基于網絡信任實現車聯網OTA升級的安全合規策略

摘要：基于遠程在線升級（OTA），車輛能通過互聯網自行升級來修復問題、增強功能甚至提前解決隱患問題，為車主大大節省了時間和精力，有效提升用車便捷性。但是，OTA在給車輛召回、升級帶來便利的同時，也增加了車輛可能遭受網絡攻擊的風險，如車輛在OTA過程中遭受攻擊，就可能破壞或控制車內電子控制單元（ECU），給用戶安全帶來威脅。

關鍵詞：網絡信任；OTA升級；PKI；安全；合規

中圖分類號：U461收稿日期：2024-11-04

DOI：10.19999/j.cnki.1004-0226.2025.01.023

1OTA升級安全要求

汽車遠程在線升級OTA是指通過移動通信網絡（2G/3G/4G或WIFI）對汽車的零部件終端上固件、數據及應用進行遠程管理的技術。汽車OTA遠程升級系統架構主要由遠程升級云服務器端、云端數據傳輸和汽車產品應用終端組成[1]。遠程升級云服務器端和汽車產品應用終端采用一對多的方式[2]。

GB44495—2024《汽車整車信息安全技術要求》中要求在線升級身份認證：PKI在車輛的在線升級過程中需提供一個安全框架，確保升級包的安全性、完整性和來源的可信性。該標準的9.2.1提出：車輛和在線升級服務器應進行身份認證，驗證其身份的真實性。示例：常見的認證方式包括使用證書進行身份認證。9.2.2中提出：車載軟件升級系統應對下載的在線升級包進行真實性和完整性校驗。

2OTA升級安全防護

在汽車OTA升級包下發過程中，PKI（PublicKeyInfrastructure，公鑰基礎設施）技術被用來確保數據傳輸的安全性和完整性[3]。在OTA升級包的生成過程中，PKI首先生成一對公私鑰對，私鑰用于對升級包進行簽名，而公鑰則放在升級包中。簽名確保了升級包在傳輸過程中未被篡改和包的完整性。在數據存儲時，PKI通過發放的數字證書為相關實體提供身份驗證和數據加密的能力，確保只有合法的實體才能訪問和處理升級包。車端接收升級包時，PKI通過數字簽名機制來驗證升級包的來源合法性和完整性。

以下是需要PKI進行防護的關鍵環節[4]：

a.云端：OTA升級包在云端服務器生成和存儲時，需要PKI來確保服務器的身份認證和數據的加密保護，防止未授權訪問和數據泄露。

b.傳輸：在升級包從云端傳輸到車輛的過程中，PKI用于建立加密傳輸通道，確保數據在傳輸過程中不被截獲和篡改，同時通過數字證書驗證通信雙方的身份，防止中間人攻擊。

c.車輛端接收：車輛接收到升級包后，需要PKI來驗證升級包的數字簽名，確保升級包的完整性和來源的真實性，防止惡意軟件的安裝。

d.ECU（電子控制單元）安全：在升級包被分發到各個ECU進行刷寫之前，PKI可以用于再次驗證升級包的合法性，特別是在車輛的多個ECU中，確保每個ECU接收到的升級指令都是安全可信的。

通過在這些環節中應用PKI技術，汽車制造商可以大幅提高OTA升級過程的安全性，保護車輛系統免受網絡攻擊，確保用戶數據的安全和隱私。

3基于網絡信任的車聯網OTA升級安全方案

3.1基礎概念

PKI包括硬件、軟件、人員、策略和規程的集合，用來實現基于公鑰密碼體制的密鑰產生、管理、存儲、分發和撤銷等功能（表現形式：CA、基于標識的密碼PKG、基于組合公鑰的密碼CPK）[5]。PKI依賴于公鑰加密，是一種非對稱加密方法，但是，公鑰加密無法確定公鑰的所有者，因此引申出數字證書，數字證書是一個電子文檔，將公鑰鏈接到其所有者。每個證書都包含公鑰、所有者的標識信息、證書有效期以及辦法機構（CA）的名稱。

證書發布機構（CA，CertificateAuthority）作為可信任的第三方，是負責頒發和撤銷數字證書的權威機構，承擔公鑰體系中公鑰的合法性檢驗的責任。應用系統及車端提供數字證書的申請、更新、注銷、發布等功能，提供各類證書應用接口及管理功能。

數字證書是指電子認證服務機構發行的一種電子文檔，是一串能夠表明網絡用戶身份信息的數字，提供了一種在計算機網絡上驗證網絡用戶身份的方式，因此數字證書又稱為數字標識。數字證書對網絡用戶在計算機網絡交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。

終端密碼模塊主要用來建立車端和OTA之間的安全通道、身份認證簽名、驗證升級包簽名。

3.2OTA升級流程

OTA升級流程如下：升級包上傳→車輛ECU版本信息獲取→車輛信息匹配→升級策略創建→升級任務發布→升級任務推送[3]。

3.3OTA升級包下發安全方案

在制作升級包時，原始包會使用發送方的私鑰進行數字簽名。只有持有對應公鑰的接收方才能驗證簽名的合法性，確保數據未被篡改。此外，為了進一步保護數據傳輸的安全性，原始升級包還會使用對稱加密算法進行加密。OTA升級包下發流程如圖1所示。

OTA系統在云端和車端之間進行身份認證，確保雙方的身份真實可靠。車端會對云端的身份進行認證，云端也會對車端的身份進行認證。通過這種方式，可以確保數據在傳輸過程中不被截獲和篡改。

加密后的升級包會被分發至CDN（內容分發網絡）網絡，以提高下載速度和可靠性。在車端接收到升級包后，會使用相應的公鑰解密并驗證簽名，確認數據的完整性和合法性后進行安裝。

具體流程如下：

OTA本地準備升級包并進行摘要計算，調用簽名服務器對升級包摘要進行簽名，獲取簽名值和簽名證書；OTA調用密鑰管理系統生成的對稱秘鑰在服務器上完成加密，OTA利用自己私鑰解密后獲得對稱密鑰并加密升級包。

以上流程完成后建立TLS通道，T-BOX向OTA發送升級請求，OTA將對稱密鑰利用T-BOX證書公鑰進行數字信封封裝；之后OTA將加密升級包、OTA簽名證書、OTA摘要簽名值和上一步中計算的數字信封一起發送給T-BOX；T-BOX解密數字信封接口獲取對稱密鑰后解密升級包；T-BOX計算升級包摘要值；T-BOX對OTA簽名證書有效性進行驗證；T-BOX實現P1驗簽，對升級包摘要簽名值進行驗簽；如果驗簽通過，則擇機啟動本地升級流程。

在整個OTA升級過程中，車聯網網絡信任扮演著至關重要的角色：一方面，PKI通過數字簽名加密技術確保升級包在傳輸過程中不被篡改;另一方面，PKI在OTA升級過程中提供身份認證機制，確保只有授權的車輛和設備能夠接收和安裝升級包。同時，PKI系統持續管理證書的生命周期，包括證書的發放、更新和撤銷等操作，以確保系統的長期安全性和可靠性。

3.4車載通信終端軟件升級方案

在升級方案中，由T-BOX負責執行OTA升級管理程序。T-BOX作為車輛與OTA云平臺之間的橋梁，負責接收和管理升級包。終端安全密碼模塊為放在T-BOX中的安全模塊。軟件升級流程如圖2所示。

T-BOX處理單元獲取車輛信息及軟件版本號后將車端信息上傳至OTA系統，OTA接收車輛信息，并檢測匹配新版本軟件包，如果存在新的軟件升級包，T-BOX處理單元提交終端證書進行到OTA進行軟件包的下載；OTA接收到下載請求，調用密鑰管理系統獲取本次升級的加密密鑰，并調用簽名驗簽服務器完成對解密密鑰的帶簽名數字信封的封裝；OTA將加密升級包和加密密鑰數字信封返回給T-BOX處理單元；T-BOX處理單元下載完成后調用終端安全密碼模塊對升級包進行完整性和合法性校驗，并解密數字信封獲取加密密鑰完成對升級包的解密運算；驗證通過后，T-BOX處理單元完成軟件包的升級安裝。

各相關方工作內容見表1。

4結語

本文針對OTA升級包在傳輸過程中存在被惡意入侵、竊聽和篡改的安全隱患，基于PKI的OTA升級流程通過數字簽名和對稱加密技術確保了升級包的完整性和安全性，同時利用PKI系統進行身份認證和證書管理，保障了整個升級過程的安全性和可靠性。

參考文獻：

[1]王棟梁，湯利順，陳博，等.智能網聯汽車整車OTA功能設計研究[J].汽車技術，2018（10）：29-33.

[2]WUSN，ZHUYY，JIHJ，etal.AnalysisofSoftwareOnlineUpdatingSafetyRisksandSuggestionsforIntelligentConnectedVehicles[J].AutomotiveDigest（Chinese），2023（3）：15-20.

[3]吳明林，余家運，盧曉婷，等.新能源汽車OTA方案及自動化測試方法[J].汽車電器，2023（8）：11-13.

[4]《車聯網網絡安全白皮書（2020）》發布[J].中國信息安全，2020，（10）：29.

[5]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現狀與未來發展趨勢[J].汽車實用技術，2019（3）：214-216.

作者簡介：

藏丹丹，女，1991年生，高級工程師，研究方向為網絡信任。