(高清版)GBT 40855-2021 電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法

電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法國家標(biāo)準(zhǔn)化管理委員會GB/T40855—2021 I 2規(guī)范性引用文件 3術(shù)語和定義 14縮略語 25信息安全要求 25.1總體結(jié)構(gòu)圖 25.2車載終端安全要求 35.3平臺間通信安全要求 45.4車載終端與平臺通信安全要求 55.5平臺安全要求 56試驗方法 56.1概述 56.2車載終端信息安全試驗樣件要求 56.3車載終端信息安全試驗環(huán)境 56.4車載終端信息安全試驗 76.5平臺間通信安全試驗 96.6車載終端與平臺通信安全試驗 I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC114)歸口。本文件起草單位：東軟集團(tuán)股份有限公司、中國汽車技術(shù)研究中心有限公司、北京理工新源信息科技有限公司、戴姆勒大中華區(qū)投資有限公司、北京奇虎科技有限公司、北京汽車研究總院有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、大眾汽車(中國)投資有限公司、福特汽車(中國)有限公司、中國第一汽車股份有限公司、華為技術(shù)有限公司、東風(fēng)汽車集團(tuán)股份有限公司技術(shù)中心、中國信息通信研究院、上汽通用五菱汽車股份有限公司。1電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗方法本文件規(guī)定了電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)的信息安全要求及試驗方法。本文件適用于純電動汽車、插電式混合動力電動汽車和燃料電池電動汽車的車載終端、車輛企業(yè)平臺和公共平臺之間的數(shù)據(jù)通信。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T19596電動汽車術(shù)語GB/T32960.1—2016電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第1部分：總則GB/T32960.3—2016電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范第3部分：通信協(xié)議及數(shù)據(jù)格式3術(shù)語和定義GB/T19596、GB/T32960.1—2016、GB/T32960.3—2016界定的以及下列術(shù)語和定義適用于本文件。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)remoteserviceandmanagementsystemforelectricvehicles對電動汽車信息進(jìn)行采集、處理和管理，并為聯(lián)網(wǎng)用戶提供信息服務(wù)的系統(tǒng)。由公共平臺、企業(yè)平臺和車載終端組成。公共平臺publicserviceandmanagementplatform國家、地方政府或其指定機(jī)構(gòu)建立的、對管轄范圍內(nèi)電動汽車進(jìn)行數(shù)據(jù)采集和統(tǒng)一管理的平臺。整車企業(yè)自建或委托第三方技術(shù)單位，對服務(wù)范圍內(nèi)的電動汽車和用戶進(jìn)行管理，并提供安全運營服務(wù)與管理的平臺。安裝在汽車上，采集及保存整車及系統(tǒng)部件的關(guān)鍵狀態(tài)參數(shù)并發(fā)送到平臺的裝置或系統(tǒng)。2客戶端平臺clientplatform平臺間進(jìn)行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)發(fā)送方的遠(yuǎn)程服務(wù)與管理平臺。服務(wù)端平臺serverplatform平臺間進(jìn)行數(shù)據(jù)交互時，作為車輛數(shù)據(jù)接收方的遠(yuǎn)程服務(wù)與管理平臺?？尚膨炞Ctrustedverification基于可信根對設(shè)備的目標(biāo)程序進(jìn)行完整性驗證。4縮略語下列縮略語適用于本文件。AES:高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)IP:網(wǎng)際互連協(xié)議(InternetProtocol)JTAG:聯(lián)合測試工作組(JointTestActionGroup)PCB:印制電路板(PrintedCircuitBoard)SPI:串行外設(shè)接口(SerialPeripheralInterface)SSL:安全套接層協(xié)議(SecureSocketsLayer)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)TLS:安全傳輸層協(xié)議(TransportLayerSecurity)UART:通用異步收發(fā)器(UniversalAsynchronousReceiver/Transmitter)USB:通用串行總線(UniversalSerialBus)UTC:世界協(xié)調(diào)時間(UniversalTimeCoordinated)5信息安全要求5.1總體結(jié)構(gòu)圖電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)見圖1。公共平臺公共平臺通信協(xié)議車與平臺安全通信協(xié)議企業(yè)平臺信息安全電動汽車車載終端圖1電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全總體結(jié)構(gòu)圖35.2車載終端安全要求車載終端應(yīng)保證硬件、固件、軟件系統(tǒng)、數(shù)據(jù)存儲、網(wǎng)絡(luò)端口傳輸、遠(yuǎn)程升級、日志和系統(tǒng)的信息安若車載終端和其他信息交互系統(tǒng)存在共用硬件的情況，則整個設(shè)備軟硬件也應(yīng)滿足本文件的要求。車載終端的硬件安全要求如下：a)不應(yīng)存在后門或隱蔽接口；b)調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制。車載終端應(yīng)具備安全啟動的功能，可通過可信根實體對安全啟動所使用的可信根進(jìn)行保護(hù)。車載終端軟件系統(tǒng)要求如下：a)應(yīng)具備判定和授予應(yīng)用程序?qū)ο到y(tǒng)資源的訪問和操作權(quán)限的能力；b)宜進(jìn)行可信驗證。5.2.2.4車載終端數(shù)據(jù)存儲車載終端數(shù)據(jù)存儲要求如下：a)應(yīng)保證按照GB/T32960.3—2016要求所存儲的遠(yuǎn)程服務(wù)與管理數(shù)據(jù)的保密性和完整性，宜b)車載終端的安全重要參數(shù)在存儲以及使用過程中，應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀取和修改。5.2.2.5車載終端網(wǎng)絡(luò)端口傳輸安全車載終端網(wǎng)絡(luò)端口傳輸安全要求如下：a)應(yīng)通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議進(jìn)行檢查決定允許或拒絕數(shù)據(jù)包進(jìn)出；b)應(yīng)具備根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流判定允許或拒絕訪問的能力；c)應(yīng)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對進(jìn)出網(wǎng)絡(luò)端口的數(shù)據(jù)流實現(xiàn)訪問控制；d)應(yīng)關(guān)閉非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口，并對業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)服務(wù)端口進(jìn)行訪問控制；e)應(yīng)對進(jìn)入車載終端的帶有攻擊行為特征的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行識別，且識別率不低于95%;f)宜采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)通信，與公網(wǎng)隔離；g)宜具備更新擴(kuò)展安全規(guī)則的能力。若車載終端具備遠(yuǎn)程升級功能，車載終端應(yīng)具備升級包校驗機(jī)制，校驗升級包的完整性以及來源真4業(yè)務(wù)應(yīng)用層協(xié)議安全通信協(xié)議——-—————————————業(yè)務(wù)應(yīng)用層協(xié)議安全通信協(xié)議——-—————————————-實性。車載終端日志功能要求如下：a)應(yīng)記錄車載終端在遠(yuǎn)程服務(wù)過程中發(fā)生的信息安全相關(guān)事件，如檢測受到網(wǎng)絡(luò)攻擊行為等；b)應(yīng)使每個信息安全事件日志信息記錄的內(nèi)容包括但不限于：日期和時間(精確到秒)、車輛唯一c)應(yīng)保證所存儲信息安全事件日志信息的完整性；d)宜保證所存儲信息安全事件日志信息的保密性；e)車載終端信息安全事件日志應(yīng)只允許被授權(quán)的應(yīng)用以授權(quán)方式讀??；f)應(yīng)具有信息安全事件日志的上傳機(jī)制，并使用安全通信協(xié)議將信息安全事件日志信息發(fā)送到企業(yè)平臺。車載終端不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞。注：處置包括消除漏洞、制定減緩措施等方式。5.3平臺間通信安全要求電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)應(yīng)滿足傳輸數(shù)據(jù)的保密性、完整性和可用性要求。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)在客戶端平臺進(jìn)行平臺登入之前，應(yīng)和服務(wù)端平臺進(jìn)行雙向身份鑒別。電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)通信協(xié)議棧應(yīng)包含安全通信協(xié)議，在客戶端平臺和服務(wù)端平臺之間建立安全通信連接，保障GB/T32960.3—2016定義的業(yè)務(wù)應(yīng)用層通信的安全性。安全通信協(xié)議應(yīng)基于TCP/IP之上、業(yè)務(wù)應(yīng)用層之下，如圖2所示。GB/T32960.3—2016定義的業(yè)務(wù)應(yīng)用層協(xié)議安全通信協(xié)議底層承載圖2電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)安全通信協(xié)議棧5.3.3安全通信協(xié)議安全通信協(xié)議要求如下：a)應(yīng)使用TLS1.2或以上版本；b)應(yīng)不允許降級，例如降到TLS1.1、TLS1.0或SSL3.0、SSL2.0;5c)應(yīng)禁用TLS會話重協(xié)商；d)應(yīng)禁用TLS壓縮；e)若使用基于非對稱密鑰的身份認(rèn)證機(jī)制，宜使用SM2、密鑰長度不低于2048位的RSA或同級別以及更高級的密碼算法，應(yīng)具有對應(yīng)的證書更新及撤銷機(jī)制，證書的有效期宜不超過365d,證書更新過程應(yīng)確保密鑰安全性；f)若使用基于對稱密鑰的身份認(rèn)證機(jī)制，宜使用SM4、密鑰長度不低于128位的AES或同級別以及更高級的密碼算法，應(yīng)具有對應(yīng)的密鑰更新機(jī)制，更新過程中應(yīng)確保密鑰安全性。5.3.4數(shù)據(jù)單元加密GB/T32960.3—2016所要求的遠(yuǎn)程服務(wù)與管理數(shù)據(jù)，至少包括GB/T32960.3—2016中7.2實時信息上報數(shù)據(jù)，加密要求如下：a)數(shù)據(jù)單元加密方式應(yīng)采用SM4、密鑰長度不低于128位的AES或其他同級別以及更高級的密碼算法；b)加密數(shù)據(jù)單元的密鑰應(yīng)與安全通信協(xié)議所使用的密鑰不同。5.4車載終端與平臺通信安全要求車載終端到平臺的通信應(yīng)滿足雙向身份鑒別和傳輸數(shù)據(jù)的保密性、完整性和可用性要求。車載終端向平臺實時上報GB/T32960.3—2016所要求的實時信息上報數(shù)據(jù)時，應(yīng)按照5.3.4進(jìn)行加密處理。車載終端到平臺的安全通信協(xié)議宜滿足5.3.3的技術(shù)要求。5.5平臺安全要求企業(yè)平臺應(yīng)對車載終端的信息安全進(jìn)行監(jiān)視管理，應(yīng)能在車載終端產(chǎn)生信息安全問題后，為信息安全應(yīng)急響應(yīng)提供車載終端相關(guān)數(shù)據(jù)以及追溯手段。公共平臺可對車載終端的信息安全狀況進(jìn)行監(jiān)測。6試驗方法6.1概述電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全試驗方法包括電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)文檔核查和試驗樣件信息安全功能驗證。6.2車載終端信息安全試驗樣件要求車載終端試驗樣件應(yīng)確定時區(qū)為：UTC+08:00北京，并校準(zhǔn)。6.3車載終端信息安全試驗環(huán)境6.3.1硬件試驗環(huán)境車載終端信息安全硬件測試的拓?fù)浣Y(jié)構(gòu)，如圖3所示。6示波器圖3車載終端信息安全硬件試驗示意圖車載終端信息安全通信試驗和驗證的拓?fù)浣Y(jié)構(gòu)，如圖4所示。漏澗掃描工具仿真設(shè)備網(wǎng)絡(luò)入侵模擬工具車載終端通信協(xié)議分析工具通信測試控制電腦圖4車載終端信息安全通信試驗示意圖車載終端信息安全軟件試驗和驗證的拓?fù)浣Y(jié)構(gòu)，如圖5所示。固件分析工具車載終端-調(diào)試連接車載終端-調(diào)試連接系統(tǒng)測試工具軟件測試控制電腦圖5車載終端信息安全軟件試驗示意圖76.4車載終端信息安全試驗6.4.1車載終端硬件信息安全試驗通過如下方法檢測車載終端的硬件信息安全：a)拆解被測樣件設(shè)備外殼，取出PCB板，將PCB板放大至少5倍，觀察PCB板，檢查是否存在可非法對芯片進(jìn)行訪問或者更改芯片功能的隱蔽接口；b)根據(jù)車載終端接口定義說明，檢查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等調(diào)試接口，并使用測試工具嘗試獲取調(diào)試權(quán)限。6.4.2車載終端固件信息安全試驗6.4.2.1車載終端硬件安全啟動可信根防篡改試驗根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件或硬件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)域。6.4.2.2車載終端硬件安全啟動引導(dǎo)加載程序(Bootloader)校驗試驗根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件調(diào)試工具對該Boot-loader的簽名數(shù)據(jù)進(jìn)行破壞，如成功破壞簽名數(shù)據(jù)，則使用安全刷寫工具對破壞簽名后的Bootloader進(jìn)行刷寫，如成功寫入到車載終端內(nèi)的指定區(qū)域，檢測車載終端芯片是否校驗Bootloader簽名，并在校驗不成功時停止加載下一階段系統(tǒng)鏡像。6.4.2.3車載終端軟件安全啟動Bootloader防篡改試驗根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，嘗試使用軟件調(diào)試工具對Bootloader區(qū)域的存儲數(shù)據(jù)進(jìn)行篡改或替換破壞，檢測車載終端是否禁止將篡改或替換后的Bootloader寫入到車載終端內(nèi)的指定區(qū)域。6.4.2.4車載終端安全啟動系統(tǒng)鏡像校驗試驗使用軟件調(diào)試工具對系統(tǒng)鏡像的簽名數(shù)據(jù)進(jìn)行破壞，將破壞簽名后的系統(tǒng)鏡像寫入到車載終端內(nèi)的指定區(qū)域，檢測車載終端是否校驗系統(tǒng)鏡像簽名，并在校驗不成功時停止工作。6.4.3車載終端軟件系統(tǒng)信息安全試驗6.4.3.1車載終端軟件系統(tǒng)訪問控制試驗按照訪問控制規(guī)則創(chuàng)建一個未添加訪問控制權(quán)的軟件應(yīng)用程序，使用該未添加訪問控制權(quán)的軟件應(yīng)用程序嘗試訪問受保護(hù)的軟件應(yīng)用程序資源，檢測受保護(hù)的軟件應(yīng)用程序資源是否可被訪問。6.4.3.2車載終端軟件系統(tǒng)可信根存儲區(qū)域試驗根據(jù)車載終端安全啟動可信根存儲區(qū)域訪問方法和地址范圍說明，使用軟件調(diào)試工具向軟件系統(tǒng)可信根存儲區(qū)域?qū)懭霐?shù)據(jù)，重復(fù)多次驗證是否可將數(shù)據(jù)寫入該存儲區(qū)域。6.4.3.3車載終端軟件系統(tǒng)可信驗證試驗使用軟件調(diào)試工具破壞系統(tǒng)鏡像的受保護(hù)的關(guān)鍵代碼段，并將破壞后的系統(tǒng)鏡像寫入車載終端，檢測加載破壞后的系統(tǒng)鏡像的車載終端是否能正常工作。86.4.4車載終端數(shù)據(jù)存儲信息安全試驗6.4.4.1車載終端數(shù)據(jù)存儲保密性試驗使用軟件分析工具讀取存儲遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否為密文存儲。6.4.4.2車載終端數(shù)據(jù)存儲完整性試驗使用非授權(quán)的應(yīng)用程序讀取存儲遠(yuǎn)程服務(wù)與管理數(shù)據(jù)區(qū)域內(nèi)容，檢測是否可進(jìn)行修改，若可修改，則檢測修改后，終端是否依然可正常調(diào)用該數(shù)據(jù)。6.4.4.3車載終端安全重要參數(shù)信息安全試驗使用非授權(quán)的應(yīng)用程序讀取系統(tǒng)數(shù)據(jù)區(qū)域的安全重要參數(shù)，測試是否可讀取或使用。6.4.5車載終端網(wǎng)絡(luò)端口傳輸信息安全試驗6.4.5.1車載終端網(wǎng)絡(luò)端口訪問控制策略信息安全核查6.4.5.1.1車載終端網(wǎng)絡(luò)端口控制策略信息安全核查核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)。6.4.5.1.2車載終端網(wǎng)絡(luò)端口數(shù)據(jù)流控制策略信息安全核查核查是否采用會話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許或拒絕訪問的能力。6.4.5.2車載終端網(wǎng)絡(luò)端口訪問控制策略試驗在被測樣件設(shè)置符合標(biāo)準(zhǔn)規(guī)定的訪問控制策略，檢測設(shè)備向列表指定的源端口發(fā)送不符合策略規(guī)定的報文，并在列表指定的目的端口檢測接收報文和日志。6.4.5.3車載終端網(wǎng)絡(luò)端口冗余及非授權(quán)訪問試驗使用網(wǎng)絡(luò)掃描工具對車載終端進(jìn)行網(wǎng)絡(luò)端口掃描：a)檢測車載終端是否開放非業(yè)務(wù)所需的冗余網(wǎng)絡(luò)端口；b)檢測是否可針對開放的網(wǎng)絡(luò)端口建立非授權(quán)訪問控制連接。6.4.5.4車載終端安全掃描功能試驗將車載終端接入測試網(wǎng)絡(luò)，使用攻擊案例對車載終端實施攻擊，檢測車載終端對攻擊的識別率。6.4.5.5車載終端專用網(wǎng)絡(luò)認(rèn)證機(jī)制試驗若車載終端到平臺采用專用網(wǎng)絡(luò)或者虛擬專用網(wǎng)絡(luò)進(jìn)行通信，嘗試在非授權(quán)網(wǎng)絡(luò)條件下，將車載終端連接遠(yuǎn)程網(wǎng)絡(luò)服務(wù)平臺，多次重復(fù)檢測是否可建立通信。6.4.5.6車載終端安全規(guī)則更新擴(kuò)展能力核查根據(jù)車載終端安全規(guī)則更新擴(kuò)展方案說明，核查車載終端是否具備安全規(guī)則更新擴(kuò)展的能力。96.4.6車載終端遠(yuǎn)程升級功能信息安全試驗6.4.6.1升級包完整性校驗試驗使用軟件調(diào)試工具破壞升級包的任意內(nèi)容，將被破壞的升級包下載到車載終端指定區(qū)域，并下發(fā)升級包升級指令，檢測車載終端加載升級包時是否進(jìn)行完整性校驗。6.4.6.2升級包來源真實性驗證試驗將非授權(quán)簽名的升級包下載到車載終端指定區(qū)域，并下發(fā)升級包升級指令，檢測車載終端加載升級包時是否進(jìn)行授權(quán)校驗。6.4.7車載終端日志功能信息安全試驗6.4.7.1車載終端日志功能信息安全核查根據(jù)車載終端安全事件日志記錄規(guī)則說明，核查車載終端日志信息記錄的內(nèi)容是否包括但不限于6.4.7.2車載終端日志功能保密性信息安全試驗根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，使用日志分析工具讀取日志功能區(qū)域內(nèi)容，檢測是否為密文存儲。6.4.7.3車載終端日志功能完整性信息安全試驗根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，使用非授權(quán)的應(yīng)用程序讀取日志功能區(qū)域內(nèi)容，檢測是否可修改，若可修改，則檢測修改后，是否依然可正常讀取該日志。6.4.7.4車載終端日志功能訪問權(quán)限信息安全試驗根據(jù)車載終端日志存儲區(qū)域和地址范圍說明，以非授權(quán)的用戶應(yīng)用程序訪問審計信息存儲區(qū)域，檢測訪問是否成功。6.4.7.5車載終端日志上傳信息安全試驗將車載終端接入測試網(wǎng)絡(luò)，使