发现汽车网
首页 >> 汽车资讯 >> 正文

更加重视网络信息安全,从设计开始

日期:2020-11-17 20:09:48 来源:互联网 编辑:小狐 阅读人数:786

更加重视网络信息安全,从设计开始(图1)

更加重视网络信息安全,从设计开始(图2)

撰文 / 钱亚光

设计 / 赵昊然

题图 / 杜 凯

随着汽车电动化、智能化、网联化进程的深入,汽车电子电气架构在向集中化、简单化发展,低阶自动驾驶的功能越来越完善,应用越来越普及,高精度地图的商业化,都让汽车的联网需求越来越大,而5G的渐入佳境,更是让人们对联网汽车的未来充满了憧憬。

与此同时,智能网联汽车领域的信息安全事件,也在呈现加速上升的趋势。从2016年-2019年,智能网联汽车安全事件发生率提升了7倍,2019年较2018年增长99%。2019年,有82%的安全事件源于远程攻击。

更加重视网络信息安全,从设计开始(图3)

在智能手机上有一些安全问题,最多大家想到有钱被骗,而智能网联汽车如果出现了网络安全问题,攻击不仅会造成数据和隐私泄露,还能通过接管和控制车辆驾驶,给驾乘人员带来重大的人身和财产安全隐患,甚至会有控制车辆对社会秩序进行攻击的危险。

我国对于智能网联汽车信息安全非常重视,在工信部出台的《车联网智能网联汽车产业发展行动计划》等政策文件中明确了强化、保障安全的基本原则,并围绕健全安全的体系,提升安全防护的能力,推进安全技术的手段建设,落实企业主体等方面,就车联网、网络安全作出了的部署。国内智能网联汽车标准数量,在2018年-2020年显著增加,2020年已经超过30件。

更加重视网络信息安全,从设计开始(图4)

在刚刚结束的2020世界智能网络汽车大会上,中国电子信息产业发展研究院副总工程师安晖,发布了智能网联汽车信息安全渗透指标体系及结果。

更加重视网络信息安全,从设计开始(图5)

来自信息安全检测机构的指标体系

更加重视网络信息安全,从设计开始(图6)

智能网联汽车信息安全渗透指标体系包括车载信息交互安全、车内外通信安全、APP安全以及接口安全四个方面。2020年9月-11月,赛迪汽车工作的结果发现,车辆主要在语音助手身份校验、Wi-Fi、软件升级安全校验、第三方应用劫持篡改、车载信息交互工程模式、OBD接口、蓝牙、调试模式安全认证、USB接口、无线钥匙等方面存在问题。

更加重视网络信息安全,从设计开始(图7)

分析本次中发现的典型缺陷,基于赛迪汽车车联网安全漏洞平台的漏洞评级办法,从可利用性、威胁影响程度、代码成熟度等方面进行了综合评分。

更加重视网络信息安全,从设计开始(图8)

基于测评,安晖提出四个方面的建议:首先,政府部门需要加强完善智能网联汽车政策法规,针对智能网联汽车安全,出台指导性的文件;其次,智能网联汽车组织加强规范的建设,共同加强网络安全的防护;第三,整车厂、零部件供应商要加强安全意识,更加重视网络信息安全,提高能力;第四,第三方机构应加强安全防护和安全测评能力的建设,更好帮助企业提升安全保障的水平。

而参加大会“计算平台与信息安全”主题峰会的三家网络安全公司也从自身的研发、实践情况出发,介绍对于智能网联汽车信息安全的见解,以及改善网络安全的想法和建议。

更加重视网络信息安全,从设计开始(图9)

特斯拉成为汽车信息安全的“众矢之的”

值得注意的是,参加主题峰会的三家公司,在做智能网联汽车信息安全的研究时,无一例外,把特斯拉汽车作为了的标靶。作为汽车智能化技术的标杆,特斯拉有着自己独特的电子电气架构,领先的自动驾驶技术和实践,又率先实现了整车硬件和软件的OTA升级,成为众多信息安全企业要解剖的“小麻雀”也在情理之中。

更加重视网络信息安全,从设计开始(图10)

2008年成立的上海银基信息安全技术股份有限公司,经过对特斯拉的几款车型的,找到了以下四个问题。第一,远程遥控特斯拉,通过一些控制,远程启动,推动车往前走;第二,外来的信号和判断会影响这台自动驾驶车可能发挥问题,比如虚拟的、三维的影像会欺骗自动驾驶的感知;第三,可以通过NFC卡打开特斯拉的车门,并启动这台车;第四是可以远程开锁,通过掌控帐号,破解数据安全,变成特斯拉的车主。

上海银基将漏洞提交特斯拉的安全团队,得到特斯拉北美安全团队的感谢,同时收录在国家漏洞里。

360公司的研发团队,在2017年就对特斯拉的钥匙和一系列车型做了破解,发现这是国内某品牌的安全漏洞,360公司通过获取权限,完成了控制车门、启动发动机等一系列的动作,并将破解情况和相关车企做了通报,通过与企业合作,对相关的情况做了修复。

更加重视网络信息安全,从设计开始(图11)

2017年,特斯拉的问题主要在网联安全,团队通过近场Wi-Fi、蓝牙,或通过物理接触,可进行通讯劫持,或通过软件漏洞打进车里。

更加重视网络信息安全,从设计开始(图12)

到了2019年,特斯拉用自己的芯片形成了新一代的自动驾驶体系,而则在试验中成功地用特殊图片让

更加重视网络信息安全,从设计开始(图13)

Model 3(参数图片)错误打开雨刷;让Autopilot错误识别道路信息,进入反向车道;并利用游戏手柄遥控汽车辅助驾驶。这表明自动驾驶的算法安全,引入了新的攻击场景和新的攻击手段。

在从多网络安全公司的帮助下,特斯拉在网络信息安全方面进化速度很快,经过短短不到一年的时间,特斯拉在智能网联汽车安全设计层面上,已经有了很大的进步和飞跃。

与此同时,攻击特斯拉的网络安全公司也在汽车智能网联信息的研究上有了自己的成果,并找到了自己研发的方向。

更加重视网络信息安全,从设计开始(图14)

网络安全公司的汽车信息安全对策

上海银基CEO单宏寅认为:“从看整个智能网联汽车在安全领域的考虑,分四个维度,第一,智能网联汽车自己安全不安全;第二,自动驾驶是不是安全;第三,车联网应用的安全;第四,非常核心的数据安全,数据安全是驱动前三个安全的基础,如果没有办法保护数据安全,做什么都没有用。”

更加重视网络信息安全,从设计开始(图15)

L3以上汽车安全大概分为两个层次,从智能汽车自身的角度看,包括硬件安全、固件安全、OS安全、通信安全、移动安全和云端安全等,过去发生的问题都是可以直接操控汽车的,对于汽车的安全和驾驶都是致命的。

更加重视网络信息安全,从设计开始(图16)

从网联的角度看,有通过硬件接口、OBD接口和有漏洞的ECU的接触式攻击,而更可怕的是通过Wi-Fi接口、恶意网站、入侵云端服务和移动应用进行的远程攻击,向下攻击汽车架构,向上攻击云端中心,可以多层次、多线路对汽车信息安全形成。

更加重视网络信息安全,从设计开始(图17)

他认为,车联网需要全面的安全防护体系,从端到端,从车外到车内,从车端到云端,做重点防护,提升技术,布置大量的安全防护和组件,做好资源库,形成全系列的安全。

更加重视网络信息安全,从设计开始(图18)

过去两年,银基做了典型车联网应用的产品—数据钥匙,来解决安全问题。银基数据钥匙完全无感,驾驶员到了相应的位置,汽车就会自动打开车门,调整空调,调整座位,并可基于数据钥匙很多车联网的服务,从数据的准备,到钥匙的生成、下发、存储使用,最后到钥匙的消费,每个环节里面都有复杂的安全技术保障在里面,让安全变成用户体验车联网服务和应用的保障。

360政企安全集团副、工业互联网及车联网安全事业部总经理李航表示,新技术应用是一双刃剑,从AI芯片,到感知、融合,到人工智能的决策,车路协同以及应用,都让网络安全和信息安全的风险极大提升。

更加重视网络信息安全,从设计开始(图19)

360公司在智能网联汽车信息安全上,首先是硬件的拆解分析,包括对特斯拉、奔驰、宝马、比亚迪等品牌的30多辆车进行拆解,从不同场景,不同的温度开始做基本的研究,包括硬件设计的合理性等,找出一系列安全渗透或攻击的手段。

其次是研究级网络化的安全,包括无线安全、自动驾驶。360在南京与一汽签约,建立联合实验室成为其网联汽车的合作伙伴;与梅赛德斯奔驰合作,对其智能网联相关车型做了研究。

更加重视网络信息安全,从设计开始(图20)

研究发现,网络安全已经成为木桶效应,在智能网联汽车与周边大量网络设备协同的场景下,网络安全出现很小的问题,可能会有很大的影响。李航认为,问题是技术问题,而解决问题是要从体系着手。

更加重视网络信息安全,从设计开始(图21)

车企对设计、工程研发、制造有很强的质量管控,但在网络安全方面没有建立相关的体系。360希望和车企共同努力,从设计开始,就把整个安全能力放进车里;通过车载软件将各种数据打通,再通过云端进行远程数据调取和车载信息调取,进行远程管控,形成网络安全体系,最终保证全生命周期内的安全能力。

据李航称,其团队基本上已经把头几年破解的能力,转变为像的能力,并正在把整个安全能力落在智能网联汽车核心业务上做深度的融合。

安全产业安全部总经理吕一平认为,智能网联汽车安全需要有全局思维,高度协同和前瞻性。

更加重视网络信息安全,从设计开始(图22)

与国际车企、国内车企,造车新势力展开合作,在电子电气架构上做不断升级,算力集中,控制体系集中,用软件弥补硬件的分散化,做到集中算力,集中控制和集成技术的平台化。

未来随着软件定义汽车的趋势越来越明显,包括对智能网联汽车软件迭代速度也会越来越快,未来需要考虑更加适应快速迭代研发流程安全和技术体系。

更加重视网络信息安全,从设计开始(图23)

本文相关词条概念解析:

智能网

智能网(IN)是在通信网上快速、经济、方便、有效地生成和提供智能业务的网络体系结构。它是在原有通信网络的基础上为用户提供新业务而设置的附加网络结构,它的最大特点是将网络的交换功能与控制功能分开。由于在原有通信网络中采用智能网技术可向用户提供业务特性强、功能全面、灵活多变的移动新业务,具有很大市场需求,因此,智能网已逐步成为现代通信提供新业务的首选解决方案。智能网的目标是为所有通信网络提供满足用户需要的新业务,包括PSTN、ISDN、PLMN、Internet等,智能化是通信网络的发展方向。

网友评论