基于Trustzone的汽車ECU安全OTA系統設計

趙國開

摘 ? 要：汽車已經成為黑客攻擊的一個新領域，因此就會有不斷的攻防的技術演進，舊的防御技術被攻破，新的防御技術被研制出來。這其中就涉及升級的過程，雖然已有OTA技術被應用在汽車ECU升級上，但整個升級過程并未對安全威脅做過多的設計。本文基于ARM架構的trustzone技術重新設計整個升級汽車ECU的OTA系統，以雙系統進行分別處理不同下載服務，實現對汽車ECU升級安全性的保障。

關鍵詞：Trustzone ?雙系統 ?安全OTA ?汽車ECU升級

中圖分類號：TP39 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2019）07（c）-0094-03

Abstract： Cars have become a new field of hacker attacks， so there will be a continuous evolution of offensive and defensive technology， old defense techniques are broken， and new defense technologies are being developed. This involves the upgrade process. Although the existing OTA technology has been applied to the upgrade of the automotive ECU， the entire upgrade process has not been too much design for the security threat. Based on the ARM architecture trustzone technology， this paper redesigns the OTA system of the entire upgraded car ECU， and handles different download services separately by the dual system to ensure the security of the car ECU upgrade.

Key ?Words： Trustzone; Dual system; Secure OTA; Automotive ECU upgrade

近年來汽車信息安全事件頻發，汽車上的信息安全備受關注。汽車ECU上的安全漏洞，一方面直接威脅到汽車駕駛人員及車上人員的人身安全，另一方面汽車廠商按傳統的方式對存在安全漏洞的汽車進行召回也需要支出巨額的成本。現在也有廠商通過OTA（空中下載技術）來進行ECU軟件升級來修復漏洞，OTA雖然能夠實現運程升級，解決漏洞修復和汽車廠家召回的問題，但基本只是滿足基本遠程升級功能，并未對升級過程中的潛在威脅考慮進去[1]。在整個升級流程中依然存在諸多安全威脅，比如對升級包在發送過程中是否被惡意攻擊和篡改，對數據傳輸的協議使用明文容易被監聽，未對發送者進行身份認證，沒有在安全的區域進行隔離升級等等。本文基于現有的OTA升級存在的安全隱患，提出了一種更安全的基于trustzone[2]進行安全隔離升級ECU的方法以提高整個升級過程的安全性。

1 ?安全OTA設計

整個安全OTA主體架構如圖1所示，包括OTA云服務，車載設備（比如汽車網關或者T-box之類）及連接到汽車總線上的ECU（汽車電控單元）。

1.1 OTA云服務設計

OTA云服務可以存儲要升級的ECU升級包，注冊要連接到該OTA云服務的車載設備，并維護已注冊的車載設備對應的ECU升級的狀態信息（通過車載設備一級下載服務，來獲得ECU升級的反饋信息，包括當前ECU版本號，對應的ECU升級包是否已經下載，對應的ECU升級包是否已經更新成功或者失敗/異常等），同時OTA云服務通過TLS[3]（安全傳輸層協議）和連接上來的已注冊車載設備進行信息交互（包括身份認證，ECU升級包數據傳輸，ECU升級狀態反饋等等）。

1.2 一級下載服務

車載設備使用的硬件平臺基于帶ARM trustzone硬件架構的CPU核，在該CPU核上運行兩個操作系統[4]，分別為Trusted OS[5]（運行在trustzone上），Rich OS（運行在普通區域）。在Rich OS[5]上的一級下載服務負責和OTA云服務進行交互通信（使用TLS進行雙向認證和數據加密通信）。一級下載服務通過定期查詢OTA云服務或者事件觸發向OTA云服務查詢是否有最新版本的ECU軟件待升級，如果有最新版本的ECU軟件待升級的話就通過相應的文件傳輸協議（文件傳輸協議封裝在TLS內）把對應的ECU升級包下載到Rich OS的存儲區域。一級下載服務完成下載后，通知OTA云服務完成對應ECU升級包的下載，同時通知Trusted OS中的二級下載服務更新對應存儲區域的ECU升級包。

1.3 二級下載服務

Trusted OS運行在trustzone上是一個相對Rich OS的隔離安全操作區域，配置了獨立的存儲區域及對ECU進行通信的硬件接口，這些對Rich OS都是不可見的，從而確保在Trusted OS上操作的安全性。二級下載服務運行在Trusted OS上，主要實現對從一級下載服務下載下來的ECU升級包進行簽名驗證，數據解密，ECU下載管理，并反饋ECU相關的升級狀態信息給Rich OS上的一級下載服務。二級下載服務收到一級下載服務的更新ECU升級包通知時，把Rich OS的存儲區域中的對應ECU升級包拷貝到Trusted OS對應的存儲區域（該存儲區域Rich OS無法訪問和讀寫，確保了ECU升級數據包的安全）。二級下載服務會對ECU升級包進行簽名驗證，確認升級包是否有被篡改過，如果驗證異常則刪除該ECU升級包，不做后續處理。如果校驗通過，需確認升級包是否加密，如果有加密需要進一步進行解密處理，之后提取升級包的版本，和二級下載服務維護的一張ECU升級表（大致內容如表1所示）進行確認，確認對應的ECU當前版本是否小于下載的升級包版本，如果是則更新ECU升級表中對應的字段（ECU最新版本設置為當前下載的最新版本，已更新設置為FALSE，異常設置為FALSE）。

連接到車載設備的ECU如果需要升級只能通過Trusted OS中的二級下載服務進行下載管理，ECU和二級下載服務通過UDS進行交互，ECU根據自己的運行狀態（比如汽車在停車熄火狀態時[6]）決定何時向二級下載服務查詢是否有待更新的升級包需要升級。如果確認需要升級，即二級下載服務維護的ECU升級表中對應字段異常和已更新都為FALSE（如果異常為TRUE表示之前更新失敗，不再重復更新或者已更新為TRUE表示已經更新成功不再更新），則ECU通過UDS（Unified Diagnostic Services，統一診斷服務[7]）和二級下載服務完成ECU升級包的下載，ECU完成軟件的升級并確認運行正常之后，通知二級下載服務完成升級。二級下載服務收到對應ECU升級成功的通知后，更新ECU升級表對應的字段（已更新設置為TRUE，更新ECU當前版本為ECU最新版本），并通知一級下載服務表示對應的ECU完成升級，一級下載服務在通知OTA云服務報告完成對應的ECU升級過程。當然如果ECU在升級的整個過程中，出現升級錯誤則二級下載服務也會更新ECU升級表對應的字段（異常設置為TRUE），同時通過一級下載服務通知OTA云服務表示對應的ECU升級異常。

1.3.1 ECU升級表

ECU升級表用來輔助二級下載服務對ECU下載進行管理。ECU升級表抽象出來的一個結構如圖2所示，每行記錄表示每一個連接到二級下載服務的ECU的升級狀態信息。其中的狀態信息包括ECU ID（相當于ECU的身份標識，能夠在這個系統中唯一定位到該ECU），ECU當前版本（當前ECU正在使用的軟件版本），ECU最新版本（從OTA云服務下載下來的最新軟件版本，高于或等于當前的版本），已更新（TRUE表示從OTA云服務下載下來的最新軟件版本已經更新成功到對應的ECU，FALSE則表示還未更新），異常（TRUE表示從OTA云服務下載下來的最新軟件版本在對應的ECU更新失敗，FALSE則表示還未出現更新異常）。車載設備出廠設置/恢復出廠設置時ECU升級表為空表即不包含對應的ECU升級狀態記錄，當對應的ECU發送查詢消息（包含ECU ID和當前ECU版本號）給二級下載服務查詢是否有待更新的升級包需要升級時，二級下載服務如果未查詢到該ECU的升級狀態記錄則會初次建立該ECU的記錄，包括ECU ID，ECU當前版本和ECU最新版本設置成一樣，已更新設置為TRUE，異常設置為FALSE，同時通過一級下載服務告知OTA云服務對應ECU ID的當前版本。

1.3.2 ECU升級包管理

放入OTA云服務的ECU升級包，先需使用相關的打包工具對ECU原始升級數據進行封裝打包成對應的格式。ECU升級包的封裝格式大致如圖2所示，包括數據包簽名（是對后面五個字段數據用SHA3算法算出的值，再用私鑰進行計算之后的簽名數據[8]），ECU ID（該ECU的身份標識），加密隨機數（和對稱工作密鑰一起用來對后面的三個字段進行數據加密，如果未加密處理則該字段全部填充為空值比如0值），ECU版本號（該ECU升級數據對應的版本），ECU原始升級數據長度（后一個字段ECU升級數據的長度），ECU原始升級數據（ECU的實際需要的升級數據）。二級下載服務對整個ECU升級包解包的過程大致這樣，先使用SHA3算法對數據包簽名后面五個字段數據進行計算出散列值1，并用存儲在車載設備密鑰存儲區（出廠配置好的，并且只有在Trusted OS中才能訪問）的公鑰對數據包簽名進行解密同樣獲得一個散列值2，把散列值1和散列值2進行比較如果一樣則簽名驗證通過，否則則驗證失敗。驗證通過之后，如果加密隨機值為空值則不進行解密操作，如果不為空值則用該加密隨機值和存儲在車載設備密鑰存儲區的工作密鑰對ECU版本號，ECU原始升級數據長度，ECU原始升級數據進行解密，以獲取ECU版本號，ECU原始升級數據。

2 ?結語

本文基于現有的OTA升級存在的安全隱患，提出了一種更安全的基于trustzone進行安全隔離升級ECU的方法以提高整個升級過程的安全性。基于trustzone技術來重新對整個OTA流程進行設計以達到高安全的實用效果，在空中通信使用TLS進行身份認證，通信加密，車載設備使用trustzone進行分層隔離，一級下載服務和OTA云代理使用TLS進行通信交互和ECU升級包下載，二級下載代理完成安全性較高的操作包括升級包簽名驗證，解密，使用UDS對ECU進行最終升級。確保升級數據的完整性，升級過程不會受到惡意軟件攻擊，最大限度的保證ECU升級過程的安全。對比現有的OTA技術在安全這方面有非常顯著的提升。

參考文獻

[1] 安徽江淮汽車股份有限公司.一種汽車控制器軟件遠程升級方法及車聯網系統[P].中國：CN105208112A.20151230.

[2] ARM Limited.ARM Security Technology Building a Secure System using TrustZone Technology[EB/OL].http：//www.arm.com，2009.

[3] 百度百科.TLS[EB/OL].https：//baike.baidu.com/item/TLS，2019-06-25.

[4] 包依勤.TrustZone技術在Android系統中的安全性研究[J].物聯網技術，2015（10）：70-73.

[5] GlobalPlatform.GP_WhitePaper_TEE_2015_chinese[EB/OL]. ?www.globalplatform.org，2015.

[6] 李廣鑫.CAN 總線網關的設計與實現[J].吉 林 大 學 學 報，2010，28（2）：166-171.

[7] 百度百科.UDS協議[EB/OL].https：//baike.baidu.com/item/UDS協議/19843846，2019-06-25.

[8] 結城浩.圖解密碼技術[M].第1版.北京：人民郵電出版社，2015.