汽車遠程升級（OTA）信息安全測試規(guī)范

1汽車遠程升級（OTA）信息安全測試規(guī)范GB/T22239信息安全技術網絡安全等級保注2：“軟件升級”包含“在線升測試服務平臺testservicepl4縮略語2CDN：內容分發(fā)網絡（ContentDeliveryAES：高級加密標準（AdvancedEncryptionstandarDES：數(shù)據加密標準（DataEncryptionstandaECB：電碼本（ElectronicCodeboo5.1.2測試環(huán)境應實現(xiàn)正常的汽車OT5.1.3測試環(huán)境應保障在測試過程中5.1.4測試環(huán)境應保證車輛能安全運行，至少包含支持車輛多運行工況的臺架環(huán)境。備軟件升級功能介紹材料并在開始升級前進行至少一次完整升級過5.2.2測試服務平臺中業(yè)務系統(tǒng)服務器、升級服務器、CDN服務器應可登錄。5.2.3測試服務平臺應能記錄OTA平臺操作的完整日志，測試服務平臺在測試開始之前5.2.4若測試車載設備支持上傳日志功能，測試服務平臺應能獲取到測試車載設備的日志，測試服務5.3.2若測試車載設備支持上傳本地日志功能，則測試通信鏈路應能保證測試車載設備上傳本地日志時通信暢通，在測試開始之前進行至少一次測5.4.1測試車載設備應能接收升級任務并完成整個升級過程。在測試開始之前，應參照設備配備軟件3b)檢查OTA軟件升級服務平臺所處的網絡環(huán)境是否在網絡架構c)檢查OTA軟件升級服務平臺所處的主機系a)檢查OTA軟件升級服務平臺所使用的組件版本、系統(tǒng)b)在CVE、CNNVD、CNVD等行業(yè)權威漏洞c)直接使用漏洞掃描、二進制固件分析等工a)OTA軟件升級服務平臺所使用相關的服務組件已打補丁或者為最新版本；b)使用漏洞掃描、二進制固件分析等工具對OTA軟件升級檢測OTA軟件升級服務平臺是否有訪問控制機制以及訪問機制是否4b)匿名訪問OTA軟件升級服務平臺相關功能失??；c)OTA升級服務平臺采用了基于角色的訪問控制，采用最a)查看功能文檔或登錄后臺，檢測對用戶憑據是否有復雜度與定期更改的要求；b)用戶憑據應采用國際通用或國家標準規(guī)定的加密算法進行加密且存儲加密后的憑據。5b)系統(tǒng)在提示客戶認證失敗時，提示a)服務平臺不存在對個人敏感信息進行非授d)服務平臺使用國際通用或國家標準規(guī)定的加密算法；e)不存在將同一密鑰復用于多種不同用途的情a)檢查設計文檔是否有會話安全的設計；a)設計文檔中存在會話安全的設計；6b)OTA軟件升級服務平臺日志信息的存儲保密性算法是否采用國際通用或c)以非授權的用戶進行OTA軟件升級服e)日志記錄保存周期從生產到報廢整個生命周期，并對日志記錄進行備份保存。a)OTA軟件升級服務平臺日志完整，包括日期和時間、主體身份b)OTA軟件升級服務平臺日志功能使用的安全算法滿足要求，存儲保密性e)日志記錄存儲空間已滿時，應能夠檢測OTA軟件升級服務平臺是否包含通信認證以及認證是7）；b)檢測認證通信報文是否具有數(shù)字簽名或其他的消息真實性防護措施。b)認證通信報文具有數(shù)字簽名或其他的消息真實性防護措施。采用加密通道傳輸數(shù)據以及加密算法是否符合國際通用或國家標準要b)分析OTA軟件升級服務平臺通信報文，檢測其通信敏感數(shù)據是否為明文傳輸。a)OTA軟件升級服務平臺通信鏈路使用加密通道傳輸數(shù)據、加密檢測服務平臺和車載設備之間的通信所使用的的密碼算法是否符合國際通用或國家標準要求。8a)有足夠的權限進入OTA軟件升級服務平臺客戶端和服b)檢測生成的對稱密鑰生命周期是否滿足會話b)生成的對稱密鑰生命周期滿足會話密鑰動態(tài)性要求。b)核查OTA軟件升級服務平臺中所采用的密鑰算法是否為強加密算法（不包含弱加密算法，如長度不低于128位的AES、哈希（HASH）摘要等強加密算法（不包含弱加密算法，如MD5、有足夠的權限進入OTA軟件升級服務平臺客戶b)檢測OTA軟件升級服務平臺中所9a)OTA軟件升級服務平臺中所存儲的密鑰不是硬編碼或明文存儲b)安全通信協(xié)議禁用會話重協(xié)商和TLS壓縮功能。b)配置可信策略，啟動設備并驗證是否通過可信根對設備引導固件和主引導分區(qū)/初始化程序加c)模擬設備引導固件和主引導分區(qū)/初始化程序加載器完整性受到破壞，驗證設備啟動后的安全b)配置可信策略，啟動設備并可以通過可信根對設備引導固件和主引導分區(qū)/初始化程序加載器c)模擬設備引導固件和主引導分區(qū)/初始化程序加載器完整性受到破壞，設備啟動后的安全措施b)密碼模塊應按照需求的算法進行簽名驗證。a)對升級設備應用軟件中數(shù)據進行分析，檢查升級設備應用軟件是否存在對個人敏感信息非授b)升級設備應用軟件應以密文形式存儲個人敏感信息；b)在具有訪問權限的前提下使用數(shù)據a)模擬不同用戶角色權限下的不同操作，驗證系統(tǒng)是否進行鑒權；a)系統(tǒng)針對不同權限的用戶的不同操作會分別進行訪問控制判斷和權限判斷，并給出相應的反b)對于相同權限的不同用戶之前的資源訪問，系統(tǒng)拒絕授權；9OTA過程安全測試9.1.1測試目的9.1.2前置條件9.1.3測試方法c)升級完成后，檢查是否有告知車輛用戶升級的結果；9.1.4通過標準）；9.2.1測試目的9.2.2前置條件9.2.3測試方法9.2.4通過標準9.3.1測試目的9.3.2前置條件a)送檢車輛處于可行駛的正常狀態(tài)；b)車輛制造商提供車輛啟動的方法；c)車輛制造商提供在執(zhí)行升級中影響駕駛安全的升級d)車輛制造商提供在執(zhí)行升級中不影響駕駛安全的升級包；e)車輛制造商提供影響車輛安全或升級成功執(zhí)行的車輛功能清單。9.3.3測試方法9.3.4通過標準a)使用車輛制造商提供的影響駕駛安全的升級包進行測試的結果為：車b)使用車輛制造商提供的不影響駕駛安全的升級包進行測試的結果為：車輛在倒車和正常行駛9.4.1測試目的9.4.2前置條件9.4.3測試方法c)單ECU升級時，使用測試技術手段破壞升級過程（如），9.4.4通過標準9.5.1測試目的9.5.2前置條件b)車輛制造商提供OTA升級包中各零部件的軟件版本號（目標版本號）。9.5.3測試方法9.5.4通過標準a)車輛升級成功后，車輛上的零部件軟件版本號，9.6.1測試目的9.6.2前置條件9.6.3測試方法9.6.4通過標準9.7.1測試目的9.7.2前置條件9.7.3測試方法b)升級日志應包括但不限于：升級任務接收時間、升級開始時間、升級結束時間、升9.7.4通過標準9.8.1測試目的9.8.2前置條件9.8.3測試方法9.8.4通過標準9.9.1測試目的9.9.2前置條件9.9.3測試方法9.9.4通過標準b)車輛進行OTA升級時，在安裝刷寫階段，中止升級進程，然后c)車輛進行OTA升級時，在安裝刷寫階段，斷9.10.1測試目的驗證OTA升級過程中車輛阻止低于當前系統(tǒng)版本的升級包進行升級，避免入侵者利用舊版本的系9.10.2前置條件b)用于驗證低版本升級阻斷的升級包版本低于當前車輛上正在運行的版本。9.10.3測試方法9.10.4通過標準A.1升級包組件安全漏洞測試A.1.1測試目的A.1.2前置條件無A.1.3測試方法a)核查軟件升級包中所包含的公開組件版本。A.1.4通過標準a)升級包中所使用相關的服務組件針對公開的漏洞利用失??；b)使用漏洞掃描、代碼分析或二進制固件分析等工具對升級包進行漏洞掃描后，A.2升級包簽名測試A.2.1測試目的A.2.2前置條件A.2.3測試方法a)對OTA升級包進行非法簽名，檢測車輛是否可A.2.4通過標準c)篡改OTA升級包后，終端進行完整性校驗，升級包完A.3升級包隱藏調試接口與函數(shù)測試A.3.1測試目的A.3.2前置條件A.3.3測試方法c)檢查應用軟件日志是否包含調試輸A.3.4通過標準A.4升級包保