随着汽车向智能化、网联化方向的快速迈进,固件空中下载技术（FirmwareOver-the-Air,FOTA）凭借其简单性、易用性、灵活性以及可下载性等特性被逐渐应用到汽车领域。FOTA技术能够实现车载软件系统的远程修复及更新,降低车辆维护成本,为用户创造全新的驾乘体验。与此同时,随着移动通信技术的蓬勃发展和智能网联汽车（Intelligent Connected Vehicle,ICV）的日趋普及,汽车电子功能特性和汽车软件数量皆飞速增长,这对目前大面积运用的汽车分布式电子电气（Electrical/Electronic,E/E）架构提出了更高层次的要求。域控制器（Domain Controller Unit,DCU）这一概念的问世,使得车辆逐步走向域集中式或跨域集中式的E/E架构,最终达到车、云端协同控制,赋能未来智能网联汽车。FOTA技术能够助力DCU持续迭代升级,使车企以更快的速度部署新软件,不断完善车载DCU的功能特性。由于系统模块数量越少、内部架构越一致,越能轻松地实现汽车FOTA升级,域集中式的E/E架构能够把散布在车身四周的控制单元（Electronic Control Unit,ECU）集中在一个DCU内,仅需对DCU执行一次FOTA升级功能即可实现车端全部ECU的升级,减少了各ECU进行认证解密和防篡改的工作量。虽然域集中式的E/E架构为FOTA技术带来了诸多便捷性,但由于车载FOTA系统的网络通信架构中缺乏有效的以太网加密和认证机制,将FOTA技术应用于DCU软件升级仍存在着一些信息安全隐患。因此,在车载域控制器架构的基础上,探讨如何满足FOTA升级过程中的安全性和实时性需求,具有一定的研究意义。本文首先对车载DCU技术和汽车FOTA升级机制进行了归纳,总结了面向车载域控制器架构的安全FOTA升级需求来源。其次通过分析汽车FOTA升级和车载以太网的信息安全风险及需求,在传统车载FOTA系统架构中提出一种新的DCU概念——“FOTA DCU”,并结合该“FOTA DCU”搭建了一个新型的车载FOTA升级系统。最后针对该新型车载FOTA系统架构中缺乏加密和认证机制导致潜在安全风险的问题,设计出了一套国密混合加密算法。本文的主要研究内容大致涵盖以下几部分:（1）提出了基于“FOTA DCU”的车载FOTA系统架构,阐述了该车载FOTA系统中ECU单元的具体刷写流程;提出了一种面向车载DCU的以太网安全通信策略;分析了上述新型车载FOTA架构中存在的安全风险,根据国密算法设计出了一套基于车载域控制器架构的安全FOTA升级方法,并介绍了国密混合算法的加、解密流程及密钥定期机制;（2）分析了上述面向车载域控制器架构的安全FOTA升级方法中应用的国密SM2、SM3和SM4算法的加密原理,并深入分析了本文设计的国密混合加密算法的实现流程及原理。从汽车ECU固件刷写流程出发,详细分析了融入上述密码学算法的面向车载域控制器架构的安全FOTA升级方法的安全性原理;（3）搭建了基于iTOP-4412开发板和STM32 F103ZET6开发板的模拟实验平台对该安全FOTA升级方法进行测试分析。实验结果表明,该安全升级方法正确实现了更新包的加、解密流程,并且能够在满足车载以太网时间复杂性和空间复杂性需求的前提下,防御第三方攻击节点发起的窃听攻击、篡改攻击和重放攻击。