闡述汽車(chē)OTA技術(shù)的安全風(fēng)險(xiǎn)

隨著汽車(chē)軟件升級(jí)逐步在智能網(wǎng)聯(lián)汽車(chē)產(chǎn)品中廣泛應(yīng)用，覆蓋研發(fā)、生產(chǎn)、售后等多個(gè)環(huán)節(jié)，對(duì)企業(yè)的技術(shù)水平和管理能力均提出新的要求。若生產(chǎn)企業(yè) OTA 管理不當(dāng)、OTA 技術(shù)不成熟，會(huì)加劇功能實(shí)現(xiàn)的可靠性風(fēng)險(xiǎn)，使升級(jí)后的系統(tǒng)將車(chē)輛與駕駛?cè)吮┞对谖粗奈ｋU(xiǎn)中。本文首先闡述車(chē)聯(lián)網(wǎng)安全現(xiàn)狀，之后結(jié)合 OTA 風(fēng)險(xiǎn)評(píng)估流程對(duì) OTA 帶來(lái)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和功能安全風(fēng)險(xiǎn)進(jìn)行分析，提醒企業(yè)規(guī)避應(yīng)用OTA技術(shù)中面臨的各種安全風(fēng)險(xiǎn)。

一、車(chē)聯(lián)網(wǎng)安全形勢(shì)分析

伴隨智能化、網(wǎng)聯(lián)化的不斷推進(jìn)，車(chē)輛開(kāi)放連接逐漸增多，“車(chē)、路、云、網(wǎng)”數(shù)據(jù)交互日益頻繁，車(chē)聯(lián)網(wǎng)領(lǐng)域的安全風(fēng)險(xiǎn)邊界逐漸延伸。車(chē)聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)主要集中在車(chē)端、平臺(tái)、通信、數(shù)據(jù)等方面。

（1）車(chē)端安全風(fēng)險(xiǎn)隱患凸顯

一是車(chē)載軟硬件存在安全隱患。當(dāng)前，汽車(chē)電子電氣架構(gòu)正由分布式向域控集中式架構(gòu)、整車(chē)集中式架構(gòu)不斷發(fā)展，步入軟件定義汽車(chē)時(shí)代。車(chē)載智能網(wǎng)關(guān)、遠(yuǎn)程信息處理控制單元（T-BOX）、電子控制單元（ECU）等車(chē)載聯(lián)網(wǎng)設(shè)備目前尚缺乏較高等級(jí)的安全校驗(yàn)機(jī)制和安全防護(hù)能力，近年來(lái)陸續(xù)披露出一些安全漏洞隱患。

二是車(chē)載網(wǎng)絡(luò)存在安全隱患。CAN 、FlexRay 等車(chē)載網(wǎng)絡(luò)協(xié)議缺乏安全設(shè)計(jì)，車(chē)內(nèi)數(shù)據(jù)傳輸主要根據(jù)功能進(jìn)行編碼，按照 ID 進(jìn)行標(biāo)定和接收過(guò)濾，部分僅提供循環(huán)冗余校驗(yàn)，缺乏重要數(shù)據(jù)加密、訪問(wèn)認(rèn)證等防護(hù)措施，導(dǎo)致車(chē)載網(wǎng)絡(luò)容易受到嗅探、竊取、偽造、篡改、重放等攻擊威脅，難以保障車(chē)載網(wǎng)絡(luò)的安全性。

（2）車(chē)聯(lián)網(wǎng)平臺(tái)服務(wù)面臨的攻擊威脅加劇

近年來(lái)，汽車(chē)遠(yuǎn)程服務(wù)、在線升級(jí)（OTA）平臺(tái)、車(chē)輛調(diào)度平臺(tái)等業(yè)務(wù)服務(wù)快速發(fā)展，用戶(hù)的規(guī)模逐步擴(kuò)大，日漸成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。由于車(chē)端用戶(hù)可通過(guò)車(chē)聯(lián)網(wǎng)平臺(tái)進(jìn)行信息交互、遠(yuǎn)程操作，一旦遭受網(wǎng)絡(luò)攻擊控制，可被利用實(shí)施對(duì)車(chē)輛的遠(yuǎn)程操控，造成嚴(yán)重后果。

（3）車(chē)聯(lián)網(wǎng)通信安全面臨挑戰(zhàn)

當(dāng)前，聯(lián)網(wǎng)車(chē)輛數(shù)量和通信需求不斷增長(zhǎng)。在“車(chē)-云”通信場(chǎng)景下，網(wǎng)絡(luò)隔離不到位、通信協(xié)議存在漏洞隱患、訪問(wèn)接入缺乏安全認(rèn)證等問(wèn)題突出?！败?chē)-設(shè)備”通信場(chǎng)景下，受限于設(shè)備性能等因素，通信安全認(rèn)證機(jī)制尚不完善，存在拒絕服務(wù)攻擊等漏洞隱患，可導(dǎo)致WiFi、藍(lán)牙、智能鑰匙失效[16]。

在OTA功能實(shí)現(xiàn)過(guò)程中，云端、車(chē)端、通信鏈路、升級(jí)包等關(guān)鍵環(huán)節(jié)均存在被攻擊和篡改等安全隱患。OTA網(wǎng)絡(luò)安全態(tài)勢(shì)分析如圖5-1所示。

圖5-1 OTA網(wǎng)絡(luò)安全態(tài)勢(shì)分析圖

二、OTA 風(fēng)險(xiǎn)評(píng)估方法

基于網(wǎng)絡(luò)安全、數(shù)據(jù)安全及功能安全風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)、現(xiàn)有的威脅分析以及實(shí)踐經(jīng)驗(yàn)，結(jié)合汽車(chē)本身的復(fù)雜特性，可建立以資產(chǎn)為核心的汽車(chē)OTA 遠(yuǎn)程升級(jí)安全風(fēng)險(xiǎn)評(píng)估模型。

OTA 風(fēng)險(xiǎn)評(píng)估方法具體參照 ISO 26262《道路車(chē)輛功能安全工程》、ISO/SAE21434《道路車(chē)輛網(wǎng)絡(luò)安全工程》、SAE J3061《信息物理汽車(chē)系統(tǒng)網(wǎng)絡(luò)安全指南》等標(biāo)準(zhǔn)，主要評(píng)估對(duì)象包括 OTA 相關(guān)項(xiàng)、組件及漏洞。在相關(guān)標(biāo)準(zhǔn)中定義有 STRIDE、攻擊樹(shù)、EVITA、HEAVENS、OCTAVE、PASTA 等威脅分析和風(fēng)險(xiǎn)評(píng)估方法論，對(duì)這些方法論的對(duì)比和融合后歸納如表5-1所示。

表5-1 OTA 風(fēng)險(xiǎn)評(píng)估歸納表

2.1 OTA 相關(guān)項(xiàng)及組件風(fēng)險(xiǎn)評(píng)估

以威脅分析及風(fēng)險(xiǎn)評(píng)估分析方法TARA 為例， 建立OTA 風(fēng)險(xiǎn)評(píng)估流程，如

圖5-2所示。

圖5-2 TARA 風(fēng)險(xiǎn)評(píng)估流程

2.1.1 安全相關(guān)性判定

在進(jìn)行 TARA 分析前，需要對(duì)相關(guān)項(xiàng)的功能及其運(yùn)行環(huán)境進(jìn)行定義，以充分識(shí)別出資產(chǎn)（包括內(nèi)部實(shí)體、外部實(shí)體、存儲(chǔ)數(shù)據(jù)、數(shù)據(jù)流等），實(shí)體、數(shù)據(jù)被破壞后帶來(lái)的危害場(chǎng)景等。相關(guān)項(xiàng)定義（Item Definition）的目的是了解分析對(duì)象，了解其業(yè)務(wù)、功能、流程、邊界，OTA 相關(guān)項(xiàng)邊界定義如圖5-3所示。

圖5-3 OTA 相關(guān)項(xiàng)邊界定義示意圖

數(shù)據(jù)流圖（Data Flow Diagram）需把該相關(guān)項(xiàng)中每個(gè)功能用到的數(shù)據(jù)標(biāo)識(shí)出來(lái)，從哪個(gè)實(shí)體產(chǎn)生，經(jīng)過(guò)哪個(gè)實(shí)體處理，經(jīng)過(guò)哪個(gè)實(shí)體轉(zhuǎn)發(fā)等。數(shù)據(jù)流圖要素的基本符號(hào)如圖5-4所示。

圖5-4 數(shù)據(jù)流圖要素的基本符號(hào)

以 OTA 業(yè)務(wù)為例，參考數(shù)據(jù)流圖如圖5-5所示。

圖5-5 OTA 業(yè)務(wù)參考數(shù)據(jù)流圖

2.1.2資產(chǎn)識(shí)別

資產(chǎn)識(shí)別（Asset Identification），是識(shí)別車(chē)輛在使用的過(guò)程中需要被保護(hù)不受網(wǎng)絡(luò)攻擊的信息，包括了通訊數(shù)據(jù)、用戶(hù)隱私數(shù)據(jù)、ECU 固件、算法等各種類(lèi)型的信息。資產(chǎn)定義的目的是識(shí)別出這些資產(chǎn)，確定每項(xiàng)資產(chǎn)的網(wǎng)絡(luò)安全屬性,從而分析出潛在的損害場(chǎng)景。資產(chǎn)識(shí)別過(guò)程表如表5-2所示。

表5-2資產(chǎn)識(shí)別過(guò)程表

資產(chǎn)的網(wǎng)絡(luò)安全屬性通常分為機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實(shí)性(Authenticity)、授權(quán)性(Authorization)、抗抵賴(lài)性(Non-repudiation)、新鮮性(Freshness)、隱私性（Privacy）。每一個(gè)資產(chǎn)都具有相應(yīng)的網(wǎng)絡(luò)安全屬性如表5-3所示。

經(jīng)以上分析，OTA 過(guò)程中所涉及信息安全資產(chǎn)包括：

零部件資產(chǎn)：T-BOX 、CGW、目標(biāo) ECU 及車(chē)載總線；

數(shù)據(jù)資產(chǎn)：升級(jí)包、升級(jí)日志和升級(jí)指令等信息；

軟件資產(chǎn)：零部件上所運(yùn)行系統(tǒng)和升級(jí)管理程序。

表5-3 OTA 過(guò)程涉及的資產(chǎn)和損害情況（示例）

2.1.3威脅分析

威脅場(chǎng)景定義是TARA 分析的重要環(huán)節(jié)，TARA 最終輸出的風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)處置決策的對(duì)象就是威脅場(chǎng)景。威脅分析過(guò)程如表5-4所示。

表5-4 威脅分析過(guò)程表（示例）

威脅場(chǎng)景應(yīng)通過(guò)目標(biāo)資產(chǎn)、相關(guān)網(wǎng)絡(luò)安全資產(chǎn)受到的威脅，導(dǎo)致網(wǎng)絡(luò)安全財(cái)產(chǎn)受損的原因推導(dǎo)得出。推導(dǎo)方法包括 EVITA, TVRA, PASTA, STRIDE 等。以O(shè)TA過(guò)程中數(shù)據(jù)資產(chǎn)升級(jí)包的完整性、機(jī)密性、可用性被破壞為例，威脅場(chǎng)景識(shí)別如表5-5所示。

表5-5 威脅場(chǎng)景識(shí)別（示例）

攻擊路徑可基于自上而下的攻擊樹(shù)；自下而上的告警日志、以往安全事件確定的漏洞等方式推導(dǎo)得出。對(duì)于每一個(gè)攻擊路徑可基于多維度的攻擊潛力難度系數(shù)得出攻擊潛力值，以及攻擊可行性等級(jí)，如表5-6所示。

表5-6 攻擊可行性評(píng)估（示例）

影響等級(jí)可分為嚴(yán)重（Server）、主要（Major）、中等（Moderate）、可忽略（Negligible）四個(gè)等級(jí)，并通過(guò)危害對(duì)功能安全（Safety）、財(cái)務(wù)（Financial）、可操作性（Operational）、隱私（Privacy）等維度的影響評(píng)估來(lái)確定危害的綜合影響等級(jí)和影響值，如表5-7所示。在實(shí)際的影響等級(jí)評(píng)估中，也可以采用 HEAVENS 方法中提出的定量評(píng)估方法，其中安全和財(cái)產(chǎn)的影響水平具有較高的權(quán)重（0~1000），操作和隱私方面的損害影響相對(duì)較低，權(quán)重也較低（0~100）。

表5-7 OTA 影響等級(jí)分析（示例）

2.1.4確認(rèn)風(fēng)險(xiǎn)值

通過(guò)結(jié)合安全風(fēng)險(xiǎn)的業(yè)務(wù)影響評(píng)級(jí)和攻擊可行性評(píng)級(jí)，依據(jù)風(fēng)險(xiǎn)評(píng)估矩陣評(píng) 定風(fēng)險(xiǎn)等級(jí)，確定安全風(fēng)險(xiǎn)的處置優(yōu)先級(jí)，為后續(xù)的韌性處置方案設(shè)定評(píng)級(jí)目標(biāo)。風(fēng)險(xiǎn)值確認(rèn)過(guò)程參見(jiàn)表 5-8。

表5-8 風(fēng)險(xiǎn)值確認(rèn)過(guò)程表

根據(jù)表5-9風(fēng)險(xiǎn)評(píng)估矩陣識(shí)別風(fēng)險(xiǎn)值 R。

表5-9 風(fēng)險(xiǎn)評(píng)估矩陣

根據(jù)表5-10進(jìn)行風(fēng)險(xiǎn)值分析。

表5-10 風(fēng)險(xiǎn)值分析（示例）

2.1.5風(fēng)險(xiǎn)處置

根據(jù)風(fēng)險(xiǎn)處置方案思維導(dǎo)圖，借助風(fēng)險(xiǎn)處置庫(kù)，設(shè)計(jì)風(fēng)險(xiǎn)處置的韌性方案。在風(fēng)險(xiǎn)處置方案設(shè)計(jì)完成后，通過(guò)再次評(píng)估，判斷參與風(fēng)險(xiǎn)是否降至風(fēng)險(xiǎn)等級(jí)目標(biāo)。若殘余風(fēng)險(xiǎn)仍未達(dá)到風(fēng)險(xiǎn)等級(jí)目標(biāo)，需根據(jù)業(yè)務(wù)的實(shí)際情況，考慮是否接受殘余風(fēng)險(xiǎn)或進(jìn)一步增強(qiáng)處置措施形成最終風(fēng)險(xiǎn)處置方案。風(fēng)險(xiǎn)處置活動(dòng)參見(jiàn)表5-11、表5-12。

表5-11 風(fēng)險(xiǎn)處置過(guò)程表

表5-12 風(fēng)險(xiǎn)處置活動(dòng)（示例）

2.1.6處置跟蹤驗(yàn)證

對(duì)上述修復(fù)的結(jié)果進(jìn)行測(cè)試驗(yàn)證，由相關(guān)技術(shù)人員或第三方根據(jù)處置方案進(jìn)行測(cè)試驗(yàn)證。

2.1.7殘余風(fēng)險(xiǎn)評(píng)估

殘余風(fēng)險(xiǎn)主要方式產(chǎn)生如表5-13所示。針對(duì)殘余風(fēng)險(xiǎn)應(yīng)重新進(jìn)行特定范圍的風(fēng)險(xiǎn)評(píng)估，并識(shí)別是否達(dá)到可接受風(fēng)險(xiǎn)水平。處于不可接受范圍的殘余風(fēng)險(xiǎn)須進(jìn)一步增加相應(yīng)的管理和控制措施，在所有的殘余風(fēng)險(xiǎn)處于可接受范圍的水平后，應(yīng)發(fā)布風(fēng)險(xiǎn)聲明并加強(qiáng)日常網(wǎng)絡(luò)安全監(jiān)測(cè)。

表5-13 殘余風(fēng)險(xiǎn)產(chǎn)生方式

2.1.8風(fēng)險(xiǎn)閉環(huán)

梳理風(fēng)險(xiǎn)評(píng)估流程文檔，為后續(xù)網(wǎng)絡(luò)安全日常運(yùn)維或安全審計(jì)提供支持。

2.2 OTA 安全漏洞風(fēng)險(xiǎn)評(píng)估

OTA 安全漏洞指硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。應(yīng)對(duì)安全漏洞進(jìn)行識(shí)別、風(fēng)險(xiǎn)評(píng)估、修復(fù)、測(cè)試驗(yàn)證等操作以保證系統(tǒng)安全。以下提供了安全漏洞處置流程及技術(shù)方法，可用于針對(duì)某 OTA 業(yè)務(wù)場(chǎng)景所涉及零部件和環(huán)境進(jìn)行漏掃，以得出具體漏洞信息。OTA 安全漏洞評(píng)估流程見(jiàn)圖5-6。

圖5-6 OTA安全漏洞風(fēng)險(xiǎn)評(píng)估流程圖

2.2.1漏洞識(shí)別

漏洞識(shí)別方式：漏洞公告、漏洞掃描、滲透測(cè)試、白帽測(cè)試等；

漏洞類(lèi)型識(shí)別：如 STIRDE 威脅模型中的仿冒、篡改、信息泄露等類(lèi)型。

2.2.2風(fēng)險(xiǎn)評(píng)估定級(jí)

Common Vulnerability Scoring System（CVSS）提供了一種方法來(lái)描述可利用性的主要特征，并生成分值反應(yīng)其嚴(yán)重程度，使得人們確定處理它們的優(yōu)先級(jí)[17]。

CVSS 評(píng)分方法如表5-14所示。

表5-14 CVSS 評(píng)分方法

CVSS 可利用性值與攻擊可行性的映射示例如表5-15所示。

表5-15 基于CVSS的攻擊可利用性映射表

2.2.3修復(fù)可行性評(píng)估

修復(fù)可行性評(píng)估首先需要根據(jù)上文風(fēng)險(xiǎn)處置的方式初步篩選出漏洞的處置方式，針對(duì)具體的修復(fù)方式（如補(bǔ)丁升級(jí)、版本升級(jí)、更換組件等）進(jìn)行測(cè)試驗(yàn)證，評(píng)估對(duì) OTA 系統(tǒng)是否造成影響或引入新的高危及以上風(fēng)險(xiǎn)。

2.2.4測(cè)試驗(yàn)證

對(duì)已經(jīng)修復(fù)的漏洞進(jìn)行測(cè)試驗(yàn)證，如重新漏洞掃描、滲透測(cè)試、人工復(fù)現(xiàn)等

進(jìn)行驗(yàn)證。

2.2.5閉環(huán)

在測(cè)試驗(yàn)證階段確認(rèn)漏洞修復(fù)有效后，對(duì)相關(guān)風(fēng)險(xiǎn)評(píng)估和測(cè)試驗(yàn)證過(guò)程文檔進(jìn)行歸檔保存，最后可流程閉環(huán)。

三、OTA 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

根據(jù) OTA威脅分析和風(fēng)險(xiǎn)評(píng)估流程，OTA面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括 OTA平臺(tái)安全風(fēng)險(xiǎn)、通信安全風(fēng)險(xiǎn)、車(chē)端安全風(fēng)險(xiǎn)和升級(jí)包安全風(fēng)險(xiǎn)。

3.1 OTA 平臺(tái)安全風(fēng)險(xiǎn)

OTA 平臺(tái)安全風(fēng)險(xiǎn)主要包括云平臺(tái)自身安全、第三方應(yīng)用安全兩個(gè)主要方面。

（1）云平臺(tái)自身安全風(fēng)險(xiǎn)

OTA 平臺(tái)大多數(shù)部署在云端服務(wù)器中，會(huì)面臨傳統(tǒng)云平臺(tái)的所有安全威脅，包括網(wǎng)絡(luò)威脅、主機(jī)威脅、應(yīng)用威脅、數(shù)據(jù)威脅等。攻擊者利用 Web 漏洞、數(shù)據(jù)庫(kù)漏洞、接口 API 安全注入漏洞等手段發(fā)起 DDoS 攻擊、MITC 攻擊、跨云攻擊、編排攻擊、加密劫持等，可能導(dǎo)致 AccessKey 泄露風(fēng)險(xiǎn)、用戶(hù)敏感信息泄露、推送的升級(jí)包被篡改、升級(jí)策略更改等風(fēng)險(xiǎn)。

（2）第三方應(yīng)用安全風(fēng)險(xiǎn)

隨著車(chē)載平臺(tái)的發(fā)展，第三方應(yīng)用也會(huì)隨之增長(zhǎng)，第三方應(yīng)用的 OTA 也將會(huì)成為一個(gè)很重要的部分。升級(jí)后的第三方產(chǎn)品可能存在系統(tǒng)兼容性或者系統(tǒng)漏洞，甚至嚴(yán)重的 BUG，所以 OTA 平臺(tái)也需要考慮到第三方應(yīng)用的升級(jí)流程與規(guī)范要求。

3.2 通信安全風(fēng)險(xiǎn)

OTA 通信安全風(fēng)險(xiǎn)主要包括身份認(rèn)證、傳輸加密、中間人攻擊三個(gè)主要方面。

（1）身份認(rèn)證安全風(fēng)險(xiǎn)

身份認(rèn)證風(fēng)險(xiǎn)體現(xiàn)在通信過(guò)程中未對(duì)通信對(duì)象進(jìn)行有效身份驗(yàn)證，攻擊者通過(guò)使用基站偽造、身份偽造、動(dòng)態(tài)劫持等方式冒充合法參與者，參與車(chē)云通信，非法監(jiān)聽(tīng)通信信息。例如，OTA 云服務(wù)推送軟件升級(jí)包到車(chē)端的過(guò)程，若采用弱認(rèn)證方式或明文傳輸，容易遭受中間人攻擊、竊聽(tīng)攻擊等。終端下載升級(jí)包的傳輸流程中，如果終端在升級(jí)流程中同時(shí)缺少驗(yàn)證機(jī)制，那么被篡改的升級(jí)包即可順利完成升級(jí)流程，達(dá)到篡改系統(tǒng)，植入后門(mén)等惡意程序的目的。攻擊者還可能對(duì)升級(jí)包進(jìn)行解包分析、篡改升級(jí)包信息等，或者獲取一些可利用的信息，如漏洞補(bǔ)丁等，可能導(dǎo)致關(guān)鍵信息泄露、代碼業(yè)務(wù)邏輯泄露等風(fēng)險(xiǎn)。

（2）傳輸過(guò)程安全風(fēng)險(xiǎn)

傳輸風(fēng)險(xiǎn)主要發(fā)生在車(chē)輛通信信息在未進(jìn)行加密、加密強(qiáng)度較弱、密鑰信息暴露等情況下，導(dǎo)致容易遭受惡意攻擊，造成通信信息的泄漏、非法篡改和破壞。例如，云端與車(chē)端的通信過(guò)程若采用不安全的通信協(xié)議或通信過(guò)程不采用認(rèn)證機(jī)制、明文通信等，容易遭受中間人攻擊、竊聽(tīng)攻擊、重放攻擊、DoS 攻擊等，可能導(dǎo)致車(chē)端升級(jí)信息錯(cuò)誤、敏感信息泄露、拒絕服務(wù)等風(fēng)險(xiǎn)。

（3）中間人攻擊安全風(fēng)險(xiǎn)

中間人攻擊體現(xiàn)在協(xié)議鏈路層通信未進(jìn)行加密，攻擊者可以通過(guò)抓取鏈路層標(biāo)識(shí)實(shí)現(xiàn)會(huì)話劫持，攻擊者可以基于中間人偽造協(xié)議而實(shí)施對(duì)升級(jí)包的篡改，竊取等。此外，在自動(dòng)駕駛情況下，汽車(chē)使用了篡改后的升級(jí)包，攻擊者通過(guò)利用升級(jí)包中預(yù)植的木馬，干擾車(chē)輛正?？刂?，帶來(lái)交通安全風(fēng)險(xiǎn)。

3.3 車(chē)端安全風(fēng)險(xiǎn)

車(chē)端安全風(fēng)險(xiǎn)主要包括版本回退、車(chē)端升級(jí)程序被破解繞過(guò)、拒絕更新三個(gè)主要方面。此外，車(chē)端系統(tǒng)出現(xiàn)公開(kāi)漏洞，若不及時(shí)進(jìn)行修復(fù)，可能導(dǎo)致黑客利用漏洞進(jìn)行攻擊，造成車(chē)輛、財(cái)產(chǎn)乃至人身安全風(fēng)險(xiǎn)。

（1）版本回退風(fēng)險(xiǎn)

一般場(chǎng)景下的升級(jí)都是由低版本升級(jí)到高版本系統(tǒng)，但如果車(chē)端升級(jí)未對(duì)升級(jí)包版本進(jìn)行判斷，攻擊者可以利用此漏洞，使用存在已知安全漏洞的低版本系統(tǒng)覆蓋現(xiàn)有的系統(tǒng)，將導(dǎo)致車(chē)輛面臨安全風(fēng)險(xiǎn)。

（2）車(chē)端升級(jí)程序被破解繞過(guò)

按照OTA和安全相關(guān)的國(guó)際和國(guó)家標(biāo)準(zhǔn)要求，升級(jí)過(guò)程都需要在車(chē)輛端對(duì)升級(jí)包進(jìn)行加密和簽名驗(yàn)證等一系列驗(yàn)證環(huán)節(jié)，經(jīng)過(guò)驗(yàn)證的升級(jí)包才能進(jìn)行正常的升級(jí)流程。如果驗(yàn)證的算法過(guò)于簡(jiǎn)單或者驗(yàn)證流程存在漏洞，攻擊者可以利用這些漏洞構(gòu)造有效的升級(jí)包或者繞過(guò)驗(yàn)證流程，在部件上加載運(yùn)行惡意篡改過(guò)的固件，對(duì)車(chē)輛進(jìn)行進(jìn)一步的攻擊或者控制等惡意行為。

（3）拒絕更新風(fēng)險(xiǎn)

在車(chē)輛升級(jí)過(guò)程中，攻擊者可能會(huì)阻止車(chē)輛修復(fù)功能漏洞，通過(guò)控制車(chē)輛拒絕訪問(wèn)更新而無(wú)法解決車(chē)輛潛在漏洞或其他問(wèn)題。常見(jiàn)的攻擊方式包括：通過(guò)阻斷或攔截外部或內(nèi)部網(wǎng)絡(luò)通信流量，阻止車(chē)端 ECU 接收任何更新。

3.4 升級(jí)包安全風(fēng)險(xiǎn)

涉及升級(jí)包的應(yīng)用場(chǎng)景分為升級(jí)包車(chē)云傳輸、升級(jí)包車(chē)內(nèi)傳輸、升級(jí)包安裝。三類(lèi)應(yīng)用場(chǎng)景中，升級(jí)包安全風(fēng)險(xiǎn)主要包括升級(jí)包信息泄露、升級(jí)包信息篡改、升級(jí)包信息偽造三個(gè)主要方面。

（1）OTA 升級(jí)包信息泄露風(fēng)險(xiǎn)

OTA 升級(jí)包的機(jī)密性破壞，攻擊者可輕易捕獲并分析通信數(shù)據(jù)，導(dǎo)致升級(jí)包信息泄露風(fēng)險(xiǎn)。

（2）OTA 升級(jí)包信息篡改風(fēng)險(xiǎn)

OTA 升級(jí)包的完整性破壞，攻擊者獲取OTA 通信數(shù)據(jù)并進(jìn)行篡改，造成升級(jí)包被篡改或升級(jí)指令錯(cuò)誤。

（3）OTA 升級(jí)包信息偽造風(fēng)險(xiǎn)

車(chē)云之間失去身份的真實(shí)性，攻擊者偽造非法信息進(jìn)入平臺(tái)或車(chē)輛，導(dǎo)致下發(fā)惡意升級(jí)指令或上傳虛假信息等。

（4）OTA 升級(jí)包代碼安全風(fēng)險(xiǎn)

未對(duì)升級(jí)包進(jìn)行代碼檢測(cè)，以及對(duì)代碼所應(yīng)用的第三方開(kāi)源代碼進(jìn)行溯源和分析，導(dǎo)致升級(jí)包中存在缺陷（bug）。

四、OTA 數(shù)據(jù)安全風(fēng)險(xiǎn)分析

汽車(chē)OTA帶來(lái)對(duì)已售車(chē)型大量應(yīng)用服務(wù)的數(shù)據(jù)井噴，還面臨在保證用戶(hù)個(gè)人信息安全的前提下，企業(yè)如何實(shí)施數(shù)據(jù)利用共享，OTA 相關(guān)數(shù)據(jù)如何跨境流通等問(wèn)題。這些安全風(fēng)險(xiǎn)都對(duì)企業(yè)的合規(guī)管理與創(chuàng)新發(fā)展提出新的要求。

4.1 用戶(hù)隱私信息泄漏風(fēng)險(xiǎn)

汽車(chē)遠(yuǎn)程升級(jí)整個(gè)過(guò)程中涉及到云端服務(wù)器安全、車(chē)端安全、車(chē)云通信安全，也關(guān)系到生產(chǎn)者、用戶(hù)及汽車(chē)軟件供應(yīng)商等其他主體之間的數(shù)據(jù)收集、數(shù)據(jù)傳輸?shù)榷鄠€(gè)處理環(huán)節(jié)。在這些過(guò)程之中如果存在網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，可能導(dǎo)致 OTA 系統(tǒng)遭受破壞，不法分子可以通過(guò) OTA 系統(tǒng)窺探到用戶(hù)的隱私信息，如車(chē)輛位置、行車(chē)路線等行為習(xí)慣。同時(shí)，第三方應(yīng)用平臺(tái)可能存在非法獲取其他應(yīng)用和車(chē)載端數(shù)據(jù)的風(fēng)險(xiǎn)。

4.2 數(shù)據(jù)出境合規(guī)風(fēng)險(xiǎn)

隨著系列政策文件均提出汽車(chē)產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)出境管理要求，智 能網(wǎng)聯(lián)汽車(chē)作為重點(diǎn)監(jiān)管對(duì)象，產(chǎn)生的大量數(shù)據(jù)為數(shù)據(jù)跨境管理帶來(lái)新的風(fēng)險(xiǎn)。對(duì)跨國(guó)企業(yè)而言，涉及技術(shù)研發(fā)的數(shù)據(jù)免不了出境或遠(yuǎn)程跨國(guó)訪問(wèn)，若分布于各國(guó)的數(shù)據(jù)只能本地存儲(chǔ)而無(wú)法出境交互，將動(dòng)搖跨國(guó)車(chē)企一直以來(lái)采取的開(kāi)發(fā)、維護(hù)、集中化管理模式，導(dǎo)致車(chē)企需重新對(duì)一國(guó)市場(chǎng)進(jìn)行單獨(dú)資源調(diào)配，建立和總部一致的技術(shù)團(tuán)隊(duì)，成本不可估量[18]。因此在車(chē)輛售出后， 面對(duì)遠(yuǎn)程升級(jí)需要的軟件版本號(hào)、升級(jí)包名稱(chēng)、升級(jí)時(shí)間等決定功能實(shí)現(xiàn)的數(shù)據(jù)如何合法地出境流動(dòng)仍然存在管理規(guī)定不明晰帶來(lái)的風(fēng)險(xiǎn)。

五、OTA 功能安全風(fēng)險(xiǎn)分析

當(dāng)涉及車(chē)輛核心功能如動(dòng)力、制動(dòng)和電池管理系統(tǒng)等模塊的遠(yuǎn)程升級(jí)時(shí)，可能對(duì)車(chē)輛的功能安全帶來(lái)新的挑戰(zhàn)，升級(jí)后的系統(tǒng)將車(chē)輛與駕駛?cè)吮┞对谖粗奈ｋU(xiǎn)中。OTA 功能安全風(fēng)險(xiǎn)可舉例為：

5.1 車(chē)端升級(jí)條件判斷不當(dāng)導(dǎo)致的安全風(fēng)險(xiǎn)

車(chē)輛遠(yuǎn)程升級(jí)是一個(gè)比較長(zhǎng)的過(guò)程，而且升級(jí)過(guò)程中車(chē)輛大部分功能可能無(wú)法正常使用，所以一般都要求車(chē)輛在P檔、電池電量充足等一定條件下才能進(jìn)行。如果車(chē)輛對(duì)于升級(jí)條件的判斷存在問(wèn)題，可能導(dǎo)致在非預(yù)想的情況下觸發(fā)升級(jí)事件，對(duì)車(chē)輛和車(chē)內(nèi)人員人身安全造成威脅。

5.2 車(chē)端升級(jí)失敗導(dǎo)致的車(chē)輛功能不可用

在車(chē)輛升級(jí)過(guò)程中可能出現(xiàn)斷電等異常情況導(dǎo)致升級(jí)失敗的情況，如果沒(méi)有對(duì)升級(jí)失敗的情況進(jìn)行妥善的容災(zāi)處理，可能導(dǎo)致車(chē)輛無(wú)法啟動(dòng)，甚至零部件損壞等嚴(yán)重事件。

5.3 OTA 升級(jí)軟件自身缺陷導(dǎo)致的風(fēng)險(xiǎn)

軟件更新后未進(jìn)行充分驗(yàn)證和測(cè)試就直接部署到車(chē)輛上，軟件自身的缺陷可能會(huì)使軟件運(yùn)行出現(xiàn)意外行為，導(dǎo)致系統(tǒng)崩潰、觸發(fā)車(chē)輛失控等安全事故。

5.4 軟件不兼容風(fēng)險(xiǎn)

在車(chē)輛升級(jí)過(guò)程中，升級(jí)軟件可能引入新的功能和接口，如果車(chē)輛硬件不支

持或不兼容，可能導(dǎo)致升級(jí)后系統(tǒng)無(wú)法正常工作，造成行車(chē)安全隱患。

為應(yīng)對(duì)上述 OTA 安全風(fēng)險(xiǎn)，總體來(lái)說(shuō)，在云平臺(tái)端可采用證書(shū)，簽名和加密機(jī)制，負(fù)責(zé)為 OTA 服務(wù)平臺(tái)提供安全服務(wù)，包括密鑰證書(shū)管理服務(wù)，數(shù)據(jù)加密服務(wù)，數(shù)字簽名服務(wù)等，保證升級(jí)包不會(huì)隨意被制作和發(fā)布，升級(jí)包的內(nèi)容不會(huì)被惡意獲取。在通信鏈路端，可通過(guò)可靠的物理鏈路和安全傳輸協(xié)議來(lái)保證網(wǎng)絡(luò)傳輸安全。在車(chē)端，可通過(guò)汽車(chē)的功能域隔離，劃分不同 ASIL 等級(jí)，通過(guò)冗余設(shè)計(jì)保證整車(chē)的功能可靠性；車(chē)輛終端 OTA 組件對(duì)升級(jí)包進(jìn)行合法性驗(yàn)證，適配安全升級(jí)流程，通過(guò)安全啟動(dòng)來(lái)保證可信的軟件在 ECU 上加載啟動(dòng)運(yùn)行。

審核編輯：劉清