電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法

中華人民共和國國家標(biāo)準(zhǔn)電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法發(fā)布目次前言 Ⅰ1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25信息安全要求 2 5．4車載終端與平臺通信安全要求 5 6試驗方法 5 6．2車載終端信息安全試驗樣件要求 5車載終端信息安全試驗環(huán)境 5 6．6車載終端與平臺通信安全試驗 10前言起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(SAC／TC114)歸口。本文件起草單位：東軟集團(tuán)股份有限公司、中國汽車技術(shù)研究中心有限公司、北京理工新源信息科技有限公司、戴姆勒大中華區(qū)投資有限公司、北京奇虎科技有限公司、北京汽車研究總院有限公司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、大眾汽車(中國)投資有限公司、福特汽車(中國)有限公司、中國第一汽車股份有限公司、華為技術(shù)有限公司、東風(fēng)汽車集團(tuán)股份有限公司技術(shù)中心、中國信息通信研究院、上汽通用五菱汽車股份有限公司。Ⅰ電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法本文件規(guī)定了電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)的信息安全要求及試驗方法。本文件適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業(yè)平臺和公共平臺之間的數(shù)據(jù)通信。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GBT術(shù)語TGBT協(xié)議及數(shù)據(jù)格式3術(shù)語和定義文件。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)對電動汽車信息進(jìn)行采集、處理和管理，并為聯(lián)網(wǎng)用戶提供信息服務(wù)的系統(tǒng)。由公共平臺、企業(yè)平臺和車載終端組成。 國家、地方政府或其指定機構(gòu)建立的、對管轄范圍內(nèi)電動汽車進(jìn)行數(shù)據(jù)采集和統(tǒng)一管理的平臺。 整車企業(yè)自建或委托第三方技術(shù)單位，對服務(wù)范圍內(nèi)的電動汽車和用戶進(jìn)行管理，并提供安全運營服務(wù)與管理的平臺。 安裝在汽車上，采集及保存整車及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺的裝置或系統(tǒng)。 1平臺間進(jìn)行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)發(fā)送方的遠(yuǎn)程服務(wù)與管理平臺。 平臺間進(jìn)行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)接收方的遠(yuǎn)程服務(wù)與管理平臺。 基于可信根對設(shè)備的目標(biāo)程序進(jìn)行完整性驗證。4縮略語下列縮略語適用于本文件。AES：高級加密標(biāo)準(zhǔn)(AIP：網(wǎng)際互連協(xié)議(ISSL：安全套接層協(xié)議(STCP：傳輸控制協(xié)議(TTLS：安全傳輸層協(xié)議(TUART：通用異步收發(fā)器(UUSB：通用串行總線(UUTC：世界協(xié)調(diào)時間(U5信息安全要求電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)見圖1。圖1電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)圖2若車載終端和其他信息交互系統(tǒng)存在共用硬件的情況，則整個設(shè)備軟硬件也應(yīng)滿足本文件的要求。車載終端的硬件安全要求如下：a)不應(yīng)存在后門或隱蔽接口；b)調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。車載終端應(yīng)具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進(jìn)行保護(hù)。車載終端軟件系統(tǒng)要求如下：a)應(yīng)具備判定和授予應(yīng)用程序?qū)ο到y(tǒng)資源的訪問和操作權(quán)限的能力；b)宜進(jìn)行可信驗證。車載終端數(shù)據(jù)存儲要求如下：a)應(yīng)保證按照GB／T32960．3—2016要求所存儲的遠(yuǎn)程服務(wù)與管理數(shù)據(jù)的保密性和完整性，宜b)車載終端的安全重要參數(shù)在存儲以及使用過程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修改。車載終端網(wǎng)絡(luò)端口傳輸安全要求如下：a)應(yīng)通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議進(jìn)行檢查決定允許或拒絕數(shù)據(jù)包進(jìn)出；b)應(yīng)具備根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流判定允許或拒絕訪問的能力；c)應(yīng)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對進(jìn)出網(wǎng)絡(luò)端口的數(shù)據(jù)流實現(xiàn)訪問控制；d)應(yīng)關(guān)閉非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口，并對業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口進(jìn)行訪問控制；e)應(yīng)對進(jìn)入車載終端的帶有攻擊行為特征的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行識別，且識別率不低于95％；f)宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離；g)宜具備更新擴(kuò)展安全規(guī)則的能力。若車載終端具備遠(yuǎn)程升級功能，車載終端應(yīng)具備升級包校驗機制，校驗升級包的完整性以及來源真3實性。車載終端日志功能要求如下：a)應(yīng)記錄車載終端在遠(yuǎn)程服務(wù)過程中發(fā)生的信息安全相關(guān)事件，如檢測受到網(wǎng)絡(luò)攻擊行為等；b)應(yīng)使每個信息安全事件日志信息記錄的內(nèi)容包括但不限于：日期和時間(精確到秒)、車輛唯一c)應(yīng)保證所存儲信息安全事件日志信息的完整性；d)宜保證所存儲信息安全事件日志信息的保密性；e)車載終端信息安全事件日志應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀?。籪)應(yīng)具有信息安全事件日志的上傳機制，并使用安全通信協(xié)議將信息安全事件日志信息發(fā)送到企業(yè)平臺。車載終端不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)應(yīng)滿足傳輸數(shù)據(jù)的保密性、完整性和可用性要求。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)在客戶端平臺進(jìn)行平臺登入之前，應(yīng)和服務(wù)端平臺進(jìn)行雙向身份鑒別。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)通信協(xié)議棧應(yīng)包含安全通信協(xié)議，在客戶端平臺和服務(wù)端平臺之間建立安全通信連接，保障GB／T32960．3—2016定義的業(yè)務(wù)應(yīng)用層通信的安全性。安全通信協(xié)議應(yīng)基圖2電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)安全通信協(xié)議棧安全通信協(xié)議要求如下：4c)應(yīng)禁用TLS會話重協(xié)商；d)應(yīng)禁用TLS壓縮；e)若使用基于非對稱密鑰的身份認(rèn)證機制，宜使用SM2、密鑰長度不低于2048位的RSA或同級別以及更高級的密碼算法，應(yīng)具有對應(yīng)的證書更新及撤銷機制，證書的有效期宜不超過365d，證書更新過程應(yīng)確保密鑰安全性；f)若使用基于對稱密鑰的身份認(rèn)證機制，宜使用SM4、密鑰長度不低于128位的AES或同級別以及更高級的密碼算法，應(yīng)具有對應(yīng)的密鑰更新機制，更新過程中應(yīng)確保密鑰安全性。信息上報數(shù)據(jù)，加密要求如下：a)數(shù)據(jù)單元加密方式應(yīng)采用SM4、密鑰長度不低于128位的AES或其他同級別以及更高級的密碼算法；b)加密數(shù)據(jù)單元的密鑰應(yīng)與安全通信協(xié)議所使用的密鑰不同。車載終端到平臺的通信應(yīng)滿足雙向身份鑒別和傳輸數(shù)據(jù)的保密性、完整性和可用性要求。車載終企業(yè)平臺應(yīng)對車載終端的信息安全進(jìn)行監(jiān)視管理，應(yīng)能在車載終端產(chǎn)生信息安全問題后，為信息安全應(yīng)急響應(yīng)提供車載終端相關(guān)數(shù)據(jù)以及追溯手段。公共平臺可對車載終端的信息安全狀況進(jìn)行監(jiān)測。6試驗方法電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全試驗方法包括電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)文檔核查和試驗樣件信息安全功能驗證。車載終端信息安全硬件測試的拓?fù)浣Y(jié)構(gòu)，如圖3所示。5圖3車載終端信息安全硬件試驗示意圖車載終端信息安全通信試驗和驗證的拓?fù)浣Y(jié)構(gòu)，如圖4所示。圖4車載終端信息安全通信試驗示意圖車載終端信息安全軟件試驗和驗證的拓?fù)浣Y(jié)構(gòu)，如圖5所示。圖5車載終端信息安全軟件試驗示意圖6通過如下方法檢測車載終端的硬件信息安全：a設(shè)備外殼，取出PCB板，將PCB板放大至少5倍，觀察PCB板，檢查是否存在可非法對芯片進(jìn)行訪問或者更改芯片功能的隱蔽接口；b)根據(jù)車載終端接口定義說明，檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，并使用測試工具嘗試獲取調(diào)試權(quán)限。根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件或硬件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)域。根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件調(diào)試工具對該Boot-不成功時停止加載下一階段系統(tǒng)鏡像。根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，嘗試使用軟件調(diào)試工具對使用軟件調(diào)試工具對系統(tǒng)鏡像的簽名數(shù)據(jù)進(jìn)行破壞，將破壞簽名后的系統(tǒng)鏡像寫入到車載終端內(nèi)的指定區(qū)域，檢測車載終端是否校驗系統(tǒng)鏡像簽名，并在校驗不成功時停止工作。按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權(quán)的軟件應(yīng)用程序，使用該未添加訪問控制權(quán)的軟件應(yīng)用程序嘗試訪問受保護(hù)的軟件應(yīng)用程序資源，檢測受保護(hù)的軟件應(yīng)用程序資源是否可被訪問。根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件調(diào)試工具向軟件系統(tǒng)可信根存儲區(qū)域?qū)懭霐?shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)域。使用軟件調(diào)試工具破壞系統(tǒng)鏡像的受保護(hù)的關(guān)鍵代碼段，并將破壞后的系統(tǒng)鏡像寫入車載終端，檢測加載破壞后的系統(tǒng)鏡像的車載終端是否能正常工作。78使用軟件分析工具讀取存儲遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否為密文存儲。使用非授權(quán)的應(yīng)用程序讀取存儲遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否可進(jìn)行修改，若可修改，則檢測修改后，終端是否依然可正常調(diào)用該數(shù)據(jù)。使用非授權(quán)的應(yīng)用程序讀取系統(tǒng)數(shù)據(jù)區(qū)域的安全重要參數(shù)，測試是否可讀取或使用。核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)。核查是否采用會話認(rèn)證等機制為進(jìn)出數(shù)據(jù)流提供明確的允許或拒絕訪問的能力。在被測樣件設(shè)置符合標(biāo)準(zhǔn)規(guī)定的訪問控制策略，檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的報文，并在列表指定的目的端口檢測接收報文和日志。使用網(wǎng)絡(luò)掃描工具對車載終端進(jìn)行網(wǎng)絡(luò)端口掃描：a)檢測車載終端是否開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端口；b)檢測是否可針對開放的網(wǎng)絡(luò)端口建立非授權(quán)訪問控制連接。將車載終端接入測試網(wǎng)絡(luò)，使用攻擊案例對車載終端實施攻擊，檢測車載終端對攻擊的識別率。若車載終端到平臺采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)進(jìn)行通信，嘗試在非授權(quán)網(wǎng)絡(luò)條件下，將車載終端連接遠(yuǎn)程網(wǎng)絡(luò)服務(wù)平臺，多次重復(fù)檢測是否可建立通信。根據(jù)車載終端安全規(guī)則更新擴(kuò)展方案說明，核查車載終端是否具備安全規(guī)則更新擴(kuò)展的能力。9使用軟件調(diào)試工具破壞升級包的任意內(nèi)容，將被破壞的升級包下載到車載終端指定區(qū)域，并下發(fā)升級包升級指令，檢測車載終端加載升級包時是否進(jìn)行完整性校驗。將非授權(quán)簽名的升級包下載到車載終端指定區(qū)域，并下發(fā)升級包升級指令，檢測車載終端加載升級包時是否進(jìn)行授權(quán)校驗。根據(jù)車載終端安全事件日志記錄規(guī)則說明，核查車載終端日志信息記錄的內(nèi)容是否包括但不限于根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，使用日志分析工具讀取日志功能區(qū)域內(nèi)容，檢測是否為密文存儲。根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，使用非授權(quán)的應(yīng)用程序讀取日志功能區(qū)域內(nèi)容，檢測，是否依然可正常讀取該日志。根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，以非授權(quán)的用戶應(yīng)用程序訪問審計信息存儲區(qū)域，檢測訪問是否成功。將車載終端接入測試網(wǎng)絡(luò)，使用攻擊案例對車載終端實施惡意攻擊，核查攻擊結(jié)束后，是否可在企業(yè)平臺上檢索到本次安全攻擊事件日志。通過如下方法檢測車載終端系統(tǒng)信息安全：a)使用漏洞掃描工具對車載終端進(jìn)行漏洞檢測，檢測是否存在權(quán)威漏洞平臺6個月前公布的高危及以上的安全漏洞；b)若存在高危及以上的安全漏洞，則檢查廠商是否提供了該漏洞的處置方案。核查平臺間通信接入是否具有認(rèn)證機制。使用網(wǎng)絡(luò)監(jiān)聽工具，監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，檢測企業(yè)平臺與公共平臺之間傳輸?shù)臄?shù)據(jù)是否為密文。對車載終端上報的數(shù)據(jù)進(jìn)行破壞后，檢測企業(yè)平臺與公共平臺之間傳輸是否失敗。通過網(wǎng)絡(luò)掃描工具對企業(yè)平臺進(jìn)行網(wǎng)絡(luò)端口掃描：a)檢測企業(yè)平臺是否有開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端口；b)在非授權(quán)網(wǎng)絡(luò)條件下，使用外部網(wǎng)絡(luò)工具，檢測針對開放的網(wǎng)絡(luò)端口是否可建立非授權(quán)訪問連接。