11月1日,2018智電汽車投資者大會在武進高新區舉行,來自全國各地的汽車領域專家、行業精英齊聚一堂,圍繞“破舊局、立新路”的主題展開討論,探尋汽車產業轉型之路,挖掘投資價值與合作機會。
以下是中國汽車技術研究中心智能汽車研究室與汽車軟件測評中心主任、汽車信息安全實驗室主任王羽的發言全文:
王羽:非常高興為大家分享信息安全這個板塊,一直以來,我們所做的工作更多是在智能汽車和無人駕駛,包括汽車智能化指數和無人駕駛汽車的產業發展,今天為什麼講信息安全呢?我們講一講背景,大的被禁不用說,我們講中汽研做了什麼?汽車安全碰撞,第一維度的安全是被動安全,你撞我了,我會不會壞,身體好不好。第二維度的安全是ADAS,能不能撞得上,我能不能躲得開。第三個維度的安全是信息安全,假如有一個人自己精神壞了,非要跳河自殺,我們是攔不住的,進步信息安全圍繞這個來做,我們防止有車被接受外在的信息自殺了,這就是今天所要介紹的汽車信息安全。
從四個維度介紹汽車面臨的風險與挑戰、汽車信息安全政策法規解讀、汽車安全技術體系、信息安全的測試與評價。
相比於傳統的汽車,我們看到典型的《速度與激情8》裡面所有的車輛都面臨非常大的,只要一旦被控制,很容易發生主動的自身不受控制的情況,很多人覺得距我們很遠,你只要開一輛車,我馬上可以攻破,這是當前的變化,相比較傳統的汽車,汽車網絡構架發生的結果產生了車主的信息洩露和車輛的攻擊導致車輛發生重大傷害。所以我們一直講,你撞我,我車壞不壞,那是安全防護,我材質好了就行,但是你撞不上我,我用ADAS系統,那是我們主動避讓。第三個是自己會不會出問題。
我們說網聯化、智能化、電動化,現在網聯化受到的攻擊,關鍵是智能化信息誤差會產生非常大的槓桿,剛才說激光雷達,它看到它識別的人,假如用信號提供的識別信息是發生偏差的話,它所做出來的決策都是錯的,這是新一輪的溝通中才發現,智能化也有安全問題,也不完全是網聯化的問題。我們看到美國華盛頓大學的汽車信息報告和車聯網安全漏洞,得出了一系列的結論,美國德克薩斯州GPS遙控事件,黑客大會的短信解鎖斯巴魯。我們在世界智能大會上的時候,我們做的五款車信息安全攻擊測試的時候,最快的速度0.75秒,我們專業級的研究室去攻破的時候用了兩三分鐘,有兩個學生0.75秒把現在的攻破了,這是我們根本沒想到的。我們說黑客層出不窮,當你享受信息時代的時候,你所面臨的風險一切都是問題,我說一說我自己的一個感觸,我有點後悔,從事信息安全這個事情,本身我自己就不安全,我們一直講標的,我不知道你是誰,沒你身份證號碼,找不到你在那兒幹什麼,但一旦知道你的信息,有你手機號可以查到你的身份證,有身份證可以查到住宿系統,你們指的安全是國家公安以及一系列保證下的安全,但是我們用非正常手段都可以對所有人進行跟蹤和定位,除非不認識你,一旦認識你就有辦法跟蹤到你。我們車輛現在的問題是,在下一輪芯片中一定要附身份,沒有身份無法界定智能化和無人駕駛的過程,這就是現在車輛問題,導致的結果戰爭,車輛自己跳河自殺,信息竊取、獲取利益、商業戰爭、技術炫耀、恐怖襲擊、特定報復、有組織犯罪。我們汽車每一個車上都有恐怖的信息,這個車輛集中安全事件就非常多。
現在造成了兩大方向,一個是隱私洩露,個人的信息、家庭信息以及主機廠商,所有人的信息都給你的駕照連在期,你的駕照都跟你的車輛連在一起,我知道我們的車輛,我就有辦法突破所有的信息關口。第二個是遠程控制,把發動機啟動、開關、空調,現在都可以做到。除了ADAS向自動化的過程中,現在這些汽車企業做這些工作的過程中面臨一個問題,我們都是搞汽車的,很少去搞軟件和搞網絡安全,我們所有現在用的這些軟件全部都有很多漏洞Bug,我們所寫的程序不是有等保一定安全,但是你沒有等保就沒法說你是60分還是70分,70分和80分依舊不安全,只是針對你攻擊的對象來說。回過頭來說汽車,現在針對的汽車行業裡面,我們有軟件開發公司給他們服務,包括科恩、360,但我們最後發現只有一家公司給汽車做信息安全的時候,把它的信息和它的控制決策、執行是一以貫通,信息安全不只是網絡,還可以在控制上干擾。
我們從2016年一直到2017年10月,我們都看得到信息的物聯網安全構架、安全實踐,包括美國的指南,自動駕駛的信息安全,我們為什麼這麼密集的出臺?這個出臺可能要比自動駕駛有一部分還要多的多,它面臨的問題是我每進一步,自動駕駛信息安全增加兩步的信息安全,這個風險非常大。我們以前看不到現在的歐盟和英國的信息安全法規,網聯自動駕駛的主要原則,英國交通部和基礎設施中心,智能汽車安全最佳實踐報告,歐盟信息安全局的,包括歐洲網絡安全局等等一系列,其實到最後都是為了提高安全,信息共享達成共識,明確責任,第三方測評評估,這是最基本的路線。日本也在做汽車信息安全的法規。
回過頭來說中國,現在總的來說還是政策比較多,我們國家網絡安全由網信辦牽頭,一切按等保制度來走,汽車所有口徑都是不一樣的,從國家層面五六個指南里面提到過推進這個事兒,從標準化結構裡面,信標委和智能運輸標委會都有信息安全不同的標準,這些標準都構建成了一個不完全一致的維度。行業層面和中國信息標準協會、通信標準化協會、智能網聯產業化聯盟,都非常多。
第三個我們來解釋汽車信息安全的技術體系,總線的網絡,無線網絡等幾個維度進行攻擊,我們可以看到攻擊面總線和ECU,尤其是現在Wifi總線比較容易被攻破的。
基本攻擊的破解路線是掃描破解路線,破解T-Box IP,這以上是我們的基本原理。雖然原理很簡單,但方法不一樣,各個突破的速度也不一樣。
第四個是信息安全測評,我們想閉門造車在那兒制定標準,我們還講不清楚哪個有用,不如拉一堆車過來,測一測,測完了知道哪有風險、哪應該防範、哪應該有標準,這就是這個評價規程。以上是信息安全評價的幾個維度,以上是我們的第二級維度和第三級維度測試評價體系。
最後是第四個維度的子體系,我不細說了。
這是以上測試表,第一輪的測試很簡單,我們通過這個表內所有的板塊,它能不能按照標準通過和不通過,根據通過的數量最後加權算出是否能夠及格和不及格,因為還沒有達到定性的測試,我們按照等保的模式把這個簡單的測試出來。
我們裡面的通信、網絡、軟件、感知以及決策是四大決策的系統性測試。
以上我們看到了和幾個實驗室正在做的一些拆解和功能,現在和公安部第三研究所已經在測試15款車,在今年12月來發布,為明年政策的制定以及信息工程來做規劃。
以上是我們的介紹,我們介紹了很多,但其實PPT很少,我們說的內容一句話,所有車輛當智能化、網聯化打開魔盒的同時永遠封不上安全的門,但是我們需要全行業一起來解決這個怎麼去防禦的問題。
閱讀更多 小飛龍自媒體 的文章
