六種常見的OTA更新方案介紹

我們來討論一下全世界科研人員對最先進(jìn)的安全OTA（空中下載技術(shù)）的貢獻(xiàn)和成就。我將會給大家分享世界上常見的六類OTA軟件更新技術(shù)方案。分別是基于對稱密鑰加密的安全OTA更新技術(shù)；基于HASH算法的安全OTA更新技術(shù)；基于區(qū)塊鏈技術(shù)的安全OTA更新技術(shù)；基于RSA和隱寫術(shù)的安全OTA更新技術(shù)；基于對稱密鑰和非對稱密鑰雙加密的安全OTA更新技術(shù)；基于硬件安全模塊。（圖1）

圖 1

基于對稱密鑰加密技術(shù)

2005年，Mahmud等人在核心期刊IEEE Intelligent Vehicles Symposium提出了一種智能汽車的安全更新技術(shù)。提議在原始主機(jī)廠、軟件供應(yīng)商（SS）之間共享一組鏈路密鑰。在任何軟件更新之前，使用一個鏈路密鑰在軟件供應(yīng)商和車輛之間建立安全連接，形成可信通道。為了提高安全性，作者建議使用隨機(jī)間隔至少發(fā)送兩次加密后的軟件副本。在收到加密軟件的多個副本后，車輛終端解密并安裝其中一個有效的安裝包。

2012年，Mansour等人設(shè)計(jì)了一種診斷和安全OTA系統(tǒng)，稱為AiroDiag，用于連接車輛。圖2為AiroDiag的架構(gòu)。AiroDiag架構(gòu)的主要分為：OEM、汽車和云端。AiroDiag采用了對稱密鑰技術(shù)，特別是采用了先進(jìn)的加密標(biāo)準(zhǔn)來保證軟件更新過程中的通信安全。在AiroDiag中，密鑰存儲在OEM端的數(shù)據(jù)庫中。AiroDiag應(yīng)用始終保持與網(wǎng)絡(luò)的連接，處理來自車機(jī)端的任何連接請求。在AiroDiag中，軟件更新過程由客戶端觸發(fā)。一旦觸發(fā)軟件更新過程，車輛首先與OEM建立安全連接。接下來，車輛將告知OEM端當(dāng)前已安裝軟件的版本。如果有新軟件可用，OEM將觸發(fā)軟件更新過程，并與汽車建立安全連接。參考：

基于哈希算法

2008年 Nilsson和Larson在IEEE大會上提出了一種用于車聯(lián)網(wǎng)的安全OTA固件更新協(xié)議。在他的架構(gòu)中分為了四個實(shí)體：車、服務(wù)器后端、互聯(lián)網(wǎng)和無線基站（圖3）。在這里，服務(wù)器后端是負(fù)責(zé)與網(wǎng)聯(lián)車通信的主要單元。作者先將更新后的二進(jìn)制文件劃分為多個數(shù)據(jù)塊。然后以相反的順序?qū)γ總€片段進(jìn)行哈希處理，創(chuàng)建哈希表。最后，服務(wù)器后端使用預(yù)共享的加密密鑰對的每個數(shù)據(jù)塊進(jìn)行加密，然后再將它們傳輸汽車終端?？紤]到車輛中有限的資源，后端使用分塊哈希加密作為加密技術(shù)。盡管這種變法可以確保不會受到竊聽、攔截和篡改攻擊，但是無法防止拒絕服務(wù)攻擊。參考：

基于區(qū)塊鏈技術(shù)

2018年，Steger等人在工作中引入了區(qū)塊鏈（BC）的架構(gòu)來解決智能汽車OTA升級的安全和隱私問題。該體系結(jié)構(gòu)的主要實(shí)體有：OEM、服務(wù)中心、汽車、云服務(wù)器和SW主機(jī)（圖4）。該架構(gòu)中，所有參與的實(shí)體組成一個集群，一旦出現(xiàn)了新的OTA包，SW主機(jī)上的程序就會觸發(fā)軟件更新過程。首先，SW主機(jī)向云服務(wù)器發(fā)送一個帶有自己簽名的存儲請求。在驗(yàn)證成功后，云服務(wù)器發(fā)送一個二次確認(rèn)包，包括自己的簽名和軟件上傳過程中需要的文件描述符發(fā)送到SW主機(jī)中。將新軟件上傳到云服務(wù)器后，SW主機(jī)在區(qū)塊中創(chuàng)建一個更新事件，其中包含關(guān)于新軟件在云端位置等信息。然后SW主機(jī)中使用私鑰簽署這個事件，并最終將加密的事件廣播給車輛。接著作者進(jìn)行了本概念的驗(yàn)證測試，結(jié)果表明，該體系架構(gòu)的性能優(yōu)于基于證書的體系架構(gòu)。參考：

RSA與隱寫

2018年Mayilsamy等人在期刊中提出了結(jié)合密碼學(xué)和隱寫術(shù)的方案來保護(hù)網(wǎng)聯(lián)車的OTA軟件更新。OEM后端、服務(wù)中心、汽車和云服務(wù)器是該方案的總架構(gòu)（圖 5）。第一步是使用修改過的RSA算法來加密更新的OTA升級固件。第二步，利用隱寫將第一步使用的密碼沿覆蓋圖像的邊緣區(qū)域隱藏。最后，云服務(wù)器存儲加密映像。在汽車的軟件更新過程中，服務(wù)中心首先下載隱寫圖。然后，服務(wù)中心解密OTA固件將更新后的軟件安裝到汽車中。仿真測試結(jié)果顯示，在OEM端，加密1kB、15kB和20kB大小的文件所需的時間分別為3.05s、6.95s和8.03s。相反，在汽車終端，解密1kB、15kB和20kB大小的文件所需的時間分別為5.43s、905.05s和1590.92s。參考：

對稱密鑰與非對稱密鑰的組合加密算法

2016年Steger等人在IEEE大會提出了一個名為SecUp的框架，用于對網(wǎng)聯(lián)車進(jìn)行安全高效的OTA軟件更新。其中涉及到：OEM、服務(wù)中心、汽車終端和汽車維修人員（圖5）。SecUp同時使用對稱和非對稱密鑰加密來保護(hù)OTA更新過程。汽車維修人員使用NFC智能卡與PIN碼對手持設(shè)備進(jìn)行對稱的身份驗(yàn)證，然后服務(wù)后端返回會話密鑰，利用該會話密鑰配合汽車RSA公鑰將安裝包加密下發(fā)到每個汽車。接收成功后，汽車在安裝前對軟件用私鑰進(jìn)行驗(yàn)證解密。SecUp的性能是通過對沃爾沃ECU更新實(shí)驗(yàn)測試的。結(jié)果顯示，不同類型軟件的更新持續(xù)時間介于6.77秒~ 33.19秒之間。參考：

硬件安全模塊

2016年P(guān)etri等人在國際汽車安全大會上提出了一種基于HSM的可信平臺模塊（Trusted Platform Module， TPM）的安全OTA更新機(jī)制。首先，網(wǎng)關(guān)ECU從遠(yuǎn)程服務(wù)器下載更新后的軟件。然后ECU使用TPM中預(yù)定義的散列驗(yàn)證下載的軟件。驗(yàn)證成功后，ECU將更新后的軟件發(fā)送到目標(biāo)ECU進(jìn)行安裝。使用TPM的好處是它支持許多流行的加密算法，例如RSA、SHA、AES。主要局限性是，每個ECU都需要一個HSM/TPM算法加密機(jī)，從而導(dǎo)致了額外成本。參考：

本文我們講解了六種常見的OTA更新方案，對比分析不同研究人員涉及安全OTA的架構(gòu)、部署、技術(shù)功能等。而根據(jù)ABI市場研究數(shù)據(jù)報(bào)告，2022 年將有 2.03 億輛部汽車能通過 OTA 方式更新軟件，其中至少 2200 萬輛汽車還能通過 OTA 更新固件，未來我們會接受到來自車輛OTA更新帶來的安全問題的挑戰(zhàn)。
責(zé)任編輯人：CC