楊 波,鐘永超,楊浩男,徐紫楓,李曉琦,張玉清

(1.海南大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,海南 海口 570208;2.中國科學(xué)院大學(xué) 國家計算機(jī)網(wǎng)絡(luò)入侵防范中心,北京 101408)

1 引 言

智能網(wǎng)聯(lián)汽車(Intelligent Connected Vehicles,ICV)是以人工智能、5 G通信技術(shù)等新興技術(shù)為基礎(chǔ),通過車載傳感系統(tǒng)和信息終端來實現(xiàn)與人、車、路等方面的信息交換的新一代汽車。隨著汽車智能化水平的提高,ICV配備大量了電子控制單元(Electronic Control Unit,ECU)和傳感器,每秒可產(chǎn)生上千個數(shù)據(jù),其中包含許多隱私數(shù)據(jù)。這些數(shù)據(jù)通過蜂窩或Wi-Fi網(wǎng)絡(luò)傳輸?shù)絻?nèi)容服務(wù)提供商(Telematics Service Provider,TSP)服務(wù)器,用于保險、遠(yuǎn)程診斷等目的。與此同時,研究人員已經(jīng)證明,這些數(shù)據(jù)可用于推斷駕駛員身份、注意力、活動區(qū)域等敏感信息。ICV的隱私數(shù)據(jù)有巨大的潛在價值,一旦泄露造成的損失將難以估計。如何評估這些隱私數(shù)據(jù)的泄露風(fēng)險,是ICV風(fēng)險評估研究領(lǐng)域的重要內(nèi)容。

風(fēng)險評估是評估潛在風(fēng)險對組織影響的更廣泛過程,包括財務(wù)、法律和聲譽(yù)風(fēng)險等。隱私風(fēng)險評估是一種特定類型的風(fēng)險評估,側(cè)重于與個人數(shù)據(jù)處理相關(guān)的隱私風(fēng)險。隱私風(fēng)險評估包括隱私攻擊的可行性和隱私攻擊的影響評級,其中攻擊的可行性衡量了攻擊者發(fā)起隱私攻擊的可能性,攻擊的影響評級評估了攻擊發(fā)生后造成的隱私泄露影響。ICV廠商通過隱私風(fēng)險評估來識別高風(fēng)險的數(shù)據(jù)處理活動,確保其能夠在有限的資源范圍內(nèi)有效地管理隱私風(fēng)險。隱私風(fēng)險評估的實際價值體現(xiàn)在兩方面:一方面,它可以幫助ICV廠商遵守數(shù)據(jù)隱私法律和法規(guī),避免與數(shù)據(jù)泄露或隱私侵犯相關(guān)的法律和經(jīng)濟(jì)處罰;另一方面,它可以幫助ICV廠商確定其隱私工作的優(yōu)先級,合理分配其資源并專注于風(fēng)險最大的活動。

風(fēng)險評估方法可劃分為3種類型:定性評估(等級)、定量評估(數(shù)值)、定性和定量結(jié)合的評估(等級和數(shù)值)[1]?，F(xiàn)有的ICV的風(fēng)險評估方法大多是定性的。ISO21434[2]是ICV風(fēng)險評估領(lǐng)域的最新標(biāo)準(zhǔn),基于威脅分析和風(fēng)險評估(TARA),是一種定性風(fēng)險評估方法。在此之前,汽車協(xié)會和安全專家先后提出EVITA、TVRA 2015、HEAVENS 1.0、SAEJ3061和SARA[3],包括最新的HEAVENS 2.0[4],都是定性風(fēng)險評估方法。眾所周知,定性評估全面,應(yīng)用廣泛,但是依賴于專家的經(jīng)驗、知識、教訓(xùn)等,存在主觀性較強(qiáng)、無法量化潛在損失、難以得到有效實施[5]的問題。定量評估客觀,最常見的問題是沒有足夠的數(shù)據(jù)進(jìn)行分析。此外,現(xiàn)有的ICV風(fēng)險評估方法,采用以安全為中心的風(fēng)險評估模型,更加關(guān)注資產(chǎn)、價值、影響和技術(shù)等因素,導(dǎo)致對隱私風(fēng)險評估不夠完整,盡管安全和隱私作為非功能性問題有許多相似之處,但兩者并不相同[6]。

針對ICV隱私風(fēng)險評估不夠完整的問題,結(jié)合法律和敏感性因素提出了新的隱私分類,根據(jù)個人身份信息(Personally Identifiable Information ,PII)相關(guān)性完善了ISO21434中隱私影響評級。針對ICV定性評估存在的問題,在ISO21434的基礎(chǔ)上,以隱私為中心,提出了一種定性和定量結(jié)合的評估模型。在風(fēng)險評估模型中,首先設(shè)計了一種基于Wi-Fi隱私泄露的檢測方案,解決定量評估中的數(shù)據(jù)收集問題;然后,對泄露的隱私數(shù)據(jù)從信息熵、影響等級、PII類型等多因素進(jìn)行綜合價值度量,引入隱私數(shù)據(jù)定價模型量化攻擊收益;最后,將定性的攻擊可行性等級轉(zhuǎn)換為定量的攻擊概率,將攻擊收益和概率的乘積作為預(yù)估損失值。

2 相關(guān)工作

2.1 ICV隱私研究與數(shù)據(jù)分類

許多ICV隱私研究專注于其中的某一類隱私數(shù)據(jù),尤其是ICV的位置隱私。BORGAONKAR等[7]利用蜂窩網(wǎng)絡(luò)AKA協(xié)議的邏輯漏洞,發(fā)現(xiàn)一種新的位置隱私攻擊,但單純的位置信息需要結(jié)合個人信息[8],才能推斷出財富狀況、職業(yè)和宗教信仰等更敏感的個人信息;LI等[9]研究了GPS無關(guān)的ICV位置隱私侵犯。在位置隱私保護(hù)方面,宋成等[10]提出一種面向移動終端的K匿名位置隱私保護(hù)方案,可以用于未來ICV的位置隱私保護(hù)中。

此外,許多傳感器數(shù)據(jù)被證明可以侵犯隱私。根據(jù)制動踏板的使用情況對駕駛員進(jìn)行指紋識別,根據(jù)方向盤的移動了解駕駛員的注意力分散程度[11]。YANG等[12]發(fā)現(xiàn)連續(xù)的實時油耗數(shù)據(jù)也可以泄露用戶的隱私信息。

ICV的隱私分類需要考慮這種動態(tài)的變化,除了考慮重要的位置隱私數(shù)據(jù),還需要包含潛在的傳感器隱私數(shù)據(jù),以適應(yīng)未來研究的最新進(jìn)展。目前ICV隱私數(shù)據(jù)分類主要有:基于數(shù)據(jù)的敏感性、使用模型、來源方式、使用的技術(shù)、被關(guān)注的形式[13]。XIONG等[14]提出的隱私分類雖然考慮了傳感器數(shù)據(jù),但是側(cè)重強(qiáng)調(diào)位置隱私信息,這些隱私分類存在難以量化、不夠全面、不符合標(biāo)準(zhǔn)等問題,難以用于隱私泄露的風(fēng)險評估。

2.2 ICV隱私泄露檢測

現(xiàn)有的ICV隱私泄露檢測方法,從技術(shù)路線可分為應(yīng)用逆向[11]和流量分析[15]。基于應(yīng)用逆向的隱私檢測從應(yīng)用內(nèi)部發(fā)現(xiàn)隱私泄露,需要對ICV應(yīng)用進(jìn)行逆向分析,從應(yīng)用代碼設(shè)計中發(fā)現(xiàn)收集隱私的服務(wù),但是這需要進(jìn)入車輛內(nèi)部,對攻擊者來說不太可能?；诹髁糠治龅碾[私檢測從應(yīng)用對外通信的流量中發(fā)現(xiàn)隱私泄露,通常利用不安全的信道協(xié)議,比如不安全的蜂窩網(wǎng)絡(luò)和Wi-Fi,對隱私流量進(jìn)行截獲和分析。其中基于蜂窩網(wǎng)絡(luò)的ICV隱私泄露檢測研究,強(qiáng)調(diào)了ICV上傳到TSP服務(wù)器的隱私收集風(fēng)險,防止廠商非法收集司機(jī)隱私數(shù)據(jù),但是它們沒有考慮這些隱私數(shù)據(jù)泄露的風(fēng)險。隨著ICV車載Wi-Fi的普及,也為ICV隱私泄露提供了新的潛在通道,這些隱私數(shù)據(jù)會在Wi-Fi中泄露多少也是缺少研究的。

2.3 隱私風(fēng)險評估

正如引言所述,在ICV風(fēng)險評估領(lǐng)域,大多都是以安全為中心的定性風(fēng)險評估模型。這里重點介紹汽車領(lǐng)域之外的定量隱私風(fēng)險評估模型。

文獻(xiàn)[6]提出了一個數(shù)據(jù)主體感知的定量隱私風(fēng)險評估模型,將風(fēng)險分解為兩個基本因素:損失幅度和丟失事件頻率。其中損失幅度代表對數(shù)據(jù)主體的影響,分解為敏感度、記錄數(shù)、主體類型和數(shù)據(jù)主體;丟失事件頻率代表對手攻擊成功的概率,分解為保留期、威脅事件頻率、漏洞,兩者相乘得到整體風(fēng)險。文獻(xiàn)[16]提出了一種基于定量風(fēng)險分析模型FAIR的改進(jìn)模型FAIR-P,作者指出雖然部分風(fēng)險分析方法是定量的,但可能傾向于脫離任何客觀基礎(chǔ)的任意量化,使得量化不具有實際意義。作者還將FAIR-P和文獻(xiàn)[6]中的模型、NIST以及CNIL進(jìn)行對比,前兩個都是定量的隱私風(fēng)險評估模型,基于蒙特卡洛模擬,而后兩者都是定性的隱私風(fēng)險評估模型。文獻(xiàn)[17]提出了一種針對名稱數(shù)據(jù)網(wǎng)絡(luò)隱私攻擊的定量隱私風(fēng)險評估技術(shù),用攻擊樹威脅建模評估每個攻擊路徑的概率,但是沒有考慮這些攻擊的損失。文獻(xiàn)[18]建議使用基于頻率的定量風(fēng)險評估,對每種類型的攻擊單獨測量,進(jìn)行不同的實驗。成功的攻擊只要破壞信息安全三要素保密性、完整性、可用性中的一個,成功的隱私攻擊應(yīng)該被定義為獲取到泄露的隱私數(shù)據(jù)。文獻(xiàn)[19]提出了一個考慮隱私的信息安全風(fēng)險評估模型PISRA,其中資產(chǎn)和PII識別增加了信息和服務(wù),隱私影響分析因素包括可識別性、字段敏感性、PII數(shù)量、使用環(huán)境和PII新鮮度。文獻(xiàn)[20]對隱私風(fēng)險評估的現(xiàn)狀進(jìn)行了綜述,強(qiáng)調(diào)了量化整體隱私風(fēng)險的具體隱私風(fēng)險因素,建議采用動態(tài)觀點進(jìn)行隱私風(fēng)險評估。

3 預(yù)備知識

3.1 Wi-Fi管理操作

Wi-Fi的主要管理操作包括掃描、身份驗證和關(guān)聯(lián)。

(1) 識別該地區(qū)現(xiàn)有網(wǎng)絡(luò)的過程稱為掃描,掃描結(jié)束時會生成掃描報告。該報告列出了掃描發(fā)現(xiàn)的所有Wi-Fi網(wǎng)絡(luò)及其參數(shù),包括服務(wù)集標(biāo)識(Service Set IDentifier,SSID)、基本服務(wù)集標(biāo)識(Basic Service Set IDentifier,BSSID)、接收信號的強(qiáng)度指示(Received Signal Strength Indicator ,RSSI)等,SSID表示W(wǎng)i-Fi網(wǎng)絡(luò)名稱,而BSSID表示發(fā)射Wi-Fi信號對應(yīng)的接入點(Access Point ,AP)設(shè)備的MAC地址,RSSI是指接收器從發(fā)射器獲得的接收信號功率,以dBm為單位,它是評價接收信號質(zhì)量好壞的重要因素。在理想狀態(tài)下,RSSI等于發(fā)射功率加天線增益,減去路徑損耗,其中每個AP的發(fā)射功率和天線增益都是固定的,而路徑損耗是影響RSSI的主要因素,可由弗里斯傳輸方程導(dǎo)出自由空間路徑損耗RFSPL：

(1)

其中,Pt表示信號傳輸功率;Pr表示信號接收功率;Gt表示AP的天線增益;Gr表示客戶端的天線增益;λ表示信號的波長,以2.4 GB的Wi-Fi為例,劃分了13個信道,頻率f范圍為2.400 0～2.483 5 GHz,根據(jù)λ=c/f,可得λ的范圍為0.121 4～0.124 4。

(2) 身份驗證過程實際上只證明客戶端的身份,而客戶端無法對AP進(jìn)行身份驗證。Wi-Fi網(wǎng)絡(luò)提供3種類型的身份驗證方案:

① 開放式身份驗證: 不提供連接到網(wǎng)絡(luò)的身份驗證。在典型的開放網(wǎng)絡(luò)中,數(shù)據(jù)包未加密。

② 基于密碼的身份驗證: 使用用戶輸入的密碼對Wi-Fi客戶端進(jìn)行身份驗證。在建立連接時生成加密密鑰,并使用生成的密鑰對數(shù)據(jù)包進(jìn)行加密。目前Wi-Fi Protected Access 2 (WPA2)廣泛用于個人和家庭Wi-Fi網(wǎng)絡(luò),Wi-Fi客戶端和AP使用獨立生成成對主密鑰(PMK),認(rèn)證過程如下:

PMK=PBKDF2(HMACSHA1,Password,SSID,409 6,256) ,

(2)

其中,PBKDF2是一種基于密碼的密鑰派生函數(shù),而HMACSHA1是偽隨機(jī)函數(shù)(PRF)。執(zhí)行409 6次迭代以生成256位PMK,用于4次握手以生成會話密鑰。由于用于PMK生成的參數(shù)對于所有網(wǎng)絡(luò)設(shè)備都是相同的,因此PMK在WPA2個人網(wǎng)絡(luò)中是相同的。

③ 基于802.1X的身份驗證:使用可擴(kuò)展的身份驗證協(xié)議。大多數(shù)身份驗證類型使用數(shù)字證書進(jìn)行身份驗證、服務(wù)器驗證,主要適用于企業(yè)和校園網(wǎng)絡(luò)。由于ICV目前不支持802.1X認(rèn)證方式,因此文中不考慮802.1X認(rèn)證。

(3) 身份驗證完成后,客戶端根據(jù)RSSI選擇與哪個AP關(guān)聯(lián)(或與新AP重新關(guān)聯(lián))以獲得對網(wǎng)絡(luò)的完全訪問權(quán)限。與認(rèn)證一樣,關(guān)聯(lián)由客戶端發(fā)起,但是802.11協(xié)議明確禁止客戶端同時與多個AP關(guān)聯(lián)。

3.2 信息熵與定價模型

在香農(nóng)信息論中,信息熵可以度量信息量的大小,隱私數(shù)據(jù)的價值隨信息熵的增大而呈現(xiàn)單調(diào)遞增的趨勢[21]。假設(shè)存在隨機(jī)變量X={x1,x2,…,xn-1,xn},隨機(jī)變量X的概率分布PProbability={p(x1),p(x2),…,p(xn-1),p(xn)},則隨機(jī)變量X的信息熵為

(3)

對于隱私數(shù)據(jù)集D,其定價函數(shù)Price(D):D→R+,其中R+為數(shù)據(jù)價格,是一個非負(fù)實數(shù)?；跀?shù)據(jù)信息熵的定價函數(shù)[21]可定義為

Price(D)≡f(H(D)) ,

(4)

其中,f(H(D))為遞增連接函數(shù),需要滿足兩個性質(zhì):

(1) 遞增性:?x1≤x2,f(x1)≤f(x2)。

(2) 次加性:?x1,x2≥0,f(x1+x2)≤f(x1)+f(x2)。

4 定性與定量結(jié)合的隱私風(fēng)險評估模型

4.1 ISO21434的隱私影響評級擴(kuò)展

現(xiàn)有的隱私數(shù)據(jù)分類存在難以量化、不夠全面、不符合標(biāo)準(zhǔn)等問題,這給基于隱私分類的隱私影響評級帶來困難。在ISO21434標(biāo)準(zhǔn)中,將隱私數(shù)據(jù)分為高度敏感類、敏感和不敏感類,但是沒有給出任何具體的劃分依據(jù)。因此,文中考慮了數(shù)據(jù)敏感性劃分的法律依據(jù)[22],從司機(jī)自身、司機(jī)與車綁定、車輛自身3個角度,擴(kuò)展完善了ISO214343標(biāo)準(zhǔn)的敏感程度分類,將ICV的隱私數(shù)據(jù)按照敏感性從高到低劃分為:司機(jī)身份與財產(chǎn)信息、行蹤軌跡與駕駛行為信息以及車輛身份與狀態(tài)信息。

除了對數(shù)據(jù)進(jìn)行敏感性劃分外,還需要對PII的關(guān)聯(lián)性進(jìn)一步擴(kuò)展,才能完成符合ISO21434標(biāo)準(zhǔn)的隱私影響評級,PII是有關(guān)一個人的任何數(shù)據(jù),這些數(shù)據(jù)能幫助識別這個人,除了姓名、指紋或其他生物特征資料、電子郵件地址、電話號碼或社會安全號碼等傳統(tǒng)隱私數(shù)據(jù),在ICV中還應(yīng)該要考慮已經(jīng)研究證實或潛在的、可以推斷司機(jī)個人信息的傳感器數(shù)據(jù)等。完整的隱私影響評級如表1所示。從數(shù)據(jù)的可用性角度,將PII主體的聯(lián)系分為直接PII屬性和間接PII屬性。直接PII屬性是PII主體的固有、靜態(tài)、獨立屬性,不會改變也不會解綁,例如姓名、性別、身份證號碼、生物特征、受教育程度、家庭成員等;而間接PII屬性是PII主體的非固有、動態(tài)、組合屬性,需要借助直接PII屬性才能識別,可以改變或解綁,包括VIN、手機(jī)號碼、銀行卡號、行車軌跡、聽歌習(xí)慣、郵箱、收入、婚姻、職業(yè)等。

表1 隱私影響評級擴(kuò)展

4.2 基于ISO21434標(biāo)準(zhǔn)的定量隱私風(fēng)險評估模型

針對定性風(fēng)險評估模型的不足,文中提出了一種定性和定量相結(jié)合的隱私風(fēng)險評估模型,如圖1所示。圖1中白色方框表示ISO21434標(biāo)準(zhǔn)現(xiàn)有的定性評估方法,沒有進(jìn)行改動,灰色方框代表新增的定量評估方法。

圖1 定性與定量結(jié)合的隱私風(fēng)險評估模型

4.2.1 攻擊成功概率

攻擊成功概率是衡量攻擊者成功發(fā)起隱私攻擊的概率數(shù)值,通過將定性風(fēng)險評估的攻擊可行性等級轉(zhuǎn)換為概率值實現(xiàn)。在ISO21434標(biāo)準(zhǔn)中,攻擊可行性等級從5個方面進(jìn)行打分:經(jīng)過的時間(ET)、專業(yè)經(jīng)驗(SE)、對項目組件的了解(KoIC)、機(jī)會窗口(WoO)和裝備(Eq)。其中每個因素評分區(qū)間分別為[0,19),[0,8),[0,11),[0,10),[0,9),最大值采用開區(qū)間,是為了避免其中某一因素達(dá)到最大值時,導(dǎo)致后續(xù)計算概率為0的風(fēng)險低估情況。如果將某次隱私攻擊的等級得分記為{Pet,Pse,Pkoic,Pwoo,Peq},根據(jù)幾何概率,可以計算出攻擊成功概率P為

(5)

4.2.2 隱私泄露度量

隱私泄露度量是指考慮信息熵、影響等級、PII類型數(shù)量和單個PII數(shù)量多個因素,對泄露的隱私數(shù)據(jù)價值進(jìn)行量化。信息熵通過式(3)計算,在隱私風(fēng)險評估中,隨機(jī)變量X表示每次隱私攻擊獲得的隱私數(shù)據(jù)字段集合,概率分布是每個隱私字段在整個隱私數(shù)據(jù)集合中出現(xiàn)的概率占比。但是信息熵受主要概率影響,不能充分體現(xiàn)隱私數(shù)據(jù)的價值。

影響等級同樣能夠影響隱私數(shù)據(jù)的價值。同樣概率分布的不同隱私數(shù)據(jù),有不同的價值,但是信息熵?zé)o法區(qū)分這種差異,通過增加影響等級I的權(quán)重wI來區(qū)分。首先按照4.1節(jié)中的隱私評級擴(kuò)展進(jìn)行評級,接著采用ISO21434標(biāo)準(zhǔn)或模糊數(shù)學(xué)等方法轉(zhuǎn)換為影響等級數(shù)值。轉(zhuǎn)換后的數(shù)值如下:

wI={0,1.0,1.5,2.0} 。

(6)

PII類型數(shù)量強(qiáng)調(diào)多個PII類型組合的累計風(fēng)險[23],考慮單個PII的影響等級是固定的,但是兩個以上的PII類型進(jìn)行組合關(guān)聯(lián),會產(chǎn)生一加一大于二的組合累計風(fēng)險。舉例來說,籃球運動員、上海人、在NBA打過球這3個PII類型可以推導(dǎo)出這個人是姚明。PII類型數(shù)量C的權(quán)重wC用式(6)進(jìn)行估計,得

wC=lbC。

(7)

當(dāng)C=1時,信息熵H(X)和PII類型權(quán)重wc均為0,單一的影響等級難以區(qū)分不同規(guī)模的數(shù)據(jù)集的隱私價值[19],通過單個PII的數(shù)量N的權(quán)重wN和影響權(quán)重wI來度量隱私:

wN=lg (N+2) 。

(8)

因此,在信息熵的基礎(chǔ)上,綜合考慮影響等級、PII類型數(shù)量以及單個PII數(shù)量的影響,設(shè)計了如下的隱私泄露度量方法:

(9)

其中,θ代表隱私數(shù)據(jù)的量化價值。

4.2.3 隱私泄露定價

雖然基于信息熵的隱私度量能夠精確反映隱私數(shù)據(jù)的價值,但是依然不能清晰直觀地量化為隱私泄露造成的具體經(jīng)濟(jì)損失。通過建立基于信息熵的數(shù)據(jù)定價模型,可以將信息熵映射為價格。常見的數(shù)據(jù)定價函數(shù)的連接函數(shù)有線性函數(shù)、對數(shù)函數(shù)和冪函數(shù)[21],考慮ICV的隱私數(shù)據(jù)具有數(shù)據(jù)量大、種類多、實時性、稀缺性等高質(zhì)量[24]數(shù)據(jù)特征,文中采用線性函數(shù)作為定價連接函數(shù),即

Price(D)≡f(θ),f(x)=kx,

(10)

其中,k值根據(jù)經(jīng)驗設(shè)定。

4.2.4 預(yù)估損失價格

在計算出攻擊成功概率和隱私泄露定價之后,用兩者的乘積作為預(yù)估損失價格L,即

L=PPrice(D) 。

(11)

預(yù)估損失價格量化了ICV廠商受到一次成功隱私攻擊的具體損失,可以作為ICV廠商潛在經(jīng)濟(jì)損失的參考,幫助其合理分配資源并專注于風(fēng)險最大的隱私活動。同時,還可以通過閾值劃分,將定量的預(yù)估損失價格轉(zhuǎn)換為定量的風(fēng)險確定值。

5 基于WC-ETA的ICV隱私泄露檢測方案

為了驗證風(fēng)險評估模型的有效性,首先通過滲透測試,模擬惡意黑客對ICV的隱私攻擊,來識別ICV隱私威脅場景中的攻擊路徑;接著提出了一種基于Wi-Fi通用攻擊的ICV隱私泄露檢測方案,用于獲取ICV泄露的原始隱私數(shù)據(jù),評估Wi-Fi隱私攻擊的成功概率。

5.1 Wi-Fi威脅場景下的隱私泄露攻擊

在ICV蜂窩隱私威脅場景中,攻擊者借助偽基站和干擾器設(shè)備發(fā)起攻擊,干擾器屏蔽正?；拘盘?偽基站提供虛假的2G基站信號。偽基站覆蓋范圍廣,可截獲幾千米內(nèi)ICV的蜂窩通信流量,不依賴ICV行駛狀態(tài),無論車輛是靜止還是運動狀態(tài),均可發(fā)起攻擊。Wi-Fi不同于蜂窩網(wǎng)絡(luò),被設(shè)計為避免單點故障[25]、減少用戶等待時延和網(wǎng)絡(luò)費用的優(yōu)先鏈路,身份認(rèn)證的WPA2破解[26]和根據(jù)RSSI選擇關(guān)聯(lián),這些特性是發(fā)起Wi-Fi隱私攻擊的有利條件。但是隨著Wi-Fi連接距離的縮短,發(fā)起攻擊依賴ICV的行駛狀態(tài),需要研究具體的威脅場景。

為了解決這個問題,提出對攻擊者的一般假設(shè):首先,攻擊者明確自己要攻擊的目標(biāo)ICV,它們在地理空間上臨近,臨近是指都處于合法AP(LAP)的Wi-Fi覆蓋范圍;其次,攻擊者發(fā)起攻擊的目的,只是為了盡可能多地獲取目標(biāo)車主的隱私信息,而不構(gòu)成任何人身安全威脅,應(yīng)該盡量降低暴露風(fēng)險;最后,攻擊者擁有自己的ICV,可以根據(jù)目標(biāo)ICV的運動狀態(tài)采取相對應(yīng)的攻擊方式。

根據(jù)目標(biāo)ICV的運動狀態(tài),劃分了運動和靜止兩種Wi-Fi威脅場景。靜止威脅場景是指目標(biāo)ICV處于停車狀態(tài)、速度為零,車主讓ICV手動或ICV自動連接到LAP。此時,攻擊者和目標(biāo)ICV地理臨近,可以發(fā)起3種Wi-Fi隱私攻擊:

(1) 開放Wi-Fi監(jiān)聽。攻擊者只需要一個支持監(jiān)聽的USB無線網(wǎng)卡即可,配合Wireshark或者Omnipeek等抓包軟件就可以獲取到明文傳輸?shù)碾[私數(shù)據(jù)。

(2) 破解Wi-Fi密碼監(jiān)聽。針對WPA(Wi-Fi Protected Access)加密的Wi-Fi,相對于第1種隱私攻擊,需要破解Wi-Fi密碼才能獲取到明文隱私數(shù)據(jù)。

(3) 邪惡雙胞胎攻擊(Evil Twins Attack,ETA)。攻擊者通過工具掃描附近Wi-Fi信息,找到目標(biāo)ICV正在連接的LAP?？赡艽嬖趦煞N情況,開放Wi-Fi和WPA加密Wi-Fi。針對開放Wi-Fi,攻擊者直接模擬LAP的SSID和BSSID;針對WPA加密的Wi-Fi,攻擊者還需要破解Wi-Fi密碼。

運動威脅場景是指目標(biāo)ICV在路上行駛、速度不為零,不存在可連接的LAP,但是ICV的Wi-Fi連接功能維持打開狀態(tài),連接過的Wi-Fi信號出現(xiàn)時將自動連接。這是ICV靜止威脅場景的擴(kuò)展形式,攻擊者駕駛自己的ICV跟蹤目標(biāo)ICV,確保和目標(biāo)ICV在有效連接范圍內(nèi)。此時,ETA是惟一的攻擊路徑,另外兩種隱私攻擊方式依賴LAP的存在,不能適用于ICV的運動威脅場景。

5.2 ICV的ETA對手模型和分類

比較ICV兩種威脅場景下的3種Wi-Fi隱私攻擊,可以發(fā)現(xiàn)ETA是靜止和運動兩種隱私威脅場景都存在的通用隱私攻擊。而且ETA威脅遠(yuǎn)大于另外兩種隱私攻擊,前兩種隱私攻擊只能是被動流量監(jiān)聽,無法解密傳輸層加密的流量,而ETA不僅可以實現(xiàn)被動流量監(jiān)聽,還可以進(jìn)一步結(jié)合中間人攻擊,解密部分傳輸層加密的流量。下面詳細(xì)研究ETA的對手模型和分類。

在Wi-Fi網(wǎng)絡(luò)中,LAP定期發(fā)送信標(biāo)幀(Beacon),ICV客戶端通過偵聽Beacon幀發(fā)現(xiàn)LAP。由于Beacon幀沒有加密保護(hù),攻擊者捕獲受害者LAP的Beacon幀,并提取其SSID和BSSID。攻擊者通過偽造LAP的BSSID和SSID來創(chuàng)建邪惡雙胞胎(Evil Twins ,ET)。而ICV客戶端無法區(qū)分LAP和ET,根據(jù)Wi-Fi的認(rèn)證和關(guān)聯(lián)機(jī)制,ICV客戶端會從經(jīng)過身份認(rèn)證的AP中選擇連接RSSI最強(qiáng)的AP。

ETA可以通過以下3種方式實施:

(1) 攻擊者僅僅通過靠近目標(biāo)ICV或者增大ETA信號強(qiáng)度,等待ICV離開LAP的連接范圍,當(dāng)ICV客戶端嘗試關(guān)聯(lián)時,將會自動連接到ET。

(2) 借助Wi-Fi信號干擾器,攻擊者還可以在物理層對LAP的信號進(jìn)行射頻干擾,導(dǎo)致波形失真,ICV客戶端將無法檢測到LAP的信號,會自動連接上ET。

(3) 此外,還有一種去身份認(rèn)證攻擊,攻擊者利用MAC層的CSMA/CA協(xié)議漏洞,發(fā)送解除身份認(rèn)證幀,只要ICV或LAP中任何一方接收到該幀,就會立即斷開和LAP的連接,重新關(guān)聯(lián)上ET。

然而,并不是所有的ETA,都能適用于ICV運動和靜止這兩種隱私威脅場景。為了區(qū)分這種差異,按照ETA的上行信道類型對ETA進(jìn)行分類,其中上行信道是指ETA自身訪問互聯(lián)網(wǎng)的直連信道。具體將ETA分為4種類型:

(1) 早期ETA沒有上行信道,為竊取Wi-Fi密碼而設(shè)置,不提供互聯(lián)網(wǎng)訪問,將這種釣魚ETA定義為F-ETA(Fishing-ETA)。

(2) 上行信道為Wi-Fi的ETA稱為W-ETA(Wi-Fi-ETA)。

(3) 上行信道為有線網(wǎng)絡(luò)的ETA稱為E-ETA(Ethernet-ETA)。

(4) 上行信道為蜂窩網(wǎng)絡(luò)的ETA稱為C-ETA(Cellular-ETA)。

除了F-ETA,其他3種ETA攻擊都提供互聯(lián)網(wǎng)訪問,對ICV和手機(jī)用戶透明。結(jié)合上述ICV的Wi-Fi隱私威脅場景,F-ETA和E-ETA被認(rèn)為是受限的,由于不提供互聯(lián)網(wǎng)訪問,F-ETA無法獲得ICV的隱私數(shù)據(jù),E-ETA無法移動不能支持ICV運動的隱私威脅場景。C-ETA具有移動特性,可以用于ICV的兩種隱私威脅場景,但額外的蜂窩上網(wǎng)卡和適配器,可能增加隱私攻擊的成本和復(fù)雜性?，F(xiàn)有的W-ETA在ICV和LAP之間增加了一跳路由,通常LAP是固定而不是移動的,也難以用于ICV運動時連接Wi-Fi的威脅場景評估。

5.3 WC-ETA中間人隱私泄露檢測方案設(shè)計

在W-ETA的基礎(chǔ)上,提出了一種新的WC-ETA(Wi-Fi- Cellular-ETA)隱私攻擊方法。WC-ETA克服了C-ETA和W-ETA的上述缺點,利用攻擊者的手機(jī)或ICV車載熱點,而不需要像C-ETA增加額外的硬件成本,同時在W-ETA基礎(chǔ)上增加了移動特性,能夠用于ICV的靜止和運動兩種隱私威脅場景。需要強(qiáng)調(diào)的是,相較于W-ETA增加一跳路由,WC-ETA增加了兩跳路由,可能增加網(wǎng)絡(luò)延時。

WC-ETA的實現(xiàn)過程如下:

(1) 在ICV靜止威脅場景下,攻擊者獲取目標(biāo)ICV當(dāng)前連接的Wi-Fi信息,根據(jù)這些信息搭建ET。

(2) 攻擊者打開自己ICV或手機(jī)的蜂窩網(wǎng)絡(luò)和Wi-Fi熱點,讓ET連接Wi-Fi熱點。互聯(lián)網(wǎng)訪問由移動設(shè)備的蜂窩網(wǎng)絡(luò)提供。

(3) 采用5.2節(jié)中的ETA實施方式,讓目標(biāo)ICV斷開與LAP的連接,連接上ET。

WC-ETA可以截獲流量,獲取明文隱私數(shù)據(jù),但是無法解密傳輸層加密的隱私數(shù)據(jù)。為了獲取更多的Wi-Fi隱私數(shù)據(jù),在WC-ETA的基礎(chǔ)上,進(jìn)一步結(jié)合通用的HTTPS中間人攻擊,提出WC-ETA中間人隱私泄露檢測方案,如圖2所示。

圖2 WC-ETA中間人隱私泄露檢測方案

WC-ETA包括ETA的流量截獲模塊和攻擊者移動終端的流量中轉(zhuǎn)模塊。流量截獲模塊由ETA完成,負(fù)責(zé)截獲受害者ICV和手機(jī)的Wi-Fi流量,上行信道和下行信道均為Wi-Fi。硬件設(shè)備包括筆記本電腦和MT7612芯片的支持監(jiān)聽和AP模式的USB網(wǎng)卡,筆記本電腦支持流量截獲和流量解密模塊的運行,USB網(wǎng)卡負(fù)責(zé)發(fā)射Wi-Fi信號;軟件包括kali系統(tǒng)中的開源軟件udhcpd、hostapd和iptables,其中hostapd根據(jù)LAP的Wi-Fi信息配置ET,同時udhcpd為目標(biāo)ICV提供DHCP服務(wù);iptables的路由轉(zhuǎn)發(fā)功能,既可以將目標(biāo)ICV的流量轉(zhuǎn)發(fā)到筆記本分析處理,也可以為ICV提供互聯(lián)網(wǎng)訪問的路由轉(zhuǎn)發(fā)功能。流量中轉(zhuǎn)模塊由攻擊者的ICV或手機(jī)完成,負(fù)責(zé)將訪問互聯(lián)網(wǎng)的流量轉(zhuǎn)發(fā)到TSP服務(wù)器,上行信道為蜂窩網(wǎng)絡(luò),下行信道為Wi-Fi熱點。

中間人攻擊是指針對HTTPS的流量解密模塊。流量解密模塊主要由mitmproxy和SSLstrip完成,運行在筆記本電腦上,負(fù)責(zé)處理流量截獲模塊轉(zhuǎn)發(fā)到本機(jī)的流量。HTTPS中間人攻擊[27]類型中常見的TLS中間人攻擊方法[28],包括SSLstrip和SSLsplit。SSLstrip利用HTTP重定向機(jī)制,將客戶端的HTTPS協(xié)議降級為HTTP,從而獲取明文隱私信息。而以mitmproxy為代表的SSLsplit利用偽造證書,在客戶端和服務(wù)器建立中間人地位,從而解密HTTPS加密的隱私信息。

6 實驗評估指標(biāo)與環(huán)境設(shè)置

6.1 Wi-Fi隱私研究對象與評估指標(biāo)

為了全面評估ICV的Wi-Fi隱私泄露風(fēng)險,研究對象不僅僅局限于ICV自身的隱私泄露風(fēng)險,還包括ICV廠商提供了配套的車輛控制APP。TSP服務(wù)器收集和保存了ICV和車主的隱私數(shù)據(jù),也可能將這些隱私數(shù)據(jù)從ICV傳輸?shù)绞謾C(jī)車輛控制APP。為了評估手機(jī)端的隱私泄露風(fēng)險,假設(shè)車主的ICV和手機(jī)連接過相同的LAP,都會受到WC-ETA中間人攻擊的影響。

圖3 蜂窩與Wi-Fi網(wǎng)絡(luò)下泄露的ICV隱私字段數(shù)

6.2 實驗環(huán)境與設(shè)置

在3款不同的ICV上評估了兩種Wi-Fi威脅場景中的隱私泄露情況:2020款長安CS75PLUS(汽油)、2022款雪佛蘭Malibu XL(汽油)和2022款別克VELITE6(電動)。

實驗環(huán)境如圖4所示,所有ICV都配備了L2級的駕駛輔助,支持Wi-Fi連接和熱點。每輛ICV的APP列表都是不一樣的,因此主要測試了所有ICV都配置的地圖、音樂等隱私應(yīng)用,而在手機(jī)上測試的車輛控制APP包括長安FAN、長安汽車和安吉星,模擬了車主的身份和使用行為,記錄它們正常打開和使用時泄露的隱私字段。考慮版本差異可能影響測試結(jié)果,對長安CS75PLUS所有歷史版本的車輛控制APP進(jìn)行了測試,另外兩款I(lǐng)CV使用應(yīng)用市場下載的最新版本。

圖4 WC-ETA和中間人攻擊實驗圖

中間人攻擊的實現(xiàn)需要了解ICV的安全機(jī)制,以IVI是安卓系統(tǒng)為例,IVI系統(tǒng)有用戶界面和原生頁面,用戶界面是車主平時使用的頁面,原生界面一般用于廠商開發(fā)測試,用戶界面權(quán)限小,無法安裝偽造數(shù)字證書,需要進(jìn)入原生界面。以長安CS75PLUS為例,模擬了ICV被惡意安裝非法證書的情況,具體的攻擊路徑包括:在網(wǎng)絡(luò)檢索目標(biāo)ICV的破解信息,獲得進(jìn)入目標(biāo)ICV原生界面的入口(撥號)和代碼(*#201301#*),發(fā)現(xiàn)部分應(yīng)用(ES文件瀏覽器)的漏洞,利用漏洞安裝偽造數(shù)字證書,通過中間人攻擊解密TLS流量。

7 結(jié)果與討論

7.1 WI-FI隱私泄露檢測方案評估

在別克VELITE6的車輛端和雪佛蘭Malibu XL的手機(jī)APP端,分別測試了單一的WC-ETA和WC-ETA中間人兩種隱私泄露檢測方案。最終的Wi-Fi隱私泄露檢測結(jié)果如表2所示,其中詳細(xì)記錄了ICV和手機(jī)訪問的TSP域名以及泄露的隱私字段名,這些隱私數(shù)據(jù)的字段名是流量截獲或解密后未加改變的原始描述,雖然不同域名對同一隱私數(shù)據(jù)有不同的隱私字段名,但是僅保留其中一種。另外,對于反復(fù)出現(xiàn)的隱私字段,只記錄在攻擊可行性等級最高的域名中。

表2 基于WC-ETA的隱私泄露檢測方案的可行性評估

從表2中可以看出,手機(jī)APP端泄露的隱私數(shù)據(jù)數(shù)量和PII類型較多,而且有許多敏感和直接的隱私數(shù)據(jù),這些隱私數(shù)據(jù)有一部分來自ICV,如油耗、里程、速度等,另一部分來自TSP服務(wù)器,是車主購車和保養(yǎng)時提交的隱私數(shù)據(jù),如工作、郵箱、地址等。隱私字段圓括號中的數(shù)字表示該PII的類型數(shù)量,以油耗為例,包括每日油耗、每周油耗、每周平均油耗、每月油耗、每月平均油耗、每年油耗、每年平均油耗、總的油耗。而在ICV端泄露的隱私數(shù)據(jù)數(shù)量和種類較少,大部分隱私數(shù)據(jù)都是間接或不敏感的。實驗結(jié)果表明,基于WC-ETA的Wi-Fi隱私泄露檢測方案能有效檢測ICV的Wi-Fi隱私泄露情況。

將不同ICV的檢測結(jié)果進(jìn)行橫向?qū)Ρ?現(xiàn)有的蜂窩網(wǎng)絡(luò)隱私檢測結(jié)果作為參考,結(jié)果如表3所示。橫向?qū)Ρ菴S75PLUS和VELITE6車輛端的Wi-Fi隱私泄露情況,發(fā)現(xiàn)CS75PLUS的車輛端泄露的隱私字段數(shù)為8個,而VELITE6的車輛端泄露的隱私字段數(shù)為12個;橫向?qū)Ρ菴S75PLUS和Malibu XL手機(jī)端的Wi-Fi隱私泄露情況,發(fā)現(xiàn)CS75PLUS的手機(jī)端泄露的隱私字段數(shù)為26個,而Malibu X的車輛端泄露的隱私字段數(shù)為38個。因此,可以認(rèn)為CS75PLUS在車輛端和手機(jī)泄露的Wi-Fi隱私數(shù)據(jù)數(shù)量,分別要比VELITE6和Malibu XL更少。

表3 不同ICV隱私檢測結(jié)果的對比

基于Wi-Fi和基于蜂窩的隱私檢測方法,均屬于基于流量的隱私檢測,都利用了不安全的無線信道固有的協(xié)議漏洞和典型攻擊,而不依賴于具體ICV的內(nèi)部設(shè)計,因此提出的方法具有一般性。與蜂窩隱私泄露檢測方法相比,提出的方法更具針對性,在成本和通用性方面,也具有一定的優(yōu)勢,只需要一塊USB無線網(wǎng)卡,就能獲得司機(jī)的姓名、身份證號碼、手機(jī)號碼、行車軌跡、聽歌習(xí)慣等個人敏感信息。

7.2 擴(kuò)展的隱私定性風(fēng)險評估

在長安CS75PLUS真車實驗中,使用WC-ETA中間人隱私泄露檢測方案,對ICV和手機(jī)的Wi-Fi隱私泄露情況進(jìn)行檢測,同時應(yīng)用提出的隱私分類與影響評級擴(kuò)展,對檢測到的隱私數(shù)據(jù)進(jìn)行影響等級評估。隱私影響評級如表4所示,在表格隱私字段欄中,對存在隱私泄露的每個域名都有具體的影響評級。

表4 長安CS75PLUS隱私影響評級結(jié)果

對于只存在一種隱私數(shù)據(jù)泄露的域名,直接根據(jù)表1的隱私影響評級矩陣進(jìn)行評級。content.wecar.map.qq.com域名中的隱私字段Songlist,它屬于司機(jī)和車輛綁定時產(chǎn)生的駕駛行為敏感數(shù)據(jù),由于聽歌習(xí)慣屬于動態(tài)改變的間接PII屬性,因此影響評級為中等;wecarplat.map.qq.com域名中的VIN,屬于車輛自身的身份信息,同時它是PII主體非固有的屬性,可以解綁,需要借助綁定車輛的直接PII屬性進(jìn)行識別,因此影響評級可忽略不計。

對于存在多種敏感隱私數(shù)據(jù)的域名,首先需要對所有隱私字段進(jìn)行影響評級,然后選擇其中影響等級最高的作為最終的影響評級。m5.amap.com域名中,存在latitude、longitude、direction和distance 4個隱私字段,它們都屬于司機(jī)和車輛綁定時產(chǎn)生的行蹤軌跡敏感數(shù)據(jù),均是動態(tài)改變的間接PII屬性,因此最終的影響評級為中等;scrm.changan.com.cn域名中,隱私字段education、email、familymember、gender、income、marriage、occupation、purchaseDate的敏感性分別為高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、不敏感,對應(yīng)的PII關(guān)聯(lián)性分別為直接、間接、直接、直接、間接、間接、間接、間接,影響評級為嚴(yán)重、主要、嚴(yán)重、嚴(yán)重、主要、主要、主要、可忽略,綜合影響評級為嚴(yán)重。

攻擊可行性評級如表5所示,參考ISO21434標(biāo)準(zhǔn)中的攻擊潛力評級方法,攻擊潛力衡量了攻擊一個項目組件需要花費的努力,用攻擊者的專業(yè)知識和資源來表示。開放Wi-Fi和破解Wi-Fi獲取明文隱私數(shù)據(jù)的攻擊可行性高,而基于WC-ETA中間人的隱私攻擊可行性等級非常低,每種攻擊的成功概率通過式(5)進(jìn)行計算。

表5 長安CS75PLUS攻擊可行性評級結(jié)果

7.3 定性與定量結(jié)合的隱私風(fēng)險評估

在長安CS75PLUS的定量風(fēng)險評估中,首先對不同攻擊的隱私價值進(jìn)行度量,在此基礎(chǔ)上進(jìn)行定價,衡量每種攻擊的具體收益,結(jié)果如表6所示。

表6 長安CS75PLUS不同攻擊的隱私度量與收益定價

將采集的隱私數(shù)據(jù)集,按照文獻(xiàn)[24]中基于信息熵的方法進(jìn)行計算,信息熵相同,影響權(quán)重均為8,類型權(quán)重分別為2、2、3、3。隱私度量的對比結(jié)果如圖5(a)所示,文中提出方法和文獻(xiàn)中方法主要差異在于信息熵的權(quán)重。文中的影響權(quán)重基于隱私數(shù)據(jù)敏感性和關(guān)聯(lián)性,而文獻(xiàn)中的影響權(quán)重基于簡單的隱私數(shù)據(jù)分類,對于4種攻擊,將ICV移動位置數(shù)據(jù)分類評級最高,得到相同的影響權(quán)重,這種隱私分類和評級缺乏理論依據(jù)。此外,文獻(xiàn)中的類型權(quán)重按照人、物、組織劃分等級值,可能存在主觀誤判的問題,而且它沒有考慮隱私數(shù)據(jù)類型數(shù)量的組合累計風(fēng)險。

(a) 不同攻擊序號數(shù)據(jù)集的隱私度量

隱私定價的對比結(jié)果如圖5(b)所示,文獻(xiàn)[24]對于4種不同攻擊的隱私數(shù)據(jù)的定價比較接近,沒有很好體現(xiàn)不同隱私數(shù)據(jù)集的內(nèi)在價值。序號1的數(shù)據(jù)集僅有6種隱私字段,影響評級為中等,總數(shù)量為47,定價為18元;序號4的數(shù)據(jù)集有31種隱私字段,影響評級為嚴(yán)重,總數(shù)量為350,定價為32.65元。序號4定價不到序號1定價的2倍,這顯然與事實不相符。而文中的定價對于不同隱私數(shù)據(jù)集呈現(xiàn)出較大差異,能顯著區(qū)分不同隱私數(shù)據(jù)的內(nèi)在價值,序號4的數(shù)據(jù)集定價為序號1的數(shù)據(jù)集定價的9倍以上,更接近現(xiàn)實定價。

通過定價確定了具體的攻擊收益,結(jié)合成功攻擊的概率,按照式(11)計算出的預(yù)估損失如表7所示。攻擊方式和終端有6種組合,詳細(xì)計算了對于不同終端采用不同攻擊時的預(yù)估損失,可以從終端和攻擊兩個不同角度估計總體和局部的預(yù)估損失。

表7 長安CS75PLUS不同攻擊的預(yù)估損失與風(fēng)險等級

比較3種不同的攻擊方式,開放、破解和WC-ETA的總體預(yù)估損失分別為12.801元、6.680元、0.243元,其中ICV的單項損失分別為1.768元、0.931元、0.032元,手機(jī)的單向損失分別為11.033元、5.749元、0.211元。不論總體還是局部,開放、破解和WC-ETA在兩種終端上的攻擊預(yù)估損失依次降低,ICV廠商應(yīng)該優(yōu)先處置開放Wi-Fi監(jiān)聽,根據(jù)3輛ICV的實際觀察,它們都采取禁止連接開放Wi-Fi的策略,符合風(fēng)險分析結(jié)果。

比較相同攻擊下的兩種不同的終端,可以發(fā)現(xiàn)手機(jī)隱私泄露風(fēng)險總是大于ICV的隱私泄露風(fēng)險,增加Wi-Fi網(wǎng)絡(luò)安全性檢查有助于緩解隱私泄露風(fēng)險。ICV廠商可以控制每輛ICV的安全策略,比如禁用開放的Wi-Fi連接,但在手機(jī)端有不同的終端類型,APP檢查Wi-Fi的安全性的行為可能被系統(tǒng)認(rèn)定為侵犯隱私而被阻止。因此考慮將不安全的HTTP協(xié)議升級為HTTPS,甚至采用雙向認(rèn)證、證書綁定、私有協(xié)議等方式傳輸隱私數(shù)據(jù),可能是ICV廠商更優(yōu)的選擇。雖然這會增加成本,但借助文中的定性和定量風(fēng)險評估模型,可以計算出隱私泄露的預(yù)期損失,對比增加的成本和預(yù)期的損失,可以幫助ICV廠商進(jìn)行決策。

根據(jù)定量的預(yù)估損失,通過劃分合理的閾值,可以將數(shù)值轉(zhuǎn)換為風(fēng)險等級值。假設(shè)5個等級從小到大按照閾值{0.2,0.9,2.0,5.0}進(jìn)行劃分,可以得到每種攻擊定量轉(zhuǎn)換的定性風(fēng)險值。同樣按照ISO21434的定性風(fēng)險評估方式,可以得到每種攻擊的參考定性風(fēng)險值。對于每種攻擊,可以發(fā)現(xiàn)定量轉(zhuǎn)換的風(fēng)險值和ISO參考的定性風(fēng)險值一致,從而驗證了定性與定量結(jié)合的隱私風(fēng)險評估模型的有效性。

8 結(jié)束語

筆者針對ICV隱私風(fēng)險評估不夠完整的問題,提出了新的隱私分類,擴(kuò)展完善了ISO21434中隱私影響評級,在實驗中驗證了該擴(kuò)展的有效性。針對ICV定性評估存在的主觀性強(qiáng)、難以量化損失的問題,提出了一種定性和定量結(jié)合的隱私風(fēng)險評估模型。首先設(shè)計了一種基于WC-ETA隱私泄露的檢測方案,解決定量評估中的數(shù)據(jù)收集問題,3輛ICV的橫向?qū)Ρ茸C明了該隱私泄露檢測方案的可行性;然后,對泄露的隱私數(shù)據(jù)從信息熵、影響等級、PII類型等多因素進(jìn)行綜合價值度量,引入隱私數(shù)據(jù)定價模型量化攻擊收益,結(jié)果顯示文中的隱私度量和定價模型優(yōu)于其他方案;最后,將攻擊收益和概率的乘積作為預(yù)估損失值,有效量化了ICV隱私泄露的風(fēng)險,定量轉(zhuǎn)換的風(fēng)險值與定性評估的風(fēng)險值一致,證明了該模型的一致性和有效性。

未來的工作將集中在對ICV的手機(jī)APP進(jìn)行逆向分析,并構(gòu)建幻影程序,通過模糊測試方法從TSP服務(wù)器獲取更多隱私。