11月1日,2018智电汽车投资者大会在武进高新区举行,来自全国各地的汽车领域专家、行业精英齐聚一堂,围绕“破旧局、立新路”的主题展开讨论,探寻汽车产业转型之路,挖掘投资价值与合作机会。
以下是中国汽车技术研究中心智能汽车研究室与汽车软件测评中心主任、汽车信息安全实验室主任王羽的发言全文:
王羽:非常高兴为大家分享信息安全这个板块,一直以来,我们所做的工作更多是在智能汽车和无人驾驶,包括汽车智能化指数和无人驾驶汽车的产业发展,今天为什么讲信息安全呢?我们讲一讲背景,大的被禁不用说,我们讲中汽研做了什么?汽车安全碰撞,第一维度的安全是被动安全,你撞我了,我会不会坏,身体好不好。第二维度的安全是ADAS,能不能撞得上,我能不能躲得开。第三个维度的安全是信息安全,假如有一个人自己精神坏了,非要跳河自杀,我们是拦不住的,进步信息安全围绕这个来做,我们防止有车被接受外在的信息自杀了,这就是今天所要介绍的汽车信息安全。
从四个维度介绍汽车面临的风险与挑战、汽车信息安全政策法规解读、汽车安全技术体系、信息安全的测试与评价。
相比于传统的汽车,我们看到典型的《速度与激情8》里面所有的车辆都面临非常大的,只要一旦被控制,很容易发生主动的自身不受控制的情况,很多人觉得距我们很远,你只要开一辆车,我马上可以攻破,这是当前的变化,相比较传统的汽车,汽车网络构架发生的结果产生了车主的信息泄露和车辆的攻击导致车辆发生重大伤害。所以我们一直讲,你撞我,我车坏不坏,那是安全防护,我材质好了就行,但是你撞不上我,我用ADAS系统,那是我们主动避让。第三个是自己会不会出问题。
我们说网联化、智能化、电动化,现在网联化受到的攻击,关键是智能化信息误差会产生非常大的杠杆,刚才说激光雷达,它看到它识别的人,假如用信号提供的识别信息是发生偏差的话,它所做出来的决策都是错的,这是新一轮的沟通中才发现,智能化也有安全问题,也不完全是网联化的问题。我们看到美国华盛顿大学的汽车信息报告和车联网安全漏洞,得出了一系列的结论,美国德克萨斯州GPS遥控事件,黑客大会的短信解锁斯巴鲁。我们在世界智能大会上的时候,我们做的五款车信息安全攻击测试的时候,最快的速度0.75秒,我们专业级的研究室去攻破的时候用了两三分钟,有两个学生0.75秒把现在的攻破了,这是我们根本没想到的。我们说黑客层出不穷,当你享受信息时代的时候,你所面临的风险一切都是问题,我说一说我自己的一个感触,我有点后悔,从事信息安全这个事情,本身我自己就不安全,我们一直讲标的,我不知道你是谁,没你身份证号码,找不到你在那儿干什么,但一旦知道你的信息,有你手机号可以查到你的身份证,有身份证可以查到住宿系统,你们指的安全是国家公安以及一系列保证下的安全,但是我们用非正常手段都可以对所有人进行跟踪和定位,除非不认识你,一旦认识你就有办法跟踪到你。我们车辆现在的问题是,在下一轮芯片中一定要附身份,没有身份无法界定智能化和无人驾驶的过程,这就是现在车辆问题,导致的结果战争,车辆自己跳河自杀,信息窃取、获取利益、商业战争、技术炫耀、恐怖袭击、特定报复、有组织犯罪。我们汽车每一个车上都有恐怖的信息,这个车辆集中安全事件就非常多。
现在造成了两大方向,一个是隐私泄露,个人的信息、家庭信息以及主机厂商,所有人的信息都给你的驾照连在期,你的驾照都跟你的车辆连在一起,我知道我们的车辆,我就有办法突破所有的信息关口。第二个是远程控制,把发动机启动、开关、空调,现在都可以做到。除了ADAS向自动化的过程中,现在这些汽车企业做这些工作的过程中面临一个问题,我们都是搞汽车的,很少去搞软件和搞网络安全,我们所有现在用的这些软件全部都有很多漏洞Bug,我们所写的程序不是有等保一定安全,但是你没有等保就没法说你是60分还是70分,70分和80分依旧不安全,只是针对你攻击的对象来说。回过头来说汽车,现在针对的汽车行业里面,我们有软件开发公司给他们服务,包括科恩、360,但我们最后发现只有一家公司给汽车做信息安全的时候,把它的信息和它的控制决策、执行是一以贯通,信息安全不只是网络,还可以在控制上干扰。
我们从2016年一直到2017年10月,我们都看得到信息的物联网安全构架、安全实践,包括美国的指南,自动驾驶的信息安全,我们为什么这么密集的出台?这个出台可能要比自动驾驶有一部分还要多的多,它面临的问题是我每进一步,自动驾驶信息安全增加两步的信息安全,这个风险非常大。我们以前看不到现在的欧盟和英国的信息安全法规,网联自动驾驶的主要原则,英国交通部和基础设施中心,智能汽车安全最佳实践报告,欧盟信息安全局的,包括欧洲网络安全局等等一系列,其实到最后都是为了提高安全,信息共享达成共识,明确责任,第三方测评评估,这是最基本的路线。日本也在做汽车信息安全的法规。
回过头来说中国,现在总的来说还是政策比较多,我们国家网络安全由网信办牵头,一切按等保制度来走,汽车所有口径都是不一样的,从国家层面五六个指南里面提到过推进这个事儿,从标准化结构里面,信标委和智能运输标委会都有信息安全不同的标准,这些标准都构建成了一个不完全一致的维度。行业层面和中国信息标准协会、通信标准化协会、智能网联产业化联盟,都非常多。
第三个我们来解释汽车信息安全的技术体系,总线的网络,无线网络等几个维度进行攻击,我们可以看到攻击面总线和ECU,尤其是现在Wifi总线比较容易被攻破的。
基本攻击的破解路线是扫描破解路线,破解T-Box IP,这以上是我们的基本原理。虽然原理很简单,但方法不一样,各个突破的速度也不一样。
第四个是信息安全测评,我们想闭门造车在那儿制定标准,我们还讲不清楚哪个有用,不如拉一堆车过来,测一测,测完了知道哪有风险、哪应该防范、哪应该有标准,这就是这个评价规程。以上是信息安全评价的几个维度,以上是我们的第二级维度和第三级维度测试评价体系。
最后是第四个维度的子体系,我不细说了。
这是以上测试表,第一轮的测试很简单,我们通过这个表内所有的板块,它能不能按照标准通过和不通过,根据通过的数量最后加权算出是否能够及格和不及格,因为还没有达到定性的测试,我们按照等保的模式把这个简单的测试出来。
我们里面的通信、网络、软件、感知以及决策是四大决策的系统性测试。
以上我们看到了和几个实验室正在做的一些拆解和功能,现在和公安部第三研究所已经在测试15款车,在今年12月来发布,为明年政策的制定以及信息工程来做规划。
以上是我们的介绍,我们介绍了很多,但其实PPT很少,我们说的内容一句话,所有车辆当智能化、网联化打开魔盒的同时永远封不上安全的门,但是我们需要全行业一起来解决这个怎么去防御的问题。
