日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

整車OTA安全框架之Uptane(上)

2022-01-08 20:11:09·  來源:江蘇省智能網(wǎng)聯(lián)汽車創(chuàng)新中心  
 
以特斯拉為代表的新一代智能汽車快速發(fā)展,特斯拉軟件定義汽車的模式對當(dāng)代智能汽車產(chǎn)業(yè)的推動作用有目共睹。有人將當(dāng)代智能汽車喚作新物種,那么整車OTA(Over-
以特斯拉為代表的新一代智能汽車快速發(fā)展,特斯拉軟件定義汽車的模式對當(dāng)代智能汽車產(chǎn)業(yè)的推動作用有目共睹。有人將當(dāng)代智能汽車喚作新物種,那么整車OTA(Over-The-Air)就是這個物種可以持續(xù)、快速進(jìn)化的階梯。
我們熟知的OTA技術(shù)廣泛應(yīng)用于智能手機(jī)的軟件升級,用于修復(fù)軟件錯誤、網(wǎng)絡(luò)安全問題以及增加新的特性或功能。由于其獨特的優(yōu)勢,近年來該技術(shù)被逐步應(yīng)用到汽車領(lǐng)域,從單個ECU(Electronic Control Unit)的升級到整車ECU的升級,從單純的軟件瑕疵的更新到新功能的添加,甚至整車性能的提升,以此催生了新的商業(yè)模式。是否具備整車OTA也成為消費者在選擇座駕時的一個重要考量。試想自己的座駕可不斷升級,即使再次掉入主機(jī)廠的商業(yè)套路,那也足夠酷。
在使用這項技術(shù)時,網(wǎng)絡(luò)安全的重要性被提上了前所未有的新高度。不管是來自車企及供應(yīng)商爭奪市場的源動力,還是各國、各組織相繼出臺的法規(guī)政策,一個安全的、穩(wěn)定的整車OTA解決方案對車企來說至關(guān)重要。
由紐約大學(xué)Justin Cappos教授發(fā)起的Uptane項目旨在給出一個適用于整車OTA的安全框架,并宣稱該框架可以很大程度上緩解APT(Advanced Persistent Threat)攻擊。即使部分系統(tǒng)被破解,該框架也可以將攻擊影響抑制在一個相對安全,亦可修復(fù)的范圍內(nèi)。Uptane框架為工業(yè)界提供了實現(xiàn)整車OTA網(wǎng)絡(luò)安全的參考標(biāo)準(zhǔn),越來越多的廠商嘗試采用該框架所設(shè)定的技術(shù)規(guī)范。Uptane框架的提出很大程度上借鑒了TUF框架,TUF框架目前是CNCF(Cloud Native Computing Foundation)已畢業(yè)(CNCF有自己的項目成熟模型,畢業(yè)狀態(tài)的項目簡單上理解就是項目成熟度高,有應(yīng)用,可持續(xù))的項目。
P1
TUF
TUF(The Update framework)是軟件安全升級的技術(shù)框架,由Linux金基會托管,同時也是CNCF的項目之一,于2019年畢業(yè)。Docker,Python,Haskell等項目逐步采用TUF框架。
TUF的目的并非抵御所有針對更新系統(tǒng)或更新過程的網(wǎng)絡(luò)攻擊,例如使用0day(指那些未被公開或無修復(fù)方案的網(wǎng)絡(luò)安全漏洞)進(jìn)行遠(yuǎn)程攻擊,此類攻擊需要企業(yè)或組織通過其他的方式(周期性風(fēng)險評估與滲透測試是可選的方式之一)進(jìn)行抵御。TUF的提出目的是為了最小化密鑰(部分)被破解之后所產(chǎn)生的影響。它的核心思想非常樸素,即為系統(tǒng)設(shè)置不同角色,每個角色擁有多個加密密鑰。比如為root角色分配多個密鑰,也為完成某個特定目的設(shè)置角色并為賦予其多個密鑰。需要注意的是TUF框架設(shè)計之初并沒有依靠一個外部的PKI,例如類似SSL/TLS所用的公共證書認(rèn)證機(jī)構(gòu)。
TUF威脅分析是基于未破解或已破解了某個更新鏡像時,該框架可以規(guī)避的一系列攻擊方式:
表1 TUF威脅分析
編號
攻擊方式
1
向客戶端提供篡改的軟件包。
2
欺騙客戶端安裝舊版本軟件包。
3
使用過期數(shù)據(jù)凍結(jié)客戶端的所有安裝。
4
組合非法的軟件包集合以阻止客戶端升級,或升級之后導(dǎo)致系統(tǒng)不兼容而破壞客戶端功能。
5
欺騙客戶端安裝不相關(guān)的依賴。
6
偽裝合法供應(yīng)商供應(yīng)非授權(quán)軟件包。
7
向客戶端發(fā)送大量數(shù)據(jù)導(dǎo)致客戶端存儲資源崩潰。
8
利用已破解的鏡像庫阻止客戶端向安全的鏡像庫獲取軟件包。
為此,TUF設(shè)立了多個角色,并為之賦予一個或多個密鑰。TUF設(shè)置了4個基本密鑰角色:

1、 Root角色:是整個系統(tǒng)的信任根,為其他各個角色的密鑰進(jìn)行簽名。
2、 Snapshot角色:為軟件包的索引進(jìn)行簽名,以保護(hù)元數(shù)據(jù)。
3、 Timestamp角色:為最新需要安全的軟件包索引進(jìn)行簽名,確保用戶更新的是最新的更新軟件包。
4、 Targets角色:為單獨的軟件包進(jìn)行簽名,該角色不直接簽名數(shù)據(jù)包本身,而是簽名授權(quán)信息。授權(quán)信息包含哪個軟件包由哪個授權(quán)的密鑰簽名。
所有角色使用一個或多個密鑰及簽名閾值(在該角色總共的密鑰中至少需要多少個密鑰進(jìn)行簽名)來簽名所給出的元數(shù)據(jù)文件,以保證其真實性。Root角色密鑰是系統(tǒng)最高級別的密鑰,因此需要特別的保護(hù)措施,通常建議離線保護(hù)。
TUF框架的設(shè)計是針對桌面系統(tǒng)和服務(wù)器系統(tǒng)等硬件資源豐富,操作系統(tǒng)接口功能強(qiáng)大的計算環(huán)境,直接將其應(yīng)用于汽車領(lǐng)域會面臨諸多問題。最直觀的就是汽車ECU通常都是異構(gòu)的、硬件資源相對有限、操作系統(tǒng)相對簡單甚至沒有操作系統(tǒng)。為適應(yīng)汽車整車電子電氣環(huán)境,在TUF的基礎(chǔ)上衍生出了Uptane框架。
P2
Uptane
Uptane框架是TUF在汽車整車領(lǐng)域的衍生品,由美國國土安全部支持,屬于Linux基金會聯(lián)合研發(fā)基金項目。逐步被整合進(jìn)AGL(Automotive Grade Linux)、COVESA(Connected Vehicle Systems Alliance)等項目中去。為該框架做出貢獻(xiàn)的除了紐約大學(xué)等以外有諸多知名廠商。
Uptane脫胎于TUF框架,并對汽車整車環(huán)境進(jìn)行了適應(yīng)??v觀TUF的設(shè)計,它包含了以下4個理念:信任分離、簽名閾值、顯式和隱式密鑰廢止機(jī)制以及關(guān)鍵密鑰離線保護(hù)。在保留以上4個設(shè)計理念的基礎(chǔ)上,Uptane增加了4項關(guān)鍵設(shè)計,以適應(yīng)整車OTA過程中的客戶端異構(gòu),資源有限及ECU之間無可信通信機(jī)制。
這四個關(guān)鍵設(shè)計是:
1.在TUF維護(hù)一個遠(yuǎn)程軟件庫的設(shè)計基礎(chǔ)上,Uptane增加了一個庫,并對原來的軟件庫責(zé)任進(jìn)行的劃分。Uptane的基礎(chǔ)設(shè)計包含了Image Repository和Director Repository。Image Repository用于存放鏡像及鏡像元數(shù)據(jù)文件,Director Repository用于管理如何更新。這個改動的主要考慮是將TUF框架中客戶端用以管理更新(解決依賴及沖突,以及收集可更新軟件包等)這部分功能挪到的后端進(jìn)行處理。
2.針對不同硬件資源的ECU可進(jìn)行全部或部分元數(shù)據(jù)及鏡像文件的驗簽。
3.為車載ECU劃分主ECU和次ECU,主ECU直接與軟件升級庫通信,次ECU通過主ECU獲取更新。
4.設(shè)置時間服務(wù)器,為無可靠時鐘源的ECU提供時間。
Uptane的威脅分析及規(guī)避措施是基于以下前提:
  • 攻擊者有能力干擾或修改網(wǎng)絡(luò)通信數(shù)據(jù):車外通信時,攻擊者可操縱車輛與軟件庫之前的通信,通常是無線通信;車內(nèi)通信時,攻擊者可操縱一個或多個總線。
  • 攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰,但不是同時發(fā)生。
  • 破解主ECU或次ECU,但不同時發(fā)生。
可能會受到的攻擊方式描述:
表2 Uptane威脅分析
編號
類型
攻擊方式
1
讀取更新
竊聽攻擊
2
拒絕更新
(1)阻止車外或車內(nèi)網(wǎng)絡(luò)通信(2)抑制更新速度,為進(jìn)一步攻擊爭取時間(3)利用舊版本軟件對ECU進(jìn)行凍結(jié)攻擊(4)僅使部分更新成功,導(dǎo)致整車無法更新完成(5)對軟件庫或者基礎(chǔ)設(shè)施進(jìn)行DOS攻擊
3
干預(yù)ECU功能
(1)回滾攻擊,欺騙ECU安裝舊版本軟件(2)發(fā)送大量數(shù)據(jù)消耗ECU存儲資源甚是覆蓋原始可用的數(shù)據(jù)和代碼(3)單一軟件包是合法的情況下,從過混合不兼容的軟件版本導(dǎo)致ECU功能失效
沿用TUF的設(shè)計理念,以及針對汽車整車環(huán)境的適配,Uptane可以在更新過程被部分破解的情況下,最小化被入侵的范圍和影響。
Uptane框架的基本架構(gòu)如下圖所示:

圖1 Uptane架構(gòu)
Uptane框架包含了一個時間服務(wù)器為無可靠時鐘信號的ECU提供時間服務(wù),主ECU與Image Repository及Director Repository交互,交互過程有簽名驗證、元數(shù)據(jù)驗證及鏡像下載。次ECU與主ECU交互,主ECU幫助次ECU做全部元數(shù)據(jù)驗證。次ECU在條件有限的情況下做部分元數(shù)據(jù)驗證。
Uptane的安全驗證流程如下圖所示:
圖2 Uptane安全驗證流程
P3總結(jié)
本文回顧了整車OTA框架Uptane的發(fā)展及核心思想,通過對Uptane的解讀我們可以觀察到一個完整面向整車的網(wǎng)絡(luò)安全服務(wù)的安全設(shè)計思路與方法。對SOA開發(fā)模式的安全性有很好的借鑒意義。
本文是Uptane系列的第一篇文章,后續(xù)會進(jìn)一步對Uptane進(jìn)行解讀。敬請期待,歡迎拍磚。
參考文獻(xiàn):
【1】TUF框架:https://theupdateframework.io/
【2】Uptane框架:https://uptane.github.io
【3】Understanding Automotive OTA (Over-the-Air Update)
【4】Improving Hackage security
【5】Uptane standard 1.2.0
(https://uptane.github.io/papers/uptane-standard.1.2.0.html)
【6】Uptane: Securing Software Updates for Automobiles
【7】Survivable Key Compromise in Software Update Systems
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25