T-BOX的(de)全稱為(wèi)Telematics Box®←• ,遠(yuǎn)程/車(chē)載通(tōng)信模塊,是(shì)一(yī)個(gè♦÷≥♦)集成車(chē)身(shēn)網絡和(hé)無線通(tōng)訊功能(néng₽>)的(de)智能(néng)終端設備,T-BOX實現(xiàn)了(≠¥∏le)多(duō)媒體(tǐ)車(chē)機(jī)與TSP以及互聯網之間(jiān)的(de)無線路(lù)由器(qì). 使得(de®)用(yòng)戶有(yǒu)機(jī)會(huì)遠(yuǎn)Ω←$程訪問(wèn)。車(chē)輛(liàng)所配備的(de)各ECU,實現(xiàn)對(duì←γ)車(chē)輛(liàng)的(de)啓停發動機(jī)、開(kāi)關空(k"βōng)調、開(kāi)關天窗(chuāng)、開(k™>σāi)關後備箱門(mén)、開(kāi)關車☆δ(chē)門(mén)、閃燈鳴笛等遠(yuǎn)程控制(zhì•∏☆φ)。并且TBOX設計(jì)有(yǒu) MCU 來(lái)接∏>™®收處理(lǐ)CAN消息,直接訪問(wèn)車(chē)輛(liàng←☆↕)所配備的(de)各ECU。
通$λ≈±(tōng)常的(de)T-Box控制(zhì)器(qì)的(de)結構•∞圖如(rú)下(xià)所示。
▲圖 T-Box控制(zhì)器(qì)爆炸圖
▲圖 T-Box硬件(jiàn)系統•↕框圖
β"那(nà)T-Box有(yǒu)哪些(xiē)功能®¶(néng)呢(ne)?下(xià)面來(lái)詳細說(shuō)一(yī)說(shuō)。δ♦≥
01. 安全策略
系統←γ安全目标是(shì)通(tōng)過符合T↓✔✘λBox應用(yòng)場(chǎng)景的(de)身(shēn)份權限管理(lǐ)和(hé)訪☆σ問(wèn)控制(zhì)機(jī)制(zhì),正≈♣↓确地(dì)響應授權操作(zuò)和(hé)處理(lǐ)異常行(xíng)為(wèi↔€),對(duì)抗針對(duì)系統的(de)溢出攻擊、暴力破解、中$ <β間(jiān)人(rén)攻擊、重放(fàng)、篡改、僞造等多(duō)種安♥" ←全威脅,保證系統文(wén)件(jiàn)和(hé)數(shù)據的(de)可(kě↕ ↑$)用(yòng)性、保密性、完整性和(hé)可 ✘(kě)審計(jì)性,保證對(duì)各類資源的(de)正常訪問(wèn),以λ♦→•及保證系統在惡意攻擊下(xià)仍然能(néng)夠按照(zhào)預期正常運行(x≈§☆íng)。
首先是(sh≤÷ì)安全啓動,MCU支持Secure Boot,該模式啓動後,MCU采用(yòng)硬件(§ jiàn)算(suàn)法确保啓動後的(de∏←λπ)ROM中所保存的(de)程序是(shì)用(yòng)™$•戶所期望的(de),其策略包括在做(zuò)MCU升級包的(→de)時(shí)候,會(huì)生(shēng)成Boot <©÷Key,升級時(shí)将其存放(fàng)到(dào)HSM區(qū)域,MCU升級完成後設置Secure Boot模式生(shēng↕λ)效,啓動時(shí)計(jì)算(suàn)的(de)Boot α•÷Key與HSM中保存的(de)Boot Key比對(duì)。
其次是ππ(shì)應用(yòng)軟件(jiàn)安全,應用(yòn σg)安全目标是(shì)要(yào)保證TBox上(shàng)的(de)運行(xíng)的( •de)服務或應用(yòng)程序具備相(xiàng)應的(de)保密性、完整性的(de)防護措施,✔↑σ可(kě)以對(duì)抗逆向分(fēn)析、反σ©編譯、篡改、非授權訪問(wèn)等各種針對(duì)應用(yòng)的(de)安÷全威脅,并确保應用(yòng)産生(shēng)、使用(yòng)的&£↕β(de)數(shù)據得(de)到(dào)安全的(de)處理(lǐ)以及TBox的(de)應用 "π(yòng)或服務與相(xiàng)關服務器(qì)之間(jiān σ)通(tōng)信的(de)安全性,保證應用(yòng)↔₹₩在提供服務時(shí),以及應用(yòng)在☆π啓動、升級、運行(xíng)等各個(gè)模式下(xià)的(de)安全性。
然後是(shì)數(shù)據↑Ω存儲安全,數(shù)據安全目标是(shì)要(yào)保證TBox¥≤✔所采集、存儲、處理(lǐ)、傳輸的(de)數(shù ←)據的(de)安全性,确保數(shù)據的(de)機(jī₹πσ£)密性、完整性和(hé)可(kě)用(yòng♦σ§∞)性得(de)到(dào)有(yǒu)效的(£π'∞de)防護,同時(shí)具有(yǒu)清除機(jī)制(zhì),保護數(shù)據生(shēΩ ng)命周期各環節的(de)安全性,具體(tǐ)要(yào) ÷♠§求如(rú)下(xià):
1. 使用(yòng)SELinux的(de)權限控制(zhì)保證數(shù)據隻能(nén®"g)被授權應用(yòng)訪問(wèn);
2. 利用(yòng)Openssl和(♦₹hé)TrustZone提供的(de)加密接口對(duì)數(sh↑>ù)據進行(xíng)加密或簽名,保證完整性;
3. 利用(y↑≤òng)TrustZone提供的(de)接口對(duì)機(jī)✘密數(shù)據(Private key ,password…)進™₹↔行(xíng)存儲;
4. MCU側使用♥✘₹(yòng)HSM對(duì)機(jī)密數(shù)據進行(xíng)存儲和(hé)加密。
再次是(shì)通(tōng)信安全,對(duì♥σ♥)內(nèi)通(tōng)信是(shì)指∑∞α←各個(gè)ECU之間(jiān)的(de)通(tōng)信。其安全目标是₩♣(shì)根據應用(yòng)場(chǎng)景在不→≈(bù)同ECU通(tōng)信和(hé)數(shù)據交換時(sh<←↔♠í),保證ECU不(bù)向電(diàn)子(zǐ)電(diàn)氣系統發送僞造、重放(fàng)∞↑等攻擊方式的(de)指令和(hé)數(shù)據,不(bù)非法占用(yòng)內(nèi)部總£"線資源,保證車(chē)內(nèi)子(zǐ)系統和(hé)數(shπ≥₹ù)據的(de)保密性、完整性,以及在收到(dàγγφo)非法指令和(hé)數(shù)據時(shí)具有(yǒu)異常處理(→lǐ)機(jī)制(zhì),保證ECU的(de¥₩)功能(néng)正常,具體(tǐ)要(yào)求如(rú)下(xià):TBox對(duìπ✘)以太網連接提供防火(huǒ)牆機(jī)制(zhì),實♥<₩☆現(xiàn)對(duì)報(bào)文(wén)的(de)安全過濾;TB $ox對(duì)CANFD連接提供白(bái)名單機(¶☆≈©jī)制(zhì),實現(xiàn)對(duì←)CANFD信号的(de)安全過濾。
對(duì)外(wài)的(de)話(huà)通♠λ♠(tōng)信安全包括TBox與蜂窩網絡的(de)通(tōng)信,®♣₹&與移動終端間(jiān)的(de)短(duǎn)距離(lí)通(tōng)信(如♥☆∞¥(rú):BT等),以及與其它車(chē)輛(liàng)和(hé)路(lù)側設施¶≈←等的(de)通(tōng)信。對(duì)外(wài)£× →通(tōng)信安全的(de)目标是(shì)根據應用∞×(yòng)場(chǎng)景在TBox與外(wài)部網絡或設備建立÷≈通(tōng)信連接時(shí)或在通(t÷₽ōng)信以及數(shù)據交換時(shí),采取必要(yào)的(de)認證、加密☆和(hé)完整性校(xiào)驗手段,對(duì)抗嗅 ♠探、中間(jiān)人(rén)攻擊、重放(fàng)等多(duō)種針對ε∑•(duì)通(tōng)信的(de)安全威脅, §§保證數(shù)據的(de)保密性、完整性以及通(tōng)信的 φ(de)質量,具體(tǐ)要(yào)求如(rú)下(xià):1. ∞§✘≤; TBox對(duì)移動網絡連接提供防火(huǒ™♦)牆機(jī)制(zhì),實現(xiàn)對(duì)報(bà$$≥o)文(wén)的(de)安全過濾;2. &n<bsp; PU與OTA Server,TSP Server之間(jiān♥₩)數(shù)據通(tōng)信前實施基TLS1.2的(de)雙向認證。
02. 遠(yuǎn)程控制(zhì)
1. 遠(yuǎn)程控制(zhì)車(chē)窗(ch≤uāng)
用(©£±¶yòng)戶通(tōng)過手機(jī) βAPP遠(yuǎn)程控制(zhì)車(φ←chē)窗(chuāng),TBox接收®¶到(dào)遠(yuǎn)程控制(zhì)車(chē)窗(chuāng)的(de)命令後,δ 如(rú)果整車(chē)總線處于休眠狀态,則先喚醒整車→$(chē)網絡,否則直接同時(shí)發送鑒權認證和(hé✘'α )控制(zhì)車(chē)窗(chuāng)控制(zhì)指令,并将執行(xíng)結φφ果以及失敗原因反饋到(dào)TSP。
該功能(néng)進入的(de)前提條件α'↔↑(jiàn)為(wèi)車(chē)輛(liàng)速度≈β≤2km/h且車(chē)輛(liàng)擋位•×處于P擋位。在該條件(jiàn)下(xià),當T-bo€™™x狀态機(jī)為(wèi)running或€♦€者listen,收到(dào)喚醒指令且收到(dào)遠(yuǎn)程控制(zhì)車( ↑εchē)窗(chuāng)指令,則T-box會(huì)将車(ch€₩ē)窗(chuāng)控制(zhì)指令發送給車(chē ')身(shēn)控制(zhì)器(qì),車(chē)身(shēn)控制(∏$zhì)器(qì)則執行(xíng)車(chē)窗(chuāng)控制(zhì)指令。
整體(tǐ)的(de)流程圖如(∏✘♠rú)下(xià)所示。
▲圖 遠(yuǎn)程車(chē)窗(chuāng)控制(zhì)流
2. 遠(yuǎn)程控制(zλ$≥βhì)門(mén)鎖
用(yòng)戶通(tōng)過手機(jī)AP"✔≤ P遠(yuǎn)程控制(zhì)車(chē)門(mén)♥맙鎖,TBox接收到(dào)遠(yuǎn)程控制(zh≥™ì)門(mén)鎖的(de)命令後,如(rú)果整車(chē)總線處≤₩于休眠狀态,則先喚醒整車(chē)網絡,否則直接同時(shí)發送鑒權認證>♥和(hé)上(shàng)鎖/解鎖控制(zhì)指令,并将執行(xíng)結果以及∑β÷失敗原因反饋到(dào)TSP。
該±± ✘功能(néng)進入的(de)前提條件(jiàn)為(wèi)車(chē)輛(liàng)速度≤λ∏$π2km/h且車(chē)輛(liàng)擋位處于P擋位。在該條件(jiàn)®π下(xià),當T-box狀态機(jī)為(wè•∑i)running或者listen,收到(dào)喚$•醒指令且收到(dào)遠(yuǎn)程控制(zhì)門(mén)鎖指令,則T©¶§-box會(huì)将車(chē)窗(chuāng)控制(zhì)指令發送給車(÷±αchē)身(shēn)控制(zhì)器(qì),車(chē)身π&↑ (shēn)控制(zhì)器(qì)則執行(xíng)門(mén)鎖控制(zhì)指令☆©。
整體(tǐ)的(de)流程圖如(rúΩ✘ ©)下(xià)所示。
▲圖 遠(yuǎn)程門(mén)鎖控制(zhì)流
除了(le)車(chē)窗(chuāng)↑和(hé)門(mén)鎖控制(zhì),還(hái)有∞↓☆δ(yǒu)其他(tā)類似的(de)遠(yuǎn)程控制(₩βzhì)功能(néng),比如(rú)遠(yu×∞₹ǎn)程充電(diàn)控制(zhì)、遠(yuǎn)程車(chē)© ₹♣門(mén)控制(zhì)、遠(yuǎn)程尋車(chē)、遠(yuǎn)程空(k★ōng)調控制(zhì)、遠(yuǎn)程控制(zhì)淨化(huà)器(∑¶qì)、遠(yuǎn)程座椅加熱(rè)控制(zhì)等等。
03. 遠(yuǎn)程車(chē)輛(liàng)監控
1 車(c ↓&hē)輛(liàng)狀态上(shàng)報(bào)
當車(chē)輛(lià≥§λng)被非法入侵BDCM發出非法入侵報(bào)警後,TBox采集車(chē)身(shēn)♦≤ε狀态信息和(hé)報(bào)警标志(zhì)上(shàng)傳到(dào)TSP,TSP同步給✔✘↔APP報(bào)警信息,并通(tōng)知(zhī)車(chē)主。δ¥
當車(chē)輛(liàng)被異常移動,<∑"≤如(rú)碰撞、拖車(chē)、溜車(chē)等,觸發TBox的(de)G-sensor阈值,TBox将車(chē)身(shēn)數(shù)據和(hé)報(bào)警标志(zhì☆≤•©)上(shàng)傳給TSP,TSP将報(bào)警信息同步給APP☆<并通(tōng)知(zhī)客戶。
該功能(néng)觸<β↑α發的(de)前提條件(jiàn)為(wèi)車(chē)輛(liàng)處于鎖車(chē)狀♣★↔←态;車(chē)輛(liàng)擋位為(wèi)P擋; 觸發G-sens♥©or阈值喚醒T-Box;GNSS位置相(xφ÷≈iàng)較于listen/sleep前位置移動≥600m。
功能(néng)的(de)流程♣¶¥≤圖如(rú)下(xià)所示。
▲圖 車(chē)輛(liàng)狀态上(shàng)報(bào)流
2 車(chē)輛(liàng)信息周期→↕<π上(shàng)報(bào)
TBox采集車(ch$ē)輛(liàng)狀态、位置等相(xiàng)關信息,周期$ '性的(de)上(shàng)報(bào)到(dào) ♦£•TSP。該功能(néng)在整車(chē)上(shàng)高(gāo)壓正•÷γ↕常,且T-box處于功能(néng)正常狀态。
▲圖 車(chē)輛(liàng)信息周期上(shàng) 報(bào)流
"÷Ω 3 緊急求救功能(néng)eCall
eCall有(yǒu)兩種發起 ¥的(de)方式,一(yī)種是(shì)主動發起γ'™≥的(de)方式,這(zhè)種方式是(shì)由車(chē)上(shàng"≥®γ)的(de)人(rén)員(yuán)主動觸發車(chē)上(shàn"≈Ωg)的(de)eCall按鈕發起的(de);另外(wài)一(yī)種方式是(sh짶)被動發起。由于交通(tōng)事(shì)故碰撞 ☆等原因導緻車(chē)上(shàng)的(de)安全氣囊彈出,TBox收到(dào)報(bào™ →±)文(wén)後,自(zì)動撥打eCall電(diàn)話(huà)。
車(chē)輛(liàng)被碰撞之後或者手動按'♠下(xià)SOS按鍵時(shí),TBox采集車(chē)輛(l↕∞÷iàng)位置信息和(hé)車(chē)輛(lià✘'λng)信息上(shàng)傳至TSP,而後自(zì)動撥打救援中心電(¥$σdiàn)話(huà)建立通(tōng)話•♥(huà),并把通(tōng)話(huà)過程顯示在Cπ ←ID。
功能(néng)的(de)執行(x★↕>↔íng)流程如(rú)下(xià)所示。
a. eCall系統會(huì)在汽車(chē)啓動後啓₩€₽動,并完成所有(yǒu)初始化(huà);
b. 手動或被動觸發eCall後,LTE"€ §中的(de)modem上(shàng)的(de)所有(yǒu)其ε✔他(tā)通(tōng)訊暫停,并且Mic和(hé)Spk都(dōu)将切換到(dào→↔¥)eCall服務,将其他(tā)音(yīn)源mute;
c. 車(chē)上( '↕shàng)的(de)eCall系統基本同時(shí)和(hé)急救系統建立數(shù)據× 與語音(yīn)通(tōng)訊鏈路(l₽ù);
d. 當急救中心後台收到(dào)eCall請(qǐ↓≠÷ng)求, eCall系統會(huì)首先上(shàng)傳MSD數(shù)據;
e. 當←"MSD數(shù)據從(cóng)傳輸成功後,接通φ♦®(tōng)車(chē)輛(liàng)與急救中心的(de&✘•)語音(yīn)鏈接,車(chē)上(shàng™€✘Ω)人(rén)員(yuán)與急救中心後台人(rén)員(yuán)通(tōng®•<)話(huà);
f. 急救中心後台自(zì)動解析MSD數(shù)♥α§據,并根據MSD數(shù)據內(nèi)容及時(↑ >shí)調度最近(jìn)的(de)救援;
g. 當急救中心後台發現(xiàn)數(shù)據有<$(yǒu)誤時(shí),可(kě)重複請(qǐng)求MS←®£ D數(shù)據直到(dào)數(shù)據正确為(wèi)止;
▲圖 緊急呼叫流
04. OTA功能(néng)
Tbox支持軟件(jiàn)在₽>線升級功能(néng),負責自(zì)己Ω<σ和(hé)域內(nèi)其它ETH節點的(de)升級。在Tbox軟件(jiàπ≤n)中會(huì)部署第三方提供的(de)升級管理(lǐ)模塊,負責升級β♥±γ包下(xià)載、備份、還(hái)原、升級狀态管控、從(cóng)節點升級包傳輸,同時 ∏(shí)還(hái)部署程序安裝模塊,負責Tbox自(zì)身(shēn)固件(jiàn)和α¥σ☆(hé)軟件(jiàn)的(de)刷寫。
OTA升級方式主要(yào)有''™(yǒu)以下(xià)三種:
主動∞•≤升級:由車(chē)主在HU大(dà)屏上(shàng)點擊設φ↕置,進入版本查詢與升級,主動發起版本查詢、下(xià)載、升級事(shì)宜,并₹✘Ω且相(xiàng)應步驟都(dōu)應給用(yòng)戶充分(fēn)都(dōu)提示✘φ™和(hé)确認,多(duō)用(yòng)于用(yò≈ ✘ ng)戶在取消推送升級後進行(xíng)手動發起OTA升級。
推送升級:由OTA升級服務器(qì)後台推送版本升級,車(chē)主在HUσ©✔大(dà)屏貨手機(jī)APP上(shàng)上(shàng)點擊确認↔©,下(xià)載、升級由後台OTA升級程序自(zì)動完成,過程中給用(yòng)戶一←♥&(yī)次性授權提示和(hé)操作(zuò),多(duō)用(yòng)于重大≥≈α(dà)功能(néng)更新叠代,提高(gāo)OTA升級覆蓋率。
靜(j λ♥↕ìng)默升級:主要(yào)用(yòng)來(lái)強制(zhì)性修複重大(dà)bu→'g,上(shàng)電(diàn)滿足版本查詢和(hé)下(xià)載條件₩ (jiàn)後Tbox就(jiù)運行(xíng)OTA功能(néng),進行(xíng)查≤¥詢和(hé)下(xià)載,下(xià)載完成後等待升級條件(jiàn)滿足,條φ≤件(jiàn)滿足後進行(xíng)強制(zhì)性升級,升級時(shí)間(jiān)段多(d≥ ★uō)選擇在半夜12點後。
OTA都(dōu)升級軟件(jiàn)包有(yβ<±ǒu)以下(xià)兩種:
差分(fēn)升級包:差分(fēn)$✘φ升級包是(shì)指在當前版本之上(shàng)有(yǒu)新版本可(k<§φαě)升級,且版本跨度不(bù)大(dà),更改內(nèi)容比較小(xεε"iǎo),制(zhì)作(zuò)差分(<↕fēn)升級包來(lái)供設備升級,從(cóng)而達到 (dào)節省升級時(shí)間(jiān)、提高(gāo)升級效γπ 率、節約流量、內(nèi)存占用(yòng)小(xiǎo≥↑©)的(de)目的(de)。
全量升級包:全量→≈升級包則是(shì)一(yī)個(gè)完整的(σ£de)升級包,适用(yòng)于版本跨度大(d&↓§©à),更改內(nèi)容較多(duō),升級重要(yào)內(nèi)容的(de)版∑♦本,優點是(shì)安全、穩定,缺點是(shì)軟件(jiàn)包大(dà),下(x£©×ià)載時(shí)間(jiān)長(cháng),升級時(s ε✔÷hí)長(cháng)。
其中主動升級的(de)流程為(wèi)例,其流程如 ×>(rú)下(xià)。
查詢、下(xià)載
1、車(chē)主點擊中控大(dà)屏中的(de)設置選項,進入查詢版本功能(néng);
2、T±λ←-box收到(dào)IDCM發出都(dōu)版本查詢指令,搜集車(chē)輛(l♠λ∞iàng)ECU都(dōu)版本信息;
3&☆、T-box将搜集到(dào)都(dōu)ECU版¥☆本信息上(shàng)報(bào)給OTA↔↔™升級服務器(qì);
4、OTA升級服務器(qì)收到(dào)版本信息後,β♠♠進行(xíng)版本比對(duì),如(rú)≈×有(yǒu)新版本則發送版本信息和(hé)下(x&← ≠ià)載地(dì)址到(dào)T-box,否則回複無新↔↑♦₩版本可(kě)更新;
5、T-box判斷上(s ≤hàng)次軟件(jiàn)下(xià)載是(shì)否完成,如(rú)×₽≠果完成則等待授權條件(jiàn)滿足後,Tbox發送升級授權請(qǐng)求到(d→↔ào)授權模塊,否則繼續上(shàng)次未&Ω±↕完成的(de)下(xià)載流程(授權條件(jiàn):車(chē)速低(Ω ¶≤dī)于10km/h);
6、授權模塊發送授權結果∑♦>§給T-box,T-box将授權結果上(shàng)傳到(dào)OTA升級服務器(qì ∏α₽);
7、T-box通(tōng)過<↔OTA升級服務器(qì)下(xià)發的♥≥₩≤(de)地(dì)址下(xià)載升級包;
8、T-box上(shàng)報(bào)下(πxià)載升級包結果(如(rú)果下(xià)載失敗,☆'&本次升級結束);
9、T-Ω≠↓¶box校(xiào)驗升級包的(de)合法性以及完整性;
10、T-box上(shàng)報(bà ×✘o)并在相(xiàng)關顯示模塊上(shànγ• g)顯示升級包的(de)合法校(xiào)驗結果(如(rú)果校(→> xiào)驗失敗,則本次升級結束);
升級
1、用(yòng)戶在中控大(dà)屏上(shàng)點擊開(kāi)始升級;
2、Tbox收到(d↑₽§ào)指令後開(kāi)始執行(xíng)升級任務;
3、T ¥box升級結束,T-box将升級結果發送給IDCM,并重啓;
&n≤€→£bsp;4、Tbox上(shàng)報(bào)升級結果到≈(dào)OTA升級服務器(qì);
5、OTA升級服務器(qì)÷λ™同步升級結果到(dào)手機(jī)APP。
轉自(zì)汽車(chē)ECU開(kāi)發
