T/CSAE 101-2018英文版翻译 智能网联汽车车载端信息安全技术要求

ChinaAutoRegs|T/CSAE 101-2018英文版翻译 智能网联汽车车载端信息安全技术要求
Intelligent and connected vehicles on-board terminal cyber security technical requirements

1 范围

本标准规定了智能网联汽车车载端信息安全技术要求。智能网联汽车车辆整体信息安全技术要 求及车联网相关的云端信息安全如R要求、通信协议信息安全技术要求不在本标准的范围之内。
本标准仅适用于具备联网功能的车载端,联网范畴包括车载移动互联网、车际网和车内网。 本标准适用但不限于车载 T-BOX、车载信息娱乐系统 In-Vehicle Infotainment ( IVI ) 等车载端
信息系统。

2 规范性引用文件

下列标准所包含的条文,通过在标准中引用而构成本标准的条文。本标准出版时,所示版本均 为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇
GB 17859-1999 讨算机信息系统安全保护等级划分准则
GB/T 19596-2017 电动汽车术语

3 术语、定义和缩略语

3. 1 术语与定义

3. 3. 1 智能网联汽车 Intelligentand Connected Vehicles (ICV)

智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络 技术,实现车与 X ( 车、路、人、云等) 智能信息交换、共享,具备复杂环境感知、智能决策、 协同控制等功能,可实现“安全、高效、舒适、节能” 行驶,并最终可实现替代人来操作的新一 代汽车。

3. 3. 2 智能网联汽车车载端 ICV On-Board Terminal

智能网联汽车车载端是智能网联汽车的一个子系统,具备数据输入输出、计算处理、存储、通 信等功能,可采集车内相关ECU 数据并发送控制ECU 的指令,还可集成定位、导航、娱乐等多种功能, 是汽车网联化、接人移动互联网和车际网的功能单元。

3. 3. 3 用户 User

使用车载端资源的主体。

3. 3. 4 用户数据 User Data

车载端采集、处理、生成,以及存储的用户个人信息和用户使用车辆的信息,包括但不限于车 辆资产数据 ( 车辆标识等) 、用户标识信息、应用数据 ( 在本地生成的数据、在用户许可后由外部 进人用户数据区的数据等) 。

3. 3. 5 授权 Authorization

在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程。

3. 3. 6 数字签名 Digital Signature

由且只由信息发送者生成的附在数据后面的数字串,或对数据通过密码变换方式进行操作。数 据的接收者可以通过验证数字签名来鉴别数据的来源和完整性,数字签名还可以保护数据不被篡政、 伪造,保证数据的不可否认性。

3. 3. 7 代码签名 Code Signature

利用数字签名机制,由具有签名权限的实体对代码全部或部分进行签名的机制。

3. 2 缩略语

ICV BGA LGA Intelligentand Connected Vehicle Ball Grid Array
Land Grid Array 智能网联汽车 焊球阵列封装 栅格阵列封装
SPA Simple Power Analysis 简单功耗分析
DPA Differential Power Analysis 差分功耗分析
CPA Correlation Power Analysis 相关功耗分析
SE Secure Element 安全单元
ECU Elec仕onic Control Unit 电子控制单元
CAN Controller Area Network 控制器局域网络
TLS Transportation Layer Security 安全传输层协议
CD Compact Disc 光盘
DVD Di哥tal Video Disk 数字视频光盘
SD Secure Digital 安全数码
USB Universal Serial Bus 通用串行总线

4 车载端安全架构及目标
4. 1 车载端安全架构 智能网联汽车的新型业务需求之一是具备网联功能的车载端对外通过蜂窝网络通信、短距离通
信、以及车车 /车路通信与互联网、车际网建立连接,进行数据交换;对内与汽车总线及电子电气系统进行信息采集和指令下发。车载端作为智能网联汽车内外通信的重要节点,应通过技术措施, 防止、检测和阻断通过多种网联接口实施的安全攻击,保证车内重要子系统不因车辆具有网联功能 而增加安全风险。
智能网联汽车信息安全体系以及军载端的安全架构如图1所示。整体安全体系由云端安全、通 信安全、车辆安全多个部分构成。车载端作为智能网联汽车的重要零部件,其信息安全架构是车辆 信息安全的重要组成部分,覆盖车载端自身的硬件物理层面、操作系统层面、应用层面的安全、对 外通信和对内通信的安全,以及数据安全。
4. 2 整体安全目标

车载端整体安全日标是通过车载端各层面各部分的安全措施,避免由于信息安全问题造成的对 驾驶员和交通参与人员的伤害,以及由此引发的公共安全问题;同时防止个人信息泄露和由于信息 安全事件引起的财产损失。
4. 3 砸件安全目标 车载端硬件安全目标是保证车载端系统使用的电路和芯片在实现数据运算和数据存储等功能时
的安全性,能够使用硬件相关技术对抗物理层面针对加解密操作的多种攻击,例如:密码分析攻击,
侧信道攻击,故障注人攻击等。
4. 4 操作系统安全目标 操作系统安全目标是操作系统通过符合车载端应用场景的身份权限管理和访问控制机制,正确
地响应授权操作和处理异常行为,对抗针对操作系统的溢出攻击、暴力破解、中间人攻击、重放、 篡改、伪造等多种安全威胁,保证操作系统文件的可用性、保密性、完整性和可审计性,保证对各 类资源的正常访问,系统能够按照预期正常运行或在各种情况之下处于安全状态。

4. 5 应用安全目标

应用安全目标是要保证安装在车载端上的应用软件具备相应的来源标识和保密性、完整性的防 护措施,可以对抗逆向分析、反编译、篡改、非授权访问等各种针对应用的安全威胁,并确保应用 产生、使用的数据得到安全的处理、车载端应用与相关服务器之间通信的安全性,保证应用为用户 提供服务时,以及应用在启动、升级、登录、退出等各模式下的安全性。

4. 6 对内通信安全目标

对内通信是指车载端与车内总线以及电子电气系统之间的通信。其安全目标是根据应用场景对 通信和数据交换的需求,保证外部威胁与内部网络之间的安全隔离,保证车载端不向内部关键电子 电气系统发送伪造、重放等攻击方式的指令和数据,不非法占用内部总线资源;能够验证从车辆内 部系统接收数据的完整性和可认证性并进行相应处置,保证与车载端通信的车内各子系统的真实性 和数据的保密性、完整性,保证汽车功能正常。

4. 7 对外通信去全目标

对外通信包括车载端通过蜂窝网络与云平台进行的通信,与移动终端间的短距离通信,以及与 其它车辆和路侧设施的通信。对外通信的安全目标是根据应用场景对通信和数据交换的需求,保证 军载端与外部设备建立安全的连接,通信双方采取必要的双向身份认证,以及对关键的传输数据使 用加密和完整性校验手段,对抗嗅探、中间人攻击、重放等多种针对通信的安全威胁,保证数据的 保密性、完整性和可认证性。

4.8 用户数据安全目标

用户数据安全目标是要保证车载端所采集、存储、处理、传输的用户数据的安全性,确保用户 数据的机密性、完整性和可用性得到有效的防护,同时具有一定程度和植度的用户授权方式及相应 的配置能力和处置机制,保护数据生命周期各环节的安全性。

5 车载端安全技术要求

5. 1 整体安全性

5. 1. 1 安全技术的选择与实施

5.1.1.1 应通过风险评估过程,全面分析网联接口与威胁攻击路径,明确车辆整体安全需求与 车载端安全需求,综合选择身份认证、访问控制、检测响应等多种技术措施对车载端自身进行安全 防护,并将车载端安全防护作为车辆整体安全防护体系的有机组成部分,以实现草辆整体安全目标
( 例如:确保驾驶员和交通参与人员的人身安全) 。
5.1.1.2 应综合考虑整体网络安全防护需求,车载端的安全技术措施能够有效地与云端安全技 术措施和通信网络安全技术措施相配合。
5.1.1.3 车载端安全技术措施的选择和实施,应与整车设计开发验证测试流程紧密结合。

5. 2 硬件安全

5. 2. 1 设计安全

5.2.1.1 车载端系统所使用的芯片不能存在可以非法对芯片内存进行访问或者更改芯片功能的 隐蔽接口。芯片在即f验证阶段使用的调试接口应在上市产品中禁用。
5.2.1.2 车载端系统的电路板不能存在用以标注芯片、端口和管脚功能的可读丝印。
5.2.1.3 车载端系统芯片之间敏感数据的通信线路应尽量隐蔽 ( 例如:使用多层电路板的车载 端系统采用内层布线方式隐藏通信线路) ,对抗针对车载端内部数据传输的窃听和伪造攻击。
5.2.1.4 车载端所使用的关键芯片应尽量减少暴露管脚 ( 例如:采用BGA/LGA 封装的芯片) 。

5. 2. 2 访问控制

5.2.2.1 车载端具备硬件实现的安全区域或安全模块,实现车载端设备重要数据安全存储与 隔离。
5.2.2.2 在安全区域或安全模块中一次性写人的敏感信息,应保证无法非授权获取或者篡改。
5.2.2.3 安全区域或安全模块应具备检测与处置非授权访问的能力,对抗暴力破解。

5. 2. 3 抗攻击防护

5.2.3.1 使用必要的安全机制 ( 例如:封装) ,防御针对芯片的电压、时钟、电磁、激光等方 式的故障注人攻击。
5.2.3.2 使用必要的防护措施,对抗针对加密芯片的简单功耗分析 ( SPA ) 攻击、一阶差分功 耗分析 ( DPA ) 攻击、相关功耗分析 ( CPA ) 攻击,以及利用运行时间、温度等其它信息进行的侧 信道攻击。
5.2.3.3 使用必要的防护机制,对抗针对车载端设备内存的侵人和篡改攻击。

5. 3 操作系统安全

5. 3. 1 操作系统安全启动

5.3.1.1 应在安全存储区域存储操作系统签名。操作系统启动时应使用可信机制,在验证操作 系统签名并判定通过后,再从可信存储区域加载车载端操作系统,避免加载被篡改的操作系统。

5. 3. 2 多操作系统隔离

5.3.2.1 如车载端存在多个操作系统,须采用隔离机制,保证不同操作系统之间的安全防护。

5. 3. 3 操作系统加载应用程序

5.3.3.1 应提供安全机制,保证操作系统只能力日载启动可信的车载端应用程序,能够验证应用 的来源和完整性,避免运行恶意程序。

5. 3. 4 系统安全防护

5.3.4.1 应采用完整性校验手段 ( 例如:基于晗希算法的数字摘要技术或数字签名技术) ,对 关键代码或文件进行完整性保护。
5.3.4.2 车载端系统不存在后门,也不存在于 “中国汽车行业漏洞共享平台( CAVD ) ” 以及 “国 家信息安全漏洞共享平台 ( CNVD ) ” 发布了6 个月及以上的高危安全漏洞。系统应具有能够及时 进行漏洞修复的方式。

5. 3. 5 资源访问控制

5.3.5.1 应采取适用于汽车各应用场景的告知和控制方式,实现当应用对系统敏感资源调用( 例 如:使用位置信息) 时用户可知。并提供设置开关,供用户同意或者拒绝该项调用。
5.3.5.2 通过可信执行环境,为基于敏感数据的关键应用提供安全执行空间,控制对关键资源
( 例如:密钥、CAN 控制器) 的访问,保护资源和数据的保密性和完整性,对抗非授权访问和篡改 等多种攻击。

5. 3. 6 安全日志记录及审计控制

5.3.6.1 支持对操作系统关键事件的日志功能,记录事件的时间、对象、描述和结果等。
5.3.6.2 支持日志上传功能,上传时对云端进行认证;根据云端管理需求,采取安全的方式传 输日志,确保数据的完整性和可认证性。
5.3.6.3 应采取访问控制机制,对日志读取写人的权限进行管理;应对 日志存储进行安全防护。

5. 3. 7 系统软件更新与固件更新

5.3.7.1 只接收在约定的工况( 例如:非行驶状态) 和车辆系统状态( 例如:电瓶电量满足要求) 下发起的车载端操作系统和应用等软件的更新请求,并在用户确认后执行更新操作。
5.3.7.2 软件更新时,应能够对提供更新软件包的来源进行鉴别,并对接收到的更新文件进行 完整性校验。软件升级应不影响用户设置和用户数据。系统应具有备份和恢复能力,能够在软件更 新发生异常时进行必要的操作,避免更新失败导致系统失效。系统应对连续升级行为进行记录,设 定一段时间内升级尝试次数上限,避免通过车载端升级尝试对车辆资源进行过度消耗。
5.3.7.3 车载端在向其他车内系统或设备 ( 例如:ECU ) 传输更新文件和更新命令的时候,应 能够及时声明自己的身份和权限,供车内系统或设备进衍人证;只有认回画过后,操作才可以继续 执行。

5. 3. 8 介质接口安全

5.3.8.1 车载端不应存在未经声明的外围介质 ( 例如:CD/DVD、SD 卡、USB ) 接口。
5.3.8.2 车载端应定义通过外围接口接人的存储介质上的文件类型和权限,并限制通过介质接 口对车载端进行的操作类型。
5.3.8.3 应使用必要的方法,对可能修改系统配置或者运行状态的文件进行检测,并根据检测 结果告警及处置。

5. 4 应用软件安全

5. 4. 1 应用软件安全基本要求

5.4.1.1 通用应用软件不应存在后门,也不存在于 “中国汽车行业漏洞共享平台 ( CAVD ) ” 以及 “国家信息安全漏洞共享平台 ( CNVD ) ” 发布了6个月及以上的高危安全漏洞。
5.4.1.2 应用软件不应含有非授权收集或泄露用户信息、非法数据外传等恶意行为。
5.4.1.3 应用不以明文形式存储用户敏感信息 ( 例如:用户口令、证件号、交易口令、私钥) 。
5.4.1.4 应用软件应使用安全机制 ( 例如:混淆、加壳) ‘ 页才抗针对应用的逆向分析。

5. 4. 2 应用软件签名认证机制

5.4.2.1 应用软件应采用代码签名认证机制,且代码签名机制符合相关标准要求。

5. 4. 3 应用软件运行要求

5.4.3.1 关键应用程序在启动时应执行自捡,检查程序运行时所必须的条件,确保程序自身和 所处运行环境的安全性。
5.4.3.2 应用软件运行期间,应具备运行验证及编译混淆能力,防止运行数据被非法分析或代 码被非法执行。
5.4.3.3 使用安全机制,防止和检测应用软件之间不必要的访问,避免数据泄漏、非法提权等 安全问题。
5.4.3.4 具备识别、阻断恶意软件的能力,隔绝已经被感染的文件,拒绝软件的恶意访问。

5. 4. 4 去全审计要求

5.4.4.1 应用程序应具备记录应用状态及使用情况的日志功能,并支持集中管理。

5. 4. 5 应用流程安全性要求

5.4.5.1 应用程序与服务器之间的交互,应使用安全通信协议 ( 例如:TI.Sl.2 )
5.4.5.2 应用程序访问服务器需有双向认证机制。

5. 5 对内通信安全

5. 5. 1 对牢内子系统访问的安全控制

5.5.1.1 使用必要的技术手段,对包括车载端在内的车内各电子电气系统进行子系统或者域的 划分。子系统或者域应有不同的信息安全等级。
5.5.1.2 建立跨子系统或者域间通信的安全访问策略,车载端与高安全级别的子系统 ( 例如: 动力系统) 之间应采取访问控制措施。并通过与功能逻辑设计的配合,避免由于车载端的信息安全 问题造成该类子系统功能的错误或异常。
5.5.1.3 车载端应在与车内各电子电气系统的通信数据上加载身份标识,供其他车内电子电气

系统验证。同时车载终端应具有验证所接收到的通信数据的发送方身份的能力。

5. 5. 2 对车内部通信可靠性和可用性的去全防护

5.5.2.1 车载端具备冗余备份和重发机制,保证对电子电气系统发送重要数据时 ( 例如:ECU固件升级包) ,传输数据的可靠性。
5.5.2.2 车载端向车内电子电气系统发送数据和转发数据时,应采用相应技术避免太量集中发 送数据包导致的总线拥塞和拒绝服务。
5.5.2.3 车载端应建立监测模块,实时监测向车内电子电气系统发送数据的数量与质量,对于 异常情况应及时发现并告誓。

5. 6 对外通信安全

5. 6. 1 蜂窝网络通信安全

5.6.1.1 车载端应使用安全机制,识别伪基站,确保接人真实可靠的蜂窝网络。
5.6.1.2 车载端与核心业务平台的通信应采用专用网络或者虚拟专用网络通信,与公网隔离。
5.6.1.3 车载端应能够萨、别来自蜂窝网络的非法连接请求,过滤恶意数据包。
5.6.1.4 车载端应采取技术措施,禁用业务所不需要的蜂窝网络通信功能 ( 例如:彩信) 。
5丘1.5 通过蜂窝网络传送的针对车载端的关键操作 ( 例如:用户号码写人) ,应采用强验证 手段,确保只有授权的主体可以实施相应的操作。
5.6.1.6 应根据不同应用的重要性划分优先级,保障关键业务 ( 例如:监管平台信息采集) 具 有网络通信的优先使用权。

5. 6. 2 牢牢通信、革路协同通信安全

5丘2.1 车载端具备保证唯一性的身份标识,并可以对所连接的通信节点 ( 例如:路侧设施, 请求通信连接的车辆) 进行身份验证,且该身份标识不应泄露用户隐私。
5.6.2.2 车载端应支持数字证书或完备的密钥生成机制和管理机制,用于身份认证、通信加密 和完整性保护。

5. 6. 3 短距离无线连接安全

5.6.3.1 车载端应具备用户手动打开、关闭短距离无线连接的能力。
5.6.3.2 已建立的短距离无线连接,应在相应的输出设备上有明确的连接状态显示。
5.6.3.3 车载端的应用调用短距离元线连接功能时,车载端能够明示用户,并提供配置能力和 符合场景的配置方式。
5.6.3.4 车载端只在特定工况下接受外来通信连接请求 ( 例如:蓝牙连接配对请求) 以保证草 辆安全,并对发起连接请求的设备进行认证授权。需要用户操作的步骤,应向用户提供符合应用场 景的处理方式。
5.6.3.5 车载端发起对外连接时,应对外部设备进行认证,并尽量启用通信协议所支持的安全 模式进行通信。
注:短距离元钱连接包括但不限于 Wi-Fi、蓝牙、ZigBee 。

5. 7 用户数据安全技术要求

5. 7. 1 数据安全采集

5.7.1.1 车载端所采集的与用户身份、位置信息等相关的敏感数据,应通过显式的方式告知用 户并获得用户确认,应说明数据采集所依据的国家法律法规或者业务需求。
5工1.2 车载端对用户数据的采集应在提供相应服务的同时进行 。若出于业务需要而必须 事先采集相关数据,应向用户明示事先采集的目的和范围,并且只有在用户同意的情况下方可 继续。
5.7.1.3 车载端采集用户使用行为等用户数据时,应提示用户并向用户提供关闭数据采集的功 能。在执行此类操作前,应首先对用户身份进行认证。
5.7.1.4 车载端应具备支持国家监管部门依法进行数据采集工作的能力。

5. 7. 2 数据安全存储

5工2.1 车载端在将用户敏感数据 ( 例如:用户身份、位置信息) 存储在车内系统时,应为保 存数据的文件设置适当的权限,以防止未授权的访问和篡改。
5.7.2.2 存储涉及用户生物特征的数据时,应采用加密形式保存。
5.7.2.3 车载端不应有未向用户明示且未经用户同意,擅自修改用户数据的行为。
5.7.2.4 安全存储的文件应具备标识信息,元法在非授权设备中使用。

5. 7. 3 数据安全传输

5.7.3.1 应使用防护措施,对所传输数据的完整性和可认证性进行保护。
5.7.3.2 应使用国密算法对重要数据进行加密传输。

5. 7. 4 数据安全删除

5.7.4.1 共享类应用 ( 例如:共事汽车) ,在当前用户退出后,该用户的敏感数据应被清空。
5.7.4.2 通过车载端采集的用户数据,在传送到云端服务器后,应具备相应的脱敏措施,防止 用户隐私信息泄露。
5.7.4.3 车载端设备更换件后,换下的旧件所存放的数据需安全删除,相关用户数据需同步新 件,以防止用户数据泄漏或丢失。

6 车载端安全技术要求分级

6. 1 各级之间的关系

根据车载端技术要求的防护强度,将车载端信息安全技术要求自低到高划分为四个等级,第四 级是最高安全等级。车载端可选不同等级的安全要求及措施,以达到相应安全级别。每一等级明确 了车载端在该等级所应满足的技术要求的最小集舍,当车载端满足该集合中的所有适用的安全技术 要求时才能标识为达到该安全级别。

6. 2 分级描述

6. 2. 1 组

一级为基本安全级,即车载端具备初步的信息安全认证授权和访问控制措施,对系统和数据采 取多种方式保护其信息安全属性,能够基本避免由于信息安全导致的个人隐私泄露或财产损失,且 能够基本保证不会由于信息安全问题导致功能安全问题或者社会安全问题。

6. 2. 2 二级

第二级在第一级的基础上,增加信息安全威胁监测和安全事件审计能力,以及根据监测审计结 果进行处置的能力,在实现多层面多方面安全防护的同时提供监管能力。

6. 2. 3 三级

第二级在第二级的基础上,通过以密码方案为基础的技术措施,构建完备的可信的信息安全防 护体系,能够实现操作系统、应用、通信及数据多方面的安全日标。

6. 2. 4 四级

第四级是在第三级的基础上,加强安全技术的有效性和可靠性,使各种安全措施能够充分地发 挥作用,实现包括硬件安全目标在内的各安全目标和整体安全目标,在多种可能的信息安全攻击的 情况下,系统仍然能够按照预期的方式工作。

6. 3 分级要求
具体的等级划

***********************************************
现成译文,到款即发。
任取样页验证译文质量。
免费提供正规增值税发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|舍吾予言标准翻译/ChinaAutoRegs/始终专注于机动车标准翻译!迄今为止已翻译上千个国内外汽车法规标准!独家打造千万级汽车专业术语库和记忆库。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注