作者：Holger Hilmer

本文原發(fā)表于SAE《自動駕駛車輛工程》雜志

固件OTA數(shù)據(jù)傳輸將推動OEM推動安全自動駕駛

固件空中升級 (FOTA) 可以不斷通過補丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護控制設(shè)備的加密算法，從而幫助OEM 更好地應(yīng)對全球性的汽車黑客攻擊威脅。

汽車的角色已經(jīng)從過去單純的交通工具逐漸演變?yōu)橐环N新的移動生活空間。不難想象，在此背景之下，車輛安全對所有 OEM 和供應(yīng)商都是頭等大事。不過，當(dāng)車輛開始變成一種個人移動設(shè)備，允許車主進行通信并使用各種應(yīng)用程序時，它也開始越來越多地暴露在黑客的攻擊威脅之下。 網(wǎng)聯(lián)汽車遭受黑客攻擊的新聞已經(jīng)屢見不鮮。在一個案例中，黑客使用無線連接成功訪問了車輛的 CAN 總線，而該總線控制著車輛的許多網(wǎng)絡(luò)單元，這就給了黑客遠(yuǎn)程控制汽車，甚至在車輛行駛過程中關(guān)閉車輛發(fā)動機的能力。除此之外，其他黑客還曾成功獲得對車輛剎車、門鎖、空調(diào)和擋風(fēng)玻璃雨刷的控制權(quán)限。這點并不奇怪，因為車輛具備的與外界交換數(shù)據(jù)的接口越來越多。 隨著更多網(wǎng)聯(lián)車輛的出現(xiàn)，越來越多的智能車輛將開始通過物聯(lián)網(wǎng)（IoT）進行通信，這意味著這些汽車未來將具備越來越多的接口，從而導(dǎo)致其遭受黑客攻擊的風(fēng)險顯著提高。 與黑客之間的“貓鼠游戲” 為了保護其客戶和自身免受黑客攻擊，汽車行業(yè)正在竭盡全力地限制黑客可以攻擊車輛的選項。其中一個方法是封閉所有無線接口，但這無疑是不符合客戶利益的。車輛需要網(wǎng)絡(luò)連接進行數(shù)據(jù)交換，特別是在創(chuàng)新 V2X 基礎(chǔ)設(shè)施服務(wù)和自動駕駛汽車發(fā)展如火如荼的大環(huán)境之下。此外，傳統(tǒng)的召回和門店升級方法并不能可靠地保護車輛免受數(shù)字攻擊。 召回活動會產(chǎn)生高昂的成本并損害 OEM 的聲譽，而且修復(fù)所有車輛的漏洞所需的時間也更長，這就給了黑客狂歡的窗口。 事實上，只要有一輛仍暴露在黑客攻擊威脅之下的車輛，這都將對其駕駛員及周圍環(huán)境構(gòu)成巨大風(fēng)險，因此召回活動要速戰(zhàn)速決，堅決不能拖的太長。此外，車輛召回期間還經(jīng)常會發(fā)現(xiàn)新的漏洞，也就是說本輪召回還沒結(jié)束，安裝的軟件補丁就可能已經(jīng)過時了。 另一種方法更常見于應(yīng)用程序和智能手機的操作系統(tǒng)中，比如定期的更新和補丁。軟件和固件可以通過移動網(wǎng)絡(luò)接口進行空中升級（OTA）。一旦更新完畢，設(shè)備將自動解壓并安裝軟件或固件升級包。汽車行業(yè)的情況也很類似，固件空中升級（FOTA）可以幫助廠商在短時間內(nèi)為大量設(shè)備提供更新。這種方法可以不斷通過補丁快速修正漏洞、集成新功能，并現(xiàn)代化安全防護控制設(shè)備的加密算法。 許多設(shè)備都可以使用 FOTA 方法進行更新。廠商的后端和車輛中需要更新的設(shè)備之間存在一種媒介，即一個配備有移動網(wǎng)絡(luò)接口的控制單元，也就是蜂窩網(wǎng)關(guān)。該網(wǎng)關(guān)可以通過 OTA 接口接收所有軟件包，并通過 CAN 總線系統(tǒng)或以太網(wǎng)等高性能通信通道將軟件包分發(fā)到各目標(biāo)設(shè)備。作為主設(shè)備，蜂窩網(wǎng)關(guān)還將同時監(jiān)視和協(xié)調(diào)整個更新過程。

蜂窩網(wǎng)關(guān)可以充當(dāng) OEM 后端和待更新控制單元之間的媒介。上圖展示了車輛配備的各無線接口；下圖描述了 FOTA 網(wǎng)關(guān)的工作機制。

OTA 的技術(shù)挑戰(zhàn) FOTA也同時帶來了重大的技術(shù)挑戰(zhàn)。首當(dāng)其沖的是如何確保該過程能夠可靠地得到執(zhí)行，并且不會帶來任何額外的漏洞。一旦使用 FOTA 方法將不安全軟件加載到車輛設(shè)備的權(quán)限落入黑客手中，這無疑將對車輛的數(shù)據(jù)安全和功能安全帶來不可估量的危險。因此，空中升級的接口必須進行加密保護，例如使用 TLS 加密協(xié)議等。 FOTA所需的密鑰和證書必須以加密的形式傳入設(shè)備且必須具備防篡改能力。此外，還必須在設(shè)備內(nèi)存中開辟安全存儲區(qū)專門用于存放密鑰和證書。專用硬件安全模塊（HSM）對于實現(xiàn)安全內(nèi)存和安全執(zhí)行加密算法至關(guān)重要。目前，防止惡意安裝未經(jīng)授權(quán)的軟件主要靠兩個方法：第一是“安全下載”功能，即采用一種安全的軟件安裝流程；第二是“安全啟動”功能，即在設(shè)備開始執(zhí)行軟件時進行安全檢查。這兩種方法均需要使用“數(shù)字簽名”驗證軟件的真實性。對此，開發(fā)接口（如 UART、USB 或 JTAG 等）必須在設(shè)備量產(chǎn)后嚴(yán)格禁用或采用加密方法保護起來。否則，這些接口可能成為攻擊者嘗試讀出或操作軟件或機密數(shù)據(jù)的突破點。 仍需做出調(diào)整 除了技術(shù)方面面臨的挑戰(zhàn)，廠商的組織架構(gòu)和發(fā)展方向也必須對新的環(huán)境作出改變。比如，目前并不是所有廠商均會進行“端到端的威脅分析和風(fēng)險評估”，但這種做法應(yīng)該推廣至各廠商的供應(yīng)商需求表中。這些分析有助于識別供應(yīng)鏈中各組件可能面臨的攻擊情景及其對車輛數(shù)據(jù)安全和功能安全的影響。接下來，廠商可以根據(jù)分析結(jié)果，制定對應(yīng)的保護措施。不過，只有當(dāng) OEM、后端解決方案供應(yīng)商和控制單元制造商從早期開發(fā)階段就攜手合作時才能產(chǎn)生預(yù)期的結(jié)果。 這種做法要求控制單元從簡單一個“黑匣子”轉(zhuǎn)變?yōu)楦鼮槿娴木C合性安全控制單元。此外，量產(chǎn)之后也不能放松安全。廠商必須在產(chǎn)品的完整生命周期內(nèi)通過 FOTA 的方法，持續(xù)進行安全分析、安全測試和消除安全漏洞。對此，即將推出的 ISO/SAE21434 標(biāo)準(zhǔn)“道路車輛-網(wǎng)絡(luò)安全工程”（Road vehicles –Cybersecurity engineering）為車輛生命周期的所有階段提供了規(guī)則和指導(dǎo)方針。 FOTA不僅可以為 OEM 帶來安全方面的收益，而且可以使OEM 免于因軟件問題而承受高昂的召回費用。屆時，由于 OEM 可以通過無線網(wǎng)絡(luò)將補丁發(fā)送到各車輛，因此很多問題都可以直接得到解決，根本無需客戶的主動參與。FOTA 也有助于重塑商業(yè)模式和客戶關(guān)系，為OEM開辟了新的視角，特斯拉就是一個例子。目前，所有配備 Autopilot 系統(tǒng)的特斯拉車型都已進化為半自動駕駛車輛。 通常來說，新車只要開出經(jīng)銷商的大門就會掉價 50％，隨后價值將繼續(xù)下降。未來，OEM 如果可以通過 FOTA 不斷為車輛賦予新的功能，那么車輛的價值可能不會隨著時間的推移而大幅下降，而是保持原有價值，甚至升值。 FOTA 的標(biāo)準(zhǔn)化勢在必行 Molex公司已經(jīng)認(rèn)識到，在 FOTA 重塑汽車行業(yè)的大背景之下，如何確保安全是第一關(guān)鍵的需求。對此，Molex 與其他志同道合的公司一起成立了一個名為 eSync 的聯(lián)盟，以滿足汽車 OTA 和車載網(wǎng)絡(luò)使能技術(shù)的開發(fā)和推廣需求。目前，eSync 聯(lián)盟正在努力降低軟件/固件更新及車輛召回的成本，并優(yōu)化互聯(lián)汽車的數(shù)據(jù)服務(wù)。 eSync聯(lián)盟將致力于推廣一種“安全、開放的端到端 OTA 車輛數(shù)據(jù)傳輸方法”，解決缺乏 OTA 相關(guān)標(biāo)準(zhǔn)的痛點，進而幫助 OEM 更好地推動行業(yè)發(fā)展。

作者 Holger Hilmer 博士是 Molex 公司的高級工程師，目前專注于安全性方面的工作，包括汽車控制單元的軟件 OTA 更新。

原文標(biāo)題：FOTA 將給自動駕駛車輛數(shù)據(jù)安全帶來哪些影響？

文章出處：【微信公眾號：SAEInternational】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。