摘要:随着车联网数据规模迎来爆发式增长,车联网数据安全风险也不断增加。为提高车联网数据安全管理水平,分析了车联网数据发展的关键特征:新网络形态、新数据构成、新流转体系,并重点探讨了因数据本身特性、数据流转过程、攻强守弱态势带来的数据安全挑战。在此基础上,提出了三点前瞻性启示,一是建立面向不同主体的数据分级分类安全管理机制;二是形成体系化纵深防御方案;三是坚持整体安全观和融合安全策略。
关键词:车联网;数据安全;数据流转;数据分级分类;纵深防御
0 引言
车联网是增强道路安全、提升交通效率、降低碳排放的国家战略,是汽车和交通行业的变革新引擎,是国际标准与产业竞争的战略制高点。车联网已成为我国新型基础设施建设焦点,也是国家重点发展的战略性新兴产业。
数据作为车联网的核心要素,具有巨大的应用潜力和价值。车联网数据不仅有助于实现临时湿滑道路、极端天气、短期道路工程、异常道路阻塞等公共安全信息的发布,还具有巨大的商业价值,能够为汽车制造商带来新商机,增加出行服务的粘性,促进品牌增值。此外,还可以为广大人民群众提供更舒适、更安全的出行服务,用于改善车辆智能网联系统的可靠性,降低服务和维修成本等。
数据是车联网运行的关键,车联网数据量大且构成复杂,不仅包含用户个人信息、企业敏感数据、公共交通数据,还涉及重要敏感区域地理、轨迹等重要数据,在数据处理与流转中可能涉及到个人隐私、公共安全、企业安全甚至国家的安全。对数据进行安全管理,保障数据全生命周期的安全可信、流转共享,是车联网产业发展的压舱石。为此,本文总结了车联网的新形态、数据的新构成、流转的新体系,重点阐述了在此生态下车联网数据安全面临的挑战,并给出了车联网数据安全的前瞻性分析。
1 车联网数据发展的关键特征
1.1 新网络形态
汽车作为车联网中移动的关键节点,正呈现出明显网联化发展特征。全球科技市场咨询公司 ABIResearch预计[1],2025年全球联网汽车出货量将达到1.15 亿辆。此外,新售车辆大都支持基本联网功能,2020年,美国91%的新售乘用车辆都支持联网功能,而亚太地区和拉丁美洲的比率分别为51%和37%。根据Juniper Research的数据[2],到2023年,将有7.75 亿辆消费者车辆通过远程信息处理或车载应用程序连接。而且,快速发展的车用无线通信技术(Vehicle-toEverything,V2X)预计将获得巨大的市场驱动力,有力促进车联网发展。这种通信将为网联车带来更安全、更少拥堵的道路,并增强驾驶员体验。
5G、自动驾驶等新技术将促使汽车逐步跨入智能网联时代。我国坚持“单车智能+网联赋能”发展路线。5G将为车联网注入新动力,为空中下载技术(Over-the-Air,OTA)、高级驾驶员辅助系统(Advanced Driver-Assistance Systems,ADAS)、高清(High Definition,HD)视频、增强/虚拟现实(Virtual Reality/Augmented Reality,AR/VR)、信息娱乐以及车云数据传输带来高带宽连接。一方面,完全联网的汽车体验依赖于无处不在的连接和100%的覆盖率,因此率先在城市实现车联网全覆盖预期将成为可能,网络的核心数据将继续在车内进行处理,汽车本身将越来越成为边缘数据处理中心。另一方面,随着自动驾驶技术的快速发展,驾驶员的角色将逐渐被移除,由此将激发更广阔的智能网联汽车应用商业版图。人类从驾驶任务中解放出来后,汽车将真正成为人们移动出行的信息处理中心节点,自动驾驶系统和车外的路、云等相互协同,实现高效的自动路线规划、安全的自动驾驶、实时的交通导航、便捷的车辆管理等。在车内,乘客可以无缝隙联网并在屏幕上进行线上会议、娱乐、社交、支付等。
可以预见,当人—车—路—云得以大规模全互联,自动驾驶解放了人类驾驶操作,车联网应用蓬勃发展的时代真正到来时,亿万规模的车、智慧协同的路、高效计算的云、可靠通信的网、遍布各处的充电设施等,将构建前所未有规模巨大的新型网络。
1.2 新数据构成
车联网数据融合了来自用户、汽车、道路、综合交通系统等多方面的海量数据,涉及的数据类型多、规模大,涉及的数据处理主体众多,如用户、汽车生产企业、车联网服务云平台、数据监管部门等。表1给出了车联网主要数据的构成及安全影响分析。
1.3 新数据流转体系
数据是车联网的核心要素,“聪明的车+智慧的路+协同的云”的美好交通出行愿景,需要数据支撑实现。如图1所示,车端作为生成车联网数据的重要源端,采集和产生大量数据;整车厂(Original Equipment Manufacturer,OEM)作为车联网数据收集的后端服务平台,将收集到的车联网数据分为内部数据流和外部数据流。内部数据流可以提供增值服务,可以被OEM用来对产品和技术进行改进。例如,通过不断“喂”数据对自动驾驶深度学习算法进行训练,让算法更可靠、更安全。外部数据分为安全类相关数据和第三方销售数据。根据安全管理要求,安全类相关数据应该被用来强制要求共享。销售数据通过提供给第三方(如车联网服务提供商),为OEM带来直接经济价值。
从图1可以看到,数据在流转中产生价值。车联网中各个主体间的数据交互,都离不开数据的安全存储、处理、传输与共享。存在以下要求:《汽车数据安全管理若干规定(试行)》[3],倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则规定;《汽车数据安全管理若干规定(试行)》第12条,要求汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。众所周知,许多车企的总部在国外,不可避免地需要回传一些数据到总部。那么,哪些数据可以回传、哪些数据不可以回传,如何保证可以回传的数据应传尽传,不能回传的数据坚决不传;保证“全程全网”数据流转过程安全可追溯。面向图1所示的数据流转过程,如何开展安全技术研究,确保数据全程全网得到充分安全地利用,这关系到整个车联网产业的健康良性发展。
2 车联网生态系统下数据安全面临的挑战
在新的网络形态下,随着用户数目的增加,车联网数据规模和复杂性呈指数级增长态势。以关键联网节点汽车为例,FTI 市场调查数据显示[4],每辆智能网联汽车每天产生的数据大约从4 TB到10 TB或者20 TB不等。在这些数据中,70% ~ 90%的数据来自于汽车,包括车内的速度、转速等状态信息,车外的自动驾驶场景信息,用户的驾驶及个人信息等;2.5% ~ 5%的数据来源于车辆间(Vehicle-to-Vehicle,V2V)通信信息;2.5% ~ 5%来源于认证、道路状况等信息(Vehicle-toInfrastructure,V2I);5% ~ 20%来源于地图服务等信息(Vehicle-to-Cloud,V2C)。面向车联网数据的安全管理要求,车联网数据安全面临如下主要挑战。
2.1 车联网数据的复杂性与流动性给安全带来不确定因素
(1)车联网数据流动性强。车联网服务场景复杂,功能多元,涉及到“多端、多平台”,包括车端传感器、路端基础设施,以及OEM数据平台、公共交通平台、国家监管平台等,从纵向和横向两个方面拓宽了工业生态,增强了数据的流动性。从纵向来看,在车联网中不仅需要完成车内的数据流转,还需要实现车与人、车与车、车与路、车与云的多维数据交互,扩大了数据交互的范围。此外,车辆的移动属性造成数据的高度动态性,要求数据在车端、路端、云端之间实时传输处理和高频交互,整体数据流动性大大增强。从横向来看,在整个车联网产业链中,上下游行业之间也存在数据流动,例如汽车生产、保险、维修等行业,必然会有数据的共享和交换。数据的强流动性是车联网数据安全管理面临的主要挑战之一。
(2)车联网数据复杂性高。车联网涉及的数据种类繁多,在车辆端包括车牌、车型、尺寸等车辆的基本数据,以及实际驾驶中收集和处理的环境数据、驾驶数据、操作数据和位置轨迹数据等;在车企端,包括车辆研发及产品的相关数据、用户数据、运维数据、供应链与各类职能数据等;在公共交通平台端,包括实时路况、道路紧急情况、交通管制、道路建设、极端天气及事故发布数据等。不同类型的数据具有不同的敏感度,需要采取分级分类的安全管理措施来实现数据安全和整体最大效用。此外,数据格式复杂多样,往往不同来源的数据,其格式也不同。这种非标准化也为数据安全的分析和处理行为带来了困难。因此,数据的高度复杂性是车联网数据安全面临的主要挑战之一。
2.2 车联网数据安全共享本身遭遇重重困难
车联网数据融合了来自用户、汽车、道路、综合交通系统等多方面的海量数据,涉及的数据类型多、规模大,涉及的数据处理主体众多,如用户、智能网联汽车OEM、车联网服务云平台、数据监管部门等。面向车联网数据的安全管理要求,车联网数据安全共享面临如下主要挑战。
(1)目前,缺乏面向多元化主体的车联网数据分级分类安全标准、规范、指南等,来全面指导车联网数据安全的管理工作,明确主体责任分配。其次,车端缺乏可信执行环境,存在数据泄露风险。车端作为数据采集与数据发送的源端,需要安全可信的执行环境,为核心敏感数据提供安全防护保障。因此,如何构建车端安全防御体系,提供数据可信执行环境,是确保车联网数据安全保护的基本技术挑战之一。
(2)数据所依存的宿主软硬件系统的漏洞、后门内生安全问题,使得攻击者绕过数据加密、认证机制,造成数据泄露。作为车联网数据依存的软硬件关键系统节点,本身存在未知漏洞、未知后门等系统内生安全问题。攻击者基于宿主软硬件系统的漏洞、后门,可以绕过重重设防的安全机制,实现对系统的入侵控制和获取数据,威胁数据安全。因此,如何建立安全可靠的宿主软硬件系统,应对未知漏洞、后门,是保证车联网数据安全的基本技术挑战之一。
(3)在车联网数据全生命周期过程中,缺乏体系化的安全管理技术来保障数据安全。一方面,需要研究针对不同等级和类别数据的全生命周期认证、加密、脱敏、数据水印、完整性校验等防护技术;另一方面,在车联网数据传输、处理、交换、迁移等流通环节中,需要开展安全监测、控制、记录、溯源等技术研究。此外,还需要加强车联网重要数据大规模泄露、异常流动、违规出境等安全风险监测,保障全生命周期的车联网数据安全。
2.3 新型网络下的攻强守弱态势仍未改观
根据工业和信息化部数据统计[5],在2019年的专项调研检测中发现,80%以上的车联网平台和软件存在缺乏身份鉴别、数据明文存储等隐患,85%的关键部件存在着安全漏洞,近六成企业缺乏自动化的网络安全监测响应能力。车企同样经历着类似数据泄露风险。例如,2022年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6 万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等[6]。
在新型车联网生态环境下,网络安全问题本质上是一场不公平的攻防双方博弈和对抗问题。例如,智能网联汽车规模越大的软硬件系统潜藏的漏洞也越多,这通常意味着暴露了更大的攻击面,而系统的网络安全水平往往决定于木桶的短板处,这使防御方常常陷入防不胜防的窘境。从攻击方的角度来看,拥有先进的工具、足够的技术技能和耐心的攻击者们总是会找到突破防护的方法,而且这种攻击往往是低投入、高回报。文献[7] 指出,攻击者只要能够访问现代汽车中数十个电子控制单元(Electronic Control Unit,ECU)中负责传感和控制的微处理器芯片中的任何一个,几乎就可以“完全规避各种各样的安全防护系统”。而且,攻击汽车所需的资源变得越来越方便。仅使用免费的开源软件以及Raspberry Pi、Android手机或在现有笔记本电脑上运行的免费Kali Linux虚拟机,黑客就可以测试漏洞并可能通过蓝牙和Wi-Fi攻击汽车。众所周知,近年来已经发生了多起黑客利用漏洞发动网络攻击,窃取汽车企业大量用户数据实施勒索的事件。
3 车联网数据保护技术分析
可以预见,随着路侧及云基础设施建设、移动技术进步、车辆通信协议发展、边缘处理/计算技术的提升,以及自动驾驶的快速发展,车联网数据安全的风险也将随之不断增加。
3.1 建立面向用户、企业、公众、国家等不同主体的数据分级分类安全管理机制
针对车联网带来的数据分级分类安全管理严峻挑战,国内外相关监管部门已开始布局,在监管法规、政策等方面有了一定的成果。欧洲数据保护委员会在2021年通过《车联网个人数据保护指南》,明确了车联网中数据收集的类型以及数据在多个控制者和处理者间流转过程中各方的权责与义务。我国也高度重视车联网数据分级安全管理问题。
2021年9月,工业和信息化部发布《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》,规定要加强智能网联汽车安全防护,加强车联网网络安全防护和服务平台安全防护,健全安全标准体系;指出要加强数据分级分类管理,提升数据安全技术保障能力,规范数据开发利用和共享使用,强化数据出境安全管理。2022年3月,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》,其中指出要在2023年年底初步构建车联网网络、数据安全标准体系,规范车联网数据分级分类保护要求,制定车联网数据分级分类标准是该体系的重要组成部分。
总体而言,目前国内外对车联网数据分级安全管理问题均开始重视,相关国家发布一系列法律法规,加强对车联网数据的分级分类管控。但在技术层面,包括宿主系统内生安全问题的技术解决方案,OEM数据平台、国家车联网数据管理支撑平台、综合交通信息平台数据分级分类安全共享标准与规范,以及车联网数据全生命周期流转过程中的安全检测,均缺乏相关技术手段与保障能力建设。
3.2 形成体系化纵深防御方案
新型车联网防御的核心是要减少系统攻击面,防御各种基于已知/未知漏洞的网络攻击。只不过此时攻击面已经不再局限于终端,而是整个“云—边—端”系统。在这种情况下,有效的安全防御通常是体系化的纵深防御。目前,已有研究借鉴生物免疫系统的机理和机制寻找网络防御体系化解决方案[8-10]。
以脊椎动物免疫系统三道防线抵御致病微生物的侵害为例[11],第一道防线依靠物理屏障(例如人类的皮肤)防止病原体;第二道防线是先天性免疫,这种与生俱有的免疫系统可以非特异地识别并作用于病原体,是一种快速的、广泛的免疫反应,人们在新冠病毒暴发伊始能够战胜这种“未知”病毒,依靠的就是这种非专一性的免疫能力;第三道防线是后天免疫,这是一种能识别并针对特定病原体的特异性免疫,是一种专一性防御能力,许多人在感染某种新冠病毒并依靠先天免疫战胜它之后,就会后天产生针对这种病毒的抗体,当然人类也可以通过疫苗接种获得对特定病原体的防御能力。
对比已有的互联网纵深防御策略,可以发现,加密认证和隔离等基本防御技术可以构筑起第一道防线,为车联网提供基础防御;防火墙、入侵检测等基于先验特征和特征检测的各类防御技术,能够将各种已知攻击的流量、行为、内容等特征配置相应的防御规则和策略,实施特定的精准防御,可以构筑第三道防线;目前的主要挑战在于,亟需一种能够快速、广泛且高效地应对“未知”威胁的防御技术,构建车联网防御的第二道防线,并且使其能够与第三道防线紧密合作并产生激发效应,形成很好的体系化防御效果。
3.3 坚持基于整体安全观的融合安全策略
数据安全与网络安全既有明显的区别,也有许多交织和融合的部分。随着车联网应用场景和服务能力的不断演进,大量数据被持续产生、采集、处理、存储、传输、使用和迁移,这些数据不仅包含用户个人敏感信息,还涉及重要敏感区域地理、轨迹等重要数据,一旦被攻击者恶意窃取将导致数据泄露和数据滥用,影响个人隐私乃至国家安全。相较而言,网络安全更多关注的是“云-边-端”硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保障系统连续、可靠、正常地运行,服务不中断。
数据安全与网络安全的融合需要坚持整体安全观。虽然网络安全与数据安全关注角度有明显的区别,但它们并不是相互孤立的两种安全。车联网数据在全生命周期流转过程中,数据安全和网络安全风险交织叠加,安全形势更加复杂严峻。Upstream 对近10年来的近千个汽车网络安全事件进行了统计分析[12],从分析的结果可以发现,基于漏洞利用的网络攻击不仅可以直接带来盗窃车辆、车辆操控等风险,而且可以“绕过”加密认证等防护技术,窃取数据实施勒索,或者直接造成了危害严重的数据泄露等安全事件。因此,若车联网中的软硬件系统“自身网络安全难保”,那么系统安全之上的数据安全也将得不到保障。
4 结束语
数据作为车联网的核心要素,其安全问题受到国家和社会的高度重视。车联网数据安全应该坚持整体安全观:从法规、标准、管理、技术、人才、应急等方面整体协同用力。同时,车联网数据安全应该坚持全生命周期安全观:在数据的产生、传输、存储、销毁的全生命周期内,全程全网保障数据安全。这意味着,在依靠经典密码技术确保传输安全之外,还需要各种防御技术协同为数据提供可信的宿主系统,以融合安全视角和融合安全技术共同打造数据安全底座。
Copyright © 2005-2021 网信安全世界版权所有