标准立项||汽车远程升级(OTA)信息安全测试规范

admin 2022年8月31日22:21:04评论149 views字数 2100阅读7分0秒阅读模式

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯


由中国智能网联汽车产业创新联盟(CAICV)提出,国汽(北京)智能网联汽车研究院有限公司牵头的CSAE标准《汽车远程升级(OTA)信息安全测试规范》已按《中国汽车工程学会标准(CSAE)制修订管理办法》有关规定通过立项审查,现正式列入中国汽车工程学会标准研制计划。


随着汽车行业智能化、网联化、电动化的快速发展,汽车逐渐由机械驱动向软件驱动过度,车内ECU已经实现由传统模式到通过远程升级(OTA)技术更新迭代的转变。以蔚来、小鹏、理想为代表的众多新能源造车新势力已将整车OTA作为自身产品“智能化”的例证。传统汽车厂商也逐步利用OTA提供用户体验。这些OTA服务为用户带来了新的功能体验,让智能网联汽车“常用常新”“千车千面”成为现实。

然而针对汽车的黑客攻击事件频发,OTA执行过程成为了黑客重点攻击的环节。攻击者通过劫持、篡改、替换等攻击方法对OTA升级过程中涉及到的云端、车端、通讯端进行攻击。同时由于汽车OTA相关的标准规范尚不健全,车企没有具体的实用性测试标准参考,导致OTA信息安全管理流程无章可循,存在极大的安全风险。

针对这一产业现状,联合国和国内部委均出台相应政策法规规范OTA技术的应用。

2020年6月,UNECE通过了两项新的联合国法规要求,即R155《Cybersecurity and Cybersecurity Management System》与R156《Software Update and Software Update Management System》。

R156法规在软件升级信息安全方面提出了要求,即软件升级(主要指软件升级包)的真实性和完整性应受到保护,以合理的方式防止软件包被破坏并阻止无效的升级。并在附录的信息文件中提出制造商应证明待认证车型如何保证软件升级执行过程的网络安全。

R155法规同样提到了针对汽车远程升级(OTA)过程中所面对的两大类威胁以及相应缓解措施。一是滥用或损害升级过程:损害OTA软件升级过程;损害本地/物理软件升级过程;升级过程是完整的,但在升级之前软件已经损害;破坏软件的加密密钥以允许非法升级。二是拒绝合法升级:针对升级服务器或网络的拒绝服务攻击,以阻止推出关键的软件升级和/或解锁客户特定的功能。

2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》提出应加强OTA安全和漏洞检测评估,建立软件包安全检验机制,加强OTA服务全过程的网络安全监测和应急响应等要求。 

2022年6月,我国首个OTA方面的强制性国家标准《汽车软件升级通用技术要求》公开征集意见。征求意见稿规定了汽车软件升级的管理体系要求、车辆要求、试验方法、车辆型式的变更和扩展和说明书。该标准对标R156,涵盖汽车软件升级管理、车辆要求及通用试验方法。


上述一系列举措都意味着针对汽车OTA信息安全的政策法规正在逐步完善,同样相应测试类标准亟需制定。

因此亟需依托汽车远程升级(OTA)信息安全测试规范项目,制定一套结合企业实际生产需要的,覆盖汽车OTA升级前系统验证、升级中的访问控制和密码技术应用和升级后的处置过程的测试方法,以填补该领域标准空白,补齐汽车OTA升级测试规范的缺失。本标准将面向汽车OTA升级的全流程,从云管端信息安全角度开展梳理,在服务平台、通信链路和升级包等方面对强制性标准进行补充完善。(标准大纲如下图所示)
标准立项||汽车远程升级(OTA)信息安全测试规范


来源:中国汽车工程学会标准


标准立项||汽车远程升级(OTA)信息安全测试规范

标准立项||汽车远程升级(OTA)信息安全测试规范

码上报名

AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中



更多文章

智能网联汽车信息安全综述

华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考

汽车数据合规要点

车载以太网技术发展与测试方法

车载以太网防火墙设计

SOA:整车架构下一代的升级方向

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽


会员权益: (点击可进入)谈思实验室VIP会员


END


标准立项||汽车远程升级(OTA)信息安全测试规范

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

 

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。


扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

标准立项||汽车远程升级(OTA)信息安全测试规范


谈思实验室,为汽车科技赋能,推动产业创新发展!

原文始发于微信公众号(谈思实验室):标准立项||汽车远程升级(OTA)信息安全测试规范

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月31日22:21:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   标准立项||汽车远程升级(OTA)信息安全测试规范https://cn-sec.com/archives/1267483.html

发表评论

匿名网友 填写信息