《汽車(chē)軟件升級(jí)信息安全測(cè)試方法》

T/XXXXXXX—XXXX

汽車(chē)軟件升級(jí)信息安全測(cè)試方法

1范圍

本文件規(guī)定了汽車(chē)軟件升級(jí)服務(wù)平臺(tái)、通信鏈路、車(chē)載設(shè)備、軟件升級(jí)過(guò)程及升級(jí)包的信息安全測(cè)

試方法。

本文件適用于M類(lèi)、N類(lèi)汽車(chē)，其他車(chē)輛類(lèi)型可參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

軟件升級(jí)softwareupdate

將某版本的軟件更新到新版本或更改配置參數(shù)的過(guò)程。

注：“軟件升級(jí)”也稱(chēng)“軟件更新”，包括更改軟件功能的配置參數(shù)。

3.2

升級(jí)包updatespackage

用于進(jìn)行軟件升級(jí)的軟件包。

3.3

OTA軟件升級(jí)服務(wù)平臺(tái)OTAserviceplatform

包括為汽車(chē)OTA升級(jí)提供各項(xiàng)服務(wù)的信息化平臺(tái)，為汽車(chē)OTA升級(jí)提供通道接入、任務(wù)管理和升級(jí)

數(shù)據(jù)等服務(wù)。

3.4

補(bǔ)丁patch

為解決使用過(guò)程中暴露的系統(tǒng)漏洞而發(fā)布的解決問(wèn)題的代碼。

3.5

隨機(jī)數(shù)生成器randomnumbergenerator

生成隨機(jī)二元序列的器件或程序。

[來(lái)源：GB/T25069-2022，3.588]

4縮略語(yǔ)

以下縮略語(yǔ)適用于本文件。

OTA：空中下載（Over-the-Air）

AES：高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionstandard）

DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionstandard）

ECB：電碼本（ElectronicCodebook）

IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）

ID：標(biāo)識(shí)符（Identifier）

1

T/XXXXXXX—XXXX

TLS：安全傳輸協(xié)議（TransportLayerSecurity）

SSL：安全套接層協(xié)議（SecureSocketLayer）

ECU：電子控制單元（ElectronicControlUnit）

5服務(wù)平臺(tái)安全測(cè)試

5.1托管環(huán)境的安全測(cè)試

5.1.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)托管環(huán)境是否安全。

5.1.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)在測(cè)試環(huán)境中進(jìn)行并避免影響正常業(yè)務(wù)。

5.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)所處的物理環(huán)境是否在物理訪(fǎng)問(wèn)控制、防盜竊、防破壞、防雷擊、

防火、防水、防潮、防靜電、防爆、電磁防護(hù)等方面滿(mǎn)足所需的安全物理環(huán)境要求，是否滿(mǎn)足

GB/T22239-2019中8.1.1的要求；

b)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)所處的通信網(wǎng)絡(luò)環(huán)境是否在網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證、網(wǎng)

絡(luò)設(shè)備防護(hù)、安全區(qū)域劃分、邊界隔離、訪(fǎng)問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防護(hù)等方

面滿(mǎn)足所需的安全技術(shù)要求，是否滿(mǎn)足GB/T22239-2019中8.1.1的要求；

c)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)所處主機(jī)系統(tǒng)（含操作系統(tǒng)）的計(jì)算環(huán)境是否在身份鑒別、訪(fǎng)問(wèn)

控制、安全審計(jì)、入侵防范、惡意代碼防范、漏洞防范等方面滿(mǎn)足所需的安全技術(shù)要求，是否

滿(mǎn)足GB/T22239-2019中8.1.1的要求。

5.1.4通過(guò)條件

OTA軟件升級(jí)服務(wù)平臺(tái)所處的物理環(huán)境、通信網(wǎng)絡(luò)環(huán)境、系統(tǒng)計(jì)算環(huán)境等應(yīng)滿(mǎn)足GB/T22239-2019

中8.1.1的要求。

5.2服務(wù)平臺(tái)公開(kāi)安全漏洞測(cè)試

5.2.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在已公開(kāi)安全漏洞。

5.2.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)中應(yīng)包含相關(guān)開(kāi)源軟件。

5.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)所使用的組件版本、系統(tǒng)版本；

b)在行業(yè)權(quán)威漏洞庫(kù)平臺(tái)上查詢(xún)所使用的組件版本是否存在公開(kāi)漏洞，若存在則進(jìn)行公開(kāi)漏洞

利用測(cè)試；

c)直接使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)進(jìn)行漏洞分析，檢測(cè)是

否存在中高危漏洞。

5.2.4通過(guò)條件

OTA軟件升級(jí)服務(wù)平臺(tái)所使用相關(guān)的服務(wù)組件已打補(bǔ)丁或者為最新版本；或使用漏洞掃描、二進(jìn)制

固件分析等工具對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)進(jìn)行分析后，未發(fā)現(xiàn)中高危漏洞。

5.3服務(wù)平臺(tái)訪(fǎng)問(wèn)控制機(jī)制測(cè)試

2

T/XXXXXXX—XXXX

5.3.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否有訪(fǎng)問(wèn)控制機(jī)制以及訪(fǎng)問(wèn)機(jī)制是否存在缺陷。

5.3.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備白名單列表和系統(tǒng)用戶(hù)權(quán)限配置文件。

5.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)使用白名單之外的IP地址訪(fǎng)問(wèn)OTA升級(jí)服務(wù)平臺(tái)，檢測(cè)服務(wù)平臺(tái)是否正常響應(yīng)；

b)匿名訪(fǎng)問(wèn)OTA升級(jí)服務(wù)平臺(tái)相關(guān)功能與服務(wù)，檢測(cè)服務(wù)平臺(tái)是否能正常響應(yīng)；

c)查看系統(tǒng)用戶(hù)權(quán)限配置文件，檢測(cè)系統(tǒng)是否采取最小權(quán)限原則、責(zé)任分離原則、數(shù)據(jù)抽象原則

策略。

5.3.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)服務(wù)平臺(tái)采用白名單機(jī)制；

b)匿名訪(fǎng)問(wèn)OTA軟件升級(jí)服務(wù)平臺(tái)相關(guān)功能失??；

c)OTA升級(jí)服務(wù)平臺(tái)采用了基于角色的訪(fǎng)問(wèn)控制，采用最小權(quán)限原則、責(zé)任分離原則、數(shù)據(jù)抽

象原則。

5.4服務(wù)平臺(tái)用戶(hù)憑據(jù)安全測(cè)試

5.4.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)用戶(hù)憑據(jù)是否具備安全性。

5.4.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

5.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)功能文檔或登錄后臺(tái)，檢測(cè)對(duì)用戶(hù)憑據(jù)是否有復(fù)雜度與定期更改的要求；

b)檢測(cè)設(shè)計(jì)文檔，用戶(hù)憑據(jù)是否加密存儲(chǔ)，且加密算法是否采用強(qiáng)加密算法。

5.4.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)用戶(hù)憑據(jù)長(zhǎng)度應(yīng)至少8位，至少包含數(shù)字、大寫(xiě)字母、小寫(xiě)字母以及特殊字符中的三種及以上

組合，且用戶(hù)憑據(jù)應(yīng)有定期更改提醒；

b)用戶(hù)憑據(jù)應(yīng)采用加密算法存儲(chǔ)，且加密算法應(yīng)采用SM2、SM3、SM4、長(zhǎng)度不低于2048位的RSA、

長(zhǎng)度不低于128位的AES、哈希摘要等強(qiáng)加密算法（不包含弱加密算法，如MD5、SHA-1、AES

ECB模式、DES默認(rèn)模式等）。

5.5服務(wù)平臺(tái)認(rèn)證失敗處理安全測(cè)試

5.5.1測(cè)試目的

OTA軟件升級(jí)服務(wù)平臺(tái)認(rèn)證失敗處理安全性測(cè)試。

5.5.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

5.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

3

T/XXXXXXX—XXXX

a)查看設(shè)計(jì)文檔中，系統(tǒng)是否提供認(rèn)證失敗處理機(jī)制；

b)檢測(cè)服務(wù)平臺(tái)在認(rèn)證用戶(hù)身份時(shí)是否具備認(rèn)證失敗處理機(jī)制，如是否采取結(jié)束會(huì)話(huà)、限制非法

登陸次數(shù)和自動(dòng)退出等措施；

c)檢測(cè)服務(wù)平臺(tái)在認(rèn)證失敗后，提供的認(rèn)證失敗信息是否模糊；

5.5.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)服務(wù)平臺(tái)具備合理的認(rèn)證失敗處理功能，如采取結(jié)束會(huì)話(huà)、限制非法登陸次數(shù)和自動(dòng)退出等措

施；

b)服務(wù)平臺(tái)在提示客戶(hù)認(rèn)證失敗時(shí)，提示信息不具備指向性。

5.6服務(wù)平臺(tái)數(shù)據(jù)處理活動(dòng)安全測(cè)試

5.6.1測(cè)試目的

OTA軟件升級(jí)服務(wù)平臺(tái)數(shù)據(jù)處理活動(dòng)是否安全。

5.6.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備通信數(shù)據(jù)與測(cè)試賬號(hào)。

5.6.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)中的數(shù)據(jù)進(jìn)行分析，檢測(cè)服務(wù)平臺(tái)中是否存在對(duì)個(gè)人敏感信息進(jìn)行

非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為；

b)使用分析、查找方法，檢測(cè)服務(wù)平臺(tái)中是否以明文形式存儲(chǔ)個(gè)人敏感信息；

c)檢測(cè)系統(tǒng)中是否存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等；

d)對(duì)代碼進(jìn)行查找和分析，檢測(cè)在代碼中是否存在硬編碼密鑰；

e)檢測(cè)服務(wù)平臺(tái)中是否使用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法，加密算法是否為強(qiáng)加密算法；

f)檢測(cè)是否存在將同一個(gè)密鑰復(fù)用于多種不同用途。

5.6.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)服務(wù)平臺(tái)不存在對(duì)個(gè)人敏感信息進(jìn)行非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為；

b)平臺(tái)的配置文件、后門(mén)程序、密鑰文件、執(zhí)行腳本、日志不存在明文形式的個(gè)人敏感信息；

c)代碼中不存在硬編碼密鑰；

d)服務(wù)平臺(tái)使用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法，加密算法采用SM2、SM3、SM4、長(zhǎng)度

不低于2048位的RSA、長(zhǎng)度不低于128位的AES、哈希摘要等強(qiáng)加密算法（不包含弱加密

算法，如MD5、SHA-1、AESECB模式、DES默認(rèn)模式等）；

e)不存在將同一密鑰復(fù)用于多種不同用途的情況。

5.7服務(wù)平臺(tái)會(huì)話(huà)安全機(jī)制測(cè)試

5.7.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在會(huì)話(huà)安全漏洞。

5.7.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

5.7.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)設(shè)計(jì)文檔是否有會(huì)話(huà)安全的設(shè)計(jì)；

4

T/XXXXXXX—XXXX

b)分析會(huì)話(huà)內(nèi)容，檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否具備會(huì)話(huà)安全保護(hù)機(jī)制，服務(wù)器會(huì)話(huà)是否隨

機(jī)分配ID；

c)檢測(cè)安全通信協(xié)議是否禁用會(huì)話(huà)重協(xié)商和TLS壓縮功能。

5.7.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)設(shè)計(jì)文檔中存在會(huì)話(huà)安全的設(shè)計(jì)；

b)OTA軟件升級(jí)服務(wù)平臺(tái)的不同會(huì)話(huà)的ID不同或無(wú)規(guī)律變化；

c)安全通信協(xié)議禁用會(huì)話(huà)重協(xié)商和TLS壓縮功能。

5.8服務(wù)平臺(tái)隨機(jī)數(shù)生成機(jī)制安全測(cè)試

5.8.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在隨機(jī)數(shù)不安全漏洞。

5.8.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔。

5.8.3測(cè)試方法

使用設(shè)計(jì)文檔分析的方法并驗(yàn)證，檢測(cè)使用到的隨機(jī)數(shù)是否由已驗(yàn)證的、安全的隨機(jī)數(shù)生成器產(chǎn)生。

5.8.4通過(guò)條件

使用密碼學(xué)安全偽隨機(jī)數(shù)生成器或經(jīng)過(guò)權(quán)威機(jī)構(gòu)認(rèn)定隨機(jī)數(shù)生成器生成隨機(jī)數(shù)，使得隨機(jī)數(shù)的生

成更為嚴(yán)格，其熵更大，使其可用于安全敏感的功能。

5.9服務(wù)平臺(tái)日志機(jī)制安全測(cè)試

5.9.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)日志機(jī)制安全。

5.9.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

5.9.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)進(jìn)入服務(wù)平臺(tái)，打開(kāi)日志信息記錄文件，查看內(nèi)容是否包括但不限于日期和時(shí)間、主體身份、

事件類(lèi)型、事件結(jié)果等組成部分；

b)OTA軟件升級(jí)服務(wù)平臺(tái)日志信息的存儲(chǔ)保密性算法是否采用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定加密算

法；

c)以非授權(quán)的用戶(hù)進(jìn)行OTA軟件升級(jí)服務(wù)平臺(tái)日志存儲(chǔ)區(qū)域讀取寫(xiě)入操作，檢測(cè)是否存在訪(fǎng)問(wèn)

控制機(jī)制，加密算法是否為強(qiáng)加密算法；

d)使用逆向分析工具配合系統(tǒng)命令讀取日志功能區(qū)域內(nèi)容，檢測(cè)是否為密文存儲(chǔ)；

e)日志記錄保存周期從生產(chǎn)到報(bào)廢整個(gè)生命周期，并對(duì)日志記錄進(jìn)行備份保存。

5.9.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)服務(wù)平臺(tái)日志完整，包括日期和時(shí)間、主體身份、事件類(lèi)型、事件結(jié)果等組成

部分；

b)OTA軟件升級(jí)服務(wù)平臺(tái)日志存儲(chǔ)功能使用的加密存儲(chǔ)算法采用SM2、SM3、SM4、長(zhǎng)度不低

于2048位的RSA、長(zhǎng)度不低于128位的AES、哈希摘要等強(qiáng)加密算法（不包含弱加密算法，

如MD5、SHA-1、AESECB模式、DES默認(rèn)模式等）；

5

T/XXXXXXX—XXXX

c)OTA軟件升級(jí)服務(wù)平臺(tái)對(duì)日志讀寫(xiě)存在權(quán)限管理，且OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)用日志為密文

存儲(chǔ)；

d)日志記錄存儲(chǔ)空間已滿(mǎn)時(shí)，應(yīng)能夠?qū)崿F(xiàn)刪除最舊的記錄以存儲(chǔ)新記錄。

5.10升級(jí)失敗日志記錄與存儲(chǔ)安全測(cè)試

5.10.1測(cè)試目的

驗(yàn)證升級(jí)失敗后日志是否上傳到OTA軟件升級(jí)服務(wù)平臺(tái)，并進(jìn)行安全存儲(chǔ)。

5.10.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)車(chē)輛執(zhí)行升級(jí)過(guò)程，升級(jí)失敗后，查看OTA軟件升級(jí)服務(wù)平臺(tái)中指定位置，是否存在整個(gè)過(guò)程

的升級(jí)日志；

b)升級(jí)日志應(yīng)包括但不限于：升級(jí)任務(wù)接收時(shí)間、升級(jí)開(kāi)始時(shí)間、升級(jí)結(jié)束時(shí)間、升級(jí)結(jié)果、失

敗原因（升級(jí)失敗情況下）等信息。

5.10.3通過(guò)條件

OTA升級(jí)失敗后，其升級(jí)失敗日志，應(yīng)上傳到OTA軟件升級(jí)服務(wù)平臺(tái)。

6通信鏈路安全測(cè)試

6.1升級(jí)前訪(fǎng)問(wèn)認(rèn)證安全測(cè)試

6.1.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否包含通信認(rèn)證以及認(rèn)證是否有缺陷。

6.1.2前置條件

應(yīng)提供測(cè)試車(chē)載設(shè)備，OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

6.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否采用TLS1.2及以上版本的通信協(xié)議、是否采用雙向認(rèn)證機(jī)

制，以及數(shù)據(jù)是否進(jìn)行加密傳輸；

b)檢測(cè)認(rèn)證通信報(bào)文是否具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。

6.1.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)服務(wù)平臺(tái)是否采用TLS1.2及以上版本的通信協(xié)議；

b)OTA軟件升級(jí)服務(wù)平臺(tái)采用雙向認(rèn)證機(jī)制以及數(shù)據(jù)進(jìn)行加密傳輸，若認(rèn)證失敗后拒絕進(jìn)行升

級(jí)，并記錄安全日志；

c)認(rèn)證通信報(bào)文具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。

6.2通信數(shù)據(jù)傳輸安全測(cè)試

6.2.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文是否為加密傳輸。

6.2.2前置條件

應(yīng)提供測(cè)試車(chē)載設(shè)備，OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

6.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

6

T/XXXXXXX—XXXX

a)查看OTA軟件升級(jí)設(shè)計(jì)文檔或分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文，檢測(cè)其通信鏈路是否

采用加密通道傳輸數(shù)據(jù)以及加密算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求；

b)分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文，檢測(cè)其通信敏感數(shù)據(jù)是否為明文傳輸。

6.2.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)服務(wù)平臺(tái)通信鏈路使用加密通道傳輸數(shù)據(jù)、加密算法符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)

要求，加密算法采用SM2、SM3、SM4、長(zhǎng)度不低于2048位的RSA、長(zhǎng)度不低于128位的

AES、哈希摘要等強(qiáng)加密算法（不包含弱加密算法，如MD5、SHA-1、AESECB模式、DES

默認(rèn)模式等）；

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信敏感數(shù)據(jù)加密后傳輸。

6.3密鑰生成策略測(cè)試

6.3.1測(cè)試目的

檢測(cè)服務(wù)平臺(tái)和車(chē)載設(shè)備之間的通信所使用的的密碼算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

6.3.2前置條件

應(yīng)具備進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶(hù)端和服務(wù)端權(quán)限，服務(wù)平臺(tái)應(yīng)獲得通信鏈路加密的會(huì)話(huà)密

鑰。

6.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)生成的對(duì)稱(chēng)密鑰值是否為真隨機(jī)數(shù)序列；

b)檢測(cè)生成的對(duì)稱(chēng)密鑰生命周期是否滿(mǎn)足會(huì)話(huà)密鑰動(dòng)態(tài)性要求。

6.3.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)生成的對(duì)稱(chēng)密鑰不是偽隨機(jī)數(shù)序列，具備隨機(jī)性；

b)生成的對(duì)稱(chēng)密鑰生命周期滿(mǎn)足會(huì)話(huà)密鑰動(dòng)態(tài)性要求。

6.4密鑰強(qiáng)度與算法安全測(cè)試

6.4.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)密鑰強(qiáng)度與算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

6.4.2前置條件

應(yīng)提供測(cè)試車(chē)載設(shè)備，OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)具備設(shè)計(jì)文檔、服務(wù)平臺(tái)通信數(shù)據(jù)及測(cè)試賬號(hào)。

6.4.3測(cè)試方法

分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文、查看OTA軟件升級(jí)設(shè)計(jì)文檔，檢測(cè)其通信鏈路加密算法密鑰

強(qiáng)度是否滿(mǎn)足國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

6.4.4通過(guò)條件

OTA軟件升級(jí)服務(wù)平臺(tái)的通信鏈路所使用的加密算法及密鑰強(qiáng)度滿(mǎn)足國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求，

加密算法采用SM2、SM3、SM4、長(zhǎng)度不低于2048位的RSA、長(zhǎng)度不低于128位的AES、哈希摘要等強(qiáng)加

密算法（不包含弱加密算法，如MD5、SHA-1、AESECB模式、DES默認(rèn)模式等）。

6.5密鑰存儲(chǔ)安全測(cè)試

6.5.1測(cè)試目的

7

T/XXXXXXX—XXXX

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)密鑰存儲(chǔ)是否有缺陷。

6.5.2前置條件

應(yīng)具備進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶(hù)端和服務(wù)端權(quán)限。

6.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密鑰是否為硬編碼或明文存儲(chǔ)；

b)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密碼是否存儲(chǔ)在可信區(qū)域。

6.5.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密鑰不是硬編碼或明文存儲(chǔ)，無(wú)法通過(guò)非授權(quán)方式讀取或

操作；

b)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密碼存儲(chǔ)在可信區(qū)域，宜采用硬件安全存儲(chǔ)。

6.6通信協(xié)議安全測(cè)試

6.6.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)通信協(xié)議是否有缺陷。

6.6.2前置條件

應(yīng)具備OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)。

6.6.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)安全通信協(xié)議是否為T(mén)LS1.2版本及以上或至少同等安全級(jí)別，是否允許降級(jí)（降到TLS1.1、

TLS1.0或SSLv3）；

b)檢測(cè)安全通信協(xié)議是否禁用會(huì)話(huà)重協(xié)商和TLS壓縮功能。

6.6.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)通信協(xié)議為T(mén)LS1.2版本及以上或至少同等安全級(jí)別，且不允許降級(jí)到TLS1.2以下版本；

b)安全通信協(xié)議禁用會(huì)話(huà)重協(xié)商和TLS壓縮功能。

7車(chē)載設(shè)備安全測(cè)試

7.1車(chē)載升級(jí)設(shè)備計(jì)算環(huán)境（安全基線(xiàn)）安全測(cè)試

7.1.1測(cè)試目的

啟用設(shè)備引導(dǎo)固件、具備外管理模塊固件存儲(chǔ)區(qū)保護(hù)機(jī)制，驗(yàn)證其完整性保護(hù)機(jī)制是否有效。

7.1.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)在具備外管理模塊固件訪(fǎng)問(wèn)設(shè)備引導(dǎo)固件時(shí)，驗(yàn)證其授權(quán)控制功能是否有效；

b)配置可信策略，啟動(dòng)車(chē)載設(shè)備驗(yàn)證是否通過(guò)可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序

加載器進(jìn)行了完整性檢測(cè)；

c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，驗(yàn)證設(shè)備啟動(dòng)后的安全

措施（如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等）是否有效。

7.1.3通過(guò)條件

8

T/XXXXXXX—XXXX

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)在具備外管理模塊固件訪(fǎng)問(wèn)設(shè)備引導(dǎo)固件時(shí)，其授權(quán)控制功能有效；

b)配置可信策略，啟動(dòng)設(shè)備，應(yīng)通過(guò)可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完

成完整性檢測(cè)；

c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，設(shè)備啟動(dòng)后的安全措施

（如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等）有效。

7.2車(chē)載升級(jí)設(shè)備安全漏洞測(cè)試

7.2.1測(cè)試目的

檢測(cè)車(chē)載升級(jí)設(shè)備是否存在已公開(kāi)安全漏洞。

7.2.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)在行業(yè)權(quán)威漏洞庫(kù)平臺(tái)上查詢(xún)所使用的組件版本、系統(tǒng)版本是否存在公開(kāi)漏洞，若存在則進(jìn)行

公開(kāi)漏洞利用測(cè)試；

b)直接使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)進(jìn)行漏洞分析，檢測(cè)是

否存在中高危漏洞。

7.2.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)車(chē)載升級(jí)設(shè)備所使用相關(guān)的服務(wù)組件已打補(bǔ)丁或者為最新版本；

b)使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)車(chē)載升級(jí)設(shè)備進(jìn)行分析后，未發(fā)現(xiàn)中高危漏洞。

7.3車(chē)載升級(jí)設(shè)備密碼模塊安全測(cè)試

7.3.1測(cè)試目的

驗(yàn)證升級(jí)設(shè)備密碼模塊采用的密碼技術(shù)是否生效。

7.3.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)升級(jí)設(shè)備調(diào)用硬件的模塊加密、解密功能，如是否能按照需求的加密算法、解密算法對(duì)升

級(jí)包進(jìn)行加密、解密；

b)檢測(cè)升級(jí)設(shè)備調(diào)用硬件的模塊簽名驗(yàn)證功能，如是否能按照需求的算法對(duì)升級(jí)包進(jìn)行驗(yàn)簽。

7.3.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)密碼模塊應(yīng)按照需求的加密算法、解密算法進(jìn)行加密、解密；

b)密碼模塊應(yīng)按照需求的算法進(jìn)行簽名驗(yàn)證。

7.4車(chē)載升級(jí)設(shè)備數(shù)據(jù)處理活動(dòng)安全測(cè)試

7.4.1測(cè)試目的

檢測(cè)升級(jí)設(shè)備中的數(shù)據(jù)處理活動(dòng)是否具備安全性。

7.4.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)對(duì)升級(jí)設(shè)備應(yīng)用軟件中數(shù)據(jù)進(jìn)行分析，檢測(cè)升級(jí)設(shè)備應(yīng)用軟件是否存在對(duì)個(gè)人敏感信息非授

權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為；

b)使用分析、查找方法，檢測(cè)升級(jí)設(shè)備應(yīng)用軟件是否以明文形式存儲(chǔ)個(gè)人敏感信息；

c)檢測(cè)升級(jí)設(shè)備中是否存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等；

d)對(duì)代碼進(jìn)行查找和分析，檢測(cè)在代碼中是否存在硬編碼密鑰；

9

T/XXXXXXX—XXXX

e)檢測(cè)升級(jí)設(shè)備應(yīng)用軟件是否使用安全加密算法、是否存在將同一個(gè)密鑰復(fù)用于多種不同用途。

7.4.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)升級(jí)設(shè)備應(yīng)用軟件不存在對(duì)個(gè)人敏感信息非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為；

b)升級(jí)設(shè)備應(yīng)用軟件應(yīng)以密文形式存儲(chǔ)個(gè)人敏感信息；

c)升級(jí)設(shè)備中不存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等；

d)升級(jí)設(shè)備應(yīng)用軟件代碼中不存在硬編碼密鑰，且使用安全加密算法；

e)升級(jí)設(shè)備應(yīng)用軟件不存在將同一密鑰復(fù)用于多種不同用途的情況。

7.5非授權(quán)軟件安全校驗(yàn)機(jī)制測(cè)試

7.5.1測(cè)試目的

檢測(cè)車(chē)載設(shè)備安裝非授權(quán)軟件是否存在安全校驗(yàn)機(jī)制。

7.5.2前置條件

測(cè)試車(chē)載設(shè)備應(yīng)具備通過(guò)U盤(pán)等外接存儲(chǔ)設(shè)備安裝其中軟件的能力。

7.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)將非授權(quán)軟件或病毒軟件加載入車(chē)載設(shè)備，檢測(cè)接入系統(tǒng)是否嘗試識(shí)別和安裝；

b)在具有訪(fǎng)問(wèn)權(quán)限的前提下使用數(shù)據(jù)線(xiàn)安裝非授權(quán)軟件，檢測(cè)接入系統(tǒng)是否嘗試識(shí)別和安裝。

7.5.4通過(guò)條件

測(cè)試車(chē)載設(shè)備拒絕安裝非授權(quán)軟件并有彈窗報(bào)警提示。

7.6系統(tǒng)訪(fǎng)問(wèn)控制（權(quán)限管理）機(jī)制安全測(cè)試

7.6.1測(cè)試目的

檢測(cè)系統(tǒng)訪(fǎng)問(wèn)控制（包括訪(fǎng)問(wèn)級(jí)別和權(quán)力）和權(quán)限管理（所能夠執(zhí)行的操作和訪(fǎng)問(wèn)的數(shù)據(jù)）機(jī)制，

并驗(yàn)證相應(yīng)機(jī)制的有效性。

7.6.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)模擬不同用戶(hù)角色權(quán)限下的不同操作，驗(yàn)證系統(tǒng)是否進(jìn)行鑒權(quán)；

b)進(jìn)行橫向越權(quán)測(cè)試，配置多個(gè)擁有相同權(quán)限的用戶(hù)，驗(yàn)證擁有相同權(quán)限的用戶(hù)之間的資源是否

可以相互訪(fǎng)問(wèn)。從用戶(hù)身份處理和資源ID處理的維度進(jìn)行驗(yàn)證；

c)進(jìn)行縱向越權(quán)測(cè)試，分別配置低級(jí)別權(quán)限的用戶(hù)和高級(jí)別權(quán)限的用戶(hù)，驗(yàn)證低級(jí)別權(quán)限用戶(hù)是

否可以訪(fǎng)問(wèn)高級(jí)別權(quán)限用戶(hù)的資源。從用戶(hù)身份處理和資源ID處理的維度進(jìn)行驗(yàn)證。

7.6.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)系統(tǒng)針對(duì)不同權(quán)限的用戶(hù)的不同操作會(huì)分別進(jìn)行訪(fǎng)問(wèn)控制判斷和權(quán)限判斷，并給出相應(yīng)的反

饋。對(duì)于無(wú)相應(yīng)權(quán)限的操作，系統(tǒng)拒絕授權(quán)；

b)對(duì)于相同權(quán)限的不同用戶(hù)之前的資源訪(fǎng)問(wèn)，系統(tǒng)拒絕授權(quán)；

c)低級(jí)別權(quán)限用戶(hù)訪(fǎng)問(wèn)高級(jí)別權(quán)限用戶(hù)的資源，系統(tǒng)拒絕授權(quán)。

8OTA過(guò)程安全測(cè)試

8.1用戶(hù)提示及交互過(guò)程測(cè)試

8.1.1測(cè)試目的

10

T/XXXXXXX—XXXX

驗(yàn)證是否存在升級(jí)告知、用戶(hù)授權(quán)選項(xiàng)和升級(jí)結(jié)果通知。

8.1.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)配置OTA升級(jí)任務(wù)，且測(cè)試車(chē)載設(shè)備應(yīng)具備檢測(cè)到OTA升級(jí)包并下載的

功能。

8.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)下載升級(jí)包成功后，檢測(cè)是否通知用戶(hù)升級(jí)；

b)執(zhí)行升級(jí)前，查看用戶(hù)是否可以主動(dòng)選擇升級(jí)、取消（或者下次再說(shuō)）等；

c)查看升級(jí)提示中，是否包含內(nèi)容：升級(jí)目的、更新內(nèi)容、升級(jí)時(shí)長(zhǎng)和升級(jí)注意事項(xiàng)；

d)升級(jí)完成后，檢測(cè)是否有告知車(chē)輛用戶(hù)升級(jí)的結(jié)果；

e)升級(jí)成功，檢測(cè)是否有告知用戶(hù)更新內(nèi)容；

f)升級(jí)失敗，檢測(cè)是否有處理建議。

8.1.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)執(zhí)行升級(jí)前，有告知用戶(hù)升級(jí)，且用戶(hù)可以授權(quán)升級(jí)（確定升級(jí)）、取消升級(jí)或延緩升級(jí)；

b)升級(jí)提示中，有升級(jí)目的、更新內(nèi)容、升級(jí)時(shí)長(zhǎng)和升級(jí)注意事項(xiàng)；

c)執(zhí)行升級(jí)后，有告知用戶(hù)升級(jí)結(jié)果（成功或失敗）；

d)若升級(jí)成功，有告知車(chē)輛用戶(hù)實(shí)施的更新，以及更新車(chē)載電子用戶(hù)手冊(cè)（如果有）；

e)若升級(jí)失敗，有告知車(chē)輛用戶(hù)處理建議。

8.2升級(jí)啟動(dòng)前安全檢查機(jī)制測(cè)試

8.2.1測(cè)試目的

驗(yàn)證升級(jí)前是否有充足的安全檢查、安全控制。

8.2.2前置條件

測(cè)試車(chē)載設(shè)備應(yīng)具備升級(jí)啟動(dòng)前的安全檢查機(jī)制，包括但不限于電量檢查。

8.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)升級(jí)包下載完成后，通知用戶(hù)升級(jí)；

b)使用技術(shù)手段，調(diào)整車(chē)輛不滿(mǎn)足安全檢查機(jī)制，然后用戶(hù)確認(rèn)升級(jí)；

c)使用技術(shù)手段，調(diào)整車(chē)輛滿(mǎn)足安全檢查機(jī)制，然后用戶(hù)確認(rèn)升級(jí)。

8.2.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)升級(jí)前存在車(chē)況的安全檢查，條件不滿(mǎn)足時(shí)停止升級(jí)；

b)初始條件不滿(mǎn)足，后期條件滿(mǎn)足且用戶(hù)確認(rèn)后可以進(jìn)入升級(jí)。

8.3升級(jí)啟動(dòng)后自檢機(jī)制安全測(cè)試

8.3.1測(cè)試目的

驗(yàn)證升級(jí)啟動(dòng)后，是否具備安全控制。

8.3.2前置條件

應(yīng)提供影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能清單、在執(zhí)行升級(jí)中影響和不影響駕駛安全的升

級(jí)包，且測(cè)試車(chē)載設(shè)備應(yīng)可正常啟動(dòng)行駛。

8.3.3測(cè)試方法

11

T/XXXXXXX—XXXX

測(cè)試按照以下內(nèi)容進(jìn)行：

a)使用車(chē)輛制造商提供的影響駕駛安全的升級(jí)包進(jìn)行測(cè)試；執(zhí)行升級(jí)活動(dòng)，進(jìn)入安裝過(guò)程；安裝

過(guò)程中，通過(guò)車(chē)輛啟動(dòng)、切換檔位至行駛檔、松開(kāi)制動(dòng)、踩油門(mén)踏板等方式嘗試將車(chē)輛置于行

駛狀態(tài)，并實(shí)時(shí)記錄操作狀態(tài)；

b)使用車(chē)輛制造商提供的不影響駕駛安全的升級(jí)包進(jìn)行測(cè)試；執(zhí)行升級(jí)活動(dòng)，進(jìn)入安裝過(guò)程；安

裝過(guò)程中，正常行駛車(chē)輛和倒車(chē)，并實(shí)時(shí)記錄操作狀態(tài)；

c)根據(jù)影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能清單，逐條使用功能，嘗試改變車(chē)輛功能狀態(tài)，

并實(shí)時(shí)記錄執(zhí)行狀態(tài)；

d)執(zhí)行OTA升級(jí)過(guò)程中，從車(chē)內(nèi)開(kāi)啟和關(guān)閉車(chē)門(mén)。

8.3.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)使用車(chē)輛制造商提供的影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為車(chē)輛在執(zhí)行升級(jí)過(guò)程中不能

行駛；車(chē)輛在執(zhí)行升級(jí)過(guò)程中，影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能不可使用；

b)使用車(chē)輛制造商提供的不影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為：車(chē)輛在倒車(chē)和正常行駛

過(guò)程中，均可正常執(zhí)行OTA升級(jí)過(guò)程；

c)車(chē)輛在執(zhí)行升級(jí)過(guò)程中，影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能不可使用；

d)車(chē)輛在執(zhí)行升級(jí)過(guò)程中，從車(chē)內(nèi)可以開(kāi)啟和關(guān)閉車(chē)門(mén)。

8.4升級(jí)失敗回滾機(jī)制安全測(cè)試

8.4.1測(cè)試目的

驗(yàn)證是否具備安全可靠的升級(jí)失敗回滾機(jī)制。

8.4.2前置條件

測(cè)試車(chē)載設(shè)備應(yīng)具備升級(jí)失敗回滾功能。

8.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)單ECU升級(jí)，OTA軟件升級(jí)服務(wù)平臺(tái)配置一個(gè)會(huì)升級(jí)失敗的升級(jí)包，讓車(chē)輛升級(jí)過(guò)程中出現(xiàn)

升級(jí)失?。簧?jí)失敗后，查看車(chē)輛是否恢復(fù)到升級(jí)前的狀態(tài)；

b)多ECU升級(jí)（假定A、B、C三個(gè)ECU）：服務(wù)平臺(tái)配包時(shí)，其中一個(gè)ECU（假定為C）的

升級(jí)包配置成會(huì)升級(jí)失敗的包，ECU之間處于功能依賴(lài)的關(guān)系；C升級(jí)失敗后，查看車(chē)輛是

否恢復(fù)到升級(jí)前的狀態(tài)（A、B、C三個(gè)ECU的版本，均回滾到升級(jí)前的狀態(tài)）；

c)單ECU升級(jí)時(shí)，使用測(cè)試技術(shù)手段破壞升級(jí)過(guò)程（如斷電、重啟、熄火等），導(dǎo)致車(chē)輛升級(jí)

失?。簧?jí)失敗后，查看車(chē)輛是否能恢復(fù)到升級(jí)前的狀態(tài)；

d)多ECU處于互相依賴(lài)狀態(tài)，進(jìn)行OTA升級(jí)時(shí)，使用其他手段破壞升級(jí)過(guò)程（如斷電、重啟、

熄火等），導(dǎo)致車(chē)輛升級(jí)失敗后，查看車(chē)輛是否能恢復(fù)到升級(jí)前的狀態(tài)。

8.4.4通過(guò)條件

車(chē)輛在升級(jí)失敗后，應(yīng)確保將系統(tǒng)恢復(fù)到以前的可用版本，或確保車(chē)輛處于安全狀態(tài)。

8.5升級(jí)成功功能自檢和審計(jì)機(jī)制測(cè)試

8.5.1測(cè)試目的

驗(yàn)證車(chē)輛升級(jí)成功后的版本一致性。

8.5.2前置條件

應(yīng)提供測(cè)試車(chē)載設(shè)備升級(jí)前各零部件的軟件版本號(hào)（原版本號(hào)）及升級(jí)成功后各零部件的軟件版本

號(hào)（目標(biāo)版本號(hào)）。

8.5.3測(cè)試方法

12

T/XXXXXXX—XXXX

測(cè)試按照以下內(nèi)容進(jìn)行：

a)進(jìn)行OTA升級(jí)前，查看并記錄測(cè)試車(chē)載設(shè)備軟件版本號(hào)；

b)車(chē)輛升級(jí)完成，彈出升級(jí)成功提示后，查看測(cè)試車(chē)載設(shè)備的軟件版本號(hào)，是否與OTA升級(jí)包中

各零部件的軟件版本號(hào)一致；

c)在OTA軟件升級(jí)服務(wù)平臺(tái)上，查看測(cè)試車(chē)載設(shè)備軟件版本號(hào)是否已經(jīng)為目標(biāo)版本號(hào)。

8.5.4通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)車(chē)載設(shè)備升級(jí)成功后，測(cè)試車(chē)載設(shè)備軟件版本號(hào)，應(yīng)更新為目標(biāo)版本號(hào)；

b)車(chē)載設(shè)備升級(jí)成功后，OTA軟件服務(wù)平臺(tái)上的測(cè)試車(chē)載設(shè)備軟件版本號(hào)，應(yīng)更新為目標(biāo)版本號(hào)。

8.6數(shù)據(jù)及隱私保護(hù)機(jī)制測(cè)試

8.6.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中，用戶(hù)數(shù)據(jù)和隱私是否受到保護(hù)。

8.6.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)車(chē)輛整個(gè)OTA過(guò)程中，查看OTA軟件升級(jí)服務(wù)平臺(tái)是否有用戶(hù)隱私數(shù)據(jù)上報(bào)；

b)車(chē)輛整個(gè)OTA過(guò)程中，查看展示的界面上是否有泄露用戶(hù)隱私數(shù)據(jù)；

c)車(chē)端涉及到用戶(hù)數(shù)據(jù)升級(jí)后是否被破壞，是否被清除。

8.6.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA升級(jí)過(guò)程中，不會(huì)泄露和獲取用戶(hù)的隱私數(shù)據(jù)；

b)OTA升級(jí)不會(huì)清除和破壞車(chē)端用戶(hù)數(shù)據(jù)。

8.7斷電保護(hù)安全測(cè)試

8.7.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中的斷電保護(hù)安全機(jī)制。

8.7.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)下載過(guò)程中斷電，車(chē)輛電源恢復(fù)后，查看是否繼續(xù)下載；

b)升級(jí)過(guò)程中斷電，車(chē)輛電源恢復(fù)后，查看是否繼續(xù)升級(jí)。

8.7.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)下載過(guò)程中斷電恢復(fù)，車(chē)輛可以繼續(xù)下載；

b)升級(jí)過(guò)程中斷電恢復(fù)，車(chē)輛可以恢復(fù)升級(jí)。如果未恢復(fù)，升級(jí)失敗，車(chē)輛需要回滾到升級(jí)前的

狀態(tài)。

8.8升級(jí)中斷恢復(fù)機(jī)制測(cè)試

8.8.1測(cè)試目的

驗(yàn)證OTA升級(jí)中斷恢復(fù)機(jī)制，確保升級(jí)過(guò)程的可靠性。

8.8.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)在安裝刷寫(xiě)階段，斷電重啟后，查看升級(jí)情況；

b)在安裝刷寫(xiě)階段，中止升級(jí)進(jìn)程，然后恢復(fù)升級(jí)進(jìn)程，查看升級(jí)情況；

13

T/XXXXXXX—XXXX

c)在安裝刷寫(xiě)階段，斷開(kāi)車(chē)輛網(wǎng)絡(luò)，查看升級(jí)情況。恢復(fù)車(chē)輛網(wǎng)絡(luò)，并重啟車(chē)輛后，查看OTA服

務(wù)平臺(tái)上改車(chē)輛的升級(jí)執(zhí)行信息；

d)在安裝刷寫(xiě)階段，車(chē)輛熄火后，查看升級(jí)情況；

e)在安裝刷寫(xiě)階段，車(chē)輛倒車(chē)，查看升級(jí)情況。

8.8.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)在安裝刷寫(xiě)階段，斷電重啟后，車(chē)輛可以繼續(xù)OTA升級(jí)成功或者升級(jí)失敗但回滾成功；

b)在安裝刷寫(xiě)階段，中止升級(jí)進(jìn)程，然后恢復(fù)升級(jí)進(jìn)程，車(chē)輛可以繼續(xù)OTA升級(jí)成功或者升級(jí)

失敗但回滾成功；

c)在安裝刷寫(xiě)階段，斷開(kāi)車(chē)輛網(wǎng)絡(luò)，車(chē)輛可以繼續(xù)升級(jí)并升級(jí)成功?；謴?fù)車(chē)輛網(wǎng)絡(luò)，并重啟車(chē)輛

后，可以在OTA服務(wù)端上看到該車(chē)輛升級(jí)成功；

d)在安裝刷寫(xiě)階段，車(chē)輛熄火恢復(fù)后，車(chē)輛可以繼續(xù)OTA升級(jí)成功或者升級(jí)失敗但回滾成功。

8.9低版本升級(jí)阻斷測(cè)試

8.9.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中車(chē)輛阻止低于當(dāng)前系統(tǒng)版本的升級(jí)包進(jìn)行升級(jí)，避免入侵者利用舊版本的系

統(tǒng)漏洞對(duì)設(shè)備發(fā)起攻擊。

8.9.2前置條件

提供的驗(yàn)證低版本升級(jí)阻斷升級(jí)包版本應(yīng)低于當(dāng)前測(cè)試車(chē)載設(shè)備上運(yùn)行版本。

8.9.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)將低版本的升級(jí)包部署至OTA軟件升級(jí)服務(wù)平臺(tái)；

b)車(chē)輛端觸發(fā)升級(jí)流程，觀察升級(jí)是否成功。

8.9.4通過(guò)條件

提供的驗(yàn)證低版本升級(jí)阻斷升級(jí)包版本應(yīng)低于當(dāng)前測(cè)試車(chē)載設(shè)備上運(yùn)行版本，測(cè)試車(chē)載設(shè)備不會(huì)

檢測(cè)到升級(jí)任務(wù)或者不會(huì)進(jìn)入升級(jí)流程。

A

A

9升級(jí)包安全測(cè)試

9.1組件安全漏洞測(cè)試

9.1.1測(cè)試目的

檢測(cè)OTA升級(jí)包使用的組件是否存在已公開(kāi)安全漏洞。

9.1.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)檢測(cè)軟件升級(jí)包中所包含的公開(kāi)組件版本；

b)在行業(yè)權(quán)威漏洞庫(kù)平臺(tái)查詢(xún)所包含的組件版本是否存在公開(kāi)漏洞，若存在則進(jìn)行漏洞利用測(cè)

試；

c)直接使用漏洞掃描、代碼分析或二進(jìn)制固件分析等工具對(duì)升級(jí)包進(jìn)行漏洞掃描，檢測(cè)是否存在

漏洞。

9.1.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下：

a)升級(jí)包中所使用相關(guān)的服務(wù)組件針對(duì)公開(kāi)的漏洞利用失敗；

b)使用漏洞掃描、代碼分析或二進(jìn)制固件分析等工具對(duì)升級(jí)包進(jìn)行漏洞掃描后，未發(fā)現(xiàn)漏洞。

14

T/XXXXXXX—XXXX

9.2升級(jí)包簽名測(cè)試

9.2.1測(cè)試目的

檢測(cè)OTA升級(jí)包簽名過(guò)程是否存在缺陷。

9.2.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)對(duì)OTA升級(jí)包進(jìn)行非法簽名，檢測(cè)車(chē)輛是否可以升級(jí)成功；

b)對(duì)OTA升級(jí)包不簽名，直接進(jìn)行升級(jí)，檢測(cè)車(chē)輛是否可以升級(jí)成功；

c)對(duì)OTA升級(jí)包進(jìn)行篡改，將篡改后的升級(jí)包下載到車(chē)載終端指定區(qū)域，下發(fā)升級(jí)包升級(jí)指令，

監(jiān)測(cè)車(chē)載終端加載升級(jí)包時(shí)是否進(jìn)行完整性校驗(yàn)。

9.2.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)對(duì)OTA升級(jí)包進(jìn)行非法簽名，車(chē)輛升級(jí)失?。?/p>

b)對(duì)OTA升級(jí)包不簽名，車(chē)輛升級(jí)失敗；

c)篡改OTA升級(jí)包后，終端進(jìn)行完整性校驗(yàn)，升級(jí)包完整性校驗(yàn)失敗。

9.3升級(jí)包隱藏調(diào)試接口與函數(shù)測(cè)試

9.3.1測(cè)試目的

檢測(cè)OTA升級(jí)包是否隱藏調(diào)試接口。

9.3.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)定位OTA升級(jí)包關(guān)鍵應(yīng)用，查看系統(tǒng)中是否存在調(diào)試段、符號(hào)表；

b)使用調(diào)試分析方法，檢測(cè)OTA升級(jí)包是否包含調(diào)試功能及調(diào)試信息；

c)檢測(cè)應(yīng)用軟件日志是否包含調(diào)試輸出。

9.3.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA升級(jí)包不存在調(diào)試段、符號(hào)表；

b)OTA升級(jí)包不包含調(diào)試功能和調(diào)試信息，日志不存在調(diào)試輸出。

9.4升級(jí)包保護(hù)機(jī)制測(cè)試

9.4.1測(cè)試目的

檢測(cè)OTA升級(jí)包是否存在保護(hù)機(jī)制。

9.4.2測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行：

a)對(duì)OTA軟件升級(jí)包進(jìn)行解壓，檢測(cè)升級(jí)包內(nèi)容是否進(jìn)行加密；

b)對(duì)OTA軟件升級(jí)包內(nèi)固件進(jìn)行溢出測(cè)試，檢測(cè)固件是否存在堆棧溢出保護(hù)機(jī)制。

9.4.3通過(guò)條件

通過(guò)條件應(yīng)同時(shí)滿(mǎn)足以下內(nèi)容：

a)OTA軟件升級(jí)包已加密處理；

b)OTA軟件升級(jí)包存在棧溢出保護(hù)機(jī)制。

9.5升級(jí)包簽名密鑰安全測(cè)試

9.5.1測(cè)試目的

15

T/XXXXXXX—XXXX

檢測(cè)OTA升級(jí)包簽名使用密鑰是否存在泄漏、是否為系統(tǒng)默認(rèn)密鑰對(duì)。

9.5.2前置條件

OTA軟件升級(jí)包應(yīng)具備簽名密鑰。

9.5.3測(cè)試方法

對(duì)密鑰進(jìn)行測(cè)試，確定是否存在泄漏并確定是否為企業(yè)自主生成。

9.5.4通過(guò)條件

升級(jí)包簽名私鑰為企業(yè)自主生成，不同升級(jí)包采用不同密鑰，不存在泄漏情況。

16

T/XXXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T40861—2021汽車(chē)信息安全通用技術(shù)要求

[2]RegulationNo.155-CybersecurityandCybersecurityManagementSystem

[3]RegulationNo.156-SoftwareUpdateandSoftwareUpdateManagementSystem

17

ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加CCS號(hào)

團(tuán)體標(biāo)準(zhǔn)

T/XXXXXXX—XXXX

汽車(chē)軟件升級(jí)信息安全測(cè)試方法

Cybersecuritytestmethodforsoftwareupdateofvehicles

報(bào)批稿

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國(guó)汽車(chē)工程學(xué)會(huì)發(fā)布

T/XXXXXXX—XXXX

汽車(chē)軟件升級(jí)信息安全測(cè)試方法

1范圍

本文件規(guī)定了汽車(chē)軟件升級(jí)服務(wù)平臺(tái)、通信鏈路、車(chē)載設(shè)備、軟件升級(jí)過(guò)程及升級(jí)包的信息安全測(cè)

試方法。

本文件適用于M類(lèi)、N類(lèi)汽車(chē)，其他車(chē)輛類(lèi)型可參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

軟件升級(jí)softwareupdate

將某版本的軟件更新到新版本或更改配置參數(shù)的過(guò)程。

注：“軟件升級(jí)”也稱(chēng)“軟件更新”，包括更改軟件功能的配置參數(shù)。

3.2

升級(jí)包updatespackage

用于進(jìn)行軟件升級(jí)的軟件包。

3.3

OTA軟件升級(jí)服務(wù)平臺(tái)OTAserviceplatform

包括為汽車(chē)OTA升級(jí)提供各項(xiàng)服務(wù)的信息化平臺(tái)，為汽車(chē)OTA升級(jí)提供通道接入、任務(wù)管理和升級(jí)

數(shù)據(jù)等服務(wù)。

3.4

補(bǔ)丁patch

為解決使用過(guò)程中暴露的系統(tǒng)漏洞而發(fā)布的解決問(wèn)題的代碼。

3.5

隨機(jī)數(shù)生成器randomnumbergenerator

生成隨機(jī)二元序列的器件或程序。

[來(lái)源：GB/T25069-2022，3.588]

4縮略語(yǔ)

以下縮略語(yǔ)適用于本文件。

OTA：空中下載（Over-the-Air）

AES：高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionstandard）

DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionstandard）

ECB：電碼本（ElectronicCodebook）

IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）

ID：標(biāo)識(shí)符（Identifier）

1

T/XXXXXXX—XXXX

TLS：安全傳輸協(xié)議（TransportLayerSecurity）

SSL：安全套接層協(xié)議（Se