電動汽車遠程服務(wù)與管理系統(tǒng)信息安全技 術(shù)要求

GB/TXXXXX—XXXX

目??次

前??言.............................................................................................................................................................II

1范圍...................................................................................................................................................................3

2規(guī)范性引用文件...............................................................................................................................................3

3術(shù)語和定義.......................................................................................................................................................3

4信息安全要求...................................................................................................................................................4

4.1總體結(jié)構(gòu)圖...................................................................................................................................................4

4.2車載終端安全要求.......................................................................................................................................4

4.3平臺間通信安全要求...................................................................................................................................6

4.4車載終端與平臺通信安全要求...................................................................................................................7

4.5平臺安全要求...............................................................................................................................................7

5測試方法...........................................................................................................................................................7

附錄A（規(guī)范性附錄）電動汽車遠程服務(wù)與管理系統(tǒng)信息安全試驗方法.................................................8

I

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。

本標(biāo)準(zhǔn)由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC114）歸口。

本標(biāo)準(zhǔn)的起草單位：

本標(biāo)準(zhǔn)的主要起草人：

II

GB/TXXXXX—XXXX

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了電動汽車遠程服務(wù)與管理系統(tǒng)的信息安全要求。

本標(biāo)準(zhǔn)適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業(yè)平

臺和公共平臺之間的數(shù)據(jù)通信。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單)適用于本文件。

GB/T19596電動汽車術(shù)語

GB/T32960.1-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第1部分：總則

GB/T32960.2-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第2部分：車載終端

GB/T32960.3-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第3部分：通信協(xié)議及數(shù)據(jù)格式

3術(shù)語和定義

GB/T19596、GB/T32960.1-2016、GB/T32960.3-2016界定的以及下列術(shù)語和定義適用于本文件。為

了便于使用，以下重復(fù)列出了GB/T32960.1-2016和GB/T32960.3-2016中的某些術(shù)語和定義。

3.1

電動汽車遠程服務(wù)與管理系統(tǒng)remoteserviceandmanagementsystemforelectricvehicles

對電動汽車信息進行采集、處理和管理，并為聯(lián)網(wǎng)用戶提供信息服務(wù)的系統(tǒng)。由公共平臺、企業(yè)平

臺和車載終端組成。

[GB/T32960.1-2016,定義3.1]

3.2

公共平臺publicserviceandmanagementplatform

國家、地方政府或其指定機構(gòu)建立的、對管轄范圍內(nèi)電動汽車進行數(shù)據(jù)采集和統(tǒng)一管理的平臺。

[GB/T32960.1-2016,定義3.2]

3.3

企業(yè)平臺enterpriseserviceandmanagementplatform

整車企業(yè)自建或委托第三方技術(shù)單位，對服務(wù)范圍內(nèi)的電動汽車和用戶進行管理，并提供安全運營

服務(wù)與管理的平臺。

[GB/T32960.1-2016,定義3.3]

3.4

車載終端on-boardunit

安裝在汽車上，采集及保存整車及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺的裝置或系統(tǒng)。

[GB/T32960.1-2016,定義3.4]

3.5

客戶端平臺clientplatform

平臺間進行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)發(fā)送方的遠程服務(wù)與管理平臺。

[GB/T32960.3-2016,定義3.1]

3

GB/TXXXXX—XXXX

3.6

服務(wù)端平臺serverplatform

平臺間進行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)接收方的遠程服務(wù)與管理平臺。

[GB/T32960.3-2016,定義3.2]

3.7

可信驗證trustedverification

基于可信根對設(shè)備的目標(biāo)程序進行完整性驗證。

3.8

安全重要參數(shù)safetyimportantparameter

與安全相關(guān)的信息，包含秘密和私有密碼秘鑰、口令之類的鑒別數(shù)據(jù)、證書或其他密碼相關(guān)參數(shù)的

信息。

3.9

主體subject

車載終端內(nèi)，實施操作的實體，即一個基本執(zhí)行單元，也可稱為進程。

3.10

客體object

車載終端內(nèi)，被主體實施操作的實體，如資源、文件系統(tǒng)、目錄、文件、消息隊列、套接字、共享

內(nèi)存、信號量、端口、設(shè)備等。

4信息安全要求

4.1總體結(jié)構(gòu)圖

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)見圖1。

圖1電動汽車遠程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)

4.2車載終端安全要求

4.2.1一般要求

車載終端應(yīng)保證硬件、固件、軟件系統(tǒng)、數(shù)據(jù)存儲、網(wǎng)絡(luò)接口傳輸、遠程升級、日志和系統(tǒng)的信息

安全，滿足保密性、完整性、可用性的基本要求。

若車載終端和其它信息交互系統(tǒng)存在共用硬件的情況，則整個設(shè)備軟硬件也應(yīng)滿足本標(biāo)準(zhǔn)的要求。

4

GB/TXXXXX—XXXX

4.2.2功能要求

4.2.2.1車載終端硬件

車載終端的硬件安全要求如下：

a）不應(yīng)存在后門或隱蔽接口；

b）調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。

4.2.2.2車載終端固件

車載終端應(yīng)具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進行保護。

4.2.2.3車載終端軟件系統(tǒng)

車載終端軟件系統(tǒng)要求如下：

a)應(yīng)具備判定和授予應(yīng)用程序?qū)ο到y(tǒng)資源的訪問和操作權(quán)限的能力；

b)宜進行可信驗證。

4.2.2.4車載終端數(shù)據(jù)存儲

車載終端數(shù)據(jù)存儲要求如下：

a)應(yīng)保證按照GB/T32960.3-2016要求所存儲的遠程服務(wù)與管理數(shù)據(jù)的保密性和完整性；

b)車載終端的安全重要參數(shù)在存儲以及使用過程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修

改。

4.2.2.5車載終端網(wǎng)絡(luò)接口傳輸安全

車載終端網(wǎng)絡(luò)接口傳輸安全要求如下：

a)應(yīng)通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議進行檢查決定允許或拒絕數(shù)據(jù)

包進出；

b)應(yīng)具備根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流判定允許或拒絕訪問的能力；

c)應(yīng)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對進出網(wǎng)絡(luò)接口的數(shù)據(jù)流實現(xiàn)訪問控制；

d)應(yīng)關(guān)閉非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口，并對業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口進行訪問控制；

e)應(yīng)對進入車內(nèi)的數(shù)據(jù)進行入侵檢測，對惡意網(wǎng)絡(luò)數(shù)據(jù)與攻擊的識別率不低于95%；

f)宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離；

g)宜具備更新擴展安全規(guī)則的能力。

4.2.2.6車載終端遠程升級功能

若車載終端具備遠程升級功能，車載終端應(yīng)具備升級包校驗機制，確保升級包的完整性以及來源真

實性。

4.2.2.7車載終端日志功能

車載終端日志功能要求如下：

a)應(yīng)記錄車載終端在遠程服務(wù)過程中發(fā)生的信息安全相關(guān)事件，如檢測受到網(wǎng)絡(luò)攻擊行為等；

b)應(yīng)使每個日志信息記錄的內(nèi)容包括但不限于：日期和時間（精確到秒）、車輛唯一識別碼、事

件類型；

c)應(yīng)保證所存儲日志信息的保密性和完整性；

d)車載終端日志應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀??；

5

GB/TXXXXX—XXXX

e)應(yīng)具有日志的上傳機制，并使用安全通信協(xié)議將日志信息發(fā)送到企業(yè)平臺。

4.2.2.8車載終端系統(tǒng)安全

車載終端不應(yīng)存在由權(quán)威漏洞平臺公開發(fā)布6個月及以上且未經(jīng)處置的高危安全漏洞。

4.3平臺間通信安全要求

4.3.1一般要求

電動汽車遠程服務(wù)與管理系統(tǒng)應(yīng)滿足傳輸數(shù)據(jù)的保密性、完整性和可用性要求。電動汽車遠程服務(wù)

與管理系統(tǒng)在客戶端平臺進行平臺登入之前，應(yīng)和服務(wù)端平臺進行雙向身份鑒別。

4.3.2通信協(xié)議棧要求

電動汽車遠程服務(wù)與管理系統(tǒng)通信協(xié)議棧應(yīng)包含安全通信協(xié)議，在客戶端平臺和服務(wù)端平臺之間建

立安全通信連接，保障GB/T32960.3-2016定義的業(yè)務(wù)應(yīng)用層通信的安全性。

安全通信協(xié)議應(yīng)基于TCP/IP之上、業(yè)務(wù)應(yīng)用層之下，如圖2所示。

圖2電動汽車遠程服務(wù)與管理系統(tǒng)安全通信協(xié)議棧

4.3.3安全通信協(xié)議要求

安全通信協(xié)議要求如下：

a)應(yīng)使用TLS1.2或以上版本；

b)應(yīng)不允許降級（降到TLS1.1、TLS1.0或SSLv3）；

c)應(yīng)禁用會話重協(xié)商；

d)應(yīng)禁用TLS壓縮；

e)若使用基于非對稱密鑰的身份認(rèn)證的TLS協(xié)議，應(yīng)具有對應(yīng)的證書更新及撤銷機制，宜使用SM2、

RSA(長度不低于2048位)或同級別以及更高級的加密算法，證書的有效期宜不超過365天；

f)若使用基于對稱密鑰的身份認(rèn)證的TLS協(xié)議，應(yīng)具有對應(yīng)的密鑰更新機制，宜使用SM4、AES(長

度不低于128位)或同級別以及更高級的加密算法。

4.3.4數(shù)據(jù)單元加密要求

GB/T32960.3-2016所要求的遠程服務(wù)與管理數(shù)據(jù)加密要求如下：

a)數(shù)據(jù)單元加密方式應(yīng)采用SM4、AES（長度不低于128位）或其它同級別以及更高級的加密算法

來進行數(shù)據(jù)加密；

b)加密數(shù)據(jù)單元的密鑰應(yīng)與安全通信協(xié)議所使用的密鑰不同。

6

GB/TXXXXX—XXXX

4.4車載終端與平臺通信安全要求

車載終端到平臺的通信應(yīng)滿足雙向身份鑒別和傳輸數(shù)據(jù)的保密性、完整性和可用性要求。車載終端

向平臺實時上報GB/T32960.3-2016所要求的遠程服務(wù)與管理數(shù)據(jù)時，應(yīng)按照4.3.4進行加密處理。車載

終端到平臺的安全通信協(xié)議宜滿足本標(biāo)準(zhǔn)4.3.3的技術(shù)要求。

4.5平臺安全要求

4.5.1企業(yè)平臺

企業(yè)平臺應(yīng)對車載終端的信息安全進行監(jiān)視管理。應(yīng)能在車載終端產(chǎn)生信息安全問題后，為信息安

全應(yīng)急響應(yīng)提供車載終端相關(guān)數(shù)據(jù)以及追溯手段。

4.5.2公共平臺

公共平臺可對車載終端的信息安全狀況進行監(jiān)測。

5測試方法

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全要求相關(guān)測試方法見附錄A。

7

GB/TXXXXX—XXXX

附錄A

（規(guī)范性附錄）

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全試驗方法

A.1概述

本附錄規(guī)范了電動汽車遠程服務(wù)與管理系統(tǒng)信息安全測試方法，測試內(nèi)容包括電動汽車遠程服務(wù)與

管理系統(tǒng)信息安全技術(shù)文檔核查和測試樣件信息安全功能驗證。

A.2車載終端信息安全測試樣件要求

A.2.1時區(qū)校準(zhǔn)

車載終端測試樣件應(yīng)確定時區(qū)為：UTC+08:00北京，并校準(zhǔn)。

A.2.2配套技術(shù)文檔

車載終端測試樣件應(yīng)配套如下輔助技術(shù)文檔：

a)車載終端接口定義文檔；

b)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍文檔；

c)車載終端安全規(guī)則更新擴展方案文檔；

d)車載終端安全事件日志記錄規(guī)則文檔；

e)車載終端日志存儲區(qū)域和地址范圍文檔；

f)車載終端系統(tǒng)高危漏洞處置方案文檔。

A.2.3配套測試材料

車載終端測試樣件應(yīng)配套如下輔助測試材料：

a)車載終端系統(tǒng)鏡像；

b)車載終端Bootloader程序；

c)車載終端遠程升級安裝包。

A.3車載終端信息安全測試環(huán)境

A.3.1硬件測試環(huán)境

車載終端信息安全硬件測試的拓?fù)浣Y(jié)構(gòu)，如圖A.1所示：

8

GB/TXXXXX—XXXX

圖A.1車載終端信息安全硬件測試示意圖

A.3.2通信測試環(huán)境

車載終端信息安全通信測試和驗證的拓?fù)浣Y(jié)構(gòu)，如圖A.2所示：

圖A.2車載終端信息安全通信測試示意圖

A.3.3軟件測試環(huán)境

車載終端信息安全軟件測試和驗證的拓?fù)浣Y(jié)構(gòu)，如圖A.3所示：

圖A.3車載終端信息安全軟件測試示意圖

A.4車載終端信息安全測試

A.4.1車載終端硬件信息安全測試

應(yīng)通過如下方法檢測車載終端的硬件信息安全并滿足4.2.2.1要求：

a)拆解被測樣件設(shè)備外殼，取出PCB板，將PCB板放大至少5倍，觀察PCB板，檢查是否存在可以非

法對芯片進行訪問或者更改芯片功能的隱蔽接口；

b)檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，并使

用測試工具嘗試獲取調(diào)試權(quán)限。

A.4.2車載終端固件信息安全測試

9

GB/TXXXXX—XXXX

A.4.2.1概述

基于硬件實現(xiàn)安全啟動時應(yīng)按照A.4.2.2、A.4.2.3和A.4.2.4進行車載終端固件信息安全測試；基

于軟件實現(xiàn)安全啟動時應(yīng)按照A.4.2.4和A.4.2.5進行車載終端固件信息安全測試，并滿足4.2.2.2要求。

A.4.2.2車載終端硬件安全啟動可信根防篡改測試

根據(jù)安全啟動可信根存儲區(qū)域的訪問方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次驗證是否

可將數(shù)據(jù)寫入該存儲區(qū)域。

A.4.2.3車載終端硬件安全啟動Bootloader程序校驗測試

使用軟件調(diào)試工具對該Bootloader程序的簽名數(shù)據(jù)進行破壞，將破壞簽名后的Bootloader程序?qū)懭?/p>

到車載終端內(nèi)的指定區(qū)域，監(jiān)測車載終端芯片是否校驗Bootloader程序簽名，并在校驗不成功時停止加

載下一階段系統(tǒng)鏡像。

A.4.2.4車載終端軟件安全啟動Bootloader防篡改測試

根據(jù)安全啟動可信根存儲區(qū)域的訪問方法和地址，嘗試使用軟件調(diào)試工具對該Bootloader區(qū)域程序

地址的存儲數(shù)據(jù)簽名數(shù)據(jù)進行篡改或替換破壞，監(jiān)測車載終端是否禁止將篡改或替換后的Bootloader

程序?qū)懭氲杰囕d終端內(nèi)的指定區(qū)域。

A.4.2.5車載終端安全啟動系統(tǒng)鏡像校驗測試

使用軟件調(diào)試工具對系統(tǒng)鏡像的簽名數(shù)據(jù)進行破壞，將破壞簽名后的系統(tǒng)鏡像寫入到車載終端內(nèi)的

指定區(qū)域，監(jiān)測車載終端是否校驗系統(tǒng)鏡像簽名，并在校驗不成功時停止工作。

A.4.3車載終端軟件系統(tǒng)信息安全測試

A.4.3.1概述

應(yīng)按照A.4.3.2、A.4.3.3和A.4.3.4檢測車載終端的軟件系統(tǒng)信息安全，并滿足4.2.2.3要求。

A.4.3.2車載終端軟件系統(tǒng)訪問控制測試

按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權(quán)的軟件應(yīng)用程序，使用該未添加訪問控制權(quán)的軟件應(yīng)

用程序嘗試調(diào)用受保護的軟件應(yīng)用程序資源，監(jiān)測受保護的軟件應(yīng)用程序資源是否被調(diào)用。

A.4.3.3車載終端軟件系統(tǒng)可信根存儲區(qū)域測試

使用軟件調(diào)試工具向軟件系統(tǒng)可信根存儲區(qū)域?qū)懭霐?shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)

域。

A.4.3.4車載終端軟件系統(tǒng)可信驗證測試

使用軟件調(diào)試工具破壞系統(tǒng)鏡像的受保護的關(guān)鍵代碼段，并將破壞后的系統(tǒng)鏡像寫入車載終端，監(jiān)

測加載破壞后的系統(tǒng)鏡像的車載終端是否能正常工作。

A.4.4車載終端數(shù)據(jù)存儲信息安全測試

A.4.4.1概述

應(yīng)按照A.4.4.2、A.4.4.3和A.4.4.4檢測車載終端的數(shù)據(jù)存儲信息安全，并滿足4.2.2.4要求。

10

GB/TXXXXX—XXXX

A.4.4.2車載終端關(guān)鍵數(shù)據(jù)存儲保密性測試

使用逆向分析工具讀取存儲遠程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否為密文存儲。

A.4.4.3車載終端關(guān)鍵數(shù)據(jù)存儲完整性測試

使用非授權(quán)的應(yīng)用程序讀取存儲遠程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否可以進行讀取或修改。

A.4.4.4車載終端關(guān)鍵安全參數(shù)信息安全測試

使用非授權(quán)的應(yīng)用程序讀取系統(tǒng)數(shù)據(jù)區(qū)域的關(guān)鍵安全參數(shù)內(nèi)容，測試是否可以讀取或使用。

A.4.5車載終端網(wǎng)絡(luò)接口傳輸信息安全測試

A.4.5.1概述

應(yīng)按照A.4.5.2、A.4.5.3、A.4.5.4、A.4.5.5、A.4.5.6、A.4.5.7、A.4.5.8、A.4.5.9、A.4.5.10

和A.4.5.11檢測車載終端網(wǎng)絡(luò)接口傳輸信息安全，并滿足4.2.2.5要求。

A.4.5.2車載終端網(wǎng)絡(luò)接口傳輸通信協(xié)議信息安全核查

A.4.5.2.1協(xié)議版本核查

核查安全通信協(xié)議是否為TLS1.2或以上版本，是否允許降級（降到TLS1.1、TLS1.0或SSLv3）。

A.4.5.2.2協(xié)議功能核查

核查安全通信協(xié)議是否禁用會話重協(xié)商和TLS壓縮功能。

A.4.5.2.3安全算法核查

核查TLS協(xié)議的安全算法的選擇是否滿足如下要求：

a)若使用基于非對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM2加密算法、RSA(長度不低于2048

位)或同級別以及更高級的加密算法，證書的有效期是否超過365天；

b)若使用基于對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM4加密算法、AES(長度不低于128位)

或同級別以及更高級的加密算法。

A.4.5.3車載終端網(wǎng)絡(luò)接口訪問控制機制測試

使用網(wǎng)絡(luò)掃描工具對車載終端進行網(wǎng)絡(luò)端口掃描，并使用外部網(wǎng)絡(luò)工具檢測是否可以針對開放的網(wǎng)

絡(luò)端口建立非授權(quán)訪問控制連接。

A.4.5.4車載終端冗余網(wǎng)絡(luò)接口測試

使用網(wǎng)絡(luò)掃描工具對車載終端進行網(wǎng)絡(luò)端口掃描，檢測車載終端是否開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端

口。

A.4.5.5車載終端網(wǎng)絡(luò)接口傳輸協(xié)議測試

使用網(wǎng)絡(luò)抓包工具監(jiān)聽車載終端對外網(wǎng)絡(luò)傳輸數(shù)據(jù)，分析數(shù)據(jù)包是否采用TLS1.2或以上版本協(xié)議。

A.4.5.6車載終端網(wǎng)絡(luò)接口傳輸雙向身份認(rèn)證測試

進入車載終端控制臺，在通信鏈路捕獲車載終端與平臺通信流量包，分析捕獲的數(shù)據(jù)報文，監(jiān)測通

信雙方有無交換證書流量特征或者有無安全認(rèn)證心跳包流量特征等雙向認(rèn)證方式。。

A.4.5.7車載終端網(wǎng)絡(luò)傳輸數(shù)據(jù)加密性測試

11

GB/TXXXXX—XXXX

使用網(wǎng)絡(luò)抓包工具監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，檢測車載終端與平臺之間傳輸?shù)臄?shù)據(jù)是否為密文。

A.4.5.8車載終端網(wǎng)絡(luò)傳輸數(shù)據(jù)完整性測試

對傳輸?shù)臄?shù)據(jù)進行破壞，監(jiān)測數(shù)據(jù)破壞后，車載終端與平臺之間傳輸是否失敗。

A.4.5.9車載終端安全掃描功能測試

將車載終端接入測試網(wǎng)絡(luò)，使用攻擊案例對車載終端注入惡意數(shù)據(jù)、實施攻擊，監(jiān)測車載終端對惡

意網(wǎng)絡(luò)數(shù)據(jù)與攻擊的識別率。

A.4.5.10車載終端專用網(wǎng)絡(luò)認(rèn)證機制測試

若車載終端到平臺采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)進行通信，嘗試在非授權(quán)網(wǎng)絡(luò)條件下，將車載終

端連接遠程網(wǎng)絡(luò)服務(wù)平臺，多次重復(fù)檢測是否可以建立通信。

A.4.5.11車載終端安全規(guī)則更新擴展能力核查

核查車載終端是否具備安全規(guī)則更新擴展的能力。

A.4.6車載終端遠程升級功能信息安全測試

A.4.6.1概述

應(yīng)按照A.4.6.2和A.4.6.3檢測車載終端遠程升級功能信息安全，并滿足4.2.2.6要求。

A.4.6.2升級包完整性校驗測試

使用軟件調(diào)試工具破壞升級包的任意一段代碼，將被破壞的升級包下載到車載終端指定區(qū)域，并下

發(fā)升級包升級指令，監(jiān)測車載終端加載升級包時是否進行完整性校驗。

A.4.6.3升級包真實性驗證測試

將非授權(quán)簽名的升級包下載到車載終端指定區(qū)域，并下發(fā)升級包升級指令，監(jiān)測車載終端加載升級

包時是否進行授權(quán)校驗。

A.4.7車載終端日志功能信息安全測試

A.4.7.1概述

應(yīng)按照A.4.7.2、A.4.7.3、A.4.7.4、A.4.7.5和A.4.7.6檢測車載終端日志功能信息安全，并滿足

4.2.2.7要求。

A.4.7.2車載終端日志功能信息安全核查

核查車載終端日志信息記錄的內(nèi)容是否包括但不限于日期和時間、主體身份、事件類型、事件結(jié)果

等組成部分。

A.4.7.3車載終端日志功能安全算法核查

核查車載終端日志功能使用的安全算法是否滿足如下要求：

a)車載終端日志信息的存儲保密性算法是否采用SM4、AES（密鑰長度為128及以上）或同等強度

以及更高強度的加密算法。

12

GB/TXXXXX—XXXX

b)車載終端日志信息的存儲完整性算法是否采用SM2、RSA（密鑰長度為2048或以上）或同等強度

以及更高強度的加密算法。

A.4.7.4車載終端日志功能訪問權(quán)限信息安全測試

以非授權(quán)的用戶應(yīng)用程序訪問審計信息存儲區(qū)域，檢測訪問是否成功。

A.4.7.5車載終端日志功能保密性信息安全測試

使用逆向分析工具讀取日志功能區(qū)域內(nèi)容，檢測是否為密文存儲。

A.4.7.6車載終端日志功能完整性信息安全測試

使用非授權(quán)的應(yīng)用程序讀取日志功能區(qū)域內(nèi)容，檢測是否可以讀取或修改。

A.4.8車載終端系統(tǒng)信息安全測試

應(yīng)通過如下方法檢測車載終端系統(tǒng)信息安全，并滿足4.2.2.8要求：

a)使用漏洞掃描工具對車載終端進行漏洞檢測，檢測是否存在權(quán)威漏洞平臺發(fā)布6個月及以上的

高危安全漏洞；

b)若存在高危漏洞，則檢查廠商是否提供了該高危漏洞的處置方案。

A.5平臺間通信安全測試

A.5.1概述

應(yīng)按照A.5.2、A.5.3、A.5.4、A.5.5、A.5.6和A.5.7檢測平臺間通信信息安全，并滿足4.3.1要求；

按照A.5.8、A.5.9、A.5.10和A.5.11檢測平臺間安全通訊協(xié)議信息安全，并滿足4.3.3要求。

A.5.2認(rèn)證機制核查

核查平臺間通信接入是否具有認(rèn)證機制。

A.5.3通信保密性傳輸測試

使用網(wǎng)絡(luò)監(jiān)聽工具，監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，監(jiān)測企業(yè)平臺與公共平臺之間傳輸?shù)臄?shù)據(jù)是否為密文。

A.5.4通信完整性傳輸測試

對車載終端上報的數(shù)據(jù)進行破壞后，檢測企業(yè)平臺與公共平臺之間傳輸是否失敗。

A.5.5非授權(quán)訪問測試

通過網(wǎng)絡(luò)掃描工具對企業(yè)平臺進行網(wǎng)絡(luò)端口掃描；在非授權(quán)網(wǎng)絡(luò)條件下，使用外部網(wǎng)絡(luò)工具，檢測

針對開放的網(wǎng)絡(luò)端口是否可以建立非授權(quán)訪問連接。

A.5.6冗余網(wǎng)絡(luò)接口測試

通過網(wǎng)絡(luò)掃描工具對企業(yè)平臺進行網(wǎng)絡(luò)端口掃描，檢測企業(yè)平臺是否有開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)

端口。

A.5.7中間人連接測試

13

GB/TXXXXX—XXXX

使用有線網(wǎng)絡(luò)將企業(yè)平臺接入中間服務(wù)器（中間體），再通過中間服務(wù)器接入公共平臺，檢測企業(yè)

平臺是否可通過中間服務(wù)器（中間體）間接接入到公共平臺。

A.5.8協(xié)議版本核查

核查安全通信協(xié)議是否為TLS1.2或以上版本，是否允許降級（降到TLS1.1、TLS1.0或SSLv3）。

A.5.9協(xié)議功能核查

核查安全通信協(xié)議是否禁用會話重協(xié)商和TLS壓縮功能。

A.5.10安全算法核查

核查TLS協(xié)議的安全算法的選擇是否滿足如下要求：

a)若使用基于非對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM2加密算法、RSA(長度不低于2048

位)或同級別以及更高級的加密算法，證書的有效期是否超過365天；

b)若使用基于對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM4加密算法、AES(長度不低于128位)

或同級別以及更高級的加密算法。

A.5.11安全通信協(xié)議一致性測試

監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，分析網(wǎng)絡(luò)傳輸數(shù)據(jù)格式是否與本標(biāo)準(zhǔn)4.3.3的要求一致。

A.6車載終端與平臺通信安全測試

A.6.1概述

應(yīng)按照A.6.2、A.6.3、A.6.4、A.6.5和A.6.6檢測車載終端與平臺通信安全，并滿足4.4要求。

A.6.2車載終端與平臺通信安全核查

A.6.2.1協(xié)議版本核查

核查安全通信協(xié)議是否為TLS1.2或以上版本，是否允許降級（降到TLS1.1、TLS1.0或SSLv3）。

A.6.2.2協(xié)議功能核查

核查安全通信協(xié)議是否禁用會話重協(xié)商和TLS壓縮功能。

A.6.2.3安全算法核查

核查TLS協(xié)議的安全算法的選擇是否滿足如下要求：

a)若使用基于非對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM2加密算法、RSA(長度不低于2048

位)或同級別以及更高級的加密算法，證書的有效期是否超過365天；

b)若使用基于對稱密鑰的身份認(rèn)證的TLS協(xié)議，是否使用SM4加密算法、AES(長度不低于128位)

或同級別以及更高級的加密算法。

A.6.3車載終端與平臺通信傳輸協(xié)議測試

使用網(wǎng)絡(luò)抓包工具監(jiān)聽車載終端對外網(wǎng)絡(luò)傳輸數(shù)據(jù)，分析數(shù)據(jù)包是否采用TLS1.2或以上版本協(xié)議。

A.6.4車載終端與平臺通信雙向身份認(rèn)證測試

14

GB/TXXXXX—XXXX

在通信鏈路捕獲平臺間通信流量包，分析捕獲的數(shù)據(jù)報文，監(jiān)測通信雙方有無交換證書流量特征或

者有無安全認(rèn)證心跳包流量特征等雙向認(rèn)證方式。

A.6.5車載終端與平臺通信數(shù)據(jù)加密性測試

使用網(wǎng)絡(luò)抓包工具監(jiān)聽網(wǎng)絡(luò)傳輸數(shù)據(jù)，檢測車載終端與平臺之間傳輸?shù)臄?shù)據(jù)是否為密文。

A.6.6車載終端與平臺通信數(shù)據(jù)完整性測試

對傳輸?shù)臄?shù)據(jù)進行破壞，監(jiān)測數(shù)據(jù)破壞后，車載終端與平臺之間傳輸是否失敗。

_________________________________

15

ICS點擊此處添加ICS號

點擊此處添加中國標(biāo)準(zhǔn)文獻分類號

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全技

術(shù)要求

Technicalrequirementsforcybersecurityofremoteserviceandmanagementsystem

forelectricvehicles

（征求意見稿）

本稿完成日期：202004

GB/TXXXXX—XXXX

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了電動汽車遠程服務(wù)與管理系統(tǒng)的信息安全要求。

本標(biāo)準(zhǔn)適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業(yè)平

臺和公共平臺之間的數(shù)據(jù)通信。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單)適用于本文件。

GB/T19596電動汽車術(shù)語

GB/T32960.1-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第1部分：總則

GB/T32960.2-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第2部分：車載終端

GB/T32960.3-2016電動汽車遠程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第3部分：通信協(xié)議及數(shù)據(jù)格式

3術(shù)語和定義

GB/T19596、GB/T32960.1-2016、GB/T32960.3-2016界定的以及下列術(shù)語和定義適用于本文件。為

了便于使用，以下重復(fù)列出了GB/T32960.1-2016和GB/T32960.3-2016中的某些術(shù)語和定義。

3.1

電動汽車遠程服務(wù)與管理系統(tǒng)remoteserviceandmanagementsystemforelectricvehicles

對電動汽車信息進行采集、處理和管理，并為聯(lián)網(wǎng)用戶提供信息服務(wù)的系統(tǒng)。由公共平臺、企業(yè)平

臺和車載終端組成。

[GB/T32960.1-2016,定義3.1]

3.2

公共平臺publicserviceandmanagementplatform

國家、地方政府或其指定機構(gòu)建立的、對管轄范圍內(nèi)電動汽車進行數(shù)據(jù)采集和統(tǒng)一管理的平臺。

[GB/T32960.1-2016,定義3.2]

3.3

企業(yè)平臺enterpriseserviceandmanagementplatform

整車企業(yè)自建或委托第三方技術(shù)單位，對服務(wù)范圍內(nèi)的電動汽車和用戶進行管理，并提供安全運營

服務(wù)與管理的平臺。

[GB/T32960.1-2016,定義3.3]

3.4

車載終端on-boardunit

安裝在汽車上，采集及保存整車及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺的裝置或系統(tǒng)。

[GB/T32960.1-2016,定義3.4]

3.5

客戶端平臺clientplatform

平臺間進行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)發(fā)送方的遠程服務(wù)與管理平臺。

[GB/T32960.3-2016,定義3.1]

3

GB/TXXXXX—XXXX

3.6

服務(wù)端平臺serverplatform

平臺間進行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)接收方的遠程服務(wù)與管理平臺。

[GB/T32960.3-2016,定義3.2]

3.7

可信驗證trustedverification

基于可信根對設(shè)備的目標(biāo)程序進行完整性驗證。

3.8

安全重要參數(shù)safetyimportantparameter

與安全相關(guān)的信息，包含秘密和私有密碼秘鑰、口令之類的鑒別數(shù)據(jù)、證書或其他密碼相關(guān)參數(shù)的

信息。

3.9

主體subject

車載終端內(nèi)，實施操作的實體，即一個基本執(zhí)行單元，也可稱為進程。

3.10

客體object

車載終端內(nèi)，被主體實施操作的實體，如資源、文件系統(tǒng)、目錄、文件、消息隊列、套接字、共享

內(nèi)存、信號量、端口、設(shè)備等。

4信息安全要求

4.1總體結(jié)構(gòu)圖

電動汽車遠程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)見圖1。

圖1電動汽車遠程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)

4.2車載終端安全要求

4.2.1一般要求

車載終端應(yīng)保證硬件、固件、軟件系統(tǒng)、數(shù)據(jù)存儲、網(wǎng)絡(luò)接口傳輸、遠程升級、日志和系統(tǒng)的信息

安全，滿足保密性、完整性、可用性的基本要求。

若車載終端和其它信息交互系統(tǒng)存在共用硬件的情況，則整個設(shè)備軟硬件也應(yīng)滿足本標(biāo)準(zhǔn)的要求。

4

GB/TXXXXX—XXXX

4.2.2功能要求

4.2.2.1車載終端硬件

車載終端的硬件安全要求如下：

a）不應(yīng)存在后門或隱蔽接口；

b）調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。

4.2.2.2車載終端固件

車載終端應(yīng)具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進行保護。

4.2.2.3車載終端軟件系統(tǒng)

車載終端軟件系統(tǒng)要求如下：

a)應(yīng)具備判定和授予應(yīng)用程序?qū)ο到y(tǒng)資源的訪問和操作權(quán)限的能力；

b)宜進行可信驗證。

4.2.2.4車載終端數(shù)據(jù)存儲

車載終端數(shù)據(jù)存儲要求如下：

a)應(yīng)保證按照GB/T32960.3-2016要求所存儲的遠程服務(wù)與管理數(shù)據(jù)的保密性和完整性；

b)車載終端的安全重要參數(shù)在存儲以及使用過程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修

改。

4.2.2.5車載終端網(wǎng)絡(luò)接口傳輸安全

車載終端網(wǎng)絡(luò)接口傳輸安全要求如下：

a)應(yīng)通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議進行檢查決定允許或拒絕數(shù)據(jù)

包進出；

b)應(yīng)具備根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流判定允許或拒絕訪問的能力；

c)應(yīng)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對進出網(wǎng)絡(luò)接口的數(shù)據(jù)流實現(xiàn)訪問控制；

d)應(yīng)