智能汽车信息安全技术现状与展望

时间:2022-03-09 11:24:01

智能汽车信息安全技术现状与展望

摘要:随着智能化水平及车联网技术的不断发展,智能汽车应运而生,被视为能够彻底解决交通拥堵、提高出行效率、减少事故发生率的绝佳方式。科技的发展带来高效与便捷的同时也带来了极大的不安全性,黑客利用智能汽车存在的漏洞实行远程或近程攻击,造成车辆失控、隐私数据泄露等威胁。从智能汽车通信安全、操作系统及应用安全、感知层安全等角度出发,针对各个层面的安全威胁及安全防护技术发展现状进行总结梳理,并在此基础上对智能汽车信息安全技术发展趋势进行展望。

关键词:智能汽车;车联网;信息安全;信息防护

随着互联网技术、车联网技术的高速发展以及产业变革的不断推进,智能汽车受到越来越广泛地关注,被视为解决交通拥堵、降低事故发生率、提高驾驶乘坐体验的重要途径,成为当今互联网巨头公司和各大科研机构研究的热点方向之一。智能汽车使交通出行变得更加智能化、便利化的同时,也带来了一系列的安全问题。由于车辆接入了互联网,因此智能汽车内部的控制单元、传感单元、通信单元、ECU单元均存在被入侵的风险,诸如黑客控制车辆行驶轨迹、盗取车主个人信息、破坏驾驶系统等安全事件的频发也为智能汽车的发展敲响了警钟,此类安全问题造成的后果往往比传统信息安全问题更加严重,更加难以预防。为应对诸多信息安全问题,智能汽车信息安全技术越发受到重视。本文作者从通信系统安全、应用及操作系统安全、感知系统安全3个角度对智能汽车信息安全威胁及防护技术进行综合回顾,并对智能汽车信息安全技术的发展趋势进行分析展望。

1威胁现状分析

1.1整体架构。结合智能汽车易出现漏洞威胁的位置及车联网的结构组成,智能汽车信息安全架构如图1所示。文中将智能汽车信息安全分为4个维度,其中数据安全贯穿于智能汽车网络数据交互的始终,因此分别针对通信系统、应用与操作系统、感知系统威胁场景及安全防护技术进行分析梳理。1.2通信系统。智能汽车通信系统安全涉及两个层面:(1)以蜂窝网络、WIFI等为主的外部通信系统(V2X);(2)以CAN总线为主的车辆内部总线通信系统。1.2.1V2X外部通信V2X使车辆真正做到了车与车(V2V),车与基站(V2I)、车与云端(V2C)互联,是车联网的关键支撑技术。同时基于通信系统存在的漏洞实现入侵也是黑客最常见的手段之一[1]。车外通信系统常见的安全威胁主要有传输数据遭到泄露、修改、破坏[2],安全风险点有端口安全、身份认证、传输安全等。1.2.1.1端口安全端口安全是指车联网通信系统中存在可被利用的端口,黑客通过端口对系统实施入侵,例如EDWIN等[3]通过对IVI的WIFI模块进行结构化漏洞扫描,发现可轻易获得开放端口、物理地址、芯片厂商名称、FQDN、mDNS主机名、时间戳、行驶路径等敏感信息,同时可通过WIFI开放端口入侵IVI的文件系统并窃取照片、视频、音乐、文件等数据;MILLER等[4]通过对移动蜂窝通信端口进行入侵,实现了对IVI的控制,进一步实现了对车辆的远程控制。因此,为确保智能汽车信息安全,可使用端口扫描工具对T-Box、IVI、云平台中涉及的端口进行扫描,查看高危端口是否开放,是否存在可被利用的漏洞。1.2.1.2身份认证身份认证是指对通信双方的身份进行认证的过程,有助于识别虚假设备及虚假信号,防止出现中间人攻击等威胁[5]。由于智能汽车经常处于快速移动的状态中,因此对于通信系统的时延要求极高,车联网系统通常简化身份认证过程(例如共享密钥由通信伙伴制定),这种不安全的身份验证机制,可能使黑客轻松的伪造身份并入侵通信系统。例如,攻击者采用MITC(Maninthecloud)攻击的方式,通过令牌进行身份欺骗,可以访问云账户,窃取数据,更改文件信息,甚至上传恶意文件[6]。在车辆网络中,大多数隐私防护方案都容易受到女巫攻击(SybilAttack)[7]的威胁,黑客通过恶意节点制造大量虚假的身份不断攻击通信系统,从而中断车辆网络的正常运行,如图2所示,攻击者通过产生女巫节点V3,对周围自动驾驶模式下行驶的汽车V1进行干扰致其变道,追尾正常行驶的汽车V2,导致事故发生。1.2.1.3传输安全传输安全是指数据在传输过程中所涉及的数据安全、加解密安全等。智能汽车数据在传输过程中易受到的典型攻击方式[8],大致可分为时序攻击、干扰攻击、中间人攻击、暴力破解、欺骗攻击等。时序攻击[9]是指在不改变原本传输数据的情况下,通过向时间槽中添加更多信息造成正常数据传输延迟。智能汽车对时延极其敏感,假设车辆以60km/h的速度行驶,0.1s的时延就能造成刹车距离增加1.6m,因此时延攻击极有可能造成重大交通事故。干扰攻击[10]是指干扰智能汽车与外界通信的方式,诸如蓝牙、DSRC、WIFI等,一般是通过向数据传输过程发送错误信息或干扰信号实现的。例如基于DSRC短程通信技术实现的ETC系统,当受到外界恶意干扰时,路测设备会出现无法读取电子标签或读取错误等现象,造成收费故障[11]。中间人攻击是针对车联网通信系统最经典的攻击方式之一,攻击者可处在V2X过程中的任何两个通信节点之间,针对通信内容进行劫持、篡改与转发。中间人攻击一方面对造成隐私信息泄露,另一方面篡改车间通信数据可能造成严重的交通事故[12]。针对中间人攻击可采取的防护手段有身份认证、通信数据加密等。为保证通信系统的信息安全,智能汽车传输数据多采用密钥、加密算法进行加密。暴力破解[13]则针对密钥及密码进行攻击,其原理是采用原始且有效的“枚举法”进行破解,基于密码字典中的密码,每秒可进行数十亿次的尝试。暴力破解同样适用于车联网系统中诸如系统登录、加密算法等场合。1.2.2内部通信智能汽车内部通信系统安全是指车载信息交互系统通过CAN总线与车内其他控制器节点能够进行数据的安全交互。CAN总线技术经历了20余年的发展,其在车内通信系统中表现出了极佳的稳定性、容错率和高效率,但CAN总线在问世时汽车尚处于不与外界联网的“封闭状态”,因此并未设置任何针对外网的安全机制。当汽车接入互联网后,CAN总线完全暴露于互联网环境中,黑客可以轻松监听总线报文信息,从而逆向破解总线协议,实施恶意攻击[14-16]。例如NISHIDA[17]提出了一种新的重放攻击,能够绕过CAN与MAC通信的计数器同步校验机制,实验证实了此种攻击方式的可行性,并呼吁有必要针对重放问题提出相应的对策。表1为智能汽车通信系统攻击场景及攻击方式。综上,通信系统是智能汽车最易被黑客利用的模块之一,传统汽车制造厂商对于汽车的信息安全防护薄弱,车载WIFI、LTE通信及CAN总线通信等均可能遭到攻击,存在数据被劫持、篡改等风险,因此采取安全措施针对通信系统加强防护值得引起关注。1.3应用与操作系统。汽车的嵌入式操作系统起源于20世纪90年代,车载电控系统日趋复杂推动了基于微控制芯片的嵌入式操作系统的发展。随后,车联网的迅速发展以及各大互联网巨头的涌入使车载操作系统得到迅速发展,功能日趋强大完善,按照开发平台的不同,主流车载操作系统类型及特点见表2。车载操作系统种类繁多,与此对应的应用程序也各式各样,由此带来的安全问题也日益增多。车载应用及操作系统存在的安全风险主要集中于以下两个方面:系统更新和代码安全。1.3.1系统更新车端操作系统的升级是极易被黑客利用的安全风险点[18]。整车厂采用OTA(Over-the-air)的方式对操作系统进行升级,提高了升级效率,降低了升级成本,能在很短时间内对安全漏洞做出反应,同时也带来了一系列安全问题[19]。软件及操作系统更新面临的安全威胁主要体现在升级包的完整性、可用性、保密性遭到破坏,黑客可通过截取、篡改升级包的方式实现对车辆的攻击。1.3.2代码安全KarambaSecurity公司的首席执行官阿米•多坦表示:智能汽车每1800行代码就存在一些错误,其中80%是安全漏洞[20]。一辆智能汽车的代码一般超过3亿行,潜在安全漏洞数目大约为15000个。这些安全漏洞轻则造成隐私数据泄露,重则造成车辆失控,严重影响行车安全。理论上讲,智能汽车代码与传统软件代码并无本质上的差别,因此漏洞主要有缓冲区溢出、未验证输入、权限控制等[21],由于智能汽车操作系统代码量巨大,因此往往采用自动化扫描工具对漏洞展开发掘,常用的漏洞扫描方式主要有二进制扫描[22]、源码审计[23]、逆向测试[24]等等。综上,虽然并非所有的主机厂都有能力研发自己的车载操作系统,但是考虑到车载操作系统对于智能汽车的特殊性,其安全风险及安全防护需受到重点关注。目前关于操作系统及应用的研究主要聚焦于新功能开发,而对于安全问题并未引起太多重视,相关安全技术的研究主要集中于访问控制、系统更新、代码安全等方面,多为沿用了传统软件安全技术或在其的基础上进行的,未来可结合车载操作系统的特殊性,针对性地开展漏洞检测工具的开发。1.4感知系统。感知层是智能汽车的数据输入端,用于感知路况信息,通常由激光雷达、毫米波雷达、摄像头、超声波雷达构成。美国软件安全公司SecurityInnovation的首席科学家PETIT将感知层确定为智能汽车最易受攻击的模块。感知层是智能汽车自动驾驶系统的关键输入模块,如果输入遭到破坏或威胁,轻则使自动驾驶系统停止工作,重则影响决策层的路径规划,造成严重的交通事故。PETIT等[25]利用商用硬件对车载激光雷达系统与摄像头系统实现了远程攻击,实验结果表明,利用简单的激光二极管等设备就能有效地实现激光雷达的干扰、重放攻击、中继攻击和欺骗攻击,同时激光二极管也可令摄像头产生“致盲现象”,一定时间段内无法进行周围障碍物的探测。YAN等[26]针对毫米波雷达与超声波雷达开展了干扰与欺骗测试:通过超声波发射仪发射与车载超声波雷达同频率与同强度的超声波进行干扰,提高车载超声波系统的信噪比,使其无法正常接收信号,失去对周围障碍物的探测能力;欺骗攻击则相对复杂,需要在适当的时间周期内注入适当频率及强度的模拟信号,使超声定位系统误认为前方存在障碍物。相同的攻击方法同样适用于毫米波雷达。综上,智能汽车感知层面临的安全威胁具有以下特点:(1)攻击方式简单。与其他层面的攻击不同,针对感知层的攻击不需要使用复杂的设备,利用成本极低的激光二极管等工具即可发起攻击;(2)破坏力大。感知层是智能汽车自动驾驶决策层与执行层的基础,因此虽然攻击方式成本低且实现简单,但造成的破坏性不亚于其他层面的威胁;(3)攻击面大。由于智能汽车需要准确的感知周围车况的变化,因此分布有众多的感知设备,以特斯拉为例,共有8个摄像头,12个超声波雷达,1个毫米波雷达,众多的传感器带来360°路况信息的同时也扩大了攻击面。

2安全防护现状分析

综合国内外研究,智能汽车信息安全技术的研究尚处于局部深入阶段,往往扎根于某一方面的漏洞检测、防护技术的研究,尚未形成能够被业界广泛认可的安全防护体系。2.1通信系统防护。通信系统的防护主要从两个层面展开:(1)以入侵检测系统为主的主动防护策略,面向的攻击方式及防护对象多样化;(2)针对性的防护策略,针对某一个或几个特定的攻击方式开展防护。2.1.1主动防护系统入侵检测系统(IntrusionDetectionSystems,IDS)已经证明了其在保护传统网络信息安全方面的重要作用,因此也成为保障智能汽车信息安全的首选方式之一。随着智能汽车的不断发展升级,车联网入侵检测技术也不断发展。针对车载自组网安全,SPARSH等[27]提出了一种基于前瞻性诱饵的蜜罐优化入侵检测系统,能够针对各种攻击实现前后防御,以最低的成本检测各类入侵,表现出了较好的优越性。另一方面,入侵检测系统应用于车联网安全仍然存在一些问题,诸如部署位置、体系结构、检测正确率、资源消耗和检测延迟等仍需进一步研究。GEORGE等[28]提出了车联网入侵检测系统的架构特征,包括车辆自检测、联合检测、卸载检测3个主要方式,同时共对66项入侵检测技术进行说明,该工作有助于理清IDS技术发展脉络,同时对于车联网入侵检测系统的开发具有一定的指导意义。此外,一些体系性的防护策略也不断被提出,BOU-MIZA和BRAHAM[29]对智能汽车内部及外部通信系统进行了分析,在此基础上提出了通信系统安全防护体系,包括通信加密、协议安全、身份验证、风险感知等技术。KALININ等[30]阐述了车载自组网信息安全的重要性,提出了基于软件定义安全技术(SoftwareDefinedSe-curity,SDS),结合数据流控制、安全策略实施、访问控制和机密性等技术,提高车载自组网络的安全性,由于该方案与硬件和节点无关,因此可较为方便灵活的实施。2.1.2针对性防护一些针对具体攻击方式的防护策略也不断被提出。针对欺骗攻击,DIMITRIOS等[31]提出了一种基于概率性跨层技术的安全防护系统,该系统利用相对速度进行位置验证,通过比较车载单元观察到的两个通信节点之间的距离与使用物理层交换信号计算出的相对速度值估计出的距离来实现检测,实验证明该系统能够检测到超过90%的欺骗攻击。针对通信隐私安全问题,MOAYAD等[32]为智能汽车引入了一种自动化的安全连续云服务可用性框架,该框架启用了针对安全攻击的入侵检测机制,入侵检测是通过三相数据流量分析和分类技术来完成的,同时采用深度学习和决策树机制,识别虚假请求与可信服务请求,实验证明该方案的总体准确度达到了99.43%。针对基础设施与智能汽车间的通信(V2I)安全问题,JOY和GERLA[33]提出了一种车辆匿名上传传感器数据的隐私保护技术,该技术基于其提出的草堆隐私(HaystackPrivacy)概念,即将众多数据所有者不可区分地混在一起,就像隐藏在草堆中,无法分辨出上传者的具体身份,从而实现传感器数据匿名上传,此种方式的不足在于需要足够多的数据所有者参与,以确保数据上传者能够充分隐藏身份。针对女巫攻击造成的身份认证问题目前有两种解决方案:(1)基于第三方机构建立的公钥基础设施(PKI),通过部署在车辆上的密钥实现车辆的身份认证,定期对密钥进行更新,但此种方式在实际应用部署中仍存在很多实际问题,例如政府在PKI体系中扮演什么角色;(2)基于周围节点信号强度进行识别,根据给定的传播模型估计其新位置,若节点声明的位置与计算出的位置不同,则此节点为女巫攻击节点[34-35]。由于针对智能汽车通信系统的攻击及防护技术众多,文中不再一一赘述,其他主要攻击及防护方式见表3。2.2应用与操作系统的安全防护。应用与操作系统的安全防护与传统软件安全防护并无本质上的区别,主要的防护方式有访问控制、代码加密、签名校验等技术。(1)访问控制访问控制可保证信息资源能受到合法的、可控制的数据访问。YOUSIK等[36]提出车载Android应用程序很容易遭受重打包攻击,同时提出了一种访问控制机制来抵抗此类攻击,该机制基于两方面进行防护:①使用基于白名单的访问控制系统;②使用APP代码混淆的方式保护车辆免受车联网环境中通过外部网络及应用程序发起的恶意攻击。(2)安全升级针对车载操作系统固件升级,IDREES等[37]提出了一种新的更新架构,将对硬件的信任与软件模块合理地结合起来,该框架描述了如何在制造商、车边基础设施和车辆之间建立安全的端到端连接,具有一定的现实意义。操作系统升级的过程中,保证软件包数据的完整性、机密性、可用性极为重要[38],NILSSON[39]提出了一种OTA固件安全升级协议。协议可充分保障固件在升级过程中的数据安全,同时可防止重放攻击。该协议计算效率高,内存开销低,适用于车间的无线通信。此外,还可通过签名校验等方式对升级包的完整性及来源进行认证[40]。(3)代码安全智能汽车源代码中多含有加密算法、重要操作逻辑等敏感信息,因此此部分源代码的泄露会给智能汽车带来很大的安全风险。智能汽车代码安全防护手段可借鉴传统软件代码安全防护进行,主要涉及代码混淆、强名称签名、代码隐藏等技术[41]。2.3感知层安全防护。目前感知层的安全防护并未引起太多重视,大多数整车厂采用布置冗余传感器的方式保证车辆能够在部分传感器受到攻击失效后能够继续安全行驶。针对感知层的防护可从两个角度出发,一是从代码层的角度入手,对于传感器采集的数据进行一致性判断,提高异常数据的识别效率。另一方面从传感器的角度入手,例如针对中继攻击,采取信号实时性验证,通信设备认证等方式实现中继设备的识别。针对雷达同频率的高斯噪声干扰攻击,可采用匹配滤波器进行抗干扰处理。另一方面,要充分考虑智能汽车的特殊性,在进行相应防护的过程中尽量减少对通信时延的影响。2.4安全防护体系。体系化的安全防护对于智能汽车信息安全至关重要,美国SAE、欧洲EVITA、IEEE通信与网络安全会议(CNS)、国际车联网与互联大会(ICCVE)等组织或国际会议都开始重点关注汽车信息安全体系的构建工作。PYPE等[42]呼吁信息安全应融入到产业链的各个方面,从组件到电子系统和完整的汽车架构生成,加强各方合作,形成体系化的防护。THING和WU[43]在归纳了各种攻击和防护手段的基础上,提出一个全面的攻击防护分类方法,基于此可实现对针对性的防御攻击,建立安全防护体系。综上,针对智能汽车安全防护技术的研究集中于防护体系的搭建、防护方案的设计、防护技术的实现等方面。随着智能化的不断推进,未来的防护系统将朝着主动防护、自动检测、智能识别的方向发展,如何实现高效安全的防护体系是未来研究的重点内容之一。

3展望

文中针对智能汽车信息安全威胁场景及防护技术进行了综合的回顾,在此基础上对未来行业发展进行简单的展望,仅供读者参考:(1)面向智能汽车的自动化自检工具的开发是未来发展的重点内容之一,智能化的安全工具需具备监测及防护两个基本功能,实时监控车辆安全状态,抵抗非法入侵;(2)智能汽车的信息安全牵一发而动全身,需要全方位考虑,涉及产品周期的各个阶段,因此防护与测试应从概念阶段开始考虑,经历设计、开发、验证阶段,全生命周期的保障信息安全;(3)攻防技术的针对性、专业性将增强。目前智能汽车信息安全技术多基于传统计算机安全技术开展,尚存在诸多不合理之处(比如传统的通信系统加密防护措施并不完全适用于对时延有高要求的V2X通信),因此未来信息安全技术需充分结合智能汽车特点,增强针对性及专业性。

4结论

智能汽车具有巨大的发展前景,对汽车行业将带来颠覆性的变革,是产业发展的必然趋势。另一方面,安全事故频发、安全威胁增多也成为制约其进一步发展的障碍。文中基于智能汽车信息安全架构,从通信系统、软件及操作系统、感知系统3个层面展开,详细分析了各部分涉及的威胁场景与安全防护技术,并在此基础上对未来发展趋势进行了展望。

作者:郭振 马超 王国良 刘天宇 单位:中汽数据(天津)有限公司