文摘
骑兵(连接和自主车辆)是智能交通系统的一个至关重要的部分。骑士利用两个传感器和通信组件驱动决策。大量的企业、研究机构和政府对骑士的发展了广泛的研究。然而越来越多的自治和连接功能意味着骑士接触更多的网络安全漏洞。与计算机网络安全攻击,网络攻击骑士不仅可能导致信息泄漏也是物理伤害。根据英国骑兵网络安全原则,防止骑士网络安全攻击开始时需要考虑CAV的发展。在本文中,大量的潜在的网络攻击方面的收集和调查目标资产,风险和后果。严重性的每种类型的攻击,然后分析是基于明确的新的标准。攻击的水平的严重程度可分为重要,重要的是,温和的和次要的。缓解方法包括预防、降低、转移接受,然后建议和应急。 It is found that remote control, fake vision on cameras, hidden objects to LiDAR and Radar, spoofing attack to GNSS, and fake identity in cloud authority are the most dangerous and of the highest vulnerabilities in CAV cyber security.
1。介绍
连接和自主车辆(CAV),作为智能交通系统的一个子集,利用不同的硬件,例如,电子控制单元(ecu)和传感器,软件,例如,娱乐系统和决策单位,和来自多个源的数据融合进行驾驶任务和不同程度的自动化。这些组件,骑士可以不仅开车不需要人工参与,也与环境导航和采取适当的反应。骑士的自动化支持的传感器安装在车辆身体收集周围环境的信息做出决策。连接是通过沟通与其他车辆,基础设施,道路上行人导航和采取相应的反应。
目前,大量企业调查和专注于骑士的研究和开发。在中国,一个最大的IT公司百度发布的一个开源的自主驾驶平台名叫阿波罗,旨在解决具有挑战性的问题的精确传感和决策(1]。在美国,特斯拉释放他们的自动驾驶仪助理驾驶和召唤系统助理停车在2015年和2016年,分别为(2]。特斯拉官方网站的最新消息(3]介绍了增强的自动驾驶系统,支持自主驾驶在某些情况下,如高速公路。谷歌也在连接和自主驾驶发挥着日益重要的作用。它的子公司Waymo,成立于2009年,一直专注于骑士的研究与开发,完成了超过200万英里道路试验(4]。Taxi-hailing公司超级也测试自己的骑士在公共道路上行驶在亚利桑那州(5]。在欧洲,传统汽车制造包括奥迪和奔驰也在骑士队宣布他们的计划。奥迪已经进行了550公里的行车测试,根据他们自己的自主车辆“杰克”(6]。奔驰在1980年代开始发展骑士;现在,他们最新的s级奔驰汽车在德国完成100公里道路试验(7]。
加快骑兵的发展,政府也发布有关规定和原则。在美国,法律法规在骑兵是建立在州一级(8]。中国政府还发布了一个十年计划2025年“中国制造”计划,旨在掌握关键的骑兵技术到2025年(9]。此外,中国政府推出了大量的骑兵示范项目,在上海设立了嘉定区作为骑士的首次公开测试领域(10]。此外,骑兵比赛在学术组织在世界各地已多次成功举办。其中包括美国DARPA城市挑战赛在2007年和2004年DARPA挑战赛(11]。在中国,未来智能汽车竞争的挑战已经举行了自2008年以来,由中国国家自然科学基金(12]。越来越多的研究机构的参与,这些比赛不仅为研究人员交流提供平台,也提高骑兵的公共利益的发展。由波士顿咨询集团(Boston Consulting Group)的一项调查显示,55%的公众想尝试自主车辆甚至买一个(13]。
然而,所有上面提到的骑兵研究专注于自动化或连接的功能。骑士的网络安全没有被充分解决。骑兵的发展的一个基本组成部分,网络安全中扮演着关键角色功能安全的骑士,这将直接影响公众信任和CAV商业化。根据新公布的英国骑兵网络安全原则(14],骑兵应考虑网络安全在骑兵发展的早期阶段的设计阶段,根据整个供应链可以防止骑士网络安全风险和问题在接下来的阶段。
与传统网络相比,移动网络或传统汽车网络,骑兵网络安全具体特征包括大量的数据,复杂的功能,和致命的后果,如表所示1。这些差异表明,骑士应该考虑具体的网络安全,以不同的方式相比,在传统的网络或汽车网络网络安全策略。
本文的主要目的是调查不同的潜在的网络攻击的骑兵。骑兵的具体特征分析点列出CAV和潜在的攻击。作者也提出新的标准来评估潜在攻击的骑士。然后分析了每种攻击的严重程度和缓解方法建议。
列出了本文的主要贡献如下:(1)定义和分类的所有潜在的骑士的攻击:攻击类别涵盖自治元素,如车辆上的车载系统和传感器,以及连接部件或在骑士V2X通信等功能。本文还确定差距和当前研究的局限性。例如,缺乏研究和发展网络安全的连接元素骑士。此外,这些论文在文献中讨论攻击骑士只专注于一些特定的攻击类型。失踪的攻击类型需要进一步研究。通过定义所有潜在的初始攻击骑士在一个结构化的类别和不同的清规戒律,额外的意想不到的新的攻击骑士可以添加在未来的研究。即潜在攻击的分类和标准适用于新的攻击;因此,攻击的集合是可扩展到包括新的攻击。(2)新严重性评估潜在的攻击骑士:在工程和信息技术使用的评估标准是采用定义标准适用于评估骑士的攻击。这是一个新采用的标准评估的严重程度不同的骑兵攻击。(3)减排的新分类方法骑兵攻击:恢复和保护机制在骑士网络安全的关键问题。定义缓解方法提供指导未来的研究,包括入侵检测或加密来保护整个骑兵系统。缓解分类方法分类到预防、缓解方法生产,接受,移情和应急。建立测试环境,这也可能采用分类来应对不同的攻击。
本文的结构如下。部分2介绍了相关的网络安全工作骑士,也与车辆相关的专题特设网络。部分3然后描述了方法来定义不同的标准来评估不同攻击的风险。节4,潜在的网络攻击分析列出他们的严重性与节中列出的标准3。缓解方法,网络安全攻击骑士然后推荐节5。部分6总结了纸和讨论未来骑兵网络安全所面临的挑战的研究。
2。相关工作
SAE国际“驾驶自动化”定义为系统可以实施的一部分或全部DDT(动态驾驶任务)连续(20.]。DDT SAE J3061被定义为三个不同层次的标准,即操作功能,战术功能,和战略功能。这三个函数的关系见图1。操作等基本运动控制功能包括横向和纵向运动控制。战术功能包括所有操作功能+ OEDR(对象和事件探测和响应)。在当前DDT性能、战略等功能不包括目的地和路径规划。
响应由用户或系统执行DDT当系统发生故障时被定义为滴滴涕后备SAE国际。奇怪的(操作设计域)被认为是驱动系统需要一个特定的运行环境,包括环境、地域或时间的限制。例如,一些自主驾驶车辆只有操作在一个封闭的环境21),这表明设计的车辆仍然是在一个有限的奇怪。基于DDT性能,DDT撤退,奇怪,SAE国际然后定义了车辆自动化到六个不同的水平,如表所示2。
除了自动化分类,试图讨论骑兵网络安全。在[22),作者讨论了可能的网络安全攻击自主车辆。列出所有可能的攻击后,作者然后提供缓解解决每一个攻击。建议是很重要的在自动车辆保持足够的冗余。足够的传感器数据可以帮助汽车知道周围的环境和位置。在所有这些攻击,他们相信GNSS欺骗和虚假信息注入最威胁风险,两者都将威胁到乘客的生命。相信antispoofing自驾车辆所需的硬件和身份验证方法。
在[23),作者讨论了网络安全连接车辆和认为汽车会增加连接更加脆弱。本文描述了可能的袭击场景包括USB更新攻击,通信攻击和恶意的应用程序安装。然后建立一个系统使用机器学习的方法来检测异常行为在can总线(控制器区域网络)和操作系统。
在[24),作者试图使用网络安全在计算机科学的分类描述骑士的可能的攻击。可能的攻击分为被动攻击和主动攻击。被动攻击很容易阻止但难以检测,而主动攻击很容易检测但难以避免。建议可行的缓解方法包括身份验证和加密。
在[25),作者认为连接车辆类似于所有网络设备和网络安全应该被认为是其发展的一个基本组成部分。然后作者讨论了潜在的网络攻击V2I (Vehicle-to-Infrastructure)沟通和提出了一个新颖的网络安全架构称为CVGuard V2I检测攻击。CVGuard减少60% DDoS(分布式拒绝服务)攻击可能会导致车辆冲突。
在[19),指出现代汽车已经新的黑客攻击的目标。引擎、门和刹车都是可能的脆弱点。此外,如今,攻击者不需要方法目标车辆的身体。所有的车辆通信范围可以砍。作者也列出了OBD(车载诊断)的威胁,短距离微波通讯、恶意软件,汽车应用上最脆弱的部分车辆。然后作者提供了解决网络安全问题,包括在线旅行社的解决方案,基于云的解决方案,和层的解决方案。
也有研究尝试在仿真环境中骑士来检查网络攻击的影响。在[26),模拟轻微袭击是研究纵向安全的骑士,也就是说。通过GPS通信,位置和速度。一个名为路径骑兵的经验模型从现场试验(27,28)和一个RCRI追尾风险指数基于停车距离被用来评估安全。作者发现轻微袭击的骑兵职位比自己高,速度。轻微的网络攻击也会强烈的影响比加速减速。此外,轻微的攻击多个骑士更危险的攻击更高的严重程度减少车辆的数量。这项研究将帮助我们找到一个更有效的缓解方法V2V通信的攻击。
在[29日),讨论了四种可能的攻击的车辆,包括信号控制器,车辆检测器,路边单元,和车载单元。重点是基础设施的攻击。作者抨击了交通信号控制系统通过发送欺诈数据,显示增加延迟。实验还显示一些攻击引起严重的交通堵塞。基于攻击,一种方法是设计来识别这种攻击通过分析攻击的位置,这有助于设计一个更稳定的交通网络。
作为一个快速发展的新兴研究课题,骑兵网络安全刚刚开始吸引越来越多的研究关注。除了有限的骑士网络安全研究,研究VANET(车载Ad hoc网络)可能有助于研究骑士的连接功能。VANET使用V2V通信和V2I通信帮助车辆收集交通信息(30.),而骑士的边界扩展到更广泛的V2X (Vehicle-to-Everything)通信。
VANET是一个移动ad hoc网络,车辆移动节点(31日]。在[31日],作者列出了可能的隐私和安全挑战VANET包括攻击的安全机密性、完整性,或数据的信任。他们声称加密VANET是重要的。
在[32),作者得出结论,VANET有三个特定的特征,这是汽车运动频繁,时间关键反应,混合架构。其他攻击上市包括虚假信息,DoS攻击,化妆舞会,GPS欺骗。作者还提出了几种缓解方法包括公钥、证书撤销方法和基于id的密码。
研究[33车辆通信]关注威胁和攻击。作者建立了一个三层框架,并指出了潜在威胁和攻击V2X沟通等远程通信协议包括DSRC或蓝牙。它还建议机器学习和车链检测攻击的对策。
上面列出的文献中,大部分的研究人员认为,网络安全是一个基本组成部分在骑兵的发展,迫切要求更多的研究和调查。大多数研究者同意增加连接和自治功能会增加网络攻击的可能性。然而,现有的研究主要集中在网络安全自治功能。潜在的攻击应该考虑从自治和连接方面。有试图讨论最严重的袭击,但缺乏系统的评价标准在文献中。一些研究探讨了缓解方法包括加密或认证,但仍有进一步调查确定全面的需求和系统缓解网络攻击分类方法。总的来说,文学在骑兵网络安全是有限的和需要更多的调查和研究工作。在骑兵应该提高网络安全意识。
大大扩展了现有的研究通过定义潜在攻击的连通性和自主权,以及车载和车辆间潜在的网络攻击。此外,网络攻击的严重程度评估标准定义和每个攻击的严重性级别也是评估基于本文中定义的标准。然后提出相应的缓解方法。本研究旨在提高网络安全意识的消费者,oem,研究人员和生产也开始开发一种对CAV网络攻击的检测和预防方法。
3所示。潜在的骑兵网络攻击的标准
潜在的攻击分析首先点或攻击端口。为每一个潜在的攻击,将采用以下标准来评估其严重性。
新的骑兵评估标准定义基于广泛使用的公式在工程风险评估在不同领域包括交通和基础设施34)、信息技术系统(35),和民用航空36]:
网络攻击的新的评估标准评估三个方面,即资产可能的袭击目标,漏洞攻击目标,可能的风险和威胁可能的后果。就像前面提到的1,由于一些关键区别传统汽车网络网络安全和CAV网络安全,一些额外的标准是适应我们新的骑兵网络安全评估。例如,评估风险的严重性,骑士的评估标准应考虑不仅信息泄漏的程度,而且物理伤害的水平。
3.1。资产的攻击目标
(1)资产名称:计算机安全学中,ISO / IEC 13335 - 1:2004定义资产包括所有的计算机上的硬件或软件组件暴露在攻击目标,例如,一个数据集和一个硬件或软件代码37]。骑士装备有大量ecu和传感器,因此容易受到大量的可能的攻击。更详细的资产将在部分解释4。(2)资产重要性:每个资产的重要性分为三个等级:(一)低:这个资产的故障不会影响整个骑兵的作战和战术功能系统。在SAE J3016标准(20.)、操作功能包括横向和纵向车辆运动控制,包括最开始的基本功能,停止,驱动和控制38]。战术功能包括OEDR节中介绍2。(b)介质:这个资产的故障可能会影响战术车辆的功能,但是不会直接影响操作功能。此外,资产功能可能会被取代或由其他资产。例如,如果摄像头骑兵崩溃,车辆仍然可以使用其他传感器来检测环境。(c)高:该资产的崩溃可能直接导致损坏车辆的操作功能。例如,车载系统将指令发送给ecu保持车速或停止车辆在某些情况下,高度重视。
3.2。漏洞的攻击目标
(1)风险的名字:每个资产可能面临多个风险。这一标准评估每个资产特定风险;节中给出更多细节4。(2)传导的困难:进行攻击的难度变化取决于其特点。一些来自攻击者的攻击可能需要足够的专业知识在特定领域如GPS欺骗或假证件。一些设备,如GNSS卫星,是安全受到政府的保护。入侵这些设备不仅需要知识,还需要足够的时间和金钱。传导是基于知识的难度,时间,需要和预算情况,可分为三个层次列出如下:(一)低:攻击者不需要获得相关知识进行攻击或目标资产很容易获得/市场上买的。攻击不费时。(b)介质:攻击者只需要花很短的时间(周/月)学习所需的知识。侵入目标资产需要以高价购买,或窃听过程耗费时间。(c)高:攻击者需要有广博的知识目标资产或需要花上几年学相关知识。目标资产在市场上很难找到或成本一个天文数字。(3)检测可能性:这个标准定义的水平可能由用户或骑兵系统检测攻击。在计算机科学中,攻击分为两大类,即被动攻击和主动攻击(39]。被动攻击不中断系统,将监控或窃听获取信息。主动攻击将中断系统函数等方法直接注入假消息。一般来说,被动攻击是很难发现但容易维护,而主动攻击很难捍卫但容易检测(24]。尽管被动攻击可能不会对系统功能造成损害,损失的信息也可能是一个严重的风险,因为骑士将最终的个人移动设备在未来(40),存储敏感数据包括个人家庭地址,联系号码,和财务信息。有必要评估检测不同攻击的可能性。的水平检测可能性是分为三个层次,如下列出。(一)低:攻击不会影响任何功能(操作还是战术功能)的骑兵系统。很难检测到攻击在正常使用。最好的办法是防止恐怖袭击的发生提前与加密或认证。(b)媒介:骑兵的攻击不会影响操作功能系统的用户不会注意到立即攻击。然而,攻击会影响战术或战略的某些部分的功能。该系统将检测到异常行为之后,警告用户。(c)高:攻击将立即影响操作功能,这样用户可以立即通知他们。例如,如果车辆在路上突然停止,用户会注意到异常情况立即。此外,如果车辆周围的摄像头故障,系统会立即注意到这个异常情况。
3.3。后果的攻击
(1)结果名称:每个可能的风险,可能有一个以上的结果。然后列出的后果将是分析;节中给出更多细节4。(2)信息泄漏的严重性:信息泄漏一直是计算机科学的主要网络安全问题。信息泄漏事件通常破坏机密性,完整性和可用性的系统(37]。基于规模和严重性泄露信息的重要性。(一)低:攻击不会泄漏任何私人信息。(b)介质:攻击将泄漏nonconfidential小规模的个人信息或者不重要的信息。例如,攻击者可能知道乘客的偏好选择路线或娱乐系统。这种类型的直接信息泄漏不会造成进一步的伤害。(c)高:攻击将泄漏高度重要的机密信息,如财务信息,家庭住址,或个人ID。这一信息,攻击者可能会进一步进行有害行为的受害者。在其他情况下,这些信息泄漏会导致大规模的信息泄漏等个人数据存储在云上。(3)物理伤害的严重性:与传统的网络相比,网络攻击骑士可能直接导致物理伤害甚至死亡。特斯拉汽车已经造成的死亡与良好的能见度和直路在一个好天气41]。在2018年3月,一个超级自主车撞死了一位过马路的行人在亚利桑那州,美国(42]。超级测试车辆未能检测到行人能见度低的环境中,未能进行相应的操作。作为一个大型机器,骑兵可能造成危害,甚至被利用作为武器。可能的后果,物理伤害的严重程度可分为如下。(一)低:不太可能造成物理伤害的攻击人类或其他车辆,和基础设施(b)介质:攻击可能会导致小危害和破坏基础设施或车辆,但不会造成致命的伤害(c)高:有很高的攻击可能造成致命的伤害(4)合并严重水平:一个方法评估合并后的严重性是改编自风险管理信息系统(35]。信息系统,风险由可能性和影响。确定合并后的严重性骑士水平,一个新的严重性矩阵构建基于信息泄漏的严重程度和身体损伤,如表所示3。如果信息泄漏的严重程度和物理伤害是在同一水平,然后合并后的严重程度也会在同一水平上。然而,考虑到它的重要性,如果物理伤害的严重程度高,合并后的严重性级别将会很高。
根据这些标准,分析了在不同的场景中可能的攻击4。还应该注意到,本文旨在探讨网络安全攻击一个完整的骑兵(要求等级5),在所有可能的攻击可以通过远程无线通信。攻击的物理访问是不被认为是在评估其严重性。这些标准可能不全面和排斥,但是可以进一步完善和扩展。本研究提出了初步尝试定义和排名在骑兵的场景中可能的攻击的严重程度。这也旨在鼓励进一步的研究发展提高公众和CAV从业者对CAV网络安全的意识。
4所示。可能的攻击
在本节中,列出了可能的攻击的骑士和分类,如表所示4。以下部分中定义的标准3将分析,每个攻击的严重程度。骑兵的发展主要关注两个流的研究,连通性和自动化,包括车载和车辆间的组件。详细的潜在攻击将在这两个流分析。
不同的自治水平可能暴露于不同攻击不同的可能性。本文关注的是攻击一个完全自动化的车辆(即。,5级)根据SAE自动化水平20.]。5级骑兵能够滴滴涕在任何情况下。它也认为,路上的车辆都是骑士。在现实的情况下,将会有一个骑士不同的自动化和传统汽车的一段时间。此外,众所周知,骑士将继续进化和适应更多的技术。本文只讨论与现有的骑兵攻击技术。然而,随着攻击分类自动化和连接车载和车辆间的列表可能的攻击可能会延长新技术是否适应骑士。
4.1。自动化在骑士
在当前的骑兵的发展,来自不同公司的所有车辆都安装了多个传感器。主流传感器包括激光雷达、雷达和摄像头(43,44]。例如,谷歌Waymo车辆在屋顶上安装了一个360度摄像头视觉系统和车身周围的几个激光雷达传感器和雷达传感器(45]。还有补充声音检测传感器等传感器。
可能的袭击目标资产分析如下。(1)音频/娱乐设备:音频设备已经广泛应用于现代汽车。它进化到一个彩色触摸屏显示车辆(更多信息46]。在骑士,音频/视频系统可以用来提醒用户异常或异常行为检测系统中或周围的环境。(一)音量:第一个可能的攻击是突然提高声音,如背景音乐的音量。这种攻击可以使乘客的注意力,甚至在某些情况下引起恐慌。信息泄漏的严重程度很低但物理伤害的严重程度中等,这意味着总体严重程度很低。(b)假的声音:攻击者可以使用音频系统生产假的噪声,如碰撞的声音。这种攻击可能会导致乘客的恐慌,虽然不太可能造成信息泄漏。(c)远程控制:这种攻击已经发生在现实世界中。两个白人在美国黑客侵入的吉普大切诺基10英里之外,然后停止高速公路道路上车辆通过娱乐系统(47]。这是因为汽车和娱乐系统结合在一起。如果攻击者可以通过音频/远程控制汽车娱乐系统,物理伤害的严重程度可能很高。此外,信息泄漏的风险也将是严重的,因为攻击者可以发送遥控指令收集私人信息。此外,在骑士,遥控袭击可能发生在其他组件导致严重的风险。(2)相机:相机提供视觉上的数据,在骑兵不可或缺的组成部分。探测周围的物体和车辆位置,相机是一项基本传感器在骑士。然而,相机的功能可以被其他传感器时分解;因此,相机是中等的重要性。已经有成功的攻击摄像头傻瓜的车辆已经[48]。(一)盲目的愿景:盲人视觉攻击可以很容易地通过物理访问。然而,随着车辆的连接,它是攻击者更容易。攻击者可以禁用远程摄像机通过控制强光资源。的攻击不会泄露私人信息。然而,这种攻击不会造成致命的伤害,因为它很容易被检测到,而骑兵包含多传感器的数据。如果摄像机分解,其他传感器仍然可以帮助“看到”环境。在此基础上,攻击的总体严重程度水平很低。(b)误导相机(假图片):通过控制摄像机远程攻击者可以注入假图像信息误导相机。这种攻击比盲人视觉攻击更危险,因为检测的可能性更低。盲人视觉攻击,系统或用户可以很容易地检测到异常情况。而在误导相机攻击,这可能需要一定的时间来检测。此外,系统可能会做出决定基于假图片,因此,物理攻击的严重程度高,总体严重程度高。(3)电池系统:目前,道路上的电动汽车数量正在增加。作为一种环境友好型交通方法,相信未来的骑士将电动汽车。汽车的电池系统也会被攻击的目标。
电池系统是最可能的攻击DoS(拒绝服务)攻击。在计算机科学中,DoS攻击的目的是耗尽所有资源的目标计算机,服务器或通信通道不可用。在骑士,DoS攻击可能目标能源耗尽电源包括加热汽车上的座位。DoS攻击可以真正危险的电池系统。它可能导致不同地区在短时间内消耗电池电量。突然电池损失可能导致损害的基本功能。物理伤害的严重程度中等,合并后的严重性级别中。(4)激光雷达(光探测和测距):激光雷达在骑士是最基本的传感器以支持本地化和停车援助(49]。它使用光点云来检测周围障碍物的距离和边界和环境(50]。激光雷达是媒介的重要性。有成功的尝试攻击激光雷达通过强烈的灯光在仿真环境中(48]。(一)干扰:这种攻击堵塞激光雷达通过强烈的灯光反射原点的阳光。攻击者可以通过这种攻击不收集任何信息。然而,它可能会导致物理伤害,因为激光雷达的检测性能会下降。(b)隐藏对象:因为激光雷达使用光的反射来检测周围环境中,攻击者可能利用特殊材料来吸收光线,以避免检测。这种攻击不会造成任何直接的信息泄漏。然而,在某些情况下,例如,如果对象是由特殊的反射材料,车辆不会观察它。这可能会导致物理伤害甚至致命的伤害到目标车辆。这种攻击的严重程度是高的,因为它可能导致致命的事故。(c)假的对象:攻击者可以利用光的反射来模拟一个假的对象,例如,在汽车前面的障碍。目标车辆将停止或改变方向基于错误的检测。如果多个车辆检测这个假的对象,它可以引起严重的交通堵塞。此外,如果有多个假对象在道路上,这种攻击可能造成物理伤害当骑士试图避免这些假的对象。与其他检测方法的工具,然而,这种攻击的致命伤害的可能性存在,但很低。物理伤害的严重性是中型和合并后的严重程度中等。(5)雷达:在骑士与激光雷达,雷达使用无线电波代替光检测环境。目前,有两种类型的雷达在骑士,毫米雷达(51),和超声波雷达(52]。使用毫米雷达目标检测(53),超声波雷达用于短距离场景如停车辅助系统(54]。这是因为超声波雷达的速度是缓慢的,这将导致不良的检出率在高速运动。雷达也是中等的重要性。(一)干扰:这种攻击类似于激光雷达干扰攻击。在雷达干扰攻击中,攻击者会使用噪音降低雷达的信号。攻击雷达系统可能无法正常工作和车辆无法检测到周围的环境。如果噪声源影响多个骑士,交通流量将被打扰或甚至可能导致交通事故。这种攻击不会造成信息泄漏直接但可能造成物理伤害。这种攻击的严重程度是媒介。(b)隐藏对象:目前,现有技术能够隐藏对象从雷达探测和已经适应在军事航空领域(55]。飞机或隐藏的对象本身通过改变常规反射形状或使用雷达吸收材料。在军事,缓解方法已经开发出来,叫做雷达Antistealth技术(55]。这种技术将加强雷达信号。这种攻击不会造成信息泄漏,但可能造成物理伤害,甚至直接伤害别人。这种攻击的严重性级别很高。(c)假的对象:袭击者广播假雷达信号进行攻击。其他车辆将检测到错误信号,并采取相应的反应。然而这种攻击不会造成信息泄漏,可能会导致物理伤害的基础设施,例如,碰撞时车辆正试图避免假的对象。这种攻击的严重程度是媒介。(6)GNSS(全球导航卫星系统):使用最广泛的GNSS系统GPS(全球定位系统)来自美国56]。目前,其他国家正在开发自己的GNSS如来自中国的北斗,伽利略从欧洲联盟,和来自俄罗斯的Glonass [57]。GNSS系统可以帮助定位和导航。侵入该系统需要高层次的知识。GNSS系统是一个主要的资源定位和导航,但随着定位和导航通过V2V沟通、合作的重要性GNSS系统因此媒介。(一)欺骗:GNSS欺骗攻击的接收器发送类似的GNSS信号误导目标骑士。攻击者可以利用这些设备导致车辆错误位置或错误的路线。在2013年,德克萨斯大学奥斯汀分校的研究人员成功地通过GPS欺骗愚弄一个价值8000万美元的游艇设备(58]。相比GNSS干扰攻击,GNSS欺骗攻击会更危险。没有GNSS信号,骑士将使用其他方法如V2V沟通或大满贯(同步定位和映射)导航和避免碰撞等可能的危害。然而,如果信息是错误的,而不是检测到,骑士会相信错误的GNSS信息并采取错误的反应,这可能会导致碰撞和致命的伤害。此外,车辆已成功欺骗可以应对私人信息如位置信息和历史信息路由到攻击者,也会导致信息泄漏。在这种情况下,信息泄漏的严重性是中型和物理伤害的严重程度很高。(b)干扰:在GNSS干扰攻击,攻击者会发送信号到CAV接收机更强的力量。GNSS信号通常是弱方法接收器时,它很容易被干扰信号覆盖。真正的GNSS信号将被忽略。此外,它也很难检测到干扰攻击,因为GNSS信号可能会减少由于干扰或有限数量的卫星(59]。骑士不可能没有GNSS信号导航和定位。然而,V2V沟通可以帮助协调导航作为备份方法。严重级别的信息泄漏和物理伤害都是媒介。(7)车载系统:车载系统包含微控制器和通信在车辆发送指令(控制器区域网络)或其他通信方法如WiFi和蓝牙。车载系统相关的所有操作功能,因此是高度重视的。(一)注:攻击者将注入nonexisting信息甚至恶意软件系统通过USB接口等港口。假信息,骑士可能会做出错误的决定导致物理伤害。作为一个活跃的攻击,注入也可能导致敏感数据泄漏。这种攻击的严重程度是媒介。(b)窃听,窃听是被动攻击,很难被注意到。这种攻击的主要目的不是造成物理伤害,而是为了获得有价值的数据。因此,信息泄漏的严重程度很高,物理伤害的严重程度很低。(c)交通分析:流量分析也是一个被动攻击。袭击者将监测和观察数据,然后试图识别模式的数据流。被动攻击,流量分析攻击不会直接造成物理伤害和信息泄漏的规模是有限的。这种攻击的严重程度很低。(d)修改:这种攻击修改不同的组件和单位之间发送的消息。错误的信息可能会导致错误的决定和行动。这种攻击的严重程度是媒介。
4.2。连接在骑士
在骑兵有三个主要类型的车辆通信网络。V2V (Vehicle-to-Vehicle)车辆之间的通信是通过无线网络。V2I (Vehicle-to-Infrastructure)车辆和基础设施之间的通信是通过无线网络和V2X (Vehicle-to-Everything)包括V2V V2I,车辆之间的通信和云数据库或其他实体,如行人(60]。与传统汽车相比,这些通信方法可以帮助改善农村位置的准确性,有效防止事故发生。与此同时,一些计算机网络攻击也可能发生在骑兵的环境。例如,在一个网络的网络攻击基准KDD99 [61年),网络攻击如DoS攻击可以改编成V2V沟通。如今,许多通信技术被用于骑兵网络,例如,短距离(专用短程通信),5 g LTE(本地热平衡),(62年]。
可能的袭击目标资产的连通性分析如下。(8)V2V沟通(与其他车辆):V2V通信在未来的骑士是一个至关重要的部分。然而,没有一般适应通信标准V2V沟通。目前,V2V通信标准在美国是短距离,基于IEEE 802.11 p标准(63年]。在欧洲,有ITS-G5 V2V沟通(64年]。V2V沟通可以帮助或提醒车辆导航的潜在危害。(一)DoS:除了电池系统,DoS攻击也可能发生在V2V沟通。攻击者可以发送大量的数据块的目标车辆的通信信道接收外部信息。这种攻击不会造成信息泄漏,但可能会导致物理伤害尤其是在农村地区,那里的V2V交流是车辆计划的主要数据源。(b)修改消息/假消息:车辆之间的通信将不同类型的信息,包括位置坐标,速度,和头部的角度。如果攻击者发送虚假信息,目标车辆将错误的反应。此外,如果目标车辆信托假消息,它可能对攻击者与私人信息。在此基础上,总体严重程度中。(c)隐藏的车辆:这种攻击也是一种被动攻击。攻击者会关闭自己的消息发送者隐藏他们的活动。这不会直接导致信息泄漏,但可能造成物理伤害,如果车辆目标车辆默默地隐藏其活动和方法。(9)V2I沟通(基础设施):现在,有一些初始使用V2I沟通。例如,等等)(电子收费公路和桥梁使用RFID(无线射频识别)电动车充电(65年]。除了通信通道,类似于V2V沟通,还有其他的攻击类型V2I沟通。(一)改变基础设施标志:交通基础设施迹象帮助车辆导航、定位、或控制速度。骑士能“读”标志和采取相应的行动。如果攻击者改变基础设施如道路指路标志迹象,这将导致车辆错误的路线。此外,如果故意改变多个交通信号灯,它可以引起严重的交通堵塞,甚至交通碰撞。(b)块/删除标志:基础设施标志也可以阻止或删除身体或远程。如果故意删除紧急警报信号,这可能会导致交通堵塞和事故。然而,这种攻击不会造成信息泄漏。这种攻击的严重程度是媒介。(10)V2X沟通(主要是对云)。(一)云ID数据集:权威在骑兵网络是很重要的。每个骑兵将分配一个惟一的ID,如电子板。为了确认通信的可靠性,只有来自受信任的骑士的信息数据集可以被接受。所有的通信和信息交换是基于权力的骑兵云。(b)云实时交通数据库:云数据库收集交通数据提供交通指引。它包括实时交通拥堵和事故数据通知所有的骑士,以避免某些区域。如果攻击者注入假消息或修改消息,云数据库中所有车辆将得到错误的信息。此外,攻击者也可以访问数据中的有价值的信息。
严重程度的标准,所有的攻击都分成四类,如表所示5。可以看出,临界攻击包含远程控制,假设想相机,隐藏对象激光雷达和雷达,GNSS欺骗攻击,假身份在云的权威。可以总结出相关的所有重要的攻击是欺骗和伪造信息。这些攻击很难意识到,他们都可能导致错误的反应,甚至致命的伤害。
5。缓解方法
为每个攻击分析部分4缓解方法会有所不同。通过调整缓解方法在信息安全35),缓解方法的主要类型可以分为五类。骑士缓解方法可能是类似的,但需要考虑基于特定的骑兵的特点。(1)预防:这些方法防止攻击整个车辆系统产生负面影响。潜在攻击骑士,窃听等被动攻击的预防是通过加密的通信通道和消息。此外,所有的骑兵用户可以授权与消息的可信度。例如,窃听攻击在车载系统中,如果加密和消息的通信通道,是更加困难的攻击者利用这些信息。(2)减:减少方法减少攻击的可能性和可行性。它还可以减少恐怖袭击的可能影响到一个可控的水平。在骑士,方法包括减少冗余传感器。如果一个传感器坏了,车辆仍然可以依靠其他传感器的数据来减少各个传感器的影响。例如,减少盲目的影响视觉与摄像机之间的攻击,车辆可以使用其他传感器检测后异常攻击。(3)移情:与他人转让股票可能的风险,如一个可靠的第三方组织,包括政府和保险公司。例如,在云V2X沟通,每个骑兵的权威的身份应该由政府或者相关的合法组织。所有的骑士也应该安全地存储和监控的信息可信第三方。并不是所有的攻击可以通过移情来解决。在骑士,这缓解方法时只能使用一个单一的汽车制造商或供应商无法处理所有的安全信息。(4)验收:验收是保留这些攻击所造成的风险和对骑士的负面影响有限。这次袭击可能没有一个适当的对策和影响在一个可接受的水平。例如,在车载通信流量分析攻击,泄露信息只能通信包的大小和时间,这是不可能造成物理伤害。此外,流量分析攻击,这是一个被动的攻击,不能防止消息和通信通道加密。在这种情况下,流量分析攻击可以容忍的。(5)应急:应急认为可能的反应,如果攻击发生。需要准备一个应急计划恢复系统一次攻击。如果骑兵系统检测到异常电池损失由于DoS攻击,它可以打开的骑兵一个安全的地方。
6。结论
骑兵是智能交通系统的一个基础部分,已经开始吸引越来越多的研究关注在过去的几年里。鉴于骑士的重要性与个人信息,物理损坏,乘客的生命,网络安全的骑士在研究发展因此变得非常重要。
本文确定了一些最重要的网络攻击的骑士。对于每个确定的网络攻击,目标资产,可能的风险和后果进行了分析。信息泄漏的严重性级别和物理伤害然后估计和被认为是基于一个新的标准改编自工程和软件开发。可能的缓解方法是分类和建议来解决这些攻击。
在本文确定的攻击中,欺骗和伪造消息攻击包括远程控制、假视觉相机,隐藏对象激光雷达和雷达,GNSS欺骗攻击,假身份在云权威已确定是骑士最危险的攻击。所有这些攻击将导致严重后果的信息泄漏和物理伤害。
然而,它也应该注意到骑兵技术正在迅速发展。论述了现有的骑士中潜在的网络攻击技术,基于传统的网络攻击的潜在攻击。骑兵》范围内的硬件、软件和数据,表中列出的可能的攻击4将进一步扩展,以反映骑士的最新发展。同时,每种攻击的总体严重程度只是评判上市标准。它可以进一步讨论基于其他条件。由于新兴在不同的国家,基础设施建设所需的实际环境和独特的特征,缺乏容易完成测试环境符合普遍采用的标准研究和实践。除了定义和分类潜在的网络攻击,还应该强调,每种类型的攻击的严重程度的评估也需要仔细定义并合理的基于现实世界的实地测试。此外,上市的严重性评估潜在的攻击只考虑单一的传感器。例如,在实际的测试中,如果相机无法识别的障碍在路上,激光雷达和雷达可能补充和帮助识别和避免障碍。在一些极端的情况下,所有的传感器或备份元素/函数可能无效或失败。为不同的攻击严重性的评估应该考虑和评估集成多种传感器和为未来的研究也将是一个有趣的话题。此外,优势,劣势,和应用场景的缓解方法不是本文的重点。 The presented mitigation methods will be extended and refined further in future research on CAVs cyber security.
数据可用性
使用的数据来支持本研究的发现可以从相应的作者。
的利益冲突
作者宣称没有利益冲突。
确认
作者要感谢诺丁汉地理研究所和学院计算机科学诺丁汉大学。