一種整車OTA升級的方法和系統(tǒng)

張鐵欣

長城汽車股份有限公司 河北省汽車技術創(chuàng)新中心，河北保定，071000

0 引言

通常情況下，OTA更新內(nèi)容要經(jīng)過廠商的反復測試之后進行封裝，云端服務器通過蜂窩網(wǎng)絡和車輛建立連接并且傳輸文件，車上的OTA管理單元會負責管理這些文件，確認什么時候把它們下發(fā)給負責各個模塊的ECU控制單元，并且在更新完成后向服務器反饋。

目前常見的OTA升級主要還是針對多媒體系統(tǒng)，如導航、娛樂、舒適性配置等（如圖1所示），只有個別廠商會對駕駛輔助、動力單元等進行升級。

圖1 車輛升級過程

隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展，車輛信息安全變得越來越重要，因此，保證OTA升級過程的安全性是智能化、網(wǎng)聯(lián)化的前提。

在車聯(lián)網(wǎng)信息安全上，車輛主要涉及的網(wǎng)聯(lián)部件包括上層的車機娛樂系統(tǒng)、T-BOX聯(lián)網(wǎng)模塊、車內(nèi)網(wǎng)關以及車輛底層的各個ECU模塊。除車輛端之外，還包含云端車聯(lián)網(wǎng)平臺和車輛手機APP終端。針對不同的零部件，主要安全威脅也不盡相同。常見的安全威脅包括藍牙、Wifi等無線協(xié)議棧的安全漏洞、OTA升級安全防護缺陷、網(wǎng)絡通訊被劫持等。

汽車電子電氣架構正朝著 “為智能化體驗服務” 方向演變。集中式電子電氣架構勢在必行并且需求迫切。在未來集中式E/E 架構盛行的時代，將繼續(xù)以服務為導向，開始跨域融合發(fā)展，把更多的功能集成到一個或幾個高性能的計算單元，為軟件提供高性能實時計算平臺。在這樣的理念下，催生真正的車載計算平臺。汽車逐漸走向智能化勢在必行，越來越多曾看似難以實現(xiàn)的功能將持續(xù)被引入并實現(xiàn)。這也就意味著，作為汽車智能化基底的電子電氣架構，在現(xiàn)如今盛行的模塊化、集中化架構的基礎上，探索執(zhí)行更加高效的架構來保證未來海量數(shù)據(jù)的高速吞吐、采集數(shù)據(jù)的實時處理、跨域數(shù)據(jù)的無界交互。

1 現(xiàn)有技術的缺點

目前，在OTA升級過程中，短期升級考慮的主要是安全性問題，保證升級文件下載過程和刷寫過程的安全，而長期問題主要是升級包管理和升級管理，OTA云平臺主要包括升級模型管理、升級包管理、升級任務、升級策略和日志管理。

在OTA升級面臨的所有挑戰(zhàn)中，最為關鍵的一項是如何準確識別車輛配置和實現(xiàn)車輛配置升級包的可配置化（SOA）功能。目前很多廠商手中并沒有置信水平可靠的車輛軟件配置表，因此很難保證能為所有車輛選擇合適的軟件。因此，在保證安全的前提下，如何提高云端和車輛端傳輸軟件包的可靠度至關重要。

2 本發(fā)明創(chuàng)造要解決的技術問題與優(yōu)點

本發(fā)明目的：

（1）建立一種OTA升級加解密的方法和流程，保證升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性；

（2）建立一種SOA配置管理系統(tǒng)，準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現(xiàn)SOA服務的定制化。

本發(fā)明與現(xiàn)有技術相比的優(yōu)點在于：本發(fā)明所涉及的一種整體OTA升級系統(tǒng)建立了一種OTA升級加密的方法和流程，保證了升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性，并建立了一種SOA配置管理系統(tǒng)，準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現(xiàn)SOA服務的定制化；其中大數(shù)據(jù)中心儲存原始固件升級軟件，營銷人員根據(jù)車輛的售出狀態(tài)，向后臺服務器系統(tǒng)申請開通OTA升級權限，后臺服務器接收營銷人員的開通申請后，構建控制指令，通過后臺將客戶數(shù)據(jù)發(fā)送至公司大數(shù)據(jù)中心，大數(shù)據(jù)中心管理客戶數(shù)據(jù)及提供軟件升級程序；本發(fā)明提供了身份認證安全，通過對稱和非對稱加密算法相結合的方式，實現(xiàn)人、車和后端管理平臺的保密通信，并為人、車簽發(fā)電子身份證，用于后期兩端的身份驗證；本發(fā)明能保證協(xié)商過程的一次一密，會話密鑰的高安全性、用戶的真實性；保證用戶身份認證的安全性。本發(fā)明通過中央計算單元采集智能識別系統(tǒng)的人臉信息，設計合理，值得大力推廣。

3 本專利申請技術方案的詳細內(nèi)容

（1）系統(tǒng)技術方案[1]。一種整體OTA升級系統(tǒng)包括服務器端1、后臺服務器2、大數(shù)據(jù)中心3、遠程信息處理器4、操作模塊5、中央計算單元6和智能識別系統(tǒng)7。其升級流程（如圖2所示）：服務器端1與后臺服務器2進行數(shù)據(jù)傳輸，通過服務器端1將客戶數(shù)據(jù)上傳至后臺服務器2，后臺服務器2再將客戶數(shù)據(jù)上傳至大數(shù)據(jù)中心3，大數(shù)據(jù)中心3接收到客戶數(shù)據(jù)后給后臺服務器2反饋信息，后臺服務器2根據(jù)配置選擇軟件升級程序，將選擇的軟件升級程序下載至車輛的遠程信息處理器4中，遠程信息處理器4接收到軟件升級程序后反饋新車配置及升級完畢信息，并將數(shù)據(jù)透傳至操作模塊5，駕駛員通過操作模塊5操作，操作結束后操作模塊5將新車配置及升級完畢信息反饋至遠程信息處理器4，操作模塊5再將數(shù)據(jù)透傳至中央計算單元6，中央計算單元6將人臉信息上傳至智能識別系統(tǒng)7。

圖2 系統(tǒng)技術方案

本系統(tǒng)是OTA實現(xiàn)的系統(tǒng)方案，其大數(shù)據(jù)中心儲存原始固件升級軟件，營銷人員根據(jù)車輛的售出狀態(tài)，向TSP系統(tǒng)申請開通OTA升級權限。TSP接收營銷人員的開通申請后，構建控制指令，通過后臺將客戶數(shù)據(jù)發(fā)送到長城公司大數(shù)據(jù)中心，長城公司大數(shù)據(jù)中心管理客戶數(shù)據(jù)及提供軟件升級程序。

（2）OTA升級流程圖。

所述OTA升級系統(tǒng)的升級流程如圖3所示，具體描述如下。步驟1，開始，大數(shù)據(jù)中心建立汽車升級軟件庫。步驟2，后臺服務器2匹配與個人車輛相應的升級軟件包。

圖3 OTA升級流程圖

步驟3，云端向個人車輛發(fā)送個人賬戶下的個人車輛的系統(tǒng)更新信息。

步驟4，車輛遠程信息處理器4下載系統(tǒng)更新固件。

步驟5，車輛遠程信息處理器4校驗系統(tǒng)更新固件的數(shù)據(jù)完整性。

步驟6，系統(tǒng)更新固件的數(shù)據(jù)是否完整；若是，繼續(xù)執(zhí)行步驟7；若否，返回執(zhí)行步驟2。

步驟7，車輛中央計算單元6與后臺校驗升級軟件包對應的配置。

步驟8，車輛中央計算單元6判斷該車輛是否可以進行汽車電子單元的系統(tǒng)升級；若是，繼續(xù)執(zhí)行步驟9；若否，返回執(zhí)行步驟2。

步驟9，中央計算單元6通過操作模塊5，即FOTA主控節(jié)點控制整車升級操作。

步驟10，中央計算單元6循環(huán)判斷升級過程是否結束；若是，繼續(xù)執(zhí)行步驟11；若否，返回執(zhí)行步驟9。

步驟11，中央計算單元6通過遠程信息處理器4向云端發(fā)送反饋信息，使云端停止向個人賬戶發(fā)送該車輛的系統(tǒng)升級信息，并在后臺記錄個人車輛配置。

（3）OTA升級加解密的方法和SOA配置校驗升級[2]。

圖4 OTA升級加解密過程

OTA升級加解密過程從車輛端描述主要分以下幾步：①從云端校驗控制指令，并下載升級包到車輛端T-BOX上；②從T-BOX經(jīng)加、解密傳輸?shù)紺CU上；③CCU與后臺TSP端校驗配置；④選擇升級包并下載升級包存儲到CCU上；⑤CCU控制整車升級。

基于5G技術中的IPV6協(xié)議實現(xiàn)以下操作。①從云端校驗控制指令，并下載升級包到車輛端T-BOX上，校驗車輛信息。

本實施例基于對稱和非對稱加密算法，利用對稱加密算法對第一加密密鑰數(shù)據(jù)摘要和摘要簽名進行加密，然后基于非對稱加密算法，利用待升級設備的公鑰對數(shù)據(jù)密文進行加密并比較數(shù)據(jù)的一致性，從而實現(xiàn)對升級包的雙重加密。使得升級包在傳輸過程中的保密性更強，更難以被逆向，保證了升級包中用戶的隱私信息不被泄漏[3]。

②從T-BOX經(jīng)加、解密傳輸?shù)紺CU上。

從T-BOX到CCU可以使用在T-BOX上增加ECC加密加速器、惠而浦散列引擎、AES加密加速器、哈希加速器引擎、RAM、ROM、專用安全CPU、隨機數(shù)發(fā)生器和偽隨機數(shù)生成器等方案來實現(xiàn)，此方案符合EVITA FULL,信息安全能達到最高等級。

③CCU與后臺TSP端校驗車輛信息和人員信息。

本發(fā)明公開了一種發(fā)放、獲取移動終端證書及汽車端芯片證書的方法、設備，方案中提供了身份認證安全，通過對稱和非對稱加密算法相結合的方式，實現(xiàn)人、車和后端管理平臺的保密通信，并為人、車簽發(fā)電子身份證，用于后期兩端的身份驗證。本發(fā)明能保證協(xié)商過程的一次一密、會話密鑰的高安全性、用戶的真實性，解決了“我就是我的問題”，保證了用戶身份認證的安全性。

在整車上，通過CCU采集智能識別系統(tǒng)DMS的人臉信息，與后臺TSP驗證獲得CCU的電子身份證，確保了車輛的合法性和人員的合法性，實現(xiàn)了信息的唯一性。

④選擇升級包、下載升級包存儲到CCU上，校驗車輛配置信息，并可選擇地實現(xiàn)車輛配置可選。

HUT通過CCU的源碼配置文件包比對，編譯定制配置，準確地識別云端車輛配置對應的升級包及對比升級包對應車輛端的配置，實現(xiàn)配置的可選擇定制，

CCU主要是實現(xiàn)源碼管理服務器、版本管理服務器、儲存鏡像文件、控制軟件包升級、升級任務、升級策略和日志管理功能[4]。⑤CCU控制整車升級。

在車輛中心化電子電氣架構中，整車信息安全防護更加復雜，比如在上述方案中同樣需對HUT和DMS端做信息安全防護，但不屬于本發(fā)明的主要保護方向，因此整車級信息安全防護和升級過程在此不做詳述。

（4）SOA概念。SOA是英文詞語“Service Oriented Architecture”的縮寫，中文有多種翻譯，如“面向服務的體系結構”“以服務為中心的體系結構”和“面向服務的架構”，其中“面向服務的架構”比較常見。SOA有很多定義，但基本上可以分為兩類：一種認為SOA主要是一種架構風格；另一種認為SOA是包含運行環(huán)境、編程模型、架構風格和相關方法論等在內(nèi)的一整套新的分布式軟件系統(tǒng)構造方法和環(huán)境，涵蓋服務的整個生命周期：建模-開發(fā)-整合-部署-運行-管理。后者概括的范圍更大，著眼于未來的發(fā)展，我們更傾向于后者，認為SOA是分布式軟件系統(tǒng)構造方法和環(huán)境的新的發(fā)展階段。

國際企業(yè)中，德國大眾和特斯拉在SOA上做了很多嘗試，但由于其系統(tǒng)封閉性，無法推廣到整個行業(yè)，且沒有提供服務接口和開發(fā)者平臺，平臺沒辦法擴大影響范圍。目前，我國汽車產(chǎn)業(yè)的軟件賦能實踐過程中需要開發(fā)者快速地、自由地聚焦在上層的業(yè)務邏輯，降低開發(fā)門檻，縮短整個軟件的迭代周期。具有這樣特性的開發(fā)者平臺才能夠為開發(fā)者提供專業(yè)技術支持、開發(fā)者學院課程，并組建開發(fā)者社區(qū)提供交流平臺[5]。

SOA開發(fā)者平臺作為智能車生態(tài)的接入側(cè)，承擔了智能汽車生態(tài)搭建的重要作用，成為OEM、應用開發(fā)者與終端用戶的橋梁，為生態(tài)的繁榮提供了強有力的保證，繁榮整個汽車生態(tài)。

我國具有代表性的汽車企業(yè)通過對SOA開發(fā)者平臺的自主自研，進一步豐富智能車車云能力，孵化新形態(tài)、新體驗的跨端應用。平臺將為開發(fā)者提供智能應用的驗證、商城上架及持續(xù)運營的完整方案，賦終端用戶實現(xiàn)車輛軟件功能的自由訂閱、千人千面用車體驗和價值共創(chuàng)。

目前SOA開發(fā)者平臺提供了豐富的軟件組件和基礎設施，上汽零束SOA 生態(tài)合作伙伴也能夠通過開發(fā)者平臺接入。

SOA軟件平臺框架為行業(yè)首創(chuàng)的車載軟件框架，可實現(xiàn)整車硬件的全數(shù)字化、軟件的全服務化、接口的全標準化，可實現(xiàn)域控制器間、車端與云端能力及擴展IOT 的全面打通融合和全域智能化。

4 本專利的創(chuàng)新點

（1）車輛通過從T-BOX到CCU，實現(xiàn)了車輛合法性和人員合法性的三重認證，保證升級過程的真實性、保密性、完整性、可用性、不可抵賴性和可控性，如圖5所示。

圖5 三重認證過程

（2）HUT通過軟件包定制配置，實現(xiàn)了準確地識別云端車輛配置對應的升級包及對比車輛端的配置，提高升級過程的可靠度，實現(xiàn)了SOA的配置服務定制化，如圖6所示。

圖6 SOA配置服務化

5 本方案車輛端適用的架構

中央計算機-層-區(qū)的概念將建立起智能汽車的新架構（如圖7所示），區(qū)是局部控制、感知與執(zhí)行單元，層是按照職能劃分的資源池，中央計算機是決策大腦，面向應用/服務，調(diào)用各層資源，執(zhí)行高級決策，由區(qū)控制單元執(zhí)行決策或完成態(tài)勢感知任務。

圖7 車輛中心化電子電氣架構

6 技術方案中出現(xiàn)的專業(yè)術語解釋

（1）OTA（over the air technology）即空中下載技術。OTA技術的應用使得移動通信不僅可以提供語音和數(shù)據(jù)服務，而且還能提供新業(yè)務下載，是一種更快的無線技術。它重點解決了一個空間距離的問題，也就是用戶不再需要把車開到4S店，在任何一個有網(wǎng)絡的地方就可以解決部分問題。

（2）SOA即service oriented architecture的縮寫，是面向服務的架構，它提供了一種構建IT組織的標準和方法，并通過建立可組合、可重用的服務體系來減少IT業(yè)務冗余并加快項目開發(fā)的進程。

（3）數(shù)據(jù)加密技術主要分為對稱加密算法和非對稱加密算法兩種。①對稱加密算法。對稱加密算法也稱為私鑰加密算法，是指加密密鑰和解密密鑰相同，或者雖然不同，但從其中的任意的一個可以很容易地推導出另一個。其優(yōu)點是具有很高的保密強度，但密鑰的傳輸需要經(jīng)過安全的途徑。對稱加密算法有兩種基本類型，分別是分組密碼和序列密碼。分組密碼是在明文分組和密文分組上進行運算，序列密碼是對明文和密文數(shù)據(jù)流按位或字節(jié)進行運算。常見的對稱加密算法包括瑞士的國際數(shù)據(jù)加密算法和美國的數(shù)據(jù)加密標準。②非對稱加密算法。非對稱加密算法也稱為公鑰加密算法，是指加密密鑰和解密密鑰完全不同，其中一個為公鑰，另一個為私鑰，并且不可能從任何一個推導出另一個。它的優(yōu)點在于可以適應開放性的使用環(huán)境，可以實現(xiàn)數(shù)字簽名與驗證。

7 結語

本發(fā)明通過構建OTA升級系統(tǒng)，提高了云端和車輛端軟件包匹配的可靠度，并實現(xiàn)了配對軟件包的可編輯，從而能夠保證提供所有車輛選擇合適的軟件,尤其適配L3級以上車聯(lián)網(wǎng)技術架構。