在物联网时代,设备的安全性不再止步于出厂那一刻。随着新漏洞不断被披露,能否持续交付安全更新,已成为衡量产品可信度的核心指标。欧盟对此高度重视,自2025年8月1日起强制实施的 EN 18031 标准明确规定:所有联网无线设备必须内置安全、可靠、可验证的软件更新机制,用于及时修复安全漏洞并维持服务完整性。
ETSI EN 18031-1:2024 第6.3条指出:“设备应支持通过安全方式接收和安装软件更新,以应对已识别的安全风险。”
那么,EN 18031对软件更新提出了哪些具体要求?企业又该如何落地?
一、EN 18031 对软件更新机制的三大核心要求
标准从可用性、安全性与生命周期支持三个维度设定了强制性规范:
1. 必须支持远程安全更新(OTA)
- 设备需具备通过网络(Wi-Fi、蜂窝等)接收固件更新的能力
- 禁止仅依赖物理接口(如USB)更新,除非设备无任何无线功能(但此类设备通常不适用EN 18031)
2. 更新过程必须安全可信
| 安全要素 | 具体要求 |
|---|---|
| 完整性验证 | 固件包必须使用数字签名(如RSA-2048、ECDSA),设备端验证后方可安装 |
| 防回滚攻击 | 系统需拒绝安装版本号低于当前运行版本的固件 |
| 传输加密 | 更新包下载必须通过TLS 1.2+或等效安全协议传输 |
| 中断恢复 | 支持断点续传或双分区(A/B)更新,避免更新失败导致设备变砖 |
3. 需提供明确的生命周期支持承诺
- 制造商必须在产品上市时公开最低安全更新支持期限
- 一般设备:至少 2年
- 高风险设备(如儿童手表、医疗传感器、支付终端):建议 3–5年
- 停产前需提前 6个月 通知用户,并提供最终安全补丁
欧盟委员会强调:“缺乏更新能力的设备将被视为无法抵御已知威胁,不符合RED指令第3(3)(d)款。”
二、典型更新机制架构对比
为满足EN 18031,制造商可选择以下主流技术方案:
| 架构类型 | 适用场景 | 合规优势 |
|---|---|---|
| 单分区 + 差分更新 | 资源受限设备(如BLE传感器) | 节省带宽,但需强校验机制 |
| 双分区(A/B)冗余 | 智能家居、车载设备 | 支持无缝回滚,高可靠性 |
| 基于云平台的OTA | 高频更新产品(如智能音箱) | 支持灰度发布、用户分群管理 |
| 安全元件(SE)辅助 | 支付终端、身份认证设备 | 密钥隔离存储,防固件篡改 |
✅ 推荐实践:结合 Secure Boot + 签名验证 + 双分区,构建纵深防御体系。
三、合规实施关键步骤
为确保软件更新机制通过EN 18031审核,建议按以下流程推进:
- 设计阶段
- 在系统架构中预留OTA模块接口
- 选择支持安全启动的SoC(如NXP i.MX RT, ESP32-S3)
- 开发阶段
- 集成签名验证库(如mbed TLS、OpenSSL)
- 实现版本号比对与回滚保护逻辑
- 测试阶段
- 在认可实验室执行以下验证:
▶ 固件签名伪造攻击测试
▶ 中断更新恢复测试
▶ 降级安装拦截测试
- 在认可实验室执行以下验证:
- 文档阶段
- 在技术文件中提供:
▶ 更新机制架构图
▶ 签名算法与密钥管理说明
▶ 生命周期支持声明
- 在技术文件中提供:
四、常见违规情形与风险
| 违规行为 | 后果 |
|---|---|
| 仅提供本地USB更新 | 不符合“远程修复”要求,认证失败 |
| 固件未签名或使用弱算法(如MD5) | 被认定为可篡改,存在高危漏洞 |
| 未明确更新支持期限 | 技术文档不完整,无法通过NB审核 |
| 更新服务器无HTTPS | 传输过程可被中间人劫持 |
案例参考:2024年某欧洲智能家居品牌因固件更新未签名,被监管机构责令召回超10万台设备。
五、与行业标准的协同
EN 18031的更新要求与多项国际规范一致:
| 标准 | 关联内容 |
|---|---|
| NIST SP 800-193 | 平台固件弹性指南,强调安全更新与恢复 |
| ISO/IEC 27001 A.12.6.1 | 技术漏洞管理,要求及时应用补丁 |
| GDPR 第32条 | 数据处理安全措施,包括“定期测试与评估” |
总结
EN 18031将“软件更新能力”从产品附加功能提升为法定安全义务。它不仅是修复漏洞的技术手段,更是制造商对用户长期安全承诺的体现。对于计划进入欧盟市场的无线设备企业而言,构建一个安全、可靠、透明的更新机制,已不再是“要不要做”的问题,而是“如何做好”的核心课题。
如需专业EN 18031合规支持,欢迎联系我们,我们将为您提供一站式网络安全认证与检测服务。