第十二週 Security

# Platform Design with Security 老樣子，拿出我們的 V Model。安全設計也一樣要在初期就同時制定好，不可以 Implementation 後才考慮。而三種階層也會對應到各自的安全性。 ## Layer Security Protecting 如果階層式架構再往下拆，各個 Abstract layer 也有各自的安全措施。老師說目前提供各階層哪裡可能有安全隱患的 tool 只優 Microsoft Security Development Lifecycle，但是他提供的判斷都是十分簡易的類型；這方面的 tool 還有待開發。 # 對稱加密在車聯網中，非對稱加密太花資源所以不考慮；而加密就算要用也會遇到容量問題。 ## 防範攻擊 - masquerade attacks - 傳送方要跟接收方持有相同鑰匙來防範仿冒者攻擊 - replay attack - 傳送時還要傳送 counter 相關的 bit 來防範重播攻擊 - 理論上來說只要傳 Least significant bits 就行 - 但是要最後幾位也是個重點 ## Spatial Key Management / Key 的空間管理接收方有以下做法： - 跟全部的接收方持有相同鑰匙 - 這是車廠目前能接受的，因為成本才壓的下 - 跟每一個接收方持有不同鑰匙 - 將接收方分組，跟每一個接收群組持有不同鑰匙只要分的組越多，每個 Key 的長度就會越短，因為 packet size 有限。但是分的組越少，一旦群組內有人轉身變成攻擊方，假冒成 sender 欺騙群組的人，可以攻擊到的人數就越多 ## Temporal Key Management / Key 的時間管理為了避免空間管理出現的 key 變小問題，所以 Perrig et al. 提出了 TESLA。 >Times Efficiency Stream Loss-tolerant Authentication 時間被話分成週期性的區段： - 一個區段內發送的訊息，後面會同時附帶一把鑰匙 - 但是一個區段的鑰匙，不會在該區段附上，而是其他區段 - 雖然好處是每次就負一把鑰匙就夠了 - 但想要解密的話，拿到鑰匙時就會有延遲 - 而且因為需要精準的時段，所以需要 global time，也因此只能用於 TDMA-based 這時就是 Timing Analysis 派上用場的時候，我們可以根據算出的 WCRT 中的「最小值 R」，對上面的設計做一些修改： - 原本一個時段內，使用的鑰匙跟發布的鑰匙起始跟結束時間是一樣的 - 現在改成發佈鑰匙的時間軸，可以整體延後 WCRT 的值這樣長的時間 - 因為我們知道至少 R 段時間後才會被接收到 - 也就確保一段時間使用的鑰匙跟發布的鑰匙不會一樣 :::warning 但是老化一句，上面的方法，除了 spatial 的全員共享鑰匙的方案，其他都太貴了。 ::: --- # Jamming 的影響 - CACC 會拉大車間距，降低道路使用效率 - 因為車子只會靠網路傳遞加速度訊息，速度跟位置的訊息車子可以靠 sensor 知道 - 所以被攻擊後只會不知道前車加速度資訊，但是至少可以靠速度等資訊避免碰撞 - 因此就會變成最保守的情況 - Intersection Management 會讓全車停下來 - 因為車子發現時間對不上(太晚拿到指令)，就會停下來繼續等 - 不過如果 Manager 知道可能會因為 Jamming 或是其他因素使得訊息有 Delay，所以有自動延後允許通行時間 - 那麼問題就可以解決 # Insider & Outsider Insider 就是持有鑰匙的攻擊者。想要防 Insider： - 如果是理性的攻擊者： - 那麼就是讓自己沒有被攻擊的價值 - 或是增加對方攻擊的成本 - 可以透過 Game Theory 開發解法 - 案例是先前的三輛車子，有一個人「說謊」，騙 Manager 自己的抵達時間 - 因為他有鑰匙，所以看得到全部人的資訊 - 此時可以透過付費機制，避免這種情況；也就是如果路口的車越多，先通行的車費用越高 - 如果是無理的攻擊者，他就是從攻擊中取得樂趣： - 那麼就是只能做 Detection ## Insider Detection 常用的檢測方法，強度低到高為： - Physics-based detection / PHY - Principal Component Analysis based (PCA) - Hidden Markov Model based / HMM - Machine Learning based # Consensus Algorithm 老師說這是可以開一堂課的內容，所以簡單介紹來說就是，結合眾人的力量，排處叛徒。當然有一堆細節要考慮，例如怎樣分辨誰是對的誰是錯的，參與 Consensus 的人有哪些限制。 >總不可能高雄的人參加臺北路口的 Consensus 用途廣泛，可以用於： - Intrusion Detection - Dynamic Map creation - Event report checking - .etc # Traffic Sign Design as a Game STOP sign 貼上一個黃色便條紙，就變成低速 100 的標誌。詳情可以參見我的 [機器學習安全特論]() 的筆記。 >上面那種攻擊手法叫做 Poison Attack。