基于TGW 的整车OTA 系统安全设计

摘要：随着智能汽车电子电气架构的复杂化，整车电控部件全生命周期管理面临多重挑战：传统基于诊断仪的现场刷写方案存在人工依赖度高、操作效率低的问题，而现有远程升级（OTA）技术则面临车载通信模块分立部署导致的硬件冗余及协议传输效率不足的瓶颈。文章提出一种集成式车载网关（TGW）架构，通过融合传统车载T-BOX（Telematics Box）与车载Gateway 功能，在硬件层面实现模块整合以消除冗余，在外网通信协议层采用超文本传输安全协议（HTTPS）加密传输机制保障固件下载过程的数据安全性，在内网通信协议层采用自主研发的符合ISO 14229 标准的统一诊断服务（UDS）协议栈，具有自主可控的特点。该架构创新性地实现了对整车电子控制单元（ECU）固件的集中式远程主控刷写管理，经测试验证，系统通信效率较分立方案提升32%，网关报文转发吞吐量提升至2.1 Gbps。研究成果有效解决了车载系统OTA 升级中的资源冗余、安全风险和管理分散问题，为智能网联汽车的全生命周期软件管理提供了高效可靠的解决方案。

随着智能汽车电子电气架构的复杂化演进，从研发设计、量产制造到售后维护的全生命周期中，控制器升级需求呈现指数级增长趋势。传统基于诊断仪的现场刷写或在线升级方案[1]存在人工依赖度高、操作效率低的问题，而现有远程升级（Over-The-Air, OTA）技术则面临车载通信模块分立部署导致的硬件冗余及协议传输效率不足的瓶颈。本研究提出一种集成式车载网关（TelematicsGateway, TGW）架构，通过融合传统 T-BOX（Telematics Box）与车载网关功能，能够减少硬件冗余，提高系统通信速率；并且基于该TGW，对整车OTA 系统进行了安全设计、对整车电子控制单元（Electronic Control Unit, ECU）即固件进行了集中管理和统一刷写，为汽车厂商能够及时修复漏洞、优化性能、推出新功能，提供了高效、安全、可靠的解决方案。

1 整车OTA 系统架构

整车OTA 系统框图如图1 所示，它由TGW和处于内部的控制器局域网（Controller AreaNetwork, CAN）的ECU，如车身控制模块（BodyControl Module, BCM）、自动变速箱控制单元（Transmission Control Unit, TCU）、发动机管理系统（Engine Management System, EMS）、电机控制器（Intelligent Power Unit, IPU）等组成。整个OTA系统由内部CAN网络中的ECU和外部移动互联网中的OTA 云平台、PKI/CA[2-4]云平台等组成。处于内网的这些ECU，无移动网络通信功能，不能直连外部网络中的OTA 平台，需要TGW 进行安全中转。

TGW 是整车OTA 系统中的关键节点。它一方面提供网络安全通信连接，从OTA 云平台下载升级固件包；另一方面，它作为OTA 主控节点，通过CAN 总线，控制着整车ECU 固件的集中管理和统一升级。

2 基于TGW 的OTA 系统设计

2.1 传统T-BOX 和车载网关分立方案

传统分立方案如图2 所示，T-BOX 和网关分立，它存在如下缺点：

1）硬件冗余：独立部署的T-BOX 与网关均需集成CAN/灵活数据速率的控制器局域网（Controller Area Network with Flexible Data-rate,CANFD）模块，导致资源重复。

2）通信瓶颈：T-BOX 和网关通信，依赖传统CAN/CANFD 接口，存在带宽受限（典型速率≤2 Mbps）、延迟高、扩展性不足等问题。

3）T-BOX 作为外网节点，可以直接访问内部CAN 网络，存在网络安全隐患。

2.2 TGW 集成式车载网关方案

TGW 集成式车载网关方案如图3 所示，它基于异构双核处理器架构，通过硬件级功能隔离与动态资源分配实现性能跃升。

1.双核分工与资源隔离

应用核（A 核）：控制无线通信模块（4G/5G）与HSM，保障与OTA 云平台的安全连接；实时核（R 核）：管理CAN/CANFD 及ETH 通信模块，执行网关路由转发与UDS 诊断刷写功能。

优势：物理隔离T-BOX 协议栈与网关路由功能，避免了将内部CAN 网络直接暴露在T-BOX外网节点上所带来的安全隐患，同时，还规避了资源竞争，优化了实时性。

2.零拷贝传输与动态带宽分配

双核通过内存映射共享区域直接交互，消除数据拷贝开销；按任务负载动态分配带宽，突破传统总线速率限制。

性能提升：通信效率提升32%，报文转发吞吐量达2.1 Gbps，支持高并发车载数据流。

3.功能安全强化

异构双核架构满足ISO 26262 ASIL-B 等级要求，可确保关键任务（如OTA 升级、诊断）的可靠性与实时性。

4.通信安全强化

基于HSM，支持国密SM2/SM3 国密算法，具备数字签名[5]的制作、查询、验证和解析等功能，可以对通讯数据进行加密传输和对控制信令进行数字签名及验证，保证数据不被伪造或篡改。

此外，公私钥对由硬件加密芯片内部生成，私钥保存在硬件加密芯片内部，不会暴露在芯片外面，有效避免了私钥被窃取风险。

3 整车OTA 固件下载安全设计

分立方案中，T-BOX 通过CAN 接口可以直接访问内部CAN 网络；该TGW 集成式网关方案中，T-BOX 功能由A 核实现，A 核并不直接访问内部CAN 网络，需经过R 核隔离后才能访问内部CAN网络，这从硬件上将外部移动网络和内部CAN 网络进行了隔离，提升了网络通信安全性。此外，该TGW 集成式网关方案，在硬件加密芯片提供的加解密算法和签名、验签算法基础上，集成了传输层安全协议（Transport Layer Security, TLS）双向身份认证、HTTPs 加密下载、SM2 固件签名验签功能模块，从而进一步保证了整车OTA 系统的安全性、完整性。

3.1 OTA 双向身份认证

TGW与OTA云平台之间采用TLS[6]双向认证技术。TLS 双向认证握手过程如下：

1）双方交换证书，相互认证；

2）双方协商生成“对话密钥”；

3）双方采用“对话密钥”进行加密通信。

通过基于TLS 双向认证机制实现TGW 与OTA 云平台的双向身份验证，可有效抵御中间人攻击[7-8]，从源端确保ECU 固件升级包在传输链路中的安全性。

3.2 OTA 安全下载

OTA 下载采用HTTPS[4]（HTTP ON TLS）技术或基于TLS的传输控制协议（Transmission ControlProtocol, TCP）包加密传输技术。在TGW 与OTA 云平台，利用PKI/CA 证书，进行TLS 双向认证身份成功后，会在TGW 与OTA 云平台之间建立一条加密通道。随后，TGW 通过HTTP[9-10] POST请求方法，可从 OTA 云平台获取 ECU 固件加密包，不受网络波动影响，支持断点续传。ECU 固件包从上传、下载到验签的流程如图4 所示。

1.椭圆曲线参数

定义一个椭圆曲线Ep：y2=x3+ax+b(mod p) （1）

式中，p 为一个大素数，定义有限域；a,b 为曲线的参数，满足 4a3+27b2≠0；基点G(x,y)用于生成密钥；阶n：基点G 的最小正整数倍满足nG=O（椭圆曲线上的无穷远点）。

2.密钥对

私钥d：取值范围为 [1,n-1]的随机整数。

公钥P：由P = d×G 计算得到。

3.签名过程

SM2 签名生成一个(r,s)对，主要包括以下步骤：

1）消息预处理，使用 ZAtext{ZA}ZA（杂凑辅助信息）生成预处理哈希值：

ZA=H(ENTL||ID||a||b||Gx||Gy||Px||Py) （2）

式中，ENTL 为用户标识长度；ID 为用户标识；H为哈希函数。

将消息M 与ZA 拼接后进行哈希：

e=H(ZA||M) （3）

2）生成随机数k：随机生成 k∈[1,n-1]。

3）计算r 和s：

r=(e+k×Gx) mod n （4）

式中，对括号表达式的计算值取模n，得到签名分量r ，如果r=0 或r+k=n，重新生成k。

s=((1+d)−1×(k−r ×d)) mod n （5）

式中，对括号表达式的计算值取模n，得到签名分量s，如果s=0，重新生成k。

4）输出签名：签名对为(r,s)。

4.验签过程

验证方通过以下步骤验证签名(r,s)的有效性：

1）检查签名：

确保r 和s 满足1≤r, s≤n−1。

2）计算辅助值：

使用同样的ZA 和消息M 利用式（3）计算哈希值e。

3）计算验证参数：

计算辅助值t：

t=(r+s)mod n （6）

式中，如果t=0，签名无效。计算椭圆曲线点Q：Q=s×G+t×P （7）

式中，提取点Q 的x 坐标Qx。

4）验证签名：

r=(e+Qx)mod n （8）

检查式（8）是否成立。若成立，签名有效；否则无效。

当TGW 对ECU 固件包验证签名，对比哈希算法值相等通过后，可以确定当前固件包来自OTA 云平台，数据包是完整未被纂改的。完成固件完整性校验后，整车OTA 系统将转入OTA 刷写流程。

4 整车OTA 固件集中管理、统一刷写方案设计

通过OTA 下载的固件包和回滚包，保存到TGW 内部8 Gbit 的嵌入式多媒体卡（EmbeddedMultiMediaCard, EMMC）中，并根据ECU 名称进行分类集中管理，方便对整车ECU 进行固件更新或回滚。

整车OTA 刷写技术，这里采用自主研发的符合ISO14229 标准的UDS[11]协议栈，对整车其他ECU 进行统一主控刷写。对于底层是CAN 网络，采用UDS ON CAN[12]技术；对于底层是车载以太网，采用基于IP 的诊断协议（Diagnostic communicationover Internet Protocol, DoIP）[13]技术进行固件刷写。

对于TGW 自身固件升级，在固件运行区、下载区基础上，增加了原固件备份区。若TGW 自身固件升级失败，自动回滚到原固件版本，避免固件损坏导致设备失效。对于非TGW 自身固件升级，TGW 作为主控节点，控制整车其他ECU（从控节点）固件升级，其刷写流程如图5 所示。

升级过程需要传输固件数据到ECU，采用UDS协议。基于UDS协议的刷写流程如图6所示。

5 测试验证

5.1 搭建测试环境

TGW 插上4G/5G SIM 卡，配置好网络参数，连接上OTA 平台；通过汽车主机厂要提供的BCM、IPU 等测试设备，构建出9 路CAN 和2 路CANFD。

5.2 与OTA 平台TLS 认证测试

利用TCP 数据抓包，可以得到如图7 所示的双向认证过程数据，从图中可以看出从ClientHello 开始的证书交换双向认证过程。

5.3 ECU 固件刷写测试

从其中一路CAN 上采集该通道上ECU 固件刷写过程数据，部分数据如图8 所示，从图中可以看出，ECU 固件包被拆分成UDS 多包形式发送给ECU 进行刷写。

1）路由转发测试。连续测试1h，测试结果如表1 所示，T-BOX 和网关分立方案，T-BOX 和网关之间采用CAN/CANFD 通信，报文转发最大吞吐量为8 Mbps，而集成式车载网关转发吞吐量可达到2.1 Gbps。

2）OTA 升级成功率。连续测试1 000 次，测试结果如表2 所示，整车OTA 升级成功率高达99.9%以上，达到了业内领先水平。

6 结论

本文基于TGW 集成式车载网关方案，对整车OTA 进行了系统安全设计，有效解决了车载系统OTA 升级中的资源冗余、安全风险和管理分散问题，并成功应用到国内多个整车厂项目中，取得了良好的经济效益和如下技术效果：

1）异构双核处理器通过双核协同创新性设计，使系统通信效率较分立方案提升了32%，网关报文转发吞吐量提升至2.1 Gbps，同时，还满足ISO 26262 ASIL-B 级功能安全等级要求，显著增强了系统实时性与安全性。

2）基于PKI/CA 证书的TLS 双向身份认证，保证OTA 升级时，平台和TGW 都是合法的，而非第三方假冒的。

3）OTA 固件包通过网络下载时，固件包带签名，TGW 具备验签功能，能识别出OTA 固件包是否来自OTA 平台，以及在网络传输过程中是否被纂改。

4）OTA 固件包通过网络下载时，数据包是加密的。网络监听者只能获取到加密数据，避免了数据泄密风险。

5）以TGW 为主控节点，对整车OTA 固件包进行了集中管理和统一处理，实现了基于UDS 的整车ECU 固件刷写功能，并支持单一ECU、多ECU 关联升级和多通道ECU 并发升级。

6）对于TGW 主控节点自身固件更新，通过增加备份区，实现了升级失败自动回滚到历史版本功能。