FOTA會影響到自動駕駛車輛數(shù)據(jù)安全哪些方面

作者：Holger Hilmer

本文原發(fā)表于SAE《自動駕駛車輛工程》雜志

固件OTA數(shù)據(jù)傳輸將推動OEM推動安全自動駕駛

固件空中升級 (FOTA) 可以不斷通過補丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護控制設備的加密算法，從而幫助OEM 更好地應對全球性的汽車黑客攻擊威脅。

汽車的角色已經從過去單純的交通工具逐漸演變?yōu)橐环N新的移動生活空間。不難想象，在此背景之下，車輛安全對所有 OEM 和供應商都是頭等大事。不過，當車輛開始變成一種個人移動設備，允許車主進行通信并使用各種應用程序時，它也開始越來越多地暴露在黑客的攻擊威脅之下。 網聯(lián)汽車遭受黑客攻擊的新聞已經屢見不鮮。在一個案例中，黑客使用無線連接成功訪問了車輛的 CAN 總線，而該總線控制著車輛的許多網絡單元，這就給了黑客遠程控制汽車，甚至在車輛行駛過程中關閉車輛發(fā)動機的能力。除此之外，其他黑客還曾成功獲得對車輛剎車、門鎖、空調和擋風玻璃雨刷的控制權限。這點并不奇怪，因為車輛具備的與外界交換數(shù)據(jù)的接口越來越多。 隨著更多網聯(lián)車輛的出現(xiàn)，越來越多的智能車輛將開始通過物聯(lián)網（IoT）進行通信，這意味著這些汽車未來將具備越來越多的接口，從而導致其遭受黑客攻擊的風險顯著提高。 與黑客之間的“貓鼠游戲” 為了保護其客戶和自身免受黑客攻擊，汽車行業(yè)正在竭盡全力地限制黑客可以攻擊車輛的選項。其中一個方法是封閉所有無線接口，但這無疑是不符合客戶利益的。車輛需要網絡連接進行數(shù)據(jù)交換，特別是在創(chuàng)新 V2X 基礎設施服務和自動駕駛汽車發(fā)展如火如荼的大環(huán)境之下。此外，傳統(tǒng)的召回和門店升級方法并不能可靠地保護車輛免受數(shù)字攻擊。 召回活動會產生高昂的成本并損害 OEM 的聲譽，而且修復所有車輛的漏洞所需的時間也更長，這就給了黑客狂歡的窗口。 事實上，只要有一輛仍暴露在黑客攻擊威脅之下的車輛，這都將對其駕駛員及周圍環(huán)境構成巨大風險，因此召回活動要速戰(zhàn)速決，堅決不能拖的太長。此外，車輛召回期間還經常會發(fā)現(xiàn)新的漏洞，也就是說本輪召回還沒結束，安裝的軟件補丁就可能已經過時了。 另一種方法更常見于應用程序和智能手機的操作系統(tǒng)中，比如定期的更新和補丁。軟件和固件可以通過移動網絡接口進行空中升級（OTA）。一旦更新完畢，設備將自動解壓并安裝軟件或固件升級包。汽車行業(yè)的情況也很類似，固件空中升級（FOTA）可以幫助廠商在短時間內為大量設備提供更新。這種方法可以不斷通過補丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護控制設備的加密算法。 許多設備都可以使用 FOTA 方法進行更新。廠商的后端和車輛中需要更新的設備之間存在一種媒介，即一個配備有移動網絡接口的控制單元，也就是蜂窩網關。該網關可以通過 OTA 接口接收所有軟件包，并通過 CAN 總線系統(tǒng)或以太網等高性能通信通道將軟件包分發(fā)到各目標設備。作為主設備，蜂窩網關還將同時監(jiān)視和協(xié)調整個更新過程。

蜂窩網關可以充當 OEM 后端和待更新控制單元之間的媒介。上圖展示了車輛配備的各無線接口；下圖描述了 FOTA 網關的工作機制。

OTA 的技術挑戰(zhàn) FOTA也同時帶來了重大的技術挑戰(zhàn)。首當其沖的是如何確保該過程能夠可靠地得到執(zhí)行，并且不會帶來任何額外的漏洞。一旦使用 FOTA 方法將不安全軟件加載到車輛設備的權限落入黑客手中，這無疑將對車輛的數(shù)據(jù)安全和功能安全帶來不可估量的危險。因此，空中升級的接口必須進行加密保護，例如使用 TLS 加密協(xié)議等。 FOTA所需的密鑰和證書必須以加密的形式傳入設備且必須具備防篡改能力。此外，還必須在設備內存中開辟安全存儲區(qū)專門用于存放密鑰和證書。專用硬件安全模塊（HSM）對于實現(xiàn)安全內存和安全執(zhí)行加密算法至關重要。目前，防止惡意安裝未經授權的軟件主要靠兩個方法：第一是“安全下載”功能，即采用一種安全的軟件安裝流程；第二是“安全啟動”功能，即在設備開始執(zhí)行軟件時進行安全檢查。這兩種方法均需要使用“數(shù)字簽名”驗證軟件的真實性。對此，開發(fā)接口（如 UART、USB 或 JTAG 等）必須在設備量產后嚴格禁用或采用加密方法保護起來。否則，這些接口可能成為攻擊者嘗試讀出或操作軟件或機密數(shù)據(jù)的突破點。 仍需做出調整 除了技術方面面臨的挑戰(zhàn)，廠商的組織架構和發(fā)展方向也必須對新的環(huán)境作出改變。比如，目前并不是所有廠商均會進行“端到端的威脅分析和風險評估”，但這種做法應該推廣至各廠商的供應商需求表中。這些分析有助于識別供應鏈中各組件可能面臨的攻擊情景及其對車輛數(shù)據(jù)安全和功能安全的影響。接下來，廠商可以根據(jù)分析結果，制定對應的保護措施。不過，只有當 OEM、后端解決方案供應商和控制單元制造商從早期開發(fā)階段就攜手合作時才能產生預期的結果。 這種做法要求控制單元從簡單一個“黑匣子”轉變?yōu)楦鼮槿娴木C合性安全控制單元。此外，量產之后也不能放松安全。廠商必須在產品的完整生命周期內通過 FOTA 的方法，持續(xù)進行安全分析、安全測試和消除安全漏洞。對此，即將推出的 ISO/SAE21434 標準“道路車輛-網絡安全工程”（Road vehicles –Cybersecurity engineering）為車輛生命周期的所有階段提供了規(guī)則和指導方針。 FOTA不僅可以為 OEM 帶來安全方面的收益，而且可以使OEM 免于因軟件問題而承受高昂的召回費用。屆時，由于 OEM 可以通過無線網絡將補丁發(fā)送到各車輛，因此很多問題都可以直接得到解決，根本無需客戶的主動參與。FOTA 也有助于重塑商業(yè)模式和客戶關系，為OEM開辟了新的視角，特斯拉就是一個例子。目前，所有配備 Autopilot 系統(tǒng)的特斯拉車型都已進化為半自動駕駛車輛。 通常來說，新車只要開出經銷商的大門就會掉價 50％，隨后價值將繼續(xù)下降。未來，OEM 如果可以通過 FOTA 不斷為車輛賦予新的功能，那么車輛的價值可能不會隨著時間的推移而大幅下降，而是保持原有價值，甚至升值。 FOTA 的標準化勢在必行 Molex公司已經認識到，在 FOTA 重塑汽車行業(yè)的大背景之下，如何確保安全是第一關鍵的需求。對此，Molex 與其他志同道合的公司一起成立了一個名為 eSync 的聯(lián)盟，以滿足汽車 OTA 和車載網絡使能技術的開發(fā)和推廣需求。目前，eSync 聯(lián)盟正在努力降低軟件/固件更新及車輛召回的成本，并優(yōu)化互聯(lián)汽車的數(shù)據(jù)服務。 eSync聯(lián)盟將致力于推廣一種“安全、開放的端到端 OTA 車輛數(shù)據(jù)傳輸方法”，解決缺乏 OTA 相關標準的痛點，進而幫助 OEM 更好地推動行業(yè)發(fā)展。

作者 Holger Hilmer 博士是 Molex 公司的高級工程師，目前專注于安全性方面的工作，包括汽車控制單元的軟件 OTA 更新。

原文標題：FOTA 將給自動駕駛車輛數(shù)據(jù)安全帶來哪些影響？

文章出處：【微信公眾號：SAEInternational】歡迎添加關注！文章轉載請注明出處。