Uptane:Securing Software Updates for Automobiles，uptane是專門為汽車領域制定的OTA標準，安全等級非常高?？梢愿玫陌嘜TA的時候不被黑客攻擊。

2022 年 10 月 13 日，Uptane 舉辦了與 escar Europe 2022 相關的免費線上行業(yè)會議。Uptane是一種開放和安全的軟件更新框架設計，可保護通過無線方式交付的軟件汽車電子控制單元（ECU）。該框架可防止惡意行為者，他們可以 入侵用于簽名和傳遞更新的服務器和網(wǎng)絡。有多種不同的免費開源和閉源 實現(xiàn)可用。Uptane被集成到汽車級Linux中， 目前被許多大型OEM使用的開源系統(tǒng)，也被許多美國和國際制造商采用。

Uptane于2016年由紐約大學，UMTRI，SwRI和汽車行業(yè)專家合作創(chuàng)建。它是在美國國土安全部的資助下作為開源框架開發(fā)的。它擴展了許多生產(chǎn)軟件更新系統(tǒng)中使用的更新框架。2018年7月，Uptane的正式標準化在一個名為Uptane的非營利財團下開始 。Uptane設計和實施標準1.0版提供了框架安全設計和實施的程序，于2019年7月31日在IEEE/ISTO聯(lián)合會的主持下發(fā)布?，F(xiàn)在的倡議 繼續(xù)作為 Linux 基金會聯(lián)合開發(fā)基金會項目，2021 年發(fā)布了 1.1.0 和1.2.0版本。最新版本 2.0.0于 2022 年 3 月發(fā)布。建議的部署策略正在積極制定中，并在本網(wǎng)站上發(fā)布和定期更新。

Uptane框架是TUF在汽車整車領域的衍生品，由美國國土安全部支持，屬于Linux基金會聯(lián)合研發(fā)基金項目。逐步被整合進AGL（Automotive Grade Linux）、COVESA（Connected Vehicle Systems Alliance）等項目中去。為該框架做出貢獻的除了紐約大學等以外有諸多知名廠商。

Uptane脫胎于TUF框架（TUF（The Update Framework）框架幫助開發(fā)人員保護新的或現(xiàn)有的軟件更新系統(tǒng)，這些系統(tǒng)通常被認為容易受到許多攻擊。TUF 通過提供全面，靈活的安全框架來解決這個廣泛的問題，讓開發(fā)人員可以與任何軟件更新系統(tǒng)集成。 ），并對汽車整車環(huán)境進行了適應?？v觀TUF的設計，它包含了以下4個理念：信任分離、簽名閾值、顯式和隱式密鑰廢止機制以及關鍵密鑰離線保護。在保留以上4個設計理念的基礎上，Uptane增加了4項關鍵設計，以適應整車OTA過程中的客戶端異構，資源有限及ECU之間無可信通信機制。

Uptane 框架所具有的主要抵御機制有以下四條。

第一，使用額外的存儲空間從無休止的數(shù)據(jù)攻擊中恢復。黑客會對于ECU執(zhí)行無休止的數(shù)據(jù)攻擊。然而，ECU往往只存儲一個鏡像文件。這樣，如果這些攻擊者會通過給ECU發(fā)送隨機數(shù)據(jù)，而不是實際的鏡像文件，讓它無法啟動到工作鏡像中去。雖然，引導程序能夠檢查出隨機數(shù)據(jù)和最近下載的元數(shù)據(jù)不匹配。為了解決這個問題，ECU可以使用一個額外的存儲空間，使得它可以有足夠的存儲空間保存之前的鏡像和最新下載的鏡像。ECU在更新時，無需具有覆蓋之前已知的良好鏡像。這樣，如果攻擊者在數(shù)據(jù)傳輸時修改了鏡像，它仍然可以引導到功能鏡像。

第二，廣播元數(shù)據(jù)防止混合軟件版本攻擊。攻擊者控制了主ECU以后，就可以執(zhí)行混合軟件攻擊，因為它們可以向不同的從ECU，同時展示不同版本的元數(shù)據(jù)。為了防止這個問題，主ECU需要向從ECU廣播最新下載的元數(shù)據(jù)。所以，在CAN網(wǎng)絡或者以太網(wǎng)絡中，主ECU向某個從ECU發(fā)送的任何元數(shù)據(jù)，也需要同時發(fā)向其他的ECU。

第三，使用版本清單檢測軟件部分安裝攻擊。即使有時ECU沒有受到任何其他攻擊，但是也偶爾會出現(xiàn)一種軟件版本部分安裝攻擊的情況，導致ECU只成功安裝了部分的軟件更新。無論這些攻擊是如何發(fā)生的，OEM都可以通過軟件版本清單和ECU關于它最近安裝的簽署信息，檢測這種攻擊。在驗證和安裝更新后，ECU會使用OEM在汽車制造期間提供的對稱密鑰，來驗證其安裝的軟件，然后發(fā)送給主設備。ECU每個周期只會進行一次簽署和發(fā)回它的版本清單。主設備將搜集這些簽名，構建汽車版本信息，然后發(fā)送給汽車制造商。如果汽車制造商發(fā)現(xiàn)最近的汽車更新，和它們實際安裝的不匹配，制造商將會收到警報，并且采取進一步行動。

第四，使用時間服務器限制凍結攻擊。關于攻擊者對于ECU采取的凍結攻擊，是由于ECU桌面和服務器程序不同，ECU無法具有可靠的時鐘。這樣主設備不能判斷元數(shù)據(jù)是否超時。為了解決這個問題，每個ECU應該使用外部時鐘，周期性地更新目前的時間。

Uptane的威脅分析及規(guī)避措施是基于以下前提：

攻擊者有能力干擾或修改網(wǎng)絡通信數(shù)據(jù)：車外通信時，攻擊者可操縱車輛與軟件庫之前的通信，通常是無線通信；車內(nèi)通信時，攻擊者可操縱一個或多個總線。

攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰，但不是同時發(fā)生。

破解主ECU或次ECU，但不同時發(fā)生。

可能會到的攻擊方式描述

表2 Uptane威脅分析

沿用TUF的設計理念，以及針對汽車整車環(huán)境的適配，Uptane可以在更新過程被部分破解的情況下，最小化被入侵的范圍和影響。

Uptane框架的基本架構如下圖所示：

圖1 Uptane架構

Uptane框架包含了一個時間服務器為無可靠時鐘信號的ECU提供時間服務，主ECU與Image Repository及Director Repository交互，交互過程有簽名驗證、元數(shù)據(jù)驗證及鏡像下載。次ECU與主ECU交互，主ECU幫助次ECU做全部元數(shù)據(jù)驗證。次ECU在條件有限的情況下做部分元數(shù)據(jù)驗證。

Uptane的安全驗證流程如下圖所示：

圖2 Uptane安全驗證流程

本文回顧了整車OTA框架Uptane的發(fā)展及核心思想，通過對Uptane的解讀我們可以觀察到一個完整面向整車的網(wǎng)絡安全服務的安全設計思路與方法。對SOA開發(fā)模式的安全性有很好的借鑒意義。