一種汽車遠(yuǎn)程升級(jí)安全機(jī)制的研究與實(shí)現(xiàn)

王聰，張學(xué)超，向輝

一種汽車遠(yuǎn)程升級(jí)安全機(jī)制的研究與實(shí)現(xiàn)

王聰，張學(xué)超，向輝

（奇瑞汽車股份有限公司，安徽 蕪湖 241006）

車輛零部件智能化水平不斷提高，汽車車輛內(nèi)部搭載的各種軟件、硬件也越來(lái)越多。毫無(wú)疑問(wèn)，車輛復(fù)雜度的提高必將帶來(lái)維護(hù)上的困難，軟件升級(jí)的需求越來(lái)越強(qiáng)，許多汽車企業(yè)都開(kāi)始投入到汽車遠(yuǎn)程升級(jí)技術(shù)的研發(fā)當(dāng)中。文章針對(duì)遠(yuǎn)程升級(jí)面臨的安全威脅提出了一種汽車遠(yuǎn)程升級(jí)的安全機(jī)制，簡(jiǎn)要分析了其功能實(shí)現(xiàn)，確保遠(yuǎn)程升級(jí)時(shí)的數(shù)據(jù)安全。

遠(yuǎn)程升級(jí)；安全機(jī)制；數(shù)字簽名

前言

隨著汽車零部件智能化、自動(dòng)化水平的不斷提升，未來(lái)車內(nèi)搭載的各種軟件將越來(lái)越多，無(wú)論車輛遭遇軟件故障還是軟件更新，線下服務(wù)站召回模式已經(jīng)不能滿足用戶體驗(yàn)的最佳選擇了，而遠(yuǎn)程升級(jí)技術(shù)則可以通過(guò)遠(yuǎn)程推送數(shù)據(jù)包的形式完成軟件缺陷的修復(fù)，大大避免了整車召回的風(fēng)險(xiǎn)和召回費(fèi)用的不可控。隨著遠(yuǎn)程升級(jí)技術(shù)的廣泛應(yīng)用，面臨的信息安全形勢(shì)也越來(lái)越嚴(yán)峻。

1 數(shù)據(jù)安全

在遠(yuǎn)程升級(jí)過(guò)程中，信息的真實(shí)性、完整性直接關(guān)系到升級(jí)操作的結(jié)果，所以制定一套完善的加密解密措施確保數(shù)據(jù)安全至關(guān)重要。

1.1 對(duì)稱加密和非對(duì)稱加密算法

對(duì)稱加密指加密和解密使用相同密鑰的加密算法，就是加密密鑰能夠從解密密鑰中推算出來(lái)，同時(shí)解密密鑰也可以從加密密鑰中推算出來(lái)。對(duì)稱加密算法要求發(fā)送方和接收方在安全通信之前，需要商定一個(gè)密鑰。對(duì)稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都可以對(duì)發(fā)送或接收的數(shù)據(jù)進(jìn)行解密，這就造成了管理和分發(fā)密鑰存在著風(fēng)險(xiǎn)。

相對(duì)于對(duì)稱加密算法，非對(duì)稱加密算法可以解決上述風(fēng)險(xiǎn)。非對(duì)稱加密算法需要兩個(gè)密鑰：公開(kāi)密鑰和私有密鑰。公開(kāi)密鑰與私有密鑰需要配對(duì)使用，當(dāng)使用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有使用配對(duì)的公開(kāi)密鑰才能解密。加密和解密使用的是兩個(gè)不同的密鑰，因此這種算法叫作非對(duì)稱加密算法。

1.2 哈希函數(shù)

哈希函數(shù)就是把任意長(zhǎng)度的輸入通過(guò)散列算法變換成固定長(zhǎng)度的輸出，該輸出就是散列值。簡(jiǎn)單的說(shuō)就是一種將任意長(zhǎng)度的數(shù)據(jù)壓縮到某一固定長(zhǎng)度的數(shù)據(jù)摘要。

2 安全方案設(shè)計(jì)

由非對(duì)稱加密算法可知，數(shù)據(jù)發(fā)送方生成一對(duì)密鑰，使用私有密鑰對(duì)所發(fā)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)接收方使用數(shù)據(jù)發(fā)送方提供的配對(duì)公開(kāi)密鑰來(lái)解密，這樣就可以確保數(shù)據(jù)的安全性、完整性和唯一性。但非對(duì)稱加密算法在實(shí)際使用中存在一定的局限性，當(dāng)發(fā)送的數(shù)據(jù)量特別大，同時(shí)密碼設(shè)計(jì)又比較復(fù)雜，這會(huì)造成解密過(guò)程運(yùn)算量巨大，加密和解密過(guò)程所花費(fèi)的時(shí)間很長(zhǎng)，無(wú)法在實(shí)際中運(yùn)用。

通過(guò)哈希函數(shù)，可以解決數(shù)據(jù)冗長(zhǎng)的問(wèn)題。結(jié)合非對(duì)稱加密算法和哈希函數(shù)實(shí)現(xiàn)信息交換的基本過(guò)程為：發(fā)送數(shù)據(jù)前，數(shù)據(jù)發(fā)送方使用哈希函數(shù)將所發(fā)數(shù)據(jù)生成數(shù)據(jù)摘要，然后通過(guò)私有密鑰對(duì)數(shù)據(jù)摘要進(jìn)行加密，加密后的摘要稱為數(shù)字簽字。數(shù)字簽字將會(huì)和待發(fā)送的數(shù)據(jù)一起發(fā)送給數(shù)據(jù)接收方。數(shù)據(jù)接收方收到數(shù)據(jù)后使用哈希函數(shù)從原始數(shù)據(jù)中計(jì)算出報(bào)文摘要，接著使用公開(kāi)密鑰對(duì)發(fā)送方發(fā)送的數(shù)字簽名進(jìn)行解密，如果兩個(gè)摘要相同表明接收的數(shù)據(jù)是完整的，如果不同說(shuō)明數(shù)據(jù)被篡改過(guò)了。

3 方案實(shí)現(xiàn)與運(yùn)行

汽車遠(yuǎn)程升級(jí)主機(jī)廠通常采用的方式為：遠(yuǎn)程通信模塊從TSP平臺(tái)獲取控制器升級(jí)數(shù)據(jù)，通過(guò)車內(nèi)總線對(duì)控制器進(jìn)行軟件升級(jí)。如TSP平臺(tái)信息安全受到威脅（升級(jí)數(shù)據(jù)被非法篡改），通過(guò)引入升級(jí)安全機(jī)制（非對(duì)稱加密算法和哈希函數(shù)），控制器就可以識(shí)別出升級(jí)文件的合法性。主機(jī)廠PKI產(chǎn)生的密鑰，公開(kāi)密鑰提供給控制器，私有密鑰則由主機(jī)廠管理，數(shù)字簽名文件也是由主機(jī)廠生成提供。具體升級(jí)安全機(jī)制方案實(shí)施由圖1所示。

圖1 升級(jí)安全機(jī)制方案

遠(yuǎn)程通信模塊使用ISO 14229標(biāo)準(zhǔn)中定義的$34、$36、$37服務(wù)，先將升級(jí)數(shù)據(jù)傳輸給控制器，接著通過(guò)$31服務(wù)將數(shù)字簽名文件傳輸給控制器?？刂破鹘邮胀晟?jí)數(shù)據(jù)和數(shù)字簽名文件后將自己計(jì)算出的數(shù)據(jù)摘要和通過(guò)數(shù)字簽名解密計(jì)算出的數(shù)據(jù)摘要進(jìn)行比對(duì)，如果內(nèi)容一致控制器判斷升級(jí)數(shù)據(jù)合法給出肯定響應(yīng)，如果不一致控制器判斷升級(jí)數(shù)據(jù)被篡改給出否定響應(yīng)。具體刷新流程由圖2所示。一旦控制器判斷出刷新文件不合法，將會(huì)自動(dòng)回滾到之前的版本，確?？刂破骺梢哉Ｊ褂?。

圖2 升級(jí)數(shù)據(jù)和簽名文件傳輸流程

4 結(jié)語(yǔ)

本章詳細(xì)介紹了對(duì)稱加密、非對(duì)稱加密算法以及哈希函數(shù)，簡(jiǎn)要分析了在數(shù)據(jù)傳輸安全方面應(yīng)用非對(duì)稱加密算法結(jié)合哈希函數(shù)的安全機(jī)制及功能實(shí)現(xiàn)，確保遠(yuǎn)程升級(jí)時(shí)的升級(jí)數(shù)據(jù)安全。

[1] 耿琦.基于OTA技術(shù)的車輛遠(yuǎn)程數(shù)據(jù)刷寫研究及應(yīng)用[J].網(wǎng)絡(luò)與信息工程,2017(15).

[2] 徐洋.面向電動(dòng)車車載監(jiān)控終端的嵌入式軟件遠(yuǎn)程升級(jí)系統(tǒng)研究與設(shè)計(jì)[J].研究與開(kāi)發(fā),2018(2).

[3] 高潔.一種電動(dòng)汽車軟件OTA升級(jí)服務(wù)平臺(tái)的設(shè)計(jì)方案[J].電腦知識(shí)與技術(shù),2017(3).

Research and Implementation of a Remote Upgrade Security Mechanism for Vehicles

Wang Cong, Zhang Xuechao, Xiang Hui

( Chery Automobile Co., Ltd., Anhui Wuhu 241006 )

The level of intelligence of vehicle components has been constantly improved, and various software and hardware have been installed inside the vehicle. Undoubtedly, the increase of vehicle complexity will bring difficulties in maintenance, and the demand for software upgrade is getting stronger.Many OEMs have begun to research and development the remote upgrade technology in vehicles. This thesis proposes a security mechanism for vehicle remote upgrade against the security threats faced by remote upgrades. It briefly analyzes its functions and ensures data security during remote upgrades.

Remote upgrade;Security mechanism;Digital signature

U462.1

A

1671-7988(2019)14-105-02

U462.1

A

1671-7988(2019)14-105-02

王聰（1983-），男，安徽蕪湖人，在職研究生，工程師，就職于奇瑞汽車股份有限公司。研究方向：汽車網(wǎng)絡(luò)診斷。

10.16638/j.cnki.1671-7988.2019.14.033