Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.
This document was proposed by the Ministry of Industry and Information Technology of the People's Republic of China.
This document is under the jurisdiction of the National Technical Committee of Auto Standardization (SAC/TC 114).
Technical requirements and test methods for cybersecurity of on-board information interactive system
1 Scope
This document specifies the information security technical requirements and test methods for hardware, communication protocols and interfaces, operating system, application software and data of on-board information interactive system.
This document is applicable to guiding enterprises such as complete vehicle manufacturers, parts and components suppliers and software suppliers, to carry out the design, development, verification and production of information security technology for on-board information interactive system.
2 Normative references
The following documents contain provisions which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 25069 Information security technology - Glossary
GB/T 40861 General cybersecurity technical requirements for road vehicles
GM/T 0005-2012 Randomness test specification
3 Terms and definitions
For the purposes of this standard, the terms and definitions specified in GB/T 25069 and GB/T 40861 as well as the followings apply.
3.1
on-board information interactive system
communication system installed on the vehicle, which has at least one of the following functions:
a) external functions of establishing connection and exchanging data through cellular network, short-distance communication and other communication technologies as well as those in internal terms of information acquisition, data transmission and instruction issuance through vehicle bus and electronic and electrical system;
b) related service functions such as realizing call, recording, navigation and entertainment
Note 1: The on-board information interactive system is generally a remote on-board information interactive system (T-Box), an on-board integrated information processing system (IVI) and a mixture thereof.
Note 2: The schematic diagram for a typical on-board information interactive system is shown in Figure A.1 in Annex A.
3.2
external communication
wireless communication between on-board information interactive system and vehicle exterior
Note: Including telecommunication based on mobile cellular network, Bluetooth, WLAN and other short-distance communication.
3.3
internal communication
communication between on-board information interactive system and in-vehicle electronic and electrical system
Note: Including the internal communication based on CAN, CAN-FD, LIN, on-board Ethernet, etc.
3.4
user
object using the resources of on-board information interactive system
Note: Including people, vehicles or third-party applications.
3.5
user data
data generated by or serving users
Note: Such data does not affect the operation of security functions.
3.6
code signing
mechanism for signing all or part of codes by an entity with signing authority using digital signature mechanism
3.7
application software
software on the on-board information interactive system for realizing functions such as payment and entertainment
Note: Including application software pre-installed and those installable in the on-board information interactive system
3.8
platform server
platform providing services for vehicles
Note: Including enterprise independent operation platforms, third-party platforms, etc.
3.9
external terminal
terminal device outside the vehicle
Note: Including road side units, cell phones, etc.
3.10
on-board public telecommunication protocol
standard communication protocol suitable for on-board information interactive system, which is adopted or approved by an international or national standardization organization
Note: Including HTTP, FTP, etc.
3.11
on-board private telecommunication protocol
communication protocol (in addition to communication protocols such as HTTP and FTP) customized between the complete vehicle manufacturer or parts and components manufacturer and the TSP, which is suitable for the on-board information interactive system
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
CAN: Controller Area Network
CAN-FD: Control Area Network-flexible data
ECU: Electronic Control Unit
E-Call: Emergency Call
FTP: File Transfer Protocol
HTTP: Hypertext Transfer Protocol
ID: Identifier
JTAG: Joint Test Action Group
LE: Low Energy
LIN: Local Interconnect Network
PCB: Printed Circuit Board
PSK: Pre-Shared Key
SPI: Serial Peripheral Interface
SSP: Secure Simple Pairing
SU: Switch User
TLS: Transport Layer Security
TSP: Telematics Service Provider
UART: Universal Asynchronous Receiver/Transmitter
URL: Uniform Resource Locator
USB: Universal Serial Bus
WLAN: Wireless Local Area Networks
WPA: WLAN Protected Access
5 Technical requirements
5.1 Hardware security requirements
5.1.1 The chip used in the on-board information interactive system shall meet the following requirements:
a) test according to 6.1 a), and the debugging interface shall be disabled or set up with security access control;
b) test according to 6.1 b), and no backdoor or hidden interface is available.
5.1.2 Test according to 6.1 c), and the exposed pins of key chips of processors, memory modules, communication IC, etc. used for processing, storing and transmitting personal sensitive information and security chips used in the on-board information interactive system shall be reduced.
5.1.3 Test according to 6.1 d), and the number of exposed communication lines between the key chips used for on-board information interactive system (for example, the on-board information interactive system using multi-layer circuit board may hide the communication lines by inner wiring) shall be reduced.
5.1.4 Test according to 6.1 e), and circuit boards and chips should not expose the readable screen printing for labeling port and pin functions.
5.2 Communication protocol and interface security requirements
5.2.1 External communication security
5.2.1.1 Communication connection security
Test according to 6.2.1.1 a), and the on-board information interactive system shall realize the identity authentication of the platform server or the external terminal. After successful identity authentication, test according to 6.2.1.1 b), and the on-board information interactive system can carry out communication interaction of business data with the platform server or the external terminal.
5.2.1.2 Communication transmission security
Test according to 6.2.1.2, and the data content transmitted between the on-board information interactive system and the platform server or the external terminal shall be encrypted, and national cryptographic algorithm should be used.
5.2.1.3 Communication response termination security
The on-board information interactive system shall meet the following requirements during communication:
a) test according to 6.2.1.3 a), and when the verification of data content fails, the response operation shall be terminated;
b) test according to 6.2.1.3 b), and when the identity authentication fails, the response operation shall be terminated.
5.2.1.4 Telecommunication protocol security
5.2.1.4.1 On-board public telecommunication protocol security
The on-board public telecommunication protocol is tested according to 6.2.1.4.1, and shall be of TLS version 1.2 or above or at least the same security level.
5.2.1.4.2 On-board private telecommunication protocol security
The on-board private telecommunication protocol shall meet the following requirements:
a) test according to 6.2.1.4.2 a), and support the data encryption key update in a secure manner;
b) test according to 6.2.1.4.2 b), and the key used shall be transmitted securely.
5.2.1.5 Short-distance communication protocol security
5.2.1.5.1 Short-distance communication password application security
The short-distance communication password application security shall meet the following requirements:
a) test according to 6.2.1.5.1 a), and the default password shall be highly complex password which at least includes Arabic numerals, uppercase and lowercase Latin alphabets with a length of at least digits;
Note: Bluetooth is not limited to the above requirements.
b) test according to 6.2.1.5.1 b), and different default passwords shall be used for different on-board information interactive systems;
c) test according to 6.2.1.5.1 c) and, when changing the password, the user shall be limited to set the password required by a) or risks shall be prompted to the user;
Note: Bluetooth is not limited to the above requirements.
d) test according to 6.2.1.5.1 d) and, for login authentication of human-machine interface or interface between different on-board information interactive systems across trust network, the mechanism against password brute force attack shall be supported and, when testing according to 6.2.1.5.1 e), the password file shall be set up with security access control.
5.2.1.5.2 On-board Bluetooth communication protocol security
The on-board information interactive system with on-board Bluetooth communication function shall meet the following requirements:
a) test according to 6.2.1.5.2 a), and no backdoor shall be available for the on-board information interactive system;
b) test according to 6.2.1.5.2 b), and the mode for external device requiring pairing with on-board Bluetooth shall be SSP mode in Classic case or LE Secure Connection mode in LE case;
c) test according to 6.2.1.5.2 c), and the on-board information interactive system shall verify the pairing request;
d) for the on-board Bluetooth communication function with high security requirements (e.g., non-contact control of vehicles by Bluetooth), test according to 6.2.1.5.2 d), and the access authority of external device shall be controlled to prevent illegal access;
e) for the on-board Bluetooth communication function with high security requirements (e.g., non-contact control of vehicles by Bluetooth), test according to 6.2.1.5.2 e), and the relevant data shall be encrypted.
5.2.1.5.3 On-board WLAN communication protocol security
For the on-board information interactive system with WLAN hotspot function, test according to 6.2.1.5.3, and WPA2-PSK or encryption authentication method of higher security level shall be used.
5.2.2 Internal communication security
When the on-board information interactive system conducts data interaction with other controller nodes in the vehicle through buses such as CAN or on-board Ethernet, test according to 6.2.2, and the security mechanism shall be used to ensure the integrity and availability of important data transmitted such as vehicle control instructions.
5.2.3 Communication interface security
5.2.3.1 General requirements
The communication interface of the on-board information interactive system shall meet the following requirements:
a) test according to 6.2.3.1 a), and no backdoor or hidden interface shall be available;
b) test according to 6.2.3.1 b), and the contents requiring authorization such as access authority shall not exceed the normal business scope.
5.2.3.2 Security of communication interface outside the vehicle
5.2.3.2.1 Test according to 6.2.3.2 a), and the on-board information interactive system shall support route isolation to isolate the communication of core service platforms performing functions such as controlling vehicle instructions and collecting personal sensitive information, internal communication of non-core service platforms in internal communication and Internet communication of non-core service platforms in external communication, etc.
Note: Non-core service platforms refer to service platforms other than core service platforms.
5.2.3.2.2 Test according to 6.2.3.2 b), the communication between the on-board information interactive system and the core service platform capable of performing functions of controlling vehicle instructions and collecting personal sensitive information should be conducted through private network or virtual private network so as to be isolated from public network.
5.2.3.3 Security of communication interface inside the vehicle
The on-board information interactive system shall meet the following requirements:
a) test according to 6.2.3.3 a), and whitelist shall be set for legal instructions;
b) test according to 6.2.3.3 b), and the bus control instruction source shall be verified.
Foreword i
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 Technical requirements
5.1 Hardware security requirements
5.2 Communication protocol and interface security requirements
5.3 Operating system security requirements
5.4 Application software security requirements
5.5 Data security requirements
6 Test methods
6.1 Hardware security test
6.2 Test for security of communication protocol and interface
6.3 Test for operating system security
6.4 Test for application software security
6.5 Test for data security
Annex A (Informative) Schematic diagram for on-board information interactive system
車載信息交互系統信息安全
技術要求及試驗方法
1 范圍
本文件規定了車載信息交互系統硬件、通信協議與接口、操作系統、應用軟件、數據的信息安全技術要求與試驗方法。
本文件適用于指導整車廠、零部件供應商、軟件供應商等企業,開展車載信息交互系統信息安全技術的設計開發、驗證與生產等工作。
2 規范性引用文件
下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069 信息安全技術 術語
GB/T 40861 汽車信息安全通用技術要求
GM/T 0005—2012 隨機性檢測規范
3 術語和定義
GB/T 25069、GB/T 40861界定的以及下列術語和定義適用于本文件。
3.1
車載信息交互系統 on-board information interactive system
安裝在車輛上的通信系統,具備下列至少一項功能:
a) 對外可通過蜂窩網絡、短距離通信等通信技術建立連接并進行數據交換等功能,對內可通過汽車總線與電子電氣系統進行信息采集、數據傳遞與指令下發等功能;
b) 實現通話、錄音、導航和娛樂等相關服務功能。
注1:車載信息交互系統通常為遠程車載信息交互系統(T-Box)、車載綜合信息處理系統(IVI)以及其混合體。
注2:典型的車載信息交互系統示意圖見附錄A中圖A.1。
3.2
對外通信 external communication
車載信息交互系統與車輛外部的無線通信。
注:包括基于移動蜂窩網絡的遠程通信、藍牙、WLAN等短距離通信等。
3.3
內部通信 internal communication
車載信息交互系統與車輛內電子電氣系統的通信。
注:包括基于CAN、CAN-FD、LIN、車載以太網等車輛內部的通信。
3.4
用戶 user
使用車載信息交互系統資源的對象。
注:包括人、車輛或者第三方應用程序。
3.5
用戶數據 user data
由用戶產生或為用戶服務的數據。
注:該數據不影響安全功能的運行。
3.6
代碼簽名 code signing
利用數字簽名機制,由具備簽名權限的實體對全部或部分代碼進行簽名的機制。
3.7
應用軟件 application software
在車載信息交互系統上,為實現支付、娛樂等功能的一類軟件。
注:包括在車載信息交互系統中已預裝的應用軟件和后期可安裝的應用軟件。
3.8
平臺服務端 platform server
為車輛提供服務的平臺。
注:包括企業自主運營平臺及第三方平臺等。
3.9
外部終端 external terminal
車輛外部的終端設備。
注:包括路側單元、手機等。
3.10
車載公有遠程通信協議 on-board public telecommunication protocol
適用于車載信息交互系統,并且經國際或國家標準化組織采納或批準的標準通信協議。
注:包括HTTP、FTP等。
3.11
車載私有遠程通信協議 on-board private telecommunication protocol
除HTTP、FTP等通信協議,整車廠或零部件廠與TSP自定義適用于車載信息交互系統的通信協議。
4 縮略語
下列縮略語適用于本文件。
CAN:控制器局域網絡(Controller Area Network)
CAN-FD:控制器局域網絡-靈活數據(Control Area Network-flexible data)
ECU:電子控制單元(Electronic Control Unit)
E-Call:緊急呼叫(Emergency Call)
FTP:文件傳輸協議(File Transfer Protocol)
HTTP:超文本傳輸協議(Hypertext Transfer Protocol)
ID:標識符(Identifier)
JTAG:聯合測試工作組(Joint Test Action Group)
LE:低功耗(Low Energy)
LIN:局域互連網絡(Local Interconnect Network)
PCB:印制電路板(Printed Circuit Board)
PSK:預共享密鑰(Pre-Shared Key)
SPI:串行外設接口(Serial Peripheral Interface)
SSP:安全簡易配對(Secure Simple Pairing)
SU:切換用戶(Switch User)
TLS:安全傳輸層協議(Transport Layer Security)
TSP:終端服務平臺(Telematics Service Provider)
UART:通用異步收發器(Universal Asynchronous Receiver/Transmitter)
URL:統一資源定位符(Uniform Resource Locator)
USB:通用串行總線(Universal Serial Bus)
WLAN:無線局域網(Wireless Local Area Networks)
WPA:無線局域網安全接入(WLAN Protected Access)
5 技術要求
5.1 硬件安全要求
5.1.1 車載信息交互系統所使用的芯片應滿足以下要求:
a) 按照6.1a)進行測試,調試接口應禁用或設置安全訪問控制;
b) 按照6.1b)進行測試,不存在后門或隱蔽接口。
5.1.2 按照6.1c)進行測試,車載信息交互系統所使用的處理器、存儲模塊、通信IC等用于處理、存儲和傳輸個人敏感信息的關鍵芯片及安全芯片,應減少暴露管腳。
5.1.3 按照6.1d)進行測試,車載信息交互系統所使用的關鍵芯片之間應減少暴露的通信線路數量,例如:使用多層電路板的車載信息交互系統可采用內層布線方式隱藏通信線路。
5.1.4 按照6.1e)進行測試,電路板及芯片不宜暴露用以標注端口和管腳功能的可讀絲印。
5.2 通信協議與接口安全要求
5.2.1 對外通信安全
5.2.1.1 通信連接安全
按照6.2.1.1a)進行測試,車載信息交互系統應實現對平臺服務端或外部終端的身份認證。當身份認證成功后,按照6.2.1.1b)進行測試,車載信息交互系統與平臺服務端或外部終端才能進行業務數據的通信交互。
5.2.1.2 通信傳輸安全
按照6.2.1.2進行測試,車載信息交互系統與平臺服務端或外部終端間傳輸的數據內容應進行加密,宜使用國密算法。
5.2.1.3 通信終止響應安全
車載信息交互系統進行通信時,應滿足以下要求:
a) 按照6.2.1.3a)進行測試,數據內容校驗失敗時,應終止該響應操作;
b) 按照6.2.1.3b)進行測試,發生身份鑒權失敗時,應終止該響應操作。
5.2.1.4 遠程通信協議安全
5.2.1.4.1 車載公有遠程通信協議安全
車載公有遠程通信協議,按照6.2.1.4.1進行測試,應采用TLS1.2版本及以上或至少同等安全級別的安全通信協議。
5.2.1.4.2 車載私有遠程通信協議安全
車載私有遠程通信協議應滿足以下要求:
a) 按照6.2.1.4.2a)進行測試,支持以安全方式進行用于數據加密密鑰的更新;
b) 按照6.2.1.4.2b)進行測試,其使用的密鑰應進行安全傳輸。
5.2.1.5 短距離通信協議安全
5.2.1.5.1 短距離通信口令應用安全
短距離通信口令應用安全應滿足以下要求:
a) 按照6.2.1.5.1a)進行測試,缺省口令應使用至少包括阿拉伯數字、大小寫拉丁字母,長度不少于8位的強復雜度的口令;
注:藍牙不限定于以上條款要求內。
b) 按照6.2.1.5.1b)進行測試,不同車載信息交互系統應使用不同的缺省口令;
c) 按照6.2.1.5.1c)進行測試,更改口令時,限定用戶設置a)要求的口令或向用戶提示風險;
注:藍牙不限定于以上條款要求內。
d) 按照6.2.1.5.1d)進行測試,對于人機接口或跨信任網絡的不同車載信息交互系統之間接口的登錄認證,應支持口令防暴力破解機制,且按照6.2.1.5.1e)進行測試,口令文件應設置安全訪問控制。
5.2.1.5.2 車載藍牙通信協議安全
對具有車載藍牙通信功能的車載信息交互系統應滿足以下要求:
a) 按照6.2.1.5.2a)進行測試,車載信息交互系統不應存在后門;
b) 按照6.2.1.5.2b)進行測試,外部設備請求與車載藍牙配對的方式在經典(Classic)場合應為
SSP模式,在LE場合應為低功耗安全連接(LE Secure Connection)模式;
c) 按照6.2.1.5.2c)進行測試,車載信息交互系統應驗證配對請求;
d) 對于高安全要求的車載藍牙通信功能,例如:利用藍牙進行非接觸控制車輛等,按照6.2.1.5.2d)進行測試,應對外部設備的訪問權限進行控制以防止非法接入;
e) 對于高安全要求的車載藍牙通信功能,例如:利用藍牙進行非接觸控制車輛等,按照6.2.1.5.2e)進行測試,應對相關數據進行加密處理。
5.2.1.5.3 車載WLAN 通信協議安全
對具有WLAN 熱點功能的車載信息交互系統,按照6.2.1.5.3進行測試,應使用WPA2-PSK 或更高安全級別的加密認證方式。
5.2.2 內部通信安全
當車載信息交互系統通過CAN、車載以太網等類型總線與車內其他控制器節點進行數據交互時,按照6.2.2進行測試,應使用安全機制確保車輛控制指令等所傳輸重要數據的完整性和可用性。
5.2.3 通信接口安全
5.2.3.1 總體要求
車載信息交互系統的通信接口應滿足以下要求:
a) 按照6.2.3.1a)進行測試,不應存在任何后門或隱蔽接口;
b) 按照6.2.3.1b)進行測試,訪問權限等需授權內容不應超出正常業務范圍。
5.2.3.2 車外通信接口安全
5.2.3.2.1 按照6.2.3.2a)進行測試,車載信息交互系統應支持路由隔離,隔離執行控制車輛指令、收集個人敏感信息等功能的核心業務平臺的通信,隔離對內通信中非核心業務平臺的內部通信以及對外通信中非核心業務平臺的外網通信等。
注:非核心業務平臺指除核心業務平臺之外的業務平臺。
5.2.3.2.2 按照6.2.3.2b)進行測試,車載信息交互系統與能執行控制車輛指令、收集個人敏感信息等功能的核心業務平臺間通信宜采用專用網絡或者虛擬專用網絡通信,與公網隔離。
5.2.3.3 車內通信接口安全
車載信息交互系統應滿足以下要求:
a) 按照6.2.3.3a)進行測試,對合法指令設置白名單;
b) 按照6.2.3.3b)進行測試,對總線控制指令來源進行校驗。
5.3 操作系統安全要求
5.3.1 操作系統安全配置
車載信息交互系統在其操作系統安全配置方面,應滿足以下要求:
a) 按照6.3.1a)進行測試,禁止最高權限用戶直接登錄,且限制普通用戶提權操作;
b) 按照6.3.1b)進行測試,刪除或禁用無用賬號,并使用至少包括阿拉伯數字、大小寫拉丁字母,長度不少于8位的強復雜度口令;
c) 按照6.3.1c)進行測試,具備訪問控制機制控制用戶、進程等主體對文件、數據庫等客體進行訪問;
d) 按照6.3.1d)進行測試,禁止不必要的服務,例如:FTP服務等,按照6.3.1e)進行測試,禁止非授權的遠程接入服務。
5.3.2 安全調用控制能力
5.3.2.1 通信類功能受控機制
5.3.2.1.1 撥打電話
具有撥打電話功能的車載信息交互系統應滿足以下要求:
a) 按照6.3.2.1.1a)進行測試,在用戶明示同意后,調用撥打電話操作才能執行;
b) 按照6.3.2.1.1b)進行測試,向用戶明示業務內容,且在用戶明示同意后,調用撥打電話開通呼叫轉移業務操作才能執行。
注:緊急情況下,E-Call等應急功能不限定于以上條款要求內。
5.3.2.1.2 三方通話
具有三方通話功能的車載信息交互系統,按照6.3.2.1.2進行測試,應在用戶明示同意后,調用三方通話操作才能執行。
5.3.2.1.3 發送短信
具有發送短信功能的車載信息交互系統,按照6.3.2.1.3進行測試,應在用戶明示同意后,調用發送短信操作才能執行。
注:緊急情況下,E-Call等應急功能不限定于以上條款要求范圍內。
5.3.2.1.4 發送彩信
具有發送彩信功能的車載信息交互系統,按照6.3.2.1.4進行測試,應在用戶明示同意后,調用發送彩信操作才能執行。
5.3.2.1.5 發送郵件
具有發送郵件功能的車載信息交互系統,按照6.3.2.1.5進行測試,應在用戶明示同意后,調用發送郵件操作才能執行。
5.3.2.1.6 移動通信網絡連接
具有交互界面的車載信息交互系統,在移動通信網絡連接時,應滿足以下要求:
a) 按照6.3.2.1.6a)進行測試,應具備允許開啟或關閉移動通信網絡連接功能;
b) 按照6.3.2.1.6b)進行測試,向用戶進行提示,且在用戶明示同意后,調用移動通信網絡連接功能的操作才能執行;
c) 按照6.3.2.1.6c)進行測試,向用戶提供通過配置應用軟件調用移動通信網絡連接的功能;
d) 當移動通信網絡處于已連接狀態時,按照6.3.2.1.6d)進行測試,應在交互界面上給用戶相應的狀態提示;
e) 當正在傳送數據時,按照6.3.2.1.6e)進行測試,應在交互界面上給用戶相應的狀態提示;
f) 上述d)和e)中,按照6.3.2.1.6f)進行測試,狀態提示的方式應不同。
注:緊急情況下,E-Call等應急功能不限定于以上條款要求內。
5.3.2.1.7 WLAN 網絡連接
具有交互界面的車載信息交互系統,在WLAN 網絡連接時,應滿足以下要求:
a) 按照6.3.2.1.7a)進行測試,應具備允許開啟或關閉WLAN 網絡連接功能;
b) 按照6.3.2.1.7b)進行測試,向用戶進行提示,且在用戶明示同意后,調用WLAN 網絡連接功能的操作才能執行;
c) 當WLAN 網絡處于已連接狀態時,按照6.3.2.1.7c)進行測試,應在交互界面上給用戶相應的狀態提示;
d) 當正在傳送數據時,按照6.3.2.1.7d)進行測試,應在交互界面上給用戶相應的狀態提示;
e) 上述c)和d)中,按照6.3.2.1.7e)進行測試,狀態提示的方式應不同。
5.3.2.2 本地敏感功能受控機制
5.3.2.2.1 定位功能
具有交互界面的車載信息交互系統,在調用定位功能時,應滿足如下要求:
a) 按照6.3.2.2.1a)進行測試,在用戶明示同意后,才能執行定位功能;
b) 按照6.3.2.2.1b)進行測試,向用戶提供后臺定位控制功能以配置應用軟件是否可調用定位功能;
c) 上述a)和b)中,按照6.3.2.2.1c)進行測試,應讓用戶分別操作。
d) 當調用定位功能時,按照6.3.2.2.1d)進行測試,宜在交互界面上給用戶相應的狀態提示。
5.3.2.2.2 通話錄音功能
具有交互界面的車載信息交互系統,在調用通話錄音功能時,按照6.3.2.2.2進行測試,應在用戶明示同意后,才能執行通話錄音功能。
5.3.2.2.3 人機交互功能
具有交互界面的車載信息交互系統,在調用人機交互功能時,按照6.3.2.2.3進行測試,應在用戶明示同意后,才能執行人機交互功能。
注:此處人機交互功能是指涉及指紋、語音、圖像、視頻等個人生物特征信息的交互功能。
5.3.2.2.4 對用戶數據的操作
處理用戶數據時,按照6.3.2.2.4進行測試,操作系統應得到相應授權,例如:當應用軟件需要調用對電話本數據、通話記錄、上網記錄、短信數據、彩信數據的讀或寫操作時,操作系統應在應用軟件授權的情況下方可執行。
5.3.3 操作系統安全啟動
車載信息交互系統應滿足以下要求:
a) 按照6.3.3a)進行測試,操作系統的啟動應始于一個無法被修改的信任根;
b) 按照6.3.3b)進行測試,應在可信存儲區域驗證操作系統簽名后,才能加載車載端操作系統,防止加載被篡改的操作系統;
c) 在執行其他的安全啟動代碼前,按照6.3.3c)進行測試,應驗證代碼完整性。
5.3.4 操作系統更新
車載信息交互系統應滿足以下要求:
a) 按照6.3.4a)進行測試,應具備系統鏡像的防回退校驗功能;
b) 當更新鏡像安裝失敗時,按照6.3.4b)進行測試,應恢復到更新前的版本或者進入安全狀態;
注:安全狀態指不通過車載信息交互系統對整車引入安全威脅的狀態。
c) 按照6.3.4c)、d)進行測試,應具有驗證更新鏡像完整性和來源可靠的安全機制。
5.3.5 操作系統隔離
按照6.3.5進行測試,除必要的接口和數據,例如:撥打電話等功能和電話本和短信等數據,可共享外,預置功能平行的多操作系統之間不應進行通信。
5.3.6 操作系統安全管理
車載信息交互系統應滿足以下要求:
a) 針對車機類操作系統,按照6.3.6a)進行測試,應對應用軟件運行的實時環境進行監控,對異常狀況,例如:異常網絡連接、內存占用突增等狀況進行告警;
b) 針對車機類操作系統,按照6.3.6b)進行測試,應支持FTP、HTTP等服務,以及SU 登錄等操作的審計功能;
c) 按照6.3.6c)進行測試,應具備重要事件,例如:關鍵配置變更、非系統的安全啟動校驗失敗等事件的日志記錄功能,并若具有網聯功能,按照6.3.6d)進行測試,應能按照策略上傳至服務器;
d) 按照6.3.6e)進行測試,應對日志文件進行安全存儲;
e) 按照6.3.6f)進行測試,應采取訪問控制機制,對日志讀取寫入的權限進行管理;
f) 按照6.3.6g)進行測試,應對開發者調試接口進行管控,禁止非授權訪問;
g) 按照6.3.6h)進行測試,不應存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞;
注:處置包括消除漏洞、制定減緩措施等方式。
h) 按照6.3.6i)進行測試,宜具備識別、阻斷應用軟件以高敏感權限,例如:最高權限用戶權限、涉及非業務內控車行為的權限等運行的能力。
5.4 應用軟件安全要求
5.4.1 應用軟件基礎安全
車載信息交互系統上的應用軟件基礎安全應滿足以下要求:
a) 按照6.4.1a)進行測試,從安全合規的來源下載和安裝軟件;
b) 按照6.4.1b)進行測試,不存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞;
注:處置包括消除漏洞、制定減緩措施等方式。
c) 按照6.4.1c)進行測試,不存在非授權收集或泄露個人敏感信息、非授權數據外傳等惡意行為;
d) 按照6.4.1d)進行測試,不以明文形式存儲個人敏感信息;
e) 按照6.4.1e)進行測試,具備會話安全保護機制,例如:使用隨機生成會話ID等機制;
f) 按照6.4.1f)進行測試,使用至少包括阿拉伯數字、大小寫拉丁字母,長度不少于8位的強復雜度口令或向用戶提示風險;
g) 按照6.4.1g)進行測試,符合密碼學要求,不直接在代碼中寫入私鑰;按照6.4.1h)進行測試,使用已驗證、安全的加密算法和參數;按照6.4.1i)進行測試,同一個密鑰不復用于不同用途;
h) 按照6.4.1j)進行測試,使用到的隨機數符合GM/T0005—2012等隨機數相關標準,保證由已驗證、安全的隨機數生成器產生。
5.4.2 應用軟件代碼安全
車載信息交互系統上的應用軟件代碼安全應滿足以下要求:
a) 按照6.4.2a)進行測試,應用軟件的開發者在使用第三方組件時應識別其涉及公開漏洞庫中已知的漏洞并安裝補丁;
b) 對于非托管代碼,按照6.4.2b)進行測試,應確保內存空間的安全分配、使用和釋放;
c) 按照6.4.2c)進行測試,應用軟件安裝包應采用代碼簽名認證機制;
d) 按照6.4.2d)進行測試,發布后應禁用調試功能,并刪除調試信息;
e) 在非調試場景或非調試模式下,按照6.4.2e)進行測試,應用軟件日志不應包含調試輸出;
f) 按照6.4.2f)進行測試,宜使用構建工具鏈提供的代碼安全機制,例如:堆棧保護、自動引用計數等;
g) 按照6.4.2g)進行測試,宜使用安全機制,例如:混淆、加殼等,防止被逆向分析。
5.4.3 應用軟件訪問控制
車載信息交互系統上的應用軟件訪問控制應滿足以下要求:
a) 按照6.4.3a)進行測試,應支持權限管理,按照6.4.3b)進行測試,不同的應用軟件基于實現特定功能分配不同的接口權限;
b) 按照6.4.3c)進行測試,對外部輸入的來源,例如:用戶界面、URL等來源進行校驗;
c) 身份校驗時,按照6.4.3d)進行測試,應至少進行本地驗證。
5.4.4 應用軟件運行安全
車載信息交互系統上的應用軟件運行安全應滿足以下要求:
a) 按照6.4.4a)進行測試,與控制車輛、支付相關等關鍵應用軟件在啟動時應執行自檢機制;
b) 當輸入個人敏感信息時,按照6.4.4b)進行測試,應采取安全措施確保個人敏感信息不被其他應用竊取,并通過使用安全軟鍵盤等防止錄屏;
c) 應用軟件正常退出時,按照6.4.4c)進行測試,應擦除緩存文件中的個人敏感信息;
d) 按照6.4.4d)進行測試,應用軟件進程間通信不宜明文傳輸個人敏感信息;
e) 按照6.4.4e)進行測試,不宜利用進程間通信提供涉及個人敏感信息功能的接口。
5.4.5 應用軟件通信安全
車載信息交互系統上的應用軟件通信安全應滿足以下要求:
a) 對外傳輸個人敏感信息時,按照6.4.5a)進行測試,應采用數據加密傳輸方式;
b) 按照6.4.5b)進行測試,實現通信端之間的雙向認證后,才能發送個人敏感信息;
c) 按照6.4.5c)進行測試,使用已驗證、安全的參數設置,按照6.4.5d)進行測試,只允許驗證通過OEM 授信CA 簽發的證書。
5.4.6 應用軟件日志安全
車載信息交互系統上的應用軟件日志安全應滿足以下要求:
a) 按照6.4.6a)進行測試,采取訪問控制機制管理日志讀取和寫入的權限;
b) 按照6.4.6b)進行測試,對用于記錄用戶支付歷史記錄、導航檢索歷史記錄等事件的重要日志文件進行安全存儲;
c) 按照6.4.6c)進行測試,對個人敏感信息進行脫敏或其他防護后,才能寫入應用日志。
