本文由李玉峰,陆肖元,曹晨红,李江涛,朱泓艺,孟楠联合创作
1 网络安全威胁与防御技术
自动驾驶和联网使汽车变成非常复杂的网络物理系统21,也使攻击者看到了新网络空间的更多攻击面,本文总结了CAV的攻击向量,如图2所示。
图2 CAV攻击向量
一方面,自动驾驶水平的不断提升,使汽车系统设计工程越来越庞大和复杂,质量控制变得越来越难,可被利用的设计缺陷可能越来越多。自动驾驶的发展伴随着软件代码的剧增,其软件代码可超过1亿行,代码数量远超过现代的操作系统或波音757等的代码数量。每千行代码的缺陷数是评估软件质量指标的重要参数,每1000行软件代码存在5~20个错误。软件缺陷中很大一部分是可以被攻击者利用的漏洞,这些程序漏洞可能导致该软件系统的完整性、可用性或机密性受损。
另一方面,各种方式的联网为乘客体验带来了明显的优势,但它同时也打开了智能网联汽车的各种攻击入口。从车内网络来看,摄像头、雷达、激光雷达等感知器件,远程信息处理盒T-BOX、车内网关等通信设备,CAN、LIN、MOST、FlexRay和以太网等通信协议,OBD-II端口、EV充电接口和USB等外部接口以及各种车载网络应用等,在攻击者的视角里都是可以展开攻击的入口。从车辆与其他实体间的联网来看,它涵盖了V2V(vehicle to vehicle,车辆到车辆)、V2I(vehicle to infrastructure,车辆到基础设施)、V2P(vehicle to pedestrian,车辆到行人)和V2N(vehicle to network,车辆到网络)通信。为了实现V2X通信,车辆配备了不同的无线通信系统,例如专用短程IEEE802.lip/DSRC技术和基于移动蜂窝通信系统的C-V2X技术。其中,C-V2X包括LTE-V2X和NR-V2X,这些通信技术以及车载自组织网络(vehicular Ad hoc network,VANET)的各种组网协议和技术,都是攻击者关注的重要攻击入口。此外,鉴于CAV的云平台应用以蜂窝网通信为基础,它面临“云、管、端”模式的安全风险及第三方入侵并破坏CAV系统关键功能的风险。
3.2 智能网联汽车网络安全需求
在概念设计和开发的早期阶段确定CAV的网络安全需求,对于确保车辆和乘员安全非常垂要,身份验证、完整性、私密性和可用性是安全系统最重要的先决条件。
(1)身份验证
通过验证通信参与者身份并防止所有未经授权的访问来保护敏感信息和关键数据。CAV中的身份认证包括涉及根访问应用程序的可靠身份验证、CAV内部和外部连接的充分身份验证、敏感信息访问的身份验证和CAV内部设备的身份认证等。身份认证在系统设计的早期阶段需要仔细考虑,本质上,只有认证的各方才能够访问消息并检索其原始内容。为了满足认证要求,密钥管理和分发必须高效且准确。
(2)完整性
数据完整性主要指数据在其整个生命周期中必须完整。在CAV网络中,至关重要的是能够验证消息在传输过程中是否受到了诸如噪声和衰落之类的干扰影响以及攻击者故意的数据破坏。此外,软件的完整性、协议的完整性也是重要的安全要求。需要在设计时纳入完整性检查技术,如Hash、安全协议和数据分组过滤等。
(3)隐私
CAV网络包含个人身份、付款账户信息、通讯录信息、位置信息、车辆电子标识等隐私信息。在V2V和V2I的通信模式中,车辆采用不同的技术来共享信息(例如地理位置信息),而这些共享信息可能被恶意用来跟踪用户,因此需要进行隐私保护。此外,还需要考虑被动第三方(例如行人)数据的隐私保护,因为汽车可能会从未经授权的访问中收集、使用或共享隐私数据。
(4)可用性
可用性旨在将CAV安全状态维持在预定义和可接受的阈值以下。车联网是高度动态、实时响应的网络,在正常操作条件下实现持续可用已经具有相当大的挑战性,如果某些部件和软件在使用中面临必须更新或打补丁的情况时,更难保障可用性。因此,在设计初期就应该考虑冗余备份等可用性保障技术,当CAV网络某一部分出现故障或暂时中断时仍能保持网络可用。
3.3 网络攻击分类及技术对策
本节从认证/鉴权、可用性、完整性、隐私保护4个方面归纳了与智能网联汽车相关的网络攻击及相应的技术对策。
3.3.1 认证/鉴权攻击及相关技术对策
身份真实性是CAV网络的首要要求,以保护其免受多种攻击,包括Sybil攻击、假冒攻击、密钥/证书复制攻击、GNSS欺骗攻击等。身份认证过程中的任何缺陷都可能对整个网络造成严重后果。
•Sybil攻击意味着一个恶意的车辆创建或者盗用大量的假身份,向网络中的其他节点(例如其他车辆或路侧单元)发送虚假消息,而其他节点若无法检测到攻击者的真实身份,可能认为恶意消息是合法的。例如,当攻击者在某些位置创建大量假名时,某个位置的CAV数量增加,交通系统可能认为该位置存在严重的拥堵状况,从而迫使其他车辆更改自己的路线。为了克服这种攻击,任何通信实体都应使用加密方案和身份确认方案。
•假冒攻击意味着攻击者通过有效的网络标识符将信息传递给合法节点。一个人假装自己是另一个人以获取利益或隐瞒其真实身份,在这种情况下,攻击者通常可以假冒授权用户访问授权方的登录详细信息和密码,攻击者可以通过钓鱼攻击和中间人攻击等方式,拦截、分析和寻找网络中带有身份验证信息的分组来实现假冒攻击。在CAV网络中,恶意节点可能冒充路边单元,诱骗用户泄露其身份验证详细信息。获取身份验证信息后,它可以用其访问分类信息,甚至可以用其作为与其他方的身份验证。攻击者还可能冒充其他车辆来获利。已经提出了许多应对假冒攻击的方法,例如可以通过使用更完善的身份验证方案来应对假冒攻击。
•密钥/证书复制攻击是指一个或多个节点使用重复密钥/证书声明合法身份。已有儿种密钥管理方案可以应对这种攻击。
•GNSS欺骗攻击是利用欺骗、替换GNSS信号方式来伪造位置信息。GNSS欺骗攻击可以引发其他类型的后续攻击。通过使用基于加密和经过身份验证的位置信息,可以防止此类攻击。
3.3.2 可用性攻击及相关技术对策
可用性是CAV强制性要求,与传统的1T系统不同,网络安全CIA(confidentiality,integrity and availability,机密性、完整性和可用性)三要素中,可用性是CAV系统中最重要的目标。针对智能网联汽车的可用性攻击包括干扰攻击、恶意软件攻击、DoS(denial of service,拒绝服务)或DDoS(distributed denial of service,分布式拒绝服务)攻击、黑洞攻击、消息延迟攻击等。
•干扰攻击是发出干扰信号以破坏通信信道。GPS、雷达、激光雷达、摄像头等部件正确地感知信息是自动驾驶汽车正确决策的先决条件,这些部件容易受到光、电磁信号和其他物理形式的干扰攻击。对干扰的检测具有一定的挑战性,设置冗余部件和多传感器数据融合方法是对抗干扰攻击的有效方法。
•恶意软件攻击通常包括病毒、蠕虫、间谍软件、广告软件和特洛伊木马等。恶意软件对车联网具有极大的危害,由于车联网是高度动态的,并且经常需要更新,因此车辆必须确保其接收的更新信息的来源可信,如果车辆接收了伪造的更新要求并安装了恶意软件,则会带来很大风险,某些情况下还会导致严重故障。一般来说,可以通过使用恶意检测和防火墙来缓解这种攻击。
•DoS或DDoS攻击通过向CAV信息系统发送大量垃圾数据,阻断车辆内部网络(例如CAN总线)和/或外部网络(例如C-V2X),以使车辆无法正常提供服务,该攻击通常被认为是对车辆相关信息系统可用性的最严重威胁之一。一般可以采用身份验证、防火墙、入侵检测等方案应对此类攻击。
•黑洞攻击。在黑洞攻击中,攻击者没有将数据分组转发到目的地,而是将其丢弃,从而造成了一个黑洞。这种类型的攻击能够阻断车辆之间的信息,如果攻击者位于两辆CAV之间的关键路径中,则黑洞攻击可能意味着这两辆CAV无法彼此通信并变得孤立。黑洞攻击可以通过多种方式缓解:引入信誉机制;机器学习也可以在网络中实施,以检测恶意行为的车辆,预测哪些路径将是安全的。
•消息延迟攻击。延迟的消息影响系统的正常工作,特别是对于时间紧迫的任务。可以通过使用经过身份验证的计时方法来防止这种攻击。
3.3.3 数据完整性/数据信任攻击及相关技术对策
攻击者,尤其是那些经过身份验证的攻击者,可以轻松更改数据或创建虚假数据。因此,为了防止/减轻对数据完整性的攻击,必须进行安全的通信和信息加密。
•伪造信息攻击:Sybil攻击可以看作伪造信息攻击的一个例子。攻击者可以通过散布关于道路拥堵的伪造信息获利,他们还可以通过发布伪造信息造成拥堵,这种攻击实施简单、代价很低,所以可能会被广泛使用。而且由于车联网的分布式特性,这种攻击还可以产生很大的影响,如果攻击者能够让下一辆合法车辆转发了它的伪造
信息,那么这辆车就会在不知不觉中成为攻击者。通常使用消息签名和基于信誉的方案对这种形式的攻击进行防御。
•重放攻击:表示数据被欺诈性地重复或延迟,当攻击者使用先前生成的帧与其他节点通信时,将发生重播攻击。可以通过使用序列号、时间戳和安全通信来防止重放攻击。
•伪装攻击:是指使用伪造身份获得对系统的访问。例如一个恶意节点伪装成紧急车辆,使周围的车辆被诱使减速、改变车道等。有效检测恶意组件和身份验证可能是应对此类攻击的方法。
•数据篡改攻击:合法节点可以通过捏造和广播虚假消息来进行此攻击。主要的对策是签名并验证传输的消息。
3.3.4 保密/隐私攻击及相关技术对策
CAV的位置、智能交通系统安全消息和驾驶员个人信息等,未经授权不能泄露给非法实体。可以使用信息加密和安全通信来避免信息泄露。
•窃听攻击是试图通过监听网络通信来窃取信息。对汽车内部网络来说,窃听轮胎气压、蓝牙或CAN消息是一种攻击。此外,由于无线电频道的广播性质,为了更新驾驶状态而进行的V2V通信容易受到窃听攻击。窃听可能不会影响可用性,但是敏感信息会泄露。可以使用安全通信来防止窃听。
•拦截攻击拦截通信信号,然后尝试分析并提取有用的信息。Garcia等利用一个40美元的无线电设备拦截获取目标车钥匙的解锁信号,之后经过较低代价的计算,即可获取目标车钥匙的全部信息,进而任意解锁目标车辆。这个结果适用于全球将近1亿辆汽车,可以釆用高等级的加密方案来减轻数据拦截攻击。
对智能网联汽车的威胁及对策做一个小结, 见表1。
2 安全策略
应对CAV网络安全风险的常用方法除了加强防御技术研究之外,还包括相关的立法、标准、管理、培训等策略。
网络安全专家提供了大量解决方案,以确保更好的CAV网络安全。中国通信学会发布的《车联网安全技术与标准发展态势前沿报告(2019)》对世界各国的车联网安全立法、标准推进、技术态势等进行了较全面的总结。建议各国应加强对生产自动驾驶汽车公司的监管。建议采用网络安全排名措施促进安全技术进步。
自2016年以来,美国汽车信息共享和分析中心(Auto-ISAC)一直在维护一系列汽车网络安全最佳实践,为实施汽车网络安全原则提供指导。欧盟网络安全局(ENISA)发布了智能汽车安全的优秀实践。这些实践给出了在设计安全、风险管理和技术实践方面的建议:在设计安全上,强调需要从产品开发的开始就考虑安全要素,贯穿整个供应链以及整个CAV生命周期;在风险管理上,针对智能汽车的新兴威胁和攻击场景,采用专门的管理方法,包括从设计过程的最初阶段就开始进行网络安全风险分析且定期修订,监控安全漏洞,在开发阶段进行例如渗透测试的安全评估,建立威胁情报流程以及及时了解新兴的攻击类型、来源以及新的相关漏洞等。
最后,如Yan等所发现,加强人们的网络安全意识是增强CAV网络安全的关键问题。人们在正确评估网络安全风险的能力方面存在差异,有23%的人正确处理了不到一半的网络安全方案;只有4%的人可以正确处理超过90%的网络安全方案。此外,冒险的网络安全行为通常与对自动化技术的过度信任有关当驾驶员对汽车的信任度过高时,它更容易受到攻击。一个开放的研究问题是如何向公众解释这些网络安全问题以及如何对人们进行相关的网络安全的培训和科普。
3 未来技术方向
汽车产业正从过往仰赖机械元件运作,如火如荼地向智能联网目标前进。随着继续将全球供应链生产的芯片、协议、应用、代码、算法等添加和集成到智能网联汽车中,网络安全风险不断攀升。
只有在安全的前提下,智能网联汽车行业才能获得公众的真正认可。与其他行业的网络安全技术研究相比,智能网联汽车的网络安全研究刚刚起步,需要开启或进一步研究的方向很多,本文列举了其中一部分,见表2。