韓德鴻　黃祖朋　韋錦波

關鍵詞：人機交互;遠程升級;云平臺;固件傳輸;信息安全

中圖分類號：TN919文獻標識碼：A

0引言

隨著汽車向智能化網(wǎng)聯(lián)化發(fā)展，汽車電子技術已經(jīng)廣泛地應用到了汽車發(fā)動機控制、底盤控制、車身控制和故障診斷以及音響、通信和導航等各個方面，汽車的電子化程度也成為衡量一個國家汽車工業(yè)水平的重要標志之一[1-2]。作為汽車電子的核心控制元件——電子控制單元（ECU），其在高端智能網(wǎng)聯(lián)汽車上的搭載數(shù)量達到幾十甚至上百個之多。當汽車需要通過ECU軟件升級以進行功能迭代時，傳統(tǒng)低效耗時的手工刷寫方式已不能滿足要求。因此，開發(fā)汽車遠程升級系統(tǒng)十分必要。

1汽車遠程升級架構

本文基于車載終端架構對汽車遠程升級系統(tǒng)進行設計，系統(tǒng)由服務平臺、車載升級設備、人機交互設備、車載網(wǎng)絡及車載控制單元等組成（圖1）。服務平臺又稱之為云平臺，負責固件管理、下載和日志記錄等任務[3]。車載升級設備是執(zhí)行升級的設備，T-Box、車機和網(wǎng)關等車載設備都可以作為執(zhí)行器使用。人機交互設備可集成在車機上，也可應用到移動客戶端（手機等），負責將升級過程直觀地呈現(xiàn)給用戶，供用戶進行動作判斷。車載網(wǎng)絡，現(xiàn)階段主要以CAN為基礎，考慮以太網(wǎng)、FlexRay等通信方式在未來汽車軟件升級中的應用。車載控制單元，也就是車載ECU，是各執(zhí)行器的控制單元，遠程升級的對象。

2功能設計

汽車遠程升級功能要求主要包括3個方面：信息安全、功能安全以及一般功能性要求。信息安全指固件數(shù)據(jù)和指令在傳輸、保存和安裝過程中，為防止信息泄漏、被惡意攻擊等情況所采取的措施。功能安全指軟件升級失敗、網(wǎng)絡中斷等意外情況發(fā)生時，仍然能保證車輛可以短時間內升級成功或正常行駛[4]。一般功能性要求指的是服務平臺和車載控制器等設備的日志記錄功能和Bootloader功能。

2.1信息安全

汽車遠程升級由于采用無線傳輸技術將車內網(wǎng)絡與車外網(wǎng)絡進行互聯(lián)，在整個過程容易受到惡意網(wǎng)絡攻擊，存在巨大的隱患?？梢詮囊韵?個方面進行信息安全設計。

2.1.1傳輸安全

（1）通信加密：固件在傳輸?shù)倪^程中，通過通信加密保證整個固件傳輸安全，避免固件被截獲或遭受中間人攻擊導致升級失敗。

（2）協(xié)議偽裝：通信流程偽裝，把一種協(xié)議偽裝成另一種協(xié)議，從而防止對升級流程進行攻擊。

（3）固件完整性、合法性校驗：ECU軟件遠程升級時需要配合安全升級機制，通過數(shù)字簽名和認證機制確保固件的完整性和合法性，對于非法固件禁止進行升級。

（4）設備合法性認證：車載升級設備對更新請求應具備自我檢查能力。在對自身分區(qū)或向其他設備傳輸更新文件或更新命令時，應能夠及時聲明自己的身份和權限，即對設備合法性進行認證[5]。升級過程應能正確驗證服務器身份，識別出偽造服務器，或者高風險鏈接鏈路。

2.1.2數(shù)據(jù)安全

（1）平臺數(shù)據(jù)存儲：通過車載終端或其他方式采集上傳到云

平臺中的數(shù)據(jù)，會涉及到車主車輛相關的私密數(shù)據(jù)。為保證云平臺存儲的用戶隱私信息不被泄露，需要設置訪問權限，并對數(shù)據(jù)進行加密存儲。

（2）平臺數(shù)據(jù)完整性：保存在云平臺的數(shù)據(jù)應當具備完整性，不被惡意破壞，不應出現(xiàn)因硬件、軟件等外部條件造成數(shù)據(jù)的丟失、錯誤。

（3）平臺數(shù)據(jù)的可恢復性：用戶對存儲在云平臺的數(shù)據(jù)進行訪問時，需要無差錯響應用戶的請求。如果遇到安全攻擊事件，應能夠保證數(shù)據(jù)的可恢復性，防止因數(shù)據(jù)丟失造成的巨大損失。

（4）平臺數(shù)據(jù)安全方法：云平臺數(shù)據(jù)安全應采用體系化的信息安全建設，從物理、網(wǎng)絡、計算、存儲、信息和應用等方面構建信息安全防御體系，并在管理方面將信息安全納入到考慮范圍，以降低數(shù)據(jù)泄漏等安全風險。

（5）車載終端數(shù)據(jù)存儲：由于固件代碼保存在具有永久存儲功能的器件中，應考慮其是否支持加密算法，芯片中是否有保護寄存器，以及是否可以通過設置Read-only等模式對固件存儲進行保護?？梢栽黾游⑻幚砥骰蛘呶⑻幚砥鲀炔孔詭У墓碳鎯卧墓碳崛‰y度，同時減少或禁用ECU上的JTAG、RS232和USB等對外調試接口，減少固件被讀取的危險。

2.1.3密鑰安全

（1）APP安全防護：當前大多數(shù)汽車APP缺乏軟件防護和安全保障，通過逆向攻擊就可以看到TSP接口、參數(shù)等信息，存放在APP中的密鑰、控制接口等信息均易被獲取[6]，因此，應當對移動APP進行有效的防護。關于密鑰的存儲，由于大部分手機都沒有內置eSE芯片，可采用軟件白盒的方式，通過軟件白盒保證數(shù)據(jù)存儲和傳輸安全。

（2）密鑰存儲：可能發(fā)生白盒攻擊。當前主流方式是軟件白盒和硬件eSE芯片方案，將密鑰通過預制或動態(tài)下發(fā)的方式存儲在白盒或者eSE芯片中，這樣可以有效防止白盒攻擊。數(shù)據(jù)在傳輸?shù)倪^程中也要經(jīng)過白盒或eSE芯片加密后進行，保障數(shù)據(jù)的傳輸安全[7]。

2.2功能安全

功能安全是為防止汽車在遠程升級過程中，由于意外發(fā)生造成車輛無法行駛或短時間內無法恢復的情況發(fā)生，可將其視為冗余設計[8]。

2.2.1防變磚機制

在多個節(jié)點的情況下，遠程升級時需對升級目標進行校驗，防止升級錯誤。此外，升級管控程序需始終保證自身的可運行性，即使在升級失敗的情況下，升級管控程序仍然能夠保證升級可重復進行或通過調用相應的接口回滾至原版本。

2.2.2掉電保護

系統(tǒng)應防止升級過程中意外掉電，掉電恢復后會自動由Boot進入升級管理程序，從掉電處繼續(xù)完成覆蓋的過程。

2.2.3回滾機制

對于軟件本身存在的問題或多次無法升級成功，升級管理程序可調用特定接口，控制系統(tǒng)回滾至上一個版本。

2.2.4斷點續(xù)傳

系統(tǒng)具備斷網(wǎng)保護機制，在網(wǎng)絡中斷時記錄下載點，在網(wǎng)絡狀態(tài)恢復時從未完成處繼續(xù)下載。

2.3一般性功能要求

2.3.1升級策略

可按照時間、地區(qū)和設備數(shù)量等信息動態(tài)調整升級策略，即針對某一生產批次、某一地區(qū)和一定數(shù)量的車輛進行全時段的遠程升級設定，具備動態(tài)調整能力，適應不同場景下的要求。

2.3.2各節(jié)點要求

各節(jié)點除滿足上述的信息安全和功能安全外，車載ECU、云平臺和APP還應滿足關于自身特殊的要求。

（1）車載ECU。車載ECU應具備Bootloader的功能，Bootloader應置于非易丟失存儲區(qū)，并受到保護，禁止對其地址區(qū)進行任意修改。此外，車載ECU遠程升級時需要配合安全升級機制，通過數(shù)字簽名和認證機制確保固件的完整性和合法性，對于非法固件禁止進行升級。再者，車載ECU在接收車載終端傳輸更新文件或更新命令時，應能夠及時校驗車載終端身份及權限，即對設備合法性進行認證。

（2）云平臺。在軟件升級過程中，云平臺應能正確驗證車載終端身份，識別出偽造終端，或者高風險鏈接鏈路[9]。此外，通過車載終端或其他方式采集上傳到云平臺中的數(shù)據(jù)，由于會涉及到車主車輛相關的私密數(shù)據(jù)，云平臺需要設置訪問權限，并對數(shù)據(jù)進行加密存儲，以保證存儲的用戶隱私信息不被泄露。保存在云平臺的數(shù)據(jù)還應當具備完整性，不被惡意破壞，不應出現(xiàn)因硬件、軟件等外部條件造成數(shù)據(jù)的丟失、錯誤。

（3）APP。APP應當能直觀將遠程升級過程中相應的安裝進度、安裝歷史等信息直觀反饋給用戶。此外，APP具備一般商用APP的通用特點，如密碼找回、注冊和重置等。并且，APP還應能遠程管理車載終端中已經(jīng)下載的固件。

3汽車遠程升級流程

汽車軟件遠程升級流程的主要步驟如下（圖2）。

（1）注冊和登錄。用戶通過手機號在平臺（APP）注冊，首次登錄要進行車輛綁定設置，輸入個人信息，如身份證號、車輛VIN碼等，再設置遠程升級功能的密碼。

（2）固件更新。平臺會及時推送新版固件，用戶也可自己選擇檢查更新。若存在新版固件，會提示固件版本信息，包括新版固件版本號、本地固件版本號以及新功能說明等。

（3）下載新版本固件。用戶確認新版本固件功能后，選擇新版本的固件進行下載，APP上會顯示當前固件的下載進度。下載完成后，系統(tǒng)提示用戶是否立刻安裝。如下載失敗，提示失敗原因，可重新下載。

（4）安裝固件。用戶選擇確定并安裝后，系統(tǒng)會提醒用戶是否滿足安裝條件，當條件滿足時才允許平臺發(fā)送安裝指令;如不滿足條件，則會提醒用戶采取相應措施，條件滿足后可繼續(xù)選擇安裝。APP上會實時反饋安裝進度，安裝完成后，系統(tǒng)提示用戶進行相應操作，完成更新。如安裝失敗則提示失敗原因，可重新進行安裝。

4實驗驗證

以市場上本司某款純電動車型為實驗平臺，對整車控制器VCU進行遠程升級驗證。首先，使用INCA對VCU進行本地軟件的刷寫;然后，保持固件的版本一致，在平臺上上傳升級版本程序并進行下發(fā);最后，使用INCA的標定功能通過訪問VCU固件版本號，來初步判斷遠程升級的結果。

實驗表明，通過對總線報文進行實時監(jiān)測，固件數(shù)據(jù)可以成功刷寫進VCU中。同時，對車輛進行上電和換擋、行車及空調等一系列宏觀的功能測試，整車均滿足條件需求。因此證明遠程升級是成功的。

5結束語

隨著智能互聯(lián)汽車電子化率的不斷增加，汽車ECU的軟件升級成為了一大挑戰(zhàn)。本文針對汽車遠程升級的流程和應用場景，對汽車遠程升級系統(tǒng)進行了詳細的分析設計。汽車遠程升級系統(tǒng)不僅僅是功能方面的實現(xiàn)，信息安全將是其重要的組成部分。在汽車遠程升級的整個過程中，面臨著來自各個方向的攻擊，升級過程中需要配合安全升級機制，通過數(shù)字簽名和認證機制確保升級的完整性和合法性。

作者簡介：

韓德鴻，本科，工程師，研究方向為汽車開發(fā)與商業(yè)運營。

通訊作者：

韋錦波，碩士，工程師，研究方向為新能源汽車測試診斷技術。