FOTA
意法新推STM32套件 簡化物聯網節點連線
為了簡化物聯網節點開發者所面臨的複雜軟體開發挑戰,半導體供應商意法半導體(ST)推出B-L4S5I-IOT01A STM32探索套件。新套件包含經過相關標準認證的FreeRTOS作業系統程式設計介面,該程式設計介面完全整合於STM32Cube開發生態系統內,可與亞馬遜雲端服務Amazon Web Services(AWS)直接連線。
STM32探索套件包含FreeRTOS作業系統程式設計介面,可與亞馬遜雲端服務AWS直接連線 來源:ST
硬體工具包括一塊STM32L4+微控制器開發板,板載意法半導體的各種MEMS感測器,以及STSAFE-A110安全元件、Bluetooth 4.2模組、Wi-Fi模組,以及含印刷天線的NFC標籤,用於低功耗之雲端通訊。配備了X-CUBE-AWS v2.0 STM32Cube Expansion Pack套裝軟體,該開發套件可用作參考設計,以簡化和加速終端產品的研發。
X-CUBE-AWS v2.0擴充套裝軟體確保在STM32Cube開發環境內正確整合FreeRTOS 標準AWS連線框架,使用者只需要FreeRTOS和STM32Cube即可開發節點軟體,而無需使用其他軟體。套裝軟體還支援AWS原生服務,包括標準的韌體無線更新(Firmware Over The Air, FOTA),能夠處理微控制器與STSAFE-A110安全元件的互作,包括AWS IoT核心多帳號註冊和在啟動、裝置驗證和OTA韌體驗證期間分配安全關鍵運算。
STM32L4+的板子能夠滿足市場在物聯網節點之性能和能耗方面的需求,STM32L4S5VIT6超低功耗Arm Cortex-M4微控制器整合2MB快閃記憶體、640KB RAM、數位和類比外部周邊,以及硬體加密加速器。板載感測器包括HTS221容性數位相對濕度和溫度感測器、LIS3MDL高性能3軸磁力計、LSM6DSL 3D 加速度計和3D陀螺儀、LPS22HB數位輸出絕對壓力氣壓計,以及VL53L0X飛行時間和手勢偵測感測器和2個數位全向麥克風。
平價車款大賣 Tesla撼動產業力量更強大
平價車款帶動銷量起飛轉虧為盈還需加把勁
資策會MIC資深產業分析師何心宇
截至2019年底,Tesla電動車累計銷售量為89.6萬輛,但僅2019一年,便銷售了36.7萬輛,其中Model 3銷售30萬輛(占比達82%)、Model S/X合計銷售量為6.7萬輛(佔比18%)。
Model 3是實現Tesla電動車大眾化的關鍵。過往Tesla定位電動車為「高貴汽車」,在Model 3上市後,其保有Tesla高性能、品牌價值但卻有親民的價格,是Tesla市場規模得以快速成長的關鍵。
量產在即的Model Y,則是Tesla首款Compact SUV,北美市場的Model Y在加州Fremont生產,自2020年4月開始交車,中國的上海工廠也已啟動Model Y境內生產,並預計於2021年開始交車。Model Y與Model 3有75%共用零組件,且SUV市場廣大,Model Y未來成長可期。有鑑於此,2020年Tesla設定目標銷售量為50萬輛,年成長率為36.2%。
挾帶著全球投資者的期望,Tesla年營收雖每年呈現上升趨勢,但由於龐大研發/投資費用的積累,及產能提升緩慢的窘境,Tesla長期面臨淨虧損的財務問題,至2019年仍未實現營利。
商業模式有新意 Tesla毛利率傲視同業
雖Tesla尚未實現營利,但對比全球傳統整車廠,Tesla汽車業務除汽車銷售外,尚有其他增值服務利潤來源,如OTA(Over the Air)/自動駕駛系統(Full Self-Driving, FSD)軟體更新、充電收費、儲能式充電等服務收入,並在北美、歐洲等地開展共用服務,所有Tesla車主經登記後可將閒置汽車委由Tesla營運共用服務,Tesla藉此收取服務費用。
另加總其各車型毛利率,Tesla Model S/X毛利率基本維持在30%左右,Model 3約為20%,Model Y毛利率將高於Model 3,Semi與Roadster 2因定位高價位車種,毛利率可望更高,故Tesla汽車業務毛利率可望維持25%以上。對比全球主要整車廠豐田(Toyota)、福斯(VW)、福特(Ford),這些傳統車廠的毛利率基本維持在16%~19%,高階品牌車廠BMW毛利率亦僅20%左右,Tesla毛利率有其突出之處。
觀察業務結構,汽車業務為其營收重心,汽車業務指的是銷售與租賃收入。汽車銷售指的是Model S、Model X、Model...
IoT裝置驗證/存取多關卡 建構安全系統信任根有撇步
根據定義,物聯網(IoT)是由分散式裝置所形成的生態系統,而這些裝置需透過通訊基礎架構來互聯。雖然此基礎架構可以設為私有,但通常業者會利用開放的網際網路來建置。因此,當這些廣泛分布且低成本的裝置與網路/雲端應用結合在一起,會使IoT生態系統很容易受到各種安全威脅,進而造成通訊或功能失效,或是更嚴重的風險。
為了避免這些威脅,必須確保生態系統中實體和數位資產受到妥善的保護。換言之,IoT裝置需內建強韌的安全特性,才能形成信任、控制以及完整性的安全鏈基礎,而且此安全鏈必須能在系統的完整生命週期中保護整個IoT生態系統。
保護IoT裝置五大關鍵
就無線通訊晶片及模組供應商的角度而言,在晶片中建置安全元件,亦即信任根(Root of Trust, RoT)是實現安全IoT生態系統的起點。而在考慮如何保護IoT裝置時,業者首先需考慮以下五個關鍵議題:
1.建立唯一裝置身分
IoT生態系統中能夠產生資料或執行命令的任何裝置都必須擁有唯一且無法複製的身分。這些獨特的身分將構成所有其他安全功能的基礎。
2.控制裝置資源存取
IoT裝置通常被安裝在不受控制的環境中,這使得它們容易受到攻擊。駭客可能會存取裝置中的未加密資料、上傳惡意軟體、侵入裝置以執行分散式阻斷服務攻擊。也就是說,確保裝置資源,包括CPU、記憶體和連接都非常重要,讓它們只能用來執行被指定的任務。
3.保護資料完整性
保護資料至關重要,才能確保隱私、保密性,並滿足一般資料保護規範(如GDPR),以及特定的產業規則,如美國健康資訊隱私規則(HIPAA)。
4.安全決策制定
IoT裝置和生態系統必須能依賴有效的輸入資料,才能制定正確的決策。決策應在安全的環境中執行,使其不受篡改和智慧財產權竊盜的威脅。
5.驗證命令
能夠驗證發送到IoT裝置的任何命令,如注射胰島素、開啟/關閉閥門、踩煞車等,是否來自合法來源非常重要。
然而,僅保護IoT裝置,仍不足以實現整體的安全IoT生態系統,除非在開發和部署IoT裝置時,業者能採取更敏捷的安全方法來與其搭配。為此,業者必須清楚掌握其裝置目前以及未來可能面臨的所有威脅,才能建立和維持必要的安全流程。
信任根作為安全物聯網基礎
在開發IoT裝置時,必須納入安全設計考量,並且把安全功能內建在其中。例如廠商u-blox幾年前曾提出IoT安全性的五大支柱(Five Pillars of Security),並將其應用在所有u-blox的無線模組產品中。
這五大支柱包括:安全開機、安全韌體更新(FOTA)、傳輸層安全性、實體介面與API層級安全性、以及能夠防禦軟體攻擊的堅固性。其中,安全開機是安全防衛的起點,它確保只有通過驗證的韌體才能在模組上執行,之後才能再談到其它層次的安全性,包括韌體更新、傳輸層、介面與API等。
實現安全開機的關鍵,在於建立一個安全的起始點,也就是安全的信任根。一旦建立了安全的信任根源,就可以構成從裝置一直到應用程式與雲端的信任鏈基礎。因此,信任根是保證所有安全功能的要素。無論IoT裝置進行資料傳輸或產生數據,甚至業者要檢測裝置是否已被駭客入侵,信任根都不可或缺,透過結合硬體和軟體實現安全功能。
安全元件建構信任根
信任根的建構涉及多項需求,其中主要包括:
・執行一或多個通過驗證的加密功能。
・防止被任意篡改。
・安全CPU必須執行安全的軟體/韌體。來自外部的程式碼必須先經過驗證,才能在安全CPU上執行。另一種方式是,透過使用只能由信任根存取的專用ROM來建置。
・針對需要可靠時間測量的應用,還須包含一個安全時脈。
・須確保儲存安全性。
・成功完成認證和密鑰交換協定後,必須能取得安全通訊。
・SoC的啟動和運作期間可以使用安全監視,以確保元件以及元件之間的互動正常執行。若偵測到有任何插入惡意指令的意圖,信任根都會向主機發出通知。
・無論執行什麼軟體,信任根都必須運作正常,以避免受到軟體攻擊。
安全元件可被視為信任根實體建置的一種形式,它能夠執行諸如加密、解密、隨機數字產生和驗證等功能。此外,安全元件也必須非常強韌,可以抵抗實體攻擊,並且不能被讀取或複製。透過編程和個人化設計,安全元件具有唯一的ID和密鑰,因此可與主機處理器介接。在裝置中內建信任根的最安全方式,是將其置於一個基於硬體的安全元件中。
以u-blox為例,作為無線通訊與連接解決方案的供應商,選擇在無線通訊晶片中內建安全元件功能,以作為IoT裝置的信任根,因為無線通訊晶片是所有IoT裝置所不可或缺的。而新推出的SARA-R5系列產品是一款多頻段的LTE-M/NB-IoT蜂巢式模組,鎖定低功耗廣域網路(LPWAN)市場。它實現信任根的方式,是提供一個預享密鑰(PSK)管理系統。在加密過程中,PSK會在利用安全通道的兩方之間共享。此密鑰的特性是由使用它的系統來決定。PSK必須是符碼夠長且隨機的,才能確保安全,因為太短或可預測的預享密鑰很容易被破解。同時,管理員必須定期更新PSK,以維持較高的安全性。
密鑰管理系統會把密鑰存放在硬體信任根之中,並能在有需要時,在伺服器端推導出相同的密鑰。密鑰的存取只能透過非直接方式進行,並由應用程式層級的權限和政策來管理。因此,SARA-R5模組適合內建於用來傳輸關鍵和機密資訊的裝置。歸功於分離式、基於硬體的安全元件,以及輕量型預享密鑰管理系統,提供IoT應用所需的先進安全性,並包含資料加密、解密、防複製以及安全的晶片到通訊功能。
此外,為了進一步強化IoT生態系統的安全性,SARA-R5系列中建置了由GSM協會(GSMA)提出的安全端到端通訊用的IoT SIM小程式(IoT SAFE)建議,並在軟體維護版本中包含支援IoT SAFE的建置指南。IoT SAFE建議由GSM協會於2019年12月發布,可協助IoT裝置製造商和服務供應商利用SIM卡作為強固、可擴展的硬體信任根,以保護IoT數據通訊。使得與應用程式雲端/伺服器安全建立(D)TLS會話(Session)更容易,進而簡化配置和管理數百萬台IoT裝置的流程。
攜手策略夥伴 開發IoT安全平台
另一方面,IoT安全性的實現不單取決於晶片/模組的設計,而是所有生態系統夥伴需共同解決的問題。因此u-blox近來建立的一項策略性夥伴關係,與瑞士的數位安全與數位版權管理供應商Kudelski合作。Kudelski的安全方案已廣泛內建於全球各地的電視機上盒中,以確保內容供應商提供的內容不會被竊取或入侵,每年保護的內容營收高達數十億美元,因此擁有非常深厚的安全專業技術。此外,Kudelski對於大規模建置安全方案具豐富經驗,對IoT應用來說至關重要。
Kudelski提供的IoT安全平台中,已內建u-blox產品,作為建立信任、控制與完整性的安全鏈的基礎,以鏈結到裝置、資料、IoT平台與應用程式。協助使用者利用簡單的API來管理、控制所有重要的IoT安全資產。此安全平台包含三個主要組成:基於軟體或硬體的信任根、裝置中的安全客戶端程式、以及雲端的安全伺服器。而IoT裝置與安全伺服器的通訊,是透過以下方式來保護:
・利用內建於裝置中的信任根來作為所有安全功能的基礎。
・u-blox/Kudelski支援三種型態的信任根:安全元件(晶片)、SIM卡、以及在可信賴執行環境中的軟體信任根。
・安全客戶端程式庫整合裝置韌體和應用程式,客戶可充分運用所有的安全功能。
針對IoT裝置的布署,由於其中涉及了許多的輸入/輸出點以及現場中許多的既有裝置,再加上需與不同網路層,包括區域網路、蜂巢式網路和網際網路服務供應商等的伺服器交換資料,這些連接點都有可能成為整體系統的安全缺口。因此,如何提供端到端的安全性,已變得日益重要。透過此建置為使用者提供了一個端到端的安全流程,可協助設計、測試與建置一個安全架構,以供IoT裝置使用。同時,使用者還能建立並管理各種數位及實體資產,以因應既有與演進中的安全威脅。
(本文作者為u-blox服務/安全部門主管)
糖尿病管理系統智慧/效率兼具 血糖儀設計BLE建功
測量和監測是對1型糖尿病和2型糖尿病有效管理的關鍵。典型和傳統的測量技術透過使用血糖儀(BGM)進行。市場上1型和2型糖尿病患者使用的另一種技術選擇是連續血糖儀(CGMS)。連續測量的優點很多,其中之一是更瞭解人體,或者隨著時間推移,血糖如何藉由各種日常活動,如體力活動、飲食甚至睡眠不斷變化。隨著持續而非間歇式更深入瞭解人體行為,可進行相應治療和改善。
由於這些儀器通常在皮下測量組織液,直到最近還需定期校準血液,也就是「老派」的戳手指。然而隨著技術進步,部分CGM現在毋需對全血進行校準。
連續血糖監測系統的微電子性質通常相同,僅有少數例外。且由於這些裝置通常為穿戴式,因此尺寸問題亦須顧及,意味著需要高度整合加上有效電源管理,以提高所用半導體元件的最佳效能。
除了測量和監測外,胰島素輸送技術也在推進,閉環系統將連續監測結合藉由人造胰腺輸送的胰島素,為數以百萬計的糖尿病患者帶來更好、更方便的醫療保健及更樂觀的前景。
血糖測量技術層層遞進
傳統的BGM可以在藥房或任何藥店連鎖店購買。使用附帶的刺血針裝置(非常小的細針)刺破手指、流出一小滴血,再將血與插入血糖儀的試紙接觸。
當血液樣本與試紙產生化學反應時,會向血液樣本施加AC或DC激發電壓或電流,而結果由數據轉換器讀取。短暫等待微控制器完成計算後,最終的血糖水準將在螢幕上顯示(圖1)。
圖1 簡化的血糖儀(BGM)框圖
更先進的血糖儀具有藍牙低功耗(Bluetooth Low Energy, BLE)連接功能,可將分散的血糖結果傳輸至智慧手機,其通常支援雲端連接的應用程式。而結果可予以儲存,且家庭成員或護理人員可隨時查看,以改善治療效果。
CGM電路系統/電池選擇考量因素
當今,連續血糖儀的系統架構將類比/數位(A/D)和數位/類比(D/A)以及輸入/輸出功能整合到單片矽中,通常是特殊應用積體電路(ASIC)類比前端(AFE)或專用標準產品(ASSP),通常在一個小的晶圓級晶片尺寸封裝(WLCSP)中結合1個藍牙低功耗(BLE)和微控制器(MCU),如RSL10有助於解決挑戰,使長期穿戴的裝置對用戶來說盡可能不顯眼和實用。
除了電路外,另一個影響尺寸的主要因素是所需的電池。如掌上型BGM中,通常使用一個或兩個AA、AAA或AAAA電池。這些對於CGM而言太重且太大,因此,電池的尺寸和化學性質通常決定鈕扣電池的外型尺寸。
為了切實可用,必須審慎管理系統電源。峰值電流和總電流必須最小化,因為從鈕扣電池獲得的最大電流比AA電池大大減小。另一個考慮因素是放電曲線。如若使用氧化銀化學電池,通常會產生最大1.55V的電壓,使用壽命降至1.2V;若使用二氧化錳化學電池,則額定電壓為1.5V,使用壽命降至1.0V。
胰島素注射趨向智慧化
胰島素以往是在需要時使用臨床級注射器和針頭自行注射,就像在診間接受注射一樣。現在有很多種胰島素已經上市銷售,快速、短、中、長效類型的胰島素可以單獨注射或根據需要混合使用。
最近皮下注射的替代品已進入市場。有一種替代方法是噴射式注射器,其以細流將胰島素輸送並進入皮膚。另一種是注射器筆,藉由一根超細針頭自動分配胰島素,使利性和舒適性大幅提升,同時還能減少注射恐懼感(圖2)。
圖2 智慧注射器筆架構示意圖
這些替代裝置實際上更趨於機電化和「智慧化」,就如同傳統血糖儀。至於注射筆的設計採用微控制器和藍牙低功耗無線電,目的是捕捉和報告離散的注射時間、注射量等等。
胰島素泵浦改善輸送效率
胰島素泵浦可精確控制1型和某些2型糖尿病患者的胰島素輸送,但更常針對1型糖尿病患者。這些泵浦是方案的關鍵部分,最終在「閉環」系統—人造胰腺中發揮作用;其採用胰島素泵浦接收連續測量血糖數據的系統,再加上適當輸送控制和演算法創建人造胰腺,此為糖尿病管理的關鍵。
使用CGM代替多次刺手指,這是一種利用連續數據而不是幾個離散數據點的較佳測量方法。同樣地,能避免一整天低血糖和高血糖是一大進展,有了人造胰腺意味著患者不再需要擔心夜間低血糖、睡眠期間低血糖水準或測量/注射的頻率。這可以大幅改善他們的健康、生活品質,還可能延長壽命(圖3)。
圖3 簡化的胰島素泵浦系統圖
合理想像,採用自動輸送胰島素需要依靠系統的安全性、可靠性和準確性,這使得裝置製造商於選擇技術、系統和元件供應商的過程至關重要。
人造胰腺連結雲端監測健康
人造胰腺的物理設計有很大差異,儘管戴在身上或配置在使用者的皮帶上。圖4所示架構描述常見的方案,利用高度整合的ASIC,含所有類比前端模組、電源管理、MCU或控制模組以及一個整合的藍牙低功耗無線電以幫助通訊。所有系統都包括某種類型的胰島素儲存裝置,提供適當驅動器機制的泵浦或致動器系統,藉由皮下針頭輸送胰島素的導管或套管系統,以及各種類型的感測器(如運動、壓力、溫度、血糖)。離散或未連接的測量系統主要區別,在於連續和閉環回饋。
圖4 人造胰腺圖
除了血糖感測器以外,還可以使用幾種感測器,如用於人體穿戴裝置的低重力加速度計和溫度感測器來監測活動水準,以改進劑量演算法。這些感測器持續提供有關身體運動和外部環境的資訊,同時還提供有關血糖水準的相關資訊。人工智慧(AI)可用來估計所需的近期和中期胰島素治療。
大多數系統使用藍牙低功耗與連接到雲端的智慧手機進行通訊。但有些人使用無外觀設計的可攜式Pod與單獨的控制系統,亦稱為「個人裝置管理器(PDM)」的系統通訊,在此情況下,PDM用於用戶間交互作用,並可作為開環(非閉環)控制系統,其亦通常藉由Wi-Fi或LTE提供雲端連接的功能。
藉由雲端連接,護理人員可收到通知並介入追蹤。此外,藉由雲端運算,可從大數據分析和人口管理獲得更多的功能。而在某些情況,除IC整合外,甚至被動元件也與高度整合的半導體ASIC整合在3D混合模組中,體現尺寸、重量和性能等優勢。
低功耗藍牙供電 實現高效傳輸
回到對鈕扣電池運作和低功耗工作需求,諸如安森美半導體(ON Semiconductor)的RSL10藍牙5認證的無線電系統單晶片(SoC)之類的元件可提供適當選擇方案實現與人造胰腺方案的通訊。
RSL10提供低功耗,經嵌入式微處理器基準協會(EEMBC)驗證,且近期獲用於可植入式及生命相關的醫療應用認證,適用於低功耗電池供電的裝置;該元件搭載Arm Cortex-M3處理器和LPDSP32數位訊號處理器,提供所需的穩固性以支援複雜設計;板載384KB快閃記憶體和160KB RAM為用戶提供靈活的編程選項。此外,RSL10還為藍牙低功耗提供機會,並具有開發韌體空中升級(FOTA)應用程式的能力(圖5)。
圖5 RSL10系統框圖
此外,該元件具備額外好處,如安森美的藍牙低功耗矽智財(SIP)可用於低功耗的ASIC,進而滿足涵蓋各感測器和介面的需求。由於測量系統和胰島素輸送系統中的數位/類比(D/A)和類比/數位(A/D)轉換很普遍,因此需客製化,像是在胰島素輸送系統中,可能僅需藍牙低功耗傳輸,進而減少基頻RF和控制器成本。許多應用皆為大體積或一次性,因此關鍵在於矽,需盡可能使其具高效能以節省成本和尺寸。
(本文作者為安森美半導體無線及醫療分部訊號處理業務行銷)
保護聯網汽車資安 FOTA更新高效又安全
近期,這類對汽車的駭客攻擊經常登上頭條新聞。這並不特別令人吃驚,因為越來越多的車輛都已經配備了自己的介面,與外部進行資料交換。
車輛已經成為了行動的生活空間;汽車正在發展成為一種行動設備。尤其對於年輕一代的使用者來說,他們對舒適功能的需求正不斷成長,以便隨時保持聯網,或者透過應用來共用油耗或功率輸出之類的車輛資料,然後對這類資料進行評估。
因此,聯網汽車已經成為了現實。這一課題不僅涉及到客戶與製造商,安全研究員和IT專家也參與其中。並且,在最壞的情況下,還會招來駭客。多年以來,安全專家們都已經注意到了這樣一個事實,那就是個人電腦已經不再是數位攻擊的唯一目標了。現在很大一部分的惡意軟體都經過設定,可以攻擊行動設備。如果認為這種發展趨勢不會蔓延到聯網汽車,那就未免太天真了。
到目前為止,入侵車輛及其系統的駭客攻擊是極少數的例外情況。但是,聯網汽車的安全性至關重要,目前這對於OEM來說已經是顯而易見的了。當汽車成為一種車主用來通訊的個人行動設備並且還可能透過應用來實現個性化時,這種組合就會產生極大的可能性,使得攻擊者有機可乘,有機會將其操縱(圖1)。
圖1 汽車通訊功能使其成為駭客攻擊的可能目標。
空中軟體更新保證安全性
但是,汽車產業如何能夠保護自身以及客戶免受數位攻擊呢?汽車產業一部分從業者一直傾向於取消全部空中介面,但是這並不符合客戶的利益。資料交換連接的需求也明顯地表現在創新的V2V或V2I服務當中,這些服務將會進一步的發展,其中還涉及與自動駕駛的關聯。因此,從今以後,並沒有辦法完全地避免在車輛中使用藍牙、無線區域網路或者蜂巢通訊。
另一方面,召回或者在汽車修理廠採取補救工作的傳統方法也將無法即時保護車輛免受數位攻擊。此外,召回不僅會產生高昂的費用,並且損害汽車製造商的聲譽。
以這種方式來贏得與汽車駭客的競賽是不可能的。畢竟,透過這種方式來為全部被波及的車輛打補丁須要花費數月的時間。與此同時,駭客還會繼續作惡。此外,要這樣長的時間才能解決危險問題是令人無法接受的,因為受操縱的車輛會對駕駛員及其所處的環境產生巨大的風險。同時,在很多情況下,這樣一段時間內還可以更進一步的發現車輛的其他弱點。因此,這些補丁在安裝時就已經過時了。
那麼讓我們來瞭解一下行動設備的世界,進而找出替代維修召回的方法:應用和智慧手機作業系統的供應商不斷地為終端設備提供產品的最新版本。有時候,幾個小補丁即可彌補弱點,而在其他情況下包含新功能在內的新版本則會發布到市場上。
這類軟體和韌體上的更新以「空中(OTA)」的形式完成,也就是說,透過空中介面的方式。只要這些更新傳輸到了設備,它們就會馬上提取出來,自動安裝。
FOTA快速為多台設備更新
快速為多台設備採用最新的更新,是不易解決的挑戰,空中韌體升級(FOTA)可以作為一個答案。更新程式有潛力透過相應的補丁來快速、持續的為弱點提供補救,與此同時整合起新的功能並採用現代化的加密演算法,從而確保各個組件的安全,比如說控制單元。
為了確保大量的控制單元可以透過FOTA方式進行更新,我們可以採用閘道的方法。在後端以及要更新的控制單元之間,配有行動無線介面的一台控制單元可以承擔中間人的角色。可以藉由空中介面接收所有的套裝軟體,然後再透過CAN匯流排系統或者乙太網之類的效能更高的通訊通道,將其分發給各台目標設備。此外,閘道ECU還具有控制和協調整個更新過程的主功能。比如說,如果出錯,那麼就必須啟動回滾機制(圖2)。
圖2 以閘道的方法確保大量控制單元可以用FOTA方式進行更新。
除了可以利用FOTA來彌補安全上的問題以外,在設備側當然還需要許多其他的技術措施,例如對全部ECU介面採用密碼保護,這在透過行動通訊、藍牙和無線區域網路進行無線連接時尤其重要。
另外,組織和開發流程也須要迎合新的形勢。例如,端對端的風險分析並不是一項通則,但是到了現在,這應是製造商向其供應商提出的強制性要求。在這一工作中,對該鏈條上的任何組成部分可能發起的駭客攻擊的場景都會接受詳細檢查,其中就包含了對安全性的影響以及最終對於功能安全的影響。在這些結果的基礎上,可以採取充分的防護措施。OEM、後端解決方案的供應商以及控制單元的製造商必須從開發階段的早期就展開合作,才能保證在這種方法上取得成功。
該方法要求不再對控制單元採用黑箱的開發方法,而是透過一種整體研究的方式來確保安全性。此外,即使在開始生產後,也不得終止提供安全措施。在任何產品的整個壽命期間,都必須持續的執行由FOTA提供的安全分析、面向安全的測試以及安全性漏洞的補救措施。
比如說,與安全的開發和生產過程有關的組織措施可以包含對秘鑰和證書之類機密資料存取方式的控制,以及與安全相關的元件有關的開發規範。此類資料和文件必須以加密的形式儲存在受保護的伺服器中,存取權限則以認證的方式僅限於極少數的幾個人。
此外還必須特別重視安全測試。滲透測試尤其能夠有效地找出安全性漏洞。透過採用駭客的手段和方法,測試人員可以故意嘗試侵入到系統當中。結果則可以表明目前的安全級別,並且將告知開發人員相關的應對措施,並將關鍵的弱點除去。
只要看一看FOTA的過程鏈以及涉及的功能單元,就可以瞭解到其中的複雜性以及對技術的極高要求。在這方面,安全性的優先順序最高。我們必須得到這樣一個保證,那就是FOTA過程本身是可以安全實現的,而沒有遭受任何潛在的攻擊。如果FOTA被濫用,不當的將受操縱的軟體導入到一台設備當中,那麼在安全性以及甚至最終在功能安全上造成的後果可能會是無法估量的。
對於安全的FOTA機制來說,空中介面的加密保護是一個先決條件。通常的做法是以TLS的方式建立起安全連接。這裡所需的密鑰和證書必須以防止操縱的保密和安全的方式導入到設備當中,然後儲存在設備中一個受保護的儲存位置。對於實現安全儲存並且安全的執行加密程式來說,專用的硬體安全模組(HSM)是必不可少的。
採用安全安裝流程(安全快閃記憶體)以及在啟動設備軟體時採取安全的檢驗(可信引導),可以避免錯誤安裝受操縱的軟體。在任意一種機制下,都可以透過數位簽章來驗證軟體的真實性。
UART、USB或者JTAG之類的開發介面也必須在串列產品上停用,或者透過加密程式來進行保護,以避免對設備的侵入。否則,攻擊者可能會嘗試透過這種管道去讀取或者操縱軟體或機密資料。除了安全執行FOTA過程以外,還應該尋求快速有效的進行作業。一方面,行動通訊的資料量以及成本也應降至最低程度。另一方面,應當盡量不要對車主構成妨礙。
透過增量更新可以實現高效的處理。在這過程中,只會以二進位或者檔案的方式來傳輸和安裝對已安裝軟體的變更。採用的增量演算法以及劃分到靜態和可變更資料區的軟體分區,都會對資料包的大小產生顯著的影響。
FOTA過程必須極其穩健並具有極高的容錯性,從而防止安裝的軟體不相容、崩潰或者不一致,否則會造成功能受損。由於這個原因,透過完整性檢查以及對通訊通道的監管來辨識出錯誤具有極高的重要性。出錯時,須要做出適宜的回應,例如,可以透過回滾作業的方式來回復到無差錯的狀態(圖3)。
圖3 為保證FOTA過程穩健,必須嚴格地檢查並對通訊管道監管以辨識錯誤,並做出適當回應。
TCU具充足儲存空間/處理能力
從技術的角度來說,任何配有行動無線電通訊的控制單元都可以發揮FOTA閘道的作用。
然而,遠端資訊控制單元(TCU)比其他單元更能勝任這一任務。比如說,車頭裝置(Head Unit)也可以作為許多車輛的一個整體組成部分,此外,它還具有充足的儲存空間和處理能力。但是,大多數的車頭裝置都含有大量的無線介面。
畢竟,這一單元須要透過藍牙、WiFi或者NFC來接受外來的接入,此外還存在著許許多多的要求。這種對於外部世界基本的開放性妨礙了針對操縱的有效防護能力。
此外,該單元是直接安裝在儀表板上的,這就排除了將車頭裝置定義為FOTA中央閘道的可能性。畢竟駭客們可能也會在這裡採用便利的物理入侵方式。然而,TCU的物理位置位於車輛內部更深處,難以從車廂內觸及。總而言之,它的連接數量更少,此外,在需要時還可以停用。
並且,到現在為止,許多其他對於安全性至關重要的功能都已經在TCU中提供,例如防盜控制系統的遠端啟動功能。正是由於存在這些關鍵的安全功能,為TCU建立的各類安全措施,例如後端的編碼和驗證等等,都是必然具備的。TCU畢竟已經成為了安全拓撲上的一種確立已久的成熟組成部分,被製造商廣泛採用。
當須要確保車輛的安全時,我們要採取整體性的解決方案,因此這已經成為了一項優勢。後端、空中介面、閘道、車輛匯流排以及各個控制單元都是這一鏈條上的各個環節。如果鏈條上最薄弱的部分能夠受到攻擊,那麼所有其他單元的安全也會存在漏洞。
對於TCU在FOTA架構中處於中心位置的專案,從安全的角度來說,這類專案不僅僅因為這一組件已經高度成熟而受惠,即使是在製造方面,供應商和OEM在安全流程的設計上也具有相對豐富的經驗,成為了另一項優勢。
建立FOTA有效降低成本/提升安全
透過TCU來建立起FOTA可以為OEM提供巨大的潛力,這樣的做法不僅僅是因為安全上的考慮。同時,車輛召回工作代價高昂,由於時間、成本和人工的原因,所以並不受到客戶的歡迎,因此在車輛中出現弱點時,不一定會採用這種解決方法,至少在處理軟體相關的問題時,不一定會進行車輛召回的維修動作。
許多問題實際上毋須在客戶端採取任何作業即可良好得到解決。只要補丁可以透過無線的方式送達車輛,對於車輛中許許多多類型的弱點的補救措施,就不會再須要工作人員進行物理上的接觸來解決。
而且,在建立新的業務模式與客戶關係時,FOTA也可以發揮極具建設性的作用。美國汽車製造商特斯拉(Tesla)的例子就證實了這一點。在這家公司向客戶提供的一次收費約2,000美元的更新中,包含了自動駕駛功能。這樣一來,許多的特斯拉汽車都已在繼續演變成為(部分)自動駕駛汽車。
對於OEM來說,這種安排開闢了一個嶄新的視角。當今的認知裡,有一個極普遍的情況就是,只要一離開最初的銷售地點,一輛新車的價值馬上就會下跌一半以上。
並且,隨著時間的推移,價值還在不斷地遞減。到了未來,由於隨著時間的推移會不斷推出新的功能,車輛可能並不一定會喪失價值,而且實際上價值還可能會得到保留甚至增加。
那麼,到現在為止,FOTA已經遠不再是一種煩人的承諾。這種更新的重要性不僅在於可以為互聯汽車提供確保安全性的基本先決條件。
而且,在這一基礎上,OEM可以不斷地在車輛上創造出附加值,確保客戶的忠誠度,並且在銷售完成後的很長時間內都會一直保持良好的客戶關係。
(本文作者為Molex互聯汽車技術研究進階工程師)
搶進全球低功耗物聯網 NB-IoT聚焦R14/多模開發
NB-IoT R14版本於2017年6月底定,而3GPP也表明,2020年前不會再推出NB-IoT與eMTC(LTE-M)以外的新技術標準。在技術規格上,R14版本強化NB-IoT效能與整體的穩定性,並導入空中韌體更新(Firmware Updates Over The Air, FOTA)機制支援設備與裝置更新,使得NB-IoT技術更具確定性,也吸引業者逐步投入NB-IoT開發,預期2019年產業將聚焦於R14解決方案的開發。
事實上,在R14版本公布之初,只有部分晶片廠選擇跟進R14,如聯發科在2017年6月即宣布推出符合R14的NB-IoT系統單晶片(SoC),而華為也在2017年底推出支援R14的Boudica 150 NB-IoT晶片。但同屬NB-IoT技術規格主導廠商之一的高通,直到2018年上半年都沒有推出R14晶片,市場對於選用R13版本或R14版本進行商用布建也始終沒有定見。直到2018年12月,高通推出旗下首款符合R14版本的物聯網專用蜂巢式晶片組,市場趨勢才逐漸明朗。目前包括移遠通信、芯訊通、金雅拓與泰利特等模組商,也都宣布採用該款晶片開發R14產品,商用產品預計在2019年上市。
談到R13與R14規格,u-blox商業開發經理黃俊豪表示,R14功能演進中,FOTA機制對於商用布建尤其重要。R13規格並沒有強制要求支援FOTA,導致裝置功能更新不易,且會帶來龐大的人力與成本負擔。若晶片/模組沒有額外支援FOTA功能,R13的晶片可能只能供測試階段使用。
裝置的可靠度、資訊安全、覆蓋範圍、彈性與尺寸,都是LPWA模組設計的要點。此外,由於目前各國主流技術與採用的頻段皆有不同,為能滿足全球應用市場,除了整合Wi-Fi、GPS等技術,模組商也紛紛推出支援2G/LTE-M/NB-IoT的多模以及多頻解決方案,為用戶在終端移動性和國際漫遊等方面提供更多選擇的可能性。
對此,移遠通信高級副總裁張棟表示,儘管NB-IoT在技術與生態系的演進之下,已逐步邁向全球化部署,但部分區域仍處於GSM和NB-IoT的過渡階段,因此,市場對於多模方案仍有一定的需求。多模與多頻方案,除了有助於模組商掌握全球低功耗物聯網市場,也能藉由彈性化的選擇協助產業將既有的2G終端逐步轉向LTE-M/NB-IoT。