CSS圓桌:智能汽車的信息安全共建之路
責編:mhshi |2016-11-11 15:13:07主持人:非常感謝榮總精彩的分享,我在下面聽,記了很多的干貨,現在可以說主機廠對于整個智能汽車的概念以及整個智能汽車的安全有了自己的思考。上午幾位嘉賓精彩演講和分享到此結束。
他們分別從主機廠、院校、安全團隊,以及咨詢公司不同的角色對于整個智能汽車的安全所面臨的挑戰和機遇都發表了各自的看法。新的技術和新的商業模式肯定會催生新的安全問題。
下面我們就非常有幸請上剛才演講的幾位嘉賓做一個智能汽車安全有關的圓桌環節,想深入問幾個和剛才他們演講相關的問題,希望給我們做更深入的解析。
今天的主題是智能汽車和安全,我們聊安全之前,還是要明確一下智能汽車這個概念。雖然這是一個老生常談的話題,但是想聽聽幾位嘉賓從各自的觀點,用非常簡單的幾句話去描述一下智能汽車在幾位概念里到底應該是怎么去定義的?
榮輝:所謂的智能汽車就是越來越多地把過去人所做的工作轉移到汽車本身,轉移到極致之后就不需要這個人去開車了。智能汽車可以定義成越來越多過去人所做的工作。
薛瑋:我認為一輛機械的車上裝了一臺電腦,這個電腦上面插了很多攝象頭、很多傳感器,然后幫助大家實現智能汽車。這是簡單從技術上的一個理解。
時帥:我可以把車和人做一個類比,人可以分成自然人和社會人,汽車是輪子+沙發+大腦,是一個社會車,不是一個自然的車。
朱西產:智能汽車V2X也好,雷達也好,攝象頭也好,線控技術也好,都是技術層面,我們認為什么樣的車達到智能的程度?低級的智能就是我出錯時它能幫助我,再高級一點就是我犯困時,非要去處理手機上信息時,它能代替我。這是汽車行業關注的兩個技術,還算是汽車的革新。
無人駕駛太可怕了,是革命,無人駕駛出現以后,到底我們的出行道路交通是一個什么樣的形態,現在暫時我個人想不出來。無人駕駛有點超出我的思考能力。
主持人:我能這么理解嗎?智能汽車和無人駕駛或自動駕駛肯定不能劃等號的,智能汽車算是無人駕駛的一個載體,這是現階段我們能夠去實現的一個東西。這是我的理解。
時帥:就像ADAS和無人駕駛也有重疊,有一定關系,ADAS最終終極狀態就是無人駕駛。智能汽車的智能不僅在技術方面,在整個經濟形態方面也是所謂的智能或共享經濟、新能源。
主持人:和傳統汽車相比,傳統汽車就是四個輪子+沙發,家但這么理解,但肯定不能劃等號的,但是智能汽車又加了一個電腦,把人的整個出行服務連接到一起了。
在這個發展過程當中,肯定會衍生一些新的技術,新的技術和商業模式肯定會產生很多新的安全問題,我想聽聽幾位聊一聊哪些新的技術或商業模式能夠帶來什么樣的安全方面的挑戰?
榮輝:因為加了大量的軟件,軟件本身是有bug的,而且軟件對于汽車行業來說完全是一個新行業。第一,現在軟件增加本身就帶來問題,汽車上軟件必須有一個重新設計的架構;第二,汽車行業的模式還是過去的,你做車,誰做零配件,給我拿過來就行了。
現在我們拿到所有用于無人駕駛的技術都沒有為汽車原創的。比如我們的通信技術,都是用的現有通信技術的組合,到目前為止還沒有一個通訊協議是專門為車寫的,這是我們現在碰到很大的困難。
把手機和車機連起來,有很多選擇,用藍牙、USB、進場通訊,沒有一個是按照汽車的特點重新做這個事,將來一定會有問題。把別人的東西拿過來不完全適宜你自己的應用環境。
包括傳感器,激光雷達原來都不是車用的。所以很多做軟件的、很多做電子基礎硬件的、很多做傳感器的其實是有機會,但是這個機會必須要和主機廠一塊,專門為無人駕駛或智能汽車設計新的東西。
安全隱患是軟件本身增加了,這些東西都不是原創給汽車的,不是百分之百合適,這里面一定會有漏洞,我們自己也發現了很多漏洞。還有現在汽車合作方式,不能把軟件供應商或通訊供應商、地圖供應商單純當做是供應商來管理。
一定得當做合作伙伴,讓他們和我們結合在一起重新設計這個東西,才有可能把安全性降到最低,但是安全性永遠不可能百分之百安全。
主持人:需要所有供應鏈上的供應商能跟汽車廠商有一個深度合作,為智能汽車定制出一套系統。由于榮總提到這個問題,剛才聽到薛總也提到了科恩總結出來的汽車有很多攻擊面,是不是因為這個?
薛瑋:的確是這樣,現在汽車的攻擊面越來越多了,特別是有一些新的技術加上去之后,可能產生新的攻擊面。比如OTA升級系統可以實時保證汽車去升級,但是我們刷gateway方式就是把OTA遠程刷入到了gateway上面,所以這是一把雙刃劍。
傳統的汽車其實有很多更改不了的地方,比如CAN協議是1970年代設計的,當中只支持廣播,不支持加密、一些認證技術,沒有辦法知道到底是誰把這個信息傳給到這個ECU,是不是一個正常的組件傳給的。
從整個GAP當中有非常大的問題,現在高新技術和非常傳統的CAN網絡之間有很大的溝壑需要我們信息安全去關注。
主持人:您提到CAN總線,三四年前我們接觸到特斯拉,它已經應用了以太網,直到科恩破解了特斯拉,才知道它的整個操作跟它行駛相關的機構還是建立在CAN總線上的?
薛瑋:對,只不過把OBT2口沒有了,加了自己特殊的口,藏在后備沙發里面,所以一般得不到這個口,但還是會用CAN的協議操作這個系統。可能牽涉到很多供應商、關系鏈,一旦CAN總線協議改了,用以太網做整個通訊的話,很多ECU都要重新設計。當然以太網是在認證、加密等方面有獨特優勢,但是我覺得這個改變可能太大。
榮輝:我們已經發現CAN協議遠遠不能滿足我們需要了,傳輸速率根本不支持這些大的數據傳輸。以太網也不是好的解決辦法,在速率傳輸上、保障安全機制上并不是百分之百完美,已經發現很多以太網本身的安全漏洞,所以必須要有新的網絡協議出來。
主持人:這還需要時間,你如何理解什么樣技術帶來什么新的威脅?
時帥:尤其是傳統OEM的DNA還是比較傳統的,沒有對錯或好壞之分,我們說船大難掉頭也好,整個DNA架構也好,一款新車研發流程是極長的,短的話30多個月,長的話需要50、60個月,有可能ECU改的話,一方面影響我們整個車的架構問題,另一方面說不定整個標定匹配會重新做。
主機廠核心的能力就在于整車匹配,這是沒有人比他們更強,整車匹配核心就在于不停地數十年、數百年數據的積累。所以一旦這里標準改掉了,一切都會重新來。
現在很多互聯網公司從反面反攻,是覺得硬件方面對他們沒有問題,從寶馬挖一個團隊過來沒有問題,“造車”這兩個字不是難于上青天,但是造一輛安全、能開、好開的車其實是難于上青天的。
從另一個方面來講,數據的傳輸,包括車和車之間子組網帶來安全的漏洞,會給互聯網公司一個好的機會,OTA的發布和定期更新會有更多機會直接獲得消費者的數據。
朱西產:汽車安全到目前為止每年發生的交通事故統統可以歸結為功能安全。今天會議的主題是互聯網信息安全,信息安全是潛在的,因為今后高度互聯已經成為趨勢。
到現在為止汽車廠開發是按照定義的功能區開發一個一個小塊的程序,我們從來沒聽說過汽車廠有軟件構架師,互聯網企業都有,并且軟件構架師在公司里面地位還很高,沒想到智能汽車一塊一塊小豆腐塊,加一個功能加一個軟件,加到1億行了,居然沒有軟件構架師。智能汽車面對的復雜程度在智能化實現過程中,軟件成了汽車的主體。
現在從特斯拉開始,一個新的概念叫軟件定義汽車。在這種情況下,隨著軟件更新,用戶可以不斷得到體驗,互聯網企業給用戶的體驗是非常好的,汽車廠給用戶的體驗并不好。
汽車廠給用戶的體驗就是買車那一瞬間,然后激情,這車太漂亮了,賣完了以后不可能再給你第二個驚喜,接下來都是問題。新的用戶體驗和新的智能汽車必然是高度互聯的。
現在從功能安全,將來高度智能,尤其高度網聯汽車,安全問題將進入到信息安全。現在第一塊的問題汽車行業已經開始重視,功能安全其中有很大一塊是去解決和防止軟件造成的缺陷。
從開發角度來說,特斯拉所提倡的這種方式,即今后汽車廠應該會有軟件構架師統一協調這1億多行的代碼。但是信息安全是潛在的,到現在為止全世界還找不到因為網絡攻擊。
科恩實驗室是好人,是白帽黑客,幫助我們提升安全性能,不是破了鎖以后去偷東西的那個賊,是破了鎖以后告訴你這個鎖該如何改進的人,到現在為止有科恩實驗室頂級白帽黑客在幫助企業、幫助行業提升安全性,但是實際由于攻擊而產生的交通事故在全世界還沒有。
對照智能手機、網上銀行的發展,可以看到這種擔憂是存在的。網上銀行可以不用跑到銀行去,在網上就可以操作,在智能手機上點就可以什么都能解決,也很方便,結果沒想到這兩個給我們帶來巨大方便的創新。
最后出來了一個非常鬧心的電信詐騙,這樣才想起做各種防火墻,最后甚至只能動用法律的手段——實名制。如果早一點思考這個問題,一開始就實行實名制,一開始銀行推出網絡銀行時這些卡就實行實名制,一方面是鎖住,防止非正常侵入,另一方面是追蹤,能夠追蹤,有法律重壓,不僅有防范,還有出擊,可能要兩手抓。
主持人:朱所長提到軟件開發,榮總也提到汽車的軟件程序需要被重新設計,我之前真的沒有具體深入了解主機廠在汽車智能化方面的開發和研發流程到底是怎么樣的,北汽對于安全層面所做的哪些工作,可以跟我們分享一下嗎?
榮輝:不僅是北汽,現在汽車行業標準做法是這部分的職能是下發到某一個部門,或職能駕駛部,由他們找分別不同的供應商去設計不同的軟件。沒有一個人總協調,每一個人站在汽車設計的角度考慮整個軟件架構是怎么樣的。
1億多行軟件,前面所有的軟件都是一家軟件,只有汽車這1億多行軟件什么軟件都有,發動機控制是一家,ABS是一家,娛樂系統是一家,車窗控制是一家,所有都是不同的,這里面一定有問題。不可能一千多個人工作,各自干各自的,雖然都符合接口標準,但是這里一定有大量的問題出來。現在所有汽車行業都在這么做,沒有辦法。
主持人:您剛才演講中也提到北汽的做法,即閉環的安全性。您在中間會加一個中間件,這個問題比較細節,智能汽車可能對實時性要求比較高,這時候要執行剎車,中間件會不會對效率方面有影響?
榮輝:不會,這個叫中間件也不完全合適,相當于一個防火墻,當然不只是防火墻的任務,要把底層操作和上面要給大家公開的接口隔開,一定要有這么一個東西,一方面保障安全,另一方面對我自己的系統維護也很好,很有可能換了操作系統你都不知道,或者操作系統升級了,你都不需要關心,而且很多跟安全直接相關的東西是放在底下做邏輯判斷、做執行。
比如在120公里時速時,你要采取緊急剎車,一定得滿足某些條件,這些條件不靠外界給,不達到這些條件時,緊急剎車剎不住,不能允許別人控制住,或者在某些條件不滿足的時候,車速就不能提起來。這些邏輯判斷和基礎放在這里面,靠中間一堵墻把別人隔絕在外面。
薛瑋:智能的gateway。
榮輝:但是有中間件的很多功能,接口、對外開放的標準協議,我一直沒有想到特別好的名字,希望軟件公司真正加入我們這個團隊里面來一塊做這個事情。
主持人:您最后這句話是否表明汽車廠商,尤其北汽在智能汽車安全方面,尤其是軟件更新和升級方面,我們更愿意跟第三方去合作來做?
榮輝:在北汽傳統企業里招100個汽車設計工程師是很容易得到批準的,但是招100個維護大數據的就比較難。
主持人:未來有沒有可能對類似于特斯拉這種智能汽車實現大面積破壞性的入侵?
薛瑋:首先目前是沒有,這是肯定的。但是未來一定有這個可能性。在安全界里面有一種攻擊叫做APT(高級可持續攻擊),一般用于國家對國家的攻擊,就像普京找人去盜取希拉里的郵件等等,可能就是用各種各樣的手段加入APT攻擊。
一旦成為一個不法分子、一個黑客目標以后,他可以動用我們后面黑色的產業鏈去用高額的金錢買到很多的漏洞,有這個可能性,假如一位重要的國家領導人乘坐有聯網功能的智能汽車,這種高級可持續的攻擊就可能會造成一定損害。
2015年,吉普自由光就有一次這樣的攻擊,由于吉普車的網絡用了美國一個sprit網絡,有一個6667端口敞開著,任何一個黑客只要用一個安全界工具掃描它的端口,就可以知道某一個6667端口對應著一輛吉普自由光的汽車,如果這些漏洞落到黑色產業鏈黑客手里,就可能造成非常大面積的入侵。
主持人:所以從技術層面上來講是有可能實現大面積入侵的?
薛瑋:對,完全有可能。我們反觀當時吉普自由光技術層面,科恩團隊并不認為技術非常高,但是用了很多安全策略上的漏洞,人為設計上的漏洞,導致整個安全的入侵。
主持人:通過科恩對于特斯拉這次善意的入侵,您的演講中也提到特斯拉在安全方面做得不錯,如何評價特斯拉安全防范體系?如何評價傳統車廠的安全體系?
薛瑋:我們從這個入口看,很多互聯網公司的思維就是有獎金計劃,就是你幫助我去研究軟件漏洞,我給予這些安全研究員一定的回報。特斯拉明顯就是在做這件事情,但是我們沒有看到其他的車企有類似的舉動。
從管理層面認為信息安全到了非常高優先級的東西,從接口上就設計了給外部信息安全人員進入的接口,這是底層上的設計。我們還看到完善的應急響應系統非常清晰地流程,也非常快,十天就把安全更新已經做出來了。
對于現在汽車行業來說,可能已經是一個非常高的世界紀錄了,很難被打破,因為這十天里面還要測試安全的補丁會不會造成新的安全問題,會不會造成新的安全功能上的問題等等,我覺得現在的車廠這部分給到這個供應商來開發,那部分給到另外一個供應商來開發,僅是供應商之間的協調就要走很長時間。
主持人:時帥和朱所長兩位跟汽車廠商有過一些接觸,在現在智能汽車受到威脅大的環境之下,兩位所接觸的汽車廠商有沒有一些態度上的轉變,或者把整個智能汽車安全的重視程度會提的更高?
時帥:車跟別的產品不一樣,哪怕這個公司的做法再激進,一定會把這個車本身所需要的安全性放第一位。我們一直拿特斯拉做例子和標桿,為什么只有特斯拉一家用了松下的1865我原包電池?
因為松下認為它的BMS管理系統可以Hold住7000節電池在車上的表現,不會用更少其他品牌電池帶來更多在BMS方面的隱患,BMS是電動車的靈魂,就像發動機、變速箱ECU是發動機的靈魂。
主機廠如何把安全跟現在一些互聯做平衡?要分主機廠的類別,我們把主機廠分為六個類別,榮總一番演講已經印證了我們這個假設,像北汽、長安、奇瑞等領先國內的自主品牌的態度非常開放,而且他們對互聯駕駛和智能汽車態度也是非常開放和包容的,這一點是很大機會的所在。
跟他們一樣,對整個技術的先進性走在前列的是創新型的互聯網造車公司,比如特斯拉、樂視等等。還有一部分是量產占據目前主導市場的傳統合資品牌,這些企業由于產能、銷量、車型模式已經運行了一百多年,所以不可能特別快地去進行轉型,不像中國會尋求各種方法進行彎道超車,他們會防著我們,他們更多在傳統領域做扎實。
還有一部分是相對比較封閉,但是技術領先性極高,像奧迪、奔馳、寶馬這種企業,得益于他們非常緊密的供應商的關系。還有法拉力、保時捷,目前主要是在追求內飾的奢華、極致的駕駛等等。
最后一部分未來可能會被行業所整合掉或者優勝劣汰掉的部分,就是產能、技術能力不怎么領先的中國的一些落后的自主品牌。 所以不同類別的OEM會對這兩個天平的砝碼有不同的擺法。
朱西產:傳統的汽車企業現在還是只關注功能安全,比如軟件代碼的缺陷問題,現在傳統汽車企業已經很重視了,但是對信息安全的問題,傳統的汽車企業采用的是封閉的電子構架,封閉掉。
軟件更新必須通過4S店,必須是授權的診斷儀才可以實施,采用這樣一種方式。當然采用這種方式有基礎條件,即所有傳統汽車企業都有一個龐大的4S店體系,現在先進的車軟件產生的缺陷引發的安全隱患越來越多,很多汽車召回的措施就是重新刷一下軟件。
傳統汽車廠現在采用封閉的電子構架,把電子構架能夠接觸到軟件方面控制在自己的體系內,4S店體系還是汽車廠的一個延伸,特斯拉并沒有4S店,現在在中國只有6個城市有一個總店,還不負責維修,也不負責銷售,只是體驗。
所有的事情都在網上進行。傳統汽車廠理論上還不存在信息安全問題,因為采用封閉的方式。像科恩這種攻擊方式對傳統汽車廠是不具備的,因為不能去改寫它的軟件,可能還是從一個地方進去,獲得權利,改寫一部分軟件,獲得更高權利,再改寫一部分軟件,走到一步一步能控制它的底盤。
但是現在在深度互聯的時候,如果這種電子構架不開放的話,用戶體驗就不行,傳統汽車廠現在逐步在放開,可能現在放開了娛樂導航系統,再進一步有些企業放開車身控制系統,像空調,也可能給車門、車窗開放了。
夏天開門,一股熱氣,甚至手摸到座椅上都是發燙的,現在把空調交給手機,逐漸逐漸在開放。但是汽車廠有些功能實施時也不得不把底盤控制交給手機,比如有些企業提出泊車,用手機控制的自動泊車能夠解決比較窄小車位的停車問題,這個功能的實現就要把底盤的控制交給手機。
但是傳統汽車廠到現在為止刷寫在幾十個控制單元里面的軟件還沒有一家開放到能夠像特斯拉那樣,讓網絡進行更新的程度。
互聯網企業這種開發方式現在也在討論是否合適,科恩的改進措施是先放出去,改進軟件出來以后,先更新5%,再看看怎么樣,然后再更新百分之多少,再看看怎么樣,是這種迭代的方式。
在汽車行業里面,尤其涉及安全是不敢這樣做的,一版就要把通過認證是安全的東西一次到位,通過驗證以后才推給用戶。所以特斯拉也有遭受口水的地方,就是以他的用戶當實驗員,這在汽車行業是不允許的,用戶是上帝,尤其涉及到安全。
互聯網,APP上線速度非常快,先上線,然后看怎么樣,快速迭代,迅速反應,這是互聯網的能力。但到汽車,尤其涉及到安全性,這種快速迭代嚴格來說是不允許的。
未來的汽車在這方面,互聯網的快速迭代和汽車行業的封閉,這兩條路徑都存在問題,到底有沒有更好的辦法。
主持人:朱所長提到原來傳統車廠還是封閉的狀態,但是目前隨著用戶對于信息的需求,對于生活習慣的改變,可能汽車廠商也面臨生態系統要逐步開放。
朱西產:這些車內電子構架如果不開放給互聯網的話,高等級的智能和高等級的互聯就沒法實現,影響到功能的實現,影響到用戶體驗了。
主持人:所以這個趨勢肯定是必然的。最后請四位嘉賓從各自角度站在各自不同角色上,對于未來智能汽車以及智能汽車安全做一個預測,或您所認為的趨勢到底是什么樣的?
榮輝:新的汽車模式以及新的汽車使用模式已經給傳統的汽車廠帶來了很大的壓力,我們如果不改變,可能我們就會消失。所以我們的董事長在兩年前就說:我們要從制造業向服務業轉;如果我們不努力的話,很有可能淪落為互聯網公司了代工廠。
所以盡管面臨著巨大的壓力,也有不少后進入這個行業的一些挑戰者,但是我仍然認為只要我們能夠率先改變、認清道路,我們還是會贏的。
主持人:科恩,從安全角度來講,會不會明年、后年發生越來越多的安全事件,或整個智能汽車安全會不會隨著智能汽車的功能,呈一個指數性增長?
薛瑋:由于汽車越來越互聯,我相信被攻擊的概率是越來越大。我們在業界看到很多商家都已經把很多支付、社交等漸漸想推到汽車上,更多的互聯網元素的進入就會更加引起黑客的注意,所以我認為這一定會是一個上升的趨勢。
主持人:羅蘭貝格時帥還有朱所長,兩位從產業鏈角度給我們分析一下未來智能汽車安全的發展趨勢。
時帥:我認為從產業鏈角度來講,未來這個產業鏈一定是一個非線性的;從供應鏈角度來講,傳統二級到一級,到整車廠這個模式一定會發生改變,這個改變已經在很久之前,從汽車照明LED燈以及燈的控制階段已經發生一些改變。
一些互聯網公司或創新型企業會營造一個扁平的供應模式,不再存在所謂的TL1或TL2,會和整車廠一起研發。誰會勝出、誰會失敗,如果不做改變,如果不把自己的DNA進行優化,一定會失敗,但是做了,不一定能成功。
未來有這么幾類玩家可能會脫穎而出,全新的創新以軟件為主的公司,這些公司可能包括專門主攻汽車網絡安全的公司,如來自一家以色列的公司,還有一家全球供應商巨頭,以軟件為主的。剩下一類公司是積極改變應對的主機廠,比如北汽,比如在全球方面領先的主機廠,只要他們肯進行改變,肯定會適應未來格局。
朱西產:智能網聯汽車必然是互聯網行業和汽車行業的組合體,在產業鏈里,未來可能更多產生互聯網企業和汽車企業的合資公司,就像iX5的推出,它的信息系統是上汽和阿里的合資公司來做。如果傳統汽車廠為主,把互聯網企業作為一個傳統汽車產業的供應商,可能互聯網產業不肯扮演這個角色。
如果互聯網企業過于強勢,認為傳統汽車廠太保守、太落后,要革它的命,跟手機不一樣,汽車還有安全問題,汽車畢竟非常復雜。互聯網企業想把汽車廠變成富士康汽車廠,好像也沒有那么容易。互聯網+汽車怎么+?更多是合資的模式,認真做下來討論。
汽車既然已經有1億多條代碼,這么復雜的軟件系統一定要有軟件構架師,以及整個軟件開發的流程。
這個軟件開發流程和信息安全解決的技術路線既不能像汽車廠一樣封閉了之,也不能像互聯網行業一樣,把用戶當實驗員,就是發現bug然后再快速迭代,根據用戶的反饋來修改bug。
因為很多這種缺陷都涉及安全,涉及安全性的東西,現在手機APP的開發方式、快速迭代方法是有問題的,無論在道德上還是在產品責任上、現有法規上,都是行不通的。
所以互聯網行業和汽車行業誰都不可能把對方放在一個比較低的位置而強調自己的一種方式,所以可能要以合資公司的方式認真討論出來一條新的途徑。
主持人:總結來說,智能汽車安全問題現在非常嚴峻,這是我們直面的一些問題,必須要解決。但同時也會有很多機遇,類似于科恩這種新的安全的團隊會加入到整個汽車行業當中來,也會有一些新的玩家脫穎而出。
從我個人來看,今年和去年相比,從主機廠層面,比如北汽這種國內非常一線的主機廠的做法會更加主動,未來智能汽車安全領域還真的會有很多機遇和挑戰。
謝謝幾位嘉賓,由于時間關系,圓桌環節到此結束。