车联网安全威胁综述
李馥娟1,王 群1,2,钱焕延2(1.江苏警官学院 计算机信息与网络安全系,江苏 南京210031;2.南京理工大学 计算机科学与工程学院,江苏 南京210094)
摘 要:伴随着车联网技术的飞速发展,其所面临的安全威胁日渐凸显,已引起学术界、工业界和政府部门的普遍关注。作为在智能交通中具有典型性和先进性的车联网,较之传统的互联网,因其应用环境更加特殊、组网更加复杂、管理更加困难,其安全威胁更加突出。从数据通信角度出发,提出车联网的安全架构,重点从车域网安全、车载自组网安全和车载移动互联网安全3个方面分析存在和面临的安全威胁。
关键词:车联网;安全威胁;车域网安全威胁;车载自组网安全威胁;车载移动互联网安全威胁
中图分类号:TP393
文献标识码:A
DOI:10.16157/j.issn.0258-7998.2017.05.006
中文引用格式:李馥娟,王群,钱焕延. 车联网安全威胁综述[J].电子技术应用,2017,43(5):29-33,37.
英文引用格式:Li Fujuan,Wang Qun,Qian Huanyan. Survey on security threats of Internet of vehicles[J].Application of Electronic Technique,2017,43(5):29-33,37.
0 引言
作为在智能交通应用中具有典型性和先进性的车联网,因其应用环境的特殊性和组网的复杂性,其安全问题更加突出。从网络拓扑来看,车联网中节点之间的连接方式更加灵活,车辆之间可以组成无中心的移动自组织网络,车辆与道路基础设施之间还可以组成有固定接入点的基础结构型网络。所以,车联网的结构要比传统的互联网、MWSN(Mobile Wireless Sensor Networks,移动无线传感网)、MANET(Mobile Ad-hoc Network,移动自组织网络)更加复杂,复杂的网络结构和应用随之也带来了新的更加复杂的安全问题。由于车联网中的车车通信以及车路通信全部采用无线移动通信方式,无线通信固有的缺陷与车联网应用的高可靠性、高安全性之间存在着矛盾。作为车联网数据承载的互联网,其安全隐患和威胁在车联网中依然存在,而且还会随着车联网的应用发展而不断演变,进而形成新的安全威胁。为此,对于车联网安全的研究,需要在充分认识各类已有网络技术的基础上,结合车联网自身的结构和功能特征,从体系结构、协议实现、管理策略、具体应用等方面分析可能存在的安全隐患和潜在的安全威胁,并提出具体的解决方法和相应的研究思路。
1 车域网安全威胁
1.1 车辆定位安全威胁
车辆定位是车联网的关键技术之一,车联网的大量应用都与位置信息有关,尤其是车速、加速度、运行方向等涉及到车辆运行安全的信息必须与特定的车辆及其当前位置相关,没有准确位置信息的监测数据不但没有应用价值,而且会为车联网带来安全隐患。因此,车辆定位技术是车联网技术发展的基础。
参与车联网定位的节点分为已知其位置信息的信标(Beacon)节点和未知其位置信息的未知(Unknown)节点两类,其中分布在道路两侧的RSU(Road Side Unit,路侧单元)多为通过GPS等方式精确定位的信标节点,而行驶在道路上的车辆多为未知节点。由于车辆运行在空旷的交通环境中,攻击节点可以入侵到车联网,破坏定位模块的正常功能。同时,由于定位系统多利用无线通信所具有的信号传输延时、角度、功耗、相位差等物理属性和特征,以及信息在不同节点间转发的跳数来确定节点的位置关系,然而攻击者可以利用无线通信的开放性随意地侦听网络中的信息并进行伪造[1],或者将自己扮演为信标节点发送虚假定位参照信息来误导未知节点。其中,虫洞攻击[2]是一种典型的适用于车联网环境的攻击方法,它不仅通过扰乱节点之间的正常跳数产生错误的定位信息,而且利用篡改、选择性地转发接收到的信息,破坏网络中正常传输的数据。
1.2 传感器网络安全威胁
与WSN不同的是,VAN(Vehicles Area Network,车域网)中的传感器网络是由性能与功能不同的传感器组成的分层传感器网络,而且传感器之间多采用有线或集成方式连接,属于静态传感器网络。为此,在研究VAN中传感器网络的安全时,不再受计算能力、功耗、存储空间和通信能力等硬件资源的影响,一些经典的密码算法、密钥管理、身份认证、入侵检测等安全技术可直接应用其中,提高了系统的安全防范能力。
在车联网中,单一数量和功能的传感器提供的信息已无法满足其应用需求,必须同时运用包括压力、温度、湿度、速度、红外、激光等多种功能的不同传感器,并将其集成起来提供多种感知数据,通过优化处理获得车辆的特定状态信息,再经综合分析后,为车联网应用提供信息依据。为此,在VAN的传感器网络研究中,重点应放在对不同传感器数据的安全融合上。在由分层静态传感器网络的数据融合操作中,根据系统的要求,数据融合节点(Aggregator Node)从各传感器节点(General Node)收集所需的数据,并进行融合操作,然后将融合后的数据提交给相应的应用系统或上层通信设备。
数据融合可有效降低系统的通信开销,但也会因攻击而带来安全隐患,主要表现为:一是攻击者入侵数据融合节点或将自己冒充为数据融合节点,修改数据融合的规则或策略,从而产生错误的融合后的数据并将其发送给应用系统或上层设备;二是攻击者在入侵传感器节点或将自己冒充为合法的传感器节点后,向数据融合节点故意发送错误信息。以上两种方式,都会破坏传感器网络的数据融合规则,形成错误或虚假的“感知”信息,使车联网已有的安全机制失效,产生严重的安全后果。
1.3 车内通信安全威胁
车联网是一个复杂的集信息感知、融合、交互于一体的信息系统,就VAN内部的通信而言,不同功能的设备设施及模块之间频繁地进行信息的交换和处理,同时内部设备还需要通过车载通信网关实现与外部网络的连接。
根据安全防御要求,可根据不同的安全等级将VAN内部的通信划分为多个不同的安全域,其中有些仅允许内部数据交换的域与可访问外网的域之间需要实现严格的物理隔离,而有些域之间只允许用户数据从高安全域单向传输到低安全域,反之不然。通过这种域间控制机制,实现通信的可靠性。但是,攻击者也可以冒充为高安全域中的成员去控制低安全域中的节点,从而形成一个隐蔽通道[3]来破坏原有的安全机制。为此,如何消除潜在的隐蔽通道安全威胁,实现不同等级安全域之间可靠的数据传输,是VAN安全需要解决的问题。针对此问题,传统网络中的物理隔离技术和基于数据过滤、数据流控制、协议转换、虚拟机等方式的逻辑隔离技术,可以迁移到VAN的安全通信中。
1.4 电子车牌安全威胁
车辆的注册管理一直是交通管理部门的工作重点,也是车联网需要实现的重要功能。其中,车牌管理通过对车辆分配一个唯一的身份标识(Identity,ID),实现对车辆从注册、安检、违章处理到报废等一系列环节的过程管理,解决车辆管理中存在的黑车、套牌车、肇事车逃逸、车牌伪造等违法问题。
电子车牌面临的安全问题主要有:拆除或物理损坏电子标签、标签内容篡改、非法读取标签信息、伪造标签等。从技术上讲,电子标签与读写器之间的通信是非接触式的,两者之间的身份认证和数据加密机制也存在被攻击的风险,存在信息被非法读取或泄露的可能。即使是长期存储在标签和后台数据库中以及临时存储在读写器中的与车牌相关的信息,也同样会受到攻击。另外,利用标签中车辆ID唯一性进行的对车辆的跟踪和定位,导致用户隐私的泄露。即使在加密系统中无法知道标签中包含的具体内容,但通过固定的加密信息仍然可以对标签进行跟踪和定位。
2 车载自组网安全威胁
2.1 干扰攻击
VANET(Vehicular Ad-hoc Network,车辆自组织网络)安全威胁既有来自外界的入侵,还有来自内部的攻击,安全问题较为复杂。干扰攻击是一种基于无线通信物理层所提供的频率选择、信道侦听、调制和数据收发等功能而产生的攻击方式。误码率高、传输带宽有限、通信质量无法得到保障和系统的安全性较差是无线信道的固有特征。在车载自组网中,车辆间以无线方式随机接入或离开网络,并共享无线信道。攻击者可以向特定区域发射大功率干扰信号,扰乱车辆之间的正常通信,使信号收发节点失去正常的信号收发能力,从而形成频谱干扰(Spectrum Jamming)攻击[4]。
如图1所示,频谱干扰攻击的一般实现方法是攻击者在感知到网络中的通信行为时,在授权频段内通过提高自己的功率谱密度(Power Spectrum Density,PSD)来产生和发送连续的大功率无线信号,从而阻断正常的通信。当节点要发送数据时,因信道繁忙而无法获得对信道的有效利用,而节点要接收数据时,接收节点也会因大量来自攻击的无线信号而被湮灭其中。在车联网中,车辆之间必须频繁交换各类实时感知信息,才能为车辆行驶安全作出相应的判断和决策,而一旦这些信息无法在节点间正常传输或传输时出现错误,则会引起车辆间通信的混乱,甚至产生安全事故。频谱干扰攻击是一种典型的物理层DoS攻击。
2.2 虚假信息攻击
虚假信息攻击是借助VANET中节点之间共享开放信道的特点而实现的一种主动攻击方式。在VANET中,当攻击者一旦捕获共享信道所在的频段后,就可以冒充为合法的车联网节点,向网络中发送虚假信息,也可以篡改、延迟转发或丢弃接收后需要转发的信息,从而实现攻击目的。
安全是车联网技术能否从理论走向应用、从实验室走向大范围部署的关键。行车安全依赖于车联网中大量节点之间的协作,需要各节点之间能够实时交换信息,并确保数据传输的真实性、完整性和可用性。为此,VANET需要能够同时抵御内外网络的安全威胁,形成一个可信、可控、可管的高度协作的网络环境。
2.3 隧道攻击
隧道攻击[5]是指网络中的恶意节点通过创建隐蔽通信通道,以此来隐瞒节点之间的真实路径,使路由选择、节点定位等涉及到路径信息的算法因所获得信息的虚假性而失效。如图2所示,恶意攻击节点A与B之间建有一条隐蔽通道,利用该隐蔽通道攻击节点可吸纳周边节点的数据流量,而忽略了“车辆A”节点的存在。由于部分真实节点被忽略,破坏了网络拓扑的真实性,使基于拓扑的通信协作和算法在执行过程中出现错误。
主动攻击和被动攻击的特点在隧道攻击过程中同时得到体现,恶意节点间通过相互间的配合构建隐蔽通道,实现对路由的重定向,其他的攻击手段也可以利用已创建的隧道发起新的攻击。隧道攻击的实现过程,从监听网络可用频段到攻击同伴的产生,整个过程完全依赖于正常的网络协议来实现,并不篡改其他节点的信息,而是利用自己的隧道资源优势引诱其他节点的路径选择。在车联网中,隧道攻击主要存在于物理层和网络层,都会误导信息的传输路径,导致车辆间相对位置判断的错误,使行车安全遭受破坏。
除以上安全攻击之外,车联网还会受到黑洞问题、DoS攻击(分布在网络体系结构的各层,如网络层DoS攻击、MAC层DoS攻击等)、路由表溢出、信息泄漏等主动型攻击方式。
3 车载移动互联网安全威胁
3.1 车辆安全威胁
3.1.1 车载操作系统安全威胁
(1)操作系统移植中存在的安全威胁。目前,车载操作系统也多移植于智能移动终端的操作系统,主要有苹果公司的iOS和Google的Android。由于iOS是一个系统级服务有限的相对封闭的操作系统,所以其安全性较好,受攻击的面较小。而Android是一个相对开放的半开源操作系统,虽然操作系统的核心代码是开源的,底层服务也是开放的,但第三方基于开源系统和开放平台开发的应用一般是不开源的,导致软件漏洞和后门大量存在,安全事件频发,安全威胁较大。
(2)软件“越狱”带来的安全风险威胁。软件“越狱”是指绕过苹果公司对其操作系统iOS施加的很多限制,从而可以获得设备root权限访问底层服务的技术手段。设备“越狱”后,用户从苹果App Store以外的商店下载其他非官方的应用程序或者自行安装和订制应用,开发者可以在不受App Store严格审核的情况下访问系统资源、使用私有应用程序编程接口、修改系统特性等,进而实现对短信、通话及电子邮件的拦截,GPS后台跟踪,后台录音等操作,给行车安全和用户信息安全带来极大的隐患。
(3)操作系统“刷机”带来的安全风险威胁。“刷机”即对设备更换固件(即ROM),目前多用于智能手机等移动终端设备。“刷机”后有可能带来设备运行不稳定、死机、功能失效等后果,当使用来路不明或事先设置了安全后门的ROM时,会存在很大的安全风险。
(4)外部通信接口带来的安全威胁。车联网中的外部通信接口主要是车载通信安全网关,在与外部进行数据交换时,一方面要防止内部信息的泄露,另一方面还要防止外部网络中的病毒侵入内部网络。
另外,还有软件升级过程中带来的安全隐患,用户非授权访问等安全问题。
3.1.2 应用软件安全威胁
(1)病毒的侵入。虽然车载智能终端不像智能手机、平面电脑那样受计算和存储能力的限制,但与传统互联网中的计算机相比,车联网中车载智能终端防范病毒入侵和防御外界攻击的能力相对有限,复杂的加密算法和运行机制很难取得预期的效果,对于庞大病毒库的更新与维护相对困难。
(2)云计算环境中的数据安全。由于云计算所具有的按需使用、易拓展、高效利用等特征,大大增加了在车联网应用中的灵活性。云计算是一个由多个单一安全域通过轻耦合方式联合而成的逻辑安全域,云计算所具有的可扩展性、开放性和管理的复杂性,使访问控制变得非常繁杂,传统单一安全域中的访问控制模型和机制无法解决多域环境中可能出现的安全威胁。所以云计算的应用必须解决跨域认证、授权和操作中带来的安全问题。除此之外,传统网络的安全也在影响着云计算环境中用户数据的安全[6]。
(3)专业应用安全。专业应用安全中最典型的是定位软件的安全。由于定位信息不仅仅涉及到用户的个人私隐,还涉及到行车安全,所以成为木马攻击的主要目标之一。当木马侵入到车辆定位软件后,会在后台运行并收集用户的地理位置等敏感信息,并在用户完全不知情的情况下泄露出去。在这种情况下,定位软件就像一个隐藏的间谍,其存在对个人信息和行车安全来说无疑是一种威胁。
3.2 接入网安全威胁
接入网负责将车辆节点连接到核心网络以获得相应的服务,它是车联网的重要信息基础设施。根据信号覆盖范围的不同,车联网中的接入网可以分为卫星通信网络、蜂窝网络(2G/3G/4G)、无线城域网(如WiMax)、无线局域网(WLAN)、无线个域网(如红外、蓝牙等)等方式[7,8]。接入网主要面临以下几个方面的安全威胁。
3.2.1 网络耦合过程中带来的安全威胁
各种接入网络之间的泛在互联,需要异构网络之间的耦合。例如,3G与WLAN在耦合时需要通过接入网关将WLAN中的AP接入到3G网络,WLAN中的用户共享3G网络系统提供的身份认证、资源授权和计费等功能。在这一过程中,相对安全的3G网络需要向WLAN开放网络接口,其安全性受到威胁。在不同架构的网络耦合过程中,各类专用接入网关扮演着异构网络之间的用户与资源管理和数据转换等角色,网关自身的安全性也在很大程度上决定着车联网的安全性。
3.2.2 缺乏安全统一的身份认证机制
任何一个多用户系统都涉及到身份认证和资源授权问题[9,10]。在传统的单一安全域中,一般都存在技术上成熟、运行稳定的用户和资源管理模式来负责协调管理本域中的不同应用系统,如基于单点登录(Single Sign On,SSO)的统一身份认证系统实现了用户在一个安全域内的一次登录多次访问能力。在车联网环境中同一车辆节点需要同时访问多个相对独立的应用系统,应用系统多属于不同的安全域,多数访问需要跨域进行,因而需要一个统一身份认证(也称为“联邦身份认证”)中心负责对逻辑安全域中的用户身份和资源授权进行统一管理。但是,因不同域间的轻耦合性而导致的安全边界的不稳定性和模糊性,大大增加了车联网中对数据安全和用户隐私保护的难度,传统单一安全域中的安全机制在其可扩展性和资源按需分配方面无法满足多域环境下的需求,并暴露出一些安全问题。
3.3 应用安全威胁
3.3.1 数据的非法访问
非法访问是指对数据的非授权或越权访问,破坏了数据的保密性和完整性。非法访问一般通过扫描、黑客程序、隐蔽通道、远端操纵、密码攻击等手段,窃取或截获用户帐号和口令等信息,寻找网络安全弱点,窃取系统管理员权限或将普通用户的权限提升为管理员权限,窃取网络中传输或存储的非公开数据,破坏、修改正常数据,设置非法程序,使系统无法为合法用户提供服务。对用户隐私信息的不规范甚至是非法使用,不仅会侵犯个人隐私,而且有可能助长以用户信息为牟利点的地下黑色产业链,严重影响车联网技术的应用和发展。
3.3.2 轨迹隐私泄露
车联网中,车辆随时随地接入互联网,车辆信息具备时间和空间上的连续性和关联性,形成了逻辑上非常明晰的关联,将这种关联称为轨迹。由于车辆的运行轨迹中包含着或者可以推导出内容丰富的敏感信息(例如什么时间去过什么地方、驾驶者的生活习惯及健康状况等),所以攻击者可以收集丰富的、细粒度的车辆轨迹信息,并经分析获得用户的隐私。
3.3.3 车辆大数据安全
移动通信和传感设备的广泛使用导致了大数据的到来,而移动通信和传感设备正是车联网的应用核心。由于车联网中研究的主要对象是车辆,原始数据也主要由车辆直接产生,为此将车联网中与车辆相关的数据理解为车辆大数据。根据已有的研究,对大数据提出了称为5 V的5个基本特征,即体量大(volume)、产生速度快(velocity)、模态多(variety)、识别难度大(veracity)和价值密度低(value)[11]。其中,车辆大数据中最大的特点是体量大、产生速度快和模态多,体量大是由车联网的规模决定的,而产生速度快是由车联网中行驶的安全性决定的,而模态多则是由车联网中数据类型决定的。车辆大数据的安全威胁主要体现在以下三个方面:一是由于数据中包含着与车辆自身(包括车辆注册信息、车辆拥有者信息、车辆驾驶者信息等)和车辆轨迹相关的敏感信息,所以存在着信息泄露问题;二是数据服务的真实性和可用性,从车联网自身的功能定位和应用需求出发,车辆节点实时得到的信息必须是真实、可靠、可信的,这需要在确保网络通信质量的前提下,提高数据服务的质量,防止数据被篡改;三是由于车辆大数据的价值很高,成为攻击者的关注目标。车联网中的数据价值直接涉及到行车安全和对可用信息的利用(如利用车辆轨迹信息的欺诈、出售驾驶者健康信息、非法披露用户的个人习惯等),攻击者也可以通过收集公开的信息并进行数据分析,获得有价值的数据。另外,大数据也成为各类攻击实施的载体,攻击者通过将攻击代码写入大数据并以其为攻击发起者对目标对象实施攻击行为。
3.3.4 Sybil攻击
Sybil攻击[12,13]是车联网中常见的基于身份的攻击方式,发起攻击的节点(Sybil节点)通过伪造车辆的身份标识(ID)来创建错误的目的地址,达到攻击目的。在Sybil攻击中,Sybil节点通过冒充其他合法车辆节点或伪造车辆ID,使一个恶意物理实体同时对外提供多个ID,从而使车辆ID失去真实性。一旦Sybil攻击成功,攻击者将破坏车联网正常的运行机制,主要表现为:发布虚假交通信息、使点对点存储系统的分段和复制机制失效、扰乱路由算法机制、破坏网络选举机制、改变数据整合结果、使以节点为基础的资源分配策略丧失公平性、使异常行为检测出现误差等。如图3所示,在一交通路口,车辆正确的行驶方向应该是直行或右转,但在攻击节点虚假信息的引导下,错误的导向了直行或左转,从而引起车辆间的碰撞甚至是更大的交通事故。
3.3.5 虫洞攻击
虫洞攻击(worm hole attack)[14]是一种典型的发生在网络层的DoS攻击方式,攻击节点无需获得系统的身份认证便可以对网络进行功能干扰和破坏。虫洞攻击的实现过程如图4所示,两个实施攻击的恶意节点A1和A2通过串谋建立一条称为“虫洞链路”的私有通道,任何一个攻击者能够分别在各自的位置上获得并记录从邻居节点收到的数据,并通过虫洞链路传递到另一端的攻击节点,并由该攻击节点广播给通信半径内的其他节点。
正常情况下,节点N1和N6无法直接进行通信,但是因为虫洞链路的存在,节点N1和N6分别错误地认为对方在各自的通信范围内。更为糟糕的是,相比其他正常的通信链路,虫洞链路具有更高的通信质量,而且对于上层应用来讲,虫洞攻击节点和虫洞链路是不可见的,这就导致应用层的身份认证和加密数据在虫洞链路中会无条件转发。在车联网中,虫洞攻击主要影响数据融合、路由和定位等功能的正常实现。以基于跳数的无线定位算法(如典型的DV-Hop算法)的实现为例,在正常情况下节点N1和N6之间的跳数为5(N1→N2→N3→N4→N5→N6),而当存在虫洞链路时其跳数变为1(N1→A1→A2→N6),其中在算法实现中A1和A2是不可见的,由于虫洞攻击的存在,使得N1和N6之间的跳数比实际跳数小得多,导致定位结果与实际位置信息严重不符,形成车联网安全的隐患。
3.3.6 黑洞攻击
黑洞攻击(black hole attack)[15]是一种典型的网络层DoS攻击方式,也是车联网中一种常见的攻击类型。与虫洞攻击不同的是,黑洞攻击属于一种内部攻击方式,是由已经被授权的网络内部恶意节点发起的一种攻击。黑洞攻击的实现过程如图5所示,当节点N1中没有到达节点N4所在网络的路由时,节点N1将向所在网络中广播一个请求报文,由于节点N2和N6以及恶意节点A属于同一个网络,所以这3个节点都会收到该请求报文。其中,恶意节点A在收到该请求报文后,会向节点N1返回一个应答报文,谎称通过自己有一条到达目的主机N4所在网络的最短路径。节点N1在接收到该欺骗报文后,开始通过节点A向节点N4发送数据。而当节点A接收到从节点N1发送来的数据后,并不转发数据,而是直接将其丢弃掉或者重定向到伪装的目的节点。在黑洞攻击中,恶意节点充分利用了路由协议存在的设计缺陷,从而在网络中形成了一个专门吸收数据的黑洞,在破坏网络数据转发机制的同时,恶意截获并丢弃节点数据,甚至窃取网络中一些重要节点的数据。
4 结论
知己知彼,百战不殆。对安全威胁进行全面系统研究的目的不是人为放大存在和潜在的安全风险,甚至导致应用恐慌,而是在充分认识所面临威胁的基础上,为安全技术研究和机制创新提供依据和支撑。本文在充分分析互联网已有安全威胁的基础上,针对车联网应用,重点从数据通信安全入手、从网络安全出发,以成熟的网络分层模型为基础,综述了面临的安全威胁。
参考文献
[1] RAYA M,PAPADIMITRATOS P,HUBAUX J P.Securing vehicular communications[J].IEEE Wireless Communications,2006,13(5):8-15.
[2] HU Y C,PERRING A,JOHNSON D B.Wormhole attacks in wireless networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):370-380.
[3] LAMPSON B W.A note on the confinement problem[J].Communications of the ACM,1973,16(10):613-615.
文献4-15略
