“无钥匙”系统漏洞存被盗风险,金融级安全数字车钥匙重新定义行业标准

WechatIMG72_meitu_1

【猎云网北京】9月29日报道(文/吕梦)

传统用车体验正在不断被数字化新业务所替代,其中数字车钥匙就是一个典型代表。

随着汽车智能化和联网化程度的不断普及,基于智能手机的蓝牙低能耗技术或者进场通信技术(NFC)的数字车钥匙涌现市场,汽车也从简单的代步工具演变成了一台高速移动的大型物联网终端。

这也就意味着,相比传统物理钥匙存在可能被偷盗的安全隐患,数字车钥匙的系统漏洞不仅有被远程攻击的风险,甚至还可能对驾驶员和车内乘员造成人身伤害;此外,云端的服务器中会接受大量涉及个人隐私的数据,一旦被攻破,将引发大范围、高并发的安全威胁。

2015年,两位美国黑客就在不接触汽车的情况下,成功入侵并成功破解了Jeep Cherokee,并控制汽车的多媒体系统、动力系统以及刹车系统等,使车辆在行驶过程中刹车失灵等;2017年,荷兰一位电子设计师通过自己的汽车钥匙扣所发出的无线电信号,发现部分型号的斯巴鲁汽车所使用的车锁系统存在漏洞。

从这个角度来看,智能网联车面临着比传统互联网领域更严峻的安全形势。

目前,市场上部分厂商基于成本考量采用低成本的加解密方案来实现汽车安全信息的防护,却忽略加密载体的安全等级以及是否能够抵御被攻击这一现实。

在数字车钥匙的安全性防护上,小鹏汽车“金融级别安全的数字车钥匙”的推出就提供了新的思路。

小鹏汽车采用的虚拟蓝牙钥匙的身份认证方案,其应用的身份认证安全技术和支付宝免密支付处于同等级别——用户在解锁的一瞬间,通过指纹、人脸识别大同手机、人、车之间的信任关系,能够适配市场主流手机华为、小米、OPPO、VIVO等机型

这套数字车钥匙符合IFAA(互联网金融认证联盟)金融级别标准,具备了国际领先的金融安全级别水准。其中,今年4月发布的智能电动轿跑小鹏P7,将成为首例将IFAA金融安全技术与物联网场景结合的智能汽车

99999.jpg

金融支付行业在信息安全方面具有非常成熟的经验,例如建立的规范标准、认证机制等都值得汽车行业的学习借鉴。

小鹏汽车副总裁纪宇在接受猎云网采访时谈到,此次安全车钥匙的发布之所以强调“金融级别“,是因为“从技术细节来看,和大家用支付宝的免密支付是一样的,区别在于我们在车辆端做了轻量适配,在手机端做了金融级别的适配,并经过了IFAA的审核”。

作为实时性的交通乘载工具,汽车将常常驶入如大型商场、写字楼的地下停车场,面临信号覆盖不佳的状况。

纪宇告诉猎云网,为了在安全性和实时性之间取得平衡,小鹏汽车这套安全车钥匙系统采用了蓝牙技术原理,无网环境也能正常使用。

用户在小鹏汽车APP中,开通云服务功能系统将自动激活车上的蓝牙钥匙功能,配置好之后,即使在没有网络连接的情况下,也能通过手机APP解锁、甚至远程分享蓝牙钥匙。

此外,为了探索智能出行领域的更多可能,小鹏P7也与华米科技旗下AMAZFIT品牌智能可穿戴设备打通。基于其手环、手表内置的NFC功能,实现P7车门解锁、闭锁及车辆启动等功能,为用户带来更加自然、便利的交互体验。

0.jpg

根据调查顾问公司Technavio的预测显示,2020年,全球数字车钥匙市场将增长11%,同比实现193万辆车增长。虽然我国车联网安全体系的建立还处于早期探索阶段,但据发改委预测,2020年中国智能网联汽车新车占比将达50%,每年大概有百万量级的新增联网汽车,中国也将成为智能网联汽车第一大国。

届时,车与车之间的通讯传输、汽车与基础设施之间的连接、车主隐私等数据,都有可能成为潜在被攻击的对象。因此,智能汽车信息安全建设也将形成一个完整体系,贯穿于方案设计、产品研发、工程实施、安全生产、业务运营整个业务的生命周期。

对此,小鹏汽车成立之初就成立了车联网安全部门,通过软硬件产品构建的端到端分层防御体系,来加强智能网联车的安全等级,并将车辆信息安全能力建立在车端安全、端到端安全、智能生态安全、基础保护的全方位信息安全架构上。

其中,尤为重要的车端安全,是以车载安全芯片PSU(Programmable Security Unit)为星型结构的核心,衔接整车系统。PSU从密钥预置到自刷写过程,遵从金融级安全标准设计,在每个环节均有硬件级强认证。