当汽车被黑客攻击成为常态，当汽车网络安全测试初露头角
2019-10-12 18:33:22   来源：东方头条   

IoT安全被提得比较多的一个例子，是电影《速度与激情8》中的僵尸车队。在电影中，恐怖分子入侵纽约街头的大量汽车，这些车都成为无人驾驶的“僵尸车”，听从黑客指挥追赶一辆载有核武器密码箱的车。这事儿看来还挺迷幻，不过当汽车当今智能化、网联化，内部结构变得越来越像超级电脑，也就必然面临安全问题。

是德科技大中华区汽车与新能源测试方案市场经理杜吉伟告诉我们：“现在最高端的车内部有1亿行代码，比Facebook整个系统、Windows Vista操作系统，甚至一架波音787飞机都还要多。”

“与此同时，即便是最好的编程实践，每1000行代码也会有0.1行存在bug。那么1亿行代码，有10000个bug也是很正常的，这已经是最好的编程平均数了。”这个有关“最好编程实践”的数字应该是来自《Code Complete》。实际上，我们在先前有关汽车电子的文章中就不止一次提到，商业研究公司Frost&Sullivan预计，高端车的软件代码很快会达到2-3亿行。

而且汽车和计算机不同的是，汽车毕竟是关乎生命安全的产品，而不只是在遭遇安全问题后丢失数据这么单纯。“我们一直在说一句话，和魔鬼同行，而且这个魔鬼比较强大。”杜吉伟表示。那么如何解决未来汽车的信息安全问题，就成为避不开的一个话题。

前不久在上海举办的ATE（Automotive Testing Expo）China 2019展会上，是德科技展示的汽车电子测试测量方案，除了车载以太网等测试方案以外，其中一个重点就是“汽车网络安全综合解决方案”（Automotive Cybersecurity）。实际车载以太网就已经比较前瞻了，而汽车网络安全测试方案，在全球范围内也算是做得相当早了。

是德科技为什么会做汽车安全测试？

是德科技本身是一家提供电子设计与测试解决方案的企业，用是德科技大中华区市场总经理郑纪峰的话来说，“倒退10年，我们跟汽车的关系可能没有那么密切，那个时候汽车关注的还是机械、热能。我们顶多也就是跟车内的娱乐、影音系统相关。但去年是传统汽车销量放缓的第一年，放缓背后汽车行业发生了很多变化，比如新能源汽车、智能网联车，都是未来蓬勃发展的趋势。”“智能网联化，也就拉近了汽车和是德科技的距离。我们将现有资源投向汽车领域，这个部分自然就能成为我们的强项。”

在针对汽车领域的测试解决方案，是德科技此前几年的数次收购都有标志性意义。其一是2015年8月，是德科技收购Anite，这是一家英国公司，专注于无线测试解决方案。是德科技在2015年的财报中提到，“这项收购加强了我们的无线软件设计和测试产品组合，其网络测试（Network Test）业务还扩张了我们服务的目标市场。”就当前汽车测试业务来看，Anite就成为是德科技无线通讯测试（如5G）的基础。

ATE展会上，展示的来自scienlab的汽车新能源测试设备

其二是2017年，是德科技收购Scienlab：这是一家针对汽车OEM与Tier 1厂商提供测试解决方案的德国公司。这项收购对是德科技而言，可能是当前汽车测试综合解决方案的主体和框架。Scienlab补足的是针对混合电动汽车、电动汽车的端到端解决方案，以及电池测试解决方案能力。

上述这两项收购，就这两年就是德科技的财报来看应该算是非常成功的。这两家公司目前在是德科技财务结算时，划归在通讯解决方案（Communication Solutions Group，CSG）和电子工业解决方案（Electronic Industrial Solutions Group，EISG）。这两个业务无论是近三年的财报，还是2019这三个季度的财报，在营收能力、毛利率、净收益方面的表现都相当好。如果我们抛开网络安全测试不谈，2018年是德科技在汽车与能源终端市场多个应用领域，都有着两位数的营收成长。

其三，是德科技在汽车领域最新投入的“网络安全测试”，很大程度来源于2017年4月是德科技收购的Ixia。相较前两个收购，针对Ixia的收购规模就明显比较大了，收购金额超过16亿美元。在完成收购以后，是德科技在财报结算中将Ixia单独列为“Ixia Solutions Group（ISG）”，为企业、服务提供商、网络设备制造商，在物理和虚拟网络方面加强应用，提供测试、可视性（visibility）和安全（security）解决方案。Ixia在安全行业本来就是相当知名的企业。汽车安全属于Ixia目前的一个方向。当前是德科技针对汽车的网络安全测试技术，很大程度就是来自Ixia。

不过针对Ixia的收购，似乎没有像先前Anite和ScienLab那么顺利。致投资者的风险声明，专门提到了有关收购Ixia可能造成的投资风险，包括业务整合中可能遭遇的低效和更多开支——虽然这可能只是财务报告的常规套路。不过是德科技在2018年度商誉减值测试中，针对Ixia做出了商誉减记，减值7.09亿美元。财报中提到：“我们在持续优化ISG业务的融合，但在收购之后，其市场成长率低于预期，且合同生产转化时间也比预期更久，这对2018年ISG业务的营收和营业利润造成了负面影响。”

当然商誉减值也可能只是财务上的常规操作，但在2019 Q3季报中，是德科技总的营收和利润（Non-GAAP）依然相当不错，只是ISG业务的营收出现了同比滑坡，营业利润的收窄也相当显著。当然，这些或许都不足以说明问题，毕竟信息安全行业本身也不像传统电子技术领域那么成熟，财务震荡并不罕见；而且是德科技也强调ISG对于CSG和EISG业务有着极大贡献。

不过，我们认为这极有可能是是德科技着力尝试汽车安全测试服务的投资逻辑，通过这样的尝试，尤其是汽车网联化趋势热点，给予Ixia长期规划，找到稳定的盈利点——当然汽车安全测试大约也只是其中一个方向。而且如本文开头部分所述，就技术趋势来看，汽车网络安全本来也就是个迫在眉睫的问题，而是德科技迈出这一步显得相对很早。

车载以太网飙速造成的“问题”

之所以说汽车网络安全会变得很重要，重点就在网联智能车传输、处理和存储数据量的巨量推升，包括OTA在内的各类新服务的涌现，以及汽车内部结构，从功能独立ECU到多个ECU形成DCU（Domain Oriented Centralization），以及最终DCU融合让汽车成为一个超级计算机，都实实在在扩大了汽车的攻击面（attack surface）。

在这个过程里，原有的一些通讯总线不足以满足速率和时延需求。“以前汽车数据量没有多少，但现在的车不一样了。现在很流行说无人驾驶，无人驾驶牵扯到很多技术，通讯技术就包括了车到车、车到网络、车到人、车联网（V2X）等等；其次辅助驾驶，就需要各种传感器做融合，毫米波雷达、LIDAR、摄像头；然后是人工智能、高精度导航系统的高清地图......等等。”杜吉伟表示。

“典型的数据像LIDAR，360°高分辨率图像一秒钟就有70Mb的数据流量。原有的总线速度太慢：CAN本身的速率是1Mbps，应用于动力总成的CAN-FD速率可以达到10Mbps，少数几个厂家在用的FlexRay也能达到10Mbps。但这个速度还是太慢。“所以在车内应用计算机行业常说的“以太网（Ethernet）”标准就顺其自然了。

“现在的车很多都只有一个网关，只在这里采用一个以太网接口。未来汽车数据量变大，一辆汽车网关就需要十几个以太网口。”上面这张图红色部分代表以太网传输（如802.3bp RTPGE是用少于4对的信号线实现1Gbps传输），“未来的车载以太网，在不同的域，比如用于电力总成的、车体电子的、汽车辅助驾驶（ADAS）的、娱乐部分的，通过以太网汇总到网关，再通过以太网传输出去。这是未来的发展趋势。”

不过车载以太网和传统IT行业的以太网还是不一样的，汽车遭遇的环境和计算机不同，通常是不稳定、不可控的，受到温湿度、电池干扰等影响。所以汽车领域出现了包括BroadR-Reach、100Base-T1、1000Base-T1、TC8等在内的一些标准。“以前低速的总线很多没有统一的标准，以太网的好处就是将标准统一了。”

这些都是技术带来的新发展，不过“速度上来了，从电子学的角度来说就会有噪声，包括无线环境和有线幻境的噪声。”杜吉伟说，“而且采用高速总线，信号稳定性、信号质量问题也需要考虑；线缆连接头还要考虑阻抗是否匹配，有没有反射、损耗、串扰；各种DCDC直流转换，电源完整性如何。”“因为速率高的时候，信号变化速率快，0到1、1到0是急剧变化的，引起电流变化，就会有压降。有了压降，下一级电路未必能开启，就会产生问题。”

“很多问题都是信号速度变快以后产生的。而且未来可能还会有10Gbps、50Gbps，谁也说不准。像谷歌的无人驾驶车，因为暂且还不打算商用，所以用的是光纤传输，速度非常快。”这些实际上是针对车联网测试的必要性原因。就网络安全之外的部分，我们简单谈一谈。

是德科技针对车载以太网的测试方案，在物理层一致性测试方面，包含发射端（transmitter）、接收端（receiver）、链路分段。

“发射端测试主要用到一个示波器和函数发生器。示波器用于测试信号质量，包括测眼图、模板等；函数发生器主要用于产生时分信号。”这部分测试需要选择一个包含协议触发与解码软件包的测试解决方案，软件包查看数据流量和协议层动态，可节省调试早期设计的时间。按照杜吉伟所说，发射端测试方案“做了一个bundle，包括了对百兆（100Base-T1）、千兆（1000Base-T1）、TC8的多种支持”。

示波器与网分

完整的链路分段一致性测试解决方案需要有电缆测试、连接器测试、通信信道测试、连接器串扰测试，以及跨越整个通信信道的串扰测试。“网分（network analyzer）更多时候就用在这部分。”

接收端部分，“只用一个噪声产生器就可以了。”是德科技的100Base-T1接收机一致性测试应用软件能够自动配置必需的测试设备，起到简化一致性测试的目的。“业界拥有这类方案的企业不止我们一家，但接收端的测试自动化方案，目前就只有是德科技才有。”“在硬件基础上，我们开发了一套自动化软件，不用担心仪器怎么用。针对国际标准的测试项，你只需要选定测试标准，会自动生成测试报告。报告会告诉你，测试结果和标准之间的margin，对于元器件选择可进一步节约成本。”

右边这台是用于接收端的高斯噪声产生器

接收端方案中比较值得一提的是“Golden DUT（被测器件）”，“目前还没有其他厂商做这样专用的东西，就用户而言，没有必要所有的东西都做个仪器出来，结合golden DUT和噪声发生器，就可以做个完整的接收端测试，成本会更低。”

而在物理层以外，“从L1-L7，目前也只有是德科技一家是全覆盖的。”验证解决方案需要更高层的测试方法，比如汽车TCP/IP协议模型、时间同步（IEEE 802.1AS）、音频视频桥接传输（802.1Qav）以及预定的流量传输（IEEE802.1Qbv）协议实施。

当汽车网络安全测试初露头角

这次ATE展会上，是德科技展示的另一个重点就是汽车网络安全测试方案——“汽车网络安全计划”是是德科技今年7月发布的。面向OEM和Tier 1厂商，结合这些下游厂商的安全布局，“在整个研发和生产过程，以及售后服务中主动防范网络攻击。”

是德科技官方资料描述中提到，“汽车行业从产品开发之初，到整个开发生命周期，以及在售后服务中都必须高度重视汽车网络安全问题。”这个认识是信息安全行业一直以来在宣导的理念（虽然很大程度上也是信息安全参与者提升营收的一种必然说辞），不过鉴于开发与安全始终是两个割裂、对立的环节，尤其开发者与安全研究人员背道而驰的工作目标，这个理念的贯彻在传统信息技术行业并不受欢迎，毕竟安全既不会立竿见影，而且还妨碍开发效率、提升整体成本。

不过近两年IoT技术的发展，对这个理念是有很大推动作用的。以往的电子设备出现安全问题，企业需要做的无非也就是更新固件，或者召回产品，最严重的是承受巨额赔偿。但IoT渗透很多生产领域以后，情况就变得十分复杂：

卡巴斯基实验室安全专家Vladimir Dashchenko前两年曾经分享过一个很有意思的议题《The 2050: Bright Future or Dark Ages》，他举了医疗领域的例子，当常见的心脏起搏器成为IoT的一部分，那么如果这类植入式医疗设备发生安全问题，“召回”的难度将变得极为巨大，而且此时的信息安全问题关乎到了生命。这就让部分领域不得不将安全融入到开发的每个阶段中去，而不是在开发完成后才进行一些安全测试。因为这个时候发生的安全事件才是任何企业都无力承担后果的。

网关安全测试解决方案，在是德科技的资料中切分成了硬件和软件部分。硬件是针对外部攻击面的，是德科技的硬件可以连接有线、无线接口（CAN、以太网、USB、蓝牙、WiFi等），连接到DUT；最终落实到软件与服务部分，包含各种突破点测试，如针对入侵检测、防火墙的测试。举例说针对入侵检测，有面向各种exploit、非法流量等的检测，还包括了DDoS攻击检测；针对防火墙，则有常规的验证ACL规则、QoS服务、验证最大并行会话控制等。

就这些测试项来看，汽车的确已经成为了一个非常复杂的系统。

这其中尤为值得一提的是是德科技一个名为ATI（Application And Threat Intelligence）的威胁情报研究中心，TI威胁情报服务在安全行业实际上是个比较常见的概念了，它类似于一个定期更新的攻击库。这个团队应该是来自Ixia，针对信息安全的现有储备包括6000多个实时发生的攻击，3500多个实时存在的恶意程序，100多个绕过行为；库更新频率是每两周26个更新。

不过这个业务应该并不是专门针对汽车的，如上图所示，除了常规的DDoS、僵尸网络模拟、流量监测之外，还有安全服务中常见的蜜罐、web爬虫，以及海量IP/URL数据源之外，它能够识别“新型的APT”高级持续性威胁，以及识别一些未知的应用，这就属于安全中的高阶场景了。这应当是一个订阅式的服务，面向OEM和Tier 1厂商提供。

我们没有去深入了解这项汽车网络安全计划，在服务层面是如何贯彻到开发生命周期和售后服务的，不过是德科技提到了这项计划能够“帮助汽车制造商及其供应商，在全公司范围内实施和执行安全标准”，“在全公司范围内制定统一的测试程序，支持供应商认证和审核”。这大概就是杜吉伟所说，让原有各自为政的安全测试与解决方案，得到相对的统一——这也是就测试层面比较理想的方案。

Ixia的应用与安全测试产品，PerfectStorm ONE是个1GbE/10GbE的设备，能够模拟海量真实环境，用于测试和验证基础设施、设备或者是整个系统

然而最终，安全问题也是需要多方协力的，所以杜吉伟强调：“虽然我们有专门的ATI研究部门，但只靠我们一家并不能完全解决问题。所以我们和整车厂、零部件厂的研发部门合作，他们实际上是将我们的方案融合集成到一起的。”通过这种方式的合作，以更为理想的方式贯彻安全与合规。

虽然现如今路上开的大部分车仍然没有大范围应用以太网，而且网联车周边的基础设施也还并不完善，所以这项计划实际更着眼于未来；不过更早的布局在积累上会更有优势，针对汽车的安全测试业务如果能顺利执行，或许这对是德科技而言会成为一个相对长远的利润增长点，也是彻底发挥Ixia价值的重要组成部分。