隨著汽車智能網(wǎng)聯(lián)化發(fā)展，OTA成為智能車必備的基礎功能，是車輛進行軟硬件升級、功能上新、應用更新、漏洞修復等的重要技術手段，實現(xiàn)了車輛持續(xù)進化、用戶體驗持續(xù)優(yōu)化、價值持續(xù)創(chuàng)造。但OTA也成了黑客的重點攻擊對象，如進行竊聽攻擊、惡意升級、回滾攻擊、DDOS攻擊等，使整車OTA升級面臨多維安全挑戰(zhàn)。

本文首先介紹了車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)，其次進行OTA概述，再進行OTA風險分析，最后提出了做好OTA安全的整體設計思路，提升整車OTA升級的安全性。??

1 車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)

1.1 網(wǎng)聯(lián)汽車信息安全，汽車行業(yè)面臨多維度安全挑戰(zhàn)

ACES（自駕、聯(lián)網(wǎng)、電動、共享）面臨的網(wǎng)絡攻擊危險包括近程攻擊、中程攻擊以及遠程攻擊。

近程攻擊：近距離接觸車輛進行攻擊的一些點，比如ECU、傳感器、IVI、OBD、OBD電子、USB卡槽、車內網(wǎng)絡、無鑰匙進入等的攻擊

中程攻擊：藍牙、4G5G、WiFi、IT網(wǎng)絡、移動APP等中程攻擊，比如手機通過藍牙接近車輛時，通過藍牙去控制車窗，或者對整個車輛進行啟動的攻擊

遠程攻擊：整車廠、供應商、智能網(wǎng)聯(lián)、服務運營和云端服務等的攻擊



從上述維度看，涉及的攻擊非常多。但目前行業(yè)內缺乏明確的安全標準，只有一些針對性協(xié)議。所以，現(xiàn)在很多車都處于裸奔狀態(tài)，比如說現(xiàn)在的一些新能源車，即使在被攻擊或在被入侵，駕駛員也沒有任何感知。

目前國內外一些的黑產(chǎn)，對新能源汽車的軟件漏洞非常關注。根據(jù)2021年全球汽車信息安全報告，云端服務器、管端無鑰匙、端的移動APP及OBD的攻擊比例較高。近期也有一些有關黑客攻擊的新聞，比如某品牌車輛的無鑰匙進入系統(tǒng)存在安全風險被黑客攻破。



綜上所述，車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)現(xiàn)狀如下

攻擊手法多樣：車聯(lián)網(wǎng)架構復雜，暴露面增多，攻擊手法多樣

無安全標準：智能網(wǎng)聯(lián)汽車協(xié)議眾多，無安全標準

無安全防御：無安全防御的網(wǎng)聯(lián)汽車，幾乎裸奔

黑客關注提升：智能網(wǎng)聯(lián)汽車攻擊收益提升，易引起黑客關注

1.2 網(wǎng)聯(lián)汽車行業(yè)規(guī)范日益增多 ?

目前，汽車行業(yè)正處于軟件定義汽車的時代，軟件數(shù)量及復雜度越來越高，安全風險點也越來越多，國家關注度隨之提高，出具了很多相關的規(guī)范，要求車企在制造網(wǎng)聯(lián)汽車時，必須符合相關的安全要求。




比如海外規(guī)范WP29-R155，涉及到車輛制造商需要滿足的信息安全強制要求以及如何進行網(wǎng)絡安全防護。國內即將發(fā)布一個行業(yè)要求《汽車整車信息安全技術要求》，規(guī)定了汽車整車信息安全技術要求和企業(yè)信息安全管理體系要求，涵蓋外部連接安全、車輛通信安全、軟件升級安全和數(shù)據(jù)代碼安全，并給出了對應的測試方法。 這里再提示一下，國家法律或行業(yè)強制標準、影響車輛上市或不取得會遭受處罰的行業(yè)指導標準、可以拉開與競爭對手差異的指導性要求或者標準，建議企業(yè)采取。

2 OTA概述

2.1 OTA簡介 ?

OTA(Over The Air)，即遠程無線升級。OTA能夠在線進行軟件和固件更新，及時彌補系統(tǒng)中存在的問題而無需傳統(tǒng)的召回。OTA的應用也表明了汽車能夠在一定程度上應對信息安全上存在的問題及缺陷。OTA技術幾乎成為新車的標配，其不僅可以通過遠程升級令車輛“常用常新”，也逐漸成為消除車輛隱患的手段之一。

?

OTA 分為兩類，F(xiàn)OTA和SOTA 。

?

2.2 傳統(tǒng)軟件升級流程 ?

傳統(tǒng)車輛軟件升級流程如下圖。車廠通知4S店某個系統(tǒng)可以升級，4S店再通知車主，車廠發(fā)送更新的軟件CD到4S店，車主將車送到4S店進行升級，升級驗證完成后，將車輛交付給車主，4S店再將升級成功的信息反饋給車廠。

沒有OTA的安全風險 ?

如果沒有OTA，只進行傳統(tǒng)的軟件升級，就會出現(xiàn)很多風險。 首先，升級導致多種問題，如某些功能不能正常使用、汽車變成磚頭等。隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車輛的軟件數(shù)量會越來越多，車輛升級也會更加頻繁，若采用傳統(tǒng)的軟件升級，當批量車輛前往4S店升級時，就需要投入大量的人力及資金。同時，如果車輛升級時產(chǎn)生的問題沒有進行及時解決，那么事故就會越來越多。而作為車主，則需要花費大量的時間、精力去解決這些問題。 ?

2.3 OTA升級流程 ?

如何可以以更省時的方式更新車載軟件，同時確保質量和安全呢？這就產(chǎn)生了OTA。OTA升級流程見下圖。




OTA的流程，可以分成三個階段，第一步云端生產(chǎn)固件或軟件更新包，第二步通過通訊管端，安全傳輸下載更新包，第三步在車端實現(xiàn)更新包的安裝。

OTA服務端把升級包推向PKI服務，進行相關的簽名認證，此時的升級包除了升級包的內容以外，還有一個簽名認證，安全性更高。那再把這個包推到CDN上，告訴車輛需要進行某個版本的OTA，車主確認后，車端進行軟件包下載、升級包驗簽、升級包解密、安全刷寫等進行升級。

T-BOX是車上的網(wǎng)聯(lián)設備，它可以連接外部網(wǎng)絡訪問CDN，把相關的升級包拉下來，通過網(wǎng)關進行一些升級，如車機大屏、IVI、ECU的升級，這就是整個OTA的升級流程。 需要注意的是，車輛進行OTA升級的前提是車主必須同意，不能在車主未知、未了解情況時進行升級。 ?

3 OTA風險分析

3.1 OTA安全風險 ?

在OTA升級的流程中，很多節(jié)點都存在安全風險，如OTA服務、PKI服務、T-BOX、PKI服務與T-BOX之間交互、T-BOX推向網(wǎng)關的鏈路等，均可被黑客控制，進行安全攻擊。

?

3.2 OTA的安全分析

基于OTA的安全風險分析，建立威脅模型，如下圖。



從威脅場景的攻擊維度看，包括ECU安全風險、密鑰安全風險、車內外的中間人攻擊風險。攻擊目標維度，有一個重要點，是要限制任意軟件攻擊。目前，車機上并不允許下載所有的APP，目的就是為了避免沒有經(jīng)過安全驗證的軟件攻擊。功能拒絕上，要拒絕回滾攻擊、DD0S攻擊、混合捆綁攻擊及混合攻擊。拒絕更新上，要拒絕捆綁安裝攻擊、丟棄請求攻擊，丟棄請求攻擊即請求被攔截的攻擊。讀取更新上，要拒絕竊聽更新。 在整體威脅模型里，還要進行防守，如緩解安全風險、進行惡意升級檢測。

3.3 各類風險分析 ?

OTA安全風險存在于升級的各個流程，常見的各類安全風險如下表所示。

4 如何做好OTA安全

4.1 資質認證 ?

針對OTA存在的風險挑戰(zhàn)，首先要進行資質認證，使OTA符合相關的技術規(guī)范或強制性要求等。


首先，OTA相關政策包括數(shù)據(jù)安全保護法、信息安全保護法、網(wǎng)絡安全保護法、汽車安全數(shù)據(jù)管理、汽車數(shù)據(jù)安全采集、關鍵信息基礎設施保護條例，如果車輛要銷往海外，還需要符合GDPR。 其次，OTA相關認證可分為人、數(shù)據(jù)、車三方面的認證。

有關人的認證，包括ISO27701 、ISO27701隱私認證、 ISO/IEC 29151、APP 安全認證、個人信息保護 、MTCS。針對數(shù)據(jù)的認證包括ISO38505、等保、SOC、CSA STAR、TISAX(可信信息安全傳輸交換) 。有關車的認證包括車輛網(wǎng)絡安全和數(shù)據(jù)保護相關的聯(lián)合國汽車標準化組織WP29、ISO21434 /SAE 3061、SOTF:ISO 21448 。

最后，基于政策和認證，車企在內部要建立相關的OTA安全體系，包括信息安全管理體系、數(shù)據(jù)安全管理體系、車安全管理體系。針對人，可以進行相關的信息安全管理，包括安全管理組織、安全管理、安全人員管理、系統(tǒng)運維管理、資產(chǎn)安全管理、應用安全管理、網(wǎng)絡安全管理、安全終端管控。

針對數(shù)據(jù)安全管理，可進行數(shù)據(jù)安全管理、數(shù)據(jù)分類分級、數(shù)據(jù)安全采集、隱私保護管理、數(shù)據(jù)合規(guī)管理、數(shù)據(jù)安全審計、數(shù)據(jù)跨境管理、數(shù)據(jù)共享管理、業(yè)務數(shù)據(jù)管理。針對車輛安全管理，可進行整車網(wǎng)絡安全威脅分析與風險評估（TARA）、整車信息安全全生命周期管理（CSMS）、車聯(lián)網(wǎng)安全檢測管理。

4.2 構建安全威脅分析與風險評估（TARA） ?

安全威脅分析及風險評估（TARA），是識別潛在的安全威脅、評估與威脅相關的風險的過程，是ISO21434中威脅分析和風險評估的方法論，屬于聯(lián)合國WP.29 R155對于網(wǎng)絡安全管理體系認證（CSMS）的方法論基礎，與車輛功能安全領域危害分析和風險評估（HARA）方法論一起，構成了車輛安全的兩大方法論。



在整個TARA分析流程中，第一階段是概念與設計。首先要進行資產(chǎn)識別，比如在威脅場景中要涉及到操作系統(tǒng)、要涉及到哪些協(xié)議或控制域等。資產(chǎn)識別完成以后，要進行相關的威脅建模，比如操作系統(tǒng)本身會有哪些風險，某個模塊與控制域通過協(xié)議交互過程中會有哪些風險，然后進行脆弱性分析、攻擊路徑分析，并對風險進行估值，設計風險處置與防護方案。

第二階段要進行研發(fā)與測試，對信息安全進行測試，對整體威脅場景進行漏洞挖掘及攻擊性行為分析，對識別出來的風險進行驗證與處置。

第三階段是生產(chǎn)、運營、報廢階段，在發(fā)現(xiàn)了安全風險后已進行了驗證和處置，這一步可以利用OTA進行升級，解決這些安全風險。

4.3 構建汽車信息安全管理體系 ?

基于汽車產(chǎn)品全生命周期的信息安全風險，構建汽車信息安全管理體系，包括構建組織管理體系、產(chǎn)品生命周期管理體系及外部管理體系三部分。


組織管理包括文化治理、信息共享、工具管理，由于車輛本身的復雜性，項目管理體系及其重要。產(chǎn)品生命周期管理包括項目管理、概念、研發(fā)、生產(chǎn)、運行、報廢六大部分。外部管理包括供應商管理及用戶管理。

構建汽車信息安全管理體系的意義 ? 滿足合規(guī)要求：依據(jù)企業(yè)實際情況，以滿足合規(guī)要求為目標， 協(xié)助推進智能網(wǎng)聯(lián)汽車信息安全管理體系方案的實施，為汽車信息安全體系認證做準備。

強化內控機制，保障業(yè)務連續(xù)性：建設和完善汽車信息安全流程和制度，強 化過程管理；按照制度強化對汽車整體信息安全工作的管理和協(xié)調，保障制度落地。

進一步優(yōu)化完善現(xiàn)有流程規(guī)范：優(yōu)化完善現(xiàn)有的安全管理體系，以適應智能網(wǎng)聯(lián) 汽車信息安全不斷發(fā)展的需要。

4.4 構建安全免疫架構 ?

如果把整車看成一個人，人生病的時候會有一定的免疫力，那么也可以給車輛建立一定的免疫能力，通過在云、管、端建立免疫防御能力、免疫監(jiān)視能力、免疫自穩(wěn)能力，構建安全防御架構。


云端的免疫防御包括WAF、PKI、接口安全、云原生安全、安全配置、應用安全、授權管理、安全網(wǎng)關。云端免疫監(jiān)視包括V-SOC、威脅情報、數(shù)據(jù)安全、業(yè)務監(jiān)控。云端自穩(wěn)包括數(shù)據(jù)分類分級、應用安全。 管端的免疫防御包括防中間人、抗DDOS、傳輸安全、無線安全。免疫監(jiān)視包括GPS欺騙監(jiān)控、藍牙監(jiān)控。免疫自穩(wěn)包括V2X通信的安全。

端的免疫防御包括APP安全加固、設備認證、TEE、SecOc、證書和秘鑰部署、車載防火墻、主機安全、OTA安全。免疫監(jiān)視包括車鑰匙安全、充電樁安全、車控安全監(jiān)控、數(shù)據(jù)采集安全、主機安全、固件刷寫。免疫自穩(wěn)包括TARA、CSMS。

4.5 構建安全開發(fā)流程（DevSecOps）架構 ?

DevSecOps是DevOps的延伸，即在軟件開發(fā)測試的整個生命周期內，將Sec（安全，Security）融入DevOps實踐中，提高車輛安全性。


車端研發(fā)安全生命周期中，在Epic&Story階段進行安全可行性&固有風險評估。CODING階段進行安全編碼指南、源代碼安全IDE本地掃描。DEV階段進行源代碼安全掃描、開源組件安全掃描。SIT階段進行APP安全掃描/SDK隱私合規(guī)掃描、接口安全掃描、安全滲透測試、輸出自動化安全報告。UAT 階段進行外部滲透測試、Docker安全掃描。產(chǎn)品上線后建立安全運營平臺。 一般互聯(lián)網(wǎng)企業(yè)更多關注云端的安全研發(fā)流程，但是車端還需要關注APP、嵌入式的研發(fā)安全，安全關注度覆蓋面更廣。

4.6 車聯(lián)網(wǎng)安全應急響應&威脅情報平臺 ?

安全漏洞響應平臺是集安全測試、漏洞挖掘、漏洞情報、專家響應、定制化服務于一體的綜合性車聯(lián)網(wǎng)安全服務平臺。

安全應急響應?：安全部牽頭建立應急響應中心，應對各類突發(fā)事件，形成應急響應分級標準，聯(lián)合業(yè)務部門依照相關應急預案落地執(zhí)行，幫助業(yè)務正確應對安全事件，降低安全事件帶來的損失和影響。

威脅情報：購買第三方威脅情報庫 、自建威脅情報庫

業(yè)務聯(lián)動：業(yè)務漏洞修復 、法務&市場輿情應對

?

4.7 安全人才培養(yǎng) ?

如何進行安全人才培養(yǎng)，可從下面三方面入手。

安全研究 ?

模擬仿真車載系統(tǒng)、云端、APP、總線協(xié)議、ECU，將攻 擊場景還原進行相關的科研研究。

人才培養(yǎng) ?

內置漏洞靶場所對應的靶標、漏洞庫與培訓視頻，可以 進行車聯(lián)網(wǎng)安全人才培養(yǎng)。 一般互聯(lián)網(wǎng)企業(yè)，只用對安全部門人員進行培訓。但車端的安全培訓，需要對業(yè)務部門比如電子電氣架構部門、OTA業(yè)務流程部門等相關人員進行車聯(lián)網(wǎng)安全培訓，了解整個OTA流程中存在的風險，提高在方案設計或工作中的安全意識。

競賽演練

紅藍演練、眾測漏洞挖掘、應急演習等活動，進行人才 選拔，能力提升。

4.8 極氪車聯(lián)網(wǎng)安全團隊 ?

近年來，越來越多的主機廠建立了車聯(lián)網(wǎng)安全團隊，以提升車聯(lián)網(wǎng)安全。下面以電動汽車行業(yè)的佼佼者極氪車聯(lián)網(wǎng)安全團隊為例，了解車聯(lián)網(wǎng)安全團隊。 極氪車聯(lián)網(wǎng)安全團隊“ZEEKRZERO”是極氪信息安全部門下的單獨負責極氪全線車系的車聯(lián)網(wǎng)安全滲透以及安全研究的團隊，成員均來自國內領先的網(wǎng)絡安全攻防研究團隊，覆蓋整車滲透測試的全領域，迄今已有5余項研究議題入選HITB、44Con、Zer0Con等著名國際安全會議，發(fā)現(xiàn)的漏洞獲得CVE編號50個。團隊立足車聯(lián)網(wǎng)安全領域技術研究車聯(lián)網(wǎng)安全產(chǎn)品研發(fā)、提升內部車聯(lián)網(wǎng)安全體系，打造全新的車聯(lián)網(wǎng)內生安全。

4.9 極氪車聯(lián)網(wǎng)安全實驗室架構 ?

極氪車聯(lián)網(wǎng)安全實驗室致力于車聯(lián)網(wǎng)安全領域技術研究、車聯(lián)網(wǎng)安全產(chǎn)品研發(fā)、為打造全新的車聯(lián)網(wǎng)內生安全提供基礎。極氪車聯(lián)網(wǎng)安全實驗室架構如下：

汽車整車測試區(qū) ?

整車游試區(qū)包括臺架和轉轂系統(tǒng)，用于對汽車整車網(wǎng)絡、整車模塊，整車動態(tài)安全測試，目的是為了發(fā)現(xiàn)整車電氣和網(wǎng)絡中存在的問題。 測試工位 ? 測試工位用戶安全工程師對車載模組進行安全測試，測試對象包括ECU、IVI、T-BOX等。

屏蔽室 ?

屏蔽室用于車教藍牙、車載4G網(wǎng)絡、車載射預信號的安全測試，防止外部信號和電磁干擾。

接待區(qū) ?

用于接待參觀，設置展示大屏，展示實驗室當前的數(shù)據(jù)大盤和汽車安全實驗室能力介紹。

實驗室具有以下能力：整車總線網(wǎng)絡安全檢測能力；ECU及IVI等模組安全檢測能力；藍牙、WIFI、4G安全檢測能力。

4.10 車聯(lián)網(wǎng)安全能力覆蓋 ?

極氪車聯(lián)網(wǎng)安全團隊及實驗室，具備以下能力

安全比賽：承辦車聯(lián)網(wǎng)安全比賽 、參與國內的車聯(lián)網(wǎng)安全比賽

安全培訓：實驗室成員提供車聯(lián)網(wǎng)安全相關培訓及實操培訓；參與車輛設計需求研發(fā)等各階段，發(fā)現(xiàn)其中的網(wǎng)絡安全風險和安全合規(guī)風險，并提供給需求方完善的安全解決方案

安全研發(fā)：自主研發(fā)包括API安全掃描、開源組件安全掃描等應用于開發(fā)流程的自動化安全掃描系統(tǒng) ；自主研發(fā)固件、二進制自動化掃描等系統(tǒng) ；車端安全加固研發(fā)

安全檢測：通過自研的自動化掃描工具以及人工的測試，覆蓋整車、電子電氣架構各組件模塊及供應商提供的交付物的安全測試，發(fā)現(xiàn)安全漏洞并協(xié)助業(yè)務修復漏洞

安全運營：VSOC態(tài)勢感知、PKI基礎設施、漏洞管理、應急響應 本文概述了目前車聯(lián)網(wǎng)面臨的安全挑戰(zhàn)，并對OTA及OTA風險進行了分析，最后通過介紹資質認證、TARA、構建汽車信息安全管理體系、構建安全免疫架構、 構建安全開發(fā)流程（DevSecOps）架構、安全人才培養(yǎng)等方法幫助智能網(wǎng)聯(lián)汽車實現(xiàn)OTA安全，對提升OTA安全具有很好的借鑒意義。?



審核編輯：劉清