新能源网联汽车的系统安全探讨
作者:马俊超
来源:《电脑迷·中旬刊》2018年第03
        摘要:汽车的互联网化为汽车行业带来了颠覆性的变化,资本目前也在往这一领域疯狂的涌入。出行作为人们高频的一种场景,车辆联网以后积累的大量数据的价值挖掘,不管是OEM厂商、车主还是内容商都充满了想象。然而硬币也有它的另一面,汽车接入了互联网,而互联网本身固有的安全问题也随之而来,业内对联网车辆的系统安全发起了持续的讨论。
        关键词:汽车; 互联网; 讨论
        2016年腾讯安全实验室旗下的科恩实验室以远程方式侵入特斯拉汽车,可以在车辆高速行驶状态下对车辆进行熄火、解锁、开窗、开后备箱等操作。2017年科恩实验室再次发现了特斯拉的多个高危安全漏洞,并且成功的对特斯拉汽车进行了远程的攻击。车辆联网状态下暴露出来的安全问题再次在引起了业内激烈的讨论,毕竟我们谁都不希望将来自己在高速行驶的状态下被黑客远程控制而发生生命危险。目前智能汽车存在的最大的安全威胁就是被黑客通过无线网络入侵,尽管联网带来的极大的便利,但是一切便利性在安全性面前都不是那么重要了。
所以对于新能源汽车厂商来说,高安全性的信息系统是设计的重中之重。
        我们都知道汽车的控制系统是由ECU组成的,不同的ECU控制着汽车的不同部分,比如有针对车门开关、玻璃升降、方向盘转向的ECU等等。汽车的发现趋势是网联化和智能化,以后汽车里面会添加更多的控制单元,大量的控制单元之间相互作用并且通过T-BOX以及无线网络与云端进行交互。严格来说,系统或者设备一旦联网,都存在被入侵的风险,互联网汽车应该如何应对这样的风险呢?笔者认为应对这种风险需要从三个方面入手。
        1 车辆娱乐系统和车辆控制系统分离
        车辆娱乐系统使用单独局域网,通过中控大屏以及仪表显示器与用户进行信息交互,而车辆的控制系统则通过汽车总线网络进行车辆的控制。娱乐局域网和汽车总线网络使用独立的网络域,中间通过网关或者车载防火墙进行必要信息的交互。一般来说车载娱乐系统会通过API方式通过网关要求汽车总线网络执行控制命令,但发送的指令种类和数目都是必须被设定并限制的,并非随意的可以发送任何的控制指令。这个方案中网关系统的作用非常大,它可以实现两个网络之间的协议转换,保证系统之间的通信,同时又在两个系统之间起到了防火墙的作用。即使娱乐局域网被入侵,网关系统也可以使入侵者无法通过汽车总线网络发
送命令给车辆的控制系统。由于网关设备是最易被攻击的,这就要求网关本身也需要具备快速升级和修复的能力,及时的更新策略和软件协议栈。因为如果网关受到病毒感染或者篡改,那所有的安全策略都将失效。
        2 硬件芯片加密
        硬件加密的原理就是开发者将整体程序中的一部分代码放入芯片上进行存储和运行,在软件运行过程中,MCU通过函数的调用来运行芯片上的代码,并将运算的结果作为后续程序的输入,这样来保证整体程序不被攻破。
        加密芯片通过MCU产生随机数字串,MCU和芯片通过对比密钥的是否相同来确定合法性。一般来说加密的密钥长度是16字节,也就是密钥存在2128次方种可能性,逐个尝试肯定需要非常久的时间的才可能破解密钥,所以从加密机制本身说是没问题的。但是如果攻破MCU并且破解其程序以后,分析出与加密芯片相关的程序功能并进行丢弃,这样加密芯片就相当于被绕开了,仍然可以继续调用程序对汽车进行控制。所以不仅仅要硬件加密集成电路,还要防止即使MCU被攻破,所有的程序功能不被得到。
        3 OTA升级云端系统的防护
        汽车远程升级OTA在几年前还是一个很陌生的概念,汽车任何小的软件版本改变都需要回到4S店完成,由专职的工程师进行近端调试升级。特别针对一些缺陷的升级而进行的大规模的召回事件,这不仅耗资巨大而且影响主机厂品牌形象。随着网联汽车的出现,特斯拉提出了汽车OTA的概念,并且在Tesla Model S上进行了实现,汽车竟然可以像手机一样进行远程升级,这使汽车OTA升级变成了一个炙手可热的话题。现在越来越多的车企把车联网服务平台放置在公有云上,如果云端被侵入,那就可以通过放置错误的OTA升级包在云端并向所有车辆推送升级通知,后果将是灾难性的。这样无论底层的防护如何严密,云端一旦被攻破,一起努力都是白费的。为了加强云端的安全性,云平台需要构建了一个多维度全方位的系统安全架构,包括网络层、系统层以及应用层的攻击,包括DDoS 防护、SSL 证书服务、WAF 等服务来确保系统能够防御来自互联网的攻击。目前各大云计算运营商对于云端的防护都非常好,云端的安全已经不再是OTA升级的大障碍。
        目前特斯拉、蔚来汽车、威马汽车、小鹏汽车等已经量产的车辆都具备远程控制、特斯拉召回2万多辆车OTA升级的能力,在系统的安全防护上都进行了非常多有益的尝试。但是目前国内大部分网联汽车的安全系统设计还处于初级阶段。因为车辆的系统安全必须从开发阶段就进行全面的系统安全设计,而不是出现问题以后再对漏洞进行修复,不少主机厂在这个方面意识不足。同时
系统安全的设计对所使用的平台软件和硬件都提出了更高的要求,无形中增加了许多成本,而目前国内中小车企都是以性价比来吸引客户,对系统安全投入不足。另外目前主流的车辆零配件供应商开发的已有产品并未针对网联汽车的系统安全上做太多的考虑,整体产业链的支撑还不足。
        4 结语
        联网只是车辆走向智能化的第一步,随着后续V2X和自动驾驶的应用,车辆会对外开放越来越多的接口,系统安全问题是无疑会成为整个新能源汽车行业发展面对的最大的挑战之一,方案的完善需要OEM厂商、芯片半导体公司、软件公司等协力配合。
        参考文献:
        [1]《自动驾驶改变未来》.柴占祥著
        [2]2017智能网联汽车信息安全年度报告》.360集团