隨著汽車產業在智能化網聯化方向深入發展,新型汽車產品已逐步成為車輪上的數據中心。據統計,今天的汽車有多達 150 個車載控制器和大約 1 億行代碼,支撐自動駕駛、網聯通信、人機交互等新興功能的實現。高度復雜的汽車電子電氣系統、通信網絡和軟件配備也為針對車輛和道路基礎設施的網絡攻擊創造了大量的機會。通過診斷服務、OTA 更新等方式修復安全問題,并持續提升車輛的網絡安全防護水平,成為行業共識。21年10月,第四屆中國汽車安全與召回技術論壇暨2021年汽車安全大會在嘉興平湖召開。會上,艾拉比車聯網副總裁賀思聰發表的智能汽車OTA升級防護實踐中表示:整車OTA安全一方面從政府監管層面開看,政企配合讓OTA回歸監管,另一方面,從產品和技術層面看,建立以主動防御為核心的網絡安全防護體系,從云端、車端、移動端全面保障網絡安全至關重要。隨著軟件定義汽車的發展,OTA作為汽車功能升級、漏洞彌補的重要手段,成為安全防護中的重要環節,走進了政府的監管體系。此外,21年12月,中國軟件評測中心聯合國家信息技術安全研究中心、國汽智聯以及多家企業單位發布“智能網聯汽車安全滲透白皮書2.0”。白皮書2.0關于智能網聯汽車網絡安全危險分析中,重點進行了OTA升級威脅分析實例的展示。可見,OTA安全也是汽車安全防御體系的重要環節。從艾拉比發布的OTA發展趨勢來看,OTA經歷了幾大階段:零部件級、整車級、企業級,未來將會進入行業級的發展,技術愈加復雜,使命愈加艱巨。隨著升級的目標延伸到車內的功能安全零部件范圍,整車系統的升級方案無論在安全性要求,還是可靠性方面,都比過去升級娛樂系統的目標要嚴苛許多。整車OTA需要具備四大要素:可靠性、安全性、先進性、可拓展性。四大要素背后,實際上也是OTA廠商經驗和能力的體現。今天我們就安全升級方面采訪了艾拉比車聯網解決方案專家楊森,一起探討汽車進入軟件定義時代的安全方案。汽車進入智能時代,網絡安全問題無處不在,OTA成為了汽車修復安全問題的重要手段。立足產業發展,我們應該如何應對汽車安全問題?
楊森:安全是智能網聯汽車發展的先決條件,近年來世界各地先后爆出網絡安全事件,我國政府對安全的重視程度逐步提升,在智能網聯汽車網絡安全、數據安全、OTA升級等領域都相繼出臺了法律法規。首先,智能網聯汽車行業的健康發展離不開完善的標準法規,我國智能網聯汽車信息安全尚處于起步階段,相應的汽車信息安全技術要求以及管理細則還未完善。在政策法規層面上,一是需進一步加強智能網聯汽車信息安全政策的頂層設計,推進各職能部門統籌協調,完善相關的標準法規;二是明確對汽車產品的信息安全要求,落實汽車相關企業的安全責任;三是開展相關的安全場景測試,加強汽車安全的監測評估。另外,汽車信息安全是覆蓋整個汽車生命周期的防護體系,系統級的智能網聯汽車安全防護技術依舊缺乏完善的解決方案,在應用上還存在一定的難度,比如缺乏專業的測試體系和測試方法,缺乏完善汽車信息安全防護以及預警機制等,所以從企業與技術層面,一是提升網絡安全管理能力,培養安全意識,建立汽車全生命周期的安全防護措施;二是要加快安全技術研發與應用,推動在應用軟件,芯片,通信協議以及操作系統等方面的安全技術創新;三是構建更完善的安全測評體系,加強安全風險評估;四是通過車輛軟件漏洞挖掘建立車輛軟件漏洞缺陷庫,基于大數據有效識別車輛安全風險,加強車輛安全預警分析。五是建設完善的軟件遠程更新能力,在保證發現軟件重大安全漏洞時可以迅速地更新軟件。通過遠程診斷+OTA修復系統和軟件問題已成行業共識,20年市場監督管理總局發布“加強OTA召回監管通知”,21年工信部發布“管理意見”,將OTA納入重點監管。能否進一步介紹一下,目前在整車OTA安全方面國內外政策法規有哪些相關要求?
楊森:OTA升級安全在全球范圍內愈加重視,全球多個組織制定了或正在制定相關的安全標準法規。首先從國際上來看,出臺的主要法規有UNECE WP.29(R155/R156),ISO/SAE21434等,法規中相關內容聚焦車輛網絡安全管理,車輛軟件版本管理,車輛OTA升級流程,明確要求提供安全可靠的軟件更新機制,確保車載軟件通過OTA升級的安全性,對于企業建立有效的車輛網絡安全管理的提供了有效的支撐。另外從國內看,為了促進了智能網聯汽車的合規健康發展,近年來也相繼出臺多項法規:
市場監管總局發布《關于加強汽車遠程升級(OTA)技術召回備案的通知》要求企業采用OTA方式對已售車輛開展技術服務活動的,應向市場監管總局質量發展局備案。生產者采用OTA方式消除汽車產品缺陷、實施召回的,應制定應制定召回計劃,向市場監管總局質量發展局備案,依法履行召回主體責任;
工信部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》,意見指出汽車企業應具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力,確保車輛進行在線升級時處于安全狀態,并向車輛用戶告知在線升級的目的、內容、所需時長、注意事項、升級結果等信息,未經審批,不得通過在線等軟件升級方式新增或更新汽車自動駕駛功能;
工信部發布《關于加強車聯網網絡安全和數據安全工作的通知》要求加強在線升級服務(OTA)安全和漏洞檢測評估,強化應用程序安全管理,加強數據分類分級管理,提升數據安全技術保障能力,規范數據開發利用和共享使用,強化數據出境安全管理,加快車聯網安全標準建設;
國家互聯網信息辦公室發布了《汽車數據安全管理若干規定(試行)》明確了汽車重要數據范圍,為汽車領域個人信息保護工作明確了基本原則,對汽車數據處理提出了具體管理要求,為構建安全有序的汽車數據生態,推動汽車智能化產業良性發展提供了保障。
我國網絡安全技術研究雖然起步較晚,但是經過近年來的快速發展,已經趕上了全球網絡安全技術發展進度,成為全球重要的網絡安全保障力量。從技術層面上來講,整車OTA主要面臨哪些方面的安全風險?應該如何加強?
楊森:OTA升級的風險存在于升級的各個環節中。首先從信息安全角度來看,要確保升級包本身的安全問題,比如軟件包中是否含有安全漏洞、軟件包上傳過程是否被篡改等,這是安全升級的第一步。另外,從升級過程的安全風險來看,涉及云管端等三端的攻擊風險,比如在云端,會存在黑客攻擊導致服務不可用、敏感數據或軟件包保護密鑰泄露等風險;數據傳輸過程,會存在有竊聽、篡改,冒充,偽造升級傳輸指令等風險;車端,會存在密鑰篡改,升級包偽造篡改,偽造不安全的升級條件等風險。因此艾拉比OTA安全方案基于OTA整體流程發布了5S安全體系,從升級包制作,升級包發布,升級包下載,升級包安裝,至升級包狀態反饋等提供全面防護數據安全以及流程合規。同時,艾拉比整車OTA方案還參考ISO/SAE21434網絡安全設計研發流程以及借鑒Uptane汽車OTA的安全框架,專門針對汽車OTA設計了完善的云管端一體防護方案,在服務平臺,車云通信管道,車內數據保護以及總線通信的等幾個關鍵系統提供完善的防護策略。云端層面,按照等級保護3級要求,建立完善的安全管理流程,加強網絡安全監控和審核,并且在核心數據保護,應用軟件安全提供多維度的保護措施;車云通信層面,基于APN私有化網絡以及TLS安全協議實現鏈路的加密保護以及車云雙向身份認證,防止升級傳輸指令與數據被非法篡改,竊聽以及偽造;車端層面,通過HSM,安全芯片等方式保護證書密鑰以及敏感數據,基于數字簽名技術實現OTA軟件包的合法性以及完整性驗證。在車輛ECU間采用鑒權加密方式實現數據傳輸的安全性和合法性。整車OTA安全對比零部件的OTA安全,是否更具挑戰?體現在哪些方面?
零部件的OTA安全,更多的關注零部件本身OTA升級的安全實施:從OTA流程來說,需要零部件驗證合法的下載/升級觸發指令,采用Hash及簽名校驗等確保升級包的完整性與來源的可靠性,檢查所處的車況與零件狀態確保滿足安全的升級條件等;從零件安全信息處理來說,可能要求零件具備與其他零件安全通信的能力,安全保護密鑰、驗簽算法等的能力。而面向整車的OTA安全時,則需要關注更多的跨零件與跨系統的安全設計。例如,整車需要采用安全的車云通信協議,需要網關具備安全防護與路由策略,需要設計面向OTA的功能安全等級并分解為各零件的具體功能安全設計要求,需要管控在升級過程中各子系統的功能使能狀態并維持安全執行升級的車輛狀態,需要能夠協調各子系統智能件的升級邏輯并在出現安全預警時及時介入終止升級行為,需要考慮升級失敗后如何保障車輛用戶的用車安全,需要遵循國內外安全法規在功能和設計、管理流程上均滿足相關的法規要求。無論是硬件定義汽車的時代,還是軟件定義汽車,甚至是信息數據定義汽車,始終離不開一個基本立足點,那就是安全定義汽車。不管未來汽車市場的消費需求如何改變,也不論各大汽車品牌、科技公司將如何圍繞用戶進行轉型,安全始終是一個恒久不變的話題。艾拉比作為汽車OTA技術服務提供商,將始終把安全擺在第一位,為行業持續輸出更安全、更穩定、更先進、更具拓展性的產品和技術。
分享朋友圈
