伴隨著5G的到來，自動駕駛汽車可能是5G技術(shù)最早落地的一個應(yīng)用，相應(yīng)的5G時代意味著物與物的連接更多，將加劇自動駕駛信息安全的復(fù)雜性，從而增加受攻擊的范圍，導(dǎo)致黑客尋找漏洞的成功率更高，系統(tǒng)的安全系數(shù)會變低。

智能網(wǎng)聯(lián)時代，汽車安全面臨的挑戰(zhàn)是什么？7月31日，騰訊第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會上騰訊安全科恩實(shí)驗(yàn)室總監(jiān)呂一平進(jìn)行了關(guān)于智能網(wǎng)絡(luò)時代下重新定義汽車安全的主題演講，詳解騰訊眼中的汽車安全觀及方法論。

以下為呂一平演講全文，雷鋒網(wǎng)新智駕在不改變原意的基礎(chǔ)上進(jìn)行了編輯：

騰訊科恩實(shí)驗(yàn)室過去幾年在智能網(wǎng)聯(lián)汽車領(lǐng)域做了非常多的研究工作。今天會議主題是大交通，如剛剛講到航空、高鐵、智能網(wǎng)聯(lián)汽車幾大領(lǐng)域中，過去大家可能更關(guān)注的是功能安全。其實(shí)安全對應(yīng)中文是一個詞，但對應(yīng)英文是兩個詞“safety”和“security”。兩個安全定義完全不一樣。

“safety”，代表汽車領(lǐng)域里被動安全；氣囊、保險(xiǎn)蓋、保險(xiǎn)帶，是功能服務(wù)范疇；在聯(lián)網(wǎng)以前其同信息安全完全沒有交集，但聯(lián)網(wǎng)以后兩者產(chǎn)生了交集，而且產(chǎn)生了影響?？贫鬟^去幾年同行業(yè)的合作充分證明一點(diǎn)，信息安全可以引發(fā)功能安全問題，即security問題可以引發(fā)safety問題。

汽車進(jìn)入智能網(wǎng)聯(lián)時代以后帶來了新技術(shù)。從數(shù)據(jù)采集到融合，到控制執(zhí)行，到汽車傳統(tǒng)控制主線。相當(dāng)多新技術(shù)引入以后，信息安全和功能安全相互融合。所以未來在考慮智能網(wǎng)聯(lián)汽車安全時要考慮大安全概念，而不僅僅是功能安全概念。這個概念在鐵路和航空領(lǐng)域也同樣適用。

機(jī)場大量物聯(lián)設(shè)備接入，各種各樣智能化系統(tǒng)、信息化系統(tǒng)接入，與用戶有很多交互，這是暴露出來的潛在攻擊面。包括鐵路也一樣，很多物聯(lián)設(shè)備引入后，也會帶來很多安全問題。

最近四年（2016-2019年），在國際范圍內(nèi)比較有影響力的智能網(wǎng)聯(lián)汽車研究都是騰訊科恩實(shí)驗(yàn)室做的，2018年針對寶馬系列車型的網(wǎng)聯(lián)安全，和2019年針對特斯拉自動駕駛的安全。

從車端到TSP，現(xiàn)在有越來越多汽車通過手機(jī)APP進(jìn)行遠(yuǎn)程車控、車輛信息同步。同鐵路一樣，很多相關(guān)信息都會在手機(jī)端進(jìn)行同步，總體來講形成了一個非常復(fù)雜的技術(shù)架構(gòu)。車端本身就已經(jīng)很復(fù)雜了，增加大量網(wǎng)聯(lián)模塊，如娛樂系統(tǒng)現(xiàn)在是聯(lián)網(wǎng)的。車載通訊模塊，大量接口，如藍(lán)牙、WiFi、USB、3G/4G網(wǎng)絡(luò)等都是通過物理接觸式、近場通訊、長距通訊，各種各樣的信道都成為入侵入口。

大量互聯(lián)網(wǎng)服務(wù)平臺或面向公共服務(wù)的平臺等越來越多的互聯(lián)網(wǎng)接入進(jìn)車，有更復(fù)雜的后臺，包括應(yīng)用端。

圖上標(biāo)的紅點(diǎn)是有可能成為攻入汽車整體系統(tǒng)的一個入口。為什么要講攻易守難？是因?yàn)楣ヒ稽c(diǎn)就可以，防守要防所有點(diǎn)。當(dāng)一個大的行業(yè)進(jìn)入到新的數(shù)字化轉(zhuǎn)型或進(jìn)行互聯(lián)網(wǎng)升級周期以后，面臨的挑戰(zhàn)也非常大。

汽車行業(yè)標(biāo)準(zhǔn)中，汽車行業(yè)原來有一個功能安全標(biāo)準(zhǔn)ISO26262。從2015年開始，國際汽車行業(yè)在做相應(yīng)信息安全標(biāo)準(zhǔn)。把兩個標(biāo)準(zhǔn)融合在一起，這是汽車行業(yè)的V字型工程模型。前面一半主要是設(shè)計(jì)和研發(fā)，后面一半主要是驗(yàn)證和測試。

從2015年開始，將信息安全和功能安全融合后，國際行業(yè)組織也把信息安全設(shè)計(jì)、研發(fā)、驗(yàn)證和測試過程融入到整個V字型工程模型里去。目前V字型模型是信息安全和功能安全整合、融合以后的模型。但目前在信息安全方面的一些實(shí)踐比較簡單，也是我們需要豐富的。

過去三/四年時間，科恩實(shí)驗(yàn)室評估超過20臺有聯(lián)網(wǎng)功能或有自動駕駛功能的整車，這些來自于不同廠商，有些是騰訊獨(dú)立研究項(xiàng)目，如特斯拉、寶馬項(xiàng)目；有一些是騰訊和廠商的合作項(xiàng)目。騰訊有一個統(tǒng)計(jì)數(shù)字：45%的問題是設(shè)計(jì)相關(guān)問題，55%問題是代碼實(shí)現(xiàn)的問題。設(shè)計(jì)的問題占比例非常高，達(dá)到45%。反觀現(xiàn)在的PC或移動，如蘋果、微軟、華為，設(shè)計(jì)層面的安全缺陷比例只有5%左右，大量問題可能是工程實(shí)現(xiàn)問題。

區(qū)別在哪兒？技術(shù)架構(gòu)上的安全缺陷很難修復(fù)，或者修復(fù)成本相當(dāng)高。舉例，汽車上通訊模塊的板子，在量產(chǎn)時調(diào)試接口就沒有封掉，如果一個研究者介入這個接口，可以直接拿到這個系統(tǒng)最高權(quán)限的。這是一個非常簡單粗暴的方法，即可快速拿到汽車非常高的權(quán)限。

這種情況怎么修復(fù)？要替換零部件、召回，所以成本很高?，F(xiàn)在國內(nèi)單臺車召回成本達(dá)上千，與騰訊合作的一些德系車企召回成本在500歐元左右，差不多為三/四千元人民幣，成本非常高。這就是大家為什么非常重視設(shè)計(jì)缺陷上的問題，因?yàn)槠囘h(yuǎn)程功能都是可以迭代。

如圖，2016、2017年騰訊研究特斯拉的過程，通過車載娛樂系統(tǒng)瀏覽器拿到了車載娛樂系統(tǒng)復(fù)雜的特斯拉中控最高權(quán)限，最后攻擊了車聯(lián)網(wǎng)關(guān)，攻入到汽車核心網(wǎng)絡(luò)，并且對車聯(lián)網(wǎng)上核心的控制單元、電子單元進(jìn)行控制。騰訊得到的比較好的認(rèn)可，目前同特斯拉在安全方面有緊密的合作。

如圖，2018年騰訊研究寶馬系列的案例：通過遠(yuǎn)程模式可以攻入到汽車，通過寶馬通訊模塊最后攻擊到網(wǎng)關(guān)，能拿到車的控制權(quán)。這個事件影響力很大。因?yàn)轵v訊研究成果基本覆蓋寶馬全系車型，當(dāng)時預(yù)估在千萬級的量級，這影響到全球范圍內(nèi)的車，包括北美、歐洲、亞太、中國地區(qū)所有有聯(lián)網(wǎng)功能的2012年以后的車都有該隱患的。所以寶馬也進(jìn)行了大量的工作進(jìn)行修復(fù)。寶馬對騰訊評價(jià)非常高。大家可以想像一下，寶馬有一套自己定義的私有化協(xié)議“NGTP”，不開放，通過騰訊的研究可以完整逆向這套協(xié)議，寶馬非常震驚。所以前者給騰訊頒發(fā)了一個集團(tuán)大獎。這也是寶馬集團(tuán)第一個數(shù)字化和IT研發(fā)技術(shù)獎。

馬斯克曾想像一個場景：自動駕駛完全引入以后，特別是高程度自動駕駛引入以后，汽車可以被黑客遙控，很多車都跑到某個島。2019年3月份該場景被證明技術(shù)上是可行的。騰訊于今年3月份發(fā)布了特斯拉Autopilot高級輔助駕駛的安全研究成果，公布了3個。

這是特斯拉架構(gòu)圖，自動駕駛決策系統(tǒng)APE技術(shù)架構(gòu)。APE到最后連接了大量核心的車聯(lián)網(wǎng)絡(luò)對車進(jìn)行控制。高級輔助駕駛以后，大量的判斷決策交給汽車和系統(tǒng)，而非人在操控，所以會和汽車的核心網(wǎng)絡(luò)、汽車的動力、轉(zhuǎn)向、油門、剎車等車輛組件進(jìn)行交互，這是非常高權(quán)限的一個架構(gòu)。

騰訊進(jìn)行了三個不同的演示，來自于兩個不同的維度。而且騰訊在2019年研究中開辟一個新的攻擊產(chǎn)品，對人工智能視覺對車的安全造成影響。

特斯拉有一個車道轉(zhuǎn)換功能。騰訊研究了算法邏輯以后，在地面上部署了幾個干擾點(diǎn)，可以導(dǎo)致這輛車駛向逆向車道。因?yàn)樘厮估詣玉{駛決策大量依靠視覺的部分，基本上圍繞車身十幾個攝像頭進(jìn)行駕駛決策，是唯一一個依靠視覺傳感器比較多的廠商。這也是視覺自動駕駛?cè)斯ぶ悄芩惴▽沟膶?shí)際案例，真正能影響到功能安全。

2016、2017年更多研究網(wǎng)聯(lián)模塊，2019年深入到了自動駕駛決策模塊，完整地控制了特斯拉自動駕駛完整模塊、決策模塊。最后的效果是騰訊可以用一個游戲手柄去控制特斯拉的駕駛。這個場景對所有特斯拉都有效，而且遙控過程不需要在車旁邊，在看不到這輛車的情況下即可進(jìn)行遙控?？梢宰C明車輛安全多么重要。

據(jù)雷鋒網(wǎng)新智駕了解，騰訊做了一些分析，發(fā)現(xiàn)未來信息安全的能力對一個車企非常重要。因?yàn)橹苯佑绊懙搅塑囕v的品牌、成本各個方面。

未來信息安全將成為智能網(wǎng)聯(lián)汽車產(chǎn)品關(guān)鍵的屬性，從功能安全，人身安全、行車安全、公共安全，包括法律要求。車上會有大量個人隱私信息，因?yàn)榛ヂ?lián)服務(wù)越來越豐富，該部分也會有一些強(qiáng)監(jiān)管的要求。目前汽車相關(guān)的黑產(chǎn)還沒有起來，但騰訊預(yù)計(jì)在未來幾年隨著智能網(wǎng)聯(lián)汽車廣泛上市，面向智能網(wǎng)聯(lián)汽車的黑產(chǎn)也會起來。

騰訊一直認(rèn)為信息安全將成為智能網(wǎng)聯(lián)汽車產(chǎn)品質(zhì)量非常關(guān)鍵的一個元素。如何建立汽車信息安全能力？從專業(yè)的團(tuán)隊(duì)引入到技術(shù)工程方法、保護(hù)機(jī)制和策略，都要快速響應(yīng)，這同航空理念非常相似。據(jù)雷鋒網(wǎng)新智駕了解，騰訊科恩實(shí)驗(yàn)室目前和20多家車廠有合作關(guān)系。在物聯(lián)安全，特別是終端安全領(lǐng)域已有深入的理解。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。