T-BOX的全稱為Telematics Box ，遠(yuǎn)程/車載通信模塊，是一個(gè)集成車身網(wǎng)絡(luò)和無(wú)線通訊功能的智能終端設(shè)備，T-BOX實(shí)現(xiàn)了多媒體車機(jī)與TSP以及互聯(lián)網(wǎng)之間的無(wú)線路由器. 使得用戶有機(jī)會(huì)遠(yuǎn)程訪問。車輛所配備的各ECU，實(shí)現(xiàn)對(duì)車輛的啟停發(fā)動(dòng)機(jī)、開關(guān)空調(diào)、開關(guān)天窗、開關(guān)后備箱門、開關(guān)車門、閃燈鳴笛等遠(yuǎn)程控制。并且TBOX設(shè)計(jì)有 MCU 來(lái)接收處理CAN消息,直接訪問車輛所配備的各ECU。

      通常的T-Box控制器的結(jié)構(gòu)圖如下所示。

▲圖 T-Box控制器爆炸圖

▲圖 T-Box硬件系統(tǒng)框圖

      那T-Box有哪些功能呢？下面來(lái)詳細(xì)說(shuō)一說(shuō)。

01. 安全策略

      系統(tǒng)安全目標(biāo)是通過(guò)符合TBox應(yīng)用場(chǎng)景的身份權(quán)限管理和訪問控制機(jī)制，正確地響應(yīng)授權(quán)操作和處理異常行為，對(duì)抗針對(duì)系統(tǒng)的溢出攻擊、暴力破解、中間人攻擊、重放、篡改、偽造等多種安全威脅，保證系統(tǒng)文件和數(shù)據(jù)的可用性、保密性、完整性和可審計(jì)性，保證對(duì)各類資源的正常訪問，以及保證系統(tǒng)在惡意攻擊下仍然能夠按照預(yù)期正常運(yùn)行。

      首先是安全啟動(dòng)，MCU支持Secure Boot，該模式啟動(dòng)后，MCU采用硬件算法確保啟動(dòng)后的ROM中所保存的程序是用戶所期望的，其策略包括在做MCU升級(jí)包的時(shí)候，會(huì)生成Boot Key，升級(jí)時(shí)將其存放到HSM區(qū)域，MCU升級(jí)完成后設(shè)置Secure Boot模式生效，啟動(dòng)時(shí)計(jì)算的Boot Key與HSM中保存的Boot Key比對(duì)。

      其次是應(yīng)用軟件安全，應(yīng)用安全目標(biāo)是要保證TBox上的運(yùn)行的服務(wù)或應(yīng)用程序具備相應(yīng)的保密性、完整性的防護(hù)措施，可以對(duì)抗逆向分析、反編譯、篡改、非授權(quán)訪問等各種針對(duì)應(yīng)用的安全威脅，并確保應(yīng)用產(chǎn)生、使用的數(shù)據(jù)得到安全的處理以及TBox的應(yīng)用或服務(wù)與相關(guān)服務(wù)器之間通信的安全性，保證應(yīng)用在提供服務(wù)時(shí)，以及應(yīng)用在啟動(dòng)、升級(jí)、運(yùn)行等各個(gè)模式下的安全性。

      然后是數(shù)據(jù)存儲(chǔ)安全，數(shù)據(jù)安全目標(biāo)是要保證TBox所采集、存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)的安全性，確保數(shù)據(jù)的機(jī)密性、完整性和可用性得到有效的防護(hù)，同時(shí)具有清除機(jī)制，保護(hù)數(shù)據(jù)生命周期各環(huán)節(jié)的安全性，具體要求如下：

      1. 使用SELinux的權(quán)限控制保證數(shù)據(jù)只能被授權(quán)應(yīng)用訪問；

      2. 利用Openssl和TrustZone提供的加密接口對(duì)數(shù)據(jù)進(jìn)行加密或簽名，保證完整性；

      3. 利用TrustZone提供的接口對(duì)機(jī)密數(shù)據(jù)(Private key ,password…)進(jìn)行存儲(chǔ)；

      4. MCU側(cè)使用HSM對(duì)機(jī)密數(shù)據(jù)進(jìn)行存儲(chǔ)和加密。

      再次是通信安全，對(duì)內(nèi)通信是指各個(gè)ECU之間的通信。其安全目標(biāo)是根據(jù)應(yīng)用場(chǎng)景在不同ECU通信和數(shù)據(jù)交換時(shí)，保證ECU不向電子電氣系統(tǒng)發(fā)送偽造、重放等攻擊方式的指令和數(shù)據(jù)，不非法占用內(nèi)部總線資源，保證車內(nèi)子系統(tǒng)和數(shù)據(jù)的保密性、完整性，以及在收到非法指令和數(shù)據(jù)時(shí)具有異常處理機(jī)制，保證ECU的功能正常，具體要求如下：TBox對(duì)以太網(wǎng)連接提供防火墻機(jī)制，實(shí)現(xiàn)對(duì)報(bào)文的安全過(guò)濾；TBox對(duì)CANFD連接提供白名單機(jī)制，實(shí)現(xiàn)對(duì)CANFD信號(hào)的安全過(guò)濾。

      對(duì)外的話通信安全包括TBox與蜂窩網(wǎng)絡(luò)的通信，與移動(dòng)終端間的短距離通信（如：BT等），以及與其它車輛和路側(cè)設(shè)施等的通信。對(duì)外通信安全的目標(biāo)是根據(jù)應(yīng)用場(chǎng)景在TBox與外部網(wǎng)絡(luò)或設(shè)備建立通信連接時(shí)或在通信以及數(shù)據(jù)交換時(shí)，采取必要的認(rèn)證、加密和完整性校驗(yàn)手段，對(duì)抗嗅探、中間人攻擊、重放等多種針對(duì)通信的安全威脅，保證數(shù)據(jù)的保密性、完整性以及通信的質(zhì)量，具體要求如下：1.    TBox對(duì)移動(dòng)網(wǎng)絡(luò)連接提供防火墻機(jī)制，實(shí)現(xiàn)對(duì)報(bào)文的安全過(guò)濾；2.    PU與OTA Server，TSP Server之間數(shù)據(jù)通信前實(shí)施基TLS1.2的雙向認(rèn)證。

02. 遠(yuǎn)程控制

      1. 遠(yuǎn)程控制車窗

      用戶通過(guò)手機(jī)APP遠(yuǎn)程控制車窗，TBox接收到遠(yuǎn)程控制車窗的命令后，如果整車總線處于休眠狀態(tài)，則先喚醒整車網(wǎng)絡(luò)，否則直接同時(shí)發(fā)送鑒權(quán)認(rèn)證和控制車窗控制指令，并將執(zhí)行結(jié)果以及失敗原因反饋到TSP。

      該功能進(jìn)入的前提條件為車輛速度≤2km/h且車輛擋位處于P擋位。在該條件下，當(dāng)T-box狀態(tài)機(jī)為running或者listen，收到喚醒指令且收到遠(yuǎn)程控制車窗指令，則T-box會(huì)將車窗控制指令發(fā)送給車身控制器，車身控制器則執(zhí)行車窗控制指令。

      整體的流程圖如下所示。

▲圖 遠(yuǎn)程車窗控制流

      2. 遠(yuǎn)程控制門鎖

      用戶通過(guò)手機(jī)APP遠(yuǎn)程控制車門鎖，TBox接收到遠(yuǎn)程控制門鎖的命令后，如果整車總線處于休眠狀態(tài)，則先喚醒整車網(wǎng)絡(luò)，否則直接同時(shí)發(fā)送鑒權(quán)認(rèn)證和上鎖/解鎖控制指令，并將執(zhí)行結(jié)果以及失敗原因反饋到TSP。

      該功能進(jìn)入的前提條件為車輛速度≤2km/h且車輛擋位處于P擋位。在該條件下，當(dāng)T-box狀態(tài)機(jī)為running或者listen，收到喚醒指令且收到遠(yuǎn)程控制門鎖指令，則T-box會(huì)將車窗控制指令發(fā)送給車身控制器，車身控制器則執(zhí)行門鎖控制指令。

      整體的流程圖如下所示。

▲圖 遠(yuǎn)程門鎖控制流

      除了車窗和門鎖控制，還有其他類似的遠(yuǎn)程控制功能，比如遠(yuǎn)程充電控制、遠(yuǎn)程車門控制、遠(yuǎn)程尋車、遠(yuǎn)程空調(diào)控制、遠(yuǎn)程控制凈化器、遠(yuǎn)程座椅加熱控制等等。

03. 遠(yuǎn)程車輛監(jiān)控

      1 車輛狀態(tài)上報(bào)

      當(dāng)車輛被非法入侵BDCM發(fā)出非法入侵報(bào)警后，TBox采集車身狀態(tài)信息和報(bào)警標(biāo)志上傳到TSP，TSP同步給APP報(bào)警信息，并通知車主。

      當(dāng)車輛被異常移動(dòng)，如碰撞、拖車、溜車等，觸發(fā)TBox的G-sensor閾值，TBox將車身數(shù)據(jù)和報(bào)警標(biāo)志上傳給TSP，TSP將報(bào)警信息同步給APP并通知客戶。

      該功能觸發(fā)的前提條件為車輛處于鎖車狀態(tài)；車輛擋位為P擋； 觸發(fā)G-sensor閾值喚醒T-Box；GNSS位置相較于listen/sleep前位置移動(dòng)≥600m。

      功能的流程圖如下所示。

▲圖 車輛狀態(tài)上報(bào)流

      2 車輛信息周期上報(bào)

      TBox采集車輛狀態(tài)、位置等相關(guān)信息，周期性的上報(bào)到TSP。該功能在整車上高壓正常，且T-box處于功能正常狀態(tài)。

▲圖 車輛信息周期上報(bào)流

      3 緊急求救功能eCall

      eCall有兩種發(fā)起的方式，一種是主動(dòng)發(fā)起的方式，這種方式是由車上的人員主動(dòng)觸發(fā)車上的eCall按鈕發(fā)起的；另外一種方式是被動(dòng)發(fā)起。由于交通事故碰撞等原因?qū)е萝嚿系陌踩珰饽覐棾?，TBox收到報(bào)文后，自動(dòng)撥打eCall電話。

      車輛被碰撞之后或者手動(dòng)按下SOS按鍵時(shí)，TBox采集車輛位置信息和車輛信息上傳至TSP，而后自動(dòng)撥打救援中心電話建立通話，并把通話過(guò)程顯示在CID。

      功能的執(zhí)行流程如下所示。

      a. eCall系統(tǒng)會(huì)在汽車啟動(dòng)后啟動(dòng)，并完成所有初始化；

      b. 手動(dòng)或被動(dòng)觸發(fā)eCall后，LTE中的modem上的所有其他通訊暫停，并且Mic和Spk都將切換到eCall服務(wù)，將其他音源mute；

      c. 車上的eCall系統(tǒng)基本同時(shí)和急救系統(tǒng)建立數(shù)據(jù)與語(yǔ)音通訊鏈路；

      d. 當(dāng)急救中心后臺(tái)收到eCall請(qǐng)求， eCall系統(tǒng)會(huì)首先上傳MSD數(shù)據(jù)；

      e. 當(dāng)MSD數(shù)據(jù)從傳輸成功后，接通車輛與急救中心的語(yǔ)音鏈接，車上人員與急救中心后臺(tái)人員通話；

      f. 急救中心后臺(tái)自動(dòng)解析MSD數(shù)據(jù)，并根據(jù)MSD數(shù)據(jù)內(nèi)容及時(shí)調(diào)度最近的救援；

      g. 當(dāng)急救中心后臺(tái)發(fā)現(xiàn)數(shù)據(jù)有誤時(shí)，可重復(fù)請(qǐng)求MSD數(shù)據(jù)直到數(shù)據(jù)正確為止；

▲圖 緊急呼叫流

04. OTA功能

      Tbox支持軟件在線升級(jí)功能，負(fù)責(zé)自己和域內(nèi)其它ETH節(jié)點(diǎn)的升級(jí)。在Tbox軟件中會(huì)部署第三方提供的升級(jí)管理模塊，負(fù)責(zé)升級(jí)包下載、備份、還原、升級(jí)狀態(tài)管控、從節(jié)點(diǎn)升級(jí)包傳輸，同時(shí)還部署程序安裝模塊，負(fù)責(zé)Tbox自身固件和軟件的刷寫。

      OTA升級(jí)方式主要有以下三種：

      主動(dòng)升級(jí)：由車主在HU大屏上點(diǎn)擊設(shè)置，進(jìn)入版本查詢與升級(jí)，主動(dòng)發(fā)起版本查詢、下載、升級(jí)事宜，并且相應(yīng)步驟都應(yīng)給用戶充分都提示和確認(rèn)，多用于用戶在取消推送升級(jí)后進(jìn)行手動(dòng)發(fā)起OTA升級(jí)。

      推送升級(jí)：由OTA升級(jí)服務(wù)器后臺(tái)推送版本升級(jí)，車主在HU大屏貨手機(jī)APP上上點(diǎn)擊確認(rèn)，下載、升級(jí)由后臺(tái)OTA升級(jí)程序自動(dòng)完成，過(guò)程中給用戶一次性授權(quán)提示和操作，多用于重大功能更新迭代，提高OTA升級(jí)覆蓋率。

      靜默升級(jí)：主要用來(lái)強(qiáng)制性修復(fù)重大bug，上電滿足版本查詢和下載條件后Tbox就運(yùn)行OTA功能，進(jìn)行查詢和下載，下載完成后等待升級(jí)條件滿足，條件滿足后進(jìn)行強(qiáng)制性升級(jí)，升級(jí)時(shí)間段多選擇在半夜12點(diǎn)后。

      OTA都升級(jí)軟件包有以下兩種：

      差分升級(jí)包：差分升級(jí)包是指在當(dāng)前版本之上有新版本可升級(jí)，且版本跨度不大，更改內(nèi)容比較小，制作差分升級(jí)包來(lái)供設(shè)備升級(jí)，從而達(dá)到節(jié)省升級(jí)時(shí)間、提高升級(jí)效率、節(jié)約流量、內(nèi)存占用小的目的。

      全量升級(jí)包：全量升級(jí)包則是一個(gè)完整的升級(jí)包，適用于版本跨度大，更改內(nèi)容較多，升級(jí)重要內(nèi)容的版本，優(yōu)點(diǎn)是安全、穩(wěn)定，缺點(diǎn)是軟件包大，下載時(shí)間長(zhǎng)，升級(jí)時(shí)長(zhǎng)。

      其中主動(dòng)升級(jí)的流程為例，其流程如下。

      查詢、下載

       1、車主點(diǎn)擊中控大屏中的設(shè)置選項(xiàng)，進(jìn)入查詢版本功能；

      2、T-box收到IDCM發(fā)出都版本查詢指令，搜集車輛ECU都版本信息；

      3、T-box將搜集到都ECU版本信息上報(bào)給OTA升級(jí)服務(wù)器；

      4、OTA升級(jí)服務(wù)器收到版本信息后，進(jìn)行版本比對(duì)，如有新版本則發(fā)送版本信息和下載地址到T-box，否則回復(fù)無(wú)新版本可更新；

      5、T-box判斷上次軟件下載是否完成，如果完成則等待授權(quán)條件滿足后，Tbox發(fā)送升級(jí)授權(quán)請(qǐng)求到授權(quán)模塊，否則繼續(xù)上次未完成的下載流程（授權(quán)條件：車速低于10km/h）；

      6、授權(quán)模塊發(fā)送授權(quán)結(jié)果給T-box，T-box將授權(quán)結(jié)果上傳到OTA升級(jí)服務(wù)器；

      7、T-box通過(guò)OTA升級(jí)服務(wù)器下發(fā)的地址下載升級(jí)包；

      8、T-box上報(bào)下載升級(jí)包結(jié)果（如果下載失敗，本次升級(jí)結(jié)束）；

      9、T-box校驗(yàn)升級(jí)包的合法性以及完整性；

      10、T-box上報(bào)并在相關(guān)顯示模塊上顯示升級(jí)包的合法校驗(yàn)結(jié)果（如果校驗(yàn)失敗，則本次升級(jí)結(jié)束）；

      升級(jí)

         1、用戶在中控大屏上點(diǎn)擊開始升級(jí)；

       2、Tbox收到指令后開始執(zhí)行升級(jí)任務(wù)；

       3、Tbox升級(jí)結(jié)束，T-box將升級(jí)結(jié)果發(fā)送給IDCM，并重啟；

       4、Tbox上報(bào)升級(jí)結(jié)果到OTA升級(jí)服務(wù)器；

       5、OTA升級(jí)服務(wù)器同步升級(jí)結(jié)果到手機(jī)APP。

轉(zhuǎn)自汽車ECU開發(fā)