隨著軟件定義汽車的發(fā)展，汽車逐步轉(zhuǎn)變?yōu)橐粋€(gè)智能化、可拓展、可持續(xù)迭代升級(jí)的移動(dòng)電子終端。為實(shí)現(xiàn)這一目標(biāo)，整車在標(biāo)準(zhǔn)操作程序前便預(yù)埋了性能超前的硬件，并通過(guò)OTA在生命周期中逐步解鎖和釋放功能和價(jià)值。

由于OTA主要通過(guò)網(wǎng)絡(luò)連接升級(jí)，因此升級(jí)過(guò)程中存在一定的安全風(fēng)險(xiǎn)，例如在FOTA流程中存在傳輸風(fēng)險(xiǎn)和升級(jí)包篡改風(fēng)險(xiǎn)，如終端在升級(jí)流程中缺少驗(yàn)證機(jī)制，黑客可通過(guò)網(wǎng)絡(luò)手段篡改升級(jí)包至車輛終端，進(jìn)而篡改系統(tǒng)，造成行車安全等隱患。

那么汽車在OTA升級(jí)過(guò)程中如何保證安全性呢？今天，我們就先來(lái)聊一聊OTA過(guò)程中的確保傳輸安全的加密驗(yàn)簽方案。

安全性需求

讓我們先來(lái)看看我們傳輸軟件數(shù)據(jù)過(guò)程中可能發(fā)生的四個(gè)主要問(wèn)題：

1

竊聽

A向B發(fā)送的數(shù)據(jù)在傳輸中被C竊聽。

2

假冒

A以為向B發(fā)送了數(shù)據(jù)，然而B有可能是C冒充的，反過(guò)來(lái)毅然。

3

篡改

B確實(shí)收到了A發(fā)送的消息，但是消息中途被C進(jìn)行了修改。

4

事后否認(rèn)

B從A那里收到了消息，但是作為消息發(fā)送者A事后聲稱“這不是我發(fā)的消息“。

第一個(gè)存在的問(wèn)題，比較簡(jiǎn)單，運(yùn)用“加密”技術(shù)就可以解決。

那么后面三個(gè)問(wèn)題，該如何應(yīng)對(duì)呢？這個(gè)就需要運(yùn)用到數(shù)字簽名和驗(yàn)簽機(jī)制了。

加密驗(yàn)簽的安全流程設(shè)計(jì)

眾所周知，常用的加密方法包括非對(duì)稱加密和對(duì)稱加密，比如艾拉比OTA解決方案中，就可以根據(jù)車廠的要求采用對(duì)稱和非對(duì)稱的加密手段，以保證OTA升級(jí)過(guò)程中的安全。目前來(lái)說(shuō)，對(duì)稱加密在安全方案中比較常見，這里不再贅述。以下對(duì)非對(duì)稱加密的安全流程設(shè)計(jì)做分享討論。

首先，非對(duì)稱加密算法需要包含一對(duì)公鑰、私鑰。假設(shè)A和B均準(zhǔn)備好了一對(duì)公鑰、私鑰，同時(shí)A、B的公鑰已提前告知對(duì)方，而私鑰都僅自己可知。準(zhǔn)備工作就緒后， A要給B發(fā)送軟件數(shù)據(jù)，加密驗(yàn)簽流程如下：

第一步加密：A使用B的公鑰將要發(fā)送的明文加密，生成密文；

第二步加簽：A將密文通過(guò)算法生成摘要，并使用A的私鑰對(duì)摘要進(jìn)行加密，即生成簽名值；

傳輸過(guò)程：A將密文及簽名值一同發(fā)送給B。

第三步驗(yàn)簽：B將收到的密文通過(guò)相同的算法生成摘要，并使用A的公鑰對(duì)收到的簽名解密生成摘要，兩個(gè)摘要進(jìn)行對(duì)比，若相同，則驗(yàn)簽成功，若不同則驗(yàn)簽失敗；

第四步解密：B將驗(yàn)簽后的密文使用B的私鑰進(jìn)行解密得到明文；

以上整個(gè)加密驗(yàn)簽流程概括來(lái)說(shuō)就是：公鑰加密，私鑰解密；私鑰簽名，公鑰驗(yàn)證。

總結(jié)和思考

1.除了上述這種流程，是否可以設(shè)計(jì)成其他流程呢？

2.假如明文就是一些無(wú)規(guī)律的且不可破解的二進(jìn)制流，那么加密步驟①是不是可以省去了呢？

3.假如加密步驟①使用對(duì)稱加密算法或者自定義的算法呢？

4.另外，對(duì)于簽名步驟②中的生成摘要，目前一般應(yīng)用較多的就是MD5或哈希算法，摘要加密可使用RSA算法。那是否還有其他算法呢？

這些都留給朋友們來(lái)一起溝通和討論吧。

今天的OTA安全解決方案之加密驗(yàn)簽就分享到這里了。如果你對(duì)OTA技術(shù)有任何疑問(wèn)，歡迎添加下面OTA小助手微信進(jìn)群討論。針對(duì)常見問(wèn)題，我們將不定期召開專題討論，為大家打造一個(gè)開放的技術(shù)溝通平臺(tái)。

編輯：jq