GBT XXXX 车载信息交互系统信息安全技术要求.pdf

《GBT XXXX 车载信息交互系统信息安全技术要求.pdf》由会员分享，可在线阅读，更多相关《GBT XXXX 车载信息交互系统信息安全技术要求.pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CS 43.040 T 中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准 GB/T XXXXXXXXX 车载信息交互系统信息安全技术要求 Technical Requirements for Cybersecurity of On-board Information Interactive System （征求意见稿） （本稿完成日期：202004） - XX - XX 发布XXXX - XX - XX 实施 发发 布布 国国 家家 市市 场场 监监 督督 管管 理理 总总 局局 国国 家家 标标 准准 化化 管管 理理 委委 员员 会会 GB/T XXXXXXXXX I 目次

2、 前言. II 1范围.1 2规范性引用文件.1 3术语与定义.1 4缩略语.2 5技术要求.3 5.1硬件安全要求.3 5.2通信协议与接口安全要求.3 5.3操作系统安全要求.5 5.4应用软件安全要求.7 5.5数据安全要求.8 6测试方法.9 6.1硬件安全测试方法.9 6.2通信协议与接口安全测试方法.9 6.3操作系统安全测试方法.11 6.4应用软件安全技术测试方法.14 6.5数据安全测试方法.16 附录 A（资料性附录）车载信息交互系统示意图. 18 参考文献.19 GB/T XXXXXXXXX II 前言 本标准按照 GB/T 1.12009 给出的规则起草。 本标准由中华

3、人民共和国工业和信息化部提出。 本标准由全国汽车标准化技术委员会（SAC/TC114）归口。 本标准起草单位： 本标准主要起草人： GB/T XXXXXXXXX 1 车载信息交互系统信息安全技术要求 1范围 本标准规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技 术要求与测试方法。 本标准适用于指导整车厂、零部件供应商、软件供应商等企业，开展车载信息交互系统信息安全技 术的设计开发、验证与生产等工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修

4、改单）适用于本文件。 GB/T 25069信息安全技术 术语 GB/T XXX汽车信息安全通用技术要求 3术语与定义 GB/T 25069、GB/T XXX界定的以及下列术语和定义适用于本文件。 3.1 车载信息交互系统 on-board information interactive system 安装在车辆上的通信系统，属于信息交互或娱乐服务装置，应具备下列至少一项功能： a)对外可通过蜂窝网络、 短距离通信等通信技术建立连接并进行数据交换等功能， 对内可通过汽 车总线与电子电气系统进行信息采集、数据传递与指令下发等功能； b)实现通话录音、文化娱乐等相关服务功能。 注：车载信息交互系统通

5、常为远程车载信息交互系统（T-Box）、车载综合信息处理系统（IVI）以及其混合体。 典型的车载信息交互系统示意图参考附录A中图A.1所示。 3.2 对外通信 external communication 车载信息交互系统与车辆外部的无线通信，包括基于移动蜂窝网络的远程通信、蓝牙、WLAN等短距 离通信等。 3.3 内部通信 internal communication 车载信息交互系统与车辆内电子电气系统的通信，包括基于CAN、CANFD、LIN、以太网等车辆内部 的通信。 GB/T XXXXXXXXX 2 3.4 用户 user 使用车载信息交互系统资源的对象，包括人、车辆或者第三方应用程

6、序。 3.5 用户数据 user data 由用户产生或为用户服务的数据，该数据不影响安全功能的运行。 3.6 代码签名 code signing 利用数字签名机制，由具备签名权限的实体对全部或部分代码进行签名的机制。 3.7 应用软件 application software 在车载信息交互系统上，为实现支付、娱乐等功能的一类软件，包括在车载信息交互系统中已预装 的应用软件和后期可安装的应用软件。 3.8 平台服务端 platform server 为车辆提供服务的平台，包括企业自主运营平台及第三方平台等。 3.9 外部终端 external terminal 车辆外部的终端设备，包括路侧单

7、元、手机等。 4缩略语 CAN控制器局域网络（control area network） ECU电子控制单元（electronic control unit） E-Call紧急呼叫（emergency call） FTP文件传输协议（file transfer protocol） HTTP超文本传输协议（hypertext transfer protocol） JTAG测试行动联合组织(Joint Test Action Group) LE低功耗（low energy） PSK预共享密钥（pre-shared key） SSP安全简易配对（secure simple pairing） SPI串

8、行外设接口（serial peripheral interface） TLS安全传输层协议 (transport layer security) TSP终端服务平台（telematics service provider） UART通用异步收发器(Universal Asynchronous Receiver/Transmitter) GB/T XXXXXXXXX 3 URL统一资源定位符(uniform resource locator) USB通用串行总线(universal serial BUS) WLAN无线局域网（wireless local area networks） WPAWL

9、AN网络安全接入(WLAN protected access) 5技术要求 5.1硬件安全要求 5.1.1车载信息交互系统所使用的芯片应满足以下要求： a)按照 6.1 a)进行测试，调试接口应禁用或设置安全访问控制； b)按照 6.1 b)进行测试，不存在后门或隐蔽接口； 5.1.2按照 6.1 c)进行测试，车载信息交互系统所使用的关键芯片（例如：处理器、存储模块、通讯 IC 等用于处理、存储和传输敏感信息的芯片以及安全芯片）应减少暴露管脚； 5.1.3按照 6.1 d)进行测试， 车载信息交互系统所使用的安全芯片之间应减少通信线路的数量 （例如： 使用多层电路板的车载信息交互系统可采用内

10、层布线方式隐藏通信线路）； 5.1.4按照 6.1 e)进行测试,电路板及芯片不宜暴露用以标注、端口和管脚功能的可读丝印。 5.2通信协议与接口安全要求 5.2.1对外通信协议安全 5.2.1.1 通信连接安全 按照6.2.1.1 a)进行测试,车辆端应实现对平台服务端或外部终端的身份认证。当身份认证成功后， 按照6.2.1.1 b)进行测试,车辆端与平台服务端或外部终端才能进行业务数据的通信交互。 5.2.1.2 通信传输安全 按照6.2.1.2 进行测试,车辆端与平台服务端或外部终端间传输的数据内容应进行密钥加密。 5.2.1.3 通信连接终止安全 车载信息交互系统进行通信时, 按照6.2

11、.1.3 a)、b) 进行测试,发生身份鉴权失败、有加密要求的 数据内容校验失败等情况，应终止该响应操作。 5.2.1.4 远程通信协议安全 5.2.1.4.1公有远程通信协议安全 公有远程通信协议（例如：HTTP、FTP等），按照6.2.1.4.1进行测试,应采用TLS（版本不低于1.2） 或至少同等安全级别（例如：同等级别的国密算法等）的安全通信协议。 5.2.1.4.2私有远程通信协议安全 私有远程通信协议（例如：整车厂或零部件厂与TSP自定义的通信协议等）应满足以下要求： a)按照 6.2.1.4.2 a)进行测试,支持以安全方式进行数据加密密钥的更新； b)按照 6.2.1.4.2

12、b)进行测试,其使用的密钥应进行安全存储。 5.2.1.5 短距离通信协议安全 GB/T XXXXXXXXX 4 5.2.1.5.1短距离通信口令应用安全 短距离通信口令应用安全应满足以下要求： a)按照 6.2.1.5.1 a)进行测试,缺省口令应使用至少包括数字、大小写字母，长度不少于 8 位的 强复杂度的口令； b)按照 6.2.1.5.1 b)进行测试,同一个缺省口令不复用于不同系统； c)按照 6.2.1.5.1 c)进行测试,更改口令时，限制用户设置 a)要求的口令或向用户提示风险； d)按照 6.2.1.5.1 d)进行测试,对于人机接口或跨信任网络的不同车载信息交互系统之间接口

13、的 登录认证，应支持口令防暴力破解机制，且按照 6.2.1.5.1e)进行测试,口令文件应设置安全 访问控制。 5.2.1.5.2车载蓝牙通信协议安全 对具有车载蓝牙通信功能的车载信息交互系统应满足以下要求： a)按照 6.2.1.5.2 a)进行测试,车载蓝牙通信设备不应存在后门； b)按照 6.2.1.5.2 b)进行测试,外部设备请求与车载蓝牙配对的方式应为 SSP 模式 （针对 Classic 场合）或 LE Secure Connection 模式（针对 LE 场合）； c)按照 6.2.1.5.2 c)进行测试,车载蓝牙通信设备应验证配对请求，配对成功后，应对外部设备 进行鉴权；

14、d)对于高安全要求的车载蓝牙通信功能（例如：利用蓝牙进行非接触控制车辆等），按照 6.2.1.5.2 d)进行测试,应对外部设备进行认证以防止非法接入； e)对于高安全要求的车载蓝牙通信功能（例如：利用蓝牙进行非接触控制车辆等），按照 6.2.1.5.2 e)进行测试,应对相关数据进行安全加密处理。 5.2.1.5.3车载 WLAN 通信协议安全 对具有WLAN热点功能的车载信息交互系统， 按照6.2.1.5.3进行测试,应使用WPA2-PSK或更高安全级 别的加密认证方式。 5.2.2内部通信安全 当车载信息交互系统通过CAN或车载以太网等总线与车内其他控制器节点进行数据交互时，按照 6.2

15、.2进行测试,应使用安全机制确保传输的重要数据（例如：车辆控制指令等）完整性和可用性。 5.2.3通信接口安全 5.2.3.1总体要求 车载信息交互系统的通信接口应满足以下要求： a)按照 6.2.3.1 a)进行测试,不应存在任何后门或隐蔽接口； b)按照 6.2.3.1 b)进行测试,访问权限等需授权内容应满足“最小化授权原则”，不应超出正常 业务范围。 5.2.3.2车外通信接口安全 5.2.3.2.1按照 6.2.3.2 a)进行测试,车载信息交互系统应支持路由隔离，隔离核心业务平台（例如： 执行控制车辆指令、 收集个人敏感信息等功能的业务平台） 的通信、 内部通信 （非核心业务平台的

16、通信） 、 外网通信（非核心业务平台的通信）等； GB/T XXXXXXXXX 5 5.2.3.2.2按照 6.2.3.2 b)进行测试,车载信息交互系统与核心业务平台（例如：能执行控制车辆指 令、 收集个人敏感信息等功能的业务平台） 的通信宜采用专用网络或者虚拟专用网络通信， 与公网隔离。 5.2.3.3车内通信接口安全 车载信息交互系统应满足以下要求： a)按照 6.2.3.3 a)进行测试,对合法指令设置白名单； a)按照 6.2.3.3 b)进行测试,对总线控制指令来源进行校验。 5.3操作系统安全要求 5.3.1操作系统安全配置 车载信息交互系统在其操作系统安全配置方面，应满足以下要

17、求： a)按照 6.3.1 a)进行测试,禁止 ROOT 用户直接登录，且限制用户提权操作； b)按照 6.3.1 b)进行测试,删除或禁用无用账号，并使用至少包括数字、大小写字母，长度不少 于 8 位的强复杂度的口令； c)按照 6.3.1 c)进行测试,具备访问控制机制，依据安全策略控制用户、进程等主体对文件、数 据库等客体进行访问； d)按照 6.3.1 d)进行测试,禁止不必要的服务（例如：FTP 服务等），按照 6.3.1 e)进行测试, 禁止非授权的远程接入服务。 5.3.2安全调用控制能力 5.3.2.1通信类功能受控机制 5.3.2.1.1拨打电话 具有拨打电话功能的车载信息交

18、互系统应满足以下要求： a)按照 6.3.2.1.1 a)进行测试,在用户确认后，调用拨打电话操作才能执行； b)按照 6.3.2.1.1 b)进行测试,向用户明示业务内容，且在用户确认后，调用拨打电话开通呼叫 转移业务操作才能执行。 注：紧急情况下，E-Call 等应急功能不限定于以上条款要求内。 5.3.2.1.2三方通话 具有三方通话功能的车载信息交互系统， 按照6.3.2.1.2进行测试,应在用户确认后， 调用三方通话 操作才能执行。 5.3.2.1.3发送短信 具有发送短信功能的车载信息交互系统， 按照6.3.2.1.3进行测试,应在用户确认后， 调用发送短信 操作才能执行。 5.3

19、.2.1.4发送彩信 具有发送彩信功能的车载信息交互系统， 按照6.3.2.1.4进行测试,应在用户确认后， 调用发送彩信 操作才能执行。 5.3.2.1.5发送邮件 GB/T XXXXXXXXX 6 具有发送邮件功能的车载信息交互系统， 按照6.3.2.1.5进行测试,应在用户确认后， 调用发送邮件 操作才能执行。 5.3.2.1.6移动通信网络连接 具有交互界面的车载信息交互系统，在移动通信网络连接时，应满足以下要求： a)按照 6.3.2.1.6 a)进行测试,提供开关以开启或关闭移动通信网络连接功能； b)按照 6.3.2.1.6 b)进行测试,向用户进行提示，且在用户确认后，调用移动

20、通信网络连接功能 的操作才能执行； c)按照 6.3.2.1.6 c)进行测试,向用户提供通过配置应用软件调用移动通信网络连接的功能； d)当移动通信网络处于已连接状态时，按照 6.3.2.1.6 d) 进行测试,应在交互界面上给用户相 应的状态提示； e)当正在传送数据时，按照 6.3.2.1.6 e) 进行测试,应在交互界面上给用户相应的状态提示； f)上述 d）和 e）中，按照 6.3.2.1.6 f) 进行测试,状态提示的方式应不同。 注：紧急情况下，E-Call 等应急功能不限定于以上条款要求内。 5.3.2.1.7WLAN 网络连接 具有交互界面的车载信息交互系统，在WLAN网络连

21、接时，应满足以下要求： a)按照 6.3.2.1.7 a) 进行测试,提供开关以开启或关闭 WLAN 网络连接功能； b)按照 6.3.2.1.7 b) 进行测试,向用户进行提示，且在用户确认后，调用 WLAN 网络连接功能的 操作才能执行； c)当 WLAN 网络处于已连接状态时，按照 6.3.2.1.7 c) 进行测试,应在交互界面上给用户相应的 状态提示； d)当正在传送数据时，按照 6.3.2.1.7 d) 进行测试,应在交互界面上给用户相应的状态提示； e)上述 c）和 d）中，按照 6.3.2.1.7 e) 进行测试,状态提示的方式应不同。 5.3.2.2本地敏感功能受控机制 5.

22、3.2.2.1定位功能 具有交互界面的车载信息交互系统，在调用定位功能时，要求如下： a)按照 6.3.2.2.1 a) 进行测试,在用户确认后，才能执行定位功能； b)按照 6.3.2.2.1 b) 进行测试,向用户提供后台定位控制功能以配置应用软件是否可调用定位 功能； c)上述 a）和 b）中，按照 6.3.2.2.1 c) 进行测试,应让用户分别操作。 d)当调用定位功能时，按照 6.3.2.2.1 d) 进行测试,宜在交互界面上给用户相应的状态提示。 5.3.2.2.2通话录音功能 具有交互界面的车载信息交互系统， 在调用通话录音功能时， 按照6.3.2.2.2进行测试,应在用户确

23、认后，才能执行通话录音功能。 5.3.2.2.3本地录音功能 具有交互界面的车载信息交互系统， 在调用本地录音功能时， 按照6.3.2.2.3进行测试,应在用户确 认后，才能执行本地录音功能。 GB/T XXXXXXXXX 7 5.3.2.2.4对用户数据的操作 处理用户数据时，按照6.3.2.2.4进行测试,操作系统应进行相应授权（例如：当应用软件需要调用 对电话本数据、通话记录、上网记录、短信数据、彩信数据的读或写操作时，操作系统应在应用软件授 权的情况下方可执行）。 5.3.3操作系统安全启动 车载信息交互系统应满足以下要求： a)按照 6.3.3 a)进行测试,操作系统的启动应始于一个

24、无法被修改的信任根； b)按照 6.3.3 b)进行测试,应在验证操作系统签名后， 才能从可信存储区域加载车载端操作系统， 防止加载被篡改的操作系统； c)在执行其它的安全启动代码前，按照 6.3.3 c)进行测试,应验证代码完整性。 5.3.4操作系统更新 车载信息交互系统要求如下： a)按照 6.3.4 a)进行测试,应具备系统镜像的防回退校验功能； b)当更新镜像安装失败时，按照 6.3.4 b)进行测试,应恢复到更新前的版本； c)按照 6.3.4 c)、d)进行测试,宜具有验证更新镜像完整性和来源可靠的安全机制。 5.3.5操作系统隔离 对预置功能平行的多操作系统，除必要的接口和数据

25、（例如：拨打电话等功能和电话本和短信等数 据）可共享外，按照6.3.5进行测试,不同操作系统之间不应进行通信。 5.3.6操作系统安全管理 车载信息交互系统要求如下： a)针对车机类智能操作系统，按照 6.3.6 a)进行测试,应对应用软件运行的实时环境进行监控， 对异常状况（例如：异常网络连接、内存占用突增等状况）进行告警； b)针对车机类智能操作系统，按照 6.3.6 b)进行测试,应具有清理内存、存储垃圾等功能； c)针对车机类智能操作系统，按照 6.3.6 c)进行测试,应支持审计功能； d)按照 6.3.6 d)进行测试,应具备重要事件（例如：关键配置变更、安全启动校验失败等事件）

26、的日志记录功能，并按照 6.3.6 e)进行测试,应能按照策略上传至服务器； e)按照 6.3.6 g)进行测试,应对日志文件进行安全存储； f)按照 6.3.6 f)进行测试,应采取访问控制机制，对日志读取写入的权限进行管理； g)按照 6.3.6 h)进行测试,应对开发者调试接口进行管控，禁止非授权访问； h)按照 6.3.6 i)进行测试,不应存在由权威漏洞平台公开发布 6 个月及以上且未经处置的高危安 全漏洞； i)按照 6.3.6 j)进行测试,宜具备识别、阻断应用软件以高敏感权限（例如：ROOT 权限、涉及非 业务内控车行为的权限等）运行的能力。 5.4应用软件安全要求 5.4.1

27、应用软件基础安全 车载信息交互系统上的应用软件应满足以下要求： a)按照 6.4.1 a)进行测试,从安全合规的应用商店下载和安装软件； GB/T XXXXXXXXX 8 b)按照 6.4.1 b)进行测试,不存在由权威漏洞平台公开发布 6 个月及以上且未经处置的高危安全 漏洞； c)按照 6.4.1 c)进行测试,不存在非授权收集或泄露个人敏感信息、 非授权数据外传等恶意行为； d)按照 6.4.1 d)进行测试,不以明文形式存储个人敏感信息； e)按照 6.4.1 e)进行测试,具备会话安全保护机制（例如：使用随机生成会话 ID 等机制）； f)按照 6.4.1 f)进行测试,使用至少包括

28、数字、大小写字母，长度不少于 8 位的强复杂度口令； g)按照 6.4.1 g)进行测试，符合密码学要求，不直接在代码中写入密钥；按照 6.4.1 h)进行测 试，使用已验证、安全的加密算法和参数；按照 6.4.1i)进行测试，同一个密钥不复用于不同 用途； h)按照 6.4.1 j)进行测试，使用到的随机数符合随机数相关标准(例如：GM/T 0005等)，保 证由已验证、安全的随机数生成器产生。 5.4.2应用软件代码安全 车载信息交互系统上的应用软件要求如下： a)按照 6.4.2 a)进行测试，应用软件的开发者使用第三方组件应识别其涉及公开漏洞库中已知 的漏洞并安装补丁； b)对于非托管

29、代码，按照 6.4.2 b)进行测试，应确保内存空间的安全分配、使用和释放； c)按照 6.4.2 c)进行测试，应用软件安装包应采用代码签名认证机制； d)按照 6.4.2 d)进行测试，发布后不应包含调试功能及调试信息； e)在非调试场景或调试模式下，按照 6.4.2 e)进行测试，应用软件日志不应包含调试输出； f)按照 6.4.2 f)进行测试，宜使用构建工具链提供的代码安全机制（例如：堆栈保护、自动引 用计数等）； g)按照 6.4.2 g)进行测试，宜使用安全机制（例如：混淆、加壳等），防止被逆向分析。 5.4.3应用软件访问控制 车载信息交互系统上的应用软件应满足以下要求： a)

30、按照 6.4.3 a)进行测试，支持权限管理并遵守最小授权原则，按照 6.4.3 b)进行测试，不同 的应用软件基于实现特定功能分配不同的接口权限； b)按照 6.4.3 c)进行测试，对外部输入的来源（例如：用户界面、URL 等来源）进行校验； c)身份校验时，按照 6.4.3 d)进行测试，应至少进行本地验证。 5.4.4应用软件运行安全 车载信息交互系统上的应用软件要求如下: a)按照 6.4.4 a)进行测试，关键应用软件（例如：与控制车辆、支付相关等）在启动时应执行 自检机制； b)当输入个人敏感信息时，按照 6.4.4 b)进行测试，应采取安全措施确保个人敏感信息不被其 他应用窃取

31、，并防止录屏（例如：使用安全软键盘等）； c)应用软件正常退出时，按照 6.4.4 c)进行测试，应擦除缓存文件中的个人敏感信息； d)按照 6.4.4 d)进行测试，应用软件进程间通信不宜明文传输个人敏感信息； e)按照 6.4.4 e)进行测试，不宜利用进程间通信提供敏感功能（涉及个人敏感信息的功能）的 接口。 5.4.5应用软件通信安全 GB/T XXXXXXXXX 9 车载信息交互系统上的应用软件应满足以下要求： a)对外传输个人敏感信息时，按照 6.4.5 a)进行测试，应采用数据加密传输方式； b)按照 6.4.5 b)进行测试，实现通信端之间的双向认证后，才能发送个人敏感信息；

32、c)按照 6.4.5 c)进行测试，使用已验证、安全的参数设置，按照 6.4.5 d)进行测试，只允许验 证通过 OEM 授信 CA 签发的证书。 5.4.6应用软件日志安全 车载信息交互系统上的应用软件应满足以下要求： a)按照 6.4.6 a)进行测试，采取访问控制机制管理日志读取和写入的权限； b)按照 6.4.6 b)进行测试，对日志文件进行安全存储； c)按照 6.4.6 c)进行测试，对个人敏感信息进行脱敏等防护后，才能写入应用日志。 5.5数据安全要求 5.5.1数据采集 车载信息交互系统要求如下： a)采集用户数据时，按照 6.5.1 a)进行测试，应告知用户采集目的和范围，取

33、得授权同意，并 提供关闭数据采集的功能； b)采集个人敏感信息时，按照 6.5.1 b)进行测试，应取得用户的明示同意，并确保个人信息主 体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的意愿表示； c)采集远程控制、远程诊断等功能场景下所发送的指令数据时，按照 6.5.1 c)进行测试，应取 得用户授权同意； d)按照 6.5.1 d)进行测试，宜在提供相应服务的同时进行用户数据采集。 5.5.2数据存储 车载信息交互系统要求如下： a)按照 6.5.2 a)进行测试，应采用加密等安全措施存储个人敏感信息，可采用硬件安全存储方 式； b)按照 6.5.2 b)进行测试，应实现安

34、全重要参数的安全存储和运算，可采用硬件防护方式； c)存储用户数据时，按照 6.5.2 c)进行测试，应防止非授权访问； d)按照 6.5.2 d)进行测试，应采用技术措施处理后再进行存储个人生物识别信息（例如：仅存 储个人生物识别信息的摘要等方式）； e)按照 6.5.2 e)进行测试，未经用户授权不应修改、删除用户数据； f)按照 6.5.2 f)进行测试，应对用户数据操作（包括采集，传输，存储，销毁）进行日志存储。 5.5.3数据传输 按照6.5.3进行测试，车载信息交互系统应采取管理措施和技术手段，保护所传输用户数据的保密 性、完整性和可用性。 5.5.4数据销毁 车载信息交互系统应满

35、足以下要求： a)按照 6.5.4 a)进行测试，应具备用户数据销毁的功能； GB/T XXXXXXXXX 10 b)对共享类应用（例如：共享汽车等应用场景），在当前用户退出后，按照 6.5.4 b)进行测试， 应清空个人敏感信息。 6测试方法 6.1硬件安全测试方法 硬件安全测试应按照下列流程及要求依次进行： a)检查是否有存在暴露在 PCB 板上的 JTAG 接口、USB 接口、UART 接口、SPI 接口等调试接口， 如存在则使用测试工具尝试获取调试权限； b)拆解被测样件设备外壳，取出 PCB 板，通过 5 倍率以上的光学放大镜，观察网关 PCB 板，检查 PCB 板硬件是否存在后门或

36、隐蔽接口； c)通过采用开盒观察方法，检查关键芯片管脚暴露情况，或审查相应文档，是否有减少暴露管脚 的考量； d)查看 PCB 布线及设计， 检查安全芯片之间通信线路是否做隐蔽处理， 检查敏感数据的通信线路 数量或审查相应文档，检查通信线路是否有做隐蔽处理与减少通信线路数量的考量； e)通过采用开盒观察方法， 检查车载信息交互系统的电路板及电路板上的芯片是否存在用以标注 芯片、端口和管脚功能的可读丝印。 6.2通信协议与接口安全测试方法 6.2.1对外通信协议安全测试方法 6.2.1.1通信连接安全测试方法 通信连接安全测试应按照下列流程及要求依次进行： a)采用网络数据抓包工具进行数据抓包，

37、 解析通信报文数据， 检查车辆端与平台服务端或外部终 端的通信有无身份认证； b)采用网络数据抓包工具进行数据抓包，解析通信报文数据，模拟中间人攻击方式，检查车辆端 与平台服务端或外部终端是否无法建立通信连接。 6.2.1.2通信传输安全测试方法 通信传输安全测试应按照下列要求进行： 采用网络数据抓包工具进行数据抓包， 解析通信报文数据， 检查车辆端与平台服务端或外部终端间 传输的数据内容是否经过加密。 6.2.1.3通信连接终止安全测试方法 通信连接终止安全测试应按照下列流程及要求依次进行： a)采用网络数据抓包工具进行数据抓包，解析通信报文数据，模拟伪造签名的报文数据，触发身份 鉴权失败，

38、检查车载信息交互系统是否终止该响应操作； b) 采用网络数据抓包工具进行数据抓包，解析通信报文数据，重发加密的数据，触发校验失败， 检查车载信息交互系统是否终止该响应操作。 6.2.1.4远程通信协议安全测试方法 6.2.1.4.1公有远程通信协议安全测试方法 GB/T XXXXXXXXX 11 公有远程通信协议安全测试应按照下列要求进行： 采用网络数据抓包工具进行数据抓包，解析通信报文数据，检查是否采用如TLS V1.2同等安全级别 或以上要求的安全通信层协议。 6.2.1.4.2私有远程通信协议安全测试方法 私有远程通信协议安全测试应按照下列流程及要求依次进行： a)对私有远程通信协议方案

39、进行审核， 采用网络数据抓包的方法进行数据抓包， 解析通信报文数据 中加密密钥衍生和更新策略，检查是否支持以安全方式进行定期更新； b)对私有远程通信协议方案进行审核， 采用网络数据抓包的方法进行数据抓包， 解析通信报文数据 中加密密钥存储策略，检查安全传输协议是否以安全的方式存储数据加密密钥。 6.2.1.5短距离通信协议安全测试方法 6.2.1.5.1短距离通信口令应用安全测试方法 短距离通信口令应用安全测试应按照下列流程及要求依次进行： a)使用暴力破解的方法，检查缺省口令的复杂度； b)通过对同一产品的多个样品验证缺省口令的方式，检查缺省口令是否具有唯一性； c)设置较低复杂度口令，检

40、查修改过程中是否给出明确的风险提示或不允许设置； d)对于人机接口或跨信任网络的不同车载信息交互系统之间接口的登录认证， 使用暴力破解的方 法，检查是否成功触发防暴力破解机制； e)通过尝试篡改口令文件，检查是否设置了访问控制。 6.2.1.5.2蓝牙通信协议安全测试方法 蓝牙通信协议安全测试应按照下列流程及要求依次进行： a)模拟遍历连接车载信息交互系统上的蓝牙设备，检查是否存在后门提供其他车辆服务； b)采用蓝牙抓包工具进行数据抓包，解析蓝牙通信数据，检查针对 Classic 场合，是否采用 SSP 模式或针对 LE 场合，是否采用 LE Secure Connection 模式； c)向

41、车载蓝牙设备发出配对请求，检查车载蓝牙设备是否对配对请求进行验证，若配对成功后， 检查是否对外部设备进行鉴权； d)利用未认证的外部设备，尝试进行控制车辆，检查是否成功接入； e)在利用蓝牙进行非接触控制车辆业务时， 采用蓝牙抓包工具进行数据抓包， 解析蓝牙通信数据， 检查是否对相关数据进行安全加密处理。 6.2.1.5.3WLAN 通信协议安全测试方法 WLAN通信协议安全测试应按照下列要求进行： 通过获取WLAN热点安全类型，检查WLAN热点是否采用WPA2-PSK或更高安全级别的加密认证方式。 6.2.2内通信协议的安全测试方法 内通信协议安全测试应按照下列要求进行： 采用车内网络报文抓包和解析的方法，检查车载信息交互系统通过CAN或车载以太网等总线与车内 其他控制器节点进行数据交互，传输重要数据时，是否使用安全机制保证传输数据的完整性及可用性。 6.2.3通信接口的安全测试方法 GB/T XXXXXXXXX 12 6.2.3.1 总体要求测