8月23日,推荐性国家标准GB/T 44464-2024《汽车数据通用要求》批准发布,该标准详细规定了汽车处理个人信息和重要数据的一般要求,对个人信息保护的要求,对于重要数据在收集、存储、使用、传输、处理等各个环节中的保护要求以及审核评估及试验要求等。密码技术的加密、认证、完整性校验等手段,可以有效防止数据泄露、篡改和未授权访问,构筑起坚实的安全防线。本期内容,我们将从密码技术的角度解读GB 44464—2024《汽车数据通用要求》,以期对行业同仁有所帮助。
一、标准对使用密码技术保护数据安全提出了要求
标准明确规定车辆在个人信息和重要数据的存储、传输和使用过程中,必须采用安全访问技术、加密技术等措施,确保敏感信息和重要数据不被非授权访问、获取、删除或修改,同时强化数据传输的保密性,以全面保障车辆数据的安全性和隐私保护。
图 1 标准架构图
01 个人信息存储与传输
存储:车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的敏感个人信息,防止其被非授权访问和获取。车辆应采取安全防御机制保护存储在车内的VIN、等用于车辆身份识别的数据,防止其被非授权删除和修改。
传输:车辆应对向车外发送的敏感个人信息实施保密性保护措施。
02 重要数据存储、使用和传输
存储:车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的重要数据,防止其被非授权访问和获取。
使用:使用重要数据时,汽车数据处理者应采取访问控制措施,防止非授权访问存储都的重要数据。
传输:车辆应对向车外发送的重要数据实施保密性保护措施。
二、密码是保证车辆数据安全的关键保护手段
01 加密技术是车辆数据安全的基础
无论是车内存储的敏感个人信息,还是通过车外传输的重要数据,均需要采用合适的加密算法(如对称加密的SM4、非对称加密的SM2)进行加密处理。通过加密,数据被转换为密文,即使被拦截,也难以在未经授权的情况下解密和使用。特别是在车辆与外部设备进行数据交互时,端到端的加密通信保障了数据在传输中的保密性,防止敏感数据被截获和解析。
图 2 SM4加密过程示意图(图片来源于网络)
02 身份认证和访问控制技术确保了车辆数据只能由授权用户或系统访问
通过多因素认证(如密码、智能卡和生物识别技术)与基于角色的访问控制(RBAC)相结合,车辆系统可以有效防止未经授权的人员获取敏感数据。同时,访问控制的细粒度设置确保不同角色只能访问与其权限相关的特定数据,进一步降低了数据泄露的风险。
图 3 基于角色的访问控制示意图
03 数字签名和完整性校验技术为数据传输中的完整性提供了重要保障
通过使用密码学中的杂凑算法(如SM3)生成数据摘要,并结合数字签名技术,车辆数据处理者能够确保数据在传输和存储过程中未被篡改。任何对数据的修改都会导致校验失败,从而及时发现潜在的安全问题。这种技术特别适用于车与车、车与云端之间的高频数据交互,确保通信过程的可靠性。
图 4 SM3一轮杂凑过程(图片来源于网络)
04 安全通信协议在车辆数据传输中发挥着关键作用
TLS/SSL安全通信协议通过加密数据传输,确保车辆与外部系统(如云端服务器、移动设备)的通信安全。这些协议能够防止中间人攻击、数据截获和篡改,从而保障通信双方的数据隐私和完整性。此外,在智能网联汽车领域中的车辆间通信中,通过端到端的密码技术,可以确保车辆在与其他车辆、基础设施或行人设备进行数据交互时,数据不被非法窃取或篡改,为车辆通信的安全性提供了强有力的技术支持。
三、影响与意义
鲍越
中汽研科技 技术专家
中汽研科技有限公司(简称“中汽研科技”)密码技术专家鲍越表示,随着智能网联汽车技术的快速发展,汽车数据安全受到社会各界的广泛关注。密码学作为保护车辆数据安全的关键技术,其在确保车辆数据的机密性、完整性和真实性方面发挥着至关重要的作用。为了应对日益复杂的网络攻击和数据泄露风险,需要不断推动密码技术在整车上的研究和应用。
结语
中汽研科技下属的中汽研软件测评(天津)有限公司(简称“中汽软测”)已获批国家密码管理局颁发的商用密码检测机构资质证书,可面向整车及密码产品企业在数据安全密码保护方面提供相关咨询与测试服务。未来,中汽软测将持续拓展密码检测新能力,为企业提供车联网数据安全保护的整体解决方案,助力企业为消费者提供更加安全可靠的汽车产品。
专家介绍
鲍越
中汽研科技 技术专家
主要研究方向为汽车密码检测认证技术,牵头及参与制定《汽车密码应用技术要求》等标准3项,制定国内首个汽车整车可信安全认证规程、汽车车载可信安全模块认证规程,参与国家和省部级级课题8项,试点示范4项,发表汽车密码相关高水平论文3篇,授权发明专利1篇,入选工业和信息化领域商用密码应用典型建设方案2项。