(高清版)GBT 40857-2021 汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法

汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法2021-10-11發(fā)布2022-05-01實(shí)施I前言 2規(guī)范性引用文件 13術(shù)語(yǔ)和定義 4縮略語(yǔ) 15汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2 5.2以太網(wǎng)網(wǎng)關(guān) 25.3混合網(wǎng)關(guān) 26技術(shù)要求 36.1硬件信息安全要求 36.2通信信息安全要求 36.3固件信息安全要求 6.4數(shù)據(jù)信息安全要求 57試驗(yàn)方法 7.1硬件信息安全試驗(yàn) 57.2通信信息安全試驗(yàn) 57.3固件信息安全試驗(yàn) 67.4數(shù)據(jù)信息安全試驗(yàn) 附錄A(資料性)汽車網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例 8附錄B(資料性)典型攻擊舉例 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國(guó)工業(yè)和信息化部提出。本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。本文件起草單位：廣州汽車集團(tuán)股份有限公司、中國(guó)汽車技術(shù)研究中心有限公司、泛亞汽車技術(shù)中心有限公司、上海汽車集團(tuán)股份有限公司技術(shù)中心、北京汽車研究總院有限公司、戴姆勒大中華區(qū)投資有限公司、吉利汽車研究院(寧波)有限公司、東軟集團(tuán)股份有限公司、重慶長(zhǎng)安汽車股份有限公司、東風(fēng)汽車集團(tuán)股份有限公司技術(shù)中心、交通運(yùn)輸部公路科學(xué)研究院。1汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法本文件適用于汽車網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計(jì)與實(shí)現(xiàn)，也可用于產(chǎn)品測(cè)試、評(píng)估和管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T37935—2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T40861汽車信息安全通用技術(shù)要求3術(shù)語(yǔ)和定義GB/T25069、GB/T37935—2019、GB/T40861界定的以及下列術(shù)語(yǔ)和定義適用于本文件。主要功能為安全可靠地在車輛內(nèi)的多個(gè)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸?shù)碾娮涌刂茊卧?。?:汽車網(wǎng)關(guān)通過(guò)不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換，可以在各個(gè)共享通信數(shù)據(jù)的功能域之間進(jìn)行信息注2:汽車網(wǎng)關(guān)也稱中央網(wǎng)關(guān)。能夠繞過(guò)系統(tǒng)認(rèn)證等安全機(jī)制的管控而進(jìn)入信息系統(tǒng)的通道。用于支撐可信計(jì)算平臺(tái)信任鏈建立和傳遞的可對(duì)外提供完整性度量、安全存儲(chǔ)、密碼計(jì)算等服務(wù)的功能模塊。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。ACL訪問(wèn)控制列表(AccessControlLists)2控制器局域網(wǎng)絡(luò)(ControllerAreaNetwork)CAN-FD靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)(CANwithFlexibleData-rate)DLC數(shù)據(jù)長(zhǎng)度碼(DataLengthCode)DoS拒絕服務(wù)(DenialofService)ECU電子控制單元(ElectronicControlUnit)ICMP網(wǎng)際控制報(bào)文協(xié)議(InternetControlMessageProtocol)標(biāo)識(shí)符(Identifier)網(wǎng)際互連協(xié)議(InternetProtocol)JTAG聯(lián)合測(cè)試工作組(JointTestActionGroup)LIN局域互聯(lián)網(wǎng)絡(luò)(LocalInterconnectNetwork)MAC媒體訪問(wèn)控制(MediaAccessControl)MOST面向媒體的串列傳輸(MediaOrientedSystemTransport)車載診斷(On-BoardDiagnostics)PCB印制電路板(PrintedCircuitBoard)同步序列編號(hào)(SynchronizeSequenceNumbers)傳輸控制協(xié)議(TransmissionControlProtocol)可信密碼模塊(TrustedCryptographyModule)TPCM可信平臺(tái)控制模塊(TrustedPlatformControlModule)可信平臺(tái)模塊(TrustedPlatformModule)UART通用異步收發(fā)器(UniversalAsynchronousReceiver/Transmitter)UDP用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)UDS統(tǒng)一診斷服務(wù)(UnifiedDiagnosticServices)USB通用串行總線(UniversalSerialBus)VLAN虛擬局域網(wǎng)(VirtualLocalAreaNetwork)5汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)基于CAN和/或CAN-FD總線的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU、域控制器之間都會(huì)通過(guò)CAN和/或CAN-FD總線進(jìn)行通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口，可稱為CAN網(wǎng)關(guān)。典型的CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)附錄A中圖A.1?；谝蕴W(wǎng)的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，大多數(shù)的ECU、域控制器之間會(huì)通過(guò)以太網(wǎng)進(jìn)行通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有以太網(wǎng)接口，可稱為以太網(wǎng)網(wǎng)關(guān)。典型的以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖A.2。5.3混合網(wǎng)關(guān)部分新一代車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中，一部分ECU、域控制器之間通過(guò)以太網(wǎng)通信，而另一部分ECU、域控制器之間仍通過(guò)傳統(tǒng)通信協(xié)議(例如：CAN、CAN-FD、LIN、MOST等)通信。這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)既有以太網(wǎng)接口，還有傳統(tǒng)通信協(xié)議接口，可稱為混合網(wǎng)關(guān)。3典型的混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖A.3。附錄B中舉例列出了針對(duì)汽車網(wǎng)關(guān)和車內(nèi)網(wǎng)絡(luò)通信的部分典型攻擊。6技術(shù)要求6.1硬件信息安全要求6.1.1按照7.1a)進(jìn)行試驗(yàn)，網(wǎng)關(guān)不應(yīng)存在后門(mén)或隱蔽接口。6.1.2按照7.1b)進(jìn)行試驗(yàn)，網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問(wèn)控制。6.2通信信息安全要求6.2.1CAN網(wǎng)關(guān)通信信息安全要求網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣，并建立基于CAN數(shù)據(jù)幀標(biāo)識(shí)符(CANID)的訪問(wèn)控制進(jìn)行試驗(yàn)后，應(yīng)在列表指定的目的端口檢測(cè)接收到源端口發(fā)送的數(shù)據(jù)幀；按照7.2.1b)進(jìn)行試驗(yàn)后，應(yīng)對(duì)不符合定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。網(wǎng)關(guān)應(yīng)對(duì)車輛對(duì)外通信接口的CAN通道(例如：連接OBD-IⅡ端口的通道和連接車載信息交互系統(tǒng)的通道)進(jìn)行CAN總線DoS攻擊檢測(cè)。網(wǎng)關(guān)應(yīng)具備基于CAN總線接口負(fù)載的DoS攻擊檢測(cè)功能，宜具備基于某個(gè)或多個(gè)CANID數(shù)據(jù)幀周期的DoS攻擊檢測(cè)功能。按照7.2.1c)、d)進(jìn)行試驗(yàn)，當(dāng)網(wǎng)關(guān)檢測(cè)到某一路或多路CAN通道存在DoS攻擊時(shí)，應(yīng)滿足以下要求：a)網(wǎng)關(guān)未受攻擊的CAN通道的通信功能和預(yù)先設(shè)定的性能不應(yīng)受影響；b)網(wǎng)關(guān)對(duì)檢測(cè)到的攻擊數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號(hào)定義，對(duì)數(shù)據(jù)幀進(jìn)行檢查，檢查內(nèi)容包括DLC字段、信號(hào)值有效性等，按照7.2.1e)、f)進(jìn)行試驗(yàn)，對(duì)不符合通信矩陣定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。網(wǎng)關(guān)宜具有數(shù)據(jù)幀異常檢測(cè)功能，即檢查和記錄數(shù)據(jù)幀之間發(fā)送與接收關(guān)系的機(jī)制，按照7.2.1g)進(jìn)行試驗(yàn)，對(duì)檢測(cè)到異常的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。示例：網(wǎng)關(guān)檢測(cè)到一定時(shí)間內(nèi)數(shù)據(jù)幀的發(fā)送頻率與預(yù)定義的頻率差距較大，或相鄰時(shí)間同一數(shù)據(jù)幀的信號(hào)值內(nèi)容沖突或者不正常跳躍時(shí)，對(duì)數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。網(wǎng)關(guān)應(yīng)檢查UDS會(huì)話發(fā)起的CAN通道是否正常，按照7.2.1h)進(jìn)行試驗(yàn)，對(duì)非正常通道發(fā)起的會(huì)話進(jìn)行攔截或者記錄日志。注：正常通道通常包括連接OBD-Ⅱ端口的通道和連接車載信息交互系統(tǒng)的通道。46.2.2以太網(wǎng)網(wǎng)關(guān)通信信息安全要求網(wǎng)關(guān)應(yīng)支持網(wǎng)絡(luò)分域，按照7.2.2a)進(jìn)行試驗(yàn)，對(duì)不符合網(wǎng)絡(luò)分域的數(shù)據(jù)包進(jìn)行丟棄。示例：用VLAN分隔車載網(wǎng)絡(luò)內(nèi)的不同域。網(wǎng)關(guān)應(yīng)配置訪問(wèn)控制列表(ACL),訪問(wèn)控制列表中的訪問(wèn)控制要素主要應(yīng)包括源IP地址、目的IP地址、協(xié)議類型(例如TCP、UDP、ICMP等)、協(xié)議源端口、協(xié)議目的端口，也可包括物理端口、通信方向(輸入或輸出)、源MAC地址、目的MAC地址等。訪問(wèn)控制列表應(yīng)遵循默認(rèn)拒絕原則，即丟棄所有不符合條件的數(shù)據(jù)包。訪問(wèn)控制列表應(yīng)遵循最小化授權(quán)原則，即只授予必要的權(quán)限。按照7.2.2b)、c)進(jìn)行試驗(yàn)，對(duì)不符合訪問(wèn)控制列表的數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。6.2.2.3拒絕服務(wù)攻擊檢測(cè)網(wǎng)關(guān)應(yīng)對(duì)車輛對(duì)外通信的以太網(wǎng)通道進(jìn)行以太網(wǎng)DoS攻擊檢測(cè)。支持ICMP協(xié)議、TCP協(xié)議和UDP協(xié)議的網(wǎng)關(guān)，檢測(cè)的DoS攻擊類型，應(yīng)分別至少包括ICMP泛洪攻擊、TCP泛洪攻擊和UDP泛洪攻擊。按照7.2.2d)進(jìn)行試驗(yàn)，當(dāng)網(wǎng)關(guān)檢測(cè)到以太網(wǎng)DoS攻擊時(shí)，應(yīng)確保自身正常的功能和預(yù)先設(shè)定的性能不受影響，并對(duì)檢測(cè)到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。6.2.2.4協(xié)議狀態(tài)檢測(cè)網(wǎng)關(guān)宜具有對(duì)部分或全部的TCP/IP會(huì)話流進(jìn)行狀態(tài)檢查的功能。檢查項(xiàng)包括TCP握手狀態(tài)、數(shù)據(jù)包長(zhǎng)度、包序列和TCP會(huì)話關(guān)閉狀態(tài)等，按照7.2.2e)進(jìn)行試驗(yàn)，對(duì)檢測(cè)到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。6.2.3混合網(wǎng)關(guān)通信信息安全要求對(duì)于混合網(wǎng)關(guān)，CAN通信和以太網(wǎng)通信的信息安全要求應(yīng)分別符合6.2.1和6.2.2的規(guī)定。6.3固件信息安全要求6.3.1安全啟動(dòng)網(wǎng)關(guān)應(yīng)具備安全啟動(dòng)的功能，可通過(guò)可信根實(shí)體對(duì)安全啟動(dòng)所使用的可信根進(jìn)行保護(hù)。按照7.3a)、b)、c)進(jìn)行試驗(yàn)，網(wǎng)關(guān)的可信根、Bootloader程序及系統(tǒng)固件不應(yīng)被篡改，或被篡改后網(wǎng)關(guān)無(wú)法正常啟動(dòng)。6.3.2安全日志如網(wǎng)關(guān)具有安全日志功能，則滿足如下要求：a)按照7.3d)、e)、f)進(jìn)行試驗(yàn)，當(dāng)網(wǎng)關(guān)探測(cè)到不符合6.2要求的通信、網(wǎng)關(guān)發(fā)生軟件配置變更、網(wǎng)關(guān)軟件完整性校驗(yàn)失敗等各類事件時(shí)，應(yīng)對(duì)相關(guān)信息進(jìn)行記錄；b)按照7.3g)進(jìn)行試驗(yàn)，網(wǎng)關(guān)的安全日志中，應(yīng)至少包括觸發(fā)日志的事件發(fā)生時(shí)間(絕對(duì)時(shí)間或相對(duì)時(shí)間)、事件類型和車輛唯一標(biāo)識(shí)碼；c)按照7.3h)進(jìn)行試驗(yàn)，網(wǎng)關(guān)應(yīng)對(duì)安全日志進(jìn)行安全存儲(chǔ)，防止非物理破壞攻擊情況下日志記錄5的損毀，同時(shí)防止未授權(quán)的添加、訪問(wèn)、修改和刪除，安全日志記錄存儲(chǔ)的位置可在網(wǎng)關(guān)內(nèi)、其他ECU內(nèi)或云端服務(wù)器內(nèi)；d)按照7.3i)進(jìn)行試驗(yàn)，網(wǎng)關(guān)的安全日志中，不應(yīng)包含任何形式的個(gè)人信息。按照7.3j)進(jìn)行試驗(yàn)，網(wǎng)關(guān)不應(yīng)存在權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。6.4數(shù)據(jù)信息安全要求網(wǎng)關(guān)中的安全重要參數(shù)應(yīng)以安全的方式存儲(chǔ)和處理，防止未經(jīng)授權(quán)的訪問(wèn)、修改、刪除和檢索。按照7.4進(jìn)行試驗(yàn)，網(wǎng)關(guān)內(nèi)的安全區(qū)域或安全模塊不被未經(jīng)授權(quán)的破解、讀取和寫(xiě)入?？赏ㄟ^(guò)使用提供適當(dāng)授權(quán)程序的安全區(qū)域、安全模塊或等效安全技術(shù)來(lái)實(shí)現(xiàn)。7試驗(yàn)方法7.1硬件信息安全試驗(yàn)網(wǎng)關(guān)硬件信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行：a)拆解被測(cè)樣件設(shè)備外殼，取出PCB板，檢查PCB板硬件是否存在后門(mén)或隱蔽接口；b)檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調(diào)試接口，如存在則使用試驗(yàn)工具嘗試獲取調(diào)試權(quán)限。7.2通信信息安全試驗(yàn)7.2.1CAN網(wǎng)關(guān)通信信息安全試驗(yàn)CAN網(wǎng)關(guān)通信信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行。a)設(shè)置6.2.1.1所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改，則由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定的數(shù)據(jù)幀，并在列表指定的目的端口檢測(cè)接收數(shù)據(jù)幀。b)設(shè)置6.2.1.1所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改，則由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的數(shù)據(jù)幀，在列表指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。c)由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對(duì)外通信接口的CAN通道，檢測(cè)設(shè)備對(duì)此通道以大于80%總線負(fù)載率發(fā)送符合通信矩陣的泛洪攻擊數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。如果有多個(gè)此類通道，則依次分別試驗(yàn)。d)由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對(duì)外通信接口的CAN通道，檢測(cè)設(shè)備對(duì)此通道以1ms為周期，發(fā)送符合通信矩陣的某個(gè)CANID數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。如果有多個(gè)此類通道，則依次分別試驗(yàn)。e)檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)DCL字段值不符合通信矩陣定義的數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。f)檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)信號(hào)值不符合通信矩陣定義的數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。g)檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)連續(xù)發(fā)送一個(gè)或多個(gè)周期不符合通信矩陣定義(與定義周期偏差±50%)的周6期型數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。如果有多個(gè)此類通道，則依次分別試驗(yàn)。h)由送樣方確認(rèn)網(wǎng)關(guān)連接OBD-Ⅱ端口的通道和連接車載信息交互系統(tǒng)的通道，檢測(cè)設(shè)備對(duì)除此類通道以外的通道，發(fā)送UDS診斷數(shù)據(jù)幀，在指定的目的端口檢測(cè)接收到的數(shù)據(jù)幀，并收集樣件日志。如果有多個(gè)此類通道，則依次分別試驗(yàn)。7.2.2以太網(wǎng)網(wǎng)關(guān)通信信息安全試驗(yàn)以太網(wǎng)網(wǎng)關(guān)通信信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行：a)對(duì)被測(cè)樣件設(shè)置不同網(wǎng)絡(luò)分域(如VLAN1與VLAN2)(若被測(cè)樣件的網(wǎng)絡(luò)分域策略無(wú)法通過(guò)軟件配置修改，則由送樣方提供已預(yù)置的網(wǎng)絡(luò)分域策略列表),在選定區(qū)域(如VLAN1)發(fā)送符合網(wǎng)絡(luò)分域策略和訪問(wèn)控制策略的廣播數(shù)據(jù)包，檢查不同區(qū)域(VLAN2)是否可以收到數(shù)據(jù)包；b)設(shè)置6.2.2.2所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改，則由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定的數(shù)據(jù)包，在列表指定的目的端口檢測(cè)接收數(shù)據(jù)包；c)設(shè)置6.2.2.2所規(guī)定的訪問(wèn)控制策略(若被測(cè)樣件的訪問(wèn)控制策略無(wú)法通過(guò)軟件配置修改，則由送樣方提供已預(yù)置的訪問(wèn)控制策略列表),檢測(cè)設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的數(shù)據(jù)包，在列表指定的目的端口檢測(cè)接收數(shù)據(jù)包，并收集樣件日志；d)檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送符合網(wǎng)絡(luò)分域策略和訪問(wèn)控制策略的泛洪攻擊數(shù)據(jù)包，攻擊類型可選擇ICMP泛洪攻擊和UDP泛洪攻擊，在目的端口檢測(cè)接收數(shù)據(jù)包，并收集樣件日志；e)基于TCP協(xié)議，構(gòu)造多個(gè)不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包或數(shù)據(jù)包序列，組成試驗(yàn)集，檢測(cè)設(shè)備對(duì)網(wǎng)關(guān)發(fā)送該試驗(yàn)集，在目的端口檢測(cè)接收數(shù)據(jù)包，并收集樣件日志。7.2.3混合網(wǎng)關(guān)通信信息安全試驗(yàn)對(duì)于混合網(wǎng)關(guān)，CAN通信和以太網(wǎng)通信的信息安全試驗(yàn)分別按7.2.1和7.2.2執(zhí)行。7.3固件信息安全試驗(yàn)網(wǎng)關(guān)系統(tǒng)信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行。a)網(wǎng)關(guān)安全啟動(dòng)可信根防篡改試驗(yàn)：1)獲取網(wǎng)關(guān)安全啟動(dòng)可信根存儲(chǔ)區(qū)域的訪問(wèn)方法和地址；2)試驗(yàn)人員使用軟件調(diào)試工具寫(xiě)入數(shù)據(jù)，重復(fù)多次驗(yàn)證是否可將數(shù)據(jù)寫(xiě)入該存儲(chǔ)區(qū)域。b)網(wǎng)關(guān)安全啟動(dòng)Bootloader程序校驗(yàn)試驗(yàn)：1)提取網(wǎng)關(guān)正常運(yùn)行的Bootloader程序；2)使用軟件調(diào)試工具修改該Bootloader程序的簽名信息；3)將修改后的Bootloader程序?qū)懭氲骄W(wǎng)關(guān)內(nèi)的指定區(qū)域；4)監(jiān)測(cè)網(wǎng)關(guān)是否正常加載Bootloader及系統(tǒng)固件。c)網(wǎng)關(guān)安全啟動(dòng)系統(tǒng)固件校驗(yàn)試驗(yàn)：1)獲取網(wǎng)關(guān)正常運(yùn)行的系統(tǒng)固件；2)使用軟件調(diào)試工具修改系統(tǒng)固件程序的簽名信息；3)將破壞后的系統(tǒng)固件寫(xiě)入到網(wǎng)關(guān)內(nèi)的指定區(qū)域；4)監(jiān)測(cè)網(wǎng)關(guān)是否正常工作。d)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，檢查被測(cè)樣件依次執(zhí)行7.2所產(chǎn)生的日志。e)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，嘗試對(duì)被測(cè)樣件改變信息安全設(shè)置(如修改訪問(wèn)控制列7表),檢查產(chǎn)生的日志。f)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，嘗試對(duì)被測(cè)樣件改變系統(tǒng)關(guān)鍵配置(如路由表等),檢查產(chǎn)生的日志。g)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，檢查日志中是否包含觸發(fā)日志的事件發(fā)生時(shí)間、事件類型和車輛唯一標(biāo)識(shí)碼。h)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，通過(guò)試驗(yàn)工具嘗試訪問(wèn)、修改或刪除已記錄的安全日志。i)如果被測(cè)網(wǎng)關(guān)有安全日志記錄功能，檢查日志中是否包含個(gè)人信息。j)使用漏洞掃描工具對(duì)網(wǎng)關(guān)進(jìn)行漏洞檢測(cè)，檢測(cè)是否存在權(quán)威漏洞平臺(tái)發(fā)布6個(gè)月及以上的高危安全漏洞；若存在高危漏洞，則檢查該高危漏洞處置方案的技術(shù)文件。7.4數(shù)據(jù)信息安全試驗(yàn)網(wǎng)關(guān)數(shù)據(jù)信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行：a)試驗(yàn)人員嘗試對(duì)網(wǎng)關(guān)安全區(qū)域或安全模塊的授權(quán)訪問(wèn)控制進(jìn)行破解(例如：使用暴力破解或字典破解方式，嘗試破解安全區(qū)域或安全模塊的訪問(wèn)口令);b)被測(cè)樣件送樣方提供網(wǎng)關(guān)內(nèi)部安全存儲(chǔ)區(qū)域的地址范圍或安全模塊的訪問(wèn)方式，試驗(yàn)人員使用送樣方授權(quán)的軟件工具，嘗試對(duì)安全區(qū)域或安全模塊進(jìn)行讀取訪問(wèn)；c)試驗(yàn)人員使用非送樣方授權(quán)的軟件工具或訪問(wèn)方式，嘗試對(duì)安全區(qū)域或安全模塊進(jìn)行讀取和寫(xiě)入。8(資料性)汽車網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例TBOX/Wi-FiTBOX/Wi-FiCANGPS北斗CAN后攝像頭OBDCAN網(wǎng)關(guān)CAVCAN圖A.1汽車CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例外聯(lián)設(shè)備外聯(lián)設(shè)備儀表盤(pán)Switch車身域GPS北斗白動(dòng)駕駛域后攝像頭Switch信息娛樂(lè)域無(wú)線通信模塊流媒休后視鏡以太網(wǎng)網(wǎng)關(guān)USB:Wi-Fi/IBT前攝像頭座艙域安全域SwitchSwitch)BI)EthEthEth圖A.2汽車以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例9GB/T40857—2021儀表盤(pán)儀表盤(pán)手機(jī)、電腦等動(dòng)力域車身域北斗EuhSwitchOBDtah混合網(wǎng)關(guān)信息娛樂(lè)域外聯(lián)設(shè)備JVI:HeadunitT-BOXTahHthCth圖A.3汽車混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例(資料性)典型攻擊舉例B.1死亡之Ping(Pingofdeath)一種通過(guò)向計(jì)算機(jī)發(fā)送格式錯(cuò)誤或其他惡意的ping協(xié)議數(shù)據(jù)包的攻擊，也稱死亡之ping。例如由攻擊者故意發(fā)送大于65536比特的IP數(shù)據(jù)包給被攻擊者，導(dǎo)致被攻擊者無(wú)法處理甚至系統(tǒng)崩潰。B.2ICMP泛洪攻擊一種簡(jiǎn)單的拒絕服務(wù)攻擊，也稱作ping泛洪攻擊，攻擊者用ICMP“回應(yīng)請(qǐng)求”(ping)數(shù)據(jù)包淹沒(méi)被攻擊者。B.3UDP泛洪攻擊使用UDP協(xié)議(一種無(wú)會(huì)話、無(wú)連接的傳輸層協(xié)議)進(jìn)行的拒絕服務(wù)攻擊。B.4TCPSYN攻擊一種拒絕服務(wù)攻擊形式，攻擊者向目標(biāo)系統(tǒng)發(fā)送一連串SYN請(qǐng)求，試圖消耗足夠的服務(wù)器資源，使系統(tǒng)對(duì)合法流量無(wú)響應(yīng)。在IP數(shù)據(jù)包的包頭中，其中有一個(gè)字段是片位移，該字段指示了該分片數(shù)據(jù)包在原始未分片數(shù)據(jù)包中的起始位置或偏移量。Teardrop攻擊是指利用惡意修改了IP分片偏移值的IP數(shù)據(jù)包進(jìn)行攻擊，從而使被攻擊者無(wú)法正常進(jìn)行IP數(shù)據(jù)包重組，甚至導(dǎo)致系統(tǒng)崩潰。B.6ARP欺騙攻擊這種欺騙攻擊是攻擊者將欺騙性的地址解析協(xié)議(ARP)數(shù)據(jù)包發(fā)送到本地網(wǎng)絡(luò)上。目的是將攻擊者的MAC地址與另一個(gè)主機(jī)或網(wǎng)絡(luò)設(shè)備的IP地址相關(guān)聯(lián)，從而導(dǎo)致網(wǎng)絡(luò)上其他節(jié)點(diǎn)將該IP地址的任何流量發(fā)送給攻擊者。B.7IP欺騙攻擊IP地址欺騙，指攻擊者假冒某個(gè)合法主機(jī)的IP地址發(fā)送數(shù)據(jù)包，從而達(dá)到獲取被攻擊者信任或者隱藏攻擊者真實(shí)IP地址的目的。B.8ICMPSmurf攻擊這種攻擊方法結(jié)合使用了IP欺騙攻擊和ICMP泛洪攻擊。攻擊者偽造ICMP數(shù)據(jù)包的源地址，并將數(shù)據(jù)包目的地址設(shè)置為網(wǎng)絡(luò)的廣播地址。如果網(wǎng)絡(luò)設(shè)備沒(méi)有過(guò)濾此流量，則該ICMP數(shù)據(jù)包將被廣播到網(wǎng)絡(luò)中的所有計(jì)算機(jī)，而網(wǎng)絡(luò)中所有計(jì)算機(jī)將向被偽造的源地址發(fā)送應(yīng)答請(qǐng)求包，從而淹沒(méi)這個(gè)被偽造源地址的計(jì)算機(jī)，并可能使整個(gè)網(wǎng)絡(luò)擁塞而降低可用率。此攻擊以最初發(fā)動(dòng)這種攻擊的惡意程序“Smurf”來(lái)命名。IP地址掃描是一種基本的網(wǎng)絡(luò)掃描技術(shù)，用于確定地址范圍內(nèi)的哪些地址具有活動(dòng)的計(jì)算機(jī)主機(jī)。典型的地址掃描是向某個(gè)地址范圍中的每個(gè)地址發(fā)送ping請(qǐng)求以嘗試獲得應(yīng)答。B.10端口掃描(Portscan)端口掃描，指攻擊者嘗試與目標(biāo)主機(jī)上的每個(gè)端口建立通信會(huì)話。如果在某個(gè)端口的會(huì)話連接成功，則說(shuō)明目標(biāo)主機(jī)在該端口有開(kāi)放的服務(wù)。B.11惡意軟件惡意軟件是指在計(jì)算機(jī)系統(tǒng)中安裝執(zhí)行惡意任務(wù)的勒索軟件、病毒、蠕蟲(chóng)、特洛伊木馬、廣告軟件、間諜軟件等程序。B.12CAN數(shù)據(jù)幀泛洪攻擊CAN總線網(wǎng)絡(luò)通信協(xié)議規(guī)定ECU間傳輸數(shù)據(jù)幀的優(yōu)先級(jí)由CAN數(shù)據(jù)幀的ID決定，ID越小則數(shù)據(jù)幀優(yōu)先級(jí)越高。因此，入侵者如果在一個(gè)CAN總線上以很高的頻率發(fā)送一個(gè)高優(yōu)先級(jí)的CAN數(shù)據(jù)幀，將很可能會(huì)阻塞其他數(shù)據(jù)幀的發(fā)送，從而實(shí)現(xiàn)DoS攻擊。由于CAN總線網(wǎng)絡(luò)