智能汽車信息安全技術現狀與展望

導語：智能汽車信息安全技術現狀與展望一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:隨著智能化水平及車聯網技術的不斷發展,智能汽車應運而生,被視為能夠徹底解決交通擁堵、提高出行效率、減少事故發生率的絕佳方式。科技的發展帶來高效與便捷的同時也帶來了極大的不安全性,黑客利用智能汽車存在的漏洞實行遠程或近程攻擊,造成車輛失控、隱私數據泄露等威脅。從智能汽車通信安全、操作系統及應用安全、感知層安全等角度出發,針對各個層面的安全威脅及安全防護技術發展現狀進行總結梳理,并在此基礎上對智能汽車信息安全技術發展趨勢進行展望。

關鍵詞:智能汽車;車聯網;信息安全;信息防護

隨著互聯網技術、車聯網技術的高速發展以及產業變革的不斷推進,智能汽車受到越來越廣泛地關注,被視為解決交通擁堵、降低事故發生率、提高駕駛乘坐體驗的重要途徑,成為當今互聯網巨頭公司和各大科研機構研究的熱點方向之一。智能汽車使交通出行變得更加智能化、便利化的同時,也帶來了一系列的安全問題。由于車輛接入了互聯網,因此智能汽車內部的控制單元、傳感單元、通信單元、ECU單元均存在被入侵的風險,諸如黑客控制車輛行駛軌跡、盜取車主個人信息、破壞駕駛系統等安全事件的頻發也為智能汽車的發展敲響了警鐘,此類安全問題造成的后果往往比傳統信息安全問題更加嚴重,更加難以預防。為應對諸多信息安全問題,智能汽車信息安全技術越發受到重視。本文作者從通信系統安全、應用及操作系統安全、感知系統安全3個角度對智能汽車信息安全威脅及防護技術進行綜合回顧,并對智能汽車信息安全技術的發展趨勢進行分析展望。

1威脅現狀分析

1.1整體架構。結合智能汽車易出現漏洞威脅的位置及車聯網的結構組成,智能汽車信息安全架構如圖1所示。文中將智能汽車信息安全分為4個維度,其中數據安全貫穿于智能汽車網絡數據交互的始終,因此分別針對通信系統、應用與操作系統、感知系統威脅場景及安全防護技術進行分析梳理。1.2通信系統。智能汽車通信系統安全涉及兩個層面:(1)以蜂窩網絡、WIFI等為主的外部通信系統(V2X);(2)以CAN總線為主的車輛內部總線通信系統。1.2.1V2X外部通信V2X使車輛真正做到了車與車(V2V),車與基站(V2I)、車與云端(V2C)互聯,是車聯網的關鍵支撐技術。同時基于通信系統存在的漏洞實現入侵也是黑客最常見的手段之一[1]。車外通信系統常見的安全威脅主要有傳輸數據遭到泄露、修改、破壞[2],安全風險點有端口安全、身份認證、傳輸安全等。1.2.1.1端口安全端口安全是指車聯網通信系統中存在可被利用的端口,黑客通過端口對系統實施入侵,例如EDWIN等[3]通過對IVI的WIFI模塊進行結構化漏洞掃描,發現可輕易獲得開放端口、物理地址、芯片廠商名稱、FQDN、mDNS主機名、時間戳、行駛路徑等敏感信息,同時可通過WIFI開放端口入侵IVI的文件系統并竊取照片、視頻、音樂、文件等數據;MILLER等[4]通過對移動蜂窩通信端口進行入侵,實現了對IVI的控制,進一步實現了對車輛的遠程控制。因此,為確保智能汽車信息安全,可使用端口掃描工具對T-Box、IVI、云平臺中涉及的端口進行掃描,查看高危端口是否開放,是否存在可被利用的漏洞。1.2.1.2身份認證身份認證是指對通信雙方的身份進行認證的過程,有助于識別虛假設備及虛假信號,防止出現中間人攻擊等威脅[5]。由于智能汽車經常處于快速移動的狀態中,因此對于通信系統的時延要求極高,車聯網系統通常簡化身份認證過程(例如共享密鑰由通信伙伴制定),這種不安全的身份驗證機制,可能使黑客輕松的偽造身份并入侵通信系統。例如,攻擊者采用MITC(Maninthecloud)攻擊的方式,通過令牌進行身份欺騙,可以訪問云賬戶,竊取數據,更改文件信息,甚至上傳惡意文件[6]。在車輛網絡中,大多數隱私防護方案都容易受到女巫攻擊(SybilAttack)[7]的威脅,黑客通過惡意節點制造大量虛假的身份不斷攻擊通信系統,從而中斷車輛網絡的正常運行,如圖2所示,攻擊者通過產生女巫節點V3,對周圍自動駕駛模式下行駛的汽車V1進行干擾致其變道,追尾正常行駛的汽車V2,導致事故發生。1.2.1.3傳輸安全傳輸安全是指數據在傳輸過程中所涉及的數據安全、加解密安全等。智能汽車數據在傳輸過程中易受到的典型攻擊方式[8],大致可分為時序攻擊、干擾攻擊、中間人攻擊、暴力破解、欺騙攻擊等。時序攻擊[9]是指在不改變原本傳輸數據的情況下,通過向時間槽中添加更多信息造成正常數據傳輸延遲。智能汽車對時延極其敏感,假設車輛以60km/h的速度行駛,0.1s的時延就能造成剎車距離增加1.6m,因此時延攻擊極有可能造成重大交通事故。干擾攻擊[10]是指干擾智能汽車與外界通信的方式,諸如藍牙、DSRC、WIFI等,一般是通過向數據傳輸過程發送錯誤信息或干擾信號實現的。例如基于DSRC短程通信技術實現的ETC系統,當受到外界惡意干擾時,路測設備會出現無法讀取電子標簽或讀取錯誤等現象,造成收費故障[11]。中間人攻擊是針對車聯網通信系統最經典的攻擊方式之一,攻擊者可處在V2X過程中的任何兩個通信節點之間,針對通信內容進行劫持、篡改與轉發。中間人攻擊一方面對造成隱私信息泄露,另一方面篡改車間通信數據可能造成嚴重的交通事故[12]。針對中間人攻擊可采取的防護手段有身份認證、通信數據加密等。為保證通信系統的信息安全,智能汽車傳輸數據多采用密鑰、加密算法進行加密。暴力破解[13]則針對密鑰及密碼進行攻擊,其原理是采用原始且有效的“枚舉法”進行破解,基于密碼字典中的密碼,每秒可進行數十億次的嘗試。暴力破解同樣適用于車聯網系統中諸如系統登錄、加密算法等場合。1.2.2內部通信智能汽車內部通信系統安全是指車載信息交互系統通過CAN總線與車內其他控制器節點能夠進行數據的安全交互。CAN總線技術經歷了20余年的發展,其在車內通信系統中表現出了極佳的穩定性、容錯率和高效率,但CAN總線在問世時汽車尚處于不與外界聯網的“封閉狀態”,因此并未設置任何針對外網的安全機制。當汽車接入互聯網后,CAN總線完全暴露于互聯網環境中,黑客可以輕松監聽總線報文信息,從而逆向破解總線協議,實施惡意攻擊[14-16]。例如NISHIDA[17]提出了一種新的重放攻擊,能夠繞過CAN與MAC通信的計數器同步校驗機制,實驗證實了此種攻擊方式的可行性,并呼吁有必要針對重放問題提出相應的對策。表1為智能汽車通信系統攻擊場景及攻擊方式。綜上,通信系統是智能汽車最易被黑客利用的模塊之一,傳統汽車制造廠商對于汽車的信息安全防護薄弱,車載WIFI、LTE通信及CAN總線通信等均可能遭到攻擊,存在數據被劫持、篡改等風險,因此采取安全措施針對通信系統加強防護值得引起關注。1.3應用與操作系統。汽車的嵌入式操作系統起源于20世紀90年代,車載電控系統日趨復雜推動了基于微控制芯片的嵌入式操作系統的發展。隨后,車聯網的迅速發展以及各大互聯網巨頭的涌入使車載操作系統得到迅速發展,功能日趨強大完善,按照開發平臺的不同,主流車載操作系統類型及特點見表2。車載操作系統種類繁多,與此對應的應用程序也各式各樣,由此帶來的安全問題也日益增多。車載應用及操作系統存在的安全風險主要集中于以下兩個方面:系統更新和代碼安全。1.3.1系統更新車端操作系統的升級是極易被黑客利用的安全風險點[18]。整車廠采用OTA(Over-the-air)的方式對操作系統進行升級,提高了升級效率,降低了升級成本,能在很短時間內對安全漏洞做出反應,同時也帶來了一系列安全問題[19]。軟件及操作系統更新面臨的安全威脅主要體現在升級包的完整性、可用性、保密性遭到破壞,黑客可通過截取、篡改升級包的方式實現對車輛的攻擊。1.3.2代碼安全KarambaSecurity公司的首席執行官阿米•多坦表示:智能汽車每1800行代碼就存在一些錯誤,其中80%是安全漏洞[20]。一輛智能汽車的代碼一般超過3億行,潛在安全漏洞數目大約為15000個。這些安全漏洞輕則造成隱私數據泄露,重則造成車輛失控,嚴重影響行車安全。理論上講,智能汽車代碼與傳統軟件代碼并無本質上的差別,因此漏洞主要有緩沖區溢出、未驗證輸入、權限控制等[21],由于智能汽車操作系統代碼量巨大,因此往往采用自動化掃描工具對漏洞展開發掘,常用的漏洞掃描方式主要有二進制掃描[22]、源碼審計[23]、逆向測試[24]等等。綜上,雖然并非所有的主機廠都有能力研發自己的車載操作系統,但是考慮到車載操作系統對于智能汽車的特殊性,其安全風險及安全防護需受到重點關注。目前關于操作系統及應用的研究主要聚焦于新功能開發,而對于安全問題并未引起太多重視,相關安全技術的研究主要集中于訪問控制、系統更新、代碼安全等方面,多為沿用了傳統軟件安全技術或在其的基礎上進行的,未來可結合車載操作系統的特殊性,針對性地開展漏洞檢測工具的開發。1.4感知系統。感知層是智能汽車的數據輸入端,用于感知路況信息,通常由激光雷達、毫米波雷達、攝像頭、超聲波雷達構成。美國軟件安全公司SecurityInnovation的首席科學家PETIT將感知層確定為智能汽車最易受攻擊的模塊。感知層是智能汽車自動駕駛系統的關鍵輸入模塊,如果輸入遭到破壞或威脅,輕則使自動駕駛系統停止工作,重則影響決策層的路徑規劃,造成嚴重的交通事故。PETIT等[25]利用商用硬件對車載激光雷達系統與攝像頭系統實現了遠程攻擊,實驗結果表明,利用簡單的激光二極管等設備就能有效地實現激光雷達的干擾、重放攻擊、中繼攻擊和欺騙攻擊,同時激光二極管也可令攝像頭產生“致盲現象”,一定時間段內無法進行周圍障礙物的探測。YAN等[26]針對毫米波雷達與超聲波雷達開展了干擾與欺騙測試:通過超聲波發射儀發射與車載超聲波雷達同頻率與同強度的超聲波進行干擾,提高車載超聲波系統的信噪比,使其無法正常接收信號,失去對周圍障礙物的探測能力;欺騙攻擊則相對復雜,需要在適當的時間周期內注入適當頻率及強度的模擬信號,使超聲定位系統誤認為前方存在障礙物。相同的攻擊方法同樣適用于毫米波雷達。綜上,智能汽車感知層面臨的安全威脅具有以下特點:(1)攻擊方式簡單。與其他層面的攻擊不同,針對感知層的攻擊不需要使用復雜的設備,利用成本極低的激光二極管等工具即可發起攻擊;(2)破壞力大。感知層是智能汽車自動駕駛決策層與執行層的基礎,因此雖然攻擊方式成本低且實現簡單,但造成的破壞性不亞于其他層面的威脅;(3)攻擊面大。由于智能汽車需要準確的感知周圍車況的變化,因此分布有眾多的感知設備,以特斯拉為例,共有8個攝像頭,12個超聲波雷達,1個毫米波雷達,眾多的傳感器帶來360°路況信息的同時也擴大了攻擊面。

2安全防護現狀分析

綜合國內外研究,智能汽車信息安全技術的研究尚處于局部深入階段,往往扎根于某一方面的漏洞檢測、防護技術的研究,尚未形成能夠被業界廣泛認可的安全防護體系。2.1通信系統防護。通信系統的防護主要從兩個層面展開:(1)以入侵檢測系統為主的主動防護策略,面向的攻擊方式及防護對象多樣化;(2)針對性的防護策略,針對某一個或幾個特定的攻擊方式開展防護。2.1.1主動防護系統入侵檢測系統(IntrusionDetectionSystems,IDS)已經證明了其在保護傳統網絡信息安全方面的重要作用,因此也成為保障智能汽車信息安全的首選方式之一。隨著智能汽車的不斷發展升級,車聯網入侵檢測技術也不斷發展。針對車載自組網安全,SPARSH等[27]提出了一種基于前瞻性誘餌的蜜罐優化入侵檢測系統,能夠針對各種攻擊實現前后防御,以最低的成本檢測各類入侵,表現出了較好的優越性。另一方面,入侵檢測系統應用于車聯網安全仍然存在一些問題,諸如部署位置、體系結構、檢測正確率、資源消耗和檢測延遲等仍需進一步研究。GEORGE等[28]提出了車聯網入侵檢測系統的架構特征,包括車輛自檢測、聯合檢測、卸載檢測3個主要方式,同時共對66項入侵檢測技術進行說明,該工作有助于理清IDS技術發展脈絡,同時對于車聯網入侵檢測系統的開發具有一定的指導意義。此外,一些體系性的防護策略也不斷被提出,BOU-MIZA和BRAHAM[29]對智能汽車內部及外部通信系統進行了分析,在此基礎上提出了通信系統安全防護體系,包括通信加密、協議安全、身份驗證、風險感知等技術。KALININ等[30]闡述了車載自組網信息安全的重要性,提出了基于軟件定義安全技術(SoftwareDefinedSe-curity,SDS),結合數據流控制、安全策略實施、訪問控制和機密性等技術,提高車載自組網絡的安全性,由于該方案與硬件和節點無關,因此可較為方便靈活的實施。2.1.2針對性防護一些針對具體攻擊方式的防護策略也不斷被提出。針對欺騙攻擊,DIMITRIOS等[31]提出了一種基于概率性跨層技術的安全防護系統,該系統利用相對速度進行位置驗證,通過比較車載單元觀察到的兩個通信節點之間的距離與使用物理層交換信號計算出的相對速度值估計出的距離來實現檢測,實驗證明該系統能夠檢測到超過90%的欺騙攻擊。針對通信隱私安全問題,MOAYAD等[32]為智能汽車引入了一種自動化的安全連續云服務可用性框架,該框架啟用了針對安全攻擊的入侵檢測機制,入侵檢測是通過三相數據流量分析和分類技術來完成的,同時采用深度學習和決策樹機制,識別虛假請求與可信服務請求,實驗證明該方案的總體準確度達到了99.43%。針對基礎設施與智能汽車間的通信(V2I)安全問題,JOY和GERLA[33]提出了一種車輛匿名上傳傳感器數據的隱私保護技術,該技術基于其提出的草堆隱私(HaystackPrivacy)概念,即將眾多數據所有者不可區分地混在一起,就像隱藏在草堆中,無法分辨出上傳者的具體身份,從而實現傳感器數據匿名上傳,此種方式的不足在于需要足夠多的數據所有者參與,以確保數據上傳者能夠充分隱藏身份。針對女巫攻擊造成的身份認證問題目前有兩種解決方案:(1)基于第三方機構建立的公鑰基礎設施(PKI),通過部署在車輛上的密鑰實現車輛的身份認證,定期對密鑰進行更新,但此種方式在實際應用部署中仍存在很多實際問題,例如政府在PKI體系中扮演什么角色;(2)基于周圍節點信號強度進行識別,根據給定的傳播模型估計其新位置,若節點聲明的位置與計算出的位置不同,則此節點為女巫攻擊節點[34-35]。由于針對智能汽車通信系統的攻擊及防護技術眾多,文中不再一一贅述,其他主要攻擊及防護方式見表3。2.2應用與操作系統的安全防護。應用與操作系統的安全防護與傳統軟件安全防護并無本質上的區別,主要的防護方式有訪問控制、代碼加密、簽名校驗等技術。(1)訪問控制訪問控制可保證信息資源能受到合法的、可控制的數據訪問。YOUSIK等[36]提出車載Android應用程序很容易遭受重打包攻擊,同時提出了一種訪問控制機制來抵抗此類攻擊,該機制基于兩方面進行防護:①使用基于白名單的訪問控制系統;②使用APP代碼混淆的方式保護車輛免受車聯網環境中通過外部網絡及應用程序發起的惡意攻擊。(2)安全升級針對車載操作系統固件升級,IDREES等[37]提出了一種新的更新架構,將對硬件的信任與軟件模塊合理地結合起來,該框架描述了如何在制造商、車邊基礎設施和車輛之間建立安全的端到端連接,具有一定的現實意義。操作系統升級的過程中,保證軟件包數據的完整性、機密性、可用性極為重要[38],NILSSON[39]提出了一種OTA固件安全升級協議。協議可充分保障固件在升級過程中的數據安全,同時可防止重放攻擊。該協議計算效率高,內存開銷低,適用于車間的無線通信。此外,還可通過簽名校驗等方式對升級包的完整性及來源進行認證[40]。(3)代碼安全智能汽車源代碼中多含有加密算法、重要操作邏輯等敏感信息,因此此部分源代碼的泄露會給智能汽車帶來很大的安全風險。智能汽車代碼安全防護手段可借鑒傳統軟件代碼安全防護進行,主要涉及代碼混淆、強名稱簽名、代碼隱藏等技術[41]。2.3感知層安全防護。目前感知層的安全防護并未引起太多重視,大多數整車廠采用布置冗余傳感器的方式保證車輛能夠在部分傳感器受到攻擊失效后能夠繼續安全行駛。針對感知層的防護可從兩個角度出發,一是從代碼層的角度入手,對于傳感器采集的數據進行一致性判斷,提高異常數據的識別效率。另一方面從傳感器的角度入手,例如針對中繼攻擊,采取信號實時性驗證,通信設備認證等方式實現中繼設備的識別。針對雷達同頻率的高斯噪聲干擾攻擊,可采用匹配濾波器進行抗干擾處理。另一方面,要充分考慮智能汽車的特殊性,在進行相應防護的過程中盡量減少對通信時延的影響。2.4安全防護體系。體系化的安全防護對于智能汽車信息安全至關重要,美國SAE、歐洲EVITA、IEEE通信與網絡安全會議(CNS)、國際車聯網與互聯大會(ICCVE)等組織或國際會議都開始重點關注汽車信息安全體系的構建工作。PYPE等[42]呼吁信息安全應融入到產業鏈的各個方面,從組件到電子系統和完整的汽車架構生成,加強各方合作,形成體系化的防護。THING和WU[43]在歸納了各種攻擊和防護手段的基礎上,提出一個全面的攻擊防護分類方法,基于此可實現對針對性的防御攻擊,建立安全防護體系。綜上,針對智能汽車安全防護技術的研究集中于防護體系的搭建、防護方案的設計、防護技術的實現等方面。隨著智能化的不斷推進,未來的防護系統將朝著主動防護、自動檢測、智能識別的方向發展,如何實現高效安全的防護體系是未來研究的重點內容之一。

3展望

文中針對智能汽車信息安全威脅場景及防護技術進行了綜合的回顧,在此基礎上對未來行業發展進行簡單的展望,僅供讀者參考:(1)面向智能汽車的自動化自檢工具的開發是未來發展的重點內容之一,智能化的安全工具需具備監測及防護兩個基本功能,實時監控車輛安全狀態,抵抗非法入侵;(2)智能汽車的信息安全牽一發而動全身,需要全方位考慮,涉及產品周期的各個階段,因此防護與測試應從概念階段開始考慮,經歷設計、開發、驗證階段,全生命周期的保障信息安全;(3)攻防技術的針對性、專業性將增強。目前智能汽車信息安全技術多基于傳統計算機安全技術開展,尚存在諸多不合理之處(比如傳統的通信系統加密防護措施并不完全適用于對時延有高要求的V2X通信),因此未來信息安全技術需充分結合智能汽車特點,增強針對性及專業性。

4結論

智能汽車具有巨大的發展前景,對汽車行業將帶來顛覆性的變革,是產業發展的必然趨勢。另一方面,安全事故頻發、安全威脅增多也成為制約其進一步發展的障礙。文中基于智能汽車信息安全架構,從通信系統、軟件及操作系統、感知系統3個層面展開,詳細分析了各部分涉及的威脅場景與安全防護技術,并在此基礎上對未來發展趨勢進行了展望。

作者:郭振 馬超 王國良 劉天宇 單位:中汽數據(天津)有限公司