5G时代车联网安全的未来与展望

通过现代信息技术,人们可以实现车辆监控、智能路径规划、安全控制等,甚至实现自动驾驶,完善城市交通体系,造就智慧城市。


5G时代的到来,无疑将进一步激活车联网应用落地,未来的智慧交通必将向“自动、主动、人性化”靠拢。


但是,随着汽车不断采用更多软件,互联和自动化程度日益提升,这也会带来更多漏洞。黑客入侵汽车操作系统、操纵车辆运行、勒索、盗窃等潜在的安全问题也将日益突显。


5G时代,究竟给汽车行业带来了什么?5G与车联网的结合,所带来的开放性和想象空间,值得人们去不断挖掘。


现在让我们一起来回顾在看雪2019 安全开发者峰会(SDC)现场,各位重磅嘉宾,关于“5G时代车联网安全的未来与展望”的精彩讨论。




圆桌会谈 精彩回顾


以下为速记全文:


于旸,腾讯安全玄武实验室负责人,教育部网络空间安全专业教学指导委员会委员。是微软漏洞缓解技术绕过悬赏十万美元大奖全球三个获得者之一、“Pwnie Awards 最具创新性研究奖”设立十年来亚洲唯一获提名者,曾获国家互联网应急中心“奥运信息安全保障支持个人一等奖”,以及中华国际科学交流基金会“杰出工程师青年奖”。


于旸:今天和大家聊聊5G和车联网的话题,如果说前几年5G还是个概念的话,今年已经可以开始看到很多落地的东西了,而且由于今年上半年的一系列风波,相信大家对这个词有了更深刻的印象。


今天除了讲5G外还有“车联网”,大家对这个词是更加熟悉,或者之前听过更多的内容。今天我们把这两个概念放到一起,可能不一定是个人都知道我们为什么把这两个词放到一起,接下来看看这两个概念之间到底有什么关系。


我们知道刘健皓一直对车联网方向有非常多的研究,首先请刘健皓给大家介绍下谈这个话题需要基础的东西,目前安全界对车联网的研究主要是结合在哪些角度?


刘健皓,360集团智能网联汽车安全事业部负责人,参与细化《中国制造2025》绿皮书汽车领域智能网联汽车路线图信息安全技术路线的规划,在国际知名网络安全会议中发表自动驾驶汽车信息安全研究成果,公布了对自动驾驶汽车传感器、控制器及算法的攻击实例,并提出安全防护方法。


刘健皓:现在安全行业对于车联网的研究主要是四方面:

第一,总线和ECU的研究。利用总线漏洞和ECU漏洞,通过攻击就会控制车身控制器、车辆动力系统,这些研究主要是基于硬件和总线协议的破解,它的攻击范围是有限度的,必须通过OBD或者总线破拆接入到总线里才可以。


第二,基于车联网的攻击。车联网时代到来以后,现在很多车可以跟手机APP、跟云端连在一起,攻击面扩大了,很多研究者是通过APP去攻击车辆的控制系统,也有可能攻击车厂云端服务器TST,间接攻击到tbox,再攻击到车身控制系统。这里的几个攻击点,在国内叫tbox,在日本叫tcu。


第三,自动驾驶的攻击。因为自动驾驶汽车主要是通过感知、决策和控制来形成自动驾驶方案。如果我的传感器接受到一个错误信号,可能自动驾驶算法会造成错误的决策,最终会有个错误的判断。所以在自动驾驶传感器层面上有很多攻击方法。


自动驾驶控制器分为几类,现在大多数攻击方法都是通过视觉攻击,前置摄像头识别有错误模型的算法,它就识别了一个错误,把直线识别成为左转弯道,就进行了错误的协助,这是视觉和AI的攻击。


第四,基于V2X的攻击。这就是为什么5G跟车联网相关,因为未来的车联网可以车车通信、车路通信、车人交互,它使用的网络是基于5G的V2X。


有什么特点呢?


目前V2X的威胁分析有两块,第一块,车车在交互时信息要做验签,但现在的安全手段不足以支持它验签。在座有没有人知道车的最高速度是多少?500公里/小时,一辆车是开不了500公里/小时时,当时设定的场景是两个250迈的车对撞,到了500公里,车车通信时,时速这么高,我还要做个消息发给它,还要保证这个消息的可靠性、保密性、有效性,车车通信验签要求每秒3500次,这是非常难达到的瓶颈。所以在V2X领域里对V2X消息的攻击是一个重点方向。


大家可以想象未来V2X的世界,一辆车跟前车的距离是多少,我告诉它之后,一条消息一传十十传百,如果有一条消息是假的,就会造成轰动效应,造成整个瘫痪。


有了V2X以后,比如咱们的车进入二环主路以后,可以用一种算法叫“鱼群算法”,大家有没有听说过金枪鱼在海里游撞死了的?没有听过吧?它们之间其实是有通信的,这是5G的特点,它有直连通信,不用过云端,直接告诉车的具体车速多少。如果有一辆车是恶意的车、带有攻击能力的车,会造成大面积的交通瘫痪。


这是四个攻击方面。


 

于旸:刚才刘健皓说了四大攻击方向,其中第二点是和一些控制的软件、移动软件有关系,第二个问题问下卢总,车联网安全和移动安全技术,除了刘健皓讲的点,是不是还有更多的结合点?


卢佐华,梆梆安全研究院院长,国际信息系统安全认证联盟(ISC)2 北京分会联合发起人之一并担任分会主席,智能网联汽车产业技术创新战略联盟专家委员会委员,CSAE 智能网联汽车信息安全标准专家组专家,全国家用电器标准化技术委员会智能家电分技术委员会委员。首次提出物联网微边界安全防护理念,带领团队创新设计了物联网多重动态安全防御解决方案,实现对物联网智能终端细粒度的监控与运营管理。


卢佐华:梆梆安全是从2015年开始研究物联网,到2016年选定了一个方向,就是对车联网安全进行研究。移动安全和车联网安全技术有什么相关的?我们可以首先比较一下这两个技术要保护的目标有些什么不同,移动终端、手机和智能网联汽车,只有了解了它才知道需要的安全技术手段有什么不同。

我们可以从软硬件、网络、数据上面做比较。比如福特F150的车,它有十几个操作系统, 100多个ECU,每个ECU都相当于一个嵌入式的系统,上面还有5个网络,2英里的线缆长度。我们的手机是什么样,大家可能比较了解了。有人做过一个比喻,联网车是有4个轮子的手机,但是我们从软硬件上来看,都是完全不可比较的,车是非常复杂的。

从数据上看,像刚才谈到自动驾驶汽车,有传感器、激光雷达、GPS,每天能够产生4T数据,所以我们现在要面对的智能网联汽车跟移动应用完全不一样。


从我们开始研究时也感觉到,作为信息安全领域的厂家,要实现车联网的安全保护有很大的困难,需要面对很大的挑战,象刘健皓谈到从4个攻击的角度去着手保护。


如果谈到移动应用的安全保护,梆梆有一个全生命周期的移动应用代码保护解决方案,但当我们要保护汽车时,汽车有这么多操作系统,每天产生这么多数据,我是不是可以沿用这样的保护手段去保护汽车呢?是不行的。

举个例子,我们之前给很多网银都做代码保护,网银给我们提出再增加几个初始化向量,使保护强度增强。但这样增强的话会使代码量增加膨胀,但银行说没有关系,膨胀到2、3兆,对手机应用来说都是可以接受的。

但是我们现在要保护的是汽车。无论车载系统还是TBOX,它的容量都非常有限。早期跟一家大车企合作时,它让我们在TBOX上实现代码的保护,这个TBOX只有512K,不可能应用代码保护的2、3兆的容量。

所以我们面对的是一个资源受限的系统,我们其实只有保护思路相同,就是我们需要对代码进行保护,因为代码有很多漏洞。像自动驾驶可能有2亿行代码,这么多代码量会有很多漏洞,我们进行保护就只能采取原来的概念,而不能完全采取原来的技术。所以我们也经过了很多创新、探索,包括算法上的革新和突破,最后去实现在嵌入式系统和代码层面上的保护。


 


于旸:讲得很深入,做过很多工作才能够把这些概念给大家讲得如此完备。刚才两位都是联网的第三方的研究角度,接下来问一下程总,您和他们的角色是不一样的,因为您是在汽车制造商的这样一个角度。我相信,第一,你会对车的了解程度更高一些,或者至少你的条件更好一些,你的条件更便利一些。

但是听了刚才两位的介绍,从您的角度去看,是不是汽车制造商所关心的问题和现在业界去研究的这些问题之间还会多一些?


程紫尧,北京交通大学工学博士,小鹏汽车物联安全高级专家,工作面向物联安全体系架构设计、负责物联安全攻防,端、管、云打通的端到端安全研发工作。曾供职于中国移动、华为、绿盟科技等公司,专注于物联网安全、终端安全、移动安全研发工作,在安全研究方面发表数十篇SCI论文及专利。个人主要研究兴趣在物联网安全、嵌入式系统安全漏洞挖掘与防护等领域。


程紫尧:TK问的这个问题非常好,不但串连了我们的角色,把我们的思考、把我想说的话也抛砖引玉带出来了。


我站的角度的确不一样,我是从车厂角度,怎样更好的保护我的车,为用户提供信息安全甚至生命安全的保护。刚才健皓讲了四个方面,卢总也讲了关于应用上的风险和解决方案。


在我们看来,车这个东西只是一个载体,和传统所涉及的安全领域没有太多出入,因为有服务就有云端,有端侧用户的介入,就有手机、有车,甚至有管道,有端与端之间的验证。


在我看来,现在主机厂不论宣扬技术怎么先进,达到什么级别,还是在应用层面、在交车层面不断实践的过程。所以还是刚才说的前两个领域,标准可能先行。


在我们看来是两方面,一个是出厂前的设计是不是OK的,另外一个是未来的发展,小鹏更多是面向运营的公司,我们希望车交给用户并不是产品的完结,我们要保证运行过程中和自动驾驶的安全。


我的团队更多都是在硬件层面,因为对我们的挑战是把方案在更安全的车电网络里加载起来,不但是tbox等这个层面三层以上,还有很多是车联网的打通,比如原来远控的风险通过OTA链路找到一个风险点,在操作系统层面,外连到恶意风险的URL把风险刷下来。必须要分析固件,然后再把伪代码到固件,借由OTA链路去刷写固件,尽可能的做到好。


我们现在有一个核心的主安全芯片,这个主芯片比MCU要更强一些,它是一个NXP的芯片,我们在上面做了二次开发,它最早是为了解决OTA的问题,后面我们可能会做些态势的分析。所以从包的解密解签,不管是OTA层面还是上层,到安全核心算法尽可能以TA封装实现在Tee中等等。


现在我们在抓底层,把架构做好,慢慢介入更多跟5G相关的比如V2X,有一段时间慢慢商用,安全运营之后我们有很多云端的能力,不单依赖于边缘计算,所以有低时延更大吞吐的5G管道为我们赋能。



于旸:因为从技术角度,可能大家看的技术点还是那些,但是身处不同角色时可能会关注不同的点。


万涛本身对相关的物联网安全也是一个比较热爱的方向,自己搞了很多,他对相关的这些案例也比较关注。


所以这个问题丢给你,想了解一下,除了电影中外,目前在现实当中车联网的案例,有没有真实的发生过?有没有疑似发生的情况?


第二,发起网络攻击入侵肯定有一定的动机趋势,现实中如果有攻击者的话会出于什么动机?这种犯罪者可能是什么角色?虽然车联网攻击一旦发生会造成人生伤害,但这种犯罪并不是随便哪个很愤怒的中年就可以发起的。


万涛,IDF极安客(益云)实验室联合创始人。互联网安全老兵,前IBM大中华区云计算服务部首席安全顾问,中国计算机取证专委会委员。专注互联网威胁情报、区块链与智能安全(物联网)。长期支持技术公益,关注儿童安全和科技救灾,曾获联合国开发计划署社会创新奖和2014年度CCTV十大慈善人物。


万涛:我现在就是小鹏的车主,会展外面停的唯一一辆蓝色的小鹏是我的。TK提出的是一个很好的问题,因为以往一些车联网的安全案例往往多来自安全团队的主动测试,所以总有人说是你们搞安全才会把漏洞找出来,然后天天吓唬我们。


其实从克莱斯勒旗下的吉普的多媒体系统2015年被发现可以被远程控制可以导致停车熄火的安全缺陷而召回,车联网安全事件开始逐步增多。


如2018年智能汽车安全报告就曾指出,去年有十几起跟车联网相关的事件发生,除了共享汽车的数据泄露问题,其他包括奔驰、宝马、保时捷都被爆出了安全事件(2018年7月,包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。其涉及内容从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件,甚至员工的驾驶证和护照的扫描件等隐私信息,包含近47,000个文件;


2018年1月,某黑客对汽车共享服务提供商GoGet的数据服务器进行了攻击,利用公司服务器访问公司车队,并下载用户资料。GoGet是澳大利亚首家,也是规模最大的一家汽车共享服务公司,业务覆盖澳洲五大主要城市,这包括:悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。此次事件中,黑客攻击了GoGet的车辆预定系统),这类安全事件的直接后果是大量车主的隐私数据泄露。


但车辆毕竟还算是价值较高的大宗商品,去年11月在英国和欧洲都出现了无钥匙汽车被盗的事件,(无钥匙进入与启动系统是这类事件的攻击目标。该类系统本身是为用户的方便性与舒适性而设计,当钥匙在有效范围内,车主拉动车门,相应的LF信号发射模块会发送LF信号,车主身上的钥匙接收到该信号,并发送RF信号给车。因LF信号发送距离较短,保障了车主身份的真实性。收到RF信号后,车身最终在主控制器的作用下完成打开车门或者启动发动机。攻击者利用信号放大器和发射器,将LF信号放大,使原本不在安全距离内的钥匙感应到该信号,随后再用同样的方式将钥匙发出的RF信号传递到车。这样,整个通信流程都是完整的,汽车误认为钥匙在合理的距离内,便完成了开车门、启动发动机等动作)这是属于中继攻击的模式盗取汽车,这些车肯定都是好车, 无钥匙模式从用户体验是很好很酷的。但它被攻击者利用了就反而直接造成用户的财产财物损失。


去年下半年特斯拉也还有一起跟钥匙相关的安全问题被发现,由于该系统并非特斯拉公司自己开发,而是由外包软件公司开发的,因此受影响车辆还可能涉及同样应用了该软件公司开发的无钥匙进入和启动系统的迈凯轮等品牌的车型。此漏洞主要由于在系统设计时使用了过时的DST40加密算法,导致攻击者可以在数秒内完成对特斯拉Model S钥匙的复制,最终盗走车辆。


所以车联网的安全事件不是我们安全人员去研究漏洞去吓唬社会的,它是真实客观存在并正在发生的,而且由于车跟我们的人身安全、财产关联度大大加强,它产生的高价值性诉求,会比智能家居安全等来得更加直接更加快。结合智慧交通、智能驾驶等等带来的出行方式、运营模式的变化,在5G场景下,车联网的安全事件未来可能还会超出我们的想象力。



于旸:非常感谢给我们讲的鲜活案例,还补充了一个几位嘉宾没有提的角度。车联网除了里面人的安全,车本身也是一个很值钱的东西,车联网安全还涉及到车辆财产本身的安全。


今天的话题,一个是车联网,还有一个是5G。请刘健皓给大家讲一讲,相对3G、4G,5G在安全上有哪些特点?


刘健皓:相比3G、4G,5G的特点就是高可靠、低时延、高带宽,它在安全上的策略是下沉到边缘计算这一层面。目前5GAA上的标准组织,在安全上的标准还是沿用3G、4G的,它只有通信层的身份认证和加密。但是在应用层的安全措施要根据各个厂商的应用场景来定。所以5G安全我们还有很多事情可以做。


于旸:也就是说3G、4G的安全更多是运营商那边的事情,但是5G的安全可能跟更多人有关系。


刘健皓:对。卢女士认为5G技术会给移动安全行业带来哪些新的可能性?


卢佐华:刚才健皓说了5G的特点,我说说5G的目标,就是使所有的物联网设备能够始终联网在线,所以它首先给我们的一个机会就是市场非常大,汽车、家居、闸机、摄像头等都联网了,所以我们的市场很大。


我们的第一个机会就是做安全检测,现在梆梆在发展一个安全泛检测的业务:帮助用户、帮助车企、帮助智能设备的厂商了解安全到底有哪些问题,不是出安全事件了才测,我们要在此之前了解安全风险 。

第二,保护,我们实践在做的是代码保护,下一步要围绕代码运行安全做安全的操作系统,然后再进一步提升做基于硬件的芯片安全,象前面嘉宾也谈到硬件可信根的安全保护,就是保护层面的加强。

第三,智能设备已经上线利用之后,我们怎样进行监管控制。因为大都是嵌入式设备,以前大家觉得没法监管,基本等于上线就失联了。现在我们要做智能设备运营的安全监控,并且细粒度的收集安全信息,做到全面的监控。这不仅仅是移动应用安全,也是各个安全厂商应该考虑的方向和机会。


于旸:也就是说5G会让我们智能物联的产业发生爆发。相应带来的安全机会也会是一个爆发,在座各位可能暗自觉得自己选对了行业。


接下来请程紫尧介绍一下,您觉得5G会给车联网带来些什么?


程紫尧:首先,V2X。如果5G的标准能够从底层开始,就能解决我们很多痛点。比如充电是自营的,到店免费充电,在充电桩安装芯片,从业务层面解决底层的问题,给我们底层的保护,会让我们释放更多能力。


另外,未来我们要朝安全运营发展,前面已经很深了,后面要不断开放,现在我们封锁了很多风险入口,照片传不上,USB封了,组件封了,但是未来5G如果有我们的APP,开发者可以参与进来。所以给我们的挑战也很大,我们也愿意面对这些挑战,把安全运营做得更好。


于旸:刚才又多听到一个跟车联网有关的,要解决偷电的问题。最后一个问题问老鹰,当你觉得5G和车联网结合以后会产生哪些关注的地方?


万涛:TK最后这个问题看似比较宏观,其实不好回答,老实说我刚才也还尝试谷歌一下。但不管是刘健皓还是程紫尧,都讲到V2X。


在未来的智能交通系统(ITS)中,其效率直接取决于V2X通信,各种网络攻击与潜在威胁都将影响其整体功能与完整性。V2X代表着汽车与IT技术的深度融合,在融合的过程中会有新的安全威胁不断产生,同时IT领域已存在的安全威胁也会迁移到汽车上。


因此,从V2X发展之初,信息安全就作为其重要的考虑部分,目前针对5G V2X信息安全开展了许多研究,例如在身份认证领域,已有研究证明5G-AKA协议可适用于任何具有通用用户识别模块(USIM)且能够连接到基站的用户设备,足以满足对于覆盖范围内用户身份认证的需求,摆脱欧洲电信标准化协会(ETSI)提出的在ITS中基于重密码算法的身份认证机制。


此外我们也需要关注汽车安全标准方面的一些进展,如2018年,汽标委组织多次汽车信息安全工作组会议,对已立项的5个标准进行了深入讨论,并且新增立项标准4个。新增立项标准为《汽车信息安全风险评估指南》、《车载诊断接口(OBD)信息安全技术要求》、《汽车软件升级信息安全防护规范》、《汽车信息安全漏洞应急响应指南》。


总的来说,从5G技术和场景出发,它所带来的开放性和想象空间变化都是我们可以去不断尝试、挖掘安全技术新挑战和应用的地方。



于旸:谢谢!今天我们讲了5G和车联网,两个非常时髦的话题,台上都是领域比较资深的专家,所以他们今天讲的东西不一定大家百分之百听懂了,但是没关系。


为什么没关系?因为看雪社区就是一个让大家学习知识的地方。如果大家对这方面有兴趣,在今后的时间里欢迎大家在看雪社区学习这方面的知识。


再次感谢今天的几位嘉宾!