Ohjelmistojen ja laiteohjelmistojen päivittäminen Over-the-Air (OTA) -menetelmällä on lisääntynyt kämmenlaitteissa, teollisuudessa ja autoteollisuudessa sulautetun alustan osalta ajan myötä. Kun tuote on reaalimaailmassa, laiteohjelmisto- tai ohjelmistopäivitys, joka liittyy vikakorjauksiin, tietoturvakorjauksiin tai ominaisuuspäivitykseen, on tarpeen laitteen parantamiseksi ja sen pitämiseksi ajan tasalla uusimmalla ohjelmistolla.

OTA on tekniikka, jolla ohjelmisto tai laiteohjelmisto päivitetään etänä.

Ajoneuvon tapauksessa laiteohjelmisto tai ohjelmisto päivitetään langattomasti tietoliikennelaitteen avulla auton sisällä olevan yhdyskäytävän kautta ECU:lle, jonka läsnäolo lisääntyy nykyaikaisissa ajoneuvoissa.

Mihin OTA-päivitystä (Over-the-Air Update) tarvitaan ajoneuvossa?

Autoteollisuudessa ajoneuvosta on tullut yhä älykkäämpi ja älykkäämpi. Tällä hetkellä ajoneuvoja ohjataan pääasiassa ohjelmistolla perinteisten mekaanisten komponenttien sijaan. Vuosikymmen sitten, jos ohjelmistoa piti päivittää, ajoneuvo hinattiin huoltoasemalle ja ajoneuvot kytkettiin järjestelmään/tietokoneeseen päivitystä varten. OTA:n avulla ratkaistaan jokaisen päivityksen luotettavuusongelma, joka oli aiemmin olemassa, ja toiseksi huoltoaseman riippuvuus ajoneuvon kuljettamisesta huoltoasemalle. Ohjelmiston päivityskustannuksista tulee hyvin alhaiset, eikä asiakkaalle ja huoltoasemalle aiheudu paljon vaivaa. Viimeisenä, mutta ei vähäisimpänä, jokaisen ajoneuvon oikea-aikainen tietoturvapäivitys on tärkeää, ja se tehdään helpostiMatkapuhelinten ja ajoneuvojen OTA-päivityksen lähestymistapa on erilainen, ajoneuvon OTA-päivitys on monimutkaisempi ja tiukempi kuin kämmenlaitteessa, epäasianmukainen ohjelmistopäivitys voi aiheuttaa haittaa myös käyttäjän elämälle. Elektronisista ohjausyksiköistä (ECU) on tullut nykyään ajoneuvon tärkein komponentti, ECU on korvannut kaikki mekaaniset ohjauskomponentit. Yleisesti ottaen ECU:t on yhdistetty yhteen tai useampaan verkkoon ja ne jakavat tietoja, jotka mahdollistavat monimutkaisen vuorovaikutuksen ja sääntelyn. Esimerkiksi ADAS-järjestelmissä (Advanced Driver Assistance Systems) toiminnallisten valmiuksien lisääntymisen myötä järjestelmän monimutkaisuus kasvaa, minkä vuoksi ohjelmistovirheiden esiintyminen on todennäköisempää, mikä voi vaikuttaa koko ajoneuvon turvallisuuteen ja varmuuteen. Säännöllisillä ohjelmistopäivityksillä ja -parannuksilla voidaan varmistaa järjestelmien virheettömyys, tehokkuus ja luotettavuus koko ajoneuvon elinkaaren ajan. Tässä blogissa kuvataan pääasiassa kokonaisvaltaista ratkaisua, joka voidaan ottaa käyttöön OTA-ohjelmistopäivitysten tukemiseksi autoteollisuudessa. Edellisessä jaksossa puhuttiin OTA:sta ja ymmärrettiin, että OTA-päivityksiin liittyy autoteollisuudessa suuria tietoturvahaasteita, kun ohjelmistoja päivitetään ilmateitse. Jos hyökkääjät saavat ajoneuvon hallintaansa, ihminen voi joutua vaaratilanteeseen.

  • Moottorin voimansiirto voidaan kytkeä päälle/pois päältä
  • Matkustajat tai kuljettajat voidaan lukita auton sisälle
  • Torven jatkuva puhaltaminen
  • Ohjausjärjestelmän hallitseminen
  • Auton jarrujärjestelmä
  • Auton nopeuden nostaminen tieliikennemääräysten ylittämiseen.
  • Navigointi-, audio- tai infotainment-järjestelmän ohjaaminen
  • Väärä hälytys ohjaamossa

Katsotaan, miten OTA-päivitys tapahtuu autossa. Yleiskatsaus: Ajoneuvojen OTA-etäpäivitysmenetelmä on nopea ja kustannustehokas, ja sen avulla voidaan päivittää niiden ECU-yksiköissä olevat ohjelmistot over-the-air, ja auton käyttäjät voivat päivittää ohjelmiston missä tahansa ilman, että heidän tarvitsee mennä huoltokeskukseen tai korjaamolle. Lisäksi alkuperäinen laitevalmistaja voi diagnosoida auton autosta over-the-air-järjestelmän kautta saatujen tietojen perusteella

Kuva 1: Yleiskatsaus OTA-päivitykseen

Turvallinen OTA-päivitys autojen järjestelmässä: Turvallinen OTA-päivitys on tärkein tekijä, kun ECU:n laiteohjelmistoa tai ohjelmistoa päivitetään. Turvallisen OTA-päivityksen toteuttamiseen liittyy paljon haasteita. Teollisuudessa on ehdotettu ja toteutettu monia tekniikoita turvallisten OTA-päivitysten toteuttamiseksi. Keskustelemme joistakin niistä ja selitämme autoteollisuudessa yleisimmin käytetyn tekniikan. Jaetaan koko päästä päähän -arkkitehtuuri kolmeen osaan ja kerrotaan, mikä on sen tarkoitus. Backend-palvelin

  • Luo päivitetyt kuvat/Kerää kuvat eri Tier-1:stä
  • Tarjoa laiteohjelmisto- ja ohjelmistopäivityskuvat laitteeseen välitettäväksi
  • Sen on ehkä tuettava asiakas-palvelin -arkkitehtuuria, jos päälaite pyytää päivitystä.

Viestintäkanava

  • Tarjoa suojattu mekanismi
  • Tarjoa suojattu n/w, jotta kuvaa tai tietoja ei voida peukaloida.

Pääyksikkö

  • Voi olla tarpeen käynnistää ohjelmistopäivitys (asiakas)
  • Varmista, että oikeat kuvat on asennettu
  • Vähemmän seisonta-aikaa kuvien päivittämisen aikana
  • Roll back tapahtuu vikatilanteessa

Backend-palvelin: Backend-palvelin on pääasiassa vastuussa ajoneuvoyksiköihin asennettavien laiteohjelmisto- ja ohjelmistokuvien luomisesta. Backend-palvelin pyrkii keräämään eri Tier-1-toimittajilta käyttöönotettavat kuvat ja pakkaamaan ne yhdeksi kuvaksi kaikkia ECU:ita varten. Tämä taustapalvelin voi perustua Yocto-pohjaiseen järjestelmään (avoin lähdekoodi) tai kolmannen osapuolen tukiarkkitehtuuriin. Viestintäkanava: Komponentin haastavin osa on se, että tiedot/kuvat ovat alttiina n/w:lle, jolloin hyökkääjien on helppo manipuloida niitä. On olemassa monia tekniikoita, avoimen lähdekoodin ja kolmannen osapuolen ratkaisuja turvalliseen päivitykseen pääyksikköön Yleisimmin käytetty on Uptane. Uptane on ensimmäinen kattava tietoturvakehys, joka ohjaa OTA-päivitysjärjestelmien toteuttamista suunnittelutasolla. Pääyksikkö (itse ajoneuvot): Pääyksiköt koostuvat monista ECU-yksiköistä, joista jotkut ovat ehkä nopeita tai vähemmän nopeita, ja myös erityyppisistä ECU-yksiköistä, TCU:sta (telematiikan ohjausyksikkö), yhdyskäytävistä, jokaisella komponentilla on oma roolinsa OTA-päivityksessä. Pääyksikön on myös varmistettava, että se on valmis muodostamaan yhteyden taustajärjestelmään päivitetyn laiteohjelmiston ja ohjelmiston saamiseksi. Tai se voi itse käynnistää päivityspyynnön. OTA-päivitys Uptanen avulla The Update Framework (TUF) on suunniteltu luomaan turvajärjestelmä, joka suojaa ohjelmistovarastojen käyttäjiä tietoturvahyökkäyksiltä. Se on suunniteltu pitäen mielessä, että taustapalvelin ei välttämättä ole suojattu tai salauksessa käytetty avain voidaan varastaa. Sen avulla luodaan siis hajautettu järjestelmä, jossa ei ole riippuvuutta tietystä järjestelmästä, ja jos hyökkääjä pääsee lankaan, kaikkia järjestelmiä ei voida murtautua niin helposti samaan aikaan. The Update Framework (TUF) on jakanut roolit neljään osaan (Root of trust, Timestamps, Snapshot, Targets) Uptane perustuu The Update Framework (TUF) -järjestelmään, joka on hajautettu (Timeserver, hakemisto- ja kuva-arkisto, manifestit, ensisijaiset/toissijaiset ECU:t, täysi ja osittainen verifiointi.

Kuvio 2: Yleiskatsaus Uptanen

taustapalvelimeen: Se sisältää kuvat (tiedot, jotka on päivitettävä ECU:lle) metatietoineen (kryptografiset hasheet, tiedostokoko) Image Repository: Kuvavarasto käyttää offline-avainta kaikkien ECU:n käytettävissä olevien päivitysten metatietojen allekirjoittamiseen. Päivitetään säännöllisesti (esim. viikoittain, kuukausittain) metatiedot käytettävissä olevista kuvistaKäytetään Uptane-komentorivityökaluja metatietojen tuottamiseenKäytetään offline-avainten kynnysarvoa (esim. Yubikey, HSM jne. usein käytetty) metatietojen allekirjoittamiseen

Kuva 3: Kuvatietovarasto

Hakemistovarasto: Hakemistovarasto käyttää online-avainta metatietojen allekirjoittamiseen, jotta ne voidaan asentaa ajoneuvon ECU:han. Se määrittää, mitkä kuvat on asennettava mihinkin ECU:iin, luo erilaisia metatietoja eri ajoneuvoja varten ja käyttää inventaariotietoja saadakseen tietoja ajoneuvosta. Käytetään tyypillisesti ohjeistamaan ajoneuvolle, mitkä päivitykset asennetaan sen mukaan, mitä siinä on

  • Voidaan käyttää päivitysten välittömään mustalle listalle asettamiseen
  • Käyttää Uptane API:ta allekirjoitetun metatiedon luomiseen
  • Käyttää inventaariotietokantaa lukemaan ja kirjoittamaan tietoja ECU:ista (esim, julkiset avaimet, mitä on aiemmin asennettu jne.)

Kuvio 4: Hakemistovarasto

Avain tässä on siis se, että ennen asennusta on vahvistettava, että hakemiston ja kuvavaraston ohjeet täsmäävät.

Kuvio 5: Ajoneuvon ja alkuperäisen laitevalmistajan päädyn tietojen jakaminen

Aikapalvelin: Kun ensisijainen ECU lähettää aikapalvelimelle luettelon jokaisen ECUS:n tunnisteista, aikapalvelin palauttaa allekirjoitetun viestin, joka sisältää luettelon tunnisteista ja senhetkisen ajan Pääyksikkö (ajoneuvo itse):

  • Ensisijainen ECU (TCU) lataa kuvat, tarkistaa ne ja jakaa sitten metatiedot muille toissijaisille ECU:ille
  • Toissijaiset ECU:t tarkistavat myös kuvan ennen kuvien päivittämistä.
  • Se suorittaa täydellisen ja osittaisen verifioinnin

Kuva 6: ECU:iden välinen tiedonsiirto

Viestintäkanava

Täydellinen tiedonsiirtovirta pääyksiköstä Backend-palvelimelle.

Kuva 7: Viestintäkanava

Mitä Uptanen käyttöönotto vaatii?

  • Omistaja perustaa ja ylläpitää
    • Director-tietovarastoa
    • Kuvavarastoa
    • Aikapalvelinta (valinnainen)
  • Kuvat allekirjoittaa
    • Toimittaja, tai OEM, tai molemmat!
  • ECU:iden on tehtävä joko
    • Täydellinen todentaminen tai
    • Osittainen todentaminen
  • Voi jatkaa olemassa olevan TLS:n käyttöä jne. kuljetus
    • Jos kuljetus / välimuistiin tallentaminen vaarantuu, pieni tietoturvariski

OTA-päivitykseen liittyvät haasteet

  • Automaatti on monimutkaisempi arkkitehtuuri, jossa ECU:iden määrä lisääntyy, ja erityyppisten ECU:iden päivittäminen itsessään muuttuu haastavaksi
  • Tiedon tietoturva ilmateitse kulkevan datan kanssa on suuressa vaarassa.
  • Firmware- ja ohjelmistopäivitys tehdään käyttämällä minimaalisia resursseja, kuten verkon kaistanleveyttä, tallennustilaa ja laskentaa.
  • Onko mahdollista päivittää paitsi sovellus/ myös laitteen ydinajuri/ohjelmisto?
  • Ohjelmistopäivityksen rollback-mekanismi
  • Suuria seisokkiaikoja ei hyväksytä ohjelmistoa tai laiteohjelmistoa päivitettäessä.
  • Ohjelmistolohkojen koko
  • Miten saumattomasti OTA tapahtuu vaikuttamatta nykyiseen järjestelmään.

Johtopäätökset

Automaailmassa ajan myötä ohjelmistopäivitykset lisääntyvät, jotta varmistetaan, että se on ajan tasalla. Ajoneuvot on päivitettävä turvallisesti. Uptane voi olla yksi lupaavista ratkaisuista ohjelmistojen päivittämiseen ilman kautta.

Lisälukemista

  • Enabling SAE L3-L5 Autonomy with Sensor Fusion: Approaches and Challenges
  • Safety Concept for Automated Driving
  • Guide to Porting Real-time Traffic Sign Recognition Algorithm on Texas Instruments TDA2x SoC