「软件定义汽车」背后：海量代码的安全代价

作者/ 曹锦

虽然汽车数据安全在近两年才开始受关注，但这并不意味着相关隐患只在这几年才出现。

在过去五六年间，包括宝马、Jeep以及特斯拉在内的一些知名车型，都曾经被黑客或白帽通过特定的技术手段，通过远程的方式入侵系统，进行开锁、开灯甚至制动、加减速等操控，导致了大规模的召回。

通过近日在ISC举办的「车联网安全论坛」上得到的信息，各位专家均认为，相比传统的物理接触型安全影响，如今智能网联汽车所面临的更严重的安全隐患，还是隐藏在空中看不见的这一部分。

越先进，越快速，也越危险

80年代的时候，一辆汽车大概只有5万行代码。而在不久的将来，可能会达到上亿行代码。现在汽车的软件价值是10%，未来则将达到60%。

在中国信息通信技术集团有限公司副总裁陈山枝看来，智能网联汽车面临两种安全挑战：一个是海量代码引发的功能安全缺陷，另一个就是车路协同。这其中不仅包括C-V2X本身的安全问题，还有车联网APP、车联网平台以及数据相关的安全隐患。

「我国所走的智能驾驶和智能交通路线，和发达国家不一样。」陈山枝表示，类似美国这样的发达国家，政府对道路基础设施的投资力度很弱；而中国既有政府力量，也有市场力量，在基建支持下，不会单纯靠单车智能实现，而是在利用商业模式向前发展。

「有了路侧感知设备，单车ADAS的成本也能降下来，不管算法的复杂度和传感器的数量，靠路侧的路能让单车成本快速下降，同时我相信会有智慧路网运营商，一些新的商业模式和产业形态会出现。」

可同时，车路协同技术快速发展所带来的V2X安全漏洞问题，也被行业视作一项重大挑战。

中国信息通信技术集团有限公司副总裁 陈山枝

随着车辆搭载的雷达与摄像头精度、分辨率都越来越高，数据量越来越大，覆盖的时段和道路越来越多，当海量的数据汇集在一起时，就有可能造成更大的安全隐患。

「其实它已经不仅仅与个人相关了，还涉及到整个社会和国家的安全。」陈山枝说道。

应对「四大威胁」的认证防护体系

从如今上市的车型来看，联网已经成为标配。这种变化在带来便利的同时，从技术上也带来了隐患。

「先前建立车辆信息通道的形式，主要是在车内网渗透。如今和汽车交互的节点也越来越多元化，通过手机也好，PSP云平台也好，这当中都存在软件漏洞。」

陈山枝举例称，如今越来越多的手机都可以取代物理机械钥匙起到蓝牙钥匙的作用；而T-BOX也可以通过刷固件窃取敏感信息。

「早些年的车还能有网关保护，近些年因为智能化建设带来的多次迭代，越来越多的功能推陈出新。这其中不仅涉及到娱乐性，还涉及到动力总成。如果有恶意行为攻击，带来的风险将越来越大。」

    陈山枝对其中的重点威胁做出了介绍，总结起来是分为保密性威胁，完整性威胁，重放攻击以及未授权威胁。为了应对这些威胁，需要严密且全面的认证防护体系。

首先，从车联网的需求来说，需要保证通信的保密、存储的保密，消息的完整性信号（包括无线信号）的完整性。

车联网基本处于开放环境，无线信号完全开放，参与的实体有车辆、行人、RSU、云端业务平台，安全需求是认证和隐私保护。

如果从认证体系的角度看联网安全技术，其安全架构涉及到网络安全，网络应用层安全和互联网安全。网络安全又包括网络接入层的安全，目前的认证机制包括GBA/GBA Push双向认证。而当车联网接入4G/5G基站时，也会触发网络安全机制，包括对称的密钥机制和上下身份认证。

如果站在Uu口的角度来看，在4G模式下，用户完整性数据能得到部分保护，5G模式可得到完整保护。因为4G使用双向算法，5G又将增强算法。同时，车联网安全还需要基于公钥体制消息认证体系，也就是CA向车辆颁发其用于签发消息的公钥证书，需要接受签名消息的车辆保存CA的根证书。

除此之外，他还向大家介绍了车联网PKI系统，该系统与证书体系结构一样，主要是保证互联互通。「各个省可能会有不同的通信组织机构，在车辆经过不同机构时，都需要有一个相互认证的过程，有点像运营商漫游，这种认证对用户来说是无感知的。」

陈山枝表示，目前的车联网可以支持多个KPI系统互认，已经形成跨车企、跨整机、跨芯片、跨模组、跨安全体系。

而至于国家层面，由于车联网安全涉及范围较广，最近工信部已经成立了车联网安全专家委员会。在新标准和安全工作的推进中，不同的机构都承担了不同的角色。

总之，陈山枝认为，目前的车联网安全机制已可支持商用，并针对4G、5G通信技术增加了3GPP的安全架构和机制，增加了PC5接口，且采用PKI体系满足了消息认证。再加上隐私保护的安全要求以及CA认证体系，目前应对车联网安全隐患已经有了完整方案。

渗透测试的流程标准化

我们在上一篇车联网安全系列文章中提到，对于车企来说，目前体系化测试仍然难以落地，尤其是渗透测试层面，测试能力几乎为零。

不过，在相关研究机构中，对于安全测试标准和落地方式的研究一直在加速推进。

天津中汽研软件测评信息安全总监侯昕田称，网络安全测试分为两种，一种是深度测试，一种是合规测试。其中深度测试很好理解，即「发现风险，进行攻击，以黑盒的方式发现漏洞。」

而合规测试，则是依据已经发布的法规、条文，还有标准，对软硬件进行复合型测试。「我们认为两者是互为补充，相辅相成的。」在论坛现场，侯昕田对中汽研总结出的渗透测试流程进行了介绍。

「渗透测试的第一步，是对被测试对象的整车零部件、APP，云平台等等，进行整体摸底。」侯昕田称，这样可以分析整车图谱结构，确定其外部接口，以及安全相关联的业务功能，并通过确定这些锁定下一步的测试重点。

第二步则要针对这些重点，比如充电系统ADAS域控制器等，开展零部件及系统级测试。

第三步也是非常重要的一步，就是把零部件级和系统级发现的漏洞串联起来，看能否实现整车的远程控制。『一般我们在第一步和最后一步也是比较明确的，基本就是与车联网络、设备及网关相关，周边路径规划也比较多，手段比较多样。』

侯昕田表示，在目前的测试中，零部件深度测试发现的问题较多。不过目前整车远程攻击的情况不多，这在一定程度上说明，联网车辆只要做好联网设备及关键设备，很多程度上就能够防护网络安全。「智能汽车的网络安全风险，更大程度上会出现在V2X以及自动驾驶上。」

 而在第二部分的合规测试中，中汽研依据报批的四个标准，开展标准复合性测试。「在后续网络安全测试中，或者是网络安全监管中，混合测试也是我们的必经之路。」她指出。

在提出未来发展建议时，侯昕田认为，安全没有上限，目前行业需要以标准政策为基础，先做好基线防护。另外还要针对高风险点做好防护，比如首当其冲的云平台，还有随之而来的服务接口。同时，联网部件和部分物理接口，ADAS域控制器等等，都会成为攻击车辆的可行路径，这也都是需要严加防护的部分。

在侯昕田看来，只要先保障网络关键设备安全，基本上就能够防住80%的攻击。

虽然目前车企和研究机构、政府层面都在加速推进安全标准及测试体系的更新，但大家都处于「从零到一」的经验积累期。安全测试的体系化落地能否追赶上车联网的发展与漏洞产生的速度？是否因为外部攻击概率小就可以先期忽略相关隐患？这些同样「隐藏在空气中」的问题，终究会浮现出答案。

相关链接：汽车智能化隐疾（上）：激增的安全漏洞，以及薄弱的测试体系

关于Auto Byte

Auto Byte 为机器之心推出的汽车技术垂直媒体，关注自动驾驶、新能源、芯片、软件、汽车制造和智能交通等方向的前沿研究与技术应用，透过技术以洞察产品、公司和行业，帮助汽车领域专业从业者和相关用户了解技术发展与产业趋势。

欢迎关注标星，并点击右下角点赞和在看。

点击阅读原文，加入专业从业者社区，以获得更多交流合作机会及服务。