韋天文　鄧宇　向民奇　劉書(shū)帆

摘 要：隨著智能網(wǎng)聯(lián)汽車(chē)的快速發(fā)展，汽車(chē)上的控制器的代碼量也越來(lái)越大，無(wú)論是車(chē)輛遭遇軟件故障還是軟件更新，目前的線下店召回模式已經(jīng)不是滿足用戶體驗(yàn)的最佳選擇了。為了減少成本、提升用戶體驗(yàn)，F(xiàn)OTA（Firmware Over-the-Air ）固件空中下載技術(shù)成了智能汽車(chē)時(shí)代的必備技能。在FOTA給企業(yè)帶來(lái)便利的同時(shí)也帶來(lái)了安全風(fēng)險(xiǎn)，如何防止黑客從FOTA鏈路入侵車(chē)輛，如何保障汽車(chē)FOTA鏈路安全成為了首要解決的問(wèn)題。為此本文總結(jié)提出了針對(duì)智能網(wǎng)聯(lián)汽車(chē)FOTA縱深防護(hù)的安全策略。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車(chē) 信息安全 FOTA 縱深防護(hù)

FOTA Deep Protection Security Policy for Intelligent Connected Vehicles

Wei Tianwen Deng Yu Xiang Minqi Liu Shufan

Abstract：With the rapid development of intelligent connected vehicles， the amount of code of the controller on the vehicle is also increasing. No matter whether the vehicle encounters software failure or software update， the current offline store recall mode is no longer the best choice to satisfy the user experience. To reduce the cost and improve the user experience， FOTA （Firmware Over-the-Air） Firmware download technology has become a necessary skill in the era of smart cars. FOTA not only brings convenience to enterprises， but also brings security risks. How to prevent hackers from intruding into vehicles through FOTA link and how to guarantee the security of automobile FOTA link has become the primary problem to be solved. Therefore， this paper summarizes and proposes the safety strategy for FOTA depth protection of intelligent connected vehicles.

Key words：intelligent connected vehicle， cyber security， FOTA， deep protection

1 引言

汽車(chē)網(wǎng)絡(luò)安全問(wèn)題隨著汽車(chē)智能化的發(fā)展逐漸被人們關(guān)注，是新形勢(shì)下的新問(wèn)題?！爸袊?guó)制造2025”已經(jīng)將汽車(chē)網(wǎng)絡(luò)安全列為關(guān)鍵基礎(chǔ)問(wèn)題進(jìn)行研究，國(guó)家政策法規(guī)、頂層戰(zhàn)略都對(duì)車(chē)聯(lián)網(wǎng)安全管理提出了更為明確的要求，對(duì)提升車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)整體網(wǎng)絡(luò)安全具有重要意義，F(xiàn)OTA作為網(wǎng)聯(lián)汽車(chē)的一環(huán)，其安全性不言而喻。

FOTA是指通過(guò)云端升級(jí)技術(shù)，為具有聯(lián)網(wǎng)功能的設(shè)備提供固件升級(jí)服務(wù)。車(chē)載電子設(shè)備，如T-BOX，車(chē)載信息娛樂(lè)系統(tǒng)，或其它一些有升級(jí)需求的ECU，在聯(lián)網(wǎng)后通常采用FOTA方式進(jìn)行固件系統(tǒng)升級(jí)。

在FOTA流程中，主要存在傳輸風(fēng)險(xiǎn)和升級(jí)包篡改風(fēng)險(xiǎn)。車(chē)載終端下載升級(jí)包的傳輸過(guò)程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級(jí)包發(fā)送給車(chē)載終端，如果終端在升級(jí)流程中同時(shí)缺少驗(yàn)證機(jī)制，那么被篡改的升級(jí)包即可順利完成升級(jí)流程，達(dá)到篡改系統(tǒng)，植入惡意程序達(dá)到攻擊的目的。攻擊者可能還對(duì)升級(jí)包進(jìn)行解包分析，獲取一些可利用的信息，如漏洞補(bǔ)丁等，升級(jí)包中關(guān)鍵信息的暴露會(huì)增加被攻擊的風(fēng)險(xiǎn)。

本文的主要內(nèi)容是為保障智能網(wǎng)聯(lián)汽車(chē)FOTA安全，站在安全的角度，對(duì)FOTA涉及到的云、管、車(chē)端安全防護(hù)策略進(jìn)行說(shuō)明。

2 FOTA系統(tǒng)架構(gòu)

FOTA系統(tǒng)，其功能架構(gòu)圖如下所示。供應(yīng)商管理員將程序刷新包上傳至OEM TSP平臺(tái)，由TSP平臺(tái)進(jìn)行校驗(yàn)。OEM管理員創(chuàng)建升級(jí)任務(wù)，并將刷新包發(fā)送至FOTA Server;根據(jù)項(xiàng)目需要，控制FOTA Server來(lái)組合不同的模塊的刷新包，通過(guò)CDN服務(wù)器發(fā)送給車(chē)載終端，在由車(chē)載終端對(duì)目標(biāo)ECU進(jìn)行固件升級(jí)。

3 FOTA縱深防護(hù)安全策略

FOTA系統(tǒng)安全，應(yīng)確保從TSP到車(chē)載終端的傳遞過(guò)程中，提供的Software Package都處于加密狀態(tài)，盡可能少地存在明文留存的環(huán)節(jié)。同時(shí)FOTA鏈路中涉及到的TSP、FOTA Server、車(chē)載終端都需要進(jìn)行安全防護(hù)。

3.1 刷新包安全

刷新包是FOTA系統(tǒng)中的一個(gè)重要資產(chǎn)，對(duì)刷新包的安全保護(hù)措施十分重要，需要從機(jī)密性、完整性、真實(shí)性來(lái)進(jìn)行安全防護(hù)。

刷新包安全策略：服務(wù)器隨機(jī)生成加密密鑰（采用真隨機(jī)數(shù)生成器生成），對(duì)刷新文件進(jìn)行整包加密，采用對(duì)稱加密算法如AES-128bit或更高安全等級(jí)算法進(jìn)行。在對(duì)刷新文件進(jìn)行加密之前，使用哈希算法計(jì)算哈希值。采用數(shù)字簽名的方式對(duì)哈希值進(jìn)行簽名。從而保證整個(gè)刷新包的機(jī)密性、完整性、真實(shí)性。

3.2 TSP安全

OEM TSP平臺(tái)對(duì)供應(yīng)商管理員上傳的刷新包，進(jìn)行解密和數(shù)字簽名驗(yàn)證，校驗(yàn)數(shù)據(jù)包的合法性。校驗(yàn)合法之后，OEM TSP將刷新包傳給FOTA Server進(jìn)行緩存，傳送之前，進(jìn)行一次刷新包加密并添加OEM的信息，做完數(shù)字簽名和加密之后，傳遞給FOTA Server。

OEM TSP的安全策略需要遵循如下原則：

1.需要給不同的Supplier進(jìn)行賬號(hào)和權(quán)限管理

2.需要對(duì)Supplier上傳的刷新包進(jìn)行安全校驗(yàn)

3.需要和Supplier之間進(jìn)行雙向身份驗(yàn)證

4.需要對(duì)用于身份鑒權(quán)的信息進(jìn)行安全存儲(chǔ)

5.需要和Supplier進(jìn)行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對(duì)稱加密”

6.需要部署安全數(shù)據(jù)日志的功能

7.需要指定專(zhuān)門(mén)的人員對(duì)OEM TSP平臺(tái)進(jìn)行維護(hù)

8.需要和FOTA Server進(jìn)行https安全通訊

9.需要對(duì)發(fā)送給FOTA Server的數(shù)據(jù)包進(jìn)行非對(duì)稱加密

10.需要對(duì)所有輸入的信號(hào)進(jìn)行合法性校驗(yàn)

11.需要關(guān)閉不必要的訪問(wèn)端口

12.對(duì)所有車(chē)輛上的用于刷新的密鑰信息，進(jìn)行安全管理

13.刷新密鑰的管理服務(wù)器，需要獨(dú)立于其它應(yīng)用業(yè)務(wù)的服務(wù)器

14.所有通訊接口上需要具備防重放攻擊的能力

15.需要和車(chē)載終端進(jìn)行https的通訊協(xié)議

3.3 FOTA Server安全

FOTA Server在收到OEM TSP傳輸過(guò)來(lái)的刷新包之后，根據(jù)項(xiàng)目需要，OEM管理員建立升級(jí)任務(wù)，控制FOTA Server來(lái)組合不同模塊的刷新包生成任務(wù)刷新包，通過(guò)CDN服務(wù)器發(fā)送給車(chē)載終端。

FOTA Server的安全策略需要遵循如下原則：

1.服務(wù)器需要防護(hù)DDOS攻擊

2.需要具備防火墻功能，來(lái)防護(hù)外部的惡意攻擊

3.需要給不同的系統(tǒng)用戶進(jìn)行賬號(hào)和權(quán)限管理

4.需要對(duì)OEM TSP上傳的刷新包進(jìn)行安全校驗(yàn)

5.需要和OEM TSP之間進(jìn)行雙向身份驗(yàn)證

6.需要對(duì)用于身份鑒權(quán)的信息進(jìn)行安全存儲(chǔ)

7.需要和OEM TSP進(jìn)行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對(duì)稱加密”

8.需要部署安全數(shù)據(jù)日志的功能

9.需要指定專(zhuān)門(mén)的人員對(duì)FOTA Server平臺(tái)進(jìn)行維護(hù)

10.需要和CDN Server進(jìn)行https安全通訊

11.需要對(duì)發(fā)送給CDN Server的數(shù)據(jù)包進(jìn)行對(duì)稱加密

12.需要對(duì)所有輸入的信號(hào)進(jìn)行合法性校驗(yàn)

13.需要關(guān)閉不必要的訪問(wèn)端口

14.所有通訊接口上需要具備防重放攻擊的能力

3.4 車(chē)端終端安全

車(chē)載終端作為刷新包的最終接收節(jié)點(diǎn)，終端內(nèi)部MPU芯片作為主管理節(jié)點(diǎn)，MCU芯片作為執(zhí)行節(jié)點(diǎn)，需要同時(shí)考慮MPU芯片及MCU芯片的安全。

MPU安全策略需要遵循如下原則：

1.需要支持和CDN Server的安全通訊

2.需要支持和OEM TSP的安全通訊

3.需要支持非對(duì)稱算法證書(shū)的安全存儲(chǔ)

4.需要支持對(duì)稱算法密鑰的安全存儲(chǔ)

5.需要支持SecureBoot功能

6.需要支持?jǐn)?shù)字簽名的校驗(yàn)

7.需要支持非對(duì)稱算法的加密和解密運(yùn)算

8.需要對(duì)云端下發(fā)的刷新包進(jìn)行數(shù)字簽名的解密和數(shù)字簽名的校驗(yàn)

9.需要以對(duì)稱加密的方式將刷新包寫(xiě)入eMMC當(dāng)中

10.從eMMC中讀出的刷新包之后，需要進(jìn)行解密

MCU安全策略需要遵循如下原則：

1.需要支持SecureBoot功能

2.需要支持密鑰的安全存儲(chǔ)

3.需要支持對(duì)稱算法的加解密運(yùn)算

4.需要對(duì)MPU傳遞過(guò)來(lái)的刷新包進(jìn)行CMAC校驗(yàn)。若校驗(yàn)通過(guò)，則認(rèn)為刷新包合法，再開(kāi)始進(jìn)行下一步的操作;若校驗(yàn)不通過(guò)，則丟棄此刷新包。

5.和車(chē)內(nèi)ECU的鑒權(quán)密鑰，需要進(jìn)行安全存儲(chǔ)

另外，為確保每個(gè)刷新工作可追溯，需要記錄系統(tǒng)上發(fā)生的事件，包括如下：

1.關(guān)鍵事件，比如上電、斷電等

2.成功/失敗的系統(tǒng)登錄請(qǐng)求（診斷安全認(rèn)證）

3.成功/失敗的數(shù)據(jù)訪問(wèn)請(qǐng)求（診斷10、27、2F、22、2E、28、11、31、35、19服務(wù)）

4.系統(tǒng)配置文件發(fā)生變化

5.特殊權(quán)限的使用（診斷27 03/04權(quán)限）

6.訪問(wèn)內(nèi)存的記錄（訪問(wèn)地址、操作類(lèi)型）

4 總結(jié)

整車(chē)FOTA 功能是實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車(chē)快速迭代升級(jí)的必備條件，是智能網(wǎng)聯(lián)汽車(chē)未來(lái)發(fā)展的必然趨勢(shì)。本文主要包括了系統(tǒng)架構(gòu)方案概述、架構(gòu)安全簡(jiǎn)要分析以及系統(tǒng)安全策略，重點(diǎn)從安全需求角度出發(fā)，對(duì)FOTA系統(tǒng)的信息安全策略進(jìn)行梳理和總結(jié)，覆蓋了“云-管-端” 三個(gè)大環(huán)節(jié)。系統(tǒng)安全需求覆蓋此系統(tǒng)中的數(shù)據(jù)安全、應(yīng)用功能安全、接口安全、通訊安全和其它安全需求，期望對(duì)FOTA系統(tǒng)的安全開(kāi)發(fā)具有指導(dǎo)意義。

參考文獻(xiàn)：

[1]李立安，趙幗娟，任廣樂(lè).OTA 實(shí)現(xiàn)方案及汽車(chē)端設(shè)計(jì)分析[J].智能網(wǎng)聯(lián)汽車(chē)，2020（14）：16—19.

[2]王棟梁，湯利順，陳博，柳旭，劉闖.智能網(wǎng)聯(lián)汽車(chē)整車(chē)OTA 功能設(shè)計(jì)研究[J].汽車(chē)技術(shù)，2018（10）：29—33.

[3]武翔宇，趙德華，郝鐵亮.淺談汽車(chē)OTA的現(xiàn)狀與未來(lái)發(fā)展趨勢(shì)[J].汽車(chē)實(shí)用技術(shù)，2019（3）：215—216

[4]武翔宇.淺談汽車(chē)OTA的現(xiàn)狀與未來(lái)發(fā)展趨勢(shì)[J].汽車(chē)實(shí)用技術(shù)，2019（15）：214-216.

[5]張海強(qiáng)，智能網(wǎng)聯(lián)汽車(chē)安全遠(yuǎn)程升級(jí)技術(shù)的研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2018.