OTA 升級的安全性如何保障？

OTA 升級的安全性可以通過多種方式來保障。

首先，整車 OTA 系統主要分為云端、車端、通訊端三部分。云端負責諸多管理功能，車端要進行升級條件判斷等操作，通訊端負責報文傳輸和升級包下載。

目前常見的 OTA 升級校驗模式有基于 HASH 算法的完整性校驗和基于簽名算法的簽名校驗。但前者安全性較低，易被攻擊者篡改 HASH 值和校驗邏輯；后者能保證升級包整包的合法性和完整性，但在升級過程中無法對目標 ECU 升級包進行二次驗證，存在安全隱患。

為保障安全性，可基于數字簽名和消息認證碼設計安全的 OTA 升級方法。數字簽名能確認信息來源，防止偽造、抵賴、篡改等，常見算法有多種。消息認證碼分基于分組密碼和基于哈希的，各有特點和適用場景。

在整車 OTA 安全設計中，由于車端 UC-Master 只能對 OTA 升級整包進行校驗，多數 ECU 不具備多線程多任務處理能力且不支持集成第三方 SDK，所以在 OTA 升級過程中，OEM 廠商可在車端 UC-Master 中集成 PKI-SDK，實現基于數字簽名的升級校驗。ECU 根據自身軟硬件架構，用數字簽名或哈希消息認證碼進行二次校驗，以充分保障整車 OTA 升級的安全性、可靠性。

車輛 OTA 信息安全存在風險來源，包括云服務器端、網絡傳輸端、車輛終端、外部互聯設備端。應對措施包括建立 OTA 數據安全閉環，在云服務器、網絡傳輸、車輛終端層面采取相應安全措施；構建 OTA 數據安全管理制度，車企建立相關體系，納入產品開發全過程；完善車輛 OTA 數據安全法規標準體系，明晰具體要求，落實責任判定與處罰，吸收國際經驗。

在汽車 OTA 升級中，要確保車輛在合適的時間、地點和狀態下完成升級。升級前云端與車輛通訊監測車輛狀態，符合要求后用戶收到升級提醒，可選擇多種升級方式。獲取軟件包后進行安全性和完整性校驗，中間出錯有斷點續傳和回滾機制等保護方式。車端升級完成后向云端報告情況，用于優化升級策略。