智能網(wǎng)聯(lián)汽車軟件在線升級安全風(fēng)險分析及管理對策建議*

吳勝男 朱云堯 冀浩杰 付興坤

（1.中國汽車工程研究院股份有限公司，重慶 404100；2.北京信息科技大學(xué)，北京 100192；3.泰安北航科技園信息科技有限公司，泰安 271000）

主題詞：智能網(wǎng)聯(lián)汽車 軟件在線升級 安全風(fēng)險 對策建議

1 引言

遠程在線升級（Over-The-Air,OTA）是基于移動通信網(wǎng)絡(luò)接口完成對移動終端產(chǎn)品的軟件數(shù)據(jù)升級管理的技術(shù)，包含軟件遠程升級（Software Over The Air, SOTA）和固件遠程升級（Firmware Over The Air,FOTA），主要用于智能手機行業(yè)[1]。對于汽車行業(yè)而言，2000年后，日本汽車制造廠商開始對配置T-BOX車載控制單元的汽車進行T-BOX系統(tǒng)的OTA遠程升級。在此以后，部分汽車制造廠商開始對具備遠程通信功能的車載信息娛樂系統(tǒng)（In-Vehicle Infotainment,IVI）進行OTA遠程升級，如導(dǎo)航地圖、應(yīng)用音樂等，從OTA遠程升級的功能內(nèi)容范圍分析，此時汽車行業(yè)主要針對車載信息娛樂系統(tǒng)和簡單的電器部件控制功能，屬于SOTA 的范疇。從汽車OTA 遠程升級更新內(nèi)容上分析，特斯拉Model S是一款真正搭載FOTA技術(shù)的汽車，通過遠程升級修復(fù)安全漏洞、提升產(chǎn)品性能、改善用戶體驗[2]。自2018年以來，國內(nèi)汽車OTA遠程升級在功能搭載率、升級內(nèi)容等方面均實現(xiàn)快速提升，OTA 遠程升級發(fā)展逐漸擴大化，并催生一批功能選裝、硬件免費+軟件收費等新型商業(yè)模式。由于智能化、網(wǎng)聯(lián)化技術(shù)的賦能，OTA 遠程升級技術(shù)將成為未來汽車產(chǎn)品軟件數(shù)據(jù)更新的主要方式，逐漸成為汽車智能化、網(wǎng)聯(lián)化的標準配置，汽車產(chǎn)業(yè)將迎來“越用越新”的時代。

本文主要從汽車軟件在線升級架構(gòu)、流程、最新管理實踐方面，研究汽車軟件在線升級的潛在風(fēng)險和發(fā)展重點。

2 國內(nèi)外汽車軟件在線升級管理最新進展

智能網(wǎng)聯(lián)汽車OTA 遠程升級的軟件數(shù)據(jù)內(nèi)容不僅包含智能座艙、車聯(lián)網(wǎng)，還擴展到汽車行車系統(tǒng)控制層和自動駕駛（圖1）[3]。OTA 遠程升級將深度變革汽車產(chǎn)品定義、開發(fā)、驗證、銷售、服務(wù)全過程。當前，汽車OTA遠程升級范圍，已從信息娛樂系統(tǒng)逐漸擴展至制動能量回收系統(tǒng)、電池管理系統(tǒng)、智能座艙、輔助駕駛功能等領(lǐng)域，不同功能域的性能參數(shù)均發(fā)生變更，產(chǎn)品缺陷修復(fù)方式更加靈活多樣[4-5]。從一定程度來看，屬于汽車“再造”屬性，升級后的汽車產(chǎn)品如何滿足生產(chǎn)一致性管理要求，如何進行汽車安全影響評估，如何界定消除汽車產(chǎn)品缺陷和性能改進的邊界等，均對傳統(tǒng)汽車靜態(tài)固化的管理模式帶來新的挑戰(zhàn)。

圖1 智能網(wǎng)聯(lián)汽車應(yīng)用軟件[3]

國外以聯(lián)合國和日本為代表，已出臺具體法規(guī)要求對汽車OTA進行管理。目前，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇發(fā)布3項涉及智能網(wǎng)聯(lián)汽車信息安全的重要法規(guī)UN Regulation No.155、UN Regulation No.156、UN Regulation No.157，其 中UN Regulation No.155 和UN Regulation No.156 法規(guī)要求銷售到58 協(xié)約國的汽車制造企業(yè)必須獲得政府監(jiān)管部門的汽車信息安全管理認證和汽車軟件升級管理體系認證，汽車軟件升級管理體系認證要求汽車制造企業(yè)從軟件更新過程，軟件更新的安全性要求、已安裝軟件的標識等方面建立軟件升級管理體系，政府監(jiān)管部門會保持認證結(jié)果不定期復(fù)審。

日本對于汽車OTA遠程升級管理處于領(lǐng)先位置，為促進自動駕駛產(chǎn)業(yè)的快速落地，先后出臺或修訂了《道路車輛運輸法》《車輛特定改造許可制度》《道路運輸車輛保安基準》《審查事務(wù)規(guī)程》等文件，從上位法、管理制度、法規(guī)要求等維度，對汽車OTA 在線升級申請、審查、驗證、許可等關(guān)鍵環(huán)節(jié)構(gòu)建了較為完善的管理體系[6-8]。日本將汽車OTA 遠程升級作為汽車制造企業(yè)對已銷售車型改裝應(yīng)用的一種技術(shù)方式，針對具備OTA 遠程升級改裝的汽車制造企業(yè)，其需要建立軟件升級和網(wǎng)絡(luò)安全等制度管理體系，并且國家監(jiān)管部門不定期審查已建立的軟件升級和網(wǎng)絡(luò)安全等制度管理體系的執(zhí)行狀態(tài)，此外汽車制造企業(yè)在OTA 升級前需向日本國土交通部提交汽車軟件升級申請材料，經(jīng)國土交通部批準后方可執(zhí)行汽車OTA遠程升級。

此外，國際相關(guān)標準組織為減少汽車OTA遠程升級質(zhì)量問題，先后發(fā)布了SAE J3061（2016）、Uptane IEEE-ISTO 6100.1.0.0（2018）、ISO/SAE 21434（2021）等行業(yè)標準，從信息安全工程體系建設(shè)、安全測試技術(shù)和汽車安全防護框架等方面提供標準化OTA 遠程升級產(chǎn)品解決方案。另外，國際標準化組織為支撐UN Regulation No.156- Software update and software update management system 法規(guī)在企業(yè)體系的實施，ISO 24089《道路車輛軟件升級工程》已正式立項，旨在提出車載軟件更新所涉及的功能安全和信息安全方面的要求，明確軟件升級管理系統(tǒng)、車輛、電子電氣架構(gòu)和軟件包的設(shè)計開發(fā)流程，支撐相關(guān)法規(guī)的實施。綜合來看，國際上已出臺的法規(guī)和標準從OTA遠程升級前對車況的正確感知，到OTA 遠程升級結(jié)果完整性、功能性驗證、升級內(nèi)容防篡改機制，再到升級失敗后車輛自動還原到可用狀態(tài)、更新內(nèi)容和過程可追溯，以及完備的安全監(jiān)控和審計機制、告知車主更新內(nèi)容及保護措施等方面，對汽車OTA遠程升級安全均強化了管理要求。

我國行業(yè)主管部門高度重視汽車OTA 遠程升級管理?？傮w來看，我國以備案方式開展汽車OTA 管理，對汽車OTA 升級進行規(guī)范管理。具體來看，從新車準入和在用車管理角度先后出臺了《市場監(jiān)管總局辦公廳關(guān)于進一步加強汽車遠程升級（OTA）技術(shù)召回監(jiān)管的通知》《關(guān)于開展汽車軟件在線升級備案的通知》等管理政策。其中，《市場監(jiān)管總局辦公廳關(guān)于進一步加強汽車遠程升級（OTA）技術(shù)召回監(jiān)管的通知》提出對OTA 遠程升級追溯、對OTA 遠程升級技術(shù)服務(wù)活動和OTA 遠程升級召回備案進行管理。《關(guān)于開展汽車軟件在線升級備案的通知》對企業(yè)遠程升級過程進行管理，主要體現(xiàn)在OTA 遠程升級過程管理、安全應(yīng)急響應(yīng)、升級版本、信息記錄等。此外，工信部發(fā)布的《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》也提到準入測試應(yīng)開展OTA 遠程升級安全測試和升級過程測試?！蛾P(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》提出要對OTA 遠程升級安全和網(wǎng)絡(luò)安全狀態(tài)進行評估檢驗。市場監(jiān)管總局等部委聯(lián)合發(fā)布的《關(guān)于試行汽車安全沙盒監(jiān)管制度的通告》，提出對使用遠程升級等新功能模式的車輛開展深度測試，更早發(fā)現(xiàn)質(zhì)量安全問題，保障安全底線。

從標準法規(guī)來看，我國在2022年6月已發(fā)布了強制性國家標準《汽車軟件升級通用技術(shù)要求》（征求意見稿），該標準規(guī)定了汽車軟件升級的管理體系要求、車輛要求、試驗方法、車輛型式的變更和擴展、說明書要求等，從技術(shù)法規(guī)角度進一步完善汽車OTA遠程升級管理要求。

3 汽車軟件在線升級存在的主要安全問題

汽車OTA 遠程升級系統(tǒng)架構(gòu)主要由遠程升級云服務(wù)器端、云端數(shù)據(jù)傳輸和汽車產(chǎn)品應(yīng)用終端組成[9-10]。遠程升級云服務(wù)器端和汽車產(chǎn)品應(yīng)用終端采用一對多的方式，部署在汽車制造企業(yè)數(shù)據(jù)中心的私有云服務(wù)平臺為遠程升級云服務(wù)器端，利用公有云的內(nèi)容分發(fā)技術(shù)（Content Delivery Network,CDN）實現(xiàn)位于不同地區(qū)的不同汽車同時更新[11]。遠程升級系統(tǒng)架構(gòu)見圖2。

圖2 汽車OTA系統(tǒng)架構(gòu)[11]

通過功能測試的汽車軟件遠程升級數(shù)據(jù)包，在OTA遠程升級云服務(wù)器完成刷寫驗證流程，經(jīng)遠程升級云服務(wù)器工程設(shè)計人員在遠程升級云服務(wù)器部署車端控制器的軟件數(shù)據(jù)包，建立遠程升級任務(wù)，利用車載遠程升級主控單元執(zhí)行端與遠程升級服務(wù)器的無線通信鏈路，匹配和下載遠程升級軟件數(shù)據(jù)文件，實現(xiàn)待升級車載控制單元的遠程軟件數(shù)據(jù)下載、軟件數(shù)據(jù)安裝過程[12-14]，OTA遠程升級主要流程見圖3。

圖3 汽車OTA升級流程

從汽車OTA遠程升級的系統(tǒng)框架分析，在遠程升級的每個流程中均存在安全風(fēng)險，常見的安全風(fēng)險包含遠程在線升級云服務(wù)器風(fēng)險、軟件數(shù)據(jù)傳輸風(fēng)險、遠程在線升級服務(wù)器與車載遠程在線升級控制單元之間的通訊協(xié)議風(fēng)險、車內(nèi)通信網(wǎng)絡(luò)風(fēng)險、軟件在線升級數(shù)據(jù)包被篡改風(fēng)險[15-16]。據(jù)統(tǒng)計，利用OTA 遠程升級端口的攻擊方式已成為汽車產(chǎn)品當前面臨的最高風(fēng)險，如果出現(xiàn)安全事件，其影響范圍包含汽車運行狀態(tài)、車主隱私數(shù)據(jù)泄露、車主財務(wù)損失，更為嚴重的安全事件會涉及到車主的人身傷亡[17]。如何在軟件快速迭代進程中確保軟件質(zhì)量和升級成功率、如何準確評估識別復(fù)雜電子電器系統(tǒng)升級必要性和升級軟件準確性、如何確保軟件在線升級合規(guī)等關(guān)鍵問題，均對程序可靠性、數(shù)據(jù)完整性、系統(tǒng)安全性和傳輸連通性方面提出了更高要求。

從用戶使用來看，OTA遠程升級可涉及產(chǎn)品技術(shù)參數(shù)和控制策略調(diào)整，安全風(fēng)險有待評估，一定程度上影響用車安全；部分OTA遠程升級并未明確告知車主遠程在線升級的理由，以及遠程在線升級的內(nèi)容和升級后對汽車的影響，侵犯用戶合法權(quán)益；OTA 遠程升級過程中還可獲取智能網(wǎng)聯(lián)汽車位置信息和汽車使用數(shù)據(jù)等個人隱私數(shù)據(jù)，面臨著數(shù)據(jù)安全風(fēng)險及車主隱私數(shù)據(jù)保護問題。

從汽車產(chǎn)品來看，頻繁的OTA遠程升級導(dǎo)致先期投發(fā)車型配置與不斷自動升級的軟件系統(tǒng)不相匹配，車載控制單元的硬件能力不足，軟件系統(tǒng)運行速度慢，將影響產(chǎn)品正常運行，不利于可持續(xù)發(fā)展。

從產(chǎn)業(yè)生態(tài)來看，智能網(wǎng)聯(lián)汽車OTA遠程升級產(chǎn)品的使用條件和環(huán)境十分復(fù)雜，OTA遠程升級升級生態(tài)系統(tǒng)涉及實體包括智能網(wǎng)聯(lián)汽車、OTA遠程升級云服務(wù)器、手機、汽車制造商、備件OEM、軟件經(jīng)銷商、車主、汽車服務(wù)中心、保險公司、執(zhí)法人員等，明確各方權(quán)責(zé)利弊是一項系統(tǒng)工程，需要各方持續(xù)探索行業(yè)解決方案。

4 對策與建議

總體來看，OTA遠程升級的發(fā)展與汽車的智能化和網(wǎng)聯(lián)化推進息息相關(guān)，未來在自動駕駛域、底盤域及動力域的OTA遠程升級將不斷增多，需要政府機構(gòu)、整車企業(yè)、關(guān)鍵零部件供應(yīng)商與IT、生產(chǎn)制造、市場和相關(guān)測試機構(gòu)協(xié)同配合[18]，打造完整的OTA遠程升級生態(tài)系統(tǒng)，共同保障智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展。

4.1 完善OTA遠程升級管理體系

OTA 遠程升級涉及后市場車輛的再設(shè)計更新過程。建議在現(xiàn)有備案管理基礎(chǔ)上，進一步建立汽車OTA遠程升級技術(shù)審查和測試機制，具體建設(shè)如下。

（1）開展升級包一致性比對分析，發(fā)現(xiàn)對升級包內(nèi)容不一致的情況，開展功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全測試。

（2）對企業(yè)因OTA遠程升級后產(chǎn)生重大安全問題或?qū)囕v一致性產(chǎn)生較大影響的，建議對企業(yè)相關(guān)能力開展核實，并對該類企業(yè)后續(xù)涉及安全或重要參數(shù)變更等OTA遠程升級活動，重點開展升級過程及升級后的測試驗證，確保產(chǎn)品生產(chǎn)一致性[19]。

（3）基于缺陷線索收集，對于OTA 遠程升級后投訴較多車型，開展OTA遠程升級后的車輛的功能抽檢驗證，包括不限于升級日志讀取以及功能測試。

4.2 建立健全OTA遠程升級管理標準體系

在已有OTA遠程升級技術(shù)要求基礎(chǔ)上，可參考傳統(tǒng)數(shù)據(jù)安全和網(wǎng)絡(luò)安全體系架構(gòu)，梳理目前已有的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全和網(wǎng)絡(luò)安全相關(guān)標準，以標準屬性作為主要分類維度的標準體系框架（圖4），從規(guī)范類、技術(shù)類、管理類3 個方面建設(shè)面向汽車OTA 遠程升級監(jiān)管流程的標準體系，堅持標準體系適度超前，逐步起到發(fā)展引領(lǐng)作用。其中，規(guī)范類標準包括基本術(shù)語、缺陷判定、OTA遠程升級分類等標準，基于OTA遠程升級的行業(yè)術(shù)語、OTA遠程升級的缺陷定義以及OTA遠程升級的分類標準等方面，規(guī)范OTA遠程升級的行業(yè)術(shù)語和行業(yè)流程標準，推進OTA遠程升級管理過程專業(yè)化。技術(shù)類標準包含安全測試（測試用例、測試流程、測試機構(gòu)資質(zhì)要求、測試場地等環(huán)境要求）、風(fēng)險評估等標準，并將標準內(nèi)容劃分為終端、網(wǎng)絡(luò)、業(yè)務(wù)場景等測試、評估對象。針對OTA 遠程升級過程中的多場景、多產(chǎn)品的安全測試方法、測試流程以及漏洞等級判定方法等測試技術(shù)方面進行系統(tǒng)化、標準化的管理，為企業(yè)開展檢測業(yè)務(wù)或第三方實驗室檢測單位提供基本標準依據(jù)。管理類標準則包括漏洞庫標準規(guī)范、應(yīng)急處置和追溯管理（包括OTA 升級管理標準等），從OTA 遠程升級產(chǎn)品漏洞庫的建設(shè)管理、企業(yè)應(yīng)急處理管理機制和質(zhì)量缺陷可追溯的開發(fā)流程開展標準化建設(shè)，讓汽車制造企業(yè)將重點聚焦在技術(shù)研發(fā)和產(chǎn)品設(shè)計上，提高企業(yè)核心競爭力。其次，現(xiàn)行法規(guī)（如UN Regulation No.156、ISO 24089 標準）均是從整車角度出發(fā)，部件系統(tǒng)供應(yīng)商需要完全適應(yīng)下游主機廠要求，溝通成本和后期維護成本大大增加。建議未來將主機廠和零部件廠商資源進行有效整合，構(gòu)建符合行業(yè)發(fā)展需求、涵蓋云-管-端[20-21]全要素的OTA遠程升級標準體系。最后，圍繞標準中難點、熱點問題，協(xié)調(diào)各標委會和相關(guān)科研機構(gòu)組織力量開展OTA遠程升級標準化的研究工作，針對不同標委會所覆蓋的相關(guān)技術(shù)標準進行歸口管理，指導(dǎo)和支撐汽車OTA遠程升級監(jiān)管工作。

圖4 智能網(wǎng)聯(lián)汽車OTA安全監(jiān)管標準體系框架

4.3 完善汽車OTA遠程升級安全測試體系

首先，基于網(wǎng)絡(luò)安全和數(shù)據(jù)安全風(fēng)險評估理論基礎(chǔ)、汽車網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域現(xiàn)有的威脅分析以及實踐經(jīng)驗，結(jié)合汽車本身的復(fù)雜特性，建立以資產(chǎn)為核心的汽車OTA遠程升級安全風(fēng)險評估模型，包括資產(chǎn)識別、脆弱性分析，威脅分析、影響評估、攻擊路徑分析、攻擊可行性分析、風(fēng)險值判斷等方面。

其次，汽車OTA遠程升級系統(tǒng)本身是完整的生態(tài)系統(tǒng)，檢測方向包括汽車遠程升級車載終端安全檢測、車載終端-遠程升級云服務(wù)器平臺-移動設(shè)備App間通信，以及與遠程升級業(yè)務(wù)交互安全檢測、移動設(shè)備App 安全檢測以及遠程升級云服務(wù)器云平臺安全檢測，為此定期針對以上5部分內(nèi)容進行安全檢測非常必要。

再次，汽車OTA 遠程升級是一個復(fù)雜的系統(tǒng)工程，涉及到的安全包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全、功能安全等多方面，重點推動軟件數(shù)據(jù)模擬仿真驗證測試，網(wǎng)絡(luò)安全和數(shù)據(jù)安全的合規(guī)檢測等服務(wù)。從模擬仿真測試體系、測試評價體系以及功能安全驗證體系方面制定汽車遠程在線升級測試規(guī)范。

最后，梳理并匯集OTA 遠程升級監(jiān)管技術(shù)需求，梳理共性和核心關(guān)鍵技術(shù)，圍繞技術(shù)需求通過部際會商、設(shè)立產(chǎn)業(yè)基金等形式，以重點研發(fā)計劃、國家自然科學(xué)基金、國際合作項目等為牽引，匯聚國內(nèi)外創(chuàng)新資源形成合力，特別是針對智能網(wǎng)聯(lián)汽車快速迭代發(fā)展形勢下，建立常態(tài)化的關(guān)鍵技術(shù)協(xié)同攻關(guān)模式，有效打破壁壘，形成從基礎(chǔ)理論-共性關(guān)鍵技術(shù)-集成示范應(yīng)用全鏈條、一體化的創(chuàng)新群體。

4.4 強化OTA遠程升級安全基礎(chǔ)保障能力

首先，深入研究汽車產(chǎn)品安全風(fēng)險評估/缺陷研判等關(guān)鍵技術(shù)，健全安全評價和缺陷研究機制，為國家監(jiān)管機構(gòu)監(jiān)管汽車產(chǎn)品安全方面提供有效技術(shù)支持。整合行業(yè)資源，構(gòu)建安全基線，基于大數(shù)據(jù)有效識別安全漏洞，提升安全缺陷識別能力，持續(xù)開展產(chǎn)品信息安全缺陷安全測試、風(fēng)險評估，利用技術(shù)和檢驗手段分析判斷缺陷，并對標準符合性問題進行調(diào)查。

其次，針對具備OTA遠程升級配置的汽車產(chǎn)品及相關(guān)零部件系統(tǒng)的關(guān)鍵軟件數(shù)據(jù)，針對其功能可靠安全方面進行檢測認證，建立多層級的遠程升級檢測認證服務(wù)體系。

再次，由于升級車輛的控制器芯片和操作系統(tǒng)、零部件和車型的差異較大，由此造成了具體車型適配分散化難題，亟需構(gòu)建一套統(tǒng)一、通用的測試驗證平臺和測試工具，解決軟件落地中的標準化問題。進一步保障不同車型的OTA 遠程升級體系標準化過程的穩(wěn)定性和高效性。

建議以高校、科研院所等“第三方”，建立“共研、共建、共享、共營”的技術(shù)支撐平臺，服務(wù)于OTA 遠程升級監(jiān)管，提供有效的技術(shù)保障。最后，促進汽車OTA 遠程升級行業(yè)構(gòu)建自律規(guī)范。目前，由于時間、成本、功能、安全風(fēng)險等綜合因素考量，大部分主機廠將考慮直接向OTA遠程升級供應(yīng)商購買服務(wù)，OTA遠程升級供應(yīng)商通過多種方式實現(xiàn)軟件刷寫，但是由于是新興模式和新興技術(shù)，行業(yè)內(nèi)存在OTA遠程升級產(chǎn)品質(zhì)量參差不齊等現(xiàn)象，建議由行業(yè)第三方機構(gòu)牽頭，聯(lián)合主要生態(tài)要素主體，共同建立智能網(wǎng)聯(lián)汽車OTA 遠程升級創(chuàng)新聯(lián)盟，構(gòu)建統(tǒng)一評價標準，探索行業(yè)領(lǐng)跑者機制，鼓勵優(yōu)勝劣汰，規(guī)范行業(yè)自律發(fā)展。

綜上所述，汽車OTA遠程升級是智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的重要趨勢，即將迎來大規(guī)模應(yīng)用。但在OTA遠程升級的每個流程中均存在安全風(fēng)險，影響車輛性能、安全和用戶權(quán)益，如不加以妥善管理，不利于行業(yè)可持續(xù)發(fā)展。汽車OTA遠程升級需要在檢測認證、一致性抽查、分級備案、數(shù)據(jù)化監(jiān)管、測評技術(shù)、缺陷研判、風(fēng)險評估、標準制定等方面進一步強化和健全管理體系。