360车联网詹鹏翼：攻防视角下的车联网安全之路

11月20日-21日，由车云网主办，电动邦协办的“2019中国安全产业大会暨第三届交通安全产业峰会”在广东省佛山市召开。本次峰会以“安全出行 智享未来“为主题，下设新能源汽车安全专场、新技术安全专场以及智慧交通安全专场三大分会场。来自产、学、研等和出行安全相关的企业代表齐聚佛山，共同探讨新四化背景下汽车行业产生的安全新问题。峰会期间，360工业互联网及车联网安全事业部安全架构师詹鹏翼发表了主题为攻防视角下的车联网安全之路的演讲。

以下为演讲实录：

大家好。我是360的詹鹏翼，我今天给大家演讲的题目是攻防视角下的车联网安全之路。我将从四个方面展开，首先介绍一下我们部门的主要工作，在车联网方面我们积累的经验和思考。二是我们的研究能力，我们在车联网方面，实际的攻击渗透测试能力，三是通过这些能力和积累，在国内外标准中的输出，最后是结合我们360自身的经验，形成的一套从芯片到云端的成熟解决方案。

我们是智能网联汽车安全实验室，英文名字叫SKY-GO，我们以前经常在国际上的会议上有一些技术分享，例如Blackhat, Defcon大会等，也受邀打了很多比赛，获了很多奖，我们是第一批从网络安全转到车联网安全领域的团队。

发现漏洞肯定是我们的强项，我们在车联网方面，发现了至少500多个漏洞，我们也为450万以上的车辆提供了安全漏洞的防护建议和咨询方案，我们有自己成熟的解决方案，后续我会有详细的分享。我们现在接入车辆共有50万辆，我们从打比赛累积出来一些车联网攻防的经验，成功移植到智能网联汽车领域，通过信息监测，动态防护，态势感知，形成一套成熟的方案，交付到合作的一些车企。

车联网，我们这两天不停提及的话题，就是汽车的“新四化”，智能化、网联化大家很熟悉，我不详细展开了，这是未来的趋势。我主要想提物理空间上的电动化和共享化，共享化是什么概念？未来的出行方式可能会发生翻天覆地的变化，目前我们用车出行可能是通过滴滴、曹操出行，这是出行企业的方案，这其实相当于私家车加入的方式，或者运营车队的方式，给客户提供服务。我们在跟很多车企深入交流中了解到，很多车企正在布局共享化出行方式，可能以后不是私家车加入的方式，而是车企有一个车队，提供标准化的出行服务，从A端到B端，不仅提供车辆出行服务，过程中还会提供其他的影视娱乐游戏等服务，从A点到B点的过程中的需求，这都是我们未来出行中的一部分。我们可以理解为出行2.0，我们对智能网联汽车的要求就要提到另一个高度了，保证车辆是标准化、专业化的，并且是受强管控的，这是对车辆网络安全要求非常高的一个应用场景。

电动化，目前新能源汽车发展势头非常迅猛，各家知名车企都推出了纯电动的车型，而像氢燃料电池等在内的各种电池的新技术也都快速涌现。

谈到汽车产业，我们还是要简单回顾一下历史，汽车是我们人类文明的结晶，从18世纪60年代第一次工业革命开始，蒸汽机出现，那时候是运用在轮船、火车上，当时人们已经想到这是未来可以改变出行方式的一个非常好的手段，所以第一次工革命大量提高生产力。

到19世纪60年代，发明内燃机，第一台车辆的原生机诞生了，再往后到20世纪，工业化越来越完善，我们可以有高精度的数控机床，可以生产新型汽车，对功能安全做统一管控。

到21世纪，大家更关注的是信息安全。安全也是伴随着汽车领域的每一次改革，每一次工业革命、每一次进步，都有新的问题出现，一开始人类发明了安全带、安全气囊，这是被动安全，往后我们发现被动安全不足够保障汽车驾驶的人身安全，于是研发了ABS，ESP等主动安全措施。

到21世纪，像ISO 26262的标准，系统化为我们提供整体建议，怎么保证车辆的功能安全。到了现在，电子信息产业发展越来越快，芯片、5G在内的各种各样的新技术迸发，让车辆拥有了更多的电子电气设备，像网关、T-BOX，并不是汽车领域独有的，而是从别的领域引入过来的，对于车来说是一个新的产物，这就伴随着各种各样的问题，主要是哪些问题？因为连接了互联网，其攻击面越来越大，黑客可以通过互联网进入信息娱乐系统，通过对信息娱乐系统的控制，甚至可以控制到车身，控制动力、对自动驾驶做一些恶意的干扰或者远程控制，这种控制主要是从两种方式来的，第一种就是接触式的，或者说侵入式攻击。

接触式的攻击，我举一个例子，过去看电影，电影里面里一个主角进到车里面，把方向盘里面的线拆掉，里面有主线，ACC线和ON线，将三条线接到一起就模拟了车的钥匙转动的动作，车辆这样就被启动了，这就是传统的对车辆入侵的一种方式。到信息安全领域，就是通过OBD接口，进入CAN总线，然后发送一些控制指令，可以实现同样的功能，对车进行启动、控制。

还有一种远程的非接触式控制，这个就相当于我们通过英特网控制车辆，因为我们汽车要联网，有各种各样的网络连接，通过对网络协议的分析，对可能存在的漏洞进行破解利用，通过远程方式侵入到车里面，这种场景不是通过OBD接口，而是远程进入联网的汽车，实现对车辆的深度控制。 

另外一种场景是不攻击整辆车，转而攻击TSP服务器。当服务器被攻破，这时候黑客控制服务器，对其他车辆发送正常指令，车辆对服务器被攻破不能感知到，这时候就是实现对车辆的批量控制，这是远程控制的另一种方式。

在自动驾驶场景下，车辆加装各种各样的传感器，有多功能摄像头、雷达，还有超声波雷达，激光雷达等等，在我们实验室都做过类似的攻击，对于摄像头，通过强光照射致盲，让摄像头失去它的功能，对于超声波雷达，我们可以利用公开的Arduino开发板，在上面二次开发，对车辆传感器发送干扰的声音信号，它就会失去功能，判断不了前面的障碍物。

我们经常学习国内外的一些论文，给大家分享一个实例，这是激光雷达对抗实例，激光雷达是成本很高的传感器，主要功能是对前面3D环境进行扫描，如果看到障碍物，会获得场景的原始点云，这些点会连成线，线也会连成面，自动驾驶系统会确定障碍物，并及时反应，去躲避障碍。密歇根大学通过实验证明，通过某种特定算法生成一些特定的不规则的样本，其实就是多面体，激光雷达获得的点云中的点就成不了线，线更不可能构成面，系统有很大概率不能识别这样的障碍物，这样就对正常自动驾驶形成了系统的干扰。

车联网安全不仅影响驾驶者乘坐者的人身安全，如果被不怀好意的人利用，会升级到国家安全高度，如果汽车被批量控制，进行一些恐怖活动，后果是很严重的。所以车联网领域的信息安全问题的影响范围和影响程度是很大的，360作为有很多攻击经验的团队，我们的很多经验是通过攻击手段进行积累的，我们也把我们总结出的一些思考跟经验，在国内外标准制定工作中进行了输出。

我们360参与到国内外有一些主要标准，我主要介绍一下ISO SAE 21434标准（国际标准），是ISO 26262的姊妹篇，这个标准制定原计划是今年就要发布的，但是一直在延期，从侧面也说明我们车联网产业链比较长，遇到的问题越来越复杂，这个标准有十几个国家参与，也在不断地进行讨论，对一些问题不断进行分析，我们也非常有幸参与到了这个标准的制定工作中，我们也代表中国代表团在标准里面提供了一些我们的理解和思考。这个标准我简单做一个介绍，这是我们对这个标准的理解。在车联网中，无论是做渗透测试还是制定标准，或者提供解决方案，我们最终的目的是什么？目的肯定是为了控制车联网的风险，影响风险最大的两个因素是什么？首先是威胁，威胁跟资产紧密相关，从某种程度来说，资产一旦确定了，威胁基本上是不变的常量。最大的变化量在整个车辆系统中，从概念、开发到运维和整个生命周期中的脆弱性或者脆弱点，这是最大的变量。

举个例子，比如蓝牙车钥匙，它的威胁就是既然存在蓝牙协议，就存在着通过蓝牙的方式被攻破的攻击场景，这个威胁是存在的，但是这个威胁是否真正成为被黑客利用，这取决于整个系统的脆弱点，就是蓝牙协议用的是不是使用完善的安全协议，有没有做一些安全方案，有没有安全机制可以保证蓝牙协议无法重放，篡改，这其实就是我所说的脆弱点。

ISO 21434中对脆弱点的识别有三种方式：一是风险评估，就是刚才提到的首先对网络安全资产做梳理，梳理之后对它进行威胁建模、威胁分析，然后对可能的攻击路径进行分析，评估攻击的可能性，攻击成本等等，21434提供了成熟的评价体系评价风险。二就是得到风险评估的分析结果后，我们把安全需求一步步细分，逐层往下分配，细分到系统设计、硬件设计、软件设计中，我们会进行设计中的安全要求进行开发，最后进行分层验证，这个验证对我们之前的设计，之前的安全要求的一种检验，通过这种方式来识别脆弱点。

网络安全监测，这是360特别关注的点，也是我们参与21434里面最主要的工作。风险评估、分层验证两种方式，需要在设计、开发阶段就深度介入，需要对车和安全领域都非常熟悉的专家，将安全融入到设计中，包括整个开发阶段。昨天主论坛也有专家提到，车联网是非常长的产业链，可能做T-BOX是一家，做网关的是一家，也可能单个产品都可以通过分层验证，风险评估的结果也都是可接收到范围。但当几者集成在一起时，可能会引入一些新的问题，比如说三个不同的产品组一起的时候可能分别有ABC三个漏洞，每个单独产品上都不是太重要的问题，当集成到一起的时候，黑客可以利用三个漏洞实现攻击。前面两个风险评估、风险论证相当于西医，今天可能有一点不舒服、头疼，西医告诉你我们验个血，通过排除法来分析问题，指导我们去解决问题。网络安全监测就像中医，通过望闻问切，对车辆所有的ECU数据的监控，对网络流量的情况监控，对所有产生的数据进行汇总，后台利用大数据进行整体分析，后台大数据分析的能力就是我们一直提的360汽车安全大脑，我们会涌现出的一些安全事件做评估，对紧急事件做应急响应，如果特别严重的问题会提供实时修复策略或者安全更新，对汽车的信息安全状态可以进行态势感知。

这里是我们的整体解决方案，通过密码学的应用、进行动态防护，提供应急响应，进行态势感知。我们整体方案可以规避这接触式和远程网络侵入的两种车联网攻击。再往下是可视化界面，我们可以对ECU进行实时监控，ECU所有数据可以分析出来，结合后台大数据分析出来，哪一些ECU目前可能是风险状态，目前存在多少漏洞，有多少远程操控次数，远程认证次数，我们这边还有对ADAS、BCM等的流量分析，看有没有恶意IP进行访问，有没有对端口进行扫描，这些IP扫描、恶意连接、双向认证失败等事件都会进行详细的安全事件记录。

我们有一个安全框架，这是第一个上面的车联网安全可视化展示的界面，很多专家也提到，安全一直强调云管端的模型，但是360认为安全要从硬件开始，云管端模型还要加上芯片，我们有自己安全网关、防火墙、通信模组，硬件的支持才能让在上层运行的软件是处于可信的状态，所以我们才可以开发安全应用进行一些总线IDPS对异常信号的监控，异常流量、异常IP的监控，包括终端我们可以正常的逻辑检测、漏洞修复等等，通过一些硬件提供的可信的加解密功能，利用双向认证、可信加密的方式，将网络安全数据传输到后台安全大脑，对它进行整体入侵检测分析、行为分析，应急响应和态势感知。

接下来是动态的图示，我们有两层芯片级防护，就是刚才所提的首先要有硬件SE芯片和TEE可信执行环境，由可信根为基础，安全启动一个可信的执行环境，让它是通过硬件验证的可信环境，我们在上层开发安全应用，对它进行控车安全、系统安全、联网安全的防护。这是从底层芯片防护入手，保证上层的运行环境和应用是安全的状态，通过云端联动，进行监控，后台分析，改进安全策略，提供更新服务，实现动态防御，将安全防护做成一个闭环。

这是我们的部署方式，可以在车内的网关、IVI、T-BOX部署相应的产品，最后通过连接后台服务器，提供车联网安全运营平台与态势感知平台。汽车安全大脑，不仅监控分析车内的数据，同样还会不断学习外部的数据，比如CVE等公开的漏洞库数据，汽车安全大脑是持续不断更新自身的漏洞库，同时我们也在持续关注国内外车联网的论坛和论文，把国内外最新的车联网知识和论文研究成果，转化到我们安全大脑中，更新我们的安全事件数据库。对车端可能出现的安全事件，提前制定相应的阻断策略，对突发应急事件进行及时的处置，在事后进行复盘，对可能的攻击事件进行调查取证，不断丰富我们汽车安全大脑的知识库。

我们是入侵检测系统结合后台的汽车安全大脑，就像我们所说的中医望闻问切的手段，我们的安全网关，通信模组，汽车卫士就是安全大脑的眼睛，去观察车辆的网络安全状态，是我们的鼻子，去嗅探潜在的安全风险，是我们耳朵，去聆听它目前的信息安全态势。

我们部署方案可以通过替换T-BOX里面的通信模组来快速实现，我们的通信模组搭载了可信执行安全环境，部署了我们的监测等应用。汽车安全大脑，肯定是要有一个特别强的数据存储和计算能力，因为车联网不同于传统的计算机CPU的架构，大部分的问题是并发式的，所以我们搭载了GPU并行平台，计算能力达到1TB/秒数据，这样可以实时在未来大量复杂数据产生的智联网联汽车场景下，及时处理抓取到ECU异常或者流量异常情况，我们积累了大量的车联网的漏洞库，同时还有可视化分析，我们这边不仅能对车联网的状态进行可视化实时监控，也可以对出现各种各样的安全事件进行记录，同时能够进行取证、溯源，出现攻击事件，我们可以整体复盘攻击事件发生的全过程，深度分析，进行有效的防护。

我们跟国内80%以上的自主品牌车企建立起了长期合作，这里是一些成熟的案例，也在我们多家合作伙伴的车型上进行成功的适配。

最后简单总结一下，我们这个团队从一开始做车联网零部件的渗透攻击，在国内外参加网络安全比赛，积累了很多经验和攻防思路，我们把自身的经验输出在国内外一些标准上面，像上上周在杭州举办的汽标委智能安全汽车系统标准，我们也是国标21434转化工作组3的组长单位，把我们的思路、想法和经验，在国家标准的安全要求中体现。车联网有很长的产业链，大家是术业有专攻，各司其职，而我们是在信息安全领域特别专业的一个团队，我们对车联网的安全评测、安全开发全流程和安全运营有自己的一些思考和积累，研发出了一套切合车企实际需求的解决方案。我们希望通过360这一套从芯片到云端的解决方案，让智能网联汽车的信息安全提升一个高度。本次交通安全产业大会的主题是安全放心出行，智享美好未来，360愿意为汽车安全领域这一美好愿景贡献自己的一份力量。