面向車聯網的數據安全防護技術研究
摘 要
車聯網中,智能網聯汽車會與車周環境、路面基礎設施、導航系統、人車交互、車間交互產生各類數據。針對車聯網數據所面臨的數據干擾欺騙、數據泄露、非法訪問、數據篡改等安全威脅,提出車聯網數據安全防護模型,研究了該模型中數據安全治理與監管、數據安全共享交換、數據隱私保護 3 個方面的關鍵技術。通過項目實踐證明,該防護模型能夠對車聯網車端和云端的數據采集、數據傳輸、數據共享、數據分析使用等過程進行有效的數據保護,可為車聯網數據安全工程實踐提供可靠參考依據。
車聯網即車輛物聯網,是指利用新型信息技術,實現車與相關實體之間的連接,提升車輛運行的整體智能化水平。數字化、網聯化、智能化是未來汽車電子發展的趨勢,車聯網、車輛電子信息系統、自動駕駛系統、車輛傳感器系統、用戶個人數據等不同層面都將面臨各種各樣的網絡安全風險。中國信息通信研究院發布的《車聯網網絡安全白皮書(2020 年)》顯示,2019 年,因為網絡和數據安全問題導致的汽車安全事件占比高達 57%。為此,各國針對車聯網和汽車電子系統信息安全紛紛制定了相關標準,學術界也針對車輛信息系統攻擊和防御開展了前沿學術研究。
2020 年,我國工業和信息化部委托中國信通院等機構聯合編制的《車聯網網絡安全白皮書(2020 年)》,分析了與車聯網網絡安全有關的標準制定、安全威脅、安全防護策略等,為車聯網安全發展提供參考。2022 年 3 月,國家發布了《車聯網網絡安全和數據安全標準體系建設指南》,針對車聯網亟需的終端與設施網絡安全、通信安全、數據安全等方面的標準制定進行了規劃,支撐車聯網和智能網聯汽車未來的產業化發展。
在 2021 年 USENIX Security、NDSS、IEEE S&P、ACM CCS 等網絡安全的頂級學術會議中,多篇論文對車聯網或車輛信息系統的新型安全攻擊進行了研究和試驗測試,揭示了車聯網系統中存在的不同于傳統網絡的新型網絡攻擊。
針對自動駕駛系統用來進行環境感知和同時 定 位 與 地 圖 技 術(Simultaneous Localization And Mapping,SLAM)的攝像頭,利用傳統攝像頭采集數據 +AI 自動圖像數據分析與人工干預駕駛相結合的手段可以很好地避免針對攝像頭及其后端物體識別 AI 算法的偽造物體樣本攻擊。美國馬里蘭大學研究團隊的 Wang 等人 發現了一種被命名為 ICSL(I-Can-See-the-Light)的新型攻擊,針對傳感器數據源,該攻擊可以基于肉眼不可見的紅外光,對特斯拉 Model 3 的攝像頭進行觸發,讓攝像頭啟動數據采集并誤判物體。由于這種紅外光對人眼是不可見的,這將對自動駕駛系統的圖像識別分析構成嚴重安全威脅,對車輛周邊環境和物體造成誤判,導致引發嚴重事故。研究團隊隨后開發了相應的軟件系統來防御該攻擊。
對于配備了多個攝像頭和 LiDAR 雷達的自動駕駛系統,其是基于多個圖像數據來源,基于 多 源 數 據 融 合(Multi-Source Fusion,MSF)感知技術進行環境感知的,對多個來源的數據進行相互印證、相互補充,基于多數傳感器感知數據是準確的這一假設,融合分析后可以形成對路況和環境的準確感知。
加利福尼亞大學、密歇根大學、百度聯合研究團隊的 Cao 等人對于一種極端情況進行了設計驗證:針對市面上主流 MSF 算法和不同物體類別,在數據采集端,同時對車輛的所有攝像頭和 LiDAR 傳感器進行并發攻擊,90% 的概率可以使其喪失對實驗中使用的 3D 打印物體的正確識別能力,從而引發嚴重撞擊事故。團隊研究后提出了相應的安全防御策略以避免該問題的發生。
紐 約 州 立 大 學、 喬 治 亞 大 學 等 聯 合 團 隊的 Zhu 等人 對基于深度神經網絡識別技術的LiDAR 設備 AI 模型對抗樣本欺騙攻擊進行了研究,對采集到的數據進行對抗樣本欺騙攻擊,破壞數據的分布特性使得模型誤識別,達到攻擊目的。通過分析對比基于激光的攻擊和基于物體的攻擊這兩種攻擊技術,該論文提出了一種新型的攻擊手段:利用兩個普通的商用小型無人機,控制其飛到正在行駛的車輛附近的指定位置,對負責位置和目標數據采集探測的自動駕駛系統的LiDAR系統進行雷達波反射干擾,致使其無法及時探測到前方車輛,導致撞車事故發生。
綜上所述,目前國內外產業界和學術界都高度關注車聯網安全。產業界主要立足于產業現狀和近期發展,制定標準規范和法規,應用認證、加密、黑白名單等傳統安全技術促進通信安全、終端安全、數據安全等安全防護措施的落地。學術界則主要對車輛數據采集感知和數據智能分析等方面面臨的新型攻擊前沿領域開展了大量研究,助力智能網聯汽車產業化應用落地。
1
車聯網數據安全威脅分析
車聯網數據安全需要從數據全生命周期進行體系性防護,對于數據安全和個人信息的保護,要遵循國家主要數據安全法規和汽車行業自身數據安全要求。
在數據感知采集中,智能網聯汽車會通過車載的各類雷達、導航系統、測速儀、攝像頭、聲控、遙控等分類感知器持續采集車內外各種數據,包括車輛位置信息、速度信息、路況信息、周邊環境、車輛運行數據、用戶個人數據等各種信息,這些信息會在本地和云端進行存儲處理,供車載和云端各類應用系統分析使用。由于采集手段各不同,數據類別差異大,安全和管理機制不健全,導致車載系統存在數據安全問題。
在數據傳輸中,車輛車載診斷系統接口、車內各類傳感器可能會被攻擊者進行通信信息篡改、竊聽、中斷、信號注入等,有可能造成無人駕駛或者自動巡航的汽車誘導偏航、急剎車等危險。智能網聯汽車車內搭載大量基于藍牙、Wi-Fi、衛星、移動通信網(2.5G/3G/4G 等)、V2X 等無線通信手段,易被攻擊者通過身份假冒等方式進行監聽和數據竊取等攻擊;在通信過程中,無線通信未經加密很容易被攻擊者竊取、竊聽和篡改,造成信息泄露甚至被劫持操控,從而引發車輛被遠程控制等危險。
在數據共享中,當車輛采集的各類數據跨不同網絡或者系統的安全域之間進行信息匯聚和交換時,可能存在攻擊者通過一個攻擊點進入系統,從而對其他相連接的系統發起跳板攻擊和橫向移動攻擊,對關鍵系統和信息造成安全威脅。
在數據存儲和使用中,大量數據的匯聚和分析使用易受到數據治理不足、訪問控制機制不完善、對敏感數據缺乏針對性保護等因素的影響,產生被攻擊者非法訪問、數據竊取、數據泄露、數據篡改等風險,造成敏感數據大量泄露和用戶隱私泄露等嚴重問題。
綜上所述,車聯網數據攻擊威脅模型如圖 1所示。
圖 1 車聯網數據攻擊威脅模型
2
車聯網數據安全防護技術
2.1 技術架構
車聯網數據主要來源于車輛端側的各類環境感知、導航定位、監控檢測、人車交互、車車交互等傳感器的采集和產生,并通過網絡傳送到云端進行匯聚和處理。這些數據從采集、傳輸、匯聚、共享交換、存儲、計算使用等環節都存在不同的安全威脅。因此,針對車聯網數據安全問題,一方面,需要采用傳統數據安全手段,對數據傳輸、共享交換和分析使用等進行加密、認證、訪問控制等嚴格的安全措施;另一方面,需要對數據智能分析使用的算法進行安全加固,謹防數據投毒攻擊、對抗樣本攻擊等非常規攻擊手段,以確保車聯網中智能網聯和無人駕駛系統的安全可控。
典型的車聯網數據安全防護技術架構如圖 2所示。
圖 2 車聯網數據安全防護技術架構
圖 2 中,密碼、認證、數據安全標簽、信任服務等作為整個安全防護的基礎,為各種安全服務的實現提供支撐,如加解密服務、認證服務、數據分級分類標簽、信任度量等;數據脫敏、漏洞發現、數據訪問行為追蹤溯源、安全評估等安全治理能力,為數據全生命周期安全提供監管和防護;平臺安全則通過全面的安全存儲、協議加固、區塊鏈數據確權、可信驗證等技術,對數據平臺和計算服務提供安全保護。
本文針對車聯網數據安全問題,在車端和云端分別考慮,在上述技術架構下進行定制和剪裁,選取相應的技術路線。車聯網數據安全將重點關注數據安全治理與監管、數據安全共享交換、數據隱私保護計算 3 個方面。
2.2 數據安全治理與監管技術
在車聯網環境下,車載端和云端的數據需要從全生命周期開展數據安全治理和監管。數據安全治理的基礎是根據數據敏感程度的不同,對數據進行分級分類,將其劃分為不同敏感等級,并采取不同的安全防護策略和手段,達到靈活高效的數據安全防護和隱私保護效果。數據安全治理與監管涉及數據全生命周期,需要對數據的權屬、數據血緣關系、數據分級分類、數據脫敏、數據防泄漏、數據訪問使用等進行全面的治理監管,對數據整個生命周期進行管控,及時發現數據流通過程中的安全問題,并及時響應。
數據安全治理是管理和技術雙驅動的數據安全領域。在管理方面,需要遵循國家法律法規,制定完善的管理規定和標準規范,以支撐數據全生命周期各個環節的監管和運營;在技術方面,要積極突破相關關鍵技術難題,實現基于數據分級分類對不同敏感等級數據進行針對性的、適當的安全防護。核心技術包括:數據資產發現與可視化、數據分級分類、異常行為追蹤溯源、數據流轉管控、安全風險評估、數據安全態勢監控等,實現對數據采集、數據傳輸、數據存儲、數據共享、數據計算使用、數據銷毀等各個環節的全程監管和控制。
2.3 數據安全共享交換技術
車聯網中,云端數據會進行互聯網共享使用,面臨較大安全威脅,尤其是特斯拉、滴滴等企業的數據。因此,數據的流通共享是數據安全領域的另一重大問題。數據流通包括數據出入境流通和數據流通交易兩個方面。其中,特斯拉、滴滴等企業數據跨境流通需要遵循國家數據出境、入境法律法規,采取脫敏、審計、匿名化、假名化等適當數據安全保障措施,以保障數據傳輸過程中不被竊取和泄露;要實施數據本地化存儲和分析,特別是跨國經營企業,在采集本國的數據時,只能在本國境內存儲和分析使用;向海外提供業務服務的企業,可采取戰略合作伙伴措施,只對外提供技術,數據和運營由當地所屬國家的企業進行經營;在數據流通共享中,積極推動數字平臺端到端加密普及化,實現數據安全有效保護。
在共享交換中,需要對數據內容、共享行為等做到可管可控、安全可信。主要利用密碼加密、可信計算、身份認證、數據脫敏等技術,確保數據在共享交換過程中的安全。
2.4 數據隱私保護計算技術
車聯網中存在大量涉及用戶車輛的位置、運行軌跡、家庭住址、工作單位、個人信息、無線信號、周邊環境信息等隱私數據,一旦遭到泄露,可能導致嚴重的后果,甚至威脅國家安全。車聯網數據若想發揮價值,就要進行共享計算使用,使其支撐交通決策和智慧交通。在數據使用中,數據隱私保護計算成為當前數據安全的研究熱點,通過隱私保護計算,數據可以在受保護、不泄露的情況下完成計算使用,達到保護隱私安全的要求。
當前數據隱私計算主要有 3 條技術路徑:
一是可信執行環境(Trusted Execution Envir-oment,TEE),該技術基于密碼技術構建可信根,保證在計算平臺加載的代碼和數據安全可信,目前 Intel、ARM 等主流計算平臺廠商都提出了自身的解決方案。
二是聯邦學習(Federated Learning,FL),該技術采用了分布式機器學習架構,使得計算參與方共享計算模型而不是共享數據,從而保證數據不出本地完成聯合計算。由于該計算模式能夠做到數據不發生轉移和對外交換,因此不會泄露數據隱私或影響數據使用。但該技術目前還存在適用范圍受限、計算模型安全性等方面的問題需要突破。目前國內已有部分安全廠商提供了相應的安全產品和計算平臺。
三是多方安全計算(Secure Multi-Party Computation,MPC),該技術起源于 20 世紀 80 年代姚期智院士提出的百萬富翁問題,主要解決在互不信任的參與方之間聯合計算一個函數的問題,能夠使多個數據所有者在缺乏可信第三方,彼此不信任的情況下共同計算某個函數,得到各自該得到的輸出結果。在計算過程中,各參與方除了自己的數據和自己應該得到的計算結果,不能獲得任何額外的信息。目前國內已有廠商提供了相關產品解決方案。
上述 3 條技術路徑各有特點,需根據實際環境中的隱私保護場景和安全需求進行選用,其對比分析如表 1 所示。
表 1 隱私保護計算 3 條技術路徑對比分析
對于云端的車聯網平臺、網約車平臺、車載應用系統來說,數據需要通過加密傳輸、數據脫敏、訪問控制、去標識化等技術手段進行數據匯聚和使用過程中的隱私安全保護,避免用戶參與交通過程中的敏感信息發生泄露。在車聯網的邊緣云中,出于保護數據隱私和安全的角度,可以采用聯邦計算的技術架構,在原始數據不出本地的情況下,通過交換計算模型和參數完成分布式計算,達到保護各自數據隱私的效果。
在車端,主要針對本地各類傳感器數據采集、存儲、本地分析使用等開展防護,采用 TEE本地計算平臺可信保護、數據加密、訪問控制、接入認證、智能算法模型可信保護等技術手段,抵御攻擊者對數據的竊取、篡改、智能分析模型欺騙等攻擊,防止隱私泄露,確保數據安全。
3
結 語
數據要素具有強烈的業務屬性和行業屬性。因此,無論是車聯網數據安全的技術標準規范,還是具體的數據安全整體解決方案,都需要對行業特點進行針對性設計。目前,業內針對車聯網數據安全的典型產品包括數據安全治理平臺、數據脫敏系統、數據防泄漏系統、行為審計系統、隱私計算系統、數據安全網關等產品,并得到了落地應用。
本文對車聯網數據安全場景下的云端服務平臺數據保護、車端數據安全、數據安全治理、車聯網跨境數據安全等典型數據安全場景,提出了安全防護技術架構和關鍵技術,在車端通過 TEE 實現本地可信計算,在云端依托多方數據安全融合計算和聯邦學習技術,實現數據隱私保護。通過該技術架構可以較好地解決車聯網數據安全保護,為車聯網數據保護提供支撐。
