《汽車網(wǎng)關(guān)信息安全技術(shù)要求》征求意見稿

ICS43.040

T

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

汽車網(wǎng)關(guān)信息安全技術(shù)要求

Technicalrequirementsforcybersecurityofvehiclegateway

（征求意見稿）

（本稿完成日期：202004）

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。

本標(biāo)準(zhǔn)由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC114）歸口。

本標(biāo)準(zhǔn)起草單位：

本標(biāo)準(zhǔn)主要起草人：

II

GB/TXXXXX—XXXX

汽車網(wǎng)關(guān)信息安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了汽車網(wǎng)關(guān)產(chǎn)品硬件、通信、軟件、數(shù)據(jù)的信息安全技術(shù)要求與測試方法。

本標(biāo)準(zhǔn)適用于汽車網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計與實現(xiàn)，也可用于產(chǎn)品測試、評估和管理。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信計算基

GB/TXXX汽車信息安全通用技術(shù)要求

3術(shù)語和定義

GB/T25069、GB/T37935-2019、GB/TXXX界定的以及下列術(shù)語和定義適用于本文件。

汽車網(wǎng)關(guān)vehiclegateway

用于安全可靠地在車輛內(nèi)的多個網(wǎng)絡(luò)間進行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸?shù)碾娮涌刂茊卧卜Q中央網(wǎng)關(guān)。

注：汽車網(wǎng)關(guān)通過不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換，可以在各個共享通信數(shù)據(jù)的功能域之間進行信息交

互。

4縮略語

CAN控制器局域網(wǎng)絡(luò)（controllerareanetwork）

CAN-FD靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)（CANwithflexibledata-rate）

DoS拒絕服務(wù)攻擊（denialofservice）

ECU電子控制單元（electroniccontrolunit）

ICMP網(wǎng)際控制報文協(xié)議（internetcontrolmessageprotocol）

LIN局域互聯(lián)網(wǎng)絡(luò)（localinterconnectnetwork）

MOST面向媒體的串列傳輸（mediaorientedsystemtransport）

OBD車載診斷系統(tǒng)（on-boarddiagnosticssystem）

TCP傳輸控制協(xié)議（transmissioncontrolprotocol）

UDP用戶數(shù)據(jù)報協(xié)議（userdatagramprotocol）

UDS統(tǒng)一診斷服務(wù)（unifieddiagnosticservices）

VLAN虛擬局域網(wǎng)（virtuallocalareanetwork）

5汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

5.1CAN網(wǎng)關(guān)

1

GB/TXXXXX—XXXX

基于CAN和/或CAN-FD總線的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU和域控制器之間都會通過CAN和/或

CAN-FD總線進行通信。

這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口，可稱為CAN網(wǎng)關(guān)。

典型的CAN網(wǎng)關(guān)拓撲結(jié)構(gòu)參考附錄A中圖A.1所示。

5.2以太網(wǎng)網(wǎng)關(guān)

基于以太網(wǎng)的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU和域控制器之間會通過以太網(wǎng)進行通信。

這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有以太網(wǎng)接口，可稱為以太網(wǎng)網(wǎng)關(guān)。

典型的以太網(wǎng)網(wǎng)關(guān)拓撲結(jié)構(gòu)參考附錄A中圖A.2所示。

5.3混合網(wǎng)關(guān)

部分新一代車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，一部分ECU和域控制器之間通過以太網(wǎng)通信，而另一部分ECU和域控

制器之間仍通過傳統(tǒng)通信協(xié)議（例如：CAN、CAN-FD、LIN、MOST等）通信。

這類結(jié)構(gòu)中的網(wǎng)關(guān)既有以太網(wǎng)接口，還有傳統(tǒng)通信協(xié)議接口，可稱為混合網(wǎng)關(guān)。

典型的混合網(wǎng)關(guān)拓撲結(jié)構(gòu)參考附錄A中圖A.3所示。

6技術(shù)要求

6.1硬件信息安全要求

6.1.1按照7.1a)進行測試,網(wǎng)關(guān)不應(yīng)存在后門或隱蔽接口。

6.1.2按照7.1b)進行測試,網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。

6.2通信信息安全要求

6.2.1CAN網(wǎng)關(guān)通信信息安全要求

6.2.1.1訪問控制

網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣，并建立基于CAN數(shù)據(jù)幀標(biāo)識符（CANID）的訪問控制策略，

按照7.2.1a)進行測試后，應(yīng)在列表指定的目的端口檢測接收到源端口發(fā)送的數(shù)據(jù)幀；按照7.2.1b)

進行測試后，應(yīng)對不符合定義的數(shù)據(jù)幀進行丟棄或者記錄日志。

6.2.1.2拒絕服務(wù)攻擊檢測

網(wǎng)關(guān)應(yīng)對車輛對外通信接口的CAN通道（例如：連接OBD-II端口的通道和連接車載信息交互系統(tǒng)

的通道）進行CAN總線DoS攻擊檢測。

網(wǎng)關(guān)應(yīng)具備基于CAN總線接口負載的DoS攻擊檢測功能，宜具備基于CANID的DoS攻擊檢測功能。

按照7.2.1c)、d)進行測試,當(dāng)網(wǎng)關(guān)檢測到DoS攻擊時，應(yīng)滿足以下要求：

a)網(wǎng)關(guān)全部功能和性能不應(yīng)受影響；

b)網(wǎng)關(guān)對檢測到的攻擊數(shù)據(jù)幀進行丟棄或者記錄日志。

6.2.1.3數(shù)據(jù)幀健康檢測

網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號定義，對數(shù)據(jù)幀中的信號值進行檢查，檢查內(nèi)容包括信號值長度、信

號值有效性等，按照7.2.1e)、f）進行測試,對不符合通信矩陣定義的數(shù)據(jù)幀進行丟棄或者記錄日志。

6.2.1.4數(shù)據(jù)幀異常檢測

網(wǎng)關(guān)宜具有數(shù)據(jù)幀異常檢測功能，即檢查和記錄數(shù)據(jù)幀之間發(fā)送與接收關(guān)系的機制，按照7.2.1g)

進行測試,對檢測到異常的數(shù)據(jù)幀進行丟棄或者記錄日志。

示例：

2

GB/TXXXXX—XXXX

網(wǎng)關(guān)檢測到一定時間內(nèi)數(shù)據(jù)幀的發(fā)送頻率與預(yù)定義的頻率差距較大，或相鄰時間同一數(shù)據(jù)幀的信號值內(nèi)容沖突或者

不正常跳躍時，對數(shù)據(jù)幀進行丟棄。

6.2.1.5UDS會話檢測

網(wǎng)關(guān)應(yīng)檢查UDS會話發(fā)起的CAN通道是否正常，按照7.2.1h)進行測試,對非正常通道發(fā)起的會話

進行攔截或者記錄日志。

注：正常通道通常包括連接OBD-II端口的通道和連接車載信息交互系統(tǒng)（如T-Box）的通道。

6.2.2以太網(wǎng)網(wǎng)關(guān)通信信息安全要求

6.2.2.1安全區(qū)域劃分

網(wǎng)關(guān)應(yīng)支持網(wǎng)絡(luò)分域,按照7.2.2a)進行測試,對不符合網(wǎng)絡(luò)分域的數(shù)據(jù)包進行丟棄。

示例：

用VLAN分隔車載網(wǎng)絡(luò)內(nèi)的不同域。

6.2.2.2訪問控制

網(wǎng)關(guān)應(yīng)配置訪問控制列表(ACLs)，訪問控制列表中的訪問控制要素主要應(yīng)包括源IP地址、目的

IP地址、協(xié)議類型（例如TCP、UDP、ICMP等）、協(xié)議源端口、協(xié)議目的端口，另外也可包括物理端口、

通信方向（輸入或輸出）、源MAC地址、目的MAC地址等要素。

訪問控制列表應(yīng)遵循默認拒絕原則，即丟棄所有不符合條件的數(shù)據(jù)包。

訪問控制列表應(yīng)遵循最小化授權(quán)原則，即只授予必要的權(quán)限。

按照7.2.2b)、c)進行測試,對不符合訪問控制列表的數(shù)據(jù)包進行丟棄或者記錄日志。

6.2.2.3拒絕服務(wù)攻擊檢測

網(wǎng)關(guān)應(yīng)具備以太網(wǎng)DoS攻擊檢測功能。支持ICMP協(xié)議和UDP協(xié)議的網(wǎng)關(guān)，檢測的DoS攻擊類型，

應(yīng)至少包括ICMP泛洪攻擊和UDP泛洪攻擊。

按照7.2.2d)進行測試,當(dāng)網(wǎng)關(guān)檢測到以太網(wǎng)DoS攻擊時，應(yīng)確保自身正常的功能和性能不受影響，

并對檢測到的攻擊數(shù)據(jù)包進行丟棄或者記錄日志。

6.2.2.4協(xié)議狀態(tài)檢測

網(wǎng)關(guān)宜具有對部分或全部的TCP/IP會話流進行狀態(tài)檢查的功能。檢查項包括TCP握手狀態(tài)、數(shù)據(jù)

包長度、包序列和TCP會話關(guān)閉狀態(tài)等，按照7.2.2e)進行測試,對檢測到的攻擊數(shù)據(jù)包進行丟棄或者

記錄日志。

6.2.3混合網(wǎng)關(guān)通信信息安全要求

對于混合網(wǎng)關(guān)，CAN通信和以太網(wǎng)通信的信息安全要求應(yīng)分別符合6.2.1和6.2.2的規(guī)定。

6.3軟件信息安全要求

6.3.1安全啟動

網(wǎng)關(guān)應(yīng)具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進行保護。按照7.3

a)、b)、c)進行測試,網(wǎng)關(guān)的可信根、BootLoader程序、系統(tǒng)固件不應(yīng)被篡改，或被篡改后網(wǎng)關(guān)無法正

常啟動。

6.3.2安全日志

如網(wǎng)關(guān)具有安全日志功能，則應(yīng)滿足如下要求：

3

GB/TXXXXX—XXXX

a)按照7.3d)、e)、f)進行測試,當(dāng)網(wǎng)關(guān)探測到不安全通信、網(wǎng)關(guān)發(fā)生軟件配置變更、網(wǎng)關(guān)安全

啟動校驗失敗等各類事件時，應(yīng)對相關(guān)信息進行記錄；

b)按照7.3g)進行測試,網(wǎng)關(guān)的安全日志中，應(yīng)至少包括觸發(fā)日志的事件發(fā)生時間、事件類型等

內(nèi)容；

c)按照7.3h)進行測試,網(wǎng)關(guān)應(yīng)對安全日志進行安全存儲，防止非物理破壞攻擊情況下日志記錄

的損毀，同時防止未授權(quán)的添加、訪問、修改和刪除，安全日志記錄存儲的位置可在網(wǎng)關(guān)內(nèi)、

其他ECU內(nèi)或云端服務(wù)器內(nèi)；

d)按照7.3i)進行測試,網(wǎng)關(guān)安全日志在車載端應(yīng)至少存儲100條記錄；

e)按照7.3j)進行測試,在非車載端（比如后臺服務(wù)器）存儲的安全日志，應(yīng)至少保存7天；

f)按照7.3k)進行測試,網(wǎng)關(guān)的安全日志中，不應(yīng)包含任何形式的個人信息。

6.3.3安全漏洞

按照7.3l)進行測試,網(wǎng)關(guān)不應(yīng)存在由權(quán)威漏洞平臺公開發(fā)布6個月及以上且未經(jīng)處置的高危安全

漏洞。

6.4數(shù)據(jù)信息安全要求

網(wǎng)關(guān)中的安全重要參數(shù)應(yīng)以安全的方式存儲和處理，防止未經(jīng)授權(quán)的訪問、修改、刪除和檢索。按

照7.4進行測試,網(wǎng)關(guān)的安全區(qū)域或安全模塊不被未經(jīng)授權(quán)的破解、讀取和寫入。可通過使用提供適當(dāng)

授權(quán)程序的安全區(qū)域、安全模塊或等效安全技術(shù)來實現(xiàn)。

7測試方法

7.1硬件信息安全測試

網(wǎng)關(guān)硬件信息安全測試應(yīng)按照下列流程及要求依次進行：

a)拆解被測樣件設(shè)備外殼，取出PCB板，通過5倍率以上的光學(xué)放大鏡，觀察網(wǎng)關(guān)PCB板，檢查PCB

板硬件是否存在后門；

b)檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，如存

在則使用測試工具嘗試獲取調(diào)試權(quán)限。

7.2通信信息安全測試

7.2.1CAN網(wǎng)關(guān)通信信息安全測試

CAN網(wǎng)關(guān)通信信息安全測試應(yīng)按照下列流程及要求依次進行：

a)設(shè)置6.2.1.1所規(guī)定的訪問控制策略（若被測樣件的訪問控制策略無法通過軟件配置修改，則

由送樣方提供已預(yù)置的訪問控制策略列表），檢測設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定

的數(shù)據(jù)幀，并在列表指定的目的端口檢測接收數(shù)據(jù)幀；

b)設(shè)置6.2.1.1所規(guī)定的訪問控制策略（若被測樣件的訪問控制策略無法通過軟件配置修改，則

由送樣方提供已預(yù)置的訪問控制策略列表），檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)

定的數(shù)據(jù)幀，在列表指定的目的端口檢測接收到的數(shù)據(jù)幀，并收集樣件日志；

c)由送樣方確認網(wǎng)關(guān)連接車輛對外通信接口的CAN通道，檢測設(shè)備對此通道以大于80%總線負載

率發(fā)送符合通信矩陣的泛洪攻擊數(shù)據(jù)幀，在指定的目的端口檢測接收到的數(shù)據(jù)幀，并收集樣件

日志。如果有多個此類通道，則依次分別測試；

4

GB/TXXXXX—XXXX

d)由送樣方確認網(wǎng)關(guān)連接車輛對外通信接口的CAN通道，檢測設(shè)備對此通道以1毫秒為周期，發(fā)

送符合通信矩陣的某個CANID數(shù)據(jù)幀，在指定的目的端口檢測接收到的數(shù)據(jù)幀，并收集樣件日

志。如果有多個此類通道，則依次分別測試；

e)檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個或多個信號長度不符合通信矩陣定義的數(shù)據(jù)幀，在指定的目的端口

檢測接收到的數(shù)據(jù)幀，并收集樣件日志；

f)檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個或多個信號值不符合通信矩陣定義的數(shù)據(jù)幀，在指定的目的端口檢

測接收到的數(shù)據(jù)幀，并收集樣件日志；

g)檢測設(shè)備對網(wǎng)關(guān)連續(xù)發(fā)送一個或多個周期不符合通信矩陣定義（實際周期相比定義周期偏差

大于±50%）的周期型數(shù)據(jù)幀，在指定的目的端口檢測接收到的數(shù)據(jù)幀，并收集樣件日志。如

果有多個此類通道，則依次分別測試；

h)由送樣方確認網(wǎng)關(guān)連接OBD-II端口的通道和連接車載信息交互系統(tǒng)（如T-Box）的通道，檢測

設(shè)備對除此類通道以外的通道，發(fā)送UDS診斷數(shù)據(jù)幀，在指定的目的端口檢測接收到的數(shù)據(jù)幀，

并收集樣件日志。如果有多個此類通道，則依次分別測試。

7.2.2以太網(wǎng)網(wǎng)關(guān)通信信息安全測試

以太網(wǎng)網(wǎng)關(guān)通信信息安全測試應(yīng)按照下列流程及要求依次進行：

a)對被測樣件設(shè)置不同網(wǎng)絡(luò)分域（如VLAN1與VLAN2）（若被測樣件的網(wǎng)絡(luò)分域策略無法通過軟

件配置修改，則由送樣方提供已預(yù)置的網(wǎng)絡(luò)分域策略列表），在選定區(qū)域（如VLAN1）發(fā)送符

合網(wǎng)絡(luò)分域策略和訪問控制策略的廣播數(shù)據(jù)包，檢查不同區(qū)域（VLAN2）是否可以收到數(shù)據(jù)包；

b)設(shè)置6.2.2.2所規(guī)定的訪問控制策略（若被測樣件的訪問控制策略無法通過軟件配置修改，則

由送樣方提供已預(yù)置的訪問控制策略列表），檢測設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定

的數(shù)據(jù)包，在列表指定的目的端口檢測接收數(shù)據(jù)包；

c)設(shè)置6.2.2.2所規(guī)定的訪問控制策略（若被測樣件的訪問控制策略無法通過軟件配置修改，則

由送樣方提供已預(yù)置的訪問控制策略列表），檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)

定的數(shù)據(jù)包，在列表指定的目的端口檢測接收數(shù)據(jù)包，并收集樣件日志；

d)檢測設(shè)備對網(wǎng)關(guān)發(fā)送符合網(wǎng)絡(luò)分域策略和訪問控制策略的泛洪攻擊數(shù)據(jù)包，攻擊類型可選擇

ICMP泛洪攻擊和UDP泛洪攻擊，在目的端口檢測接收數(shù)據(jù)包，并收集樣件日志；

e)基于IP、TCP和UDP協(xié)議，構(gòu)造多個不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包或數(shù)據(jù)包序列，組成測試集，檢

測設(shè)備對網(wǎng)關(guān)發(fā)送該測試集，在目的端口檢測接收數(shù)據(jù)包，并收集樣件日志。

7.2.3混合網(wǎng)關(guān)通信信息安全測試

對于混合網(wǎng)關(guān)，CAN通信和以太網(wǎng)通信的信息安全測試應(yīng)分別按7.3.1和7.3.2的執(zhí)行。

7.3軟件信息安全測試

網(wǎng)關(guān)系統(tǒng)信息安全測試應(yīng)按照下列流程及要求依次進行：

a)網(wǎng)關(guān)安全啟動可信根防篡改測試：

1)獲取網(wǎng)關(guān)安全啟動可信根存儲區(qū)域的訪問方法和地址；

2)測試人員使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)域。

b)網(wǎng)關(guān)安全啟動Bootloader程序校驗測試：

1)提取網(wǎng)關(guān)正常運行的Bootloader程序；

2)使用軟件調(diào)試工具對該Bootloader程序進行篡改；

3)將修改后的Bootloader程序?qū)懭氲杰囕d終端內(nèi)的指定區(qū)域；

4)監(jiān)測網(wǎng)關(guān)是否正常加載Bootloader及下一階段系統(tǒng)固件。

5

GB/TXXXXX—XXXX

c)網(wǎng)關(guān)安全啟動系統(tǒng)固件校驗測試：

1)獲取網(wǎng)關(guān)正常運行的系統(tǒng)固件；

2)使用軟件調(diào)試工具對系統(tǒng)固件進行篡改；

3)將破壞后的系統(tǒng)固件寫入到車載終端內(nèi)的指定區(qū)域；

4)監(jiān)測網(wǎng)關(guān)是否正常工作。

d)如果被測網(wǎng)關(guān)有安全日志記錄功能，檢查被測樣件依次執(zhí)行7.3所產(chǎn)生的日志；

e)如果被測網(wǎng)關(guān)有安全日志記錄功能，嘗試對被測樣件改變信息安全設(shè)置（如修改訪問控制列

表），檢查產(chǎn)生的日志；

f)如果被測網(wǎng)關(guān)有安全日志記錄功能，嘗試對被測樣件改變系統(tǒng)關(guān)鍵配置（如路由表等），檢

查產(chǎn)生的日志；

g)如果被測網(wǎng)關(guān)有安全日志記錄功能，檢查日志中是否包含觸發(fā)日志的事件發(fā)生時間、事件類

型；

h)如果被測網(wǎng)關(guān)有安全日志記錄功能，通過測試工具嘗試訪問、修改或刪除已記錄的安全日志；

i)如果被測網(wǎng)關(guān)有安全日志記錄功能且安全日志存儲在車載端，則檢查能夠存儲日志的最大數(shù)

量；

j)如果被測網(wǎng)關(guān)有安全日志記錄功能且安全日志存儲在非車載端，則檢查能夠存儲日志的最長

時間范圍；

k)如果被測網(wǎng)關(guān)有安全日志記錄功能，檢查日志中是否包含個人信息；

l)使用漏洞掃描工具對網(wǎng)關(guān)進行漏洞檢測，檢測是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的高危

安全漏洞；若存在高危漏洞，則檢查該高危漏洞處置方案的技術(shù)文件。

7.4數(shù)據(jù)信息安全測試

網(wǎng)關(guān)數(shù)據(jù)信息安全測試應(yīng)按照下列流程及要求依次進行：

a)測試人員嘗試對網(wǎng)關(guān)安全區(qū)域或安全模塊的授權(quán)訪問控制進行破解（例如：使用暴力破解或

字典破解方式，嘗試破解安全區(qū)域或安全模塊的訪問口令）；

b)被測樣件送樣方提供網(wǎng)關(guān)內(nèi)部安全存儲區(qū)域的地址范圍或安全模塊的訪問方式，測試人員使

用送樣方授權(quán)的軟件工具，嘗試對安全區(qū)域或安全模塊進行讀取訪問；

c)測試人員使用非送樣方授權(quán)的軟件工具或訪問方式，嘗試對安全區(qū)域或安全模塊進行讀取和

寫入。

6

GB/TXXXXX—XXXX

附錄A

（資料性附錄）

汽車網(wǎng)關(guān)拓撲結(jié)構(gòu)舉例

圖A.1至圖A.3給出了汽車網(wǎng)關(guān)相關(guān)拓撲結(jié)構(gòu)的舉例。

圖A.1汽車CAN網(wǎng)關(guān)拓撲結(jié)構(gòu)示例

圖A.2汽車以太網(wǎng)網(wǎng)關(guān)拓撲結(jié)構(gòu)示例

7

GB/TXXXXX—XXXX

圖A.3汽車混合網(wǎng)關(guān)拓撲結(jié)構(gòu)示例

8

GB/TXXXXX—XXXX

附錄B

（資料性附錄）

典型攻擊舉例

B.1Pingofdeath

是一種通過向計算機發(fā)送格式錯誤或其他惡意的ping協(xié)議數(shù)據(jù)包的攻擊,也稱死亡之ping。例如由

攻擊者故意發(fā)送大于65536比特的IP數(shù)據(jù)包給被攻擊者，導(dǎo)致被攻擊者無法處理甚至系統(tǒng)崩潰。

B.2ICMP泛洪攻擊

是一種簡單的拒絕服務(wù)攻擊，也稱作ping泛洪攻擊，攻擊者用ICMP“回應(yīng)請求”（ping）數(shù)據(jù)包淹

沒被攻擊者。

B.3UDP泛洪攻擊

UDP泛洪攻擊是使用UDP協(xié)議（一種無會話、無連接的傳輸層協(xié)議）進行的拒絕服務(wù)攻擊。

B.4TCPSYN攻擊

TCPSYN攻擊是一種拒絕服務(wù)攻擊形式，攻擊者向目標(biāo)系統(tǒng)發(fā)送一連串SYN請求，試圖消耗足夠的

服務(wù)器資源，使系統(tǒng)對合法流量無響應(yīng)。

B.5Teardrop攻擊

在IP數(shù)據(jù)包的包頭中，其中有一個字段是片位移，該字段指示了該分片數(shù)據(jù)包在原始未分片數(shù)據(jù)包

中的起始位置或偏移量。

Teardrop攻擊是指利用惡意修改了IP分片偏移值的IP數(shù)據(jù)包進行攻擊，從而使被攻擊者無法正常進

行IP數(shù)據(jù)包重組，甚至導(dǎo)致系統(tǒng)崩潰。

B.6ARP欺騙攻擊

這種欺騙攻擊是攻擊者將欺騙性的地址解析協(xié)議（ARP）數(shù)據(jù)包發(fā)送到本地網(wǎng)絡(luò)上。目的是將攻擊

者的MAC地址與另一個主機或網(wǎng)絡(luò)設(shè)備的IP地址相關(guān)聯(lián)，從而導(dǎo)致網(wǎng)絡(luò)上其他節(jié)點將該IP地址的任何流

量發(fā)送給攻擊者。

B.7IP欺騙攻擊

IP地址欺騙，指攻擊者假冒某個合法主機的IP地址發(fā)送數(shù)據(jù)包，從而達到獲取被攻擊者信任或者隱

藏攻擊者真實IP地址的目的。

B.8ICMPSmurf攻擊

9

GB/TXXXXX—XXXX

這種攻擊方法結(jié)合使用了IP欺騙攻擊和ICMP泛洪攻擊。攻擊者偽造ICMP數(shù)據(jù)包的源地址,并將數(shù)

據(jù)包目的地址設(shè)置為網(wǎng)絡(luò)的廣播地址。如果網(wǎng)絡(luò)設(shè)備不過濾此流量，則該ICMP數(shù)據(jù)包將被廣播到網(wǎng)絡(luò)中

的所有計算機，而網(wǎng)絡(luò)中所有計算機將向被偽造的源地址發(fā)送應(yīng)答請求包，從而淹沒這個被偽造源地址

的計算機，并可能使整個網(wǎng)絡(luò)擁塞而降低可用率。此攻擊以最初發(fā)動這種攻擊的惡意程序“Smurf”來

命名。

B.9IP地址掃描

IP地址掃描是一種基本的網(wǎng)絡(luò)掃描技術(shù)，用于確定地址范圍內(nèi)的哪些地址具有活動的計算機主機。

典型的地址掃描是向某個地址范圍中的每個地址發(fā)送ping請求以嘗試獲得應(yīng)答。

B.10端口掃描（Portscan）

端口掃描，指攻擊者嘗試與目標(biāo)主機上的每個端口建立通信會話。如果在某個端口的會話連接成功，

則說明目標(biāo)主機在該端口有開放的服務(wù)。

B.11XSS跨站攻擊（Cross-sitescripting）

攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代

碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行惡意軟件注入。

B.12SQL注入攻擊（SQLinjection注入）

SQL注入是指攻擊者把SQL語句插入到Web表單提交，或輸入域名、頁面請求的查詢字符串，最終達

到欺騙服務(wù)器執(zhí)行惡意的SQL語句的目的。

B.13惡意軟件

惡意軟件是指在計算機系統(tǒng)中安裝執(zhí)行惡意任務(wù)的勒索軟件、病毒、蠕蟲、特洛伊木馬、廣告軟件、

間諜軟件等程序。

B.14CAN數(shù)據(jù)幀泛洪攻擊

CAN總線網(wǎng)絡(luò)通信協(xié)議規(guī)定ECU間傳輸數(shù)據(jù)幀的優(yōu)先級由CAN數(shù)據(jù)幀的ID決定，ID越小則數(shù)據(jù)幀優(yōu)先

級越高。因此，入侵者如果在一個CAN總線上以很高的頻率發(fā)送一個高優(yōu)先級的CAN數(shù)據(jù)幀，將很可能會

阻塞其他數(shù)據(jù)幀的發(fā)送，從而實現(xiàn)DoS攻擊。

B.15CANID偽造

由于CAN總線網(wǎng)絡(luò)通信是廣播通信，入侵者可以很容易獲取在一條CAN總線上發(fā)送的所有數(shù)據(jù)幀。通

常CAN數(shù)據(jù)幀是明文傳輸?shù)模肭终呖梢酝ㄟ^猜解、遍歷或其他手段解析數(shù)據(jù)幀格式和內(nèi)容，對車輛關(guān)

鍵控制信號進行逆向破解，進一步在該CAN總線上以這些ID的名義發(fā)送非法的數(shù)據(jù)幀，從而干擾或阻塞

ECU間的正常通信，乃至實際控制關(guān)鍵系統(tǒng)（如動力系統(tǒng)）的某一個或者多個ECU。

10

GB/TXXXXX—XXXX

B.16CAN數(shù)據(jù)幀重放攻擊

由于CAN總線網(wǎng)絡(luò)通信是廣播通信，入侵者可以很容易按時序捕獲某個特定ID的所有數(shù)據(jù)幀，然后

在CAN總線網(wǎng)絡(luò)上重新注入這些數(shù)據(jù)幀，達到干擾和非法控制某一個或多個ECU的目的。

B.17CAN網(wǎng)絡(luò)掃描

攻擊者可以通過結(jié)合網(wǎng)絡(luò)管理數(shù)據(jù)幀和功能尋址的診斷服務(wù)，對每條CAN總線上ECU的數(shù)量信息進行

探測，也可以利用通過遍歷物理尋址的方式進行探測。這些信息可以被攻擊者進一步利用，從而發(fā)現(xiàn)潛

在的ECU安全漏洞，更準(zhǔn)確地對特定ECU進行攻擊。

B.18ECU密鑰暴力破解

攻擊者可以通過遍歷的方式暴力破解ECU安全訪問的密鑰。

例如某個ECU的認證算法存在漏洞，則可以利用漏洞繞過安全驗證，進而實現(xiàn)對該ECU的非法控制。

B.19UDS服務(wù)攻擊

UDS協(xié)議（ISO14229-1和ISO27145-3標(biāo)準(zhǔn)所約定的協(xié)議）主要用于通過CAN網(wǎng)絡(luò)讀取ECU的信息和

向ECU寫入信息。UDS定義了若干應(yīng)用層服務(wù)，入侵者如果能探測到ECU開啟了哪些服務(wù)，并且通過暴力

破解或其他方式獲取了這些服務(wù)的身份認證信息，就可以利用這些服務(wù)進行攻擊，例如向ECU注入非法

固件、讀取或修改敏感數(shù)據(jù)、不斷重啟ECU等。

11

GB/TXXXXX—XXXX

參?考?文?獻

[1]GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識與描述規(guī)范

[2]GB/T37027-2018信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范

_________________________________

12

GB/TXXXXX—XXXX

目??次

前??言...........................................................................................................................................................III

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4縮略語.............................................................................................................................................................1

5汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓撲結(jié)構(gòu).................................................................................................................................2

5.1CAN網(wǎng)關(guān)..................................................................................................................................................2

5.2以太網(wǎng)網(wǎng)關(guān).............................................................................................................................................2

5.3混合網(wǎng)關(guān).................................................................................................................................................2

6技術(shù)要求.........................................................................................................................................................2

6.1硬件信息安全要求.................................................................................................................................2

6.2通信信息安全要求.................................................................................................................................3

6.3軟件信息安全要求.................................................................................................................................4

6.4數(shù)據(jù)信息安全要求.................................................................................................................................5

7測試方法.........................................................................................................................................................5

7.1硬件信息安全測試.................................................................................................................................6

7.2通信信息安全測試.................................................................................................................................6

7.3軟件信息安全測試.................................................................................................................................9

7.4數(shù)據(jù)信息安全測試...............................................................................................................................11

附錄A（資料性附錄）汽車網(wǎng)關(guān)拓撲結(jié)構(gòu)舉例...........................................................................................12

附錄B（資料性附錄）典型攻擊舉例............................................................................................................14

參考文獻.........