带你厘清汽车OTA技术原理( 三 ) _OTA

最后，服务器后端使用预共享的加密密钥对的每个数据块进行加密，然后再将它们传输汽车终端。考虑到车辆中有限的资源，后端使用分块哈希加密作为加密技术。尽管这种变法可以确保不会受到窃听、拦截和篡改攻击，但是无法防止拒绝服务攻击。

文章插图

基于区块链技术2018年，Steger等人在工作中引入了区块链(BC)的架构来解决智能汽车OTA升级的安全和隐私问题。该体系结构的主要实体有:OEM、服务中心、汽车、云服务器和SW主机。该架构中，所有参与的实体组成一个集群，一旦出现了新的OTA包，SW主机上的程序就会触发软件更新过程。
首先，SW主机向云服务器发送一个带有自己签名的存储请求。在验证成功后，云服务器发送一个二次确认包，包括自己的签名和软件上传过程中需要的文件描述符发送到SW主机中。将新软件上传到云服务器后，SW主机在区块中创建一个更新事件，其中包含关于新软件在云端位置等信息。
然后SW主机中使用私钥签署这个事件，并最终将加密的事件广播给车辆。接着作者进行了本概念的验证测试，结果表明，该体系架构的性能优于基于证书的体系架构。

文章插图

对称密钥与非对称密钥的组合加密算法
2016年Steger等人在IEEE大会提出了一个名为SecUp的框架，用于对网联车进行安全高效的OTA软件更新。其中涉及到:OEM、服务中心、汽车终端和汽车维修人员。SecUp同时使用对称和非对称密钥加密来保护OTA更新过程。
汽车维修人员使用NFC智能卡与PIN码对手持设备进行对称的身份验证，然后服务后端返回会话密钥，利用该会话密钥配合汽车RSA公钥将安装包加密下发到每个汽车。接收成功后，汽车在安装前对软件用私钥进行验证解密。SecUp的性能是通过对沃尔沃ECU更新实验测试的。
结果显示，不同类型软件的更新持续时间介于6.77秒~ 33.19秒之间。

文章插图

硬件安全模块2016年Petri等人在国际汽车安全大会上提出了一种基于HSM的可信平台模块(Trusted Platform Module, TPM)的安全OTA更新机制。首先，网关ECU从远程服务器下载更新后的软件。然后ECU使用TPM中预定义的散列验证下载的软件。验证成功后，ECU将更新后的软件发送到目标ECU进行安装。使用TPM的好处是它支持许多流行的加密算法，例如RSA、SHA、AES 。主要局限性是，每个ECU都需要一个HSM/TPM算法加密机，从而导致了额外成本。
根据ABI市场研究数据报告，2022 年将有 2.03 亿辆部汽车能通过 OTA 方式更新软件,其中至少 2200 万辆汽车还能通过 OTA 更新固件，未来我们会接受到来自车辆OTA更新带来的安全问题的挑战。
OTA有什么弊端
汽车OTA可以类比手机升级系统，不过两者还是有很大的区别，尤其是安全方面。手机在进行OTA升级时，如果升级不成功，最坏的的情况就是手机变“砖头”，而汽车则不一样，如果控制转向、制动等一些与行驶相关的部件在升级程序时出现错误，就有可能造成极为严重的后果。

文章插图

作为软件，就有被攻击的可能性，而汽车在利用OTA技术升级的过程中，同样存在这样的风险。汽车在下载升级包的过程中，攻击者可以利用网络手段将被修改过的升级包发送给车辆，进而修改系统、甚至远程控制车辆。
除了被攻击以外，车辆在下载升级包的时候，如果出现网络不稳定等情况，也会导致升级包出现漏洞，进而使得车辆升级失败。所以汽车OTA就需要厂家制定出完善的升级策略，比如终端在升级过程中建立严密的验证机制，保证升级包不被篡改，同时对升级条件加以限定，保证车辆能在合适的状态下进行升级。
现在针对汽车控制器出台了网络安全法规，R155,R156就是国家在出台政策规范市场，提高信息安全。
OTA给予了主机厂控制汽车更多的权限，也会默默采集上传了车主很多的隐私，比如车辆位置、形势轨迹、图像信息和音频信息，这在蔚来的隐私政策中都有详尽的表述，无论车企是基于怎样的目的，智能化只能是在隐私保全的前提下开展。
打个不恰当的比方，你买了一栋智能住宅，却发现基于安全或莫名的理由，家里有众多摄像机和隐藏麦克风无时无刻地收集你的信息，是不是会觉得很不自在甚至毛骨悚然？更进一步，如果汽车企业在服务器安全层面被黑客攻破，不仅海量的用户数据被泄露，