车载信息交互系统信息安全技术要求及试验方法

车载信息交互系统信息安全技术要求及试验方法

国家标准 GB/T40856一2021 车载信息交互系统信息安全 技术要求及试验方法 Techniealrequirementsandtestmethodsforsybersecurityofon-board inforationinteractivesystem 2021-10-11发布 2022-05-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/T40856一2021 目 次 前言 范围 2 规范性引用文件 3 术语和定义 缩略语 4 技术要求 5.1硬件安全要求 5.2通信协议与接口安全要求 5.3操作系统安全要求 5.4应用软件安全要求 5.5数据安全要求 试验方法 10 6.1硬件安全试验 通信协议与接口安全试验 10 6.2 操作系统安全试验 6.3 12 6.4应用软件安全试验 15 6.5数据安全试验 17 附录A(资料性车载信息交互系统示意图 18
GB/T40856一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别专利的责任 本文件由工业和信息化部提出 本文件由全国汽车标准化技术委员会(SAC/TC114)归口 本文件起草单位:汽车技术研究中心有限公司、北京新能源汽车股份有限公司、华为技术有限 公司、信息通信研究院、第一汽车股份有限公司、英飞凌科技()有限公司、北京奇虎科技有 限公司、国汽(北京)智能网联汽车研究院有限公司、上汽大众汽车有限公司、北京百度网讯科技有限公 司、上海汽车集团股份有限公司技术中心,国家计算机网络应急技术处理协调中心、重庆长安汽车股份 有限公司、东南(福建)汽车工业有限公司,浙江吉利汽车研究院有限公司、北京理工新源信息科技有限 公司、上汽通用五菱汽车股份有限公司 本文件主要起草人:张亚楠、孙航、张兆龙潘凯、国炜、李木犀、陈汉顺、刘建鑫、王建、刘祥祥、 阮昱枫、李显杰、费枭、王晖、汪向阳、金小红、杨成浩、陈奕昆、崔硕
GB/T40856一2021 车载信息交互系统信息安全 技术要求及试验方法 范围 本文件规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术 要求与试验方法 本文件适用于指导整车厂,零部件供应商、软件供应商等企业,开展车载信息交互系统信息安全技 术的设计开发、验证与生产等工作 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注日期的引用文 件,仅该日期对应的版本适用于文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件 GB/T25069信息安全技术术语 GB/T40861汽车信息安全通用技术要求 GM/T0005一2012随机性检测规范 术语和定义 GB/T25069,GB/T40861界定的以及下列术语和定义适用于本文件 3.1 车载信息交互系统on-boardinformationinteractiesstemm 安装在车辆上的通信系统,具备下列至少一项功能: 对外可通过蜂窝网络,短距离通信等通信技术建立连接并进行数据交换等功能,对内可通过汽 车总线与电子电气系统进行信息采集、数据传递与指令下发等功能; b)实现通话,录音、导航和娱乐等相关服务功能 注1:车载信息交互系统通常为远程车载信息交互系统(T-Box)、车载综合信息处理系统(IVI)以及其混合体 注2:典型的车载信息交互系统示意图见附录A中图A.1 3.2 对外通信esxternalcommunication 车载信息交互系统与车辆外部的无线通信 注:包括基于移动窝网络的远程通信、蓝牙、WIAN等短距离通信等 3.3 内部通信internalcommunication 车载信息交互系统与车辆内电子电气系统的通信 注:包括基于CAN、CAN-FDLIN、车载以太网等车辆内部的通信 3.4 用户 user 使用车载信息交互系统资源的对象
GB/T40856一2021 注:包括人、车辆或者第三方应用程序 3.5 用户数据userdata 由用户产生或为用户服务的数据 注:该数据不影响安全功能的运行 3.6 代码签名codesigning 利用数字签名机制,由具备签名权限的实体对全部或部分代码进行签名的机制 3.7 应用软件applicationsoftware 在车载信息交互系统上,为实现支付、,娱乐等功能的一类软件 注:包括在车载信息交互系统中已预装的应用软件和后期可安装的应用软件 3.8 平台服务端platformserver 为车辆提供服务的平台 注包括企业自主运营平台及第三方平台等 3.9 外部终端extermalterminat 车辆外部的终端设备 注包括路侧单元、手机等 3.10 车载公有远程通信协议on-hoarlpuhlieteleommunieationprotcol 适用于车载信息交互系统,并且经国际或国家标准化组织采纳或批准的标准通信协议 注:包括HTTP,FTP等 3.11 车载私有远程通信协议on-boardprivatetelecommunieationprotoeol 除HTTP,FP等通信协议,整车厂或零部件厂与TsP自定义适用于车载信息交互系统的通信 协议 缩略语 下列缩略语适用于本文件 CAN:控制器局域网络(ControlerAreaNetwork CAN-FD;控制器局域网络-灵活数据(ControlAreaNetwork-flexibledata) ECU:电子控制单元(ElectronieControlUnit meyCall E-Call:紧急呼叫(Emergenm FTP:文件传输协议(FileTransferProtocol) textTransferProtocol HTTP;超文本传输协议(Hypert D;标识符Identifier) JTAG联合测试工作组(JointTestActionGroup) LE.低功耗(L.owEnergy LIN;局域互连网络(L.ocalInterconnectNetwork PCB;印制电路板(PrintedCireuitBoard)
GB/T40856一2021 PSK预共享密钥(Pre-SharedKey SP1串行外设接口(SerialPeripheralInterface) SsP安全简易配对(SecureSimplePairing SU:切换用户(SwitchUser) TLs;安全传输层协议Tra ransportlayerSeeurity) TSP;终端服务平台(TelematicsServiceProvider) UART;通用异步收发器(UniversalAsynchronousReceiver/Transnmitter) URL;统一资源定位符(UniformResourceL.oeator USB:通用串行总线(UniversalSerialBus) wLAN;无线局域网(wirelessL.ocalAreaNetworks) wPA:无线局域网安全接人(wLANProtectedAccess 5 技术要求 5.1硬件安全要求 5.1.1车载信息交互系统所使用的芯片应满足以下要求: 按照6.1a)进行测试,调试接口应禁用或设置安全访问控制 a b) 按照6.1b)进行测试,不存在后门或隐蔽接口 按照6.1)进行测试,车载信息交互系统所使用的处理器、存储模块,通信IC等用于处理、存储 5.1.2 和传输个人敏感信息的关键芯片及安全芯片,应减少暴露管脚 5.1.3按照6.1d)进行测试,车载信息交互系统所使用的关键芯片之间应减少暴露的通信线路数量,例 如;使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路 5.1.4按照6.1e)进行测试,电路板及芯片不宜暴露用以标注端口和管脚功能的可读丝印 5.2通信协议与接口安全要求 5.2.1对外通信安全 5.2.1.1通信连接安全 按照6.2.1.1a)进行测试,车载信息交互系统应实现对平台服务端或外部终端的身份认证 当身份 认证成功后,按照6.2.1.1b)进行测试,车载信息交互系统与平台服务端或外部终端才能进行业务数据 的通信交互 5.2.1.2通信传输安全 按照6.2.1.2进行测试,车载信息交互系统与平台服务端或外部终端间传输的数据内容应进行加 密,宜使用国密算法 5.2.1.3通信终止响应安全 车载信息交互系统进行通信时,应满足以下要求 按照6.2.1.3a)进行测试,数据内容校验失败时,应终止该响应操作 aa b)按照6.2.1.3b)进行测试,发生身份鉴权失败时,应终止该响应操作
GB/T40856一2021 5.2.1.4远程通信协议安全 5.2.1.4.1车载公有远程通信协议安全 车载公有远程通信协议,按照6.2.1.4.1进行测试,应采用TLS1.2版本及以上或至少同等安全级 别的安全通信协议 5.2.1.4.2车载私有远程通信协议安全 车载私有远程通信协议应满足以下要求 按照6.2.1.4.2a)进行测试,支持以安全方式进行用于数据加密密钥的更新 a b)按照6.2.1.4.2b)进行测试,其使用的密钥应进行安全传输 5.2.1.5短距离通信协议安全 5.2.1.5.1短距离通信口令应用安全 短距离通信口令应用安全应满足以下要求 a 按照6.2.1.5.1a)进行测试,缺省口令应使用至少包括阿拉伯数字、大小写拉丁字母,长度不少 于8位的强复杂度的口令 注:蓝牙不限定于以上条款要求内 按照6.2.1.5.1b)进行测试,不同车载信息交互系统应使用不同的缺省口令; b 按照6.2.1.5.1c)进行测试,更改口令时,限定用户设置a)要求的口令或向用户提示风险， c 注:蓝牙不限定于以上条款要求内 d 按照6.2.1.5.1d)进行测试,对于人机接口或跨信任网络的不同车载信息交互系统之间接口的 登录认证,应支持口令防暴力破解机制,且按照6.2.1.5.1le)进行测试,口令文件应设置安全访 问控制 5.2.1.5.2车载蓝牙通信协议安全 对具有车载蓝牙通信功能的车载信息交互系统应满足以下要求 按照6.2.1.5.2a)进行测试,车载信息交互系统不应存在后门; aa D)按照6.2.1.5.2b)进行测试,外部设备请求与车载蓝牙配对的方式在经典(Classie)场合应为 cureConnec SSP模式,在LE场合应为低功耗安全连接(LEse ection)模式; 按照6.2.1.5.2c)进行测试,车载信息交互系统应验证配对请求; d 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2d 进行测试,应对外部设备的访问权限进行控制以防止非法接人 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2e) 进行测试,应对相关数据进行加密处理 5.2.1.5.3车载wLAN通信协议安全 对具有wLAN热点功能的车载信息交互系统,按照6.2.1.5.3进行测试,应使用wPA2-PSK或更 高安全级别的加密认证方式 5.2.2内部通信安全 当车载信息交互系统通过CAN,车载以太网等类型总线与车内其他控制器节点进行数据交互时， 按照6.2.2进行测试,应使用安全机制确保车辆控制指令等所传输重要数据的完整性和可用性
GB/T40856一2021 5.2.3通信接口安全 5.2.3.1 总体要求 车载信息交互系统的通信接口应满足以下要求 按照6.2.3.1a)进行测试,不应存在任何后门或隐蔽接口 b)按照6.2.3.1b)进行测试,访问权限等需授权内容不应超出正常业务范围 5.2.3.2车外通信接口安全 5.2.3.2.1按照6.2.3.2a)进行测试,车载信息交互系统应支持路由隔离,隔离执行控制车辆指令、收集 个人敏感信息等功能的核心业务平台的通信,隔离对内通信中非核心业务平台的内部通信以及对外通 信中非核心业务平台的外网通信等 注，非核心业务平台指除核心业务平台之外的业务平台 按照6.2.3.2b)进行测试,车载信息交互系统与能执行控制车辆指令、收集个人敏感信息等 5.2.3.2.2 功能的核心业务平台间通信宜采用专用网络或者虚拟专用网络通信,与公网隔离 5.2.3.3车内通信接口安全 车载信息交互系统应满足以下要求 按照6.2.3.3a)进行测试,对合法指令设置白名单; a b)按照6.2.3.3b)进行测试,对总线控制指令来源进行校验 5.3 操作系统安全要求 5.3.1操作系统安全配置 车载信息交互系统在其操作系统安全配置方面,应满足以下要求 按照6.3.1a)进行测试,禁止最高权限用户直接登录,且限制普通用户提权操作 a b 按照6.3.1b)进行测试,删除或禁用无用账号,并使用至少包括阿拉伯数字,大小写拉丁字母 长度不少于8位的强复杂度口令 按照6.3.1c)进行测试,具备访问控制机制控制用户,进程等主体对文件、数据库等客体进行 访问; 按照6.3.1d)进行测试,禁止不必要的服务,例如;F:TP服务等,按照6.3.1e)进行测试,禁止非 d 授权的远程接人服务 5.3.2安全调用控制能力 5.3.2.1通信类功能受控机制 5.3.2.1.1拨打电话 具有拨打电话功能的车载信息交互系统应满足以下要求 按照6.3.2.1.la)进行测试,在用户明示同意后,调用拨打电话操作才能执行 按照6.32.1.1b进行测试,向用户明示业务内容,且在用户明示同意后,调用拨打电话开通呼 b 叫转移业务操作才能执行 注紧急情况下,ECal等应急功能不限定于以上条款要求内 5.3.2.1.2三方通话 具有三方通话功能的车载信息交互系统,按照6.3.2.1.2进行测试,应在用户明示同意后,调用三方
GB/T40856一202 通话操作才能执行 5.3.2.1.3发送短信 具有发送短信功能的车载信息交互系统,按照6.3.2.1.3进行测试,应在用户明示同意后,调用发送 短信操作才能执行 注;紧急情况下,E:cal等应急功能不限定于以上条款要求范围内 5.3.2.1.4发送彩信 具有发送彩信功能的车载信息交互系统,按照6.3.2.1.4进行测试,应在用户明示同意后,调用发送 彩信操作才能执行 5.3.2.1.5发送邮件 具有发送邮件功能的车载信息交互系统,按照6.3.2.l.5进行测试,应在用户明示同意后,调用发送 邮件操作才能执行 5.3.2.1.6移动通信网络连接 具有交互界面的车载信息交互系统,在移动通信网络连接时,应满足以下要求: 按照6.3.2.1.6a)进行测试应具备允许开启或关闭移动通信网络连接功能 a b) 按照6.3.2.1.6b)进行测试,向用户进行提示,且在用户明示同意后,调用移动通信网络连接功 能的操作才能执行 按照6.3.2.1.6c)进行测试,向用户提供通过配置应用软件调用移动通信网络连接的功能 c d 当移动通信网络处于已连接状态时,按照6.3.2.1.6d)进行测试,应在交互界面上给用户相应 的状态提示; 当正在传送数据时,按照6.3.2.1.6e)进行测试,应在交互界面上给用户相应的状态提示 e fD 上述d)和e)中,按照6.3.2.1.6进行测试,状态提示的方式应不同 注;紧急情况下,E:cal等应急功能不限定于以上条款要求内 5.3.2.1.7 wLAN网络连接 具有交互界面的车载信息交互系统,在WLAN网络连接时,应满足以下要求 a 按照6.3.2.1.7a)进行测试,应具备允许开启或关闭WLAN网络连接功能 b)按照6.3.2.1.7b)进行测试,向用户进行提示,且在用户明示同意后,调用WLAN网络连接功 能的操作才能执行; 当wLAN网络处于已连接状态时,按照6.3.2.1.7e)进行测试,应在交互界面上给用户相应的 状态提示; 当正在传送数据时,按照6.3.2.1.7d小)进行测试,应在交互界面上给用户相应的状态提示; d 上述e)和d)中,按照6.3.2.1.7e)进行测试,状态提示的方式应不同 e 5.3.2.2本地敏感功能受控机制 5.3.2.2.1定位功能 具有交互界面的车载信息交互系统,在调用定位功能时,应满足如下要求 按照6.3.2.2.1a)进行测试,在用户明示同意后,才能执行定位功能; a b 按照6.3.2.2.1b)进行测试,向用户提供后台定位控制功能以配置应用软件是否可调用定位 功能
GB/T40856一2021 上述a)和b)中,按照6.3.2.2.1lc)进行测试,应让用户分别操作 c d 当调用定位功能时,按照6.3.2.2.1d)进行测试,宜在交互界面上给用户相应的状态提示 5.3.2.2.2通话录音功能 具有交互界面的车载信息交互系统,在调用通话录音功能时,按照6.3.2.2.2进行测试,应在用户明 示同意后,才能执行通话录音功能 5.3.2.2.3人机交互功能 具有交互界面的车载信息交互系统,在调用人机交互功能时,按照6.3.2.2.3进行测试,应在用户明 示同意后,才能执行人机交互功能 注:此处人机交互功能是指涉及指纹,语音,图像、视频等个人生物特征信息的交互功能 5.3.2.2.4对用户数据的操作 处理用户数据时,按照6.3.2.2.4进行测试,操作系统应得到相应授权,例如:当应用软件需要调用 对电话本数据、,通话记录、上网记录、短信数据、彩信数据的读或写操作时,操作系统应在应用软件授权 的情况下方可执行 5.3.3操作系统安全启动 车载信息交互系统应满足以下要求 按照6.3.3a)进行测试,操作系统的启动应始于一个无法被修改的信任根 a b)按照6.3.3b)进行测试,应在可信存储区域验证操作系统签名后,才能加载车载端操作系统， 防止加载被篡改的操作系统; 在执行其他的安全启动代码前,按照6.3.3c)进行测试,应验证代码完整性 5.3.4操作系统更新 车载信息交互系统应满足以下要求 按照6.3.4a)进行测试,应具备系统镜像的防回退校验功能; aa b)当更新镜像安装失败时,按照6.3.4b)进行测试,应恢复到更新前的版本或者进人安全状态 注安全状态指不通过车载信息交互系统对整车引人安全威胁的状态 按照6.3.4c),d)进行测试,应具有验证更新镜像完整性和来源可靠的安全机制 5.3.5操作系统隔离 按照6.3.5进行测试,除必要的接口和数据,例如拨打电话等功能和电话本和短信等数据,可共享 外,预置功能平行的多操作系统之间不应进行通信 5.3.6操作系统安全管理 车载信息交互系统应满足以下要求: 针对车机类操作系统,按照6.3.6a)进行测试,应对应用软件运行的实时环境进行监控,对异常 状况,例如;异常网络连接、内存占用突增等状况进行告警， 针对车机类操作系统,按照6.3.6b)进行测试,应支持FTP,HTTP等服务,以及SU登录等操 作的审计功能; 按照6.3.6c)进行测试,应具备重要事件,例如:关键配置变更,非系统的安全启动校验失败等 事件的日志记录功能,并若具有网联功能,按照6.3.6d)进行测试,应能按照策略上传至服
GB/T40856一2021 务器 d 按照6.3.6e)进行测试,应对日志文件进行安全存储; ee 按照6.3.6f)进行测试,应采取访问控制机制,对日志读取写人的权限进行管理; 按照6.3.6g)进行测试,应对开发者调试接口进行管控,禁止非授权访问 按照6.3.6h)进行测试,不应存在由权威漏洞平台6个月前公布且未经处置的高危及以上的 B 安全漏洞; 注:处置包括消除漏洞、制定减缓措施等方式 h)按照6.3.6i)进行测试,宜具备识别、阻断应用软件以高敏感权限,例如;最高权限用户权限、涉 及非业务内控车行为的权限等运行的能力 5.4应用软件安全要求 5.4.1应用软件基础安全 车载信息交互系统上的应用软件基础安全应满足以下要求 按照6.4.1a)进行测试,从安全合规的来源下载和安装软件; a b) 按照6.4.1b)进行测试,不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安 全漏洞 注处置包括消除漏洞,制定减缓措施等方式 按照B.1o)进行测试,不存在非授权收集或泄露个人敏感信息,非授权数据外传等恶意行为 d 按照6.4.ld小)进行测试,不以明文形式存储个人敏感信息 按照6.4.le)进行测试,具备会话安全保护机制,例如;使用随机生成会话ID等机制 按照6.4.1)进行测试,使用至少包括阿拉伯数字、大小写拉丁字母,长度不少于8位的强复杂 度口令或向用户提示风险; 按照6.4.1g)进行测试,符合密码学要求,不直接在代码中写人私钥;按照6.4.1h)进行测试 g 使用已验证、安全的加密算法和参数;按照6.4.1i)进行测试,同一个密钥不复用于不同用途; h) 按照6.4.1j)进行测试,使用到的随机数符合GM/T00052012等随机数相关标准,保证由已 验证、安全的随机数生成器产生 5.4.2应用软件代码安全 车载信息交互系统上的应用软件代码安全应满足以下要求 按照6.4.2a)进行测试,应用软件的开发者在使用第三方组件时应识别其涉及公开漏洞库中已 a 知的漏洞并安装补丁; 对于非托管代码按照6.4.2b)进行测试,应确保内存空间的安全分配,使用和释放 b c 叛照6.A2)进行测试,应用软件安装包应采用代码签名认证机制 按照6.4.2d)进行测试,发布后应禁用调试功能,并删除调试信息 d 在非调试场景或非调试模式下,按照6.4.2e)进行测试,应用软件日志不应包含调试输出; e 按照6.4.2进行测试,宜使用构建工具链提供的代码安全机制,例如:堆栈保护,自动引用计 数等 按照6.4.2g)进行测试,宜使用安全机制.例如:混淆、加壳等,防止被逆向分析 5.4.3应用软件访问控制 车载信息交互系统上的应用软件访问控制应满足以下要求 按照6.4.3a)进行测试,应支持权限管理,按照6.4.3b)进行测试,不同的应用软件基于实现特 定功能分配不同的接口权限;
GB/T40856一2021 b 按照6.4.3c)进行测试,对外部输人的来源,例如;用户界面、URL等来源进行校验 身份校验时,按照6.4.3d)进行测试,应至少进行本地验证 5.4.4应用软件运行安全 车载信息交互系统上的应用软件运行安全应满足以下要求 按照6,4.4a)进行测试,与控制车辆、支付相关等关键应用软件在启动时应执行自检机制 a b 当输人个人敏感信息时,按照6.4.4b)进行测试,应采取安全措施确保个人敏感信息不被其他 应用窃取,并通过使用安全软键盘等防止录屏; 应用软件正常退出时,按照6.4.4e)进行测试,应擦除缓存文件中的个人敏感信息; c d)按照6.4.4d)进行测试,应用软件进程间通信不宜明文传输个人敏感信息; 按照6.4.4e)进行测试,不宜利用进程间通信提供涉及个人敏感信息功能的接口 5.4.5应用软件通信安全 车载信息交互系统上的应用软件通信安全应满足以下要求 对外传输个人敏感信息时,按照6.4.5a)进行测试,应采用数据加密传输方式; 按照6.4.5b)进行测试,实现通信端之间的双向认证后,才能发送个人敏感信息 b c 按照6.4.5c)进行测试,使用已验证、安全的参数设置,按照6.4.5d)进行测试,只允许验证通 过OEM授信CA签发的证书 5.4.6 应用软件日志安全 车载信息交互系统上的应用软件日志安全应满足以下要求 a 按照6.4.6a)进行测试,采取访问控制机制管理日志读取和写人的权限 b 按照6.4.6b)进行测试,对用于记录用户支付历史记录、导航检索历史记录等事件的重要日志 文件进行安全存储; 按照6.4.6c)进行测试,对个人敏感信息进行脱敏或其他防护后,才能写人应用日志 5.5数据安全要求 5.5.1数据采集 车载信息交互系统数据采集应满足以下要求 采集用户数据时,按照6,5.1a)进行测试,应告知用户采集目的和范围,取得授权同意,并提供 a 关闭数据采集的功能; 采集个人敏感信息时,按照6.5.1b)进行测试,应取得用户的明示同意,并确保个人信息主体 b 的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的意愿表示; 采集远程控制、远程诊断等功能场景下所发送的指令数据时,按照6.5.lc)进行测试,应取得用 户授权同意; 按照6.5.1d)进行测试,宜在提供相应服务的同时进行用户数据采集 5.5.2数据存储 车载信息交互系统数据存储应满足以下要求 按照6.5.2a)进行测试,应采用SM2.SM3,SM4、长度不低于2048位的RSA、长度不低于 a 128位的AEs,哈希(Hash)摘要等加密算法存储个人敏感信息,宜采用硬件安全存储方式 b 按照6.5.2b)进行测试,应实现安全重要参数的安全存储和运算,可采用硬件防护方式
GB/T40856一202 存储用户数据时,按照6.5.2)进行测试,应防止非授权访问 c d 按照6.5.2d)进行测试,应采用技术措施处理后再进行存储个人生物识别信息,例如;仅存储 个人生物识别信息的摘要等方式 e 按照6.5.2e)进行测试,未经用户授权不应修改、删除用户数据 f 按照6.5.2)进行测试,应对用户数据采集、传输、存储、销毁等操作进行日志存储 5.5.3数据传输 按照6.5.3进行测试,车载信息交互系统应采取管理措施和技术手段,保护所传输用户数据的保出 性、完整性和可用性 5.5.4数据销毁 车载信息交互系统数据销毁应满足以下要求 按照6.5.4a)进行测试,应具备用户数据销毁的功能,且销毁后数据不能恢复 a b对共享类应用,例如:共享汽车等应用场景,在当前用户退出后,按照6.5.4b)进行测试,应清 空个人敏感信息 6 试验方法 6.1硬件安全试验 按照下列流程进行 a 检查是否存在暴露在PCB板上的JTAG接口,UsB接口,UART接口,sSP接口等湖试接口. 如存在则使用测试工具尝试获取调试权限; b 拆解被测样件设备外壳,取出PCB板,检查CB板硬件是否存在后门或隐蔽接口; 通过采用开盒观察方法,检查关键芯片管脚暴露情况,或审查相应文档,是否有减少暴露管脚 c 的考量 查看PCB布线及设计,检查芯片之间通信线路是否做隐蔽处理,检查敏感数据的通信线路数 d 量或审查相应文档,检查通信线路是否有做隐蔽处理与减少通信线路数量的考量 通过采用开盒观察方法,检查车载信息交互系统的电路板及电路板上的芯片是否存在用以标 注端口和管脚功能的可读丝印 6.2通信协议与接口安全试验 6.2.1对外通信协议安全试验 6.2.1.1 通信连接安全试验 按照下列流程进行 采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车载信息交互系统与平台服务 a) 端或外部终端的通信有无身份认证; 采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟中间人攻击方式,检查车载信 b 息交互系统与平台服务端或外部终端是否无法建立通信连接 6.2.1.2通信传输安全试验 采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车载信息交互系统与平台服务端或 外部终端间传输的数据内容是否经过加密 10
GB/T40856一2021 6.2.1.3通信终止响应安全试验 按照下列流程进行 采用网络数据抓包工具进行数据抓包,解析通信报文数据将其篡改,发送篡改数据,触发数据 a 内容校验失败,检查车载信息交互系统是否终止该响应操作; 采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟伪造签名的报文数据,触发身 b 份鉴权失败,检查车载信息交互系统是否终止该响应操作 6.2.1.4远程通信协议安全试验 6.2.1.4.1车载公有远程通信协议安全试验 采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查是否采用如TLS1.2同等安全级别 或以上要求的安全通信协议 6.2.1.4.2车载私有远程通信协议安全试验 按照下列流程进行 对车载私有远程通信协议方案进行审核,采用网络数据抓包的方法进行数据抓包解析通信报 a 文数据中加密密钥衍生和更新策略,检查是否支持以安全方式进行定期更新; 对车载私有远程通信协议方案进行审核,采用网络数据抓包的方法进行数据抓包,解析通信报 b 文数据中加密密钥传输策略,检查安全传输协议是否以安全的方式传输数据加密密钥 6.2.1.5短距离通信协议安全试验 6.2.1.5.1短距离通信口令应用安全试验 按照下列流程进行 使用暴力破解的方法,检查缺省口令的复杂度; a b 通过对同一产品的多个样品验证缺省口令的方式,检查缺省口令是否具有唯一性; c 设置较低复杂度口令,检查修改过程中是否给出明确的风险提示或不允许设置; 对于人机接口或跨信任网络的不同车载信息交互系统之间接口的登录认证,使用暴力破解的 d 方法,检查是否成功触发防暴力破解机制; 通过尝试篡改口令文件,检查是否设置了访问控制 6.2.1.5.2车载蓝牙通信协议安全试验 按照下列流程进行 模拟遍历连接车载信息交互系统上的蓝牙设备,检查是否不存在后门提供其他车辆服务 a 采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数据,检查针对Classic场合,是否采用ssP b 模式或针对LE场合,是否采用LESecureConneetion模式; 向车载蓝牙设备发出配对请求,检查车载蓝牙设备是否对配对请求进行验证; d 利用未具有访问权限的外部设备,尝试进行控制车辆,检查是否不能成功接人 在利用蓝牙进行非接触控制车辆业务时,采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数 e 据,检查是否对相关数据进行安全加密处理 6.2.1.5.3车载wLAN通信协议安全试验 通过获取wLAN热点安全类型,检查wLAN热点是否采用wPA2-PSK或更高安全级别的加密 认证方式 1
GB/T40856一2021 6.2.2车内通信协议的安全试验 采用车内网络报文抓包、解析及发送数据的方法,检查车载信息交互系统通过CAN或车载以太网 等总线与车内其他控制器节点进行数据交互、传输重要数据时,是否使用安全机制保证传输数据的完整 性及可用性 6.2.3通信接口的安全试验 6.2.3.1总体要求试验 按照下列流程进行 对软硬件接口进行探测、对端口进行扫描,检查是否不存在未公开接口,是否不存在可绕过系 a) 统安全机制对系统或数据进行访问的功能 b)对通信接口进行遍历,检查其访问权限是否满足最小权限原则 6.2.3.2车外通信接口安全试验 按照下列流程进行 a 访问车载信息交互系统中不同区域的数据,检查车载信息交互系统是否支持路由隔离,是否可 以隔离核心业务平台的通信、内部通信、外网通信等 b 使用公网访问车载信息交互系统和核心业务平台,检查车载信息交互系统与核心业务平台的 通信是否采用专用网络或者虚拟专用网络通信,与公网隔离 6.2.3.3车内通信接口安全试验 按照下列流程进行 调用非白名单指令,检查车载信息交互系统是否针对发送和接收到的指令进行白名单过滤 a b)模拟恶意应用,发送控制指令,检查车载信息交互系统是否实现总线控制指令来源的校验 6.3操作系统安全试验 6.3.1操作系统安全配置试验 按照下列流程进行 使用最高权限用户账号登录,并使用普通账号登录后尝试进行提权检查系统是否禁止最高权 a 限用户直接登录,限制普通用户提权操作; b 查看系统中的账号列表,检查是否存在无用账号,或者尝试登录其中的无用账号,验证是否无 法登陆,通过设置弱口令,检查系统是否提示口令安全弱,账号口令至少包括阿拉伯数字,大小 写拉丁字母,并且长度不小于8位; 使用授权身份或授权进程对文件、数据库等进行访问,检查访问是否被允许,使用非授权身份 或非授权进程对文件、数据库等进行访问,检查访问是否无法成功; d 查看正在运行的应用服务,检查是否关闭了不必要的应用服务; e 使用授权身份进行远程接人,检查是否可以成功远程接人,使用非授权身份进行远程接人,检 查是否不能远程接人服务 6.3.2安全调用控制能力试验 6.3.2.1通信类功能受控机制安全试验 6.3.2.1.1拨打电话安全试验 按照下列流程进行 12
GB/T40856一2021 在应用软件内调用拨打电话操作,检查应用软件调用执行拨打电话操作时,是否在用户明示同 a 意的情况下,才能执行拨打操作; b 在应用软件内调用拨打电话开通呼叫转移业务操作,检查应用软件调用执行拨打电话开通呼 叫转移业务时,是否向用户明示业务内容,且在用户明示同意的情况下才能执行操作 6.3.2.1.2三方通话安全试验 在应用软件内调用三方通话操作,检查应用软件调用执行三方通话操作时,是否在用户明示同意的 情况下才能执行三方通话操作 6.3.2.1.3发送短信安全试验 在应用软件内调用发送短信操作,检查应用软件调用执行发送短信操作时,是否在用户明示同意的 情况下才能执行发送短信操作 6.3.2.1.4发送彩信安全试验 在应用软件内调用发送彩信操作,检查应用软件调用执行发送彩信操作时,是否在用户明示同意的 情况下才能执行发送彩信操作 6.3.2.1.5发送邮件安全试验 在应用软件内调用发送邮件操作,检查应用软件调用执行发送邮件操作时,是否在用户明示同意的 情况下才能执行发送邮件操作 6.3.2.1.6移动通信网络连接安全试验 按照下列流程进行 检查车载信息交互系统是否提供了开启或关闭移动通信网络数据连接的功能,开启时检查是 a 否可使用移动通信网络数据连接,关闭时检查是否无法使用移动通信网络数据连接 检查应用软件调用开启通信网络数据连接功能时,是否对用户进行了相应的提示,且是否在用 b 户明示同意后才开启通信网络数据连接功能,当用户未确认时是否没有开启 检查车载信息交互系统是否向用户提供通过配置应用软件调用移动通信网络连接的功能; 检查当移动通信网络的数据连接处于已连接状态时,车载信息交互系统是否在用户界面上有 相应的状态提示; 当移动通信网络正在传送数据时,检查车载信息交互系统是否在用户界面上有相应的状态 提示; 检查d)和e)的两种状态提示是否不同 6.3.2.1.7wLAN网络连接安全试验 按照下列流程进行 a 检查车载信息交互系统是否有开启或关闭的wLAN网络连接功能,开启时检查是否可使用 wLAN网络连接,关闭时检查是否不能使用wLAN网络连接 b 检查应用软件调用开启wLAN网络连接功能时,是否对用户进行相应的提示,且是否在用户 明示同意后才开启wL.AN网络连接,当用户未确认时是否没有开启; 检查当wLAN网络连接处于已连接状态时,车载信息交互系统是否在用户界面上有相应的 状态提示; d 检查当WLAN网络正在传送数据时,车载信息交互系统是否在用户界面上有相应的状态 13
GB/T40856一2021 提示 检查c)和d)的两种状态提示是否不同 6.3.2.2本地敏感功能受控机制试验 6.3.2.2.1 定位功能试验 按照下列流程进行: 检查当应用软件在使用期间调用定位功能时,车载信息交互系统是否要求用户明示同意允许 a 使用定位功能,用户未确认时是否会停止调用定位功能 b 检查车载信息交互系统是否提供了后台定位控制能力,且用户是否可为每个应用软件选择开 启和关闭后台定位功能; 检查a)和b)是否让用户分别操作; d 检查当应用软件调用定位功能时,车载信息交互系统是否在用户界面上有相应的状态提示 6.3.2.2.2通话录音功能试验 检查当应用软件调用通话录音功能时,是否要求用户明示同意,用户未确认时是否不开启通话 录音 6.3.2.2.3人机交互功能试验 检查应用软件调用人机交互功能时,是否要求用户明示同意,用户未确认时是否不开启人机交互 功能 6.3.2.2.4对用户数据的操作试验 使用授权的应用软件对用户数据进行处理,检查是否可以成功执行,使用非授权的应用软件对用户 数据进行处理,检查是否无法成功 6.3.3操作系统安全启动试验 按照下列流程进行: 获取操作系统安全启动信任根存储区域的访问方法和地址,使用软件调试工具写人数据,重复 a 多次检查是否可将数据写人该存储区域; 提取操作系统签名,使用软件调试工具对签名进行篡改,将修改后签名写人到车载终端内的指 b 定可信区域内,检查是否正常工作; 获取操作系统的系统固件等其他安全启动代码,使用软件调试工具对其进行篡改,将修改后的 启动代码写人到车载终端内的指定区域,检查是否正常工作 6.3.4操作系统更新安全试验 按照下列流程进行: 将镜像替换为过期的镜像,检查是否无法成功加载; a b 如通过在更新镜像时人为断电等方法,确认更新镜像安装失败时,系统安装之前的版本是否可 用或是否进人安全状态; 修改更新镜像,检查更新流程是否无法执行; c d 使用非官方授信的更新镜像,检查更新流程是否无法执行 14
GB/T40856一2021 6.3.5操作系统隔离试验 审查设计文档,检查是否采用了操作系统隔离措施,即除拨打电话,电话本和短信等必要的接口和 数据可以共享外,不同操作系统之间不能进行通信 6.3.6操作系统安全管理试验 按照下列流程进行 针对车机类操作系统,引人异常状况,例如;异常网络连接、内存占用突增等,检查是否会对异 aa 常情况进行告警; 针对车机类操作系统,审查文档,检查操作系统是否对重要服务和重要操作具有审计功能 b 打开日志查询界面,检查操作系统是否对重要事件进行了日志记录 c d 审查文档,检查操作系统是否设定了将日志上传至服务器的策略 e 通过尝试覆盖、删除日志存储区域,检查日志的存储是否存在安全防护; 使用授权身份进行日志读取或写人,检查是否可以成功操作,使用非授权身份进行日志读取或 访问,检查是否无法成功; 使用授权身份通过调用调试接口访问内部数据,检查是否可以成功操作,使用非授权身份通过 g 调用调试接口访问内部数据,检查是否无法成功 使用漏洞扫描工具对车载终端进行漏洞检测,检测是否存在权威漏洞平台发布6个月及以上 h 的高危安全漏洞;若存在高危漏洞,则检查该高危漏洞处置方案的技术文件 通过应用软件进行最高权限用户权限运行和业务不包含控车的应用软件进行控车行为操作 检查该操作是否会被阻断 6.4应用软件安全试验 6.4.1应用软件基础安全试验 按照下列流程进行 尝试下载和安装未使用官方签名的应用软件,检查是否不可以正常下载和安装; a 使用漏洞扫描工具对车载终端进行漏洞检测,检测是否存在权威漏洞平台发布6个月及以上 b 的高危安全漏洞;若存在高危漏洞,则检查该高危漏洞处置方案的技术文件; 对应用软件中数据进行分析,检查应用软件对个人敏感信息是否非授权收集或泄露、非授权数 据是否外传等恶意行为; 使用分析、查找方法,检查应用软件是否以明文形式存储个人敏感信息; d 分析会话内容,检验车载信息交互系统是否具备会话安全保护机制,如;使用随机生成的会话 D等 使用暴力破解方法,检查用户口令长度、字符类型等策略,是否满足要求或未使用强复杂度的 口令时,检查是否向用户提示风险; 对代码进行查找和分析,检查是否在代码中不存在私钥 g 对代码进行查找和分析,检查该应用软件是否使用已验证的,安全的加密算法和参数 h 对代码进行查找和分析,检查是否不存在将同一个密钥复用于多种不同用途; j 使用设计文档分析的方法并验证,检查使用到的随机数是否由已验证的,安全的随机数生成器 产生并符合随机数标准 6.4.2应用软件代码安全试验 按照下列流程进行 15
GB/T40856一202 使用代码扫描工具,对应用软件代码进行扫描,检查应用软件构建设置是否满足安全要求,应 a 用软件使用的第三方组件是否识别已知漏洞并安装补丁; b 对于非托管代码,使用代码扫描工具,检查是否可确保内存空间的安全分配、使用和释放 c 分析设计文档,检查应用软件是否采用代码签名机制 d 使用调试分析方法,检查应用软件发布后是否可用调试功能或包含调试信息; 在非调试场景或非调试模式下,使用调试工具进行分析,检查应用软件日志是否包含调试 输出; fD 使用代码扫描工具,检查是否使用构建工具链提供的代码安全机制,例如堆栈保护、自动引用 计数; 使用逆向工具进行分析,检查应用软件是否使用混淆、加壳等安全机制,对抗针对应用的逆向 8 分析 6.4.3应用软件访问控制试验 按照下列流程进行 通过遍历调用所有接口的方式,检查是否授予超出其实际业务需求的权限 a 采用分析设计文档和测试的方法,检查不同的应用软件是否分配不同的接口权限集合 b 通过对应用软件的输人接口进行模糊测试的方式,检查应用软件是否对输人信息的来源,包括 c 用户界面,URL等进行校验 采用分析设计文档的方法,检查身份验证是否至少在本地进行 d 6.4.4应用软件运行安全试验 按照下列流程进行 篡改或替换关键应用软件的部分代码,检查关键应用程序能否正常启动运行 a b) 检验输人个人敏感信息时,检查是否使用安全软键盘或其他安全措施,确保敏感信息不被其他 应用窃取,并防止录屏; 应用软件正常终止时,读取内存数据,检查是否包含个人敏感信息; c d 截取进程间通信内容,进行分析,检查进程间通信是否涉及明文的个人敏感信息 遍历接口,截取各接口通信内容,进行分析,检查应用软件是否利用进程间通信提供敏感功能 e 的接口 6.4.5应用软件通信安全试验 按照下列流程进行: 采用网络数据抓包工具进行数据抓包,解析应用软件对外传输的数据,检查个人敏感信息是否 a 加密; 采用网络数据抓包工具进行数据抓包,解析通信数据,检查通信端是否进行双向认证 b 采用网络数据抓包工具进行数据抓包,解析通信数据,检查是否使用已验证、安全的参数设置; c 采用网络数据抓包工具进行数据抓包,解析通信数据,获取证书,检查证书是否是通过OEM d 授信的CA签发的 6.4.6应用软件日志安全试验 按照下列流程进行: 通过尝试日志读取写人操作,检查是否存在访问控制机制,检查是否对日志读写进行权限 a 管理 16
GB/T40856一2021 b 通过尝试覆盖、删除日志存储区域,检查重要日志是否实现了安全存储 c 分析应用软件存储的日志,检查是否包含未脱敏的个人敏感信息 6.5数据安全试验 6.5.1数据采集安全试验 按照下列流程进行: 检查车端在采集用户数据时,是否通过明确告知采集目的和范围等方式得到用户的授权同意 a 和提供关闭数据采集的功能 b 检查车端在采集个人敏感信息时,是否通过主动点击“同意”等方式得到用户的明示同意; 检查车端在远程控制、远程诊断等功能场景下发送指令数据时,是否通过明确告知等方式得到 用户的授权同意; d 启动一项服务,检查是否在服务启动之后才进行数据采集,终止服务时停止数据采集 6.5.2数据存储安全试验 按照下列流程进行: 通过尝试读取存储包含个人敏感信息的文件,检查个人敏感信息是否使用sM2,SMB,SM4 a 长度不低于2048位的RSA、长度不低于128位的AES,Hash摘要等加密算法进行了加密 存储; 通过查看车载信息交互系统设计文档,检查是否有效实现重要安全参数的安全存储和运算 b c 使用非授权身份访问存储用户数据的文件,检查是否无法访问文件信息; d 检查存储在车载信息交互系统中的个人生物识别信息,是否使用了仅存摘要等技术措施; 通过尝试修改和删除存储的用户数据,检查是否无法成功,用户同意之后,尝试修改和删除存 储的用户数据,检查是否成功; 检查车载信息交互系统是否支持采集、传输、存储、销毁等数据操作日志的存储功能 fD 6.5.3数据传输安全试验 使用篡改、伪造等方法进行模拟攻击,检查对于数据完整性、保密性和可用性的防护措施是否有效 6.5.4数据销毁安全试验 按照下列流程进行 通过更换零部件操作或者应用安装后删除等操作,检查车载信息交互系统是否具备数据销毁 a 的功能;对销毁的数据尝试进行恢复,检查是否能恢复销毁数据， 启动共享应用程序,执行用户退出后再次登录,检查是否可以获取到个人敏感信息 17
GB/T40856一2021 附 录 A 资料性) 车载信息交互系统示意图 车载信息交互系统对外可与基站、钥匙等外部终端或服务平台进行通信,对内可与网关,EcU等车 内电子系统进行通信,其示意图见图A.1 OBD 网关 下Box 基站 APP WLA 钥匙 ECU 蓝牙 V1 TSp 车内网络 车外网络 图A.1车载信息交互系统示意图 18

车载信息交互系统信息安全技术要求及试验方法分析

随着5G技术的迅速普及，车载信息交互系统逐渐成为车辆的标配，如何保障车载信息交互系统的信息安全成为了一个重要问题。为此，车载信息交互系统信息安全技术要求及试验方法GB/T40856-2021应运而生。
该标准主要包含了车载信息交互系统信息安全的基本要求、安全评估方法、试验方法等内容。其中，车载信息交互系统信息安全的基本要求主要包括安全管理、身份认证、访问控制、数据加密、日志记录等方面。这些基本要求是车载信息交互系统信息安全的重要保障，并且在实际应用中发挥着重要作用。
此外，该标准还介绍了车载信息交互系统安全评估方法。这些方法包括风险评估、安全需求分析、威胁建模、安全设计等方面。通过对车载信息交互系统的安全评估，可以有效地发现和解决潜在的安全问题，从而提高车载信息交互系统的安全性能。
最后，该标准还详细介绍了车载信息交互系统的试验方法。这些试验方法包括身份认证试验、访问控制试验、数据加密试验等方面。通过对车载信息交互系统的试验，可以检测其是否符合相关标准，从而保障车载信息交互系统的信息安全。
总之，车载信息交互系统的信息安全问题是一个复杂的系统工程，需要多方面的保障和配合。车载信息交互系统信息安全技术要求及试验方法GB/T40856-2021的发布，为车载信息交互系统的安全性能提升提供了保障，也为相关企业和专业人士提供了重要的参考和指导。

车载信息交互系统信息安全技术要求及试验方法的相关资料

和车载信息交互系统信息安全技术要求及试验方法类似的标准

GB/T40856-2021

车载信息交互系统信息安全技术要求及试验方法

2022/7/10 23:23:21 即将实施