后台回复“R20-11',获取最新AUTOSAR R20-11标准在车辆开发中,使用软件实现新功能显然很流行。已经上市的车辆越来越多地采用最新的功能进行改装,例如与自动驾驶相关的功能。与此同时,随着功能模块的更新,软件架构也变得更加高效。在车辆的整个生命周期中,其软件应该不断改进,适应新的安全要求,或者重新组合到后端的可用功能。所有这些挑战增加了对“在线”(OTA)软件更新的需求。为此,新的AP AUTOSAR 软件平台标准化了基本功能,并规范了对所需系统属性的访问。以下这篇文章阐明了该软件环境中安全更新的概念和解决方案。越来越多的车辆功能正在使用软件来实现。然而,更新周期也因此变得越来越短。例如,由于机器学习,自动驾驶所涉及的功能不断得到改进。除此之外,客户也显然希望可以追溯性地更新或添加功能,例如对辅助系统的改进、新的应用程序等等。有能力提供一致和稳定的程序来满足这些要求,正成为汽车制造商在与竞争对手的竞争中脱颖而出的关键因素。如果没有这样的概念,他们就有可能因此损害自己的形象。展望未来,电动汽车也意味着更长的维护间隔。但是,当软件更新仍然只能在车间期间执行时,这是一个很难传达的品牌价值信息。与其他行业一样,未来的更新将不得不“在线”进行。这种更新机制所需的先决条件可以通过将车辆连接到互联网并联网组件来实现。然而,更新关键车辆功能的任务对更新过程的安全性和可靠性提出了很高的要求。这些挑战要求在现有 AUTOSAR 软件环境的基础上建立一个新平台:自适应 AUTOSAR。这意味着汽车制造商及其供应商无需不断开发新的、且在某些情况下是专有的关键和复杂功能解决方案。与旧的经典 AUTOSAR 相比,自适应 AUTOSAR 依赖于运行时环境的并行化和动态化。这实际上意味着,活动或必需的组件被重新加载和注销。自适应 AUTOSAR 为应用程序提供了所有必要的编程接口,而无操作系统方面的要求。这使得高性能计算、嵌入式视觉或机器学习领域能够使用现有的软件库。(图 1 :自适应 AUTOSAR 架构)例如,CAN 总线上经典 AUTOSAR 中基于信号的通信已经被自适应 AUTOSAR 中面向服务的通信所取代。借助该系统架构,新的应用程序可以更容易地集成到整个系统中。与 OTA 更新相关,自适应 AUTOSAR 提供关键功能,作为有目的地更新功能和组件的标准。经典 AUTOSAR 总是需要对应用程序软件进行完全更新,但自适应 AUTOSAR 支持差异更新。这种情况的背景是一种模块化架构,它只更新单个应用程序块,也进行增量更新,其中目标应用程序被修补到新的软件版本。实际上,更新主控模块从连接客户端接收在线发送的更新数据,然后与更新配置管理器(UCM) 和诊断管理器 (DM) 协作,有目的地更新各个软件组件。(图 2 :OTA 更新的标准化功能)为了使汽车制造商或服务供应商的整个更新过程尽可能简单和直接,Elektrobit 以 EB 的更新 OTA 形式提供了一个可扩展和灵活的全面服务解决方案。根据汽车制造商的规格,它包含在车辆整个生命周期期间准备、管理和实施更新所需的云端或后端环境。在更新部署中,属于车辆的几个性能 ECU 和/ 或信息娱乐系统也可以同时更新。要做到这一点,相关 ECU 必须支持标准化诊断协议。互联车辆的连接性实现了许多有意义的功能,为驾驶员和汽车制造商均带来益处。然而,它同时也增加了潜在攻击点的数量。通信信道,例如 Car2X、WiFi、蓝牙、通过应用程序的远程控制、OBD-II、无线电发射机密钥等,本质上代表了黑客攻击的潜在途径。除了数据丢失或故障等显而易见的风险之外,这些场景还对汽车制造商构成潜在威胁,包括损害其在客户和业务伙伴中的声誉、车辆召回或采取对策时面临的成本风险以及客户投诉,一直到责任风险和潜在的法律后果。有鉴于此,OTA 软件更新对车辆内外的安全架构均提出了特殊要求。显然,列出的其他攻击点也受到有目的的保护。然而,下面的重点在于自适应 AUTOSAR 的安全功能,尤其是在 OTA 更新的背景下。基础安全架构考虑了车辆组件及其连接和接口,以及后端和任何连接的终端设备(如果适用)。因此,这一概念涵盖了车辆环境内外受影响的所有层面:单个组件和 ECU、车辆内部的总线系统、外部接口和协议(例如,包括 WLAN)以及所有相关服务的端到端加密和保护。这不仅可以确保系统完整性,防止试图滥用,而且还能满足日益增长的数据保护和信息安全的法律要求。(图 3 :端到端安全架构)。为了实现这些目标,我们使用了汽车安全领域的解决方案和方法,例如 SecOC(安全车载通信)和 HSM(硬件安全模块)。此外,安全架构还基于来自客户端- 服务器通信的经典AUTOSAR 解决方案和流程,例如 TLS(传输层安全)、基于证书的身份验证和加密。SecOC 概念确保车载通信中传输的数据是真实的。SecOC 可以防止对数据包的任何操纵、中间人攻击或其他攻击场景。为了防止黑客对 CAN 总线的任何未经授权的访问,SecOC模块在内部总线上传输的每个数据块中均添加消息认证码 (MAC)。为了防止由于接收到的数据块引起的任何操纵,加密计算考虑了使用时间相关组件来记录消息的最新情况。然而,由于传统 CAN 总线的限制(那里使用的协议只提供 8 字节的帧大小),只有部分最新证书和 MAC 可以与用户数据一起传输。就其本身而言,接收模块计算完整 MAC 和最新值,然后将它们与接收的值(部分)进行比较。如果它们不匹配,接收的数据包将被拒绝。SecOC 补充了基于硬件的加密以及组件和 ECU中的内部信任保障和安全机制。这些功能包括身份验证、防盗保护和识别异常或未经授权的访问尝试。例如,由于并行执行以及复杂密码计算的加速,这些安全部件也从自适应 AUTOSAR 的架构相关优势中获益。基于所描述的安全架构和概念, 自适应AUTOSAR 保护整个更新过程,从启动系统到接收 OTA 更新数据,再到安装更新。由于安全启动机制,车辆中系统环境的完整性得到了保证。这仅加载和执行经过身份验证的软件组件。验证过程与软件同时运行,以尽量减少加载和启动时间。汽车制造商特定的要求被无缝集成。后端和车载组件之间的端到端加密通信连接以及后端和车辆中数据的加密存储确保安全传输和存储更新数据。Bootloader 独立于应用程序的程序代码,在车辆中为安装更新创造了安全的环境。已经描述的安全措施也用于验证更新包和实际导入更新的软件。由于自适应 AUTOSAR 拥有独立的加密库,因此,软件和硬件组件的认证和验证可与更新过程并行运行。同时,安全诊断系统模块监控诊断客户端和相关ECU 之间的通信。汽车制造商可以选择不同的身份验证方法,例如种子和密钥或基于令牌的身份验证。
作者:
Börge Schmelz
在科隆技术大学 (TH Köln) 学习电气工程。自 2005 年以来,他一直参与Elektrobit 的 AUTOSAR 控制单元的开发。2010 年,他接管了全球服务项目的管理工作,重点是通过使用 EB 产品成功实现全球范围内的批量生产。2017 年,他被任命为高性能计算机和自适应 AUTOSAR 的产品管理人员。自 2005 年加入 Elektrobit 以来,在多个部门任职并担任过各种职务,例如工程师、顾问、项目经理和程序经理。如今,他负责主要项目并开展应用汽车安全领域的研究。目前,他是 EB 的 OTA 和安全部门的产品管理主管。他的职业生涯始于德国武装部队的 IT 安全和数据保护官。自 2011 年加入 Elektrobit 以来,他先后担任各种职务,例如产品总监和项目经理。他还就车辆诊断、标准软件和 AUTOSAR 向汽车制造商提供咨询建议。自 2015 年以来,他一直专注于开发互联服务和 OTA 的产品线。他目前是互联服务、OTA 和车辆安全领域的产品经理。
本文来源: Elektrobit TechPaper
