智能网联汽车车载端信息安全测试方法
1范围
本标准规定了对智能网联汽车车载端信息安全防护是否符合T/CSAE101-2018的要求所对应的测评方法,包括整体安全、硬件安全、操作系统安全、应用软件安全、对内通信安全、对外通信安全和用户数据安全等的测评要求和评价标准。
本标准适用于整车企业、车载端供应商、第三方信息安全测评服务机构对车载信息安全保护状况进行安全测试评估。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T34976-2017信息安全技术-移动智能终端操作系统安全技术要求与测试评价
GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法
T/CSAE101-2018智能网联汽车车载端信息安全技术要求
3术语、定义和缩略语
3.1智能网联汽车intelligent and connected vehicles
智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(车、路、人、云等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车。
3.2智能网联汽车车载端intelligent and connected vehicles on-board terminal
智能网联汽车车载端是智能网联汽车的一个子系统,具备数据输入输出、计算处理、存储、通信等功能,可采集车内相关ECU数据并发送控制ECU的指令,集成定位、导航、娱乐等多种功能,是汽车网联化、接入移动互联网和车际网的功能单元。
3.3用户user
使用车载端资源的主体。
3.4用户数据user data
车载端采集、处理、生成,以及存储的用户个人信息和用户使用车辆的信息,包括但不限于车辆资产数据(车辆标识等)、用户标识信息、应用数据(在本地生成的数据、在用户许可后由外部进入用户数据区的数据等)。
3.5授权authorization
在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程。
3.6数字签名digital signature
附件在数据单元上的数据,或是对数据单元所作的密码交换,这种数据或变换允许数据单元的接收者用以证明数据单元的来源和完整性,并保护数据单元的发送者和接收者以防止数据被第三方伪造,保护发送者以防止接收者伪造。
3.7代码签名code signature
利用数字签名机制,由具有签名权限的实体对全部或部分代码进行签名的机制。
3.8缩略语
传祺
ICV Intelligentand Connected Vehicle智能网联汽车
3wgcx0g0li2tz
BGA Ball Grid Array焊球阵列封装
LGA Land Grid Array栅格阵列封装爱玛电动车价格表
SPA Simple Power Analysis简单功耗分析
DPA Differential Power Analysis差分功耗分析
CPA Correlation Power Analysis相关功耗分析
ECU Electronic Control Unit电子控制单元
CAN Controller Area Network控制器局域网络
ECC Error Correcting Code错误检查和纠正
4概述及测试基本要求
4.1概述
智能网联汽车信息安全体系以及车载端的安全架构如图1所示。车载端信息安全包括硬件安全、操作系统安全、应用安全、对外通信安全和对内通信安全,以及数据安全。
本标准描述了车载端信息安全技术要求的测试方法。测试结果有以下两种:
cayenne gts
—未见异常:通过评测方法没有发现存在安全风险或安全事件;
—不符合要求:直接发现安全事件或不符合安全技术要求。
本章中所提及的技术要求参照T/CSAE101-2018《智能网联汽车车载信息安全技术要求》相应条目中的要求。
图1智能网联汽车信息安全体系及车载端安全架构示意图
4.2测试基本要求
车载端应满足车载端安全技术基本测试条件,包括提交车载端安全技术测试需求说明书、安全技术防护说明文档,提供可以正常工作的测试样品及相应的技术支持。
5车载端安全技术测试方法
5.1整体安全
5.1.1安全技术的选择与实施
级别:1—4级
技术要求:参照T/CSAE101-2018第5.1.1.1项,应通过风险评估过程,全面分析网联接口与威胁攻击路径,明确车辆整体安全需求与车载端安全需求,综合选择身份认证、访问控制、检测响应等多种技术措施对车载端自身进行安全防护,并将车载端安全防护作为车辆整体安全防护体三予有机组成部分,以实现车辆整体安全目标(例如:确保驾驶员和交通参与人员的人身安全)。passat r36
测试条件:提交安全技术方案设计文档
测试步骤:
步骤(1):检查厂商提交的文档,验证厂商是否通过风险评估,分析网联接口与威胁攻击路径,并且明确车辆整体安全需求与车载端安全需求;
步骤(2):检查厂商提交的文档,验证厂商是否选择身份认证、访问控制、安全审计等安全功能策略对车载端进行安全防护,并将车载端安全防护作为车辆整体安全防护体系的有机组成部分,以实现车辆整体安全目标;
步骤(3):所选择的技术处置措施与安全风险具备关联性。
预期结果:
(1)厂商提交的文档中描述风险评估过程,分析网联接口与威胁攻击路径,并且明确车辆整体安全需求与车载端安全需求;
(2)安全技术方案选择身份认证、访问控制、安全审计等安全功能策略对车载端进行安全防护,并将车载端安全防护作为车辆整体安全防护体系的有机组成部分,以实现车辆整体安全目标。
级别:1—4级技术要求:参照T/CSAE101-2018第5.1.1.2项,应综合考虑整体网络安全防护需求,车载端的安全技
级别:1—4级技术要求:参照T/CSAE101-2018第5.1.1.3项,车载端安全技术措施的选择和实施,应与整车设计开
5.2硬件安全
5.2.1设计安全车险计算方法
级别:1—4级技术要求:参照T/CSAE101-2018第5.2.1.1项,车载端系统所使用的芯片不能存在可以非法对芯片内
级别:4级技术要求:参照T/CSAE101-2018第5.2.1.2项,车载端系统的电路板不能存在用以标注芯片、端口和
级别:3—4级技术要求:参照T/CSAE101-2018第5.2.1.3项,车载端系统芯片之间敏感数据的通信线路应尽量隐蔽