东软陈静相:汽车信息安全领域的思考与挑战

关键字
近日,由Taas Labs主办的第二届中国无人驾驶及汽车网络安全周在北京隆重召开,此次汽车网络安全行业年度聚会得到了业内同仁的高度关注。

三天时间里活动聚集了汽车行业的政、产、学、研共30多位行业汽车安全大咖,和关注未来汽车网络安全和发展方向的数百位企业高层,共同探讨了最新行业政策、市场方向以及最领先的防黑客攻击技术、ADAS最佳实践,车联网安全个人信息保护等近30个行业话题方向。

宝马、奔驰、日产、沃尔沃、北汽、广汽、上汽、吉利、长安、大众、长城、斯堪尼亚、福田等20多家国内外主流车厂全程参与。东软集团网络安全事业部产品总监、车联网安全研发中心主任陈静相作为演讲嘉宾受邀参与大会,以下是陈主任演讲全文,特此分享供学习讨论。
大家下午好!
刚才听了无人驾驶,也看了很多DEMO以及很多实际应用,让我深刻感觉到汽车在智能网联方向上其实已经走出很远,超出了我们最开始一些预期,因为我是从传统IT领域来到汽车相关安全领域的,所以感受比较强烈。
汽车信息安全是跨行业的、跨界的领域,对于汽车来说,信息安全是比较新的概念。刚才提了,因为从信息安全角度来看,汽车是一个新的应用场景,对传统IT来说,可能都是数字化的、信息化的场景里考虑交易是否安全,考虑日常业务运营是否安全;汽车信息安全更多的还会考虑信息安全会不会带来更大的影响。所以,对于这样一个跨界领域,我觉得我们东软在自身行业应用过程中,有一些思考和挑战,在这里跟大家分享一下。
刚才提到的克莱斯勒的事情,我们基本把它认定为车载信息安全的元年,为什么这么说呢?这件事情给整个车厂带来很深远的影响,包括政策,相关的政府关注、行业关注,在这个时间点,为什么能爆发这么大的信息安全问题呢?主要原因还在于传统的汽车行业在做转型,提出了智能网联的概念,智能网联要做什么?需要做更多的生态应用。随着时间推移,我们能看到,国家2025规划也好,我们的一些预测也好,车厂的转型逐步走向成熟。
现在车厂都在做的概念叫车行服务供应商,丰田其实在去年CES上也提了这么一个概念,丰田其实是非常传统的车企,在他的概念里,传统的早车可能不是车厂未来的发展方向,他提出我们要做出行服务供应商,出行服务意味着什么?我们不是卖车,我们是提供服务,提供服务需要什么?需要平台,需要相关的数字化应用,车辆不再是传统的车辆,智能网联被赋予了它的应用,所以信息安全相当重要,因为是业务应用安全的保证。所以,我们也能看到,包括后头我列举的WP29、ISO国标,各个相关行业的规范或者规则都在制定,车厂也在密切关注信息安全问题。信息安全现在是非常急需的需要解决的事情。
在汽车功能安全里有HARO,信息安全领域有TAF,怎么理解这个事情呢?我们做事情首先考虑我们做这件事情有没有风险?风险在哪儿?威胁在哪儿?怎么防止风险和威胁?如果不阻止威胁会有什么代价?大概需要多大的影响或者我们需要权衡弥补这个漏洞的风险?汽车信息安全首先考虑汽车智能网联车厂变成服务供应商之后会面临哪些由信息安全带来的影响,它的风险是什么?它的威胁是什么?从我们总结的概念来说,智能网联汽车是服务的基础,它所面临的威胁其实很多,第一,高联通性。17种连接,非常多,连接多代表了车辆攻击的漱口多,还代表传播速度会非常快,一旦有风险威胁产生,就可以通过这么多连接方式快速的蔓延所有汽车、所有相同漏洞的车辆,这件事情给车厂带来的损失是非常大的。第二,高脆弱性。从传统汽车代码来看代码量非常大,最少有100多个ECU,6千多万行代码,执行的代码量越大漏洞越多,人家能找到漏洞地方越明显。汽车信息安全问题为什么爆发这么快?还有一个原因,实在有太多地方可以挖掘漏洞。高智能性,智能网联汽车未来要做很多关键业务,包括决策,包括无人驾驶等,权利越大,所面临的风险越大,一旦这些执行单元被攻击了,风险非常大。信息安全以前在IT领域只会造成资产流失、业务中断,但是,在车上面可能会造成人身安全,可能造成社会层面的伤害。在汽车信息安全领域,正因为有这么多特性,正因为这些特性带来的威胁非常大,我们更应该关注怎么保证我们的车辆信息安全,怎么实施能让车辆信息安全问题降到最低。
先举个例子,我们希望通过这样一个例子分析一下这样的信息安全隐患是如何产生的,到底怎么进行攻击的呢?这是特斯拉的一个例子,还有一个是克莱斯勒的例子,从某种意义上来说,这两个例子的攻击流程很相似,首先都是通过网络漏洞,克莱斯勒通过网络找到域名登录权限,通过网络漏洞介入之后找到控车系统的漏洞,克莱斯勒漏洞最开始在车机上,具备的是OTA功能,车机有控制车身的一些权限,通过这样的漏洞,进行了刷写,对车内网络进行刷显,车机和车联网络之间许多任何验证,直接对V850控制器做了刷写,最后达到控制CAN网络、控制各个车辆功能的实施入侵的流程。特斯拉也是类似的,特斯拉某种程度上通过钓鱼Wi-Fi的搭建,升级了网关固件,进行了对整车的控制,对于车联网来说,攻击思路上、攻击路径上是有层次和组合的,并不是单一一个点一个问题就能产生最终达到目的的攻击行为。

一旦攻击事件产生了一些效果,产生了危害,产生了一些损失,我们能不能最快速的响应和最快速把风险屏蔽了?这两家在这个过程中采用了不同的应急方式,特斯拉通过升级,快速的应对了事情,所以得到了比较好的应急响应处理。克莱斯勒对应威胁攻击的响应相对来说时长长了一些,产生的危险比较大,变成信息安全元年典型的案例。
沿着攻击的路径,我们大概做了一个规划,我们认为在信息安全领域应该分四个层次:
首先,我们需要保护车辆对外连接接口,正因为车辆有17个或者更多的接入,所有接口设备的信息安全是非常重要的,包括它的连接、关键业务敏感的传输非常重要。
第二个层次,网络隔离从某种意义上延缓或者阻断攻击路的完成,对于整车网络来说,引入以太网,整车网络的交互包括控制关联越来越紧密,在整车网络当中如何保证通信安全性、指令的安全性,信息认证很重要。
第三个层面,在各个敏感业务之间,在ECU之间,我们需要进行更安全传输。对第三层来说,各个零部件供应商并不是完全满足AUTOSAR,并不是完全有资源做类似的传输之间的保障,我们也在想如何保证所有的支持AUTOSAR和非AUTOSAR能同时达到安全传输层级。
第四层,对每个ECU、每个控制器都能做系统层级安全的保障。现阶段来看,在某些高系统的资源丰富的设备上,我们达到这样的系统层级安全保证,对于一些MCU、一些控制器,我们还没法做相应的约束,因为相关一些原因,未来在车联网发展过程中,最终第四步也许会得到一定实现,会有更好方法解决ECU安全保护方案。

所以,对于攻击链路我们定义了四层相关的信息安全保护规划和策略,针对这四层,东软提出4+2安全体系框架图,这张图看上去感觉有点复杂,其实从我们的逻辑来看,第一,信息安全建设需要基础建设能力,就像我们做很多事情需要有一些基础的安全的措施,我们认为像证书和电子密钥服务系统、信息安全管理平台、安全芯片相关的安全能力是我们认为一个系统要达到信息安全所具备的基础能力,在这些能力之上,针对车联网或者智能网联业务逐层构建安全的建设,第一层,我们需要对车联网平台需要保证安全接入,我们需要保证车和云端业务的连接应该是安全可信的,接着对车上各个domain或者对车上各个不同域有安全隔离、安全认证以及敏感业务的加密应用,最终我们会针对车上做一些安全部署,给每个ECU和给每一个车载设备做系统级别的安全加固。整体上来说,我们希望通过这样一个部署能达到对车辆安全的逐步建设,信息安全建设不是一步到位的,也不需要一口气建设的非常完整,随着车联网或者智能网联汽车业务的应用和逐渐深入,我们可以有选择、有针对性的做一些安全方面的部署和实施。
这是我们提出的一个想法,汽车电子信息安全产业链,在跟很多车厂交流过程中,发现其实我们现在面临的问题就是定位并不准确,信息安全公司更多的是IT领域出现的,零部件供应商更多的是做传统汽车业务的,车厂可能没有信息安全相关的能力,依据于我们V字型开发,增加了信息安全的需求,这个环节应该由谁承担呢?应该怎么做呢?怎么真正在车厂落地呢?某种意义上来说,还是希望能把各个角色或者各个维度做一个明确的鉴定,对于汽车来说,车厂需要的是安全的能力,安全运维保障、安全的服务,最终车厂想达到的目的是不要因为信息安全事件对品牌和价值产生损害。在这个过程中,离线供应商可能是载体,车厂需要信息安全公司基于一个载体把信息安全落地,这个载体有可能是已有设备,也可能变革的新设备、重新定义的设备,但是不会是新增的设备。在这个维度上,供应商包括传统零部件供应商可能在这个维度上会提供一个载体,针对车联网业务也好、V2X业务也好、智能网联业务也好去做相关的信息安全服务、咨询、产品落地,互相合作,配合车厂把整个信息安全能力构建起来。
关于车联网安全标准建设相关的事情,现在ISO有一个对应标准叫21434,这个标准应该在2019年年底正式发布,目前来看,已经到了工作组草案第七个版本,基本内容大概已经完结了,不会有太大改动了,只会有小范围的修改。针对国内来说,跟汽车相关的,列的不一定全,我参与的有通信相关的标准编写,包括信标委、汽标委,我认为通标委更多的关注在车和外围的通信相关建设,包括5G、V2X相关的一些信息安全的建设。信标委会更多从信息安全角度作为主体制定相关的标准,汽标委更多以车为主体,做车内信息安全相关标准。
对于信息安全标准来说,目前来看,其实国内已经在有一个信息安全标准体系的框架,框架列了车载信息安全领域大概要做哪些项,都分为哪些类,首批做的是5个标准,通用标准、网关标准、通信标准、充电安全,网关标准更多关注车内网络之间如何定义信息安全的需求。通信安全更多关注的是如何保障车和TBOX功能层面安全,远程关注新能源车数据收集平台,当时定义了数据收集标准,如何在数据收集要准里保证远程通信安全,充电安全更多考虑汽车和充电桩过程中怎么保证充电链路的安全性。我刚接到通知,周五应该在国标委正式做立项答辩,之前已经把草案写完了,这周立项答辩如果通过了,可能很快会进行正式立项,意味着标准可能进展会非常快。
汽标委同时承接了对接ISO标准和WP29标准相关的标准编写工作和任务,目前来看,在ISO里,我们现在和SAE一起在编写21434,主要几个范围,应该说跟26262很相近,但是,他们的思维方式或者思考逻辑会很贴近,毕竟都是ISO组织相关的一波专家写的,补充一些信息安全专家。所以,在这个维度上,从现在的进展来看,其实已经非常快了,已经是WD第九个版本,工作草案的第九个版本,其实内容已经基本定稿了,对信息安全建议的流程、建议的作用已经基本上都在草案里规定完成了。WP29在这个月已经收稿了,主要三个方向,一个数据安全,一个网络安全,还有OTA应用要求。WP29进行了明确约定,对大家来看的话,WP29里FOTA应用要求这件事情会有更多关注,明确定义了车厂应该在什么时候做升级、什么环境可以做升级,政府相关机构要对软件升级做一些管理和管控。从通过标准建设来看,信息安全的进展还是非常快的,从2015年到2018年三年时间,信息安全走了非常快的历程,26262功能安全2011年立的项,到2017年还是2016年才走完,走了5年,我们3年时间,已经走的非常快。
最后介绍一下东软,我们是很多行业的服务供应商,我们定义的是新生态的汽车网络生态环境——BigCar战略。我们涉及很多智能网联汽车领域,包括车本身,包括IVI,包括T-BOX,包括自动驾驶和安全等等。我们提供很多服务和设备,我们还和金融领域做UBI业务,同时提供用车、养车运营,用于车联网相关内容的供应和平台建设。我们还有很大板块是EV,今天刚好本田给我们一个定点,本田新能源汽车下一代PACK由我们供应,对于我们在EV市场的拓展提供了非常好的里程碑。
对于东软来说,我们认为我们能帮助车厂构建出行服务这样一个平台,我们有这样的技术,我们有这样的服务,能和车厂一起共建,保证车厂转型能完美、快速的达成。