車聯(lián)網(wǎng)在線升級（ OTA ）安全技術(shù)要求與測試方法 征求意見稿

1GB/TXXXXX—XXXX車聯(lián)網(wǎng)在線升級（OTA）安全技術(shù)要求與測試方法本文件規(guī)定了車聯(lián)網(wǎng)中在線升級（OTA）過程中OTA服務(wù)平臺、通信鏈路和OTA應(yīng)用的安全技術(shù)要求與測試方法。本文件適用于指導(dǎo)OTA平臺服務(wù)商、基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)等，開展OTA服務(wù)平臺、通信鏈路和OTA應(yīng)用的安全設(shè)計、研發(fā)、測試和運行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語YD/T2910—2015LTE/SAE安全技術(shù)要求YD/T4958—20245G移動通信網(wǎng)安全技術(shù)要求（第二階段）T/CCSA441—2023車聯(lián)網(wǎng)服務(wù)平臺網(wǎng)絡(luò)安全防護要求3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。3.1在線升級over-the-airupdate；OTA通過無線方式而不是使用電纜或其他本地連接，將OTA服務(wù)平臺的升級包傳輸?shù)絆TA應(yīng)用的軟件升級。3.2車聯(lián)網(wǎng)服務(wù)平臺serviceplatformofInternetofVehicle面向車聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用，負責車輛及相關(guān)設(shè)備信息的接入、匯聚、計算、監(jiān)控或管理等一種或多種功能，提供信息管理或服務(wù)等的信息系統(tǒng)/平臺，如車輛運營管理、信息娛樂、在線升級（OTA）、遠程診斷、遠程控制、車聯(lián)網(wǎng)卡管理等應(yīng)用服務(wù)或管理功能。3.3升級包updatespackage用于進行軟件升級的軟件包。3.4車載終端vehicleterminal安裝在汽車上，具備計算、存儲及輸入/輸出接口并承載在線升級應(yīng)用的電子設(shè)備。3.5OTA應(yīng)用over-the-airupdateapplication終端側(cè)連接OTA服務(wù)平臺進行在線升級的車載終端或手機終端等應(yīng)用。2GB/TXXXXX—XXXX4縮略語下列縮略語適用于本文件。4G：第四代移動通信技術(shù)（4thGenerationMobileCommunicationTechnology）5G：第五代移動通信技術(shù)（5thGenerationMobileCommunicationTechnology）CAVD：車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫(ChinaAutomobileVulnerabilityDatabase)NVDB：網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NationalVulnerabilityDataBase）TLCP：傳輸層密碼協(xié)議（TransportLayerCryptographyProtocol）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）5概述升級包上傳OTA架構(gòu)如圖1所示，包括OTA服務(wù)平臺、通信鏈路、OTA應(yīng)用三部分。OTA服務(wù)平臺負責在線升級流程管理、升級包存儲、升級包加密、簽名和驗簽等。通信鏈路負責OTA服務(wù)平臺和OTA應(yīng)用間的身份認證、指令交互、數(shù)據(jù)和升級包傳輸?shù)?。OTA應(yīng)用負責在線升級請求和確認、升級包下載和接收、升級包解密和驗簽、升級過程執(zhí)行、升級交互操作等。升級包上傳OTA服務(wù)平臺通信鏈路OTA應(yīng)用（車載終端)OTA應(yīng)用（車載終端)OTA應(yīng)用（手機終端）圖1OTA架構(gòu)圖6安全技術(shù)要求6.1OTA服務(wù)平臺6.1.1通用要求OTA服務(wù)平臺應(yīng)滿足T/CCSA441—2023中的第三級安全防護相關(guān)要求。6.1.2身份認證身份認證要求如下：3GB/TXXXXX—XXXXa）應(yīng)驗證OTA應(yīng)用的真實性，防止偽造或篡改的OTA應(yīng)用獲取升級包及相關(guān)文件。當OTA應(yīng)用真實性驗證失敗時，應(yīng)及時中斷服務(wù)響應(yīng)，并記錄異常信息；b）應(yīng)對不同車輛的操作升級包及相關(guān)文件（如升級包版本說明文檔）的主體的來源真實性進行驗證。6.1.3訪問控制訪問控制要求如下：a）應(yīng)對OTA服務(wù)平臺中的升級包設(shè)置訪問控制機制，防止對升級包的非授權(quán)訪問；b）應(yīng)對不同車型的升級設(shè)置不同的升級權(quán)限，防止非授權(quán)升級；c）應(yīng)對OTA服務(wù)平臺中升級包的操作設(shè)置權(quán)限管理，防止對升級包的非授權(quán)操作；d）應(yīng)對OTA服務(wù)平臺特權(quán)賬號和特權(quán)會話進行安全管控；e）宜對不同車輛的升級設(shè)置不同的升級權(quán)限，防止非授權(quán)升級。6.1.4安全審計安全審計要求如下：a）應(yīng)對OTA服務(wù)平臺中升級包的各種操作進行審計，如升級包的上傳、下載、修改、刪除等；b）應(yīng)對升級中的連接和傳輸過程進行審計，如審計OTA服務(wù)平臺與OTA應(yīng)用的連接是否通過認c）應(yīng)對在線升級的執(zhí)行情況進行審計，包括升級前后狀態(tài)信息、軟件版本內(nèi)容、升級發(fā)起方、升級日期和時間、執(zhí)行結(jié)果等；d）應(yīng)對升級過程中發(fā)生的錯誤、故障、報警、失敗、安全事件日志進行審計；e）審計記錄應(yīng)保存至車型停產(chǎn)后10年，并采取對應(yīng)的安全措施。6.1.5數(shù)據(jù)安全數(shù)據(jù)安全要求如下：a）應(yīng)驗證升級包及相關(guān)文件（如升級包版本說明文檔）的一致性；b）應(yīng)驗證升級包及相關(guān)文件（如升級包版本說明文檔）的完整性，能夠檢測到完整性受到破壞并及時告警；c）應(yīng)加密存儲升級包，保證升級包的機密性；d）宜保證升級包在傳輸過程中的機密性；e）應(yīng)保證安全重要參數(shù)（如密鑰）在傳輸過程中的機密性和完整性；f）應(yīng)保證安全重要參數(shù)（如密鑰）存儲在專用安全可信的存儲空間；g）升級包中應(yīng)不存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置中危等級及以上漏洞。注1：漏洞風(fēng)險等級宜參照GB/T30279—2020等國家相關(guān)指南。注2：權(quán)威漏洞平臺包括網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）、車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫（CAVD）等政府主管部門認可的相關(guān)漏洞平臺。6.2通信鏈路6.2.1通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)要求如下：a）如采用4G，應(yīng)滿足YD/T2910—2015等的安全要求；4GB/TXXXXX—XXXXb）如采用5G，應(yīng)滿足YD/T4958—2024等的安全要求；c）OTA通信鏈路宜采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)進行通信隔離。6.2.2身份認證身份認證要求如下：a）通信雙方應(yīng)在建立通信連接前進行身份認證，防止非授權(quán)的訪問；b）身份認證失敗時，應(yīng)及時終止通信響應(yīng)或連接。6.2.3通信協(xié)議OTA服務(wù)平臺與OTA應(yīng)用在通信過程中，應(yīng)采用TLS1.2版本及以上或至少同等安全級別的安全通信協(xié)議建立安全的通信連接，確保OTA應(yīng)用與OTA服務(wù)平臺之間通信數(shù)據(jù)的機密性、完整性等。6.3OTA應(yīng)用6.3.1手機終端手機終端OTA應(yīng)用要求如下：a）應(yīng)驗證OTA服務(wù)平臺的真實性；b）應(yīng)驗證OTA應(yīng)用用戶與車輛綁定關(guān)系的準確性、真實性，防止未授權(quán)OTA應(yīng)用控制升級操作。6.3.2車載終端車載終端OTA應(yīng)用要求如下：a）應(yīng)驗證OTA服務(wù)平臺的真實性；b）應(yīng)驗證升級包及相關(guān)文件（如升級包版本說明文檔）的真實性和一致性；c）應(yīng)驗證升級包及相關(guān)文件（如升級包版本說明文檔）的完整性，能夠檢測到完整性受到破壞并及時告警；d）應(yīng)采取必要的安全措施防止升級包及相關(guān)文件（如升級包版本說明文檔）被非授權(quán)獲取；e）應(yīng)采取必要的安全措施防止安全重要參數(shù)（如密鑰）被非授權(quán)獲?。籪）應(yīng)采用備份或安全可信的存儲區(qū)域等措施，防止安全重要參數(shù)（如密鑰）的丟失和誤刪操作；g）應(yīng)及時將在線升級錯誤、故障、告警、失敗、安全事件日志安全傳輸?shù)絆TA服務(wù)平臺；h）在線升級出現(xiàn)錯誤或失敗情況下，應(yīng)該保證原版本能恢復(fù)，并驗證原版本的可用性、完整性、真實性。7測試方法7.1OTA服務(wù)平臺安全測試7.1.1通用要求測試檢查確認滿足T/CCSA441—2023中的第三級安全防護相關(guān)要求。7.1.2身份認證測試身份認證測試方法如下：5GB/TXXXXX—XXXXa）檢查OTA應(yīng)用發(fā)起升級請求時，OTA服務(wù)平臺是否對OTA應(yīng)用的真實性進行驗證。當發(fā)現(xiàn)盜版或篡改的OTA應(yīng)用時，是否及時中斷服務(wù)響應(yīng)并記錄相關(guān)信息，測試結(jié)果應(yīng)符合6.1.2a）的要求；b）檢測OTA服務(wù)平臺是否對升級包及相關(guān)文件（如升級包版本說明文檔）的真實性進行驗證，測試結(jié)果應(yīng)符合6.1.2b）的要求。7.1.3訪問控制測試訪問控制測試方法如下：a）檢查OTA服務(wù)平臺中是否對升級包設(shè)置訪問控制機制，測試結(jié)果應(yīng)符合6.1.3a）的要求；b）檢查是否對不同車型和手機應(yīng)用設(shè)置不同的升級包訪問權(quán)限，測試結(jié)果應(yīng)符合6.1.3b）的要c）檢查OTA服務(wù)平臺中對升級包的操作是否設(shè)置權(quán)限管理，測試結(jié)果應(yīng)符合6.1.3c）的要求；d）檢查OTA服務(wù)平臺中特權(quán)賬號和特權(quán)會話是否通過專門的設(shè)備（或虛擬設(shè)備）納管，相關(guān)數(shù)據(jù)是否明文存儲，測試結(jié)果應(yīng)符合6.1.3d）的要求。7.1.4安全審計測試安全審計測試方法如下：a）上傳升級包到OTA服務(wù)平臺，并對OTA服務(wù)平臺中的升級包進行下載、修改和刪除操作，檢查平臺是否記錄了相應(yīng)操作的日志，測試結(jié)果應(yīng)符合6.1.4a）的要求；b）使用測試工具模擬進行在線升級，檢查OTA服務(wù)平臺是否記錄了OTA應(yīng)用與OTA服務(wù)平臺建立連接的過程和升級包數(shù)據(jù)傳輸?shù)娜罩荆瑴y試結(jié)果應(yīng)符合6.1.4b）的要求；c）檢查OTA服務(wù)平臺是否記錄了在線升級執(zhí)行情況的日志，日志中是否包括了升級前后狀態(tài)信息、軟件版本內(nèi)容、升級發(fā)起方、升級日期和時間、執(zhí)行結(jié)果等，測試結(jié)果應(yīng)符合6.1.4c）的要d）使用測試工具模擬在線升級過程中發(fā)生了錯誤、故障、報警、失敗、升級中發(fā)生安全事件等場景，檢查OTA服務(wù)平臺是否記錄相應(yīng)的日志，測試結(jié)果應(yīng)符合6.1.4d）的要求；e）檢查審計數(shù)據(jù)是否持續(xù)保存，檢查審計數(shù)據(jù)的安全保護機制，測試結(jié)果應(yīng)符合6.1.4e）的要7.1.5數(shù)據(jù)安全測試數(shù)據(jù)安全測試方法如下：a）檢查OTA服務(wù)平臺是否對升級包及相關(guān)文件進行完整性校驗，當檢測到升級包及其相關(guān)文件完整性受到破壞時，是否及時告警，測試結(jié)果應(yīng)符合6.1.5a）的要求；b）檢查升級包及相關(guān)文件（如升級包版本說明文檔）是否一致，測試結(jié)果應(yīng)符合6.1.5b）的要c）檢查OTA服務(wù)平臺是否對升級包及相關(guān)文件（如升級包版本說明文檔）進行加密存儲，測試結(jié)果應(yīng)符合6.1.5c）的要求；d）檢查OTA服務(wù)平臺是否將安全重要參數(shù)（如密鑰）存儲在專用安全可信的存儲空間，測試結(jié)果應(yīng)符合6.1.5d）的要求；e）檢查OTA服務(wù)平臺是否及時處理存在可被利用的權(quán)威漏洞平臺6個月前發(fā)布的中危等級及以上漏洞的升級包，測試結(jié)果應(yīng)符合6.1.5e）的要求。6GB/TXXXXX—XXXX7.2通信鏈路安全測試7.2.1通信網(wǎng)絡(luò)測試通信網(wǎng)絡(luò)測試方法如下：a）如采用4G，檢查確認滿足YD/T2910—2015的安全要求；b）如采用5G，檢查確認滿足YD/T4958—2024的安全要求；c）如采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，檢查是否進行通信隔離，測試結(jié)果應(yīng)符合6.2.1c）的要求。7.2.2身份認證測試身份認證測試方法如下：a）檢查OTA服務(wù)平臺和OTA應(yīng)用在建立通信連接前是否進行通信雙方的身份認證，測試結(jié)果應(yīng)符合6.2.2a）的要求；b）檢查OTA服務(wù)平臺和OTA應(yīng)用在身份認證階段認證失敗時，是否及時終止通信響應(yīng)或連接，測試結(jié)果應(yīng)符合6.2.2b）的要求。7.2.3通信協(xié)議測試通過抓包分析OTA服務(wù)平臺與OTA應(yīng)用的通信數(shù)據(jù)，檢查通信雙方是否使用TLS1.2版本以上或至少同等安全級別的安全加密協(xié)議（如TLCP等），并檢查雙方通信數(shù)據(jù)的機密性、完整性等是否得到保護，測試結(jié)果應(yīng)符合6.2.3的要求。7.3OTA應(yīng)用安全測試7.3.1手機終端測試手機終端OTA應(yīng)用測試方法如下：a）檢查手機終端OTA應(yīng)用同OTA服務(wù)平臺通信時，是否對OTA服務(wù)平臺的真實性進行驗證，測試結(jié)果應(yīng)符合6.3.1a）的要求；b）檢查手機終端OTA應(yīng)用是否驗證用戶與車輛綁定關(guān)系的準確性、真實性，測試結(jié)果應(yīng)符合6.3.1b）的要求。7.3.2車載終端測試車載終端OTA應(yīng)用測試方法如下：a）檢查車載終端OTA應(yīng)用同OTA服務(wù)平臺通信時，是否對OTA服務(wù)平臺真實性進行驗證，測試結(jié)果應(yīng)符合6.3.2a）的要求；b）檢查車載終端OTA應(yīng)用加載升級包時是否對升級包及相關(guān)文件的真實性和一致性進行驗證，測試結(jié)果應(yīng)符合6.3.2b）的要求；c）檢查車載終端OTA應(yīng)用加載升級包時是否對升級包及相關(guān)文件（如升級包版本說明文檔）的完整性進行驗證，當檢測到完整性受到破壞時，是否及時告警，測試結(jié)果應(yīng)符合6.3.2c）的要求；d）檢查車載終端OTA應(yīng)用是否采用安全措施防止安全重要參數(shù)（如密鑰）的非授權(quán)獲取，測試結(jié)果應(yīng)符合6.3.2d）的要求；e）檢查車載終端OTA應(yīng)用是否采用安全措施防止某些升級包的非授權(quán)獲取，測試結(jié)果應(yīng)符合6.3.2e）的要求；7GB/TXXXXX—XXXXf）檢查車載終端OTA應(yīng)用安全重要參數(shù)（如密鑰）是否采用備份或安全可信的