汽車軟件在線升級關鍵技術及監管要求分析

王婧璇 文海鷗 陳亞翔

【摘要】隨著軟件定義汽車時代的到來，汽車軟件升級技術應用的必要性愈發突出，為了避免汽車軟件在線升級中潛在的安全風險，車輛制造商需保證產品在線升級（OTA）的安全性。針對當前汽車OTA面臨的挑戰，從數據完整性及服務完整性2方面總結了OTA升級關鍵技術的發展現狀，分析了現有軟件升級管理法規要求，并在此基礎上提出企業OTA能力建設方面的建議。

關鍵詞：智能網聯汽車；軟件升級；OTA安全

中圖分類號：U461.99；F426? 文獻標志碼：A? DOI： 10.19822/j.cnki.1671-6329.20230196

Analysis on Key Technology and Regulatory Requirement for Automotive Over the Air Update

Wang Jingxuan， Wen Haiou， Chen Yaxiang

（China Automotive Engineering Research Institute Co.， Ltd.， Chongqing 404100）

【Abstract】 With the advent of the software-defined automobile era， the necessity of the application of automobile software update technology becomes more and more prominent. To avoid potential security risks， vehicle manufacturer needs to ensure OTA security of the product. In view of the current challenges faced by OTA， the development status of key technologies for OTA update is summarized from the aspects of data integrity and service integrity. The requirements of existing software update management laws and regulations are analyzed， and the corresponding OTA capacity building suggestions are put forward to vehicle manufacturers.

Key words： Intelligent and connected vehicles， Software update， OTA security

0 引言

隨著車輛高級功能的配置，智能網聯汽車中軟件數量日益增加，其代碼量高達百萬行[1-5]。軟件漏洞和錯誤可能會帶來系統崩潰、功能失效、信息泄露和安全漏洞等風險，影響駕駛體驗甚至危害用戶生命財產安全。同時，車輛對軟件連接、控制和協調依賴程度增加，也加劇了對軟件修復和漏洞修補的需求。因此，車輛制造商需要建立一個安全的軟件更新機制，以便修復漏洞并應對不斷變化的環境威脅。在傳統的封閉系統車輛中，車輛故障是由硬件故障或軟件安裝中的錯誤造成的，對應的解決方案是召回問題車輛并進行修復，而該方式所需時間過長且為用戶帶來極大不便[6]。由于智能車輛具有網聯無線網聯通信功能，所以車輛制造商開始通過無線方式對汽車軟件實現遠程空中下載（Over The Air， OTA）升級，該方法無需物理召回過程，可向用戶提供最方便、最快速的軟件升級服務[7-8]。

OTA軟件更新具有以下優勢：（1）車輛可以在運行狀態中及時對軟件進行升級，大大縮短了軟件升級的時間；（2）通過OTA軟件升級可以降低車輛保修成本和物理召回成本；（3）通過實時升級，可以及時解決安全問題，提高汽車的安全性能，降低被攻擊的風險；（4）通過OTA升級，用戶可以享受個性化定制服務，如對音樂、導航等應用軟件的更新[9-11]。2022年，全球支持OTA升級的車輛出貨量將接近2.03億輛[12]。因此，OTA升級具有巨大潛力，對汽車市場的未來發展具有重要的意義。

車輛制造商通過蜂窩網絡實現智能網聯車輛的OTA升級。同時，網絡連接也給車輛帶來了各種安全威脅和隱私挑戰。有研究人員通過多種方式（車載診斷端口、Wi-Fi、藍牙等）嘗試對車載電子控制單元（Electronic Control Unit， ECU）進行攻擊，結果發現ECU會被成功攻擊，而網絡攻擊者可以通過被入侵的ECU向車載網絡注入數據包，以控制車輛[13-16]。聯網車輛面臨被遠程網絡攻擊的風險，使得建立端到端的OTA升級安全連接成為一個至關重要的問題，而由于復雜、多樣的攻擊手段以及不夠成熟的技術，導致車輛在OTA過程中保持安全的連接十分具有挑戰性。此外，OTA升級面臨的另一個挑戰是升級時保障車輛的安全及準確訪問。由于每次OTA升級的對象滿足特定限制，因此需限制云端僅能訪問并僅向目標車輛推送對應升級包。為了避免OTA升級過程中由于車輛的網絡可用性故障導致的升級中斷或失敗等問題，原始設備制造商（Original Equipment Manufacturer， OEM）和網絡運營商需要確保升級過程中可有效利用無線電頻譜，以最大限度地提高升級成功率，同時最小化車輛升級對其他網絡用戶的影響。因此，對于網絡運營商而言，聯網車輛的OTA升級成為一個重要的調度問題[17]。

為了解決OTA升級可能存在的問題，可采取多種措施，如通過完整性驗證、身份驗證和密鑰管理等措施，防止車輛被遠程攻擊以及數據被篡改或竊取。為確保OTA升級過程的高效性和可靠性，OEM和網絡運營商可以選擇使用強大可靠的通信協議，建立云端與車輛之間的高效通信。此外，需要設計健壯的軟件程序，滿足升級中斷時能夠自動續傳、自動檢測和進行失敗重啟的需求[18-20]。為了最大程度地減少OTA升級對蜂窩網絡的壓力，同時保障升級包傳輸的完整性和穩定性，需要對OTA升級的程序和過程進行優化，盡可能降低升級過程對帶寬和網絡資源的消耗。同時，應優化網絡連接和調度策略，以確保軟件包下載過程中網絡可用性，并確保對所有其他網絡用戶的影響最小，從而最大程度地提高更新成功率。

綜上，智能網聯汽車的軟件升級趨勢為OTA升級，為確保其實施的可靠性，需保證云端將真實完整的升級包安全傳輸至車端，且升級包的安裝過程需不受攻擊。除了技術要求之外，企業OTA體系也需滿足監管要求。因此，本文主要總結了OTA升級的要求及其關鍵技術，并討論了OTA升級面臨的挑戰，還研究了國內外現有OTA升級監管要求，并基于此對企業提出關于OTA升級能力的建設建議。

1 OTA升級安全關鍵技術

1.1 OTA升級流程

汽車OTA升級架構主要包括：OTA云服務器、無線網絡傳輸端以及車端，如圖1所示。其中，云端的升級包由軟件供應商上傳，車輛制造商負責升級任務的發布。車端通過無線網絡從云端獲取OTA升級任務及升級包，并向云端上報升級結果。

OTA具體升級流程主要包括以下環節（圖2）。

（1）軟件供應商向車輛制造商交付通過了功能測試的升級包，上傳至OTA云平臺，并完成升級包驗證流程。

（2）車輛制造商通過OTA云平臺向目標車輛發布升級任務。

（3）車輛制造商通過實體信件、電子郵件、社交媒體和車載通知等方式通知車輛用戶升級信息，用戶可選擇拒絕或同意軟件更新。若選擇“拒絕”，則不會進行升級，若選擇“同意”，車輛檢查自身狀態是否滿足車輛制造商規定的升級前置條件，滿足則進行下一步。

（4）車輛向OTA平臺請求軟件升級，接收訪問OTA平臺中軟件升級包的路徑信息。

（5）車輛根據軟件升級包的路徑訪問OTA平臺的升級包，并進行升級包下載，下載過程中OTA平臺或用戶端可查看下載進度，直至下載完成。若下載中斷，則在滿足條件后繼續下載。

（6）車輛端對下載的升級包進行驗證后執行安裝，OTA升級完成后，用戶可接收升級結果告知。若升級失敗，軟件將回滾至上一可用版本；若升級成功，可進行后期驗證，以確認已成功完成目標ECU的軟件升級，并且本次升級未影響任何其他ECU或車輛功能。

1.2 OTA升級的安全要求

為保證完整穩定的OTA服務，需保證其數據完整性和服務完整性。數據完整性要求數據未經許可不被授權訪問和篡改[21-22]。研究表明被篡改過的數據包可能會使車輛被遠程攻擊，威脅車輛及用戶的安全[23]。服務完整性要求軟件升級全過程（下載、安裝）中未受惡意軟件或其他惡意修改的干擾（DOS攻擊、選擇性轉發、節點捕獲等）[24-25]。從開始下載軟件包到執行安裝，服務完整性均可能會受到破壞。

為避免OTA服務的數據完整性和服務完整性被破壞，應在云端及車端均驗證升級包的數據完整性，阻止對升級包未經授權的訪問及篡改（新增，刪減或修改）。此外，需構建OTA云平臺與車輛間升級包分發的安全傳輸通道，并在各節點查驗服務的完整性。因此，OTA升級的安全要求應包括：

（1）OTA升級任務發布后，需驗證目標車輛的升級包訪問權限。

（2）應確保升級包由OTA云平臺下發至目標車輛的傳輸安全性，安全傳輸通道可最大程度地確保在傳輸過程中數據未經篡改，或具備數據修改點檢測能力。

（3）在車輛從OTA云平臺下載升級包完成且未開始執行安裝之前，需將升級包安全儲存，以保證待安裝軟件包的真實性及完整性不受破壞。

（4）為避免安裝錯誤升級包帶來的問題，升級包上傳至OTA云平臺后需通過平臺的真實性、完整性驗證后才可下發，車輛下載升級包后，需在執行安裝前再次校驗升級包的完整性。

（5）應保證OTA云平臺的網絡安全水平，以發現其漏洞并保證其免受網絡攻擊，保證上傳至平臺后升級包的數據完整性以及升級指令下發后OTA服務的完整性不受破壞。

1.3 OTA升級關鍵技術現狀

1.3.1 保證數據完整性的技術

目前，OTA升級中的數據完整性保證主要通過哈希函數實現，數據真實性保證主要通過密鑰加密技術實現。

1.3.1.1 哈希函數

哈希函數可以將任意長度的數據處理得到一個唯一的、具有固定長度的哈希值，常見的哈希函數有MD5、SHA-1、SHA-256等。Checkoway等[26]在升級中將二進制的固件升級包與哈希值打包傳輸，通過對哈希值的驗證確保了固件數據的完整性，該研究的不足是驗證數據占據內存過大。Nilsson等[27]提出了一種汽車OTA協議，通過該協議可以安全地進行固件升級。該協議采用了哈希鏈和預共享加密密鑰技術來防止數據被竊聽、攔截和篡改攻擊。首先將升級包的二進制文件分成若干個數據片段，后通過反向散列為每個片段創建了一個哈希鏈，在OTA云平臺將哈希鏈的每個片段傳輸到車輛端之前，使用預共享加密密鑰對哈希鏈加密以保證數據的安全性。Byeon等[28]的研究提出一種使用哈希函數驗證汽車ECU數據完整性的系統。該系統通過哈希函數對傳輸的數據進行驗證，確保數據在傳輸和存儲過程中的完整性，從而減少ECU數據被攻擊和篡改的風險。服務器通過哈希函數對傳輸數據進行校驗，若完整性無誤則將哈希值和ECU元數據分別存儲在區塊鏈和鏈下分布式存儲中。通過驗證系統，用戶可以對ECU數據的攻擊和篡改進行驗證。

1.3.1.2 密鑰加密

（1）對稱密鑰加密

對稱密鑰加密是一種使用同一密鑰進行加密和解密的技術。這種加密方式速度快，適合加密大量數據。常見的對稱加密算法有DES、3DES、AES等。

Karim等[29]提出一種用于汽車軟件無線升級的車輛制造商與車輛間的后臺加密通信通道。該研究中，服務器只在用戶最初請求的加密通道上經過用戶批準后收集數據。該通道采用對稱密鑰加密技術，通過使用共同的密鑰，雙方可以實現安全通信，防止消息被第三方攔截和閱讀。Mahmud等[30]提出了一種智能車輛安全軟件升級技術。該技術的先決條件是，車輛制造商、軟件供應商和車輛之間共享同一組密鑰。每次軟件升級之前，軟件供應商和車輛會共享對稱密鑰。此后，軟件供應商將共享的對稱密鑰加密后的軟件發送到車輛。該研究確保系統安全性和完整性的另一方式是隨機時間間隔內向車輛發送多個軟件副本，車輛在收到至少兩個加密軟件副本后才可進行解密和安裝，以確保只有經過授權并已驗證的軟件得到安裝，從而防止未經授權或惡意軟件的入侵。

（2）對稱及非對稱結合密鑰加密

Steger等[31]的研究中提出了用于安全高效的汽車OTA軟件升級的SecUp框架，該框架通過使用對稱和非對稱密鑰結合的技術來確保所有通信的保密性和完整性，并通過使用NFC智能卡和PIN碼對設備進行身份驗證來防止未經授權的個體進行操作。同時，使用組播通信技術可以在短時間內將多輛汽車的軟件進行更新，從而提高了軟件更新的效率。升級過程中，服務器生成會話密鑰，并使用汽車公鑰加密的數據包發送給每輛汽車，完成升級包的傳輸，由車輛完成對應升級包的安裝。該框架的設計具有前瞻性和高效性，能夠保證連接車輛的軟件升級過程安全可靠。

（3）隱寫術及密碼學結合加密

隱寫術和密碼學結合可以提高通信的安全性和隱私保護有效性。隱寫術可以隱藏信息，使之不易被探測和發現，避免被攻擊者破解。密碼學則提供了各種加密算法和安全協議，使信息在傳輸過程中得到保護，只有授權的用戶才能訪問和解密信息。

Mayilsamy等[32]提出一種集成了隱寫和密碼學的方法，用于驗證數據完整性，并使用加密技術來保護云中的數據，以保證OTA升級安全進行。同時，密鑰在控制環境中經過密鑰交換程序后存儲在受信任的平臺模塊中，并使用IEEE 802.11s網狀網絡作為通信媒介進行OTA升級的安全傳輸。

（4）硬件安全模塊加密

基于硬件安全模塊的密鑰管理機制主要依靠硬件安全協議對密鑰全生命周期執行操作與管理，包括密鑰的生成、存儲以及分發等。同時，該機制還能對外提供多種密鑰服務，以滿足不同應用場景下的安全需求。

有學者設計了可執行的FOTA系統，該系統中的密鑰管理機制通過硬件安全模塊實現升級中的密鑰服務[18]。該模塊的應用從物理層面保證了密鑰的不可泄露，提高了系統對汽車客戶端的安全性和隱私保護。

Petri及其團隊[33]提出了一種基于硬件安全模塊的OTA升級技術，該技術通過網關從OTA服務器下載升級包，并用預存在硬件安全模塊中的哈希算法驗證該升級包，若驗證無誤，則將升級包傳輸到目標ECU進行安裝。這種技術的主要優點是硬件安全模塊支持多種加密算法對升級包的加密和驗證，從而防止分發給車輛的升級包被篡改或惡意注入。

1.3.2 保證服務完整性的技術

區塊鏈是一種基于分布式網絡節點和密碼學安全技術的去中心化數據管理技術，具有強大的安全性、魯棒性和可擴展性。其數據層采用了帶有公鑰的數字簽名驗證數據的真實性，同時通過哈希函數和數據塊哈希鏈驗證數據的完整性。

Steger等[34]在一項工作中引入了基于區塊鏈（Blockchain， BC）的架構來解決汽車OTA升級中的數據安全問題。在該架構中的實體有OEM、管理系統、汽車、OTA服務器，其中各個實體分別作為端點與其他實體組成集群，各集群間通過覆蓋網絡相互連接，端頭可以直接通信，系統不設中心節點，從而實現去中心化管理。軟件升級任務下發前，管理系統向云服務器發送存儲請求，請求通過驗證后云服務器會向管理系統發送包含服務器簽名及軟件包上傳所需信息的數據。當軟件包上傳至服務器后，管理系統會創建一條升級任務并寫入區塊鏈模塊并使用OEM的密鑰加密升級任務信息后廣播給車輛。作者通過驗證表明該體系結構具有優良的性能。

Dhakal等[35]提出了一種使用區塊鏈的物聯網設備固件升級模型，其中包含固件制造商、升級服務器、升級管理器和物聯網設備4個主要部分。整個升級的流程為：固件制造商開發完成軟件包后通過區塊鏈對其元數據進行管理，并通過升級服務器下發升級任務。升級管理器將升級包的元數據從區塊鏈中提取，分發到待升級的物聯網設備后，對應設備接收軟件包并啟動升級任務后執行升級。研究表明這種使用區塊鏈的物聯網設備固件升級模型可以保障升級過程的安全性和可靠性，并且提高了升級的效率。

具有安全、分散式、靈活和可擴展特性的Uptane架構目前已被應用于汽車軟件的安全升級。Uptane使用了多個TUF（The Update Framework）庫，具有多個實體和一個管理系統，以支持不同實現之間的交互。Uptane架構采用多種措施來保護軟件升級安全，包括額外的存儲區域、元數據廣播、車輛版本清單和時間服務器等機制[36]。軟件的元數據由車輛主控廣播到次ECU，以確保每個ECU具有相同的元數據。清單簽名是使用OEM提供的對稱密鑰進行簽名的，時間服務器可確保所有ECU的時間同步，從而確保車輛軟件升級服務的完整性。

為解決大規模OTA軟件升級對蜂窩網絡帶來的挑戰，Amrita及其團隊[37]提出一種OTA升級的新技術STRIDE。STRIDE可擴展到車輛中大量并發軟件升級，并基于具有密文策略屬性的加密確保端到端的安全性。為了實現更新包快速、可靠分發，該團隊還開發了一種服務于動態數據流的軟件更新調度算法，通過將蜂窩接入點的時隙動態分配給車輛，以實現最佳吞吐量。該研究通過仿真實驗證明了所提出技術的適用性，結果表明該技術在現實場景下是可實現的。

目前，基于計算輕量級的對稱密鑰及哈希函數的OTA升級技術被廣泛應用，區塊鏈技術正在成為安全OTA升級的有效途徑，而其高資源消耗的問題是制約其發展的重要原因，亟待進一步研究。具有分散式、靈活和可擴展特性的新架構已逐漸得到部分應用，未來有潛力成為OTA升級系統的重要實現方式。此外，實現從OTA云端到車端的高效、安全軟件分發仍是一個需要深入研究的關鍵方向，還應重點關注OTA升級中的數據隱私保護策略及技術?？傊?，為實現充分安全、穩定、可靠的OTA升級，行業仍需攻克很多技術難題。

2 OTA標準法規分析

2.1 國外標準法規

2.1.1 UN R156

聯合國歐洲經濟委員會（UNECE）世界車輛法規協調論壇工作組 （WP 29）于2020年6月發布法規《UN R156 關于就軟件更新與軟件更新管理系統批準車輛的統一規定》，該法規適用于M類、N類、O類、R類、S類及T類車輛[38]。UN R156的要求分為軟件升級管理體系（Software Upgrade Management System， SUMS）要求及車型認證（Vehicle Type Approval， VTA）要求兩部分，如圖3所示。

2.1.1.1 SUMS體系要求

SUMS體系是針對公司層面的體系要求，規定了過程要求、信息記錄要求、安全相關要求、在線升級附加要求。

（1）過程要求：車輛制造商需確保與法規有關的信息得以記錄和保留、所有軟件版本信息需唯一可識別、可識別目標車輛、向監管部門提供軟件識別碼登記冊及目標車輛配置文件。此外，還需評估升級系統與其他系統的相關性、與車輛配置的兼容性、升級對型式認證系統/功能/參數的影響以及對安全相關功能的影響。同時，升級需告知車輛用戶。對于具有軟件識別碼（RX SoftWare Identification Number，RXSWIN）的車型，車輛制造商要可訪問及更新其信息并且可驗證型式批準系統組件上的軟件版本信息與RXSWIN信息一致。

（2）信息記錄要求：車輛制造商應記錄和存儲的關于軟件升級的詳細信息，包括用于軟件升級流程和相關標準文件、相關型式認證系統配置的文件、對于每個RXSWIN的可審計的登記冊、升級目標車輛的配置文件以及軟件升級文檔（應包含的信息有升級目的、可能影響的系統或功能、是否影響型式認證、升級先決條件等）。

（3）安全相關要求：車輛制造商應提供證明來確保軟件升級的安全性，包括證明升級前，升級過程中受到保護的流程，以及驗證車輛所用軟件的軟件功能和代碼是合適的。

（4）在線升級附加要求：車輛制造商應演示OTA升級流程和程序，以確保升級不會影響到車輛安全，并需演示需特定或復雜操作的OTA升級過程。

2.1.1.2 VTA認證要求

車型認證要求是針對車型層面的產品要求，包括軟件升級要求及在線升級附加要求。

（1）軟件升級要求：軟件升級包的真實性和完整性須受到保護。RXSWIN/軟件版本須可通過標準接口讀取、可更新并滿足防篡改要求。

（2）在線升級附加要求：保證升級失敗后系統可恢復到上一版本或車輛置于安全狀態；滿足升級電量條件的前提才會進行升級；升級前車輛狀態滿足先決條件才會執行升級；用戶可獲取相關升級信息及升級結果；升級不可對車輛安全及駕駛安全造成影響。

車型認證的流程包括以下4個步驟：

（1）車輛制造商向國家審批機構申請VTA，并提交有關車輛的技術規格和相關文件。

（2）由認證機構/技術服務機構進行車輛測試，判斷車輛是否符合UN R156法規要求。

（3）國家審批機構根據測試報告對車輛進行審批，以確定車輛是否符合UN R156法規要求。

（4）當車輛通過UN R156法規要求的所有測試，國家審批機構向車輛制造商頒發VTA證書。

2.1.2 ISO 24089

國際標準化組織道路車輛委員會軟件升級工作組（ISO/TC 22/SC 32/WG 12）于2019年組織了ISO-24089《道路車輛 軟件升級工程》標準的編制工作，標準預計2024年發布。標準適用于所有車輛軟件升級工程的相關組織和供應商，而不僅限于OEM。標準所描述的軟件升級方法包括有線升級、OTA升級以及硬件更換[39]。在實際應用中，組織和供應商可以根據需要對這些方法進行選擇和組合，以滿足特定的軟件升級需求。

ISO 24089的整體框架如圖4所示。標準的第4章、第5章分別從組織及項目層面對軟件升級工程提出了相應的要求。組織層面的要求旨在于確保參與軟件升級工程的組織能夠高效管理項目，并在項目過程中進行適當地規劃和監控，以確保軟件升級能夠按時完成并達到預期的目標和質量要求。同時，也要求組織之間合作和信息共享，以加強整個軟件升級工程的有效性和效率。項目層面的軟件升級要求主要覆蓋了制定及實施軟件升級項目的計劃、管理并存儲相關資料、提供裁剪行為的適用性原理并確?；A架構與車輛系統的互操作性。第6章、第7章分別提出了基礎架構及車輛/車輛系統層面的功能要求。大致包括風險管理、車輛配置信息管理、軟件升級活動信息管理及升級包管理。第8章、第9章分別規定了升級包裝配發布及軟件升級活動的相應流程。在執行軟件升級操作之前，需要對獲取用戶同意；在軟件升級期間，需要對軟件升級過程進行記錄和跟蹤；在軟件升級完成之后還需要對升級結果進行評估，并記錄相關的證據以供審核和驗證。

2.2 國內標準及要求

工業和信息化部裝備工業發展中心發布的《關于開展汽車軟件在線升級備案的通知》于2022年4月15日起正式實施[40]。對于汽車企業而言，備案要求企業加強技術能力，做好相關管理和控制，確保在線升級流程的安全性和穩定性，同時保障用戶的隱私權和權益。備案內容主要包括企業管理能力、車型及功能以及具體升級活動3個方面。首先，企業需要證明具備OTA體系管理能力，包括在線升級的設計、開發、測試、驗證和發布等環節的管理。其次，汽車企業需要明確車型和功能范圍，識別能夠進行OTA升級的功能和控制器，并且要評估升級對車輛安全、能效、環保、防盜等方面的影響。最后，企業需要提供具體升級活動的相關報告，確保升級活動的安全性和穩定性。

標準方面，汽標委智能網聯汽車分標委制定了《汽車軟件升級通用技術要求》，該標準預計2024年發布[41]。該標準的內容參考了UN R156法規，主體要求包括軟件升級管理體系要求和車輛要求，并在此基礎上補充了車輛試驗方法?！镀囓浖壨ㄓ眉夹g要求》中軟件升級管理體系要求包括一般要求、過程要求、信息記錄要求、安全相關要求及在線升級附加要求。與UN R156法規要求相比，該標準明確指出了車輛制造商應具備軟件升級管理體系，規定了信息存儲的時限至少至車型停產后10年，并要求企業具備對于軟件升級相關突發事件的應急處理能力。在車輛要求上，與UN R156法規要求相比，《汽車軟件升級通用技術要求》中增加了用戶確認以及車門防鎖止兩項要求。

對于國外主要OTA標準法規的分析可知，UN R156為車輛制造商建立汽車軟件管理體系和進行具有軟件升級功能的車型開發提供了指導；ISO24089則在工程開發層面上對企業OTA能力提出要求并給出示例。針對我國OTA監管現狀，目前多部委監管的側重點不同，備案的監管重點集中在升級過程的合規性及升級結果的符合性，而國標集中在系統升級策略的合理性。未來OTA升級標準法規體系將會向更加全面的方向發展，覆蓋OTA產品級、系統級、部件級等多維度，如規范OTA云平臺技術標準、增加用戶體驗相關標準、完善供應商管控規范等。軟件升級相關標準的制定及實施，將對車輛制造商提出一定的要求，這有利于確保汽車軟件升級安全及其整體性能和操作穩定性，更有助于提高市場規范化程度，保障消費者權益。

3 企業OTA能力建設建議

OTA升級技術已經成為現代汽車技術發展的趨勢之一，對于車輛制造商而言，OTA升級技術的應用可幫助企業快速響應市場變化和技術變革，提高汽車的質量和性能，為用戶提供更好的用戶體驗。但同時，OTA升級技術也面臨著安全性和隱私性等方面的挑戰，需要企業加強技術研發，加強安全和隱私保護，落實法律法規和監管要求。

（1）軟件升級管理體系建設方面：企業應建立、健全軟件升級管理體系，覆蓋軟件升級全生命周期的管理制度及規范流程，并關注軟件升級相關活動的策略及實施細節的信息記錄與存儲。企業還應設置相應的安全策略保證升級的可靠進行，并對軟件升級進行全面性評估，評估重點主要包括其對型式認證相關參數/系統或車輛安全相關功能的影響，以及待升級系統/功能與其他車輛系統/功能的相關性和與車輛現有配置的兼容性等。為確保對軟件升級突發事件得到有效處理，企業應專門建立針對軟件升級事件的風險控制制度及應急響應流程。此外，軟件升級管理體系合規有效的關鍵點是應用，因此企業在具體車型開發中需切實應用管理體系，實現制度的落地實施。企業應積極參與監管機構審查，以確保OTA升級應用符合法律法規和監管要求，并保持與行業伙伴的溝通。

（2）車型開發方面：根據相關OTA標準法規的要求，形成企業內部更為具體詳細的OTA技術標準，開發過程中需加強OTA升級技術的研究和開發，重視技術安全問題，重點關注OTA數據完整性、服務完整性及通信安全3部分。應選用更先進的簽名技術及密鑰技術保護數據的真實性及機密性，采用更安全的架構保證升級服務的完整性，同時應采用更加安全的通信協議保證傳輸過程的安全性。應在升級過程中對數據進行監測和驗證，防止出現數據泄露和惡意攻擊等問題，且需加強用戶隱私保護和數據安全管理，例如通過數據加密、權限控制和信息追蹤，確保用戶數據的安全性。企業還需構建完善的OTA 測試能力，覆蓋法規測試及研發階段的軟件升級全鏈條測試能力，建立豐富的測試用例庫，測試內容應包括OTA信息安全檢測、OTA性能檢測、OTA壓力測試、OTA健壯測試、OTA功能測試等。測評體系的建立有助于提高研發過程中的可控性，從而保證車輛OTA升級的質量和穩定性。

4 結束語

介紹了汽車OTA架構以及通用的升級流程，重點關注OTA軟件更新服務的安全性和完整性問題，通過對OTA升級相關研究的分析，總結了目前OTA升級關鍵技術的特點。同時，對國內外的汽車軟件升級相關法規及標準進行分析，并基于此為車輛制造企業提出OTA能力建設建議?？偨Y如下：

（1）為保證完整穩定的OTA服務，需保證其數據完整性和服務完整性。

（2）保證OTA數據完整性的主要技術有哈希函數、密鑰加密等，保證OTA服務完整性的主要手段有應用區塊鏈技術、設計OTA新架構等。

（3）目前對OTA的監管主要集中在企業汽車軟件升級管理體系及具體車型升級要求2方面。滿足標準及法規提出的OTA能力要求可保障汽車軟件升級的安全穩定性，進一步規范OTA市場。

參 考 文 獻

[1] LE V H， HARTOG J D， ZANNONE N. Security and Privacy for Innovative Automotive Applications a Survey[J]. Computer Communications， 2018（132）： 17-41.

[2] GUISSOUMA H， HOHL C P， LESNIAK F. Lifecycle Management of Automotive Safety-Critical Over the Air Updates： A Systems Approach[J]. IEEE Access， 2022（10）： 57696.

[3] PHAM M， XIONG K. A Survey on Security Attacks and Defense Techniques for Connected and Autonomous Vehicles， Computers & Security， 2021（109）： 102269.

[4] CHATTOPADHYAY A， LAM K Y， TAVVA Y. Autonomous Vehicle： Security by Design[J]. IEEE Transactions on Intelligent Transportation Systems， 2021， 22 （11）： 7015-7029.

[5] DAJSUREN Y， MARK B. Automotive Systems and Software Engineering： State of the Art and Future Trends[M]. Springer， 2019.

[6] NILSSON D K， PHUNG P H， LARSON U E. Vehicle ECU Classification based on Safety-Security Characteristics[C]//IET Road Transport Information and Control and ITS United Kingdom Members Conference， 2008： 1-7.

[7] RIGGS C， RIGAUD C， BEARD R， et al. A Survey on Connected Vehicles Vulnerabilities and Countermeasures[J]. Journal of Traffic and Logistics Engineering， 2019， 6（1）： 11-16.

[8] 王棟梁， 湯利順， 陳博. 智能網聯汽車整車OTA功能設計研究[J]. 汽車技術， 2018， 517（10）： 33-37.

[9] IDREES M S， SCHWEPPE H， ROUDIER Y， et al. Secure Automotive on-board Protocols： a Case of Over-the-air Firmware Updates[J]. Lecture Notes in Computer Science， 2011（6596）： 224-238.

[10] KHURRAM M， KUMAR H， CHANDAK A， et al. Enhancing Connected Car Adoption： Security and over the Air Update Framework[C]// IEEE World Forum on Internet of Things， Reston， VA， 2016： 194-198.

[11] 宋偉， 胡巧聲， 唐俊安. 空中下載技術在商用車上的應用[J]. 汽車電器， 2019（12）： 8-11.

[12] ABI Research. Adoption of Automotive Software Over-the-Air Updates [EB/OL]. （2019-11-15） [2023-07-05]. https：//www.abiresearch.com/press/abi-research-anticipates-accelerated-adoption-auto/.

[13] NIE S， LIU L， DU Y. Free-fall： Hacking Tesla From Wireless to Can Bus[C]// Black Hat USA， 2017.

[14] 湯偉強. 主動式汽車安全帶控制系統開發及OTA遠程升級研究[D]. 上海： 華東理工大學， 2022.

[15] HALDER S， CONTI M， DAS S K， A Holistic Approach to Power Efficiency in a Clock Offset based Intrusion Detection Systems for Controller Area Networks[J]. Pervasive and Mobile Computing， 2021（73）： 101385.

[16] KIM K， KIM J S， JEONG S， et al. Cybersecurity for Autonomous Vehicles： Review of Attacks and Defense[J]. Computers & Security， 2021， 103（4）： 102150.

[17] FENG S， FENG Y， YAN X， et al. Safety Assessment of Highly Automated Driving Systems in Test Tracks： A new Framework[J]. Accident Analysis & Prevention， 2020， 14.

[18] 譚凡. 智能網聯汽車FOTA系統安全機制的研究與實現[D]. 成都： 電子科技大學， 2020.

[19] 高潔，汪慶. 一種電動汽車軟件OTA升級服務平臺的設計方案[J]. 電腦知識與技術， 2017， 13（8）： 209-211.

[20] 董曉慧. 面向車載域控制器架構的安全 FOTA 升級方法研究[D]. 長春： 吉林大學， 2022.

[21] FONGEN A. Identity Management and Integrity Protection in the Internet of Things[C]//International Conference on Emerging Security Technologies， Lisbon， Portugal， 2012.

[22] MATHUR R， AGARWAL S， SHARMA V. Solving Security Issues in Mobile Computing Using Cryptography Techniques-A Survey[C]//International Conference on Computing， Communication and Automation， 2015： 492-497.

[23] KNOCKEL J， CRANDALL J R. Protecting Free and Open Communications on the Internet Against Man-inthe-middle Attacks on Third-party Software： were FOCId[C]// USENIX Workshop on Free and Open Communications on the Internet， Bellevue， WA， 2012.

[24] KUPPUSAMY T K， DELONG L A， CAPPOS J. Uptane：? ?Security and Customizability of Software Updates for Vehicles[J]. IEEE Vehicular Technology Magazine， 2018， 13（1）： 66-73

[25] 胡文， 姜立標. 智能網聯汽車的多級安全防護方案設計和分析[J]. 網絡安全技術與應用， 2017， 2（2）： 136-138+140.

[26] CHECKOWAY S， MCCOY D， KANTOR B， et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[C]//Proceedings of USENIX Security Symposium， 2011： 77-92.

[27] NILSSON D K， LARSON U E. Secure Firmware Updates Over the Air in Intelligent Vehicles[C]//Proceedings of IEEE International Conference on Communications Workshops， 2008， 380-384.

[28] BYEON， SANG P， KIM， et al. ECU Data Integrity Verification System Using Blockchain[J]，Journal of Industrial Convergence，2022， 11（20）： 57-63

[29] MANSOUR K， FARAG W， ELHELW M. AiroDiag： A Sophisticated Tool that Diagnoses and Updates Vehicles Software Over Air[C]//IEEE International Electric Vehicle Conference， Greenville， SC， USA， 2012： 1-7.

[30] MAHMUD S M， SHANKER S， HOSSAIN I. Secure Software Upload in an Intelligent Vehicle via Wireless Communication Links[C]//Proceedings of IEEE Intelligent Vehicles Symposium， 2005： 588-593.

[31] STEGER M， KARNER M， HILLEBRAND J， et al. Generic Framework Enabling Secure and Efficient Automotive Wireless SW Updates[C]//Proceedings of IEEE 21st International Conference on Emerging Technologies and Factory Automation， 2016： 1-8.

[32] MAYILSAMY K， RAMACHANDRAN N， RAJ V S. An integrated approach for data security in vehicle diagnostics over internet protocol and software update over the air[J]. Computers & Electrical Engineering. 2018（71）： 578-593.

[33] PETRI R， SPRINGER M， ZELLE D， et al. Evaluation of Lightweight TPMs for Automotive Software Updates Over the Air[C]//Proceedings of 4th International Conference on Embedded Security in Car USA， 2016： 1-15.

[34] STEGER M， DORRI A， KANHERE S S， et al. Secure Wireless Automotive Software Updates Using Blockchains： a Proof of Concept[C]//Proceedings of 22nd International Forum on Advanced Microsystems for Automotive Applications， 2018： 137-149.

[35] DHAKAL S， JAAFAR F， ZAVARSKY P. Private Blockchain Network for IoT Device Firmware Integrity Verification and Update[C]//IEEE Internationa Symposium on High Assurance Systems Engineering， 2019： 164-170.

[36] MAHMOOD S， NGUYEN H N， SHAIKH S A. Systematic Threat Assessment and Security Testing of Automotive Over-the-Air （OTA） Updates[J]. Vehicular Communications， 2022（35）： 100468.

[37] GHOSAL A， HALDER S， CONTI M. Secure Over-the-Air Software Update for Connected Vehicles[J]. Computer Networks， 2022（218）： 109394.

[38] UNITED NATIONS. Software Update and Software Update Management System， UN Regulation No. 156 [S/OL]. （2020-04-04） [2023-07-05]. https：//unece.org/sites/default/files/2021-03/R156e.pdf.

[39] ISO/TC 22/SC 32. Road vehicles—Software update engineering， Standard ISO 24089 [S/OL]. （2023-02） [2023-07-05]. https：//www.iso.org/obp/ui/en/#iso：std：iso：24089：ed-1：v1：en

[40] 工業和信息化部裝備工業發展中心. 關于開展汽車軟件在線升級備案的通知 [2022]229號[S/OL]. （2022-04-15） [2023-07-05]. http：//www.miit-eidc.org.cn/art/2022/4/15/art_54_30478.html.

[41] 工業和信息化部裝備工業一司. 《汽車軟件升級通用技術要求》征求意見稿[EB/OL]. （2022-06-17） [2023-07-05].https：//www.miit.gov.cn/jgsj/zbys/qcgy/art/2022/art_c18

78e9460a74860a37bd3964436116d.html.

（責任編輯 明慧）

【作者簡介】

王婧璇（1997—），女，中國汽車工程研究院股份有限公司，工程師，研究方向為汽車軟件在線升級技術及法規。

E-mail：wangjingxuan@caeri.com.cn