汽車信息安全研究：主要攻擊端口為服務(wù)器、數(shù)字鑰匙，主機(jī)廠加大信息安全布局

佐思汽研發(fā)布《2020 主機(jī)廠信息安全布局研究報(bào)告》，對(duì)當(dāng)前汽車信息安全現(xiàn)狀和主機(jī)廠布局進(jìn)行了梳理。

汽車信息安全事件頻發(fā)，服務(wù)器、數(shù)字鑰匙等成主要攻擊端口

隨著新四化發(fā)展，汽車智能化率不斷提升，功能逐漸豐富。根據(jù)統(tǒng)計(jì)，2020 年 1-10 月中國(guó)新車網(wǎng)聯(lián)功能裝配率已超過(guò) 50%，2025 年將達(dá)到 75%左右。功能上，則向智能座艙、高等級(jí)自動(dòng)駕駛方向演進(jìn)，多模態(tài)交互、多屏互動(dòng)、5G 網(wǎng)絡(luò)、V2X、OTA、數(shù)字鑰匙等功能應(yīng)用不斷擴(kuò)大。隨之而來(lái)的，則是汽車控制代碼逐漸增多，可攻擊端口增加，面臨的安全威脅加大。

從安全事件端口分布來(lái)看，目前的汽車信息安全事件主要集中在服務(wù)器、數(shù)字鑰匙、移動(dòng) APP、OBD 端口等。

服務(wù)器是信息安全第一大端口，黑客可通過(guò)入侵操作系統(tǒng)、數(shù)據(jù)庫(kù)、TSP 服務(wù)器、OTA 服務(wù)器等系統(tǒng)漏洞，對(duì)數(shù)據(jù)進(jìn)行篡改、破壞，造成車端安全事故。服務(wù)器的攻擊工具大多數(shù)為遠(yuǎn)程接入，成本相對(duì)較低；同時(shí)服務(wù)器存儲(chǔ)的數(shù)據(jù)資產(chǎn)極其重要。這些特性導(dǎo)致了服務(wù)器攻擊占比一直高居首位。

數(shù)字鑰匙是信息安全第二大端口，是用于闖入和盜竊車輛的最常見攻擊媒介之一。根據(jù)統(tǒng)計(jì)，2020 年中國(guó)藍(lán)牙數(shù)字鑰匙裝配率將超過(guò) 30 萬(wàn)，裝配率有望接近 4%，功能亦從基本的解閉鎖與啟動(dòng)，延伸至賬號(hào)登錄、鑰匙分享、車輛軌跡記錄、快遞到車等個(gè)性化配置，其對(duì)于車端安全的影響日益突顯。

圖：截至 2020 年全球汽車安全信息事件端口分布

來(lái)源：upstream.auto；佐思汽研整理

不同品牌汽車正在遭受不同程度安全攻擊

車輛智能化程度越高，所遭受的安全攻擊越多。在智能化背景下，全球主機(jī)廠無(wú)一幸免，例如奔馳、寶馬、奧迪、大眾、豐田、本田、現(xiàn)代等國(guó)際一線品牌，均遭受了不同程度的安全攻擊。

圖：2018-2020 年部分主機(jī)廠信息安全事件

?

2020 年 3 月，豐田、現(xiàn)代和起亞等 OEM 鑰匙加密方式被曝出存在缺陷，存在被侵入或被盜風(fēng)險(xiǎn)。主要由于上述 OEM 采用的德州儀器 DST80 加密系統(tǒng)存在漏洞，黑客只要在任何搭載 DST80 汽車的遙控鑰匙附近，使用相對(duì)便宜的 Proxmark RFID 閱讀器 / 發(fā)射機(jī)設(shè)備對(duì)鑰匙進(jìn)行“盜刷”，其就可以獲得足夠的信息，從而獲得其中的加密信息。

?

主機(jī)廠紛紛加快信息安全領(lǐng)域布局

為應(yīng)對(duì)汽車信息安全日益嚴(yán)峻的挑戰(zhàn)，主機(jī)廠從不同方向提升安全防護(hù)，主要集中在三個(gè)方面：1. 集團(tuán)內(nèi)部信息管理、研發(fā)流程的優(yōu)化；2. 設(shè)立專門的信息安全團(tuán)隊(duì)的建設(shè)；3. 車聯(lián)網(wǎng)的信息安全防護(hù)。

歐美主機(jī)廠：信息安全防護(hù)部署多樣化

歐美主機(jī)廠依托技術(shù)優(yōu)勢(shì)，全面推進(jìn)網(wǎng)絡(luò)安全防護(hù)建設(shè)。除了提升車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)外，也一直在加強(qiáng)對(duì)公司的信息安全管理。從團(tuán)隊(duì)建設(shè)上看，歐美大部分主機(jī)廠會(huì)建立獨(dú)立的信息安全部門或者子公司，以保證汽車全生命周期的信息安全。

例如奔馳，信息安全防護(hù)布局主要體現(xiàn)在 3 個(gè)方面：

• 云計(jì)算：通過(guò)云平臺(tái)實(shí)現(xiàn)對(duì)車載數(shù)據(jù)的防護(hù)。通過(guò)該技術(shù)，車主能在駕駛過(guò)程中掌控?cái)?shù)據(jù)對(duì)外的開放程度。同時(shí)車主也可在離開車之后自動(dòng)消除相關(guān)信息。

• 工廠端：與電信商、設(shè)備商合作建立智能汽車生產(chǎn)工廠，運(yùn)用 5G 移動(dòng)網(wǎng)絡(luò)保證生產(chǎn)數(shù)據(jù)安全。

• 漏洞防護(hù)：與第三方網(wǎng)絡(luò)安全企業(yè)合作，檢測(cè)并修復(fù)智能網(wǎng)聯(lián)汽車有關(guān)的潛在漏洞。

圖：歐美主機(jī)廠信息安全布局

日韓主機(jī)廠：更注重公司級(jí)別的信息安全防護(hù)，主要以公司的信息安全的管理為重心。
例如：日產(chǎn)主要從公司內(nèi)部信息安全的管理入手，健全信息安全管理規(guī)范，而且其研發(fā)管理系統(tǒng)和信息安全平臺(tái)近幾年一直在完善。同時(shí)依托以色列特拉維夫的聯(lián)合創(chuàng)新實(shí)驗(yàn)室與以色列初創(chuàng)企業(yè)合作進(jìn)行信息安全測(cè)試、研究，目前合作聯(lián)合原型項(xiàng)目已超過(guò) 10 個(gè)。

圖：日韓主機(jī)廠信息安全布局

中國(guó)主機(jī)廠：新勢(shì)力企業(yè)先行

中國(guó)新勢(shì)力企業(yè)在信息安全防護(hù)方面可圈可點(diǎn)，例如小鵬汽車通過(guò)自建安全團(tuán)隊(duì)，并與阿里云、科恩實(shí)驗(yàn)室、艾迪德等伙伴合作的方式，從云端、車端、手機(jī)端同時(shí)部署，建立以主動(dòng)防御為核心的防護(hù)體系。蔚來(lái)汽車也通過(guò)自建團(tuán)隊(duì)及多方合作，建立起 X–Dragon 多維度防護(hù)系統(tǒng)

中國(guó)傳統(tǒng)車企也正在跟進(jìn)，東風(fēng)、上汽、廣汽、北汽等更加關(guān)注企業(yè)全生命周期的安全管理。例如上汽在整體部署中，將下屬企業(yè)加入集團(tuán)信息安全保護(hù)與管理體系，內(nèi)部統(tǒng)一采用數(shù)絡(luò)加密軟件（GS-EDS 系統(tǒng)），保證集團(tuán)整體的數(shù)據(jù)安全；其次，自建云平臺(tái)，獨(dú)資建立云計(jì)算中心，提供全品類的云安全服務(wù)；最后，成立上汽集團(tuán)零束軟件分公司，承擔(dān)基礎(chǔ)技術(shù)平臺(tái)的研發(fā)，增強(qiáng)自己的軟件研發(fā)能力。

圖：中國(guó)主機(jī)廠信息安全布局

主機(jī)廠不斷擴(kuò)大信息安全領(lǐng)域合作

主機(jī)廠除加強(qiáng)自身安全防護(hù)能力外，近年來(lái)開始廣泛尋求對(duì)外合作，合作范圍已覆蓋車端、通信端、平臺(tái)、數(shù)據(jù)、應(yīng)用等各個(gè)層級(jí)。

圖：部分主機(jī)廠信息安全領(lǐng)域合作伙伴

目錄

一、車聯(lián)網(wǎng)信息安全概述

1.1 車聯(lián)網(wǎng)信息安全概述

1.1.1 車聯(lián)網(wǎng)信息安全定義

1.1.2 車聯(lián)網(wǎng)信息安全防護(hù)

1.2 車聯(lián)網(wǎng)信息安全技術(shù)應(yīng)用

1.2.1 T-BOX 安全技術(shù)應(yīng)用

1.2.2 車載信息娛樂(lè)系統(tǒng)安全技術(shù)應(yīng)用

1.2.3 數(shù)字鑰匙系統(tǒng)安全技術(shù)應(yīng)用

1.2.4 車云網(wǎng)絡(luò)通信安全 PKI 技術(shù)應(yīng)用

1.2.5 車載系統(tǒng) FOTA 安全技術(shù)應(yīng)用

1.3 國(guó)內(nèi)外汽車網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)發(fā)展

1.3.1 國(guó)內(nèi)外汽車信息安全的標(biāo)準(zhǔn)發(fā)展總述

1.3.2 國(guó)際車聯(lián)網(wǎng)信息安全主要政策法規(guī)

1.3.3 歐洲車聯(lián)網(wǎng)信息安全主要政策法規(guī)

1.3.4 美、日車聯(lián)網(wǎng)信息安全主要政策法規(guī)

1.3.5 中國(guó)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架

1.3.6 中國(guó)車聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)建設(shè)

1.4 中國(guó)汽車信息安全現(xiàn)狀及趨勢(shì)

1.4.1 汽車“新四化”對(duì)信息安全的影響

1.4.2 業(yè)內(nèi)人士對(duì)車聯(lián)網(wǎng)信息安全現(xiàn)狀的認(rèn)知

1.4.3 車端電氣架構(gòu)對(duì)信息安全的影響

1.4.4 汽車信息安全技術(shù)發(fā)展策略：云端

1.4.5 汽車信息安全技術(shù)發(fā)展策略：通信端

1.4.6 汽車信息安全技術(shù)發(fā)展策略：車端

二、汽車信息安全行業(yè)現(xiàn)狀

2.1 主機(jī)廠信息安全事件分析

2.1.1 主機(jī)廠信息安全事件分析

2.1.2 主機(jī)廠信息安全事件分析：事件匯總

2.1.3 主機(jī)廠應(yīng)用端信息安全事件分析 -1

2.1.4 主機(jī)廠應(yīng)用端信息安全事件分析 -2

2.1.5 主機(jī)廠平臺(tái)端信息安全事件分析 -3

2.1.6 主機(jī)廠平臺(tái)端信息安全事件分析 -4

2.1.7 主機(jī)廠車端信息安全事件分析 -5

2.1.8 主機(jī)廠車端信息安全事件分析 -6

2.1.9 主機(jī)廠通信端信息安全事件分析 -7

2.1.10 主機(jī)廠通信端信息安全事件分析 -8

2.2 主機(jī)廠信息安全布局對(duì)比

2.2.1 歐美主機(jī)廠

2.2.2 日韓主機(jī)廠

2.2.3 國(guó)內(nèi)主機(jī)廠

2.3 主機(jī)廠信息安全合作

2.3.1 歐美主機(jī)廠

2.3.2 日韓主機(jī)廠

2.3.3 國(guó)內(nèi)主機(jī)廠

2.3.4 中國(guó)汽車信息安全產(chǎn)業(yè)圖譜

三、歐美主機(jī)廠信息安全布局

3.1 奔馳

3.1.1 奔馳汽車信息安全布局

3.1.2 奔馳汽車信息安全技術(shù)路線

3.1.3 奔馳汽車信息安全合作伙伴

3.2 寶馬

3.2.1 寶馬汽車信息安全布局

3.2.2 寶馬汽車信息安全研發(fā)體系建設(shè)

3.2.3 寶馬汽車信息安全合作伙伴

3.3 奧迪

3.3.1 奧迪汽車信息安全布局

3.3.2 奧迪汽車信息安全研發(fā)體系建設(shè)

3.3.3 奧迪汽車信息安全合作伙伴

3.4 大眾

3.4.1 大眾汽車信息安全布局

3.4.2 大眾汽車信息安全研發(fā)體系建設(shè)

3.4.3 大眾汽車信息安全合作伙伴

3.5 沃爾沃

3.5.1 沃爾沃汽車信息安全布局

3.5.2 沃爾沃汽車信息安全研發(fā)體系建設(shè)

3.5.3 沃爾沃汽車信息安全合作伙伴

3.6 福特

3.6.1 福特汽車信息安全布局

3.6.2 福特汽車信息安全研發(fā)體系建設(shè)

3.6.3 福特汽車信息安全合作伙伴

3.7 通用

3.7.1 通用汽車信息安全布局

3.7.2 通用汽車信息安全研發(fā)體系建設(shè)

3.7.3 通用汽車信息安全合作伙伴

四、日韓主機(jī)廠信息安全布局

4.1 豐田

4.1.1 豐田汽車信息安全布局

4.1.2 豐田汽車信息安全技術(shù)路線

4.1.3 豐田汽車信息安全合作伙伴

4.2 本田

4.2.1 本田汽車信息安全布局

4.2.2 本田汽車信息安全研發(fā)體系建設(shè)

4.2.3 本田汽車信息安全合作伙伴

4.3 日產(chǎn)

4.3.1 日產(chǎn)汽車信息安全布局

4.3.2 日產(chǎn)汽車信息安全研發(fā)體系建設(shè)

4.3.3 日產(chǎn)汽車信息安全合作伙伴

4.4 現(xiàn)代

4.4.1 現(xiàn)代汽車信息安全布局

4.4.2 現(xiàn)代汽車信息安全技術(shù)路線

4.4.3 現(xiàn)代汽車信息安全合作伙伴

五、國(guó)內(nèi)主機(jī)廠信息安全布局

5.1 小鵬

5.1.1 小鵬汽車信息安全布局

5.1.2 小鵬汽車信息安全技術(shù)路線

5.1.3 小鵬汽車信息安全合作伙伴

5.2 蔚來(lái)

5.2.1 蔚來(lái)汽車信息安全布局

5.2.2 蔚來(lái)汽車信息安全技術(shù)路線

5.2.3 蔚來(lái)汽車信息安全合作伙伴

5.3 理想

5.3.1 理想汽車信息安全布局

5.3.2 理想汽車信息安全技術(shù)路線

5.3.3 理想汽車信息安全合作伙伴

5.4 威馬

5.4.1 威馬汽車信息安全布局

5.4.2 威馬汽車信息安全技術(shù)路線

5.4.3 威馬汽車信息安全合作伙伴

5.5 東風(fēng)

5.5.1 東風(fēng)汽車信息安全布局

5.5.2 東風(fēng)汽車信息安全技術(shù)路線

5.5.3 東風(fēng)汽車信息安全合作伙伴

5.6 上汽

5.6.1 上汽信息安全布局

5.6.2 上汽信息安全技術(shù)路線

5.6.3 上汽信息安全合作伙伴

5.7 北汽

5.7.1 北汽信息安全布局

5.7.2 北汽信息安全技術(shù)路線

5.7.3 北汽信息安全合作伙伴

5.8 廣汽

5.8.1 廣汽信息安全布局

5.8.2 廣汽信息安全技術(shù)路線

5.8.3 廣汽信息安全合作伙伴