《汽車遠程升級（OTA）信息安全測試規(guī)范》

ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

團體標準

T/XXXXXXX—XXXX

汽車遠程升級（OTA）信息安全測試規(guī)范

Testrequirementsofsoftwareupdate(OTA)cybersecurity

征集意見稿

（本草案完成時間：2023.02.24）

在提交反饋意見時，請將您知道的該標準所涉必要專利信息連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國汽車工程學會發(fā)布

T/XXXXXXX—XXXX

汽車遠程升級（OTA）信息安全測試規(guī)范

1范圍

本文件適用于M類、N類汽車遠程升級（OTA）的信息安全設計開發(fā)、驗證和生產工作。

本文件規(guī)定了汽車遠程升級（OTA）前的服務平臺驗證、升級中的訪問控制和密碼技術應用，及升

級后的處置過程中的測試方法。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GBXXXXX汽車軟件升級通用技術要求

GBXXXXX汽車整車信息安全技術要求

GB/T22239信息安全技術網絡安全等級保護基本要求

GM/T0005隨機性檢測規(guī)范

3術語和定義

下列術語和定義適用于本文件。

3.1

軟件升級softwareupdate

將某版本的軟件更新到新版本或更改配置參數的過程（包括更改軟件功能的配置參數）。

注1：“軟件升級”也稱“軟件更新”。

注2：“軟件升級”包含“在線升級”和“離線升級”。

[來源：GB《汽車軟件升級通用技術要求》，定義3.2]

3.2

升級包updatespackage

用于進行軟件升級的軟件包。

[來源：GB《汽車軟件升級通用技術要求》，定義3.6]

3.3

服務平臺serviceplatform

包括為汽車OTA升級提供各項服務的信息化平臺，為汽車OTA升級提供通道接入、任務管理和升級

數據等服務。

3.4

補丁patch

指為解決使用過程中暴露的系統(tǒng)漏洞而發(fā)布的解決問題的小程序。

3.5

測試服務平臺testserviceplatform

在測試過程中，為避免因測試活動而阻塞、擾亂、破壞OTA服務平臺的正常工作，而臨時性搭建的、

與生產用服務平臺的安全功能與安全保障相一致的測試用服務器。

4縮略語

以下縮略語適用于本文件。

OTA：空中下載（Over-the-Air）

1

T/XXXXXXX—XXXX

CDN：內容分發(fā)網絡（ContentDeliveryNetwork）

AES：高級加密標準（AdvancedEncryptionstandard）

DES：數據加密標準（DataEncryptionstandard）

ECB：電碼本（ElectronicCodebook）

5測試條件

5.1測試環(huán)境

5.1.1測試環(huán)境應包含實現汽車OTA軟件升級功能所需的各種組件，包括OTA軟件升級平臺、通信

鏈路、車載總線網絡架構、車端待升級部件等。

5.1.2測試環(huán)境應實現正常的汽車OTA軟件升級全過程，同時應能模擬各種異常情況。

5.1.3測試環(huán)境應保障在測試過程中與車輛、服務平臺的穩(wěn)定通信。

5.1.4測試環(huán)境應保證車輛能安全運行，至少包含支持車輛多運行工況的臺架環(huán)境。

5.1.5測試環(huán)境應避免影響服務平臺各服務器穩(wěn)定運行。

5.2測試服務平臺

5.2.1測試服務平臺應能觸發(fā)車輛的升級并完成整個升級過程。在測試開始之前，測試服務平臺應配

備軟件升級功能介紹材料并在開始升級前進行至少一次完整升級過程的演示。

5.2.2測試服務平臺中業(yè)務系統(tǒng)服務器、升級服務器、CDN服務器應可登錄。

5.2.3測試服務平臺應能記錄OTA平臺操作的完整日志，測試服務平臺在測試開始之前應進行至少

一次平臺操作的日志讀取。

5.2.4若測試車載設備支持上傳日志功能，測試服務平臺應能獲取到測試車載設備的日志，測試服務

平臺在測試開始之前進行至少一次測試車載設備的日志讀取。

5.3測試通信鏈路

5.3.1測試通信鏈路應能保證整個升級過程中通信穩(wěn)定，在測試開始之前應進行至少一次升級驗證。

5.3.2若測試車載設備支持上傳本地日志功能，則測試通信鏈路應能保證測試車載設備上傳本地日志

時通信暢通，在測試開始之前進行至少一次測試車載設備的日志上傳驗證。

5.4測試車載設備

5.4.1測試車載設備應能接收升級任務并完成整個升級過程。在測試開始之前，應參照設備配備軟件

升級功能介紹材料并在開始升級前進行至少一次完整升級過程的演示。

5.4.2若測試車載設備支持上傳日志功能，測試升級部件在測試開始之前進行至少一次日志上傳。

5.4.3若測試車載設備不支持上傳日志功能，則應當提供獲取本地升級日志的途徑，在測試開始之前

應對測試車載設備進行至少一次日志產生及讀取驗證。

6服務平臺安全測試

6.1托管環(huán)境的安全測試

6.1.1測試目的

檢測OTA軟件升級服務平臺托管環(huán)境是否安全。

6.1.2前置條件

OTA軟件升級服務平臺應在測試環(huán)境中進行并避免影響正常業(yè)務。

6.1.3測試方法

測試按照以下內容進行：

2

T/XXXXXXX—XXXX

a)檢查OTA軟件升級服務平臺所處的物理環(huán)境是否在物理訪問控制、防盜竊、防破壞、防雷擊、

防火、防水、防潮、防靜電、防爆、電磁防護等方面滿足所需的安全物理環(huán)境要求，相關要求

可參考GB/T22239-2019；

b)檢查OTA軟件升級服務平臺所處的網絡環(huán)境是否在網絡架構、通信傳輸、可信驗證、網絡設

備防護、安全區(qū)域劃分、邊界隔離、訪問控制、安全審計、入侵防范、惡意代碼防護等方面滿

足所需的安全技術要求，相關要求可參考GB/T22239-2019；

c)檢查OTA軟件升級服務平臺所處的主機系統(tǒng)（含操作系統(tǒng)）是否在身份鑒別、訪問控制、安

全審計、入侵防范、惡意代碼防范、漏洞防范等方面滿足所需的安全技術要求，相關要求可參

考GB/T22239-2019；

6.1.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺所處的物理環(huán)境應符合該環(huán)境所需三級安全等級，可參考GB/T22239-

2019的安全防護要求；

b)OTA軟件升級服務平臺所處的網絡環(huán)境應符合該環(huán)境所需三級安全等級，可參考GB/T22239-

2019的安全防護要求；

c)OTA軟件升級服務平臺所處的主機系統(tǒng)應符合該環(huán)境所需三級安全等級，可參考GB/T22239-

2019的安全防護要求。

6.2服務平臺公開安全漏洞測試

6.2.1測試目的

檢測OTA軟件升級服務平臺是否存在已公開安全漏洞。

6.2.2前置條件

OTA軟件升級服務平臺中包含相關開源軟件。

6.2.3測試方法

測試按照以下內容進行：

a)檢查OTA軟件升級服務平臺所使用的組件版本、系統(tǒng)版本；

b)在CVE、CNNVD、CNVD等行業(yè)權威漏洞庫平臺上查詢所使用的組件版本是否存在公開漏

洞，若存在則進行公開漏洞利用測試；

c)直接使用漏洞掃描、二進制固件分析等工具對OTA軟件升級服務平臺進行漏洞分析，檢查是

否存在中高危漏洞。

6.2.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺所使用相關的服務組件已打補丁或者為最新版本；

b)使用漏洞掃描、二進制固件分析等工具對OTA軟件升級服務平臺進行分析后，未發(fā)現中高危

漏洞。

6.3服務平臺訪問控制機制測試

6.3.1測試目的

檢測OTA軟件升級服務平臺是否有訪問控制機制以及訪問機制是否存在缺陷。

6.3.2前置條件

OTA軟件升級服務平臺白名單列表和系統(tǒng)用戶權限配置文件。

6.3.3測試方法

測試按照以下內容進行：

3

T/XXXXXXX—XXXX

a)使用白名單之外的IP地址訪問OTA升級服務平臺，檢測服務平臺是否正常響應；

b)匿名訪問OTA升級服務平臺相關功能與服務，檢測服務平臺是否能正常響應；

c)查看系統(tǒng)用戶權限配置文件，檢查系統(tǒng)是否采取最小權限原則、責任分離原則、數據抽象原則

策略。

6.3.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺采用白名單機制；

b)匿名訪問OTA軟件升級服務平臺相關功能失??；

c)OTA升級服務平臺采用了基于角色的訪問控制，采用最小權限原則、責任分離原則、數據抽

象原則。

6.4服務平臺用戶憑據安全測試

6.4.1測試目的

檢測OTA軟件升級服務平臺用戶憑據是否具備安全性。

6.4.2前置條件

前置條件包括以下內容：

a)OTA軟件升級服務平臺文檔；

b)OTA軟件升級服務平臺通信數據與測試賬號。

6.4.3測試方法

測試按照以下內容進行：

a)查看功能文檔或登錄后臺，檢測對用戶憑據是否有復雜度與定期更改的要求；

b)查看設計文檔，檢測用戶憑據是否為加密存儲，且加密算法、密鑰長度及密鑰管理方式是否滿

足國際通用或國家標準要求。

6.4.4通過標準

通過標準如下：

a)用戶憑據長度應至少8位，至少包含數字、大寫字母、小寫字母以及特殊字符中的三種或三種

以上組合，且用戶憑據應有定期更改提醒；

b)用戶憑據應采用國際通用或國家標準規(guī)定的加密算法進行加密且存儲加密后的憑據。

6.5服務平臺認證失敗處理安全測試

6.5.1測試目的

OTA軟件升級服務平臺認證失敗處理安全性測試。

6.5.2前置條件

前置條件包括以下內容：

a)OTA軟件升級服務平臺文檔；

b)OTA軟件升級服務平臺通信數據與測試賬號。

6.5.3測試方法

測試按照以下內容進行：

a)查看功能文檔中，檢測系統(tǒng)是否提供認證失敗處理機制；

b)檢測系統(tǒng)在認證用戶身份時是否具備認證失敗處理機制，如是否采取結束會話、限制非法登陸

次數和自動退出等措施；

c)檢測系統(tǒng)在認證失敗后，提供的認證失敗信息是否模糊。

6.5.4通過標準

4

T/XXXXXXX—XXXX

通過標準如下：

a)系統(tǒng)具備合理的認證失敗處理功能，如采取結束會話、限制非法登陸次數和自動退出等措施；

b)系統(tǒng)在提示客戶認證失敗時，提示信息不具備指向性。

6.6服務平臺數據處理活動安全測試

6.6.1測試目的

OTA軟件升級服務平臺數據處理活動是否安全。

6.6.2前置條件

OTA軟件升級服務平臺通信數據與測試賬號。

6.6.3測試方法

測試按照以下內容進行：

a)對OTA軟件升級服務平臺中的數據進行分析，檢查服務平臺中是否存在對個人敏感信息進行

非授權收集或泄露、非授權數據外傳等惡意行為；

a)使用分析、查找方法，檢查服務平臺中是否以明文形式存儲個人敏感信息；

b)檢測系統(tǒng)中是否存在的測試程序、后門程序、密鑰、執(zhí)行腳本、敏感字段等；

c)對代碼進行查找和分析，檢查在代碼中是否存在硬編碼密鑰；

d)檢查該服務平臺中是否使用國際通用或國家標準規(guī)定的加密算法和參數；

e)檢查是否存在將同一個密鑰復用于多種不同用途。

6.6.4通過標準

通過標準如下：

a)服務平臺不存在對個人敏感信息進行非授權收集或泄露、非授權數據外傳等惡意行為；

b)平臺的配置文件、后門程序、密鑰文件、執(zhí)行腳本、日志不存在明文形式的個人敏感信息；

c)代碼中不存在硬編碼密鑰；

d)服務平臺使用國際通用或國家標準規(guī)定的加密算法；

e)不存在將同一密鑰復用于多種不同用途的情況。

6.7服務平臺會話安全機制測試

6.7.1測試目的

檢測OTA軟件升級服務平臺是否存在會話安全漏洞。

6.7.2前置條件

前置條件包括以下內容：

a)OTA軟件升級服務平臺文檔；

b)OTA軟件升級服務平臺通信數據與測試賬號。

6.7.3測試方法

測試按照以下內容進行：

a)檢查設計文檔是否有會話安全的設計；

b)分析會話內容，檢驗OTA軟件升級服務平臺是否具備會話安全保護機制，查看服務器會話是

否隨機分配sessionID；

c)核查安全通信協(xié)議是否禁用會話重協(xié)商和TLS壓縮功能。

6.7.4通過標準

通過標準如下：

a)設計文檔中存在會話安全的設計；

b)OTA軟件升級服務平臺的不同會話的sessionID不同或無規(guī)律變化；

5

T/XXXXXXX—XXXX

c)安全通信協(xié)議禁用會話重協(xié)商和TLS壓縮功能。

6.8服務平臺隨機數生成機制安全測試

6.8.1測試目的

檢測OTA軟件升級服務平臺是否存在隨機數不安全漏洞。

6.8.2前置條件

OTA軟件升級服務平臺文檔。

6.8.3測試方法

使用設計文檔分析的方法并驗證，檢查使用到的隨機數是否由已驗證的、安全的隨機數生成器產生。

6.8.4通過標準

使用密碼學安全偽隨機數生成器(CSPRNG)或經過權威機構認定TRNG生成隨機數，使得隨機數的

生成更為嚴格，其熵更大，使其可用于安全敏感的功能。

6.9服務平臺日志機制安全測試

6.9.1測試目的

檢測OTA軟件升級服務平臺日志機制安全。

6.9.2前置條件

OTA軟件升級服務平臺通信數據與測試賬號。

6.9.3測試方法

測試按照以下內容進行：

a)進入服務平臺，打開日志信息記錄文件，查看內容是否包括但不限于日期和時間、主體身份、

事件類型、事件結果等組成部分；

b)OTA軟件升級服務平臺日志信息的存儲保密性算法是否采用國際通用或國家標準規(guī)定加密算

法；

c)以非授權的用戶進行OTA軟件升級服務平臺日志存儲區(qū)域讀取寫入操作，檢查是否存在訪問

控制機制；

d)使用逆向分析工具配合系統(tǒng)命令讀取日志功能區(qū)域內容，檢測是否為密文存儲；

e)日志記錄保存周期從生產到報廢整個生命周期，并對日志記錄進行備份保存。

6.9.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺日志完整，包括日期和時間、主體身份、事件類型、事件結果等組成

部分；

b)OTA軟件升級服務平臺日志功能使用的安全算法滿足要求，存儲保密性算法采用國際通用或

國家標準規(guī)定的加密算法；

c)OTA軟件升級服務平臺對日志讀寫存在權限管理；

d)OTA軟件升級服務平臺應用日志為密文存儲；

e)日志記錄存儲空間已滿時，應能夠實現刪除最舊的記錄以存儲新記錄。

7通信鏈路安全測試

7.1升級前訪問認證安全測試

7.1.1測試目的

檢測OTA軟件升級服務平臺是否包含通信認證以及認證是否有缺陷。

6

T/XXXXXXX—XXXX

7.1.2前置條件

前置條件包括以下內容：

a)測試車輛或者測試部件。

b)OTA軟件升級服務平臺通信數據與測試賬號。

c)OTA軟件升級系統(tǒng)文檔。

7.1.3測試方法

測試按照以下內容進行：

a)檢查OTA軟件升級服務平臺是否采用TLS1.2及以上版本的通信協(xié)議、是否采用雙向認證機

制，以及數據是否進行加密傳輸（例如使用SM4、AES加密算法）；

b)檢測認證通信報文是否具有數字簽名或其他的消息真實性防護措施。

7.1.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺采用雙向認證機制以及數據進行加密傳輸，若認證失敗后拒絕進行升

級，并記錄安全日志；

b)認證通信報文具有數字簽名或其他的消息真實性防護措施。

7.2通信數據傳輸安全測試

7.2.1測試目的

檢測OTA軟件升級服務平臺通信報文是否為加密傳輸。

7.2.2前置條件

前置條件包括以下內容：

a)測試車輛或者測試部件。

b)OTA軟件升級服務平臺通信數據與測試賬號。

c)OTA軟件升級系統(tǒng)文檔。

7.2.3測試方法

測試按照以下內容進行：

a)查看OTA軟件升級系統(tǒng)文檔或分析OTA軟件升級服務平臺通信報文，檢測其通信鏈路是否

采用加密通道傳輸數據以及加密算法是否符合國際通用或國家標準要求；

b)分析OTA軟件升級服務平臺通信報文，檢測其通信敏感數據是否為明文傳輸。

7.2.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺通信鏈路使用加密通道傳輸數據、加密算法符合國際通用或國家標準

要求；

b)OTA軟件升級服務平臺通信敏感數據加密后傳輸。

7.3密鑰生成策略測試

7.3.1測試目的

檢測服務平臺和車載設備之間的通信所使用的的密碼算法是否符合國際通用或國家標準要求。

7.3.2前置條件

前置條件包括以下內容：

7

T/XXXXXXX—XXXX

a)有足夠的權限進入OTA軟件升級服務平臺客戶端和服務端；

b)測試系統(tǒng)能夠獲得鏈路加密的會話密鑰。

7.3.3測試方法

測試按照以下內容進行：

a)檢測生成的對稱密鑰值是否為真隨機數序列；

b)檢測生成的對稱密鑰生命周期是否滿足會話密鑰動態(tài)性要求。

7.3.4通過標準

通過標準如下：

a)生成的對稱密鑰不是偽隨機數序列，具備隨機性；

b)生成的對稱密鑰生命周期滿足會話密鑰動態(tài)性要求。

7.4密鑰強度與算法安全測試

7.4.1測試目的

檢測OTA軟件升級服務平臺密鑰強度與算法是否符合國際通用或國家標準要求。

7.4.2前置條件

前置條件包括以下內容：

a)測試車輛或者測試部件；

b)OTA軟件升級服務平臺通信數據與測試賬號；

c)OTA軟件升級系統(tǒng)文檔。

7.4.3測試方法

測試按照以下內容進行：

a)分析OTA軟件升級服務平臺通信報文、查看OTA軟件升級系統(tǒng)文檔，檢測其通信鏈路加密算法

密鑰強度是否滿足國際通用或國家標準要求；

b)核查OTA軟件升級服務平臺中所采用的密鑰算法是否為強加密算法（不包含弱加密算法，如

MD5、SHA-1、AESECB模式、DES默認模式等）。

7.4.4通過標準

通過標準如下：

a)通信鏈路加密算法密鑰強度應滿足國際通用或國家標準要求；

b)OTA軟件升級服務平臺所使用的的密鑰算法應采用SM2、SM3、SM4、長度不低于2048位的RSA、

長度不低于128位的AES、哈希（HASH）摘要等強加密算法（不包含弱加密算法，如MD5、

SHA-1、AESECB模式、DES默認模式等）。

7.5密鑰存儲安全測試

7.5.1測試目的

檢測OTA軟件升級服務平臺密鑰存儲是否有缺陷。

7.5.2前置條件

有足夠的權限進入OTA軟件升級服務平臺客戶端和服務端。

7.5.3測試方法

測試按照以下內容進行：

a)檢測OTA軟件升級服務平臺中所存儲的密鑰是否為硬編碼或明文存儲；

b)檢測OTA軟件升級服務平臺中所存儲的密碼是否存儲在可信區(qū)域。

8

T/XXXXXXX—XXXX

7.5.4通過標準

通過標準如下：

a)OTA軟件升級服務平臺中所存儲的密鑰不是硬編碼或明文存儲，無法通過非授權方式讀取或

操作；

b)OTA軟件升級服務平臺中所存儲的密碼存儲在可信區(qū)域，宜采用硬件安全存儲。

7.6通信協(xié)議安全測試

7.6.1測試目的

檢測OTA軟件升級服務平臺通信協(xié)議是否有缺陷。

7.6.2前置條件

已獲得OTA升級服務平臺通信數據包。

7.6.3測試方法

測試按照以下內容進行：

a)核查安全通信協(xié)議是否為TLS1.2版本及以上或至少同等安全級別，是否允許降級（降到TLS1.1、

TLS1.0或SSLv3）；

a)核查安全通信協(xié)議是否禁用會話重協(xié)商和TLS壓縮功能。

7.6.4通過標準

通過標準如下：

a)通信協(xié)議為TLS1.2版本及以上或至少同等安全級別，且不允許降級到TLS1.2以下版本。

b)安全通信協(xié)議禁用會話重協(xié)商和TLS壓縮功能。

8車載設備安全測試

8.1升級設備計算環(huán)境（安全基線）安全測試

8.1.1測試目的

啟用設備引導固件、帶外管理模塊固件存儲區(qū)保護機制，驗證其完整性保護機制是否有效；

8.1.2前置條件

無。

8.1.3測試方法

測試按照以下內容進行：

a)在帶外管理模塊固件訪問設備引導固件時，驗證其授權控制功能是否有效；

b)配置可信策略，啟動設備并驗證是否通過可信根對設備引導固件和主引導分區(qū)/初始化程序加

載器完整性進行了檢測；

c)模擬設備引導固件和主引導分區(qū)/初始化程序加載器完整性受到破壞，驗證設備啟動后的安全

措施（如停止啟動、自動恢復、報警等）是否有效；

8.1.4通過標準

通過標準如下：

a)在帶外管理模塊固件訪問設備引導固件時，其授權控制功能有效；

b)配置可信策略，啟動設備并可以通過可信根對設備引導固件和主引導分區(qū)/初始化程序加載器

完整性進行檢測；

9

T/XXXXXXX—XXXX

c)模擬設備引導固件和主引導分區(qū)/初始化程序加載器完整性受到破壞，設備啟動后的安全措施

（如停止啟動、自動恢復、報警等）有效。

8.2升級設備密碼模塊安全測試

8.2.1測試目的

驗證升級設備密碼模塊采用的密碼技術是否生效。

8.2.2前置條件

無。

8.2.3測試方法

測試按照以下內容進行：

a)驗證升級設備調用硬件的模塊加密、解密功能，如是否能按照需求的加密算法、解密算法對升

級包進行加密、解密；

b)驗證升級設備調用硬件的模塊簽名驗證功能，如是否能按照需求的算法對升級包進行驗簽。

8.2.4通過標準

通過標準如下：

a)密碼模塊應按照需求的加密算法、解密算法進行加密、解密；

b)密碼模塊應按照需求的算法進行簽名驗證。

8.3升級設備數據處理活動安全測試

8.3.1測試目的

檢測升級設備中的數據處理活動是否具備安全性。

8.3.2前置條件

無。

8.3.3測試方法

測試按照以下內容進行：

a)對升級設備應用軟件中數據進行分析，檢查升級設備應用軟件是否存在對個人敏感信息非授

權收集或泄露、非授權數據外傳等惡意行為；

b)使用分析、查找方法，檢查升級設備應用軟件是否以明文形式存儲個人敏感信息；

c)檢查升級設備中是否存在的測試程序、后門程序、密鑰、執(zhí)行腳本、敏感字段等；

d)對代碼進行查找和分析，檢查在代碼中是否存在硬編碼密鑰；

e)檢查該升級設備應用軟件是否使用已驗證的、安全的加密算法和參數；

f)檢查是否存在將同一個密鑰復用于多種不同用途。

8.3.4通過標準

通過標準如下：

a)升級設備應用軟件不存在對個人敏感信息非授權收集或泄露、非授權數據外傳等惡意行為；

b)升級設備應用軟件應以密文形式存儲個人敏感信息；

c)升級設備中不存在的測試程序、后門程序、密鑰、執(zhí)行腳本、敏感字段等；

d)升級設備應用軟件代碼中不存在硬編碼密鑰；

e)升級設備應用軟件使用的是安全的加密算法；

f)升級設備應用軟件不存在將同一密鑰復用于多種不同用途的情況。

8.4非授權軟件安全校驗機制測試

8.4.1測試目的

10

T/XXXXXXX—XXXX

檢測車載設備安裝非授權軟件是否存在安全校驗機制。

8.4.2前置條件

車載設備具備通過U盤等外接存儲設備安裝其中軟件的能力。

8.4.3測試方法

測試按照以下內容進行：

a)將非授權軟件或病毒軟件加載入車載設備（比如U盤），接入系統(tǒng)嘗試識別和安裝；

b)在具有訪問權限的前提下使用數據線安裝非授權軟件。

8.4.4通過標準

車載設備拒絕安裝非授權軟件并有彈窗報警提示。

8.5系統(tǒng)訪問控制（權限管理）機制安全測試

8.5.1測試目的

檢測系統(tǒng)訪問控制（包括訪問級別和權力）和權限管理（所能夠執(zhí)行的操作和訪問的數據）機制，

并驗證相應機制的有效性。

8.5.2前置條件

無。

8.5.3測試方法

測試按照以下內容進行：

a)模擬不同用戶角色權限下的不同操作，驗證系統(tǒng)是否進行鑒權；

b)橫向越權測試：配置多個擁有相同權限的用戶，驗證擁有相同權限的用戶之間的資源是否可以

相互訪問。從用戶身份處理和資源ID處理的維度進行驗證；

c)縱向越權測試：分別配置低級別權限的用戶和高級別權限的用戶，驗證低級別權限用戶是否可

以訪問高級別權限用戶的資源。從用戶身份處理和資源ID處理的維度進行驗證。

8.5.4通過標準

通過標準如下：

a)系統(tǒng)針對不同權限的用戶的不同操作會分別進行訪問控制判斷和權限判斷，并給出相應的反

饋。對于無相應權限的操作，系統(tǒng)拒絕授權；

b)對于相同權限的不同用戶之前的資源訪問，系統(tǒng)拒絕授權；

c)低級別權限用戶訪問高級別權限用戶的資源，系統(tǒng)拒絕授權。

9OTA過程安全測試

9.1用戶提示及交互過程測試

9.1.1測試目的

驗證是否存在升級告知、用戶授權選項和升級結果通知。

9.1.2前置條件

OTA服務端配置了OTA升級任務。車端已經檢測到OTA升級包，并開始下載。

9.1.3測試方法

測試按照以下內容進行：

d)下載升級包成功后，檢查是否通知用戶升級；

a)執(zhí)行升級前，查看用戶是否可以主動選擇升級、取消（或者下次再說）等；

11

T/XXXXXXX—XXXX

b)查看升級提示中，是否包含內容：升級目的、更新內容、升級時長和升級注意事項；

c)升級完成后，檢查是否有告知車輛用戶升級的結果；

d)升級成功，檢查是否有告知用戶更新內容；

e)升級失敗，檢查是否有處理建議。

9.1.4通過標準

通過標準如下：

a)執(zhí)行升級前，有告知用戶升級；

b)執(zhí)行升級前，用戶可以授權升級（確定升級）、取消升級或延緩升級；

c)升級提示中，有升級目的、更新內容、升級時長和升級注意事項；

d)執(zhí)行升級后，有告知用戶升級結果（成功或失?。?；

e)若升級成功，有告知車輛用戶實施的更新，以及更新車載電子用戶手冊（如果有）；

f)若升級失敗，有告知車輛用戶處理建議。

9.2升級啟動前安全檢查機制測試

9.2.1測試目的

驗證升級前是否有充足的安全檢查、安全控制。

9.2.2前置條件

車輛制造商定義的升級前安全檢查機制，包括但不限于電量檢查。

9.2.3測試方法

測試按照以下內容進行：

a)升級包下載完成后，通知用戶升級；

b)使用技術手段，調整車輛不滿足安全檢查機制，然后用戶確認升級；

c)使用技術手段，調整車輛滿足安全檢查機制，然后用戶確認升級。

9.2.4通過標準

通過標準如下：

a)升級前存在車況的安全檢查；

b)條件不滿足時停止升級；

c)初始條件不滿足，后期條件滿足且用戶確認后可以進入升級。

9.3升級啟動后自檢機制安全測試

9.3.1測試目的

驗證升級啟動后，是否具備安全控制。

9.3.2前置條件

前置條件包括以下內容：

a)送檢車輛處于可行駛的正常狀態(tài)；

b)車輛制造商提供車輛啟動的方法；

c)車輛制造商提供在執(zhí)行升級中影響駕駛安全的升級包；

d)車輛制造商提供在執(zhí)行升級中不影響駕駛安全的升級包；

e)車輛制造商提供影響車輛安全或升級成功執(zhí)行的車輛功能清單。

9.3.3測試方法

測試按照以下內容進行：

12

T/XXXXXXX—XXXX

a)使用車輛制造商提供的影響駕駛安全的升級包進行測試；執(zhí)行升級活動，進入安裝過程；安裝

過程中，通過車輛啟動、切換檔位至行駛檔、松開制動、踩油門踏板等方式嘗試將車輛置于行

駛狀態(tài)，并實時記錄操作狀態(tài)。

b)使用車輛制造商提供的不影響駕駛安全的升級包進行測試；執(zhí)行升級活動，進入安裝過程；安

裝過程中，正常行駛車輛和倒車，并實時記錄操作狀態(tài)。

c)根據影響車輛安全或升級成功執(zhí)行的車輛功能清單，逐條使用功能，嘗試改變車輛功能狀態(tài)，

并實時記錄執(zhí)行狀態(tài)。

d)執(zhí)行OTA升級過程中，從車內開啟和關閉車門。

9.3.4通過標準

通過標準如下：

a)使用車輛制造商提供的影響駕駛安全的升級包進行測試的結果為：車輛在執(zhí)行升級過程中不

能行駛；車輛在執(zhí)行升級過程中，影響車輛安全或升級成功執(zhí)行的車輛功能不可使用。

b)使用車輛制造商提供的不影響駕駛安全的升級包進行測試的結果為：車輛在倒車和正常行駛

過程中，均可正常執(zhí)行OTA升級過程；車輛在執(zhí)行升級過程中，影響車輛安全或升級成功執(zhí)

行的車輛功能不可使用。

c)車輛在執(zhí)行升級過程中，從車內可以開啟和關閉車門。

9.4升級失敗回滾機制安全測試

9.4.1測試目的

驗證是否具備安全可靠的升級失敗回滾機制。

9.4.2前置條件

車輛具備升級失敗回滾功能。

9.4.3測試方法

測試按照以下內容進行：

a)單ECU升級，OTA服務端配置一個會升級失敗的升級包，讓車輛升級過程中出現升級失??；

升級失敗后，查看車輛是否恢復到升級前的狀態(tài)；

b)多ECU升級（假定A、B、C三個ECU）：OTA服務端配包時，其中一個ECU（假定為C）

的升級包配置成會升級失敗的包，ECU之間處于功能依賴的關系；C升級失敗后，查看車輛

是否恢復到升級前的狀態(tài)（A、B、C三個ECU的版本，均回滾到升級前的狀態(tài)）；

c)單ECU升級時，使用測試技術手段破壞升級過程（如斷電、重啟、熄火等），導致車輛升級

失??；升級失敗后，查看車輛是否能恢復到升級前的狀態(tài)；

d)多ECU處于互相依賴狀態(tài)，進行OTA升級時，使用其他手段破壞升級過程（如斷電、重啟、

熄火等），導致車輛升級失敗后，查看車輛是否能恢復到升級前的狀態(tài)。

9.4.4通過標準

車輛在升級失敗后，應確保將系統(tǒng)恢復到以前的可用版本，或確保車輛處于安全狀態(tài)。

9.5升級成功功能自檢和審計機制測試

9.5.1測試目的

驗證車輛升級成功后的版本一致性。

9.5.2前置條件

前置條件包括以下內容：

a)車輛制造商提供車輛當前各零部件的軟件版本號（原版本號）。

b)車輛制造商提供OTA升級包中各零部件的軟件版本號（目標版本號）。

c)車輛通過OTA升級的方式，可以升級成功。

13

T/XXXXXXX—XXXX

9.5.3測試方法

測試按照以下內容進行：

a)車輛進行OTA升級前，查看并記錄車輛中各零部件軟件版本號。

b)車輛升級完成，彈出升級成功提示后，查看車輛中各零部件的軟件版本號，是否與OTA升級包

中各零部件的軟件版本號一致。

c)在OTA服務端上，查看對應車輛的零部件軟件版本號是否已經為目標版本號。

9.5.4通過標準

通過標準如下：

a)車輛升級成功后，車輛上的零部件軟件版本號，必須更新為目標版本號。

b)車輛升級成后，OTA服務端上，查看對應車輛的零部件軟件版本號，必須更新為目標版本號。

9.6數據及隱私保護機制測試

9.6.1測試目的

驗證OTA升級過程中，用戶數據和隱私是否受到保護。

9.6.2前置條件

9.6.3測試方法

測試按照以下內容進行：

a)車輛整個OTA過程中，查看OTA服務端，是否有用戶隱私數據上報。

b)車輛整個OTA過程中，查看展示的界面上，是否有泄露用戶隱私數據。

c)車端涉及到用戶數據（USERdata分區(qū)）升級后是否被破壞，是否被清除。

9.6.4通過標準

通過標準如下：

a)車輛OTA過程中，不會泄露和獲取用戶的隱私數據。

b)OTA升級不會清除和破壞車端用戶數據（USERdata分區(qū)）。

9.7升級過程日志記錄與存儲安全測試

9.7.1測試目的

驗證升級失敗后日志是否上傳到服務器，進行安全存儲。

9.7.2前置條件

9.7.3測試方法

測試按照以下內容進行：

a)車輛執(zhí)行升級過程，升級失敗后，查看OTA服務端中指定位置，是否存在整個過程的升級日志。

b)升級日志應包括但不限于：升級任務接收時間、升級開始時間、升級結束時間、升級結果、失

敗原因（升級失敗情況下）等信息。

9.7.4通過標準

車輛OTA升級失敗后，其升級過程的日志，應上傳到OTA服務端。

9.8斷電保護安全測試

9.8.1測試目的

驗證OTA升級過程中的斷電保護安全機制。

9.8.2前置條件

14

T/XXXXXXX—XXXX

9.8.3測試方法

測試按照以下內容進行：

a)下載過程中斷電，車輛電源恢復后，查看是否繼續(xù)下載；

b)升級過程中斷電，車輛電源恢復后，查看是否繼續(xù)升級。

9.8.4通過標準

通過標準如下：

a)下載過程中斷電恢復，車輛可以繼續(xù)下載；

b)升級過程中斷電恢復，車輛可以恢復升級。如果未恢復，升級失敗，車輛需要回滾到升級前的

狀態(tài)。

9.9升級中斷恢復機制測試

9.9.1測試目的

驗證OTA升級中斷恢復機制，確保升級過程的可靠性。

9.9.2前置條件

9.9.3測試方法

測試按照以下內容進行：

a)車輛進行OTA升級時，在安裝刷寫階段，斷電重啟后，查看升級情況；

b)車輛進行OTA升級時，在安裝刷寫階段，中止升級進程，然后恢復升級進程，查看升級情況；

c)車輛進行OTA升級時，在安裝刷寫階段，斷開車輛網絡，查看升級情況?；謴蛙囕v網絡，并重

啟車輛后，查看OTA服務平臺上改車輛的升級執(zhí)行信息；

d)車輛進行OTA升級時，在安裝刷寫階段，車輛熄火后，查看升級情況；

e)車輛進行OTA升級時，在安裝刷寫階段，車輛倒車，查看升級情況。

9.9.4通過標準

通過標準如下：

a)車輛進行OTA升級時，在安裝刷寫階段，斷電重啟后，車輛可以繼續(xù)OTA升級成功或者升

級失敗但回滾成功；

b)車輛進行OTA升級時，在安裝刷寫階段，中止升級進程，然后恢復升級進程，車輛可以繼續(xù)

OTA升級成功或者升級失敗但回滾成功；

c)車輛進行OTA升級時，在安裝刷寫階段，斷開車輛網絡，車輛可以繼續(xù)升級并升級成功?；?/p>

復車輛網絡，并重啟車輛后，可以在OTA服務端上看到該車輛升級成功；

d)車輛進行OTA升級時，在安裝刷寫階段，車輛熄火恢復后，車輛可以繼續(xù)OTA升級成功或

者升級失敗但回滾成功。

9.10低版本升級阻斷測試

9.10.1測試目的

驗證OTA升級過程中車輛阻止低于當前系統(tǒng)版本的升級包進行升級，避免入侵者利用舊版本的系

統(tǒng)漏洞對設備發(fā)起攻擊。

9.10.2前置條件

前置條件包括以下內容：

a)車輛已升級到最新版本。

b)用于驗證低版本升級阻斷的升級包版本低于當前車輛上正在運行的版本。

9.10.3測試方法

15

T/XXXXXXX—XXXX

將低版本的升級包部署至OTA服務端；車輛端觸發(fā)升級流程，觀察升級是否成功。

9.10.4通過標準

車輛不會檢測到升級任務或者不會進入升級流程。

16

T/XXXXXXX—XXXX

A

A

附錄A

（資料性