王濟(jì)瑾，肖曉強(qiáng)，陸鵬

（國(guó)防科技大學(xué)，湖南 長(zhǎng)沙 410007）

0 引言

車(chē)載自組網(wǎng)絡(luò)（VANET）是由車(chē)載單元（OBU）和路邊設(shè)施（RSU）組成的特殊網(wǎng)絡(luò)架構(gòu)。VANET是移動(dòng)自組網(wǎng)的一種特殊類(lèi)型,它具有高速、動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)，受到單條路徑規(guī)劃和建筑物、網(wǎng)絡(luò)節(jié)點(diǎn)隨機(jī)密度分布、無(wú)線傳輸間歇中斷、陰影效應(yīng)等障礙的限制。本文首先分析了VANET在安全防護(hù)方面的需求，然后詳細(xì)介紹當(dāng)前普遍適用的安全體系和標(biāo)準(zhǔn)，并對(duì)已經(jīng)發(fā)現(xiàn)的攻擊手段和對(duì)應(yīng)的解決方法進(jìn)行歸納總結(jié)，為下一步構(gòu)建更完善的VANET安全體系打好基礎(chǔ)，最后對(duì)新環(huán)境下（5G、人工智能）VANET安全防護(hù)可能需要解決的問(wèn)題進(jìn)行闡述。

1 VANET面臨的安全挑戰(zhàn)和迫切需求

1.1 VANET面臨的安全挑戰(zhàn)和限制

目前存在的一些安全挑戰(zhàn)：

（1）網(wǎng)絡(luò)規(guī)模、地理相關(guān)性、高機(jī)動(dòng)性和動(dòng)態(tài)拓?fù)?、短連接時(shí)間和頻繁斷開(kāi)連接：網(wǎng)絡(luò)規(guī)模可以在地理上無(wú)界且可擴(kuò)展，快速增長(zhǎng)，并且沒(méi)有全球權(quán)威來(lái)管理它的標(biāo)準(zhǔn)[1]。

（2）信任和信息驗(yàn)證：因?yàn)閂ANET自組織的特性促使節(jié)點(diǎn)從其他車(chē)輛和路邊基礎(chǔ)設(shè)施收集信息，在這個(gè)過(guò)程中節(jié)點(diǎn)間是需要相互信任的。由于信息交換是非常頻繁的，所以它必須被信任并且完整性要得到驗(yàn)證，更重要的是，數(shù)據(jù)的可靠性比傳輸數(shù)據(jù)的節(jié)點(diǎn)的可靠性更有用[2]。

（3）密鑰分發(fā)：VANET的安全機(jī)制依賴于密鑰，這使得密鑰分發(fā)至關(guān)重要；

（4）路由算法：在找到最佳路由后，要發(fā)送的數(shù)據(jù)包數(shù)量是一個(gè)挑戰(zhàn)，它可以是單播，廣播，V2V，V2I或者混合通信。

1.2 VANET在安全方面的迫切需求

（1）身份驗(yàn)證：確保消息是由擁有證書(shū)的合法用戶生成或者接收者通過(guò)一個(gè)筆名來(lái)標(biāo)識(shí)消息的發(fā)送者。

（2）可用性：通過(guò)抵抗DoS（拒絕服務(wù)），我們確保網(wǎng)絡(luò)能正常工作，因?yàn)樵谟袛?shù)秒的延遲情況下將使得消息傳遞沒(méi)有意義[3]。

（3）機(jī)密性：涉及對(duì)某些資源的訪問(wèn)限制的一組規(guī)則或承諾，它使用加密方式或以某種特殊形式的數(shù)據(jù)驗(yàn)證來(lái)完成在OBU和RSU之間的數(shù)據(jù)信息交換。

（4）不可否認(rèn)性：發(fā)送者不能否認(rèn)發(fā)送了一個(gè)消息，因?yàn)樗呀?jīng)通過(guò)了身份驗(yàn)證，甚至可以通過(guò)防篡改設(shè)備（TPD）來(lái)恢復(fù)攻擊者的身份[4]。

（5）完整性：數(shù)據(jù)保持完整，沒(méi)有發(fā)生數(shù)據(jù)更改。數(shù)字簽名用于消息和數(shù)據(jù)完整性。

（6）隱私和匿名：使用臨時(shí)和匿名鍵將用戶的身份隱藏到未經(jīng)授權(quán)的節(jié)點(diǎn)上，這樣就提供了位置隱私，沒(méi)有人可以跟蹤任何節(jié)點(diǎn)的軌跡。

（7）錯(cuò)誤檢測(cè)：用于檢測(cè)惡意和錯(cuò)誤的傳輸。

（8）訪問(wèn)控制：所有節(jié)點(diǎn)都根據(jù)規(guī)則和角色權(quán)限工作。

（9）靈活性和效率：安全體系結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)中的靈活性非常重要，雖然它本質(zhì)上是為交通安全應(yīng)用而設(shè)計(jì)的，需要更少的時(shí)間和帶寬。

2 VANET中的攻擊模型

攻擊方式的分類(lèi)：

攻擊主要可分為四類(lèi)：（1）在無(wú)線接口構(gòu)成的風(fēng)險(xiǎn)；（2）對(duì)硬件和軟件構(gòu)成的威脅；（3）對(duì)車(chē)輛傳感器輸入構(gòu)成的危害[5]。下面分別對(duì)這三類(lèi)攻擊進(jìn)行分析：

對(duì)無(wú)線接口的攻擊：身份和地理位置暴露（位置跟蹤）：攻擊者試圖獲取司機(jī)的信息并追蹤他，這將暴露一個(gè)節(jié)點(diǎn)在風(fēng)險(xiǎn)中。例如，一家汽車(chē)租賃公司想要以一種不合法的方式跟蹤自己的汽車(chē)，用戶將被跟蹤，不保留隱私；DoS：攻擊者試圖使網(wǎng)絡(luò)中的用戶無(wú)法使用資源和服務(wù)，這是通過(guò)干擾物理通道或者“剝奪睡眠”實(shí)現(xiàn)的惡意軟件：攻擊者在網(wǎng)絡(luò)中發(fā)送垃圾信息以消耗網(wǎng)絡(luò)帶寬并增加傳輸延遲，等等。

對(duì)硬件和軟件的攻擊：除了上面介紹的Dos、Sybil攻擊、惡意軟件和垃圾郵件、中間人攻擊以及暴力攻擊，硬件和軟件還面臨以下的攻擊：錯(cuò)誤信息的注入（虛假信息）：攻擊者在網(wǎng)絡(luò)中故意注入虛假信息，它直接影響著用戶在路上的行為，很容易導(dǎo)致事故或重定向正在使用的交通路線。節(jié)點(diǎn)的身份盜用（欺騙、模擬或偽裝）：攻擊者試圖模擬另一個(gè)節(jié)點(diǎn)。等等。

對(duì)傳感器輸入的攻擊：除了上面提到的GPS欺騙之外，還面臨下面兩種攻擊：錯(cuò)覺(jué)攻擊：惡意用戶故意欺騙汽車(chē)上的傳感器以產(chǎn)生錯(cuò)誤的傳感器讀數(shù)。因此，不正確的交通警告信息被廣播到鄰居；干擾攻擊：攻擊者干擾其他VANET節(jié)點(diǎn)使用的無(wú)線電頻率。

3 VANET安全體系和安全標(biāo)準(zhǔn)

3.1 安全基礎(chǔ)設(shè)施：PKI（公鑰基礎(chǔ)設(shè)施）

在VANET安全基礎(chǔ)設(shè)施的探索中，PKI是最常用的一種。PKI支持公開(kāi)加密密鑰的分發(fā)和識(shí)別，這樣就能使用戶能夠在網(wǎng)絡(luò)上安全地交換數(shù)據(jù)并驗(yàn)證另一方的身份。PKI由硬件、軟件、策略和標(biāo)準(zhǔn)組成。共同管理密鑰和數(shù)字證書(shū)的創(chuàng)建、管理、分發(fā)和撤銷(xiāo)[4-5]。

3.2 安全體系架構(gòu)

歐美的許多研究組織基于PKI構(gòu)建了自己的安全架構(gòu)。在美國(guó)，在車(chē)輛安全通信聯(lián)盟（VSC）、VSC-A（車(chē)輛安全通信-應(yīng)用）中，我們考慮NHTSA（國(guó)家公路交通安全管理局）設(shè)計(jì)的安全體系架構(gòu)為VANET的安全架構(gòu)。

3.2.1 ETSI

ETSI為ITS（智能交通系統(tǒng)）通信指定了安全架構(gòu)，基于文獻(xiàn)[10]中定義的安全服務(wù)，介紹了識(shí)別功能實(shí)體以及他們之間的關(guān)系：EA（Enrollment Authority）、AA（Authorization Authority）和ITS-S（Intelligent Transport System-Station），ITS-S安全生命周期從制造商開(kāi)始，然后是注冊(cè)、授權(quán)和維護(hù)[6]。

3.2.2 NHTSA

NHTSA提出了一種基于PKI的安全架構(gòu)，其中詳細(xì)介紹了基于引導(dǎo)功能和假名功能的長(zhǎng)期注冊(cè)證書(shū)的功能實(shí)體。這個(gè)安全架構(gòu)的基本原則是節(jié)點(diǎn)之間的相互信任[7]。

3.3 安全標(biāo)準(zhǔn)

為了標(biāo)準(zhǔn)化，我們考慮IEEE 1609.2安全標(biāo)準(zhǔn)和ETSI標(biāo)準(zhǔn)。IEEE 1609.2安全標(biāo)準(zhǔn)提供了用于保護(hù)消息格式、應(yīng)用程序消息和WAVE（Wireless Access in Vehicular Environments）設(shè)備使用的消息處理的方法。所有這些安全問(wèn)題都基于使用密鑰和證書(shū)管理的PKI，對(duì)稱(chēng)加密AES-CCM、非對(duì)稱(chēng)簽名ECDSA和非對(duì)稱(chēng)加密ECIES用于密鑰分發(fā)和安全消息格式。保證了本標(biāo)準(zhǔn)的保密性、真實(shí)性、不可否認(rèn)性和完整性等安全要求，但限制了匿名性，V2V多跳通信沒(méi)有定義機(jī)制[8-10]。

4 VANET未來(lái)研究方向發(fā)展和挑戰(zhàn)

以下是一些未來(lái)可能成為新研究領(lǐng)域的研究重點(diǎn)：

（1）參與VANET的節(jié)點(diǎn)的可信性評(píng)價(jià)及錯(cuò)誤行為檢測(cè)：在VANET中評(píng)估車(chē)輛的可靠性是一個(gè)有待解決的問(wèn)題。

（2）撤銷(xiāo)過(guò)程和證書(shū)撤銷(xiāo)列表的管理和分發(fā)：基于CRL解決方案仍在開(kāi)發(fā)中。使用CRL中的短生命周期證書(shū)和證書(shū)更改策略還沒(méi)有定義，而且在沒(méi)有CRL基礎(chǔ)設(shè)施的情況下仍然存在漏洞。對(duì)于鏈證書(shū)頒發(fā)機(jī)構(gòu)，證書(shū)驗(yàn)證和撤銷(xiāo)時(shí)間更長(zhǎng)。

（3）網(wǎng)絡(luò)通過(guò)高移動(dòng)網(wǎng)絡(luò)環(huán)境進(jìn)行自組織的能力：組的形成是一種趨勢(shì)，但是如何跨VANET中的分區(qū)交付還沒(méi)有明確定義。如果這個(gè)GL決定離開(kāi)這個(gè)組會(huì)發(fā)生什么？應(yīng)該做后備組長(zhǎng)嗎？當(dāng)GL離開(kāi)組時(shí)，密鑰管理如何？目前還不清楚。

本文概述了VANET安全面臨的主要挑戰(zhàn)及其原因，以及現(xiàn)有的解決方案。本文專(zhuān)注于文獻(xiàn)中已知的不同攻擊的分類(lèi)及其解決方案。最后，我們明確了研究的挑戰(zhàn)和有待解決的問(wèn)題，這可能是未來(lái)的研究方向。

5 結(jié)論

總之，VANET發(fā)展非常迅速，其安全性受到廣泛的關(guān)注。而對(duì)于用戶來(lái)講，VANET最為重要的功能就是通過(guò)對(duì)交通流量的改善來(lái)減少車(chē)禍的發(fā)生。而要改善交通流量則需要及時(shí)地為駕駛員或者是車(chē)輛提供合適的信息，但是在這個(gè)過(guò)程之中，無(wú)論是信息的修改還是延遲都可能會(huì)對(duì)車(chē)載系統(tǒng)帶來(lái)嚴(yán)重的影響，并最終為駕駛員與乘客帶來(lái)安全隱患。雖然幾年來(lái)，有學(xué)者探索并發(fā)現(xiàn)了很多可能針對(duì)VANET的安全攻擊，并且找到了解決措施，但是其安全隱患仍然值得我們重視。通過(guò)本文的研究發(fā)現(xiàn)，當(dāng)前VANET挑戰(zhàn)仍然有很多，安全需求仍然非常迫切，并且對(duì)可能存在的攻擊方式進(jìn)行了介紹，在此基礎(chǔ)上介紹了當(dāng)前VANET的安全體系和安全標(biāo)準(zhǔn)，并對(duì)未來(lái)的研究方向進(jìn)行了思考，希望可以更好地提高VANET安全性[11]。