OTA-Updates mit Adaptive Autosar

Welche Bedeutung hat Adaptive Autosar im Rahmen von OTA-Updates? Mit zunehmender Realisierung von Fahrzeug-Funktionen per Software verkürzen sich auch die Aktualisierungs-Zyklen. Beispielsweise verbessern sich Funktionen beim vollautomatisierten Fahren durch Machine-Learning kontinuierlich. Zudem besteht auf Kundenseite eine deutliche Erwartungshaltung, Funktionen auch nachträglich aktualisieren oder hinzufügen zu können – etwa Verbesserungen an den Assistenzsystemen, neue Apps und Ähnliches mehr. Für diese Anforderungen ein schlüssiges und stabiles Verfahren anbieten zu können, wird für Fahrzeughersteller zu einem wichtigen Faktor zur Abgrenzung gegenüber den Wettbewerbern. Fehlt ein solches Konzept, droht als Konsequenz ein Imageverlust. Perspektivisch könnte zudem die Elektromobilität längere Wartungsintervalle mit sich bringen. Aber es ist schwer vermittelbar, wenn Software-Updates nur noch im Rahmen eines Werkstattaufenthalts durchgeführt werden könnten.

Adaptive Autosar sorgt für sichere Updates im Feld über die Luftschnittstelle. Elektrobit

Ähnlich wie in anderen Industrien werden Updates deshalb künftig „Over the Air“ stattfinden müssen. Die Verbindung der Fahrzeuge zum Internet und Vernetzung der Komponenten untereinander bieten die erforderlichen Voraussetzungen für solche Update-Mechanismen. Allerdings stellt die Aktualisierung kritischer Fahrzeugfunktionen hohe Anforderungen an die Sicherheit und Zuverlässigkeit der dafür genutzten Prozesse.

Umfangreiche konzeptionelle Verbesserungen in Adaptive Autosar

Um diesen Herausforderungen zu begegnen, war neben der bisherigen Autosar-Softwareumgebung eine neue Plattform notwendig: Adaptive Autosar. Damit müssen OEMs und ihre Zulieferer nicht immer wieder neue und zum Teil proprietäre Lösungen für kritische und komplizierte Funktionalitäten entwickeln. Im Vergleich zum älteren Classic Autosar setzt Adaptive Autosar auf eine Parallelisierung und Dynamisierung der Laufzeitumgebung. Konkret ist damit Nachladen und Abmelden der jeweils aktiven beziehungsweise benötigten Komponenten gemeint. Adaptive Autosar stellt den Applikationen alle benötigten Programmierschnittstellen zur Verfügung – und zwar unabhängig vom verwendeten Betriebssystem. Dies ermöglicht unter anderem den Einsatz bestehender Software-Bibliotheken aus den Bereichen High Performance Computing, Embedded Vision oder Machine Learning (Bild 1).

Bild 1: Die Architektur von Adaptive Autosar. Elektrobit

Die unter Classic Autosar signalbasierte Kommunikation etwa auf dem CAN-Bus wurde bei Adaptive Autosar durch eine Service-orientierte Kommunikation abgelöst. Mit dieser Systemarchitektur lassen sich neue Anwendungen leichter ins Gesamtsystem integrieren. Moderne und zum Teil automatisierte Entwicklertools wie das von Elektrobit angebotene EB Tresos unterstützen die Softwareentwicklung für Adaptive Autosar. Sie bieten speziell auf die neue, modernere Systemarchitektur ausgelegte Funktionen, wie etwa Compiler-basierte statische und dynamische Datenflussanalyse, automatische Laufzeitabschätzung sowie automatische Software- und Hardware-Optimierung.

Für die Standardisierung und Weiterentwicklung von Adaptive Autosar ist das Autosar-Konsortium verantwortlich, dem über 250 Teilnehmer aus mehr als 70 verschiedenen Unternehmen angehören. Neue Versionen von Adaptive Autosar werden vom Autosar-Konsortium zwei Mal pro Jahr veröffentlicht – jeweils Ende März und Ende Oktober. So ist eine kontinuierliche Pflege und Fortschreibung der Spezifikationen und Funktionalitäten gewährleistet. Detaillierte Informationen sind unter www.Autosar.org/standards/adaptive-platform verfügbar.

Standardisierte Funktionen für OTA-Updates

Im Zusammenhang mit OTA-Updates stellt Adaptive Autosar standardisiert wesentliche Funktionen für die gezielte Aktualisierung von Funktionen und Komponenten bereit. Während beim Classic Autosar immer ein komplettes Update der Applikationssoftware erforderlich war, unterstützt Adaptive Autosar differenzielle Updates. Hintergrund ist eine modulare Architektur, bei der nur einzelne Blocks einer Applikation aktualisiert werden und auch Delta-Updates, bei denen die Ziel-Applikation auf den neuen Software-Stand gepatcht wird.

Konkret nimmt zu diesem Zweck ein Update Master vom Connectivity Client die Over the Air empfangenen Update-Daten in Empfang und führt anschließend in Kooperation mit dem Update Configuration Manager (UCM) und dem Diagnostic Manager (DM) die gezielte Aktualisierung der einzelnen Softwarekomponenten durch (Bild 2).

Bild 2: Standardisierte Funktionen für Over-the-Air-Updates. Elektrobit

Um den gesamten Update-Prozess für OEMs oder Anbieter von Diensten so einfach und unkompliziert wie möglich zu machen, bietet Elektrobit mit EB Update OTA eine skalierbare und flexible Komplettlösung an. Sie beinhaltet je nach Vorgaben des OEMs die erforderliche Cloud- beziehungsweise Backend-Umgebung zur Vorbereitung, Verwaltung und Durchführung des Updates während des gesamten Fahrzeug-Lebenszyklus. Innerhalb eines Update-Rollouts lassen sich dabei auch mehrere Performance-Steuergeräte und/oder das Infotainment-System des Fahrzeugs gleichzeitig aktualisieren. Voraussetzung bei den betroffenen Steuergeräten ist eine Unterstützung standardisierter Diagnose-Protokolle.

End-to-End-Sicherheitsarchitektur zum Schutz des gesamten Fahrzeugs

Die Konnektivität vernetzter Fahrzeuge ermöglicht viele sinnvolle Funktionen und bietet somit Fahrern wie Fahrzeugherstellern klare Vorteile. Gleichzeitig erhöht sie aber auch die Zahl möglicher Angriffspunkte. Verbindungswege wie Car2X, WiFi, Bluetooth, Remote-Control über Apps, OBD-II, Funkschlüssel und viele weitere stellen grundsätzlich mögliche Einfallstore für Hackerangriffe dar. Neben den offensichtlichen Risiken wie Datenverlust oder Funktionsstörungen sind diese Szenarien für OEMs mögliche Bedrohungen – etwa Reputationsverlust bei Kunden und Geschäftspartnern, Kostenrisiken für Rückrufe oder Gegenmaßnahmen, Unzufriedenheit auf Kundenseite bis hin zu Haftungsrisiken und möglichen juristischen Konsequenzen.

Vor diesem Hintergrund stellen OTA-Software-Updates besondere Anforderungen an die Sicherheitsarchitektur innerhalb und außerhalb des Fahrzeugs. Selbstverständlich erfolgt auch eine gezielte Absicherung der anderen aufgezählten Angriffspunkte. Im Folgenden liegt der Fokus aber auf den Sicherheits-Funktionen von Adaptive Autosar insbesondere im Kontext von OTA-Updates.

Bild 3: End-to-End-Sicherheitsarchitektur. Elektrobit

Die zugrundeliegende Sicherheitsarchitektur berücksichtigt die Fahrzeugkomponenten sowie ihre Verbindungen und Schnittstellen ebenso wie das Backend und gegebenenfalls zusätzlich angeschlossene Endgeräte. Daher umfasst das Konzept alle beteiligten Schichten innerhalb und außerhalb der Fahrzeugumgebung: Einzelkomponenten und Steuergeräte, Bussysteme innerhalb des Fahrzeugs, externe Schnittstellen und Protokolle (beispielsweise auch WLAN) sowie die End-to-End-Verschlüsselung und -Absicherung aller relevanten Dienste. Dies gewährleistet nicht nur die Integrität des Systems und verhindert Missbrauchsversuche, sondern erfüllt auch die immer weiter steigenden gesetzlichen Anforderungen an Datenschutz und Informationssicherheit (Bild 3).

Hohes Schutzniveau in Adaptive Autosar

Um diese Ziele zu erreichen, kommen zum einen Lösungen und Ansätze aus dem Bereich Automotive Security wie SecOC (Secure Onboard Communication) und HSM (Hardware Security Modules) zum Einsatz. Zum anderen basiert die Sicherheitsarchitektur auch auf Classic-Autosar-Lösungen und Prozessen aus der Client-Server-Kommunikation wie beispielsweise TLS (Transport Layer Security), zertifikatsbasierter Authentifizierung und Verschlüsselung.

Das Konzept Secure Onboard Communication (SecOC) stellt sicher, dass innerhalb der Onboard-Kommunikation übertragene Daten authentisch sind. Damit verhindert SecOC etwa eine Manipulation von Datenpaketen, Man-in-the-Middle-Attacken oder andere Angriffsszenarien. Um einen unbefugten Zugriff auf den CAN-Bus durch Hacker zu verhindern, fügt das SecOC-Modul jedem auf dem internen Bus übertragenen Datenblock einen Message Authentication Code (MAC) hinzu. Um Manipulationen durch abgefangene Datenblocks zu verhindern, berücksichtigt die kryptografische Berechnung eine zeitabhängige Komponente, die die Aktualität der Nachricht dokumentiert. Aufgrund von Limitierungen des klassischen CAN-Bus (das dort genutzte Protokoll sieht eine Frame-Größe von nur 8 Byte vor), kann allerdings jeweils nur ein Teil der Aktualitäts-Bescheinigung und des MAC mit den Nutzdaten übertragen werden. Das empfangende Modul berechnet seinerseits den vollständigen MAC sowie den Aktualitätswert und vergleicht sie dann mit den (partiell) empfangenen Werten. Stimmen sie nicht überein, wird das empfangene Datenpaket verworfen.

Ergänzt wird SecOC durch Hardware-basierte Verschlüsselung sowie interne Vertrauensschutz- und Sicherheitsmechanismen in den Komponenten und Steuergeräten. Sie beinhalten unter anderem Authentifizierung, Diebstahlschutz sowie eine Erkennung von Anomalien oder unberechtigten Zugriffsversuchen. Auch diese Sicherheitselemente profitieren von den Architektur-bedingten Vorteilen von Adaptive Autosar, zum Beispiel durch die parallelisierte Ausführung und somit Beschleunigung komplexer kryptografischer Berechnungen.

Umfangreiche Absicherung von Update-Prozessen

Autosar Adaptive unterstützt sichere OTA-Updates. Elektrobit

Auf Basis der beschriebenen Sicherheitsarchitektur und -konzepte schützt Adaptive Autosar den gesamten Update-Prozess vom Systemstart über den Empfang der OTA-Update-Daten bis hin zur Installation des Updates. Die Integrität der Systemumgebung im Fahrzeug wird durch einen Secure-Boot-Mechanismus sichergestellt. Dieser lädt ausschließlich authentifizierte Softwarekomponenten und führt auch nur solche aus. Die Verifizierung läuft gleichzeitig mit der Software, um Lade- und Startzeiten so kurz wie möglich zu halten. OEM-spezifische Vorgaben werden nahtlos integriert.

Eine End-to-End verschlüsselte Kommunikationsverbindung zwischen Backend und On-board-Komponenten und die verschlüsselte Speicherung der Daten sowohl im Backend als auch im Fahrzeug stellen eine geschützte Übertragung und Speicherung der Update-Daten sicher. Der vom Programmcode der Applikationen unabhängige Bootloader schafft im Fahrzeug eine sichere Umgebung für die Installation des Updates.

Die bereits beschriebenen Schutzmechanismen kommen dabei auch für die Authentifizierung von Update-Paketen und im Rahmen des eigentlichen Einspielens der aktualisierten Software zum Einsatz. Da Adaptive Autosar eine eigenständige Krypto-Bibliothek besitzt, findet die Authentifizierung und Verifikation von Software- und Hardware-Komponenten parallel zum Update-Prozess statt. Gleichzeitig überwacht das Systemmodul Secure Diagnostics die Kommunikation zwischen dem Diagnostic Client und den betroffenen Steuergeräten. Dabei hat der OEM die Auswahl zwischen unterschiedlichen Authentifikationsmethoden wie etwa Seed-and-Key oder Token-basierten Verfahren.

Elektrobit arbeitet zu allen Sicherheitsthemen eng mit dem zu Continental gehörenden Sicherheitssoftware-Experten Argus Cybersecurity zusammen. OEMs profitieren so von den konzeptionellen Vorteilen von Adaptive Autosar und können sich auf ein entsprechend hohes Schutz- und Sicherheitsniveau verlassen.

(av)