沈尧,潘舟金
清华大学苏州汽车研究院
【摘要】 目前智能网联汽车信息安全工作集中在对车载设备安全分析和漏洞挖掘方面,对车路协同中路侧设备的信息安全分析探讨较少。本文采用信息安全分析方法和工具,分析了路侧设备敏感信息存储环节中的信息安全威胁并进行了风险等级评估,给出了其安全需求和缓解措施。
【关键词】 信息安全,车路协同,路侧设备
Information Security Analysis of Vehicle Road Cooperation of ICV
Shen Yao, Pan Zhoujin
Suzhou automobile Research Institute of Tsinghua University
Abstract: At present,the information security work of ICV is mainly focuses on the security analysis and vulnerability analysis of on-board equipment,while the information security analysis of road side unit in CVIS is less discussed.Using information security analysis methods and tools,this paper analyzes the information security threats in the sensitive information storage of road side unit,evaluates the risk level,and gives its security requirements and mitigation measures.
Key words: information security,CVIS,RSU
在我国新基建大背景下,5G商用快速推进,为汽车互联通信及车路协同应用奠定了基础。5G与边缘计算、C-V2X等技术融合后,可以更好地将其感知得到的环境数据进行筛选和分享,帮助实现人、车、路的有效协同,从而更好地保障人员安全、财产安全,并提高整体效率。基于我国在5G基础设施方面的优势,更适合采用车路协同发展模式实现自动驾驶,即“聪明的车”+“智慧的路”,而信息安全是其中的关键技术 [1] 。
2020年7月,5G R16标准冻结,为实现车路协奠定了标准基础。R16标准面向车联网应用做了增强,支持V2V(车与车)和V2I(车与路边单元)直连通信,引入组播和广播等多种通信方式,支持车辆编队、半自动驾驶、外延传感器、远程驾驶等应用场景,使其有可能成为最大规模的垂直行业应用场景。据公开报道,车路协同示范案例已经在国内的矿山、港口、物流、环卫等典型应用场景落地。
当前,由于车联网示范应用的推进动力主要来源于运营商、通信设备供应商、车路协同解决方案公司和自动驾驶解决方案公司,普遍关注于功能实现;而在信息安全方面,对于网络信息安全、车载组件安全、云端运维的信息安全做了较多的研究 [2] ,但对于路侧端设备的信息安全探讨还比较少。
标准和法规方面,ISO组织正在讨论制定的《ISO 21434 Road Vehicle-Cybersecurity engineering》已进入FDIS阶段(Final Draft International Standard,批准阶段),预计年内发布实施;ENECE WP.29 R155规定了汽车信息的强制法规,预计2022年7月起实施;2021年4月,工信部开始对《智能网联汽车生产企业及产品准入管理指南(试行)》公开征求意见。
车路协同功能,主要通过路侧设备与车辆及云端通信,实现路侧场景辅助功能,包括:感知数据共享、协作式交叉路口通行、差分数据、道路收费服务等12种场景 [3] 。
未来,在5G大背景下,预计我国自动驾驶和辅助驾驶对于路侧端信息的依赖程度是要高于以谷歌为代表的单车智能自动驾驶解决方案,这将带来更大的安全挑战。
从危害来看,感知数据如果被攻击者篡改,虚拟出一些不存在的障碍物,可能导致车辆对周围环境的误判,从而影响行车安全;协作式场景中,篡改车辆相对空间关系和行车意图的数据,可能导致碰撞事故;差分数据被篡改,将影响车辆对自身位置的判定;对道路收费等数据的攻击和分析,既可能导致车主隐私的泄露,也可能带来资金风险。
假设车辆本身的信息安全防护较为完善,能够应对上述信息安全威胁,但也需要消耗一定的资源进行识别和处理,如果不能完全剔除这些干扰信息,极有可能影响车辆和人员安全。因此对车路协同中的路侧单元信息安全风险进行分析的缓解是有必要的。
车路协同互联逻辑如图1所示。
总体来看,车路协同中路侧端面临更直接的安全问题,体现在:
1)路侧设备本身价值较高,可能诱发失窃风险,尤其以激光雷达和边缘计算设备为代表。特别是,当边缘计算设备采用通用计算硬件时,更易于被用作其他用途,例如被用于区块链计算中,或许硬件未失窃,但可能攻击者已经非法入侵,将算力非法占用,而且还不用支付电费。
图1 车路协同设备互联构架图
2)路侧设备安装分散,管理主体不明确,更容易被攻击者接触到,例如安装在灯杆或路口信号箱中,通常缺乏完善的防护措施,攻击者通过社会工程学方式,很容易接触到。
3)路侧的边缘计算设备,目前普遍采用通用计算硬件和通用操作系统,例如常见的工控机和Linux操作系统,攻击者可以很容易地通过以太网、USB装置(badUSB、badWifi、USB Ninjia等)接入,实现对其的操纵。
4)路侧设备会存储、转发车辆信息,其中可能包括车辆类型、车牌号、电子支付信息,结合车辆通过的时间和物理位置,攻击者一方面可能收集车主隐私信息用于非法牟利,另一方面,也可能直接窃取车主资金。
因此,对路侧设备的信息安全风险进行分析并制定缓解策略是有必要的。
路侧设备的信息安全分析,需要结合具体的场景展开。本文以协作式交叉路口通行场景中的敏感信息保护来举例分析。这些敏感信息可能包括:车内外影像信息、语音、驾驶习惯、车辆外观、车牌号等,这些信息的失窃和滥用可能带来财产和声誉等方面的风险。
典型的车路协同信息交互过程中,如图2所示,由几部分组成:①路侧传感器作为感知端口,包括激光雷达、毫米波雷达、摄像头等;②C-V2X通信设备作为无线通信交互渠道;③边缘计算平台是协调处理和命令中枢;④智能网联汽车是信息收发终端;⑤云控平台是后端监控和支撑平台。一次协作式车路协同辅助驾驶流程定义如下:路侧的边缘计算平台,通过处理传感器和C-V2X通信设备接收到的环境信息,综合判断交叉路口车辆通行状况和通行建议,通过C-V2X通信设备传输给需要协调的车辆给出车辆运动控制建议(车速、变道等),在路侧设备本地存储相应的信息,并通过网络向后端云控平台发送本次操作的记录、通信情况、执行结果等信息。
参照ISO 21434推荐方法,路侧设备的信息安全风险分析过程可以分为四个主要的步骤,如图3所示:
图2 车路协同信息交互模型
1)安全目标分析,以资产拥有者的视角,通过资产属性和安全特性,定义安全目标。
2)威胁建模:以防御者和攻击者的视角,制定攻击策略。
3)风险评估:对安全风险进行评估,评定不同的风险等级。
4)安全需求:对应安全风险等级,明确安全需求和缓解策略,并回顾安全目标。
图3 信息安全风险分析流程图
根据经验,在产品开发早期对信息安全风险进行评估并采取必要的控制,可以有效减少后期控制的成本和代价。通过评估目标的资产属性和安全特性,结合系统角色和入口点识别,可以导出安全目标,从而明确信息安全防护的重点。
系统角色、资产、入口点都是信息系统中的重要特性,能帮助识别安全目标。
系统角色见表1。从系统角色来看,①应对用户的权限进行必要的管控,特别是避免终端用户越权使用系统资源;②应对远程用户的权限进行必要的限制,避免远程用户直接管控整个系统;③必要时应通过生理特征识别等手段,识别现场操作员的身份,来加强权限管理。
表1 路侧设备参与者角色
从隐私、完整性和可用性等方面对资产进行分析,见表2。由于目前路侧单元通常没有执行机构,所以暂不对由其直接导致的人身安全风险进行重点探讨,但不排除未来适当时候进行分析。
表2 安全资产识别
入口点是突破安全边界的薄弱点,通过对其分析,能够提供攻击路径的参考。
表3 入口点举例
在识别角色、资产、入口点的基础上,可以比较容易地分析并识别出安全目标,并一一对应翻译成安全威胁,见表4。
表4 路侧设备安全目标举例
(续)
从表4中可以看出,在识别出受到保护的资产及其属性后,比较容易得到安全目标,之后通过采用ECEUN WP29 R155附录5威胁清单和对应缓解措施中所列举的7大类32小类脆弱点,将安全目标逐一对应到安全威胁中。为后续威胁建模做好了准备。
通过威胁建模,可以分析并发现路侧系统中潜在的安全威胁、明确攻击路径。已有多种方法可以应用于威胁建模。
在系统构架搭建后,从防守者角度对路侧设备进行安全风险分析,通常将被分析对象视作白盒。
目前使用比较广泛的建模方法是微软提出的“STRIDE”方法,具体指假冒身份(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、权限提升(Elevation of Privilege)。
通过“STRIDE”方法,对路侧单元进行了威胁建模,见表5。
表5 路侧单元主要的安全威胁建模
(续)
攻击树分析,是站在攻击者角度上,基于攻击者的经验和目的,找到整个系统中可能存在和能被利用的安全漏洞,从而分析出安全风险。通常将被分析对象视作黑盒或灰盒。
典型攻击包括 [4] :①女巫攻击,恶意节点伪造多个非法身份窃取信息;②信息篡改攻击,攻击节点篡改收到的信息并转发;③重放攻击,攻击节点窃取合法节点的认证凭证,再将它重新发送给认证节点,破坏认证正确性;④拒绝服务攻击,通过在信道中充斥无用的信息来阻塞信道,从而导致合法节点无法正常请求资源信息;⑤中间人攻击,攻击可以恶意控制两个或多个节点之间的通信信道,实现拦截、嗅探、篡改或替换信息的目的。
攻击树的顶层是攻击目标,随着攻击枝叶逐层分解到具体攻击手段,从攻击目标到攻击手段的链条就是攻击路径。以攻击者窃取用户隐私数据为例,如图4所示。
根据攻击树可以构建出攻击用例,见表6。
在前述威胁建模分析梳理信息安全风险的基础上,参考CTSCAC-PV18-03《汽车产品信息安全测试评价规范》,对风险等级进行评估 [5-9] 。
图4 窃取隐私数据的攻击树示例
表6 由攻击树生成的攻击用例
该方法与HEAVENS方法相同的是,同样采用两个评价维度:攻击可行性(对应:威胁等级)和影响程度(对应:影响等级)。该方法的优点在于:评价维度较HEAVENS方法更多,有利于整合因素的影响,更有利于实施;缺点在于:该方法以智能网联汽车作为评价主体,在本文探讨中,个别因素不能很好地适应路侧设备全影响因素,需要做出一些假设。攻击可行性参数,包含如下维度和计算方法见表7。
结合安全漏洞的评估标准,将安全漏洞分为4个等级,分别是:低危、中危、高危和严重。综合攻击可行性度量值和影响程度值,对安全漏洞做出风险等级评估,具体见表8。
表7 攻击可行性和影响程度量化计算表
(续)
表8 安全漏洞风险等级评估
本文以攻击通信链路为样本案例(表9),采用前述量化评估方法,得出安全风险评价等级为高危。应该对此风险进行必要的处理。
表9 攻击通信链路量化评估方法举例
通过上述分析,路侧单元的某些通信链路(WIFI)是系统的薄弱点,可以作为窃取隐私数据的跳板,接下来通过技术手段进行了验证。攻击步骤如下:
1)网络嗅探,获取目标WiFi的BSSID和频段,如图5所示。
2)攻击已连接设备,获取握手文件,如图6所示。
3)用hashcat尝试破解简单密钥。8位数简单密钥数分钟即被破解,如图7所示。
4)通过WiFi接入,即可访问路侧单元内网设备,并进行敏感数据的监听。
图5 网络嗅探结果
通过前述技术手段验证了WiFi端口作为攻击路径的可行性,也验证了前述威胁分析和风险评估方法的有效性。
除此之外,还通过信息安全分析方法,找出了路侧单元在调试端口暴露、root弱口令、Update shell脚本篡改等方面的漏洞,对提升路侧单元整体信息安全水平起到了积极作用。
图6 截取并转存握手文件
图7 密钥破解结果:76784501
在分析路侧设备信息安全威胁并进行量化分类的基础上,针对性地提出安全需求、缓解策略及企业级系统化的解决方案。
在窃取路侧单元隐私数据资产案例中,可以看到防止WiFi非法接入是切断其攻击路径的重要一环,可以提出信息安全需求及缓解策略,包括:
1)及时关闭调试端口。路侧单元设备为了方便安装和调试,通常会开放WiFi等无线接入端口,需要特别注意加密算法和口令强度,并在调试完成后及时关闭无线端口,避免被恶意入侵。
2)加密存储敏感信息。通过加密算法,对于存储装置中的敏感信息进行密文存储,并保证加密算法没有过时、密强度足够、密钥得到妥善保存 [10-12] 。
3)缩短敏感信息的存储周期。及时清理过期的敏感信息,保持存储装置中敏感信息的储存量始终是最少的,降低被入侵后带来的影响程度。
4)设置入侵检测手段。引入必要的物理检测手段,能够在系统受到攻击时(例如,未授权设备的接入、流量异常、端口阻塞等),及时向云控平台汇报。
通过针对信息安全需求的逐条设计,可以缓解其信息安全风险,见表10。
表10 安全需求及缓解策略举例
最终,回顾系统的安全目标,缓解策略响应了系统安全目标中关于隐私数据不被泄露的安全目标。
由于车路协同路侧单元也是长生命周期的产品,因此参考ECEUN WP.29 R155网络安全管理系统的要求,车路协同制造商、运营商应系统化建设整体信息安全体系。
如图8所示,以信息安全持续监控和应急响应体系为基础,实现产品信息安全发布体系,内外部参与,通过概念、开发、生产、运维全流程覆盖,最终达成企业信息安全目标。
从具体研发体系中信息安全设计角度来看,提出几条建议:
1)信息安全早期介入。在设计的早期阶段接入,可以有效降低后续设计更改和运维的成本。
2)在完成设备功能开发的同时,进行设备安全测试,按照V形开发流程,从部件到系统逐级验证。
3)区分信息安全测试团队和功能开发团队,使信息安全测试真正得到落实。
图8 信息安全总体解决方案概念
本文分析了车路协同信息安全现状和面临的问题,以敏感信息存储为案例,对其信息安全威胁进行了分析,对风险等级进行了评估,并提出了系统化的解决方案。
由于当前智能网联汽车技术还处于快速迭代和发展过程中,本文并未能穷尽各种信息安全风险和缓解策略,有待未来继续补充和完善。
鉴于信息安全既不是一种功能,本身也不是一种产品,而是一种防护手段,很难直接实现经济价值,在强制法规落地之前,也缺乏实施的动力;另一方面,信息安全的攻击和防护手段是动态博弈的过程,攻击者和防守者都会考虑各自的投入产出比,使其处于一种动态的平衡中,因此,如何用合理的投入来应对不断变化的信息安全形势是未来研究的一个方向。
信息安全作为支撑车联网应用安全的基石,应当得到足够的重视。本文通过车路协同路侧设备信息安全问题的探讨,希望引起研究机构、运营企业、通信设备供应商等行业参与者的关注,共同努力从理论、实践、标准和应用方面推动其真正落地。
[1]李克强,戴一凡,李升波,等.智能网联汽车(ICV)技术的发展现状及趋势[J].汽车安全与节能学报,2017(1).
[2]李兴华,钟成,陈颖,等.车联网安全综述[J].信息安全学报,2019,4(3).
[3]T/CSAE 157-2020,合作式智能运输系统 车用通信系统应用层及应用数据交互标准(第二阶段)[S].中国:中国汽车工程学会,2020.
[4]王春东,罗婉薇,莫秀良,等.车联网互信认证与安全通信综述[J].计算机科学,2020,v.47(11):9-17.
[5]王新年,张传桢.智能网联汽车信息安全测评体系[J].北京汽车,2021,1(1):25-32.
[6]Aljoscha Lautenbach,Mafijul Islam.Security models[EB/OL].https://www.autosec.se/wp-content/uploads/2018/03/HEAVENS_D2_v2.0.pdf,2016-03-18.
[7]中国汽车技术研究中心有限公司.汽车产品信息安全测试评价规范:CTS CAC-PV18-03[R].2020.
[8]王磊磊.安全漏洞多维度分析与量化评估方法研究[D].大连:大连理工大学,2010.
[9]杨南,康荣保.车联网安全威胁分析及防护思路[J].通信技术,2015,12(48):1421-1426.
[10]中国信通院5G推进组.车联网网络安全白皮书[EB/OL].http://www.caict.ac.cn/kxyj/qwfb/bps/202001/t20200102_273007.htm,2020-01-02.
[11]中国联合网络通信有限公司.中国联通智能路侧单元白皮书[EB/OL].https://www.docin.com/p-2303564783.html,2019-10-31.
[12]YD/T 3751-2020,车联网信息服务 数据安全技术要求[S].中国:中华人民共和国工业和信息化部,2020.