智能化進(jìn)程中 汽車安全問題也需要重視

對(duì)汽車安全的重視，我們做的可能還不夠。

我們不得不承認(rèn)一個(gè)事實(shí)，當(dāng)汽車越來越智能的時(shí)候，隨之而來的風(fēng)險(xiǎn)也越來越大。

這不是一個(gè)聳人聽聞的說法。早在前幾年，菲亞特克萊斯勒就由于車機(jī)被黑客入侵后遠(yuǎn)程遙控而進(jìn)行了大規(guī)模召回，更不用說因?yàn)椤妇W(wǎng)紅效應(yīng)」而被各種破解的特斯拉，以及系統(tǒng)不穩(wěn)定經(jīng)常出現(xiàn)「死機(jī)」的新晉網(wǎng)紅蔚來 ES8?？傊?，一旦汽車軟件出現(xiàn)問題，那么就會(huì)對(duì)駕駛安全帶來很大的隱患。

特別是當(dāng)自動(dòng)駕駛、網(wǎng)聯(lián)化離我們?cè)絹碓浇臅r(shí)候，車輛結(jié)構(gòu)也變的更復(fù)雜。目前汽車電子架構(gòu)可能是由 60～100 個(gè) ECU 以及 6～8 個(gè)獨(dú)立的系統(tǒng)組成。但隨著智能化加快，未來汽車會(huì)由 6～10 個(gè)高性能計(jì)算平臺(tái)（HPC）組成，軟件系統(tǒng)也會(huì)實(shí)現(xiàn)整合，并且具有 OTA 的能力。

數(shù)據(jù)能夠很直觀的告訴我們可能存在的風(fēng)險(xiǎn)?？突仿〈髮W(xué)軟件工程學(xué)院的一份報(bào)告指出，在美國開發(fā)的代碼平均每個(gè)功能點(diǎn)會(huì)有 0.75 個(gè)缺陷，每一百萬行代碼就會(huì)有大約 6000 個(gè)缺陷。

而達(dá)到「很好」級(jí)別的代碼，則要求每一百萬行代碼的缺陷數(shù)量為 600～1000 個(gè)；「優(yōu)異」級(jí)別的代碼要求是少與 600 個(gè)。（缺陷中大約有 1～5%的部分會(huì)成為漏洞）

換句話說，即使所有代碼都達(dá)到了「很好」的級(jí)別，按照目前汽車平均 1 億行代碼來計(jì)算，每輛車?yán)锒伎赡苡?10 萬個(gè)缺陷以及 1000～5000 個(gè)漏洞。

這些缺陷以及漏洞可能會(huì)造成什么樣的風(fēng)險(xiǎn)？沒有人可以預(yù)測(cè)。

「安全白皮書」

當(dāng)然，這篇文章并不是想危言聳聽。既然有風(fēng)險(xiǎn)，肯定就有應(yīng)對(duì)的辦法。

在汽車軟件以及安全領(lǐng)域，Blackberry QNX 是繞不開的一個(gè)參與者。 在前兩天，GeekCar 有機(jī)會(huì)和 Blackberry 技術(shù)解決方案部（BTS）銷售與營銷高級(jí)副總裁 Kaivan Karimi 聊了聊關(guān)于智能化進(jìn)程中，他們對(duì)于汽車安全的看法。

關(guān)于 Blackberry QNX，其實(shí)行業(yè)內(nèi)的小伙伴都不會(huì)陌生。2010 年，Blackberry 宣布收購 QNX。Blackberry 本身在安全領(lǐng)域就有超過 30 年的經(jīng)驗(yàn)，曾經(jīng)很熱門的手機(jī)業(yè)務(wù)就是以安全和商務(wù)為最大賣點(diǎn)。QNX 作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商，為安全認(rèn)證軟件提供支持已經(jīng)超過 35 年。

Kaivan Karimi 告訴 GeekCar，對(duì)于汽車領(lǐng)域可能存在的風(fēng)險(xiǎn)，QNX 運(yùn)用多年的行業(yè)經(jīng)驗(yàn)，總結(jié)出了一套「指導(dǎo)方針」。無論是主機(jī)廠還是供應(yīng)商，只要遵循這份保護(hù)汽車免受網(wǎng)絡(luò)安全威脅的建議框架，就能預(yù)防絕大多數(shù)的風(fēng)險(xiǎn)。即使出現(xiàn)可能影響駕駛的漏洞，也能很快進(jìn)行修復(fù)。

這份《汽車網(wǎng)絡(luò)安全——BlackBerry 的七大關(guān)鍵標(biāo)準(zhǔn)建議》概括了以下 7 個(gè)要點(diǎn)：

保障供應(yīng)鏈安全：

通過確保汽車中的每一個(gè)芯片和電子控制單元 （ECU） 能夠正確地進(jìn)行身份驗(yàn)證并裝載受信任的軟件，而不受到供應(yīng)商或制造商的影響，從而建立信任的根源。掃描部署的所有軟件以符合標(biāo)準(zhǔn)和所需的安全狀況。從漏洞和滲透測(cè)試的角度對(duì)供應(yīng)鏈進(jìn)行定期評(píng)估，以確保他們得到認(rèn)證并批準(zhǔn)交付。

使用值得信賴的組件：

使用安全的硬件、軟件和應(yīng)用程序，在深度體系結(jié)構(gòu)中深度分層，創(chuàng)建一個(gè)安全體系結(jié)構(gòu)。

采用隔離手法與受信通信：

使用電子系統(tǒng)架構(gòu)來隔離安全關(guān)鍵和非安全關(guān)鍵的 ECU，并且在檢測(cè)到異常時(shí)也可以保障安全運(yùn)行。另外，這種方法也可以確保汽車中的電子設(shè)備和外部世界之間的通信都是安全可靠的。更為重要的是，ECU 之間相互的通信需要值得信賴和安全。

現(xiàn)場(chǎng)安全檢查：

確保所有 ECU 都集成了分析和診斷軟件，可以記錄所發(fā)生的事件，并將結(jié)果發(fā)送至云端以進(jìn)一步分析并啟動(dòng)預(yù)防性操作。此外，汽車制造商應(yīng)該確認(rèn)一系列指標(biāo)定期自動(dòng)掃描檢測(cè)，當(dāng)汽車在事件發(fā)生現(xiàn)場(chǎng)時(shí)，也能夠通過安全的無線網(wǎng)絡(luò) （OTA） 軟件更新來解決問題。

構(gòu)建事件快速響應(yīng)網(wǎng)絡(luò)：

在參與的企業(yè)網(wǎng)絡(luò)中共享常見的漏洞和風(fēng)險(xiǎn)，這樣專家團(tuán)隊(duì)就可以相互學(xué)習(xí)，并在較短的時(shí)間內(nèi)提供建議和修復(fù)方法。

使用生命周期管理系統(tǒng)：

一旦發(fā)現(xiàn)問題，自動(dòng)利用安全的 OTA 更新軟件。積極采取證書管理來管理安全憑證，并部署統(tǒng)一的端點(diǎn)策略管理來管理在汽車生命周期內(nèi)下載的應(yīng)用程序。

組織內(nèi)建立安全文化：

確保汽車電子供應(yīng)鏈中的每一個(gè)企業(yè)都接受功能安全以及安全保障最佳案例的培訓(xùn)，并在企業(yè)中形成安全文化。

「未來 5 年內(nèi)只剩 2～3 種系統(tǒng)」

對(duì)于很多人來說，我們?cè)谲嚴(yán)镒钪庇^能接觸到的軟件就是 IVI（車載信息娛樂）系統(tǒng)。 事實(shí)上，目前國內(nèi)主機(jī)廠或者供應(yīng)商在開發(fā) IVI 系統(tǒng)的時(shí)候，大多數(shù)都以 Android 系統(tǒng)作為基礎(chǔ)。

這么做的好處很明顯，首先是開發(fā)難度。國內(nèi)具有 Android 系統(tǒng)開發(fā)能力的工程師數(shù)量多，團(tuán)隊(duì)建設(shè)更容易。其次，Android 的第三方應(yīng)用生態(tài)成熟。無論是通過接入 API 或者是 SDK 的方式，都能迅速把移動(dòng)互聯(lián)網(wǎng)的服務(wù)能力移植到車?yán)铩?/p>

除了 Android，還有以 Tesla 為代表的的 Linux 陣營。這兩種系統(tǒng)本質(zhì)上都是開源的系統(tǒng)，主機(jī)廠能夠有更大的話語權(quán)來進(jìn)行系統(tǒng)層面的定制，得到更個(gè)性化的產(chǎn)品。

Kaivan Karimi 告訴我，基于開源軟件開發(fā)雖然在初期會(huì)有一些優(yōu)勢(shì)，但是在最關(guān)鍵的安全層面卻容易出現(xiàn)風(fēng)險(xiǎn)。畢竟開源的背后，也代表有更多可能被入侵的風(fēng)險(xiǎn)。雖然開源軟件在初期開發(fā)上費(fèi)用會(huì)比 QNX 更低，但后續(xù)的維護(hù)成本會(huì)更高。

另外，我們之前在討論自主品牌開發(fā) Android 系統(tǒng)車機(jī)時(shí)就提到過，這樣的策略也容易受限于 Google 的開發(fā)節(jié)奏。畢竟車機(jī)硬件沒辦法做到很快的迭代，對(duì)系統(tǒng)的持續(xù)維護(hù)也會(huì)有更高要求。

Kaivan Karimi 表示：「Linux 系統(tǒng) 5 年內(nèi)會(huì)在汽車內(nèi)消失，未來只會(huì)存在 2～3 種操作系統(tǒng)。」雖然這樣的說法有些絕對(duì)，但也說明從安全廠商的角度看，系統(tǒng)數(shù)量越多就意味著越大的風(fēng)險(xiǎn)。

在去年，QNX 發(fā)布了 Hypervisor 2.0 系統(tǒng)。通過這套系統(tǒng)的虛擬化技術(shù)，能夠?qū)⒁壕x表、IVI 系統(tǒng)、ADAS 系統(tǒng)等多個(gè)操作系統(tǒng)合并到單一芯片系統(tǒng)上。并且系統(tǒng)能夠?qū)⒏鱾€(gè)模塊分隔，這樣即使有某個(gè)部分發(fā)現(xiàn)風(fēng)險(xiǎn)，也能避免影響到其余的功能。比如當(dāng) IVI 系統(tǒng)發(fā)生錯(cuò)誤死機(jī)，也不會(huì)影響到車輛底層和駕駛安全相關(guān)的系統(tǒng)功能。特別是當(dāng)自動(dòng)駕駛技術(shù)的應(yīng)用開始普及，這樣的功能就顯得更有必要了。

Hypervisor 2.0 系統(tǒng)能夠支持類似運(yùn)行 Android 系統(tǒng)軟件。Kaivan Karimi 告訴我，無論是 Android 或者是百度的產(chǎn)品，都能夠在 QNX 的 IVI 系統(tǒng)中運(yùn)行。這樣也彌補(bǔ)了 QNX 在第三方生態(tài)方面的不足。據(jù) GeekCar 的了解，國內(nèi)座艙領(lǐng)域目前比較主流的一種開發(fā)方式就是「QNX 儀表+QNX Hypervisor+Android」。

關(guān)于汽車的系統(tǒng)安全，無論多么重視都不為過，畢竟誰都不想坐在一輛不可控的車?yán)铩倪@個(gè)角度看，類似 Blackberry QNX 這樣的安全服務(wù)商雖然對(duì)普通用戶沒有明顯的存在感，但扮演的角色至關(guān)重要。