简介
最近许多起针对互联汽车的黑客攻击已经引起了巨大轰动,这对系统的安全性提出了挑战。通常情况下,可以使用无线连接来获得对CAN总线的访问权限,该总线在车辆内部可以将大量的控制单元互连起来。如此一来,就可以实现对制动、油门、门锁、空调系统、雨刷及其他功能的遥控。
对汽车的这类黑客攻击近期经常登上新闻的头条。这并不特别令人吃惊,因为越来越多的车辆自身都已配备了接口,用来与外部进行数据交换。
车辆已经成为了一个移动的生活空间;汽车正在发展成为一种移动设备。尤其对于年轻一些的客户来说,对舒适功能的需求正不断增长,以便随时保持互连,或者通过应用来共享油耗或功率输出之类的车辆数据,以便随后的评估。
因此,互联汽车已经成为了现实。这一课题不仅与客户和制造商有关,而且还使安全研究人员和 IT专家参与到其中。并且,在最坏的情况下,还会涉及到从事犯罪的黑客。多年以来,安全专家们都已经注意到了这样一个事实,那就是个人电脑已经不再是数字攻击的唯一目标了。现在很大一部分的恶意软件都经过定制,可以攻击移动设备。如果认为这一发展趋势不会影响到互联汽车,那就未免太草率了。
到目前为止,对车辆以及车辆系统的具有犯罪性质的黑客攻击只不过属于极少数的例外情况。但是,互联汽车的安全性至关重要,这一点目前对于 OEM 来说已经是显而易见的了。当汽车成为一种车主用来通信的个人移动设备、并且还可能通过应用来实现个性化时,这种设定就会在很大程度上受到潜在攻击者的操纵。
空中软件更新保证安全
但是,汽车业如何来保护自身以及客户来免受数字攻击呢?对于汽车业的一部分从业者来说,全部采用空中接口一直是他们长期以来倾向于采纳的理念,但是这并不符合客户的利益。对数据交换连接的需求也明显的显现在创新性的V2V或 V2I服务当中,这些服务将会进一步的发展,在这方面还与自动驾驶存在一定的关系。因此,从今以后,并没有任何办法来完全地避免在车辆中使用蓝牙、无线局域网或者蜂窝通信。
另一方面,传统的方法—— 召回或者在汽车修理厂采取补救工作,也将无法及时的保护车辆免受数字攻击。此外,召回活动会产生高昂的费用,并会损害汽车制造商的声誉。
在与汽车黑客的竞赛中,以这种方式来取胜显然是不可能的。通过这种方式来为全部波及到的车辆打补丁毕竟需要花费数月的时间。与此同时,黑客还会继续进行他们的恶作剧。然而,在这样一个时间段内避开危险会令人无法接受,因为受到操纵的车辆会为驾驶员及其所处的环境带来巨大的风险。此外,在很多情况下,在这样一段时间内还可以进一步的发现车辆的薄弱之处。因此,补丁在安装时就已经过时了。
那么让我们来了解一下移动设备的世界,以便找到一种方法来取代维修召回:App和智能手机操作系统的供应商不断地为终端设备提供最新版本的产品。有时候,几个小补丁即可对弱点作出弥补,而在其它情况下包含新功能在内的新版本则会向市场发布。
软件和固件上的这类更新以“空中 (OTA)”的形式交付,也就是说,通过空中接口的方式来交付。只要传输到了设备上,这些更新马上就会提取出来,自动安装。
对于即时地为多台设备使用最新的更新时遇到的挑战来说,空中固件升级 (FOTA) 可以解决这个问题。比如说,更新程序提供相应的补丁快速、连续地为薄弱点作出补救,与此同时整合起新的功能并采用现代化的加密算法,从而确保控制单元的安全。
为了确保大量的控制单元可以通过 FOTA 方式进行更新,我们采用了网关的方法。在后端以及要更新的控制单元之间,配有移动无线接口的一个控制单元可以扮演中间人的角色。该控制单元可通过空中接口接收所有的软件包,然后再通过 CAN 总线系统或者以太网之类的、性能更高的通信信道,将软件包分发给各台目标设备。此外,网关 ECU 还具有控制和协调整个更新过程的主功能。例如,如果出错,那么就必须启动回滚机制。
范式转换
除了可以通过 FOTA 来弥补安全上的缺口以外,当然,在设备端还需要许多其他的技术措施,例如对全部 ECU 接口采取密码保护,这一措施对于移动通信、蓝牙和无线局域网条件下的无线访问尤其适用。
另外,需要采用相应的配置和开发流程来适应新的环境。例如,端对端的风险分析不能作为一项通则,但是到目前为止,这应当作为制造商向供应商提出的要求中的一个强制性部分。在这一工作中,对该链条上的任何组成部分发起攻击的可能场景都会接受详细检查,其中就包含了对安全性的影响以及最终对于功能安全的影响。在这些结果的基础上,可以采取充分的防护措施。只有 OEM、后端解决方案的供应商以及控制单元的制造商从早期的开发阶段就展开合作,才能保证采用这种方法能取得一定的成功。
该方法要求不再对控制单元采用黑箱的开发方法,而是通过一种全局的方式来确保安全性。此外,在生产开始后,不得再终止安全措施的提供和维护工作。在任何产品的整个寿命期间,都必须持续地开展安全分析、面向安全的测试以及 FOTA 提供的、针对安全漏洞的补救措施。
比如说,与安全的开发和生产过程有关的组织措施可以包含对秘钥和证书之类机密数据访问方式的控制操作,以及安全相关组件的开发规范。这类数据和文档必须以加密的形式存储在受保护的服务器中,访问权限则以认证的方式仅限于极少数的几个人。
此外还必须特别重视面向安全的测试。尤其是渗透测试,这使查明安全漏洞成为了可能。通过采用黑客的手段和方法,测试人员可以有意地尝试侵入到系统当中。获得的结果可以表明当前的安全级别,并且将告知开发人员采取相关的应对措施,从而将关键的薄弱点封堵起来。
技术挑战
只要看一看 FOTA 的过程链以及涉及到的功能单元,您就可以了解到其中的复杂性以及极高的技术要求。
安全性在这方面的优先级最高。对于 FOTA 过程本身是否可以安全实现而无需承受任何潜在的其它攻击,我们必须获得相应的保证。如果 FOTA 发生滥用,错误地将受操纵的软件引入到一台设备中,那么在安全性方面、以及甚至最终在功能安全方面,造成的后果可能会是无法估量的。
空中接口的加密保护对于安全的 FOTA 机制来说是一个先决条件。通常的做法是以 TLS 的方式建立起安全连接。这里所需的秘钥和证书必须以保密和防止被操纵的安全方式引入到设备当中,然后存放在设备中一个受保护的存储位置。对于实现安全存储并且安全地执行加密程序来说,专用的硬件安全模块 (HSM) 是不可或缺的。
采用安全安装流程(安全闪存)以及在启动设备软件时采取面向安全的检验(可信引导),可以避免受操纵的软件遇到安装错误。在任意一种机制下,都可以通过数字签名来验证软件的真实性。
UART、USB 或者 JTAG 之类的开发接口也必须在串行产品上停用,或者通过加密程序来获得保护,从而防止对设备的侵入。否则,攻击者可能会通过上述渠道去尝试读取或者操纵软件或机密数据。
除了安全执行 FOTA 流程之外,还应该快速有效地完成操作。一方面,移动通信的数据量以及相应的成本也应保持在最低程度。另一方面,应当尽可能减少对车主的妨碍。
通过增量更新可以实现高效的处理。在这一过程中,对已装机软件的更改只会以二进制或者文件的方式来传输和安装。采用的 Delta 算法以及划分到静态和可更改数据区的软件分区都会对数据包的大小产生显著的影响。
FOTA 过程必须极其的稳健并具有极高的容错性,从而避免安装上不兼容、崩溃或者不一致的软件,否则会使功能损坏。出于这一原因,通过完整性检查以及对通信信道的监管来识别出错误非常的重要。出错时,需要做出适宜的响应,例如,可以通过回滚操作的方式,重新建立起无差错的状态。
作为FOTA网关的远程信息控制单元
从技术的角度来说,任何配有移动无线电通信功能的控制单元都可以发挥 FOTA 网关的作用。然而,远程信息控制单元 (TCU) 比其它器件更能胜任这一任务。比如说,许多车辆中的音响主机也可以作为整体组成部分之一,此外还应具备充足的存储空间和处理能力。然而,大部分的音响主机都含有大量的无线接口。
毕竟,根据要求,这一单元需要通过蓝牙、WiFi 或者 NFC 来获取外部资源,此外还存在着许许多多的要求。这种对于外部世界的开放性妨碍了通过有效的防护能力来避免受到操纵。
此外还有一个事实就是,这一单元直接安装在仪表板上,这就不可能将音响主机定义为 FOTA 中央网关。毕竟黑客可能也会在这里很容易的进行物理访问。
然而,TCU 的物理位置在车辆内部更深处,难以从车辆的内部操作。总而言之,它的连接数量更少,在需要时还可以停用。
并且,到现在为止,TCU 已经在提供许多其它对于安全性至关重要的功能,例如防盗控制系统的远程激活等等。正是有了这些关键的安全功能,为 TCU 建立的各类安全措施,例如后端的编码和验证等等,都成为了理所当然的事情。TCU 毕竟已经成为了安全拓扑上一种确立已久的成熟组成部分,被制造商广泛采用。
为了确保车辆的安全,我们需要采取整体性的解决方案,因而这已成为一项优势。后端、空中接口、网关、车辆总线以及各个控制单元都是这一链条上的关键环节。如果链条上最薄弱的部分受到攻击,那么所有其他单元的安全也会存在漏洞。
对于 TCU 作为 FOTA 架构核心的项目,从安全的角度来说,这类项目享受到的优势不仅仅在于 TCU 组件已经高度的成熟,还有在制造方面,供应商和 OEM 在安全流程的设计上也具有相对丰富的经验。
FOTA中进一步的附加值
对于为什么通过 TCU 来建立起 FOTA 可以为 OEM 带来巨大的潜力,安全上的顾虑并不是唯一的原因。
召回工作代价高昂,由于成本和人工的原因,并不受到客户的欢迎,因此在车辆中出现薄弱点时,不会再作为一种不可避免的后果,至少在处理软件相关的问题时会这样。许多问题实际上无需在客户端采取任何操作即可良好解决,只要补丁可以通过无线的方式送达车辆,车辆中许许多多种薄弱点的补救措施就不会再需要物理上的接触了。
而且,在建立新的业务模式与客户关系时,FOTA 也可以发挥极具支持性的作用。美国汽车制造商特斯拉的例子就很好地证实了这一点。
在这家公司向客户提供的一次收费约 2 千美元的更新中,包含了自动驾驶功能。这样一来,许多的特斯拉汽车都已在继续演变成为(部分的)自动驾驶汽车。
对于 OEM 来说,这种业务设置开辟了一个崭新的视角。当今一个普遍的情况就是,只要一离开最初的销售地点,一辆新车的价值马上就会下跌一半。并且,随着时间的推移,价值还会继续递减。未来,随着时间新的功能会不断推出,车辆可能并不一定会丧失价值,而且实际上价值还可能会得到保留甚至增加。
那么,到现在为止,FOTA 已经不再是一种烦人的承诺。这种更新程序的重要性不仅在于可以为互联汽车提供基本的先决条件来确保安全。而且,在这一基础上,OEM 可以不断的在车辆上创造出附加值,确保客户的忠诚度,并且在销售完成后的很长时间内都会一直保持活跃的客户关系。
本文同步刊登于电子工程专辑杂志2019年8月刊