2015美国汽车安全峰会参展纪实（多图杀猫）

下面出场的两位来自德勤公司，没错就是全球4大会计师师事务所的Deloitte。德勤也有自己的IT咨询服务部门。Joe Kwenderis首先提到车联网发展的趋势是 passive safety – active safety – proactive lookout dangerous conditions. 接下来是digital exhaust 和 car data ownership灰色地带的问题。他的搭档讲了相关的风险：隐私泄露，reputational risk, data quality和汽车攻击。结尾部分是如何防范汽车攻击：secure – vigilant – resilient. 同样的遗憾是依然缺少技术细节。

接下来的演讲总算满足了技术geek的愿望：来自密西根大学车联网实验室的韩裔博士后 Han 介绍了过去几年他在汽车总线系统加密认证的研究成果和一些研究论文的总结。主要思路是修改CAN 协议包，增加认证字段。认证机制包括trusted zone和HSE Hardware Security Extension. 在这种思路下，任何接受到的CAN 包都要先通过认证再执行。可以延伸出认证网关的概念和车内IPS。最后介绍了一些目前正在进行的项目。这个思路有两个短板：1. 对CAN协议包格式的修改和推广新的协议在近期是不可能的。这意味着对几乎所有车辆底层系统进行大修，推广阻力巨大。 2. 研究表明，对汽车总线通信进行加密后，刹车延迟2秒钟反应，这会出人命的。提问环节中，我问到了这个点，他回答目前没有进行整车级别的测试，无法知道结果。

峰会第一天（3月31号）：国内汽车厂商应搭上物联网的便车

上午7点半就开始了。演讲人来自于一家汽车供应商，所以内容还是有些干货的，但还是仅仅对汽车安全从外围泛泛而谈，他介绍了不同汽车的ECU数目，汽车代码有多少百万行。汽车安全白帽子对推动汽车安全法律措施制定的帮助：欲速而不达，过度宣扬汽车漏洞威胁论达不到目的，反而会加大和车厂的对立程度。

比较欣赏他对车联网未来10年的几点展望：

• 网络安全攻防技术分享
• 网络安全专业学习布线么？
• 360安全浏览器6.2：您的网络安全守护者
• 网络安全审查办法是什么？
• AT&T推出AirGig计划：有电线的地方，就有千兆网络