收藏 分销(赏)
立即下载 开通VIP

智能网联汽车Wi-Fi隐私泄露风险研究.pdf

上传人:自信****多点 文档编号:791117 上传时间:2024-03-19 格式:PDF 页数:14 大小:1.90MB
下载 相关 举报
智能网联汽车Wi-Fi隐私泄露风险研究.pdf_第1页
第1页 / 共14页
智能网联汽车Wi-Fi隐私泄露风险研究.pdf_第2页
第2页 / 共14页
智能网联汽车Wi-Fi隐私泄露风险研究.pdf_第3页
第3页 / 共14页
亲,该文档总共14页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、收稿日期:网络出版时间:基金项目:国家自然科学基金(U );海南省重点研发计划(GHY F );海南大学科研启动基金(R Z )作者简介:杨波(),男,海南大学硕士研究生,E m a i l:y a n g b n i p c o r g c n钟永超(),男,海南大学硕士研究生,E m a i l:z h o n g y c n i p c o r g c n杨浩男(),男,海南大学硕士研究生,E m a i l:y a n g h n n i p c o r g c n徐紫枫(),男,讲师,博士,E m a i l:z f x u h a i n a n u e d u c n李晓琦(),

2、男,副教授,E m a i l:c s x q l i h a i n a n u e d u c n通信作者:张玉清(),男,教授,E m a i l:z h a n g y q n i p c o r g c n网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 智能网联汽车W i F i隐私泄露风险研究杨波,钟 永 超,杨 浩 男,徐 紫 枫,李 晓 琦,张 玉 清,(海南大学 网络空间安全学院,海南 海口 ;中国科学院大学 国家计算机网络入侵防范中心,

3、北京 )摘要:针对智能网联汽车隐私泄露风险评估中不完整、主观性强、难以量化损失的问题,提出了一种定性和定量结合的隐私风险评估模型.首先在定性风险评估模型的基础上,提出了新的隐私分类,扩展了现有标准的隐私影响评级;其次,设计了一种基于W i F i的隐私泄露检测方案,解决定量评估中的数据收集问题;最后,对泄露的隐私数据从信息熵、影响等级、个人身份信息类型等多因素进行综合价值度量,引入隐私数据定价模型量化攻击收益,将攻击收益和概率的乘积作为预估损失值.通过辆智能网联汽车的真车实验,证明了该隐私泄露检测方案的可行性.对隐私数据的定性和定量风险评估表明,扩展的影响评级、隐私度量和定价模型优于现有方案,

4、有效量化了智能网联汽车的隐私泄露风险,定量转换的风险值与定性评估的风险值具有良好的一致性.关键词:智能网联汽车;W i F i;隐私泄露;风险评估;I S O标准中图分类号:T P 文献标识码:A文章编号:()R e s e a r c ho nt h eW i F i p r i v a c y l e a k a g er i s ko f i n t e l l i g e n t c o n n e c t e dv e h i c l e sY ANGB o ZHONGY o n g c h a o Y ANG H a o n a n XUZ i f e n g L IX i a o

5、 q i ZHANGY u q i n g 敭 S c h o o l o fC y b e r s p a c eS e c u r i t y H a i n a nU n i v e r s i t y H a i k o u C h i n a 敭 N a t i o n a lC o m p u t e rN e t w o r kI n t r u s i o nP r e v e n t i o nC e n t e r U n i v e r s i t yo fC h i n e s eA c a d e m yo fS c i e n c e s B e i j i n g

6、 C h i n a A b s t r a c t A i m i n ga t t h ep r o b l e m so fb e i n gi n c o m p l e t e s u b j e c t i v ea n dd i f f i c u l tt oq u a n t i f yl o s si np r i v a c yd i s c l o s u r er i s ka s s e s s m e n to fi n t e l l i g e n tc o n n e c t e dv e h i c l e s ap r i v a c yr i s ka

7、 s s e s s m e n tm o d e lc o m b i n i n gq u a l i t a t i v ea n dq u a n t i t a t i v em e t h o d s i sp r o p o s e d 敭 F i r s t b a s e do n t h eq u a l i t a t i v e r i s ka s s e s s m e n tm o d e l an e wp r i v a c yc l a s s i f i c a t i o n i sp r o p o s e d w h i c he x t e n d

8、 s t h ep r i v a c y i m p a c t r a t i n go f t h e e x i s t i n gs t a n d a r d 敭 S e c o n d ap r i v a c y l e a k a g ed e t e c t i o ns c h e m eb a s e do n W i F ii sd e s i g n e dt os o l v et h ep r o b l e m o fd a t ac o l l e c t i o ni nq u a n t i t a t i v ee v a l u a t i o n

9、敭 F i n a l l y t h ec o m p r e h e n s i v ev a l u em e a s u r e m e n to ft h el e a k e dp r i v a c yd a t ai sc a r r i e do u t f r o mt h ei n f o r m a t i o ne n t r o p y i n f l u e n c el e v e l p e r s o n a l i d e n t i f i a b l ei n f o r m a t i o nt y p ea n do t h e rf a c t

10、o r s 敭T h ep r i v a c yd a t ap r i c i n g m o d e li si n t r o d u c e dt oq u a n t i f yt h ea t t a c kb e n e f i t s a n dt h ep r o d u c to fa t t a c kb e n e f i t sa n dp r o b a b i l i t y i s t a k e na s t h ee s t i m a t e d l o s sv a l u e 敭 T h e f e a s i b i l i t yo f t h

11、ep r i v a c yl e a k a g ed e t e c t i o ns c h e m e i sp r o v e dt h r o u g ht h er e a lc a re x p e r i m e n to nt h r e ei n t e l l i g e n tc o n n e c t e dc a r s 敭 T h eq u a l i t a t i v ea n d 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n

12、 a l x i d i a n e d u c n/x d x bq u a n t i t a t i v er i s ka s s e s s m e n t o f p r i v a c yd a t a s h o w s t h a t t h e e x t e n d e d i m p a c t r a t i n g p r i v a c ym e a s u r e m e n t a n dp r i c i n gm o d e l a r es u p e r i o rt ot h o s eo ft h ee x i s t i n gs c h e m

13、 e a n dt h a tt h es c h e m ee f f e c t i v e l yq u a n t i f i e st h ep r i v a c yd i s c l o s u r er i s ko f i n t e l l i g e n t c o n n e c t e dv e h i c l e s 敭 T h er i s kv a l u eo fq u a n t i t a t i v ec o n v e r s i o ni s i ng o o da g r e e m e n tw i t ht h a to f t h er i

14、s kv a l u eo fq u a l i t a t i v ea s s e s s m e n t 敭K e yW o r d s i n t e l l i g e n t c o n n e c t e dv e h i c l e s W i F i p r i v a c yd i s c l o s u r e r i s ka s s e s s m e n t I S Os t a n d a r d s 引言智能网联汽车(I n t e l l i g e n tC o n n e c t e dV e h i c l e s,I C V)是以人工智能、G通信技术等

15、新兴技术为基础,通过车载传感系统和信息终端来实现与人、车、路等方面的信息交换的新一代汽车.随着汽车智能化水平的提高,I C V配备大量了电子控制单元(E l e c t r o n i cC o n t r o lU n i t,E C U)和传感器,每秒可产生上千个数据,其中包含许多隐私数 据.这 些数据通过 蜂 窝 或W i F i网 络 传 输 到 内 容 服 务 提 供 商(T e l e m a t i c sS e r v i c eP r o v i d e r,T S P)服务器,用于保险、远程诊断等目的.与此同时,研究人员已经证明,这些数据可用于推断驾驶员身份、注意力、活动区

16、域等敏感信息.I C V的隐私数据有巨大的潜在价值,一旦泄露造成的损失将难以估计.如何评估这些隐私数据的泄露风险,是I C V风险评估研究领域的重要内容.风险评估是评估潜在风险对组织影响的更广泛过程,包括财务、法律和声誉风险等.隐私风险评估是一种特定类型的风险评估,侧重于与个人数据处理相关的隐私风险.隐私风险评估包括隐私攻击的可行性和隐私攻击的影响评级,其中攻击的可行性衡量了攻击者发起隐私攻击的可能性,攻击的影响评级评估了攻击发生后造成的隐私泄露影响.I C V厂商通过隐私风险评估来识别高风险的数据处理活动,确保其能够在有限的资源范围内有效地管理隐私风险.隐私风险评估的实际价值体现在两方面:一

17、方面,它可以帮助I C V厂商遵守数据隐私法律和法规,避免与数据泄露或隐私侵犯相关的法律和经济处罚;另一方面,它可以帮助I C V厂商确定其隐私工作的优先级,合理分配其资源并专注于风险最大的活动.风险评估方法可划分为种类型:定性评估(等级)、定量评估(数值)、定性和定量结合的评估(等级和数值).现有的I C V的风险评估方法大多是定性的.I S O 是I C V风险评估领域的最新标准,基于威胁分析和风险评估(T A R A),是一种定性风险评估方法.在此之前,汽车协会和安全专家先后提出E V I T A、T V R A 、HE AV E N S、S A E J 和S A R A,包括最新的HE

18、 AV E N S,都是定性风险评估方法.众所周知,定性评估全面,应用广泛,但是依赖于专家的经验、知识、教训等,存在主观性较强、无法量化潜在损失、难以得到有效实施的问题.定量评估客观,最常见的问题是没有足够的数据进行分析.此外,现有的I C V风险评估方法,采用以安全为中心的风险评估模型,更加关注资产、价值、影响和技术等因素,导致对隐私风险评估不够完整,尽管安全和隐私作为非功能性问题有许多相似之处,但两者并不相同.针对I C V隐私风险评估不够完整的问题,结合法律和敏感性因素提出了新的隐私分类,根据个人身份信息(P e r s o n a l l y I d e n t i f i a b l

19、 e I n f o r m a t i o n,P I I)相关性完善了I S O 中隐私影响评级.针对I C V定性评估存在的问题,在I S O 的基础上,以隐私为中心,提出了一种定性和定量结合的评估模型.在风险评估模型中,首先设计了一种基于W i F i隐私泄露的检测方案,解决定量评估中的数据收集问题;然后,对泄露的隐私数据从信息熵、影响等级、P I I类型等多因素进行综合价值度量,引入隐私数据定价模型量化攻击收益;最后,将定性的攻击可行性等级转换为定量的攻击概率,将攻击收益和概率的乘积作为预估损失值.相关工作 I C V隐私研究与数据分类许多I C V隐私研究专注于其中的某一类隐私数据

20、,尤其是I C V的位置隐私.B O R GAONKA R等利用蜂窝网络AKA协议的逻辑漏洞,发现一种新的位置隐私攻击,但单纯的位置信息需要结合个人信息,才能推断出财富状况、职业和宗教信仰等更敏感的个人信息;L I等研究了G P S无关的I C V位置隐私侵犯.在位置隐私保护方面,宋成等 提出一种面向移动终端的K匿名位置隐私保护方案,可以用于未来西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x bI C V的位置隐私保护中.此外,许多传感器数据被证明可以侵犯隐私.根据制动踏板的使用情况对驾驶员进行指纹识别,根据方向盘

21、的移动了解驾驶员的注意力分散程度.YANG等 发现连续的实时油耗数据也可以泄露用户的隐私信息.I C V的隐私分类需要考虑这种动态的变化,除了考虑重要的位置隐私数据,还需要包含潜在的传感器隐私数据,以适应未来研究的最新进展.目前I C V隐私数据分类主要有:基于数据的敏感性、使用模型、来源方式、使用的技术、被关注的形式.X I ONG等 提出的隐私分类虽然考虑了传感器数据,但是侧重强调位置隐私信息,这些隐私分类存在难以量化、不够全面、不符合标准等问题,难以用于隐私泄露的风险评估.I C V隐私泄露检测现有的I C V隐私泄露检测方法,从技术路线可分为应用逆向 和流量分析.基于应用逆向的隐私检测

22、从应用内部发现隐私泄露,需要对I C V应用进行逆向分析,从应用代码设计中发现收集隐私的服务,但是这需要进入车辆内部,对攻击者来说不太可能.基于流量分析的隐私检测从应用对外通信的流量中发现隐私泄露,通常利用不安全的信道协议,比如不安全的蜂窝网络和W i F i,对隐私流量进行截获和分析.其中基于蜂窝网络的I C V隐私泄露检测研究,强调了I C V上传到T S P服务器的隐私收集风险,防止厂商非法收集司机隐私数据,但是它们没有考虑这些隐私数据泄露的风险.随着I C V车载W i F i的普及,也为I C V隐私泄露提供了新的潜在通道,这些隐私数据会在W i F i中泄露多少也是缺少研究的.隐私

23、风险评估正如引言所述,在I C V风险评估领域,大多都是以安全为中心的定性风险评估模型.这里重点介绍汽车领域之外的定量隐私风险评估模型.文献 提出了一个数据主体感知的定量隐私风险评估模型,将风险分解为两个基本因素:损失幅度和丢失事件频率.其中损失幅度代表对数据主体的影响,分解为敏感度、记录数、主体类型和数据主体;丢失事件频率代表对手攻击成功的概率,分解为保留期、威胁事件频率、漏洞,两者相乘得到整体风险.文献 提出了一种基于定量风险分析模型F A I R的改进模型F A I R P,作者指出虽然部分风险分析方法是定量的,但可能倾向于脱离任何客观基础的任意量化,使得量化不具有实际意义.作者还将F

24、A I R P和文献 中的模型、N I S T以及C N I L进行对比,前两个都是定量的隐私风险评估模型,基于蒙特卡洛模拟,而后两者都是定性的隐私风险评估模型.文献 提出了一种针对名称数据网络隐私攻击的定量隐私风险评估技术,用攻击树威胁建模评估每个攻击路径的概率,但是没有考虑这些攻击的损失.文献 建议使用基于频率的定量风险评估,对每种类型的攻击单独测量,进行不同的实验.成功的攻击只要破坏信息安全三要素保密性、完整性、可用性中的一个,成功的隐私攻击应该被定义为获取到泄露的隐私数据.文献 提出了一个考虑隐私的信息安全风险评估模型P I S R A,其中资产和P I I识别增加了信息和服务,隐私影

25、响分析因素包括可识别性、字段敏感性、P I I数量、使用环境和P I I新鲜度.文献 对隐私风险评估的现状进行了综述,强调了量化整体隐私风险的具体隐私风险因素,建议采用动态观点进行隐私风险评估.预备知识 W i F i管理操作W i F i的主要管理操作包括扫描、身份验证和关联.()识别该地区现有网络的过程称为扫描,扫描结束时会生成扫描报告.该报告列出了扫描发现的所有W i F i网络及其参数,包括服务集标识(S e r v i c eS e t I D e n t i f i e r,S S I D)、基本服务集标识(B a s i cS e r v i c eS e tI D e n t

26、i f i e r,B S S I D)、接收信号的强度指示(R e c e i v e dS i g n a l S t r e n g t h I n d i c a t o r,R S S I)等,S S I D表示W i F i网络名称,而B S S I D表示发射W i F i信号对应的接入点(A c c e s sP o i n t,A P)设备的MA C地址,R S S I是指接收器从发射器获得的接收信号功率,以d B m为单位,它是评价接收信号质量好坏的重要因素.在理想状态下,R S S I等于发射功率加天线增益,减去路径损耗,其中每个A P的发射功率和天线增益都是固定的,而路

27、径损第期杨波等:智能网联汽车W i F i隐私泄露风险研究h t t p:/j o u r n a l x i d i a n e d u c n/x d x b耗是影响R S S I的主要因素,可由弗里斯传输方程导出自由空间路径损耗RF S P L:RF S P L l gPtPr l gGrGt()d,()其中,Pt表示信号传输功率;Pr表示信号接收功率;Gt表示A P的天线增益;Gr表示客户端的天线增益;表示信号的波长,以 G B的W i F i为例,划分了 个信道,频率f范围为 GH z,根据c/f,可得的范围为 .()身份验证过程实际上只证明客户端的身份,而客户端无法对A P进行身份

28、验证.W i F i网络提供种类型的身份验证方案:开放式身份验证:不提供连接到网络的身份验证.在典型的开放网络中,数据包未加密.基于密码的身份验证:使用用户输入的密码对W i F i客户端进行身份验证.在建立连接时生成加密密钥,并使用生成的密钥对数据包进行加密.目前W i F iP r o t e c t e dA c c e s s(WP A)广泛用于个人和家庭W i F i网络,W i F i客户端和A P使用独立生成成对主密钥(PMK),认证过程如下:PMKP B K D F(HMA CS HA,P a s s w o r d,S S I D,),()其中,P B K D F 是一种基于

29、密码的密钥派生函数,而HMA CS HA 是伪随机函数(P R F).执行 次迭代以生成 位PMK,用于次握手以生成会话密钥.由于用于PMK生成的参数对于所有网络设备都是相同的,因此PMK在WP A 个人网络中是相同的.基于 X的身份验证:使用可扩展的身份验证协议.大多数身份验证类型使用数字证书进行身份验证、服务器验证,主要适用于企业和校园网络.由于I C V目前不支持 X认证方式,因此文中不考虑 X认证.()身份验证完成后,客户端根据R S S I选择与哪个A P关联(或与新A P重新关联)以获得对网络的完全访问权限.与认证一样,关联由客户端发起,但是 协议明确禁止客户端同时与多个A P关联

30、.信息熵与定价模型在香农信息论中,信息熵可以度量信息量的大小,隐私数据的价值随信息熵的增大而呈现单调递增的趋势.假设存在随机变量Xx,x,xn,xn,随机变量X的概率分布PP r o b a b i l i t yp(x),p(x),p(xn),p(xn),则随机变量X的信息熵为H(X)nip(xi)l np(xi).()对于隐私数据集D,其定价函数P r i c e(D):DR,其中R为数据价格,是一个非负实数.基于数据信息熵的定价函数 可定义为P r i c e(D)f(H(D),()其中,f(H(D)为递增连接函数,需要满足两个性质:()递增性:xx,f(x)f(x).()次加性:x,x

31、,f(xx)f(x)f(x).定性与定量结合的隐私风险评估模型 I S O 的隐私影响评级扩展现有的隐私数据分类存在难以量化、不够全面、不符合标准等问题,这给基于隐私分类的隐私影响评级带来困难.在I S O 标准中,将隐私数据分为高度敏感类、敏感和不敏感类,但是没有给出任何具体的划分依据.因此,文中考虑了数据敏感性划分的法律依据,从司机自身、司机与车绑定、车辆自身个角度,扩展完善了I S O 标准的敏感程度分类,将I C V的隐私数据按照敏感性从高到低划分为:司机身份与财产信息、行踪轨迹与驾驶行为信息以及车辆身份与状态信息.除了对数据进行敏感性划分外,还需要对P I I的关联性进一步扩展,才能

32、完成符合I S O 标准的隐私影响评级,P I I是有关一个人的任何数据,这些数据能帮助识别这个人,除了姓名、指纹或其他生物特征资西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b料、电子邮件地址、电话号码或社会安全号码等传统隐私数据,在I C V中还应该要考虑已经研究证实或潜在的、可以推断司机个人信息的传感器数据等.完整的隐私影响评级如表所示.从数据的可用性角度,将P I I主体的联系分为直接P I I属性和间接P I I属性.直接P I I属性是P I I主体的固有、静态、独立属性,不会改变也不会解绑,例如姓名

33、、性别、身份证号码、生物特征、受教育程度、家庭成员等;而间接P I I属性是P I I主体的非固有、动态、组合属性,需要借助直接P I I属性才能识别,可以改变或解绑,包括V I N、手机号码、银行卡号、行车轨迹、听歌习惯、邮箱、收入、婚姻、职业等.表隐私影响评级扩展隐私评级风险矩阵属性描述直接P I I间接P I I司机身份与财产信息(高度敏感)驾驶员身份证行驶证等身份信息、指纹虹膜等生物特征以及银行卡社保卡等个人信息严重的主要的行踪轨迹与驾驶行为信息(敏感)驾驶员注意力、速度、转向和制动以及车辆的经度、与纬度等人车绑定信息主要的中等水平车辆身份与状态信息(不敏感)V I N、剩余续航里程、

34、累计里程、车内温度、p m 、燃油量等车辆信息中等水平可忽略不计图定性与定量结合的隐私风险评估模型 基于I S O 标准的定量隐私风险评估模型针对定性风险评估模型的不足,文中提出了一种定性和定量相结合的隐私风险评估模型,如图所示.图中白色方框表示I S O 标准现有的定性评估方法,没有进行改动,灰色方框代表新增的定量评估方法.攻击成功概率攻击成功概率是衡量攻击者成功发起隐私攻击的概率数值,通过将定性风险评估的攻击可行性等级转换为概率值实现.在I S O 标准中,攻击可行性等级从个方面进行打分:经过的时间(E T)、专业经验(S E)、对项目组件的了解(K o I C)、机会窗口(W o O)和

35、装备(E q).其中每个因素评分区间分别为,),),),),),最大值采用开区间,是为了避免其中某一因素达到最大值时,导致后续计算概率为的风险低估情况.如果将某次隐私攻击的等级得分记为Pe t,Ps e,Pk o i c,Pw o o,Pe q,根据几何概率,可以计算出攻击成功概率P为P(Pe t)(Ps e)(Pk o i c)(Pw o o)(Pe q).()隐私泄露度量隐私泄露度量是指考虑信息熵、影响等级、P I I类型数量和单个P I I数量多个因素,对泄露的隐私数据价值进行量化.信息熵通过式()计算,在隐私风险评估中,随机变量X表示每次隐私攻击获得的隐私数据字段集合,概率分布是每个隐

36、私字段在整个隐私数据集合中出现的概率占比.但是信息熵受主要概率影响,不能充分体现隐私数据的价值.影响等级同样能够影响隐私数据的价值.同样概率分布的不同隐私数据,有不同的价值,但是信息熵无法区分这种差异,通过增加影响等级I的权重wI来区分.首先按照 节中的隐私评级扩展进行评级,接着采用I S O 标准或模糊数学等方法转换为影响等级数值.转换后的数值如下:wI,.()P I I类型数量强调多个P I I类型组合的累计风险,考虑单个P I I的影响等级是固定的,但是两个以上的P I I类型进行组合关联,会产生一加一大于二的组合累计风险.举例来说,篮球运动员、上海人、在N B A打过球这个P I I类

37、型可以推导出这个人是姚明.P I I类型数量C的权重wC用式()进行估计,得wC l bC.()第期杨波等:智能网联汽车W i F i隐私泄露风险研究h t t p:/j o u r n a l x i d i a n e d u c n/x d x b当C时,信息熵H(X)和P I I类型权重wc均为,单一的影响等级难以区分不同规模的数据集的隐私价值,通过单个P I I的数量N的权重wN和影响权重wI来度量隐私:wN l g(N).()因此,在信息熵的基础上,综合考虑影响等级、P I I类型数量以及单个P I I数量的影响,设计了如下的隐私泄露度量方法:wIwCH(X),C,wIwN,C,(

38、)其中,代表隐私数据的量化价值.隐私泄露定价虽然基于信息熵的隐私度量能够精确反映隐私数据的价值,但是依然不能清晰直观地量化为隐私泄露造成的具体经济损失.通过建立基于信息熵的数据定价模型,可以将信息熵映射为价格.常见的数据定价函数的连接函数有线性函数、对数函数和幂函数,考虑I C V的隐私数据具有数据量大、种类多、实时性、稀缺性等高质量 数据特征,文中采用线性函数作为定价连接函数,即P r i c e(D)f(),f(x)k x,()其中,k值根据经验设定.预估损失价格在计算出攻击成功概率和隐私泄露定价之后,用两者的乘积作为预估损失价格L,即LPP r i c e(D).()预估损失价格量化了I

39、 C V厂商受到一次成功隐私攻击的具体损失,可以作为I C V厂商潜在经济损失的参考,帮助其合理分配资源并专注于风险最大的隐私活动.同时,还可以通过阈值划分,将定量的预估损失价格转换为定量的风险确定值.基于WC E T A的I C V隐私泄露检测方案为了验证风险评估模型的有效性,首先通过渗透测试,模拟恶意黑客对I C V的隐私攻击,来识别I C V隐私威胁场景中的攻击路径;接着提出了一种基于W i F i通用攻击的I C V隐私泄露检测方案,用于获取I C V泄露的原始隐私数据,评估W i F i隐私攻击的成功概率.W i F i威胁场景下的隐私泄露攻击在I C V蜂窝隐私威胁场景中,攻击者借

40、助伪基站和干扰器设备发起攻击,干扰器屏蔽正常基站信号,伪基站提供虚假的 G基站信号.伪基站覆盖范围广,可截获几千米内I C V的蜂窝通信流量,不依赖I C V行驶状态,无论车辆是静止还是运动状态,均可发起攻击.W i F i不同于蜂窝网络,被设计为避免单点故障、减少用户等待时延和网络费用的优先链路,身份认证的WP A 破解 和根据R S S I选择关联,这些特性是发起W i F i隐私攻击的有利条件.但是随着W i F i连接距离的缩短,发起攻击依赖I C V的行驶状态,需要研究具体的威胁场景.为了解决这个问题,提出对攻击者的一般假设:首先,攻击者明确自己要攻击的目标I C V,它们在地理空间

41、上临近,临近是指都处于合法A P(L A P)的W i F i覆盖范围;其次,攻击者发起攻击的目的,只是为了尽可能多地获取目标车主的隐私信息,而不构成任何人身安全威胁,应该尽量降低暴露风险;最后,攻击者拥有自己的I C V,可以根据目标I C V的运动状态采取相对应的攻击方式.根据目标I C V的运动状态,划分了运动和静止两种W i F i威胁场景.静止威胁场景是指目标I C V处于停车状态、速度为零,车主让I C V手动或I C V自动连接到L A P.此时,攻击者和目标I C V地理临近,可以发起种W i F i隐私攻击:()开放W i F i监听.攻击者只需要一个支持监听的U S B无线

42、网卡即可,配合W i r e s h a r k或者Om n i p e e k等抓包软件就可以获取到明文传输的隐私数据.()破解W i F i密码监听.针对WP A(W i F iP r o t e c t e dA c c e s s)加密的W i F i,相对于第种隐私攻击,西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b需要破解W i F i密码才能获取到明文隐私数据.()邪恶双胞胎攻击(E v i lT w i n sA t t a c k,E T A).攻击者通过工具扫描附近W i F i信息,找到目

43、标I C V正在连接的L A P.可能存在两种情况,开放W i F i和WP A加密W i F i.针对开放W i F i,攻击者直接模拟L A P的S S I D和B S S I D;针对WP A加密的W i F i,攻击者还需要破解W i F i密码.运动威胁场景是指目标I C V在路上行驶、速度不为零,不存在可连接的L A P,但是I C V的W i F i连接功能维持打开状态,连接过的W i F i信号出现时将自动连接.这是I C V静止威胁场景的扩展形式,攻击者驾驶自己的I C V跟踪目标I C V,确保和目标I C V在有效连接范围内.此时,E T A是惟一的攻击路径,另外两种隐私

44、攻击方式依赖L A P的存在,不能适用于I C V的运动威胁场景.I C V的E T A对手模型和分类比较I C V两种威胁场景下的种W i F i隐私攻击,可以发现E T A是静止和运动两种隐私威胁场景都存在的通用隐私攻击.而且E T A威胁远大于另外两种隐私攻击,前两种隐私攻击只能是被动流量监听,无法解密传输层加密的流量,而E T A不仅可以实现被动流量监听,还可以进一步结合中间人攻击,解密部分传输层加密的流量.下面详细研究E T A的对手模型和分类.在W i F i网络中,L A P定期发送信标帧(B e a c o n),I C V客户端通过侦听B e a c o n帧发现L A P.

45、由于B e a c o n帧没有加密保护,攻击者捕获受害者L A P的B e a c o n帧,并提取其S S I D和B S S I D.攻击者通过伪造L A P的B S S I D和S S I D来创建邪恶双胞胎(E v i lT w i n s,E T).而I C V客户端无法区分L A P和E T,根据W i F i的认证和关联机制,I C V客户端会从经过身份认证的A P中选择连接R S S I最强的A P.E T A可以通过以下种方式实施:()攻击者仅仅通过靠近目标I C V或者增大E T A信号强度,等待I C V离开L A P的连接范围,当I C V客户端尝试关联时,将会自动连

46、接到E T.()借助W i F i信号干扰器,攻击者还可以在物理层对L A P的信号进行射频干扰,导致波形失真,I C V客户端将无法检测到L A P的信号,会自动连接上E T.()此外,还有一种去身份认证攻击,攻击者利用MA C层的C S MA/C A协议漏洞,发送解除身份认证帧,只要I C V或L A P中任何一方接收到该帧,就会立即断开和L A P的连接,重新关联上E T.然而,并不是所有的E T A,都能适用于I C V运动和静止这两种隐私威胁场景.为了区分这种差异,按照E T A的上行信道类型对E T A进行分类,其中上行信道是指E T A自身访问互联网的直连信道.具体将E T A分

47、为种类型:()早期E T A没有上行信道,为窃取W i F i密码而设置,不提供互联网访问,将这种钓鱼E T A定义为F E T A(F i s h i n g E T A).()上行信道为W i F i的E T A称为W E T A(W i F i E T A).()上行信道为有线网络的E T A称为E E T A(E t h e r n e t E T A).()上行信道为蜂窝网络的E T A称为C E T A(C e l l u l a r E T A).除了F E T A,其他种E T A攻击都提供互联网访问,对I C V和手机用户透明.结合上述I C V的W i F i隐私威胁场景,

48、F E T A和E E T A被认为是受限的,由于不提供互联网访问,F E T A无法获得I C V的隐私数据,E E T A无法移动不能支持I C V运动的隐私威胁场景.C E T A具有移动特性,可以用于I C V的两种隐私威胁场景,但额外的蜂窝上网卡和适配器,可能增加隐私攻击的成本和复杂性.现有的W E T A在I C V和L A P之间增加了一跳路由,通常L A P是固定而不是移动的,也难以用于I C V运动时连接W i F i的威胁场景评估.WC E T A中间人隐私泄露检测方案设计在W E T A的基础上,提出了一种新的WC E T A(W i F i C e l l u l a

49、r E T A)隐私攻击方法.WC E T A克服了C E T A和W E T A的上述缺点,利用攻击者的手机或I C V车载热点,而不需要像C E T A增加额外的硬件成本,同时在W E T A基础上增加了移动特性,能够用于I C V的静止和运动两种隐私威胁场景.需要强调的是,相较于W E T A增加一跳路由,WC E T A增加了两跳路由,可能增加网络延时.WC E T A的实现过程如下:()在I C V静止威胁场景下,攻击者获取目标I C V当前连接的W i F i信息,根据这些信息搭建E T.第期杨波等:智能网联汽车W i F i隐私泄露风险研究h t t p:/j o u r n a

50、 l x i d i a n e d u c n/x d x b()攻击者打开自己I C V或手机的蜂窝网络和W i F i热点,让E T连接W i F i热点.互联网访问由移动设备的蜂窝网络提供.()采用 节中的E T A实施方式,让目标I C V断开与L A P的连接,连接上E T.WC E T A可以截获流量,获取明文隐私数据,但是无法解密传输层加密的隐私数据.为了获取更多的W i F i隐私数据,在WC E T A的基础上,进一步结合通用的HT T P S中间人攻击,提出WC E T A中间人隐私泄露检测方案,如图所示.图WC E T A中间人隐私泄露检测方案WC E T A包括E T

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 学术论文 > 论文指导/设计

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服