廣告
汽車試驗:電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法
2021-12-20 22:18:29· 來源:汽車測試網
GB/T 40855-2021標準規(guī)定了面向電動汽車的車載終端、車企平臺和公共平臺之間數據通信安全的技術要求,同時對電動汽車車載終端信息安全測試環(huán)境、試驗方法做出了
GB/T 40855-2021標準規(guī)定了面向電動汽車的車載終端、車企平臺和公共平臺之間數據通信安全的技術要求,同時對電動汽車車載終端信息安全測試環(huán)境、試驗方法做出了明確要求。
GB/T 40855-2021標準規(guī)定了電動汽車車載終端的硬件、固件、軟件系統(tǒng)、數據存儲、網絡接口傳輸、遠程升級功能、日志功能以及系統(tǒng)共8個方面的信息安全測試要求與測試方法。
具體測試內容如下表所示。
電動汽車車載終端信息安全測試內容
電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法
1 范圍
本文件規(guī)定了電動汽車遠程服務與管理系統(tǒng)的信息安全要求及試驗方法。
本文件適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業(yè)平臺和公共平臺之間的數據通信。
2 規(guī)范性引用文件
下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 19596 電動汽車術語
GB/T 32960.1-2016 電動汽車遠程服務與管理系統(tǒng)技術規(guī)范 第1部分:總則
GB/T 32960.3-2016 電動汽車遠程服務與管理系統(tǒng)技術規(guī)范 第3部分:通信協(xié)議及數據格式
3 術語和定義
GB/T 19596、GB/T 32960.1-2016、GB/T 32960.3―2016界定的以及下列術語和定義適用于本文件。
3.1 電動汽車遠程服務與管理系統(tǒng)remote service and management system for electric vehicles
對電動汽車信息進行采集、處理和管理,并為聯網用戶提供信息服務的系統(tǒng)。由公共平臺、企業(yè)平臺和車載終端組成。
[來源:GB/T 32960.1—2016,3.1]
3.2 公共平臺public service and management platform
國家、地方政府或其指定機構建立的、對管轄范圍內電動汽車進行數據采集和統(tǒng)一管理的平臺。
[來源:GB/T 32960.1-2016,3.2]
3.3 企業(yè)平臺enterprise service and management platform
整車企業(yè)自建或委托第三方技術單位,對服務范圍內的電動汽車和用戶進行管理,并提供安全運營服務與管理的平臺。
[來源:GB/T 32960.1-2016,3.3]
3.4 車載終端on-board terminal
安裝在汽車上,采集及保存整車及系統(tǒng)部件的關鍵狀態(tài)參數并發(fā)送到平臺的裝置或系統(tǒng)。
[來源:GB/T 32960.1-2016,3.4]
3.5 客戶端平臺client platform
平臺間進行數據交互時,作為車輛數據發(fā)送方的遠程服務與管理平臺。
[來源:GB/T 32960.3-2016,3.1]
3.6 服務端平臺server platform
平臺間進行數據交互時,作為車輛數據接收方的遠程服務與管理平臺。
[來源:GB/T 32960.3-2016,3.2]
3.7 可信驗證trusted verification
基于可信根對設備的目標程序進行完整性驗證。
4 縮略語
下列縮略語適用于本文件。
AES:高級加密標準(Advanced Encryption Standard)
IP:網際互連協(xié)議(Internet Protocol)
JTAG:聯合測試工作組(Joint Test Action Group)
LTE:長期演進(LongTerm Evolution)
PCB:印制電路板(Printed Circuit Board)
SPI:串行外設接口(Serial Peripheral Interface)
SSL:安全套接層協(xié)議(Secure Sockets Layer)
TCP:傳輸控制協(xié)議(Transmission Control Protocol)
TLS:安全傳輸層協(xié)議(Transport Layer Security)
UART:通用異步收發(fā)器(Universal Asynchronous Receiver/Transmitter)
USB:通用串行總線(Universal Serial Bus)
UTC:世界協(xié)調時間(Universal Time Coordinated)
5 信息安全要求
5.1 總體結構圖
電動汽車遠程服務與管理系統(tǒng)信息安全總體結構見圖1。
5.2 車載終端安全要求
5.2.1 一般要求
車載終端應保證硬件、固件、軟件系統(tǒng)、數據存儲、網絡端口傳輸、遠程升級、日志和系統(tǒng)的信息安全,滿足保密性、完整性、可用性的基本要求。
若車載終端和其他信息交互系統(tǒng)存在共用硬件的情況,則整個設備軟硬件也應滿足本文件的要求。
5.2.2 功能要求
5.2.2.1 車載終端硬件
車載終端的硬件安全要求如下:
a) 不應存在后門或隱蔽接口;
b) 調試接口應禁用或設置安全訪問控制。
5.2.2.2 車載終端固件
車載終端應具備安全啟動的功能,可通過可信根實體對安全啟動所使用的可信根進行保護。
5.2.2.3 車載終端軟件系統(tǒng)
車載終端軟件系統(tǒng)要求如下:
a) 應具備判定和授予應用程序對系統(tǒng)資源的訪問和操作權限的能力;
b) 宜進行可信驗證。
5.2.2.4 車載終端數據存儲
車載終端數據存儲要求如下:
a) 應保證按照GB/T 32960.3—2016要求所存儲的遠程服務與管理數據的保密性和完整性,宜支持SM2、SM3、SM4、AES、RSA等密碼算法;
b) 車載終端的安全重要參數在存儲以及使用過程中,應只允許被授權的應用以授權方式讀取和修改。
5.2.2.5 車載終端網絡端口傳輸安全
車載終端網絡端口傳輸安全要求如下:
a) 應通過對數據包的源地址、目的地址、源端口、目的端口和協(xié)議進行檢查決定允許或拒絕數據包進出;
b) 應具備根據會話狀態(tài)信息為進出數據流判定允許或拒絕訪問的能力;
c) 應基于應用協(xié)議和應用內容對進出網絡端口的數據流實現訪問控制;
d) 應關閉非業(yè)務相關的網絡服務端口,并對業(yè)務相關的網絡服務端口進行訪問控制;
e) 應對進入車載終端的帶有攻擊行為特征的網絡數據進行識別,且識別率不低于95%;
f) 宜采用專用網絡或者虛擬專用網絡通信,與公網隔離;
g) 宜具備更新擴展安全規(guī)則的能力。
5.2.2.6 車載終端遠程升級
若車載終端具備遠程升級功能,車載終端應具備升級包校驗機制,校驗升級包的完整性以及來源真實性。
5.2.2.7 車載終端日志
車載終端日志功能要求如下:
a) 應記錄車載終端在遠程服務過程中發(fā)生的信息安全相關事件,如檢測受到網絡攻擊行為等;
b) 應使每個信息安全事件日志信息記錄的內容包括但不限于:日期和時間(精確到秒)、車輛唯一識別碼、事件類型;
c) 應保證所存儲信息安全事件日志信息的完整性;
d) 宜保證所存儲信息安全事件日志信息的保密性;
e) 車載終端信息安全事件日志應只允許被授權的應用以授權方式讀?。?/span>
f) 應具有信息安全事件日志的上傳機制,并使用安全通信協(xié)議將信息安全事件日志信息發(fā)送到企業(yè)平臺。
5.2.2.8 車載終端系統(tǒng)安全
車載終端不應存在由權威漏洞平臺6個月前公布且未經處置的高危及以上的安全漏洞。
注:處置包括消除漏洞、制定減緩措施等方式。
5.3 平臺間通信安全要求
5.3.1 一般要求
電動汽車遠程服務與管理系統(tǒng)應滿足傳輸數據的保密性、完整性和可用性要求。電動汽車遠程服務與管理系統(tǒng)在客戶端平臺進行平臺登人之前,應和服務端平臺進行雙向身份鑒別。
5.3.2 通信協(xié)議棧
電動汽車遠程服務與管理系統(tǒng)通信協(xié)議棧應包含安全通信協(xié)議,在客戶端平臺和服務端平臺之間建立安全通信連接,保障GB/T 32960.3-2016定義的業(yè)務應用層通信的安全性。安全通信協(xié)議應基于TCP/IP之上、業(yè)務應用層之下, 如圖2所示。
5.3.3 安全通信協(xié)議
安全通信協(xié)議要求如下:
a) 應使用TLS 1.2或以上版本;
b) 應不允許降級, 例如降到TLS 1.1、TLS 1.0或SSL 3.0、SSL 2.0;
c) 應禁用TLS會話重協(xié)商;
d) 應禁用TLS壓縮;
e) 若使用基于非對稱密鑰的身份認證機制, 宜使用SM2、密鑰長度不低于2048位的RSA或同級別以及更高級的密碼算法,應具有對應的證書更新及撤銷機制,證書的有效期宜不超過365d,證書更新過程應確保密鑰安全性;
f) 若使用基于對稱密鑰的身份認證機制, 宜使用SM4、密鑰長度不低于128位的AES或同級別以及更高級的密碼算法,應具有對應的密鑰更新機制,更新過程中應確保密鑰安全性。
5.3.4 數據單元加密
GB/T 32960.3―2016所要求的遠程服務與管理數據,至少包括GB/T 32960.3-2016中7.2實時信息上報數據,加密要求如下:
a) 數據單元加密方式應采用SM4、密鑰長度不低于128位的AES或其他同級別以及更高級的密碼算法;
b) 加密數據單元的密鑰應與安全通信協(xié)議所使用的密鑰不同。
5.4 車載終端與平臺通信安全要求
車載終端到平臺的通信應滿足雙向身份鑒別和傳輸數據的保密性、完整性和可用性要求。車載終端向平臺實時上報GB/T 32960.3―2016所要求的實時信息上報數據時,應按照5.3.4 進行加密處理。車載終端到平臺的安全通信協(xié)議宜滿足5.3.3的技術要求。
5.5 平臺安全要求
5.5.1 企業(yè)平臺
企業(yè)平臺應對車載終端的信息安全進行監(jiān)視管理,應能在車載終端產生信息安全問題后,為信息安全應急響應提供車載終端相關數據以及追溯手段。
5.5.2 公共平臺
公共平臺可對車載終端的信息安全狀況進行監(jiān)測。
6 試驗方法
6.1 概述
電動汽車遠程服務與管理系統(tǒng)信息安全試驗方法包括電動汽車遠程服務與管理系統(tǒng)信息安全技術文檔核查和試驗樣件信息安全功能驗證。
6.2 車載終端信息安全試驗樣件要求
車載終端試驗樣件應確定時區(qū)為:UTC+08:00北京, 并校準。
6.3 車載終端信息安全試驗環(huán)境
6.3.1 硬件試驗環(huán)境
車載終端信息安全硬件測試的拓撲結構,如圖3所示。
6.3.2 通信試驗環(huán)境
車載終端信息安全通信試驗和驗證的拓撲結構,如圖4所示。
6.3.3 軟件試驗環(huán)境
車載終端信息安全軟件試驗和驗證的拓撲結構,如圖5所示。
6.4 車載終端信息安全試驗
6.4.1 車載終端硬件信息安全試驗
通過如下方法檢測車載終端的硬件信息安全:
a) 拆解被測樣件設備外殼, 取出PCB板, 將PCB板放大至少5倍, 觀察PCB板, 檢查是否存在可非法對芯片進行訪問或者更改芯片功能的隱蔽接口;
b) 根據車載終端接口定義說明, 檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調試接口, 并使用測試工具嘗試獲取調試權限。
6.4.2 車載終端固件信息安全試驗
6.4.2.1 車載終端硬件安全啟動可信根防篡改試驗
根據車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明,使用軟件或硬件調試工具寫入數據,重復多次驗證是否可將數據寫入該存儲區(qū)域。
6.4.2.2 車載終端硬件安全啟動引導加載程序(Bootloader) 校驗試驗
根據車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明, 使用軟件調試工具對該Boot-loader的簽名數據進行破壞, 如成功破壞簽名數據, 則使用安全刷寫工具對破壞簽名后的Bootloader進行刷寫, 如成功寫入到車載終端內的指定區(qū)域, 檢測車載終端芯片是否校驗Bootloader簽名, 并在校驗
不成功時停止加載下一階段系統(tǒng)鏡像。
6.4.2.3 車載終端軟件安全啟動Bootloader防篡改試驗
根據車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明,嘗試使用軟件調試工具對Bootloader區(qū)域的存儲數據進行篡改或替換破壞, 檢測車載終端是否禁止將篡改或替換后的Bootloader寫入到車載終端內的指定區(qū)域。
6.4.2.4 車載終端安全啟動系統(tǒng)鏡像校驗試驗
使用軟件調試工具對系統(tǒng)鏡像的簽名數據進行破壞,將破壞簽名后的系統(tǒng)鏡像寫入到車載終端內的指定區(qū)域,檢測車載終端是否校驗系統(tǒng)鏡像簽名,并在校驗不成功時停止工作。
6.4.3 車載終端軟件系統(tǒng)信息安全試驗
6.4.3.1 車載終端軟件系統(tǒng)訪問控制試驗
按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權的軟件應用程序,使用該未添加訪問控制權的軟件應用程序嘗試訪問受保護的軟件應用程序資源,檢測受保護的軟件應用程序資源是否可被訪問。
6.4.3.2 車載終端軟件系統(tǒng)可信根存儲區(qū)域試驗
根據車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明,使用軟件調試工具向軟件系統(tǒng)可信根存儲區(qū)域寫入數據,重復多次驗證是否可將數據寫人該存儲區(qū)域。
6.4.3.3 車載終端軟件系統(tǒng)可信驗證試驗
使用軟件調試工具破壞系統(tǒng)鏡像的受保護的關鍵代碼段,并將破壞后的系統(tǒng)鏡像寫人車載終端,檢測加載破壞后的系統(tǒng)鏡像的車載終端是否能正常工作。
6.4.4 車載終端數據存儲信息安全試驗
6.4.4.1 車載終端數據存儲保密性試驗
使用軟件分析工具讀取存儲遠程服務與管理數據區(qū)域內容,檢測是否為密文存儲。
6.4.4.2 車載終端數據存儲完整性試驗
使用非授權的應用程序讀取存儲遠程服務與管理數據區(qū)域內容,檢測是否可進行修改,若可修改,則檢測修改后,終端是否依然可正常調用該數據。
6.4.4.3車載終端安全重要參數信息安全試驗
使用非授權的應用程序讀取系統(tǒng)數據區(qū)域的安全重要參數,測試是否可讀取或使用。
6.4.5車載終端網絡端口傳輸信息安全試驗
6.4.5.1車載終端網絡端口訪問控制策略信息安全核查
6.4.5.1.1 車載終端網絡端口控制策略信息安全核查
核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協(xié)議等相關配置參數。
6.4.5.1.2 車載終端網絡端口數據流控制策略信息安全核查
核查是否采用會話認證等機制為進出數據流提供明確的允許或拒絕訪問的能力。
6.4.5.2 車載終端網絡端口訪問控制策略試驗
在被測樣件設置符合標準規(guī)定的訪問控制策略,檢測設備向列表指定的源端口發(fā)送不符合策略規(guī)定的報文,并在列表指定的目的端口檢測接收報文和日志。
6.4.5.3 車載終端網絡端口冗余及非授權訪問試驗
使用網絡掃描工具對車載終端進行網絡端口掃描:
a) 檢測車載終端是否開放非業(yè)務所需的冗余網絡端口;
b) 檢測是否可針對開放的網絡端口建立非授權訪問控制連接。
6.4.5.4 車載終端安全掃描功能試驗
將車載終端接入測試網絡,使用攻擊案例對車載終端實施攻擊,檢測車載終端對攻擊的識別率。
6.4.5.5 車載終端專用網絡認證機制試驗
若車載終端到平臺采用專用網絡或者虛擬專用網絡進行通信,嘗試在非授權網絡條件下,將車載終端連接遠程網絡服務平臺,多次重復檢測是否可建立通信。
6.4.5.6 車載終端安全規(guī)則更新擴展能力核查
根據車載終端安全規(guī)則更新擴展方案說明,核查車載終端是否具備安全規(guī)則更新擴展的能力。
6.4.6 車載終端遠程升級功能信息安全試驗
6.4.6.1 升級包完整性校驗試驗
使用軟件調試工具破壞升級包的任意內容,將被破壞的升級包下載到車載終端指定區(qū)域,并下發(fā)升級包升級指令,檢測車載終端加載升級包時是否進行完整性校驗。
6.4.6.2 升級包來源真實性驗證試驗
將非授權簽名的升級包下載到車載終端指定區(qū)域,并下發(fā)升級包升級指令,檢測車載終端加載升級包時是否進行授權校驗。
6.4.7 車載終端日志功能信息安全試驗
6.4.7.1 車載終端日志功能信息安全核查
根據車載終端安全事件日志記錄規(guī)則說明,核查車載終端日志信息記錄的內容是否包括但不限于日期和時間、主體身份、事件類型、事件結果等組成部分。
6.4.7.2 車載終端日志功能保密性信息安全試驗
根據車載終端日志存儲區(qū)域和地址范圍說明,使用日志分析工具讀取日志功能區(qū)域內容,檢測是否為密文存儲。
6.4.7.3 車載終端日志功能完整性信息安全試驗
根據車載終端日志存儲區(qū)域和地址范圍說明,使用非授權的應用程序讀取日志功能區(qū)域內容,檢測是否可修改,若可修改,則檢測修改后,是否依然可正常讀取該日志。
6.4.7.4 車載終端日志功能訪問權限信息安全試驗
根據車載終端日志存儲區(qū)域和地址范圍說明,以非授權的用戶應用程序訪問審計信息存儲區(qū)域,檢測訪問是否成功。
6.4.7.5 車載終端日志上傳信息安全試驗
將車載終端接入測試網絡,使用攻擊案例對車載終端實施惡意攻擊,核查攻擊結束后,是否可在企業(yè)平臺上檢索到本次安全攻擊事件日志。
6.4.8 車載終端系統(tǒng)信息安全試驗
通過如下方法檢測車載終端系統(tǒng)信息安全:
a) 使用漏洞掃描工具對車載終端進行漏洞檢測,檢測是否存在權威漏洞平臺6個月前公布的高危及以上的安全漏洞;
b) 若存在高危及以上的安全漏洞,則檢查廠商是否提供了該漏洞的處置方案。
6.5 平臺間通信安全試驗
6.5.1 認證機制核查
核查平臺間通信接入是否具有認證機制。
6.5.2 通信保密性傳輸試驗
使用網絡監(jiān)聽工具,監(jiān)聽網絡傳輸數據,檢測企業(yè)平臺與公共平臺之間傳輸的數據是否為密文。
6.5.3 通信完整性傳輸試驗
對車載終端上報的數據進行破壞后,檢測企業(yè)平臺與公共平臺之間傳輸是否失敗。
6.5.4 網絡端口冗余及非授權訪問試驗
通過網絡掃描工具對企業(yè)平臺進行網絡端口掃描:
a)檢測企業(yè)平臺是否有開放非業(yè)務所需的冗余網絡端口;
b)在非授權網絡條件下,使用外部網絡工具,檢測針對開放的網絡端口是否可建立非授權訪問連接。
6.5.5 協(xié)議版本核查
核查安全通信協(xié)議是否為TLS 1.2或以上版本, 是否允許降級, 例如降到TLS 1.1、TLS 1.0或SSL 3.0、SSL 2.0。
6.5.6 協(xié)議功能核查
核查安全通信協(xié)議是否禁用TLS會話重協(xié)商和TLS壓縮功能。
6.5.7 安全算法核查
核查TLS協(xié)議的安全算法的選擇是否滿足5.3.3e) 和f) 的要求。
6.6 車載終端與平臺通信安全試驗
6.6.1 車載終端與平臺通信安全核查
6.6.1.1 協(xié)議版本核查
核查安全通信協(xié)議是否為TLS 1.2或以上版本, 是否允許降級, 例如降到TLS 1.1、TLS 1.0或SSL 3.0、SSL 2.0。
6.6.1.2 協(xié)議功能核查
核查安全通信協(xié)議是否禁用TLS會話重協(xié)商和TLS壓縮功能。
6.6.1.3 安全算法核查
核查TLS協(xié)議的安全算法的選擇是否滿足5.3.3e) 和f) 的要求。
6.6.2 車載終端與平臺通信傳輸協(xié)議試驗
使用網絡抓包工具監(jiān)聽車載終端對外網絡傳輸數據, 分析數據包是否采用TLS 1.2或以上版本協(xié)議。
6.6.3 車載終端與平臺通信雙向身份認證試驗
在通信鏈路捕獲車載終端與平臺間通信流量包,分析捕獲的數據報文,檢測通信雙方有無交換證書流量特征或者有無安全認證心跳包流量特征等雙向認證方式。
6.6.4 車載終端與平臺通信數據加密性試驗
使用網絡抓包工具監(jiān)聽網絡傳輸數據,檢測車載終端與平臺之間傳輸的數據是否為密文。
6.6.5 車載終端與平臺通信數據完整性試驗
對傳輸的數據進行破壞,檢測數據破壞后,車載終端與平臺之間傳輸是否失敗。
廣告 編輯推薦
最新資訊
-
“汽車爬坡試驗方法”將有國家標準
2026-03-03 12:44
-
十年耐久監(jiān)管時代:電池系統(tǒng)開發(fā)策略將如何
2026-03-03 12:44
-
聯合國法規(guī)R59對機動車備用消聲系統(tǒng)的工程
2026-03-03 12:08
-
聯合國法規(guī)R58對后下部防護裝置的工程化約
2026-03-03 12:07
-
聯合國法規(guī)R57對摩托車前照燈配光性能的工
2026-03-03 12:07
