智能網(wǎng)聯(lián)汽車 車載操作系統(tǒng)技術(shù)要求及試驗方法 征求意見稿

1GB/TXXXXX—XXXX智能網(wǎng)聯(lián)汽車車載操作系統(tǒng)技術(shù)要求及試驗方法本文件規(guī)定了車載操作系統(tǒng)單系統(tǒng)的內(nèi)核、資源抽象、基礎(chǔ)庫、基礎(chǔ)服務(wù)、程序運(yùn)行框架、多系統(tǒng)、可信執(zhí)行環(huán)境、性能指標(biāo)、信息安全、功能安全等的技術(shù)要求和相應(yīng)的試驗方法。本文件適用于M和N類車輛，其他類型的車輛可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，已標(biāo)注日期的引用文件，僅該日期對應(yīng)的版本適用于文件；未標(biāo)注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34590.3道路車輛功能安全第3部分：概念階段GB/T40856車載信息交互系統(tǒng)信息安全技術(shù)要求GB/T41388信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范GB/T44373智能網(wǎng)聯(lián)汽車術(shù)語和定義GB/T44464汽車數(shù)據(jù)通用要求GM/T0005隨機(jī)性檢測規(guī)范3術(shù)語與定義下列術(shù)語和定義適用于本文件。3.1車載操作系統(tǒng)vehicle-infooperatingsystem運(yùn)行于車載信息交互系統(tǒng)硬件之上，管理和控制智能網(wǎng)聯(lián)汽車車載軟件、硬件資源的軟件集合，為智能網(wǎng)聯(lián)汽車提供除駕駛自動化功能實現(xiàn)以外的服務(wù)。注：車載操作系統(tǒng)提供的服務(wù)包括互聯(lián)、地圖及定位、語音、多媒體、軟件升級、賬號、駕駛提示、車輛設(shè)置、3.2單系統(tǒng)架構(gòu)singlesystemarchitecture在同一套硬件之上運(yùn)行單個車載操作系統(tǒng)的架構(gòu)。3.3多系統(tǒng)架構(gòu)multi-systemarchitecture在同一套硬件之上運(yùn)行多個車載操作系統(tǒng)的架構(gòu)，多采用硬件隔離、虛擬機(jī)管理器、容器三類或者它們的組合方式實現(xiàn)多系統(tǒng)隔離技術(shù)方案。3.42GB/TXXXXX—XXXX資源抽象resourceabstraction運(yùn)行于車載操作系統(tǒng)內(nèi)核之上，通過創(chuàng)建軟件為車載操作系統(tǒng)應(yīng)用和基礎(chǔ)服務(wù)提供硬件資源物理特性和接口內(nèi)容。3.5物模型thingmodel對一個物體的數(shù)字化描述，包括元素、組件和物模版三層結(jié)構(gòu)。注1:元素主要包括屬性、服務(wù)（又稱行為或注2:組件是基于物模型元素的一個表示物的抽象層，可表示一個包含有元素中多個同類型或者多個不同類型元素3.6虛擬機(jī)管理器hypervisor運(yùn)行于硬件層和多個車載操作系統(tǒng)單系統(tǒng)之間的中間軟件層，通過限制或允許訪問CPU、中斷、內(nèi)存、外設(shè)等資源來定義每個車載操作系統(tǒng)單系統(tǒng)可用的資源。3.7容器container運(yùn)行在資源隔離管理框架之上的進(jìn)程或應(yīng)用程序。3.8安全強(qiáng)相關(guān)應(yīng)用safetystronglyrelatedapplication與智能網(wǎng)聯(lián)汽車功能安全關(guān)聯(lián)性較強(qiáng)的車載操作系統(tǒng)應(yīng)用負(fù)載，如運(yùn)行儀表、倒車影像、提前輸出聲音和錯誤處理等應(yīng)用。3.9安全弱相關(guān)應(yīng)用safetyweakrelatedapplication與智能網(wǎng)聯(lián)汽車功能安全關(guān)聯(lián)性較弱的車載操作系統(tǒng)應(yīng)用負(fù)載，如多媒體應(yīng)用等。3.10OEM賬號OEMaccountnumberOEM賬號是車廠的用戶賬號，一般包括車主賬號、非車主賬號和游客賬號。3GB/TXXXXX—XXXX1）車主賬號：每個車輛與一個車主賬號唯一對應(yīng)，用戶通過該賬號登錄車輛的車載系統(tǒng)，車主賬號擁有對車輛2）非車主賬號：是一種授權(quán)賬號，由車主賬號進(jìn)行授權(quán)，也可以由車主賬號撤銷授權(quán)，出于安全考慮，車主賬3）游客賬號：當(dāng)用戶未登錄車主賬號或非車主賬號時，應(yīng)提供游客賬號選項。游客賬號允許用戶訪問車載操作系統(tǒng)的基本功能，如車輛控制、設(shè)置和地圖服務(wù)等，以確保即使在未登錄狀態(tài)下，用戶3.11系統(tǒng)賬號Systemaccountnumber提供訪問授權(quán)、本地資源管理等車載操作系統(tǒng)基礎(chǔ)賬號服務(wù)能力。3.12云端應(yīng)用賬號Cloudapplicationaccountnumber提供第三方賬戶綁定、多賬戶管理等車載操作系統(tǒng)的云端應(yīng)用賬號服務(wù)能力。4縮略語下列縮略語適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)ASIL:汽車安全集成等級(AutomotiveSafetyIntegrationLevel)CA：客戶端應(yīng)用（ClientApplication）CAN：控制器局域網(wǎng)絡(luò)(ControllerAreaNetwork)DMS：司機(jī)監(jiān)測系統(tǒng)（DriverMonitoringSystem）ETC：電子不停車收費(fèi)（ElectronicTollCollection）GNSS：全球?qū)Ш叫l(wèi)星系統(tǒng)（GlobalNavigationSatelliteSystem）IC：集成電路（IntegratedCircuit）MCU：微控制單元(MicrocontrollerUnit)OBD：車載診斷（On-BoardDiagnostics）OBU：車載單元（On-BoardUnit）OMS：乘客監(jiān)測系統(tǒng)（OccupancyMonitoringSystem）OTA:空中下載(OvertheAir)PAN:特權(quán)模式不可訪問用戶態(tài)數(shù)據(jù)（PrivilegedAccessNever）PXN:特權(quán)模式不可執(zhí)行用戶態(tài)程序（PrivilegedExecuteNever）TA：可信應(yīng)用（TrustApplication）TEE：可信執(zhí)行環(huán)境(TrustedExecutionEnvironment)V2X：車與外界的互聯(lián)（Vehicle-to-Everything）5車載操作系統(tǒng)技術(shù)要求5.1通用要求車載操作系統(tǒng)架構(gòu)和功能模塊參見附錄A。4GB/TXXXXX—XXXX三類車載操作系統(tǒng)（中控操作系統(tǒng)、用于儀表盤的操作系統(tǒng)、用于T-box的操作系統(tǒng)）應(yīng)支持的功能模塊和可選支持的功能模塊參見附錄B。車載操作系統(tǒng)可按照6.1的試驗方法進(jìn)行試驗，每項試驗方法對應(yīng)的車載操作系統(tǒng)被測功能模塊參見附錄C。5.2車載操作系統(tǒng)內(nèi)核車載操作系統(tǒng)內(nèi)核一般分為微內(nèi)核和宏內(nèi)核。按照6.2的試驗方法，微內(nèi)核應(yīng)滿足下述1）到7）的條款，宏內(nèi)核應(yīng)滿足除6）以外的條款。1)進(jìn)程應(yīng)完整執(zhí)行其生命周期，從啟動到終止，并在終止后釋放所有占用的資源；2)對于具有相同優(yōu)先級的進(jìn)程組，應(yīng)確保每個進(jìn)程都能獲得CPU時間片；3)對于不同優(yōu)先級的進(jìn)程組，應(yīng)確保高優(yōu)先級進(jìn)程先于低優(yōu)先級進(jìn)程執(zhí)行；4)內(nèi)核應(yīng)支持內(nèi)存的分配、回收、隔離和共享功能；5)應(yīng)滿足進(jìn)程間通信的時效性，確保數(shù)據(jù)傳輸?shù)募皶r性；6)用戶空間的驅(qū)動或應(yīng)用程序崩潰不應(yīng)導(dǎo)致微內(nèi)核崩潰或影響其他進(jìn)程的正常運(yùn)行；7)內(nèi)核應(yīng)支持至少一種芯片的指令集；8)可擴(kuò)展支持USB存儲設(shè)備的基礎(chǔ)協(xié)議；9)操作系統(tǒng)宏內(nèi)核為硬件抽象（HAL）提供設(shè)備驅(qū)動程序框架和設(shè)備驅(qū)動訪問控制功能；10)操作系統(tǒng)宏內(nèi)核支持至少一類文件系統(tǒng)（如EXT3、UFS、FAT32、NFS網(wǎng)絡(luò)文件系統(tǒng)等11)操作系統(tǒng)宏內(nèi)核支持網(wǎng)絡(luò)協(xié)議棧。5.3資源抽象5.3.1硬件抽象按照6.3.1的試驗方法，硬件抽象應(yīng)滿足下述要求：1)支持對芯片的資源抽象；2)支持對屏幕、攝像頭、揚(yáng)聲器、麥克風(fēng)等的資源抽象；3)支持對外圍IC（如藍(lán)牙、WLAN、GNSS、FM等）的資源抽象；4)支持對外圍存儲設(shè)備（如U盤）的資源抽象。5.3.2整車服務(wù)資源抽象按照6.3.2的試驗方法，整車服務(wù)資源抽象應(yīng)對上層應(yīng)用提供API接口，例如提供API接口實現(xiàn)對空調(diào)、座椅等的顯示和調(diào)節(jié)等服務(wù)。5.4基礎(chǔ)庫按照6.4的試驗方法，基礎(chǔ)庫應(yīng)至少為車載操作系統(tǒng)應(yīng)用提供進(jìn)程間通信庫、網(wǎng)絡(luò)傳輸庫、安全通信庫、圖像庫、C/C++庫，宜提供語言引擎庫、密碼學(xué)算法或?qū)τ布咏饷艿姆庋b接口。5.5基礎(chǔ)服務(wù)5.5.1互聯(lián)服務(wù)按照6.5.1的試驗方法，運(yùn)行時環(huán)境應(yīng)滿足下述要求：車載操作系統(tǒng)支持的互聯(lián)服務(wù)應(yīng)具備以下能力：1)支持與T-Box、OBD、Tuner、V2X-OBU、ETC等多車載終端互聯(lián)服務(wù)；2)支持通過無線（如WLAN、藍(lán)牙）或有線（如USB）方式與個人移動端、云端的信息交互互通，5GB/TXXXXX—XXXX實現(xiàn)娛樂智能服務(wù)、輔助控制服務(wù)等；3)支持至少一種網(wǎng)絡(luò)協(xié)議（例如TCP/IP、HTTPS、MQTT等具備與云端互通的能力。5.5.2地圖及定位服務(wù)按照6.5.2的試驗方法，地圖及定位服務(wù)應(yīng)滿足下述要求：1)地圖及定位服務(wù)為包括地圖在內(nèi)的各類應(yīng)用程序提供位置相關(guān)的API。2)地圖服務(wù)功能可結(jié)合GNSS、各類傳感器以及車輛信號數(shù)據(jù)，實現(xiàn)位置信息求解。3)地圖及定位服務(wù)可實時上傳位置數(shù)據(jù)到云端，同時可接收云端返回的將位置信息與第三方服務(wù)或數(shù)據(jù)挖掘的數(shù)據(jù)進(jìn)行融合后的數(shù)據(jù)，為用戶提供所需的與位置相關(guān)的增值和個性化的服注：3）的前提條件是地圖及定位業(yè)務(wù)符合相關(guān)數(shù)據(jù)安全和測繪要求。5.5.3語音服務(wù)按照6.5.3的試驗方法，語音服務(wù)應(yīng)滿足下述要求：1)語音交互服務(wù)應(yīng)提供聲學(xué)前端、語音喚醒、語音識別、語音合成功能。2)語音交互服務(wù)可提供語音聲紋、語義理解、對話管理、語義生成、語音自學(xué)習(xí)、語音交互展示等功能。3)車載操作系統(tǒng)可提供語音開發(fā)框架，將語音服務(wù)模塊封裝為API以供應(yīng)用或者車載小程序使4)車載操作系統(tǒng)可通過提供語音技能開放平臺等方式，支持第三方應(yīng)用開發(fā)者自助式編寫離線/在線的語音技能，開展有利于開發(fā)者的可視化編輯、管理等工作。5.5.4多媒體服務(wù)按照6.5.4的試驗方法，多媒體服務(wù)應(yīng)支持基礎(chǔ)的圖像、音頻、視頻的編解碼功能以及播放和控制服務(wù)，將服務(wù)模塊封裝為API以供應(yīng)用或者車載小程序使用。車載小程序的API接口參見附錄D。5.5.5軟件升級服務(wù)按照6.5.5的試驗方法，軟件升級服務(wù)應(yīng)滿足的下述要求：1)為新發(fā)布功能、安全補(bǔ)丁提供升級通道，確保用戶及時接收到軟件更新；2)可通過網(wǎng)絡(luò)自動檢測到新版本，在用戶確認(rèn)后開始下載和安裝過程；3)支持在后臺管理下載和安裝過程；4)下載和安裝完成后應(yīng)提示升級完成結(jié)果（成功或失敗若升級失敗，可提供原因描述。5.5.6賬號服務(wù)系統(tǒng)賬號服務(wù)車載操作系統(tǒng)應(yīng)具備系統(tǒng)帳號。按照6.5.6的試驗方法，系統(tǒng)賬號提供的服務(wù)應(yīng)滿足下述1）～5）的要求，可滿足6）的要求。5)提供分層的應(yīng)用授權(quán)訪問機(jī)制，通過服務(wù)端鑒權(quán)保證服務(wù)端訪問的安全性和合法性；6)支持對本地資源的管理，通過服務(wù)端鑒權(quán)保證在本地增加、刪除以及切換帳戶對應(yīng)本地用戶資源并訪問該資源的安全性和合法性；7)車輛啟動后，先通過登陸一種類型的OEM賬號來登錄對應(yīng)的系統(tǒng)賬號（登陸方式包括OEM賬號密碼登陸、掃碼登陸、數(shù)字鑰匙等8)系統(tǒng)賬號與OEM賬號應(yīng)具備唯一對應(yīng)關(guān)系，同步生成和注銷；6GB/TXXXXX—XXXX9)當(dāng)用戶選擇退出賬號登錄，且車輛處于駐車狀態(tài)下，系統(tǒng)應(yīng)退出當(dāng)前的賬號；非駐車狀態(tài)下，用戶選擇退出登錄，系統(tǒng)應(yīng)提示用戶暫時無法退出登錄；系統(tǒng)退出登錄完成應(yīng)通過動畫等方式進(jìn)行提示；10)當(dāng)OEM賬號支持同廠商下多車登陸時，系統(tǒng)賬號可支持多車登陸。使用一個OEM賬號（一個對應(yīng)的系統(tǒng)賬號）在其他車登陸的情況下，系統(tǒng)賬號可依據(jù)OEM賬號的設(shè)定，支持部分功能受限，例如，不支持下載/刪除應(yīng)用、還原系統(tǒng)設(shè)置/車輛設(shè)置/車牌號設(shè)置/上牌日期設(shè)置等。云端應(yīng)用賬號服務(wù)車載操作系統(tǒng)可具備云端應(yīng)用賬號，該賬號作為第三方賬號，接受OEM賬號的管理。按照6.5.6的試驗方法，云端應(yīng)用賬號滿足下述要求，有一項符合則判定為符合：1)為車機(jī)用戶提供一個或多個第三方賬號綁定服務(wù)；2)支持用戶授權(quán)并登錄第三方賬號后，在車上使用第三方提供的內(nèi)容服務(wù)；3)根據(jù)與第三方賬號約定的綁定要求，同步第三方賬號提供的服務(wù)和權(quán)限；4)同一輛車支持與第三方賬號保持同步登錄和退出；5)支持多系統(tǒng)賬號管理，提供統(tǒng)一的增加、刪除功能；6)支持查詢系統(tǒng)賬號、獲取系統(tǒng)帳號授權(quán)給應(yīng)用的ProxyToken等應(yīng)用開發(fā)接口；7)支持系統(tǒng)和應(yīng)用/服務(wù)對多個系統(tǒng)賬號的登錄、注冊、查詢、授權(quán)等；8)支持單車多個系統(tǒng)帳戶的切換，保證多個系統(tǒng)帳戶之間的數(shù)據(jù)隔離和安全，防止多個系統(tǒng)帳戶并存情況下的應(yīng)用錯誤或者非法調(diào)用帳戶服務(wù)。5.5.7駕駛提示服務(wù)按照6.5.7的試驗方法，駕駛提示服務(wù)滿足下述要求：1)儀表盤操作系統(tǒng)應(yīng)支持駕駛相關(guān)故障告警提示服務(wù)，如控制器異常、油箱告警、電量告警、胎壓告警等。2)座艙操作系統(tǒng)可支持駕駛影像提示服務(wù)，如360°環(huán)視、倒車影像、盲區(qū)提示、壓線提示、透明底盤、輪胎軌跡線提示等。5.5.8車輛設(shè)置服務(wù)按照6.5.8的試驗方法，車輛設(shè)置服務(wù)滿足下述要求：1)車載操作系統(tǒng)應(yīng)支持車輛參數(shù)設(shè)定，如空調(diào)策略、電源策略、時間策略、亮度策略和車窗開啟策略等；2)車載操作系統(tǒng)可支持智能車輛設(shè)定，如結(jié)合車輛傳感器和預(yù)設(shè)的配置文件，智能設(shè)置電源策略、時間策略、亮度策略和車窗開啟策略等。5.5.9增強(qiáng)的人機(jī)交互服務(wù)按照6.5.9的試驗方法，若車載操作系統(tǒng)支持增強(qiáng)的人機(jī)交互服務(wù)，則應(yīng)滿足下述要求：1)車載操作系統(tǒng)提供AR導(dǎo)航、車外視覺輔助駕駛類（如盲區(qū)檢測、行人提醒，斑馬線提醒，前車起步/溜車提醒、前車距離提醒、壓線違章提醒、車道偏離提醒等）、車內(nèi)視覺安全駕駛類（如疲勞駕駛，F(xiàn)aceID，手勢識別、人臉/攝像頭遮擋識別、分心識別等）等人機(jī)交互和人工智能服務(wù)，并且響應(yīng)性、流暢性、準(zhǔn)確性、穩(wěn)定性、完整性滿足一定的要求。2)車載操作系統(tǒng)支持成熟的機(jī)器學(xué)習(xí)框架所訓(xùn)練的人工智能模型（如TensorFlow、PyTorch等提供滿足多種機(jī)器學(xué)習(xí)框架訓(xùn)練的人工智能模型的高效執(zhí)行環(huán)境，并至少支持一種符合車載應(yīng)用場景需要的功能，如語音識別、個性化推薦、自然語言處理、計算機(jī)視覺識別功能等。7GB/TXXXXX—XXXX5.5.10顯示功能按照6.5.10的試驗方法，若車載操作系統(tǒng)支持顯示功能，滿足如下要求：1)應(yīng)支持儀表顯示；2)可支持行車記錄儀顯示；3)可支持OMS顯示；4)可支持DMS顯示；5)可支持多屏幕顯示；6)可支持抬頭顯示（HUD）。5.6程序運(yùn)行框架5.6.1互聯(lián)互通框架按照6.6.1的試驗方法，互聯(lián)互通框架應(yīng)滿足下述要求：1)互聯(lián)互通框架支持按照不同的接口類型接入WLAN、藍(lán)牙等車載設(shè)備。接口類型至少包括設(shè)備發(fā)現(xiàn)，快速接入，服務(wù)發(fā)現(xiàn)，協(xié)議校驗，語音控制，在線升級，流量代理。2)互聯(lián)互通框架可分為設(shè)備配網(wǎng)層，網(wǎng)絡(luò)層，適配層、設(shè)備抽象層和業(yè)務(wù)表示層。3)設(shè)備配網(wǎng)層提供基礎(chǔ)的設(shè)備組網(wǎng)功能，如WLAN快速接入，以及接入后的設(shè)備身份識別和認(rèn)證；4)網(wǎng)絡(luò)層提供設(shè)備接入后的連接管理和抽象，應(yīng)支持至少一種網(wǎng)絡(luò)協(xié)議（如HTTPS、MQTT等）的設(shè)備；5)適配層為智能設(shè)備提供SDK，支持以物模型定義的運(yùn)動相機(jī)，行車記錄儀等智能設(shè)備的接入；6)設(shè)備抽象層對接入的智能設(shè)備的功能和對上提供的訪問控制接口進(jìn)行抽象，使得應(yīng)用開發(fā)時不需要關(guān)心設(shè)備種類和型號的差異，通過統(tǒng)一的互聯(lián)互通接口層進(jìn)行數(shù)據(jù)的訪問和共享；7)業(yè)務(wù)表示層為上層應(yīng)用提供業(yè)務(wù)邏輯數(shù)據(jù)。5.6.2服務(wù)融合框架按照6.6.2的試驗方法，融合多種基礎(chǔ)服務(wù)的服務(wù)融合框架應(yīng)提供服務(wù)的注冊、發(fā)現(xiàn)、服務(wù)方法的調(diào)用、服務(wù)數(shù)據(jù)的訂閱和發(fā)布、服務(wù)安全調(diào)用、服務(wù)調(diào)用并發(fā)數(shù)、異常調(diào)用時返回錯誤碼、調(diào)用超時機(jī)制等，支持不同類型的服務(wù)組合成為新的服務(wù)或者應(yīng)用。1)具有應(yīng)用管理功能，包括應(yīng)用生命周期管理、應(yīng)用調(diào)度管理、數(shù)據(jù)和資源管理、應(yīng)用升級機(jī)制；2)具有支持應(yīng)用開發(fā)（如快應(yīng)用、系統(tǒng)應(yīng)用、系統(tǒng)三方應(yīng)用和小程序等）的功能。5.6.3多媒體框架按照6.6.3的試驗方法，多媒體框架應(yīng)滿足下述要求：1)多媒體框架包括音頻輸入輸出與合成、預(yù)處理（如回聲消除，濾波，去噪后處理（如均衡、重低音、立體音效）等增強(qiáng)模塊，以及基礎(chǔ)的多媒體編解碼服務(wù)；2)支持音視頻文件播放、音視頻文件掃描和呈現(xiàn)、在線音視頻播放、音視頻錄制功能；3)支持跨系統(tǒng)的媒體交互功能，如投屏到儀表、手機(jī)投屏音視頻播放，車內(nèi)行車記錄儀實時視頻、小程序多媒體等；4)支持系統(tǒng)音頻策略配置，如配置音樂播放和語音交互同時發(fā)生時的音頻策略等，支持多種音視頻編解碼技術(shù)，例如音樂支持MP3、WMA格式等，視頻支持AVI、RMVB格式等。5)支持將編解碼后的音視頻內(nèi)容可由App封裝和傳輸；6)支持多媒體功能的定制化需求，如功能裁剪、僅掃描音樂（不掃描視頻和圖片）、特殊格式的8GB/TXXXXX—XXXX音視頻錄制等。5.6.4多模態(tài)交互框架按照6.6.4的試驗方法，若車載操作系統(tǒng)支持多模態(tài)交互框架，則應(yīng)提供至少兩種交互框架（如語音、視覺、隔空手勢、觸摸屏、按鍵等應(yīng)用程序可選擇接入一種或者同時接入多種方式來提供交互，例如，抬頭顯示、虛擬導(dǎo)航、通過手勢來接聽或者掛斷電話等。5.6.5場景感知理解框架按照6.6.5的試驗方法，場景感知理解框架應(yīng)根據(jù)場景規(guī)則或者機(jī)器學(xué)習(xí)模型，提供計算和理解當(dāng)前場景的功能，應(yīng)用程序可訂閱場景感知理解框架的輸出信號來執(zhí)行動作或者推送服務(wù)。典型的場景理解結(jié)果比如是否發(fā)生了事故、是否在顛簸路面、是否違停禁入?yún)^(qū)域等。5.6.6用戶界面框架按照6.6.6的試驗方法，用戶界面框架應(yīng)提供窗口、界面元素和動畫的編程接口以及界面資源管理（貼圖、多語言文本等可提供接口供三方渲染引擎來繪制界面，支持2D或3D渲染。車載操作系統(tǒng)可提供統(tǒng)一的小程序運(yùn)行環(huán)境和小程序用戶界面框架，支持開發(fā)者開發(fā)一份小程序代碼可運(yùn)行在不同車載操作系統(tǒng)中。車載小程序的API接口要求參見附錄D。5.7多系統(tǒng)5.7.1通用要求按照6.7.1的試驗方法，車載操作系統(tǒng)多系統(tǒng)架構(gòu)應(yīng)支持5.7.2、5.7.3、5.7.4中至少一種多系統(tǒng)方案。5.7.2基于硬件隔離的多系統(tǒng)按照6.7.2的試驗方法，基于硬件隔離的多系統(tǒng)將硬件資源通過硬件分區(qū)的方式進(jìn)行劃分和管理，應(yīng)滿足下述要求：1)為多系統(tǒng)提供了強(qiáng)制隔離。2)允許將資源劃分為與不同執(zhí)行環(huán)境關(guān)聯(lián)的不同所有權(quán)組；3)硬件資源（如SoC外圍設(shè)備(Resource)，內(nèi)存區(qū)域(Memory)和引腳等）的所屬分區(qū)應(yīng)具備對該資源的訪問和管理權(quán)限，其他分區(qū)不被允許對該資源進(jìn)行操作；4)允許所有者配置對資源的訪問權(quán)限；5)可支持同時并行訪問同一硬件資源。6)全局電源管理。7)支持多操作系統(tǒng)間高效的通信和內(nèi)存共享5.7.3基于虛擬機(jī)管理器的多系統(tǒng)按照6.7.3的試驗方法，基于虛擬機(jī)管理器（Hypervisor）的多系統(tǒng)將硬件和軟件資源通過虛擬機(jī)管理器的方式進(jìn)行劃分和管理，應(yīng)滿足下述要求：1)硬件系統(tǒng)資源分配和共享（靜態(tài)或動態(tài)2)外設(shè)資源的分配和共享（靜態(tài)或動態(tài)3)確保車載操作系統(tǒng)單系統(tǒng)之間的獨立性，某個車載操作系統(tǒng)單系統(tǒng)無法訪問未提供給自身的資源；4)支持多操作系統(tǒng)間高效的通信和安全的數(shù)據(jù)共享；9GB/TXXXXX—XXXX5)Hypervisor支持信息安全和功能安全相關(guān)方案；6)管理各操作系統(tǒng)優(yōu)先級，根據(jù)優(yōu)先級分配硬件資源，最大化利用硬件資源，并滿足對時間敏感需求和系統(tǒng)服務(wù)質(zhì)量的要求；7)管理各操作系統(tǒng)生命周期，包括啟動，運(yùn)行，關(guān)閉，重啟，異常退出等狀態(tài)；8)Hypervisor的存在應(yīng)保證其低性能損耗，不應(yīng)對各操作系統(tǒng)性能產(chǎn)生顯著影響；9)具有不同安全性和安全級別的應(yīng)用程序可以在相同的硬件上運(yùn)行，通過虛擬機(jī)隔離相互保護(hù)；10)多容器間具有全局電源管理功能，控制容器的開關(guān)；11)共享外設(shè)的虛擬化，應(yīng)采用安全隔離方式，不允許兩個VM同時訪問共享外設(shè)。5.7.4基于容器的多系統(tǒng)按照6.7.4的試驗方法，基于容器的多系統(tǒng)將硬件和軟件資源通過容器的方式進(jìn)行劃分和管理，應(yīng)滿足下述要求：1)多個車載操作系統(tǒng)單系統(tǒng)中的非內(nèi)核部分運(yùn)行在基于內(nèi)核（如Linux等）的資源隔離管理框架之上；2)容器間支持文件系統(tǒng)隔離和網(wǎng)絡(luò)隔離；3)基于內(nèi)核（如Linux等）的資源隔離管理框架支持多個容器的互相隔離，在某個容器中運(yùn)行的程序無法訪問其他容器內(nèi)的文件和進(jìn)程；4)資源隔離管理框架需要提供統(tǒng)一管理框架，支持容器的創(chuàng)建、啟動、關(guān)閉及狀態(tài)查詢等管理能力，能夠自動進(jìn)行資源分配，最大化利用硬件；5)支持內(nèi)核資源隔離，主要包括根文件系統(tǒng)路徑、進(jìn)程、用戶、網(wǎng)絡(luò)和IPC；6)支持CPU/內(nèi)存資源的共享調(diào)度和配額管理；7)支持容器間及容器和Host間的通信機(jī)制；8)支持存儲空間隔離，每個容器有獨立的根文件系統(tǒng)，容器間互不可見對方文件系統(tǒng)9)支持容器間進(jìn)程隔離，一個容器無法訪問其他容器的進(jìn)程；10)支持網(wǎng)絡(luò)隔離，每個容器具備完全獨立的網(wǎng)絡(luò)協(xié)議棧視圖，包括網(wǎng)絡(luò)設(shè)備接口，IPv4和IPv6協(xié)議棧，IP路由表，防火墻規(guī)則及sockets等；11)支持容器間故障隔離，一個容器的異常退出或容器內(nèi)進(jìn)程的異常終止不影響其他容器的正常運(yùn)行；12)支持外設(shè)共享技術(shù)，可配置多個容器對于外設(shè)的共享或獨占能力。13)全局電源管理。14)管理各操作系統(tǒng)優(yōu)先級，實現(xiàn)自適應(yīng)分配，最大化利用硬件資源，并滿足對時間敏感需求和系統(tǒng)服務(wù)質(zhì)量的要求；5.8可信執(zhí)行環(huán)境5.8.1基礎(chǔ)要求可信根按照的試驗方法，依據(jù)GB/T413886.2節(jié)的要求，可信根為可信執(zhí)行環(huán)境建立及運(yùn)行提供支撐?？梢允怯布⒋a和數(shù)據(jù)?？尚鸥鶓?yīng)具備以下安全要求：1)應(yīng)具備機(jī)密性、完整性、真實性三個基本安全特性,能夠為可信執(zhí)行環(huán)境系統(tǒng)的安全鑒證、安全度量和安全存儲提供支持;2)應(yīng)提供訪問控制機(jī)制,保證未經(jīng)授權(quán)的用戶不能訪問和篡改可信根的數(shù)據(jù)和代碼。GB/TXXXXX—XXXX安全啟動按照的試驗方法，安全啟動是通過安全機(jī)制來驗證可信執(zhí)行環(huán)境系統(tǒng)啟動過程中每一個階段軟件代碼的完整性和真實性,防止非授權(quán)或被惡意篡改的代碼被執(zhí)行。安全啟動過程構(gòu)建了一個信任鏈,整個過程始于一個可信根，其他組件或代碼需通過完整性和真實性驗證才能被執(zhí)行。安全啟動過程應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)的完整性和真實性。安全啟動應(yīng)滿足如下要求:1)應(yīng)保證用于驗證完整性和真實性的密碼算法本身的魯棒性；2)應(yīng)保證可信根不可被替換或篡改；3)應(yīng)保證用于代碼完整性和真實性驗證的密鑰不可被非授權(quán)替換或篡改,并提供安全的密鑰更新、撤銷機(jī)制；4)應(yīng)保證安全啟動信任鏈按序逐級驗證,不可被惡意繞過；5)宜提供代碼防回滾功能。5.8.2可信操作系統(tǒng)按照6.8.2的試驗方法，可信操作系統(tǒng)應(yīng)具備常規(guī)操作系統(tǒng)中的進(jìn)程管理、內(nèi)存管理、設(shè)備管理、文件管理、日志管理等基本系統(tǒng)功能。按照6.8.2的試驗方法，可信操作系統(tǒng)要求在訪問控制、身份鑒別、數(shù)據(jù)完整性、可信路徑等方面滿足相應(yīng)的安全技術(shù)要求包括:1)應(yīng)保證可信應(yīng)用及可信服務(wù)僅根據(jù)其所分配的權(quán)限訪問相應(yīng)的資源,不能越權(quán)訪問；2)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動的正確性與完整性；3)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實性和完整性；4)應(yīng)具備可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間的訪問控制能力；5)對于系統(tǒng)權(quán)限的管理，應(yīng)避免賦予可信服務(wù)與應(yīng)用最高權(quán)限，避免單一可信應(yīng)用與服務(wù)出現(xiàn)異常時,影響系統(tǒng)內(nèi)核及其他可信應(yīng)用與服務(wù)的正常工作；6)可信操作系統(tǒng)應(yīng)具備內(nèi)存限制，避免應(yīng)用申請內(nèi)存超過堆空間大小而引起操作系統(tǒng)崩潰；7)可信操作系統(tǒng)應(yīng)確保驅(qū)動崩潰不會影響到整個操作系統(tǒng)。5.8.3可信應(yīng)用與服務(wù)管理互信過程按照的試驗方法，對可信應(yīng)用及服務(wù)的管理，應(yīng)采用基于設(shè)備提供商(或授權(quán)服務(wù)商)根證書、應(yīng)用發(fā)布證書認(rèn)證的方式進(jìn)行，以確保應(yīng)用數(shù)據(jù)的機(jī)密性、完整性、真實性和行為的不可否認(rèn)性?？尚艖?yīng)用及服務(wù)部署按照的試驗方法，當(dāng)采用互信通道將TA部署到可信執(zhí)行環(huán)境中時,可信執(zhí)行環(huán)境首先要校驗TA的真實性和完整性,并根據(jù)不同TA提供商所擁有的權(quán)限，對相應(yīng)TA對應(yīng)的相關(guān)資源和通信訪問進(jìn)行嚴(yán)格控制。5.8.4可信服務(wù)可信時間服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信時間服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供獲取可信時間的功能?？尚艜r間分為系統(tǒng)時間與可信應(yīng)用的持久化時間。系統(tǒng)時間具有任意的非持久性的起點，系統(tǒng)時間可以基于專用的安全硬件實現(xiàn)，也可以基于TEE時間實現(xiàn)，不同的可信應(yīng)用實GB/TXXXXX—XXXX例可以擁有不同的系統(tǒng)時間。在整個可信應(yīng)用實例生命周期中，系統(tǒng)時間不可以重置或回滾，不會因進(jìn)入低功耗狀態(tài)而影響系統(tǒng)時間的正常運(yùn)轉(zhuǎn)：可信應(yīng)用的持久化時間起點因每個可信應(yīng)用的不同而不同，但應(yīng)在重啟過程中保持持久化。可信加解密服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信加解密服務(wù)，為可信應(yīng)用以及其他可信服務(wù)提供加解密功能?？尚偶咏饷芊?wù)應(yīng)保證僅獲得相應(yīng)授權(quán)的可信應(yīng)用或可信服務(wù)才可以訪問密鑰?？尚糯鎯Ψ?wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信存儲服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供可信存儲功能?？尚糯鎯Ψ?wù)包括但不限于如下功能：1)對存儲對象的讀寫操作要求應(yīng)確保操作的原子性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性；2)可信存儲應(yīng)具備訪問控制機(jī)制，確保只有授權(quán)的應(yīng)用才能訪問相應(yīng)的存儲空間；3)可信存儲宜提供對數(shù)據(jù)回滾攻擊的防御措施?？尚派矸蓁b別服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)可集成可信身份鑒別服務(wù)，為可信執(zhí)行環(huán)境中的可信應(yīng)用或其他可信服務(wù)提供身份鑒別功能。可信身份鑒別服務(wù)通過識別用戶的個人身份數(shù)字特征信息來識別用戶身份的合法性是否有操作相關(guān)功能的權(quán)利等?？尚派矸蓁b別服務(wù)可以采用但不限于下列身份鑒別方式完成用戶合法性的判斷：口令、指紋、人臉?？尚派矸蓁b別服務(wù)宜基于可信存儲服務(wù)、可信人機(jī)交互、可信加解密服務(wù)等其他可信服務(wù)的協(xié)同操作來完成?？尚旁O(shè)備鑒證服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)可集成可信設(shè)備鑒證服務(wù)，用于證明設(shè)備真實性。可信設(shè)備鑒證服務(wù)可以對外提供但不限于如下種類的功能：1)證明設(shè)備標(biāo)識的真實性及設(shè)備來源的真實性；2)監(jiān)測可信執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)；3)監(jiān)測富執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)。可信人機(jī)交互服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)可集成可信人機(jī)交互服務(wù)，提供可信執(zhí)行環(huán)境下的用戶人機(jī)交互界面顯示和輸入功能。按照的試驗方法，在用戶和應(yīng)用程序之間應(yīng)提供可信通道。具備抵御非法屏幕輸入記錄、非法屏幕顯示內(nèi)容截取、釣魚等攻擊的防護(hù)能力。SE管理服務(wù)按照的試驗方法，可信執(zhí)行環(huán)境系統(tǒng)可集成SE管理服務(wù)，用于提供可信應(yīng)用與SE之間的訪問通道的功能，以滿足更高安全應(yīng)用場景的需求。按照的試驗方法，SE管理服務(wù)應(yīng)具備訪問控制機(jī)制以確保僅經(jīng)過授權(quán)的可信應(yīng)用可以訪5.8.5跨平臺應(yīng)用中間件GB/TXXXXX—XXXX按照6.8.5的試驗方法，跨平臺應(yīng)用中間件主要用于解決不同可信執(zhí)行環(huán)境系統(tǒng)之間的應(yīng)用兼容問題，具體包括四個功能模塊，其要求為：1)跨平臺支持庫，應(yīng)用于彌補(bǔ)不同可信執(zhí)行環(huán)境系統(tǒng)本地支持庫的差異；2)安全驅(qū)動框架，應(yīng)針對NFC、攝像頭、指紋等安全外設(shè)，建立統(tǒng)一驅(qū)動框架；3)跨平臺編程語言，為解決不同可信執(zhí)行環(huán)境系統(tǒng)對TA支持的兼容性問題，應(yīng)建立符合相應(yīng)安全要求的跨平臺編程語言；4)跨平臺API，應(yīng)支持不同平臺對跨平臺中間件調(diào)用的應(yīng)用編程接口。5.8.6可信應(yīng)用可信應(yīng)用加載的安全要求按照的試驗方法，可信執(zhí)行環(huán)境應(yīng)具備對可信應(yīng)用驗證的能力,以達(dá)到保護(hù)可信應(yīng)用內(nèi)容、驗證可信應(yīng)用的合法性的日的?？蛻舳藨?yīng)用與可信應(yīng)用通信的安全要求按照的試驗方法，可信執(zhí)行環(huán)境應(yīng)具備訪問控制能力,確保只有授權(quán)的客戶端應(yīng)用才能訪問對應(yīng)的可信應(yīng)用。可信應(yīng)用與可信應(yīng)用通信的安全要求按照的試驗方法，可信執(zhí)行環(huán)境應(yīng)具備某種訪問控制機(jī)制,使得僅被授權(quán)的可信應(yīng)用可以與目標(biāo)可信應(yīng)用進(jìn)行通信可信應(yīng)用之間的通信，宜保證通信本身的機(jī)密性、完整性,除被授權(quán)的可信應(yīng)用外,其他可信應(yīng)用無法獲取通信本身的信息。5.9性能指標(biāo)5.9.1冷啟動時間按照6.9.1的試驗方法，采用以下方式計算車載操作系統(tǒng)的冷啟動時間，值越小性能越好。1）車載操作系統(tǒng)開機(jī)上電到儀表信息或桌面（倒車?yán)走_(dá)）呈現(xiàn)時間（典型值：小于5s）；2）車載操作系統(tǒng)開機(jī)上電到操作界面可用時間（典型值：小于15s）；3）車載操作系統(tǒng)開機(jī)上電到操作界面視覺可見時間（典型值：小于13s）4）車載操作系統(tǒng)開機(jī)上電到開機(jī)動畫界面視覺可見時間（典型值：小于2s）5）車載操作系統(tǒng)開機(jī)上電到HUD界面視覺可見時間（典型值：小于6s）5.9.2熱啟動時間按照6.9.2的試驗方法，采用以下方式計算車載操作系統(tǒng)的熱啟動時間，值越小性能越好。1）車載操作系統(tǒng)由STR模式或休眠（standby）模式等切換到儀表信息或倒車影像（倒車?yán)走_(dá)）呈現(xiàn)的時間（典型值：小于2s）。2）車載操作系統(tǒng)由STR模式或休眠（standby）模式等切換到操作界面可用的時間（典型值：?。?）車載操作系統(tǒng)由STR模式或休眠(standby)模式啟動到HUD界面穩(wěn)定顯示的時間(典型值:小于3s，進(jìn)入STR模式的靜態(tài)電流典型值<5mA）。5.9.3優(yōu)先級調(diào)度響應(yīng)時間按照6.9.3的試驗方法，在以下條件下，測量高優(yōu)先級任務(wù)的切換響應(yīng)時間，應(yīng)確保實時性，值GB/TXXXXX—XXXX越小性能越好：1）高負(fù)載：CPU平均負(fù)載率80%以上，例如語音地圖、ADAS渲染、娛樂應(yīng)用等都運(yùn)行；5.9.4存儲空間讀寫性能按照6.9.4的試驗方法，在非負(fù)載和相同的溫度條件下使用OTG或本地磁盤對1GB大小的文件進(jìn)行多次讀/寫測試（測試時用同樣的外掛硬盤計算平均的讀/寫速度，值越大性能越好（典型值：NTFS在Win/Linux系統(tǒng)使用的寫平均速度55MB/s，讀平均時間102MB/s）。5.9.5多系統(tǒng)間通信按照6.9.5的試驗方法，在不開啟安全機(jī)制且空載條件下，計算車載操作系統(tǒng)多系統(tǒng)架構(gòu)中不同系統(tǒng)間通信的平均時間、最長時間和最短時間。1）多系統(tǒng)架構(gòu)類型包括5.7節(jié)基于硬件隔離的多系統(tǒng)、基2）對于兩個操作系統(tǒng)A和B組成的多系統(tǒng)，典型測試方案為：輸入命令行，多次進(jìn)行車載操作系統(tǒng)Aping車載操作系5.9.6Hypervisor的資源開銷（CPU/GPU）比率按照6.9.6的試驗方法，在不開啟安全機(jī)制且空載條件下，計算車載操作系統(tǒng)多系統(tǒng)架構(gòu)中Hypervisor的資源開銷（CPU/GPU）比率，計算出該比率為0.80到1.00之間，值越大性能越好。5.9.7可信執(zhí)行環(huán)境的性能要求CPU性能按照中的試驗方法，可信執(zhí)行環(huán)境的性能指標(biāo)如下：1）單核情況下TEE下CPU性能較REE下CPU性能損耗百分比，值越小性能越好；2）多核情況下TEE下CPU性能較REE下CPU性能損耗百分比，值越小性能越好。內(nèi)存性能按照中的試驗方法，計算TEE側(cè)的內(nèi)存性能較REE側(cè)內(nèi)存性能損耗百分比，值越小性能越好。存儲讀寫性能按照中的試驗方法，計算TEE的存儲讀寫與REE的存儲讀寫比率，值越小性能越好。加解密性能按照中的試驗方法，針對不同的加解密方法，可信執(zhí)行環(huán)境的加解密性能指標(biāo)如下：1）對于對稱算法，TEE側(cè)加解密性能較REE側(cè)性能損耗百分比，值越小性能越好；2）對于非對稱算法，TEE側(cè)生成密鑰對的性能較REE側(cè)性能損耗百分比，值越小性能越好，加密、解密的性能較REE性能損耗百分比，值越小性能越好。3）對于摘要算法，TEE側(cè)性能較REE側(cè)性能損耗百分比，值越小性能越好。通信性能按照中的試驗方法，TEE的通信性能指標(biāo)如下：1）TA與TA通信時間和TA與CA通信時間，值越小性能越好；GB/TXXXXX—XXXX2）TEE應(yīng)具備通道并發(fā)能力，支持多CA同時調(diào)用多TA完成一個完整可信任務(wù)。5.10信息安全5.10.1通用安全系統(tǒng)安全按照的試驗方法，車載操作系統(tǒng)的系統(tǒng)安全應(yīng)滿足以下要求：a)系統(tǒng)用戶管理要求1)禁止特權(quán)用戶（如root用戶）直接登錄，應(yīng)限制登錄用戶的權(quán)限；2)應(yīng)區(qū)分不同角色的賬號使用的權(quán)限，宜實施基于賬號的訪問控制；3)系統(tǒng)內(nèi)不應(yīng)存在開發(fā)賬號和測試賬號，應(yīng)刪除非必要的賬號；4)通過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時采取的措施來實現(xiàn)鑒別失敗的處理；5)特權(quán)用戶（如串口root身份）身份驗證應(yīng)至少支持口令鑒別、基于令牌的動態(tài)口令、生物特征識別(刷臉、聲紋或虹膜等)、數(shù)字證書鑒別等多種方式中的一種，并在訪問安全功能相關(guān)的操作之前進(jìn)行鑒別。b）系統(tǒng)服務(wù)管理要求1)操作系統(tǒng)應(yīng)對關(guān)鍵資源實施強(qiáng)制訪問控制（MAC）。應(yīng)用程序只能獲得所需的最低權(quán)限。·應(yīng)用級程序需配置為最小訪問權(quán)限；·系統(tǒng)級程序應(yīng)配置有限的訪問權(quán)限；·接口資源訪問（如：WLAN、藍(lán)牙、USB等接口）的程序應(yīng)配置最小訪問權(quán)限；2)操作系統(tǒng)應(yīng)對關(guān)鍵資源實施自主訪問控制（DAC）。應(yīng)對文件和可執(zhí)行文件的訪問進(jìn)行管理和審計，以保護(hù)文件和進(jìn)程免受未經(jīng)授權(quán)的訪問和操作；3)操作系統(tǒng)應(yīng)關(guān)閉不必要的系統(tǒng)服務(wù)，如非必要的FTP、Telnet、SSH等；4)操作系統(tǒng)的正式版本中不應(yīng)存在為開發(fā)和調(diào)試階段使用的服務(wù)。c)系統(tǒng)安全啟動要求1）車載操作系統(tǒng)應(yīng)支持基于硬件信任根的安全啟動，硬件信任根應(yīng)是可信任的、物理上無法篡改2）應(yīng)使用基于信任根的校驗機(jī)制對根證書的合法性（如公鑰的完整性）進(jìn)行校驗；3）對相關(guān)鏡像的簽名驗簽應(yīng)采用國家密碼相關(guān)機(jī)構(gòu)評估推薦的算法，應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。4）車載操作系統(tǒng)應(yīng)支持基于安全BootLoader的安全啟動。安全BootLoader可支持防漏洞設(shè)計，包括但不限于棧保護(hù)、數(shù)據(jù)不可執(zhí)行。d)系統(tǒng)漏洞管理要求操作系統(tǒng)鏡像中，不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。安全漏洞信息披露平臺和機(jī)構(gòu)參考CVE、CNVD、CNNVD、CNCVE等。e)軟件升級安全要求車載操作系統(tǒng)應(yīng)支持在線更新能力，并驗證更新包的真實性和完整性；在執(zhí)行軟件升級后，應(yīng)告知車輛用戶升級的結(jié)果。f)系統(tǒng)內(nèi)核加固車載操作系統(tǒng)內(nèi)核宜采用安全加固機(jī)制進(jìn)行保護(hù)，如PXN、PAN、KASLR、控制流完整性保護(hù)、RODATA、ROSYSCALLTable、頁表完整性保護(hù)等安全加固機(jī)制；g)針對包含只讀數(shù)據(jù)的存儲分區(qū)，系統(tǒng)應(yīng)采用一種機(jī)制來對數(shù)據(jù)進(jìn)行塊級或文件級完整性保護(hù)；GB/TXXXXX—XXXXh)針對包含讀寫數(shù)據(jù)的存儲分區(qū)，系統(tǒng)應(yīng)采用對數(shù)據(jù)進(jìn)行塊級或文件級的完整性保護(hù)機(jī)制和加密保護(hù)機(jī)制。i)車載操作系統(tǒng)宜對內(nèi)核進(jìn)行完整性保護(hù)。j）車載操作系統(tǒng)應(yīng)限制進(jìn)程可執(zhí)行的系統(tǒng)調(diào)用范圍，限制進(jìn)程的特權(quán)范圍，內(nèi)核應(yīng)支持強(qiáng)制訪問控制，如SElinux。k）應(yīng)提供常見的入侵檢測功能，支持針對特定端口或IP的訪問控制。l)應(yīng)支持地址空間布局隨機(jī)化機(jī)制(ASLR)。m）應(yīng)支持可執(zhí)行空間保護(hù)。n）應(yīng)支持堆棧保護(hù):“堆棧粉碎保護(hù)”或“堆棧保護(hù)器”編譯器技術(shù)。o)應(yīng)支持編譯時緩沖區(qū)溢出檢查。數(shù)據(jù)安全按照的試驗方法，車載操作系統(tǒng)的數(shù)據(jù)安全應(yīng)滿足以下要求：1)當(dāng)應(yīng)用調(diào)用數(shù)據(jù)采集服務(wù)時，系統(tǒng)應(yīng)明確告知用戶采集的目的和范圍；2)當(dāng)應(yīng)用獲取用戶敏感個人信息時，汽車數(shù)據(jù)處理者應(yīng)依據(jù)授權(quán)同意范圍處理個人信息，若超出授權(quán)同意范圍，應(yīng)重新提出授權(quán)同意申請；當(dāng)授權(quán)同意期限屆滿時，若汽車數(shù)據(jù)處理者仍需要繼續(xù)進(jìn)行除刪除外的個人信息處理活動，應(yīng)重新提出個人信息授權(quán)同意申請。3)應(yīng)用收集個人信息應(yīng)限于實現(xiàn)處理目的所必要的最小范圍，取得用戶的明示同意，特殊情況除外（如緊急呼叫等）。4)當(dāng)系統(tǒng)采集遠(yuǎn)程控制、遠(yuǎn)程診斷等功能場景下所發(fā)送的指令數(shù)據(jù)時，系統(tǒng)應(yīng)確保已獲得用戶在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的授權(quán)同意；5)如設(shè)備或后臺需要存儲用戶數(shù)據(jù)，則應(yīng)當(dāng)告知用戶，并獲得授權(quán)，否則當(dāng)前用戶退出登陸后，系統(tǒng)應(yīng)默認(rèn)清空個人數(shù)據(jù)；如用戶授權(quán)設(shè)備后后臺存儲用戶信息，則需提供直觀易用的數(shù)據(jù)刪除選項，以及撤回授權(quán)的選項；恢復(fù)出廠設(shè)置應(yīng)默認(rèn)清除用戶數(shù)據(jù)，或提供用戶數(shù)據(jù)是否一并刪除的選項。6)系統(tǒng)應(yīng)防止非授權(quán)訪問用戶數(shù)據(jù)；7)在多用戶系統(tǒng)中，系統(tǒng)應(yīng)采用用戶間隔離機(jī)制，防止用戶數(shù)據(jù)的非授權(quán)訪問；8)當(dāng)車載操作系統(tǒng)提供用戶數(shù)據(jù)采集功能時，系統(tǒng)應(yīng)提供用戶關(guān)閉的功能；9)系統(tǒng)應(yīng)對用戶數(shù)據(jù)操作（包括采集，傳輸，存儲，銷毀）的日志進(jìn)行存儲；10)敏感個人信息應(yīng)不以明文傳輸，應(yīng)采用加密（例如：SM2、AES（長度不低于128位）等算法）存儲，宜采用基于硬件保護(hù)的安全存儲；11)系統(tǒng)應(yīng)使用基于硬件的安全存儲生物特征信息，或使用純硬件的生物特征功能實現(xiàn)；12)安全重要參數(shù)應(yīng)支持完整性校驗，并應(yīng)防止丟失和誤刪除，宜采用備份或?qū)Ｓ冒踩臻g存儲；13)操作系統(tǒng)應(yīng)指定默認(rèn)日志等級且可配置。14)關(guān)鍵數(shù)據(jù)為車輛內(nèi)外部通信及相關(guān)業(yè)務(wù)涉及的數(shù)據(jù)，包括且不僅限于：通信密鑰、車輛數(shù)字證書私鑰、密碼、車輛長期ID、用戶認(rèn)證的生物特征等個人隱私信息、地圖數(shù)據(jù)、導(dǎo)航數(shù)據(jù)以及其他關(guān)鍵、敏感信息或數(shù)據(jù)、系統(tǒng)核心配置文件。對關(guān)鍵數(shù)據(jù)宜采用加密存儲、訪問控制、加密傳輸?shù)葯C(jī)制進(jìn)行保護(hù)。15)對于關(guān)鍵數(shù)據(jù)應(yīng)考慮覆蓋其全生命周期的安全，包括數(shù)據(jù)的生成、采集、存儲、訪問、傳輸、分析、使用、銷毀等環(huán)節(jié)的安全防護(hù)。16)應(yīng)遵循車企的隱私聲明政策，應(yīng)符合GB/TXXXXX《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》中5.1、5.2、5.3、5.4、5.5、5.6的規(guī)定，不得超范圍采集、傳輸、存儲、使用及共享。通信安全GB/TXXXXX—XXXX按照的試驗方法，車載操作系統(tǒng)若具備通信安全能力，其設(shè)計應(yīng)滿足以下要求：1)系統(tǒng)內(nèi)宜設(shè)置網(wǎng)絡(luò)通信白名單、黑名單等，保證只有受到系統(tǒng)信任的URL可以建立通信鏈接（如Http/以太網(wǎng)/藍(lán)牙等2)應(yīng)使用TLSv1.2(長度不低于2048的RSA算法或長度不低于256的ECC算法)及以上版本進(jìn)行通信，當(dāng)發(fā)送敏感個人信息時，應(yīng)使用TLSv1.2及以上版本進(jìn)行雙向認(rèn)證。3)不宜存在HTTPS和HTTP混合通信的協(xié)議設(shè)置，應(yīng)全部使用HTTPS進(jìn)行；4)使用到的隨機(jī)數(shù)應(yīng)符合隨機(jī)數(shù)相關(guān)標(biāo)準(zhǔn)(例如:GM/T0005等)，保證由已驗證、安全的隨機(jī)數(shù)生成器產(chǎn)生；5)使用已驗證、安全的參數(shù)配置（包括設(shè)備身份標(biāo)識、認(rèn)證機(jī)制、安全通信協(xié)議、安全服務(wù)類型、安全服務(wù)描述、安全服務(wù)授權(quán)信息、安全服務(wù)地址、指定哈希算法、指定加密算法、加密密鑰、證書類型、證書簽發(fā)者、證書有效期、證書有效區(qū)域、證書權(quán)限范圍和應(yīng)用數(shù)據(jù)簽名權(quán)限應(yīng)只允許車廠信任的認(rèn)證機(jī)構(gòu)簽發(fā)的證書；6)網(wǎng)絡(luò)通信時，應(yīng)支持對數(shù)據(jù)內(nèi)容進(jìn)行完整性校驗；數(shù)據(jù)內(nèi)容校驗失敗時，應(yīng)終止該響應(yīng)操作；7)網(wǎng)絡(luò)通信時，應(yīng)支持對通信雙方進(jìn)行身份鑒權(quán)；發(fā)生身份鑒權(quán)失敗時，應(yīng)終止該響應(yīng)操作；8)操作系統(tǒng)應(yīng)支持基于PKI的證書管理機(jī)制和安全協(xié)議；9)對外部網(wǎng)絡(luò)與車內(nèi)網(wǎng)絡(luò)間進(jìn)行隔離(如VLAN或物理隔離)；10)通信宜具備關(guān)鍵事件日志記錄能力；11)網(wǎng)絡(luò)通信應(yīng)對異常報文有感知能力，宜具有告警或其它安全響應(yīng)的能力。12)操作系統(tǒng)不得存在隱蔽端口，開啟端口應(yīng)是系統(tǒng)運(yùn)行和業(yè)務(wù)應(yīng)用所必要的，無用的端口應(yīng)關(guān)13)車外網(wǎng)絡(luò)通信應(yīng)具備訪問控制機(jī)制（如防火墻防止非授權(quán)訪問。14)車內(nèi)具備安全網(wǎng)絡(luò)域的隔離（如vlan）。15)防火墻功能要求（征求車廠意見，是否為必選，有vsoc的情況下，是否還需要有防火墻功？）-實現(xiàn)對報文的安全過濾，攔截非法數(shù)據(jù)，避免其進(jìn)入安全區(qū)域。-防火墻只允許和預(yù)定義的網(wǎng)絡(luò)進(jìn)行通信。-防火墻的相關(guān)數(shù)據(jù)（如攔截數(shù)據(jù)流量、防火墻故障狀態(tài)和防火墻規(guī)則數(shù)量等）應(yīng)使用安全存儲機(jī)制，并支持上報或轉(zhuǎn)發(fā)其它模塊處理的功能。5.10.2應(yīng)用安全按照6.10.2的試驗方法，車載操作系統(tǒng)的應(yīng)用安全應(yīng)滿足以下要求：1)應(yīng)用應(yīng)支持防被逆向分析，宜采用地址隨機(jī)化、代碼混淆或加殼等措施；2)應(yīng)用軟件安裝包應(yīng)采用簽名認(rèn)證機(jī)制，在安裝時應(yīng)校驗其真實性和完整性，在應(yīng)用加載宜驗其完整性；3)應(yīng)用在訪問、操作和使用系統(tǒng)資源及數(shù)據(jù)時，應(yīng)校驗其訪問權(quán)限，宜在訪問請求中直接附帶應(yīng)用身份和權(quán)限信息，并在服務(wù)提供方校驗其權(quán)限是否足夠；4)應(yīng)用間應(yīng)采用隔離機(jī)制，系統(tǒng)宜用不同密鑰對不同應(yīng)用的重要數(shù)據(jù)進(jìn)行加密；5)系統(tǒng)應(yīng)當(dāng)控制應(yīng)用訪問系統(tǒng)調(diào)用的權(quán)限，不應(yīng)向應(yīng)用程序暴露所有的系統(tǒng)調(diào)用。5.10.3審計安全1)按照6.10.3的試驗方法，車載操作系統(tǒng)滿足以下安全審計要求：2)宜對安全相關(guān)的以下事件生成審計日志：系統(tǒng)運(yùn)行記錄、報警記錄、操作日志、網(wǎng)絡(luò)流量記錄、應(yīng)用軟件運(yùn)行日志、配置信息等；GB/TXXXXX—XXXX3)審計日志的內(nèi)容至少應(yīng)包括事件發(fā)生的日期、時間、主體標(biāo)識、事件類型描述和結(jié)果(成功或4)審計日志應(yīng)能本地存儲,訪問本地日志需進(jìn)行權(quán)限管控，本地日志宜加密存儲；5)確保審計信息的真實性和完整性；6)審計日志宜能傳輸?shù)皆贫?，云端日志?yīng)加密存儲，不應(yīng)含有個人信息；7)敏感信息審計包括禁用SU、SUDO命令；禁止敏感IP；禁止明文的密鑰文件等；8)文件系統(tǒng)審計包括文件權(quán)限讀寫配置、分區(qū)掛載rwx屬性配置等；9)服務(wù)審計包括禁用調(diào)試服務(wù)、調(diào)試驅(qū)動等；10)應(yīng)用審計包括開啟Canary棧溢出保護(hù)；隱藏符號表（strip）等。5.10.4多系統(tǒng)安全按照6.10.4的試驗方法，車載操作系統(tǒng)若為多系統(tǒng)，除滿足之上安全要求之外，還應(yīng)滿足以下安全要求：1)多系統(tǒng)安全啟動的整體流程具備統(tǒng)一的硬件信任根和完整的信任鏈，確保多系統(tǒng)代碼和數(shù)據(jù)的完整性和真實性；2)多系統(tǒng)域隔離安全應(yīng)確保多操作系統(tǒng)間的空間隔離（如內(nèi)存、Cache、外設(shè)等）、時間隔離（如硬實時、時間窗配置等）,多系統(tǒng)域隔離安全應(yīng)參考6.1.8故障注入的試驗方法，每個子系統(tǒng)應(yīng)有針對DMA攻擊的防范措施;3)多系統(tǒng)權(quán)限模型應(yīng)確保虛擬機(jī)的每項資源都能夠通過獨立的權(quán)限進(jìn)行管理，系統(tǒng)中無具備最高等級權(quán)限的虛擬機(jī)；4)應(yīng)具備多系統(tǒng)間通信身份驗證和訪問控制的能力；5)多系統(tǒng)驅(qū)動框架對驅(qū)動提供有限防護(hù)（例如基于內(nèi)核安全機(jī)制檢測、前后端驅(qū)動隔離等技術(shù)）6)多系統(tǒng)應(yīng)采用系統(tǒng)間隔離機(jī)制，防止系統(tǒng)數(shù)據(jù)的非授權(quán)訪問。5.11功能安全本標(biāo)準(zhǔn)僅定義車載操作系統(tǒng)特有的要求，整車的功能安全要求兩種方式：1）通過整車功能安全等級來推導(dǎo)ASIL等級2）模塊通過SEooC的方式來確認(rèn)按照6.11的試驗方法，車載操作系統(tǒng)供應(yīng)商應(yīng)至少在系統(tǒng)層面進(jìn)行面向功能安全的技術(shù)安全概念活動，以保障系統(tǒng)在故障條件下，對駕駛員傳遞滿足安全狀態(tài)的關(guān)鍵信息。車載操作系統(tǒng)供應(yīng)商應(yīng)進(jìn)行安全分析活動，并制訂對應(yīng)的安全措施，以說明系統(tǒng)一旦發(fā)生失效,該系統(tǒng)將如何避免或減輕可能對駕駛員的安全產(chǎn)生影響的危害。安全分析至少包括：a)系統(tǒng)層面的安全分析，可采用潛在失效模式與影響分析(FMEA)、故障樹分析(FTA)或任何適合系統(tǒng)安全分析的其他類似過程。b)應(yīng)至少考慮如下因素可能導(dǎo)致的危害以開展安全分析：1)通訊類故障（顯示指令信號）2)控制器系統(tǒng)故障3)顯示屏系統(tǒng)故障4)應(yīng)描述對應(yīng)的安全措施，確保功能安全需求和目標(biāo)的達(dá)成。車載操作系統(tǒng)供應(yīng)商應(yīng)進(jìn)行安全措施制訂，以確保安全概念實現(xiàn)。系統(tǒng)可采取如下安全策略：a)關(guān)鍵區(qū)域（比如：告警燈和檔位信息）維持安全狀態(tài)，其他區(qū)域保持正常功能和性能的顯示（比如：3D渲染）；GB/TXXXXX—XXXXb)關(guān)鍵區(qū)域（比如：告警燈和檔位信息）維持安全狀態(tài)，其他區(qū)域顯示性能降級（比如：2D），并只提供必要信息的顯示（比如：車速）；c)文字類提示（比如：請去4S店維修）。車載操作系統(tǒng)可參照GB/T34590.3的危害分析和風(fēng)險評估的方法確定ASIL等級要求，所使用的底層安全機(jī)制應(yīng)滿足相應(yīng)的ASIL等級要求。不同類型的車載操作系統(tǒng)應(yīng)用場景對車載操作系統(tǒng)的功能安全要求及ASIL等級要求參見附錄E。6車載操作系統(tǒng)試驗方法6.1通用試驗方法6.1.1自動化靜態(tài)代碼掃描a）試驗方法：1）檢查廠商提交的文檔，并檢查代碼的實現(xiàn)情況,分析軟件成分清單，包括組件數(shù)、許可證數(shù)、文件數(shù)、代碼行數(shù)、容量等及各項的詳情列表；2）分析開源成分存在的漏洞風(fēng)險，包括安全漏洞、高風(fēng)險許可證、兼容風(fēng)險等;3）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼子程序和函數(shù)是否采用一個入口和一個出口；4）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否存在動態(tài)對象或動態(tài)變量，否則需要在其產(chǎn)生過程中對其進(jìn)行在線測試；5）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼變量是否初始化；6）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否重復(fù)使用變量名稱；7）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否限制使用指針；8）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否存在隱式類型轉(zhuǎn)換；9）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否存在隱藏數(shù)據(jù)流或控制流；10）通過靜態(tài)代碼測試工具，根據(jù)代碼編程標(biāo)準(zhǔn)檢查代碼是否存在無條件跳轉(zhuǎn)；11）通過靜態(tài)代碼測試工具，使用控制流分析方法檢查被測代碼的控制結(jié)構(gòu)；12）通過靜態(tài)代碼測試工具，使用數(shù)據(jù)流分析方法檢查被測代碼的差錯或異?；虼a規(guī)范情況。注：方法2）、3）、5）、6）和7）可能不適用于在基于模型開發(fā)中用到的圖形模型標(biāo)記法。b）預(yù)期結(jié)果：1）被測代碼滿足廠商提供文檔所規(guī)定的代碼編程,標(biāo)準(zhǔn)獲取軟件成分清單，符合開源合規(guī)性；2）在檢測結(jié)果中獲取漏洞風(fēng)險清單，不應(yīng)存在嚴(yán)重等級高的漏洞;3）子程序和函數(shù)采用一個入口和一個出口；4）無動態(tài)對象或動態(tài)變量；5）變量初始化；6）不能重復(fù)使用變量名稱；7）限制使用指針；8）無隱式類型轉(zhuǎn)換；9）無隱藏數(shù)據(jù)流或控制流；10）沒有無條件跳轉(zhuǎn)；11）無結(jié)構(gòu)化錯；12）無差錯或異常情況或代碼規(guī)范。c）結(jié)果判定：GB/TXXXXX—XXXX上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.1.2代碼審計人工復(fù)核a）試驗方法：1）檢查廠商提交的文檔，并檢查代碼的實現(xiàn)情況；2）對自動化靜態(tài)代碼掃描報告進(jìn)行復(fù)核；3）檢查代碼和設(shè)計的一致性；4）檢查代碼執(zhí)行標(biāo)準(zhǔn)的情況；5）檢查代碼邏輯表達(dá)的正確性；6）檢查代碼結(jié)構(gòu)的合理性；7）檢查代碼的可讀性。8）檢查代碼中與用戶信息或軟件自身安全密切相關(guān)的狀態(tài)信息沒有存儲在非授權(quán)實體都可以訪問的地方；檢查代碼是否存在被繞過的情況；檢查代碼中使用的密碼相關(guān)實現(xiàn)技術(shù)是否符合相關(guān)規(guī)定；應(yīng)確保訪問控制和權(quán)限管理得到實現(xiàn)。9）檢查代碼中的函數(shù)調(diào)用安全、異常處理安全、指針安全等。10）檢查代碼中是否存在釋放資源不當(dāng)?shù)那闆r，比如內(nèi)存的分配、釋放函數(shù)是否成對調(diào)用，內(nèi)存緩沖區(qū)邊界操作是否發(fā)生越界等。b）預(yù)期結(jié)果：1）代碼正確實現(xiàn)功能；2）自動化靜態(tài)代碼掃描報告滿足代碼編程標(biāo)準(zhǔn)；3）代碼和設(shè)計的滿足一致性要求；4）代碼執(zhí)行標(biāo)準(zhǔn)滿足代碼編程標(biāo)準(zhǔn)；5）代碼邏輯表達(dá)滿足正確性要求；6）代碼結(jié)構(gòu)滿足合理性要求；7）代碼滿足可讀性要求。8）關(guān)鍵狀態(tài)數(shù)據(jù)不被外部得知或控制，確保輸入的數(shù)據(jù)都經(jīng)過凈化和驗證；數(shù)據(jù)都進(jìn)行符合規(guī)定的加密和保護(hù)；確保訪問控制和權(quán)限管理的安全。9）代碼實現(xiàn)的安全得以滿足。10）代碼中的資源管理滿足安全性要求。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.1.3形式化數(shù)學(xué)驗證a）試驗輸入使用形式化驗證方法對系統(tǒng)進(jìn)行驗證需要用戶提供如下輸入：1）基于高階邏輯、謂詞邏輯、一階邏輯等數(shù)學(xué)描述的系統(tǒng)狀態(tài)機(jī)對象規(guī)約；2）基于高階邏輯、謂詞邏輯、一階邏輯等數(shù)學(xué)描述的系統(tǒng)安全屬性規(guī)約，系統(tǒng)安全屬性規(guī)約應(yīng)包含系統(tǒng)不變量，或者使用自動化驗證工具時包含的前置條件、后置條件等規(guī)約描述；3）支持形式化驗證的驗證工具、驗證框架、代碼生成器等；4）需要驗證的系統(tǒng)代碼、通過代碼生成工具生成的系統(tǒng)代碼、或者人工編寫的系統(tǒng)代碼；5）詳細(xì)的驗證過程說明文檔；6）需要驗證的系統(tǒng)安全屬性，一般為自然語言描述的安全需求。b）試驗方法：GB/TXXXXX—XXXX1）基于求精方法進(jìn)行驗證，需要驗證不同層上的規(guī)約之間的精化關(guān)系；2）驗證系統(tǒng)實現(xiàn)代碼與規(guī)約之間的精化關(guān)系；3）驗證系統(tǒng)狀態(tài)機(jī)對象規(guī)約滿足系統(tǒng)安全屬性規(guī)約的要求；4）驗證系統(tǒng)前置條件成立時，后置條件的正確性，以及系統(tǒng)不變量在系統(tǒng)狀態(tài)變化過程中的不變性。c）預(yù)期結(jié)果：1）系統(tǒng)狀態(tài)機(jī)規(guī)約的不同層次之間滿足精化關(guān)系，或不滿足精化關(guān)系；2）系統(tǒng)狀態(tài)機(jī)對象規(guī)約滿足或者不滿足系統(tǒng)安全屬性規(guī)約，若不滿足，則給出反例；3）根據(jù)規(guī)約系統(tǒng)能夠或者無法自動合成實現(xiàn)代碼；4）對已提供的系統(tǒng)代碼，系統(tǒng)、框架能夠或者不能夠驗證實現(xiàn)代碼與規(guī)約之間的對等關(guān)系。d）結(jié)果判定：1）系統(tǒng)狀態(tài)機(jī)規(guī)約的不同層次之間滿足精化關(guān)系，或不滿足精化關(guān)系，驗證工具給出推理結(jié)果或者驗證反例；2）系統(tǒng)狀態(tài)機(jī)規(guī)約滿足或者不滿足系統(tǒng)安全屬性規(guī)約，包含前置條件能夠或無法推導(dǎo)出后置條件，系統(tǒng)狀態(tài)機(jī)規(guī)約滿足或不滿足系統(tǒng)不變量要求；3）通過系統(tǒng)規(guī)約自動或者手動輸出系統(tǒng)代碼；4）已提供的代碼與系統(tǒng)狀態(tài)機(jī)形式化規(guī)約滿足等價關(guān)系。如果不滿足等價關(guān)系，需要給出反例或者提示信息。6.1.4二進(jìn)制代碼檢測a）試驗方法：1）使用二進(jìn)制代碼檢測工具，識別二進(jìn)制代碼中包含的開源組件版本信息、用戶名密碼等敏感信息、加密算法、CVE/CNNVD漏洞。b）預(yù)期結(jié)果：1）檢測結(jié)果中不包含與測試模塊相關(guān)的CVE及CNNVD發(fā)布超過6個月的CVSS3評分7.0及以上的高危漏洞；2）檢測結(jié)果中不包含與測試模塊相關(guān)的明文用戶名及密碼信息；3）檢測結(jié)果中不包含與測試模塊相關(guān)的如MD5、RC4等弱加密算法。c）結(jié)果判定：1）上述預(yù)期結(jié)果都滿足判定為符合；2）其他情況判定為不符合。6.1.5模糊測試a）試驗方法：1）對被測程序編譯插樁，生成二進(jìn)制可執(zhí)行文件；2）運(yùn)行被測程序；3）創(chuàng)建模糊測試項目，啟動模糊測試工具；4）根據(jù)初始測試用例進(jìn)行變異，并輸入到被測程序入口；5）監(jiān)控被測程序運(yùn)行狀態(tài)；6）發(fā)現(xiàn)漏洞問題項，記錄并保存。b）預(yù)期結(jié)果：1）待測程序正常執(zhí)行，無運(yùn)行異常中斷；2）內(nèi)存漏洞（內(nèi)存泄漏、內(nèi)存溢出）問題項個數(shù)≤2個。GB/TXXXXX—XXXXc）結(jié)果判定：1）測試正常結(jié)束，未發(fā)現(xiàn)漏洞問題項或發(fā)現(xiàn)漏洞問題項個數(shù)≤2個，判定結(jié)果為符合；2）測試正常結(jié)束，發(fā)現(xiàn)漏洞問題項個數(shù)>2個，判定結(jié)果為不符合。6.1.6漏洞掃描a）試驗方法：1）測試人員用漏洞掃描工具對車載操作系統(tǒng)所在終端進(jìn)行漏洞掃描。發(fā)現(xiàn)并識別測試模塊開放的相關(guān)端口、服務(wù)、廠商、名稱及詳細(xì)版本信息，判斷是否存在已知的高危漏洞。b）預(yù)期結(jié)果：漏洞掃描結(jié)果中不包含CVE及CNNVD發(fā)布超過6個月的CVSS3評分7.0及以上信息安全相關(guān)的高危漏洞。c）結(jié)果判定：1）上述預(yù)期結(jié)果都滿足判定為符合；2）其他情況判定為不符合。6.1.7滲透測試a）試驗方法：1）滲透測試應(yīng)提供與生產(chǎn)環(huán)境相似的仿真環(huán)境，以便進(jìn)行部分可能影響數(shù)據(jù)完整性及穩(wěn)定性的侵入式測試，在生產(chǎn)環(huán)境中應(yīng)避免使用可能導(dǎo)致數(shù)據(jù)完整性及業(yè)務(wù)穩(wěn)定性遭受破環(huán)的測試手段。2）應(yīng)進(jìn)行網(wǎng)絡(luò)安全漏洞掃描測試，對目標(biāo)主機(jī)或網(wǎng)絡(luò)，搜集目標(biāo)信息，根據(jù)搜集到的信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞，設(shè)定滲透測試范圍，如IP段、域名、整站滲透或者部分模塊滲透等，針對找到的安全漏洞制定攻擊計劃，需考慮安全漏洞原理、可利用工具、目標(biāo)程序檢測機(jī)制、攻擊是否可以繞過防火墻等；3）應(yīng)進(jìn)行主機(jī)漏洞掃描測試，從系統(tǒng)用戶的角度檢測計算機(jī)系統(tǒng)的漏洞，包括應(yīng)用軟件、運(yùn)行的進(jìn)程、注冊表或用戶配置等存在的漏洞，通過滲透測試工具等查找存在的安全漏洞；4）應(yīng)進(jìn)行數(shù)據(jù)庫漏洞掃描測試，通過自動掃描和手動輸入發(fā)現(xiàn)數(shù)據(jù)庫，經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患，形成修復(fù)建議報告提供給用戶；5）可基于網(wǎng)絡(luò)安全漏洞研究和挖掘的能力構(gòu)建安全漏洞庫，并使用漏洞庫進(jìn)行定向漏洞掃描，漏洞庫應(yīng)及時更新，在一個月內(nèi)更新完成。6）在執(zhí)行攻擊計劃后，驗證是否可達(dá)以下目標(biāo)：——未發(fā)現(xiàn)CVE及CNNVD發(fā)布超過6個月的CVSS3評分7.0及以上信息安全相關(guān)的高危漏洞或漏洞已修復(fù)無法成功利用；——獲取用戶賬號密碼；——截取目標(biāo)程序傳輸?shù)臄?shù)據(jù)；——控制目標(biāo)主機(jī)等。b）預(yù)期結(jié)果：攻擊操作無法達(dá)到既定目標(biāo)。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.1.8故障注入測試a）試驗方法：GB/TXXXXX—XXXX1）基于廠商軟件安全分析識別出的典型故障，通過破壞標(biāo)定參數(shù)、損壞軟件接口、損壞變量的值、引入代碼突變或損壞CPU寄存器的值等方式注入故障到環(huán)境模型中或模擬被測模型中，模擬和捕捉系統(tǒng)在故障下的行為。2）應(yīng)進(jìn)行基于硬件的故障注入，對每個子系統(tǒng)開發(fā)的驅(qū)動進(jìn)行DMA攻擊檢測，如能通過直接存儲器訪問物理地址空間并進(jìn)行刺探和修改，則說明系統(tǒng)沒有針對DMA攻擊的防范措施。①需要準(zhǔn)備一個具備DMA功能的設(shè)備，例如一塊特制的具有PCI接口的網(wǎng)卡，該卡上帶有DMA控制器，從而嘗試獲取目標(biāo)系統(tǒng)的物理訪問權(quán)限。②通過惡意的驅(qū)動程序、固件漏洞、內(nèi)核提權(quán)來嘗試獲取對DMA控制器的控制權(quán)限，使用DMA控制器將目標(biāo)系統(tǒng)的內(nèi)存映射到自己的設(shè)備上，嘗試直接讀取或?qū)懭肽繕?biāo)系統(tǒng)的內(nèi)存數(shù)據(jù)（如密鑰、登錄憑證等）。③通過DMA控制器直接修改目標(biāo)系統(tǒng)的內(nèi)存內(nèi)容，以執(zhí)行如注入惡意代碼等的惡意操作。最后在完成攻擊后嘗試清理并恢復(fù)修改過的內(nèi)存數(shù)據(jù)，并釋放對DMA控制器的控制權(quán)限，觀察系統(tǒng)能否防御DMA攻擊。3）應(yīng)進(jìn)行基于軟件的故障注入，使用軟件觸發(fā)器將故障注入正在運(yùn)行的軟件系統(tǒng)。①例如將錯誤的數(shù)據(jù)加載到寄存器中，或者修改寄存器的狀態(tài)來引入錯誤。注入錯誤后，觀察系統(tǒng)的響應(yīng)，記錄系統(tǒng)在故障注入情況下的行為和結(jié)果。根據(jù)測試結(jié)果，分析系統(tǒng)在故障注入情況下的表現(xiàn)。評估系統(tǒng)的容錯性、錯誤處理能力和恢復(fù)能力。4）應(yīng)進(jìn)行基于仿真的故障注入。在已知相關(guān)項功能及故障類型的前提下，通過故障注入仿真在危害分析和風(fēng)險評估流程中得到某一故障產(chǎn)生的影響，并據(jù)此細(xì)化安全目標(biāo)。①選擇基于軟件的仿真器、模擬器或虛擬機(jī)等來創(chuàng)建虛擬環(huán)境，根據(jù)已知相關(guān)項的主要功能及其故障類型，正確識別功能失效模式，以獲得關(guān)于其影響的整車層級的數(shù)據(jù)。②在對系統(tǒng)進(jìn)行初步分析后，配置故障注入試驗，包括設(shè)置試驗和駕駛場景，以及生成故障列表。③創(chuàng)建故障化被測系統(tǒng)，故障注入器模塊根據(jù)故障列表的信息及通用故障模型模板，創(chuàng)建故障發(fā)生器代碼。將故障化被測系統(tǒng)與無故障系統(tǒng)的模擬結(jié)果進(jìn)行比較，分析故障影響，進(jìn)而導(dǎo)出適當(dāng)?shù)陌踩繕?biāo)及安全要求。b）預(yù)期結(jié)果：車載操作系統(tǒng)軟件在故障注入（基于軟件的故障注入、基于硬件的故障注入、基于仿真的故障注入）后安全機(jī)制有效，滿足對應(yīng)的軟件安全要求且不包含與功能安全相關(guān)的、非預(yù)期的功能和特性。1）無法被進(jìn)行DMA攻擊，無法獲得DMA控制的權(quán)限，無法讀取或?qū)懭胂到y(tǒng)的內(nèi)存數(shù)據(jù)。2）即使被DMA攻擊也可以被防護(hù)，目標(biāo)系統(tǒng)不被惡意損壞。3）正在運(yùn)行的系統(tǒng)在被故障注入后保持正常運(yùn)行。4）在模擬運(yùn)行場景中，車輛保持可控性、系統(tǒng)功能可以正常運(yùn)行。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.2車載操作系統(tǒng)內(nèi)核在操作系統(tǒng)中運(yùn)行包含任務(wù)調(diào)度、內(nèi)存管理、進(jìn)程間通信功能的應(yīng)用程序，確認(rèn)程序能夠正常工作。a）試驗方法：1）在操作系統(tǒng)中同時運(yùn)行多個程序或反復(fù)運(yùn)行同一個程序，在程序關(guān)閉后，確認(rèn)程序所占用系統(tǒng)資源是否被完全釋放；GB/TXXXXX—XXXX2）嘗試同時創(chuàng)建并執(zhí)行一定數(shù)量的進(jìn)程并確保這些進(jìn)程優(yōu)先級相同，確認(rèn)是否所有進(jìn)程都能夠獲得時間片；3）嘗試同時創(chuàng)建并執(zhí)行一定數(shù)量的進(jìn)程并確保這些進(jìn)程優(yōu)先級各不相同，確認(rèn)是否優(yōu)先級高的進(jìn)程先被執(zhí)行；4）進(jìn)行多次通信測試，記錄每次的響應(yīng)時間，并計算平均值，驗證操作系統(tǒng)進(jìn)程間通信時效5）檢查操作系統(tǒng)內(nèi)核的內(nèi)存管理策略，嘗試進(jìn)行內(nèi)存分配、回收、隔離和共享操作；6）采用文檔審查或采用用戶空間驅(qū)動的開發(fā)工具與接口編寫測試代碼等方式，驗證在微內(nèi)核設(shè)計下，驅(qū)動或應(yīng)用程序崩潰時不影響操作系統(tǒng)正常工作；7）查閱芯片文檔，使用支持指令集的匯編語言，編寫一個簡單的測試代碼，確認(rèn)芯片是否正確執(zhí)行指令；8）連接使用不同文件系統(tǒng)格式（如FAT32、NTFS等）格式化的USB存儲設(shè)備，確認(rèn)車載系統(tǒng)是否能夠正確識別和訪問這些不同格式的USB存儲設(shè)備并能正常進(jìn)行讀取和寫入；9）審查文檔及代碼，確認(rèn)內(nèi)核是否支持設(shè)備驅(qū)動程序框架和設(shè)備驅(qū)動訪問控制功能；10）審查文檔及代碼，檢查內(nèi)核是否支持至少一類文件系統(tǒng)；11）審查文檔及代碼，檢查內(nèi)核是否支持網(wǎng)絡(luò)協(xié)議棧。b）預(yù)期結(jié)果：1）操作系統(tǒng)內(nèi)核設(shè)計包含包含任務(wù)調(diào)度、內(nèi)存管理、進(jìn)程間通信管理三項基礎(chǔ)功能；2）進(jìn)程生命周期完整，執(zhí)行后釋放資源；3）同時創(chuàng)建且優(yōu)先級相同的進(jìn)程都能獲得時間片；4）進(jìn)程按照優(yōu)先級高低依次執(zhí)行；5）操作系統(tǒng)內(nèi)核應(yīng)能夠進(jìn)行內(nèi)存分配、回收、隔離和共享；6）進(jìn)程間通信的時效性符合設(shè)計規(guī)范要求。7）驅(qū)動崩潰不會影響到微內(nèi)核及其他進(jìn)程；8）應(yīng)用程序崩潰不會影響到微內(nèi)核及其他進(jìn)程；9）系統(tǒng)能正確執(zhí)行芯片的指令集；10）車載系統(tǒng)能夠與多媒體網(wǎng)絡(luò)USB存儲設(shè)備進(jìn)行交互和通信；11）內(nèi)核支持設(shè)備驅(qū)動程序框架；12）內(nèi)核支持至少一類文件系統(tǒng)（如EXT3、UFS、FAT32、NFS網(wǎng)絡(luò)文件系統(tǒng)等）；13）內(nèi)核支持網(wǎng)絡(luò)協(xié)議棧。c）結(jié)果判定：1）微內(nèi)核應(yīng)達(dá)到上述預(yù)期結(jié)果中的1）到9），都滿足則判定為符合，有一項不符合則判定為不符合；2）宏內(nèi)核應(yīng)達(dá)到上述預(yù)期結(jié)果中除7）8）之外的所有結(jié)果，都滿足則判定為符合，有一項不符合則判定為不符合。6.3資源抽象6.3.1硬件抽象（HAL）a）試驗方法1）審查文檔，檢查資源抽象的設(shè)計；2）檢查是否支持對芯片的資源抽象；3）檢查是否支持對屏幕、攝像頭、揚(yáng)聲器、麥克風(fēng)等的資源抽象，嘗試使用車載管理系統(tǒng)獲取對應(yīng)資源，嘗試使用硬件接口資源抽象獲取數(shù)據(jù)；GB/TXXXXX—XXXX4）檢查是否支持對外圍IC的資源抽象，檢查外圍IC（如藍(lán)牙、WLAN、GNSS、FM等）的硬件資源抽象和接口，嘗試對這些設(shè)備進(jìn)行訪問；5）檢查是否支持對外圍存儲設(shè)備（如U盤、SD卡）的資源抽象，嘗試對外圍存儲設(shè)備進(jìn)行訪b）預(yù)期結(jié)果1）支持對芯片的資源抽象；2）支持對屏幕、攝像頭、揚(yáng)聲器、麥克風(fēng)等的資源抽象；3）支持對外圍IC（如藍(lán)牙、WLAN、GNSS、FM等）的資源抽象；4）支持對外圍存儲設(shè)備（如U盤）的資源抽象。c）結(jié)果判定：1）達(dá)到上述預(yù)期結(jié)果都滿足則判定為符合；2）達(dá)不到上述預(yù)期結(jié)果，或出現(xiàn)其他情況判定為不符合6.3.2整車信號和服務(wù)資源抽象a）試驗方法1）檢查是否支持對整車服務(wù)資源進(jìn)行抽象，是否提供基于以太網(wǎng)通信協(xié)議的統(tǒng)一數(shù)據(jù)上行/下行接口，嘗試?yán)迷摻涌趯照{(diào)、座椅、檔位、燈等功能進(jìn)行控制，檢查接口功能是否正常。b）預(yù)期結(jié)果1）支持對整車服務(wù)資源的抽象。c）結(jié)果判定：1）達(dá)到上述預(yù)期結(jié)果都滿足則判定為符合；2）達(dá)不到上述預(yù)期結(jié)果，或出現(xiàn)其他情況判定為不符合6.4基礎(chǔ)庫a）試驗方法：1）審查文檔，檢查基礎(chǔ)庫的設(shè)計；2）檢查基礎(chǔ)庫是否有進(jìn)程間通信庫、網(wǎng)絡(luò)傳輸庫、安全通信庫和圖像庫。3）檢查基礎(chǔ)庫是否支持常見的加密算法，如AES和RSA等；4）檢查上層應(yīng)用程序能否方便地調(diào)用硬件加解密功能，訪問和控制加解密模塊。b）預(yù)期結(jié)果：1）設(shè)計要求完整準(zhǔn)確；2）有符合設(shè)計要求和安全需求的相關(guān)基礎(chǔ)庫。c）結(jié)果判定：1）達(dá)到上述預(yù)期結(jié)果都滿足則判定為符合；2）達(dá)不到上述預(yù)期結(jié)果，或出現(xiàn)其他情況判定為不符合。6.5基礎(chǔ)服務(wù)6.5.1互聯(lián)服務(wù)互聯(lián)服務(wù)的試驗方法如下：a）試驗方法1）搭建實車或臺架環(huán)境；GB/TXXXXX—XXXX2）準(zhǔn)備試驗工具：市場主流Android/IOS/HarmonyOS手機(jī)（支持Carplay、Hicar、Carlink、AndroidAuto等手機(jī)有線連接、無線連接、WLAN、藍(lán)牙等），USB數(shù)據(jù)線，CAN設(shè)備，ETC設(shè)備，T-BOX；3）測試車載操作系統(tǒng)與終端通訊功能，USB供網(wǎng)、CAN總線通訊、診斷功能、收音機(jī)、ETC功能，以及連接響應(yīng)性能及壓力測試，不同終端、不同連接方式連接的響應(yīng)時間及穩(wěn)定性存在差4）測試車載操作系統(tǒng)與終端的連接功能，包括有線連接、無線連接、藍(lán)牙音樂、藍(lán)牙電話、數(shù)字藍(lán)牙鑰匙、遠(yuǎn)程車輛控制、遠(yuǎn)程車況查詢、數(shù)據(jù)采集上傳、在線應(yīng)用、有線/無線投屏，以及連接響應(yīng)性能及壓力測試，不同終端、不同連接方式連接的響應(yīng)時間及穩(wěn)定性存在差5）測試網(wǎng)絡(luò)協(xié)議（包含TCP/IP、HTTPS、MQTT等）的信息同步功能，主要體現(xiàn)在系統(tǒng)與設(shè)備端數(shù)據(jù)傳輸與顯示的準(zhǔn)確性及時效性。b）預(yù)期結(jié)果：1）車載操作系統(tǒng)與終端互聯(lián)服務(wù)功能正常，連接響應(yīng)性能及壓力測試符合設(shè)計規(guī)范要求；2）無線（如WLAN、藍(lán)牙）或有線（如USB）方式與個人移動端、云端互通的功能正常，連接響應(yīng)性能及壓力測試符合設(shè)計規(guī)范要求；3）網(wǎng)絡(luò)協(xié)議（例如TCP/IP、HTTPS、MQTT等）符合設(shè)計規(guī)范要求。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.5.2地圖及定位服務(wù)地圖及定位服務(wù)的試驗方法為：a）試驗方法：1）搭建實車環(huán)境，可正常收取GPS信號及網(wǎng)絡(luò)信號；2）準(zhǔn)備測試電腦，測試手機(jī)，測試手機(jī)下載OEMAPP及第三方應(yīng)用；3）車載系統(tǒng)安裝導(dǎo)航地圖軟件，安裝GPS、陀螺儀信息記錄軟件。OEMAPP及第三方應(yīng)用綁定車機(jī)系統(tǒng)賬號；4）進(jìn)行行車路試，測試路線包含：普通道路、長隧道、立交、高架下、地下車庫、高大建筑密集區(qū)、高速連續(xù)出口、主輔路等，查看記錄軟件實時顯示的衛(wèi)星定位、陀螺儀定位數(shù)據(jù)信息；5）依據(jù)相關(guān)設(shè)計文檔，測試車載操作系統(tǒng)定位服務(wù)功能，包括地圖在內(nèi)的各類應(yīng)用程序獲取的位置信息，如導(dǎo)航引導(dǎo)定位，天氣應(yīng)用位置，移動端APP遠(yuǎn)程車況查詢、導(dǎo)航到車、第三方應(yīng)用發(fā)送位置到車等；6）符合汽車數(shù)據(jù)通用要求開展測試，引用相關(guān)標(biāo)準(zhǔn)。b）預(yù)期結(jié)果：1）衛(wèi)星及陀螺儀定位數(shù)據(jù)正常；2）定位服務(wù)功能正常，地圖定位及各類應(yīng)用程序獲取的位置信息準(zhǔn)確。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.5.3語音服務(wù)語音服務(wù)的試驗方法如下：a）試驗方法：GB/TXXXXX—XXXX1）審查語音服務(wù)相關(guān)設(shè)計文檔，確認(rèn)車載操作系統(tǒng)支持語音服務(wù)，如聲學(xué)前端、語音識別、語音合成、語音聲紋、語義理解、對話管理、語義生成、語音自學(xué)習(xí)、語音交互展示等功能；2）搭建實車或臺架環(huán)境，麥克風(fēng)及揚(yáng)聲器功能正常，車端或臺架網(wǎng)絡(luò)正常；3）按照語音服務(wù)文檔規(guī)定，通過實車或臺架驗證在各種工況下（靜態(tài)、城市、高速工況等）的功能是否正常。b）預(yù)期結(jié)果：1）確認(rèn)語音服務(wù)設(shè)計規(guī)范包含車載操作系統(tǒng)語音服務(wù)功能，包括聲學(xué)前端、語音識別、語音合成、語音聲紋、語義理解、對話管理、語義生成、語音自學(xué)習(xí)、語音交互展示等功能。2）語音服務(wù)功能完整，語音喚醒率、識別率、誤識別率、響應(yīng)速度等都符合設(shè)計規(guī)范要求。c）結(jié)果判定：上述預(yù)期結(jié)果都滿足判定為符合，其他情況判定為不符合。6.5.4多媒體服務(wù)多媒體服務(wù)的試驗方法如下：依據(jù)相關(guān)設(shè)計文檔，確認(rèn)車載操作系統(tǒng)支持的U盤格式，音視頻格式、圖片/視頻分辨率，音頻音質(zhì)，及多媒體音源。a）試驗方法：1）搭建實車或臺架環(huán)境，USB線連接正常，車端或臺架網(wǎng)絡(luò)正常；2）準(zhǔn)備不同格式U盤，選擇音源播放來源（藍(lán)牙音樂、U盤音樂、在線音頻、U盤視頻、在線視頻）；3）準(zhǔn)備不同格式的圖像、音頻文件、視頻文件；4）準(zhǔn)備不同分辨率圖像、不同音質(zhì)音頻、不同分辨率視頻文件；5）采用步驟1的提供的U盤設(shè)備及音源，對步驟2、步驟3的文件按進(jìn)行播放控制測試，測試車載操作系統(tǒng)對不同格式的圖像、音頻、視頻的兼容能力驗證其編解碼功能；觀察播放質(zhì)量（噪音、幀率、音質(zhì)、流暢度、清晰度、音視頻同步等）；6）播放時系統(tǒng)后臺查看播放資源占用數(shù)據(jù)，包含網(wǎng)絡(luò)帶寬及CPU占用。b）預(yù)