T∕TAF 061-2020 車載T-BOX信息安全技術(shù)要求和測試方法

車載TBOX信息安全技術(shù)要求和測試方法InformationSecurityTechnicalRequirementandTestM電信終端產(chǎn)業(yè)協(xié)會發(fā)布I 1 1 1 1 1 2 2 2 2 3 3 3 3 4 5 7 8 本標(biāo)準(zhǔn)按照GB/T1.1-2009給本標(biāo)準(zhǔn)中的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)通無線通信技術(shù)(中國)有限公司，北京三星通信技術(shù)研究有限公司，北京奇虎科技有限公司。必占據(jù)關(guān)鍵性的位置，因此TBOX能否真正1車載TBOX信息安全技術(shù)要求GB/T35273-2017信息安全技術(shù)個(gè)人信息安全GB/T18336-2015信息技術(shù)安全技術(shù)信息GB/T25069-2010、GB/T35273-2017和GB/T18336-2015界定的術(shù)語和定義適用控制指令，還可集成定位、熱點(diǎn)等多種功能的車聯(lián)網(wǎng)控制單3.1.2移動互聯(lián)mobilecommun采用無線通信技術(shù)將移動終端接入有線網(wǎng)絡(luò)的CAN總線是ISO國際標(biāo)準(zhǔn)化的串行通信ControllerAreaNetChinaNationalVulnerabilChinaNationalVulnerabilityDatElectronicControlU2MCUMicrocontrollerUnitTelematicsServicePro4統(tǒng)和軟件等，可能的軟件有定位、導(dǎo)航、娛樂等。車載TBOX與主機(jī)通過CAN總線通信，實(shí)現(xiàn)對車輛狀態(tài)信息、控制指令、遠(yuǎn)程診斷和按鍵狀態(tài)信息等的傳遞；以數(shù)據(jù)鏈路的方式通過后臺TSP系統(tǒng)與PC端網(wǎng)頁或移動端App實(shí)現(xiàn)雙向通信。當(dāng)用戶通過PC端或移動端發(fā)送控制指令后，后臺會發(fā)出指令到車載TBOX，移動端TBOX車載網(wǎng)關(guān)通信模塊汽車TBOXMCUCANCANTSP車載網(wǎng)關(guān)通信模塊汽車TBOXMCUCANCANTCP/IPPC端5.1硬件安全a)具備防拆保護(hù)措施，包括但不限于開蓋檢測、拆機(jī)告警b)設(shè)備如開放調(diào)試接口的應(yīng)在上市前進(jìn)行禁用或采用安全調(diào)試模式；c)具備足夠的安全機(jī)制保證密鑰的產(chǎn)生、分發(fā)、存儲和銷毀5.2操作系統(tǒng)安全3a)應(yīng)支持安全啟動機(jī)制，對引導(dǎo)程序或固件等進(jìn)行有效性驗(yàn)證，只有通過驗(yàn)證的才能執(zhí)打開或刪除，權(quán)限設(shè)置等；應(yīng)具有保證日志文件安全性的措施，防止非授權(quán)訪f)具備CAN總線控制器安全控制功能，將內(nèi)網(wǎng)CAN總線和對外接口（如USB、SD等）隔離。5.3軟件安全如TBOX支持安裝軟件或配套軟件，則軟件安全應(yīng)滿b)不應(yīng)非授權(quán)收集、傳輸用戶個(gè)人信息；d)應(yīng)采取訪問控制機(jī)制，防止對系統(tǒng)資源和其他軟f)應(yīng)具有記錄應(yīng)用狀態(tài)及使用情況的日志功能，并支持上5.4數(shù)據(jù)安全要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)和個(gè)人f)具備徹底刪除的能力，數(shù)據(jù)被刪除后不可被恢復(fù)、重新5.5通信安全a)應(yīng)具備對通信數(shù)據(jù)的消息校驗(yàn)和認(rèn)證機(jī)制，防止攻擊者偽造、篡改4主芯片具備防拆保護(hù)措施，包括但不限于開蓋檢測、拆機(jī)告設(shè)備如開放調(diào)試接口的應(yīng)在上市前進(jìn)行禁用或采用步驟1：使用串口/JTAG調(diào)試工具發(fā)送測試命令，測試所有調(diào)試接口和測具備足夠的安全機(jī)制保證密鑰的產(chǎn)生、分發(fā)、存儲和銷步驟1：審查廠商提供的文檔，判斷密鑰生成的安全性，檢查根密鑰步驟2：檢查密鑰分發(fā)、存儲和銷毀的方式，評估解5提供加密方案實(shí)現(xiàn)的文檔，提交供硬件物理攻擊測試步驟1：參考廠商提供的文檔，使用工具對加密運(yùn)算的過程進(jìn)行側(cè)信息收集或步驟2：利用分析工具對測試電路板進(jìn)行相應(yīng)的密敗后，操作系統(tǒng)能有效恢復(fù)至升級前的正常步驟1：修改廠家提供的升級包并簽名，執(zhí)行系統(tǒng)更新，檢測升級過程能步驟2：使用廠家提供的升級包進(jìn)行系統(tǒng)更新，在升應(yīng)支持安全啟動機(jī)制，對引導(dǎo)程序或固件等進(jìn)行有效性驗(yàn)證，只有通過驗(yàn)證的才能執(zhí)行步驟2：使用無簽名的固件進(jìn)行燒寫，測試是6步驟2：檢查日志是否記錄事件主體、發(fā)生具備CAN總線控制器安全控制功能，將內(nèi)網(wǎng)CAN總線和對外接口（如USB、SD等）隔離7步驟1：檢查CAN總線控制器是否具備安應(yīng)采用簽名認(rèn)證機(jī)制，未經(jīng)簽名的應(yīng)用軟件僅當(dāng)用戶確認(rèn)后才能執(zhí)行下一步驟1：使用簽名分析工具對列表中的應(yīng)用軟步驟2：嘗試安裝未簽名的應(yīng)用，檢測安裝過程是否提步驟3：運(yùn)行未簽名的應(yīng)用，檢測是否經(jīng)過用戶確認(rèn)后才執(zhí)應(yīng)具備代碼混淆、加殼等安全措施，防止被8應(yīng)采取訪問控制機(jī)制，防止對系統(tǒng)資源和其他軟件的非授應(yīng)具有記錄應(yīng)用狀態(tài)及使用情況的日志功能，并支持上傳和集9步驟1：審閱廠家提供的文檔，判斷其是否明確告知采集用戶數(shù)據(jù)的內(nèi)容、步驟2：檢測設(shè)備運(yùn)行中實(shí)際采集用戶數(shù)據(jù)情況是否與數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)和步驟1：審查廠家提供的時(shí)間戳的說明文檔，檢查其時(shí)間戳步驟1：審查廠家提供的保護(hù)方案，檢查其方案能否覆蓋隨機(jī)數(shù)源、內(nèi)存、緩步驟2：檢查安全運(yùn)行環(huán)境是否具備抵抗惡意代碼訪問受保步驟2：使用篡改、偽造等方式實(shí)施攻擊，檢具備徹底刪除的能力，數(shù)據(jù)被刪除后不可被恢復(fù)、應(yīng)具備對通信數(shù)據(jù)的消息校驗(yàn)和認(rèn)證機(jī)制，防止攻擊者偽造、篡應(yīng)采用控制策略避免大量集中地向CAN總線發(fā)送數(shù)據(jù)包，以避免造成總線擁塞和拒步驟1：審查廠家提供的控制策略文檔，應(yīng)能避免造成總線步驟1：檢查TBOX與CAN總線的通信功能是否僅包含業(yè)被拆解攻擊和被惡意代碼直接訪問加密芯片接口、內(nèi)網(wǎng)接口等，密鑰被物理攻擊的方式獲取?？偩€數(shù)據(jù)和私有協(xié)議被非授權(quán)的攻擊者讀取，車載TBOX與TSP間通信被嗅探或攻擊，使通信數(shù)據(jù)被非法獲取。硬件芯片應(yīng)提供安全運(yùn)行環(huán)境的支撐，防止惡意代改、非授權(quán)訪問等安全威脅，暴露組件能夠抵抗攻擊調(diào)用，保證應(yīng)用啟動、升