隨著汽車軟件升級逐步在智能網聯汽車產品中廣泛應用，覆蓋研發、生產、售后等多個環節，對企業的技術水平和管理能力均提出新的要求。若生產企業 OTA 管理不當、OTA 技術不成熟，會加劇功能實現的可靠性風險，使升級后的系統將車輛與駕駛人暴露在未知的危險中。本文首先闡述車聯網安全現狀，之后結合 OTA 風險評估流程對 OTA 帶來的網絡安全、數據安全和功能安全風險進行分析，提醒企業規避應用OTA技術中面臨的各種安全風險。

一、車聯網安全形勢分析

伴隨智能化、網聯化的不斷推進，車輛開放連接逐漸增多，“車、路、云、網”數據交互日益頻繁，車聯網領域的安全風險邊界逐漸延伸。車聯網信息安全風險主要集中在車端、平臺、通信、數據等方面。

（1）車端安全風險隱患凸顯

一是車載軟硬件存在安全隱患。當前，汽車電子電氣架構正由分布式向域控集中式架構、整車集中式架構不斷發展，步入軟件定義汽車時代。車載智能網關、遠程信息處理控制單元（T-BOX）、電子控制單元（ECU）等車載聯網設備目前尚缺乏較高等級的安全校驗機制和安全防護能力，近年來陸續披露出一些安全漏洞隱患。

二是車載網絡存在安全隱患。CAN 、FlexRay 等車載網絡協議缺乏安全設計，車內數據傳輸主要根據功能進行編碼，按照 ID 進行標定和接收過濾，部分僅提供循環冗余校驗，缺乏重要數據加密、訪問認證等防護措施，導致車載網絡容易受到嗅探、竊取、偽造、篡改、重放等攻擊威脅，難以保障車載網絡的安全性。

（2）車聯網平臺服務面臨的攻擊威脅加劇

近年來，汽車遠程服務、在線升級（OTA）平臺、車輛調度平臺等業務服務快速發展，用戶的規模逐步擴大，日漸成為網絡攻擊的重要目標。由于車端用戶可通過車聯網平臺進行信息交互、遠程操作，一旦遭受網絡攻擊控制，可被利用實施對車輛的遠程操控，造成嚴重后果。

（3）車聯網通信安全面臨挑戰

當前，聯網車輛數量和通信需求不斷增長。在“車-云”通信場景下，網絡隔離不到位、通信協議存在漏洞隱患、訪問接入缺乏安全認證等問題突出。“車-設備”通信場景下，受限于設備性能等因素，通信安全認證機制尚不完善，存在拒絕服務攻擊等漏洞隱患，可導致WiFi、藍牙、智能鑰匙失效[16]。

在OTA功能實現過程中，云端、車端、通信鏈路、升級包等關鍵環節均存在被攻擊和篡改等安全隱患。OTA網絡安全態勢分析如圖5-1所示。

圖5-1 OTA網絡安全態勢分析圖

二、OTA 風險評估方法

基于網絡安全、數據安全及功能安全風險評估理論基礎、現有的威脅分析以及實踐經驗，結合汽車本身的復雜特性，可建立以資產為核心的汽車OTA 遠程升級安全風險評估模型。

OTA 風險評估方法具體參照 ISO 26262《道路車輛功能安全工程》、ISO/SAE21434《道路車輛網絡安全工程》、SAE J3061《信息物理汽車系統網絡安全指南》等標準，主要評估對象包括 OTA 相關項、組件及漏洞。在相關標準中定義有 STRIDE、攻擊樹、EVITA、HEAVENS、OCTAVE、PASTA 等威脅分析和風險評估方法論，對這些方法論的對比和融合后歸納如表5-1所示。

表5-1 OTA 風險評估歸納表

2.1 OTA 相關項及組件風險評估

以威脅分析及風險評估分析方法TARA 為例， 建立OTA 風險評估流程，如

圖5-2所示。

圖5-2 TARA 風險評估流程

2.1.1 安全相關性判定

在進行 TARA 分析前，需要對相關項的功能及其運行環境進行定義，以充分識別出資產（包括內部實體、外部實體、存儲數據、數據流等），實體、數據被破壞后帶來的危害場景等。相關項定義（Item Definition）的目的是了解分析對象，了解其業務、功能、流程、邊界，OTA 相關項邊界定義如圖5-3所示。

圖5-3 OTA 相關項邊界定義示意圖

數據流圖（Data Flow Diagram）需把該相關項中每個功能用到的數據標識出來，從哪個實體產生，經過哪個實體處理，經過哪個實體轉發等。數據流圖要素的基本符號如圖5-4所示。

圖5-4 數據流圖要素的基本符號

以 OTA 業務為例，參考數據流圖如圖5-5所示。

圖5-5 OTA 業務參考數據流圖

2.1.2資產識別

資產識別（Asset Identification），是識別車輛在使用的過程中需要被保護不受網絡攻擊的信息，包括了通訊數據、用戶隱私數據、ECU 固件、算法等各種類型的信息。資產定義的目的是識別出這些資產，確定每項資產的網絡安全屬性,從而分析出潛在的損害場景。資產識別過程表如表5-2所示。

表5-2資產識別過程表

資產的網絡安全屬性通常分為機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)、授權性(Authorization)、抗抵賴性(Non-repudiation)、新鮮性(Freshness)、隱私性（Privacy）。每一個資產都具有相應的網絡安全屬性如表5-3所示。

經以上分析，OTA 過程中所涉及信息安全資產包括：

零部件資產：T-BOX 、CGW、目標 ECU 及車載總線；

數據資產：升級包、升級日志和升級指令等信息；

軟件資產：零部件上所運行系統和升級管理程序。

表5-3 OTA 過程涉及的資產和損害情況（示例）

2.1.3威脅分析

威脅場景定義是TARA 分析的重要環節，TARA 最終輸出的風險等級和風險處置決策的對象就是威脅場景。威脅分析過程如表5-4所示。

表5-4 威脅分析過程表（示例）

威脅場景應通過目標資產、相關網絡安全資產受到的威脅，導致網絡安全財產受損的原因推導得出。推導方法包括 EVITA, TVRA, PASTA, STRIDE 等。以OTA過程中數據資產升級包的完整性、機密性、可用性被破壞為例，威脅場景識別如表5-5所示。

表5-5 威脅場景識別（示例）

攻擊路徑可基于自上而下的攻擊樹；自下而上的告警日志、以往安全事件確定的漏洞等方式推導得出。對于每一個攻擊路徑可基于多維度的攻擊潛力難度系數得出攻擊潛力值，以及攻擊可行性等級，如表5-6所示。

表5-6 攻擊可行性評估（示例）

影響等級可分為嚴重（Server）、主要（Major）、中等（Moderate）、可忽略（Negligible）四個等級，并通過危害對功能安全（Safety）、財務（Financial）、可操作性（Operational）、隱私（Privacy）等維度的影響評估來確定危害的綜合影響等級和影響值，如表5-7所示。在實際的影響等級評估中，也可以采用 HEAVENS 方法中提出的定量評估方法，其中安全和財產的影響水平具有較高的權重（0~1000），操作和隱私方面的損害影響相對較低，權重也較低（0~100）。

表5-7 OTA 影響等級分析（示例）

2.1.4確認風險值

通過結合安全風險的業務影響評級和攻擊可行性評級，依據風險評估矩陣評 定風險等級，確定安全風險的處置優先級，為后續的韌性處置方案設定評級目標。風險值確認過程參見表 5-8。

表5-8 風險值確認過程表

根據表5-9風險評估矩陣識別風險值 R。

表5-9 風險評估矩陣

根據表5-10進行風險值分析。

表5-10 風險值分析（示例）

2.1.5風險處置

根據風險處置方案思維導圖，借助風險處置庫，設計風險處置的韌性方案。在風險處置方案設計完成后，通過再次評估，判斷參與風險是否降至風險等級目標。若殘余風險仍未達到風險等級目標，需根據業務的實際情況，考慮是否接受殘余風險或進一步增強處置措施形成最終風險處置方案。風險處置活動參見表5-11、表5-12。

表5-11 風險處置過程表

表5-12 風險處置活動（示例）

2.1.6處置跟蹤驗證

對上述修復的結果進行測試驗證，由相關技術人員或第三方根據處置方案進行測試驗證。

2.1.7殘余風險評估

殘余風險主要方式產生如表5-13所示。針對殘余風險應重新進行特定范圍的風險評估，并識別是否達到可接受風險水平。處于不可接受范圍的殘余風險須進一步增加相應的管理和控制措施，在所有的殘余風險處于可接受范圍的水平后，應發布風險聲明并加強日常網絡安全監測。

表5-13 殘余風險產生方式

2.1.8風險閉環

梳理風險評估流程文檔，為后續網絡安全日常運維或安全審計提供支持。

2.2 OTA 安全漏洞風險評估

OTA 安全漏洞指硬件、軟件、協議的具體實現或系統安全策略上存在缺陷，從而使攻擊者能夠在未授權的情況下訪問或破壞系統。應對安全漏洞進行識別、風險評估、修復、測試驗證等操作以保證系統安全。以下提供了安全漏洞處置流程及技術方法，可用于針對某 OTA 業務場景所涉及零部件和環境進行漏掃，以得出具體漏洞信息。OTA 安全漏洞評估流程見圖5-6。

圖5-6 OTA安全漏洞風險評估流程圖

2.2.1漏洞識別

漏洞識別方式：漏洞公告、漏洞掃描、滲透測試、白帽測試等；

漏洞類型識別：如 STIRDE 威脅模型中的仿冒、篡改、信息泄露等類型。

2.2.2風險評估定級

Common Vulnerability Scoring System（CVSS）提供了一種方法來描述可利用性的主要特征，并生成分值反應其嚴重程度，使得人們確定處理它們的優先級[17]。

CVSS 評分方法如表5-14所示。

表5-14 CVSS 評分方法

CVSS 可利用性值與攻擊可行性的映射示例如表5-15所示。

表5-15 基于CVSS的攻擊可利用性映射表

2.2.3修復可行性評估

修復可行性評估首先需要根據上文風險處置的方式初步篩選出漏洞的處置方式，針對具體的修復方式（如補丁升級、版本升級、更換組件等）進行測試驗證，評估對 OTA 系統是否造成影響或引入新的高危及以上風險。

2.2.4測試驗證

對已經修復的漏洞進行測試驗證，如重新漏洞掃描、滲透測試、人工復現等

進行驗證。

2.2.5閉環

在測試驗證階段確認漏洞修復有效后，對相關風險評估和測試驗證過程文檔進行歸檔保存，最后可流程閉環。

三、OTA 網絡安全風險分析

根據 OTA威脅分析和風險評估流程，OTA面臨的網絡安全風險包括 OTA平臺安全風險、通信安全風險、車端安全風險和升級包安全風險。

3.1 OTA 平臺安全風險

OTA 平臺安全風險主要包括云平臺自身安全、第三方應用安全兩個主要方面。

（1）云平臺自身安全風險

OTA 平臺大多數部署在云端服務器中，會面臨傳統云平臺的所有安全威脅，包括網絡威脅、主機威脅、應用威脅、數據威脅等。攻擊者利用 Web 漏洞、數據庫漏洞、接口 API 安全注入漏洞等手段發起 DDoS 攻擊、MITC 攻擊、跨云攻擊、編排攻擊、加密劫持等，可能導致 AccessKey 泄露風險、用戶敏感信息泄露、推送的升級包被篡改、升級策略更改等風險。

（2）第三方應用安全風險

隨著車載平臺的發展，第三方應用也會隨之增長，第三方應用的 OTA 也將會成為一個很重要的部分。升級后的第三方產品可能存在系統兼容性或者系統漏洞，甚至嚴重的 BUG，所以 OTA 平臺也需要考慮到第三方應用的升級流程與規范要求。

3.2 通信安全風險

OTA 通信安全風險主要包括身份認證、傳輸加密、中間人攻擊三個主要方面。

（1）身份認證安全風險

身份認證風險體現在通信過程中未對通信對象進行有效身份驗證，攻擊者通過使用基站偽造、身份偽造、動態劫持等方式冒充合法參與者，參與車云通信，非法監聽通信信息。例如，OTA 云服務推送軟件升級包到車端的過程，若采用弱認證方式或明文傳輸，容易遭受中間人攻擊、竊聽攻擊等。終端下載升級包的傳輸流程中，如果終端在升級流程中同時缺少驗證機制，那么被篡改的升級包即可順利完成升級流程，達到篡改系統，植入后門等惡意程序的目的。攻擊者還可能對升級包進行解包分析、篡改升級包信息等，或者獲取一些可利用的信息，如漏洞補丁等，可能導致關鍵信息泄露、代碼業務邏輯泄露等風險。

（2）傳輸過程安全風險

傳輸風險主要發生在車輛通信信息在未進行加密、加密強度較弱、密鑰信息暴露等情況下，導致容易遭受惡意攻擊，造成通信信息的泄漏、非法篡改和破壞。例如，云端與車端的通信過程若采用不安全的通信協議或通信過程不采用認證機制、明文通信等，容易遭受中間人攻擊、竊聽攻擊、重放攻擊、DoS 攻擊等，可能導致車端升級信息錯誤、敏感信息泄露、拒絕服務等風險。

（3）中間人攻擊安全風險

中間人攻擊體現在協議鏈路層通信未進行加密，攻擊者可以通過抓取鏈路層標識實現會話劫持，攻擊者可以基于中間人偽造協議而實施對升級包的篡改，竊取等。此外，在自動駕駛情況下，汽車使用了篡改后的升級包，攻擊者通過利用升級包中預植的木馬，干擾車輛正常控制，帶來交通安全風險。

3.3 車端安全風險

車端安全風險主要包括版本回退、車端升級程序被破解繞過、拒絕更新三個主要方面。此外，車端系統出現公開漏洞，若不及時進行修復，可能導致黑客利用漏洞進行攻擊，造成車輛、財產乃至人身安全風險。

（1）版本回退風險

一般場景下的升級都是由低版本升級到高版本系統，但如果車端升級未對升級包版本進行判斷，攻擊者可以利用此漏洞，使用存在已知安全漏洞的低版本系統覆蓋現有的系統，將導致車輛面臨安全風險。

（2）車端升級程序被破解繞過

按照OTA和安全相關的國際和國家標準要求，升級過程都需要在車輛端對升級包進行加密和簽名驗證等一系列驗證環節，經過驗證的升級包才能進行正常的升級流程。如果驗證的算法過于簡單或者驗證流程存在漏洞，攻擊者可以利用這些漏洞構造有效的升級包或者繞過驗證流程，在部件上加載運行惡意篡改過的固件，對車輛進行進一步的攻擊或者控制等惡意行為。

（3）拒絕更新風險

在車輛升級過程中，攻擊者可能會阻止車輛修復功能漏洞，通過控制車輛拒絕訪問更新而無法解決車輛潛在漏洞或其他問題。常見的攻擊方式包括：通過阻斷或攔截外部或內部網絡通信流量，阻止車端 ECU 接收任何更新。

3.4 升級包安全風險

涉及升級包的應用場景分為升級包車云傳輸、升級包車內傳輸、升級包安裝。三類應用場景中，升級包安全風險主要包括升級包信息泄露、升級包信息篡改、升級包信息偽造三個主要方面。

（1）OTA 升級包信息泄露風險

OTA 升級包的機密性破壞，攻擊者可輕易捕獲并分析通信數據，導致升級包信息泄露風險。

（2）OTA 升級包信息篡改風險

OTA 升級包的完整性破壞，攻擊者獲取OTA 通信數據并進行篡改，造成升級包被篡改或升級指令錯誤。

（3）OTA 升級包信息偽造風險

車云之間失去身份的真實性，攻擊者偽造非法信息進入平臺或車輛，導致下發惡意升級指令或上傳虛假信息等。

（4）OTA 升級包代碼安全風險

未對升級包進行代碼檢測，以及對代碼所應用的第三方開源代碼進行溯源和分析，導致升級包中存在缺陷（bug）。

四、OTA 數據安全風險分析

汽車OTA帶來對已售車型大量應用服務的數據井噴，還面臨在保證用戶個人信息安全的前提下，企業如何實施數據利用共享，OTA 相關數據如何跨境流通等問題。這些安全風險都對企業的合規管理與創新發展提出新的要求。

4.1 用戶隱私信息泄漏風險

汽車遠程升級整個過程中涉及到云端服務器安全、車端安全、車云通信安全，也關系到生產者、用戶及汽車軟件供應商等其他主體之間的數據收集、數據傳輸等多個處理環節。在這些過程之中如果存在網絡攻擊風險，可能導致 OTA 系統遭受破壞，不法分子可以通過 OTA 系統窺探到用戶的隱私信息，如車輛位置、行車路線等行為習慣。同時，第三方應用平臺可能存在非法獲取其他應用和車載端數據的風險。

4.2 數據出境合規風險

隨著系列政策文件均提出汽車產生的個人信息和重要數據出境管理要求，智 能網聯汽車作為重點監管對象，產生的大量數據為數據跨境管理帶來新的風險。對跨國企業而言，涉及技術研發的數據免不了出境或遠程跨國訪問，若分布于各國的數據只能本地存儲而無法出境交互，將動搖跨國車企一直以來采取的開發、維護、集中化管理模式，導致車企需重新對一國市場進行單獨資源調配，建立和總部一致的技術團隊，成本不可估量[18]。因此在車輛售出后， 面對遠程升級需要的軟件版本號、升級包名稱、升級時間等決定功能實現的數據如何合法地出境流動仍然存在管理規定不明晰帶來的風險。

五、OTA 功能安全風險分析

當涉及車輛核心功能如動力、制動和電池管理系統等模塊的遠程升級時，可能對車輛的功能安全帶來新的挑戰，升級后的系統將車輛與駕駛人暴露在未知的危險中。OTA 功能安全風險可舉例為：

5.1 車端升級條件判斷不當導致的安全風險

車輛遠程升級是一個比較長的過程，而且升級過程中車輛大部分功能可能無法正常使用，所以一般都要求車輛在P檔、電池電量充足等一定條件下才能進行。如果車輛對于升級條件的判斷存在問題，可能導致在非預想的情況下觸發升級事件，對車輛和車內人員人身安全造成威脅。

5.2 車端升級失敗導致的車輛功能不可用

在車輛升級過程中可能出現斷電等異常情況導致升級失敗的情況，如果沒有對升級失敗的情況進行妥善的容災處理，可能導致車輛無法啟動，甚至零部件損壞等嚴重事件。

5.3 OTA 升級軟件自身缺陷導致的風險

軟件更新后未進行充分驗證和測試就直接部署到車輛上，軟件自身的缺陷可能會使軟件運行出現意外行為，導致系統崩潰、觸發車輛失控等安全事故。

5.4 軟件不兼容風險

在車輛升級過程中，升級軟件可能引入新的功能和接口，如果車輛硬件不支

持或不兼容，可能導致升級后系統無法正常工作，造成行車安全隱患。

為應對上述 OTA 安全風險，總體來說，在云平臺端可采用證書，簽名和加密機制，負責為 OTA 服務平臺提供安全服務，包括密鑰證書管理服務，數據加密服務，數字簽名服務等，保證升級包不會隨意被制作和發布，升級包的內容不會被惡意獲取。在通信鏈路端，可通過可靠的物理鏈路和安全傳輸協議來保證網絡傳輸安全。在車端，可通過汽車的功能域隔離，劃分不同 ASIL 等級，通過冗余設計保證整車的功能可靠性；車輛終端 OTA 組件對升級包進行合法性驗證，適配安全升級流程，通過安全啟動來保證可信的軟件在 ECU 上加載啟動運行。

審核編輯：劉清