第1章 绪论
1.1 引言
近年来,随着全球汽车保有量的持续增长,道路承载容量在许多城市和地区已达到饱和,交通安全、出行效率、环境保护等问题日益突出。车联网是物联网体系中最具产业潜力、市场需求最为明确的领域之一,是信息化与工业化交融发展的重要方向。同时,车联网具有应用空间广、产业潜力大、社会效益高等突出特点,对促进汽车和信息通信产业的创新发展、构建汽车和交通服务新模式和新业态、推动自动驾驶技术的创新和应用、提高交通效率和安全水平均具有重大意义。此外,车联网作为智能交通系统实现的重要基础,对促进汽车、交通、电子、通信、计算机产业的深度融合以及相关产业生态和价值链体系的重塑与升级具有重要意义,已经成为整车、互联网、通信等各类型企业竞相研究的热点。
现阶段,我国车联网产业已经上升到国家战略高度,行业政策持续利好,正拉动我国车联网领域驶入快速发展轨道。例如,《中国制造2025》《国务院关于积极推进“互联网+”行动的指导意见》《国务院关于印发新一代人工智能发展规划的通知》等国务院层面的重要文件均要求大力发展车联网,而《汽车产业中长期发展规划》《“互联网+”人工智能三年行动实施方案》《车联网(智能网联汽车)产业发展行动计划》《智能汽车创新发展战略》等国家部委层面发布的政策也提出了构建完善车联网生态体系的方针路线。2018年,工业和信息化部出台了《车联网(智能网联汽车)产业发展行动计划》,明确要求以网络通信技术、电子信息技术和汽车制造技术融合发展为主线,充分发挥我国网络通信产业的技术优势、电子信息产业的市场优势和汽车产业的规模优势,形成深度融合、创新活跃、安全可信、竞争力强的车联网产业新生态。同年,国家发展改革委发布《智能汽车创新发展战略(征求意见稿)》,明确提出要构建先进、完备的智能汽车路网设施体系,统一部署、协同共建国家最智能汽车大数据云控基础平台,并于2025年实现“人-车-路-云”的高度协同。
尽管传统互联网领域中的通信安全技术已拥有较为完备的理论体系和实用的实施方案,但车联网敏感的信道环境和严格的安全需求为定制化的加密通信标准和隐私保护协议带来了全新挑战。同时,受车联网设备功能局限性的影响,现有的安全框架在可行性和实际效果方面与防护目标存在巨大差距。因此,在开放式车联网环境下,找到一类高效、完备的方案来保证交通信息系统的数据隐私性和传输可靠性,是亟待解决的关键问题。本章将以开放式车联网环境的数据风险问题为切入点,从车联网架构下关键性的数据隐私保护需求、技术和发展趋势的角度出发,对车联网背景下普遍存在的信息安全问题进行探讨,特别是对车联网数据的隐私泄露风险和当前主流解决方案进行详细描述,并指出相关领域的研究发展趋势。
1.2 车联网数据隐私风险分析
作为物联网技术在交通领域的典型应用和具体实现,车联网既面临传统网络中普遍存在的安全风险,同时也受到开放环境、动态拓扑、资源受限等各种因素的影响,在攻击来源、安全需求、性能瓶颈等方面具有不可忽视的差异性。当车辆在各种非信任、不可控的环境中行驶或驻停时,极有可能因基础设施和通信信道存在的安全问题,被传输媒介、接入点,甚至服务器上的恶意攻击者操纵数据流破坏。已有大量实例表明,一旦车联网遭受网络入侵,车辆运行环境就可能被黑客控制,极易导致用户利益受损、大量能源浪费、交通控制混乱,乃至不可挽回的交通事故。与此同时,从车联网应用被民众广泛接受或社会性普及的角度来看,数据隐私是亟待解决的首要问题。例如,行车轨迹、兴趣点等数据与人们的生活习惯、资金状况、社会关系等敏感信息密切关联,而车联网所记录的车辆轨迹和位置服务等信息可能为用户隐私保护埋下诸多隐患。然而,车联网的正确运作严格依赖环境信息的驱动,这就造成系统功能性与隐私性之间存在难以调和的矛盾。随着车联网应用的快速发展,其存在的安全问题日益突出,安全事故不断涌现[1-3],已有的安全防护和隐私传输方法难以满足复杂、高效的应用需求,定制化的风险评估模型和安全保护框架亟待建立。
近年来,车联网中的安全性问题已受到国内外学术界、工业界的广泛关注。360网络攻防实验室利用数字射频处理技术,伪造钥匙发出的原始射频信号控制发动机电子控制单元(electronic control unit,ECU),成功入侵特斯拉自动控制系统[3],实现了不需要钥匙的车辆开启。有安全研究人员用Linux系统漏洞对美国第三大汽车制造商克莱斯勒的Jeep车型发起攻击[4],成功实现了对其固件的修改,从而获取了车辆的控制权。同时,他们证明该款车型在被物理接触的情况下,能够被攻击者从车载诊断(on-board diagnostic,OBD)系统接口进行控制,并指出车辆的系统漏洞和固件漏洞极易成为攻击者的目标。百度公司成功破解了车载智能终端(telematics box,T-Box)协议,通过篡改该协议传输数据[5],对用户指令进行修改或发送伪造命令到控制器局域网络(controller area network,CAN)总线控制器中,实现了对车辆的本地控制和远程控制。攻击成功的主要原因在于当前CAN总线中没有加入加密认证等安全机制,从而导致攻击者容易修改CAN总线数据并伪造指令对车辆发起攻击。有安全人员在入侵用户手机的情况下,获取特斯拉应用程序账户的用户名及密码,通过登录特斯拉车联网服务平台对车辆进行定位、追踪、解锁和启动。由此可见,与车辆相关的应用程序及车联网服务平台也可能成为攻击者入侵车联网的入口。腾讯安全科恩实验室成功对特斯拉发起无物理接触的远程攻击[6],实现对特斯拉多个ECU的远程协同操控,可最终入侵特斯拉车内网络并实现任意远程操控。类似地,英国的一个窃贼仅使用平板电脑便捕捉到特斯拉密钥的被动无线信号[7],在不到2秒时间就利用信号中隐含的密码打开汽车。此类攻击说明,车联网在通信层面的安全也至关重要,由无线网络攻击导致的安全问题将可能频繁出现。
在信息安全领域,STRIDE(身份欺骗(spoofing,S)、数据篡改(tampering,T)、否认(repudiation,R)、信息泄露(information disclosure,I)、拒绝服务(denial of service,D)、特权提升(elevation of privilege,E))威胁模型[4]能够准确描述车联网可能面临的安全隐患,其主要将攻击和威胁划分为身份欺骗、数据篡改、否认、信息泄露、拒绝服务和特权提升六大类别。干扰、窃听、伪造等不同方式相结合的多层面攻击更容易破坏车联网的稳定性、鲁棒性、实时性、安全性和私密性,使车联网失去提供有效服务的能力,造成严重的信息或物理安全事故[6]。考虑到车联网所特有的动态拓扑、带宽不足、传输功率受限、资源高度定制、移动性强、节点分布不均、感知数据驱动、网络模型复杂等特点,可基于STRIDE威胁模型对车联网中的常见攻击进行如下划分。
(1) 女巫攻击。
在无线网络中,进行多身份伪造的恶意节点可以对系统进行规模性控制,从而对网络的可靠性和可用性造成严重威胁。鉴于车辆的动态移动特性,节点对车联网的接入总是暂时的、不稳定的,因此,女巫节点极易找到攻击机会而不被发觉。结合对系统可靠性的破坏,攻击者能够进一步对正常车辆进行欺骗或阻塞网络信道,造成服务难以正常访问,也可能造成隐私数据的泄露[8-10]。
(2)GPS欺骗攻击。
全球定位系统(global positioning system,GPS)欺骗攻击可能为节点带来关于其位置、速度、方位等基于地理信息系统的虚假信息。车联网中涉及安全、交通控制或财务的服务往往需要与地理信息进行关联,在处理过程中,攻击者对数据真实性的破坏可能导致取证、追踪[11,12]信息难以获取,甚至造成公共资源被非法利用、交通环境被恶意干扰等难以预计的后果。可见,车联网中的GPS信息在导航、支付、行政管理等诸多应用中具有举足轻重的地位,定位的不准确可能带来公共安全、社会效益、个人财产等方面难以预测的损失。
(3) 伪装攻击。
为确保网络的正常运作和有效访问,参与实体往往需要注册唯一的身份标识。在这种情况下,如果节点身份标识号(identity document,ID)可以被伪造,那么攻击者不仅有机会窃取他人敏感信息,更有可能执行一系列越权操作,甚至造成整个系统混乱。因此,伪装攻击极有可能带来车联网无法正常服务的恶劣后果,导致合法车辆被混沌状态迷惑[9-11],从而违背最小必要权限的基本原则。
(4) 虫洞攻击。
虫洞攻击具有很强的变化性并高度依赖路由算法,极有可能对车联网的传输可达性、及时性和稳定性产生致命的危害。当受到虫洞攻击时,任何流量均有可能被诱导至恶意节点,导致其他车联网组件难以正常响应[12]。
(5) 可用性攻击。
拒绝服务和信道干扰是对网络可用性常见的攻击类型。可用性攻击主要基于网络带宽和传输功率的限制,使车联网系统的传输能力逐步崩溃[13]。由于大多暴露在外,缺乏必要的物理隔离,并且受到部署环境复杂性的影响,车联网中的主要部件和通信基础设施极易遭受干扰、控制和主动破坏。值得一提的是,可用性攻击的影响范围主要取决于被攻击节点的类型和中心化程度,核心单元的失效将比分散节点的破坏对车联网运作产生更加有害的影响[14]。
(6) 保密性攻击。
数据、模型等信息资源始终是服务、控制系统中最为重要的部分,只有对这些信息资源进行必要的密码学处理和严格的存取控制,才能保证大量敏感信息被合法且正确授权的节点所访问。保密性攻击通过窃听或拦截来窃取数据,在大多数情况下,攻击者会借助截获车辆或者路边检测单元等更容易接触到的通信部件,间接访问其他感兴趣的实体来窃取秘密资源,从而导致用户隐私的泄露[8]。
(7) 路由攻击。
针对路由通常可进行四种类型的攻击,包括窃听、拒绝服务、伪装以及篡改[15-18]。车联网在不同场景中可能需要采用高定制的各种路由算法,不同路由算法的服务质量最终反映为车载设备与路旁基础设施、中心服务节点之间的信息交互能力。然而,车联网系统受到带宽、传输功率和移动性等方面的诸多限制,其路由机制往往比较复杂,也很难进行有效统一,而这种复杂性将进一步加剧车联网路由算法的漏洞风险及其联通脆弱性[19-22]。
(8) 数据真实性攻击。
当数据包在网络中传输时,只有严格保证源数据真实且未被修改,才能被各种服务正确利用。数据真实性攻击可大致分为四种基本类型:重放、伪装、篡改以及假象。事实上,车联网的开放特性使其数据流更易于被捕获、伪造和转发,尤其是在自组织路由和无线通信环境中,数据真实性攻击的频繁发生使得车联网应用变得不再可信,有可能成为其稳步、健康发展的最大障碍。
除根据攻击手段对车联网安全威胁进行建模以外,也有部分学者倾向于从系统层级的角度对其所面临的风险进行分析。车联网系统的整体架构主要包括车联网服务平台、智能网联汽车及移动智能终端、路边基础设施等网络级平台和终端、智能网联汽车操作系统平台、车内网络及车内ECU组件等各个层级。为此,可根据上述架构将车联网系统中存在的威胁分为网络级威胁、平台级威胁以及组件级威胁三个部分[23-25]。
(1) 网络级威胁。
车联网中的车联万物(vehicle to everything,V2X)系统包括了Wi-Fi、移动通信网(2G/3G/4G等)、专用短程通信(dedicated short range communication,DSRC)技术等无线通信组件。由于此类无线通信组件本身存在的安全问题,车联网通信系统也相应地继承了它们的攻击风险,例如,在车与云服务平台通信的过程中可能发生网络入侵,车与车之间的通信协议极易被黑客破解,而车与人交互过程中的信息也容易被攻击者篡改或截取[26-29]。
主要的网络级威胁如图1-1所示。