汽車的控制系統(tǒng)是由ECU(Electronic Control Unit，電子控制單元)組成的，通俗來講就是許多嵌入式系統(tǒng)的集合。有別于傳統(tǒng)電腦、服務(wù)器，嵌入式系統(tǒng)往往以單片機(jī)、ARM芯片搭建成硬件平臺(tái)，只具備基本的計(jì)算能力、很小的儲(chǔ)存空間，并且數(shù)據(jù)傳輸?shù)膸捯灿邢?，傳統(tǒng)網(wǎng)絡(luò)信息的安全方法應(yīng)用在嵌入式系統(tǒng)上的嘗試變得困難?；ヂ?lián)網(wǎng)汽車在傳統(tǒng)汽車上添加了許多互聯(lián)網(wǎng)控制單元，汽車?yán)锎罅康淖涌刂葡到y(tǒng)相互聯(lián)系作用，并通過物理接口以及無線通信與外界進(jìn)行聯(lián)系。理論上，所有的聯(lián)網(wǎng)或者帶有接口的系統(tǒng)與設(shè)備都存在被入侵的風(fēng)險(xiǎn)，使車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離、硬件加密以及OTA(Over The Air，空中)升級(jí)是應(yīng)對(duì)互聯(lián)網(wǎng)汽車系統(tǒng)安全挑戰(zhàn)的有效方法。

互聯(lián)網(wǎng)汽車——互聯(lián)網(wǎng)以及人工智能時(shí)代的“二胎”

互聯(lián)網(wǎng)和人工智能技術(shù)的誕生引領(lǐng)人類跨入了嶄新的紀(jì)元，并衍生了諸多具有時(shí)代影響力的科技產(chǎn)品。如果說作為“天之驕子”的智能手機(jī)還不足以使新時(shí)代的輪廓與史上諸次科技革命等同并列，那么已經(jīng)處在輿論視線之內(nèi)的寶貝“二胎”——互聯(lián)網(wǎng)汽車，這個(gè)安在輪子上的人工智能系統(tǒng)，則完全可堪視為具有劃時(shí)代意義的杰作，點(diǎn)亮了人類科技航海之路上的又一座燈塔。

什么是互聯(lián)網(wǎng)汽車？小鵬汽車對(duì)互聯(lián)網(wǎng)汽車的理解是：以汽車團(tuán)隊(duì)為主，互聯(lián)網(wǎng)的思維和技術(shù)重新定義汽車模式——即加入互聯(lián)網(wǎng)的導(dǎo)師和互聯(lián)網(wǎng)團(tuán)隊(duì)人才，一起嘗試以新的方式來做一輛安全可靠的互聯(lián)網(wǎng)汽車。

“安全可靠的互聯(lián)網(wǎng)汽車”這一目標(biāo)表明了產(chǎn)品的要求——汽車融入互聯(lián)網(wǎng)元素，但必須安全可靠！安全可靠既包括傳統(tǒng)意義上的行車安全，又涵蓋了融入互聯(lián)網(wǎng)元素之后汽車的控制系統(tǒng)的安全。然而在現(xiàn)階段，合理解決互聯(lián)網(wǎng)汽車的系統(tǒng)安全問題尚且任重道遠(yuǎn)，值得我們重視和探討。

嬌貴的“二胎”—— 互聯(lián)網(wǎng)汽車的系統(tǒng)安全隱患

互聯(lián)網(wǎng)汽車往往有具備聯(lián)網(wǎng)功能中控大屏，并通過大屏來實(shí)現(xiàn)集成了許多功能按鈕的控制系統(tǒng)，Hacker如果利用用戶從云端下載APP、數(shù)據(jù)，或是智能手機(jī)連接車載系統(tǒng)時(shí)的漏洞入侵了車輛控制系統(tǒng)，哪怕是獲得了控制車窗突然開啟或是車內(nèi)氛圍燈突然點(diǎn)亮的權(quán)利，都會(huì)干擾駕駛員使其無法專注駕駛，從而產(chǎn)生安全隱患。所以汽車中的控制系統(tǒng)安全毫無疑問是一項(xiàng)重大挑戰(zhàn)，而互聯(lián)網(wǎng)汽車的系統(tǒng)安全形勢(shì)則更加嚴(yán)峻。

互聯(lián)網(wǎng)汽車中常見的用例以及被入侵的情景介紹

實(shí)際上，雖然如今的車聯(lián)網(wǎng)的發(fā)展還處于初級(jí)階段，但也已經(jīng)有不少車載系統(tǒng)遭受入侵甚至導(dǎo)致嚴(yán)重后果的例子。一項(xiàng)最新研究結(jié)果表明，美國(guó)特斯拉電動(dòng)車產(chǎn)品存在安全漏洞，犯罪分子通過黑客手段破解一個(gè)六位密碼，即可對(duì)車輛進(jìn)行定位和解鎖，即使車輛不會(huì)因此被盜，但可能存在泄漏隱私等后果。飛思卡爾半導(dǎo)體技術(shù)員Richard Soja表示：“遠(yuǎn)程無線入侵將變成車載系統(tǒng)最主要的威脅。有許多方法能夠?qū)?shù)據(jù)保存于某一特定芯片上?！绷硗猓囆畔踩袠I(yè)人士指出，隨著V2V/V2I(車對(duì)車/車對(duì)基礎(chǔ)設(shè)施)通信技術(shù)的發(fā)展，在車輛之間或車輛與路面基站的信息傳遞過程中，也將給黑客提供大量獲取車輛信息的機(jī)會(huì)，這或?qū)⒔o整個(gè)交通系統(tǒng)造成惡劣的影響。

這一劑“安胎藥”不好開

作為互聯(lián)網(wǎng)智能汽車的標(biāo)桿，Tesla從不缺乏各路Hacker精英們的“不服”，各路好手都想要?jiǎng)右粍?dòng)這臺(tái)車聯(lián)網(wǎng)的極致產(chǎn)品。我們以學(xué)習(xí)的眼光來看看特斯拉是怎么應(yīng)對(duì)系統(tǒng)安全防護(hù)的挑戰(zhàn)的：

1.從整車角度，車載娛樂系統(tǒng)與車輛控制系統(tǒng)分離

從下面的Tesla Model S系統(tǒng)通信結(jié)構(gòu)圖可以看出，左側(cè)的車載娛樂系統(tǒng)以車載局域網(wǎng)為媒介進(jìn)行信息溝通，通過CID(Centre Information Display，中央控制大屏)以及IC(Instrument Centre，儀表顯示器)直觀的與用戶交流。右側(cè)的車輛控制系統(tǒng)以CAN總線實(shí)現(xiàn)信息傳遞。二者相對(duì)獨(dú)立，通信交流通過車載局域網(wǎng)與CAN總線之間的網(wǎng)關(guān)(Gateway)決定。

Tesla Model S系統(tǒng)通信結(jié)構(gòu)

那么這樣分離的意義何在呢？Tesla能應(yīng)對(duì)Hacker們系統(tǒng)級(jí)的入侵挑戰(zhàn)嗎？

“白帽黑客”Kelvin、Marc利用github的開源數(shù)據(jù)，自己搭建了一個(gè)探測(cè)工具。它能夠“潛伏”在特定的端口，實(shí)時(shí)監(jiān)控UDP發(fā)送的數(shù)據(jù)包。一旦出現(xiàn)異常數(shù)據(jù)，會(huì)立刻進(jìn)行甄別。通過對(duì)比發(fā)自CID和智能手機(jī)客戶端的不同車輛控制指令，Kelvin、Marc很快找到了目標(biāo)數(shù)據(jù)包以及CID上負(fù)責(zé)發(fā)送該指令的服務(wù)類別。經(jīng)過對(duì)這項(xiàng)服務(wù)代碼逆向編譯，Kelvin、Marc發(fā)現(xiàn)特斯拉Model S似乎不會(huì)從車載娛樂系統(tǒng)發(fā)送CAN總線的數(shù)據(jù)幀到車輛控制系統(tǒng)。反之，CID通過一個(gè)API(Application Programming Interface，應(yīng)用程序編程接口)接口可以要求網(wǎng)關(guān)執(zhí)行任何允許指令中的一條或幾條。

由此不難看出，這樣嚴(yán)密運(yùn)行機(jī)制中的一個(gè)小小的網(wǎng)關(guān)對(duì)汽車安全可謂意義重大。它既能實(shí)現(xiàn)協(xié)議轉(zhuǎn)換，保證系統(tǒng)內(nèi)通信數(shù)據(jù)的傳輸，同時(shí)也像設(shè)置車輛系統(tǒng)內(nèi)部的一道嚴(yán)密的防火墻，即便車載娛樂系統(tǒng)的內(nèi)部局域網(wǎng)已經(jīng)“淪陷”，它的存在也使得黑客無法將CAN總線的數(shù)據(jù)幀發(fā)送給車輛控制系統(tǒng)。Model S的網(wǎng)關(guān)系統(tǒng)有可供車載娛樂系統(tǒng)接入的API端口，相比直接接入CAN總線的架構(gòu)方式，更安全可靠，于是成為了Tesla保證系統(tǒng)安全的中流砥柱。

2.硬件實(shí)現(xiàn)“芯片”級(jí)加密

目前嵌入式加密行業(yè)內(nèi)存在兩大陣營(yíng)，一個(gè)是應(yīng)用傳統(tǒng)的邏輯加密芯片，采用的IIC(Inter Integrated Circuit，內(nèi)部集成電路)接口，其原理是EEPROM外圍，加上硬件保護(hù)電路，內(nèi)置某種算法;另外一個(gè)是采用智能卡芯片平臺(tái)，充分利用智能卡芯片本身的高安全性，抗擊外部的各種攻擊手段。

加密芯片其工作原理為，軟硬件開發(fā)商可以把自己軟件中一部分算法和代碼下載到芯片中運(yùn)行。用戶采用標(biāo)準(zhǔn)C語(yǔ)言，編寫操作代碼。編譯并下載到智能芯片中。在軟件實(shí)際運(yùn)行過程中，通過調(diào)用函數(shù)方式運(yùn)行智能芯片內(nèi)的程序段，并獲得運(yùn)行結(jié)果，并以此結(jié)果作為用戶程序進(jìn)一步運(yùn)行的輸入數(shù)據(jù)，以此幾乎杜絕了程序被破解的可能性。工作結(jié)構(gòu)如下圖：

芯片加密安全模塊工作結(jié)構(gòu)

其實(shí)，在MCU(Microcontroller Unit，單片機(jī))使用加密芯片硬件做防護(hù)是一個(gè)很好的做法，但在使用中還是有一定的誤區(qū)。比如說有的加密芯片通過MCU產(chǎn)生隨機(jī)數(shù)，兩邊對(duì)比認(rèn)證密鑰方式，由于密鑰長(zhǎng)度較長(zhǎng)(16字節(jié)，2的128次方種可能)，采用嘗試的方法需要非常久的時(shí)間，從加密芯片來說，這種說法是沒有問題的。但卻忽略了一點(diǎn)，如果不破解密鑰而從MCU端入手，破解MCU程序后，分析出與加密芯片交互的部分程序并拋棄，那么此時(shí)，雖然沒有破解加密芯片，卻也實(shí)現(xiàn)了程序的盜取復(fù)制，這就是方案的缺陷。所以說如果想有效的加強(qiáng)MCU安全等級(jí)，不僅需要用硬件加密IC(Integrated Circuit，集成電路)，同時(shí)還要保證，即便MCU端程序被破，仍能夠保證全部的程序功能不被得到，這樣的方案才是真正的安全方案。傳聞Tesla在MCU端采用最高安全等級(jí)(EAL5+)的程序移植類LKT系列加密芯片，將一部分程序放在加密芯片中，就算MCU端被破解，破解方仍不能得到全部程序，這樣大大提高了產(chǎn)品的安全性，更有消息顯示Tesla正大肆網(wǎng)羅芯片研發(fā)人才，其中不乏研發(fā)加密芯片的好手。

3.OTA“空中升級(jí)更新”

關(guān)注Tesla的人都會(huì)了解到，Tesla的很多功能升級(jí),都是靠和手機(jī)系統(tǒng)一樣的OTA空中升級(jí)的推送方式,免去了跑到4S店耽誤工夫,而且升級(jí)的效果大多很明顯。很多人可能覺得OTA無非就是一些小修小補(bǔ)的功能.Tesla迷們往往會(huì)對(duì)OTA升級(jí)使得P85D車型的百公里加速成績(jī)提高了0.1秒,達(dá)到了3.3秒這個(gè)驚人的數(shù)字而崇拜不已。而傳統(tǒng)汽車內(nèi)燃機(jī)工程師們則會(huì)更加吃驚的是，這種通常需要調(diào)整引擎功率、發(fā)動(dòng)機(jī)進(jìn)氣與點(diǎn)火角度等參數(shù)才能達(dá)到的效果,居然只要一次OTA升級(jí)就能完成! 其實(shí)通過OTA進(jìn)行空中系統(tǒng)漏洞的修復(fù)這一傳統(tǒng)的軟件層面的手段也在整個(gè)的Tesla車輛系統(tǒng)安全中起著重要作用。Tesla會(huì)實(shí)時(shí)檢測(cè)車聯(lián)網(wǎng)系統(tǒng)的諸多網(wǎng)絡(luò)漏洞，并通過推送更新包的手段用以遠(yuǎn)程更新維護(hù)。

最近，有跡象表面，互聯(lián)網(wǎng)汽車的系統(tǒng)安全防護(hù)正逐漸成為一個(gè)行業(yè)熱點(diǎn)話題。然而萬(wàn)事開頭難，完善互聯(lián)網(wǎng)汽車系統(tǒng)的安全將是各大互聯(lián)網(wǎng)汽車公司面臨的一項(xiàng)嚴(yán)峻任務(wù)。目前該領(lǐng)域面臨的困難有：

技術(shù)實(shí)現(xiàn)難

即使通過簡(jiǎn)略的分析也能了解到，互聯(lián)網(wǎng)汽車系統(tǒng)的安全，以及其他許多智能系統(tǒng)的安全，只有在整個(gè)開發(fā)流程中才用全面的、系統(tǒng)化的安全設(shè)計(jì)模式才能實(shí)現(xiàn)。一種全面的安全設(shè)計(jì)模式既包含能很好地適應(yīng)開發(fā)流程和量產(chǎn)流程，也包括對(duì)車載網(wǎng)絡(luò)安全性的整體兼顧。從而得到一個(gè)綜合采用軟件和硬件措施及相對(duì)應(yīng)的開發(fā)過程的全面解決方案。

防護(hù)成本高

組成汽車的電控系統(tǒng)非常復(fù)雜，各子單元緊密聯(lián)系但具有各自獨(dú)立的功能。根據(jù)被賦予的功能不同，不同的嵌入式系統(tǒng)配置差別極大，因此需要針對(duì)性地進(jìn)行分類保護(hù)。

市場(chǎng)規(guī)模小

目前互聯(lián)網(wǎng)汽車距離市場(chǎng)普及尚有一段時(shí)間。對(duì)于處理網(wǎng)絡(luò)安全隱患等具有針對(duì)性的汽車控制系統(tǒng)安全防護(hù)措施沒有普及。一些整車廠、一級(jí)供應(yīng)商一級(jí)零部件供應(yīng)商從開發(fā)和生產(chǎn)的源頭就忽略了相應(yīng)的安全配置，互聯(lián)網(wǎng)汽車安全防護(hù)沒有形成產(chǎn)業(yè)規(guī)模。

小鵬汽車的“安胎手段”

小鵬汽車對(duì)于還在孕育中的第一輛互聯(lián)網(wǎng)汽車的各種安全措施可謂做了嚴(yán)謹(jǐn)周密的工作?？偛?a class='link' href='http://autopag.com/tag/夏珩' target='_blank'>夏珩在接受硬創(chuàng)公開課采訪時(shí)說道：“我們?cè)谧龌ヂ?lián)網(wǎng)汽車控制系統(tǒng)及信息安全這塊工作的時(shí)候，第一，要保證的是動(dòng)力總成與車載娛樂的相關(guān)性一定要完全徹底切除。我們?cè)谧鲋锌仄聊坏臏y(cè)試的時(shí)候，嘗試過在汽車行駛過程中把大屏砸壞或者讓人惡意登陸，嘗試各種可能性下會(huì)不會(huì)影響車輛正常的駕駛?！?/span>

“實(shí)際上測(cè)試結(jié)果表明我們的汽車還是比較安全的。當(dāng)然在這個(gè)過程中，車聯(lián)網(wǎng)安全方面我們一定會(huì)不斷更新技術(shù)，適應(yīng)新時(shí)代安全技術(shù)的需求，不會(huì)因?yàn)橛锌赡艽嬖诤诳吐┒淳头艞夐_發(fā)網(wǎng)聯(lián)汽車。”

“現(xiàn)在我們也不斷招募了互聯(lián)網(wǎng)行業(yè)的頂級(jí)人才，他們?cè)诰W(wǎng)絡(luò)安全方面的實(shí)力肯定是遠(yuǎn)勝過傳統(tǒng)汽車公司，無論從薪資待遇、工作環(huán)境，傳統(tǒng)汽車行業(yè)極難招聘到這樣的專業(yè)人才?！?

除了實(shí)現(xiàn)互聯(lián)網(wǎng)端的安全以外，在硬件芯片方面，小鵬汽車采用的是已通過國(guó)家密碼管理委員會(huì)認(rèn)證的硬件芯片加密算法的數(shù)據(jù)加密傳輸技術(shù)，從而在造“安全可靠”的互聯(lián)網(wǎng)汽車的進(jìn)程中走得更加堅(jiān)實(shí)。

結(jié)語(yǔ)

互聯(lián)網(wǎng)汽車的概念自誕生至今一直被行業(yè)視為改變?nèi)祟惿罘绞降睦锍瘫疆a(chǎn)品，目前已經(jīng)有非常多創(chuàng)業(yè)團(tuán)隊(duì)和傳統(tǒng)車企積極投入到互聯(lián)網(wǎng)汽車的研發(fā)中。作為一直在追求安全可靠的互聯(lián)網(wǎng)汽車之路上踏實(shí)前進(jìn)的小鵬汽車，有責(zé)任有義務(wù)把互聯(lián)網(wǎng)汽車中的系統(tǒng)安全隱患提出來?！扒叭怂u誤者，可以自我更之。前人所未及者，可以自我創(chuàng)之?！蔽覀円呀?jīng)采取許多系統(tǒng)安全的保護(hù)措施應(yīng)用在將要量產(chǎn)的小鵬汽車上。

毫無疑問，這將會(huì)是一輛不一樣的、安全可靠的互聯(lián)網(wǎng)電動(dòng)汽車。

返回第一電動(dòng)網(wǎng)首頁(yè) >