ICS33.050

M30

團(tuán)體標(biāo)準(zhǔn)

T/TAF074-2020

移動(dòng)智能終端數(shù)字車鑰匙

信息安全技術(shù)要求

Informationsecuritytechnicalrequirementfor

digitalvehiclekeyinsmartmobiledevices

2020-11-26發(fā)布2020-11-26實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF074-2020

移動(dòng)智能終端數(shù)字車鑰匙信息安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于移動(dòng)互聯(lián)網(wǎng)的數(shù)字車鑰匙信息安全的技術(shù)要求，包括數(shù)字車鑰匙執(zhí)行環(huán)境、應(yīng)用

軟件、通信模塊和用戶隱私等。由于現(xiàn)有數(shù)字車鑰匙實(shí)現(xiàn)方案各異，因此本標(biāo)準(zhǔn)根據(jù)數(shù)字車鑰匙的不同

實(shí)現(xiàn)方案，提出了不同的信息安全技術(shù)要求。

本標(biāo)準(zhǔn)適用于各種制式的移動(dòng)智能終端中實(shí)現(xiàn)的數(shù)字車鑰匙功能。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T32915—2016信息安全技術(shù)二元序列隨機(jī)性檢測方法

YD/T2844.1-2015移動(dòng)終端可信環(huán)境技術(shù)要求第1部分：總體

YD/T2844.2-2015移動(dòng)終端可信環(huán)境技術(shù)要求第2部分：可信執(zhí)行環(huán)境

YD/T2844.3-2015移動(dòng)終端可信環(huán)境技術(shù)要求第3部分：安全存儲(chǔ)

YD/T2844.4-2015移動(dòng)終端可信環(huán)境技術(shù)要求第4部分：操作系統(tǒng)的安全保護(hù)

YD/T2844.5-2016移動(dòng)終端可信環(huán)境技術(shù)要求第5部分：與輸入輸出設(shè)備的安全交互

YD/T2407—2017移動(dòng)智能終端安全能力技術(shù)要求

TAF-WG4-AS0008-V1.0.0:2017移動(dòng)終端安全環(huán)境安全評(píng)估內(nèi)容和方法

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

3.1.1

移動(dòng)智能終端mobileintelligentterminal

能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟

件的移動(dòng)終端。

3.1.2

數(shù)字車鑰匙digitalkey

在用戶訪問車輛時(shí)用于身份認(rèn)證的數(shù)字憑證，可實(shí)現(xiàn)解鎖、上鎖車門，啟動(dòng)、關(guān)閉發(fā)動(dòng)機(jī)引擎等功

能。

3.1.3

1

T/TAF074-2020

鑰匙追蹤服務(wù)器keytrackingserver

由車輛企業(yè)管理，用于記錄數(shù)字車鑰匙狀態(tài)與儲(chǔ)存相關(guān)隱私信息。

3.1.4

安全單元secureelement

位于設(shè)備中的一種防篡改硬件安全部件，用于保證設(shè)備的安全性與機(jī)密性，安全單元具有多種形態(tài)，

包括eSE、inSE、SIM/UICC、智能卡、智能microSD卡等。

3.1.5

安全應(yīng)用applet

位于安全單元中實(shí)現(xiàn)相關(guān)安全功能的應(yīng)用。例如數(shù)字車鑰匙的SE實(shí)現(xiàn)中，數(shù)字車鑰匙的加密、簽名、

密鑰存儲(chǔ)等核心安全功能在一個(gè)安全應(yīng)用中實(shí)現(xiàn)。

3.2縮略語

下列縮略語適用于本文件。

CA代理應(yīng)用ClientApplication

DK數(shù)字車鑰匙DigitalKey

DoS拒絕服務(wù)攻擊DenialofService

ECU電子控制單元ElectronicControlUnit

HCE主機(jī)卡模擬Host-basedCardEmulation

KTS鑰匙追蹤服務(wù)器KeyTrackingServer

NFC近場通信NearFieldCommunication

OTA空中下載OverTheAir

REE非可信執(zhí)行環(huán)境RichExecutionEnvironment

RPMB重放保護(hù)內(nèi)存塊ReplayProtectedMemoryBlock

SE安全單元SecureElement

TA可信應(yīng)用TrustedApplication

TEE可信執(zhí)行環(huán)境TrustedExecutionEnvironment

TLS安全傳輸層協(xié)議TransportLayerSecurity

TUI可信用戶界面TrustedUserInterface

UWB超寬帶UltraWideBand

4技術(shù)架構(gòu)

4.1整體架構(gòu)

數(shù)字車鑰匙系統(tǒng)架構(gòu)如圖1所示，其中主要包括車輛、車輛服務(wù)器、終端設(shè)備、終端設(shè)備服務(wù)器、

移動(dòng)服務(wù)提供商五個(gè)組件。其中移動(dòng)服務(wù)提供商為非必須組件，可用于提供車隊(duì)管理、數(shù)據(jù)分析等第三

方服務(wù)。

2

T/TAF074-2020

終端設(shè)備服務(wù)器車輛服務(wù)器移動(dòng)服務(wù)提供商

TSP平臺(tái)第三方服務(wù)

Native應(yīng)用業(yè)務(wù)應(yīng)用

TSP通信模塊

UWBUWB密鑰管理模塊

數(shù)字車鑰匙執(zhí)行環(huán)境

（系統(tǒng)框架層）

鑒權(quán)控制模

BLEBLE

塊密鑰存儲(chǔ)模塊

（SE/HSM...）

NFCNFC

安全單元（SE）

數(shù)字車鑰匙安全應(yīng)用

鑰匙認(rèn)證鏈路鑰匙管理鏈路

圖1數(shù)字車鑰匙參考實(shí)現(xiàn)架構(gòu)圖

4.2車輛服務(wù)器

車輛服務(wù)器負(fù)責(zé)儲(chǔ)存數(shù)字車鑰匙用戶賬號(hào)信息，對(duì)用戶進(jìn)行身份識(shí)別與驗(yàn)證、遠(yuǎn)程下發(fā)失效用戶或

設(shè)備信息到車輛端、管理數(shù)字車鑰匙的開通、使用、分享與撤銷等業(yè)務(wù)功能。

4.3車輛

車輛負(fù)責(zé)與車輛服務(wù)器交互，對(duì)終端設(shè)備進(jìn)行身份驗(yàn)證等功能。

4.4終端設(shè)備服務(wù)器

終端設(shè)備服務(wù)器負(fù)責(zé)對(duì)移動(dòng)智能終端內(nèi)數(shù)字車鑰匙生命周期進(jìn)行管理，更新終端設(shè)備中相關(guān)證書，

在終端設(shè)備丟失時(shí)暫停、恢復(fù)、擦除鑰匙等功能。

4.5終端設(shè)備

4.5.1概述

終端設(shè)備中包括數(shù)字車鑰匙應(yīng)用軟件、數(shù)字車鑰匙執(zhí)行環(huán)境與通信模塊，共同構(gòu)建數(shù)字車鑰匙基本

功能。通過使用終端設(shè)備中的數(shù)字車鑰匙，可以實(shí)現(xiàn)解鎖與上鎖車門、啟動(dòng)與停止車輛發(fā)動(dòng)機(jī)、開關(guān)后

備箱功能的功能。

4.5.2數(shù)字車鑰匙執(zhí)行環(huán)境

概述

數(shù)字車鑰匙執(zhí)行環(huán)境位于終端設(shè)備中，向用戶提供數(shù)字車鑰匙的基本功能，包括車輛與鑰匙的配對(duì)、

車輛開門、啟動(dòng)車輛引擎、鑰匙分享等。

數(shù)字車鑰匙執(zhí)行環(huán)境可使用多種方式實(shí)現(xiàn)，包括使用TEE、SE等實(shí)現(xiàn)方式。不同實(shí)現(xiàn)方式的基本架

構(gòu)與安全要求有所差異，在本標(biāo)準(zhǔn)中分別敘述。

3

T/TAF074-2020

現(xiàn)有數(shù)字車鑰匙執(zhí)行環(huán)境實(shí)現(xiàn)方式包括REE實(shí)現(xiàn)，TEE實(shí)現(xiàn)，SE實(shí)現(xiàn)三種，三種實(shí)現(xiàn)方式安全級(jí)別依

次遞增。

數(shù)字車鑰匙執(zhí)行環(huán)境宜具備監(jiān)測移動(dòng)智能終端設(shè)備移動(dòng)網(wǎng)絡(luò)狀態(tài)的功能，支持在設(shè)備長期不連網(wǎng)的

情況下禁用數(shù)字車鑰匙的功能。

REE實(shí)現(xiàn)

該實(shí)現(xiàn)方式未使用TEE、SE及其他相關(guān)功能，僅通過終端設(shè)備操作系統(tǒng)之上的數(shù)字車鑰匙應(yīng)用軟件

實(shí)現(xiàn)相關(guān)功能。

該實(shí)現(xiàn)方式安全級(jí)別較低，無法以較高級(jí)別保證數(shù)字車鑰匙的安全性，可能產(chǎn)生車輛被盜取或非法

控制、用戶隱私泄露等嚴(yán)重安全風(fēng)險(xiǎn)。

該實(shí)現(xiàn)方式的基本架構(gòu)如圖2所示。

終端設(shè)備服務(wù)器

終端設(shè)備

數(shù)字車鑰匙應(yīng)用軟件

數(shù)字車鑰匙

通信

執(zhí)行環(huán)境車輛

模塊

圖2數(shù)字車鑰匙執(zhí)行環(huán)境應(yīng)用軟件實(shí)現(xiàn)架構(gòu)圖

TEE實(shí)現(xiàn)

.1基本架構(gòu)

該實(shí)現(xiàn)方式使用TEE相關(guān)功能保證數(shù)字車鑰匙的安全性。

該實(shí)現(xiàn)方式的基本架構(gòu)如圖3所示。

4

T/TAF074-2020

終端設(shè)備服務(wù)器

終端設(shè)備

數(shù)字車鑰匙

應(yīng)用軟件

非可信執(zhí)行環(huán)境（REE）

數(shù)字車鑰匙CA

ClientAPI

通信

車輛

模塊

數(shù)字車鑰匙TA

可信執(zhí)行環(huán)境（TEE）

數(shù)字車鑰匙執(zhí)行環(huán)境

圖3數(shù)字車鑰匙執(zhí)行環(huán)境TEE實(shí)現(xiàn)架構(gòu)圖

.2可信執(zhí)行環(huán)境（TEE）

可信執(zhí)行環(huán)境是存在于移動(dòng)終端設(shè)備內(nèi)，與REE相分離的安全區(qū)域，具體實(shí)現(xiàn)可以是主處理器的一

種安全模式，也可以是與主處理器相隔離的協(xié)處理器?？尚艌?zhí)行環(huán)境可提供基本的安全功能，包括安全

存儲(chǔ)、安全啟動(dòng)、隔離機(jī)制等。

.3數(shù)字車鑰匙TA

數(shù)字車鑰匙TA為在TEE中執(zhí)行的應(yīng)用程序，TA可以調(diào)用TEE提供的安全接口，包括創(chuàng)建安全存儲(chǔ)對(duì)象、

生成隨機(jī)數(shù)等。

.4非可信執(zhí)行環(huán)境（REE）

非可信執(zhí)行環(huán)境是存在于移動(dòng)終端設(shè)備內(nèi)，與TEE相分離的非安全區(qū)域。

5

T/TAF074-2020

.5數(shù)字車鑰匙CA

數(shù)字車鑰匙CA為代理應(yīng)用程序，可在REE中執(zhí)行。數(shù)字車鑰匙的上層功能可在CA中實(shí)現(xiàn)，包括車輛

配對(duì)、鑰匙分享等。CA可以通過調(diào)用ClientAPI執(zhí)行TEE中的TA，實(shí)現(xiàn)TEE提供的基本安全功能。

SE實(shí)現(xiàn)

.1基本架構(gòu)

該實(shí)現(xiàn)方式適用于終端設(shè)備有SE的情況，使用SE與TEE分別實(shí)現(xiàn)核心安全功能與附加安全功能，以

保證數(shù)字車鑰匙的安全性。該方式將數(shù)字車鑰匙的加密、簽名、密鑰存儲(chǔ)等核心安全功能在位于SE的數(shù)

字車鑰匙安全應(yīng)用中實(shí)現(xiàn)，并使用安全通道與車輛通信；將數(shù)字車鑰匙的TUI、免密認(rèn)證機(jī)制等附加安

全功能在TEE中實(shí)現(xiàn)。

該實(shí)現(xiàn)方式的基本架構(gòu)如圖4所示。

終端設(shè)備服務(wù)器

終端設(shè)備

數(shù)字車鑰匙

應(yīng)用軟件

可信執(zhí)行環(huán)境

通信

車輛

模塊

數(shù)字車鑰匙安全應(yīng)用

安全單元（SE）

數(shù)字車鑰匙執(zhí)行環(huán)境

圖4數(shù)字車鑰匙執(zhí)行環(huán)境SE實(shí)現(xiàn)架構(gòu)圖

.2可信執(zhí)行環(huán)境

6

T/TAF074-2020

可信執(zhí)行環(huán)境中實(shí)現(xiàn)車鑰匙非核心安全功能，包括TUI、免密認(rèn)證機(jī)制（人臉識(shí)別、指紋識(shí)別、聲

紋識(shí)別、虹膜識(shí)別）、安全外設(shè)等。

.3安全單元

位于SE的安全應(yīng)用中實(shí)現(xiàn)車鑰匙核心安全功能，安全單元向安全應(yīng)用提供安全函數(shù)調(diào)用接口，包括

安全存儲(chǔ)、安全啟動(dòng)、硬件加密、安全通道等。

.4數(shù)字車鑰匙安全應(yīng)用

數(shù)字車鑰匙安全應(yīng)用用于實(shí)現(xiàn)鑰匙相關(guān)功能。所有車輛企業(yè)的數(shù)字車鑰匙核心代碼與數(shù)據(jù)預(yù)置在一

個(gè)數(shù)字車鑰匙安全應(yīng)用中，包括密鑰、防盜器令牌等。數(shù)字車鑰匙安全應(yīng)用使用SE相關(guān)功能創(chuàng)建安全通

道并通過通信模塊與車輛通信，通過終端設(shè)備中的數(shù)字車鑰匙系統(tǒng)服務(wù)與終端設(shè)備服務(wù)器進(jìn)行通信。

4.5.3數(shù)字車鑰匙應(yīng)用軟件

數(shù)字車鑰匙應(yīng)用軟件位于終端設(shè)備中，根據(jù)數(shù)字車鑰匙執(zhí)行環(huán)境的不同實(shí)現(xiàn)方式，具備不同的功能。

在使用應(yīng)用軟件實(shí)現(xiàn)方式時(shí)，數(shù)字車鑰匙應(yīng)用軟件具備數(shù)字車鑰匙的所有功能；而在使用其他兩種方式

實(shí)現(xiàn)時(shí)，數(shù)字車鑰匙應(yīng)用軟件僅具備相關(guān)非安全功能，包括提供用戶交互界面、展示車鑰匙配對(duì)狀態(tài)等。

4.5.4通信模塊

通信模塊位于終端設(shè)備中，提供數(shù)字車鑰匙執(zhí)行環(huán)境與車輛的通信服務(wù)。通信模塊可提供NFC、藍(lán)

牙、UWB等通信方式，其安全需求有所差異。

5安全威脅和安全目標(biāo)

5.1數(shù)字車鑰匙應(yīng)用軟件

數(shù)字車鑰匙應(yīng)用軟件安全威脅包括應(yīng)用軟件受到篡改、逆向、動(dòng)態(tài)調(diào)試等，泄露敏感數(shù)據(jù)或造成數(shù)

字車鑰匙功能失效。

數(shù)字車鑰匙應(yīng)用軟件安全目標(biāo)包括保護(hù)敏感數(shù)據(jù)與保障功能有效性。

5.2數(shù)字車鑰匙執(zhí)行環(huán)境

5.2.1鑰匙數(shù)據(jù)

密鑰

密鑰安全威脅包括泄露、篡改與非法訪問根密鑰及其衍生密鑰。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括提供可以抗側(cè)信道攻擊、錯(cuò)誤注入攻擊等物理攻擊的安全密碼算

法。

隨機(jī)數(shù)發(fā)生器

隨機(jī)數(shù)發(fā)生器安全威脅包括外部條件干擾隨機(jī)數(shù)發(fā)生器，導(dǎo)致其產(chǎn)生不可靠密鑰。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括保證隨機(jī)數(shù)發(fā)生器的可靠性。

數(shù)字車鑰匙證書

7

T/TAF074-2020

數(shù)字車鑰匙證書安全威脅包括泄露、篡改與非法訪問證書。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括保證證書的機(jī)密性、完整性。

數(shù)字車鑰匙用戶數(shù)據(jù)

數(shù)字車鑰匙用戶數(shù)據(jù)安全威脅包括泄露、篡改與非法訪問數(shù)字車鑰匙中用戶數(shù)據(jù)。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括保證數(shù)字車鑰匙用戶數(shù)據(jù)機(jī)密性、完整性。

5.2.2鑰匙代碼

鑰匙代碼安全威脅包括惡意代碼植入、代碼非法訪問等。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括保證鑰匙代碼的機(jī)密性、完整性。

5.2.3鑰匙系統(tǒng)功能

鑰匙系統(tǒng)功能安全威脅主要包括以下幾點(diǎn)：

1)非法用戶使用數(shù)字車鑰匙，導(dǎo)致非法使用車輛。

1)阻礙刪除終端設(shè)備中數(shù)字車鑰匙數(shù)據(jù)的過程，導(dǎo)致非法使用數(shù)字車鑰匙功能。

2)終端設(shè)備中并存多個(gè)車輛企業(yè)的數(shù)字車鑰匙時(shí)，不安全的隔離機(jī)制可能產(chǎn)生安全風(fēng)險(xiǎn)。

數(shù)字車鑰匙執(zhí)行環(huán)境安全目標(biāo)包括保證用戶使用鑰匙功能時(shí)具備用戶身份認(rèn)證（authentication）

機(jī)制、已刪除鑰匙防恢復(fù)機(jī)制、鑰匙遷移時(shí)不泄露隱私信息、終端設(shè)備中存在多個(gè)鑰匙數(shù)據(jù)的安全隔離

機(jī)制。

5.3通信模塊

通信模塊安全威脅包括針對(duì)NFC、藍(lán)牙等通信協(xié)議，進(jìn)行協(xié)議降級(jí)、中間人攻擊、中繼攻擊、嗅探

攻擊等，影響數(shù)字車鑰匙系統(tǒng)的安全性。

通信模塊安全目標(biāo)包括防止協(xié)議降級(jí)、中間人攻擊、中繼攻擊、重放攻擊、嗅探攻擊等。

6安全技術(shù)要求

6.1數(shù)字車鑰匙應(yīng)用軟件

6.1.1應(yīng)用安全加固

數(shù)字車鑰匙應(yīng)用軟件應(yīng)進(jìn)行安全加固，具備防篡改、防逆向、防動(dòng)態(tài)調(diào)試等能力。

6.2數(shù)字車鑰匙執(zhí)行環(huán)境

6.2.1基本安全要求

終端安全能力

移動(dòng)智能終端宜被ROOT后無法使用數(shù)字車鑰匙相關(guān)功能。

移動(dòng)智能終端應(yīng)在數(shù)字車鑰匙應(yīng)用運(yùn)行前對(duì)其完整性進(jìn)行校驗(yàn)。

創(chuàng)建驗(yàn)證

在從移動(dòng)智能終端側(cè)創(chuàng)建新的數(shù)字車鑰匙時(shí)，應(yīng)對(duì)用戶進(jìn)行身份認(rèn)證。

8

T/TAF074-2020

分享驗(yàn)證

在從移動(dòng)智能終端側(cè)使用鑰匙分享功能向好友設(shè)備分享鑰匙時(shí)，應(yīng)對(duì)用戶進(jìn)行身份認(rèn)證。

分組密碼算法

數(shù)字車鑰匙應(yīng)使用安全分組密碼算法，強(qiáng)度不應(yīng)低于SM4-128、AES-128，加密模式宜采用GCM、CTR、

CBC模式。

公鑰密碼算法

數(shù)字車鑰匙應(yīng)使用安全公鑰密碼算法與簽名算法，強(qiáng)度不應(yīng)低于SM2-256、ECC-256、RSA-2048、

ECDSA-256。

密鑰協(xié)商算法

數(shù)字車鑰匙系統(tǒng)應(yīng)使用安全密鑰協(xié)商算法，強(qiáng)度應(yīng)基于中所敘述的安全公鑰密碼算法實(shí)現(xiàn)。

哈希函數(shù)

數(shù)字車鑰匙應(yīng)使用安全哈希函數(shù)，強(qiáng)度不應(yīng)低于SM3-256、SHA-256。

TLS

數(shù)字車鑰匙應(yīng)使用TLS1.2及以上版本或同等強(qiáng)度TLS協(xié)議。

密鑰安全性

數(shù)字車鑰匙應(yīng)保證密鑰在生成、存儲(chǔ)、使用與刪除時(shí)的完整性與機(jī)密性。

0防復(fù)制

數(shù)字車鑰匙應(yīng)保證鑰匙功能與移動(dòng)智能終端設(shè)備的綁定，保證鑰匙數(shù)據(jù)非法復(fù)制到其他設(shè)備之后，

無法使用數(shù)字車鑰匙相關(guān)功能。

1安全環(huán)境

數(shù)字車鑰匙應(yīng)保證密鑰和業(yè)務(wù)核心數(shù)據(jù)在生成、存儲(chǔ)、使用、刪除與更新時(shí)的完整性與機(jī)密性，還

應(yīng)保證對(duì)密鑰和業(yè)務(wù)核心數(shù)據(jù)的相關(guān)操作過程不可重放。

移動(dòng)智能終端應(yīng)具備安全環(huán)境以實(shí)現(xiàn)安全啟動(dòng)、安全存儲(chǔ)、隔離機(jī)制等功能，安全環(huán)境包括TEE、

HSM或SE。

6.2.2REE實(shí)現(xiàn)增強(qiáng)要求

白盒密碼算法庫

數(shù)字車鑰匙執(zhí)行環(huán)境應(yīng)具備白盒密碼算法庫，所支持的密碼算法包括但不限于AES。

白盒密碼算法調(diào)用

數(shù)字車鑰匙工作過程對(duì)數(shù)據(jù)進(jìn)行加解密時(shí)，應(yīng)調(diào)用執(zhí)行環(huán)境提供的白盒密碼算法庫。

6.2.3TEE實(shí)現(xiàn)增強(qiáng)要求

TEE可信用戶界面

9

T/TAF074-2020

數(shù)字車鑰匙應(yīng)使用TEE的TUI功能向移動(dòng)智能終端提供可信用戶界面，包括安全顯示與安全輸入機(jī)

制。

TEE安全存儲(chǔ)

數(shù)字車鑰匙TEE應(yīng)具備安全存儲(chǔ)機(jī)制，包括內(nèi)容加密、防篡改、防回滾。

TEE數(shù)據(jù)清除

數(shù)字車鑰匙TEE應(yīng)保證在清除敏感信息時(shí)，內(nèi)存中的相應(yīng)數(shù)據(jù)被有效清除且不可恢復(fù)。

TEE隨機(jī)數(shù)發(fā)生器

數(shù)字車鑰匙TEE應(yīng)具備隨機(jī)數(shù)發(fā)生器，鑰匙TA、鑰匙CA應(yīng)使用的TEE提供的隨機(jī)數(shù)生成器生成隨機(jī)數(shù)。

TA代碼完整性

數(shù)字車鑰匙TA代碼在被加載時(shí)應(yīng)保證代碼的完整性。

TA安全隔離

數(shù)字車鑰匙TEE應(yīng)具備隔離機(jī)制，保證鑰匙TA的數(shù)據(jù)與代碼無法被REE與其他TA非法訪問與篡改。

TA安全存儲(chǔ)

數(shù)字車鑰匙TA應(yīng)保證存儲(chǔ)證書、密鑰等核心敏感數(shù)據(jù)時(shí)的完整性與機(jī)密性。

TA密碼算法

數(shù)字車鑰匙TA應(yīng)使用TEE中提供的安全分組密碼算法、安全公鑰密碼算法與安全哈希函數(shù)。

6.2.4SE實(shí)現(xiàn)增強(qiáng)要求

SE密碼算法

SE應(yīng)提供可以抗側(cè)信道攻擊、錯(cuò)誤注入攻擊等物理攻擊的硬件加密模塊，密碼算法包括但不限于

AES、RSA。

SE數(shù)據(jù)清除

數(shù)字車鑰匙所使用的SE應(yīng)保證在清除敏感信息時(shí)，內(nèi)存中的相應(yīng)數(shù)據(jù)被有效清除且不可恢復(fù)。

SE防篡改檢測

數(shù)字車鑰匙所使用的SE應(yīng)具備檢測固件與安全應(yīng)用是否被惡意篡改的功能。若檢測到被篡改，則SE

應(yīng)終止安全應(yīng)用的相關(guān)操作。

SE隔離機(jī)制

數(shù)字車鑰匙所使用的SE應(yīng)具備有效的隔離機(jī)制保證安全應(yīng)用之間相互隔離。

SE隨機(jī)數(shù)發(fā)生器

數(shù)字車鑰匙所使用的SE應(yīng)提供滿足GB/T32915或NISTSP800-22要求的隨機(jī)數(shù)發(fā)生器。

安全應(yīng)用密碼算法

10

T/TAF074-2020

數(shù)字車鑰匙安全應(yīng)用執(zhí)行加/解密、簽名/驗(yàn)簽操作時(shí)，應(yīng)使用SE硬件加密模塊中的安全算法。

安全應(yīng)用敏感數(shù)據(jù)安全

數(shù)字車鑰匙安全應(yīng)用應(yīng)使用SE的相關(guān)安全機(jī)制，保證數(shù)字車鑰匙中的所有證書、密鑰等核心敏感數(shù)

據(jù)在生成、存儲(chǔ)、使用和刪除過程中的完整性和機(jī)密性。

安全應(yīng)用隨機(jī)數(shù)

數(shù)字車鑰匙安全應(yīng)用內(nèi)部生成的所有隨機(jī)數(shù)應(yīng)使用SE中的隨機(jī)數(shù)發(fā)生器生成。

6.3通信模塊

6.3.1通信協(xié)議加密

數(shù)字車鑰匙與車輛通信時(shí)，應(yīng)對(duì)通信數(shù)據(jù)進(jìn)行完整性和機(jī)密性保護(hù)。

若數(shù)字車鑰匙執(zhí)行環(huán)境使用TEE/SE實(shí)現(xiàn)，則應(yīng)使用TEE/SE中的加解密模塊、隨機(jī)數(shù)發(fā)生器等相關(guān)安

全機(jī)制實(shí)現(xiàn)該項(xiàng)安全要求。

6.3.2雙向認(rèn)證

數(shù)字車鑰匙與車輛建立通信信道時(shí)，應(yīng)具備雙向認(rèn)證機(jī)制，保證通信雙方身份的真實(shí)性。

6.3.3通信協(xié)議抗攻擊

數(shù)字車鑰匙與車輛通信時(shí)所使用的通信協(xié)議應(yīng)具備抵抗協(xié)議降級(jí)、中間人攻擊、重放攻擊、嗅探攻

擊的能力。

6.3.4抗中繼攻擊

數(shù)字車鑰匙與車輛通信時(shí)，宜具備緩和中繼攻擊的保護(hù)能力。

6.3.5藍(lán)牙通信安全

應(yīng)使用強(qiáng)加密算法，配置加密密鑰時(shí)建議選擇允許的最大長度，并定期進(jìn)行更換；

應(yīng)使用具備防中間人攻擊、防竊聽、防重放的安全配對(duì)模式進(jìn)行設(shè)備配對(duì)，且應(yīng)在每次的配對(duì)中使

用隨機(jī)密鑰。

7安全能力分級(jí)

本標(biāo)準(zhǔn)依據(jù)移動(dòng)智能終端數(shù)字車鑰匙的實(shí)現(xiàn)方式與安全功能要求的差異，將安全能力級(jí)別劃分為三

級(jí)，其中一級(jí)、二級(jí)與三級(jí)安全能力依次遞增，目前最高安全級(jí)別為三級(jí)。

具體安全能力分級(jí)詳見表1。

表1移動(dòng)智能終端數(shù)字車鑰匙安全能力分級(jí)表

安全能力分級(jí)

安全能力

一級(jí)二級(jí)三級(jí)

1.應(yīng)用安全加固√√√

2.終端安全能力√√√

3.創(chuàng)建驗(yàn)證√√√

11

T/TAF074-2020

安全能力分級(jí)

安全能力

一級(jí)二級(jí)三級(jí)

4.分享驗(yàn)證√√√

5.分組密碼算法√√√

6.公鑰密碼算法√√√

7.密鑰協(xié)商算法√√√

8.哈希函數(shù)√√√

9.TLS√√√

10.密鑰安全性√√√

11.防復(fù)制√√√

12.安全環(huán)境√√√

13.白盒密碼算法庫√

14.白盒密碼算法調(diào)用√

15.TEE可信用戶界面√

16.TEE安全存儲(chǔ)√

17.TEE數(shù)據(jù)清除√

18.TEE隨機(jī)數(shù)發(fā)生器√

19.TA代碼完整性√

20.TA安全隔離√

21.TA安全存儲(chǔ)√

22.TA密碼算法√

23.SE密碼算法√

24.SE數(shù)據(jù)清除√

25.SE防篡改檢測√

26.SE隔離機(jī)制√

27.SE隨機(jī)數(shù)發(fā)生器√

28.安全應(yīng)用密碼算法