《汽車網關信息安全技術要求及試驗方法》是中國的一項國家標準，編號為GB/T 40857-2021，于2021年10月11日發(fā)布，并從2022年5月1日起開始實施 。這項標準由全國汽車標準化技術委員會（TC114）歸口，智能網聯(lián)汽車分會（TC114SC34）執(zhí)行，主管部門為工業(yè)和信息化部。

該標準主要起草單位包括廣州汽車集團股份有限公司、中國汽車技術研究中心有限公司等多家企業(yè)和研究機構，主要起草人有尚進、孫航等多位專家。標準內容涵蓋了汽車網關硬件、通信、固件、數據的信息安全技術要求及試驗方法，目的在于保障汽車網關在車內多個網絡間安全、可靠地進行數據轉發(fā)和傳輸，滿足數據保密性、完整性、可用性等基本安全要求。

本篇文章主要摘取規(guī)范中對汽車網關網絡安全和信息安全要求和測試方法。其中基于以太網的網絡安全和信息安全技術較為成熟，無需過多介紹，而針對CAN網關的安全要求基于本人對CAN-IDPS開發(fā)經驗添加了說明。

---

目錄

1 汽車網關網絡拓撲結構

1.1 CAN網關

1.2 以太網網關

1.3 混合網關

2 技術要求

2.1 硬件信息安全要求

2.2 通信信息安全要求

2.2.1 CAN網關通信信息安全要求

2.2.1.1 訪問控制

2.2.1.2 拒絕服務攻擊檢測

2.2.1.3 數據幀健康檢測

2.2.1.4 數據幀異常檢測

2.2.1.5 UDS會話檢測

2.2.2 以太網網關通信信息安全要求

2.2.2.1 網絡分域

2.2.2.2 訪問控制

2.2.2.3 拒絕服務攻擊檢測

2.2.2.4 協(xié)議狀態(tài)檢測

2.2.3 混合網關通信信息安全要求

2.3 固件信息安全要求

2.3.1 安全啟動

2.3.2 安全日志

2.3.3 安全漏洞

2.4 數據信息安全要求

3 典型攻擊舉例

3.1 死亡之 Ping(Ping of death)

3.2 ICMP 泛洪攻擊

3.3 UDP泛洪攻擊

3.4 TCP SYN攻擊

3.5 Teardrop攻擊

3.6 ARP欺騙攻擊

3.7 IP欺騙攻擊

3.8 ICMP Smurf攻擊

3.9 IP地址掃描

3.10 端口掃描（Port scan）

3.11 惡意軟件

3.12 CAN 數據幀泛洪攻擊

3.13 CANID偽造

3.14 CAN 數據幀重放攻擊

3.15 CAN 網絡掃描

3.16 ECU 認證破解

3.17 UDS服務攻擊

---

1 汽車網關網絡拓撲結構

1.1 CAN網關

基于CAN和/或CAN-FD總線的車內網絡結構中,大多數的ECU、域控制器之間都會通過CAN和/或CAN-FD總線進行通信。這類結構中的汽車網關主要有CAN和/或CAN-FD總線接口,可稱為CAN網關。下圖是典型的CAN網關拓撲結構。

1.2 以太網網關

基于以太網的車內網絡結構中,大多數的ECU、域控制器之間會通過以太網進行通信。這類結構中的汽車網關主要有以太網接口,可稱為以太網網關。下圖是典型的以太網網關拓撲結構。

1.3 混合網關

部分新一代車內網絡結構中,一部分ECU、域控制器之間通過以太網通信,而另一部分ECU、域控制器之間仍通過傳統(tǒng)通信協(xié)議(例如:CAN、CAN-FD、LIN、MOST等)通信。這類結構中的汽車網關既有以太網接口,還有傳統(tǒng)通信協(xié)議接口,可稱為混合網關。下圖是典型的混合網關拓撲結構。

2 技術要求

2.1 硬件信息安全要求

（1）網關不應存在后門或隱蔽接口。

        測試方法：拆解被測樣件設備外殼,取出PCB板,檢查PCB板硬件是否存在后門或隱蔽接口。

（2）網關的調試接口應禁用或設置安全訪問控制。

        測試方法：檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調試接口,如存在則使用試驗工具嘗試獲取調試權限。

2.2 通信信息安全要求

2.2.1 CAN網關通信信息安全要求

2.2.1.1 訪問控制

網關應在各路CAN網絡間建立通信矩陣,并建立基于CAN數據幀標識符(CANID)的訪問控制策略，按照測試方法（a）應在列表指定的目的端口檢測接收到源端口發(fā)送的數據幀;按照測試方法（b）應對不符合定義的數據幀進行丟棄或者記錄日志。

測試方法：

（a）設置訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預置的訪問控制策略列表),檢測設備向列表指定的源端口發(fā)送符合策略規(guī)定的數據幀,并在列表指定的目的端口檢測接收數據幀。

（b）設置訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預置的訪問控制策略列表),檢測設備向列表指定的源端口發(fā)送不符合策略規(guī)定的數據幀,在列表指定的目的端口檢測接收到的數據幀,并收集樣件日志。

個人觀點：

文檔中要求建立基于CANID的訪問控制策略，其實就是CANID白名單功能，白名單中包含通信矩陣中規(guī)定網關所能接收的所有CANID，網關安全組件（例如CAN-IDPS）監(jiān)控網關流量，并判斷所接收的CANID是否在白名單中，如果在，則應執(zhí)行丟棄或者記錄日志。需要注意的是，一般ECU在CAN收發(fā)器處已經設置了報文過濾條件，即不是該ECU需要接收的CANID報文在底層就已經丟棄了。

2.2.1.2 拒絕服務攻擊檢測

網關應對車輛對外通信接口的CAN通道(例如:連接BD-I端口的通道和連接車載信息交互系統(tǒng)的通道)進行CAN總線DoS攻擊檢測。網關應具備基于 CAN總線接口負載的DoS攻擊檢測功能,宜具備基于某個或多個CAN ID數據幀周期的 DoS 攻擊檢測功能。按照測試方法（a）、（b）進行測試，當網關檢測到某一路或多路CAN通道存在DoS攻擊時，應滿足以下：

（1）網關未受攻擊的通道的通信功能和預先設定的性能不應受影響;

（2）網關對檢測到的攻擊數據幀進行丟棄或者記錄日志。

測試方法：

（a）由送樣方確認網關連接車輛對外通信接口的AN道,檢測設備對此通道以大于80%總線負載率發(fā)送符合通信矩陣的泛洪攻擊數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣件日志。如果有多個此類通道,則依次分別試驗。

（b）由送樣方確認網關連接車輛對外通信接口的CAN通道,檢測設備對此通道以1ms為周期發(fā)送符合通信矩陣的某個CANID數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣件日志。如果有多個此類通道,則依次分別試驗。

個人觀點：

兩個重點，一是文檔中提到Dos攻擊檢測對象重點是車輛對外通信接口的CAN通道，例如OBD接口或者車機通道；二是提出了Dos攻擊的兩種檢測方法，一種是通過判斷總線負載率是否達到告警閾值，另一種就是監(jiān)控某個CANID報文實際周期是否遠小于通信矩陣中對其規(guī)定的正常周期。除此之外，在測試方法中提到以大于80%的總線負載率進行測試，網關安全組件（例如CAN-IDPS）在設置總線負載率告警閾值時，可以以此為參考設置成80%，也可以對實車總線負載率進行實時統(tǒng)計，并選則大于其峰值的合適值作為閾值，實施難度就是需要在統(tǒng)計過程中，模擬車輛所有的操作以及業(yè)務，這樣計算出的閾值才可靠。

2.2.1.3 數據幀健康檢測

網關宜根據通信矩陣中的信號定義,對數據幀進行檢查,檢查內容包括DLC字段、信號值有效性等,按照測試方法（a）進行試驗,對不符合通信矩陣定義的數據幀進行丟棄或者記錄日志。

測試方法：

（a）檢測設備對網關發(fā)送一個或多個DCL字段值不符合通信矩陣定義的數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣件日志。

（b）檢測設備對網關發(fā)送一個或多個信號值不符合通信矩陣定義的數據幀,在指定的目的端口檢測接收到的數據幀,并收集樣件日志。

個人觀點:

通信矩陣中規(guī)定了每個CAN報文的數據長度，即DLC字段值。ECU應嚴格遵