張鐵欣

長城汽車股份有限公司 河北省汽車技術(shù)創(chuàng)新中心，河北保定，071000

0 引言

通常情況下，OTA更新內(nèi)容要經(jīng)過廠商的反復(fù)測試之后進(jìn)行封裝，云端服務(wù)器通過蜂窩網(wǎng)絡(luò)和車輛建立連接并且傳輸文件，車上的OTA管理單元會負(fù)責(zé)管理這些文件，確認(rèn)什么時候把它們下發(fā)給負(fù)責(zé)各個模塊的ECU控制單元，并且在更新完成后向服務(wù)器反饋。

目前常見的OTA升級主要還是針對多媒體系統(tǒng)，如導(dǎo)航、娛樂、舒適性配置等（如圖1所示），只有個別廠商會對駕駛輔助、動力單元等進(jìn)行升級。

圖1 車輛升級過程

隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展，車輛信息安全變得越來越重要，因此，保證OTA升級過程的安全性是智能化、網(wǎng)聯(lián)化的前提。

在車聯(lián)網(wǎng)信息安全上，車輛主要涉及的網(wǎng)聯(lián)部件包括上層的車機(jī)娛樂系統(tǒng)、T-BOX聯(lián)網(wǎng)模塊、車內(nèi)網(wǎng)關(guān)以及車輛底層的各個ECU模塊。除車輛端之外，還包含云端車聯(lián)網(wǎng)平臺和車輛手機(jī)APP終端。針對不同的零部件，主要安全威脅也不盡相同。常見的安全威脅包括藍(lán)牙、Wifi等無線協(xié)議棧的安全漏洞、OTA升級安全防護(hù)缺陷、網(wǎng)絡(luò)通訊被劫持等。

汽車電子電氣架構(gòu)正朝著 “為智能化體驗(yàn)服務(wù)” 方向演變。集中式電子電氣架構(gòu)勢在必行并且需求迫切。在未來集中式E/E 架構(gòu)盛行的時代，將繼續(xù)以服務(wù)為導(dǎo)向，開始跨域融合發(fā)展，把更多的功能集成到一個或幾個高性能的計(jì)算單元，為軟件提供高性能實(shí)時計(jì)算平臺。在這樣的理念下，催生真正的車載計(jì)算平臺。汽車逐漸走向智能化勢在必行，越來越多曾看似難以實(shí)現(xiàn)的功能將持續(xù)被引入并實(shí)現(xiàn)。這也就意味著，作為汽車智能化基底的電子電氣架構(gòu)，在現(xiàn)如今盛行的模塊化、集中化架構(gòu)的基礎(chǔ)上，探索執(zhí)行更加高效的架構(gòu)來保證未來海量數(shù)據(jù)的高速吞吐、采集數(shù)據(jù)的實(shí)時處理、跨域數(shù)據(jù)的無界交互。

1 現(xiàn)有技術(shù)的缺點(diǎn)

目前，在OTA升級過程中，短期升級考慮的主要是安全性問題，保證升級文件下載過程和刷寫過程的安全，而長期問題主要是升級包管理和升級管理，OTA云平臺主要包括升級模型管理、升級包管理、升級任務(wù)、升級策略和日志管理。

在OTA升級面臨的所有挑戰(zhàn)中，最為關(guān)鍵的一項(xiàng)是如何準(zhǔn)確識別車輛配置和實(shí)現(xiàn)車輛配置升級包的可配置化（SOA）功能。目前很多廠商手中并沒有置信水平可靠的車輛軟件配置表，因此很難保證能為所有車輛選擇合適的軟件。因此，在保證安全的前提下，如何提高云端和車輛端傳輸軟件包的可靠度至關(guān)重要。

2 本發(fā)明創(chuàng)造要解決的技術(shù)問題與優(yōu)點(diǎn)

本發(fā)明目的：

（1）建立一種OTA升級加解密的方法和流程，保證升級過程的真實(shí)性、保密性、完整性、可用性、不可抵賴性和可控性；

（2）建立一種SOA配置管理系統(tǒng)，準(zhǔn)確地識別云端車輛配置對應(yīng)的升級包及對比車輛端的配置，提高升級過程的可靠度，實(shí)現(xiàn)SOA服務(wù)的定制化。

本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點(diǎn)在于：本發(fā)明所涉及的一種整體OTA升級系統(tǒng)建立了一種OTA升級加密的方法和流程，保證了升級過程的真實(shí)性、保密性、完整性、可用性、不可抵賴性和可控性，并建立了一種SOA配置管理系統(tǒng)，準(zhǔn)確地識別云端車輛配置對應(yīng)的升級包及對比車輛端的配置，提高升級過程的可靠度，實(shí)現(xiàn)SOA服務(wù)的定制化；其中大數(shù)據(jù)中心儲存原始固件升級軟件，營銷人員根據(jù)車輛的售出狀態(tài)，向后臺服務(wù)器系統(tǒng)申請開通OTA升級權(quán)限，后臺服務(wù)器接收營銷人員的開通申請后，構(gòu)建控制指令，通過后臺將客戶數(shù)據(jù)發(fā)送至公司大數(shù)據(jù)中心，大數(shù)據(jù)中心管理客戶數(shù)據(jù)及提供軟件升級程序；本發(fā)明提供了身份認(rèn)證安全，通過對稱和非對稱加密算法相結(jié)合的方式，實(shí)現(xiàn)人、車和后端管理平臺的保密通信，并為人、車簽發(fā)電子身份證，用于后期兩端的身份驗(yàn)證；本發(fā)明能保證協(xié)商過程的一次一密，會話密鑰的高安全性、用戶的真實(shí)性；保證用戶身份認(rèn)證的安全性。本發(fā)明通過中央計(jì)算單元采集智能識別系統(tǒng)的人臉信息，設(shè)計(jì)合理，值得大力推廣。

3 本專利申請技術(shù)方案的詳細(xì)內(nèi)容

（1）系統(tǒng)技術(shù)方案[1]。一種整體OTA升級系統(tǒng)包括服務(wù)器端1、后臺服務(wù)器2、大數(shù)據(jù)中心3、遠(yuǎn)程信息處理器4、操作模塊5、中央計(jì)算單元6和智能識別系統(tǒng)7。其升級流程（如圖2所示）：服務(wù)器端1與后臺服務(wù)器2進(jìn)行數(shù)據(jù)傳輸，通過服務(wù)器端1將客戶數(shù)據(jù)上傳至后臺服務(wù)器2，后臺服務(wù)器2再將客戶數(shù)據(jù)上傳至大數(shù)據(jù)中心3，大數(shù)據(jù)中心3接收到客戶數(shù)據(jù)后給后臺服務(wù)器2反饋信息，后臺服務(wù)器2根據(jù)配置選擇軟件升級程序，將選擇的軟件升級程序下載至車輛的遠(yuǎn)程信息處理器4中，遠(yuǎn)程信息處理器4接收到軟件升級程序后反饋新車配置及升級完畢信息，并將數(shù)據(jù)透傳至操作模塊5，駕駛員通過操作模塊5操作，操作結(jié)束后操作模塊5將新車配置及升級完畢信息反饋至遠(yuǎn)程信息處理器4，操作模塊5再將數(shù)據(jù)透傳至中央計(jì)算單元6，中央計(jì)算單元6將人臉信息上傳至智能識別系統(tǒng)7。

圖2 系統(tǒng)技術(shù)方案

本系統(tǒng)是OTA實(shí)現(xiàn)的系統(tǒng)方案，其大數(shù)據(jù)中心儲存原始固件升級軟件，營銷人員根據(jù)車輛的售出狀態(tài)，向TSP系統(tǒng)申請開通OTA升級權(quán)限。TSP接收營銷人員的開通申請后，構(gòu)建控制指令，通過后臺將客戶數(shù)據(jù)發(fā)送到長城公司大數(shù)據(jù)中心，長城公司大數(shù)據(jù)中心管理客戶數(shù)據(jù)及提供軟件升級程序。

（2）OTA升級流程圖。

所述OTA升級系統(tǒng)的升級流程如圖3所示，具體描述如下。步驟1，開始，大數(shù)據(jù)中心建立汽車升級軟件庫。步驟2，后臺服務(wù)器2匹配與個人車輛相應(yīng)的升級軟件包。

圖3 OTA升級流程圖

步驟3，云端向個人車輛發(fā)送個人賬戶下的個人車輛的系統(tǒng)更新信息。

步驟4，車輛遠(yuǎn)程信息處理器4下載系統(tǒng)更新固件。

步驟5，車輛遠(yuǎn)程信息處理器4校驗(yàn)系統(tǒng)更新固件的數(shù)據(jù)完整性。

步驟6，系統(tǒng)更新固件的數(shù)據(jù)是否完整；若是，繼續(xù)執(zhí)行步驟7；若否，返回執(zhí)行步驟2。

步驟7，車輛中央計(jì)算單元6與后臺校驗(yàn)升級軟件包對應(yīng)的配置。

步驟8，車輛中央計(jì)算單元6判斷該車輛是否可以進(jìn)行汽車電子單元的系統(tǒng)升級；若是，繼續(xù)執(zhí)行步驟9；若否，返回執(zhí)行步驟2。

步驟9，中央計(jì)算單元6通過操作模塊5，即FOTA主控節(jié)點(diǎn)控制整車升級操作。

步驟10，中央計(jì)算單元6循環(huán)判斷升級過程是否結(jié)束；若是，繼續(xù)執(zhí)行步驟11；若否，返回執(zhí)行步驟9。

步驟11，中央計(jì)算單元6通過遠(yuǎn)程信息處理器4向云端發(fā)送反饋信息，使云端停止向個人賬戶發(fā)送該車輛的系統(tǒng)升級信息，并在后臺記錄個人車輛配置。

（3）OTA升級加解密的方法和SOA配置校驗(yàn)升級[2]。

圖4 OTA升級加解密過程

OTA升級加解密過程從車輛端描述主要分以下幾步：①從云端校驗(yàn)控制指令，并下載升級包到車輛端T-BOX上；②從T-BOX經(jīng)加、解密傳輸?shù)紺CU上；③CCU與后臺TSP端校驗(yàn)配置；④選擇升級包并下載升級包存儲到CCU上；⑤CCU控制整車升級。

基于5G技術(shù)中的IPV6協(xié)議實(shí)現(xiàn)以下操作。①從云端校驗(yàn)控制指令，并下載升級包到車輛端T-BOX上，校驗(yàn)車輛信息。

本實(shí)施例基于對稱和非對稱加密算法，利用對稱加密算法對第一加密密鑰數(shù)據(jù)摘要和摘要簽名進(jìn)行加密，然后基于非對稱加密算法，利用待升級設(shè)備的公鑰對數(shù)據(jù)密文進(jìn)行加密并比較數(shù)據(jù)的一致性，從而實(shí)現(xiàn)對升級包的雙重加密。使得升級包在傳輸過程中的保密性更強(qiáng)，更難以被逆向，保證了升級包中用戶的隱私信息不被泄漏[3]。

②從T-BOX經(jīng)加、解密傳輸?shù)紺CU上。

從T-BOX到CCU可以使用在T-BOX上增加ECC加密加速器、惠而浦散列引擎、AES加密加速器、哈希加速器引擎、RAM、ROM、專用安全CPU、隨機(jī)數(shù)發(fā)生器和偽隨機(jī)數(shù)生成器等方案來實(shí)現(xiàn)，此方案符合EVITA FULL,信息安全能達(dá)到最高等級。

③CCU與后臺TSP端校驗(yàn)車輛信息和人員信息。

本發(fā)明公開了一種發(fā)放、獲取移動終端證書及汽車端芯片證書的方法、設(shè)備，方案中提供了身份認(rèn)證安全，通過對稱和非對稱加密算法相結(jié)合的方式，實(shí)現(xiàn)人、車和后端管理平臺的保密通信，并為人、車簽發(fā)電子身份證，用于后期兩端的身份驗(yàn)證。本發(fā)明能保證協(xié)商過程的一次一密、會話密鑰的高安全性、用戶的真實(shí)性，解決了“我就是我的問題”，保證了用戶身份認(rèn)證的安全性。

在整車上，通過CCU采集智能識別系統(tǒng)DMS的人臉信息，與后臺TSP驗(yàn)證獲得CCU的電子身份證，確保了車輛的合法性和人員的合法性，實(shí)現(xiàn)了信息的唯一性。

④選擇升級包、下載升級包存儲到CCU上，校驗(yàn)車輛配置信息，并可選擇地實(shí)現(xiàn)車輛配置可選。

HUT通過CCU的源碼配置文件包比對，編譯定制配置，準(zhǔn)確地識別云端車輛配置對應(yīng)的升級包及對比升級包對應(yīng)車輛端的配置，實(shí)現(xiàn)配置的可選擇定制，

CCU主要是實(shí)現(xiàn)源碼管理服務(wù)器、版本管理服務(wù)器、儲存鏡像文件、控制軟件包升級、升級任務(wù)、升級策略和日志管理功能[4]。⑤CCU控制整車升級。

在車輛中心化電子電氣架構(gòu)中，整車信息安全防護(hù)更加復(fù)雜，比如在上述方案中同樣需對HUT和DMS端做信息安全防護(hù)，但不屬于本發(fā)明的主要保護(hù)方向，因此整車級信息安全防護(hù)和升級過程在此不做詳述。

（4）SOA概念。SOA是英文詞語“Service Oriented Architecture”的縮寫，中文有多種翻譯，如“面向服務(wù)的體系結(jié)構(gòu)”“以服務(wù)為中心的體系結(jié)構(gòu)”和“面向服務(wù)的架構(gòu)”，其中“面向服務(wù)的架構(gòu)”比較常見。SOA有很多定義，但基本上可以分為兩類：一種認(rèn)為SOA主要是一種架構(gòu)風(fēng)格；另一種認(rèn)為SOA是包含運(yùn)行環(huán)境、編程模型、架構(gòu)風(fēng)格和相關(guān)方法論等在內(nèi)的一整套新的分布式軟件系統(tǒng)構(gòu)造方法和環(huán)境，涵蓋服務(wù)的整個生命周期：建模-開發(fā)-整合-部署-運(yùn)行-管理。后者概括的范圍更大，著眼于未來的發(fā)展，我們更傾向于后者，認(rèn)為SOA是分布式軟件系統(tǒng)構(gòu)造方法和環(huán)境的新的發(fā)展階段。

國際企業(yè)中，德國大眾和特斯拉在SOA上做了很多嘗試，但由于其系統(tǒng)封閉性，無法推廣到整個行業(yè)，且沒有提供服務(wù)接口和開發(fā)者平臺，平臺沒辦法擴(kuò)大影響范圍。目前，我國汽車產(chǎn)業(yè)的軟件賦能實(shí)踐過程中需要開發(fā)者快速地、自由地聚焦在上層的業(yè)務(wù)邏輯，降低開發(fā)門檻，縮短整個軟件的迭代周期。具有這樣特性的開發(fā)者平臺才能夠?yàn)殚_發(fā)者提供專業(yè)技術(shù)支持、開發(fā)者學(xué)院課程，并組建開發(fā)者社區(qū)提供交流平臺[5]。

SOA開發(fā)者平臺作為智能車生態(tài)的接入側(cè)，承擔(dān)了智能汽車生態(tài)搭建的重要作用，成為OEM、應(yīng)用開發(fā)者與終端用戶的橋梁，為生態(tài)的繁榮提供了強(qiáng)有力的保證，繁榮整個汽車生態(tài)。

我國具有代表性的汽車企業(yè)通過對SOA開發(fā)者平臺的自主自研，進(jìn)一步豐富智能車車云能力，孵化新形態(tài)、新體驗(yàn)的跨端應(yīng)用。平臺將為開發(fā)者提供智能應(yīng)用的驗(yàn)證、商城上架及持續(xù)運(yùn)營的完整方案，賦終端用戶實(shí)現(xiàn)車輛軟件功能的自由訂閱、千人千面用車體驗(yàn)和價值共創(chuàng)。

目前SOA開發(fā)者平臺提供了豐富的軟件組件和基礎(chǔ)設(shè)施，上汽零束SOA 生態(tài)合作伙伴也能夠通過開發(fā)者平臺接入。

SOA軟件平臺框架為行業(yè)首創(chuàng)的車載軟件框架，可實(shí)現(xiàn)整車硬件的全數(shù)字化、軟件的全服務(wù)化、接口的全標(biāo)準(zhǔn)化，可實(shí)現(xiàn)域控制器間、車端與云端能力及擴(kuò)展IOT 的全面打通融合和全域智能化。

4 本專利的創(chuàng)新點(diǎn)

（1）車輛通過從T-BOX到CCU，實(shí)現(xiàn)了車輛合法性和人員合法性的三重認(rèn)證，保證升級過程的真實(shí)性、保密性、完整性、可用性、不可抵賴性和可控性，如圖5所示。

圖5 三重認(rèn)證過程

（2）HUT通過軟件包定制配置，實(shí)現(xiàn)了準(zhǔn)確地識別云端車輛配置對應(yīng)的升級包及對比車輛端的配置，提高升級過程的可靠度，實(shí)現(xiàn)了SOA的配置服務(wù)定制化，如圖6所示。

圖6 SOA配置服務(wù)化

5 本方案車輛端適用的架構(gòu)

中央計(jì)算機(jī)-層-區(qū)的概念將建立起智能汽車的新架構(gòu)（如圖7所示），區(qū)是局部控制、感知與執(zhí)行單元，層是按照職能劃分的資源池，中央計(jì)算機(jī)是決策大腦，面向應(yīng)用/服務(wù)，調(diào)用各層資源，執(zhí)行高級決策，由區(qū)控制單元執(zhí)行決策或完成態(tài)勢感知任務(wù)。

圖7 車輛中心化電子電氣架構(gòu)

6 技術(shù)方案中出現(xiàn)的專業(yè)術(shù)語解釋

（1）OTA（over the air technology）即空中下載技術(shù)。OTA技術(shù)的應(yīng)用使得移動通信不僅可以提供語音和數(shù)據(jù)服務(wù)，而且還能提供新業(yè)務(wù)下載，是一種更快的無線技術(shù)。它重點(diǎn)解決了一個空間距離的問題，也就是用戶不再需要把車開到4S店，在任何一個有網(wǎng)絡(luò)的地方就可以解決部分問題。

（2）SOA即service oriented architecture的縮寫，是面向服務(wù)的架構(gòu)，它提供了一種構(gòu)建IT組織的標(biāo)準(zhǔn)和方法，并通過建立可組合、可重用的服務(wù)體系來減少IT業(yè)務(wù)冗余并加快項(xiàng)目開發(fā)的進(jìn)程。

（3）數(shù)據(jù)加密技術(shù)主要分為對稱加密算法和非對稱加密算法兩種。①對稱加密算法。對稱加密算法也稱為私鑰加密算法，是指加密密鑰和解密密鑰相同，或者雖然不同，但從其中的任意的一個可以很容易地推導(dǎo)出另一個。其優(yōu)點(diǎn)是具有很高的保密強(qiáng)度，但密鑰的傳輸需要經(jīng)過安全的途徑。對稱加密算法有兩種基本類型，分別是分組密碼和序列密碼。分組密碼是在明文分組和密文分組上進(jìn)行運(yùn)算，序列密碼是對明文和密文數(shù)據(jù)流按位或字節(jié)進(jìn)行運(yùn)算。常見的對稱加密算法包括瑞士的國際數(shù)據(jù)加密算法和美國的數(shù)據(jù)加密標(biāo)準(zhǔn)。②非對稱加密算法。非對稱加密算法也稱為公鑰加密算法，是指加密密鑰和解密密鑰完全不同，其中一個為公鑰，另一個為私鑰，并且不可能從任何一個推導(dǎo)出另一個。它的優(yōu)點(diǎn)在于可以適應(yīng)開放性的使用環(huán)境，可以實(shí)現(xiàn)數(shù)字簽名與驗(yàn)證。

7 結(jié)語

本發(fā)明通過構(gòu)建OTA升級系統(tǒng)，提高了云端和車輛端軟件包匹配的可靠度，并實(shí)現(xiàn)了配對軟件包的可編輯，從而能夠保證提供所有車輛選擇合適的軟件,尤其適配L3級以上車聯(lián)網(wǎng)技術(shù)架構(gòu)。