近年來，智能汽車已成為全球汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向，汽車技術(shù)與工程核心逐漸從傳統(tǒng)硬件層面轉(zhuǎn)移到軟件層面，汽車行業(yè)已經(jīng)踏上了軟件定義汽車（SDV）的變革之路。

在SDV的大趨勢下，汽車零部件智能化水平不斷提高，車輛內(nèi)部搭載的軟件也越來越多。毫無疑問，車輛復(fù)雜度的提高必將帶來維護上的困難，車企要如何面對更新迭代速度越來越快的軟件、固件系統(tǒng)？OTA（over the air）技術(shù)在軟件定義汽車中扮演了核心角色，幫助車企遠程實現(xiàn)車輛功能升級、性能優(yōu)化、缺陷修復(fù)，為用戶帶來更好的服務(wù)和體驗。車企也得以和用戶建立更好、更深遠的聯(lián)系。

OTA安全風(fēng)險

作為車企修復(fù)軟件固件漏洞、迭代改進軟件功能的重要途徑，OTA的快速普及讓其成為黑客的重點研究對象?？傮w上OTA常見的安全風(fēng)險包括以下幾個：

身份假冒

攻擊者偽裝OTA通信中的發(fā)送方或接收方身份。

竊聽攻擊

攻擊者在OTA傳輸過程中竊取數(shù)據(jù)包，從而獲取升級包內(nèi)的敏感信息。

數(shù)據(jù)篡改

攻擊者可能會對OTA升級包進行篡改，通過植入惡意軟件、病毒等方式，對車輛進行攻擊。

OTA安全實踐

為了防范以上這些安全風(fēng)險，OTA通信需要采取一系列安全措施，如加密傳輸、數(shù)字簽名驗證、數(shù)據(jù)完整性檢測等，確保OTA通信的安全可靠。

當(dāng)然，所有的加密都是有代價的，所以對于加密的使用需要綜合我們的安全需求以及硬件和業(yè)務(wù)情況決定。帆一尚行采取了對稱加密和基于PKI技術(shù)的非對稱組合的數(shù)字信封技術(shù)，來作為OTA安全中的加密和簽名方案。下面分享下我們在OTA過程中安全流程。

首先是我們的升級包制作過程 ：

OTA平臺激活，通過PKI獲取公私鑰。

對原始包用簽名算法進行簽名。

使用對稱算法對原始升級包進行加密。

將加密升級包分發(fā)至CDN網(wǎng)絡(luò)。

? ?

接下來是車端的升級流程：

車載終端通過預(yù)設(shè)流程激活從PKI獲取終端證書，包含終端公私鑰。

OTA平臺基于PKI驗證車載終端合法性并采用終端的公鑰對對稱密鑰進行加密。

車載終端使用私鑰解密加密后的對稱密鑰。

車載終端從CDN網(wǎng)絡(luò)下載加密升級包。

車載終端利用對稱密鑰對加密升級包進行解密。

車載終端基于PKI平臺能力進行驗簽。

以上過程在具體實施過程中采用了一系列散列、數(shù)據(jù)壓縮、對稱加密及非對稱加密算法，可以歸結(jié)如下：

在身份認(rèn)證和完整性檢查方面，使用數(shù)字簽名來保證接收者收到的信息一定來自于信息所聲明的發(fā)送者。

在消息加密方面，同時使用了對稱加密和非對稱加密的方法對消息明文進行加密操作。

以上流程使用PKI進行設(shè)備接入、密鑰的分發(fā)和設(shè)備認(rèn)證，完成信任體系構(gòu)建。結(jié)合PKI技術(shù)和數(shù)字信封的思路，我們形成一個車云通信場景下的OTA基本輪廓。在保證OTA升級包安全性的同時，利用對稱加密具有計算量小、加密速度快、加密效率高的特點，減小了對終端資源的消耗，規(guī)避了非對稱加密由于算法自身的強度過高而導(dǎo)致加解密速度和對稱加密相比不夠理想的問題，利用了公鑰算法加密對稱會話密鑰提高安全性和加解密的效率。

后記

以上過程可以從概念上描述基于PKI的OTA過程。OTA的安全工作是個體系化工程，除了通過PKI保障OTA傳輸安全（管端安全），云端和車端安全同樣需要重視。例如在云端，需要采取的安全產(chǎn)品有云主機安全加固、應(yīng)用防護、WAF、DDOS攻擊防護等；在車端需要結(jié)合TEE、安全芯片等手段來保證密鑰的安全存儲、安全使用。

審核編輯：劉清