车连基础安全 10

第12章

总结与展望12.1总结12.2展望

12.1总

结

近年来，无线通信技术、传感技术、定位技术以及汽车工业的快速发展使得车辆移动自组织网络IoV得到了长足发展。其中，车与人、车与车、车与路和车与云服务平台间的信息交换与共享，促进了“人

车

路

云”协同的智慧交通体系的构建，为人们的交通出行带来了极大的便利。作为“互联网+”战略落地的重要领域，解决好车联网中各类安全问题，对推动我国汽车、交通、信息通信产业等转型升级意义重大。

整体而言，车联网中的安全威胁主要来源于3个层面，即网络通信层、汽车平台本身以及应用层。针对不同层面的威胁，国内外研究者采用传统密码学方法、各类安全策略、机器学习算法等提出了多个解决方案。本书在归纳、分析现有工作的基础上，对车联网安全中仍存在的若干问题展开研究。其中，既包括车辆在组网过程中面临的车辆匿名认证、消息匿名路由和各类攻击检测，还包括车辆平台本身的CAN总线安全、遭受传感器故障或攻击导致的通信错误应对等，同时，还考虑了基于安全的应用以及经常使用的增值服务应用，即LBS下车辆的隐私保护需求。本书的主要研究内容如图12.1所示。图12.1本书主要研究内容

1.车辆组网安全

IoV中开放、便捷的网络通信使得车辆与车辆间、车辆与基础设施间等组网方便、快捷。确保组网有效的前提是对车辆进行认证，与此同时，还需考虑车辆的隐私问题。由此，匿名认证作为一种常用的解决方法被广泛使用。。然而，现有工作通常依赖于车辆与可信第三方的大量交互，同时，车辆的高速移动性也将使得其频繁地在多个管理服务器间切换。

针对此，第2章提出了一种增强不可链接性的高效匿名认证方案。具有不可链接性的身份验证是VANET安全性的关键要求之一，它可防止攻击者通过链接多条消息而推断车辆的隐私。基于假名的认证方案已被广泛使用来实现具有不可链接性的身份认证，但是，这些方案需要与可信第三方进行多次交互以更新车辆的假名和其他信息。为了解决此问题并在分布式系统中为VANET提供高效的身份认证，我们提出了一种称为BUA的基于区块链的不可链接身份认证协议，其中每个安全域的服务管理器(ServiceManager，SM)充当联盟区块链的节点，以构建分布式系统。

在实现认证的基础上，鉴于车联网中通信往往是通过车辆间逐跳通信实现的，而这往往需要车辆获取邻居节点的位置情况，带来隐私泄露问题。因此，考虑车辆的位置隐私保护，第3章提出了一种车联网下隐私增强的位置匿名路由方案。基于位置的路由作为车联网中广泛使用的消息传输机制，其核心思想是以车辆的位置关系作为路由选择的依据。在此过程中，为了实现源目的车辆的匿名通信，通常需要隐藏参与车辆的位置。然而在现有的基于位置匿名路由方案中，首先车辆间周期性的位置共享会暴露其轨迹隐私，导致车辆被跟踪定位;其次隐藏通信目的方车辆位置的匿名区以明文形式公开，攻击者可以通过监视该区域内车辆的变化情况发起求交集攻击，降低目的车辆的位置匿名性。为此，我们在车辆网中提出了增强隐私保护的位置匿名路由方案。

车联网作为一种新型网络，发其攻击类型也在不断涌现和变化。因此，基于机器学习的入侵检测模型必须进行更新以应对新的攻击。然而，现有的基于机器学习的车联网入侵检测方案需要大量的标记数据来完成模型更新。对于新的攻击，IoV云也难以及时识别，这在IoV中需要大量的人力和时间成本。为了解决上述问题，第4章采用迁移学习，根据IoV云是否能够及时提供少量标记数据进行新的攻击，提出了两种模型更新方案:第一种是云辅助更新方案，其中IoV云可以提供少量的数据;第二种是车联网云无法及时提供任何标注数据的本地更新方案。本书局部更新方案通过预分类得到新攻击中未标记数据的伪标签，并利用伪标签数据进行多轮迁移学习。然后车辆可以在不通过车联网云获取任何标记数据的情况下完成更新。实验结果表明，与现有方法相比，两种方法的检测精度至少可提高23%。

此外，随着边缘计算架构在车联网中的广泛应用，在云或边缘上基于收集的车辆数据来建立攻击检测模型已成为车联网安全防护的重要手段。现有基于云平台的全局模型存在将边缘的错误进行全网传播及缺乏对边缘的本地数据集进行适配的问题，导致全局模型的检测性能会受到较大的影响，我们的实验也证明了这一点。为了解决上述问题，第5章采用机器学习方法，结合全局模型与本地模型的优点，提出了边云协同和边边协同两种车联网攻击检测模型。边云协同模型通过改进决策树模型中最优划分属性的选择过程，使云平台与各个边缘共同协作来确定全局最优划分属性，从而降低包含错误数据的边缘对模型的影响。

2.车辆平台安全

作为智能网联汽车的核心总线网络，CAN总线负责车内传感器信息以及控制指令的传输，对其的安全防护成为了人们研究智能网联汽车的重点。然而CAN总线协议并未提供报文认证和加密等安全机制，这为攻击者入侵车内总线网络提供了可能。虽然目前已有学者提出多种CAN总线安全方案，但经过分析与研究，现有方案仍存在两个问题:

一是单一的安全机制难以适用于差异化的报文安全需求以及动态车内网络环境，难以兼顾安全性和网络性能;

二是现有的CAN总线认证加密方案中缺乏高效密钥管理方案，并不适用于计算存储能力有限的ECU节点。

因此，针对上述问题，第6章提出了一种自适应的轻量级CAN总线安全机制，主要研究工作有:针对现有方案未考虑到报文安全需求的差异性以及车内网络环境的动态性，难以兼顾安全性和网络性能的问题，提出了基于模糊决策的安全策略选取方案。通过对报文特点和车内网络环境的分析，针对性地选择了若干影响因素，并利用层次分析法和模糊决策的思想，实现了在满足报文的安全需求的同时，动态地调整车内网环境自适应的安全策略;针对目前CAN总线的认证加密中缺乏有效密钥管理方案这一问题，将车内网ECU节点的通信频率抽象为无向图，以通信频率作为图的边权重，采用马尔可夫聚类的方法根据ECU之间通信频率将其划分为层次化的域结构，并在此基础上使用了树形域密钥结构对车内网进行合理的密钥管理。

结合自适应的安全策略选取方案，设计了差异化的安全策略及其通信协议;此外，对于本书所提出的方案，我们首先从可行性、安全性等方面进行了全面的理论分析，并借助ProVerif工具进一步验证了其安全性。

随后，通过大量实验验证了自适应模糊决策的有效性，并对ECU分域和密钥管理方案进行了性能分析。与现有方案进行对比，结果表明本方案所需的存储开销和计算开销十分有限，适用于计算能力受限的ECU节点和高实时性需求的CAN总线网络。

汽车网络控制器局域网(CAN)总线异常检测技术发展迅速。然而，现有的异常检测方案由于缺少IoV中的异常数据和难以掌握车辆的报文规则等而效果不佳。支持向量域描述(SVDD)算法具有良好的单分类能力，即只需要正常的报文信息就可以检测异常，但将其直接应用于车内网络环境时会产生较高的误报率。另外，IoV消息的生成速度快，对实时性要求很高。因此，本书提出了一种车联网CAN总线基于改进SVDD的异常检测方案。

在第7章，我们首先提出了一种汽车网络报文数据分类机制，该机制以不同的方式检测不同的数据，并针对车辆内部网中的许多简单冗余数据建立了一个弱模型，该方法在保证检测精度的同时，可以减少检测时间和计算成本。

在车联网中，由于传感器缺陷、恶意车辆等原因，虚假信息可能会被注入网络。因此，在车辆网络中，建立一种有效的机制来保证车辆所使用信息的可靠性就显得尤为重要。为了解决这一问题，第8章提出了一种上下文感知信任管理模型来评估车辆接收信息的可信度，从而确保虚假信息不会影响驾驶决策过程。在所提方案中，信任评估结果由可用的相关信息和当前上下文下的评估策略决定，而不受冲突证据的存在和网络中实体的信任程度的影响。

3.应用安全

车联网中的应用主要包括基于安全的应用以及以LBS为代表的增值服务类应用。针对车联网场景下的应用安全，本书提出了包括差分隐私、假名变换以及K匿名等车辆隐私保护方案。

由于缺乏理论上的隐私保障，现有的假名交换方法无法严格提供车辆新旧假名之间的不可链接性，导致车辆轨迹隐私严重泄露。第9章中的实验也证明了这一点，可以发现现有的研究可能会导致车辆假名的关联概率高于60%，因为它们总是选择两个行驶状态(如速度、方向和位置)截然不同的车辆来互换假名。为了解决这一问题，第9章中首先给出了一个基于广义差分隐私的形式化隐私定义，称为假名不可区分性，为假名交换提供严格的不可链接性。

然后设计了一个合适的效用度量和一个新的假名互换机制，该机制通过采用差分隐私指数机制来选择车辆的假名，以满足假名的不可分辨性。从攻击者的先验知识中抽象出来，这样可以严格保证:如果两辆车的行驶状态具有很高的相似性，攻击者就不可能在互换后将车辆与其假名联系起来。理论分析证明，所设计的机制满足提出的隐私定义，从而保证了新假名和旧假名之间的非链接性。在真实数据集上的大量实验表明，第9章的工作只需要50%左右的假名量，并且可以使车辆以90%以上的概率成功完成交换过程，高于现有研究成果。

除假名互换方案外，差分隐私作为一种有效的隐私保护手段，能够对隐私提供严格的理论保证，同时对隐私泄露程度进行量化，因此获得了广泛的应用。虽然地理不可区分性(Geo-Ind)保证了位置隐私，但是如果由于不合理的位置而暴露了位置扰动行为，用户的其他隐私问题仍然存在风险。通过实验发现，经典的Geo-Ind机制将真实位置扰动到不真实区域的概率可达50%以上。为了解决这个问题，第10章首先提出了一个超越Geo-Ind的增强隐私定义，称为Perturbation-Hidden，通过保证用户的虚假位置合理性来防止用户的位置扰动行为被识别。然后，设计了一个机制来实现这个定义，将差分隐私指数机制用到所提的方法中。此外，本章还提出了一种利用动态规划来确定检索区域的方法，以保证LBS的准确性。最后，用理论证明所提机制满足隐私定义。

K匿名因其使用户在获得准确的查询结果的同时，可以抵抗诸如三角测量、蜂窝定位等位置追踪攻击，获得广泛认可及应用。然而，现有的K匿名方案由于没有考虑到参与者的可信度，将导致对车辆的恶意跟踪，进而使得敏感信息遭到泄露，甚至威胁车主人身财产安全。为了解决这个问题，第11章在车联网中提出了一种采用区块链的基于信任的位置隐私保护方案。通过分析匿名区域构造过程中请求车辆与协作车辆的不同需求，并结合这两类角色的特点，基于狄利克雷分布设计了相应的信任管理方法，使得请求车辆和协作车辆只会与其信任的车辆合作。

此外，采用区块链技术，所提方案将车辆的可信赖性记录在公开可查的区块上，以便任何车辆在必要时都可以访问到交互方的历史信任信息。最后，还给出了详细的匿名区域构建过程。安全分析和大量实验表明，所提方案具有抵抗各类针对信任模型攻击的能力，能够有效地检测出恶意车辆，并在匿名区域构造过程中保持车辆的位置隐私，同时所需的时延有限。

12.2展

望

1.网络通信层车联网网络通信层的安全威胁一方面来源于WiFi、移动通信网、DSRC等无线网络传输方式中本身存在的网络安全问题，另一方面来自于车辆和云服务平台等其他终端设备。对于前者，研究者们最早通过公钥架构解决通信过程中的安全与认证问题，而后逐步提出批量匿名认证、轻量级匿名技术和匿名区技术等。

与此同时，为了应对随时可能出现的不明攻击，机器学习等自动化的方案也被采用，配合半监督学习、迁移学习与多模型融合等手段，可以适应车联网中可能产生的各类攻击，并从中找出安全威胁。而对于后者，现有研究通常从数据安全、云平台系统安全和移动终端安全3个方面展开，提出了云数据加密、虚拟化安全与恶意代码识别等技术。这其中值得注意的是在恶意软件与代码识别领域中，区别于传统的沙箱检测、代码分析和软件行为分析等技术，新兴的基于人工智能的方法成为目前研究的热点。

在网络通信层安全研究中，除了传统的协议分析、加密、认证等手段，机器学习已经逐步成为研究者在应对安全威胁时的重要工具。但是需要注意的是，与传统网络不同，车联网环境中网络拓扑结构与车辆所处外部环境是不断变化的。因此，已有的安全技术需要重新改造以适应车联网这一独特的场景，例如传统网络中的检测方案主要基于大量的标记训练数据来建立检测模型，而这在资源受限且高速移动的车联网环境中显然无法适用。

2.车辆平台

车辆平台安全威胁主要包括车内CAN总线安全以及车内传感器安全。对于CAN总线安全，研究者们主要从报文认证机制、报文加密机制和CAN总线的异常检测机制3个方面展开研究。在车联网中，同一个ECU发出的连续多个报文具有相关性。基于此，除本书所提方案外，在未来的研究中可以借助类似自然语言处理与word2vec等技术，将报文表现为向量，然后结合深度学习相关算法进行相似度预测或者序列预测，一旦异常检测模型检测出当前出现的总线报文不满足要求，则可以判定该条报文遭到攻击者篡改，进而可以产生对应的报警信息，向系统报告当前车内网络正遭受入侵威胁。

对于传感器安全，除避免传感器故障、信号干扰等造成的通信消息错误外，还应注意到，现有攻击也可通过数据投毒或制造对抗样本的方式，干扰传感器所得到的数据，从而欺骗车辆做出错误的操作甚至引发交通事故，危害到用户与公众的安全。除此之外，车内的ECU作为类似于单片机的汽车专用微机控制器，与传感器共同组成的网络很可能受到侧信道攻击，攻击者可以通过非接触式地检测ECU或传感器的能量消耗、电磁辐射、运行时间，来获取关于车辆实现运行状态相关的信息，为下一步攻击提供知识与准备。因此，在未来的研究中，这些问题都应当被重视。

3.应用层

车联网应用层安全包括基于安全的应用以及以LBS为代表的增值服务应用中车辆的隐私保护。其中前者通常采用假名变换方法，而后者可以使用差分隐私、K匿名等技术。

随着车联网的发展，各类应用层出不穷，但车联网应用大多与位置有关，而位置隐私的敏感程度是相对较高的。如何在服务质量、用户隐私与计算开销这三者之间得到平衡势必是未来该领域研究的重点，可以发现已有的