38、汽车软件安全：发布管理、监控追踪与安全OTA更新

汽车软件安全：发布管理、监控追踪与安全OTA更新

在当今汽车行业，随着软件规模的不断增大和车辆连接能力的增强，以及车辆长达10 - 15年的使用寿命，车辆在投入使用后可能会检测到新的软件漏洞，这些漏洞可能会被攻击者利用。因此，汽车组织需要进行持续的网络安全监控、漏洞管理、事件响应以及实施安全的OTA更新，以保护车辆的安全。

1. 汽车SOC工作流程示例

汽车组织会收集来自各种来源的威胁和漏洞信息，经过内部处理后，若有必要，会向受影响的车辆发布修复方案。一般流程如下：
1. 信息收集 ：PSIRT（负责事件管理）收集威胁和漏洞信息。
2. 初步分析 ：客户质量分析小组进行首次分析，确定优先级以及与组织车辆和系统的相关性。
3. 影响分析与对策考虑 ：若决定针对特定威胁或漏洞提供修复方案，开发团队会分析具体问题的影响，并考虑适当的对策。
4. 对策评估 ：系统保障小组评估对策的有效性，包括识别引入新漏洞的风险以及对策对系统其他部分的潜在负面影响。
5. 对策实施与验证 ：若达成一致，开发团队实施对策，产品安全小组验证对策是否妥善解决问题。
6. 更新提供与信息发布 ：客户质量信息小组研究向受影响车辆和系统提供实施了对策的更新软件的方法和时机，包括通知受影响的客户并向公众发布有关问题的信息。
7. 软件发布 ：最终，修复后的软件发布到现场，应用于受影响的车辆和系统。

2. 开源软件新检测到的漏洞示例

假设一个组织在发布管理过程中生成SBOM时，发现开源软件库curl版本7.58.0 - r0包含在多个软件包中，这些软件包被发布并用于不同车辆的各种系统。未来某个时候，安全研究人员检测到该版本的curl存在新的关键漏洞，相关漏洞信息被报告并注册到NIST NVD，分配了CVE ID（如CVE - 2023 - XXXX）。软件成分分析工具会向汽车组织发出警报。

组织需要进行以下分析：
1. 获取含漏洞软件版本列表 ：利用ALM/PLM系统的信息，获取包含curl版本7.58.0 - r0的所有软件版本列表。
2. 确定受影响的ECU和系统 ：识别当前安装了受影响软件版本的所有ECU和系统。
3. 映射到具体车辆 ：将特定的ECU和系统映射到拥有这些汽车系统的单个车辆。

通过这些信息，组织可以了解有多少系统和车辆受到该特定漏洞的影响，从而决定处理该漏洞的适当优先级，并在必要时提供修复方案。

下面是一个简单的mermaid流程图，展示了评估开源软件新检测到的漏洞风险的过程：

graph LR
    A[收到漏洞警报] --> B[获取含漏洞软件版本列表]
    B --> C[确定受影响的ECU和系统]
    C --> D[映射到具体车辆]
    D --> E[了解受影响范围]
    E --> F[决定处理优先级]
    F --> G[必要时提供修复方案]

3. 安全OTA更新

在完成发布管理过程并追踪到特定软件和车辆的漏洞后，下一步是对易受攻击的车辆进行安全OTA更新。

3.1 识别目标易受攻击车辆

首先，使用ALM/PLM系统将软件仓库中版本为1.0的各种易受攻击的软件包映射到相应的车辆（通过VIN识别）。基于ALM/PLM系统的信息，就能知道哪些车辆和系统包含易受攻击的软件，需要进行更新。

然后，修复软件中的漏洞，将新版本（版本1.1）的软件包存储在软件仓库中。在将软件包发布到易受攻击的车辆之前，使用软件成分分析工具扫描更新后的软件版本，以验证是否包含其他已知漏洞。

3.2 执行安全OTA更新

使用安全OTA平台，将更新后的软件版本提供给受影响的车辆，更新易受攻击的目标系统。安全OTA平台基于最佳实践进行更新并建立安全通信通道，例如基于TLS（传输层安全）协议建立安全通信通道，使用数字签名验证车辆上软件更新包的完整性和真实性。

车辆成功使用更新后的软件版本更新目标系统后，会通过安全OTA平台向ALM/PLM系统提供收据，表明该特定车辆的目标系统现在包含更新后的软件版本，这会在ALM/PLM系统中体现为更新的条目。通过这种在ALM/PLM系统中管理软件更新的方法，可以验证哪些车辆已成功更新，更重要的是，还能知道哪些车辆尚未更新，仍然包含易受攻击的软件。

3.3 OTA更新的目标系统

车辆中通常有两种类型的嵌入式系统：
| 系统类型 | 特点 | 功能 | 通信能力 |
| ---- | ---- | ---- | ---- |
| 车载ECU | 运行在内存和处理能力有限的小型微控制器上 | 专注于特定功能集，如负责制动和转向等实时关键功能 | 通过车载网络通道通信，无直接与OTA后端的外部通信能力 |
| 高性能IT系统 | 运行在功能更强大、内存更大和处理能力更强的微处理器上 | 通常用于车载信息娱乐系统和远程信息处理单元，不负责实时关键功能 | 可与车载网络通信，具备Wi - Fi、蓝牙和蜂窝通信等外部通信接口 |

OTA更新的常见方法是车辆通过蜂窝通信直接与OTA后端建立通信通道，但也可以使用Wi - Fi或蓝牙，例如通过用户的手机或家庭Wi - Fi网络连接车辆以进行OTA更新。这两种不同嵌入式系统的更新过程有不同的要求，可能会以不同的方式实现。高性能IT系统的解决方案可以借鉴其他行业（如手机和PC）的安全OTA更新最佳实践。

3.4 ECU安全OTA更新过程概述

对车载ECU进行更新需要特定的过程，考虑到ECU在连接性和内存方面的限制。以下是一个简化的过程：
1. 软件包提供与保护 ：ECU供应商或OEM将软件更新包提供给安全OTA平台。在安全OTA平台中，使用数字签名保护软件包的完整性和真实性，使用加密保护其机密性。
2. 软件包下载 ：车辆上的远程信息处理单元与安全OTA平台通信，下载特定车辆的相关软件包。远程信息处理单元与安全OTA平台之间的通信使用TLS协议进行保护。
3. 软件包存储与验证 ：下载的软件包存储在车辆的网关ECU中，网关ECU通常包含足够大的外部闪存，可存储下载的软件包和以前版本软件的备份副本。网关ECU中的HSM（硬件安全模块）验证下载软件的数字签名并解密内容。
4. ECU认证与更新 ：为了更新车载网络中的某个ECU，网关ECU通过激活UDS（统一诊断服务）安全访问服务与目标ECU进行认证。HSM将解锁目标ECU所需的加密材料保存在安全存储中。认证成功后，将软件更新闪存到目标ECU。在目标ECU上执行新内容之前，软件组件（如引导加载程序）验证闪存软件的签名。如果签名验证通过，引导加载程序执行新软件，目标ECU上运行更新后的软件版本。
5. 回滚机制 ：如果在闪存新软件期间发生不可恢复的错误，导致目标ECU无法正常工作，网关ECU可以通过将以前版本的软件闪存回目标ECU来执行回滚。

以下是一个mermaid流程图，展示了ECU安全OTA更新的过程：

graph LR
    A[ECU供应商/OEM提供软件包] --> B[安全OTA平台保护软件包]
    B --> C[远程信息处理单元下载软件包]
    C --> D[网关ECU存储软件包]
    D --> E[HSM验证与解密]
    E --> F[网关ECU与目标ECU认证]
    F --> G[软件更新闪存到目标ECU]
    G --> H[引导加载程序验证签名]
    H --> I{签名验证是否通过}
    I -- 是 --> J[目标ECU运行更新后软件]
    I -- 否 --> K[回滚到旧版本软件]

3.5 OTA更新的标准化和框架

OTA更新也有标准化活动。例如，AUTOSAR发布了有关OTA更新的要求和规范文档，为AUTOSAR经典平台的OTA更新提供了详细的技术解决方案，包括内存能力、回滚和诊断服务的要求；同时也有关于AUTOSAR自适应平台软件更新和更改的要求和规范，包括安全方面的考虑。

此外，Uptane框架专注于OTA更新的缓解方法。它基于TUF（The Update Framework），使用两个存储库：图像存储库（包含用于更新的图像文件和元数据）和目录存储库（包含图像文件的安装说明）。图像存储库使用离线密钥签署所有车辆所有ECU的可用更新的元数据，攻击者无法在不被检测的情况下篡改签署内容；目录存储库使用在线密钥签署特定车辆上哪些ECU应安装哪些更新的元数据。车辆会验证目录存储库的安装说明是否与图像存储库的更新匹配，从而降低被攻击的风险。

综上所述，汽车组织在保护车辆安全方面面临着诸多挑战，包括保持最新的软件清单、建立适当的网络安全监控能力以及拥有有效的软件更新交付模型等。但通过有效的发布管理、监控追踪和安全OTA更新等措施，可以更好地应对这些挑战，保障车辆的网络安全。

汽车软件安全：发布管理、监控追踪与安全OTA更新

4. 汽车行业面临的挑战与应对策略

在汽车行业，保障车辆的网络安全面临着诸多挑战。随着软件规模的不断扩大和开源软件的广泛使用，维护一个最新的软件清单变得十分困难。同时，虽然ISO/SAE DIS 21434和UNECE WP.29 Cybersecurity对网络安全监控有相关要求，但由于这些仍是草案文件，许多汽车组织尚未建立起完善的网络安全监控能力。此外，一项汽车调查显示，61%的受访组织没有软件更新交付模型。

为了应对这些挑战，汽车组织可以采取以下策略：
1. 加强软件库存管理 ：利用ALM/PLM系统，在发布管理过程中详细记录软件信息，包括软件版本、包含的开源软件组件等。定期对软件进行扫描，及时发现新的漏洞和更新需求。
2. 建立完善的网络安全监控体系 ：根据相关标准和规范，逐步建立起适合自身的网络安全监控能力。可以借助软件成分分析工具，实时监测软件中的漏洞信息。
3. 优化软件更新交付模型 ：采用安全的OTA更新技术，确保能够及时将修复漏洞的软件更新推送给受影响的车辆。同时，建立有效的反馈机制，及时了解车辆的更新情况。

5. 未来发展趋势

随着汽车行业的不断发展，网络安全将变得越来越重要。以下是一些未来可能的发展趋势：
1. 更广泛的OTA更新应用 ：随着技术的成熟和安全性的提高，OTA更新将不仅仅应用于高性能IT系统，车载ECU的OTA更新也将变得更加普遍。这将大大提高车辆的安全性和可维护性。
2. 加强标准化和规范化 ：OTA更新的标准化活动将不断推进，更多的组织和企业将遵循统一的标准和规范，提高整个行业的安全性和互操作性。
3. 智能化的网络安全监控 ：借助人工智能和机器学习技术，实现智能化的网络安全监控。能够自动分析漏洞信息，预测潜在的安全威胁，并及时采取相应的措施。

6. 总结

汽车软件安全是当今汽车行业面临的重要问题。通过有效的发布管理、监控追踪和安全OTA更新等措施，可以及时发现和修复软件中的漏洞，保障车辆的网络安全。在实际操作中，汽车组织需要加强软件库存管理，建立完善的网络安全监控体系，优化软件更新交付模型。同时，要关注未来的发展趋势，不断适应行业的变化，提高自身的安全防护能力。

以下是一个表格，总结了汽车软件安全相关的关键信息：
| 关键方面 | 具体内容 |
| ---- | ---- |
| 威胁与漏洞管理 | 收集威胁和漏洞信息，进行分析和评估，确定优先级并提供修复方案 |
| 开源软件漏洞处理 | 利用ALM/PLM系统评估风险，确定受影响的车辆和系统，采取相应的处理措施 |
| 安全OTA更新 | 识别目标易受攻击车辆，执行安全OTA更新，包括更新高性能IT系统和车载ECU |
| 标准化和框架 | AUTOSAR发布OTA更新规范，Uptane框架提供缓解方法 |
| 面临挑战与策略 | 挑战包括软件清单管理、网络安全监控能力和软件更新交付模型；策略包括加强管理、建立体系和优化模型 |
| 未来趋势 | 更广泛的OTA更新应用、加强标准化和规范化、智能化的网络安全监控 |

最后，为了更直观地展示整个汽车软件安全管理的流程，下面是一个mermaid流程图：

graph LR
    A[威胁与漏洞信息收集] --> B[分析与评估]
    B --> C{是否需要修复}
    C -- 是 --> D[开发修复方案]
    C -- 否 --> E[继续监控]
    D --> F[系统保障小组评估]
    F --> G{评估是否通过}
    G -- 是 --> H[实施修复方案]
    G -- 否 --> D
    H --> I[产品安全小组验证]
    I --> J{验证是否通过}
    J -- 是 --> K[准备OTA更新]
    J -- 否 --> H
    K --> L[识别目标车辆]
    L --> M[执行安全OTA更新]
    M --> N[更新信息反馈到ALM/PLM系统]
    N --> O[持续监控与维护]

通过以上的措施和流程，汽车组织能够更好地应对软件安全挑战，保障车辆的安全运行。