33.050

M32JSQX

00022022

requirements

communication

terminal

全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺 前言

...........................................................................

II1

范圍.................................................................................

12

規范性引用文件.......................................................................

13

術語和定義...........................................................................

14

縮略語...............................................................................

15

車載通信終端安全要求.................................................................

1.........................................................................

1操作系統安全.....................................................................

2.........................................................................

3.........................................................................

4.........................................................................

5IT/JSQX

0002—2022前 言本文件按照

—2020

第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由江蘇省智能網聯汽車標準化技術委員會（）提出并歸口。本文件主單位：無錫智匯交通科技（無錫）科技工業大學（威海）能源汽車聯網（）信息通信科技有限公司、中興通訊股份有限公司。本文件主要起草人：華賢平、李麗、陳秋、劉志杰、王漢振、王佰玲、劉紅日、徐東亮、魏玉良、徐志強、李吉、王秀娟、莊寶森、董接蓮、葛元、許丹妮、肖小珊、趙明。II全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺1

范圍本文件規定了車載通信終端的安全要求、操作系統安全、、數據安全、等。本文件適用于整車、零部件企業的車載通信終端設備的設計和研發。2

規范性引用文件下列文件中的內容通過文中而構成必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于；日期，其最新版包括所有的修改單）適用于本文件。GB/T

19596 電動GB/T

電動汽車

第1總則3

術語和定義GB/T

19596、GB/T

界定的以及下列適用于車載通信終端設備通過4G/5G通信、GPS衛星定位、加速度傳感和通訊等技術為整供遠程通訊接口，實現包括行車數據、行駛軌跡記錄、車輛故障監控、車輛遠程查詢和控制、分析等服務的網聯功能單元。4

縮略語下列縮略語適用于ACL：訪問控制列表（Access

）CPA：分析（Correlation

）DDoS：分布式拒絕服務攻擊（

Service）DoS：拒絕服務攻擊（Denial

）DPA：差分分析（Differential

）OTA：空中下載技術（Over-the-Air

Technology）QoS：（

of

）SPA：簡單分析（Simple

）VPN：虛擬絡（Virtual

Private

Network）5

車載通信終端安全要求硬件安全5.1.1 設計安全5.1.1.1 車載通信終端系統所使芯片不應存在可內存進行訪問或者更改芯片功隱蔽接口。芯片在設計使用的調試接口應在上市產品中禁用。1全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺5.1.1.2 車載通信終端系統的電路板存在用以標注、端口和管腳功能的可讀絲印。5.1.1.3 車載通信終端系統芯片感數據的通信量隱蔽，對抗針對車載通信終端內部數據傳輸的和偽造攻擊。在板載芯片中，不應存在可非法對芯片內更能的隱蔽接口。5.1.1.4 車載通信終端所使關鍵宜盡量減少暴露管腳。5.1.2 訪問控制5.1.2.1 車載通信終端應具有存儲和隔離敏感數據的安全區域或安全模塊，車載通信終端設備重要數據安全存儲與。5.1.2.2 在安全區域或模塊中一次性寫入的敏感信應保證無法非或者篡改。板載芯片的診斷應具有鑒權功或安全模塊應具備檢測與處置非授權訪問的能力，對解。應對板載芯片接口禁用施安全。5.1.3 抗攻擊防護5.1.3.1 使用必要的安全機制，防御針對芯片的電壓、、電磁、激光等方式的故障注入攻擊。5.1.3.2 使用必要的防護措施，對抗針對加密芯片的簡單功耗分析（）攻擊、一階差分功耗分析（DPA）攻擊、分析（CPA），以運行、溫度等其它信息進行的側信道攻擊。5.1.3.3 使用必要的防護機制，對抗針對車載通信終端內存的侵入和篡改攻擊。操作系統安全5.2.1 操作系統安全啟動應在安全存儲區域存儲簽名啟動時應使制，在驗證并判定通過后，再從可信存儲區域加，避免加載被篡改的操作系統。5.2.2 多操作系統隔離如車載通信終端存在多個，應采用隔離機制，保證不同操作系統之間防護。5.2.3操作系統加載應用程序應提供制，只能加載啟動程序，能夠驗證來源和完整性，避免運行惡意程序。5.2.4 系統安全防護5.2.4.1 應采用完整性校驗手段，對關鍵代碼或文件進行完整性保護。當用要遠程登錄系統時，用戶首先到官方網站下載登錄客戶端和身份證書，然后向車輛登錄，過驗證數字簽名對請求者進行身份鑒權。5.2.4.2 車載通信終端系統不應存在后門，也不應存在于“中國汽車行業平臺（CAVD）”以及“國家信息安全平臺（CNVD）”發布了

6

個月及以上的高危安全漏洞。系統應具有能夠及時進行漏洞修復的方式。車載系統應利用車輛聯網狀態定期檢測系統開發商有沒有發布系統更新并自動下載更新。5.2.5 資源訪問控制5.2.5.1 應采取適用于各應用場景的告知和控制方式，當應用對系統敏感資源調用時用戶可知。并提供設置開關，供用意或者拒絕該項調5.2.5.2 應通過可信執行環境，為基于敏感關鍵供安全執行空間，控制對密鑰、CAN

控制器等關鍵資源的，保護資源保密性和完整性，對抗非授權訪問和篡改等多種攻擊。5.2.6 安全日志記錄及審計控制5.2.6.1 應具備支持對關鍵事件的日志功能，事件的時間、對象、和結果等。2全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺5.2.6.2 應具備支持傳功能，上傳時對云端進行認證；根據云端管理需求，采取安全的方輸日志，確保數據的完整認證5.2.6.3 應采取機制，對日志讀取寫入的權限應對存儲安全。5.2.7系統軟件更新與固件更新5.2.7.1 應只接收在約況輛系統下發起的車載通信終端操作系統和應用等軟件的更新請求，并在用戶確認后執行更新操作。5.2.7.2 軟件更新時，夠對提供更新軟件包的來源鑒別，并對接收到的更新進行完整性校驗。軟件升級應不影響用戶設置和用戶具有備份和恢復能力，能夠在軟件更新發生異常時進行必，新導致失效對行為進行記錄定內升級嘗試次數上限，通過升級嘗試對車輛資源消耗。在不影響終端正常使安全的前提下，應能夠進行操作系統的補丁安裝以及

FOTA

的升級。5.2.7.3 車載通信終端在向其他或傳輸更新更新命令時，應能夠及時聲明自己的身份和權供或進行認證；只有認證通過后，才可以繼續執行。5.2.7.4 在車輛硬件資源允許的情況下，應具備

OTA

遠程升級能力。5.2.8 介質接口安全5.2.8.1 車載通信終端不應未經聲明的外圍介質接口。5.2.8.2 車載通信終端應定義通過外圍接口接入的存儲介質上的文件類型和權限，并限制通過介質接口對車載通信終端的操作類型。5.2.8.3 應使用必要的方法，對修改系統配置或者運行的文件進行，并根據檢測結警及處置。應用安全5.3.1 應用軟件安全基本要求5.3.1.1 應用軟件不應后門，也不應存在于“中國行業漏洞共享平臺（CAVD）”以及信息安全平臺（CNVD）”發布了

6

及以上的高危安全漏洞。5.3.1.2 應用軟含有非授權收泄露用戶信息、非法數據外傳等惡意行為。5.3.1.3 應用軟以明文形式存儲用戶敏感信息。5.3.1.4 應用軟件應使制，對抗針對逆向分析。5.3.2 應用軟件簽名認證機制應用軟件應采用符合要求的簽名認證機制。5.3.3 應用軟件運行要求5.3.3.1 關鍵應用程序在啟動時應執行自檢，檢查程序運行時所必須的條件，確保程和所行環境的安全性。5.3.3.2 應用軟件運行期間，應具備運行驗證及編譯混淆能力，防止運行數據被非法分析或代碼被非法執行。5.3.3.3 應使用安全機制，防止和檢測應用軟件之間不必要的訪問，避免數據泄漏、授權等問題。5.3.3.4 應具備識別、阻斷惡意軟力，隔絕已經被感染的文件，軟件的惡意訪問。5.3.4 安全審計要求應用程序應具備記錄應用狀態及使用情況的日志功能，并支持集中管理。5.3.5 應用流程安全性要求5.3.5.1 應用程序器的交互，應使用安全通信協議。3全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺5.3.5.2 應用程序器應有雙證機制。通信安全5.4.1 有線5.4.1.1對車內子的安全控制5.4.1.1.1 應使用必手段，對包括車載通信終端在各電子電氣系統進行子系統或者域的劃分。子或者域應有不同的信息安全等級采用加密、認證等安全關鍵通信數據的保密性、完整性、放攻擊。5.4.1.1.2 應建立跨子系統或者域間通信的安全訪問策略，車載通信終端與高級別的子系統之間應采取措施。并通能設計的配合，避免由于車載通信終端的信息安全問題造成該類子系統功錯誤或異常具有安全存儲功能，將用于安全通信的密鑰等相關信息進行加密存儲具有網絡監測機制，提供針對報文異常和的實時監測，并提供分析統計和告警等。5.4.1.1.3 車載通信終端應在與車內各電子電氣系統的通信數據上加載身份標識，供其他電子電氣系統驗證。同時具有驗證所接收到的通信數據的發送方身份的能力對需要網絡通信的業務重要性劃分優先等級，優先保障高優業務的網絡通信需求。5.4.1.2 對車內部可靠可用性的5.4.1.2.1 車載通信終端應具備冗余和重制，保證對電子電氣系統發送重要數據時，傳輸數據的可靠夠抵抗拒絕服務攻擊。5.4.1.2.2車載通信終端向車內電子電氣系統發送數據和轉時，應采用相應技術避免大量集中發送數據包導致的總線擁塞和拒絕服務。應對網絡操作和安全事件生成日志記錄。5.4.1.2.3 車載通信終端應建立監，實時監測向車內電子電氣系統發送，對于異常情況應及時發現并告警。5.4.2 無線5.4.2.1 蜂窩網絡5.4.2.1.1 車載通信終端應使制，識別偽基站，確保接入真實可靠的蜂窩網絡。5.4.2.1.2 車載通信終端與核心業務平臺采絡或者虛擬專用網絡通信。應支持蜂窩數據傳輸

隧道功對外部實體發起的通信連接請求進行身份認證夠識別來自蜂窩網絡的非法連接請求，過濾惡包過外圍接口接入的存儲介質上類型和權制通過對絡設備進行類型。隨著外設種類越來越多，同時也出現了各種，應確保新的組合對最低并保證系統最優。5.4.2.1.3 車載通信終端應采取技術，禁用業務所不需要的蜂窩網絡通信功能。應關閉用于監聽外部服務絡服務端口。5.4.2.1.4 通過蜂窩網絡傳送的針對關鍵，應采用強驗證手段，確保只有授權的主體可以實施相應的操作。需要考慮器之間的安全通信和可信認證問題。5.4.2.1.5應根據不同重要性劃分優先級，保障關鍵業務具有網絡通信的優先使用權。應對車載通信終端的硬件實施加固，利用安全單元，完成車載通信終端配置信息以及其他一些隱私數據的完整性校驗存儲等功能，保證靠性和完整性。5.4.2.2 車車通信安全5.4.2.2.1 車載通信終端應具備保證唯一性的身份標識，并可連接的通信節點進行身份驗證，且該身份泄露用戶隱私。應實現服務器與車載通信終端之間的雙向認證，單元（SecureElement

通常以芯片形式提供。為防止外部惡意解，保護，中具有加密/解密邏輯電路。稱

SE）優化端的認證過程，阻止移動終端對網絡環境的破壞。5.4.2.2.2 車載通信終端應支持數字證書或完備的密鑰生成機制和管理機制，用于身份認證、通信加密和完整性保護。4全國團體標準信息平臺T/JSQX

0002—2022全國團體標準信息平臺5.4.2.3 短距離接安全5.4.2.3.1 車載通信終端應具備用戶手動打開、關閉短距離（無特殊說明，一般為

10

米以內）無線連接的能力。與遠程服務平臺通信時，應能夠互相認證對方的身份，當雙方身份相互驗證合法后，建立通信鏈路連接。5.4.2.3.2 已建立的短距離無線連接，應在相輸出確的連接狀態顯示。應具有針對網絡傳輸的訪問控制功能。5.4.2.3.3 車載通信終端的應用調用離無線連接功能時，車載通信終端應能夠明示用戶，并提供配置能力和符合場景的配置方式。應采用安全通信或數據加密的機制。5.4.2.3.4 車載通信終端應只在特定工況下接來通信連接以保證車輛，并對連接請求的設備認。需要用戶操作的步驟，應向用戶提供應用的處理方式對外界接入訪問進行監視和。5.4.2.3.5 車載通信終端發起對外連接時，應對外部設備認證，并盡量啟協議所支持的安全模式進行具有安全存儲功能，將用于安全通信的密鑰等相關信息進行加密存儲保證其完整性。應具有日志審計功具有名單功能，對外部接入設備應限制。注：短距離無線連接包括但不

Wi-Fi、、。數據安全5.5.1 采集5.5.1.1 車載通信終端的與用戶身置信息等相關的敏感數據，過顯式的方式告知用戶并獲得用戶確認，應說明采集所依據的法律法規或者業務需5.5.1.2 車載通信終端對用戶采集應在提供相應的同時進行。若出于業務需要而必須采集相關，應向用戶明示事先采集的目，并且只有在用戶同意的情況下方可繼續。5.5.1.3車載通信終端用戶使用行為等用戶數據時，應提示用戶并向用戶提供關閉數據采集的功能。在執行此類，應對用份進行認證過制輛接入安全保護機制，保證在用戶知情的情況下被訪問，從而防止非法數據傳送和數據訪問。5.5.1.4 車載通信終端應具備支持國家監管部門依法進行數據采集