汽车OTA技术原理剖析

cengjili

汽车新四化（电动化、智能化、网联化、共享化）是行业公认的趋势，在智能化和网联化方面，OTA技术就成为了不少车企拿来宣传自家产品的重要卖点，此时推出的新车如果没有OTA，或许会被当做笑话。那么OTA是什么？我们该如何正确看待OTA技术？我们再购车时到底需不需要关注这项技术。



OTA技术的英文全称为Over the Air Technology，翻译过来就是空中下载技术。
首先大家要了解什么是OTA，OTA简单的可以理解为远程升级，最早是安卓系统在手机上推出的，终结了手机软件升级需要连接电脑、然后下载软件、再安装更新的繁复流程。而运用到汽车上也就可以理解为可以远程升级你的车辆软件系统，甚至可以直接升级你的软件来控制整车。
几年前的网络速度，处理器的制程以及车机系统处在很低级的状态，想要通过OTA升级汽车有点不切实际。即便到了现在车用OTA更多是对车载应用、多媒体系统或整车底层系统进行升级。车机内搭载了SIM卡模块或者WiFi模块，就可以实现OTA，其实技术并不复杂。



与汽车的底盘、发动机不同，软件是很容易进行更新迭代的。以往车辆遇到软件故障或是需要更新，我们需要将车开到4S店让工作人员利用专业电脑修复，但这样做所耗费的人力物力，以及消费者的时间可都不少，而OTA技术可以让用户足不出户就完成车辆升级，相比之下减少了成本、还节省了用户时间。
为何OTA技术往往与电动车挂钩
答案很简单，因为电动车更适合OTA升级。早期的汽车都是纯机械结构，软件不可能对车辆进行升级。所以车用OTA一般是针对娱乐系统、导航等推出在线系统更新。比如更新中控的Android Auto及Apple CarPlay车载系统，或者是更新导航地图。不过电动车结构相对简单，整车的动力系统、制动系统、电池管理系统等所有跟车辆行驶有关的系统都转向了电子化，OTA随时可以对其进行“控制”、“改写”，只要厂商前期在设计时，在核心的三电系统、车机处理器、传感器等方面留出较多的冗余，后期通过软件提升的难度要容易的多。而且为了实现自动驾驶，不少汽车上安装了大量传感器，汽车厂商能够通过软件利用这些传感器来让车辆有更多功能。



作为首先在汽车上大规模推进OTA功能的特斯拉在这方面与传统汽车厂商相比领先优势明显，比如此前特斯拉扬言要在纽博格林北环赛道上赢过保时捷， 随后国外知名汽车媒体Top Gear做了一期节目，在节目中对保时捷Taycan Turbo S和特斯拉Model S进行了对比测试。在两车都是原装车的情况下，保时捷Taycan全面胜出。这一结果让特斯拉CEO埃隆·马斯克非常不满，所以特斯拉将通过OTA升级的形式将Model S的峰值功率提升50马力。如果是燃油车，想要通过OTA升级50马力以当前的技术手段很难实现，不过电动车就另当别论了。另外特斯拉通过OTA百公里加速可以从5.2秒缩短至4.7秒，特斯拉可以通过OTA把刹车距离缩短6米，还可以通过OTA刷出圣诞节彩蛋。



正是因为电动车更适合在线升级，结果不少新能源汽车品牌就把OTA当作卖点大肆宣传。如果OTA只能像以前一样升级车机的系统界面、UI、车载APP、多媒体系统，那还怎么突出这些新势力品牌主打的智能汽车概念。

近年汽车OTA升级组件
各大车企也都将ADAS与自动驾驶模块（包括自动泊车和自动变道等相关的更新和改进）作为OTA的重要内容。随着辅助/自动驾驶的逐渐成熟，加上国家政策管理，法规和保障逐渐完善后，OTA的竞争未来主要在辅助驾驶这一块上。
其次是车机之间的座舱类更新，比如交互更新等出现频率也极高，一方面，目前很多主流应用不是很符合车内场景的使用习惯，车主使用车机的效率还有很大的提升空间；另一方面，车机方面的改进，UI改变都能给车主明显的感知。



国内外车企OTA升级频率、内容对比：



OTA方案

OTA是一种基于汽车网联的远程升级功能。大多数整车厂以采用第三方OTA方案为主，而非自己开发OTA平台。根据高工智能汽车研究院数据显示，目前国内大多数自主品牌及合资品牌仍以采用第三方OTA方案为主，尚未具备足够的能力或相应的组织结构来开发、交付及扩展OTA软件平台。
合作模式：
供应商与OEM合作趋向灵活，其OTA合作模式主要有三种：
1) 交钥匙工程，搭建软件付费，提供端到端整体解决方案； 2) 完全新功能搭建，项目开发验收； 3) 按需（功能模块）付费等。



OTA技术原理



基于对称密钥加密技术

2005年，Mahmud等人在核心期刊IEEE Intelligent Vehicles Symposium提出了一种智能汽车的安全更新技术。提议在原始主机厂、软件供应商（SS）之间共享一组链路密钥。在任何软件更新之前，使用一个链路密钥在软件供应商和车辆之间建立安全连接，形成可信通道。
2012年，Mansour等人设计了一种诊断和安全OTA系统，称为AiroDiag，用于连接车辆。下图为AiroDiag的架构。AiroDiag架构的主要分为:OEM、汽车和云端。AiroDiag采用了对称密钥技术，特别是采用了先进的加密标准来保证软件更新过程中的通信安全。在AiroDiag中，密钥存储在OEM端的数据库中。AiroDiag应用始终保持与网络的连接，处理来自车机端的任何连接请求。在AiroDiag中，软件更新过程由客户端触发。一旦触发软件更新过程，车辆首先与OEM建立安全连接。接下来，车辆将告知OEM端当前已安装软件的版本。如果有新软件可用，OEM将触发软件更新过程，并与汽车建立安全连接。



基于哈希算法

2008年 Nilsson和Larson在IEEE大会上提出了一种用于车联网的安全OTA固件更新协议。在他的架构中分为了四个实体:车、服务器后端、互联网和无线基站。在这里，服务器后端是负责与网联车通信的主要单元。作者先将更新后的二进制文件划分为多个数据块。然后以相反的顺序对每个片段进行哈希处理，创建哈希表。最后，服务器后端使用预共享的加密密钥对的每个数据块进行加密，然后再将它们传输汽车终端。考虑到车辆中有限的资源，后端使用分块哈希加密作为加密技术。尽管这种变法可以确保不会受到窃听、拦截和篡改攻击，但是无法防止拒绝服务攻击。



基于区块链技术

2018年，Steger等人在工作中引入了区块链(BC)的架构来解决智能汽车OTA升级的安全和隐私问题。该体系结构的主要实体有:OEM、服务中心、汽车、云服务器和SW主机。该架构中，所有参与的实体组成一个集群，一旦出现了新的OTA包，SW主机上的程序就会触发软件更新过程。首先，SW主机向云服务器发送一个带有自己签名的存储请求。在验证成功后，云服务器发送一个二次确认包，包括自己的签名和软件上传过程中需要的文件描述符发送到SW主机中。将新软件上传到云服务器后，SW主机在区块中创建一个更新事件，其中包含关于新软件在云端位置等信息。然后SW主机中使用私钥签署这个事件，并最终将加密的事件广播给车辆。接着作者进行了本概念的验证测试，结果表明，该体系架构的性能优于基于证书的体系架构。



对称密钥与非对称密钥的组合加密算法
2016年Steger等人在IEEE大会提出了一个名为SecUp的框架，用于对网联车进行安全高效的OTA软件更新。其中涉及到:OEM、服务中心、汽车终端和汽车维修人员。SecUp同时使用对称和非对称密钥加密来保护OTA更新过程。汽车维修人员使用NFC智能卡与PIN码对手持设备进行对称的身份验证，然后服务后端返回会话密钥，利用该会话密钥配合汽车RSA公钥将安装包加密下发到每个汽车。接收成功后，汽车在安装前对软件用私钥进行验证解密。SecUp的性能是通过对沃尔沃ECU更新实验测试的。结果显示，不同类型软件的更新持续时间介于6.77秒~ 33.19秒之间。



硬件安全模块

2016年Petri等人在国际汽车安全大会上提出了一种基于HSM的可信平台模块(Trusted Platform Module, TPM)的安全OTA更新机制。首先，网关ECU从远程服务器下载更新后的软件。然后ECU使用TPM中预定义的散列验证下载的软件。验证成功后，ECU将更新后的软件发送到目标ECU进行安装。使用TPM的好处是它支持许多流行的加密算法，例如RSA、SHA、AES。主要局限性是，每个ECU都需要一个HSM/TPM算法加密机，从而导致了额外成本。
根据ABI市场研究数据报告，2022 年将有 2.03 亿辆部汽车能通过 OTA 方式更新软件,其中至少 2200 万辆汽车还能通过 OTA 更新固件，未来我们会接受到来自车辆OTA更新带来的安全问题的挑战。
OTA有什么弊端
汽车OTA可以类比手机升级系统，不过两者还是有很大的区别，尤其是安全方面。手机在进行OTA升级时，如果升级不成功，最坏的的情况就是手机变“砖头”，而汽车则不一样，如果控制转向、制动等一些与行驶相关的部件在升级程序时出现错误，就有可能造成极为严重的后果。



作为软件，就有被攻击的可能性，而汽车在利用OTA技术升级的过程中，同样存在这样的风险。汽车在下载升级包的过程中，攻击者可以利用网络手段将被修改过的升级包发送给车辆，进而修改系统、甚至远程控制车辆。除了被攻击以外，车辆在下载升级包的时候，如果出现网络不稳定等情况，也会导致升级包出现漏洞，进而使得车辆升级失败。所以汽车OTA就需要厂家制定出完善的升级策略，比如终端在升级过程中建立严密的验证机制，保证升级包不被篡改，同时对升级条件加以限定，保证车辆能在合适的状态下进行升级。现在针对汽车控制器出台了网络安全法规，R155,R156就是国家在出台政策规范市场，提高信息安全。
OTA给予了主机厂控制汽车更多的权限，也会默默采集上传了车主很多的隐私，比如车辆位置、形势轨迹、图像信息和音频信息，这在蔚来的隐私政策中都有详尽的表述，无论车企是基于怎样的目的，智能化只能是在隐私保全的前提下开展。打个不恰当的比方，你买了一栋智能住宅，却发现基于安全或莫名的理由，家里有众多摄像机和隐藏麦克风无时无刻地收集你的信息，是不是会觉得很不自在甚至毛骨悚然？更进一步，如果汽车企业在服务器安全层面被黑客攻破，不仅海量的用户数据被泄露，而且未来像《速度与激情》那样被黑客入侵，海量的汽车被远程OTA控制后，可以轻易打开车门、启动汽车，甚至启用自动驾驶模块来执行某些任务或指令，成为大规模危险武器未必没有可能，这时的安全又有谁来保障？
其次，主机厂OTA往往会沦为一种可耻的借口，为了抢先上市，而提前将功能未完善的“半成品”推向市场，让付款消费者来充当“小白鼠”或者“风险承担者”，而车企则后期借OTA升级来弥补原本测试阶段的缺失，反而忽悠消费者“这是一辆不断生长的汽车”。再次，一旦量产车辆出现大规模质量问题或生产缺陷，OTA也容易成为“大规模召回”的替代词或遮羞布，厂商通过OTA对行车电脑底层调试和运行逻辑的任意修改，也让OTA变得更加危险。
许多品牌为了抢夺“新能源补贴窗口期”从而赶工明显，在造车环节上借助OTA偷了不少“懒”，产品功能不成体系，甚至是预埋硬件，后期希望通过宣传OTA来掩盖当前产品尚未完善的现实。老老实实做好设计、测试和研发环节，旗下产品各方面都打磨成熟了再量产推向市场，一旦出了问题该召回就认认真真通过召回制度来解决，这才是负责人的汽车企业该有的态度，而不能急功近利地玩噱头。相比特斯来以及国内新势力品牌大肆宣传自家的OTA功能，反观日企的丰田、本田，一向以只搭载合格、成熟的功能为市场所接受，事故率相比之下很低。
当然，不同的企业策略，也不能说哪家就一定好。



小结：OTA技术对于车企以及消费者而言，都是有利有弊。像一些娱乐功能OTA无妨，毕竟只是娱乐功能，出不了什么大事，还可以让消费者享受到到更好的娱乐体验。但是，自动驾驶辅助相关的功能，船尾还是持保守意见，谨慎使用OTA，因为它是事关驾驶安全，容不得半点马虎。车企推出相应的OTA策略时必须小心谨慎，这是对消费者负责，也是避免事OTA导致事故后影响自家声誉的必要条件。