智能網聯汽車軟件在線升級安全風險分析及管理對策建議*

吳勝男 朱云堯 冀浩杰 付興坤

（1.中國汽車工程研究院股份有限公司，重慶 404100；2.北京信息科技大學，北京 100192；3.泰安北航科技園信息科技有限公司，泰安 271000）

主題詞：智能網聯汽車 軟件在線升級 安全風險 對策建議

1 引言

遠程在線升級（Over-The-Air,OTA）是基于移動通信網絡接口完成對移動終端產品的軟件數據升級管理的技術，包含軟件遠程升級（Software Over The Air, SOTA）和固件遠程升級（Firmware Over The Air,FOTA），主要用于智能手機行業[1]。對于汽車行業而言，2000年后，日本汽車制造廠商開始對配置T-BOX車載控制單元的汽車進行T-BOX系統的OTA遠程升級。在此以后，部分汽車制造廠商開始對具備遠程通信功能的車載信息娛樂系統（In-Vehicle Infotainment,IVI）進行OTA遠程升級，如導航地圖、應用音樂等，從OTA遠程升級的功能內容范圍分析，此時汽車行業主要針對車載信息娛樂系統和簡單的電器部件控制功能，屬于SOTA 的范疇。從汽車OTA 遠程升級更新內容上分析，特斯拉Model S是一款真正搭載FOTA技術的汽車，通過遠程升級修復安全漏洞、提升產品性能、改善用戶體驗[2]。自2018年以來，國內汽車OTA遠程升級在功能搭載率、升級內容等方面均實現快速提升，OTA 遠程升級發展逐漸擴大化，并催生一批功能選裝、硬件免費+軟件收費等新型商業模式。由于智能化、網聯化技術的賦能，OTA 遠程升級技術將成為未來汽車產品軟件數據更新的主要方式，逐漸成為汽車智能化、網聯化的標準配置，汽車產業將迎來“越用越新”的時代。

本文主要從汽車軟件在線升級架構、流程、最新管理實踐方面，研究汽車軟件在線升級的潛在風險和發展重點。

2 國內外汽車軟件在線升級管理最新進展

智能網聯汽車OTA 遠程升級的軟件數據內容不僅包含智能座艙、車聯網，還擴展到汽車行車系統控制層和自動駕駛（圖1）[3]。OTA 遠程升級將深度變革汽車產品定義、開發、驗證、銷售、服務全過程。當前，汽車OTA遠程升級范圍，已從信息娛樂系統逐漸擴展至制動能量回收系統、電池管理系統、智能座艙、輔助駕駛功能等領域，不同功能域的性能參數均發生變更，產品缺陷修復方式更加靈活多樣[4-5]。從一定程度來看，屬于汽車“再造”屬性，升級后的汽車產品如何滿足生產一致性管理要求，如何進行汽車安全影響評估，如何界定消除汽車產品缺陷和性能改進的邊界等，均對傳統汽車靜態固化的管理模式帶來新的挑戰。

圖1 智能網聯汽車應用軟件[3]

國外以聯合國和日本為代表，已出臺具體法規要求對汽車OTA進行管理。目前，聯合國世界車輛法規協調論壇發布3項涉及智能網聯汽車信息安全的重要法規UN Regulation No.155、UN Regulation No.156、UN Regulation No.157，其 中UN Regulation No.155 和UN Regulation No.156 法規要求銷售到58 協約國的汽車制造企業必須獲得政府監管部門的汽車信息安全管理認證和汽車軟件升級管理體系認證，汽車軟件升級管理體系認證要求汽車制造企業從軟件更新過程，軟件更新的安全性要求、已安裝軟件的標識等方面建立軟件升級管理體系，政府監管部門會保持認證結果不定期復審。

日本對于汽車OTA遠程升級管理處于領先位置，為促進自動駕駛產業的快速落地，先后出臺或修訂了《道路車輛運輸法》《車輛特定改造許可制度》《道路運輸車輛保安基準》《審查事務規程》等文件，從上位法、管理制度、法規要求等維度，對汽車OTA 在線升級申請、審查、驗證、許可等關鍵環節構建了較為完善的管理體系[6-8]。日本將汽車OTA 遠程升級作為汽車制造企業對已銷售車型改裝應用的一種技術方式，針對具備OTA 遠程升級改裝的汽車制造企業，其需要建立軟件升級和網絡安全等制度管理體系，并且國家監管部門不定期審查已建立的軟件升級和網絡安全等制度管理體系的執行狀態，此外汽車制造企業在OTA 升級前需向日本國土交通部提交汽車軟件升級申請材料，經國土交通部批準后方可執行汽車OTA遠程升級。

此外，國際相關標準組織為減少汽車OTA遠程升級質量問題，先后發布了SAE J3061（2016）、Uptane IEEE-ISTO 6100.1.0.0（2018）、ISO/SAE 21434（2021）等行業標準，從信息安全工程體系建設、安全測試技術和汽車安全防護框架等方面提供標準化OTA 遠程升級產品解決方案。另外，國際標準化組織為支撐UN Regulation No.156- Software update and software update management system 法規在企業體系的實施，ISO 24089《道路車輛軟件升級工程》已正式立項，旨在提出車載軟件更新所涉及的功能安全和信息安全方面的要求，明確軟件升級管理系統、車輛、電子電氣架構和軟件包的設計開發流程，支撐相關法規的實施。綜合來看，國際上已出臺的法規和標準從OTA遠程升級前對車況的正確感知，到OTA 遠程升級結果完整性、功能性驗證、升級內容防篡改機制，再到升級失敗后車輛自動還原到可用狀態、更新內容和過程可追溯，以及完備的安全監控和審計機制、告知車主更新內容及保護措施等方面，對汽車OTA遠程升級安全均強化了管理要求。

我國行業主管部門高度重視汽車OTA 遠程升級管理。總體來看，我國以備案方式開展汽車OTA 管理，對汽車OTA 升級進行規范管理。具體來看，從新車準入和在用車管理角度先后出臺了《市場監管總局辦公廳關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》《關于開展汽車軟件在線升級備案的通知》等管理政策。其中，《市場監管總局辦公廳關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》提出對OTA 遠程升級追溯、對OTA 遠程升級技術服務活動和OTA 遠程升級召回備案進行管理。《關于開展汽車軟件在線升級備案的通知》對企業遠程升級過程進行管理，主要體現在OTA 遠程升級過程管理、安全應急響應、升級版本、信息記錄等。此外，工信部發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》也提到準入測試應開展OTA 遠程升級安全測試和升級過程測試。《關于開展汽車數據安全、網絡安全等自查工作的通知》提出要對OTA 遠程升級安全和網絡安全狀態進行評估檢驗。市場監管總局等部委聯合發布的《關于試行汽車安全沙盒監管制度的通告》，提出對使用遠程升級等新功能模式的車輛開展深度測試，更早發現質量安全問題，保障安全底線。

從標準法規來看，我國在2022年6月已發布了強制性國家標準《汽車軟件升級通用技術要求》（征求意見稿），該標準規定了汽車軟件升級的管理體系要求、車輛要求、試驗方法、車輛型式的變更和擴展、說明書要求等，從技術法規角度進一步完善汽車OTA遠程升級管理要求。

3 汽車軟件在線升級存在的主要安全問題

汽車OTA 遠程升級系統架構主要由遠程升級云服務器端、云端數據傳輸和汽車產品應用終端組成[9-10]。遠程升級云服務器端和汽車產品應用終端采用一對多的方式，部署在汽車制造企業數據中心的私有云服務平臺為遠程升級云服務器端，利用公有云的內容分發技術（Content Delivery Network,CDN）實現位于不同地區的不同汽車同時更新[11]。遠程升級系統架構見圖2。

圖2 汽車OTA系統架構[11]

通過功能測試的汽車軟件遠程升級數據包，在OTA遠程升級云服務器完成刷寫驗證流程，經遠程升級云服務器工程設計人員在遠程升級云服務器部署車端控制器的軟件數據包，建立遠程升級任務，利用車載遠程升級主控單元執行端與遠程升級服務器的無線通信鏈路，匹配和下載遠程升級軟件數據文件，實現待升級車載控制單元的遠程軟件數據下載、軟件數據安裝過程[12-14]，OTA遠程升級主要流程見圖3。

圖3 汽車OTA升級流程

從汽車OTA遠程升級的系統框架分析，在遠程升級的每個流程中均存在安全風險，常見的安全風險包含遠程在線升級云服務器風險、軟件數據傳輸風險、遠程在線升級服務器與車載遠程在線升級控制單元之間的通訊協議風險、車內通信網絡風險、軟件在線升級數據包被篡改風險[15-16]。據統計，利用OTA 遠程升級端口的攻擊方式已成為汽車產品當前面臨的最高風險，如果出現安全事件，其影響范圍包含汽車運行狀態、車主隱私數據泄露、車主財務損失，更為嚴重的安全事件會涉及到車主的人身傷亡[17]。如何在軟件快速迭代進程中確保軟件質量和升級成功率、如何準確評估識別復雜電子電器系統升級必要性和升級軟件準確性、如何確保軟件在線升級合規等關鍵問題，均對程序可靠性、數據完整性、系統安全性和傳輸連通性方面提出了更高要求。

從用戶使用來看，OTA遠程升級可涉及產品技術參數和控制策略調整，安全風險有待評估，一定程度上影響用車安全；部分OTA遠程升級并未明確告知車主遠程在線升級的理由，以及遠程在線升級的內容和升級后對汽車的影響，侵犯用戶合法權益；OTA 遠程升級過程中還可獲取智能網聯汽車位置信息和汽車使用數據等個人隱私數據，面臨著數據安全風險及車主隱私數據保護問題。

從汽車產品來看，頻繁的OTA遠程升級導致先期投發車型配置與不斷自動升級的軟件系統不相匹配，車載控制單元的硬件能力不足，軟件系統運行速度慢，將影響產品正常運行，不利于可持續發展。

從產業生態來看，智能網聯汽車OTA遠程升級產品的使用條件和環境十分復雜，OTA遠程升級升級生態系統涉及實體包括智能網聯汽車、OTA遠程升級云服務器、手機、汽車制造商、備件OEM、軟件經銷商、車主、汽車服務中心、保險公司、執法人員等，明確各方權責利弊是一項系統工程，需要各方持續探索行業解決方案。

4 對策與建議

總體來看，OTA遠程升級的發展與汽車的智能化和網聯化推進息息相關，未來在自動駕駛域、底盤域及動力域的OTA遠程升級將不斷增多，需要政府機構、整車企業、關鍵零部件供應商與IT、生產制造、市場和相關測試機構協同配合[18]，打造完整的OTA遠程升級生態系統，共同保障智能網聯汽車產業高質量發展。

4.1 完善OTA遠程升級管理體系

OTA 遠程升級涉及后市場車輛的再設計更新過程。建議在現有備案管理基礎上，進一步建立汽車OTA遠程升級技術審查和測試機制，具體建設如下。

（1）開展升級包一致性比對分析，發現對升級包內容不一致的情況，開展功能安全、網絡安全和數據安全測試。

（2）對企業因OTA遠程升級后產生重大安全問題或對車輛一致性產生較大影響的，建議對企業相關能力開展核實，并對該類企業后續涉及安全或重要參數變更等OTA遠程升級活動，重點開展升級過程及升級后的測試驗證，確保產品生產一致性[19]。

（3）基于缺陷線索收集，對于OTA 遠程升級后投訴較多車型，開展OTA遠程升級后的車輛的功能抽檢驗證，包括不限于升級日志讀取以及功能測試。

4.2 建立健全OTA遠程升級管理標準體系

在已有OTA遠程升級技術要求基礎上，可參考傳統數據安全和網絡安全體系架構，梳理目前已有的智能網聯汽車數據安全和網絡安全相關標準，以標準屬性作為主要分類維度的標準體系框架（圖4），從規范類、技術類、管理類3 個方面建設面向汽車OTA 遠程升級監管流程的標準體系，堅持標準體系適度超前，逐步起到發展引領作用。其中，規范類標準包括基本術語、缺陷判定、OTA遠程升級分類等標準，基于OTA遠程升級的行業術語、OTA遠程升級的缺陷定義以及OTA遠程升級的分類標準等方面，規范OTA遠程升級的行業術語和行業流程標準，推進OTA遠程升級管理過程專業化。技術類標準包含安全測試（測試用例、測試流程、測試機構資質要求、測試場地等環境要求）、風險評估等標準，并將標準內容劃分為終端、網絡、業務場景等測試、評估對象。針對OTA 遠程升級過程中的多場景、多產品的安全測試方法、測試流程以及漏洞等級判定方法等測試技術方面進行系統化、標準化的管理，為企業開展檢測業務或第三方實驗室檢測單位提供基本標準依據。管理類標準則包括漏洞庫標準規范、應急處置和追溯管理（包括OTA 升級管理標準等），從OTA 遠程升級產品漏洞庫的建設管理、企業應急處理管理機制和質量缺陷可追溯的開發流程開展標準化建設，讓汽車制造企業將重點聚焦在技術研發和產品設計上，提高企業核心競爭力。其次，現行法規（如UN Regulation No.156、ISO 24089 標準）均是從整車角度出發，部件系統供應商需要完全適應下游主機廠要求，溝通成本和后期維護成本大大增加。建議未來將主機廠和零部件廠商資源進行有效整合，構建符合行業發展需求、涵蓋云-管-端[20-21]全要素的OTA遠程升級標準體系。最后，圍繞標準中難點、熱點問題，協調各標委會和相關科研機構組織力量開展OTA遠程升級標準化的研究工作，針對不同標委會所覆蓋的相關技術標準進行歸口管理，指導和支撐汽車OTA遠程升級監管工作。

圖4 智能網聯汽車OTA安全監管標準體系框架

4.3 完善汽車OTA遠程升級安全測試體系

首先，基于網絡安全和數據安全風險評估理論基礎、汽車網絡安全和數據安全領域現有的威脅分析以及實踐經驗，結合汽車本身的復雜特性，建立以資產為核心的汽車OTA遠程升級安全風險評估模型，包括資產識別、脆弱性分析，威脅分析、影響評估、攻擊路徑分析、攻擊可行性分析、風險值判斷等方面。

其次，汽車OTA遠程升級系統本身是完整的生態系統，檢測方向包括汽車遠程升級車載終端安全檢測、車載終端-遠程升級云服務器平臺-移動設備App間通信，以及與遠程升級業務交互安全檢測、移動設備App 安全檢測以及遠程升級云服務器云平臺安全檢測，為此定期針對以上5部分內容進行安全檢測非常必要。

再次，汽車OTA 遠程升級是一個復雜的系統工程，涉及到的安全包括網絡安全、數據安全、功能安全等多方面，重點推動軟件數據模擬仿真驗證測試，網絡安全和數據安全的合規檢測等服務。從模擬仿真測試體系、測試評價體系以及功能安全驗證體系方面制定汽車遠程在線升級測試規范。

最后，梳理并匯集OTA 遠程升級監管技術需求，梳理共性和核心關鍵技術，圍繞技術需求通過部際會商、設立產業基金等形式，以重點研發計劃、國家自然科學基金、國際合作項目等為牽引，匯聚國內外創新資源形成合力，特別是針對智能網聯汽車快速迭代發展形勢下，建立常態化的關鍵技術協同攻關模式，有效打破壁壘，形成從基礎理論-共性關鍵技術-集成示范應用全鏈條、一體化的創新群體。

4.4 強化OTA遠程升級安全基礎保障能力

首先，深入研究汽車產品安全風險評估/缺陷研判等關鍵技術，健全安全評價和缺陷研究機制，為國家監管機構監管汽車產品安全方面提供有效技術支持。整合行業資源，構建安全基線，基于大數據有效識別安全漏洞，提升安全缺陷識別能力，持續開展產品信息安全缺陷安全測試、風險評估，利用技術和檢驗手段分析判斷缺陷，并對標準符合性問題進行調查。

其次，針對具備OTA遠程升級配置的汽車產品及相關零部件系統的關鍵軟件數據，針對其功能可靠安全方面進行檢測認證，建立多層級的遠程升級檢測認證服務體系。

再次，由于升級車輛的控制器芯片和操作系統、零部件和車型的差異較大，由此造成了具體車型適配分散化難題，亟需構建一套統一、通用的測試驗證平臺和測試工具，解決軟件落地中的標準化問題。進一步保障不同車型的OTA 遠程升級體系標準化過程的穩定性和高效性。

建議以高校、科研院所等“第三方”，建立“共研、共建、共享、共營”的技術支撐平臺，服務于OTA 遠程升級監管，提供有效的技術保障。最后，促進汽車OTA 遠程升級行業構建自律規范。目前，由于時間、成本、功能、安全風險等綜合因素考量，大部分主機廠將考慮直接向OTA遠程升級供應商購買服務，OTA遠程升級供應商通過多種方式實現軟件刷寫，但是由于是新興模式和新興技術，行業內存在OTA遠程升級產品質量參差不齊等現象，建議由行業第三方機構牽頭，聯合主要生態要素主體，共同建立智能網聯汽車OTA 遠程升級創新聯盟，構建統一評價標準，探索行業領跑者機制，鼓勵優勝劣汰，規范行業自律發展。

綜上所述，汽車OTA遠程升級是智能網聯汽車產業的重要趨勢，即將迎來大規模應用。但在OTA遠程升級的每個流程中均存在安全風險，影響車輛性能、安全和用戶權益，如不加以妥善管理，不利于行業可持續發展。汽車OTA遠程升級需要在檢測認證、一致性抽查、分級備案、數據化監管、測評技術、缺陷研判、風險評估、標準制定等方面進一步強化和健全管理體系。