在攻城狮眼里，传统车企怎样避免被出局？——车联网安全篇（下）

上一期我们聊了车联网之车载无线网络带来的安全问题和预防方案。虽然说“师傅领进门，修行靠个人”用在这里并不是很合理的，但是代表着传统车企核心技术的整车网络确实需要不断的进化和自我修行，以便适应互联网的冲击，解决无线网络带来的安全风险。

让笔者带着读者再次重温一下整车的网络拓扑结构，一般说来有以下几种架构：

CAN网络架构：

FlexRay网络架构：

Most网络架构：

Ethenet网络架构：

在这里，不再讨论网络架构的优劣，而是讨论抵御外来黑客的攻击。

基于前几篇的讲述，面对互联网企业疯狂的强势介入和竞争，需要配置娱乐、导航及安全功能部署更多的全新联网服务。结果就是，来自外部的危险正在窥探着每一个潜在的漏洞。那么怎么预防和防止来自外部的攻击呢？

l  采用强认证的APN专线和基于HTTPS的安全通信；

l  搭建后台的数据中心（IDC）采用墙防火墙，IDC采用专有加密服务器；

l  第三方监测机构测试漏洞；

l  内部和外部建立有效的监测系统；

l  采取彼此独立的架构，限制攻击的范围；

l  整车要配置搭载安全芯片的GateWay；

l  采取与如今手机更新软件的方式来及时更新汽车上智能设备的软件。 

在这里，其实后三个方案则主要是针对于整车内部网络系统的安全策略，可以说完全可以应用于以上所有的网络架构，让笔者对此一一描述。

1、整车要配置搭载安全芯片的GateWay

“一夫当关，万夫莫开”常用来描述雄关要塞，形容关口之重要，可阻挡千军万马的攻击。所以，对于整车网络与互联网之间接口安全的重要性，就不言而喻了。一般说来，整车网络系统也要借鉴互联网的经验，在整车网络入口设置高安全级别的网关显得尤为重要。当前，大部分公司为此搭载了T-BOX，一边实现网络通信的功能，一边建立网络安全机制，实现对整车网络的保护。如下图（版权为笔者，并不十分精确。如需引用，请注明）：

T –BOX(3G/4G模块)

基于CAN网络的大致架构如下图（版权为笔者，并不十分精确。如需引用，请注明）：

总之，就是通过T-BOX实现对整车网络的安全保护。为增强对车外网络攻击，要求实现HSM和软件安全加密技术。软件防火墙应包含：White list、Black list、DPI/SPI、等。

其中HSM（Hardware Security Module）是硬件加密模块，现在基本上会采用AES 128位或256位硬件数据加密技术对产品硬件进行加密，具备防止暴力破解、密码猜测、数据恢复等功能。硬件加密的加密运算执行和解密都在硬件内部实现，外部难以破解。

而软件防火墙（Firewall）则需要包含以下内容：

Whitelist：

l  认证的信息发送端设备（T-BOX）列表；

l  T-BOX控制命令列表；

l  T-BOX网络信息列表；

l  T-BOX的标准信息；

Blacklist：

l  诊断命令；

l  T-BOX写命令；

l  T-BOX的非标准信息；

整车远程控制功能的逻辑验证；

DPI/SPI解析；

总之，无论是使用T-BOX，还是增加独立的Gateway，最终的目的就是不能将整车网络直接暴露给互联网，使得黑客有可乘之机。

2、采取彼此独立的架构，限制攻击的范围

1981诺贝尔经济学奖的得主，美国经济学家——詹姆斯·托宾，曾经说过一句话：“不要把你所有的鸡蛋都放在一个篮子里（Don’t put all your eggs into the same basket）”，常用于经济学，其实也同样应用于汽车整车网络的安全。
让笔者在简述一下汽车的总体构造。基本上汽车由四大系统组成：动力系统、底盘系统、车身系统、电子电器系统。
动力系统——动力系统主要是指发动机。发动机是汽车中将燃料燃烧的热量转变为机械能，为汽车提供动力的设备。 现在的新能源汽车则以电池为动力系统，取代燃油成为新的动力总成。
底盘系统——底盘系统接收发动机动力，使汽车运动，并保证正常行驶。底盘由传动系、行驶系、转向系、制动系组成。 
传动系：由离合器、变速箱、万向传动装置、驱动桥等组成。作用是将发动机动力传给驱动车轮。 
行驶系：由车架、车桥、车轮、悬架等组成。作用是布置、安装、连接汽车各总成，起到支持全车保证汽车行驶。 
转向系：由方向盘、转向器及转向传动装置组成。作用是保证汽车按照驾驶人所定方向行驶。 
制动系：由制动器，自动传动装置，制动助力辅助装置等组成。作用是行驶中减速、停车。 l  车身系统——用以提供驾驶员、乘客或货物的位置，保护乘客安全。 
电子电器系统——为汽车启动、行驶及智能设备等提供电源。主要由电源、启动系、点火系，汽车照明，整车网络架构、智能车机、仪表、HUD、后排娱乐系统等组成。 
如此多的系统，每个系统下面有着特别多的功能模块，车企需要考虑每一个可在整车网络中体现的模块的安全，最好能够实现对每一个模块独立管理，但是仔细计算一下，这是很难实现的。大体上，对不同的系统实现不同的模块化管理，管理的机制也根据该系统的特点进行区分。分模块管理的整车网络大致如下：

将不同的系统放到不同的网络中，但是只是由一个或者多个Gateway（s），在一个Gateway的不同位置，或者在不同的Gateway中，实现对不同系统的Firewall式管理。从而避免了攻破一处，整车网络都暴露在光天化日之下。

基本上，底盘的四大系统和电子电器系统，是当前互联网入侵两个最主要的问题点。因为电子电器系统的智能车机或者T-BOX是用户接入互联网的入口和通道（3G/4G/5G/WIFI等等），也是黑客最容易发现漏洞的模块，而PEPS则实现了汽车的远程启动和控制，是汽车运转的第一关。前者接入到整车网络，一旦被攻破，就实现了外界对整车的访问，而后者则可以控制汽车启动，再加上底盘的四大系统，黑客就可以远程控制汽车做任何事情。

可能以上两条理解起来比较困难，简而言之，第一条就是“据敌于国门之外”；第二条则是“分而治之”，避免一点攻破，整车网络都被攻破。笔者以最简单的T-BOX和简单的CAN网络来举例，简明扼要的说明一下问题点。如下图（版权为笔者，并不十分精确。如需引用，请注明）。

第一栏介绍了T-BOX的必要性；第二栏则是介绍了T-BOX被攻击后导致问题；第三栏则是最简单的规避方案。

3、采取如今手机更新软件方式（FOTA）及时更新汽车上智能设备的软件

至于这一条，最通俗易懂的话就是“道高一次，魔高一丈”，世界上没有攻不破的城墙。那么如何去应对呢？那就是及时通过别人或者自己去发现漏洞，如下图。然后通过技术手段去完善它，然后采取如今手机通用的更新软件方式（FOTA：Firmware Over-The-Air）,及时的更新汽车上所有可以更新的设备软件。

FOTA技术在移动设备端已经被广泛使用，主要是做终端升级，未来的FOTA不仅仅是系统升级功能，更重要的是要有设备管理(Device Management)的功能，这样不但能够给整车网络修补漏洞，实现对White list、Black list，Function logic等的升级；同时还能提供高效的工具和通道，更好的管理整车中多个Gateways，动态的完善或者调整不同的Gateway对不同系统的控制，让黑客攻击的变得更难！

解决了安全问题，就相当于解除了后顾之忧，接下来，就是满足用户的需求了。满足了客户需求，就能够把握住用户的购车热点，让车企快速发展。敬请下回分解。

往期回顾

链接：

在攻城狮眼里，传统车企怎样才能避免被出局？——运营商与图商篇

在攻城狮眼里，传统车企怎样才能避免被出局？——车内有线网络篇

在攻城狮眼里，传统车企怎样才能避免被出局？——车内无线网络篇

在攻城狮眼里，传统车企怎样才能避免被出局？——车联网安全篇（上）

相关标签：

安全

攻城狮说

智能汽车

自动驾驶