软件定义汽车时代，软件更新或存潜在安全问题

服务器

若想知道软件更新升级时问题所在之处，就要先清楚软件OTA升级的环节构成，其大致可分为云端OTA平台、车端OTA主控、OTA对象这三部分，这三部分中任何一部分出问题都会引发安全问题。

要更好地理解OTA升级流程，可将OTA升级比作自来水管输送自来水。其中，蓄水池（云端）是输送源头，网联如同自来水管是输送载体，自来水表、水压、三通等就像管理端负责输送管理，软件包则是输送内容（类似自来水）。一旦水管出现污染、堵塞或被拦截等情况，OTA管道也必然会遭受攻击。

企业推送OTA升级包时，车端会和OTA云服务器构建安全连接，通常先把待更新固件传至车辆的T - box（或其他联网部件），接着再传给OTA Manager。2、OTA Manager管控所有ECU的升级流程，负责向ECU分发固件，且通知ECU何时进行更新。3、在ECU更新完毕后，OTA Manager借助T - box（或其他联网部件）向云服务器发送确认信息。云端存在信息安全风险。汽车OTA云端具备与车载终端进行数据同步、软件更新升级等功能。目标汽车车主的各类私人信息存储于云端服务器，而云端会面临网络黑客的多种攻击，像DDos（分布式拒绝服务攻击）、MITC（云端中间人攻击）、编排攻击、密码劫持等。这些攻击会使OTA软件遭到篡改，车主信息被修改，进而对汽车以及人员的财产和人身安全构成严重威胁。管理端存在信息安全风险。管理端是OTA云端和车载终端间的桥梁，负责把待更新软件安全完整地传送给车载终端，并将升级结果反馈给云端。常见有窃听、中间人攻击等情况。若升级包推送时采用弱认证或明文传输，就易被拦截，软件包会被解析、篡改，软件功能逻辑和关键数据信息也会泄露。3. 车辆端存在信息安全风险。车端承担下载OTA云端推送的软件数据包的任务，要对数据包验签、解密、对比版本、差分升级、还原等。

汽车

车端获取升级包后便会开启升级流程。要是引导程序、系统程序、OTA版本号等固定参数的可信验证策略不安全或者缺失，车端可能运行恶意系统，有隐私泄露、财产损失等风险。OTA服务端，还有企业IT管理系统、安全服务端、web控制台、文件服务端等相关系统，都会遭受传统云平台存在的所有安全威胁。为确保OTA升级安全，常用如下安全技术：PKI签名验签技术相关内容。OTA系统在升级期间运用数字证书签名方案，终端从OTA云平台下载的升级包与升级脚本都有签名处理，升级前验签正确才会进行升级。2. 安全方面的访问控制OTA车载系统借助云平台端的安全访问控制服务，以网关内置或终端内置安全访问函数的方式实现校验方案。唯有全访问验证通过，ECU才会执行后续符合安全访问等级要求的请求。3. 数字证书：身份认证与信息安全。PKI数字证书可进行车辆身份管理、车与云的身份认证，还能用于OTA云平台和车端上下行消息的加解密、签验签。四、数据安全方面。在组织内构建数据安全管理体系，打造云平台数据全生命周期主动防护与运营能力，从而保障数据安全。