吴佳桐,黄 龙,王 勇,罗 安
(1. 自然资源部地图技术审查中心,北京 100036; 2. 中国测绘科学研究院,北京 100036)
智能汽车是以智能化、数字化为基础的新科技变革和产业变革趋势下产生的新业态。发展智能汽车可以促进国家科技、经济、社会、生活、安全及综合国力,对我国具有重要的战略意义[1]。
智能汽车自动驾驶功能的实现主要有3种技术路径:一是机器视觉路径,具有规模化、成本低、不依赖道路设施等优势,但该技术路径精度低,感知和预测能力弱。二是雷达协同高清地图的路径,具有精度高、感知预测能力强等优势,但该技术路径应用成本较高,道路使用范围受政策限制。三是车联网路径,具有精度高、成本低的优势,但该技术路径在经济和时间上的前期投入相对较大[2],如道路基础设施、5G网络、车联网数据标准等。3种技术路径中,车联网路径是我国智能汽车发展的主流方向,是实现“人-车-路-云”协同一体化创新道路的必经之路。当前我国已具备如路网规模、5G 通信、北斗卫星导航系统等方面的战略优势,不过仍需构建完备的智能汽车基础设施和智能汽车法规标准。
智能汽车自动驾驶功能的实现离不开路网地图,这种泛在测绘在智能汽车产业中的表现形式统称为车载地图,是智能汽车自动驾驶不可或缺的要素之一。因自动驾驶技术的日趋成熟,地图为满足汽车行业要求,逐渐朝着高鲜度、高精度、多维度方向发展[3]。2018年7月第一件智能汽车车载地图通过行政许可,在相关政策逐步放开的推动下,近5年可公开使用的该类地图呈现爆发式增长,如图1所示(数据来源于自然资源部网上政务平台)。然而,车载地图发展的同时也增加了智能汽车产业的地理信息安全风险,对地理信息安全防控提出了新的技术挑战。本文主要对智能汽车基础地图进行了界定,通过全面总结国内外标准现状,分析标准的发展方向,指明智能汽车在应用中主要的信息技术安全风险点,并提出智能汽车基础地图信息安全隐患的应对建议。
图1 智能汽车的车载地图行政许可情况
基于已往学术论文中对智能汽车车载地图的描述,如国际上的高分辨率地图或高度自动驾驶地图[4],以及国内常用高精地图[5]、智能高精地图(自动驾驶地图)[6]、自主导航地图[7]等,可以看出,智能汽车车载并不是传统意义上的“图”,而是一系列支撑自动驾驶的地理信息数据。在《智能汽车创新发展战略》中智能汽车基础地图(简称“基础地图”)一词首次被提及,但并未对其进行定义。本文所述的智能汽车基础地图是指含有空间位置地理坐标、能够与空间定位系统和感知设备等相关装置结合、支撑智能汽车驾驶自动化功能的地理信息数据集,可用于智能汽车自动化系统的导航、感知、定位和决策,如图2所示。
图2 智能汽车基础地图支持自动驾驶示意
与传统导航地图相比,基础地图具备以下几个特点:一是载体环境更为复杂,汽车上增加传感器系统、决策系统、执行系统,具备环境感知能力。二是精度表达程度更加丰富,除了定位精度外,增加了路侧信息、道路属性、路上方信息、实时交通等数据表达。三是逻辑结构更为多层,如认为基础地图是由“此时此地”驾驶环境的动态导航地图层和“彼时彼地”的先验导航地图层集成[7],或认为静态地图层、实时数据层、动态数据层、用户模型层[6],或认为静态地图、准静态地图、准动态地图和动态地图[8]。四是使用对象由驾驶员演变为智能汽车,可供车辆自主决策。普通的导航电子地图是面向驾驶员,而高精度地图是面向智能汽车自动驾驶系统。在全息时代下,基础地图逐步取代传统导航地图是车载导航地图发展的必然。
根据2022年3月实施的《汽车驾驶自动化分级》(GB/T 40429—2021)中对驾驶自动化的分级,基础地图的数据内容一般可以分为适合L0—L1的传统路网地图、适合L1—L3的传统路网地图叠加实现特定场景或范围的ADAS地图、适合L3—L5的高精地图或自动驾驶地图。对于L4和L5阶段,基础地图是智能汽车实现自动驾驶功能的必要数据基础,也是将各种传感信息有效融合在一起的高精度传感器超级容器[9]。
目前,国际标准化组织(International Organization for Standardization,ISO)已发布基础地图相关标准6项(ISO 14296:2016、ISO 18750:2018、ISO/TR 21718:2019、ISO 19297—1:2019、ISO 20524—1:2020、ISO 20524—2:2020),以及制定中的标准3项(ISO/AWI 19297-4、ISO/AWI TS 22726-1、ISO/AWI TS 22726-2)。内容主要以地图文件格式、数据库规范、数据共享、数据模型为主,具有抽象度高、普适性强的特点。国际上主流的地图标准主要有NDS和OpenDrive[10],此外还有Lanelets[11]、OpenStreetMap[12]、GDF、KIWI[13]、ADASIS、SENSORIS[14]等。这些国际标准对我国在基础地图数据库开发和数据应用方面具有一定的借鉴作用,不过因复杂的道路情况和车路协同的发展模式,我国需要研制适用于我国国情的相关标准。
2.2.1 基础地图相关标准体系
近年来,随着自动驾驶技术的快速发展,从地方层面到国家层面相继出台了与基础地图有关的标准体系。表1总结了地方、团体和国家3个标准体系组织层面现有的标准体系。可以看出,基础地图类作为智能汽车相关标准体系的一级类,是支撑智能汽车自动驾驶功能的关键技术。相关标准体系的提出,为基础地图相关标准的制定奠定了坚实基础,也为基础地图行业的安全发展提供了具体方向。
表1 国内标准体系研制情况
2.2.2 基础地图相关标准
在国家相关政策和自动驾驶技术发展的共同推动下,相关部门和学者对与基础地图相关的标准开展深入研究,已在地图处理制作、数据模型、信息交互、内容表达、定位技术等方面取得了一定的进展(见表2)。团标研制的占比较重,说明业内对相关标准的需求还处于高位。
表2 基础地图相关标准研制情况
基础地图的标准研制正处于起步阶段,除了已立项和公开的标准外,对基础通用类、交换格式和接口协议、数据处理、数据应用、数据测试、数据安全等方面逐步开展了预研工作[14]。根据各标准体系对于基础地图标准的规划,数据动态更新、数据交互与服务、数据测试、数据安全与监管等将成为基础地图有关标准研制的重要方向。
基础地图作为未来电子导航地图的发展方向,对实现自动驾驶起到至关重要的作用。不过,地图内容和形式的革新也埋下新的地理信息安全隐患,本节从采集、通信、平台3个技术层面对基础地图应用中的地理信息安全风险点进行分析。
地图数据的采集中主要存在感知数据安全风险。自动驾驶与智能网联汽车上安装卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后,在运行、服务和道路测试过程中将对车辆及周边道路设施空间坐标、影像、点云及其属性信息进行采集,相关测绘数据若不经过脱密脱敏处理而直接存储,存在高精度测绘数据泄露的风险。
3.2.1 内容传输风险
在云端与车端的通信交互时,利用车外通信网络传输数据会面临数据在通信链路上被窃听或攻击风险。随着蜂窝移动通信和互联网的发展,车载信息系统被连接到车联网服务平台上,远程控制车辆,实现网联驾驶和智能交通。然而汽车网络系统由使用平台、互联网、车载系统和终端等多个子系统组成,平台层还与其他应用服务商的子系统连接,众多主体参与自动驾驶汽车网络系统,致使传输数据被窃取或攻击的风险急剧上升[15]。
3.2.2 恶意攻击风险
动态地图数据在节点与节点之间通信时,攻击者可以通过身份伪造等方式攻击或威胁测绘数据安全。传感器采集大量感知数据上传至云端进行整合分析时,在传感器节点与云端通信的过程中,缺少相应的认证机制会造成数据伪造和篡改[16]。
3.3.1 大数据处理安全风险
目前大数据存储采用分布式存储技术,对于不同级别、不同类型的数据在物理上往往是混合存储的,不利于进行分类隔离和分级防护;同时在数据进行脱敏时,需要确保脱敏后数据的有效性。
3.3.2 非授权访问风险
内部人员可能越权访问或滥用权限,造成安全机制被绕过,非法获取数据,在制度及相应的系统配置上,给攻击者可乘之机。
3.3.3 系统及软件漏洞风险
对平台系统及基应用软件进行恶意修改,或在基础地图的版本更新过程中,利用固件效验、签名漏洞等篡改升级包获取数据。
基础地图在数据采集、制作、应用、传输、存储、管理等全生命周期都存在不同程度的地理信息泄露风险,威胁国家安全、公共利益及个人隐私。因此,加强基础地图数据安全防控工作势在必行,建议从政策标准、技术手段和从业人员3方面进行应对。
4.1.1 相关政策和标准难以满足要求
当前,我国自动驾驶地图参照导航电子地图法规进行管理,但《导航电子地图安全处理技术基本要求》并不适用于需要实时采集、耦合多源数据来动态更新的基础地图。另外,基础地图应用于驾驶系统中的多个环节,涉及工信、发改、科技、公安、交通、自然资源等多个主管政府部门,部门职能不同导致对地理信息使用的要求也有所差别,多部门交叉管理导致相关政策、法规、标准的系统性和体系化较弱。
4.1.2 现有技术手段不满足动态地图数据的审核和监管
目前对基础地图的地图技术审核和监管主要是其静态数据部分,尚未建立面向车端动态地图数据的审核和监管机制。对于地图审核方面,现有的地理信息保密技术、地图审查时效、地图内容表达要求不能满足基础地图数据应用需求。对于地图监管方面,也需要相关的技术手段支持监管车端对基础地图的合规使用,如基础地图是否已获得行政许可、地图数据跨网传输前是否经过脱敏、是否存在远程访问车端地图数据等。
4.1.3 从业者地理信息安全风险防范意识仍需加强
近年来,为了改善营商环境、激发市场主体活力,国家降低了准入门槛,地方放宽了对自动驾驶车辆测试和应用的要求,自动驾驶技术公司和汽车企业等非传统地图制作单位或人员参与到基础地图制作环节;同时数据众源这种较低成本的数据采集也扩大了从业者数量。由于从业者或单位对地理信息安全风险防范意识不强,对车端采集和存储的基础地图数据的安全使用和保密管理措施不当,出现如跨境传输数据、车端涉敏数据联网传输、数据共享等导致重要地理信息泄露的情况。这些风险点不仅要靠主管部门的监管排查,根本上还是需要基础地图数据的持有者对数据的合规使用。
4.2.1 加快完善政策法规和标准体系
明确的政策法规和标准是保障基础地图信息安全的前提,如《关于促进智能网联汽车发展维护测绘地理信息安全的通知》明确定义了智能网联汽车上的测绘行为和责任主体,使执法有据可依,有责可追。
4.2.2 攻克基础地图安全防控关键技术
针对前述的主要技术风险点,结合智能汽车基础地图的数据及其更新和服务特点,需重点围绕地图服务防控、审图、监管等环节,开展关键技术和技术工具研发。
对基础地图服务商而言,应重点加强基础地图服务的安全防护。如采取安全启动等措施,应对存储基础地图等关键部件硬件设备的物理攻击;采用技术方法防止车端基础地图传输及认证使用的密钥被非法获取;采用基于国产密码的认证加密技术确保数据传输时的安全。在云平台一侧,做好越权访问、泄露、篡改等安全防护;在应用层,对存储在车端的基础地图进行访问控制和防篡改。
对地图审核和服务监管方而言,应加快建立和完善基础地图的审核和监管机制。同时,深入研究各基础地图服务商在数据采集、存储、处理、更新和应用方面的共性安全薄弱点,重点突破实时数据保密、在线自动审查、内容安全评估、信息追踪溯源[17]等关键技术,建立在线监测、高效汇聚、多云协同的监测服务平台,支持对安全风险的及时发现和溯源。
4.2.3 强化地理信息安全风险防范意识
以往的地图知识宣传和教育主要是强化公众版图意识,而随着泛在测绘的兴起,正确的地理信息安全观也亟须纳入对公众普及的内容。加强对从业者地理信息安全防控意识的培训力度,在测绘法宣传日加大对公众开展地理信息安全教育,顺应行业发展建立人们的地理信息安全观,普及对违法行为的认识,如数据跨境传输、涉敏信息上传标注、涉及国家安全和秘密的数据共享等,营造健康的地理信息应用环境。
基础地图是实现智能汽车自动驾驶功能的重要一环,发展基础地图的同时不能忽视地理信息安全风险防控问题[18]。基础地图的数据动态更新、数据交互与服务、数据测试、数据安全与监管等成为其目前研究的重要方向。本文从采集、通信、平台3个技术层面梳理了基础地图应用中的地理信息安全风险点,指明当前基础地图的地理信息安全防控工作的3大难点,并提出了相关政策法规的快速落地、相关基础地图安全防控技术的攻克、地理信息安全防范意识的加强等措施,可有效应对地理信息安全隐患,推动基础地图相关行业高质量发展。