网关应在各路CAN网络间建立通信矩阵，并建立基于CAN数据顿标识符（CANID)的访问报 略，按照7.2.1a）进行试验后，应在列表指定的目的端口检测接收到源端口发送的数据顿；按 .1b)进行试验后，应对不符合定义的数据顿进行去弃或者记录目志

6.2.1.2拒绝服务攻击检测

网关应对车辆对外通信接口的CAN通道（例如：连接OBDII端口的通道和连接车载信息交互系 统的通道）进行CAN总线DoS攻击检测， 网关应具备基于CAN总线接口负载的DoS攻击检测功能，宜具备基于某个或多个CANID数据 顿周期的DoS攻击检测功能。 按照7.2.1c）、d)进行试验，当网关检测到某一路或多路CAN通道存在DoS攻击时，应满足以下 要求： a）网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响； b）网关对检测到的攻击数据顿进行丢弃或者记录目志

6.2.1.3数据顿健康检测

网关宜根据通信矩阵中的信 包括DLC字段、信号值有效性 等化工标准，按照7.2.1e）、f)进行试验，对不符合通 行丢弃或者记录日志，

6.2.1.4数据异常检测

网关宜具有数据顿异常检测功能，即检查和记录数据顿之间发送与接收关系的机制，按照7.2.1g 进行试验，对检测到异常的数据顿进行丢弃或者记录日志。 示例： 网关检测到一定时间内数据顿的发送频率与预定义的频率差距较大，或相邻时间同一数据顿的信号值内容冲突或 者不正常跳跃时，对数据顿进行丢弃或者记录日志

6.2.1.5UDS会话检测

GB/T 40857—2021

6.2.2以太网网关通信信息安全要求

6.2.2.1网络分域

网关应支持网络分域，按照 7.2.2a)进行试验，对不符合网络分域的数据包进行去弃。 示例：用VLAN分隔车载网络内的不同域

6.2.2.2 访问控制

网关应配置访问控制列表（ACL），访同控制列表中的访问控制要素主要应包括源IP地址、目的IP 地址、协议类型（例如TCP、UDP、ICMP等）、协议源端口、协议目的端口，也可包括物理端口、通信方向 输入或输出）、源MAC地址、目的MAC地址等。 访问控制列表应遵循默认拒绝原则，即丢弃所有不符合条件的数据包。 访问控制列表应遵循最小化授权原则，即只授予必要的权限。 按照7.2.2b）、c)进行试验，对不符合访问控制列表的数据包进行丢弃或者记录日志

6.2.2.3拒绝服务攻击检测

网关应对车辆对外通信的以太网通道进行以太网DoS攻击检测。支持ICMP协议、TCP协议和 UDP协议的网关，检测的DoS攻击类型，应分别至少包括ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪 政击。 按照7.2.2d)进行试验，当网关检测到以太网DoS攻击时，应确保自身正常的功能和预先设定的性 能不受影响，并对检测到的攻击数据包进行丢弃或者记录日志。

6.2.2.4协议状态检测

网关宜具有对部分或全部的TCP/IP会话流进行状态检查的功能。检查项包括TCP握手状态、 长度、包序列和TCP会话关闭状态等，按照7.2.2e)进行试验，对检测到的攻击数据包进行丢弃 录日志。

6.2.3混合网关通信信息安全要求

6.3固件信息安全要求

网关应具备安全启动的功能，可通过可信根实体对安全启动所使用的可信根进行保护。按照7.3 a）、b）、c)进行试验，网关的可信根、Bootloader程序及系统固件不应被篡改，或被篡改后网关无法正常 启动。

如网关具有安全日志功能，则满足如下要求： a）按照7.3d)、e）、f)进行试验，当网关探测到不符合6.2要求的通信、网关发生软件配置变更、 关软件完整性校验失败等各类事件时，应对相关信息进行记录； b）按照7.3g)进行试验，网关的安全日志中，应至少包括触发日志的事件发生时间（绝对时间 相对时间）、事件类型和车辆唯一标识码； c）接照7.3h)进行试验，网关应对安全目志进行安全存储，防止非物理破坏攻击情况下日志记

如网关具有安全日志功能，则满足如下要求： a）按照7.3d)、e）、f)进行试验，当网关探测到不符合6.2要求的通信、网关发生软件配置变更、网 关软件完整性校验失败等各类事件时，应对相关信息进行记录； b）按照7.3g)进行试验，网关的安全日志中，应至少包括触发日志的事件发生时间（绝对时间或 相对时间）、事件类型和车辆唯一标识码； 按照7.3h)进行试验，网关应对安全日志进行安全存储，防止非物理破坏攻击情况下日志记录

GB/T 408572021

的损毁，同时防止未授权的添加、访问、 他ECU内或云端服务器内； d）按照7.3i)进行试验，网关的安全且志中，不应包含任何形式的个人信息

接照7.3j)进行试验，网关不应存在权威漏洞平台6个月前公布且未经处置的高危及以上的 洞。 注：处置包括消除漏洞、制定减缓措施等方式，

6.4数据信息安全要求

7.1硬件信息安全试验

网关硬件信息安全试验按照下列流程及要求依次进行： a）拆解被测样件设备外壳，取出PCB板，检查PCB板硬件是否存在后门或隐蔽接口； b）检查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等调试接口，如存在则使用 工具尝试获取调试权限

7.2通信信息安全试验

CAN网关通信信息安全证

CAN网关通信信息安全试验按照下列流程及要求依次进行， a）设置6.2.1.1所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送符合策略规定 的数据顿，并在列表指定的目的端口检测接收数据顿。 b 设置6.2.1.1所规定的访同控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送不符合策略规 定的数据顿，在列表指定的目的端口检测接收到的数据顺，并收集样件日志， C 由送样方确认网关连接车辆对外通信接口的CAN通道，检测设备对此通道以大于80%总线 负载率发送符合通信矩阵的泛洪攻击数据顺，在指定的目的端口检测接收到的数据顿，并收集 样件日志。如果有多个此类通道，则依次分别试验， d 由送样方确认网关连接车辆对外通信接口的CAN通道，检测设备对此通道以1ms为周期 发送符合通信矩阵的某个CANID数据顿，在指定的目的端口检测接收到的数据顿，并收集样 件日志。如果有多个此类通道，则依次分别试验。 e 检测设备对网关发送一个或多个DCL字段值不符合通信矩阵定义的数据帧，在指定的目的端 口检测接收到的数据顿，并收集样件日志。 f 检测设备对网关发送一个或多个信号值不符合通信矩阵定义的数据顿，在指定的目的端口检 测接收到的数据顿，并收集样件日志。 g）检测设备对网关连续发送一个或多个周期不符合通信矩阵定义（与定义周期偏差土50%）的周

7.2.2以太网网关通信信息安全试验

以太网网关通信信息安全试验按照下列流程及要求依次进行： a）对被测样件设置不同网络分域（如VLAN1与VLAN2)（若被测样件的网络分域策略无法通 过软件配置修改，则由送样方提供已预置的网络分域策略列表），在选定区域（如VLAN1）发 送符合网络分域策略和访问控制策略的广播数据包，检查不同区域（VLAN2）是否可以收到 数据包； b 设置6.2.2.2所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送符合策略规定 的数据包，在列表指定的目的端口检测接收数据包； c）设置6.2.2.2所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送不符合策略规 定的数据包，在列表指定的目的端口检测接收数据包，并收集样件日志： d）检测设备对网关发送符合网络分域策略和访同控制策略的泛洪攻击数据包，攻击类型可选择 ICMP泛洪攻击和UDP泛洪攻击，在目的端口检测接收数据包，并收集样件日志； 基于TCP协议，构造多个不符合协议标准的数据包或数据包序列，组成试验集，检测设备对网 关发送该试验集，在目的端口检测接收数据包，并收集样件日志

7.2.3混合网关通信信息安全试验

7.3固件信息安全试验

网关系统信息安全试验按照下列流程及要求依次进行。 a 网关安全启动可信根防篡改试验： 1）获取网关安全启动可信根存储区域的访问方法和地址； 2） 试验人员使用软件调试工具写人数据，重复多次验证是否可将数据写入该存储区域， 网关安全启动Bootloader程序校验试验： 1） 提取网关正常运行的Bootloader程序； 2） 使用软件调试工具修改该Bootloader程序的签名信息； 3） 将修改后的Bootloader程序写入到网关内的指定区域； 4） 监测网关是否正常加载Bootloader及系统固件。 C） 网关安全启动系统固件校验试验： 1 获取网关正常运行的系统固件； 2 使用软件调试工具修改系统固件程序的签名信息； 将破坏后的系统固件写入到网关内的指定区域； 4） 监测网关是否正常工作。 如果被测网关有安全日志记录功能，检查被测样件依次执行7.2所产生的日志。 e 如果被测网关有安全日志记录功能，尝试对被测样件改变信息安全设置（如修改访问控

GB/T 408572021

表），检查产生的日志。 如果被测网关有安全日志记录功能，尝试对被测样件改变系统关键配置（如路由表等），检查产 生的日志。 如果被测网关有安全日志记录功能，检查日志中是否包含触发日志的事件发生时间、事件类型 和车辆唯一标识码。 h） 如果被测网关有安全日志记录功能，通过试验工具尝试访问、修改或删除已记录的安全日志。 如果被测网关有安全日志记录功能，检查日志中是否包含个人信息。 使用漏洞扫描工具对网关进行漏洞检测，检测是否存在权威漏洞平台发布6个月及以上的高 危安全漏洞；若存在高危漏洞，则检查该高危漏洞处置方案的技术文件

7.4数据信息安全试验

GB/T 40857—2021

图A.1～图A.3给出了汽车网关相关拓扑结构的示例

附录A （资料性） 汽车网关拓扑结构示例

图A.1汽车CAN网关拓扑结构示例

图A.2汽车以太网网关拓扑结构示例

图A.3汽车混合网关拓扑结构示例

B.1死亡之Ping(Ping of death)

种通过向计算机发送格式错误或 据包的攻击，也称死亡之ping。例如由

B.2ICMP泛洪攻击

一种简单的拒绝服务攻击，也称作ping泛洪攻击，攻击者用ICMP"回应请求”（ping）数据包淹没被 政击者。

使用UDP协议（一种无会话、无连接的传输层协议）进行的拒绝服务攻击

B.4TCPSYN攻击

一种拒绝服务攻击形式，攻击者向目标系统发送一连串SYN请求，试图消耗足够的服务器资源 统对合法流量无响应

B.5Teardrop攻击

在IP数据包的包头中，其中有一个字段是片位移，该字段指示了该分片数据包在原始未分片数据 包中的起始位置或偏移量。 Teardrop攻击是指利用恶意修改了IP分片偏移值的IP数据包进行攻击，从而使被攻击者无法正 常进行IP数据包重组，甚至导致系统崩溃

这种欺骗攻击是攻击者将欺骗性的地址解析协议（ARP)数据包发送到本地网络上。目的是将攻 击者的MAC地址与另一个主机或网络设备的IP地址相关联，从而导致网络上其他节点将该IP地址 的任何流量发送给攻击者

IP地址欺骗，指攻击者假冒某个合法主机的IP地址发送数据包，从而达到获取被攻击者信任或 攻击者直实IP地址的且的

B.8 ICMP Smurf 攻击

这种攻击方法结合使用了IP欺骗攻击和ICMP泛洪攻击。攻击者伪造ICMP数据包的源地址， 据包目的地址设置为网络的广播地址。如果网络设备没有过滤此流量，则该ICMP数据包将被 网络中的所有计算机，而网络中所有计算机将向被伪造的源地址发送应答请求包，从而淹没这个

GB/T 408572021

伪造源地址的计算机，并可能使整个网络拥塞而降低可用率。此攻击以最初发动这种攻击的恶意程序 "Smurf"来命名

IP地址扫描是一种基本的网络扫描技术，用于确定地址范围内的哪些地址具有活动的计算 典型的地址扫描是向某个地址范围中的每个地址发送ping请求以尝试获得应答

B.10端口扫描(Port scan)

端口扫描，指攻击者尝试与目标主机上的每个端口建立通信会话。如果在某个端口的会话连 ，则说明目标主机在该端口有开放的服务

恶意软件是指在计算机系统中安装执行恶意任务的勒索软件、病毒、蠕虫、特洛伊木马、广告软 谋软件等程序

B.12CAN数据顿泛洪攻击

顿优先级越高。因此，人侵者如果在一个CAN总线上以很高的频率发送一个高优先级的CAN数 ，将很可能会阻塞其他数据顿的发送，从而实现DoS攻击

火力发电厂标准规范范本B.13CANID伪造

B.14CAN数据顿重放攻击

由于CAN总线网络通信是广播通信，人侵者可以很容易按时序捕获某个特定CANID的所有数 据顿，然后在CAN总线网络上重新注人这些数据顿，达到干扰和非法控制某一个或多个ECU的目的

B.15CAN网络扫描

攻击者可以通过结合网络管理数据顿和功能寻址的诊断服务，对每条CAN总线上ECU的数量信 息进行探测，也可以利用通过遍历物理寻址的方式进行探测。这些信息可以被攻击者进一步利用，从而 发现潜在的ECU安全漏洞.更准确地对特定ECU进行攻击

楼梯标准规范范本B.17UDS服务攻击

GB/T 408572021