日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號(hào)

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

整車OTA安全框架之Uptane(上)

2022-01-08 20:11:09·  來源:江蘇省智能網(wǎng)聯(lián)汽車創(chuàng)新中心  
 
以特斯拉為代表的新一代智能汽車快速發(fā)展,特斯拉軟件定義汽車的模式對當(dāng)代智能汽車產(chǎn)業(yè)的推動(dòng)作用有目共睹。有人將當(dāng)代智能汽車喚作新物種,那么整車OTA(Over-
以特斯拉為代表的新一代智能汽車快速發(fā)展,特斯拉軟件定義汽車的模式對當(dāng)代智能汽車產(chǎn)業(yè)的推動(dòng)作用有目共睹。有人將當(dāng)代智能汽車喚作新物種,那么整車OTA(Over-The-Air)就是這個(gè)物種可以持續(xù)、快速進(jìn)化的階梯。
我們熟知的OTA技術(shù)廣泛應(yīng)用于智能手機(jī)的軟件升級,用于修復(fù)軟件錯(cuò)誤、網(wǎng)絡(luò)安全問題以及增加新的特性或功能。由于其獨(dú)特的優(yōu)勢,近年來該技術(shù)被逐步應(yīng)用到汽車領(lǐng)域,從單個(gè)ECU(Electronic Control Unit)的升級到整車ECU的升級,從單純的軟件瑕疵的更新到新功能的添加,甚至整車性能的提升,以此催生了新的商業(yè)模式。是否具備整車OTA也成為消費(fèi)者在選擇座駕時(shí)的一個(gè)重要考量。試想自己的座駕可不斷升級,即使再次掉入主機(jī)廠的商業(yè)套路,那也足夠酷。
在使用這項(xiàng)技術(shù)時(shí),網(wǎng)絡(luò)安全的重要性被提上了前所未有的新高度。不管是來自車企及供應(yīng)商爭奪市場的源動(dòng)力,還是各國、各組織相繼出臺(tái)的法規(guī)政策,一個(gè)安全的、穩(wěn)定的整車OTA解決方案對車企來說至關(guān)重要。
由紐約大學(xué)Justin Cappos教授發(fā)起的Uptane項(xiàng)目旨在給出一個(gè)適用于整車OTA的安全框架,并宣稱該框架可以很大程度上緩解APT(Advanced Persistent Threat)攻擊。即使部分系統(tǒng)被破解,該框架也可以將攻擊影響抑制在一個(gè)相對安全,亦可修復(fù)的范圍內(nèi)。Uptane框架為工業(yè)界提供了實(shí)現(xiàn)整車OTA網(wǎng)絡(luò)安全的參考標(biāo)準(zhǔn),越來越多的廠商嘗試采用該框架所設(shè)定的技術(shù)規(guī)范。Uptane框架的提出很大程度上借鑒了TUF框架,TUF框架目前是CNCF(Cloud Native Computing Foundation)已畢業(yè)(CNCF有自己的項(xiàng)目成熟模型,畢業(yè)狀態(tài)的項(xiàng)目簡單上理解就是項(xiàng)目成熟度高,有應(yīng)用,可持續(xù))的項(xiàng)目。
P1
TUF
TUF(The Update framework)是軟件安全升級的技術(shù)框架,由Linux金基會(huì)托管,同時(shí)也是CNCF的項(xiàng)目之一,于2019年畢業(yè)。Docker,Python,Haskell等項(xiàng)目逐步采用TUF框架。
TUF的目的并非抵御所有針對更新系統(tǒng)或更新過程的網(wǎng)絡(luò)攻擊,例如使用0day(指那些未被公開或無修復(fù)方案的網(wǎng)絡(luò)安全漏洞)進(jìn)行遠(yuǎn)程攻擊,此類攻擊需要企業(yè)或組織通過其他的方式(周期性風(fēng)險(xiǎn)評估與滲透測試是可選的方式之一)進(jìn)行抵御。TUF的提出目的是為了最小化密鑰(部分)被破解之后所產(chǎn)生的影響。它的核心思想非常樸素,即為系統(tǒng)設(shè)置不同角色,每個(gè)角色擁有多個(gè)加密密鑰。比如為root角色分配多個(gè)密鑰,也為完成某個(gè)特定目的設(shè)置角色并為賦予其多個(gè)密鑰。需要注意的是TUF框架設(shè)計(jì)之初并沒有依靠一個(gè)外部的PKI,例如類似SSL/TLS所用的公共證書認(rèn)證機(jī)構(gòu)。
TUF威脅分析是基于未破解或已破解了某個(gè)更新鏡像時(shí),該框架可以規(guī)避的一系列攻擊方式:
表1 TUF威脅分析
編號(hào)
攻擊方式
1
向客戶端提供篡改的軟件包。
2
欺騙客戶端安裝舊版本軟件包。
3
使用過期數(shù)據(jù)凍結(jié)客戶端的所有安裝。
4
組合非法的軟件包集合以阻止客戶端升級,或升級之后導(dǎo)致系統(tǒng)不兼容而破壞客戶端功能。
5
欺騙客戶端安裝不相關(guān)的依賴。
6
偽裝合法供應(yīng)商供應(yīng)非授權(quán)軟件包。
7
向客戶端發(fā)送大量數(shù)據(jù)導(dǎo)致客戶端存儲(chǔ)資源崩潰。
8
利用已破解的鏡像庫阻止客戶端向安全的鏡像庫獲取軟件包。
為此,TUF設(shè)立了多個(gè)角色,并為之賦予一個(gè)或多個(gè)密鑰。TUF設(shè)置了4個(gè)基本密鑰角色:

1、 Root角色:是整個(gè)系統(tǒng)的信任根,為其他各個(gè)角色的密鑰進(jìn)行簽名。
2、 Snapshot角色:為軟件包的索引進(jìn)行簽名,以保護(hù)元數(shù)據(jù)。
3、 Timestamp角色:為最新需要安全的軟件包索引進(jìn)行簽名,確保用戶更新的是最新的更新軟件包。
4、 Targets角色:為單獨(dú)的軟件包進(jìn)行簽名,該角色不直接簽名數(shù)據(jù)包本身,而是簽名授權(quán)信息。授權(quán)信息包含哪個(gè)軟件包由哪個(gè)授權(quán)的密鑰簽名。
所有角色使用一個(gè)或多個(gè)密鑰及簽名閾值(在該角色總共的密鑰中至少需要多少個(gè)密鑰進(jìn)行簽名)來簽名所給出的元數(shù)據(jù)文件,以保證其真實(shí)性。Root角色密鑰是系統(tǒng)最高級別的密鑰,因此需要特別的保護(hù)措施,通常建議離線保護(hù)。
TUF框架的設(shè)計(jì)是針對桌面系統(tǒng)和服務(wù)器系統(tǒng)等硬件資源豐富,操作系統(tǒng)接口功能強(qiáng)大的計(jì)算環(huán)境,直接將其應(yīng)用于汽車領(lǐng)域會(huì)面臨諸多問題。最直觀的就是汽車ECU通常都是異構(gòu)的、硬件資源相對有限、操作系統(tǒng)相對簡單甚至沒有操作系統(tǒng)。為適應(yīng)汽車整車電子電氣環(huán)境,在TUF的基礎(chǔ)上衍生出了Uptane框架。
P2
Uptane
Uptane框架是TUF在汽車整車領(lǐng)域的衍生品,由美國國土安全部支持,屬于Linux基金會(huì)聯(lián)合研發(fā)基金項(xiàng)目。逐步被整合進(jìn)AGL(Automotive Grade Linux)、COVESA(Connected Vehicle Systems Alliance)等項(xiàng)目中去。為該框架做出貢獻(xiàn)的除了紐約大學(xué)等以外有諸多知名廠商。
Uptane脫胎于TUF框架,并對汽車整車環(huán)境進(jìn)行了適應(yīng)??v觀TUF的設(shè)計(jì),它包含了以下4個(gè)理念:信任分離、簽名閾值、顯式和隱式密鑰廢止機(jī)制以及關(guān)鍵密鑰離線保護(hù)。在保留以上4個(gè)設(shè)計(jì)理念的基礎(chǔ)上,Uptane增加了4項(xiàng)關(guān)鍵設(shè)計(jì),以適應(yīng)整車OTA過程中的客戶端異構(gòu),資源有限及ECU之間無可信通信機(jī)制。
這四個(gè)關(guān)鍵設(shè)計(jì)是:
1.在TUF維護(hù)一個(gè)遠(yuǎn)程軟件庫的設(shè)計(jì)基礎(chǔ)上,Uptane增加了一個(gè)庫,并對原來的軟件庫責(zé)任進(jìn)行的劃分。Uptane的基礎(chǔ)設(shè)計(jì)包含了Image Repository和Director Repository。Image Repository用于存放鏡像及鏡像元數(shù)據(jù)文件,Director Repository用于管理如何更新。這個(gè)改動(dòng)的主要考慮是將TUF框架中客戶端用以管理更新(解決依賴及沖突,以及收集可更新軟件包等)這部分功能挪到的后端進(jìn)行處理。
2.針對不同硬件資源的ECU可進(jìn)行全部或部分元數(shù)據(jù)及鏡像文件的驗(yàn)簽。
3.為車載ECU劃分主ECU和次ECU,主ECU直接與軟件升級庫通信,次ECU通過主ECU獲取更新。
4.設(shè)置時(shí)間服務(wù)器,為無可靠時(shí)鐘源的ECU提供時(shí)間。
Uptane的威脅分析及規(guī)避措施是基于以下前提:
  • 攻擊者有能力干擾或修改網(wǎng)絡(luò)通信數(shù)據(jù):車外通信時(shí),攻擊者可操縱車輛與軟件庫之前的通信,通常是無線通信;車內(nèi)通信時(shí),攻擊者可操縱一個(gè)或多個(gè)總線。
  • 攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰,但不是同時(shí)發(fā)生。
  • 破解主ECU或次ECU,但不同時(shí)發(fā)生。
可能會(huì)受到的攻擊方式描述:
表2 Uptane威脅分析
編號(hào)
類型
攻擊方式
1
讀取更新
竊聽攻擊
2
拒絕更新
(1)阻止車外或車內(nèi)網(wǎng)絡(luò)通信(2)抑制更新速度,為進(jìn)一步攻擊爭取時(shí)間(3)利用舊版本軟件對ECU進(jìn)行凍結(jié)攻擊(4)僅使部分更新成功,導(dǎo)致整車無法更新完成(5)對軟件庫或者基礎(chǔ)設(shè)施進(jìn)行DOS攻擊
3
干預(yù)ECU功能
(1)回滾攻擊,欺騙ECU安裝舊版本軟件(2)發(fā)送大量數(shù)據(jù)消耗ECU存儲(chǔ)資源甚是覆蓋原始可用的數(shù)據(jù)和代碼(3)單一軟件包是合法的情況下,從過混合不兼容的軟件版本導(dǎo)致ECU功能失效
沿用TUF的設(shè)計(jì)理念,以及針對汽車整車環(huán)境的適配,Uptane可以在更新過程被部分破解的情況下,最小化被入侵的范圍和影響。
Uptane框架的基本架構(gòu)如下圖所示:

圖1 Uptane架構(gòu)
Uptane框架包含了一個(gè)時(shí)間服務(wù)器為無可靠時(shí)鐘信號(hào)的ECU提供時(shí)間服務(wù),主ECU與Image Repository及Director Repository交互,交互過程有簽名驗(yàn)證、元數(shù)據(jù)驗(yàn)證及鏡像下載。次ECU與主ECU交互,主ECU幫助次ECU做全部元數(shù)據(jù)驗(yàn)證。次ECU在條件有限的情況下做部分元數(shù)據(jù)驗(yàn)證。
Uptane的安全驗(yàn)證流程如下圖所示:
圖2 Uptane安全驗(yàn)證流程
P3總結(jié)
本文回顧了整車OTA框架Uptane的發(fā)展及核心思想,通過對Uptane的解讀我們可以觀察到一個(gè)完整面向整車的網(wǎng)絡(luò)安全服務(wù)的安全設(shè)計(jì)思路與方法。對SOA開發(fā)模式的安全性有很好的借鑒意義。
本文是Uptane系列的第一篇文章,后續(xù)會(huì)進(jìn)一步對Uptane進(jìn)行解讀。敬請期待,歡迎拍磚。
參考文獻(xiàn):
【1】TUF框架:https://theupdateframework.io/
【2】Uptane框架:https://uptane.github.io
【3】Understanding Automotive OTA (Over-the-Air Update)
【4】Improving Hackage security
【5】Uptane standard 1.2.0
(https://uptane.github.io/papers/uptane-standard.1.2.0.html)
【6】Uptane: Securing Software Updates for Automobiles
【7】Survivable Key Compromise in Software Update Systems
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號(hào)-25