自动泊车辅助系统的漏洞、威胁与风险分析
摘要
近年来,高级驾驶辅助系统(ADAS)在汽车行业得到了广泛应用,自动泊车辅助系统(APA)便是其中典型代表。尽管这些系统带来了诸多益处,但也引发了新的漏洞、威胁与风险,亟需关注。自动泊车辅助系统的复杂设计以及所采用的多种通信协议,可能使其出现漏洞,攻击者可利用这些漏洞非法获取系统访问权限,进而危害车辆安全。自动泊车辅助系统面临的威胁来源多样,包括恶意攻击者、软件缺陷及系统故障等,这些威胁可能引发各类攻击,损害系统的完整性与可用性。自动泊车辅助系统相关的风险可能十分严重,可能对车辆乘员及其他道路使用者的人身安全与隐私造成影响。因此,通过部署适当的防控措施,系统地识别、评估并管理这些风险至关重要。
1. 引言
智能车辆,又称自动驾驶车辆,多年来一直是广泛研究与开发的对象。随着技术不断进步,科研人员与工程师致力于研发能够应对复杂现实环境并快速做出决策的车辆。智能车辆研发过程中的一大挑战在于,需要各类传感器、系统及其他技术来实现车辆对环境的感知。此外,还需要相应的算法及其他软件,使智能车辆能够实现导航并与周围环境进行交互。众多企业与研究机构在该领域已取得重大进展,特斯拉等企业在自动驾驶车辆技术方面也实现了显著突破。然而,智能车辆要实现广泛应用,仍有多项挑战亟待解决,例如需要可靠的感知与决策系统,同时还需解决安全与安保方面的问题,包括传感器、算法、系统、网络及其他资产可能面临的网络攻击风险。
智能车辆包含多个领域,如远程信息处理领域、底盘领域、信息娱乐领域、动力传动系统领域、车身领域及传感器领域等。每个领域都包含多个系统,这些系统共同保障智能车辆具备智能性与功能性。智能车辆拥有超过 47 个系统,包括巡航控制系统、自动制动系统、泊车辅助系统、自动驾驶系统、自适应前照灯系统、主动振动控制系统及导航系统等。这些系统易受各类安全风险与攻击的影响,可能会损害个人数据的隐私与安全,而《通用数据保护条例》(GDPR)对个人数据保护做出了相关规定。该条例强调,在数据处理过程中必须保护个人数据,其中包括防止未经授权的数据处理,以及避免个人数据意外丢失、删除或泄露等处理流程。
本研究将聚焦于自动泊车辅助系统(APA,又称泊车辅助系统)。自动泊车辅助系统是一种智能系统,能够帮助驾驶员快速、安全地完成车辆泊车操作。该系统由超声波传感器、摄像头、控制系统、全球定位系统(GPS)、雷达及其他技术等多种组件构成,这些组件可协助驾驶员探测泊车空间。然而,该系统在风险、威胁、漏洞及风险缓解流程方面仍存在一些挑战。
2. 智能车辆
智能车辆的关键要素
根据拉托尔等人(2022)的研究,智能车辆包含三个关键要素,分别是汽车控制系统、车与万物互联(V2X)通信系统以及自动驾驶系统。每个要素都包含多个子系统与组件。
汽车驾驶系统
汽车驾驶系统的核心单元是电子控制单元(ECU),其负责控制自动变速箱的状态以及车辆内部的传感器。车载网络将各个电子控制单元连接起来,实现数据交互。该网络由多种通信技术构成,包括控制器局域网(CAN)、本地互联网络(LIN)、数字总线、FlexRay 总线及射频技术等(如表 1 所示)。控制器局域网(CAN)协议是由国际标准化组织(ISO)制定的数据通信标准,标准编号为 ISO 11898。该协议通常被用作车辆内部各系统间通信的主要网络。
表 1:车辆互联网络
自动驾驶系统
自动驾驶系统由多种组件构成,包括激光雷达(LIDAR)传感器、摄像头、超声波传感器、雷达及全球定位系统(GPS)。激光雷达传感器利用激光波长探测物体并计算距离;摄像头用于识别道路标识、监测障碍物及跟踪行人;全球定位系统通过卫星信号确定车辆位置;雷达则通过测量目标的距离、角度与速度,帮助车辆了解周边环境。
车与万物互联(V2X)通信系统
车与万物互联(V2X)技术用于实现车辆与外部终端之间的网络通信。智能车辆采用多种通信方式,包括专用短程通信(DSRC)、信息娱乐通信、交通安全通信及蜂窝车与万物互联(Cellular V2X)通信等。其中,专用短程通信(DSRC)基于 IEEE 802.11p 无线标准,适用于短距离通信;而蜂窝车与万物互联(Cellular V2X)通信则适用于长距离通信。
3. 自动泊车辅助系统(APA)
部分车辆配备了自动泊车辅助系统,该系统通过自动控制转向、加速及制动操作,协助驾驶员完成泊车。系统利用超声波传感器或摄像头等传感器,探测车辆周围物体的位置与移动情况。当驾驶员激活自动泊车辅助功能并将车辆切换至倒车挡时,系统便会接管车辆控制,引导车辆驶入泊车位置。部分自动泊车辅助系统甚至能够实现车辆的自动平行泊车功能。自动泊车辅助系统的设计目的是简化泊车操作,提升泊车便利性,尤其在空间狭窄的环境中效果显著。
全球定位系统(GPS)会根据车辆当前位置寻找空余的泊车空间;超声波传感器负责探测障碍物;摄像头则精确测量泊车空间的尺寸,并实时监控车辆周边环境;雷达用于探测其他车辆,并测量与其他车辆之间的距离及角度。自动泊车辅助控制器会综合分析所有组件传输的数据,做出决策,进而控制车辆并实施制动,确保车辆安全、精准地完成泊车操作。
自动泊车辅助系统(APA)结构
自动泊车系统由五个控制系统组成,分别是超声波系统、图像处理系统、车速控制系统、动力转向控制系统及车辆控制系统。这五个系统协同工作,共同实现智能车辆的自动泊车流程。各系统之间通过控制器局域网(CAN)通信协议进行数据交互,车辆控制系统则协调各系统的协作,控制车辆的执行器,确保车辆安全、高效地完成泊车。
智能车辆中的每个控制系统都包含多个组件,这些组件为车辆功能的实现提供支持。例如,全球定位系统(GPS)用于确定车辆位置并搜索泊车空间;远程与近程超声波传感器负责收集障碍物相关信息;同时,雷达系统会测量车辆的距离、角度与速度,协助探测其他车辆、行人及障碍物,并辅助车辆导航以避免碰撞。随后,这些信息会被传输至自动泊车辅助系统(APA),系统对信息进行分析后,启动相应操作以控制车辆。在泊车过程中,车载主机(IHU)会检测是否存在人为干预;电动助力转向系统(EPS)与电子稳定控制系统(ESC)会提供车辆运动相关信息;变速箱控制单元(TCU)会提供车辆挡位信息;惯性测量单元(IMU)则会提供车辆车身姿态信息。
自动泊车辅助系统(APA)的资产
资产识别
智能车辆拥有多种资产,这些资产是其实现有效运行的基础。这些资产既包括传感器、摄像头等物理组件,也包括操作系统等软件应用程序。借助这些资产,车辆能够收集周边环境数据,并基于这些数据制定导航及与环境交互的决策,同时还能与其他车辆及基础设施进行通信。此外,这些资产还可用于为车辆提供动力、实现安全功能,并支持驾驶员与乘客与车辆进行交互。总而言之,这些资产对于车辆实现自动驾驶、导航及通信等功能至关重要。作为智能车辆系统的一部分,自动泊车辅助系统(APA)需运用多种组件来实现其功能,这些组件包括传感器、摄像头、雷达、全球定位系统(GPS)、控制系统及互联系统等。
资产分类
自动泊车辅助系统(APA)中的资产,指的是对系统运行及功能实现至关重要的资源、系统与数据。这些资产涵盖硬件(如传感器、控制系统)、软件、网络、数据及人员等多个方面。根据系统的需求与优先级,自动泊车辅助系统(APA)的资产分类方式多种多样,常见的分类方式包括:
1. 重要性分类:该分类方式涵盖对系统运行至关重要的资产,例如传感器、控制系统及其他软硬件组件。
2. 敏感性分类:此类资产包括含有高度敏感数据的资产(如摄像头拍摄的图像、车辆位置数据),以及能够访问敏感系统的资产(如控制系统)。
3. 脆弱性分类:该类资产既包括易受攻击的资产(如接入互联网的系统、使用弱密码的系统),也包括安全性较高的资产(如物理隔离系统、部署了强效安全防控措施的系统)。
然而,根据《道路车辆网络安全》国际标准(ISO 21434),资产分类应基于资产对车辆运行与安全的重要性,以及资产丢失或受损对车辆及乘员造成的影响。该标准为智能车辆资产的优先级排序及保护提供了指导,旨在降低网络威胁风险。
自动泊车辅助系统(APA)的资产将依据 ISO 21434 标准进行分类。高等级资产对车辆安全与运行具有重大影响,例如控制系统;中等级资产对车辆安全与功能的影响相对较小,例如数据存储系统;低等级资产对车辆安全与运行的影响最小,例如全球定位系统(GPS)。
4. 漏洞与威胁
漏洞
需认识到,智能车辆的所有系统都存在漏洞。与其他车辆系统一样,自动泊车辅助系统(APA)也容易遭受网络攻击及其他类型的威胁,这些威胁可能会干扰系统运行或泄露敏感数据。表 2 列出了部分潜在漏洞。
表 2:自动泊车辅助系统(APA)漏洞成因
威胁与潜在攻击
智能车辆,也称为联网车辆或自动驾驶车辆,易受多种威胁影响,这些威胁可能损害车辆的安全性、安保性与隐私性。威胁来源广泛,包括黑客、恶意软件及物理攻击等。如前所述,自动泊车辅助系统(APA)作为智能车辆技术的一种,也容易遭受各类攻击 —— 这些攻击可能是专门针对该系统的,也可能是由于智能车辆其他系统存在漏洞而使自动泊车辅助系统(APA)受到波及。自动泊车辅助系统(APA)面临的威胁可分为六大类,即控制系统威胁、通信威胁、自动驾驶系统组件威胁、信息娱乐系统威胁、数据存储系统威胁及物理威胁。每一类威胁都包含若干具体威胁,这些具体威胁之间可能存在差异。
5.风险、缓解措施与挑战
风险分析流程
《道路车辆网络安全》标准(ISO 21434)为道路车辆及其系统的安全性(包括风险评估流程)提供了指导。该标准涵盖多种威胁与漏洞,包括网络威胁、物理威胁及供应链威胁等。
ISO 21434 标准对风险分析流程做出了规定。
ISO 21434 标准需与其他相关标准及指南(如 ISO/IEC 27001 标准、NIST SP 800-53 指南)结合使用。
风险评估
智能车辆面临的威胁应根据风险等级进行排序,而风险等级由威胁发生的可能性(概率)及威胁对系统造成的影响共同决定。威胁发生的可能性取决于攻击者是否具备实施攻击所需的足够技术与知识;威胁影响则指威胁发生后可能造成后果的严重程度。风险等级通过将可能性与影响的数值相乘得出,这样一来,相关机构就能优先处理最严重的威胁与漏洞。表 3 根据攻击者的动机及威胁影响,确定智能车辆各类威胁的风险等级。
表 3:风险评估(一)
表 4 中的威胁分类,对各类威胁的风险进行了评估。
表 4:风险评估(二)
风险管理与缓解措施
通过风险分析流程识别出自动泊车辅助系统(APA)的风险后,下一步需实施风险处理策略。风险管理的 “4T 原则”(处理、转移、终止、容忍)可用于管理这些风险:
· 处理(Treatment):通过实施防控措施,缓解或消除已识别的风险。
· 转移(Transfer):将风险转移给其他主体,例如通过购买保险或其他风险分担方式。
· 终止(Terminate):通过移除或停用引发风险的活动或资产来消除风险。
· 容忍(Tolerate):接受风险存在,不采取进一步缓解或消除措施。
对于严重和重大风险,需采用 “处理” 策略,即通过实施防控措施来缓解风险;对于轻微风险,则可根据风险影响程度,选择 “终止” 或 “容忍” 策略。
此外,还需应用相关安全标准,以确保自动泊车辅助系统(APA)免受威胁与漏洞影响。这些标准包括 ISO/SAE 21434(道路车辆网络安全工程)、ISO 27001(信息安全管理体系)、ISO 26262(道路车辆功能安全)、ISO 15408(信息技术安全评估准则)及 SAE J3061(道路车辆网络安全指南)。
根据研究,目前已采用多种风险缓解方法(如表 5 所示)。例如,他们提出利用入侵检测技术保护控制器局域网(CAN)免受部分攻击。
表 5:系统风险缓解方法
挑战
智能车辆易受多种威胁影响,这些威胁可能对车辆运行与安全造成重大冲击。威胁类型包括对车辆或其组件进行操控的物理攻击,以及利用车辆系统或通信渠道漏洞发起的网络攻击。部分攻击可能导致车辆或其他资产受损,进而引发潜在事故或其他安全问题,风险等级较高。
除上述风险外,隐私问题也不容忽视。攻击者可能利用自动泊车辅助系统(APA)或其他组件的漏洞,获取智能车辆中存储的私人信息。数据泄露的成因多样,包括滥用授权访问权限、安全漏洞、社会工程学攻击及软件缺陷等。为缓解这些风险,在智能车辆的设计、开发及数据处理过程中,需遵循安全与隐私保护最佳实践。
运营智能车辆的企业需密切关注《通用数据保护条例》(GDPR)的要求,确保在收集与处理个人数据时合规。若违规,企业可能面临高额罚款及其他处罚。除 GDPR 外,还应应用其他相关标准,包括 ISO/IEC 27001(信息安全管理体系)、ISO/IEC 29100(隐私框架)、NIST 网络安全框架及 ISO 21434(道路车辆网络安全)。
因此,萨法等人(2020)将隐私保护方法分为两大类(如表 6 所示)。
表 6:隐私保护方法
6.结论与未来工作
综上所述,智能车辆中的自动泊车辅助系统(APA)面临多种威胁与漏洞,可能引发各类风险。这些威胁与漏洞包括注入攻击、窃听、重放攻击、篡改、欺骗、中间人攻击、暴力破解攻击、干扰攻击及盲区利用攻击等。这些威胁与漏洞可能导致车辆或其他资产受损、潜在事故或其他安全问题,以及隐私泄露等风险。
为缓解这些风险,自动泊车辅助系统(APA)的设计与开发需以安全为核心,同时需部署适当的防控措施,以识别并缓解潜在威胁与漏洞。具体措施包括实施 ISO/SAE 21434、ISO 27001、ISO 26262 及 ISO 15408 等安全标准,以及应用 “4T 原则”(处理、转移、终止、容忍)等风险管理策略。此外,还可采用区块链、哈希算法、入侵检测等缓解标准。
在未来工作方面,需定期评估自动泊车辅助系统(APA)的相关风险,以识别并解决潜在漏洞或威胁,因此可采用 “三级攻击”(Attack Tree)分析方法。