吉林大学计算机学院教授王健
很高兴来到这里和大家分享一下我的工作。主要是说一下通讯和安全中间的鸿沟是什么事?
我来自大学,我可能说的比较理论,但是请大家放心,这里没有公式,只有故事。这是一个很典型的车联网的结构,从端开始做起,这是常见的盒子,我们会买一个盒子连上电源,就可以取GPS的信号,就可以获得数据。管端是大家现在常用的国内炒的非常热的5G的技术来构成一个数据的通道。云端呢,我们有很多的合作伙伴是在定义中国的监控协议。以后就好像是新能源汽车一样的,以后所有汽车都要进行实时的监管。
在车联网里面,不管你是做什么层面的东西,从技术的层面来说,只有两个永恒不变的话题,一个就是做服务质量,就是做通讯,不管是像田总的中兴还是大唐,都是希望通讯的质量更好,能够更好的进行传输,因为现在随着带宽的提高,现在带宽的应用越来越强,对带宽的压力会越来越大。
另外一方面就是做安全。很多做加密,做认证,做签名,这两个事情在业界向来都是分开的,我们高校做通讯的人,我们学的是物联网专业,我们有专门网络学,这是两个完全不同的领域,但是在我们看来,这两个领域必须要联合在一起做。
通讯我们追求的是比较低的延迟,比较高的速率和低掉包率,这是网络上通用的网络架构,中间这个是V2X协议站,我们现在主要的是用这个框架,中间的这个框架,和我们传统的TCPIP协议不太一样,原来的是水平结构的,这个引入了跨层结构,这个层面可以掌控外界的环境信息,可以做一个中央的决策,能够控制每一层的协议的行为,实现了和以前的协议结构完全不一样的框架。
下面这个是最近刚刚提交的做企业标准化的一个文档,定义了网络层的接口。这个是在通信层面的一些工作。这是从美国到欧洲,到中国推出的大量的信息安全的法规,要求汽车企业必须是要遵守的,比如是美国的1609.2,定义了所有的信息安全的措施,从家电开始,从你的第一步去做加载证书,去做合法性认证,一直到应用层的包,这个包要做加密,要做签名,这个在1609.2的规定,这是我们高校和企业都要遵守的规范。
但是可以看出来,在这两个层面,其实没有太多的交集。我们和公司合作的时候,会有很多的需求,会导致不一样的思维的角度,这两个都是放在通讯盒子里面做的,都是共享的同一套的硬件,而不可能是这一套系统去跑通讯,这一套去跑安全,我总结了目前三个国内的需求,需要做一个感知域,决策域和控制域的规划。但是这三块都是分开的,各做各的,在外界看来,他们是一个整体,就希望每一个部分,能够做安全的地方,能够有一个一致性的安全性的防护。就是从传感进来,数据进来,你对安全保护之后的结果,能够到你的决策的部分,能够承接下来,而不是说到了决策的部分,还要重新做数据校验,还要做重新的签名。到了控制的部分,也是一样的要承接数据安全的防护,这样子大大的减少了数据的开销,大大的减少了资源的开销。所以现在我们很多的合作伙伴都是希望从传感开始一直到执行机构,整个的数据安全是能全面的感知到的,这是我们现在打算做的一个东西。
第二个就是我想说的一个主要的主体,关于联合优化。比如是10兆的带宽,可能全部给通讯用,只传送一些控制指令,都是摄像头采集到的数据,都是雷达的数据,这是最好的。但是实际上为了相互的通信,不得不带了一些控制器进去,使带宽的利用率没有这么的高。比如是传10个字节上去,可能只有5兆是传数据的,另外的5兆是控制指令。对于安全而言,安全所关心的就是我希望这个签名可以变的更复杂一点,密钥变的更长一点,这不得不在时间上带来了很多的压力,会带来更多的证书的传输开销。
一个证书要360个字节才能传走。360个字节,对于一个包来说非常的长。这样子的话,对于车联网来说,是非常大的压力,不可能每一个包都带着证书。所以安全追求它的目的,通讯又追求它的目的,这两个目的在一起的时候,就会打架,因为他们共享了同一个应用,共享了同一个CPU。我们就希望能不能把这两个东西调和一下,这是我们现在研究的一个初衷。
通讯的话,可以用延迟来衡量,带宽的话,我们可以说每秒不到5兆,这个很容易,但是对于安全来说,你比如说装了很多的防护软件,能够说这一台车安全了,可以盖章了,可以开,这个谁都没有把握。通过我们的软件测试的东西,你说以后没有漏洞了,只能是通过说明书,通过合规的测试,但是你不能说没有任何的漏洞。所以怎么样给安全做一个定量化的评估,只有实时的知道当时的系统有多安全,你才可以做反映控制。这样的话,我就可以采用不同的控制技术。
我们以密钥为例,有长有短,取决于你当初所处的风险,风险越高,防护越强,风险越低防护越弱,所以实现一个轻量化的、定制化的防护需求,我们团队一直在致力从事服务质量和安全之间的联合优化。我们希望采用一定的数学方法,不管是做优化,还是做博弈,能三解决通讯和安全对于同一个车联网里对车机的使用。因为最优化是一种特殊的博弈。
这个是现在研究的一个主要的思路,不会太复杂。在车联网里面,在通讯盒子里面,所有的盒子都是来自应用层的,而每一个应用一旦产生了以后,应用消息会对于传输的延迟和带宽有一定的要求,必须要求在几秒之内要传走,另外一方面,车机享受的带宽和内存都是有限的,而这些有限的东西,都可以同时被安全和通讯的模块所共享。
这个车肯定是一个移动的东西,可能会从城市道路一直到不同的环境,那周围的结点是一直在变的,信道的干扰也是一直在变的,所以它所采用的动作和场景能够随着变化而变,而不是固定静态的。服务质量和安全性能,能够形成一个不同的行为结果,能够产生不同的结果,环境在变,采用不同的加密算法,你可以根据所处的风险去进行动态的调整。
目前国内的通讯盒子大多数都是安卓的,在这个系统里面,如果是仔细的剖析程序架构的话,通讯部分有一个模块,安全部分是一个模块,你可以当成博弈论来看,把车机放在一起看,就会有很多车机的合作,我们目前探讨的问题,就是当车联网开始部署的时候,肯定是一个由少到多的过程,这个渗透率如果是超过了30%的话,就开始起作用了。那么在车联网的使用设备很少的时候,资源都是规定一个车用,这个车可以尽情的使用带宽,没有人和它抢,这时候他会变的很自私,没有人指责你。但是当渗透率超过了30%以上的时候,这时候就是说变成非合作,而是要变成合作的模式,需要考虑的博弈的问题。
后面简单的介绍几个我们正在做的工作。不同的颜色表述了不同的关注指标,橙色是通讯关注的延迟,丢包。蓝色的是场景,这些东西如果变了的话,通讯的协议和安全的防护会变。绿色的是安全性能,我们关注的是需要多少程序来破坏它,签名有多长。灰色的是最终控制的指令,发的包是多长的,以什么频率来发,功率是多少。我们分析他们二者之间有什么耦合关系,就是一个东西变大了另外一个东西会怎么样,对话出了这么一个逻辑关系,根据这个逻辑关系,我们就可以来做背后的研究了。
这个东西是做什么的呢,就是用来衡量一个系统,一个盒子它有多安全。就好像是你装了卡巴斯基,就肯定比装了金山毒霸更安全吗,很难谈这个系统装什么东西会更安全,要衡量一个系统有多安全,就可以采用定量的方法,就可以采用闭环的控制去控制安全的防护。简单的说,目前定量化的衡量方法,都是处于定向攻击的,但是这种衡量的方法都是依赖于攻击的方式。在我看来,系统的安全能力是本身的一种自有的特性,就好像是人的免疫力是一种自身的特性,但是不会因为感染的不同,会导致你的免疫力会有变化。
比如是我们要去测你的亚健康的状态,从来不会有人给你打一个病毒,看你是不是健康,应该是从这个系统的特性去检测,看这个系统到底是安全还是不安全的。
我们认为一个系统安全的等级,如果什么都不管的话,一直使用,这个系统最后肯定是要走向死亡的。那这个系统也是一样的,如果你不管他,这个系统从当前的状态走向崩溃的状态的概率到底是多少,这个走向崩溃的概率就是它此时有多安全,就是这么一个理念。
这是另外一个事情,就是做隐私保护。现在的隐私保护是在车联网里面所特有的,在其他的领域里都没有,就是一旦这个车可以上网了,任何人都是可以获取它的信息,因为它的所有信息都是明文传播的,所有的车辆的ID你都可以获得。意味着在短时间内,你可以锁定一个车的整个的轨迹。怎么样让用户明白,你在使用车联网的车,有多少的信息被泄露出来,就好像你每天用QQ,每天用百度地图,这些公司也可以推测出你的信息,我们也是希望可以让用户知道他有多少的隐私被泄露出来。
我们一般只关心两件事,一个是你在哪里,一个你是在干什么,所以你只要在时间和空间上衡量就可以了。比如说这个人跑了一圈,他的位移是零,但是在时间上有一个轨迹。另外一个人他从这里沿着直线走到了这里,他是跑过去的,时间很短,但是位移很大。这样两个人到底谁暴露的隐私多呢?这是一个很辩证的问题,很难说是在时间上暴露的多,还是空间上暴露的多,所以我们把时间和空间上的距离合在一起做一个数学表达。我们和国外一起合作这一篇论文的时候,我们会认为量变会导致质变。在最开始知道你在这个点的时候,对于陌生人而言,他的隐私监控会有很多,因为它很新,但是越往后,后面的这些点,我不看我都知道,后面的这些包即便是不监控你,即便是漏掉了,即便是你关闭了天线,我也知道你是在这一条路上走的。根据这么一个理论,就可以做一些隐私的定量化。
这是研究的另外一个事。在通信而言,做通信企业的人,可以控制他的功率,无论是你用的是什么芯片,它的功率都是可调,它的距离可以从100多米,也可以到800多米传输都可以可控。那么对于通讯的人而言,他希望通讯越远越好。所以现在我们的测试都是以2、3DB来测的。但是你传的越远,会带来很大的问题,周围被窃听到的人会越多。假设周围的这些邻居里有一个军人是坏蛋,你传的越远,你的邻居就越多,你被坏蛋窃听到的概率就会越大,就会有越多的人听到你的消息。如果是这1%的人里面,其中也有人可以破解你的消息,那就惨了,你传的越远,被攻击的概率就越大。通讯的人希望传的越远,安全的人希望传的更近,这是一个矛盾,所以我们做了优化,对于不同的人你的最佳功率是多远是最合理的。
这是一个Merkle树的方式,会把数据分成若干快,而分的块的数量的多少和每一块的长度,都约定了它的安全性和通讯的能力不同,我们设计了Merkle树的博弈化的方法,可以精确的告诉你,此时的数据的精确量应该是分到多少块是最合理的。
我简单的说一下多车的博弈模式。现在不管什么车装两个盒子,在不同的下坡,不同的隧道里分别的测,发一万个包,看丢了多少个包,这就是简单的测试方法。在这个里面,我们做了一个模型,就是把目前的ERP的传播方式变成数学模型,就可以知道不同的场景下的性能场景是怎么样的。这个实线是我们跑的,这个点线是模拟跑的,这样子就不用真正的拿到车子上去测了。这是另外一个理念,我们目前做通讯传输,一个车离你很近,一个车离你很远,这两个车对你而言你更关心的是谁呢,从无人驾驶来说,肯定是关心离你更近的车,离你更远的车,位置信息没有感知的这么的快,对你来说,问题不太大。因为他的位置偏一点,你做决策的时候,可以把他滤掉,没有任何的意义。离你越近的人,获得的信息越准,所以离你越近的人,你希望他越快的发包,基于这个理念,我们做了一个信道协议。
应用价值是什么意思呢,我们发出一个包,这个包开始排队要进入信道,它有一定的延迟,这个包有什么价值,到底是恒定不变的,我把这个包发给你,告诉你我的位置和速度,你什么时候接到它是最合理的,因为每一个人都会抢到这个信道,所以每一个人都可以抢到。我们认为这个包的价值是随着你排队时间的一个函数。就是包一旦产生以后就开始排队,发包数变成递减,是基于这么一个理念。
那未来的方向,这些故事都是需要构造出到底谁和谁是有关联的二方。今年我们的主要的工作是希望提出一个理论框架,归根到底呢,通讯方和安全方,是在时空资源上的一种竞争。在一个通讯盒子里,这个5秒就是你的资源,你必须是在5秒之内把这个包传递出去。那带宽就是资源,延迟的5秒和10兆的带宽,他们合在一起,会被安全方和通讯方共享,就要求这二方合理的分配资源。
谢谢大家,我的报告就到这里。
提示:本文为现场速记,未经专家审核,请勿转载!
*版权声明:本文为盖世汽车原创文章,如欲转载请遵守 转载说明 相关规定。违反转载说明者,盖世汽车将依法追究其法律责任!
本文地址:https://auto.gasgoo.com/News/2017/12/09011026102670029245C303.shtml
好文章,需要你的鼓励
联系邮箱:info@gasgoo.com
客服QQ:531068497
求职应聘:021-39197800-8035
新闻热线:021-39586122
商务合作:021-39586681
市场合作:021-39197800-8032
研究院项目咨询:021-39197921
版权所有2011|未经授权禁止复制或建立镜像,否则将追究法律责任。
增值电信业务经营许可证 沪B2-2007118 沪ICP备07023350号