Uptane:Securing Software Updates for Automobiles，uptane是專門為汽車領(lǐng)域制定的OTA標(biāo)準(zhǔn)，安全等級非常高?？梢愿玫陌嘜TA的時候不被黑客攻擊。

2022 年 10 月 13 日，Uptane 舉辦了與 escar Europe 2022 相關(guān)的免費(fèi)線上行業(yè)會議。Uptane是一種開放和安全的軟件更新框架設(shè)計(jì)，可保護(hù)通過無線方式交付的軟件汽車電子控制單元（ECU）。該框架可防止惡意行為者，他們可以 入侵用于簽名和傳遞更新的服務(wù)器和網(wǎng)絡(luò)。有多種不同的免費(fèi)開源和閉源 實(shí)現(xiàn)可用。Uptane被集成到汽車級Linux中， 目前被許多大型OEM使用的開源系統(tǒng)，也被許多美國和國際制造商采用。

Uptane于2016年由紐約大學(xué)，UMTRI，SwRI和汽車行業(yè)專家合作創(chuàng)建。它是在美國國土安全部的資助下作為開源框架開發(fā)的。它擴(kuò)展了許多生產(chǎn)軟件更新系統(tǒng)中使用的更新框架。2018年7月，Uptane的正式標(biāo)準(zhǔn)化在一個名為Uptane的非營利財(cái)團(tuán)下開始 。Uptane設(shè)計(jì)和實(shí)施標(biāo)準(zhǔn)1.0版提供了框架安全設(shè)計(jì)和實(shí)施的程序，于2019年7月31日在IEEE/ISTO聯(lián)合會的主持下發(fā)布?，F(xiàn)在的倡議 繼續(xù)作為 Linux 基金會聯(lián)合開發(fā)基金會項(xiàng)目，2021 年發(fā)布了 1.1.0 和1.2.0版本。最新版本 2.0.0于 2022 年 3 月發(fā)布。建議的部署策略正在積極制定中，并在本網(wǎng)站上發(fā)布和定期更新。

Uptane框架是TUF在汽車整車領(lǐng)域的衍生品，由美國國土安全部支持，屬于Linux基金會聯(lián)合研發(fā)基金項(xiàng)目。逐步被整合進(jìn)AGL（Automotive Grade Linux）、COVESA（Connected Vehicle Systems Alliance）等項(xiàng)目中去。為該框架做出貢獻(xiàn)的除了紐約大學(xué)等以外有諸多知名廠商。

Uptane脫胎于TUF框架（TUF（The Update Framework）框架幫助開發(fā)人員保護(hù)新的或現(xiàn)有的軟件更新系統(tǒng)，這些系統(tǒng)通常被認(rèn)為容易受到許多攻擊。TUF 通過提供全面，靈活的安全框架來解決這個廣泛的問題，讓開發(fā)人員可以與任何軟件更新系統(tǒng)集成。 ），并對汽車整車環(huán)境進(jìn)行了適應(yīng)?？v觀TUF的設(shè)計(jì)，它包含了以下4個理念：信任分離、簽名閾值、顯式和隱式密鑰廢止機(jī)制以及關(guān)鍵密鑰離線保護(hù)。在保留以上4個設(shè)計(jì)理念的基礎(chǔ)上，Uptane增加了4項(xiàng)關(guān)鍵設(shè)計(jì)，以適應(yīng)整車OTA過程中的客戶端異構(gòu)，資源有限及ECU之間無可信通信機(jī)制。

Uptane 框架所具有的主要抵御機(jī)制有以下四條。

第一，使用額外的存儲空間從無休止的數(shù)據(jù)攻擊中恢復(fù)。黑客會對于ECU執(zhí)行無休止的數(shù)據(jù)攻擊。然而，ECU往往只存儲一個鏡像文件。這樣，如果這些攻擊者會通過給ECU發(fā)送隨機(jī)數(shù)據(jù)，而不是實(shí)際的鏡像文件，讓它無法啟動到工作鏡像中去。雖然，引導(dǎo)程序能夠檢查出隨機(jī)數(shù)據(jù)和最近下載的元數(shù)據(jù)不匹配。為了解決這個問題，ECU可以使用一個額外的存儲空間，使得它可以有足夠的存儲空間保存之前的鏡像和最新下載的鏡像。ECU在更新時，無需具有覆蓋之前已知的良好鏡像。這樣，如果攻擊者在數(shù)據(jù)傳輸時修改了鏡像，它仍然可以引導(dǎo)到功能鏡像。

第二，廣播元數(shù)據(jù)防止混合軟件版本攻擊。攻擊者控制了主ECU以后，就可以執(zhí)行混合軟件攻擊，因?yàn)樗鼈兛梢韵虿煌膹腅CU，同時展示不同版本的元數(shù)據(jù)。為了防止這個問題，主ECU需要向從ECU廣播最新下載的元數(shù)據(jù)。所以，在CAN網(wǎng)絡(luò)或者以太網(wǎng)絡(luò)中，主ECU向某個從ECU發(fā)送的任何元數(shù)據(jù)，也需要同時發(fā)向其他的ECU。

第三，使用版本清單檢測軟件部分安裝攻擊。即使有時ECU沒有受到任何其他攻擊，但是也偶爾會出現(xiàn)一種軟件版本部分安裝攻擊的情況，導(dǎo)致ECU只成功安裝了部分的軟件更新。無論這些攻擊是如何發(fā)生的，OEM都可以通過軟件版本清單和ECU關(guān)于它最近安裝的簽署信息，檢測這種攻擊。在驗(yàn)證和安裝更新后，ECU會使用OEM在汽車制造期間提供的對稱密鑰，來驗(yàn)證其安裝的軟件，然后發(fā)送給主設(shè)備。ECU每個周期只會進(jìn)行一次簽署和發(fā)回它的版本清單。主設(shè)備將搜集這些簽名，構(gòu)建汽車版本信息，然后發(fā)送給汽車制造商。如果汽車制造商發(fā)現(xiàn)最近的汽車更新，和它們實(shí)際安裝的不匹配，制造商將會收到警報，并且采取進(jìn)一步行動。

第四，使用時間服務(wù)器限制凍結(jié)攻擊。關(guān)于攻擊者對于ECU采取的凍結(jié)攻擊，是由于ECU桌面和服務(wù)器程序不同，ECU無法具有可靠的時鐘。這樣主設(shè)備不能判斷元數(shù)據(jù)是否超時。為了解決這個問題，每個ECU應(yīng)該使用外部時鐘，周期性地更新目前的時間。

Uptane的威脅分析及規(guī)避措施是基于以下前提：

攻擊者有能力干擾或修改網(wǎng)絡(luò)通信數(shù)據(jù)：車外通信時，攻擊者可操縱車輛與軟件庫之前的通信，通常是無線通信；車內(nèi)通信時，攻擊者可操縱一個或多個總線。

攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰，但不是同時發(fā)生。

破解主ECU或次ECU，但不同時發(fā)生。

可能會到的攻擊方式描述

表2 Uptane威脅分析

沿用TUF的設(shè)計(jì)理念，以及針對汽車整車環(huán)境的適配，Uptane可以在更新過程被部分破解的情況下，最小化被入侵的范圍和影響。

Uptane框架的基本架構(gòu)如下圖所示：

圖1 Uptane架構(gòu)

Uptane框架包含了一個時間服務(wù)器為無可靠時鐘信號的ECU提供時間服務(wù)，主ECU與Image Repository及Director Repository交互，交互過程有簽名驗(yàn)證、元數(shù)據(jù)驗(yàn)證及鏡像下載。次ECU與主ECU交互，主ECU幫助次ECU做全部元數(shù)據(jù)驗(yàn)證。次ECU在條件有限的情況下做部分元數(shù)據(jù)驗(yàn)證。

Uptane的安全驗(yàn)證流程如下圖所示：

圖2 Uptane安全驗(yàn)證流程

本文回顧了整車OTA框架Uptane的發(fā)展及核心思想，通過對Uptane的解讀我們可以觀察到一個完整面向整車的網(wǎng)絡(luò)安全服務(wù)的安全設(shè)計(jì)思路與方法。對SOA開發(fā)模式的安全性有很好的借鑒意義。