国家计算机网络与信息安全管理中心王永建:车联网安全之我见

时间:2019-04-30 07:00:02 来源:名品家电 当前位置:油叔的视界 > 剪纸 > 手机阅读

2018年12月7日-8日,以“创新驱动、技术引领”为主题的2018第六届“汽车与环境”创新论坛在上海·安亭正式举办。本次论坛完整覆盖汽车行业技术领域的研讨,旨在进一步促进整车企业与零部件企业之间对技术发展趋势的探讨、加强汽车行业专家之间的交流互动、增强整车与零部件企业的交流、搭建合作平台,通过活动促进汽车零部件产业创新转型升级、打造更具竞争力的整零协同创新关系,助力实现向汽车强国的转变。以下是国家计算机网络与信息安全管理中心车联网安全仿真与攻防技术北京市工程实验室副主任王永建在本次论坛上的发言:

国家计算机网络与信息安全管理中心王永建:车联网安全之我见

我今天给大家带来的报告主要分为九个方面,第一部分为发展现状,主要为各大车企的发展现状,包括广汽部署车联网的系统。我们与国内车企直接对接,由车企主管信息安全或者管信息化的领导讲述他们的需求。无论是国外还是国内的车厂,都在部署车联网,原本汽车产业与信息产业并没有交集,而近年来制造产业也随着信息化、网联化的加深,互联网企业开始触及汽车领域。面对巨大的市场蛋糕,国内外互联网企业造车趋势已不可避免。

车联网安全之我见——发展现状

我们国家在智能网联汽车领域做了重大的部署,“中国制造2025”战略是把我们中国制造变成另外一个智造,是一次非常大的飞跃。关于工信部的“中国制造2025”,主要目标就是将中国从一个低端的制造业向一个高端的制造业转变。“中国制造2025”将智能网联汽车发展提高到了一个新的高度,十年前我国第一大产业为房地产业,后续将逐渐转变为汽车产业,或者可以说以汽车为代表的大制造业转变升级的局面,成为真正的智造行业。

国内车联网发展非常活跃,纷纷推出了一些产品,而美国与中国还具有区别,美国更注重一些基础事情的研究,国内注重于产品需求。

我们通过对国内网联汽车的监测发现:目前我国所有的新能源车有140万辆左右,全部联网的有380多万辆,如果把三大运营商的数据全部算上,全国目前在网的网联汽车预测有三千万辆左右。

我们预测到2020年,我国网联汽车数量会达到三千五百万辆,到2025年我们国家联网车辆的数量会达到五千万辆,这个数量会很快剧增。现在车厂生产的汽车几乎都有网联功能,如果没有网联功能会影响车辆的销售。

车联网安全之我见——技术现状

从底层感知层到网络层,再到平台加上服务层,目前国内车联网的整个架构体系基本类似。特别是网络层,5G国内推动最为快速,首先应用就是车联网或者智能网联技术。智能网联汽车,自动驾驶、辅助驾驶领域最先用到5G。4G在日常的办公、使用娱乐等方面基本上都可以满足。面对智能网联汽车却无法适用,因为计算能力、防护、感知等方面需要计算和低延迟需求。国内有两个观点,一个是认为要用云的计算能力来实现自动驾驶,一个是利用车本身的感知能力计算能力来实现。

未来车联网的趋势,现在还是基于一个SIM卡,主要是车载端和网的通信,大家各自都连在网上。车和车之间的通信还不是直接的通信模式,未来一定是V2X,车和车之间一定还有一个交互,包括自动驾驶的实现一定少不了V2X这些功能的实现,这是整个车联网的发展趋势。

车辆的智能化和网联化。智能网联汽车是清华大学李克强老师提出来一个概念,这个概念其实没有什么问题,智能化和网联化带来的问题本身是一个趋势,确实也带来很多的安全问题。一旦智能和网联程度的加深,将会带来很多问题。一个是接口会更多,我们知道网络其实接口越少越好,越少越不容易受攻击。越多反而容易产生问题,路径就多了,由于增加的功能多了,本身考量的角度不一样,只考虑功能不考虑安全性就会带来很多的安全的缺陷或者安全的隐患。

另外代码的复杂化。我们知道现在车辆跟过去的车发生了变化,过去车就是车,现在汽车电路这块在整个车里面所占的比重是越来越大,这里面是越来越复杂,里面的软件占的比重也越来越多,从而也带来了代码问题,代码数量的激增,不可能每一个代码都检查逻辑合理性、安全性。这就需要一个非常好的测试的手段去做这个事情,需要我们国家有这样的机构能测试在这个代码上线之前,实现代码的审计,漏洞的发现。

安全威胁的入口车辆这几年在不断的增加,最早做车联网安全的比较多,过去车辆的安全主要是网络侧APP终端,现在由于车上的功能增多,不仅是网络侧、无线入口WIFI、蓝牙、胎压监测等,还有云端的漏洞也有很多。物理接口,能够轻易对汽车造成一定的破坏,称为了整个车辆安全威胁的入口。

想保证安全就需要考虑测试,我们实验室部门主要做测试,一方面是对专用的设备做测试,另外一方面是车联网的测试。两个测试有着较大差异性,在这个软件平台上,传统X86的架构基本上比较简单的。到了网联汽车之后平台多了,软件平台各种各样,还有通信方式原来就一个HTTP,到了车联网不只是TCP、UDP、HTTP,可能蓝牙、NFC等都要研究。攻击方面也是过去通过植入木马病毒,到了车辆不一样,有近程、远程、物理、渗透攻击等。

到攻击面上传统的网络比较单一,到车联网里面涉及到各类的接口。测试手段也是传统的网络到现在的测试基本上都是自动化的测试,但是车联网的测试很多时候还是很原始的,用手工测试+半自动化测试,要全部实现自动化目前是不可能的。

CNVD-iov库建设情况

截至2018年9月,车联网漏洞库(CNVD-IoV)共收集整理涉及车联网相关漏洞5011个,其中高危漏洞4763个,中低危漏洞248个。

根据车联网行业分布的特征,将车联网涉及的行业分为行业管理部门、车企、车联网服务、汽车零配件厂商、客货运行业、车联网金融、车联网资讯等。

我们除了按行业还按漏洞的类型也做了分类,经整理统计,2018年发现的漏洞类型主要包括SQL注入、弱口令、weblogic反序列化、信息泄露和逻辑缺陷等。

除了做一些漏洞之外,还研究了工具。这里面有对总线和无线的测试,包括车载网络的测试。我们起了一个名字CANattacker,这里面可以实现国内所有车型的总线,我们把总线研究的非常明白,几种类型多少协议都非常清楚,每个车型做了什么我们都做了调研。

除了工具之外,我们也做了一个模拟仿真平台,让大家知道车联网安全是怎么回事,这个可以显示车辆控制的情况,我们用半实物仿真用的沙盘,在城市道路上跑设计几个场景让他们看到这些情况。

除了有这么一个平台之外,北京市前几年车联网热的时候,北京市也成立了一个车联网实验室。这里面是三大平台,一个安全攻防平台、一个安全检测平台、一个安全实验平台,我们做了大量的调研。我们去了很多车厂看他们的安全需求,包括团队目前的条件,我们自己做了一些台架。一个是做实验,可以把一个整车拿过来,也可以把里面的元器件拿过来。还有可以对安全攻防,一个车里所有的攻防实验都可以在我们实验室做,包括OTA。还有一些安全网关,我到目前为止,我所知道的肯定是第一款,国内也有企业在做,但是还没做出来。

另外做安全检测零部件,与东软等企业合作,对零部件的检测做了一些工作。零部件以前没有人讲安全性,这个东西车厂的线比较长。我们做安全一开始都是传统网关安全,车厂要增加一些成本特别敏感。零部件的安全他们考虑的非常重,基本上车厂负责安全性,零部件厂商也应该开始担心这个,不一定花多少钱但是把这个东西提到生产前,把安全的界限往前挪不要老推到后面,推到后面非常难解决。

我们除了检测实验室之外还有众测平台,和我们上海的公司做的合作主要是做车,我们这个实验室现在别的不做,这个平台众多的国内白帽子都在我们平台下一起干活,一个给车厂服务。

我们的目标一是提供面向国家和行业的车联网安全众测服务;二是建设国家车联网安全漏洞库(CNVD-IOV子库);三是形成国家级的白帽子团队。

我们的平台特色,一是权威公信测试平台,CNCERT建设管理,严格保证公正可信;二是真实车辆远程接入,白帽子独享个人测试环境,一键远程接入整车及零部件;三是CNVD官方收录,所有漏洞进入CNVD-IOV子库,并获官方授权漏洞证书;四是白帽能力认证体系,为车联网量身定制能力体系,颁发优秀白帽子能力认证。

我们的平台服务模式:一是专项测试,针对某个特定的TSP平台、APP、整车及零部件进行专项测试;二是定期通报,针对一系列的TSP平台、APP和实车设备进行持续的众测,并周期性通报测试结果;三是高危预警,针对某些高危车

联网漏洞,对于受影响范围内的车企进行预警;四是行业报告,针对行业的车联网安全漏洞的整体情况进行统计分析,形成行业报告向社会发布。

我们现在和汽标委、交通标委,包括我们和质检总局也在合作,就是要把中国的智能网联汽车安全的问题提早布局。我们知道国外美国、欧盟等国家标准走在前面,虽然现在的标准体系没有建立。我们给交通部作了四项国标,还有在TC114参与了5项国家标准编制,TC260参与了1项国标,TC463参与了1项国家标准编制。

敬请关注盖世汽车“2018汽车与环境创新论坛”直播专题

提示:本文为现场速记,未经专家审核,请勿转载!

上一篇搞笑图片:这姑娘是哪个系的,我要转学

下一篇汽车最多能放多久不开?修车师傅:超过这个天数,修理费准备好!

剪纸本月排行

剪纸精选