0 引言

    作為在智能交通應用中具有典型性和先進性的車聯(lián)網(wǎng)，因其應用環(huán)境的特殊性和組網(wǎng)的復雜性，其安全問題更加突出。從網(wǎng)絡拓撲來看，車聯(lián)網(wǎng)中節(jié)點之間的連接方式更加靈活，車輛之間可以組成無中心的移動自組織網(wǎng)絡，車輛與道路基礎設施之間還可以組成有固定接入點的基礎結構型網(wǎng)絡。所以，車聯(lián)網(wǎng)的結構要比傳統(tǒng)的互聯(lián)網(wǎng)、MWSN（Mobile Wireless Sensor Networks，移動無線傳感網(wǎng)）、MANET（Mobile Ad-hoc Network，移動自組織網(wǎng)絡）更加復雜，復雜的網(wǎng)絡結構和應用隨之也帶來了新的更加復雜的安全問題。由于車聯(lián)網(wǎng)中的車車通信以及車路通信全部采用無線移動通信方式，無線通信固有的缺陷與車聯(lián)網(wǎng)應用的高可靠性、高安全性之間存在著矛盾。作為車聯(lián)網(wǎng)數(shù)據(jù)承載的互聯(lián)網(wǎng)，其安全隱患和威脅在車聯(lián)網(wǎng)中依然存在，而且還會隨著車聯(lián)網(wǎng)的應用發(fā)展而不斷演變，進而形成新的安全威脅。為此，對于車聯(lián)網(wǎng)安全的研究，需要在充分認識各類已有網(wǎng)絡技術的基礎上，結合車聯(lián)網(wǎng)自身的結構和功能特征，從體系結構、協(xié)議實現(xiàn)、管理策略、具體應用等方面分析可能存在的安全隱患和潛在的安全威脅，并提出具體的解決方法和相應的研究思路。

1 車域網(wǎng)安全威脅

1.1 車輛定位安全威脅

    車輛定位是車聯(lián)網(wǎng)的關鍵技術之一，車聯(lián)網(wǎng)的大量應用都與位置信息有關，尤其是車速、加速度、運行方向等涉及到車輛運行安全的信息必須與特定的車輛及其當前位置相關，沒有準確位置信息的監(jiān)測數(shù)據(jù)不但沒有應用價值，而且會為車聯(lián)網(wǎng)帶來安全隱患。因此，車輛定位技術是車聯(lián)網(wǎng)技術發(fā)展的基礎。

    參與車聯(lián)網(wǎng)定位的節(jié)點分為已知其位置信息的信標（Beacon）節(jié)點和未知其位置信息的未知（Unknown）節(jié)點兩類，其中分布在道路兩側的RSU（Road Side Unit，路側單元）多為通過GPS等方式精確定位的信標節(jié)點，而行駛在道路上的車輛多為未知節(jié)點。由于車輛運行在空曠的交通環(huán)境中，攻擊節(jié)點可以入侵到車聯(lián)網(wǎng)，破壞定位模塊的正常功能。同時，由于定位系統(tǒng)多利用無線通信所具有的信號傳輸延時、角度、功耗、相位差等物理屬性和特征，以及信息在不同節(jié)點間轉發(fā)的跳數(shù)來確定節(jié)點的位置關系，然而攻擊者可以利用無線通信的開放性隨意地偵聽網(wǎng)絡中的信息并進行偽造^[1]，或者將自己扮演為信標節(jié)點發(fā)送虛假定位參照信息來誤導未知節(jié)點。其中，蟲洞攻擊^[2]是一種典型的適用于車聯(lián)網(wǎng)環(huán)境的攻擊方法，它不僅通過擾亂節(jié)點之間的正常跳數(shù)產(chǎn)生錯誤的定位信息，而且利用篡改、選擇性地轉發(fā)接收到的信息，破壞網(wǎng)絡中正常傳輸?shù)臄?shù)據(jù)。

1.2 傳感器網(wǎng)絡安全威脅

    與WSN不同的是，VAN（Vehicles Area Network，車域網(wǎng)）中的傳感器網(wǎng)絡是由性能與功能不同的傳感器組成的分層傳感器網(wǎng)絡，而且傳感器之間多采用有線或集成方式連接，屬于靜態(tài)傳感器網(wǎng)絡。為此，在研究VAN中傳感器網(wǎng)絡的安全時，不再受計算能力、功耗、存儲空間和通信能力等硬件資源的影響，一些經(jīng)典的密碼算法、密鑰管理、身份認證、入侵檢測等安全技術可直接應用其中，提高了系統(tǒng)的安全防范能力。

    在車聯(lián)網(wǎng)中，單一數(shù)量和功能的傳感器提供的信息已無法滿足其應用需求，必須同時運用包括壓力、溫度、濕度、速度、紅外、激光等多種功能的不同傳感器，并將其集成起來提供多種感知數(shù)據(jù)，通過優(yōu)化處理獲得車輛的特定狀態(tài)信息，再經(jīng)綜合分析后，為車聯(lián)網(wǎng)應用提供信息依據(jù)。為此，在VAN的傳感器網(wǎng)絡研究中，重點應放在對不同傳感器數(shù)據(jù)的安全融合上。在由分層靜態(tài)傳感器網(wǎng)絡的數(shù)據(jù)融合操作中，根據(jù)系統(tǒng)的要求，數(shù)據(jù)融合節(jié)點（Aggregator Node）從各傳感器節(jié)點（General Node）收集所需的數(shù)據(jù)，并進行融合操作，然后將融合后的數(shù)據(jù)提交給相應的應用系統(tǒng)或上層通信設備。

    數(shù)據(jù)融合可有效降低系統(tǒng)的通信開銷，但也會因攻擊而帶來安全隱患，主要表現(xiàn)為：一是攻擊者入侵數(shù)據(jù)融合節(jié)點或將自己冒充為數(shù)據(jù)融合節(jié)點，修改數(shù)據(jù)融合的規(guī)則或策略，從而產(chǎn)生錯誤的融合后的數(shù)據(jù)并將其發(fā)送給應用系統(tǒng)或上層設備；二是攻擊者在入侵傳感器節(jié)點或將自己冒充為合法的傳感器節(jié)點后，向數(shù)據(jù)融合節(jié)點故意發(fā)送錯誤信息。以上兩種方式，都會破壞傳感器網(wǎng)絡的數(shù)據(jù)融合規(guī)則，形成錯誤或虛假的“感知”信息，使車聯(lián)網(wǎng)已有的安全機制失效，產(chǎn)生嚴重的安全后果。

1.3 車內(nèi)通信安全威脅

    車聯(lián)網(wǎng)是一個復雜的集信息感知、融合、交互于一體的信息系統(tǒng)，就VAN內(nèi)部的通信而言，不同功能的設備設施及模塊之間頻繁地進行信息的交換和處理，同時內(nèi)部設備還需要通過車載通信網(wǎng)關實現(xiàn)與外部網(wǎng)絡的連接。

    根據(jù)安全防御要求，可根據(jù)不同的安全等級將VAN內(nèi)部的通信劃分為多個不同的安全域，其中有些僅允許內(nèi)部數(shù)據(jù)交換的域與可訪問外網(wǎng)的域之間需要實現(xiàn)嚴格的物理隔離，而有些域之間只允許用戶數(shù)據(jù)從高安全域單向傳輸?shù)降桶踩?，反之不然。通過這種域間控制機制，實現(xiàn)通信的可靠性。但是，攻擊者也可以冒充為高安全域中的成員去控制低安全域中的節(jié)點，從而形成一個隱蔽通道^[3]來破壞原有的安全機制。為此，如何消除潛在的隱蔽通道安全威脅，實現(xiàn)不同等級安全域之間可靠的數(shù)據(jù)傳輸，是VAN安全需要解決的問題。針對此問題，傳統(tǒng)網(wǎng)絡中的物理隔離技術和基于數(shù)據(jù)過濾、數(shù)據(jù)流控制、協(xié)議轉換、虛擬機等方式的邏輯隔離技術，可以遷移到VAN的安全通信中。

1.4 電子車牌安全威脅

    車輛的注冊管理一直是交通管理部門的工作重點，也是車聯(lián)網(wǎng)需要實現(xiàn)的重要功能。其中，車牌管理通過對車輛分配一個唯一的身份標識（Identity，ID），實現(xiàn)對車輛從注冊、安檢、違章處理到報廢等一系列環(huán)節(jié)的過程管理，解決車輛管理中存在的黑車、套牌車、肇事車逃逸、車牌偽造等違法問題。

    電子車牌面臨的安全問題主要有：拆除或物理損壞電子標簽、標簽內(nèi)容篡改、非法讀取標簽信息、偽造標簽等。從技術上講，電子標簽與讀寫器之間的通信是非接觸式的，兩者之間的身份認證和數(shù)據(jù)加密機制也存在被攻擊的風險，存在信息被非法讀取或泄露的可能。即使是長期存儲在標簽和后臺數(shù)據(jù)庫中以及臨時存儲在讀寫器中的與車牌相關的信息，也同樣會受到攻擊。另外，利用標簽中車輛ID唯一性進行的對車輛的跟蹤和定位，導致用戶隱私的泄露。即使在加密系統(tǒng)中無法知道標簽中包含的具體內(nèi)容，但通過固定的加密信息仍然可以對標簽進行跟蹤和定位。

2 車載自組網(wǎng)安全威脅

2.1 干擾攻擊

    VANET（Vehicular Ad-hoc Network，車輛自組織網(wǎng)絡）安全威脅既有來自外界的入侵，還有來自內(nèi)部的攻擊，安全問題較為復雜。干擾攻擊是一種基于無線通信物理層所提供的頻率選擇、信道偵聽、調制和數(shù)據(jù)收發(fā)等功能而產(chǎn)生的攻擊方式。誤碼率高、傳輸帶寬有限、通信質量無法得到保障和系統(tǒng)的安全性較差是無線信道的固有特征。在車載自組網(wǎng)中，車輛間以無線方式隨機接入或離開網(wǎng)絡，并共享無線信道。攻擊者可以向特定區(qū)域發(fā)射大功率干擾信號，擾亂車輛之間的正常通信，使信號收發(fā)節(jié)點失去正常的信號收發(fā)能力，從而形成頻譜干擾（Spectrum Jamming）攻擊^[4]。

    如圖1所示，頻譜干擾攻擊的一般實現(xiàn)方法是攻擊者在感知到網(wǎng)絡中的通信行為時，在授權頻段內(nèi)通過提高自己的功率譜密度（Power Spectrum Density，PSD）來產(chǎn)生和發(fā)送連續(xù)的大功率無線信號，從而阻斷正常的通信。當節(jié)點要發(fā)送數(shù)據(jù)時，因信道繁忙而無法獲得對信道的有效利用，而節(jié)點要接收數(shù)據(jù)時，接收節(jié)點也會因大量來自攻擊的無線信號而被湮滅其中。在車聯(lián)網(wǎng)中，車輛之間必須頻繁交換各類實時感知信息，才能為車輛行駛安全作出相應的判斷和決策，而一旦這些信息無法在節(jié)點間正常傳輸或傳輸時出現(xiàn)錯誤，則會引起車輛間通信的混亂，甚至產(chǎn)生安全事故。頻譜干擾攻擊是一種典型的物理層DoS攻擊。

2.2 虛假信息攻擊

    虛假信息攻擊是借助VANET中節(jié)點之間共享開放信道的特點而實現(xiàn)的一種主動攻擊方式。在VANET中，當攻擊者一旦捕獲共享信道所在的頻段后，就可以冒充為合法的車聯(lián)網(wǎng)節(jié)點，向網(wǎng)絡中發(fā)送虛假信息，也可以篡改、延遲轉發(fā)或丟棄接收后需要轉發(fā)的信息，從而實現(xiàn)攻擊目的。

    安全是車聯(lián)網(wǎng)技術能否從理論走向應用、從實驗室走向大范圍部署的關鍵。行車安全依賴于車聯(lián)網(wǎng)中大量節(jié)點之間的協(xié)作，需要各節(jié)點之間能夠實時交換信息，并確保數(shù)據(jù)傳輸?shù)恼鎸嵭浴⑼暾院涂捎眯?。為此，VANET需要能夠同時抵御內(nèi)外網(wǎng)絡的安全威脅，形成一個可信、可控、可管的高度協(xié)作的網(wǎng)絡環(huán)境。

2.3 隧道攻擊

    隧道攻擊^[5]是指網(wǎng)絡中的惡意節(jié)點通過創(chuàng)建隱蔽通信通道，以此來隱瞞節(jié)點之間的真實路徑，使路由選擇、節(jié)點定位等涉及到路徑信息的算法因所獲得信息的虛假性而失效。如圖2所示，惡意攻擊節(jié)點A與B之間建有一條隱蔽通道，利用該隱蔽通道攻擊節(jié)點可吸納周邊節(jié)點的數(shù)據(jù)流量，而忽略了“車輛A”節(jié)點的存在。由于部分真實節(jié)點被忽略，破壞了網(wǎng)絡拓撲的真實性，使基于拓撲的通信協(xié)作和算法在執(zhí)行過程中出現(xiàn)錯誤。

    主動攻擊和被動攻擊的特點在隧道攻擊過程中同時得到體現(xiàn)，惡意節(jié)點間通過相互間的配合構建隱蔽通道，實現(xiàn)對路由的重定向，其他的攻擊手段也可以利用已創(chuàng)建的隧道發(fā)起新的攻擊。隧道攻擊的實現(xiàn)過程，從監(jiān)聽網(wǎng)絡可用頻段到攻擊同伴的產(chǎn)生，整個過程完全依賴于正常的網(wǎng)絡協(xié)議來實現(xiàn)，并不篡改其他節(jié)點的信息，而是利用自己的隧道資源優(yōu)勢引誘其他節(jié)點的路徑選擇。在車聯(lián)網(wǎng)中，隧道攻擊主要存在于物理層和網(wǎng)絡層，都會誤導信息的傳輸路徑，導致車輛間相對位置判斷的錯誤，使行車安全遭受破壞。

    除以上安全攻擊之外，車聯(lián)網(wǎng)還會受到黑洞問題、DoS攻擊（分布在網(wǎng)絡體系結構的各層，如網(wǎng)絡層DoS攻擊、MAC層DoS攻擊等）、路由表溢出、信息泄漏等主動型攻擊方式。

3 車載移動互聯(lián)網(wǎng)安全威脅

3.1 車輛安全威脅

3.1.1 車載操作系統(tǒng)安全威脅

    （1）操作系統(tǒng)移植中存在的安全威脅。目前，車載操作系統(tǒng)也多移植于智能移動終端的操作系統(tǒng)，主要有蘋果公司的iOS和Google的Android。由于iOS是一個系統(tǒng)級服務有限的相對封閉的操作系統(tǒng)，所以其安全性較好，受攻擊的面較小。而Android是一個相對開放的半開源操作系統(tǒng)，雖然操作系統(tǒng)的核心代碼是開源的，底層服務也是開放的，但第三方基于開源系統(tǒng)和開放平臺開發(fā)的應用一般是不開源的，導致軟件漏洞和后門大量存在，安全事件頻發(fā)，安全威脅較大。

    （2）軟件“越獄”帶來的安全風險威脅。軟件“越獄”是指繞過蘋果公司對其操作系統(tǒng)iOS施加的很多限制，從而可以獲得設備root權限訪問底層服務的技術手段。設備“越獄”后，用戶從蘋果App Store以外的商店下載其他非官方的應用程序或者自行安裝和訂制應用，開發(fā)者可以在不受App Store嚴格審核的情況下訪問系統(tǒng)資源、使用私有應用程序編程接口、修改系統(tǒng)特性等，進而實現(xiàn)對短信、通話及電子郵件的攔截，GPS后臺跟蹤，后臺錄音等操作，給行車安全和用戶信息安全帶來極大的隱患。

    （3）操作系統(tǒng)“刷機”帶來的安全風險威脅?！八C”即對設備更換固件（即ROM），目前多用于智能手機等移動終端設備。“刷機”后有可能帶來設備運行不穩(wěn)定、死機、功能失效等后果，當使用來路不明或事先設置了安全后門的ROM時，會存在很大的安全風險。

    （4）外部通信接口帶來的安全威脅。車聯(lián)網(wǎng)中的外部通信接口主要是車載通信安全網(wǎng)關，在與外部進行數(shù)據(jù)交換時，一方面要防止內(nèi)部信息的泄露，另一方面還要防止外部網(wǎng)絡中的病毒侵入內(nèi)部網(wǎng)絡。

    另外，還有軟件升級過程中帶來的安全隱患，用戶非授權訪問等安全問題。

3.1.2 應用軟件安全威脅

    （1）病毒的侵入。雖然車載智能終端不像智能手機、平面電腦那樣受計算和存儲能力的限制，但與傳統(tǒng)互聯(lián)網(wǎng)中的計算機相比，車聯(lián)網(wǎng)中車載智能終端防范病毒入侵和防御外界攻擊的能力相對有限，復雜的加密算法和運行機制很難取得預期的效果，對于龐大病毒庫的更新與維護相對困難。

    （2）云計算環(huán)境中的數(shù)據(jù)安全。由于云計算所具有的按需使用、易拓展、高效利用等特征，大大增加了在車聯(lián)網(wǎng)應用中的靈活性。云計算是一個由多個單一安全域通過輕耦合方式聯(lián)合而成的邏輯安全域，云計算所具有的可擴展性、開放性和管理的復雜性，使訪問控制變得非常繁雜，傳統(tǒng)單一安全域中的訪問控制模型和機制無法解決多域環(huán)境中可能出現(xiàn)的安全威脅。所以云計算的應用必須解決跨域認證、授權和操作中帶來的安全問題。除此之外，傳統(tǒng)網(wǎng)絡的安全也在影響著云計算環(huán)境中用戶數(shù)據(jù)的安全^[6]。

    （3）專業(yè)應用安全。專業(yè)應用安全中最典型的是定位軟件的安全。由于定位信息不僅僅涉及到用戶的個人私隱，還涉及到行車安全，所以成為木馬攻擊的主要目標之一。當木馬侵入到車輛定位軟件后，會在后臺運行并收集用戶的地理位置等敏感信息，并在用戶完全不知情的情況下泄露出去。在這種情況下，定位軟件就像一個隱藏的間諜，其存在對個人信息和行車安全來說無疑是一種威脅。

3.2 接入網(wǎng)安全威脅

    接入網(wǎng)負責將車輛節(jié)點連接到核心網(wǎng)絡以獲得相應的服務，它是車聯(lián)網(wǎng)的重要信息基礎設施。根據(jù)信號覆蓋范圍的不同，車聯(lián)網(wǎng)中的接入網(wǎng)可以分為衛(wèi)星通信網(wǎng)絡、蜂窩網(wǎng)絡（2G/3G/4G）、無線城域網(wǎng)（如WiMax）、無線局域網(wǎng)（WLAN）、無線個域網(wǎng)（如紅外、藍牙等）等方式^[7，8]。接入網(wǎng)主要面臨以下幾個方面的安全威脅。

3.2.1 網(wǎng)絡耦合過程中帶來的安全威脅

    各種接入網(wǎng)絡之間的泛在互聯(lián)，需要異構網(wǎng)絡之間的耦合。例如，3G與WLAN在耦合時需要通過接入網(wǎng)關將WLAN中的AP接入到3G網(wǎng)絡，WLAN中的用戶共享3G網(wǎng)絡系統(tǒng)提供的身份認證、資源授權和計費等功能。在這一過程中，相對安全的3G網(wǎng)絡需要向WLAN開放網(wǎng)絡接口，其安全性受到威脅。在不同架構的網(wǎng)絡耦合過程中，各類專用接入網(wǎng)關扮演著異構網(wǎng)絡之間的用戶與資源管理和數(shù)據(jù)轉換等角色，網(wǎng)關自身的安全性也在很大程度上決定著車聯(lián)網(wǎng)的安全性。

3.2.2 缺乏安全統(tǒng)一的身份認證機制

    任何一個多用戶系統(tǒng)都涉及到身份認證和資源授權問題^[9，10]。在傳統(tǒng)的單一安全域中，一般都存在技術上成熟、運行穩(wěn)定的用戶和資源管理模式來負責協(xié)調管理本域中的不同應用系統(tǒng)，如基于單點登錄（Single Sign On，SSO）的統(tǒng)一身份認證系統(tǒng)實現(xiàn)了用戶在一個安全域內(nèi)的一次登錄多次訪問能力。在車聯(lián)網(wǎng)環(huán)境中同一車輛節(jié)點需要同時訪問多個相對獨立的應用系統(tǒng)，應用系統(tǒng)多屬于不同的安全域，多數(shù)訪問需要跨域進行，因而需要一個統(tǒng)一身份認證（也稱為“聯(lián)邦身份認證”）中心負責對邏輯安全域中的用戶身份和資源授權進行統(tǒng)一管理。但是，因不同域間的輕耦合性而導致的安全邊界的不穩(wěn)定性和模糊性，大大增加了車聯(lián)網(wǎng)中對數(shù)據(jù)安全和用戶隱私保護的難度，傳統(tǒng)單一安全域中的安全機制在其可擴展性和資源按需分配方面無法滿足多域環(huán)境下的需求，并暴露出一些安全問題。

3.3 應用安全威脅

3.3.1 數(shù)據(jù)的非法訪問

    非法訪問是指對數(shù)據(jù)的非授權或越權訪問，破壞了數(shù)據(jù)的保密性和完整性。非法訪問一般通過掃描、黑客程序、隱蔽通道、遠端操縱、密碼攻擊等手段，竊取或截獲用戶帳號和口令等信息，尋找網(wǎng)絡安全弱點，竊取系統(tǒng)管理員權限或將普通用戶的權限提升為管理員權限，竊取網(wǎng)絡中傳輸或存儲的非公開數(shù)據(jù)，破壞、修改正常數(shù)據(jù)，設置非法程序，使系統(tǒng)無法為合法用戶提供服務。對用戶隱私信息的不規(guī)范甚至是非法使用，不僅會侵犯個人隱私，而且有可能助長以用戶信息為牟利點的地下黑色產(chǎn)業(yè)鏈，嚴重影響車聯(lián)網(wǎng)技術的應用和發(fā)展。

3.3.2 軌跡隱私泄露

    車聯(lián)網(wǎng)中，車輛隨時隨地接入互聯(lián)網(wǎng)，車輛信息具備時間和空間上的連續(xù)性和關聯(lián)性，形成了邏輯上非常明晰的關聯(lián)，將這種關聯(lián)稱為軌跡。由于車輛的運行軌跡中包含著或者可以推導出內(nèi)容豐富的敏感信息（例如什么時間去過什么地方、駕駛者的生活習慣及健康狀況等），所以攻擊者可以收集豐富的、細粒度的車輛軌跡信息，并經(jīng)分析獲得用戶的隱私。

3.3.3 車輛大數(shù)據(jù)安全

    移動通信和傳感設備的廣泛使用導致了大數(shù)據(jù)的到來，而移動通信和傳感設備正是車聯(lián)網(wǎng)的應用核心。由于車聯(lián)網(wǎng)中研究的主要對象是車輛，原始數(shù)據(jù)也主要由車輛直接產(chǎn)生，為此將車聯(lián)網(wǎng)中與車輛相關的數(shù)據(jù)理解為車輛大數(shù)據(jù)。根據(jù)已有的研究，對大數(shù)據(jù)提出了稱為5 V的5個基本特征，即體量大（volume）、產(chǎn)生速度快（velocity）、模態(tài)多（variety）、識別難度大（veracity）和價值密度低（value）^[11]。其中，車輛大數(shù)據(jù)中最大的特點是體量大、產(chǎn)生速度快和模態(tài)多，體量大是由車聯(lián)網(wǎng)的規(guī)模決定的，而產(chǎn)生速度快是由車聯(lián)網(wǎng)中行駛的安全性決定的，而模態(tài)多則是由車聯(lián)網(wǎng)中數(shù)據(jù)類型決定的。車輛大數(shù)據(jù)的安全威脅主要體現(xiàn)在以下三個方面：一是由于數(shù)據(jù)中包含著與車輛自身（包括車輛注冊信息、車輛擁有者信息、車輛駕駛者信息等）和車輛軌跡相關的敏感信息，所以存在著信息泄露問題；二是數(shù)據(jù)服務的真實性和可用性，從車聯(lián)網(wǎng)自身的功能定位和應用需求出發(fā)，車輛節(jié)點實時得到的信息必須是真實、可靠、可信的，這需要在確保網(wǎng)絡通信質量的前提下，提高數(shù)據(jù)服務的質量，防止數(shù)據(jù)被篡改；三是由于車輛大數(shù)據(jù)的價值很高，成為攻擊者的關注目標。車聯(lián)網(wǎng)中的數(shù)據(jù)價值直接涉及到行車安全和對可用信息的利用（如利用車輛軌跡信息的欺詐、出售駕駛者健康信息、非法披露用戶的個人習慣等），攻擊者也可以通過收集公開的信息并進行數(shù)據(jù)分析，獲得有價值的數(shù)據(jù)。另外，大數(shù)據(jù)也成為各類攻擊實施的載體，攻擊者通過將攻擊代碼寫入大數(shù)據(jù)并以其為攻擊發(fā)起者對目標對象實施攻擊行為。

3.3.4 Sybil攻擊

    Sybil攻擊^[12，13]是車聯(lián)網(wǎng)中常見的基于身份的攻擊方式，發(fā)起攻擊的節(jié)點（Sybil節(jié)點）通過偽造車輛的身份標識（ID）來創(chuàng)建錯誤的目的地址，達到攻擊目的。在Sybil攻擊中，Sybil節(jié)點通過冒充其他合法車輛節(jié)點或偽造車輛ID，使一個惡意物理實體同時對外提供多個ID，從而使車輛ID失去真實性。一旦Sybil攻擊成功，攻擊者將破壞車聯(lián)網(wǎng)正常的運行機制，主要表現(xiàn)為：發(fā)布虛假交通信息、使點對點存儲系統(tǒng)的分段和復制機制失效、擾亂路由算法機制、破壞網(wǎng)絡選舉機制、改變數(shù)據(jù)整合結果、使以節(jié)點為基礎的資源分配策略喪失公平性、使異常行為檢測出現(xiàn)誤差等。如圖3所示，在一交通路口，車輛正確的行駛方向應該是直行或右轉，但在攻擊節(jié)點虛假信息的引導下，錯誤的導向了直行或左轉，從而引起車輛間的碰撞甚至是更大的交通事故。

3.3.5 蟲洞攻擊

    蟲洞攻擊（worm hole attack）^[14]是一種典型的發(fā)生在網(wǎng)絡層的DoS攻擊方式，攻擊節(jié)點無需獲得系統(tǒng)的身份認證便可以對網(wǎng)絡進行功能干擾和破壞。蟲洞攻擊的實現(xiàn)過程如圖4所示，兩個實施攻擊的惡意節(jié)點A₁和A₂通過串謀建立一條稱為“蟲洞鏈路”的私有通道，任何一個攻擊者能夠分別在各自的位置上獲得并記錄從鄰居節(jié)點收到的數(shù)據(jù)，并通過蟲洞鏈路傳遞到另一端的攻擊節(jié)點，并由該攻擊節(jié)點廣播給通信半徑內(nèi)的其他節(jié)點。

    正常情況下，節(jié)點N₁和N₆無法直接進行通信，但是因為蟲洞鏈路的存在，節(jié)點N₁和N₆分別錯誤地認為對方在各自的通信范圍內(nèi)。更為糟糕的是，相比其他正常的通信鏈路，蟲洞鏈路具有更高的通信質量，而且對于上層應用來講，蟲洞攻擊節(jié)點和蟲洞鏈路是不可見的，這就導致應用層的身份認證和加密數(shù)據(jù)在蟲洞鏈路中會無條件轉發(fā)。在車聯(lián)網(wǎng)中，蟲洞攻擊主要影響數(shù)據(jù)融合、路由和定位等功能的正常實現(xiàn)。以基于跳數(shù)的無線定位算法（如典型的DV-Hop算法）的實現(xiàn)為例，在正常情況下節(jié)點N₁和N₆之間的跳數(shù)為5（N₁→N₂→N₃→N₄→N₅→N₆），而當存在蟲洞鏈路時其跳數(shù)變?yōu)?（N₁→A₁→A₂→N₆），其中在算法實現(xiàn)中A₁和A₂是不可見的，由于蟲洞攻擊的存在，使得N₁和N₆之間的跳數(shù)比實際跳數(shù)小得多，導致定位結果與實際位置信息嚴重不符，形成車聯(lián)網(wǎng)安全的隱患。

3.3.6 黑洞攻擊

    黑洞攻擊（black hole attack）^[15]是一種典型的網(wǎng)絡層DoS攻擊方式，也是車聯(lián)網(wǎng)中一種常見的攻擊類型。與蟲洞攻擊不同的是，黑洞攻擊屬于一種內(nèi)部攻擊方式，是由已經(jīng)被授權的網(wǎng)絡內(nèi)部惡意節(jié)點發(fā)起的一種攻擊。黑洞攻擊的實現(xiàn)過程如圖5所示，當節(jié)點N₁中沒有到達節(jié)點N₄所在網(wǎng)絡的路由時，節(jié)點N₁將向所在網(wǎng)絡中廣播一個請求報文，由于節(jié)點N₂和N₆以及惡意節(jié)點A屬于同一個網(wǎng)絡，所以這3個節(jié)點都會收到該請求報文。其中，惡意節(jié)點A在收到該請求報文后，會向節(jié)點N₁返回一個應答報文，謊稱通過自己有一條到達目的主機N₄所在網(wǎng)絡的最短路徑。節(jié)點N₁在接收到該欺騙報文后，開始通過節(jié)點A向節(jié)點N₄發(fā)送數(shù)據(jù)。而當節(jié)點A接收到從節(jié)點N₁發(fā)送來的數(shù)據(jù)后，并不轉發(fā)數(shù)據(jù)，而是直接將其丟棄掉或者重定向到偽裝的目的節(jié)點。在黑洞攻擊中，惡意節(jié)點充分利用了路由協(xié)議存在的設計缺陷，從而在網(wǎng)絡中形成了一個專門吸收數(shù)據(jù)的黑洞，在破壞網(wǎng)絡數(shù)據(jù)轉發(fā)機制的同時，惡意截獲并丟棄節(jié)點數(shù)據(jù)，甚至竊取網(wǎng)絡中一些重要節(jié)點的數(shù)據(jù)。

4 結論

    知己知彼，百戰(zhàn)不殆。對安全威脅進行全面系統(tǒng)研究的目的不是人為放大存在和潛在的安全風險，甚至導致應用恐慌，而是在充分認識所面臨威脅的基礎上，為安全技術研究和機制創(chuàng)新提供依據(jù)和支撐。本文在充分分析互聯(lián)網(wǎng)已有安全威脅的基礎上，針對車聯(lián)網(wǎng)應用，重點從數(shù)據(jù)通信安全入手、從網(wǎng)絡安全出發(fā)，以成熟的網(wǎng)絡分層模型為基礎，綜述了面臨的安全威脅。

參考文獻

[1] RAYA M，PAPADIMITRATOS P，HUBAUX J P.Securing vehicular communications[J].IEEE Wireless Communications，2006，13(5)：8-15.

[2] HU Y C，PERRING A，JOHNSON D B.Wormhole attacks in wireless networks[J].IEEE Journal on Selected Areas in Communications，2006，24(2)：370-380.

[3] LAMPSON B W.A note on the confinement problem[J].Communications of the ACM，1973，16(10)：613-615.

文獻4-15略

作者信息:

李馥娟1，王  群1，2，錢煥延2

（1.江蘇警官學院 計算機信息與網(wǎng)絡安全系，江蘇 南京210031；

2.南京理工大學 計算機科學與工程學院，江蘇 南京210094）