汽車軟件遠程升級系統設計

韓德鴻　黃祖朋　韋錦波

關鍵詞：人機交互;遠程升級;云平臺;固件傳輸;信息安全

中圖分類號：TN919文獻標識碼：A

0引言

隨著汽車向智能化網聯化發展，汽車電子技術已經廣泛地應用到了汽車發動機控制、底盤控制、車身控制和故障診斷以及音響、通信和導航等各個方面，汽車的電子化程度也成為衡量一個國家汽車工業水平的重要標志之一[1-2]。作為汽車電子的核心控制元件——電子控制單元（ECU），其在高端智能網聯汽車上的搭載數量達到幾十甚至上百個之多。當汽車需要通過ECU軟件升級以進行功能迭代時，傳統低效耗時的手工刷寫方式已不能滿足要求。因此，開發汽車遠程升級系統十分必要。

1汽車遠程升級架構

本文基于車載終端架構對汽車遠程升級系統進行設計，系統由服務平臺、車載升級設備、人機交互設備、車載網絡及車載控制單元等組成（圖1）。服務平臺又稱之為云平臺，負責固件管理、下載和日志記錄等任務[3]。車載升級設備是執行升級的設備，T-Box、車機和網關等車載設備都可以作為執行器使用。人機交互設備可集成在車機上，也可應用到移動客戶端（手機等），負責將升級過程直觀地呈現給用戶，供用戶進行動作判斷。車載網絡，現階段主要以CAN為基礎，考慮以太網、FlexRay等通信方式在未來汽車軟件升級中的應用。車載控制單元，也就是車載ECU，是各執行器的控制單元，遠程升級的對象。

2功能設計

汽車遠程升級功能要求主要包括3個方面：信息安全、功能安全以及一般功能性要求。信息安全指固件數據和指令在傳輸、保存和安裝過程中，為防止信息泄漏、被惡意攻擊等情況所采取的措施。功能安全指軟件升級失敗、網絡中斷等意外情況發生時，仍然能保證車輛可以短時間內升級成功或正常行駛[4]。一般功能性要求指的是服務平臺和車載控制器等設備的日志記錄功能和Bootloader功能。

2.1信息安全

汽車遠程升級由于采用無線傳輸技術將車內網絡與車外網絡進行互聯，在整個過程容易受到惡意網絡攻擊，存在巨大的隱患?？梢詮囊韵?個方面進行信息安全設計。

2.1.1傳輸安全

（1）通信加密：固件在傳輸的過程中，通過通信加密保證整個固件傳輸安全，避免固件被截獲或遭受中間人攻擊導致升級失敗。

（2）協議偽裝：通信流程偽裝，把一種協議偽裝成另一種協議，從而防止對升級流程進行攻擊。

（3）固件完整性、合法性校驗：ECU軟件遠程升級時需要配合安全升級機制，通過數字簽名和認證機制確保固件的完整性和合法性，對于非法固件禁止進行升級。

（4）設備合法性認證：車載升級設備對更新請求應具備自我檢查能力。在對自身分區或向其他設備傳輸更新文件或更新命令時，應能夠及時聲明自己的身份和權限，即對設備合法性進行認證[5]。升級過程應能正確驗證服務器身份，識別出偽造服務器，或者高風險鏈接鏈路。

2.1.2數據安全

（1）平臺數據存儲：通過車載終端或其他方式采集上傳到云

平臺中的數據，會涉及到車主車輛相關的私密數據。為保證云平臺存儲的用戶隱私信息不被泄露，需要設置訪問權限，并對數據進行加密存儲。

（2）平臺數據完整性：保存在云平臺的數據應當具備完整性，不被惡意破壞，不應出現因硬件、軟件等外部條件造成數據的丟失、錯誤。

（3）平臺數據的可恢復性：用戶對存儲在云平臺的數據進行訪問時，需要無差錯響應用戶的請求。如果遇到安全攻擊事件，應能夠保證數據的可恢復性，防止因數據丟失造成的巨大損失。

（4）平臺數據安全方法：云平臺數據安全應采用體系化的信息安全建設，從物理、網絡、計算、存儲、信息和應用等方面構建信息安全防御體系，并在管理方面將信息安全納入到考慮范圍，以降低數據泄漏等安全風險。

（5）車載終端數據存儲：由于固件代碼保存在具有永久存儲功能的器件中，應考慮其是否支持加密算法，芯片中是否有保護寄存器，以及是否可以通過設置Read-only等模式對固件存儲進行保護?？梢栽黾游⑻幚砥骰蛘呶⑻幚砥鲀炔孔詭У墓碳鎯卧墓碳崛‰y度，同時減少或禁用ECU上的JTAG、RS232和USB等對外調試接口，減少固件被讀取的危險。

2.1.3密鑰安全

（1）APP安全防護：當前大多數汽車APP缺乏軟件防護和安全保障，通過逆向攻擊就可以看到TSP接口、參數等信息，存放在APP中的密鑰、控制接口等信息均易被獲取[6]，因此，應當對移動APP進行有效的防護。關于密鑰的存儲，由于大部分手機都沒有內置eSE芯片，可采用軟件白盒的方式，通過軟件白盒保證數據存儲和傳輸安全。

（2）密鑰存儲：可能發生白盒攻擊。當前主流方式是軟件白盒和硬件eSE芯片方案，將密鑰通過預制或動態下發的方式存儲在白盒或者eSE芯片中，這樣可以有效防止白盒攻擊。數據在傳輸的過程中也要經過白盒或eSE芯片加密后進行，保障數據的傳輸安全[7]。

2.2功能安全

功能安全是為防止汽車在遠程升級過程中，由于意外發生造成車輛無法行駛或短時間內無法恢復的情況發生，可將其視為冗余設計[8]。

2.2.1防變磚機制

在多個節點的情況下，遠程升級時需對升級目標進行校驗，防止升級錯誤。此外，升級管控程序需始終保證自身的可運行性，即使在升級失敗的情況下，升級管控程序仍然能夠保證升級可重復進行或通過調用相應的接口回滾至原版本。

2.2.2掉電保護

系統應防止升級過程中意外掉電，掉電恢復后會自動由Boot進入升級管理程序，從掉電處繼續完成覆蓋的過程。

2.2.3回滾機制

對于軟件本身存在的問題或多次無法升級成功，升級管理程序可調用特定接口，控制系統回滾至上一個版本。

2.2.4斷點續傳

系統具備斷網保護機制，在網絡中斷時記錄下載點，在網絡狀態恢復時從未完成處繼續下載。

2.3一般性功能要求

2.3.1升級策略

可按照時間、地區和設備數量等信息動態調整升級策略，即針對某一生產批次、某一地區和一定數量的車輛進行全時段的遠程升級設定，具備動態調整能力，適應不同場景下的要求。

2.3.2各節點要求

各節點除滿足上述的信息安全和功能安全外，車載ECU、云平臺和APP還應滿足關于自身特殊的要求。

（1）車載ECU。車載ECU應具備Bootloader的功能，Bootloader應置于非易丟失存儲區，并受到保護，禁止對其地址區進行任意修改。此外，車載ECU遠程升級時需要配合安全升級機制，通過數字簽名和認證機制確保固件的完整性和合法性，對于非法固件禁止進行升級。再者，車載ECU在接收車載終端傳輸更新文件或更新命令時，應能夠及時校驗車載終端身份及權限，即對設備合法性進行認證。

（2）云平臺。在軟件升級過程中，云平臺應能正確驗證車載終端身份，識別出偽造終端，或者高風險鏈接鏈路[9]。此外，通過車載終端或其他方式采集上傳到云平臺中的數據，由于會涉及到車主車輛相關的私密數據，云平臺需要設置訪問權限，并對數據進行加密存儲，以保證存儲的用戶隱私信息不被泄露。保存在云平臺的數據還應當具備完整性，不被惡意破壞，不應出現因硬件、軟件等外部條件造成數據的丟失、錯誤。

（3）APP。APP應當能直觀將遠程升級過程中相應的安裝進度、安裝歷史等信息直觀反饋給用戶。此外，APP具備一般商用APP的通用特點，如密碼找回、注冊和重置等。并且，APP還應能遠程管理車載終端中已經下載的固件。

3汽車遠程升級流程

汽車軟件遠程升級流程的主要步驟如下（圖2）。

（1）注冊和登錄。用戶通過手機號在平臺（APP）注冊，首次登錄要進行車輛綁定設置，輸入個人信息，如身份證號、車輛VIN碼等，再設置遠程升級功能的密碼。

（2）固件更新。平臺會及時推送新版固件，用戶也可自己選擇檢查更新。若存在新版固件，會提示固件版本信息，包括新版固件版本號、本地固件版本號以及新功能說明等。

（3）下載新版本固件。用戶確認新版本固件功能后，選擇新版本的固件進行下載，APP上會顯示當前固件的下載進度。下載完成后，系統提示用戶是否立刻安裝。如下載失敗，提示失敗原因，可重新下載。

（4）安裝固件。用戶選擇確定并安裝后，系統會提醒用戶是否滿足安裝條件，當條件滿足時才允許平臺發送安裝指令;如不滿足條件，則會提醒用戶采取相應措施，條件滿足后可繼續選擇安裝。APP上會實時反饋安裝進度，安裝完成后，系統提示用戶進行相應操作，完成更新。如安裝失敗則提示失敗原因，可重新進行安裝。

4實驗驗證

以市場上本司某款純電動車型為實驗平臺，對整車控制器VCU進行遠程升級驗證。首先，使用INCA對VCU進行本地軟件的刷寫;然后，保持固件的版本一致，在平臺上上傳升級版本程序并進行下發;最后，使用INCA的標定功能通過訪問VCU固件版本號，來初步判斷遠程升級的結果。

實驗表明，通過對總線報文進行實時監測，固件數據可以成功刷寫進VCU中。同時，對車輛進行上電和換擋、行車及空調等一系列宏觀的功能測試，整車均滿足條件需求。因此證明遠程升級是成功的。

5結束語

隨著智能互聯汽車電子化率的不斷增加，汽車ECU的軟件升級成為了一大挑戰。本文針對汽車遠程升級的流程和應用場景，對汽車遠程升級系統進行了詳細的分析設計。汽車遠程升級系統不僅僅是功能方面的實現，信息安全將是其重要的組成部分。在汽車遠程升級的整個過程中，面臨著來自各個方向的攻擊，升級過程中需要配合安全升級機制，通過數字簽名和認證機制確保升級的完整性和合法性。

作者簡介：

韓德鴻，本科，工程師，研究方向為汽車開發與商業運營。

通訊作者：

韋錦波，碩士，工程師，研究方向為新能源汽車測試診斷技術。