(1.上海大學,上海 200444;2.紫金山實驗室,南京 211111;3. 中國信息通信研究院,北京 100191)
0 引言
車聯網是增強道路安全、提升交通效率、降低碳排放的國家戰略,是汽車和交通行業的變革新引擎,是國際標準與產業競爭的戰略制高點。車聯網已成為我國新型基礎設施建設焦點,也是國家重點發展的戰略性新興產業。
數據作為車聯網的核心要素,具有巨大的應用潛力和價值。車聯網數據不僅有助于實現臨時濕滑道路、極端天氣、短期道路工程、異常道路阻塞等公共安全信息的發布,還具有巨大的商業價值,能夠為汽車制造商帶來新商機,增加出行服務的粘性,促進品牌增值。此外,還可以為廣大人民群眾提供更舒適、更安全的出行服務,用于改善車輛智能網聯系統的可靠性,降低服務和維修成本等。
數據是車聯網運行的關鍵,車聯網數據量大且構成復雜,不僅包含用戶個人信息、企業敏感數據、公共交通數據,還涉及重要敏感區域地理、軌跡等重要數據,在數據處理與流轉中可能涉及到個人隱私、公共安全、企業安全甚至國家的安全。對數據進行安全管理,保障數據全生命周期的安全可信、流轉共享,是車聯網產業發展的壓艙石。為此,本文總結了車聯網的新形態、數據的新構成、流轉的新體系,重點闡述了在此生態下車聯網數據安全面臨的挑戰,并給出了車聯網數據安全的前瞻性分析。
1 車聯網數據發展的關鍵特征
1.1 新網絡形態
汽車作為車聯網中移動的關鍵節點,正呈現出明顯網聯化發展特征。全球科技市場咨詢公司ABI Research預計[1],2025年全球聯網汽車出貨量將達到1.15 億輛。此外,新售車輛大都支持基本聯網功能,2020年, 美國91% 的新售乘用車輛都支持聯網功能,而亞太地區和拉丁美洲的比率分別為51%和37%。根據Juniper Research的數據[2],到2023年,將有7.75 億輛消費者車輛通過遠程信息處理或車載應用程序連接。而且,快速發展的車用無線通信技術(Vehicle-to-Everything,V2X)預計將獲得巨大的市場驅動力,有力促進車聯網發展。這種通信將為網聯車帶來更安全、更少擁堵的道路,并增強駕駛員體驗。
5G、自動駕駛等新技術將促使汽車逐步跨入智能網聯時代。我國堅持“單車智能+網聯賦能”發展路線。5G將為車聯網注入新動力,為空中下載技術(Over-the-Air,OTA)、高級駕駛員輔助系統(Advanced Driver-Assistance Systems,ADAS)、高清(High Definition,HD)視頻、增強/虛擬現實(Virtual Reality/ Augmented Reality,AR/VR)、信息娛樂以及車云數據傳輸帶來高帶寬連接。一方面,完全聯網的汽車體驗依賴于無處不在的連接和100%的覆蓋率,因此率先在城市實現車聯網全覆蓋預期將成為可能,網絡的核心數據將繼續在車內進行處理,汽車本身將越來越成為邊緣數據處理中心。另一方面,隨著自動駕駛技術的快速發展,駕駛員的角色將逐漸被移除,由此將激發更廣闊的智能網聯汽車應用商業版圖。人類從駕駛任務中解放出來后,汽車將真正成為人們移動出行的信息處理中心節點,自動駕駛系統和車外的路、云等相互協同,實現高效的自動路線規劃、安全的自動駕駛、實時的交通導航、便捷的車輛管理等。在車內,乘客可以無縫隙聯網并在屏幕上進行線上會議、娛樂、社交、支付等。
可以預見,當人—車—路—云得以大規模全互聯,自動駕駛解放了人類駕駛操作,車聯網應用蓬勃發展的時代真正到來時,億萬規模的車、智慧協同的路、高效計算的云、可靠通信的網、遍布各處的充電設施等,將構建前所未有規模巨大的新型網絡。
1.2 新數據構成
車聯網數據融合了來自用戶、汽車、道路、綜合交通系統等多方面的海量數據,涉及的數據類型多、規模大,涉及的數據處理主體眾多,如用戶、汽車生產企業、車聯網服務云平臺、數據監管部門等。表1給出了車聯網主要數據的構成及安全影響分析。
表1 車聯網主要數據構成及安全影響分析
1.3 新數據流轉體系
數據是車聯網的核心要素,“聰明的車+智慧的路+協同的云”的美好交通出行愿景,需要數據支撐實現。如圖1所示,車端作為生成車聯網數據的重要源端,采集和產生大量數據;整車廠(Original Equipment Manufacturer,OEM)作為車聯網數據收集的后端服務平臺,將收集到的車聯網數據分為內部數據流和外部數據流。內部數據流可以提供增值服務,可以被OEM用來對產品和技術進行改進。例如,通過不斷“喂”數據對自動駕駛深度學習算法進行訓練,讓算法更可靠、更安全。外部數據分為安全類相關數據和第三方銷售數據。根據安全管理要求,安全類相關數據應該被用來強制要求共享。銷售數據通過提供給第三方(如車聯網服務提供商),為OEM帶來直接經濟價值。
圖1 新型車聯網數據流轉體系
從圖1可以看到,數據在流轉中產生價值。車聯網中各個主體間的數據交互,都離不開數據的安全存儲、處理、傳輸與共享。存在以下要求:《汽車數據安全管理若干規定(試行)》[3],倡導汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”“默認不收集”“精度范圍適用”“脫敏處理”等原則規定;《汽車數據安全管理若干規定(試行)》第12條,要求汽車數據處理者向境外提供重要數據,不得超出出境安全評估時明確的目的、范圍、方式和數據種類、規模等。眾所周知,許多車企的總部在國外,不可避免地需要回傳一些數據到總部。那么,哪些數據可以回傳、哪些數據不可以回傳,如何保證可以回傳的數據應傳盡傳,不能回傳的數據堅決不傳;保證“全程全網”數據流轉過程安全可追溯。面向圖1所示的數據流轉過程,如何開展安全技術研究,確保數據全程全網得到充分安全地利用,這關系到整個車聯網產業的健康良性發展。
2 車聯網生態系統下數據安全面臨的挑戰
在新的網絡形態下,隨著用戶數目的增加,車聯網數據規模和復雜性呈指數級增長態勢。以關鍵聯網節點汽車為例,FTI 市場調查數據顯示[4],每輛智能網聯汽車每天產生的數據大約從4 TB到10 TB或者20 TB不等。在這些數據中,70%~90%的數據來自于汽車,包括車內的速度、轉速等狀態信息,車外的自動駕駛場景信息,用戶的駕駛及個人信息等;2.5%~5%的數據來源于車輛間(Vehicle-to-Vehicle,V2V)通信信息;2.5%~5%來源于認證、道路狀況等信息(Vehicle-to-Infrastructure,V2I);5%~20%來源于地圖服務等信息(Vehicle-to-Cloud,V2C)。
面向車聯網數據的安全管理要求,車聯網數據安全面臨如下主要挑戰。
2.1 車聯網數據的復雜性與流動性給安全帶來不確定因素
(1)車聯網數據流動性強。車聯網服務場景復雜,功能多元,涉及到“多端、多平臺”,包括車端傳感器、路端基礎設施,以及OEM數據平臺、公共交通平臺、國家監管平臺等,從縱向和橫向兩個方面拓寬了工業生態,增強了數據的流動性。從縱向來看,在車聯網中不僅需要完成車內的數據流轉,還需要實現車與人、車與車、車與路、車與云的多維數據交互,擴大了數據交互的范圍。此外,車輛的移動屬性造成數據的高度動態性,要求數據在車端、路端、云端之間實時傳輸處理和高頻交互,整體數據流動性大大增強。從橫向來看,在整個車聯網產業鏈中,上下游行業之間也存在數據流動,例如汽車生產、保險、維修等行業,必然會有數據的共享和交換。數據的強流動性是車聯網數據安全管理面臨的主要挑戰之一。
(2)車聯網數據復雜性高。車聯網涉及的數據種類繁多,在車輛端包括車牌、車型、尺寸等車輛的基本數據,以及實際駕駛中收集和處理的環境數據、駕駛數據、操作數據和位置軌跡數據等;在車企端,包括車輛研發及產品的相關數據、用戶數據、運維數據、供應鏈與各類職能數據等;在公共交通平臺端,包括實時路況、道路緊急情況、交通管制、道路建設、極端天氣及事故發布數據等。不同類型的數據具有不同的敏感度,需要采取分級分類的安全管理措施來實現數據安全和整體最大效用。此外,數據格式復雜多樣,往往不同來源的數據,其格式也不同。這種非標準化也為數據安全的分析和處理行為帶來了困難。因此,數據的高度復雜性是車聯網數據安全面臨的主要挑戰之一。
2.2 車聯網數據安全共享本身遭遇重重困難
車聯網數據融合了來自用戶、汽車、道路、綜合交通系統等多方面的海量數據,涉及的數據類型多、規模大,涉及的數據處理主體眾多,如用戶、智能網聯汽車OEM、車聯網服務云平臺、數據監管部門等。面向車聯網數據的安全管理要求,車聯網數據安全共享面臨如下主要挑戰。
(1)目前缺乏面向多元化主體的車聯網數據分級分類安全標準、規范、指南等,來全面指導車聯網數據安全的管理工作,明確主體責任分配。其次,車端缺乏可信執行環境,存在數據泄露風險。車端作為數據采集與數據發送的源端,需要安全可信的執行環境,為核心敏感數據提供安全防護保障。因此,如何構建車端安全防御體系,提供數據可信執行環境,是確保車聯網數據安全保護的基本技術挑戰之一。
(2)數據所依存的宿主軟硬件系統的漏洞、后門內生安全問題,使得攻擊者繞過數據加密、認證機制,造成數據泄露。作為車聯網數據依存的軟硬件關鍵系統節點,本身存在未知漏洞、未知后門等系統內生安全問題。攻擊者基于宿主軟硬件系統的漏洞、后門,可以繞過重重設防的安全機制,實現對系統的入侵控制和獲取數據,威脅數據安全。因此,如何建立安全可靠的宿主軟硬件系統,應對未知漏洞、后門,是保證車聯網數據安全的基本技術挑戰之一。
(3)在車聯網數據全生命周期過程中,缺乏體系化的安全管理技術來保障數據安全。一方面,需要研究針對不同等級和類別數據的全生命周期認證、加密、脫敏、數據水印、完整性校驗等防護技術;另一方面,在車聯網數據傳輸、處理、交換、遷移等流通環節中,需要開展安全監測、控制、記錄、溯源等技術研究。此外,還需要加強車聯網重要數據大規模泄露、異常流動、違規出境等安全風險監測,保障全生命周期的車聯網數據安全。
2.3 新型網絡下的攻強守弱態勢仍未改觀
根據工業和信息化部數據統計[5],在2019年的專項調研檢測中發現,80%以上的車聯網平臺和軟件存在缺乏身份鑒別、數據明文存儲等隱患,85%的關鍵部件存在著安全漏洞,近六成企業缺乏自動化的網絡安全監測響應能力。車企同樣經歷著類似數據泄露風險。例如,2022年10月,豐田汽車在一份聲明中表示,使用其T-connect服務的約29.6 萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等[6]。
在新型車聯網生態環境下,網絡安全問題本質上是一場不公平的攻防雙方博弈和對抗問題。例如,智能網聯汽車規模越大的軟硬件系統潛藏的漏洞也越多,這通常意味著暴露了更大的攻擊面,而系統的網絡安全水平往往決定于木桶的短板處,這使防御方常常陷入防不勝防的窘境。從攻擊方的角度來看,擁有先進的工具、足夠的技術技能和耐心的攻擊者們總是會找到突破防護的方法,而且這種攻擊往往是低投入、高回報。文獻[7]指出,攻擊者只要能夠訪問現代汽車中數十個電子控制單元(Electronic Control Unit,ECU)中負責傳感和控制的微處理器芯片中的任何一個,幾乎就可以“完全規避各種各樣的安全防護系統”。而且,攻擊汽車所需的資源變得越來越方便。僅使用免費的開源軟件以及Raspberry Pi、Android手機或在現有筆記本電腦上運行的免費Kali Linux虛擬機,黑客就可以測試漏洞并可能通過藍牙和Wi-Fi攻擊汽車。眾所周知,近年來已經發生了多起黑客利用漏洞發動網絡攻擊,竊取汽車企業大量用戶數據實施勒索的事件。
3 車聯網數據保護技術分析
可以預見,隨著路側及云基礎設施建設、移動技術進步、車輛通信協議發展、邊緣處理/計算技術的提升,以及自動駕駛的快速發展,車聯網數據安全的風險也將隨之不斷增加。
3.1 建立面向用戶、企業、公眾、國家等不同主體的數據分級分類安全管理機制
針對車聯網帶來的數據分級分類安全管理嚴峻挑戰,國內外相關監管部門已開始布局,在監管法規、政策等方面有了一定的成果。歐洲數據保護委員會在2021年通過《車聯網個人數據保護指南》,明確了車聯網中數據收集的類型以及數據在多個控制者和處理者間流轉過程中各方的權責與義務。我國也高度重視車聯網數據分級安全管理問題。2021年9月,工業和信息化部發布《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》,規定要加強智能網聯汽車安全防護,加強車聯網網絡安全防護和服務平臺安全防護,健全安全標準體系;指出要加強數據分級分類管理,提升數據安全技術保障能力,規范數據開發利用和共享使用,強化數據出境安全管理。2022年3月,工業和信息化部發布《車聯網網絡安全和數據安全標準體系建設指南》,其中指出要在2023年年底初步構建車聯網網絡、數據安全標準體系,規范車聯網數據分級分類保護要求,制定車聯網數據分級分類標準是該體系的重要組成部分。
總體而言,目前國內外對車聯網數據分級安全管理問題均開始重視,相關國家發布一系列法律法規,加強對車聯網數據的分級分類管控。但在技術層面,包括宿主系統內生安全問題的技術解決方案,OEM數據平臺、國家車聯網數據管理支撐平臺、綜合交通信息平臺數據分級分類安全共享標準與規范,以及車聯網數據全生命周期流轉過程中的安全檢測,均缺乏相關技術手段與保障能力建設。
3.2 形成體系化縱深防御方案
新型車聯網防御的核心是要減少系統攻擊面,防御各種基于已知/未知漏洞的網絡攻擊。只不過,此時攻擊面已經不再局限于終端,而是整個“云—邊—端”系統。在這種情況下,有效的安全防御通常是體系化的縱深防御。目前,已有研究借鑒生物免疫系統的機理和機制尋找網絡防御體系化解決方案[8-10]。以脊椎動物免疫系統三道防線抵御致病微生物的侵害為例[11],第一道防線依靠物理屏障(例如人類的皮膚)防止病原體;第二道防線是先天性免疫,這種與生俱有的免疫系統可以非特異地識別并作用于病原體,是一種快速的、廣泛的免疫反應,人們在新冠病毒暴發伊始能夠戰勝這種“未知”病毒,依靠的就是這種非專一性的免疫能力;第三道防線是后天免疫,這是一種能識別并針對特定病原體的特異性免疫,是一種專一性防御能力,許多人在感染某種新冠病毒并依靠先天免疫戰勝它之后,就會后天產生針對這種病毒的抗體,當然人類也可以通過疫苗接種獲得對特定病原體的防御能力。
對比已有的互聯網縱深防御策略,可以發現,加密認證和隔離等基本防御技術可以構筑起第一道防線,為車聯網提供基礎防御;防火墻、入侵檢測等基于先驗特征和特征檢測的各類防御技術,能夠將各種已知攻擊的流量、行為、內容等特征配置相應的防御規則和策略,實施特定的精準防御,可以構筑第三道防線;目前的主要挑戰在于,亟需一種能夠快速、廣泛且高效地應對“未知”威脅的防御技術,構建車聯網防御的第二道防線,并且使其能夠與第三道防線緊密合作并產生激發效應,形成很好的體系化防御效果。
3.3 堅持基于整體安全觀的融合安全策略
數據安全與網絡安全既有明顯的區別,也有許多交織和融合的部分。隨著車聯網應用場景和服務能力的不斷演進,大量數據被持續產生、采集、處理、存儲、傳輸、使用和遷移,這些數據不僅包含用戶個人敏感信息,還涉及重要敏感區域地理、軌跡等重要數據,一旦被攻擊者惡意竊取將導致數據泄露和數據濫用,影響個人隱私乃至國家安全。相較而言,網絡安全更多關注的是“云-邊-端”硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,保障系統連續、可靠、正常地運行,服務不中斷。
數據安全與網絡安全的融合需要堅持整體安全觀。雖然網絡安全與數據安全關注角度有明顯的區別,但它們并不是相互孤立的兩種安全。車聯網數據在全生命周期流轉過程中,數據安全和網絡安全風險交織疊加,安全形勢更加復雜嚴峻。Upstream對近10年來的近千個汽車網絡安全事件進行了統計分析[12],從分析的結果可以發現,基于漏洞利用的網絡攻擊不僅可以直接帶來盜竊車輛、車輛操控等風險,而且可以“繞過”加密認證等防護技術,竊取數據實施勒索,或者直接造成了危害嚴重的數據泄露等安全事件。因此,若車聯網中的軟硬件系統“自身網絡安全難保”,那么系統安全之上的數據安全也將得不到保障。
4 結束語
數據作為車聯網的核心要素,其安全問題受到國家和社會的高度重視。車聯網數據安全應該堅持整體安全觀:從法規、標準、管理、技術、人才、應急等方面整體協同用力。同時,車聯網數據安全應該堅持全生命周期安全觀:在數據的產生、傳輸、存儲、銷毀的全生命周期內,全程全網保障數據安全。這意味著,在依靠經典密碼技術確保傳輸安全之外,還需要各種防御技術協同為數據提供可信的宿主系統,以融合安全視角和融合安全技術共同打造數據安全底座。
