【深度剖析】車聯(lián)網(wǎng)信息安全挑戰(zhàn)與思考

2017年6月21日-22日，由中國安全產(chǎn)業(yè)協(xié)會、TIAA車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟與車云網(wǎng)共同主辦的2017年中國安全產(chǎn)業(yè)峰會暨首屆交通安全產(chǎn)業(yè)論壇在北京召開。來自清華大學(xué)電子工程系、信息科學(xué)與技術(shù)國家實驗室的黃永峰教授，針對車聯(lián)網(wǎng)信息安全，帶來了自己對于“挑戰(zhàn)與思考”的一些看法。

以下為演講實錄：

黃永峰：大家好。我本人是做互聯(lián)網(wǎng)安全的，去年，教育部和中國移動成立了一個車聯(lián)網(wǎng)的聯(lián)合實驗室，我就在實驗室負責(zé)車聯(lián)網(wǎng)信息安全這一塊的研究工作。在這將近一年的研究過程中，對車聯(lián)網(wǎng)的信息安全研究遇到了一些問題，我給它取名叫挑戰(zhàn);還有一些沒明白的問題，我把它叫思考。所以我今天演講的題目是《車聯(lián)網(wǎng)信息安全的挑戰(zhàn)和思考》。

車聯(lián)網(wǎng)信息安全挑戰(zhàn)

第一個先介紹車聯(lián)網(wǎng)信息安全的挑戰(zhàn)，上午有很多專家已經(jīng)從不同的角度和層面介紹了車聯(lián)網(wǎng)信息安全的一些問題。我希望這次引入一個車聯(lián)網(wǎng)信息安全目前最大的挑戰(zhàn)，我認為就是數(shù)據(jù)安全的問題。所以在報告中重點講一下我對車聯(lián)網(wǎng)數(shù)據(jù)安全的淺薄思考。

什么叫車聯(lián)網(wǎng)?我也查了一些資料，好像目前沒有一個很統(tǒng)一的概念。去年在申請聯(lián)合實驗室的時候，對車聯(lián)網(wǎng)的定義是：采用物聯(lián)網(wǎng)技術(shù)來獲取車輛的運行狀態(tài)信息，駕駛員的行為信息和周邊的道路信息。

所以第一個層面：車聯(lián)網(wǎng)是信息的采集;第二，是采用移動互聯(lián)網(wǎng)來實現(xiàn)車與車之間，車與人之間，車與路之間的信息互通和協(xié)同，所以是要實現(xiàn)信息的互通和協(xié)同;第三，車聯(lián)網(wǎng)主要功能是采用大數(shù)據(jù)的智能分析技術(shù)，來實現(xiàn)數(shù)據(jù)的處理和決策，這是車聯(lián)網(wǎng)的基本定義。車之所以要聯(lián)網(wǎng)的根本目標是實現(xiàn)車、路、人之間數(shù)據(jù)的高效感知、智能分析和安全共享三個層面。

上面是車聯(lián)網(wǎng)概念內(nèi)涵，下面分析一下車聯(lián)網(wǎng)概念的外延。我們對智能汽車有一個很好的比喻。什么是智能汽車呢?是具有4個輪子的“電腦”，因此，我們可以將車聯(lián)網(wǎng)稱之為：高速移動的信息系統(tǒng)。為什么要這樣理解這個概念呢?車聯(lián)網(wǎng)是把智能汽車，通過互聯(lián)網(wǎng)技術(shù)對路邊設(shè)施信息進行感知、互通和協(xié)同共治，并且進行大數(shù)據(jù)的挖掘，從而提供智能決策的這一套復(fù)雜的信息系統(tǒng)。而且這一套信息系統(tǒng)是在高速運轉(zhuǎn)的道路上運行的，所以我理解它是一個高速移動的互聯(lián)信息系統(tǒng)。整個車聯(lián)網(wǎng)除了有車輛、機械等等各個學(xué)科的一些關(guān)鍵技術(shù)之外，還有跟我們信息學(xué)科密切相關(guān)的四大技術(shù)。第一個是信息安全，第二個是大數(shù)據(jù)的人工智能，第三個是物聯(lián)網(wǎng)技術(shù)，第四個是移動互聯(lián)網(wǎng)技術(shù)。正因為這樣，我們在去年成立聯(lián)合實驗室的時候，除了汽車系、機械系等學(xué)科的老師之外，也有很多的信息學(xué)科研究團隊加入到車聯(lián)網(wǎng)實驗室。

車聯(lián)網(wǎng)信息安全的挑戰(zhàn)

關(guān)于車聯(lián)網(wǎng)發(fā)展的趨勢就不細說了。這幾年，車聯(lián)網(wǎng)的需求從2015年的狀態(tài)，到2020年的預(yù)測，都可以看出車聯(lián)網(wǎng)產(chǎn)業(yè)將會巨大發(fā)展。作為學(xué)科建設(shè)，現(xiàn)在高校和研究院所也都在進行車聯(lián)網(wǎng)相關(guān)的研究。作為這樣一個高速移動的復(fù)雜的信息系統(tǒng)，它的安全問題這幾年也得到了大家的高度重視。

這是我們從2013年到2016年對國際上已經(jīng)公開報道的一些有關(guān)智能汽車或者是車聯(lián)網(wǎng)的正式報道的一些跟信息安全相關(guān)的事件的梳理。從這里可以看出，這些安全事件的爆發(fā)程度以及危害程度遠遠不亞于當(dāng)前互聯(lián)網(wǎng)安全事件。車聯(lián)網(wǎng)為什么也會出現(xiàn)高度危害的信息安全事件呢?我們從三個方面來分析。

首先，車聯(lián)網(wǎng)主要聯(lián)結(jié)智能汽車，智能汽車上有大量的車載電腦。有資料報道：作為一個智能汽車，它的車載智能設(shè)備不小于100臺，整個程序代碼不小于5000萬行，整個智能駕駛代碼將會有2億多行。

第二，車聯(lián)網(wǎng)要聯(lián)網(wǎng)的話，首先要有車內(nèi)網(wǎng)絡(luò)，它要通過各種無線的方式接入到其他相關(guān)的設(shè)備或互聯(lián)網(wǎng)，所以它存在有無線接入互聯(lián)網(wǎng)的相關(guān)安全問題。

第三，一旦接入到互聯(lián)網(wǎng)之后，互聯(lián)網(wǎng)原有的安全問題可以派生到這些車聯(lián)網(wǎng)系統(tǒng)。而且互聯(lián)網(wǎng)安全問題在高速移動的信息系統(tǒng)中，它的危害性也會進一步擴大。剛才說到車聯(lián)網(wǎng)的第三個目標是依靠對大數(shù)據(jù)的采集，采用人工智能和大數(shù)據(jù)的挖掘技術(shù)，通過決策，來代理人對機械控制的部分功能。但是靠軟件、靠電腦來代替人對機械化的控制，這本身風(fēng)險本身就會增大。

通過對車聯(lián)網(wǎng)特點的分析，再對比互聯(lián)網(wǎng)的信息安全，我們可以將車聯(lián)網(wǎng)安全問題歸納為如下三個方面：

一是車聯(lián)網(wǎng)的高動態(tài)性會使得攻擊行為更難以檢測和發(fā)現(xiàn)。對于汽車來說，它的無線組織組成的拓撲結(jié)構(gòu)具有高動態(tài)性;而對于互聯(lián)網(wǎng)來說，很多設(shè)備是靜止的，位置是固定的，即使是移動互聯(lián)網(wǎng)，它移動的速度也比車慢的多，而車移動的速度往往高于一般移動互聯(lián)網(wǎng)的速度，所以它的拓撲結(jié)構(gòu)改變會更快。

第二，車在聯(lián)網(wǎng)的時候，都會頒發(fā)一個數(shù)字證書，數(shù)字準確的頻率會更快，所以它也會有更高的動態(tài)性。

第三是無線傳輸效率跟運行速度是有相關(guān)性的，在高速移動的行為模式下，效率也會受到高動態(tài)性的影響。

車聯(lián)網(wǎng)由于它整個車輛本身的特點，使得它成為各種攻擊目標的重要性會變得更大。一是車本身的經(jīng)濟價值和附加價值要比一般的互聯(lián)網(wǎng)連接設(shè)備重要性更大;二是車輛發(fā)生危害的社會影響和危害程度比互聯(lián)網(wǎng)更大;三是開放性使得車聯(lián)網(wǎng)的攻擊方式比互聯(lián)網(wǎng)更多。

車聯(lián)網(wǎng)的開放性體現(xiàn)為：(1)它是在用無線接入信道，在無線高動態(tài)的信道環(huán)境下，被攻擊的可能性會更大。(2)車聯(lián)網(wǎng)聯(lián)網(wǎng)之后，要使數(shù)據(jù)共享，那么它的數(shù)據(jù)開放性會更大;(3)它的服務(wù)面向用戶也會更開放。正因為存在這些特點，我們認為車聯(lián)網(wǎng)的安全風(fēng)險比我們已經(jīng)成熟的互聯(lián)網(wǎng)的風(fēng)險會更大。

車聯(lián)網(wǎng)信息安全攻擊類型

下面分析一下車聯(lián)網(wǎng)信息安全的攻擊類型，我們從兩個角度進行分類。首先從攻擊方式來說，它存在于智能終端的攻擊模式。像寶馬汽車的Connected Drive模塊已經(jīng)暴露有兩種風(fēng)險，也有最新的研究成果稱這個模塊存在六種漏洞。第二個是互聯(lián)網(wǎng)絡(luò)攻擊，比如像360破解了比亞迪汽車云服務(wù)。第三個是無線接入的攻擊方式，剛才說過只要在無線的情況下，攻擊的可能性就會更大。第四種情況是直接安全攻擊，通過靠汽車本身的接口，直接攻擊到汽車的某些控制系統(tǒng)，像JEEP目前報道的兩種攻擊事件，就是直接通過汽車接口攻擊的情況。

如果站在攻擊者本身來分析，一般分為4類攻擊者：

駕駛員攻擊者。一個最典型的場景是，車一旦聯(lián)網(wǎng)以后，如果要對某些道路和其他的資源進行獨占的話，這時候駕駛員可能會發(fā)出一些虛假的信息。舉個典型的例子，在不堵車的情況下，如果我現(xiàn)在在四環(huán)上發(fā)布“四環(huán)很擁擠”的信息，這樣就可以強占四環(huán)道路資源，這是一種情況;

第二種情況是惡作劇者，有一些所謂黑客的業(yè)余愛好者，他可能利用汽車的某些漏洞或者用無線接入的監(jiān)聽模式來對汽車的漏洞進行攻擊，從而來實現(xiàn)自己的某些目標;

第三種情況可能是一些車聯(lián)網(wǎng)的權(quán)威單位和管理部門的工作人員可能會對一些數(shù)據(jù)本身進行攻擊。打個比方來說，如果交通部門要對一個交通事故的信息進行更改或者保險部門要對某一個內(nèi)部數(shù)據(jù)進行更改，以獲取某些利益的話，它也可能成為一個攻擊者;

第四種情況危害更大，就是一些惡意攻擊者。如果他要制造一些恐怖行為的話，它就可以利用車聯(lián)網(wǎng)的危害性造成社會影響，而這些都可能成為車聯(lián)網(wǎng)的攻擊者。

另外，我們把車聯(lián)網(wǎng)的整個信息安全分為四個層面：

第一個是系統(tǒng)安全，不管是車載終端還是車載的主機，本身都存在硬件和軟件系統(tǒng)的安全問題。結(jié)合這些安全問題，目前我們采用傳統(tǒng)的信息安全方法，可能使用身份鑒別、訪問控制、安全審計、預(yù)行防范以及惡意代碼檢測等手段。

第二個是應(yīng)用安全，車載終端的一些應(yīng)用系統(tǒng)也存在漏洞，只要有代碼的地方就存在漏洞。這些所采用的安全手段跟我們主機系統(tǒng)安全方式類似。

第三，聯(lián)網(wǎng)的地方就存在網(wǎng)絡(luò)安全問題，而且互聯(lián)網(wǎng)本身的安全問題，在車聯(lián)網(wǎng)的環(huán)境下，它的危害程度和安全風(fēng)險會進一步放大。

我們認為，除了這三方面的安全風(fēng)險之外，車一旦聯(lián)網(wǎng)之后，根據(jù)車聯(lián)網(wǎng)的數(shù)據(jù)采集、智能分析和決策控制這三個層面，它面臨的最大問題就是數(shù)據(jù)安全。如果要實現(xiàn)數(shù)據(jù)的互通、數(shù)據(jù)的共享，特別是要實現(xiàn)這些決策控制的話，如何保證數(shù)據(jù)的安全是整個車聯(lián)網(wǎng)最具有挑戰(zhàn)性的問題。當(dāng)然數(shù)據(jù)安全問題除了傳統(tǒng)的解決技術(shù)，例如像身份認證、訪問控制之外，還有兩個典型的問題是如何對數(shù)據(jù)的可靠性進行驗證，以及對數(shù)據(jù)的隱私進行保護。

為什么說數(shù)據(jù)安全是車聯(lián)網(wǎng)最典型和最大的問題呢?對于信息系統(tǒng)的系統(tǒng)安全和應(yīng)用安全，現(xiàn)在都有一些傳統(tǒng)的解決方案，從某種程度上能夠很好的解決。打個比方說，我通過TEE這個可信執(zhí)行環(huán)境，在采用相關(guān)可靠操作系統(tǒng)和安全的硬件支持下，就能夠?qū)χ鳈C系統(tǒng)和終端的安全問題。相應(yīng)的說，數(shù)據(jù)安全目前沒有一個很成熟的解決方案，所以下面重點介紹一下我們對車聯(lián)網(wǎng)的數(shù)據(jù)安全的一些思考。

云計算+區(qū)塊鏈的車聯(lián)網(wǎng)數(shù)據(jù)安全模型

車聯(lián)網(wǎng)的數(shù)據(jù)安全，主要體現(xiàn)在五個方面。

一是車聯(lián)網(wǎng)數(shù)據(jù)的訪問控制和認證問題，二是車聯(lián)網(wǎng)數(shù)據(jù)在分享過程中的一些信任問題，三是車聯(lián)網(wǎng)共享中的安全保護問題，四是車廠數(shù)據(jù)匯聚成為一個數(shù)據(jù)中心時，將產(chǎn)生的數(shù)據(jù)存儲安全保護問題，五是車輛數(shù)據(jù)在采集中的隱私泄露問題。這些數(shù)據(jù)問題的安全最終歸為兩個核心問題，一個是隱私，一個是可靠性。而且對于車聯(lián)網(wǎng)本身來說，它的數(shù)據(jù)安全問題可以歸結(jié)為一個根本問題就是：數(shù)據(jù)隱私保護和數(shù)據(jù)可靠性這一對矛盾的問題。

首先，車聯(lián)網(wǎng)的隱私比移動互聯(lián)網(wǎng)的隱私問題更突出。利用車的一些相關(guān)信息很容易跟蹤到車的行蹤、位置和它的用戶ID等等。如何保護用戶的隱私是車聯(lián)網(wǎng)安全的一個首要問題，但是一旦形成隱私保護，在匿名和相關(guān)方法保護隱私的同時，也會帶來另外一個問題，就是數(shù)據(jù)的可靠性。用戶一旦保護隱私或匿名之后，在對他的真實身份不了解的情況下，他就可能會發(fā)布虛假信息。一旦發(fā)布了虛假信息之后，對整個車聯(lián)網(wǎng)的安全會帶來極大的隱患，所以如何解決隱私和數(shù)據(jù)可靠性是整個車聯(lián)網(wǎng)數(shù)據(jù)安全最大的矛盾問題。

目前對車聯(lián)網(wǎng)數(shù)據(jù)的安全保護也有各種模型和方法，根據(jù)我們在這兩年的研究過程中，提出了一種面向車聯(lián)網(wǎng)數(shù)據(jù)安全保護的基本模型，這個模型就是把現(xiàn)在大家所聽說的區(qū)塊鏈技術(shù)和云計算技術(shù)融合起來，構(gòu)建車聯(lián)網(wǎng)模型。

這個基本思想是說，把整個車聯(lián)網(wǎng)的某些跟安全密切相關(guān)的功能和數(shù)據(jù)放到區(qū)塊鏈上面，對傳統(tǒng)的一些相對來說重要性不是很高的數(shù)據(jù)放到云計算上面，利用云計算大量的存儲資源保護這些數(shù)據(jù)。第二方面，把一些重要復(fù)雜的計算通過云計算來完成。這樣靠區(qū)塊鏈和云計算兩個核心技術(shù)之下，再通過融合機制來對車聯(lián)網(wǎng)的數(shù)據(jù)進行安全的保護。

首先為什么使用云計算技術(shù)，由于時間關(guān)系不細說，因為現(xiàn)在車聯(lián)網(wǎng)很多模型都是利用云計算，利用云計算的存儲和高度計算的效率來解決車聯(lián)網(wǎng)的一些問題。

我們重點說一下為什么要采用區(qū)塊鏈技術(shù)。區(qū)塊鏈是大家在這一年來通過各種場合經(jīng)常能聽到的一個名詞。區(qū)塊鏈的特點體現(xiàn)在三個方面：第一個是它底層的P2P網(wǎng)絡(luò)加上加密和Hash技術(shù)來解決數(shù)據(jù)的不可纂改性和數(shù)據(jù)刪除等問題。第二，它產(chǎn)生比特幣這樣電子交易的應(yīng)用，就具有電子貨幣的在線交易特點。第三，是它能夠把一些生活中的合約問題變成代碼形成智能合約，能夠?qū)崿F(xiàn)交易中的合約自動執(zhí)行?；谶@三個特點，我們在車聯(lián)網(wǎng)的優(yōu)勢中，對某一些單獨通過云計算解決不了的問題，就可以通過區(qū)塊鏈解決。

第一種情況，針對我們在車聯(lián)網(wǎng)中不可篡改的信息，像交通事故的現(xiàn)場信息，某一些違章的信息。這些信息如果一旦呈現(xiàn)在區(qū)塊鏈里，就會實現(xiàn)證據(jù)的固化，這是區(qū)塊鏈的不可篡改性。

然后第二是匿名信息，剛才說到車聯(lián)網(wǎng)在入網(wǎng)注冊的時候肯定要匿名，要保護他的隱私，但是匿名情況下，要進行一些信息追索和溯源的時候就必須要找到他的真實身份。這時就可以利用區(qū)塊鏈的溯源機制，把他的匿名身份變成真實身份。

第三是他具有貨幣交易和智能合約的功能，車聯(lián)網(wǎng)發(fā)展之后，很多像保險合同、汽車商店等等這些交易，會通過車聯(lián)網(wǎng)的智能合約和電子貨幣機制來實現(xiàn)，從而實現(xiàn)交易的便利性。

當(dāng)然，車聯(lián)網(wǎng)在使用區(qū)塊鏈技術(shù)實現(xiàn)的時候，也存在一些不可解決的挑戰(zhàn)問題，像資源受限、傳輸延遲等等這些問題，那么這些問題就會通過相應(yīng)的云計算機制來實現(xiàn)。

這是我們初步提出的一個融合云計算和區(qū)塊鏈的車聯(lián)網(wǎng)分層體系結(jié)構(gòu)。把它分為三個層面，上面是物理層，是我們所說的車聯(lián)網(wǎng)所連接的車輛、道路，以及服務(wù)提供商等等。然后是在云計算和區(qū)塊鏈兩個平臺的支撐下，完成車聯(lián)網(wǎng)一些傳統(tǒng)的和新興的業(yè)務(wù)。

通過融合機制基本上能夠解決車聯(lián)網(wǎng)兩個很大的問題：一個是訪問控制的問題。我們剛才說車聯(lián)網(wǎng)最大的問題是數(shù)據(jù)的安全，在區(qū)塊鏈和云計算的融合下，就能夠?qū)崿F(xiàn)數(shù)據(jù)的分級控制問題，通過應(yīng)用級別和應(yīng)用場景，可以利用區(qū)塊鏈和云計算不同的訪問控制機制，來實現(xiàn)不同級別的訪問控制方法。

第二個是可以利用云計算和區(qū)塊鏈的融合，對數(shù)據(jù)進行分類存儲。也就是說，對一些類似交通事故這樣不可篡改、需要固化的數(shù)據(jù)，就可以放在區(qū)塊鏈上;對某一些大量的、原始的數(shù)據(jù)，歸檔的數(shù)據(jù)，就可以放在云計算里，而且可以把云計算里面原始的數(shù)據(jù)，逐漸抽象為某些meda data ，把這些的meta data等重要的源數(shù)據(jù)也放在區(qū)塊鏈上面，這樣在整個融合體系下，就可以對整個車聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)的分類管理。

好，這是我的基本報告，謝謝大家!