最近許多起針對互聯(lián)汽車的黑客攻擊已經(jīng)引起了巨大轟動(dòng)，這對系統(tǒng)的安全性提出了挑戰(zhàn)。通常情況下，可以使用無線連接來獲得對CAN總線的訪問權(quán)限，該總線在車輛內(nèi)部可以將大量的控制單元互連起來。如此一來，就可以實(shí)現(xiàn)對制動(dòng)、油門、門鎖、空調(diào)系統(tǒng)、雨刷及其他功能的遙控。

對汽車的這類黑客攻擊近期經(jīng)常登上新聞的頭條。這并不特別令人吃驚，因?yàn)樵絹碓蕉嗟能囕v自身都已配備了接口，用來與外部進(jìn)行數(shù)據(jù)交換。

車輛已經(jīng)成為了一個(gè)移動(dòng)的生活空間；汽車正在發(fā)展成為一種移動(dòng)設(shè)備。尤其對于年輕一些的客戶來說，對舒適功能的需求正不斷增長，以便隨時(shí)保持互連，或者通過應(yīng)用來共享油耗或功率輸出之類的車輛數(shù)據(jù)，以便隨后的評(píng)估。

因此，互聯(lián)汽車已經(jīng)成為了現(xiàn)實(shí)。這一課題不僅與客戶和制造商有關(guān)，而且還使安全研究人員和 IT專家參與到其中。并且，在最壞的情況下，還會(huì)涉及到從事犯罪的黑客。多年以來，安全專家們都已經(jīng)注意到了這樣一個(gè)事實(shí)，那就是個(gè)人電腦已經(jīng)不再是數(shù)字攻擊的唯一目標(biāo)了?，F(xiàn)在很大一部分的惡意軟件都經(jīng)過定制，可以攻擊移動(dòng)設(shè)備。如果認(rèn)為這一發(fā)展趨勢不會(huì)影響到互聯(lián)汽車，那就未免太草率了。

到目前為止，對車輛以及車輛系統(tǒng)的具有犯罪性質(zhì)的黑客攻擊只不過屬于極少數(shù)的例外情況。但是，互聯(lián)汽車的安全性至關(guān)重要，這一點(diǎn)目前對于 OEM 來說已經(jīng)是顯而易見的了。當(dāng)汽車成為一種車主用來通信的個(gè)人移動(dòng)設(shè)備、并且還可能通過應(yīng)用來實(shí)現(xiàn)個(gè)性化時(shí)，這種設(shè)定就會(huì)在很大程度上受到潛在攻擊者的操縱。

空中軟件更新保證安全

但是，汽車業(yè)如何來保護(hù)自身以及客戶來免受數(shù)字攻擊呢？對于汽車業(yè)的一部分從業(yè)者來說，全部采用空中接口一直是他們長期以來傾向于采納的理念，但是這并不符合客戶的利益。對數(shù)據(jù)交換連接的需求也明顯的顯現(xiàn)在創(chuàng)新性的V2V或 V2I服務(wù)當(dāng)中，這些服務(wù)將會(huì)進(jìn)一步的發(fā)展，在這方面還與自動(dòng)駕駛存在一定的關(guān)系。因此，從今以后，并沒有任何辦法來完全地避免在車輛中使用藍(lán)牙、無線局域網(wǎng)或者蜂窩通信。

另一方面，傳統(tǒng)的方法—— 召回或者在汽車修理廠采取補(bǔ)救工作，也將無法及時(shí)的保護(hù)車輛免受數(shù)字攻擊。此外，召回活動(dòng)會(huì)產(chǎn)生高昂的費(fèi)用，并會(huì)損害汽車制造商的聲譽(yù)。

在與汽車黑客的競賽中，以這種方式來取勝顯然是不可能的。通過這種方式來為全部波及到的車輛打補(bǔ)丁畢竟需要花費(fèi)數(shù)月的時(shí)間。與此同時(shí)，黑客還會(huì)繼續(xù)進(jìn)行他們的惡作劇。然而，在這樣一個(gè)時(shí)間段內(nèi)避開危險(xiǎn)會(huì)令人無法接受，因?yàn)槭艿讲倏v的車輛會(huì)為駕駛員及其所處的環(huán)境帶來巨大的風(fēng)險(xiǎn)。此外，在很多情況下，在這樣一段時(shí)間內(nèi)還可以進(jìn)一步的發(fā)現(xiàn)車輛的薄弱之處。因此，補(bǔ)丁在安裝時(shí)就已經(jīng)過時(shí)了。

那么讓我們來了解一下移動(dòng)設(shè)備的世界，以便找到一種方法來取代維修召回：App和智能手機(jī)操作系統(tǒng)的供應(yīng)商不斷地為終端設(shè)備提供最新版本的產(chǎn)品。有時(shí)候，幾個(gè)小補(bǔ)丁即可對弱點(diǎn)作出彌補(bǔ)，而在其它情況下包含新功能在內(nèi)的新版本則會(huì)向市場發(fā)布。

軟件和固件上的這類更新以“空中 （OTA）”的形式交付，也就是說，通過空中接口的方式來交付。只要傳輸?shù)搅嗽O(shè)備上，這些更新馬上就會(huì)提取出來，自動(dòng)安裝。

對于即時(shí)地為多臺(tái)設(shè)備使用最新的更新時(shí)遇到的挑戰(zhàn)來說，空中固件升級(jí) （FOTA） 可以解決這個(gè)問題。比如說，更新程序提供相應(yīng)的補(bǔ)丁快速、連續(xù)地為薄弱點(diǎn)作出補(bǔ)救，與此同時(shí)整合起新的功能并采用現(xiàn)代化的加密算法，從而確?？刂茊卧陌踩?。

為了確保大量的控制單元可以通過 FOTA 方式進(jìn)行更新，我們采用了網(wǎng)關(guān)的方法。在后端以及要更新的控制單元之間，配有移動(dòng)無線接口的一個(gè)控制單元可以扮演中間人的角色。該控制單元可通過空中接口接收所有的軟件包，然后再通過 CAN 總線系統(tǒng)或者以太網(wǎng)之類的、性能更高的通信信道，將軟件包分發(fā)給各臺(tái)目標(biāo)設(shè)備。此外，網(wǎng)關(guān) ECU 還具有控制和協(xié)調(diào)整個(gè)更新過程的主功能。例如，如果出錯(cuò)，那么就必須啟動(dòng)回滾機(jī)制。

范式轉(zhuǎn)換

除了可以通過 FOTA 來彌補(bǔ)安全上的缺口以外，當(dāng)然，在設(shè)備端還需要許多其他的技術(shù)措施，例如對全部 ECU 接口采取密碼保護(hù)，這一措施對于移動(dòng)通信、藍(lán)牙和無線局域網(wǎng)條件下的無線訪問尤其適用。

另外，需要采用相應(yīng)的配置和開發(fā)流程來適應(yīng)新的環(huán)境。例如，端對端的風(fēng)險(xiǎn)分析不能作為一項(xiàng)通則，但是到目前為止，這應(yīng)當(dāng)作為制造商向供應(yīng)商提出的要求中的一個(gè)強(qiáng)制性部分。在這一工作中，對該鏈條上的任何組成部分發(fā)起攻擊的可能場景都會(huì)接受詳細(xì)檢查，其中就包含了對安全性的影響以及最終對于功能安全的影響。在這些結(jié)果的基礎(chǔ)上，可以采取充分的防護(hù)措施。只有 OEM、后端解決方案的供應(yīng)商以及控制單元的制造商從早期的開發(fā)階段就展開合作，才能保證采用這種方法能取得一定的成功。

該方法要求不再對控制單元采用黑箱的開發(fā)方法，而是通過一種全局的方式來確保安全性。此外，在生產(chǎn)開始后，不得再終止安全措施的提供和維護(hù)工作。在任何產(chǎn)品的整個(gè)壽命期間，都必須持續(xù)地開展安全分析、面向安全的測試以及 FOTA 提供的、針對安全漏洞的補(bǔ)救措施。

比如說，與安全的開發(fā)和生產(chǎn)過程有關(guān)的組織措施可以包含對秘鑰和證書之類機(jī)密數(shù)據(jù)訪問方式的控制操作，以及安全相關(guān)組件的開發(fā)規(guī)范。這類數(shù)據(jù)和文檔必須以加密的形式存儲(chǔ)在受保護(hù)的服務(wù)器中，訪問權(quán)限則以認(rèn)證的方式僅限于極少數(shù)的幾個(gè)人。

此外還必須特別重視面向安全的測試。尤其是滲透測試，這使查明安全漏洞成為了可能。通過采用黑客的手段和方法，測試人員可以有意地嘗試侵入到系統(tǒng)當(dāng)中。獲得的結(jié)果可以表明當(dāng)前的安全級(jí)別，并且將告知開發(fā)人員采取相關(guān)的應(yīng)對措施，從而將關(guān)鍵的薄弱點(diǎn)封堵起來。

技術(shù)挑戰(zhàn)

只要看一看 FOTA 的過程鏈以及涉及到的功能單元，您就可以了解到其中的復(fù)雜性以及極高的技術(shù)要求。

安全性在這方面的優(yōu)先級(jí)最高。對于 FOTA 過程本身是否可以安全實(shí)現(xiàn)而無需承受任何潛在的其它攻擊，我們必須獲得相應(yīng)的保證。如果 FOTA 發(fā)生濫用，錯(cuò)誤地將受操縱的軟件引入到一臺(tái)設(shè)備中，那么在安全性方面、以及甚至最終在功能安全方面，造成的后果可能會(huì)是無法估量的。

空中接口的加密保護(hù)對于安全的 FOTA 機(jī)制來說是一個(gè)先決條件。通常的做法是以 TLS 的方式建立起安全連接。這里所需的秘鑰和證書必須以保密和防止被操縱的安全方式引入到設(shè)備當(dāng)中，然后存放在設(shè)備中一個(gè)受保護(hù)的存儲(chǔ)位置。對于實(shí)現(xiàn)安全存儲(chǔ)并且安全地執(zhí)行加密程序來說，專用的硬件安全模塊 （HSM） 是不可或缺的。

采用安全安裝流程（安全閃存）以及在啟動(dòng)設(shè)備軟件時(shí)采取面向安全的檢驗(yàn)（可信引導(dǎo)），可以避免受操縱的軟件遇到安裝錯(cuò)誤。在任意一種機(jī)制下，都可以通過數(shù)字簽名來驗(yàn)證軟件的真實(shí)性。

UART、USB 或者 JTAG 之類的開發(fā)接口也必須在串行產(chǎn)品上停用，或者通過加密程序來獲得保護(hù)，從而防止對設(shè)備的侵入。否則，攻擊者可能會(huì)通過上述渠道去嘗試讀取或者操縱軟件或機(jī)密數(shù)據(jù)。

除了安全執(zhí)行 FOTA 流程之外，還應(yīng)該快速有效地完成操作。一方面，移動(dòng)通信的數(shù)據(jù)量以及相應(yīng)的成本也應(yīng)保持在最低程度。另一方面，應(yīng)當(dāng)盡可能減少對車主的妨礙。

通過增量更新可以實(shí)現(xiàn)高效的處理。在這一過程中，對已裝機(jī)軟件的更改只會(huì)以二進(jìn)制或者文件的方式來傳輸和安裝。采用的 Delta 算法以及劃分到靜態(tài)和可更改數(shù)據(jù)區(qū)的軟件分區(qū)都會(huì)對數(shù)據(jù)包的大小產(chǎn)生顯著的影響。

FOTA 過程必須極其的穩(wěn)健并具有極高的容錯(cuò)性，從而避免安裝上不兼容、崩潰或者不一致的軟件，否則會(huì)使功能損壞。出于這一原因，通過完整性檢查以及對通信信道的監(jiān)管來識(shí)別出錯(cuò)誤非常的重要。出錯(cuò)時(shí)，需要做出適宜的響應(yīng)，例如，可以通過回滾操作的方式，重新建立起無差錯(cuò)的狀態(tài)。

作為FOTA網(wǎng)關(guān)的遠(yuǎn)程信息控制單元

從技術(shù)的角度來說，任何配有移動(dòng)無線電通信功能的控制單元都可以發(fā)揮 FOTA 網(wǎng)關(guān)的作用。然而，遠(yuǎn)程信息控制單元 （TCU） 比其它器件更能勝任這一任務(wù)。比如說，許多車輛中的音響主機(jī)也可以作為整體組成部分之一，此外還應(yīng)具備充足的存儲(chǔ)空間和處理能力。然而，大部分的音響主機(jī)都含有大量的無線接口。

畢竟，根據(jù)要求，這一單元需要通過藍(lán)牙、WiFi 或者 NFC 來獲取外部資源，此外還存在著許許多多的要求。這種對于外部世界的開放性妨礙了通過有效的防護(hù)能力來避免受到操縱。

此外還有一個(gè)事實(shí)就是，這一單元直接安裝在儀表板上，這就不可能將音響主機(jī)定義為 FOTA 中央網(wǎng)關(guān)。畢竟黑客可能也會(huì)在這里很容易的進(jìn)行物理訪問。

然而，TCU 的物理位置在車輛內(nèi)部更深處，難以從車輛的內(nèi)部操作?？偠灾?，它的連接數(shù)量更少，在需要時(shí)還可以停用。

并且，到現(xiàn)在為止，TCU 已經(jīng)在提供許多其它對于安全性至關(guān)重要的功能，例如防盜控制系統(tǒng)的遠(yuǎn)程激活等等。正是有了這些關(guān)鍵的安全功能，為 TCU 建立的各類安全措施，例如后端的編碼和驗(yàn)證等等，都成為了理所當(dāng)然的事情。TCU 畢竟已經(jīng)成為了安全拓?fù)渖弦环N確立已久的成熟組成部分，被制造商廣泛采用。

為了確保車輛的安全，我們需要采取整體性的解決方案，因而這已成為一項(xiàng)優(yōu)勢。后端、空中接口、網(wǎng)關(guān)、車輛總線以及各個(gè)控制單元都是這一鏈條上的關(guān)鍵環(huán)節(jié)。如果鏈條上最薄弱的部分受到攻擊，那么所有其他單元的安全也會(huì)存在漏洞。

對于 TCU 作為 FOTA 架構(gòu)核心的項(xiàng)目，從安全的角度來說，這類項(xiàng)目享受到的優(yōu)勢不僅僅在于 TCU 組件已經(jīng)高度的成熟，還有在制造方面，供應(yīng)商和 OEM 在安全流程的設(shè)計(jì)上也具有相對豐富的經(jīng)驗(yàn)。

FOTA中進(jìn)一步的附加值

對于為什么通過 TCU 來建立起 FOTA 可以為 OEM 帶來巨大的潛力，安全上的顧慮并不是唯一的原因。

召回工作代價(jià)高昂，由于成本和人工的原因，并不受到客戶的歡迎，因此在車輛中出現(xiàn)薄弱點(diǎn)時(shí)，不會(huì)再作為一種不可避免的后果，至少在處理軟件相關(guān)的問題時(shí)會(huì)這樣。許多問題實(shí)際上無需在客戶端采取任何操作即可良好解決，只要補(bǔ)丁可以通過無線的方式送達(dá)車輛，車輛中許許多多種薄弱點(diǎn)的補(bǔ)救措施就不會(huì)再需要物理上的接觸了。

而且，在建立新的業(yè)務(wù)模式與客戶關(guān)系時(shí)，F(xiàn)OTA 也可以發(fā)揮極具支持性的作用。美國汽車制造商特斯拉的例子就很好地證實(shí)了這一點(diǎn)。

在這家公司向客戶提供的一次收費(fèi)約 2 千美元的更新中，包含了自動(dòng)駕駛功能。這樣一來，許多的特斯拉汽車都已在繼續(xù)演變成為（部分的）自動(dòng)駕駛汽車。

對于 OEM 來說，這種業(yè)務(wù)設(shè)置開辟了一個(gè)嶄新的視角。當(dāng)今一個(gè)普遍的情況就是，只要一離開最初的銷售地點(diǎn)，一輛新車的價(jià)值馬上就會(huì)下跌一半。并且，隨著時(shí)間的推移，價(jià)值還會(huì)繼續(xù)遞減。未來，隨著時(shí)間新的功能會(huì)不斷推出，車輛可能并不一定會(huì)喪失價(jià)值，而且實(shí)際上價(jià)值還可能會(huì)得到保留甚至增加。

那么，到現(xiàn)在為止，F(xiàn)OTA 已經(jīng)不再是一種煩人的承諾。這種更新程序的重要性不僅在于可以為互聯(lián)汽車提供基本的先決條件來確保安全。而且，在這一基礎(chǔ)上，OEM 可以不斷的在車輛上創(chuàng)造出附加值，確保客戶的忠誠度，并且在銷售完成后的很長時(shí)間內(nèi)都會(huì)一直保持活躍的客戶關(guān)系。

責(zé)任編輯：gt