《智能網(wǎng)聯(lián)汽車車載端信息安全測試規(guī)程》

ICS

CCS

團體標準

T/CSAExx-20xx

智能網(wǎng)聯(lián)汽車車載端信息安全測試規(guī)程

Intelligentandconnectedvehicleon-boardterminalcybersecuritytestmethods

（報批稿）

在提交反饋意見時，請將您知道的該標準所涉必要專利信息連同支持性文件一并附上。

20xx-xx-xx發(fā)布20xx-xx-xx實施

中國汽車工程學會發(fā)布

T/CSAExx—20xx

智能網(wǎng)聯(lián)汽車車載端信息安全測試規(guī)程

1范圍

本標準規(guī)定了對智能網(wǎng)聯(lián)汽車車載端信息安全防護是否符合T/CSAE101-2018的要求所對應的測試

規(guī)程，包括整體安全、硬件安全、操作系統(tǒng)安全、應用軟件安全、對內通信安全、對外通信安全和用

戶數(shù)據(jù)安全等的測試規(guī)程。

本標準適用于整車企業(yè)、車載端供應商、第三方信息安全測試服務機構對車載信息安全保護狀況

進行安全測試評估。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

T/CSAE101-2018智能網(wǎng)聯(lián)汽車車載端信息安全技術要求

3術語、定義

3.1智能網(wǎng)聯(lián)汽車intelligent&connectedvehicles；ICV

利用車載傳感器、控制器、執(zhí)行器、通信等裝置等，實現(xiàn)環(huán)境感知、智能決策和/或自動控制、協(xié)

同控制、信息交互等功能的汽車的總稱。

3.2智能網(wǎng)聯(lián)汽車車載端intelligentandconnectedvehicleson-boardterminal

智能網(wǎng)聯(lián)汽車車載端是智能網(wǎng)聯(lián)汽車的一個子系統(tǒng)，具備數(shù)據(jù)輸入輸出、計算處理、存儲、通信

等功能，可采集車內相關ECU數(shù)據(jù)并發(fā)送控制ECU的指令，集成定位、導航、娛樂等多種功能，是汽車

網(wǎng)聯(lián)化、接入移動互聯(lián)網(wǎng)和車際網(wǎng)的功能單元。

[來源：T/CSAE101-2018術語、定義3.3.2]

3.3用戶user

使用車載端資源的主體。

[來源：T/CSAE101-2018術語、定義3.3.3]

3.4用戶數(shù)據(jù)userdata

車載端采集、處理、生成，以及存儲的用戶個人信息和用戶使用車輛的信息，包括但不限于車輛

資產數(shù)據(jù)（車輛標識等）、用戶標識信息、應用數(shù)據(jù)（在本地生成的數(shù)據(jù)、在用戶許可后由外部進入

用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等）。

1

T/CSAExx—20xx

[來源：T/CSAE101-2018術語、定義3.3.4]

3.5縮略語

BGABallGridArray焊球陣列封裝

LGALandGridArray柵格陣列封裝

SPASimplePowerAnalysis簡單功耗分析

DPADifferentialPowerAnalysis差分功耗分析

CPACorrelationPowerAnalysis相關功耗分析

ECUElectronicControlUnit電子控制單元

CANControllerAreaNetwork控制器局域網(wǎng)絡

4概述及測試基本要求

4.1概述

智能網(wǎng)聯(lián)汽車信息安全體系以及車載端的安全架構如圖1所示。車載端信息安全包括硬件安全、操

作系統(tǒng)安全、應用安全、對外通信安全和對內通信安全，以及數(shù)據(jù)安全。

本標準描述了車載端信息安全技術要求的測試規(guī)程。測試結果有以下兩種：

—未見異常：通過評測方法沒有發(fā)現(xiàn)存在安全風險或安全事件；

—不符合要求：直接發(fā)現(xiàn)安全事件或不符合安全技術要求。

本章中所提及的技術要求參照T/CSAE101-2018《智能網(wǎng)聯(lián)汽車車載信息安全技術要求》相應條

目中的要求。

圖1智能網(wǎng)聯(lián)汽車信息安全體系及車載端安全架構示意圖

4.2測試基本要求

車載端應滿足車載端安全技術基本測試條件，包括提交車載端安全技術測試需求說明書、安全技

術防護說明文檔，提供可以正常工作的測試樣品及相應的技術支持。

5車載端安全技術測試規(guī)程

2

T/CSAExx—20xx

5.1整體安全

5.1.1安全技術的選擇與實施

5.1.1.1

（1）技術要求：參照T/CSAE101-2018第5.1.1.1項，應通過風險評估過程，全面分析網(wǎng)聯(lián)接口與威脅

攻擊路徑，明確車輛整體安全需求與車載端安全需求，綜合選擇身份認證、訪問控制、檢測響應等多

種技術措施對車載端自身進行安全防護，并將車載端安全防護作為車輛整體安全防護體有機組成部分，

以實現(xiàn)車輛整體安全目標（例如：確保駕駛員和交通參與人員的人身安全）。

（2）測試條件：提交安全技術需求文檔。

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，驗證廠商是否通過風險評估，分析網(wǎng)聯(lián)接口與威脅攻擊路徑，

并且明確車輛整體安全需求與車載端安全需求；

步驟（b）：檢查廠商提交的文檔，驗證廠商是否選擇身份認證、訪問控制、安全審計等安全功能

策略對車載端進行安全防護，并將車載端安全防護作為車輛整體安全防護體系的有機組成部分，以實

現(xiàn)車輛整體安全目標；

步驟（c）：所選擇的技術處置措施與安全風險具備關聯(lián)性。

（4）預期結果：

（a）：廠商提交的文檔中描述風險評估過程，分析網(wǎng)聯(lián)接口與威脅攻擊路徑，并且明確車輛整體

安全需求與車載端安全需求；

（b）：安全技術方案選擇身份認證、訪問控制、安全審計等安全功能策略對車載端進行安全防護，

并將車載端安全防護作為車輛整體安全防護體系的有機組成部分，以實現(xiàn)車輛整體安全目標；

（c）：所選擇的技術處置措施與安全風險具備關聯(lián)性。

（5）判定條件：

在步驟（a）后，如果提交文檔分析過程不完備，或未明確車輛整體安全需求與車載端安全需求，

則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果未選身份認證、訪問控制、安全審計等安全功能策略對車載端進行安全防護，

則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果所選擇技術措施與識別的風險無明顯相關性，則該項目評測結果為“不符合

要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.1.1.2

（1）技術要求：參照T/CSAE101-2018第5.1.1.1項，應通過風險評估過程，全面分析網(wǎng)聯(lián)接口與威脅

攻擊路徑，明確車輛整體安全需求與車載端安全需求，綜合選擇身份認證、訪問控制、檢測響應等多

種技術措施對車載端自身進行安全防護，并將車載端安全防護作為車輛整體安全防護體有機組成部分，

以實現(xiàn)車輛整體安全目標（例如：確保駕駛員和交通參與人員的人身安全）。

（2）測試條件：提交安全技術需求文檔、安全技術方案設計文檔

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，驗證廠商是否通過風險評估，分析網(wǎng)聯(lián)接口與威脅攻擊路徑，

并且明確車輛整體安全需求與車載端安全需求；

3

T/CSAExx—20xx

步驟（b）：檢查廠商提交的文檔，驗證廠商是否選擇身份認證、訪問控制、安全審計等安全功能

策略對車載端進行安全防護，并將車載端安全防護作為車輛整體安全防護體系的有機組成部分，以實

現(xiàn)車輛整體安全目標；

步驟（c）：所選擇的技術處置措施與安全風險具備關聯(lián)性。

（4）預期結果：

（a）廠商提交的文檔中描述風險評估過程，分析網(wǎng)聯(lián)接口與威脅攻擊路徑，并且明確車輛整體安

全需求與車載端安全需求；

（b）安全技術方案選擇身份認證、訪問控制、安全審計等安全功能策略對車載端進行安全防護，

并將車載端安全防護作為車輛整體安全防護體系的有機組成部分，以實現(xiàn)車輛整體安全目標。

（c）：所選擇的技術處置措施與安全風險具備關聯(lián)性。

（5）判定條件：

在步驟（a）后，如果提交文檔分析過程不完備，或未明確車輛整體安全需求與車載端安全需求，

則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果未選身份認證、訪問控制、安全審計等安全功能策略對車載端進行安全防護，

則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果所選擇技術措施與識別的風險無明顯相關性，則該項目評測結果為“不符合

要求”，評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.1.1.3

（1）技術要求：參照T/CSAE101-2018第5.1.1.2項，應綜合考慮整體網(wǎng)絡安全防護需求，車載端的

安全技術措施能夠有效地與云端安全技術措施和通信網(wǎng)絡安全技術措施相配合。

（2）測試條件：提交安全技術需求文檔、安全技術方案設計文檔

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，驗證廠商是否考慮整體網(wǎng)絡安全防護需求，車載端的安全技術

措施是否可以與云端安全技術措施和通信網(wǎng)絡安全技術措施配合。

（4）預期結果：

（a）廠商考慮包括車端、車端與云端和通信網(wǎng)絡信息交互的安全性等整體安全性，覆蓋保密性、

完整性和可用性等多方面的安全措施與云端和通信網(wǎng)絡安全技術措施相配合。

（5）判定條件：

在步驟（a）后，如果廠商整體安全性考慮不完備，或車載端安全防護措施與云端安全技術措施、

通信網(wǎng)絡安全技術措施未配合，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.1.1.4

（1）技術要求：參照T/CSAE101-2018第5.1.1.3項，車載端安全技術措施的選擇和實施，應與整車

設計開發(fā)驗證測試流程緊密結合。

（2）測試條件：提交安全技術方案設計文檔

（3）測試步驟：

4

T/CSAExx—20xx

步驟（a）：檢查廠商提交的文檔，驗證文檔中車載端安全技術措施是否實現(xiàn)。

（4）預期結果：

（a）在文檔中涉及車載端安全技術措施可以實現(xiàn)。

（5）判定條件：

在步驟（a）后，如果提交文檔車載端安全技術措施未實現(xiàn)，則該項目評測結果為“不符合要求”，

評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.2硬件安全

5.2.1設計安全

5.2.1.1

（1）技術要求：參照T/CSAE101-2018第5.2.1.1項，車載端系統(tǒng)所使用的芯片不能存在可以非法對

芯片內存進行訪問或者更改芯片功能的隱蔽接口。芯片在設計驗證階段使用的調試接口應在上市產品

中禁用。

（2）測試條件：提交芯片相關安全設計說明文檔，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：檢測車載終端所用芯片是否存在非法對芯片內存進行訪問或更改芯片功能的隱蔽接口；

步驟（b）：使用調試工具檢測，在非授權的情況下訪問芯片內容或更改芯片功能，檢測是否可以

通過接口讀取或改寫車載終端內存。

（4）預期結果：

（a）車載端所用芯片不存在可以非法對車載終端內存進行訪問或更改車載終端功能的隱蔽接口；

（b）在非授權的情況下，無法通過調試接口讀取芯片內容或改寫芯片功能。

（5）判定條件：

在步驟（a）后，如果發(fā)現(xiàn)可以訪問芯片內存或更改芯片功能的隱蔽接口，或發(fā)現(xiàn)研發(fā)階段使用

的調試接口，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果在非授權的情況下可以通過調試接口讀取芯片內容或改寫芯片功能，則該

項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.2.1.2

（1）技術要求：參照T/CSAE101-2018第5.2.1.2項，車載端系統(tǒng)的電路板不能存在用以標注芯片、

端口和管腳功能的可讀絲印。

（2）測試條件：提交硬件安全性測試的電路板

（3）測試步驟：

步驟（a）：檢查廠商硬件安全性測試電路板，是否存在用以標注芯片、端口和管腳功能的可讀的

絲印。

（4）預期結果：

5

T/CSAExx—20xx

（a）車載端系統(tǒng)的電路板不存在用以標注芯片、端口和管腳功能的可讀絲印。

（5）判定條件：

在步驟（a）后，如果電路板有用以標注芯片、端口和管腳功能的可讀絲印，則該項目評測結果

為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.2.1.3

（1）技術要求：參照T/CSAE101-2018第5.2.1.3項，車載端系統(tǒng)芯片之間敏感數(shù)據(jù)的通信線路應盡

量隱蔽（例如∶使用多層電路板的車載端系統(tǒng)采用內層布線方式隱藏通信線路），對抗針對車載端內

部數(shù)據(jù)傳輸?shù)母`聽和偽造攻擊。

（2）測試條件：提交電路板布線圖，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：使用工具（例如示波器等）檢查電路板，敏感數(shù)據(jù)通信線路是否隱蔽，使用多層電路

板的車載端系統(tǒng)是否采用內層布線方式隱藏通信線路。

（4）預期結果：

（a）電路板上敏感數(shù)據(jù)通信線路隱蔽，使用多層電路板的車載端系統(tǒng)采用內層布線方式隱藏通信

線路。

（5）判定條件：

在步驟（a）后，如果敏感數(shù)據(jù)通信線路顯露，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.2.1.4

（1）技術要求：參照T/CSAE101-2018第5.2.1.4項，車載端所使用的關鍵芯片應盡量減少暴露管腳

（例如∶采用BGA/LGA封裝的芯片）。

（2）測試條件：提交芯片相關文檔和具體型號，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔中是否描述關鍵芯片隱藏管腳，是否要求采用如BGA或LGA等

封裝的芯片；

步驟（b）：檢查電路板，關鍵芯片是否隱藏管腳，是否采用了BGA或LGA等封裝的芯片。

（4）預期結果：

（a）廠商提交的文檔中描述關鍵芯片隱藏管腳，并要求采用如BGA或LGA等封裝的芯片；

（b）電路板上關鍵芯片隱藏管腳，采用了BGA或LGA等封裝的芯片。

（5）判定條件：

在步驟（a）后，廠商提交的文檔中未描述關鍵芯片隱藏管腳，或未要求芯片封裝技術，則該項

目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果關鍵芯片沒有隱藏管腳且無未隱藏說明及安全保護措施，則該項目評測結

果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

6

T/CSAExx—20xx

5.2.2訪問控制

5.2.2.1

（1）技術要求：參照T/CSAE101-2018第5.2.2.1項，車載端具備硬件實現(xiàn)的安全區(qū)域或安全模塊，

實現(xiàn)車載端設備重要數(shù)據(jù)安全存儲與隔離。

（2）測試條件：提交安全存儲區(qū)域相關說明文檔

（3）測試步驟：

步驟（a）：檢查車載端是否通過硬件實現(xiàn)安全區(qū)域或安全模塊；

步驟（b）：查看相應的安全區(qū)域或安全模塊運行日志，是否在重要數(shù)據(jù)存儲與隔離的過程中使用

安全區(qū)域或安全模塊。

（4）預期結果：

（a）車載端硬件具備通過硬件實現(xiàn)的安全區(qū)域或安全模塊；

（b）可以在重要數(shù)據(jù)存儲與隔離的過程中使用安全區(qū)域或安全模塊。

（5）判定條件：

在步驟（a）后，如果未通過硬件設置安全區(qū)域或安全模塊，則該項目評測結果為“不符合要求”，

評測結束；

在步驟（b）后，如果未在重要數(shù)據(jù)存儲與隔離的過程中使用安全區(qū)域或安全模塊，則該項目評測

結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.2.2.2

（1）技術要求：參照T/CSAE101-2018第5.2.2.2項，在安全區(qū)域或安全模塊中一次性寫入的敏感信

息，應保證無法非授權獲取或者篡改。

（2）測試條件：提交安全存儲區(qū)域相關說明文檔，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看安全區(qū)域或安全模塊中一次性寫入的敏感信息列表；

步驟（b）：非授權情況下嘗試獲取或修改安全區(qū)域或安全模塊中的敏感信息，檢測是否可以獲取

和修改敏感信息。

（4）預期結果：

（a）廠商提交的文檔對安全區(qū)域或安全模塊中一次性寫入的敏感信息進行了說明；

（b）非授權情況下獲取或修改安全區(qū)域或安全模塊中的敏感信息失敗。

（5）判定條件：

在步驟（a）后，如果提交文檔未對安全區(qū)域或安全模塊中一次性寫入的敏感信息進行說明，則該

項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果在非授權情況下可以獲取或修改安全區(qū)域或安全模塊中的敏感信息，則該項

目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

7

T/CSAExx—20xx

5.2.2.3

（1）技術要求：參照T/CSAE101-2018第5.2.2.3項，安全區(qū)域或安全模塊應具備檢測與處置非授權

訪問的能力，對抗暴力破解。

（2）測試條件：提交安全存儲區(qū)域相關說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看安全區(qū)域或安全模塊檢測和處置非授權訪問的說明；

步驟（b）：嘗試非授權訪問安全區(qū)域或安全模塊，檢測車載端是否可以檢測并阻止非授權訪問安

全區(qū)域或安全模塊；

步驟（c）：嘗試暴力破解，如通過密碼字典的方法暴力破解。

（4）預期結果：

（a）廠商提交的文檔中說明安全區(qū)域或安全模塊檢測和處置非授權訪問機制；

（b）車載端可以檢測到安全區(qū)域或安全模塊非授權訪問，并阻止訪問；

（c）安全區(qū)域或安全模塊，可以抵抗暴力破解。

（5）判定條件：

在步驟（a）后，如果提交文檔未對安全區(qū)域或安全模塊檢測和處置非授權訪問機制進行說明，則

該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果車載端未檢測到安全區(qū)域或安全模塊非授權訪問，或未阻止非授權訪問，則

該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果車載端安全區(qū)域或安全模塊可以暴力破解密碼，進行訪問，則該項目評測結

果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.2.3抗攻擊防護

5.2.3.1

（1）技術要求：參照T/CSAE101-2018第5.2.3.1項，使用必要的安全機制（例如∶封裝），防御針

對芯片的電壓、時鐘、電磁、激光等方式的故障注入攻擊。

（2）測試條件：提交安全機制說明文檔，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：使用測試工具制造電壓、時鐘、電磁、激光等故障，采集系統(tǒng)在故障條件下運行的特

征數(shù)據(jù)；分析采集到的數(shù)據(jù)，查看是否存在信息泄漏，包括但不限于密鑰。

（4）預期結果：

（a）系統(tǒng)在電壓、時鐘、電磁、激光等方式的故障條件下運行的特征數(shù)據(jù)不存在信息泄露，包括

但不限于密鑰。

（5）判定條件：

在步驟（a）后，如果存在信息泄露，可以破解密鑰，則該項目評測結果為“不符合要求”，評測

結束；

否則，該項目評測結果為“未見異?！?，評測結束。

8

T/CSAExx—20xx

5.2.3.2

（1）技術要求：參照T/CSAE101-2018第5.2.3.2項，使用必要的防護措施，對抗針對加密芯片的簡

單功耗分析（SPA）攻擊、一階差分功耗分析（DPA）攻擊、相關功耗分析（CPA）攻擊，以及利用運

行時間、溫度等其它信息進行的側信道攻擊。

（2）測試條件：提交密碼方案介紹性文檔，提交硬件安全性測試電路板，送檢車載端系統(tǒng)處于正常

工作狀態(tài)

（3）測試步驟：

步驟（a）：使用芯片測試工具，對加密運算過程中的功率軌跡波形和相應密文進行一定量的收集；

針對收集到的信息，利用SPA、DPA、CPA等方法對密鑰進行分析破解；實施運行時間、溫度等其它

信息進行的側信道攻擊。

（4）預期結果：

（a）車載端使用必要的防護措施，對抗SPA、DPA、CPA，以及利用運行時間、溫度等其它信息

進行的側信道攻擊。

（5）判定條件：

在步驟（a）后，如果可以利用SPA、DPA、CPA等方法對密鑰進行分析破解，利用運行時間、溫

度等信息進行的側信道攻擊導致信息泄露，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.2.3.3

（1）技術要求：參照T/CSAE101-2018第5.2.3.3項，使用必要的防護機制，對抗針對車載端設備內

存的侵入和篡改攻擊。

（2）測試條件：提交防護機制說明文檔，提交硬件安全性測試電路板

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看針對侵入和篡改車載端設備內存的防護機制；

步驟（b）：嘗試非授權訪問車載端設備內存，并修改內存中的數(shù)據(jù)，檢測車載端是否提示并阻止

非授權訪問和修改車載端設備內存數(shù)據(jù)。

（4）預期結果：

（a）廠商提交的文檔中說明針對侵入和篡改車載端設備內存的防護機制；

（b）車載端可以檢測到內存非授權訪問和修改，并報警提示、阻止訪問和修改。

（5）判定條件：

在步驟（a）后，如果提交文檔未對安全區(qū)域或安全模塊檢測和處置非授權訪問機制進行說明，則

該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果車載端未檢測到安全區(qū)域或安全模塊非授權訪問，或未進行報警提示，或未

阻止非授權訪問，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3操作系統(tǒng)安全

9

T/CSAExx—20xx

5.3.1操作系統(tǒng)安全啟動

5.3.1.1

（1）技術要求：參照T/CSAE101-2018第5.3.1.1項，在安全存儲區(qū)域存儲操作系統(tǒng)簽名。操作系統(tǒng)

啟動時應使用可信機制，在驗證操作系統(tǒng)簽名并判定通過后，再從可信存儲區(qū)域加載車載端操作系統(tǒng)，

避免加載被篡改的操作系統(tǒng)。

（2）測試條件：提交安全技術方案設計文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看設計過程中操作系統(tǒng)簽名是否存儲在安全區(qū)域并驗證；

步驟（b）：使用系統(tǒng)調試工具檢測車載端系統(tǒng)啟動時是否采用安全機制，在驗證操作系統(tǒng)簽名并

判定通過后，再從可信存儲區(qū)域加載車載端操作系統(tǒng)；

步驟（c）：調試模式下，檢測是否可以通過更改設置或者修改代碼旁路安全啟動；

步驟（d）：非調試模式下采取多種方式破壞信任鏈，檢測安全啟動是否仍然執(zhí)行。

（4）預期結果：

（a）廠商提交的文檔中要求操作系統(tǒng)簽名儲存在安全區(qū)域內；

（b）車載端系統(tǒng)啟動時采用安全機制，在驗證操作系統(tǒng)簽名并判定通過后，再從可信存儲區(qū)域加

載車載端操作系統(tǒng)；

（c）車載端系統(tǒng)在被旁路安全啟動后提示并報警系統(tǒng)異常，不能進入正常工作狀態(tài)。

（d）破壞信任鏈后，安全啟動不執(zhí)行，提示并報警系統(tǒng)異常。

（5）判定條件：

在步驟（a）后，如果廠商提交的文檔中未說明操作系統(tǒng)簽名儲存在安全區(qū)域內，則該項目評測結

果為“不符合要求”，評測結束；

在步驟（b）后，如果被測車載端不具有利用硬件可信機制，則該項目評測結果為“不符合要求”，

評測結束；

在步驟（c）后，如果被測車載端旁路安全啟動后仍能進入正常工作狀態(tài)，則該項目評測結果為

“不符合要求”，評測結束；

在步驟（d）后，如果破壞信任鏈后，系統(tǒng)安全啟動仍然執(zhí)行，則該項目評測結果為“不符合要

求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3.2多操作系統(tǒng)隔離

5.3.2.1

（1）技術要求：參照T/CSAE101-2018第5.3.2.1項，如車載端存在多個操作系統(tǒng)，須采用隔離機制，

保證不同操作系統(tǒng)之間的安全防護。

（2）測試條件：提交安全技術方案設計文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端是否存在多個操作系統(tǒng)，操作系統(tǒng)間是否采用隔離

機制；

步驟（b）：通過上層應用調用或數(shù)據(jù)處理等方式驗證各操作系統(tǒng)資源是否隔離。

10

T/CSAExx—20xx

（4）預期結果：

（a）文檔中說明車載端是否存在多操作系統(tǒng)，并說明多操作系統(tǒng)之間采用的隔離機制；

（b）各操作系統(tǒng)間資源進行隔離。

（5）判定條件：

若無多操作系統(tǒng)，該項目評測結果為“未見異?！保u測結束。

在步驟（a）后，如果預置的多個操作系統(tǒng)之間未采用訪問隔離機制，則該項目評測結果為“不符

合要求”，評測結束；

在步驟（b）后，如果各操作系統(tǒng)間資源未進行隔離，則該項目評測結果為“不符合要求”，評測

結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3.3操作系統(tǒng)加載應用程序

5.3.3.1

（1）技術要求：參照T/CSAE101-2018第5.3.3.1項，應提供安全機制，保證操作系統(tǒng)只能加載啟動

可信的車載端應用程序，能夠驗證應用的來源和完整性，避免運行惡意程序。

（2）測試條件：提交安全技術方案設計文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔中可信應用列表，驗證車載端操作系統(tǒng)是否具有安全加載啟動可

信的車載端應用程序機制；

步驟（b）：安裝可信的（授權的）車載端應用程序到被測車載端，檢測車載端是否可以加載該應

用；

步驟（c）：如果可信的（授權的）車載端應用程序修改后，安裝到被測車載端，驗證車載端是否

可以驗證應用的完整性；

步驟（d）：安裝非授權的車載端應用程序到被測車載端，查看車載端是否可以提示并阻止非授權

的車載端應用程序安裝。

（4）預期結果：

（a）車載端操作系統(tǒng)具有安全加載啟動可信的車載端應用程序機制；

（b）可以安裝可信的（授權的）車載端應用程序；

（c）車載端提示并阻止修改后可信的（授權的）車載端應用程序的安裝，可以驗證應用的完整性；

（d）車載端可以提示并阻止非授權的車載端應用程序安裝。

（5）判定條件：

在步驟（a）后，如果被測車載端不具有加載啟動可信應用程序的機制，則該項目評測結果為“不

符合要求”，評測結束；

在步驟（b）后，如果車載端不可以正常安裝可信的（授權的）車載端應用程序，則該項目評測結

果為“不符合要求”，評測結束；

在步驟（c）后，如果修改后可信的（授權的）車載端應用程序可以安裝成功并未提示或阻止安裝，

則該項目評測結果為“不符合要求”，評測結束；

在步驟（d）后，如果非授權的車載端應用程序可以安裝成功并未提示或阻止安裝，則該項目評測

結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

11

T/CSAExx—20xx

5.3.4系統(tǒng)安全防護

5.3.4.1

（1）技術要求：參照T/CSAE101-2018第5.3.4.1項，應采用完整性校驗手段（例如∶基于哈希算法

的數(shù)字摘要技術或數(shù)字簽名技術），對關鍵代碼或文件進行完整性保護。

（2）測試條件：完整性校驗機制說明文檔，提供修改關鍵代碼或文件的權限，送檢車載端系統(tǒng)處于

正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，檢查完整性校驗機制（如：是否采用基于哈希算法的數(shù)字摘要

技術或數(shù)字簽名技術）；

步驟（b）：修改關鍵代碼或文件，驗證系統(tǒng)是否對其進行完整性校驗。

（4）預期結果：

（a）車載端系統(tǒng)具有完整性校驗機制；

（b）修改關鍵代碼或文件，系統(tǒng)可以校驗完整性，系統(tǒng)相應功能不可以正常工作。

（5）判定條件：

在步驟（a）后，如果廠商提交的文檔未說明關鍵代碼或文件的完整性防護機制，則該項目評測結

果為“不符合要求”，評測結束；

在步驟（b）后，如果修改關鍵代碼或文件后，系統(tǒng)未進行完整性校驗，相應功能仍可以正常工作，

則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.3.4.2

（1）技術要求：參照T/CSAE101-2018第5.3.4.2項，車載端系統(tǒng)不存在后門，也不存在于“中國汽

車行業(yè)漏洞共享平臺（CAVD）”以及“國家信息安全漏洞共享平臺（CNVD）”發(fā)布了6個月及以上

的高危安全漏洞。系統(tǒng)應具有能夠及時進行漏洞修復的方式。

（2）測試條件：漏洞修復方式說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，從硬件層面查看車載終端系統(tǒng)是否存在后門，如不必要的接口；

軟件層面進行代碼掃描是否存在后門；使用漏洞掃描工具，對車載終端進行測試，檢查是否存在已知

漏洞；

步驟（b）：如存在已發(fā)布漏洞檢查是否有可以進行漏洞修復的方式。

（4）預期結果：

（a）車載端系統(tǒng)不存在后門，系統(tǒng)不存在已發(fā)布的漏洞；

（b）如存在漏洞可以及時啟用漏洞修復方式進行漏洞修復。

（5）判定條件：

在步驟（a）后，如果系統(tǒng)存在后門和已發(fā)布的漏洞，則該項目評測結果為“不符合要求”，評測

結束；

12

T/CSAExx—20xx

在步驟（b）后，如果系統(tǒng)不存在漏洞修復的方式，則該項目評測結果為“不符合要求”，評測結

束；

否則，該項目評測結果為“未見異?！保u測結束。

5.3.5資源訪問控制

5.3.5.1

（1）技術要求：參照T/CSAE101-2018第5.3.5.1項，應采取適用于汽車各應用場景的告知和控制方

式，實現(xiàn)當應用對系統(tǒng)敏感資源調用（例如：使用位置信息）時用戶可知。并提供設置開關，供用戶

同意或者拒絕該項調用。

（2）測試條件：提供敏感資源列表，包括但不限于關鍵電子電氣系統(tǒng)、用戶隱私數(shù)據(jù)等

（3）測試步驟：

步驟（a）：檢測敏感資源列表中的功能，如通信功能、媒體功能等在被調用時，是否以適用于汽

車各應用場景的告知用戶，查看用戶是否可以選擇使用或者拒絕使用該功能；

步驟（b）：檢測涉及用戶敏感數(shù)據(jù)的文件資源在被訪問時，是否以適用于汽車各應用場景的方式

告知用戶，查看用戶是否可以選擇訪問或者拒絕訪問相應資源；

步驟（c）：檢測是否有設置開關，用戶可以通過開關更改對敏感資源訪問的設置。

（4）預期結果：

（a）敏感資源列表中的功能，如通信功能、媒體功能等在被調用時，以適用于汽車各應用場景的

告知和控制方式告知用戶，并且用戶可以選擇使用或者拒絕使用該功能；

（b）用戶敏感數(shù)據(jù)的文件資源在被訪問時，可以以適用于汽車各應用場景的方式告知用戶，并且

用戶可以選擇訪問或者拒絕訪問相應資源；

（c）有設置開關，用戶可以通過開關更改對敏感資源訪問的設置。

（5）判定條件：

在步驟（a）后，如果功能被調用時用戶未被告知，或者被告知但無法控制是否使用，或者告知方

式不適合場景，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果文件資源被訪問時用戶未被告知，或者被告知但無法控制是否訪問，或者告

知方式不適合場景，則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果沒有設置開關，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3.5.2

（1）技術要求：參照T/CSAE101-2018第5.3.5.2項，通過可信執(zhí)行環(huán)境，為基于敏感數(shù)據(jù)的關鍵應

用提供安全執(zhí)行空間，控制對關鍵資源（例如：密鑰、CAN控制器）的訪問，保護資源和數(shù)據(jù)的保密

性和完整性，對抗非授權訪問和篡改等多種攻擊。

（2）測試條件：提供的軟件層面可信執(zhí)行環(huán)境的解決方案

（3）測試步驟：

步驟（a）：檢測是否通過可信執(zhí)行環(huán)境解決方案對關鍵資源（例如：密鑰、CAN控制器）的訪

問設置訪問控制；

13

T/CSAExx—20xx

步驟（b）：非授權訪問和修改關鍵資源（例如：密鑰、CAN控制器）。

（4）預期結果：

（a）通過可信執(zhí)行環(huán)境，為基于敏感數(shù)據(jù)的關鍵應用提供安全執(zhí)行空間，對關鍵資源（例如：密

鑰、CAN控制器）提供訪問控制；

（b）非授權用戶不能對關鍵資源（例如：密鑰、CAN控制器）進行訪問和修改。

（5）判定條件：

在步驟（a）后，如果未為基于敏感數(shù)據(jù)的關鍵應用提供安全執(zhí)行空間，或未對關鍵資源（例如：

密鑰、CAN控制器）提供訪問控制，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果關鍵資源（例如：密鑰、CAN控制器）可以被非授權訪問和篡改，則該項

目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.3.6安全日志記錄及審計控制

5.3.6.1

（1）技術要求：參照T/CSAE101-2018第5.3.6.1項，支持對操作系統(tǒng)關鍵事件的日志功能，記錄事

件的時間、對象、描述和結果等。

（2）測試條件：日志上傳及管理說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：模擬用戶對車載端進行連續(xù)鑒別、存儲耗盡、參數(shù)設置、網(wǎng)絡訪問等操作；

步驟（b）：使用系統(tǒng)調試工具，檢查操作系統(tǒng)日志，是否有系統(tǒng)運行日志、報警日志、操作日志、

應用軟件運行日志等日志，記錄事件發(fā)生的時間、對象、描述和結果等。

（4）預期結果：

（a）操作系統(tǒng)可以記錄系統(tǒng)運行日志、報警日志、操作日志、應用軟件運行日志等關鍵事件的時

間、對象、描述和結果等。

（b）系統(tǒng)運行日志、報警日志、操作日志、應用軟件運行日志等關鍵事件的時間、對象、描述和

結果等。

（5）判定條件：

在步驟（b）后，如果沒有日志，或者有明顯的要素缺失，則該項目評測結果為“不符合要求”，

評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.3.6.2

（1）技術要求：參照T/CSAE101-2018第5.3.6.2項，支持日志上傳功能，上傳時對云端進行認證；

根據(jù)云端管理需求，采取安全的方式傳輸日志，確保數(shù)據(jù)的完整性和可認證性。

（2）測試條件：日志上傳及管理說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看日志上傳機制；

步驟（b）：觸發(fā)日志上傳機制，抓取日志上傳時車載端與云端的通信數(shù)據(jù)；

14

T/CSAExx—20xx

步驟（c）：查看車載端上傳日志時是否對云端進行認證、是否采用云端要求的安全方式上傳日志。

（4）預期結果：

（a）廠商提交的文檔說明日志上傳機制；

（b）車載端具有日志上傳功能，上傳時對云端進行認證；

（c）車載端采取云端管理需求中要求的安全方式上傳日志，確保數(shù)據(jù)的完整性和可認證性。

（5）判定條件：

在步驟（a）后，如果文檔中未說明日志上傳及管理機制，或者有明顯的要素缺失，則該項目評測

結果為“不符合要求”，評測結束；

在步驟（b）后，如果日志未上傳，或者有明顯的要素缺失；或者日志上傳時對云端未進行認證；

或者未按照云端管理需求中要求的安全方式上傳，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.3.6.3

（1）技術要求：參照T/CSAE101-2018第5.3.6.3項，應采取訪問控制機制，對日志讀取寫人的權限

進行管理；應對日志存儲進行安全防護。

（2）測試條件：日志上傳及管理說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端是否提供日志訪問控制機制、是否采取日志存儲的

安全防護措施；

步驟（b）：使用授權用戶讀、寫日志，驗證該請求是否被允許；

步驟（c）：使用非授權用戶讀、寫日志，查看該請求是否被拒絕。

（4）預期結果：

（a）車載端具有日志上傳功能，上傳時對云端進行認證；

（b）車載端采取云端管理需求中要求的安全方式上傳日志，確保數(shù)據(jù)的完整性和可認證性。車載

端采取日志訪問控制機制、采取日志存儲的安全防護措施；

（c）車載端允許授權用戶讀、寫日志；

（5）判定條件：

在步驟（a）后，如果文檔中未說明日志訪問控制機制、采取日志存儲的安全防護措施，或者有明

顯的要素缺失，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）車載端拒絕授權用戶讀、寫日志，則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果日志允許非授權用戶讀、寫日志，則該項目評測結果為“不符合要求”，評

測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3.7軟件更新與固件更新

5.3.7.1

（1）技術要求：參照T/CSAE101-2018第5.3.7.1項，只接收在約定的工況（例如∶非行駛狀態(tài)）和

車輛系統(tǒng)狀態(tài)（例如∶電瓶電量滿足要求）下發(fā)起的車載端操作系統(tǒng)和應用等軟件的更新請求，并在

15

T/CSAExx—20xx

用戶確認后執(zhí)行更新操作。

（2）測試條件：提供軟件與固件更新說明文檔，提供軟件升級包，送檢安裝車載端系統(tǒng)的車輛并處

于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端操作系統(tǒng)或應用更新機制；

步驟（b）：模擬車輛處于非約定的工況（例如：行駛狀態(tài)）或者非車輛系統(tǒng)狀態(tài)（例如：電瓶電

量不滿足升級要求）時，發(fā)起車載端操作系統(tǒng)或應用等軟件的更新請求；

步驟（c）：發(fā)起的車載端操作系統(tǒng)和應用等軟件的更新請求，驗證系統(tǒng)或應用是否啟動升級。

（4）預期結果：

（a）廠商提交的文檔中說明車載端操作系統(tǒng)或應用更新時車輛所需要具備的條件等內容；

（b）車輛處于非約定的工況（例如：行駛狀態(tài)）或者非車輛系統(tǒng)狀態(tài)（例如：電瓶電量不滿足升

級要求）時，車載端操作系統(tǒng)或應用等軟件不能正常啟動升級；

（c）車輛在約定的工況（例如：非行駛狀態(tài)）和車輛系統(tǒng)狀態(tài)（例如：電瓶電量滿足要求）下發(fā)

起的車載端操作系統(tǒng)和應用等軟件的更新請求，在用戶確認執(zhí)行后更新升級，選擇拒絕后停止升級。

（5）判定條件：

在步驟（a）后，如果文檔中未說明車載端操作系統(tǒng)或應用更新時車輛所需要具備的條件等更新機

制的內容，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果系統(tǒng)和應用自動升級，則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果未經(jīng)用戶確認即開始更新或者未按人工選擇執(zhí)行，則該項目評測結果為“不

符合要求”，評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.3.7.2

（1）技術要求：參照T/CSAE101-2018第5.3.7.2項，軟件更新時，應能夠對提供更新軟件包的來源

進行鑒別，并對接收到的更新文件進行完整性校驗。軟件升級應不影響用戶設置和用戶數(shù)據(jù)。系統(tǒng)應

具有備份和恢復能力，能夠在軟件更新發(fā)生異常時進行必要的操作，避免更新失敗導致系統(tǒng)失效。系

統(tǒng)應對連續(xù)升級行為進行記錄，設定一段時間內升級嘗試次數(shù)上限，避免通過車載端升級嘗試對車輛

資源進行過度消耗。

（2）測試條件：提供軟件與固件更新說明文檔，提供軟件升級包，送檢車載端系統(tǒng)處于正常工作狀

態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端軟件更新機制，是否說明更新過程異常處理情況、

一段時間內升級嘗試次數(shù)上限等內容；

步驟（b）：修改廠家提供的升級包并重新打包簽名，發(fā)起更新，檢測是否能執(zhí)行升級；

步驟（c）：使用廠家提供的軟件升級包，發(fā)起更新，檢查車載端是否在更新前提供備份可選項；

步驟（d）：在更新過程中，采取措施（例如：斷電）中斷或取消更新，檢查車載端狀態(tài)；

步驟（e）：使用廠家提供的軟件升級包，發(fā)起更新，更新結束后查看升級包的功能是否實現(xiàn)；

步驟（f）：使用廠家提供的軟件升級包，在一段時間內多次發(fā)起更新，查看車載端是否對連續(xù)升

級行為進行記錄，并且是否設置一段時間內升級嘗試次數(shù)上限。

16

T/CSAExx—20xx

（4）預期結果：

（a）廠商提交的文檔中說明車載端軟件更新機制，包括更新過程異常處理情況、一段時間內升級

嘗試次數(shù)上限等內容；

（b）系統(tǒng)阻止升級并提示報警；

（c）車載端在更新前提供備份可選項；

（d）在更新過程中，采取措施（例如：斷電）中斷或取消更新后，車載端可以恢復正常工作；

（e）軟件升級后升級包的功能實現(xiàn)；

（f）在一段時間內多次發(fā)起更新時，車載端記錄連續(xù)升級行為，并且設置一段時間內升級嘗試次

數(shù)上限，達到該上限值時進行報警提示或停止升級，恢復之前版本。

（5）判定條件：

在步驟（a）后，如果文檔中未說明車載端軟件更新機制，或未說明升級過程中異常處理機制，或

未設置一段時間內升級嘗試次數(shù)上限等內容，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果系統(tǒng)仍然能夠更新，則該項目評測結果為“不符合要求”，評測結束；

在步驟（c）后，如果系統(tǒng)未能提供備份選項，則該項目評測結果為“不符合要求”，評測結束；

在步驟（d）后，如果系統(tǒng)未能恢復正常工作狀態(tài)，則該項目評測結果為“不符合要求”，評測結

束；

在步驟（e）后，如果軟件升級包對應的功能未實現(xiàn)，則該項目評測結果為“不符合要求”，評測

結束；

在步驟（f）后，如果車載端未記錄連續(xù)升級行為，或未設置一段時間內升級嘗試次數(shù)上限，則該

項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.3.7.3

（1）技術要求：參照T/CSAE101-2018第5.3.7.3項，車載端在向其他車內系統(tǒng)或設備（例如∶ECU）

傳輸更新文件和更新命令的時候，應能夠及時聲明自己的身份和權限，供車內系統(tǒng)或設備進行認證；

只有認證通過后，操作才可以繼續(xù)執(zhí)行。

（2）測試條件：提供軟件與固件更新說明文檔，提供車載端向其他車內系統(tǒng)或設備需要傳輸更新文

件和更新命令的內容和權限（例如：ECU固件升級包），送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端在向其他車內系統(tǒng)或設備（例如：ECU）傳輸更新

文件和更新命令的認證機制，以及權限說明；

步驟（b）：模擬錯誤的車載端身份或憑證信息，對ECU發(fā)起升級請求，檢測是否能夠執(zhí)行ECU更

新操作。

（4）預期結果：

（a）廠商提交的文檔中說明車載端在向其他車內系統(tǒng)或設備（例如：ECU）傳輸更新文件和更新

命令的認證機制和權限；

（b）車載端在向其他車內系統(tǒng)或設備（例如：ECU）傳輸更新文件和更新命令的時候，提供身份

和權限校驗，修改由車載端轉發(fā)的ECU固件升級包內容，對ECU發(fā)起升級請求，ECU拒絕按照該升級

包升級。

（5）判定條件：

17

T/CSAExx—20xx

在步驟（a）后，如果廠商提交的文檔中未說明車載端在向其他車內系統(tǒng)或設備（例如：ECU）傳

輸更新文件和更新命令的認證機制和權限，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果ECU使用該升級包升級并刷新仍然能夠成功，則該項目評測結果為“不符合

要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.3.8介質接口安全

5.3.8.1

（1）技術要求：參照T/CSAE101-2018第5.3.8.1項，車載端不應存在未經(jīng)聲明的外圍介質（例如∶

CD/DVD、SD卡、USB）接口。

（2）測試條件：車載端介質接口說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端聲明的外圍接口，檢查車載端實際與聲明的一致性；

步驟（b）：使用聲明中的相關介質訪問接口，是否能且僅能實現(xiàn)聲明的功能。

（4）預期結果：

（a）車載端實際外圍介質接口與聲明的一致；

（b）使用聲明中的相關介質訪問接口可以實現(xiàn)聲明的功能，不可以實現(xiàn)聲明以外的功能。

（5）判定條件：

在步驟（a）后，如果發(fā)現(xiàn)未經(jīng)聲明的外圍接口，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果發(fā)現(xiàn)不能實現(xiàn)聲明的功能，或者具有未經(jīng)聲明的功能，則該項目評測結果為

“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.3.8.2

（1）技術要求：參照T/CSAE101-2018第5.3.8.2項，車載端應定義通過外圍接口接入的存儲介質上

的文件類型和權限，并限制通過介質接口對車載端進行的操作類型。

（2）測試條件：車載端介質接口說明文檔，送檢車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端是否定義通過外圍接口接入的存儲介質上的文件類

型和權限，并說明通過介質接口對車載端進行的操作類型的限制；

步驟（b）：檢測車載端是否在要求的權限范圍內對外圍接口接入的存儲介質上允許操作的文件類

型進行操作。

（4）預期結果：

（a）廠商提交的文檔定義了通過外圍接口接入的存儲介質上的文件類型和權限，并限制通過介質

接口對車載端進行的操作類型；

（b）車載端在要求的權限范圍內對外圍接口接入的存儲介質上允許操作的文件類型進行操作。

（5）判定條件：

18

T/CSAExx—20xx

在步驟（a）后，如果未經(jīng)說明外圍接口接入的存儲介質上的文件類型和權限，或未限制通過介質

接口對車載端進行的操作類型，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果車載端可以對通過外圍接口接入的存儲介質上的非法文件進行操作，或未按

照權限要求進行操作，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！薄?/p>

5.3.8.3

（1）技術要求：參照T/CSAE101-2018第5.3.8.3項，應使用必要的方法，對可能修改系統(tǒng)配置或者

運行狀態(tài)的文件進行檢測，并根據(jù)檢測結果告警及處置。

（2）測試條件：修改系統(tǒng)配置或者運行狀態(tài)的文件檢測機制說明文檔，送檢車載端系統(tǒng)處于正常工

作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看車載端對可能修改系統(tǒng)配置或者運行狀態(tài)的文件檢測機制，

是否采取措施，并且是否根據(jù)檢查結果告警及處置；

步驟（b）：使用系統(tǒng)調試工具，在車載端運行修改系統(tǒng)配置或運行狀態(tài)的文件，查看車載端是否

對其進行檢測，是否告警，是否對其進行處置，如阻止文件運行。

（4）預期結果：

（a）廠商提交的文檔中說明車載端采取檢測措施，對可能修改系統(tǒng)配置或者運行狀態(tài)的文件進行

檢測，并且根據(jù)檢查結果告警及處置；

（b）在車載端運行修改系統(tǒng)配置或運行狀態(tài)的文件時，車載端告警并阻止文件運行。

（5）判定條件：

在步驟（a）后，如果廠商提交的文檔中未說明車載端對可能修改系統(tǒng)配置或者運行狀態(tài)的文件的

檢測機制，則該項目評測結果為“不符合要求”，評測結束；

在步驟（b）后，如果車載端可以運行修改系統(tǒng)配置或運行狀態(tài)的文件，或未報警阻止，則該項目

評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?/p>

5.4應用軟件安全

5.4.1應用軟件安全基本要求

5.4.1.1

（1）技術要求：參照T/CSAE101-2018第5.4.1.1項，通用應用軟件不應存在后門，也不存在于“中

國汽車行業(yè)漏洞共享平臺（CAVD）”以及“國家信息安全漏洞共享平臺（CNVD）”發(fā)布了6個月

及以上的高危安全漏洞。

（2）測試條件：送檢產品明確內置應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：使用漏洞掃描工具，對應用軟件進行分析，是否存在后門，是否存在已發(fā)布了6個月

以上的高危安全漏洞；對工具檢測結果進行人工驗證。

（4）預期結果：

19

T/CSAExx—20xx

（a）應用軟件不應存在后門，也不存在于“中國汽車行業(yè)漏洞共享平臺（CAVD）”以及“國家

信息安全漏洞共享平臺（CNVD）”已發(fā)布了6個月以上的高危安全漏洞，或對已知漏洞采用補丁機制。

（5）判定條件：

在步驟（a）后，如果應用軟件存在后門，或存在已發(fā)布了6個月以上的高危安全漏洞，則該項目

評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束

5.4.1.2

（1）技術要求：參照T/CSAE101-2018第5.4.1.2項，應用軟件不應含有非授權收集或泄露用戶信息、

非法數(shù)據(jù)外傳等惡意行為。

（2）測試條件：送檢產品明確內置應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：啟動應用軟件，使用抓包工具，對應用軟件的通信數(shù)據(jù)進行采集,對工具檢測結果進

行人工分析；

步驟（b）：關閉應用軟件，保持送檢產品的網(wǎng)絡連接，使用抓包工具，對應用軟件對外通信流量

進行靜默狀態(tài)下的數(shù)據(jù)采集；對工具檢測結果進行人工分析。

（4）預期結果：

（a）啟動應用軟件時不含有非授權收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。

（b）關閉應用軟件時不含有非授權收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。

（5）判定條件：

在步驟（a）后，如果經(jīng)過人工分析存在未經(jīng)用戶授權的數(shù)據(jù)收集和傳輸，則該項目評測結果為

“不符合要求”，評測結束；

在步驟（b）后，如果經(jīng)過人工分析存在未經(jīng)用戶授權的數(shù)據(jù)收集和傳輸，則該項目評測結果為

“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！?，評測結束。

5.4.1.3

（1）技術要求：參照T/CSAE101-2018第5.4.1.3項，應用不以明文形式存儲用戶敏感信息（例如∶

用戶口令、證件號、交易口令、私鑰）。

（2）測試條件：送檢產品明確內置應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：驗證應用是否以明文形式存儲用戶敏感信息（例如：用戶口令、證件號、交易口令、

私鑰）。

（4）預期結果：

（a）應用不以明文形式存儲用戶敏感信息（例如：用戶口令、證件號、交易口令、私鑰）。

（5）判定條件：

在步驟（a）后，如果發(fā)現(xiàn)應用明文形式存儲用戶敏感信息（例如：用戶口令、證件號、交易口令、

私鑰），則該項目評測結果為“不符合要求”，評測結束；

20

T/CSAExx—20xx

否則，該項目評測結果為“未見異?！?，評測結束。

5.4.1.4

（1）技術要求：參照T/CSAE101-2018第5.4.1.4項，應用軟件應使用安全機制（例如∶混淆、加

殼），對抗針對應用的逆向分析。

（2）測試條件：送檢產品明確內置應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：使用反編譯工具反編譯被測應用軟件，查看其是否使用安全機制，例如混淆、加殼等；

步驟（b）：嘗試逆向被測應用軟件，查看其是否可以對被測應用軟件逆向分析。

（4）預期結果：

（a）應用軟件應使用混淆、加殼等安全機制；

（b）被測應用軟件可以防止逆向分析。

（5）判定條件：

在步驟（a）后，如果被測應用軟件未使用混淆或加殼等安全措施，則該項目評測結果為“不符合

要求”，評測結束；

在步驟（b）后，如果被測應用軟件可以被逆向分析，則該項目評測結果為“不符合要求”，評測

結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.4.2應用軟件簽名認證機制

5.4.2.1

（1）技術要求：參照T/CSAE101-2018第5.4.2.1項，應用軟件應采用代碼簽名認證機制，且代碼簽

名機制符合相關標準要求。

（2）測試條件：送檢產品明確內置應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)。

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看是否說明應用軟件采用簽名認證機制；

步驟（b）：驗證應用軟件簽名認證機制，分析簽名內容，并對簽名進行合規(guī)性檢查。

（4）預期結果：

（a）檢查廠商提交的文檔說明應用軟件采用簽名認證機制；

（b）應用軟件應采用簽名認證機制，且代碼簽名機制符合相關標準要求。

（5）判定條件：

在步驟（a）后，如果廠商提交的文檔未說明應用軟件采用簽名認證機制，則該項目評測結果為

“不符合要求”，評測結束；

在步驟（b）后，如果應用軟件未采用簽名認證機制，或者存在與相關標準不符合之處，則該項目

評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異?！保u測結束。

5.4.3應用軟件運行要求

21

T/CSAExx—20xx

5.4.3.1

（1）技術要求：參照T/CSAE101-2018第5.4.3.1項，關鍵應用程序在啟動時應執(zhí)行自檢，檢查程序

運行時所必須的條件，確保程序自身和所處運行環(huán)境的安全性。

（2）測試條件：提供車載端內置關鍵應用列表，送檢安裝應用軟件的車載端系統(tǒng)處于正常工作狀態(tài)

（3）測試步驟：

步驟（a）：檢查廠商提交的文檔，查看應用程序啟動所需檢查的配置文件和環(huán)境參數(shù)；對其中的

文件或參數(shù)進行修改，使其不滿足應用啟動條件，檢測應用是否仍然能正常啟動。

（4）預期結果：

（a）應用程序啟動所需配置文件和環(huán)境參數(shù)不滿足應用啟動條件時，應用不能正常啟動。

（5）判定條件：

在步驟（a）后，如果應用仍然能正常啟動，則該項目評測結果為“不符合要求”，評測結束；

否則，該項目評測結果為“未見異常”，評測結束。

5.4.3.2

（1）技