2010年，美国汽车制造商推出了一项新颖的功能，可以让车主在地球任何一个角落通过智慧手机控制车锁并启动发动机。这种连接功能需要依赖于汽车上的远程信息通讯系统，而这种系统目前已经是许多型号汽车的标准配置。在这种智慧手机推出之前，有个大学研究小组发布了一份研究报告，报告中指出，通过利用汽车嵌入式系统中的缺陷，汽车的关键系统（例如，剎车、发动机节气阀等）很容易被恶意操控。

　　这些研究人员研究了如何使用‘模糊’技术，从低安全性网络侵入到关键系统。在汽车行驶过程中，出现了剎车失灵和发动机失控，这显示攻击确实能将乘客置于危险境地。将汽车连接到广域网是导入老练攻击者的元凶。一个缺陷就可能让远程攻击者威胁到一长串挨着行驶的车队。

　　研究人员并没有告诉我们能为目前的嵌入式汽车安全做些什么。但正如后面我们要讨论到的那样，我们必须对汽车技术做出实质性的改革，以更好地隔离网络子系统和生死攸关的安全功能。

　　目前的汽车电子

　　下图显示了当代汽车内部的部份电子系统。

　　

　　图1：当代汽车内部的部份电子系统。

　　高阶豪华汽车在总计100个组件或电子控制单元（ECU）的相应系统中包含多达200个微处理器。这些ECU由多种不同类型的网络连接，例如，控制器区域网（CAN）、FlexRay、局域互连网络（LIN）和针对媒体的系统传送（MOST）。汽车OEM厂商需要对来自数十家一级和二级供货商的ECU组件和软件进行整合。但OEM厂商不会去严格控制其供货商的开发过程。

　　因此人们对这种情形不能维持下去就不会感到惊讶了。OEM厂商将承受‘木桶理论’的恶果：只要一块有严重可靠性问题的ECU，就可能造成交货延迟或车辆故障，因而使信誉受损。

　　安全威胁及减轻措施

　　对车辆造成的安全威胁可以分成三大类：局部实体；远程；内部电子。当这些威胁迭加在一起时，常常会造成车辆损坏。

　　局部实体性威胁

　　通过实体性地接取传动系统CAN网络并破坏通讯就是局部实体性威胁的一个例子。这种入侵式攻击很容易破坏汽车的关键功能。然而，像心存不满的技修工等局部攻击者只可能损害一辆车，因此不足以引起设计安全团队的注意。另外，汽车的复杂电子系统很难真正防范实体攻击。因此我们对这类威胁通常只能祈祷了。

　　然而，这里有个例外：在一个或多个ECU内部的某处地方储存着私有密钥，用于制作受保护的信道，并提供局部数据保护服务。下面这张图显示了下一代汽车中使用的长距离无线连接的一些例子。

　　

　　图2：下一代汽车中使用的长距离无线连接。

　　汽车算法、多媒体内容和保密数据都可能需要数据保护。私钥储存必须能够抵挡住凌厉的入侵和非入侵式实体性攻击，因为即使仅丢失一‘把’密钥也可能让攻击者设立起到远程基础设备的连接，继而在那里造成广泛破坏。

　　OEM厂商必须能够在从──密钥产生和将其嵌入到ECU、到ECU交货并装配进汽车、再到汽车最后在大街上到处跑──这一整个生命期内确保密钥的安全。Green Hills Software、Mocana和CerTIcom 等专业嵌入式加密公司可以通过在这个领域中的指导和监督向OEM厂商及其供货商提供帮助。

　　远程威胁

　　以下是典型的攻击方式：黑客通过侦测汽车的长距离无线接口寻找网络安全协议、网络服务和应用程序中的软肋，以找到进入内部各电子系统的方式。与数据中心不同，汽车一般不可能拥有完整的IDS、IPS、防火墙和UTM。而近来产生的入侵新力、花旗集团、亚马逊、谷歌和RSA的事件充分显示，在老练的攻击者面前，这些防卫机制形同虚设。

　　2010年，当Stuxnet（超级工厂病毒）肆虐时，美国国防部所属的美国网战司令部（CYBERCOM）司令Keith Alexander将军建议对美国的重要基础设备建构自身的隔离安全网络，与因特网分开来。虽然这种做法似乎过于苛刻，但实际就是我们需要的思路。为了驾驶安全，汽车的关键系统必须与非关键的ECU和网络完全隔离开来。

　　内部电子威胁

　　虽然实体网络隔离是理想方案，但接触点不可避免。例如，在某些市场，在汽车行驶中，汽车导航系统必须关掉，这意味着在安全标准有很大不同的系统间的通讯和感应。另外，业界出现了强烈的设计整合趋势──使用更强大的多核心微处理器来实现各不同的系统，因而将许多ECU变成虚拟ECU──这将增加源于软件的威胁风险，如由操作系统缺陷、对密码系统的旁路攻击以及拒绝服务等导致的权限扩大（privilege escalaTIon）。

　　因此，为了安全，汽车的内部电子架构必须重新设计。关键和非关键的系统与网络之间的接口必须在最高管理层面进行论证和穷尽分析，并按诸如ISO 15408评估安保等级（EAL） 6+等最高等级的安保标准进行验证，以确认没有缺陷。高可靠性软件/安全工程实施原则（PHASE）协议支持大幅地简化复杂性、软件组件架构、最低权限原则、安全软件和系统开发过程，OEM厂商必须学习和采用独立的专家安全验证，并在其整个供应链中贯彻执行。

　　本文小结

　　汽车制造商和一级供货商在设计目前上路的汽车时可能还没有下大力气考虑安全性要求，但很明显情况在产生变化。制造商在车载电子设备与网络的设计与架构阶段应尽早与嵌入式安全专业公司展开紧密合作，并且必须提高以安全为导向的工程技术与软件安全保障水平。最后，汽车产业迫切需要一个独立的标准组织来为车载电子设备定义和执行系统级的安全认证计划。