标准规范下载简介

GB／T 40857-2021 汽车网关信息安全技术要求及试验方法.pdf简介：

GB/T 40857-2021《汽车网关信息安全技术要求及试验方法》是中国国家标准，该标准主要针对汽车网关的信息安全特性进行了规定。汽车网关是连接汽车电子系统的关键组件，它负责数据的传输和处理，是车辆网络中的重要节点。

该标准的主要内容包括： 1. 信息安全要求：界定了汽车网关在设计、开发、生产、安装和服务全过程中应满足的信息安全要求，包括数据安全、网络安全、系统安全、物理安全等。 2. 安全功能要求：对汽车网关应具备的基本安全功能进行了规定，如数据加密、身份验证、访问控制、安全更新等。 3. 安全测试方法：详细描述了对汽车网关进行信息安全测试的流程、方法和标准，以确保其符合信息安全标准。

通过遵循这个标准，汽车制造商可以确保其生产出的网关产品具备足够的信息安全防护能力，防止数据泄露、篡改或被恶意攻击，保障车辆的正常运行和乘客的安全。

实施这个标准有助于提升整个汽车行业信息安全水平，促进智能网联汽车的发展。

GB／T 40857-2021 汽车网关信息安全技术要求及试验方法.pdf部分内容预览：

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069 信息安全技术术语 GB/T37935一2019信息安全技术可信计算规范可信软件基 GB/T40861 汽车信息安全通用技术要求

GB/T25069、GB/T37935一2019、GB/T40861界定的以及下列术语和定义适用于本文件。 3.1 汽车网关vehiclegateway 主要功能为安全可靠地在车辆内的多个网络间进行数据转发和传输的电子控制单元， 注1：汽车网关通过不同网络间的隔离和不同通信协议间的转换，可以在各个共享通信数据的功能域之间进行信息 交互。 注2：汽车网关也称中央网关。 3.2 后门backdoor 能够绕过系统认证等安全机制的管控而进入信息系统的通道。 [来源:GB/T40861—2021,3.12 3.3 可信根实体 entity of root oftrust 用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的 功能模块。 注：可信根实体包括TPCM、TCM、TPM等。 『来源.GB/T 37935—2019.3.127

下列缩略语适用于本文件。 ACL 访问控制列表（AccessControlLists） ARP 地址解析协议（AddressResolutionProtocol)

2016版20kV及以下配电网工程概算定额 第三册 架空线路工程5汽车网关网络拓扑结构

基于以太网的车内网络结构中，大多数的ECU、域控制器之间会通过以太网进行通信， 这类结构中的汽车网关主要有以太网接口，可称为以太网网关。 典型的以太网网关拓扑结构见图A.2

典型的混合网关拓扑结构见图A.3 附录B中举例列出了针对汽车网关和车内网络通信的部分典型攻击

6.1硬件信息安全要求

6.1.1按照7.1a)进

6.1.1接照7.1a)进行试验，网关不应存在后门或隐蔽接口 6.1.2按照7.1b)进行试验，网关的调试接口应禁用或设置安全访问控制

6.2通信信息安全要求

CAN网关通信信息安全

6.2.1.1访问控制

GB/T40857202

网关应在各路CAN网络间建立通信矩阵，并建立基于CAN数据顿标识符（CANID)的访问报 略，按照7.2.1a）进行试验后，应在列表指定的目的端口检测接收到源端口发送的数据顿；按 .1b)进行试验后，应对不符合定义的数据顿进行去弃或者记录目志

6.2.1.2拒绝服务攻击检测

网关应对车辆对外通信接口的CAN通道（例如：连接OBDII端口的通道和连接车载信息交互系 统的通道）进行CAN总线DoS攻击检测， 网关应具备基于CAN总线接口负载的DoS攻击检测功能，宜具备基于某个或多个CANID数据 顿周期的DoS攻击检测功能。 按照7.2.1c）、d)进行试验，当网关检测到某一路或多路CAN通道存在DoS攻击时，应满足以下 要求： a）网关未受攻击的CAN通道的通信功能和预先设定的性能不应受影响； b）网关对检测到的攻击数据顿进行丢弃或者记录目志

6.2.1.3数据顿健康检测

网关宜根据通信矩阵中的信 包括DLC字段、信号值有效性 等，按照7.2.1e）、f)进行试验，对不符合通 行丢弃或者记录日志，

6.2.1.4数据异常检测

网关宜具有数据顿异常检测功能，即检查和记录数据顿之间发送与接收关系的机制，按照7.2.1g 进行试验，对检测到异常的数据顿进行丢弃或者记录日志。 示例： 网关检测到一定时间内数据顿的发送频率与预定义的频率差距较大，或相邻时间同一数据顿的信号值内容冲突或 者不正常跳跃时，对数据顿进行丢弃或者记录日志

6.2.1.5UDS会话检测

GB/T 40857—2021

6.2.2以太网网关通信信息安全要求

6.2.2.1网络分域

网关应支持网络分域，按照 7.2.2a)进行试验，对不符合网络分域的数据包进行去弃。 示例：用VLAN分隔车载网络内的不同域

6.2.2.2 访问控制

网关应配置访问控制列表（ACL），访同控制列表中的访问控制要素主要应包括源IP地址、目的IP 地址、协议类型（例如TCP、UDP、ICMP等）、协议源端口、协议目的端口，也可包括物理端口、通信方向 输入或输出）、源MAC地址、目的MAC地址等。 访问控制列表应遵循默认拒绝原则，即丢弃所有不符合条件的数据包。 访问控制列表应遵循最小化授权原则，即只授予必要的权限。 按照7.2.2b）、c)进行试验，对不符合访问控制列表的数据包进行丢弃或者记录日志

6.2.2.3拒绝服务攻击检测

网关应对车辆对外通信的以太网通道进行以太网DoS攻击检测。支持ICMP协议、TCP协议和 UDP协议的网关，检测的DoS攻击类型，应分别至少包括ICMP泛洪攻击、TCP泛洪攻击和UDP泛洪 政击。 按照7.2.2d)进行试验，当网关检测到以太网DoS攻击时，应确保自身正常的功能和预先设定的性 能不受影响，并对检测到的攻击数据包进行丢弃或者记录日志。

6.2.2.4协议状态检测

网关宜具有对部分或全部的TCP/IP会话流进行状态检查的功能。检查项包括TCP握手状态、 长度、包序列和TCP会话关闭状态等，按照7.2.2e)进行试验，对检测到的攻击数据包进行丢弃 录日志。

6.2.3混合网关通信信息安全要求

6.3固件信息安全要求

网关应具备安全启动的功能，可通过可信根实体对安全启动所使用的可信根进行保护。按照7.3 a）、b）、c)进行试验，网关的可信根、Bootloader程序及系统固件不应被篡改，或被篡改后网关无法正常 启动。

GB/T 408572021

的损毁，同时防止未授权的添加、访问、 他ECU内或云端服务器内； d）按照7.3i)进行试验，网关的安全且志中，不应包含任何形式的个人信息

接照7.3j)进行试验，网关不应存在权威漏洞平台6个月前公布且未经处置的高危及以上的 洞。 注：处置包括消除漏洞、制定减缓措施等方式，

6.4数据信息安全要求

7.1硬件信息安全试验

网关硬件信息安全试验按照下列流程及要求依次进行： a）拆解被测样件设备外壳，取出PCB板，检查PCB板硬件是否存在后门或隐蔽接口； b）检查是否有存在暴露在PCB板上的JTAG、USB、UART、SPI等调试接口，如存在则使用 工具尝试获取调试权限

7.2通信信息安全试验

DB37／T 3715-2019标准下载CAN网关通信信息安全证

CAN网关通信信息安全试验按照下列流程及要求依次进行， a）设置6.2.1.1所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送符合策略规定 的数据顿，并在列表指定的目的端口检测接收数据顿。 b 设置6.2.1.1所规定的访同控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送不符合策略规 定的数据顿，在列表指定的目的端口检测接收到的数据顺，并收集样件日志， C 由送样方确认网关连接车辆对外通信接口的CAN通道，检测设备对此通道以大于80%总线 负载率发送符合通信矩阵的泛洪攻击数据顺，在指定的目的端口检测接收到的数据顿，并收集 样件日志。如果有多个此类通道，则依次分别试验， d 由送样方确认网关连接车辆对外通信接口的CAN通道，检测设备对此通道以1ms为周期 发送符合通信矩阵的某个CANID数据顿，在指定的目的端口检测接收到的数据顿，并收集样 件日志。如果有多个此类通道，则依次分别试验。 e 检测设备对网关发送一个或多个DCL字段值不符合通信矩阵定义的数据帧，在指定的目的端 口检测接收到的数据顿，并收集样件日志。 f 检测设备对网关发送一个或多个信号值不符合通信矩阵定义的数据顿，在指定的目的端口检 测接收到的数据顿，并收集样件日志。 g）检测设备对网关连续发送一个或多个周期不符合通信矩阵定义（与定义周期偏差土50%）的周

7.2.2以太网网关通信信息安全试验

以太网网关通信信息安全试验按照下列流程及要求依次进行： a）对被测样件设置不同网络分域（如VLAN1与VLAN2)（若被测样件的网络分域策略无法通 过软件配置修改，则由送样方提供已预置的网络分域策略列表），在选定区域（如VLAN1）发 送符合网络分域策略和访问控制策略的广播数据包，检查不同区域（VLAN2）是否可以收到 数据包； b 设置6.2.2.2所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送符合策略规定 的数据包，在列表指定的目的端口检测接收数据包； c）设置6.2.2.2所规定的访问控制策略（若被测样件的访问控制策略无法通过软件配置修改，则 由送样方提供已预置的访问控制策略列表），检测设备向列表指定的源端口发送不符合策略规 定的数据包，在列表指定的目的端口检测接收数据包，并收集样件日志： d）检测设备对网关发送符合网络分域策略和访同控制策略的泛洪攻击数据包，攻击类型可选择 ICMP泛洪攻击和UDP泛洪攻击，在目的端口检测接收数据包，并收集样件日志； 基于TCP协议，构造多个不符合协议标准的数据包或数据包序列爬架专项施工方案（134页）.pdf，组成试验集，检测设备对网 关发送该试验集，在目的端口检测接收数据包，并收集样件日志

7.2.3混合网关通信信息安全试验

7.3固件信息安全试验