资源描述
自动驾驶数据安全白皮书 ( 2020) 2020年 1月 版权 声 明 本白皮书版权属于国家工业信息安全发展研究中心及 各参编单位共有,受法律保护。转载、摘编或利用其它方式 使用白皮书文字或者观点的,应注明 “ 来源:自动驾驶数 据安全白皮书( 2020) ” 。违反上述声明者,国家工业信 息安全发展研究中心及各参编单位将追究其相关法律责任。 牵头编写单位: 国家工业信息安全发展研究中心 联合编写单位: 中国社会科学院大学、北京航空航天大学、电子 科技大学、华为技术有限公司、北京四维图新科技股份有限公司、 北京天融信网络安全技术有限公司、北京梆梆安全科技有限公司、 重庆长安汽车股份有限公司、中国第一汽车集团有限公司 参编人员: 潘妍、李卫、苏仟、余宇舟、范戴芫、 闻 书韵、 刘 晓春、许涤非、李梦雪、王云娜、张雯滔、王可欣、 秦洪懋、 王颖会、杨纯颖、冀浩杰、 罗蕾、陈虹、 陈幼雷、李燕华、王 怡然、伍勇、 孟庆昕 、石清华、 马周、侯燕、姚保军、严明、 王玺伟、 范雪俭、李沛盈、陈强、 王海罗、王晨煜 、 陈博、李 木犀、何文、汪向阳、罗薇、卢佐华、龚伟炜 (排名不分先后) 前 言 当前,信息化、数字化已经成为人们 重要 的 生活 和生产方式, 数据驱动的智能时代正加速来临。自动驾驶被认为是 未来 智慧 交通 的重要组成部分,其功能实现 依赖 于 海量 数据,其 安全 运行 的 关键 在于 数据安全。 因此, 如何在保障安全的基础上促进数据的充分利 用,是发展自动驾驶及更多 “ 智能 +” 领域需要面对和 解决的问题。 目前对于自 动驾驶的定义,国际上并未 达成 统一认识 ,本白皮 书主要 研究 基于 车路协同 的自动驾驶。 本白皮书在梳理自动驾驶数据安全政策法规 和技术现状 的基础 上,系统分析了自动驾驶数据的特点及产生流程,按自动驾驶功能 的 实现流程提出了 数据的 分类方法 ,并依据数据安全 遭受破坏 后所 产生的影响和危害 程度,参考信息 安全等级保护要求, 对自动驾驶 数据进行 了 分级。 此外,本白皮书按照采集层、通信层、平台层、应用层的技术 架构 , 系统分析了自动驾驶数据安全风险,并提出 了 相应的防护手 段 和对策。最后,本白皮书就自动驾驶数据全生命周期安全提出了 自动 驾驶数据 安全 防护 体系,并针对目标体系的落地实现给出了相 关建议。 目录 第一章 自动驾驶数据安全概述 . 1 一、编制背景 . 1 二、编制目标 . 2 三、特别声明 . 2 第二章 技术与政策标准现状 . 4 一、技术发展现状 . 4 (一)自动驾驶相关技术发展现状 . 4 (二)自动驾驶数据安全发展现状 . 5 二、政策标准现状 . 8 (一)自动驾驶数据安全法律政策 . 8 (二)自动驾驶数据安全标准规范 . 12 第三章 自动驾驶数据风险分析 . 15 一、自动驾驶数据分析 . 15 (一)数据特点 . 15 (二)数据产生流程 . 18 (三)数据分级分类 . 22 二、数据安全风险分析 . 27 第四章 自动驾驶数据安全体系 . 35 一、目标体系 . 35 二、政策法规 . 36 三、安全标准 . 37 四、安全防护技术 . 39 第五章 发展建议与展望 . 48 附录:缩略语 . 50 自动 驾驶数据安全白皮书 ( 2020) 1 第一章 自动驾驶数据安全概述 一、 编制 背景 自动驾驶汽车指主要依靠人工智能、视觉计算、雷达和全球定位 及车路协同等技术,使汽车具有环境感知、路径规划 和 自主 控制的能 力,从而 可让计算机 自动 操作的机动车辆。 美国、德国等国家 均将自动驾驶汽车视为未来汽车产业发展的主 流趋势 , 各方面投入持续加大。 2018 年自动驾驶行业 分析 报告 指出 , 综合分析行业和市场两个维度 , 目前德国与美国保持领先地位 , 瑞典 和英国位列第三、第四名 , 中国位于第七位。 近些年,中国汽车产业链上的企业 在自动驾驶领域 积极 探索前进, 并 在基于 V2X 技术的自动驾驶感知、自动跟车和自动泊车 等 多项关 键技术方面实现了突破。 但对 相关技术的掌握与欧美等发达 国家仍存 在一定的差距。 有别于传统人工 驾驶车辆,自动驾驶车辆的最大特点是 AI 技术 的主导,其驾驶 过程 是机器不断收集驾驶信息并进行信息分析和自我 学习从而达到 自动 驾驶的 系统 工程 。 伴随自动驾驶汽车的发展 ,每辆 汽车将从过去的封闭转向开放,融入到联网的平台中进行实时的信息 交互。黑客可以通 过网络对车辆进行远程攻击,使车辆做出熄火、 刹 车、 加减速 、 解锁等操作,也可以通过截获通讯信息、攻击云端服务 器,达到窃取用户信息和车辆数据的目的,严重的还会威胁驾驶员和 自动 驾驶数据安全白皮书 ( 2020) 2 乘客的生命安全。同时,在自动驾驶 产业链中 ,数据的采集、存储、 处理、传输、共享等生命周期 各环节 潜在的安全 威胁都给自动驾驶数 据 防护 带来 了全新的挑战 ,要想实现自动驾驶汽车规模化、商业化落 地 ,必须解决“数据安全”这一“拦路虎”。 二、编制目标 本白皮书是国内首份专门面向自动驾驶数据安全领域的白皮书, 旨在进一步贯彻落实网络安全法 、 信息安全技术个人信息安全 规范 、 个人信息和重要数据出境安全评估办法 (征求意见稿) 、 车联网(智能网联汽车)产业发展行动计划 等法规政策要求,梳 理国内外自动驾驶数据安全领域相关标准与实践,推进当前及未来一 段时间自动驾驶 数据安全相关 工作,推动解决 相关 标准 不健全、 安全 体系 不完善 等问题,为行业主管部门提供决策参考 , 推动 行业 安全健 康 发展 。 三、特别 声 明 (一)研究范围聚焦自动驾驶 数据 安全 领域 自动驾驶数据安全涉及法律法规、技术标准、安全 体系 等诸多方 面,白皮书的编制主要是为了给相关行业主管部门和企业提供决策参 考,集中关注自动驾驶本身的数据安全问题,并围绕相关风险和防护 展开研究,暂未涉及其他方面。 (二)研究内容仍有待进一步丰富完善 自动 驾驶数据安全白皮书 ( 2020) 3 本白皮书主要观点和内容仅代表编制组目前对自动驾驶数据安 全的研究和思 考,欢迎 业界 专家指导 和 提出意见 ,共同推进白皮书的 不断 更新 与 完善 。 自动 驾驶数据安全白皮书 ( 2020) 4 第二 章 技术与政策标准现状 一 、 技术 发展现状 (一)自动驾驶相关技术发展现状 自动驾驶最早应用于 20 世纪 90 年代的美国军事领域,产业化开 始于 21 世纪谷歌 Moonshot 计划中的无人车项目 。 以英特尔 153 亿美 金收购自动驾驶视觉芯片公司 Mobileye 为标志事件 , 全球进入供应 链整合期。 2020 年开始,主流车厂预计将陆续推出 L3 及以上自动驾 驶量产车辆,自动驾驶产业有望进入黄金发展期。 当前,美国、德国、日本等国家对自动驾驶的研究起步较早,并 拥有了一定的技术和数据优势,中国属于后起之秀,大有利用领先的 5G 技术实现弯道超车之势。从全球自动驾驶技术方案来进行划分, 主要分为以激光雷达感知为主和以视觉感知为主 的 两大阵营,其中以 前者为主的产品包括百度阿波罗平台、四维图新智能汽 车大脑 ,以及 以小马智行、禾多科技等一批初创企业。除此之外,国外 以 谷歌 Waymo、通用 Cruise、戴姆勒、宝马等 为代表 的 主流车企均是以激光 雷达为主要感知设备。以 后者为主的企业 主要包括以 特斯拉为典型代 表的少数国内外公司 ,它们 更看好 用 视觉感知 技术 推动 自动驾驶 产业 的落地,而未采用成本较高的激光雷达感知 技术 。 关于自动驾驶分级,国际上通常采用的是美国 机动车工程学会 ( SAE) 定义的标准,其中 L2 及以下定义为高级辅助驾驶技术, L3 自动 驾驶数据安全白皮书 ( 2020) 5 及以上定义为自动驾驶技术,从 L3 向 L4 或 L5 升级的过程,最主要 的区别在于驾驶员的手脚、眼睛及注意力的可释放程度,可释放程度 越大,自动驾驶等级越高, L5 是自动驾驶技术的终极目标。目前国内 外还处在 L2 及部分 L3 场景量产落地的前期探索阶段,而若想实现 全场景的 L4 或 L5 级别的自动驾驶,尚需 5 到 10 年以上的不断探索 与发展。 现阶段的单车智能可以简单理解为感知、决策及执行三大 模块 。 车身上预装的摄像头、激光雷达、毫米波雷达、超声波雷达、 GPS+IMU、 高精度地图 等感知单元通过对环境进行数据采集,获取行驶环境信息, 对信息中的数据进行处理,然后依托车辆的 “ 大脑 ” 中央处理平台通 过合适的算法挖掘出有价值的数据并赋予其物理含义进而做出最优 决策,最后执行模块将决策的信号转换为车辆的动作行为。 (二 ) 自动驾驶 数据安全发展现状 与 传统数据类似, 自动驾驶数据安全的特性 也主要表现为 机密性 、 完整性、可用性 。自动驾驶数据的机密性是指 用户隐私数据、测试场 景数据、人机交互数据等不泄露给未授权的个人、实体、进程,并保 证其不会被利用的特性。自动驾驶数据的完整性是指自动驾驶决策与 控制数据、动态交通环境数据等没有遭受以未授权方式所作的更改或 破坏,保证自动驾驶车辆信息数据的正确生成、存储和传输的特性。 自动驾驶数据的可用性是指已授权的个人、实体一旦需要就可 以访问 和使用自动驾驶数据和资源的特性。 自动 驾驶数据安全白皮书 ( 2020) 6 如果 自 动驾驶相关数据遭到窃取 或 篡改 ,会直接造成财产或生命 损失,相比传统数据破坏 危害更大。 近几年 , 自动驾驶 数据安全领域 事件 频发, 标志性事件如 2015 年查理 米勒和克里斯 瓦拉塞克攻击 了 Jeep Cherokee 车联网系统,利用 Linux 系统漏洞,远程控制汽车 的多媒体系统,进而对瑞萨 V850 控制器固件进行修改,获取远程向 CAN 总线发送指令的权限,从而能够完全控制车辆; 2015 年,来自 德国 ADAC 汽车协会的安全研究人员对宝马 Connected Drive 进行中 间人攻 击,通过伪基站对通信控制协议进行逆向工程后,伪造控制指 令数据 解锁汽车; 2016 年,宝马 车载娱乐系统爆出远程操纵 0day 漏 洞,恶意攻击者可以借助此漏洞绕过 VIN 码(车辆识别码)会话验证 环节获取另一用户的 VIN,然后利用该 VIN 接入访问和编辑其他用 户的汽车设置 。 2016 年,安全研究院卡姆卡尔发现,利用安吉星导航 系统的漏洞,能够远程控制超过数百万辆的通用汽车; 2016 年,在 Black Hat 大会上,相关人员演示了通过 OBD 接口设备攻击汽车 CAN 总线,干扰汽车驾驶 。 此外, OBD 设备还可采集总线数据、伪造 ECU 控制数据,造成 TCU 自动变速箱控制单位等系统的故障 ; 2016 年, 来自挪威安全公司 Promon 的专家在入侵用户手机后,获取了特斯拉 App 账户用户名和密码等数据,然后 登录 特斯拉车联网服务平台,从 而可以随时对车 辆进行定位、追踪,并可解锁、启动车辆 ; 2018 年 7 月,由于数据管理平台在使用远程数据同步工具 rsync 处理数据时, 备份服务器没有限制使用者的 IP 地址,也未设置身份验证等用户访 问权限,导致百余家车企的机密文件被曝光,包括大众、特斯拉、丰 自动 驾驶数据安全白皮书 ( 2020) 7 田、福特、通用、菲亚特克莱斯勒等车企。上述安全事件,都和车辆 数据相关,并且都能造成大规模的车辆控制和用户数据泄露。因此, 自动驾驶车辆数据安全的等级以及防护手段和技术, 也应高于传统 IT 网络和终端。 目前 , 自动驾驶 数据安全技术仍 是以传统 数据安全技术为主, 如 数据安全隔离、安全认证、安 全授权、数据脱敏、安全存储、安全传 输、数据审计、数据备份、数据恢复、安全擦除等 。 但是在自动驾驶 场景下以及自动驾驶功能实现的过程中,相关 安全防护 技术需要结合 自动驾驶的差异 性特点 进行改进,如 自动驾驶车辆的车内数据安全 要 求车辆 认证加密或密钥的管理具备轻量、易集成和延迟低的特点, 车 路协同自动驾驶的 V2X 安全传输要求海量证书管理能满足广播、小 批量数据传输 的 安全要求。同时,按数据 重要程度和面临的风险不同, 所采用的数据安全 防护 技术 也需要 做出 相应的 完善 与 调整 。 一方面 , 现 阶段 自动驾驶数 据产生和保存还局限 于相关研发机构、 企业以及国家级自动驾驶测试区。 各机构 虽 建立了 较 大规模的 数据库, 开源了 实时训练数据集, 但 自动驾驶数据的实际应用交互尚未普及, 相关的安全风险尚未完全暴露。另一方面,随着 自动驾驶汽车的 不断 发展 ,车辆相关 的数据量将日益增大 。保守估计 ,当前一辆配备三颗 摄像头、一颗 32 线激光雷达 以及 组合惯导系统等传感器的自动驾驶 测试车,每小时约产生 20GB 数据。后续 , 随着 L3 或 L4 级别的 车辆 量产落地,为了保证自动驾驶 车辆安全 运行,传感器 和 计算模块的数 量 必然会大幅 增加 ,也就意味着 每天产生的数据量将成倍甚至几十倍 自动 驾驶数据安全白皮书 ( 2020) 8 增加。 这些数据 不管是 实时存储 在 云端,还是暂时存储在车辆上,如 何保证海量数据的安全,都将是巨大的难题与挑战。 二、政策 标准现状 (一 ) 自动驾驶数据安全法律政策 1、 美国自动驾驶法案 汽车安全与隐私法案 2017 年 9 月,美国众议院通过了 HR3388 号自动驾驶法案, 其 全称为(车辆发展中确保生命安全的未来开发和研究法),该 法案从自动驾驶汽车的管理、安全标准 的 制定、系统网络安全 的 构建、 检测和评估、隐私保护等方面为监管确立了基本框架 , 并 规定 美国高 速公路安全管理局及各州的 行政部门仅可执行与 自动驾驶法案 中 所规定 尺度 一致 或更 为 严格 的标准,同时 美国高速公路安全管理局 可 通 过修订现行法规和豁免的方式统一监管自动驾驶汽车的设计、制造 等生产环节 。 除此之外,美国两位议员提交的 汽车安全与隐私法案 还提出 了 “ 驾驶数据 ” 这一概念,其 主要 包括收集的与车辆状态(包括位置、 速度、用户信息)相关的 电子信息。 2、 欧盟及其成员国 ( 1) 欧盟 通用数据保护条例 智能汽车网络安全与适应力 通用数据保护条例 ( GDPR)于 2018 年 5 月 25 日生效并取 代 1995 年的数据保护指令。 GDPR 旨在加强和统一欧盟境内所 有个人 数据保护 有关 规定,并 对欧盟境内的个人数据出境 问题 做出了 自动 驾驶数据安全白皮书 ( 2020) 9 明确的 规定。 欧盟 委员会于 2016 年 11 月 30 日发布了欧盟网联汽车战略( “ 欧 盟战略 ” ),表明了 个人数据和隐私 保护对于自动驾驶汽车 能否 成功 落地 应用 起着 决定性 作用 。 欧盟认为必须使用户对他们的个人数据未 被当作商品感到放心,且消费者对于如何 及以何种目的 使用他们的数 据保有有效的控制权力。 2017 年 1 月 13 日,欧盟网络和信息安全机构( ENISA)发布了 智能汽车网络安全与适应力的研究报告( “ ENISA 指南 ” ),提 出了应对网络威胁,保障智能汽车安全的最佳实践和建议。 ( 2) 德国道路交通法 德国联邦议院于 2017 年 5 月 12 日修订了德国道路交通法, 通过了德国首部针对智能汽车的法律规范,澄清了包括基本概念、许 可条件、责任归属等重要问题,在一定程度上为智能汽车在德国的发 展清除了法律上的障碍。 就数据 而言,法案 规定 当驾驶操作 方 在驾驶员和 高度或完全自动 系统之间发生转变时,自动驾驶汽车将储存由卫星导航系统确定的地 点和时间信息;如果系统对驾驶员提出了接管汽车驾驶的要求,或者 系统出现了技术故障,这些信息也同样会被保存。 同时, 针对智能汽 车采集数据的利用,法案 规定 了 车主 提供数据的义务 , 并且 规定了高 度或全自动化功能的汽车必须 具有 根据 通用的国际 标准来记录汽车 在某一时刻究竟由驾驶人控制,还是由高度或全自动化功能控制,即 所谓的 “ 黑匣子 ” 记录功能。上述数据应根据道路交通监管部门的要 自动 驾驶数据安全白皮书 ( 2020) 10 求依法提交, 相关 部门 同时 享有 保存和使用相关数据 的 权利 。此外, 数 据的保存时效也需满足特定要求,在发生交通事故的情况下需保存 三年 。 3、 中国 民法总则网络安全法 个人信息安全规范等 ( 1) 民法总则网络安全法和信息安全技术个人信息安 全规范 民法总则要求任何组织和个人在获取他人个人信息时,应依 法取得并确保信息安全,不得对他人信息进行非法收集、使用、加工、 传输,不得非法买卖、提供或公开他人个人信息。 2017 年 6 月 1 日 , 中华人民共和国网络安全法(简称 “ 网 络安全法 ” )正式施行。网络安全法第三十七条规定, “ 关键 信息基础设施的运营者在中华人民共和国境内运营中收集和产生的 个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供 的,应当按照国家网信部门会同国务院有关部 门制定的办法进行安全 评估;法律、行政法规另有规定的,依照其规定 ” 。 作为网络安全 法的配套规则,国家互联网信息办公室(简称 “ 国家网信办 ” )制 定了个人信息和重要 数据 出境安全评估办法(征求意见稿)(简 称 “ 数据出境办法 ” ),并于 2017 年 4 月向社会公开发布征求 意见的通知。 2019 年 5 月 28 日,国家网信办公布了数据安全管理 办法(征求意见稿),对于重要数据的发布、共享和出境作出了原 则性审批规定。 2019 年 6 月 12 日,国家网信办公布了个人信息 出境安全评估办法(征求意见稿)(简称 “ 个人信息出境办法 ” ), 自动 驾驶数据安全白皮书 ( 2020) 11 与数据出境办法相比,删去了重要数据出境评估的内容,对个人 信 息出境作出 了 专门规范。 ( 2) 军事设施保护法 自动驾驶过 程中不可避免 地 要实时采集和分析行驶过程中的地 理地貌和道路建筑信息 。 如果 相关设备 一旦靠近军事设施,就有可能 违反军事设施保护法第三章和第四章中, 关于 军事禁区和军事管 理区的规定。 通常 军事管理区的划定范围比较大,一般来说,部队家 属院、营区生活区等都属于军 事管理区。而这类地域正是车辆进出比 较频繁的地方。如果自动驾驶 汽车进入此类地区,所有采集的道路信 息都需经 军事管理区管理单位 审查同意 。 ( 3) 中华人民共和国测绘法 中华人民共和国测绘法中 第八章第四十七条规定地理信息生 产、保管、利用单位应当对属于国家秘密的地理信息的获取、持有、 提 供、利用情况进行登记并长期保存,实行可追溯管理。自动驾驶数 据感知收集 过程中会不断采集地理信息, 相关 地理信息中 若 涉及到属 于国家 秘密的地理信息需要在 有关 部门登记并保存。 但目前 如何界定 自动驾驶过程中采集的地理信息 是否 属于国家秘密 仍 是 自动驾驶数 据 领域 的 一个重要课题。 此外,汽车行业的最大特点是全球产业链的高度融合,当前 在 中 国市场 上销售的车辆中,进口车及中外合资生产的车辆占到相当大的 比例。车厂 通过互联网集中收集车辆 信息,由此而产生的自动驾驶数 据出境问题几乎是一个无法回避的问题 , 值得 高度 关注。 自动 驾驶数据安全白皮书 ( 2020) 12 (二) 自动驾驶数据安全标准 规范 1、 ISO/TC22 制定道路车辆 信息安全标准 ISO/TC22 是国际 标准化 组织下设的道路车辆技术委员会。 2018 年,该组织围绕 ISO/SAE 21434(道路车辆 -信息安全工程) 在美国、 波兰、以色列等地召开联合工作组会议,明确 了 该标准的 结构 框架 、 适用 范围、 特定 对象 和 主要内容 等 ,并 指出 该标准适用于道路车辆的 电子电气系统 以及 各系统间的接口交互与通信,规范了企业对 车辆 信 息安全的管理, 提出了 道路车辆在安全生命周期 内的电子电气系统、 系统间接口交互、系统间通信的信息安全技术要求 , 总结了 安全 风险 与 威胁 评估方法、信息安全系统 测试评价方法、信息安全流程开发管 控要求 等 内容 。 2、 企业联合白皮书自动驾驶 安全第一 白皮书由安波福、奥迪、百度、宝马、德国大陆集团、戴姆勒、 菲亚特克莱斯勒、 HERE、英飞凌、英特尔和大众等 11 家公司联合发 布 。该白皮书 为基于安全 的自动驾驶乘用车的开发、测试及验证等各 阶段提供了指导,旨在共同建立自动驾驶的 行业 安全 标准,同时强调 通过设计、测试与验证 实现安全的重要性。 该白皮书表明可以通过车辆感知传感器(如摄像头、激光雷达、 超声波、麦克风等)获取周围环境中的所有相关信息,包括辨别行人、 障碍物、交通标志和声音信号等,来降低风险。 同时 指出 , 自动驾驶 车辆 在 记录用户个人数据时,应符合隐私保护规范。 3、 英国 联网与自动驾驶汽车网络安全主要原则 自动 驾驶数据安全白皮书 ( 2020) 13 英国运输部及国家基础保护中心于 2017 年 8 月 6 日公布联网 与自动驾驶汽车网络安全主要原则,其中八大原则如下:( 1) 董事 会 负责 管理并改进组织机构安全 。 ( 2) 按 适当 比例评估、管理安全 风险,包括 车辆 供应链特有 安全风险 。 ( 3)组织机构需 建立 产品后 期维护和事件响应 机制 ,确保系统在整个生命周期的安全 。 ( 4) 所 有组织机构,包括子承包商、供应商和第三方应合作改进系统安全 。 ( 5) 应 采用深度防御方式设计 各相关 系统 。 ( 6) 实行 软件 全 生命周 期 安全 管理 。 ( 7) 确保数据存储与传输安全 可控 。 ( 8)确保系统对 各类 攻击 的 防御 具备 弹性 。 其中 每个原则均包含 各类 子原则, 该 原则 同时 要求 自动驾驶 相关组织机构 应 确保系统能支持数据取证 或支持 可 恢复用于司法认定 的唯一可识别数据, 这些数据可用来发现任何网 络 或其它事件的原因。 4、 美国现代汽车的网络安全 最佳实践 自动驾驶系统 2.0: 安全愿景 自动驾驶汽车 3.0:为未来交通做准备 美国在 2016 年 10 月发布 的 现代汽车的网络安全最佳实践 要 求在开发阶段考虑数据 安全,遵循产品开发流程,避免设计系统存在 不合理的安全风险 ; 构建特定流程,明确考虑汽车 全 生命周期的隐私 和 网络安全风险,其 全过程监管原则更体现在具体风险规避制度中。 2017 年 9 月, 美国高速公路安全管理局 发布了自动驾驶系统 2.0:安全展望 , 取代了 2016 年发布的联邦自动驾驶汽车政策。 该 文件 建议汽车行业 应 投入 一定 资源 来 测试 评估 车辆 安全 风险 尤其是 车辆 数据安全风险 。 自动 驾驶数据安全白皮书 ( 2020) 14 2018 年 10 月,美国交通部发布 了 自动驾驶汽车 3.0:为未来交 通做准备, 旨在 推动自动驾驶技术与地面交通系统 多种运输模式的 安全融合,并明确了自动驾驶的六大原则,其中主要强调了自动驾驶 领域中的安全优先问题。 5、 中国智能网联汽车信息安全评价测试技术规范(征求意见 稿) 2019 年 6 月 11 日,由中国汽车工业协会牵头,百度 Apollo 等国 内 机构 参与制定的智能网联汽车信息安全评价测试技术规范(征求 意见稿)(简称 “ 规范 ” )正式发布。该规范由产学研各界 共同制 定, 是国内首个智能网联汽车的信息安全 测评 标准 。 参编单位既包括 百度、 中国 一汽 、北汽新能源、长城汽车、福特中国等国内知名企业, 也有 清 华大学、北京理工大学、北京航空航天大学等国内一流高等院 校。 规范 基于风险转化概率、风险可能计算、风险影响计算等多 个评测模型,提出了 对智能网联汽车的汽车中央网关、移动 通信 终端 等共计 13 个单元进行评测 的技术规范 ,主要针对 OTA 安全、数据安 全、网络安全等 6 大维度进行安全测评。 自动 驾驶数据安全白皮书 ( 2020) 15 第 三 章 自动 驾驶数据风险分析 一 、自动驾驶 数据 分析 (一)数据 特点 1、 自动驾驶数据与车联网数据的区别 目前自动驾驶数据与车联网数据略有不同 。 车联网数据从传统车 联网狭义 概念到智能网联广义 概念 的 变化 过程 中,数据特点也 发生了 变化 。 传统车联网数据量少,数据仅来 自 终端功能简单的信息服务, 随着智能网联下车联网服务范围不断 丰富,车内外交互信息增多,未 来车联网数据的特点会与自动驾驶数据的特点愈加相似。 在自动驾驶时代, 无论是测试阶段 还 是实际运行阶段都 会 产生 并 使用 大量 多 种 类型 数据。 在测试阶段 : 需要 使用 大量的测试 数据 来 验 证 自动驾驶 的 功能 ,并对 自动驾驶未来 的 服务 进行 预研。 在 对 大量 数 据 进行 标注 后, 感知和决策模型 开始 利用 数据 进行 训练 ,同时 提取自 动驾驶场景 数据 构建 虚拟 仿真模型 以 提升车辆的自动驾驶能力,保证 自动驾驶车辆的安全性和鲁棒性。 在实际运行阶段 : 自动驾驶车辆 的 正常运行 不仅依赖于 车端 传感器采集的大量数据 , 同时也依 赖于高精 地图数据、实时交通数据、天气数据等,而自动驾驶车辆运行 过程中 也会产生 或 接收 大量的车辆数据、 控制 数据、用户驾驶 数据 等。 自动驾驶数据与车联网数据的区别主要如下: 自动驾驶对 数据的 精度要求 更 高 。 由于 大量 数据 会 作为 自动驾驶 自动 驾驶数据安全白皮书 ( 2020) 16 系统 下发 指令 的 决策依据,如有偏差会对人身安全构成 巨大 威胁, 因 此 自动驾驶原型车一般都会加装精度更高的 GNSS 设备 或 其他辅助 设备 以 保证各类关键数据的 高效 准确 安全传输 。 自动驾驶数据 高度还原真实世界 。 自动 驾驶数据中 不仅 包含 道路 及其两旁的 全要素 静态 信息,还包括道路上动态的车辆、行人、交通 信号等数据, 以及 部分 敏感地理信息,诸如军区、核设施、港口、电 力设施等 。 自动驾驶数据包含 用户 个人 数据 。 如 用户操作、应用使用 等 操作 习惯 数据 , 也包括行程轨迹,用户导航 、历史及即时地理位置等 驾驶 习惯 数据 ,此外 还包括用户 个人虹膜 、指纹、声纹等生物 特征数据 。 自动驾驶车辆 实时产生海量 数据。 目前 的测试单车产生数据量 一 般 在 20GB/小时 左右 , 在 5G 网络未大 规模 应用 以后, 产生 的数据量 将 变得更加 巨大。 2、自动驾驶数据的特点 自动驾驶数据与车联网数据存 在 众多差异, 因此需要 针对自动驾 驶数据的特点进行分级分类以 全面考量 其安全 威胁 及 保障 手段。 综合 考虑 自动驾驶的人工智能属性 以及 自动驾驶数据 多样性、规模性、非 结构性、流动性 的 特点 。 除此之外 , 自动 驾驶车辆 还 具有 汽车本身的 安全 属性 和智能网联下 跨产业技术融合的特点。 数据多样性: 根据不同自动驾驶级别,数据产生的来源不同 。 数 据类别 不仅包括了汽车基础数据 (车牌 号、车辆品牌和型号、车辆识 别码、车辆颜色、车身长度和宽度外观等 相关 数据) ,也包括基础设 自动 驾驶数据安全白皮书 ( 2020) 17 施、交通数据、地理信息数据 (红绿灯信息、道路基础设施相关、道 路行人的具体位置、行驶和运动的方向、车外街景、交通标志、建筑 外观等真实交通 数据 ), 以及车主的大量用户 身份类 数据 (姓名、手 机号码、驾照、证件号码、支付信息、家庭住址、用户的指纹、面部 等生物特征信息等 )、用户状态数据(语音、手势、眼球位置变化等)、 行为类数据(登录、浏览、搜索、交易等操作信息等) 等。 数据规模性: 自动驾驶车辆 作为跨产业技术的融合载体, 融合 了 来自汽车、道路、天气、用户、智能计算系统等 多方面的 海量数据 , 涉及数据 类型多,需要统计分析的数据总量 大 。 数据非结构性: 数 据多样性决定了不同来源的数据格式不同,数 据的非结构性和非标准性 对数据聚合或拆分技术 以及 权限管理 和 安 全存储都 带来了巨大的挑战。 数据流动性: 大量自动驾驶数据在用户端、车端、云端等多 场景 的交互使得数据的流动性增大 。 除此之外,自动驾驶数据还具有跨行 业共享交换的特点。 因此,如何 确保交互 数据的安全性,是一个亟待 解决的问题。 数据涉密性: 自动驾驶汽车在公开道路驾驶过程中,会采集大量 的地理信息数据, 根据中国法律法规要求,采集地理信息数据可能涉 及涉密测绘成果,因此 需要按照 中华人民共和国保守国家秘密法 中 的相关规定 要求进行分级管理。 自动 驾驶数据安全白皮书 ( 2020) 18 (二)数据产生 流程 自动驾驶的整个流程归结起来有三个部分 。 首先,是通过激光雷 达、摄像头、车载网联系统等 设备 对外界的环境进行感知识别;然后, 在融合多方面感知信息的基础上,通过智能算法学习外界场景信息, 预测场景中交通参与者的轨迹,规划车辆运行轨迹,实现车辆拟 人化 控制融入交通流中;最后 ,跟踪决策规划的轨迹目标,控制车辆的油 门、刹车和转向等驾驶动作,调节车辆行驶速度、位置和方向等状态, 以保证汽车的安全性、操纵性和稳定性。自动驾驶在测试和实际运行 过程中将会 产生大量的数据,主要包括感知 数据 、决策与控制 数据 、 测试与仿真 数据 以及用户个人 数据 四大类 数据 。 1、 感知数据 在感知数据中 主要 包含自动驾驶传感器原始数据 、 动态交通数据、 自 动驾驶地图数据 和 车联网数据。 自动驾驶传感器原始数据 :主要 包括点云、视频、照片、高精度 定位坐标等 。此类数据是由加装在车辆上的自动驾驶传感器(包括: 激光雷达、摄像机 、高精度定位模组等)进行采集 。 动态交通的数据: 通常包含两部分 , 车辆轨迹通常从手机端和车 辆的 GPS 装置获得,经 由智能出行公司、出租车管理公司等平台回 传至有相关资质的公司,经 数据处理、校验再进行发布 ,形成动态交 通信息,给用户提示道路的拥堵信息。动态事件信息一般 由 用户手动 上报、行车记录仪识别上报,路边监控设备提取、政府机构官方发布 等渠道生成,数据回传至有相关资质公司的平台后进行分析聚类等处 自动 驾驶数据安全白皮书 ( 2020) 19 理,校验后发布,形成动态事件信息,提醒用户注意道路上的危险事 件。 自动驾驶地图 数据: 由拥有相关资质的 地图 供应商 提供, 一般的 生产流程包括数据采集、数据处理、数据出品及审图 。数据采集一般 使用配备高精度传感器的车辆进行作业,同时作业人员 必须 具有专门 的测绘作业证。数据处理将采集的原始数据进行整合处理、格式转化 、 地图数据制作 、 数据校验。数据出品会按照客户要求将地图数据转化 成相关的规格。生产完毕的地图需送至国家相关机构进行审图,获得 审图号和出版号后方可进行发布。 车联网数据 : 主要有两条产生途径 。 一是由车机系统、车机应用 产生,经由 T-BOX( Telematics BOX),通过运营商网络回传至车联 网后台。二是通过车联网应用回传车 联网数据,通过车联网应用( 如 呼叫中心,宾馆预订,兴趣点搜索等)将车辆的请求和响应数据存储 在云端。 2、 决策与控制数据 车辆控制技术是无人驾驶汽车行驶的核心 。 包括决策规划和控制 执行两个环节,这两项技术相辅相成共同构成自动驾驶汽车的关键技 术。 相关模块会汇集车辆所有重要信息,不仅包括 自动驾驶汽车本身 的实时位置、速度、方向,还包括车辆周边一定距离以内所有障碍物 信息数据、预测轨迹数据以及平台下发的动态交通数据。 决策层依据 感知数据来进行决策判断,确定适当 工作模型,制定相应控制策略 产 生 决策数据 ,从而 替代人类驾驶员做出驾驶决策。 执行层在系统做出 自动 驾驶数据安全白皮书 ( 2020) 20 决策后,按照 决策结果对车辆进行控制。车辆的各个操控系统都需要 通过总线 或 网络与决策系统相连,并能够按照决策系统发出的 指令精 确地控制 车辆 的加速程度、制动程度、转向程度 等驾驶动作,以实现 车辆的自主驾驶。 3、 测试与仿真数据 自动驾驶汽车测试分为硬件在环测试、软件在 环测试以及模型在 环测试,分别对应检验自动驾驶汽车感知、决策 两 大 模块。感知模块 的硬件在环测试主要分为两类,一类为测试硬件设施在极端环境下能 否正常工作;另一类为测试传感器自身 AI 识别能力。决策模块的 软 件在环测试则主 要检验系统在不同情况下是否可以做出正确决策。 感 知与决策模块的检验可以两种形式完成,一种为实际场景下的实车测 试,另一种为模拟环境下的数据测试。由于实车测试在短期内可预见 的极端环境较少,测试有较大的局限性,因此各大车厂在检 验过程中 更倾向于进行数据测试。在数据测试的过程中,基于全面的 仿真 能力 与云平台本身的数据存储,将大量实景数据、驾驶行为数据以及交通 动态数据融合,模拟真实行车环境。最后将环境模拟数据打包输送至 硬件在环与软件在环进行测试,在理论上检验该种车型是否能够达到 上路指标。 一个完整的自动驾驶仿真平台,需要包括静态场景还原、动态案 例仿真、传感器仿真、车辆动力学仿真、并行加速计算等功能,并能 够较为容易的接入自动驾驶感知和决策控制系统,形成闭环,达到持 续迭代和优化的状态。自动驾驶仿真一般包括拟真环境仿真、动态场 自动 驾驶数据安全白皮书 ( 2020) 21 景仿真、天气和气候仿真、传感器仿真、车辆动力学仿真。其中: 拟真环境仿真:可以采集实际环境信息及已有的高精度地图构建 静态场景,通过采集激光点云数据,建立高精度地图,构建环境模型, 并通过自动化工具链完成厘米级道路还原。 动态场景仿真:可以采集实际道路上的海量数据,经过算法抽取, 结合已有的高精地图,重建动态场景。 天气和气候仿真:在仿真环境里 设置不同天气,并调节天气参数, 比如太阳高度角,雾的浓度,雨滴的大小等,模拟出极端天气,训练 无人车应对这些情况,然后将训练好的数据模型运用于真实驾驶过程 中。 传感器仿真:包括物理信号、原始信号、传感器目标三个层级的 仿真,仿真对象为 激光雷达 、视觉(摄像头)、雷达、辅助传感器等 系统。 车辆动力学仿真:包括车体模型参数化,轮胎模型参数化,制动 系统模型参数化,转向系统模型参数化,动力系统模型参数化,传动 系统模型参数化,空气动力学模型参数化,硬件 IO 接口模 型参数化, 根据实际测试车辆的动力学配置合适参数。 交通场景数据是自动驾驶汽车研发与测试的基础数据资源,是评 价其功能安全的关键参考, 也 是定义自动驾驶汽车技术标准的重要依 据。场景库能够通过软 件以及仿真工具包对测试场景进行虚拟复现, 其 元素包含各种道路 路况 、交通标志、气象环境、事故场景、法律法 规场景,驾 驶人员及其他交通参与者的行为习惯等 。 将这些场景元素 自动 驾驶数据安全白皮书 ( 2020) 22 及车辆驾驶 行为 进一步数字化,有利于进行数据提取并量化分析自动 驾驶的安全性能 和 不足,测试过程产生的数据也能更好地支撑场景库 的建设。 4、 用户个人 数据 汽车的车载娱乐系统将不仅限于播放音乐、视频、 通信 等 功能, 还能保存个人设置和偏好。出于导航目的,汽车 将收集并使用位置数 据 , 诸如目的地信息、路线信息、速度和花费的时间。地理位置功能 在现有的传统车辆中也同样被用于记录位置,提供旅途相关的其他 信 息,比如实时交通数据和规划路线沿途名胜,以及设定道路偏好, 从 而 避开高速公路或收费公路。到目前为止,汽车收 集的个人数据量是 较少的。然而,自动驾驶汽车的发展和使用将使大量 的个人数据被收 集,这其中包
展开阅读全文