OTA 升級的安全性可以通過多種方式來保障。

首先，整車 OTA 系統(tǒng)主要分為云端、車端、通訊端三部分。云端負(fù)責(zé)諸多管理功能，車端要進(jìn)行升級條件判斷等操作，通訊端負(fù)責(zé)報文傳輸和升級包下載。

目前常見的 OTA 升級校驗?zāi)Ｊ接谢?HASH 算法的完整性校驗和基于簽名算法的簽名校驗。但前者安全性較低，易被攻擊者篡改 HASH 值和校驗邏輯；后者能保證升級包整包的合法性和完整性，但在升級過程中無法對目標(biāo) ECU 升級包進(jìn)行二次驗證，存在安全隱患。

為保障安全性，可基于數(shù)字簽名和消息認(rèn)證碼設(shè)計安全的 OTA 升級方法。數(shù)字簽名能確認(rèn)信息來源，防止偽造、抵賴、篡改等，常見算法有多種。消息認(rèn)證碼分基于分組密碼和基于哈希的，各有特點(diǎn)和適用場景。

在整車 OTA 安全設(shè)計中，由于車端 UC-Master 只能對 OTA 升級整包進(jìn)行校驗，多數(shù) ECU 不具備多線程多任務(wù)處理能力且不支持集成第三方 SDK，所以在 OTA 升級過程中，OEM 廠商可在車端 UC-Master 中集成 PKI-SDK，實(shí)現(xiàn)基于數(shù)字簽名的升級校驗。ECU 根據(jù)自身軟硬件架構(gòu)，用數(shù)字簽名或哈希消息認(rèn)證碼進(jìn)行二次校驗，以充分保障整車 OTA 升級的安全性、可靠性。

車輛 OTA 信息安全存在風(fēng)險來源，包括云服務(wù)器端、網(wǎng)絡(luò)傳輸端、車輛終端、外部互聯(lián)設(shè)備端。應(yīng)對措施包括建立 OTA 數(shù)據(jù)安全閉環(huán)，在云服務(wù)器、網(wǎng)絡(luò)傳輸、車輛終端層面采取相應(yīng)安全措施；構(gòu)建 OTA 數(shù)據(jù)安全管理制度，車企建立相關(guān)體系，納入產(chǎn)品開發(fā)全過程；完善車輛 OTA 數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)體系，明晰具體要求，落實(shí)責(zé)任判定與處罰，吸收國際經(jīng)驗。

在汽車 OTA 升級中，要確保車輛在合適的時間、地點(diǎn)和狀態(tài)下完成升級。升級前云端與車輛通訊監(jiān)測車輛狀態(tài)，符合要求后用戶收到升級提醒，可選擇多種升級方式。獲取軟件包后進(jìn)行安全性和完整性校驗，中間出錯有斷點(diǎn)續(xù)傳和回滾機(jī)制等保護(hù)方式。車端升級完成后向云端報告情況，用于優(yōu)化升級策略。