「车联网安全大会」VisualThreat 严威:车联网安全的现状、发展和机遇
GeekCar 在上海举办的车联网安全活动,让不少人都直呼:这听完之后也太烧脑了!的确,跟黑客作斗争,从来也不是一般人就能干得了的事儿。 不过,就烧脑这事儿,GeekCar 表示,平日里多烧一烧,以后就会更加好用了哦! 在防空洞里,来自美国 VisualThreat 公司的创始人兼 CEO 严威,为大家解析了车联网安全的现状、发展及机遇。 从 2010 年开始的一系列汽车遭受恶意攻击事件来看,汽车被黑的频率以及攻击的门槛之低,都让车联网安全一再成为热门话题。 「 车联网安全测试框架」 VisualThreat 为车联网安全测试勾画了一个大的框架,当汽车遭遇安全危机时,只要通过以下几个检测点进行逐一分析,就能够清晰的找到问题所在。 1.TCU(Telematics Control Unit,电子信息系统控制单元),例如:查找软件漏洞,进行硬件测试,通信协议测试等; 2. 远程云服务,例如:用户及设备认证,远程更新安全等; 3.OBD 设备,例如:OBD 移动端 App 安全测试,通信协议,CAN(Controller Area Network,控制器局域网络)信息测试等等。 「 安全软肋」 通过对一些做汽车共享的公司进行安全测试后,他们发现,遭受 DoS(Denial of Service,拒绝服务)攻击,通行口令未加密,用户认证环节薄弱以及完整的数据泄漏都是车联网安全的软肋所在。 同时,基于远程云信息服务平台的测试,检测出的主要漏洞是在用户认证环节上相对薄弱。未认证的数据通道、发送 CAN 总线信息将系统堵塞导致瘫痪、不安全的通信协议都是导致遭到攻击的主要环节。 而在 OBD 设备方面,协议的漏洞,密钥暴露以及保密性薄弱或未加密是存在极大隐患的。 最后要说到的是与汽车相关联的手机 App 端带来的威胁,实际上,77%的汽车与手机 App 之间的通讯是不安全的,多达 75%的 App 存在着严重的隐私泄露问题,而每种汽车类 App 都有 5-7 种的安全漏洞。 根据 Harman 公司的数据来看,汽车本身的云端数据服务和可接入设备种类正在不断的扩充,同时,传统的车载互联形式也有了新的发展。最近几年,硬件方面有非常明显的提升,但到 2020 年,硬件安全的技术将达到一个顶峰,而软件安全技术还需要大的跨进,并且将持续增长。 「 为你的未来备好铠甲」 车联网安全问题如此严峻,当然会有人想要来解决。 严威给出了几家大公司所做出的解决方案。德尔福把关注点主要放在了入侵网关方面,Denso 则主要是制定白名单,控制远程攻击,将可疑信息提前过滤,并且在 OBD 前端也做一个防火墙,用来认证和过滤。密歇根大学车联网实验室通过增加过滤器和 IDS(Intrusion Detection Systems,入侵检测系统),以及组合网关来进行信息的过滤。Harman 的方案是通过设立网络防火墙抵御来自手机 App 方的病毒。严威表示,IDS 是美国现有的解决方案中最为通传的法则,其实说简单点儿,就是做好监控,不管谁来都一清二楚,遇到威胁还能发出警报。 严威预测,在未来五年,车联网安全的提升将从以下几个方面推进:首先,硬件方面主要是通过设立防火墙来抵御威胁,而在软件方面则是基于 IDS 进行强化;其次,是在 SOTA( Security Over The Air,远程固件升级的安全解决方案)方面,会进行漏洞修复,增加新的安全特征;同时,FOTA(Firmware Over The Air,远程固件更新)的升级也会成为重点,让远程固件升级变得更快更简单,车主无需去 4S 店就能够为自己的汽车进行更新;最后,通过增加算法让 CAN 总线系统变得更加强大也是未来提升的方向之一。 越来越多的安全厂商将应对手机安全问题的方法应用在了汽车上,而每一个沦陷在互联网里得人都能感受到,互联之后的汽车除了它本身的属性之外,更多了一层像是架在四个轮子之上的手机的意味,所以安全法则或许确实通用。但不管怎么样,希望这层铠甲装备的更快一点,毕竟,即使是躲在「 防空洞」 里,有些事儿我们还是应对不了。
在「新汽车时代」,那些来自零部件供应商的「创新」
汽车产业在过去的一百多年来,一直在不断地创新,从设计、车身、发动机、底盘、再到内饰、安全等等方面,这些创新的「 幕后推手」 往往都是我们熟知的汽车品牌背后的供技术应商们。而近些年,汽车这在发生着「 根本性」 的变革:电动车的普及、无人驾驶技术的推广,以及互联网的发展等等,这些变革不但反映在汽车厂商的战略变革,对那些供应商来说,更是一次新的机遇或者挑战。 前一段时间的上海车展人头攒动,人们谈论的更多的是展台上绚丽的概念车和耀眼的新车,而我们更想在零配件供应商展馆寻找这些创新的「 答案」。因为和汽车厂商对于前沿技术的「 炫耀」 相比,供应商的「 低调炫耀」 要来的更加务实。 不同的主题,相同的重点 如果我们把今年上海车展几大供应商的主题列举出来,或许就能看出一些创新转变的端倪: 1. 博世:互联化、自动化、电气化 2. 德尔福:互联、安全、绿色 3. 电装:安心·安全、环境 4. 大陆:城市化、安全与健康、环境保护、个人驾乘、信息社会 各位玩家的用词不同,但笼统来看重点基本都围绕「 车联网」、「 自动驾驶」、「 电动车」 三个方面。几大传统供应商也把「 战场」 从原来的发动机技术零件、汽柴油技术,转变到了这三个方面。博世汽车与智能交通技术业务部门主席 Rolf Bulander 在上海车展博世发布会中表示,博世专门成立了智能汽车事业部,并且在过去五年中,博世汽车与智能交通技术业务年复合增长率超过 20%,达到 2014 年的 428 亿人民币;德尔福全球高级副总裁 Chris Preuss 也向 GeekCar 表示德尔福在互联、安全、绿色三个方面每年持续 35%的增长。 各自为大,争相卡位 总的来说,这种「 创新的转变」 可以总结为几部分: 1. 由新能源引发的电池、电池管理技术,以及电动车驱动系统的创新。 博世参与电气化解决方案已经有 6-8 年的时间,目前博世在苏州有 70 人团队在做锂离子电池和电池系统的研发,与两家日本企业合作研发锂离子电池。目前围绕电气化博世总共有三十个左右的项目,另外博世还提供电气化整体解决方案。在上海车展的展台上,博世展示了他们的分离式电机和同轴式电机,同时博世电池系统已经开始了下一代电池技术的研究,将电池系统的能量密度和续航里程提高一倍,将电池成本下降一半。 同时我们也可以看到,电装、大陆、马瑞利、博世等几家大供应商都有自己的整套混动及纯电动车的整套电气化系统解决方案,从电机、到逆变器、主继电器、电流传感器、电池监控单元等等,每个供应商都有自己的看家本领,例如大陆为电动车设计的轴驱电机,是一款高速励磁同步电机,无需消耗宝贵的稀土资源;再如电装在电机控制系统的核心产品行驶用逆变器,采用了抑制驱动单元温度上升的最新冷却技术,是电装从冷凝器生产中派生出来的冷却技术以及自产半导体产品与电子技术的应用。 同时,在这些供应商领域的主角之外,一些新能源技术细分市场的玩家也令我格外关注。例如均胜电子,一家名副其实的中国汽车电子供应商,对于这个名字你可能比较陌生,但如果提到宝马 i 系列你肯定不陌生,这家供应商是宝马电动车电池管理系统的唯一供应商。均胜普瑞的这款电池管理系统由电池管理单元和电信监控传感单元两部分组成,在普瑞德国总部巴德诺伊施塔特生产。 另外,还有世界最大的传动轴供应商 GKN,曾经在全中国 80%燃油车上的传动轴都是由 GKN 提供。而电动车的发展方向是轮毂电机或者轮边电机,那时或许传动轴就没有存在的意义了。但是受制于目前电池能量密度不够,无法提供瞬间非常大的启动电流,所以还是要用到变速箱。目前所谓的轮毂电机内还是有变速箱的。GKN 目前就是为保时捷 918 spyder、宝马 i8 提供电机和变速箱。 2. 由自动驾驶引发的驾驶辅助系统创新 奔驰、宝马、奥迪、沃尔沃等等几乎目前所有的主流汽车厂商,包括谷歌这种互联网公司,都在极力地通过无人驾驶向公众展示他们的前沿科技,的确,他们抢尽了风头。但其实,他们背后的技术支持来自于那些低调的供应商。在这方面做的比较突出的是德尔福、博世、电装和大陆。在上海车展德尔福的「 创新屋」 中,他们展示了他们最新的雷达和视频集成系统 RACam、侧后边雷达探测系统 RSDS、ESR 雷达等等。此外,大陆、电装、博世也分别在他们的展台展示了激光雷达、多功能摄像头、毫米波雷达等硬件设备。 如果说汽车厂商的无人驾驶是「 玩概念」,那么这些供应商的自动驾驶可是「 真刀真枪」。博世集团在今年 2 月份完成对专门从事电动转向技术开发的采埃孚转向系统公司(ZF Lenksysteme)的收购,博世称已掌握了实现完全自动驾驶所需要的各项专业技术,这都是为未来十年内实现该技术奠定了基础。TRW 天合汽车集团发布了新一代摄像头 S-cam 3,图像处理和分析能力比之前增强了 6 倍。 此外,今年年初我在拉斯维加斯 CES 上体验的德尔福与 Ottomatica 联合开发在奥迪 SQ5 上实现的全自动驾驶,就曾让我对供应商在无人驾驶方面的努力刮目相看。这次上海车展再次让我相信,供应商在无人驾驶的技术创新层面已经走的很远,并且各自都有着强大的技术积累,特别是在硬件层面。尤其是当我们翻看谷歌无人车的供应商名单时,我们会轻易地发现那些熟悉的名字。但在无人驾驶技术的推进上,供应商还是遵循车厂的规律,从驾驶辅助系统,到半自动驾驶,再到高度自动驾驶,这个节奏和谷歌这种互联网公司不同,毕竟无人驾驶还需要高精度地图以及法律法规的配合。 3. 由自动驾驶引发的车内内饰,以及 HMI 交互设计的转变 如果说无人驾驶的普及一方面引发了雷达、传感器的技术创新,那么另一方面,则是引发了汽车内饰以及 HMI 人机交互设计的创新与转变。因为无人驾驶技术的进步,逐步解放了人的双脚、双手,甚至双眼和大脑,汽车越来越像一个移动的 X 空间。说到内饰不得不提传统的汽车内饰专家江森自控,这次他们同样展示了概念展示车 ID15,这款车的内饰和座椅都针对无人驾驶进行了改进,可隐藏的方向盘、18 度侧转的座椅、多变氛围灯等等。我们可以看到出自供应商之手的无人驾驶内饰并不是天马行空胡来一通,而更多的是经过推敲的交互细节以及更精致的材料选择以及工艺。这些创新更接近目前汽车厂商的需求,并可以在下一代产品中进行部分使用。 从以上我们可以看出,各大传统供应商都有着强大的技术积累和研发团队,同时,他们了解汽车厂商的产品节奏,汽车厂商了解供应商的研发和生产能力,双方都比较默契。 在「 新汽车时代」 即将到来时,传统的供应商已经很好地完成了「 卡位」,在新的细分领域各自为大,当然,也不乏一些「 非主流」 供应商实现局部突围,但「 重新洗牌」 的可能性非常小。所以从我的角度来看,供应商并不缺乏创新,但在未来,「 创新的方向」 或许在某些方面会发生某些细微的转变,供应商会在更多的方面占据技术创新主导地位。
「车联网安全大会」博泰高颖辉:TSP 服务的安全技术展望
在我们的车联网安全活动中,博泰公司产品和项目总监高颖辉向大家分享了有关 TSP 服务安全技术展望的内容。 什么是 TSP? TSP(Telematics Service Provider)汽车远程服务提供商。在 Telematics 产业链中居于核心地位,上接汽车、车载设备制造商、网络运营商,下接内容提供商。Telematics 服务集合了位置服务、Gis 服务和通信服务等现代计算机技术,为车主和个人提供强大的服务:导航、娱乐、资讯、安防、SNS、远程保养等服务。 博泰的车联网业务已经开展了几年,在他们的产品思路中,车联网有许多的出入口,是一个系统层面的问题。单独从任何一个角度来切入车联网,创造汽车互联体验都是不全面的,所以博泰将其产品服务分为 7 个方面: 而在这一系列的闭环中,TSP 作为承担着汽车与服务商连接功能的一环,无疑是最重要的部分。在前装市场,车联网企业与整车厂寻求合作提供 TSP 目前来看是一个相对较成熟的解决方案。博泰目前已经与 10 家车厂合作提供 TSP 解决方案,同时已经有大约 2 万个 C 端的用户在使用其 TSP 平台的服务。从目前的市场情况看,由技术服务商提供软硬件来搭建 TSP 平台作为主导的模式还是较为主流的一种方案,当然,整车厂以及移动运营商都想要在这一领域占据主导。 车联网的风险与安全 从车联网这个大的话题来看,高颖辉认为安全风险点主要集中在三个方面,分别是 CAN(Controller Area Network,控制器局域网络)网络本身的风险,车载设备及嵌入式软件被侵入的风险,以及 OTA(远程更新)的风险。而这些大的风险点下面还包含着具体的风险内容,针对每个风险的存在都需要具体的解决方案。 在 TSP 后台的应用领域,高颖辉重点谈论了如何应对 OTA 安全风险的方法。OTA 技术即(Over-the-Air Technology)空中下载技术,是通过移动通信(GSM 或 CDMA)的空中接口对 SIM 卡数据及应用进行远程管理的技术。由于这一过程中包含了车辆与外界数据传输的整个流程,因此可能存在的风险较大,更需要有一个高安全性的 TSP 后台来进行数据安全的保障。 关于如何应对 OTA 风险的方案,博泰认为 PKI 技术是关键。所谓 PKI,全称是 Public Key Infrastructure,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 KPI 能提供一整套的安全基础平台,为不同安全需求的用户提供不同等级的安全服务。如身份识别与认证,数据保密性,数据完整性,不可否认性等。TSP 后台在整个 OTA 流程中承担的任务更多的就是利用 PKI 来保证数据的保密与唯一性,会对设备和数据进行筛选和过滤,从而保证不被风险入侵。 安全的话题其实怎么重视都不过分。车联网是一个系统层面的话题,TSP 作为其中一个重要环节,是必须要牢牢掌控的。但整个车联网安全还需要从软硬件的整体来入手,这样才能从根本上保证系统的严密性,这也需要各个环节的配合。
开着特斯拉,用 58 个小时横穿美国是什么体验?
就在去年夏天,来自 Edmunds.com 的专家利用特斯拉逐渐扩张的超级充电站网络,开着一辆特斯拉 Model S 完成了横跨美国东西海岸的壮举,那次他们用了 67 小时 21 分钟,创下了电动车记录。来自加州的小伙 Carl Reese 和他的朋友们觉得他们可以打破这个记录,于是也来了这么一趟。上周,他们宣布以领先 9 小时 34 分钟的成绩结束旅程。 Reese 和他的未婚妻 Deena 开着一辆红色带有贴花的 P85D 开始了穿越美国之旅,同车的还有他们的高中同学作为替换司机。与 P85D 同行的还有主角三个朋友租来的雪佛兰 Suburban 作为计时员和备用司机的乘用车。 从洛杉矶到纽约,算上充电时间,他们仅仅用了 58 小时 55 分钟,把 Edmunds 和特斯拉员工所创下的记录远远地甩在了后面。 实际上在这次的旅途中,他们打破了两项纪录。如果 Reese 所称准确无误,而且他所宣布的数据被第三方监察员监督和赞助商的 GPS 所记录,那么 Reese 团队不仅仅打破了电动车横穿美国东西海岸耗时最短的记录,还打破了「 电动车横穿美国非驾驶时间最短」 也就是最短的充电时间的记录。第二项记录是已经由吉尼斯认证的。 目前尚无权威机构来对「 电动车横穿美国耗时最短」 进行认证,但是吉尼斯世界纪录官方认证了由特斯拉员工所创下的 16 小时 31 分钟的最短充电时间记录。Edmunds 宣布其充电时间为 14 小时 40 分钟,但并未就吉尼斯纪录认证提交认证材料。(吉尼斯世界纪录官方说他们并不认证在开放道路创下的速度记录,因为他们并不想鼓励人们违反交通规则)。 Reese 的团队充电时间为 12 小时 48 分钟。他们并没有花 8000 美元来支付吉尼斯认证官的差旅费,但他们精心记录下的数据和正在努力向特斯拉官方获取的汽车内部数据能够让他们获得吉尼斯官方认证。 这次穿越美国之旅 Reese 的团队从洛杉矶市政厅出发,时间为美国西部时间 4 月 16 日 23:41。到达纽约市政厅的时间为美国东部时间 4 月 19 日 13:36。 Reese 团队的路线几乎是沿着二十多个不同充电站所组成的直线,只有在特斯拉充电和给 Suburban 加油的时候小憩。何时停车,充多少电,都是严格计划的;充电和停车次数都作了详细的记录。 他们曾雨雪交加,在 Suburban 车后纳斯卡赛车般地紧紧跟车,在犹他州沙漠里车速飙上三位数(英里/小时),在车流中开辟道路,在充电计划错误造成的返程中不断前进。与此同时,他们还必须面对长时间驾驶所带来的身体的疲倦。 Reese 或许能告诉你这一路到底有多累,但得让他先睡会。 「 斗志昂扬,精疲力竭,」Reese 这周早些时候对 Jalopnik 如是说。「 每个人都精疲力竭了,但我必须在早上像迎接圣诞节一样开开心心地醒来。」 电动车极速之旅的背后 「 要了解这一切你必须认识一下 Carl,」Reese 的好兄弟,本次旅途的备用司机 Rodney Hawk 说,「 他总是想去干平常人做不到的事情,」。如果他一旦想去做一些疯狂的事情,就会叫上这位来自宾夕法尼亚的美军老兵。 作为一个承包商和绿色家居装修老板,Reese 实在是从小就有机械头脑。他的爷爷和父亲拥有一家加油站,在那里他从小就可以亲自动手修车。后来他的父亲买下了 22 英亩的废车场——车迷的天堂。 Reese 和 Mastracci 去年买下了第一辆特斯拉 Model S P85。在这之前他们一直开一辆涡轮增压的路虎和一辆老式道奇 Durango,光油费每辆车花了 1000 多刀。在认真算了一笔账之后,他们决定买一辆特斯拉。目前这辆车已经跑了 13000 多英里,在一月份他们购买了 P85D。(Reese 也设计了特斯拉零件网站。)穿越美国之旅很快就提上了日程。Reese 在 2011 年就进行了一次穿越之旅——2011 Cannonbal Run。Cannonball Run 以开车从东海岸到西海岸所著名,他上次开了一辆加装了 26 加仑油箱的路虎。在 Edmunds 创下纪录后,他就一直想进行一次电动车版本的穿越之旅。 长途驾驶一直是电动车必须面对的问题。这就是一个先有鸡还是先有蛋的问题:人们在没有充足的充电站来缓解忧虑之前不会去买电动车,在路上没有电动车需要充电时没有人会去建充电站。 为了缓解这样的矛盾,特斯拉公司在 2013 年就开始在全国范围内组建超级充电站网络,当然充电还是免费的。特斯拉声称超级充电站可以在 20 分钟内给 P85D 充电 … 继续阅读