WICV2020 | 上海银基信息安全CEO单宏寅：L3+智能网联汽车安全的研究和实践

11月11-13日，“2020世界智能网联汽车大会（WICV2020）”在北京隆重召开，本次大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会共同主办。旨在打造全球智能网联汽车领域内规模最大、级别最高、影响力最大的世界级平台，持续引领全球汽车产业发展趋势，全面开启智能网联汽车产业发展的新征程。下面是上海银基信息安全技术股份有限公司首席执行官单宏寅在本次论坛上的发言：

谢谢张秘书长。各位专家，各位来宾，女士们，先生们，大家早上好，今天报告的题目是“L3+智能网联汽车安全的研究和实践”。

今天非常荣幸受主办方邀请参加“2020年世界智能网联汽车大会”，主题是“计算平台和信息安全”，余总做了非常精彩的分享，接着谈一谈在信息安全上的一些想法。

我是单宏寅，来自于上海银基信息安全技术股份有限公司。我们英文名是Ingeek，In代表硬科技，代表时尚，geek代表极客，我们立志做一个时尚的极客。来到现在，来到智能网联的时代，智能网联时代现在叫极客，2002年银基在为国内提供信息安全和网络安全的服务，那个时候大家对信息安全在车上的应用大家关心度并不高，随着国家这几年的关注和支持，尤其国务院办公厅最近发布新能源汽车产业发展规划2021-2035年，明确提出智能化、网联化、电气化是我们发展的重要方向。

同时提高产业创新融合，坚强核心技术产品竞争力的推动，整个推动我们智能网联汽车健康有序的发展。报告里面提出专注提了五大战略任务，推动产业融合发展，推动智能网联汽车与能源、通讯、信息安全等等这些领域深度的结合是非常重要的。指南里我们看到，在信息安全和网络安全章节里面提到，在汽车上我们应该做到可信计算，车上的身份认证体系要完善，密码的加强在汽车上的应用，加强测试，安总讲到测试的范畴。最后是数据的分级分类和合规，这些成为智能网联汽车非常重要的一部分。

后面和大家报告一下银基在这里面做的一些事情。分五个内容。

第一，全球智能化，我们看到的一些趋势。第二，车联网安全面临的挑战。第三，典型案例上的实践，这个更有意思，让我们的用户，不仅仅是主机厂，让我们的最终用户感受到智能网联汽车的安全。

从全球智能化汽车发展趋势看，随着5G的推广，北斗应用的推广，基础架构有更宽的通道，汽车关心发动机和能效比，转换成我们对芯片，微处理器，车载摄像头，改变了整车的控制系统和专车系统，包括电子系统。未来智能网联，是一个V2X的情况，是车对人，车对路，车对网络的交互。

整个市场上看了一些预估，2025年自动驾驶汽车4万美金，这个行业是飞速发展的。我们看到应用也是相随而来的，大会上可以看到很多的应用，不管L1-L5，中国智能网联汽车乘用车L1-L5，到2025年，可以看到我们国家L2，L3的出货量50%，搭载的车50%，2030年，搭载这些了L2，L3达到70%，高度驾驶从2025-2030年很快发展。

在L3+趋势来临之际，我们带来了一些私房菜，也是最近做的一些研究。从看整个智能网联汽车在安全领域的考虑，分四个维度，我刚才讲国家战略发展规划里几个维度非常的类似，第一，智能网联汽车自己安全不安全。第二，自动驾驶是不是安全。第三，车联网应用的安全。第四，非常核心的，数据安全，数据安全是驱动前三个安全的基础，如果没有办法保护数据安全，做什么都没有用。

我们拿来最近几个月行业上做的一些事情，分享一些视频，都是针对爆款的汽车特斯拉，特斯拉四个方面我们找到了一些问题。第一，远程遥控特斯拉，通过一些控制系统，远程启动，推动车往前走，特斯拉做了一些防护工作，从目前我们API逆向的角度，我们可以达到全球任何一个角度，任何一个网络，如果这方面的保护做不好，会发生很多的问题。

自动驾驶很多的信息非常多，我们投了一个图片，自动驾驶识别上可能识别车卡车，这些代表着外来的信号和判断会影响这台自动驾驶车可能发挥问题。影像是最容易做到的事情，还可以做一些虚拟的，三维的影像，做自动驾驶的欺骗。上个月上海刚刚完成的黑客大会，最主要的工作是车，黑了激光雷达，黑了毫米波雷达，物联网上的安全不是那么简单的，我们可能要特别的关注。

第三个是非常著名的案例，我们利用攻击，可以实行网络的调节，通过NFC卡打开特斯拉的车门，进入这台车并启动这台车。从物联上看，存在终极攻击的危险，物联网标准安全在这方面是非常关注的。

这个漏洞是我们今年年初正式提交特斯拉的安全团队，得到特斯拉北美安全团队的感谢，同时收录在国家漏洞里。最后一个是远程开锁，电子钥匙成为一中标配，如何防止黑客有这样的行为，掌握的是数据安全。这个案例是数据安全，我们拿到一个漏洞叫帐号，这个帐号不仅有帐号的信息，还有帐号的地图，这个案例最主要的初衷是数据安全的泄露，如果数据泄露，会变成特斯拉的车主。

这四个案例的研究，是我们过去4个月对特斯拉的几款车型的测试，大家了解特斯拉的技术比较领先，还是还有很多的路要走。

从我们角度来看，L3以上汽车安全挑战大概分为两个层次，一个是智能汽车自己本身的安全，有六大模块，从硬件安全，移动安全，云端安全，OS安全，过去发生这样那样的问题，这些问题都是可以直接操控汽车的，对于汽车的安全和驾驶都是致命的，这是从汽车的角度看。

谈智能网联，从网联的角度看，大家知道采取接触式攻击，通过USB的断口接触汽车。最可怕的是远程的攻击，底层是普通汽车的架构，最上层是云端的管理中心，通过这些网络攻击，我们可以做到非常多层次，多线路的对这些汽车安全形成挑战。这是我们做的一些分析的情况。

讲了这么多，大家都会说怎么办？从安全从业者来说，包括我们自己在汽车行业做了这么多年，我们从用户的角度思考这个问题。今天去餐馆吃饭，我们认为餐馆的卫生没有问题，确实是他应该做到的事情。当我们走入智能网联时代，L2的辅助驾驶和L3的自动驾驶应该是安全的，不然不应该上路。我们的用户考虑舒适的体验，用户考虑能够享受各种各样车联网，智能网联的出行服务，享受人工智能，大数据带来的舒适，实现车路协同。我们不会考虑这些。

实际上我们很关心这些，我们看真正从另外一个角度看怎么做。开始的时候讲，车联网需要很多人关注，我的确也是这样认同的。在车联网安全整体防护体系里，我们有一些认知。首先应该有全面的安全防护体系，在智能车端的硬件，在底层的智能芯片，在嵌入式，在移动端，在加密，在软件，在算法，这些基础领域需要我们非常关注。在后台有应急响应中心，行业漏洞库，指导主机厂和整车厂以后的工作。这些安全的问题，这些安全的防护，可能制约自动驾驶的发展，因此需要消耗大量的算力和认证和交互。

到5G，到毫秒级的车联网的时候，这些体系能不能做到？这是我们共同应对的挑战。不管在和不在，我们都关心在智能网联汽车怎么做好一件事情，做的扎实。前两天一直有一个比方，有一些主机厂愿意花1万美金买激光雷达，不愿意花2万美金买安全芯片，在路上跑的自动驾驶的汽车有多少装了安全芯片？是很少的，大家开始关注这一点，从底层，从核心计算，从密码，从测试，最后从数据安全几个方面，我们做好这件事情，我相信对整体的防护才是有意义的，并不是说在车里装一个车载防火墙就可以解决问题。

我们应该建立主动安全的体系构建，从端到端，从车外到车内，从车端，云端，做重点的防护对象，提升技术，做好我们的资源库，在安全检测上的工作，做好对外安全服务。

这是我们讲的一个主动安全的体系。过去一些时间里，我们研究自动驾驶安全防护，从L1研究到L4，花一点时间介绍一下在了L2和L3上的工作，对OTA的安全，大家认为OTA是安全的，并不是这样，我们怎么做好这方面的安全，是一级供应商和主机厂非常需要考虑的事情。另外的安全是通讯端，我们用的最多蓝牙可能就不安全，我们用的wifi就有很多的问题，在这个领域我们有一些探讨和实践，服务了35家主机厂，这些主机厂陆续在合作。我们看到的安全在于多元化的，不仅仅像智能汽车，包括网联化，包括云控中心的安全，OBU的安全，国家推国家级的车联网示范区和先导区里面有大量V2X的基础设施，经过几次测试发现了一些问题。最近在某一个城市的自动驾驶测试，我们通过一些链路，让车端读取红绿灯的信号是反转的，在这个领域有很多的路走。全方位的V2X安全，包括AI的安全是下一步的领域。

我们在研究的领域拿一个案例，银基过去2年做的实践。我们做了典型车联网应用的产品，我们用手机开车，用蓝牙的通讯技术实现我们用手机可以控制，表面看是一个很简单的运用，蕴含着大量后台安全技术。首先做一个钥匙，要解决的是安全问题。我们可以看到，在云端，在车端，在终端，我们做了大量的安全防护和组件，形成全系列的安全。

我们的体验更多希望传递温暖的感觉，让用户感知是安全的。很多的数据钥匙打开手机，使用APP可以使用，我们的钥匙完全无感，驾驶员到什么位置，车的算法是打开车门，调整空调，调整座位，让大家更舒适，有很多车联网的服务基于数据钥匙提供给大家。安全不像变成恐龙和怪兽，变成用户体验车联网服务和应用的保障，一个保护者。

我们通过这些技术，能够给大家分享一下，大家可以看到，在整个数据钥匙生命周期里面，我们做了哪些事情，从数据的准备，到钥匙的生存，到下发，包括存储使用，最后到钥匙的消费，每个环节里面都有复杂的安全技术保障在里面，设计的不仅仅是传统的，和芯片，和通讯和应用相关，这方面怎么做好一个安全，让车的使用者，让车联网的应用服务大家感受更舒适，更便捷，更安全。

做一个广告，银基是专注物联网和车联网的企业，我们的愿景很简单，建立人和物的智能安全连接，过去时间我们实现互联网，如今智慧城市有很多案例，包括智慧出行，智慧交通有多种的应用场景。我们做的一些内容和主机厂，和智慧城市的运营商合作，从安全的咨询，标准制定，前沿技术的研究，我特别提一下我们做了一个平台，这是我们自主牵头做的，在汽车产业漏洞响应中心，我们收集了近万个和企业有关的高危漏洞，我们提供给主机厂和供应商，我们都是免费提供的，我们在全球的黑客大会上也获得全球黑客的认同。

这是我们在安全体系上做的一些事情，未来在世界智能网联的发展，尤其是中国智能网联汽车飞速发展的过程中，信息安全，我希望大家不要看作是害怕的，担心的因素，而是看作积极的推动者，可以推动我们整个产业更健康，更飞速的发展，谢谢大家。

（注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！）