IoT安全被提得比较多的一个例子,是电影《速度与激情8》中的僵尸车队。在电影中,恐怖分子入侵纽约街头的大量汽车,这些车都成为无人驾驶的“僵尸车”,听从黑客指挥追赶一辆载有核武器密码箱的车。这事儿看来还挺迷幻,不过当汽车当今智能化、网联化,内部结构变得越来越像超级电脑,也就必然面临安全问题。
是德科技大中华区汽车与新能源测试方案市场经理杜吉伟告诉我们:“现在最高端的车内部有1亿行代码,比Facebook整个系统、WindowsVista操作系统,甚至一架波音787飞机都还要多。”
而且汽车和计算机不同的是,汽车毕竟是关乎生命安全的产品,而不只是在遭遇安全问题后丢失数据这么单纯。“我们一直在说一句话,和魔鬼同行,而且这个魔鬼比较强大。”杜吉伟表示。那么如何解决未来汽车的信息安全问题,就成为避不开的一个话题。
前不久在上海举办的ATE(AutomotiveTestingExpo)China2019展会上,是德科技展示的汽车电子测试测量方案,除了车载以太网等测试方案以外,其中一个重点就是“汽车网络安全综合解决方案”(AutomotiveCybersecurity)。实际车载以太网就已经比较前瞻了,而汽车网络安全测试方案,在全球范围内也算是做得相当早了。
在针对汽车领域的测试解决方案,是德科技此前几年的数次收购都有标志性意义。其一是2015年8月,是德科技收购Anite,这是一家英国公司,专注于无线测试解决方案。是德科技在2015年的财报中提到,“这项收购加强了我们的无线软件设计和测试产品组合,其网络测试(NetworkTest)业务还扩张了我们服务的目标市场。”就当前汽车测试业务来看,Anite就成为是德科技无线通讯测试(如5G)的基础。ATE展会上,展示的来自scienlab的汽车新能源测试设备
其二是2017年,是德科技收购Scienlab:这是一家针对汽车OEM与Tier1厂商提供测试解决方案的德国公司。这项收购对是德科技而言,可能是当前汽车测试综合解决方案的主体和框架。Scienlab补足的是针对混合电动汽车、电动汽车的端到端解决方案,以及电池测试解决方案能力。
不过,我们认为这极有可能是是德科技着力尝试汽车安全测试服务的投资逻辑,通过这样的尝试,尤其是汽车网联化趋势热点,给予Ixia长期规划,找到稳定的盈利点——当然汽车安全测试大约也只是其中一个方向。而且如本文开头部分所述,就技术趋势来看,汽车网络安全本来也就是个迫在眉睫的问题,而是德科技迈出这一步显得相对很早。
之所以说汽车网络安全会变得很重要,重点就在网联智能车传输、处理和存储数据量的巨量推升,包括OTA在内的各类新服务的涌现,以及汽车内部结构,从功能独立ECU到多个ECU形成DCU(DomainOrientedCentralization),以及最终DCU融合让汽车成为一个超级计算机,都实实在在扩大了汽车的攻击面(attacksurface)。
在这个过程里,原有的一些通讯总线不足以满足速率和时延需求。“以前汽车数据量没有多少,但现在的车不一样了。现在很流行说无人驾驶,无人驾驶牵扯到很多技术,通讯技术就包括了车到车、车到网络、车到人、车联网(V2X)等等;其次辅助驾驶,就需要各种传感器做融合,毫米波雷达、LIDAR、摄像头;然后是人工智能、高精度导航系统的高清地图......等等。”杜吉伟表示。
“典型的数据像LIDAR,360°高分辨率图像一秒钟就有70Mb的数据流量。原有的总线速度太慢:CAN本身的速率是1Mbps,应用于动力总成的CAN-FD速率可以达到10Mbps,少数几个厂家在用的FlexRay也能达到10Mbps。但这个速度还是太慢。“所以在车内应用计算机行业常说的“以太网(Ethernet)”标准就顺其自然了。“现在的车很多都只有一个网关,只在这里采用一个以太网接口。未来汽车数据量变大,一辆汽车网关就需要十几个以太网口。”上面这张图红色部分代表以太网传输(如802.3bpRTPGE是用少于4对的信号线实现1Gbps传输),“未来的车载以太网,在不同的域,比如用于电力总成的、车体电子的、汽车辅助驾驶(ADAS)的、娱乐部分的,通过以太网汇总到网关,再通过以太网传输出去。这是未来的发展趋势。”
不过车载以太网和传统IT行业的以太网还是不一样的,汽车遭遇的环境和计算机不同,通常是不稳定、不可控的,受到温湿度、电池干扰等影响。所以汽车领域出现了包括BroadR-Reach、100Base-T1、1000Base-T1、TC8等在内的一些标准。“以前低速的总线很多没有统一的标准,以太网的好处就是将标准统一了。”这些都是技术带来的新发展,不过“速度上来了,从电子学的角度来说就会有噪声,包括无线环境和有线幻境的噪声。”杜吉伟说,“而且采用高速总线,信号稳定性、信号质量问题也需要考虑;线缆连接头还要考虑阻抗是否匹配,有没有反射、损耗、串扰;各种DCDC直流转换,电源完整性如何。”“因为速率高的时候,信号变化速率快,0到1、1到0是急剧变化的,引起电流变化,就会有压降。有了压降,下一级电路未必能开启,就会产生问题。”
“很多问题都是信号速度变快以后产生的。而且未来可能还会有10Gbps、50Gbps,谁也说不准。像谷歌的无人驾驶车,因为暂且还不打算商用,所以用的是光纤传输,速度非常快。”这些实际上是针对车联网测试的必要性原因。就网络安全之外的部分,我们简单谈一谈。
是德科技针对车载以太网的测试方案,在物理层一致性测试方面,包含发射端(transmitter)、接收端(receiver)、链路分段。
完整的链路分段一致性测试解决方案需要有电缆测试、连接器测试、通信信道测试、连接器串扰测试,以及跨越整个通信信道的串扰测试。“网分(networkanalyzer)更多时候就用在这部分。”
接收端部分,“只用一个噪声产生器就可以了。”是德科技的100Base-T1接收机一致性测试应用软件能够自动配置必需的测试设备,起到简化一致性测试的目的。“业界拥有这类方案的企业不止我们一家,但接收端的测试自动化方案,目前就只有是德科技才有。”“在硬件基础上,我们开发了一套自动化软件,不用担心仪器怎么用。针对国际标准的测试项,你只需要选定测试标准,会自动生成测试报告。报告会告诉你,测试结果和标准之间的margin,对于元器件选择可进一步节约成本。”右边这台是用于接收端的高斯噪声产生器
这次ATE展会上,是德科技展示的另一个重点就是汽车网络安全测试方案——“汽车网络安全计划”是是德科技今年7月发布的。面向OEM和Tier1厂商,结合这些下游厂商的安全布局,“在整个研发和生产过程,以及售后服务中主动防范网络攻击。”
是德科技官方资料描述中提到,“汽车行业从产品开发之初,到整个开发生命周期,以及在售后服务中都必须高度重视汽车网络安全问题。”这个认识是信息安全行业一直以来在宣导的理念(虽然很大程度上也是信息安全参与者提升营收的一种必然说辞),不过鉴于开发与安全始终是两个割裂、对立的环节,尤其开发者与安全研究人员背道而驰的工作目标,这个理念的贯彻在传统信息技术行业并不受欢迎,毕竟安全既不会立竿见影,而且还妨碍开发效率、提升整体成本。
不过近两年IoT技术的发展,对这个理念是有很大推动作用的。以往的电子设备出现安全问题,企业需要做的无非也就是更新固件,或者召回产品,最严重的是承受巨额赔偿。但IoT渗透很多生产领域以后,情况就变得十分复杂:
“不过这些厂商固有的研发架构是分开的,辅助驾驶是一波人在做,引擎是一波人在做,娱乐系统是一波人在做...每个团队都用自己的方法去测试安全问题。”
另外,汽车安全相比传统计算机行业还有自己的独特性。“它有不可避免性。”杜吉伟表示,“比如ADAS、C-V2X,这是大家都在做的,都必须走的方向。对汽车而言,不能因为害怕车载安全问题,就把一些接口ban掉,包括C-V2X、WiFi、Bluetooth、GPS;还包括OTA固件升级,路边端、云端数据交换,甚至NFC充电。这些都避不开。”
这些攻击面的敞开和多样化,的确相比传统计算机行业具有不可避免性,所以只能选择“和魔鬼同行”。所以是德科技在方案上,“我们开发了一个平台,把所有这些物理点都覆盖到。”上面这张图的右边部分即是是德科技的方案。“基于是德科技积累的经验,库中包含了很多是德科技已知攻击方式,另外将客户安全部门自己的威胁库,集成到一起。”集合白盒测试与黑盒测试,包括了各种基于是德科技安全工具集和测试套装的测试,模拟真实应用流量数据,甚至融合HIL(HardwareIntheLoop)仿真,进行如模糊测试、已知exploit仿真测试,还有如针对某些DUT的自动回归测试。
网关安全测试解决方案,在是德科技的资料中切分成了硬件和软件部分。硬件是针对外部攻击面的,是德科技的硬件可以连接有线、无线接口(CAN、以太网、USB、蓝牙、WiFi等),连接到DUT;最终落实到软件与服务部分,包含各种突破点测试,如针对入侵检测、防火墙的测试。举例说针对入侵检测,有面向各种exploit、非法流量等的检测,还包括了DDoS攻击检测;针对防火墙,则有常规的验证ACL规则、QoS服务、验证最大并行会话控制等。
就这些测试项来看,汽车的确已经成为了一个非常复杂的系统。这其中尤为值得一提的是是德科技一个名为ATI(ApplicationAndThreatIntelligence)的威胁情报研究中心,TI威胁情报服务在安全行业实际上是个比较常见的概念了,它类似于一个定期更新的攻击库。这个团队应该是来自Ixia,针对信息安全的现有储备包括6000多个实时发生的攻击,3500多个实时存在的恶意程序,100多个绕过行为;库更新频率是每两周26个更新。
不过这个业务应该并不是专门针对汽车的,如上图所示,除了常规的DDoS、僵尸网络模拟、流量监测之外,还有安全服务中常见的蜜罐、web爬虫,以及海量IP/URL数据源之外,它能够识别“新型的APT”高级持续性威胁,以及识别一些未知的应用,这就属于安全中的高阶场景了。这应当是一个订阅式的服务,面向OEM和Tier1厂商提供。
我们没有去深入了解这项汽车网络安全计划,在服务层面是如何贯彻到开发生命周期和售后服务的,不过是德科技提到了这项计划能够“帮助汽车制造商及其供应商,在全公司范围内实施和执行安全标准”,“在全公司范围内制定统一的测试程序,支持供应商认证和审核”。这大概就是杜吉伟所说,让原有各自为政的安全测试与解决方案,得到相对的统一——这也是就测试层面比较理想的方案。Ixia的应用与安全测试产品,PerfectStormONE是个1GbE/10GbE的设备,能够模拟海量真实环境,用于测试和验证基础设施、设备或者是整个系统
然而最终,安全问题也是需要多方协力的,所以杜吉伟强调:“虽然我们有专门的ATI研究部门,但只靠我们一家并不能完全解决问题。所以我们和整车厂、零部件厂的研发部门合作,他们实际上是将我们的方案融合集成到一起的。”通过这种方式的合作,以更为理想的方式贯彻安全与合规。虽然现如今路上开的大部分车仍然没有大范围应用以太网,而且网联车周边的基础设施也还并不完善,所以这项计划实际更着眼于未来;不过更早的布局在积累上会更有优势,针对汽车的安全测试业务如果能顺利执行,或许这对是德科技而言会成为一个相对长远的利润增长点,也是彻底发挥Ixia价值的重要组成部分。