北航秦洪懋：智能车载终端信息安全迫切需要行业基线【图】|163

北航秦洪懋：智能车载终端信息安全迫切需要行业基线【图】

车云按：2017年6月21日-22日，由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。本文为北京航空航天大学交通学院秦洪懋博士针对智能车载终端信息安全现状及发展建议的演讲。

秦洪懋：谢谢大家！首先我介绍一下今天演讲的内容：智能车载终端信息安全的现状及发展建议。前面听了很多专家包括我们奇点王博士，斑马肖总的介绍，了解到智能车辆的信息安全需要两个维度来把控，一是端、管、云的架构体系，二是车辆内部的纵深防御体系。这个很有意思，因为这两个体系的结合点正好就是车载终端，我们认为车载终端必将成为车内车外信息交互的唯一节点，这个节点可能是T-Box，可能是IVI，也可能是二者的集成，而针对这个节点的信息安全防护及标准建设已成为目前行业发展的一个痛点。这个痛点包括两个层面，一是从企业来讲，他们迫切想知道智能车载终端的信息安全基线是什么，信息安全从广义上来讲具有无限责任、无限成本的特点，因此产业迫切想知道我的投入成本多少合适；二是从消费者角度来看，他们想知道国家目前在智能车载终端方面的信息标准是什么，需要国家、行业等非利益相关方进行管控，保障消费者的合理信息安全要求。

下面我就针对我们这两年来在智能车载终端信息安全方面的技术推进及标准建设工作，跟大家进行一些分享。主要分为三个层面，第一个层面智能车辆信息安全现状。

第一个关键词隐患。电影《速度与激情8》中所呈现的是科幻世界中自动驾驶僵尸车队由于芯片漏洞而导致大规模被控；而现实世界中，与车联网具有相同属性的物联网，则承担了大规模的现实网络攻击。2016年美国DNS服务商遭受三波大规模的洪泛（DDOS）攻击，几乎摧毁了大半个美国互联网。由此，不论是车联网还是物联网，由于智能终端面临设备异质化、结构扁平化、以及设备接入海量化，带来了极大的安全隐患。第二个关键词问题。这种安全隐患究其原因，可归结于传统汽车在智能化、网联化和电动化后，原有的隐患成为问题。这里有个经典的案例，2008年，丰田刹车踏板事件后，美国法院检查丰田车辆相关源代码时，竟然发现28万行代码竟有1万多全局变量，这构成庞大的信息漏洞培养基地，这表明传统的汽车设计距离智能化和网联化的要求还有一段路要走。电动化也是如此，充电桩实行“桩联网”后，车辆信息网联的同时伴随着能量的流动，同时电池管理系统控制着整车的信息流动和能量流动，这些如被攻击或被控制，能量大规模异常波动造成的后果难以想象。因而可以这样阐述，汽车技术变革使得传统车辆的信息安全隐患成为信息安全问题。第三个关键词风险源。进一步我们通过分析智能网联汽车，可以将信息安全问题归纳为三大风险源，概括起来就是两张网、一个端。一是移动通信网络环境，这里即包括传统的2G、3G、4G网络，也包括V2X等车际网络，这由于不同类型车辆、道路环境等多源的复杂环境、车辆行驶时的信息流具备高速时变特性，信息数据呈现群体并发结构，使得面临着更为复杂的安全通信数据；二是车辆内部的车载网络，目前主要是车载的CAN总线、LIN总线网络，这些总线网络架构脆弱、带宽较小，在车联网的冲击下使得车辆的信息流结构异常脆弱；三是汽车愈发成为一个高度复杂的移动系统，其承载着安全行驶、车载娱乐等传统功能，在网联环境下其还承担智能交通受控节点、车车安全控制等更为复杂的功能，这些也带来更多的系统攻击入口。智能网联汽车的三大风险源按照攻击链路的分类可进一步细分为7大攻击面和和超20个攻击点。

第四个关键词产业发展趋势。汽车信息安全近几年的产业热点会集中在智能车载终端信息安全，重点关注T-Box等智能终端产品及其标准规范，同时重点关注嵌入式的自主实时操作系统研发，前段时间在一带一路会议期间爆发的永恒之蓝病毒等应该给我们足够警示作用，操作系统必须自主可控、安全高效；而在未来3-5年间，由于车载以太网等智能车辆车内电子架构的改进，基于生命周期管理的智能车辆车内多域隔离机制和纵深防御体系将逐渐走向产业化，车载网络入侵检测IDS系统、硬件安全模块HSM、安全在线升级OTA机制以及具备信息安全V型开发的新型电子电气架构等一大批新型的车载信息安全产品或技术将成为汽车信息安全产业发展的热点。
总之，在近期内汽车信息安全产业将聚焦在车载终端的信息安全防护能力提升上，而在中长期，将聚焦于车载以太网为核心的车内网络信息安全防护。这点值得汽车公司和信息安全公司关注。第二个层面智能车辆信息安全现状。

为对接中国制造2025建立智能制造标准体系和信息安全保障系统的要求，制定覆盖车载端、车联网和云端平台信息安全的智能网联汽车信息安全发展路线图，实现在2020年左右构建完善的智能网联汽车信息安全技术标准和信息安全测试规范，建立智能网联汽车信息安全应急响应体系；在2025年自动驾驶智能化第四等级完全实现的同时，完成智能网联汽车信息安全的自愿认证和强制认证工作，构建自动驾驶汽车技术路线的信息安全保障机制。这个事情上，时间节点可能有偏差，但发展趋势基本如此。而在今年刚结束的中国智能网联汽车产业创新联盟成立大会上，中汽学会、北航和梆梆安全一起发布了《智能网联汽车信息安全白皮书》，对于过年一年的智能网联汽车信息安全热点进行梳理，分析了汽车信息安全产业现状和发展趋势，解析了智能网联汽车当前面临的信息安全威胁，从多维度防护角度出发提出智能网联汽车信息安全方法论，构建全生命周期的信息安全保障体系。

而针对具体的车载端威胁，在白皮书中已有具体阐述。这里谈谈终端节点安全，主要包括五个层面：一是T-Box。常规条件下，汽车消息指令在T-BOX内部生成，并且在传输层面对指令进行加密处理，无法直接看到具体信息内容。但恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥，实现对消息会话内容的破解。尤其是有些T-BOX出厂时会留有调试接口，如果完整分析T-BOX的硬件结构、调试引脚、Wi-Fi系统、串口通信、MCU固件、CAN总线数据、T-BOX指纹特征等研究点，攻破T-BOX的软硬件安全系统将非常容易。而一旦ARM和MCU单片机之间的串口协议数据被恶意劫持，攻击者就能够对协议传输数据进行篡改，进而可以修改用户指令或者发送伪造命令到CAN控制器中，实现对车辆的本地控制与远程操控。二是车载综合娱乐系统IVI。IVI的高集成度使其所有接口都可能成为黑客的攻击节点，因此IVI的被攻击面将比其他任何车辆部件都多。攻击者既可以借助软件升级的特殊时期获得访问权限进入目标系统，也可以将IVI从目标车上“拆”下来，分解IVI单元连接，通过对电路、接口进行逆向分析获得内部源代码。三是OBD。通过在汽车OBD接口植入具有无线收发功能的恶意硬件，攻击者可远程向该硬件发送恶意ECU控制指令，强制让处于高速行驶状态下的车辆发动机熄火、恶意转动方向盘等，从而达到车毁人亡的目的。四是车载OS。类似“永恒之蓝WannaCry”的勒索软件病毒感染了车载电脑系统，其可以将车载电脑系统彻底锁死，瞬间夺取车辆的控制权。如果“失控”车辆正好处于高速行驶状态，那么车毁人亡惨剧发生的几率将极高。五是OTA。OTA其实在刚才所说的，大家前面很多专家谈到它对于汽车安全的影响之后，OTA现在基本上已经变成一个标配，后面我会讲目前的OTA在生成传输过程中可能面临的问题，这里面讲到在终端节点的安全，车载端里面终端节点安全。第二个讲传感器安全。

传感器安全其实是智能网联汽车发展过程中特有的，因为在发展过程中第一个阶段是感知，要感知世界就要通过很多传感器，包括车内以及车外的传感器，超声波雷达感受后方的车辆和人，毫米波雷达感知外界所有的障碍物，激光雷达要感知周围环境，因为激光雷达最精确，但成本最高，要精确的绘制三维地图；高清摄像头，摄像头最便宜车上有很多。因为这个里面现在不太好界定它到底属于功能安全范畴还是信息安全范畴，但是目前在信息安全范畴里面也提出了传感器设备。目前有一个方法其实就是说多源信息融合方法，来规避这些信息安全的威胁和挑战，这是在车载传感器这部分。我们这里重点将车载端采用的防护技术。第一个是车载操作系统AOS。车载操作系统（AutomoTIve OperaTIng System，简称AOS）是管理和控制车载硬件与车载软件资源的程序系统，是直接运行在AB上的最基本的系统软件，任何上层软件，HMI，数据连接都必须在操作系统的支持下才能运行。这里面提出了几个要求，因为针对网联化和智能化第一个提出实时性的要求，这包括软实时或者硬实时。未来随着智能化等级越来越高，对于车载操作系统的硬实时的要求肯定会越来越高。第一个是实时性的高要求，第二个是高性能的要求，汽车上处理的数据数据越来越多，各种传感器传递的信息越来越多，决策信息和控制信息越来越多，这是对性能产生了要求。第三个方面是稳定性要求，因为我们知道有一个词叫车规级，一般车规级规定的要求比其他的工业级相应高一点，所以说在车载环境下，车载的恶劣环境下它要能够保持稳定的工作，那个是它稳定性的要求。第四个方面是我们这里面专门提出来开源性的要求，其实对于开源性的要求最直接的体现就是最近“永恒之蓝”的问题，所有的操作系统问题以后在汽车上都会逐渐出现。开源是要求一定层级的开源或者部分开源，起码说能够建立一定的审核机制，你的代码可审查或者说你的整个系统可能够供审计这样的可能。

这里面目前涉及到的一些车载操作系统有WinCE这种嵌入式操作系统，Linux虽然开源但是它的维护比较困难，安卓现在目前在车载里用的也比较多。目前安全一点的其实是QNX，黑莓旗下的一款嵌入性操作系统，它的稳定性挺好，如果能够开源更好。阿里云OS也好，性能也很强大，但是阿里云OS也有一些局限。其实我们北航这边也在开展车载的安全操作系统的研发工作，我们这个操作系统可能在下半年的某个时间段会推出。第二个是安全防护技术，眼下的IDS入侵检测有很多层面，包括单机的、包括网络的、包括混合的，目前研发的基于时钟漂移的车内网络入侵检测系统检测效果还算可以。

这里面讲的安全防护在线升级的SOTA和FOTA在前面讲过一部分，上面的概念是李院士说出来的，从机械化到智能化过程中肯定是要经历这样的几个发展阶段，从机械化到自动化到数字化再到智能化。而我们现有的汽车大部分都是在处于自动化到数字化的过程中，其实离智能化还有很长的一段时间距离。所以说目前汽车企业做了更多的是解决从自动化到数字化包括线控的问题，这样以后能够更好的实现自动化。我想说从HW到SW，从硬件定义到软件定义，从硬件使用到软件使用的发展过程中，SOTA跟FOTA作为软件升级是必不可少的功能，在汽车上会得到越来越广泛的应用。因为汽车跟手机的升级有很大的不同，所以说在这里面提出了自己的一些需求。主流预计目前SOTA、FOTA肯定都会用，什么时候会用？SOTA目前主要在用，FOTA肯定会逐步推出一些。然后还有数据的保护，这里面从数据的角度讲，从采集、存储、传输、删除的几个角度看，其实这里面对数据生命周期管理，如何进行数据类型分类，目前的数据类型是必须让用户可知已采集的类型，第二个用户具有知情权和否决权。在数据存储当中的密码存储，通过硬件加密或者软件加密，然后保证它的密码存储安全，在最后应用删除的时候车载端和云端数据同时删除一些基本的功能。下图这个其实这个才是我今天讲的重点，左边写的是国家车联网标准体系，包括五部分,智能网联汽车分册已经发布，网络通信和电子产品和服务分册即将发布，智能交通分册属于交通部管理、车辆智能管理分册属于公安部管理，在已经面试和即将面试的三个分册中都涉及智能网联汽车的信息安全，各个领域对此都较为关注。右边是我们目前已立项和待立项的信息安全标准，前两个是团标，后一个是行标，我们关注车载终端信息安全，这也是我们认为目前汽车信息安全行业需要突破和取得共识的开始。

第三个层面智能车辆信息安全发展建议。

第一个发展建议是安全保护不能仅仅局限在车载端，因为单点防御肯定是防不住的，但是单点防御防不住我们也得关注车载标准。总体而言，智能网联汽车在多个层面面临技术挑战，包括攻击链路多元化、应用场景复杂化、安全问题多样化、接入设备异质化、隐私数据海量化，因而在汽车信息安全层面，发展建议包含这样的几个维度：
（1）防护方面，针对智能网联汽车将构建分域隔离的车载网络纵深防御体系；（2）检测方面，将构建包含“端-网-云”在内的一体化的入侵检测IDS系统；（3）出现信息安全问题后，搭建端-网-云-平台多级协同联动的应急响应机制，并可以通过安全在线升级方法实现病毒隔离与清除；（4）在密码方面，加强国密体系在车载设备的应用研究，构建自主可控的智能车载密码技术体系；（5）同时汽车行业漏洞库平台建设方面，搭建国家级智能网联汽车信息安全漏洞库。以上五方面共同构建汽车信息安全立体防护体系。最后进行总结，汽车智能化的趋势不可阻挡，但是必须是安全的智能才是我们追求的终极目标。无安全，不智能！希望我们携手共创智能安全汽车。谢谢大家！