一直以来，当车辆软件部分出现故障或缺陷时，只能通过返回修理厂的方式进行“线下”修复。2012 年，随着车辆在线升级（OTA）的出现，为车辆的软件故障和缺陷提供了“线上”解决方案。随着当前自动驾驶技术的不断发展，OTA 还可以帮助车辆不断优化和加强辅助驾驶功能，以实现整车系统的不断升级，让用户获得更为优质的用车体验。但是，OTA 在给车辆召回、升级带来便利的同时，也增加了车辆可能遭受网络攻击的风险，如车辆在 OTA 过程中遭受攻击，就可能破坏或控制车内电子控制单元（ECU），给用户安全带来威胁。

一、车辆 OTA 信息安全的风险来源

车辆的 OTA 系统主要包括云服务器与车载终端两个部分，二者之间通过通信网络进行连接。车载终端除了车辆本身的车机系统外，还包括与车辆进行连接的外部互联设备，即云服务器端、网络传输端、车机端、车辆外部互联设备端等。

云服务器端。车辆 OTA 云平台中主要包含着车辆系统升级相关数据，如车辆升级日志、车辆升级包等。若黑客对云平台进行攻击时，就有可能取得软件升级包的具体数据、OTA 升级相关数据，甚至可以对软件升级包内的数据进行篡改、删除。这不仅直接影响车辆是否能够正常地进行远程升级，甚至还影响车辆的使用安全。

网络传输端。通过 OTA 技术将存储至云平台的软件升级包安全完整地传送给车载终端，需要通过网络才能实现，可以说网络传输是 OTA 云端与车载终端之间的“传送带”。然而，“传送带”本身也极易受到黑客攻击，尤其在传送过程中的通信信息未进行加密或仅进行较弱程度的加密，亦或是相关密钥信息被暴露或破解后，车辆的 OTA 升级过程中就无法具备足够的安全防护能力。攻击者可以通过抓取链路层标识以实现会话劫持，并进行重放、拒绝服务攻击（DoS），进而影响车辆的升级过程，甚至是对联网车辆进行定位与跟踪等。此外，若车辆升级包中包含自动驾驶功能（含辅助驾驶），攻击者可以通过在升级包内植入木马病毒的方式篡改升级包，待用户在使用上述功能时对车辆正常行使进行干扰，进而带来安全隐患。

车辆终端。随着车辆不断向智能化、网联化、电动化、自动化方向发展，软件定义车辆趋势日益显著。有研究指出，智能网联汽车的关键代码规模提升了 10 至 100 倍，代码漏洞就会呈指数级增长，同时车辆的电子控制单元的数量与车内连通性不断增强，导致车辆受到信息安全攻击的风险大增。例如，黑客可以直接通过车辆终端作为攻击“入侵点”伪造非法信息进入平台或车辆，导致下发恶意升级指令或上传虚假信息等。一般而言，车辆远程升级过程中，需在车辆端对升级包进行加密和签名等一系列验证环节，只有经过验证的软件升级包才可以进行正常的升级流程，但若验证的算法过于简单或验证流程存在漏洞，攻击者就可以利用漏洞构造有效的升级包，或绕过验证流程直接在部件上加载运行恶意篡改过的固件，对车辆进行进一步的攻击或者控制等恶意行为。并且密钥也存在车辆 OTA 信息安全风险，密钥是加密算法中用于更改数据而使用的字符串，一旦密钥被复制或破解，车辆的加密数据就会被动变成公开数据，此时，车辆可以被他人远程控制，如利用密钥控制车辆开关门，继而影响汽车正常驾驶。其实，对车辆进行网络攻击并不一定要等到车辆进行 OTA 升级时才进行，黑客可以根据车辆现有的系统漏洞进行攻击，直接入侵车辆。

外部互联设备端。除了车辆本身与 OTA 云端进行网络传输外，其与汽车相关联的其他设备也可能影响到 OTA 系统的信息安全，如通过入侵车辆充电设备的方式损害车辆安全，或是直接通过链接固件的方式入侵车辆系统。充电桩控制模块通过以太网与管理系统连接，在充电桩网络中传输的数据信息可能遭到截获、窃取、破解、被动攻击或非法冒充、恶意篡改等恶意威胁。一旦黑客通过物理或远程方式入侵到“桩联网”中，不仅能控制充电桩的电压、修改充电金额等数据，还可以通过上传恶意固件的方式，让充电系统在车辆充满电后继续向车辆输送电力，导致车辆电池系统受损。此外，攻击者还能通过访问配置文件或充电桩与网络服务器之间的通信记录，获取用户的个人信息。

二、OTA 信息安全风险的应对措施

建立 OTA 数据安全闭环。随着车辆智能化、网联化发展，衍生出众多与车辆 OTA 相关的信息安全风险。因此，为了保证车辆 OTA 信息安全，需要将 OTA 的全流程纳入信息安全要素，建立 OTA 的信息安全闭环。第一，在 OTA 云服务器层面，首先，车企内部开发团队或 ECU 供应商应对云平台的数据信息管理及安全防御系统进行安全测试，测试非法用户是否能够获取数据访问权限。其次，对存储在云端的数据信息进行分类管理，对其中的敏感数据着重进行加密处理，采用证书、签名、加密机制等安全措施，保障 OTA 平台的安全服务，保证升级包不会随意被制作与发布。2022 年 6 月 13 日，工业和信息化部发布的强制性国家标准《汽车软件升级通用技术要求（征求意见稿）》明确规定应具备保护升级包的过程，包括升级包的真实性与完整性，防止其在执行前被篡改、受到损害或无效软件升级。此外，还要求应确保验证和确认车辆软件的功能和代码的过程是适当、合理的。最后，在 OTA 云端要做好数据 / 风险隔离，防止因个别系统的安全问题导致黑客获得访问整个系统数据的权限，最大限度地降低因系统安全问题所造成的危害后果。第二，在网络传输阶段，车企应在通信端采用安全可靠的物理链路和安全传输协议来保证升级包传输过程中的安全。在车辆与 OTA 平台进行通信过程中，应采用安全通信协议进行数据传输，通过签名、加密、哈希等算法对数据的完整性和机密性进行保护，以确保交互信息、软件升级包等数据的安全性，防止泄露、篡改伪造等风险。第三，在车辆终端层面，车企应在车端通过功能可靠性设计、安全防御手段等方式实现车内升级的安全加载及启动运行。车辆终端设计主要分两部分，一是车辆的硬件设计，二是车辆系统的软件设计。其中，对硬件设计，根据 2023 年 5 月 6 日工业和信息化部发布的强制性标准《汽车整车信息安全技术要求（征集意见稿）》中的要求，车辆的外部接口（USB接口、诊断接口和其他接口）应进行访问控制保护，禁止非授权访问。对车辆系统设计，该征求意见稿明确了车载软件升级系统应具备安全启动功能，保护车载软件升级系统的可信根、引导加载程序、系统固件不被篡改，或篡改后无法正常启动；处理和在线升级服务器应进行身份认证，验证其身份的真实性；车载软件升级系统应对下载的在线升级包进行真实性和完整性校验，并记入在线升级过程中发生的失败事件日志。

构建 OTA 数据安全管理制度。车企应根据与车辆 OTA 相关的数据安全法规标准要求，采取系列安全保障与支撑措施。在组织治理层面，车企应建立起 OTA 数据安全管理制度，对车辆 OTA 升级的数据安全进行标准化管理。OTA 数据安全管理体系主要包含 OTA 升级相关流程、信息记录要求、安全策略、车型要求等。联合国 R156 标准就对车辆的软件升级与软件升级管理体系进行了统一规定，我国《汽车软件升级通用技术要求（征求意见稿）》也明确规定车辆制造商应建立软件升级管理体系。例如，对车辆软件升级，车辆制造商应安全储存车辆 OTA 升级相关文件且储存年限不低于车型停产后10 年。同时，车辆制造商应当确保那些具备软件识别码的车型，每个软件识别码为唯一可识别，且当软件升级导致识别车型变更的，应当同步更新该车型的软件识别码的全部信息。2021 年 7 月，工业和信息化部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》也强调，“车企应当建立与汽车产品及升级活动相适应的管理能力，具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力”。此外，在汽车产品的开发过程中，车企应将数据安全活动纳入产品开发的全过程，解决从方案确定到生产启动的整体研发过程中的安全目标设定、安全要求设计、安全方案设计、安全研发以及安全确认与验证到安全运维等核心环节。

完善车辆 OTA 数据安全法规标准体系。由于车辆 OTA 数据安全仍属于新兴领域，我国关于车辆 OTA 数据安全的法规标准体系仍在完善过程中。以车辆 OTA 升级为例，《关于加强智能网联汽车生产企业及产品准入管理的意见》要求车企具备与车辆升级活动相应的管理能力。2022 年 4 月，工业和信息化部出台《关于开展汽车软件在线升级备案的通知》，建立了 OTA 升级的分级备案制度。在 OTA 召回领域，监管要求也在不断细化。2020 年，市场监管总局发布《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》，首次建立起 OTA 召回的备案制度。2021 年 6 月，市场监管总局出台《关于汽车远程升级（OTA）技术召回备案的补充通知》，进一步要求生产者在备案采用 OTA 方式的技术服务活动或召回时应提交《汽车远程升级（OTA）安全技术评估信息表》。

因此，OTA 数据安全体系还在持续完善，尤其是健全 OTA 数据安全技术要求及标准体系。在制定 OTA 数安全相关法规标准的过程中，应当进一步明晰在OTA数据安全的框架下对车辆制造商、OTA 零部件制造商的具体要求，落实因 OTA 数据安全而引发恶性事件的责任判定与处罚。并且，还可以持续跟踪域外相关法规标准动态，在符合我国汽车产业国情的基础上，为我国制定 OTA 相关标准法规吸收国际经验。

（本文刊登于《中国信息安全》杂志2024年第2期）

来源：中国信息安全