T∕TAF 061-2020 车载T-BOX信息安全技术要求和测试方法.pdf

ICS 33.050 M 30 电信终端产业协会 发布 车载 TBOX 信息安全技术要求和测试方法 Information Security Technical Requirement and Test Method on Telematics BOX 2020- 08-03 发布 2020- 08-03 实施 团体标准 T/TAF 061-2020 T/TAF 061-2020 I 目 次 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 总体说明 . 2 5 车载 TBOX 信息安全技术要求 . 2 5.1 硬件安全 . 2 5.2 操作系统安全 . 2 5.3 软件安全 . 3 5.4 数据安全 . 3 5.5 通信安全 . 3 6 车载 TBOX 信息安全测试方法 . 3 6.1 硬件安全 . 4 6.2 操作系统安全 . 5 6.3 软件安全 . 7 6.4 数据安全 . 8 6.5 通信安全 . 11 附录 A （资料性附录） 安全威胁和目标 . 12 参考文献 . 14 库七七 w w w .k q q w .c o m 提供下载T/TAF 061-2020 II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位：中国信息通信研究院，北京豆荚科技有限公司，北京百度网讯科技有限公司，高通无线通信技术(中国)有限公司，北京三星通信技术研究有限公司，北京奇虎科技有限公司。 本标准主要起草人：傅山，国炜，刘富洋，李显杰，王海棠，王江胜，杜志敏，吴月升，窦丽娟，吴春雨，宋戈，詹鹏翼。 库七七 w w w .k q q w .c o m 提供下载T/TAF 061-2020 III 引 言 TBOX作为车辆与云端平台实现互通的关键设备， 不仅能把采集到的车辆数据 （如新能源汽车的驱动电机数据、整车数据、电池数据、状态数据等等）发送给云平台，也能把云平台发送过来的控制指令转发给车辆。 TBOX作为汽车联网的关键部分，安全自然就成了最受关注的部分，同时TBOX对于车联网的普及，势必占据关键性的位置，因此TBOX能否真正发挥其价值，制定其信息安全标准尤显重要。 库七七 w w w .k q q w .c o m 提供下载T/TAF 061-2020 1 车载 TBOX 信息安全技术要求 1 范围 本标准规定了车载TBOX的信息安全技术要求，包括硬件安全、操作系统安全、软件安全、数据安全和通信安全。 本标准适用于TBOX的研制、生产、测试、评估与认证。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 35273-2017 信息安全技术 个人信息安全规范 GB/T 18336-2015 信息技术 安全技术 信息技术安全性评估准则 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069-2010、GB/T 35273-2017和GB/T 18336-2015界定的术语和定义适用于本文件。 3.1.1 车载终端 TBOX Telematics BOX 具备数据输入输出、数据存储、计算处理以及通信等功能，可采集车内相关ECU数据，可发送ECU控制指令，还可集成定位、热点等多种功能的车联网控制单元。 3.1.2 移动互联 mobile communication 采用无线通信技术将移动终端接入有线网络的过程。 3.1.3 CAN 总线 CAN bus CAN总线是ISO国际标准化的串行通信协议。 3.2 缩略语 CAN 控制器局域网络 Controller Area Network CNNVD 中国国家信息安全漏洞库 China National Vulnerability Database of Information Security API 应 用 程 序 编 程 接 口 Application CNVD 国家信息安全漏洞共享平台 China National Vulnerability Database ECU 电子控制单元 Electronic Control Unit 库七七 w w w .k q q w .c o m 提供下载T/TAF 061-2020 2 4 总体说明 车载TBOX，指安装在汽车上用于采集车身信息并进行控制跟踪的控制单元。TBOX具备硬件、操作系统和软件等，可能的软件有定位、导航、娱乐等。车载TBOX与主机通过CAN总线通信，实现对车辆状态信息、控制指令、远程诊断和按键状态信息等的传递；以数据链路的方式通过后台TSP系统与PC端网页或移动端App实现双向通信。当用户通过PC端或移动端发送控制指令后，后台会发出指令到车载TBOX，车辆在获取到控制命令后，通过CAN总线发送控制报文并实现对车辆的控制。 汽车车载网关TBOXMCU通信模块TSP平台CANCANTBOX移动端PC端TCP/IP 图1 TBOX结构与逻辑示意图 5 车载 TBOX 信息安全技术要求 5.1 硬件安全 硬件安全应满足如下要求： a) 具备防拆保护措施，包括但不限于开盖检测、拆机告警等方式； b) 设备如开放调试接口的应在上市前进行禁用或采用安全调试模式； c) 具备足够的安全机制保证密钥的产生、分发、存储和销毁过程的安全性； d) 关键加密算法实现应具备抵抗侧信道分析和故障注入分析等物理攻击的能力，防止根密钥被破解。 5.2 操作系统安全 操作系统安全应满足如下要求： IP 网络互联的协议 Internet protocol IVI 车载信息娱乐系统 In-Vehicle Infotainment MCU 微控制单元 Microcontroller Unit TBOX 车联网盒子 Telematics BOX TOE 评估对象 Target of Evaluation TSP 车联网服务平台 Telematics Service Provider T/TAF 061-2020 3 a) 应支持安全启动机制，对引导程序或固件等进行有效性验证，只有通过验证的才能执行； b) 升级过程应对升级文件进行签名校验和完整性校验，并制定完整有效的机制，确保升级失败后，操作系统能有效恢复至升级前的正常工作状态； c) 操作系统不应含有 CNVD 与 CNNVD6 个月前公布的高危漏洞； d) 支持对重要事件的日志记录功能，记录的内容至少包含事件主体、事件发生的时间、事件类型、事件是否成功等要素， 并能按照策略上传至服务器。 重要事件包括但不限于： 登录尝试、 文件的创建、打开或删除，权限设置等；应具有保证日志文件安全性的措施，防止非授权访问； e) 应定义并限制外围存储介质（如 U 盘、SD 卡等）上可读取和可执行的文件类型，避免来自外围储存介质的恶意攻击； f) 具备 CAN 总线控制器安全控制功能，将内网 CAN 总线和对外接口（如 USB、SD 等）隔离。 5.3 软件安全 如TBOX支持安装软件或配套软件，则软件安全应满足如下要求： a) 应采用签名认证机制，未经签名的应用软件仅当用户确认后才能执行下一步操作； b) 不应非授权收集、传输用户个人信息； c) 应具备代码混淆、加壳等安全措施，防止被逆向攻击； d) 应采取访问控制机制，防止对系统资源和其他软件的非授权访问； e) 应用软件不应含有 CNVD 与 CNNVD6 个月前公布的高危漏洞； f) 应具有记录应用状态及使用情况的日志功能，并支持上传和集中管理。 5.4 数据安全 数据安全应满足如下要求： a) 设备采集用户数据应对用户进行明确告知， 在用户授权后可继续下一步操作， 支持关闭数据采集的功能； b) 重要数据应加密存储，保证重要数据在存储过程中的完整性和保密性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据和个人信息等； c) 安全运行环境应提供可靠的时间戳服务； d) 安全运行环境应具备抵抗恶意代码访问受保护资源的能力， 受保护资源包括但不限于随机数源、 内存、缓冲区、中断资源； e) 数据的传输应进行完整性保护，防止数据被篡改和伪造； f) 具备彻底删除的能力，数据被删除后不可被恢复、重新使用或访问。 5.5 通信安全 通信安全应满足如下要求： a) 应具备对通信数据的消息校验和认证机制，防止攻击者伪造、篡改信息； b) 应采用控制策略避免大量集中地向 CAN 总线发送数据包，以避免造成总线拥塞和拒绝服务； c) 应明确定义与 CAN 总线的通信功能，且仅包含业务相关功能，不应使用透传功能。 6 车载 TBOX 信息安全测试方法 T/TAF 061-2020 4 6.1 硬件安全 测试编号 6.1.1 测试项目 主芯片具备防拆保护措施，包括但不限于开盖检测、拆机告警等方式 项目要求 见 5.1 a) 测试条件 TBOX 设备外观完好 测试步骤 步骤1：使用拆解工具对TBOX进行拆解； 步骤2：观察检查其是否出现报警、自毁等现象。 预期结果 在步骤 2 后，如果未出现报警、自毁等现象，该项目评测结果为“不符合要求” ，评测结束；否则，该项目评测结果为“未见异常” ，评测结束。 测试编号 6.1.2 测试项目 设备如开放调试接口的应在上市前进行禁用或采用安全调试模式 项目要求 见 5.1 b) 测试条件 车载 TBOX 处于正常工作状态 测试步骤 步骤1：使用串口/JTAG调试工具发送测试命令，测试所有调试接口和测试接口是否关闭； 步骤2：如存在开放接口，测试其是否采用安全调试模式。 预期结果 在步骤 2 后，如果调试接口和测试接口未关闭，且未采用安全调试模式，该项目评测结果为“不符合要求” ，评测结束；否则，该项目评测结果为“未见异常” ，评测结束。 测试编号 6.1.3 测试项目 具备足够的安全机制保证密钥的产生、分发、存储和销毁过程的安全性 项目要求 见 5.1 c) 测试条件 提供密钥管理的相关文档 测试步骤 步骤1：审查厂商提供的文档，判断密钥生成的安全性，检查根密钥的随机数熵值； 步骤2：检查密钥分发、存储和销毁的方式，评估密钥安全风险。 预期结果 在步骤 1 后，如果未随机数熵值不满足随机性要求，该项目评测结果为“不符合要求” ，评测结束；否则，评测继续； 在步骤 2 后，如果密钥分发、存储和销毁过程存在泄露风险，则项目评测结果为“不符合要求” ，评测结束；否则，该项目评测结果为“未见异常” ，评测结束。 测试编号 6.1.4 测试项目 关键加密算法应具备抵抗侧信道分析和故障注入分析等物理攻击的能力， 防止根密钥被破解 项目要求 见 5.1 d) T/TAF 061-2020 5 测试条件 提供加密方案实现的文档，提交供硬件物理攻击测试的电路板 测试步骤 步骤1：参考厂商提供的文档，使用工具对加密运算的过程进行侧信息收集或故障注入攻击； 步骤2：利用分析工具对测试电路板进行相应的密码安全性分析； 步骤3：得到密钥安全性分析的结果。 预期结果 在步骤 3 后，如果获得密钥，该项目评测结果为“不符合要求” ，评测结束；否则，该项目评测结果为“未见异常” ，评测结束。 6.2 操作系统安全 测试编号 6.2.1 测试项目 应支持安全启动机制，对引导程序或固件等进行有效性验证，只有通过验证的才能执行 项目要求 见 5.2 a) 测试条件 车载 TBOX 处于正常工作状态，提供引导程序或固件文件 测试步骤 步骤1：检测系统是否开启安全启动模式； 步骤2：使用无签名的固件进行烧写，测试是否能够正常启动； 步骤3：使用有签名的固件进行烧写，测试是否能够正常启动。 预期结果