最近許多起針對互聯汽車的黑客攻擊已經引起了巨大轟動，這對系統的安全性提出了挑戰。通常情況下，可以使用無線連接來獲得對CAN總線的訪問權限，該總線在車輛內部可以將大量的控制單元互連起來。如此一來，就可以實現對制動、油門、門鎖、空調系統、雨刷及其他功能的遙控。

對汽車的這類黑客攻擊近期經常登上新聞的頭條。這并不特別令人吃驚，因為越來越多的車輛自身都已配備了接口，用來與外部進行數據交換。

車輛已經成為了一個移動的生活空間；汽車正在發展成為一種移動設備。尤其對于年輕一些的客戶來說，對舒適功能的需求正不斷增長，以便隨時保持互連，或者通過應用來共享油耗或功率輸出之類的車輛數據，以便隨后的評估。

因此，互聯汽車已經成為了現實。這一課題不僅與客戶和制造商有關，而且還使安全研究人員和 IT專家參與到其中。并且，在最壞的情況下，還會涉及到從事犯罪的黑客。多年以來，安全專家們都已經注意到了這樣一個事實，那就是個人電腦已經不再是數字攻擊的唯一目標了。現在很大一部分的惡意軟件都經過定制，可以攻擊移動設備。如果認為這一發展趨勢不會影響到互聯汽車，那就未免太草率了。

到目前為止，對車輛以及車輛系統的具有犯罪性質的黑客攻擊只不過屬于極少數的例外情況。但是，互聯汽車的安全性至關重要，這一點目前對于 OEM 來說已經是顯而易見的了。當汽車成為一種車主用來通信的個人移動設備、并且還可能通過應用來實現個性化時，這種設定就會在很大程度上受到潛在攻擊者的操縱。

空中軟件更新保證安全

但是，汽車業如何來保護自身以及客戶來免受數字攻擊呢？對于汽車業的一部分從業者來說，全部采用空中接口一直是他們長期以來傾向于采納的理念，但是這并不符合客戶的利益。對數據交換連接的需求也明顯的顯現在創新性的V2V或 V2I服務當中，這些服務將會進一步的發展，在這方面還與自動駕駛存在一定的關系。因此，從今以后，并沒有任何辦法來完全地避免在車輛中使用藍牙、無線局域網或者蜂窩通信。

另一方面，傳統的方法—— 召回或者在汽車修理廠采取補救工作，也將無法及時的保護車輛免受數字攻擊。此外，召回活動會產生高昂的費用，并會損害汽車制造商的聲譽。

在與汽車黑客的競賽中，以這種方式來取勝顯然是不可能的。通過這種方式來為全部波及到的車輛打補丁畢竟需要花費數月的時間。與此同時，黑客還會繼續進行他們的惡作劇。然而，在這樣一個時間段內避開危險會令人無法接受，因為受到操縱的車輛會為駕駛員及其所處的環境帶來巨大的風險。此外，在很多情況下，在這樣一段時間內還可以進一步的發現車輛的薄弱之處。因此，補丁在安裝時就已經過時了。

那么讓我們來了解一下移動設備的世界，以便找到一種方法來取代維修召回：App和智能手機操作系統的供應商不斷地為終端設備提供最新版本的產品。有時候，幾個小補丁即可對弱點作出彌補，而在其它情況下包含新功能在內的新版本則會向市場發布。

軟件和固件上的這類更新以“空中 （OTA）”的形式交付，也就是說，通過空中接口的方式來交付。只要傳輸到了設備上，這些更新馬上就會提取出來，自動安裝。

對于即時地為多臺設備使用最新的更新時遇到的挑戰來說，空中固件升級 （FOTA） 可以解決這個問題。比如說，更新程序提供相應的補丁快速、連續地為薄弱點作出補救，與此同時整合起新的功能并采用現代化的加密算法，從而確保控制單元的安全。

為了確保大量的控制單元可以通過 FOTA 方式進行更新，我們采用了網關的方法。在后端以及要更新的控制單元之間，配有移動無線接口的一個控制單元可以扮演中間人的角色。該控制單元可通過空中接口接收所有的軟件包，然后再通過 CAN 總線系統或者以太網之類的、性能更高的通信信道，將軟件包分發給各臺目標設備。此外，網關 ECU 還具有控制和協調整個更新過程的主功能。例如，如果出錯，那么就必須啟動回滾機制。

范式轉換

除了可以通過 FOTA 來彌補安全上的缺口以外，當然，在設備端還需要許多其他的技術措施，例如對全部 ECU 接口采取密碼保護，這一措施對于移動通信、藍牙和無線局域網條件下的無線訪問尤其適用。

另外，需要采用相應的配置和開發流程來適應新的環境。例如，端對端的風險分析不能作為一項通則，但是到目前為止，這應當作為制造商向供應商提出的要求中的一個強制性部分。在這一工作中，對該鏈條上的任何組成部分發起攻擊的可能場景都會接受詳細檢查，其中就包含了對安全性的影響以及最終對于功能安全的影響。在這些結果的基礎上，可以采取充分的防護措施。只有 OEM、后端解決方案的供應商以及控制單元的制造商從早期的開發階段就展開合作，才能保證采用這種方法能取得一定的成功。

該方法要求不再對控制單元采用黑箱的開發方法，而是通過一種全局的方式來確保安全性。此外，在生產開始后，不得再終止安全措施的提供和維護工作。在任何產品的整個壽命期間，都必須持續地開展安全分析、面向安全的測試以及 FOTA 提供的、針對安全漏洞的補救措施。

比如說，與安全的開發和生產過程有關的組織措施可以包含對秘鑰和證書之類機密數據訪問方式的控制操作，以及安全相關組件的開發規范。這類數據和文檔必須以加密的形式存儲在受保護的服務器中，訪問權限則以認證的方式僅限于極少數的幾個人。

此外還必須特別重視面向安全的測試。尤其是滲透測試，這使查明安全漏洞成為了可能。通過采用黑客的手段和方法，測試人員可以有意地嘗試侵入到系統當中。獲得的結果可以表明當前的安全級別，并且將告知開發人員采取相關的應對措施，從而將關鍵的薄弱點封堵起來。

技術挑戰

只要看一看 FOTA 的過程鏈以及涉及到的功能單元，您就可以了解到其中的復雜性以及極高的技術要求。

安全性在這方面的優先級最高。對于 FOTA 過程本身是否可以安全實現而無需承受任何潛在的其它攻擊，我們必須獲得相應的保證。如果 FOTA 發生濫用，錯誤地將受操縱的軟件引入到一臺設備中，那么在安全性方面、以及甚至最終在功能安全方面，造成的后果可能會是無法估量的。

空中接口的加密保護對于安全的 FOTA 機制來說是一個先決條件。通常的做法是以 TLS 的方式建立起安全連接。這里所需的秘鑰和證書必須以保密和防止被操縱的安全方式引入到設備當中，然后存放在設備中一個受保護的存儲位置。對于實現安全存儲并且安全地執行加密程序來說，專用的硬件安全模塊 （HSM） 是不可或缺的。

采用安全安裝流程（安全閃存）以及在啟動設備軟件時采取面向安全的檢驗（可信引導），可以避免受操縱的軟件遇到安裝錯誤。在任意一種機制下，都可以通過數字簽名來驗證軟件的真實性。

UART、USB 或者 JTAG 之類的開發接口也必須在串行產品上停用，或者通過加密程序來獲得保護，從而防止對設備的侵入。否則，攻擊者可能會通過上述渠道去嘗試讀取或者操縱軟件或機密數據。

除了安全執行 FOTA 流程之外，還應該快速有效地完成操作。一方面，移動通信的數據量以及相應的成本也應保持在最低程度。另一方面，應當盡可能減少對車主的妨礙。

通過增量更新可以實現高效的處理。在這一過程中，對已裝機軟件的更改只會以二進制或者文件的方式來傳輸和安裝。采用的 Delta 算法以及劃分到靜態和可更改數據區的軟件分區都會對數據包的大小產生顯著的影響。

FOTA 過程必須極其的穩健并具有極高的容錯性，從而避免安裝上不兼容、崩潰或者不一致的軟件，否則會使功能損壞。出于這一原因，通過完整性檢查以及對通信信道的監管來識別出錯誤非常的重要。出錯時，需要做出適宜的響應，例如，可以通過回滾操作的方式，重新建立起無差錯的狀態。

作為FOTA網關的遠程信息控制單元

從技術的角度來說，任何配有移動無線電通信功能的控制單元都可以發揮 FOTA 網關的作用。然而，遠程信息控制單元 （TCU） 比其它器件更能勝任這一任務。比如說，許多車輛中的音響主機也可以作為整體組成部分之一，此外還應具備充足的存儲空間和處理能力。然而，大部分的音響主機都含有大量的無線接口。

畢竟，根據要求，這一單元需要通過藍牙、WiFi 或者 NFC 來獲取外部資源，此外還存在著許許多多的要求。這種對于外部世界的開放性妨礙了通過有效的防護能力來避免受到操縱。

此外還有一個事實就是，這一單元直接安裝在儀表板上，這就不可能將音響主機定義為 FOTA 中央網關。畢竟黑客可能也會在這里很容易的進行物理訪問。

然而，TCU 的物理位置在車輛內部更深處，難以從車輛的內部操作。總而言之，它的連接數量更少，在需要時還可以停用。

并且，到現在為止，TCU 已經在提供許多其它對于安全性至關重要的功能，例如防盜控制系統的遠程激活等等。正是有了這些關鍵的安全功能，為 TCU 建立的各類安全措施，例如后端的編碼和驗證等等，都成為了理所當然的事情。TCU 畢竟已經成為了安全拓撲上一種確立已久的成熟組成部分，被制造商廣泛采用。

為了確保車輛的安全，我們需要采取整體性的解決方案，因而這已成為一項優勢。后端、空中接口、網關、車輛總線以及各個控制單元都是這一鏈條上的關鍵環節。如果鏈條上最薄弱的部分受到攻擊，那么所有其他單元的安全也會存在漏洞。

對于 TCU 作為 FOTA 架構核心的項目，從安全的角度來說，這類項目享受到的優勢不僅僅在于 TCU 組件已經高度的成熟，還有在制造方面，供應商和 OEM 在安全流程的設計上也具有相對豐富的經驗。

FOTA中進一步的附加值

對于為什么通過 TCU 來建立起 FOTA 可以為 OEM 帶來巨大的潛力，安全上的顧慮并不是唯一的原因。

召回工作代價高昂，由于成本和人工的原因，并不受到客戶的歡迎，因此在車輛中出現薄弱點時，不會再作為一種不可避免的后果，至少在處理軟件相關的問題時會這樣。許多問題實際上無需在客戶端采取任何操作即可良好解決，只要補丁可以通過無線的方式送達車輛，車輛中許許多多種薄弱點的補救措施就不會再需要物理上的接觸了。

而且，在建立新的業務模式與客戶關系時，FOTA 也可以發揮極具支持性的作用。美國汽車制造商特斯拉的例子就很好地證實了這一點。

在這家公司向客戶提供的一次收費約 2 千美元的更新中，包含了自動駕駛功能。這樣一來，許多的特斯拉汽車都已在繼續演變成為（部分的）自動駕駛汽車。

對于 OEM 來說，這種業務設置開辟了一個嶄新的視角。當今一個普遍的情況就是，只要一離開最初的銷售地點，一輛新車的價值馬上就會下跌一半。并且，隨著時間的推移，價值還會繼續遞減。未來，隨著時間新的功能會不斷推出，車輛可能并不一定會喪失價值，而且實際上價值還可能會得到保留甚至增加。

那么，到現在為止，FOTA 已經不再是一種煩人的承諾。這種更新程序的重要性不僅在于可以為互聯汽車提供基本的先決條件來確保安全。而且，在這一基礎上，OEM 可以不斷的在車輛上創造出附加值，確保客戶的忠誠度，并且在銷售完成后的很長時間內都會一直保持活躍的客戶關系。

責任編輯：gt