【论文阅读】三.基于智能 联车的信 交叉口更易受到拥堵型攻击

导读

摘要

智能 联汽车（CV）技术，通过无线通信连接车辆和交通基础设施，将很快改变如今的交通系统。在其展现出能极大提高交通移动效率的潜力外，智能 联同时也为 络攻击开辟了新的大门。在这项工作中，我们将对新一代基于智能 联汽车的交通系统进行首次详细的安全分析。首先，我们选择了USDOT（美国交通部）赞助的基于智能 联汽车的交通控制系统，该系统已经过测试，并且在实际道路交叉口中显示出高效。在分析中，我们选择的是一个现实的威胁，即来自一辆智能 联汽车的数据欺骗，以造成交通拥堵。

我们首先分析了该系统的设计并确定可能会影响交通控制的数据欺骗策略。基于这些策略，我们通过彻底尝试所有这些策略的数据欺骗选项来执行漏洞分析，以了解攻击有效性的上限。对于高效案例，我们分析发现当前的信 控制算法设计和实施选择极易受到来自单个攻击车辆的数据欺骗攻击的影响。这些漏洞可以被利用来彻底扭转基于智能 联汽车的信 控制系统的优点，使交通可达性比没有采用这种系统的情况还要差23.4％。然后，我们构建实际攻击并在真实世界交叉口设置下评估它们。评估结果与我们的漏洞分析是一致的，我们发现这些攻击甚至可能导致阻塞整个交叉口。在30分钟干扰期间，22％的车辆需要花费超过7分钟才能完成原来的半分钟行程，这比原来高出14倍。我们还利用我们分析的见解讨论防御的方法。

主要贡献

• 我们对基于智能 联的交通系统（USDOT赞助的I-SIG系统）开展了首次安全分析。我们用一个高度真实的威胁模型来模拟情景，从一个单一的攻击车辆数据欺骗出发，分析系统设计来识别一组数据欺骗策略。
• 针对创建拥塞的目标，我们首先执行漏洞分析以了解攻击有效性的上限。我们分析受攻击程度高案例的原因，并发现当前的信 控制算法设计和配置选择极易受到来自单个攻击车辆的数据欺骗的影响。这些漏洞在系统的整个部署和过渡期间都存在，并且可能会导致交通可达性比没有使用I-SIG系统时更差。
• 对于已识别的漏洞，我们构建实际的漏洞并在真实条件下对其进行评估。结果验证了攻击的有效性;此外，在过渡时期，攻击甚至可能造成阻塞效应，堵塞整个交叉口。

I-SIG系统简介

由装备的车辆广播的基本安全讯息(Basic Safety Message,简称BSM)由被称为轨迹感知的组件接收，保持BSM消息中由车辆ID索引的每辆车的最新轨迹。它还为信 配时组件中的使用的数据做了一些预处理任务，例如基于交叉图将车辆数据分配给它们所请求的相位。信 配时组件收听由信 控制器 告的交通信 状态，并逐步启动信 配时方案。更具体地说，在每个阶段开始时，信 配时组件调用交叉口中的经过预处理的车辆实时轨迹数据，选择配时方案并向信 控制器发送信 控制命令。（相关的具体算法请参考文献一）

威胁模型介绍

I-SIG系统的操作涉及基础设施侧设备，即路侧设备单元(Road Side Unit,以下简称RSU)和信 控制器，以及车辆侧设备，即车载单元(On-board Unit,以下简称OBU)。以前的工作发现传统的交通基础设施端设备倾向于使用较弱的认证机制，使得攻击者可以很容易地完全取得控制。这也是许多嵌入式 络设备中已知的问题，并且我们假设下一代基于智能 联汽车的交通系统将完全意识到这个问题，并采用足够强的认证机制，如之前的工作所建议的那样，以便系统不会轻易被攻击成功。

因此，在我们的威胁模型中，攻击车辆需要使用它们的真实身份，在发送BSM消息时仍然正确地签名，但是会在这些消息中发送伪造的车辆轨迹数据，例如速度和位置。这可以通过两种方式来实现：

1. 首先，攻击者可能通过利用软件漏洞直接危害OBU，类似于其他电子控制单元（ECU）上的妥协。
2. 其次，如果让OBU妥协难以实现，攻击者可以通过损害其他ECU，将带伪造传感器数据的伪造CAN消息发送给OBU。
3. 由于威胁模型包括具有任意物理访问权限的恶意车主，只要车载系统不是无漏洞的，这种妥协总是可以实现的，就像今天的智能手机越狱一样。

由于在CV环境中，车辆向周围路侧设备广播BSM消息，同时攻击车辆在受害者交叉口处，所以我们假设攻击车辆可以接收与RSU中的那些相同的BSM消息。因此，他们可以自己运行COP和EVLS算法来了解执行的信 计划，并估算要执行的信 计划，这也在我们的开发过程中实施。

防御措施

1. 强鲁棒性的过渡时期算法设计：正如我们的评估所具体显示的那样，拥堵攻击最易发生于过渡时期：总延误增加近200％，通过少于20分钟的持续攻击，它可以触发整个系统的阻塞点，造成大量交通拥堵。根据目前的I-SIG系统设计，当智能 联汽车渗透率达到95％以上时，这种问题才能在很大程度上得到缓解。因此，这是目前I-SIG系统设计中最迫切的问题：智能 联技术的市场渗透率需要从某个地方开始，因此不可避免地需要经历一个过渡期。即使所有新型轻型车辆都被要求安装OBU，这正是美国交通部门现在提出的，但道路上仍然有重型车辆和旧车。根据USDOT的估计，在开始此类任务后，可能需要25至30年的时间才能达到95％的渗透率。因此，如果这样的系统无法应对过渡期的安全挑战，那么即使在实践中开始实施大规模部署，也不够稳定。从根本上说，这是由于过渡期缺乏足够强大的信 控制算法造成的。COP算法对于基于智能 联汽车的信 控制来说是一个合适的设计选择，但它仅在完全部署后才是最优的。为了确保低渗透率时I-SIG系统仍然有效，当前的设计试图通过估计非智能 联汽车的数据来解决困境。然而，如果这种推论不健全，那么可能会因恶意目的而被大大操纵——这正是我们在本研究中发现的。由于车辆数据输入的数量远远少于整个部署期间的数据量，所以任何用于过渡期的信 控制算法本质上都对数据欺骗攻击更加敏感，从而使其在确保鲁棒性方面具有根本性的挑战性。考虑到过渡时期是不可避免的，可能会持续30年，我们认为这需要运输部和安全部门共同开展研究工作，以设计专门用于过渡期的有效和强大的信 控制算法。
2. 路侧设备单元（RSU）的性能改进：基于到达时间的信 控制在COP算法中非常适合基于智能 联汽车的信 控制，并且当给定足够的计算能力时，这样的规划确实很难在整个部署期间被少量欺骗数据恶意地影响。不幸的是，由于当今路测设备的性能有限，I-SIG系统不得不使用COP算法的次优实现，该算法引入了最后一辆车辆的优势，允许来自单个攻击车辆的数据显着影响信 控制。因此，即使解决了过渡期的安全挑战，I-SIG系统仍然可以被数据欺骗攻击大大操纵。因此，提高当今路侧设备的性能非常重要，以便可以在信 控制中使用更优化的配置。这种改进可以在软件级别（例如代码优化）和硬件级别（例如CPU和内存升级）两者上进行。这种性能改进通常是有益的，因为更多的计算能力可以帮助更好地平衡安全和性能之间的权衡。
3. 使用基础设施控制的传感器进行数据欺骗检测：除了提高控制算法级别的鲁棒性之外，另一个防御方向是在基础设施侧检测和过滤具有攻击性的BSM消息。由于这些消息仍然是正确签署的，所以这种防御必须依赖数据有效性检查。不幸的是，在目前的设计中，I-SIG系统只有一个关于攻击车辆的数据源——攻击者通过BSM消息控制的轨迹数据。因此，基于此的任何数据有效性检查方法都不太可能有效，因为攻击者可策略性地控制欺骗数据，以使车辆轨迹看起来完全正常。因此，为了确保高效，基础设施侧的数据欺骗检测需要依赖于攻击者无法轻易控制的数据源（例如基础设施控制的传感器）来交叉验证BSM消息中的数据。我们发现实际上现有的基础设施侧传感器已可以应用于此目的。例如，在每条车道的停车栏下面埋设的车辆探测器被用来测量实时交通条件中的汇总交通信息。即使它们在智能 联环境中用处不大，它们也可能被重新用于帮助检测数据欺骗，因为它们已经被事先安装，所以这可能是一种具有高成本效益的解决方案。如果这样的汇总数据不充分，则基础设施侧可能需要安装具有更多信息数据的传感器，例如视频检测器。这个方向面临的一个挑战是如何最好地利用不同类型的基础设施侧传感器来设计既准确又难以逃避的检测系统，这将是未来工作中的一项重点。

总结

在这项工作中，我们对新兴的基于智能 联汽车的信 控制系统进行了首次安全分析。针对高度真实的威胁模型，来自单一攻击车辆的数据欺骗，我们执行漏洞分析，并发现当前的信 控制算法设计和配置选择非常容易受到拥堵攻击。在真实世界设置下的评估结果验证了攻击的有效性，并表明攻击甚至可以产生堵塞整个交叉口的阻塞效应。然后利用这些见解来讨论防御方向。

这项工作是了解下一代智能 联汽车交通系统中的新安全问题和挑战的第一步。预计将启动一系列后续研究，包括但不限于：（1）以不同交叉口大小和交通模式进行更广泛的评估;（2）考虑其他基于智能 联汽车的交通系统，算法和安全影响的更广泛分析; （3）更具体的防御系统设计和评估。