阿里巴巴AliOS钟伟：智能网联汽车操作系统安全思考与实践

11月14-16日，由工业和信息化部、应急管理部、科学技术部、广东省人民政府指导举办的“2018中国安全产业”在广东佛山举行。车云主办“安全出行主题论坛暨第二届交通安全产业峰会”，峰会以”安全出行”为主题，”专业论坛+创新展”联动，打通汽车、交通、电子、通信等多个行业，探讨最具前瞻性和可行性的安全出行模式与生态，强势推动跨界融合与协同发展，全面提升大会关注度及影响力。

论坛第二天，阿里巴巴AliOS高级安全专家钟伟在《智能网联汽车信息安全》分论坛上发表了以“智能网联汽车操作系统安全思考与实践”为主题的演讲，以下为演讲实录。——编者按

阿里巴巴AliOS高级安全专家钟伟

大家好。非常高兴今天有机会参加交通安全产业的峰会，我是钟伟操作系统安全，来自AliOS。今天由我介绍一下AliOS在智能网联汽车操作安全方面的实践。

我们知道汽车行业实际上正在经历前所未有的产业升级的过程，这个过程和智能终端的产业非常的类似，整个车变得越来越智能，网联化、智能化是大的方向，无论是硬件还有软件车都发生了巨大的变化，从硬件，从传统的电子电路到智能网联整个车变得越来越复杂，智能网联的汽车拥有超过100个ECU以及外部接口，既包括蓝牙、WIFI包括通过抱死实现远程车空能力的系统。系统软件的角度来讲，车机网关还有其他的DCU的操作系统各不相同，整体呈现出异构的特征，整体的代码规模累计起来可以达到2000亿的规模，同时智能ECU上面的软件越复杂，AliOS车机系统代码规模达到了超过6000万行的级别。车的功能在快速的演进，复杂化在持续的增加，安全的维度复杂性和安全性是矛盾的，系统复杂化带来的安全风险在持续提高。

在这样的一个大的背景下，车的安全问题越来越受到行业的普遍关注，我们可以看到越来越多的安全研究员和安全实验室主要还是通过一个问题驱动的方式推动整个行业在信息安全防护能力方面的提升。

下面是几个比较有代表性的车的信息安全的实践，由于时间的关系，我们不会仔细剖析原理，但是对事件的安全原理做深层次的思考。

2015年对吉普车的车身控制开启了智能网联汽车的行业进入了新的阶段，我们知道在这个事件之前大部分围绕车安全研究的工作，整个行业更多的关注非接触式的远程的控制。

我们再看一下特斯拉和传统的汽油车相比，车身结构有明显的差异，走线采用车载以太网还有升级的能力。2016和2017年腾讯实现了对特斯拉实现了不同形式的车身控制，让我们认识到智能大屏的车机给车辆带来的安全性，车厂应该以什么姿态应对，这些方面一系列的事件给了行业非常重要的启示。

今年的5月，安全研究员披露通过非接触的方式实现OTA3的控制，这个问题反映出在供应商的零部件，高层的标准化，对车的安全中心辐射性在持续的提高。

实际上我们知道在安全行业从来有另外的一面，通过技术类的获取商业的利益，这个问题在车的行业也是普遍存在的，比如通过刷隐藏，刷ECU等等。随着车的功能形态的不断演变，共享化也会随着核心利益的迁移演变。

我们看一下漏洞发现和利用是什么情况，我们主要结合内部的安全保障和安全的研究工作，可以把漏洞和发现利用归纳成这样，首先是设备的拆解，包含整车的拆解还有BOS的关键，下一步是对车的硬件结构进行分析，车机使用的SOC，车BOS使用的什么模组什么芯片这些问题在硬件结构阶段都可以找到答案，完成的基础上需要对不同的ECU部件进行提取，在各个ECU的软件，其实从这个阶段开始，操作系统的安全问题开始密切相关了。在完成部件提取以后有非常重要的步骤还有调试模式的还原通过技术的手段，把要分析的车机或者车辆的设备还原成一个开发的状态，这样就可以有更多的调试还有系统的权限对车更深层次的分析。调试模式以后对整个的系统包括逆向分析包括动态调试包括接口和设备的测试，通过系统化的功能挖掘过程，实现很多的漏洞组合利用，可以看到一些实际利用的一些工具。

这里面特别强调的一点，实际上我们可以看到在整个智能网联APP不需要前面四个步骤的，可以接触逆向分析包括动态态势，对车的门槛逐步在下降的。

一旦实现了在不同的互联节点之间沟通利用空间的串联可以最终实现车身的远程控制。

我们整体看一下智能网联汽车的分布情况。车机实际上在整个的一个车电网络里处在相对外维的位置，安全防护的难度也是最高的，一旦攻击者实现了非接触式对接可以攻击内部的车身网络。

Tbox外界的作用，是一个模组，往往基于嵌入式实现的，这类系统在本身的防护能力上，在抗动态分析调试方面有了先天的不足，使得成为了首要的攻击对象，我们刚才也提到了，通过APP进厂的功能，还有车身互联的功能，这些导致了相对车身零件的分析，现在分析提供钥匙的能力就可以实现，使得一些业务特点的原因，对车的门槛陆续的降低，智能网联有云服务的安全性一起考虑进来。

我们知道，TSP在智能网联汽车里面起的是整体调动作用，一旦入侵者控制了就可以控制全网所有的车辆，TSP和云服务形式上没有太大的差别，所有云服务面临的安全风险度TSP都有，这些既包括运营着陆，远程代码执行，还有数据窃取等等。

现在没有受到关注或者是没有形成普遍威胁的地方，车内APP的安全性，不少的主机车把系统升级安卓的时候，把安卓APP的功能屏蔽掉，来自第三方的安全性没有保证，造就了一批采用智能系统形态类似于车身的功能出现，这个产品在产业的发展当中存在合理性，长远来讲智能网联汽车的生态会走入开放，开放生态的形成的时候，恶意的攻击者会进入系统谋求自己的利益。

看一下AliOS认为安全能力方面的要素，安全能力覆盖的全面性。

车场升级的时候，也在升级业务，在车机、APP重要的节点之间全面的覆盖。同时，整个车的系统的开发，实际上也是复杂的供应链管理的过程，要求安全能力覆盖，开始的设计、开发到生产运维整个的生命周期。

另外防御的关键性，我们知道像我们之前提到的代码规模彻底地消除系统的漏洞在工程上不现实的，同时注意到不少上市的车辆在内部存在大量的智能活动，怎么样在漏洞没有办法根除漏洞持续发现的背景下做系统防护，这里面都可以多功能缓解机制成为了关键的要素。

另外，还有一点，危险感知能力，所有的安全能力在部署以后有没有产生实际的效果，有没有围绕哪些用户正在受到攻击，需要通过一些危险感知体系整体的管理起来。

我们认为，整个智能网联汽车的危险感知是实现安全运维条件的基础条件。

这是AliOS整体智能网联汽车整体的思考，我们主要是依赖于案例云的平台安全能力，面向智能网联汽车的关键进行安全能力的布局，我们跟平台合作，构建起车机安全防护多功能安全防护，远程式的，嵌入式的可以得到缓解。

在系统安全层面，AliOS基于内核的，我们自动修复，面向系统入侵针对专业化的机制，通过组合有效对漏洞进行影响和缓解。

随着车不断地走向网联，呈现出了车、手机、云服务协作的IoT的特征，怎么避免攻击者通过批量的远程控制，通过不同的互联结点通过端到端，单一的方法分散，同时在车机端手机端部署安全能力，必要的进行保护。

在TSP云平台，阿里云有全面的技术能力和解决方案，能够为各个主机厂和运营商提供安全防护的能力。

我们之前提到的，整个全网车辆的安全状态需要安全危险体系感知，通过大数据分析、模型分类、可视化工具，使网联车掌握安全状态，把有限的严重运营资源，投入到最好的效用当中。

智能网联汽车走向生态，从第三方的APP到车内和车身。怎么样防止来自外部的第三方的程序对车辆造成风险，这要求有一套完整的安全审核机制。我们通过动态检测、晶体检测对第三方的风险在车身之前拦截，可以有效的防止侵入隐私等等的行为。

前面讲的一些技术能力和感知能力方面的介绍，在构建的过程当中我们内部遵循安全开发的流程体系，这个体系涵盖了一开始的汽修设计漏洞响应整个的过程。新开发的代码在内部消化产生的风险最终的产品在安全的维度有可靠的保障。

开发者生态，对操作系统来说，主机厂和供应商他们使用操作系统构建自己的网联车的服务，案例云提供安全能力面向特定的业务场景定制全面的安全能力的支持。

同时，作为一个持续不断快速演进的系统漏洞没有办法避免，我们通过周期性的安全公告的形式持续安全漏洞的能力。我们通过社区和专家服务开发者进行互动。

看一下不同的智能车机的操作系统在安全体系的一些差别。我们可以看到，包括安卓还有AliOS，安卓整个的生态体系，在底层的防御机制，到生态体系完整的，由于我们知道一些原因，实际上GMS整个的安全服务体系是不可用的，导致了各大厂家拿到的不完整的安全方面，从底层的安全机制，到整体的安全生态自己向上构建的，并且这个生态能够虽然智能网联的业务和产业变化持续的演进。

最后AliOS跟阿里云有互动，在智能网联安全覆盖几个方面。

首先是系统软件加固还有端到端的安全防护，TSP云服务，还有软件供应链安全管理方面，自动化来自于第三方的代码还有漏洞进行自动的检测，我们通过系统危险感知的能力，还有升级的能力对漏洞快速的升级和修复。

我们通过持续的安全研究和持续的渗透，在内部进行漏洞的发现，把潜在的问题化解在内部。

我的整体报告到这里，谢谢大家。

（编辑：成都站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!