车联网在线升级（ OTA ）安全技术要求与测试方法 征求意见稿

1GB/TXXXXX—XXXX车联网在线升级（OTA）安全技术要求与测试方法本文件规定了车联网中在线升级（OTA）过程中OTA服务平台、通信链路和OTA应用的安全技术要求与测试方法。本文件适用于指导OTA平台服务商、基础电信企业、互联网企业、智能网联汽车生产企业等，开展OTA服务平台、通信链路和OTA应用的安全设计、研发、测试和运行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语YD/T2910—2015LTE/SAE安全技术要求YD/T4958—20245G移动通信网安全技术要求（第二阶段）T/CCSA441—2023车联网服务平台网络安全防护要求3术语和定义GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1在线升级over-the-airupdate；OTA通过无线方式而不是使用电缆或其他本地连接，将OTA服务平台的升级包传输到OTA应用的软件升级。3.2车联网服务平台serviceplatformofInternetofVehicle面向车联网业务应用，负责车辆及相关设备信息的接入、汇聚、计算、监控或管理等一种或多种功能，提供信息管理或服务等的信息系统/平台，如车辆运营管理、信息娱乐、在线升级（OTA）、远程诊断、远程控制、车联网卡管理等应用服务或管理功能。3.3升级包updatespackage用于进行软件升级的软件包。3.4车载终端vehicleterminal安装在汽车上，具备计算、存储及输入/输出接口并承载在线升级应用的电子设备。3.5OTA应用over-the-airupdateapplication终端侧连接OTA服务平台进行在线升级的车载终端或手机终端等应用。2GB/TXXXXX—XXXX4缩略语下列缩略语适用于本文件。4G：第四代移动通信技术（4thGenerationMobileCommunicationTechnology）5G：第五代移动通信技术（5thGenerationMobileCommunicationTechnology）CAVD：车联网产品安全漏洞专业库(ChinaAutomobileVulnerabilityDatabase)NVDB：网络安全威胁和漏洞信息共享平台（NationalVulnerabilityDataBase）TLCP：传输层密码协议（TransportLayerCryptographyProtocol）TLS：安全传输层协议（TransportLayerSecurity）5概述升级包上传OTA架构如图1所示，包括OTA服务平台、通信链路、OTA应用三部分。OTA服务平台负责在线升级流程管理、升级包存储、升级包加密、签名和验签等。通信链路负责OTA服务平台和OTA应用间的身份认证、指令交互、数据和升级包传输等。OTA应用负责在线升级请求和确认、升级包下载和接收、升级包解密和验签、升级过程执行、升级交互操作等。升级包上传OTA服务平台通信链路OTA应用（车载终端)OTA应用（车载终端)OTA应用（手机终端）图1OTA架构图6安全技术要求6.1OTA服务平台6.1.1通用要求OTA服务平台应满足T/CCSA441—2023中的第三级安全防护相关要求。6.1.2身份认证身份认证要求如下：3GB/TXXXXX—XXXXa）应验证OTA应用的真实性，防止伪造或篡改的OTA应用获取升级包及相关文件。当OTA应用真实性验证失败时，应及时中断服务响应，并记录异常信息；b）应对不同车辆的操作升级包及相关文件（如升级包版本说明文档）的主体的来源真实性进行验证。6.1.3访问控制访问控制要求如下：a）应对OTA服务平台中的升级包设置访问控制机制，防止对升级包的非授权访问；b）应对不同车型的升级设置不同的升级权限，防止非授权升级；c）应对OTA服务平台中升级包的操作设置权限管理，防止对升级包的非授权操作；d）应对OTA服务平台特权账号和特权会话进行安全管控；e）宜对不同车辆的升级设置不同的升级权限，防止非授权升级。6.1.4安全审计安全审计要求如下：a）应对OTA服务平台中升级包的各种操作进行审计，如升级包的上传、下载、修改、删除等；b）应对升级中的连接和传输过程进行审计，如审计OTA服务平台与OTA应用的连接是否通过认c）应对在线升级的执行情况进行审计，包括升级前后状态信息、软件版本内容、升级发起方、升级日期和时间、执行结果等；d）应对升级过程中发生的错误、故障、报警、失败、安全事件日志进行审计；e）审计记录应保存至车型停产后10年，并采取对应的安全措施。6.1.5数据安全数据安全要求如下：a）应验证升级包及相关文件（如升级包版本说明文档）的一致性；b）应验证升级包及相关文件（如升级包版本说明文档）的完整性，能够检测到完整性受到破坏并及时告警；c）应加密存储升级包，保证升级包的机密性；d）宜保证升级包在传输过程中的机密性；e）应保证安全重要参数（如密钥）在传输过程中的机密性和完整性；f）应保证安全重要参数（如密钥）存储在专用安全可信的存储空间；g）升级包中应不存在由权威漏洞平台6个月前公布且未经处置中危等级及以上漏洞。注1：漏洞风险等级宜参照GB/T30279—2020等国家相关指南。注2：权威漏洞平台包括网络安全威胁和漏洞信息共享平台（NVDB）、车联网产品安全漏洞专业库（CAVD）等政府主管部门认可的相关漏洞平台。6.2通信链路6.2.1通信网络通信网络要求如下：a）如采用4G，应满足YD/T2910—2015等的安全要求；4GB/TXXXXX—XXXXb）如采用5G，应满足YD/T4958—2024等的安全要求；c）OTA通信链路宜采用专用网络或虚拟专用网络进行通信隔离。6.2.2身份认证身份认证要求如下：a）通信双方应在建立通信连接前进行身份认证，防止非授权的访问；b）身份认证失败时，应及时终止通信响应或连接。6.2.3通信协议OTA服务平台与OTA应用在通信过程中，应采用TLS1.2版本及以上或至少同等安全级别的安全通信协议建立安全的通信连接，确保OTA应用与OTA服务平台之间通信数据的机密性、完整性等。6.3OTA应用6.3.1手机终端手机终端OTA应用要求如下：a）应验证OTA服务平台的真实性；b）应验证OTA应用用户与车辆绑定关系的准确性、真实性，防止未授权OTA应用控制升级操作。6.3.2车载终端车载终端OTA应用要求如下：a）应验证OTA服务平台的真实性；b）应验证升级包及相关文件（如升级包版本说明文档）的真实性和一致性；c）应验证升级包及相关文件（如升级包版本说明文档）的完整性，能够检测到完整性受到破坏并及时告警；d）应采取必要的安全措施防止升级包及相关文件（如升级包版本说明文档）被非授权获取；e）应采取必要的安全措施防止安全重要参数（如密钥）被非授权获取；f）应采用备份或安全可信的存储区域等措施，防止安全重要参数（如密钥）的丢失和误删操作；g）应及时将在线升级错误、故障、告警、失败、安全事件日志安全传输到OTA服务平台；h）在线升级出现错误或失败情况下，应该保证原版本能恢复，并验证原版本的可用性、完整性、真实性。7测试方法7.1OTA服务平台安全测试7.1.1通用要求测试检查确认满足T/CCSA441—2023中的第三级安全防护相关要求。7.1.2身份认证测试身份认证测试方法如下：5GB/TXXXXX—XXXXa）检查OTA应用发起升级请求时，OTA服务平台是否对OTA应用的真实性进行验证。当发现盗版或篡改的OTA应用时，是否及时中断服务响应并记录相关信息，测试结果应符合6.1.2a）的要求；b）检测OTA服务平台是否对升级包及相关文件（如升级包版本说明文档）的真实性进行验证，测试结果应符合6.1.2b）的要求。7.1.3访问控制测试访问控制测试方法如下：a）检查OTA服务平台中是否对升级包设置访问控制机制，测试结果应符合6.1.3a）的要求；b）检查是否对不同车型和手机应用设置不同的升级包访问权限，测试结果应符合6.1.3b）的要c）检查OTA服务平台中对升级包的操作是否设置权限管理，测试结果应符合6.1.3c）的要求；d）检查OTA服务平台中特权账号和特权会话是否通过专门的设备（或虚拟设备）纳管，相关数据是否明文存储，测试结果应符合6.1.3d）的要求。7.1.4安全审计测试安全审计测试方法如下：a）上传升级包到OTA服务平台，并对OTA服务平台中的升级包进行下载、修改和删除操作，检查平台是否记录了相应操作的日志，测试结果应符合6.1.4a）的要求；b）使用测试工具模拟进行在线升级，检查OTA服务平台是否记录了OTA应用与OTA服务平台建立连接的过程和升级包数据传输的日志，测试结果应符合6.1.4b）的要求；c）检查OTA服务平台是否记录了在线升级执行情况的日志，日志中是否包括了升级前后状态信息、软件版本内容、升级发起方、升级日期和时间、执行结果等，测试结果应符合6.1.4c）的要d）使用测试工具模拟在线升级过程中发生了错误、故障、报警、失败、升级中发生安全事件等场景，检查OTA服务平台是否记录相应的日志，测试结果应符合6.1.4d）的要求；e）检查审计数据是否持续保存，检查审计数据的安全保护机制，测试结果应符合6.1.4e）的要7.1.5数据安全测试数据安全测试方法如下：a）检查OTA服务平台是否对升级包及相关文件进行完整性校验，当检测到升级包及其相关文件完整性受到破坏时，是否及时告警，测试结果应符合6.1.5a）的要求；b）检查升级包及相关文件（如升级包版本说明文档）是否一致，测试结果应符合6.1.5b）的要c）检查OTA服务平台是否对升级包及相关文件（如升级包版本说明文档）进行加密存储，测试结果应符合6.1.5c）的要求；d）检查OTA服务平台是否将安全重要参数（如密钥）存储在专用安全可信的存储空间，测试结果应符合6.1.5d）的要求；e）检查OTA服务平台是否及时处理存在可被利用的权威漏洞平台6个月前发布的中危等级及以上漏洞的升级包，测试结果应符合6.1.5e）的要求。6GB/TXXXXX—XXXX7.2通信链路安全测试7.2.1通信网络测试通信网络测试方法如下：a）如采用4G，检查确认满足YD/T2910—2015的安全要求；b）如采用5G，检查确认满足YD/T4958—2024的安全要求；c）如采用专用网络或虚拟专用网络，检查是否进行通信隔离，测试结果应符合6.2.1c）的要求。7.2.2身份认证测试身份认证测试方法如下：a）检查OTA服务平台和OTA应用在建立通信连接前是否进行通信双方的身份认证，测试结果应符合6.2.2a）的要求；b）检查OTA服务平台和OTA应用在身份认证阶段认证失败时，是否及时终止通信响应或连接，测试结果应符合6.2.2b）的要求。7.2.3通信协议测试通过抓包分析OTA服务平台与OTA应用的通信数据，检查通信双方是否使用TLS1.2版本以上或至少同等安全级别的安全加密协议（如TLCP等），并检查双方通信数据的机密性、完整性等是否得到保护，测试结果应符合6.2.3的要求。7.3OTA应用安全测试7.3.1手机终端测试手机终端OTA应用测试方法如下：a）检查手机终端OTA应用同OTA服务平台通信时，是否对OTA服务平台的真实性进行验证，测试结果应符合6.3.1a）的要求；b）检查手机终端OTA应用是否验证用户与车辆绑定关系的准确性、真实性，测试结果应符合6.3.1b）的要求。7.3.2车载终端测试车载终端OTA应用测试方法如下：a）检查车载终端OTA应用同OTA服务平台通信时，是否对OTA服务平台真实性进行验证，测试结果应符合6.3.2a）的要求；b）检查车载终端OTA应用加载升级包时是否对升级包及相关文件的真实性和一致性进行验证，测试结果应符合6.3.2b）的要求；c）检查车载终端OTA应用加载升级包时是否对升级包及相关文件（如升级包版本说明文档）的完整性进行验证，当检测到完整性受到破坏时，是否及时告警，测试结果应符合6.3.2c）的要求；d）检查车载终端OTA应用是否采用安全措施防止安全重要参数（如密钥）的非授权获取，测试结果应符合6.3.2d）的要求；e）检查车载终端OTA应用是否采用安全措施防止某些升级包的非授权获取，测试结果应符合6.3.2e）的要求；7GB/TXXXXX—XXXXf）检查车载终端OTA应用安全重要参数（如密钥）是否采用备份或安全可信的