高永强:面向智能汽车的网络安全设计

 2020年10月20日-22日,由国家市场监督管理总局缺陷产品管理中心、浙江清华长三角研究院、中国汽车工程研究院股份有限公司、重庆市合川区人民政府联合主办的第三届中国汽车安全与召回技术论坛在重庆隆重召开。本届论坛以“智能新能源汽车全产业链安全与技术创新”为主题,汇聚120家政府机构、事业单位、科研院所以及整车和零部件企业等行业翘楚权威论道。其中,在10月21日举办的“智能汽车产业链安全与技术创新”专题论坛上,华为智能汽车解决方案BU、标准总监高永强发表了核心为《面向智能汽车的网络安全设计》的精彩演讲。以下内容为现场演讲实录:

 

华为,第三届中国汽车安全与召回技术论坛
华为智能汽车解决方案BU、标准总监 高永强

各位嘉宾,各位专家:

下午好!非常荣幸能够参加本次论坛。

下面由我给大家分享一下华为对于智能汽车网络安全性方面的一些思考。华为是全球领先的ICT和智能终端提供商,我们的愿景是“把数字世界带给每个人、每个厅、每个组织”。2019年成立智能汽车解决方案BU以后,还可以加上“把数字世界带入每一辆车”愿景。

华为共话智能解决方案有五个,包括智能车云、智能座舱、智能网联、智能驾驶和智能电动,通过这五个模块产品帮助车企面对智能网联汽车的挑战。

下面我从四个方面来介绍:分别是网络安全的威胁、网络安全的管理要求、网络安全的防护技术以及网络安全的评价体系。

首先,大家都知道现在汽车发展的趋势是智能化和网联化,对消费者的驾驶体验影响极大,同时也有网络安全挑战。比如对黑客来说,智能网联汽车可以带来更大的价值,比如说可以获得更多的用户隐私数据,从而引起黑客更大的兴趣。另外现在软件互联也是趋势,相应的数据代码增加,同步也会增加安全漏洞。同时智能网联汽车也会带来更多供给面,车云通讯攻击和短距通信攻击。最后可以看到总的影响会更加严重,比如攻击者针对车云平台攻击,一旦得手就可以控制多台车辆,造成非常严重的影响。

近期来看网络安全攻击数量整体快速增加,根据报告可以看到2019年网络攻击155起,是2016年的7倍,是2018年2倍。从攻击入口分布来看,车云端服务器攻击,还有针对蓝牙攻击以及通过APP手机端和车箱APP这三类攻击入口占比达到50%,是最主要的攻击入口。我相信这155起网络攻击也只是冰山一角,可能有更多的安全攻击并没有纳入到这个报告中。

智能网联汽车面临的威胁有七类。首先是云端服务器以及手机APP方面的漏洞。第二类是车外部接管相关漏洞,比如说蓝牙漏洞等等。基于这两类漏洞可能会绕过验证或者接收控制,进而对汽车进行攻击,一旦控制车辆也可以反向攻击服务器,这样来获取大量数据。第三类是车联网络,当车联网络认证方面有较弱的方面,可能导致遭受指令篡改或者伪造。最后是车载部件方面,所以网络安全威胁还是比较严重的。

联合国也非常重视智能网联安全情况,在今年6月份制定了WP29汽车网络安全规程。首先车企按照法规要求可以申请CSMS (Cyber Security Management System)证书,也就是网络安全管理证书,在证书申请过程中需要提交主机厂是否覆盖整个开发生产和维护阶段等。另外主机厂是否建立了完整网络安全制度和流程,特别是针对供应商是不是建立了比较完整的网络安全流程制度。此外主机厂也要提交车型认证的申请,在申请中需要提交主机厂是否针对这个车型执行了全面的风险评估,是否采用了有效的安全措施。审批机构根据主机厂申请对车型进行实际验证,验证主机厂措施是否得到了实现。总体来看,联合国WP29汽车网络安全规程分成两个方面,一个是管理类,一个是技术类,比较符合网络安全管理三分管理、七分技术的特点。

首先在管理方面,ISO 21434汽车网络安全标准是一个非常重要的标准,ISO 21434以风险管控为核心,定义概念、开发、生产、网络维护、销毁各环节的网络安全要求。所以不管是主机厂还是供应商都需要基于ISO 21434标准来建立全生命周期的网络安全管理体系,把安全需求、安全设计、安全开发、安全测试、安全交付和维护纳入到整个管理体系环节当中,这样才能保证管理方面是真正满足网络安全管理要求。

下面谈一谈技术角度。我们理解网络安全防标准有几条,“进不来、拿不走、看不懂、改不了、摊不成、卖不掉”。“卖不掉”通过认证来拦截不安全的请求;“拿不走”在系统内部建立保护机制,比如说隐私数据无法被黑客获取;“看不懂”是通过安全加密手段确保敏感数据难以泄露,泄露出去也看不懂;“改不了”是确保数据无法篡改;从云端来看,我们需要从APP和云服务安全来确保云端安全,从车端来看我们需要考虑外部接口、车内网络、车内部件保证车端安全。此外还要保证车端、云端共性安全防护考虑,比如说OTA安全、密匙证书管理、数据和因保护、安全感知等。

刚才也提到车云的攻击和针对座舱内攻击是两个重要攻击端口。下面我重点讲一下华为公司对车云防护和无线连接防护是怎么考虑的。我们认为车云防护总体是建立覆盖网络接入、应用和数据这五层的深层防卫体系。在接入层需要定义机制来阻断非法数据转移,实现“拿不走”的目标,在应用层防护和数据防护方面,需要来针对关键数据进行加密,这样实现“看不懂”、“改不了”的目标。通过五层应用纵深防护体系确保车云网络安全防护的安全。

另外提一下短距离通信网络安全防护内容。大家都知道现在主流的无线转移技术是蓝牙和WIFI,蓝牙、WIFI技术首先不是针对车载单独设计的,此外针对座舱环节也没有进行专门的安全加强,所以存在安全方面的漏洞。举几个例子,比如它允许一些低强度的口令,它允许单项认证,也支持单个的算法等。它在整个安全防护体系方面也缺乏一些考虑,比如说它没有针对整个系统多个分子域功能进行分域安全保护和隔离。这些都将导致产生一些漏洞就可以让黑客抓住的机会。左边展示的是利用蓝牙和WIFI漏洞进行攻击的案例,比如2017年攻击,黑客通过破解蓝牙密码,进而再攻击整个ECU,造成的影响非常大。2018年CarBIues攻击,利用蓝牙协议缺陷连接到IVI获取隐私数据。

接下来我简单介绍一下Spark Link技术,星闪联盟于2020年9月22日成立,首批会员单位80家。Spark Link也是针对车载场景进行安全加载设计,这样降低黑客以无线转移连接作为攻击的成功性。它重点考虑这几个技术,一是强认证权,根据车载前装设备,因为车载前装设备确定关联集合,提供白名单防护机制来健全设备。此外我们强调支持双向认证,支持认证次数达到一定数可以锁定,我们支持高强度凭证,256bit预共享密钥,支持高复杂度口令。另外还有高安全传输性,支持双密码算法,而且可以用多个域支持多分割安全隔离,通过防火墙阻断远程攻击路径。希望这个技术能够在车载环境下应用,解决目前网络攻击的问题。

最后我们还希望构建一套网络安全的评测体系,通过建立一套公信力的网络安全评测体系,对智能网联汽车做一个客观的水平评价,从而提升网络安全的水平,更好地应对智能化和网联化安全挑战。总体来看安全网络体系分成以下两个方面。第一个是管理体系方面,通过制度、文化和整个流程进行全套化流程监管,另外需要重点审查整个设计引导、开发、测试、维护等,看全生命周期各个环节是否有效考虑网络安全的防护。第三个是产品测试方面,通过产品测试确保整个产品是符合要求的。

整个网络安全评价体系也希望能够参考更多的标准,整个体系也是在推动过程当中,希望业界有兴趣的企业可以和华为一起来推动,这样针对马上就要上市的高级别的智能网联汽车,能够真正确保它符合网络安全要求。

最后总结。智能网联汽车面临新的安全挑战,为应对这些挑战,我们需要从以下三个方面:第一,基于ISO 21434标准和业界最佳实践,希望建立一套完善的网络安全管理体系;第二,从网络安全防护技术角度,基于纵深防御理念,建立分层网络安全防护机制;第三,希望建立一套有公信力的网络安全评测体系,这样提升整个行业网络安全的水平,确保智能网联汽车最后的成功。

相关产品

评论