網絡安全 (cyber security) - 前言

以特斯拉，蔚來等新生一代的主機廠，用互聯(lián)網模式的打法在傳統(tǒng)汽車行業(yè)正在攻城拔寨，業(yè)界打著自動駕駛，軟硬結合旗號的追隨者也越來越多，可見軟件的趨勢在汽車領域已然不可阻擋，在最新特斯拉公布的財報里，具體以自動駕駛，OTA付費升級和車聯(lián)網功能為新的收入爆發(fā)點，軟件累計收入超過十億美元，這個數(shù)量級是很多主機廠之前不敢想象的。因為特斯拉不像傳統(tǒng)車一樣，靠一錘子買賣掙錢，這種靠軟件形成的新的盈利模式才是特斯拉頻頻降價的底氣。

記得以前看過雷軍的一個采訪，在小米初期，MIUI 系統(tǒng)還未成熟的時候，雷軍的對系統(tǒng)迭代的時間以周為單位，用戶系統(tǒng)每周五準時上線更新。以保證給用戶帶來足夠的新鮮感。特斯拉以這種蘋果小米為代表的互聯(lián)網模式，花十幾年的時間終于打進了高墻壁壘的汽車行業(yè)，自此，江湖不再太平。

即使比傳統(tǒng)汽車主機廠強好幾倍的特斯拉，在互聯(lián)網企業(yè)眼里，依然是一個剛發(fā)芽的小苗子。騰訊科恩實驗室在2019年毫不費力的黑進了特斯拉控制器，并用外接手柄控制了特斯拉的方向盤。

技術的更新?lián)Q代是時代的必然，而緊隨時代是對我們這一代人的基本要求。

這一個系列的文章，我會跟讀者一起學習，在這個軟件定義汽車的大潮之下，對網絡安全新的挑戰(zhàn)和需求。如何作為從業(yè)人員或是即將進入汽車行業(yè)的小伙伴，怎么緊跟技術的前沿，提高自身的競爭力。

我會從最底層的嵌入式入手，去分析和學習，為了實現(xiàn)新的網絡安全需求，在控制器層面，我們有什么樣的手段，方法去避免遭到黑客攻擊，保護控制器寶貴的財產。

這里提到財產，其實是不準確的，其實是指所以值得保護的東西 （Asset），比如：

- 對控制器技術的保護，包括軟件機器代碼，專利技術和用戶數(shù)據(jù)的保護

- 密鑰的保護，包括研發(fā)和量產密鑰。刷機保護。

- 控制器功能層的保護，不被惡意修改控制功能造成不可估量的損失等。

對汽車網絡安全的要求比對手機的要高，因為關乎駕駛員的生命安全。所以一個最簡單的安全問題可能會導致大批量的召回事件。隨著車聯(lián)網技術的不斷更新，網絡安全問題也越來越棘手。也正因為有巨大的經濟影響，被遭到不同類型攻擊的可能性就越大。

說到攻擊（Attack)，首先要搞清，對于ECU來說，具體有哪些攻擊手段和攻擊特點。

- 軟件攻擊：主要指尋找軟件的漏洞（bug）和通訊協(xié)議的薄弱，主要特點有低成本，易傳播，不需要接觸硬件，

- 硬件攻擊：需要硬件接觸，例如對硬件接口和相關環(huán)境的攻擊或者直接攻擊芯片，獲取里面的內容，包括代碼和數(shù)據(jù)等

本系列主要著重于對軟件攻擊的學習。

因為我從事的工作涉及過英飛凌Aurix，意法半導體SPC58系列和德州儀器的某些系列，因為保密協(xié)議的原因，我不好以這些單片機舉例，找了半天，有NXP的一款汽車單片機芯片網上資料相對比較全并且開放security相關的文檔，所以 NXP S32K142這匹黑馬成功入了我的法眼，希望用它來帶大家窺探下汽車網絡安全的奧妙。