一種整車OTA升級的方法和系統

張鐵欣

長城汽車股份有限公司 河北省汽車技術創新中心，河北保定，071000

0 引言

通常情況下，OTA更新內容要經過廠商的反復測試之后進行封裝，云端服務器通過蜂窩網絡和車輛建立連接并且傳輸文件，車上的OTA管理單元會負責管理這些文件，確認什么時候把它們下發給負責各個模塊的ECU控制單元，并且在更新完成后向服務器反饋。

目前常見的OTA升級主要還是針對多媒體系統，如導航、娛樂、舒適性配置等（如圖1所示），只有個別廠商會對駕駛輔助、動力單元等進行升級。

圖1 車輛升級過程

隨著汽車智能化、網聯化的發展，車輛信息安全變得越來越重要，因此，保證OTA升級過程的安全性是智能化、網聯化的前提。

在車聯網信息安全上，車輛主要涉及的網聯部件包括上層的車機娛樂系統、T-BOX聯網模塊、車內網關以及車輛底層的各個ECU模塊。除車輛端之外，還包含云端車聯網平臺和車輛手機APP終端。針對不同的零部件，主要安全威脅也不盡相同。常見的安全威脅包括藍牙、Wifi等無線協議棧的安全漏洞、OTA升級安全防護缺陷、網絡通訊被劫持等。

汽車電子電氣架構正朝著 “為智能化體驗服務” 方向演變。集中式電子電氣架構勢在必行并且需求迫切。在未來集中式E/E 架構盛行的時代，將繼續以服務為導向，開始跨域融合發展，把更多的功能集成到一個或幾個高性能的計算單元，為軟件提供高性能實時計算平臺。在這樣的理念下，催生真正的車載計算平臺。汽車逐漸走向智能化勢在必行，越來越多曾看似難以實現的功能將持續被引入并實現。這也就意味著，作為汽車智能化基底的電子電氣架構，在現如今盛行的模塊化、集中化架構的基礎上，探索執行更加高效的架構來保證未來海量數據的高速吞吐、采集數據的實時處理、跨域數據的無界交互。

1 現有技術的缺點

目前，在OTA升級過程中，短期升級考慮的主要是安全性問題，保證升級文件下載過程和刷寫過程的安全，而長期問題主要是升級包管理和升級管理，OTA云平臺主要包括升級模型管理、升級包管理、升級任務、升級策略和日志管理。

在OTA升級面臨的所有挑戰中，最為關鍵的一項是如何準確識別車輛配置和實現車輛配置升級包的可配置化（SOA）功能。目前很多廠商手中并沒有置信水平可靠的車輛軟件配置表，因此很難保證能為所有車輛選擇合適的軟件。因此，在保證安全的前提下，如何提高云端和車輛端傳輸軟件包的可靠度至關重要。

2 本發明創造要解決的技術問題與優點

本發明目的：

（1）建立一種OTA升級加解密的方法和流程，保證升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性；

（2）建立一種SOA配置管理系統，準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現SOA服務的定制化。

本發明與現有技術相比的優點在于：本發明所涉及的一種整體OTA升級系統建立了一種OTA升級加密的方法和流程，保證了升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性，并建立了一種SOA配置管理系統，準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現SOA服務的定制化；其中大數據中心儲存原始固件升級軟件，營銷人員根據車輛的售出狀態，向后臺服務器系統申請開通OTA升級權限，后臺服務器接收營銷人員的開通申請后，構建控制指令，通過后臺將客戶數據發送至公司大數據中心，大數據中心管理客戶數據及提供軟件升級程序；本發明提供了身份認證安全，通過對稱和非對稱加密算法相結合的方式，實現人、車和后端管理平臺的保密通信，并為人、車簽發電子身份證，用于后期兩端的身份驗證；本發明能保證協商過程的一次一密，會話密鑰的高安全性、用戶的真實性；保證用戶身份認證的安全性。本發明通過中央計算單元采集智能識別系統的人臉信息，設計合理，值得大力推廣。

3 本專利申請技術方案的詳細內容

（1）系統技術方案[1]。一種整體OTA升級系統包括服務器端1、后臺服務器2、大數據中心3、遠程信息處理器4、操作模塊5、中央計算單元6和智能識別系統7。其升級流程（如圖2所示）：服務器端1與后臺服務器2進行數據傳輸，通過服務器端1將客戶數據上傳至后臺服務器2，后臺服務器2再將客戶數據上傳至大數據中心3，大數據中心3接收到客戶數據后給后臺服務器2反饋信息，后臺服務器2根據配置選擇軟件升級程序，將選擇的軟件升級程序下載至車輛的遠程信息處理器4中，遠程信息處理器4接收到軟件升級程序后反饋新車配置及升級完畢信息，并將數據透傳至操作模塊5，駕駛員通過操作模塊5操作，操作結束后操作模塊5將新車配置及升級完畢信息反饋至遠程信息處理器4，操作模塊5再將數據透傳至中央計算單元6，中央計算單元6將人臉信息上傳至智能識別系統7。

圖2 系統技術方案

本系統是OTA實現的系統方案，其大數據中心儲存原始固件升級軟件，營銷人員根據車輛的售出狀態，向TSP系統申請開通OTA升級權限。TSP接收營銷人員的開通申請后，構建控制指令，通過后臺將客戶數據發送到長城公司大數據中心，長城公司大數據中心管理客戶數據及提供軟件升級程序。

（2）OTA升級流程圖。

所述OTA升級系統的升級流程如圖3所示，具體描述如下。步驟1，開始，大數據中心建立汽車升級軟件庫。步驟2，后臺服務器2匹配與個人車輛相應的升級軟件包。

圖3 OTA升級流程圖

步驟3，云端向個人車輛發送個人賬戶下的個人車輛的系統更新信息。

步驟4，車輛遠程信息處理器4下載系統更新固件。

步驟5，車輛遠程信息處理器4校驗系統更新固件的數據完整性。

步驟6，系統更新固件的數據是否完整；若是，繼續執行步驟7；若否，返回執行步驟2。

步驟7，車輛中央計算單元6與后臺校驗升級軟件包對應的配置。

步驟8，車輛中央計算單元6判斷該車輛是否可以進行汽車電子單元的系統升級；若是，繼續執行步驟9；若否，返回執行步驟2。

步驟9，中央計算單元6通過操作模塊5，即FOTA主控節點控制整車升級操作。

步驟10，中央計算單元6循環判斷升級過程是否結束；若是，繼續執行步驟11；若否，返回執行步驟9。

步驟11，中央計算單元6通過遠程信息處理器4向云端發送反饋信息，使云端停止向個人賬戶發送該車輛的系統升級信息，并在后臺記錄個人車輛配置。

（3）OTA升級加解密的方法和SOA配置校驗升級[2]。

圖4 OTA升級加解密過程

OTA升級加解密過程從車輛端描述主要分以下幾步：①從云端校驗控制指令，并下載升級包到車輛端T-BOX上；②從T-BOX經加、解密傳輸到CCU上；③CCU與后臺TSP端校驗配置；④選擇升級包并下載升級包存儲到CCU上；⑤CCU控制整車升級。

基于5G技術中的IPV6協議實現以下操作。①從云端校驗控制指令，并下載升級包到車輛端T-BOX上，校驗車輛信息。

本實施例基于對稱和非對稱加密算法，利用對稱加密算法對第一加密密鑰數據摘要和摘要簽名進行加密，然后基于非對稱加密算法，利用待升級設備的公鑰對數據密文進行加密并比較數據的一致性，從而實現對升級包的雙重加密。使得升級包在傳輸過程中的保密性更強，更難以被逆向，保證了升級包中用戶的隱私信息不被泄漏[3]。

②從T-BOX經加、解密傳輸到CCU上。

從T-BOX到CCU可以使用在T-BOX上增加ECC加密加速器、惠而浦散列引擎、AES加密加速器、哈希加速器引擎、RAM、ROM、專用安全CPU、隨機數發生器和偽隨機數生成器等方案來實現，此方案符合EVITA FULL,信息安全能達到最高等級。

③CCU與后臺TSP端校驗車輛信息和人員信息。

本發明公開了一種發放、獲取移動終端證書及汽車端芯片證書的方法、設備，方案中提供了身份認證安全，通過對稱和非對稱加密算法相結合的方式，實現人、車和后端管理平臺的保密通信，并為人、車簽發電子身份證，用于后期兩端的身份驗證。本發明能保證協商過程的一次一密、會話密鑰的高安全性、用戶的真實性，解決了“我就是我的問題”，保證了用戶身份認證的安全性。

在整車上，通過CCU采集智能識別系統DMS的人臉信息，與后臺TSP驗證獲得CCU的電子身份證，確保了車輛的合法性和人員的合法性，實現了信息的唯一性。

④選擇升級包、下載升級包存儲到CCU上，校驗車輛配置信息，并可選擇地實現車輛配置可選。

HUT通過CCU的源碼配置文件包比對，編譯定制配置，準確地識別云端車輛配置對應的升級包及對比升級包對應車輛端的配置，實現配置的可選擇定制，

CCU主要是實現源碼管理服務器、版本管理服務器、儲存鏡像文件、控制軟件包升級、升級任務、升級策略和日志管理功能[4]。⑤CCU控制整車升級。

在車輛中心化電子電氣架構中，整車信息安全防護更加復雜，比如在上述方案中同樣需對HUT和DMS端做信息安全防護，但不屬于本發明的主要保護方向，因此整車級信息安全防護和升級過程在此不做詳述。

（4）SOA概念。SOA是英文詞語“Service Oriented Architecture”的縮寫，中文有多種翻譯，如“面向服務的體系結構”“以服務為中心的體系結構”和“面向服務的架構”，其中“面向服務的架構”比較常見。SOA有很多定義，但基本上可以分為兩類：一種認為SOA主要是一種架構風格；另一種認為SOA是包含運行環境、編程模型、架構風格和相關方法論等在內的一整套新的分布式軟件系統構造方法和環境，涵蓋服務的整個生命周期：建模-開發-整合-部署-運行-管理。后者概括的范圍更大，著眼于未來的發展，我們更傾向于后者，認為SOA是分布式軟件系統構造方法和環境的新的發展階段。

國際企業中，德國大眾和特斯拉在SOA上做了很多嘗試，但由于其系統封閉性，無法推廣到整個行業，且沒有提供服務接口和開發者平臺，平臺沒辦法擴大影響范圍。目前，我國汽車產業的軟件賦能實踐過程中需要開發者快速地、自由地聚焦在上層的業務邏輯，降低開發門檻，縮短整個軟件的迭代周期。具有這樣特性的開發者平臺才能夠為開發者提供專業技術支持、開發者學院課程，并組建開發者社區提供交流平臺[5]。

SOA開發者平臺作為智能車生態的接入側，承擔了智能汽車生態搭建的重要作用，成為OEM、應用開發者與終端用戶的橋梁，為生態的繁榮提供了強有力的保證，繁榮整個汽車生態。

我國具有代表性的汽車企業通過對SOA開發者平臺的自主自研，進一步豐富智能車車云能力，孵化新形態、新體驗的跨端應用。平臺將為開發者提供智能應用的驗證、商城上架及持續運營的完整方案，賦終端用戶實現車輛軟件功能的自由訂閱、千人千面用車體驗和價值共創。

目前SOA開發者平臺提供了豐富的軟件組件和基礎設施，上汽零束SOA 生態合作伙伴也能夠通過開發者平臺接入。

SOA軟件平臺框架為行業首創的車載軟件框架，可實現整車硬件的全數字化、軟件的全服務化、接口的全標準化，可實現域控制器間、車端與云端能力及擴展IOT 的全面打通融合和全域智能化。

4 本專利的創新點

（1）車輛通過從T-BOX到CCU，實現了車輛合法性和人員合法性的三重認證，保證升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性，如圖5所示。

圖5 三重認證過程

（2）HUT通過軟件包定制配置，實現了準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現了SOA的配置服務定制化，如圖6所示。

圖6 SOA配置服務化

5 本方案車輛端適用的架構

中央計算機-層-區的概念將建立起智能汽車的新架構（如圖7所示），區是局部控制、感知與執行單元，層是按照職能劃分的資源池，中央計算機是決策大腦，面向應用/服務，調用各層資源，執行高級決策，由區控制單元執行決策或完成態勢感知任務。

圖7 車輛中心化電子電氣架構

6 技術方案中出現的專業術語解釋

（1）OTA（over the air technology）即空中下載技術。OTA技術的應用使得移動通信不僅可以提供語音和數據服務，而且還能提供新業務下載，是一種更快的無線技術。它重點解決了一個空間距離的問題，也就是用戶不再需要把車開到4S店，在任何一個有網絡的地方就可以解決部分問題。

（2）SOA即service oriented architecture的縮寫，是面向服務的架構，它提供了一種構建IT組織的標準和方法，并通過建立可組合、可重用的服務體系來減少IT業務冗余并加快項目開發的進程。

（3）數據加密技術主要分為對稱加密算法和非對稱加密算法兩種。①對稱加密算法。對稱加密算法也稱為私鑰加密算法，是指加密密鑰和解密密鑰相同，或者雖然不同，但從其中的任意的一個可以很容易地推導出另一個。其優點是具有很高的保密強度，但密鑰的傳輸需要經過安全的途徑。對稱加密算法有兩種基本類型，分別是分組密碼和序列密碼。分組密碼是在明文分組和密文分組上進行運算，序列密碼是對明文和密文數據流按位或字節進行運算。常見的對稱加密算法包括瑞士的國際數據加密算法和美國的數據加密標準。②非對稱加密算法。非對稱加密算法也稱為公鑰加密算法，是指加密密鑰和解密密鑰完全不同，其中一個為公鑰，另一個為私鑰，并且不可能從任何一個推導出另一個。它的優點在于可以適應開放性的使用環境，可以實現數字簽名與驗證。

7 結語

本發明通過構建OTA升級系統，提高了云端和車輛端軟件包匹配的可靠度，并實現了配對軟件包的可編輯，從而能夠保證提供所有車輛選擇合適的軟件,尤其適配L3級以上車聯網技術架構。