A szoftver és a firmware Over-the-Air (OTA) segítségével történő frissítése a kézi eszközök, az ipari és az autóipari szektorban idővel megnőtt a beágyazott platformok esetében. Miután a termék a való világban van, a hibajavításokkal, biztonsági javításokkal vagy a funkciófrissítéssel kapcsolatos firmware- vagy szoftverfrissítésre van szükség az eszköz jobbá tételéhez és a legújabb szoftverrel való naprakészen tartásához.

Az OTA a szoftver vagy a firmware távoli frissítésének technológiája.

Egy jármű esetében a firmware vagy szoftver frissítése vezeték nélkül történik egy telekommunikációs eszköz segítségével, az autóban lévő átjárón keresztül az ECU-hoz, amelynek jelenléte egyre növekszik a modern járművekben.

Mi szükség van az OTA (Over-the-Air Update) frissítésére a jármű számára?

Az autóiparban a jármű egyre intelligensebbé és okosabbá vált. Jelenleg a járműveket nagyrészt szoftver vezérli, nem pedig hagyományos mechanikus alkatrészek. Egy évtizeddel ezelőtt, ha szükség volt a szoftver frissítésére, a járművet a szervizbe vontatták, és a járműveket a rendszerhez/számítógéphez csatlakoztatták a frissítéshez. Az OTA megoldja az egyes frissítések megbízhatóságának problémáját, amely korábban jelen volt, másodsorban a szervizállomástól való függőséget, a járműnek az állomásra való szállítását, a szoftver frissítésének költsége nagyon alacsony, és nem okoz sok gondot az ügyfélnek és a szervizállomásnak. Végül, de nem utolsósorban, a biztonsági frissítés időben minden jármű számára fontos, és könnyen elvégezhetőA mobiltelefonok és a járművek OTA-frissítésének megközelítése eltérő, a jármű OTA-frissítése összetettebb és szigorúbb, mint a kézi eszközhöz képest, a helytelen szoftverfrissítés kárt okozhat a felhasználói életben is. Az elektronikus vezérlőegységek (ECU-k) ma már a jármű fő alkotóelemévé váltak, az ECU felváltotta az összes mechanikus kormánymű-alkatrészt. Az ECU-kat általában egy vagy több hálózat köti össze, és olyan információkat osztanak meg egymással, amelyek komplex interakciókat és szabályozásokat tesznek lehetővé. Például a fejlett vezetőtámogató rendszerekben (ADAS) a növekvő funkcionális képességek nagyobb rendszerbonyolultsággal járnak együtt, ami valószínűbbé teszi a szoftverhibák előfordulását, amelyek hatással lehetnek az egész jármű biztonságára és védelmére. A rendszeres szoftverfrissítésekkel és -fejlesztésekkel biztosítható a rendszerek helyessége, hatékonysága és megbízhatósága a jármű teljes élettartama alatt. Ez a blog elsősorban azt a végponttól végpontig tartó megoldást ismerteti, amely az OTA szoftverfrissítések támogatására alkalmazható az autóiparban. Az előző részben az OTA-ról beszéltünk, és megértettük, hogy az OTA-frissítés az autóiparban komoly kihívásokat jelent a biztonság szempontjából a szoftver levegőn keresztüli frissítése során. Ha a támadók átveszik az irányítást a jármű felett, veszélyhelyzetbe kerülhetünk.

  • A motor sebességváltója ki/be kapcsolható
  • Az utasok vagy a vezetők bezárhatók az autóba
  • Folyamatosan fújhatja a dudát
  • A kormányrendszer irányítása
  • Az autó fékrendszere
  • Az autó sebességének a közúti előírásokon túli növelése.
  • Navigációs, audio- vagy infotainment rendszer vezérlése
  • Téves riasztás a pilótafülkében

Nézzük, hogyan történik az OTA frissítés a járműben. Áttekintés: A járművek OTA távfrissítési módszere gyors, költséghatékony, és lehetővé teszi az ECU-jukon futó szoftverek levegőn keresztüli frissítését, és az autó felhasználói bárhol frissíthetik a szoftvert anélkül, hogy a szervizközpontba vagy a javítóműhelybe kellene menniük. Továbbá, az OEM diagnosztizálhatja az autót az autóból over-the-air-en keresztül kapott adatok alapján

1. ábra: Az OTA frissítés általános áttekintése

Biztonságos OTA az autóipari rendszerben: A biztonságos OTA-frissítés a legfontosabb tényező az ECU firmware vagy szoftver frissítése során. A biztonságos OTA-frissítés megvalósítása számos kihívással jár. Az iparágban számos technikát javasoltak és alkalmaztak a biztonságos OTA-frissítések megvalósítására. Ezek közül néhányat megvitatunk, és elmagyarázzuk az autóiparban leggyakrabban használt technikát. Osszuk fel az egész végponttól végpontig tartó architektúrát három összetevőre, és mi a célja. Backend-kiszolgáló

  • Elkészíti a frissített képeket/Begyűjti a képeket a különböző Tier-1
  • Biztosítja a firmware- és szoftverfrissítési képeket a készülékre való flasheléshez
  • Ez lehet, hogy támogatnia kell a kliens-szerver architektúrát, ha a fejegység kéri a frissítést.

Kommunikációs csatorna

  • Biztonságos mechanizmus biztosítása
  • Biztonságos n/w biztosítása, hogy a képet vagy az adatokat ne lehessen manipulálni.

Fejegység

  • Elképzelhető, hogy a szoftverfrissítést (kliens)
  • Győződjön meg róla, hogy a megfelelő képek vannak telepítve
  • Kisebb leállási idő a képek frissítése közben
  • Roll back történik hiba esetén

Backend szerver: A backend-kiszolgáló elsősorban a járműegységekbe telepítendő firmware- és szoftverképek létrehozásáért felelős. A backend szerver megpróbálja összegyűjteni a különböző Tier-1 beszállítóktól telepítendő képeket, és egyetlen képbe csomagolja azokat az összes ECU számára. Ez a háttértár szerver alapulhat a Yocto alapú rendszeren (nyílt forráskódú) vagy harmadik fél által támogatott architektúrán. Kommunikációs csatorna: A komponens legnagyobb kihívást jelentő része az, amikor az adatok/képek ki vannak téve az n/w-nek, és könnyen manipulálhatók a támadók számára. Számos technika, nyílt forráskódú és harmadik féltől származó megoldás létezik a fejegység biztonságos frissítésére A leggyakrabban használt az Uptane. Az Uptane az első átfogó biztonsági keretrendszer, amely tervezési szinten irányítja az OTA frissítési rendszerek megvalósítását. Fejegység (maga a jármű): A fejegységek számos ECU-ből állnak, talán néhány nagy sebességű, vagy néhány kisebb sebességű, valamint különböző típusú ECU-k, TCU-k (telematikai vezérlőegység), átjárók, minden komponens szerepet játszik az OTA-frissítésben. A fejegységnek is gondoskodnia kell arról, hogy készen álljon a backendhez való csatlakozásra, hogy frissített firmware-t és szoftvert kapjon. Vagy maga is képes elindítani a frissítés kérését. OTA-frissítés az Uptane segítségével A frissítési keretrendszer (TUF) célja egy olyan biztonsági rendszer létrehozása, amely megvédi a szoftvertárak felhasználóit a biztonsági támadásoktól. Úgy tervezték, hogy szem előtt tartották, hogy a backend-kiszolgáló nem biztos, hogy biztonságos, vagy a titkosításhoz használt kulcsot ellophatják. Tehát, amit csinál, az az, hogy egy olyan elosztott rendszert hoz létre, ahol nincs függőség egy adott rendszertől, és a támadó szál esetén az összes rendszert nem lehet egyszerre olyan könnyen feltörni. Az Update Framework (TUF) négy részre osztotta a szerepeket (Root of trust, Timestamps, Snapshot, Targets) Az Uptane az Update Frameworkre (TUF) épül, amely elosztott (Timeserver, könyvtár és képtár, manifesztek, elsődleges/szekunder ECU-k, teljes és részleges ellenőrzés.

2. ábra: Az Uptane

Backend szerver áttekintése: Ez tartalmazza a képeket (az ECU-ra frissítendő adatokat) metaadatokkal (kriptográfiai hashek, fájlméret) Kép-tároló: A képtár egy offline kulcsot használ az ECU számára elérhető összes frissítés metaadatainak aláírására. Rendszeresen (pl. hetente, havonta) frissíti a metaadatokat az elérhető képekrőlUptane parancssori eszközök használata a metaadatok létrehozásáhozAz offline kulcsok küszöbértékének használata (pl. gyakran használt Yubikey, HSM stb.) a metaadatok aláírásához

3. ábra: Kép-tároló

Címtár-tároló: A könyvtártár az online kulcsot használta a metaadatok aláírására, amelyeket a jármű ECU-jába történő telepítéshez használnak. Meghatározza, hogy melyik képet melyik ECU-ba kell telepíteni, különböző metaadatokat hoz létre a különböző járművekhez, és hozzáfér a leltáradatokhoz, hogy részleteket kapjon a járműről. Általában arra használják, hogy utasítsa a járművet, hogy milyen frissítéseket telepítsen, attól függően, hogy milyenekkel rendelkezik

  • A frissítések azonnali feketelistázására használható
  • Az Uptane API-t használja az aláírt metaadatok létrehozására
  • Egy leltári adatbázist használ az ECU-kra vonatkozó információk olvasására és írására (pl., nyilvános kulcsok, mi volt korábban telepítve stb.)

4. ábra: Könyvtári adattár

Tehát a kulcs itt az, hogy a telepítés előtt meg kell erősíteni, hogy a könyvtárból és a képtárból származó utasítás megegyezik.

5. ábra: Jármű és OEM végi információmegosztás

Időszerver: Amikor az elsődleges ECU elküldi a tokenek listáját minden ECUS számára az időkiszolgálónak, az időkiszolgáló egy aláírt üzenetet küld vissza, amely tartalmazza a tokenek listáját és az aktuális időt Fejegység (maga a jármű): A jármű fejegységében különböző típusú ECU-k vannak az alapján, hogy hogyan kapcsolódnak a belső vagy a külső világhoz, milyen erősek a sebesség, a tárolás stb. szempontjából.

  • Az elsődleges ECU (TCU) letölti a képeket, ellenőrzi azt, majd szétosztja a metaadatokat a többi másodlagos ECU-nak
  • A másodlagos ECU-k is ellenőrzik a képet a képek frissítése előtt.
  • Ez végzi a teljes és részleges ellenőrzést

6. ábra: Kommunikáció az ECU-k között

Kommunikációs csatorna

Teljes kommunikációs folyam a fejegységtől a Backend szerverig.

7. ábra: Kommunikációs csatorna

Mi kell az Uptane telepítéséhez?

  • Az OEM beállítja és karbantartja
    • A rendezői adattárat
    • A képadattárat
    • időszerver (opcionális)
  • A képeket a
    • szállító, vagy az OEM, vagy mindkettő!
  • Az ECU-knak vagy
    • Teljes ellenőrzést, vagy
    • Részleges ellenőrzést
  • Megtarthatja a meglévő TLS-t, stb. szállítás
    • Ha a szállítás / cache veszélyeztetett, kis biztonsági kockázat

Kihívások az OTA frissítésnél

  • Autó egyre összetettebb felépítésű, egyre több ECU-vel, a különböző típusú ECU-k frissítése maga is kihívást jelent
  • Az adatok biztonsága a levegőben nagy kockázatot jelent.
  • A firmware és a szoftver frissítése minimális erőforrások, például hálózati sávszélesség, tárolás és számítási kapacitás felhasználásával történik.
  • Megoldható-e, hogy ne csak az alkalmazás/, hanem az eszköz alapvető illesztőprogramja/szoftvere is frissüljön?
  • A szoftverfrissítés visszaállítási mechanizmusa
  • A szoftver vagy firmware frissítése során nem fogadható el nagyobb leállási idő.
  • A szoftverblokkok mérete
  • Milyen zökkenőmentesen történik az OTA az aktuális rendszer befolyásolásával.

Következtetés

Az autóipar világában idővel a szoftverfrissítés növekedni fog, hogy az idővel naprakész legyen. A járműveket biztonságosan kell frissíteni. Az Uptane lehet az egyik ígéretes megoldás a szoftver levegőben történő frissítésére.

További olvasmányok

  • Enabling SAE L3-L5 Autonomy with Sensor Fusion: Approaches and Challenges
  • Safety Concept for Automated Driving
  • Guide to Porting Real-time Traffic Sign Recognition Algorithm on Texas Instruments TDA2x SoC

.