瓶钵利文浩:基于TEE技术的芯片级车机系统安全解决方案
2018-11-20

11月14-16日,由工业和信息化部、应急管理部、科学技术部、广东省人民政府指导举办的“2018中国安全产业大会”在广东佛山举行。车云主办“安全出行主题论坛暨第二届交通安全产业峰会”,峰会以”安全出行”为主题,”专业论坛+创新展”联动,打通汽车、交通、电子、通信等多个行业,探讨最具前瞻性和可行性的安全出行模式与生态,强势推动跨界融合与协同发展,全面提升大会关注度及影响力。 论坛期间,上海瓶钵信息科技有限公司创始人兼首席执行官利文浩发表了以“基于TEE技术的芯片级车机系统安全解决方案”为主题的演讲,以下为演讲实录。



 

各位领导和嘉宾,大家好。

很高兴能与大家一起分享网联车的系统安全,今天我主要以车机系统为例,分享如何打造基于芯片级隔离的智能汽车安全系统。

首先介绍一下瓶钵信息科技,我们从2012年至今一直致力于系统安全的核心技术研发,目前团队主要在上海和深圳。瓶钵信息科技主要是面向智能设备厂商(如手机厂商、汽车厂商)和应用厂商提供基于芯片和设备安全的通用安全解决方案。保护操作系统安全一直是学术界和产业界不断努力的目标,这需要很强的科研力量支持,因此我们和上海交大成立了一个安全实验室,专注于安全操作系统研发。瓶钵信息科技自成立以来就一直专注于做三个事情:

第一件事情是“安全平台的能力构建”,我们与设备厂商一起深度合作,基于芯片安全将芯片和系统的安全能力带入设备中保护系统的整体安全。

第二件事情是“建立安全平台的管理和认证能力”,基于安全平台构建的设备会非常多,包括手机、汽车、物联网等等设备,基于安全平台打通“人-设备-云端”的安全管理与可信认证非常关键。

第三件事情是“安全平台的开放赋能”,将上述两项设备基本的能力开放给第三方的应用厂商,保护多样化的安全场景,为设备厂商和应用厂商创造新的业务价值。瓶钵信息科技在系统安全领域是全球少有的既能持续多年一直在国际学术会议发表系统安全论文,同时又能把这些技术成果实际部署在超过1亿台智能设备的团队。

这里先介绍一个技术背景:可信执行环境TEE(Trusted Execution Environment)。TEE的基本思想是在同一个处理器中提供与原有操作系统(如Android、RTOS等)完全隔离的运行环境,即使原有的操作系统(如Android、RTOS)被完全控制了,运行在TEE中的数据也能安然无恙。TEE不是一个单独的安全芯片,不需要额外的硬件的支持,具有安全性更高、性能更好、成本更低、不增加功耗等优点。近年来TEE行业正在快速普及,TEE在Android系统已经成为标配,在移动支付、内容保护、生物特征识别等领域得到广泛的应用,同时已经有非常多的机构组织与公司在制定并落地基于TEE的标准规范,其中包括央行、微信、支付宝、银联、国密局等等。瓶钵信息科技是TEE领域的主要的供应商之一。

前面几位嘉宾已经介绍了很多关于汽车设备安全的攻击案例和入侵点。这里我想和大家介绍,如何从系统的角度看汽车设备的安全问题。总体而言安全问题分为两大层次:第一层次是应用层,主要是指APP和各类框架层的安全问题,包括APP敏感数据泄漏、APP越权等等,前面几位嘉宾介绍的很多攻击案例都属于应用层,这类安全问题的特点是问题类型和攻击方式非常多,同时比较容易防御。第二层次是系统层,主要是指操作系统内核、引导器等系统底层的安全问题,包括系统被ROOT、越狱、系统关键数据被篡改等都属于系统层问题,特点是影响非常大并且不容易防御,有能力防御这类安全攻击的厂商在全球屈指可数。值得大家注意的是,目前汽车厂商的车机很多都在用着Android 4.4等很早期的版本,这些版本非常容易受到系统层的安全攻击。

瓶钵信息科技从系统安全的视角,自底向上构建了四层汽车系统安全防护体系,充分保障汽车系统的安全与稳定。

第一层是基于TEE的安全操作系统。为车机提供一个完全隔离的运行环境,保护高敏感业务和数据安全。历经了数百个产品型号的量产部署,我们的TEE系统可以满足不同行业不同场景的安全需求,拥有优秀的安全性和兼容性。目前使用我们TEE系统的合作厂商近百家,系统已被预置在超过1亿台智能设备中。

第二层是主动防御系统,保护原有操作系统(如Android、RTOS)的安全。原有操作系统和TEE是两个极端,TEE可以保证自身安全,但原有操作系统由于有庞大的代码量,安全的漏洞层出不穷,安全性并不高。原有操作系统一旦出现系统漏洞并被利用,对汽车安全的影响是非常的深远,甚至没有办法通过OTA升级,设备整体安全性会被严重削弱,甚至威胁驾驶安全。从图中也可以看到,最近几年从操作系统内核受到的攻击数量正在快速增加。有没有可能将TEE的安全能力进一步输出,保护原有操作系统安全呢?主动防御系统就是做这个事情:利用TEE和Hypervisor实时地对原有操作系统内核、关键系统服务进行保护,其中包含控制流和数据流的保护。这个安全方案的防护效果非常出众,能防御绝大部分高级安全攻击。一个直接的例子是Android系统防ROOT,当Android出现通用的系统安全漏洞(如系统可被ROOT、越狱等)时,使用主动防御系统能够保证这类攻击不起任何作用。

第三层是业务安全保护。前面两个设备保护层属于系统安全层次,将它们的安全能力进一步输出给第三方的业务和应用,能够带来很多创新性业务。业务安全保护层一方面向下整合了不同设备的安全能力,另一方面向上为不同的应用提供统一的安全保护平台,保护应用和业务安全。这种安全保护能力相比传统的APP加固安全方案,在安全性上有着质的提升。目前我们的业务安全保护层已经在国内数十家著名应用厂商的业务中得到使用,涵盖移动支付、身份认证、内容保护、区块链、AI安全等等领域。

第四层是远程安全管控。车厂部署智能车方案时非常希望关注两个问题:已出货的车载设备是否受到了攻击、影响面有多大?如何快速处理车载设备的安全威胁?针对此,我们从“感知-定位-响应”三个方面实现车机云端安全管控方案。在感知层,通过深入操作系统内核和应用、采集设备中的关键事件并进行关联分析;在定位层,通过分析,自动定位某一终端、某一进程与路径的安全威胁,并在脱敏处理后以可视化的方式进行威胁呈现;在响应层,为车厂运维团队提供接口,帮助他们定制与实施安全策略,通过远程管理平台下发安全管控策略,快速降低潜在的安全威胁。

最后作个简单总结。汽车正在往电动化、智能化、网联化的方向快速发展,同时也面临着严峻的信息安全挑战。汽车系统安全问题无法通过单一技术方案解决,必须实施多位一体的安全方案,从底层安全操作系统、操作系统防护、应用层保护、安全管控等不同维度和层次充分保障汽车整体系统安全。