清华大学黄永峰:TEE可以解决车联网数据安全问题

去年中国安全产业峰会暨首届交通安全产业论坛,来自清华大学电子工程系、信息科学与技术国家实验室的黄永峰教授,针对车联网信息安全,带来了自己对于“挑战与思考”的一些看法。

黄永峰:大家好。我本人是做互联网安全的,去年,教育部和中国移动成立了一个车联网的联合实验室,我就在实验室负责车联网信息安全这一块的研究工作。在这将近一年的研究过程中,对车联网的信息安全研究遇到了一些问题,我给它取名叫挑战;还有一些没明白的问题,我把它叫思考。所以我今天演讲的题目是《车联网信息安全的挑战和思考》。

车联网信息安全挑战

第一个先介绍车联网信息安全的挑战,上午有很多专家已经从不同的角度和层面介绍了车联网信息安全的一些问题。我希望这次引入一个车联网信息安全目前最大的挑战,我认为就是数据安全的问题。所以在报告中重点讲一下我对车联网数据安全的浅薄思考。

什么叫车联网?我也查了一些资料,好像目前没有一个很统一的概念。去年在申请联合实验室的时候,对车联网的定义是:采用物联网技术来获取车辆的运行状态信息,驾驶员的行为信息和周边的道路信息。

所以第一个层面:车联网是信息的采集;第二,是采用移动互联网来实现车与车之间,车与人之间,车与路之间的信息互通和协同,所以是要实现信息的互通和协同;第三,车联网主要功能是采用大数据的智能分析技术,来实现数据的处理和决策,这是车联网的基本定义。车之所以要联网的根本目标是实现车、路、人之间数据的高效感知、智能分析和安全共享三个层面。

上面是车联网概念内涵,下面分析一下车联网概念的外延。我们对智能汽车有一个很好的比喻。什么是智能汽车呢?是具有4个轮子的“电脑”,因此,我们可以将车联网称之为:高速移动的信息系统。为什么要这样理解这个概念呢?车联网是把智能汽车,通过互联网技术对路边设施信息进行感知、互通和协同共治,并且进行大数据的挖掘,从而提供智能决策的这一套复杂的信息系统。而且这一套信息系统是在高速运转的道路上运行的,所以我理解它是一个高速移动的互联信息系统。

整个车联网除了有车辆、机械等等各个学科的一些关键技术之外,还有跟我们信息学科密切相关的四大技术。第一个是信息安全,第二个是大数据的人工智能,第三个是物联网技术,第四个是移动互联网技术。正因为这样,我们在去年成立联合实验室的时候,除了汽车系、机械系等学科的老师之外,也有很多的信息学科研究团队加入到车联网实验室。

车联网信息安全的挑战

关于车联网发展的趋势就不细说了。这几年,车联网的需求从2015年的状态,到2020年的预测,都可以看出车联网产业将会巨大发展。作为学科建设,现在高校和研究院所也都在进行车联网相关的研究。作为这样一个高速移动的复杂的信息系统,它的安全问题这几年也得到了大家的高度重视。

这是我们从2013年到2016年对国际上已经公开报道的一些有关智能汽车或者是车联网的正式报道的一些跟信息安全相关的事件的梳理。从这里可以看出,这些安全事件的爆发程度以及危害程度远远不亚于当前互联网安全事件。车联网为什么也会出现高度危害的信息安全事件呢?我们从三个方面来分析。

首先,车联网主要联结智能汽车,智能汽车上有大量的车载电脑。有资料报道:作为一个智能汽车,它的车载智能设备不小于100台,整个程序代码不小于5000万行,整个智能驾驶代码将会有2亿多行。

第二,车联网要联网的话,首先要有车内网络,它要通过各种无线的方式接入到其他相关的设备或互联网,所以它存在有无线接入互联网的相关安全问题。

第三,一旦接入到互联网之后,互联网原有的安全问题可以派生到这些车联网系统。而且互联网安全问题在高速移动的信息系统中,它的危害性也会进一步扩大。刚才说到车联网的第三个目标是依靠对大数据的采集,采用人工智能和大数据的挖掘技术,通过决策,来代理人对机械控制的部分功能。但是靠软件、靠电脑来代替人对机械化的控制,这本身风险本身就会增大。

通过对车联网特点的分析,再对比互联网的信息安全,我们可以将车联网安全问题归纳为如下三个方面:

一是车联网的高动态性会使得攻击行为更难以检测和发现。对于汽车来说,它的无线组织组成的拓扑结构具有高动态性;而对于互联网来说,很多设备是静止的,位置是固定的,即使是移动互联网,它移动的速度也比车慢的多,而车移动的速度往往高于一般移动互联网的速度,所以它的拓扑结构改变会更快。

第二,车在联网的时候,都会颁发一个数字证书,数字准确的频率会更快,所以它也会有更高的动态性。

第三是无线传输效率跟运行速度是有相关性的,在高速移动的行为模式下,效率也会受到高动态性的影响。

车联网由于它整个车辆本身的特点,使得它成为各种攻击目标的重要性会变得更大。一是车本身的经济价值和附加价值要比一般的互联网连接设备重要性更大;二是车辆发生危害的社会影响和危害程度比互联网更大;三是开放性使得车联网的攻击方式比互联网更多。

车联网的开放性体现为:(1)它是在用无线接入信道,在无线高动态的信道环境下,被攻击的可能性会更大。(2)车联网联网之后,要使数据共享,那么它的数据开放性会更大;(3)它的服务面向用户也会更开放。正因为存在这些特点,我们认为车联网的安全风险比我们已经成熟的互联网的风险会更大。

车联网信息安全攻击类型

下面分析一下车联网信息安全的攻击类型,我们从两个角度进行分类。首先从攻击方式来说,它存在于智能终端的攻击模式。像宝马汽车的Connected Drive模块已经暴露有两种风险,也有最新的研究成果称这个模块存在六种漏洞。第二个是互联网络攻击,比如像360破解了比亚迪汽车云服务。第三个是无线接入的攻击方式,刚才说过只要在无线的情况下,攻击的可能性就会更大。第四种情况是直接安全攻击,通过靠汽车本身的接口,直接攻击到汽车的某些控制系统,像JEEP目前报道的两种攻击事件,就是直接通过汽车接口攻击的情况。

如果站在攻击者本身来分析,一般分为4类攻击者:

驾驶员攻击者。一个最典型的场景是,车一旦联网以后,如果要对某些道路和其他的资源进行独占的话,这时候驾驶员可能会发出一些虚假的信息。举个典型的例子,在不堵车的情况下,如果我现在在四环上发布“四环很拥挤”的信息,这样就可以强占四环道路资源,这是一种情况;

第二种情况是恶作剧者,有一些所谓黑客的业余爱好者,他可能利用汽车的某些漏洞或者用无线接入的监听模式来对汽车的漏洞进行攻击,从而来实现自己的某些目标;

第三种情况可能是一些车联网的权威单位和管理部门的工作人员可能会对一些数据本身进行攻击。打个比方来说,如果交通部门要对一个交通事故的信息进行更改或者保险部门要对某一个内部数据进行更改,以获取某些利益的话,它也可能成为一个攻击者;

第四种情况危害更大,就是一些恶意攻击者。如果他要制造一些恐怖行为的话,它就可以利用车联网的危害性造成社会影响,而这些都可能成为车联网的攻击者。

另外,我们把车联网的整个信息安全分为四个层面:

第一个是系统安全,不管是车载终端还是车载的主机,本身都存在硬件和软件系统的安全问题。结合这些安全问题,目前我们采用传统的信息安全方法,可能使用身份鉴别、访问控制、安全审计、预行防范以及恶意代码检测等手段。

第二个是应用安全,车载终端的一些应用系统也存在漏洞,只要有代码的地方就存在漏洞。这些所采用的安全手段跟我们主机系统安全方式类似。

第三,联网的地方就存在网络安全问题,而且互联网本身的安全问题,在车联网的环境下,它的危害程度和安全风险会进一步放大。

我们认为,除了这三方面的安全风险之外,车一旦联网之后,根据车联网的数据采集、智能分析和决策控制这三个层面,它面临的最大问题就是数据安全。如果要实现数据的互通、数据的共享,特别是要实现这些决策控制的话,如何保证数据的安全是整个车联网最具有挑战性的问题。当然数据安全问题除了传统的解决技术,例如像身份认证、访问控制之外,还有两个典型的问题是如何对数据的可靠性进行验证,以及对数据的隐私进行保护。

为什么说数据安全是车联网最典型和最大的问题呢?对于信息系统的系统安全和应用安全,现在都有一些传统的解决方案,从某种程度上能够很好的解决。打个比方说,我通过TEE这个可信执行环境,在采用相关可靠操作系统和安全的硬件支持下,就能够对主机系统和终端的安全问题。相应的说,数据安全目前没有一个很成熟的解决方案,所以下面重点介绍一下我们对车联网的数据安全的一些思考。

云计算+区块链的车联网数据安全模型

车联网的数据安全,主要体现在五个方面。

一是车联网数据的访问控制和认证问题,二是车联网数据在分享过程中的一些信任问题,三是车联网共享中的安全保护问题,四是车厂数据汇聚成为一个数据中心时,将产生的数据存储安全保护问题,五是车辆数据在采集中的隐私泄露问题。这些数据问题的安全最终归为两个核心问题,一个是隐私,一个是可靠性。而且对于车联网本身来说,它的数据安全问题可以归结为一个根本问题就是:数据隐私保护和数据可靠性这一对矛盾的问题。

首先,车联网的隐私比移动互联网的隐私问题更突出。利用车的一些相关信息很容易跟踪到车的行踪、位置和它的用户ID等等。如何保护用户的隐私是车联网安全的一个首要问题,但是一旦形成隐私保护,在匿名和相关方法保护隐私的同时,也会带来另外一个问题,就是数据的可靠性。用户一旦保护隐私或匿名之后,在对他的真实身份不了解的情况下,他就可能会发布虚假信息。一旦发布了虚假信息之后,对整个车联网的安全会带来极大的隐患,所以如何解决隐私和数据可靠性是整个车联网数据安全最大的矛盾问题。

目前对车联网数据的安全保护也有各种模型和方法,根据我们在这两年的研究过程中,提出了一种面向车联网数据安全保护的基本模型,这个模型就是把现在大家所听说的区块链技术和云计算技术融合起来,构建车联网模型。

这个基本思想是说,把整个车联网的某些跟安全密切相关的功能和数据放到区块链上面,对传统的一些相对来说重要性不是很高的数据放到云计算上面,利用云计算大量的存储资源保护这些数据。第二方面,把一些重要复杂的计算通过云计算来完成。这样靠区块链和云计算两个核心技术之下,再通过融合机制来对车联网的数据进行安全的保护。

首先为什么使用云计算技术,由于时间关系不细说,因为现在车联网很多模型都是利用云计算,利用云计算的存储和高度计算的效率来解决车联网的一些问题。

我们重点说一下为什么要采用区块链技术。区块链是大家在这一年来通过各种场合经常能听到的一个名词。区块链的特点体现在三个方面:第一个是它底层的P2P网络加上加密和Hash技术来解决数据的不可纂改性和数据删除等问题。第二,它产生比特币这样电子交易的应用,就具有电子货币的在线交易特点。第三,是它能够把一些生活中的合约问题变成代码形成智能合约,能够实现交易中的合约自动执行。基于这三个特点,我们在车联网的优势中,对某一些单独通过云计算解决不了的问题,就可以通过区块链解决。

第一种情况,针对我们在车联网中不可篡改的信息,像交通事故的现场信息,某一些违章的信息。这些信息如果一旦呈现在区块链里,就会实现证据的固化,这是区块链的不可篡改性

然后第二是匿名信息,刚才说到车联网在入网注册的时候肯定要匿名,要保护他的隐私,但是匿名情况下,要进行一些信息追索和溯源的时候就必须要找到他的真实身份。这时就可以利用区块链的溯源机制,把他的匿名身份变成真实身份。

第三是他具有货币交易和智能合约的功能,车联网发展之后,很多像保险合同、汽车商店等等这些交易,会通过车联网的智能合约和电子货币机制来实现,从而实现交易的便利性。

当然,车联网在使用区块链技术实现的时候,也存在一些不可解决的挑战问题,像资源受限、传输延迟等等这些问题,那么这些问题就会通过相应的云计算机制来实现。

这是我们初步提出的一个融合云计算和区块链的车联网分层体系结构。把它分为三个层面,上面是物理层,是我们所说的车联网所连接的车辆、道路,以及服务提供商等等。然后是在云计算和区块链两个平台的支撑下,完成车联网一些传统的和新兴的业务。

通过融合机制基本上能够解决车联网两个很大的问题:一个是访问控制的问题。我们刚才说车联网最大的问题是数据的安全,在区块链和云计算的融合下,就能够实现数据的分级控制问题,通过应用级别和应用场景,可以利用区块链和云计算不同的访问控制机制,来实现不同级别的访问控制方法。

第二个是可以利用云计算和区块链的融合,对数据进行分类存储。也就是说,对一些类似交通事故这样不可篡改、需要固化的数据,就可以放在区块链上;对某一些大量的、原始的数据,归档的数据,就可以放在云计算里,而且可以把云计算里面原始的数据,逐渐抽象为某些meda data ,把这些的meta data 等重要的源数据也放在区块链上面,这样在整个融合体系下,就可以对整个车联网实现数据的分类管理。好,这是我的基本报告,谢谢大家!(全文资料来自于网络)