基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端網(wǎng)絡(luò)安全技術(shù)要求

基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端網(wǎng)絡(luò)安全技術(shù)要求1范圍本文件規(guī)定了車(chē)載遠(yuǎn)程通信終端的硬件安全要求、接口安全要求、操作系統(tǒng)安全要求求、漏洞管理安全要求、通信安全要求、OTA安全要求、數(shù)據(jù)安全要求等。本文件適用于各類(lèi)需要接入公眾電信網(wǎng)進(jìn)行遠(yuǎn)程通信的車(chē)輛類(lèi)型的車(chē)載遠(yuǎn)程通信終端車(chē)載遠(yuǎn)程通信終端vchiculartel位于車(chē)輛內(nèi)部，用于該車(chē)輛通過(guò)遠(yuǎn)程通信協(xié)議和其他車(chē)輛、行人、道路交通設(shè)施或遠(yuǎn)程數(shù)據(jù)傳輸、存儲(chǔ)、處理與使用的終端設(shè)備面向公眾的電信回絡(luò)，通常指運(yùn)營(yíng)商網(wǎng)絡(luò)，如電信、聯(lián)通、移動(dòng)、廣電網(wǎng)絡(luò)等。下列縮略語(yǔ)適用于本文件。App應(yīng)用程序ApplicauionCAN控制器局域網(wǎng)絡(luò)ControllerCVE通用漏洞披露CommonVulnerabilifiesanCNNVE中國(guó)通用漏洞披露ChinaNationalVulnenabilityDatabECU電子控制單元HTTPS超文本傳輸安全協(xié)議HypertextTranHUK硬件唯一密鑰HardwareUniqueKeyIVI車(chē)載信息娛樂(lè)系統(tǒng)In-VehicleOBD車(chē)載診斷系統(tǒng)On-OTA空中下載技術(shù)Over-the-AirTechologyRoTPK可信根公鑰RootofTrustPublicKey2安全傳輸層協(xié)議汽車(chē)遠(yuǎn)程服務(wù)提供商唯一識(shí)別碼Wi-Fi網(wǎng)絡(luò)安全接入TelematicsServicePr5系統(tǒng)架構(gòu)基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端網(wǎng)絡(luò)架構(gòu)主要包括車(chē)內(nèi)網(wǎng)絡(luò)、公眾電信網(wǎng)和TSP三部分，其網(wǎng)絡(luò)架構(gòu)圖如圖1所示。圖1基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端網(wǎng)絡(luò)架構(gòu)車(chē)內(nèi)網(wǎng)絡(luò)中，車(chē)載遠(yuǎn)程通信終端與車(chē)輛主體通過(guò)車(chē)輛總線或以太網(wǎng)通信，IVI、OBD、ECU等系統(tǒng)均通過(guò)車(chē)載遠(yuǎn)程通信終端與TSP進(jìn)行通信，其中OBD、ECU通過(guò)CAN/以太網(wǎng)網(wǎng)關(guān)與車(chē)載遠(yuǎn)程通信終端連接，實(shí)現(xiàn)對(duì)車(chē)輛狀態(tài)信息、控制指令、遠(yuǎn)程診斷和按鍵狀態(tài)信息等的傳遞。用戶可以通過(guò)App來(lái)遠(yuǎn)程控制汽車(chē)車(chē)身功能，通過(guò)IVI上的App來(lái)本地控制汽車(chē)車(chē)身功能。本文件的主要規(guī)范對(duì)象為車(chē)載遠(yuǎn)程通信終端，其安全架構(gòu)如圖2所示。圖2基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端安全框架基于公眾電信網(wǎng)的車(chē)載遠(yuǎn)程通信終端安全架構(gòu)主要包括8個(gè)部分：硬件安全、操作系統(tǒng)安全、接口安全、應(yīng)用安全、通信安全、OTA安全、漏洞管理、數(shù)據(jù)安全。本文件主要圍繞這8個(gè)部分提出相應(yīng)安全技術(shù)要求。6安全技術(shù)要求6.1硬件安全車(chē)載遠(yuǎn)程通信終端的硬件應(yīng)滿足以下安全要求：a)板載芯片應(yīng)提供可信根供終端使用，例如HUK、RoTPK、UID、BootROM等；b)應(yīng)具有存儲(chǔ)和隔離敏感數(shù)據(jù)的安全區(qū)域或安全模塊；c)應(yīng)防止非授權(quán)獲取或篡改在安全區(qū)域或安全模塊中一次性寫(xiě)入的敏感信息；d)安全區(qū)域或安全模塊應(yīng)具有檢測(cè)與處置非授權(quán)訪問(wèn)的機(jī)制。6.2接口安全車(chē)載遠(yuǎn)程通信終端的接口應(yīng)滿足以下安全要求：a)在板載芯片中，不應(yīng)存在可非法對(duì)芯片內(nèi)存進(jìn)行訪問(wèn)或者更改芯片功能的隱蔽接口：b)應(yīng)對(duì)板載芯片調(diào)試接口進(jìn)行禁用或?qū)嵤┌踩L問(wèn)控制：c)外部接口應(yīng)無(wú)法直接訪問(wèn)或?qū)С鲋匾獢?shù)據(jù)。6.3操作系統(tǒng)安全6.3.1操作系統(tǒng)加固車(chē)載遠(yuǎn)程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)應(yīng)禁用或刪除無(wú)用賬號(hào)b)應(yīng)具備口令安全機(jī)制，包括但不限于以下要求：-口令復(fù)雜度應(yīng)滿足一定要求，例如最少應(yīng)包括大寫(xiě)字母、小寫(xiě)字母、數(shù)字與特殊符號(hào)-如果操作系統(tǒng)支持口令重置，則應(yīng)保證重置之后的口令不是統(tǒng)一的默認(rèn)值；-在口令多次輸入錯(cuò)誤之后應(yīng)重新認(rèn)證用戶身份，或?qū)Σ僮飨到y(tǒng)鎖定特定時(shí)長(zhǎng)。c)應(yīng)具有訪問(wèn)控制機(jī)制，依據(jù)安全策略控制用戶、進(jìn)程等主體對(duì)文件、數(shù)據(jù)庫(kù)等客體的訪問(wèn)；d)應(yīng)關(guān)閉不必要的服務(wù)。6.3.2操作系統(tǒng)安全啟動(dòng)車(chē)載遠(yuǎn)程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)操作系統(tǒng)應(yīng)具備安全啟動(dòng)機(jī)制，即操作系統(tǒng)的啟動(dòng)應(yīng)初始化于可信根，所有操作系統(tǒng)程序(包括Bootloader、firmwareimagc等)應(yīng)直接或間接被可信根進(jìn)行完整性與可靠性檢查之后才能啟b)應(yīng)能夠驗(yàn)證應(yīng)用的來(lái)源和完整性，保證操作系統(tǒng)只加載啟動(dòng)可信的應(yīng)用程序。6.3.3操作系統(tǒng)更新車(chē)載遠(yuǎn)程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)軟件更新時(shí)，應(yīng)保證更新軟件包的來(lái)源可靠性，并對(duì)接收到的更新文件進(jìn)行完整性校驗(yàn)：b)不應(yīng)允許操作系統(tǒng)版本降級(jí)更新：c)應(yīng)具有備份和恢復(fù)能力，能夠在軟件更新失敗時(shí)進(jìn)行必要的操作，比如回滾到更新之前的版本，避免更新失敗導(dǎo)致系統(tǒng)失效d)軟件更新應(yīng)在約定的工況(例如。非行駛狀態(tài))和車(chē)輛系統(tǒng)狀態(tài)(例如：電瓶電量滿足要求)下，并在用戶確認(rèn)后執(zhí)行。6.3.4操作系統(tǒng)日志審計(jì)車(chē)載遠(yuǎn)程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求a)應(yīng)具有日志功能，記錄用戶操作、系統(tǒng)日志等信息：b)應(yīng)支持日志上傳至遠(yuǎn)程服務(wù)器的功能，并采取安全的方式傳輸：c)應(yīng)采取訪問(wèn)控制機(jī)制，對(duì)日志讀取寫(xiě)入的權(quán)限進(jìn)行管理；d)應(yīng)對(duì)日志存儲(chǔ)進(jìn)行安全防護(hù)車(chē)載遠(yuǎn)程通信終端的應(yīng)用應(yīng)滿足以下安全要求；a)不應(yīng)有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為；b)禁止以明文形式存儲(chǔ)用戶敏感信息(例如：用戶口令、證件號(hào)碼、交易信息、私鑰等):c)宜具有對(duì)抗逆向分析的安全機(jī)制：d應(yīng)采用代碼簽名認(rèn)證機(jī)制，且代碼簽名機(jī)制符合相關(guān)標(biāo)準(zhǔn)要求。6.5漏洞管理車(chē)載遠(yuǎn)程通信終端的系統(tǒng)軟件和應(yīng)用軟件，不應(yīng)存在未公開(kāi)的訪問(wèn)接口，也不應(yīng)存在漏洞共享平臺(tái)(CAVD)、國(guó)家信息安全漏洞共享平臺(tái)(CNVD)、中國(guó)國(guó)家信息安全漏洞庫(kù) (CNNVD)、CVE、CNCVE等公開(kāi)發(fā)布了6個(gè)月及以上未經(jīng)處置的高危及以上安全漏洞。6.6通信安全車(chē)載遠(yuǎn)程通信終端的訪問(wèn)控制應(yīng)滿足以下安全要求：a)應(yīng)在創(chuàng)建遠(yuǎn)程通信連接時(shí)對(duì)遠(yuǎn)程設(shè)備與服務(wù)器進(jìn)行身份認(rèn)證：b)應(yīng)對(duì)網(wǎng)絡(luò)通信的相關(guān)訪問(wèn)操作和安全事件生成日志記錄c)應(yīng)具備流量控制功能，用于過(guò)濾進(jìn)入或傳輸總線網(wǎng)絡(luò)的數(shù)據(jù)，防止未經(jīng)授權(quán)的實(shí)體向車(chē)輛總d)應(yīng)具備入侵檢測(cè)功能，通過(guò)對(duì)外部連接或總線中數(shù)據(jù)流量等信息的監(jiān)控，及時(shí)發(fā)現(xiàn)通信網(wǎng)絡(luò)中是否有違反安全策略的行為。車(chē)載遠(yuǎn)程通信終端應(yīng)具備入侵檢測(cè)功能，通過(guò)對(duì)外部連接或總線中數(shù)據(jù)流量等信息的現(xiàn)通信網(wǎng)絡(luò)中是否有違反安全策略的行為。車(chē)載遠(yuǎn)程通信終端的通信協(xié)議應(yīng)滿足以下安全要求：a)應(yīng)使用安全的通信協(xié)議，例如HTTPS、(D)TLSv1.2及以上版本等b)應(yīng)采用加密、完整性檢查等安全措施保護(hù)關(guān)鍵通信數(shù)據(jù)的機(jī)密性、完整性：c)應(yīng)具有安全存儲(chǔ)功能，將用于安全通信的密鑰等相關(guān)信息進(jìn)行加密存儲(chǔ)；d)應(yīng)能夠抵抗拒絕服務(wù)攻擊和重放攻擊車(chē)載遠(yuǎn)程通信終端的通信接口應(yīng)滿足以下安全要求：a)應(yīng)支持路由隔離功能，將執(zhí)行控制車(chē)輛指令、收集用戶坡感信息等功能的核心業(yè)務(wù)平臺(tái)的通信進(jìn)行隔離，同時(shí)將對(duì)外通信中非核心業(yè)務(wù)平臺(tái)的外網(wǎng)通信等進(jìn)行隔離：b)與能執(zhí)行控制車(chē)輛指令、收集個(gè)人敏感信息等功能的核心業(yè)務(wù)平臺(tái)間通信時(shí)，宜采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離：c)對(duì)于藍(lán)牙通信接口，應(yīng)滿足以下要求：-應(yīng)采取措施防止中間人攻擊；d)對(duì)于蜂窩通信接口，應(yīng)滿足以下要求：-對(duì)3G及以上網(wǎng)絡(luò)，應(yīng)具備雙向鑒權(quán)能力，防止偽基站攻擊，防止附著一個(gè)不可信的網(wǎng)絡(luò)；5-應(yīng)采用WPA3及以上版本協(xié)議，保證接入安全和數(shù)據(jù)傳輸安全。若車(chē)載遠(yuǎn)程通信終端支持OTA功能。則應(yīng)滿足以下安全要求：a)系統(tǒng)升級(jí)時(shí)，車(chē)載遠(yuǎn)程通信終端和遠(yuǎn)程服務(wù)器之間應(yīng)采用雙向認(rèn)證：b)升級(jí)包的傳輸應(yīng)采用加密措施：c)應(yīng)對(duì)升級(jí)包進(jìn)行驗(yàn)證，校驗(yàn)升級(jí)包的完整性和來(lái)源可靠性：d)應(yīng)具有升級(jí)管理功能，包括：版本管理、版本備份等：e)應(yīng)具備升級(jí)版本防回退校驗(yàn)功能：f)當(dāng)升級(jí)失敗時(shí)，應(yīng)恢復(fù)到更新前可用的版本。6.8數(shù)據(jù)安全6.8.1數(shù)據(jù)采集車(chē)載遠(yuǎn)程通信終端的數(shù)據(jù)采集應(yīng)滿足以下安全要求：a)對(duì)用戶數(shù)據(jù)的采集應(yīng)在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行，數(shù)據(jù)采集類(lèi)型和數(shù)量應(yīng)遵循最小必要原則；b)采集模塊相關(guān)代碼(包括固件、驅(qū)動(dòng)程序等)應(yīng)具備完整性保護(hù)措施和來(lái)源可靠性驗(yàn)證措施；c)采集模塊應(yīng)實(shí)施訪問(wèn)權(quán)限控制，防止采集的源數(shù)據(jù)被竊取、被破壞。6.8.2數(shù)據(jù)存儲(chǔ)車(chē)載遠(yuǎn)程通信終端的數(shù)據(jù)存儲(chǔ)應(yīng)滿足以下安全要求：a)用戶故感數(shù)據(jù)(例如：用戶身份、位置信息)應(yīng)存儲(chǔ)在物理或軟件隔離的專用存儲(chǔ)區(qū)域，同時(shí)為保存數(shù)據(jù)的文件設(shè)置適當(dāng)?shù)脑L問(wèn)權(quán)限，或加密存儲(chǔ)在外置存儲(chǔ)器等通用存儲(chǔ)區(qū)域：b)應(yīng)采用加密形式保存用戶生物特征數(shù)據(jù)：c)未向用戶明示或未經(jīng)用戶同意禁止擅自存儲(chǔ)或修改用戶數(shù)據(jù)：d用戶數(shù)據(jù)存儲(chǔ)期限應(yīng)為用戶授權(quán)使用的目的所必需的最短時(shí)間，法律法規(guī)另有規(guī)定或者用戶另行授權(quán)同意的除外。車(chē)載遠(yuǎn)程通信終端的數(shù)據(jù)使用應(yīng)滿足以下安全要求a)對(duì)用戶數(shù)據(jù)的訪問(wèn)使用，應(yīng)建立最小授權(quán)的訪問(wèn)控制策略：b)需要展示的用戶數(shù)據(jù)，應(yīng)進(jìn)行去標(biāo)識(shí)化處理。6.8.4數(shù)據(jù)傳輸車(chē)載遠(yuǎn)程通信終端的數(shù)據(jù)傳輸應(yīng)滿足以下安全要求a)應(yīng)對(duì)用戶敏感數(shù)據(jù)(例如：用戶身份、位置信息)進(jìn)行加密傳輸。b)用戶敏感數(shù)據(jù)(例如：用戶身份、位置信息)向車(chē)外傳輸時(shí)，應(yīng)進(jìn)行脫敏處理。6.8.5數(shù)據(jù)刪除車(chē)載遠(yuǎn)程通信終端的數(shù)據(jù)刪除應(yīng)滿足以下安全要求：a)應(yīng)提供手段協(xié)助清除數(shù)據(jù)因不同設(shè)備間共享、業(yè)務(wù)終止、自然災(zāi)害、合同終止等遺留的數(shù)據(jù)。對(duì)日志的留存期限應(yīng)不少于六個(gè)月。6注：該要求來(lái)源于《工業(yè)和信息化部關(guān)于加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)號(hào))。b)共享類(lèi)應(yīng)用(例如：共享汽車(chē)),在用戶退出后，該用戶的敏感數(shù)據(jù)應(yīng)被清空：c)車(chē)載遠(yuǎn)程通信終端更換件后，應(yīng)同步相關(guān)用戶數(shù)據(jù)至新件，并刪除換下的舊件中存放的數(shù)據(jù)：d)應(yīng)對(duì)不再使用的敏感數(shù)據(jù)進(jìn)行不