当前位置：首页>资讯>智能汽车>黑客来袭：互联网汽车安全如何保障？

黑客来袭：互联网汽车安全如何保障？

分享到

收藏评论 点击率：

编辑：竹清风 来源：小鹏汽车

互联网汽车的兴起

互联网汽车概念在2015年初悄然兴起，话题围绕“互联网科技企业通过车联网，打通汽车整车企业的桥梁”，而后，部分互联网公司的应用产品开始进一步渗透到汽车车载系统中，使得互联网公司与汽车有了更深度的契合。在这一波弄潮儿中，小鹏汽车低调而又稳健的推进互联网汽车开发事业。

“车联网”概念如今越来越热，从2015年的观望期，到如今的高速建设期——各大车厂都开始对车联网系统进行设计，规划和开发。

传统车联网T-Box

在传统车联网汽车会有一个核心联网设备，称之为"T-Box",内置一个modem模块，可连接通信网络，将汽车数据发送给他们的制造商。 T-Box是将汽车与互联网连接的一个纽带，它可以将网络端指令解析成CAN协议，转发至CAN收发器；反过来也可以将车内数据反馈到网络服务端。表现出来的就是我们用户可以通过一个手机APP，可以反向控制汽车：开门、启动空调、定位车身位置等等。

在设计这部分车联网系统，整车厂有几种不同的方案，有的通过采购T-Box，自己开发后台与手机APP，这样有自主可控能力，但需要培养一些研发；另外一种是通过整体方案外包，来快速达到生产目的，但这样依赖于外包企业，也在后续升级受到制约。还有一种是完全的OEM，供应商提供好的服务平台、SDK和适配设备，可以短期内打通功能流程。无论是采用的哪种方案，这一技术架构上的应用会非常复杂。

互联网汽车安全

当汽车具备互联网这项特性后，除了可以享受到互联网科技带来的便利，同样需要重点关注互联网带来的网络安全问题。尤其是在服务后台，手机APP与车机端的通信安全。

2015年2月份宝马的ConnectedDrive服务被曝出漏洞，宝马召回220万辆汽车，其原因是服务平台和T-Box之间没有使用HTTPS进行加密传输，泄露了包括VIN、控制指令等信息。黑客可以利用伪基站，让宝马汽车的网络连接注册到一个假的TSP中，然后利用分析出来的控制指令给汽车下发指令，最终可以打开车门，启动汽车。

SAE J3061

汽车互联给用户带来了巨大的便利，但同时也把汽车系统暴露在互联网所带来的安全风险之中，因此整车厂必须采取措施，以确保车辆不会成为黑客攻击的受害者。 SAE发布了一份最佳做法（ Best Practices）建议， SAE J3061推荐规程《 Cybersecurity Guidebook forCyber-Physical Vehicle Systems》是首部针对汽车网络安全而制定的指导性文件，协助整车厂通过实施结构清晰的项目，以保证汽车在全生命周期中都可获得有效的保护。J3061只是根据目标提出的建议，并非强制性措施，需要整车厂根据自身要求打造适合自己的解决方案。

SAE J3061的总体指导原则：

1、知道你系统的网络安全风险：

会有任何敏感数据或个人身份信息(PII)存储在系统,或通过你的系统传输

你的系统在车辆安全关键功能上扮演怎样的角色（如果有的话）

在车辆系统中使用何种通信和连接

进行适当的风险/威胁分析

2、理解关键的网络安全原则：

保护个人身份信息(PII)和敏感数据

用“最小特权”的原则,所有组件使用尽可能少的权限运行

应用“纵深防御”,尤其是最高风险的威胁

禁止危险的校准和/或软件更改

防止用户对已经售出车辆未经授权的修改，那样可能降低车辆的安全性