車聯(lián)網(wǎng)在線升級（ OTA ）安全技術(shù)要求與測試方法 征求意見稿

1GB/TXXXXX—XXXX車聯(lián)網(wǎng)在線升級（OTA）安全技術(shù)要求與測試方法本文件規(guī)定了車聯(lián)網(wǎng)中在線升級（OTA）過程中OTA服務(wù)平臺、通信鏈路和OTA應(yīng)用的安全技術(shù)要求與測試方法。本文件適用于指導(dǎo)OTA平臺服務(wù)商、基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)等，開展OTA服務(wù)平臺、通信鏈路和OTA應(yīng)用的安全設(shè)計(jì)、研發(fā)、測試和運(yùn)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語YD/T2910—2015LTE/SAE安全技術(shù)要求YD/T4958—20245G移動(dòng)通信網(wǎng)安全技術(shù)要求（第二階段）T/CCSA441—2023車聯(lián)網(wǎng)服務(wù)平臺網(wǎng)絡(luò)安全防護(hù)要求3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。3.1在線升級over-the-airupdate；OTA通過無線方式而不是使用電纜或其他本地連接，將OTA服務(wù)平臺的升級包傳輸?shù)絆TA應(yīng)用的軟件升級。3.2車聯(lián)網(wǎng)服務(wù)平臺serviceplatformofInternetofVehicle面向車聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用，負(fù)責(zé)車輛及相關(guān)設(shè)備信息的接入、匯聚、計(jì)算、監(jiān)控或管理等一種或多種功能，提供信息管理或服務(wù)等的信息系統(tǒng)/平臺，如車輛運(yùn)營管理、信息娛樂、在線升級（OTA）、遠(yuǎn)程診斷、遠(yuǎn)程控制、車聯(lián)網(wǎng)卡管理等應(yīng)用服務(wù)或管理功能。3.3升級包updatespackage用于進(jìn)行軟件升級的軟件包。3.4車載終端vehicleterminal安裝在汽車上，具備計(jì)算、存儲及輸入/輸出接口并承載在線升級應(yīng)用的電子設(shè)備。3.5OTA應(yīng)用over-the-airupdateapplication終端側(cè)連接OTA服務(wù)平臺進(jìn)行在線升級的車載終端或手機(jī)終端等應(yīng)用。2GB/TXXXXX—XXXX4縮略語下列縮略語適用于本文件。4G：第四代移動(dòng)通信技術(shù)（4thGenerationMobileCommunicationTechnology）5G：第五代移動(dòng)通信技術(shù)（5thGenerationMobileCommunicationTechnology）CAVD：車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫(ChinaAutomobileVulnerabilityDatabase)NVDB：網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NationalVulnerabilityDataBase）TLCP：傳輸層密碼協(xié)議（TransportLayerCryptographyProtocol）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）5概述升級包上傳OTA架構(gòu)如圖1所示，包括OTA服務(wù)平臺、通信鏈路、OTA應(yīng)用三部分。OTA服務(wù)平臺負(fù)責(zé)在線升級流程管理、升級包存儲、升級包加密、簽名和驗(yàn)簽等。通信鏈路負(fù)責(zé)OTA服務(wù)平臺和OTA應(yīng)用間的身份認(rèn)證、指令交互、數(shù)據(jù)和升級包傳輸?shù)取TA應(yīng)用負(fù)責(zé)在線升級請求和確認(rèn)、升級包下載和接收、升級包解密和驗(yàn)簽、升級過程執(zhí)行、升級交互操作等。升級包上傳OTA服務(wù)平臺通信鏈路OTA應(yīng)用（車載終端)OTA應(yīng)用（車載終端)OTA應(yīng)用（手機(jī)終端）圖1OTA架構(gòu)圖6安全技術(shù)要求6.1OTA服務(wù)平臺6.1.1通用要求OTA服務(wù)平臺應(yīng)滿足T/CCSA441—2023中的第三級安全防護(hù)相關(guān)要求。6.1.2身份認(rèn)證身份認(rèn)證要求如下：3GB/TXXXXX—XXXXa）應(yīng)驗(yàn)證OTA應(yīng)用的真實(shí)性，防止偽造或篡改的OTA應(yīng)用獲取升級包及相關(guān)文件。當(dāng)OTA應(yīng)用真實(shí)性驗(yàn)證失敗時(shí)，應(yīng)及時(shí)中斷服務(wù)響應(yīng)，并記錄異常信息；b）應(yīng)對不同車輛的操作升級包及相關(guān)文件（如升級包版本說明文檔）的主體的來源真實(shí)性進(jìn)行驗(yàn)證。6.1.3訪問控制訪問控制要求如下：a）應(yīng)對OTA服務(wù)平臺中的升級包設(shè)置訪問控制機(jī)制，防止對升級包的非授權(quán)訪問；b）應(yīng)對不同車型的升級設(shè)置不同的升級權(quán)限，防止非授權(quán)升級；c）應(yīng)對OTA服務(wù)平臺中升級包的操作設(shè)置權(quán)限管理，防止對升級包的非授權(quán)操作；d）應(yīng)對OTA服務(wù)平臺特權(quán)賬號和特權(quán)會(huì)話進(jìn)行安全管控；e）宜對不同車輛的升級設(shè)置不同的升級權(quán)限，防止非授權(quán)升級。6.1.4安全審計(jì)安全審計(jì)要求如下：a）應(yīng)對OTA服務(wù)平臺中升級包的各種操作進(jìn)行審計(jì)，如升級包的上傳、下載、修改、刪除等；b）應(yīng)對升級中的連接和傳輸過程進(jìn)行審計(jì)，如審計(jì)OTA服務(wù)平臺與OTA應(yīng)用的連接是否通過認(rèn)c）應(yīng)對在線升級的執(zhí)行情況進(jìn)行審計(jì)，包括升級前后狀態(tài)信息、軟件版本內(nèi)容、升級發(fā)起方、升級日期和時(shí)間、執(zhí)行結(jié)果等；d）應(yīng)對升級過程中發(fā)生的錯(cuò)誤、故障、報(bào)警、失敗、安全事件日志進(jìn)行審計(jì)；e）審計(jì)記錄應(yīng)保存至車型停產(chǎn)后10年，并采取對應(yīng)的安全措施。6.1.5數(shù)據(jù)安全數(shù)據(jù)安全要求如下：a）應(yīng)驗(yàn)證升級包及相關(guān)文件（如升級包版本說明文檔）的一致性；b）應(yīng)驗(yàn)證升級包及相關(guān)文件（如升級包版本說明文檔）的完整性，能夠檢測到完整性受到破壞并及時(shí)告警；c）應(yīng)加密存儲升級包，保證升級包的機(jī)密性；d）宜保證升級包在傳輸過程中的機(jī)密性；e）應(yīng)保證安全重要參數(shù)（如密鑰）在傳輸過程中的機(jī)密性和完整性；f）應(yīng)保證安全重要參數(shù)（如密鑰）存儲在專用安全可信的存儲空間；g）升級包中應(yīng)不存在由權(quán)威漏洞平臺6個(gè)月前公布且未經(jīng)處置中危等級及以上漏洞。注1：漏洞風(fēng)險(xiǎn)等級宜參照GB/T30279—2020等國家相關(guān)指南。注2：權(quán)威漏洞平臺包括網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）、車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫（CAVD）等政府主管部門認(rèn)可的相關(guān)漏洞平臺。6.2通信鏈路6.2.1通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)要求如下：a）如采用4G，應(yīng)滿足YD/T2910—2015等的安全要求；4GB/TXXXXX—XXXXb）如采用5G，應(yīng)滿足YD/T4958—2024等的安全要求；c）OTA通信鏈路宜采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)進(jìn)行通信隔離。6.2.2身份認(rèn)證身份認(rèn)證要求如下：a）通信雙方應(yīng)在建立通信連接前進(jìn)行身份認(rèn)證，防止非授權(quán)的訪問；b）身份認(rèn)證失敗時(shí)，應(yīng)及時(shí)終止通信響應(yīng)或連接。6.2.3通信協(xié)議OTA服務(wù)平臺與OTA應(yīng)用在通信過程中，應(yīng)采用TLS1.2版本及以上或至少同等安全級別的安全通信協(xié)議建立安全的通信連接，確保OTA應(yīng)用與OTA服務(wù)平臺之間通信數(shù)據(jù)的機(jī)密性、完整性等。6.3OTA應(yīng)用6.3.1手機(jī)終端手機(jī)終端OTA應(yīng)用要求如下：a）應(yīng)驗(yàn)證OTA服務(wù)平臺的真實(shí)性；b）應(yīng)驗(yàn)證OTA應(yīng)用用戶與車輛綁定關(guān)系的準(zhǔn)確性、真實(shí)性，防止未授權(quán)OTA應(yīng)用控制升級操作。6.3.2車載終端車載終端OTA應(yīng)用要求如下：a）應(yīng)驗(yàn)證OTA服務(wù)平臺的真實(shí)性；b）應(yīng)驗(yàn)證升級包及相關(guān)文件（如升級包版本說明文檔）的真實(shí)性和一致性；c）應(yīng)驗(yàn)證升級包及相關(guān)文件（如升級包版本說明文檔）的完整性，能夠檢測到完整性受到破壞并及時(shí)告警；d）應(yīng)采取必要的安全措施防止升級包及相關(guān)文件（如升級包版本說明文檔）被非授權(quán)獲??；e）應(yīng)采取必要的安全措施防止安全重要參數(shù)（如密鑰）被非授權(quán)獲取；f）應(yīng)采用備份或安全可信的存儲區(qū)域等措施，防止安全重要參數(shù)（如密鑰）的丟失和誤刪操作；g）應(yīng)及時(shí)將在線升級錯(cuò)誤、故障、告警、失敗、安全事件日志安全傳輸?shù)絆TA服務(wù)平臺；h）在線升級出現(xiàn)錯(cuò)誤或失敗情況下，應(yīng)該保證原版本能恢復(fù)，并驗(yàn)證原版本的可用性、完整性、真實(shí)性。7測試方法7.1OTA服務(wù)平臺安全測試7.1.1通用要求測試檢查確認(rèn)滿足T/CCSA441—2023中的第三級安全防護(hù)相關(guān)要求。7.1.2身份認(rèn)證測試身份認(rèn)證測試方法如下：5GB/TXXXXX—XXXXa）檢查OTA應(yīng)用發(fā)起升級請求時(shí)，OTA服務(wù)平臺是否對OTA應(yīng)用的真實(shí)性進(jìn)行驗(yàn)證。當(dāng)發(fā)現(xiàn)盜版或篡改的OTA應(yīng)用時(shí)，是否及時(shí)中斷服務(wù)響應(yīng)并記錄相關(guān)信息，測試結(jié)果應(yīng)符合6.1.2a）的要求；b）檢測OTA服務(wù)平臺是否對升級包及相關(guān)文件（如升級包版本說明文檔）的真實(shí)性進(jìn)行驗(yàn)證，測試結(jié)果應(yīng)符合6.1.2b）的要求。7.1.3訪問控制測試訪問控制測試方法如下：a）檢查OTA服務(wù)平臺中是否對升級包設(shè)置訪問控制機(jī)制，測試結(jié)果應(yīng)符合6.1.3a）的要求；b）檢查是否對不同車型和手機(jī)應(yīng)用設(shè)置不同的升級包訪問權(quán)限，測試結(jié)果應(yīng)符合6.1.3b）的要c）檢查OTA服務(wù)平臺中對升級包的操作是否設(shè)置權(quán)限管理，測試結(jié)果應(yīng)符合6.1.3c）的要求；d）檢查OTA服務(wù)平臺中特權(quán)賬號和特權(quán)會(huì)話是否通過專門的設(shè)備（或虛擬設(shè)備）納管，相關(guān)數(shù)據(jù)是否明文存儲，測試結(jié)果應(yīng)符合6.1.3d）的要求。7.1.4安全審計(jì)測試安全審計(jì)測試方法如下：a）上傳升級包到OTA服務(wù)平臺，并對OTA服務(wù)平臺中的升級包進(jìn)行下載、修改和刪除操作，檢查平臺是否記錄了相應(yīng)操作的日志，測試結(jié)果應(yīng)符合6.1.4a）的要求；b）使用測試工具模擬進(jìn)行在線升級，檢查OTA服務(wù)平臺是否記錄了OTA應(yīng)用與OTA服務(wù)平臺建立連接的過程和升級包數(shù)據(jù)傳輸?shù)娜罩?，測試結(jié)果應(yīng)符合6.1.4b）的要求；c）檢查OTA服務(wù)平臺是否記錄了在線升級執(zhí)行情況的日志，日志中是否包括了升級前后狀態(tài)信息、軟件版本內(nèi)容、升級發(fā)起方、升級日期和時(shí)間、執(zhí)行結(jié)果等，測試結(jié)果應(yīng)符合6.1.4c）的要d）使用測試工具模擬在線升級過程中發(fā)生了錯(cuò)誤、故障、報(bào)警、失敗、升級中發(fā)生安全事件等場景，檢查OTA服務(wù)平臺是否記錄相應(yīng)的日志，測試結(jié)果應(yīng)符合6.1.4d）的要求；e）檢查審計(jì)數(shù)據(jù)是否持續(xù)保存，檢查審計(jì)數(shù)據(jù)的安全保護(hù)機(jī)制，測試結(jié)果應(yīng)符合6.1.4e）的要7.1.5數(shù)據(jù)安全測試數(shù)據(jù)安全測試方法如下：a）檢查OTA服務(wù)平臺是否對升級包及相關(guān)文件進(jìn)行完整性校驗(yàn)，當(dāng)檢測到升級包及其相關(guān)文件完整性受到破壞時(shí)，是否及時(shí)告警，測試結(jié)果應(yīng)符合6.1.5a）的要求；b）檢查升級包及相關(guān)文件（如升級包版本說明文檔）是否一致，測試結(jié)果應(yīng)符合6.1.5b）的要c）檢查OTA服務(wù)平臺是否對升級包及相關(guān)文件（如升級包版本說明文檔）進(jìn)行加密存儲，測試結(jié)果應(yīng)符合6.1.5c）的要求；d）檢查OTA服務(wù)平臺是否將安全重要參數(shù)（如密鑰）存儲在專用安全可信的存儲空間，測試結(jié)果應(yīng)符合6.1.5d）的要求；e）檢查OTA服務(wù)平臺是否及時(shí)處理存在可被利用的權(quán)威漏洞平臺6個(gè)月前發(fā)布的中危等級及以上漏洞的升級包，測試結(jié)果應(yīng)符合6.1.5e）的要求。6GB/TXXXXX—XXXX7.2通信鏈路安全測試7.2.1通信網(wǎng)絡(luò)測試通信網(wǎng)絡(luò)測試方法如下：a）如采用4G，檢查確認(rèn)滿足YD/T2910—2015的安全要求；b）如采用5G，檢查確認(rèn)滿足YD/T4958—2024的安全要求；c）如采用專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，檢查是否進(jìn)行通信隔離，測試結(jié)果應(yīng)符合6.2.1c）的要求。7.2.2身份認(rèn)證測試身份認(rèn)證測試方法如下：a）檢查OTA服務(wù)平臺和OTA應(yīng)用在建立通信連接前是否進(jìn)行通信雙方的身份認(rèn)證，測試結(jié)果應(yīng)符合6.2.2a）的要求；b）檢查OTA服務(wù)平臺和OTA應(yīng)用在身份認(rèn)證階段認(rèn)證失敗時(shí)，是否及時(shí)終止通信響應(yīng)或連接，測試結(jié)果應(yīng)符合6.2.2b）的要求。7.2.3通信協(xié)議測試通過抓包分析OTA服務(wù)平臺與OTA應(yīng)用的通信數(shù)據(jù)，檢查通信雙方是否使用TLS1.2版本以上或至少同等安全級別的安全加密協(xié)議（如TLCP等），并檢查雙方通信數(shù)據(jù)的機(jī)密性、完整性等是否得到保護(hù)，測試結(jié)果應(yīng)符合6.2.3的要求。7.3OTA應(yīng)用安全測試7.3.1手機(jī)終端測試手機(jī)終端OTA應(yīng)用測試方法如下：a）檢查手機(jī)終端OTA應(yīng)用同OTA服務(wù)平臺通信時(shí)，是否對OTA服務(wù)平臺的真實(shí)性進(jìn)行驗(yàn)證，測試結(jié)果應(yīng)符合6.3.1a）的要求；b）檢查手機(jī)終端OTA應(yīng)用是否驗(yàn)證用戶與車輛綁定關(guān)系的準(zhǔn)確性、真實(shí)性，測試結(jié)果應(yīng)符合6.3.1b）的要求。7.3.2車載終端測試車載終端OTA應(yīng)用測試方法如下：a）檢查車載終端OTA應(yīng)用同OTA服務(wù)平臺通信時(shí)，是否對OTA服務(wù)平臺真實(shí)性進(jìn)行驗(yàn)證，測試結(jié)果應(yīng)符合6.3.2a）的要求；b）檢查車載終端OTA應(yīng)用加載升級包時(shí)是否對升級包及相關(guān)文件的真實(shí)性和一致性進(jìn)行驗(yàn)證，測試結(jié)果應(yīng)符合6.3.2b）的要求；c）檢查車載終端OTA應(yīng)用加載升級包時(shí)是否對升級包及相關(guān)文件（如升級包版本說明文檔）的完整性進(jìn)行驗(yàn)證，當(dāng)檢測到完整性受到破壞時(shí)，是否及時(shí)告警，測試結(jié)果應(yīng)符合6.3.2c）的要求；d）檢查車載終端OTA應(yīng)用是否采用安全措施防止安全重要參數(shù)（如密鑰）的非授權(quán)獲取，測試結(jié)果應(yīng)符合6.3.2d）的要求；e）檢查車載終端OTA應(yīng)用是否采用安全措施防止某些升級包的非授權(quán)獲取，測試結(jié)果應(yīng)符合6.3.2e）的要求；7GB/TXXXXX—XXXXf）檢查車載終端OTA應(yīng)用安全重要參數(shù)（如密鑰）是否采用備份或安全可信的