汽車軟件在線升級(jí)關(guān)鍵技術(shù)及監(jiān)管要求分析

王婧璇 文海鷗 陳亞翔

【摘要】隨著軟件定義汽車時(shí)代的到來(lái)，汽車軟件升級(jí)技術(shù)應(yīng)用的必要性愈發(fā)突出，為了避免汽車軟件在線升級(jí)中潛在的安全風(fēng)險(xiǎn)，車輛制造商需保證產(chǎn)品在線升級(jí)（OTA）的安全性。針對(duì)當(dāng)前汽車OTA面臨的挑戰(zhàn)，從數(shù)據(jù)完整性及服務(wù)完整性2方面總結(jié)了OTA升級(jí)關(guān)鍵技術(shù)的發(fā)展現(xiàn)狀，分析了現(xiàn)有軟件升級(jí)管理法規(guī)要求，并在此基礎(chǔ)上提出企業(yè)OTA能力建設(shè)方面的建議。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車；軟件升級(jí)；OTA安全

中圖分類號(hào)：U461.99；F426? 文獻(xiàn)標(biāo)志碼：A? DOI： 10.19822/j.cnki.1671-6329.20230196

Analysis on Key Technology and Regulatory Requirement for Automotive Over the Air Update

Wang Jingxuan， Wen Haiou， Chen Yaxiang

（China Automotive Engineering Research Institute Co.， Ltd.， Chongqing 404100）

【Abstract】 With the advent of the software-defined automobile era， the necessity of the application of automobile software update technology becomes more and more prominent. To avoid potential security risks， vehicle manufacturer needs to ensure OTA security of the product. In view of the current challenges faced by OTA， the development status of key technologies for OTA update is summarized from the aspects of data integrity and service integrity. The requirements of existing software update management laws and regulations are analyzed， and the corresponding OTA capacity building suggestions are put forward to vehicle manufacturers.

Key words： Intelligent and connected vehicles， Software update， OTA security

0 引言

隨著車輛高級(jí)功能的配置，智能網(wǎng)聯(lián)汽車中軟件數(shù)量日益增加，其代碼量高達(dá)百萬(wàn)行[1-5]。軟件漏洞和錯(cuò)誤可能會(huì)帶來(lái)系統(tǒng)崩潰、功能失效、信息泄露和安全漏洞等風(fēng)險(xiǎn)，影響駕駛體驗(yàn)甚至危害用戶生命財(cái)產(chǎn)安全。同時(shí)，車輛對(duì)軟件連接、控制和協(xié)調(diào)依賴程度增加，也加劇了對(duì)軟件修復(fù)和漏洞修補(bǔ)的需求。因此，車輛制造商需要建立一個(gè)安全的軟件更新機(jī)制，以便修復(fù)漏洞并應(yīng)對(duì)不斷變化的環(huán)境威脅。在傳統(tǒng)的封閉系統(tǒng)車輛中，車輛故障是由硬件故障或軟件安裝中的錯(cuò)誤造成的，對(duì)應(yīng)的解決方案是召回問(wèn)題車輛并進(jìn)行修復(fù)，而該方式所需時(shí)間過(guò)長(zhǎng)且為用戶帶來(lái)極大不便[6]。由于智能車輛具有網(wǎng)聯(lián)無(wú)線網(wǎng)聯(lián)通信功能，所以車輛制造商開(kāi)始通過(guò)無(wú)線方式對(duì)汽車軟件實(shí)現(xiàn)遠(yuǎn)程空中下載（Over The Air， OTA）升級(jí)，該方法無(wú)需物理召回過(guò)程，可向用戶提供最方便、最快速的軟件升級(jí)服務(wù)[7-8]。

OTA軟件更新具有以下優(yōu)勢(shì)：（1）車輛可以在運(yùn)行狀態(tài)中及時(shí)對(duì)軟件進(jìn)行升級(jí)，大大縮短了軟件升級(jí)的時(shí)間；（2）通過(guò)OTA軟件升級(jí)可以降低車輛保修成本和物理召回成本；（3）通過(guò)實(shí)時(shí)升級(jí)，可以及時(shí)解決安全問(wèn)題，提高汽車的安全性能，降低被攻擊的風(fēng)險(xiǎn)；（4）通過(guò)OTA升級(jí)，用戶可以享受個(gè)性化定制服務(wù)，如對(duì)音樂(lè)、導(dǎo)航等應(yīng)用軟件的更新[9-11]。2022年，全球支持OTA升級(jí)的車輛出貨量將接近2.03億輛[12]。因此，OTA升級(jí)具有巨大潛力，對(duì)汽車市場(chǎng)的未來(lái)發(fā)展具有重要的意義。

車輛制造商通過(guò)蜂窩網(wǎng)絡(luò)實(shí)現(xiàn)智能網(wǎng)聯(lián)車輛的OTA升級(jí)。同時(shí)，網(wǎng)絡(luò)連接也給車輛帶來(lái)了各種安全威脅和隱私挑戰(zhàn)。有研究人員通過(guò)多種方式（車載診斷端口、Wi-Fi、藍(lán)牙等）嘗試對(duì)車載電子控制單元（Electronic Control Unit， ECU）進(jìn)行攻擊，結(jié)果發(fā)現(xiàn)ECU會(huì)被成功攻擊，而網(wǎng)絡(luò)攻擊者可以通過(guò)被入侵的ECU向車載網(wǎng)絡(luò)注入數(shù)據(jù)包，以控制車輛[13-16]。聯(lián)網(wǎng)車輛面臨被遠(yuǎn)程網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，使得建立端到端的OTA升級(jí)安全連接成為一個(gè)至關(guān)重要的問(wèn)題，而由于復(fù)雜、多樣的攻擊手段以及不夠成熟的技術(shù)，導(dǎo)致車輛在OTA過(guò)程中保持安全的連接十分具有挑戰(zhàn)性。此外，OTA升級(jí)面臨的另一個(gè)挑戰(zhàn)是升級(jí)時(shí)保障車輛的安全及準(zhǔn)確訪問(wèn)。由于每次OTA升級(jí)的對(duì)象滿足特定限制，因此需限制云端僅能訪問(wèn)并僅向目標(biāo)車輛推送對(duì)應(yīng)升級(jí)包。為了避免OTA升級(jí)過(guò)程中由于車輛的網(wǎng)絡(luò)可用性故障導(dǎo)致的升級(jí)中斷或失敗等問(wèn)題，原始設(shè)備制造商（Original Equipment Manufacturer， OEM）和網(wǎng)絡(luò)運(yùn)營(yíng)商需要確保升級(jí)過(guò)程中可有效利用無(wú)線電頻譜，以最大限度地提高升級(jí)成功率，同時(shí)最小化車輛升級(jí)對(duì)其他網(wǎng)絡(luò)用戶的影響。因此，對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言，聯(lián)網(wǎng)車輛的OTA升級(jí)成為一個(gè)重要的調(diào)度問(wèn)題[17]。

為了解決OTA升級(jí)可能存在的問(wèn)題，可采取多種措施，如通過(guò)完整性驗(yàn)證、身份驗(yàn)證和密鑰管理等措施，防止車輛被遠(yuǎn)程攻擊以及數(shù)據(jù)被篡改或竊取。為確保OTA升級(jí)過(guò)程的高效性和可靠性，OEM和網(wǎng)絡(luò)運(yùn)營(yíng)商可以選擇使用強(qiáng)大可靠的通信協(xié)議，建立云端與車輛之間的高效通信。此外，需要設(shè)計(jì)健壯的軟件程序，滿足升級(jí)中斷時(shí)能夠自動(dòng)續(xù)傳、自動(dòng)檢測(cè)和進(jìn)行失敗重啟的需求[18-20]。為了最大程度地減少OTA升級(jí)對(duì)蜂窩網(wǎng)絡(luò)的壓力，同時(shí)保障升級(jí)包傳輸?shù)耐暾院头€(wěn)定性，需要對(duì)OTA升級(jí)的程序和過(guò)程進(jìn)行優(yōu)化，盡可能降低升級(jí)過(guò)程對(duì)帶寬和網(wǎng)絡(luò)資源的消耗。同時(shí)，應(yīng)優(yōu)化網(wǎng)絡(luò)連接和調(diào)度策略，以確保軟件包下載過(guò)程中網(wǎng)絡(luò)可用性，并確保對(duì)所有其他網(wǎng)絡(luò)用戶的影響最小，從而最大程度地提高更新成功率。

綜上，智能網(wǎng)聯(lián)汽車的軟件升級(jí)趨勢(shì)為OTA升級(jí)，為確保其實(shí)施的可靠性，需保證云端將真實(shí)完整的升級(jí)包安全傳輸至車端，且升級(jí)包的安裝過(guò)程需不受攻擊。除了技術(shù)要求之外，企業(yè)OTA體系也需滿足監(jiān)管要求。因此，本文主要總結(jié)了OTA升級(jí)的要求及其關(guān)鍵技術(shù)，并討論了OTA升級(jí)面臨的挑戰(zhàn)，還研究了國(guó)內(nèi)外現(xiàn)有OTA升級(jí)監(jiān)管要求，并基于此對(duì)企業(yè)提出關(guān)于OTA升級(jí)能力的建設(shè)建議。

1 OTA升級(jí)安全關(guān)鍵技術(shù)

1.1 OTA升級(jí)流程

汽車OTA升級(jí)架構(gòu)主要包括：OTA云服務(wù)器、無(wú)線網(wǎng)絡(luò)傳輸端以及車端，如圖1所示。其中，云端的升級(jí)包由軟件供應(yīng)商上傳，車輛制造商負(fù)責(zé)升級(jí)任務(wù)的發(fā)布。車端通過(guò)無(wú)線網(wǎng)絡(luò)從云端獲取OTA升級(jí)任務(wù)及升級(jí)包，并向云端上報(bào)升級(jí)結(jié)果。

OTA具體升級(jí)流程主要包括以下環(huán)節(jié)（圖2）。

（1）軟件供應(yīng)商向車輛制造商交付通過(guò)了功能測(cè)試的升級(jí)包，上傳至OTA云平臺(tái)，并完成升級(jí)包驗(yàn)證流程。

（2）車輛制造商通過(guò)OTA云平臺(tái)向目標(biāo)車輛發(fā)布升級(jí)任務(wù)。

（3）車輛制造商通過(guò)實(shí)體信件、電子郵件、社交媒體和車載通知等方式通知車輛用戶升級(jí)信息，用戶可選擇拒絕或同意軟件更新。若選擇“拒絕”，則不會(huì)進(jìn)行升級(jí)，若選擇“同意”，車輛檢查自身狀態(tài)是否滿足車輛制造商規(guī)定的升級(jí)前置條件，滿足則進(jìn)行下一步。

（4）車輛向OTA平臺(tái)請(qǐng)求軟件升級(jí)，接收訪問(wèn)OTA平臺(tái)中軟件升級(jí)包的路徑信息。

（5）車輛根據(jù)軟件升級(jí)包的路徑訪問(wèn)OTA平臺(tái)的升級(jí)包，并進(jìn)行升級(jí)包下載，下載過(guò)程中OTA平臺(tái)或用戶端可查看下載進(jìn)度，直至下載完成。若下載中斷，則在滿足條件后繼續(xù)下載。

（6）車輛端對(duì)下載的升級(jí)包進(jìn)行驗(yàn)證后執(zhí)行安裝，OTA升級(jí)完成后，用戶可接收升級(jí)結(jié)果告知。若升級(jí)失敗，軟件將回滾至上一可用版本；若升級(jí)成功，可進(jìn)行后期驗(yàn)證，以確認(rèn)已成功完成目標(biāo)ECU的軟件升級(jí)，并且本次升級(jí)未影響任何其他ECU或車輛功能。

1.2 OTA升級(jí)的安全要求

為保證完整穩(wěn)定的OTA服務(wù)，需保證其數(shù)據(jù)完整性和服務(wù)完整性。數(shù)據(jù)完整性要求數(shù)據(jù)未經(jīng)許可不被授權(quán)訪問(wèn)和篡改[21-22]。研究表明被篡改過(guò)的數(shù)據(jù)包可能會(huì)使車輛被遠(yuǎn)程攻擊，威脅車輛及用戶的安全[23]。服務(wù)完整性要求軟件升級(jí)全過(guò)程（下載、安裝）中未受惡意軟件或其他惡意修改的干擾（DOS攻擊、選擇性轉(zhuǎn)發(fā)、節(jié)點(diǎn)捕獲等）[24-25]。從開(kāi)始下載軟件包到執(zhí)行安裝，服務(wù)完整性均可能會(huì)受到破壞。

為避免OTA服務(wù)的數(shù)據(jù)完整性和服務(wù)完整性被破壞，應(yīng)在云端及車端均驗(yàn)證升級(jí)包的數(shù)據(jù)完整性，阻止對(duì)升級(jí)包未經(jīng)授權(quán)的訪問(wèn)及篡改（新增，刪減或修改）。此外，需構(gòu)建OTA云平臺(tái)與車輛間升級(jí)包分發(fā)的安全傳輸通道，并在各節(jié)點(diǎn)查驗(yàn)服務(wù)的完整性。因此，OTA升級(jí)的安全要求應(yīng)包括：

（1）OTA升級(jí)任務(wù)發(fā)布后，需驗(yàn)證目標(biāo)車輛的升級(jí)包訪問(wèn)權(quán)限。

（2）應(yīng)確保升級(jí)包由OTA云平臺(tái)下發(fā)至目標(biāo)車輛的傳輸安全性，安全傳輸通道可最大程度地確保在傳輸過(guò)程中數(shù)據(jù)未經(jīng)篡改，或具備數(shù)據(jù)修改點(diǎn)檢測(cè)能力。

（3）在車輛從OTA云平臺(tái)下載升級(jí)包完成且未開(kāi)始執(zhí)行安裝之前，需將升級(jí)包安全儲(chǔ)存，以保證待安裝軟件包的真實(shí)性及完整性不受破壞。

（4）為避免安裝錯(cuò)誤升級(jí)包帶來(lái)的問(wèn)題，升級(jí)包上傳至OTA云平臺(tái)后需通過(guò)平臺(tái)的真實(shí)性、完整性驗(yàn)證后才可下發(fā)，車輛下載升級(jí)包后，需在執(zhí)行安裝前再次校驗(yàn)升級(jí)包的完整性。

（5）應(yīng)保證OTA云平臺(tái)的網(wǎng)絡(luò)安全水平，以發(fā)現(xiàn)其漏洞并保證其免受網(wǎng)絡(luò)攻擊，保證上傳至平臺(tái)后升級(jí)包的數(shù)據(jù)完整性以及升級(jí)指令下發(fā)后OTA服務(wù)的完整性不受破壞。

1.3 OTA升級(jí)關(guān)鍵技術(shù)現(xiàn)狀

1.3.1 保證數(shù)據(jù)完整性的技術(shù)

目前，OTA升級(jí)中的數(shù)據(jù)完整性保證主要通過(guò)哈希函數(shù)實(shí)現(xiàn)，數(shù)據(jù)真實(shí)性保證主要通過(guò)密鑰加密技術(shù)實(shí)現(xiàn)。

1.3.1.1 哈希函數(shù)

哈希函數(shù)可以將任意長(zhǎng)度的數(shù)據(jù)處理得到一個(gè)唯一的、具有固定長(zhǎng)度的哈希值，常見(jiàn)的哈希函數(shù)有MD5、SHA-1、SHA-256等。Checkoway等[26]在升級(jí)中將二進(jìn)制的固件升級(jí)包與哈希值打包傳輸，通過(guò)對(duì)哈希值的驗(yàn)證確保了固件數(shù)據(jù)的完整性，該研究的不足是驗(yàn)證數(shù)據(jù)占據(jù)內(nèi)存過(guò)大。Nilsson等[27]提出了一種汽車OTA協(xié)議，通過(guò)該協(xié)議可以安全地進(jìn)行固件升級(jí)。該協(xié)議采用了哈希鏈和預(yù)共享加密密鑰技術(shù)來(lái)防止數(shù)據(jù)被竊聽(tīng)、攔截和篡改攻擊。首先將升級(jí)包的二進(jìn)制文件分成若干個(gè)數(shù)據(jù)片段，后通過(guò)反向散列為每個(gè)片段創(chuàng)建了一個(gè)哈希鏈，在OTA云平臺(tái)將哈希鏈的每個(gè)片段傳輸?shù)杰囕v端之前，使用預(yù)共享加密密鑰對(duì)哈希鏈加密以保證數(shù)據(jù)的安全性。Byeon等[28]的研究提出一種使用哈希函數(shù)驗(yàn)證汽車ECU數(shù)據(jù)完整性的系統(tǒng)。該系統(tǒng)通過(guò)哈希函數(shù)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行驗(yàn)證，確保數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的完整性，從而減少ECU數(shù)據(jù)被攻擊和篡改的風(fēng)險(xiǎn)。服務(wù)器通過(guò)哈希函數(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行校驗(yàn)，若完整性無(wú)誤則將哈希值和ECU元數(shù)據(jù)分別存儲(chǔ)在區(qū)塊鏈和鏈下分布式存儲(chǔ)中。通過(guò)驗(yàn)證系統(tǒng)，用戶可以對(duì)ECU數(shù)據(jù)的攻擊和篡改進(jìn)行驗(yàn)證。

1.3.1.2 密鑰加密

（1）對(duì)稱密鑰加密

對(duì)稱密鑰加密是一種使用同一密鑰進(jìn)行加密和解密的技術(shù)。這種加密方式速度快，適合加密大量數(shù)據(jù)。常見(jiàn)的對(duì)稱加密算法有DES、3DES、AES等。

Karim等[29]提出一種用于汽車軟件無(wú)線升級(jí)的車輛制造商與車輛間的后臺(tái)加密通信通道。該研究中，服務(wù)器只在用戶最初請(qǐng)求的加密通道上經(jīng)過(guò)用戶批準(zhǔn)后收集數(shù)據(jù)。該通道采用對(duì)稱密鑰加密技術(shù)，通過(guò)使用共同的密鑰，雙方可以實(shí)現(xiàn)安全通信，防止消息被第三方攔截和閱讀。Mahmud等[30]提出了一種智能車輛安全軟件升級(jí)技術(shù)。該技術(shù)的先決條件是，車輛制造商、軟件供應(yīng)商和車輛之間共享同一組密鑰。每次軟件升級(jí)之前，軟件供應(yīng)商和車輛會(huì)共享對(duì)稱密鑰。此后，軟件供應(yīng)商將共享的對(duì)稱密鑰加密后的軟件發(fā)送到車輛。該研究確保系統(tǒng)安全性和完整性的另一方式是隨機(jī)時(shí)間間隔內(nèi)向車輛發(fā)送多個(gè)軟件副本，車輛在收到至少兩個(gè)加密軟件副本后才可進(jìn)行解密和安裝，以確保只有經(jīng)過(guò)授權(quán)并已驗(yàn)證的軟件得到安裝，從而防止未經(jīng)授權(quán)或惡意軟件的入侵。

（2）對(duì)稱及非對(duì)稱結(jié)合密鑰加密

Steger等[31]的研究中提出了用于安全高效的汽車OTA軟件升級(jí)的SecUp框架，該框架通過(guò)使用對(duì)稱和非對(duì)稱密鑰結(jié)合的技術(shù)來(lái)確保所有通信的保密性和完整性，并通過(guò)使用NFC智能卡和PIN碼對(duì)設(shè)備進(jìn)行身份驗(yàn)證來(lái)防止未經(jīng)授權(quán)的個(gè)體進(jìn)行操作。同時(shí)，使用組播通信技術(shù)可以在短時(shí)間內(nèi)將多輛汽車的軟件進(jìn)行更新，從而提高了軟件更新的效率。升級(jí)過(guò)程中，服務(wù)器生成會(huì)話密鑰，并使用汽車公鑰加密的數(shù)據(jù)包發(fā)送給每輛汽車，完成升級(jí)包的傳輸，由車輛完成對(duì)應(yīng)升級(jí)包的安裝。該框架的設(shè)計(jì)具有前瞻性和高效性，能夠保證連接車輛的軟件升級(jí)過(guò)程安全可靠。

（3）隱寫(xiě)術(shù)及密碼學(xué)結(jié)合加密

隱寫(xiě)術(shù)和密碼學(xué)結(jié)合可以提高通信的安全性和隱私保護(hù)有效性。隱寫(xiě)術(shù)可以隱藏信息，使之不易被探測(cè)和發(fā)現(xiàn)，避免被攻擊者破解。密碼學(xué)則提供了各種加密算法和安全協(xié)議，使信息在傳輸過(guò)程中得到保護(hù)，只有授權(quán)的用戶才能訪問(wèn)和解密信息。

Mayilsamy等[32]提出一種集成了隱寫(xiě)和密碼學(xué)的方法，用于驗(yàn)證數(shù)據(jù)完整性，并使用加密技術(shù)來(lái)保護(hù)云中的數(shù)據(jù)，以保證OTA升級(jí)安全進(jìn)行。同時(shí)，密鑰在控制環(huán)境中經(jīng)過(guò)密鑰交換程序后存儲(chǔ)在受信任的平臺(tái)模塊中，并使用IEEE 802.11s網(wǎng)狀網(wǎng)絡(luò)作為通信媒介進(jìn)行OTA升級(jí)的安全傳輸。

（4）硬件安全模塊加密

基于硬件安全模塊的密鑰管理機(jī)制主要依靠硬件安全協(xié)議對(duì)密鑰全生命周期執(zhí)行操作與管理，包括密鑰的生成、存儲(chǔ)以及分發(fā)等。同時(shí)，該機(jī)制還能對(duì)外提供多種密鑰服務(wù)，以滿足不同應(yīng)用場(chǎng)景下的安全需求。

有學(xué)者設(shè)計(jì)了可執(zhí)行的FOTA系統(tǒng)，該系統(tǒng)中的密鑰管理機(jī)制通過(guò)硬件安全模塊實(shí)現(xiàn)升級(jí)中的密鑰服務(wù)[18]。該模塊的應(yīng)用從物理層面保證了密鑰的不可泄露，提高了系統(tǒng)對(duì)汽車客戶端的安全性和隱私保護(hù)。

Petri及其團(tuán)隊(duì)[33]提出了一種基于硬件安全模塊的OTA升級(jí)技術(shù)，該技術(shù)通過(guò)網(wǎng)關(guān)從OTA服務(wù)器下載升級(jí)包，并用預(yù)存在硬件安全模塊中的哈希算法驗(yàn)證該升級(jí)包，若驗(yàn)證無(wú)誤，則將升級(jí)包傳輸?shù)侥繕?biāo)ECU進(jìn)行安裝。這種技術(shù)的主要優(yōu)點(diǎn)是硬件安全模塊支持多種加密算法對(duì)升級(jí)包的加密和驗(yàn)證，從而防止分發(fā)給車輛的升級(jí)包被篡改或惡意注入。

1.3.2 保證服務(wù)完整性的技術(shù)

區(qū)塊鏈?zhǔn)且环N基于分布式網(wǎng)絡(luò)節(jié)點(diǎn)和密碼學(xué)安全技術(shù)的去中心化數(shù)據(jù)管理技術(shù)，具有強(qiáng)大的安全性、魯棒性和可擴(kuò)展性。其數(shù)據(jù)層采用了帶有公鑰的數(shù)字簽名驗(yàn)證數(shù)據(jù)的真實(shí)性，同時(shí)通過(guò)哈希函數(shù)和數(shù)據(jù)塊哈希鏈驗(yàn)證數(shù)據(jù)的完整性。

Steger等[34]在一項(xiàng)工作中引入了基于區(qū)塊鏈（Blockchain， BC）的架構(gòu)來(lái)解決汽車OTA升級(jí)中的數(shù)據(jù)安全問(wèn)題。在該架構(gòu)中的實(shí)體有OEM、管理系統(tǒng)、汽車、OTA服務(wù)器，其中各個(gè)實(shí)體分別作為端點(diǎn)與其他實(shí)體組成集群，各集群間通過(guò)覆蓋網(wǎng)絡(luò)相互連接，端頭可以直接通信，系統(tǒng)不設(shè)中心節(jié)點(diǎn)，從而實(shí)現(xiàn)去中心化管理。軟件升級(jí)任務(wù)下發(fā)前，管理系統(tǒng)向云服務(wù)器發(fā)送存儲(chǔ)請(qǐng)求，請(qǐng)求通過(guò)驗(yàn)證后云服務(wù)器會(huì)向管理系統(tǒng)發(fā)送包含服務(wù)器簽名及軟件包上傳所需信息的數(shù)據(jù)。當(dāng)軟件包上傳至服務(wù)器后，管理系統(tǒng)會(huì)創(chuàng)建一條升級(jí)任務(wù)并寫(xiě)入?yún)^(qū)塊鏈模塊并使用OEM的密鑰加密升級(jí)任務(wù)信息后廣播給車輛。作者通過(guò)驗(yàn)證表明該體系結(jié)構(gòu)具有優(yōu)良的性能。

Dhakal等[35]提出了一種使用區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備固件升級(jí)模型，其中包含固件制造商、升級(jí)服務(wù)器、升級(jí)管理器和物聯(lián)網(wǎng)設(shè)備4個(gè)主要部分。整個(gè)升級(jí)的流程為：固件制造商開(kāi)發(fā)完成軟件包后通過(guò)區(qū)塊鏈對(duì)其元數(shù)據(jù)進(jìn)行管理，并通過(guò)升級(jí)服務(wù)器下發(fā)升級(jí)任務(wù)。升級(jí)管理器將升級(jí)包的元數(shù)據(jù)從區(qū)塊鏈中提取，分發(fā)到待升級(jí)的物聯(lián)網(wǎng)設(shè)備后，對(duì)應(yīng)設(shè)備接收軟件包并啟動(dòng)升級(jí)任務(wù)后執(zhí)行升級(jí)。研究表明這種使用區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備固件升級(jí)模型可以保障升級(jí)過(guò)程的安全性和可靠性，并且提高了升級(jí)的效率。

具有安全、分散式、靈活和可擴(kuò)展特性的Uptane架構(gòu)目前已被應(yīng)用于汽車軟件的安全升級(jí)。Uptane使用了多個(gè)TUF（The Update Framework）庫(kù)，具有多個(gè)實(shí)體和一個(gè)管理系統(tǒng)，以支持不同實(shí)現(xiàn)之間的交互。Uptane架構(gòu)采用多種措施來(lái)保護(hù)軟件升級(jí)安全，包括額外的存儲(chǔ)區(qū)域、元數(shù)據(jù)廣播、車輛版本清單和時(shí)間服務(wù)器等機(jī)制[36]。軟件的元數(shù)據(jù)由車輛主控廣播到次ECU，以確保每個(gè)ECU具有相同的元數(shù)據(jù)。清單簽名是使用OEM提供的對(duì)稱密鑰進(jìn)行簽名的，時(shí)間服務(wù)器可確保所有ECU的時(shí)間同步，從而確保車輛軟件升級(jí)服務(wù)的完整性。

為解決大規(guī)模OTA軟件升級(jí)對(duì)蜂窩網(wǎng)絡(luò)帶來(lái)的挑戰(zhàn)，Amrita及其團(tuán)隊(duì)[37]提出一種OTA升級(jí)的新技術(shù)STRIDE。STRIDE可擴(kuò)展到車輛中大量并發(fā)軟件升級(jí)，并基于具有密文策略屬性的加密確保端到端的安全性。為了實(shí)現(xiàn)更新包快速、可靠分發(fā)，該團(tuán)隊(duì)還開(kāi)發(fā)了一種服務(wù)于動(dòng)態(tài)數(shù)據(jù)流的軟件更新調(diào)度算法，通過(guò)將蜂窩接入點(diǎn)的時(shí)隙動(dòng)態(tài)分配給車輛，以實(shí)現(xiàn)最佳吞吐量。該研究通過(guò)仿真實(shí)驗(yàn)證明了所提出技術(shù)的適用性，結(jié)果表明該技術(shù)在現(xiàn)實(shí)場(chǎng)景下是可實(shí)現(xiàn)的。

目前，基于計(jì)算輕量級(jí)的對(duì)稱密鑰及哈希函數(shù)的OTA升級(jí)技術(shù)被廣泛應(yīng)用，區(qū)塊鏈技術(shù)正在成為安全OTA升級(jí)的有效途徑，而其高資源消耗的問(wèn)題是制約其發(fā)展的重要原因，亟待進(jìn)一步研究。具有分散式、靈活和可擴(kuò)展特性的新架構(gòu)已逐漸得到部分應(yīng)用，未來(lái)有潛力成為OTA升級(jí)系統(tǒng)的重要實(shí)現(xiàn)方式。此外，實(shí)現(xiàn)從OTA云端到車端的高效、安全軟件分發(fā)仍是一個(gè)需要深入研究的關(guān)鍵方向，還應(yīng)重點(diǎn)關(guān)注OTA升級(jí)中的數(shù)據(jù)隱私保護(hù)策略及技術(shù)?？傊?，為實(shí)現(xiàn)充分安全、穩(wěn)定、可靠的OTA升級(jí)，行業(yè)仍需攻克很多技術(shù)難題。

2 OTA標(biāo)準(zhǔn)法規(guī)分析

2.1 國(guó)外標(biāo)準(zhǔn)法規(guī)

2.1.1 UN R156

聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）世界車輛法規(guī)協(xié)調(diào)論壇工作組 （WP 29）于2020年6月發(fā)布法規(guī)《UN R156 關(guān)于就軟件更新與軟件更新管理系統(tǒng)批準(zhǔn)車輛的統(tǒng)一規(guī)定》，該法規(guī)適用于M類、N類、O類、R類、S類及T類車輛[38]。UN R156的要求分為軟件升級(jí)管理體系（Software Upgrade Management System， SUMS）要求及車型認(rèn)證（Vehicle Type Approval， VTA）要求兩部分，如圖3所示。

2.1.1.1 SUMS體系要求

SUMS體系是針對(duì)公司層面的體系要求，規(guī)定了過(guò)程要求、信息記錄要求、安全相關(guān)要求、在線升級(jí)附加要求。

（1）過(guò)程要求：車輛制造商需確保與法規(guī)有關(guān)的信息得以記錄和保留、所有軟件版本信息需唯一可識(shí)別、可識(shí)別目標(biāo)車輛、向監(jiān)管部門提供軟件識(shí)別碼登記冊(cè)及目標(biāo)車輛配置文件。此外，還需評(píng)估升級(jí)系統(tǒng)與其他系統(tǒng)的相關(guān)性、與車輛配置的兼容性、升級(jí)對(duì)型式認(rèn)證系統(tǒng)/功能/參數(shù)的影響以及對(duì)安全相關(guān)功能的影響。同時(shí)，升級(jí)需告知車輛用戶。對(duì)于具有軟件識(shí)別碼（RX SoftWare Identification Number，RXSWIN）的車型，車輛制造商要可訪問(wèn)及更新其信息并且可驗(yàn)證型式批準(zhǔn)系統(tǒng)組件上的軟件版本信息與RXSWIN信息一致。

（2）信息記錄要求：車輛制造商應(yīng)記錄和存儲(chǔ)的關(guān)于軟件升級(jí)的詳細(xì)信息，包括用于軟件升級(jí)流程和相關(guān)標(biāo)準(zhǔn)文件、相關(guān)型式認(rèn)證系統(tǒng)配置的文件、對(duì)于每個(gè)RXSWIN的可審計(jì)的登記冊(cè)、升級(jí)目標(biāo)車輛的配置文件以及軟件升級(jí)文檔（應(yīng)包含的信息有升級(jí)目的、可能影響的系統(tǒng)或功能、是否影響型式認(rèn)證、升級(jí)先決條件等）。

（3）安全相關(guān)要求：車輛制造商應(yīng)提供證明來(lái)確保軟件升級(jí)的安全性，包括證明升級(jí)前，升級(jí)過(guò)程中受到保護(hù)的流程，以及驗(yàn)證車輛所用軟件的軟件功能和代碼是合適的。

（4）在線升級(jí)附加要求：車輛制造商應(yīng)演示OTA升級(jí)流程和程序，以確保升級(jí)不會(huì)影響到車輛安全，并需演示需特定或復(fù)雜操作的OTA升級(jí)過(guò)程。

2.1.1.2 VTA認(rèn)證要求

車型認(rèn)證要求是針對(duì)車型層面的產(chǎn)品要求，包括軟件升級(jí)要求及在線升級(jí)附加要求。

（1）軟件升級(jí)要求：軟件升級(jí)包的真實(shí)性和完整性須受到保護(hù)。RXSWIN/軟件版本須可通過(guò)標(biāo)準(zhǔn)接口讀取、可更新并滿足防篡改要求。

（2）在線升級(jí)附加要求：保證升級(jí)失敗后系統(tǒng)可恢復(fù)到上一版本或車輛置于安全狀態(tài)；滿足升級(jí)電量條件的前提才會(huì)進(jìn)行升級(jí)；升級(jí)前車輛狀態(tài)滿足先決條件才會(huì)執(zhí)行升級(jí)；用戶可獲取相關(guān)升級(jí)信息及升級(jí)結(jié)果；升級(jí)不可對(duì)車輛安全及駕駛安全造成影響。

車型認(rèn)證的流程包括以下4個(gè)步驟：

（1）車輛制造商向國(guó)家審批機(jī)構(gòu)申請(qǐng)VTA，并提交有關(guān)車輛的技術(shù)規(guī)格和相關(guān)文件。

（2）由認(rèn)證機(jī)構(gòu)/技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行車輛測(cè)試，判斷車輛是否符合UN R156法規(guī)要求。

（3）國(guó)家審批機(jī)構(gòu)根據(jù)測(cè)試報(bào)告對(duì)車輛進(jìn)行審批，以確定車輛是否符合UN R156法規(guī)要求。

（4）當(dāng)車輛通過(guò)UN R156法規(guī)要求的所有測(cè)試，國(guó)家審批機(jī)構(gòu)向車輛制造商頒發(fā)VTA證書(shū)。

2.1.2 ISO 24089

國(guó)際標(biāo)準(zhǔn)化組織道路車輛委員會(huì)軟件升級(jí)工作組（ISO/TC 22/SC 32/WG 12）于2019年組織了ISO-24089《道路車輛 軟件升級(jí)工程》標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)預(yù)計(jì)2024年發(fā)布。標(biāo)準(zhǔn)適用于所有車輛軟件升級(jí)工程的相關(guān)組織和供應(yīng)商，而不僅限于OEM。標(biāo)準(zhǔn)所描述的軟件升級(jí)方法包括有線升級(jí)、OTA升級(jí)以及硬件更換[39]。在實(shí)際應(yīng)用中，組織和供應(yīng)商可以根據(jù)需要對(duì)這些方法進(jìn)行選擇和組合，以滿足特定的軟件升級(jí)需求。

ISO 24089的整體框架如圖4所示。標(biāo)準(zhǔn)的第4章、第5章分別從組織及項(xiàng)目層面對(duì)軟件升級(jí)工程提出了相應(yīng)的要求。組織層面的要求旨在于確保參與軟件升級(jí)工程的組織能夠高效管理項(xiàng)目，并在項(xiàng)目過(guò)程中進(jìn)行適當(dāng)?shù)匾?guī)劃和監(jiān)控，以確保軟件升級(jí)能夠按時(shí)完成并達(dá)到預(yù)期的目標(biāo)和質(zhì)量要求。同時(shí)，也要求組織之間合作和信息共享，以加強(qiáng)整個(gè)軟件升級(jí)工程的有效性和效率。項(xiàng)目層面的軟件升級(jí)要求主要覆蓋了制定及實(shí)施軟件升級(jí)項(xiàng)目的計(jì)劃、管理并存儲(chǔ)相關(guān)資料、提供裁剪行為的適用性原理并確?；A(chǔ)架構(gòu)與車輛系統(tǒng)的互操作性。第6章、第7章分別提出了基礎(chǔ)架構(gòu)及車輛/車輛系統(tǒng)層面的功能要求。大致包括風(fēng)險(xiǎn)管理、車輛配置信息管理、軟件升級(jí)活動(dòng)信息管理及升級(jí)包管理。第8章、第9章分別規(guī)定了升級(jí)包裝配發(fā)布及軟件升級(jí)活動(dòng)的相應(yīng)流程。在執(zhí)行軟件升級(jí)操作之前，需要對(duì)獲取用戶同意；在軟件升級(jí)期間，需要對(duì)軟件升級(jí)過(guò)程進(jìn)行記錄和跟蹤；在軟件升級(jí)完成之后還需要對(duì)升級(jí)結(jié)果進(jìn)行評(píng)估，并記錄相關(guān)的證據(jù)以供審核和驗(yàn)證。

2.2 國(guó)內(nèi)標(biāo)準(zhǔn)及要求

工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布的《關(guān)于開(kāi)展汽車軟件在線升級(jí)備案的通知》于2022年4月15日起正式實(shí)施[40]。對(duì)于汽車企業(yè)而言，備案要求企業(yè)加強(qiáng)技術(shù)能力，做好相關(guān)管理和控制，確保在線升級(jí)流程的安全性和穩(wěn)定性，同時(shí)保障用戶的隱私權(quán)和權(quán)益。備案內(nèi)容主要包括企業(yè)管理能力、車型及功能以及具體升級(jí)活動(dòng)3個(gè)方面。首先，企業(yè)需要證明具備OTA體系管理能力，包括在線升級(jí)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、驗(yàn)證和發(fā)布等環(huán)節(jié)的管理。其次，汽車企業(yè)需要明確車型和功能范圍，識(shí)別能夠進(jìn)行OTA升級(jí)的功能和控制器，并且要評(píng)估升級(jí)對(duì)車輛安全、能效、環(huán)保、防盜等方面的影響。最后，企業(yè)需要提供具體升級(jí)活動(dòng)的相關(guān)報(bào)告，確保升級(jí)活動(dòng)的安全性和穩(wěn)定性。

標(biāo)準(zhǔn)方面，汽標(biāo)委智能網(wǎng)聯(lián)汽車分標(biāo)委制定了《汽車軟件升級(jí)通用技術(shù)要求》，該標(biāo)準(zhǔn)預(yù)計(jì)2024年發(fā)布[41]。該標(biāo)準(zhǔn)的內(nèi)容參考了UN R156法規(guī)，主體要求包括軟件升級(jí)管理體系要求和車輛要求，并在此基礎(chǔ)上補(bǔ)充了車輛試驗(yàn)方法?！镀囓浖?jí)通用技術(shù)要求》中軟件升級(jí)管理體系要求包括一般要求、過(guò)程要求、信息記錄要求、安全相關(guān)要求及在線升級(jí)附加要求。與UN R156法規(guī)要求相比，該標(biāo)準(zhǔn)明確指出了車輛制造商應(yīng)具備軟件升級(jí)管理體系，規(guī)定了信息存儲(chǔ)的時(shí)限至少至車型停產(chǎn)后10年，并要求企業(yè)具備對(duì)于軟件升級(jí)相關(guān)突發(fā)事件的應(yīng)急處理能力。在車輛要求上，與UN R156法規(guī)要求相比，《汽車軟件升級(jí)通用技術(shù)要求》中增加了用戶確認(rèn)以及車門防鎖止兩項(xiàng)要求。

對(duì)于國(guó)外主要OTA標(biāo)準(zhǔn)法規(guī)的分析可知，UN R156為車輛制造商建立汽車軟件管理體系和進(jìn)行具有軟件升級(jí)功能的車型開(kāi)發(fā)提供了指導(dǎo)；ISO24089則在工程開(kāi)發(fā)層面上對(duì)企業(yè)OTA能力提出要求并給出示例。針對(duì)我國(guó)OTA監(jiān)管現(xiàn)狀，目前多部委監(jiān)管的側(cè)重點(diǎn)不同，備案的監(jiān)管重點(diǎn)集中在升級(jí)過(guò)程的合規(guī)性及升級(jí)結(jié)果的符合性，而國(guó)標(biāo)集中在系統(tǒng)升級(jí)策略的合理性。未來(lái)OTA升級(jí)標(biāo)準(zhǔn)法規(guī)體系將會(huì)向更加全面的方向發(fā)展，覆蓋OTA產(chǎn)品級(jí)、系統(tǒng)級(jí)、部件級(jí)等多維度，如規(guī)范OTA云平臺(tái)技術(shù)標(biāo)準(zhǔn)、增加用戶體驗(yàn)相關(guān)標(biāo)準(zhǔn)、完善供應(yīng)商管控規(guī)范等。軟件升級(jí)相關(guān)標(biāo)準(zhǔn)的制定及實(shí)施，將對(duì)車輛制造商提出一定的要求，這有利于確保汽車軟件升級(jí)安全及其整體性能和操作穩(wěn)定性，更有助于提高市場(chǎng)規(guī)范化程度，保障消費(fèi)者權(quán)益。

3 企業(yè)OTA能力建設(shè)建議

OTA升級(jí)技術(shù)已經(jīng)成為現(xiàn)代汽車技術(shù)發(fā)展的趨勢(shì)之一，對(duì)于車輛制造商而言，OTA升級(jí)技術(shù)的應(yīng)用可幫助企業(yè)快速響應(yīng)市場(chǎng)變化和技術(shù)變革，提高汽車的質(zhì)量和性能，為用戶提供更好的用戶體驗(yàn)。但同時(shí)，OTA升級(jí)技術(shù)也面臨著安全性和隱私性等方面的挑戰(zhàn)，需要企業(yè)加強(qiáng)技術(shù)研發(fā)，加強(qiáng)安全和隱私保護(hù)，落實(shí)法律法規(guī)和監(jiān)管要求。

（1）軟件升級(jí)管理體系建設(shè)方面：企業(yè)應(yīng)建立、健全軟件升級(jí)管理體系，覆蓋軟件升級(jí)全生命周期的管理制度及規(guī)范流程，并關(guān)注軟件升級(jí)相關(guān)活動(dòng)的策略及實(shí)施細(xì)節(jié)的信息記錄與存儲(chǔ)。企業(yè)還應(yīng)設(shè)置相應(yīng)的安全策略保證升級(jí)的可靠進(jìn)行，并對(duì)軟件升級(jí)進(jìn)行全面性評(píng)估，評(píng)估重點(diǎn)主要包括其對(duì)型式認(rèn)證相關(guān)參數(shù)/系統(tǒng)或車輛安全相關(guān)功能的影響，以及待升級(jí)系統(tǒng)/功能與其他車輛系統(tǒng)/功能的相關(guān)性和與車輛現(xiàn)有配置的兼容性等。為確保對(duì)軟件升級(jí)突發(fā)事件得到有效處理，企業(yè)應(yīng)專門建立針對(duì)軟件升級(jí)事件的風(fēng)險(xiǎn)控制制度及應(yīng)急響應(yīng)流程。此外，軟件升級(jí)管理體系合規(guī)有效的關(guān)鍵點(diǎn)是應(yīng)用，因此企業(yè)在具體車型開(kāi)發(fā)中需切實(shí)應(yīng)用管理體系，實(shí)現(xiàn)制度的落地實(shí)施。企業(yè)應(yīng)積極參與監(jiān)管機(jī)構(gòu)審查，以確保OTA升級(jí)應(yīng)用符合法律法規(guī)和監(jiān)管要求，并保持與行業(yè)伙伴的溝通。

（2）車型開(kāi)發(fā)方面：根據(jù)相關(guān)OTA標(biāo)準(zhǔn)法規(guī)的要求，形成企業(yè)內(nèi)部更為具體詳細(xì)的OTA技術(shù)標(biāo)準(zhǔn)，開(kāi)發(fā)過(guò)程中需加強(qiáng)OTA升級(jí)技術(shù)的研究和開(kāi)發(fā)，重視技術(shù)安全問(wèn)題，重點(diǎn)關(guān)注OTA數(shù)據(jù)完整性、服務(wù)完整性及通信安全3部分。應(yīng)選用更先進(jìn)的簽名技術(shù)及密鑰技術(shù)保護(hù)數(shù)據(jù)的真實(shí)性及機(jī)密性，采用更安全的架構(gòu)保證升級(jí)服務(wù)的完整性，同時(shí)應(yīng)采用更加安全的通信協(xié)議保證傳輸過(guò)程的安全性。應(yīng)在升級(jí)過(guò)程中對(duì)數(shù)據(jù)進(jìn)行監(jiān)測(cè)和驗(yàn)證，防止出現(xiàn)數(shù)據(jù)泄露和惡意攻擊等問(wèn)題，且需加強(qiáng)用戶隱私保護(hù)和數(shù)據(jù)安全管理，例如通過(guò)數(shù)據(jù)加密、權(quán)限控制和信息追蹤，確保用戶數(shù)據(jù)的安全性。企業(yè)還需構(gòu)建完善的OTA 測(cè)試能力，覆蓋法規(guī)測(cè)試及研發(fā)階段的軟件升級(jí)全鏈條測(cè)試能力，建立豐富的測(cè)試用例庫(kù)，測(cè)試內(nèi)容應(yīng)包括OTA信息安全檢測(cè)、OTA性能檢測(cè)、OTA壓力測(cè)試、OTA健壯測(cè)試、OTA功能測(cè)試等。測(cè)評(píng)體系的建立有助于提高研發(fā)過(guò)程中的可控性，從而保證車輛OTA升級(jí)的質(zhì)量和穩(wěn)定性。

4 結(jié)束語(yǔ)

介紹了汽車OTA架構(gòu)以及通用的升級(jí)流程，重點(diǎn)關(guān)注OTA軟件更新服務(wù)的安全性和完整性問(wèn)題，通過(guò)對(duì)OTA升級(jí)相關(guān)研究的分析，總結(jié)了目前OTA升級(jí)關(guān)鍵技術(shù)的特點(diǎn)。同時(shí)，對(duì)國(guó)內(nèi)外的汽車軟件升級(jí)相關(guān)法規(guī)及標(biāo)準(zhǔn)進(jìn)行分析，并基于此為車輛制造企業(yè)提出OTA能力建設(shè)建議?？偨Y(jié)如下：

（1）為保證完整穩(wěn)定的OTA服務(wù)，需保證其數(shù)據(jù)完整性和服務(wù)完整性。

（2）保證OTA數(shù)據(jù)完整性的主要技術(shù)有哈希函數(shù)、密鑰加密等，保證OTA服務(wù)完整性的主要手段有應(yīng)用區(qū)塊鏈技術(shù)、設(shè)計(jì)OTA新架構(gòu)等。

（3）目前對(duì)OTA的監(jiān)管主要集中在企業(yè)汽車軟件升級(jí)管理體系及具體車型升級(jí)要求2方面。滿足標(biāo)準(zhǔn)及法規(guī)提出的OTA能力要求可保障汽車軟件升級(jí)的安全穩(wěn)定性，進(jìn)一步規(guī)范OTA市場(chǎng)。

參 考 文 獻(xiàn)

[1] LE V H， HARTOG J D， ZANNONE N. Security and Privacy for Innovative Automotive Applications a Survey[J]. Computer Communications， 2018（132）： 17-41.

[2] GUISSOUMA H， HOHL C P， LESNIAK F. Lifecycle Management of Automotive Safety-Critical Over the Air Updates： A Systems Approach[J]. IEEE Access， 2022（10）： 57696.

[3] PHAM M， XIONG K. A Survey on Security Attacks and Defense Techniques for Connected and Autonomous Vehicles， Computers & Security， 2021（109）： 102269.

[4] CHATTOPADHYAY A， LAM K Y， TAVVA Y. Autonomous Vehicle： Security by Design[J]. IEEE Transactions on Intelligent Transportation Systems， 2021， 22 （11）： 7015-7029.

[5] DAJSUREN Y， MARK B. Automotive Systems and Software Engineering： State of the Art and Future Trends[M]. Springer， 2019.

[6] NILSSON D K， PHUNG P H， LARSON U E. Vehicle ECU Classification based on Safety-Security Characteristics[C]//IET Road Transport Information and Control and ITS United Kingdom Members Conference， 2008： 1-7.

[7] RIGGS C， RIGAUD C， BEARD R， et al. A Survey on Connected Vehicles Vulnerabilities and Countermeasures[J]. Journal of Traffic and Logistics Engineering， 2019， 6（1）： 11-16.

[8] 王棟梁， 湯利順， 陳博. 智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究[J]. 汽車技術(shù)， 2018， 517（10）： 33-37.

[9] IDREES M S， SCHWEPPE H， ROUDIER Y， et al. Secure Automotive on-board Protocols： a Case of Over-the-air Firmware Updates[J]. Lecture Notes in Computer Science， 2011（6596）： 224-238.

[10] KHURRAM M， KUMAR H， CHANDAK A， et al. Enhancing Connected Car Adoption： Security and over the Air Update Framework[C]// IEEE World Forum on Internet of Things， Reston， VA， 2016： 194-198.

[11] 宋偉， 胡巧聲， 唐俊安. 空中下載技術(shù)在商用車上的應(yīng)用[J]. 汽車電器， 2019（12）： 8-11.

[12] ABI Research. Adoption of Automotive Software Over-the-Air Updates [EB/OL]. （2019-11-15） [2023-07-05]. https：//www.abiresearch.com/press/abi-research-anticipates-accelerated-adoption-auto/.

[13] NIE S， LIU L， DU Y. Free-fall： Hacking Tesla From Wireless to Can Bus[C]// Black Hat USA， 2017.

[14] 湯偉強(qiáng). 主動(dòng)式汽車安全帶控制系統(tǒng)開(kāi)發(fā)及OTA遠(yuǎn)程升級(jí)研究[D]. 上海： 華東理工大學(xué)， 2022.

[15] HALDER S， CONTI M， DAS S K， A Holistic Approach to Power Efficiency in a Clock Offset based Intrusion Detection Systems for Controller Area Networks[J]. Pervasive and Mobile Computing， 2021（73）： 101385.

[16] KIM K， KIM J S， JEONG S， et al. Cybersecurity for Autonomous Vehicles： Review of Attacks and Defense[J]. Computers & Security， 2021， 103（4）： 102150.

[17] FENG S， FENG Y， YAN X， et al. Safety Assessment of Highly Automated Driving Systems in Test Tracks： A new Framework[J]. Accident Analysis & Prevention， 2020， 14.

[18] 譚凡. 智能網(wǎng)聯(lián)汽車FOTA系統(tǒng)安全機(jī)制的研究與實(shí)現(xiàn)[D]. 成都： 電子科技大學(xué)， 2020.

[19] 高潔，汪慶. 一種電動(dòng)汽車軟件OTA升級(jí)服務(wù)平臺(tái)的設(shè)計(jì)方案[J]. 電腦知識(shí)與技術(shù)， 2017， 13（8）： 209-211.

[20] 董曉慧. 面向車載域控制器架構(gòu)的安全 FOTA 升級(jí)方法研究[D]. 長(zhǎng)春： 吉林大學(xué)， 2022.

[21] FONGEN A. Identity Management and Integrity Protection in the Internet of Things[C]//International Conference on Emerging Security Technologies， Lisbon， Portugal， 2012.

[22] MATHUR R， AGARWAL S， SHARMA V. Solving Security Issues in Mobile Computing Using Cryptography Techniques-A Survey[C]//International Conference on Computing， Communication and Automation， 2015： 492-497.

[23] KNOCKEL J， CRANDALL J R. Protecting Free and Open Communications on the Internet Against Man-inthe-middle Attacks on Third-party Software： were FOCId[C]// USENIX Workshop on Free and Open Communications on the Internet， Bellevue， WA， 2012.

[24] KUPPUSAMY T K， DELONG L A， CAPPOS J. Uptane：? ?Security and Customizability of Software Updates for Vehicles[J]. IEEE Vehicular Technology Magazine， 2018， 13（1）： 66-73

[25] 胡文， 姜立標(biāo). 智能網(wǎng)聯(lián)汽車的多級(jí)安全防護(hù)方案設(shè)計(jì)和分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2017， 2（2）： 136-138+140.

[26] CHECKOWAY S， MCCOY D， KANTOR B， et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[C]//Proceedings of USENIX Security Symposium， 2011： 77-92.

[27] NILSSON D K， LARSON U E. Secure Firmware Updates Over the Air in Intelligent Vehicles[C]//Proceedings of IEEE International Conference on Communications Workshops， 2008， 380-384.

[28] BYEON， SANG P， KIM， et al. ECU Data Integrity Verification System Using Blockchain[J]，Journal of Industrial Convergence，2022， 11（20）： 57-63

[29] MANSOUR K， FARAG W， ELHELW M. AiroDiag： A Sophisticated Tool that Diagnoses and Updates Vehicles Software Over Air[C]//IEEE International Electric Vehicle Conference， Greenville， SC， USA， 2012： 1-7.

[30] MAHMUD S M， SHANKER S， HOSSAIN I. Secure Software Upload in an Intelligent Vehicle via Wireless Communication Links[C]//Proceedings of IEEE Intelligent Vehicles Symposium， 2005： 588-593.

[31] STEGER M， KARNER M， HILLEBRAND J， et al. Generic Framework Enabling Secure and Efficient Automotive Wireless SW Updates[C]//Proceedings of IEEE 21st International Conference on Emerging Technologies and Factory Automation， 2016： 1-8.

[32] MAYILSAMY K， RAMACHANDRAN N， RAJ V S. An integrated approach for data security in vehicle diagnostics over internet protocol and software update over the air[J]. Computers & Electrical Engineering. 2018（71）： 578-593.

[33] PETRI R， SPRINGER M， ZELLE D， et al. Evaluation of Lightweight TPMs for Automotive Software Updates Over the Air[C]//Proceedings of 4th International Conference on Embedded Security in Car USA， 2016： 1-15.

[34] STEGER M， DORRI A， KANHERE S S， et al. Secure Wireless Automotive Software Updates Using Blockchains： a Proof of Concept[C]//Proceedings of 22nd International Forum on Advanced Microsystems for Automotive Applications， 2018： 137-149.

[35] DHAKAL S， JAAFAR F， ZAVARSKY P. Private Blockchain Network for IoT Device Firmware Integrity Verification and Update[C]//IEEE Internationa Symposium on High Assurance Systems Engineering， 2019： 164-170.

[36] MAHMOOD S， NGUYEN H N， SHAIKH S A. Systematic Threat Assessment and Security Testing of Automotive Over-the-Air （OTA） Updates[J]. Vehicular Communications， 2022（35）： 100468.

[37] GHOSAL A， HALDER S， CONTI M. Secure Over-the-Air Software Update for Connected Vehicles[J]. Computer Networks， 2022（218）： 109394.

[38] UNITED NATIONS. Software Update and Software Update Management System， UN Regulation No. 156 [S/OL]. （2020-04-04） [2023-07-05]. https：//unece.org/sites/default/files/2021-03/R156e.pdf.

[39] ISO/TC 22/SC 32. Road vehicles—Software update engineering， Standard ISO 24089 [S/OL]. （2023-02） [2023-07-05]. https：//www.iso.org/obp/ui/en/#iso：std：iso：24089：ed-1：v1：en

[40] 工業(yè)和信息化部裝備工業(yè)發(fā)展中心. 關(guān)于開(kāi)展汽車軟件在線升級(jí)備案的通知 [2022]229號(hào)[S/OL]. （2022-04-15） [2023-07-05]. http：//www.miit-eidc.org.cn/art/2022/4/15/art_54_30478.html.

[41] 工業(yè)和信息化部裝備工業(yè)一司. 《汽車軟件升級(jí)通用技術(shù)要求》征求意見(jiàn)稿[EB/OL]. （2022-06-17） [2023-07-05].https：//www.miit.gov.cn/jgsj/zbys/qcgy/art/2022/art_c18

78e9460a74860a37bd3964436116d.html.

（責(zé)任編輯 明慧）

【作者簡(jiǎn)介】

王婧璇（1997—），女，中國(guó)汽車工程研究院股份有限公司，工程師，研究方向?yàn)槠囓浖诰€升級(jí)技術(shù)及法規(guī)。

E-mail：wangjingxuan@caeri.com.cn