Aktualizace softwaru a firmwaru pomocí OTA (Over-the-Air) se postupem času rozšířila v oblasti kapesních zařízení, průmyslu a automobilů pro vestavěné platformy. Jakmile je výrobek v reálném světě, je pro zlepšení zařízení a jeho aktualizaci nejnovějším softwarem nutná aktualizace firmwaru nebo softwaru související s opravami chyb, opravami zabezpečení nebo aktualizací funkcí.

OTA je technologie pro vzdálenou aktualizaci softwaru nebo firmwaru.

V případě vozidla se firmware nebo software aktualizuje bezdrátově pomocí telekomunikačního zařízení prostřednictvím brány uvnitř vozidla do řídicí jednotky, jejíž přítomnost v moderním vozidle roste.

Co je potřeba OTA (Over-the-Air Update) pro vozidlo?

V automobilovém průmyslu se vozidlo stává stále inteligentnějším a chytřejším. V současné době jsou vozidla řízena převážně softwarem spíše než tradičními mechanickými součástmi. Před deseti lety bylo v případě potřeby aktualizace softwaru vozidlo odtaženo do servisu a vozidla byla připojena k systému/počítači za účelem aktualizace. OTA řeší problém spolehlivosti každé aktualizace, který se dříve vyskytoval, za druhé závislost servisní stanice, převoz vozidla na stanici, náklady na aktualizaci softwaru se stávají velmi nízkými a nezatěžují zákazníka ani servisní stanici. V neposlední řadě je důležitá včasná aktualizace zabezpečení každého vozidla, která se provádí bez problémůPřístup k aktualizaci OTA pro mobilní telefony a vozidla se liší, aktualizace OTA pro vozidla je ve srovnání s kapesním zařízením složitější a přísnější, nesprávná aktualizace softwaru může také poškodit život uživatele. Elektronické řídicí jednotky (ECU) se dnes staly hlavní součástí vozidla, ECU nahradily všechny mechanické součásti řízení. Obecně jsou ECU propojeny jednou nebo více sítěmi a sdílejí informace, které umožňují složité interakce a regulace. Například v pokročilých asistenčních systémech řidiče (ADAS) je s rostoucími funkčními schopnostmi spojena vyšší složitost systému, což zvyšuje pravděpodobnost výskytu softwarových chyb, které mohou mít dopad na bezpečnost a zabezpečení celého vozidla. Pravidelnými aktualizacemi a vylepšeními softwaru lze zajistit správnost, účinnost a spolehlivost systémů po celou dobu životnosti vozidla. Tento blog popisuje především komplexní řešení, které lze nasadit pro podporu aktualizací softwaru OTA v automobilovém průmyslu. V předchozí části jsme hovořili o OTA a pochopili jsme, že aktualizace OTA v automobilovém odvětví má velké problémy z hlediska bezpečnosti při aktualizaci softwaru vzduchem. Pokud útočníci získají kontrolu nad vozidlem, může se člověk dostat do nebezpečné situace.

  • Převodovka motoru může být zapnuta/vypnuta
  • Pasažéři nebo řidiči mohou být v autě uzamčeni
  • Neustálé troubení
  • Ovládání systému řízení
  • Brzdový systém automobilu
  • Překročení rychlosti vozu mimo silniční předpisy.
  • Ovládání navigačního, audio nebo informačně-zábavního systému
  • Falešný poplach v kokpitu

Podívejme se, jak probíhá aktualizace OTA ve vozidle. Přehled: Metoda dálkové aktualizace OTA vozidel je rychlá, cenově výhodná a umožňuje aktualizovat software běžící v jejich řídicích jednotkách vzduchem a uživatelé vozů mohou aktualizovat software kdekoli, aniž by museli chodit do servisního střediska nebo opravny. Dále může výrobce OEM diagnostikovat vozidlo na základě údajů přijatých prostřednictvím over-the-air z vozidla

Obrázek 1: Obecný přehled aktualizace OTA

Bezpečná OTA v automobilovém systému: Bezpečná aktualizace OTA je nejdůležitějším faktorem při aktualizaci firmwaru nebo softwaru řídicí jednotky. Pro dosažení bezpečné aktualizace OTA existuje mnoho výzev. V celém odvětví je navrženo a zavedeno mnoho technik pro dosažení bezpečných aktualizací OTA. Probereme některé z nich a vysvětlíme nejběžnější techniky používané v automobilovém průmyslu. Rozdělme si celou architekturu end-to-end na tři součásti a uveďme, k čemu slouží. Backendový server

  • Vytváří aktualizované obrazy/shromažďuje obrazy z různých Tier-1
  • Poskytuje obrazy aktualizací firmwaru a softwaru, které se flashují do zařízení
  • Musí podporovat architekturu klient-server, pokud hlavní jednotka požádá o aktualizaci.

Komunikační kanál

  • Zajistit zabezpečený mechanismus
  • Zajistit zabezpečený n/w, aby nedošlo k manipulaci s obrazem nebo daty.

Hlavní jednotka

  • Možná bude třeba spustit aktualizaci softwaru (klient)
  • Ujistit se, že jsou nainstalovány správné obrazy
  • Méně prostojů při aktualizaci obrazů
  • V případě selhání dojde k vrácení zpět

Backend Server: Backendový server je zodpovědný především za vytváření obrazů firmwaru a softwaru, které je třeba nasadit do jednotek ve vozidle. Backendový server se snaží shromáždit obrazy, které je třeba nasadit, od různých dodavatelů Tier-1 a zabalit je do jednoho obrazu pro všechny ECU. Tento zálohovaný server může být založen na systému Yocto (open source) nebo na podpůrné architektuře třetí strany. Komunikační kanál: Nejnáročnější částí komponenty je, když jsou data/obrázky vystaveny n/w a útočníci s nimi mohou snadno manipulovat. Existuje mnoho technik, open-source řešení i řešení třetích stran pro bezpečnou aktualizaci hlavní jednotky Nejčastěji se používá Uptane. Uptane je první komplexní bezpečnostní rámec, který řídí implementaci aktualizačních systémů OTA na úrovni návrhu. Hlavní jednotka (samotná vozidla): Hlavní jednotky se skládají z mnoha řídicích jednotek, některé jsou možná vysokorychlostní, jiné méně rychlé, a také z různých typů řídicích jednotek, řídicích jednotek TCU (telematické řídicí jednotky), bran, každá součást hraje v aktualizaci OTA svou roli. Hlavní jednotka se také musí ujistit, že je připravena se připojit k backendu, aby získala aktualizovaný firmware a software. Nebo má sama schopnost spustit požadavek na aktualizaci. Aktualizace OTA pomocí Uptane The Update Framework (TUF) je určen k vytvoření bezpečnostního systému, který chrání uživatele softwarových úložišť před bezpečnostními útoky. Byl navržen s ohledem na to, že backendový server nemusí být bezpečný nebo že klíč použitý pro kryptografii může být odcizen. Vytváří tedy distribuovaný systém, kde není závislost na konkrétním systému, a v případě útočného vlákna nelze tak snadno hacknout všechny systémy najednou. The Update Framework (TUF) rozdělil role do čtyř částí (Root of trust, Timestamps, Snapshot, Targets) Uptane staví na The Update Framework (TUF), který je distribuovaný (Timeserver, úložiště adresářů a obrazů, manifesty, primární/sekundární ECU, úplné a částečné ověření.

Obr. 2: Přehled backendového serveru Uptane

: Bude obsahovat obrazy (data, která je třeba aktualizovat do ECU) s metadaty (kryptografické hashe, velikost souboru) Úložiště obrazů: Úložiště obrazů používá offline klíč k podepsání metadat pro všechny dostupné aktualizace pro ECU. Pravidelně (např. týdně, měsíčně) aktualizuje metadata o dostupných obrazechPomocí nástrojů příkazového řádku Uptane generuje metadataPomocí prahových offline klíčů (např. Yubikey, HSM atd. často používaných) podepisuje metadata

Obrázek 3: Úložiště obrazů

Úložiště adresářů: Úložiště adresářů používá online klíč k podepsání metadat, která mají být použita k instalaci do ECU ve vozidle. Určuje, které obrazy je třeba nainstalovat do které ECU, vytváří různá metadata pro různá vozidla a přistupuje k inventárním údajům, aby získal podrobnosti o vozidle. Obvykle se používá k zadávání pokynů vozidlu, které aktualizace má nainstalovat, v závislosti na tom, co má

  • Může být použit k okamžitému vytvoření černé listiny aktualizací
  • Používá rozhraní API Uptane k vytvoření podepsaných metadat
  • Používá inventární databázi ke čtení a zápisu informací o ECU (např, veřejné klíče, co bylo dříve nainstalováno atd.

Obrázek 4: Úložiště adresářů

Klíčové zde tedy je, že před instalací musí potvrdit, že instrukce z adresáře a úložiště obrazů souhlasí.

Obrázek 5: Sdílení koncových informací o vozidle a OEM

Časový server: Když primární ECU odešle seznam tokenů pro každý ECUS, na časový server, časový server vrátí podepsanou zprávu obsahující seznam tokenů a aktuální čas hlavní jednotky (samotného vozidla): V hlavní jednotce vozidla máme různé typy ECU podle toho, jak jsou připojeny interně nebo k vnějšímu světu, jak jsou výkonné z hlediska rychlosti, paměti atd.

  • Primární ECU (TCU) stahuje obrazy, ověřuje je a poté distribuuje metadata ostatním sekundárním ECU
  • Sekundární ECU také ověřují obraz před aktualizací obrazů.
  • Provádí úplné a částečné ověření

Obrázek 6: Komunikace mezi ECU

Komunikační kanál

Kompletní tok komunikace z hlavní jednotky na Backend server.

Obrázek 7: Komunikační kanál

Co je třeba udělat pro nasazení Uptane?

  • Operátor OEM zřizuje a udržuje
    • Úložiště adresáře
    • Úložiště obrázků
    • Časový server (volitelně)
  • Obrázky podepisuje
    • Dodavatel, nebo OEM, nebo obojí!
  • ECU provádí buď
    • úplné ověření, nebo
    • částečné ověření
  • Může nadále používat stávající TLS atd. transport
    • Pokud je transport / caching ohrožen, malé bezpečnostní riziko

Problémy při aktualizaci OTA

  • Automobil je složitější architektura s rostoucím počtem ECU, aktualizace různých typů ECU se sama o sobě stává náročnou
  • Bezpečnost dat vzduchem je vysoce ohrožena.
  • Aktualizace firmwaru a softwaru se provádí s využitím minimálních zdrojů, jako je šířka pásma sítě, úložiště a výpočetní technika.
  • Je možné aktualizovat nejen aplikaci/, ale i jádro ovladače /softwaru zařízení
  • Mezinformace o vrácení aktualizace softwaru
  • Při aktualizaci softwaru nebo firmwaru nejsou akceptovány vyšší prostoje.
  • Velikost softwarových bloků
  • Jak hladce probíhá OTA s dopadem na aktuální systém.

Závěr

V automobilovém světě bude s časem přibývat aktualizací softwaru, aby se zajistila jeho aktuálnost v čase. Vozidla je třeba bezpečně aktualizovat. Uptane může být jedním ze slibných řešení pro aktualizaci softwaru vzduchem.

Další čtení

  • Enabling SAE L3-L5 Autonomy with Sensor Fusion: Přístupy a výzvy
  • Koncepce bezpečnosti pro automatizované řízení
  • Průvodce portováním algoritmu rozpoznávání dopravních značek v reálném čase na SoC Texas Instruments TDA2x

.