T-JSQX 0002-2022 車載通信終端設(shè)備安全要求

33.050

M32JSQX

00022022

requirements

communication

terminal

全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái) 前言

...........................................................................

II1

范圍.................................................................................

12

規(guī)范性引用文件.......................................................................

13

術(shù)語(yǔ)和定義...........................................................................

14

縮略語(yǔ)...............................................................................

15

車載通信終端安全要求.................................................................

1.........................................................................

1操作系統(tǒng)安全.....................................................................

2.........................................................................

3.........................................................................

4.........................................................................

5IT/JSQX

0002—2022前 言本文件按照

—2020

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由江蘇省智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（）提出并歸口。本文件主單位：無(wú)錫智匯交通科技（無(wú)錫）科技工業(yè)大學(xué)（威海）能源汽車聯(lián)網(wǎng)（）信息通信科技有限公司、中興通訊股份有限公司。本文件主要起草人：華賢平、李麗、陳秋、劉志杰、王漢振、王佰玲、劉紅日、徐東亮、魏玉良、徐志強(qiáng)、李吉、王秀娟、莊寶森、董接蓮、葛元、許丹妮、肖小珊、趙明。II全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)1

范圍本文件規(guī)定了車載通信終端的安全要求、操作系統(tǒng)安全、、數(shù)據(jù)安全、等。本文件適用于整車、零部件企業(yè)的車載通信終端設(shè)備的設(shè)計(jì)和研發(fā)。2

規(guī)范性引用文件下列文件中的內(nèi)容通過文中而構(gòu)成必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于；日期，其最新版包括所有的修改單）適用于本文件。GB/T

19596 電動(dòng)GB/T

電動(dòng)汽車

第1總則3

術(shù)語(yǔ)和定義GB/T

19596、GB/T

界定的以及下列適用于車載通信終端設(shè)備通過4G/5G通信、GPS衛(wèi)星定位、加速度傳感和通訊等技術(shù)為整供遠(yuǎn)程通訊接口，實(shí)現(xiàn)包括行車數(shù)據(jù)、行駛軌跡記錄、車輛故障監(jiān)控、車輛遠(yuǎn)程查詢和控制、分析等服務(wù)的網(wǎng)聯(lián)功能單元。4

縮略語(yǔ)下列縮略語(yǔ)適用于ACL：訪問控制列表（Access

）CPA：分析（Correlation

）DDoS：分布式拒絕服務(wù)攻擊（

Service）DoS：拒絕服務(wù)攻擊（Denial

）DPA：差分分析（Differential

）OTA：空中下載技術(shù)（Over-the-Air

Technology）QoS：（

of

）SPA：簡(jiǎn)單分析（Simple

）VPN：虛擬絡(luò)（Virtual

Private

Network）5

車載通信終端安全要求硬件安全5.1.1 設(shè)計(jì)安全5.1.1.1 車載通信終端系統(tǒng)所使芯片不應(yīng)存在可內(nèi)存進(jìn)行訪問或者更改芯片功隱蔽接口。芯片在設(shè)計(jì)使用的調(diào)試接口應(yīng)在上市產(chǎn)品中禁用。1全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)5.1.1.2 車載通信終端系統(tǒng)的電路板存在用以標(biāo)注、端口和管腳功能的可讀絲印。5.1.1.3 車載通信終端系統(tǒng)芯片感數(shù)據(jù)的通信量隱蔽，對(duì)抗針對(duì)車載通信終端內(nèi)部數(shù)據(jù)傳輸?shù)暮蛡卧旃?。在板載芯片中，不應(yīng)存在可非法對(duì)芯片內(nèi)更能的隱蔽接口。5.1.1.4 車載通信終端所使關(guān)鍵宜盡量減少暴露管腳。5.1.2 訪問控制5.1.2.1 車載通信終端應(yīng)具有存儲(chǔ)和隔離敏感數(shù)據(jù)的安全區(qū)域或安全模塊，車載通信終端設(shè)備重要數(shù)據(jù)安全存儲(chǔ)與。5.1.2.2 在安全區(qū)域或模塊中一次性寫入的敏感信應(yīng)保證無(wú)法非或者篡改。板載芯片的診斷應(yīng)具有鑒權(quán)功或安全模塊應(yīng)具備檢測(cè)與處置非授權(quán)訪問的能力，對(duì)解。應(yīng)對(duì)板載芯片接口禁用施安全。5.1.3 抗攻擊防護(hù)5.1.3.1 使用必要的安全機(jī)制，防御針對(duì)芯片的電壓、、電磁、激光等方式的故障注入攻擊。5.1.3.2 使用必要的防護(hù)措施，對(duì)抗針對(duì)加密芯片的簡(jiǎn)單功耗分析（）攻擊、一階差分功耗分析（DPA）攻擊、分析（CPA），以運(yùn)行、溫度等其它信息進(jìn)行的側(cè)信道攻擊。5.1.3.3 使用必要的防護(hù)機(jī)制，對(duì)抗針對(duì)車載通信終端內(nèi)存的侵入和篡改攻擊。操作系統(tǒng)安全5.2.1 操作系統(tǒng)安全啟動(dòng)應(yīng)在安全存儲(chǔ)區(qū)域存儲(chǔ)簽名啟動(dòng)時(shí)應(yīng)使制，在驗(yàn)證并判定通過后，再?gòu)目尚糯鎯?chǔ)區(qū)域加，避免加載被篡改的操作系統(tǒng)。5.2.2 多操作系統(tǒng)隔離如車載通信終端存在多個(gè)，應(yīng)采用隔離機(jī)制，保證不同操作系統(tǒng)之間防護(hù)。5.2.3操作系統(tǒng)加載應(yīng)用程序應(yīng)提供制，只能加載啟動(dòng)程序，能夠驗(yàn)證來源和完整性，避免運(yùn)行惡意程序。5.2.4 系統(tǒng)安全防護(hù)5.2.4.1 應(yīng)采用完整性校驗(yàn)手段，對(duì)關(guān)鍵代碼或文件進(jìn)行完整性保護(hù)。當(dāng)用要遠(yuǎn)程登錄系統(tǒng)時(shí)，用戶首先到官方網(wǎng)站下載登錄客戶端和身份證書，然后向車輛登錄，過驗(yàn)證數(shù)字簽名對(duì)請(qǐng)求者進(jìn)行身份鑒權(quán)。5.2.4.2 車載通信終端系統(tǒng)不應(yīng)存在后門，也不應(yīng)存在于“中國(guó)汽車行業(yè)平臺(tái)（CAVD）”以及“國(guó)家信息安全平臺(tái)（CNVD）”發(fā)布了

6

個(gè)月及以上的高危安全漏洞。系統(tǒng)應(yīng)具有能夠及時(shí)進(jìn)行漏洞修復(fù)的方式。車載系統(tǒng)應(yīng)利用車輛聯(lián)網(wǎng)狀態(tài)定期檢測(cè)系統(tǒng)開發(fā)商有沒有發(fā)布系統(tǒng)更新并自動(dòng)下載更新。5.2.5 資源訪問控制5.2.5.1 應(yīng)采取適用于各應(yīng)用場(chǎng)景的告知和控制方式，當(dāng)應(yīng)用對(duì)系統(tǒng)敏感資源調(diào)用時(shí)用戶可知。并提供設(shè)置開關(guān)，供用意或者拒絕該項(xiàng)調(diào)5.2.5.2 應(yīng)通過可信執(zhí)行環(huán)境，為基于敏感關(guān)鍵供安全執(zhí)行空間，控制對(duì)密鑰、CAN

控制器等關(guān)鍵資源的，保護(hù)資源保密性和完整性，對(duì)抗非授權(quán)訪問和篡改等多種攻擊。5.2.6 安全日志記錄及審計(jì)控制5.2.6.1 應(yīng)具備支持對(duì)關(guān)鍵事件的日志功能，事件的時(shí)間、對(duì)象、和結(jié)果等。2全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)5.2.6.2 應(yīng)具備支持傳功能，上傳時(shí)對(duì)云端進(jìn)行認(rèn)證；根據(jù)云端管理需求，采取安全的方輸日志，確保數(shù)據(jù)的完整認(rèn)證5.2.6.3 應(yīng)采取機(jī)制，對(duì)日志讀取寫入的權(quán)限應(yīng)對(duì)存儲(chǔ)安全。5.2.7系統(tǒng)軟件更新與固件更新5.2.7.1 應(yīng)只接收在約況輛系統(tǒng)下發(fā)起的車載通信終端操作系統(tǒng)和應(yīng)用等軟件的更新請(qǐng)求，并在用戶確認(rèn)后執(zhí)行更新操作。5.2.7.2 軟件更新時(shí)，夠?qū)μ峁└萝浖膩碓磋b別，并對(duì)接收到的更新進(jìn)行完整性校驗(yàn)。軟件升級(jí)應(yīng)不影響用戶設(shè)置和用戶具有備份和恢復(fù)能力，能夠在軟件更新發(fā)生異常時(shí)進(jìn)行必，新導(dǎo)致失效對(duì)行為進(jìn)行記錄定內(nèi)升級(jí)嘗試次數(shù)上限，通過升級(jí)嘗試對(duì)車輛資源消耗。在不影響終端正常使安全的前提下，應(yīng)能夠進(jìn)行操作系統(tǒng)的補(bǔ)丁安裝以及

FOTA

的升級(jí)。5.2.7.3 車載通信終端在向其他或傳輸更新更新命令時(shí)，應(yīng)能夠及時(shí)聲明自己的身份和權(quán)供或進(jìn)行認(rèn)證；只有認(rèn)證通過后，才可以繼續(xù)執(zhí)行。5.2.7.4 在車輛硬件資源允許的情況下，應(yīng)具備

OTA

遠(yuǎn)程升級(jí)能力。5.2.8 介質(zhì)接口安全5.2.8.1 車載通信終端不應(yīng)未經(jīng)聲明的外圍介質(zhì)接口。5.2.8.2 車載通信終端應(yīng)定義通過外圍接口接入的存儲(chǔ)介質(zhì)上的文件類型和權(quán)限，并限制通過介質(zhì)接口對(duì)車載通信終端的操作類型。5.2.8.3 應(yīng)使用必要的方法，對(duì)修改系統(tǒng)配置或者運(yùn)行的文件進(jìn)行，并根據(jù)檢測(cè)結(jié)警及處置。應(yīng)用安全5.3.1 應(yīng)用軟件安全基本要求5.3.1.1 應(yīng)用軟件不應(yīng)后門，也不應(yīng)存在于“中國(guó)行業(yè)漏洞共享平臺(tái)（CAVD）”以及信息安全平臺(tái)（CNVD）”發(fā)布了

6

及以上的高危安全漏洞。5.3.1.2 應(yīng)用軟含有非授權(quán)收泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。5.3.1.3 應(yīng)用軟以明文形式存儲(chǔ)用戶敏感信息。5.3.1.4 應(yīng)用軟件應(yīng)使制，對(duì)抗針對(duì)逆向分析。5.3.2 應(yīng)用軟件簽名認(rèn)證機(jī)制應(yīng)用軟件應(yīng)采用符合要求的簽名認(rèn)證機(jī)制。5.3.3 應(yīng)用軟件運(yùn)行要求5.3.3.1 關(guān)鍵應(yīng)用程序在啟動(dòng)時(shí)應(yīng)執(zhí)行自檢，檢查程序運(yùn)行時(shí)所必須的條件，確保程和所行環(huán)境的安全性。5.3.3.2 應(yīng)用軟件運(yùn)行期間，應(yīng)具備運(yùn)行驗(yàn)證及編譯混淆能力，防止運(yùn)行數(shù)據(jù)被非法分析或代碼被非法執(zhí)行。5.3.3.3 應(yīng)使用安全機(jī)制，防止和檢測(cè)應(yīng)用軟件之間不必要的訪問，避免數(shù)據(jù)泄漏、授權(quán)等問題。5.3.3.4 應(yīng)具備識(shí)別、阻斷惡意軟力，隔絕已經(jīng)被感染的文件，軟件的惡意訪問。5.3.4 安全審計(jì)要求應(yīng)用程序應(yīng)具備記錄應(yīng)用狀態(tài)及使用情況的日志功能，并支持集中管理。5.3.5 應(yīng)用流程安全性要求5.3.5.1 應(yīng)用程序器的交互，應(yīng)使用安全通信協(xié)議。3全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)5.3.5.2 應(yīng)用程序器應(yīng)有雙證機(jī)制。通信安全5.4.1 有線5.4.1.1對(duì)車內(nèi)子的安全控制5.4.1.1.1 應(yīng)使用必手段，對(duì)包括車載通信終端在各電子電氣系統(tǒng)進(jìn)行子系統(tǒng)或者域的劃分。子或者域應(yīng)有不同的信息安全等級(jí)采用加密、認(rèn)證等安全關(guān)鍵通信數(shù)據(jù)的保密性、完整性、放攻擊。5.4.1.1.2 應(yīng)建立跨子系統(tǒng)或者域間通信的安全訪問策略，車載通信終端與高級(jí)別的子系統(tǒng)之間應(yīng)采取措施。并通能設(shè)計(jì)的配合，避免由于車載通信終端的信息安全問題造成該類子系統(tǒng)功錯(cuò)誤或異常具有安全存儲(chǔ)功能，將用于安全通信的密鑰等相關(guān)信息進(jìn)行加密存儲(chǔ)具有網(wǎng)絡(luò)監(jiān)測(cè)機(jī)制，提供針對(duì)報(bào)文異常和的實(shí)時(shí)監(jiān)測(cè)，并提供分析統(tǒng)計(jì)和告警等。5.4.1.1.3 車載通信終端應(yīng)在與車內(nèi)各電子電氣系統(tǒng)的通信數(shù)據(jù)上加載身份標(biāo)識(shí)，供其他電子電氣系統(tǒng)驗(yàn)證。同時(shí)具有驗(yàn)證所接收到的通信數(shù)據(jù)的發(fā)送方身份的能力對(duì)需要網(wǎng)絡(luò)通信的業(yè)務(wù)重要性劃分優(yōu)先等級(jí)，優(yōu)先保障高優(yōu)業(yè)務(wù)的網(wǎng)絡(luò)通信需求。5.4.1.2 對(duì)車內(nèi)部可靠可用性的5.4.1.2.1 車載通信終端應(yīng)具備冗余和重制，保證對(duì)電子電氣系統(tǒng)發(fā)送重要數(shù)據(jù)時(shí)，傳輸數(shù)據(jù)的可靠夠抵抗拒絕服務(wù)攻擊。5.4.1.2.2車載通信終端向車內(nèi)電子電氣系統(tǒng)發(fā)送數(shù)據(jù)和轉(zhuǎn)時(shí)，應(yīng)采用相應(yīng)技術(shù)避免大量集中發(fā)送數(shù)據(jù)包導(dǎo)致的總線擁塞和拒絕服務(wù)。應(yīng)對(duì)網(wǎng)絡(luò)操作和安全事件生成日志記錄。5.4.1.2.3 車載通信終端應(yīng)建立監(jiān)，實(shí)時(shí)監(jiān)測(cè)向車內(nèi)電子電氣系統(tǒng)發(fā)送，對(duì)于異常情況應(yīng)及時(shí)發(fā)現(xiàn)并告警。5.4.2 無(wú)線5.4.2.1 蜂窩網(wǎng)絡(luò)5.4.2.1.1 車載通信終端應(yīng)使制，識(shí)別偽基站，確保接入真實(shí)可靠的蜂窩網(wǎng)絡(luò)。5.4.2.1.2 車載通信終端與核心業(yè)務(wù)平臺(tái)采絡(luò)或者虛擬專用網(wǎng)絡(luò)通信。應(yīng)支持蜂窩數(shù)據(jù)傳輸

隧道功對(duì)外部實(shí)體發(fā)起的通信連接請(qǐng)求進(jìn)行身份認(rèn)證夠識(shí)別來自蜂窩網(wǎng)絡(luò)的非法連接請(qǐng)求，過濾惡包過外圍接口接入的存儲(chǔ)介質(zhì)上類型和權(quán)制通過對(duì)絡(luò)設(shè)備進(jìn)行類型。隨著外設(shè)種類越來越多，同時(shí)也出現(xiàn)了各種，應(yīng)確保新的組合對(duì)最低并保證系統(tǒng)最優(yōu)。5.4.2.1.3 車載通信終端應(yīng)采取技術(shù)，禁用業(yè)務(wù)所不需要的蜂窩網(wǎng)絡(luò)通信功能。應(yīng)關(guān)閉用于監(jiān)聽外部服務(wù)絡(luò)服務(wù)端口。5.4.2.1.4 通過蜂窩網(wǎng)絡(luò)傳送的針對(duì)關(guān)鍵，應(yīng)采用強(qiáng)驗(yàn)證手段，確保只有授權(quán)的主體可以實(shí)施相應(yīng)的操作。需要考慮器之間的安全通信和可信認(rèn)證問題。5.4.2.1.5應(yīng)根據(jù)不同重要性劃分優(yōu)先級(jí)，保障關(guān)鍵業(yè)務(wù)具有網(wǎng)絡(luò)通信的優(yōu)先使用權(quán)。應(yīng)對(duì)車載通信終端的硬件實(shí)施加固，利用安全單元，完成車載通信終端配置信息以及其他一些隱私數(shù)據(jù)的完整性校驗(yàn)存儲(chǔ)等功能，保證靠性和完整性。5.4.2.2 車車通信安全5.4.2.2.1 車載通信終端應(yīng)具備保證唯一性的身份標(biāo)識(shí)，并可連接的通信節(jié)點(diǎn)進(jìn)行身份驗(yàn)證，且該身份泄露用戶隱私。應(yīng)實(shí)現(xiàn)服務(wù)器與車載通信終端之間的雙向認(rèn)證，單元（SecureElement

通常以芯片形式提供。為防止外部惡意解，保護(hù)，中具有加密/解密邏輯電路。稱

SE）優(yōu)化端的認(rèn)證過程，阻止移動(dòng)終端對(duì)網(wǎng)絡(luò)環(huán)境的破壞。5.4.2.2.2 車載通信終端應(yīng)支持?jǐn)?shù)字證書或完備的密鑰生成機(jī)制和管理機(jī)制，用于身份認(rèn)證、通信加密和完整性保護(hù)。4全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)T/JSQX

0002—2022全國(guó)團(tuán)體標(biāo)準(zhǔn)信息平臺(tái)5.4.2.3 短距離接安全5.4.2.3.1 車載通信終端應(yīng)具備用戶手動(dòng)打開、關(guān)閉短距離（無(wú)特殊說明，一般為

10

米以內(nèi)）無(wú)線連接的能力。與遠(yuǎn)程服務(wù)平臺(tái)通信時(shí)，應(yīng)能夠互相認(rèn)證對(duì)方的身份，當(dāng)雙方身份相互驗(yàn)證合法后，建立通信鏈路連接。5.4.2.3.2 已建立的短距離無(wú)線連接，應(yīng)在相輸出確的連接狀態(tài)顯示。應(yīng)具有針對(duì)網(wǎng)絡(luò)傳輸?shù)脑L問控制功能。5.4.2.3.3 車載通信終端的應(yīng)用調(diào)用離無(wú)線連接功能時(shí)，車載通信終端應(yīng)能夠明示用戶，并提供配置能力和符合場(chǎng)景的配置方式。應(yīng)采用安全通信或數(shù)據(jù)加密的機(jī)制。5.4.2.3.4 車載通信終端應(yīng)只在特定工況下接來通信連接以保證車輛，并對(duì)連接請(qǐng)求的設(shè)備認(rèn)。需要用戶操作的步驟，應(yīng)向用戶提供應(yīng)用的處理方式對(duì)外界接入訪問進(jìn)行監(jiān)視和。5.4.2.3.5 車載通信終端發(fā)起對(duì)外連接時(shí)，應(yīng)對(duì)外部設(shè)備認(rèn)證，并盡量啟協(xié)議所支持的安全模式進(jìn)行具有安全存儲(chǔ)功能，將用于安全通信的密鑰等相關(guān)信息進(jìn)行加密存儲(chǔ)保證其完整性。應(yīng)具有日志審計(jì)功具有名單功能，對(duì)外部接入設(shè)備應(yīng)限制。注：短距離無(wú)線連接包括但不

Wi-Fi、、。數(shù)據(jù)安全5.5.1 采集5.5.1.1 車載通信終端的與用戶身置信息等相關(guān)的敏感數(shù)據(jù)，過顯式的方式告知用戶并獲得用戶確認(rèn)，應(yīng)說明采集所依據(jù)的法律法規(guī)或者業(yè)務(wù)需5.5.1.2 車載通信終端對(duì)用戶采集應(yīng)在提供相應(yīng)的同時(shí)進(jìn)行。若出于業(yè)務(wù)需要而必須采集相關(guān)，應(yīng)向用戶明示事先采集的目，并且只有在用戶同意的情況下方可繼續(xù)。5.5.1.3車載通信終端用戶使用行為等用戶數(shù)據(jù)時(shí)，應(yīng)提示用戶并向用戶提供關(guān)閉數(shù)據(jù)采集的功能。在執(zhí)行此類，應(yīng)對(duì)用份進(jìn)行認(rèn)證過制輛接入安全保護(hù)機(jī)制，保證在用戶知情的情況下被訪問，從而防止非法數(shù)據(jù)傳送和數(shù)據(jù)訪問。5.5.1.4 車載通信終端應(yīng)具備支持國(guó)家監(jiān)管部門依法進(jìn)行數(shù)據(jù)采集