1 标准编制任务来源
《智能网联汽车车载端信息安全技术要求》由中国智能网联汽车产业创新联盟和中国汽车工程学会汽车信息安全工作委员会联合组织,北京航空航天大学、中国信息通信研究院牵头,并在中国汽车技术研究中心、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、惠州市德赛西威汽车电子股份有限公司等多家单位的参与下完成。
2 标准编制的背景及意义
随着汽车保有量的持续增长,由汽车所引起的道路安全、交通拥堵、能源短缺及环境污染等系列问题日益严峻。截至2017年底,我国汽车产销2901.54万辆和2887.89万辆,同比增长3.19%和3.04%,再创全球历史新高,汽车保有量达到2.17亿辆左右,与此同时,交通事故死亡人数连续多年位居世界前列,每年直接经济损失达10亿元,远超欧美发达国家。为此,未来汽车产业乃至交通行业需着眼于优先发展安全、节能、环保的交通出行方式。
当前业界普遍认为低碳化、信息化、智能化是未来汽车技术的发展方向,借助于移动互联网、大数据和云计算等新一代信息技术的革命性突破,智能网联汽车将为汽车产业有效解决安全、拥堵、能源和环保问题
提供全新可能。据美国波士顿咨询集团预测,智能网联汽车从2018年迎来持续二十年的高速发展,到2035年将占据全球25%左右的新车市场,产业规模预计可超过3000亿元;麦肯锡在报告《展望2025,决定未来经济的12大颠覆技术》中预测,自动驾驶汽车在2025年将创造1.9万亿美元的产值,排在下一代基因组学、3D打印等之前,处于第六位。
除汽车产业外,智能网联汽车还将涵盖新型智能基础设施、未来移动通信等重大产业领域,是跨行业跨领域的综合性产业发展新方向;由于其技术综合性强、产业覆盖面广,为引导产业发展,亟须在标准法规层面启动顶层设计,以便智能网联汽车各板块协同发展、共同推进。
随着智能网联汽车成为可实时通信的移动信息载体,车辆运行信息涵盖车辆运行状况、驾驶习惯、使用情况、地理位置信息、移动网络特征等。这些海量数据在大数据技术的深度挖掘下,可能会泄露诸如国家地理信息、路网分布、加油站分布、道路流量、区域气象甚至移动运营商网络分布和无线电特征等关系到公众隐私和国家信息安全的重要信息。这些数据如果被不法分子或获取和利用,有可能成为社会隐患甚至上升为国家安全问题。同时,信息安全对我国智能网联汽车核心关键技术提出严峻挑战,也将带来新的发展机遇。
基于智能网联汽车“端-管-云”的信息安全体系架构,因车内CAN总线网络防护困难、新型总线结构尚未成型;并且车载端信息是车内总线网络的门户,是车联网云平台的数据源头,车载端相比车内网络信息安
全防护具备更丰富的计算资源;而目前黑客攻击热点集中在车载端信息进出车辆的过程当中,因此开展智能网联汽车车载端信息安全标准研究成为了当务之急。
3 标准编制的指导原则
3.1 适用性
本标准规定了智能网联汽车车载端的术语及定义,车载端安全架构和目标,以及安全架构内各部分的信息安全技术要求等内容。由于智能网联汽车的持续快速发展,本技术要求在不限定车载端具体产品结构的前提下,统一车载端安全防护中存在的各方面威胁,提出信息安全技术要求,适用于整车、零部件企业的智能网联汽车相关产品开发过程。
3.2 科学性
在本技术要求的编制过程中阅读了大量国内外相关文献资料,归纳总结了国内外现有汽车车载端产品设计方法,并结合目前国内汽车产品研发、拥有软硬件资源以及信息安全技术队伍的实际情况,以及子课题研究和技术转移经验积累编制的,制定了符合中国国情的车载端信息安全技术要求,具有缜密的科学性。
3.3 可操作性
在本技术要求的编制过程中,尽可能考虑企业车载端产品设计开发的实际情况,以及技术人员的研发能力和水平,采用物理信息通信等技术方向分类、安全分级的论述方法,保证本技术要求具有良好的可操作性和实用性。
4 标准编制过程
1、该任务于2017年1月在北京航空航天大学启动,包括北京航空航天大学、中国信息通信研究院、中国汽车工程学会、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、北京洋浦伟业科技发展有限公司等单位参加了启动会,正式成立了标准起草工作组,会议阐述了本标准制定的背景和意义,明确了标准范围、主要技术要求和相应测试方法,并制定了工作推进计划。
2、2016年2月-7月,此阶段为技术要求征集分析阶段,通过在工作组内部征集车载端信息安全技术相关要求,最终归纳出整体安全、硬件安全、操作系统安全、应用安全、对内通信安全、对外通信安全、数据安全七大车载端安全目标作为本标准的技术分类,完成了基础章节的编制。在此过程中,标准起草工作组影响力进一步扩大,得到国内整车制造商、零部件商、信息安全企业、通信企业,科研院所等相关单位的关注。
3、2016年8月-12月,为本标准主体内容-测试要求和技术方法的编制阶段,此阶段主要由工作组成员进行梳理,完成整体安全、硬件安全、操作系统安全、应用安全、对内通信安全、对外通信安全、数据安
全七个方面的技术要求和描述、相应的测试方法以及五级的车载端安全技术要求等级划分。在2017年10月中国汽车工程学会年会上,召开工作组会议进一步讨论完善修订。
4、2017年1月-2017年3月,为本标准文档完善和征求意见版定稿阶段,通过会议等形式,对标准内容进行讨论与内部评审,由工作组成员根据讨论意见对标准文档进行修改完善,最终因测试方法部分篇幅过长,单项技术要求可用多种方法进行测试验证,工作组研究决定将技术要求和测试方法拆分,本次只发布车载端信息安全技术要求,形成本标准征求意见稿。
5 智能网联汽车车载端信息安全技术要求内容说明
5.1 前置部分
5.1.1 规范性引用文件说明
本标准是汽车车载端信息安全标准,由于尚无类似标准,本标准重点参考已发布的信息系统安全保护等标准,如GB/T5271 数据处理词汇、GB 17859-1999计算机信息系统安全保护等级划分准则等,同时标准中涉及到汽车属于相关内容,参考了GB/T 19596 电动汽车术语。
5.1.2 标准中术语和定义说明
1、本标准作为智能网联汽车标准体系的一部分,相关通用术语和定义尽量与该系列标准中的术语和定义保持一致。
2、本标准仅适用于具备联网功能的车载终端,联网范畴包括车载移动互联网和车际网。
3、本标准适用但不限于车载T-BOX、车载信息娱乐系统In-Vehicle Infotainment(IVI)等车载端信息系统。
4、本标准中有许多行业内的缩略语,在术语、定义和缩略语章节对文中涉及的缩略语进行了注释与说明。
5.1.3 智能网联汽车车载端说明
智能网联汽车车载端是智能网联汽车的一个子系统,具备数据输入输出、计算处理、存储、通信等功能,可采集车内相关ECU数据并发送控制ECU的指令,集成定位、导航、娱乐等多种功能,是汽车网联化、接入移动互联网和车际网的功能单元。
5.2 车载端安全架构说明
智能网联汽车的新型业务需求之一是具备网联功能的车载端对外通过蜂窝网络、短距离通信、以及车车/
车路通信协议与互联网、车际网建立连接,进行数据交换;对内与汽车总线及电子电气系统进行信息采集和指令下发。基于这样的通信和数据交换需求,结合相应的安全威胁分析,智能网
联汽车车载端的安全架构应包括构成车载端本身的硬件、操作系统、应用三个层面的安全,对外通信和对内通信的安全,以及贯穿这几个环节的数据安全。
3d打印汽车5.2.1硬件安全
车载端硬件安全目标是保证车载端系统使用的电路和芯片在实现数据运算和数据存储等功能时的安全性,能够对抗针对加解密操作的密码分析攻击,侧信道攻击,故障注入攻击等破坏数据保密性和完整性的安全威胁,保证车载端所存储的关键数据不被泄露或篡改,芯片功能可以正常使用。
5.2.2操作系统安全
操作系统安全目标是通过符合车载端应用场景的身份权限管理和访问控制机制,正确地响应授权操作和处理异常行为,对抗针对操作系统的溢出攻击、暴力破解、中间人攻击、重放、篡改、伪造等多种安全威胁,保证操作系统文件和数据的可用性、保密性、完整性和可审计性,保证对各类资源的正常访问,系统能够按照预期正常运行或在各种操作情况之下处于安全状态。
5.2.3应用安全
应用安全目标是要保证安装在车载端上的应用软件具备相应的来源标识和保密性、完整性的防护措施,可以对抗逆向分析、反编译、篡改、非授权访问等各种针对应用的安全威胁,并确保应用产生、使用的数据得到安全的处理、车载端应用与相关服务器之间通信的安全性,保证应用为用户提供服务时,以及应用在启动、升级、登录、退出等各模式下的安全性。金融类应用应遵循支付类应用相关技术要求中的安全性要求。
5.2.4对内通信安全
对内通信是指车载端与车内总线以及电子电气系统之间的通信。其安全目标是根据应用场景对通信和数据交换的需求,保证外部威胁与内部网络之间的安全隔离,保证车载端不向内部关键电子电气系统发送伪造、重放等攻击方式的指令和数据,不非法占用内部总线资源,保证车内子系统和数据的保密性、完整性,保证汽车功能正常。
5.2.5对外通信安全
对外通信连接包括车载端与蜂窝网络的通信,与移动终端间的短距离通信,以及与其它车辆和路侧设施的通信。对外通信安全的目标是根据应用场景对通信和数据交换的需求,保证车载端建立通信连接时采取必要的认证、加密和完整性校验手段,可以对抗嗅探、中间人攻击、重放等多种针对通信的安全威胁,保证数据的保密性、完整性,及通信质量。
5.2.6用户数据安全
用户数据安全目标是要保证车载端所采集、存储、处理、传输的用户数据的安全性,确保用户数据的机密性、完整性和可用性得到有效的防护,同时具有清除机制,保护数据生命周期各环节的安全性。
5.3 车载端信息安全技术要求等级划分原则
车载端产品信息安全技术要求参考国际标准“信息技术安全评价通用准则”(Common Criteria ,简称CC)进行分级,每一级都由若干技术要求构成集合,当该集合所有要求都能够被满足时,才能判定该车载端信息产品达到相应安全级别。级别越高,车载端信息产品的安全性越高,对各种安全威胁的防范能力越强,威胁攻击破坏该级别产品的时间和资源投入越高;通常,达到较高安全级别所需的成本也越高。
信息安全攻击很多时候会造成对车辆动力系统进行控制的恶劣后果,所以说车载端信息安全与车辆的功能安全密不可分。特别是随着车辆的智能化程度增加,车载端出现信息安全问题可能导致车辆自动执行多种危险操作,危及驾乘人员和行人的安全。因此,应建立信息安全级别与智能化程度之间的对应关系,例如与自动驾驶能力分级相对应。较高级别的自动驾驶,应使用信息安全级别较高的产品,以保障整体系统的安全可靠。
本标准对车载端信息系统的安全等级分为以下五级:
第一级,基本安全技术要求,信息系统具有身份认证、访问控制、完整性保护等安全机制。
第二级,增强安全技术要求,在一级安全技术要求的基础上,信息系统能够考虑更多种安全威胁方式,在系统更多工作场景和网联场景下,保证安全性。
第三级,可信安全技术要求,在二级安全技术要求的基础上,采用软硬件层面可信安全机制和措施,对抗已知的和未知的安全威胁。
第四级,增强可信安全技术要求,在三级安全技术要求的基础上,提升安全机制本身对抗有针对性的威胁的能力和可控能力。
第五级,强安全技术要求,在四级安全技术要求的基础上,能够对多种信息安全威胁具备相当的防范能力,实现安全保障。
发布评论