CAICV智能网联汽车远程升级（OTA）发展现状及建议

ChinaIndustryInnovationAllianceforlheIntelligentandConnecten PAGEPAGE105/易图通科技（北京）博泰车联网科技（上海）紫光展锐（上海）爱瑟福信息科技（上海）赛灵思电子科技（上海）第一章前 编制背 编制方 第二章汽车远程升级（OTA)定义与技术体 第三章汽车远程升级（OTA）政策法规标准研 第四章汽车远程升级(OTA)产业生态研 第五章汽车远程升级（OTA）安全风险研 第六章汽车远程升级(OTA)测试评价研 国内主要第三方测试机构概 第七章汽车远程升级（OTA）发展建 加强政策引导，完善监管机 强化标准引领，规范行业发 重视流程管理，形成完善体 推进协同创新，构建良好生 参考文 附件1:UNR156与ISO24089:2023的映射关系 附件2:2021年-2022年OTA召回情况分 附件3:OTA企业开发案 附件4:OTA系统功能测试主要测试 附件5:OTA体验评价主要测试 OTA技术最应用在PC电脑和移动手机行业近几年才开始在汽车行业中广泛应用。然而车内通讯网络的复杂性、汽车电子系统的碎片化等因素限制着-端”OTA技术的设计开发、技术验证和生汽车OTAOTA的快速普及。OTA的本质是通过技术实现软件更新，智能网联汽车与传统汽车的软件升OTA技术，原始设备制造商（OEM）可以不用通过售后远程软件升级Air上对应用程序进行远程升级。SOTA通过远程下载并给车辆安装“应用程序升级远程固件升级Air上所有支持固件更新的电子控制单元（ECU）FOTA范围中。远程配置Air远程诊断/远程数据更新GG。DOTA(DiagnosticOver-The-Air)，即远程诊断，通过云平台实时数据采集监其他类型到外部智能设备交互功能的软件更新，比如，智能钥匙、AR设备等。目前有些XOTAEverythingOver-The-Air的意思。2-1OTA主要集OTA应用越来越成熟，从单一的售后升级场景向更多的应用场景发展是的2-1ECU供应商产线是最可以切换到最新软件版本的节点该节点进行软件切换可避免旧版OTA方式。OEMOEM不会在产线进行大量软件刷写。OTA。OTA技术，用户可随时随地通过简单操作完成软件更新，使车辆“常用常新”。目前OTA2-22-2OTA方式召回，可以在短时间内批量完成问题软件的修复，尽可能降低软件缺陷造成的OTAOTA场景之一。COTA应用，比如用户可根据个人需求，完成怠速调整、车下启动/熄火，OTAOTAOEMOTA应用场景。汽车OTAOEM内部开发部门编译出来的软件或ECU中的版本，以实现预期的特定功能。因此，汽车软件升级所需要的核心工作是建立远程传输链路并实现OEM云端系统远程更新车辆ECU，OTA1.ECU2.OEM内部开发部门生产的软件验证合格后，经由产品生命周期管理系统(PLM)OTA云平台，供更新使用。3.OTA任务发4.OTAOTAOTA主控执行软件更新动作，OTA主OTA系统可能由于升级对象升级包大小原因，OTA主控不会直接下载升级包而是通过相ECU完成其所需升级包的下载。5.OTAECU指定存储介质。ECU硬件不同、通信方式不同，通常安装的过程会有所差异。6.7.8.ECU9.OTAOTAOTA云平台可以根据车辆最新状态OTAOTAIT管理系统、安webOTA2-2OTAWeb端用户交互页面的功能。核心思想是前端页面通过调用后端的接口并2-4。2-4ECU不同版本的所有软件实体，包含软件包的签名加密以及各版本与其关OTA平台实现在线化，达到自动流传，OTAPKI系统对接完成升级包的签名加密，车端设备的身安全访问控制ECUECU实现独立的安全访问方案。OTA任务推送的车辆数，保证系统资源和售后资源OTAPKIInfrastructurePKIPKIOTA系统中的作用主要在于为相关实体发放数字证书，通过密码技（VLCS理系统(BOM)OTAIT管理系统、安全服务端、web控制台、文件服务端2-5所示。PKI签名验签在升级过程中，OTAOTA云平台下载的升级包、升数字证书身份认证及信息安OTA2-6OTAOTA2OTAOTA对象，如图2-3车载端功能模块(AutoSAR按照车载端的工作流程，车载端的功能模块包括：OTA客户端负责与云端进2-7所示。升级管理（OTAOTAECUECU，ECUECUs需要同时更新的情况下尤为重要。OTAOTAManager车定制化功能，OTAManager还需能够灵活定义升级的具体范围，升级时机，升级内OTAOTAOTAOTAOTA控制命令，反馈控BootloaderECU，ABABswap双备份分ECU,ECU负责确保车辆在安全状态下进行升级，其功能主要包括两个OTA的要求，比如判断②车辆状态控制,OTAAPPE/E架构的不同以及控制器升级方式的不同，功能模块的部署方式OTA主控部署的位置不同，大致方案、网关（GW）2-4TCU/IVIECU的软件刷写，GW仅作为路由实现数据的转发，刷写的链路比较长；后一种方案GWGW并不能直接联网，如果通过TCU/IVI路由联网必须增加安全机制，或者由TCU/IVI下载升级包后再分发至2-4OTA主控部署方案传统网关分布式架构下，由于控制器分散以及层级很深，导致在实现OTAOTA主控内部对软件进行备份，以保证升级失败后，控制器可以FlashRAM容量小，实现也比较困难。E/E“中央计算平台+区域控制器”E/EOTA。SOA架OTA主控部署方2-5所示。可采用中央控制单元(CCU)ECU的刷写有两种方式：1)区域控制器作为网关路由UDS报文，主控通过UDS升级区ECU的更新文件传输到区域控制中，由区域控器完整自身升ECUECU芯片类型及运行软件的特性可分ECUECUECU类型根据其内存空间结构又可以分为4种方案，本小节将分别对其展开讨论。 ECU单分区（Bootloader）ECU由于存储空间有限，通常会采用流式刷写的方式进行升级，所谓流式刷写即先将目标刷写空间的数据擦除，然后传输数据的同时，ECUBootLoaderUDS协议刷写的方式就是典型的流式刷写。ECU切换2-6BootloaderECU功能无法使用，如果更新过程异常中断或者失败也会导致功能无法BootLoader进行更新不受应用程ECU的更新仍ECU双分区（AB分区）ABAB分区彼此为回滚，ABB分区BECU刷新AB1A/B交换方ECU内存足够，而且支持地址重映射，也就是当新版本软件刷AB2-7所示。2-7ABECUECU是指具有高性能处理器，可运行现代操作系统(Linux、QNX、Android等)支持文件系统的控制器。这类控制器存储介质成本相对较低，一般存ECUECU的升级通常采用私有协议，通过升级代理(updateagent)OTA主控的升级包和控制命令，根据主控的指令使用本地安装程序(Installer)2-8ECU升级单分区方案2-8ECUECU切换至更新子系统，在子系统中通过安装程序将升级包安装到主ECUECU双分区方案与单分区相似，双分区方案具有两个结构完全相同的A系OTA主控接收升级包文件，并保存在升级包缓存区；②升级包接收完成后由进行解密、签名认证；③OTA主控安装命令后，A系统分区安装程序将缓标志设置为B⑤BOTA主控需要具备一定车辆功能控制能力，根据不同的升级类型，控制车辆的OTAECUECUUDS协议、AUTOSARAP的UCM。FBL规范定义了控制器要实现软件刷写所需遵循的软件架构，并且定义了刷写时需要使用哪些UDSUDS诊断服务，可以命令控制ECUUDS处理软件更新请求的服务。UCMAP上更新，安装，删除和保留软件记APAUTOSARAP的软件更新。除了升级遵从标准协议的传统控制器，OTAECU的升级。ECUOTAOTA主控进行信息交互，实现升级的触发ECUMCU2-82-9、2-10所示。2-8ECUECU接收到差分包后，使用算法将差分包中的更改与当前软件版本进行合ECU2-9v1.0v1.1v1.0-v1.1-update.patchECUv1.0-v1.1-update.patch后，开始后2-10差分还原算法输入参数为旧版本安装包v1.0与差分升级包v1.0-v1.1-update.patchv1.1。ECU端安v1.1完整升级包实现升级目标。安全启动(SecureBoot)用于保证固件启动的代码受信任的安全保证机制，它ECU端需要具备对所安装软件包进行完整性校验和真实性校验的能力，这2-8所示。2-9OEMOTA人机交互方式各有差异，本节共总2-92-10AB分区技术来实√APP√通过运营公司的车辆管理平台确认授权并设APPOEM设定的时间(比如凌晨)手机端APP进行版本检查，通过手机下发下√向车主的手机端汽车软件在线升级具备经济、高效的显著特征，但对原有汽车管理模式带来了新的挑战，需要综合分析国内外汽车创新管理模式和最佳应用实践，从产品管理、技术发展角度提出针对性建议，以应对复杂多变汽车安全形势、保OTA标准体系，促进汽车产业高质量UNR156的截至日期[2]。UNR155/R156M类、N1O类车辆。UNR155落实车辆网络风险管理，提供安全可靠的软件更新，确保车辆安全UNR1563-13-220226WP.29187次全体会议上审议通过了《适用于<1958年协定书>和<1998年协定书>缔约方的关于网络安全和软件更新的统一规定》建议案。UNR155UNR156尽可能保持一致，未来此建议案的实行，也将为1998年协议书缔约国的中国在制定有关汽车网络安全的法规和/或车辆软件3-1UNR1553-2UNR1562019年11月发布的法规(EU同规定了欧盟的型式批准流程（3-3所示3-3*AnnexI联合国法规(UNRegulation)*AnnexII技术20223月欧盟提出的《车辆安全——无限量、小批量和特殊用途的全自3-1202276202477(EU)2018/858对于软件更新的规定，国家主管部门应拒(EU)2018/858202677(EU)2018/858对于软件更新的规定，则小批量生产的或特殊(EU)2018/858（DOT认EPA可对已生产和组装的汽车整车、设备或零部件实施抽检，若达不到安全3-4所示。3-4当前，NHTSA要求制造商对以弥补不合理安全风险为目的的修复活动（包NHTSA通和机动车辆安全法案》(NationalTrafficandMotorVehicleSafetyAct)政策[5]NHTSA施行的召回制度无法充分适应网联车辆，导致政府对车辆3-2列举的美国软件升级事件可对中国法律法规制定起到借鉴作用。3-22015下，FCA140万辆汽车和卡车的召回流程。FCA通知消费者下载安全补丁，或去经销商处进行FCA虽然同意召回车辆，但声称网络风险不是安全202019年，一名司机在使用特斯拉半自动自动驾驶技20228月，NHTSAAutopilot系统造成OTA方式更新了“急救车车灯检测”功能，该功能使（RoadTransportVehicleAct）是汽车认证制度的法3-5所示。3-5*20204月生效的日本《道路运输车辆法》修正案，针对配备自动驾驶设如表3-33-3MLIT标准”）UNR155中网络安全管理体系（“CSMS技术标准”）品公告管理的职能部门，2010年发布的《车辆生产企业及产品生产一致性监督20217月发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》OTA活动进行监督。20224月发布的《关于开展13-4OTA序号名称部门主要内容《关于加强智能网联汽车生见》（2021.07）工信部级备案的通知》工信部装备中规定如何开展汽车软件在线升级备案工作，规定了备案范围、备案要求、备案工作流程、实施安排、企业责任等。OTA2012年所发布的《缺陷汽车产品召回管理条例》及序号名称部门主要内容《缺陷汽车产品召回管理条《缺陷汽车产品召回管理条国家市场监管《关于进一步加强汽车远程国家市场监管国家市场监管总局质量发展OTA5/云平台/国家市场监管OTA技术服务的影响。《家用汽车产品修理更换退国家市场监管OTA技术作为《三包》《关于试行汽车安全沙盒监工信息化部、交通运输部、应急部、海关OTA技术的汽车可作为沙盒监管的OTA得到较预防，已在《中华人民共和国网络安全法《中华人民共和国数据安智能网联汽车分层解耦、跨域共用的特征，OTA技术在应用层和计算平台的升OTA技术带来的新型网络安全、数据安全风险，安全保障体系亟须健全完善。3-5序号名称部门工信部、国家互联网信息办公室、公安部国家互联网信发展和改革委工信部装备中心工信部17项具体要求。产业发展、标准先行。标准在推动新技术新功能发展过程中发挥着基础引领作用。OTA技术的规模化应用推动了汽车、通信、大数据、安全等跨领域行业组织及社会团体的标准制定工作。本文基于OTAOTA信息安全、OTA技术管理、OTA工程开发应用和软件接口5个分类，共梳理出国内外标准27项，如表3-7所示，并遴选关键标准进行概述。3-7OTAOTAUNR156TC114OTAUNR155ITU-TX.1373IEEE-ISTO6:UptaneStandardforDesignIEEE-GB/T40861-2021TC114GB/T40856-2021TC114GB/T40855-2021TC114TC114TC114T/CCSA480-2023《车联网在线升级(OTA)CCSAYD/TCCSAT/CSAE1010-2018CSAE中国汽车CSAE中国汽车CSAE中国汽车OTATC463全国产品缺陷与安全管理标准化技术委员OTAISO24089ST-OTA-1SystemRequirementsDefinitionST-OTA-2DataRequirementsDefinitionST-OTA-3HMIRequirementsDefinitionST-OTA-4VehicleSystemRequirementsST-OTA-5In-vehicleRewriteRequirementsDefinitionST-OTA-6In-vehicleCommunicationSpecificationST-OTA-7ProcessRequirementsDocumentST-OTA-8ST-OTA-9ComplianceTestSpecificateion-OTAMasterST-OTA-10ComplianceTestSpecificateion–TargetECU TC114TC114API参考》CAAMCSAE中国汽车CSAE中国汽车T/CSAECSAE中国汽车CSAE中国汽车GB《汽车软件升级通用技术要求》报批稿规定了汽车软件2024OTA功能的汽车产品的准入强UNR156和国标对整车企业的软件升级管理体系（SUMS）建设和型式认证方面提出了具体要求。UNR156RXSWIN，相同描（SWIN商定义，用于表示与准入或认证相关系统中软件信息的专用标识符。其中UNR156SUMS体系建设方面的要求基本相同，在车辆型式认证中，针对3-6、3-7所示。3-6管理体系建设要求3-72017年3月，国际电信联盟电信标准分局(ITU-T)发布建议书（标准）X.13732022年进行修订。本标准首先提出软件升级通用车载模型包括信息设备、电子控制单元(ECU)和车辆移动网关(VMG)等，以及软件升级通用过程。之后定义软件升级的传输消息类型和格式。2022年修订版本提出了三种软件升级的主要威胁和针对三种威202110（以下简称“汽标委202110月，汽标委GB/T40861-2021《汽车信息安全通用技术要202310GB《汽车整车信息安全技术要求》已提交202310月，中国通信标准化协会提出的行标《车联网在线升级OTA安全技术要求与测试方法》已发布。该标准对GB《汽车整车信息安全技术要求》OTA云端服务平台安全、通信链路安全、OTA应用安全等方面的技术要求与测试方法。2018（CAICV，以下简称“创新联盟”）T/CSAE1010-20182022年T/CSAE252-2022《智能网联汽车车载端信息安全测试规程》共同规定了T/CSAE1010-2018提出了软件升级包来源鉴别、T/CSAE252-2022提出为规范缺陷汽车产品召回，全国产品缺陷与安全管理标准化技术委员会GB/T34402-2017GB/T39603-2020GB/T40914-2021GB/T41047-2021《汽车产品召回过程追溯系统技术要求》等国家推荐标2021TC463发布《基于远程升级技术的汽车产品召回实施要求》国标研工程》。ISO24089形成了一整套从管理到功能开发、再到开展升级的规范。该OTA支撑设施和车辆产品的软件升级功能。以及开发验证软件升级包和实施软件升级相关的流程的规范。ISO24089发布后除指导企业实施OTA外，也可被认证机构采用，作为整车厂和供应商具备软件升级能力的认证24089UNR156SUMS认证和车辆型式审批等的要求，还考虑OEM与供应商协同开发的工作方式；软件升级带来的车辆功能安全风险和预期功能安全风险；给出功能开发和升级活动中的不同示例等。UNR156与ISO24089：202313-8所示。SystemRequirementsOTADataRequirementsOTAHMIRequirementsOTAHMIVehicleSystemOTAIn-vehicleRewriteRequirementsECUIn-vehicleCommunicationECUProcessRequirementsOTAOTAComplianceTestSpecificateion-OTAOTAMasterComplianceTestSpecificateion–TargetECU（AUTOSAR(andConfigurationManagement)制定OTA相关标准，已发布版本为R21-11的RequirementsonUpdateandConfigurationManagementSpecificationonUpdateandConfigurationManagement。UCMPackageManagementVehiclePackageManagement服务接口，支持整车升级包的下载，并把整车升级包基于SOA理念的电子电气架构开发,使互相分散的ECU及对应的功能以OTAOTA关键共性技术的研发，将支持软件的持续更新、海量关键信息流2021ISOISO23150—2021202012SOA软件架SOA软件架构分成应用层、原子服务层、设备抽象层、基础平台层。2022628SDVAPI参考》V3.0APIAPI参考APIAPI接口的功能和参数。20236月,T/CSAE《车控操作系统功能软件架构及接口ISO/FDIS23150-2021的感知数据。ISO23150基础上，突出各传感器的独立逻辑接口，规（4D毫米波雷达等）V2X设备（OBU设备）的设备抽象服务和感知服务的接口规范。OTA的监管更偏向于软件升级的实施过程是否合规，OTAOTA备案管理国家标准，规范备案管理，OTA的合规管理主要采用升级前备案的方式，由生产厂家按R156OTA隐瞒车辆缺陷、规避召回责任的风险。缺少供应商能力管理类标准。ISO24089《道路车辆软件升级工程标准》虽UNR156基础上制定了车辆、系统、ECUOTA支撑但仍然缺乏实施细则，还需要相应技术标准详细规定；JASPARAUTOSAR虽ECUISO24089的有效补充，但是未构建OTA3-8所示。基础通用标准包括OTA技术术语和定义、通用技术要求、信息安全标准。核心技术与产品应用标准OTA技OEM与供应商相互协作的全生命周期软件开发和质量管理要求，以及软件供应商的软件升级管理体系要求；OTA技术管理标准主要包括为政府（SOAEE架构下不同功能领域或子系统之间的逻辑接口，减少待升级部件和周边部件第四章汽车远程升级(OTA)增加新功能；其升级对象已经从期的T-BOX基础功能发展到安全性要求相对汽车OTA汽车OTAOTA系统在“云管端”架构下，有相对统一的业务环节，吸引着众多参与者，共同构成了多样化的业务模式（OTA系统的“云管端”4-1OTA功能。4-1OTA系统的“云管端”架构（示意服务的用户。OTA4-2德尔福）MovimentoArynga等。OTA内容提供商的升级服务主要在应用软件内部进行，以车载娱乐与导航OTAOTA服务覆盖乘用车、OTA服4-2OTA我国汽车OTA全技术评估信息表》1100OTA1亿辆次。根据企业提交信息表数据显示，2021OTA2021OTA3513424202055%307%。20228OTA435430020212022202120224320212022OTA2021442020年-2022OTA座舱系统等9仍是目前OTA2022202022倍（46所示45OTA46OTABUG是目前OTA31.81%BUG/28.63%（4-7所示BUG/漏洞的占比相对较高，相关漏洞是否会引发47OTAOTA56.69%，但是私有云及5OTA92.16%。87%（48所示OTA48OTA55.24%。升级包签名、通讯链路加密以及双向身份验证是主流的三85.18%，通讯链路加对于整车企业，OTA带来的是产品全生命周期持续研发问题，要求重塑传OTA带来的产品全生命周期持续研发问题，对于传统以硬件开发为主导的OTA更需开发过程执行严格的“需求、设计、验证、确认”V模型开发流程，在量产前锁定OTA为产品增加全新开发的功能及服务(4-9所示)OTAV模型将与敏捷开发等增量开发模式4-9OTAOTA所牵引的商业价值，意识到掌握数产业分工体系的垂直分层、链条式的采购-供应关系（4-10所示）410传统采购-411OTA的发展加速了软硬件解耦的进程。在全新的产业生态模式下，随着软在新的更为复杂的产业生态中，OTA同样影响着未来硬件供应商对整车产MPSoC（Multi-ProcessorSystemonChip）等实现动态功能改变也是未来可能的OTA是未来车企向用户提供增值服务的关键手段，开辟全新的商业模式，203040%（4-12所示。412中国汽车消费价值链占比（2020-务正在成为车企创收的新渠道，OTA则提供了该模式的技术基础。预计未来软OTA具有强用户体验的属性，从用户体验的角度，OTA不仅仅是简单的功业模式的闭环（4-13。4-13车企用户运营模式的变化（车企与车主关系转变对于整车企业来说，OTA重新定义了售后阶段运营内容。OTA将被纳入汽个过程中，数据资源都将作为核心资产贯穿整个变革。OTA过程中的数据可反OTA开OTA系统而言，OTA系统方案的组成部分，尤其是在智能汽车背景下，提升，OTA服务商也正在向整车一级供应商发展。OTA服务商发展的关键方向。OTA改变了汽车产业化的消费和服务模式，缩短了智能汽车从研发到量产OTAOTA正在成为智能汽车核心竞争力，消费者享受到了新技术带来的便利体OTA的失败案例或争议案例。1小时后升级结束，车辆功能OTA激活逻辑时应充分考虑车辆状态及用车场景，从技术上避免误操2021OTA，2小时后2022OTA与软件升级绑定的宣传方式，正在成为车企美化产品设计问题的手段。在2022OTA技术的出现，使原本购车时敲定功能配置、整车交付即代表开发验证OTA交付功能。OTA管理不当、OTA技术不成熟，会加剧功能实现的可靠性风险，使升级后的OTAOTAOTA技术中面临的各种安全风险。BOX务攻击等漏洞隐患，可导致WiFi、蓝牙、智能钥匙失效[16]。在被攻击和篡改等安全隐患。OTA5-1所示。基于网络安全、数据安全及功能安全风险评估理论基础、现有的威胁分析以及实践经验，结合汽车本身的复杂特性，可建立以资产为核心的汽车OTA远程升级安全风险评估模型。262621434SAEJ30615-1所示。STRIDEVAST模型（可操作性、P（隐私STRIDECVSS5-2所示。TARA分析前，需要对相关项的功能及其运行环境进行定义，以充分了解其业务、功能、流程、边界，OTA5-3所示。数据流图（DataFlowDiagram）需把该相关项中每个功能用到的数据标识出5-4所示。[S][P][E][TB][P][E][TB]（external

（processing

（data

(data

(trusted5-4OTA5-5Identification5-2所示。5-25-3所示。5-3OTA过程涉及的资产和损害情况（示例T-T-BoxGatewayECU软件的工作进程，使其无法正常工Gateway软件的工作进程，使其无法正常升级管理程5-4所示。5-4威胁分析过程表（示例攻击方法等要素(STRIDE分析)（SFOP定性EVITA,TVRA,PASTA,STRIDE等。OTA过程中数据资产升级包的完整性、机密性、可用性被破坏为例，威5-5所示。5-5威胁场景识别（示例5-6所示。5-6攻击可行性评估（示例伪造升级包内容，使升级无法正常执OTA平台网页描系统漏洞发现下载升级包链接获取升级包 公开的 CAN总线监听UDS协议要求，找到与网关的通信，获取升级包 适度 寻找T-BOX的业务逻辑漏洞，获取升级包- 适度 物理拆解T-储升级包的芯片升级包- 通过获取并破解待升级软件包，窃取其中核心利用社会工程学办法从开发人员或其他相关人员处获取升级包并破解，导致核心 容易 通过汽车远程升级平台或管理平台数据库暴露的 升级平台数据库未设置访问权限或其他相关管控 从T-BOX升级节点控制器或存储芯片中提取升级 通过干扰升级过程，导致升级无法正常执行或非法升对OTA云平台发起拒绝服务攻击平台和T-BOX通信带宽，导致控制器程序包无法T- 适度 伪造升级指令，使车辆执行非预期的刷新动作和 （Server（Major（Moderate（Safety（Financial（Oprational响等级和影响值，如表5-7所示。在实际的影响等级评估中，也可以采用（0~1000（0~1005-8。5-9R5-9影响评1=可忽略不 2=低 3=中 4=高 5=严5-105-10风险值分析（示例OTA平台网页漏洞扫描-网页扫描/系统漏洞-发现下高可忽略低危通过获取并破解待升级软件包，窃取其中核心算法中中中级——极低高危低危115-12。5-115-12风险处置活动（示例正常执行——OTA平台网页漏洞扫描-低危6个中核心算法——通过汽车远程升级平台或管理平台数据库暴露的后门端口中合理部署可对攻击行为进行检测、阻断或限制的TCPP上层应用端口默认全部关闭，并根据实际业（例如SH22HTTPS43（IIP应指定端口进行跨越边界的网络通信，指定端口低危通信完整性检验采用MAC、车内网络通信采用CAN残余风险主要方式产生如表5-13OTAOTA业务场景所涉及零部件和环境进行漏扫，以得出具体漏洞信息。OTA5-6。STIRDECommonVulnerabilityScoringSystem（CVSS）提供了一种方法来描述可利用性CVSS5-14所示。5-14CVSS能通过网络（OSI第三蓝牙，WIFI等攻击0.62(S0.27(SCVSS5-15CVSS2.96-2.00-1.06-0.12-OTA系统是否造成影响或引入新的高危及以上风险。OTA威胁分析和风险评估流程，OTAOTA平台安全风险主要包括云平台自身安全、第三方应用安全两个主要方OTA平台大多数部署在云端服务器中，会面临传统云平台的所有安全威胁，库漏洞接口API安全注入漏洞等手段发起DDoS攻击MITC攻击跨云攻击、编排攻击、加密劫持等，可能导致AccessKey泄露风险、 OTA也将OTA通信安全风险主要包括身份认证、传输加密、中间人攻击三个主要方OTA（2）ECU接收任何更新。OTA升级包的机密性破坏，攻击者可轻易捕获并分析通信数据，导致升级（bug人信息安全的前提下，企业如何实施数据利用共享，OTA相关数据如何跨境流OTA系统OTA系统窥探到用户的隐私信息，如车辆位置、18危险中。OTA功能安全风险可举例为：P档、电池电量充足等一定条件下才能进ECUOTA测试需要从标准合规测试、开发测试两个维度进行同步考量。其中合UNR156和国标的相关要求；开发测试又可从功能测试和安全OTA相关指导性评价思路与方法。UNR155、UNR156以及《汽车软件升级通用试”“OTA开发测试”“测试方案咨询”“SUMS咨询服务”“信息安全服务”的汽车软OTA测试验证。CNAS资质的检测机构,2018年以来,40余款车型的整车或零部件的测机构，目前已完成3OTA测试能力。SUMS建设、CSMS建设的服UNR156和国标对整车企业的软件升级管理体系（SUMS）建设和型式认证6-1OTAOTA平台测试、OTAOTA4OTA系统6-2OTA系统功能测试流程图OTA的测试验证普遍侧重功能验证，对网络安全的测试验证关注度较低，可参考的相关测试方法和实践经验较少。相关行业标准法规如UNtestingscanningtesting3步：1)试可以在产品全生命周期帮助发现系统在期开发测试阶段遗漏的问题是创建fl6-3OTAECU;风险和威胁分析可参考第五章的描述，已OTA云端主要用于升级包管理、用户管理及任务管理等。OTA云端服务与管理安全测试、数据及存储安全测试、OTA平台渗透测试。API接口供车端或第三方应用使用，在此之前，OTA系统带来安全隐患。数据隔离安全测试：OTA云端服务通常需要对不同的数据进行管理，如OTAOTA云端安全测试，除了身份认证管理安全和数据存储安全，还需要相连接的车辆、应用及与其相关的所有设备。OTA平台渗透测试包含以下几方IP信息，端口扫描获取系统开放的端口信息，操作系统探测扫区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,SQL注入测试测试：SQLSQL注入安全SQL查询，如果没有做SQL注入安全检查，可能会让攻击者通过构造恶意的查询参数，获SYNFlood攻击、IP欺骗性攻击、UDP洪（None（Degraderecoverable工恢复的服务破坏（Manu-recoverable）以及不可恢复的服务破坏（Non-recoverableOTA更新通信交互的通道，也是导致车端对外OTA平台进行通信过程中，应采用安全通信协议进行数据传输，OTA云平台端操作系统中运行wireshark等软件查看数据包，验证其是否采SSL/TLS协议和数字签名等，还可进一步通过修改通信数OTAOTA平台之间的通信OTA通信链路安全证书测试的开展，需要明确车端与云端实体及其通信相3OEM或者第三方的云端后台及其通信内容，通信方OTA6-1OEM云端后台OEMCA6-56-1FoodFunctionAccessTokenXXXFunctionXXX6-6。6-66-7。6-7TCPdump、Wireshark等工具进行通信数据包抓取，验证通信过程安OEM6-1车端直连多个云端后台的情况，检查是否所有车端对直连云端后6-1Wireshark6-8为车6-9为云端后台对车端证书进行验证。6-86-9OTARSA、AES、SHA-256、SM2、SM3、SM4等算法，同时应保证密钥长度满足一定安全性要求。基于TLS的HTTPSRSAAESSHA-256，SM2、SM3、SM4GMSSL6-10、图6-11所示。OTA云平台端操作系统中运行wireshark6-10OTATLS1.2OTA软件升级系统在提高软件升级效率的同时引入了新的安全风险，诸如非授权软件安装，拒绝更新服务，以及获取升级包的逆向信息、log敏感信试、ECU安全访问的测试、ECU安全启动测试、更新日志的安全测试以及升级6-12OTA软件升OTA云平台对其进行数字OTA云平台对需要下发到车辆端OTAOTA包签名进行验证，ECU对固件签名进行验证，从而实现对升级包的全链OTAOTAOTA更新系统在上一小OTA更新业务流程及系统功能分布，结合系统安全风险分析情况，升级包测试3个方面开展。OTA云平台是否有效OTA主控是否有效校验ECU是否有能力验证升级包的真实性，具体测试方法如下：OTA主控对下载校验通过的更新进行OTAECUECUECU通常通过统一诊断服务(UDS)UDS通过安全访问服务(SecurityAccess)ECU非授权控制或软件篡改。6-13所示。Tq3Tq3 (Kqy)6-13OTAECU生成的种子(Seed)，并通过ECU才会执行后续对应安全访问等级要求的诊断请求。OTAECUECU的软件及相关配OTAECU重复多次进行安全访问服务操作，解析并记录种子-密ECU，观察是否可成功获取安全访问权限。ECU是否采取防暴力破解措施(如限制ECU回复的种子，重复发送不同的随机密钥，尝试解锁安全访问；持续监控后，ECUOTAECU刷写权限后，是否可以通过非授ECU通信；使用非授权设ECU进行非授权软件的刷写操作，验证是否成功刷写并运行非授权软件。安全启动(SecureBoot)用于保证固件启动的代码受信任的安全保证机制，它CPU内部不可修改(eFUSE)的签名密钥匹配，从而行成一个6-14所示，ECUCPU内部只读存储(bootROM)的指令,bootROM运行后从一阶BootLoader(FBL-FirststageBootLoader)eFUSE中密钥匹配获得跟信任 boobooF¡ç33BooloSqcond3BooloOpqçAppl¡cRooofTç Ch¡nofTç6-14Secureboot安全启动的测试验证目的在于确认该功能各阶段加载不同程序前的安全校验及加载运行效果，主要分为正向功能测试和异常测试。FBLFBL在加载前会被有效地校FBL进行更新，验证安全启动功SBLSBL在加载前会被有效地校OSOS在加载前会被有APPAPP在加载前会被APP进行更新，验证安固件中存在的弱口令、硬编码以及认证绕过等不安全的配置选项。0-day漏洞是web型和内存型。分析发OTA升级，尤其是涉及到安全性的升级，需要进行严格的PCB硬件调试接口测试：硬件调试接口测试旨在发现是否有隐蔽接口或后减少潜在的物理攻击和未经授权的访问可能性。ISO26262GB/T34590标准，对升级包进行静态分析，确保升级包OTAOTA后的功能、性能和预期一致、功OTA技术服务体验评价指标。5OTA体验评价主要2022渐呈现“解耦”“面向信号”转变为“面向服务”SOAASPICECMMI的模型框架来构建络安全与数据安全发展报告(2022年)[M].北京:社会科学文献出版社.2020.[2].SOLW’ITR155/R156aquickguidetotheupdatedcybersecurityregulationsfor[3].EUROPEANCOMMISSION.COMMISSIONDELEGATED(EU)…/...ofXXXamendingAnnexesI,II,IVandVtoRegulation(EU)2018/858oftheEuropeanParliamentandoftheCouncilasregardsthetechnicalrequirementsforvehiclesproducedinunlimitedseries,vehiclesproducedinsmallseries,fullyautomatedvehiclesproducedinsmallseriesandspecialpurposevehicles,andasregardssoftwareupdate[R].2022.[4].MichaelL.Sena.SecureOvertheAirVehicleSoftwareUpdates–OperationalandFunctionalRequirements[R].2015.[5].TESLARATI.Tesla’ssoftwarefixes,theNHTSA’sstatusquo,andanimpendingneedforupdatedrecallterminologies[EB/OL].[6].AutomotiveNewsEurope.JeephackingpromptsFiatChryslersoftwareupdatetoenhancesecurity[EB/OL].[7].EmmaHimes,NHTSAUpintheClouds:TheFormalRecallProcess&Over-AirSoftwareUpdates[J].,MichiganTechnologyLawReview.2021(153).[8].CNBC.TeslasharesfallafterU.S.regulatorslaunchformalinvestigationinto [9].CNBC.NHTSAasksTeslawhyitdidn’tinitiatearecallwhenitpushedsafety-relatedsoftwareupdate[EB/OL]./2021/10/13/nhtsa-asks-tesla-[11].SONDERHOFFEINSEL.Q&AONtheamendedroadtransportationvehicleactintroductionofvehiclesoftwareupdateregulation[EB/OL].[14].产品安全与召回.OTA升级是否计入三包维修等汽车三包典型案例分析[15].永安华为.智能汽车云服务白皮书[R].2022.[17].FIRST.CommonVulnerabilityScoringSystemv3.0:User[18].21世纪经济报道.智能网联汽车数据合规：数据跨境成监管重点，跨国车企[19].高斐,杨诚潇.汽车整车远程升级(OTA)系统的发展[J].重型汽车,2022(5):33-[20].SAEInternational.ProposaltoUpdatetheInterpretationDocumentforUNR156RegardingnewlyAvailableInternationalStandardonSoftwareUpdateEngineeringforRoadVehicles[R].2023.[21].国家市场监督管理总局缺陷产品管理中心.缺陷产品召回查询 UNR156与ISO24089:2023的映射关系UNISO24089：20237.1.7.1.1. ..RXSWIN在升级前后相关信息的过程。这应包括更新每个RXSWIN.RXSWINRXSWIN. 于系统型式认证的任意参数（定义UNISO24089：2023包含（除了车辆登记 2车辆制造商应能根据第将信息提供给负责机构或技术服务部门7.1.2.工作产品已覆盖记录/存储/ （（包括软件版本）（（.RXSWIN应有一个可审计的记录.（（见工作产品8.4.1（ （(b)(e) 工作产品UNISO24089：2023(h).4.1（见工作产品8.4.37.1.3.安全性—— .升级流程应得到得到保护，从而合 7.1.4. （特附示例（3（特附示例（2（..1.软件更新包的真实性和完整性应受 RXSWINUNISO24089：2023 接口进行标准化读取，至少采用标准接口部分包含/RXSWIN，制造商应向型式认证ECU读取，至少通过标准接口（OBD端口RXSWIN和/或软件版本集。进行型式认RXSWIN和/NOTE部分包含/. .1.车辆制造商应确保在更新失败或中（全状态（特附示例用技术手段确保车辆处于安全状态下执行升（（ 络安全）0（特附第一点 0（特附第四点 0（特附第六点 0（特附第五点UNISO24089：2023 0（特附第三点（NOTE （特附示例 （特附示例（（特附示例 （特附示例（ 车辆用户能够告知升级成功（或失败（特附示例 7（1 2021年-2022年OTA召回情况分据统计，OTA20元/600元车。其中，202130250015452524.565（72.36%52-1所示。PAGEPAGE113/2-122031梅德斯-奔下降可能导致车辆自动发送给梅德斯-奔驰紧急呼叫中心的201612120201120ABCESGLASUV、GLBSUV、GLCSUV、GLESUV、GLSSUV、CLA、SLC、CLS、SL、GAMGGT、EQC使碰撞后车辆部分功能（援电话功能等）202161iX36636Model32019121967Model3ModelY2020810202169SMercedesmeC（2095S（212）2307（2021.4420）没有纠正功能，长期可能造202012282022115Model3（12003）ModelY（14044）电梅德斯-奔202234梅德斯-奔201810292021618SUV、GLESUV、GLSSUV、AMGGT20188级、EGLA、GLBSUV、GLCSUV、EQC202247Model3NX260、NX350h、NX400h+汽车6832Model3像、风挡（除霜、除雾及雨刮）Model3、ModelYLTANX260、NX350h、NX400h+汽车8308辆由于制动执行器控制单元（ECU）（EPB）进行驻车，存在安全隐患。NX2606491ModelS、ModelXModel320211120221111ModelY2023XC902021426202269852023V90CC2022101120231132023XC904103ModelS、ModelX、Model3Model3、ModelYModelX4787PAGEPAGE124/首个实现整车OTAModelS上市至今，OTA频率，涉及的内容生态大到智驾系统、人机交互、动蔚来为代表的新势力车企也将整车OTA作为自身产品“智能化”的特色功能，且OTA提升用户体验OTA成为国内较的能够真正实现整车FOTA的车企。OTA是小鹏旗下所有车型必备的基础功能之一，20191OTAG3、P7P5车型用户301902400多项，累计OTA38万次。小鹏汽车坚持“OTA升级的核心是安全和稳定”的理念，OTA服务发展成用户基础服务。NGP的开发涉及到包括自动OTA做预备。ECUP5、G9ECUOTA范围包括：动力系统、智能座舱系统、车当系统推送升级OTA请求时，小鹏汽车用户还可进行预约处理，避免对当41OTA20191OTAXPILOT、XmartOSG3上市发布会上对软件快速迭代20196ICAXPILOT2.020197通过OTA为小鹏G3