由全国汽车标准化技术委员会智能网联汽车分技术委员会组织起草的推荐性国家标准《汽车芯片信息安全技术规范》已形成征求意见稿。7月8日提交公示,广泛征求意见。
国家标准计划《汽车芯片信息安全技术规范》由全国汽车标准化技术委员会归口,全国汽车标准化技术委员会智能网联汽车分会执行 ,主管部门为工业和信息化部。主要起草单位有中国汽车技术研究中心有限公司 、比亚迪汽车工业有限公司等。
《汽车芯片信息安全技术规范》征求意见编制说明显示,近年来,对于汽车行业的信息安全、数据安全的要求不断提升,安全需求也逐步分解到汽车芯片层级,同时也发布了推动车规级芯片研发应用的多项政策:而当前行业上缺乏统一的技术要求和验证方法,来规范汽车芯片产品的信息安全能力,使得汽车芯片的信息安全技术水平参差不齐,而现有标准不能完全适用于汽车芯片的信息安全应用,因此有必要制定针对针对汽车芯片信息安全的国家标准,为汽车芯片在保障信息安全方面的应用提供有效的落地指导。技术可行性方面,汽车芯片作为汽车信息安全防护体系的底层硬件实现,具备密钥保护、安全启动等信息安全功能的汽车芯片已经得到了广泛应用,国内外多家企业均具备成熟技术方案且已量产应用,具备标准化制定和标准应用的可行性。
《汽车芯片信息安全技术规范》规定了汽车芯片信息安全需求分析方法、汽车芯片信息安全需求与安全功能的映射关系,以及汽车芯片信息安全功能技术要求及试验方法等,适用于具备硬件安全保护机制的汽车芯片。
【说明】汽车芯片基于其应用场景和功能设计存在较多类型,该文件所约束的汽车芯片为具备硬件安全保护机制的汽车芯片,即可以用于满足信息安全需求,承担信息安全功能,且具备硬件实现的信息安全功能的汽车芯片。
主要技术内容:
1)具备硬件安全保护机制的汽车芯片的范围
【原文】硬件安全保护机制hardware security protection mechanism
为满足汽车系统在完整性、机密性、可用性等方面的信息安全需求而设计的,由汽车芯片电路实现的信息安全功能。
【说明】本文件中的汽车芯片由芯片软件和芯片硬件两大部分组成,其中芯片软件又可划分为固件、操作系统和应用软件三个部分。
汽车芯片结构
2)技术要求中的8.1 章节通用要求
【原文】在汽车芯片数据表(datasheet)声称的工作温度等工作条件下,汽车芯片具备的信息安全功能应符合8.2-8.15中相应的信息安全功能技术要求。
【说明】本文件特别规定了在各种工作条件下的信息安全功能应均能正常运行,其中温度是最关键的工作条件。此处汽车芯片数据表声称的工作温度是指芯片厂商在产品规格书中写明的额定工作温度范围或给出的AEC-Q100温度等级。
3)软件攻击保护机制
【说明】软件攻击保护机制是指从栈保护、代码段和数据段保护、控制流完整性保护等方面实现对加载程序和关键系统固件的保护,保护汽车芯片在受到软件类漏洞攻击时芯片的功能正确性和数据安全性。
4)产品测试输入
【原文】产品测试输入送检厂商应提供被测产品及其软硬件环境支持完成测试,至少包括:
——被测产品的测试电路板:
——被测产品的上位机测试软件:
——被测产品的测试接口说明。
【说明】本文件标准化对象为具备硬件安全保护机制的汽车芯片,除了对硬件安全模块的规范外,还对汽车芯片整体的安全功能也提出了要求。送检厂商在提供被测产品时,除了被测产品的安全侧内容以外,还应提供能够支持测试的最小系统。
5)附录
【原文】汽车芯片信息安全分析完整示例见附录A,汽车典型应用场景的汽车芯片信息安全需求和安全功能见附录B,汽车芯片信息安全分级应用示例见附录C。
【说明】附录A以零部件T-box和DSSAD应用场景,给出了由零部件的信息安全需求分解到汽车芯片的信息安全需求,再到汽车芯片信息安全需求映射到信息安全功能的分析过程:附录B根据汽车芯片的芯片类型与应用场景,提供了不同类型芯片建议具备的安全功能:附录C则给出了汽车芯片信息安全分级的方法论以及不同安全等级与标准安全功能技术要求对应关系,并基于汽车典型应用场景给出了不同芯片类型推荐的信息安全等级。
6)表C.5 注释
【原文】若零部件系统中具备三级的安全芯片,且汽车芯片的部分安全功能完全由安全芯片实现,则芯片自身可不实现对应的信息安全功能。
【说明】附录C表C.5基于汽车典型应用场景给出了不同芯片类型推荐的信息安全等级,但在实际应用中,部分芯片本身不承担信息安全功能,或为了实现更高的信息安全防护,选择通过外挂安全芯片的方式实现信息安全防护。在这种情况下,若汽车芯片的部分安全功能完全由安全芯片实现,则芯片自身可不实现对应的信息安全功能。
本标准的制订填补了当前汽车领域芯片产品信息安全相关技术标准的空白,对汽车芯片企业设计信息安全功能、零部件企业和整车企业应用汽车芯片产品构建整体信息安全防护体系具有指导作用,同时通过标准化的测试方法,规范汽车芯片产品信息安全能力的验证,更大程度上保证测试结果的一致性。
