1、CS 43.040T中中 華華 人人 民民 共共 和和 國國 國國 家家 標標 準準GB/T XXXXXXXXX車載信息交互系統信息安全技術要求Technical Requirements for Cybersecurity of On-board InformationInteractive System（征求意見稿）（本稿完成日期：202004）- XX - XX 發布XXXX - XX - XX 實施發發 布布國國 家家 市市 場場 監監 督督 管管 理理 總總 局局國國 家家 標標 準準 化化 管管 理理 委委 員員 會會GB/T XXXXXXXXXI目次前言. II1范圍.12規范性

2、引用文件.13術語與定義.14縮略語.25技術要求.35.1硬件安全要求.35.2通信協議與接口安全要求.35.3操作系統安全要求.55.4應用軟件安全要求.75.5數據安全要求.86測試方法.96.1硬件安全測試方法.96.2通信協議與接口安全測試方法.96.3操作系統安全測試方法.116.4應用軟件安全技術測試方法.146.5數據安全測試方法.16附錄 A（資料性附錄）車載信息交互系統示意圖. 18參考文獻.19GB/T XXXXXXXXXII前言本標準按照 GB/T 1.12009 給出的規則起草。本標準由中華人民共和國工業和信息化部提出。本標準由全國汽車標準化技術委員會（SAC/TC1

3、14）歸口。本標準起草單位：本標準主要起草人：GB/T XXXXXXXXX1車載信息交互系統信息安全技術要求1范圍本標準規定了車載信息交互系統硬件、通信協議與接口、操作系統、應用軟件、數據的信息安全技術要求與測試方法。本標準適用于指導整車廠、零部件供應商、軟件供應商等企業，開展車載信息交互系統信息安全技術的設計開發、驗證與生產等工作。2規范性引用文件下列文件對于本文件的應用是必不可少的。 凡是注日期的引用文件， 僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069信息安全技術 術語GB/T XXX汽車信息安全通用技術要求3術語與

4、定義GB/T 25069、GB/T XXX界定的以及下列術語和定義適用于本文件。3.1車載信息交互系統 on-board information interactive system安裝在車輛上的通信系統，屬于信息交互或娛樂服務裝置，應具備下列至少一項功能：a)對外可通過蜂窩網絡、 短距離通信等通信技術建立連接并進行數據交換等功能， 對內可通過汽車總線與電子電氣系統進行信息采集、數據傳遞與指令下發等功能；b)實現通話錄音、文化娛樂等相關服務功能。注：車載信息交互系統通常為遠程車載信息交互系統（T-Box）、車載綜合信息處理系統（IVI）以及其混合體。典型的車載信息交互系統示意圖參考附錄A中圖A

5、.1所示。3.2對外通信 external communication車載信息交互系統與車輛外部的無線通信，包括基于移動蜂窩網絡的遠程通信、藍牙、WLAN等短距離通信等。3.3內部通信 internal communication車載信息交互系統與車輛內電子電氣系統的通信，包括基于CAN、CANFD、LIN、以太網等車輛內部的通信。GB/T XXXXXXXXX23.4用戶 user使用車載信息交互系統資源的對象，包括人、車輛或者第三方應用程序。3.5用戶數據 user data由用戶產生或為用戶服務的數據，該數據不影響安全功能的運行。3.6代碼簽名 code signing利用數字簽名機制，由

6、具備簽名權限的實體對全部或部分代碼進行簽名的機制。3.7應用軟件 application software在車載信息交互系統上，為實現支付、娛樂等功能的一類軟件，包括在車載信息交互系統中已預裝的應用軟件和后期可安裝的應用軟件。3.8平臺服務端 platform server為車輛提供服務的平臺，包括企業自主運營平臺及第三方平臺等。3.9外部終端 external terminal車輛外部的終端設備，包括路側單元、手機等。4縮略語CAN控制器局域網絡（control area network）ECU電子控制單元（electronic control unit）E-Call緊急呼叫（emergen

7、cy call）FTP文件傳輸協議（file transfer protocol）HTTP超文本傳輸協議（hypertext transfer protocol）JTAG測試行動聯合組織(Joint Test Action Group)LE低功耗（low energy）PSK預共享密鑰（pre-shared key）SSP安全簡易配對（secure simple pairing）SPI串行外設接口（serial peripheral interface）TLS安全傳輸層協議 (transport layer security)TSP終端服務平臺（telematics service provi

8、der）UART通用異步收發器(Universal Asynchronous Receiver/Transmitter)GB/T XXXXXXXXX3URL統一資源定位符(uniform resource locator)USB通用串行總線(universal serial BUS)WLAN無線局域網（wireless local area networks）WPAWLAN網絡安全接入(WLAN protected access)5技術要求5.1硬件安全要求5.1.1車載信息交互系統所使用的芯片應滿足以下要求：a)按照 6.1 a)進行測試，調試接口應禁用或設置安全訪問控制；b)按照 6.1

9、b)進行測試，不存在后門或隱蔽接口；5.1.2按照 6.1 c)進行測試，車載信息交互系統所使用的關鍵芯片（例如：處理器、存儲模塊、通訊IC 等用于處理、存儲和傳輸敏感信息的芯片以及安全芯片）應減少暴露管腳；5.1.3按照 6.1 d)進行測試， 車載信息交互系統所使用的安全芯片之間應減少通信線路的數量 （例如：使用多層電路板的車載信息交互系統可采用內層布線方式隱藏通信線路）；5.1.4按照 6.1 e)進行測試,電路板及芯片不宜暴露用以標注、端口和管腳功能的可讀絲印。5.2通信協議與接口安全要求5.2.1對外通信協議安全5.2.1.1 通信連接安全按照6.2.1.1 a)進行測試,車輛端應實

10、現對平臺服務端或外部終端的身份認證。當身份認證成功后，按照6.2.1.1 b)進行測試,車輛端與平臺服務端或外部終端才能進行業務數據的通信交互。5.2.1.2 通信傳輸安全按照6.2.1.2 進行測試,車輛端與平臺服務端或外部終端間傳輸的數據內容應進行密鑰加密。5.2.1.3 通信連接終止安全車載信息交互系統進行通信時, 按照6.2.1.3 a)、b) 進行測試,發生身份鑒權失敗、有加密要求的數據內容校驗失敗等情況，應終止該響應操作。5.2.1.4 遠程通信協議安全5.2.1.4.1公有遠程通信協議安全公有遠程通信協議（例如：HTTP、FTP等），按照6.2.1.4.1進行測試,應采用TLS（

11、版本不低于1.2）或至少同等安全級別（例如：同等級別的國密算法等）的安全通信協議。5.2.1.4.2私有遠程通信協議安全私有遠程通信協議（例如：整車廠或零部件廠與TSP自定義的通信協議等）應滿足以下要求：a)按照 6.2.1.4.2 a)進行測試,支持以安全方式進行數據加密密鑰的更新；b)按照 6.2.1.4.2 b)進行測試,其使用的密鑰應進行安全存儲。5.2.1.5 短距離通信協議安全GB/T XXXXXXXXX45.2.1.5.1短距離通信口令應用安全短距離通信口令應用安全應滿足以下要求：a)按照 6.2.1.5.1 a)進行測試,缺省口令應使用至少包括數字、大小寫字母，長度不少于 8

12、位的強復雜度的口令；b)按照 6.2.1.5.1 b)進行測試,同一個缺省口令不復用于不同系統；c)按照 6.2.1.5.1 c)進行測試,更改口令時，限制用戶設置 a)要求的口令或向用戶提示風險；d)按照 6.2.1.5.1 d)進行測試,對于人機接口或跨信任網絡的不同車載信息交互系統之間接口的登錄認證，應支持口令防暴力破解機制，且按照 6.2.1.5.1e)進行測試,口令文件應設置安全訪問控制。5.2.1.5.2車載藍牙通信協議安全對具有車載藍牙通信功能的車載信息交互系統應滿足以下要求：a)按照 6.2.1.5.2 a)進行測試,車載藍牙通信設備不應存在后門；b)按照 6.2.1.5.2

13、b)進行測試,外部設備請求與車載藍牙配對的方式應為 SSP 模式 （針對 Classic場合）或 LE Secure Connection 模式（針對 LE 場合）；c)按照 6.2.1.5.2 c)進行測試,車載藍牙通信設備應驗證配對請求，配對成功后，應對外部設備進行鑒權；d)對于高安全要求的車載藍牙通信功能（例如：利用藍牙進行非接觸控制車輛等），按照6.2.1.5.2 d)進行測試,應對外部設備進行認證以防止非法接入；e)對于高安全要求的車載藍牙通信功能（例如：利用藍牙進行非接觸控制車輛等），按照6.2.1.5.2 e)進行測試,應對相關數據進行安全加密處理。5.2.1.5.3車載 WLA

14、N 通信協議安全對具有WLAN熱點功能的車載信息交互系統， 按照6.2.1.5.3進行測試,應使用WPA2-PSK或更高安全級別的加密認證方式。5.2.2內部通信安全當車載信息交互系統通過CAN或車載以太網等總線與車內其他控制器節點進行數據交互時，按照6.2.2進行測試,應使用安全機制確保傳輸的重要數據（例如：車輛控制指令等）完整性和可用性。5.2.3通信接口安全5.2.3.1總體要求車載信息交互系統的通信接口應滿足以下要求：a)按照 6.2.3.1 a)進行測試,不應存在任何后門或隱蔽接口；b)按照 6.2.3.1 b)進行測試,訪問權限等需授權內容應滿足“最小化授權原則”，不應超出正常業務

15、范圍。5.2.3.2車外通信接口安全5.2.3.2.1按照 6.2.3.2 a)進行測試,車載信息交互系統應支持路由隔離，隔離核心業務平臺（例如：執行控制車輛指令、 收集個人敏感信息等功能的業務平臺） 的通信、 內部通信 （非核心業務平臺的通信） 、外網通信（非核心業務平臺的通信）等；GB/T XXXXXXXXX55.2.3.2.2按照 6.2.3.2 b)進行測試,車載信息交互系統與核心業務平臺（例如：能執行控制車輛指令、 收集個人敏感信息等功能的業務平臺） 的通信宜采用專用網絡或者虛擬專用網絡通信， 與公網隔離。5.2.3.3車內通信接口安全車載信息交互系統應滿足以下要求：a)按照 6.2

16、.3.3 a)進行測試,對合法指令設置白名單；a)按照 6.2.3.3 b)進行測試,對總線控制指令來源進行校驗。5.3操作系統安全要求5.3.1操作系統安全配置車載信息交互系統在其操作系統安全配置方面，應滿足以下要求：a)按照 6.3.1 a)進行測試,禁止 ROOT 用戶直接登錄，且限制用戶提權操作；b)按照 6.3.1 b)進行測試,刪除或禁用無用賬號，并使用至少包括數字、大小寫字母，長度不少于 8 位的強復雜度的口令；c)按照 6.3.1 c)進行測試,具備訪問控制機制，依據安全策略控制用戶、進程等主體對文件、數據庫等客體進行訪問；d)按照 6.3.1 d)進行測試,禁止不必要的服務（

17、例如：FTP 服務等），按照 6.3.1 e)進行測試,禁止非授權的遠程接入服務。5.3.2安全調用控制能力5.3.2.1通信類功能受控機制5.3.2.1.1撥打電話具有撥打電話功能的車載信息交互系統應滿足以下要求：a)按照 6.3.2.1.1 a)進行測試,在用戶確認后，調用撥打電話操作才能執行；b)按照 6.3.2.1.1 b)進行測試,向用戶明示業務內容，且在用戶確認后，調用撥打電話開通呼叫轉移業務操作才能執行。注：緊急情況下，E-Call 等應急功能不限定于以上條款要求內。5.3.2.1.2三方通話具有三方通話功能的車載信息交互系統， 按照6.3.2.1.2進行測試,應在用戶確認后，

18、調用三方通話操作才能執行。5.3.2.1.3發送短信具有發送短信功能的車載信息交互系統， 按照6.3.2.1.3進行測試,應在用戶確認后， 調用發送短信操作才能執行。5.3.2.1.4發送彩信具有發送彩信功能的車載信息交互系統， 按照6.3.2.1.4進行測試,應在用戶確認后， 調用發送彩信操作才能執行。5.3.2.1.5發送郵件GB/T XXXXXXXXX6具有發送郵件功能的車載信息交互系統， 按照6.3.2.1.5進行測試,應在用戶確認后， 調用發送郵件操作才能執行。5.3.2.1.6移動通信網絡連接具有交互界面的車載信息交互系統，在移動通信網絡連接時，應滿足以下要求：a)按照 6.3.2

19、.1.6 a)進行測試,提供開關以開啟或關閉移動通信網絡連接功能；b)按照 6.3.2.1.6 b)進行測試,向用戶進行提示，且在用戶確認后，調用移動通信網絡連接功能的操作才能執行；c)按照 6.3.2.1.6 c)進行測試,向用戶提供通過配置應用軟件調用移動通信網絡連接的功能；d)當移動通信網絡處于已連接狀態時，按照 6.3.2.1.6 d) 進行測試,應在交互界面上給用戶相應的狀態提示；e)當正在傳送數據時，按照 6.3.2.1.6 e) 進行測試,應在交互界面上給用戶相應的狀態提示；f)上述 d）和 e）中，按照 6.3.2.1.6 f) 進行測試,狀態提示的方式應不同。注：緊急情況下，

20、E-Call 等應急功能不限定于以上條款要求內。5.3.2.1.7WLAN 網絡連接具有交互界面的車載信息交互系統，在WLAN網絡連接時，應滿足以下要求：a)按照 6.3.2.1.7 a) 進行測試,提供開關以開啟或關閉 WLAN 網絡連接功能；b)按照 6.3.2.1.7 b) 進行測試,向用戶進行提示，且在用戶確認后，調用 WLAN 網絡連接功能的操作才能執行；c)當 WLAN 網絡處于已連接狀態時，按照 6.3.2.1.7 c) 進行測試,應在交互界面上給用戶相應的狀態提示；d)當正在傳送數據時，按照 6.3.2.1.7 d) 進行測試,應在交互界面上給用戶相應的狀態提示；e)上述 c）

21、和 d）中，按照 6.3.2.1.7 e) 進行測試,狀態提示的方式應不同。5.3.2.2本地敏感功能受控機制5.3.2.2.1定位功能具有交互界面的車載信息交互系統，在調用定位功能時，要求如下：a)按照 6.3.2.2.1 a) 進行測試,在用戶確認后，才能執行定位功能；b)按照 6.3.2.2.1 b) 進行測試,向用戶提供后臺定位控制功能以配置應用軟件是否可調用定位功能；c)上述 a）和 b）中，按照 6.3.2.2.1 c) 進行測試,應讓用戶分別操作。d)當調用定位功能時，按照 6.3.2.2.1 d) 進行測試,宜在交互界面上給用戶相應的狀態提示。5.3.2.2.2通話錄音功能具有

22、交互界面的車載信息交互系統， 在調用通話錄音功能時， 按照6.3.2.2.2進行測試,應在用戶確認后，才能執行通話錄音功能。5.3.2.2.3本地錄音功能具有交互界面的車載信息交互系統， 在調用本地錄音功能時， 按照6.3.2.2.3進行測試,應在用戶確認后，才能執行本地錄音功能。GB/T XXXXXXXXX75.3.2.2.4對用戶數據的操作處理用戶數據時，按照6.3.2.2.4進行測試,操作系統應進行相應授權（例如：當應用軟件需要調用對電話本數據、通話記錄、上網記錄、短信數據、彩信數據的讀或寫操作時，操作系統應在應用軟件授權的情況下方可執行）。5.3.3操作系統安全啟動車載信息交互系統應滿

23、足以下要求：a)按照 6.3.3 a)進行測試,操作系統的啟動應始于一個無法被修改的信任根；b)按照 6.3.3 b)進行測試,應在驗證操作系統簽名后， 才能從可信存儲區域加載車載端操作系統，防止加載被篡改的操作系統；c)在執行其它的安全啟動代碼前，按照 6.3.3 c)進行測試,應驗證代碼完整性。5.3.4操作系統更新車載信息交互系統要求如下：a)按照 6.3.4 a)進行測試,應具備系統鏡像的防回退校驗功能；b)當更新鏡像安裝失敗時，按照 6.3.4 b)進行測試,應恢復到更新前的版本；c)按照 6.3.4 c)、d)進行測試,宜具有驗證更新鏡像完整性和來源可靠的安全機制。5.3.5操作系

24、統隔離對預置功能平行的多操作系統，除必要的接口和數據（例如：撥打電話等功能和電話本和短信等數據）可共享外，按照6.3.5進行測試,不同操作系統之間不應進行通信。5.3.6操作系統安全管理車載信息交互系統要求如下：a)針對車機類智能操作系統，按照 6.3.6 a)進行測試,應對應用軟件運行的實時環境進行監控，對異常狀況（例如：異常網絡連接、內存占用突增等狀況）進行告警；b)針對車機類智能操作系統，按照 6.3.6 b)進行測試,應具有清理內存、存儲垃圾等功能；c)針對車機類智能操作系統，按照 6.3.6 c)進行測試,應支持審計功能；d)按照 6.3.6 d)進行測試,應具備重要事件（例如：關鍵

25、配置變更、安全啟動校驗失敗等事件）的日志記錄功能，并按照 6.3.6 e)進行測試,應能按照策略上傳至服務器；e)按照 6.3.6 g)進行測試,應對日志文件進行安全存儲；f)按照 6.3.6 f)進行測試,應采取訪問控制機制，對日志讀取寫入的權限進行管理；g)按照 6.3.6 h)進行測試,應對開發者調試接口進行管控，禁止非授權訪問；h)按照 6.3.6 i)進行測試,不應存在由權威漏洞平臺公開發布 6 個月及以上且未經處置的高危安全漏洞；i)按照 6.3.6 j)進行測試,宜具備識別、阻斷應用軟件以高敏感權限（例如：ROOT 權限、涉及非業務內控車行為的權限等）運行的能力。5.4應用軟件安

26、全要求5.4.1應用軟件基礎安全車載信息交互系統上的應用軟件應滿足以下要求：a)按照 6.4.1 a)進行測試,從安全合規的應用商店下載和安裝軟件；GB/T XXXXXXXXX8b)按照 6.4.1 b)進行測試,不存在由權威漏洞平臺公開發布 6 個月及以上且未經處置的高危安全漏洞；c)按照 6.4.1 c)進行測試,不存在非授權收集或泄露個人敏感信息、 非授權數據外傳等惡意行為；d)按照 6.4.1 d)進行測試,不以明文形式存儲個人敏感信息；e)按照 6.4.1 e)進行測試,具備會話安全保護機制（例如：使用隨機生成會話 ID 等機制）；f)按照 6.4.1 f)進行測試,使用至少包括數字

27、、大小寫字母，長度不少于 8 位的強復雜度口令；g)按照 6.4.1 g)進行測試，符合密碼學要求，不直接在代碼中寫入密鑰；按照 6.4.1 h)進行測試，使用已驗證、安全的加密算法和參數；按照 6.4.1i)進行測試，同一個密鑰不復用于不同用途；h)按照 6.4.1 j)進行測試，使用到的隨機數符合隨機數相關標準(例如：GM/T 0005等)，保證由已驗證、安全的隨機數生成器產生。5.4.2應用軟件代碼安全車載信息交互系統上的應用軟件要求如下：a)按照 6.4.2 a)進行測試，應用軟件的開發者使用第三方組件應識別其涉及公開漏洞庫中已知的漏洞并安裝補??；b)對于非托管代碼，按照 6.4.2

28、b)進行測試，應確保內存空間的安全分配、使用和釋放；c)按照 6.4.2 c)進行測試，應用軟件安裝包應采用代碼簽名認證機制；d)按照 6.4.2 d)進行測試，發布后不應包含調試功能及調試信息；e)在非調試場景或調試模式下，按照 6.4.2 e)進行測試，應用軟件日志不應包含調試輸出；f)按照 6.4.2 f)進行測試，宜使用構建工具鏈提供的代碼安全機制（例如：堆棧保護、自動引用計數等）；g)按照 6.4.2 g)進行測試，宜使用安全機制（例如：混淆、加殼等），防止被逆向分析。5.4.3應用軟件訪問控制車載信息交互系統上的應用軟件應滿足以下要求：a)按照 6.4.3 a)進行測試，支持權限管

29、理并遵守最小授權原則，按照 6.4.3 b)進行測試，不同的應用軟件基于實現特定功能分配不同的接口權限；b)按照 6.4.3 c)進行測試，對外部輸入的來源（例如：用戶界面、URL 等來源）進行校驗；c)身份校驗時，按照 6.4.3 d)進行測試，應至少進行本地驗證。5.4.4應用軟件運行安全車載信息交互系統上的應用軟件要求如下:a)按照 6.4.4 a)進行測試，關鍵應用軟件（例如：與控制車輛、支付相關等）在啟動時應執行自檢機制；b)當輸入個人敏感信息時，按照 6.4.4 b)進行測試，應采取安全措施確保個人敏感信息不被其他應用竊取，并防止錄屏（例如：使用安全軟鍵盤等）；c)應用軟件正常退出

30、時，按照 6.4.4 c)進行測試，應擦除緩存文件中的個人敏感信息；d)按照 6.4.4 d)進行測試，應用軟件進程間通信不宜明文傳輸個人敏感信息；e)按照 6.4.4 e)進行測試，不宜利用進程間通信提供敏感功能（涉及個人敏感信息的功能）的接口。5.4.5應用軟件通信安全GB/T XXXXXXXXX9車載信息交互系統上的應用軟件應滿足以下要求：a)對外傳輸個人敏感信息時，按照 6.4.5 a)進行測試，應采用數據加密傳輸方式；b)按照 6.4.5 b)進行測試，實現通信端之間的雙向認證后，才能發送個人敏感信息；c)按照 6.4.5 c)進行測試，使用已驗證、安全的參數設置，按照 6.4.5

31、d)進行測試，只允許驗證通過 OEM 授信 CA 簽發的證書。5.4.6應用軟件日志安全車載信息交互系統上的應用軟件應滿足以下要求：a)按照 6.4.6 a)進行測試，采取訪問控制機制管理日志讀取和寫入的權限；b)按照 6.4.6 b)進行測試，對日志文件進行安全存儲；c)按照 6.4.6 c)進行測試，對個人敏感信息進行脫敏等防護后，才能寫入應用日志。5.5數據安全要求5.5.1數據采集車載信息交互系統要求如下：a)采集用戶數據時，按照 6.5.1 a)進行測試，應告知用戶采集目的和范圍，取得授權同意，并提供關閉數據采集的功能；b)采集個人敏感信息時，按照 6.5.1 b)進行測試，應取得用

32、戶的明示同意，并確保個人信息主體的明示同意是其在完全知情的基礎上自愿給出的、具體的、清晰明確的意愿表示；c)采集遠程控制、遠程診斷等功能場景下所發送的指令數據時，按照 6.5.1 c)進行測試，應取得用戶授權同意；d)按照 6.5.1 d)進行測試，宜在提供相應服務的同時進行用戶數據采集。5.5.2數據存儲車載信息交互系統要求如下：a)按照 6.5.2 a)進行測試，應采用加密等安全措施存儲個人敏感信息，可采用硬件安全存儲方式；b)按照 6.5.2 b)進行測試，應實現安全重要參數的安全存儲和運算，可采用硬件防護方式；c)存儲用戶數據時，按照 6.5.2 c)進行測試，應防止非授權訪問；d)按

33、照 6.5.2 d)進行測試，應采用技術措施處理后再進行存儲個人生物識別信息（例如：僅存儲個人生物識別信息的摘要等方式）；e)按照 6.5.2 e)進行測試，未經用戶授權不應修改、刪除用戶數據；f)按照 6.5.2 f)進行測試，應對用戶數據操作（包括采集，傳輸，存儲，銷毀）進行日志存儲。5.5.3數據傳輸按照6.5.3進行測試，車載信息交互系統應采取管理措施和技術手段，保護所傳輸用戶數據的保密性、完整性和可用性。5.5.4數據銷毀車載信息交互系統應滿足以下要求：a)按照 6.5.4 a)進行測試，應具備用戶數據銷毀的功能；GB/T XXXXXXXXX10b)對共享類應用（例如：共享汽車等應用

34、場景），在當前用戶退出后，按照 6.5.4 b)進行測試，應清空個人敏感信息。6測試方法6.1硬件安全測試方法硬件安全測試應按照下列流程及要求依次進行：a)檢查是否有存在暴露在 PCB 板上的 JTAG 接口、USB 接口、UART 接口、SPI 接口等調試接口，如存在則使用測試工具嘗試獲取調試權限；b)拆解被測樣件設備外殼，取出 PCB 板，通過 5 倍率以上的光學放大鏡，觀察網關 PCB 板，檢查PCB 板硬件是否存在后門或隱蔽接口；c)通過采用開盒觀察方法，檢查關鍵芯片管腳暴露情況，或審查相應文檔，是否有減少暴露管腳的考量；d)查看 PCB 布線及設計， 檢查安全芯片之間通信線路是否做隱

35、蔽處理， 檢查敏感數據的通信線路數量或審查相應文檔，檢查通信線路是否有做隱蔽處理與減少通信線路數量的考量；e)通過采用開盒觀察方法， 檢查車載信息交互系統的電路板及電路板上的芯片是否存在用以標注芯片、端口和管腳功能的可讀絲印。6.2通信協議與接口安全測試方法6.2.1對外通信協議安全測試方法6.2.1.1通信連接安全測試方法通信連接安全測試應按照下列流程及要求依次進行：a)采用網絡數據抓包工具進行數據抓包， 解析通信報文數據， 檢查車輛端與平臺服務端或外部終端的通信有無身份認證；b)采用網絡數據抓包工具進行數據抓包，解析通信報文數據，模擬中間人攻擊方式，檢查車輛端與平臺服務端或外部終端是否無法

36、建立通信連接。6.2.1.2通信傳輸安全測試方法通信傳輸安全測試應按照下列要求進行：采用網絡數據抓包工具進行數據抓包， 解析通信報文數據， 檢查車輛端與平臺服務端或外部終端間傳輸的數據內容是否經過加密。6.2.1.3通信連接終止安全測試方法通信連接終止安全測試應按照下列流程及要求依次進行：a)采用網絡數據抓包工具進行數據抓包，解析通信報文數據，模擬偽造簽名的報文數據，觸發身份鑒權失敗，檢查車載信息交互系統是否終止該響應操作；b) 采用網絡數據抓包工具進行數據抓包，解析通信報文數據，重發加密的數據，觸發校驗失敗，檢查車載信息交互系統是否終止該響應操作。6.2.1.4遠程通信協議安全測試方法6.2

37、.1.4.1公有遠程通信協議安全測試方法GB/T XXXXXXXXX11公有遠程通信協議安全測試應按照下列要求進行：采用網絡數據抓包工具進行數據抓包，解析通信報文數據，檢查是否采用如TLS V1.2同等安全級別或以上要求的安全通信層協議。6.2.1.4.2私有遠程通信協議安全測試方法私有遠程通信協議安全測試應按照下列流程及要求依次進行：a)對私有遠程通信協議方案進行審核， 采用網絡數據抓包的方法進行數據抓包， 解析通信報文數據中加密密鑰衍生和更新策略，檢查是否支持以安全方式進行定期更新；b)對私有遠程通信協議方案進行審核， 采用網絡數據抓包的方法進行數據抓包， 解析通信報文數據中加密密鑰存儲策

38、略，檢查安全傳輸協議是否以安全的方式存儲數據加密密鑰。6.2.1.5短距離通信協議安全測試方法6.2.1.5.1短距離通信口令應用安全測試方法短距離通信口令應用安全測試應按照下列流程及要求依次進行：a)使用暴力破解的方法，檢查缺省口令的復雜度；b)通過對同一產品的多個樣品驗證缺省口令的方式，檢查缺省口令是否具有唯一性；c)設置較低復雜度口令，檢查修改過程中是否給出明確的風險提示或不允許設置；d)對于人機接口或跨信任網絡的不同車載信息交互系統之間接口的登錄認證， 使用暴力破解的方法，檢查是否成功觸發防暴力破解機制；e)通過嘗試篡改口令文件，檢查是否設置了訪問控制。6.2.1.5.2藍牙通信協議安

39、全測試方法藍牙通信協議安全測試應按照下列流程及要求依次進行：a)模擬遍歷連接車載信息交互系統上的藍牙設備，檢查是否存在后門提供其他車輛服務；b)采用藍牙抓包工具進行數據抓包，解析藍牙通信數據，檢查針對 Classic 場合，是否采用 SSP模式或針對 LE 場合，是否采用 LE Secure Connection 模式；c)向車載藍牙設備發出配對請求，檢查車載藍牙設備是否對配對請求進行驗證，若配對成功后，檢查是否對外部設備進行鑒權；d)利用未認證的外部設備，嘗試進行控制車輛，檢查是否成功接入；e)在利用藍牙進行非接觸控制車輛業務時， 采用藍牙抓包工具進行數據抓包， 解析藍牙通信數據，檢查是否對

40、相關數據進行安全加密處理。6.2.1.5.3WLAN 通信協議安全測試方法WLAN通信協議安全測試應按照下列要求進行：通過獲取WLAN熱點安全類型，檢查WLAN熱點是否采用WPA2-PSK或更高安全級別的加密認證方式。6.2.2內通信協議的安全測試方法內通信協議安全測試應按照下列要求進行：采用車內網絡報文抓包和解析的方法，檢查車載信息交互系統通過CAN或車載以太網等總線與車內其他控制器節點進行數據交互，傳輸重要數據時，是否使用安全機制保證傳輸數據的完整性及可用性。6.2.3通信接口的安全測試方法GB/T XXXXXXXXX126.2.3.1 總體要求測試方法總體要求安全測試應按照下列流程及要求

41、依次進行：a)對軟硬件接口進行探測，端口掃描，檢查是否存在“未公開接口”，是否存在可繞過系統安全機制對系統或數據進行訪問的功能；b)對通信接口進行遍歷，檢查其訪問權限是否滿足“最小權限原則”。6.2.3.2 車外通信接口安全測試方法車外通信接口安全測試應按照下列流程及要求依次進行：a)訪問車載信息交互系統中不同區域的數據， 檢查車載信息交互系統是否支持路由隔離， 是否可以隔離核心業務平臺的通信、內部通信、外網通信等；b)使用公網訪問車載信息交互系統和核心業務平臺， 檢查車載信息交互系統與核心業務平臺的通信是否采用專用網絡或者虛擬專用網絡通信，與公網隔離。6.2.3.3 車內通信接口安全測試方法

42、車內通信接口安全測試應按照下列流程及要求依次進行：a)調用非白名單指令，檢查車載信息交互系統是否針對發送和接收到的指令進行白名單過濾；b)模擬惡意應用，發送控制指令，檢查車載信息交互系統是否實現總線控制指令來源的校驗。6.3操作系統安全測試方法6.3.1操作系統安全配置測試方法操作系統安全配置測試應按照下列流程及要求依次進行：a)使用 root 賬號登錄，并嘗試進行提權,檢查系統是否禁止 root 用戶直接登錄，限制用戶提權操作；b)查看系統中的賬號列表，檢查是否存在無用賬號，或者嘗試登錄其中的無用賬號，驗證是否無法登陸，通過設置弱口令，檢查系統是否提示口令安全弱，賬號口令應至少包括數字、大小

43、寫字母，并且長度不小于 8 位；c)使用授權身份 a 或授權進程 a對文件、數據庫等進行訪問，檢查訪問是否被允許，使用非授權身份 b 或非授權進程 b對文件、數據庫等進行訪問，檢查訪問是否無法成功；d)查看正在運行的應用服務，檢查是否關閉了不必要的應用服務；e)使用授權身份 a 進行遠程接入， 檢查是否可以成功遠程接入， 使用非授權身份 b 進行遠程接入，檢查是否不能遠程接入服務。6.3.2安全調用控制能力測試方法6.3.2.1通信類功能受控機制安全測試方法6.3.2.1.1撥打電話安全測試方法撥打電話安全測試應按照下列流程及要求依次進行：a)在應用軟件內調用撥打電話操作， 檢查應用軟件調用執

44、行撥打電話操作時， 是否在用戶確認的情況下，才能執行撥打操作；b)在應用軟件內調用撥打電話開通呼叫轉移業務操作， 檢查應用軟件調用執行撥打電話開通呼叫轉移業務時，是否向用戶明示業務內容，且在用戶確認的情況下才能執行操作。GB/T XXXXXXXXX136.3.2.1.2三方通話安全測試方法三方通話安全測試應按照下列要求進行：在應用軟件內調用三方通話操作， 檢查應用軟件調用執行三方通話操作時， 是否在用戶確認的情況下才能執行三方通話操作。6.3.2.1.3發送短信安全測試方法發送短信安全測試應按照下列要求進行：在應用軟件內調用發送短信操作， 檢查應用軟件調用執行發送短信操作時， 是否在用戶確認的

45、情況下才能執行發送短信操作。6.3.2.1.4發送彩信安全測試方法發送彩信安全測試應按照下列要求進行：在應用軟件內調用發送彩信操作， 檢查應用軟件調用執行發送彩信操作時， 是否在用戶確認的情況下才能執行發送彩信操作。6.3.2.1.5發送郵件安全測試方法發送郵件安全測試應按照下列要求進行：在應用軟件內調用發送彩信操作， 檢查應用軟件調用執行發送彩信操作時， 是否在用戶確認的情況下才能執行發送彩信操作。6.3.2.1.6移動通信網絡連接安全測試方法移動通信網絡連接安全測試應按照下列流程及要求依次進行：a)檢查車載信息交互系統是否提供了控制移動通信網絡數據連接的開關， 開啟開關檢查是否可使用移動通

46、信網絡數據連接，關閉開關檢查是否無法使用移動通信網絡數據連接；b)檢查應用軟件調用開啟通信網絡數據連接功能時， 是否對用戶進行了相應的提示， 且是否在用戶確認后才開啟通信網絡數據連接功能，當用戶未確認時是否沒有開啟；c)檢查車載信息交互系統是否向用戶提供通過配置應用軟件調用移動通信網絡連接的功能；d)檢查當移動通信網絡的數據連接處于已連接狀態時， 車載信息交互系統是否在用戶界面上有相應的狀態提示；e)當移動通信網絡正在傳送數據時，檢查車載信息交互系統是否在用戶界面上有相應的狀態提示；f)檢查 d）和 e）的兩種狀態提示是否不同。6.3.2.1.7WLAN 網絡連接安全測試方法WLAN網絡連接安

47、全測試應按照下列流程及要求依次進行：a)檢查車載信息交互系統是否有控制 WLAN 網絡連接功能的開關， 開啟開關檢查是否可使用 WLAN網絡連接，關閉開關檢查是否不能使用 WLAN 網絡連接；b)檢查應用軟件調用開啟 WLAN 網絡連接功能時，是否對用戶進行相應的提示，且是否在用戶確認后才開啟 WLAN 網絡連接，當用戶未確認時是否沒有開啟；c)檢查當 WLAN 網絡連接處于已連接狀態時，車載信息交互系統是否在用戶界面上有相應的狀態提示；d)檢查當 WLAN 網絡正在傳送數據時，車載信息交互系統是否在用戶界面上有相應的狀態提示；GB/T XXXXXXXXX14e)檢查 c）和 d）的兩種狀態提

48、示是否不同。6.3.2.2本地敏感功能受控機制測試方法6.3.2.2.1定位功能測試方法定位功能測試應按照下列流程及要求依次進行：a)檢查當應用軟件在使用期間調用定位功能時， 車載信息交互系統是否要求用戶確認允許使用定位功能，用戶未確認時是否會停止調用定位功能；b)檢查車載信息交互系統是否提供了后臺定位控制能力， 且用戶是否可為每個應用軟件選擇開啟和關閉后臺定位功能；c)檢查 a）和 b）是否讓用戶分別操作；d)檢查當應用軟件調用定位功能時，車載信息交互系統是否在用戶界面上有相應的狀態提示。6.3.2.2.2通話錄音功能測試方法通話錄音功能測試應按照下列要求進行：檢查當應用軟件調用通話錄音功能

49、時，是否要求用戶確認，用戶未確認時是否不開啟通話錄音。6.3.2.2.3本地錄音功能測試方法本地錄音功能測試應按照下列要求進行：檢查應用軟件調用本地錄音功能時，是否要求用戶確認，用戶未確認時是否不開啟本地錄音。6.3.2.2.4對用戶數據的操作測試方法對用戶數據的操作測試應按照下列要求進行：使用授權的應用軟件a對用戶數據進行處理， 檢查是否可以成功執行， 使用非授權的應用軟件b對用戶數據進行處理，檢查是否無法成功。6.3.3操作系統安全啟動測試方法操作系統安全啟動測試應按照下列流程及要求依次進行：a)獲取操作系統安全啟動信任根存儲區域的訪問方法和地址， 使用軟件調試工具寫入數據， 重復多次檢查

50、是否可將數據寫入該存儲區域；b)提取操作系統簽名， 使用軟件調試工具對簽名進行篡改， 將修改后簽名寫入到車載終端內的指定區域，檢查是否正常工作；c)獲取操作系統的系統固件等其他安全啟動代碼， 使用軟件調試工具對其進行篡改， 將修改后的啟動代碼寫入到車載終端內的指定區域，檢查是否正常工作。6.3.4操作系統更新安全測試方法操作系統安全更新測試應按照下列流程及要求依次進行：a)將鏡像替換為過期的鏡像，檢查是否無法成功加載；b)確認更新鏡像安裝失敗時（如通過在更新鏡像時人為斷電等方法），檢查系統安裝之前的版本是否可用；c)修改更新鏡像，檢查更新流程是否無法執行；d)使用非官方授信的更新鏡像，檢查更新