《智能网联汽车车载端信息安全技术要求》

ICS43.040

T09

团体标准

T/CSAEXX－2023

代替T/CESE101-2018

智能网联汽车车载端信息安全技术要求

Intelligentandconnectedvehicleson-boardterminalcybersecurity

technicalrequirements

（）

（征求意见稿）

在提交反馈意见时，请将您知道的该标准所涉及必要专利信息连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

中国汽车工程学会发布

。

XXXX—2023

智能网联汽车车载端信息安全技术要求

1范围

本文件规定了智能网联汽车车载端的信息安全架构及目标、信息安全分级、信息安全技

术要求。

本文件仅适用于同时具备对外通信和对内通信功能或具备通话、录音、导航和娱乐等相

关服务功能的汽车车载端信息交互系统。

注：汽车车载端信息交互系统包括但不限于远程车载信息交互系统（T-BOX）、车载综

合信息处理系统（IVI）、车载卫星通信终端等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期中国汽车工程学会2341

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T19596-2017电动汽⻋术语

GB/TXXXX智能网联汽车术语和定义

GB/TYYYY汽车数据通用要求

GB/TZZZZ汽车诊断接口信息安全技术要求及试验方法

GB/T35273-2020信息安全技术个人信息安全规范

GB/T37092信息安全技术密码模块中国汽车工程学会2341安全要求

GB/T40856-2021车载信息交互系统信息安全技术要求及试验方法

GB/T41388-2022信息安全技术可信执行环境基本安全规范

GM/T0008安全芯片密码检测准则

GM/T0051密码设备管理对称密钥管理技术规范

YD/T3594-2019基于LTE的车联网通信安全技术要求

YD/T3646-2020移动应用程序代码签名技术要求

YD/T3957-2021基于LTE的车联网无线通信技术安全证书管理系统技术要求

YD/T4774-2024车辆C-V2X异常行为管理技术要求

中国汽车工程学会2341

T/CSAE159-2020基于LTE的车联网无线通信技术直连通信系统路侧单元技术要求

3术语和定义

GB/TXXXX界定的以及下列术语和定义适用于本文件。

3.1

智能网联汽车intelligentandconnectedvehicle；ICV

利用车载传感器、控制器、执行器中国汽车工程学会2341、通信装置等，实现环境感知、智能决策和/或自动控

制、协同控制、信息交互等功能的汽车的总称。

注1：环境感知、智能决策、自动控制以及协同控制等功能一般称为智能功能，其中协同控

制功能一般需要网联功能支持。

注2：车辆利用通信技术实现与外界信息交互的功能称为网联功能，“外界”是指车辆自身范

畴以外，例如穿戴设备等属于“外界”的范畴。

注3：具备智能功能的汽车称为智能汽车，具备网联功能的汽车称为网联汽车。

[来源：GB/TXXXX，3.1]

3.2

1

。

XXXX—2023

智能网联汽车车载端icvon-boardterminal

智能网联汽车的一个子系统，具备数据输入输出、计算处理、存储、通信等功能，可采

集车内相关ECU数据，还可集成定位、导航、娱乐等多种功能，是汽车网联化、接入移动互

联网和车际网的功能单元。

3.3

用户user

使用车载端资源的主体。

3.4中国汽车工程学会2341

用户数据userdata

由用户产生或为用户服务的数据。

3.5

应用程序applicationsoftware

专门解决应用问题的软件或程序，包括其运行依赖的二进制文件、配置文件等。

3.6

中国汽车工程学会2341

授权authorization

根据预先认可的安全策略，赋予主体可实施相应行为权限的过程。

3.7

代码签名codesigning

利用数字签名机制，由具备签名权限的实体对全部或部分代码进行签名的机制。

注：数字签名是附加在数据单元上的一些数据，或是对数据单元作密码变换，这种附加

数据或密码变换被数据单元的接收者用以确认数据单元的来源和完整性，达到保护数据，防

止被人（例如接收者）伪造的目的。中国汽车工程学会2341

[来源：GB/T40856-2021，3.6]

3.8

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反

映特定自然人活动情况的各种信息。

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信

中国汽车工程学会2341

通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、

健康生理信息、交易信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画

像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活

动情况的，属于个人信息。

[来源：GB/T35273-2020，3.1]

3.9

敏感个人信息sensitivepersonal中国汽车工程学会2341information

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受

到损害或歧视性待遇等的个人信息。

注1：敏感个人信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内

容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）

儿童的个人信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、

非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性

待遇等的，属于敏感个人信息。中国汽车工程学会2341

2

。

XXXX—2023

[来源：GB/T35273-2020，3.2，有修改]

3.10

重要数据importantdata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或

者个人、组织合法权益的数据，包括：

——军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人

员流量、车辆流量等数据；

——车辆流量、物流等反映经济运行情况的数据；

——汽车充电网的运行数据；

——包含人脸信息、车牌信息等的车外视频、图像数据；

——涉及个人信息主体超过10万人的个人信息；

——国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定

的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

[来源：汽车数据安全管理若干规定（试行），第三条]

3.11

电子围栏electronicfence中国汽车工程学会2341

基于高精定位技术构建的一系列由坐标围成的虚拟物理边界。

4缩略语

以下缩略语适用于本文件。

BSSID：基本服务集标识（BasicServiceSetIdentifier）

CD：光盘（CompactDisc）

CPA：相关功耗分析（CorrelationPowerAnalysis）

中国汽车工程学会2341

DPA：差分功耗分析（DifferentialPowerAnalysis）

DVD：数字视频光盘（DigitalVideoDisk）

ECU：电子控制单元（ElectronicControlUnit）

FTP：文件传输协议（FileTransportProtocol）

GNSS：全球导航卫星系统（GlobalNavigationSatelliteSystem）

GRE：通用路由封装（GenericRoutingEncapsulation）

IMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity）

IVI：车载综合信息处理系统（In-VehicleInfotainment）

JTAG：联合测试工作组（JointTest中国汽车工程学会2341ActionGroup）

OBD：车载自动诊断系统（On-BoardDiagnostics）

PEI：永久设备标识符（PermanentEquipmentIdentifier）

PIE：地址无关可执行文件（Position-IndependentExecutable）

SD：安全数码（SecureDigital）

SPA：简单功耗分析（SimplePowerAnalysis）

SSH：安全外壳协议（SecureShell）

T-BOX：车载信息交互系统（TelematicsBOX）

TELNET：远程登录协议（Teletype中国汽车工程学会2341Network）

TFTP：简单文件传输协议（TrivialFileTransportProtocol）

TLCP：传输层密码协议（TransportLayerCryptographyProtocol）

TLS：安全传输层（TransportLayerSecurity）

USB：通用串行总线（UniversalSerialBus）

VPN：虚拟专用网络（VirtualPrivateNetwork）

WEP：有限等效保密（WiredEquivalentPrivacy）

WLAN：无线局域网络（WirelessLocalAreaNetwork）

WPA2-PSK：第二代Wi-Fi访问保护中国汽车工程学会2341（Wi-FiProtectedAccess2），使用预共享密钥（Pre-

3

。

XXXX—2023

）

中国汽车工程学会2341SharedKey中国汽车工程学会2341中国汽车工程学会2341

WPA3-SAE：第三代Wi-Fi访问保护（Wi-FiProtectedAccess3），使用对等实体同时验

证（SimultaneousAuthenticationofEquals）

5车载端信息安全架构及目标

5.1车载端安全架构

车载端作为智能网联汽车内外通信的重要节点，应通过技术措施检测、防止和阻断通过

多种网联接口实施的安全攻击，保证车内重要子系统不因车辆具有网联功能而增加安全风

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

险。

智能网联汽车信息安全体系以及车载端的信息安全架构如图1所示。整体安全体系由云

端安全、路侧设备安全、通信安全、车辆安全多个部分构成。车载端作为智能网联汽车的重

要组成，其信息安全是车辆整体信息安全的重要组成部分，包括车载端自身的硬件层面、操

作系统层面、应用软件层面的安全，对外通信和对内通信的安全，以及数据安全、升级安全

和日志安全。除此之外，车辆整体安全还包括与车载端进行通信的总线/网关的安全、各级

别子系统的安全等。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

图1智能网联汽车信息安全体系及车载端信息安全架构示意图

5.2整体安全目标

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

车载端整体安全目标是通过车载端软硬件各层面安全措施的实施，保护汽车的电子电

气系统、组件和功能，避免由于信息安全问题造成的对驾驶员和交通参与人员的伤害，以及

由此引发的公共安全问题；同时防止个人信息泄露和由于信息安全事件引起的国家、企业及

个人的财产损失。

5.3硬件安全目标

车载端硬件安全目标是保证车载端系统使用的电路和芯片在实现数据运算和数据存储

中国汽车工程学会2341等功能时的安全性，能够使用硬件相关技术对中国汽车工程学会2341抗物理层面的多种攻击，例如：密码分中国汽车工程学会2341析攻击、

侧信道攻击、故障注入攻击，以及针对USB、JTAG类调试接口的攻击等。

5.4操作系统安全目标

操作系统安全目标是通过操作系统层面的身份权限管理、访问控制机制等措施，正确地

响应授权操作，处理异常行为，对抗针对操作系统的溢出攻击、暴力破解、中间人攻击、重

放、篡改、伪造等多种安全威胁，保证操作系统文件的可用性、保密性、完整性和可审计性，

保证对各类资源的正常访问，确保系统能够按照预期正常运行或在各种异常情况之下处于

安全状态。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

4

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

5.5应用软件安全目标

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

应用软件安全目标是要保证安装在车载端上的应用软件没有预留调试功能或未公开的

后门以及重大风险的漏洞，具备来源真实性和完整性等防护措施，可以对抗逆向分析、反编

译、篡改、非授权访问等针对应用软件的安全威胁，并确保应用软件安全稳定地运行、更新，

确保车载端应用软件与相关服务器之间交互的安全性，能够提供安全性机制以便发现异常、

恶意行为并及时提示或采取措施。

5.6对内通信安全目标

中国汽车工程学会2341对内通信包括车载端与车内总线以中国汽车工程学会2341及车内各电子电气系统之间的通信，其安全目标中国汽车工程学会2341是

根据应用场景的通信需求，保证外部威胁与内部网络之间的安全隔离，保证车载端及内部各

电子电气系统之间不会非法访问，保证车载端能够验证从车辆内部系统接收数据的真实性

和完整性并进行相应处置，保证车载端能够应对伪造、重放等攻击。

5.7对外通信安全目标

对外通信包括车载端通过蜂窝网络接口（如Um、Uu）与云平台和移动端的通信，通过

直连通信接口（PC5）与其它车辆和路侧设施的通信，通过蓝牙、WLAN与其他终端的无线

通信，通过USB接口与其他USB设备的通信，通过OBD接口与诊断设备的通信，通过卫星通

中国汽车工程学会2341信终端与卫星的通信等。对外通信的安全目标中国汽车工程学会2341是根据应用场景的通信需求，保障数据中国汽车工程学会2341传输过

程中的保密性、完整性和真实性，用以对抗嗅探攻击、中间人攻击、重放攻击等多种安全威

胁。

5.8数据安全目标

数据安全目标是要保证车载端所采集、存储、处理、传输、删除的个人信息和重要数据

的安全性，确保个人信息和重要数据的机密性、完整性和可用性得到有效的防护，防止因数

据泄露或非法使用影响人身财产和社会安全。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

5.9升级安全目标

升级安全目标是要保证车载端在软件升级全过程的安全性，包括升级包下载前的身份

认证，升级包的安全传输、真实性和完整性检查，升级启动前的环境安全检测，以及升级过

程应具备的备份和恢复能力等，确保车载端升级活动不会引入新的安全风险。

5.10日志安全目标

日志安全目标是明确车载端的日志记录要求、安全存储要求、访问控制要求、保留时间

和备份要求等，确保车载端操作系统、应用软件等关键事件日志记录的安全性，为车载端进

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

行网络安全事件分析和预防提供数据支撑。

6车载端信息安全分级

6.1各级之间的关系

根据车载端信息安全技术要求的实现难度、防护强度的不同，将其划分为基本级要求和

增强级要求两个级别：

a)基本级要求明确了车载端必须满足的信息安全技术要求的最小集合；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

b)增强级要求是用来引导整车厂、零部件供应商、软件供应商等选择实施的技术要求，

当车载端满足全部增强级要求内容时，才能标识为达到该安全级别。

6.2分级描述

6.2.1基本级要求

基本级应满足：

a)车载端具备初步的信息安全认证授权和访问控制措施，构建了安全可信的基础执行

环境，对系统和数据采取多种方式以保护其信息安全属性，能够基本避免由于信息安全导致

中国汽车工程学会2341的个人隐私泄露或财产损失，能够基中国汽车工程学会2341本保证信息安全问题不会导致功能安全问题中国汽车工程学会2341或者社会

5

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

安全问题；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

b)车载端具备信息安全威胁监测和安全事件审计能力，以及根据监测/审计结果进行

处置的能力，在实现多层面、多方面安全防护的同时提供监管能力；

c)车载端通过以密码方案为基础的技术措施，构建完备的、可信的信息安全防护体系，

能够实现操作系统、应用软件、内外通信及数据等多方面的安全目标。

6.2.2增强级要求

增强级要求在基本级的基础上，应满足：

a)提升信息安全技术的有效性和可靠性，使各种安全措施能够充分地发挥作用，实现

包括硬件安全目标在内的各个层面的安全目标和整体安全目标;

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

b)从硬件层面到软件层面均具备针对已知/未知威胁的预测、感知、恢复、适应能力;

c)车载端在面临多种安全攻击的情况下，系统具备韧性抗毁能力，仍能够按照预期方

式工作实现既定目标。

7车载端信息安全技术要求

7.1整体安全

7.1.1安全技术的选择与实施：

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

a)应通过风险评估过程，全面分析网联接口与威胁攻击路径，明确车辆整体安全需

求与车载端安全需求，实施融合安全策略，综合运用身份认证、访问控制、检测响

应、内生安全、动态防御、韧性工程等多种技术措施对车载端自身进行安全防护，

使车载端具备针对软硬件漏洞后门及已知/未知威胁的预测、感知、恢复和适应能

力，支撑实现车辆整体安全目标；

b)应综合考虑整体网络安全防护需求，使得车载端的安全技术措施能够有效地与云

端安全技术措施、通信网络安全技术措施等相配合，实现“车-路-云-网”安全协同

增益；

中国汽车工程学会2341c)车载端安全技术措施的选择中国汽车工程学会2341和实施，应与整车设计开发验证测试流程紧中国汽车工程学会2341密结合；

d)针对车载端的安全防护措施本身不应引入新的功能安全问题。

7.1.2密钥安全管理机制：

a)车载端应支持完备的密钥生成机制和管理机制，并使用硬件或软硬件结合的方法

对密钥及加解密过程进行保护；

b)应对密钥的生命周期进行安全管理，防止其被非授权访问和获取；

c)应根据使用场景选择适当的密钥，不同用途应使用不同密钥；

d)对称密钥的管理应符合GM/T0051要求。

中国汽车工程学会23417.1.3车载端若涉及使用数字证书，应中国汽车工程学会2341支持完备的数字证书验证、存储和管理机中国汽车工程学会2341制：

a)车载端在接收其他系统或设备的数字证书时，应进行严格的证书验证，确保证书

的有效性和真实性；

b)车载端数字证书应存储在安全存储区域，防止未经授权的访问和篡改；

c)车载端对数字证书的访问应实施严格的权限控制，确保只有授权的用户或系统能

够访问和操作证书；

d)车载端应支持数字证书的定期更新和撤销操作，以适应证书的生命周期管理需求。

7.1.4车载端使用的密码算法应选择符合国家标准的商用密码算法或同等强度及以

中国汽车工程学会2341上的国际标准密码算法。中国汽车工程学会2341中国汽车工程学会2341

7.1.5车载端应支持根据应用场景的需求设置信任根，建立可靠的安全信任链，应对

加载的操作系统和应用软件等进行逐级安全验证。

7.2硬件安全

7.2.1基本级要求

安全设计

a)车载端芯片不应存在可以非法对芯片内存进行访问或者更改芯片功能的隐蔽接口；

b)车载端芯片之间关键数据的通信线路应隐蔽，例如：使用多层电路板的车载端系

中国汽车工程学会2341统采用内层布线方式隐藏通信中国汽车工程学会2341线路；中国汽车工程学会2341

6

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

车载端关键芯片应减少暴露管脚；

中国汽车工程学会2341c)中国汽车工程学会2341中国汽车工程学会2341

d)车载端芯片的调试接口应禁用或设置安全访问控制；

e)车载端电路板不应存在用以标注端口和管脚功能的可读丝印；

f)车载端应使用安全芯片或密码模块等安全单元对密钥进行安全存储，如使用安全

芯片应符合GM/T0008一级及以上标准，如使用密码模块应符合GB/T37092一级

及以上标准。

访问控制

a)车载端应具备硬件实现的安全存储区域或安全存储模块，以实现对关键数据的安

全存储与隔离；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

b)车载端的安全存储区域或安全存储模块应具备检测与处置非授权访问的能力，保

证一次性写入的敏感信息无法被非授权获取或者篡改，应具备对抗暴力破解能力；

c)车载端芯片如在量产时设置了安全访问控制机制，应在外部调试访问时进行身份

验证和权限管控，以实现对车载端关键数据的安全保护；

d)车载端不应存在未经声明的外围介质，例如：CD/DVD、SD卡、USB接口等。

7.2.2增强级要求

安全设计

a)车载端USB、JTAG类的调试接口焊盘底座以及测试点应进行移除；

中国汽车工程学会2341b)车载端不应暴露用以标注芯片中国汽车工程学会2341信息的可读丝印；中国汽车工程学会2341

c)车载端应采用安全芯片或硬件密码模块等硬件安全单元对密钥进行安全存储并支

持国家标准的商用密码算法，如使用安全芯片应符合GM/T0008二级及以上标准，

如使用硬件密码模块应符合GB/T37092二级及以上标准；

d)车载端应具有硬件随机数发生器；

e)承载车载端关键应用软件的可信执行环境应符合GB/T41388-2022要求；

f)车载端硬件设计可采用物理隔离技术实现相应信息安全目标。

抗攻击防护

中国汽车工程学会2341a)车载端应具备抗攻击防护能中国汽车工程学会2341力，例如：使用安全封装等机制抵御外部攻击中国汽车工程学会2341；

b)车载端使用的芯片应能够缓解针对芯片的电压、时钟、电磁、激光等方式的故障注

入攻击；

c)车载端应使用必要的安全防护措施，对抗针对安全芯片的简单功耗分析(SPA)攻击、

一阶差分功耗分析(DPA)攻击、相关功耗分析(CPA)攻击，以及利用运行时间、温

度等其它信息进行的侧信道攻击；

d)车载端宜使用必要的安全机制对抗针对关键芯片未知漏洞和后门的攻击，例如：

采用多个异构/异型、冗余的芯片/模组等安全机制。

中国汽车工程学会23417.3操作系统安全中国汽车工程学会2341中国汽车工程学会2341

7.3.1基本级要求

操作系统配置安全

a)车载端应禁止最高权限用户直接登录，应限制普通用户提权操作；

b)车载端应删除或禁用无用账号，正常使用的账号口令应至少包括阿拉伯数字、大

小写英文字母和特殊符号中的两类或以上，且长度不少于8位；

c)车载端应具备访问控制机制，控制用户、进程等主体对文件、数据库等客体进行访

问；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

d)车载端应禁止不必要的服务，例如：SSH、TELNET、FTP、TFTP服务等；

e)车载端应设置进入工程模式的口令保护机制，且只提供给特定用户部分权限。

操作系统安全启动

a)车载端操作系统的启动应始于一个无法被修改的信任根；操作系统启动之前，应

先验证引导固件代码的完整性，再验证操作系统代码的完整性；

b)车载端应首先验证操作系统签名后，才能加载操作系统，防止加载被篡改的操作

系统；

c)车载端应具备安全启动失败处理机制，启动失败时应记录日志。

中国汽车工程学会234多操作系统隔离中国汽车工程学会2341中国汽车工程学会2341

7

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

车载端如具备多个操作系统，应采用隔离机制保证不同操作系统之间的安全；

中国汽车工程学会2341a)中国汽车工程学会2341中国汽车工程学会2341

b)车载端如具备多个操作系统，应为各操作系统分别设计和制订安全防护方案和要

求。

操作系统加载应用程序

车载端应提供安全机制，对应用程序的来源真实性和完整性进行验证，确保操作系统只

能加载启动可信的车载端应用程序，避免运行恶意程序，加载应用程序失败时应记录日志。

系统安全防护

车载端不应存在后门，不应存在由权威漏洞平台6个月前公布且未经处置的高危及以

上的安全漏洞；漏洞处置方式包括消除漏洞、制定减缓措施等方式。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

资源访问控制

a)车载端应限制通过外围接口接入的存储介质上的文件类型和权限，并限制通过介

质接口对车载端进行的操作类型；

b)车载端应使用访问控制机制防止应用软件之间不必要的访问，避免数据泄漏、越

权访问等；

c)车载端应对可能修改系统配置或者运行状态的文件进行检测，并根据检测结果告

警及处置。

安全调用控制能力

中国汽车工程学会2341车载端安全调用控制能力应符合中国汽车工程学会2341GB/T40856-2021的要求。中国汽车工程学会2341

7.3.2增强级要求

操作系统配置安全

a)车载端操作系统口令应定期更新，更新周期不宜超过3个月；

b)车载端操作系统应开启如地址随机化、PIE等防护功能。

操作系统安全启动

车载端应在安全存储区域或安全存储模块存储操作系统签名。

操作系统安全防护

中国汽车工程学会2341车载端操作系统应实时监测运行中国汽车工程学会2341状态和安全风险，并制定相应的安全策略，以中国汽车工程学会2341应对未知

漏洞和后门被攻击利用后影响车载端的安全风险。

资源访问控制

a)车载端应具备检测识别恶意软件的能力，并支持阻止软件的恶意访问；

b)针对车载端可与用户交互的控制器，应采取适用于多种汽车应用场景的用户告知

和资源控制方式；

c)车载端应通过可信执行环境为关键应用提供安全执行空间，以控制对关键资源的

访问，保护其保密性和完整性，对抗非授权访问和篡改等多种攻击，例如：密钥、

中国汽车工程学会2341敏感个人信息等关键资源。中国汽车工程学会2341中国汽车工程学会2341

7.4应用软件安全

7.4.1基本级要求

通用安全要求

a)车载端应用软件发布后应禁用调试功能和调试信息，并不应存在后门或未公开的

功能；

b)车载端应用软件不应存在由权威漏洞平台6个月前公布且未经处置的高危及以上

的安全漏洞；漏洞处置方式包括消除漏洞、制定减缓措施等方式；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

c)车载端应用软件不应在未授权状态下收集或泄露用户信息、进行数据外传操作等；

d)车载端应用软件应采取安全访问技术、加密技术或其他安全技术保护存储在车内

的敏感个人信息，例如：用户口令、证件号、交易口令等敏感个人信息；

e)车载端应使用安全的密码算法（包括工作模式）和参数，密码算法应符合7.1.4的

要求。

应用软件签名认证机制

a)为保证应用软件的来源真实性和完整性，车载端应用软件应采用代码签名验证机

制，且代码签名机制符合签名验签算法、证书格式等国家标准相关要求；

中国汽车工程学会2341b)车载端移动应用程序的签名中国汽车工程学会2341应符合YD/T3646的要求。中国汽车工程学会2341

8

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

增强级要求

中国汽车工程学会23417.4.2中国汽车工程学会2341中国汽车工程学会2341

a)车载端关键应用软件应具备混淆/加壳等能力，防止代码或运行数据被非法分析；

b)车载端关键应用软件在启动时应检查程序自身和所处运行环境的安全性；

c)车载端关键应用软件应在可信执行环境执行，例如：在线支付等关键应用。

7.5对内通信安全

7.5.1基本级要求

访问控制

a)车载端应按照整车的安全域策略进行安全域的划分并建立跨域间通信的安全访问

中国汽车工程学会2341策略；中国汽车工程学会2341中国汽车工程学会2341

b)车载端进行车辆内部通信时，应验证接收到的关键数据的来源真实性。

可靠性和可用性

车载端应具备冗余备份和重发机制，保证发送关键数据的可靠性，例如：ECU固件升

级包等关键数据。

7.5.2增强级要求

a)车载端进行车辆内部通信时，应具有防止总线拥塞或缓解拒绝服务的能力；

b)车载端应具备监测能力，能够实时监测接收到的数据，发现异常情况应告警。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

7.6对外通信安全

7.6.1基本级要求

通用安全要求

a)车载端应具备保证唯一性的身份标识，应对标识进行安全保护以防止被篡改；

b)车载端应对外部通信方进行身份认证，保证外部通信方的身份真实性；

c)车载端应使用安全的通信协议，例如：TLCP、TLS1.2及以上通信协议；

d)车载端应在用户授权下接受外来通信连接请求，例如：蓝牙连接配对请求、连接车

中国汽车工程学会2341载WLAN请求等；中国汽车工程学会2341中国汽车工程学会2341

e)车载端应对所有远程操作事件进行日志记录；

f)车载端应能够检测来自外部网络的恶意攻击行为并告警；

g)车载端应具备防火墙功能；

h)针对车载端对外通信过程中发生身份鉴权失败等情况，应设置失败次数上限，超

过失败次数上限后，车载端终止通信连接响应操作。

蜂窝通信安全

a)针对通过蜂窝网络传送的关键操作，车载端应采用强验证手段确保只有授权的主

体可以实施相应的操作，例如：用户号码写入关键操作；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

b)具备蜂窝通信能力的车载端通信单元唯一设备标识（IMEI/PEI），车载端应具有防

止被篡改和伪造的能力；

c)具备蜂窝通信能力的车载端应防止与伪基站通信造成信息泄露；

d)具备蜂窝通信能力的车载端应校验通信端来源的真实性，例如：短信特服号、远端

呼叫号码等；

e)具备蜂窝通信能力的车载端应支持安全通信协议，应符合YD/T3594-2019的要求。

WLAN通信安全

a)车载端WLAN连接口令应满足GB/T40856-2021的要求；

中国汽车工程学会2341b)车载端WLAN应强制启用安全中国汽车工程学会2341选项，不应使用WEP等已知有缺陷的认证中国汽车工程学会2341选项；

c)对具有WLAN热点功能的车载端，应使用WPA2-PSK或同等级及以上安全级别

的加密认证方式。

蓝牙通信安全

a)车载端蓝牙通信应符合GB/T40856-2021的要求；

b)车载端蓝牙设备应默认配置为非发现模式。

PC5直连通信安全

a)车载端PC5直连通信应满足T/CSAE159-2020的要求；

中国汽车工程学会2341b)车载端PC5直连通信应对通信过程中的中国汽车工程学会2341异常消息具备错误处理功能，应中国汽车工程学会2341符合YD/T

9

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

的要求。

中国汽车工程学会23414774-2024中国汽车工程学会2341中国汽车工程学会2341

卫星通信安全

a)车载端和卫星通信应使用双向身份认证、通信加密和完整性保护；采用数字证书

安全机制的车载端系统，应支持证书的撤销；采用对称加密算法的车载端系统，应

具备密钥更新机制；

b)车载端与卫星核心业务平台的通信应采用专用网络或者具备安全防护措施的虚拟

专用网络通信，不应使用公网或不具有安全防护措施的VPN，例如：GRE技术。

USB通信安全

a)车载端应对USB接入设备中的文件进行访问控制，只允许识别和加载指定格式的

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

文件或安装执行指定签名的应用软件；

b)车载端应具备抵御USB接入设备中的病毒程序、携带病毒的文件和应用软件的能

力，例如：具备识别且不执行病毒文件的能力。

OBD通信安全

车载端OBD通信安全应符合GB/TZZZZ《汽车诊断接口信息安全技术要求及试验方

法》的要求。

7.6.2增强级要求

通用安全要求

中国汽车工程学会2341a)车载端对外传输关键数据时，应对数据进行加中国汽车工程学会2341密，且数据加密与链路加中国汽车工程学会2341密应采用

不同的加密方案；

b)车载端应支持对外通信连接的黑、白名单机制，例如：WLAN、蓝牙黑白名单；

c)车载端应能阻断非法的网络连接；

d)车载端的安全通信协议证书格式应支持YD/T3957要求的直连通信证书格式要求。

蜂窝通信安全

a)车载端与核心业务平台的通信应采用专用链路或具备安全防护措施的虚拟专用网

络；

中国汽车工程学会2341b)进入电子围栏的车载端，在完中国汽车工程学会2341成电子围栏信息采集后，应具备快速退出中国汽车工程学会2341电子围栏

并恢复正常蜂窝网络通信的能力。

WLAN通信安全

a)车载端WLAN应支持WPA3-SAETransition、WPA3-SAE等验证机制；

b)车载端应使用随机BSSID接WLAN；

c)车载端的热点应在无数据传输一段时间后进行提醒并支持关闭。

PC5直连通信安全

车载端在关键应用场景应支持密文通信，例如：支付、精确授时服务等关键应用场景。

中国汽车工程学会234卫星通信安全中国汽车工程学会2341中国汽车工程学会2341

车载端应具备识别恶意GNSS信号的能力，能抵御GNSS欺骗攻击。

7.7数据安全

7.7.1基本级要求

通用安全要求

数据安全保护的对象是个人信息和重要数据，应遵循目的明确、功能必要、默认不收集

的原则，应符合GB/TYYYY《汽车数据通用要求》5.1章节的“个人信息处理通用要求”和

6.1章节的“重要数据处理通用要求”。

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

数据安全收集

a)车载端所收集的与用户身份、位置信息等相关的敏感个人信息，应通过显著的方

式告知用户并获得用户授权（例如：用户隐私菜单、弹窗、语音提示等形式），告

知内容应说明敏感个人信息的种类，明确敏感个人信息的用途和使用范围，以及

数据收集所依据的国家法律法规或者业务需求；当敏感个人信息的处理目的、处

理方式和种类发生变化时，应重新取获得用户的单独同意；

b)车载端在收集用户位置信息、图像、视频等敏感个人信息时，获得用户授权时应给

用户提供自主设定同意期限的选项，选项不应设置为始终允许或永久；在同意期

中国汽车工程学会2341限过期前应提示用户并重新中国汽车工程学会2341获取用户同意；如无法重新获取用户同意，应中国汽车工程学会2341立即终

10

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

。

XXXX—2023

止数据收集并明确告知用户该活动将对用户的功能产生哪些影响；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

c)车载端默认不收集个人信息，应仅在提供相应服务的同时进行数据收集行为；若

车载端出于业务需要而必须事先收集相关数据，应在合同或隐私条款中说明默认

收集的必要性；

d)车载端收集用户使用行为等用户个性化数据并为用户提供个性化服务时，应提示

用户并向用户提供关闭个性化服务能力的功能；在执行此类操作前，车载端应首

先对用户身份进行认证，身份认证功能不应仅使用个人生物识别信息；

e)车载端应根据所提供功能服务对数据精度的要求，确定摄像头、雷达等的覆盖范

围、分辨率；

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

f)当输入敏感个人信息时，车载端应采取安全措施确保敏感个人信息不被其他应用

窃取，例如：使用安全软键盘等安全措施。

数据安全存储

a)车载端存储敏感个人信息时，应为保存数据的介质设置适当的权限，以防止未授

权的访问和篡改，例如：存储用户身份、位置信息等敏感个人信息；

b)车载端存储重要数据和敏感个人信息时，应通过加密方式存储在专用的安全存储

空间；

c)车载端应通过对证书和密钥有效性的管理，来限制存储数据的有效时间，并与数

中国汽车工程学会2341据安全使用和删除实现策略中国汽车工程学会2341闭环。中国汽车工程学会2341

数据安全传输

a)车载端数据传输应符合7.5对内通信和7.6对外通信的要求；

b)车载端向车外传输个人信息和重要数据时，应加密传输，并符合对外通信

安全通用要求的增强级要求内容；

c)无法取得个人同意的数据，应在传输前在车载端进行匿名化处理，例如：车外的人

脸图像数据。

数据安全删除

中国汽车工程学会2341a)车载端设备更换部件后，换中国汽车工程学会2341下的旧部件所存储的数据应进行安全删除；中国汽车工程学会2341

b)针对车载端存储的用户个人信息，应提供清除用户个人信息的机制，例如：恢复出

厂设置；当恢复出厂设置时，车载端存储的用户个人信息的清除应和恢复出厂设

置功能进行关联；

c)针对车载端存储的用户个性化数据，应提供清除用户个性化配置的能力，且仅清

除用户的个性化配置数据，不影响功能的正常使用。

数据安全使用

使用个人信息和重要数据时，车载端应制定数据访问控制策略并实施访问控制机制。

中国汽车工程学会23417.7.2增强级要求中国汽车工程学会2341中国汽车工程学会2341

数据安全收集

车载端应避免数据重复收集，在多个功能和业务收集个人信息和重要数据的目的及处

理时间一致的情况下，应进行统一收集，例如：对于身份鉴别信息，多个应用可基于车端的

统一身份认证，获取唯一身份认证标识来进行登录认证。

数据安全存储

车载端进行数据安全存储的存储单元应具备标识信息，增加设备鉴权机制，无法在非授

权设备中使用。

数据安全传输

中国汽车工程学会2341中国汽车工程学会2341中国汽车工程学会2341

车载端针对地理信息等秘密信息的传输应采用专线网络通道。

数据安全删除

在共享形式的使用场景中，车载端应在当前用户退出后清空该用户的个人信息，例如：

共享汽车、出租车娱乐屏等适用场景。

7.8升级安全

7.8.1基本级要求

a)升级前，车载端应对在线升级服务端进行身份认证，当认证成功后，才能下载升级

中国汽车工程学会2341包；当发生身份鉴权失败等中国汽车工程学会2341情况，应终止升级操作并记录日志；当下载升级包中中国汽车工程学会2341断

11

中国汽车工程学会2341中国汽车工程学会2341