基于公眾電信網的車載遠程通信終端網絡安全技術要求1范圍本文件規(guī)定了車載遠程通信終端的硬件安全要求、接口安全要求、操作系統(tǒng)安全要求求、漏洞管理安全要求、通信安全要求、OTA安全要求、數(shù)據安全要求等。本文件適用于各類需要接入公眾電信網進行遠程通信的車輛類型的車載遠程通信終端車載遠程通信終端vchiculartel位于車輛內部，用于該車輛通過遠程通信協(xié)議和其他車輛、行人、道路交通設施或遠程數(shù)據傳輸、存儲、處理與使用的終端設備面向公眾的電信回絡，通常指運營商網絡，如電信、聯(lián)通、移動、廣電網絡等。下列縮略語適用于本文件。App應用程序ApplicauionCAN控制器局域網絡ControllerCVE通用漏洞披露CommonVulnerabilifiesanCNNVE中國通用漏洞披露ChinaNationalVulnenabilityDatabECU電子控制單元HTTPS超文本傳輸安全協(xié)議HypertextTranHUK硬件唯一密鑰HardwareUniqueKeyIVI車載信息娛樂系統(tǒng)In-VehicleOBD車載診斷系統(tǒng)On-OTA空中下載技術Over-the-AirTechologyRoTPK可信根公鑰RootofTrustPublicKey2安全傳輸層協(xié)議汽車遠程服務提供商唯一識別碼Wi-Fi網絡安全接入TelematicsServicePr5系統(tǒng)架構基于公眾電信網的車載遠程通信終端網絡架構主要包括車內網絡、公眾電信網和TSP三部分，其網絡架構圖如圖1所示。圖1基于公眾電信網的車載遠程通信終端網絡架構車內網絡中，車載遠程通信終端與車輛主體通過車輛總線或以太網通信，IVI、OBD、ECU等系統(tǒng)均通過車載遠程通信終端與TSP進行通信，其中OBD、ECU通過CAN/以太網網關與車載遠程通信終端連接，實現(xiàn)對車輛狀態(tài)信息、控制指令、遠程診斷和按鍵狀態(tài)信息等的傳遞。用戶可以通過App來遠程控制汽車車身功能，通過IVI上的App來本地控制汽車車身功能。本文件的主要規(guī)范對象為車載遠程通信終端，其安全架構如圖2所示。圖2基于公眾電信網的車載遠程通信終端安全框架基于公眾電信網的車載遠程通信終端安全架構主要包括8個部分：硬件安全、操作系統(tǒng)安全、接口安全、應用安全、通信安全、OTA安全、漏洞管理、數(shù)據安全。本文件主要圍繞這8個部分提出相應安全技術要求。6安全技術要求6.1硬件安全車載遠程通信終端的硬件應滿足以下安全要求：a)板載芯片應提供可信根供終端使用，例如HUK、RoTPK、UID、BootROM等；b)應具有存儲和隔離敏感數(shù)據的安全區(qū)域或安全模塊；c)應防止非授權獲取或篡改在安全區(qū)域或安全模塊中一次性寫入的敏感信息；d)安全區(qū)域或安全模塊應具有檢測與處置非授權訪問的機制。6.2接口安全車載遠程通信終端的接口應滿足以下安全要求：a)在板載芯片中，不應存在可非法對芯片內存進行訪問或者更改芯片功能的隱蔽接口：b)應對板載芯片調試接口進行禁用或實施安全訪問控制：c)外部接口應無法直接訪問或導出重要數(shù)據。6.3操作系統(tǒng)安全6.3.1操作系統(tǒng)加固車載遠程通信終端的操作系統(tǒng)應滿足以下安全要求：a)應禁用或刪除無用賬號b)應具備口令安全機制，包括但不限于以下要求：-口令復雜度應滿足一定要求，例如最少應包括大寫字母、小寫字母、數(shù)字與特殊符號-如果操作系統(tǒng)支持口令重置，則應保證重置之后的口令不是統(tǒng)一的默認值；-在口令多次輸入錯誤之后應重新認證用戶身份，或對操作系統(tǒng)鎖定特定時長。c)應具有訪問控制機制，依據安全策略控制用戶、進程等主體對文件、數(shù)據庫等客體的訪問；d)應關閉不必要的服務。6.3.2操作系統(tǒng)安全啟動車載遠程通信終端的操作系統(tǒng)應滿足以下安全要求：a)操作系統(tǒng)應具備安全啟動機制，即操作系統(tǒng)的啟動應初始化于可信根，所有操作系統(tǒng)程序(包括Bootloader、firmwareimagc等)應直接或間接被可信根進行完整性與可靠性檢查之后才能啟b)應能夠驗證應用的來源和完整性，保證操作系統(tǒng)只加載啟動可信的應用程序。6.3.3操作系統(tǒng)更新車載遠程通信終端的操作系統(tǒng)應滿足以下安全要求：a)軟件更新時，應保證更新軟件包的來源可靠性，并對接收到的更新文件進行完整性校驗：b)不應允許操作系統(tǒng)版本降級更新：c)應具有備份和恢復能力，能夠在軟件更新失敗時進行必要的操作，比如回滾到更新之前的版本，避免更新失敗導致系統(tǒng)失效d)軟件更新應在約定的工況(例如。非行駛狀態(tài))和車輛系統(tǒng)狀態(tài)(例如：電瓶電量滿足要求)下，并在用戶確認后執(zhí)行。6.3.4操作系統(tǒng)日志審計車載遠程通信終端的操作系統(tǒng)應滿足以下安全要求a)應具有日志功能，記錄用戶操作、系統(tǒng)日志等信息：b)應支持日志上傳至遠程服務器的功能，并采取安全的方式傳輸：c)應采取訪問控制機制，對日志讀取寫入的權限進行管理；d)應對日志存儲進行安全防護車載遠程通信終端的應用應滿足以下安全要求；a)不應有非授權收集或泄露用戶信息、非法數(shù)據外傳等惡意行為；b)禁止以明文形式存儲用戶敏感信息(例如：用戶口令、證件號碼、交易信息、私鑰等):c)宜具有對抗逆向分析的安全機制：d應采用代碼簽名認證機制，且代碼簽名機制符合相關標準要求。6.5漏洞管理車載遠程通信終端的系統(tǒng)軟件和應用軟件，不應存在未公開的訪問接口，也不應存在漏洞共享平臺(CAVD)、國家信息安全漏洞共享平臺(CNVD)、中國國家信息安全漏洞庫 (CNNVD)、CVE、CNCVE等公開發(fā)布了6個月及以上未經處置的高危及以上安全漏洞。6.6通信安全車載遠程通信終端的訪問控制應滿足以下安全要求：a)應在創(chuàng)建遠程通信連接時對遠程設備與服務器進行身份認證：b)應對網絡通信的相關訪問操作和安全事件生成日志記錄c)應具備流量控制功能，用于過濾進入或傳輸總線網絡的數(shù)據，防止未經授權的實體向車輛總d)應具備入侵檢測功能，通過對外部連接或總線中數(shù)據流量等信息的監(jiān)控，及時發(fā)現(xiàn)通信網絡中是否有違反安全策略的行為。車載遠程通信終端應具備入侵檢測功能，通過對外部連接或總線中數(shù)據流量等信息的現(xiàn)通信網絡中是否有違反安全策略的行為。車載遠程通信終端的通信協(xié)議應滿足以下安全要求：a)應使用安全的通信協(xié)議，例如HTTPS、(D)TLSv1.2及以上版本等b)應采用加密、完整性檢查等安全措施保護關鍵通信數(shù)據的機密性、完整性：c)應具有安全存儲功能，將用于安全通信的密鑰等相關信息進行加密存儲；d)應能夠抵抗拒絕服務攻擊和重放攻擊車載遠程通信終端的通信接口應滿足以下安全要求：a)應支持路由隔離功能，將執(zhí)行控制車輛指令、收集用戶坡感信息等功能的核心業(yè)務平臺的通信進行隔離，同時將對外通信中非核心業(yè)務平臺的外網通信等進行隔離：b)與能執(zhí)行控制車輛指令、收集個人敏感信息等功能的核心業(yè)務平臺間通信時，宜采用專用網絡或虛擬專用網絡通信，與公網隔離：c)對于藍牙通信接口，應滿足以下要求：-應采取措施防止中間人攻擊；d)對于蜂窩通信接口，應滿足以下要求：-對3G及以上網絡，應具備雙向鑒權能力，防止偽基站攻擊，防止附著一個不可信的網絡；5-應采用WPA3及以上版本協(xié)議，保證接入安全和數(shù)據傳輸安全。若車載遠程通信終端支持OTA功能。則應滿足以下安全要求：a)系統(tǒng)升級時，車載遠程通信終端和遠程服務器之間應采用雙向認證：b)升級包的傳輸應采用加密措施：c)應對升級包進行驗證，校驗升級包的完整性和來源可靠性：d)應具有升級管理功能，包括：版本管理、版本備份等：e)應具備升級版本防回退校驗功能：f)當升級失敗時，應恢復到更新前可用的版本。6.8數(shù)據安全6.8.1數(shù)據采集車載遠程通信終端的數(shù)據采集應滿足以下安全要求：a)對用戶數(shù)據的采集應在提供相應服務的同時進行，數(shù)據采集類型和數(shù)量應遵循最小必要原則；b)采集模塊相關代碼(包括固件、驅動程序等)應具備完整性保護措施和來源可靠性驗證措施；c)采集模塊應實施訪問權限控制，防止采集的源數(shù)據被竊取、被破壞。6.8.2數(shù)據存儲車載遠程通信終端的數(shù)據存儲應滿足以下安全要求：a)用戶故感數(shù)據(例如：用戶身份、位置信息)應存儲在物理或軟件隔離的專用存儲區(qū)域，同時為保存數(shù)據的文件設置適當?shù)脑L問權限，或加密存儲在外置存儲器等通用存儲區(qū)域：b)應采用加密形式保存用戶生物特征數(shù)據：c)未向用戶明示或未經用戶同意禁止擅自存儲或修改用戶數(shù)據：d用戶數(shù)據存儲期限應為用戶授權使用的目的所必需的最短時間，法律法規(guī)另有規(guī)定或者用戶另行授權同意的除外。車載遠程通信終端的數(shù)據使用應滿足以下安全要求a)對用戶數(shù)據的訪問使用，應建立最小授權的訪問控制策略：b)需要展示的用戶數(shù)據，應進行去標識化處理。6.8.4數(shù)據傳輸車載遠程通信終端的數(shù)據傳輸應滿足以下安全要求a)應對用戶敏感數(shù)據(例如：用戶身份、位置信息)進行加密傳輸。b)用戶敏感數(shù)據(例如：用戶身份、位置信息)向車外傳輸時，應進行脫敏處理。6.8.5數(shù)據刪除車載遠程通信終端的數(shù)據刪除應滿足以下安全要求：a)應提供手段協(xié)助清除數(shù)據因不同設備間共享、業(yè)務終止、自然災害、合同終止等遺留的數(shù)據。對日志的留存期限應不少于六個月。6注：該要求來源于《工業(yè)和信息化部關于加強車聯(lián)網網絡號)。b)共享類應用(例如：共享汽車),在用戶退出后，該用戶的敏感數(shù)據應被清空：c)車載遠程通信終端更換件后，應同步相關用戶數(shù)據至新件，并刪除換下的舊件中存放的數(shù)據：d)應對不再使用的敏感數(shù)據進行不