電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法發(fā)布目次前言 Ⅰ1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25信息安全要求 2 5．4車載終端與平臺(tái)通信安全要求 5 6試驗(yàn)方法 5 6．2車載終端信息安全試驗(yàn)樣件要求 5車載終端信息安全試驗(yàn)環(huán)境 5 6．6車載終端與平臺(tái)通信安全試驗(yàn) 10前言起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國(guó)工業(yè)和信息化部提出。本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC／TC114)歸口。本文件起草單位：東軟集團(tuán)股份有限公司、中國(guó)汽車技術(shù)研究中心有限公司、北京理工新源信息科技有限公司、戴姆勒大中華區(qū)投資有限公司、北京奇虎科技有限公司、北京汽車研究總院有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、大眾汽車(中國(guó))投資有限公司、福特汽車(中國(guó))有限公司、中國(guó)第一汽車股份有限公司、華為技術(shù)有限公司、東風(fēng)汽車集團(tuán)股份有限公司技術(shù)中心、中國(guó)信息通信研究院、上汽通用五菱汽車股份有限公司。Ⅰ電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法本文件規(guī)定了電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)的信息安全要求及試驗(yàn)方法。本文件適用于純電動(dòng)汽車、插電式混合動(dòng)力電動(dòng)汽車和燃料電池電動(dòng)汽車的車載終端、車輛企業(yè)平臺(tái)和公共平臺(tái)之間的數(shù)據(jù)通信。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GBT術(shù)語(yǔ)TGBT協(xié)議及數(shù)據(jù)格式3術(shù)語(yǔ)和定義文件。電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)對(duì)電動(dòng)汽車信息進(jìn)行采集、處理和管理，并為聯(lián)網(wǎng)用戶提供信息服務(wù)的系統(tǒng)。由公共平臺(tái)、企業(yè)平臺(tái)和車載終端組成。 國(guó)家、地方政府或其指定機(jī)構(gòu)建立的、對(duì)管轄范圍內(nèi)電動(dòng)汽車進(jìn)行數(shù)據(jù)采集和統(tǒng)一管理的平臺(tái)。 整車企業(yè)自建或委托第三方技術(shù)單位，對(duì)服務(wù)范圍內(nèi)的電動(dòng)汽車和用戶進(jìn)行管理，并提供安全運(yùn)營(yíng)服務(wù)與管理的平臺(tái)。 安裝在汽車上，采集及保存整車及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺(tái)的裝置或系統(tǒng)。 1平臺(tái)間進(jìn)行數(shù)據(jù)交互時(shí)，作為車輛數(shù)據(jù)發(fā)送方的遠(yuǎn)程服務(wù)與管理平臺(tái)。 平臺(tái)間進(jìn)行數(shù)據(jù)交互時(shí)，作為車輛數(shù)據(jù)接收方的遠(yuǎn)程服務(wù)與管理平臺(tái)。 基于可信根對(duì)設(shè)備的目標(biāo)程序進(jìn)行完整性驗(yàn)證。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AES：高級(jí)加密標(biāo)準(zhǔn)(AIP：網(wǎng)際互連協(xié)議(ISSL：安全套接層協(xié)議(STCP：傳輸控制協(xié)議(TTLS：安全傳輸層協(xié)議(TUART：通用異步收發(fā)器(UUSB：通用串行總線(UUTC：世界協(xié)調(diào)時(shí)間(U5信息安全要求電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)見圖1。圖1電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)圖2若車載終端和其他信息交互系統(tǒng)存在共用硬件的情況，則整個(gè)設(shè)備軟硬件也應(yīng)滿足本文件的要求。車載終端的硬件安全要求如下：a)不應(yīng)存在后門或隱蔽接口；b)調(diào)試接口應(yīng)禁用或設(shè)置安全訪問(wèn)控制。車載終端應(yīng)具備安全啟動(dòng)的功能，可通過(guò)可信根實(shí)體對(duì)安全啟動(dòng)所使用的可信根進(jìn)行保護(hù)。車載終端軟件系統(tǒng)要求如下：a)應(yīng)具備判定和授予應(yīng)用程序?qū)ο到y(tǒng)資源的訪問(wèn)和操作權(quán)限的能力；b)宜進(jìn)行可信驗(yàn)證。車載終端數(shù)據(jù)存儲(chǔ)要求如下：a)應(yīng)保證按照GB／T32960．3—2016要求所存儲(chǔ)的遠(yuǎn)程服務(wù)與管理數(shù)據(jù)的保密性和完整性，宜b)車載終端的安全重要參數(shù)在存儲(chǔ)以及使用過(guò)程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修改。車載終端網(wǎng)絡(luò)端口傳輸安全要求如下：a)應(yīng)通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議進(jìn)行檢查決定允許或拒絕數(shù)據(jù)包進(jìn)出；b)應(yīng)具備根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流判定允許或拒絕訪問(wèn)的能力；c)應(yīng)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對(duì)進(jìn)出網(wǎng)絡(luò)端口的數(shù)據(jù)流實(shí)現(xiàn)訪問(wèn)控制；d)應(yīng)關(guān)閉非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口，并對(duì)業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口進(jìn)行訪問(wèn)控制；e)應(yīng)對(duì)進(jìn)入車載終端的帶有攻擊行為特征的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行識(shí)別，且識(shí)別率不低于95％；f)宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離；g)宜具備更新擴(kuò)展安全規(guī)則的能力。若車載終端具備遠(yuǎn)程升級(jí)功能，車載終端應(yīng)具備升級(jí)包校驗(yàn)機(jī)制，校驗(yàn)升級(jí)包的完整性以及來(lái)源真3實(shí)性。車載終端日志功能要求如下：a)應(yīng)記錄車載終端在遠(yuǎn)程服務(wù)過(guò)程中發(fā)生的信息安全相關(guān)事件，如檢測(cè)受到網(wǎng)絡(luò)攻擊行為等；b)應(yīng)使每個(gè)信息安全事件日志信息記錄的內(nèi)容包括但不限于：日期和時(shí)間(精確到秒)、車輛唯一c)應(yīng)保證所存儲(chǔ)信息安全事件日志信息的完整性；d)宜保證所存儲(chǔ)信息安全事件日志信息的保密性；e)車載終端信息安全事件日志應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀??；f)應(yīng)具有信息安全事件日志的上傳機(jī)制，并使用安全通信協(xié)議將信息安全事件日志信息發(fā)送到企業(yè)平臺(tái)。車載終端不應(yīng)存在由權(quán)威漏洞平臺(tái)6個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)應(yīng)滿足傳輸數(shù)據(jù)的保密性、完整性和可用性要求。電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)在客戶端平臺(tái)進(jìn)行平臺(tái)登入之前，應(yīng)和服務(wù)端平臺(tái)進(jìn)行雙向身份鑒別。電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)通信協(xié)議棧應(yīng)包含安全通信協(xié)議，在客戶端平臺(tái)和服務(wù)端平臺(tái)之間建立安全通信連接，保障GB／T32960．3—2016定義的業(yè)務(wù)應(yīng)用層通信的安全性。安全通信協(xié)議應(yīng)基圖2電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)安全通信協(xié)議棧安全通信協(xié)議要求如下：4c)應(yīng)禁用TLS會(huì)話重協(xié)商；d)應(yīng)禁用TLS壓縮；e)若使用基于非對(duì)稱密鑰的身份認(rèn)證機(jī)制，宜使用SM2、密鑰長(zhǎng)度不低于2048位的RSA或同級(jí)別以及更高級(jí)的密碼算法，應(yīng)具有對(duì)應(yīng)的證書更新及撤銷機(jī)制，證書的有效期宜不超過(guò)365d，證書更新過(guò)程應(yīng)確保密鑰安全性；f)若使用基于對(duì)稱密鑰的身份認(rèn)證機(jī)制，宜使用SM4、密鑰長(zhǎng)度不低于128位的AES或同級(jí)別以及更高級(jí)的密碼算法，應(yīng)具有對(duì)應(yīng)的密鑰更新機(jī)制，更新過(guò)程中應(yīng)確保密鑰安全性。信息上報(bào)數(shù)據(jù)，加密要求如下：a)數(shù)據(jù)單元加密方式應(yīng)采用SM4、密鑰長(zhǎng)度不低于128位的AES或其他同級(jí)別以及更高級(jí)的密碼算法；b)加密數(shù)據(jù)單元的密鑰應(yīng)與安全通信協(xié)議所使用的密鑰不同。車載終端到平臺(tái)的通信應(yīng)滿足雙向身份鑒別和傳輸數(shù)據(jù)的保密性、完整性和可用性要求。車載終企業(yè)平臺(tái)應(yīng)對(duì)車載終端的信息安全進(jìn)行監(jiān)視管理，應(yīng)能在車載終端產(chǎn)生信息安全問(wèn)題后，為信息安全應(yīng)急響應(yīng)提供車載終端相關(guān)數(shù)據(jù)以及追溯手段。公共平臺(tái)可對(duì)車載終端的信息安全狀況進(jìn)行監(jiān)測(cè)。6試驗(yàn)方法電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全試驗(yàn)方法包括電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)文檔核查和試驗(yàn)樣件信息安全功能驗(yàn)證。車載終端信息安全硬件測(cè)試的拓?fù)浣Y(jié)構(gòu)，如圖3所示。5圖3車載終端信息安全硬件試驗(yàn)示意圖車載終端信息安全通信試驗(yàn)和驗(yàn)證的拓?fù)浣Y(jié)構(gòu)，如圖4所示。圖4車載終端信息安全通信試驗(yàn)示意圖車載終端信息安全軟件試驗(yàn)和驗(yàn)證的拓?fù)浣Y(jié)構(gòu)，如圖5所示。圖5車載終端信息安全軟件試驗(yàn)示意圖6通過(guò)如下方法檢測(cè)車載終端的硬件信息安全：a設(shè)備外殼，取出PCB板，將PCB板放大至少5倍，觀察PCB板，檢查是否存在可非法對(duì)芯片進(jìn)行訪問(wèn)或者更改芯片功能的隱蔽接口；b)根據(jù)車載終端接口定義說(shuō)明，檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，并使用測(cè)試工具嘗試獲取調(diào)試權(quán)限。根據(jù)車載終端安全啟動(dòng)可信根存儲(chǔ)區(qū)域訪問(wèn)方法和地址范圍說(shuō)明，使用軟件或硬件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次驗(yàn)證是否可將數(shù)據(jù)寫入該存儲(chǔ)區(qū)域。根據(jù)車載終端安全啟動(dòng)可信根存儲(chǔ)區(qū)域訪問(wèn)方法和地址范圍說(shuō)明，使用軟件調(diào)試工具對(duì)該Boot-不成功時(shí)停止加載下一階段系統(tǒng)鏡像。根據(jù)車載終端安全啟動(dòng)可信根存儲(chǔ)區(qū)域訪問(wèn)方法和地址范圍說(shuō)明，嘗試使用軟件調(diào)試工具對(duì)使用軟件調(diào)試工具對(duì)系統(tǒng)鏡像的簽名數(shù)據(jù)進(jìn)行破壞，將破壞簽名后的系統(tǒng)鏡像寫入到車載終端內(nèi)的指定區(qū)域，檢測(cè)車載終端是否校驗(yàn)系統(tǒng)鏡像簽名，并在校驗(yàn)不成功時(shí)停止工作。按照訪問(wèn)控制規(guī)則創(chuàng)建一個(gè)未添加訪問(wèn)控制權(quán)的軟件應(yīng)用程序，使用該未添加訪問(wèn)控制權(quán)的軟件應(yīng)用程序嘗試訪問(wèn)受保護(hù)的軟件應(yīng)用程序資源，檢測(cè)受保護(hù)的軟件應(yīng)用程序資源是否可被訪問(wèn)。根據(jù)車載終端安全啟動(dòng)可信根存儲(chǔ)區(qū)域訪問(wèn)方法和地址范圍說(shuō)明，使用軟件調(diào)試工具向軟件系統(tǒng)可信根存儲(chǔ)區(qū)域?qū)懭霐?shù)據(jù)，重復(fù)多次驗(yàn)證是否可將數(shù)據(jù)寫入該存儲(chǔ)區(qū)域。使用軟件調(diào)試工具破壞系統(tǒng)鏡像的受保護(hù)的關(guān)鍵代碼段，并將破壞后的系統(tǒng)鏡像寫入車載終端，檢測(cè)加載破壞后的系統(tǒng)鏡像的車載終端是否能正常工作。78使用軟件分析工具讀取存儲(chǔ)遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測(cè)是否為密文存儲(chǔ)。使用非授權(quán)的應(yīng)用程序讀取存儲(chǔ)遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測(cè)是否可進(jìn)行修改，若可修改，則檢測(cè)修改后，終端是否依然可正常調(diào)用該數(shù)據(jù)。使用非授權(quán)的應(yīng)用程序讀取系統(tǒng)數(shù)據(jù)區(qū)域的安全重要參數(shù)，測(cè)試是否可讀取或使用。核查設(shè)備的訪問(wèn)控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)。核查是否采用會(huì)話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許或拒絕訪問(wèn)的能力。在被測(cè)樣件設(shè)置符合標(biāo)準(zhǔn)規(guī)定的訪問(wèn)控制策略，檢測(cè)設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的報(bào)文，并在列表指定的目的端口檢測(cè)接收?qǐng)?bào)文和日志。使用網(wǎng)絡(luò)掃描工具對(duì)車載終端進(jìn)行網(wǎng)絡(luò)端口掃描：a)檢測(cè)車載終端是否開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端口；b)檢測(cè)是否可針對(duì)開放的網(wǎng)絡(luò)端口建立非授權(quán)訪問(wèn)控制連接。將車載終端接入測(cè)試網(wǎng)絡(luò)，使用攻擊案例對(duì)車載終端實(shí)施攻擊，檢測(cè)車載終端對(duì)攻擊的識(shí)別率。若車載終端到平臺(tái)采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)進(jìn)行通信，嘗試在非授權(quán)網(wǎng)絡(luò)條件下，將車載終端連接遠(yuǎn)程網(wǎng)絡(luò)服務(wù)平臺(tái)，多次重復(fù)檢測(cè)是否可建立通信。根據(jù)車載終端安全規(guī)則更新擴(kuò)展方案說(shuō)明，核查車載終端是否具備安全規(guī)則更新擴(kuò)展的能力。9使用軟件調(diào)試工具破壞升級(jí)包的任意內(nèi)容，將被破壞的升級(jí)包下載到車載終端指定區(qū)域，并下發(fā)升級(jí)包升級(jí)指令，檢測(cè)車載終端加載升級(jí)包時(shí)是否進(jìn)行完整性校驗(yàn)。將非授權(quán)簽名的升級(jí)包下載到車載終端指定區(qū)域，并下發(fā)升級(jí)包升級(jí)指令，檢測(cè)車載終端加載升級(jí)包時(shí)是否進(jìn)行授權(quán)校驗(yàn)。根據(jù)車載終端安全事件日志記錄規(guī)則說(shuō)明，核查車載終端日志信息記錄的內(nèi)容是否包括但不限于根據(jù)車載終端日志存儲(chǔ)區(qū)域和地址范圍說(shuō)明，使用日志分析工具讀取日志功能區(qū)域內(nèi)容，檢測(cè)是否為密文存儲(chǔ)。根據(jù)車載終端日志存儲(chǔ)區(qū)域和地址范圍說(shuō)明，使用非授權(quán)的應(yīng)用程序讀取日志功能區(qū)域內(nèi)容，檢測(cè)，是否依然可正常讀取該日志。根據(jù)車載終端日志存儲(chǔ)區(qū)域和地址范圍說(shuō)明，以非授權(quán)的用戶應(yīng)用程序訪問(wèn)審計(jì)信息存儲(chǔ)區(qū)域，檢測(cè)訪問(wèn)是否成功。將車載終端接入測(cè)試網(wǎng)絡(luò)，使用攻擊案例對(duì)車載終端實(shí)施惡意攻擊，核查攻擊結(jié)束后，是否可在企業(yè)平臺(tái)上檢索到本次安全攻擊事件日志。通過(guò)如下方法檢測(cè)車載終端系統(tǒng)信息安全：a)使用漏洞掃描工具對(duì)車載終端進(jìn)行漏洞檢測(cè)，檢測(cè)是否存在權(quán)威漏洞平臺(tái)6個(gè)月前公布的高危及以上的安全漏洞；b)若存在高危及以上的安全漏洞，則檢查廠商是否提供了該漏洞的處置方案。核查平臺(tái)間通信接入是否具有認(rèn)證機(jī)制。使用網(wǎng)絡(luò)監(jiān)聽工具，監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，檢測(cè)企業(yè)平臺(tái)與公共平臺(tái)之間傳輸?shù)臄?shù)據(jù)是否為密文。對(duì)車載終端上報(bào)的數(shù)據(jù)進(jìn)行破壞后，檢測(cè)企業(yè)平臺(tái)與公共平臺(tái)之間傳輸是否失敗。通過(guò)網(wǎng)絡(luò)掃描工具對(duì)企業(yè)平臺(tái)進(jìn)行網(wǎng)絡(luò)端口掃描：a)檢測(cè)企業(yè)平臺(tái)是否有開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端口；b)在非授權(quán)網(wǎng)絡(luò)條件下，使用外部網(wǎng)絡(luò)工具，檢測(cè)針對(duì)開放的網(wǎng)絡(luò)端口是否可建立非授權(quán)訪問(wèn)連接。