GB/T 40856-2021 英文版(www.GB-GBT.cn): Technical requirements and test methods for cybersecurity of on-board information interactive system

GB/T 40856-2021: 车载信息交互系统信息安全技术要求及试验方法

1 范围

(相关资料图)

本文件规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求与试验方法。

本文件适用于指导整车厂、零部件供应商、软件供应商等企业,开展车载信息交互系统信息安全技

术的设计开发、验证与生产等工作。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

件,仅该日期对应的版本适用于文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本

文件。

GB/T 25069 信息安全技术 术语

GB/T 40861 汽车信息安全通用技术要求

GM/T 0005-2012 随机性检测规范

3 术语和定义

GB/T 25069、GB/T 40861界定的以及下列术语和定义适用于本文件。

3.1

车载信息交互系统

安装在车辆上的通信系统,具备下列至少一项功能:

a) 对外可通过蜂窝网络、短距离通信等通信技术建立连接并进行数据交换等功能,对内可通过汽

车总线与电子电气系统进行信息采集、数据传递与指令下发等功能;

b) 实现通话、录音、导航和娱乐等相关服务功能。

注1:车载信息交互系统通常为远程车载信息交互系统(T-Box)、车载综合信息处理系统(IVI)以及其混合体。

注2:典型的车载信息交互系统示意图见附录A中图A.1。

3.2

对外通信

车载信息交互系统与车辆外部的无线通信。

注:包括基于移动蜂窝网络的远程通信、蓝牙、WLAN等短距离通信等。

3.3

内部通信

车载信息交互系统与车辆内电子电气系统的通信。

注:包括基于CAN、CAN-FD、LIN、车载以太网等车辆内部的通信。

3.4

用户

使用车载信息交互系统资源的对象。

注:包括人、车辆或者第三方应用程序。

3.5

用户数据 userdata由用户产生或为用户服务的数据。

注:该数据不影响安全功能的运行。

3.6

代码签名

利用数字签名机制,由具备签名权限的实体对全部或部分代码进行签名的机制。

3.7

应用软件

在车载信息交互系统上,为实现支付、娱乐等功能的一类软件。

注:包括在车载信息交互系统中已预装的应用软件和后期可安装的应用软件。

3.8

平台服务端

为车辆提供服务的平台。

注:包括企业自主运营平台及第三方平台等。

3.9

外部终端

车辆外部的终端设备。

注:包括路侧单元、手机等。

3.10

车载公有远程通信协议

适用于车载信息交互系统,并且经国际或国家标准化组织采纳或批准的标准通信协议。

注:包括 HTTP、FTP等。

3.11

车载私有远程通信协议

除HTTP、FTP等通信协议,整车厂或零部件厂与TSP自定义适用于车载信息交互系统的通信

协议。

4 缩略语

下列缩略语适用于本文件。

CAN:控制器局域网络

CAN-FD:控制器局域网络-灵活数据

ECU:电子控制单元

E-Cal:紧急呼叫

FTP:文件传输协议

HTTP:超文本传输协议

ID:标识符

JTAG:联合测试工作组

LE:低功耗

LIN:局域互连网络

PCB:印制电路板

PSK:预共享密钥

SPI:串行外设接口

SSP:安全简易配对

SU:切换用户

TLS:安全传输层协议

TSP:终端服务平台

UART:通用异步收发器

URL:统一资源定位符

USB:通用串行总线

WLAN:无线局域网

WPA:无线局域网安全接入

5 技术要求

5.1 硬件安全要求

5.1.1 车载信息交互系统所使用的芯片应满足以下要求:

a) 按照6.1a)进行测试,调试接口应禁用或设置安全访问控制;

b) 按照6.1b)进行测试,不存在后门或隐蔽接口。

5.1.2 按照6.1c)进行测试,车载信息交互系统所使用的处理器、存储模块、通信IC等用于处理、存储

和传输个人敏感信息的关键芯片及安全芯片,应减少暴露管脚。

5.1.3 按照6.1d)进行测试,车载信息交互系统所使用的关键芯片之间应减少暴露的通信线路数量,例

如:使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路。

5.1.4 按照6.1e)进行测试,电路板及芯片不宜暴露用以标注端口和管脚功能的可读丝印。

5.2 通信协议与接口安全要求

5.2.1 对外通信安全

5.2.1.1 通信连接安全

按照6.2.1.1a)进行测试,车载信息交互系统应实现对平台服务端或外部终端的身份认证。当身份

认证成功后,按照6.2.1.1b)进行测试,车载信息交互系统与平台服务端或外部终端才能进行业务数据

的通信交互。

5.2.1.2 通信传输安全

按照6.2.1.2进行测试,车载信息交互系统与平台服务端或外部终端间传输的数据内容应进行加

密,宜使用国密算法。

5.2.1.3 通信终止响应安全

车载信息交互系统进行通信时,应满足以下要求:

a) 按照6.2.1.3a)进行测试,数据内容校验失败时,应终止该响应操作;

b) 按照6.2.1.3b)进行测试,发生身份鉴权失败时,应终止该响应操作。

5.2.1.4 远程通信协议安全

5.2.1.4.1 车载公有远程通信协议安全

车载公有远程通信协议,按照6.2.1.4.1进行测试,应采用TLS1.2版本及以上或至少同等安全级

别的安全通信协议。

5.2.1.4.2 车载私有远程通信协议安全

车载私有远程通信协议应满足以下要求:

a) 按照6.2.1.4.2a)进行测试,支持以安全方式进行用于数据加密密钥的更新;

b) 按照6.2.1.4.2b)进行测试,其使用的密钥应进行安全传输。

5.2.1.5 短距离通信协议安全

5.2.1.5.1 短距离通信口令应用安全

短距离通信口令应用安全应满足以下要求:

a) 按照6.2.1.5.1a)进行测试,缺省口令应使用至少包括阿拉伯数字、大小写拉丁字母,长度不少

于8位的强复杂度的口令;

注:蓝牙不限定于以上条款要求内。

b) 按照6.2.1.5.1b)进行测试,不同车载信息交互系统应使用不同的缺省口令;

c) 按照6.2.1.5.1c)进行测试,更改口令时,限定用户设置a)要求的口令或向用户提示风险;

注:蓝牙不限定于以上条款要求内。

d) 按照6.2.1.5.1d)进行测试,对于人机接口或跨信任网络的不同车载信息交互系统之间接口的

登录认证,应支持口令防暴力破解机制,且按照6.2.1.5.1e)进行测试,口令文件应设置安全访

问控制。

5.2.1.5.2 车载蓝牙通信协议安全

对具有车载蓝牙通信功能的车载信息交互系统应满足以下要求:

a) 按照6.2.1.5.2a)进行测试,车载信息交互系统不应存在后门;

b) 按照6.2.1.5.2b)进行测试,外部设备请求与车载蓝牙配对的方式在经典(Classic)场合应为

c) 按照6.2.1.5.2c)进行测试,车载信息交互系统应验证配对请求;

d) 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2d)

进行测试,应对外部设备的访问权限进行控制以防止非法接入;

e) 对于高安全要求的车载蓝牙通信功能,例如:利用蓝牙进行非接触控制车辆等,按照6.2.1.5.2e)

进行测试,应对相关数据进行加密处理。

5.2.1.5.3 车载 WLAN通信协议安全

对具有 WLAN热点功能的车载信息交互系统,按照6.2.1.5.3进行测试,应使用 WPA2-PSK或更

高安全级别的加密认证方式。

5.2.2 内部通信安全

当车载信息交互系统通过CAN、车载以太网等类型总线与车内其他控制器节点进行数据交互时,

按照6.2.2进行测试,应使用安全机制确保车辆控制指令等所传输重要数据的完整性和可用性。

5.2.3 通信接口安全

5.2.3.1 总体要求

车载信息交互系统的通信接口应满足以下要求:

a) 按照6.2.3.1a)进行测试,不应存在任何后门或隐蔽接口;

b) 按照6.2.3.1b)进行测试,访问权限等需授权内容不应超出正常业务范围。

5.2.3.2 车外通信接口安全

5.2.3.2.1 按照6.2.3.2a)进行测试,车载信息交互系统应支持路由隔离,隔离执行控制车辆指令、收集

个人敏感信息等功能的核心业务平台的通信,隔离对内通信中非核心业务平台的内部通信以及对外通

信中非核心业务平台的外网通信等。

注:非核心业务平台指除核心业务平台之外的业务平台。

5.2.3.2.2 按照6.2.3.2b)进行测试,车载信息交互系统与能执行控制车辆指令、收集个人敏感信息等

功能的核心业务平台间通信宜采用专用网络或者虚拟专用网络通信,与公网隔离。

5.2.3.3 车内通信接口安全

车载信息交互系统应满足以下要求:

a) 按照6.2.3.3a)进行测试,对合法指令设置白名单;

b) 按照6.2.3.3b)进行测试,对总线控制指令来源进行校验。

5.3 操作系统安全要求

5.3.1 操作系统安全配置

车载信息交互系统在其操作系统安全配置方面,应满足以下要求:

a) 按照6.3.1a)进行测试,禁止最高权限用户直接登录,且限制普通用户提权操作;

b) 按照6.3.1b)进行测试,删除或禁用无用账号,并使用至少包括阿拉伯数字、大小写拉丁字母,

长度不少于8位的强复杂度口令;

c) 按照6.3.1c)进行测试,具备访问控制机制控制用户、进程等主体对文件、数据库等客体进行

访问;

d) 按照6.3.1d)进行测试,禁止不必要的服务,例如:FTP服务等,按照6.3.1e)进行测试,禁止非

授权的远程接入服务。

5.3.2 安全调用控制能力

5.3.2.1 通信类功能受控机制

5.3.2.1.1 拨打电话

具有拨打电话功能的车载信息交互系统应满足以下要求:

a) 按照6.3.2.1.1a)进行测试,在用户明示同意后,调用拨打电话操作才能执行;

b) 按照6.3.2.1.1b)进行测试,向用户明示业务内容,且在用户明示同意后,调用拨打电话开通呼

叫转移业务操作才能执行。

注:紧急情况下,E-Cal等应急功能不限定于以上条款要求内。

5.3.2.1.2 三方通话

具有三方通话功能的车载信息交互系统,按照6.3.2.1.2进行测试,应在用户明示同意后,调用三方

通话操作才能执行。

5.3.2.1.3 发送短信

具有发送短信功能的车载信息交互系统,按照6.3.2.1.3进行测试,应在用户明示同意后,调用发送

短信操作才能执行。

注:紧急情况下,E-Cal等应急功能不限定于以上条款要求范围内。

5.3.2.1.4 发送彩信

具有发送彩信功能的车载信息交互系统,按照6.3.2.1.4进行测试,应在用户明示同意后,调用发送

彩信操作才能执行。

5.3.2.1.5 发送邮件

具有发送邮件功能的车载信息交互系统,按照6.3.2.1.5进行测试,应在用户明示同意后,调用发送

邮件操作才能执行。

5.3.2.1.6 移动通信网络连接

具有交互界面的车载信息交互系统,在移动通信网络连接时,应满足以下要求:

a) 按照6.3.2.1.6a)进行测试,应具备允许开启或关闭移动通信网络连接功能;

b) 按照6.3.2.1.6b)进行测试,向用户进行提示,且在用户明示同意后,调用移动通信网络连接功

能的操作才能执行;

c) 按照6.3.2.1.6c)进行测试,向用户提供通过配置应用软件调用移动通信网络连接的功能;

d) 当移动通信网络处于已连接状态时,按照6.3.2.1.6d)进行测试,应在交互界面上给用户相应

的状态提示;

e) 当正在传送数据时,按照6.3.2.1.6e)进行测试,应在交互界面上给用户相应的状态提示;

f) 上述d)和e)中,按照6.3.2.1.6f)进行测试,状态提示的方式应不同。

注:紧急情况下,E-Cal等应急功能不限定于以上条款要求内。

5.3.2.1.7 WLAN网络连接

具有交互界面的车载信息交互系统,在 WLAN网络连接时,应满足以下要求:

a) 按照6.3.2.1.7a)进行测试,应具备允许开启或关闭 WLAN网络连接功能;

b) 按照6.3.2.1.7b)进行测试,向用户进行提示,且在用户明示同意后,调用 WLAN网络连接功

能的操作才能执行;

c) 当 WLAN网络处于已连接状态时,按照6.3.2.1.7c)进行测试,应在交互界面上给用户相应的

状态提示;

d) 当正在传送数据时,按照6.3.2.1.7d)进行测试,应在交互界面上给用户相应的状态提示;

e) 上述c)和d)中,按照6.3.2.1.7e)进行测试,状态提示的方式应不同。

5.3.2.2 本地敏感功能受控机制

5.3.2.2.1 定位功能

具有交互界面的车载信息交互系统,在调用定位功能时,应满足如下要求:

a) 按照6.3.2.2.1a)进行测试,在用户明示同意后,才能执行定位功能;

b) 按照6.3.2.2.1b)进行测试,向用户提供后台定位控制功能以配置应用软件是否可调用定位

功能;

c) 上述a)和b)中,按照6.3.2.2.1c)进行测试,应让用户分别操作。

d) 当调用定位功能时,按照6.3.2.2.1d)进行测试,宜在交互界面上给用户相应的状态提示。