韋天文　鄧宇　向民奇　劉書帆

摘 要：隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，汽車上的控制器的代碼量也越來越大，無論是車輛遭遇軟件故障還是軟件更新，目前的線下店召回模式已經(jīng)不是滿足用戶體驗的最佳選擇了。為了減少成本、提升用戶體驗，F(xiàn)OTA（Firmware Over-the-Air ）固件空中下載技術(shù)成了智能汽車時代的必備技能。在FOTA給企業(yè)帶來便利的同時也帶來了安全風(fēng)險，如何防止黑客從FOTA鏈路入侵車輛，如何保障汽車FOTA鏈路安全成為了首要解決的問題。為此本文總結(jié)提出了針對智能網(wǎng)聯(lián)汽車FOTA縱深防護的安全策略。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車 信息安全 FOTA 縱深防護

FOTA Deep Protection Security Policy for Intelligent Connected Vehicles

Wei Tianwen Deng Yu Xiang Minqi Liu Shufan

Abstract：With the rapid development of intelligent connected vehicles， the amount of code of the controller on the vehicle is also increasing. No matter whether the vehicle encounters software failure or software update， the current offline store recall mode is no longer the best choice to satisfy the user experience. To reduce the cost and improve the user experience， FOTA （Firmware Over-the-Air） Firmware download technology has become a necessary skill in the era of smart cars. FOTA not only brings convenience to enterprises， but also brings security risks. How to prevent hackers from intruding into vehicles through FOTA link and how to guarantee the security of automobile FOTA link has become the primary problem to be solved. Therefore， this paper summarizes and proposes the safety strategy for FOTA depth protection of intelligent connected vehicles.

Key words：intelligent connected vehicle， cyber security， FOTA， deep protection

1 引言

汽車網(wǎng)絡(luò)安全問題隨著汽車智能化的發(fā)展逐漸被人們關(guān)注，是新形勢下的新問題?！爸袊圃?025”已經(jīng)將汽車網(wǎng)絡(luò)安全列為關(guān)鍵基礎(chǔ)問題進行研究，國家政策法規(guī)、頂層戰(zhàn)略都對車聯(lián)網(wǎng)安全管理提出了更為明確的要求，對提升車聯(lián)網(wǎng)產(chǎn)業(yè)整體網(wǎng)絡(luò)安全具有重要意義，F(xiàn)OTA作為網(wǎng)聯(lián)汽車的一環(huán)，其安全性不言而喻。

FOTA是指通過云端升級技術(shù)，為具有聯(lián)網(wǎng)功能的設(shè)備提供固件升級服務(wù)。車載電子設(shè)備，如T-BOX，車載信息娛樂系統(tǒng)，或其它一些有升級需求的ECU，在聯(lián)網(wǎng)后通常采用FOTA方式進行固件系統(tǒng)升級。

在FOTA流程中，主要存在傳輸風(fēng)險和升級包篡改風(fēng)險。車載終端下載升級包的傳輸過程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級包發(fā)送給車載終端，如果終端在升級流程中同時缺少驗證機制，那么被篡改的升級包即可順利完成升級流程，達到篡改系統(tǒng)，植入惡意程序達到攻擊的目的。攻擊者可能還對升級包進行解包分析，獲取一些可利用的信息，如漏洞補丁等，升級包中關(guān)鍵信息的暴露會增加被攻擊的風(fēng)險。

本文的主要內(nèi)容是為保障智能網(wǎng)聯(lián)汽車FOTA安全，站在安全的角度，對FOTA涉及到的云、管、車端安全防護策略進行說明。

2 FOTA系統(tǒng)架構(gòu)

FOTA系統(tǒng)，其功能架構(gòu)圖如下所示。供應(yīng)商管理員將程序刷新包上傳至OEM TSP平臺，由TSP平臺進行校驗。OEM管理員創(chuàng)建升級任務(wù)，并將刷新包發(fā)送至FOTA Server;根據(jù)項目需要，控制FOTA Server來組合不同的模塊的刷新包，通過CDN服務(wù)器發(fā)送給車載終端，在由車載終端對目標ECU進行固件升級。

3 FOTA縱深防護安全策略

FOTA系統(tǒng)安全，應(yīng)確保從TSP到車載終端的傳遞過程中，提供的Software Package都處于加密狀態(tài)，盡可能少地存在明文留存的環(huán)節(jié)。同時FOTA鏈路中涉及到的TSP、FOTA Server、車載終端都需要進行安全防護。

3.1 刷新包安全

刷新包是FOTA系統(tǒng)中的一個重要資產(chǎn)，對刷新包的安全保護措施十分重要，需要從機密性、完整性、真實性來進行安全防護。

刷新包安全策略：服務(wù)器隨機生成加密密鑰（采用真隨機數(shù)生成器生成），對刷新文件進行整包加密，采用對稱加密算法如AES-128bit或更高安全等級算法進行。在對刷新文件進行加密之前，使用哈希算法計算哈希值。采用數(shù)字簽名的方式對哈希值進行簽名。從而保證整個刷新包的機密性、完整性、真實性。

3.2 TSP安全

OEM TSP平臺對供應(yīng)商管理員上傳的刷新包，進行解密和數(shù)字簽名驗證，校驗數(shù)據(jù)包的合法性。校驗合法之后，OEM TSP將刷新包傳給FOTA Server進行緩存，傳送之前，進行一次刷新包加密并添加OEM的信息，做完數(shù)字簽名和加密之后，傳遞給FOTA Server。

OEM TSP的安全策略需要遵循如下原則：

1.需要給不同的Supplier進行賬號和權(quán)限管理

2.需要對Supplier上傳的刷新包進行安全校驗

3.需要和Supplier之間進行雙向身份驗證

4.需要對用于身份鑒權(quán)的信息進行安全存儲

5.需要和Supplier進行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對稱加密”

6.需要部署安全數(shù)據(jù)日志的功能

7.需要指定專門的人員對OEM TSP平臺進行維護

8.需要和FOTA Server進行https安全通訊

9.需要對發(fā)送給FOTA Server的數(shù)據(jù)包進行非對稱加密

10.需要對所有輸入的信號進行合法性校驗

11.需要關(guān)閉不必要的訪問端口

12.對所有車輛上的用于刷新的密鑰信息，進行安全管理

13.刷新密鑰的管理服務(wù)器，需要獨立于其它應(yīng)用業(yè)務(wù)的服務(wù)器

14.所有通訊接口上需要具備防重放攻擊的能力

15.需要和車載終端進行https的通訊協(xié)議

3.3 FOTA Server安全

FOTA Server在收到OEM TSP傳輸過來的刷新包之后，根據(jù)項目需要，OEM管理員建立升級任務(wù)，控制FOTA Server來組合不同模塊的刷新包生成任務(wù)刷新包，通過CDN服務(wù)器發(fā)送給車載終端。

FOTA Server的安全策略需要遵循如下原則：

1.服務(wù)器需要防護DDOS攻擊

2.需要具備防火墻功能，來防護外部的惡意攻擊

3.需要給不同的系統(tǒng)用戶進行賬號和權(quán)限管理

4.需要對OEM TSP上傳的刷新包進行安全校驗

5.需要和OEM TSP之間進行雙向身份驗證

6.需要對用于身份鑒權(quán)的信息進行安全存儲

7.需要和OEM TSP進行安全通訊，推薦為https通訊，或者“http通訊+數(shù)據(jù)包非對稱加密”

8.需要部署安全數(shù)據(jù)日志的功能

9.需要指定專門的人員對FOTA Server平臺進行維護

10.需要和CDN Server進行https安全通訊

11.需要對發(fā)送給CDN Server的數(shù)據(jù)包進行對稱加密

12.需要對所有輸入的信號進行合法性校驗

13.需要關(guān)閉不必要的訪問端口

14.所有通訊接口上需要具備防重放攻擊的能力

3.4 車端終端安全

車載終端作為刷新包的最終接收節(jié)點，終端內(nèi)部MPU芯片作為主管理節(jié)點，MCU芯片作為執(zhí)行節(jié)點，需要同時考慮MPU芯片及MCU芯片的安全。

MPU安全策略需要遵循如下原則：

1.需要支持和CDN Server的安全通訊

2.需要支持和OEM TSP的安全通訊

3.需要支持非對稱算法證書的安全存儲

4.需要支持對稱算法密鑰的安全存儲

5.需要支持SecureBoot功能

6.需要支持數(shù)字簽名的校驗

7.需要支持非對稱算法的加密和解密運算

8.需要對云端下發(fā)的刷新包進行數(shù)字簽名的解密和數(shù)字簽名的校驗

9.需要以對稱加密的方式將刷新包寫入eMMC當中

10.從eMMC中讀出的刷新包之后，需要進行解密

MCU安全策略需要遵循如下原則：

1.需要支持SecureBoot功能

2.需要支持密鑰的安全存儲

3.需要支持對稱算法的加解密運算

4.需要對MPU傳遞過來的刷新包進行CMAC校驗。若校驗通過，則認為刷新包合法，再開始進行下一步的操作;若校驗不通過，則丟棄此刷新包。

5.和車內(nèi)ECU的鑒權(quán)密鑰，需要進行安全存儲

另外，為確保每個刷新工作可追溯，需要記錄系統(tǒng)上發(fā)生的事件，包括如下：

1.關(guān)鍵事件，比如上電、斷電等

2.成功/失敗的系統(tǒng)登錄請求（診斷安全認證）

3.成功/失敗的數(shù)據(jù)訪問請求（診斷10、27、2F、22、2E、28、11、31、35、19服務(wù)）

4.系統(tǒng)配置文件發(fā)生變化

5.特殊權(quán)限的使用（診斷27 03/04權(quán)限）

6.訪問內(nèi)存的記錄（訪問地址、操作類型）

4 總結(jié)

整車FOTA 功能是實現(xiàn)智能網(wǎng)聯(lián)汽車快速迭代升級的必備條件，是智能網(wǎng)聯(lián)汽車未來發(fā)展的必然趨勢。本文主要包括了系統(tǒng)架構(gòu)方案概述、架構(gòu)安全簡要分析以及系統(tǒng)安全策略，重點從安全需求角度出發(fā)，對FOTA系統(tǒng)的信息安全策略進行梳理和總結(jié)，覆蓋了“云-管-端” 三個大環(huán)節(jié)。系統(tǒng)安全需求覆蓋此系統(tǒng)中的數(shù)據(jù)安全、應(yīng)用功能安全、接口安全、通訊安全和其它安全需求，期望對FOTA系統(tǒng)的安全開發(fā)具有指導(dǎo)意義。

參考文獻：

[1]李立安，趙幗娟，任廣樂.OTA 實現(xiàn)方案及汽車端設(shè)計分析[J].智能網(wǎng)聯(lián)汽車，2020（14）：16—19.

[2]王棟梁，湯利順，陳博，柳旭，劉闖.智能網(wǎng)聯(lián)汽車整車OTA 功能設(shè)計研究[J].汽車技術(shù)，2018（10）：29—33.

[3]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019（3）：215—216

[4]武翔宇.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019（15）：214-216.

[5]張海強，智能網(wǎng)聯(lián)汽車安全遠程升級技術(shù)的研究與實現(xiàn)[D].成都：電子科技大學(xué)，2018.