OTA技術(shù)原理：

基于對稱密鑰加密技術(shù)：

2005年，Mahmud等人在核心期刊IEEE Intelligent Vehicles Symposium提出了一種智能汽車的安全更新技術(shù)。提議在原始主機廠、軟件供應(yīng)商（SS）之間共享一組鏈路密鑰。在任何軟件更新之前，使用一個鏈路密鑰在軟件供應(yīng)商和車輛之間建立安全連接，形成可信通道。

2012年，Mansour等人設(shè)計了一種診斷和安全OTA系統(tǒng)，稱為AiroDiag，用于連接車輛。下圖為AiroDiag的架構(gòu)。AiroDiag架構(gòu)的主要分為:OEM、汽車和云端。AiroDiag采用了對稱密鑰技術(shù)，特別是采用了先進的加密標(biāo)準(zhǔn)來保證軟件更新過程中的通信安全。在AiroDiag中，密鑰存儲在OEM端的數(shù)據(jù)庫中。AiroDiag應(yīng)用始終保持與網(wǎng)絡(luò)的連接，處理來自車機端的任何連接請求。在AiroDiag中，軟件更新過程由客戶端觸發(fā)。一旦觸發(fā)軟件更新過程，車輛首先與OEM建立安全連接。接下來，車輛將告知OEM端當(dāng)前已安裝軟件的版本。如果有新軟件可用，OEM將觸發(fā)軟件更新過程，并與汽車建立安全連接。

基于哈希算法：

2008年 Nilsson和Larson在IEEE大會上提出了一種用于車聯(lián)網(wǎng)的安全OTA固件更新協(xié)議。在他的架構(gòu)中分為了四個實體:車、服務(wù)器后端、互聯(lián)網(wǎng)和無線基站。在這里，服務(wù)器后端是負(fù)責(zé)與網(wǎng)聯(lián)車通信的主要單元。作者先將更新后的二進制文件劃分為多個數(shù)據(jù)塊。然后以相反的順序?qū)γ總€片段進行哈希處理，創(chuàng)建哈希表。最后，服務(wù)器后端使用預(yù)共享的加密密鑰對的每個數(shù)據(jù)塊進行加密，然后再將它們傳輸汽車終端?？紤]到車輛中有限的資源，后端使用分塊哈希加密作為加密技術(shù)。盡管這種變法可以確保不會受到竊聽、攔截和篡改攻擊，但是無法防止拒絕服務(wù)攻擊。

基于區(qū)塊鏈技術(shù)：

2018年，Steger等人在工作中引入了區(qū)塊鏈(BC)的架構(gòu)來解決智能汽車OTA升級的安全和隱私問題。該體系結(jié)構(gòu)的主要實體有:OEM、服務(wù)中心、汽車、云服務(wù)器和SW主機。該架構(gòu)中，所有參與的實體組成一個集群，一旦出現(xiàn)了新的OTA包，SW主機上的程序就會觸發(fā)軟件更新過程。首先，SW主機向云服務(wù)器發(fā)送一個帶有自己簽名的存儲請求。在驗證成功后，云服務(wù)器發(fā)送一個二次確認(rèn)包，包括自己的簽名和軟件上傳過程中需要的文件描述符發(fā)送到SW主機中。將新軟件上傳到云服務(wù)器后，SW主機在區(qū)塊中創(chuàng)建一個更新事件，其中包含關(guān)于新軟件在云端位置等信息。然后SW主機中使用私鑰簽署這個事件，并最終將加密的事件廣播給車輛。接著作者進行了本概念的驗證測試，結(jié)果表明，該體系架構(gòu)的性能優(yōu)于基于證書的體系架構(gòu)。

對稱密鑰與非對稱密鑰的組合加密算法：

2016年Steger等人在IEEE大會提出了一個名為SecUp的框架，用于對網(wǎng)聯(lián)車進行安全高效的OTA軟件更新。其中涉及到:OEM、服務(wù)中心、汽車終端和汽車維修人員。SecUp同時使用對稱和非對稱密鑰加密來保護OTA更新過程。汽車維修人員使用NFC智能卡與PIN碼對手持設(shè)備進行對稱的身份驗證，然后服務(wù)后端返回會話密鑰，利用該會話密鑰配合汽車RSA公鑰將安裝包加密下發(fā)到每個汽車。接收成功后，汽車在安裝前對軟件用私鑰進行驗證解密。SecUp的性能是通過對沃爾沃ECU更新實驗測試的。結(jié)果顯示，不同類型軟件的更新持續(xù)時間介于6.77秒~ 33.19秒之間。

硬件安全模塊：

2016年Petri等人在國際汽車安全大會上提出了一種基于HSM的可信平臺模塊(Trusted Platform Module, TPM)的安全OTA更新機制。首先，網(wǎng)關(guān)ECU從遠程服務(wù)器下載更新后的軟件。然后ECU使用TPM中預(yù)定義的散列驗證下載的軟件。驗證成功后，ECU將更新后的軟件發(fā)送到目標(biāo)ECU進行安裝。使用TPM的好處是它支持許多流行的加密算法，例如RSA、SHA、AES。主要局限性是，每個ECU都需要一個HSM/TPM算法加密機，從而導(dǎo)致了額外成本。

根據(jù)ABI市場研究數(shù)據(jù)報告，2022 年將有 2.03 億輛部汽車能通過 OTA 方式更新軟件,其中至少 2200 萬輛汽車還能通過 OTA 更新固件，未來我們會接受到來自車輛OTA更新帶來的安全問題的挑戰(zhàn)。

OTA有什么弊端

汽車OTA可以類比手機升級系統(tǒng)，不過兩者還是有很大的區(qū)別，尤其是安全方面。手機在進行OTA升級時，如果升級不成功，最壞的的情況就是手機變“磚頭”，而汽車則不一樣，如果控制轉(zhuǎn)向、制動等一些與行駛相關(guān)的部件在升級程序時出現(xiàn)錯誤，就有可能造成極為嚴(yán)重的后果。

作為軟件，就有被攻擊的可能性，而汽車在利用OTA技術(shù)升級的過程中，同樣存在這樣的風(fēng)險。汽車在下載升級包的過程中，攻擊者可以利用網(wǎng)絡(luò)手段將被修改過的升級包發(fā)送給車輛，進而修改系統(tǒng)、甚至遠程控制車輛。除了被攻擊以外，車輛在下載升級包的時候，如果出現(xiàn)網(wǎng)絡(luò)不穩(wěn)定等情況，也會導(dǎo)致升級包出現(xiàn)漏洞，進而使得車輛升級失敗。所以汽車OTA就需要廠家制定出完善的升級策略，比如終端在升級過程中建立嚴(yán)密的驗證機制，保證升級包不被篡改，同時對升級條件加以限定，保證車輛能在合適的狀態(tài)下進行升級?，F(xiàn)在針對汽車控制器出臺了網(wǎng)絡(luò)安全法規(guī)，R155,R156就是國家在出臺政策規(guī)范市場，提高信息安全。

OTA給予了主機廠控制汽車更多的權(quán)限，也會默默采集上傳了車主很多的隱私，比如車輛位置、形勢軌跡、圖像信息和音頻信息，這在蔚來的隱私政策中都有詳盡的表述，無論車企是基于怎樣的目的，智能化只能是在隱私保全的前提下開展。打個不恰當(dāng)?shù)谋确?，你買了一棟智能住宅，卻發(fā)現(xiàn)基于安全或莫名的理由，家里有眾多攝像機和隱藏麥克風(fēng)無時無刻地收集你的信息，是不是會覺得很不自在甚至毛骨悚然？更進一步，如果汽車企業(yè)在服務(wù)器安全層面被黑客攻破，不僅海量的用戶數(shù)據(jù)被泄露，而且未來像《速度與激情》那樣被黑客入侵，海量的汽車被遠程OTA控制后，可以輕易打開車門、啟動汽車，甚至啟用自動駕駛模塊來執(zhí)行某些任務(wù)或指令，成為大規(guī)模危險武器未必沒有可能，這時的安全又有誰來保障？

其次，主機廠OTA往往會淪為一種可恥的借口，為了搶先上市，而提前將功能未完善的“半成品”推向市場，讓付款消費者來充當(dāng)“小白鼠”或者“風(fēng)險承擔(dān)者”，而車企則后期借OTA升級來彌補原本測試階段的缺失，反而忽悠消費者“這是一輛不斷生長的汽車”。再次，一旦量產(chǎn)車輛出現(xiàn)大規(guī)模質(zhì)量問題或生產(chǎn)缺陷，OTA也容易成為“大規(guī)模召回”的替代詞或遮羞布，廠商通過OTA對行車電腦底層調(diào)試和運行邏輯的任意修改，也讓OTA變得更加危險。

許多品牌為了搶奪“新能源補貼窗口期”從而趕工明顯，在造車環(huán)節(jié)上借助OTA偷了不少“懶”，產(chǎn)品功能不成體系，甚至是預(yù)埋硬件，后期希望通過宣傳OTA來掩蓋當(dāng)前產(chǎn)品尚未完善的現(xiàn)實。老老實實做好設(shè)計、測試和研發(fā)環(huán)節(jié)，旗下產(chǎn)品各方面都打磨成熟了再量產(chǎn)推向市場，一旦出了問題該召回就認(rèn)認(rèn)真真通過召回制度來解決，這才是負(fù)責(zé)人的汽車企業(yè)該有的態(tài)度，而不能急功近利地玩噱頭。相比特斯來以及國內(nèi)新勢力品牌大肆宣傳自家的OTA功能，反觀日企的豐田、本田，一向以只搭載合格、成熟的功能為市場所接受，事故率相比之下很低。

當(dāng)然，不同的企業(yè)策略，也不能說哪家就一定好。

（轉(zhuǎn)載）