Uptane:Securing Software Updates for Automobiles，uptane是專門為汽車領域制定的OTA標準，安全等級非常高。可以更好的包含汽車OTA的時候不被黑客攻擊。

2022 年 10 月 13 日，Uptane 舉辦了與 escar Europe 2022 相關的免費線上行業會議。Uptane是一種開放和安全的軟件更新框架設計，可保護通過無線方式交付的軟件汽車電子控制單元（ECU）。該框架可防止惡意行為者，他們可以 入侵用于簽名和傳遞更新的服務器和網絡。有多種不同的免費開源和閉源 實現可用。Uptane被集成到汽車級Linux中， 目前被許多大型OEM使用的開源系統，也被許多美國和國際制造商采用。

Uptane于2016年由紐約大學，UMTRI，SwRI和汽車行業專家合作創建。它是在美國國土安全部的資助下作為開源框架開發的。它擴展了許多生產軟件更新系統中使用的更新框架。2018年7月，Uptane的正式標準化在一個名為Uptane的非營利財團下開始 。Uptane設計和實施標準1.0版提供了框架安全設計和實施的程序，于2019年7月31日在IEEE/ISTO聯合會的主持下發布。現在的倡議 繼續作為 Linux 基金會聯合開發基金會項目，2021 年發布了 1.1.0 和1.2.0版本。最新版本 2.0.0于 2022 年 3 月發布。建議的部署策略正在積極制定中，并在本網站上發布和定期更新。

Uptane框架是TUF在汽車整車領域的衍生品，由美國國土安全部支持，屬于Linux基金會聯合研發基金項目。逐步被整合進AGL（Automotive Grade Linux）、COVESA（Connected Vehicle Systems Alliance）等項目中去。為該框架做出貢獻的除了紐約大學等以外有諸多知名廠商。

Uptane脫胎于TUF框架（TUF(The Update Framework)框架幫助開發人員保護新的或現有的軟件更新系統，這些系統通常被認為容易受到許多攻擊。TUF 通過提供全面，靈活的安全框架來解決這個廣泛的問題，讓開發人員可以與任何軟件更新系統集成。），并對汽車整車環境進行了適應。縱觀TUF的設計，它包含了以下4個理念：信任分離、簽名閾值、顯式和隱式密鑰廢止機制以及關鍵密鑰離線保護。在保留以上4個設計理念的基礎上，Uptane增加了4項關鍵設計，以適應整車OTA過程中的客戶端異構，資源有限及ECU之間無可信通信機制。

Uptane 框架所具有的主要抵御機制有以下四條。

第一，使用額外的存儲空間從無休止的數據攻擊中恢復。黑客會對于ECU執行無休止的數據攻擊。然而，ECU往往只存儲一個鏡像文件。這樣，如果這些攻擊者會通過給ECU發送隨機數據，而不是實際的鏡像文件，讓它無法啟動到工作鏡像中去。雖然，引導程序能夠檢查出隨機數據和最近下載的元數據不匹配。為了解決這個問題，ECU可以使用一個額外的存儲空間，使得它可以有足夠的存儲空間保存之前的鏡像和最新下載的鏡像。ECU在更新時，無需具有覆蓋之前已知的良好鏡像。這樣，如果攻擊者在數據傳輸時修改了鏡像，它仍然可以引導到功能鏡像。

第二，廣播元數據防止混合軟件版本攻擊。攻擊者控制了主ECU以后，就可以執行混合軟件攻擊，因為它們可以向不同的從ECU，同時展示不同版本的元數據。為了防止這個問題，主ECU需要向從ECU廣播最新下載的元數據。所以，在CAN網絡或者以太網絡中，主ECU向某個從ECU發送的任何元數據，也需要同時發向其他的ECU。

第三，使用版本清單檢測軟件部分安裝攻擊。即使有時ECU沒有受到任何其他攻擊，但是也偶爾會出現一種軟件版本部分安裝攻擊的情況，導致ECU只成功安裝了部分的軟件更新。無論這些攻擊是如何發生的，OEM都可以通過軟件版本清單和ECU關于它最近安裝的簽署信息，檢測這種攻擊。在驗證和安裝更新后，ECU會使用OEM在汽車制造期間提供的對稱密鑰，來驗證其安裝的軟件，然后發送給主設備。ECU每個周期只會進行一次簽署和發回它的版本清單。主設備將搜集這些簽名，構建汽車版本信息，然后發送給汽車制造商。如果汽車制造商發現最近的汽車更新，和它們實際安裝的不匹配，制造商將會收到警報，并且采取進一步行動。

第四，使用時間服務器限制凍結攻擊。關于攻擊者對于ECU采取的凍結攻擊，是由于ECU桌面和服務器程序不同，ECU無法具有可靠的時鐘。這樣主設備不能判斷元數據是否超時。為了解決這個問題，每個ECU應該使用外部時鐘，周期性地更新目前的時間。

Uptane的威脅分析及規避措施是基于以下前提:

攻擊者有能力干擾或修改網絡通信數據：車外通信時，攻擊者可操縱車輛與軟件庫之前的通信，通常是無線通信；車內通信時，攻擊者可操縱一個或多個總線。

攻擊者有能力破解Director Repository或者Image Repository并偷取之上的密鑰，但不是同時發生。

破解主ECU或次ECU，但不同時發生。

可能會受到的攻擊方式描述：

表2 Uptane威脅分析

沿用TUF的設計理念，以及針對汽車整車環境的適配，Uptane可以在更新過程被部分破解的情況下，最小化被入侵的范圍和影響。

Uptane框架的基本架構如下圖所示：

圖1 Uptane架構

Uptane框架包含了一個時間服務器為無可靠時鐘信號的ECU提供時間服務，主ECU與Image Repository及Director Repository交互，交互過程有簽名驗證、元數據驗證及鏡像下載。次ECU與主ECU交互，主ECU幫助次ECU做全部元數據驗證。次ECU在條件有限的情況下做部分元數據驗證。

Uptane的安全驗證流程如下圖所示：

圖2 Uptane安全驗證流程

本文回顧了整車OTA框架Uptane的發展及核心思想，通過對Uptane的解讀我們可以觀察到一個完整面向整車的網絡安全服務的安全設計思路與方法。對SOA開發模式的安全性有很好的借鑒意義。

審核編輯 ：李倩