征求意见‖《汽车远程升级(OTA)信息安全测试规范》
发布日期:2023-04-20      作者:       来源:      分享:

征求意见‖《汽车远程升级(OTA)信息安全测试规范》

FreeBuf

2023-04-20

由中国智能网联汽车产业创新联盟(以下简称“联盟”)提出,国家智能网联汽车创新中心(以下简称“创新中心”)牵头的《汽车远程升级(OTA)信息安全测试规范》标准已形成征求意见稿。现面向全体会员及其他有关单位广泛征求意见。征求意见时间为2023年4月7日-5月8日

1.标准研制背景与意义

随着汽车行业快速向智能化、网联化、电动化的方向发展,整车和ECU已经实现从物理方式到软件升级(OTA)的更新迭代。一方面,OTA升级为用户带来了新的功能体验;另一方面,由于汽车OTA相关的标准规范尚不健全,车企没有具体的实用性标准参考,导致车企无据可循。因此设立《汽车远程升级(OTA)信息安全测试规范》项目,制订出结合企业实际生产需要的,补齐汽车远程升级(OTA)测试规范的缺失环节,推动行业各方共同加强汽车远程升级(OTA)信息安全具有积极意义。

2.标准主要研究内容

标准主要内容共包括6个章节,包括:测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设备安全测试要求、OTA过程安全测试要求、OTA升级包安全测试要求,从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。主要适用于M类、N类汽车OTA升级的信息安全设计开发、验证和生产工作。

3.标准验证情况

基于《汽车远程升级(OTA)信息安全测试规范》文件内容,在2023年3月29至30日,联盟与创新中心共同组织多家检测机构,包括中国汽车工程研究院股份有限公司、江苏省智能网联汽车创新中心、上海智能网联汽车技术中心、上海北汇信息科技有限公司、北京银联金卡科技有限公司、中金电信软件有限公司等对长安两款车型(S202-MCA 车型、C281 车型)进行标准验证试验。

标准验证测试包含了服务平台、通信链路、车载设备、OTA过程、OTA升级包五个方面,涵盖服务平台公开安全漏洞、服务平台访问控制机制测试、升级前访问认证安全测试、通信数据传输安全测试、密钥强度与算法安全测试、升级设备数据处理活动安全测试、非授权软件安全校验机制测试、数据及隐私保护机制测试、升级包隐藏调试接口与函数测试等35类测试项目。经多家检测机构测试验证后,给出测试结论并输出测试过程记录。创新中心梳理总结各家检测机构的测试结论与记录,撰写测试报告、并分析测试问题项目提出整改意见。此外,计划于本月底对东风两款在研车型进行标准验证测试。

图1:标准验证测试报告部分内容

图2:标准验证测试现场

4.下一步工作计划

经标准项目组成员单位多次研究讨论及测试验证全面明确了《汽车远程升级(OTA)信息安全测试规范》的测试方法。联盟与创新中心将联合行业继续推动标准的编制工作,建立完善的汽车远程升级(OTA)信息安全测试方法。

标准工作组联系人:

薛宇

xueyu@china-icv.cn

18810376121

中国汽车工程学会 标准管理部:

吴文强

wwq@sae-china.org

18526626978

查询此链接,获取征求意见稿,可在线反馈意见:

http://csae.saechina.org/portal/detaildetailType=project&id=6c5a5549f0b36705eafef0e3757288be





友情链接:

返回软协官网首页

通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室     邮政编码:100080

电话:010-62565314 刘莉    京ICP证16064523号-2    版权所有:北京软件和信息服务业协会

技术支持:中科服    内容支持:鑫网安

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.