一种整车OTA升级的方法和系统

张铁欣

长城汽车股份有限公司 河北省汽车技术创新中心，河北保定，071000

0 引言

通常情况下，OTA更新内容要经过厂商的反复测试之后进行封装，云端服务器通过蜂窝网络和车辆建立连接并且传输文件，车上的OTA管理单元会负责管理这些文件，确认什么时候把它们下发给负责各个模块的ECU控制单元，并且在更新完成后向服务器反馈。

目前常见的OTA升级主要还是针对多媒体系统，如导航、娱乐、舒适性配置等（如图1所示），只有个别厂商会对驾驶辅助、动力单元等进行升级。

图1 车辆升级过程

随着汽车智能化、网联化的发展，车辆信息安全变得越来越重要，因此，保证OTA升级过程的安全性是智能化、网联化的前提。

在车联网信息安全上，车辆主要涉及的网联部件包括上层的车机娱乐系统、T-BOX联网模块、车内网关以及车辆底层的各个ECU模块。除车辆端之外，还包含云端车联网平台和车辆手机APP终端。针对不同的零部件，主要安全威胁也不尽相同。常见的安全威胁包括蓝牙、Wifi等无线协议栈的安全漏洞、OTA升级安全防护缺陷、网络通讯被劫持等。

汽车电子电气架构正朝着 “为智能化体验服务” 方向演变。集中式电子电气架构势在必行并且需求迫切。在未来集中式E/E 架构盛行的时代，将继续以服务为导向，开始跨域融合发展，把更多的功能集成到一个或几个高性能的计算单元，为软件提供高性能实时计算平台。在这样的理念下，催生真正的车载计算平台。汽车逐渐走向智能化势在必行，越来越多曾看似难以实现的功能将持续被引入并实现。这也就意味着，作为汽车智能化基底的电子电气架构，在现如今盛行的模块化、集中化架构的基础上，探索执行更加高效的架构来保证未来海量数据的高速吞吐、采集数据的实时处理、跨域数据的无界交互。

1 现有技术的缺点

目前，在OTA升级过程中，短期升级考虑的主要是安全性问题，保证升级文件下载过程和刷写过程的安全，而长期问题主要是升级包管理和升级管理，OTA云平台主要包括升级模型管理、升级包管理、升级任务、升级策略和日志管理。

在OTA升级面临的所有挑战中，最为关键的一项是如何准确识别车辆配置和实现车辆配置升级包的可配置化（SOA）功能。目前很多厂商手中并没有置信水平可靠的车辆软件配置表，因此很难保证能为所有车辆选择合适的软件。因此，在保证安全的前提下，如何提高云端和车辆端传输软件包的可靠度至关重要。

2 本发明创造要解决的技术问题与优点

本发明目的：

（1）建立一种OTA升级加解密的方法和流程，保证升级过程的真实性、保密性、完整性、可用性、不可抵赖性和可控性；

（2）建立一种SOA配置管理系统，准确地识别云端车辆配置对应的升级包及对比车辆端的配置，提高升级过程的可靠度，实现SOA服务的定制化。

本发明与现有技术相比的优点在于：本发明所涉及的一种整体OTA升级系统建立了一种OTA升级加密的方法和流程，保证了升级过程的真实性、保密性、完整性、可用性、不可抵赖性和可控性，并建立了一种SOA配置管理系统，准确地识别云端车辆配置对应的升级包及对比车辆端的配置，提高升级过程的可靠度，实现SOA服务的定制化；其中大数据中心储存原始固件升级软件，营销人员根据车辆的售出状态，向后台服务器系统申请开通OTA升级权限，后台服务器接收营销人员的开通申请后，构建控制指令，通过后台将客户数据发送至公司大数据中心，大数据中心管理客户数据及提供软件升级程序；本发明提供了身份认证安全，通过对称和非对称加密算法相结合的方式，实现人、车和后端管理平台的保密通信，并为人、车签发电子身份证，用于后期两端的身份验证；本发明能保证协商过程的一次一密，会话密钥的高安全性、用户的真实性；保证用户身份认证的安全性。本发明通过中央计算单元采集智能识别系统的人脸信息，设计合理，值得大力推广。

3 本专利申请技术方案的详细内容

（1）系统技术方案[1]。一种整体OTA升级系统包括服务器端1、后台服务器2、大数据中心3、远程信息处理器4、操作模块5、中央计算单元6和智能识别系统7。其升级流程（如图2所示）：服务器端1与后台服务器2进行数据传输，通过服务器端1将客户数据上传至后台服务器2，后台服务器2再将客户数据上传至大数据中心3，大数据中心3接收到客户数据后给后台服务器2反馈信息，后台服务器2根据配置选择软件升级程序，将选择的软件升级程序下载至车辆的远程信息处理器4中，远程信息处理器4接收到软件升级程序后反馈新车配置及升级完毕信息，并将数据透传至操作模块5，驾驶员通过操作模块5操作，操作结束后操作模块5将新车配置及升级完毕信息反馈至远程信息处理器4，操作模块5再将数据透传至中央计算单元6，中央计算单元6将人脸信息上传至智能识别系统7。

图2 系统技术方案

本系统是OTA实现的系统方案，其大数据中心储存原始固件升级软件，营销人员根据车辆的售出状态，向TSP系统申请开通OTA升级权限。TSP接收营销人员的开通申请后，构建控制指令，通过后台将客户数据发送到长城公司大数据中心，长城公司大数据中心管理客户数据及提供软件升级程序。

（2）OTA升级流程图。

所述OTA升级系统的升级流程如图3所示，具体描述如下。步骤1，开始，大数据中心建立汽车升级软件库。步骤2，后台服务器2匹配与个人车辆相应的升级软件包。

图3 OTA升级流程图

步骤3，云端向个人车辆发送个人账户下的个人车辆的系统更新信息。

步骤4，车辆远程信息处理器4下载系统更新固件。

步骤5，车辆远程信息处理器4校验系统更新固件的数据完整性。

步骤6，系统更新固件的数据是否完整；若是，继续执行步骤7；若否，返回执行步骤2。

步骤7，车辆中央计算单元6与后台校验升级软件包对应的配置。

步骤8，车辆中央计算单元6判断该车辆是否可以进行汽车电子单元的系统升级；若是，继续执行步骤9；若否，返回执行步骤2。

步骤9，中央计算单元6通过操作模块5，即FOTA主控节点控制整车升级操作。

步骤10，中央计算单元6循环判断升级过程是否结束；若是，继续执行步骤11；若否，返回执行步骤9。

步骤11，中央计算单元6通过远程信息处理器4向云端发送反馈信息，使云端停止向个人账户发送该车辆的系统升级信息，并在后台记录个人车辆配置。

（3）OTA升级加解密的方法和SOA配置校验升级[2]。

图4 OTA升级加解密过程

OTA升级加解密过程从车辆端描述主要分以下几步：①从云端校验控制指令，并下载升级包到车辆端T-BOX上；②从T-BOX经加、解密传输到CCU上；③CCU与后台TSP端校验配置；④选择升级包并下载升级包存储到CCU上；⑤CCU控制整车升级。

基于5G技术中的IPV6协议实现以下操作。①从云端校验控制指令，并下载升级包到车辆端T-BOX上，校验车辆信息。

本实施例基于对称和非对称加密算法，利用对称加密算法对第一加密密钥数据摘要和摘要签名进行加密，然后基于非对称加密算法，利用待升级设备的公钥对数据密文进行加密并比较数据的一致性，从而实现对升级包的双重加密。使得升级包在传输过程中的保密性更强，更难以被逆向，保证了升级包中用户的隐私信息不被泄漏[3]。

②从T-BOX经加、解密传输到CCU上。

从T-BOX到CCU可以使用在T-BOX上增加ECC加密加速器、惠而浦散列引擎、AES加密加速器、哈希加速器引擎、RAM、ROM、专用安全CPU、随机数发生器和伪随机数生成器等方案来实现，此方案符合EVITA FULL,信息安全能达到最高等级。

③CCU与后台TSP端校验车辆信息和人员信息。

本发明公开了一种发放、获取移动终端证书及汽车端芯片证书的方法、设备，方案中提供了身份认证安全，通过对称和非对称加密算法相结合的方式，实现人、车和后端管理平台的保密通信，并为人、车签发电子身份证，用于后期两端的身份验证。本发明能保证协商过程的一次一密、会话密钥的高安全性、用户的真实性，解决了“我就是我的问题”，保证了用户身份认证的安全性。

在整车上，通过CCU采集智能识别系统DMS的人脸信息，与后台TSP验证获得CCU的电子身份证，确保了车辆的合法性和人员的合法性，实现了信息的唯一性。

④选择升级包、下载升级包存储到CCU上，校验车辆配置信息，并可选择地实现车辆配置可选。

HUT通过CCU的源码配置文件包比对，编译定制配置，准确地识别云端车辆配置对应的升级包及对比升级包对应车辆端的配置，实现配置的可选择定制，

CCU主要是实现源码管理服务器、版本管理服务器、储存镜像文件、控制软件包升级、升级任务、升级策略和日志管理功能[4]。⑤CCU控制整车升级。

在车辆中心化电子电气架构中，整车信息安全防护更加复杂，比如在上述方案中同样需对HUT和DMS端做信息安全防护，但不属于本发明的主要保护方向，因此整车级信息安全防护和升级过程在此不做详述。

（4）SOA概念。SOA是英文词语“Service Oriented Architecture”的缩写，中文有多种翻译，如“面向服务的体系结构”“以服务为中心的体系结构”和“面向服务的架构”，其中“面向服务的架构”比较常见。SOA有很多定义，但基本上可以分为两类：一种认为SOA主要是一种架构风格；另一种认为SOA是包含运行环境、编程模型、架构风格和相关方法论等在内的一整套新的分布式软件系统构造方法和环境，涵盖服务的整个生命周期：建模-开发-整合-部署-运行-管理。后者概括的范围更大，着眼于未来的发展，我们更倾向于后者，认为SOA是分布式软件系统构造方法和环境的新的发展阶段。

国际企业中，德国大众和特斯拉在SOA上做了很多尝试，但由于其系统封闭性，无法推广到整个行业，且没有提供服务接口和开发者平台，平台没办法扩大影响范围。目前，我国汽车产业的软件赋能实践过程中需要开发者快速地、自由地聚焦在上层的业务逻辑，降低开发门槛，缩短整个软件的迭代周期。具有这样特性的开发者平台才能够为开发者提供专业技术支持、开发者学院课程，并组建开发者社区提供交流平台[5]。

SOA开发者平台作为智能车生态的接入侧，承担了智能汽车生态搭建的重要作用，成为OEM、应用开发者与终端用户的桥梁，为生态的繁荣提供了强有力的保证，繁荣整个汽车生态。

我国具有代表性的汽车企业通过对SOA开发者平台的自主自研，进一步丰富智能车车云能力，孵化新形态、新体验的跨端应用。平台将为开发者提供智能应用的验证、商城上架及持续运营的完整方案，赋终端用户实现车辆软件功能的自由订阅、千人千面用车体验和价值共创。

目前SOA开发者平台提供了丰富的软件组件和基础设施，上汽零束SOA 生态合作伙伴也能够通过开发者平台接入。

SOA软件平台框架为行业首创的车载软件框架，可实现整车硬件的全数字化、软件的全服务化、接口的全标准化，可实现域控制器间、车端与云端能力及扩展IOT 的全面打通融合和全域智能化。

4 本专利的创新点

（1）车辆通过从T-BOX到CCU，实现了车辆合法性和人员合法性的三重认证，保证升级过程的真实性、保密性、完整性、可用性、不可抵赖性和可控性，如图5所示。

图5 三重认证过程

（2）HUT通过软件包定制配置，实现了准确地识别云端车辆配置对应的升级包及对比车辆端的配置，提高升级过程的可靠度，实现了SOA的配置服务定制化，如图6所示。

图6 SOA配置服务化

5 本方案车辆端适用的架构

中央计算机-层-区的概念将建立起智能汽车的新架构（如图7所示），区是局部控制、感知与执行单元，层是按照职能划分的资源池，中央计算机是决策大脑，面向应用/服务，调用各层资源，执行高级决策，由区控制单元执行决策或完成态势感知任务。

图7 车辆中心化电子电气架构

6 技术方案中出现的专业术语解释

（1）OTA（over the air technology）即空中下载技术。OTA技术的应用使得移动通信不仅可以提供语音和数据服务，而且还能提供新业务下载，是一种更快的无线技术。它重点解决了一个空间距离的问题，也就是用户不再需要把车开到4S店，在任何一个有网络的地方就可以解决部分问题。

（2）SOA即service oriented architecture的缩写，是面向服务的架构，它提供了一种构建IT组织的标准和方法，并通过建立可组合、可重用的服务体系来减少IT业务冗余并加快项目开发的进程。

（3）数据加密技术主要分为对称加密算法和非对称加密算法两种。①对称加密算法。对称加密算法也称为私钥加密算法，是指加密密钥和解密密钥相同，或者虽然不同，但从其中的任意的一个可以很容易地推导出另一个。其优点是具有很高的保密强度，但密钥的传输需要经过安全的途径。对称加密算法有两种基本类型，分别是分组密码和序列密码。分组密码是在明文分组和密文分组上进行运算，序列密码是对明文和密文数据流按位或字节进行运算。常见的对称加密算法包括瑞士的国际数据加密算法和美国的数据加密标准。②非对称加密算法。非对称加密算法也称为公钥加密算法，是指加密密钥和解密密钥完全不同，其中一个为公钥，另一个为私钥，并且不可能从任何一个推导出另一个。它的优点在于可以适应开放性的使用环境，可以实现数字签名与验证。

7 结语

本发明通过构建OTA升级系统，提高了云端和车辆端软件包匹配的可靠度，并实现了配对软件包的可编辑，从而能够保证提供所有车辆选择合适的软件,尤其适配L3级以上车联网技术架构。