ICS 33.050 CCS JSQX M32 江苏省汽车行业协会团体标准 T/JSQX 0002—2022 车载通信终端设备安全要求 Security requirements for vehicle communication terminal equipment 2022 - 03 - 15发布 2022 - 04 - 10实施 江苏省汽车行业协会 发布 全国团体标准信息平台 T/JSQX 0002—2022 I 目次 前言 ........................................................................... II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 1 5 车载通信终端安全要求 ................................................................. 1 硬件安全 ......................................................................... 1 操作系统安全 ..................................................................... 2 应用安全 ......................................................................... 3 通信安全 ......................................................................... 4 数据安全 ......................................................................... 5 全国团体标准信息平台 T/JSQX 0002—2022 II 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江苏省智能网联汽车标准化技术委员会（ JS/TC47）提出并归口。 本文件主要起草单位：无锡智汇交通科技有限公司、斯润天朗 （无锡）科技有限公司、哈尔滨 工业 大学（威海）、山东大学、华晨新日新 能源汽车有限公司、无锡物 联网创新中心有限公司、中移 （上海） 信息通信科技有限公司、中兴通讯股份有限公司。 本文件主要起草人：华贤平、李丽、陈秋、刘志杰、王汉振、王佰玲、刘红日、徐东亮、魏玉良、 徐志强、李吉、王秀娟、庄宝森、董接莲、葛元、许丹妮、肖小珊、赵明 。 全国团体标准信息平台 T/JSQX 0002—2022 1 车载通信终端设备安全要求 1 范围 本文件规定了车载通信终端设备的安全要求，包括：硬件安全、操作系统安全、通信安全、数据安 全、应用安全等。 本文件适用于整车、零部件企业的车载通信终端设备的设计和研发。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 19596 电动汽车术语 GB/T 32960.1 电动汽车远程服务与管理系统技术规范 第1部分：总则 3 术语和定义 GB/T 19596、GB/T 32960.1界定的以及下列术语和定义适用于本文件。 车载通信终端设备 通过4G/5G通信、GPS卫星定位、加速度传感和CAN通讯等技术为整车提供远程通讯接口，实现包括 行车数据采集、行驶轨迹记录、车辆故障监控、车辆远程查询和控制、驾驶行为分析等服务的网联功能 单元。 4 缩略语 下列缩略语适用于本文件。 ACL：访问控制列表（Access Control Lists ） CPA：相关功耗分析（Correlation Power Analysis ） DDoS：分布式拒绝服务攻击（Distributed Denial of Service ） DoS：拒绝服务攻击（Denial of Service ） DPA：差分功耗分析（Differential Power Analysis ） OTA：空中下载技术（ Over-the-Air Technology ） QoS：服务质量（Quality of Service ） SPA：简单功耗分析（Simple Power Analysis ） VPN：虚拟专用网络（Virtual Private Network ） 5 车载通信终端安全要求 硬件安全 5.1.1 设计安全 5.1.1.1 车载通信终端系统 所使用的芯片不应存在可以非法对芯片内存进行访问或者更改芯片功能的 隐蔽接口。芯片在设计验证阶段使用的调试接口应在上市产品中禁用。 全国团体标准信息平台 T/JSQX 0002—2022 2 5.1.1.2 车载通信终端系统的 电路板不应存在用以标注芯片、端口和管脚功能的可读丝印。 5.1.1.3 车载通信终端系统 芯片之间敏感数据的通信线路宜尽量隐蔽，对抗针对车载通信终端内部数 据传输的窃听和伪造攻击。在板载芯片中，不应存在可非法对芯片内存进行访问或者更改芯片功能的隐 蔽接口。 5.1.1.4 车载通信终端所使用的关键芯片宜尽量减少暴露管脚。 5.1.2 访问控制 5.1.2.1 车载通信终端应具有存储和隔离敏感数据的安全区域或安全模块，实现车载通信终端设备重 要数据安全存储与隔离。 5.1.2.2 在安全区域或安全模块中一次性写入的敏感信息，应保证无法非授权获取或者篡改。板载芯 片的诊断接口应具有鉴权功能。安全区域或安全模块应具备检测与处置非授权访问的能力，对抗暴力破 解。应对板载芯片调试接口进行禁用或实施安全访问控制。 5.1.3 抗攻击防护 5.1.3.1 使用必要的安全机制，防御针对芯片的电压、时钟、电磁、激光等方式的故障注入攻击。 5.1.3.2 使用必要的防护措施，对抗针对加密芯片的简单功耗分析（SPA）攻击、一阶差分功耗分析（DPA） 攻击、相关功耗分析（CPA）攻击，以及利用运行时间、温度等其它信息进行的侧信道攻击。 5.1.3.3 使用必要的防护机制，对抗针对车载通信终端设备内存的侵入和篡改攻击。 操作系统安全 5.2.1 操作系统安全启动 应在安全存储区域存储操作系统签名。操作系统启动时应使用可信机制，在验证操作系统签名并判 定通过后，再从可信存储区域加载车载通信终端操作系统 ，避免加载被篡改的操作系统。 5.2.2 多操作系统隔离 如车载通信终端存在多个操作系统，应采用隔离机制，保证不同操作系统之间的安全防护。 5.2.3 操作系统加载应用程序 应提供安全机制，保证操作系统只能加载启动可信的车载通信终端应用 程序，能够验证应用的来源 和完整性，避免运行恶意程序。 5.2.4 系统安全防护 5.2.4.1 应采用完整性校验手段，对关键代码或文件进行完整性保护。当用户需要远程登录系统时， 用户首先到官方网站下载登录客户端和身份证书，然后向车辆发起登录请求，系统通过验证数字签名对 请求者进行身份鉴权。 5.2.4.2 车载通信终端系统不应 存在后门，也不应存在于“中国汽车行业漏洞共享平台（CAVD）”以 及“国家信息安全漏洞共享平台（CNVD）”发布了 6 个月及以上的高危安全漏洞。系统应具有能够及 时进行漏洞修复的方式。车载系统应利用车 辆联网状态定期检测系统开发商有没有发布系统更新并自 动下载更新。 5.2.5 资源访问控制 5.2.5.1 应采取适用于汽车各应用场景的告知和控制方式，实现当应用对系统敏感资源调用时用户可 知。并提供设置开关，供用户同意或者拒绝该项调用。 5.2.5.2 应通过可信执行环境，为基于敏感数据的关键应用提供安全执行空间，控制对密钥、CAN控 制器等关键资源的访问，保护资源和数据的保密性和完整性，对抗非授权访问和篡改等多种攻击。 5.2.6 安全日志记录及审计控制 5.2.6.1 应具备支持对操作系统关键事件的日志功能，记录事件的时间、对象、描述和结果等。 全国团体标准信息平台 T/JSQX 0002—2022 3 5.2.6.2 应具备支持日志上传功能，上传时对云端进行认证；根据云