压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一直以來，當車輛軟件部分出現(xiàn)故障或缺陷時，只能通過返回修理廠的方式進行“線下”修復。2012 年，隨著車輛在線升級（OTA）的出現(xiàn)，為車輛的軟件故障和缺陷提供了“線上”解決方案。隨著當前自動駕駛技術的不斷發(fā)展，OTA 還可以幫助車輛不斷優(yōu)化和加強輔助駕駛功能，以實現(xiàn)整車系統(tǒng)的不斷升級，讓用戶獲得更為優(yōu)質的用車體驗。但是，OTA 在給車輛召回、升級帶來便利的同時，也增加了車輛可能遭受網(wǎng)絡攻擊的風險，如車輛在 OTA 過程中遭受攻擊，就可能破壞或控制車內電子控制單元（ECU），給用戶安全帶來威脅。

一、車輛 OTA 信息安全的風險來源

車輛的 OTA 系統(tǒng)主要包括云服務器與車載終端兩個部分，二者之間通過通信網(wǎng)絡進行連接。車載終端除了車輛本身的車機系統(tǒng)外，還包括與車輛進行連接的外部互聯(lián)設備，即云服務器端、網(wǎng)絡傳輸端、車機端、車輛外部互聯(lián)設備端等。

云服務器端。車輛 OTA 云平臺中主要包含著車輛系統(tǒng)升級相關數(shù)據(jù)，如車輛升級日志、車輛升級包等。若黑客對云平臺進行攻擊時，就有可能取得軟件升級包的具體數(shù)據(jù)、OTA 升級相關數(shù)據(jù)，甚至可以對軟件升級包內的數(shù)據(jù)進行篡改、刪除。這不僅直接影響車輛是否能夠正常地進行遠程升級，甚至還影響車輛的使用安全。

網(wǎng)絡傳輸端。通過 OTA 技術將存儲至云平臺的軟件升級包安全完整地傳送給車載終端，需要通過網(wǎng)絡才能實現(xiàn)，可以說網(wǎng)絡傳輸是 OTA 云端與車載終端之間的“傳送帶”。然而，“傳送帶”本身也極易受到黑客攻擊，尤其在傳送過程中的通信信息未進行加密或僅進行較弱程度的加密，亦或是相關密鑰信息被暴露或破解后，車輛的 OTA 升級過程中就無法具備足夠的安全防護能力。攻擊者可以通過抓取鏈路層標識以實現(xiàn)會話劫持，并進行重放、拒絕服務攻擊（DoS），進而影響車輛的升級過程，甚至是對聯(lián)網(wǎng)車輛進行定位與跟蹤等。此外，若車輛升級包中包含自動駕駛功能（含輔助駕駛），攻擊者可以通過在升級包內植入木馬病毒的方式篡改升級包，待用戶在使用上述功能時對車輛正常行使進行干擾，進而帶來安全隱患。

車輛終端。隨著車輛不斷向智能化、網(wǎng)聯(lián)化、電動化、自動化方向發(fā)展，軟件定義車輛趨勢日益顯著。有研究指出，智能網(wǎng)聯(lián)汽車的關鍵代碼規(guī)模提升了 10 至 100 倍，代碼漏洞就會呈指數(shù)級增長，同時車輛的電子控制單元的數(shù)量與車內連通性不斷增強，導致車輛受到信息安全攻擊的風險大增。例如，黑客可以直接通過車輛終端作為攻擊“入侵點”偽造非法信息進入平臺或車輛，導致下發(fā)惡意升級指令或上傳虛假信息等。一般而言，車輛遠程升級過程中，需在車輛端對升級包進行加密和簽名等一系列驗證環(huán)節(jié)，只有經(jīng)過驗證的軟件升級包才可以進行正常的升級流程，但若驗證的算法過于簡單或驗證流程存在漏洞，攻擊者就可以利用漏洞構造有效的升級包，或繞過驗證流程直接在部件上加載運行惡意篡改過的固件，對車輛進行進一步的攻擊或者控制等惡意行為。并且密鑰也存在車輛 OTA 信息安全風險，密鑰是加密算法中用于更改數(shù)據(jù)而使用的字符串，一旦密鑰被復制或破解，車輛的加密數(shù)據(jù)就會被動變成公開數(shù)據(jù)，此時，車輛可以被他人遠程控制，如利用密鑰控制車輛開關門，繼而影響汽車正常駕駛。其實，對車輛進行網(wǎng)絡攻擊并不一定要等到車輛進行 OTA 升級時才進行，黑客可以根據(jù)車輛現(xiàn)有的系統(tǒng)漏洞進行攻擊，直接入侵車輛。

外部互聯(lián)設備端。除了車輛本身與 OTA 云端進行網(wǎng)絡傳輸外，其與汽車相關聯(lián)的其他設備也可能影響到 OTA 系統(tǒng)的信息安全，如通過入侵車輛充電設備的方式損害車輛安全，或是直接通過鏈接固件的方式入侵車輛系統(tǒng)。充電樁控制模塊通過以太網(wǎng)與管理系統(tǒng)連接，在充電樁網(wǎng)絡中傳輸?shù)臄?shù)據(jù)信息可能遭到截獲、竊取、破解、被動攻擊或非法冒充、惡意篡改等惡意威脅。一旦黑客通過物理或遠程方式入侵到“樁聯(lián)網(wǎng)”中，不僅能控制充電樁的電壓、修改充電金額等數(shù)據(jù)，還可以通過上傳惡意固件的方式，讓充電系統(tǒng)在車輛充滿電后繼續(xù)向車輛輸送電力，導致車輛電池系統(tǒng)受損。此外，攻擊者還能通過訪問配置文件或充電樁與網(wǎng)絡服務器之間的通信記錄，獲取用戶的個人信息。

二、OTA 信息安全風險的應對措施

建立 OTA 數(shù)據(jù)安全閉環(huán)。隨著車輛智能化、網(wǎng)聯(lián)化發(fā)展，衍生出眾多與車輛 OTA 相關的信息安全風險。因此，為了保證車輛 OTA 信息安全，需要將 OTA 的全流程納入信息安全要素，建立 OTA 的信息安全閉環(huán)。第一，在 OTA 云服務器層面，首先，車企內部開發(fā)團隊或 ECU 供應商應對云平臺的數(shù)據(jù)信息管理及安全防御系統(tǒng)進行安全測試，測試非法用戶是否能夠獲取數(shù)據(jù)訪問權限。其次，對存儲在云端的數(shù)據(jù)信息進行分類管理，對其中的敏感數(shù)據(jù)著重進行加密處理，采用證書、簽名、加密機制等安全措施，保障 OTA 平臺的安全服務，保證升級包不會隨意被制作與發(fā)布。2022 年 6 月 13 日，工業(yè)和信息化部發(fā)布的強制性國家標準《汽車軟件升級通用技術要求（征求意見稿）》明確規(guī)定應具備保護升級包的過程，包括升級包的真實性與完整性，防止其在執(zhí)行前被篡改、受到損害或無效軟件升級。此外，還要求應確保驗證和確認車輛軟件的功能和代碼的過程是適當、合理的。最后，在 OTA 云端要做好數(shù)據(jù) / 風險隔離，防止因個別系統(tǒng)的安全問題導致黑客獲得訪問整個系統(tǒng)數(shù)據(jù)的權限，最大限度地降低因系統(tǒng)安全問題所造成的危害后果。第二，在網(wǎng)絡傳輸階段，車企應在通信端采用安全可靠的物理鏈路和安全傳輸協(xié)議來保證升級包傳輸過程中的安全。在車輛與 OTA 平臺進行通信過程中，應采用安全通信協(xié)議進行數(shù)據(jù)傳輸，通過簽名、加密、哈希等算法對數(shù)據(jù)的完整性和機密性進行保護，以確保交互信息、軟件升級包等數(shù)據(jù)的安全性，防止泄露、篡改偽造等風險。第三，在車輛終端層面，車企應在車端通過功能可靠性設計、安全防御手段等方式實現(xiàn)車內升級的安全加載及啟動運行。車輛終端設計主要分兩部分，一是車輛的硬件設計，二是車輛系統(tǒng)的軟件設計。其中，對硬件設計，根據(jù) 2023 年 5 月 6 日工業(yè)和信息化部發(fā)布的強制性標準《汽車整車信息安全技術要求（征集意見稿）》中的要求，車輛的外部接口（USB接口、診斷接口和其他接口）應進行訪問控制保護，禁止非授權訪問。對車輛系統(tǒng)設計，該征求意見稿明確了車載軟件升級系統(tǒng)應具備安全啟動功能，保護車載軟件升級系統(tǒng)的可信根、引導加載程序、系統(tǒng)固件不被篡改，或篡改后無法正常啟動；處理和在線升級服務器應進行身份認證，驗證其身份的真實性；車載軟件升級系統(tǒng)應對下載的在線升級包進行真實性和完整性校驗，并記入在線升級過程中發(fā)生的失敗事件日志。

構建 OTA 數(shù)據(jù)安全管理制度。車企應根據(jù)與車輛 OTA 相關的數(shù)據(jù)安全法規(guī)標準要求，采取系列安全保障與支撐措施。在組織治理層面，車企應建立起 OTA 數(shù)據(jù)安全管理制度，對車輛 OTA 升級的數(shù)據(jù)安全進行標準化管理。OTA 數(shù)據(jù)安全管理體系主要包含 OTA 升級相關流程、信息記錄要求、安全策略、車型要求等。聯(lián)合國 R156 標準就對車輛的軟件升級與軟件升級管理體系進行了統(tǒng)一規(guī)定，我國《汽車軟件升級通用技術要求（征求意見稿）》也明確規(guī)定車輛制造商應建立軟件升級管理體系。例如，對車輛軟件升級，車輛制造商應安全儲存車輛 OTA 升級相關文件且儲存年限不低于車型停產后10 年。同時，車輛制造商應當確保那些具備軟件識別碼的車型，每個軟件識別碼為唯一可識別，且當軟件升級導致識別車型變更的，應當同步更新該車型的軟件識別碼的全部信息。2021 年 7 月，工業(yè)和信息化部發(fā)布的《關于加強智能網(wǎng)聯(lián)汽車生產企業(yè)及產品準入管理的意見》也強調，“車企應當建立與汽車產品及升級活動相適應的管理能力，具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力”。此外，在汽車產品的開發(fā)過程中，車企應將數(shù)據(jù)安全活動納入產品開發(fā)的全過程，解決從方案確定到生產啟動的整體研發(fā)過程中的安全目標設定、安全要求設計、安全方案設計、安全研發(fā)以及安全確認與驗證到安全運維等核心環(huán)節(jié)。

完善車輛 OTA 數(shù)據(jù)安全法規(guī)標準體系。由于車輛 OTA 數(shù)據(jù)安全仍屬于新興領域，我國關于車輛 OTA 數(shù)據(jù)安全的法規(guī)標準體系仍在完善過程中。以車輛 OTA 升級為例，《關于加強智能網(wǎng)聯(lián)汽車生產企業(yè)及產品準入管理的意見》要求車企具備與車輛升級活動相應的管理能力。2022 年 4 月，工業(yè)和信息化部出臺《關于開展汽車軟件在線升級備案的通知》，建立了 OTA 升級的分級備案制度。在 OTA 召回領域，監(jiān)管要求也在不斷細化。2020 年，市場監(jiān)管總局發(fā)布《關于進一步加強汽車遠程升級（OTA）技術召回監(jiān)管的通知》，首次建立起 OTA 召回的備案制度。2021 年 6 月，市場監(jiān)管總局出臺《關于汽車遠程升級（OTA）技術召回備案的補充通知》，進一步要求生產者在備案采用 OTA 方式的技術服務活動或召回時應提交《汽車遠程升級（OTA）安全技術評估信息表》。

因此，OTA 數(shù)據(jù)安全體系還在持續(xù)完善，尤其是健全 OTA 數(shù)據(jù)安全技術要求及標準體系。在制定 OTA 數(shù)安全相關法規(guī)標準的過程中，應當進一步明晰在OTA數(shù)據(jù)安全的框架下對車輛制造商、OTA 零部件制造商的具體要求，落實因 OTA 數(shù)據(jù)安全而引發(fā)惡性事件的責任判定與處罰。并且，還可以持續(xù)跟蹤域外相關法規(guī)標準動態(tài)，在符合我國汽車產業(yè)國情的基礎上，為我國制定 OTA 相關標準法規(guī)吸收國際經(jīng)驗。

（本文刊登于《中國信息安全》雜志2024年第2期）

來源：中國信息安全