中華人民共和國國家標準電動汽車遠程服務與管理系統信息安全技術要求及試驗方法發布目次前言 Ⅰ1范圍 12規范性引用文件 13術語和定義 14縮略語 25信息安全要求 2 5．4車載終端與平臺通信安全要求 5 6試驗方法 5 6．2車載終端信息安全試驗樣件要求 5車載終端信息安全試驗環境 5 6．6車載終端與平臺通信安全試驗 10前言起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中華人民共和國工業和信息化部提出。本文件由全國汽車標準化技術委員會(SAC／TC114)歸口。本文件起草單位：東軟集團股份有限公司、中國汽車技術研究中心有限公司、北京理工新源信息科技有限公司、戴姆勒大中華區投資有限公司、北京奇虎科技有限公司、北京汽車研究總院有限公司、國家計算機網絡應急技術處理協調中心、大眾汽車(中國)投資有限公司、福特汽車(中國)有限公司、中國第一汽車股份有限公司、華為技術有限公司、東風汽車集團股份有限公司技術中心、中國信息通信研究院、上汽通用五菱汽車股份有限公司。Ⅰ電動汽車遠程服務與管理系統信息安全技術要求及試驗方法本文件規定了電動汽車遠程服務與管理系統的信息安全要求及試驗方法。本文件適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業平臺和公共平臺之間的數據通信。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GBT術語TGBT協議及數據格式3術語和定義文件。電動汽車遠程服務與管理系統對電動汽車信息進行采集、處理和管理，并為聯網用戶提供信息服務的系統。由公共平臺、企業平臺和車載終端組成。 國家、地方政府或其指定機構建立的、對管轄范圍內電動汽車進行數據采集和統一管理的平臺。 整車企業自建或委托第三方技術單位，對服務范圍內的電動汽車和用戶進行管理，并提供安全運營服務與管理的平臺。 安裝在汽車上，采集及保存整車及系統部件的關鍵狀態參數并發送到平臺的裝置或系統。 1平臺間進行數據交互時，作為車輛數據發送方的遠程服務與管理平臺。 平臺間進行數據交互時，作為車輛數據接收方的遠程服務與管理平臺。 基于可信根對設備的目標程序進行完整性驗證。4縮略語下列縮略語適用于本文件。AES：高級加密標準(AIP：網際互連協議(ISSL：安全套接層協議(STCP：傳輸控制協議(TTLS：安全傳輸層協議(TUART：通用異步收發器(UUSB：通用串行總線(UUTC：世界協調時間(U5信息安全要求電動汽車遠程服務與管理系統信息安全總體結構見圖1。圖1電動汽車遠程服務與管理系統信息安全總體結構圖2若車載終端和其他信息交互系統存在共用硬件的情況，則整個設備軟硬件也應滿足本文件的要求。車載終端的硬件安全要求如下：a)不應存在后門或隱蔽接口；b)調試接口應禁用或設置安全訪問控制。車載終端應具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進行保護。車載終端軟件系統要求如下：a)應具備判定和授予應用程序對系統資源的訪問和操作權限的能力；b)宜進行可信驗證。車載終端數據存儲要求如下：a)應保證按照GB／T32960．3—2016要求所存儲的遠程服務與管理數據的保密性和完整性，宜b)車載終端的安全重要參數在存儲以及使用過程中，應只允許被授權的應用以授權方式讀取和修改。車載終端網絡端口傳輸安全要求如下：a)應通過對數據包的源地址、目的地址、源端口、目的端口和協議進行檢查決定允許或拒絕數據包進出；b)應具備根據會話狀態信息為進出數據流判定允許或拒絕訪問的能力；c)應基于應用協議和應用內容對進出網絡端口的數據流實現訪問控制；d)應關閉非業務相關的網絡服務端口，并對業務相關的網絡服務端口進行訪問控制；e)應對進入車載終端的帶有攻擊行為特征的網絡數據進行識別，且識別率不低于95％；f)宜采用專用網絡或者虛擬專用網絡通信，與公網隔離；g)宜具備更新擴展安全規則的能力。若車載終端具備遠程升級功能，車載終端應具備升級包校驗機制，校驗升級包的完整性以及來源真3實性。車載終端日志功能要求如下：a)應記錄車載終端在遠程服務過程中發生的信息安全相關事件，如檢測受到網絡攻擊行為等；b)應使每個信息安全事件日志信息記錄的內容包括但不限于：日期和時間(精確到秒)、車輛唯一c)應保證所存儲信息安全事件日志信息的完整性；d)宜保證所存儲信息安全事件日志信息的保密性；e)車載終端信息安全事件日志應只允許被授權的應用以授權方式讀取；f)應具有信息安全事件日志的上傳機制，并使用安全通信協議將信息安全事件日志信息發送到企業平臺。車載終端不應存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。電動汽車遠程服務與管理系統應滿足傳輸數據的保密性、完整性和可用性要求。電動汽車遠程服務與管理系統在客戶端平臺進行平臺登入之前，應和服務端平臺進行雙向身份鑒別。電動汽車遠程服務與管理系統通信協議棧應包含安全通信協議，在客戶端平臺和服務端平臺之間建立安全通信連接，保障GB／T32960．3—2016定義的業務應用層通信的安全性。安全通信協議應基圖2電動汽車遠程服務與管理系統安全通信協議棧安全通信協議要求如下：4c)應禁用TLS會話重協商；d)應禁用TLS壓縮；e)若使用基于非對稱密鑰的身份認證機制，宜使用SM2、密鑰長度不低于2048位的RSA或同級別以及更高級的密碼算法，應具有對應的證書更新及撤銷機制，證書的有效期宜不超過365d，證書更新過程應確保密鑰安全性；f)若使用基于對稱密鑰的身份認證機制，宜使用SM4、密鑰長度不低于128位的AES或同級別以及更高級的密碼算法，應具有對應的密鑰更新機制，更新過程中應確保密鑰安全性。信息上報數據，加密要求如下：a)數據單元加密方式應采用SM4、密鑰長度不低于128位的AES或其他同級別以及更高級的密碼算法；b)加密數據單元的密鑰應與安全通信協議所使用的密鑰不同。車載終端到平臺的通信應滿足雙向身份鑒別和傳輸數據的保密性、完整性和可用性要求。車載終企業平臺應對車載終端的信息安全進行監視管理，應能在車載終端產生信息安全問題后，為信息安全應急響應提供車載終端相關數據以及追溯手段。公共平臺可對車載終端的信息安全狀況進行監測。6試驗方法電動汽車遠程服務與管理系統信息安全試驗方法包括電動汽車遠程服務與管理系統信息安全技術文檔核查和試驗樣件信息安全功能驗證。車載終端信息安全硬件測試的拓撲結構，如圖3所示。5圖3車載終端信息安全硬件試驗示意圖車載終端信息安全通信試驗和驗證的拓撲結構，如圖4所示。圖4車載終端信息安全通信試驗示意圖車載終端信息安全軟件試驗和驗證的拓撲結構，如圖5所示。圖5車載終端信息安全軟件試驗示意圖6通過如下方法檢測車載終端的硬件信息安全：a設備外殼，取出PCB板，將PCB板放大至少5倍，觀察PCB板，檢查是否存在可非法對芯片進行訪問或者更改芯片功能的隱蔽接口；b)根據車載終端接口定義說明，檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調試接口，并使用測試工具嘗試獲取調試權限。根據車載終端安全啟動可信根存儲區域訪問方法和地址范圍說明，使用軟件或硬件調試工具寫入數據，重復多次驗證是否可將數據寫入該存儲區域。根據車載終端安全啟動可信根存儲區域訪問方法和地址范圍說明，使用軟件調試工具對該Boot-不成功時停止加載下一階段系統鏡像。根據車載終端安全啟動可信根存儲區域訪問方法和地址范圍說明，嘗試使用軟件調試工具對使用軟件調試工具對系統鏡像的簽名數據進行破壞，將破壞簽名后的系統鏡像寫入到車載終端內的指定區域，檢測車載終端是否校驗系統鏡像簽名，并在校驗不成功時停止工作。按照訪問控制規則創建一個未添加訪問控制權的軟件應用程序，使用該未添加訪問控制權的軟件應用程序嘗試訪問受保護的軟件應用程序資源，檢測受保護的軟件應用程序資源是否可被訪問。根據車載終端安全啟動可信根存儲區域訪問方法和地址范圍說明，使用軟件調試工具向軟件系統可信根存儲區域寫入數據，重復多次驗證是否可將數據寫入該存儲區域。使用軟件調試工具破壞系統鏡像的受保護的關鍵代碼段，并將破壞后的系統鏡像寫入車載終端，檢測加載破壞后的系統鏡像的車載終端是否能正常工作。78使用軟件分析工具讀取存儲遠程服務與管理數據區域內容，檢測是否為密文存儲。使用非授權的應用程序讀取存儲遠程服務與管理數據區域內容，檢測是否可進行修改，若可修改，則檢測修改后，終端是否依然可正常調用該數據。使用非授權的應用程序讀取系統數據區域的安全重要參數，測試是否可讀取或使用。核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數。核查是否采用會話認證等機制為進出數據流提供明確的允許或拒絕訪問的能力。在被測樣件設置符合標準規定的訪問控制策略，檢測設備向列表指定的源端口發送不符合策略規定的報文，并在列表指定的目的端口檢測接收報文和日志。使用網絡掃描工具對車載終端進行網絡端口掃描：a)檢測車載終端是否開放非業務所需的冗余網絡端口；b)檢測是否可針對開放的網絡端口建立非授權訪問控制連接。將車載終端接入測試網絡，使用攻擊案例對車載終端實施攻擊，檢測車載終端對攻擊的識別率。若車載終端到平臺采用專用網絡或者虛擬專用網絡進行通信，嘗試在非授權網絡條件下，將車載終端連接遠程網絡服務平臺，多次重復檢測是否可建立通信。根據車載終端安全規則更新擴展方案說明，核查車載終端是否具備安全規則更新擴展的能力。9使用軟件調試工具破壞升級包的任意內容，將被破壞的升級包下載到車載終端指定區域，并下發升級包升級指令，檢測車載終端加載升級包時是否進行完整性校驗。將非授權簽名的升級包下載到車載終端指定區域，并下發升級包升級指令，檢測車載終端加載升級包時是否進行授權校驗。根據車載終端安全事件日志記錄規則說明，核查車載終端日志信息記錄的內容是否包括但不限于根據車載終端日志存儲區域和地址范圍說明，使用日志分析工具讀取日志功能區域內容，檢測是否為密文存儲。根據車載終端日志存儲區域和地址范圍說明，使用非授權的應用程序讀取日志功能區域內容，檢測，是否依然可正常讀取該日志。根據車載終端日志存儲區域和地址范圍說明，以非授權的用戶應用程序訪問審計信息存儲區域，檢測訪問是否成功。將車載終端接入測試網絡，使用攻擊案例對車載終端實施惡意攻擊，核查攻擊結束后，是否可在企業平臺上檢索到本次安全攻擊事件日志。通過如下方法檢測車載終端系統信息安全：a)使用漏洞掃描工具對車載終端進行漏洞檢測，檢測是否存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞；b)若存在高危及以上的安全漏洞，則檢查廠商是否提供了該漏洞的處置方案。核查平臺間通信接入是否具有認證機制。使用網絡監聽工具，監聽網絡傳輸數據，檢測企業平臺與公共平臺之間傳輸的數據是否為密文。對車載終端上報的數據進行破壞后，檢測企業平臺與公共平臺之間傳輸是否失敗。通過網絡掃描工具對企業平臺進行網絡端口掃描：a)檢測企業平臺是否有開放非業務所需的冗余網絡端口；b)在非授權網絡條件下，使用外部網絡工具，檢測針對開放的網絡端口是否可建立非授權訪問連接。