【盖世直播】刘健皓：智能网联汽车信息安全建设思路及应用

奇虎360汽车安全实验室主任 刘健皓

我来自于360汽车公司汽车安全实验室，我是这个实验室的负责人。2014年我就有幸开始研究智能汽车的安全。我此次演讲的角度是从攻击者角度来看的汽车信息安全的。有句古话说的好知己知彼百战不殆，就是我们必须要知道攻击者在想什么，我们才能够做到效的防御，没有必要花费高额的成本解决一些生活中无法复现的安全隐患，所以汽车信息安全防御需要有针对性的。

每次我去做信息安全介绍的时候都会带来几个视频为要用视频呢？因为信息安全技术是非常抽象的，包括在学科里面，讲的什么信息安全架构、理论、算法非常的抽象，所以我就以一些国外的先进研究给大家做一些演示和介绍。

这是第一个视频，这个视频讲的是什么呢？早在2011年美国的国防科研研究所就开始研究汽车联网技术的安全。这是当时的一个演示。实际上国内也有一些学校很早就研究过这块的风险。这个一直在踩刹车，但是是失效的，相信大家有一天踩刹车失灵的时候也会恐慌起来。（视频）

2010年大家对于汽车的阶段还是我必须接到总线上，然后需要一些远程的设备才可以攻击你，这个是需要接触式的攻击。

到了2015年，在美国的大会上有两位专家发表了一个议题，这个议题是远程入侵一个未经改装的汽车，这个时候的攻击已经变成了非接触式的，我不需要通过总线发送指令控制你的系统了，我只需要通过互联网攻击你的汽车。最终他可以实现什么呢？这个是他们在高速公路上做的实验。他们两个在家里连上互联网，通过互联网远程控制这辆汽车。

首先他们最简单的方式是更改中控系统的显示内容，包括控制你的中控平台。他把中控已经改变成他的照片。然后可以控制这些音响、娱乐系统。接着是控制车身系统，雨刮器。接着是动力系统，这个是断油了，这个就是在高速公路上断油了，然后速度降下来了。（视频）

这个就是他们两个在远程开启这个系统才恢复动力，这类的攻击在汽车远程领域是一个关键点，也是一个里程碑。这个一个是证明了汽车可以通过远程攻击，第二个就是他可以横向影响这一批量汽车。因为这件事召回了1400万辆车进行修补漏洞。这个是远程系统造成的远程入侵。

2016年我们团队在公布了一个自动驾驶的攻击的案例，通过干扰传感器造成车辆偏行。这个是我们拿特斯拉的系统做测试，特斯拉的系统前面有一个雷达，可以探索150米的距离，这个时候我的前方没有任何的车辆，通过攻击我到一个前方的车辆。可以看到现在前方显示出来一辆车，在有车的情况下帮他自动驾驶。当他通过这块攻击点的时候，我给他发了一个请求，告诉他前面有一辆车。然后他迅速的减速，甚至逼停了。这个证明就是需要在车身的传感器做一些欺骗，就可以控制。（视频）

这个就是汽车攻击的手段，随着汽车发展不断的提高。

我们来看一下汽车总线与生俱来的安全风险，他设计的时候在一个封闭式网络上的。现在的智能网联把这个总线开放出来的，但是封闭式的网络没有考虑到安全问题的，所以一旦开放会引入很多的安全风险。

这个网联化也会带来一些安全风险，就好像我们传统电脑，大家九几年上网的时候没有任何的病毒、木马，但是2000年联网以后病毒、木马都猖狂了，汽车也会面临同样的问题。

智能化也会带来安全风险，因为有很多的自动驾驶的方案会通过传感器来控制。

还有新能源，新能源汽车的BMS系统和充电桩是做信息交互更新的，从中对外开放一些接口也可以引入安全风险。

最后是汽车的科技化，因为现在汽车的科技化要求越来越高，我们发现很多的汽车配置比较高的车型，一个是会实现联动、舒适型，他把很多拓扑的网关都打通了，会带来很多的安全风险。

值得车场思考的几个问题，我这次来到论坛我就觉得昨天顾老师谈的主动安全、被动安全，还有人谈过功能安全。我觉得在智能网联这个层面上信息安全是最大的问题。实际上这是值得厂商思考的问题。

风险想完之后我们要想怎么进行一个正向的建设，首先一个观点就是你肯定会被黑掉，现在没有一个单一的方式可以解决所有的安全风险。我们现在有一个安全风险原则，首先我允许被攻击，但是我可以快速的找到你，我把这种快速找到溯源的能力展示给黑客，让他不敢攻击你。第二点，你一旦攻击我，我很快会发现，并且你下一次攻击我，可能就不会攻击成功。这是一个原则，这个原则只需要建立一个动态监控的安全系统。??

在这个信息安全技术里面我们通过研究和实践，包括参考国内外的一些标准，像今年10月份美国国家高速公路安全管理局发布的《汽车联网安全指南》，信息安全技术路线图分为这几块。第一块，要对现有的车型设计的时候要进行安全分析，包括安全开发、安全设计。然后在车辆要正式上线之前，或者SOP阶段的时候进行测试，安全测试完了之后会相应的有一些针对性的防护，要部署一些安全产品。前期的安全工作做完之后后面要做一些安全运营。

这个是信息安全的框架，这个框架可以套用移动安全的框架，基本上就是云、管、端的这三块。但是云和管可以用传统的IT来解决，但是端这块，汽车终端和我们手机终端不一样，因为他连接的是控制，是更复杂的系统。

我们一直认为汽车的终端分为三大层面，分别是决策、感知、控制。决策层的安全和感知层是不同的领域。我们可以发现很多的工具是通过娱乐系统、网络连接的系统或者蓝牙钥匙攻击进来的，这个层面是属于IT的层面。IT的层面如果说被攻击，实际上车场是可以容忍的，因为你最多是可以给我装一些娱乐软件，但是没办法控制我的汽车的车身核动力系统。如果我们的底层设计不安全，很有可能OT这块就会被攻陷，所以这里分为OT和IT领域的结合，所以我们需要总线的安全。

总线方面我们也做了一些研究和探索。我们发现在总线里面可以由几个措施，一个是总线的认证和加密，但是现在这个总线资源可利用的非常少了，我们看的数据位已经被充分的利用到极致，可以让我们做复杂的加密方式和认证上面非常少。所以我们要在加密和认证方面要做一些简单的，不要被别人破解出来的协议。

在汽车网络架构我们要做一些多域的隔离，让相互的娱乐系统、控制系统、车身系统都要绝对的隔离，不能通过网关做转发，或者通过一些措施能够把网关的控制功能、隔离功能绕过，这个是在控制层面的要求和建议。在自动驾驶控制安全里面我们发信传感器对于车身控制也有一定的干扰。我也发现有很多的像国外的品牌的无人驾驶系统，他的环境传感器是以车身玻璃来做感知的。车身玻璃自己的距离探测能力本来就不是特别的可靠，自身感知到的数据就不太可靠，直接就会影响到驾驶行为不控制的错误，间接的会造成HMI的错误，错误的信息告诉驾驶员，驾驶员也会做出措施的判断，最后就会酿成一系列的事故。

还有车载应用方面的安全，分为三块，一个是应用的安全，他存在一些相互交用，甚至装一些非法的应用，他调用你底层的MCU，控制你的车身。还有硬件和系统的安全。

这个是我们的车载系统安全测试的测试清单，包括系统测试和硬件测试。这里是一个车载终端的防护。我们车载终端防护我们需要一个后台的监控，实时监控才可以有能力发现别人什么时候攻击你，并且攻击你以后可以以一种措施的方式防止别人下次再攻击你成功。

这是我们在车载终端上面的一些探索。

还有一块的攻击方面是通过移动终端，我们要做到防逆向、放防调试、防篡改、防重打包。这个主要是通过手机APP的控制协议来控制你的系统，这个没有达到真实的控制层，但是已经在IT层面控制指令出来了，然后再通过终端进行控制请求。造成车辆不需要任何的权限就可以控制汽车，这个会给车主带来一些财产经济上的损失。

如果说在座有很多整车场的同事上述的东西都没有听懂，都做不到。最后有一个办法，就是我可以发现我被攻击了，被媒体曝出来了，需要召回了。我可以通过远程OTA手段来进行召回的手段。第二块我们可以做到端到端的加密，可以用一些加密的芯片和证书防止黑客的攻击。第三块我们要有一条的专网保证我们通信的安全，至少黑客技术接触不到这张网。这个就是我在智能网联汽车方面的一些分享。

谢谢大家。

敬请关注盖世汽车“2016汽车与环境创新论坛”直播专题：

网站专题链接：http://auto.gasgoo.com/topic/qcyhj/

手机WAP站专题链接：http://m.gasgoo.com/topic/qcyhj/