No.1 论文简介
针对智能网联汽车隐私泄露风险评估中不完整、主观性强、难以量化损失的问题,提出了一种定性和定量结合的隐私风险评估模型。首先在定性风险评估模型的基础上,提出了新的隐私分类,扩展了现有标准的隐私影响评级;其次,设计了一种基于Wi-Fi的隐私泄露检测方案,解决定量评估中的数据收集问题;最后,对泄露的隐私数据从信息熵、影响等级、个人身份信息类型等多因素进行综合价值度量,引入隐私数据定价模型量化攻击收益,将攻击收益和概率的乘积作为预估损失值。通过3辆智能网联汽车的真车实验,证明了该隐私泄露检测方案的可行性。对隐私数据的定性和定量风险评估表明,扩展的影响评级、隐私度量和定价模型优于现有方案,有效量化了智能网联汽车的隐私泄露风险,定量转换的风险值与定性评估的风险值具有良好的一致性。
No.2 主要贡献
1. ISO21434的隐私影响评级扩展
表1 隐私影响评级扩展
现有的隐私数据分类存在难以量化、不够全面、不符合标准等问题,这给基于隐私分类的隐私影响评级带来困难。在ISO21434标准中,将隐私数据分为高度敏感类、敏感和不敏感类,但是没有给出任何具体的划分依据。因此,文中考虑了数据敏感性划分的法律依据[22],从司机自身、司机与车绑定、车辆自身3个角度,扩展完善了ISO214343标准的敏感程度分类,将ICV的隐私数据按照敏感性从高到低划分为:司机身份与财产信息、行踪轨迹与驾驶行为信息以及车辆身份与状态信息。
除了对数据进行敏感性划分外,还需要对PII的关联性进一步扩展,才能完成符合ISO21434标准的隐私影响评级,PII是有关一个人的任何数据,这些数据能帮助识别这个人,除了姓名、指纹或其他生物特征资料、电子邮件地址、电话号码或社会安全号码等传统隐私数据,在ICV中还应该要考虑已经研究证实或潜在的、可以推断司机个人信息的传感器数据等。完整的隐私影响评级如表1所示。从数据的可用性角度,将PII主体的联系分为直接PII属性和间接PII属性。直接PII属性是PII主体的固有、静态、独立属性,不会改变也不会解绑,例如姓名、性别、身份证号码、生物特征、受教育程度、家庭成员等;而间接PII属性是PII主体的非固有、动态、组合属性,需要借助直接PII属性才能识别,可以改变或解绑,包括VIN、手机号码、银行卡号、行车轨迹、听歌习惯、邮箱、收入、婚姻、职业等。
2. 基于ISO21434标准的定量隐私风险评估模型
针对定性风险评估模型的不足,文中提出了一种定性和定量相结合的隐私风险评估模型,如图1所示。图1中白色方框表示ISO21434标准现有的定性评估方法,没有进行改动,灰色方框代表新增的定量评估方法。
图1 定性与定量结合的隐私风险评估模型
1)攻击成功概率
在ISO21434标准中,攻击可行性等级从五个方面进行打分:经过的时间(et)、专业经验(se)、对项目组件的了解(koic)、机会窗口(woo)、装备(eq),如果将某次隐私攻击的等级得分记为{et,se,koic,woo,eq},根据几何概率,可以计算出攻击成功概率P为:
2)隐私泄露度量
影响等级同样能够影响隐私数据的价值。同样概率分布的不同隐私数据,有不同的价值,但是信息熵无法区分这种差异,通过增加影响等级I的权重wI来区分。首先按照4.1节中的隐私评级扩展进行评级,接着采用ISO21434标准或模糊数学等方法转换为影响等级数值,转换后的数值如下
wI={0,1,1.5,2}
PII类型数量强调多个PII类型组合的累计风险,考虑单个PII的影响等级是固定的,但是两个以上的PII类型进行组合关联,会产生一加一大于二的组合累计风险。举例来说,篮球运动员、上海人、在NBA打过球这三个PII类型可以推导出这个人是姚明。PII类型数量C的权重wc用以下公式进行估计:
wc=log2C
当C=1时,信息熵H(X)和PII类型权重wc均为0,单一的影响等级难以区分不同规模的数据集的隐私价值,通过单个PII的数量N的权重wN和影响权重wI来度量隐私:
wN=log10(N+2)
因此,在信息熵的基础上,综合考虑影响等级、PII类型数量以及单个PII数量的影响,设计了如下的隐私泄露度量方法,其中θ代表隐私数据的量化价值。
3)隐私泄露定价
虽然基于信息熵的隐私度量能够精确反映隐私数据的价值,但是依然不能清晰直观地量化为隐私泄露造成的具体经济损失。通过建立基于信息熵的数据定价模型,可以将信息熵映射为价格。常见的数据定价函数的连接函数有线性函数、对数函数和幂函数,考虑ICV的隐私数据具有数据量大、种类多、实时性、稀缺性等高质量数据特征,本文采用线性函数作为定价连接函数,其中k值根据经验设定。
Price(D)≡f(θ),f(x)=kx
4)预估损失价格
在计算出攻击成功概率和隐私泄露定价之后,用两者的乘积作为预估损失价格L :
L=P*Price(D)
预估损失价格量化了ICV厂商受到一次成功隐私攻击的具体损失,可以作为ICV厂商潜在经济损失的参考,帮助其合理分配资源并专注于风险最大的隐私活动。同时,还可以通过阈值划分,将定量的预估损失价格转换为定量的风险确定值。
3. 基于WC-ETA的ICV隐私泄露检测方案
为了验证风险评估模型的有效性,本节首先通过渗透测试,模拟恶意黑客对ICV的隐私攻击,来识别ICV隐私威胁场景中的攻击路径;接着提出了一种基于Wi-Fi通用攻击的ICV隐私泄露检测方案,用于获取ICV泄露的原始隐私数据,评估WiFi隐私攻击的成功概率。
比较ICV两种威胁场景下的三种WiFi隐私攻击,可以发现ETA是静止和运动两种隐私威胁场景都存在的通用隐私攻击。而且ETA威胁远大于另外两种隐私攻击,前两种隐私攻击只能是被动流量监听,无法解密传输层加密的流量,而ETA不仅可以实现被动流量监听,还可以进一步结合中间人攻击,解密部分传输层加密的流量。因此,在本节中,我们详细研究了ETA的对手模型和分类。
并不是所有的ETA,都能适用于ICV运动和静止这两种隐私威胁场景。为了区分这种差异,按照ETA的上行信道类型对ETA进行分类,其中上行信道是指ETA自身访问互联网的直连信道。具体将ETA分为四种类型:
1)早期ETA没有上行信道,为窃取WiFi密码而设置,不提供互联网访问,将这种钓鱼ETA定义为:F-ETA(Fishing-ETA)。
2)上行信道为WiFi的ETA称为W-ETA(WiFi-ETA)。
3)上行信道为有线网络的ETA称为E-ETA(Ethernet-ETA)。
4)上行信道为蜂窝网络的ETA称为C-ETA(Cellular-ETA)。
在W-ETA的基础上,提出了一种新的WC-ETA(WiFi-Cellular-ETA)隐私攻击方法。WC-ETA克服了C-ETA和W-ETA的上述缺点,利用攻击者的手机或ICV车载热点,而不需要像C-ETA增加额外的硬件成本,同时在W-ETA基础上增加了移动特性,能够用于ICV的静止和运动两种隐私威胁场景。需要强调的是,相较于W-ETA增加一跳路由,WC-ETA增加了两跳路由,可能增加网络延时。
WC-ETA的实现过程如下:
1)在ICV静止威胁场景下,攻击者获取目标ICV当前连接的Wi-Fi信息,根据这些信息搭建ET。
2)攻击者打开自己ICV或手机的蜂窝网络和WiFi热点,让ET连接Wi-Fi热点,互联网访问由移动设备的蜂窝网络提供。
3)采用5.2节中的ETA实施方式,让目标ICV断开与LAP的连接,连接上ET。
No.3 研究结论
从表2中可以看出,手机APP端泄露的隐私数据数量和PII类型较多,而且有许多敏感和直接的隐私数据,这些隐私数据有一部分来自ICV,如油耗、里程、速度等,另一部分来自TSP服务器,是车主购车和保养时提交的隐私数据,如工作、邮箱、地址等。而在ICV端泄露的隐私数据数量和种类较少,大部分隐私数据都是间接或不敏感的。实验结果表明,基于WC-ETA的Wi-Fi隐私泄露检测方案能有效检测ICV的Wi-Fi隐私泄露情况。
表2 基于WC-ETA的隐私泄露检测方案的可行性评估
将不同ICV的检测结果进行横向对比,现有的蜂窝网络隐私检测结果作为参考,结果如表3所示。横向对比CS75PLUS和VELITE6车辆端的WiFi隐私泄露情况,发现CS75PLUS的车辆端泄露的隐私字段数为8个,而VELITE6的车辆端泄露的隐私字段数为12个;横向对比CS75PLUS和Malibu XL手机端的WiFi隐私泄露情况,发现CS75PLUS的手机端泄露的隐私字段数为26个,而Malibu X的车辆端泄露的隐私字段数为38个。因此,可以认为CS75PLUS在车辆端和手机泄露的WiFi隐私数据数量,分别要比VELITE6和Malibu XL更少。
表3 不同ICV隐私检测结果的对比
基于Wi-Fi和基于蜂窝的隐私检测方法,均属于基于流量的隐私检测,都利用了不安全的无线信道固有的协议漏洞和典型攻击,而不依赖于具体ICV的内部设计,因此提出的方法具有一般性。与蜂窝隐私泄露检测方法相比,提出的方法在更具针对性,在成本和通用性方面,也具有一定的优势,只需要一块USB无线网卡,就能获得司机的姓名、身份证号码、手机号码、行车轨迹、听歌习惯等个人敏感信息。
表4 长安CS75PLUS不同攻击的预估损失与风险等级
比较三种不同的攻击方式,开放、破解和WC-ETA的总体预估损失分别为12.801元、6.680元、0.243元,其中ICV的单项损失分别为1.768元、0.931元、0.032元,手机的单向损失分别为11.033元、5.749元、0.211元。不论总体还是局部,开放、破解和WC-ETA在两种终端上的攻击预估损失依次降低,ICV厂商应该优先处置开放WiFi监听,根据三辆ICV的实际观察,它们都采取禁止连接开放WiFi的策略,符合我们的风险分析结果。
比较相同攻击下的两种不同的终端,可以发现手机隐私泄露风险总是大于ICV的隐私泄露风险,增加Wi-Fi网络安全性检查有助于缓解隐私泄露风险。ICV厂商可以控制每辆ICV的安全策略,比如禁用开放的WiFi连接,但在手机端有不同的终端类型,APP检查Wi-Fi的安全性的行为可能被系统认定为侵犯隐私而被阻止。因此考虑将不安全的HTTP协议升级为HTTPS,甚至采用双向认证、证书绑定、私有协议等方式传输隐私数据,可能是ICV厂商更优的选择。虽然这会增加成本,但借助本文的定性和定量风险评估模型,可以计算出隐私泄露的预期损失,对比增加的成本和预期的损失,可以帮助ICV厂商进行决策。
根据定量的预估损失,通过划分合理的阈值,可以将数值转换为风险等级值。假设5个等级从小到大按照阈值 进行划分,可以得到每种攻击定量转换的定性风险值。同样我们按照ISO21434的定性风险评估方式,可以得到每种攻击的参考定性风险值。对于每种攻击,可以发现定量转换的风险值和ISO参考的定性风险值一致,从而验证了定性与定量结合的隐私风险评估模型的有效性。
No.4 论文资助
国家自然科学基金(U1836210);海南省重点研发计划(GHYF2022010);海南大学科研启动基金(RZ2100003335)。
No.5 作者介绍
杨波(1995—),男,海南大学硕士研究生,E-mail:yangb@nipc.org.cn
钟永超(1997—),男,海南大学硕士研究生,E-mail:zhongyc@nipc.org.cn
杨浩男(1997—),男,海南大学硕士研究生,E-mail:yanghn@nipc.org.cn
徐紫枫(1990—),男,讲师,博士,E-mail:zfxu@hainanu.edu.cn
李晓琦(1991—),男,副教授,E-mail:csxqli@hainanu.edu.cn
张玉清(1966—),男,教授,E-mail:zhangyq@nipc.org.cn
评论 0