本文由李玉峰、陆晓元、曹晨红、李江涛、朱宏艺、孟楠联合创作
自动驾驶和互联网使汽车成为一个非常复杂的网络物理系统21,也使攻击者看到更多的攻击新网络空间,本文总结了CAV如图2所示。
图2 CAV攻击向量
一方面,随着自动驾驶水平的不断提高,汽车系统设计项目越来越大、复杂,质量控制越来越困难,可用的设计缺陷可能越来越多。随着软件代码的急剧增加,自动驾驶的发展可以超过1亿行,代码数量远远超过现代操作系统或波音757。每千行代码的缺陷数是评估软件质量指标的重要参数,每1000行软件代码有5行~20个错误。很大一部分软件缺陷是攻击者可以使用的,这可能会损害软件系统的完整性、可用性或机密性。
另一方面,各种联网方式给乘客体验带来了明显的优势,但也为智能联网汽车开辟了各种攻击入口。从车内网络的角度来看,摄像头、雷达、激光雷达等传感器件,远程信息处理盒T-BOX、车内网关等通信设备,CAN、LIN、MOST、FlexRay与以太网等通信协议,OBD-II端口、EV充电接口和USB在攻击者的视角下,外部接口和各种车载网络应用等都是攻击的入口。从车辆与其他实体之间的联网来看,它涵盖了V2V(vehicle to vehicle,车辆到车辆),V2I(vehicle to infrastructure,车辆到基础设施)、V2P(vehicle to pedestrian,车辆到行人)和V2N(vehicle to network,车辆到网络)通信。为了实现V2X车辆配备了不同的无线通信系统,如专用短程IEEE802.lip/DSRC基于移动蜂窝通信系统的技术和技术C-V2X技术。其中,C-V2X包括LTE-V2X和NR-V2X,这些通信技术和车载自组织网络(vehicular Ad hoc network,VANET)各种网络协议和技术是攻击者关注的重要攻击入口。此外,鉴于CAV以蜂窝网通信为基础的云平台应用,面临着云、管、端模式的安全风险CAV系统关键功能的风险。
在概念设计和开发的早期阶段确定CAV网络安全需求对于确保车辆和乘客的安全至关重要。身份验证、完整性、隐私和可用性是安全系统最重要的先决条件。
对敏感信息和关键数据进行验证,防止所有未经授权的访问。CAV身份认证包括可靠的身份验证,涉及根访问应用程序CAV充分的内外连接身份验证、敏感信息访问身份验证和CAV内部设备的身份认证等。在系统设计的早期阶段,需要仔细考虑身份认证。本质上,只有认证方才能访问信息并检索其原始内容。密钥管理和分发必须高效、准确,以满足认证要求。
在整个生命周期中,数据完整性主要是指数据必须完整。CAV在网络中,验证消息在传输过程中是否受到噪声和衰落等干扰的影响,以及攻击者故意损坏数据是非常重要的。此外,软件的完整性和协议的完整性也是一个重要的安全要求。完整性检查技术需要纳入设计中,如Hash、安全协议、数据分组过滤等。
CAV网络包括个人身份、付款账户信息、通讯录信息、位置信息、车辆电子标志等隐私信息。在V2V和V2I在通信模式下,车辆使用不同的技术共享信息(如地理位置信息),可能恶意用于跟踪用户,因此需要隐私保护。此外,由于汽车可能从未经授权的访问中收集、使用或共享隐私数据,因此需要考虑被动第三方(如行人)数据的隐私保护。
可用性旨在将CAV在预定义和可接受的阈值下保持安全状态。车联网是一个高度动态和实时响应的网络,在正常运行条件下实现可持续可用性具有相当大的挑战性。如果某些部件和软件在使用中必须更新或补丁,则更难确保可用性。因此,在设计初期应考虑冗余备份等可用性保证技术CAV当网络的某一部分出现故障或暂时中断时,网络仍然可用。
本节从认证/认证、可用性、完整性、隐私保护四个方面总结了与智能网络汽车相关的网络攻击及相应的技术对策。
身份真实性是CAV为了保护网络免受各种攻击,包括Sybil攻击、假攻击、密钥/证书复制攻击GNSS欺骗攻击等。身份认证过程中的任何缺陷都可能对整个网络造成严重后果。
?Sybil攻击意味着恶意车辆创建或盗用大量假身份,向网络中的其他节点(如其他车辆或路边单元)发送虚假信息,如果其他节点无法检测到攻击者的真实身份,可能认为恶意信息是合法的。例如,当攻击者在某个位置创建大量假名时,在某个位置CAV随着数量的增加,交通系统可能会认为该位置拥堵严重,迫使其他车辆改变路线。任何通信实体都应使用加密方案和身份确认方案来克服这种攻击。
?假攻击意味着攻击者通过有效的网络标识符将信息传递给法定节点。一个人假装是另一个人获得利益或隐瞒其真实身份,在这种情况下,攻击者通常可以假装授权用户访问授权登录详细信息和密码,攻击者可以通过钓鱼攻击和中间攻击,拦截、分析和找到网络身份验证信息组实现假攻击。在CAV网络中,恶意节点可能冒充路边单元,诱骗用户泄露其身份验证详细信息。获取身份验证信息后,它可以用其访问分类信息,甚至可以用其作为与其他方的身份验证。攻击者也可能冒充其他车辆获利。提出了许多应对假冒攻击的方法,如使用更完善的身份验证方案来应对假冒攻击。
?密钥/证书复制攻击是指使用重复密钥/证书声明一个或多个节点的合法身份。现有的儿童密钥管理计划可以处理此攻击。
?GNSS欺骗攻击是利用欺骗和替换GNSS伪造位置信息的信号模式。GNSS欺骗性攻击导致其他类型的后续攻击。这种攻击可以通过使用基于加密和身份验证的位置信息来预防。
可用性是CAV强制性要求,传统的1T不同的系统,网络安全CIA(confidentiality,integrity and availability,在机密性、完整性和可用性三要素中,可用性是CAV系统中最重要的目标。干扰攻击、恶意软件攻击攻击包括干扰攻击、恶意软件攻击、DoS(denial of service,拒绝服务)或DDoS(distributed denial of service,攻击、黑洞攻击、新闻延迟攻击等。
?干扰攻击是发出干扰信号来破坏通信信道。GPS、正确感知雷达、激光雷达、摄像头等部件信息是自动驾驶汽车正确决策的先决条件,容易受到光、电磁信号等物理形式的干扰攻击。它对干扰检测具有挑战性。设置冗余部件和多传感器数据集成方法是对抗干扰攻击的有效方法。
?恶意软件攻击通常包括病毒、蠕虫、间谍、广告和特洛伊木马。恶意软件对车联网危害很大,因为车联网动态高,经常需要更新,所以车辆必须确保更新信息来源可信,如果车辆接收伪造更新要求并安装恶意软件,会带来很大的风险,在某些情况下会导致严重故障。一般来说,这种攻击可以通过恶意检测和防火墙来缓解。
?DoS或DDoS攻击通过向CAV信息系统发送大量垃圾数据,阻断车辆内部网络(如CAN总线)和/或外部网络(如C-V2X),该攻击通常被认为是对车辆相关信息系统可用性最严重的威胁之一,使车辆无法正常提供服务。这种攻击一般可以通过身份验证、防火墙、入侵检测等方案来处理。
?黑洞攻击。攻击者没有将数据分组转发到目的地,而是将其丢弃,造成黑洞。如果攻击者位于两辆车上,这种类型的攻击可以阻止车辆之间的信息CAV黑洞攻击可能意味着洞攻击可能意味着这两辆车CAV无法相互沟通,变得孤立。黑洞攻击可以通过多种方式缓解:引入信用机制;机器学习也可以在网络中实施,以检测恶意车辆,预测哪些路径将是安全的。
?新闻延迟攻击。延迟消息影响系统的正常工作,尤其是时间紧迫的任务。这种攻击可以通过使用身份验证的计时方法来预防。
攻击者,特别是身份验证的攻击者,可以很容易地更改数据或创建虚假数据。因此,为了防止/减少对数据完整性的攻击,必须进行安全的通信和信息加密。
?伪造信息攻击:Sybil攻击可以看作是伪造信息攻击的一个例子。攻击者可以通过传播道路拥堵的伪造信息来获利。他们也可以通过发布伪造信息来造成拥堵。这种攻击实施简单,成本低,可能被广泛使用。此外,由于车联网的分布式特性,如果攻击者能让下一辆合法车辆转发其伪造,这种攻击也会产生很大的影响 信息,那么汽车就会在不知不觉中成为攻击者。通常使用信息签名和基于声誉的方案来防御这种形式的攻击。
?重放攻击:当攻击发生时,数据被欺诈性地重复或延迟使用先前生成的帧与其他节点通信时,将发生重播攻击。可以通过使用序列号、时间戳和安全通信来防止重放攻击。
•伪装攻击:是指使用伪造身份获得对系统的访问。例如一个恶意节点伪装成紧急车辆,使周围的车辆被诱使减速、改变车道等。有效检测恶意组件和身份验证可能是应对此类攻击的方法。
•数据篡改攻击:合法节点可以通过捏造和广播虚假消息来进行此攻击。主要的对策是签名并验证传输的消息。
CAV的位置、智能交通系统安全消息和驾驶员个人信息等,未经授权不能泄露给非法实体。可以使用信息加密和安全通信来避免信息泄露。
•窃听攻击是试图通过监听网络通信来窃取信息。对汽车内部网络来说,窃听轮胎气压、蓝牙或CAN消息是一种攻击。此外,由于无线电频道的广播性质,为了更新驾驶状态而进行的V2V通信容易受到窃听攻击。窃听可能不会影响可用性,但是敏感信息会泄露。可以使用安全通信来防止窃听。
•拦截攻击拦截通信信号,然后尝试分析并提取有用的信息。Garcia等利用一个40美元的无线电设备拦截获取目标车钥匙的解锁信号,之后经过较低代价的计算,即可获取目标车钥匙的全部信息,进而任意解锁目标车辆。这个结果适用于全球将近1亿辆汽车,可以釆用高等级的加密方案来减轻数据拦截攻击。
对智能网联汽车的威胁及对策做一个小结, 见表1。
应对CAV网络安全风险的常用方法除了加强防御技术研究之外,还包括相关的立法、标准、管理、培训等策略。
网络安全专家提供了大量解决方案,以确保更好的CAV网络安全。中国通信学会发布的《车联网安全技术与标准发展态势前沿报告(2019)》对世界各国的车联网安全立法、标准推进、技术态势等进行了较全面的总结。建议各国应加强对生产自动驾驶汽车公司的监管。建议采用网络安全排名措施促进安全技术进步。
自2016年以来,美国汽车信息共享和分析中心(Auto-ISAC)一直在维护一系列汽车网络安全最佳实践,为实施汽车网络安全原则提供指导。欧盟网络安全局(ENISA)发布了智能汽车安全的优秀实践。这些实践给出了在设计安全、风险管理和技术实践方面的建议:在设计安全上,强调需要从产品开发的开始就考虑安全要素,贯穿整个供应链以及整个CAV生命周期;在风险管理上,针对智能汽车的新兴威胁和攻击场景,采用专门的管理方法,包括从设计过程的最初阶段就开始进行网络安全风险分析且定期修订,监控安全漏洞,在开发阶段进行例如渗透测试的安全评估,建立威胁情报流程以及及时了解新兴的攻击类型、来源以及新的相关漏洞等。
最后,如Yan等所发现,加强人们的网络安全意识是增强CAV网络安全的关键问题。人们在正确评估网络安全风险的能力方面存在差异,有23%的人正确处理了不到一半的网络安全方案;只有4%的人可以正确处理超过90%的网络安全方案。此外,冒险的网络安全行为通常与对自动化技术的过度信任有关当驾驶员对汽车的信任度过高时,它更容易受到攻击。一个开放的研究问题是如何向公众解释这些网络安全问题以及如何对人们进行相关的网络安全的培训和科普。
3 未来技术方向
汽车产业正从过往仰赖机械元件运作,如火如荼地向智能联网目标前进。随着继续将全球供应链生产的芯片、协议、应用、代码、算法等添加和集成到智能网联汽车中,网络安全风险不断攀升。
只有在安全的前提下,智能网联汽车行业才能获得公众的真正认可。与其他行业的网络安全技术研究相比,智能网联汽车的网络安全研究刚刚起步,需要开启或进一步研究的方向很多,本文列举了其中一部分,见表2。