侵權(quán)投訴
訂閱
糾錯
加入自媒體

汽車系統(tǒng)如何變得更安全?QNX說要做到這七點

2018-12-06 10:04
GeekCar
關(guān)注

汽車安全的重視,我們做的可能還不夠。

我們不得不承認一個事實,當汽車越來越智能的時候,隨之而來的風險也越來越大。

這不是一個聳人聽聞的說法。早在前幾年,菲亞特克萊斯勒就由于車機被黑客入侵后遠程遙控而進行了大規(guī)模召回,更不用說因為「網(wǎng)紅效應(yīng)」而被各種破解的特斯拉,以及系統(tǒng)不穩(wěn)定經(jīng)常出現(xiàn)「死機」的新晉網(wǎng)紅蔚來 ES8?傊,一旦汽車軟件出現(xiàn)問題,那么就會對駕駛安全帶來很大的隱患。

特別是當自動駕駛、網(wǎng)聯(lián)化離我們越來越近的時候,車輛結(jié)構(gòu)也變的更復(fù)雜。目前汽車電子架構(gòu)可能是由 60~100 個 ECU 以及 6~8 個獨立的系統(tǒng)組成。但隨著智能化加快,未來汽車會由 6~10 個高性能計算平臺(HPC)組成,軟件系統(tǒng)也會實現(xiàn)整合,并且具有 OTA 的能力。

數(shù)據(jù)能夠很直觀的告訴我們可能存在的風險?突仿〈髮W(xué)軟件工程學(xué)院的一份報告指出,在美國開發(fā)的代碼平均每個功能點會有 0.75 個缺陷,每一百萬行代碼就會有大約 6000 個缺陷。

而達到「很好」級別的代碼,則要求每一百萬行代碼的缺陷數(shù)量為 600~1000 個;「優(yōu)異」級別的代碼要求是少與 600 個。(缺陷中大約有 1~5%的部分會成為漏洞)

換句話說,即使所有代碼都達到了「很好」的級別,按照目前汽車平均 1 億行代碼來計算,每輛車里都可能有 10 萬個缺陷以及 1000~5000 個漏洞。

這些缺陷以及漏洞可能會造成什么樣的風險?沒有人可以預(yù)測。

「安全白皮書」

當然,這篇文章并不是想危言聳聽。既然有風險,肯定就有應(yīng)對的辦法。

在汽車軟件以及安全領(lǐng)域,Blackberry QNX 是繞不開的一個參與者。 在前兩天,GeekCar 有機會和 Blackberry 技術(shù)解決方案部(BTS)銷售與營銷高級副總裁 Kaivan Karimi 聊了聊關(guān)于智能化進程中,他們對于汽車安全的看法。

關(guān)于 Blackberry QNX,其實行業(yè)內(nèi)的小伙伴都不會陌生。2010 年,Blackberry 宣布收購 QNX。Blackberry 本身在安全領(lǐng)域就有超過 30 年的經(jīng)驗,曾經(jīng)很熱門的手機業(yè)務(wù)就是以安全和商務(wù)為最大賣點。QNX 作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商,為安全認證軟件提供支持已經(jīng)超過 35 年。

Kaivan Karimi 告訴 GeekCar,對于汽車領(lǐng)域可能存在的風險,QNX 運用多年的行業(yè)經(jīng)驗,總結(jié)出了一套「指導(dǎo)方針」。無論是主機廠還是供應(yīng)商,只要遵循這份保護汽車免受網(wǎng)絡(luò)安全威脅的建議框架,就能預(yù)防絕大多數(shù)的風險。即使出現(xiàn)可能影響駕駛的漏洞,也能很快進行修復(fù)。

這份《汽車網(wǎng)絡(luò)安全——BlackBerry 的七大關(guān)鍵標準建議》概括了以下 7 個要點:

保障供應(yīng)鏈安全:

通過確保汽車中的每一個芯片和電子控制單元 (ECU) 能夠正確地進行身份驗證并裝載受信任的軟件,而不受到供應(yīng)商或制造商的影響,從而建立信任的根源。掃描部署的所有軟件以符合標準和所需的安全狀況。從漏洞和滲透測試的角度對供應(yīng)鏈進行定期評估,以確保他們得到認證并批準交付。

使用值得信賴的組件:

使用安全的硬件、軟件和應(yīng)用程序,在深度體系結(jié)構(gòu)中深度分層,創(chuàng)建一個安全體系結(jié)構(gòu)。

采用隔離手法與受信通信:

使用電子系統(tǒng)架構(gòu)來隔離安全關(guān)鍵和非安全關(guān)鍵的 ECU,并且在檢測到異常時也可以保障安全運行。另外,這種方法也可以確保汽車中的電子設(shè)備和外部世界之間的通信都是安全可靠的。更為重要的是,ECU 之間相互的通信需要值得信賴和安全。

現(xiàn)場安全檢查:

確保所有 ECU 都集成了分析和診斷軟件,可以記錄所發(fā)生的事件,并將結(jié)果發(fā)送至云端以進一步分析并啟動預(yù)防性操作。此外,汽車制造商應(yīng)該確認一系列指標定期自動掃描檢測,當汽車在事件發(fā)生現(xiàn)場時,也能夠通過安全的無線網(wǎng)絡(luò) (OTA) 軟件更新來解決問題。

構(gòu)建事件快速響應(yīng)網(wǎng)絡(luò):

在參與的企業(yè)網(wǎng)絡(luò)中共享常見的漏洞和風險,這樣專家團隊就可以相互學(xué)習,并在較短的時間內(nèi)提供建議和修復(fù)方法。

使用生命周期管理系統(tǒng):

一旦發(fā)現(xiàn)問題,自動利用安全的 OTA 更新軟件。積極采取證書管理來管理安全憑證,并部署統(tǒng)一的端點策略管理來管理在汽車生命周期內(nèi)下載的應(yīng)用程序。

組織內(nèi)建立安全文化:

確保汽車電子供應(yīng)鏈中的每一個企業(yè)都接受功能安全以及安全保障最佳案例的培訓(xùn),并在企業(yè)中形成安全文化。

「未來 5 年內(nèi)只剩 2~3 種系統(tǒng)」

對于很多人來說,我們在車里最直觀能接觸到的軟件就是 IVI(車載信息娛樂)系統(tǒng)。 事實上,目前國內(nèi)主機廠或者供應(yīng)商在開發(fā) IVI 系統(tǒng)的時候,大多數(shù)都以 Android 系統(tǒng)作為基礎(chǔ)。

這么做的好處很明顯,首先是開發(fā)難度。國內(nèi)具有 Android 系統(tǒng)開發(fā)能力的工程師數(shù)量多,團隊建設(shè)更容易。其次,Android 的第三方應(yīng)用生態(tài)成熟。無論是通過接入 API 或者是 SDK 的方式,都能迅速把移動互聯(lián)網(wǎng)的服務(wù)能力移植到車里。

除了 Android,還有以 Tesla 為代表的的 Linux 陣營。這兩種系統(tǒng)本質(zhì)上都是開源的系統(tǒng),主機廠能夠有更大的話語權(quán)來進行系統(tǒng)層面的定制,得到更個性化的產(chǎn)品。

Kaivan Karimi 告訴我,基于開源軟件開發(fā)雖然在初期會有一些優(yōu)勢,但是在最關(guān)鍵的安全層面卻容易出現(xiàn)風險。畢竟開源的背后,也代表有更多可能被入侵的風險。雖然開源軟件在初期開發(fā)上費用會比 QNX 更低,但后續(xù)的維護成本會更高。

另外,我們之前在討論自主品牌開發(fā) Android 系統(tǒng)車機時就提到過,這樣的策略也容易受限于 Google 的開發(fā)節(jié)奏。畢竟車機硬件沒辦法做到很快的迭代,對系統(tǒng)的持續(xù)維護也會有更高要求。

Kaivan Karimi 表示:「Linux 系統(tǒng) 5 年內(nèi)會在汽車內(nèi)消失,未來只會存在 2~3 種操作系統(tǒng)!闺m然這樣的說法有些絕對,但也說明從安全廠商的角度看,系統(tǒng)數(shù)量越多就意味著越大的風險。

在去年,QNX 發(fā)布了 Hypervisor 2.0 系統(tǒng)。通過這套系統(tǒng)的虛擬化技術(shù),能夠?qū)⒁壕x表、IVI 系統(tǒng)、ADAS 系統(tǒng)等多個操作系統(tǒng)合并到單一芯片系統(tǒng)上。并且系統(tǒng)能夠?qū)⒏鱾模塊分隔,這樣即使有某個部分發(fā)現(xiàn)風險,也能避免影響到其余的功能。比如當 IVI 系統(tǒng)發(fā)生錯誤死機,也不會影響到車輛底層和駕駛安全相關(guān)的系統(tǒng)功能。特別是當自動駕駛技術(shù)的應(yīng)用開始普及,這樣的功能就顯得更有必要了。

Hypervisor 2.0 系統(tǒng)能夠支持類似運行 Android 系統(tǒng)軟件。Kaivan Karimi 告訴我,無論是 Android 或者是百度的產(chǎn)品,都能夠在 QNX 的 IVI 系統(tǒng)中運行。這樣也彌補了 QNX 在第三方生態(tài)方面的不足。據(jù) GeekCar 的了解,國內(nèi)座艙領(lǐng)域目前比較主流的一種開發(fā)方式就是「QNX 儀表+QNX Hypervisor+Android」。

關(guān)于汽車的系統(tǒng)安全,無論多么重視都不為過,畢竟誰都不想坐在一輛不可控的車里。從這個角度看,類似 Blackberry QNX 這樣的安全服務(wù)商雖然對普通用戶沒有明顯的存在感,但扮演的角色至關(guān)重要。

大白

叫我大白就好了

作者問答

問:你認為汽車智能化跟安全的關(guān)系是怎么樣的?

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

文章糾錯
x
*文字標題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號