OTA 升級(jí)的安全性如何保障？

OTA 升級(jí)的安全性可以通過(guò)多種方式來(lái)保障。

首先，整車(chē) OTA 系統(tǒng)主要分為云端、車(chē)端、通訊端三部分。云端負(fù)責(zé)諸多管理功能，車(chē)端要進(jìn)行升級(jí)條件判斷等操作，通訊端負(fù)責(zé)報(bào)文傳輸和升級(jí)包下載。

目前常見(jiàn)的 OTA 升級(jí)校驗(yàn)?zāi)Ｊ接谢?HASH 算法的完整性校驗(yàn)和基于簽名算法的簽名校驗(yàn)。但前者安全性較低，易被攻擊者篡改 HASH 值和校驗(yàn)邏輯；后者能保證升級(jí)包整包的合法性和完整性，但在升級(jí)過(guò)程中無(wú)法對(duì)目標(biāo) ECU 升級(jí)包進(jìn)行二次驗(yàn)證，存在安全隱患。

為保障安全性，可基于數(shù)字簽名和消息認(rèn)證碼設(shè)計(jì)安全的 OTA 升級(jí)方法。數(shù)字簽名能確認(rèn)信息來(lái)源，防止偽造、抵賴(lài)、篡改等，常見(jiàn)算法有多種。消息認(rèn)證碼分基于分組密碼和基于哈希的，各有特點(diǎn)和適用場(chǎng)景。

在整車(chē) OTA 安全設(shè)計(jì)中，由于車(chē)端 UC-Master 只能對(duì) OTA 升級(jí)整包進(jìn)行校驗(yàn)，多數(shù) ECU 不具備多線程多任務(wù)處理能力且不支持集成第三方 SDK，所以在 OTA 升級(jí)過(guò)程中，OEM 廠商可在車(chē)端 UC-Master 中集成 PKI-SDK，實(shí)現(xiàn)基于數(shù)字簽名的升級(jí)校驗(yàn)。ECU 根據(jù)自身軟硬件架構(gòu)，用數(shù)字簽名或哈希消息認(rèn)證碼進(jìn)行二次校驗(yàn)，以充分保障整車(chē) OTA 升級(jí)的安全性、可靠性。

車(chē)輛 OTA 信息安全存在風(fēng)險(xiǎn)來(lái)源，包括云服務(wù)器端、網(wǎng)絡(luò)傳輸端、車(chē)輛終端、外部互聯(lián)設(shè)備端。應(yīng)對(duì)措施包括建立 OTA 數(shù)據(jù)安全閉環(huán)，在云服務(wù)器、網(wǎng)絡(luò)傳輸、車(chē)輛終端層面采取相應(yīng)安全措施；構(gòu)建 OTA 數(shù)據(jù)安全管理制度，車(chē)企建立相關(guān)體系，納入產(chǎn)品開(kāi)發(fā)全過(guò)程；完善車(chē)輛 OTA 數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)體系，明晰具體要求，落實(shí)責(zé)任判定與處罰，吸收國(guó)際經(jīng)驗(yàn)。

在汽車(chē) OTA 升級(jí)中，要確保車(chē)輛在合適的時(shí)間、地點(diǎn)和狀態(tài)下完成升級(jí)。升級(jí)前云端與車(chē)輛通訊監(jiān)測(cè)車(chē)輛狀態(tài)，符合要求后用戶收到升級(jí)提醒，可選擇多種升級(jí)方式。獲取軟件包后進(jìn)行安全性和完整性校驗(yàn)，中間出錯(cuò)有斷點(diǎn)續(xù)傳和回滾機(jī)制等保護(hù)方式。車(chē)端升級(jí)完成后向云端報(bào)告情況，用于優(yōu)化升級(jí)策略。