欢迎光临第三届中国汽车网络安全峰会2018!

智能网联汽车信息安全季报

Release Date:2018-01-08

目录提要

国内进展

  1. 加快移动安全标准制定,工信部发布《移动互联网综合标准化体系建设指南》       

  2. 360网络安全概念车亮相国家网络安全周   

  3. 安吉星协同中国信通院发布《中国车联网网络安全白皮书》

国外进展

出台网络安全原则 英国政府给自动驾驶打了预防针

委员会进展

  1. 《智能网联汽车信息安全白皮书》正式发布 筑牢汽车信息安全防线                     

  2. 信息安全工作委员会第二次工作会议

**产品与技术

Cerberus研发安全芯片 让无人驾驶汽车远离“被黑 

信息安全会议

  1. 中国互联汽车及无人驾驶网络安全峰会

  2. APAC19&SAECCE2017智能网联汽车技术相关分会场议题

科研项目进展

    智能电动汽车信息安全保障理论及防护方法—国家重点研发计划项目课题

**论文介绍

  1. 《智能网联汽车面临的网络威胁:来自未来的挑战》

  2. 《Viden:车载网络上的攻击者识别》

公众号剪辑


1.国内进展

加快移动安全标准制定,工信部发布《移动互联网综合标准化体系建设指南



      移动互联网是指移动终端通过移动网络接入互联网服务,包括移动终端、移动网络、移动业务与应用及移动安全等多个要素。建设指南编制总体要求以《“十三五”国家战略性新兴产业发展规划》《信息产业发展指南》《信息通信行业发展规划(2016-2020年)》为指导,从移动互联网产业发展实际出发,运用综合标准化的理念和方式,着力构建重点突出、协调配套、科学开放、融合创新的移动互联网标准体系,加快终端和应用、网络和信息安全等重点领域标准的制定和实施,促进移动互联网产业持续快速健康发展。

重点工作包括:

(一)完善标准体系的顶层规划和设计。

(二)加快重点和基础公益类标准制定。

(三)大力推动相关标准的有效实施。

360网络安全概念车亮相国家网络安全周


       9月16日,国家网络安全宣传周在上海举办。在展会现场,一款全球首款网络安全概念车横空出世,吸引了大量观众聚焦。这款安全概念车由360与威马汽车公司共同合作研发,包含360整车一体化安全解决方案及360汽车卫士、安全运营平台等软件系统,通过动态防御体系全方位保障人、车、环境安全。据了解,针对智能出行的安全,作为中国**的互联网安全公司360很早就已经开始业务布局,并进行有针对性的技术研发,而这款概念车则是其**成果。

概念车融入三大“核心”:

此次展出的360与威马汽车合作研发的全球首款安全概念车。安全概念车中应用了三大核心方案:“零部件+安全体系+安全芯片”的基础解决方案、“汽车卫士+PKI+OTA+安全运营”的动态防护方案、以及“安全评估+应急响应”的安全服务。

可适用各种网联汽车:

安全概念车通过动态防御体系保护联网汽车行车安全,依靠大数据,系统可以第一时间发现联网汽车可能遭遇的各类网络攻击 安全概念车所展示的安全解决方案可以适用于各类新能源汽车及智能网联车。

动态体系保障人车环境安全:

“未来,人们就像管理电脑一样管理汽车安全。”刘健皓介绍,除了安全概念车,360联合汽车厂商、产业联盟结合360自有安全大数据形成了一套智慧出行的安全解决方案。智能网联车安全解决方案,将解决人与车的安全问题;车联网态势感知系统,聚焦车与车构建的联网的安全问题;由大数据形成的智慧交通体系,聚焦与智慧出行相关的各类大数据安全分析,包括路网安全、工业系统安全,如监控系统、交通控制系统等。

中国信通院发布《中国车联网网络安全白皮书》


      2017年 9月16日至24日,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局、全国总工会、共青团中央等九部门共同举办,主题为“网络安全为人民,网络安全靠人民”的网络安全宣传周在全国范围内拉开帷幕。

       本届国家网络安全展上,中国信通院颁布《中国车联网网络安全白皮书》。该白皮书以车联网网络安全摸底调查研究的情况为基础,主要分析国内外车联网网络安全的发展现状,为车联网网络安全的后续发展提供建议,推动车联网网络安全产业的快速发展。旨在与业界分享近年来在车联网网络安全领域的研究成果。

2.国外进展

出台网络安全原则 英国政府给自动驾驶打了预防针


       为了激励车企把网络安全作为制造汽车时的首要关注点,英国政府公布了一套新的网络安全原则,全称为《联网和自动驾驶汽车网络安全关键原则》(The Key Principles of Cyber Security for Connected and Automated Vehicles)。此原则由英国运输部与英国国家基础设施保护中心(CPNI)共同制定,于8月6日在英国政府网站上发布,属于英国政府道路安全与网络安全相关政策中的一部分。

       英国交通部政务次官(Parliamentary Under Secretary of State for the Department for Transport)卡兰南勋爵(Lord Callanan)表示,“随着自动驾驶汽车与车联网等技术的应用日益增多,为了保护消费者免于遭到网络攻击威胁,我们将建立起相应保护措施。”

指南细分出了 8 个原则:

● 组织上应确保在董事会层面将安全重视起来;

● 制造商应该评估潜在的风险(尤其是第三方承包商);

● 汽车安全需要在整个生命周期内持续存在;

● 组织与分包商必须携手认证它们的安全流程和产品;

● 安全系统应该有冗余;

● 制造商应在系统制造周期内对软件进行管理;

● 数据的存储必须是安全的;

● 车辆或系统应能够承受攻击并继续工作。


3.委员会进展  

《智能网联汽车信息安全白皮书》正式发布 筑牢汽车信息安全防线


        2017年6月12日,在中国智能网联汽车产业创新联盟成立大会上,由中国汽车工程学会信息安全工作委员会联合北京航空航天大学、梆梆安全研究院编写的《智能网联汽车信息安全白皮书》正式发布。

       北京航空航天大学王云鹏副校长在介绍《智能网联汽车信息安全现状及发展建议》时提出,各类智能终端接入设备的异质化、海量化在给智能网联汽车引入越来越多的信息安全问题,移动通信、车载网络、复杂系统正在成为当前智能网联汽车的三大安全风险来源,汽车技术的变革促使信息安全成为扰动其健康发展的重要因素。

      《白皮书》指出,安全基因的缺乏致使智能网联汽车整条信息链里的每个环节都容易遭受恶意攻击,快速增长、种类繁多的车载连接设备更在让智能网联汽车的信息安全防护难度呈几何倍数增加。当前智能网联汽车主要面临来自节点(T-BOX、IVI、终端升级、车载OS、车载诊断系统接口、车内无线传感器)、网络传输、云平台、外部互联生态安全4个层面的12大安全威胁。在黑客攻击的威胁下,智能网联汽车安全性将变得愈发脆弱,甚至可能导致致命事件的发生

信息安全工作委员会第二次工作会议


       为推动以企业为主体参与标准制修订工作的体制创新,充分发挥社会有关各方直接参与团体标准制修订工作的积极性,完善标准内容和适用性,进一步推动中国智能网联汽车信息安全团体标准工作的开展,中国汽车工程学会于2017年6月27日在上海国际汽车城 汽车创新港会议中心召开了“信息安全工作委员会第二次工作会议”。

       本次会议由北京航空航天大学交通科学与工程学院余贵珍教授主持,会上介绍了《智能网联汽车信息安全标准体系建设指南》(讨论稿)以及中国汽车工程学会标准《智能网联汽车车载端信息安全技术要求与测试方法》(讨论稿),并进行了讨论。来自整车厂、零部件供应商、通信企业、互联网安全公司以及行业组织的代表对两份团体标准讨论稿提出了建设性意见,并希望积极参与到团体标准的制定工作中来。


4.**产业与技术

Cerberus研发安全芯片 让无人驾驶汽车远离“被黑 


       英国布里斯托尔Cerberus安全实验室设计了一款芯片,它可以让无人驾驶汽车、物联网设备变得更安全。芯片设计使用了RISC V开源内核和定制加密、密码管理单元。RISC V技术越来越流行,因为使用不需要授权费,如果用的是ARM或者MIPS技术就要交授权费。实验室创始人、CEO卡尔·肖恩(Carl Shaw)说,根据设计我们可以制造独立芯片,或者将它集成到现有芯片中。问题在于,芯片的IP(知识产权)业务很难扩大,所以Cerberus提供数据和云存储网络,让客户管理海量设备的安全数据。肖恩说,他们使用威尔士的私有云,不是公共云,比如亚马逊AWS、微软Azure就是公共云,Cerberus用私有云处理信息。IP变得越来越重要,英国政府已经发布指导方案,要求开发智能汽车的工程师在设计时确保产品不易受到网络攻击。指导方案要求设计原则是安全的,安全的所有方面(包括物理层、个人层和网络层)都必须在产品和服务开发过程中得到体现。从长远来看,组织需要对产品进行维护,对事故进行响应,从而确保系统在整个寿命周期内都是安全的,而这些正是Cerberus关注的重点。


5.信息安全会议

中国互联汽车及无人驾驶网络安全峰会

       2017年9月13日—15日,由TAAS LABS主办的中国互联汽车及无人驾驶网络安全峰会取得成功举办。3天峰会全面专注与无人驾驶汽车网络安全,40位以上行业专家倾力分享及讨论,大会共同研究探讨**行业政策、市场方向以及最领先的防黑客攻击技术、ADAS最佳实践等,进行了超过20小时的主题专业发言。峰会的参会嘉宾覆盖院校科研团队与整个产业链,包括了整车设备制造商、一级供应商、软件提供商、车联网服务提供商等,以及北京航空航天大学、同济大学、电子科技大学等高校的科研团队。

       **,会议明确了汽车信息安全这一领域的发展潜力和趋势。另外,以北航、华为、上汽、联通、博世、360等为代表的安全团队和公司也呼吁解决汽车信息安全问题不能仅仅依靠某一个企业或研究院校,需要社会各方共同的努力。

APAC19&AECCE2017专题分会:智能网联汽车技术相关分会场议题


6.科研项目进展

智能电动汽车信息安全保障理论及防护方法—国家重点研发计划项目课题

研发单位:北航、同济、清华、北邮、中国信息通信研究院、奇虎360

阶段性成果或突破:

1.汽车信息安全检测工具CANPICK:根据汽车总线安全监测需求,开发出一款可视化的车联网网络安全检测工具:CANPICK。它具有数据可视化、模糊测试分析、总线加密强度验证和批量化对比分析、UDS分析,实时插件编写等功能。

2.车内网络与用户设备可信通信的认证算法:研究提出了一种实现车内网络与用户设备可信通信的认证机制,并在基于OpenXC接口的半实物仿真系统上进行了实验验证。该认证机制引入的时间开销和存储开销都很小,能满足实际应用的需要。本研究成果为智能电动汽车在新领域的发展提供了信息安全保障。

3.基于车联网环境下辅助认证的方法:课题团队提出了一种车联网环境下辅助认证的方法,该方法利用分布式思想,将认证过程中的计算任务和存储任务从传统TA转移到车群中,在满足认证服务,保证车联网网络安全的基础上,同时节约TA的计算资源和存储资源,避免了资源浪费,有利于车联网大范围的推广。

4.车载CAN信息无线获取设备:完成了车载端OBD数据获取系统的设计与实现,开发了完全自主的车载CAN信息无线获取设备和后台服务器软件,可以有效的进行后续的车载信息网络数据的搜集工作,便于开展网络安全的大数据分析,并进行了电动汽车测试。

5.智能电动汽车汽车信息安全与功能安全映射模型:研究团队全面分析了智能电动汽车面临的信息安全威胁,包括威胁的类别及途径及其对汽车的影响,探讨了信息安全与功能安全的映射关系,提出了智能电动汽车信息安全与功能安全的模型。

 6.基于智能手机的智能电动汽车信息安全架构:本课题为了提升智能电动汽车部署过程中交通安全提出了一种仅基于智能手机的安全架构。考虑到当下涉及驾驶行为的交通事故在所有的交通事故中占有重要比重,而智能手机当下的普及度极高,使用智能手机来协助提升交通安全具有重要意义。


7.**论文介绍

IEEE TRANSACTIONS ON INTELLIGENT TRANSPORTATION SYSTEMS

《智能网联汽车面临的网络威胁:来自未来的挑战》

  Simon Parkinson, Paul Ward, Kyle Wilson, and Jonathan Miller





摘要--汽车目前的发展中:连接性和自动化水平越来越高。 与所有网络计算设备一样,连接的增加通常会导致网络攻击风险的增加。在本文中,所提供的大量可公开访问的文献将根据所识别的漏洞和解决技术的发展情况分别进行审查和划分。



CCS 2017 : ACM Conference on Computer and Communications Security

《Viden:车载网络上的攻击者识别》

Kyong-Tak Cho and Kang G. Shin

摘要--各种防御计划在近日被不断提出。但是,它们都未能确定哪个电子控制单元(ECU)在实际上存在着何种攻击。显然指出被攻击ECU,对快速/高效的取证、隔离、安全补丁等措施的执行是十分重要的。为了满足这一需求,我们提出了一种新颖的方案,称为Viden(基于电压的攻击者识别),可以通过测量并利用车载网络上的电压来识别被攻击的ECU。我们对CAN总线协议和两个实际车辆的广泛实验评估表明,Viden可以根据电压测量准确地对ECU进行指纹识别,从而以低于0.2%的误识别率识别攻击者ECU。