一种汽车远程升级安全机制的研究与实现

王聪，张学超，向辉

一种汽车远程升级安全机制的研究与实现

王聪，张学超，向辉

（奇瑞汽车股份有限公司，安徽 芜湖 241006）

车辆零部件智能化水平不断提高，汽车车辆内部搭载的各种软件、硬件也越来越多。毫无疑问，车辆复杂度的提高必将带来维护上的困难，软件升级的需求越来越强，许多汽车企业都开始投入到汽车远程升级技术的研发当中。文章针对远程升级面临的安全威胁提出了一种汽车远程升级的安全机制，简要分析了其功能实现，确保远程升级时的数据安全。

远程升级；安全机制；数字签名

前言

随着汽车零部件智能化、自动化水平的不断提升，未来车内搭载的各种软件将越来越多，无论车辆遭遇软件故障还是软件更新，线下服务站召回模式已经不能满足用户体验的最佳选择了，而远程升级技术则可以通过远程推送数据包的形式完成软件缺陷的修复，大大避免了整车召回的风险和召回费用的不可控。随着远程升级技术的广泛应用，面临的信息安全形势也越来越严峻。

1 数据安全

在远程升级过程中，信息的真实性、完整性直接关系到升级操作的结果，所以制定一套完善的加密解密措施确保数据安全至关重要。

1.1 对称加密和非对称加密算法

对称加密指加密和解密使用相同密钥的加密算法，就是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来。对称加密算法要求发送方和接收方在安全通信之前，需要商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对发送或接收的数据进行解密，这就造成了管理和分发密钥存在着风险。

相对于对称加密算法，非对称加密算法可以解决上述风险。非对称加密算法需要两个密钥：公开密钥和私有密钥。公开密钥与私有密钥需要配对使用，当使用私有密钥对数据进行加密，只有使用配对的公开密钥才能解密。加密和解密使用的是两个不同的密钥，因此这种算法叫作非对称加密算法。

1.2 哈希函数

哈希函数就是把任意长度的输入通过散列算法变换成固定长度的输出，该输出就是散列值。简单的说就是一种将任意长度的数据压缩到某一固定长度的数据摘要。

2 安全方案设计

由非对称加密算法可知，数据发送方生成一对密钥，使用私有密钥对所发数据进行加密，数据接收方使用数据发送方提供的配对公开密钥来解密，这样就可以确保数据的安全性、完整性和唯一性。但非对称加密算法在实际使用中存在一定的局限性，当发送的数据量特别大，同时密码设计又比较复杂，这会造成解密过程运算量巨大，加密和解密过程所花费的时间很长，无法在实际中运用。

通过哈希函数，可以解决数据冗长的问题。结合非对称加密算法和哈希函数实现信息交换的基本过程为：发送数据前，数据发送方使用哈希函数将所发数据生成数据摘要，然后通过私有密钥对数据摘要进行加密，加密后的摘要称为数字签字。数字签字将会和待发送的数据一起发送给数据接收方。数据接收方收到数据后使用哈希函数从原始数据中计算出报文摘要，接着使用公开密钥对发送方发送的数字签名进行解密，如果两个摘要相同表明接收的数据是完整的，如果不同说明数据被篡改过了。

3 方案实现与运行

汽车远程升级主机厂通常采用的方式为：远程通信模块从TSP平台获取控制器升级数据，通过车内总线对控制器进行软件升级。如TSP平台信息安全受到威胁（升级数据被非法篡改），通过引入升级安全机制（非对称加密算法和哈希函数），控制器就可以识别出升级文件的合法性。主机厂PKI产生的密钥，公开密钥提供给控制器，私有密钥则由主机厂管理，数字签名文件也是由主机厂生成提供。具体升级安全机制方案实施由图1所示。

图1 升级安全机制方案

远程通信模块使用ISO 14229标准中定义的$34、$36、$37服务，先将升级数据传输给控制器，接着通过$31服务将数字签名文件传输给控制器。控制器接收完升级数据和数字签名文件后将自己计算出的数据摘要和通过数字签名解密计算出的数据摘要进行比对，如果内容一致控制器判断升级数据合法给出肯定响应，如果不一致控制器判断升级数据被篡改给出否定响应。具体刷新流程由图2所示。一旦控制器判断出刷新文件不合法，将会自动回滚到之前的版本，确保控制器可以正常使用。

图2 升级数据和签名文件传输流程

4 结语

本章详细介绍了对称加密、非对称加密算法以及哈希函数，简要分析了在数据传输安全方面应用非对称加密算法结合哈希函数的安全机制及功能实现，确保远程升级时的升级数据安全。

[1] 耿琦.基于OTA技术的车辆远程数据刷写研究及应用[J].网络与信息工程,2017(15).

[2] 徐洋.面向电动车车载监控终端的嵌入式软件远程升级系统研究与设计[J].研究与开发,2018(2).

[3] 高洁.一种电动汽车软件OTA升级服务平台的设计方案[J].电脑知识与技术,2017(3).

Research and Implementation of a Remote Upgrade Security Mechanism for Vehicles

Wang Cong, Zhang Xuechao, Xiang Hui

( Chery Automobile Co., Ltd., Anhui Wuhu 241006 )

The level of intelligence of vehicle components has been constantly improved, and various software and hardware have been installed inside the vehicle. Undoubtedly, the increase of vehicle complexity will bring difficulties in maintenance, and the demand for software upgrade is getting stronger.Many OEMs have begun to research and development the remote upgrade technology in vehicles. This thesis proposes a security mechanism for vehicle remote upgrade against the security threats faced by remote upgrades. It briefly analyzes its functions and ensures data security during remote upgrades.

Remote upgrade;Security mechanism;Digital signature

U462.1

A

1671-7988(2019)14-105-02

U462.1

A

1671-7988(2019)14-105-02

王聪（1983-），男，安徽芜湖人，在职研究生，工程师，就职于奇瑞汽车股份有限公司。研究方向：汽车网络诊断。

10.16638/j.cnki.1671-7988.2019.14.033