编制说明-《汽车远程升级（OTA）信息安全测试规范》.pdfVIP

《汽车远程升级（OTA）信息安全测试规范》编制说明

一、工作简况

1.1任务来源

《汽车远程升级（OTA）信息安全测试规范》团体标准是由中国汽车工程学会批

准立项。文件号中汽学函【2022】145号，任务号为2022-66。本标准由中国智能网

联汽车产业创新联盟提出，国汽（北京）智能网联汽车研究院有限公司、惠州市德

赛西威汽车电子股份有限公司、陕西重型汽车有限公司、博世汽车部件（苏州）有

限公司、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京百

度网讯科技有限公司、北汽福田汽车股份有限公司、北京航迹科技有限公司、北京

汽车研究总院有限公司、重庆长安汽车股份有限公司、浙江长三角车联网安全技术

有限公司、北京赛目科技股份有限公司、招商局检测车辆技术研究院有限公司、苏

州挚途科技有限公司、中汽研软件测评（天津）有限公司、江苏智能网联汽车创新

中心有限公司、中国标准化研究院长三角分院、襄阳达安汽车检测中心有限公司、

中国汽车工程研究院股份有限公司、北京经纬恒润科技股份有限公司、北京万集科

技股份有限公司、国汽智端(成都)科技有限公司、国家金融科技测评中心、中国信

息通信研究院、紫光国芯微电子股份有限公司、国家工业信息安全发展研究中心、

一汽奔腾轿车有限公司、江铃汽车股份有限公司、南德认证检测（中国）有限公司

上海分公司、宁波谦川科技有限公司等单位起草。

1.2编制背景与目标

随着汽车行业快速向智能化、网联化、电动化的方向发展，车载电子器件在整

车系统中逐渐增多，整车和ECU已经实现从物理方式到软件升级（OTA）的更新迭代。

当前针对汽车的黑客攻击事件频发，OTA升级的信息安全称为了重点关注方向，也

称为了黑客重点攻击的对象。攻击者通过劫持、篡改、替换等攻击方法对OTA网络

升级中涉及到的云端、车端、通讯端安全进行攻击。

有统计显示，2021年，中国主流智能汽车产品的OTA更新平均周期大约仅为两

周。一方面，这些OTA升级为用户带来了新的功能体验，让人们对于“智能汽车常

用常新”“软件定义汽车”的憧憬成为现实；但另一方面，由于汽车OTA相关的标

准规范尚不健全，车企没有具体的实用性标准参考，导致车企无据可循。

1

2021年8月，工信部发布《关于加强智能网联汽车生产企业及产品准入管理的

意见》：明确了汽车生产企业实施升级的管理能力要求和升级活动备案要求，OTA

升级活动应保障产品安全性和生产一致性。

2022年4月，工信部装备中心发布《关于开展软件在线升级备案的通知》：明

确获得道路机动车辆生产准入许可的汽车整车生产企业及其生产的具备OTA升级功

能的汽车整车产品，在开展OTA升级活动前，应进行备案。

《关于开展软件升级备案的通知》的要求主要有以下五点：

第一，企业实施OTA升级活动应当确保汽车产品符合国家法律法规、技术标准

及技术规范等相关要求，保障汽车产品生产一致性；

第二，企业应按要求依次完成企业管理能力备案、车型及功能备案和具体升级

活动备案后，才能实施OTA升级活动；

第三，根据升级活动的影响评估，具体升级活动应采取分级备案；

第四，企业是OTA升级活动安全和产品生产一致性的责任主体。企业应履行告

知义务；

第五，企业应识别升级活动所影响的电子控制系统，并保存软件初始和升级版

本（集），支持实施升级追溯管理。相关备案信息应真实、准确和完整。

上述一系列举措都意味着针对汽车远程升级（OTA）的政策法规正在逐步完善，

同样相应技术标准亟需制定。

因此设立汽车远程升级（OTA）信息安全测试规范项目，制定一套结合企业实际

生产需要的，覆盖汽车远程升级（OTA）前系统验证、升级中的访问控制和密码技术

应用和升级后的处置过程中的安全技术要求与测试方法。填补了该领域内的标准空

白，对补齐汽车远程升级（OTA）测试规范的缺失环节，推动行业各方共同加强汽车

远程升级（OTA）信息安全具有积极意义。

1.3主要工作过程

本标准于2022年5月开始进行前期研究及调研，国汽智联联合行业知名检测机

构、整车厂商、研究院所、安全技术服务商等单位成立《汽车远程升级（OTA）信息

安全测试规范》标准项目组。项目组成员系统分析了汽车远程升级（OTA）中存在的

信息安全问题，并调研车辆在实