在今年7月于美國(guó)拉斯維加斯舉行的2017世界黑客大會(huì)（Black Hat 2017） 上，騰訊安全聯(lián)合實(shí)驗(yàn)室科恩實(shí)驗(yàn)室驗(yàn)證了特斯拉電動(dòng)車(chē)的多個(gè)安全漏洞，并對(duì)特斯拉Model X進(jìn)行了無(wú)物理接觸遠(yuǎn)程攻擊，可以在駐車(chē)和行駛模式下，利用CAN總線對(duì)汽車(chē)進(jìn)行任意遠(yuǎn)程操控。其實(shí)在2016年9月，該實(shí)驗(yàn)室曾已經(jīng)破解過(guò)一次特斯拉的Model S，馬斯克為此還親自寫(xiě)信向?qū)嶒?yàn)室表示了感謝，并彌補(bǔ)了當(dāng)時(shí)發(fā)現(xiàn)的漏洞。

以上只是近年來(lái)在世界各地發(fā)生的無(wú)數(shù)起車(chē)輛遭受網(wǎng)絡(luò)攻擊事件中的其中一個(gè)例子。好在迄今為止，發(fā)動(dòng)攻擊的人們基本上以沒(méi)有惡意的所謂“白帽（White Hat）”黑客為主，尚沒(méi)有造成道路上的巨大破壞，好萊塢大片“速度與激情8”中所描繪的眾多汽車(chē)的駕駛系統(tǒng)與車(chē)聯(lián)網(wǎng)智能終端被反派領(lǐng)導(dǎo)的電腦黑客團(tuán)隊(duì)給控制并給城市造成混 亂的局面還沒(méi)有真正出現(xiàn)， 但這也讓大眾看到，隨著聯(lián)網(wǎng)汽車(chē)的數(shù)量日益增加，車(chē)輛遭受各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)在不斷升高。

今天我們會(huì)就汽車(chē)信息安全（也稱網(wǎng)絡(luò)安全）(Cybersecurity)的課題，專門(mén)作一定的介紹。首先我們會(huì)說(shuō)明一下侵害信息安全的攻擊的幾種主要途徑和方式，然后再介紹一下目前在汽車(chē)電子電器架構(gòu)上常見(jiàn)防護(hù)措施，最后再簡(jiǎn)單總結(jié)一下全世界針對(duì)車(chē)輛信息安全這一課題所出臺(tái)或正在醞釀中的一些主要法規(guī)、指南和標(biāo)準(zhǔn)。

1．對(duì)車(chē)輛信息安全產(chǎn)生危害的攻擊可以通過(guò)多種途徑來(lái)進(jìn)行，但總的說(shuō)來(lái)，可以歸納成三種：

第一，通過(guò)物理接觸來(lái)進(jìn)行攻擊。從黑客的角度來(lái)看，他們想控制一臺(tái)汽車(chē)，最簡(jiǎn)單的方式是通過(guò)后門(mén)在里面裝一個(gè)系統(tǒng)，這樣就很容易拿到控制權(quán)限。事實(shí)上最早的對(duì)特斯拉的攻擊也就是通過(guò)“車(chē)載診斷系統(tǒng)”（On-Board Diagnostic或簡(jiǎn)稱OBD）去做的。以前許多車(chē)廠對(duì)這類攻擊不很重視，認(rèn)為這種接觸式控制必須依靠與車(chē)輛本身有物理接觸才可以進(jìn)行，而一般只有使用者才能做到這一點(diǎn)，所以潛在危險(xiǎn)不大，但是隨著共享經(jīng)濟(jì)的發(fā)展，租車(chē)現(xiàn)象會(huì)變得越來(lái)越普遍，能進(jìn)入并駕駛車(chē)輛的機(jī)會(huì)劇增，黑客們可以通過(guò)改變ECU軟件內(nèi)容，或用作過(guò)手腳的部件替代原裝部件等方法來(lái)創(chuàng)造侵入的機(jī)會(huì)。 還有，新興的電動(dòng)車(chē)?yán)锬承┬碌奈锢?a target="_blank">接口的引入，也會(huì)增加通過(guò)接觸來(lái)控制汽車(chē)的機(jī)會(huì)，例如黑客可以通過(guò)智能充電樁來(lái)讀取并篡改某些車(chē)輛信息。

第二，通過(guò)近場(chǎng)控制來(lái)進(jìn)行攻擊。目前許多汽車(chē)都有藍(lán)牙、車(chē)載WIFI或者其它利用射頻信號(hào)進(jìn)行通訊的設(shè)備和器件，比如許多智能車(chē)鑰匙， 這些都屬于近場(chǎng)通信。如果沒(méi)有加強(qiáng)防范，近場(chǎng)通訊有許多漏洞是可以被利用來(lái)作為攻擊的途徑的 。藍(lán)牙本身沒(méi)有很好的認(rèn)證和加密機(jī)制， 即使是WIFI設(shè)定了密碼，但是強(qiáng)度不夠的密碼黑客是很容易通過(guò)不斷排列組合試錯(cuò)的所謂“暴力破解攻擊（Brute-force Attack）”的方法來(lái)破解， 許多密碼的安全性遠(yuǎn)沒(méi)有密碼設(shè)定者想象的那么安全。通過(guò)藍(lán)牙、WIFI，在離車(chē)輛不遠(yuǎn)的地方都可以連入車(chē)內(nèi)的車(chē)載系統(tǒng)，對(duì)車(chē)輛進(jìn)行控制。

第三，通過(guò)遠(yuǎn)程控制來(lái)進(jìn)行攻擊。首先，現(xiàn)在帶有車(chē)聯(lián)網(wǎng)的車(chē)輛常用的TBox (Telematics Box/ Control Moduel,即遠(yuǎn)程通訊處理器) 需要與互聯(lián)網(wǎng)、車(chē)機(jī)(head-unit) 或者與總線相連。一旦汽車(chē)通過(guò)TBox連上互聯(lián)網(wǎng)，它立刻就成為傳統(tǒng)黑客們一個(gè)非常擅長(zhǎng)的場(chǎng)合，對(duì)它的攻擊往往是簡(jiǎn)單的事情，因?yàn)槠?chē)內(nèi)部用于通訊的傳統(tǒng)總線就對(duì)此類攻擊就根本沒(méi)有什么防范的機(jī)制，例如汽車(chē)中最常用的CAN總線。

其次，對(duì)于智能車(chē)機(jī)的攻擊模式也很多，原因之一是現(xiàn)在智能車(chē)機(jī)的操作系統(tǒng)局限在QNX和安卓等少量的幾種，一旦有漏洞被知曉，車(chē)機(jī)本身安全立刻成問(wèn)題，而車(chē)機(jī)的工作方式是要通過(guò)車(chē)聯(lián)網(wǎng)和外界進(jìn)行聯(lián)系，其潛在的風(fēng)險(xiǎn)不可小覷。

再次，車(chē)主手機(jī)里用來(lái)控制各種車(chē)輛功能的app，在提供諸如遠(yuǎn)程啟動(dòng)、上車(chē)之前打開(kāi)空調(diào)和窗戶、油耗觀察等便捷功能的同時(shí)，也為黑客提供了接入汽車(chē)系統(tǒng)非常好的通道。

最后，車(chē)廠和第三方應(yīng)用服務(wù)商可以給具有車(chē)聯(lián)網(wǎng)功能的車(chē)輛提供越來(lái)越多的云端服務(wù)，一個(gè)典型的例子就是車(chē)內(nèi)控制器軟件的遠(yuǎn)程更新（Software/Flash Over-the-Air或簡(jiǎn)稱SOTA/FOTA），利用該功能汽車(chē)可以做到遠(yuǎn)程更新特定控制器中的軟件而不需要像目前絕大多數(shù)車(chē)輛一樣必須將車(chē)開(kāi)到4S店去才可以做這個(gè)工作，特斯拉甚至通過(guò)軟件的遠(yuǎn)程更新讓顧客付費(fèi)后啟動(dòng)一些原先潛在的功能來(lái)提供增值服務(wù)，如著名的自動(dòng)駕駛功能Autopilot2 ，從而創(chuàng)造了一種前所未有的汽車(chē)商業(yè)模式，但是這種服務(wù)也可能給黑客打開(kāi)了一個(gè)很好的攻擊窗口。

在整個(gè)車(chē)聯(lián)網(wǎng)的環(huán)境里黑客可以用來(lái)攻擊的方式有太多了，下面是幾個(gè)典型的場(chǎng)景：

?可以通過(guò)侵入手機(jī)或車(chē)機(jī)使用的第三方服務(wù)app的數(shù)據(jù)庫(kù)，拿到車(chē)主的用戶名、密碼和使用信息，然后對(duì)這個(gè)app做一下改造以后發(fā)布給用戶，用戶裝上去以后所有的信息對(duì)黑客都變得透明了。

?攻擊車(chē)廠云數(shù)據(jù)中心，事實(shí)上這種攻擊這幾年時(shí)常發(fā)生，因現(xiàn)在幾乎所有跟車(chē)輛和客戶有關(guān)的信息系統(tǒng)都在云端，這種攻擊造成的潛在風(fēng)險(xiǎn)還是非常大的。

? 對(duì)4S店的系統(tǒng)進(jìn)行攻擊，拿到車(chē)主的數(shù)據(jù)或在保養(yǎng)時(shí)給車(chē)子植入惡意軟件

?在通訊過(guò)程當(dāng)中的攻擊。既然要聯(lián)網(wǎng)，需要數(shù)據(jù)通信，通信過(guò)程當(dāng)中黑客可以侵入后對(duì)數(shù)據(jù)進(jìn)行劫持和非法獲得權(quán)限。

2．面對(duì)如此之多的信息安全上的威脅，我們又該如何防護(hù)呢？

因?yàn)楣羰强梢酝ㄟ^(guò)多種途徑以不同的方式來(lái)進(jìn)行，從汽車(chē)工程的角度，防護(hù)工作也必須是在車(chē)輛的電子電器架構(gòu)的多層面上以不同的對(duì)策來(lái)進(jìn)行，信息安全的防護(hù)由以下四個(gè)層面構(gòu)成：

第一層是防止通過(guò)對(duì)外接口對(duì)車(chē)輛進(jìn)行攻擊的防火墻，從而使得車(chē)輛擁有安全接口（Secure Interface），該層面關(guān)注的是汽車(chē)內(nèi)與外的信息安全問(wèn)題。在這個(gè)層面上，要對(duì)診斷接口和諸如WIFI、4G、藍(lán)牙等無(wú)線通訊接口特別進(jìn)行防范，重點(diǎn)部位是OBD接口、TBox、車(chē)機(jī)以及Infortainment（車(chē)內(nèi)信息娛樂(lè)）系統(tǒng)，主要方法是相互通訊機(jī)器間的認(rèn)證（M2M Authentication），這就需要在通訊系統(tǒng)中加入必要的保密機(jī)制，其中一個(gè)核心問(wèn)題就是密鑰的管理。

第二層是控制車(chē)輛內(nèi)部各個(gè)域（Domain）之間進(jìn)行通訊的安全網(wǎng)關(guān)（Secure Gateway），該層面關(guān)注的是汽車(chē)內(nèi)各個(gè)控制域之間的信息安全問(wèn)題。 安全網(wǎng)關(guān)能將整個(gè)車(chē)輛的功能分隔成幾個(gè)不同的域，然后像防火墻或者過(guò)濾器一樣對(duì)所有通過(guò)它的信息進(jìn)行安全方面的檢查，從而具有一種集中式的入侵檢查（Intrusion Detection）的功效。

第三層是通過(guò)對(duì)信息進(jìn)行認(rèn)證和完整性保護(hù)的安全通訊層（Secure Communication），該層面關(guān)注的是個(gè)ECU間的信息安全問(wèn)題。 這個(gè)層面上需要做的是：對(duì)特定的ECU通過(guò)特定的通訊總線（例如CAN總線）交流的消息進(jìn)行認(rèn)證，來(lái)防止黑客入侵開(kāi)放的總線，從而保障車(chē)內(nèi)總線的安全。例如讓CAN通訊系統(tǒng)植入分布式的”入侵檢測(cè)和防御系統(tǒng) （Intrusion Detection & Prevention System或簡(jiǎn)稱為IDPS）” ，以對(duì)接入總線的所有CAN節(jié)點(diǎn)發(fā)出的數(shù)據(jù)和命令進(jìn)行監(jiān)控， 一旦發(fā)些異常就立即提出警告或采取措施將可能危害整個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)區(qū)分出來(lái)。這方面已經(jīng)有許多公司都提出了自己的方案，在這些方案中，入侵檢查最通常的做法就是在需要傳輸?shù)南⒑竺嬖偌由舷⒄J(rèn)證碼（Massage Authentication Code或簡(jiǎn)稱MAC）。請(qǐng)注意，產(chǎn)生MAC也需要借助于ECU內(nèi)部的保密機(jī)制來(lái)完成。

第四層是通過(guò)ECU內(nèi)部所集成的“硬件安全模塊（Hardware Security Module或簡(jiǎn)稱是HSM）”來(lái)保障該ECU的安全性和提供實(shí)施各種安全機(jī)制的一個(gè)“信任錨（Trust Anchor）”或者“可以信任的執(zhí)行環(huán)境（Trusted Executed Environment），從而做到安全數(shù)據(jù)處理（Secure Processing），該層面關(guān)注的是個(gè)ECU內(nèi)部數(shù)據(jù)處理的信息安全問(wèn)題。 值得注意的是，HSM一般本身也自帶一個(gè)微控制器和一些跟保密有關(guān)的硬件電路 ，來(lái)進(jìn)行各種加解密運(yùn)算或者密鑰的存儲(chǔ)和管理等工作， 而黑客是無(wú)法侵入其中的。許多跟信息安全有關(guān)的功能和用例（Use Case），例如程序的安全啟動(dòng)（Secure Boot）、運(yùn)行時(shí)數(shù)據(jù)的完整性保障、以及程序的遠(yuǎn)程更新（SOTA）都離不開(kāi)安全數(shù)據(jù)處理。

3. 車(chē)輛信息安全的法案、指南和標(biāo)準(zhǔn)

汽車(chē)信息系統(tǒng)已安全成為汽車(chē)行業(yè)的一個(gè)重要發(fā)展領(lǐng)域。汽車(chē)制造商、一級(jí)供應(yīng)商、監(jiān)管機(jī)構(gòu)、保險(xiǎn)公司、技術(shù)公司、電信公司以及受新型攻擊環(huán)境影響的組織都在努力加強(qiáng)整個(gè)行業(yè)對(duì)汽車(chē)網(wǎng)絡(luò)安全的重視程度。

同時(shí)，世界上許多國(guó)家的政府也注意到由汽車(chē)網(wǎng)聯(lián)功能所引發(fā)的新興公共安全問(wèn)題，而這導(dǎo)致了諸如美國(guó)參議員馬基和布魯門(mén)塔爾在 2015 年提交了“汽車(chē)研究安全和隱私法案（Security and Privacy in Your Car Act）”，又稱“間諜車(chē)法案”，因?yàn)榉ò傅挠⑽目s寫(xiě)為“SPY Car Act”。有關(guān)政府機(jī)構(gòu)還發(fā)布了多份報(bào)告，如由歐盟網(wǎng)絡(luò)和信息安全機(jī)構(gòu)（European Union Agency for Network and Information Security ，ENISA）發(fā)布的報(bào)告“智能汽車(chē)網(wǎng)絡(luò)安全和恢復(fù)力（Cyber Security and Resilience of Smart Cars）”以及由美國(guó)國(guó)家公路交通安全管理局（US National Highway Traffic Safety Administration ，NHTSA）發(fā)布的“聯(lián)邦促進(jìn)汽車(chē)網(wǎng)絡(luò)安全指導(dǎo)守則（Federal Guidance for Improving Motor Vehicle Cybersecurity”）和“NHTSA 與汽車(chē)網(wǎng)絡(luò)安全（NHTSA and Vehicle Cybersecurity）”。英國(guó)政府與今年八月頒布了針對(duì)只能網(wǎng)聯(lián)汽車(chē)信息安全的原則和指南。甚至聯(lián)合國(guó)也發(fā)表了汽車(chē)信息安全的綱領(lǐng)，其涵蓋了數(shù)據(jù)與信號(hào)加密、車(chē)輛數(shù)據(jù)保護(hù)的第三方認(rèn)證、安全功能等方面的內(nèi)容。 聯(lián)合國(guó)計(jì)劃計(jì)劃展開(kāi)更深入的討論，意在起草具有法律約束力的國(guó)際標(biāo)準(zhǔn)。

目前，國(guó)際上已經(jīng)有 ISO26262 等汽車(chē)安全相關(guān)標(biāo)準(zhǔn)，美國(guó)也已形成 SAEJ3061/IEEE1609.2 等系列標(biāo)準(zhǔn)，歐洲 EVITA 研究項(xiàng)目也提供了相關(guān)汽車(chē)信息安全指南，國(guó)際標(biāo)準(zhǔn)組織ISO和美國(guó)汽車(chē)工程師協(xié)會(huì)SAE目前正攜手制定統(tǒng)一的關(guān)于道路車(chē)輛的信息安全工程的國(guó)際標(biāo)準(zhǔn)ISO21434。

中國(guó)政府在 2014 年頒布的“國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十二個(gè)五年規(guī)劃”中才首次將汽車(chē)信息安全作為關(guān)鍵基礎(chǔ)問(wèn)題進(jìn)行研究，相對(duì)來(lái)講起步比較晚。但隨著近幾年在這個(gè)領(lǐng)域里投入增加，車(chē)輛汽車(chē)信息安全領(lǐng)域的研究也取得了長(zhǎng)足的進(jìn)步，行業(yè)內(nèi)基本建立包括云安全，管安全， 端安全在內(nèi)的「云-管-端」數(shù)據(jù)安全技術(shù)框架，為進(jìn)一步制定中國(guó)智能網(wǎng)聯(lián)數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)打好了基礎(chǔ)。

在網(wǎng)聯(lián)汽車(chē)日益普及的今天，車(chē)輛的信息安全性越來(lái)越重要。在今天的文章里，我們首先簡(jiǎn)短地介紹了黑客影響車(chē)輛信息安全的三種途徑和方法，分別是通過(guò)物理接觸、近場(chǎng)控制和遠(yuǎn)程控制來(lái)實(shí)施可能的攻擊。 其次介紹了在車(chē)輛電子電器架構(gòu)的四個(gè)層次上可以做的一些防護(hù)措施。最后再講述了一下歐美和我國(guó)在加強(qiáng)車(chē)輛信息安全方面所做的努力，包括在立法和標(biāo)準(zhǔn)方面的現(xiàn)狀和進(jìn)展。