吳佳桐,黃 龍,王 勇,羅 安

(1. 自然資源部地圖技術審查中心,北京 100036; 2. 中國測繪科學研究院,北京 100036)

智能汽車是以智能化、數(shù)字化為基礎的新科技變革和產(chǎn)業(yè)變革趨勢下產(chǎn)生的新業(yè)態(tài)。發(fā)展智能汽車可以促進國家科技、經(jīng)濟、社會、生活、安全及綜合國力,對我國具有重要的戰(zhàn)略意義[1]。

智能汽車自動駕駛功能的實現(xiàn)主要有3種技術路徑:一是機器視覺路徑,具有規(guī)?；?、成本低、不依賴道路設施等優(yōu)勢,但該技術路徑精度低,感知和預測能力弱。二是雷達協(xié)同高清地圖的路徑,具有精度高、感知預測能力強等優(yōu)勢,但該技術路徑應用成本較高,道路使用范圍受政策限制。三是車聯(lián)網(wǎng)路徑,具有精度高、成本低的優(yōu)勢,但該技術路徑在經(jīng)濟和時間上的前期投入相對較大[2],如道路基礎設施、5G網(wǎng)絡、車聯(lián)網(wǎng)數(shù)據(jù)標準等。3種技術路徑中,車聯(lián)網(wǎng)路徑是我國智能汽車發(fā)展的主流方向,是實現(xiàn)“人-車-路-云”協(xié)同一體化創(chuàng)新道路的必經(jīng)之路。當前我國已具備如路網(wǎng)規(guī)模、5G 通信、北斗衛(wèi)星導航系統(tǒng)等方面的戰(zhàn)略優(yōu)勢,不過仍需構建完備的智能汽車基礎設施和智能汽車法規(guī)標準。

智能汽車自動駕駛功能的實現(xiàn)離不開路網(wǎng)地圖,這種泛在測繪在智能汽車產(chǎn)業(yè)中的表現(xiàn)形式統(tǒng)稱為車載地圖,是智能汽車自動駕駛不可或缺的要素之一。因自動駕駛技術的日趨成熟,地圖為滿足汽車行業(yè)要求,逐漸朝著高鮮度、高精度、多維度方向發(fā)展[3]。2018年7月第一件智能汽車車載地圖通過行政許可,在相關政策逐步放開的推動下,近5年可公開使用的該類地圖呈現(xiàn)爆發(fā)式增長,如圖1所示(數(shù)據(jù)來源于自然資源部網(wǎng)上政務平臺)。然而,車載地圖發(fā)展的同時也增加了智能汽車產(chǎn)業(yè)的地理信息安全風險,對地理信息安全防控提出了新的技術挑戰(zhàn)。本文主要對智能汽車基礎地圖進行了界定,通過全面總結國內(nèi)外標準現(xiàn)狀,分析標準的發(fā)展方向,指明智能汽車在應用中主要的信息技術安全風險點,并提出智能汽車基礎地圖信息安全隱患的應對建議。

圖1 智能汽車的車載地圖行政許可情況

1 智能汽車基礎地圖

1.1 概念辨析

基于已往學術論文中對智能汽車車載地圖的描述,如國際上的高分辨率地圖或高度自動駕駛地圖[4],以及國內(nèi)常用高精地圖[5]、智能高精地圖(自動駕駛地圖)[6]、自主導航地圖[7]等,可以看出,智能汽車車載并不是傳統(tǒng)意義上的“圖”,而是一系列支撐自動駕駛的地理信息數(shù)據(jù)。在《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》中智能汽車基礎地圖(簡稱“基礎地圖”)一詞首次被提及,但并未對其進行定義。本文所述的智能汽車基礎地圖是指含有空間位置地理坐標、能夠與空間定位系統(tǒng)和感知設備等相關裝置結合、支撐智能汽車駕駛自動化功能的地理信息數(shù)據(jù)集,可用于智能汽車自動化系統(tǒng)的導航、感知、定位和決策,如圖2所示。

圖2 智能汽車基礎地圖支持自動駕駛示意

1.2 主要特點

與傳統(tǒng)導航地圖相比,基礎地圖具備以下幾個特點:一是載體環(huán)境更為復雜,汽車上增加傳感器系統(tǒng)、決策系統(tǒng)、執(zhí)行系統(tǒng),具備環(huán)境感知能力。二是精度表達程度更加豐富,除了定位精度外,增加了路側信息、道路屬性、路上方信息、實時交通等數(shù)據(jù)表達。三是邏輯結構更為多層,如認為基礎地圖是由“此時此地”駕駛環(huán)境的動態(tài)導航地圖層和“彼時彼地”的先驗導航地圖層集成[7],或認為靜態(tài)地圖層、實時數(shù)據(jù)層、動態(tài)數(shù)據(jù)層、用戶模型層[6],或認為靜態(tài)地圖、準靜態(tài)地圖、準動態(tài)地圖和動態(tài)地圖[8]。四是使用對象由駕駛員演變?yōu)橹悄芷?可供車輛自主決策。普通的導航電子地圖是面向駕駛員,而高精度地圖是面向智能汽車自動駕駛系統(tǒng)。在全息時代下,基礎地圖逐步取代傳統(tǒng)導航地圖是車載導航地圖發(fā)展的必然。

1.3 應用情況

根據(jù)2022年3月實施的《汽車駕駛自動化分級》(GB/T 40429—2021)中對駕駛自動化的分級,基礎地圖的數(shù)據(jù)內(nèi)容一般可以分為適合L0—L1的傳統(tǒng)路網(wǎng)地圖、適合L1—L3的傳統(tǒng)路網(wǎng)地圖疊加實現(xiàn)特定場景或范圍的ADAS地圖、適合L3—L5的高精地圖或自動駕駛地圖。對于L4和L5階段,基礎地圖是智能汽車實現(xiàn)自動駕駛功能的必要數(shù)據(jù)基礎,也是將各種傳感信息有效融合在一起的高精度傳感器超級容器[9]。

2 標準規(guī)范研究現(xiàn)狀

2.1 國外情況

目前,國際標準化組織(International Organization for Standardization,ISO)已發(fā)布基礎地圖相關標準6項(ISO 14296:2016、ISO 18750:2018、ISO/TR 21718:2019、ISO 19297—1:2019、ISO 20524—1:2020、ISO 20524—2:2020),以及制定中的標準3項(ISO/AWI 19297-4、ISO/AWI TS 22726-1、ISO/AWI TS 22726-2)。內(nèi)容主要以地圖文件格式、數(shù)據(jù)庫規(guī)范、數(shù)據(jù)共享、數(shù)據(jù)模型為主,具有抽象度高、普適性強的特點。國際上主流的地圖標準主要有NDS和OpenDrive[10],此外還有Lanelets[11]、OpenStreetMap[12]、GDF、KIWI[13]、ADASIS、SENSORIS[14]等。這些國際標準對我國在基礎地圖數(shù)據(jù)庫開發(fā)和數(shù)據(jù)應用方面具有一定的借鑒作用,不過因復雜的道路情況和車路協(xié)同的發(fā)展模式,我國需要研制適用于我國國情的相關標準。

2.2 國內(nèi)情況

2.2.1 基礎地圖相關標準體系

近年來,隨著自動駕駛技術的快速發(fā)展,從地方層面到國家層面相繼出臺了與基礎地圖有關的標準體系。表1總結了地方、團體和國家3個標準體系組織層面現(xiàn)有的標準體系?？梢钥闯?基礎地圖類作為智能汽車相關標準體系的一級類,是支撐智能汽車自動駕駛功能的關鍵技術。相關標準體系的提出,為基礎地圖相關標準的制定奠定了堅實基礎,也為基礎地圖行業(yè)的安全發(fā)展提供了具體方向。

表1 國內(nèi)標準體系研制情況

2.2.2 基礎地圖相關標準

在國家相關政策和自動駕駛技術發(fā)展的共同推動下,相關部門和學者對與基礎地圖相關的標準開展深入研究,已在地圖處理制作、數(shù)據(jù)模型、信息交互、內(nèi)容表達、定位技術等方面取得了一定的進展(見表2)。團標研制的占比較重,說明業(yè)內(nèi)對相關標準的需求還處于高位。

表2 基礎地圖相關標準研制情況

基礎地圖的標準研制正處于起步階段,除了已立項和公開的標準外,對基礎通用類、交換格式和接口協(xié)議、數(shù)據(jù)處理、數(shù)據(jù)應用、數(shù)據(jù)測試、數(shù)據(jù)安全等方面逐步開展了預研工作[14]。根據(jù)各標準體系對于基礎地圖標準的規(guī)劃,數(shù)據(jù)動態(tài)更新、數(shù)據(jù)交互與服務、數(shù)據(jù)測試、數(shù)據(jù)安全與監(jiān)管等將成為基礎地圖有關標準研制的重要方向。

3 主要安全風險

基礎地圖作為未來電子導航地圖的發(fā)展方向,對實現(xiàn)自動駕駛起到至關重要的作用。不過,地圖內(nèi)容和形式的革新也埋下新的地理信息安全隱患,本節(jié)從采集、通信、平臺3個技術層面對基礎地圖應用中的地理信息安全風險點進行分析。

3.1 采集層面

地圖數(shù)據(jù)的采集中主要存在感知數(shù)據(jù)安全風險。自動駕駛與智能網(wǎng)聯(lián)汽車上安裝衛(wèi)星導航定位接收模塊、慣性測量單元、攝像頭、激光雷達等傳感器后,在運行、服務和道路測試過程中將對車輛及周邊道路設施空間坐標、影像、點云及其屬性信息進行采集,相關測繪數(shù)據(jù)若不經(jīng)過脫密脫敏處理而直接存儲,存在高精度測繪數(shù)據(jù)泄露的風險。

3.2 通信層面

3.2.1 內(nèi)容傳輸風險

在云端與車端的通信交互時,利用車外通信網(wǎng)絡傳輸數(shù)據(jù)會面臨數(shù)據(jù)在通信鏈路上被竊聽或攻擊風險。隨著蜂窩移動通信和互聯(lián)網(wǎng)的發(fā)展,車載信息系統(tǒng)被連接到車聯(lián)網(wǎng)服務平臺上,遠程控制車輛,實現(xiàn)網(wǎng)聯(lián)駕駛和智能交通。然而汽車網(wǎng)絡系統(tǒng)由使用平臺、互聯(lián)網(wǎng)、車載系統(tǒng)和終端等多個子系統(tǒng)組成,平臺層還與其他應用服務商的子系統(tǒng)連接,眾多主體參與自動駕駛汽車網(wǎng)絡系統(tǒng),致使傳輸數(shù)據(jù)被竊取或攻擊的風險急劇上升[15]。

3.2.2 惡意攻擊風險

動態(tài)地圖數(shù)據(jù)在節(jié)點與節(jié)點之間通信時,攻擊者可以通過身份偽造等方式攻擊或威脅測繪數(shù)據(jù)安全。傳感器采集大量感知數(shù)據(jù)上傳至云端進行整合分析時,在傳感器節(jié)點與云端通信的過程中,缺少相應的認證機制會造成數(shù)據(jù)偽造和篡改[16]。

3.3 平臺層面

3.3.1 大數(shù)據(jù)處理安全風險

目前大數(shù)據(jù)存儲采用分布式存儲技術,對于不同級別、不同類型的數(shù)據(jù)在物理上往往是混合存儲的,不利于進行分類隔離和分級防護;同時在數(shù)據(jù)進行脫敏時,需要確保脫敏后數(shù)據(jù)的有效性。

3.3.2 非授權訪問風險

內(nèi)部人員可能越權訪問或濫用權限,造成安全機制被繞過,非法獲取數(shù)據(jù),在制度及相應的系統(tǒng)配置上,給攻擊者可乘之機。

3.3.3 系統(tǒng)及軟件漏洞風險

對平臺系統(tǒng)及基應用軟件進行惡意修改,或在基礎地圖的版本更新過程中,利用固件效驗、簽名漏洞等篡改升級包獲取數(shù)據(jù)。

4 防控難點及應對建議

基礎地圖在數(shù)據(jù)采集、制作、應用、傳輸、存儲、管理等全生命周期都存在不同程度的地理信息泄露風險,威脅國家安全、公共利益及個人隱私。因此,加強基礎地圖數(shù)據(jù)安全防控工作勢在必行,建議從政策標準、技術手段和從業(yè)人員3方面進行應對。

4.1 防控難點

4.1.1 相關政策和標準難以滿足要求

當前,我國自動駕駛地圖參照導航電子地圖法規(guī)進行管理,但《導航電子地圖安全處理技術基本要求》并不適用于需要實時采集、耦合多源數(shù)據(jù)來動態(tài)更新的基礎地圖。另外,基礎地圖應用于駕駛系統(tǒng)中的多個環(huán)節(jié),涉及工信、發(fā)改、科技、公安、交通、自然資源等多個主管政府部門,部門職能不同導致對地理信息使用的要求也有所差別,多部門交叉管理導致相關政策、法規(guī)、標準的系統(tǒng)性和體系化較弱。

4.1.2 現(xiàn)有技術手段不滿足動態(tài)地圖數(shù)據(jù)的審核和監(jiān)管

目前對基礎地圖的地圖技術審核和監(jiān)管主要是其靜態(tài)數(shù)據(jù)部分,尚未建立面向車端動態(tài)地圖數(shù)據(jù)的審核和監(jiān)管機制。對于地圖審核方面,現(xiàn)有的地理信息保密技術、地圖審查時效、地圖內(nèi)容表達要求不能滿足基礎地圖數(shù)據(jù)應用需求。對于地圖監(jiān)管方面,也需要相關的技術手段支持監(jiān)管車端對基礎地圖的合規(guī)使用,如基礎地圖是否已獲得行政許可、地圖數(shù)據(jù)跨網(wǎng)傳輸前是否經(jīng)過脫敏、是否存在遠程訪問車端地圖數(shù)據(jù)等。

4.1.3 從業(yè)者地理信息安全風險防范意識仍需加強

近年來,為了改善營商環(huán)境、激發(fā)市場主體活力,國家降低了準入門檻,地方放寬了對自動駕駛車輛測試和應用的要求,自動駕駛技術公司和汽車企業(yè)等非傳統(tǒng)地圖制作單位或人員參與到基礎地圖制作環(huán)節(jié);同時數(shù)據(jù)眾源這種較低成本的數(shù)據(jù)采集也擴大了從業(yè)者數(shù)量。由于從業(yè)者或單位對地理信息安全風險防范意識不強,對車端采集和存儲的基礎地圖數(shù)據(jù)的安全使用和保密管理措施不當,出現(xiàn)如跨境傳輸數(shù)據(jù)、車端涉敏數(shù)據(jù)聯(lián)網(wǎng)傳輸、數(shù)據(jù)共享等導致重要地理信息泄露的情況。這些風險點不僅要靠主管部門的監(jiān)管排查,根本上還是需要基礎地圖數(shù)據(jù)的持有者對數(shù)據(jù)的合規(guī)使用。

4.2 應對建議

4.2.1 加快完善政策法規(guī)和標準體系

明確的政策法規(guī)和標準是保障基礎地圖信息安全的前提,如《關于促進智能網(wǎng)聯(lián)汽車發(fā)展維護測繪地理信息安全的通知》明確定義了智能網(wǎng)聯(lián)汽車上的測繪行為和責任主體,使執(zhí)法有據(jù)可依,有責可追。

4.2.2 攻克基礎地圖安全防控關鍵技術

針對前述的主要技術風險點,結合智能汽車基礎地圖的數(shù)據(jù)及其更新和服務特點,需重點圍繞地圖服務防控、審圖、監(jiān)管等環(huán)節(jié),開展關鍵技術和技術工具研發(fā)。

對基礎地圖服務商而言,應重點加強基礎地圖服務的安全防護。如采取安全啟動等措施,應對存儲基礎地圖等關鍵部件硬件設備的物理攻擊;采用技術方法防止車端基礎地圖傳輸及認證使用的密鑰被非法獲取;采用基于國產(chǎn)密碼的認證加密技術確保數(shù)據(jù)傳輸時的安全。在云平臺一側,做好越權訪問、泄露、篡改等安全防護;在應用層,對存儲在車端的基礎地圖進行訪問控制和防篡改。

對地圖審核和服務監(jiān)管方而言,應加快建立和完善基礎地圖的審核和監(jiān)管機制。同時,深入研究各基礎地圖服務商在數(shù)據(jù)采集、存儲、處理、更新和應用方面的共性安全薄弱點,重點突破實時數(shù)據(jù)保密、在線自動審查、內(nèi)容安全評估、信息追蹤溯源[17]等關鍵技術,建立在線監(jiān)測、高效匯聚、多云協(xié)同的監(jiān)測服務平臺,支持對安全風險的及時發(fā)現(xiàn)和溯源。

4.2.3 強化地理信息安全風險防范意識

以往的地圖知識宣傳和教育主要是強化公眾版圖意識,而隨著泛在測繪的興起,正確的地理信息安全觀也亟須納入對公眾普及的內(nèi)容。加強對從業(yè)者地理信息安全防控意識的培訓力度,在測繪法宣傳日加大對公眾開展地理信息安全教育,順應行業(yè)發(fā)展建立人們的地理信息安全觀,普及對違法行為的認識,如數(shù)據(jù)跨境傳輸、涉敏信息上傳標注、涉及國家安全和秘密的數(shù)據(jù)共享等,營造健康的地理信息應用環(huán)境。

5 結 語

基礎地圖是實現(xiàn)智能汽車自動駕駛功能的重要一環(huán),發(fā)展基礎地圖的同時不能忽視地理信息安全風險防控問題[18]?；A地圖的數(shù)據(jù)動態(tài)更新、數(shù)據(jù)交互與服務、數(shù)據(jù)測試、數(shù)據(jù)安全與監(jiān)管等成為其目前研究的重要方向。本文從采集、通信、平臺3個技術層面梳理了基礎地圖應用中的地理信息安全風險點,指明當前基礎地圖的地理信息安全防控工作的3大難點,并提出了相關政策法規(guī)的快速落地、相關基礎地圖安全防控技術的攻克、地理信息安全防范意識的加強等措施,可有效應對地理信息安全隱患,推動基礎地圖相關行業(yè)高質量發(fā)展。