V2X通信异常行为管理体系

罗璎珞，刘建行，周唯

[国汽（北京）智能网联汽车研究院有限公司，北京 100176]

1 引言

车联万物V2X（Vehicle to Everything）通信通过及时的无线信息交换来提高交通效率和行车安全性。其中，直连通信端口的信息交换不需要网络侧设备参与，可以实现一定距离范围内车辆对车辆V2V（Vehicle to Vehicle）或者车辆对基础设施V2I（Vehicle to Infrastructure）的直接通信。这种通信方式的安全性很大程度上依赖通信终端本身的防护，而通信终端暴露在开放的环境中，很容易遭受到各种方式的网络攻击[1,2]。因此，对V2X通信中出现的异常行为要进行系统的管理，部署全面的检测手段，定义分析判定的策略并针对不同的异常行为有相应的措施进行响应。

本文对V2X通信异常行为管理体系进行规划和探讨。第一部分介绍目前应用在V2X通信中的安全防护系统以及系统中部署异常行为管理中心的必要性。第二部分对异常行为管理体系及其特点进行了分析。第三部分重点讨论异常行为检测中需要关注的各种异常行为，覆盖云端的和车端各层面。第四部分讨论异常行为分析判定与响应。第五部分就未来V2X通信异常行为管理所要解决的问题进行了探讨。

2 V2X通信安全认证防护系统

具备V2X通信功能的车辆通过直连端口对外广播BSM（Basic Safety Message）消息。收到消息的车辆会基于消息中所提供的车辆位置、速度、方向等状态信息[3]，完成上层各类应用的分析运算，实现包括前向碰撞预警或者盲区预警等场景的告警输出或者直接参与自动驾驶决策。由于广播消息面临着以伪造攻击和篡改攻击为主的网络安全威胁，所以要通过数字签名技术保护BSM消息的完整性和真实性。V2X通信安全认证防护系统由安全可信平台和车端模块组成，为V2X通信提供数字证书分发和签名验签服务。具有V2X功能的车辆通过向V2X通信安全可信平台申请注册。注册申请验证通过后，V2X通信安全可信平台中的ECA（Enrollment Certificate Authority）为车辆签发注册证书EC（Enrollment Certificate）。在此基础上，车辆会周期性地向V2X可信体系平台提交包含有效的EC申请，以批量获取用于给BSM消息进行签名的证书PC（Pseudonym Certificate），PC由V2X通信安全可信平台中的PCA（Pseudonym Certificate Authority）签发[4]。

在V 2 X直连通信时，车辆用有效的P C对消息进行签名，将原始消息、消息签名和证书/证书摘要封装成SPDU（Secure Protocol Data Unit）数据包发出；接收方收到SPDU时，在相应的验证操作通过后，才对消息进行处理，否则认为消息无效并将相关信息上报给V2X通信安全可信平台的异常管理模块MA（Misbehavior Authority）。V2X安全认证防护系统整体架构如图1所示。

使用了数字签名技术后，V2X通信在消息层面得到了安全防护，但可能不是所有车辆都正确有效地使用了防护措施，也存在对其它层面的安全攻击，例如GPS攻击等。当参与V2X通信的车辆发现周围有其它车辆可能存在与网络安全相关的问题时，车辆会上报所发现的异常信息。同时，云端CA中心和其它网络监控设备也会监测到是否有网络攻击等异常。这就需要在V2X安全认证防护系统中的异常管理中心MA对V2X通信中的各种异常情况进行汇总分析判定和响应。

3 V2X通信异常行为管理体系及特点

V2X通信异常行为管理可以分为异常检测、信息汇聚、分析判定和响应处置四个阶段。这四个阶段周而复始，推动系统不断演进。异常行为管理体系整体架构如图2所示。

V2X异常行为管理体系是一个复杂的系统，具有持续性、全局性和动态性的特点。异常行为管理过程的持续性表现在通常情况下只有持续的举报事件出现时，才会触发对异常行为的判定和响应。单一的事件上报时，如果无法跟以往事件相关联，往往不足以被认定为异常。这些上报事件会存储在数据库中，用于和后续事件匹配。异常行为管理的全局性要求MA必须有一个全网中心，所有车辆的举报信息要汇总到统一的第三方平台进行关联分析，从而保证判定的及时有效。从图1中可以看出，为了保证在道路上行驶的各家车厂的车辆都可以互相验证消息的签名，所使用的证书就必须是由统一的第三方平台签发。同理，这个第三方平台也负责定义全网通用的策略，比如证书的类型和相应权限，证书使用规则等。所以，当车辆发现周围有其它车辆出现V2X通信异常时，也需要直接上报到全网中心进行汇总。这样一方面可以避免各个车厂分别收集异常报告后形成信息孤岛，无法与其它车厂收集的异常报告进行关联，从而不能判断是否为异常行为；另一方面，信息可以在第一时间到达统一的平台，避免信息中转时的延误与损耗。异常行为管理的动态性表现在信息汇聚关联时的模型是与时俱进的，是随着新的攻击模式的出现不断更新的；异常行为所对应的处置措施也会因为行为在不同环境下可能造成的破坏力的差异，以及不同条件下安全需求的不同而动态调整。

图1 V2X安全认证防护系统

4 V2X通信异常行为检测方法

根据异常检测功能的具体位置，V2X通信异常行为检测可以分为云端检测和车端检测两部分。云端检测主要针对车云通信异常，包括车辆反复地向云端CA系统申请证书，恶意构造或者发生无效的连接请求等。这些情况可能是车端出现网络安全问题被非法控制后，软件被篡改或者功能被非正常调用导致，也有可能是伪造身份的人或车辆对云端系统发起的攻击。云端可以设定一些连接阈值，或者对提交的请求进行模式扫描，这样可以迅速有效地发现拒绝服务攻击，或者构造恶意输入等攻击行为。

车端异常情况较为多样化，可能出现在V2X通信系统从物理层到应用层几个层面，因此检测方法也有几种方式。应用层面的异常行为往往涉及到复杂的模式，需要的检测手段相对复杂。通过接收到的直连通信的消息与车辆的真实情况进行比对，发现车辆的异常情况，包括合理性检测和连续性检测[5]。例如，车辆通过BSM消息发出的位置坐标，与车辆真实的坐标不符[6]。这种真实情况与发送消息的不一致，会导致依赖B S M的V 2 X各种上层应用的判断错误。举例来说，现实中车辆甲是在车辆乙同一车道的前方，而且车辆乙正在迅速靠近车辆甲，但是BSM消息却显示车辆甲在车辆乙的相邻车道。这时候基于BSM的上层应用不会提示车辆乙的司机刹车。当自动驾驶等级达到L3级以上时，如果车辆的行为决策是基于V2X消息的，车辆乙可能直接和车辆甲发生追尾事故。具有V2X功能车辆上市时已经通过了定位的精度和准确性的测试，所以如果出现这种问题则基本上可以认为是出现了网络安全问题，位置信息被恶意篡改了。这类问题会导致网络空间和现实空间的混乱，是破坏性比较大的一类攻击。不仅如此，攻击者在控制了V2X通信终端后，还可能使用相同的内容填充多个BSM消息；或者使用随机生成的内容填充，导致从B S M消息看上去车辆位置不连贯，跳来跳去等。这些由于应用层面防护不当造成的消息异常，也需要相应的手段进行检测、挖掘，当车端的计算能力允许时，可以考虑综合多源感知融合技术进行检测。

图2 异常行为管理体系整体架构

安全中间件层可能出现的异常行为比较直观，是与证书和签名验证相关的异常行为。车辆广播的SPDU被周围车辆接收到后，会执行一系列的验证操作。具体来说，有证书验证、签名验证、证书有效期验证、证书类型和权限与数据包内容所对应的类型和权限的匹配验证等。其中，任何步骤验证不通过，都属于异常情况。这类问题可能是攻击者篡改了消息本身，或者使用伪冒的证书等攻击方式造成的。这类异常情况可以通过对消息本身的验证分析就可以发现，不依赖于其它层面的信息支撑。相对来说，证书和签名异常是一类比较容易发现的异常行为。

我国V 2 X通信在网络层使用的D S M P协议[7]，与常见的IP协议有所不同，攻击的细节也会有差别。但是，洪泛攻击依然是这个层面的常见攻击。这种类型的攻击者其主要目的在于破坏或干扰正常服务，以致合法用户无法使用，例如攻击者故意向控制信道填充大量消息，因此V2X终端无法处理如此大量的消息，从而导致V2X通信异常[8]。

物理层面的攻击行为也常有发生。例如，通过加大自身车辆V2X通信设备的发射功率，过多占用信道资源，导致其它车辆无法正常发送或接收V2X消息[9]。类似的物理层网络攻击，对V2X通信影响恶劣，周围车辆也应对这类攻击行为的车辆进行举报。

V2X通信对异常行为检测需要占用系统资源，特别是车端多个层面的异常检测需要不同的软件功能，当车端的算力和存储资源受限时，对哪些异常进行检测，对哪些模式进行匹配，要经过系统的规划和全面的测试，以保证异常检测所占用的系统资源不会影响V2X通信正常应用。

5 V2X通信异常行为分析判定与响应

由于各类异常行为具有不同的特点，因此使用检测手段不尽相同。通过不同检测手段收集到的信息其置信度可能存在差异，因此信息首先要进行汇聚，在按照一定的策略进行分析和判定，根据判定结果中异常行为的不同类型和不同危害程度启动相应的管控措施。

车端发现的异常是其它车辆的异常，是通过举报方式上传报告给云端异常分析中心的。新的上报信息会与云端数据库中存储的以往上报信息进行比对，看是否已经有其它车辆举报过该车，举报的是否是同样的异常情况。当数据库中存在的举报消息已经超过设定数量时，这些信息将被一同导入分析判定引擎。除了规定举报信息的数量，也可以增加条件，例如一些举报消息必须来源于不同的汽车厂家的车辆，这样才会被认为是有价值的信息，可以参与分析判定的决策环节。云端检测发现的是异常车辆本身的问题，通过其它方式，例如基于车辆上部署的探针搜集到的安全信息或者通过网络流量分析得到的态势感知信息也会定位到异常车辆本身。这些信息可以组合在一起，也可以进一步跟车端举报信息相融合，高效地定位异常车辆，判断其可能出现的安全问题。

分析判定可以有多种策略。例如，当认为所有的上报信息具有相等的价值时，判定类似于投票，通过比较当前举报数量与设定的判定某种异常行为的最少票数进行比较，最终确定是否为异常。也可以为多种数据来源的信息设定权重，甚至对于不同车辆上传的信息赋予不同的权重，权重高的信息对最终判定结果影响程度大，也称为“信誉加权判定”。判定不仅仅给出车辆是否存在异常的结论，而且要给出具体是什么问题等详细分析结果。这些结果将决定会采用什么措施应对车辆的异常。

V2X通信异常行为管理系统通常对判定为异常的情况采取吊销车端注册证书、吊销车端假名证书等措施进行应对。注册证书是车辆参与V 2 X通信的“身份证”，一旦发现车辆有异常行为，对其“身份证”进行撤销，可以导致其无法继续获得假名证书，从而限制其参与V 2 X通信。吊销注册证书的列表只需下发给相应的PC签发系统，这样可以节省车端的资源开销。当然，由于车辆已经获得的假名证书依然有效，所以一段时间内该车辆还是能进行V2X通信，也可能进一步造成破坏。效果显现更加迅速的处置方式是吊销车辆已经获取的假名证书，并将吊销列表下发到车端。存在问题的车辆后续发出的V2X消息不再为其它车辆所采信，从而避免其继续破坏V2X通信安全。当然，对于可能造成严重危害的车辆，异常管理中心也可以与云控管理平台进行联动，通过直接向车辆下发指令控制车辆行为。这种方式相对来说比较激进，要确保对异常行为判断的准确性，同时下发指令时要结合车辆的工况，避免造成更加严重的伤害。

6 结束语

V2X通信异常行为管理是个覆盖面广，过程复杂的课题。在初步形成基于PKI的管理体系后[10]，很多问题还需要充分完善和详细定义。首先，需要对异常行为的具体模式定义，就是满足哪些条件的行为被认为是异常行为，从而车端会依据设定的模式对接收到的信息进行比对。这项工作十分重要，定义的过于严格或者过于宽松都会导致相应的网络问题。其次，需要对举报消息报文格式进行定义，当发现周围车辆存在异常时，应按照什么格式，上报哪些数据才能准确高效的反映情况。这项工作涉及到对异常行为进行分类编号，对各类异常定义关键证据字段随报告一起发送等[11]。全面清晰的定义需要以标准的形式公布，以便于各家车厂遵循。同时，应对措施与异常行为的对应关系需要明确，既要有强有力的控制手段，对网络异常行为进行精准管控，不漏掉任何的异常情况；又可以维持整体V2X通信系统的稳定，免于大量误报造成的混乱，使V2X通信能最大程度的提升出行安全和交通效率。期待本文构建的V 2 X通信异常行为管理体系能为后续的V2X通信异常行为管理的深入研究提供明晰的方向指引。