点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
由中国智能网联汽车产业创新联盟(CAICV)提出,国汽(北京)智能网联汽车研究院有限公司牵头的CSAE标准《汽车远程升级(OTA)信息安全测试规范》已按《中国汽车工程学会标准(CSAE)制修订管理办法》有关规定通过立项审查,现正式列入中国汽车工程学会标准研制计划。
随着汽车行业智能化、网联化、电动化的快速发展,汽车逐渐由机械驱动向软件驱动过度,车内ECU已经实现由传统模式到通过远程升级(OTA)技术更新迭代的转变。以蔚来、小鹏、理想为代表的众多新能源造车新势力已将整车OTA作为自身产品“智能化”的例证。传统汽车厂商也逐步利用OTA提供用户体验。这些OTA服务为用户带来了新的功能体验,让智能网联汽车“常用常新”“千车千面”成为现实。
然而针对汽车的黑客攻击事件频发,OTA执行过程成为了黑客重点攻击的环节。攻击者通过劫持、篡改、替换等攻击方法对OTA升级过程中涉及到的云端、车端、通讯端进行攻击。同时由于汽车OTA相关的标准规范尚不健全,车企没有具体的实用性测试标准参考,导致OTA信息安全管理流程无章可循,存在极大的安全风险。
针对这一产业现状,联合国和国内部委均出台相应政策法规规范OTA技术的应用。
2020年6月,UNECE通过了两项新的联合国法规要求,即R155《Cybersecurity and Cybersecurity Management System》与R156《Software Update and Software Update Management System》。
R156法规在软件升级信息安全方面提出了要求,即软件升级(主要指软件升级包)的真实性和完整性应受到保护,以合理的方式防止软件包被破坏并阻止无效的升级。并在附录的信息文件中提出制造商应证明待认证车型如何保证软件升级执行过程的网络安全。
R155法规同样提到了针对汽车远程升级(OTA)过程中所面对的两大类威胁以及相应缓解措施。一是滥用或损害升级过程:损害OTA软件升级过程;损害本地/物理软件升级过程;升级过程是完整的,但在升级之前软件已经损害;破坏软件的加密密钥以允许非法升级。二是拒绝合法升级:针对升级服务器或网络的拒绝服务攻击,以阻止推出关键的软件升级和/或解锁客户特定的功能。
2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》提出应加强OTA安全和漏洞检测评估,建立软件包安全检验机制,加强OTA服务全过程的网络安全监测和应急响应等要求。
2022年6月,我国首个OTA方面的强制性国家标准《汽车软件升级通用技术要求》公开征集意见。征求意见稿规定了汽车软件升级的管理体系要求、车辆要求、试验方法、车辆型式的变更和扩展和说明书。该标准对标R156,涵盖汽车软件升级管理、车辆要求及通用试验方法。
上述一系列举措都意味着针对汽车OTA信息安全的政策法规正在逐步完善,同样相应测试类标准亟需制定。
来源:中国汽车工程学会标准
码上报名
AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!
如有侵权请联系:admin#unsafe.sh