基于公眾電信網(wǎng)的車載遠程通信終端網(wǎng)絡(luò)安全技術(shù)要求

基于公眾電信網(wǎng)的車載遠程通信終端網(wǎng)絡(luò)安全技術(shù)要求1范圍本文件規(guī)定了車載遠程通信終端的硬件安全要求、接口安全要求、操作系統(tǒng)安全要求求、漏洞管理安全要求、通信安全要求、OTA安全要求、數(shù)據(jù)安全要求等。本文件適用于各類需要接入公眾電信網(wǎng)進行遠程通信的車輛類型的車載遠程通信終端車載遠程通信終端vchiculartel位于車輛內(nèi)部，用于該車輛通過遠程通信協(xié)議和其他車輛、行人、道路交通設(shè)施或遠程數(shù)據(jù)傳輸、存儲、處理與使用的終端設(shè)備面向公眾的電信回絡(luò)，通常指運營商網(wǎng)絡(luò)，如電信、聯(lián)通、移動、廣電網(wǎng)絡(luò)等。下列縮略語適用于本文件。App應(yīng)用程序ApplicauionCAN控制器局域網(wǎng)絡(luò)ControllerCVE通用漏洞披露CommonVulnerabilifiesanCNNVE中國通用漏洞披露ChinaNationalVulnenabilityDatabECU電子控制單元HTTPS超文本傳輸安全協(xié)議HypertextTranHUK硬件唯一密鑰HardwareUniqueKeyIVI車載信息娛樂系統(tǒng)In-VehicleOBD車載診斷系統(tǒng)On-OTA空中下載技術(shù)Over-the-AirTechologyRoTPK可信根公鑰RootofTrustPublicKey2安全傳輸層協(xié)議汽車遠程服務(wù)提供商唯一識別碼Wi-Fi網(wǎng)絡(luò)安全接入TelematicsServicePr5系統(tǒng)架構(gòu)基于公眾電信網(wǎng)的車載遠程通信終端網(wǎng)絡(luò)架構(gòu)主要包括車內(nèi)網(wǎng)絡(luò)、公眾電信網(wǎng)和TSP三部分，其網(wǎng)絡(luò)架構(gòu)圖如圖1所示。圖1基于公眾電信網(wǎng)的車載遠程通信終端網(wǎng)絡(luò)架構(gòu)車內(nèi)網(wǎng)絡(luò)中，車載遠程通信終端與車輛主體通過車輛總線或以太網(wǎng)通信，IVI、OBD、ECU等系統(tǒng)均通過車載遠程通信終端與TSP進行通信，其中OBD、ECU通過CAN/以太網(wǎng)網(wǎng)關(guān)與車載遠程通信終端連接，實現(xiàn)對車輛狀態(tài)信息、控制指令、遠程診斷和按鍵狀態(tài)信息等的傳遞。用戶可以通過App來遠程控制汽車車身功能，通過IVI上的App來本地控制汽車車身功能。本文件的主要規(guī)范對象為車載遠程通信終端，其安全架構(gòu)如圖2所示。圖2基于公眾電信網(wǎng)的車載遠程通信終端安全框架基于公眾電信網(wǎng)的車載遠程通信終端安全架構(gòu)主要包括8個部分：硬件安全、操作系統(tǒng)安全、接口安全、應(yīng)用安全、通信安全、OTA安全、漏洞管理、數(shù)據(jù)安全。本文件主要圍繞這8個部分提出相應(yīng)安全技術(shù)要求。6安全技術(shù)要求6.1硬件安全車載遠程通信終端的硬件應(yīng)滿足以下安全要求：a)板載芯片應(yīng)提供可信根供終端使用，例如HUK、RoTPK、UID、BootROM等；b)應(yīng)具有存儲和隔離敏感數(shù)據(jù)的安全區(qū)域或安全模塊；c)應(yīng)防止非授權(quán)獲取或篡改在安全區(qū)域或安全模塊中一次性寫入的敏感信息；d)安全區(qū)域或安全模塊應(yīng)具有檢測與處置非授權(quán)訪問的機制。6.2接口安全車載遠程通信終端的接口應(yīng)滿足以下安全要求：a)在板載芯片中，不應(yīng)存在可非法對芯片內(nèi)存進行訪問或者更改芯片功能的隱蔽接口：b)應(yīng)對板載芯片調(diào)試接口進行禁用或?qū)嵤┌踩L問控制：c)外部接口應(yīng)無法直接訪問或?qū)С鲋匾獢?shù)據(jù)。6.3操作系統(tǒng)安全6.3.1操作系統(tǒng)加固車載遠程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)應(yīng)禁用或刪除無用賬號b)應(yīng)具備口令安全機制，包括但不限于以下要求：-口令復(fù)雜度應(yīng)滿足一定要求，例如最少應(yīng)包括大寫字母、小寫字母、數(shù)字與特殊符號-如果操作系統(tǒng)支持口令重置，則應(yīng)保證重置之后的口令不是統(tǒng)一的默認(rèn)值；-在口令多次輸入錯誤之后應(yīng)重新認(rèn)證用戶身份，或?qū)Σ僮飨到y(tǒng)鎖定特定時長。c)應(yīng)具有訪問控制機制，依據(jù)安全策略控制用戶、進程等主體對文件、數(shù)據(jù)庫等客體的訪問；d)應(yīng)關(guān)閉不必要的服務(wù)。6.3.2操作系統(tǒng)安全啟動車載遠程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)操作系統(tǒng)應(yīng)具備安全啟動機制，即操作系統(tǒng)的啟動應(yīng)初始化于可信根，所有操作系統(tǒng)程序(包括Bootloader、firmwareimagc等)應(yīng)直接或間接被可信根進行完整性與可靠性檢查之后才能啟b)應(yīng)能夠驗證應(yīng)用的來源和完整性，保證操作系統(tǒng)只加載啟動可信的應(yīng)用程序。6.3.3操作系統(tǒng)更新車載遠程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求：a)軟件更新時，應(yīng)保證更新軟件包的來源可靠性，并對接收到的更新文件進行完整性校驗：b)不應(yīng)允許操作系統(tǒng)版本降級更新：c)應(yīng)具有備份和恢復(fù)能力，能夠在軟件更新失敗時進行必要的操作，比如回滾到更新之前的版本，避免更新失敗導(dǎo)致系統(tǒng)失效d)軟件更新應(yīng)在約定的工況(例如。非行駛狀態(tài))和車輛系統(tǒng)狀態(tài)(例如：電瓶電量滿足要求)下，并在用戶確認(rèn)后執(zhí)行。6.3.4操作系統(tǒng)日志審計車載遠程通信終端的操作系統(tǒng)應(yīng)滿足以下安全要求a)應(yīng)具有日志功能，記錄用戶操作、系統(tǒng)日志等信息：b)應(yīng)支持日志上傳至遠程服務(wù)器的功能，并采取安全的方式傳輸：c)應(yīng)采取訪問控制機制，對日志讀取寫入的權(quán)限進行管理；d)應(yīng)對日志存儲進行安全防護車載遠程通信終端的應(yīng)用應(yīng)滿足以下安全要求；a)不應(yīng)有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為；b)禁止以明文形式存儲用戶敏感信息(例如：用戶口令、證件號碼、交易信息、私鑰等):c)宜具有對抗逆向分析的安全機制：d應(yīng)采用代碼簽名認(rèn)證機制，且代碼簽名機制符合相關(guān)標(biāo)準(zhǔn)要求。6.5漏洞管理車載遠程通信終端的系統(tǒng)軟件和應(yīng)用軟件，不應(yīng)存在未公開的訪問接口，也不應(yīng)存在漏洞共享平臺(CAVD)、國家信息安全漏洞共享平臺(CNVD)、中國國家信息安全漏洞庫 (CNNVD)、CVE、CNCVE等公開發(fā)布了6個月及以上未經(jīng)處置的高危及以上安全漏洞。6.6通信安全車載遠程通信終端的訪問控制應(yīng)滿足以下安全要求：a)應(yīng)在創(chuàng)建遠程通信連接時對遠程設(shè)備與服務(wù)器進行身份認(rèn)證：b)應(yīng)對網(wǎng)絡(luò)通信的相關(guān)訪問操作和安全事件生成日志記錄c)應(yīng)具備流量控制功能，用于過濾進入或傳輸總線網(wǎng)絡(luò)的數(shù)據(jù)，防止未經(jīng)授權(quán)的實體向車輛總d)應(yīng)具備入侵檢測功能，通過對外部連接或總線中數(shù)據(jù)流量等信息的監(jiān)控，及時發(fā)現(xiàn)通信網(wǎng)絡(luò)中是否有違反安全策略的行為。車載遠程通信終端應(yīng)具備入侵檢測功能，通過對外部連接或總線中數(shù)據(jù)流量等信息的現(xiàn)通信網(wǎng)絡(luò)中是否有違反安全策略的行為。車載遠程通信終端的通信協(xié)議應(yīng)滿足以下安全要求：a)應(yīng)使用安全的通信協(xié)議，例如HTTPS、(D)TLSv1.2及以上版本等b)應(yīng)采用加密、完整性檢查等安全措施保護關(guān)鍵通信數(shù)據(jù)的機密性、完整性：c)應(yīng)具有安全存儲功能，將用于安全通信的密鑰等相關(guān)信息進行加密存儲；d)應(yīng)能夠抵抗拒絕服務(wù)攻擊和重放攻擊車載遠程通信終端的通信接口應(yīng)滿足以下安全要求：a)應(yīng)支持路由隔離功能，將執(zhí)行控制車輛指令、收集用戶坡感信息等功能的核心業(yè)務(wù)平臺的通信進行隔離，同時將對外通信中非核心業(yè)務(wù)平臺的外網(wǎng)通信等進行隔離：b)與能執(zhí)行控制車輛指令、收集個人敏感信息等功能的核心業(yè)務(wù)平臺間通信時，宜采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離：c)對于藍牙通信接口，應(yīng)滿足以下要求：-應(yīng)采取措施防止中間人攻擊；d)對于蜂窩通信接口，應(yīng)滿足以下要求：-對3G及以上網(wǎng)絡(luò)，應(yīng)具備雙向鑒權(quán)能力，防止偽基站攻擊，防止附著一個不可信的網(wǎng)絡(luò)；5-應(yīng)采用WPA3及以上版本協(xié)議，保證接入安全和數(shù)據(jù)傳輸安全。若車載遠程通信終端支持OTA功能。則應(yīng)滿足以下安全要求：a)系統(tǒng)升級時，車載遠程通信終端和遠程服務(wù)器之間應(yīng)采用雙向認(rèn)證：b)升級包的傳輸應(yīng)采用加密措施：c)應(yīng)對升級包進行驗證，校驗升級包的完整性和來源可靠性：d)應(yīng)具有升級管理功能，包括：版本管理、版本備份等：e)應(yīng)具備升級版本防回退校驗功能：f)當(dāng)升級失敗時，應(yīng)恢復(fù)到更新前可用的版本。6.8數(shù)據(jù)安全6.8.1數(shù)據(jù)采集車載遠程通信終端的數(shù)據(jù)采集應(yīng)滿足以下安全要求：a)對用戶數(shù)據(jù)的采集應(yīng)在提供相應(yīng)服務(wù)的同時進行，數(shù)據(jù)采集類型和數(shù)量應(yīng)遵循最小必要原則；b)采集模塊相關(guān)代碼(包括固件、驅(qū)動程序等)應(yīng)具備完整性保護措施和來源可靠性驗證措施；c)采集模塊應(yīng)實施訪問權(quán)限控制，防止采集的源數(shù)據(jù)被竊取、被破壞。6.8.2數(shù)據(jù)存儲車載遠程通信終端的數(shù)據(jù)存儲應(yīng)滿足以下安全要求：a)用戶故感數(shù)據(jù)(例如：用戶身份、位置信息)應(yīng)存儲在物理或軟件隔離的專用存儲區(qū)域，同時為保存數(shù)據(jù)的文件設(shè)置適當(dāng)?shù)脑L問權(quán)限，或加密存儲在外置存儲器等通用存儲區(qū)域：b)應(yīng)采用加密形式保存用戶生物特征數(shù)據(jù)：c)未向用戶明示或未經(jīng)用戶同意禁止擅自存儲或修改用戶數(shù)據(jù)：d用戶數(shù)據(jù)存儲期限應(yīng)為用戶授權(quán)使用的目的所必需的最短時間，法律法規(guī)另有規(guī)定或者用戶另行授權(quán)同意的除外。車載遠程通信終端的數(shù)據(jù)使用應(yīng)滿足以下安全要求a)對用戶數(shù)據(jù)的訪問使用，應(yīng)建立最小授權(quán)的訪問控制策略：b)需要展示的用戶數(shù)據(jù)，應(yīng)進行去標(biāo)識化處理。6.8.4數(shù)據(jù)傳輸車載遠程通信終端的數(shù)據(jù)傳輸應(yīng)滿足以下安全要求a)應(yīng)對用戶敏感數(shù)據(jù)(例如：用戶身份、位置信息)進行加密傳輸。b)用戶敏感數(shù)據(jù)(例如：用戶身份、位置信息)向車外傳輸時，應(yīng)進行脫敏處理。6.8.5數(shù)據(jù)刪除車載遠程通信終端的數(shù)據(jù)刪除應(yīng)滿足以下安全要求：a)應(yīng)提供手段協(xié)助清除數(shù)據(jù)因不同設(shè)備間共享、業(yè)務(wù)終止、自然災(zāi)害、合同終止等遺留的數(shù)據(jù)。對日志的留存期限應(yīng)不少于六個月。6注：該要求來源于《工業(yè)和信息化部關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)號)。b)共享類應(yīng)用(例如：共享汽車),在用戶退出后，該用戶的敏感數(shù)據(jù)應(yīng)被清空：c)車載遠程通信終端更換件后，應(yīng)同步相關(guān)用戶數(shù)據(jù)至新件，并刪除換下的舊件中存放的數(shù)據(jù)：d)應(yīng)對不再使用的敏感數(shù)據(jù)進行不