1. 智能汽车与车联网网络安全趋势分析
智能汽车与车联网的黑暗面之一,就是给违法者进入汽车内部网络的可趁之机:入侵GPS模块,黑客能掌握车主的所有行踪,或把车主导航到他想要车主去的地点;入侵安装摄像程序,可以拍下车主在车内的一举一动;入侵蓝牙电话系统,能够窃听车主的一言一语;入侵行车安全模块,就可以控制车的油门刹车……
事实上,与智能汽车、车联网相关的安全事件也呈现逐年增加的趋势:
2011年黑帽大会,研究人员仅仅利用手机对车内的无线设备发送文字信息,就使一辆斯巴鲁傲虎汽车的防盗器被破解、门锁被打开,引擎也正常发动起来。
2013年DefCon、Charlie Miller 和 Chris Valasek,对2010丰田普锐斯和2010福特翼虎进行了攻击。车辆静止的情况下令时速表爆表,让车辆在满箱油的状态下令油表灯报警。高速行驶的状态下令车辆自动急刹车、猛打方向、令制动踏板失效等等。
2014年7月,360公司专业团队研究了特斯拉(Tesla)ModelS型汽车后发现,特斯拉汽车应用程序流程存在设计缺陷。攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作,并且能够在车辆行驶中开启天窗。
2015年2月,美国国防部高级研究计划局(DARPA)的研究人员成功入侵了一辆雪佛兰 Impala 上的安吉星(Onstar)系统,并对车辆的刹车功能进行控制。这一举动再次提醒了人们那些拥有各种智能系统和传感器的汽车,在黑客面前仍然是不堪一击的。研究员在破解了安吉星应急通信系统之后,用庞杂的数据让原有系统崩溃,并输入控制车辆的代码,随后仅通过一台笔记本就可以远程控制车辆的刹车是否起作用。
2015年7月,两位研究人员演示了无线入侵 Jeep 切诺基的网络系统,在其行驶过程中,侵入 Uconnect 车载系统,远程通过软件向该系统发送指令,启动车上的各种功能,包括减速、关闭发动机、制动或让制动失灵,在之后的 BlackHat 上,两人面向全球黑客奉献了经典的汽车破解秀。首次让克莱斯勒因信息系统问题召回140万辆汽车,引爆全世界对汽车信息系统安全的关注。
从各种安全事件看,智能汽车与车联网的安全问题包括功能安全与网络安全两部分:
功能安全:目前汽车电子控制单元越来越多,传统中低档车汽车电子系统成本占整车成本18%左右,高级车占比达28%左右,而新能源汽车占比高达45%左右。汽车电子系统本身的功能安全在汽车安全中扮演越来越重要的角色。
网络安全:一旦智能汽车连接到互联网,相关的信息就面临安全风险,轻则泄露个人信息,重则影响行车安全;半自动驾驶、无人驾驶等技术有时会伴随若干不稳定的“非必要系统行为”,在严重的情况下将出现威胁到人身安全的后果。
2015年,Charlie Miller与Chris Valasek分析了21款车,涉及到奥迪、宝马、通用、福特、克莱斯勒、本田、丰田、英菲尼迪、路虎品牌及其旗下品牌车型,以2014年款为主,共13款,对比年款2006年款4个,2010年款3个,2015年款1个。从研究的内容中,他们得到了一些结论:
随着时间推进,所有品牌车型都表现出ECU(Electronic Control Unit,电子控制单元,又称“行车电脑”、“车载电脑”等)数量的增多,不仅是整体ECU数目,桥梁ECU数目更是大幅增加,功臣有两个:车联网与驾驶辅助技术的发展。也就意味着,车辆的被攻击可能性、可选择手段都在增加。 车内网络拓扑结构的复杂性随着ECU增多也在增加,被分割的网络架构越来越多。但是这些网络架构的分割并不都是以“将控制核心功能ECU与其他类ECU分开”为目的。在2014年款中,有6款并没有根据功能重要性不同进行隔离,而更多的,虽然隔离了,但是并不代表安全性就高。因为隔离之后并没有设置网关或者安全边界,没有增加安全策略,而只是单纯的分开。
尽管内部结构大不相同,但是大多数车辆都采用了类似 PC 的技术,比如浏览器和车内App等,这些都是黑客们十分熟悉的东西,提供了与PC、移动端类似的攻击方式。胎压监测与无钥匙进入系统最容易成为黑客远程攻击ECU的跳板。
同一地区的汽车制造商的内部拓扑图有着类似的结构,日系车(丰田与英菲尼迪)、德系车(奥迪与宝马)、美系车(通用与福特)之间都表现出来这个特性。两位研究员认为可能是因为他们思考问题的方式比较类似,还有就是工程师的跳槽。存在这些问题的车辆,都没有OTA(Over-the-Air Technology,空中下载技术)功能,发现问题只能召回处理。
2. 智能汽车与车联网网络安全发展制约因素
从2015年的情况看,未来智能汽车与车联网网络安全发展的主要制约因素包括:
(1)相关标准的缺失
与工业控制网络安全的相关标准类似,车联网的相关标准仍在制定之中。目前车联网产业仍属起步阶段,包括人车互联、车车互联、车与外部环境的互联仍未有一套业内公认和遵守的标准。应尽快制定中国车联网和智能汽车的发展战略、技术路线、相关标准。如车联网和自动驾驶的安全标准、云服务规划、数据安全和通讯协议等,并在交通执法、保险责任、黑客侵袭等方面制定相关的法律政策,为智能汽车的到来做好准备。
不过,在这一方面,顶层设计正在释放出积极信号。2015年底,工信部发布了《关于印发贯彻落实〈国务院关于积极推进“互联网+”行动的指导意见〉行动计划(2015-2018 年)的通知》,其中首度提及车联网未来发展规划,表示将会出台《车联网发展创新行动计划(2015-2020 年)》,加快车联网产业布局,推动车联网技术研发、标准制定,组织开展车联网试点和基于5G技术的车联网示范,推动行业的整体发展。
从目前情况看,工控系统安全的相关标准进程是领先于智能汽车与车联网标准的,而如前所述,智能汽车与车联网具有工控系统的某些特征,因此未来可以借鉴工控系统安全相关标准。
(2)企业对网络安全的重视程度
车联网之于车企其实比较鸡肋,鸡肋并不代表不重要,而是因为车企目前尚没有能力掌控车联网,车联网很大程度上需要引入互联网科技公司,而两者严格的说属于竞合关系,而且谁都想把握车联网的主导权。在此情况之下,车企往往以安全之名以令互联网科技企业,车企往往不开放协议,不开放数据,最终车联网进程缓慢。偶有的一小步,比如福特,其实是以车企为绝对主导的,很早就曾提出了互联网战略。而其他的车企,引入的一些应用,都还得严格按照车企的要求。
传统车企们的小心翼翼并非没有道理。一方面,网络基础条件并不完备,业内专家表示,想要真正支持“万物互联”,仍需移动互联网进一步发展,比如5G的建设和铺开。工业和信息化部无线电管理局局长谢飞波曾表示,5G将重点解决万物互联的问题,5G初期会选择从车联网切入,逐步解决人与设备,设备与设备的自动交互问题。
由于车联网是从端到云的统一整体,缺一不可,由于车联网中汽车智能化的部分是由车厂主导,然而目前汽车集成式的供应链形态决定其封闭性,很难建立起可持续发展的创新业务模式,造成平台与其他行业的信息割裂,信息无法共享,导致业务和应用开发成本较高,业务创新和研发速度缓慢,所以,对于开发者来说其开发应用和服务的积极性也相应降低。因此整车厂商对于车载信息终端的把控是整个车联网市场迅速发展的阻碍因素。
而与信息厂商相比,传统汽车厂商在网络安全领域无疑相对力量较弱,因此需要:
(1)促进汽车网络安全审查机构建设,监管汽车行业网络安全发展;
(2)促进产业链上下游合作,实现优势互补,完善行业网络安全发展环境;
(3)适时成立联盟,加强行业公共服务,形成协同创新交流机制。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:智能汽车与车联网安全
相关文章
