基于智能网联车的信号交叉口更易受到拥堵型攻击

2019-03-04 14:23:41 来源：一览众山小-可持续城市与交通评论：人

分享到：

导读：智能网联交通，这个概念在近些年被搬上了大荧幕，并不断发酵，相关的研究层出不穷：基于智能网联汽车（Connected Vehicle，以下简称CV）的交叉口排队长度估计，信号交叉口配时方法，公交优先配时方法；智能网联共享自动驾驶汽车的路径规划问题（Shared Autonomous Vehicle）；也有部分学者研究在不同渗透率下，智能网联汽车对于交通流（Mixed-traffic flow）的影响。这些研究大部分假设了在理想的通讯条件下，应用CV的实时轨迹数据来对目前的交通出行模式、交通控制进行优化与改进。然而，似乎很少有研究讨论另一个层面的问题，即智能网联条件下的信息安全问题（Cyber Security）。本文由来自密歇根大学的研究团队撰写，以著名的MCity基地为依托，从智能网联条件下信号交叉口受恶意攻击的角度出发，探讨了一辆发送恶意车辆轨迹的智能网联汽车是如何从不同程度影响智能交叉口运行，甚至导致整个交叉口交通崩溃的情况。此外，研究人员还分析了基于CV的信号控制系统的漏洞，并给予了相关的改进方案。本文是一篇简要针对该文章的概述，并不涉及具体的算法部分，若有需要请联系公众号索要相关论文。

图一、智能信号灯路口更容易受到拥堵型攻击

一、简介

来自美国密歇根大学的研究人员近期发布了一篇论文，概述了一辆恶意的智能网联汽车会如何欺骗智能交通控制系统，使系统认为交叉路口已处于阻塞状态。这将迫使智能控制算法选择错误的控制策略，进而导致交叉口拥塞或阻塞。

研究人员检测了了由美国运输部（USDOT）试行的I-SIG的技术，一种车辆与基础设施互联（V2I）技术，该技术允许智能网联汽车与交叉路口，交通信号灯和其他基础设施共享数据。他们发现在信号控制算法级别存在一个“漏洞”，这意味着一台智能网联汽车可以向系统发送多条消息，并诱使其认为车辆仍将不断到达交叉口，从而导致系统禁止左侧车道发生任何转向。

来自左转车道的交通流量随后流入其他车道，导致报告中所描述的“大规模交通拥堵”，这否定了智能交叉路口所带来的好处。

二、深层洞悉

据Bleeping Computer公司称，这个I-SIG系统已经在怀俄明州的夏安市、纽约市、加利福尼亚州的帕洛阿尔托市、佛罗里达州的坦帕市和亚利桑那州的天普市等地区应用。在该公司的网站上，USDOT强调了迄今为止该试点项目的成功。

Bleeping Computer进一步指出，目前“尚不清楚”人们会如何利用密歇根研究人员所发现的漏洞。实际上，若对城市拥堵产生实际的影响，这需要这些智能网联汽车在一大堆智能交叉路口发送批量恶意信号。只有在这种情况下，才可能会影响当地的企业，同时也会造成公共交通和校车的延误，使这些城市交通的参与者必须应对拥堵的城市环境。

有人建议，城市的领导层应该更加关注人为的恶意病毒，这种病毒可能会在车辆之间传播，并在全国范围内导致交叉口拥堵。不过，无论是任何的情况，来自密歇根州的团队都建议使用鲁棒性强的“强大的算法设计”来解决这个问题，同时设计高保障性的软件和传感器，以检测数据欺骗并即时关闭系统。

随着“智能”交叉口的不断发展，以及在达拉斯和堪萨斯城这样的城市的类似工作，密歇根州必须保证基础设施免受网络攻击。诚然，智能网联交通有助于缓解拥堵，不过其仍然处于发展阶段，系统中具有潜在受攻击威胁的部分需要在未来得到进一步的优化。

三、本论文精翻版

01 摘要

智能网联汽车（CV）技术，通过无线通信连接车辆和交通基础设施，将很快改变如今的交通系统。在其展现出能极大提高交通移动效率的潜力外，智能网联同时也为网络攻击开辟了新的大门。在这项工作中，我们将对新一代基于智能网联汽车的交通系统进行首次详细的安全分析。首先，我们选择了USDOT（美国交通部）赞助的基于智能网联汽车的交通控制系统，该系统已经过测试，并且在实际道路交叉口中显示出高效。在分析中，我们选择的是一个现实的威胁，即来自一辆智能网联汽车的数据欺骗，以造成交通拥堵。

我们首先分析了该系统的设计并确定可能会影响交通控制的数据欺骗策略。基于这些策略，我们通过彻底尝试所有这些策略的数据欺骗选项来执行漏洞分析，以了解攻击有效性的上限。对于高效案例，我们分析发现当前的信号控制算法设计和实施选择极易受到来自单个攻击车辆的数据欺骗攻击的影响。这些漏洞可以被利用来彻底扭转基于智能网联汽车的信号控制系统的优点，使交通可达性比没有采用这种系统的情况还要差23.4％。然后，我们构建实际攻击并在真实世界交叉口设置下评估它们。评估结果与我们的漏洞分析是一致的，我们发现这些攻击甚至可能导致阻塞整个交叉口。在30分钟干扰期间，22％的车辆需要花费超过7分钟才能完成原来的半分钟行程，这比原来高出14倍。我们还利用我们分析的见解讨论防御的方法。

图二、我们制造的拥塞攻击对真实交叉口上的真实交通需求造成了阻塞效应。由于附近的单个攻击车辆的停车攻击，在北行和南行的进口道，左转车道上的车辆溢出车道并直接阻挡整个进口道，造成大量交通拥堵。

02 研究的主要贡献

· 我们对基于智能网联的交通系统（USDOT赞助的I-SIG系统）开展了首次安全分析。我们用一个高度真实的威胁模型来模拟情景，从一个单一的攻击车辆数据欺骗出发，分析系统设计来识别一组数据欺骗策略。

· 针对创建拥塞的目标，我们首先执行漏洞分析以了解攻击有效性的上限。我们分析受攻击程度高案例的原因，并发现当前的信号控制算法设计和配置选择极易受到来自单个攻击车辆的数据欺骗的影响。这些漏洞在系统的整个部署和过渡期间都存在，并且可能会导致交通可达性比没有使用I-SIG系统时更差。

· 对于已识别的漏洞，我们构建实际的漏洞并在真实条件下对其进行评估。结果验证了攻击的有效性;此外，在过渡时期，攻击甚至可能造成阻塞效应，堵塞整个交叉口。

03 I-SIG系统简介

由装备的车辆广播的基本安全讯息(Basic Safety Message,简称BSM)由被称为轨迹感知的组件接收，保持BSM消息中由车辆ID索引的每辆车的最新轨迹。它还为信号配时组件中的使用的数据做了一些预处理任务，例如基于交叉图将车辆数据分配给它们所请求的相位。信号配时组件收听由信号控制器报告的交通信号状态，并逐步启动信号配时方案。更具体地说，在每个阶段开始时，信号配时组件调用交叉口中的经过预处理的车辆实时轨迹数据，选择配时方案并向信号控制器发送信号控制命令。（相关的具体算法请参考文献一）

图三、I-SIG系统的控制情境

图四、信号控制方案的形式，数字1-8为相位

图五、I-SIG系统设计

04 威胁模型简介

I-SIG系统的操作涉及基础设施侧设备，即路侧设备单元(Road Side Unit,以下简称RSU)和信号控制器，以及车辆侧设备，即车载单元(On-board Unit,以下简称OBU)。以前的工作发现传统的交通基础设施端设备倾向于使用较弱的认证机制，使得攻击者可以很容易地完全取得控制。这也是许多嵌入式网络设备中已知的问题，并且我们假设下一代基于智能网联汽车的交通系统将完全意识到这个问题，并采用足够强的认证机制，如之前的工作所建议的那样，以便系统不会轻易被攻击成功。

因此，在这项工作中，我们更关注车辆设备OBU的攻击。更具体地说，我们假设攻击者可以在他们自己的车辆或其他车辆上危害车载系统或OBU，以便向RSU发送恶意BSM消息来影响信号配时。需要注意的是，我们并不认为攻击者可以欺骗BSM消息中的发件人身份。USDOT将部署SCMS系统以确保所有BSM消息都被认证。由于本文中我们更关注基于智能网联汽车的信号控制特有的新安全问题，我们假设SCMS系统已经过充分测试并且不易被利用。

因此，在我们的威胁模型中，攻击车辆需要使用它们的真实身份，在发送BSM消息时仍然正确地签名，但是会在这些消息中发送伪造的车辆轨迹数据，例如速度和位置。这可以通过两种方式来实现：

（1）首先，攻击者可能通过利用软件漏洞直接危害OBU，类似于其他电子控制单元（ECU）上的妥协。

（2）其次，如果让OBU妥协难以实现，攻击者可以通过损害其他ECU，将带伪造传感器数据的伪造CAN消息发送给OBU。

由于威胁模型包括具有任意物理访问权限的恶意车主，只要车载系统不是无漏洞的，这种妥协总是可以实现的，就像今天的智能手机越狱一样。

为了最大化我们的威胁模型的真实性，在本文中，我们假设只有一个攻击车辆出现在交叉路口。由于信号控制算法（COP算法，具体请查阅参考文献一）针对交叉口中所有车辆（通常有100多个车辆）的总延误进行优化，对于来自单个车辆的数据能够显著影响信号配时应该是非常具有挑战性的。但是，如后面所示，由于几个新发现的易受攻击的设计和配置选择，这实际上极有可能实现的。

假设攻击者利用有限的计算能力来发起攻击，例如仅使用消费者笔记本电脑。更具体地说，当使用并行计算时，攻击笔记本电脑假定有四个处理器同时执行，这是消费类笔记本电脑（如Macbook Pro）的常用规格。在攻击交叉路口之前，攻击者被假定已经执行了足够的侦察，因此已经知道（1）信号控制算法选择，通过测试本文中确定的算法特定的漏洞，以及（2）信号控制配置和相位图，通过预先测量运行的相位，相应的信号持续时间和相位图。

由于在CV环境中，车辆向周围路侧设备广播BSM消息，同时攻击车辆在受害者交叉口处，所以我们假设攻击车辆可以接收与RSU中的那些相同的BSM消息。因此，他们可以自己运行COP和EVLS算法来了解执行的信号计划，并估算要执行的信号计划，这也在我们的开发过程中实施。

05 防御措施

（1）强鲁棒性的过渡时期算法设计：正如我们的评估所具体显示的那样，拥堵攻击最易发生于过渡时期：总延误增加近200％，通过少于20分钟的持续攻击，它可以触发整个系统的阻塞点，造成大量交通拥堵。根据目前的I-SIG系统设计，当智能网联汽车渗透率达到95％以上时，这种问题才能在很大程度上得到缓解。因此，这是目前I-SIG系统设计中最迫切的问题：智能网联技术的市场渗透率需要从某个地方开始，因此不可避免地需要经历一个过渡期。即使所有新型轻型车辆都被要求安装OBU，这正是美国交通部门现在提出的，但道路上仍然有重型车辆和旧车。根据USDOT的估计，在开始此类任务后，可能需要25至30年的时间才能达到95％的渗透率。因此，如果这样的系统无法应对过渡期的安全挑战，那么即使在实践中开始实施大规模部署，也不够稳定。

从根本上说，这是由于过渡期缺乏足够强大的信号控制算法造成的。COP算法对于基于智能网联汽车的信号控制来说是一个合适的设计选择，但它仅在完全部署后才是最优的。为了确保低渗透率时I-SIG系统仍然有效，当前的设计试图通过估计非智能网联汽车的数据来解决困境。然而，如果这种推论不健全，那么可能会因恶意目的而被大大操纵——这正是我们在本研究中发现的。由于车辆数据输入的数量远远少于整个部署期间的数据量，所以任何用于过渡期的信号控制算法本质上都对数据欺骗攻击更加敏感，从而使其在确保鲁棒性方面具有根本性的挑战性。考虑到过渡时期是不可避免的，可能会持续30年，我们认为这需要运输部和安全部门共同开展研究工作，以设计专门用于过渡期的有效和强大的信号控制算法。

（2）路侧设备单元（RSU）的性能改进：基于到达时间的信号控制在COP算法中非常适合基于智能网联汽车的信号控制，并且当给定足够的计算能力时，这样的规划确实很难在整个部署期间被少量欺骗数据恶意地影响。不幸的是，由于当今路测设备的性能有限，I-SIG系统不得不使用COP算法的次优实现，该算法引入了最后一辆车辆的优势，允许来自单个攻击车辆的数据显着影响信号控制。因此，即使解决了过渡期的安全挑战，I-SIG系统仍然可以被数据欺骗攻击大大操纵。因此，提高当今路侧设备的性能非常重要，以便可以在信号控制中使用更优化的配置。这种改进可以在软件级别（例如代码优化）和硬件级别（例如CPU和内存升级）两者上进行。这种性能改进通常是有益的，因为更多的计算能力可以帮助更好地平衡安全和性能之间的权衡。

（3）使用基础设施控制的传感器进行数据欺骗检测：除了提高控制算法级别的鲁棒性之外，另一个防御方向是在基础设施侧检测和过滤具有攻击性的BSM消息。由于这些消息仍然是正确签署的，所以这种防御必须依赖数据有效性检查。不幸的是，在目前的设计中，I-SIG系统只有一个关于攻击车辆的数据源——攻击者通过BSM消息控制的轨迹数据。因此，基于此的任何数据有效性检查方法都不太可能有效，因为攻击者可策略性地控制欺骗数据，以使车辆轨迹看起来完全正常。

因此，为了确保高效，基础设施侧的数据欺骗检测需要依赖于攻击者无法轻易控制的数据源（例如基础设施控制的传感器）来交叉验证BSM消息中的数据。我们发现实际上现有的基础设施侧传感器已可以应用于此目的。例如，在每条车道的停车栏下面埋设的车辆探测器被用来测量实时交通条件中的汇总交通信息。即使它们在智能网联环境中用处不大，它们也可能被重新用于帮助检测数据欺骗，因为它们已经被事先安装，所以这可能是一种具有高成本效益的解决方案。如果这样的汇总数据不充分，则基础设施侧可能需要安装具有更多信息数据的传感器，例如视频检测器。这个方向面临的一个挑战是如何最好地利用不同类型的基础设施侧传感器来设计既准确又难以逃避的检测系统，这将是未来工作中的一项重点。

06 总结

在这项工作中，我们对新兴的基于智能网联汽车的信号控制系统进行了首次安全分析。针对高度真实的威胁模型，来自单一攻击车辆的数据欺骗，我们执行漏洞分析，并发现当前的信号控制算法设计和配置选择非常容易受到拥堵攻击。在真实世界设置下的评估结果验证了攻击的有效性，并表明攻击甚至可以产生堵塞整个交叉口的阻塞效应。然后利用这些见解来讨论防御方向。

这项工作是了解下一代智能网联汽车交通系统中的新安全问题和挑战的第一步。预计将启动一系列后续研究，包括但不限于：（1）以不同交叉口大小和交通模式进行更广泛的评估;（2）考虑其他基于智能网联汽车的交通系统，算法和安全影响的更广泛分析; （3）更具体的防御系统设计和评估。

01 解析面向基于新兴网联车的交通信号控制所能找到的拥堵攻击研究