《汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范》_第1頁(yè)
《汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范》_第2頁(yè)
《汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范》_第3頁(yè)
《汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范》_第4頁(yè)
《汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范》_第5頁(yè)
已閱讀5頁(yè),還剩15頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加CCS號(hào)

團(tuán)體標(biāo)準(zhǔn)

T/XXXXXXX—XXXX

汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范

Testrequirementsofsoftwareupdate(OTA)cybersecurity

征集意見(jiàn)稿

(本草案完成時(shí)間:2023.02.24)

在提交反饋意見(jiàn)時(shí),請(qǐng)將您知道的該標(biāo)準(zhǔn)所涉必要專(zhuān)利信息連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國(guó)汽車(chē)工程學(xué)會(huì)發(fā)布

T/XXXXXXX—XXXX

汽車(chē)遠(yuǎn)程升級(jí)(OTA)信息安全測(cè)試規(guī)范

1范圍

本文件適用于M類(lèi)、N類(lèi)汽車(chē)遠(yuǎn)程升級(jí)(OTA)的信息安全設(shè)計(jì)開(kāi)發(fā)、驗(yàn)證和生產(chǎn)工作。

本文件規(guī)定了汽車(chē)遠(yuǎn)程升級(jí)(OTA)前的服務(wù)平臺(tái)驗(yàn)證、升級(jí)中的訪問(wèn)控制和密碼技術(shù)應(yīng)用,及升

級(jí)后的處置過(guò)程中的測(cè)試方法。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GBXXXXX汽車(chē)軟件升級(jí)通用技術(shù)要求

GBXXXXX汽車(chē)整車(chē)信息安全技術(shù)要求

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GM/T0005隨機(jī)性檢測(cè)規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

軟件升級(jí)softwareupdate

將某版本的軟件更新到新版本或更改配置參數(shù)的過(guò)程(包括更改軟件功能的配置參數(shù))。

注1:“軟件升級(jí)”也稱(chēng)“軟件更新”。

注2:“軟件升級(jí)”包含“在線升級(jí)”和“離線升級(jí)”。

[來(lái)源:GB《汽車(chē)軟件升級(jí)通用技術(shù)要求》,定義3.2]

3.2

升級(jí)包updatespackage

用于進(jìn)行軟件升級(jí)的軟件包。

[來(lái)源:GB《汽車(chē)軟件升級(jí)通用技術(shù)要求》,定義3.6]

3.3

服務(wù)平臺(tái)serviceplatform

包括為汽車(chē)OTA升級(jí)提供各項(xiàng)服務(wù)的信息化平臺(tái),為汽車(chē)OTA升級(jí)提供通道接入、任務(wù)管理和升級(jí)

數(shù)據(jù)等服務(wù)。

3.4

補(bǔ)丁patch

指為解決使用過(guò)程中暴露的系統(tǒng)漏洞而發(fā)布的解決問(wèn)題的小程序。

3.5

測(cè)試服務(wù)平臺(tái)testserviceplatform

在測(cè)試過(guò)程中,為避免因測(cè)試活動(dòng)而阻塞、擾亂、破壞OTA服務(wù)平臺(tái)的正常工作,而臨時(shí)性搭建的、

與生產(chǎn)用服務(wù)平臺(tái)的安全功能與安全保障相一致的測(cè)試用服務(wù)器。

4縮略語(yǔ)

以下縮略語(yǔ)適用于本文件。

OTA:空中下載(Over-the-Air)

1

T/XXXXXXX—XXXX

CDN:內(nèi)容分發(fā)網(wǎng)絡(luò)(ContentDeliveryNetwork)

AES:高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionstandard)

DES:數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionstandard)

ECB:電碼本(ElectronicCodebook)

5測(cè)試條件

5.1測(cè)試環(huán)境

5.1.1測(cè)試環(huán)境應(yīng)包含實(shí)現(xiàn)汽車(chē)OTA軟件升級(jí)功能所需的各種組件,包括OTA軟件升級(jí)平臺(tái)、通信

鏈路、車(chē)載總線網(wǎng)絡(luò)架構(gòu)、車(chē)端待升級(jí)部件等。

5.1.2測(cè)試環(huán)境應(yīng)實(shí)現(xiàn)正常的汽車(chē)OTA軟件升級(jí)全過(guò)程,同時(shí)應(yīng)能模擬各種異常情況。

5.1.3測(cè)試環(huán)境應(yīng)保障在測(cè)試過(guò)程中與車(chē)輛、服務(wù)平臺(tái)的穩(wěn)定通信。

5.1.4測(cè)試環(huán)境應(yīng)保證車(chē)輛能安全運(yùn)行,至少包含支持車(chē)輛多運(yùn)行工況的臺(tái)架環(huán)境。

5.1.5測(cè)試環(huán)境應(yīng)避免影響服務(wù)平臺(tái)各服務(wù)器穩(wěn)定運(yùn)行。

5.2測(cè)試服務(wù)平臺(tái)

5.2.1測(cè)試服務(wù)平臺(tái)應(yīng)能觸發(fā)車(chē)輛的升級(jí)并完成整個(gè)升級(jí)過(guò)程。在測(cè)試開(kāi)始之前,測(cè)試服務(wù)平臺(tái)應(yīng)配

備軟件升級(jí)功能介紹材料并在開(kāi)始升級(jí)前進(jìn)行至少一次完整升級(jí)過(guò)程的演示。

5.2.2測(cè)試服務(wù)平臺(tái)中業(yè)務(wù)系統(tǒng)服務(wù)器、升級(jí)服務(wù)器、CDN服務(wù)器應(yīng)可登錄。

5.2.3測(cè)試服務(wù)平臺(tái)應(yīng)能記錄OTA平臺(tái)操作的完整日志,測(cè)試服務(wù)平臺(tái)在測(cè)試開(kāi)始之前應(yīng)進(jìn)行至少

一次平臺(tái)操作的日志讀取。

5.2.4若測(cè)試車(chē)載設(shè)備支持上傳日志功能,測(cè)試服務(wù)平臺(tái)應(yīng)能獲取到測(cè)試車(chē)載設(shè)備的日志,測(cè)試服務(wù)

平臺(tái)在測(cè)試開(kāi)始之前進(jìn)行至少一次測(cè)試車(chē)載設(shè)備的日志讀取。

5.3測(cè)試通信鏈路

5.3.1測(cè)試通信鏈路應(yīng)能保證整個(gè)升級(jí)過(guò)程中通信穩(wěn)定,在測(cè)試開(kāi)始之前應(yīng)進(jìn)行至少一次升級(jí)驗(yàn)證。

5.3.2若測(cè)試車(chē)載設(shè)備支持上傳本地日志功能,則測(cè)試通信鏈路應(yīng)能保證測(cè)試車(chē)載設(shè)備上傳本地日志

時(shí)通信暢通,在測(cè)試開(kāi)始之前進(jìn)行至少一次測(cè)試車(chē)載設(shè)備的日志上傳驗(yàn)證。

5.4測(cè)試車(chē)載設(shè)備

5.4.1測(cè)試車(chē)載設(shè)備應(yīng)能接收升級(jí)任務(wù)并完成整個(gè)升級(jí)過(guò)程。在測(cè)試開(kāi)始之前,應(yīng)參照設(shè)備配備軟件

升級(jí)功能介紹材料并在開(kāi)始升級(jí)前進(jìn)行至少一次完整升級(jí)過(guò)程的演示。

5.4.2若測(cè)試車(chē)載設(shè)備支持上傳日志功能,測(cè)試升級(jí)部件在測(cè)試開(kāi)始之前進(jìn)行至少一次日志上傳。

5.4.3若測(cè)試車(chē)載設(shè)備不支持上傳日志功能,則應(yīng)當(dāng)提供獲取本地升級(jí)日志的途徑,在測(cè)試開(kāi)始之前

應(yīng)對(duì)測(cè)試車(chē)載設(shè)備進(jìn)行至少一次日志產(chǎn)生及讀取驗(yàn)證。

6服務(wù)平臺(tái)安全測(cè)試

6.1托管環(huán)境的安全測(cè)試

6.1.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)托管環(huán)境是否安全。

6.1.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)在測(cè)試環(huán)境中進(jìn)行并避免影響正常業(yè)務(wù)。

6.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

2

T/XXXXXXX—XXXX

a)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所處的物理環(huán)境是否在物理訪問(wèn)控制、防盜竊、防破壞、防雷擊、

防火、防水、防潮、防靜電、防爆、電磁防護(hù)等方面滿足所需的安全物理環(huán)境要求,相關(guān)要求

可參考GB/T22239-2019;

b)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所處的網(wǎng)絡(luò)環(huán)境是否在網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證、網(wǎng)絡(luò)設(shè)

備防護(hù)、安全區(qū)域劃分、邊界隔離、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防護(hù)等方面滿

足所需的安全技術(shù)要求,相關(guān)要求可參考GB/T22239-2019;

c)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所處的主機(jī)系統(tǒng)(含操作系統(tǒng))是否在身份鑒別、訪問(wèn)控制、安

全審計(jì)、入侵防范、惡意代碼防范、漏洞防范等方面滿足所需的安全技術(shù)要求,相關(guān)要求可參

考GB/T22239-2019;

6.1.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)所處的物理環(huán)境應(yīng)符合該環(huán)境所需三級(jí)安全等級(jí),可參考GB/T22239-

2019的安全防護(hù)要求;

b)OTA軟件升級(jí)服務(wù)平臺(tái)所處的網(wǎng)絡(luò)環(huán)境應(yīng)符合該環(huán)境所需三級(jí)安全等級(jí),可參考GB/T22239-

2019的安全防護(hù)要求;

c)OTA軟件升級(jí)服務(wù)平臺(tái)所處的主機(jī)系統(tǒng)應(yīng)符合該環(huán)境所需三級(jí)安全等級(jí),可參考GB/T22239-

2019的安全防護(hù)要求。

6.2服務(wù)平臺(tái)公開(kāi)安全漏洞測(cè)試

6.2.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在已公開(kāi)安全漏洞。

6.2.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)中包含相關(guān)開(kāi)源軟件。

6.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所使用的組件版本、系統(tǒng)版本;

b)在CVE、CNNVD、CNVD等行業(yè)權(quán)威漏洞庫(kù)平臺(tái)上查詢(xún)所使用的組件版本是否存在公開(kāi)漏

洞,若存在則進(jìn)行公開(kāi)漏洞利用測(cè)試;

c)直接使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)進(jìn)行漏洞分析,檢查是

否存在中高危漏洞。

6.2.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)所使用相關(guān)的服務(wù)組件已打補(bǔ)丁或者為最新版本;

b)使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)進(jìn)行分析后,未發(fā)現(xiàn)中高危

漏洞。

6.3服務(wù)平臺(tái)訪問(wèn)控制機(jī)制測(cè)試

6.3.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否有訪問(wèn)控制機(jī)制以及訪問(wèn)機(jī)制是否存在缺陷。

6.3.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)白名單列表和系統(tǒng)用戶權(quán)限配置文件。

6.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

3

T/XXXXXXX—XXXX

a)使用白名單之外的IP地址訪問(wèn)OTA升級(jí)服務(wù)平臺(tái),檢測(cè)服務(wù)平臺(tái)是否正常響應(yīng);

b)匿名訪問(wèn)OTA升級(jí)服務(wù)平臺(tái)相關(guān)功能與服務(wù),檢測(cè)服務(wù)平臺(tái)是否能正常響應(yīng);

c)查看系統(tǒng)用戶權(quán)限配置文件,檢查系統(tǒng)是否采取最小權(quán)限原則、責(zé)任分離原則、數(shù)據(jù)抽象原則

策略。

6.3.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)采用白名單機(jī)制;

b)匿名訪問(wèn)OTA軟件升級(jí)服務(wù)平臺(tái)相關(guān)功能失敗;

c)OTA升級(jí)服務(wù)平臺(tái)采用了基于角色的訪問(wèn)控制,采用最小權(quán)限原則、責(zé)任分離原則、數(shù)據(jù)抽

象原則。

6.4服務(wù)平臺(tái)用戶憑據(jù)安全測(cè)試

6.4.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)用戶憑據(jù)是否具備安全性。

6.4.2前置條件

前置條件包括以下內(nèi)容:

a)OTA軟件升級(jí)服務(wù)平臺(tái)文檔;

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

6.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)查看功能文檔或登錄后臺(tái),檢測(cè)對(duì)用戶憑據(jù)是否有復(fù)雜度與定期更改的要求;

b)查看設(shè)計(jì)文檔,檢測(cè)用戶憑據(jù)是否為加密存儲(chǔ),且加密算法、密鑰長(zhǎng)度及密鑰管理方式是否滿

足國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

6.4.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)用戶憑據(jù)長(zhǎng)度應(yīng)至少8位,至少包含數(shù)字、大寫(xiě)字母、小寫(xiě)字母以及特殊字符中的三種或三種

以上組合,且用戶憑據(jù)應(yīng)有定期更改提醒;

b)用戶憑據(jù)應(yīng)采用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法進(jìn)行加密且存儲(chǔ)加密后的憑據(jù)。

6.5服務(wù)平臺(tái)認(rèn)證失敗處理安全測(cè)試

6.5.1測(cè)試目的

OTA軟件升級(jí)服務(wù)平臺(tái)認(rèn)證失敗處理安全性測(cè)試。

6.5.2前置條件

前置條件包括以下內(nèi)容:

a)OTA軟件升級(jí)服務(wù)平臺(tái)文檔;

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

6.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)查看功能文檔中,檢測(cè)系統(tǒng)是否提供認(rèn)證失敗處理機(jī)制;

b)檢測(cè)系統(tǒng)在認(rèn)證用戶身份時(shí)是否具備認(rèn)證失敗處理機(jī)制,如是否采取結(jié)束會(huì)話、限制非法登陸

次數(shù)和自動(dòng)退出等措施;

c)檢測(cè)系統(tǒng)在認(rèn)證失敗后,提供的認(rèn)證失敗信息是否模糊。

6.5.4通過(guò)標(biāo)準(zhǔn)

4

T/XXXXXXX—XXXX

通過(guò)標(biāo)準(zhǔn)如下:

a)系統(tǒng)具備合理的認(rèn)證失敗處理功能,如采取結(jié)束會(huì)話、限制非法登陸次數(shù)和自動(dòng)退出等措施;

b)系統(tǒng)在提示客戶認(rèn)證失敗時(shí),提示信息不具備指向性。

6.6服務(wù)平臺(tái)數(shù)據(jù)處理活動(dòng)安全測(cè)試

6.6.1測(cè)試目的

OTA軟件升級(jí)服務(wù)平臺(tái)數(shù)據(jù)處理活動(dòng)是否安全。

6.6.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

6.6.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)對(duì)OTA軟件升級(jí)服務(wù)平臺(tái)中的數(shù)據(jù)進(jìn)行分析,檢查服務(wù)平臺(tái)中是否存在對(duì)個(gè)人敏感信息進(jìn)行

非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為;

a)使用分析、查找方法,檢查服務(wù)平臺(tái)中是否以明文形式存儲(chǔ)個(gè)人敏感信息;

b)檢測(cè)系統(tǒng)中是否存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等;

c)對(duì)代碼進(jìn)行查找和分析,檢查在代碼中是否存在硬編碼密鑰;

d)檢查該服務(wù)平臺(tái)中是否使用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法和參數(shù);

e)檢查是否存在將同一個(gè)密鑰復(fù)用于多種不同用途。

6.6.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)服務(wù)平臺(tái)不存在對(duì)個(gè)人敏感信息進(jìn)行非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為;

b)平臺(tái)的配置文件、后門(mén)程序、密鑰文件、執(zhí)行腳本、日志不存在明文形式的個(gè)人敏感信息;

c)代碼中不存在硬編碼密鑰;

d)服務(wù)平臺(tái)使用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法;

e)不存在將同一密鑰復(fù)用于多種不同用途的情況。

6.7服務(wù)平臺(tái)會(huì)話安全機(jī)制測(cè)試

6.7.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在會(huì)話安全漏洞。

6.7.2前置條件

前置條件包括以下內(nèi)容:

a)OTA軟件升級(jí)服務(wù)平臺(tái)文檔;

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

6.7.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)檢查設(shè)計(jì)文檔是否有會(huì)話安全的設(shè)計(jì);

b)分析會(huì)話內(nèi)容,檢驗(yàn)OTA軟件升級(jí)服務(wù)平臺(tái)是否具備會(huì)話安全保護(hù)機(jī)制,查看服務(wù)器會(huì)話是

否隨機(jī)分配sessionID;

c)核查安全通信協(xié)議是否禁用會(huì)話重協(xié)商和TLS壓縮功能。

6.7.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)設(shè)計(jì)文檔中存在會(huì)話安全的設(shè)計(jì);

b)OTA軟件升級(jí)服務(wù)平臺(tái)的不同會(huì)話的sessionID不同或無(wú)規(guī)律變化;

5

T/XXXXXXX—XXXX

c)安全通信協(xié)議禁用會(huì)話重協(xié)商和TLS壓縮功能。

6.8服務(wù)平臺(tái)隨機(jī)數(shù)生成機(jī)制安全測(cè)試

6.8.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否存在隨機(jī)數(shù)不安全漏洞。

6.8.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)文檔。

6.8.3測(cè)試方法

使用設(shè)計(jì)文檔分析的方法并驗(yàn)證,檢查使用到的隨機(jī)數(shù)是否由已驗(yàn)證的、安全的隨機(jī)數(shù)生成器產(chǎn)生。

6.8.4通過(guò)標(biāo)準(zhǔn)

使用密碼學(xué)安全偽隨機(jī)數(shù)生成器(CSPRNG)或經(jīng)過(guò)權(quán)威機(jī)構(gòu)認(rèn)定TRNG生成隨機(jī)數(shù),使得隨機(jī)數(shù)的

生成更為嚴(yán)格,其熵更大,使其可用于安全敏感的功能。

6.9服務(wù)平臺(tái)日志機(jī)制安全測(cè)試

6.9.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)日志機(jī)制安全。

6.9.2前置條件

OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

6.9.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)進(jìn)入服務(wù)平臺(tái),打開(kāi)日志信息記錄文件,查看內(nèi)容是否包括但不限于日期和時(shí)間、主體身份、

事件類(lèi)型、事件結(jié)果等組成部分;

b)OTA軟件升級(jí)服務(wù)平臺(tái)日志信息的存儲(chǔ)保密性算法是否采用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定加密算

法;

c)以非授權(quán)的用戶進(jìn)行OTA軟件升級(jí)服務(wù)平臺(tái)日志存儲(chǔ)區(qū)域讀取寫(xiě)入操作,檢查是否存在訪問(wèn)

控制機(jī)制;

d)使用逆向分析工具配合系統(tǒng)命令讀取日志功能區(qū)域內(nèi)容,檢測(cè)是否為密文存儲(chǔ);

e)日志記錄保存周期從生產(chǎn)到報(bào)廢整個(gè)生命周期,并對(duì)日志記錄進(jìn)行備份保存。

6.9.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)日志完整,包括日期和時(shí)間、主體身份、事件類(lèi)型、事件結(jié)果等組成

部分;

b)OTA軟件升級(jí)服務(wù)平臺(tái)日志功能使用的安全算法滿足要求,存儲(chǔ)保密性算法采用國(guó)際通用或

國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法;

c)OTA軟件升級(jí)服務(wù)平臺(tái)對(duì)日志讀寫(xiě)存在權(quán)限管理;

d)OTA軟件升級(jí)服務(wù)平臺(tái)應(yīng)用日志為密文存儲(chǔ);

e)日志記錄存儲(chǔ)空間已滿時(shí),應(yīng)能夠?qū)崿F(xiàn)刪除最舊的記錄以存儲(chǔ)新記錄。

7通信鏈路安全測(cè)試

7.1升級(jí)前訪問(wèn)認(rèn)證安全測(cè)試

7.1.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否包含通信認(rèn)證以及認(rèn)證是否有缺陷。

6

T/XXXXXXX—XXXX

7.1.2前置條件

前置條件包括以下內(nèi)容:

a)測(cè)試車(chē)輛或者測(cè)試部件。

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

c)OTA軟件升級(jí)系統(tǒng)文檔。

7.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)檢查OTA軟件升級(jí)服務(wù)平臺(tái)是否采用TLS1.2及以上版本的通信協(xié)議、是否采用雙向認(rèn)證機(jī)

制,以及數(shù)據(jù)是否進(jìn)行加密傳輸(例如使用SM4、AES加密算法);

b)檢測(cè)認(rèn)證通信報(bào)文是否具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。

7.1.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)采用雙向認(rèn)證機(jī)制以及數(shù)據(jù)進(jìn)行加密傳輸,若認(rèn)證失敗后拒絕進(jìn)行升

級(jí),并記錄安全日志;

b)認(rèn)證通信報(bào)文具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。

7.2通信數(shù)據(jù)傳輸安全測(cè)試

7.2.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文是否為加密傳輸。

7.2.2前置條件

前置條件包括以下內(nèi)容:

a)測(cè)試車(chē)輛或者測(cè)試部件。

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào)。

c)OTA軟件升級(jí)系統(tǒng)文檔。

7.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)查看OTA軟件升級(jí)系統(tǒng)文檔或分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文,檢測(cè)其通信鏈路是否

采用加密通道傳輸數(shù)據(jù)以及加密算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求;

b)分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文,檢測(cè)其通信敏感數(shù)據(jù)是否為明文傳輸。

7.2.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)通信鏈路使用加密通道傳輸數(shù)據(jù)、加密算法符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)

要求;

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信敏感數(shù)據(jù)加密后傳輸。

7.3密鑰生成策略測(cè)試

7.3.1測(cè)試目的

檢測(cè)服務(wù)平臺(tái)和車(chē)載設(shè)備之間的通信所使用的的密碼算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

7.3.2前置條件

前置條件包括以下內(nèi)容:

7

T/XXXXXXX—XXXX

a)有足夠的權(quán)限進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶端和服務(wù)端;

b)測(cè)試系統(tǒng)能夠獲得鏈路加密的會(huì)話密鑰。

7.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)檢測(cè)生成的對(duì)稱(chēng)密鑰值是否為真隨機(jī)數(shù)序列;

b)檢測(cè)生成的對(duì)稱(chēng)密鑰生命周期是否滿足會(huì)話密鑰動(dòng)態(tài)性要求。

7.3.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)生成的對(duì)稱(chēng)密鑰不是偽隨機(jī)數(shù)序列,具備隨機(jī)性;

b)生成的對(duì)稱(chēng)密鑰生命周期滿足會(huì)話密鑰動(dòng)態(tài)性要求。

7.4密鑰強(qiáng)度與算法安全測(cè)試

7.4.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)密鑰強(qiáng)度與算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。

7.4.2前置條件

前置條件包括以下內(nèi)容:

a)測(cè)試車(chē)輛或者測(cè)試部件;

b)OTA軟件升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)與測(cè)試賬號(hào);

c)OTA軟件升級(jí)系統(tǒng)文檔。

7.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文、查看OTA軟件升級(jí)系統(tǒng)文檔,檢測(cè)其通信鏈路加密算法

密鑰強(qiáng)度是否滿足國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求;

b)核查OTA軟件升級(jí)服務(wù)平臺(tái)中所采用的密鑰算法是否為強(qiáng)加密算法(不包含弱加密算法,如

MD5、SHA-1、AESECB模式、DES默認(rèn)模式等)。

7.4.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)通信鏈路加密算法密鑰強(qiáng)度應(yīng)滿足國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求;

b)OTA軟件升級(jí)服務(wù)平臺(tái)所使用的的密鑰算法應(yīng)采用SM2、SM3、SM4、長(zhǎng)度不低于2048位的RSA、

長(zhǎng)度不低于128位的AES、哈希(HASH)摘要等強(qiáng)加密算法(不包含弱加密算法,如MD5、

SHA-1、AESECB模式、DES默認(rèn)模式等)。

7.5密鑰存儲(chǔ)安全測(cè)試

7.5.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)密鑰存儲(chǔ)是否有缺陷。

7.5.2前置條件

有足夠的權(quán)限進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶端和服務(wù)端。

7.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密鑰是否為硬編碼或明文存儲(chǔ);

b)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密碼是否存儲(chǔ)在可信區(qū)域。

8

T/XXXXXXX—XXXX

7.5.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密鑰不是硬編碼或明文存儲(chǔ),無(wú)法通過(guò)非授權(quán)方式讀取或

操作;

b)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密碼存儲(chǔ)在可信區(qū)域,宜采用硬件安全存儲(chǔ)。

7.6通信協(xié)議安全測(cè)試

7.6.1測(cè)試目的

檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)通信協(xié)議是否有缺陷。

7.6.2前置條件

已獲得OTA升級(jí)服務(wù)平臺(tái)通信數(shù)據(jù)包。

7.6.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)核查安全通信協(xié)議是否為T(mén)LS1.2版本及以上或至少同等安全級(jí)別,是否允許降級(jí)(降到TLS1.1、

TLS1.0或SSLv3);

a)核查安全通信協(xié)議是否禁用會(huì)話重協(xié)商和TLS壓縮功能。

7.6.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)通信協(xié)議為T(mén)LS1.2版本及以上或至少同等安全級(jí)別,且不允許降級(jí)到TLS1.2以下版本。

b)安全通信協(xié)議禁用會(huì)話重協(xié)商和TLS壓縮功能。

8車(chē)載設(shè)備安全測(cè)試

8.1升級(jí)設(shè)備計(jì)算環(huán)境(安全基線)安全測(cè)試

8.1.1測(cè)試目的

啟用設(shè)備引導(dǎo)固件、帶外管理模塊固件存儲(chǔ)區(qū)保護(hù)機(jī)制,驗(yàn)證其完整性保護(hù)機(jī)制是否有效;

8.1.2前置條件

無(wú)。

8.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)在帶外管理模塊固件訪問(wèn)設(shè)備引導(dǎo)固件時(shí),驗(yàn)證其授權(quán)控制功能是否有效;

b)配置可信策略,啟動(dòng)設(shè)備并驗(yàn)證是否通過(guò)可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加

載器完整性進(jìn)行了檢測(cè);

c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞,驗(yàn)證設(shè)備啟動(dòng)后的安全

措施(如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等)是否有效;

8.1.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)在帶外管理模塊固件訪問(wèn)設(shè)備引導(dǎo)固件時(shí),其授權(quán)控制功能有效;

b)配置可信策略,啟動(dòng)設(shè)備并可以通過(guò)可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器

完整性進(jìn)行檢測(cè);

9

T/XXXXXXX—XXXX

c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞,設(shè)備啟動(dòng)后的安全措施

(如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等)有效。

8.2升級(jí)設(shè)備密碼模塊安全測(cè)試

8.2.1測(cè)試目的

驗(yàn)證升級(jí)設(shè)備密碼模塊采用的密碼技術(shù)是否生效。

8.2.2前置條件

無(wú)。

8.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)驗(yàn)證升級(jí)設(shè)備調(diào)用硬件的模塊加密、解密功能,如是否能按照需求的加密算法、解密算法對(duì)升

級(jí)包進(jìn)行加密、解密;

b)驗(yàn)證升級(jí)設(shè)備調(diào)用硬件的模塊簽名驗(yàn)證功能,如是否能按照需求的算法對(duì)升級(jí)包進(jìn)行驗(yàn)簽。

8.2.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)密碼模塊應(yīng)按照需求的加密算法、解密算法進(jìn)行加密、解密;

b)密碼模塊應(yīng)按照需求的算法進(jìn)行簽名驗(yàn)證。

8.3升級(jí)設(shè)備數(shù)據(jù)處理活動(dòng)安全測(cè)試

8.3.1測(cè)試目的

檢測(cè)升級(jí)設(shè)備中的數(shù)據(jù)處理活動(dòng)是否具備安全性。

8.3.2前置條件

無(wú)。

8.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)對(duì)升級(jí)設(shè)備應(yīng)用軟件中數(shù)據(jù)進(jìn)行分析,檢查升級(jí)設(shè)備應(yīng)用軟件是否存在對(duì)個(gè)人敏感信息非授

權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為;

b)使用分析、查找方法,檢查升級(jí)設(shè)備應(yīng)用軟件是否以明文形式存儲(chǔ)個(gè)人敏感信息;

c)檢查升級(jí)設(shè)備中是否存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等;

d)對(duì)代碼進(jìn)行查找和分析,檢查在代碼中是否存在硬編碼密鑰;

e)檢查該升級(jí)設(shè)備應(yīng)用軟件是否使用已驗(yàn)證的、安全的加密算法和參數(shù);

f)檢查是否存在將同一個(gè)密鑰復(fù)用于多種不同用途。

8.3.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)升級(jí)設(shè)備應(yīng)用軟件不存在對(duì)個(gè)人敏感信息非授權(quán)收集或泄露、非授權(quán)數(shù)據(jù)外傳等惡意行為;

b)升級(jí)設(shè)備應(yīng)用軟件應(yīng)以密文形式存儲(chǔ)個(gè)人敏感信息;

c)升級(jí)設(shè)備中不存在的測(cè)試程序、后門(mén)程序、密鑰、執(zhí)行腳本、敏感字段等;

d)升級(jí)設(shè)備應(yīng)用軟件代碼中不存在硬編碼密鑰;

e)升級(jí)設(shè)備應(yīng)用軟件使用的是安全的加密算法;

f)升級(jí)設(shè)備應(yīng)用軟件不存在將同一密鑰復(fù)用于多種不同用途的情況。

8.4非授權(quán)軟件安全校驗(yàn)機(jī)制測(cè)試

8.4.1測(cè)試目的

10

T/XXXXXXX—XXXX

檢測(cè)車(chē)載設(shè)備安裝非授權(quán)軟件是否存在安全校驗(yàn)機(jī)制。

8.4.2前置條件

車(chē)載設(shè)備具備通過(guò)U盤(pán)等外接存儲(chǔ)設(shè)備安裝其中軟件的能力。

8.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)將非授權(quán)軟件或病毒軟件加載入車(chē)載設(shè)備(比如U盤(pán)),接入系統(tǒng)嘗試識(shí)別和安裝;

b)在具有訪問(wèn)權(quán)限的前提下使用數(shù)據(jù)線安裝非授權(quán)軟件。

8.4.4通過(guò)標(biāo)準(zhǔn)

車(chē)載設(shè)備拒絕安裝非授權(quán)軟件并有彈窗報(bào)警提示。

8.5系統(tǒng)訪問(wèn)控制(權(quán)限管理)機(jī)制安全測(cè)試

8.5.1測(cè)試目的

檢測(cè)系統(tǒng)訪問(wèn)控制(包括訪問(wèn)級(jí)別和權(quán)力)和權(quán)限管理(所能夠執(zhí)行的操作和訪問(wèn)的數(shù)據(jù))機(jī)制,

并驗(yàn)證相應(yīng)機(jī)制的有效性。

8.5.2前置條件

無(wú)。

8.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)模擬不同用戶角色權(quán)限下的不同操作,驗(yàn)證系統(tǒng)是否進(jìn)行鑒權(quán);

b)橫向越權(quán)測(cè)試:配置多個(gè)擁有相同權(quán)限的用戶,驗(yàn)證擁有相同權(quán)限的用戶之間的資源是否可以

相互訪問(wèn)。從用戶身份處理和資源ID處理的維度進(jìn)行驗(yàn)證;

c)縱向越權(quán)測(cè)試:分別配置低級(jí)別權(quán)限的用戶和高級(jí)別權(quán)限的用戶,驗(yàn)證低級(jí)別權(quán)限用戶是否可

以訪問(wèn)高級(jí)別權(quán)限用戶的資源。從用戶身份處理和資源ID處理的維度進(jìn)行驗(yàn)證。

8.5.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)系統(tǒng)針對(duì)不同權(quán)限的用戶的不同操作會(huì)分別進(jìn)行訪問(wèn)控制判斷和權(quán)限判斷,并給出相應(yīng)的反

饋。對(duì)于無(wú)相應(yīng)權(quán)限的操作,系統(tǒng)拒絕授權(quán);

b)對(duì)于相同權(quán)限的不同用戶之前的資源訪問(wèn),系統(tǒng)拒絕授權(quán);

c)低級(jí)別權(quán)限用戶訪問(wèn)高級(jí)別權(quán)限用戶的資源,系統(tǒng)拒絕授權(quán)。

9OTA過(guò)程安全測(cè)試

9.1用戶提示及交互過(guò)程測(cè)試

9.1.1測(cè)試目的

驗(yàn)證是否存在升級(jí)告知、用戶授權(quán)選項(xiàng)和升級(jí)結(jié)果通知。

9.1.2前置條件

OTA服務(wù)端配置了OTA升級(jí)任務(wù)。車(chē)端已經(jīng)檢測(cè)到OTA升級(jí)包,并開(kāi)始下載。

9.1.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

d)下載升級(jí)包成功后,檢查是否通知用戶升級(jí);

a)執(zhí)行升級(jí)前,查看用戶是否可以主動(dòng)選擇升級(jí)、取消(或者下次再說(shuō))等;

11

T/XXXXXXX—XXXX

b)查看升級(jí)提示中,是否包含內(nèi)容:升級(jí)目的、更新內(nèi)容、升級(jí)時(shí)長(zhǎng)和升級(jí)注意事項(xiàng);

c)升級(jí)完成后,檢查是否有告知車(chē)輛用戶升級(jí)的結(jié)果;

d)升級(jí)成功,檢查是否有告知用戶更新內(nèi)容;

e)升級(jí)失敗,檢查是否有處理建議。

9.1.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)執(zhí)行升級(jí)前,有告知用戶升級(jí);

b)執(zhí)行升級(jí)前,用戶可以授權(quán)升級(jí)(確定升級(jí))、取消升級(jí)或延緩升級(jí);

c)升級(jí)提示中,有升級(jí)目的、更新內(nèi)容、升級(jí)時(shí)長(zhǎng)和升級(jí)注意事項(xiàng);

d)執(zhí)行升級(jí)后,有告知用戶升級(jí)結(jié)果(成功或失?。?/p>

e)若升級(jí)成功,有告知車(chē)輛用戶實(shí)施的更新,以及更新車(chē)載電子用戶手冊(cè)(如果有);

f)若升級(jí)失敗,有告知車(chē)輛用戶處理建議。

9.2升級(jí)啟動(dòng)前安全檢查機(jī)制測(cè)試

9.2.1測(cè)試目的

驗(yàn)證升級(jí)前是否有充足的安全檢查、安全控制。

9.2.2前置條件

車(chē)輛制造商定義的升級(jí)前安全檢查機(jī)制,包括但不限于電量檢查。

9.2.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)升級(jí)包下載完成后,通知用戶升級(jí);

b)使用技術(shù)手段,調(diào)整車(chē)輛不滿足安全檢查機(jī)制,然后用戶確認(rèn)升級(jí);

c)使用技術(shù)手段,調(diào)整車(chē)輛滿足安全檢查機(jī)制,然后用戶確認(rèn)升級(jí)。

9.2.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)升級(jí)前存在車(chē)況的安全檢查;

b)條件不滿足時(shí)停止升級(jí);

c)初始條件不滿足,后期條件滿足且用戶確認(rèn)后可以進(jìn)入升級(jí)。

9.3升級(jí)啟動(dòng)后自檢機(jī)制安全測(cè)試

9.3.1測(cè)試目的

驗(yàn)證升級(jí)啟動(dòng)后,是否具備安全控制。

9.3.2前置條件

前置條件包括以下內(nèi)容:

a)送檢車(chē)輛處于可行駛的正常狀態(tài);

b)車(chē)輛制造商提供車(chē)輛啟動(dòng)的方法;

c)車(chē)輛制造商提供在執(zhí)行升級(jí)中影響駕駛安全的升級(jí)包;

d)車(chē)輛制造商提供在執(zhí)行升級(jí)中不影響駕駛安全的升級(jí)包;

e)車(chē)輛制造商提供影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能清單。

9.3.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

12

T/XXXXXXX—XXXX

a)使用車(chē)輛制造商提供的影響駕駛安全的升級(jí)包進(jìn)行測(cè)試;執(zhí)行升級(jí)活動(dòng),進(jìn)入安裝過(guò)程;安裝

過(guò)程中,通過(guò)車(chē)輛啟動(dòng)、切換檔位至行駛檔、松開(kāi)制動(dòng)、踩油門(mén)踏板等方式嘗試將車(chē)輛置于行

駛狀態(tài),并實(shí)時(shí)記錄操作狀態(tài)。

b)使用車(chē)輛制造商提供的不影響駕駛安全的升級(jí)包進(jìn)行測(cè)試;執(zhí)行升級(jí)活動(dòng),進(jìn)入安裝過(guò)程;安

裝過(guò)程中,正常行駛車(chē)輛和倒車(chē),并實(shí)時(shí)記錄操作狀態(tài)。

c)根據(jù)影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能清單,逐條使用功能,嘗試改變車(chē)輛功能狀態(tài),

并實(shí)時(shí)記錄執(zhí)行狀態(tài)。

d)執(zhí)行OTA升級(jí)過(guò)程中,從車(chē)內(nèi)開(kāi)啟和關(guān)閉車(chē)門(mén)。

9.3.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)使用車(chē)輛制造商提供的影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為:車(chē)輛在執(zhí)行升級(jí)過(guò)程中不

能行駛;車(chē)輛在執(zhí)行升級(jí)過(guò)程中,影響車(chē)輛安全或升級(jí)成功執(zhí)行的車(chē)輛功能不可使用。

b)使用車(chē)輛制造商提供的不影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為:車(chē)輛在倒車(chē)和正常行駛

過(guò)程中,均可正常執(zhí)行OTA升級(jí)過(guò)程;車(chē)輛在執(zhí)行升級(jí)過(guò)程中,影響車(chē)輛安全或升級(jí)成功執(zhí)

行的車(chē)輛功能不可使用。

c)車(chē)輛在執(zhí)行升級(jí)過(guò)程中,從車(chē)內(nèi)可以開(kāi)啟和關(guān)閉車(chē)門(mén)。

9.4升級(jí)失敗回滾機(jī)制安全測(cè)試

9.4.1測(cè)試目的

驗(yàn)證是否具備安全可靠的升級(jí)失敗回滾機(jī)制。

9.4.2前置條件

車(chē)輛具備升級(jí)失敗回滾功能。

9.4.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)單ECU升級(jí),OTA服務(wù)端配置一個(gè)會(huì)升級(jí)失敗的升級(jí)包,讓車(chē)輛升級(jí)過(guò)程中出現(xiàn)升級(jí)失??;

升級(jí)失敗后,查看車(chē)輛是否恢復(fù)到升級(jí)前的狀態(tài);

b)多ECU升級(jí)(假定A、B、C三個(gè)ECU):OTA服務(wù)端配包時(shí),其中一個(gè)ECU(假定為C)

的升級(jí)包配置成會(huì)升級(jí)失敗的包,ECU之間處于功能依賴(lài)的關(guān)系;C升級(jí)失敗后,查看車(chē)輛

是否恢復(fù)到升級(jí)前的狀態(tài)(A、B、C三個(gè)ECU的版本,均回滾到升級(jí)前的狀態(tài));

c)單ECU升級(jí)時(shí),使用測(cè)試技術(shù)手段破壞升級(jí)過(guò)程(如斷電、重啟、熄火等),導(dǎo)致車(chē)輛升級(jí)

失??;升級(jí)失敗后,查看車(chē)輛是否能恢復(fù)到升級(jí)前的狀態(tài);

d)多ECU處于互相依賴(lài)狀態(tài),進(jìn)行OTA升級(jí)時(shí),使用其他手段破壞升級(jí)過(guò)程(如斷電、重啟、

熄火等),導(dǎo)致車(chē)輛升級(jí)失敗后,查看車(chē)輛是否能恢復(fù)到升級(jí)前的狀態(tài)。

9.4.4通過(guò)標(biāo)準(zhǔn)

車(chē)輛在升級(jí)失敗后,應(yīng)確保將系統(tǒng)恢復(fù)到以前的可用版本,或確保車(chē)輛處于安全狀態(tài)。

9.5升級(jí)成功功能自檢和審計(jì)機(jī)制測(cè)試

9.5.1測(cè)試目的

驗(yàn)證車(chē)輛升級(jí)成功后的版本一致性。

9.5.2前置條件

前置條件包括以下內(nèi)容:

a)車(chē)輛制造商提供車(chē)輛當(dāng)前各零部件的軟件版本號(hào)(原版本號(hào))。

b)車(chē)輛制造商提供OTA升級(jí)包中各零部件的軟件版本號(hào)(目標(biāo)版本號(hào))。

c)車(chē)輛通過(guò)OTA升級(jí)的方式,可以升級(jí)成功。

13

T/XXXXXXX—XXXX

9.5.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)車(chē)輛進(jìn)行OTA升級(jí)前,查看并記錄車(chē)輛中各零部件軟件版本號(hào)。

b)車(chē)輛升級(jí)完成,彈出升級(jí)成功提示后,查看車(chē)輛中各零部件的軟件版本號(hào),是否與OTA升級(jí)包

中各零部件的軟件版本號(hào)一致。

c)在OTA服務(wù)端上,查看對(duì)應(yīng)車(chē)輛的零部件軟件版本號(hào)是否已經(jīng)為目標(biāo)版本號(hào)。

9.5.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)車(chē)輛升級(jí)成功后,車(chē)輛上的零部件軟件版本號(hào),必須更新為目標(biāo)版本號(hào)。

b)車(chē)輛升級(jí)成后,OTA服務(wù)端上,查看對(duì)應(yīng)車(chē)輛的零部件軟件版本號(hào),必須更新為目標(biāo)版本號(hào)。

9.6數(shù)據(jù)及隱私保護(hù)機(jī)制測(cè)試

9.6.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中,用戶數(shù)據(jù)和隱私是否受到保護(hù)。

9.6.2前置條件

9.6.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)車(chē)輛整個(gè)OTA過(guò)程中,查看OTA服務(wù)端,是否有用戶隱私數(shù)據(jù)上報(bào)。

b)車(chē)輛整個(gè)OTA過(guò)程中,查看展示的界面上,是否有泄露用戶隱私數(shù)據(jù)。

c)車(chē)端涉及到用戶數(shù)據(jù)(USERdata分區(qū))升級(jí)后是否被破壞,是否被清除。

9.6.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)車(chē)輛OTA過(guò)程中,不會(huì)泄露和獲取用戶的隱私數(shù)據(jù)。

b)OTA升級(jí)不會(huì)清除和破壞車(chē)端用戶數(shù)據(jù)(USERdata分區(qū))。

9.7升級(jí)過(guò)程日志記錄與存儲(chǔ)安全測(cè)試

9.7.1測(cè)試目的

驗(yàn)證升級(jí)失敗后日志是否上傳到服務(wù)器,進(jìn)行安全存儲(chǔ)。

9.7.2前置條件

9.7.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)車(chē)輛執(zhí)行升級(jí)過(guò)程,升級(jí)失敗后,查看OTA服務(wù)端中指定位置,是否存在整個(gè)過(guò)程的升級(jí)日志。

b)升級(jí)日志應(yīng)包括但不限于:升級(jí)任務(wù)接收時(shí)間、升級(jí)開(kāi)始時(shí)間、升級(jí)結(jié)束時(shí)間、升級(jí)結(jié)果、失

敗原因(升級(jí)失敗情況下)等信息。

9.7.4通過(guò)標(biāo)準(zhǔn)

車(chē)輛OTA升級(jí)失敗后,其升級(jí)過(guò)程的日志,應(yīng)上傳到OTA服務(wù)端。

9.8斷電保護(hù)安全測(cè)試

9.8.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中的斷電保護(hù)安全機(jī)制。

9.8.2前置條件

14

T/XXXXXXX—XXXX

9.8.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)下載過(guò)程中斷電,車(chē)輛電源恢復(fù)后,查看是否繼續(xù)下載;

b)升級(jí)過(guò)程中斷電,車(chē)輛電源恢復(fù)后,查看是否繼續(xù)升級(jí)。

9.8.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)下載過(guò)程中斷電恢復(fù),車(chē)輛可以繼續(xù)下載;

b)升級(jí)過(guò)程中斷電恢復(fù),車(chē)輛可以恢復(fù)升級(jí)。如果未恢復(fù),升級(jí)失敗,車(chē)輛需要回滾到升級(jí)前的

狀態(tài)。

9.9升級(jí)中斷恢復(fù)機(jī)制測(cè)試

9.9.1測(cè)試目的

驗(yàn)證OTA升級(jí)中斷恢復(fù)機(jī)制,確保升級(jí)過(guò)程的可靠性。

9.9.2前置條件

9.9.3測(cè)試方法

測(cè)試按照以下內(nèi)容進(jìn)行:

a)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,斷電重啟后,查看升級(jí)情況;

b)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,中止升級(jí)進(jìn)程,然后恢復(fù)升級(jí)進(jìn)程,查看升級(jí)情況;

c)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,斷開(kāi)車(chē)輛網(wǎng)絡(luò),查看升級(jí)情況?;謴?fù)車(chē)輛網(wǎng)絡(luò),并重

啟車(chē)輛后,查看OTA服務(wù)平臺(tái)上改車(chē)輛的升級(jí)執(zhí)行信息;

d)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,車(chē)輛熄火后,查看升級(jí)情況;

e)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,車(chē)輛倒車(chē),查看升級(jí)情況。

9.9.4通過(guò)標(biāo)準(zhǔn)

通過(guò)標(biāo)準(zhǔn)如下:

a)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,斷電重啟后,車(chē)輛可以繼續(xù)OTA升級(jí)成功或者升

級(jí)失敗但回滾成功;

b)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,中止升級(jí)進(jìn)程,然后恢復(fù)升級(jí)進(jìn)程,車(chē)輛可以繼續(xù)

OTA升級(jí)成功或者升級(jí)失敗但回滾成功;

c)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,斷開(kāi)車(chē)輛網(wǎng)絡(luò),車(chē)輛可以繼續(xù)升級(jí)并升級(jí)成功?;?/p>

復(fù)車(chē)輛網(wǎng)絡(luò),并重啟車(chē)輛后,可以在OTA服務(wù)端上看到該車(chē)輛升級(jí)成功;

d)車(chē)輛進(jìn)行OTA升級(jí)時(shí),在安裝刷寫(xiě)階段,車(chē)輛熄火恢復(fù)后,車(chē)輛可以繼續(xù)OTA升級(jí)成功或

者升級(jí)失敗但回滾成功。

9.10低版本升級(jí)阻斷測(cè)試

9.10.1測(cè)試目的

驗(yàn)證OTA升級(jí)過(guò)程中車(chē)輛阻止低于當(dāng)前系統(tǒng)版本的升級(jí)包進(jìn)行升級(jí),避免入侵者利用舊版本的系

統(tǒng)漏洞對(duì)設(shè)備發(fā)起攻擊。

9.10.2前置條件

前置條件包括以下內(nèi)容:

a)車(chē)輛已升級(jí)到最新版本。

b)用于驗(yàn)證低版本升級(jí)阻斷的升級(jí)包版本低于當(dāng)前車(chē)輛上正在運(yùn)行的版本。

9.10.3測(cè)試方法

15

T/XXXXXXX—XXXX

將低版本的升級(jí)包部署至OTA服務(wù)端;車(chē)輛端觸發(fā)升級(jí)流程,觀察升級(jí)是否成功。

9.10.4通過(guò)標(biāo)準(zhǔn)

車(chē)輛不會(huì)檢測(cè)到升級(jí)任務(wù)或者不會(huì)進(jìn)入升級(jí)流程。

16

T/XXXXXXX—XXXX

A

A

附錄A

(資料性

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論