《汽车以太网交换机设备信息安全技术要求》

ICS32.020

T40

团体标准

T/CSAEXX－20XX

汽车以太网交换机设备

中国汽车工程学会2341

信息安全技术要求

Informationsecurityrequirementsofautomotiveetherentswitchequipment

（征求意见版）

（本草案完成时间：2023年12月6日）

（）

DraftingguidelinesforcommercialgradesstandardofChinesemedicinalmaterials

20xx-xx-xx发布20xx-xx-xx实施

中国汽车工程学会发布

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

汽车以太网交换机设备信息安全技术要求

1.范围

本文件规定了汽车以太网交换机设备信息安全技术要求。

中国汽车工程学会2341本文件适用于M类、N类汽车以太网交换机中国汽车工程学会2341设备信息安全的设计与实现，其他车辆类型可参照中国汽车工程学会2341

执行。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用

中国汽车工程学会2341于本文件。中国汽车工程学会2341中国汽车工程学会2341

GB/T18336.2信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求

GB/T25069-2022信息安全技术术语

GB/T40857-2021汽车网关信息安全技术要求及试验方法

GB/T40861-2021汽车信息安全通用技术要求

YD/T1627-2007以太网交换机设备安全技术要求

IEEE802.1AS局域和城域网IEEE标准——时间敏感应用的定时和同步（IEEEStandard

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

forLocalandMetropolitanAreaNetworks—TimingandSynchronization

forTime‐SensitiveApplications）

IEEE802.1Qci-2017局域和城域网IEEE标准——桥和桥接网络——修正28：基于流的过滤和

策略（IEEEStandardforLocalandmetropolitanareanetworks—Bridgesand

BridgedNetworks—Amendment28:Per-StreamFilteringandPolicing）

IEEE802.1CB-2017局域和城域网IEEE标准——用于可靠性的帧复制和消除（IEEEStandard

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

forLocalandmetropolitanareanetworks—FrameReplicationandElimination

forReliability）

IEEE802.3IEEE以太网标准（IEEEStandardforEthernet）

OPENAllianceTC11汽车以太网交换机芯片要求（RequirementsforEthernetSwitch

Semiconductors）

UNR156软件升级与软件升级管理体系（Softwareupdateandsoftwareupdate

中国汽车工程学会2341managementsystem中国汽车工程学会2341）中国汽车工程学会2341

3.术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1.

汽车以太网automotiveethernet

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

1

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

汽车以太网是指满足IEEE802.3所规定的车用单线对双绞线、车用塑料光纤或车用玻璃光纤的以

太网。不同速率和双绞线传输介质的汽车以太网端口通常用10Base-T1S、100Base-T1、1000Base-T1、

2.5G/5G/10GBase-T1表示。

注1：本文件暂不包括传输介质为车用塑料光纤或车用玻璃光纤的汽车以太网。

注2：本文件中提及的100BASE-TX端口仅为诊断用端口，不作为数据流量转发端口。

中国汽车工程学会23413.2.中国汽车工程学会2341中国汽车工程学会2341

汽车以太网交换机automotiveethernetswitch

汽车以太网交换机是基于IEEE802.3的汽车以太网PHY端口和MAC地址，主要工作于OSI网络参考模

型的第二层（即数据链路层），并完成汽车以太网数据帧转发的车内网络设备。汽车以太网交换机应具

备两个及以上汽车以太网端口。

汽车以太网交换机通常为独立式车内网络设备。

中国汽车工程学会23413.3.中国汽车工程学会2341中国汽车工程学会2341

汽车以太网交换机单元automotiveethernetswitchUnit

汽车以太网交换机单元是含在电子电气系统或组件中的非独立式汽车以太网交换机。汽车以太网

交换机单元可选集成汽车以太网PHY模块。

3.4.

中国汽车工程学会2341汽车以太网交换机设备automotivee中国汽车工程学会2341thernetswitchequipment中国汽车工程学会2341

汽车以太网交换机设备是汽车以太网交换机和汽车以太网交换机单元的统称。

3.5.

授权authorization

根据预先认可的安全策略,赋予主体可实施相应行为权限的过程。

中国汽车工程学会2341[来源：GB/T25069-2022，3.559]中国汽车工程学会2341中国汽车工程学会2341

3.6.

安全审计securityaudit

对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统控制与现行策略

和操作程序保持一致、探测违背安全性的行为，并介绍控制、策略和程序中所显示的任何变化。

[来源：GB/T25069-2022，3.24]

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

3.7.

安全策略securitypolicy

用于治理某一组织及其系统内管理、保护并分发影响安全及有关元素的资产(包括敏感信息)的-组

规则、指导和实践。

[来源：GB/T25069-2022，3.3]

中国汽车工程学会23413.8.中国汽车工程学会2341中国汽车工程学会2341

2

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

拒绝服务denialofservice）

阻止对系统资源的经授权访问或延迟系统的运行和功能，并导致经授权用户可用性受损。

[来源：GB/T25069-2022，3.312]

4.缩略语

中国汽车工程学会2341下列缩略语适用于本文件。中国汽车工程学会2341中国汽车工程学会2341

ARP地址解析协议AddressResolutionProtocol

CAN控制器局域网ControllerAreaNetwork

CPU中央处理器CentralProcessingUnit

DLC诊断链路连接器DiagnosticLinkConnector

DoS拒绝服务DenialofService

ECU电子控制单元ElectronicControlUnit

中国汽车工程学会2341ICMP因特网报文控制协议中国汽车工程学会2341InternetControlMessagesProtocol中国汽车工程学会2341

IP因特网协议InternetProtocol

JTAG联合测试行动组接口JointTestActionGroup

MAC媒介访问控制MediaAccessControl

OAM&P运行、维护、管理和供给Operation,Administration,Management&Provision

OBD-Ⅱ车载诊断系统-ⅡOn-BoardDiagnostic

OSI开放系统架构OpenSystemInterconnection

中国汽车工程学会2341PHY物理层模块中国汽车工程学会2341Physical中国汽车工程学会2341

SPI串行外设接口SerialPeripheralInterface

SSH安全外壳SecureShell

SSHv2SSH版本2SecureShellversion2

TBox车联网终端TelematicsBox

TCP传输控制协议TransmissionControlProtocol

TSN时间敏感网络Time-SensitiveNetworking

UART通用异步收发传输器UniversalAsynchronousReceiver/Transmitter

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

USB通用串行总线UniversalSerialBus

VLAN虚拟局域网VirtualLocalAreaNetwork

5.概述

5.1网络拓扑

中国汽车工程学会2341汽车以太网交换机设备可作为车载网络的骨干节点构成车载高速网络骨干网，也可以放置在车载中国汽车工程学会2341中国汽车工程学会2341

网络的域或区域边缘作为各类车用传感器、电子控制单元ECU等的车载网络接入设备。

典型的网络拓扑见附录A。

5.2信息安全框架

汽车以太网交换机设备的信息安全框架见图1，本文件将基于该信息安全框架进行安全威胁分析，

并针对这些安全威胁提出安全策略，即各安全功能。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

汽车以太网交换机设备主要工作在OSI网络参考模型的第二层（即数据链路层），因此本文件的信

3

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

息安全仅涉及数据链路层及物理层相关安全要求。

汽车以太网交换机设备可以划分为三个逻辑功能平面：

a)数据平面：为用户访问和利用网络而提供的功能，如数据转发等；

b)控制平面：也称为信令平面，主要包括控制转发路径等有关的功能；

c)管理平面：提供OAM&P有关的功能，如诊断。

中国汽车工程学会2341本文件参考GB/T18336.2及YD/T1627中国汽车工程学会2341-2007中定义的相关安全功能、GB/T40861中国汽车工程学会2341-2021及GB/T

40857-2021的相关规定，规定汽车以太网交换机设备在以上三个平面均应具有如下安全功能模块：

a)鉴别和认证功能：确认用户的身份及其真实性；

b)用户数据保护功能；

c)系统安全信息保护功能；

d)资源分配功能：对用户的资源使用进行控制，不允许用户占用过量资源造成拒绝服务；

e)安全审计功能：能够提供日志等审计记录，这些记录可以用来分析安全威胁活动和对策；

f)安全管理功能：对安全功能、数据、参数和安全属性的管理能力；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

g)可信信道功能：通信的信道要求可信，对于传送敏感数据的通信要同传送其他数据的通信隔

离开来；

h)系统访问功能：控制用户会话被安全的建立。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

图1汽车以太网交换机设备信息安全框架

6.数据平面安全

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

6.1安全威胁

对数据平面的安全威胁主要包括但不局限于以下方面：

a)对数据流进行未经授权的流量分析从而获得数据流中的敏感信息；

b)未经授权观察、修改、插入、删除数据流；

c)拒绝服务攻击导致设备转发性能明显下降甚至中断。

6.2安全功能

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

6.2.1鉴别和认证

4

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

需对接入汽车以太网的数据源进行检查和确认，包括源MAC、源端口等，保证数据报文来自经授

权的用户或设备。

6.2.2用户数据保护

可支持IEEE802.1CB功能为车内重要的数据流提供链路冗余保护。

中国汽车工程学会2341可支持IEEE802.1AE或其他加密标准中国汽车工程学会2341为用户数据提供加密保护。中国汽车工程学会2341

6.2.3资源分配

可根据实际情况选择静态配置或采用动态调整的方式实现。

可支持IEEE802.1Qci提供流量控制功能。

6.2.4安全审计

中国汽车工程学会2341应具有对用户流量的日志功能，提供对异常用户流量的安全审计，相关的日志与告警要求参见中国汽车工程学会2341中国汽车工程学会2341

8.2.5节有关规定。

6.2.5安全管理

应能够提供对本章所涉及的安全功能和数据的管理能力，管理方式包括但不限于OBD-Ⅱ连接器（或

称诊断链路连接器DLC）或远程连接等方式。

6.2.6可信信道

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

VLAN能够将传送敏感数据的通信信道同传送其他数据的通信信道进行隔离，从而提供可信信道。

对VLAN功能的要求参见6.2.7.2节。

6.2.7系统访问

6.2.7.1过滤功能

应支持广播风暴抑止功能。

中国汽车工程学会2341应支持对未知组播和未知单播报文的抑止功能。中国汽车工程学会2341中国汽车工程学会2341

可支持IEEE802.1Qci提供流量过滤功能。

6.2.7.2VLAN隔离功能

应支持VLAN实现不同域的用户流量隔离。

VLAN应满足OPENAllianceTC11规范对VLAN的要求。

应抑制具有多个802.1Q客户标签（EtherType0x8100）的流量更改VLAN（VLAN跳变），以抑制

跳频攻击。

中国汽车工程学会2341VLAN中国汽车工程学会2341中国汽车工程学会2341

6.2.7.3MAC地址绑定功能

应支持MAC地址绑定功能，可以对端口、VLAN、MAC地址进行静态绑定。

7.控制平面安全

7.1安全威胁

中国汽车工程学会2341对控制平面的安全威胁主要包括但不局限于以下方面：中国汽车工程学会2341中国汽车工程学会2341

1)对协议流进行探测或者进行流量分析，从而获得转发路径信息；

5

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

2)非法设备进行身份伪装。

7.2安全功能

7.2.1资源分配

如果支持IEEE802.1AS，应保证给IEEE802.1AS的消息提供足够的传输带宽进行传输。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

7.2.2系统安全信息保护

安全数据应要得到妥善的保护。

7.2.3安全审计

对控制平面的信息要提供日志记录功能，特别是对设备的MAC表等重要数据有影响的控制数据，关

于日志可以参见8.2.3节。

中国汽车工程学会23417.2.4安全管理中国汽车工程学会2341中国汽车工程学会2341

涉及的口令长度宜不少于八个字符，并且应由数字、字符或特殊符号组成。可提供检查机制，保证

每个口令至少是由前述的三类符号中的两类组成。可支持历史口令检查，口令最长使用时间设置，提

醒用户定期更改口令。

7.2.5可信信道

汽车以太网交换机设备之间以及汽车以太网交换机设备同其他设备之间的控制信息通信的信道/

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

路径要求可信，对于传送敏感控制信息的通信要同传送其他信息的通信隔离开来。

7.2.6系统访问

7.2.6.1诊断路由保护

保证外部诊断设备和ECU之间的诊断消息路由的安全性。

7.2.6.2CPU保护

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

汽车以太网交换机应支持对CPU的保护功能，包括对到达CPU的流量进行控制，对CPU的运行

状态进行监控。

8.管理平面安全

8.1安全威胁

对管理平面的安全威胁主要包括但不局限于以下方面：

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

a)对数据流进行未经授权的流量分析从而获得设备有关的系统配置信息；

b)未经授权观察、修改、插入、删除管理相关数据流；

c)未经授权地访问管理接口，控制整个设备；

d)利用管理信息流实施拒绝服务攻击；

e)利用协议流实施的拒绝服务攻击，如利用ICMP协议的Smurf攻击，利用面向连接协议的半连

接攻击等。

中国汽车工程学会23418.2安全功能中国汽车工程学会2341中国汽车工程学会2341

8.2.1系统安全信息保护6

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

与管理相关的安全数据应得到妥善的保护。

8.2.2资源分配

要保证管理系统获得足够的运行资源，但是不能因此显著影响控制平面和数据平面的正常工作。

此外，通过管理平面提供的设备补丁下载功能应该得到严格的管理，不应该被用来对设备资源实施恶

意占用。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

8.2.3安全审计

日志应记录配置修改等安全相关事件，告警记录发生的安全违章事件。

审计可对记录的安全事件进行回顾和检查，分析和报告安全信息。

对日志的要求如下：

a)每个安全日志条目应包含事件的主体、发生时间和事件描述等；

b)应可以保存在本地系统的缓存区内，也可以发送到专用的远程日志主机上作进一步处理；

中国汽车工程学会2341c)应定义日志的严重程度级别，并能够根据严重程度级别过滤输出中国汽车工程学会2341。中国汽车工程学会2341

对告警的要求如下：

a)应定义告警的严重程度级别，并根据严重程度级别确定是否以一定的方式（如声光显示）提示

车主；

b)应支持告警输出到车载显示终端；

c)告警应保存在本地或可通过网络远程存储到其他主机。

8.2.4安全管理

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

8.2.4.1口令管理

口令管理的要求应参见7.2.4节。

8.2.5可信信道

应保证管理及配置访问通道的安全性。

可通过如CAN接口、汽车以太网接口、独立的诊断端口（100BASE-TX）、VPN虚拟接口等方式支持专

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

用的管理网络，将管理通信流和其他通信流量隔离。

8.2.6系统访问

8.2.6.1调试接口

调试接口应禁用或采用安全的访问控制。调试接口包括JTAG、USB、UART、SPI等。

8.2.6.2管理及配置

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

应保证通过诊断、软件升级及远程管理进行管理及配置的访问安全性。

8.2.6.3端口镜像功能

应支持报文镜像功能，包括一对一、多对一镜像。

使用该功能，可以将交换机的流量进行拷贝以用于详细的分析，或者从接收接口捕获数据，通过

向另一个接口传输来执行诊断或数据记录（或存储）。

中国汽车工程学会23418.2.6.4SSH访问中国汽车工程学会2341中国汽车工程学会2341

7

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

SSH可在不安全的网络上为远程登录会话和其他网络服务提供安全性，应支持SSHv2。

8.2.6.5软件升级

应满足UNR156对软件升级的安全相关要求。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

8

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

T/CSAExx－20xx

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

附录A汽车以太网交换机设备网络拓扑

（资料性附录）

A.1基于中央网关的域架构网络拓扑

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

图A-1基于中央网关的域架构网络拓扑图

A.2基于区域网关的中央计算架构网络拓扑

中国汽车工程学会2341中国汽车工程学会2341