1界限本文献轨则了汽车网闭产物硬件、通讯、固件、数据的音讯和平工夫哀求及试验伎俩。本文献合用于汽车网闭产物音讯和平的计划与完成，也可用于产物测试、评估

下列文献中的实质通过文中的楷模性援用而组成本文献必弗成少的条目。此中，注日期的援用文献，仅该日期对应的版本合用于本文献；不注日期的援用文献，其最新版本(包罗整个的编削单)合用于本文献。

GB/T 25069、GB/T 37935-2019、GB/T 40861界定的以及下列术语和界说合用于本文献。

注1：汽车网闭通过分歧汇集间的分开和分歧通讯契约间的转换，可能正在各个共享通讯数据的功用域之间举行音讯交互。

用于撑持可托计划平台信赖链创办和转达的可对外供给完善性胸宇、和平存储、暗码计划等办事的功用模块。

CAN-FD 聪明数据速度的担任器局域汇集(CAN with Flexible Data-rate)

MOST 面向媒体的串传记输(Media Oriented System Transport)

基于CAN和/或CAN-FD总线的车内汇集布局中， 大无数的ECU、域担任器之间都市通过CAN和/或CAN-FD总线举行通讯。

局部新一代车内汇集布局中， 一局部ECU、域担任器之间通过以太网通讯， 而另一局部ECU、域担任器之间仍通过古代通讯契约(比方：CAN、CAN-FD、LIN、MOST等) 通讯。

网闭应正在各途CAN汇集间创办通讯矩阵， 并创办基于CAN数据帧标识符(CAN ID) 的访候担任计谋，根据7.2.1 a)举行试验后，应正在列表指定的方针端口检测摄取到源端口发送的数据帧；根据7.2.1 b)举行试验后，应对不适合界说的数据帧举行丢掉或者记载日记。

网闭应对车辆对外通讯接口的CAN通道(比方：结合OBD-Ⅱ端口的通道和结合车载音讯交互编制的通道) 举行CAN总线DoS攻击检测。

网闭应具备基于CAN总线接口负载的DoS攻击检测功用， 宜具备基于某个或众个CAN ID数据帧周期的DoS攻击检测功用。

根据7.2.1 c) 、d) 举行试验， 当网闭检测到某一起或众途CAN通道存正在DoS攻击时， 应餍足以下哀求：

网闭宜按照通讯矩阵中的信号界说， 对数据帧举行查验， 查验实质包罗DLC字段、信号值有用性等，根据7.2.l e)、f)举行试验，对不适合通讯矩阵界说的数据帧举行丢掉或者记载日记。

网闭宜具罕睹据帧分外检测功用，即查验和记载数据帧之间发送与摄取闭连的机制，根据7.2.1 g)举行试验，对检测到分外的数据帧举行丢掉或者记载日记。

网闭检测到必定年华内数据帧的发送频率与预订义的频率差异较大，或相邻年华统一数据帧的信号值实质冲突或者不寻常跳跃时，对数据帧举行丢掉或者记载日记。

网闭应查验UDS会话首倡的CAN通道是否寻常， 根据7.2.1 h) 举行试验， 对非寻常通道首倡的会话举行拦截或者记载日记。

网闭应装备访候担任列表(ACL) ， 访候担任列表中的访候担任因素厉重应包罗源IP地方、方针IP地方、契约类型(比方TCP、UDP、ICMP等) 、契约源端口、契约方针端口， 也可包罗物理端口、通讯倾向(输人或输出) 、源MAC地方、方针MAC地方等。

网闭应对车辆对外通讯的以太网通道举行以太网DoS攻击检测。助助ICMP契约、TCP契约和UDP契约的网闭， 检测的DoS攻击类型， 应不同起码包罗ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪攻击。

根据7.2.2 d) 举行试验， 当网闭检测到以太网DoS攻击时， 应确保自己寻常的功用和预先设定的本能不受影响，并对检测到的攻击数据包举行丢掉或者记载日记。

网闭宜具有对局部或统共的TCP/IP会话流举行形态查验的功用。查验项包罗TCP握手形态、数据包长度、包序列和TCP会线 e) 举行试验， 对检测到的攻击数据包举行丢掉或者记载日记。

对付混淆网闭， CAN通讯和以太网通讯的音讯和平哀求应不同适合6.2.1和6.2.2 的轨则。

网闭应具备和平启动的功用，可通过可托根实体对和平启动所行使的可托根举行护卫。根据7.3 a) 、b) 、c) 举行试验， 网闭的可托根、Bootloader秩序及编制固件不应被窜改， 或被窜改后网闭无法寻常启动。

a) 根据7.3 d)、e)、f)举行试验，当网闭探测到不适合6.2哀求的通讯、网闭产生软件装备变换、网闭软件完善性校验腐臭等百般事故时，应对干系音讯举行记载；

b) 根据7.3 g)举行试验，网闭的安终日记中，应起码包罗触发日记的事故产生年华(绝对年华或相对年华)、事故类型和车辆独一标识码；

c) 根据7.3 h)举行试验，网闭应对安终日记举行和平存储，防备非物理作怪攻击环境下日记记载的损毁，同时防备未授权的增添、访候、编削和删除，安终日记记载存储的身分可正在网闭内、其他ECU内或云端办事器内；

根据7.3 j)举行试验，网闭不应存正在巨子罅隙平台6个月前告示且未经管理的高危及以上的和平罅隙。

网闭中的和平厉重参数应以和平的形式存储和统治，防备未经授权的访候、编削、删除和检索。根据7.4举行试验，网闭内的和平区域或和平模块不被未经授权的破解、读取和写人。可通过行使供给得当授权秩序的和平区域、和平模块或等效和平工夫来完成。

b) 查验是否有存正在显露正在PCB板上的JTAG、USB、UART、SPI等调试接口， 如存正在则行使试验用具试验获取调试权限。

a) 创立6.2.1.1所轨则的访候担任计谋(若被测样件的访候担任计谋无法通过软件装备编削，则由送样方供给已预置的访候担任计谋列表)，检测设置向列表指定的源端口发送适合计谋轨则的数据帧，并正在列表指定的方针端口检测摄取数据帧。

b) 创立6.2.1.1所轨则的访候担任计谋(若被测样件的访候担任计谋无法通过软件装备编削，则由送样方供给已预置的访候担任计谋列表)，检测设置向列表指定的源端口发送不适合计谋轨则的数据帧，正在列表指定的方针端口检测摄取到的数据帧，并汇集样件日记。

c) 由送样方确认网闭结合车辆对外通讯接口的CAN通道， 检测设置对此通道以大于80%总线负载率发送适合通讯矩阵的泛洪攻击数据帧，正在指定的方针端口检测摄取到的数据帧，并汇集样件日记。倘若有众个此类通道，则依序不同试验。

d) 由送样方确认网闭结合车辆对外通讯接口的CAN通道， 检测设置对此通道以1ms为周期，发送适合通讯矩阵的某个CAN ID数据帧， 正在指定的方针端口检测摄取到的数据帧， 并汇集样件日记。倘若有众个此类通道，则依序不同试验。

e) 检测设置对网闭发送一个或众个DCL字段值不适合通讯矩阵界说的数据帧， 正在指定的方针端口检测摄取到的数据帧，并汇集样件日记。

f) 检测设置对网闭发送一个或众个信号值不适合通讯矩阵界说的数据帧，正在指定的方针端口检测摄取到的数据帧，并汇集样件日记。

g) 检测设置对网闭接连发送一个或众个周期不适合通讯矩阵界说(与界说周期误差士50%)的周期型数据帧，正在指定的方针端口检测摄取到的数据帧，并汇集样件日记。倘若有众个此类通道，则依序不同试验。

h) 由送样方确认网闭结合OBD-ⅡI端口的通道和结合车载音讯交互编制的通道， 检测设置对除此类通道以外的通道， 发送UDS诊断数据帧， 正在指定的方针端口检测摄取到的数据帧， 并汇集样件日记。倘若有众个此类通道，则依序不同试验。

a) 对被测样件创立分歧汇集分域(如VLAN 1与VLAN 2) (若被测样件的汇集分域计谋无法通过软件装备编削， 则由送样方供给已预置的汇集分域计谋列表) ， 正在选定区域(如VLAN l) 发送适合汇集分域计谋和访候担任计谋的播送数据包， 查验分歧区域(VLAN 2) 是否可能收到数据包；

b) 创立6.2.2.2所轨则的访候担任计谋(若被测样件的访候担任计谋无法通过软件装备编削，则由送样方供给已预置的访候担任计谋列表)，检测设置向列表指定的源端口发送适合计谋轨则的数据包，正在列表指定的方针端口检测摄取数据包；

c) 创立6.2.2.2所轨则的访候担任计谋(若被测样件的访候担任计谋无法通过软件装备编削，则由送样方供给已预置的访候担任计谋列表)，检测设置向列表指定的源端口发送不适合计谋轨则的数据包，正在列表指定的方针端口检测摄取数据包，并汇集样件日记；

d) 检测设置对网闭发送适合汇集分域计谋和访候担任计谋的泛洪攻击数据包，攻击类型可采取ICMP泛洪攻击和UDP泛洪攻击， 正在方针端口检测摄取数据包， 并汇集样件日记；

e) 基于TCP契约， 构制众个不适合契约圭表的数据包或数据包序列， 构成试验集， 检测设置对网闭发送该试验集，正在方针端口检测摄取数据包，并汇集样件日记。

e) 倘若被测网闭有安终日记记载功用，试验对被测样件调动音讯和平创立(如编削访候担任列表)，查验形成的日记。

f) 倘若被测网闭有安终日记记载功用，试验对被测样件调动编制闭头装备(如途由表等)，查验形成的日记。

g) 倘若被测网闭有安终日记记载功用，查验日记中是否蕴涵触发日记的事故产生年华、事故类型和车辆独一标识码。

j) 行使罅隙扫描用具对网闭举行罅隙检测，检测是否存正在巨子罅隙平台颁布6个月及以上的高危和平罅隙；若存正在高危罅隙，则查验该高危罅隙管理计划的工夫文献。

a) 试验职员试验对网闭和平区域或和平模块的授权访候担任举行破解(比方：行使暴力破解或字典破解形式，试验破解和平区域或和平模块的访候口令)；

b) 被测样件送样方供给网闭内部和平存储区域的地方界限或和平模块的访候形式，试验职员行使送样方授权的软件用具，试验对和平区域或和平模块举行读取访候；

c) 试验职员行使非送样方授权的软件用具或访候形式，试验对和平区域或和平模块举行读取和写入。

一种通过向计划机发送款式过失或其他恶意的ping契约数据包的攻击， 也称衰亡之ping。比方由攻击者成心发送大于65536比特的IP数据包给被攻击者，导致被攻击者无法统治乃至编制溃逃。

一种纯粹的拒绝办事攻击， 也称作ping泛洪攻击， 攻击者用ICMP“回应吁请”(ping) 数据包湮灭被攻击者。

一种拒绝办事攻击局面， 攻击者向方针编制发送继续串SYN吁请， 试图损耗足够的办事器资源，使编制对合法流量无反映。

正在IP数据包的包头中，此中有一个字段是片位移，该字段指示了该分片数据包正在原始未分片数据包中的肇始身分或偏移量。

Teardrop攻击是指欺骗恶意编削了IP分片偏移值的IP数据包举行攻击， 从而使被攻击者无法寻常举行IP数据包重组，乃至导致编制溃逃。

这种棍骗攻击是攻击者将棍骗性的地方解析契约(ARP) 数据包发送到当地汇集上。方针是将攻击者的MAC地方与另一个主机或汇集设置的IP地方干系联， 从而导致汇集上其他节点将该IP地方的任何流量发送给攻击者。

IP地方棍骗，指攻击者假装某个合法主机的IP地方发送数据包，从而到达获取被攻击者信赖或者荫蔽攻击者切实IP地方的方针。

这种攻击伎俩纠合行使了IP棍骗攻击和ICMP泛洪攻击。攻击者伪制ICMP数据包的源地方， 并将数据包方针地方创立为汇集的播送地方。倘若汇集设置没有过滤此流量， 则该ICMP数据包将被播送到汇集中的整个计划机，而汇集中整个计划机将向被伪制的源地方发送应答吁请包，从而湮灭这个被伪制源地方的计划机，并或者使全盘汇集堵塞而低重可用率。此攻击以最初启发这种攻击的恶意秩序“Smurf”来定名。

IP地方扫描是一种根基的汇集扫描工夫，用于确定地方界限内的哪些地方具有运动的计划机主机。样板的地方扫描是向某个地方界限中的每个地方发送ping吁请以试验取得应答。

端口扫描，指攻击者试验与方针主机上的每个端口创办通讯会话。倘若正在某个端口的会话结合告捷，则证明方针主机正在该端口有怒放的办事。

恶意软件是指正在计划机编制中安置推广恶意职责的讹诈软件、病毒、蠕虫、特洛伊木马、广告软件、间谍软件等秩序。

CAN总线汇集通讯契约轨则ECU间传输数据帧的优先级由CAN数据帧的ID决断， ID越小则数据帧优先级越高。以是， 人侵者倘若正在一个CAN总线上以很高的频率发送一个高优先级的CAN数据帧， 将很或者会壅闭其他数据帧的发送， 从而完成DoS攻击。

因为CAN总线汇集通讯是播送通讯， 人侵者可能很容易获取正在一条CAN总线上发送的所罕睹据帧。平常CAN数据帧是明文传输的， 入侵者可能通过猜解、遍历或其他妙技解析数据帧款式和实质，对车辆闭头担任信号举行逆向破解， 进一步正在该CAN总线上以这些ID的表面发送犯科的数据帧， 从而搅扰或壅闭ECU间的寻常通讯， 以致实质担任闭头编制(如动力编制) 的某一个或者众个ECU。

因为CAN总线汇集通讯是播送通讯， 入侵者可能很容易准时序逮捕某个特定CAN ID的所罕睹据帧， 然后正在CAN总线汇集上从头注入这些数据帧， 到达搅扰和犯科担任某一个或众个ECU的方针。

攻击者可能通过纠合汇集束缚数据帧和功用寻址的诊断办事， 对每条CAN总线上ECU的数目音讯举行探测，也可能欺骗通过遍历物理寻址的形式举行探测。这些音讯可能被攻击者进一步欺骗，从而涌现潜正在的ECU和平罅隙， 更确凿地对特定ECU举行攻击。

其它若某个ECU的认证算法存正在罅隙， 则攻击者可能欺骗罅隙绕过和平验证， 进而完成对该ECU的犯科担任。

UDS契约(ISO 14229-1和ISO 27145-3所商定的契约) 厉重用于通过CAN汇集读取ECU的音讯和向ECU写人音讯。UDS界说了若干行使层办事， 人侵者倘若能探测到ECU开启了哪些办事， 而且通过暴力破解或其他形式获取了这些办事的身份认证音讯，就可能欺骗这些办事举行攻击，比方向ECU注入犯科固件、读取或编削敏锐数据、无间地重启ECU等。

[3] ISO 14229-1 Road vehicles-Unified diagnostic services(UDS) —Part l：Application layer

[4] ISO 27145-3 Road vehicles一Implementation of World-Wide Harmo

nized On-Board Diag-nostics(WWH-OBD) communication requirements—Part3：Commonmessagedictionary

汽车测试网-成立于2008年，报道汽车测试工夫与产物、趋向、动态等 接洽邮箱 marketing#auto-testing.net (把#改成@)