1. ISO21434的隱私影響評級擴展

表1  隱私影響評級擴展

現(xiàn)有的隱私數(shù)據(jù)分類存在難以量化、不夠全面、不符合標(biāo)準(zhǔn)等問題，這給基于隱私分類的隱私影響評級帶來困難。在ISO21434標(biāo)準(zhǔn)中，將隱私數(shù)據(jù)分為高度敏感類、敏感和不敏感類，但是沒有給出任何具體的劃分依據(jù)。因此，文中考慮了數(shù)據(jù)敏感性劃分的法律依據(jù)[22]，從司機自身、司機與車綁定、車輛自身3個角度，擴展完善了ISO214343標(biāo)準(zhǔn)的敏感程度分類，將ICV的隱私數(shù)據(jù)按照敏感性從高到低劃分為：司機身份與財產(chǎn)信息、行蹤軌跡與駕駛行為信息以及車輛身份與狀態(tài)信息。

除了對數(shù)據(jù)進行敏感性劃分外，還需要對PII的關(guān)聯(lián)性進一步擴展，才能完成符合ISO21434標(biāo)準(zhǔn)的隱私影響評級，PII是有關(guān)一個人的任何數(shù)據(jù)，這些數(shù)據(jù)能幫助識別這個人，除了姓名、指紋或其他生物特征資料、電子郵件地址、電話號碼或社會安全號碼等傳統(tǒng)隱私數(shù)據(jù)，在ICV中還應(yīng)該要考慮已經(jīng)研究證實或潛在的、可以推斷司機個人信息的傳感器數(shù)據(jù)等。完整的隱私影響評級如表1所示。從數(shù)據(jù)的可用性角度，將PII主體的聯(lián)系分為直接PII屬性和間接PII屬性。直接PII屬性是PII主體的固有、靜態(tài)、獨立屬性，不會改變也不會解綁，例如姓名、性別、身份證號碼、生物特征、受教育程度、家庭成員等；而間接PII屬性是PII主體的非固有、動態(tài)、組合屬性，需要借助直接PII屬性才能識別，可以改變或解綁，包括VIN、手機號碼、銀行卡號、行車軌跡、聽歌習(xí)慣、郵箱、收入、婚姻、職業(yè)等。

2. 基于ISO21434標(biāo)準(zhǔn)的定量隱私風(fēng)險評估模型

針對定性風(fēng)險評估模型的不足，文中提出了一種定性和定量相結(jié)合的隱私風(fēng)險評估模型，如圖1所示。圖1中白色方框表示ISO21434標(biāo)準(zhǔn)現(xiàn)有的定性評估方法，沒有進行改動，灰色方框代表新增的定量評估方法。

圖1  定性與定量結(jié)合的隱私風(fēng)險評估模型

1）攻擊成功概率

在ISO21434標(biāo)準(zhǔn)中，攻擊可行性等級從五個方面進行打分：經(jīng)過的時間（et）、專業(yè)經(jīng)驗（se）、對項目組件的了解（koic）、機會窗口（woo）、裝備（eq），如果將某次隱私攻擊的等級得分記為{et,se,koic,woo,eq}，根據(jù)幾何概率，可以計算出攻擊成功概率P為：

2）隱私泄露度量

影響等級同樣能夠影響隱私數(shù)據(jù)的價值。同樣概率分布的不同隱私數(shù)據(jù)，有不同的價值，但是信息熵?zé)o法區(qū)分這種差異，通過增加影響等級I的權(quán)重w_I來區(qū)分。首先按照4.1節(jié)中的隱私評級擴展進行評級，接著采用ISO21434標(biāo)準(zhǔn)或模糊數(shù)學(xué)等方法轉(zhuǎn)換為影響等級數(shù)值，轉(zhuǎn)換后的數(shù)值如下

w_I={0，1，1.5，2}

PII類型數(shù)量強調(diào)多個PII類型組合的累計風(fēng)險，考慮單個PII的影響等級是固定的，但是兩個以上的PII類型進行組合關(guān)聯(lián)，會產(chǎn)生一加一大于二的組合累計風(fēng)險。舉例來說，籃球運動員、上海人、在NBA打過球這三個PII類型可以推導(dǎo)出這個人是姚明。PII類型數(shù)量C的權(quán)重w_c用以下公式進行估計：

當(dāng)C=1時，信息熵H(X)和PII類型權(quán)重w_c均為0，單一的影響等級難以區(qū)分不同規(guī)模的數(shù)據(jù)集的隱私價值，通過單個PII的數(shù)量N的權(quán)重w_N和影響權(quán)重w_I來度量隱私：

w_N=log₁₀(N+2)

因此，在信息熵的基礎(chǔ)上，綜合考慮影響等級、PII類型數(shù)量以及單個PII數(shù)量的影響，設(shè)計了如下的隱私泄露度量方法，其中θ代表隱私數(shù)據(jù)的量化價值。

3）隱私泄露定價

雖然基于信息熵的隱私度量能夠精確反映隱私數(shù)據(jù)的價值，但是依然不能清晰直觀地量化為隱私泄露造成的具體經(jīng)濟損失。通過建立基于信息熵的數(shù)據(jù)定價模型，可以將信息熵映射為價格。常見的數(shù)據(jù)定價函數(shù)的連接函數(shù)有線性函數(shù)、對數(shù)函數(shù)和冪函數(shù)，考慮ICV的隱私數(shù)據(jù)具有數(shù)據(jù)量大、種類多、實時性、稀缺性等高質(zhì)量數(shù)據(jù)特征，本文采用線性函數(shù)作為定價連接函數(shù)，其中k值根據(jù)經(jīng)驗設(shè)定。

4）預(yù)估損失價格

在計算出攻擊成功概率和隱私泄露定價之后，用兩者的乘積作為預(yù)估損失價格L ：

L=P*Price(D)

預(yù)估損失價格量化了ICV廠商受到一次成功隱私攻擊的具體損失，可以作為ICV廠商潛在經(jīng)濟損失的參考，幫助其合理分配資源并專注于風(fēng)險最大的隱私活動。同時，還可以通過閾值劃分，將定量的預(yù)估損失價格轉(zhuǎn)換為定量的風(fēng)險確定值。

3. 基于WC-ETA的ICV隱私泄露檢測方案

為了驗證風(fēng)險評估模型的有效性，本節(jié)首先通過滲透測試，模擬惡意黑客對ICV的隱私攻擊，來識別ICV隱私威脅場景中的攻擊路徑；接著提出了一種基于Wi-Fi通用攻擊的ICV隱私泄露檢測方案，用于獲取ICV泄露的原始隱私數(shù)據(jù)，評估WiFi隱私攻擊的成功概率。

比較ICV兩種威脅場景下的三種WiFi隱私攻擊，可以發(fā)現(xiàn)ETA是靜止和運動兩種隱私威脅場景都存在的通用隱私攻擊。而且ETA威脅遠大于另外兩種隱私攻擊，前兩種隱私攻擊只能是被動流量監(jiān)聽，無法解密傳輸層加密的流量，而ETA不僅可以實現(xiàn)被動流量監(jiān)聽，還可以進一步結(jié)合中間人攻擊，解密部分傳輸層加密的流量。因此，在本節(jié)中，我們詳細研究了ETA的對手模型和分類。

并不是所有的ETA，都能適用于ICV運動和靜止這兩種隱私威脅場景。為了區(qū)分這種差異，按照ETA的上行信道類型對ETA進行分類，其中上行信道是指ETA自身訪問互聯(lián)網(wǎng)的直連信道。具體將ETA分為四種類型：

1）早期ETA沒有上行信道，為竊取WiFi密碼而設(shè)置，不提供互聯(lián)網(wǎng)訪問，將這種釣魚ETA定義為：F-ETA（Fishing-ETA）。

2）上行信道為WiFi的ETA稱為W-ETA（WiFi-ETA）。

3）上行信道為有線網(wǎng)絡(luò)的ETA稱為E-ETA（Ethernet-ETA）。

4）上行信道為蜂窩網(wǎng)絡(luò)的ETA稱為C-ETA（Cellular-ETA）。

在W-ETA的基礎(chǔ)上，提出了一種新的WC-ETA（WiFi-Cellular-ETA）隱私攻擊方法。WC-ETA克服了C-ETA和W-ETA的上述缺點，利用攻擊者的手機或ICV車載熱點，而不需要像C-ETA增加額外的硬件成本，同時在W-ETA基礎(chǔ)上增加了移動特性，能夠用于ICV的靜止和運動兩種隱私威脅場景。需要強調(diào)的是，相較于W-ETA增加一跳路由，WC-ETA增加了兩跳路由，可能增加網(wǎng)絡(luò)延時。

WC-ETA的實現(xiàn)過程如下：

1）在ICV靜止威脅場景下，攻擊者獲取目標(biāo)ICV當(dāng)前連接的Wi-Fi信息，根據(jù)這些信息搭建ET。

2）攻擊者打開自己ICV或手機的蜂窩網(wǎng)絡(luò)和WiFi熱點，讓ET連接Wi-Fi熱點，互聯(lián)網(wǎng)訪問由移動設(shè)備的蜂窩網(wǎng)絡(luò)提供。

3）采用5.2節(jié)中的ETA實施方式，讓目標(biāo)ICV斷開與LAP的連接，連接上ET。

從表2中可以看出，手機APP端泄露的隱私數(shù)據(jù)數(shù)量和PII類型較多，而且有許多敏感和直接的隱私數(shù)據(jù)，這些隱私數(shù)據(jù)有一部分來自ICV，如油耗、里程、速度等，另一部分來自TSP服務(wù)器，是車主購車和保養(yǎng)時提交的隱私數(shù)據(jù)，如工作、郵箱、地址等。而在ICV端泄露的隱私數(shù)據(jù)數(shù)量和種類較少，大部分隱私數(shù)據(jù)都是間接或不敏感的。實驗結(jié)果表明，基于WC-ETA的Wi-Fi隱私泄露檢測方案能有效檢測ICV的Wi-Fi隱私泄露情況。

表2  基于WC-ETA的隱私泄露檢測方案的可行性評估

將不同ICV的檢測結(jié)果進行橫向?qū)Ρ?，現(xiàn)有的蜂窩網(wǎng)絡(luò)隱私檢測結(jié)果作為參考，結(jié)果如表3所示。橫向?qū)Ρ菴S75PLUS和VELITE6車輛端的WiFi隱私泄露情況，發(fā)現(xiàn)CS75PLUS的車輛端泄露的隱私字段數(shù)為8個，而VELITE6的車輛端泄露的隱私字段數(shù)為12個；橫向?qū)Ρ菴S75PLUS和Malibu XL手機端的WiFi隱私泄露情況，發(fā)現(xiàn)CS75PLUS的手機端泄露的隱私字段數(shù)為26個，而Malibu X的車輛端泄露的隱私字段數(shù)為38個。因此，可以認為CS75PLUS在車輛端和手機泄露的WiFi隱私數(shù)據(jù)數(shù)量，分別要比VELITE6和Malibu XL更少。

表3  不同ICV隱私檢測結(jié)果的對比

基于Wi-Fi和基于蜂窩的隱私檢測方法，均屬于基于流量的隱私檢測，都利用了不安全的無線信道固有的協(xié)議漏洞和典型攻擊，而不依賴于具體ICV的內(nèi)部設(shè)計，因此提出的方法具有一般性。與蜂窩隱私泄露檢測方法相比，提出的方法在更具針對性，在成本和通用性方面，也具有一定的優(yōu)勢，只需要一塊USB無線網(wǎng)卡，就能獲得司機的姓名、身份證號碼、手機號碼、行車軌跡、聽歌習(xí)慣等個人敏感信息。

表4  長安CS75PLUS不同攻擊的預(yù)估損失與風(fēng)險等級

比較三種不同的攻擊方式，開放、破解和WC-ETA的總體預(yù)估損失分別為12.801元、6.680元、0.243元，其中ICV的單項損失分別為1.768元、0.931元、0.032元，手機的單向損失分別為11.033元、5.749元、0.211元。不論總體還是局部，開放、破解和WC-ETA在兩種終端上的攻擊預(yù)估損失依次降低，ICV廠商應(yīng)該優(yōu)先處置開放WiFi監(jiān)聽，根據(jù)三輛ICV的實際觀察，它們都采取禁止連接開放WiFi的策略，符合我們的風(fēng)險分析結(jié)果。

比較相同攻擊下的兩種不同的終端，可以發(fā)現(xiàn)手機隱私泄露風(fēng)險總是大于ICV的隱私泄露風(fēng)險，增加Wi-Fi網(wǎng)絡(luò)安全性檢查有助于緩解隱私泄露風(fēng)險。ICV廠商可以控制每輛ICV的安全策略，比如禁用開放的WiFi連接，但在手機端有不同的終端類型，APP檢查Wi-Fi的安全性的行為可能被系統(tǒng)認定為侵犯隱私而被阻止。因此考慮將不安全的HTTP協(xié)議升級為HTTPS，甚至采用雙向認證、證書綁定、私有協(xié)議等方式傳輸隱私數(shù)據(jù)，可能是ICV廠商更優(yōu)的選擇。雖然這會增加成本，但借助本文的定性和定量風(fēng)險評估模型，可以計算出隱私泄露的預(yù)期損失，對比增加的成本和預(yù)期的損失，可以幫助ICV廠商進行決策。

根據(jù)定量的預(yù)估損失，通過劃分合理的閾值，可以將數(shù)值轉(zhuǎn)換為風(fēng)險等級值。假設(shè)5個等級從小到大按照閾值 進行劃分，可以得到每種攻擊定量轉(zhuǎn)換的定性風(fēng)險值。同樣我們按照ISO21434的定性風(fēng)險評估方式，可以得到每種攻擊的參考定性風(fēng)險值。對于每種攻擊，可以發(fā)現(xiàn)定量轉(zhuǎn)換的風(fēng)險值和ISO參考的定性風(fēng)險值一致，從而驗證了定性與定量結(jié)合的隱私風(fēng)險評估模型的有效性。

國家自然科學(xué)基金（U1836210）；海南省重點研發(fā)計劃（GHYF2022010）；海南大學(xué)科研啟動基金（RZ2100003335）。

楊波（1995—），男，海南大學(xué)碩士研究生，E-mail：yangb@nipc.org.cn

鐘永超（1997—），男，海南大學(xué)碩士研究生，E-mail：zhongyc@nipc.org.cn

楊浩男（1997—），男，海南大學(xué)碩士研究生，E-mail：yanghn@nipc.org.cn

徐紫楓（1990—），男，講師，博士，E-mail：zfxu@hainanu.edu.cn

李曉琦（1991—），男，副教授，E-mail：csxqli@hainanu.edu.cn

張玉清（1966—），男，教授，E-mail：zhangyq@nipc.org.cn