在汽車開發(fā)中,用軟件實現(xiàn)新功能是一個明顯的趨勢。已上市的車輛越來越多地加裝最新功能,例如與全自動駕駛有關的功能。同時,軟件架構的功能也越來越強大。本文介紹了EB在Adaptive AUTOSAR中安全更新的概念和解決方案。
隨著越來越多的車輛功能通過軟件實現(xiàn),更新周期也越來越短。例如,全自動駕駛中的功能可以通過機器學習不斷改進。此外,客戶方面也明確期望,可以在日后更新或增加功能,例如,輔助駕駛系統(tǒng)的改進、新的應用程序等。能夠為這些要求提供穩(wěn)定的技術基礎,正成為汽車制造商區(qū)別于競爭對手的重要因素。如果缺少了這樣的概念,后果就是失去競爭能力。未來,電動汽車也可能需要更長的維護周期。但如果只能在維修車間進行軟件更新,就難以與對手競爭。
因此,與其他行業(yè)一樣,今后的更新也需要“OTA”。車輛與互聯(lián)網(wǎng)的連接以及各部件之間的聯(lián)網(wǎng)為這種更新機制提供了必要的先決條件。然而,更新車輛的關鍵功能對用于此目的的過程的安全性和可靠性提出了很高的要求。
Adaptive AUTOSAR中的概念升級
為了應對這些挑戰(zhàn),除了以前的AUTOSAR軟件環(huán)境,還需要一個新的平臺:Adaptive AUTOSAR。這意味著OEM及其供應商不必為關鍵和復雜的功能不斷開發(fā)新的、有時是專有的解決方案。與Classic AUTOSAR相比,Adaptive AUTOSAR依賴于運行時環(huán)境的并行化和動態(tài)化。具體來說,這意味著能夠重新加載和注銷軟件組件。Adaptive AUTOSAR為應用程序提供了所有必要的編程接口,無論使用何種操作系統(tǒng)。這使得可以使用現(xiàn)有的高性能計算、嵌入式視覺或機器學習領域的軟件庫(圖1)。
圖1. AUTOSAR Adaptive架構
例如,在Classic AUTOSAR下,CAN總線是基于信號的通信,在Adaptive AUTOSAR中已經(jīng)被面向服務的通信所取代。這種系統(tǒng)架構使得新的應用更容易集成到整個系統(tǒng)中?,F(xiàn)代化和部分自動化的開發(fā)工具,如Elektrobit提供的Tresos(其他還包括Vector的Davinci和ETAS的V-RTE等),支持自適應汽車的軟件開發(fā)。它們提供了專門為新的現(xiàn)代系統(tǒng)架構設計的功能,如基于編譯器的靜態(tài)和動態(tài)數(shù)據(jù)流分析、自動運行時間估計和自動軟硬件優(yōu)化。
AUTOSAR聯(lián)盟包括來自70多家不同公司的250多名參與者,負責Adaptive AUTOSAR的標準化和進一步開發(fā)。AUTOSAR組織每年會發(fā)布兩次新版本的Adaptive AUTOSAR,3月底和10月底。這確保了規(guī)范和功能的持續(xù)維護和更新。詳細信息請登錄www.Autosar.org/standards/adaptive-platform。
OTA更新標準功能
與OTA更新相關,Adaptive AUTOSAR為功能和組件的定向更新提供標準化的基本功能。Classic AUTOSAR總是需要對應用軟件進行整體更新,而Adaptive AUTOSAR支持差異化更新。后臺是模塊化架構,只更新應用組件部分,也支持差分更新,將目標應用加入到新的軟件狀態(tài)之中。為此,更新主節(jié)點接收從連接客戶端接收OTA更新數(shù)據(jù),然后與更新配置管理器(Update Configuration Management,UCM)和診斷管理器(Diagnostic Management,DM)一起,對各個軟件組件進行有針對性的更新(圖2)。
圖2. OTA更新標準功能
為了使OEM或服務提供商的整個更新過程盡可能簡單直接,Elektrobit提供了EB Update OTA,這是一個可擴展和靈活的完整解決方案。根據(jù)OEM的規(guī)范,它包含必要的云端或后端環(huán)境,以便在整個車輛生命周期內(nèi)準備、管理和實施更新。在一次更新過程中,可以同時更新多個高性能ECU和車輛的信息娛樂系統(tǒng)。只要ECU是支持標準化診斷協(xié)議的。
端到端安全架構保護整車安全
聯(lián)網(wǎng)車輛的互聯(lián)可以實現(xiàn)許多有用的功能,從而為駕駛員和汽車制造商帶來明顯的好處。但同時,也增加了可能的攻擊點。Car2X、WiFi、藍牙、App遠程控制、OBD-II、無線鑰匙等連接都是黑客攻擊的潛在入口。除了數(shù)據(jù)丟失或故障等顯而易見的風險外,對于OEM廠商來說,這些情況還包括可能的威脅,如在客戶和業(yè)務伙伴中的聲譽損失、召回或對策的成本風險、客戶方的不滿、責任風險和可能的法律后果。在此背景下,OTA軟件更新對車內(nèi)外的安全架構提出了特殊要求。毋庸置疑,上面列出的其他攻擊點也有專門的保護措施。然而,在下文中,重點是Adaptive AUTOSAR的安全功能,特別是在OTA更新的情況下。
底層安全架構考慮到車輛組件及其連接和接口,以及后端和任何額外連接的終端設備。因此,這個概念包括了車輛環(huán)境內(nèi)外所涉及的所有層面:單個組件和控制單元、車輛內(nèi)的總線系統(tǒng)、外部接口和協(xié)議(例如也包括WLAN),以及所有相關服務的端到端加密和保護。這不僅保證了系統(tǒng)的完整性,防止了濫用的企圖,而且滿足了不斷提高的數(shù)據(jù)保護和信息安全的法律要求(圖3)。
圖3. 端到端安全架構
Adaptive AUTOSAR的高保護等級
為了實現(xiàn)這些目標,采用了汽車安全領域的解決方案和方法,如SecOC(安全車載通信)和HSM(硬件安全模塊)。另一方面,安全架構也是基于經(jīng)典的汽車解決方案和流程,從客戶端服務器通信,如TLS(傳輸層安全),認證認證和加密。安全車載通信(SecOC)概念確保車載通信中所攜帶的數(shù)據(jù)是真實的。因此,SecOC可以防止對數(shù)據(jù)包的操縱、插入攻擊或其他攻擊場景。為了防止黑客未經(jīng)授權訪問CAN總線,SecOC模塊在內(nèi)部總線上傳輸?shù)拿總€數(shù)據(jù)中增加了一個消息驗證碼(MAC)。為了防止被截獲的數(shù)據(jù)塊進行操縱,加密計算考慮到了一個與時間有關的部分,記錄了信息的真實性。由于經(jīng)典的CAN總線的限制(協(xié)議規(guī)定幀大小只有8個字節(jié)),只有部分實際證書和MAC可以和用戶數(shù)據(jù)一起傳輸。接收模塊則計算出完整的MAC和實際值,并與(部分)接收到的值進行比較。如果它們不匹配,則拒絕接收數(shù)據(jù)包。SecOC以硬件為基礎的加密和組件及控制單元的內(nèi)部信任和安全機制為補充。這些包括認證、防盜和檢測異常情況或未經(jīng)授權的訪問嘗試。這些安全元素也受益于Adaptive AUTOSAR的架構優(yōu)勢,例如通過并行執(zhí)行,從而加速復雜的加密計算。
更新過程的廣泛保護
基于所描述的安全架構和概念,Adaptive AUTOSAR系統(tǒng)保護了從系統(tǒng)啟動,到接收OTA更新數(shù)據(jù),再到安裝更新的整個更新過程。通過安全的引導機制,確保車內(nèi)系統(tǒng)環(huán)境的完整性。只加載和執(zhí)行經(jīng)過認證的軟件組件。驗證過程與軟件同步運行,以盡可能縮短加載和啟動時間。后端和車載組件之間的端到端加密通信鏈路,以及后端和車載的數(shù)據(jù)加密存儲,確保更新數(shù)據(jù)的傳輸和存儲受到保護。Bootloader獨立于應用程序的程序代碼,在車輛中為安裝更新軟件創(chuàng)造了一個安全的環(huán)境。上述保護機制也用于更新數(shù)據(jù)包的認證和更新軟件的實際安裝過程中。由于Adaptive AUTOSAR擁有自己的加密庫,軟件和硬件組件的認證和驗證與更新過程并行進行。同時,安全診斷系統(tǒng)模塊監(jiān)控診斷客戶端與受影響ECU之間的通信。OEM可以選擇不同的認證方法,如Seed