(高清版)GBT 40856-2021 車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法

車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法2021-10-11發(fā)布2022-05-01實施 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25技術(shù)要求 35.1硬件安全要求 35.2通信協(xié)議與接口安全要求 35.3操作系統(tǒng)安全要求 55.4應(yīng)用軟件安全要求 85.5數(shù)據(jù)安全要求 96試驗方法 6.1硬件安全試驗 6.2通信協(xié)議與接口安全試驗 6.3操作系統(tǒng)安全試驗 6.4應(yīng)用軟件安全試驗 6.5數(shù)據(jù)安全試驗 附錄A(資料性)車載信息交互系統(tǒng)示意圖 I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標準化技術(shù)委員會(SAC/TC114)歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、北京新能源汽車股份有限公司、華為技術(shù)有限公司、中國信息通信研究院、中國第一汽車股份有限公司、英飛凌科技(中國)有限公司、北京奇虎科技有限公司、國汽(北京)智能網(wǎng)聯(lián)汽車研究院有限公司、上汽大眾汽車有限公司、北京百度網(wǎng)訊科技有限公司、上海汽車集團股份有限公司技術(shù)中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、重慶長安汽車股份有限公司、東南(福建)汽車工業(yè)有限公司、浙江吉利汽車研究院有限公司、北京理工新源信息科技有限公司、上汽通用五菱汽車股份有限公司。本文件主要起草人：張亞楠、孫航、張兆龍、潘凱、國煒、李木犀、陳漢順、劉建鑫、王建、劉洋洋、1車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法要求與試驗方法。本文件適用于指導(dǎo)整車廠、零部件供應(yīng)商、軟件供應(yīng)商等企業(yè)，開展車載信息交互系統(tǒng)信息安全技2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T25069信息安全技術(shù)術(shù)語GB/T40861汽車信息安全通用技術(shù)要求GM/T0005—2012隨機性檢測規(guī)范3術(shù)語和定義GB/T25069、GB/T40861界定的以及下列術(shù)語和定義適用于本文件。安裝在車輛上的通信系統(tǒng)，具備下列至少一項功能：a)對外可通過蜂窩網(wǎng)絡(luò)、短距離通信等通信技術(shù)建立連接并進行數(shù)據(jù)交換等功能，對內(nèi)可通過汽車總線與電子電氣系統(tǒng)進行信息采集、數(shù)據(jù)傳遞與指令下發(fā)等功能；注1:車載信息交互系統(tǒng)通常為遠程車載信息交互系統(tǒng)(T-Box)、車載綜合信息處理系統(tǒng)(IVI)以及其混合體。注2:典型的車載信息交互系統(tǒng)示意圖見附錄A中圖A.1。車載信息交互系統(tǒng)與車輛外部的無線通信。注：包括基于移動蜂窩網(wǎng)絡(luò)的遠程通信、藍牙、WLAN等短距離通信等。車載信息交互系統(tǒng)與車輛內(nèi)電子電氣系統(tǒng)的通信。注：包括基于CAN、CAN-FD、LIN、車載以使用車載信息交互系統(tǒng)資源的對象。2由用戶產(chǎn)生或為用戶服務(wù)的數(shù)據(jù)。注：該數(shù)據(jù)不影響安全功能的運行。代碼簽名codesigning利用數(shù)字簽名機制，由具備簽名權(quán)限的實體對全部或部分代碼進行簽名的機制。注：包括在車載信息交互系統(tǒng)中已預(yù)裝的應(yīng)用軟件和后期可安裝的應(yīng)用軟件。平臺服務(wù)端platformserver為車輛提供服務(wù)的平臺。注：包括企業(yè)自主運營平臺及第三方平臺等。車輛外部的終端設(shè)備。車載公有遠程通信協(xié)議on-boardpublictelecommunicationprotocol適用于車載信息交互系統(tǒng)，并且經(jīng)國際或國家標準化組織采納或批準的標準通信協(xié)議。車載私有遠程通信協(xié)議on-boardprivatetelecommunicationprotocol除HTTP、FTP等通信協(xié)議，整車廠或零部件廠與TSP自定義適用于車載信息交互系統(tǒng)的通信4縮略語下列縮略語適用于本文件。CAN:控制器局域網(wǎng)絡(luò)(ControllerAreaNetwork)CAN-FD:控制器局域網(wǎng)絡(luò)-靈活數(shù)據(jù)(ControlAreaNetwork-flexibledata)ECU:電子控制單元(ElectronicControlUnit)E-Call:緊急呼叫(EmergencyCall)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)JTAG:聯(lián)合測試工作組(JointTestActionGroup)LIN:局域互連網(wǎng)絡(luò)(LocalInterconnectNetwork)PCB:印制電路板(PrintedCircuitBoard)3PSK:預(yù)共享密鑰(Pre-SharedKey)SPI:串行外設(shè)接口(SerialPeripheralInterface)SSP:安全簡易配對(SecureSimplePairing)SU:切換用戶(SwitchUser)TLS:安全傳輸層協(xié)議(TransportLayerSecurity)TSP:終端服務(wù)平臺(TelematicsServiceProvider)UART:通用異步收發(fā)器(UniversalAsynchronousReceiver/Transmitter)URL:統(tǒng)一資源定位符(UniformResourceLocator)USB:通用串行總線(UniversalSerialBus)WLAN:無線局域網(wǎng)(WirelessLocalAreaNetworks)WPA:無線局域網(wǎng)安全接入(WLANProtectedAccess)5技術(shù)要求5.1硬件安全要求5.1.1車載信息交互系統(tǒng)所使用的芯片應(yīng)滿足以下要求：a)按照6.1a)進行測試，調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制；b)按照6.1b)進行測試，不存在后門或隱蔽接口。和傳輸個人敏感信息的關(guān)鍵芯片及安全芯片，應(yīng)減少暴露管腳。5.1.3按照6.1d)進行測試，車載信息交互系統(tǒng)所使用的關(guān)鍵芯片之間應(yīng)減少暴露的通信線路數(shù)量，例如：使用多層電路板的車載信息交互系統(tǒng)可采用內(nèi)層布線方式隱藏通信線路。5.1.4按照6.1e)進行測試，電路板及芯片不宜暴露用以標注端口和管腳功能的可讀絲印。5.2通信協(xié)議與接口安全要求按照a)進行測試，車載信息交互系統(tǒng)應(yīng)實現(xiàn)對平臺服務(wù)端或外部終端的身份認證。當(dāng)身份認證成功后，按照b)進行測試，車載信息交互系統(tǒng)與平臺服務(wù)端或外部終端才能進行業(yè)務(wù)數(shù)據(jù)的通信交互。按照進行測試，車載信息交互系統(tǒng)與平臺服務(wù)端或外部終端間傳輸?shù)臄?shù)據(jù)內(nèi)容應(yīng)進行加車載信息交互系統(tǒng)進行通信時，應(yīng)滿足以下要求：4.1車載公有遠程通信協(xié)議安全車載公有遠程通信協(xié)議，按照.1進行測試，應(yīng)采用TLS1.2版本及以上或至少同等安全級別的安全通信協(xié)議。.2車載私有遠程通信車載私有遠程通信協(xié)議應(yīng)滿足以下要求：a)按照.2a)進行測試，支持以安全方式進行用于數(shù)據(jù)加密密鑰的更新；b)按照.2b)進行測試，其使用的密鑰應(yīng)進行安全傳輸。短距離通信協(xié)議安全短距離通信口令應(yīng)用安全應(yīng)滿足以下要求：a)按照.1a)進行測試，缺省口令應(yīng)使用至少包括阿拉伯?dāng)?shù)字、大小寫拉丁字母，長度不少于8位的強復(fù)雜度的口令；注：藍牙不限定于以上條款要求內(nèi)。b)按照.1b)進行測試，不同車載信息交互系統(tǒng)應(yīng)使用不同的缺省口令；c)按照.1c)進行測試，更改口令時，限定用戶設(shè)置a)要求的口令或向用戶提示風(fēng)險；注：藍牙不限定于以上條款要求內(nèi)。d)按照.1d)進行測試，對于人機接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的登錄認證，應(yīng)支持口令防暴力破解機制，且按照.1e)進行測試，口令文件應(yīng)設(shè)置安全訪問控制。對具有車載藍牙通信功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)按照.2a)進行測試，車載信息交互系統(tǒng)不應(yīng)存在后門；b)按照.2b)進行測試，外部設(shè)備請求與車載藍牙配對的方式在經(jīng)典(Classic)場合應(yīng)為SSP模式，在LE場合應(yīng)為低功耗安全連接(LESecureConnection)模式；c)按照.2c)進行測試，車載信息交互系統(tǒng)應(yīng)驗證配對請求；進行測試，應(yīng)對外部設(shè)備的訪問權(quán)限進行控制以防止非法接入；e)對于高安全要求的車載藍牙通信功能，例如：利用藍對具有WLAN熱點功能的車載信息交互系統(tǒng)，按照.3進行測試，應(yīng)使用WPA2-PSK或更高安全級別的加密認證方式。當(dāng)車載信息交互系統(tǒng)通過CAN、車載以太網(wǎng)等類型總線與車內(nèi)其他控制器節(jié)點進行數(shù)據(jù)交互時，按照6.2.2進行測試，應(yīng)使用安全機制確保車輛控制指令等所傳輸重要數(shù)據(jù)的完整性和可用性。55.2.3通信接口安全車載信息交互系統(tǒng)的通信接口應(yīng)滿足以下要求：a)按照a)進行測試，不應(yīng)存在任何后門或隱蔽接口；b)按照b)進行測試，訪問權(quán)限等需授權(quán)內(nèi)容不應(yīng)超出正常業(yè)務(wù)范圍。車外通信接口安全.1按照a)進行測試，車載信息交互系統(tǒng)應(yīng)支持路由隔離，隔離執(zhí)行控制車輛指令、收集個人敏感信息等功能的核心業(yè)務(wù)平臺的通信，隔離對內(nèi)通信中非核心業(yè)務(wù)平臺的內(nèi)部通信以及對外通信中非核心業(yè)務(wù)平臺的外網(wǎng)通信等。注：非核心業(yè)務(wù)平臺指除核心業(yè)務(wù)平臺之外的業(yè)務(wù)平臺。.2按照b)進行測試，車載信息交互系統(tǒng)與能執(zhí)行控制車輛指令、收集個人敏感信息等功能的核心業(yè)務(wù)平臺間通信宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離。車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)按照a)進行測試，對合法指令設(shè)置白名單；b)按照b)進行測試，對總線控制指令來源進行校驗。5.3操作系統(tǒng)安全要求5.3.1操作系統(tǒng)安全配置車載信息交互系統(tǒng)在其操作系統(tǒng)安全配置方面，應(yīng)滿足以下要求：a)按照6.3.1a)進行測試，禁止最高權(quán)限用戶直接登錄，且限制普通用戶提權(quán)操作；b)按照6.3.1b)進行測試，刪除或禁用無用賬號，并使用至少包括阿拉伯?dāng)?shù)字、大小寫拉丁字母，長度不少于8位的強復(fù)雜度口令；c)按照6.3.1c)進行測試，具備訪問控制機制控制用戶、進程等主體對文件、數(shù)據(jù)庫等客體進行訪問；授權(quán)的遠程接入服務(wù)。5.3.2安全調(diào)用控制能力通信類功能受控機制具有撥打電話功能的車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)按照.1a)進行測試，在用戶明示同意后，調(diào)用撥打電話操作才能執(zhí)行；b)按照.1b)進行測試，向用戶明示業(yè)務(wù)內(nèi)容，且在用戶明示同意后，調(diào)用撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)操作才能執(zhí)行。注：緊急情況下，E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。具有三方通話功能的車載信息交互系統(tǒng)，按照.2進行測試，應(yīng)在用戶明示同意后，調(diào)用三方6通話操作才能執(zhí)行。具有發(fā)送短信功能的車載信息交互系統(tǒng)，按照.3進行測試，應(yīng)在用戶明示同意后，調(diào)用發(fā)送短信操作才能執(zhí)行。注：緊急情況下，E-Call等應(yīng)急功能不限定于以上條款要求范圍內(nèi)。具有發(fā)送彩信功能的車載信息交互系統(tǒng)，按照.4進行測試，應(yīng)在用戶明示同意后，調(diào)用發(fā)送彩信操作才能執(zhí)行。具有發(fā)送郵件功能的車載信息交互系統(tǒng)，按照.5進行測試，應(yīng)在用戶明示同意后，調(diào)用發(fā)送郵件操作才能執(zhí)行。具有交互界面的車載信息交互系統(tǒng)，在移動通信網(wǎng)絡(luò)連接時，應(yīng)滿足以下要求：a)按照.6a)進行測試，應(yīng)具備允許開啟或關(guān)閉移動通信網(wǎng)絡(luò)連接功能；b)按照.6b)進行測試，向用戶進行提示，且在用戶明示同意后，調(diào)用移動通信網(wǎng)絡(luò)連接功能的操作才能執(zhí)行；c)按照.6c)進行測試，向用戶提供通過配置應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)連接的功能；d)當(dāng)移動通信網(wǎng)絡(luò)處于已連接狀態(tài)時，按照.6d)進行測試，應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；e)當(dāng)正在傳送數(shù)據(jù)時，按照.6e)進行測試，應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；f)上述d)和e)中，按照6.3.注：緊急情況下，E-Call等應(yīng)急功能不限定于以上條款要求內(nèi)。具有交互界面的車載信息交互系統(tǒng)，在WLAN網(wǎng)絡(luò)連接時，應(yīng)滿足以下要求：a)按照.7a)進行測試，應(yīng)具備允許開啟或關(guān)閉WLAN網(wǎng)絡(luò)連接功能；b)按照.7b)進行測試，向用戶進行提示，且在用戶明示同意后，調(diào)用WLAN網(wǎng)絡(luò)連接功能的操作才能執(zhí)行；c)當(dāng)WLAN網(wǎng)絡(luò)處于已連接狀態(tài)時，按照.7c)進行測試，應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；d)當(dāng)正在傳送數(shù)據(jù)時，按照.7d)進行測試，應(yīng)在交互界面上給用戶相應(yīng)的狀態(tài)提示；本地敏感功能受控機制具有交互界面的車載信息交互系統(tǒng)，在調(diào)用定位功能時，應(yīng)滿足如下要求：a)按照.1a)進行測試，在用戶明示同意后，才能執(zhí)行定位功能；b)按照.1b)進行測試，向用戶提供后臺定位控制功能以配置應(yīng)用軟件是否可調(diào)用定位功能；7d)當(dāng)調(diào)用定位功能時，按照.1d)進行測試，宜在交互界面上給用戶相應(yīng)的狀態(tài)提示。具有交互界面的車載信息交互系統(tǒng)，在調(diào)用通話錄音功能時，按照.2進行測試，應(yīng)在用戶明示同意后，才能執(zhí)行通話錄音功能。具有交互界面的車載信息交互系統(tǒng)，在調(diào)用人機交互功能時，按照.3進行測試，應(yīng)在用戶明示同意后，才能執(zhí)行人機交互功能。注：此處人機交互功能是指涉及指紋、語音、圖像、視頻等個人生物特征信息的交互功能。處理用戶數(shù)據(jù)時，按照.4進行測試，操作系統(tǒng)應(yīng)得到相應(yīng)授權(quán)，例如：當(dāng)應(yīng)用軟件需要調(diào)用對電話本數(shù)據(jù)、通話記錄、上網(wǎng)記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)的讀或?qū)懖僮鲿r，操作系統(tǒng)應(yīng)在應(yīng)用軟件授權(quán)的情況下方可執(zhí)行。5.3.3操作系統(tǒng)安全啟動車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)按照6.3.3a)進行測試，操作系統(tǒng)的啟動應(yīng)始于一個無法被修改的信任根；b)按照6.3.3b)進行測試，應(yīng)在可信存儲區(qū)域驗證操作系統(tǒng)簽名后，才能加載車載端操作系統(tǒng)，防止加載被篡改的操作系統(tǒng)；c)在執(zhí)行其他的安全啟動代碼前，按照6.3.3c)進行測試，應(yīng)驗證代碼完整性。車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)按照6.3.4a)進行測試，應(yīng)具備系統(tǒng)鏡像的防回退校驗功能；b)當(dāng)更新鏡像安裝失敗時，按照6.3.4b)進行測試，應(yīng)恢復(fù)到更新前的版本或者進入安全狀態(tài)；注：安全狀態(tài)指不通過車載信息交互系統(tǒng)對整車引入安全威脅的狀態(tài)。c)按照6.3.4c)、d)進行測試，應(yīng)具有驗證更新鏡像完整性和來源可靠的安全機制。5.3.5操作系統(tǒng)隔離按照6.3.5進行測試，除必要的接口和數(shù)據(jù)，例如：撥打電話等功能和電話本和短信等數(shù)據(jù)，可共享外，預(yù)置功能平行的多操作系統(tǒng)之間不應(yīng)進行通信。5.3.6操作系統(tǒng)安全管理車載信息交互系統(tǒng)應(yīng)滿足以下要求：a)針對車機類操作系統(tǒng)，按照6.3.6a)進行測試，應(yīng)對應(yīng)用軟件運行的實時環(huán)境進行監(jiān)控，對異常狀況，例如：異常網(wǎng)絡(luò)連接、內(nèi)存占用突增等狀況進行告警；b)針對車機類操作系統(tǒng)，按照6.3.6b)進行測試，應(yīng)支持FTP、HTTP等服務(wù)，以及SU登錄等操作的審計功能；c)按照6.3.6c)進行測試，應(yīng)具備重要事件，例如：關(guān)鍵配置變更、非系統(tǒng)的安全啟動校驗失敗等事件的日志記錄功能，并若具有網(wǎng)聯(lián)功能，按照6.3.6d)進行測試，應(yīng)能按照策略上傳至服8d)按照6.3.6e)進行測試，應(yīng)對日志文件進行安全存儲；e)按照6.3.6f)進行測試，應(yīng)采取訪問控制機制，對日志讀取寫入的權(quán)限進行管理；f)按照6.3.6g)進行測試，應(yīng)對開發(fā)者調(diào)試接口進行管控，禁止非授權(quán)訪問；g)按照6.3.6h)進行測試，不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞；注：處置包括消除漏洞、制定減緩措施等方式。h)按照6.3.6i)進行測試，宜具備識別、阻斷應(yīng)用軟件以高敏感權(quán)限，例如：最高權(quán)限用戶權(quán)限、涉及非業(yè)務(wù)內(nèi)控車行為的權(quán)限等運行的能力。5.4應(yīng)用軟件安全要求5.4.1應(yīng)用軟件基礎(chǔ)安全車載信息交互系統(tǒng)上的應(yīng)用軟件基礎(chǔ)安全應(yīng)滿足以下要求：a)按照6.4.1a)進行測試，從安全合規(guī)的來源下載和安裝軟件；b)按照6.4.1b)進行測試，不存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安注：處置包括消除漏洞、制定減緩措施等方式。c)按照6.4.1c)進行測試，不存在非授權(quán)收集或泄露個人敏感信息、非授權(quán)數(shù)據(jù)外傳等惡意行為；d)按照6.4.1d)進行測試，不以明文形式存儲個人敏感信息；e)按照6.4.1e)進行測試，具備會話安全保護機制，例如：使用隨機生成會話ID等機制；f)按照6.4.1f)進行測試，使用至少包括阿拉伯?dāng)?shù)字、大小寫拉丁字母，長度不少于8位的強復(fù)雜度口令或向用戶提示風(fēng)險；g)按照6.4.1g)進行測試，符合密碼學(xué)要求，不直接在代碼中寫入私鑰；按照6.4.1h)進行測試，使用已驗證、安全的加密算法和參數(shù)；按照6.4.1i)進行測試，同一個密鑰不復(fù)用于不同用途；h)按照6.4.1j)進行測試，使用到的隨機數(shù)符合GM/T0005—2012等隨機數(shù)相關(guān)標準，保證由已驗證、安全的隨機數(shù)生成器產(chǎn)生。5.4.2應(yīng)用軟件代碼安全車載信息交互系統(tǒng)上的應(yīng)用軟件代碼安全應(yīng)滿足以下要求：a)按照6.4.2a)進行測試，應(yīng)用軟件的開發(fā)者在使用第三方組件時應(yīng)識別其涉及公開漏洞庫中已知的漏洞并安裝補?。籦)對于非托管代碼，按照6.4.2b)進行測試，應(yīng)確保內(nèi)存空間的安全分配、使用和釋放；c)按照6.4.2c)進行測試，應(yīng)用軟件安裝包應(yīng)采用代碼簽名認證機制；d)按照6.4.2d)進行測試，發(fā)布后應(yīng)禁用調(diào)試功能，并刪除調(diào)試信息；e)在非調(diào)試場景或非調(diào)試模式下，按照6.4.2e)進行測試，應(yīng)用軟件日志不應(yīng)包含調(diào)試輸出；f)按照6.4.2f)進行測試，宜使用構(gòu)建工具鏈提供的代碼安全機制，例如：堆棧保護、自動引用計數(shù)等；5.4.3應(yīng)用軟件訪問控制車載信息交互系統(tǒng)上的應(yīng)用軟件訪問控制應(yīng)滿足以下要求：a)按照6.4.3a)進行測試，應(yīng)支持權(quán)限管理，按照6.4.3b)進行測試，不同的應(yīng)用軟件基于實現(xiàn)特定功能分配不同的接口權(quán)限；9b)按照6.4.3c)進行測試，對外部輸入的來源，例如：用戶界面、URL等來源進行校驗；c)身份校驗時，按照6.4.3d)進行測試，應(yīng)至少進行本地驗證。5.4.4應(yīng)用軟件運行安全車載信息交互系統(tǒng)上的應(yīng)用軟件運行安全應(yīng)滿足以下要求：a)按照6.4.4a)進行測試，與控制車輛、支付相關(guān)等關(guān)鍵應(yīng)用軟件在啟動時應(yīng)執(zhí)行自檢機制；b)當(dāng)輸入個人敏感信息時，按照6.4.4b)進行測試，應(yīng)采取安全措施確保個人敏感信息不被其他應(yīng)用竊取，并通過使用安全軟鍵盤等防止錄屏；c)應(yīng)用軟件正常退出時，按照6.4.4c)進行測試，應(yīng)擦除緩存文件中的個人敏感信息；d)按照6.4.4d)進行測試，應(yīng)用軟件進程間通信不宜明文傳輸個人敏感信息；e)按照6.4.4e)進行測試，不宜利用進程間通信提供涉及個人敏感信息功能的接口。5.4.5應(yīng)用軟件通信安全車載信息交互系統(tǒng)上的應(yīng)用軟件通信安全應(yīng)滿足以下要求：a)對外傳輸個人敏感信息時，按照6.4.5a)進行測試，應(yīng)采用數(shù)據(jù)加密傳輸方式；b)按照6.4.5b)進行測試，實現(xiàn)通信端之間的雙向認證后，才能發(fā)送個人敏感信息；c)按照6.4.5c)進行測試，使用已驗證、安全的參數(shù)設(shè)置，按照6.4.5d)進行測試，只允許驗證通過OEM授信CA簽發(fā)的證書。5.4.6應(yīng)用軟件日志安全車載信息交互系統(tǒng)上的應(yīng)用軟件日志安全應(yīng)滿足以下要求：a)按照6.4.6a)進行測試，采取訪問控制機制管理日志讀取和寫入的權(quán)限；b)按照6.4.6b)進行測試，對用于記錄用戶支付歷史記錄、導(dǎo)航檢索歷史記錄等事件的重要日志文件進行安全存儲；c)按照6.4.6c)進行測試，對個人敏感信息進行脫敏或其他防護后，才能寫入應(yīng)用日志。5.5數(shù)據(jù)安全要求車載信息交互系統(tǒng)數(shù)據(jù)采集應(yīng)滿足以下要求：a)采集用戶數(shù)據(jù)時，按照6.5.1a)進行測試，應(yīng)告知用戶采集目的和范圍，取得授權(quán)同意，并提供關(guān)閉數(shù)據(jù)采集的功能；b)采集個人敏感信息時，按照6.5.1b)進行測試，應(yīng)取得用戶的明示同意，并確保個人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的意愿表示；c)采集遠程控制、遠程診斷等功能場景下所發(fā)送的指令數(shù)據(jù)時，按照6.5.1c)進行測試，應(yīng)取得用戶授權(quán)同意；d)按照6.5.1d)進行測試，宜在提供相應(yīng)服務(wù)的同時進行用戶數(shù)據(jù)采集。車載信息交互系統(tǒng)數(shù)據(jù)存儲應(yīng)滿足以下要求：a)按照6.5.2a)進行測試，應(yīng)采用SM2、SM3、SM4、長度不低于2048位的RSA、長度不低于128位的AES、哈希(Hash)摘要等加密算法存儲個人敏感信息，宜采用硬件安全存儲方式；b)按照6.5.2b)進行測試，應(yīng)實現(xiàn)安全重要參數(shù)的安全存儲和運算，可采用硬件防護方式；c)存儲用戶數(shù)據(jù)時，按照6.5.2c)進行測試，應(yīng)防止非授權(quán)訪問；d)按照6.5.2d)進行測試，應(yīng)采用技術(shù)措施處理后再進行存儲個人生物識別信息，例如：僅存儲個人生物識別信息的摘要等方式；e)按照6.5.2e)進行測試，未經(jīng)用戶授權(quán)不應(yīng)修改、刪除用戶數(shù)據(jù)；f)按照6.5.2f)進行測試，應(yīng)對用戶數(shù)據(jù)采集、傳輸、存儲、銷毀等操作進行日志存儲。按照6.5.3進行測試，車載信息交互系統(tǒng)應(yīng)采取管理措施和技術(shù)手段，保護所傳輸用戶數(shù)據(jù)的保密車載信息交互系統(tǒng)數(shù)據(jù)銷毀應(yīng)滿足以下要求：a)按照6.5.4a)進行測試，應(yīng)具備用戶數(shù)據(jù)銷毀的功能，且銷毀后數(shù)據(jù)不能恢復(fù)；b)對共享類應(yīng)用，例如：共享汽車等應(yīng)用場景，在當(dāng)前用戶退出后，按照6.5.4b)進行測試，應(yīng)清空個人敏感信息。6試驗方法6.1硬件安全試驗按照下列流程進行：a)檢查是否存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，如存在則使用測試工具嘗試獲取調(diào)試權(quán)限；b)拆解被測樣件設(shè)備外殼，取出PCB板，檢查PCB板硬件是否存在后門或隱蔽接口；c)通過采用開盒觀察方法，檢查關(guān)鍵芯片管腳暴露情況，或?qū)彶橄鄳?yīng)文檔，是否有減少暴露管腳的考量；d)查看PCB布線及設(shè)計，檢查芯片之間通信線路是否做隱蔽處理，檢查敏感數(shù)據(jù)的通信線路數(shù)量或?qū)彶橄鄳?yīng)文檔，檢查通信線路是否有做隱蔽處理與減少通信線路數(shù)量的考量；e)通過采用開盒觀察方法，檢查車載信息交互系統(tǒng)的電路板及電路板上的芯片是否存在用以標注端口和管腳功能的可讀絲印。6.2通信協(xié)議與接口安全試驗6.2.1對外通信協(xié)議安全試驗按照下列流程進行：a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查車載信息交互系統(tǒng)與平臺服務(wù)端或外部終端的通信有無身份認證；b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，模擬中間人攻擊方式，檢查車載信息交互系統(tǒng)與平臺服務(wù)端或外部終端是否無法建立通信連接。采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查車載信息交互系統(tǒng)與平臺服務(wù)端或外部終端間傳輸?shù)臄?shù)據(jù)內(nèi)容是否經(jīng)過加密。通信終止響應(yīng)安全試驗按照下列流程進行：a)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，將其篡改，發(fā)送篡改數(shù)據(jù)，觸發(fā)數(shù)據(jù)內(nèi)容校驗失敗，檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作；b)采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，模擬偽造簽名的報文數(shù)據(jù)，觸發(fā)身份鑒權(quán)失敗，檢查車載信息交互系統(tǒng)是否終止該響應(yīng)操作。遠程通信協(xié)議安全試驗.1車載公有遠程通信協(xié)議安全試驗采用網(wǎng)絡(luò)數(shù)據(jù)抓包工具進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)，檢查是否采用如TLS1.2同等安全級別或以上要求的安全通信協(xié)議。.2車載私有遠程通信協(xié)議安全試驗按照下列流程進行：a)對車載私有遠程通信協(xié)議方案進行審核，采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)中加密密鑰衍生和更新策略，檢查是否支持以安全方式進行定期更新；b)對車載私有遠程通信協(xié)議方案進行審核，采用網(wǎng)絡(luò)數(shù)據(jù)抓包的方法進行數(shù)據(jù)抓包，解析通信報文數(shù)據(jù)中加密密鑰傳輸策略，檢查安全傳輸協(xié)議是否以安全的方式傳輸數(shù)據(jù)加密密鑰。短距離通信協(xié)議安全試驗.1短距離通信口令應(yīng)用安全試驗按照下列流程進行：a)使用暴力破解的方法，檢查缺省口令的復(fù)雜度；b)通過對同一產(chǎn)品的多個樣品驗證缺省口令的方式，檢查缺省口令是否具有唯一性；c)設(shè)置較低復(fù)雜度口令，檢查修改過程中是否給出明確的風(fēng)險提示或不允許設(shè)置；d)對于人機接口或跨信任網(wǎng)絡(luò)的不同車載信息交互系統(tǒng)之間接口的登錄認證，使用暴力破解的方法，檢查是否成功觸發(fā)防暴力破解機制；e)通過嘗試篡改口令文件，檢查是否設(shè)置了訪問控制。.2車載藍牙通信協(xié)議安全試驗按照下列流程進行：a)模擬遍歷連接車載信息交互系統(tǒng)上的藍牙設(shè)備，檢查是否不存在后門提供其他車輛服務(wù)；b)采用藍牙抓包工具進行數(shù)據(jù)抓包，解析藍牙通信數(shù)據(jù)，檢查針對Classic場合，是否采用SSP模式或針對LE場合，是否采用LESecureConnection模式；c)向車載藍牙設(shè)備發(fā)出配對請求，檢查車載藍牙設(shè)備是否對配對請求進行驗證；d)利用未具有訪問權(quán)限的外部設(shè)備，嘗試進行控制車輛，檢查是否不能成功接入；e)在利用藍牙進行非接觸控制車輛業(yè)務(wù)時，采用藍牙抓包工具進行數(shù)據(jù)抓包，解析藍牙通信數(shù)據(jù)，檢查是否對相關(guān)數(shù)據(jù)進行安全加密處理。通過獲取WLAN熱點安全類型，檢查WLAN熱點是否采用WPA2-PSK或更高安全級別的加密認證方式。6.2.2車內(nèi)通信協(xié)議的安全試驗采用車內(nèi)網(wǎng)絡(luò)報文抓包、解析及發(fā)送數(shù)據(jù)的方法，檢查車載信息交互系統(tǒng)通過CAN或車載以太網(wǎng)等總線與車內(nèi)其他控制器節(jié)點進行數(shù)據(jù)交互、傳輸重要數(shù)據(jù)時，是否使用安全機制保證傳輸數(shù)據(jù)的完整性及可用性。6.2.3通信接口的安全試驗按照下列流程進行：a)對軟硬件接口進行探測、對端口進行掃描，檢查是否不存在未公開接口，是否不存在可繞過系統(tǒng)安全機制對系統(tǒng)或數(shù)據(jù)進行訪問的功能；b)對通信接口進行遍歷，檢查其訪問權(quán)限是否滿足最小權(quán)限原則。車外通信接口安全試驗按照下列流程進行：a)訪問車載信息交互系統(tǒng)中不同區(qū)域的數(shù)據(jù)，檢查車載信息交互系統(tǒng)是否支持路由隔離，是否可以隔離核心業(yè)務(wù)平臺的通信、內(nèi)部通信、外網(wǎng)通信等；b)使用公網(wǎng)訪問車載信息交互系統(tǒng)和核心業(yè)務(wù)平臺，檢查車載信息交互系統(tǒng)與核心業(yè)務(wù)平臺的通信是否采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離。車內(nèi)通信接口安全試驗按照下列流程進行：a)調(diào)用非白名單指令，檢查車載信息交互系統(tǒng)是否針對發(fā)送和接收到的指令進行白名單過濾；b)模擬惡意應(yīng)用，發(fā)送控制指令，檢查車載信息交互系統(tǒng)是否實現(xiàn)總線控制指令來源的校驗。6.3操作系統(tǒng)安全試驗6.3.1操作系統(tǒng)安全配置試驗按照下列流程進行：a)使用最高權(quán)限用戶賬號登錄，并使用普通賬號登錄后嘗試進行提權(quán)，檢查系統(tǒng)是否禁止最高權(quán)限用戶直接登錄，限制普通用戶提權(quán)操作；b)查看系統(tǒng)中的賬號列表，檢查是否存在無用賬號，或者嘗試登錄其中的無用賬號，驗證是否無法登陸，通過設(shè)置弱口令，檢查系統(tǒng)是否提示口令安全弱，賬號口令至少包括阿拉伯?dāng)?shù)字、大小寫拉丁字母，并且長度不小于8位；c)使用授權(quán)身份或授權(quán)進程對文件、數(shù)據(jù)庫等進行訪問，檢查訪問是否被允許，使用非授權(quán)身份或非授權(quán)進程對文件、數(shù)據(jù)庫等進行訪問，檢查訪問是否無法成功；d)查看正在運行的應(yīng)用服務(wù)，檢查是否關(guān)閉了不必要的應(yīng)用服務(wù)；e)使用授權(quán)身份進行遠程接入，檢查是否可以成功遠程接入，使用非授權(quán)身份進行遠程接入，檢查是否不能遠程接入服務(wù)。6.3.2安全調(diào)用控制能力試驗通信類功能受控機制安全試驗按照下列流程進行：a)在應(yīng)用軟件內(nèi)調(diào)用撥打電話操作，檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話操作時，是否在用戶明示同意的情況下，才能執(zhí)行撥打操作；b)在應(yīng)用軟件內(nèi)調(diào)用撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)操作，檢查應(yīng)用軟件調(diào)用執(zhí)行撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)時，是否向用戶明示業(yè)務(wù)內(nèi)容，且在用戶明示同意的情況下才能執(zhí)行操作。在應(yīng)用軟件內(nèi)調(diào)用三方通話操作，檢查應(yīng)用軟件調(diào)用執(zhí)行三方通話操作時，是否在用戶明示同意的情況下才能執(zhí)行三方通話操作。在應(yīng)用軟件內(nèi)調(diào)用發(fā)送短信操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送短信操作時，是否在用戶明示同意的情況下才能執(zhí)行發(fā)送短信操作。在應(yīng)用軟件內(nèi)調(diào)用發(fā)送彩信操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時，是否在用戶明示同意的情況下才能執(zhí)行發(fā)送彩信操作。在應(yīng)用軟件內(nèi)調(diào)用發(fā)送郵件操作，檢查應(yīng)用軟件調(diào)用執(zhí)行發(fā)送郵件操作時，是否在用戶明示同意的情況下才能執(zhí)行發(fā)送郵件操作。.6移動通信網(wǎng)絡(luò)連接安全試驗按照下列流程進行：a)檢查車載信息交互系統(tǒng)是否提供了開啟或關(guān)閉移動通信網(wǎng)絡(luò)數(shù)據(jù)連接的功能，開啟時檢查是否可使用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接，關(guān)閉時檢查是否無法使用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接；b)檢查應(yīng)用軟件調(diào)用開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時，是否對用戶進行了相應(yīng)的提示，且是否在用戶明示同意后才開啟通信網(wǎng)絡(luò)數(shù)據(jù)連接功能，當(dāng)用戶未確認時是否沒有開啟；c)檢查車載信息交互系統(tǒng)是否向用戶提供通過配置應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)連接的功能；d)檢查當(dāng)移動通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示；e)當(dāng)移動通信網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，檢查車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示；f)檢查d)和e)的兩種狀態(tài)提示是否不同。按照下列流程進行：a)檢查車載信息交互系統(tǒng)是否有開啟或關(guān)閉的WLAN網(wǎng)絡(luò)連接功能，開啟時檢查是否可使用WLAN網(wǎng)絡(luò)連接，關(guān)閉時檢查是否不能使用WLAN網(wǎng)絡(luò)連接；b)檢查應(yīng)用軟件調(diào)用開啟WLAN網(wǎng)絡(luò)連接功能時，是否對用戶進行相應(yīng)的提示，且是否在用戶明示同意后才開啟WLAN網(wǎng)絡(luò)連接，當(dāng)用戶未確認時是否沒有開啟；c)檢查當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示；d)檢查當(dāng)WLAN網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示；e)檢查c)和d)的兩種狀態(tài)提示是否不同。本地敏感功能受控機制試驗按照下列流程進行：a)檢查當(dāng)應(yīng)用軟件在使用期間調(diào)用定位功能時，車載信息交互系統(tǒng)是否要求用戶明示同意允許使用定位功能，用戶未確認時是否會停止調(diào)用定位功能；b)檢查車載信息交互系統(tǒng)是否提供了后臺定位控制能力，且用戶是否可為每個應(yīng)用軟件選擇開啟和關(guān)閉后臺定位功能；c)檢查a)和b)是否讓用戶分別操作；d)檢查當(dāng)應(yīng)用軟件調(diào)用定位功能時，車載信息交互系統(tǒng)是否在用戶界面上有相應(yīng)的狀態(tài)提示。檢查當(dāng)應(yīng)用軟件調(diào)用通話錄音功能時，是否要求用戶明示同意，用戶未確認時是否不開啟通話錄音。檢查應(yīng)用軟件調(diào)用人機交互功能時，是否要求用戶明示同意，用戶未確認時是否不開啟人機交互功能。使用授權(quán)的應(yīng)用軟件對用戶數(shù)據(jù)進行處理，檢查是否可以成功執(zhí)行，使用非授權(quán)的應(yīng)用軟件對用戶數(shù)據(jù)進行處理，檢查是否無法成功。6.3.3操作系統(tǒng)安全啟動試驗按照下列流程進行：a)獲取操作系統(tǒng)安全啟動信任根存儲區(qū)域的訪問方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次檢查是否可將數(shù)據(jù)寫入該存儲區(qū)域；b)提取操作系統(tǒng)簽名，使用軟件調(diào)試工具對簽名進行篡改，將修改后簽名寫入到車載終端內(nèi)的指定可信區(qū)域內(nèi)，檢查是否正常工作；c)獲取操作系統(tǒng)的系統(tǒng)固件等其他安全啟動代碼，使用軟件調(diào)試工具對其進行篡改，將修改后的啟動代碼寫入到車載終端內(nèi)的指定區(qū)域，檢查是否正常工作。6.3.4操作系統(tǒng)更新安全試驗按照下列流程進行：a)將鏡像替換為過期的鏡像，檢查是否無法成功加載；b)如通過在更新鏡像時人為斷電等方法，確認更新鏡像安裝失敗時，系統(tǒng)安裝之前的版本是否可用或是否進入安全狀態(tài)；c)修改更新鏡像，檢查更新流程是否無法執(zhí)行；d)使用非官方授信的更新鏡像，檢查更新流程是否無法執(zhí)行。6.3.5操作系統(tǒng)隔離試驗審查設(shè)計文檔，檢查是否采用了操作系統(tǒng)隔離措施，即除撥打電話、電話本和短信等必要的接口和數(shù)據(jù)可以共享外，不同操作系統(tǒng)之間不能進行通信。6.3.6操作系統(tǒng)安全管理試驗按照下列流程進行：a)針對車機類操作系統(tǒng)，引入異常狀況，例如：異常網(wǎng)絡(luò)連接、內(nèi)存占用突增等，檢查是否會對異常情況進行告警；b)針對車機類操作系統(tǒng)，審查文檔，檢查操作系統(tǒng)是否對重要服務(wù)和重要操作具有審計功能；c)打開日志查詢界面，檢查操作系統(tǒng)是否對重要事件進行了日志記錄；d)審查文檔，檢查操作系統(tǒng)是否設(shè)定了將日志上傳至服務(wù)器的策略；e)通過嘗試覆蓋、刪除日志存儲區(qū)域，檢查日志的存儲是否存在安全防護；f)使用授權(quán)身份進行日志讀取或?qū)懭?，檢查是否可以成功操作，使用非授權(quán)身份進行日志讀取或訪問，檢查是否無法成功；g)使用授權(quán)身份通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù)，檢查是否可以成功操作，使用非授權(quán)身份通過調(diào)用調(diào)試接口訪問內(nèi)部數(shù)據(jù)，檢查是否無法成功；h)使用漏洞掃描工具對車載終端進行漏洞檢測，檢測是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的高危安全漏洞；若存在高危漏洞，則檢查該高危漏洞處置方案的技術(shù)文件；i)通過應(yīng)用軟件進行最高權(quán)限用戶權(quán)限運行和業(yè)務(wù)不包含控車的應(yīng)用軟件進行控車行為操作，檢查該操作是否會被阻斷。6.4應(yīng)用軟件安全試驗6.4.1應(yīng)用軟件基礎(chǔ)安全試驗按照下列流程進行：a)嘗試下載和安裝未使用官方簽名的應(yīng)用軟件，檢查是否不可以正常下載和安裝；b)使用漏洞掃描工具對車載終端進行漏洞檢測，檢測是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的高危安全漏洞；若存在高危漏洞，則檢查該高危漏洞處置方案的技術(shù)文件；c)對應(yīng)用軟件中數(shù)據(jù)進行分析，檢查應(yīng)用軟件對個人敏感信息是否非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)是否外傳等惡意行為；d)使用分析、查找方法，檢查應(yīng)用軟件是否以明文形式存儲個人敏感信息；e)分析會話內(nèi)容，檢驗車載信息交互系統(tǒng)是否具備會話安全保護機制，如：使用隨機生成的會話f)使用暴力破解方法，檢查用戶口令長度、字符類型等策略，是否滿足要求或未使用強復(fù)雜度的口令時，檢查是否向用戶提示風(fēng)險；g)對代碼進行查找和分析，檢查是否在代碼中不存在私鑰；h)對代碼進行查找和分析，檢查該應(yīng)用軟件是否使用已驗證的、安全的加密算法和參數(shù)；i)對代碼進行查找和分析，檢查是否不存在將同一個密鑰復(fù)用于多種不同用途；j)使用設(shè)計文檔分析的方法并驗證，檢查使用到的隨機數(shù)是否由已驗證的、安全的隨機數(shù)生成器產(chǎn)生并符合隨機數(shù)標準。6.4.2應(yīng)用軟件代碼安全試驗按照下列流程進行：a)使用代碼掃描工具，對應(yīng)用軟件代碼進行掃描，檢查應(yīng)用軟件構(gòu)建設(shè)置是否滿足安全要求，應(yīng)用軟件使用的第三方組件是否識別已知漏洞并安裝補??；b)對于非托管代碼，使用代碼掃描工具，檢查是否可確保內(nèi)存空間的安全分配、使用和釋放；c)分析設(shè)計文檔，檢查應(yīng)用軟件是否采用代碼簽名機制；d)使用調(diào)試分析方法，檢查應(yīng)用軟件發(fā)布后是否可用調(diào)試功能或包含調(diào)試信息；e)在非調(diào)試場景或非調(diào)試模式下，使用調(diào)試工具進行分析，檢查應(yīng)用軟件日志是否包含調(diào)試輸出；f)使用代碼掃描工具，檢查是否使用構(gòu)建工具鏈提供的代碼安全機制，例如堆棧保護、自動引用計數(shù)；g)使用逆向工具進行分析，檢查應(yīng)用軟件是否使用混淆、加殼等安全機制，對抗針對應(yīng)用的逆向分析。6.4.3應(yīng)用軟件訪問控制試驗按照下列流程進行：a)通過遍