汽車遠(yuǎn)程升級（OTA）信息安全測試規(guī)范

1汽車遠(yuǎn)程升級（OTA）信息安全測試規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保注2：“軟件升級”包含“在線升測試服務(wù)平臺testservicepl4縮略語2CDN：內(nèi)容分發(fā)網(wǎng)絡(luò)（ContentDeliveryAES：高級加密標(biāo)準(zhǔn)（AdvancedEncryptionstandarDES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionstandaECB：電碼本（ElectronicCodeboo5.1.2測試環(huán)境應(yīng)實現(xiàn)正常的汽車OT5.1.3測試環(huán)境應(yīng)保障在測試過程中5.1.4測試環(huán)境應(yīng)保證車輛能安全運(yùn)行，至少包含支持車輛多運(yùn)行工況的臺架環(huán)境。備軟件升級功能介紹材料并在開始升級前進(jìn)行至少一次完整升級過5.2.2測試服務(wù)平臺中業(yè)務(wù)系統(tǒng)服務(wù)器、升級服務(wù)器、CDN服務(wù)器應(yīng)可登錄。5.2.3測試服務(wù)平臺應(yīng)能記錄OTA平臺操作的完整日志，測試服務(wù)平臺在測試開始之前5.2.4若測試車載設(shè)備支持上傳日志功能，測試服務(wù)平臺應(yīng)能獲取到測試車載設(shè)備的日志，測試服務(wù)5.3.2若測試車載設(shè)備支持上傳本地日志功能，則測試通信鏈路應(yīng)能保證測試車載設(shè)備上傳本地日志時通信暢通，在測試開始之前進(jìn)行至少一次測5.4.1測試車載設(shè)備應(yīng)能接收升級任務(wù)并完成整個升級過程。在測試開始之前，應(yīng)參照設(shè)備配備軟件3b)檢查OTA軟件升級服務(wù)平臺所處的網(wǎng)絡(luò)環(huán)境是否在網(wǎng)絡(luò)架構(gòu)c)檢查OTA軟件升級服務(wù)平臺所處的主機(jī)系a)檢查OTA軟件升級服務(wù)平臺所使用的組件版本、系統(tǒng)b)在CVE、CNNVD、CNVD等行業(yè)權(quán)威漏洞c)直接使用漏洞掃描、二進(jìn)制固件分析等工a)OTA軟件升級服務(wù)平臺所使用相關(guān)的服務(wù)組件已打補(bǔ)丁或者為最新版本；b)使用漏洞掃描、二進(jìn)制固件分析等工具對OTA軟件升級檢測OTA軟件升級服務(wù)平臺是否有訪問控制機(jī)制以及訪問機(jī)制是否4b)匿名訪問OTA軟件升級服務(wù)平臺相關(guān)功能失??；c)OTA升級服務(wù)平臺采用了基于角色的訪問控制，采用最a)查看功能文檔或登錄后臺，檢測對用戶憑據(jù)是否有復(fù)雜度與定期更改的要求；b)用戶憑據(jù)應(yīng)采用國際通用或國家標(biāo)準(zhǔn)規(guī)定的加密算法進(jìn)行加密且存儲加密后的憑據(jù)。5b)系統(tǒng)在提示客戶認(rèn)證失敗時，提示a)服務(wù)平臺不存在對個人敏感信息進(jìn)行非授d)服務(wù)平臺使用國際通用或國家標(biāo)準(zhǔn)規(guī)定的加密算法；e)不存在將同一密鑰復(fù)用于多種不同用途的情a)檢查設(shè)計文檔是否有會話安全的設(shè)計；a)設(shè)計文檔中存在會話安全的設(shè)計；6b)OTA軟件升級服務(wù)平臺日志信息的存儲保密性算法是否采用國際通用或c)以非授權(quán)的用戶進(jìn)行OTA軟件升級服e)日志記錄保存周期從生產(chǎn)到報廢整個生命周期，并對日志記錄進(jìn)行備份保存。a)OTA軟件升級服務(wù)平臺日志完整，包括日期和時間、主體身份b)OTA軟件升級服務(wù)平臺日志功能使用的安全算法滿足要求，存儲保密性e)日志記錄存儲空間已滿時，應(yīng)能夠檢測OTA軟件升級服務(wù)平臺是否包含通信認(rèn)證以及認(rèn)證是7）；b)檢測認(rèn)證通信報文是否具有數(shù)字簽名或其他的消息真實性防護(hù)措施。b)認(rèn)證通信報文具有數(shù)字簽名或其他的消息真實性防護(hù)措施。采用加密通道傳輸數(shù)據(jù)以及加密算法是否符合國際通用或國家標(biāo)準(zhǔn)要b)分析OTA軟件升級服務(wù)平臺通信報文，檢測其通信敏感數(shù)據(jù)是否為明文傳輸。a)OTA軟件升級服務(wù)平臺通信鏈路使用加密通道傳輸數(shù)據(jù)、加密檢測服務(wù)平臺和車載設(shè)備之間的通信所使用的的密碼算法是否符合國際通用或國家標(biāo)準(zhǔn)要求。8a)有足夠的權(quán)限進(jìn)入OTA軟件升級服務(wù)平臺客戶端和服b)檢測生成的對稱密鑰生命周期是否滿足會話b)生成的對稱密鑰生命周期滿足會話密鑰動態(tài)性要求。b)核查OTA軟件升級服務(wù)平臺中所采用的密鑰算法是否為強(qiáng)加密算法（不包含弱加密算法，如長度不低于128位的AES、哈希（HASH）摘要等強(qiáng)加密算法（不包含弱加密算法，如MD5、有足夠的權(quán)限進(jìn)入OTA軟件升級服務(wù)平臺客戶b)檢測OTA軟件升級服務(wù)平臺中所9a)OTA軟件升級服務(wù)平臺中所存儲的密鑰不是硬編碼或明文存儲b)安全通信協(xié)議禁用會話重協(xié)商和TLS壓縮功能。b)配置可信策略，啟動設(shè)備并驗證是否通過可信根對設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，驗證設(shè)備啟動后的安全b)配置可信策略，啟動設(shè)備并可以通過可信根對設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，設(shè)備啟動后的安全措施b)密碼模塊應(yīng)按照需求的算法進(jìn)行簽名驗證。a)對升級設(shè)備應(yīng)用軟件中數(shù)據(jù)進(jìn)行分析，檢查升級設(shè)備應(yīng)用軟件是否存在對個人敏感信息非授b)升級設(shè)備應(yīng)用軟件應(yīng)以密文形式存儲個人敏感信息；b)在具有訪問權(quán)限的前提下使用數(shù)據(jù)a)模擬不同用戶角色權(quán)限下的不同操作，驗證系統(tǒng)是否進(jìn)行鑒權(quán)；a)系統(tǒng)針對不同權(quán)限的用戶的不同操作會分別進(jìn)行訪問控制判斷和權(quán)限判斷，并給出相應(yīng)的反b)對于相同權(quán)限的不同用戶之前的資源訪問，系統(tǒng)拒絕授權(quán)；9OTA過程安全測試9.1.1測試目的9.1.2前置條件9.1.3測試方法c)升級完成后，檢查是否有告知車輛用戶升級的結(jié)果；9.1.4通過標(biāo)準(zhǔn)）；9.2.1測試目的9.2.2前置條件9.2.3測試方法9.2.4通過標(biāo)準(zhǔn)9.3.1測試目的9.3.2前置條件a)送檢車輛處于可行駛的正常狀態(tài)；b)車輛制造商提供車輛啟動的方法；c)車輛制造商提供在執(zhí)行升級中影響駕駛安全的升級d)車輛制造商提供在執(zhí)行升級中不影響駕駛安全的升級包；e)車輛制造商提供影響車輛安全或升級成功執(zhí)行的車輛功能清單。9.3.3測試方法9.3.4通過標(biāo)準(zhǔn)a)使用車輛制造商提供的影響駕駛安全的升級包進(jìn)行測試的結(jié)果為：車b)使用車輛制造商提供的不影響駕駛安全的升級包進(jìn)行測試的結(jié)果為：車輛在倒車和正常行駛9.4.1測試目的9.4.2前置條件9.4.3測試方法c)單ECU升級時，使用測試技術(shù)手段破壞升級過程（如），9.4.4通過標(biāo)準(zhǔn)9.5.1測試目的9.5.2前置條件b)車輛制造商提供OTA升級包中各零部件的軟件版本號（目標(biāo)版本號）。9.5.3測試方法9.5.4通過標(biāo)準(zhǔn)a)車輛升級成功后，車輛上的零部件軟件版本號，9.6.1測試目的9.6.2前置條件9.6.3測試方法9.6.4通過標(biāo)準(zhǔn)9.7.1測試目的9.7.2前置條件9.7.3測試方法b)升級日志應(yīng)包括但不限于：升級任務(wù)接收時間、升級開始時間、升級結(jié)束時間、升9.7.4通過標(biāo)準(zhǔn)9.8.1測試目的9.8.2前置條件9.8.3測試方法9.8.4通過標(biāo)準(zhǔn)9.9.1測試目的9.9.2前置條件9.9.3測試方法9.9.4通過標(biāo)準(zhǔn)b)車輛進(jìn)行OTA升級時，在安裝刷寫階段，中止升級進(jìn)程，然后c)車輛進(jìn)行OTA升級時，在安裝刷寫階段，斷9.10.1測試目的驗證OTA升級過程中車輛阻止低于當(dāng)前系統(tǒng)版本的升級包進(jìn)行升級，避免入侵者利用舊版本的系9.10.2前置條件b)用于驗證低版本升級阻斷的升級包版本低于當(dāng)前車輛上正在運(yùn)行的版本。9.10.3測試方法9.10.4通過標(biāo)準(zhǔn)A.1升級包組件安全漏洞測試A.1.1測試目的A.1.2前置條件無A.1.3測試方法a)核查軟件升級包中所包含的公開組件版本。A.1.4通過標(biāo)準(zhǔn)a)升級包中所使用相關(guān)的服務(wù)組件針對公開的漏洞利用失??；b)使用漏洞掃描、代碼分析或二進(jìn)制固件分析等工具對升級包進(jìn)行漏洞掃描后，A.2升級包簽名測試A.2.1測試目的A.2.2前置條件A.2.3測試方法a)對OTA升級包進(jìn)行非法簽名，檢測車輛是否可A.2.4通過標(biāo)準(zhǔn)c)篡改OTA升級包后，終端進(jìn)行完整性校驗，升級包完A.3升級包隱藏調(diào)試接口與函數(shù)測試A.3.1測試目的A.3.2前置條件A.3.3測試方法c)檢查應(yīng)用軟件日志是否包含調(diào)試輸A.3.4通過標(biāo)準(zhǔn)A.4升級包保