最近許多起針對連網汽車的駭客攻擊已經引起了巨大轟動,這對系統的安全性提出了挑戰。通常情況下,可以使用無線連接來獲得對CAN匯流排的存取權限,該匯流排在車輛內部可以將大量的控制單元互連,如此一來,就可以做到對煞車、油門、門鎖、空調系統、雨刷及其他功能的遙控。

對汽車的這類駭客攻擊近期經常登上新聞的頭條。這並不特別令人吃驚,因為越來越多的車輛自身都已配備了介面,用來與外部進行資料交換。

車輛已經成為了一個行動的生活空間;汽車正在發展成為一種行動設備。尤其對於年輕一些的客戶來說,對舒適功能的需求正不斷增長,以便隨時保持互連,或者透過應用來共用油耗或功率輸出之類的車輛資料,以便隨後的評估。

因此,連網汽車已經成為了現實。這一課題不僅與客戶和製造商有關,而且還使安全研究人員和IT專家參與到其中,並且,在最壞的情況下,還會涉及到從事犯罪的駭客。多年以來,安全專家們都已經注意到了這樣一個事實,那就是個人電腦已經不再是數位攻擊的唯一目標了,現在很大一部分的惡意軟體都經過定制,可以攻擊行動設備。如果認為這一發展趨勢不會影響到連網汽車,那就未免太草率了。

到目前為止,對車輛及車輛系統的具有犯罪性質的駭客攻擊只不過屬於極少數的例外情況。但是,連網汽車的安全性至關重要,這一點目前對於OEM來說已是顯而易見,當汽車成為一種車主用來通訊的個人行動設備、並且還可能透過應用來實現個性化時,這種設定就會在很大程度上受到潛在攻擊者的操縱。

20190917TA31P1

空中軟體更新保證安全

但是,汽車業如何來保護自身,以及客戶來免受數位攻擊呢?對於汽車產業的一部分從業者來說,全部採用空中介面(OTA)一直是他們長期以來傾向於採納的理念,但是這並不符合客戶的利益。對資料交換連接的需求也明顯的顯現在創新性的V2V或V2I服務當中,這些服務將會進一步的發展,在這方面還與自動駕駛存在一定的關係。因此,從今以後,並沒有任何辦法來完全地避免在車輛中使用藍牙、無線區域網或者蜂巢通訊。

另一方面,傳統的方法——召回或者在汽車修理廠採取補救工作,也將無法及時的保護車輛免受數位攻擊。此外,召回活動會產生高昂的費用,並會損害汽車製造商的聲譽。

在與汽車駭客的競賽中,以這種方式來取勝顯然是不可能的,透過這種方式來為全部波及到的車輛打補丁畢竟需要花費數月的時間。與此同時,駭客還會繼續進行他們的惡作劇,然而,在這樣一個時間段內避開危險會令人無法接受,因為受到操縱的車輛會為駕駛及其所處的環境帶來巨大的風險。此外,在很多情況下,在這樣一段時間內還可以進一步的發現車輛的薄弱之處,因此,補丁在安裝時就已經過時了。

那麼來瞭解一下行動設備的世界,以便找到一種方法來取代維修召回:App和智慧型手機作業系統的供應商不斷地為終端設備提供最新版本的產品。有時候,幾個小補丁即可對弱點作出彌補,而在其他情況下包含新功能在內的新版本則會向市場發佈。

軟體和韌體上的這類更新以空中的形式交付,也就是說,透過空中介面的方式來交付。只要傳輸到了設備上,這些更新馬上就會提取出來,自動安裝。

對於即時地為多台設備使用最新的更新時遇到的挑戰來說,空中韌體升級(FOTA)可以解決這個問題。比如說,更新程式提供相應的補丁快速、連續地為薄弱點作出補救,與此同時,整合新的功能並採用現代化的加密演算法,從而確保控制單元的安全。

為了確保大量的控制單元可以透過FOTA方式進行更新,採用了閘道的方法。在後端及要更新的控制單元之間,配有行動無線介面的一個控制單元可以扮演中間人的角色,該控制單元可利用空中介面接收所有的套裝軟體,然後再透過CAN匯流排系統或者乙太網路之類、性能更高的通訊通道,將套裝軟體分發給各台目標設備。

此外,閘道ECU還具有控制和協調整個更新過程的主功能。例如,如果出錯,那麼就必須啟動回滾機制。

20190917TA31P2

範式轉換

除了可以利用FOTA來彌補安全上的缺口以外,當然,在設備端還需要許多其他的技術措施,例如對全部ECU介面採取密碼保護,這一措施對於行動通訊、藍牙和無線區域網條件下的無線訪問尤其適用。

另外,需要採用相應的配置和開發流程來適應新的環境。例如,端對端的風險分析不能作為一項通則,但是到目前為止,這應當作為製造商向供應商提出的要求中的一個強制性部分。在這一工作中,對該鏈條上的任何組成部分發起攻擊的可能場景都會接受詳細檢查,其中就包含了對安全性的影響,以及最終對於功能安全的影響。在這些結果的基礎上,可以採取充分的防護措施,只有OEM、後端解決方案的供應商,以及控制單元的製造商從早期的開發階段就展開合作,才能保證採用這種方法能取得一定的成功。

該方法要求不再對控制單元採用黑箱的開發方法,而是透過一種全域的方式來確保安全性。此外,在生產開始後,不得再終止安全措施的提供和維護工作。在任何產品的整個壽命期間,都必須持續地開展安全分析、針對安全的測試,以及FOTA提供的、針對安全性漏洞的補救措施。

比如說,與安全的開發和生產過程有關的組織措施可以包含對密鑰和證書之類機密資料訪問方式的控制操作,以及安全相關元件的開發規範。這類資料和文檔必須以加密的形式儲存在受保護的伺服器中,存取權限則以認證的方式僅限於極少數的幾個人。

此外,還必須特別重視安全的測試,尤其是滲透測試,這使查明安全性漏洞成為了可能。透過採用駭客的手段和方法,測試人員可以有意地嘗試侵入到系統當中,獲得的結果可以說明當前的安全級別,並且將告知開發人員採取相關的應對措施,從而將關鍵的薄弱點封堵起來。

技術挑戰

只要看一看FOTA的過程鏈,以及涉及到的功能單元,就可以瞭解到其中的複雜性及極高的技術要求。

安全性在這方面的優先順序最高。對於FOTA過程本身是否可以安全實現而無需承受任何潛在的其他攻擊,必須獲得相應的保證。如果FOTA發生濫用,錯誤地將受操縱的軟體引入到一台設備中,那麼在安全性,以及甚至最終在功能安全方面,造成的後果可能會無法估量。

空中介面的加密保護對於安全的FOTA機制來說是一個先決條件。通常的做法是以TLS的方式建立起安全連接,這裡所需的密鑰和證書必須以保密和防止被操縱的安全方式引入到設備當中,然後存放在設備中一個受保護的儲存位置。對於實現安全儲存並且安全地執行加密程式來說,專用的硬體安全模組(HSM)是不可或缺的。

採用安全安裝流程(安全快閃記憶體),以及在啟動設備軟體時採取安全的檢驗(可信引導),可以避免受操縱的軟體遇到安裝錯誤。在任意一種機制下,都可以利用數位簽章來驗證軟體的真實性。

UART、USB或者JTAG之類的介面也必須在串列產品上停用,或者透過加密程式來獲得保護,從而防止對設備的侵入。否則,攻擊者可能會利用上述管道去嘗試讀取或者操縱軟體或機密資料。

除了安全執行FOTA流程之外,還應該快速有效地完成操作。一方面,行動通訊的資料量,以及相應的成本也應保持在最低程度;另一方面,應當盡可能減少對車主的妨礙。

透過增量更新可以實現高效的處理。在這一過程中,對已裝機軟體的更改只會以二進位或者檔案的方式來傳輸和安裝。採用的Delta演算法,以及劃分到靜態和可更改資料區的軟體分區都會對資料包的大小產生顯著的影響。

FOTA過程必須極其的穩健並具有極高的容錯性,從而避免安裝上不相容、崩潰或者不一致的軟體,否則會使功能損壞。出於這一原因,利用完整性檢查,以及對通訊通道的監管來辨識出錯誤非常的重要,出錯時,需要做出適宜的回應,例如,可以透過回滾操作的方式,重新建立起無差錯的狀態。

20190917TA31P3

作為FOTA閘道的遠端資訊控制單元

從技術的角度來說,任何配有行動無線電通訊功能的控制單元都可以發揮FOTA閘道的作用。然而,遠端資訊控制單元(TCU)比其他元件更能勝任這一任務。比如說,許多車輛中的音響主機也可以作為整體組成部分之一,此外還應具備充足的儲存空間和處理能力,然而,大部分的音響主機都含有大量的無線介面。

畢竟,根據要求,這一單元需要透過藍牙、Wi-Fi或者NFC來獲取外部資源,此外還存在著許多的要求,這種對於外部世界的開放性妨礙了透過有效的防護能力來避免受到操縱。

此外,還有一個事實就是,這一單元直接安裝在儀錶板上,這就不可能將音響主機定義為FOTA中央閘道,畢竟駭客可能也會在這裡很容易的進行物理訪問。

然而,TCU的物理位置在車輛內部更深處,難以從車輛的內部操作。總而言之,它的連接數量更少,在需要時還可以停用。且到現在為止,TCU已經在提供許多其他對於安全性至關重要的功能,例如防盜控制系統的遠端啟動等。

正是有了這些關鍵的安全功能,為TCU建立的各類安全措施,例如後端的編碼和驗證等,都成為了理所當然的事情。TCU畢竟已經成為了安全拓撲上一種確立已久的成熟組成部分,被製造商廣泛採用。

為了確保車輛的安全,需要採取整體性的解決方案,因而這已成為一項優勢。後端、空中介面、閘道、車輛匯流排,以及各個控制單元都是這一鏈條上的關鍵環節。如果鏈條上最薄弱的部分受到攻擊,那麼所有其他單元的安全也會存在漏洞。

對於TCU作為FOTA架構核心的專案,從安全的角度來說,這類項目享受到的優勢不僅在於TCU零件已經高度成熟,還有在製造方面,供應商和OEM在安全流程的設計上也具有相對豐富的經驗。

FOTA中進一步的附加價值

對於為什麼透過TCU來建立FOTA可以為OEM帶來巨大的潛力,安全上的顧慮並不是唯一的原因。

召回工作代價高昂,由於成本和人工的原因,並不受到客戶的歡迎,因此在車輛中出現薄弱點時,不會再作為一種不可避免的後果,至少在處理軟體相關的問題時會這樣。許多問題實際上無需在用戶端採取任何操作即可良好解決,只要補丁可以利用無線的方式送達車輛,車輛中多種薄弱點的補救措施就不會再需要物理上的接觸了。

而且,在建立新的業務模式與客戶關係時,FOTA也可以發揮極具支持性的作用。美國汽車製造商特斯拉(Tesla)的例子就證實了這一點。在這家公司向客戶提供的一次收費約2,000美元的更新中,包含了自動駕駛功能。這樣一來,許多的特斯拉汽車都已在繼續演變成為(部分的)自動駕駛汽車。

對於OEM來說,這種業務設置開闢了一個嶄新的視角。當今一個普遍的情況就是,只要一離開最初的銷售地點,一輛新車的價值馬上就會下跌一半,並且,隨著時間的推移,價值還會繼續遞減。未來,隨著時間新的功能會不斷推出,車輛可能並不一定會喪失價值,而且實際上價值還可能會得到保留甚至增加。

那麼,到現在為止,FOTA已經遠不再是一種煩人的承諾。這種更新程式的重要性不僅在於可以為連網汽車提供基本的先決條件來確保安全,而且,在這一基礎上,OEM可以不斷的在車輛上創造出附加值,確保客戶的忠誠度,並且在銷售完成後的很長時間內都會一直保持活躍的客戶關係。

本文同步刊登於EE Times Taiwan網站