歐盟項目SVDC信息安全委外開發詢價采購公告
東風國際招標有限公司受深藍汽車科技有限公司委托,對其“歐盟項目SVDC信息安全委外開發”項目實行公開詢價采購。
一.項目名稱:歐盟項目SVDC信息安全委外開發
二.項目編號:CA23B2L4A0217
三. 詢價采購具體執行內容:
3.1、項目概述
甲方(深藍汽車科技有限公司)意向購買控制器信息安全軟件。由乙方(中選方)提供信息安全軟件,支持甲方完成軟件集成,并向甲方提供相應培訓。
3.2、實施方式
甲方(深藍汽車科技有限公司)委托乙方(中選方)開發控制器信息安全軟件。乙方(中選方)按照甲方技術要求提供給甲方符合技術要求的信息安全軟件、量產級授權及后續技術咨詢服務,并向甲方提供集成服務,乙方(中選方)需保證信息安全軟件質量并進行售后維護。
3.3、工作計劃
乙方(中選方)在合同簽訂2個月內提供主核側源碼,并向甲方(深藍汽車科技有限公司)交付,支持甲方(深藍汽車科技有限公司)完成項目軟件集成、測試、認證等相關工作;
乙方(中選方)在合同簽訂6個月內提供HSM固件源碼,并向甲方交付,支持甲方(深藍汽車科技有限公司)完成項目軟件集成、測試、認證等相關工作。甲方(深藍汽車科技有限公司)在收到乙方乙方(中選方)的交付物后,在3個月內進行驗收。
3.4、技術要求
3.4.1信息安全軟件技術要求
信息安全軟件需支持多核芯片的相關功能特性,需支持的具體型號包括不限于:瑞薩RH850U2A16。軟件授權形式為量產級授權,不限車型,不限產品,不限產品量產數量,不限制使用地域。信息安全軟件按須包含以下功能:
序號 | 功能 | 需求 |
1 | 安全模塊 | 提供硬件安全模塊(HSM)固件源代碼,用于安全存儲和安全運算。應支持摘要算法SHA256、支持對稱算法AES-128、支持非對稱算法RSA 2048、真隨機數生成,或同等強度及以上的安全算法。 |
2 | 安全存儲 | 需要包含如下功能: (1)數據保密性。應對關鍵數據進行加密存儲,如密鑰、用戶敏感信息等,支持關鍵數據存儲區設置; (2)數據完整性。應對關鍵數據進行完整性保護,如日志數據等; (3)密鑰信息不可以被明文讀取,不可以非授權的訪問、更新; (4)密鑰保存在 HSM 特定存儲區,使外界無法訪問。 |
3 | 安全啟動 | 具備安全啟動功能,滿足長安汽車《控制器安全啟動及安全升級需求規范》, 需包含如下功能: (1)支持 Flash 區域的塊檢查,檢查通過啟動 APP,三次或多次不通過則 ECU下電處理; (2)應對Bootloader全部軟件進行真實性、完整性校驗; (3)應對應用程序全部軟件進行真實性、完整性校驗; (4)應支持對稱簽名技術(SHA2-256+AES128)、非對稱簽名技術(SHA2-256+RSA2048)或者 CMAC 技術的安全啟動方案; (5)支持 AES128算法,HASH算法、RSA2048算法,并支持低等級算法升級到高等級算法; (6)支持獨立記錄啟動失敗標志(可為:DTC、日志、標志位等),供技術人員檢查啟動失敗原因; (7)應根據長安規范,提供安全啟動校驗方案,使啟動時間不得超過250ms。并行和串行方式可通過配置選擇。 (8)支持Double Map Mode 和 Single Map Mode ??赏ㄟ^配置選擇。 |
4 | 安全升級 | 具備安全升級功能,滿足長安汽車《控制器安全啟動及安全升級需求規范》,需要包含如下功能: (1)應對 Flash 驅動進行來源合法性、完整性保護; (2)支持 OTA 遠程升級,安全算法在 HSM 處理器中運算; (3)應支持對稱簽名技術(SHA2-256+AES128)、非對稱簽名技術(SHA2-256+RSA2048)、 CMAC 技術的安全升級方案; (4)安全升級要求全包校驗失敗時,ECU 需對應用程序有效檢查回復否定響應,并將要求的應用有效標記位置為無效,在啟動的過程中可信引導程序須校驗 該應用有效標記位,如為無效,則禁止啟動該應用程序。 |
5 | 安全訪問 | 需包含如下功能: (1)支持刷寫接口軟件保護,未經授權人員不可以下載、上傳、調試軟件或數據的驗證; (2)通過軟件方式禁用調試接口,如不能禁用,應設置安全訪問措施,包括強安全口令認證、C&R認證。 |
6 | 安全通信開發 | 提供安全通信功能軟件,滿足長安汽車《車端消息認證集成規范》,需包含如下功能: (1) 對待發送數據添加真實性和完整性認證信息,基于CMAC校驗收到數據的真實性和完整性; (2)管理安全通信的新鮮值與通信密鑰。 (3)根據需求進行 Autosar 加密棧配置; (4) 可對參與安全通信的 ECU 實施通信密鑰罐裝和 Tripcnt計數器重置,并對通信密鑰更新事件進行記錄(DID); (5) FVM新鮮值管理模塊由甲方提供,乙方需配合FVM做相關功能開發,需滿足《Specification of Secure Onboard Communication AUTOSAR CP Release 4.3.1》及長安汽車《車端消息認證SecOC_FVM集成規范》要求; (6)SecOC 需支持兩種模式切換 1) 報文SecOC校驗不通過,記錄 DTC,但業務報文的信號正常向應用層傳遞,不影響報文業務。 2) 報文SecOC校驗不通過,記錄 DTC,并丟棄此幀報文,業務信號采用默認值。 |
7 | 安全日志 | 對監測的系統異常安全行為事件,關鍵安全操作事件進行日志記錄,安全日志可通過DTC或者DID進行實現。 異常安全行為包括:通信攻擊類事件(異常的診斷請求、SecOC安全通信異常等)、安全啟動類事件(完整性校驗失敗等)、安全升級類事件(升級包校驗失敗等);關鍵安全操作事件包括:密鑰更新、量產后調試接口的打開和關閉等; |
8 | ★開發環境 | HSM固件代碼均按源代碼形式提供,并能與BSW、MCAL代碼通過GreenHills(V2022.1.4版本以上)編譯器進行集成; |
9 | 固件更新 | 支持HSM 固件更新升級; |
10 | 軟件集成 | 信息安全軟件適用于AUTOSAR Crypto軟件棧,適用于 AUTOSAR CP 4.2.2或以上版本,能接入 AUTOSAR Crypto 軟件棧接口 CryIf,乙方應支持甲方完成信息安全軟件與ETAS BSW軟件棧集成; |
11 | 功能測試 | (1)所有信息安全功能開發完成后,應進行信息安全功能驗證測試,并提供合格功能驗證測試報告; (2)功能驗證測試報告應包含:測試環境、測試項、測試工具、測試方法、測試用例、測試步驟、測試結果,其中:測試項應覆蓋全部安全要求; (3)功能驗證測試不通過項,應整改后進行復測,直至整改項全部通過測試為止; |
12 | 滲透測試 | 乙方提供代碼滿足甲方滲透測試要求,支持甲方進行滲透測試,直至整改項全部通過測試為止。 |
13 | ★安全認證 | 乙方支持甲方通過歐盟法規ECE R155法規認證; |
3.3、其他技術要求:詳見 第五章 技術要求
3.4、其他技術需求:詳見 第五章 技術要求
★四.本次采購不接受聯合體報價
五.資金來源:自籌
★六.供應商資質要求:
6.1、未在T3(中國第一汽車集團有限公司、東風汽車集團有限公司、中國兵器裝備集團有限公司)、長安汽車黑名單范圍內;未被“信用中國”列入失信被執行人名單;未被長安汽車列入暫停業務等不適合參與項目的風險管理項。(提供1. 誠信承諾函,自擬模板,加蓋公章。2. 報名方在“信用中國(網址:www.creditchina.gov.cn)”查詢結果截圖,加蓋公章。)。
6.2、供應商非“三無”供應商(“三無”供應商是指無實繳注冊資本、無參保人員、無生產經營場所等無生產加工能力的“空殼”供應商)(提供:國家企業信用信息公示系統查詢報告,網址: https://www.gsxt.gov.cn/corp-query-homepage.html,如查詢結果與實際不符,針對實繳注冊資本請提供銀行入賬回單(轉賬記錄備注投資或實繳)加蓋公章;針對參保人員信息請提供社保局出具的社保證明加蓋公章)。
6.3、乙方(供應商)應提供本產品近三年(即2020年1月1日起至今)在中國境內汽車行業運用的案例,提供至少1份合同或驗收報告;
6.4、乙方(供應商)在中國境內有售后服務機構及售后支持能力,提供售后團隊成員名單及工作地點,格式自擬。
其他:如申請人有媒體報道負面輿情、違反公序良俗、有法律糾紛等事件,則深藍汽車對風險項綜合評估后再決策是否通過資質預審。
★七. 貨款結算辦法:
貨款等所有相關費用由買方(深藍汽車科技有限公司)與賣方(中選方)直接結算,具體結算辦法如下:
(1)付款條件:驗收合格后支付90%,驗收滿一年無質量問題后支付10%尾款;
(2)付款周期:掛賬滿三個月后支付(不含掛賬月)
(3)付款方式:30萬元以下現款(含30萬元),30萬元以上承兌匯票
八.報名時間:2023年 8月11日10時30分至年2023年8月18日10時30分 (北京時間)。
九.采購文件的獲?。?/p>
供應商登錄長安汽車電子采購平臺,點擊詢價競價電子交易平臺(http://xjptnew.changanjyzx.com/),憑用戶名和密碼登錄,繳納報名費后在網上下載采購文件。
十.質疑截止時間:2023年 8月18日11時00分(北京時間)
十一. 答疑截止時間:2023年8月18日12時00分(北京時間)
十二.報價截止時間:2023年 8月18日14時00分(北京時間)
十三.評 審 時 間:2023年8月18日14時00分(北京時間)
評審地點:重慶市江北區建新東路51號附10號金陵大廈二層辦公樓205會議室
十四.報價方式:網上報價
十五.報名費:
500元(供應商須在報價前登錄長安汽車詢價競價電子交易平臺按要求在網頁上繳納)
十六.保證金:1.5萬元(線下電匯繳納到以下賬戶,匯款時請標注項目編號)
收款單位:東風國際招標有限公司
開 戶 行:招商銀行武漢分行經濟技術開發區支行
帳 號:127*****3710802
行 號:308*****5209
十七.報價:
供應商須在報價截止時間前登錄長安汽車詢價競價電子交易平臺按要求繳納報名費,方可填寫報價信息、上傳報價文件并成功提交。超過報價截止時間,供應商將無法再通過長安汽車詢價競價電子交易平臺繳納相關費用、填寫和提交報價信息和報價文件。
十八.代理機構聯系人:
代理機構:東風國際招標有限公司
聯系人:劉美慧
郵 箱:lmh@dfmbidding.com
十九.采購人聯系方式:
聯系單位:深藍汽車科技有限公司
地址:重慶市渝北區龍興鎮兩江大道588號貴格兩江總部城B區
聯系人:羅老師
二十. 分包:除采購人書面同意外,中選人不得在中選后就本采購項目進行分包。
二十一.候選人公示媒體:中國招標投標公共服務平臺(http://www.cebpubservice.com)及長安汽車電子采購平臺(http://www.changanjyzx.com)。
二十二. 供應商網上注冊:
1、凡首次參加長安汽車詢價競價電子交易平臺采購活動的供應商必須登錄長安汽車詢價競價電子交易平臺(http://xjptnew.changanjyzx.com/)進行網上注冊,同時進行企業身份認證。若供應商未及時在長安汽車詢價競價電子交易平臺中注冊并進行企業身份認證,由此引起的后果由供應商自行承擔。
2、具體操作詳見平臺首頁右上角“用戶指南”→“操作指南”→“供應商須知”;供應商快速注冊請點擊平臺首頁右側“詢價競價電子交易平臺”→“立即注冊” 。
二十三. 平臺技術支持
客服電話:400-888-6769
二十四、帶★號條款為關鍵項,對關鍵項的偏離將導致其報價被否決