近年来,随着无线通信技术的发展,作为物联网的分支的车联网也正在迅速发展,传统汽车工业正在发生着巨大而深刻的变化。智能网联汽车如今越来越依赖于网络通信,因此比传统汽车面临更多的安全风险,汽车制造商有责任更好地保护用户数据和隐私甚至生命安全。FOTA(Firmware-Over-the-Air,固件在线升级)技术可以实时动态更新汽车固件,从而可以满足汽车零部件制造商和OEM厂商及时修复控制单元固件漏洞的需求,同时可以通过快速版本迭代逐渐改进和增加汽车功能满足用户需求。然而漏洞修复和功能改进的基础是一个安全可靠的FOTA系统,即FOTA系统本身需要一套成熟且可用的安全机制,以抵御攻击者的非法访问和篡改。因此本文主要分析了当前FOTA系统在其架构设计、通信过程、固件存储与刷写等方面存在的问题、不合理设计及其缺陷漏洞,并通过威胁分析与风险评估方法从欺骗、篡改和拒绝服务等攻击角度分析了其系统安全需求。FOTA系统所面临的威胁可归类为三个方面:车辆终端体系结构威胁,远程和终端传输威胁和车辆终端升级安全威胁,本文针对这些安全威胁相应地研究了国内外的一些解决方案和策略,后进行改进并整合形成了一套FOTA系统的安全机制设计方案。安全机制设计方案中,基于双向认证、数字签名、消息认证码和新鲜度等安全策略对现有通信方案进行加固调整,然后设计实现了FOTA升级的安全业务通信协议方案;并通过以上安全策略实现了车端升级文件的安全校验、加密存储、安全差分还原等过程,保证了升级文件的真实性、完整性、机密性和可用性,同时通过改进设计的多重哈希链验证机制保证FOTA升级时固件刷写与回滚过程的安全。并在此之前设计实现了一个具有升级任务执行功能的基础FOTA系统,介绍了其在架构、功能和业务流程方面的设计思路,并以其作为基础进行安全机制方案的测试验证。