I-SIG系统的操作涉及基础设施侧设备,即路侧设备单元(Road Side Unit,以下简称RSU)和信号控制器,以及车辆侧设备,即车载单元(On-board Unit,以下简称OBU)。以前的工作发现传统的交通基础设施端设备倾向于使用较弱的认证机制,使得攻击者可以很容易地完全取得控制。这也是许多嵌入式网络设备中已知的问题,并且我们假设下一代基于智能网联汽车的交通系统将完全意识到这个问题,并采用足够强的认证机制,如之前的工作所建议的那样,以便系统不会轻易被攻击成功。
因此,在这项工作中,我们更关注车辆设备OBU的攻击。更具体地说,我们假设攻击者可以在他们自己的车辆或其他车辆上危害车载系统或OBU,以便向RSU发送恶意BSM消息来影响信号配时。需要注意的是,我们并不认为攻击者可以欺骗BSM消息中的发件人身份。USDOT将部署SCMS系统以确保所有BSM消息都被认证。由于本文中我们更关注基于智能网联汽车的信号控制特有的新安全问题,我们假设SCMS系统已经过充分测试并且不易被利用。
因此,在我们的威胁模型中,攻击车辆需要使用它们的真实身份,在发送BSM消息时仍然正确地签名,但是会在这些消息中发送伪造的车辆轨迹数据,例如速度和位置。这可以通过两种方式来实现:
(1)首先,攻击者可能通过利用软件漏洞直接危害OBU,类似于其他电子控制单元(ECU)上的妥协。
(2)其次,如果让OBU妥协难以实现,攻击者可以通过损害其他ECU,将带伪造传感器数据的伪造CAN消息发送给OBU。
由于威胁模型包括具有任意物理访问权限的恶意车主,只要车载系统不是无漏洞的,这种妥协总是可以实现的,就像今天的智能手机越狱一样。
为了最大化我们的威胁模型的真实性,在本文中,我们假设只有一个攻击车辆出现在交叉路口。由于信号控制算法(COP算法,具体请查阅参考文献一)针对交叉口中所有车辆(通常有100多个车辆)的总延误进行优化,对于来自单个车辆的数据能够显著影响信号配时应该是非常具有挑战性的。但是,如后面所示,由于几个新发现的易受攻击的设计和配置选择,这实际上极有可能实现的。
假设攻击者利用有限的计算能力来发起攻击,例如仅使用消费者笔记本电脑。更具体地说,当使用并行计算时,攻击笔记本电脑假定有四个处理器同时执行,这是消费类笔记本电脑(如Macbook Pro)的常用规格。在攻击交叉路口之前,攻击者被假定已经执行了足够的侦察,因此已经知道(1)信号控制算法选择,通过测试本文中确定的算法特定的漏洞,以及(2)信号控制配置和相位图,通过预先测量运行的相位,相应的信号持续时间和相位图。
由于在CV环境中,车辆向周围路侧设备广播BSM消息,同时攻击车辆在受害者交叉口处,所以我们假设攻击车辆可以接收与RSU中的那些相同的BSM消息。因此,他们可以自己运行COP和EVLS算法来了解执行的信号计划,并估算要执行的信号计划,这也在我们的开发过程中实施。