娇贵的“二胎”,给互联网汽车系统安全隐患的安胎药
汽车的控制系统是由ECU(Electronic Control Unit,电子控制单元)组成的,通俗来讲就是许多嵌入式系统的集合。有别于传统电脑、服务器,嵌入式系统往往以单片机、ARM芯片搭建成硬件平台,只具备基本的计算能力、很小的储存空间,并且数据传输的带宽也有限,传统网络信息的安全方法应用在嵌入式系统上的尝试变得困难。互联网汽车在传统汽车上添加了许多互联网控制单元,汽车里大量的子控制系统相互联系作用,并通过物理接口以及无线通信与外界进行联系。理论上,所有的联网或者带有接口的系统与设备都存在被入侵的风险,使车载娱乐系统与车辆控制系统分离、硬件加密以及OTA(Over The Air,空中)升级是应对互联网汽车系统安全挑战的有效方法。
互联网汽车——互联网以及人工智能时代的“二胎”
互联网和人工智能技术的诞生引领人类跨入了崭新的纪元,并衍生了诸多具有时代影响力的科技产品。如果说作为“天之骄子”的智能手机还不足以使新时代的轮廓与史上诸次科技革命等同并列,那么已经处在舆论视线之内的宝贝“二胎”——互联网汽车,这个安在轮子上的人工智能系统,则完全可堪视为具有划时代意义的杰作,点亮了人类科技航海之路上的又一座灯塔。
什么是互联网汽车?小鹏汽车对互联网汽车的理解是:以汽车团队为主,互联网的思维和技术重新定义汽车模式——即加入互联网的导师和互联网团队人才,一起尝试以新的方式来做一辆安全可靠的互联网汽车。
“安全可靠的互联网汽车”这一目标表明了产品的要求——汽车融入互联网元素,但必须安全可靠!安全可靠既包括传统意义上的行车安全,又涵盖了融入互联网元素之后汽车的控制系统的安全。然而在现阶段,合理解决互联网汽车的系统安全问题尚且任重道远,值得我们重视和探讨。
娇贵的“二胎”—— 互联网汽车的系统安全隐患
互联网汽车往往有具备联网功能中控大屏,并通过大屏来实现集成了许多功能按钮的控制系统,Hacker如果利用用户从云端下载APP、数据,或是智能手机连接车载系统时的漏洞入侵了车辆控制系统,哪怕是获得了控制车窗突然开启或是车内氛围灯突然点亮的权利,都会干扰驾驶员使其无法专注驾驶,从而产生安全隐患。所以汽车中的控制系统安全毫无疑问是一项重大挑战,而互联网汽车的系统安全形势则更加严峻。
互联网汽车中常见的用例以及被入侵的情景介绍
实际上,虽然如今的车联网的发展还处于初级阶段,但也已经有不少车载系统遭受入侵甚至导致严重后果的例子。一项最新研究结果表明,美国特斯拉电动车产品存在安全漏洞,犯罪分子通过黑客手段破解一个六位密码,即可对车辆进行定位和解锁,即使车辆不会因此被盗,但可能存在泄漏隐私等后果。飞思卡尔半导体技术员Richard Soja表示:“远程无线入侵将变成车载系统最主要的威胁。有许多方法能够将数据保存于某一特定芯片上。”另外,汽车信息安全行业人士指出,随着V2V/V2I(车对车/车对基础设施)通信技术的发展,在车辆之间或车辆与路面基站的信息传递过程中,也将给黑客提供大量获取车辆信息的机会,这或将给整个交通系统造成恶劣的影响。
这一剂“安胎药”不好开
作为互联网智能汽车的标杆,Tesla从不缺乏各路Hacker精英们的“不服”,各路好手都想要动一动这台车联网的极致产品。我们以学习的眼光来看看特斯拉是怎么应对系统安全防护的挑战的:
1.从整车角度,车载娱乐系统与车辆控制系统分离
从下面的Tesla Model S系统通信结构图可以看出,左侧的车载娱乐系统以车载局域网为媒介进行信息沟通,通过CID(Centre Information Display,中央控制大屏)以及IC(Instrument Centre,仪表显示器)直观的与用户交流。右侧的车辆控制系统以CAN总线实现信息传递。二者相对独立,通信交流通过车载局域网与CAN总线之间的网关(Gateway)决定。
Tesla Model S系统通信结构
那么这样分离的意义何在呢?Tesla能应对Hacker们系统级的入侵挑战吗?
“白帽黑客”Kelvin、Marc利用github的开源数据,自己搭建了一个探测工具。它能够“潜伏”在特定的端口,实时监控UDP发送的数据包。一旦出现异常数据,会立刻进行甄别。通过对比发自CID和智能手机客户端的不同车辆控制指令,Kelvin、Marc很快找到了目标数据包以及CID上负责发送该指令的服务类别。经过对这项服务代码逆向编译,Kelvin、Marc发现特斯拉Model S似乎不会从车载娱乐系统发送CAN总线的数据帧到车辆控制系统。反之,CID通过一个API(Application Programming Interface,应用程序编程接口)接口可以要求网关执行任何允许指令中的一条或几条。
由此不难看出,这样严密运行机制中的一个小小的网关对汽车安全可谓意义重大。它既能实现协议转换,保证系统内通信数据的传输,同时也像设置车辆系统内部的一道严密的防火墙,即便车载娱乐系统的内部局域网已经“沦陷”,它的存在也使得黑客无法将CAN总线的数据帧发送给车辆控制系统。Model S的网关系统有可供车载娱乐系统接入的API端口,相比直接接入CAN总线的架构方式,更安全可靠,于是成为了Tesla保证系统安全的中流砥柱。
2.硬件实现“芯片”级加密
目前嵌入式加密行业内存在两大阵营,一个是应用传统的逻辑加密芯片,采用的IIC(Inter Integrated Circuit,内部集成电路)接口,其原理是EEPROM外围,加上硬件保护电路,内置某种算法;另外一个是采用智能卡芯片平台,充分利用智能卡芯片本身的高安全性,抗击外部的各种攻击手段。
加密芯片其工作原理为,软硬件开发商可以把自己软件中一部分算法和代码下载到芯片中运行。用户采用标准C语言,编写操作代码。编译并下载到智能芯片中。在软件实际运行过程中,通过调用函数方式运行智能芯片内的程序段,并获得运行结果,并以此结果作为用户程序进一步运行的输入数据,以此几乎杜绝了程序被破解的可能性。工作结构如下图:
芯片加密安全模块工作结构
其实,在MCU(Microcontroller Unit,单片机)使用加密芯片硬件做防护是一个很好的做法,但在使用中还是有一定的误区。比如说有的加密芯片通过MCU产生随机数,两边对比认证密钥方式,由于密钥长度较长(16字节,2的128次方种可能),采用尝试的方法需要非常久的时间,从加密芯片来说,这种说法是没有问题的。但却忽略了一点,如果不破解密钥而从MCU端入手,破解MCU程序后,分析出与加密芯片交互的部分程序并抛弃,那么此时,虽然没有破解加密芯片,却也实现了程序的盗取复制,这就是方案的缺陷。所以说如果想有效的加强MCU安全等级,不仅需要用硬件加密IC(Integrated Circuit,集成电路),同时还要保证,即便MCU端程序被破,仍能够保证全部的程序功能不被得到,这样的方案才是真正的安全方案。传闻Tesla在MCU端采用最高安全等级(EAL5+)的程序移植类LKT系列加密芯片,将一部分程序放在加密芯片中,就算MCU端被破解,破解方仍不能得到全部程序,这样大大提高了产品的安全性,更有消息显示Tesla正大肆网罗芯片研发人才,其中不乏研发加密芯片的好手。
3.OTA“空中升级更新”
关注Tesla的人都会了解到,Tesla的很多功能升级,都是靠和手机系统一样的OTA空中升级的推送方式,免去了跑到4S店耽误工夫,而且升级的效果大多很明显。很多人可能觉得OTA无非就是一些小修小补的功能.Tesla迷们往往会对OTA升级使得P85D车型的百公里加速成绩提高了0.1秒,达到了3.3秒这个惊人的数字而崇拜不已。而传统汽车内燃机工程师们则会更加吃惊的是,这种通常需要调整引擎功率、发动机进气与点火角度等参数才能达到的效果,居然只要一次OTA升级就能完成! 其实通过OTA进行空中系统漏洞的修复这一传统的软件层面的手段也在整个的Tesla车辆系统安全中起着重要作用。Tesla会实时检测车联网系统的诸多网络漏洞,并通过推送更新包的手段用以远程更新维护。
最近,有迹象表面,互联网汽车的系统安全防护正逐渐成为一个行业热点话题。然而万事开头难,完善互联网汽车系统的安全将是各大互联网汽车公司面临的一项严峻任务。目前该领域面临的困难有:
技术实现难
即使通过简略的分析也能了解到,互联网汽车系统的安全,以及其他许多智能系统的安全,只有在整个开发流程中才用全面的、系统化的安全设计模式才能实现。一种全面的安全设计模式既包含能很好地适应开发流程和量产流程,也包括对车载网络安全性的整体兼顾。从而得到一个综合采用软件和硬件措施及相对应的开发过程的全面解决方案。
防护成本高
组成汽车的电控系统非常复杂,各子单元紧密联系但具有各自独立的功能。根据被赋予的功能不同,不同的嵌入式系统配置差别极大,因此需要针对性地进行分类保护。
市场规模小
目前互联网汽车距离市场普及尚有一段时间。对于处理网络安全隐患等具有针对性的汽车控制系统安全防护措施没有普及。一些整车厂、一级供应商一级零部件供应商从开发和生产的源头就忽略了相应的安全配置,互联网汽车安全防护没有形成产业规模。
小鹏汽车的“安胎手段”
小鹏汽车对于还在孕育中的第一辆互联网汽车的各种安全措施可谓做了严谨周密的工作。总裁夏珩在接受硬创公开课采访时说道:“我们在做互联网汽车控制系统及信息安全这块工作的时候,第一,要保证的是动力总成与车载娱乐的相关性一定要完全彻底切除。我们在做中控屏幕的测试的时候,尝试过在汽车行驶过程中把大屏砸坏或者让人恶意登陆,尝试各种可能性下会不会影响车辆正常的驾驶。”
“实际上测试结果表明我们的汽车还是比较安全的。当然在这个过程中,车联网安全方面我们一定会不断更新技术,适应新时代安全技术的需求,不会因为有可能存在黑客漏洞就放弃开发网联汽车。”
“现在我们也不断招募了互联网行业的顶级人才,他们在网络安全方面的实力肯定是远胜过传统汽车公司,无论从薪资待遇、工作环境,传统汽车行业极难招聘到这样的专业人才。”
除了实现互联网端的安全以外,在硬件芯片方面,小鹏汽车采用的是已通过国家密码管理委员会认证的硬件芯片加密算法的数据加密传输技术,从而在造“安全可靠”的互联网汽车的进程中走得更加坚实。
结语
互联网汽车的概念自诞生至今一直被行业视为改变人类生活方式的里程碑式产品,目前已经有非常多创业团队和传统车企积极投入到互联网汽车的研发中。作为一直在追求安全可靠的互联网汽车之路上踏实前进的小鹏汽车,有责任有义务把互联网汽车中的系统安全隐患提出来。“前人所袭误者,可以自我更之。前人所未及者,可以自我创之。”我们已经采取许多系统安全的保护措施应用在将要量产的小鹏汽车上。
毫无疑问,这将会是一辆不一样的、安全可靠的互联网电动汽车。
来源:第一电动网
作者:小鹏汽车
本文地址:
本文由第一电动网大牛说作者撰写,他们为本文的真实性和中立性负责,观点仅代表个人,不代表第一电动网。本文版权归原创作者和第一电动网(www.d1ev.com)所有,如需转载需得到双方授权,同时务必注明来源和作者。
欢迎加入第一电动网大牛说作者,注册会员登录后即可在线投稿,请在会员资料留下QQ、手机、邮箱等联系方式,便于我们在第一时间与您沟通稿件,如有问题请发送邮件至 content@d1ev.com。
文中图片源自互联网,如有侵权请联系admin@d1ev.com删除。