郗来乐 等: 智能网联汽车自动驾驶安全: 威胁、攻击与防护                                                   1863


                    模型的信息域输入是指通过           V2X  通信, 采集交通流量、高清地图等周围车辆、路测基础设施和云端的数据,
                 是自动驾驶汽车网联协同的重要手段. 本文主要关注                 V2X  通信链路安全对自动驾驶汽车运行产生的影响.
                    驾驶模型是自动驾驶汽车的实际控制核心, 模型安全直接影响到自动驾驶汽车的安全. 本文从模型训练、执
                 行、更新等全生命周期考察驾驶模型运行面临的问题, 不仅关注数据中毒、篡改等安全问题, 还关注了模型数据
                 泄露问题.
                    需要注意的是, 基于现有汽车架构, 模型视角下的自动驾驶汽车车载部件                       (包括车载总线、电子控制单元等)
                 仅执行驾驶模型生成的控制指令, 并不直接影响自动驾驶模型的安全性. 因此自动驾驶汽车车载部件的安全问题
                 固然重要, 但不在本文讨论范围.

                 3   环境感知安全分析: 威胁、攻击与防护

                    感知模块是自动驾驶的基础, 直接决定了任务的完成度. 一个典型的感知模块往往包括摄像头、激光雷达、
                 惯性导航单元     (inertial measurement unit, IMU) 和  GPS  等多传感器以及对应的数据处理方法    (数据清洗、特征提
                 取、深度学习模型等) 与多传感器融合算法              (multi-sensor fusion, MSF) 组成. 环境数据被不同传感器采集后, 在数
                 准确、连续和可靠的信号, 极易导致汽车失控、时间同步丢失和人员伤亡, 严重危及汽车及交通系统安全. GPS
                 据处理阶段通过数据清洗保留强相关数据, 经过特征提取和目标检测之后, 形成用以描述采集对象的语义信息, 之
                 后送入   MSF  算法中, 将各传感器关于目标的语义信息进行关联, 得到该目标的一致性解释与描述. 常见的传感器
                 及其特性和作用如表       1  所示.

                                          表 1 自动驾驶汽车中常见传感器的特性和作用

                       传感器种类               信号形式                             应用场景
                        摄像头                自然光                      识别交通标志、道路标线、行人等
                       激光雷达                激光束                          高精度的障碍物检测
                       超声波雷达               超声波                       检测汽车周围的近距离障碍物
                       毫米波雷达               毫米波                    低能见度情况下检测物体的位置和速度
                         GPS               电磁波                       提供定位信息和环境地理信息
                       惯性传感器               机械力               检测汽车的加速度和角速度, 提供运动状态和姿态信息

                    种类繁多、功能各异的诸多车载传感器显著地增加了自动驾驶的攻击面, 与人控汽车相比, 自动驾驶汽车传
                 感器采集信息一旦出错或被恶意控制, 将直接影响汽车控制及人员安全. 本文根据传感器工作原理以及自动驾驶
                 汽车感知流程, 梳理了       5  种攻击作用点   (A–E), 分别对应信号干扰、元件干扰、信号欺骗、语义欺骗和联合攻击
                 这     5  类攻击.
                 3.1   信号干扰
                    干扰在本节是指以干扰车辆感知模块为直接目的, 并由攻击者操纵的恶意干扰, 而不包括由于复杂电磁环境
                 引发的无意干扰. 根据对象来分, 干扰可以分为信号干扰和元件干扰.
                    信号干扰主要指增加频率噪声基底以降低目标物理信号                    (攻击作用点     A) 的信噪比. 信噪比越大, 说明信号中
                 含有更多有效信号, 则传感器接收信号的质量越高, 反之则传感器越难正确接收信号. 信噪比在一定阈值之下, 会
                 使目标传感器被致盲. 信号干扰主要存在于以电磁波作为信号载体的                      GPS、毫米波雷达等传感器中          [15] .
                    GPS  信号是实现自动驾驶汽车定位、导航和授时功能的重要基础, 但是                      GPS  无法在存在干扰的情况下保持
                                                                                                      干
                 扰的本质是干扰信号的功率抑制了导航信号的功率, 使其无法准确定位                        [15] . 文献  [16−18] 评估了全球导航卫星系
                 统 (global navigation satellite system, GNSS) 干扰器对自动驾驶的威胁程度, 着重强调了抗干扰能力对汽车安全运
                 行的重要性.
                    毫米波雷达主要用于在恶劣天气或低能见度情况下检测物体的位置和速度. 然而由于雷达工作频段大多相
                 同, 导致多部雷达在同一时间以相同的频率发射可能会发生相互干扰                       [19] . 干扰能够使本底噪声水平升高从而降低
                 目标的检测概率, 可能导致雷达截面积            (radar cross section, RCS) 较小的目标消失在雷达视野中    [20,21] . 文献  [22] 演