FOTA会影响到自动驾驶车辆数据安全哪些方面

作者：Holger Hilmer

本文原发表于SAE《自动驾驶车辆工程》杂志

固件OTA数据传输将推动OEM推动安全自动驾驶

固件空中升级 (FOTA) 可以不断通过补丁快速修正漏洞、集成新功能，并现代化安全防护控制设备的加密算法，从而帮助OEM 更好地应对全球性的汽车黑客攻击威胁。

汽车的角色已经从过去单纯的交通工具逐渐演变为一种新的移动生活空间。不难想象，在此背景之下，车辆安全对所有 OEM 和供应商都是头等大事。不过，当车辆开始变成一种个人移动设备，允许车主进行通信并使用各种应用程序时，它也开始越来越多地暴露在黑客的攻击威胁之下。   网联汽车遭受黑客攻击的新闻已经屡见不鲜。在一个案例中，黑客使用无线连接成功访问了车辆的 CAN 总线，而该总线控制着车辆的许多网络单元，这就给了黑客远程控制汽车，甚至在车辆行驶过程中关闭车辆发动机的能力。除此之外，其他黑客还曾成功获得对车辆刹车、门锁、空调和挡风玻璃雨刷的控制权限。这点并不奇怪，因为车辆具备的与外界交换数据的接口越来越多。   随着更多网联车辆的出现，越来越多的智能车辆将开始通过物联网（IoT）进行通信，这意味着这些汽车未来将具备越来越多的接口，从而导致其遭受黑客攻击的风险显著提高。  与黑客之间的“猫鼠游戏”  为了保护其客户和自身免受黑客攻击，汽车行业正在竭尽全力地限制黑客可以攻击车辆的选项。其中一个方法是封闭所有无线接口，但这无疑是不符合客户利益的。车辆需要网络连接进行数据交换，特别是在创新 V2X 基础设施服务和自动驾驶汽车发展如火如荼的大环境之下。此外，传统的召回和门店升级方法并不能可靠地保护车辆免受数字攻击。   召回活动会产生高昂的成本并损害 OEM 的声誉，而且修复所有车辆的漏洞所需的时间也更长，这就给了黑客狂欢的窗口。   事实上，只要有一辆仍暴露在黑客攻击威胁之下的车辆，这都将对其驾驶员及周围环境构成巨大风险，因此召回活动要速战速决，坚决不能拖的太长。此外，车辆召回期间还经常会发现新的漏洞，也就是说本轮召回还没结束，安装的软件补丁就可能已经过时了。   另一种方法更常见于应用程序和智能手机的操作系统中，比如定期的更新和补丁。软件和固件可以通过移动网络接口进行空中升级（OTA）。一旦更新完毕，设备将自动解压并安装软件或固件升级包。汽车行业的情况也很类似，固件空中升级（FOTA）可以帮助厂商在短时间内为大量设备提供更新。这种方法可以不断通过补丁快速修正漏洞、集成新功能，并现代化安全防护控制设备的加密算法。   许多设备都可以使用 FOTA 方法进行更新。厂商的后端和车辆中需要更新的设备之间存在一种媒介，即一个配备有移动网络接口的控制单元，也就是蜂窝网关。该网关可以通过 OTA 接口接收所有软件包，并通过 CAN 总线系统或以太网等高性能通信通道将软件包分发到各目标设备。作为主设备，蜂窝网关还将同时监视和协调整个更新过程。  

蜂窝网关可以充当 OEM 后端和待更新控制单元之间的媒介。上图展示了车辆配备的各无线接口；下图描述了 FOTA 网关的工作机制。

OTA 的技术挑战  FOTA也同时带来了重大的技术挑战。首当其冲的是如何确保该过程能够可靠地得到执行，并且不会带来任何额外的漏洞。一旦使用 FOTA 方法将不安全软件加载到车辆设备的权限落入黑客手中，这无疑将对车辆的数据安全和功能安全带来不可估量的危险。因此，空中升级的接口必须进行加密保护，例如使用 TLS 加密协议等。   FOTA所需的密钥和证书必须以加密的形式传入设备且必须具备防篡改能力。此外，还必须在设备内存中开辟安全存储区专门用于存放密钥和证书。专用硬件安全模块（HSM）对于实现安全内存和安全执行加密算法至关重要。目前，防止恶意安装未经授权的软件主要靠两个方法：第一是“安全下载”功能，即采用一种安全的软件安装流程；第二是“安全启动”功能，即在设备开始执行软件时进行安全检查。这两种方法均需要使用“数字签名”验证软件的真实性。对此，开发接口（如 UART、USB 或 JTAG 等）必须在设备量产后严格禁用或采用加密方法保护起来。否则，这些接口可能成为攻击者尝试读出或操作软件或机密数据的突破点。  仍需做出调整  除了技术方面面临的挑战，厂商的组织架构和发展方向也必须对新的环境作出改变。比如，目前并不是所有厂商均会进行“端到端的威胁分析和风险评估”，但这种做法应该推广至各厂商的供应商需求表中。这些分析有助于识别供应链中各组件可能面临的攻击情景及其对车辆数据安全和功能安全的影响。接下来，厂商可以根据分析结果，制定对应的保护措施。不过，只有当 OEM、后端解决方案供应商和控制单元制造商从早期开发阶段就携手合作时才能产生预期的结果。   这种做法要求控制单元从简单一个“黑匣子”转变为更为全面的综合性安全控制单元。此外，量产之后也不能放松安全。厂商必须在产品的完整生命周期内通过 FOTA 的方法，持续进行安全分析、安全测试和消除安全漏洞。对此，即将推出的 ISO/SAE21434 标准“道路车辆-网络安全工程”（Road vehicles –Cybersecurity engineering）为车辆生命周期的所有阶段提供了规则和指导方针。   FOTA不仅可以为 OEM 带来安全方面的收益，而且可以使OEM 免于因软件问题而承受高昂的召回费用。届时，由于 OEM 可以通过无线网络将补丁发送到各车辆，因此很多问题都可以直接得到解决，根本无需客户的主动参与。FOTA 也有助于重塑商业模式和客户关系，为OEM开辟了新的视角，特斯拉就是一个例子。目前，所有配备 Autopilot 系统的特斯拉车型都已进化为半自动驾驶车辆。   通常来说，新车只要开出经销商的大门就会掉价 50％，随后价值将继续下降。未来，OEM 如果可以通过 FOTA 不断为车辆赋予新的功能，那么车辆的价值可能不会随着时间的推移而大幅下降，而是保持原有价值，甚至升值。  FOTA 的标准化势在必行  Molex公司已经认识到，在 FOTA 重塑汽车行业的大背景之下，如何确保安全是第一关键的需求。对此，Molex 与其他志同道合的公司一起成立了一个名为 eSync 的联盟，以满足汽车 OTA 和车载网络使能技术的开发和推广需求。目前，eSync 联盟正在努力降低软件/固件更新及车辆召回的成本，并优化互联汽车的数据服务。   eSync联盟将致力于推广一种“安全、开放的端到端 OTA 车辆数据传输方法”，解决缺乏 OTA 相关标准的痛点，进而帮助 OEM 更好地推动行业发展。

作者 Holger Hilmer 博士是 Molex 公司的高级工程师，目前专注于安全性方面的工作，包括汽车控制单元的软件 OTA 更新。

原文标题：FOTA 将给自动驾驶车辆数据安全带来哪些影响？

文章出处：【微信公众号：SAEInternational】欢迎添加关注！文章转载请注明出处。