編者按：本文來(lái)自小鵬汽車(chē)工程師原創(chuàng)發(fā)布雷鋒網(wǎng)。

互聯(lián)網(wǎng)汽車(chē)的興起

互聯(lián)網(wǎng)汽車(chē)概念在2015年初悄然興起，話(huà)題圍繞“互聯(lián)網(wǎng)科技企業(yè)通過(guò)車(chē)聯(lián)網(wǎng)，打通汽車(chē)整車(chē)企業(yè)的橋梁”，而后， 部分互聯(lián)網(wǎng)公司的應(yīng)用產(chǎn)品開(kāi)始進(jìn)一步滲透到汽車(chē)車(chē)載系統(tǒng)中，使得互聯(lián)網(wǎng)公司與汽車(chē)有了更深度的契合。在這一波弄潮兒中，小鵬汽車(chē)低調(diào)而又穩(wěn)健的推進(jìn)互聯(lián)網(wǎng)汽車(chē)開(kāi)發(fā)事業(yè)。

“車(chē)聯(lián)網(wǎng)”概念如今越來(lái)越熱， 從2015年的觀望期，到如今的高速建設(shè)期——各大車(chē)廠(chǎng)都開(kāi)始對(duì)車(chē)聯(lián)網(wǎng)系統(tǒng)進(jìn)行設(shè)計(jì)， 規(guī)劃和開(kāi)發(fā)。

傳統(tǒng)車(chē)聯(lián)網(wǎng)T-Box

在傳統(tǒng)車(chē)聯(lián)網(wǎng)汽車(chē)會(huì)有一個(gè)核心聯(lián)網(wǎng)設(shè)備，稱(chēng)之為"T-Box",內(nèi)置一個(gè)modem模塊，可連接通信網(wǎng)絡(luò)，將汽車(chē)數(shù)據(jù)發(fā)送給他們的制造商。 T-Box是將汽車(chē)與互聯(lián)網(wǎng)連接的一個(gè)紐帶，它可以將網(wǎng)絡(luò)端指令解析成CAN協(xié)議，轉(zhuǎn)發(fā)至CAN收發(fā)器；反過(guò)來(lái)也可以將車(chē)內(nèi)數(shù)據(jù)反饋到網(wǎng)絡(luò)服務(wù)端。表現(xiàn)出來(lái)的就是我們用戶(hù)可以通過(guò)一個(gè)手機(jī)APP，可以反向控制汽車(chē)：開(kāi)門(mén)、 啟動(dòng)空調(diào)、 定位車(chē)身位置等等。

在設(shè)計(jì)這部分車(chē)聯(lián)網(wǎng)系統(tǒng)，整車(chē)廠(chǎng)有幾種不同的方案，有的通過(guò)采購(gòu)T-Box，自己開(kāi)發(fā)后臺(tái)與手機(jī)APP，這樣有自主可控能力，但需要培養(yǎng)一些研發(fā)；另外一種是通過(guò)整體方案外包，來(lái)快速達(dá)到生產(chǎn)目的，但這樣依賴(lài)于外包企業(yè)，也在后續(xù)升級(jí)受到制約。還有一種是完全的OEM，供應(yīng)商提供好的服務(wù)平臺(tái)、SDK和適配設(shè)備，可以短期內(nèi)打通功能流程。無(wú)論是采用的哪種方案，這一技術(shù)架構(gòu)上的應(yīng)用會(huì)非常復(fù)雜。

互聯(lián)網(wǎng)汽車(chē)安全

當(dāng)汽車(chē)具備互聯(lián)網(wǎng)這項(xiàng)特性后，除了可以享受到互聯(lián)網(wǎng)科技帶來(lái)的便利，同樣需要重點(diǎn)關(guān)注互聯(lián)網(wǎng)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題。尤其是在服務(wù)后臺(tái)，手機(jī)APP與車(chē)機(jī)端的通信安全。

2015年2月份寶馬的ConnectedDrive服務(wù)被曝出漏洞，寶馬召回220萬(wàn)輛汽車(chē)，其原因是服務(wù)平臺(tái)和T-Box之間沒(méi)有使用HTTPS進(jìn)行加密傳輸，泄露了包括VIN、控制指令等信息。黑客可以利用偽基站，讓寶馬汽車(chē)的網(wǎng)絡(luò)連接注冊(cè)到一個(gè)假的TSP中，然后利用分析出來(lái)的控制指令給汽車(chē)下發(fā)指令，最終可以打開(kāi)車(chē)門(mén)，啟動(dòng)汽車(chē)。

SAE J3061

汽車(chē)互聯(lián)給用戶(hù)帶來(lái)了巨大的便利，但同時(shí)也把汽車(chē)系統(tǒng)暴露在互聯(lián)網(wǎng)所帶來(lái)的安全風(fēng)險(xiǎn)之中，因此整車(chē)廠(chǎng)必須采取措施，以確保車(chē)輛不會(huì)成為黑客攻擊的受害者。 SAE發(fā)布了一份最佳做法（ Best Practices）建議， SAE J3061推薦規(guī)程《 Cybersecurity Guidebook forCyber-Physical Vehicle Systems》 是首部針對(duì)汽車(chē)網(wǎng)絡(luò)安全而制定的指導(dǎo)性文件，協(xié)助整車(chē)廠(chǎng)通過(guò)實(shí)施結(jié)構(gòu)清晰的項(xiàng)目，以保證汽車(chē)在全生命周期中都可獲得有效的保護(hù)。J3061只是根據(jù)目標(biāo)提出的建議，并非強(qiáng)制性措施，需要整車(chē)廠(chǎng)根據(jù)自身要求打造適合自己的解決方案。

SAE J3061的總體指導(dǎo)原則：

1、 知道你系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

會(huì)有任何敏感數(shù)據(jù)或個(gè)人身份信息(PII)存儲(chǔ)在系統(tǒng),或通過(guò)你的系統(tǒng)傳輸

你的系統(tǒng)在車(chē)輛安全關(guān)鍵功能上扮演怎樣的角色（如果有的話(huà)）

在車(chē)輛系統(tǒng)中使用何種通信和連接

進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)/威脅分析

2、 理解關(guān)鍵的網(wǎng)絡(luò)安全原則：

保護(hù)個(gè)人身份信息(PII)和敏感數(shù)據(jù)

用“最小特權(quán)”的原則,所有組件使用盡可能少的權(quán)限運(yùn)行

應(yīng)用“縱深防御”,尤其是最高風(fēng)險(xiǎn)的威脅

禁止危險(xiǎn)的校準(zhǔn)和/或軟件更改

防止用戶(hù)對(duì)已經(jīng)售出車(chē)輛未經(jīng)授權(quán)的修改， 那樣可能降低車(chē)輛的安全性

3、 考慮車(chē)主使用系統(tǒng)：

減少數(shù)據(jù)收集

啟用用戶(hù)政策和控制

保護(hù)存儲(chǔ)、 使用和傳輸PII數(shù)據(jù)

提供適當(dāng)?shù)奶嵝眩?在進(jìn)行數(shù)據(jù)收集,存儲(chǔ),或者共享時(shí)

4、 在概念和設(shè)計(jì)階段實(shí)現(xiàn)網(wǎng)絡(luò)安全：

系統(tǒng)應(yīng)在思考和概念階段就應(yīng)該定義網(wǎng)絡(luò)安全

分析威脅（ 啟動(dòng)外部或內(nèi)部系統(tǒng)和惡意意圖)來(lái)確定系統(tǒng)將面臨怎樣的風(fēng)險(xiǎn)和攻擊

實(shí)現(xiàn)網(wǎng)絡(luò)安全分析和管理工具,使工程師能確定和配置優(yōu)化系統(tǒng)的安全級(jí)別

5、 在開(kāi)發(fā)和驗(yàn)證階段實(shí)現(xiàn)網(wǎng)絡(luò)安全：

審查設(shè)計(jì)評(píng)估網(wǎng)絡(luò)安全需求是否得到滿(mǎn)足

進(jìn)行測(cè)試， 以確認(rèn)在模塊/控制器/ ecu和整個(gè)汽車(chē)設(shè)計(jì)階段已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)安全

測(cè)試軟件補(bǔ)丁/修改部署工具和流程,以確保任何對(duì)外使用車(chē)輛軟件可以做到不影響車(chē)輛的網(wǎng)絡(luò)安全防御系統(tǒng)

6、 實(shí)現(xiàn)網(wǎng)絡(luò)安全事件反應(yīng)：

修改(或創(chuàng)建)事件反應(yīng)過(guò)程，理解網(wǎng)絡(luò)安全事件

發(fā)布部署指南

如果有事件發(fā)生時(shí),如何對(duì)軟件或校準(zhǔn)進(jìn)行更新

為經(jīng)銷(xiāo)商開(kāi)發(fā)適當(dāng)?shù)牟牧希蛻?hù)求助熱線(xiàn)， 網(wǎng)站， 和用戶(hù)手冊(cè)

7、 網(wǎng)絡(luò)安全在周期結(jié)束增加考慮：

確定是否有任何ecu的車(chē)輛需要SW / HW或客戶(hù)個(gè)人信息， 原本需要擦除以保護(hù)客戶(hù),或保護(hù)組織(如防盜控制系統(tǒng)、 手機(jī)配對(duì))

提供一個(gè)方法來(lái)刪除車(chē)輛或模塊上的個(gè)人信息， 在改變所有權(quán)或停止使用時(shí)

沒(méi)有哪個(gè)系統(tǒng)是100%安全的，但遵循結(jié)構(gòu)化流程有助于降低網(wǎng)絡(luò)攻擊得手的可能性。結(jié)構(gòu)完善的流程還能應(yīng)對(duì)不斷變化的威脅。在互聯(lián)網(wǎng)越來(lái)越多的融入汽車(chē)時(shí)，對(duì)于整車(chē)的網(wǎng)絡(luò)安全需要考慮布局的面會(huì)越廣，很多以前傳統(tǒng)沒(méi)有遇到過(guò)的攻擊都有可能出現(xiàn)在互聯(lián)網(wǎng)車(chē)載系統(tǒng)上，對(duì)整車(chē)安全造成威脅。

這需要我們從一開(kāi)始把這些設(shè)計(jì)納入開(kāi)發(fā)范疇以及持續(xù)的安全演進(jìn)，去打造符合互聯(lián)網(wǎng)趨勢(shì)的駕駛體驗(yàn)。如何保證用戶(hù)的行車(chē)安全和隱私，還需要車(chē)企和互聯(lián)網(wǎng)巨頭們聯(lián)手合作，一道前行！

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。