編者按：本文來自小鵬汽車工程師原創(chuàng)發(fā)布雷鋒網(wǎng)。

互聯(lián)網(wǎng)汽車的興起

互聯(lián)網(wǎng)汽車概念在2015年初悄然興起，話題圍繞“互聯(lián)網(wǎng)科技企業(yè)通過車聯(lián)網(wǎng)，打通汽車整車企業(yè)的橋梁”，而后， 部分互聯(lián)網(wǎng)公司的應用產(chǎn)品開始進一步滲透到汽車車載系統(tǒng)中，使得互聯(lián)網(wǎng)公司與汽車有了更深度的契合。在這一波弄潮兒中，小鵬汽車低調(diào)而又穩(wěn)健的推進互聯(lián)網(wǎng)汽車開發(fā)事業(yè)。

“車聯(lián)網(wǎng)”概念如今越來越熱， 從2015年的觀望期，到如今的高速建設期——各大車廠都開始對車聯(lián)網(wǎng)系統(tǒng)進行設計， 規(guī)劃和開發(fā)。

傳統(tǒng)車聯(lián)網(wǎng)T-Box

在傳統(tǒng)車聯(lián)網(wǎng)汽車會有一個核心聯(lián)網(wǎng)設備，稱之為"T-Box",內(nèi)置一個modem模塊，可連接通信網(wǎng)絡，將汽車數(shù)據(jù)發(fā)送給他們的制造商。 T-Box是將汽車與互聯(lián)網(wǎng)連接的一個紐帶，它可以將網(wǎng)絡端指令解析成CAN協(xié)議，轉(zhuǎn)發(fā)至CAN收發(fā)器；反過來也可以將車內(nèi)數(shù)據(jù)反饋到網(wǎng)絡服務端。表現(xiàn)出來的就是我們用戶可以通過一個手機APP，可以反向控制汽車：開門、 啟動空調(diào)、 定位車身位置等等。

在設計這部分車聯(lián)網(wǎng)系統(tǒng)，整車廠有幾種不同的方案，有的通過采購T-Box，自己開發(fā)后臺與手機APP，這樣有自主可控能力，但需要培養(yǎng)一些研發(fā)；另外一種是通過整體方案外包，來快速達到生產(chǎn)目的，但這樣依賴于外包企業(yè)，也在后續(xù)升級受到制約。還有一種是完全的OEM，供應商提供好的服務平臺、SDK和適配設備，可以短期內(nèi)打通功能流程。無論是采用的哪種方案，這一技術架構(gòu)上的應用會非常復雜。

互聯(lián)網(wǎng)汽車安全

當汽車具備互聯(lián)網(wǎng)這項特性后，除了可以享受到互聯(lián)網(wǎng)科技帶來的便利，同樣需要重點關注互聯(lián)網(wǎng)帶來的網(wǎng)絡安全問題。尤其是在服務后臺，手機APP與車機端的通信安全。

2015年2月份寶馬的ConnectedDrive服務被曝出漏洞，寶馬召回220萬輛汽車，其原因是服務平臺和T-Box之間沒有使用HTTPS進行加密傳輸，泄露了包括VIN、控制指令等信息。黑客可以利用偽基站，讓寶馬汽車的網(wǎng)絡連接注冊到一個假的TSP中，然后利用分析出來的控制指令給汽車下發(fā)指令，最終可以打開車門，啟動汽車。

SAE J3061

汽車互聯(lián)給用戶帶來了巨大的便利，但同時也把汽車系統(tǒng)暴露在互聯(lián)網(wǎng)所帶來的安全風險之中，因此整車廠必須采取措施，以確保車輛不會成為黑客攻擊的受害者。 SAE發(fā)布了一份最佳做法（ Best Practices）建議， SAE J3061推薦規(guī)程《 Cybersecurity Guidebook forCyber-Physical Vehicle Systems》 是首部針對汽車網(wǎng)絡安全而制定的指導性文件，協(xié)助整車廠通過實施結(jié)構(gòu)清晰的項目，以保證汽車在全生命周期中都可獲得有效的保護。J3061只是根據(jù)目標提出的建議，并非強制性措施，需要整車廠根據(jù)自身要求打造適合自己的解決方案。

SAE J3061的總體指導原則：

1、 知道你系統(tǒng)的網(wǎng)絡安全風險：

會有任何敏感數(shù)據(jù)或個人身份信息(PII)存儲在系統(tǒng),或通過你的系統(tǒng)傳輸

你的系統(tǒng)在車輛安全關鍵功能上扮演怎樣的角色（如果有的話）

在車輛系統(tǒng)中使用何種通信和連接

進行適當?shù)娘L險/威脅分析

2、 理解關鍵的網(wǎng)絡安全原則：

保護個人身份信息(PII)和敏感數(shù)據(jù)

用“最小特權”的原則,所有組件使用盡可能少的權限運行

應用“縱深防御”,尤其是最高風險的威脅

禁止危險的校準和/或軟件更改

防止用戶對已經(jīng)售出車輛未經(jīng)授權的修改， 那樣可能降低車輛的安全性

3、 考慮車主使用系統(tǒng)：

減少數(shù)據(jù)收集

啟用用戶政策和控制

保護存儲、 使用和傳輸PII數(shù)據(jù)

提供適當?shù)奶嵝眩?在進行數(shù)據(jù)收集,存儲,或者共享時

4、 在概念和設計階段實現(xiàn)網(wǎng)絡安全：

系統(tǒng)應在思考和概念階段就應該定義網(wǎng)絡安全

分析威脅（ 啟動外部或內(nèi)部系統(tǒng)和惡意意圖)來確定系統(tǒng)將面臨怎樣的風險和攻擊

實現(xiàn)網(wǎng)絡安全分析和管理工具,使工程師能確定和配置優(yōu)化系統(tǒng)的安全級別

5、 在開發(fā)和驗證階段實現(xiàn)網(wǎng)絡安全：

審查設計評估網(wǎng)絡安全需求是否得到滿足

進行測試， 以確認在模塊/控制器/ ecu和整個汽車設計階段已經(jīng)實現(xiàn)了網(wǎng)絡安全

測試軟件補丁/修改部署工具和流程,以確保任何對外使用車輛軟件可以做到不影響車輛的網(wǎng)絡安全防御系統(tǒng)

6、 實現(xiàn)網(wǎng)絡安全事件反應：

修改(或創(chuàng)建)事件反應過程，理解網(wǎng)絡安全事件

發(fā)布部署指南

如果有事件發(fā)生時,如何對軟件或校準進行更新

為經(jīng)銷商開發(fā)適當?shù)牟牧希蛻羟笾鸁峋€， 網(wǎng)站， 和用戶手冊

7、 網(wǎng)絡安全在周期結(jié)束增加考慮：

確定是否有任何ecu的車輛需要SW / HW或客戶個人信息， 原本需要擦除以保護客戶,或保護組織(如防盜控制系統(tǒng)、 手機配對)

提供一個方法來刪除車輛或模塊上的個人信息， 在改變所有權或停止使用時

沒有哪個系統(tǒng)是100%安全的，但遵循結(jié)構(gòu)化流程有助于降低網(wǎng)絡攻擊得手的可能性。結(jié)構(gòu)完善的流程還能應對不斷變化的威脅。在互聯(lián)網(wǎng)越來越多的融入汽車時，對于整車的網(wǎng)絡安全需要考慮布局的面會越廣，很多以前傳統(tǒng)沒有遇到過的攻擊都有可能出現(xiàn)在互聯(lián)網(wǎng)車載系統(tǒng)上，對整車安全造成威脅。

這需要我們從一開始把這些設計納入開發(fā)范疇以及持續(xù)的安全演進，去打造符合互聯(lián)網(wǎng)趨勢的駕駛體驗。如何保證用戶的行車安全和隱私，還需要車企和互聯(lián)網(wǎng)巨頭們聯(lián)手合作，一道前行！

雷峰網(wǎng)特約稿件，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。