCB板,檢查PCB板硬件是否存在后門或隱蔽接口。

（2）網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。

        測試方法：檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調(diào)試接口,如存在則使用試驗(yàn)工具嘗試獲取調(diào)試權(quán)限。

2.2 通信信息安全要求

2.2.1 CAN網(wǎng)關(guān)通信信息安全要求

2.2.1.1 訪問控制

網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣,并建立基于CAN數(shù)據(jù)幀標(biāo)識符(CANID)的訪問控制策略，按照測試方法（a）應(yīng)在列表指定的目的端口檢測接收到源端口發(fā)送的數(shù)據(jù)幀;按照測試方法（b）應(yīng)對不符合定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

測試方法：

（a）設(shè)置訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定的數(shù)據(jù)幀,并在列表指定的目的端口檢測接收數(shù)據(jù)幀。

（b）設(shè)置訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的數(shù)據(jù)幀,在列表指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。

個(gè)人觀點(diǎn)：

文檔中要求建立基于CANID的訪問控制策略，其實(shí)就是CANID白名單功能，白名單中包含通信矩陣中規(guī)定網(wǎng)關(guān)所能接收的所有CANID，網(wǎng)關(guān)安全組件（例如CAN-IDPS）監(jiān)控網(wǎng)關(guān)流量，并判斷所接收的CANID是否在白名單中，如果在，則應(yīng)執(zhí)行丟棄或者記錄日志。需要注意的是，一般ECU在CAN收發(fā)器處已經(jīng)設(shè)置了報(bào)文過濾條件，即不是該ECU需要接收的CANID報(bào)文在底層就已經(jīng)丟棄了。

2.2.1.2 拒絕服務(wù)攻擊檢測

網(wǎng)關(guān)應(yīng)對車輛對外通信接口的CAN通道(例如:連接BD-I端口的通道和連接車載信息交互系統(tǒng)的通道)進(jìn)行CAN總線DoS攻擊檢測。網(wǎng)關(guān)應(yīng)具備基于 CAN總線接口負(fù)載的DoS攻擊檢測功能,宜具備基于某個(gè)或多個(gè)CAN ID數(shù)據(jù)幀周期的 DoS 攻擊檢測功能。按照測試方法（a）、（b）進(jìn)行測試，當(dāng)網(wǎng)關(guān)檢測到某一路或多路CAN通道存在DoS攻擊時(shí)，應(yīng)滿足以下：

（1）網(wǎng)關(guān)未受攻擊的通道的通信功能和預(yù)先設(shè)定的性能不應(yīng)受影響;

（2）網(wǎng)關(guān)對檢測到的攻擊數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

測試方法：

（a）由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對外通信接口的AN道,檢測設(shè)備對此通道以大于80%總線負(fù)載率發(fā)送符合通信矩陣的泛洪攻擊數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。

（b）由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對外通信接口的CAN通道,檢測設(shè)備對此通道以1ms為周期發(fā)送符合通信矩陣的某個(gè)CANID數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。

個(gè)人觀點(diǎn)：

兩個(gè)重點(diǎn)，一是文檔中提到Dos攻擊檢測對象重點(diǎn)是車輛對外通信接口的CAN通道，例如OBD接口或者車機(jī)通道；二是提出了Dos攻擊的兩種檢測方法，一種是通過判斷總線負(fù)載率是否達(dá)到告警閾值，另一種就是監(jiān)控某個(gè)CANID報(bào)文實(shí)際周期是否遠(yuǎn)小于通信矩陣中對其規(guī)定的正常周期。除此之外，在測試方法中提到以大于80%的總線負(fù)載率進(jìn)行測試，網(wǎng)關(guān)安全組件（例如CAN-IDPS）在設(shè)置總線負(fù)載率告警閾值時(shí)，可以以此為參考設(shè)置成80%，也可以對實(shí)車總線負(fù)載率進(jìn)行實(shí)時(shí)統(tǒng)計(jì)，并選則大于其峰值的合適值作為閾值，實(shí)施難度就是需要在統(tǒng)計(jì)過程中，模擬車輛所有的操作以及業(yè)務(wù)，這樣計(jì)算出的閾值才可靠。

2.2.1.3 數(shù)據(jù)幀健康檢測

網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號定義,對數(shù)據(jù)幀進(jìn)行檢查,檢查內(nèi)容包括DLC字段、信號值有效性等,按照測試方法（a）進(jìn)行試驗(yàn),對不符合通信矩陣定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。

測試方法：

（a）檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)DCL字段值不符合通信矩陣定義的數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。

（b）檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)信號值不符合通信矩陣定義的數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。

個(gè)人觀點(diǎn):

通信矩陣中規(guī)定了每個(gè)CAN報(bào)文的數(shù)據(jù)長度，即DLC字段值。ECU應(yīng)嚴(yán)格遵