近年來，智能汽車已成為全球汽車產業發展的戰略方向，汽車技術與工程核心逐漸從傳統硬件層面轉移到軟件層面，汽車行業已經踏上了軟件定義汽車（SDV）的變革之路。

在SDV的大趨勢下，汽車零部件智能化水平不斷提高，車輛內部搭載的軟件也越來越多。毫無疑問，車輛復雜度的提高必將帶來維護上的困難，車企要如何面對更新迭代速度越來越快的軟件、固件系統？OTA（over the air）技術在軟件定義汽車中扮演了核心角色，幫助車企遠程實現車輛功能升級、性能優化、缺陷修復，為用戶帶來更好的服務和體驗。車企也得以和用戶建立更好、更深遠的聯系。

OTA安全風險

作為車企修復軟件固件漏洞、迭代改進軟件功能的重要途徑，OTA的快速普及讓其成為黑客的重點研究對象。總體上OTA常見的安全風險包括以下幾個：

身份假冒

攻擊者偽裝OTA通信中的發送方或接收方身份。

竊聽攻擊

攻擊者在OTA傳輸過程中竊取數據包，從而獲取升級包內的敏感信息。

數據篡改

攻擊者可能會對OTA升級包進行篡改，通過植入惡意軟件、病毒等方式，對車輛進行攻擊。

OTA安全實踐

為了防范以上這些安全風險，OTA通信需要采取一系列安全措施，如加密傳輸、數字簽名驗證、數據完整性檢測等，確保OTA通信的安全可靠。

當然，所有的加密都是有代價的，所以對于加密的使用需要綜合我們的安全需求以及硬件和業務情況決定。帆一尚行采取了對稱加密和基于PKI技術的非對稱組合的數字信封技術，來作為OTA安全中的加密和簽名方案。下面分享下我們在OTA過程中安全流程。

首先是我們的升級包制作過程 ：

OTA平臺激活，通過PKI獲取公私鑰。

對原始包用簽名算法進行簽名。

使用對稱算法對原始升級包進行加密。

將加密升級包分發至CDN網絡。

? ?

接下來是車端的升級流程：

車載終端通過預設流程激活從PKI獲取終端證書，包含終端公私鑰。

OTA平臺基于PKI驗證車載終端合法性并采用終端的公鑰對對稱密鑰進行加密。

車載終端使用私鑰解密加密后的對稱密鑰。

車載終端從CDN網絡下載加密升級包。

車載終端利用對稱密鑰對加密升級包進行解密。

車載終端基于PKI平臺能力進行驗簽。

以上過程在具體實施過程中采用了一系列散列、數據壓縮、對稱加密及非對稱加密算法，可以歸結如下：

在身份認證和完整性檢查方面，使用數字簽名來保證接收者收到的信息一定來自于信息所聲明的發送者。

在消息加密方面，同時使用了對稱加密和非對稱加密的方法對消息明文進行加密操作。

以上流程使用PKI進行設備接入、密鑰的分發和設備認證，完成信任體系構建。結合PKI技術和數字信封的思路，我們形成一個車云通信場景下的OTA基本輪廓。在保證OTA升級包安全性的同時，利用對稱加密具有計算量小、加密速度快、加密效率高的特點，減小了對終端資源的消耗，規避了非對稱加密由于算法自身的強度過高而導致加解密速度和對稱加密相比不夠理想的問題，利用了公鑰算法加密對稱會話密鑰提高安全性和加解密的效率。

后記

以上過程可以從概念上描述基于PKI的OTA過程。OTA的安全工作是個體系化工程，除了通過PKI保障OTA傳輸安全（管端安全），云端和車端安全同樣需要重視。例如在云端，需要采取的安全產品有云主機安全加固、應用防護、WAF、DDOS攻擊防護等；在車端需要結合TEE、安全芯片等手段來保證密鑰的安全存儲、安全使用。

審核編輯：劉清