日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

汽車試驗(yàn):汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法

2021-12-18 22:11:30·  來源:汽車測試網(wǎng)  
 
1范圍本文件規(guī)定了汽車網(wǎng)關(guān)產(chǎn)品硬件、通信、固件、數(shù)據(jù)的信息安全技術(shù)要求及試驗(yàn)方法。本文件適用于汽車網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計(jì)與實(shí)現(xiàn),也可用于產(chǎn)品測試、評估
1 范圍
本文件規(guī)定了汽車網(wǎng)關(guān)產(chǎn)品硬件、通信、固件、數(shù)據(jù)的信息安全技術(shù)要求及試驗(yàn)方法。
本文件適用于汽車網(wǎng)關(guān)產(chǎn)品信息安全的設(shè)計(jì)與實(shí)現(xiàn),也可用于產(chǎn)品測試、評估和管理。
2 規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069 信息安全技術(shù) 術(shù)語
GB/T 37935—2019 信息安全技術(shù) 可信計(jì)算規(guī)范 可信軟件基
GB/T 40861 汽車信息安全通用技術(shù)要求
3 術(shù)語和定義
GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列術(shù)語和定義適用于本文件。
3.1 汽車網(wǎng)關(guān)vehicle gateway
主要功能為安全可靠地在車輛內(nèi)的多個(gè)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸?shù)碾娮涌刂茊卧?/span>
注1:汽車網(wǎng)關(guān)通過不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換,可以在各個(gè)共享通信數(shù)據(jù)的功能域之間進(jìn)行信息交互。
注2:汽車網(wǎng)關(guān)也稱中央網(wǎng)關(guān)。
3.2 后門backdoor
能夠繞過系統(tǒng)認(rèn)證等安全機(jī)制的管控而進(jìn)入信息系統(tǒng)的通道。
[來源:GB/T40861-2021,3.12]
3.3 可信根實(shí)體entity of root of trust
用于支撐可信計(jì)算平臺(tái)信任鏈建立和傳遞的可對外提供完整性度量、安全存儲(chǔ)、密碼計(jì)算等服務(wù)的功能模塊。
注:可信根實(shí)體包括TPCM、TCM、TPM等。
[來源:GB/T 37935-2019,3.12]
4 縮略語
下列縮略語適用于本文件。
ACL 訪問控制列表(AccessControl Lists)
ARP 地址解析協(xié)議(Address Resolution Protocol)
CAN 控制器局域網(wǎng)絡(luò)(Controller Area Network)
CAN-FD 靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)(CAN with Flexible Data-rate)
DLC 數(shù)據(jù)長度碼(Data Length Code)
DoS 拒絕服務(wù)(Denial of Service)
ECU 電子控制單元(Electronic Control Unit)
ICMP 網(wǎng)際控制報(bào)文協(xié)議(Internet Control Message Protocol)
ID 標(biāo)識(shí)符(Identifier)
IP 網(wǎng)際互連協(xié)議(Internet Protocol)
JTAG 聯(lián)合測試工作組(Joint Test Action Group)
LIN 局域互聯(lián)網(wǎng)絡(luò)(Local Interconnect Network)
MAC 媒體訪問控制(Media AccessControl)
MOST 面向媒體的串列傳輸(Media Oriented System Transport)
OBD 車載診斷(On-Board Diagnostics)
PCB 印制電路板(Printed Circuit Board)
SPI 串行外設(shè)接口(Serial Peripheral Interface)
SYN 同步序列編號(Synchronize Sequence Numbers)
TCP 傳輸控制協(xié)議(Transmission Control Protocol)
TCM 可信密碼模塊(Trusted Cryptography Module)
T PCM 可信平臺(tái)控制模塊(Trusted Platform Control Module)
TPM 可信平臺(tái)模塊(Trusted Platform Module)
UART 通用異步收發(fā)器(Universal Asynchronous Receiver/Transmitter)
UDP 用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol)
UDS 統(tǒng)一診斷服務(wù)(Unified Diagnostic Services)
USB 通用串行總線(Universal Serial Bus)
VLAN 虛擬局域網(wǎng)(Virtual Local Area Network)
5 汽車網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
5.1 CAN網(wǎng)關(guān)
基于CAN和/或CAN-FD總線的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中, 大多數(shù)的ECU、域控制器之間都會(huì)通過CAN和/或CAN-FD總線進(jìn)行通信。
這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有CAN和/或CAN-FD總線接口, 可稱為CAN網(wǎng)關(guān)。
典型的CAN網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見附錄A中圖A.1。
5.2 以太網(wǎng)網(wǎng)關(guān)
基于以太網(wǎng)的車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中, 大多數(shù)的ECU、域控制器之間會(huì)通過以太網(wǎng)進(jìn)行通信。
這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)主要有以太網(wǎng)接口,可稱為以太網(wǎng)網(wǎng)關(guān)。
典型的以太網(wǎng)網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見圖A.2。
5.3 混合網(wǎng)關(guān)
部分新一代車內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)中, 一部分ECU、域控制器之間通過以太網(wǎng)通信, 而另一部分ECU、域控制器之間仍通過傳統(tǒng)通信協(xié)議(例如:CAN、CAN-FD、LIN、MOST等) 通信。
這類結(jié)構(gòu)中的汽車網(wǎng)關(guān)既有以太網(wǎng)接口,還有傳統(tǒng)通信協(xié)議接口,可稱為混合網(wǎng)關(guān)。
典型的混合網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)見圖A.3。
附錄B中舉例列出了針對汽車網(wǎng)關(guān)和車內(nèi)網(wǎng)絡(luò)通信的部分典型攻擊。
6 技術(shù)要求
6.1 硬件信息安全要求
6.1.1 按照7.1a)進(jìn)行試驗(yàn),網(wǎng)關(guān)不應(yīng)存在后門或隱蔽接口。
6.1.2 按照7.1b)進(jìn)行試驗(yàn),網(wǎng)關(guān)的調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。
6.2 通信信息安全要求
6.2.1 CAN網(wǎng)關(guān)通信信息安全要求
6.2.1.1 訪問控制
網(wǎng)關(guān)應(yīng)在各路CAN網(wǎng)絡(luò)間建立通信矩陣, 并建立基于CAN數(shù)據(jù)幀標(biāo)識(shí)符(CAN ID) 的訪問控制策略,按照7.2.1 a)進(jìn)行試驗(yàn)后,應(yīng)在列表指定的目的端口檢測接收到源端口發(fā)送的數(shù)據(jù)幀;按照7.2.1 b)進(jìn)行試驗(yàn)后,應(yīng)對不符合定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。
6.2.1.2 拒絕服務(wù)攻擊檢測
網(wǎng)關(guān)應(yīng)對車輛對外通信接口的CAN通道(例如:連接OBD-Ⅱ端口的通道和連接車載信息交互系統(tǒng)的通道) 進(jìn)行CAN總線DoS攻擊檢測。
網(wǎng)關(guān)應(yīng)具備基于CAN總線接口負(fù)載的DoS攻擊檢測功能, 宜具備基于某個(gè)或多個(gè)CAN ID數(shù)據(jù)幀周期的DoS攻擊檢測功能。
按照7.2.1 c) 、d) 進(jìn)行試驗(yàn), 當(dāng)網(wǎng)關(guān)檢測到某一路或多路CAN通道存在DoS攻擊時(shí), 應(yīng)滿足以下要求:
a) 網(wǎng)關(guān)未受攻擊的CAN通道的通信功能和預(yù)先設(shè)定的性能不應(yīng)受影響;
b) 網(wǎng)關(guān)對檢測到的攻擊數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。
6.2.1.3 數(shù)據(jù)幀健康檢測
網(wǎng)關(guān)宜根據(jù)通信矩陣中的信號定義, 對數(shù)據(jù)幀進(jìn)行檢查, 檢查內(nèi)容包括DLC字段、信號值有效性等,按照7.2.l e)、f)進(jìn)行試驗(yàn),對不符合通信矩陣定義的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。
6.2.1.4 數(shù)據(jù)幀異常檢測
網(wǎng)關(guān)宜具有數(shù)據(jù)幀異常檢測功能,即檢查和記錄數(shù)據(jù)幀之間發(fā)送與接收關(guān)系的機(jī)制,按照7.2.1 g)進(jìn)行試驗(yàn),對檢測到異常的數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。
示例:
網(wǎng)關(guān)檢測到一定時(shí)間內(nèi)數(shù)據(jù)幀的發(fā)送頻率與預(yù)定義的頻率差距較大,或相鄰時(shí)間同一數(shù)據(jù)幀的信號值內(nèi)容沖突或者不正常跳躍時(shí),對數(shù)據(jù)幀進(jìn)行丟棄或者記錄日志。
6.2.1.5 UDS會(huì)話檢測
網(wǎng)關(guān)應(yīng)檢查UDS會(huì)話發(fā)起的CAN通道是否正常, 按照7.2.1 h) 進(jìn)行試驗(yàn), 對非正常通道發(fā)起的會(huì)話進(jìn)行攔截或者記錄日志。
注:正常通道通常包括連接OBD-ⅡI端口的通道和連接車載信息交互系統(tǒng)的通道。
6.2.2 以太網(wǎng)網(wǎng)關(guān)通信信息安全要求
6.2.2.1 網(wǎng)絡(luò)分域
網(wǎng)關(guān)應(yīng)支持網(wǎng)絡(luò)分域,按照7.2.2 a)進(jìn)行試驗(yàn),對不符合網(wǎng)絡(luò)分域的數(shù)據(jù)包進(jìn)行丟棄。
示例:用VLAN分隔車載網(wǎng)絡(luò)內(nèi)的不同域。
6.2.2.2 訪問控制
網(wǎng)關(guān)應(yīng)配置訪問控制列表(ACL) , 訪問控制列表中的訪問控制要素主要應(yīng)包括源IP地址、目的IP地址、協(xié)議類型(例如TCP、UDP、ICMP等) 、協(xié)議源端口、協(xié)議目的端口, 也可包括物理端口、通信方向(輸人或輸出) 、源MAC地址、目的MAC地址等。
訪問控制列表應(yīng)遵循默認(rèn)拒絕原則,即丟棄所有不符合條件的數(shù)據(jù)包。
訪問控制列表應(yīng)遵循最小化授權(quán)原則,即只授予必要的權(quán)限。
按照7.2.2 b)、c)進(jìn)行試驗(yàn),對不符合訪問控制列表的數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。
6.2.2.3 拒絕服務(wù)攻擊檢測
網(wǎng)關(guān)應(yīng)對車輛對外通信的以太網(wǎng)通道進(jìn)行以太網(wǎng)DoS攻擊檢測。支持ICMP協(xié)議、TCP協(xié)議和UDP協(xié)議的網(wǎng)關(guān), 檢測的DoS攻擊類型, 應(yīng)分別至少包括ICMP泛洪攻擊、TCP泛洪攻擊和UDP泛洪攻擊。
按照7.2.2 d) 進(jìn)行試驗(yàn), 當(dāng)網(wǎng)關(guān)檢測到以太網(wǎng)DoS攻擊時(shí), 應(yīng)確保自身正常的功能和預(yù)先設(shè)定的性能不受影響,并對檢測到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。
6.2.2.4 協(xié)議狀態(tài)檢測
網(wǎng)關(guān)宜具有對部分或全部的TCP/IP會(huì)話流進(jìn)行狀態(tài)檢查的功能。檢查項(xiàng)包括TCP握手狀態(tài)、數(shù)據(jù)包長度、包序列和TCP會(huì)話關(guān)閉狀態(tài)等, 按照7.2.2 e) 進(jìn)行試驗(yàn), 對檢測到的攻擊數(shù)據(jù)包進(jìn)行丟棄或者記錄日志。
6.2.3 混合網(wǎng)關(guān)通信信息安全要求
對于混合網(wǎng)關(guān), CAN通信和以太網(wǎng)通信的信息安全要求應(yīng)分別符合6.2.1和6.2.2 的規(guī)定。
6.3 固件信息安全要求
6.3.1 安全啟動(dòng)
網(wǎng)關(guān)應(yīng)具備安全啟動(dòng)的功能,可通過可信根實(shí)體對安全啟動(dòng)所使用的可信根進(jìn)行保護(hù)。按照7.3 a) 、b) 、c) 進(jìn)行試驗(yàn), 網(wǎng)關(guān)的可信根、Bootloader程序及系統(tǒng)固件不應(yīng)被篡改, 或被篡改后網(wǎng)關(guān)無法正常啟動(dòng)。
6.3.2 安全日志
如網(wǎng)關(guān)具有安全日志功能,則滿足如下要求:
a) 按照7.3 d)、e)、f)進(jìn)行試驗(yàn),當(dāng)網(wǎng)關(guān)探測到不符合6.2要求的通信、網(wǎng)關(guān)發(fā)生軟件配置變更、網(wǎng)關(guān)軟件完整性校驗(yàn)失敗等各類事件時(shí),應(yīng)對相關(guān)信息進(jìn)行記錄;
b) 按照7.3 g)進(jìn)行試驗(yàn),網(wǎng)關(guān)的安全日志中,應(yīng)至少包括觸發(fā)日志的事件發(fā)生時(shí)間(絕對時(shí)間或相對時(shí)間)、事件類型和車輛唯一標(biāo)識(shí)碼;
c) 按照7.3 h)進(jìn)行試驗(yàn),網(wǎng)關(guān)應(yīng)對安全日志進(jìn)行安全存儲(chǔ),防止非物理破壞攻擊情況下日志記錄的損毀,同時(shí)防止未授權(quán)的添加、訪問、修改和刪除,安全日志記錄存儲(chǔ)的位置可在網(wǎng)關(guān)內(nèi)、其他ECU內(nèi)或云端服務(wù)器內(nèi);
d) 按照7.3 i)進(jìn)行試驗(yàn),網(wǎng)關(guān)的安全日志中,不應(yīng)包含任何形式的個(gè)人信息。
6.3.3 安全漏洞
按照7.3 j)進(jìn)行試驗(yàn),網(wǎng)關(guān)不應(yīng)存在權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。
注:處置包括消除漏洞、制定減緩措施等方式。
6.4 數(shù)據(jù)信息安全要求
網(wǎng)關(guān)中的安全重要參數(shù)應(yīng)以安全的方式存儲(chǔ)和處理,防止未經(jīng)授權(quán)的訪問、修改、刪除和檢索。按照7.4進(jìn)行試驗(yàn),網(wǎng)關(guān)內(nèi)的安全區(qū)域或安全模塊不被未經(jīng)授權(quán)的破解、讀取和寫人。可通過使用提供適當(dāng)授權(quán)程序的安全區(qū)域、安全模塊或等效安全技術(shù)來實(shí)現(xiàn)。
7 試驗(yàn)方法
7.1 硬件信息安全試驗(yàn)
網(wǎng)關(guān)硬件信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行:
a) 拆解被測樣件設(shè)備外殼, 取出PCB板, 檢查PCB板硬件是否存在后門或隱蔽接口;
b) 檢查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等調(diào)試接口, 如存在則使用試驗(yàn)工具嘗試獲取調(diào)試權(quán)限。
7.2 通信信息安全試驗(yàn)
7.2.1 CAN網(wǎng)關(guān)通信信息安全試驗(yàn)
CAN網(wǎng)關(guān)通信信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行。
a) 設(shè)置6.2.1.1所規(guī)定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定的數(shù)據(jù)幀,并在列表指定的目的端口檢測接收數(shù)據(jù)幀。
b) 設(shè)置6.2.1.1所規(guī)定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的數(shù)據(jù)幀,在列表指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。
c) 由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對外通信接口的CAN通道, 檢測設(shè)備對此通道以大于80%總線負(fù)載率發(fā)送符合通信矩陣的泛洪攻擊數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。
d) 由送樣方確認(rèn)網(wǎng)關(guān)連接車輛對外通信接口的CAN通道, 檢測設(shè)備對此通道以1ms為周期,發(fā)送符合通信矩陣的某個(gè)CAN ID數(shù)據(jù)幀, 在指定的目的端口檢測接收到的數(shù)據(jù)幀, 并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。
e) 檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)DCL字段值不符合通信矩陣定義的數(shù)據(jù)幀, 在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。
f) 檢測設(shè)備對網(wǎng)關(guān)發(fā)送一個(gè)或多個(gè)信號值不符合通信矩陣定義的數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。
g) 檢測設(shè)備對網(wǎng)關(guān)連續(xù)發(fā)送一個(gè)或多個(gè)周期不符合通信矩陣定義(與定義周期偏差士50%)的周期型數(shù)據(jù)幀,在指定的目的端口檢測接收到的數(shù)據(jù)幀,并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。
h) 由送樣方確認(rèn)網(wǎng)關(guān)連接OBD-ⅡI端口的通道和連接車載信息交互系統(tǒng)的通道, 檢測設(shè)備對除此類通道以外的通道, 發(fā)送UDS診斷數(shù)據(jù)幀, 在指定的目的端口檢測接收到的數(shù)據(jù)幀, 并收集樣件日志。如果有多個(gè)此類通道,則依次分別試驗(yàn)。
7.2.2 以太網(wǎng)網(wǎng)關(guān)通信信息安全試驗(yàn)
以太網(wǎng)網(wǎng)關(guān)通信信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行:
a) 對被測樣件設(shè)置不同網(wǎng)絡(luò)分域(如VLAN 1與VLAN 2) (若被測樣件的網(wǎng)絡(luò)分域策略無法通過軟件配置修改, 則由送樣方提供已預(yù)置的網(wǎng)絡(luò)分域策略列表) , 在選定區(qū)域(如VLAN l) 發(fā)送符合網(wǎng)絡(luò)分域策略和訪問控制策略的廣播數(shù)據(jù)包, 檢查不同區(qū)域(VLAN 2) 是否可以收到數(shù)據(jù)包;
b) 設(shè)置6.2.2.2所規(guī)定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送符合策略規(guī)定的數(shù)據(jù)包,在列表指定的目的端口檢測接收數(shù)據(jù)包;
c) 設(shè)置6.2.2.2所規(guī)定的訪問控制策略(若被測樣件的訪問控制策略無法通過軟件配置修改,則由送樣方提供已預(yù)置的訪問控制策略列表),檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的數(shù)據(jù)包,在列表指定的目的端口檢測接收數(shù)據(jù)包,并收集樣件日志;
d) 檢測設(shè)備對網(wǎng)關(guān)發(fā)送符合網(wǎng)絡(luò)分域策略和訪問控制策略的泛洪攻擊數(shù)據(jù)包,攻擊類型可選擇ICMP泛洪攻擊和UDP泛洪攻擊, 在目的端口檢測接收數(shù)據(jù)包, 并收集樣件日志;
e) 基于TCP協(xié)議, 構(gòu)造多個(gè)不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包或數(shù)據(jù)包序列, 組成試驗(yàn)集, 檢測設(shè)備對網(wǎng)關(guān)發(fā)送該試驗(yàn)集,在目的端口檢測接收數(shù)據(jù)包,并收集樣件日志。
7.2.3 混合網(wǎng)關(guān)通信信息安全試驗(yàn)
對于混合網(wǎng)關(guān),CAN通信和以太網(wǎng)通信的信息安全試驗(yàn)分別按7.2.1和7.2.2執(zhí)行。
7.3 固件信息安全試驗(yàn)
網(wǎng)關(guān)系統(tǒng)信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行。
a) 網(wǎng)關(guān)安全啟動(dòng)可信根防篡改試驗(yàn):
1) 獲取網(wǎng)關(guān)安全啟動(dòng)可信根存儲(chǔ)區(qū)域的訪問方法和地址;
2) 試驗(yàn)人員使用軟件調(diào)試工具寫入數(shù)據(jù),重復(fù)多次驗(yàn)證是否可將數(shù)據(jù)寫入該存儲(chǔ)區(qū)域。
b) 網(wǎng)關(guān)安全啟動(dòng)Bootloader程序校驗(yàn)試驗(yàn):
1) 提取網(wǎng)關(guān)正常運(yùn)行的Bootloader程序;
2) 使用軟件調(diào)試工具修改該Bootloader程序的簽名信息;
3) 將修改后的Bootloader程序?qū)懭氲骄W(wǎng)關(guān)內(nèi)的指定區(qū)域;
4) 監(jiān)測網(wǎng)關(guān)是否正常加載Bootloader及系統(tǒng)固件。
c) 網(wǎng)關(guān)安全啟動(dòng)系統(tǒng)固件校驗(yàn)試驗(yàn):
1) 獲取網(wǎng)關(guān)正常運(yùn)行的系統(tǒng)固件;
2) 使用軟件調(diào)試工具修改系統(tǒng)固件程序的簽名信息;
3) 將破壞后的系統(tǒng)固件寫入到網(wǎng)關(guān)內(nèi)的指定區(qū)域;
4) 監(jiān)測網(wǎng)關(guān)是否正常工作。
d) 如果被測網(wǎng)關(guān)有安全日志記錄功能,檢查被測樣件依次執(zhí)行7.2所產(chǎn)生的日志。
e) 如果被測網(wǎng)關(guān)有安全日志記錄功能,嘗試對被測樣件改變信息安全設(shè)置(如修改訪問控制列表),檢查產(chǎn)生的日志。
f) 如果被測網(wǎng)關(guān)有安全日志記錄功能,嘗試對被測樣件改變系統(tǒng)關(guān)鍵配置(如路由表等),檢查產(chǎn)生的日志。
g) 如果被測網(wǎng)關(guān)有安全日志記錄功能,檢查日志中是否包含觸發(fā)日志的事件發(fā)生時(shí)間、事件類型和車輛唯一標(biāo)識(shí)碼。
h) 如果被測網(wǎng)關(guān)有安全日志記錄功能,通過試驗(yàn)工具嘗試訪問、修改或刪除已記錄的安全日志。
i) 如果被測網(wǎng)關(guān)有安全日志記錄功能,檢查日志中是否包含個(gè)人信息。
j) 使用漏洞掃描工具對網(wǎng)關(guān)進(jìn)行漏洞檢測,檢測是否存在權(quán)威漏洞平臺(tái)發(fā)布6個(gè)月及以上的高危安全漏洞;若存在高危漏洞,則檢查該高危漏洞處置方案的技術(shù)文件。
7.4 數(shù)據(jù)信息安全試驗(yàn)
網(wǎng)關(guān)數(shù)據(jù)信息安全試驗(yàn)按照下列流程及要求依次進(jìn)行:
a) 試驗(yàn)人員嘗試對網(wǎng)關(guān)安全區(qū)域或安全模塊的授權(quán)訪問控制進(jìn)行破解(例如:使用暴力破解或字典破解方式,嘗試破解安全區(qū)域或安全模塊的訪問口令);
b) 被測樣件送樣方提供網(wǎng)關(guān)內(nèi)部安全存儲(chǔ)區(qū)域的地址范圍或安全模塊的訪問方式,試驗(yàn)人員使用送樣方授權(quán)的軟件工具,嘗試對安全區(qū)域或安全模塊進(jìn)行讀取訪問;
c) 試驗(yàn)人員使用非送樣方授權(quán)的軟件工具或訪問方式,嘗試對安全區(qū)域或安全模塊進(jìn)行讀取和寫入。
附 錄 A
(資料性)
汽車網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)示例
圖A.1~圖A.3給出了汽車網(wǎng)關(guān)相關(guān)拓?fù)浣Y(jié)構(gòu)的示例。



附 錄 B
(資料性)
典型攻擊舉例
B.1 死亡之Ping(Ping of death)
一種通過向計(jì)算機(jī)發(fā)送格式錯(cuò)誤或其他惡意的ping協(xié)議數(shù)據(jù)包的攻擊, 也稱死亡之ping。例如由攻擊者故意發(fā)送大于65536比特的IP數(shù)據(jù)包給被攻擊者,導(dǎo)致被攻擊者無法處理甚至系統(tǒng)崩潰。
B.2 ICMP泛洪攻擊
一種簡單的拒絕服務(wù)攻擊, 也稱作ping泛洪攻擊, 攻擊者用ICMP“回應(yīng)請求”(ping) 數(shù)據(jù)包淹沒被攻擊者。
B.3 UDP泛洪攻擊
使用UDP協(xié)議(一種無會(huì)話、無連接的傳輸層協(xié)議) 進(jìn)行的拒絕服務(wù)攻擊。
B.4 TCP SYN攻擊
一種拒絕服務(wù)攻擊形式, 攻擊者向目標(biāo)系統(tǒng)發(fā)送一連串SYN請求, 試圖消耗足夠的服務(wù)器資源,使系統(tǒng)對合法流量無響應(yīng)。
B.5 Teardrop攻擊
在IP數(shù)據(jù)包的包頭中,其中有一個(gè)字段是片位移,該字段指示了該分片數(shù)據(jù)包在原始未分片數(shù)據(jù)包中的起始位置或偏移量。
Teardrop攻擊是指利用惡意修改了IP分片偏移值的IP數(shù)據(jù)包進(jìn)行攻擊, 從而使被攻擊者無法正常進(jìn)行IP數(shù)據(jù)包重組,甚至導(dǎo)致系統(tǒng)崩潰。
B.6 ARP欺騙攻擊
這種欺騙攻擊是攻擊者將欺騙性的地址解析協(xié)議(ARP) 數(shù)據(jù)包發(fā)送到本地網(wǎng)絡(luò)上。目的是將攻擊者的MAC地址與另一個(gè)主機(jī)或網(wǎng)絡(luò)設(shè)備的IP地址相關(guān)聯(lián), 從而導(dǎo)致網(wǎng)絡(luò)上其他節(jié)點(diǎn)將該IP地址的任何流量發(fā)送給攻擊者。
B.7 IP欺騙攻擊
IP地址欺騙,指攻擊者假冒某個(gè)合法主機(jī)的IP地址發(fā)送數(shù)據(jù)包,從而達(dá)到獲取被攻擊者信任或者隱藏攻擊者真實(shí)IP地址的目的。
B.8 ICMP Smurf攻擊
這種攻擊方法結(jié)合使用了IP欺騙攻擊和ICMP泛洪攻擊。攻擊者偽造ICMP數(shù)據(jù)包的源地址, 并將數(shù)據(jù)包目的地址設(shè)置為網(wǎng)絡(luò)的廣播地址。如果網(wǎng)絡(luò)設(shè)備沒有過濾此流量, 則該ICMP數(shù)據(jù)包將被廣播到網(wǎng)絡(luò)中的所有計(jì)算機(jī),而網(wǎng)絡(luò)中所有計(jì)算機(jī)將向被偽造的源地址發(fā)送應(yīng)答請求包,從而淹沒這個(gè)被偽造源地址的計(jì)算機(jī),并可能使整個(gè)網(wǎng)絡(luò)擁塞而降低可用率。此攻擊以最初發(fā)動(dòng)這種攻擊的惡意程序“Smurf”來命名。
B.9 IP地址掃描
IP地址掃描是一種基本的網(wǎng)絡(luò)掃描技術(shù),用于確定地址范圍內(nèi)的哪些地址具有活動(dòng)的計(jì)算機(jī)主機(jī)。典型的地址掃描是向某個(gè)地址范圍中的每個(gè)地址發(fā)送ping請求以嘗試獲得應(yīng)答。
B.10 端口掃描(Portscan)
端口掃描,指攻擊者嘗試與目標(biāo)主機(jī)上的每個(gè)端口建立通信會(huì)話。如果在某個(gè)端口的會(huì)話連接成功,則說明目標(biāo)主機(jī)在該端口有開放的服務(wù)。
B.11 惡意軟件
惡意軟件是指在計(jì)算機(jī)系統(tǒng)中安裝執(zhí)行惡意任務(wù)的勒索軟件、病毒、蠕蟲、特洛伊木馬、廣告軟件、間諜軟件等程序。
B.12 CAN數(shù)據(jù)幀泛洪攻擊
CAN總線網(wǎng)絡(luò)通信協(xié)議規(guī)定ECU間傳輸數(shù)據(jù)幀的優(yōu)先級由CAN數(shù)據(jù)幀的ID決定, ID越小則數(shù)據(jù)幀優(yōu)先級越高。因此, 人侵者如果在一個(gè)CAN總線上以很高的頻率發(fā)送一個(gè)高優(yōu)先級的CAN數(shù)據(jù)幀, 將很可能會(huì)阻塞其他數(shù)據(jù)幀的發(fā)送, 從而實(shí)現(xiàn)DoS攻擊。
B.13 CAN ID偽造
由于CAN總線網(wǎng)絡(luò)通信是廣播通信, 人侵者可以很容易獲取在一條CAN總線上發(fā)送的所有數(shù)據(jù)幀。通常CAN數(shù)據(jù)幀是明文傳輸?shù)模?入侵者可以通過猜解、遍歷或其他手段解析數(shù)據(jù)幀格式和內(nèi)容,對車輛關(guān)鍵控制信號進(jìn)行逆向破解, 進(jìn)一步在該CAN總線上以這些ID的名義發(fā)送非法的數(shù)據(jù)幀, 從而干擾或阻塞ECU間的正常通信, 乃至實(shí)際控制關(guān)鍵系統(tǒng)(如動(dòng)力系統(tǒng)) 的某一個(gè)或者多個(gè)ECU。
B.14 CAN數(shù)據(jù)幀重放攻擊
由于CAN總線網(wǎng)絡(luò)通信是廣播通信, 入侵者可以很容易按時(shí)序捕獲某個(gè)特定CAN ID的所有數(shù)據(jù)幀, 然后在CAN總線網(wǎng)絡(luò)上重新注入這些數(shù)據(jù)幀, 達(dá)到干擾和非法控制某一個(gè)或多個(gè)ECU的目的。
B.15 CAN網(wǎng)絡(luò)掃描
攻擊者可以通過結(jié)合網(wǎng)絡(luò)管理數(shù)據(jù)幀和功能尋址的診斷服務(wù), 對每條CAN總線上ECU的數(shù)量信息進(jìn)行探測,也可以利用通過遍歷物理尋址的方式進(jìn)行探測。這些信息可以被攻擊者進(jìn)一步利用,從而發(fā)現(xiàn)潛在的ECU安全漏洞, 更準(zhǔn)確地對特定ECU進(jìn)行攻擊。
B.16 ECU認(rèn)證破解
攻擊者可以通過遍歷的方式暴力破解ECU安全訪問的密鑰。
另外若某個(gè)ECU的認(rèn)證算法存在漏洞, 則攻擊者可以利用漏洞繞過安全驗(yàn)證, 進(jìn)而實(shí)現(xiàn)對該ECU的非法控制。
B.17 UDS服務(wù)攻擊
UDS協(xié)議(ISO 14229-1和ISO 27145-3所約定的協(xié)議) 主要用于通過CAN網(wǎng)絡(luò)讀取ECU的信息和向ECU寫人信息。UDS定義了若干應(yīng)用層服務(wù), 人侵者如果能探測到ECU開啟了哪些服務(wù), 并且通過暴力破解或其他方式獲取了這些服務(wù)的身份認(rèn)證信息,就可以利用這些服務(wù)進(jìn)行攻擊,例如向ECU注入非法固件、讀取或修改敏感數(shù)據(jù)、不斷地重啟ECU等。
參 考 文 獻(xiàn)
[1] GB/T 28458—2020 信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范
[2] GB/T 37027—2018 信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范
[3] ISO 14229-1 Road vehicles-Unified diagnostic services(UDS) —Part l:Application layer
[4] ISO 27145-3 Road vehicles一Implementation of World-Wide Harmonized On-Board Diag-nostics(WWH-OBD) communication requirements—Part3:Commonmessagedictionary 
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號-25