1汽車遠(yuǎn)程升級(jí)（OTA）信息安全測(cè)試規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保注2：“軟件升級(jí)”包含“在線升測(cè)試服務(wù)平臺(tái)testservicepl4縮略語2CDN：內(nèi)容分發(fā)網(wǎng)絡(luò)（ContentDeliveryAES：高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionstandarDES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionstandaECB：電碼本（ElectronicCodeboo5.1.2測(cè)試環(huán)境應(yīng)實(shí)現(xiàn)正常的汽車OT5.1.3測(cè)試環(huán)境應(yīng)保障在測(cè)試過程中5.1.4測(cè)試環(huán)境應(yīng)保證車輛能安全運(yùn)行，至少包含支持車輛多運(yùn)行工況的臺(tái)架環(huán)境。備軟件升級(jí)功能介紹材料并在開始升級(jí)前進(jìn)行至少一次完整升級(jí)過5.2.2測(cè)試服務(wù)平臺(tái)中業(yè)務(wù)系統(tǒng)服務(wù)器、升級(jí)服務(wù)器、CDN服務(wù)器應(yīng)可登錄。5.2.3測(cè)試服務(wù)平臺(tái)應(yīng)能記錄OTA平臺(tái)操作的完整日志，測(cè)試服務(wù)平臺(tái)在測(cè)試開始之前5.2.4若測(cè)試車載設(shè)備支持上傳日志功能，測(cè)試服務(wù)平臺(tái)應(yīng)能獲取到測(cè)試車載設(shè)備的日志，測(cè)試服務(wù)5.3.2若測(cè)試車載設(shè)備支持上傳本地日志功能，則測(cè)試通信鏈路應(yīng)能保證測(cè)試車載設(shè)備上傳本地日志時(shí)通信暢通，在測(cè)試開始之前進(jìn)行至少一次測(cè)5.4.1測(cè)試車載設(shè)備應(yīng)能接收升級(jí)任務(wù)并完成整個(gè)升級(jí)過程。在測(cè)試開始之前，應(yīng)參照設(shè)備配備軟件3b)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所處的網(wǎng)絡(luò)環(huán)境是否在網(wǎng)絡(luò)架構(gòu)c)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所處的主機(jī)系a)檢查OTA軟件升級(jí)服務(wù)平臺(tái)所使用的組件版本、系統(tǒng)b)在CVE、CNNVD、CNVD等行業(yè)權(quán)威漏洞c)直接使用漏洞掃描、二進(jìn)制固件分析等工a)OTA軟件升級(jí)服務(wù)平臺(tái)所使用相關(guān)的服務(wù)組件已打補(bǔ)丁或者為最新版本；b)使用漏洞掃描、二進(jìn)制固件分析等工具對(duì)OTA軟件升級(jí)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否有訪問控制機(jī)制以及訪問機(jī)制是否4b)匿名訪問OTA軟件升級(jí)服務(wù)平臺(tái)相關(guān)功能失敗；c)OTA升級(jí)服務(wù)平臺(tái)采用了基于角色的訪問控制，采用最a)查看功能文檔或登錄后臺(tái)，檢測(cè)對(duì)用戶憑據(jù)是否有復(fù)雜度與定期更改的要求；b)用戶憑據(jù)應(yīng)采用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法進(jìn)行加密且存儲(chǔ)加密后的憑據(jù)。5b)系統(tǒng)在提示客戶認(rèn)證失敗時(shí)，提示a)服務(wù)平臺(tái)不存在對(duì)個(gè)人敏感信息進(jìn)行非授d)服務(wù)平臺(tái)使用國(guó)際通用或國(guó)家標(biāo)準(zhǔn)規(guī)定的加密算法；e)不存在將同一密鑰復(fù)用于多種不同用途的情a)檢查設(shè)計(jì)文檔是否有會(huì)話安全的設(shè)計(jì)；a)設(shè)計(jì)文檔中存在會(huì)話安全的設(shè)計(jì)；6b)OTA軟件升級(jí)服務(wù)平臺(tái)日志信息的存儲(chǔ)保密性算法是否采用國(guó)際通用或c)以非授權(quán)的用戶進(jìn)行OTA軟件升級(jí)服e)日志記錄保存周期從生產(chǎn)到報(bào)廢整個(gè)生命周期，并對(duì)日志記錄進(jìn)行備份保存。a)OTA軟件升級(jí)服務(wù)平臺(tái)日志完整，包括日期和時(shí)間、主體身份b)OTA軟件升級(jí)服務(wù)平臺(tái)日志功能使用的安全算法滿足要求，存儲(chǔ)保密性e)日志記錄存儲(chǔ)空間已滿時(shí)，應(yīng)能夠檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)是否包含通信認(rèn)證以及認(rèn)證是7）；b)檢測(cè)認(rèn)證通信報(bào)文是否具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。b)認(rèn)證通信報(bào)文具有數(shù)字簽名或其他的消息真實(shí)性防護(hù)措施。采用加密通道傳輸數(shù)據(jù)以及加密算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要b)分析OTA軟件升級(jí)服務(wù)平臺(tái)通信報(bào)文，檢測(cè)其通信敏感數(shù)據(jù)是否為明文傳輸。a)OTA軟件升級(jí)服務(wù)平臺(tái)通信鏈路使用加密通道傳輸數(shù)據(jù)、加密檢測(cè)服務(wù)平臺(tái)和車載設(shè)備之間的通信所使用的的密碼算法是否符合國(guó)際通用或國(guó)家標(biāo)準(zhǔn)要求。8a)有足夠的權(quán)限進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶端和服b)檢測(cè)生成的對(duì)稱密鑰生命周期是否滿足會(huì)話b)生成的對(duì)稱密鑰生命周期滿足會(huì)話密鑰動(dòng)態(tài)性要求。b)核查OTA軟件升級(jí)服務(wù)平臺(tái)中所采用的密鑰算法是否為強(qiáng)加密算法（不包含弱加密算法，如長(zhǎng)度不低于128位的AES、哈希（HASH）摘要等強(qiáng)加密算法（不包含弱加密算法，如MD5、有足夠的權(quán)限進(jìn)入OTA軟件升級(jí)服務(wù)平臺(tái)客戶b)檢測(cè)OTA軟件升級(jí)服務(wù)平臺(tái)中所9a)OTA軟件升級(jí)服務(wù)平臺(tái)中所存儲(chǔ)的密鑰不是硬編碼或明文存儲(chǔ)b)安全通信協(xié)議禁用會(huì)話重協(xié)商和TLS壓縮功能。b)配置可信策略，啟動(dòng)設(shè)備并驗(yàn)證是否通過可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，驗(yàn)證設(shè)備啟動(dòng)后的安全b)配置可信策略，啟動(dòng)設(shè)備并可以通過可信根對(duì)設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器c)模擬設(shè)備引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，設(shè)備啟動(dòng)后的安全措施b)密碼模塊應(yīng)按照需求的算法進(jìn)行簽名驗(yàn)證。a)對(duì)升級(jí)設(shè)備應(yīng)用軟件中數(shù)據(jù)進(jìn)行分析，檢查升級(jí)設(shè)備應(yīng)用軟件是否存在對(duì)個(gè)人敏感信息非授b)升級(jí)設(shè)備應(yīng)用軟件應(yīng)以密文形式存儲(chǔ)個(gè)人敏感信息；b)在具有訪問權(quán)限的前提下使用數(shù)據(jù)a)模擬不同用戶角色權(quán)限下的不同操作，驗(yàn)證系統(tǒng)是否進(jìn)行鑒權(quán)；a)系統(tǒng)針對(duì)不同權(quán)限的用戶的不同操作會(huì)分別進(jìn)行訪問控制判斷和權(quán)限判斷，并給出相應(yīng)的反b)對(duì)于相同權(quán)限的不同用戶之前的資源訪問，系統(tǒng)拒絕授權(quán)；9OTA過程安全測(cè)試9.1.1測(cè)試目的9.1.2前置條件9.1.3測(cè)試方法c)升級(jí)完成后，檢查是否有告知車輛用戶升級(jí)的結(jié)果；9.1.4通過標(biāo)準(zhǔn)）；9.2.1測(cè)試目的9.2.2前置條件9.2.3測(cè)試方法9.2.4通過標(biāo)準(zhǔn)9.3.1測(cè)試目的9.3.2前置條件a)送檢車輛處于可行駛的正常狀態(tài)；b)車輛制造商提供車輛啟動(dòng)的方法；c)車輛制造商提供在執(zhí)行升級(jí)中影響駕駛安全的升級(jí)d)車輛制造商提供在執(zhí)行升級(jí)中不影響駕駛安全的升級(jí)包；e)車輛制造商提供影響車輛安全或升級(jí)成功執(zhí)行的車輛功能清單。9.3.3測(cè)試方法9.3.4通過標(biāo)準(zhǔn)a)使用車輛制造商提供的影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為：車b)使用車輛制造商提供的不影響駕駛安全的升級(jí)包進(jìn)行測(cè)試的結(jié)果為：車輛在倒車和正常行駛9.4.1測(cè)試目的9.4.2前置條件9.4.3測(cè)試方法c)單ECU升級(jí)時(shí)，使用測(cè)試技術(shù)手段破壞升級(jí)過程（如），9.4.4通過標(biāo)準(zhǔn)9.5.1測(cè)試目的9.5.2前置條件b)車輛制造商提供OTA升級(jí)包中各零部件的軟件版本號(hào)（目標(biāo)版本號(hào)）。9.5.3測(cè)試方法9.5.4通過標(biāo)準(zhǔn)a)車輛升級(jí)成功后，車輛上的零部件軟件版本號(hào)，9.6.1測(cè)試目的9.6.2前置條件9.6.3測(cè)試方法9.6.4通過標(biāo)準(zhǔn)9.7.1測(cè)試目的9.7.2前置條件9.7.3測(cè)試方法b)升級(jí)日志應(yīng)包括但不限于：升級(jí)任務(wù)接收時(shí)間、升級(jí)開始時(shí)間、升級(jí)結(jié)束時(shí)間、升9.7.4通過標(biāo)準(zhǔn)9.8.1測(cè)試目的9.8.2前置條件9.8.3測(cè)試方法9.8.4通過標(biāo)準(zhǔn)9.9.1測(cè)試目的9.9.2前置條件9.9.3測(cè)試方法9.9.4通過標(biāo)準(zhǔn)b)車輛進(jìn)行OTA升級(jí)時(shí)，在安裝刷寫階段，中止升級(jí)進(jìn)程，然后c)車輛進(jìn)行OTA升級(jí)時(shí)，在安裝刷寫階段，斷9.10.1測(cè)試目的驗(yàn)證OTA升級(jí)過程中車輛阻止低于當(dāng)前系統(tǒng)版本的升級(jí)包進(jìn)行升級(jí)，避免入侵者利用舊版本的系9.10.2前置條件b)用于驗(yàn)證低版本升級(jí)阻斷的升級(jí)包版本低于當(dāng)前車輛上正在運(yùn)行的版本。9.10.3測(cè)試方法9.10.4通過標(biāo)準(zhǔn)A.1升級(jí)包組件安全漏洞測(cè)試A.1.1測(cè)試目的A.1.2前置條件無A.1.3測(cè)試方法a)核查軟件升級(jí)包中所包含的公開組件版本。A.1.4通過標(biāo)準(zhǔn)a)升級(jí)包中所使用相關(guān)的服務(wù)組件針對(duì)公開的漏洞利用失敗；b)使用漏洞掃描、代碼分析或二進(jìn)制固件分析等工具對(duì)升級(jí)包進(jìn)行漏洞掃描后，A.2升級(jí)包簽名測(cè)試A.2.1測(cè)試目的A.2.2前置條件A.2.3測(cè)試方法a)對(duì)OTA升級(jí)包進(jìn)行非法簽名，檢測(cè)車輛是否可A.2.4通過標(biāo)準(zhǔn)c)篡改OTA升級(jí)包后，終端進(jìn)行完整性校驗(yàn)，升級(jí)包完A.3升級(jí)包隱藏調(diào)試接口與函數(shù)測(cè)試A.3.1測(cè)試目的A.3.2前置條件A.3.3測(cè)試方法c)檢查應(yīng)用軟件日志是否包含調(diào)試輸A.3.4通過標(biāo)準(zhǔn)A.4升級(jí)包保