无线网络的出现,代表着汽车不再是独立存在的个体,而是融入到了整个物联网的大潮中。任何事情都有两面性,进入物联网,万物可联,访问方便快捷,但是随之而来的就是陌生人可以通过物联网访问私人车辆成为了可能和现实。

随着2015年7月两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一辆Jeep自由光行驶过程的经典案例曝光,大家对车联网的安全性能提出了大大的问号。两位黑客侵入克莱斯勒公司出品的Uconnect车载系统,远程通过软件向该系统发送指令,启动车上的各种功能,包括减速、关闭发动机、制动或让制动失灵。他们顺利的侵入到了系统,并成功的控制了车辆。好在两位仁兄把结果反馈给了克莱斯勒,使得这批汽车得以顺利召回并升级。但是并不是每个人都心怀好意的去这么做,一旦别有用心的人攻击了私人车辆,不仅仅是造成车内财物丢失或者车辆被盗,也可能危及到司机和乘客的生命安全。所以,车联网的安全也是车厂要在实现自动驾驶过程中打好基础的必修课之一。

黑客通过什么接口攻击汽车?

1、OBD接口

OBD是英文On-Board Diagnostic的缩写,即车载诊断系统。本来这个模块是给车企的工程师用来诊断整车网络中ECU故障的接口(简明称谓就是修车),但是现在被许多公司商用化了。它除了能够监测到车辆仪表显示的数据外,能随时监控发动机的运行状况、油耗记录、车速里程、胎压值、电池电压、气囊报警、加速减速、刹车拐弯等数据。概括一句话来说,只要是搭载在CAN上ECU数据,都能够被OBD检测并反馈到监控设备或者监控软件上。

最初的OBD接口基于ISO协议的K-Line通讯方式,通过计算机标准的串口通讯方式与外接设备相连接,采用半双工的通信效率比较低,所以基本上已经被淘汰。现在CAN总线通讯方式成为了主流,CAN总线也使用了基于ISO的协议,属于网络型分布,具有很强的可扩展性。国内市场在2008年7月份开始强制规定所有市场上出售的车辆都必须配备这个协议,使车辆检测工作得到了简化,并且让OBD大行其道。

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第1张图片-零帕网

OBD工作模式图  

2、基于上述原理,通过PC软件或者手机APP实现对车况的综合检查了。现在市场上的OBD有如下的模式:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第2张图片-零帕网

市场上的OBD模式

其中蓝牙版和数据线版市场份额比较大,而WIFI版和SIM卡版则相对来说比较少。

事实上黑客通过OBD攻击汽车的可能性比较小(姑且不算SIM卡版,SIM卡版相当月3G/4G网络攻击范围内),一方面是依赖于OBD设备要被用户安装在汽车上;另外一方面这些设备都会受到距离的影响。要想完成对汽车的攻击,黑客需要确保OBD在车内,同时不能离车距离太远。这个对于自动驾驶没有太多的影响,所以不做深入探讨。

3、 BT和WiFi接口

现在越来越多的汽车拥有了蓝牙和WiFi等配置。

传统车企配置BT功能为了实现蓝牙电话、手机互联、蓝牙钥匙等功能。如同蓝牙OBD一样,BT模块受到距离和场景的影响,不会对自动驾驶产生影响,笔者也不做探讨。

而通过智能车机配置WiFi芯片,则可以搭载WiFi功能模块。WiFi模块可以连接到手机或者WiFi AP基站的无线热点,从而实现部分的车联网,完善车内的影音娱乐系统,增加用户喜闻乐见的上网空能。而这也成了黑客们攻击汽车的一条路径。如下图:(版权为笔者,并不十分精确。如需引用,请注明):

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第3张图片-零帕网

WiFi的传输距离越来越远,而且基站越来越多,且无缝切换变得越来越容易,所以也会有可能将来成为车联网和自动驾驶的通讯主体,所以被攻击的可能性还是很大的。

让笔者先说一下WiFi的 认证加密模式。

先说认证,现在存在4种认证模式:

1. WEP(Wired Equivalent Privacy,有线等效保密);

2. WPA(WiFi Protected Access,WiFi网络安全存取);

3. WPA2,即WPA加密的升级版,是WiFi联盟验证过的IEEE 802.11i标准的认证形式;

4. WPA-PSK+WPA2-PSK,WPA-PSK使用TKIP加密方法把无线设备和接入点联系起来。WPA2-PSK使用AES加密方法把无线设备和接入点联系起来。

再说一下无线的加密算法,当前加密算法有三种:

1.有线等效加密(WEP)是原始 IEEE 802.11 标准中指定的数据加密方法,是WLAN安全认证和加密的基础,用来保护无线局域网中授权用户所交换的数据的私密性,防止这些数据被窃取。

2.TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议) 是IEEE 802.11组织为修补WEP加密机制而创建的一种临时的过渡方案。

3.AES-CCMP(Counter mode with CBC-MAC Protocol,计数器模式搭配CBC-MAC协议)是目前为止面向大众的最高级无线安全协议。IEEE 802.11i 要求使用 CCMP 来提供全部四种安全服务: 认证、机密性、完整性和重发保护。 CCMP 使 128 位 AES (Advanced Encryption Standard,高级加密标准)加密算法实现机密性,使用CBC-MAC(区块密码锁链-信息真实性检查码协议)来保证数据的完整性和认证。

一般说来,黑客通过破解WiFi的认证加密模式便可以实现对车内影音娱乐系统的控制,一旦控制了操作系统,首先便可以控制了车内娱乐设备,如随便更换收音机波段,启动关闭导航,调节音量大小等等;更严重一些,则是有可能攻破CAN总线,实现对其他ECU电子模块的控制,则会导致更严重的危险。这个我们后面会说到。

所以传统车企必须要对WiFi的认证方式和加密算法有所了解,在配备WiFi模块时,尽量采用:

a)  配置的WiFi设备采用加密算法强的认证方式实现对车载设备的保护;

b)  不断跟踪最新的认证加密方式,及时给最终用户升级;

c)  不断提醒用户及时更新密码。

如图(源自网络图片)。

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第4张图片-零帕网

4、手机通讯网络(2G/3G/4G)

随着车联网和自动驾驶的到来,现在车辆为了实现网络通讯功能,越来越多的内置了通讯运营商提供的SIM卡,通过2G/3G/4G无线网络实现车辆访问互联网(也就是第一代车联网)的功能。这也给黑客提供了远程攻击的便利条件。而且不像OBD/BT/WiFi那样容易受到距离和位置的影响。

如何预防和防止来自外部的攻击?

再次回到前面提到的2015年7月两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一辆Jeep自由光的事件。两位黑客正是通过破解内置在JEEP自由光中的Sprint运营商服务的通信协议实现对车辆的远程控制的。sprint网络就是允许不同设备通过通信基站天线进行自由通信的,这就能为黑客提供远程攻击传播通道。那么能够实现远程攻击的前提条件是什么呢?

因为成千上万由克莱斯勒出产的轿车、SUV以及卡车配备了“Uconnect”智能互联系统,类似于可联网计算机功能。该系统内置了Sprint运营商的2G/3G SIM卡。通过PC或者手机APP实现远程控制车辆的娱乐以及导航系统,同时可以拨打电话甚至设立WiFi热点。两位黑客选择了一部廉价的京瓷安卓智能手机连接至一部MacBook,通过3G数据网络扫描Sprint的通信数据,获取随机的机动车识别码、IP地址以及GPS坐标。然后通过无线网络入侵“Uconnect”系统,实现对汽车的控制。

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第5张图片-零帕网

传统车企现在越来越重视数字安全方面。然而,面对互联网企业疯狂的强势介入和竞争,需要配置娱乐、导航及安全功能部署更多的全新联网服务。结果就是,来自外部的危险正在窥探着每一个潜在的漏洞。那么怎么预防和防止来自外部的攻击呢?

采用强认证的APN专线和基于HTTPS的安全通信;

搭建后台的数据中心(IDC)采用墙防火墙,IDC采用专有加密服务器;

第三方监测机构测试漏洞;

内部和外部建立有效的监测系统;

采取彼此独立的架构,限制攻击的范围;

整车要配置搭载安全芯片的GateWay;

采取与如今手机更新软件的方式来及时更新汽车上智能设备的软件。

如下图(版权为笔者,并不十分精确。如需引用,请注明):

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第6张图片-零帕网

综上所述,到目前为止,基本上黑客攻击汽车的入口也就有这么多,让笔者再来简单阐述一下:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第7张图片-零帕网

只要连接上网络,事情就没有那么简单,需要车厂和网络安全公司、互联网公司,甚至是国家网络安全部门的通力合作,才能确保汽车不被攻击。

讲了这么多,大家可能会问,这些貌似和互联网的安全没什么区别,怎么会导致车辆(财产和生命)的安全呢?是不是夸大其词呢?

是的,其实整车才是最后一道防线。笔者也多多少少透露了独立架构、GateWay、智能设备等等。

虽然说“师傅领进门,修行靠个人”用在这里并不是很合理的,但是代表着传统车企核心技术的整车网络确实需要不断的进化和自我修行,以便适应互联网的冲击,解决无线网络带来的安全风险。

让笔者带着读者再次重温一下整车的网络拓扑结构,一般说来有以下几种架构:

CAN网络架构:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第8张图片-零帕网

FlexRay网络架构:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第9张图片-零帕网

Most网络架构:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第10张图片-零帕网

Ethenet网络架构:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第11张图片-零帕网

在这里,不再讨论网络架构的优劣,而是讨论抵御外来黑客的攻击。

基于前几篇的讲述,面对互联网企业疯狂的强势介入和竞争,需要配置娱乐、导航及安全功能部署更多的全新联网服务。结果就是,来自外部的危险正在窥探着每一个潜在的漏洞。那么怎么预防和防止来自外部的攻击呢?

l  采用强认证的APN专线和基于HTTPS的安全通信;

l  搭建后台的数据中心(IDC)采用墙防火墙,IDC采用专有加密服务器;

l  第三方监测机构测试漏洞;

l  内部和外部建立有效的监测系统;

l  采取彼此独立的架构,限制攻击的范围;

l  整车要配置搭载安全芯片的GateWay;

l  采取与如今手机更新软件的方式来及时更新汽车上智能设备的软件。 

在这里,其实后三个方案则主要是针对于整车内部网络系统的安全策略,可以说完全可以应用于以上所有的网络架构,让笔者对此一一描述。

1、整车要配置搭载安全芯片的GateWay

“一夫当关,万夫莫开”常用来描述雄关要塞,形容关口之重要,可阻挡千军万马的攻击。所以,对于整车网络与互联网之间接口安全的重要性,就不言而喻了。一般说来,整车网络系统也要借鉴互联网的经验,在整车网络入口设置高安全级别的网关显得尤为重要。当前,大部分公司为此搭载了T-BOX,一边实现网络通信的功能,一边建立网络安全机制,实现对整车网络的保护。如下图(版权为笔者,并不十分精确。如需引用,请注明):

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第12张图片-零帕网

T –BOX(3G/4G模块)

基于CAN网络的大致架构如下图(版权为笔者,并不十分精确。如需引用,请注明):

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第13张图片-零帕网

总之,就是通过T-BOX实现对整车网络的安全保护。为增强对车外网络攻击,要求实现HSM和软件安全加密技术。软件防火墙应包含:White list、Black list、DPI/SPI、等。

其中HSM(Hardware Security Module)是硬件加密模块,现在基本上会采用AES 128位或256位硬件数据加密技术对产品硬件进行加密,具备防止暴力破解、密码猜测、数据恢复等功能。硬件加密的加密运算执行和解密都在硬件内部实现,外部难以破解。

而软件防火墙(Firewall)则需要包含以下内容:

Whitelist:

l  认证的信息发送端设备(T-BOX)列表;

l  T-BOX控制命令列表;

l  T-BOX网络信息列表;

l  T-BOX的标准信息;

Blacklist:

l  诊断命令;

l  T-BOX写命令;

l  T-BOX的非标准信息;

整车远程控制功能的逻辑验证;

DPI/SPI解析;

总之,无论是使用T-BOX,还是增加独立的Gateway,最终的目的就是不能将整车网络直接暴露给互联网,使得黑客有可乘之机。

2、采取彼此独立的架构,限制攻击的范围

1981诺贝尔经济学奖的得主,美国经济学家——詹姆斯·托宾,曾经说过一句话:“不要把你所有的鸡蛋都放在一个篮子里(Don’t put all your eggs into the same basket)”,常用于经济学,其实也同样应用于汽车整车网络的安全。

让笔者在简述一下汽车的总体构造。基本上汽车由四大系统组成:动力系统、底盘系统、车身系统、电子电器系统。

动力系统——动力系统主要是指发动机。发动机是汽车中将燃料燃烧的热量转变为机械能,为汽车提供动力的设备。 现在的新能源汽车则以电池为动力系统,取代燃油成为新的动力总成。

底盘系统——底盘系统接收发动机动力,使汽车运动,并保证正常行驶。底盘由传动系、行驶系、转向系、制动系组成。 

传动系:由离合器、变速箱、万向传动装置、驱动桥等组成。作用是将发动机动力传给驱动车轮。 

行驶系:由车架、车桥、车轮、悬架等组成。作用是布置、安装、连接汽车各总成,起到支持全车保证汽车行驶。 

转向系:由方向盘、转向器及转向传动装置组成。作用是保证汽车按照驾驶人所定方向行驶。 

制动系:由制动器,自动传动装置,制动助力辅助装置等组成。作用是行驶中减速、停车。 l  车身系统——用以提供驾驶员、乘客或货物的位置,保护乘客安全。 

电子电器系统——为汽车启动、行驶及智能设备等提供电源。主要由电源、启动系、点火系,汽车照明,整车网络架构、智能车机、仪表、HUD、后排娱乐系统等组成。 

如此多的系统,每个系统下面有着特别多的功能模块,车企需要考虑每一个可在整车网络中体现的模块的安全,最好能够实现对每一个模块独立管理,但是仔细计算一下,这是很难实现的。大体上,对不同的系统实现不同的模块化管理,管理的机制也根据该系统的特点进行区分。分模块管理的整车网络大致如下:

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第14张图片-零帕网

将不同的系统放到不同的网络中,但是只是由一个或者多个Gateway(s),在一个Gateway的不同位置,或者在不同的Gateway中,实现对不同系统的Firewall式管理。从而避免了攻破一处,整车网络都暴露在光天化日之下。

基本上,底盘的四大系统和电子电器系统,是当前互联网入侵两个最主要的问题点。因为电子电器系统的智能车机或者T-BOX是用户接入互联网的入口和通道(3G/4G/5G/WIFI等等),也是黑客最容易发现漏洞的模块,而PEPS则实现了汽车的远程启动和控制,是汽车运转的第一关。前者接入到整车网络,一旦被攻破,就实现了外界对整车的访问,而后者则可以控制汽车启动,再加上底盘的四大系统,黑客就可以远程控制汽车做任何事情。

可能以上两条理解起来比较困难,简而言之,第一条就是“据敌于国门之外”;第二条则是“分而治之”,避免一点攻破,整车网络都被攻破。笔者以最简单的T-BOX和简单的CAN网络来举例,简明扼要的说明一下问题点。如下图(版权为笔者,并不十分精确。如需引用,请注明)。

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第15张图片-零帕网

第一栏介绍了T-BOX的必要性;第二栏则是介绍了T-BOX被攻击后导致问题;第三栏则是最简单的规避方案。

3、采取如今手机更新软件方式(FOTA)及时更新汽车上智能设备的软件

至于这一条,最通俗易懂的话就是“道高一次,魔高一丈”,世界上没有攻不破的城墙。那么如何去应对呢?那就是及时通过别人或者自己去发现漏洞,如下图。然后通过技术手段去完善它,然后采取如今手机通用的更新软件方式(FOTA:Firmware Over-The-Air),及时的更新汽车上所有可以更新的设备软件。

在攻城狮眼里,传统车企怎样才能避免被出局?——车联网安全篇-第16张图片-零帕网

FOTA技术在移动设备端已经被广泛使用,主要是做终端升级,未来的FOTA不仅仅是系统升级功能,更重要的是要有设备管理(Device Management)的功能,这样不但能够给整车网络修补漏洞,实现对White list、Black list,Function logic等的升级;同时还能提供高效的工具和通道,更好的管理整车中多个Gateways,动态的完善或者调整不同的Gateway对不同系统的控制,让黑客攻击的变得更难!

解决了安全问题,就相当于解除了后顾之忧,接下来,就是满足用户的需求了。满足了客户需求,就能够把握住用户的购车热点,让车企快速发展。