汽车网络安全之——安全技术要求
概述
近日发布了一系列的汽车信息安全技术要求(征求意见稿),围绕着通用安全、网关安全、车载信息设备安全、电动汽车远程安全给出了防护与测试准则。
汽车信息安全通用技术要求
本标准主要明确保护对象和规范技术要求
研究对象:
车内系统: a) 软件系统; b) 电子电气硬件; c) 车内数据; d) 车内通信
车外通信: a) 车外远距离通信; b) 车外近距离通信
技术要求:
1 原则性要求:
业务适用性原则:信息安全不应影响功能
软件无后门原则
功能最小化原则
最小化授权原则
权限分离原则:权限应相互分离和单独授予
默认设置原则:产品应完成默认的信息安全设置
2系统性防御要求:
产品应至少采用一种如下的系统性防御策略:
a) 纵深防御; b) 主动防御; c) 系统的韧性
3保护维度:
a) 真实性维度; b) 保密性维度; c) 完整性维度; d) 可用性维度; e) 访问可控性维度; f) 抗抵赖性维度; g) 可核查性维度; h) 可预防性维度
汽车网关信息安全技术要求
研究对象:CAN网关 以太网网关 混合网关
技术要求,根据通用技术要求:
- 硬件安全要求
网关不应存在后门或隐蔽接口
网关的调试接口应禁用或设置安全访问控制 - 通信安全要求
a) CAN网关
访问控制:基于 CAN 数据帧标识符(CAN ID)的访问控制策略
拒绝服务攻击检测:网关应具备基于 CAN 总线接口负载的 DoS 攻击检测功能,宜具备基于 CAN ID 的 DoS 攻击检测功能
数据帧健康检测:根据通信矩阵中的信号定义,对数据帧中的信号值进行检查,检查内容包括信号值长度、信号值有效性等
数据帧异常检测:即检查和记录数据帧之间发送与接收关系的机制
UDS会话检测:
b) 以太网网关
安全域划分:网关应支持网络分域,用VLAN分隔车载网络内的不同域
访问控制:访问控制列表中的访问控制要素主要应包括源 IP 地址、目的 IP 地址、协议类型(例如 TCP、UDP、ICMP 等)、协议源端口、协议目的端口,另外也可包括物理端口、 通信方向(输入或输出)、源 MAC 地址、目的 MAC 地址等要素。
拒绝服务攻击检测:网关应具备以太网 DoS 攻击检测功能。支持 ICMP 协议和 UDP 协议的网关,检测的 DoS 攻击类型, 应至少包括 ICMP 泛洪攻击和 UDP 泛洪攻击。
协议状态检测:检查项包括 TCP 握手状态、数据 包长度、包序列和 TCP 会话关闭状态等。 - 软件安全要求
安全启动:网关应具备安全启动的功能,可通过可信根实体对安全启动所使用的可信根进行保护
安全日志:
安全漏洞:修复 - 数据信息安全要求
网关中的安全重要参数应以安全的方式存储和处理,防止未经授权的访问、修改、删除和检索
车载信息交互系统信息安全技术要求
范围:车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求与测试方法。
车载信息交互系统:
安装在车辆上的通信系统,属于信息交互或娱乐服务装置,应具备下列至少一项功能: a) 对外可通过蜂窝网络、短距离通信等通信技术建立连接并进行数据交换等功能,对内可通过汽车总线与电子电气系统进行信息采集、数据传递与指令下发等功能; b) 实现通话录音、文化娱乐等相关服务功能。 注:车载信息交互系统通常为远程车载信息交互系统(T-Box)、车载综合信息处理系统(IVI)以及其混合体
技术要求:
- 硬件安全要求
芯片不存在后门,安全访问控制
关键芯片应减少引脚暴露
安全芯片之间应减少通信线路的数量(例如: 使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路)
电路板及芯片不宜暴露用以标注、端口和管脚功能的可读丝印 - 通信协议及接口安全
2.1对外通信安全
安全链接
安全传输
终止安全
远程通信协议安全
公有协议(HTTP FTP):,应采用TLS(版本不低于1.2) 或至少同等安全级别(例如:同等级别的国密算法等)的安全通信协议。
私有协议:**安全
近程通信协议安全:
通信口令安全
蓝牙安全
WLAN安全
2.2 对内通信安全
应使用安全机制确保传输的重要数据(例如:车辆控制指令等)完整性和可用性(没有提到机密性)
2.3 通信接口安全
对外:隔离
对内:白名单 - 操作系统安全
安全配置
通信功能安全受控(网络链接、拨打电话、发送邮件等)
本地敏感功能受控(定位、录音等)
操作系统安全启动:基于信任根,Boot可信 操作系统可信 应用可信
操作系统更新:有回退,防回退,完整性校验
操作系统隔离:对预置功能平行的多操作系统,除必要的接口和数据(例如:拨打电话等功能和电话本和短信等数据)可共享外,不同操作系统之间不应进行通信。
操作系统安全管理 - 应用软件安全
基础安全、代码安全、访问控制、运行安全、通信安全、日志安全 - 数据安全
数据采集、数据存储、数据传输、数据销毁
电动汽车远程服务与管理系统信息安全技术要求
总体结构:
技术要求:
车载终端安全要求
平台间通信安全技术要求
平台安全要求