1. 首頁(yè)
  2. 大牛說
  3. 嬌貴的“二胎”,給互聯(lián)網(wǎng)汽車系統(tǒng)安全隱患的安胎藥

嬌貴的“二胎”,給互聯(lián)網(wǎng)汽車系統(tǒng)安全隱患的安胎藥

汽車的控制系統(tǒng)是由ECU(Electronic Control Unit,電子控制單元)組成的,通俗來講就是許多嵌入式系統(tǒng)的集合。有別于傳統(tǒng)電腦、服務(wù)器,嵌入式系統(tǒng)往往以單片機(jī)、ARM芯片搭建成硬件平臺(tái),只具備基本的計(jì)算能力、很小的儲(chǔ)存空間,并且數(shù)據(jù)傳輸?shù)膸捯灿邢?,傳統(tǒng)網(wǎng)絡(luò)信息的安全方法應(yīng)用在嵌入式系統(tǒng)上的嘗試變得困難?;ヂ?lián)網(wǎng)汽車在傳統(tǒng)汽車上添加了許多互聯(lián)網(wǎng)控制單元,汽車?yán)锎罅康淖涌刂葡到y(tǒng)相互聯(lián)系作用,并通過物理接口以及無線通信與外界進(jìn)行聯(lián)系。理論上,所有的聯(lián)網(wǎng)或者帶有接口的系統(tǒng)與設(shè)備都存在被入侵的風(fēng)險(xiǎn),使車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離、硬件加密以及OTA(Over The Air,空中)升級(jí)是應(yīng)對(duì)互聯(lián)網(wǎng)汽車系統(tǒng)安全挑戰(zhàn)的有效方法。

互聯(lián)網(wǎng)汽車——互聯(lián)網(wǎng)以及人工智能時(shí)代的“二胎”

互聯(lián)網(wǎng)和人工智能技術(shù)的誕生引領(lǐng)人類跨入了嶄新的紀(jì)元,并衍生了諸多具有時(shí)代影響力的科技產(chǎn)品。如果說作為“天之驕子”的智能手機(jī)還不足以使新時(shí)代的輪廓與史上諸次科技革命等同并列,那么已經(jīng)處在輿論視線之內(nèi)的寶貝“二胎”——互聯(lián)網(wǎng)汽車,這個(gè)安在輪子上的人工智能系統(tǒng),則完全可堪視為具有劃時(shí)代意義的杰作,點(diǎn)亮了人類科技航海之路上的又一座燈塔。

什么是互聯(lián)網(wǎng)汽車?小鵬汽車對(duì)互聯(lián)網(wǎng)汽車的理解是:以汽車團(tuán)隊(duì)為主,互聯(lián)網(wǎng)的思維和技術(shù)重新定義汽車模式——即加入互聯(lián)網(wǎng)的導(dǎo)師和互聯(lián)網(wǎng)團(tuán)隊(duì)人才,一起嘗試以新的方式來做一輛安全可靠的互聯(lián)網(wǎng)汽車。

“安全可靠的互聯(lián)網(wǎng)汽車”這一目標(biāo)表明了產(chǎn)品的要求——汽車融入互聯(lián)網(wǎng)元素,但必須安全可靠!安全可靠既包括傳統(tǒng)意義上的行車安全,又涵蓋了融入互聯(lián)網(wǎng)元素之后汽車的控制系統(tǒng)的安全。然而在現(xiàn)階段,合理解決互聯(lián)網(wǎng)汽車的系統(tǒng)安全問題尚且任重道遠(yuǎn),值得我們重視和探討。

嬌貴的“二胎”—— 互聯(lián)網(wǎng)汽車的系統(tǒng)安全隱患

互聯(lián)網(wǎng)汽車往往有具備聯(lián)網(wǎng)功能中控大屏,并通過大屏來實(shí)現(xiàn)集成了許多功能按鈕的控制系統(tǒng),Hacker如果利用用戶從云端下載APP、數(shù)據(jù),或是智能手機(jī)連接車載系統(tǒng)時(shí)的漏洞入侵了車輛控制系統(tǒng),哪怕是獲得了控制車窗突然開啟或是車內(nèi)氛圍燈突然點(diǎn)亮的權(quán)利,都會(huì)干擾駕駛員使其無法專注駕駛,從而產(chǎn)生安全隱患。所以汽車中的控制系統(tǒng)安全毫無疑問是一項(xiàng)重大挑戰(zhàn),而互聯(lián)網(wǎng)汽車的系統(tǒng)安全形勢(shì)則更加嚴(yán)峻。

互聯(lián)網(wǎng)汽車中常見的用例以及被入侵的情景介紹

實(shí)際上,雖然如今的車聯(lián)網(wǎng)的發(fā)展還處于初級(jí)階段,但也已經(jīng)有不少車載系統(tǒng)遭受入侵甚至導(dǎo)致嚴(yán)重后果的例子。一項(xiàng)最新研究結(jié)果表明,美國(guó)特斯拉電動(dòng)車產(chǎn)品存在安全漏洞,犯罪分子通過黑客手段破解一個(gè)六位密碼,即可對(duì)車輛進(jìn)行定位和解鎖,即使車輛不會(huì)因此被盜,但可能存在泄漏隱私等后果。飛思卡爾半導(dǎo)體技術(shù)員Richard Soja表示:“遠(yuǎn)程無線入侵將變成車載系統(tǒng)最主要的威脅。有許多方法能夠?qū)?shù)據(jù)保存于某一特定芯片上?!绷硗猓囆畔踩袠I(yè)人士指出,隨著V2V/V2I(車對(duì)車/車對(duì)基礎(chǔ)設(shè)施)通信技術(shù)的發(fā)展,在車輛之間或車輛與路面基站的信息傳遞過程中,也將給黑客提供大量獲取車輛信息的機(jī)會(huì),這或?qū)⒔o整個(gè)交通系統(tǒng)造成惡劣的影響。

這一劑“安胎藥”不好開

作為互聯(lián)網(wǎng)智能汽車的標(biāo)桿,Tesla從不缺乏各路Hacker精英們的“不服”,各路好手都想要?jiǎng)右粍?dòng)這臺(tái)車聯(lián)網(wǎng)的極致產(chǎn)品。我們以學(xué)習(xí)的眼光來看看特斯拉是怎么應(yīng)對(duì)系統(tǒng)安全防護(hù)的挑戰(zhàn)的:

1.從整車角度,車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離

從下面的Tesla Model S系統(tǒng)通信結(jié)構(gòu)圖可以看出,左側(cè)的車載娛樂系統(tǒng)以車載局域網(wǎng)為媒介進(jìn)行信息溝通,通過CID(Centre Information Display,中央控制大屏)以及IC(Instrument Centre,儀表顯示器)直觀的與用戶交流。右側(cè)的車輛控制系統(tǒng)以CAN總線實(shí)現(xiàn)信息傳遞。二者相對(duì)獨(dú)立,通信交流通過車載局域網(wǎng)與CAN總線之間的網(wǎng)關(guān)(Gateway)決定。

Tesla Model S系統(tǒng)通信結(jié)構(gòu)

那么這樣分離的意義何在呢?Tesla能應(yīng)對(duì)Hacker們系統(tǒng)級(jí)的入侵挑戰(zhàn)嗎?

“白帽黑客”Kelvin、Marc利用github的開源數(shù)據(jù),自己搭建了一個(gè)探測(cè)工具。它能夠“潛伏”在特定的端口,實(shí)時(shí)監(jiān)控UDP發(fā)送的數(shù)據(jù)包。一旦出現(xiàn)異常數(shù)據(jù),會(huì)立刻進(jìn)行甄別。通過對(duì)比發(fā)自CID和智能手機(jī)客戶端的不同車輛控制指令,Kelvin、Marc很快找到了目標(biāo)數(shù)據(jù)包以及CID上負(fù)責(zé)發(fā)送該指令的服務(wù)類別。經(jīng)過對(duì)這項(xiàng)服務(wù)代碼逆向編譯,Kelvin、Marc發(fā)現(xiàn)特斯拉Model S似乎不會(huì)從車載娛樂系統(tǒng)發(fā)送CAN總線的數(shù)據(jù)幀到車輛控制系統(tǒng)。反之,CID通過一個(gè)API(Application Programming Interface,應(yīng)用程序編程接口)接口可以要求網(wǎng)關(guān)執(zhí)行任何允許指令中的一條或幾條。

由此不難看出,這樣嚴(yán)密運(yùn)行機(jī)制中的一個(gè)小小的網(wǎng)關(guān)對(duì)汽車安全可謂意義重大。它既能實(shí)現(xiàn)協(xié)議轉(zhuǎn)換,保證系統(tǒng)內(nèi)通信數(shù)據(jù)的傳輸,同時(shí)也像設(shè)置車輛系統(tǒng)內(nèi)部的一道嚴(yán)密的防火墻,即便車載娛樂系統(tǒng)的內(nèi)部局域網(wǎng)已經(jīng)“淪陷”,它的存在也使得黑客無法將CAN總線的數(shù)據(jù)幀發(fā)送給車輛控制系統(tǒng)。Model S的網(wǎng)關(guān)系統(tǒng)有可供車載娛樂系統(tǒng)接入的API端口,相比直接接入CAN總線的架構(gòu)方式,更安全可靠,于是成為了Tesla保證系統(tǒng)安全的中流砥柱。

2.硬件實(shí)現(xiàn)“芯片”級(jí)加密

目前嵌入式加密行業(yè)內(nèi)存在兩大陣營(yíng),一個(gè)是應(yīng)用傳統(tǒng)的邏輯加密芯片,采用的IIC(Inter Integrated Circuit,內(nèi)部集成電路)接口,其原理是EEPROM外圍,加上硬件保護(hù)電路,內(nèi)置某種算法;另外一個(gè)是采用智能卡芯片平臺(tái),充分利用智能卡芯片本身的高安全性,抗擊外部的各種攻擊手段。

加密芯片其工作原理為,軟硬件開發(fā)商可以把自己軟件中一部分算法和代碼下載到芯片中運(yùn)行。用戶采用標(biāo)準(zhǔn)C語(yǔ)言,編寫操作代碼。編譯并下載到智能芯片中。在軟件實(shí)際運(yùn)行過程中,通過調(diào)用函數(shù)方式運(yùn)行智能芯片內(nèi)的程序段,并獲得運(yùn)行結(jié)果,并以此結(jié)果作為用戶程序進(jìn)一步運(yùn)行的輸入數(shù)據(jù),以此幾乎杜絕了程序被破解的可能性。工作結(jié)構(gòu)如下圖:

芯片加密安全模塊工作結(jié)構(gòu)

其實(shí),在MCU(Microcontroller Unit,單片機(jī))使用加密芯片硬件做防護(hù)是一個(gè)很好的做法,但在使用中還是有一定的誤區(qū)。比如說有的加密芯片通過MCU產(chǎn)生隨機(jī)數(shù),兩邊對(duì)比認(rèn)證密鑰方式,由于密鑰長(zhǎng)度較長(zhǎng)(16字節(jié),2的128次方種可能),采用嘗試的方法需要非常久的時(shí)間,從加密芯片來說,這種說法是沒有問題的。但卻忽略了一點(diǎn),如果不破解密鑰而從MCU端入手,破解MCU程序后,分析出與加密芯片交互的部分程序并拋棄,那么此時(shí),雖然沒有破解加密芯片,卻也實(shí)現(xiàn)了程序的盜取復(fù)制,這就是方案的缺陷。所以說如果想有效的加強(qiáng)MCU安全等級(jí),不僅需要用硬件加密IC(Integrated Circuit,集成電路),同時(shí)還要保證,即便MCU端程序被破,仍能夠保證全部的程序功能不被得到,這樣的方案才是真正的安全方案。傳聞Tesla在MCU端采用最高安全等級(jí)(EAL5+)的程序移植類LKT系列加密芯片,將一部分程序放在加密芯片中,就算MCU端被破解,破解方仍不能得到全部程序,這樣大大提高了產(chǎn)品的安全性,更有消息顯示Tesla正大肆網(wǎng)羅芯片研發(fā)人才,其中不乏研發(fā)加密芯片的好手。

3.OTA“空中升級(jí)更新”

關(guān)注Tesla的人都會(huì)了解到,Tesla的很多功能升級(jí),都是靠和手機(jī)系統(tǒng)一樣的OTA空中升級(jí)的推送方式,免去了跑到4S店耽誤工夫,而且升級(jí)的效果大多很明顯。很多人可能覺得OTA無非就是一些小修小補(bǔ)的功能.Tesla迷們往往會(huì)對(duì)OTA升級(jí)使得P85D車型的百公里加速成績(jī)提高了0.1秒,達(dá)到了3.3秒這個(gè)驚人的數(shù)字而崇拜不已。而傳統(tǒng)汽車內(nèi)燃機(jī)工程師們則會(huì)更加吃驚的是,這種通常需要調(diào)整引擎功率、發(fā)動(dòng)機(jī)進(jìn)氣與點(diǎn)火角度等參數(shù)才能達(dá)到的效果,居然只要一次OTA升級(jí)就能完成! 其實(shí)通過OTA進(jìn)行空中系統(tǒng)漏洞的修復(fù)這一傳統(tǒng)的軟件層面的手段也在整個(gè)的Tesla車輛系統(tǒng)安全中起著重要作用。Tesla會(huì)實(shí)時(shí)檢測(cè)車聯(lián)網(wǎng)系統(tǒng)的諸多網(wǎng)絡(luò)漏洞,并通過推送更新包的手段用以遠(yuǎn)程更新維護(hù)。

最近,有跡象表面,互聯(lián)網(wǎng)汽車的系統(tǒng)安全防護(hù)正逐漸成為一個(gè)行業(yè)熱點(diǎn)話題。然而萬(wàn)事開頭難,完善互聯(lián)網(wǎng)汽車系統(tǒng)的安全將是各大互聯(lián)網(wǎng)汽車公司面臨的一項(xiàng)嚴(yán)峻任務(wù)。目前該領(lǐng)域面臨的困難有:

技術(shù)實(shí)現(xiàn)難

即使通過簡(jiǎn)略的分析也能了解到,互聯(lián)網(wǎng)汽車系統(tǒng)的安全,以及其他許多智能系統(tǒng)的安全,只有在整個(gè)開發(fā)流程中才用全面的、系統(tǒng)化的安全設(shè)計(jì)模式才能實(shí)現(xiàn)。一種全面的安全設(shè)計(jì)模式既包含能很好地適應(yīng)開發(fā)流程和量產(chǎn)流程,也包括對(duì)車載網(wǎng)絡(luò)安全性的整體兼顧。從而得到一個(gè)綜合采用軟件和硬件措施及相對(duì)應(yīng)的開發(fā)過程的全面解決方案。

防護(hù)成本高

組成汽車的電控系統(tǒng)非常復(fù)雜,各子單元緊密聯(lián)系但具有各自獨(dú)立的功能。根據(jù)被賦予的功能不同,不同的嵌入式系統(tǒng)配置差別極大,因此需要針對(duì)性地進(jìn)行分類保護(hù)。

市場(chǎng)規(guī)模小

目前互聯(lián)網(wǎng)汽車距離市場(chǎng)普及尚有一段時(shí)間。對(duì)于處理網(wǎng)絡(luò)安全隱患等具有針對(duì)性的汽車控制系統(tǒng)安全防護(hù)措施沒有普及。一些整車廠、一級(jí)供應(yīng)商一級(jí)零部件供應(yīng)商從開發(fā)和生產(chǎn)的源頭就忽略了相應(yīng)的安全配置,互聯(lián)網(wǎng)汽車安全防護(hù)沒有形成產(chǎn)業(yè)規(guī)模。

小鵬汽車的“安胎手段”

小鵬汽車對(duì)于還在孕育中的第一輛互聯(lián)網(wǎng)汽車的各種安全措施可謂做了嚴(yán)謹(jǐn)周密的工作??偛?a class='link' href='http://autopag.com/tag/夏珩' target='_blank'>夏珩在接受硬創(chuàng)公開課采訪時(shí)說道:“我們?cè)谧龌ヂ?lián)網(wǎng)汽車控制系統(tǒng)及信息安全這塊工作的時(shí)候,第一,要保證的是動(dòng)力總成與車載娛樂的相關(guān)性一定要完全徹底切除。我們?cè)谧鲋锌仄聊坏臏y(cè)試的時(shí)候,嘗試過在汽車行駛過程中把大屏砸壞或者讓人惡意登陸,嘗試各種可能性下會(huì)不會(huì)影響車輛正常的駕駛?!?/span>

“實(shí)際上測(cè)試結(jié)果表明我們的汽車還是比較安全的。當(dāng)然在這個(gè)過程中,車聯(lián)網(wǎng)安全方面我們一定會(huì)不斷更新技術(shù),適應(yīng)新時(shí)代安全技術(shù)的需求,不會(huì)因?yàn)橛锌赡艽嬖诤诳吐┒淳头艞夐_發(fā)網(wǎng)聯(lián)汽車。”

“現(xiàn)在我們也不斷招募了互聯(lián)網(wǎng)行業(yè)的頂級(jí)人才,他們?cè)诰W(wǎng)絡(luò)安全方面的實(shí)力肯定是遠(yuǎn)勝過傳統(tǒng)汽車公司,無論從薪資待遇、工作環(huán)境,傳統(tǒng)汽車行業(yè)極難招聘到這樣的專業(yè)人才?!?

除了實(shí)現(xiàn)互聯(lián)網(wǎng)端的安全以外,在硬件芯片方面,小鵬汽車采用的是已通過國(guó)家密碼管理委員會(huì)認(rèn)證的硬件芯片加密算法的數(shù)據(jù)加密傳輸技術(shù),從而在造“安全可靠”的互聯(lián)網(wǎng)汽車的進(jìn)程中走得更加堅(jiān)實(shí)。

結(jié)語(yǔ)

互聯(lián)網(wǎng)汽車的概念自誕生至今一直被行業(yè)視為改變?nèi)祟惿罘绞降睦锍瘫疆a(chǎn)品,目前已經(jīng)有非常多創(chuàng)業(yè)團(tuán)隊(duì)和傳統(tǒng)車企積極投入到互聯(lián)網(wǎng)汽車的研發(fā)中。作為一直在追求安全可靠的互聯(lián)網(wǎng)汽車之路上踏實(shí)前進(jìn)的小鵬汽車,有責(zé)任有義務(wù)把互聯(lián)網(wǎng)汽車中的系統(tǒng)安全隱患提出來?!扒叭怂u誤者,可以自我更之。前人所未及者,可以自我創(chuàng)之?!蔽覀円呀?jīng)采取許多系統(tǒng)安全的保護(hù)措施應(yīng)用在將要量產(chǎn)的小鵬汽車上。

毫無疑問,這將會(huì)是一輛不一樣的、安全可靠的互聯(lián)網(wǎng)電動(dòng)汽車。


來源:第一電動(dòng)網(wǎng)

作者:小鵬汽車

本文地址:http://autopag.com/kol/45171

返回第一電動(dòng)網(wǎng)首頁(yè) >

收藏
0
  • 分享到:
發(fā)表評(píng)論
新聞推薦
熱文榜
日排行
周排行
第一電動(dòng)網(wǎng)官方微信

反饋和建議 在線回復(fù)

您的詢價(jià)信息
已經(jīng)成功提交我們稍后會(huì)聯(lián)系您進(jìn)行報(bào)價(jià)!

第一電動(dòng)網(wǎng)
Hello world!
-->