你听说过电动出租车EVA吗?
早在2013年,新加坡TUM CREATE公司展示了一辆原型电动出租车,代号EVA。在当时,一般的电动汽车充电需要六到八小时,一次性充满后可行驶160公里。但由南洋理工大学(NTU)和慕尼黑工业大学组成的TUM小组共同研发的这款名为EVA的电动车,在充满电后能够行使大约200公里,充电时间却只需要15分钟。
本篇将重点介绍电动出租车EVA的原型,为后续介绍车辆安全的新方法做铺垫。
一般来说,特大城市的出租车每天行驶的距离较远。比如新加坡,一辆出租车24小时的行驶距离可达500公里。这种长距离行驶对目前市场上为数不多的电池技术带来了巨大的压力。这么长的距离,想要通过改装传统的电动汽车为出租车是不现实的。并且,这类出租车还要面临充电时间长,中途无休息的情况。TUM CREATE从零开始设计和开发电动出租车EVA,其电池比传统电动车大得多,并具有额外的快速充电功能。
其次,对于热带城市,空调是必需品。车载空调的耗电对电池是一个很大的负担。EVA在四个不同座椅上空配备了高效的头顶空调,为每个座位提供人性化服务。
除了电池和空调外,EVA还有很多创新的地方。其中之一就是基于智能手机交互的新型信息娱乐系统。汽车的寿命一般在10年左右,开发周期一般为7-8年,而消费类电子产品的更新换代速度则要快得多。智能手机等消费类电子产品,随着发展速度的不断加快,往往每两年就会更换一次。技术的发展速度,导致装有集成信息娱乐系统的车辆在其生命周期开始不久后就成为了淘汰品。
为了跟上时代的步伐,EVA没有为乘客提供任何固定的集成屏幕,取而代之的是使用智能手机。乘客可以使用自己的智能手机和提供的应用程序连接到EVA并控制各种功能,包括空调、控制座椅内置的个人扬声器播放音乐以及支付功能等。
为了提高驾乘人员的舒适度,满足安全要求,EVA内置了两块屏幕。这两个屏幕是基于平板电脑的模块化结构,并使用与智能手机相同的网络服务界面。这种模块化,不论是从机械角度还是软件更新角度讲,都可以在出租车的生命周期内,轻松且低成本地更换屏幕。其中,在中控台的显著位置配有内置中央信息屏(CIS),该信息屏是EVA所有功能的中央控制点。组合仪表(IC)置于方向盘后方,用于显示驾驶和安全相关信息,这种设计能最大限度地集中驾驶员的注意力。(详见下图)
使用乘客的智能手机和高度集成的平板电脑可以减少每个座位的屏幕和电脑数量,从而减少整车重量和电力消耗。此外,模块化可快速更换内置组件,实现系统的低成本维护和升级。然而,在乘客将自己的设备连接到车辆上的同时,也给攻击者攻击汽车提供了一个攻击载体。在EVA中,乘客和内部网络已通过网关和防火墙连接。防火墙用于确保乘客的设备不会访问汽车受限功能,而网关则确保访问设备的上下文正确性。通过这种设计,车辆可检查出所有输入的信息内容的正确性、数值界限等。信息娱乐系统中的安全性是建立在互联网和计算机网络领域现有标准之上的。当我们打算将同样的安全协议扩展应用到实时网络时,我们发现在实时网络领域,过往的研究很少。此外,实时性的限制大大增加了将安全引入此类系统的复杂性。
针对上述关于EVA电动车的情况,设计开发了一种新型的信息娱乐系统。在保证安全的前提下,乘客可以在座位上通过这套系统控制车辆的各项功能。该信息娱乐系统由于减少了车内的屏幕和控制元件,能在保证功能齐全的前提下,降低能源消耗,减轻车辆重量。
在设计和实现信息娱乐系统的过程中,关于这种系统的信息安全和更普遍的汽车架构问题逐渐显现。对于这些问题,解决方法将会在后续的文章中提到。
01架构
EVA所有接口设备(智能手机和屏幕)都是通过无线网络(WiFi)连接到中央车载服务器的。该服务器整合和协调EVA信息娱乐系统的所有服务,并额外提供与EVA实时网络接口。除了智能手机和平板电脑的通信外,该服务器还提供了对集成的高清摄像头(HD)的访问和对车顶出租车标志的控制。其架构如下图所示。
无线网络分成两个物理上独立的网络,以保证诸如CIS、组合仪表和驾驶员和乘客的智能手机设备和内部设备进行流量分离。乘客网络上的设备可以读取中央服务器上的许多功能,如位置信息、出租车计价器的状态等。但是,乘客所能获得的功能,比如写访问功能,特殊的支付服务界面、和中央服务器上的音响系统的连接、通过网关在实时网络上调整空调等都严格限制在一套经过严格过滤的功能上。相比之下,内部网络上的设备拥有更多的权限,根据设备类型,可以写入位置数据、启动和停止计价器、空调调节和声音选项以及锁定和解锁车门(详见下表)。
每个座位都配备了立体声扬声器,直接连接到中央服务器,可产生8个声音通道,并在中央服务器上进行路由。立体声通道可由乘客的智能手机(每个座位)或CIS独立控制。还可使用互联网广播频道,乘客可从智能手机上流式播放音乐。可通过内部网络上的设备进行高清摄像头的流媒体播放。摄像头还可以在通电后24小时循环录像,以作为发生事故后的保险证明。中央服务器给WiFi网络上的所有设备提供互联网服务。当车辆行驶在路上时,使用车载蜂窝4G调制解调器;当车辆在车间时,使用车间的WiFi进行连接。车间内的WiFi连接支持进一步访问数据记录器和EVA中实时网络的控制器,以实现调试的目的。
02组件运行情况
本节将介绍以下四个主要组件的运行情况。
中心服务器:中心服务器负责协调和连接网络中的所有设备。
中央信息屏(CIS):CIS是位于中控台上的触摸屏,是所有与驾驶无关的控制装置的主要交互点。
组合仪表(IC):组合仪表是位于方向盘后面的显示屏,向驾驶员显示与驾驶相关的信息。
智能手机:智能手机应用分为驾驶员应用和乘客应用。驾驶员应用不包含支付功能,而乘客应用则不能锁定和解锁车辆。
1)中心服务器
中央服务器是信息娱乐系统的主要设备,提供WiFi网络,是网络中所有服务的网关,通过中央服务器,可互联所有设备。
—硬件
服务器为商用计算机(COTS),该计算机采用英特尔酷睿i3处理器,2GB主内存,具有被动散热功能,配有三个以太网端口,用于连接各个端口上的摄像机和外部连接,以及第三个端口上的数据记录器和实时控制器。此外,该计算机还增加了两个MiniPCIe WiFi适配器作为两个WiFi网络的接入点。车顶的出租车标志通过通用串行总线(USB)连接。另外一个MiniPCIe适配器作为控制器区域网络(CAN)总线适配器。最后,四个USB音响适配器用于将每个座位上的立体声扬声器连接到中央服务器。
—软件
通过Java程序,信息娱乐系统软件在服务器的Ubuntu操作系统(OS)上运行。软件的某些部分,如与CAN总线的连接和对多声道的支持,是通过C代码和Java本地接口(JNI)或通过直接执行Java的shell命令来访问操作系统的本地功能(见下图)。
—组件
该软件为模块化,新的组件能以Java存档(JAR)文件的形式提供。信息娱乐系统软件启动时会自动检测和加载这些组件。内含的一个模块负责更新,该模块可供服务器使用,在系统重新启动后会自动下载和激活软件。如果按功能分组,组件又可分为模块和服务。模块可以访问声音适配器和出租车标志等本地部件,而服务则是提供网络服务,可以从车辆中的设备上访问。每个组件通过主系统的一个单独线程启动。组件可以启动用于处理传入的网络服务请求的多个线程。看门狗管理程序主要用于实时监控各线程的"心跳"信息,以发现无响应的线程。由于是经过详尽的测试,无响应的线程这种情况在EVA的正常运行中应该不会出现,但在新功能的原型设计时可能无法避免。
—通信
组件之间的通信是以面向服务的架构(SOA)方式实现的。组件可以通过信息娱乐系统核心发布和订阅消息。该核心还负责接收来自组件的消息,过滤和传递消息给组件。
2)中央信息屏(CIS)
中央信息屏(CIS)是位于EVA中控台显著位置的主要信息和交互屏。
—硬件
CIS采用COTS平板电脑作为硬件平台。这种设计方式可大大缩短开发时间,并形成了一个高度集成的平台。平板电脑配置了附加功能,用于不同的功能,如麦克风、扬声器和全球定位系统(GPS)等。例如,GPS用于向中央服务器提供位置信息,再由中央服务器将其分发到车内所有设备。当EVA关闭时,CIS也被关闭。只要对充电口通电,它就会启动。通过这种方式,车辆控制系统就可以启动CIS。
—软件
CIS采用的是基于Android的操作系统。在该系统基础上,配置了一个自定义的应用程序。该应用会自动启动,并以全屏方式运行。为了实现电源控制和自定义的位置提供者等一些所需的功能,平板电脑要进行root。这样可以对内置功能进行更多的控制。
—通信
中央信息屏与中央服务器的所有通信都是通过WiFi接口实现的。当打开CIS的充电口电源时,平板电脑自动启动。启动时,CIS会在中央服务器注册,并被分配一个标识符(ID)。注册后,中央信息屏供乘客和驾驶员使用。GPS启动后,中央服务器接收位置更新。在中央服务器,位置更新可以被过滤、融合等,然后再通过UDP连接发送回中央信息屏。UDP接收到关闭命令后,中央信息屏关闭。
3)Instrument Cluster (IC) 组合仪表
组合仪表是位于方向盘后方的屏幕,为驾驶员提供驾驶相关信息。
—硬件
组合仪表采用与CIS相同的COTS平板电脑,设置相似。内部WiFi用于连接中央服务器,可与信息娱乐系统中的其他设备进行数据交换。此外,组合仪表还配备了一个蓝牙CAN适配器,将EVA控制网络上的命令转换为平板电脑的信息。通过这种配置,控制网络和仪表盘之间就建立了直接的连接,减少了关键信息显示给驾驶员之前的时间。虽然没有通过触摸屏直接与组合仪表进行交互操作,但可通过方向盘上的一个杆子来控制组合仪表。拨动这跟杆子可以进行简单的操作,比如切换屏幕中央的信息视图。
—软件
与CIS一样,组合仪表也是基于Android操作系统的。通过root操作系统可以访问启动功能和关闭功能,以及自定义位置服务商。电动汽车的仪表盘上显示定制的应用程序,除了标准值,如速度、电机能耗和电池充电状态(SOC)外,还显示出租车计价器的当前状态(免费、租用......)。此外,仪表盘上还集成了一个信息显示屏,可以在不同的视图之间切换,包括车辆当前位置地图,以及整体能源消耗和显示挂倒挡时后视摄像头的图像。该组合仪表还能显示汽车哪个门未关好,并在车辆出现电池消耗过高等故障时向驾驶员警报。
—通信
通过WiFi和蓝牙实现通信。由于组合仪表主要显示的是与驾驶相关的信息,所以大部分数据是通过蓝牙接收的。但对于位置信息和出租车计价器的状态,组合仪表是通过WiFi与中央服务器进行注册。这个过程与上面CIS上的过程类似。需要注意的是,除了管理信息外,在WiFi和蓝牙/CAN上,组合仪表不需要也没有能力传输信息。虽然在WiFi上,可以在网络侧强制执行信息传输,例如,通过分割网络和不接受消息,但在CAN上没有办法强制执行信息传输。总线依赖于所有连接设备的正确操作。组合仪表软件必须经过测试,并确认其行为符合规范。
4)智能手机
汽车中,驾驶员和乘客都会用到智能手机。这些智能手机并非一直位于EVA中,通常会从车内拿走。智能手机上的应用程序用于连接车辆并控制所有功能。
—硬件
对于当前版本的EVA,我们使用的是市面上现有的智能手机。这些传统手机支持WiFi,并内置近场通信(NFC)阅读器。WiFi用于与EVA的通信,基于乘客座位扶手上的NFC芯片用于确定乘客的座位。驾驶员的智能手机还具有蓝牙功能,可连接到车辆上,用于解锁车辆。
—软件
与CIS和组合仪表类似,智能手机的使用是基于Android操作系统。下载一个指定的应用程序后,可控制EVA中的所有功能。虽然驾驶员手机和乘客手机的设计和整体功能相似,但驾驶员手机中具有锁闭和解锁EVA的额外功能。同时,驾驶员手机没有支付功能。这个下载的应用中包含了所有驾驶员驾车和乘客乘车时需要用到的功能,无需乘客手动交互。这些功能包括自动连接EVA内部WiFi网络,并设置流媒体服务器,将音乐流传到车内。通过点击扶手上的手机来确定乘客的座位等。扶手上装有NFC芯片,可以将乘客的座位编译为统一资源定位器(URL)。下图为部分屏幕截图。
—通信
驾驶员的智能手机与内置设备CIS和组合仪表共享内部WiFi,而乘客的智能手机则使用由中央服务器设置的独立网络。智能手机的所有流量都通过表述性状态转移(REST)API进行路由。时间紧迫的更新则通过UDP发送。通信构造与内部设备类似,但在中央服务器上通过WiFi网络的网络接口分离通信构造。通过这种设计,智能手机只能访问EVA中所有功能的非安全关键子集(见2.4.2节)。NFC是用于确定乘客的座位。
驾驶员的智能手机利用蓝牙连接到车辆内部实时网络,用于EVA的锁闭/解锁或启动/关闭。
03性能评估
就技术性能而言,我们按车内各个设备分开讨论。
—中央服务器
中央服务器的效率是关键。由于设备采用被动冷却,并安装在气流有限的密闭空间内,因此需要其尽可能高效地运行。通过采用高效的软件捆绑,尽量优化软件,避免出现繁忙的等待期。实验结果显示,中央处理器(CPU)的平均使用率在10%左右。如果开启了音响系统,则会达到更高的数值。这种利用率得益于PulseAudio,它能有效地用作一个具有多个输入(源)和输出(汇)的音频混音器。如果采用软件形式,则效率会低很多。
在所有座位和10个输入流的播放模式下,CPU利用率最高可达到内置酷睿i3处理器的50%。长时间的音频播放,导致产生的热量无法及时散去,因此需要关闭中央服务器。此外,播放的单路输入源,座位不同,播放会有时间的延迟(声音减弱)。因此,在EVA的原型阶段之后,如果要长时间多声道使用该系统,则需要用计算机控制的硬件选项代替软件音频混音器,实现在没有CPU开销的情况下路由音源。由于该音响系统是模块化构建的,便于后期更换控制硬件混合器。
—中央信息屏(CIS)
中央信息屏(CIS)主要用于显示驾驶信息和人机交互。由于这方面的大部分计算都是在中央服务器上进行的,所以设备的性能利用率很低。然而,设备的触摸屏会不断地开启以及WiFi互联等都会消耗大量的电力。此外,中央信息屏还要传递根据GPS信号计算出的车辆坐标和速度。要实现这些功能,需要耗费大量的电力。在设计系统时,提供给中央信息屏的电力因不足以完全满足这些功能,导致设备因电力不足而关闭。调查表明,供应商提供的电源线在电力传输过程中对电能的损耗也很大。
为了减少电力损失,我们通过车辆电源来实现将充电电压和电流提高到硬件允许的最大值的目标。由此产生的充电电流能够为中央信息屏提供足够的能量,使其能在车辆所有功能激活的状态下,还能保持正常运行,并且还能给内部备用电池额外充电。在原型车中,这种解决方案是可行的,但中央信息屏往往是在最大功率下运行的。在批量生产时,应考虑使用能源效率更高的专用GPS接收器。
—组合仪表(IC)
只用于显示简单的信息。为此,采用了内部显示和WiFi连接,以及与车辆CAN总线的专用蓝牙连接。这些组件的功率和CPU消耗都在设备和供电能源的限制范围内。
—智能手机
与集成电路类似,智能手机具有大部分的信息特性,主要是依靠触摸屏和WiFi网络。定位信息是从中央服务器传输到智能手机上的,因此不需要GPS功能。如果是音乐流,手机中会额外启动一个文件传输协议(FTP)服务器。由于这是用于音频数据,通常数据速率较低,因此不会显著增加功耗或计算负荷。
04信息安全
在设计任何信息娱乐系统时,一个重要的考量就是信息安全。由于EVA中有很多相互连接,因此,在设计时,需要确保这些连接不会干扰信息安全。例如,需要确保乘客不会使用自己的智能手机来控制刹车或访问车辆的电池等内部功能。对于很多心怀不轨的乘客来讲,防止其接入车辆内部功能特别重要。这些攻击者可能会用笔记本电脑和专门的渗透软件直接攻击车辆。一般情况下,使用WiFi等标准化连接时,车辆会允许攻击者进行恶意连接。因此开发者需要采取防范措施。下面将选取EVA的信息娱乐系统中采取的一系列防范措施进行简要说明。
—独立网络
由于内部设备(CIS、IC)和乘客都是通过WiFi接入系统,因此需要确保没有授权的功能不会接入。为此,EVA采用了内部("私密")和乘客("公共")功能分开的WiFi网络。两个网络都位于独立的子网中,中央服务器提供两个接入点。在设计中央服务器中的路由表时,就会考虑不允许这两种网络之间传输数据包。
—网络使用单独的密码
乘客端的网络名称和密码编译到乘客扶手上的NFC芯片中,通过这种设计实现每辆车的网络的独立性。为EVA开发的智能手机应用程序会评估这些信息并自动连接到正确的网络。内部网络密码存储在内部设备(CIS、IC)上。
—限制访问
所有通过设备的访问功能和通信都需要通过中央服务器。在中央服务器上配置了一个应用级网关(ALG)以确保设备只能访问各个设备被授权的功能。这个功能是通过多个步骤完成的。与上述的独立网络一起,启用基于IP地址的过滤能确保只有来自正确网络的设备才能访问内部功能。此外,还集成了一个设备过滤器,因为即使是在内部网络中,也并非每一种设备类型都可以访问每一项功能。
—设备需要在系统启动时注册其类型、IP地址和唯一标识符
对于内部设备,每一种类型的设备(CIS、IC)只允许一个设备进入系统。一旦注册了某一类型的单一设备,该设备类型的插槽就会被封锁,不允许再有设备注册。这就保证了内部设备只能在车辆启动时进行注册,即使以某种方式获得了内部WiFi的访问权限,其注册也不能被后来的恶意乘客所覆盖。注册设备的唯一标识符用于向中央服务器发出请求,以确保只有被允许的设备才能访问这些功能。
乘客的智能手机遵循同样的设置程序,但与内部设备相反,可注册的智能手机数量不受限制。
—数据加密
一些广播推送的位置信息等消息是不加密传输的。所有其他流量都是基于面向服务的架构(SOA),并通过超文本传输协议(HTTP)进行传输。这样就可以像互联网上使用的传统方法一样,用HTTPS轻松加密流量。
下篇预告
EVA信息娱乐系统作为出租车信息娱乐系统的原型,围绕着乘客和驾驶员在不断发展。就车载系统而言,乘客端的智能手机是接口而非固定安装的屏幕。这种设计大大降低了系统的重量和功耗。然而,自带设备(BYOD)也引发了重大的安全问题,因为部分车辆网络是开放式的,会遭受恶意乘客的攻击。内部网络的保护已经通过防火墙和应用层网关(ALG)的形式实现。但是,这种保护方式又限制了交互,并给转发和过滤所有流量的网关本身增加了巨大的性能开销。此外,如果该网关或已实施的概念遭到破坏,攻击者可毫不费力的访问开放的车辆内部网络了。
本文的其他下篇将重点介绍车辆安全的新方法。通过在车辆网络的各个层面引入信息安全,我们将介绍一些解决这些信息安全问题的新方法。这些方法对网关的依赖程度低,侧重于以更分散的方式实现信息安全。如发生单一的故障,这种设计就能保证整个系统不会因这个单一故障而面临信息安全问题。如果您有信息安全设计方面的问题,欢迎随时联系牛喀网咨询,我们的咨询顾问全部来自国内外顶级的零部件公司和安全公司。
本文为牛喀网独家发布,未经允许,不得转载!如果您有建议或希望发表您的文章,欢迎联系:conni.luo@i-newcar.com。
