1范围
本标准规定了智能汽车终端设备匿名标识体系的体系架构、功能要求、接口要求以及安全要求。
本文件适用于各种制式的智能终端,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
2规范性引用文件
下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标准。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
GB/T 25069-2010 《信息安全技术术语》
TC260-001《汽车采集数据处理安全指南》
3基础类术语
智能汽车终端 smart automobile terminal
能够接入通信网,具有能够提供应用程序开发接口的车载系统,具有安装、加载和运行应用软件能力的终端。
车载应用程序 automobile application software
可安装在智能汽车终端内,能够利用智能汽车终端操作系统提供的公开开发接口,实现某项或某几项特定任务的计算机软件,包含智能汽车终端预置应用软件,小程序、快应用以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。
个人信息 personal information
是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息 sensitive personal information
是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
4缩略语
下列缩略语适用于本文件。
APP 应用软件Application
SDK 软件工具开发包Software Development Kit
API 应用程序接口Application Programming Interface
eSIM 嵌入式SIM卡Embedded SIM
IMEI 国际移动设备识别码International Mobile Equipment Identity
VIN 车辆识别号码 Vehicle Identification Number
UAID 汽车唯一标识符Unique Automobile Identifier
AAID 汽车匿名标识符Anonymous Automobile Identifier
DAID 开发商(应用开发者或设备厂商) 匿名标识符Developer Anonymous Automobile Identifier PAID 产品(应用/设备)匿名汽车标识符Product Anonymous Automobile Identifier
5汽车匿名标识体系
随着汽车智能化、互联网化的发展,通过汽车装有的各类数据采集设备、采集大量数据的情况已较普遍。采集的数据中可能包含个人较为重要、敏感的数据,存在较高安全风险。汽车匿名标识体系是围绕车内外个人信息安全提出的技术要求,为个人信息的匿名化处理提供方案,防止个人信息泄露。
汽车匿名标识体系根据车企技术研发投入深度分两种方案:
5.1标识体系统一生成匿名标识符
由植入在车机系统中的软件开发工具包(SDK)提取车机唯一标识信息并通过加密算法生成匿名标识,并提供给三方应用和三方硬件的SDK,用于三方应用和三方硬件的服务端匿名标识车机。
图1 标识体系统一生成匿名标识符
5.2智能汽车厂自行生成匿名标识符
智能汽车厂自行生成匿名标识符,以API接口的方式提供给匿名标识体系中的第三方应用和智能硬件SDK,用于三方应用和三方硬件的服务端匿名标识车机。
图2 智能汽车厂自行生成匿名标识符
6匿名标识特性
匿名标识符长度最长64位,不同类型标识符特性如下:
6.1汽车唯一标识符
a) 不可逆:通过加密算法生成的汽车唯一标识符不能够被反向追踪
b) 唯一性:生成参数中包括硬件参数,确保生成的汽车唯一标识符的唯一性
c) 封闭性:汽车唯一标识符尽可被授权的应用/外部设备访问
e) 一致性:汽车唯一标识符不因恢复出厂设置、用户操作改变
f) 不可篡改性:汽车唯一标识符的生成参数中包含硬件参数,且不能被未授权方修改
6.2匿名汽车标识符
a) 可关闭性:匿名汽车标识符可以被用户关闭
b) 连接性:匿名汽车标识符可以链接所有应用和外部设备数据
6.3开发商匿名汽车标识符
a) 同一台汽车上,同一开发者/设备厂商的多个应用/外部设备, 开发匿名汽车标识符取值相同。
b) 同一台汽车上,不同开发者/设备厂商的应用/外部设备, 开发匿名汽车标识符取值不同。
c) 不同汽车上,同一开发者/设备厂商的多个应用/外部设备, 开发匿名汽车标识符取值不同。
d) 不同汽车上,不同开发者/设备/厂商的应用/外部设备, 开发匿名汽车标识符取值不同。
6.4产品匿名汽车标识符
a) 匿名化、无隐私风险:产品匿名标识符和已有的任何标识符都不关联,并且每个应用/外部设备
只能访问自己的产品匿名汽车标识符。
b) 同一台汽车上,同一个开发者/设备厂商的多个应用/外部设备,产品匿名汽车标识符取值不同
c) 同一台汽车上,不同开发者/设备厂商的应用/外部设备,产品匿名汽车标识符取值不同
d) 不同汽车上,同一个开发者/设备厂商的应用/外部设备,产品匿名汽车标识符取值不同
车的标志及名称e) 不同汽车上,不同开发者/设备厂商的应用/外部设备,产品匿名汽车标识符取值不同
7接入规范
7.1车企接入
7.1.1 SDK方式接入
a) 申请注册智能汽车匿名平台账户
b) 申请下载车机系统级SDK
c) 车载系统集成该SDK服务,并设置为系统级服务
7.1.2 API方式接入
a) 申请注册智能汽车匿名平台账户
b) 车企按照下列要求自行开发并提供API
系统要求:系统非必要禁止提供车架号、发动机号、MAC地址、设备号、eSIM号等唯一性信息。并提供匿名标识调用接口供且仅供智能汽车匿名标识平台SDK调用。
实现API:
getAAID() //返回唯一匿名标识,最长64位
getDAID() //返回开发者匿名标识,最长64位
getPAID() //返回应用匿名标识,最长64位
7.2开发商接入
软件开发者或设备厂商统一申请平台开发者账号,使用对应平台系统的SDK进行标识获取。步骤如下:
a) 申请注册智能平台账号
b) 申请成为开发者
c) 下载对应系统平台的SDK开发包
d) 开发代码中调用匿名汽车标识符逻辑
8应用接口调用
接口名称函数参数返回
标识符状态status() 无boolean 是否支持标识符获取
汽车匿名标识符getAAID(Context) 应用的Context string 返回标识符字符串或异常信息
开发匿名标识符getDAID(Context) 应用的Context string 返回标识符字符串或异常信息
产品匿名标识符getPAID(Context) 应用的Context string 返回标识符字符串或异常信息
9匿名标识安全要求
9.1访问控制
对于来自应用的请求进行验证,访问过程保证安全可信,应只接受通过认证的对象的访问。同时对敏感数据进行访问权限控制。
9.2存储安全
匿名标识的存储应确保完整性和隐私性,不可被其他非法实体访问或篡改。证书、密钥等安全数据需要加密存储。
9.3防篡改攻击
应对程序的完整性、参数内容的完整性和有效性进行检查,以防止篡改攻击。
发布评论