车联网安全模型及关键技术

刘宴兵，王宇航，常光辉

（重庆邮电大学　网络与信息安全重庆市工程重点实验室，重庆 400065）

车联网安全模型及关键技术

刘宴兵，王宇航，常光辉

（重庆邮电大学网络与信息安全重庆市工程重点实验室，重庆 400065）

车联网是计算机、互联网、移动通信网、物联网等相关技术的集成应用和延伸。提出车联网安全层次模型，研究共性关键技术，重点分析和研究车联网感知层涉及的传感技术和车内通信技术、网络层涉及的接入认证技术和隔离技术以及应用层涉及的云计算技术，并比较研究分析了车联网中的隐私保护技术。相关研究对当前车联网的应用部署与实践具有重要的参考意义。

车联网；安全结构；隐私保护

0 引 言

传感器技术、无线通信技术以及智能技术的快速发展，加快了汽车和交通从信息化向智能化过渡的进程。车联网作为融合了智能交通和智能车辆相关理论及技术于一身的新生事物，其相关技术研究及应用倍受世界各国的关注。其中，车联网安全属于研究的热点和难点。

车联网融合了传统互联网、移动互联网以及物联网技术，为交通行业提供多样化的智能服务模式，由此产生的安全问题也更加复杂。虽然传统的诸如认证、数字签名、加密等计算机网络安全算法和协议对实现车联网中的安全目标依然有重要参考价值，但车辆的快速移动导致通信网络的频繁切换和有效链接的临时性、短暂性，使传统网络安全措施并不完全适合车联网特殊的安全需求。由于当前车联网安全关键技术的研究并未形成完整体系，因此，作者力图从国内外车联网的研究及发展现状出发，给出车联网安全层次结构模型，研究分析各项关键安全技术需要突破的难点以及要注意的问题，为车联网创新研究和应用推广提供相关技术思路和保障。

1 车联网相关概念及安全问题

车联网是物联网技术近年来在交通系统领域的典型应用，到目前为止其概念并未在国际上得到统一的权威的定义。车联网是车内网、车际网和车载移动互联网的融合网，以车辆为移动的信息感知对象，利用传感技术、无线通信网络、信息处理技术、互联网技术等，按照约定的通信协议，在车—X（X：车、路、行人及互联网等）之间进行无线通讯和信息交换与共享，通过人—车—路—网之间实时互联感知实现交通智能管理、信息服务智能决策和车辆智能化控制的一体化［1—3］。车联网的基本思想源于物联网，通过在车中部署具有感知能力、计算能力和执行能力的软硬件，使其本身成为承载智能传感网络的智能节点，再由网络设施和云平台传输处理信息，使车辆内部网络与外部人、车、路、互联网互联互通。车联网除了继承了物联网的基本特征外，还存在以下3个独有的特点和需求［4，5］：（1）相比移动自组织网，车辆节点的高速移动导致网络拓扑快速变化和接入方式的频繁切换，要求很强的通信实时性与可靠性；（2）相比物联网，作为车联网感知和通信单元的车辆节点，具有更充足的存储空间和能量，以及更强的计算能力，因此可在终端对感知网络信息进行处理；（3）相比其他智能联网终端，联网车引入了更多的通信接口、接入方式以及应用，具有更多样的应用场景，比如主动安全、协同驾驶、交通管理监控、网络应用等。

车联网可靠性要求极高，其安全问题成为制约车联网全面发展及部署的重要因素。根据现有研究分析，目前车联网主要面临3方面安全问题：（1）在车联网终端层，不同车厂出于各自的设计目标使得车内网络架构缺少统一的数据接口和协议，导致很多智能传感器和终端无法统一接入，难以有效地在全网范围内进行数据共享和协同，造成数据交互不及时问题；此外，车上越来越多无线技术以及接口的部署，令黑客可通过蓝牙或互联网技术攻击GPS、信息娱乐等联网系统，进而控制整个车内网络，从而带来严重信息安全、隐私安全甚至人身财产安全隐患；（2）在车联网网络层，用户接入认证协议、网络协议、网络切换机制的漏洞，以及密钥的暴露都将带来信息安全及隐私泄露威胁；（3）在车联网应用层，黑客进行DOS等攻击，甚至取得后台的控制权，进而威胁到车联网整个网络的信息安全以及隐私泄露。

2 车联网安全层次结构

由于车联网源于物联网，具备明显的物联网属性，遵循物联网的3层体系架构［6］，因此，本文给出相应的车联网安全层次模型（如图1所示），并结合每层的安全需求所涉及的关键技术进行阐述。在车联网的感知层，由集成了一系列无线技术、采集技术以及处理技术于一身的车辆节点为基础对象为上层提供原始的终端信息服务；在车联网网络层，除了像传统网络层协议那样具备为上层提供透明传输服务以及屏蔽通信网类型细节等功能外，还应融合管理异构无线网络资源；在车联网应用层，各应用服务除了在现有的网络体系采用包括云计算、大数据等技术完成各自职责外，还应兼容可能的未来网络（SDN）技术。

图1　车联网安全层次结构

3 相关关键技术及研究

3.1 感知层终端安全

车辆作为车联网终端主要功能为感知，其内部安装了大量电子控制单元ECU、智能传感器、执行器等电子系统，使车辆本身成为智能的传感器网络系统。终端安全涉及到硬件安全、嵌入式操作系统等基础软件安全、接口安全等方面，本文主要研究分析传感技术及其融合安全和车内CAN通信安全问题。

3.1.1 传感技术安全

传感器由数据采集模块、数据处理、控制模块、通信模块、供电模块等组成。车辆上需安装多种功能相同或者不同的传感器（速度、加速度、GPS、胎压传感器等）以实现多视角全方位的自身和环境参数协作感知，感知数据由智能传感器加工后交由车内相应的ECU处理，此过程中涉及到多传感器数据融合安全问题［7］。

车联网感知层多传感器数据融合是指将车内多个传感器在空间和时间上互补或冗余的信息依据某种准则组合、总结提炼，从而为ECU提供更加精确全面的有效信息。为确保融合过程安全性，主要方法有提高原始数据安全性以及使用安全融合算法，对于前者，主要通过数据真实性、完整性认证以及异常传感节点的检测与隔离保证原始数据的安全有效；后者，则根据不同的业务功能需求选择不同的融合算法。目前，常用的数据融合算法分为经典方法和现代方法两类，如表1所示［8，9］。

每种算法都有诸如精度问题、处理开销、实时性、容错能力上的优劣势，在车内网中，可在两类方法之间选择多种融合算法进行有机集成，得到更优的融合算法。

表1　数据融合方法

3.1.2 车内CAN通信安全

目前，车内电子单元普遍使用CAN总线协议通信，通过CAN总线建立各ECU间的通信，CAN协议具备3方面特点［10，11］：CAN上所有ECU访问权限相同；广播信道，无任何加密认证机制；非破坏性总线仲裁，某些ECU会持续占用信道；导致数据帧不具备加密属性和发送单元地址，且以广播形式在车内网络中流动，使得其他ECU单元无法对发送源进行认证，如果车内部某ECU单元被控制或故障，容易造成窃听、伪装、重放、伪造攻击。为确保车内网安全，目前主要通过异常检测方法对CAN异常进行检测，如在CAN总线子网中放置若干传感器检测总线异常数据帧，及时发现总线上各种异常消息和漏洞并预警；或为车内所有 CAN子网设置中心网关，将汽车内网划分为动力、舒适娱乐、故障诊断等不同的安全域，将高危要素集中到独立的“局部安全总线”，定义清晰的安全域边界，并在边界部署安全措施，通过安全网关使动力总线与其他区域安全通信；也可为总线上的各ECU增加硬件安全模块，使车内以密文通信。

3.2 网络层无线网络安全

车联网的基础网络是互联网和移动互联网、无线网等行业网络，作为承载网的互联网可继续沿用原有的安全策略，而作为接入网的无线网涉及到加密认证、异常流量控制、网络隔离和交换、信令和协议过滤等安全需求。本文主要研究分析无线接入认证技术、无线切换融合技术和网络隔离技术安全。

3.2.1 接入认证技术安全

车辆节点安全接入与退出Internet是车辆联网安全最基本的需求之一，若不采取有效的安全接入控制措施，不仅导致非法节点入侵破坏网络环境，而且容易带来车内网安全隐患。车联网安全接入技术是指，当有新节点申请接入Internet或其他行业网络时，对申请节点的身份合法性进行认证并协商密钥，保障通信的安全性与机密性。安全接入技术发展至今，主要有基于口令认证的安全接入、基于门限密码的安全接入、自组织安全接入、基于身份的安全接入、无证书安全接入以及不基于密码学的信誉系统。

车辆节点的高速移动，使其接入认证技术面临的挑战与传统计算机和智能手机相比存在较大的不同，主要表现为以下3点需求［12，13］：（1）低开销快速安全的接入方案：在100公里时速下，车联网链路能稳定保持15s以上的概率只有57%，使其链路的稳定性差，因此，需要在车辆接入过程中，在保证安全的前提下，减少交互次数，降低每次通信的流量开销，降低密码算法的计算开销，从而提高接入认证的速度；（2）快速安全的密钥更新机制：车辆节点可随时可加入或者退出网络，具有很强的自组织性，通过密钥管理来确保车辆身份合法的时效性与会话期限，因此，高效安全的密钥更新机制具有重要作用；（3）奖惩安全接入机制：车辆的自组织性使其信任关系存在不确定、短期性，此刻可信节点在下一刻就可能成为攻击节点，对于不可信或失控节点应使用隔离机制或惩罚机制，通过引入车辆节点行为可信度，从而提供更高可靠的安全接入。

3.2.2 异构网络融合技术安全

车辆节点部署多个无线接口，具备多种网络连接能力，目前普遍使用的无线通信技术有DSRC、W iMax、WLAN、801.11、3G/4G/5G等，车辆频繁的网间切换涉及到不同的接入技术和协议转换问题，异构无线网融合技术是车联网发展的必然选择。

网络融合是指将不同的无线技术进行结合，形成统一规范的无线通信网络，确保任何时间任何地点通信的连续性与稳定性，提供全网覆盖。当前的异构无线网络融合方案主要有松耦合与紧耦合两种方式，紧耦合方式选择一种网络为承载网，虽能有效利用单一网络相对健全的管理机制，但需修改其他网络协议，实现起来复杂困难；松耦合方式容易实现网络间互联，但存在融合不彻底问题，无法对网络资源统筹处理［14，15］。显然，车联网中涉及多种无线技术，使用耦合机制并不是最优的融合方案，可考虑引入软件定义网络（SDN）的理念。

3.2.3 隔离技术安全

隔离是为了防止非可信应用软件侵害原有主体系统，尽可能地保证原有系统功能的完整性。通过研究分析，将车联网环境下的隔离根据其面向对象不同划分为表2中4种类型。

表2　车联网中安全隔离类型划分

各类总线、智能终端、TCP/IP网络、蓝牙、2G/3G/4G等无线网络的广泛使用，使得汽车正快速地从封闭、孤立的系统走向智能和互联，从车联网安全相关文献来看［16，17］，对车内网进行入侵和攻击的方式主要通过车载应用系统模块（娱乐系统、咨询系统、OBD接口等）、通信模块（蓝牙、W iFi、GPS系统等）以及协议解析后的非法读写操作。因此，为了保证车内网环境的安全性，应在车内网与车外网之间建立安全网络隔离和访问控制机制（如图2所示），限制外部网络对车辆内部网络的访问权限，为车内网提供一个与外界相对隔离的操作环境，使其内部运行的数据和存储的内容获得高级别的安全保障，对运行于隔离环境外的应用程序对隔离环境中的数据访问进行细粒度的权限控制。

图2　车内网隔离与访问控制策略

图2中将车辆外围联网设施分为车载应用模块和车域网接入模块。车载应用模块是指车辆上的应用软件，包括娱乐资讯等服务，车辆可读取此模块的数据而此模块无法得到车辆安全区的数据；车域网接入模块包括环境感知、车车通信以及车路通信，可概括为车辆与外部进行数据交换的模块。将这两个模块接入数据安全交换区进行安全处理，通过CAN总线提供给车辆的控制中枢。因此，接入模式设为单向和双向，进而隔离数据流与控制流两种信息流，使不同功能模块在各自功能范围内得到不同程度的隔离，防止车内网安全区被控制以及内容的泄漏。

3.3 应用层云服务安全

车联网应用场景及服务种类广泛，承载这些服务的后台需要利用大数据处理技术、智能计算技术、业务管理控制技术等处理海量信息，从而分发给不同的应用场景。应用服务平台涉及到信息的储存、计算、隐私以及业务控制安全，本文主要研究分析应用服务平台依赖的云计算技术安全。云计算技术具有强大的计算能力、通用性和易扩展性、高可靠性、动态资源调度、按需服务以及海量信息集中管理等明显优势，不仅可对庞大无序的交通数据进行有效分析、处理、挖掘、预测以及运用，而且能有效解决车联网系统间的信息共享和信息传递延缓问题，提高信息传递的准确性以及管理调度效率。车联网与云计算结合，在极大地增强车联网业务功能、改善车联网业务体验的同时，也暴露出一些急需关注的安全问题。例如，云计算技术将其本身的云计算虚拟化、多租户、云计算数据安全、隐私保护、虚拟资源调度和管理问题等安全问题引入车联网；其次，车联网的具体技术及应用与云计算相结合后，可能暴露出新的安全隐患，应设置多层安全防护系统构成多道防线，增加系统防御屏障将各层之间的漏洞错开，保护关键的汽车应用安全。因此，车联网云端安全技术架构［18］（如图3所示）主要考虑两点安全需求：（1）确保云计算平台运行环境的安全，使之具有抵抗外来攻击的能力，涉及到风险评估、安全监测、数据隐私保护等技术；（2）确保云平台的数据安全，涉及到数据存储安全、虚拟化技术、隔离技术、加密技术等。

图3　车联网下云计算安全技术架构

3.4 车联网中隐私保护和后台服务安全

在车联网体系结构的各个层面都涉及到数据隐私保护，主要存在身份隐私、位置隐私、查询隐私、轨迹隐私威胁，目前研究较多的隐私保护技术有位置模糊、混淆技术（K-匿名、Mix-Zone）、时空隐匿、虚假信息等［19，20］。由于车联网与传统互联网、移动互联网、物联网存在差异性特征，使传统隐私保护技术在车联网环境中并不完全适用，通过研究分析，总结各种隐私保护技术的优缺点如表3所示。

表3　车联网环境下隐私保护技术对比

在车联网的服务后台，相关安全技术可继承传统网络与信息安全技术，但可管、可控和可信要求更高。为此，本文认为可考虑以下安全准入及闭环防御方法：（1）根据安全核查结果及预设风险评估算法对发生变更的路测设备和接入车辆信息进行风险评估，获取风险评估结果；（2）预设风险评估算法可以为安全准入装置将车联网的整体风险系数和安全核查结果作为预设风险评估算法的输入参数，计算发生变更的设备在网络中的风险系数，确定发生变更的车辆及设备的安全等级；（3）采用远程安全评估方法，实现车联网后台服务信息系统中存在的安全漏洞、安全配置问题、应用系统安全漏洞的主动评估，结合安全流程中的预警、检测、分析管理、审计环节，实现闭环安全防御。

4 相关评价与结论

未来车联网要想快速发展并普及，除了全球尽快制定相关国际标准外，还需要相关行业出台相关政策以及立法，建立车联网涉及的各方共同参与协作、协调配合以及整合集中优势资源的组织模式，引导车联网健康快速发展。当下，国内车联网的发展仍处于“车载移动互联网”阶段，若想实现真正意义的人—车—路—网之间实时互联感知，其面临的安全问题必然要上升到国家层面，使之规范统一有效。总体来说，无论目前国际上的车联网研究处于哪个阶段，其安全研究都将贯穿到终端安全、通信安全、服务安全、隐私保护等方面，遵循“全面布局，重点突破”的原则，针对汽车信息安全缺口众多并且分散的特点，从汽车整体信息安全角度出发，构建纵深防御安全体系。目前，车联网关键技术、应用与实践部署的研究正如火如荼，很多新技术、新协议、新业务以及安全需求应运而生，未来的车联网将是融合了不同的接入技术、网络类型、业务模式的开放式弹性化系统，实现跨网、跨域、跨技术的全网交通信息集中控制。但从技术的角度讲，融合异构网的通信系统将面临更重要的安全接入认证问题，更多新业务的安全需求将给融合技术带来新挑战，使新协议、业务接口以及功能实体成为新的攻击对象。本文详细分析了车联网的安全架构、关键技术及其存在的安全问题，为车联网安全的研究和发展提供参考。

致谢：本文得到了叶青、李露同学的帮助，在此一并致谢！

［1］王群，钱焕延.车联网体系结构及感知层关键技术研究［J］.电信科学，2013，28（12）：1-9.

［2］《货运车辆》研究部，华夏物联网研究中心.中国货运车联网技术与产业发展报告［J］.货运车辆，2012，（1）：7-103.

［3］熊炜，李清泉，李宇光.智能道路系统的发展现状与趋势［J］.中国公共安全（智能交通版），2007，（2）：83-88.

［4］LEE E，LEE E K，GERLA M，et al.Vehicular cloud networking：architecture and design principles［J］.Communications Magazine，IEEE，2014，52（2）：148-155.

［5］DRESSLER F，HARTENSTEIN H，ALTINTASO，et al.Inter-vehicle communication：Quo vadis［J］.Communications Magazine，IEEE，2014，52（6）：170-177.

［6］刘宴兵，胡文平，杜江.基于物联网的网络信息安全体系［J］.中兴通讯技术，2011，（1）：23.

［7］史小平，黄爱蓉，张涛.车联网感知技术研究进展［J］.湖北汽车工业学院学报，2011，25（3）：39-44.

［8］华鑫鹏，张辉宜，张岚.多传感器数据融合技术及其研究进展［J］.中国仪器仪表，2008，（5）：40-43.

［9］夏阳，陆余良，孙乐昌.多传感器网络信息数据融合技术研究［J］.计算机工程与科学，2005，27（2）：25-27.

［10］张子键，张越，王剑.一种应用于CAN总线的异常检测系统［J］.信息安全与通信保密，2015，（8）：92-96.

［11］ROBERT BOSCH CMBH.Version 2.0-1991.CAN Specification［S］.Stuttgart：Bosch.1991：1-73.

［12］WANG M，LIU D，ZHU L，et al.LESPP：lightweight and efficient strong privacy preserving authentication scheme for secure VANET communication［J］.Computing，2014：1-24.

［13］WASEF A，SHEN X.EMAP：Expedite Message Authentication Protocol for Vehicular Ad Hoc Networks［J］.IEEE Transactions on Mobile Computing，2013，12（1）：78-89.

［14］张振海.异构开放无线网络无缝切换技术研究［D］.北京：邮电大学，2015.

［15］杨琼，胡静，夏玮玮.异构网络融合场景下车联网的移动性管理和资源管理［J］.电信科学，2015，31（9）：60-65.

［16］SUMRA IA，HASBULLAH H B，ABMANAN J L B.Attacks on Security Goals（Confidentiality，Integrity，Availability）in VANET：A Survey［M］//ANIS LAOUITI，AMIR QAYYUM，MOHAMAD NAUFAL MOHAMAD SAAD.Vehicular Ad-hoc Networks for Smart Cities.Singapore：Springer，2014：51-61.

［17］RAYA M，PAPADIMITRATOS P，HUBAUX J P.Securing vehicular communications［J］.IEEE W ireless Communications Magazine，Special Issue on Inter-Vehicular Communications，2006，13（5）：8-15.

［18］肖云鹏，刘宴兵，徐光侠.移动互联网安全技术解析［M］.北京：科学出版社，2015：152-154.

［19］杜瑞颖，王持恒，何琨.智能移动终端的位置隐私保护技术［J］.中兴通讯技术，2015，21（3）：23-29.

［20］SUO H，LIU Z，WAN J，et al.Security and privacy in mobile cloud computing［C］//W ireless Communications and Mobile Computing Conference（IWCMC），2013 9th International.IEEE，2013：655-659.

Internet of Vehicle Security M odel and Its Key Technologies

LIU Yanbing，WANG Yuhang，CHANG Guanghui
（Chongqing Engineering Lab.of Network and Information Security，ChongqingUniversity of Posts and Telecommunications，Chongqing 400065，China）

Internet of Vehicle（IoV）has been considered the evolution of related technologies and app lications in the Internet and mobile networks.In this paper，an Internet of Vehicle（IoV）security architecture is discussed，exp laining its generic technology and information security，especially its sensor and inner-vehicular communication technology in the perception layer，its access authentication and isolation technology in the network layer，and its cloud computing technology in the application layer.Besides，IoV privacy protection technology is discussed.It is believed that our research into IoV provides a reference for its deployment and practice.

Internet of Vehicle（IoV）；security architecture；privacy protection

TN929.5

A

10.16246/j.issn.1673-5072.2016.01.006

1673-5072（2016）01-0044-07

2016-02-27

国家科技重大专项（2011ZX03002-004-03）；国家自然科学基金项目（61272400）

刘宴兵（1971—），男，四川遂宁人，博士，二级教授，博士生导师，主要从事网络安全与管控研究。

刘宴兵，E-mail：liuyb@cqupt.edu.cn