汽車的控制系統(tǒng)是由ECU(Electronic Control Unit���,電子控制單元)組成的,通俗來講就是許多嵌入式系統(tǒng)的集合。有別于傳統(tǒng)電腦、服務(wù)器,嵌入式系統(tǒng)往往以單片機、ARM芯片搭建成硬件平臺�����,只具備基本的計算能力���、很小的儲存空間�,并且數(shù)據(jù)傳輸?shù)膸捯灿邢?����,傳統(tǒng)網(wǎng)絡(luò)信息的安全方法應(yīng)用在嵌入式系統(tǒng)上的嘗試變得困難��?����;ヂ?lián)網(wǎng)汽車在傳統(tǒng)汽車上添加了許多互聯(lián)網(wǎng)控制單元,汽車?yán)锎罅康淖涌刂葡到y(tǒng)相互聯(lián)系作用,并通過物理接口以及無線通信與外界進行聯(lián)系。理論上�����,所有的聯(lián)網(wǎng)或者帶有接口的系統(tǒng)與設(shè)備都存在被入侵的風(fēng)險,使車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離�����、硬件加密以及OTA(Over The Air,空中)升級是應(yīng)對互聯(lián)網(wǎng)汽車系統(tǒng)安全挑戰(zhàn)的有效方法。
互聯(lián)網(wǎng)汽車——互聯(lián)網(wǎng)以及人工智能時代的“二胎”
互聯(lián)網(wǎng)和人工智能技術(shù)的誕生引領(lǐng)人類跨入了嶄新的紀(jì)元���,并衍生了諸多具有時代影響力的科技產(chǎn)品��。如果說作為“天之驕子”的智能手機還不足以使新時代的輪廓與史上諸次科技革命等同并列,那么已經(jīng)處在輿論視線之內(nèi)的寶貝“二胎”——互聯(lián)網(wǎng)汽車�����,這個安在輪子上的人工智能系統(tǒng)���,則完全可堪視為具有劃時代意義的杰作,點亮了人類科技航海之路上的又一座燈塔�。
什么是互聯(lián)網(wǎng)汽車?小鵬汽車對互聯(lián)網(wǎng)汽車的理解是:以汽車團隊為主����,互聯(lián)網(wǎng)的思維和技術(shù)重新定義汽車模式——即加入互聯(lián)網(wǎng)的導(dǎo)師和互聯(lián)網(wǎng)團隊人才��,一起嘗試以新的方式來做一輛安全可靠的互聯(lián)網(wǎng)汽車�����。
“安全可靠的互聯(lián)網(wǎng)汽車”這一目標(biāo)表明了產(chǎn)品的要求——汽車融入互聯(lián)網(wǎng)元素�,但必須安全可靠!安全可靠既包括傳統(tǒng)意義上的行車安全����,又涵蓋了融入互聯(lián)網(wǎng)元素之后汽車的控制系統(tǒng)的安全。然而在現(xiàn)階段����,合理解決互聯(lián)網(wǎng)汽車的系統(tǒng)安全問題尚且任重道遠���,值得我們重視和探討。
嬌貴的“二胎”—— 互聯(lián)網(wǎng)汽車的系統(tǒng)安全隱患
互聯(lián)網(wǎng)汽車往往有具備聯(lián)網(wǎng)功能中控大屏���,并通過大屏來實現(xiàn)集成了許多功能按鈕的控制系統(tǒng)��,Hacker如果利用用戶從云端下載APP��、數(shù)據(jù)����,或是智能手機連接車載系統(tǒng)時的漏洞入侵了車輛控制系統(tǒng)��,哪怕是獲得了控制車窗突然開啟或是車內(nèi)氛圍燈突然點亮的權(quán)利��,都會干擾駕駛員使其無法專注駕駛���,從而產(chǎn)生安全隱患�。所以汽車中的控制系統(tǒng)安全毫無疑問是一項重大挑戰(zhàn)��,而互聯(lián)網(wǎng)汽車的系統(tǒng)安全形勢則更加嚴(yán)峻����。
互聯(lián)網(wǎng)汽車中常見的用例以及被入侵的情景介紹
實際上���,雖然如今的車聯(lián)網(wǎng)的發(fā)展還處于初級階段,但也已經(jīng)有不少車載系統(tǒng)遭受入侵甚至導(dǎo)致嚴(yán)重后果的例子����。一項最新研究結(jié)果表明,美國特斯拉電動車產(chǎn)品存在安全漏洞�����,犯罪分子通過黑客手段破解一個六位密碼���,即可對車輛進行定位和解鎖�����,即使車輛不會因此被盜,但可能存在泄漏隱私等后果��。飛思卡爾半導(dǎo)體技術(shù)員Richard Soja表示:“遠程無線入侵將變成車載系統(tǒng)最主要的威脅����。有許多方法能夠?qū)?shù)據(jù)保存于某一特定芯片上��?���!绷硗?��,汽車信息安全行業(yè)人士指出��,隨著V2V/V2I(車對車/車對基礎(chǔ)設(shè)施)通信技術(shù)的發(fā)展���,在車輛之間或車輛與路面基站的信息傳遞過程中,也將給黑客提供大量獲取車輛信息的機會�,這或?qū)⒔o整個交通系統(tǒng)造成惡劣的影響。
這一劑“安胎藥”不好開
作為互聯(lián)網(wǎng)智能汽車的標(biāo)桿�����,Tesla從不缺乏各路Hacker精英們的“不服”����,各路好手都想要動一動這臺車聯(lián)網(wǎng)的極致產(chǎn)品。我們以學(xué)習(xí)的眼光來看看特斯拉是怎么應(yīng)對系統(tǒng)安全防護的挑戰(zhàn)的:
1.從整車角度�����,車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離
從下面的Tesla Model S系統(tǒng)通信結(jié)構(gòu)圖可以看出,左側(cè)的車載娛樂系統(tǒng)以車載局域網(wǎng)為媒介進行信息溝通�,通過CID(Centre Information Display,中央控制大屏)以及IC(Instrument Centre��,儀表顯示器)直觀的與用戶交流�。右側(cè)的車輛控制系統(tǒng)以CAN總線實現(xiàn)信息傳遞。二者相對獨立����,通信交流通過車載局域網(wǎng)與CAN總線之間的網(wǎng)關(guān)(Gateway)決定。
Tesla Model S系統(tǒng)通信結(jié)構(gòu)
那么這樣分離的意義何在呢����?Tesla能應(yīng)對Hacker們系統(tǒng)級的入侵挑戰(zhàn)嗎?
“白帽黑客”Kelvin����、Marc利用github的開源數(shù)據(jù),自己搭建了一個探測工具�����。它能夠“潛伏”在特定的端口����,實時監(jiān)控UDP發(fā)送的數(shù)據(jù)包。一旦出現(xiàn)異常數(shù)據(jù)�,會立刻進行甄別。通過對比發(fā)自CID和智能手機客戶端的不同車輛控制指令�����,Kelvin�、Marc很快找到了目標(biāo)數(shù)據(jù)包以及CID上負(fù)責(zé)發(fā)送該指令的服務(wù)類別。經(jīng)過對這項服務(wù)代碼逆向編譯�����,Kelvin�����、Marc發(fā)現(xiàn)特斯拉Model S似乎不會從車載娛樂系統(tǒng)發(fā)送CAN總線的數(shù)據(jù)幀到車輛控制系統(tǒng)���。反之����,CID通過一個API(Application Programming Interface�,應(yīng)用程序編程接口)接口可以要求網(wǎng)關(guān)執(zhí)行任何允許指令中的一條或幾條。
由此不難看出,這樣嚴(yán)密運行機制中的一個小小的網(wǎng)關(guān)對汽車安全可謂意義重大���。它既能實現(xiàn)協(xié)議轉(zhuǎn)換�,保證系統(tǒng)內(nèi)通信數(shù)據(jù)的傳輸�����,同時也像設(shè)置車輛系統(tǒng)內(nèi)部的一道嚴(yán)密的防火墻�����,即便車載娛樂系統(tǒng)的內(nèi)部局域網(wǎng)已經(jīng)“淪陷”����,它的存在也使得黑客無法將CAN總線的數(shù)據(jù)幀發(fā)送給車輛控制系統(tǒng)。Model S的網(wǎng)關(guān)系統(tǒng)有可供車載娛樂系統(tǒng)接入的API端口���,相比直接接入CAN總線的架構(gòu)方式����,更安全可靠���,于是成為了Tesla保證系統(tǒng)安全的中流砥柱���。
2.硬件實現(xiàn)“芯片”級加密
目前嵌入式加密行業(yè)內(nèi)存在兩大陣營,一個是應(yīng)用傳統(tǒng)的邏輯加密芯片��,采用的IIC(Inter Integrated Circuit��,內(nèi)部集成電路)接口��,其原理是EEPROM外圍�,加上硬件保護電路,內(nèi)置某種算法;另外一個是采用智能卡芯片平臺���,充分利用智能卡芯片本身的高安全性�����,抗擊外部的各種攻擊手段����。
加密芯片其工作原理為��,軟硬件開發(fā)商可以把自己軟件中一部分算法和代碼下載到芯片中運行��。用戶采用標(biāo)準(zhǔn)C語言�����,編寫操作代碼。編譯并下載到智能芯片中���。在軟件實際運行過程中���,通過調(diào)用函數(shù)方式運行智能芯片內(nèi)的程序段,并獲得運行結(jié)果����,并以此結(jié)果作為用戶程序進一步運行的輸入數(shù)據(jù),以此幾乎杜絕了程序被破解的可能性����。工作結(jié)構(gòu)如下圖:
芯片加密安全模塊工作結(jié)構(gòu)
其實,在MCU(Microcontroller Unit��,單片機)使用加密芯片硬件做防護是一個很好的做法�,但在使用中還是有一定的誤區(qū)。比如說有的加密芯片通過MCU產(chǎn)生隨機數(shù)���,兩邊對比認(rèn)證密鑰方式����,由于密鑰長度較長(16字節(jié),2的128次方種可能)����,采用嘗試的方法需要非常久的時間�����,從加密芯片來說�����,這種說法是沒有問題的���。但卻忽略了一點�,如果不破解密鑰而從MCU端入手����,破解MCU程序后,分析出與加密芯片交互的部分程序并拋棄�����,那么此時��,雖然沒有破解加密芯片,卻也實現(xiàn)了程序的盜取復(fù)制����,這就是方案的缺陷。所以說如果想有效的加強MCU安全等級����,不僅需要用硬件加密IC(Integrated Circuit,集成電路)����,同時還要保證,即便MCU端程序被破�,仍能夠保證全部的程序功能不被得到,這樣的方案才是真正的安全方案�����。傳聞Tesla在MCU端采用最高安全等級(EAL5+)的程序移植類LKT系列加密芯片�,將一部分程序放在加密芯片中,就算MCU端被破解����,破解方仍不能得到全部程序,這樣大大提高了產(chǎn)品的安全性��,更有消息顯示Tesla正大肆網(wǎng)羅芯片研發(fā)人才,其中不乏研發(fā)加密芯片的好手��。
3.OTA“空中升級更新”
關(guān)注Tesla的人都會了解到���,Tesla的很多功能升級,都是靠和手機系統(tǒng)一樣的OTA空中升級的推送方式,免去了跑到4S店耽誤工夫,而且升級的效果大多很明顯�����。很多人可能覺得OTA無非就是一些小修小補的功能.Tesla迷們往往會對OTA升級使得P85D車型的百公里加速成績提高了0.1秒,達到了3.3秒這個驚人的數(shù)字而崇拜不已。而傳統(tǒng)汽車內(nèi)燃機工程師們則會更加吃驚的是��,這種通常需要調(diào)整引擎功率��、發(fā)動機進氣與點火角度等參數(shù)才能達到的效果,居然只要一次OTA升級就能完成! 其實通過OTA進行空中系統(tǒng)漏洞的修復(fù)這一傳統(tǒng)的軟件層面的手段也在整個的Tesla車輛系統(tǒng)安全中起著重要作用���。Tesla會實時檢測車聯(lián)網(wǎng)系統(tǒng)的諸多網(wǎng)絡(luò)漏洞��,并通過推送更新包的手段用以遠程更新維護�。
最近���,有跡象表面��,互聯(lián)網(wǎng)汽車的系統(tǒng)安全防護正逐漸成為一個行業(yè)熱點話題�����。然而萬事開頭難�����,完善互聯(lián)網(wǎng)汽車系統(tǒng)的安全將是各大互聯(lián)網(wǎng)汽車公司面臨的一項嚴(yán)峻任務(wù)�����。目前該領(lǐng)域面臨的困難有:
技術(shù)實現(xiàn)難
即使通過簡略的分析也能了解到��,互聯(lián)網(wǎng)汽車系統(tǒng)的安全��,以及其他許多智能系統(tǒng)的安全���,只有在整個開發(fā)流程中才用全面的����、系統(tǒng)化的安全設(shè)計模式才能實現(xiàn)���。一種全面的安全設(shè)計模式既包含能很好地適應(yīng)開發(fā)流程和量產(chǎn)流程�,也包括對車載網(wǎng)絡(luò)安全性的整體兼顧�。從而得到一個綜合采用軟件和硬件措施及相對應(yīng)的開發(fā)過程的全面解決方案�����。
防護成本高
組成汽車的電控系統(tǒng)非常復(fù)雜����,各子單元緊密聯(lián)系但具有各自獨立的功能���。根據(jù)被賦予的功能不同����,不同的嵌入式系統(tǒng)配置差別極大����,因此需要針對性地進行分類保護�����。
市場規(guī)模小
目前互聯(lián)網(wǎng)汽車距離市場普及尚有一段時間����。對于處理網(wǎng)絡(luò)安全隱患等具有針對性的汽車控制系統(tǒng)安全防護措施沒有普及。一些整車廠���、一級供應(yīng)商一級零部件供應(yīng)商從開發(fā)和生產(chǎn)的源頭就忽略了相應(yīng)的安全配置�,互聯(lián)網(wǎng)汽車安全防護沒有形成產(chǎn)業(yè)規(guī)模。
小鵬汽車的“安胎手段”
小鵬汽車對于還在孕育中的第一輛互聯(lián)網(wǎng)汽車的各種安全措施可謂做了嚴(yán)謹(jǐn)周密的工作����。總裁夏珩在接受硬創(chuàng)公開課采訪時說道:“我們在做互聯(lián)網(wǎng)汽車控制系統(tǒng)及信息安全這塊工作的時候���,第一���,要保證的是動力總成與車載娛樂的相關(guān)性一定要完全徹底切除。我們在做中控屏幕的測試的時候����,嘗試過在汽車行駛過程中把大屏砸壞或者讓人惡意登陸,嘗試各種可能性下會不會影響車輛正常的駕駛��?�!?/span>
“實際上測試結(jié)果表明我們的汽車還是比較安全的��。當(dāng)然在這個過程中�����,車聯(lián)網(wǎng)安全方面我們一定會不斷更新技術(shù),適應(yīng)新時代安全技術(shù)的需求���,不會因為有可能存在黑客漏洞就放棄開發(fā)網(wǎng)聯(lián)汽車�����?��!?
“現(xiàn)在我們也不斷招募了互聯(lián)網(wǎng)行業(yè)的頂級人才,他們在網(wǎng)絡(luò)安全方面的實力肯定是遠勝過傳統(tǒng)汽車公司�,無論從薪資待遇、工作環(huán)境����,傳統(tǒng)汽車行業(yè)極難招聘到這樣的專業(yè)人才?!?
除了實現(xiàn)互聯(lián)網(wǎng)端的安全以外����,在硬件芯片方面,小鵬汽車采用的是已通過國家密碼管理委員會認(rèn)證的硬件芯片加密算法的數(shù)據(jù)加密傳輸技術(shù)��,從而在造“安全可靠”的互聯(lián)網(wǎng)汽車的進程中走得更加堅實。
結(jié)語
互聯(lián)網(wǎng)汽車的概念自誕生至今一直被行業(yè)視為改變?nèi)祟惿罘绞降睦锍瘫疆a(chǎn)品�����,目前已經(jīng)有非常多創(chuàng)業(yè)團隊和傳統(tǒng)車企積極投入到互聯(lián)網(wǎng)汽車的研發(fā)中��。作為一直在追求安全可靠的互聯(lián)網(wǎng)汽車之路上踏實前進的小鵬汽車�����,有責(zé)任有義務(wù)把互聯(lián)網(wǎng)汽車中的系統(tǒng)安全隱患提出來�。“前人所襲誤者���,可以自我更之���。前人所未及者,可以自我創(chuàng)之��?!蔽覀円呀?jīng)采取許多系統(tǒng)安全的保護措施應(yīng)用在將要量產(chǎn)的小鵬汽車上。
毫無疑問�,這將會是一輛不一樣的、安全可靠的互聯(lián)網(wǎng)電動汽車���。
來源:第一電動網(wǎng)
作者:小鵬汽車
本文地址:http://www.medic-health.cn/kol/45171
返回第一電動網(wǎng)首頁 >
本文由第一電動網(wǎng)大牛說作者撰寫��,他們?yōu)楸疚牡恼鎸嵭院椭辛⑿载?fù)責(zé)�����,觀點僅代表個人��,不代表第一電動網(wǎng)�����。本文版權(quán)歸原創(chuàng)作者和第一電動網(wǎng)(www.medic-health.cn)所有�����,如需轉(zhuǎn)載需得到雙方授權(quán)����,同時務(wù)必注明來源和作者。
歡迎加入第一電動網(wǎng)大牛說作者����,注冊會員登錄后即可在線投稿����,請在會員資料留下QQ�、手機����、郵箱等聯(lián)系方式,便于我們在第一時間與您溝通稿件���,如有問題請發(fā)送郵件至 content@d1ev.com����。
文中圖片源自互聯(lián)網(wǎng)��,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除��。
京公網(wǎng)安備
11010502033163號
