Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.
This document was proposed by the Ministry of Industry and Information Technology of the People's Republic of China.
This document is under the jurisdiction of the National Technical Committee of Auto Standardization (SAC/TC 114).
Technical requirements and test methods for cybersecurity of on-board information interactive system
1 Scope
This document specifies the information security technical requirements and test methods for hardware, communication protocols and interfaces, operating system, application software and data of on-board information interactive system.
This document is applicable to guiding enterprises such as complete vehicle manufacturers, parts and components suppliers and software suppliers, to carry out the design, development, verification and production of information security technology for on-board information interactive system.
2 Normative references
The following documents contain provisions which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 25069 Information security technology - Glossary
GB/T 40861 General cybersecurity technical requirements for road vehicles
GM/T 0005-2012 Randomness test specification
3 Terms and definitions
For the purposes of this standard, the terms and definitions specified in GB/T 25069 and GB/T 40861 as well as the followings apply.
3.1
on-board information interactive system
communication system installed on the vehicle, which has at least one of the following functions:
a) external functions of establishing connection and exchanging data through cellular network, short-distance communication and other communication technologies as well as those in internal terms of information acquisition, data transmission and instruction issuance through vehicle bus and electronic and electrical system;
b) related service functions such as realizing call, recording, navigation and entertainment
Note 1: The on-board information interactive system is generally a remote on-board information interactive system (T-Box), an on-board integrated information processing system (IVI) and a mixture thereof.
Note 2: The schematic diagram for a typical on-board information interactive system is shown in Figure A.1 in Annex A.
3.2
external communication
wireless communication between on-board information interactive system and vehicle exterior
Note: Including telecommunication based on mobile cellular network, Bluetooth, WLAN and other short-distance communication.
3.3
internal communication
communication between on-board information interactive system and in-vehicle electronic and electrical system
Note: Including the internal communication based on CAN, CAN-FD, LIN, on-board Ethernet, etc.
3.4
user
object using the resources of on-board information interactive system
Note: Including people, vehicles or third-party applications.
3.5
user data
data generated by or serving users
Note: Such data does not affect the operation of security functions.
3.6
code signing
mechanism for signing all or part of codes by an entity with signing authority using digital signature mechanism
3.7
application software
software on the on-board information interactive system for realizing functions such as payment and entertainment
Note: Including application software pre-installed and those installable in the on-board information interactive system
3.8
platform server
platform providing services for vehicles
Note: Including enterprise independent operation platforms, third-party platforms, etc.
3.9
external terminal
terminal device outside the vehicle
Note: Including road side units, cell phones, etc.
3.10
on-board public telecommunication protocol
standard communication protocol suitable for on-board information interactive system, which is adopted or approved by an international or national standardization organization
Note: Including HTTP, FTP, etc.
3.11
on-board private telecommunication protocol
communication protocol (in addition to communication protocols such as HTTP and FTP) customized between the complete vehicle manufacturer or parts and components manufacturer and the TSP, which is suitable for the on-board information interactive system
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
CAN: Controller Area Network
CAN-FD: Control Area Network-flexible data
ECU: Electronic Control Unit
E-Call: Emergency Call
FTP: File Transfer Protocol
HTTP: Hypertext Transfer Protocol
ID: Identifier
JTAG: Joint Test Action Group
LE: Low Energy
LIN: Local Interconnect Network
PCB: Printed Circuit Board
PSK: Pre-Shared Key
SPI: Serial Peripheral Interface
SSP: Secure Simple Pairing
SU: Switch User
TLS: Transport Layer Security
TSP: Telematics Service Provider
UART: Universal Asynchronous Receiver/Transmitter
URL: Uniform Resource Locator
USB: Universal Serial Bus
WLAN: Wireless Local Area Networks
WPA: WLAN Protected Access
5 Technical requirements
5.1 Hardware security requirements
5.1.1 The chip used in the on-board information interactive system shall meet the following requirements:
a) test according to 6.1 a), and the debugging interface shall be disabled or set up with security access control;
b) test according to 6.1 b), and no backdoor or hidden interface is available.
5.1.2 Test according to 6.1 c), and the exposed pins of key chips of processors, memory modules, communication IC, etc. used for processing, storing and transmitting personal sensitive information and security chips used in the on-board information interactive system shall be reduced.
5.1.3 Test according to 6.1 d), and the number of exposed communication lines between the key chips used for on-board information interactive system (for example, the on-board information interactive system using multi-layer circuit board may hide the communication lines by inner wiring) shall be reduced.
5.1.4 Test according to 6.1 e), and circuit boards and chips should not expose the readable screen printing for labeling port and pin functions.
5.2 Communication protocol and interface security requirements
5.2.1 External communication security
5.2.1.1 Communication connection security
Test according to 6.2.1.1 a), and the on-board information interactive system shall realize the identity authentication of the platform server or the external terminal. After successful identity authentication, test according to 6.2.1.1 b), and the on-board information interactive system can carry out communication interaction of business data with the platform server or the external terminal.
5.2.1.2 Communication transmission security
Test according to 6.2.1.2, and the data content transmitted between the on-board information interactive system and the platform server or the external terminal shall be encrypted, and national cryptographic algorithm should be used.
5.2.1.3 Communication response termination security
The on-board information interactive system shall meet the following requirements during communication:
a) test according to 6.2.1.3 a), and when the verification of data content fails, the response operation shall be terminated;
b) test according to 6.2.1.3 b), and when the identity authentication fails, the response operation shall be terminated.
5.2.1.4 Telecommunication protocol security
5.2.1.4.1 On-board public telecommunication protocol security
The on-board public telecommunication protocol is tested according to 6.2.1.4.1, and shall be of TLS version 1.2 or above or at least the same security level.
5.2.1.4.2 On-board private telecommunication protocol security
The on-board private telecommunication protocol shall meet the following requirements:
a) test according to 6.2.1.4.2 a), and support the data encryption key update in a secure manner;
b) test according to 6.2.1.4.2 b), and the key used shall be transmitted securely.
5.2.1.5 Short-distance communication protocol security
5.2.1.5.1 Short-distance communication password application security
The short-distance communication password application security shall meet the following requirements:
a) test according to 6.2.1.5.1 a), and the default password shall be highly complex password which at least includes Arabic numerals, uppercase and lowercase Latin alphabets with a length of at least digits;
Note: Bluetooth is not limited to the above requirements.
b) test according to 6.2.1.5.1 b), and different default passwords shall be used for different on-board information interactive systems;
c) test according to 6.2.1.5.1 c) and, when changing the password, the user shall be limited to set the password required by a) or risks shall be prompted to the user;
Note: Bluetooth is not limited to the above requirements.
d) test according to 6.2.1.5.1 d) and, for login authentication of human-machine interface or interface between different on-board information interactive systems across trust network, the mechanism against password brute force attack shall be supported and, when testing according to 6.2.1.5.1 e), the password file shall be set up with security access control.
5.2.1.5.2 On-board Bluetooth communication protocol security
The on-board information interactive system with on-board Bluetooth communication function shall meet the following requirements:
a) test according to 6.2.1.5.2 a), and no backdoor shall be available for the on-board information interactive system;
b) test according to 6.2.1.5.2 b), and the mode for external device requiring pairing with on-board Bluetooth shall be SSP mode in Classic case or LE Secure Connection mode in LE case;
c) test according to 6.2.1.5.2 c), and the on-board information interactive system shall verify the pairing request;
d) for the on-board Bluetooth communication function with high security requirements (e.g., non-contact control of vehicles by Bluetooth), test according to 6.2.1.5.2 d), and the access authority of external device shall be controlled to prevent illegal access;
e) for the on-board Bluetooth communication function with high security requirements (e.g., non-contact control of vehicles by Bluetooth), test according to 6.2.1.5.2 e), and the relevant data shall be encrypted.
5.2.1.5.3 On-board WLAN communication protocol security
For the on-board information interactive system with WLAN hotspot function, test according to 6.2.1.5.3, and WPA2-PSK or encryption authentication method of higher security level shall be used.
5.2.2 Internal communication security
When the on-board information interactive system conducts data interaction with other controller nodes in the vehicle through buses such as CAN or on-board Ethernet, test according to 6.2.2, and the security mechanism shall be used to ensure the integrity and availability of important data transmitted such as vehicle control instructions.
5.2.3 Communication interface security
5.2.3.1 General requirements
The communication interface of the on-board information interactive system shall meet the following requirements:
a) test according to 6.2.3.1 a), and no backdoor or hidden interface shall be available;
b) test according to 6.2.3.1 b), and the contents requiring authorization such as access authority shall not exceed the normal business scope.
5.2.3.2 Security of communication interface outside the vehicle
5.2.3.2.1 Test according to 6.2.3.2 a), and the on-board information interactive system shall support route isolation to isolate the communication of core service platforms performing functions such as controlling vehicle instructions and collecting personal sensitive information, internal communication of non-core service platforms in internal communication and Internet communication of non-core service platforms in external communication, etc.
Note: Non-core service platforms refer to service platforms other than core service platforms.
5.2.3.2.2 Test according to 6.2.3.2 b), the communication between the on-board information interactive system and the core service platform capable of performing functions of controlling vehicle instructions and collecting personal sensitive information should be conducted through private network or virtual private network so as to be isolated from public network.
5.2.3.3 Security of communication interface inside the vehicle
The on-board information interactive system shall meet the following requirements:
a) test according to 6.2.3.3 a), and whitelist shall be set for legal instructions;
b) test according to 6.2.3.3 b), and the bus control instruction source shall be verified.
Foreword i
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 Technical requirements
5.1 Hardware security requirements
5.2 Communication protocol and interface security requirements
5.3 Operating system security requirements
5.4 Application software security requirements
5.5 Data security requirements
6 Test methods
6.1 Hardware security test
6.2 Test for security of communication protocol and interface
6.3 Test for operating system security
6.4 Test for application software security
6.5 Test for data security
Annex A (Informative) Schematic diagram for on-board information interactive system
车载信息交互系统信息安全
技术要求及试验方法
1 范围
本文件规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求与试验方法。
本文件适用于指导整车厂、零部件供应商、软件供应商等企业,开展车载信息交互系统信息安全技术的设计开发、验证与生产等工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 40861 汽车信息安全通用技术要求
GM/T 0005—2012 随机性检测规范
3 术语和定义
GB/T 25069、GB/T 40861界定的以及下列术语和定义适用于本文件。
3.1
车载信息交互系统 on-board information interactive system
安装在车辆上的通信系统,具备下列至少一项功能:
a) 对外可通过蜂窝网络、短距离通信等通信技术建立连接并进行数据交换等功能,对内可通过汽车总线与电子电气系统进行信息采集、数据传递与指令下发等功能;
b) 实现通话、录音、导航和娱乐等相关服务功能。
注1:车载信息交互系统通常为远程车载信息交互系统(T-Box)、车载综合信息处理系统(IVI)以及其混合体。
注2:典型的车载信息交互系统示意图见附录A中图A.1。
3.2
对外通信 external communication
车载信息交互系统与车辆外部的无线通信。
注:包括基于移动蜂窝网络的远程通信、蓝牙、WLAN等短距离通信等。
3.3
内部通信 internal communication
车载信息交互系统与车辆内电子电气系统的通信。
注:包括基于CAN、CAN-FD、LIN、车载以太网等车辆内部的通信。
3.4
用户 user
使用车载信息交互系统资源的对象。
注:包括人、车辆或者第三方应用程序。
3.5
用户数据 user data
由用户产生或为用户服务的数据。
注:该数据不影响安全功能的运行。
3.6
代码签名 code signing
利用数字签名机制,由具备签名权限的实体对全部或部分代码进行签名的机制。
3.7
应用软件 application software
在车载信息交互系统上,为实现支付、娱乐等功能的一类软件。
注:包括在车载信息交互系统中已预装的应用软件和后期可安装的应用软件。
3.8
平台服务端 platform server
为车辆提供服务的平台。
注:包括企业自主运营平台及第三方平台等。
3.9
外部终端 external terminal
车辆外部的终端设备。
注:包括路侧单元、手机等。
3.10
车载公有远程通信协议 on-board public telecommunication protocol
适用于车载信息交互系统,并且经国际或国家标准化组织采纳或批准的标准通信协议。
注:包括HTTP、FTP等。
3.11
车载私有远程通信协议 on-board private telecommunication protocol
除HTTP、FTP等通信协议,整车厂或零部件厂与TSP自定义适用于车载信息交互系统的通信协议。
4 缩略语
下列缩略语适用于本文件。
CAN:控制器局域网络(Controller Area Network)
CAN-FD:控制器局域网络-灵活数据(Control Area Network-flexible data)
ECU:电子控制单元(Electronic Control Unit)
E-Call:紧急呼叫(Emergency Call)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(Hypertext Transfer Protocol)
ID:标识符(Identifier)
JTAG:联合测试工作组(Joint Test Action Group)
LE:低功耗(Low Energy)
LIN:局域互连网络(Local Interconnect Network)
PCB:印制电路板(Printed Circuit Board)
PSK:预共享密钥(Pre-Shared Key)
SPI:串行外设接口(Serial Peripheral Interface)
SSP:安全简易配对(Secure Simple Pairing)
SU:切换用户(Switch User)
TLS:安全传输层协议(Transport Layer Security)
TSP:终端服务平台(Telematics Service Provider)
UART:通用异步收发器(Universal Asynchronous Receiver/Transmitter)
URL:统一资源定位符(Uniform Resource Locator)
USB:通用串行总线(Universal Serial Bus)
WLAN:无线局域网(Wireless Local Area Networks)
WPA:无线局域网安全接入(WLAN Protected Access)
5 技术要求
5.1 硬件安全要求
5.1.1 车载信息交互系统所使用的芯片应满足以下要求:
a) 按照6.1a)进行测试,调试接口应禁用或设置安全访问控制;
b) 按照6.1b)进行测试,不存在后门或隐蔽接口。
5.1.2 按照6.1c)进行测试,车载信息交互系统所使用的处理器、存储模块、通信IC等用于处理、存储和传输个人敏感信息的关键芯片及安全芯片,应减少暴露管脚。
5.1.3 按照6.1d)进行测试,车载信息交互系统所使用的关键芯片之间应减少暴露的通信线路数量,例如:使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路。
5.1.4 按照6.1e)进行测试,电路板及芯片不宜暴露用以标注端口和管脚功能的可读丝印。
5.2 通信协议与接口安全要求
5.2.1 对外通信安全
5.2.1.1 通信连接安全
按照6.2.1.1a)进行测试,车载信息交互系统应实现对平台服务端或外部终端的身份认证。当身份认证成功后,按照6.2.1.1b)进行测试,车载信息交互系统与平台服务端或外部终端才能进行业务数据的通信交互。
5.2.1.2 通信传输安全
按照6.2.1.2进行测试,车载信息交互系统与平台服务端或外部终端间传输的数据内容应进行加密,宜使用国密算法。
5.2.1.3 通信终止响应安全
车载信息交互系统进行通信时,应满足以下要求:
a) 按照6.2.1.3a)进行测试,数据内容校验失败时,应终止该响应操作;
b) 按照6.2.1.3b)进行测试,发生身份鉴权失败时,应终止该响应操作。
5.2.1.4 远程通信协议安全
5.2.1.4.1 车载公有远程通信协议安全
车载公有远程通信协议,按照6.2.1.4.1进行测试,应采用TLS1.2版本及以上或至少同等安全级别的安全通信协议。
5.2.1.4.2 车载私有远程通信协议安全
车载私有远程通信协议应满足以下要求:
a) 按照6.2.1.4.2a)进行测试,支持以安全方式进行用于数据加密密钥的更新;
b) 按照6.2.1.4.2b)进行测试,其使用的密钥应进行安全传输。
5.2.1.5 短距离通信协议安全
5.2.1.5.1 短距离通信口令应用安全
短距离通信口令应用安全应满足以下要求:
a) 按照6.2.1.5.1a)进行测试,缺省口令应使用至少包括阿拉伯数字、大小写拉丁字母,长度不少于8位的强复杂度的口令;
注:蓝牙不限定于以上条款要求内。
b) 按照6.2.1.5.1b)进行测试,不同车载信息交互系统应使用不同的缺省口令;
c) 按照6.2.1.5.1c)进行测试,更改口令时,限定用户设置a)要求的口令或向用户提示风险;
注:蓝牙不限定于以上条款要求内。
d) 按照6.2.1.5.1d)进行测试,对于人机接口或跨信任网络的不同车载信息交互系统之间接口的登录认证,应支持口令防暴力破解机制,且按照6.2.1.5.1e)进行测试,口令文件应设置安全访问控制。
5.2.1.5.2 车载蓝牙通信协议安全
对具有车载蓝牙通信功能的车载信息交互系统应满足以下要求:
a) 按照6.2.1.5.2a)进行测试,车载信息交互系统不应存在后门;
b) 按照6.2.1.5.2b)进行测试,外部设备请求与车载蓝牙配对的方式在经典(Classic)场合应为
SSP模式,在LE场合应为低功耗安全连接(LE Secure Connection)模式;
c) 按照6.2.1.5.2c)进行测试,车载信息交互系统应验证配对请求;
d) 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2d)进行测试,应对外部设备的访问权限进行控制以防止非法接入;
e) 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2e)进行测试,应对相关数据进行加密处理。
5.2.1.5.3 车载WLAN 通信协议安全
对具有WLAN 热点功能的车载信息交互系统,按照6.2.1.5.3进行测试,应使用WPA2-PSK 或更高安全级别的加密认证方式。
5.2.2 内部通信安全
当车载信息交互系统通过CAN、车载以太网等类型总线与车内其他控制器节点进行数据交互时,按照6.2.2进行测试,应使用安全机制确保车辆控制指令等所传输重要数据的完整性和可用性。
5.2.3 通信接口安全
5.2.3.1 总体要求
车载信息交互系统的通信接口应满足以下要求:
a) 按照6.2.3.1a)进行测试,不应存在任何后门或隐蔽接口;
b) 按照6.2.3.1b)进行测试,访问权限等需授权内容不应超出正常业务范围。
5.2.3.2 车外通信接口安全
5.2.3.2.1 按照6.2.3.2a)进行测试,车载信息交互系统应支持路由隔离,隔离执行控制车辆指令、收集个人敏感信息等功能的核心业务平台的通信,隔离对内通信中非核心业务平台的内部通信以及对外通信中非核心业务平台的外网通信等。
注:非核心业务平台指除核心业务平台之外的业务平台。
5.2.3.2.2 按照6.2.3.2b)进行测试,车载信息交互系统与能执行控制车辆指令、收集个人敏感信息等功能的核心业务平台间通信宜采用专用网络或者虚拟专用网络通信,与公网隔离。
5.2.3.3 车内通信接口安全
车载信息交互系统应满足以下要求:
a) 按照6.2.3.3a)进行测试,对合法指令设置白名单;
b) 按照6.2.3.3b)进行测试,对总线控制指令来源进行校验。
5.3 操作系统安全要求
5.3.1 操作系统安全配置
车载信息交互系统在其操作系统安全配置方面,应满足以下要求:
a) 按照6.3.1a)进行测试,禁止最高权限用户直接登录,且限制普通用户提权操作;
b) 按照6.3.1b)进行测试,删除或禁用无用账号,并使用至少包括阿拉伯数字、大小写拉丁字母,长度不少于8位的强复杂度口令;
c) 按照6.3.1c)进行测试,具备访问控制机制控制用户、进程等主体对文件、数据库等客体进行访问;
d) 按照6.3.1d)进行测试,禁止不必要的服务,例如:FTP服务等,按照6.3.1e)进行测试,禁止非授权的远程接入服务。
5.3.2 安全调用控制能力
5.3.2.1 通信类功能受控机制
5.3.2.1.1 拨打电话
具有拨打电话功能的车载信息交互系统应满足以下要求:
a) 按照6.3.2.1.1a)进行测试,在用户明示同意后,调用拨打电话操作才能执行;
b) 按照6.3.2.1.1b)进行测试,向用户明示业务内容,且在用户明示同意后,调用拨打电话开通呼叫转移业务操作才能执行。
注:紧急情况下,E-Call等应急功能不限定于以上条款要求内。
5.3.2.1.2 三方通话
具有三方通话功能的车载信息交互系统,按照6.3.2.1.2进行测试,应在用户明示同意后,调用三方通话操作才能执行。
5.3.2.1.3 发送短信
具有发送短信功能的车载信息交互系统,按照6.3.2.1.3进行测试,应在用户明示同意后,调用发送短信操作才能执行。
注:紧急情况下,E-Call等应急功能不限定于以上条款要求范围内。
5.3.2.1.4 发送彩信
具有发送彩信功能的车载信息交互系统,按照6.3.2.1.4进行测试,应在用户明示同意后,调用发送彩信操作才能执行。
5.3.2.1.5 发送邮件
具有发送邮件功能的车载信息交互系统,按照6.3.2.1.5进行测试,应在用户明示同意后,调用发送邮件操作才能执行。
5.3.2.1.6 移动通信网络连接
具有交互界面的车载信息交互系统,在移动通信网络连接时,应满足以下要求:
a) 按照6.3.2.1.6a)进行测试,应具备允许开启或关闭移动通信网络连接功能;
b) 按照6.3.2.1.6b)进行测试,向用户进行提示,且在用户明示同意后,调用移动通信网络连接功能的操作才能执行;
c) 按照6.3.2.1.6c)进行测试,向用户提供通过配置应用软件调用移动通信网络连接的功能;
d) 当移动通信网络处于已连接状态时,按照6.3.2.1.6d)进行测试,应在交互界面上给用户相应的状态提示;
e) 当正在传送数据时,按照6.3.2.1.6e)进行测试,应在交互界面上给用户相应的状态提示;
f) 上述d)和e)中,按照6.3.2.1.6f)进行测试,状态提示的方式应不同。
注:紧急情况下,E-Call等应急功能不限定于以上条款要求内。
5.3.2.1.7 WLAN 网络连接
具有交互界面的车载信息交互系统,在WLAN 网络连接时,应满足以下要求:
a) 按照6.3.2.1.7a)进行测试,应具备允许开启或关闭WLAN 网络连接功能;
b) 按照6.3.2.1.7b)进行测试,向用户进行提示,且在用户明示同意后,调用WLAN 网络连接功能的操作才能执行;
c) 当WLAN 网络处于已连接状态时,按照6.3.2.1.7c)进行测试,应在交互界面上给用户相应的状态提示;
d) 当正在传送数据时,按照6.3.2.1.7d)进行测试,应在交互界面上给用户相应的状态提示;
e) 上述c)和d)中,按照6.3.2.1.7e)进行测试,状态提示的方式应不同。
5.3.2.2 本地敏感功能受控机制
5.3.2.2.1 定位功能
具有交互界面的车载信息交互系统,在调用定位功能时,应满足如下要求:
a) 按照6.3.2.2.1a)进行测试,在用户明示同意后,才能执行定位功能;
b) 按照6.3.2.2.1b)进行测试,向用户提供后台定位控制功能以配置应用软件是否可调用定位功能;
c) 上述a)和b)中,按照6.3.2.2.1c)进行测试,应让用户分别操作。
d) 当调用定位功能时,按照6.3.2.2.1d)进行测试,宜在交互界面上给用户相应的状态提示。
5.3.2.2.2 通话录音功能
具有交互界面的车载信息交互系统,在调用通话录音功能时,按照6.3.2.2.2进行测试,应在用户明示同意后,才能执行通话录音功能。
5.3.2.2.3 人机交互功能
具有交互界面的车载信息交互系统,在调用人机交互功能时,按照6.3.2.2.3进行测试,应在用户明示同意后,才能执行人机交互功能。
注:此处人机交互功能是指涉及指纹、语音、图像、视频等个人生物特征信息的交互功能。
5.3.2.2.4 对用户数据的操作
处理用户数据时,按照6.3.2.2.4进行测试,操作系统应得到相应授权,例如:当应用软件需要调用对电话本数据、通话记录、上网记录、短信数据、彩信数据的读或写操作时,操作系统应在应用软件授权的情况下方可执行。
5.3.3 操作系统安全启动
车载信息交互系统应满足以下要求:
a) 按照6.3.3a)进行测试,操作系统的启动应始于一个无法被修改的信任根;
b) 按照6.3.3b)进行测试,应在可信存储区域验证操作系统签名后,才能加载车载端操作系统,防止加载被篡改的操作系统;
c) 在执行其他的安全启动代码前,按照6.3.3c)进行测试,应验证代码完整性。
5.3.4 操作系统更新
车载信息交互系统应满足以下要求:
a) 按照6.3.4a)进行测试,应具备系统镜像的防回退校验功能;
b) 当更新镜像安装失败时,按照6.3.4b)进行测试,应恢复到更新前的版本或者进入安全状态;
注:安全状态指不通过车载信息交互系统对整车引入安全威胁的状态。
c) 按照6.3.4c)、d)进行测试,应具有验证更新镜像完整性和来源可靠的安全机制。
5.3.5 操作系统隔离
按照6.3.5进行测试,除必要的接口和数据,例如:拨打电话等功能和电话本和短信等数据,可共享外,预置功能平行的多操作系统之间不应进行通信。
5.3.6 操作系统安全管理
车载信息交互系统应满足以下要求:
a) 针对车机类操作系统,按照6.3.6a)进行测试,应对应用软件运行的实时环境进行监控,对异常状况,例如:异常网络连接、内存占用突增等状况进行告警;
b) 针对车机类操作系统,按照6.3.6b)进行测试,应支持FTP、HTTP等服务,以及SU 登录等操作的审计功能;
c) 按照6.3.6c)进行测试,应具备重要事件,例如:关键配置变更、非系统的安全启动校验失败等事件的日志记录功能,并若具有网联功能,按照6.3.6d)进行测试,应能按照策略上传至服务器;
d) 按照6.3.6e)进行测试,应对日志文件进行安全存储;
e) 按照6.3.6f)进行测试,应采取访问控制机制,对日志读取写入的权限进行管理;
f) 按照6.3.6g)进行测试,应对开发者调试接口进行管控,禁止非授权访问;
g) 按照6.3.6h)进行测试,不应存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞;
注:处置包括消除漏洞、制定减缓措施等方式。
h) 按照6.3.6i)进行测试,宜具备识别、阻断应用软件以高敏感权限,例如:最高权限用户权限、涉及非业务内控车行为的权限等运行的能力。
5.4 应用软件安全要求
5.4.1 应用软件基础安全
车载信息交互系统上的应用软件基础安全应满足以下要求:
a) 按照6.4.1a)进行测试,从安全合规的来源下载和安装软件;
b) 按照6.4.1b)进行测试,不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞;
注:处置包括消除漏洞、制定减缓措施等方式。
c) 按照6.4.1c)进行测试,不存在非授权收集或泄露个人敏感信息、非授权数据外传等恶意行为;
d) 按照6.4.1d)进行测试,不以明文形式存储个人敏感信息;
e) 按照6.4.1e)进行测试,具备会话安全保护机制,例如:使用随机生成会话ID等机制;
f) 按照6.4.1f)进行测试,使用至少包括阿拉伯数字、大小写拉丁字母,长度不少于8位的强复杂度口令或向用户提示风险;
g) 按照6.4.1g)进行测试,符合密码学要求,不直接在代码中写入私钥;按照6.4.1h)进行测试,使用已验证、安全的加密算法和参数;按照6.4.1i)进行测试,同一个密钥不复用于不同用途;
h) 按照6.4.1j)进行测试,使用到的随机数符合GM/T0005—2012等随机数相关标准,保证由已验证、安全的随机数生成器产生。
5.4.2 应用软件代码安全
车载信息交互系统上的应用软件代码安全应满足以下要求:
a) 按照6.4.2a)进行测试,应用软件的开发者在使用第三方组件时应识别其涉及公开漏洞库中已知的漏洞并安装补丁;
b) 对于非托管代码,按照6.4.2b)进行测试,应确保内存空间的安全分配、使用和释放;
c) 按照6.4.2c)进行测试,应用软件安装包应采用代码签名认证机制;
d) 按照6.4.2d)进行测试,发布后应禁用调试功能,并删除调试信息;
e) 在非调试场景或非调试模式下,按照6.4.2e)进行测试,应用软件日志不应包含调试输出;
f) 按照6.4.2f)进行测试,宜使用构建工具链提供的代码安全机制,例如:堆栈保护、自动引用计数等;
g) 按照6.4.2g)进行测试,宜使用安全机制,例如:混淆、加壳等,防止被逆向分析。
5.4.3 应用软件访问控制
车载信息交互系统上的应用软件访问控制应满足以下要求:
a) 按照6.4.3a)进行测试,应支持权限管理,按照6.4.3b)进行测试,不同的应用软件基于实现特定功能分配不同的接口权限;
b) 按照6.4.3c)进行测试,对外部输入的来源,例如:用户界面、URL等来源进行校验;
c) 身份校验时,按照6.4.3d)进行测试,应至少进行本地验证。
5.4.4 应用软件运行安全
车载信息交互系统上的应用软件运行安全应满足以下要求:
a) 按照6.4.4a)进行测试,与控制车辆、支付相关等关键应用软件在启动时应执行自检机制;
b) 当输入个人敏感信息时,按照6.4.4b)进行测试,应采取安全措施确保个人敏感信息不被其他应用窃取,并通过使用安全软键盘等防止录屏;
c) 应用软件正常退出时,按照6.4.4c)进行测试,应擦除缓存文件中的个人敏感信息;
d) 按照6.4.4d)进行测试,应用软件进程间通信不宜明文传输个人敏感信息;
e) 按照6.4.4e)进行测试,不宜利用进程间通信提供涉及个人敏感信息功能的接口。
5.4.5 应用软件通信安全
车载信息交互系统上的应用软件通信安全应满足以下要求:
a) 对外传输个人敏感信息时,按照6.4.5a)进行测试,应采用数据加密传输方式;
b) 按照6.4.5b)进行测试,实现通信端之间的双向认证后,才能发送个人敏感信息;
c) 按照6.4.5c)进行测试,使用已验证、安全的参数设置,按照6.4.5d)进行测试,只允许验证通过OEM 授信CA 签发的证书。
5.4.6 应用软件日志安全
车载信息交互系统上的应用软件日志安全应满足以下要求:
a) 按照6.4.6a)进行测试,采取访问控制机制管理日志读取和写入的权限;
b) 按照6.4.6b)进行测试,对用于记录用户支付历史记录、导航检索历史记录等事件的重要日志文件进行安全存储;
c) 按照6.4.6c)进行测试,对个人敏感信息进行脱敏或其他防护后,才能写入应用日志。
