文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2017.05.006
中文引用格式: 李馥娟,王群,錢煥延. 車聯網安全威脅綜述[J].電子技術應用,2017,43(5):29-33,37.
英文引用格式: Li Fujuan,Wang Qun,Qian Huanyan. Survey on security threats of Internet of vehicles[J].Application of Electronic Technique,2017,43(5):29-33,37.
0 引言
作為在智能交通應用中具有典型性和先進性的車聯網,因其應用環境的特殊性和組網的復雜性,其安全問題更加突出。從網絡拓撲來看,車聯網中節點之間的連接方式更加靈活,車輛之間可以組成無中心的移動自組織網絡,車輛與道路基礎設施之間還可以組成有固定接入點的基礎結構型網絡。所以,車聯網的結構要比傳統的互聯網、MWSN(Mobile Wireless Sensor Networks,移動無線傳感網)、MANET(Mobile Ad-hoc Network,移動自組織網絡)更加復雜,復雜的網絡結構和應用隨之也帶來了新的更加復雜的安全問題。由于車聯網中的車車通信以及車路通信全部采用無線移動通信方式,無線通信固有的缺陷與車聯網應用的高可靠性、高安全性之間存在著矛盾。作為車聯網數據承載的互聯網,其安全隱患和威脅在車聯網中依然存在,而且還會隨著車聯網的應用發展而不斷演變,進而形成新的安全威脅。為此,對于車聯網安全的研究,需要在充分認識各類已有網絡技術的基礎上,結合車聯網自身的結構和功能特征,從體系結構、協議實現、管理策略、具體應用等方面分析可能存在的安全隱患和潛在的安全威脅,并提出具體的解決方法和相應的研究思路。
1 車域網安全威脅
1.1 車輛定位安全威脅
車輛定位是車聯網的關鍵技術之一,車聯網的大量應用都與位置信息有關,尤其是車速、加速度、運行方向等涉及到車輛運行安全的信息必須與特定的車輛及其當前位置相關,沒有準確位置信息的監測數據不但沒有應用價值,而且會為車聯網帶來安全隱患。因此,車輛定位技術是車聯網技術發展的基礎。
參與車聯網定位的節點分為已知其位置信息的信標(Beacon)節點和未知其位置信息的未知(Unknown)節點兩類,其中分布在道路兩側的RSU(Road Side Unit,路側單元)多為通過GPS等方式精確定位的信標節點,而行駛在道路上的車輛多為未知節點。由于車輛運行在空曠的交通環境中,攻擊節點可以入侵到車聯網,破壞定位模塊的正常功能。同時,由于定位系統多利用無線通信所具有的信號傳輸延時、角度、功耗、相位差等物理屬性和特征,以及信息在不同節點間轉發的跳數來確定節點的位置關系,然而攻擊者可以利用無線通信的開放性隨意地偵聽網絡中的信息并進行偽造[1],或者將自己扮演為信標節點發送虛假定位參照信息來誤導未知節點。其中,蟲洞攻擊[2]是一種典型的適用于車聯網環境的攻擊方法,它不僅通過擾亂節點之間的正常跳數產生錯誤的定位信息,而且利用篡改、選擇性地轉發接收到的信息,破壞網絡中正常傳輸的數據。
1.2 傳感器網絡安全威脅
與WSN不同的是,VAN(Vehicles Area Network,車域網)中的傳感器網絡是由性能與功能不同的傳感器組成的分層傳感器網絡,而且傳感器之間多采用有線或集成方式連接,屬于靜態傳感器網絡。為此,在研究VAN中傳感器網絡的安全時,不再受計算能力、功耗、存儲空間和通信能力等硬件資源的影響,一些經典的密碼算法、密鑰管理、身份認證、入侵檢測等安全技術可直接應用其中,提高了系統的安全防范能力。
在車聯網中,單一數量和功能的傳感器提供的信息已無法滿足其應用需求,必須同時運用包括壓力、溫度、濕度、速度、紅外、激光等多種功能的不同傳感器,并將其集成起來提供多種感知數據,通過優化處理獲得車輛的特定狀態信息,再經綜合分析后,為車聯網應用提供信息依據。為此,在VAN的傳感器網絡研究中,重點應放在對不同傳感器數據的安全融合上。在由分層靜態傳感器網絡的數據融合操作中,根據系統的要求,數據融合節點(Aggregator Node)從各傳感器節點(General Node)收集所需的數據,并進行融合操作,然后將融合后的數據提交給相應的應用系統或上層通信設備。
數據融合可有效降低系統的通信開銷,但也會因攻擊而帶來安全隱患,主要表現為:一是攻擊者入侵數據融合節點或將自己冒充為數據融合節點,修改數據融合的規則或策略,從而產生錯誤的融合后的數據并將其發送給應用系統或上層設備;二是攻擊者在入侵傳感器節點或將自己冒充為合法的傳感器節點后,向數據融合節點故意發送錯誤信息。以上兩種方式,都會破壞傳感器網絡的數據融合規則,形成錯誤或虛假的“感知”信息,使車聯網已有的安全機制失效,產生嚴重的安全后果。
1.3 車內通信安全威脅
車聯網是一個復雜的集信息感知、融合、交互于一體的信息系統,就VAN內部的通信而言,不同功能的設備設施及模塊之間頻繁地進行信息的交換和處理,同時內部設備還需要通過車載通信網關實現與外部網絡的連接。
根據安全防御要求,可根據不同的安全等級將VAN內部的通信劃分為多個不同的安全域,其中有些僅允許內部數據交換的域與可訪問外網的域之間需要實現嚴格的物理隔離,而有些域之間只允許用戶數據從高安全域單向傳輸到低安全域,反之不然。通過這種域間控制機制,實現通信的可靠性。但是,攻擊者也可以冒充為高安全域中的成員去控制低安全域中的節點,從而形成一個隱蔽通道[3]來破壞原有的安全機制。為此,如何消除潛在的隱蔽通道安全威脅,實現不同等級安全域之間可靠的數據傳輸,是VAN安全需要解決的問題。針對此問題,傳統網絡中的物理隔離技術和基于數據過濾、數據流控制、協議轉換、虛擬機等方式的邏輯隔離技術,可以遷移到VAN的安全通信中。
1.4 電子車牌安全威脅
車輛的注冊管理一直是交通管理部門的工作重點,也是車聯網需要實現的重要功能。其中,車牌管理通過對車輛分配一個唯一的身份標識(Identity,ID),實現對車輛從注冊、安檢、違章處理到報廢等一系列環節的過程管理,解決車輛管理中存在的黑車、套牌車、肇事車逃逸、車牌偽造等違法問題。
電子車牌面臨的安全問題主要有:拆除或物理損壞電子標簽、標簽內容篡改、非法讀取標簽信息、偽造標簽等。從技術上講,電子標簽與讀寫器之間的通信是非接觸式的,兩者之間的身份認證和數據加密機制也存在被攻擊的風險,存在信息被非法讀取或泄露的可能。即使是長期存儲在標簽和后臺數據庫中以及臨時存儲在讀寫器中的與車牌相關的信息,也同樣會受到攻擊。另外,利用標簽中車輛ID唯一性進行的對車輛的跟蹤和定位,導致用戶隱私的泄露。即使在加密系統中無法知道標簽中包含的具體內容,但通過固定的加密信息仍然可以對標簽進行跟蹤和定位。
2 車載自組網安全威脅
2.1 干擾攻擊
VANET(Vehicular Ad-hoc Network,車輛自組織網絡)安全威脅既有來自外界的入侵,還有來自內部的攻擊,安全問題較為復雜。干擾攻擊是一種基于無線通信物理層所提供的頻率選擇、信道偵聽、調制和數據收發等功能而產生的攻擊方式。誤碼率高、傳輸帶寬有限、通信質量無法得到保障和系統的安全性較差是無線信道的固有特征。在車載自組網中,車輛間以無線方式隨機接入或離開網絡,并共享無線信道。攻擊者可以向特定區域發射大功率干擾信號,擾亂車輛之間的正常通信,使信號收發節點失去正常的信號收發能力,從而形成頻譜干擾(Spectrum Jamming)攻擊[4]。
如圖1所示,頻譜干擾攻擊的一般實現方法是攻擊者在感知到網絡中的通信行為時,在授權頻段內通過提高自己的功率譜密度(Power Spectrum Density,PSD)來產生和發送連續的大功率無線信號,從而阻斷正常的通信。當節點要發送數據時,因信道繁忙而無法獲得對信道的有效利用,而節點要接收數據時,接收節點也會因大量來自攻擊的無線信號而被湮滅其中。在車聯網中,車輛之間必須頻繁交換各類實時感知信息,才能為車輛行駛安全作出相應的判斷和決策,而一旦這些信息無法在節點間正常傳輸或傳輸時出現錯誤,則會引起車輛間通信的混亂,甚至產生安全事故。頻譜干擾攻擊是一種典型的物理層DoS攻擊。
2.2 虛假信息攻擊
虛假信息攻擊是借助VANET中節點之間共享開放信道的特點而實現的一種主動攻擊方式。在VANET中,當攻擊者一旦捕獲共享信道所在的頻段后,就可以冒充為合法的車聯網節點,向網絡中發送虛假信息,也可以篡改、延遲轉發或丟棄接收后需要轉發的信息,從而實現攻擊目的。
安全是車聯網技術能否從理論走向應用、從實驗室走向大范圍部署的關鍵。行車安全依賴于車聯網中大量節點之間的協作,需要各節點之間能夠實時交換信息,并確保數據傳輸的真實性、完整性和可用性。為此,VANET需要能夠同時抵御內外網絡的安全威脅,形成一個可信、可控、可管的高度協作的網絡環境。
2.3 隧道攻擊
隧道攻擊[5]是指網絡中的惡意節點通過創建隱蔽通信通道,以此來隱瞞節點之間的真實路徑,使路由選擇、節點定位等涉及到路徑信息的算法因所獲得信息的虛假性而失效。如圖2所示,惡意攻擊節點A與B之間建有一條隱蔽通道,利用該隱蔽通道攻擊節點可吸納周邊節點的數據流量,而忽略了“車輛A”節點的存在。由于部分真實節點被忽略,破壞了網絡拓撲的真實性,使基于拓撲的通信協作和算法在執行過程中出現錯誤。
主動攻擊和被動攻擊的特點在隧道攻擊過程中同時得到體現,惡意節點間通過相互間的配合構建隱蔽通道,實現對路由的重定向,其他的攻擊手段也可以利用已創建的隧道發起新的攻擊。隧道攻擊的實現過程,從監聽網絡可用頻段到攻擊同伴的產生,整個過程完全依賴于正常的網絡協議來實現,并不篡改其他節點的信息,而是利用自己的隧道資源優勢引誘其他節點的路徑選擇。在車聯網中,隧道攻擊主要存在于物理層和網絡層,都會誤導信息的傳輸路徑,導致車輛間相對位置判斷的錯誤,使行車安全遭受破壞。
除以上安全攻擊之外,車聯網還會受到黑洞問題、DoS攻擊(分布在網絡體系結構的各層,如網絡層DoS攻擊、MAC層DoS攻擊等)、路由表溢出、信息泄漏等主動型攻擊方式。
3 車載移動互聯網安全威脅
3.1 車輛安全威脅
3.1.1 車載操作系統安全威脅
(1)操作系統移植中存在的安全威脅。目前,車載操作系統也多移植于智能移動終端的操作系統,主要有蘋果公司的iOS和Google的Android。由于iOS是一個系統級服務有限的相對封閉的操作系統,所以其安全性較好,受攻擊的面較小。而Android是一個相對開放的半開源操作系統,雖然操作系統的核心代碼是開源的,底層服務也是開放的,但第三方基于開源系統和開放平臺開發的應用一般是不開源的,導致軟件漏洞和后門大量存在,安全事件頻發,安全威脅較大。
(2)軟件“越獄”帶來的安全風險威脅。軟件“越獄”是指繞過蘋果公司對其操作系統iOS施加的很多限制,從而可以獲得設備root權限訪問底層服務的技術手段。設備“越獄”后,用戶從蘋果App Store以外的商店下載其他非官方的應用程序或者自行安裝和訂制應用,開發者可以在不受App Store嚴格審核的情況下訪問系統資源、使用私有應用程序編程接口、修改系統特性等,進而實現對短信、通話及電子郵件的攔截,GPS后臺跟蹤,后臺錄音等操作,給行車安全和用戶信息安全帶來極大的隱患。
(3)操作系統“刷機”帶來的安全風險威脅。“刷機”即對設備更換固件(即ROM),目前多用于智能手機等移動終端設備。“刷機”后有可能帶來設備運行不穩定、死機、功能失效等后果,當使用來路不明或事先設置了安全后門的ROM時,會存在很大的安全風險。
(4)外部通信接口帶來的安全威脅。車聯網中的外部通信接口主要是車載通信安全網關,在與外部進行數據交換時,一方面要防止內部信息的泄露,另一方面還要防止外部網絡中的病毒侵入內部網絡。
另外,還有軟件升級過程中帶來的安全隱患,用戶非授權訪問等安全問題。
3.1.2 應用軟件安全威脅
(1)病毒的侵入。雖然車載智能終端不像智能手機、平面電腦那樣受計算和存儲能力的限制,但與傳統互聯網中的計算機相比,車聯網中車載智能終端防范病毒入侵和防御外界攻擊的能力相對有限,復雜的加密算法和運行機制很難取得預期的效果,對于龐大病毒庫的更新與維護相對困難。
(2)云計算環境中的數據安全。由于云計算所具有的按需使用、易拓展、高效利用等特征,大大增加了在車聯網應用中的靈活性。云計算是一個由多個單一安全域通過輕耦合方式聯合而成的邏輯安全域,云計算所具有的可擴展性、開放性和管理的復雜性,使訪問控制變得非常繁雜,傳統單一安全域中的訪問控制模型和機制無法解決多域環境中可能出現的安全威脅。所以云計算的應用必須解決跨域認證、授權和操作中帶來的安全問題。除此之外,傳統網絡的安全也在影響著云計算環境中用戶數據的安全[6]。
(3)專業應用安全。專業應用安全中最典型的是定位軟件的安全。由于定位信息不僅僅涉及到用戶的個人私隱,還涉及到行車安全,所以成為木馬攻擊的主要目標之一。當木馬侵入到車輛定位軟件后,會在后臺運行并收集用戶的地理位置等敏感信息,并在用戶完全不知情的情況下泄露出去。在這種情況下,定位軟件就像一個隱藏的間諜,其存在對個人信息和行車安全來說無疑是一種威脅。
3.2 接入網安全威脅
接入網負責將車輛節點連接到核心網絡以獲得相應的服務,它是車聯網的重要信息基礎設施。根據信號覆蓋范圍的不同,車聯網中的接入網可以分為衛星通信網絡、蜂窩網絡(2G/3G/4G)、無線城域網(如WiMax)、無線局域網(WLAN)、無線個域網(如紅外、藍牙等)等方式[7,8]。接入網主要面臨以下幾個方面的安全威脅。
3.2.1 網絡耦合過程中帶來的安全威脅
各種接入網絡之間的泛在互聯,需要異構網絡之間的耦合。例如,3G與WLAN在耦合時需要通過接入網關將WLAN中的AP接入到3G網絡,WLAN中的用戶共享3G網絡系統提供的身份認證、資源授權和計費等功能。在這一過程中,相對安全的3G網絡需要向WLAN開放網絡接口,其安全性受到威脅。在不同架構的網絡耦合過程中,各類專用接入網關扮演著異構網絡之間的用戶與資源管理和數據轉換等角色,網關自身的安全性也在很大程度上決定著車聯網的安全性。
3.2.2 缺乏安全統一的身份認證機制
任何一個多用戶系統都涉及到身份認證和資源授權問題[9,10]。在傳統的單一安全域中,一般都存在技術上成熟、運行穩定的用戶和資源管理模式來負責協調管理本域中的不同應用系統,如基于單點登錄(Single Sign On,SSO)的統一身份認證系統實現了用戶在一個安全域內的一次登錄多次訪問能力。在車聯網環境中同一車輛節點需要同時訪問多個相對獨立的應用系統,應用系統多屬于不同的安全域,多數訪問需要跨域進行,因而需要一個統一身份認證(也稱為“聯邦身份認證”)中心負責對邏輯安全域中的用戶身份和資源授權進行統一管理。但是,因不同域間的輕耦合性而導致的安全邊界的不穩定性和模糊性,大大增加了車聯網中對數據安全和用戶隱私保護的難度,傳統單一安全域中的安全機制在其可擴展性和資源按需分配方面無法滿足多域環境下的需求,并暴露出一些安全問題。
3.3 應用安全威脅
3.3.1 數據的非法訪問
非法訪問是指對數據的非授權或越權訪問,破壞了數據的保密性和完整性。非法訪問一般通過掃描、黑客程序、隱蔽通道、遠端操縱、密碼攻擊等手段,竊取或截獲用戶帳號和口令等信息,尋找網絡安全弱點,竊取系統管理員權限或將普通用戶的權限提升為管理員權限,竊取網絡中傳輸或存儲的非公開數據,破壞、修改正常數據,設置非法程序,使系統無法為合法用戶提供服務。對用戶隱私信息的不規范甚至是非法使用,不僅會侵犯個人隱私,而且有可能助長以用戶信息為牟利點的地下黑色產業鏈,嚴重影響車聯網技術的應用和發展。
3.3.2 軌跡隱私泄露
車聯網中,車輛隨時隨地接入互聯網,車輛信息具備時間和空間上的連續性和關聯性,形成了邏輯上非常明晰的關聯,將這種關聯稱為軌跡。由于車輛的運行軌跡中包含著或者可以推導出內容豐富的敏感信息(例如什么時間去過什么地方、駕駛者的生活習慣及健康狀況等),所以攻擊者可以收集豐富的、細粒度的車輛軌跡信息,并經分析獲得用戶的隱私。
3.3.3 車輛大數據安全
移動通信和傳感設備的廣泛使用導致了大數據的到來,而移動通信和傳感設備正是車聯網的應用核心。由于車聯網中研究的主要對象是車輛,原始數據也主要由車輛直接產生,為此將車聯網中與車輛相關的數據理解為車輛大數據。根據已有的研究,對大數據提出了稱為5 V的5個基本特征,即體量大(volume)、產生速度快(velocity)、模態多(variety)、識別難度大(veracity)和價值密度低(value)[11]。其中,車輛大數據中最大的特點是體量大、產生速度快和模態多,體量大是由車聯網的規模決定的,而產生速度快是由車聯網中行駛的安全性決定的,而模態多則是由車聯網中數據類型決定的。車輛大數據的安全威脅主要體現在以下三個方面:一是由于數據中包含著與車輛自身(包括車輛注冊信息、車輛擁有者信息、車輛駕駛者信息等)和車輛軌跡相關的敏感信息,所以存在著信息泄露問題;二是數據服務的真實性和可用性,從車聯網自身的功能定位和應用需求出發,車輛節點實時得到的信息必須是真實、可靠、可信的,這需要在確保網絡通信質量的前提下,提高數據服務的質量,防止數據被篡改;三是由于車輛大數據的價值很高,成為攻擊者的關注目標。車聯網中的數據價值直接涉及到行車安全和對可用信息的利用(如利用車輛軌跡信息的欺詐、出售駕駛者健康信息、非法披露用戶的個人習慣等),攻擊者也可以通過收集公開的信息并進行數據分析,獲得有價值的數據。另外,大數據也成為各類攻擊實施的載體,攻擊者通過將攻擊代碼寫入大數據并以其為攻擊發起者對目標對象實施攻擊行為。
3.3.4 Sybil攻擊
Sybil攻擊[12,13]是車聯網中常見的基于身份的攻擊方式,發起攻擊的節點(Sybil節點)通過偽造車輛的身份標識(ID)來創建錯誤的目的地址,達到攻擊目的。在Sybil攻擊中,Sybil節點通過冒充其他合法車輛節點或偽造車輛ID,使一個惡意物理實體同時對外提供多個ID,從而使車輛ID失去真實性。一旦Sybil攻擊成功,攻擊者將破壞車聯網正常的運行機制,主要表現為:發布虛假交通信息、使點對點存儲系統的分段和復制機制失效、擾亂路由算法機制、破壞網絡選舉機制、改變數據整合結果、使以節點為基礎的資源分配策略喪失公平性、使異常行為檢測出現誤差等。如圖3所示,在一交通路口,車輛正確的行駛方向應該是直行或右轉,但在攻擊節點虛假信息的引導下,錯誤的導向了直行或左轉,從而引起車輛間的碰撞甚至是更大的交通事故。
3.3.5 蟲洞攻擊
蟲洞攻擊(worm hole attack)[14]是一種典型的發生在網絡層的DoS攻擊方式,攻擊節點無需獲得系統的身份認證便可以對網絡進行功能干擾和破壞。蟲洞攻擊的實現過程如圖4所示,兩個實施攻擊的惡意節點A1和A2通過串謀建立一條稱為“蟲洞鏈路”的私有通道,任何一個攻擊者能夠分別在各自的位置上獲得并記錄從鄰居節點收到的數據,并通過蟲洞鏈路傳遞到另一端的攻擊節點,并由該攻擊節點廣播給通信半徑內的其他節點。
正常情況下,節點N1和N6無法直接進行通信,但是因為蟲洞鏈路的存在,節點N1和N6分別錯誤地認為對方在各自的通信范圍內。更為糟糕的是,相比其他正常的通信鏈路,蟲洞鏈路具有更高的通信質量,而且對于上層應用來講,蟲洞攻擊節點和蟲洞鏈路是不可見的,這就導致應用層的身份認證和加密數據在蟲洞鏈路中會無條件轉發。在車聯網中,蟲洞攻擊主要影響數據融合、路由和定位等功能的正常實現。以基于跳數的無線定位算法(如典型的DV-Hop算法)的實現為例,在正常情況下節點N1和N6之間的跳數為5(N1→N2→N3→N4→N5→N6),而當存在蟲洞鏈路時其跳數變為1(N1→A1→A2→N6),其中在算法實現中A1和A2是不可見的,由于蟲洞攻擊的存在,使得N1和N6之間的跳數比實際跳數小得多,導致定位結果與實際位置信息嚴重不符,形成車聯網安全的隱患。
3.3.6 黑洞攻擊
黑洞攻擊(black hole attack)[15]是一種典型的網絡層DoS攻擊方式,也是車聯網中一種常見的攻擊類型。與蟲洞攻擊不同的是,黑洞攻擊屬于一種內部攻擊方式,是由已經被授權的網絡內部惡意節點發起的一種攻擊。黑洞攻擊的實現過程如圖5所示,當節點N1中沒有到達節點N4所在網絡的路由時,節點N1將向所在網絡中廣播一個請求報文,由于節點N2和N6以及惡意節點A屬于同一個網絡,所以這3個節點都會收到該請求報文。其中,惡意節點A在收到該請求報文后,會向節點N1返回一個應答報文,謊稱通過自己有一條到達目的主機N4所在網絡的最短路徑。節點N1在接收到該欺騙報文后,開始通過節點A向節點N4發送數據。而當節點A接收到從節點N1發送來的數據后,并不轉發數據,而是直接將其丟棄掉或者重定向到偽裝的目的節點。在黑洞攻擊中,惡意節點充分利用了路由協議存在的設計缺陷,從而在網絡中形成了一個專門吸收數據的黑洞,在破壞網絡數據轉發機制的同時,惡意截獲并丟棄節點數據,甚至竊取網絡中一些重要節點的數據。
4 結論
知己知彼,百戰不殆。對安全威脅進行全面系統研究的目的不是人為放大存在和潛在的安全風險,甚至導致應用恐慌,而是在充分認識所面臨威脅的基礎上,為安全技術研究和機制創新提供依據和支撐。本文在充分分析互聯網已有安全威脅的基礎上,針對車聯網應用,重點從數據通信安全入手、從網絡安全出發,以成熟的網絡分層模型為基礎,綜述了面臨的安全威脅。
參考文獻
[1] RAYA M,PAPADIMITRATOS P,HUBAUX J P.Securing vehicular communications[J].IEEE Wireless Communications,2006,13(5):8-15.
[2] HU Y C,PERRING A,JOHNSON D B.Wormhole attacks in wireless networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):370-380.
[3] LAMPSON B W.A note on the confinement problem[J].Communications of the ACM,1973,16(10):613-615.
文獻4-15略
作者信息:
李馥娟1,王 群1,2,錢煥延2
(1.江蘇警官學院 計算機信息與網絡安全系,江蘇 南京210031;
2.南京理工大學 計算機科學與工程學院,江蘇 南京210094)