智能网联汽车FOTA纵深防护安全策略

2021-12-30 13:10韦天文邓宇向民奇刘书帆
时代汽车 2021年24期
关键词:智能网联汽车信息安全

韦天文 邓宇 向民奇 刘书帆

摘 要:随着智能网联汽车的快速发展,汽车上的控制器的代码量也越来越大,无论是车辆遭遇软件故障还是软件更新,目前的线下店召回模式已经不是满足用户体验的最佳选择了。为了减少成本、提升用户体验,FOTA(Firmware Over-the-Air )固件空中下载技术成了智能汽车时代的必备技能。在FOTA给企业带来便利的同时也带来了安全风险,如何防止黑客从FOTA链路入侵车辆,如何保障汽车FOTA链路安全成为了首要解决的问题。为此本文总结提出了针对智能网联汽车FOTA纵深防护的安全策略。

关键词:智能网联汽车 信息安全 FOTA 纵深防护

FOTA Deep Protection Security Policy for Intelligent Connected Vehicles

Wei Tianwen Deng Yu Xiang Minqi Liu Shufan

Abstract:With the rapid development of intelligent connected vehicles, the amount of code of the controller on the vehicle is also increasing. No matter whether the vehicle encounters software failure or software update, the current offline store recall mode is no longer the best choice to satisfy the user experience. To reduce the cost and improve the user experience, FOTA (Firmware Over-the-Air) Firmware download technology has become a necessary skill in the era of smart cars. FOTA not only brings convenience to enterprises, but also brings security risks. How to prevent hackers from intruding into vehicles through FOTA link and how to guarantee the security of automobile FOTA link has become the primary problem to be solved. Therefore, this paper summarizes and proposes the safety strategy for FOTA depth protection of intelligent connected vehicles.

Key words:intelligent connected vehicle, cyber security, FOTA, deep protection

1 引言

汽車网络安全问题随着汽车智能化的发展逐渐被人们关注,是新形势下的新问题。“中国制造2025”已经将汽车网络安全列为关键基础问题进行研究,国家政策法规、顶层战略都对车联网安全管理提出了更为明确的要求,对提升车联网产业整体网络安全具有重要意义,FOTA作为网联汽车的一环,其安全性不言而喻。

FOTA是指通过云端升级技术,为具有联网功能的设备提供固件升级服务。车载电子设备,如T-BOX,车载信息娱乐系统,或其它一些有升级需求的ECU,在联网后通常采用FOTA方式进行固件系统升级。

在FOTA流程中,主要存在传输风险和升级包篡改风险。车载终端下载升级包的传输过程中,攻击者可利用网络攻击手段,如中间人攻击,将篡改伪造的升级包发送给车载终端,如果终端在升级流程中同时缺少验证机制,那么被篡改的升级包即可顺利完成升级流程,达到篡改系统,植入恶意程序达到攻击的目的。攻击者可能还对升级包进行解包分析,获取一些可利用的信息,如漏洞补丁等,升级包中关键信息的暴露会增加被攻击的风险。

本文的主要内容是为保障智能网联汽车FOTA安全,站在安全的角度,对FOTA涉及到的云、管、车端安全防护策略进行说明。

2 FOTA系统架构

FOTA系统,其功能架构图如下所示。供应商管理员将程序刷新包上传至OEM TSP平台,由TSP平台进行校验。OEM管理员创建升级任务,并将刷新包发送至FOTA Server;根据项目需要,控制FOTA Server来组合不同的模块的刷新包,通过CDN服务器发送给车载终端,在由车载终端对目标ECU进行固件升级。

3 FOTA纵深防护安全策略

FOTA系统安全,应确保从TSP到车载终端的传递过程中,提供的Software Package都处于加密状态,尽可能少地存在明文留存的环节。同时FOTA链路中涉及到的TSP、FOTA Server、车载终端都需要进行安全防护。

3.1 刷新包安全

刷新包是FOTA系统中的一个重要资产,对刷新包的安全保护措施十分重要,需要从机密性、完整性、真实性来进行安全防护。

刷新包安全策略:服务器随机生成加密密钥(采用真随机数生成器生成),对刷新文件进行整包加密,采用对称加密算法如AES-128bit或更高安全等级算法进行。在对刷新文件进行加密之前,使用哈希算法计算哈希值。采用数字签名的方式对哈希值进行签名。从而保证整个刷新包的机密性、完整性、真实性。

3.2 TSP安全

OEM TSP平台对供应商管理员上传的刷新包,进行解密和数字签名验证,校验数据包的合法性。校验合法之后,OEM TSP将刷新包传给FOTA Server进行缓存,传送之前,进行一次刷新包加密并添加OEM的信息,做完数字签名和加密之后,传递给FOTA Server。

OEM TSP的安全策略需要遵循如下原则:

1.需要给不同的Supplier进行账号和权限管理

2.需要对Supplier上传的刷新包进行安全校验

3.需要和Supplier之间进行双向身份验证

4.需要对用于身份鉴权的信息进行安全存储

5.需要和Supplier进行安全通讯,推荐为https通讯,或者“http通讯+数据包非对称加密”

6.需要部署安全数据日志的功能

7.需要指定专门的人员对OEM TSP平台进行维护

8.需要和FOTA Server进行https安全通讯

9.需要对发送给FOTA Server的数据包进行非对称加密

10.需要对所有输入的信号进行合法性校验

11.需要关闭不必要的访问端口

12.对所有车辆上的用于刷新的密钥信息,进行安全管理

13.刷新密钥的管理服务器,需要独立于其它应用业务的服务器

14.所有通讯接口上需要具备防重放攻击的能力

15.需要和车载终端进行https的通讯协议

3.3 FOTA Server安全

FOTA Server在收到OEM TSP传输过来的刷新包之后,根据项目需要,OEM管理员建立升级任务,控制FOTA Server来组合不同模块的刷新包生成任务刷新包,通过CDN服务器发送给车载终端。

FOTA Server的安全策略需要遵循如下原则:

1.服务器需要防护DDOS攻击

2.需要具备防火墙功能,来防护外部的恶意攻击

3.需要给不同的系统用户进行账号和权限管理

4.需要对OEM TSP上传的刷新包进行安全校验

5.需要和OEM TSP之间进行双向身份验证

6.需要对用于身份鉴权的信息进行安全存储

7.需要和OEM TSP进行安全通讯,推荐为https通讯,或者“http通讯+数据包非对称加密”

8.需要部署安全数据日志的功能

9.需要指定专门的人员对FOTA Server平台进行维护

10.需要和CDN Server进行https安全通讯

11.需要对发送给CDN Server的数据包进行对称加密

12.需要对所有输入的信号进行合法性校验

13.需要关闭不必要的访问端口

14.所有通讯接口上需要具备防重放攻击的能力

3.4 车端終端安全

车载终端作为刷新包的最终接收节点,终端内部MPU芯片作为主管理节点,MCU芯片作为执行节点,需要同时考虑MPU芯片及MCU芯片的安全。

MPU安全策略需要遵循如下原则:

1.需要支持和CDN Server的安全通讯

2.需要支持和OEM TSP的安全通讯

3.需要支持非对称算法证书的安全存储

4.需要支持对称算法密钥的安全存储

5.需要支持SecureBoot功能

6.需要支持数字签名的校验

7.需要支持非对称算法的加密和解密运算

8.需要对云端下发的刷新包进行数字签名的解密和数字签名的校验

9.需要以对称加密的方式将刷新包写入eMMC当中

10.从eMMC中读出的刷新包之后,需要进行解密

MCU安全策略需要遵循如下原则:

1.需要支持SecureBoot功能

2.需要支持密钥的安全存储

3.需要支持对称算法的加解密运算

4.需要对MPU传递过来的刷新包进行CMAC校验。若校验通过,则认为刷新包合法,再开始进行下一步的操作;若校验不通过,则丢弃此刷新包。

5.和车内ECU的鉴权密钥,需要进行安全存储

另外,为确保每个刷新工作可追溯,需要记录系统上发生的事件,包括如下:

1.关键事件,比如上电、断电等

2.成功/失败的系统登录请求(诊断安全认证)

3.成功/失败的数据访问请求(诊断10、27、2F、22、2E、28、11、31、35、19服务)

4.系统配置文件发生变化

5.特殊权限的使用(诊断27 03/04权限)

6.访问内存的记录(访问地址、操作类型)

4 总结

整车FOTA 功能是实现智能网联汽车快速迭代升级的必备条件,是智能网联汽车未来发展的必然趋势。本文主要包括了系统架构方案概述、架构安全简要分析以及系统安全策略,重点从安全需求角度出发,对FOTA系统的信息安全策略进行梳理和总结,覆盖了“云-管-端” 三个大环节。系统安全需求覆盖此系统中的数据安全、应用功能安全、接口安全、通讯安全和其它安全需求,期望对FOTA系统的安全开发具有指导意义。

参考文献:

[1]李立安,赵帼娟,任广乐.OTA 实现方案及汽车端设计分析[J].智能网联汽车,2020(14):16—19.

[2]王栋梁,汤利顺,陈博,柳旭,刘闯.智能网联汽车整车OTA 功能设计研究[J].汽车技术,2018(10):29—33.

[3]武翔宇,赵德华,郝铁亮.浅谈汽车OTA的现状与未来发展趋势[J].汽车实用技术,2019(3):215—216

[4]武翔宇.浅谈汽车OTA的现状与未来发展趋势[J].汽车实用技术,2019(15):214-216.

[5]张海强,智能网联汽车安全远程升级技术的研究与实现[D].成都:电子科技大学,2018.

猜你喜欢
智能网联汽车信息安全
信息安全不止单纯的技术问题
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
浅谈智能网联汽车产业投资基金的风险控制
我国智能网联汽车产业的发展困境与应对策略
国内外智能网联汽车测试场地发展分析
智能网联汽车网络架构方案研究
2014第十五届中国信息安全大会奖项
信息安全管理