1. ISO21434的隱私影響評(píng)級(jí)擴(kuò)展

表1  隱私影響評(píng)級(jí)擴(kuò)展

現(xiàn)有的隱私數(shù)據(jù)分類存在難以量化、不夠全面、不符合標(biāo)準(zhǔn)等問(wèn)題，這給基于隱私分類的隱私影響評(píng)級(jí)帶來(lái)困難。在ISO21434標(biāo)準(zhǔn)中，將隱私數(shù)據(jù)分為高度敏感類、敏感和不敏感類，但是沒(méi)有給出任何具體的劃分依據(jù)。因此，文中考慮了數(shù)據(jù)敏感性劃分的法律依據(jù)[22]，從司機(jī)自身、司機(jī)與車綁定、車輛自身3個(gè)角度，擴(kuò)展完善了ISO214343標(biāo)準(zhǔn)的敏感程度分類，將ICV的隱私數(shù)據(jù)按照敏感性從高到低劃分為：司機(jī)身份與財(cái)產(chǎn)信息、行蹤軌跡與駕駛行為信息以及車輛身份與狀態(tài)信息。

除了對(duì)數(shù)據(jù)進(jìn)行敏感性劃分外，還需要對(duì)PII的關(guān)聯(lián)性進(jìn)一步擴(kuò)展，才能完成符合ISO21434標(biāo)準(zhǔn)的隱私影響評(píng)級(jí)，PII是有關(guān)一個(gè)人的任何數(shù)據(jù)，這些數(shù)據(jù)能幫助識(shí)別這個(gè)人，除了姓名、指紋或其他生物特征資料、電子郵件地址、電話號(hào)碼或社會(huì)安全號(hào)碼等傳統(tǒng)隱私數(shù)據(jù)，在ICV中還應(yīng)該要考慮已經(jīng)研究證實(shí)或潛在的、可以推斷司機(jī)個(gè)人信息的傳感器數(shù)據(jù)等。完整的隱私影響評(píng)級(jí)如表1所示。從數(shù)據(jù)的可用性角度，將PII主體的聯(lián)系分為直接PII屬性和間接PII屬性。直接PII屬性是PII主體的固有、靜態(tài)、獨(dú)立屬性，不會(huì)改變也不會(huì)解綁，例如姓名、性別、身份證號(hào)碼、生物特征、受教育程度、家庭成員等；而間接PII屬性是PII主體的非固有、動(dòng)態(tài)、組合屬性，需要借助直接PII屬性才能識(shí)別，可以改變或解綁，包括VIN、手機(jī)號(hào)碼、銀行卡號(hào)、行車軌跡、聽(tīng)歌習(xí)慣、郵箱、收入、婚姻、職業(yè)等。

2. 基于ISO21434標(biāo)準(zhǔn)的定量隱私風(fēng)險(xiǎn)評(píng)估模型

針對(duì)定性風(fēng)險(xiǎn)評(píng)估模型的不足，文中提出了一種定性和定量相結(jié)合的隱私風(fēng)險(xiǎn)評(píng)估模型，如圖1所示。圖1中白色方框表示ISO21434標(biāo)準(zhǔn)現(xiàn)有的定性評(píng)估方法，沒(méi)有進(jìn)行改動(dòng)，灰色方框代表新增的定量評(píng)估方法。

圖1  定性與定量結(jié)合的隱私風(fēng)險(xiǎn)評(píng)估模型

1）攻擊成功概率

在ISO21434標(biāo)準(zhǔn)中，攻擊可行性等級(jí)從五個(gè)方面進(jìn)行打分：經(jīng)過(guò)的時(shí)間（et）、專業(yè)經(jīng)驗(yàn)（se）、對(duì)項(xiàng)目組件的了解（koic）、機(jī)會(huì)窗口（woo）、裝備（eq），如果將某次隱私攻擊的等級(jí)得分記為{et,se,koic,woo,eq}，根據(jù)幾何概率，可以計(jì)算出攻擊成功概率P為：

2）隱私泄露度量

影響等級(jí)同樣能夠影響隱私數(shù)據(jù)的價(jià)值。同樣概率分布的不同隱私數(shù)據(jù)，有不同的價(jià)值，但是信息熵?zé)o法區(qū)分這種差異，通過(guò)增加影響等級(jí)I的權(quán)重w_I來(lái)區(qū)分。首先按照4.1節(jié)中的隱私評(píng)級(jí)擴(kuò)展進(jìn)行評(píng)級(jí)，接著采用ISO21434標(biāo)準(zhǔn)或模糊數(shù)學(xué)等方法轉(zhuǎn)換為影響等級(jí)數(shù)值，轉(zhuǎn)換后的數(shù)值如下

w_I={0，1，1.5，2}

PII類型數(shù)量強(qiáng)調(diào)多個(gè)PII類型組合的累計(jì)風(fēng)險(xiǎn)，考慮單個(gè)PII的影響等級(jí)是固定的，但是兩個(gè)以上的PII類型進(jìn)行組合關(guān)聯(lián)，會(huì)產(chǎn)生一加一大于二的組合累計(jì)風(fēng)險(xiǎn)。舉例來(lái)說(shuō)，籃球運(yùn)動(dòng)員、上海人、在NBA打過(guò)球這三個(gè)PII類型可以推導(dǎo)出這個(gè)人是姚明。PII類型數(shù)量C的權(quán)重w_c用以下公式進(jìn)行估計(jì)：

當(dāng)C=1時(shí)，信息熵H(X)和PII類型權(quán)重w_c均為0，單一的影響等級(jí)難以區(qū)分不同規(guī)模的數(shù)據(jù)集的隱私價(jià)值，通過(guò)單個(gè)PII的數(shù)量N的權(quán)重w_N和影響權(quán)重w_I來(lái)度量隱私：

w_N=log₁₀(N+2)

因此，在信息熵的基礎(chǔ)上，綜合考慮影響等級(jí)、PII類型數(shù)量以及單個(gè)PII數(shù)量的影響，設(shè)計(jì)了如下的隱私泄露度量方法，其中θ代表隱私數(shù)據(jù)的量化價(jià)值。

3）隱私泄露定價(jià)

雖然基于信息熵的隱私度量能夠精確反映隱私數(shù)據(jù)的價(jià)值，但是依然不能清晰直觀地量化為隱私泄露造成的具體經(jīng)濟(jì)損失。通過(guò)建立基于信息熵的數(shù)據(jù)定價(jià)模型，可以將信息熵映射為價(jià)格。常見(jiàn)的數(shù)據(jù)定價(jià)函數(shù)的連接函數(shù)有線性函數(shù)、對(duì)數(shù)函數(shù)和冪函數(shù)，考慮ICV的隱私數(shù)據(jù)具有數(shù)據(jù)量大、種類多、實(shí)時(shí)性、稀缺性等高質(zhì)量數(shù)據(jù)特征，本文采用線性函數(shù)作為定價(jià)連接函數(shù)，其中k值根據(jù)經(jīng)驗(yàn)設(shè)定。

4）預(yù)估損失價(jià)格

在計(jì)算出攻擊成功概率和隱私泄露定價(jià)之后，用兩者的乘積作為預(yù)估損失價(jià)格L ：

L=P*Price(D)

預(yù)估損失價(jià)格量化了ICV廠商受到一次成功隱私攻擊的具體損失，可以作為ICV廠商潛在經(jīng)濟(jì)損失的參考，幫助其合理分配資源并專注于風(fēng)險(xiǎn)最大的隱私活動(dòng)。同時(shí)，還可以通過(guò)閾值劃分，將定量的預(yù)估損失價(jià)格轉(zhuǎn)換為定量的風(fēng)險(xiǎn)確定值。

3. 基于WC-ETA的ICV隱私泄露檢測(cè)方案

為了驗(yàn)證風(fēng)險(xiǎn)評(píng)估模型的有效性，本節(jié)首先通過(guò)滲透測(cè)試，模擬惡意黑客對(duì)ICV的隱私攻擊，來(lái)識(shí)別ICV隱私威脅場(chǎng)景中的攻擊路徑；接著提出了一種基于Wi-Fi通用攻擊的ICV隱私泄露檢測(cè)方案，用于獲取ICV泄露的原始隱私數(shù)據(jù)，評(píng)估WiFi隱私攻擊的成功概率。

比較ICV兩種威脅場(chǎng)景下的三種WiFi隱私攻擊，可以發(fā)現(xiàn)ETA是靜止和運(yùn)動(dòng)兩種隱私威脅場(chǎng)景都存在的通用隱私攻擊。而且ETA威脅遠(yuǎn)大于另外兩種隱私攻擊，前兩種隱私攻擊只能是被動(dòng)流量監(jiān)聽(tīng)，無(wú)法解密傳輸層加密的流量，而ETA不僅可以實(shí)現(xiàn)被動(dòng)流量監(jiān)聽(tīng)，還可以進(jìn)一步結(jié)合中間人攻擊，解密部分傳輸層加密的流量。因此，在本節(jié)中，我們?cè)敿?xì)研究了ETA的對(duì)手模型和分類。

并不是所有的ETA，都能適用于ICV運(yùn)動(dòng)和靜止這兩種隱私威脅場(chǎng)景。為了區(qū)分這種差異，按照ETA的上行信道類型對(duì)ETA進(jìn)行分類，其中上行信道是指ETA自身訪問(wèn)互聯(lián)網(wǎng)的直連信道。具體將ETA分為四種類型：

1）早期ETA沒(méi)有上行信道，為竊取WiFi密碼而設(shè)置，不提供互聯(lián)網(wǎng)訪問(wèn)，將這種釣魚(yú)ETA定義為：F-ETA（Fishing-ETA）。

2）上行信道為WiFi的ETA稱為W-ETA（WiFi-ETA）。

3）上行信道為有線網(wǎng)絡(luò)的ETA稱為E-ETA（Ethernet-ETA）。

4）上行信道為蜂窩網(wǎng)絡(luò)的ETA稱為C-ETA（Cellular-ETA）。

在W-ETA的基礎(chǔ)上，提出了一種新的WC-ETA（WiFi-Cellular-ETA）隱私攻擊方法。WC-ETA克服了C-ETA和W-ETA的上述缺點(diǎn)，利用攻擊者的手機(jī)或ICV車載熱點(diǎn)，而不需要像C-ETA增加額外的硬件成本，同時(shí)在W-ETA基礎(chǔ)上增加了移動(dòng)特性，能夠用于ICV的靜止和運(yùn)動(dòng)兩種隱私威脅場(chǎng)景。需要強(qiáng)調(diào)的是，相較于W-ETA增加一跳路由，WC-ETA增加了兩跳路由，可能增加網(wǎng)絡(luò)延時(shí)。

WC-ETA的實(shí)現(xiàn)過(guò)程如下：

1）在ICV靜止威脅場(chǎng)景下，攻擊者獲取目標(biāo)ICV當(dāng)前連接的Wi-Fi信息，根據(jù)這些信息搭建ET。

2）攻擊者打開(kāi)自己ICV或手機(jī)的蜂窩網(wǎng)絡(luò)和WiFi熱點(diǎn)，讓ET連接Wi-Fi熱點(diǎn)，互聯(lián)網(wǎng)訪問(wèn)由移動(dòng)設(shè)備的蜂窩網(wǎng)絡(luò)提供。

3）采用5.2節(jié)中的ETA實(shí)施方式，讓目標(biāo)ICV斷開(kāi)與LAP的連接，連接上ET。

從表2中可以看出，手機(jī)APP端泄露的隱私數(shù)據(jù)數(shù)量和PII類型較多，而且有許多敏感和直接的隱私數(shù)據(jù)，這些隱私數(shù)據(jù)有一部分來(lái)自ICV，如油耗、里程、速度等，另一部分來(lái)自TSP服務(wù)器，是車主購(gòu)車和保養(yǎng)時(shí)提交的隱私數(shù)據(jù)，如工作、郵箱、地址等。而在ICV端泄露的隱私數(shù)據(jù)數(shù)量和種類較少，大部分隱私數(shù)據(jù)都是間接或不敏感的。實(shí)驗(yàn)結(jié)果表明，基于WC-ETA的Wi-Fi隱私泄露檢測(cè)方案能有效檢測(cè)ICV的Wi-Fi隱私泄露情況。

表2  基于WC-ETA的隱私泄露檢測(cè)方案的可行性評(píng)估

將不同ICV的檢測(cè)結(jié)果進(jìn)行橫向?qū)Ρ?，現(xiàn)有的蜂窩網(wǎng)絡(luò)隱私檢測(cè)結(jié)果作為參考，結(jié)果如表3所示。橫向?qū)Ρ菴S75PLUS和VELITE6車輛端的WiFi隱私泄露情況，發(fā)現(xiàn)CS75PLUS的車輛端泄露的隱私字段數(shù)為8個(gè)，而VELITE6的車輛端泄露的隱私字段數(shù)為12個(gè)；橫向?qū)Ρ菴S75PLUS和Malibu XL手機(jī)端的WiFi隱私泄露情況，發(fā)現(xiàn)CS75PLUS的手機(jī)端泄露的隱私字段數(shù)為26個(gè)，而Malibu X的車輛端泄露的隱私字段數(shù)為38個(gè)。因此，可以認(rèn)為CS75PLUS在車輛端和手機(jī)泄露的WiFi隱私數(shù)據(jù)數(shù)量，分別要比VELITE6和Malibu XL更少。

表3  不同ICV隱私檢測(cè)結(jié)果的對(duì)比

基于Wi-Fi和基于蜂窩的隱私檢測(cè)方法，均屬于基于流量的隱私檢測(cè)，都利用了不安全的無(wú)線信道固有的協(xié)議漏洞和典型攻擊，而不依賴于具體ICV的內(nèi)部設(shè)計(jì)，因此提出的方法具有一般性。與蜂窩隱私泄露檢測(cè)方法相比，提出的方法在更具針對(duì)性，在成本和通用性方面，也具有一定的優(yōu)勢(shì)，只需要一塊USB無(wú)線網(wǎng)卡，就能獲得司機(jī)的姓名、身份證號(hào)碼、手機(jī)號(hào)碼、行車軌跡、聽(tīng)歌習(xí)慣等個(gè)人敏感信息。

表4  長(zhǎng)安CS75PLUS不同攻擊的預(yù)估損失與風(fēng)險(xiǎn)等級(jí)

比較三種不同的攻擊方式，開(kāi)放、破解和WC-ETA的總體預(yù)估損失分別為12.801元、6.680元、0.243元，其中ICV的單項(xiàng)損失分別為1.768元、0.931元、0.032元，手機(jī)的單向損失分別為11.033元、5.749元、0.211元。不論總體還是局部，開(kāi)放、破解和WC-ETA在兩種終端上的攻擊預(yù)估損失依次降低，ICV廠商應(yīng)該優(yōu)先處置開(kāi)放WiFi監(jiān)聽(tīng)，根據(jù)三輛ICV的實(shí)際觀察，它們都采取禁止連接開(kāi)放WiFi的策略，符合我們的風(fēng)險(xiǎn)分析結(jié)果。

比較相同攻擊下的兩種不同的終端，可以發(fā)現(xiàn)手機(jī)隱私泄露風(fēng)險(xiǎn)總是大于ICV的隱私泄露風(fēng)險(xiǎn)，增加Wi-Fi網(wǎng)絡(luò)安全性檢查有助于緩解隱私泄露風(fēng)險(xiǎn)。ICV廠商可以控制每輛ICV的安全策略，比如禁用開(kāi)放的WiFi連接，但在手機(jī)端有不同的終端類型，APP檢查Wi-Fi的安全性的行為可能被系統(tǒng)認(rèn)定為侵犯隱私而被阻止。因此考慮將不安全的HTTP協(xié)議升級(jí)為HTTPS，甚至采用雙向認(rèn)證、證書(shū)綁定、私有協(xié)議等方式傳輸隱私數(shù)據(jù)，可能是ICV廠商更優(yōu)的選擇。雖然這會(huì)增加成本，但借助本文的定性和定量風(fēng)險(xiǎn)評(píng)估模型，可以計(jì)算出隱私泄露的預(yù)期損失，對(duì)比增加的成本和預(yù)期的損失，可以幫助ICV廠商進(jìn)行決策。

根據(jù)定量的預(yù)估損失，通過(guò)劃分合理的閾值，可以將數(shù)值轉(zhuǎn)換為風(fēng)險(xiǎn)等級(jí)值。假設(shè)5個(gè)等級(jí)從小到大按照閾值 進(jìn)行劃分，可以得到每種攻擊定量轉(zhuǎn)換的定性風(fēng)險(xiǎn)值。同樣我們按照ISO21434的定性風(fēng)險(xiǎn)評(píng)估方式，可以得到每種攻擊的參考定性風(fēng)險(xiǎn)值。對(duì)于每種攻擊，可以發(fā)現(xiàn)定量轉(zhuǎn)換的風(fēng)險(xiǎn)值和ISO參考的定性風(fēng)險(xiǎn)值一致，從而驗(yàn)證了定性與定量結(jié)合的隱私風(fēng)險(xiǎn)評(píng)估模型的有效性。

國(guó)家自然科學(xué)基金（U1836210）；海南省重點(diǎn)研發(fā)計(jì)劃（GHYF2022010）；海南大學(xué)科研啟動(dòng)基金（RZ2100003335）。

楊波（1995—），男，海南大學(xué)碩士研究生，E-mail：yangb@nipc.org.cn

鐘永超（1997—），男，海南大學(xué)碩士研究生，E-mail：zhongyc@nipc.org.cn

楊浩男（1997—），男，海南大學(xué)碩士研究生，E-mail：yanghn@nipc.org.cn

徐紫楓（1990—），男，講師，博士，E-mail：zfxu@hainanu.edu.cn

李曉琦（1991—），男，副教授，E-mail：csxqli@hainanu.edu.cn

張玉清（1966—），男，教授，E-mail：zhangyq@nipc.org.cn