【CAN-IDPS】汽车网关信息安全要求以及实验方法

《汽车网关信息安全技术要求及试验方法》是中国的一项国家标准，编号为GB/T 40857-2021，于2021年10月11日发布，并从2022年5月1日起开始实施 。这项标准由全国汽车标准化技术委员会（TC114）归口，智能网联汽车分会（TC114SC34）执行，主管部门为工业和信息化部。

该标准主要起草单位包括广州汽车集团股份有限公司、中国汽车技术研究中心有限公司等多家企业和研究机构，主要起草人有尚进、孙航等多位专家。标准内容涵盖了汽车网关硬件、通信、固件、数据的信息安全技术要求及试验方法，目的在于保障汽车网关在车内多个网络间安全、可靠地进行数据转发和传输，满足数据保密性、完整性、可用性等基本安全要求。

本篇文章主要摘取规范中对汽车网关网络安全和信息安全要求和测试方法。其中基于以太网的网络安全和信息安全技术较为成熟，无需过多介绍，而针对CAN网关的安全要求基于本人对CAN-IDPS开发经验添加了说明。

1 汽车网关网络拓扑结构

1.1 CAN网关

基于CAN和/或CAN-FD总线的车内网络结构中,大多数的ECU、域控制器之间都会通过CAN和/或CAN-FD总线进行通信。这类结构中的汽车网关主要有CAN和/或CAN-FD总线接口,可称为CAN网关。下图是典型的CAN网关拓扑结构。

1.2 以太网网关

基于以太网的车内网络结构中,大多数的ECU、域控制器之间会通过以太网进行通信。这类结构中的汽车网关主要有以太网接口,可称为以太网网关。下图是典型的以太网网关拓扑结构。

1.3 混合网关

部分新一代车内网络结构中,一部分ECU、域控制器之间通过以太网通信,而另一部分ECU、域控制器之间仍通过传统通信协议(例如:CAN、CAN-FD、LIN、MOST等)通信。这类结构中的汽车网关既有以太网接口,还有传统通信协议接口,可称为混合网关。下图是典型的混合网关拓扑结构。

2 技术要求

2.1 硬件信息安全要求

（1）网关不应存在后门或隐蔽接口。

        测试方法：拆解被测样件设备外壳,取出PCB板,检查PCB板硬件是否存在后门或隐蔽接口。

（2）网关的调试接口应禁用或设置安全访问控制。

        测试方法：检查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等调试接口,如存在则使用试验工具尝试获取调试权限。

2.2 通信信息安全要求

2.2.1 CAN网关通信信息安全要求

2.2.1.1 访问控制

网关应在各路CAN网络间建立通信矩阵,并建立基于CAN数据帧标识符(CANID)的访问控制策略，按照测试方法（a）应在列表指定的目的端口检测接收到源端口发送的数据帧;按照测试方法（b）应对不符合定义的数据帧进行丢弃或者记录日志。

测试方法：

（a）设置访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送符合策略规定的数据帧,并在列表指定的目的端口检测接收数据帧。

（b）设置访问控制策略(若被测样件的访问控制策略无法通过软件配置修改,则由送样方提供已预置的访问控制策略列表),检测设备向列表指定的源端口发送不符合策略规定的数据帧,在列表指定的目的端口检测接收到的数据帧,并收集样件日志。

个人观点：

文档中要求建立基于CANID的访问控制策略，其实就是CANID白名单功能，白名单中包含通信矩阵中规定网关所能接收的所有CANID，网关安全组件（例如CAN-IDPS）监控网关流量，并判断所接收的CANID是否在白名单中，如果在，则应执行丢弃或者记录日志。需要注意的是，一般ECU在CAN收发器处已经设置了报文过滤条件，即不是该ECU需要接收的CANID报文在底层就已经丢弃了。

2.2.1.2 拒绝服务攻击检测

网关应对车辆对外通信接口的CAN通道(例如:连接BD-I端口的通道和