智能汽車的出現(xiàn)為技術(shù)和創(chuàng)新的無限可能性打開了大門，但也為汽車本身以外的威脅打開了大門。事實(shí)上，技術(shù)的進(jìn)步正在改變汽車工業(yè)，通過增加由計(jì)算機(jī)控制的汽車部件的數(shù)量，這些部件通過各種通信方式向遠(yuǎn)程系統(tǒng)提供信息。這些變化為網(wǎng)絡(luò)犯罪，特別是電腦黑客的網(wǎng)絡(luò)入侵行為創(chuàng)造了新的機(jī)會(huì)。

對(duì)于汽車網(wǎng)絡(luò)安全來說，或許不是車輛越多越好。原因是當(dāng)網(wǎng)聯(lián)車輛的數(shù)量飚升的同時(shí)，也會(huì)吸引到越來越多的黑客，這意味著潛在受害者的群體更大。其次，每輛汽車的車載通信軟件的代碼內(nèi)容增加的越多，對(duì)黑客來說就有更多能攻擊的潛在弱點(diǎn)。

經(jīng)典案例

隨著2015年7月兩位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一輛Jeep自由光行駛過程的經(jīng)典案例曝光，大家對(duì)汽車的安全性能提出了大大的問號(hào)。

寶馬ConnectedDrive數(shù)字服務(wù)系統(tǒng)遭入侵事件，黑客能夠利用該漏洞以遠(yuǎn)程無線的方式侵入車輛內(nèi)部，并打開車門。

早在2016年9月21日，騰訊科恩實(shí)驗(yàn)室正式宣布，他們以“遠(yuǎn)程無物理接觸”的方式成功入侵了特斯拉汽車。還有研究人員通過特斯拉ModelS存在的漏洞打開車門并開走，同時(shí)還能向Model S發(fā)送“自殺”命令，在車輛正常行駛中突然關(guān)閉系統(tǒng)引擎。

此外，奧迪、保時(shí)捷、賓利和蘭博基尼等大眾旗下品牌的MegamosCrypto防護(hù)系統(tǒng)也遭到攻破。車廠Fiat Chrysler就曾因?yàn)檐浖┒炊倩?30萬輛小貨卡。

網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全在自動(dòng)駕駛汽車安全體系中占據(jù)重要地位。當(dāng)前自動(dòng)駕駛汽車研發(fā)朝智能化和網(wǎng)聯(lián)化兩個(gè)方向發(fā)展，智能化技術(shù)路線是依靠車輛自身的車載傳感器，汽車自主獲取信息、作出決策，完成駕駛行為；網(wǎng)聯(lián)化方案是通過通信技術(shù)連接，汽車通過與外部環(huán)境交互信息獲得決策和控制車輛運(yùn)行能力。但兩種技術(shù)都離不開網(wǎng)絡(luò)的掣肘。

自動(dòng)駕駛汽車首先面臨網(wǎng)絡(luò)傳輸層面的安全威脅。汽車網(wǎng)絡(luò)系統(tǒng)由使用平臺(tái)、互聯(lián)網(wǎng)、車載系統(tǒng)和終端等多個(gè)子系統(tǒng)組成，平臺(tái)層還與其他應(yīng)用服務(wù)商的子系統(tǒng)連接。龐大的參與主體使得網(wǎng)絡(luò)安全的鏈條更為脆弱，網(wǎng)絡(luò)風(fēng)險(xiǎn)激增。車與人、車、路、互聯(lián)網(wǎng)等借助無線通信與其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進(jìn)行連接?；ヂ?lián)網(wǎng)自身加密、認(rèn)證、傳輸?shù)确矫娲嬖诘陌踩┒磳⒈徽麄€(gè)交互網(wǎng)絡(luò)所承接?；ヂ?lián)網(wǎng)應(yīng)用平臺(tái)除了防范病毒、進(jìn)行訪問控制外，還需防止用戶存儲(chǔ)到云端的駕駛數(shù)據(jù)丟失，被非法訪問、篡改和盜竊。

自動(dòng)駕駛汽車還要面對(duì)外部網(wǎng)絡(luò)生態(tài)的安全威脅，包括計(jì)算機(jī)應(yīng)用程序、道路基礎(chǔ)設(shè)施和智能充電裝置。在技術(shù)上能夠通過反向分析挖掘未受保護(hù)的移動(dòng)應(yīng)用軟件，直接獲取遠(yuǎn)程服務(wù)提供商的接口、參數(shù)等核心信息，包括存放在應(yīng)用程序中的密鑰、重要控制接口等。未來自動(dòng)駕駛汽車得以大規(guī)模應(yīng)用后，勢(shì)必要求政府對(duì)現(xiàn)有道路交通基礎(chǔ)設(shè)施進(jìn)行改造。不法分子對(duì)諸如電子公路等智能基礎(chǔ)設(shè)施的攻擊同樣會(huì)導(dǎo)致系統(tǒng)的癱瘓。自動(dòng)駕駛汽車移動(dòng)終端車載系統(tǒng)與云端、基礎(chǔ)設(shè)施、乘客、通訊軟件交換龐大的信息，還需存儲(chǔ)大量的數(shù)據(jù)，亦會(huì)引發(fā)數(shù)據(jù)安全的新問題。此外，自動(dòng)駕駛技術(shù)未來將大規(guī)模運(yùn)用在電動(dòng)汽車上，充電樁中存儲(chǔ)的用戶數(shù)據(jù)信息可能遭到截獲、被動(dòng)攻擊、惡意篡改等威脅。這些輔助網(wǎng)絡(luò)設(shè)施都會(huì)成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)。

如今，由于大部分車廠都在為汽車增加安全、娛樂、導(dǎo)航和自動(dòng)駕駛等功能，于是，汽車內(nèi)部動(dòng)輒有上億行軟件代碼。包括現(xiàn)在有越來越多車隊(duì)通信管理工具出現(xiàn)，其使用率也越來越高，許多物流行業(yè)、出租車行業(yè)等利用這些車載通信管理工具來管理和監(jiān)測(cè)車隊(duì)車輛的績(jī)效、駕駛行為以及貨運(yùn)狀況。

汽車網(wǎng)絡(luò)安全面臨的挑戰(zhàn)與攻擊向來并非新鮮事，而是PC、服務(wù)器以及其他傳統(tǒng)IT系統(tǒng)曾經(jīng)歷過的遭遇的翻版。以PC為例，這些電腦設(shè)備通常沒有時(shí)間去下載補(bǔ)丁或更新Windows等基礎(chǔ)平臺(tái)，更別說是其他應(yīng)用程序如瀏覽器、PDF閱讀器等；補(bǔ)丁與軟件更新一旦未執(zhí)行，就會(huì)為各種黑客攻擊制造機(jī)會(huì)。

還有一個(gè)問題，可能是黑客的終極目標(biāo)，跟車載通信系統(tǒng)完全無關(guān)，例如，儲(chǔ)存產(chǎn)品開發(fā)信息或員工的公司服務(wù)器。在這種情況下，車載通信系統(tǒng)只是一個(gè)達(dá)到目標(biāo)的手段。

另一個(gè)情況則是涉及到車對(duì)車通信（V2V），這種技術(shù)讓車輛與車輛附近的車輛能彼此溝通以避免碰撞。根據(jù)市場(chǎng)研究機(jī)構(gòu)Juniper Research預(yù)測(cè)，到2022年全球市場(chǎng)將會(huì)有一半以上的新車都配備V2V功能，這意味著大約有3500萬輛汽車，這占據(jù)了整個(gè)汽車市場(chǎng)的2.7%，對(duì)于某些黑客來說會(huì)是很有吸引力的攻擊目標(biāo)。

自動(dòng)駕駛汽車網(wǎng)絡(luò)安全的相關(guān)標(biāo)準(zhǔn)及法律規(guī)定

整體來看，大部分自動(dòng)駕駛汽車還處于研發(fā)階段，完整的產(chǎn)業(yè)鏈尚未形成，自動(dòng)駕駛汽車投入大范圍商用還有距離，通過行業(yè)自治保障網(wǎng)絡(luò)安全還有較長(zhǎng)路程。為了降低成本和提高質(zhì)量，將已有的成果規(guī)范化、標(biāo)準(zhǔn)化勢(shì)在必行。

《汽車網(wǎng)絡(luò)安全（信息安全）標(biāo)準(zhǔn)、規(guī)范》（Automotive Cybersecurity Standard and Specification）總結(jié)針對(duì)企業(yè)、組織、產(chǎn)品整個(gè)生命周期的規(guī)范、標(biāo)準(zhǔn)。

系統(tǒng)級(jí)規(guī)標(biāo)

SAE J3061是針對(duì)車輛整個(gè)生命周期的標(biāo)準(zhǔn)。提供了車輛網(wǎng)絡(luò)安全的流程框架和指導(dǎo)，考慮了車輛的整個(gè)生命周期，從概念到生產(chǎn)、運(yùn)行、維護(hù)和報(bào)廢。
ISO 21434是基于SAE J3061制定的、針對(duì)車輛整個(gè)生命周期的標(biāo)準(zhǔn)。ISO 21434主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開發(fā)、運(yùn)行/維護(hù)、流程審核等四個(gè)方面來保障汽車信息安全工程工作的開展。目標(biāo)是通過該標(biāo)準(zhǔn)設(shè)計(jì)、生產(chǎn)、測(cè)試的產(chǎn)品具備一定信息安全防護(hù)能力。該標(biāo)準(zhǔn)正在制定中。計(jì)劃2020年完成

硬件級(jí)規(guī)標(biāo)

信息安全硬件模塊主要解決兩個(gè)問題。第一，密鑰泄漏問題。如果密鑰存儲(chǔ)在應(yīng)用程序的代碼或數(shù)據(jù)中，很容易被泄露，解決辦法就是增加一個(gè)硬件模塊，專門存儲(chǔ)密鑰。第二，通用內(nèi)核直接加密解密運(yùn)算會(huì)占用內(nèi)核大量資源。解決辦法就是增加一個(gè)硬件加速模塊，運(yùn)行加密解密運(yùn)算。

軟件代碼規(guī)范

嵌入式系統(tǒng)常用的 C 語言是一種“不安全”的語言。C 語言的指針就是例子。指針很難理解，同時(shí)指針很容易導(dǎo)致各種問題，比如，堆棧溢出、內(nèi)存泄漏等。解決辦法之一是規(guī)范代碼的格式，不要使用比較容易出錯(cuò)的代碼格式。

在MISRA C:2012Amendment 1中，提供了針對(duì)信息安全的代碼規(guī)范。Additional security guidelines for MISRA C:2012 的下載地址：https://www.misra.org.uk/linkClick.aspx?fileticket=V2wsZxtVGkE%3d&tabid=57

SEI CERT 定義了軟件代碼規(guī)范，目標(biāo)是開發(fā)符合功能安全、信息安全和可靠的系統(tǒng)。SEI CERTC Coding Standard 2016 的下載地址：
https://resources.sei.cmu.edu/downloads/secure-coding/assets/sei-cert-c-coding-standard-2016-v01.pdf

下面介紹的標(biāo)準(zhǔn)、規(guī)范和汽車行業(yè)不直接相關(guān)，但是很有影響力，值得了解一下。

NIST FIPS 140（National Institute of Standards and Technology Federal InformationProcessing Standards 140）

FIPS 140標(biāo)準(zhǔn)適用于軟件和硬件模塊。把網(wǎng)絡(luò)安全等級(jí)分為4級(jí)。（詳情參考：
FaultInjection on Diagnostic Protocols：https://www.riscure.com/publication/fault-injection-automotive-diagnostic-protocols/）

等級(jí)1：不考慮物理攻擊，密碼模塊需要滿足基本的網(wǎng)絡(luò)完全要求（比如：密碼模塊至少使用一種被批準(zhǔn)的算法或被批準(zhǔn)的網(wǎng)絡(luò)安全功能）。等級(jí)一的例子是電腦的加密功能。

等級(jí)2：在等級(jí)1的基礎(chǔ)上增加了基本的防物理攻擊的保護(hù)機(jī)制，需要顯示被物理攻擊的痕跡，比如只有破壞防拆封(tamper-evident)的涂層或密封條才能獲取密碼模塊的密鑰等。

等級(jí)3：在等級(jí)2的基礎(chǔ)上加強(qiáng)防物理攻擊的保護(hù)機(jī)制。等級(jí)3要求比較高概率地防止入侵者獲取密碼模塊內(nèi)的關(guān)鍵的網(wǎng)絡(luò)安全相關(guān)的參數(shù)（比如密鑰）。保護(hù)機(jī)制可能包括密碼模塊有很強(qiáng)的封裝和物理攻擊響應(yīng)機(jī)制，當(dāng)檢測(cè)到物理攻擊時(shí)會(huì)擦出內(nèi)部的密鑰等。

等級(jí)4：最高的網(wǎng)絡(luò)安全等級(jí)，物理機(jī)制必須提供全方位的保護(hù)，能夠極高概率地檢測(cè)到各種物理攻擊。當(dāng)檢測(cè)到物理攻擊時(shí)，需要?jiǎng)h除內(nèi)部的密鑰等。等級(jí)4也要求密碼模塊不能因?yàn)橥獠凯h(huán)境環(huán)境（比如溫度、電壓）變化而被破解。故障注入(fault injection)時(shí)通過控制外部環(huán)境來破解密碼模塊的一種方法。

在法律法規(guī)方面，近日密歇根州立大學(xué)的最新研究是第一個(gè)將刑事司法理論應(yīng)用于智能汽車的研究，該研究揭示了當(dāng)前系統(tǒng)中的漏洞導(dǎo)致潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。這項(xiàng)研究發(fā)表在《犯罪與司法雜志》上，該研究應(yīng)用了日常活動(dòng)理論，并采用了流行的刑事司法框架來研究當(dāng)前的車輛安全形式，并為制造商和車主提供了改善安全性的建議。

圖 汽車網(wǎng)絡(luò)安全犯罪三角

托馬斯·霍爾特（ThomasHolt）教授說，他們的研究表明，聯(lián)網(wǎng)汽車和自動(dòng)駕駛汽車的計(jì)算機(jī)系統(tǒng)可能受到嚴(yán)重威脅，這些風(fēng)險(xiǎn)可能轉(zhuǎn)化為對(duì)OEM、系統(tǒng)組件生產(chǎn)商和消費(fèi)者的危害。汽車技術(shù)的未來是計(jì)算機(jī)和互聯(lián)系統(tǒng)的日益廣泛應(yīng)用，這要求研究人員開發(fā)模型來檢測(cè)、緩解和保護(hù)這些系統(tǒng)免受危害。
論文下載地址：
https://sci-hub.se/downloads/2019-12-12/89/10.1080@0735648X.2019.1692425.pdf#view=FitH

總結(jié)

基于以上幾個(gè)簡(jiǎn)單的案例分析和標(biāo)準(zhǔn)介紹，可以得出除了車廠必須保證所設(shè)計(jì)的車輛系統(tǒng)的安全性，還有其他能減少“表面攻擊”的工作要做。例如定期保養(yǎng)能確保車載軟件是最新狀態(tài)，并在打補(bǔ)丁或是召回事件發(fā)布時(shí)即時(shí)通知。當(dāng)然，對(duì)汽車專業(yè)人員也應(yīng)有獨(dú)特的要求，在汽車網(wǎng)絡(luò)安全領(lǐng)域高效的工作，包括規(guī)劃，分析，設(shè)計(jì)，實(shí)施，測(cè)試，安裝，操作，故障排除，維護(hù)和維修任務(wù)等。網(wǎng)絡(luò)安全任務(wù)的范圍很廣，而且正在變得更廣！所以汽車廠商、零部件商、IT服務(wù)商都必須盡快建立網(wǎng)絡(luò)安全的設(shè)計(jì)、防護(hù)、響應(yīng)能力。相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)的制定也是迫在眉睫。


Ref:[1] How vulnerable is your car tocyberattacks? https://msutoday.msu.edu/news/2019/how-vulnerable-is-your-car-to-cyberattacks/[2] 汽車網(wǎng)絡(luò)安全比你想像的更脆弱！http://www.sohu.com/a/343693258_560056[3] CESI. 汽車電子網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化白皮書（2018版）.http://www.cesi.ac.cn/201804/3790.html[4] NIST. NITS FIPS 140-3 SecurityRequirements for Cryptographic Modules[EB/OL]. https://csrc.nist.gov/publicati