摘要
在本交付成果中,我们制定了首个版本的汽车以太网网络保护配置文件,该文件涵盖了与控制器局域网(CAN)总线连接的网关。此保护配置文件明确了此类网络面临的威胁、应实现的安全目标,以及正式的安全功能需求(SFRs)。
1. 引言
2015年 7 月发生的一起对吉普(Jeep)汽车的远程攻击事件,有力地证明了安全的重要性,尤其是安全与安全性能之间的相互依存关系。攻击者利用车载信息娱乐系统中的漏洞,不仅获得了对非关键功能的控制权,还掌控了汽车的关键控制功能。随着汽车 connectivity(连接性)的不断增强以及信息技术(IT)在汽车领域应用的日益广泛,安全已成为汽车研发领域越来越受关注的焦点。
理想情况下,原始设备制造商(OEM)与供应商会共同参与安全相关的讨论,而实际上他们也确实在这样做。最近,一项针对网络物理车辆系统的网络安全标准(SAE J3061)已发布。然而,尽管 SAE J3061 标准侧重于将网络安全整合到汽车开发流程中,但在识别和列举威胁及其缓解策略方面存在不足。我们认为,公开讨论这些威胁和缓解策略将大幅降低整体汽车安全风险,并且应将通用准则(CC)用作组织此类讨论的工具。通用准则(CC)具有多方面优势:它提供了一个可根据汽车领域需求进行调整的通用框架;已在多个行业的众多项目中应用,包括安全关键型应用;最后,它还提供了一套全面的安全功能和安全防护方法目录,这些方法旨在确保安全解决方案的完整性和正确性,并具有可扩展的防护级别。事实上,此前已有观点认为通用准则(CC)适用于汽车系统,甚至有人将其与汽车安全完整性等级(ASIL)结合起来考量。本交付成果包含对 ISO 26262 标准与通用准则(CC)的评估内容。
在本交付成果中,我们为确定性以太网(Deterministic Ethernet)制定了一个试验性保护配置文件,该保护配置文件旨在应用于包括汽车领域在内的多个领域。以太网之所以适用于汽车领域,主要有两个原因:首先,IEEE 802.3 100BASE-T1 和 1000BASE-T1 标准提供了经济高效的汽车物理层;其次,IEEE 802.1 音频 / 视频桥接(AVB)和 IEEE 802.1 时间敏感网络(TSN)标准提升了以太网的实时性和稳健性。我们选择以太网,是因为它目前正日益成为下一代车载汽车网络总线,并且对安全解决方案存在迫切需求。因此,本交付成果将阐述如何依据通用准则(CC)制定汽车以太网保护配置文件(PP)。
1.1 汽车领域适用的通用准则
本文件旨在作为一份草案版保护配置文件,以了解通用准则(CC)是否适用于汽车车载网络,并且有可能进一步了解其是否适用于整个汽车信息技术领域。
关于保护配置文件(PP)与安全目标(ST)的区别,通用准则(CC)做出了如下说明:
安全目标(ST)始终描述特定的评估目标(TOE)(例如,MinuteGap v18.5 防火墙),而保护配置文件(PP)则旨在描述某一类评估目标(TOE)(例如,防火墙)。因此,同一保护配置文件(PP)可作为多个不同安全目标(ST)的模板,用于不同的评估工作。
通用准则(CC)规定了以下工作流程 [CC1]:
1. 某个组织若希望采购特定类型的信息技术安全产品,会将其安全需求整理成保护配置文件(PP),随后对该保护配置文件进行评估并发布。
2. 开发者参照该保护配置文件(PP)编写安全目标(ST),声明该安全目标符合该保护配置文件的要求,并对该安全目标进行评估。
之后,开发者开发出评估目标(TOE)(或使用现有评估目标),并依据安全目标(ST)对其进行评估。
通用准则(CC)由三部分组成:
第一部分 “引言与通用模型”,是对通用准则(CC)的总体介绍。该部分定义了信息技术安全评估的一般概念和原则,并提出了评估的通用模型。
第二部分 “安全功能组件”,规定了一套功能组件,这些组件可作为制定评估目标(TOE)功能需求的标准模板。通用准则(CC)第二部分对这些功能组件进行了分类整理,将其划分为不同的族和类。
第三部分 “安全防护组件”,规定了一套防护组件,这些组件可作为制定评估目标(TOE)防护需求的标准模板。通用准则(CC)第三部分对这些防护组件进行了分类整理,同样将其划分为不同的族和类。此外,第三部分还定义了针对保护配置文件(PP)和安全目标(ST)的评估准则,并提出了七个预先定义的防护包,这些防护包被称为评估防护级别(EALs)。
安全目标(ST)需证明以下内容:
1. 安全功能需求(SFRs)符合评估目标(TOE)的安全目标;
2. 评估目标(TOE)的安全目标和运行环境的安全目标能够应对各类威胁;
3. 因此,安全功能需求(SFRs)和运行环境的安全目标能够应对各类威胁。
1.2 通用准则与汽车网络安全工程
汽车行业已经认识到安全是一项新的挑战,并且正在着手解决这些问题。除了前文提及的 SAE J3061 标准外,汽车领域正在制定一项新的网络安全工程标准 ——ISO/SAE 21434《道路车辆 —— 网络安全工程》。与 SAE J3061 标准类似,该标准侧重于安全汽车系统的开发,而非对这些系统的评估或已实现安全性能的防护。与 ISO 26262 标准(该标准基于汽车安全完整性等级(ASIL),提供了详细的测试方法和概念清单)相比,上述两项标准(SAE J3061 和 ISO/SAE 21434)更侧重于工程和管理流程。从目前这些标准的制定进展来看,仍需思考如何对已开发完成的安全性能进行防护和评估,而通用准则(CC)可在这方面发挥作用。
我们基于所需的方法和形式化方法,对通用准则评估防护级别(EAL)与 ISO 26262 标准中的汽车安全完整性等级(ASIL)进行了比较。基于此比较,我们确定了大致的对应关系,如下表所示:
表 1:安全完整性等级与评估防护级别对比(汽车安全完整性等级 A、B、C)
需要说明的是,该研究的重点并非需求覆盖范围,而是相似主题和目标的覆盖情况,目的是确定如何构建一个融合两者的描述体系。此表尚未包含对 ISO/SAE 21434 标准的完整研究内容。我们已发现 ISO 26262 标准与 ISO/SAE 21434 标准条款之间存在重叠。
基于初步调研,我们认为通过应用 ISO 26262 标准和 ISO/SAE 21434 标准,通用准则(CC)的大部分文档要求都能得到满足,额外的文档编制工作量可大幅减少。但由于 ISO/SAE 21434 标准中未提供有关防护方法的指导,因此在应用通用准则(CC)时仍需开展一些额外工作。
2. 保护配置文件介绍
保护配置文件包含评估目标(TOE)概述、安全问题定义、安全目标及安全需求等内容。
2.1 评估目标(TOE)概述
2.1.1 总体介绍
计算机网络深刻影响着我们的现代生活。一方面,互联网、家庭网络和办公网络无处不在,为我们的日常工作和娱乐活动提供支持;另一方面,计算机网络也防护着汽车、飞机、工业自动化系统等复杂机械设备的正常运行。目前,实现这两类计算机网络所采用的技术有所不同,因为它们需要满足不同的需求。第一类网络(互联网、家庭及办公网络)主要追求高通信速度和高效的网络利用率,而第二类网络(汽车、飞机等设备的网络)则侧重于确保数据传输的可靠性,且通常需满足实时性要求。汽车车载网络便属于第二类计算机网络。
图 1 展示了一个受关注的网络示例 —— 汽车网络。在该网络中,传感器和执行器连接到三个交换机,其中交换机 3 同时充当以太网(用双线表示)与控制器局域网(CAN,用单线表示)之间的网关。为简化说明,我们假设交换机 1 和交换机 2 还集成了中央处理器(CPU)或图形处理器(GPU)等处理单元。在实际的汽车网络中,交换机、终端节点、传感器和执行器会部分集成到单个电子控制单元(ECU)中。因此,下图应仅被视为一个简化示例。
图 1:汽车车载网络示例
网络要在防护实时通信的同时实现数据的可靠传输,一种方法是采用时间触发机制。在该机制下,设备(即交换机和包含传感器与执行器的终端节点)会同步其本地时钟,以建立系统范围内的统一同步时间。随后,网络中的通信将按照系统设计阶段定义的通信调度表进行,该调度表会预先配置到各个设备中。
当前汽车网络的发展趋势是采用时间敏感网络(TSN)。时间敏感网络(TSN)是由 IEEE 802.1 工作组下属的时间敏感网络任务组发布或正在开发的一系列标准和项目的统称。时间敏感网络(TSN)标准规定了通过 IEEE 802 网络提供确定性服务的机制,例如保证数据包传输的延迟上限、低数据包延迟变化率以及低数据包丢失率。
IEEE 802.1Qbv 标准定义了基于调度的时间触发(TT)通信,即利用同步时间来决定网络中消息的传输和转发时机。时间触发(TT)通信的核心原理较为简单:系统设计人员生成一份通信调度表,明确终端节点向网络发送数据帧的时间。该通信调度表(或其部分内容)会作为设备配置的一部分分发给终端节点和网桥,终端节点(网桥也可能)中的调度功能将按照该通信调度表执行通信操作。
作为 IEEE 802.1 标准特有的关键概念,Qbv 并非直接对数据帧传输进行调度,而是对队列的激活和停用进行调度。这里所说的队列,既包括前文提到的网桥中的流量类别队列,也包括终端节点中的传输队列。
2.1.2 评估目标(TOE)的定义
评估目标(TOE)由以太网交换机、控制器局域网(CAN)网关以及连接交换机的线束,还有连接用户与评估目标(TOE)的线束组成。
以太网交换机(包括控制器局域网(CAN)网关)从运行环境接收消息,这些消息要么被交换机自身处理(例如用于更新内部配置),要么被转发到其他交换机或连接在交换机上的终端节点。
我们以确定性以太网(DE)交换机为例进行说明,该交换机旨在支持车载网络架构中确定性以太网的应用开发与评估,可兼容多种通信标准,包括音频 / 视频桥接(AVB)、时间敏感网络(TSN)、时间触发以太网,同时采用 BroadR-Reach® 物理层技术。
该确定性以太网(DE)交换机还配备了控制器局域网(CAN)、FlexRay™等标准接口,因此可作为采用这些接口的网络与以太网之间的网关。图 3 展示了该交换机的架构。该交换机包含管理中央处理器(AURIX),负责实现系统的所有控制和监控功能。此外,该中央处理器还负责加载和存储以太网交换机的配置信息。
图2:TOE
图 3:确定性以太网交换机
该设备(指确定性以太网交换机)负责正确设置外围设备,包括交换机和物理层的配置、数字与模拟输入 / 输出(I/O)接口以及通信接口的控制。
以太网交换机还能够生成消息并发送给其他交换机或运行环境。它们可以通过类别标识符和 / 或流标识符来区分不同的消息。其中,部分消息被评估目标(TOE)认定为关键消息,在传输延迟方面会获得优先处理。在本保护配置文件中,这类关键消息被称为实时消息,所有实时消息都拥有评估目标(TOE)已知的流标识符。非实时消息则被称为尽力而为消息,这类消息同样具有流标识符,但评估目标(TOE)不一定知晓这些标识符。对于未在实时消息流标识符列表中登记的以太网消息,评估目标(TOE)会将其归类为尽力而为消息。
交换机仅根据以太网消息的流标识符进行转发操作。所有以太网消息的传输路径都是固定的,只有通过显式修改交换机配置才能改变这些路径。
以太网交换机设有物理端口,用于接收消息。交换机可利用端口信息(即消息所接入的物理端口标识符)来决定是否转发该消息。具体而言,交换机可能会在某个端口接收带有特定流标识符的消息,但也可通过配置,使其在另一个端口接收到相同消息时将其丢弃。
用户是指通过以太网线路连接到评估目标(TOE)的组件。每个用户在与评估目标(TOE)通信时,可使用一个或多个流标识符来标识其发送的以太网消息。因此,流标识符可作为安全功能需求(SFRs)中的安全属性。用户是使用评估目标(TOE)服务的主体。
本保护配置文件主要关注评估目标(TOE)的以下对象:
· 交换机中用于存储以太网消息的缓冲区
· 评估目标(TOE)内交换机之间以太网线路的通信带宽
· 时间触发消息通信所需的时间片
· 交换机配置数据
以太网数据帧的有效载荷被视为用户数据,而以太网头部则被视为 TSF(TOE 安全功能)数据。
评估目标(TOE)中的每个交换机都存储着控制其服务执行方式的配置数据。用户可通过尽力而为以太网消息向交换机提供新的配置数据,从而修改这些配置信息。
需要注意的是,控制器局域网(CAN)采用广播协议,因此每个节点都会 “接收” 消息,但只有符合预设定义的接收方才能接受该消息。
2.1.3 运行环境的定义
评估目标(TOE)完全部署在汽车内部,且汽车可在全球范围内使用。
用户分为以下三种角色:
1. 普通用户:在车辆正常运行过程中使用评估目标(TOE)的用户。例如,摄像头、踏板、车身电子设备、传感器、执行器等都可视为普通用户。普通用户的功能通常通过电子控制单元(ECU)实现。
2. 维护用户:具有管理权限的用户。他们通过以太网线路直接连接到评估目标(TOE)。例如,维护用户可通过车载诊断(OBD)接口连接到评估目标(TOE)。
3. 远程用户:所有不直接连接到评估目标(TOE),而是通过无线连接方式接入的用户。
在本保护配置文件中,评估目标(TOE)的配置操作仅允许由维护用户执行,即需通过汽车上的特定端口进行配置,且要求操作人员在汽车现场进行物理连接。
若需由远程用户对评估目标(TOE)进行配置,则需为无线 - 有线网关(可能还包括防火墙)单独制定一份保护配置文件。这样,该无线 - 有线网关便可依据本保护配置文件的要求,以维护用户的身份对评估目标(TOE)进行配置。
3. 网络安全问题定义
本节旨在结合保护配置文件的相关背景,对网络安全问题进行定义。
3.1 威胁
我们主要应对以下几类安全威胁:
· T_INSERT_DELAY(插入延迟威胁):威胁源向以太网网络中注入消息,导致实时消息的延迟时间超过一个最大尺寸以太网数据帧的传输时长。
· T_MASQUERADING(伪装威胁):威胁源向以太网网络中注入伪装成其他实时消息的实时消息。
· T_INTERCEPTION(拦截威胁):威胁源对评估目标(TOE)进行篡改,使其接收本不应接收的实时消息。
· T_DEGRADE_SYNCHRONIZATION(同步降级威胁):威胁源通过评估目标(TOE)的用户接口发送消息,导致系统范围内的同步时间精度偏差超过 x%。
· T_CHANGE_CONFIG(配置篡改威胁):威胁源修改以太网交换机的配置。
· T_SWITCH_FAILURE(交换机失效威胁):交换机出现故障。
· T_LINK_FAILURE(链路失效威胁):评估目标(TOE)中的某条链路不可用。
· UNAUTHORIZED_ALTERATION_OF_SWITCH_MANAGEMENT_SOFTWARE(交换机管理软件未授权篡改威胁):威胁源篡改评估目标(TOE)的管理软件。
· T_REPLAY_ATTACK(重放攻击威胁):威胁源记录协议数据包,并在后续无修改地重新发送这些数据包。
· T_CAN_FRAME_FABRICATION(控制器局域网帧伪造威胁):威胁源生成额外数据(例如,发送节点伪造一个其未被授权发送的标识符(ID)对应的新数据帧)。
· T_CAN_FLOODING(控制器局域网泛洪威胁):威胁源向控制器局域网(CAN)总线发送大量伪造消息,造成总线拥堵。
3.2 组织网络安全策略
· ORG_PRIVILEDGED_PORT(特权端口策略):评估目标(TOE)的用户不得直接连接到交换机上接受重新配置请求的特权端口。
指导说明:评估目标(TOE)的重新配置操作流程要求授权工程师通过有线以太网连接方式与评估目标(TOE)进行物理连接。需注意的是,对特权端口连接的这一限制仅适用于边缘交换机;对于不直接连接用户的交换机,其端口无需配置为特权模式。
· ORG_STRICTLY_INTERNAL_SYNC(严格内部同步策略):评估目标(TOE)的配置应确保其内部同步时间不依赖于用户接口提供的信息。
· ORG_PORT_BASE_ACCESS_ONLY(仅基于端口访问策略):用户只能通过连接到边缘交换机的以太网链路与评估目标(TOE)进行交互。
4. 网络安全目标(应对措施)
网络安全目标包括评估目标(TOE)的网络安全目标、运行环境的网络安全目标,以及安全目标依据和扩展组件定义。
4.1 评估目标(TOE)的网络安全目标
O_MSG_WHITELISTING(消息白名单目标):评估目标(TOE)应确保以太网网络中仅传输白名单内的实时消息。
关联威胁:T_INSERT_DELAY(插入延迟威胁)、T_MASQUERADING(伪装威胁)、T_DEGRADE_SYNCHRONIZATION(同步降级威胁)
关联安全功能需求(SFRs):FIA_AFL.1.1、FIA_AFL.1.2、FIA_UID.1.1、FIA_UAU.1.1、FIA_UAU.5.2、FIA_UAU.6.1、FIA_UAU.7.1
O_MSG_RATE_CONTROL(消息速率控制目标):评估目标(TOE)应确保白名单内的实时消息传输速率不超过配置的最大速率。
关联威胁:T_INSERT_DELAY(插入延迟威胁)
关联安全功能需求(SFRs):FRU_RSA.1.1、FRU_RSA.2.2
O_MSG_BOUND_URT_TRAFFIC(非同步实时流量限制目标):评估目标(TOE)的配置应确保非同步实时流量的总量得到充分限制,且满足非同步实时流量各自的端到端延迟要求。
关联威胁:T_INSERT_DELAY(插入延迟威胁)
关联安全功能需求(SFRs):FRU_RSA.1.1、FRU_RSA.2.2
O_BOUND_BEST_EFFORT_INTERFERENCE(尽力而为消息干扰限制目标):评估目标(TOE)应确保实时消息被非实时消息(尽力而为消息)延迟的时长不超过一个最大尺寸以太网数据帧的传输时长。
关联威胁:T_INSERT_DELAY(插入延迟威胁)
关联安全功能需求(SFRs):FRU_PRS.1.1、FRU_PRS.1.2
O_STATIC_CONFIGURED_IO(静态配置输入 / 输出目标):评估目标(TOE)应对所有实时消息的通信路径进行静态配置。
关联威胁:T_INTERCEPTION(拦截威胁)
关联安全功能需求(SFRs):FRU_RSA.1.1
O_BLOCK_SYNC_MSGS(同步消息阻断目标):评估目标(TOE)不应接受任何用户发送的同步消息。
关联威胁:T_DEGRADE_SYNCHRONIZATION(同步降级威胁)
关联安全功能需求(SFRs):FIA_UAU.5.2
O_PRIVILEDGED_PORT_PROTECTION(特权端口保护目标):评估目标(TOE)仅应在特权端口上接受重新配置请求。
关联威胁:T_INTERCEPTION(拦截威胁)、T_CHANGE_CONFIG(配置篡改威胁)
关联安全功能需求(SFRs):FIA_UAU.5.2
O_REDUNDANT_CONNECTIVITY(冗余连接目标):对于关键实时消息,评估目标(TOE)应在用户之间提供冗余通信路径。
关联威胁:T_SWITCH_FAILURE、T_LINK_FAILURE
关联安全功能需求(SFRs):FRU_FLT.1.1
4.2 网络安全目标依据
本节将说明:若所有网络安全目标均得以实现,则网络安全问题可得到解决。
5. 网络安全功能需求
5.1 FIA 类:标识与认证
5.1.1 认证失败(FIA_AFL)
FIA_AFL.1 认证失败处理
层级关系:无上级组件。
依赖关系:FIA_UAU.1 认证时序
FIA_AFL.1.1:当与 [赋值:认证事件列表] 相关的未成功认证尝试次数达到 [选择:[赋值:正整数]、[赋值:可接受数值范围内的管理员可配置正整数]] 时,TOE 安全功能(TSF)应能检测到该情况。
FIA_AFL.1.2:当未成功认证尝试次数达到或超过规定次数时,TOE 安全功能(TSF)应执行 [赋值:操作列表]。
FIA_AFL.1.1(补充说明):当与 [赋值:认证事件列表] 相关的未成功认证尝试次数达到 [赋值:可接受数值范围内的管理员可配置正整数] 时,TOE 安全功能(TSF)应能检测到该情况。
FIA_AFL.1.2(补充说明):当未成功认证尝试次数达到规定次数时,TOE 安全功能(TSF)应执行以下操作:
1. 停止从导致未成功认证尝试的用户所连接的物理端口接收实时消息;
2. 记录错误消息。
5.1.2 用户标识(FIA_UID)
FIA_UID.1 标识时序
层级关系:无上级组件。
依赖关系:无依赖关系。
FIA_UID.1 标识时序
层级关系:无上级组件。
依赖关系:无依赖关系。
FIA_UID.1.1:在用户完成标识前,TOE 安全功能(TSF)应允许代表用户执行 [赋值:TSF 介导的操作列表]。
FIA_UID.1.2:在允许代表用户执行任何其他 TSF 介导的操作前,TOE 安全功能(TSF)应要求每个用户先成功完成标识。
FIA_UID.1.1(补充说明):在用户完成标识前,TOE 安全功能(TSF)应允许代表用户执行以下操作:接收尽力而为流量。
指导说明:评估目标(TOE)的用户可向其发送任意尽力而为流量。TOE 可根据交换机当前的缓冲区饱和情况,自主决定转发或丢弃这些用于通信的尽力而为流量。
5.1.3 用户认证(FIA_UAU)
FIA_UAU.1 认证时序
层级关系:无上级组件。
依赖关系:FIA_UID.1 标识时序
FIA_UAU.1.1:在用户完成认证前,TOE 安全功能(TSF)应允许代表用户执行 [赋值:TSF 介导的操作列表]。
FIA_UAU.1.2:在允许代表用户执行任何其他 TSF 介导的操作前,TOE 安全功能(TSF)应要求每个用户先成功完成认证。
FIA_UAU.1.1(补充说明):在用户完成认证前,TOE 安全功能(TSF)应允许代表用户执行以下操作:接收尽力而为流量。
指导说明:评估目标(TOE)的用户可向其发送任意尽力而为流量。TOE 可根据交换机当前的缓冲区饱和情况,自主决定转发或丢弃这些用于通信的尽力而为流量。
FIA_UAU.5 多重认证机制
层级关系:无上级组件。
依赖关系:无依赖关系。
FIA_UAU.5.1:TOE 安全功能(TSF)应提供 [赋值:多重认证机制列表],以支持用户认证。
FIA_UAU.5.2:TOE 安全功能(TSF)应依据 [赋值:描述多重认证机制如何实现认证的规则],对用户声称的身份进行认证。
FIA_UAU.5.2(补充说明):TOE 安全功能(TSF)应依据以下规则,对用户声称的身份进行认证:
· 对于实时消息,以太网媒体访问控制(MAC)目的地址需为特定值,该值存储于交换机配置中;
· 对于实时消息,虚拟局域网(VLAN)标识需为允许值集合中的特定值,该允许值集合存储于交换机配置中;
· 对于实时消息,虚拟局域网(VLAN)标签中的优先级代码点(Priority Code Point)需为允许值集合中的特定值,该允许值集合存储于交换机配置中;
· 对于实时消息,交换机接收消息的物理端口需与交换机预期接收该消息的物理端口一致;
· 不对任何同步消息进行认证;
· 仅在特权端口接受重新配置消息。
FIA_UAU.6 重新认证
层级关系:无上级组件。
依赖关系:无依赖关系。
FIA_UAU.6.1:在 [赋值:需要重新认证的条件列表] 下,TOE 安全功能(TSF)应对用户进行重新认证。
FIA_UAU.6.1(补充说明):在以下条件下,TOE 安全功能(TSF)应对用户进行重新认证:接收到新的实时消息时。
FIA_UAU.7 受保护的认证反馈
层级关系:无上级组件。
依赖关系:FIA_UAU.1 认证时序
FIA_UAU.7.1:在认证过程中,TOE 安全功能(TSF)仅应向用户提供 [赋值:反馈列表]。
FIA_UAU.7.1(补充说明):在认证过程中,TOE 安全功能(TSF)仅应向用户提供以下反馈:消息正被接受的反馈。
指导说明:不应向用户提供任何错误消息。这一要求同样适用于以下情况:当未成功认证请求次数超过特定阈值时,TOE 不得在物理层终止通信。
5.2 FRU 类:资源利用
5.2.1 服务优先级(FRU_PRS)
FRU_PRS.1 有限服务优先级
层级关系:无上级组件。
依赖关系:无依赖关系。
FRU_PRS.1.1:TOE 安全功能(TSF)应向 TSF 中的每个主体分配优先级。
FRU_PRS.1.2:TOE 安全功能(TSF)应确保对 [赋值:受控资源] 的每次访问,均基于为主体分配的优先级进行介导。
FRU_PRS.1.1(补充说明):TOE 安全功能(TSF)应向 TSF 中的每个主体分配优先级。
指导说明:每条消息流均被视为一个主体。
FRU_PRS.1.2(补充说明):TOE 安全功能(TSF)应确保对以下受控资源的每次访问,均基于为主体分配的优先级进行介导:
· TOE 交换机内存;
· TOE 中任意两个交换机之间、交换机与用户之间的通信带宽。
指导说明:实时消息的优先级始终高于尽力而为消息。
5.2.2 资源分配(FRU_RSA)
FRU_RSA.1 最大配额
层级关系:无上级组件。
依赖关系:无依赖关系。
FRU_RSA.1.1:TOE 安全功能(TSF)应针对以下资源实施最大配额限制:[赋值:受控资源],[选择:单个用户、特定用户组、主体] 可 [选择:同时、在指定时间段内] 使用这些资源。
FRU_RSA.1.1(补充说明):TOE 安全功能(TSF)应针对以下资源实施最大配额限制,实时消息可在指定时间段内使用这些资源:
· TOE 交换机内存;
· TOE 中任意两个交换机之间、交换机与用户之间的通信带宽;
· 时间触发通信中的时间片。
FRU_RSA.2 最小与最大配额
层级关系:隶属于 FRU_RSA.1 最大配额。
依赖关系:无依赖关系。
FRU_RSA.2.1:TOE 安全功能(TSF)应针对以下资源实施最大配额限制:[赋值:受控资源],[选择:单个用户、特定用户组、主体] 可 [选择:同时、在指定时间段内] 使用这些资源。
FRU_RSA.2.2:TOE 安全功能(TSF)应确保为 [选择:单个用户、特定用户组、主体] 提供 [赋值:受控资源] 中每种资源的最小可用量,供其 [选择:同时、在指定时间段内] 使用。
FRU_RSA.2.2(补充说明):TOE 安全功能(TSF)应确保为实时消息提供以下每种资源的最小可用量,供其在指定时间段内使用:
· TOE 交换机内存;
· TOE 中任意两个交换机之间、交换机与用户之间的通信带宽;
· 时间触发通信中的时间片。
FRU_FLT.1 降级容错
层级关系:无上级组件。
依赖关系:FPT_FLS.1失效状态下的安全状态保持
FRU_FLT.1.1:当发生以下失效时,TOE 安全功能(TSF)应确保 [赋值:TOE 功能列表] 能够正常运行:[赋值:失效类型列表]。
FRU_FLT.1.1(补充说明):当发生以下失效时,TOE 安全功能(TSF)应确保 TOE 能够按时传输关键实时消息的功能正常运行:
· TOE 中的一个交换机发生失效;
· TOE 中的一条链路发生失效。
6. 网络安全防护需求
实施本保护配置文件的供应商应根据具体情况,确定适用的评估防护级别(EAL)。评估防护级别通常取决于使用评估目标(TOE)的应用程序的安全关键性,以及 TOE 低可用性可能带来的经济影响
7. 网络安全需求依据
若所有安全功能需求(SFRs)均得到满足,则评估目标(TOE)的所有安全目标均可实现。
8. 总结与结论
在本交付成果中,我们制定了首个版本的汽车以太网网络保护配置文件,该文件涵盖了与控制器局域网(CAN)总线连接的网关。此保护配置文件明确了此类网络面临的威胁、应实现的安全目标,以及正式的安全功能需求(SFRs)。此外,我们还建立了威胁、目标与需求之间的可追溯关系。
本文由豆包软件翻译,如有不当之处请参照原文
下载请扫二维码:
