智能網(wǎng)聯(lián)汽車FOTA縱深防護(hù)安全策略

韋天文　鄧宇　向民奇　劉書帆

摘 要：隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，汽車上的控制器的代碼量也越來越大，無論是車輛遭遇軟件故障還是軟件更新，目前的線下店召回模式已經(jīng)不是滿足用戶體驗的最佳選擇了。為了減少成本、提升用戶體驗，F(xiàn)OTA（Firmware Over-the-Air ）固件空中下載技術(shù)成了智能汽車時代的必備技能。在FOTA給企業(yè)帶來便利的同時也帶來了安全風(fēng)險，如何防止黑客從FOTA鏈路入侵車輛，如何保障汽車FOTA鏈路安全成為了首要解決的問題。為此本文總結(jié)提出了針對智能網(wǎng)聯(lián)汽車FOTA縱深防護(hù)的安全策略。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車 信息安全 FOTA 縱深防護(hù)

FOTA Deep Protection Security Policy for Intelligent Connected Vehicles

Wei Tianwen Deng Yu Xiang Minqi Liu Shufan

Abstract：With the rapid development of intelligent connected vehicles， the amount of code of the controller on the vehicle is also increasing. No matter whether the vehicle encounters software failure or software update， the current offline store recall mode is no longer the best choice to satisfy the user experience. To reduce the cost and improve the user experience， FOTA （Firmware Over-the-Air） Firmware download technology has become a necessary skill in the era of smart cars. FOTA not only brings convenience to enterprises， but also brings security risks. How to prevent hackers from intruding into vehicles through FOTA link and how to guarantee the security of automobile FOTA link has become the primary problem to be solved. Therefore， this paper summarizes and proposes the safety strategy for FOTA depth protection of intelligent connected vehicles.

Key words：intelligent connected vehicle， cyber security， FOTA， deep protection

1 引言

汽車網(wǎng)絡(luò)安全問題隨著汽車智能化的發(fā)展逐漸被人們關(guān)注，是新形勢下的新問題。“中國制造2025”已經(jīng)將汽車網(wǎng)絡(luò)安全列為關(guān)鍵基礎(chǔ)問題進(jìn)行研究，國家政策法規(guī)、頂層戰(zhàn)略都對車聯(lián)網(wǎng)安全管理提出了更為明確的要求，對提升車聯(lián)網(wǎng)產(chǎn)業(yè)整體網(wǎng)絡(luò)安全具有重要意義，F(xiàn)OTA作為網(wǎng)聯(lián)汽車的一環(huán)，其安全性不言而喻。

FOTA是指通過云端升級技術(shù)，為具有聯(lián)網(wǎng)功能的設(shè)備提供固件升級服務(wù)。車載電子設(shè)備，如T-BOX，車載信息娛樂系統(tǒng)，或其它一些有升級需求的ECU，在聯(lián)網(wǎng)后通常采用FOTA方式進(jìn)行固件系統(tǒng)升級。

在FOTA流程中，主要存在傳輸風(fēng)險和升級包篡改風(fēng)險。車載終端下載升級包的傳輸過程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級包發(fā)送給車載終端，如果終端在升級流程中同時缺少驗證機(jī)制，那么被篡改的升級包即可順利完成升級流程，達(dá)到篡改系統(tǒng)，植入惡意程序達(dá)到攻擊的目的。攻擊者可能還對升級包進(jìn)行解包分析，獲取一些可利用的信息，如漏洞補(bǔ)丁等，升級包中關(guān)鍵信息的暴露會增加被攻擊的風(fēng)險。

本文的主要內(nèi)容是為保障智能網(wǎng)聯(lián)汽車FOTA安全，站在安全的角度，對FOTA涉及到的云、管、車端安全防護(hù)策略進(jìn)行說明。

2 FOTA系統(tǒng)架構(gòu)

FOTA系統(tǒng)，其功能架構(gòu)圖如下所示。供應(yīng)商管理員將程序刷新包上傳至OEM TSP平臺，由TSP平臺進(jìn)行校驗。OEM管理員創(chuàng)建升級任務(wù)，并將刷新包發(fā)送至FOTA Server;根據(jù)項目需要，控制FOTA Server來組合不同的模塊的刷新包，通過CDN服務(wù)器發(fā)送給車載終端，在由車載終端對目標(biāo)ECU進(jìn)行固件升級。

3 FOTA縱深防護(hù)安全策略

FOTA系統(tǒng)安全，應(yīng)確保從TSP到車載終端的傳遞過程中，提供的Software Package都處于加密狀態(tài)，盡可能少地存在明文留存的環(huán)節(jié)。同時FOTA鏈路中涉及到的TSP、FOTA Server、車載終端都需要進(jìn)行安全防護(hù)。

3.1 刷新包安全

刷新包是FOTA系統(tǒng)中的一個重要資產(chǎn)，對刷新包的安全保護(hù)措施十分重要，需要從機(jī)密性、完整性、真實性來進(jìn)行安全防護(hù)。

刷新包安全策略：服務(wù)器隨機(jī)生成加密密鑰（采用真隨機(jī)數(shù)生成器生成），對刷新文件進(jìn)行整包加密，采用對稱加密算法如AES-128bit或更高安全等級算法進(jìn)行。在對刷新文件進(jìn)行加密之前，使用哈希算法計算哈希值。采用數(shù)字簽名的方式對哈希值進(jìn)行簽名。從而保證整個刷新包的機(jī)密性、完整性、真實性。

3.2 TSP安全

OEM TSP平臺對供應(yīng)商管理員上傳的刷新包，進(jìn)行解密和數(shù)字簽名驗證，校驗數(shù)據(jù)包的合法性。校驗合法之后，OEM TSP將刷新包傳給FOTA Server進(jìn)行緩存，傳送之前，進(jìn)行一次刷新包加密并添加OEM的信息，做完數(shù)字簽名和加密之后，傳遞給FOTA Server。

OEM TSP的安全策略需要遵循如下原則：

1.需要給不同的Supplier進(jìn)行賬號和權(quán)限管理

2.需要對Supplier上傳的刷新包進(jìn)行安全校驗

3.需要和Supplier之間進(jìn)行雙向身份驗證

4.需要對用于身份鑒權(quán)的信息進(jìn)行安全存儲

5.需要和Supplier進(jìn)行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對稱加密”

6.需要部署安全數(shù)據(jù)日志的功能

7.需要指定專門的人員對OEM TSP平臺進(jìn)行維護(hù)

8.需要和FOTA Server進(jìn)行https安全通訊

9.需要對發(fā)送給FOTA Server的數(shù)據(jù)包進(jìn)行非對稱加密

10.需要對所有輸入的信號進(jìn)行合法性校驗

11.需要關(guān)閉不必要的訪問端口

12.對所有車輛上的用于刷新的密鑰信息，進(jìn)行安全管理

13.刷新密鑰的管理服務(wù)器，需要獨(dú)立于其它應(yīng)用業(yè)務(wù)的服務(wù)器

14.所有通訊接口上需要具備防重放攻擊的能力

15.需要和車載終端進(jìn)行https的通訊協(xié)議

3.3 FOTA Server安全

FOTA Server在收到OEM TSP傳輸過來的刷新包之后，根據(jù)項目需要，OEM管理員建立升級任務(wù)，控制FOTA Server來組合不同模塊的刷新包生成任務(wù)刷新包，通過CDN服務(wù)器發(fā)送給車載終端。

FOTA Server的安全策略需要遵循如下原則：

1.服務(wù)器需要防護(hù)DDOS攻擊

2.需要具備防火墻功能，來防護(hù)外部的惡意攻擊

3.需要給不同的系統(tǒng)用戶進(jìn)行賬號和權(quán)限管理

4.需要對OEM TSP上傳的刷新包進(jìn)行安全校驗

5.需要和OEM TSP之間進(jìn)行雙向身份驗證

6.需要對用于身份鑒權(quán)的信息進(jìn)行安全存儲

7.需要和OEM TSP進(jìn)行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對稱加密”

8.需要部署安全數(shù)據(jù)日志的功能

9.需要指定專門的人員對FOTA Server平臺進(jìn)行維護(hù)

10.需要和CDN Server進(jìn)行https安全通訊

11.需要對發(fā)送給CDN Server的數(shù)據(jù)包進(jìn)行對稱加密

12.需要對所有輸入的信號進(jìn)行合法性校驗

13.需要關(guān)閉不必要的訪問端口

14.所有通訊接口上需要具備防重放攻擊的能力

3.4 車端終端安全

車載終端作為刷新包的最終接收節(jié)點，終端內(nèi)部MPU芯片作為主管理節(jié)點，MCU芯片作為執(zhí)行節(jié)點，需要同時考慮MPU芯片及MCU芯片的安全。

MPU安全策略需要遵循如下原則：

1.需要支持和CDN Server的安全通訊

2.需要支持和OEM TSP的安全通訊

3.需要支持非對稱算法證書的安全存儲

4.需要支持對稱算法密鑰的安全存儲

5.需要支持SecureBoot功能

6.需要支持?jǐn)?shù)字簽名的校驗

7.需要支持非對稱算法的加密和解密運(yùn)算

8.需要對云端下發(fā)的刷新包進(jìn)行數(shù)字簽名的解密和數(shù)字簽名的校驗

9.需要以對稱加密的方式將刷新包寫入eMMC當(dāng)中

10.從eMMC中讀出的刷新包之后，需要進(jìn)行解密

MCU安全策略需要遵循如下原則：

1.需要支持SecureBoot功能

2.需要支持密鑰的安全存儲

3.需要支持對稱算法的加解密運(yùn)算

4.需要對MPU傳遞過來的刷新包進(jìn)行CMAC校驗。若校驗通過，則認(rèn)為刷新包合法，再開始進(jìn)行下一步的操作;若校驗不通過，則丟棄此刷新包。

5.和車內(nèi)ECU的鑒權(quán)密鑰，需要進(jìn)行安全存儲

另外，為確保每個刷新工作可追溯，需要記錄系統(tǒng)上發(fā)生的事件，包括如下：

1.關(guān)鍵事件，比如上電、斷電等

2.成功/失敗的系統(tǒng)登錄請求（診斷安全認(rèn)證）

3.成功/失敗的數(shù)據(jù)訪問請求（診斷10、27、2F、22、2E、28、11、31、35、19服務(wù)）

4.系統(tǒng)配置文件發(fā)生變化

5.特殊權(quán)限的使用（診斷27 03/04權(quán)限）

6.訪問內(nèi)存的記錄（訪問地址、操作類型）

4 總結(jié)

整車FOTA 功能是實現(xiàn)智能網(wǎng)聯(lián)汽車快速迭代升級的必備條件，是智能網(wǎng)聯(lián)汽車未來發(fā)展的必然趨勢。本文主要包括了系統(tǒng)架構(gòu)方案概述、架構(gòu)安全簡要分析以及系統(tǒng)安全策略，重點從安全需求角度出發(fā)，對FOTA系統(tǒng)的信息安全策略進(jìn)行梳理和總結(jié)，覆蓋了“云-管-端” 三個大環(huán)節(jié)。系統(tǒng)安全需求覆蓋此系統(tǒng)中的數(shù)據(jù)安全、應(yīng)用功能安全、接口安全、通訊安全和其它安全需求，期望對FOTA系統(tǒng)的安全開發(fā)具有指導(dǎo)意義。

參考文獻(xiàn)：

[1]李立安，趙幗娟，任廣樂.OTA 實現(xiàn)方案及汽車端設(shè)計分析[J].智能網(wǎng)聯(lián)汽車，2020（14）：16—19.

[2]王棟梁，湯利順，陳博，柳旭，劉闖.智能網(wǎng)聯(lián)汽車整車OTA 功能設(shè)計研究[J].汽車技術(shù)，2018（10）：29—33.

[3]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019（3）：215—216

[4]武翔宇.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019（15）：214-216.

[5]張海強(qiáng)，智能網(wǎng)聯(lián)汽車安全遠(yuǎn)程升級技術(shù)的研究與實現(xiàn)[D].成都：電子科技大學(xué)，2018.