隨著汽車智能網(wǎng)聯(lián)化發(fā)展，OTA成為智能車必備的基礎(chǔ)功能，是車輛進(jìn)行軟硬件升級、功能上新、應(yīng)用更新、漏洞修復(fù)等的重要技術(shù)手段，實現(xiàn)了車輛持續(xù)進(jìn)化、用戶體驗持續(xù)優(yōu)化、價值持續(xù)創(chuàng)造。但OTA也成了黑客的重點攻擊對象，如進(jìn)行竊聽攻擊、惡意升級、回滾攻擊、DDOS攻擊等，使整車OTA升級面臨多維安全挑戰(zhàn)。

本文首先介紹了車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)，其次進(jìn)行OTA概述，再進(jìn)行OTA風(fēng)險分析，最后提出了做好OTA安全的整體設(shè)計思路，提升整車OTA升級的安全性。

1 車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)

1.1 網(wǎng)聯(lián)汽車信息安全，汽車行業(yè)面臨多維度安全挑戰(zhàn)

ACES（自駕、聯(lián)網(wǎng)、電動、共享）面臨的網(wǎng)絡(luò)攻擊危險包括近程攻擊、中程攻擊以及遠(yuǎn)程攻擊。

近程攻擊：近距離接觸車輛進(jìn)行攻擊的一些點，比如ECU、傳感器、IVI、OBD、OBD電子、USB卡槽、車內(nèi)網(wǎng)絡(luò)、無鑰匙進(jìn)入等的攻擊

中程攻擊：藍(lán)牙、4G5G、WiFi、IT網(wǎng)絡(luò)、移動APP等中程攻擊，比如手機(jī)通過藍(lán)牙接近車輛時，通過藍(lán)牙去控制車窗，或者對整個車輛進(jìn)行啟動的攻擊

遠(yuǎn)程攻擊：整車廠、供應(yīng)商、智能網(wǎng)聯(lián)、服務(wù)運營和云端服務(wù)等的攻擊

從上述維度看，涉及的攻擊非常多。但目前行業(yè)內(nèi)缺乏明確的安全標(biāo)準(zhǔn)，只有一些針對性協(xié)議。所以，現(xiàn)在很多車都處于裸奔狀態(tài)，比如說現(xiàn)在的一些新能源車，即使在被攻擊或在被入侵，駕駛員也沒有任何感知。

目前國內(nèi)外一些的黑產(chǎn)，對新能源汽車的軟件漏洞非常關(guān)注。根據(jù)2021年全球汽車信息安全報告，云端服務(wù)器、管端無鑰匙、端的移動APP及OBD的攻擊比例較高。近期也有一些有關(guān)黑客攻擊的新聞，比如某品牌車輛的無鑰匙進(jìn)入系統(tǒng)存在安全風(fēng)險被黑客攻破。

綜上所述，車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)現(xiàn)狀如下

攻擊手法多樣：車聯(lián)網(wǎng)架構(gòu)復(fù)雜，暴露面增多，攻擊手法多樣

無安全標(biāo)準(zhǔn)：智能網(wǎng)聯(lián)汽車協(xié)議眾多，無安全標(biāo)準(zhǔn)

無安全防御：無安全防御的網(wǎng)聯(lián)汽車，幾乎裸奔

黑客關(guān)注提升：智能網(wǎng)聯(lián)汽車攻擊收益提升，易引起黑客關(guān)注

1.2 網(wǎng)聯(lián)汽車行業(yè)規(guī)范日益增多

目前，汽車行業(yè)正處于軟件定義汽車的時代，軟件數(shù)量及復(fù)雜度越來越高，安全風(fēng)險點也越來越多，國家關(guān)注度隨之提高，出具了很多相關(guān)的規(guī)范，要求車企在制造網(wǎng)聯(lián)汽車時，必須符合相關(guān)的安全要求。

比如海外規(guī)范WP29-R155，涉及到車輛制造商需要滿足的信息安全強(qiáng)制要求以及如何進(jìn)行網(wǎng)絡(luò)安全防護(hù)。國內(nèi)即將發(fā)布一個行業(yè)要求《汽車整車信息安全技術(shù)要求》，規(guī)定了汽車整車信息安全技術(shù)要求和企業(yè)信息安全管理體系要求，涵蓋外部連接安全、車輛通信安全、軟件升級安全和數(shù)據(jù)代碼安全，并給出了對應(yīng)的測試方法。

這里再提示一下，國家法律或行業(yè)強(qiáng)制標(biāo)準(zhǔn)、影響車輛上市或不取得會遭受處罰的行業(yè)指導(dǎo)標(biāo)準(zhǔn)、可以拉開與競爭對手差異的指導(dǎo)性要求或者標(biāo)準(zhǔn)，建議企業(yè)采取。

2 OTA概述

2.1 OTA簡介

OTA（Over The Air），即遠(yuǎn)程無線升級。OTA能夠在線進(jìn)行軟件和固件更新，及時彌補(bǔ)系統(tǒng)中存在的問題而無需傳統(tǒng)的召回。OTA的應(yīng)用也表明了汽車能夠在一定程度上應(yīng)對信息安全上存在的問題及缺陷。OTA技術(shù)幾乎成為新車的標(biāo)配，其不僅可以通過遠(yuǎn)程升級令車輛“常用常新”，也逐漸成為消除車輛隱患的手段之一。

OTA 分為兩類，F(xiàn)OTA和SOTA 。

2.2 傳統(tǒng)軟件升級流程

傳統(tǒng)車輛軟件升級流程如下圖。車廠通知4S店某個系統(tǒng)可以升級，4S店再通知車主，車廠發(fā)送更新的軟件CD到4S店，車主將車送到4S店進(jìn)行升級，升級驗證完成后，將車輛交付給車主，4S店再將升級成功的信息反饋給車廠。

沒有OTA的安全風(fēng)險

如果沒有OTA，只進(jìn)行傳統(tǒng)的軟件升級，就會出現(xiàn)很多風(fēng)險。

首先，升級導(dǎo)致多種問題，如某些功能不能正常使用、汽車變成磚頭等。隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車輛的軟件數(shù)量會越來越多，車輛升級也會更加頻繁，若采用傳統(tǒng)的軟件升級，當(dāng)批量車輛前往4S店升級時，就需要投入大量的人力及資金。同時，如果車輛升級時產(chǎn)生的問題沒有進(jìn)行及時解決，那么事故就會越來越多。而作為車主，則需要花費大量的時間、精力去解決這些問題。

2.3 OTA升級流程

如何可以以更省時的方式更新車載軟件，同時確保質(zhì)量和安全呢？這就產(chǎn)生了OTA。OTA升級流程見下圖。

OTA的流程，可以分成三個階段，第一步云端生產(chǎn)固件或軟件更新包，第二步通過通訊管端，安全傳輸下載更新包，第三步在車端實現(xiàn)更新包的安裝。

OTA服務(wù)端把升級包推向PKI服務(wù)，進(jìn)行相關(guān)的簽名認(rèn)證，此時的升級包除了升級包的內(nèi)容以外，還有一個簽名認(rèn)證，安全性更高。那再把這個包推到CDN上，告訴車輛需要進(jìn)行某個版本的OTA，車主確認(rèn)后，車端進(jìn)行軟件包下載、升級包驗簽、升級包解密、安全刷寫等進(jìn)行升級。T-BOX是車上的網(wǎng)聯(lián)設(shè)備，它可以連接外部網(wǎng)絡(luò)訪問CDN，把相關(guān)的升級包拉下來，通過網(wǎng)關(guān)進(jìn)行一些升級，如車機(jī)大屏、IVI、ECU的升級，這就是整個OTA的升級流程。

需要注意的是，車輛進(jìn)行OTA升級的前提是車主必須同意，不能在車主未知、未了解情況時進(jìn)行升級。

3 OTA風(fēng)險分析

3.1 OTA安全風(fēng)險

在OTA升級的流程中，很多節(jié)點都存在安全風(fēng)險，如OTA服務(wù)、PKI服務(wù)、T-BOX、PKI服務(wù)與T-BOX之間交互、T-BOX推向網(wǎng)關(guān)的鏈路等，均可被黑客控制，進(jìn)行安全攻擊。

3.2 OTA的安全分析

基于OTA的安全風(fēng)險分析，建立威脅模型，如下圖。

從威脅場景的攻擊維度看，包括ECU安全風(fēng)險、密鑰安全風(fēng)險、車內(nèi)外的中間人攻擊風(fēng)險。攻擊目標(biāo)維度，有一個重要點，是要限制任意軟件攻擊。目前，車機(jī)上并不允許下載所有的APP，目的就是為了避免沒有經(jīng)過安全驗證的軟件攻擊。功能拒絕上，要拒絕回滾攻擊、DD0S攻擊、混合捆綁攻擊及混合攻擊。拒絕更新上，要拒絕捆綁安裝攻擊、丟棄請求攻擊，丟棄請求攻擊即請求被攔截的攻擊。讀取更新上，要拒絕竊聽更新。

在整體威脅模型里，還要進(jìn)行防守，如緩解安全風(fēng)險、進(jìn)行惡意升級檢測。

3.3 各類風(fēng)險分析

OTA安全風(fēng)險存在于升級的各個流程，常見的各類安全風(fēng)險如下表所示。

4 如何做好OTA安全

4.1 資質(zhì)認(rèn)證

針對OTA存在的風(fēng)險挑戰(zhàn)，首先要進(jìn)行資質(zhì)認(rèn)證，使OTA符合相關(guān)的技術(shù)規(guī)范或強(qiáng)制性要求等。

首先，OTA相關(guān)政策包括數(shù)據(jù)安全保護(hù)法、信息安全保護(hù)法、網(wǎng)絡(luò)安全保護(hù)法、汽車安全數(shù)據(jù)管理、汽車數(shù)據(jù)安全采集、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例，如果車輛要銷往海外，還需要符合GDPR。

其次，OTA相關(guān)認(rèn)證可分為人、數(shù)據(jù)、車三方面的認(rèn)證。有關(guān)人的認(rèn)證，包括ISO27701 、ISO27701隱私認(rèn)證、 ISO/IEC 29151、APP 安全認(rèn)證、個人信息保護(hù) 、MTCS。針對數(shù)據(jù)的認(rèn)證包括ISO38505、等保、SOC、CSA STAR、TISAX（可信信息安全傳輸交換） 。有關(guān)車的認(rèn)證包括車輛網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)相關(guān)的聯(lián)合國汽車標(biāo)準(zhǔn)化組織WP29、ISO21434 /SAE 3061、SOTF:ISO 21448 。

最后，基于政策和認(rèn)證，車企在內(nèi)部要建立相關(guān)的OTA安全體系，包括信息安全管理體系、數(shù)據(jù)安全管理體系、車安全管理體系。針對人，可以進(jìn)行相關(guān)的信息安全管理，包括安全管理組織、安全管理、安全人員管理、系統(tǒng)運維管理、資產(chǎn)安全管理、應(yīng)用安全管理、網(wǎng)絡(luò)安全管理、安全終端管控。針對數(shù)據(jù)安全管理，可進(jìn)行數(shù)據(jù)安全管理、數(shù)據(jù)分類分級、數(shù)據(jù)安全采集、隱私保護(hù)管理、數(shù)據(jù)合規(guī)管理、數(shù)據(jù)安全審計、數(shù)據(jù)跨境管理、數(shù)據(jù)共享管理、業(yè)務(wù)數(shù)據(jù)管理。針對車輛安全管理，可進(jìn)行整車網(wǎng)絡(luò)安全威脅分析與風(fēng)險評估（TARA）、整車信息安全全生命周期管理（CSMS）、車聯(lián)網(wǎng)安全檢測管理。

4.2 構(gòu)建安全威脅分析與風(fēng)險評估（TARA）

安全威脅分析及風(fēng)險評估（TARA），是識別潛在的安全威脅、評估與威脅相關(guān)的風(fēng)險的過程，是ISO21434中威脅分析和風(fēng)險評估的方法論，屬于聯(lián)合國WP.29 R155對于網(wǎng)絡(luò)安全管理體系認(rèn)證（CSMS）的方法論基礎(chǔ)，與車輛功能安全領(lǐng)域危害分析和風(fēng)險評估（HARA）方法論一起，構(gòu)成了車輛安全的兩大方法論。

在整個TARA分析流程中，第一階段是概念與設(shè)計。首先要進(jìn)行資產(chǎn)識別，比如在威脅場景中要涉及到操作系統(tǒng)、要涉及到哪些協(xié)議或控制域等。資產(chǎn)識別完成以后，要進(jìn)行相關(guān)的威脅建模，比如操作系統(tǒng)本身會有哪些風(fēng)險，某個模塊與控制域通過協(xié)議交互過程中會有哪些風(fēng)險，然后進(jìn)行脆弱性分析、攻擊路徑分析，并對風(fēng)險進(jìn)行估值，設(shè)計風(fēng)險處置與防護(hù)方案。

第二階段要進(jìn)行研發(fā)與測試，對信息安全進(jìn)行測試，對整體威脅場景進(jìn)行漏洞挖掘及攻擊性行為分析，對識別出來的風(fēng)險進(jìn)行驗證與處置。

第三階段是生產(chǎn)、運營、報廢階段，在發(fā)現(xiàn)了安全風(fēng)險后已進(jìn)行了驗證和處置，這一步可以利用OTA進(jìn)行升級，解決這些安全風(fēng)險。

4.3 構(gòu)建汽車信息安全管理體系

基于汽車產(chǎn)品全生命周期的信息安全風(fēng)險，構(gòu)建汽車信息安全管理體系，包括構(gòu)建組織管理體系、產(chǎn)品生命周期管理體系及外部管理體系三部分。

組織管理包括文化治理、信息共享、工具管理，由于車輛本身的復(fù)雜性，項目管理體系及其重要。產(chǎn)品生命周期管理包括項目管理、概念、研發(fā)、生產(chǎn)、運行、報廢六大部分。外部管理包括供應(yīng)商管理及用戶管理。

構(gòu)建汽車信息安全管理體系的意義

滿足合規(guī)要求：依據(jù)企業(yè)實際情況，以滿足合規(guī)要求為目標(biāo)， 協(xié)助推進(jìn)智能網(wǎng)聯(lián)汽車信息安全管理體系方案的實施，為汽車信息安全體系認(rèn)證做準(zhǔn)備。

強(qiáng)化內(nèi)控機(jī)制，保障業(yè)務(wù)連續(xù)性：建設(shè)和完善汽車信息安全流程和制度，強(qiáng) 化過程管理；按照制度強(qiáng)化對汽車整體信息安全工作的管理和協(xié)調(diào)，保障制度落地。

進(jìn)一步優(yōu)化完善現(xiàn)有流程規(guī)范：優(yōu)化完善現(xiàn)有的安全管理體系，以適應(yīng)智能網(wǎng)聯(lián) 汽車信息安全不斷發(fā)展的需要。

4.4 構(gòu)建安全免疫架構(gòu)

如果把整車看成一個人，人生病的時候會有一定的免疫力，那么也可以給車輛建立一定的免疫能力，通過在云、管、端建立免疫防御能力、免疫監(jiān)視能力、免疫自穩(wěn)能力，構(gòu)建安全防御架構(gòu)。

云端的免疫防御包括WAF、PKI、接口安全、云原生安全、安全配置、應(yīng)用安全、授權(quán)管理、安全網(wǎng)關(guān)。云端免疫監(jiān)視包括V-SOC、威脅情報、數(shù)據(jù)安全、業(yè)務(wù)監(jiān)控。云端自穩(wěn)包括數(shù)據(jù)分類分級、應(yīng)用安全。

管端的免疫防御包括防中間人、抗DDOS、傳輸安全、無線安全。免疫監(jiān)視包括GPS欺騙監(jiān)控、藍(lán)牙監(jiān)控。免疫自穩(wěn)包括V2X通信的安全。

端的免疫防御包括APP安全加固、設(shè)備認(rèn)證、TEE、SecOc、證書和秘鑰部署、車載防火墻、主機(jī)安全、OTA安全。免疫監(jiān)視包括車鑰匙安全、充電樁安全、車控安全監(jiān)控、數(shù)據(jù)采集安全、主機(jī)安全、固件刷寫。免疫自穩(wěn)包括TARA、CSMS。

4.5 構(gòu)建安全開發(fā)流程（DevSecOps）架構(gòu)

DevSecOps是DevOps的延伸，即在軟件開發(fā)測試的整個生命周期內(nèi)，將Sec（安全，Security）融入DevOps實踐中，提高車輛安全性。

車端研發(fā)安全生命周期中，在Epic&Story階段進(jìn)行安全可行性&固有風(fēng)險評估。CODING階段進(jìn)行安全編碼指南、源代碼安全I(xiàn)DE本地掃描。DEV階段進(jìn)行源代碼安全掃描、開源組件安全掃描。SIT階段進(jìn)行APP安全掃描/SDK隱私合規(guī)掃描、接口安全掃描、安全滲透測試、輸出自動化安全報告。UAT 階段進(jìn)行外部滲透測試、Docker安全掃描。產(chǎn)品上線后建立安全運營平臺。

一般互聯(lián)網(wǎng)企業(yè)更多關(guān)注云端的安全研發(fā)流程，但是車端還需要關(guān)注APP、嵌入式的研發(fā)安全，安全關(guān)注度覆蓋面更廣。

4.6 車聯(lián)網(wǎng)安全應(yīng)急響應(yīng)&威脅情報平臺

安全漏洞響應(yīng)平臺是集安全測試、漏洞挖掘、漏洞情報、專家響應(yīng)、定制化服務(wù)于一體的綜合性車聯(lián)網(wǎng)安全服務(wù)平臺。

安全應(yīng)急響應(yīng) ：安全部牽頭建立應(yīng)急響應(yīng)中心，應(yīng)對各類突發(fā)事件，形成應(yīng)急響應(yīng)分級標(biāo)準(zhǔn)，聯(lián)合業(yè)務(wù)部門依照相關(guān)應(yīng)急預(yù)案落地執(zhí)行，幫助業(yè)務(wù)正確應(yīng)對安全事件，降低安全事件帶來的損失和影響。

威脅情報：購買第三方威脅情報庫 、自建威脅情報庫

業(yè)務(wù)聯(lián)動：業(yè)務(wù)漏洞修復(fù) 、法務(wù)&市場輿情應(yīng)對

4.7 安全人才培養(yǎng)

如何進(jìn)行安全人才培養(yǎng)，可從下面三方面入手。

安全研究

模擬仿真車載系統(tǒng)、云端、APP、總線協(xié)議、ECU，將攻 擊場景還原進(jìn)行相關(guān)的科研研究。

人才培養(yǎng)

內(nèi)置漏洞靶場所對應(yīng)的靶標(biāo)、漏洞庫與培訓(xùn)視頻，可以 進(jìn)行車聯(lián)網(wǎng)安全人才培養(yǎng)。

一般互聯(lián)網(wǎng)企業(yè)，只用對安全部門人員進(jìn)行培訓(xùn)。但車端的安全培訓(xùn)，需要對業(yè)務(wù)部門比如電子電氣架構(gòu)部門、OTA業(yè)務(wù)流程部門等相關(guān)人員進(jìn)行車聯(lián)網(wǎng)安全培訓(xùn)，了解整個OTA流程中存在的風(fēng)險，提高在方案設(shè)計或工作中的安全意識。

競賽演練

紅藍(lán)演練、眾測漏洞挖掘、應(yīng)急演習(xí)等活動，進(jìn)行人才 選拔，能力提升。

4.8 極氪車聯(lián)網(wǎng)安全團(tuán)隊

近年來，越來越多的主機(jī)廠建立了車聯(lián)網(wǎng)安全團(tuán)隊，以提升車聯(lián)網(wǎng)安全。下面以電動汽車行業(yè)的佼佼者極氪車聯(lián)網(wǎng)安全團(tuán)隊為例，了解車聯(lián)網(wǎng)安全團(tuán)隊。

極氪車聯(lián)網(wǎng)安全團(tuán)隊“ZEEKRZERO”是極氪信息安全部門下的單獨負(fù)責(zé)極氪全線車系的車聯(lián)網(wǎng)安全滲透以及安全研究的團(tuán)隊，成員均來自國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全攻防研究團(tuán)隊，覆蓋整車滲透測試的全領(lǐng)域，迄今已有5余項研究議題入選HITB、44Con、Zer0Con等著名國際安全會議，發(fā)現(xiàn)的漏洞獲得CVE編號50個。團(tuán)隊立足車聯(lián)網(wǎng)安全領(lǐng)域技術(shù)研究車聯(lián)網(wǎng)安全產(chǎn)品研發(fā)、提升內(nèi)部車聯(lián)網(wǎng)安全體系，打造全新的車聯(lián)網(wǎng)內(nèi)生安全。

4.9 極氪車聯(lián)網(wǎng)安全實驗室架構(gòu)

極氪車聯(lián)網(wǎng)安全實驗室致力于車聯(lián)網(wǎng)安全領(lǐng)域技術(shù)研究、車聯(lián)網(wǎng)安全產(chǎn)品研發(fā)、為打造全新的車聯(lián)網(wǎng)內(nèi)生安全提供基礎(chǔ)。極氪車聯(lián)網(wǎng)安全實驗室架構(gòu)如下：

汽車整車測試區(qū)

整車游試區(qū)包括臺架和轉(zhuǎn)轂系統(tǒng)，用于對汽車整車網(wǎng)絡(luò)、整車模塊，整車動態(tài)安全測試，目的是為了發(fā)現(xiàn)整車電氣和網(wǎng)絡(luò)中存在的問題。

測試工位

測試工位用戶安全工程師對車載模組進(jìn)行安全測試，測試對象包括ECU、IVI、T-BOX等。

屏蔽室

屏蔽室用于車教藍(lán)牙、車載4G網(wǎng)絡(luò)、車載射預(yù)信號的安全測試，防止外部信號和電磁干擾。

接待區(qū)

用于接待參觀，設(shè)置展示大屏，展示實驗室當(dāng)前的數(shù)據(jù)大盤和汽車安全實驗室能力介紹。

實驗室具有以下能力：整車總線網(wǎng)絡(luò)安全檢測能力；ECU及IVI等模組安全檢測能力；藍(lán)牙、WIFI、4G安全檢測能力。

4.10 車聯(lián)網(wǎng)安全能力覆蓋

極氪車聯(lián)網(wǎng)安全團(tuán)隊及實驗室，具備以下能力

安全比賽：承辦車聯(lián)網(wǎng)安全比賽 、參與國內(nèi)的車聯(lián)網(wǎng)安全比賽

安全培訓(xùn)：實驗室成員提供車聯(lián)網(wǎng)安全相關(guān)培訓(xùn)及實操培訓(xùn)；參與車輛設(shè)計需求研發(fā)等各階段，發(fā)現(xiàn)其中的網(wǎng)絡(luò)安全風(fēng)險和安全合規(guī)風(fēng)險，并提供給需求方完善的安全解決方案

安全研發(fā)：自主研發(fā)包括API安全掃描、開源組件安全掃描等應(yīng)用于開發(fā)流程的自動化安全掃描系統(tǒng) ；自主研發(fā)固件、二進(jìn)制自動化掃描等系統(tǒng) ；車端安全加固研發(fā)

安全檢測：通過自研的自動化掃描工具以及人工的測試，覆蓋整車、電子電氣架構(gòu)各組件模塊及供應(yīng)商提供的交付物的安全測試，發(fā)現(xiàn)安全漏洞并協(xié)助業(yè)務(wù)修復(fù)漏洞

安全運營：VSOC態(tài)勢感知、PKI基礎(chǔ)設(shè)施、漏洞管理、應(yīng)急響應(yīng)

本文概述了目前車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)，并對OTA及OTA風(fēng)險進(jìn)行了分析，最后通過介紹資質(zhì)認(rèn)證、TARA、構(gòu)建汽車信息安全管理體系、構(gòu)建安全免疫架構(gòu)、 構(gòu)建安全開發(fā)流程（DevSecOps）架構(gòu)、安全人才培養(yǎng)等方法幫助智能網(wǎng)聯(lián)汽車實現(xiàn)OTA安全，對提升OTA安全具有很好的借鑒意義。

審核編輯 ：李倩