DB50T 1419-2023 汽车数字钥匙系统技术要求与测试方法

ICS33.060.01CCSM37DB502023-06-06发布重庆市市场监督管理局发布IDB50/T1419-2023 12规范性引用文件 13术语和定义 14汽车数字钥匙系统 24.1系统结构 24.2工作流程 35汽车数字钥匙系统技术要求 45.1数字证书 45.2车载终端 45.3移动终端 55.4通信要求 66汽车数字钥匙系统测试方法 76.1数字证书测试 76.2车载终端测试 76.3移动终端测试 86.4通信测试 9DB50/T1419-2023本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准的结构和编写》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由重庆市经济和信息化委员会提出、归口并组织实施。本文件主要起草单位：中国汽车工程研究院股份有限公司、重庆金康赛力斯新能源汽车设计院有限公司。本文件主要起草人：雷剑梅、刘杰、孙前景、秦黎、汤轲、陈睿、向华。1DB50/T1419-2023汽车数字钥匙系统技术要求与测试方法本文件规定了汽车数字钥匙系统的概述、技术要求和测试方法。本文件适用于汽车数字钥匙系统。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15843.3信息技术安全技术实体鉴别第3部分∶采用数字签名技术的机制GB/T18336-2015信息技术安全技术信息安全评估准则GB/T25069-2010信息安全技术术语GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法GB/T38628-2020信息安全技术汽车电子系统网络安全指南GB/T38648-2020信息安全技术蓝牙安全指南GB/T39720-2020信息安全技术移动智能终端安全技术要求和测试评价方法GB/T40855-2021电动汽车远程服务与管理系统信息安全技术要求IEEE802.15.1-2005无线个人局域网的无线介质访问控制和物理层规范3术语和定义GB/T25069-2010、GB/T38628-2020界定的以及下列术语和定义适用于本文件。汽车数字钥匙vehicledigitalkey用户控制车辆的数字证书。3.2汽车数字钥匙服务平台vehicledigitalkeyserviceplatform能够为汽车数字钥匙提供数字钥匙生成、分发、认证、存储、升级等管理功能的远程服务端。以下简称“服务平台”。3.3汽车数字钥匙车载终端vehicledigitalkeyboardterminal能够为汽车数字钥匙提供远程访问车载网络功能的终端。以下简称“车载终端”。2DB50/T1419-20233.4汽车数字钥匙移动终端vehicledigitalkeymobileterminal汽车用户随身携带远程访问汽车的移动设备。以下简称“移动终端”。3.5低功耗蓝牙bluetoothlowenergy一种采用低功耗射频方式在近距离使用电子信息设备交换信息的无线接口技术。以下简称“BLE”。3.6应用程序application针对智能移动终端设备开发的专门解决应用问题的软件。以下简称“APP”。4汽车数字钥匙系统4.1系统结构4.1.1系统组成汽车数字钥匙系统由服务平台、车载终端和移动终端构成，该系统具备对移动终端和车载终端的认证功能，并支持数字钥匙的生成、存储、分发、分享、撤销等功能。4.1.2服务平台服务平台通常由身份认证系统、钥匙管理系统、车辆与用户身份管理系统、日志管理系统等构成，提供汽车数字钥匙的认证服务并负责管理数字钥匙证书的生成、存储、分发、分享、撤销和升级功能；4.1.3车载终端车载终端主要包括相应的硬件模块、软件模块，通过无线通信的方式与服务平台和移动终端建立连接，完成数字证书认证和数据交互，通过控制整车的系统通信来执行、记录及反馈移动终端的操作指令。4.1.4移动终端4.1.4.1移动终端的软件主要为手机App，用户使用移动终端通过无线的方式与服务平台和车载终端建立通信连接，完成数字钥匙的认证和对车辆的控制。4.1.4.2汽车数字钥匙代表使用者的身份、权限等，结构如图1所示。3DB50/T1419-2023 数字证书系统服务平台远程加密传输远程加密传输蓝牙传输手机APP设备APP移动终端车辆终端图1汽车数字钥匙系统结构图数字钥匙的数据结构至少应包含∶a）钥匙标识符∶钥匙的唯一标识符，同时应能代表钥匙发行方（即汽车厂商）的身份;b）车辆标识符∶车辆的唯一身份标识;c）用户标识符∶用户的唯一身份标识;d）终端设备标识符∶终端设备的唯一身份标识;e）有效时间∶钥匙可操作车辆的可用时间段;f）车辆的控制权限∶钥匙可操作车辆的控制权限，如仅限开启后备箱，仅限解锁车门。4.2工作流程汽车数字钥匙系统在服务平台生成钥匙数据（钥匙数据标识了用户的身份、操作的车辆对象、可操作的权限以及可操作的时间等通过在线方式下发到移动终端，移动终端需要对钥匙数据进行临时存储满足用户移动终端设备无可用网络下的使用需求。数字钥匙成功下发后即可以对车辆进行控制，移动终端设备与汽车之间使用蓝牙等通信技术进行数据传输以完成设备间的身份认证、车辆控制指令发送等功能，车辆在接收到控制指令时会对钥匙的权限以及使用者身份等进行校验，校验通过后车辆响应移动终端的控制指令。服务平台数字证书系统数字证书系统证书下发 手机APP设备APP移动终端车辆终端图2数字钥匙工作流程4DB50/T1419-20235汽车数字钥匙系统技术要求5.1数字证书5.1.1基本要求应满足以下要求∶a）汽车数字钥匙系统支持生成、传输、存储、使用、注销数字证书;b）通过数字证书授权移动终端完成汽车数字钥匙的其他功能。5.1.2证书注册汽车数字钥匙移动终端初次使用时或被注销后重新使用应向服务平台申请数字证书，通过注册汽车数字钥匙用户的身份信息及移动终端和车载终端的设备信息完成注册，并由服务平台向移动终端下发唯一的数字证书。5.1.3身份识别5.1.3.1应支持在线汽车数字钥匙身份识别。5.1.3.2汽车数字钥匙智能终端在线身份认证应选用以下任意一种方式进行身份认证∶a)在数字认证前应建立安全通道。b)在建立安全通道后，采用密码口令，短信验证码等进行身份认证，不应使用弱密钥。5.1.4证书更新5.1.4.1汽车数字钥匙移动终端在数字证书到期之前应通过不同方式（包括但不限于短信、客户端提示、Email等）提示车主进行证书更新。5.1.4.2移动终端在以下情况下应进行数字证书更新∶a)数字证书已到期，且未申请新的数字证书，按照移动终端注册流程重新申请数字证书;b)数字证书未到期，移动终端应在更新请求消息中携带已有数字证书，以便服务端核验信息和签发新的数字证书。5.1.5证书注销应向通过身份认证的用户提供数字证书的注销途径。5.2车载终端5.2.1车机数字钥匙硬件模块车机端数字钥匙硬件安全要求如下：a)电路板不存在用以标注芯片、端口和管脚功能的可读丝印；b)关键芯片应尽量减少暴露管脚（如采用BGA、LGA封装）；c)电路板不应存在可调试的接口。5.2.2车机数据安全车载端应采用安全措施保证汽车数字钥匙数据的安全，并满足以下要求∶a)数据存储应设置相应的权限，禁止未授权的访问和篡改；5DB50/T1419-2023b)数据存储应采取加密方式，加密算法符合国密的要求；c)应使用安全的通信通道进行数据传输。5.3移动终端5.3.1应用软件安全若移动终端为智能移动终端，应用软件自身应满足以下安全要求∶a)应用软件安全及卸载应满足GB/T34975-20174.1.1的要求;b)应用软件访问控制应满足GB/T34975-20174.1.3的要求;c)应用软件运行安全应满足GB/T34975-20174.1.5的要求;5.3.2身份认证5.3.2.1若移动终端为智能终端，应用软件应将汽车数字钥匙数字证书与数字密钥进行绑定。5.3.2.2应用软件鉴权机制应满足GB/T34975-2017中4.1.2的要求。5.3.3证书安全应采取安全措施保证数字证书安全，满足以下安全要求∶a)数字证书应当与当前移动终端设备绑定，避免数字钥匙（以下简称DK）被复制到其他设备时仍然可用;b)数字证书应对用户进行身份校验和访问控制，确保当前用户仅能下载或生成与自身车辆匹配的DK，不可越权下载或生成其他车主车辆的DK;c)数字证书为同一辆车的DK时，DK应是密文数据，且具备随机不可预测性;d)数字钥匙APP使用时，车端硬件模块应与移动终端保持时间同步，避免通过修改移动终端的系统时间实现DK过期后复用;e)在分享场景下，取消分享授权或分享过期后，数字钥匙APP应及时删除DK；f)数字钥匙APP在注销登录时，应当删除在移动终端设备上的DK-。5.3.4钥匙分享若汽车数字钥匙支持数字钥匙共享，应满足以下要求：a)只有已注册最高权限的数字钥匙用户可分享数字钥匙给其他用户，被分享的用户无法再分享其数字钥匙；b)最高权限的数字钥匙用户能够设置分享数字钥匙的权限，包括但不限于使用期限、车辆可使用的功能等；c)共享数字证书应向服务平台进行注册，并下发到车载端及移动终端；d)最高权限用户可以随时撤销对已分享的数字钥匙；e)在分享场景下，DK的有效期和离线使用次数（及配置文件）应具有完整性相验机制。5.3.5钥匙使用应采取以下措施确保汽车数字钥匙在使用过程种的安全性和便利性：a)数字钥匙启用和启动时应检测手机或承载的APP应启用了安全机制，若无安全机制则无法启用或启动数字钥匙；b)数字钥匙完成终端注册后，应支持离线使用。5.3.6身份管理6DB50/T1419-2023应支持车辆身份信息的录入、修改、删除（解绑）。应支持用户身份信息的录入、修改、删除。5.3.7日志管理汽车数字钥匙系统产生的相关日志应满足以下要求：a）应对系统运行日志、告警日志、操作日志、应用软件运行日志、配置信息等安全事件生成审计b）审计日志内容应包括事件发生的时间、主体、对象、事件描述和结果等。c)日志需安全存储在智能终端或服务端，以供审计。5.4通信要求5.4.1云端通信安全通信协议要求如下：a)应使用TLS1.2或以上版本；b)若使用基于非对称密钥的身份认证的TLS协议，应具有对应的证书更新及撤销机制，宜使用SM2、RSA(长度不低于2048位)或同级别以及更高级的加密算法，证书的有效期宜不超过365天；c)若使用基于对称密钥的身份认证的TLS协议，应具有对应的密钥更新机制，宜使用SM4、AES(长度不低于128位)或同级别以及更高级的加密算法；d)完整性校验满足SM3、SHA256。5.4.2BLE通信5.4.2.1协议要求汽车数字钥匙系统支持蓝牙通信的组件应满足以下要求;a)支持蓝牙IEEE802.15.1-2005协议;b)支持BR/EDR和BLE双模;c)支持GATT协议；d)移动终端、车载终端应支持蓝牙4.2及以上通信协议；e)移动终端、车载终端应支持蓝牙安全模式1级别4；f)系统不应存在由权威漏洞平台公开发布6个月及以上且未经处置的高危安全漏洞。5.4.2.2BLE通信性能BLE的通信性能应达到以下要求：a)汽车数字钥匙系统支持蓝牙通信的组件间通信距离在视距通信环境下应大于40m。蓝牙连接100次，成功率应大于99%。b)若汽车数字钥匙系统支持定位功能，则其车内定位精度误差应小于30cm。c)车内识别车外溢出距离应小于40cm，进入解锁100次，成功率应大于99%。车内识别100次，成功率应大于99%。5.4.2.3BLE通信安全BLE应支持以下安全措施∶a)BLE通信链路应支持加密；7DB50/T1419-2023b)BLE应具备抵抗中间人攻击的能力；6汽车数字钥匙系统测试方法6.1数字证书测试6.1.1基本要求测试检查汽车数字钥匙系统功能应支持：a)数字证书的生成、分配、存储、更新和注销功能。1）生成：根据用户的申请生成对应的证书；2）传输：将对应的证书发送到客户的终端以及与之对应的车机；3）存储：在证书平台、车机和云端存储对应的证书；4）注销：系统应支持根据客户的需求将对应的证书注销；b)数字证书应在移动终端生效并实现其数字钥匙的既定功能。将证书下发至移动端，确认数字钥匙生效并实现设计的功能。6.1.2身份认证测试6.1.2.1在线鉴别测试应通过以下方式进行在线鉴别测试a)通过抓包确认，智能终端和云端建立连接应采用SSL模式；b)检测身份验证过程应采用密码口令或短信验证码的方式；c)若有采用，则确认：1)口令应符合须有大小写字母、数字和符号组成，系统应有设置口令有效期；2)口令应有采用加密存储；3)短信验证码应有6位，应存在有效期，应只能使用一次；6.1.3证书注册测试初次申请数字钥匙必须使用车主身份信息进行申请。6.1.4证书更新测试在数字钥匙平台设置有效期，检测数字证书在到期前应有提示用户进行证书更新的动作，包括但不限于短信提醒、APP弹窗和车机显示等方式。a)若用户未在证书到期前完成证书更新，则用户需要通过证书注册的方式来获取合法的证书。b)若用户证书未过期，则测试终端应可以完成证书的更新申请；6.1.5证书注销测试检查数字证书系统在通过用户身份鉴定后应有途径提供对车机或移动终端的证书注销的功能。6.2车载终端测试6.2.1车载终端硬件安全测试硬件信息安全测试应按照下列流程及要求依次进行：a)通过5倍率以上的光学放大镜，检查PCB板硬件不应存在芯片管脚的标注或者丝印；8DB50/T1419-2023b)检查对应芯片的封装模式应采用BGA或者LGA；c)检查PCB板上不应存在JTAG接口、USB接口、UART接口、SPI接口等调试接口，如存在则使用测试工具尝试获取调试权限。6.2.2车载终端数据安全测试检测车机端的数字钥匙数据应采用权限制或者加密的方式进行保护。a)尝试使用非授权的方式读取数据，检验数据应不被读取；b)使用逆向分析工具检测数据应为密文存储；6.3移动终端测试6.3.1应用软件安全测试应按照以下要求对应用软件进行安全测试：a)应用软件安全及卸载测试：按GB/T34975-2017中5.1.1要求进行；b)应用软件访问控制测试：参照《GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》5.1.3；c)应用软件运行安全测试：参照《GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》5.1.5；6.3.2身份认证测试a)应用软件身份认证测试：参照《GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》5.1.2；6.3.3证书安全测试应按照以下要求对证书安全进行测试：a)检验证书应与申请的移动终端设备绑定，将证书导入其它移动设备应不可用；b)检测证书系统生成证书时应检验申请用户的身份和其名下的车型信息；c)检测DK应保存为密文保存；d)设定DK的有效期，然后修改移动终端的时间，检测DK应不可用；e)在分享场景下，DK的相关配置文件应采用加密措施；f)在分享场景下，检测分享的权限取消后，数字钥匙的APP应删除DK；g)在数字钥匙的APP注销登录时，检测APP应删除终端设备的DK；6.3.4钥匙分享测试应按照以下要求进行钥匙分享测试：a)测试最高权限的用户应可以分享较低权限的证书给其它用户；b)测试最高权限的用户应可以设置较低权限用户的权限范围；c)测试最高权限的用户应可以设置较低权限用户的数据证书有效期；6.3.5钥匙使用应按照以下方式进行钥匙使用测试：a)未启用手机安全机制时，应不可以启用或启动数字钥匙；b)关闭手机与云端的通信，测试手机数字钥匙应可以按照设计功能进行控车；9DB50/T1419-20236.3.6身份管理测试应按照以下要求进行身份管理测试：a)测试移动终端应支持用户录入、修改和删除车辆信息；b)测试移动终端应支持用户信息的录入、修改和删除。6.3.7日志安全测试审计日志的测试方法、预期结果和结果判定如下。a)测试方法1)模拟用户对移动智能终端进行连续鉴别、存储耗尽、参数设置、网络访问等操作，查看生成的审计日志;2)审查移动智能终端生成的日志，查看其中记录系统运行记录、报警记录、操作日志、应用软件运行日志、配置信息等安全事件;3)查看日志内容应包含事件发生时间、主体、对象、事件描述和结果等；4)查看日志应是密文存储。b)预期结果1)移动智能终端对系统运行记录、报警记录、操作日志、应用软件运行日志、配置信息等安全事件生成了审计日志;2)审计日志内容包括事件发生的时间、主体、对象、事件描述和结果等；3)日志加密存储，非合法用户无法打开日志。c)结果判定上述预期结果均满足判定为符合，其他情况判定为不符合。6.4通信测试6.4.1云端通信安全测试平台间通信安全测试a)协议版本核查核查安全通信协议应为TLS1.2或以上版本，不应允许降级（降到TLS1.1、TLS1.0或SSLv3）。b)协议功能核查核查安全通信协议应禁用会话重协商和TLS压缩功能。c)安全算法核查核查TLS协议