黄永峰打造区块链与云计算相的车联网安全体

　　2017年6月21日-22日，由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。来自清华大学电子工程系、信息科学与技术国家实验室的黄永峰教授，针对车联信息安全，带来了自己对于“挑战与思考”的一些看法。

　　以下为演讲实录：

　　黄永峰：大家好。我本人是做互联安全的，去年，教育部和中国移动成立了一个车联的联合实验室，我就在实验室负责车联信息安全这一块的研究工作。在这将近一年的研究过程中，对车联的信息安全研究遇到了一些问题，我给它取名叫挑战；还有一些没明白的问题，我把它叫思考。所以我今天演讲的题目是《车联信息安全的挑战和思考》。

　　车联信息安全挑战

　　第一个先介绍车联信息安全的挑战，上午有很多专家已经从不同的角度和层面介绍了车联信息安全的一些问题。我希望这次引入一个车联信息安全目前最大的挑战，我认为就是数据安全的问题。所以在报告中重点讲一下我对车联数据安全的浅薄思考。

　　什么叫车联？我也查了一些资料，好像目前没有一个很统一的概念。去年在申请联合实验室的时候，对车联的定义是：采用物联技术来获取车辆的运行状态信息，驾驶员的行为信息和周边的道路信息。

　　所以第一个层面：车联是信息的采集；第二，是采用移动互联来实现车与车之间，车与人之间，车与路之间的信息互通和协同，所以是要实现信息的互通和协同；第三，车联主要功能是采用大数据的智能分析技术，来实现数据的处理和决策，这是车联的基本定义。车之所以要联的根本目标是实现车、路、人之间数据的高效感知、智能分析和安全共享三个层面。

　　上面是车联概念内涵，下面分析一下车联概念的外延。我们对智能汽车有一个很好的比喻。什么是智能汽车呢？是具有4个轮子的“电脑”，因此，我们可以将车联称之为：高速移动的信息系统。为什么要这样理解这个概念呢？车联是把智能汽车，通过互联技术对路边设施信息进行感知、互通和协同共治，并且进行大数据的挖掘，从而提供智能决策的这一套复杂的信息系统。而且这一套信息系统是在高速运转的道路上运行的，所以我理解它是一个高速移动的互联信息系统。

　　整个车联除了有车辆、机械等等各个学科的一些关键技术之外，还有跟我们信息学科密切相关的四大技术。第一个是信息安全，第二个是大数据的人工智能，第三个是物联技术，第四个是移动互联技术。正因为这样，我们在去年成立联合实验室的时候，除了汽车系、机械系等学科的老师之外，也有很多的信息学科研究团队加入到车联实验室。

　　车联信息安全的挑战

　　关于车联发展的趋势就不细说了。这几年，车联的需求从2015年的状态，到2020年的预测，都可以看出车联产业将会巨大发展。作为学科建设，现在高校和研究院所也都在进行车联相关的研究。作为这样一个高速移动的复杂的信息系统，它的安全问题这几年也得到了大家的高度重视。

　　这是我们从201 年到2016年对国际上已经公开报道的一些有关智能汽车或者是车联的正式报道的一些跟信息安全相关的事件的梳理。从这里可以看出，这些安全事件的爆发程度以及危害程度远远不亚于当前互联安全事件。车联为什么也会出现高度危害的信息安全事件呢？我们从三个方面来分析。

　　首先，车联主要联结智能汽车，智能汽车上有大量的车载电脑。有资料报道：作为一个智能汽车，它的车载智能设备不小于100台，整个程序代码不小于5000万行，整个智能驾驶代码将会有2亿多行。

　　第二，车联要联的话，首先要有车内络，它要通过各种无线的方式接入到其他相关的设备或互联，所以它存在有无线接入互联的相关安全问题。

　　第三，一旦接入到互联之后，互联原有的安全问题可以派生到这些车联系统。而且互联安全问题在高速移动的信息系统中，它的危害性也会进一步扩大。刚才说到车联的第三个目标是依靠对大数据的采集，采用人工智能和大数据的挖掘技术，通过决策，来代理人对机械控制的部分功能。但是靠软件、靠电脑来代替人对机械化的控制，这本身风险本身就会增大。

　　通过对车联特点的分析，再对比互联的信息安全，我们可以将车联安全问题归纳为如下三个方面：

　　一是车联的高动态性会使得攻击行为更难以检测和发现。对于汽车来说，它的无线组织组成的拓扑结构具有高动态性；而对于互联来说，很多设备是静止的，位置是固定的，即使是移动互联，它移动的速度也比车慢的多，而车移动的速度往往高于一般移动互联的速度，所以它的拓扑结构改变会更快。

　　第二，车在联的时候，都会颁发一个数字证书，数字准确的频率会更快，所以它也会有更高的动态性。

　　第三是无线传输效率跟运行速度是有相关性的，在高速移动的行为模式下，效率也会受到高动态性的影响。

　　车联由于它整个车辆本身的特点，使得它成为各种攻击目标的重要性会变得更大。一是车本身的经济价值和附加价值要比一般的互联连接设备重要性更大；二是车辆发生危害的社会影响和危害程度比互联更大；三是开放性使得车联的攻击方式比互联更多。

　　车联的开放性体现为：(1)它是在用无线接入信道，在无线高动态的信道环境下，被攻击的可能性会更大。(2)车联联之后，要使数据共享，那么它的数据开放性会更大；( )它的服务面向用户也会更开放。正因为存在这些特点，我们认为车联的安全风险比我们已经成熟的互联的风险会更大。

　　车联信息安全攻击类型

　　下面分析一下车联信息安全的攻击类型，我们从两个角度进行分类。首先从攻击方式来说，它存在于智能终端的攻击模式。像宝马汽车的Connected Drive模块已经暴露有两种风险，也有最新的研究成果称这个模块存在六种漏洞。第二个是互联络攻击，比如像 60破解了比亚迪汽车云服务。第三个是无线接入的攻击方式，刚才说过只要在无线的情况下，攻击的可能性就会更大。第四种情况是直接安全攻击，通过靠汽车本身的接口，直接攻击到汽车的某些控制系统，像JEEP目前报道的两种攻击事件，就是直接通过汽车接口攻击的情况。

　　如果站在攻击者本身来分析，一般分为4类攻击者：

　　驾驶员攻击者。一个最典型的场景是，车一旦联以后，如果要对某些道路和其他的资源进行独占的话，这时候驾驶员可能会发出一些虚假的信息。举个典型的例子，在不堵车的情况下，如果我现在在四环上发布“四环很拥挤”的信息，这样就可以强占四环道路资源，这是一种情况；

　　第二种情况是恶作剧者，有一些所谓黑客的业余爱好者，他可能利用汽车的某些漏洞或者用无线接入的监听模式来对汽车的漏洞进行攻击，从而来实现自己的某些目标；

　　第三种情况可能是一些车联的权威单位和管理部门的工作人员可能会对一些数据本身进行攻击。打个比方来说，如果交通部门要对一个交通事故的信息进行更改或者保险部门要对某一个内部数据进行更改，以获取某些利益的话，它也可能成为一个攻击者；

　　第四种情况危害更大，就是一些恶意攻击者。如果他要制造一些恐怖行为的话，它就可以利用车联的危害性造成社会影响，而这些都可能成为车联的攻击者。