最近許多起針對互聯(lián)汽車的黑客攻擊已經(jīng)引起了巨大轟動，這對系統(tǒng)的安全性提出了挑戰(zhàn)。通常情況下，可以使用無線連接來獲得對CAN總線的訪問權(quán)限，該總線在車輛內(nèi)部可以將大量的控制單元互連起來。如此一來，就可以實現(xiàn)對制動、油門、門鎖、空調(diào)系統(tǒng)、雨刷及其他功能的遙控。

對汽車的這類黑客攻擊近期經(jīng)常登上新聞的頭條。這并不特別令人吃驚，因為越來越多的車輛自身都已配備了接口，用來與外部進行數(shù)據(jù)交換。

車輛已經(jīng)成為了一個移動的生活空間；汽車正在發(fā)展成為一種移動設(shè)備。尤其對于年輕一些的客戶來說，對舒適功能的需求正不斷增長，以便隨時保持互連，或者通過應(yīng)用來共享油耗或功率輸出之類的車輛數(shù)據(jù)，以便隨后的評估。

因此，互聯(lián)汽車已經(jīng)成為了現(xiàn)實。這一課題不僅與客戶和制造商有關(guān)，而且還使安全研究人員和 IT專家參與到其中。并且，在最壞的情況下，還會涉及到從事犯罪的黑客。多年以來，安全專家們都已經(jīng)注意到了這樣一個事實，那就是個人電腦已經(jīng)不再是數(shù)字攻擊的唯一目標了。現(xiàn)在很大一部分的惡意軟件都經(jīng)過定制，可以攻擊移動設(shè)備。如果認為這一發(fā)展趨勢不會影響到互聯(lián)汽車，那就未免太草率了。

到目前為止，對車輛以及車輛系統(tǒng)的具有犯罪性質(zhì)的黑客攻擊只不過屬于極少數(shù)的例外情況。但是，互聯(lián)汽車的安全性至關(guān)重要，這一點目前對于 OEM 來說已經(jīng)是顯而易見的了。當汽車成為一種車主用來通信的個人移動設(shè)備、并且還可能通過應(yīng)用來實現(xiàn)個性化時，這種設(shè)定就會在很大程度上受到潛在攻擊者的操縱。

空中軟件更新保證安全

但是，汽車業(yè)如何來保護自身以及客戶來免受數(shù)字攻擊呢？對于汽車業(yè)的一部分從業(yè)者來說，全部采用空中接口一直是他們長期以來傾向于采納的理念，但是這并不符合客戶的利益。對數(shù)據(jù)交換連接的需求也明顯的顯現(xiàn)在創(chuàng)新性的V2V或 V2I服務(wù)當中，這些服務(wù)將會進一步的發(fā)展，在這方面還與自動駕駛存在一定的關(guān)系。因此，從今以后，并沒有任何辦法來完全地避免在車輛中使用藍牙、無線局域網(wǎng)或者蜂窩通信。

另一方面，傳統(tǒng)的方法—— 召回或者在汽車修理廠采取補救工作，也將無法及時的保護車輛免受數(shù)字攻擊。此外，召回活動會產(chǎn)生高昂的費用，并會損害汽車制造商的聲譽。

在與汽車黑客的競賽中，以這種方式來取勝顯然是不可能的。通過這種方式來為全部波及到的車輛打補丁畢竟需要花費數(shù)月的時間。與此同時，黑客還會繼續(xù)進行他們的惡作劇。然而，在這樣一個時間段內(nèi)避開危險會令人無法接受，因為受到操縱的車輛會為駕駛員及其所處的環(huán)境帶來巨大的風險。此外，在很多情況下，在這樣一段時間內(nèi)還可以進一步的發(fā)現(xiàn)車輛的薄弱之處。因此，補丁在安裝時就已經(jīng)過時了。

那么讓我們來了解一下移動設(shè)備的世界，以便找到一種方法來取代維修召回：App和智能手機操作系統(tǒng)的供應(yīng)商不斷地為終端設(shè)備提供最新版本的產(chǎn)品。有時候，幾個小補丁即可對弱點作出彌補，而在其它情況下包含新功能在內(nèi)的新版本則會向市場發(fā)布。

軟件和固件上的這類更新以“空中 （OTA）”的形式交付，也就是說，通過空中接口的方式來交付。只要傳輸?shù)搅嗽O(shè)備上，這些更新馬上就會提取出來，自動安裝。

對于即時地為多臺設(shè)備使用最新的更新時遇到的挑戰(zhàn)來說，空中固件升級 （FOTA） 可以解決這個問題。比如說，更新程序提供相應(yīng)的補丁快速、連續(xù)地為薄弱點作出補救，與此同時整合起新的功能并采用現(xiàn)代化的加密算法，從而確保控制單元的安全。

為了確保大量的控制單元可以通過 FOTA 方式進行更新，我們采用了網(wǎng)關(guān)的方法。在后端以及要更新的控制單元之間，配有移動無線接口的一個控制單元可以扮演中間人的角色。該控制單元可通過空中接口接收所有的軟件包，然后再通過 CAN 總線系統(tǒng)或者以太網(wǎng)之類的、性能更高的通信信道，將軟件包分發(fā)給各臺目標設(shè)備。此外，網(wǎng)關(guān) ECU 還具有控制和協(xié)調(diào)整個更新過程的主功能。例如，如果出錯，那么就必須啟動回滾機制。

范式轉(zhuǎn)換

除了可以通過 FOTA 來彌補安全上的缺口以外，當然，在設(shè)備端還需要許多其他的技術(shù)措施，例如對全部 ECU 接口采取密碼保護，這一措施對于移動通信、藍牙和無線局域網(wǎng)條件下的無線訪問尤其適用。

另外，需要采用相應(yīng)的配置和開發(fā)流程來適應(yīng)新的環(huán)境。例如，端對端的風險分析不能作為一項通則，但是到目前為止，這應(yīng)當作為制造商向供應(yīng)商提出的要求中的一個強制性部分。在這一工作中，對該鏈條上的任何組成部分發(fā)起攻擊的可能場景都會接受詳細檢查，其中就包含了對安全性的影響以及最終對于功能安全的影響。在這些結(jié)果的基礎(chǔ)上，可以采取充分的防護措施。只有 OEM、后端解決方案的供應(yīng)商以及控制單元的制造商從早期的開發(fā)階段就展開合作，才能保證采用這種方法能取得一定的成功。

該方法要求不再對控制單元采用黑箱的開發(fā)方法，而是通過一種全局的方式來確保安全性。此外，在生產(chǎn)開始后，不得再終止安全措施的提供和維護工作。在任何產(chǎn)品的整個壽命期間，都必須持續(xù)地開展安全分析、面向安全的測試以及 FOTA 提供的、針對安全漏洞的補救措施。

比如說，與安全的開發(fā)和生產(chǎn)過程有關(guān)的組織措施可以包含對秘鑰和證書之類機密數(shù)據(jù)訪問方式的控制操作，以及安全相關(guān)組件的開發(fā)規(guī)范。這類數(shù)據(jù)和文檔必須以加密的形式存儲在受保護的服務(wù)器中，訪問權(quán)限則以認證的方式僅限于極少數(shù)的幾個人。

此外還必須特別重視面向安全的測試。尤其是滲透測試，這使查明安全漏洞成為了可能。通過采用黑客的手段和方法，測試人員可以有意地嘗試侵入到系統(tǒng)當中。獲得的結(jié)果可以表明當前的安全級別，并且將告知開發(fā)人員采取相關(guān)的應(yīng)對措施，從而將關(guān)鍵的薄弱點封堵起來。

技術(shù)挑戰(zhàn)

只要看一看 FOTA 的過程鏈以及涉及到的功能單元，您就可以了解到其中的復(fù)雜性以及極高的技術(shù)要求。

安全性在這方面的優(yōu)先級最高。對于 FOTA 過程本身是否可以安全實現(xiàn)而無需承受任何潛在的其它攻擊，我們必須獲得相應(yīng)的保證。如果 FOTA 發(fā)生濫用，錯誤地將受操縱的軟件引入到一臺設(shè)備中，那么在安全性方面、以及甚至最終在功能安全方面，造成的后果可能會是無法估量的。

空中接口的加密保護對于安全的 FOTA 機制來說是一個先決條件。通常的做法是以 TLS 的方式建立起安全連接。這里所需的秘鑰和證書必須以保密和防止被操縱的安全方式引入到設(shè)備當中，然后存放在設(shè)備中一個受保護的存儲位置。對于實現(xiàn)安全存儲并且安全地執(zhí)行加密程序來說，專用的硬件安全模塊 （HSM） 是不可或缺的。

采用安全安裝流程（安全閃存）以及在啟動設(shè)備軟件時采取面向安全的檢驗（可信引導(dǎo)），可以避免受操縱的軟件遇到安裝錯誤。在任意一種機制下，都可以通過數(shù)字簽名來驗證軟件的真實性。

UART、USB 或者 JTAG 之類的開發(fā)接口也必須在串行產(chǎn)品上停用，或者通過加密程序來獲得保護，從而防止對設(shè)備的侵入。否則，攻擊者可能會通過上述渠道去嘗試讀取或者操縱軟件或機密數(shù)據(jù)。

除了安全執(zhí)行 FOTA 流程之外，還應(yīng)該快速有效地完成操作。一方面，移動通信的數(shù)據(jù)量以及相應(yīng)的成本也應(yīng)保持在最低程度。另一方面，應(yīng)當盡可能減少對車主的妨礙。

通過增量更新可以實現(xiàn)高效的處理。在這一過程中，對已裝機軟件的更改只會以二進制或者文件的方式來傳輸和安裝。采用的 Delta 算法以及劃分到靜態(tài)和可更改數(shù)據(jù)區(qū)的軟件分區(qū)都會對數(shù)據(jù)包的大小產(chǎn)生顯著的影響。

FOTA 過程必須極其的穩(wěn)健并具有極高的容錯性，從而避免安裝上不兼容、崩潰或者不一致的軟件，否則會使功能損壞。出于這一原因，通過完整性檢查以及對通信信道的監(jiān)管來識別出錯誤非常的重要。出錯時，需要做出適宜的響應(yīng)，例如，可以通過回滾操作的方式，重新建立起無差錯的狀態(tài)。

作為FOTA網(wǎng)關(guān)的遠程信息控制單元

從技術(shù)的角度來說，任何配有移動無線電通信功能的控制單元都可以發(fā)揮 FOTA 網(wǎng)關(guān)的作用。然而，遠程信息控制單元 （TCU） 比其它器件更能勝任這一任務(wù)。比如說，許多車輛中的音響主機也可以作為整體組成部分之一，此外還應(yīng)具備充足的存儲空間和處理能力。然而，大部分的音響主機都含有大量的無線接口。

畢竟，根據(jù)要求，這一單元需要通過藍牙、WiFi 或者 NFC 來獲取外部資源，此外還存在著許許多多的要求。這種對于外部世界的開放性妨礙了通過有效的防護能力來避免受到操縱。

此外還有一個事實就是，這一單元直接安裝在儀表板上，這就不可能將音響主機定義為 FOTA 中央網(wǎng)關(guān)。畢竟黑客可能也會在這里很容易的進行物理訪問。

然而，TCU 的物理位置在車輛內(nèi)部更深處，難以從車輛的內(nèi)部操作。總而言之，它的連接數(shù)量更少，在需要時還可以停用。

并且，到現(xiàn)在為止，TCU 已經(jīng)在提供許多其它對于安全性至關(guān)重要的功能，例如防盜控制系統(tǒng)的遠程激活等等。正是有了這些關(guān)鍵的安全功能，為 TCU 建立的各類安全措施，例如后端的編碼和驗證等等，都成為了理所當然的事情。TCU 畢竟已經(jīng)成為了安全拓撲上一種確立已久的成熟組成部分，被制造商廣泛采用。

為了確保車輛的安全，我們需要采取整體性的解決方案，因而這已成為一項優(yōu)勢。后端、空中接口、網(wǎng)關(guān)、車輛總線以及各個控制單元都是這一鏈條上的關(guān)鍵環(huán)節(jié)。如果鏈條上最薄弱的部分受到攻擊，那么所有其他單元的安全也會存在漏洞。

對于 TCU 作為 FOTA 架構(gòu)核心的項目，從安全的角度來說，這類項目享受到的優(yōu)勢不僅僅在于 TCU 組件已經(jīng)高度的成熟，還有在制造方面，供應(yīng)商和 OEM 在安全流程的設(shè)計上也具有相對豐富的經(jīng)驗。

FOTA中進一步的附加值

對于為什么通過 TCU 來建立起 FOTA 可以為 OEM 帶來巨大的潛力，安全上的顧慮并不是唯一的原因。

召回工作代價高昂，由于成本和人工的原因，并不受到客戶的歡迎，因此在車輛中出現(xiàn)薄弱點時，不會再作為一種不可避免的后果，至少在處理軟件相關(guān)的問題時會這樣。許多問題實際上無需在客戶端采取任何操作即可良好解決，只要補丁可以通過無線的方式送達車輛，車輛中許許多多種薄弱點的補救措施就不會再需要物理上的接觸了。

而且，在建立新的業(yè)務(wù)模式與客戶關(guān)系時，F(xiàn)OTA 也可以發(fā)揮極具支持性的作用。美國汽車制造商特斯拉的例子就很好地證實了這一點。

在這家公司向客戶提供的一次收費約 2 千美元的更新中，包含了自動駕駛功能。這樣一來，許多的特斯拉汽車都已在繼續(xù)演變成為（部分的）自動駕駛汽車。

對于 OEM 來說，這種業(yè)務(wù)設(shè)置開辟了一個嶄新的視角。當今一個普遍的情況就是，只要一離開最初的銷售地點，一輛新車的價值馬上就會下跌一半。并且，隨著時間的推移，價值還會繼續(xù)遞減。未來，隨著時間新的功能會不斷推出，車輛可能并不一定會喪失價值，而且實際上價值還可能會得到保留甚至增加。

那么，到現(xiàn)在為止，F(xiàn)OTA 已經(jīng)不再是一種煩人的承諾。這種更新程序的重要性不僅在于可以為互聯(lián)汽車提供基本的先決條件來確保安全。而且，在這一基礎(chǔ)上，OEM 可以不斷的在車輛上創(chuàng)造出附加值，確保客戶的忠誠度，并且在銷售完成后的很長時間內(nèi)都會一直保持活躍的客戶關(guān)系。

責任編輯：gt