16、智能汽车与空中下载更新：安全挑战与解决方案

智能汽车与空中下载更新：安全挑战与解决方案

1. OTA更新攻击分类

OTA（Over-the-Air）更新为智能汽车带来了便捷，但也面临诸多安全威胁。为应对这些威胁，需结合多种安全方法，同时确保更新信息的新鲜度，防止重放攻击，并且要保证软件分发过程具备高安全性、低延迟和持续的数据保护。

常见的OTA更新攻击可分为以下几类：
- 下载失败 ：攻击者若在车辆下载更新时阻止整个过程，由于关键服务未被更改，通常不会影响车辆安全，此类问题在问题评估量表上得分较低。
- 刷机失败 ：停止或禁用车辆软件更新会导致车辆正常运行出现问题，难以直观判断受影响最大的部分，这取决于更新完成的百分比。该问题对安全影响较大，可能影响负责制动或转向系统的电子控制单元（ECU）。
- 任意刷机 ：恶意用户最希望达成的是下载并安装自己的软件，从而对硬件管理拥有无限权限。他们可以改变发动机性能（如扭矩和马力）、制动系统行为、驾驶辅助系统等，这对乘客安全来说是灾难性的，在乘客安全威胁量表上得分较高。

不同ECU类别在固件空中攻击下的安全级别如下表所示：
| ECU类别 | 下载失败 | 刷机失败 | 任意刷机 |
| ---- | ---- | ---- | ---- |
| 动力系统 | 5 | 7 | 8 |
| 车辆安全 | 5 | 7 | 8 |
| 舒适性 | 3 | 5 | 6 |
| 信息娱乐 | 2 | 4 | 5 |
| 远程信息处理 | 2 | 4 | 5 |

2