Uptane:Securing Software Updates for Automobiles，uptane是專門(mén)為汽車(chē)領(lǐng)域制定的OTA標(biāo)準(zhǔn)，安全等級(jí)非常高。可以更好的包含汽車(chē)OTA的時(shí)候不被黑客攻擊。

2022 年 10 月 13 日，Uptane 舉辦了與 escar Europe 2022 相關(guān)的免費(fèi)線上行業(yè)會(huì)議。Uptane是一種開(kāi)放和安全的軟件更新框架設(shè)計(jì)，可保護(hù)通過(guò)無(wú)線方式交付的軟件汽車(chē)電子控制單元（ECU）。該框架可防止惡意行為者，他們可以 入侵用于簽名和傳遞更新的服務(wù)器和網(wǎng)絡(luò)。有多種不同的免費(fèi)開(kāi)源和閉源 實(shí)現(xiàn)可用。Uptane被集成到汽車(chē)級(jí)Linux中， 目前被許多大型OEM使用的開(kāi)源系統(tǒng)，也被許多美國(guó)和國(guó)際制造商采用。

Uptane于2016年由紐約大學(xué)，UMTRI，SwRI和汽車(chē)行業(yè)專家合作創(chuàng)建。它是在美國(guó)國(guó)土安全部的資助下作為開(kāi)源框架開(kāi)發(fā)的。它擴(kuò)展了許多生產(chǎn)軟件更新系統(tǒng)中使用的更新框架。2018年7月，Uptane的正式標(biāo)準(zhǔn)化在一個(gè)名為Uptane的非營(yíng)利財(cái)團(tuán)下開(kāi)始 。Uptane設(shè)計(jì)和實(shí)施標(biāo)準(zhǔn)1.0版提供了框架安全設(shè)計(jì)和實(shí)施的程序，于2019年7月31日在IEEE/ISTO聯(lián)合會(huì)的主持下發(fā)布?，F(xiàn)在的倡議 繼續(xù)作為 Linux 基金會(huì)聯(lián)合開(kāi)發(fā)基金會(huì)項(xiàng)目，2021 年發(fā)布了 1.1.0 和1.2.0版本。最新版本 2.0.0于 2022 年 3 月發(fā)布。建議的部署策略正在積極制定中，并在本網(wǎng)站上發(fā)布和定期更新。

Uptane框架是TUF在汽車(chē)整車(chē)領(lǐng)域的衍生品，由美國(guó)國(guó)土安全部支持，屬于Linux基金會(huì)聯(lián)合研發(fā)基金項(xiàng)目。逐步被整合進(jìn)AGL（Automotive Grade Linux）、COVESA（Connected Vehicle Systems Alliance）等項(xiàng)目中去。為該框架做出貢獻(xiàn)的除了紐約大學(xué)等以外有諸多知名廠商。

Uptane脫胎于TUF框架（TUF（The Update Framework）框架幫助開(kāi)發(fā)人員保護(hù)新的或現(xiàn)有的軟件更新系統(tǒng)，這些系統(tǒng)通常被認(rèn)為容易受到許多攻擊。TUF 通過(guò)提供全面，靈活的安全框架來(lái)解決這個(gè)廣泛的問(wèn)題，讓開(kāi)發(fā)人員可以與任何軟件更新系統(tǒng)集成。 ），并對(duì)汽車(chē)整車(chē)環(huán)境進(jìn)行了適應(yīng)。縱觀TUF的設(shè)計(jì)，它包含了以下4個(gè)理念：信任分離、簽名閾值、顯式和隱式密鑰廢止機(jī)制以及關(guān)鍵密鑰離線保護(hù)。在保留以上4個(gè)設(shè)計(jì)理念的基礎(chǔ)上，Uptane增加了4項(xiàng)關(guān)鍵設(shè)計(jì)，以適應(yīng)整車(chē)OTA過(guò)程中的客戶端異構(gòu)，資源有限及ECU之間無(wú)可信通信機(jī)制。

Uptane 框架所具有的主要抵御機(jī)制有以下四條。

第一，使用額外的存儲(chǔ)空間從無(wú)休止的數(shù)據(jù)攻擊中恢復(fù)。黑客會(huì)對(duì)于ECU執(zhí)行無(wú)休止的數(shù)據(jù)攻擊。然而，ECU往往只存儲(chǔ)一個(gè)鏡像文件。這樣，如果這些攻擊者會(huì)通過(guò)給ECU發(fā)送隨機(jī)數(shù)據(jù)，而不是實(shí)際的鏡像文件，讓它無(wú)法啟動(dòng)到工作鏡像中去。雖然，引導(dǎo)程序能夠檢查出隨機(jī)數(shù)據(jù)和最近下載的元數(shù)據(jù)不匹配。為了解決這個(gè)問(wèn)題，ECU可以使用一個(gè)額外的存儲(chǔ)空間，使得它可以有足夠的存儲(chǔ)空間保存之前的鏡像和最新下載的鏡像。ECU在更新時(shí)，無(wú)需具有覆蓋之前已知的良好鏡像。這樣，如果攻擊者在數(shù)據(jù)傳輸時(shí)修改了鏡像，它仍然可以引導(dǎo)到功能鏡像。

第二，廣播元數(shù)據(jù)防止混合軟件版本攻擊。攻擊者控制了主ECU以后，就可以執(zhí)行混合軟件攻擊，因?yàn)樗鼈兛梢韵虿煌膹腅CU，同時(shí)展示不同版本的元數(shù)據(jù)。為了防止這個(gè)問(wèn)題，主ECU需要向從ECU廣播最新下載的元數(shù)據(jù)。所以，在CAN網(wǎng)絡(luò)或者以太網(wǎng)絡(luò)中，主ECU向某個(gè)從ECU發(fā)送的任何元數(shù)據(jù)，也需要同時(shí)發(fā)向其他的ECU。

第三，使用版本清單檢測(cè)軟件部分安裝攻擊。即使有時(shí)ECU沒(méi)有受到任何其他攻擊，但是也偶爾會(huì)出現(xiàn)一種軟件版本部分安裝攻擊的情況，導(dǎo)致ECU只成功安裝了部分的軟件更新。無(wú)論這些攻擊是如何發(fā)生的，OEM都可以通過(guò)軟件版本清單和ECU關(guān)于它最近安裝的簽署信息，檢測(cè)這種攻擊。在驗(yàn)證和安裝更新后，ECU會(huì)使用OEM在汽車(chē)制造期間提供的對(duì)稱密鑰，來(lái)驗(yàn)證其安裝的軟件，然后發(fā)送給主設(shè)備。ECU每個(gè)周期只會(huì)進(jìn)行一次簽署和發(fā)回它的版本清單。主設(shè)備將搜集這些簽名，構(gòu)建汽車(chē)版本信息，然后發(fā)送給汽車(chē)制造商。如果汽車(chē)制造商發(fā)現(xiàn)最近的汽車(chē)更新，和它們實(shí)際安裝的不匹配，制造商將會(huì)收到警報(bào)，并且采取進(jìn)一步行動(dòng)。

第四，使用時(shí)間服務(wù)器限制凍結(jié)攻擊。關(guān)于攻擊者對(duì)于ECU采取的凍結(jié)攻擊，是由于ECU桌面和服務(wù)器程序不同，ECU無(wú)法具有可靠的時(shí)鐘。這樣主設(shè)備不能判斷元數(shù)據(jù)是否超時(shí)。為了解決這個(gè)問(wèn)題，每個(gè)ECU應(yīng)該使用外部時(shí)鐘，周期性地更新目前的時(shí)間。

Uptane的威脅分析及規(guī)避措施是基于以下前提：

攻擊者有能力干擾或修改網(wǎng)絡(luò)通信數(shù)據(jù)：車(chē)外通信時(shí)，攻擊者可操縱車(chē)輛與軟件庫(kù)之前的通信，通常是無(wú)線通信；車(chē)內(nèi)通信時(shí)，攻擊者可操縱一個(gè)或多個(gè)總線。

攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰，但不是同時(shí)發(fā)生。

破解主ECU或次ECU，但不同時(shí)發(fā)生。

可能會(huì)到的攻擊方式描述

表2 Uptane威脅分析

沿用TUF的設(shè)計(jì)理念，以及針對(duì)汽車(chē)整車(chē)環(huán)境的適配，Uptane可以在更新過(guò)程被部分破解的情況下，最小化被入侵的范圍和影響。

Uptane框架的基本架構(gòu)如下圖所示：

圖1 Uptane架構(gòu)

Uptane框架包含了一個(gè)時(shí)間服務(wù)器為無(wú)可靠時(shí)鐘信號(hào)的ECU提供時(shí)間服務(wù)，主ECU與Image Repository及Director Repository交互，交互過(guò)程有簽名驗(yàn)證、元數(shù)據(jù)驗(yàn)證及鏡像下載。次ECU與主ECU交互，主ECU幫助次ECU做全部元數(shù)據(jù)驗(yàn)證。次ECU在條件有限的情況下做部分元數(shù)據(jù)驗(yàn)證。

Uptane的安全驗(yàn)證流程如下圖所示：

圖2 Uptane安全驗(yàn)證流程

本文回顧了整車(chē)OTA框架Uptane的發(fā)展及核心思想，通過(guò)對(duì)Uptane的解讀我們可以觀察到一個(gè)完整面向整車(chē)的網(wǎng)絡(luò)安全服務(wù)的安全設(shè)計(jì)思路與方法。對(duì)SOA開(kāi)發(fā)模式的安全性有很好的借鑒意義。