生日快乐祝福语_微信QQ个性签名说说_海狮文学网

海狮文学网

海狮文学网,全面的短语句子类文学网站,收集了最新的生日快乐祝福语、节日祝福语大全、微信个性签名、QQ个性说说、心情说说、名人名言名句、早安晚安心语等,为读者呈现最精彩纷呈的网络文学!

菜单导航

腾讯安全车联网安全技术专家张康:车联网安全

作者: 海狮文学 发布时间: 2020年07月31日 11:38:18

  7月22日―23日,由盖世汽车主办、上海国际汽车城特别支持的“2020首届软件定义汽车高峰论坛”正式举办。本次论坛主要探讨软件定义汽车领域最新的创新理念、技术趋势、现实挑战等热点话题,共谋行业未来发展之道。下面是腾讯安全车联网安全技术专家张康在本次论坛上的发言:

  2018年5月9号是我第一次代表实验室去分享议题,当时发生了什么事情呢?奔驰车主高速刹车失控,120车速失控的例子。我当时拿这个例子作为一个开场,那个议题也是半个小时,我当时花了20多分钟的时间在告诉大家说车联网安全为什么很重要,当时放了我们2016年特斯拉的视频,视频里面演示到我们的研究员在10公里以外的地方通过4G的方式远程对特斯拉进行一个刹车的时候,那个时候大家的感受是非常真切的:车联网信息安全的问题真的是能造成功能安全的风险。

  腾讯安全车联网安全技术专家 张康

  所以也是那几年我们在做的事情,我们一直在做行业教育。后来5月底的时候我们又发布了宝马的一个研究案例,当时是受影响全球超过1000万台的车。从2018年下半年开始我们再去跟车企聊的时候已经不需要做教育了,车企说我知道信息安全很重要,你告诉我应该怎么做?特斯拉和宝马都有这样的问题,那你们量产的时候肯定或多或少有这样的问题,那我们先做渗透测试,发现你们现有的问题,然后去解决问题。

  这里需要澄清一下,虽然说我研究特斯拉和宝马存在安全问题,但是在看来他们的信息安全水平是全球TOP的:特斯拉不用提了,他们的安全团队都是从Google Apple过来的,宝马也有专门负责内部渗透测试的安全团队,所以我们交流完全是在一个频道上的;特斯拉是16年的平台比较早,宝马是2018年做的,代码是15、16年开发的平台,都已经是4,5年前的事情了,所以有安全问题也是可以理解的;当我们后来看两家厂商这两年的代码时,我们其实看到他们的安全性做的是相当好的。

  过去两年我们做了超过20多家的车企,有些车企连续两年都在做,做得多了客户提出这样一个问题:车企都喜欢量化,也喜欢行业对标,但是安全本身该不该被量化的这件事情就值得讨论,而且我们收费也不便宜,那我怎么跟老板汇报我的钱是花在点子上了;另外一个就是我跟其他的对标,我处于什么样的状态。

  所以基于这个东西我们做了一些思考,设计了一套安全测评的体系,横向是设计安全,设计安全就是从系统安全、开发安全、通信安全等等各个维度,每个维度有不同权重的检测项,可以理解为是一套checklist;纵向是实现安全,是指设计层面的安全需求是否都得到满足了,实现的过程当中是不是存在哪些逻辑漏洞。

  这里列出来的点就是我们测过所有网联功能模块的打分,其中有些黄点是车企第一年做,绿点是他们下一代车型,可以看到整体安全性的确是有提高的。

  所以今天后面整个议题都会围绕设计安全和实现安全两个角度来讲。

  这张图和上午博世那张非常经典的EE架构图演变不太一样,这张是从攻击者视角车联网安全会的点。左边是车端,我们主要攻击入口,比如说车机是很主要的入口,WIFI、蓝牙、USB,然后还有Tbox,负责与云端后台通信,然后再往底层有一个网关,前几年可能还是传统的防火墙,现在可能会变成智能网关这样的概念,下面就是不同的域,基本走的是CAN协议,以及包括周边的一些设施,比如说充电桩、ADAS,V2X等等。

  举些例子,车端的这些攻击面,特斯拉我们是做过了包括WIFI、OTA、4G、等等,宝马我们了一个新的攻击面,就是可以通过短信去开启车门;今年我们做了丰田,丰田是实现了蓝牙攻击面的利用。车端的攻击面一旦被利用了以后可以造成功能安全方面的一些影响,破解车机,T-Box,网关后,直接向CAN去发送一些恶意指令,会造成车辆的功能安全影响。

  右半边就是传统的互联网安全,云端后台可能是OEM自己的后台,也可能是三方服务的后台,通过手机可以实现远程车控,或者是像蓝牙钥匙这样的功能。右边可能造成的风险相对以信息安全偏多,比如说财产损失或者是信息泄露这样的一些问题。

  我们做了特斯拉、宝马、丰田,这两天基本所有人都在讲特斯拉,但我今天还是主讲特斯拉,为什么?因为这次是软件定义汽车大会,大家都不可否认,特斯拉其实是软件定义汽车的典范。

  这张是2016年的架构图,和EE架构图不太一样,我们只列出了我们主要的模块。