作者：Holger Hilmer

本文原發(fā)表于SAE《自動(dòng)駕駛車(chē)輛工程》雜志

固件OTA數(shù)據(jù)傳輸將推動(dòng)OEM推動(dòng)安全自動(dòng)駕駛

固件空中升級(jí) (FOTA) 可以不斷通過(guò)補(bǔ)丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護(hù)控制設(shè)備的加密算法，從而幫助OEM 更好地應(yīng)對(duì)全球性的汽車(chē)黑客攻擊威脅。

汽車(chē)的角色已經(jīng)從過(guò)去單純的交通工具逐漸演變?yōu)橐环N新的移動(dòng)生活空間。不難想象，在此背景之下，車(chē)輛安全對(duì)所有 OEM 和供應(yīng)商都是頭等大事。不過(guò)，當(dāng)車(chē)輛開(kāi)始變成一種個(gè)人移動(dòng)設(shè)備，允許車(chē)主進(jìn)行通信并使用各種應(yīng)用程序時(shí)，它也開(kāi)始越來(lái)越多地暴露在黑客的攻擊威脅之下。 網(wǎng)聯(lián)汽車(chē)遭受黑客攻擊的新聞已經(jīng)屢見(jiàn)不鮮。在一個(gè)案例中，黑客使用無(wú)線連接成功訪問(wèn)了車(chē)輛的 CAN 總線，而該總線控制著車(chē)輛的許多網(wǎng)絡(luò)單元，這就給了黑客遠(yuǎn)程控制汽車(chē)，甚至在車(chē)輛行駛過(guò)程中關(guān)閉車(chē)輛發(fā)動(dòng)機(jī)的能力。除此之外，其他黑客還曾成功獲得對(duì)車(chē)輛剎車(chē)、門(mén)鎖、空調(diào)和擋風(fēng)玻璃雨刷的控制權(quán)限。這點(diǎn)并不奇怪，因?yàn)檐?chē)輛具備的與外界交換數(shù)據(jù)的接口越來(lái)越多。 隨著更多網(wǎng)聯(lián)車(chē)輛的出現(xiàn)，越來(lái)越多的智能車(chē)輛將開(kāi)始通過(guò)物聯(lián)網(wǎng)（IoT）進(jìn)行通信，這意味著這些汽車(chē)未來(lái)將具備越來(lái)越多的接口，從而導(dǎo)致其遭受黑客攻擊的風(fēng)險(xiǎn)顯著提高。 與黑客之間的“貓鼠游戲” 為了保護(hù)其客戶和自身免受黑客攻擊，汽車(chē)行業(yè)正在竭盡全力地限制黑客可以攻擊車(chē)輛的選項(xiàng)。其中一個(gè)方法是封閉所有無(wú)線接口，但這無(wú)疑是不符合客戶利益的。車(chē)輛需要網(wǎng)絡(luò)連接進(jìn)行數(shù)據(jù)交換，特別是在創(chuàng)新 V2X 基礎(chǔ)設(shè)施服務(wù)和自動(dòng)駕駛汽車(chē)發(fā)展如火如荼的大環(huán)境之下。此外，傳統(tǒng)的召回和門(mén)店升級(jí)方法并不能可靠地保護(hù)車(chē)輛免受數(shù)字攻擊。 召回活動(dòng)會(huì)產(chǎn)生高昂的成本并損害 OEM 的聲譽(yù)，而且修復(fù)所有車(chē)輛的漏洞所需的時(shí)間也更長(zhǎng)，這就給了黑客狂歡的窗口。 事實(shí)上，只要有一輛仍暴露在黑客攻擊威脅之下的車(chē)輛，這都將對(duì)其駕駛員及周?chē)h(huán)境構(gòu)成巨大風(fēng)險(xiǎn)，因此召回活動(dòng)要速戰(zhàn)速?zèng)Q，堅(jiān)決不能拖的太長(zhǎng)。此外，車(chē)輛召回期間還經(jīng)常會(huì)發(fā)現(xiàn)新的漏洞，也就是說(shuō)本輪召回還沒(méi)結(jié)束，安裝的軟件補(bǔ)丁就可能已經(jīng)過(guò)時(shí)了。 另一種方法更常見(jiàn)于應(yīng)用程序和智能手機(jī)的操作系統(tǒng)中，比如定期的更新和補(bǔ)丁。軟件和固件可以通過(guò)移動(dòng)網(wǎng)絡(luò)接口進(jìn)行空中升級(jí)（OTA）。一旦更新完畢，設(shè)備將自動(dòng)解壓并安裝軟件或固件升級(jí)包。汽車(chē)行業(yè)的情況也很類似，固件空中升級(jí)（FOTA）可以幫助廠商在短時(shí)間內(nèi)為大量設(shè)備提供更新。這種方法可以不斷通過(guò)補(bǔ)丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護(hù)控制設(shè)備的加密算法。 許多設(shè)備都可以使用 FOTA 方法進(jìn)行更新。廠商的后端和車(chē)輛中需要更新的設(shè)備之間存在一種媒介，即一個(gè)配備有移動(dòng)網(wǎng)絡(luò)接口的控制單元，也就是蜂窩網(wǎng)關(guān)。該網(wǎng)關(guān)可以通過(guò) OTA 接口接收所有軟件包，并通過(guò) CAN 總線系統(tǒng)或以太網(wǎng)等高性能通信通道將軟件包分發(fā)到各目標(biāo)設(shè)備。作為主設(shè)備，蜂窩網(wǎng)關(guān)還將同時(shí)監(jiān)視和協(xié)調(diào)整個(gè)更新過(guò)程。

蜂窩網(wǎng)關(guān)可以充當(dāng) OEM 后端和待更新控制單元之間的媒介。上圖展示了車(chē)輛配備的各無(wú)線接口；下圖描述了 FOTA 網(wǎng)關(guān)的工作機(jī)制。

OTA 的技術(shù)挑戰(zhàn) FOTA也同時(shí)帶來(lái)了重大的技術(shù)挑戰(zhàn)。首當(dāng)其沖的是如何確保該過(guò)程能夠可靠地得到執(zhí)行，并且不會(huì)帶來(lái)任何額外的漏洞。一旦使用 FOTA 方法將不安全軟件加載到車(chē)輛設(shè)備的權(quán)限落入黑客手中，這無(wú)疑將對(duì)車(chē)輛的數(shù)據(jù)安全和功能安全帶來(lái)不可估量的危險(xiǎn)。因此，空中升級(jí)的接口必須進(jìn)行加密保護(hù)，例如使用 TLS 加密協(xié)議等。 FOTA所需的密鑰和證書(shū)必須以加密的形式傳入設(shè)備且必須具備防篡改能力。此外，還必須在設(shè)備內(nèi)存中開(kāi)辟安全存儲(chǔ)區(qū)專門(mén)用于存放密鑰和證書(shū)。專用硬件安全模塊（HSM）對(duì)于實(shí)現(xiàn)安全內(nèi)存和安全執(zhí)行加密算法至關(guān)重要。目前，防止惡意安裝未經(jīng)授權(quán)的軟件主要靠?jī)蓚€(gè)方法：第一是“安全下載”功能，即采用一種安全的軟件安裝流程；第二是“安全啟動(dòng)”功能，即在設(shè)備開(kāi)始執(zhí)行軟件時(shí)進(jìn)行安全檢查。這兩種方法均需要使用“數(shù)字簽名”驗(yàn)證軟件的真實(shí)性。對(duì)此，開(kāi)發(fā)接口（如 UART、USB 或 JTAG 等）必須在設(shè)備量產(chǎn)后嚴(yán)格禁用或采用加密方法保護(hù)起來(lái)。否則，這些接口可能成為攻擊者嘗試讀出或操作軟件或機(jī)密數(shù)據(jù)的突破點(diǎn)。 仍需做出調(diào)整 除了技術(shù)方面面臨的挑戰(zhàn)，廠商的組織架構(gòu)和發(fā)展方向也必須對(duì)新的環(huán)境作出改變。比如，目前并不是所有廠商均會(huì)進(jìn)行“端到端的威脅分析和風(fēng)險(xiǎn)評(píng)估”，但這種做法應(yīng)該推廣至各廠商的供應(yīng)商需求表中。這些分析有助于識(shí)別供應(yīng)鏈中各組件可能面臨的攻擊情景及其對(duì)車(chē)輛數(shù)據(jù)安全和功能安全的影響。接下來(lái)，廠商可以根據(jù)分析結(jié)果，制定對(duì)應(yīng)的保護(hù)措施。不過(guò)，只有當(dāng) OEM、后端解決方案供應(yīng)商和控制單元制造商從早期開(kāi)發(fā)階段就攜手合作時(shí)才能產(chǎn)生預(yù)期的結(jié)果。 這種做法要求控制單元從簡(jiǎn)單一個(gè)“黑匣子”轉(zhuǎn)變?yōu)楦鼮槿娴木C合性安全控制單元。此外，量產(chǎn)之后也不能放松安全。廠商必須在產(chǎn)品的完整生命周期內(nèi)通過(guò) FOTA 的方法，持續(xù)進(jìn)行安全分析、安全測(cè)試和消除安全漏洞。對(duì)此，即將推出的 ISO/SAE21434 標(biāo)準(zhǔn)“道路車(chē)輛-網(wǎng)絡(luò)安全工程”（Road vehicles –Cybersecurity engineering）為車(chē)輛生命周期的所有階段提供了規(guī)則和指導(dǎo)方針。 FOTA不僅可以為 OEM 帶來(lái)安全方面的收益，而且可以使OEM 免于因軟件問(wèn)題而承受高昂的召回費(fèi)用。屆時(shí)，由于 OEM 可以通過(guò)無(wú)線網(wǎng)絡(luò)將補(bǔ)丁發(fā)送到各車(chē)輛，因此很多問(wèn)題都可以直接得到解決，根本無(wú)需客戶的主動(dòng)參與。FOTA 也有助于重塑商業(yè)模式和客戶關(guān)系，為OEM開(kāi)辟了新的視角，特斯拉就是一個(gè)例子。目前，所有配備 Autopilot 系統(tǒng)的特斯拉車(chē)型都已進(jìn)化為半自動(dòng)駕駛車(chē)輛。 通常來(lái)說(shuō)，新車(chē)只要開(kāi)出經(jīng)銷(xiāo)商的大門(mén)就會(huì)掉價(jià) 50％，隨后價(jià)值將繼續(xù)下降。未來(lái)，OEM 如果可以通過(guò) FOTA 不斷為車(chē)輛賦予新的功能，那么車(chē)輛的價(jià)值可能不會(huì)隨著時(shí)間的推移而大幅下降，而是保持原有價(jià)值，甚至升值。 FOTA 的標(biāo)準(zhǔn)化勢(shì)在必行 Molex公司已經(jīng)認(rèn)識(shí)到，在 FOTA 重塑汽車(chē)行業(yè)的大背景之下，如何確保安全是第一關(guān)鍵的需求。對(duì)此，Molex 與其他志同道合的公司一起成立了一個(gè)名為 eSync 的聯(lián)盟，以滿足汽車(chē) OTA 和車(chē)載網(wǎng)絡(luò)使能技術(shù)的開(kāi)發(fā)和推廣需求。目前，eSync 聯(lián)盟正在努力降低軟件/固件更新及車(chē)輛召回的成本，并優(yōu)化互聯(lián)汽車(chē)的數(shù)據(jù)服務(wù)。 eSync聯(lián)盟將致力于推廣一種“安全、開(kāi)放的端到端 OTA 車(chē)輛數(shù)據(jù)傳輸方法”，解決缺乏 OTA 相關(guān)標(biāo)準(zhǔn)的痛點(diǎn)，進(jìn)而幫助 OEM 更好地推動(dòng)行業(yè)發(fā)展。

作者 Holger Hilmer 博士是 Molex 公司的高級(jí)工程師，目前專注于安全性方面的工作，包括汽車(chē)控制單元的軟件 OTA 更新。

原文標(biāo)題：FOTA 將給自動(dòng)駕駛車(chē)輛數(shù)據(jù)安全帶來(lái)哪些影響？

文章出處：【微信公眾號(hào)：SAEInternational】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。