标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 40857-2021 汽车网关信息安全技术要求及试验方法.pdf网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据顿标识符(CANID)的访问报 略,按照7.2.1a)进行试验后,应在列表指定的目的端口检测接收到源端口发送的数据顿;按 .1b)进行试验后,应对不符合定义的数据顿进行去弃或者记录目志
6.2.1.2拒绝服务攻击检测
网关应对车辆对外通信接口的CAN通道(例如:连接OBDII端口的通道和连接车载信息交互系 统的通道)进行CAN总线DoS攻击检测, 网关应具备基于CAN总线接口负载的DoS攻击检测功能,宜具备基于某个或多个CANID数据 顿周期的DoS攻击检测功能。 按照7.2.1c)、d)进行试验,当网关检测到某一路或多路CAN通道存在DoS攻击时,应满足以下 要求: a)网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响; b)网关对检测到的攻击数据顿进行丢弃或者记录目志
6.2.1.3数据顿健康检测
网关宜根据通信矩阵中的信 包括DLC字段、信号值有效性 等,按照7.2.1e)、f)进行试验,对不符合通 行丢弃或者记录日志DB33T 2054-2017 乡镇(街道)综合文化站服务规范,
6.2.1.4数据异常检测
网关宜具有数据顿异常检测功能,即检查和记录数据顿之间发送与接收关系的机制,按照7.2.1g 进行试验,对检测到异常的数据顿进行丢弃或者记录日志。 示例: 网关检测到一定时间内数据顿的发送频率与预定义的频率差距较大,或相邻时间同一数据顿的信号值内容冲突或 者不正常跳跃时,对数据顿进行丢弃或者记录日志
6.2.1.5UDS会话检测
GB/T 40857—2021
6.2.2以太网网关通信信息安全要求
6.2.2.1网络分域
网关应支持网络分域,按照 7.2.2a)进行试验,对不符合网络分域的数据包进行去弃。 示例:用VLAN分隔车载网络内的不同域
6.2.2.2 访问控制
网关应配置访问控制列表(ACL),访同控制列表中的访问控制要素主要应包括源IP地址、目的IP 地址、协议类型(例如TCP、UDP、ICMP等)、协议源端口、协议目的端口,也可包括物理端口、通信方向 输入或输出)、源MAC地址、目的MAC地址等。 访问控制列表应遵循默认拒绝原则,即丢弃所有不符合条件的数据包。 访问控制列表应遵循最小化授权原则,即只授予必要的权限。 按照7.2.2b)、c)进行试验,对不符合访问控制列表的数据包进行丢弃或者记录日志
6.2.2.3拒绝服务攻击检测
网关应对车辆对外通信的以太网通道进行以太网DoS攻击检测。支持ICMP协议、TCP协议和 UDP协议的网关,检测的DoS攻击类型,应分别至少包括ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪 政击。 按照7.2.2d)进行试验,当网关检测到以太网DoS攻击时,应确保自身正常的功能和预先设定的性 能不受影响,并对检测到的攻击数据包进行丢弃或者记录日志。
6.2.2.4协议状态检测
网关宜具有对部分或全部的TCP/IP会话流进行状态检查的功能。检查项包括TCP握手状态、 长度、包序列和TCP会话关闭状态等,按照7.2.2e)进行试验,对检测到的攻击数据包进行丢弃 录日志。
6.2.3混合网关通信信息安全要求
6.3固件信息安全要求
网关应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护。按照7.3 a)、b)、c)进行试验,网关的可信根、Bootloader程序及系统固件不应被篡改,或被篡改后网关无法正常 启动。
GB/T 408572021
的损毁,同时防止未授权的添加、访问、 他ECU内或云端服务器内; d)按照7.3i)进行试验,网关的安全且志中,不应包含任何形式的个人信息
接照7.3j)进行试验,网关不应存在权威漏洞平台6个月前公布且未经处置的高危及以上的 洞。 注:处置包括消除漏洞、制定减缓措施等方式,
6.4数据信息安全要求
7.1硬件信息安全试验
网关硬件信息安全试验按照下列流程及要求依次进行: a)拆解被测样件设备外壳,取出PCB板,检查PCB板硬件是否存在后门或隐蔽接口; b)检查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等调试接口,如存在则使用 工具尝试获取调试权限
7.2通信信息安全试验
CAN网关通信信息安全证
CAN网关通信信息安全试验按照下列流程及要求依次进行, a)设置6.2.1.1所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则 由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定 的数据顿,并在列表指定的目的端口检测接收数据顿。 b 设置6.2.1.1所规定的访同控制策略(若被测样件的访问控制策略无法通过软件配置修改,则 由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规 定的数据顿,在列表指定的目的端口检测接收到的数据顺,并收集样件日志, C 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以大于80%总线 负载率发送符合通信矩阵的泛洪攻击数据顺,在指定的目的端口检测接收到的数据顿,并收集 样件日志。如果有多个此类通道,则依次分别试验, d 由送样方确认网关连接车辆对外通信接口的CAN通道,检测设备对此通道以1ms为周期 发送符合通信矩阵的某个CANID数据顿,在指定的目的端口检测接收到的数据顿,并收集样 件日志。如果有多个此类通道,则依次分别试验。 e 检测设备对网关发送一个或多个DCL字段值不符合通信矩阵定义的数据帧,在指定的目的端 口检测接收到的数据顿,并收集样件日志。 f 检测设备对网关发送一个或多个信号值不符合通信矩阵定义的数据顿,在指定的目的端口检 测接收到的数据顿,并收集样件日志。 g)检测设备对网关连续发送一个或多个周期不符合通信矩阵定义(与定义周期偏差土50%)的周
7.2.2以太网网关通信信息安全试验
以太网网关通信信息安全试验按照下列流程及要求依次进行: a)对被测样件设置不同网络分域(如VLAN1与VLAN2)(若被测样件的网络分域策略无法通 过软件配置修改,则由送样方提供已预置的网络分域策略列表),在选定区域(如VLAN1)发 送符合网络分域策略和访问控制策略的广播数据包,检查不同区域(VLAN2)是否可以收到 数据包; b 设置6.2.2.2所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则 由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定 的数据包,在列表指定的目的端口检测接收数据包; c)设置6.2.2.2所规定的访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则 由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规 定的数据包,在列表指定的目的端口检测接收数据包,并收集样件日志: d)检测设备对网关发送符合网络分域策略和访同控制策略的泛洪攻击数据包,攻击类型可选择 ICMP泛洪攻击和UDP泛洪攻击,在目的端口检测接收数据包,并收集样件日志; 基于TCP协议,构造多个不符合协议标准的数据包或数据包序列,组成试验集,检测设备对网 关发送该试验集,在目的端口检测接收数据包,并收集样件日志
7.2.3混合网关通信信息安全试验
7.3固件信息安全试验
网关系统信息安全试验按照下列流程及要求依次进行。 a 网关安全启动可信根防篡改试验: 1)获取网关安全启动可信根存储区域的访问方法和地址; 2) 试验人员使用软件调试工具写人数据,重复多次验证是否可将数据写入该存储区域, 网关安全启动Bootloader程序校验试验: 1) 提取网关正常运行的Bootloader程序; 2) 使用软件调试工具修改该Bootloader程序的签名信息; 3) 将修改后的Bootloader程序写入到网关内的指定区域; 4) 监测网关是否正常加载Bootloader及系统固件。 C) 网关安全启动系统固件校验试验: 1 获取网关正常运行的系统固件; 2 使用软件调试工具修改系统固件程序的签名信息; 将破坏后的系统固件写入到网关内的指定区域; 4) 监测网关是否正常工作。 如果被测网关有安全日志记录功能,检查被测样件依次执行7.2所产生的日志。 e 如果被测网关有安全日志记录功能,尝试对被测样件改变信息安全设置(如修改访问控
GB/T 408572021
7.4数据信息安全试验
GB/T 40857—2021
图A.1~图A.3给出了汽车网关相关拓扑结构的示例
附录A (资料性) 汽车网关拓扑结构示例
图A.1汽车CAN网关拓扑结构示例
图A.2汽车以太网网关拓扑结构示例
图A.3汽车混合网关拓扑结构示例
B.1死亡之Ping(Ping of death)
种通过向计算机发送格式错误或 据包的攻击,也称死亡之ping。例如由
B.2ICMP泛洪攻击
一种简单的拒绝服务攻击,也称作ping泛洪攻击,攻击者用ICMP"回应请求”(ping)数据包淹没被 政击者。
使用UDP协议(一种无会话、无连接的传输层协议)进行的拒绝服务攻击
B.4TCPSYN攻击
一种拒绝服务攻击形式,攻击者向目标系统发送一连串SYN请求,试图消耗足够的服务器资源 统对合法流量无响应
B.5Teardrop攻击
在IP数据包的包头中,其中有一个字段是片位移,该字段指示了该分片数据包在原始未分片数据 包中的起始位置或偏移量。 Teardrop攻击是指利用恶意修改了IP分片偏移值的IP数据包进行攻击,从而使被攻击者无法正 常进行IP数据包重组,甚至导致系统崩溃
这种欺骗攻击是攻击者将欺骗性的地址解析协议(ARP)数据包发送到本地网络上。目的是将攻 击者的MAC地址与另一个主机或网络设备的IP地址相关联,从而导致网络上其他节点将该IP地址 的任何流量发送给攻击者
IP地址欺骗,指攻击者假冒某个合法主机的IP地址发送数据包,从而达到获取被攻击者信任或 攻击者直实IP地址的且的
B.8 ICMP Smurf 攻击
这种攻击方法结合使用了IP欺骗攻击和ICMP泛洪攻击。攻击者伪造ICMP数据包的源地址, 据包目的地址设置为网络的广播地址。如果网络设备没有过滤此流量,则该ICMP数据包将被 网络中的所有计算机,而网络中所有计算机将向被伪造的源地址发送应答请求包,从而淹没这个
GB/T 408572021
伪造源地址的计算机,并可能使整个网络拥塞而降低可用率。此攻击以最初发动这种攻击的恶意程序 "Smurf"来命名
IP地址扫描是一种基本的网络扫描技术,用于确定地址范围内的哪些地址具有活动的计算 典型的地址扫描是向某个地址范围中的每个地址发送ping请求以尝试获得应答
B.10端口扫描(Port scan)
端口扫描,指攻击者尝试与目标主机上的每个端口建立通信会话。如果在某个端口的会话连 ,则说明目标主机在该端口有开放的服务
恶意软件是指在计算机系统中安装执行恶意任务的勒索软件、病毒、蠕虫、特洛伊木马、广告软 谋软件等程序
B.12CAN数据顿泛洪攻击
顿优先级越高。因此,人侵者如果在一个CAN总线上以很高的频率发送一个高优先级的CAN数 ,将很可能会阻塞其他数据顿的发送,从而实现DoS攻击
DB33T 2032-2018 湿地公园生态管理技术规范B.13CANID伪造
B.14CAN数据顿重放攻击
由于CAN总线网络通信是广播通信,人侵者可以很容易按时序捕获某个特定CANID的所有数 据顿,然后在CAN总线网络上重新注人这些数据顿,达到干扰和非法控制某一个或多个ECU的目的
B.15CAN网络扫描
攻击者可以通过结合网络管理数据顿和功能寻址的诊断服务,对每条CAN总线上ECU的数量信 息进行探测,也可以利用通过遍历物理寻址的方式进行探测。这些信息可以被攻击者进一步利用,从而 发现潜在的ECU安全漏洞.更准确地对特定ECU进行攻击
B.17UDS服务攻击
DB34T 1382-2011 斑点叉尾鮰良种选育技术操作规程GB/T 408572021