<video id="mfngb"></video>


  • 公司新聞

    智能網聯汽車行業安全解決方案

    2018-12-22 23:53:31 292

    目錄        

    前言. 2

    國內智能網聯汽車安全現狀. 3

    智能網聯汽車安全風險分析. 4

    操作系統安全:. 5

    固件安全:. 5

    整車安全檢測:. 6

    智能網聯汽車安全檢測解決方案:. 7

    beSOURCE: 7

    beSTORM: 7

    Cybellum V Ray:. 8

    Cybellum V Monitor:. 8

    Zewer:. 8

    安全檢測工具相關汽車案例:. 10

    beSOURCE 源代碼審計. 10

    beSTORM 自動化黑盒模糊測試工具. 11

    Cybellum V Ray固件二進制漏洞挖掘與掃描. 13

    Cybellum V Monitor 汽車固件監控

     前言

    自從1886年第一輛汽車誕生以來,便捷性與安全性之間的矛盾就在愈演愈烈。2015年7月,黑客通過遠程指令的方式“劫持“正在行駛中的Jeep自由光,并最終導致其翻車。一連串對智能網聯汽車的攻擊破解,使得人們對智能網聯汽車的安全性畫上了一個大大的問號。而讓人最印象深刻的是2017年《速度與激情8》中,黑客通過入侵智能網聯汽車自動駕駛系統,控制了上千輛無人汽車,其破壞力讓人們留下了深刻的印象,也加速了人們對于智能網聯汽車信息安全問題的深入審視。

    7bf0abd9d882ac41f4dd8ec97bc243b8.png                                               

    早在2015年國務院印發的《中國制造2025》中,就已經把無人駕駛汽車作為汽車產業未來轉型升級的重要方向之一,“十三五”規劃中更是提出要積極發展智能網聯汽車的目標。2017年4月,由工業和信息化部、國家發展和改革委員會、科技部聯合印發的《汽車產業中長期發展規劃》中,明確提出到2020年,要培育形成若干家進入世界前十的新能源汽車企業,智能網聯汽車與國際同步發展;到2025年,新能源汽車骨干企業在全球的影響力和市場份額進一步提升,智能網聯汽車進入世界先進行列。

    智能網聯汽車的未來發展態勢十分明確,那么如何才能解決日益凸顯的便捷性與安全性之間的矛盾就顯得極為重要。本方案將綜合分析國內智能網聯汽車的現狀,并結合公司現有的安全產品與服務進行深入的探討,最后介紹公司對于智能網聯汽車的安全解決方案,希望能夠幫助智能網聯汽車企業解決潛在的安全性問題。

     b8914e32f1fc5d81a8c6b81e22d98ae6.png

    國內智能網聯汽車安全現狀

    作為物聯網重要的節點之一,智能網聯汽車具有十分顯著的終端設備屬性。智能網聯汽車內部包含了車載傳感器、控制器、執行器等裝置,融合了現代通信與網絡技術,從而實現車與(車、路、人、云等)的智能信息交換與共享。由于網聯導致的汽車攻擊面增加,信息安全問題是汽車智能化與網聯化的必然產物,而國外整車廠和零部件廠商均在研發和探討不同的應對策略和方案。

     

    隨著汽車智能化,網聯化和電動化程度的不斷提高,智能網聯汽車信息安全問題日益嚴峻,信息篡改,病毒入侵等手段已成功被黑客應用于汽車攻擊中,特別是近年來國內外不斷頻發的汽車信息安全召回事件。智能網聯汽車的信息安全問題不僅能造成個人隱私,企業經濟損失,還能造成車毀人亡等嚴重的后果,乃至造成國家公共安全問題。盡管當前智能網聯汽車的安全漏洞尚未被廣泛利用,但據統計,有56%的消費者表示信息安全和隱私保護將成為未來購買車輛的主要考慮因素。

     

    國內汽車信息安全問題于近3年才逐漸受到廣泛的關注,但是行業普遍缺乏系統認知,安全技術參差不齊,許多整車廠甚至沒有單獨的安全部門負責汽車相關的信息安全檢測和排查。 為此,2016年工信部委托車載信息服務產業聯盟網絡安全委員會對國內自主及在華外資車企、終端、零部件廠商等15家單位展開調研。結果證實國內整車廠基本沒有專門的信息安全管理機構,缺乏成體系的汽車安全檢測體系。現有的TSP供應商在服務平臺信息安全建設方面較為初級且缺乏系統性的解決方案,車主用戶數據管理體系缺失,車輛系統安全漏洞修復機制匱乏,網聯車輛用戶實名認證無法保證等問題。


    在汽車安全標準規范上,由于近幾年對智能網聯汽車安全的重視,國務院于2015年推出《中國制造2025》中提出要建立智能制造標準體系和信息安全保障體系,首次將汽車信息安全納入國家發展戰略。2016,國家發布《中華人民共和國網絡安全法》,明確要求包括車廠、車聯網運營商在內的網絡運營商需“履行網絡安全保護義務”,采取技術措施和其他必要措施,保障網絡安全。此法與2017年6月1日證實實行,對網聯車運營者提升網絡安全意識,起到了極大的作用。

    標準制定方面,全國汽車標轉化委員會于2016年同步推出了《智能網聯汽車標準體系建設方案》其中信息安全標準體系作為其重要組成部分,支撐著智能網聯汽車標準體系的整體架構。2016年底,汽標委ADAS標準工作組開展了國內汽車信息安全標準制定及聯合國、ISO等層面的國際汽車信息安全標準法規等協調工作。

     

    總體來看,國內現階段網聯汽車安全方面仍然處于初級階段,無論是汽車行業廠商,行業規范以及標準制定仍需多方面的完善。同時也需要第三方的安全供應商和咨詢團隊來幫助快速建立完善的網絡安全體系,因而我們根據對現有網聯汽車安全建設的理解,并結合自有產品總結了如下網聯汽車相關解決方案。

    智能網聯汽車安全風險分析

    從整體的趨勢來看,車載終端類型和數量的不斷增多,導致車載終端所面臨的安全威脅類型也在不斷增多,終端的節點層、車內傳輸層、終端架構層的安全風險將持續增大。車載終端的信息安全問題必須得到足夠重視,系統分析漏洞與危險風險,實施有針對性的安全防護策略,并部署相關的安全解決方案,才能保證整體安全防護的有效性。

    同時,智能網聯汽車在移動終端、移動通訊網絡、移動接入管理和業務平臺之間的網絡傳輸也需要引起重視。除此之外,隨著未來智能網聯汽車地不斷發展,云端安全威脅也不容忽視。考慮到車聯網中的數據采集上傳方式和云端平臺的海量數據儲存的處理特性,需要匹配更為適合的云平臺數據安全解決方案。

    與傳統的信息安全相同的是,針對智能網聯汽車的各類入侵攻擊依然需要利用不同維度,層面的安全漏洞方可實施,這意味著封堵軟件和硬件(固件)與生態系統等維度傳輸協議層面的安全漏洞是當前解決智能網聯汽車信息安全的重點。然而智能網聯汽車的典型終端屬性,又使其不能直接采用傳統的安全解決方案,需要依照智能網聯汽車的特性,有針對性的對傳統方案進行修改和定制,從而深入智能網聯汽車的生命周期,從智能網聯汽車的SDLC流程中進行檢測,從而防護和排除潛在的已知和未知漏洞。

     7caecdbfc9e5d60e8d1c845446c6c0b9.png

    從上圖可見,智能網聯汽車安全整體生命周期中,不同的節點需要的不同安全技術與解決方案,其中包括“檢測-保護-響應-恢復”四個節點。結合我們的產品和團隊技術優勢,此方案將重點聚焦智能網聯汽車安全生命周期中的檢測環節。

    操作系統安全:

    操作系統是智能網聯汽車的核心部分,同時也是整個汽車行業的大腦,所有的應用都在操作系統上運行。當前主流的智能網聯汽車分為兩個方向:非開源和開源。其中非開源的系統完全由車廠自主開發,比如寶馬iDrive。 開源的操作系統主要由Andriod, QNX 和 Linux。當前國內大部分車廠采用的都是Andriod 和 Linux的開源方案,雖然這樣做可以極大限度的降低成本,但其自身帶入的安全風險也不容小覷,如已知與未知漏洞,安全和健壯性的缺失等問題。操作系統的核心目標在于實現操作系統對系統資源的監控、保護、提醒,確保涉及安全的系統行為總是處于受控狀態下,而操作系統的健壯性則主要取決于操作系統的源代碼,源代碼安全是整個操作系統健壯性(代碼質量)和安全性(代碼安全)的根本。通過對源代碼進行靜態審計,可以快速發現代碼的潛在缺陷和漏洞,通過及時修正潛在的缺陷和漏洞,一方面可以提高代碼健壯性,一方面也增加了操作系統的安全性。

    固件安全:

    固件是指保存在具有永久儲存功能器件中的二進制程序。在微控制器為核心的ECU中,固件主要用于實現ECU的全部功能,其不但提供硬件的初始化、操作系統加載功能,同時也為上層軟件有效使用硬件資源提供調用接口,因此是汽車系統中重要的組成部分。

     

    隨著智能網聯汽車的普及和智能化程度的提高,ECU得到了廣泛的應用,而作為ECU核心器件之一的微處理器和微控制器也隨之呈現爆發式增長趨勢。固件作為ECU系統額重要組成部分,以靈活、多樣的形式方便用戶的使用,但同時也為汽車信息系統帶來了極大的安全隱患。針對固件安全問題,當前的重中之重主要集中在固件源代碼無法提取、固件代碼風險評估以及固件的安全加固的方面。例如在引入固件時,如何有效的檢測其固件代碼涉及的潛在公有和私有漏洞,是否存在信息泄漏,密鑰暴露,固件加固,以及固件持續監控等問題。通過對固件二進制代碼進行反匯編而形成的中間語言進行靜態+動態的安全檢測,可以有效的發現其中藏匿的安全漏洞以及安全風險,并幫組車廠快捷有效的解決固件安全問題。

     整車安全檢測:

    車輛安全檢測主要針對CAN總線協議,ECU,T-BOX,以及車內不同的通訊協議(Wi-Fi,藍牙,BLE)進行,通過檢測發現其健壯性和系統的安全異常。以CAN總線檢測為例,需要在檢測時對CAN總線同其他總線的操作性進行評估,以便了解CAN總線同其他總線的交互能力是否存在潛在的缺陷和異常;同時需要對其健壯性做評估,判斷在總線上發送干擾是否能夠引起整條CAN總線的異常和崩潰。

    通過對對應的協議和測試目標進行安全健壯性的模糊測試可以有效的發現其中潛藏的缺陷以及異常,并通過對輸入的模糊數據報文進行回放和復現,從而定位相關的問題并進行重點的修正,極大程度的減少整車的潛在安全和健壯性問題。

    綜上所述,從智能網聯汽車安全生命周期管理DPRR的檢測(D)節點出發,其中包含了代碼安全審計,固件漏洞掃描,以及整車安全檢測三個維度。貼合汽車生態的SDLC流程,從最初引入源代碼安全質量審計,到對固件二進制進行反匯編安全漏洞風險掃描,到最后的整車安全檢測,全方位的對智能網聯汽車生命周期中可能存在的安全風險進行檢測,從而最大程度的做到防患于未然,幫助汽車廠商更加快捷有效的發現并修正潛在的安全漏洞與缺陷。

     智能網聯汽車安全檢測解決方案:

    由于智能網聯汽車的普及:

    l  使我們日常生活中的汽車暴露了許多可以被黑客攻擊與利用的攻擊面,其中包括作為汽車最后一道防線的CAN Bus總線,車載Wi-Fi, 藍牙,USB和多媒體文件等。

    l  由于汽車內搭載部件的功能越來越復雜,部件的供應鏈條越來越繁瑣,整車廠對于采購固件的內部代碼與安全性越來越難以管控和排查。

    l  由于自動駕駛和娛樂系統的升級與普及,整車廠仍然在進行一定量級的研發與產品開發,但由于整車廠研發人員并不像傳統IT人員一樣擁有較高的安全開發敏感度,所以對源代碼安全的管控與審計也變得日益重要。 

    針對以上問題,Beyond Security設計出了一套針對現代智能網聯汽車的安全檢測解決方案,其中涵蓋了源代碼安全,整車安全,固件安全等維度。以求通過自動化的高效方式幫助整車廠更好的檢測和管控上述的安全問題。

    其方案主要涉及了以下產品:

    beSOURCE:

    無需編譯運行被測代碼,僅通過分析或檢查源程序的語法、結構、過程、接口等來檢查程序的正確性,找出代碼隱藏的錯誤和缺陷。為了保證源代碼的安全和減少源代碼的質量缺陷,引入靜態源代碼檢測機制,保障軟件的安全與質量。靜態代碼檢測能夠發現軟件源代碼中的安全和質量問題,并對相應的問題進行定位,提供相應的修正方案。靜態代碼檢測有助于在早期發現潛在的代碼安全和質量問題,如:變量聲明但未使用、變量類型不匹配、變量在使用前未定義、不可達代碼、死循環、數組越界、內存泄漏等。

     beSTORM:

    模糊測試是傳統安全測試中十分有效的技術,是近十幾年發展起來的一種健壯性/漏洞挖掘技術,現實網絡中可能存在各種報文的攻擊,模糊測試通過大量的畸形報文攻擊嘗試去觸發設備中的未知漏洞與缺陷,與傳統的安全測試方法相比,它無需接觸源代碼,并且能夠發現隱藏的漏洞和相關協議的健壯性問題。


    模糊技術也是黑客們進行攻擊時常使用的一項攻擊技術,在世界安全黑帽大會上就曾出現黑客利用對TLV協議的內容進行模糊,從而通過產生的畸形數據進行攻擊,并成功的對Cisco Energy Wise注入惡意木馬。 所謂知己知彼,為了更好的對漏洞和攻擊進行防護,我們需要像黑客一樣去逆向思考,從而找到漏洞的根源所在。

    Cybellum V Ray:

    針對固件二進制的安全漏洞和風險檢測技術,提供基于二進制碼的反向編譯、虛擬運行,無需接觸源代碼,自動的檢測與發現安全漏洞與威脅。同時為汽車企業提供完整的組件可見性和風險評估。自動遍歷和掃描固件二進制文件以查找所有潛在的已知安全漏洞和安全威脅。并以已知和私有漏洞的利用方式為樣本,通過機器學習提煉攻擊算法,從而通過虛擬運行發現二進制文件中的未知漏洞。為掃描的組件提供全面的網絡安全可視性。

     Cybellum V Monitor:

    通過對Cybellum V Ray掃描過的固件進行持續的輿情監控,幫助整車廠進行固件的事后跟蹤和防護。V Monitor在公有,私有和暗網源中針對相關固件的框架結構和掃描結果,自動的匹配最新相關漏洞和威脅信息。可以與整車廠(OEM)庫存管理系統集成,自動關聯裝載問題固件的車輛,提高問題和風險修正的效率。幫助整車廠對已部署的汽車固件進行更好的漏洞威脅跟蹤管理和進行及時的防御和整改。

     Zewer:

    集中審計管理平臺,通過Zewer可以與上述4款工具集成,對整個智能網聯汽車的安全缺陷檢測進行整體的管控和跟蹤。支持針對缺陷跟蹤的缺陷數據自動導出,自動生成工單。支持的缺陷跟蹤系統有:Jira, Bugzilla, Redmine, SMCC等。個性化的分析圖表可以依據安全標準,策略基線,修復優先級等維度進行統計和比對。豐富的接口以匹配更多的第三方工具如Checkmarx, Fortify SCA, Findbugs 等。在平臺級別引入缺陷知識庫,庫中可以對不同的掃描結果進行黑名單(漏報)和白名單(誤報)的增設解決可能出現的漏報和誤報問題。

    結合以上的5款安全產品,從代碼編寫的安全質量到整車的安全健壯性檢測,汽車廠商可以全方位的對潛在的漏洞與威脅進行防護和加固。如下圖所示:


    由上圖所示:

    e6a09029e9841c918c6a51996c8e834f.png

     

    從整車廠à一級供應商à二級供應商,可以利用Cybellum V Ray, beSOURCE和beSTORM進行從源代碼(代碼編譯前);固件二進制(代碼編譯后);開源框架;整車協議和不同媒體格式的全方位安全漏洞與威脅的檢測與修正。在不同層級對質量與安全方面進行驗收,在流程上更好的管控潛在的漏洞與安全風險。(事前)

    在汽車組裝完成后,可以利用Cybellum V Monitor對車內已經部署的固件進行持續跟蹤。如已有的固件框架發現新的漏洞或基于V-Ray的掃描結果發現新的威脅,V-Monitor將會在第一時間通知整車廠,車廠可以第一時間利用TSP云平臺或OTA進行遠程的軟件補丁修正或及時采取必要的措施。(事后)

    最后通過Zewer集中審計管理平臺對beSOURCE, Cybellum V-Ray, beSTORM 和 Cybellum V-Monitor的結果進行集中管理和匯總,并匹配對應的缺陷跟蹤系統進行有序的修正和跟蹤。同時根據可能出現的漏報和誤報,制定針對與不同工具的黑白名單,持續改進車廠對于安全漏洞和缺陷的檢測和管控,做到防患未然。

     安全檢測工具相關汽車案例:

    beSOURCE 源代碼審計

    對汽車部件中經常涉及的OpenSSL開源框架進行源代碼審計,排查其源代碼是否涉及潛在的安全違規與安全風險,并在源代碼級別進行整改,提高源代碼的安全性。(OpenSSL : 是一個安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,并提供豐富的應用程序供測試。主要是通過多種數據加密技術,保證信道的安全,使傳輸的IPV6凈核數據不被竊聽或截取。)

    測試的結果:

    315a07fb725a771669467c68d42ae8d9.png

    根據beSOURCEC語言安全規則集,OpenSSL開源框架中有483個文件涉及高危的代碼安全編寫違例。另外有16個文件涉及高風險的安全違例,485個文件涉及中等風險的安全違例。

    beSTORM 自動化黑盒模糊測試工具

    汽車行業案例一:

    車載娛樂系統測試

    日本某汽車廠商娛樂系統安全測試,該測試耗時2天,并提供了兩種不同類型的娛樂系統供測試。測試范圍對藍牙,USBWi-Fi三種協議和文件格式進行了模糊安全測試。最終這次測試所發現的關鍵性問題如下。

    1.       USB相關

    發現兩種不同類型的USB消息會觸發系統的硬鎖,在第一個測試對象上,需要硬重啟(拔下汽車電池)以獲得重新的響應。而在第二個測試對象上,USB子系統變得不可用 (它不能再被用作歌曲和媒體的外部源)。請注意,此行為通常表示攻擊要么可以寫入正常無法訪問的程序內存位置,要么可以導致執行導致系統崩潰的惡意代碼。如果這種情況實際發生,熟練的攻擊者可以使用它來進一步訪問系統進行進一步的滲透。

     2.  WAV媒體文件相關

    發現在第一個測試對象上,顯示器被凍結,不再對輸入作出響應,系統的信息部分不可訪問,但與信息系統無關的其他信息仍然可訪問。在第二個測試對象上,娛樂系統顯示器明顯出現反應遲緩并滯后于用戶提供的命令,并出現超過1秒的系統延遲,即使移除媒體文件(拔掉USB)后系統仍未恢復,只能重啟軟件才能恢復正常(重啟汽車)。

     3.  與藍牙相關

    對于第一個測試系統,我們嘗試了兩種類型的藍牙通信(RFCOMM和免提協議),格式錯誤的RFCOMM消息導致系統與連接對象斷開連接,并且不允許在超過1分鐘的時間內重新連接,這給系統用戶造成了很大的困擾,因為沒有跡象表明為何用戶不能通過藍牙與娛樂系統進行連接。 在第二個測試對象上,無效的RFCOMM消息仍然會導致斷開,但系統在5-10秒內恢復并允許用戶再次與系統重新連接 - 所以斷開效果減弱。

     汽車行業案例二:

    CAN Bus總線協議模糊測試

    測試項目背景:現今CAN Bus總線協議廣泛應用于汽車行業。 使用該協議的汽車產品和系統的開發一直在以驚人的速度發展,但CAN Bus總線技術在如今網絡安全十分敏感的今天暴露出了它的缺陷,由于它設計之初沒有考慮到通訊安全的因素,甚至連關鍵的高速CAN Bus部分也能隨意訪問,因為我們訪問CAN Bus總線上的信息是不需要身份驗證過程的,所以給了黑客們攻擊汽車的可乘之機, 利用模糊攻擊與滲透等技術手段,黑客們經常發現許多汽車產品和系統(比如:ECU)的非重復性安全漏洞。

    測試方法:為了解決這個問題,我們開發了一套CAN總線應用和設備的安全測試套件。 它由動態安全模糊測試工具beSTORMCANbuster ECU模擬器組成。對于CAN總線安全測試,beSTORMCANbuster聯合使用,CANbuster可模擬車輛電子控制單元(ECU),并允許QA在實驗室環境中測試與模糊各個系統組件。(以下圖為例:)

    7b46b55668a3e79fe83a64bdecd8cb7f.png

    1.電源,在右上角。

    2. YJ1962 連接線,在底部。

    3.汽車HUD裝置,中間底部。(測試對象,現實情況為產品和應用,如ECU等)

    4. CANbuster設備,右側中心。

    5.筆記本電腦上的beSTORM,左側。

    測試結果: 通過上述的測試方法,我們測試的ECU設備提出了許多致命的缺陷,因為它們在開始測試的幾分鐘內重復的崩潰,并且它們允許編程非法輸入代碼并呈現為顯示和聲音的錯誤。這些都是黑客入侵的早期指標,經過進一步調查后,可能會導致對ECU設備進行某種程度的非法輸入控制。 

    Cybellum V Ray固件二進制漏洞挖掘與掃描

    汽車案例一:某美國汽車廠,車載娛樂信息系統二進制文件漏洞掃描與挖掘

    1b16b3a9d2b00d53f17556d89dcb004b.png


    通過對其車載娛樂系統的二進制文件進行靜態掃描與動態模擬,Cybellum V Ray 發現了13個安全風險,其中涉及未知漏洞(私有漏洞)3個,公有漏洞4個,潛在密碼泄露和未加密信道 2個,信息泄漏風險 2個,以及二進制文件中違反了兩處國際的汽車安全規范。其中在對二進制文件進行分析時,也發現其車載娛樂系統文件中有采用以下開源框架。

    aeb2dfbfdaec4ee20a0ee7ce2d81d64a.png


     

    汽車案例二:

    某德國汽車廠 ECU二進制文件漏洞掃描與挖掘

    試項目背景:這次評估的目的是去測試汽車中最重要的ECU部件,該部件在之前已經通過相關的安全檢測并證實為安全。目標是全面了解其組建的成分和漏洞-從公開漏洞到未知漏洞并且提供響應的可操作的方法。

    測試方法:在測試部件的過程中,我們一共使用了兩種Cybellum V Ray自動掃描的科技和評估方法。第一種是靜態的分析,包含了通過自動化二進制反編譯提取和訪問所有的數據和元數據,以此為部件制造商的安全部門提供一個有關其部件內部成分的全面解析。同時從泄露的加密密鑰到易受攻擊的過時組件中,分析可以被黑客基于靜態識別利用的潛在安全問題。與此同時,通過在專有環境中執行該組件來進行動態掃描和評估。

    結果:在收到零部件制造商的封閉二進制文件并建立環境后的幾天內,V-ray解決方案便生成了一份全面的動態報告。這份報告包含了超過七十個的未知零日漏洞,分為不同的等級和嚴重程度,使產品所有者和安全部門成員可以優先管理和減輕嚴重的威脅。作為評估過程中的一部分,每一個漏洞都被Cybellum的安全專家和汽車零件制造商的安全部門驗證, 在這個過程中,所有的被V-Ray所檢測出來的安全威脅都被汽車零件制造商所接受。

    fc7eda2d8fbb3622d4772626c29b552b.png

    Cybellum V Monitor 汽車固件監控

    某美國汽車廠商,在通過Cybellum V Ray對其固件進行漏洞的挖掘與掃描后,通過Cybellum V Ray對已部署的整車固件的漏洞與安全威脅進行持續的監控并發現了如下問題:

    c7900120e30a34283fc98efe874f1e0c.png

    對于其固件二進制文件中的libssl模塊,發現其中的已知漏洞CVE-2016-4565在暗網中有對其進行相關利用和滲透方法的交易記錄,表明這個已知漏洞的利用方式已經在網絡中散布。并通過關聯美國汽車廠商的存貨管理系統,發現這個已知漏洞的危險將有可能影響4,000,079輛汽車。除了這個威脅,我們還監控到潛在的信息泄漏風險與libssl模塊的新已知漏洞CVE-2018-2416

     

     


    oidgrαnny日本老熟妇,freemovies性中国china,水萝拉日语中字在线,亚洲美利坚色在线观看 网站地图