征求意见‖《汽车远程升级（OTA）信息安全测试规范》

FreeBuf

2023-04-20

由中国智能网联汽车产业创新联盟（以下简称“联盟”）提出，国家智能网联汽车创新中心（以下简称“创新中心”）牵头的《汽车远程升级（OTA）信息安全测试规范》标准已形成征求意见稿。现面向全体会员及其他有关单位广泛征求意见。征求意见时间为2023年4月7日-5月8日。

1.标准研制背景与意义

随着汽车行业快速向智能化、网联化、电动化的方向发展，整车和ECU已经实现从物理方式到软件升级（OTA）的更新迭代。一方面，OTA升级为用户带来了新的功能体验；另一方面，由于汽车OTA相关的标准规范尚不健全，车企没有具体的实用性标准参考，导致车企无据可循。因此设立《汽车远程升级（OTA）信息安全测试规范》项目，制订出结合企业实际生产需要的，补齐汽车远程升级（OTA）测试规范的缺失环节，推动行业各方共同加强汽车远程升级（OTA）信息安全具有积极意义。

2.标准主要研究内容

标准主要内容共包括6个章节，包括：测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设备安全测试要求、OTA过程安全测试要求、OTA升级包安全测试要求，从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。主要适用于M类、N类汽车OTA升级的信息安全设计开发、验证和生产工作。

3.标准验证情况

基于《汽车远程升级（OTA）信息安全测试规范》文件内容，在2023年3月29至30日，联盟与创新中心共同组织多家检测机构，包括中国汽车工程研究院股份有限公司、江苏省智能网联汽车创新中心、上海智能网联汽车技术中心、上海北汇信息科技有限公司、北京银联金卡科技有限公司、中金电信软件有限公司等对长安两款车型（S202-MCA 车型、C281 车型）进行标准验证试验。

标准验证测试包含了服务平台、通信链路、车载设备、OTA过程、OTA升级包五个方面，涵盖服务平台公开安全漏洞、服务平台访问控制机制测试、升级前访问认证安全测试、通信数据传输安全测试、密钥强度与算法安全测试、升级设备数据处理活动安全测试、非授权软件安全校验机制测试、数据及隐私保护机制测试、升级包隐藏调试接口与函数测试等35类测试项目。经多家检测机构测试验证后，给出测试结论并输出测试过程记录。创新中心梳理总结各家检测机构的测试结论与记录，撰写测试报告、并分析测试问题项目提出整改意见。此外，计划于本月底对东风两款在研车型进行标准验证测试。

图1：标准验证测试报告部分内容

图2：标准验证测试现场

4.下一步工作计划

经标准项目组成员单位多次研究讨论及测试验证全面明确了《汽车远程升级（OTA）信息安全测试规范》的测试方法。联盟与创新中心将联合行业继续推动标准的编制工作，建立完善的汽车远程升级（OTA）信息安全测试方法。

标准工作组联系人：

薛宇

xueyu@china-icv.cn

18810376121

中国汽车工程学会 标准管理部：

吴文强

wwq@sae-china.org

18526626978

查询此链接，获取征求意见稿，可在线反馈意见：

http://csae.saechina.org/portal/detaildetailType=project&id=6c5a5549f0b36705eafef0e3757288be