A szoftver és a firmware Over-the-Air (OTA) segítségével történő frissítése a kézi eszközök, az ipari és az autóipari szektorban idővel megnőtt a beágyazott platformok esetében. Miután a termék a való világban van, a hibajavításokkal, biztonsági javításokkal vagy a funkciófrissítéssel kapcsolatos firmware- vagy szoftverfrissítésre van szükség az eszköz jobbá tételéhez és a legújabb szoftverrel való naprakészen tartásához.
Az OTA a szoftver vagy a firmware távoli frissítésének technológiája.
Egy jármű esetében a firmware vagy szoftver frissítése vezeték nélkül történik egy telekommunikációs eszköz segítségével, az autóban lévő átjárón keresztül az ECU-hoz, amelynek jelenléte egyre növekszik a modern járművekben.
Mi szükség van az OTA (Over-the-Air Update) frissítésére a jármű számára?
Az autóiparban a jármű egyre intelligensebbé és okosabbá vált. Jelenleg a járműveket nagyrészt szoftver vezérli, nem pedig hagyományos mechanikus alkatrészek. Egy évtizeddel ezelőtt, ha szükség volt a szoftver frissítésére, a járművet a szervizbe vontatták, és a járműveket a rendszerhez/számítógéphez csatlakoztatták a frissítéshez. Az OTA megoldja az egyes frissítések megbízhatóságának problémáját, amely korábban jelen volt, másodsorban a szervizállomástól való függőséget, a járműnek az állomásra való szállítását, a szoftver frissítésének költsége nagyon alacsony, és nem okoz sok gondot az ügyfélnek és a szervizállomásnak. Végül, de nem utolsósorban, a biztonsági frissítés időben minden jármű számára fontos, és könnyen elvégezhetőA mobiltelefonok és a járművek OTA-frissítésének megközelítése eltérő, a jármű OTA-frissítése összetettebb és szigorúbb, mint a kézi eszközhöz képest, a helytelen szoftverfrissítés kárt okozhat a felhasználói életben is. Az elektronikus vezérlőegységek (ECU-k) ma már a jármű fő alkotóelemévé váltak, az ECU felváltotta az összes mechanikus kormánymű-alkatrészt. Az ECU-kat általában egy vagy több hálózat köti össze, és olyan információkat osztanak meg egymással, amelyek komplex interakciókat és szabályozásokat tesznek lehetővé. Például a fejlett vezetőtámogató rendszerekben (ADAS) a növekvő funkcionális képességek nagyobb rendszerbonyolultsággal járnak együtt, ami valószínűbbé teszi a szoftverhibák előfordulását, amelyek hatással lehetnek az egész jármű biztonságára és védelmére. A rendszeres szoftverfrissítésekkel és -fejlesztésekkel biztosítható a rendszerek helyessége, hatékonysága és megbízhatósága a jármű teljes élettartama alatt. Ez a blog elsősorban azt a végponttól végpontig tartó megoldást ismerteti, amely az OTA szoftverfrissítések támogatására alkalmazható az autóiparban. Az előző részben az OTA-ról beszéltünk, és megértettük, hogy az OTA-frissítés az autóiparban komoly kihívásokat jelent a biztonság szempontjából a szoftver levegőn keresztüli frissítése során. Ha a támadók átveszik az irányítást a jármű felett, veszélyhelyzetbe kerülhetünk.
- A motor sebességváltója ki/be kapcsolható
- Az utasok vagy a vezetők bezárhatók az autóba
- Folyamatosan fújhatja a dudát
- A kormányrendszer irányítása
- Az autó fékrendszere
- Az autó sebességének a közúti előírásokon túli növelése.
- Navigációs, audio- vagy infotainment rendszer vezérlése
- Téves riasztás a pilótafülkében
Nézzük, hogyan történik az OTA frissítés a járműben. Áttekintés: A járművek OTA távfrissítési módszere gyors, költséghatékony, és lehetővé teszi az ECU-jukon futó szoftverek levegőn keresztüli frissítését, és az autó felhasználói bárhol frissíthetik a szoftvert anélkül, hogy a szervizközpontba vagy a javítóműhelybe kellene menniük. Továbbá, az OEM diagnosztizálhatja az autót az autóból over-the-air-en keresztül kapott adatok alapján
1. ábra: Az OTA frissítés általános áttekintése
Biztonságos OTA az autóipari rendszerben: A biztonságos OTA-frissítés a legfontosabb tényező az ECU firmware vagy szoftver frissítése során. A biztonságos OTA-frissítés megvalósítása számos kihívással jár. Az iparágban számos technikát javasoltak és alkalmaztak a biztonságos OTA-frissítések megvalósítására. Ezek közül néhányat megvitatunk, és elmagyarázzuk az autóiparban leggyakrabban használt technikát. Osszuk fel az egész végponttól végpontig tartó architektúrát három összetevőre, és mi a célja. Backend-kiszolgáló
- Elkészíti a frissített képeket/Begyűjti a képeket a különböző Tier-1
- Biztosítja a firmware- és szoftverfrissítési képeket a készülékre való flasheléshez
- Ez lehet, hogy támogatnia kell a kliens-szerver architektúrát, ha a fejegység kéri a frissítést.
Kommunikációs csatorna
- Biztonságos mechanizmus biztosítása
- Biztonságos n/w biztosítása, hogy a képet vagy az adatokat ne lehessen manipulálni.
Fejegység
- Elképzelhető, hogy a szoftverfrissítést (kliens)
- Győződjön meg róla, hogy a megfelelő képek vannak telepítve
- Kisebb leállási idő a képek frissítése közben
- Roll back történik hiba esetén
Backend szerver: A backend-kiszolgáló elsősorban a járműegységekbe telepítendő firmware- és szoftverképek létrehozásáért felelős. A backend szerver megpróbálja összegyűjteni a különböző Tier-1 beszállítóktól telepítendő képeket, és egyetlen képbe csomagolja azokat az összes ECU számára. Ez a háttértár szerver alapulhat a Yocto alapú rendszeren (nyílt forráskódú) vagy harmadik fél által támogatott architektúrán. Kommunikációs csatorna: A komponens legnagyobb kihívást jelentő része az, amikor az adatok/képek ki vannak téve az n/w-nek, és könnyen manipulálhatók a támadók számára. Számos technika, nyílt forráskódú és harmadik féltől származó megoldás létezik a fejegység biztonságos frissítésére A leggyakrabban használt az Uptane. Az Uptane az első átfogó biztonsági keretrendszer, amely tervezési szinten irányítja az OTA frissítési rendszerek megvalósítását. Fejegység (maga a jármű): A fejegységek számos ECU-ből állnak, talán néhány nagy sebességű, vagy néhány kisebb sebességű, valamint különböző típusú ECU-k, TCU-k (telematikai vezérlőegység), átjárók, minden komponens szerepet játszik az OTA-frissítésben. A fejegységnek is gondoskodnia kell arról, hogy készen álljon a backendhez való csatlakozásra, hogy frissített firmware-t és szoftvert kapjon. Vagy maga is képes elindítani a frissítés kérését. OTA-frissítés az Uptane segítségével A frissítési keretrendszer (TUF) célja egy olyan biztonsági rendszer létrehozása, amely megvédi a szoftvertárak felhasználóit a biztonsági támadásoktól. Úgy tervezték, hogy szem előtt tartották, hogy a backend-kiszolgáló nem biztos, hogy biztonságos, vagy a titkosításhoz használt kulcsot ellophatják. Tehát, amit csinál, az az, hogy egy olyan elosztott rendszert hoz létre, ahol nincs függőség egy adott rendszertől, és a támadó szál esetén az összes rendszert nem lehet egyszerre olyan könnyen feltörni. Az Update Framework (TUF) négy részre osztotta a szerepeket (Root of trust, Timestamps, Snapshot, Targets) Az Uptane az Update Frameworkre (TUF) épül, amely elosztott (Timeserver, könyvtár és képtár, manifesztek, elsődleges/szekunder ECU-k, teljes és részleges ellenőrzés.
2. ábra: Az Uptane
Backend szerver áttekintése: Ez tartalmazza a képeket (az ECU-ra frissítendő adatokat) metaadatokkal (kriptográfiai hashek, fájlméret) Kép-tároló: A képtár egy offline kulcsot használ az ECU számára elérhető összes frissítés metaadatainak aláírására. Rendszeresen (pl. hetente, havonta) frissíti a metaadatokat az elérhető képekrőlUptane parancssori eszközök használata a metaadatok létrehozásáhozAz offline kulcsok küszöbértékének használata (pl. gyakran használt Yubikey, HSM stb.) a metaadatok aláírásához
3. ábra: Kép-tároló
Címtár-tároló: A könyvtártár az online kulcsot használta a metaadatok aláírására, amelyeket a jármű ECU-jába történő telepítéshez használnak. Meghatározza, hogy melyik képet melyik ECU-ba kell telepíteni, különböző metaadatokat hoz létre a különböző járművekhez, és hozzáfér a leltáradatokhoz, hogy részleteket kapjon a járműről. Általában arra használják, hogy utasítsa a járművet, hogy milyen frissítéseket telepítsen, attól függően, hogy milyenekkel rendelkezik
- A frissítések azonnali feketelistázására használható
- Az Uptane API-t használja az aláírt metaadatok létrehozására
- Egy leltári adatbázist használ az ECU-kra vonatkozó információk olvasására és írására (pl., nyilvános kulcsok, mi volt korábban telepítve stb.)
4. ábra: Könyvtári adattár
Tehát a kulcs itt az, hogy a telepítés előtt meg kell erősíteni, hogy a könyvtárból és a képtárból származó utasítás megegyezik.
5. ábra: Jármű és OEM végi információmegosztás
Időszerver: Amikor az elsődleges ECU elküldi a tokenek listáját minden ECUS számára az időkiszolgálónak, az időkiszolgáló egy aláírt üzenetet küld vissza, amely tartalmazza a tokenek listáját és az aktuális időt Fejegység (maga a jármű): A jármű fejegységében különböző típusú ECU-k vannak az alapján, hogy hogyan kapcsolódnak a belső vagy a külső világhoz, milyen erősek a sebesség, a tárolás stb. szempontjából.
- Az elsődleges ECU (TCU) letölti a képeket, ellenőrzi azt, majd szétosztja a metaadatokat a többi másodlagos ECU-nak
- A másodlagos ECU-k is ellenőrzik a képet a képek frissítése előtt.
- Ez végzi a teljes és részleges ellenőrzést
6. ábra: Kommunikáció az ECU-k között
Kommunikációs csatorna
Teljes kommunikációs folyam a fejegységtől a Backend szerverig.
7. ábra: Kommunikációs csatorna
Mi kell az Uptane telepítéséhez?
- Az OEM beállítja és karbantartja
- A rendezői adattárat
- A képadattárat
- időszerver (opcionális)
- A képeket a
- szállító, vagy az OEM, vagy mindkettő!
- Az ECU-knak vagy
- Teljes ellenőrzést, vagy
- Részleges ellenőrzést
- Megtarthatja a meglévő TLS-t, stb. szállítás
- Ha a szállítás / cache veszélyeztetett, kis biztonsági kockázat
Kihívások az OTA frissítésnél
- Autó egyre összetettebb felépítésű, egyre több ECU-vel, a különböző típusú ECU-k frissítése maga is kihívást jelent
- Az adatok biztonsága a levegőben nagy kockázatot jelent.
- A firmware és a szoftver frissítése minimális erőforrások, például hálózati sávszélesség, tárolás és számítási kapacitás felhasználásával történik.
- Megoldható-e, hogy ne csak az alkalmazás/, hanem az eszköz alapvető illesztőprogramja/szoftvere is frissüljön?
- A szoftverfrissítés visszaállítási mechanizmusa
- A szoftver vagy firmware frissítése során nem fogadható el nagyobb leállási idő.
- A szoftverblokkok mérete
- Milyen zökkenőmentesen történik az OTA az aktuális rendszer befolyásolásával.
Következtetés
Az autóipar világában idővel a szoftverfrissítés növekedni fog, hogy az idővel naprakész legyen. A járműveket biztonságosan kell frissíteni. Az Uptane lehet az egyik ígéretes megoldás a szoftver levegőben történő frissítésére.
További olvasmányok
- Enabling SAE L3-L5 Autonomy with Sensor Fusion: Approaches and Challenges
- Safety Concept for Automated Driving
- Guide to Porting Real-time Traffic Sign Recognition Algorithm on Texas Instruments TDA2x SoC
.
Vélemény, hozzászólás?