汽車的控制系統是由ECU(ElectronicnControl Unit，電子控制單元)組成的，通俗來講就是許多嵌入式系統的集合。有別於傳統電腦、伺服器，嵌入式系統往往以單片機、ARM晶元搭建成硬體平台，只具備基本的計算能力、很小的儲存空間，並且數據傳輸的帶寬也有限，傳統網路信息的安全方法應用在嵌入式系統上的嘗試變得困難。互聯網汽車在傳統汽車上添加了許多互聯網控制單元，汽車裡大量的子控制系統相互聯繫作用，並通過物理介面以及無線通信與外界進行聯繫。理論上，所有的聯網或者帶有介面的系統與設備都存在被入侵的風險，使車載娛樂系統與車輛控制系統分離、硬體加密以及OTA(Over The Air，空中)升級是應對互聯網汽車系統安全挑戰的有效方法。

互聯網汽車 — 互聯網以及人工智慧時代的「二胎」

互聯網和人工智慧技術的誕生引領人類跨入了嶄新的紀元，並衍生了諸多具有時代影響力的科技產品。如果說作為「天之驕子」的智能手機還不足以使新時代的輪廓與史上諸次科技革命等同並列，那麼已經處在輿論視線之內的寶貝「二胎」——互聯網A汽車，這個安在輪子上的人工智慧系統，則完全可堪視為具有劃時代意義的傑作，點亮了人類科技航海之路上的又一座燈塔。

什麼是互聯網汽車？小鵬汽車對互聯網汽車的理解是：以汽車團隊為主，互聯網的思維和技術重新定義汽車模式——即加入互聯網的導師和互聯網團隊人才，一起嘗試以新的方式來做一輛安全可靠的互聯網汽車。

「安全可靠的互聯網汽車」這一目標表明了產品的要求——汽車融入互聯網元素，但必須安全可靠！安全可靠既包括傳統意義上的行車安全，又涵蓋了融入互聯網元素之後汽車的控制系統的安全。然而在現階段，合理解決互聯網汽車的系統安全問題尚且任重道遠，值得我們重視和探討。

嬌貴的「二胎」— 互聯網汽車的系統安全隱患

互聯網汽車往往有具備聯網功能中控大屏，並通過大屏來實現集成了許多功能按鈕的控制系統，Hacker如果利用用戶從雲端下載APP、數據，或是智能手機連接車載系統時的漏洞入侵了車輛控制系統，哪怕是獲得了控制車窗突然開啟或是車內氛圍燈突然點亮的權利，都會干擾駕駛員使其無法專註駕駛，從而產生安全隱患。所以汽車中的控制系統安全毫無疑問是一項重大挑戰，而互聯網汽車的系統安全形勢則更加嚴峻。

互聯網汽車中常見的用例以及被入侵的情景介紹

實際上，雖然如今的車聯網的發展還處於初級階段，但也已經有不少車載系統遭受入侵甚至導致嚴重後果的例子。一項最新研究結果表明，美國特斯拉電動車產品存在安全漏洞，犯罪分子通過黑客手段破解一個六位密碼，即可對車輛進行定位和解鎖，即使車輛不會因此被盜，但可能存在泄漏隱私等後果。飛思卡爾半導體技術員RichardnSoja表示：「遠程無線入侵將變成車載系統最主要的威脅。有許多方法能夠將數據保存於某一特定晶元上。」另外，汽車信息安全行業人士指出，隨著V2V/V2I（車對車/車對基礎設施）通信技術的發展，在車輛之間或車輛與路面基站的信息傳遞過程中，也將給黑客提供大量獲取車輛信息的機會，這或將給整個交通系統造成惡劣的影響。

這一劑「安胎藥」不好開

作為互聯網智能汽車的標杆，Tesla從不缺乏各路Hacker精英們的「不服」，各路好手都想要動一動這台車聯網的極致產品。我們以學習的眼光來看看特斯拉是怎麼應對系統安全防護的挑戰的：

1．從整車角度，車載娛樂系統與車輛控制系統分離

從下面的Tesla Model S系統通信結構圖可以看出，左側的車載娛樂系統以車載區域網為媒介進行信息溝通，通過CID（CentrenInformation Display，中央控制大屏）以及IC（Instrument Centre，儀錶顯示器）直觀的與用戶交流。右側的車輛控制系統以CAN匯流排實現信息傳遞。二者相對獨立，通信交流通過車載區域網與CAN匯流排之間的網關（Gateway）決定。

Tesla Model S系統通信結構

那麼這樣分離的意義何在呢？Tesla能應對Hacker們系統級的入侵挑戰嗎？

「白帽黑客」Kelvin、Marc利用github的開源數據，自己搭建了一個探測工具。它能夠「潛伏」在特定的埠，實時監控UDP發送的數據包。一旦出現異常數據，會立刻進行甄別。通過對比發自CID和智能手機客戶端的不同車輛控制指令，Kelvin、Marc很快找到了目標數據包以及CID上負責發送該指令的服務類別。經過對這項服務代碼逆向編譯，Kelvin、Marc發現特斯拉Model S似乎不會從車載娛樂系統發送CAN匯流排的數據幀到車輛控制系統。反之，CID通過一個API(Application ProgrammingnInterface，應用程序編程介面)介面可以要求網關執行任何允許指令中的一條或幾條。

由此不難看出，這樣嚴密運行機制中的一個小小的網關對汽車安全可謂意義重大。它既能實現協議轉換，保證系統內通信數據的傳輸，同時也像設置車輛系統內部的一道嚴密的防火牆，即便車載娛樂系統的內部區域網已經「淪陷」，它的存在也使得黑客無法將CAN匯流排的數據幀發送給車輛控制系統。Model S的網關係統有可供車載娛樂系統接入的API埠，相比直接接入CAN匯流排的架構方式，更安全可靠，於是成為了Tesla保證系統安全的中流砥柱。

2．硬體實現「晶元」級加密

目前嵌入式加密行業內存在兩大陣營，一個是應用傳統的邏輯加密晶元，採用的IIC(Inter Integrated Circuit，內部集成電路)介面，其原理是EEPROM外圍，加上硬體保護電路，內置某種演算法;另外一個是採用智能卡晶元平台，充分利用智能卡晶元本身的高安全性，抗擊外部的各種攻擊手段。

加密晶元其工作原理為，軟硬體開發商可以把自己軟體中一部分演算法和代碼下載到晶元中運行。用戶採用標準C語言，編寫操作代碼。編譯並下載到智能晶元中。在軟體實際運行過程中，通過調用函數方式運行智能晶元內的程序段，並獲得運行結果，並以此結果作為用戶程序進一步運行的輸入數據，以此幾乎杜絕了程序被破解的可能性。工作結構如下圖：

晶元加密安全模塊工作結構

其實，在MCU（MicrocontrollernUnit，單片機）使用加密晶元硬體做防護是一個很好的做法，但在使用中還是有一定的誤區。比如說有的加密晶元通過MCU產生隨機數，兩邊對比認證密鑰方式，由於密鑰長度較長（16位元組，2的128次方種可能），採用嘗試的方法需要非常久的時間，從加密晶元來說，這種說法是沒有問題的。但卻忽略了一點，如果不破解密鑰而從MCU端入手，破解MCU程序後，分析出與加密晶元交互的部分程序並拋棄，那麼此時，雖然沒有破解加密晶元，卻也實現了程序的盜取複製，這就是方案的缺陷。

所以說如果想有效的加強MCU安全等級，不僅需要用硬體加密IC（IntegratednCircuit，集成電路），同時還要保證，即便MCU端程序被破，仍能夠保證全部的程序功能不被得到，這樣的方案才是真正的安全方案。傳聞Tesla在MCU端採用最高安全等級（EAL5+）的程序移植類LKT系列加密晶元，將一部分程序放在加密晶元中，就算MCU端被破解，破解方仍不能得到全部程序，這樣大大提高了產品的安全性，更有消息顯示Tesla正大肆網羅晶元研發人才，其中不乏研發加密晶元的好手。

3．OTA「空中升級更新」

關注Tesla的人都會了解到，Tesla的很多功能升級,都是靠和手機系統一樣的OTA空中升級的推送方式,免去了跑到4S店耽誤工夫,而且升級的效果大多很明顯。很多人可能覺得OTA無非就是一些小修小補的功能.Tesla迷們往往會對OTA升級使得P85D車型的百公里加速成績提高了0.1秒,達到了3.3秒這個驚人的數字而崇拜不已。而傳統汽車內燃機工程師們則會更加吃驚的是，這種通常需要調整引擎功率、發動機進氣與點火角度等參數才能達到的效果,居然只要一次OTA升級就能完成!n其實通過OTA進行空中系統漏洞的修復這一傳統的軟體層面的手段也在整個的Tesla車輛系統安全中起著重要作用。Tesla會實時檢測車聯網系統的諸多網路漏洞，並通過推送更新包的手段用以遠程更新維護。

最近，有跡象表面，互聯網汽車的系統安全防護正逐漸成為一個行業熱點話題。然而萬事開頭難，完善互聯網汽車系統的安全將是各大互聯網汽車公司面臨的一項嚴峻任務。目前該領域面臨的困難有：

l 技術實現難

即使通過簡略的分析也能了解到，互聯網汽車系統的安全，以及其他許多智能系統的安全，只有在整個開發流程中才用全面的、系統化的安全設計模式才能實現。一種全面的安全設計模式既包含能很好地適應開發流程和量產流程，也包括對車載網路安全性的整體兼顧。從而得到一個綜合採用軟體和硬體措施及相對應的開發過程的全面解決方案。

l 防護成本高

組成汽車的電控系統非常複雜，各子單元緊密聯繫但具有各自獨立的功能。根據被賦予的功能不同，不同的嵌入式系統配置差別極大，因此需要針對性地進行分類保護。

l 市場規模小

目前互聯網汽車距離市場普及尚有一段時間。對於處理網路安全隱患等具有針對性的汽車控制系統安全防護措施沒有普及。一些整車廠、一級供應商一級零部件供應商從開發和生產的源頭就忽略了相應的安全配置，互聯網汽車安全防護沒有形成產業規模。

小鵬汽車的「安胎手段」

小鵬汽車對於還在孕育中的第一輛互聯網汽車的各種安全措施可謂做了嚴謹周密的工作。總裁夏珩在接受硬創公開課採訪時說道：

「我們在做互聯網汽車控制系統及信息安全這塊工作的時候，第一，要保證的是動力總成與車載娛樂的相關性一定要完全徹底切除。我們在做中控屏幕的測試的時候，嘗試過在汽車行駛過程中把大屏砸壞或者讓人惡意登陸，嘗試各種可能性下會不會影響車輛正常的駕駛。」

「實際上測試結果表明我們的汽車還是比較安全的。當然在這個過程中，車聯網安全方面我們一定會不斷更新技術，適應新時代安全技術的需求，不會因為有可能存在黑客漏洞就放棄開發網聯汽車。」

「現在我們也不斷招募了互聯網行業的頂級人才，他們在網路安全方面的實力肯定是遠勝過傳統汽車公司，無論從薪資待遇、工作環境，傳統汽車行業極難招聘到這樣的專業人才。」

除了實現互聯網端的安全以外，在硬體晶元方面，小鵬汽車採用的是已通過國家密碼管理委員會認證的硬體晶元加密演算法的數據加密傳輸技術，從而在造「安全可靠」的互聯網汽車的進程中走得更加堅實。

結語

互聯網汽車的概念自誕生至今一直被行業視為改變人類生活方式的里程碑式產品，目前已經有非常多創業團隊和傳統車企積極投入到互聯網汽車的研發中。作為一直在追求安全可靠的互聯網汽車之路上踏實前進的小鵬汽車，有責任有義務把互聯網汽車中的系統安全隱患提出來。「前人所襲誤者，可以自我更之。前人所未及者，可以自我創之。」我們已經採取許多系統安全的保護措施應用在將要量產的小鵬汽車上。

毫無疑問，這將會是一輛不一樣的、安全可靠的互聯網電動汽車。

參考資料

nn1． J. Pelzl， Marko Wolf，T. Wollinger，Simon Burton．汽車的嵌入式系統安全．http://www.newmaker.com/art_48276.html，2012-12-19．

2．本一．破解特斯拉是怎樣一種體驗．http://www.cheyun.com/content/7833， 2015-08-21．

3．Carter．信息安全擔憂：入侵車載系統的多種途徑．http://auto.gasgoo.com/News/2014/05/0903120812860296633270.shtml，2014-05-09．
推薦閱讀：