GB 44495 - 7.3 软件升级安全要求

7.3.1 通用安全要求

7.3.1.1 车载软件升级系统应通过安全保护机制,保护车载软件升级系统的可信根、引导加载程序、系统固件不被篡改,或在被篡改后,通过安全保护机制使其无法正常启动。

测试方法：

测试人员应依据车辆制造商提供的车载软件升级系统的可信根、引导加载程序、系统固件的安全保

护机制的安全证明文件,判定车辆是否满足7.3.1.1的要求

解析：

在GB44496中，车载软件升级系统的定义为，安装在车端并具备直接接受，分发和校验来自车外升级包等用于实现软件升级功能的软件和硬件。一般情况下，在设计OTA架构时，会选择一个OTA master，行业内通常选用车机IVI,中央网关或者T-box作为OTA master，OTA master会与云端进行控制指令的交互，比如同步车云信息，看看是否有新的升级包发布，另外，OTA master还会承担车内部分ECU的升级包的下载和校验以及分发，但是，像ADAS这种升级包比较大的ECU，通常会自己去云端下载升级包，而不经过OTA master下载后再分发。当然，未来智驾座舱和T-BOX融为一个ECU的时候，有可能就是一个完整的OTA master了，承担所有ECU的升级包下载，校验和分发的任务。

但是，7.3.1.1提到的是支持车载升级系统的ECU要有安全启动的能力，防止篡改，目前，车载的嵌入式系统无论是linux/QNX/安卓/RTOS,安全启动功能基本上是标配，由于测试安全启动功能相对比较复杂，所以检测机构要求整车厂提供设计或内测文档即可。

7.3.1.2 车载软件升级系统不应存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上

的安全漏洞。

注1:汽车行业权威漏洞平台如车联网产品专用漏洞库NVDB-CAVD等政府主管部门认可的其他漏洞平台。