0 引言

    作為在智能交通應(yīng)用中具有典型性和先進(jìn)性的車聯(lián)網(wǎng)，因其應(yīng)用環(huán)境的特殊性和組網(wǎng)的復(fù)雜性，其安全問題更加突出。從網(wǎng)絡(luò)拓?fù)鋪砜?，車?lián)網(wǎng)中節(jié)點(diǎn)之間的連接方式更加靈活，車輛之間可以組成無中心的移動(dòng)自組織網(wǎng)絡(luò)，車輛與道路基礎(chǔ)設(shè)施之間還可以組成有固定接入點(diǎn)的基礎(chǔ)結(jié)構(gòu)型網(wǎng)絡(luò)。所以，車聯(lián)網(wǎng)的結(jié)構(gòu)要比傳統(tǒng)的互聯(lián)網(wǎng)、MWSN（Mobile Wireless Sensor Networks，移動(dòng)無線傳感網(wǎng)）、MANET（Mobile Ad-hoc Network，移動(dòng)自組織網(wǎng)絡(luò)）更加復(fù)雜，復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用隨之也帶來了新的更加復(fù)雜的安全問題。由于車聯(lián)網(wǎng)中的車車通信以及車路通信全部采用無線移動(dòng)通信方式，無線通信固有的缺陷與車聯(lián)網(wǎng)應(yīng)用的高可靠性、高安全性之間存在著矛盾。作為車聯(lián)網(wǎng)數(shù)據(jù)承載的互聯(lián)網(wǎng)，其安全隱患和威脅在車聯(lián)網(wǎng)中依然存在，而且還會(huì)隨著車聯(lián)網(wǎng)的應(yīng)用發(fā)展而不斷演變，進(jìn)而形成新的安全威脅。為此，對于車聯(lián)網(wǎng)安全的研究，需要在充分認(rèn)識(shí)各類已有網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，結(jié)合車聯(lián)網(wǎng)自身的結(jié)構(gòu)和功能特征，從體系結(jié)構(gòu)、協(xié)議實(shí)現(xiàn)、管理策略、具體應(yīng)用等方面分析可能存在的安全隱患和潛在的安全威脅，并提出具體的解決方法和相應(yīng)的研究思路。

1 車域網(wǎng)安全威脅

1.1 車輛定位安全威脅

    車輛定位是車聯(lián)網(wǎng)的關(guān)鍵技術(shù)之一，車聯(lián)網(wǎng)的大量應(yīng)用都與位置信息有關(guān)，尤其是車速、加速度、運(yùn)行方向等涉及到車輛運(yùn)行安全的信息必須與特定的車輛及其當(dāng)前位置相關(guān)，沒有準(zhǔn)確位置信息的監(jiān)測數(shù)據(jù)不但沒有應(yīng)用價(jià)值，而且會(huì)為車聯(lián)網(wǎng)帶來安全隱患。因此，車輛定位技術(shù)是車聯(lián)網(wǎng)技術(shù)發(fā)展的基礎(chǔ)。

    參與車聯(lián)網(wǎng)定位的節(jié)點(diǎn)分為已知其位置信息的信標(biāo)（Beacon）節(jié)點(diǎn)和未知其位置信息的未知（Unknown）節(jié)點(diǎn)兩類，其中分布在道路兩側(cè)的RSU（Road Side Unit，路側(cè)單元）多為通過GPS等方式精確定位的信標(biāo)節(jié)點(diǎn)，而行駛在道路上的車輛多為未知節(jié)點(diǎn)。由于車輛運(yùn)行在空曠的交通環(huán)境中，攻擊節(jié)點(diǎn)可以入侵到車聯(lián)網(wǎng)，破壞定位模塊的正常功能。同時(shí)，由于定位系統(tǒng)多利用無線通信所具有的信號(hào)傳輸延時(shí)、角度、功耗、相位差等物理屬性和特征，以及信息在不同節(jié)點(diǎn)間轉(zhuǎn)發(fā)的跳數(shù)來確定節(jié)點(diǎn)的位置關(guān)系，然而攻擊者可以利用無線通信的開放性隨意地偵聽網(wǎng)絡(luò)中的信息并進(jìn)行偽造^[1]，或者將自己扮演為信標(biāo)節(jié)點(diǎn)發(fā)送虛假定位參照信息來誤導(dǎo)未知節(jié)點(diǎn)。其中，蟲洞攻擊^[2]是一種典型的適用于車聯(lián)網(wǎng)環(huán)境的攻擊方法，它不僅通過擾亂節(jié)點(diǎn)之間的正常跳數(shù)產(chǎn)生錯(cuò)誤的定位信息，而且利用篡改、選擇性地轉(zhuǎn)發(fā)接收到的信息，破壞網(wǎng)絡(luò)中正常傳輸?shù)臄?shù)據(jù)。

1.2 傳感器網(wǎng)絡(luò)安全威脅

    與WSN不同的是，VAN（Vehicles Area Network，車域網(wǎng)）中的傳感器網(wǎng)絡(luò)是由性能與功能不同的傳感器組成的分層傳感器網(wǎng)絡(luò)，而且傳感器之間多采用有線或集成方式連接，屬于靜態(tài)傳感器網(wǎng)絡(luò)。為此，在研究VAN中傳感器網(wǎng)絡(luò)的安全時(shí)，不再受計(jì)算能力、功耗、存儲(chǔ)空間和通信能力等硬件資源的影響，一些經(jīng)典的密碼算法、密鑰管理、身份認(rèn)證、入侵檢測等安全技術(shù)可直接應(yīng)用其中，提高了系統(tǒng)的安全防范能力。

    在車聯(lián)網(wǎng)中，單一數(shù)量和功能的傳感器提供的信息已無法滿足其應(yīng)用需求，必須同時(shí)運(yùn)用包括壓力、溫度、濕度、速度、紅外、激光等多種功能的不同傳感器，并將其集成起來提供多種感知數(shù)據(jù)，通過優(yōu)化處理獲得車輛的特定狀態(tài)信息，再經(jīng)綜合分析后，為車聯(lián)網(wǎng)應(yīng)用提供信息依據(jù)。為此，在VAN的傳感器網(wǎng)絡(luò)研究中，重點(diǎn)應(yīng)放在對不同傳感器數(shù)據(jù)的安全融合上。在由分層靜態(tài)傳感器網(wǎng)絡(luò)的數(shù)據(jù)融合操作中，根據(jù)系統(tǒng)的要求，數(shù)據(jù)融合節(jié)點(diǎn)（Aggregator Node）從各傳感器節(jié)點(diǎn)（General Node）收集所需的數(shù)據(jù)，并進(jìn)行融合操作，然后將融合后的數(shù)據(jù)提交給相應(yīng)的應(yīng)用系統(tǒng)或上層通信設(shè)備。

    數(shù)據(jù)融合可有效降低系統(tǒng)的通信開銷，但也會(huì)因攻擊而帶來安全隱患，主要表現(xiàn)為：一是攻擊者入侵?jǐn)?shù)據(jù)融合節(jié)點(diǎn)或?qū)⒆约好俺錇閿?shù)據(jù)融合節(jié)點(diǎn)，修改數(shù)據(jù)融合的規(guī)則或策略，從而產(chǎn)生錯(cuò)誤的融合后的數(shù)據(jù)并將其發(fā)送給應(yīng)用系統(tǒng)或上層設(shè)備；二是攻擊者在入侵傳感器節(jié)點(diǎn)或?qū)⒆约好俺錇楹戏ǖ膫鞲衅鞴?jié)點(diǎn)后，向數(shù)據(jù)融合節(jié)點(diǎn)故意發(fā)送錯(cuò)誤信息。以上兩種方式，都會(huì)破壞傳感器網(wǎng)絡(luò)的數(shù)據(jù)融合規(guī)則，形成錯(cuò)誤或虛假的“感知”信息，使車聯(lián)網(wǎng)已有的安全機(jī)制失效，產(chǎn)生嚴(yán)重的安全后果。

1.3 車內(nèi)通信安全威脅

    車聯(lián)網(wǎng)是一個(gè)復(fù)雜的集信息感知、融合、交互于一體的信息系統(tǒng)，就VAN內(nèi)部的通信而言，不同功能的設(shè)備設(shè)施及模塊之間頻繁地進(jìn)行信息的交換和處理，同時(shí)內(nèi)部設(shè)備還需要通過車載通信網(wǎng)關(guān)實(shí)現(xiàn)與外部網(wǎng)絡(luò)的連接。

    根據(jù)安全防御要求，可根據(jù)不同的安全等級(jí)將VAN內(nèi)部的通信劃分為多個(gè)不同的安全域，其中有些僅允許內(nèi)部數(shù)據(jù)交換的域與可訪問外網(wǎng)的域之間需要實(shí)現(xiàn)嚴(yán)格的物理隔離，而有些域之間只允許用戶數(shù)據(jù)從高安全域單向傳輸?shù)降桶踩?，反之不然。通過這種域間控制機(jī)制，實(shí)現(xiàn)通信的可靠性。但是，攻擊者也可以冒充為高安全域中的成員去控制低安全域中的節(jié)點(diǎn)，從而形成一個(gè)隱蔽通道^[3]來破壞原有的安全機(jī)制。為此，如何消除潛在的隱蔽通道安全威脅，實(shí)現(xiàn)不同等級(jí)安全域之間可靠的數(shù)據(jù)傳輸，是VAN安全需要解決的問題。針對此問題，傳統(tǒng)網(wǎng)絡(luò)中的物理隔離技術(shù)和基于數(shù)據(jù)過濾、數(shù)據(jù)流控制、協(xié)議轉(zhuǎn)換、虛擬機(jī)等方式的邏輯隔離技術(shù)，可以遷移到VAN的安全通信中。

1.4 電子車牌安全威脅

    車輛的注冊管理一直是交通管理部門的工作重點(diǎn)，也是車聯(lián)網(wǎng)需要實(shí)現(xiàn)的重要功能。其中，車牌管理通過對車輛分配一個(gè)唯一的身份標(biāo)識(shí)（Identity，ID），實(shí)現(xiàn)對車輛從注冊、安檢、違章處理到報(bào)廢等一系列環(huán)節(jié)的過程管理，解決車輛管理中存在的黑車、套牌車、肇事車逃逸、車牌偽造等違法問題。

    電子車牌面臨的安全問題主要有：拆除或物理損壞電子標(biāo)簽、標(biāo)簽內(nèi)容篡改、非法讀取標(biāo)簽信息、偽造標(biāo)簽等。從技術(shù)上講，電子標(biāo)簽與讀寫器之間的通信是非接觸式的，兩者之間的身份認(rèn)證和數(shù)據(jù)加密機(jī)制也存在被攻擊的風(fēng)險(xiǎn)，存在信息被非法讀取或泄露的可能。即使是長期存儲(chǔ)在標(biāo)簽和后臺(tái)數(shù)據(jù)庫中以及臨時(shí)存儲(chǔ)在讀寫器中的與車牌相關(guān)的信息，也同樣會(huì)受到攻擊。另外，利用標(biāo)簽中車輛ID唯一性進(jìn)行的對車輛的跟蹤和定位，導(dǎo)致用戶隱私的泄露。即使在加密系統(tǒng)中無法知道標(biāo)簽中包含的具體內(nèi)容，但通過固定的加密信息仍然可以對標(biāo)簽進(jìn)行跟蹤和定位。

2 車載自組網(wǎng)安全威脅

2.1 干擾攻擊

    VANET（Vehicular Ad-hoc Network，車輛自組織網(wǎng)絡(luò)）安全威脅既有來自外界的入侵，還有來自內(nèi)部的攻擊，安全問題較為復(fù)雜。干擾攻擊是一種基于無線通信物理層所提供的頻率選擇、信道偵聽、調(diào)制和數(shù)據(jù)收發(fā)等功能而產(chǎn)生的攻擊方式。誤碼率高、傳輸帶寬有限、通信質(zhì)量無法得到保障和系統(tǒng)的安全性較差是無線信道的固有特征。在車載自組網(wǎng)中，車輛間以無線方式隨機(jī)接入或離開網(wǎng)絡(luò)，并共享無線信道。攻擊者可以向特定區(qū)域發(fā)射大功率干擾信號(hào)，擾亂車輛之間的正常通信，使信號(hào)收發(fā)節(jié)點(diǎn)失去正常的信號(hào)收發(fā)能力，從而形成頻譜干擾（Spectrum Jamming）攻擊^[4]。

    如圖1所示，頻譜干擾攻擊的一般實(shí)現(xiàn)方法是攻擊者在感知到網(wǎng)絡(luò)中的通信行為時(shí)，在授權(quán)頻段內(nèi)通過提高自己的功率譜密度（Power Spectrum Density，PSD）來產(chǎn)生和發(fā)送連續(xù)的大功率無線信號(hào)，從而阻斷正常的通信。當(dāng)節(jié)點(diǎn)要發(fā)送數(shù)據(jù)時(shí)，因信道繁忙而無法獲得對信道的有效利用，而節(jié)點(diǎn)要接收數(shù)據(jù)時(shí)，接收節(jié)點(diǎn)也會(huì)因大量來自攻擊的無線信號(hào)而被湮滅其中。在車聯(lián)網(wǎng)中，車輛之間必須頻繁交換各類實(shí)時(shí)感知信息，才能為車輛行駛安全作出相應(yīng)的判斷和決策，而一旦這些信息無法在節(jié)點(diǎn)間正常傳輸或傳輸時(shí)出現(xiàn)錯(cuò)誤，則會(huì)引起車輛間通信的混亂，甚至產(chǎn)生安全事故。頻譜干擾攻擊是一種典型的物理層DoS攻擊。

2.2 虛假信息攻擊

    虛假信息攻擊是借助VANET中節(jié)點(diǎn)之間共享開放信道的特點(diǎn)而實(shí)現(xiàn)的一種主動(dòng)攻擊方式。在VANET中，當(dāng)攻擊者一旦捕獲共享信道所在的頻段后，就可以冒充為合法的車聯(lián)網(wǎng)節(jié)點(diǎn)，向網(wǎng)絡(luò)中發(fā)送虛假信息，也可以篡改、延遲轉(zhuǎn)發(fā)或丟棄接收后需要轉(zhuǎn)發(fā)的信息，從而實(shí)現(xiàn)攻擊目的。

    安全是車聯(lián)網(wǎng)技術(shù)能否從理論走向應(yīng)用、從實(shí)驗(yàn)室走向大范圍部署的關(guān)鍵。行車安全依賴于車聯(lián)網(wǎng)中大量節(jié)點(diǎn)之間的協(xié)作，需要各節(jié)點(diǎn)之間能夠?qū)崟r(shí)交換信息，并確保數(shù)據(jù)傳輸?shù)恼鎸?shí)性、完整性和可用性。為此，VANET需要能夠同時(shí)抵御內(nèi)外網(wǎng)絡(luò)的安全威脅，形成一個(gè)可信、可控、可管的高度協(xié)作的網(wǎng)絡(luò)環(huán)境。

2.3 隧道攻擊

    隧道攻擊^[5]是指網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)通過創(chuàng)建隱蔽通信通道，以此來隱瞞節(jié)點(diǎn)之間的真實(shí)路徑，使路由選擇、節(jié)點(diǎn)定位等涉及到路徑信息的算法因所獲得信息的虛假性而失效。如圖2所示，惡意攻擊節(jié)點(diǎn)A與B之間建有一條隱蔽通道，利用該隱蔽通道攻擊節(jié)點(diǎn)可吸納周邊節(jié)點(diǎn)的數(shù)據(jù)流量，而忽略了“車輛A”節(jié)點(diǎn)的存在。由于部分真實(shí)節(jié)點(diǎn)被忽略，破壞了網(wǎng)絡(luò)拓?fù)涞恼鎸?shí)性，使基于拓?fù)涞耐ㄐ艆f(xié)作和算法在執(zhí)行過程中出現(xiàn)錯(cuò)誤。

    主動(dòng)攻擊和被動(dòng)攻擊的特點(diǎn)在隧道攻擊過程中同時(shí)得到體現(xiàn)，惡意節(jié)點(diǎn)間通過相互間的配合構(gòu)建隱蔽通道，實(shí)現(xiàn)對路由的重定向，其他的攻擊手段也可以利用已創(chuàng)建的隧道發(fā)起新的攻擊。隧道攻擊的實(shí)現(xiàn)過程，從監(jiān)聽網(wǎng)絡(luò)可用頻段到攻擊同伴的產(chǎn)生，整個(gè)過程完全依賴于正常的網(wǎng)絡(luò)協(xié)議來實(shí)現(xiàn)，并不篡改其他節(jié)點(diǎn)的信息，而是利用自己的隧道資源優(yōu)勢引誘其他節(jié)點(diǎn)的路徑選擇。在車聯(lián)網(wǎng)中，隧道攻擊主要存在于物理層和網(wǎng)絡(luò)層，都會(huì)誤導(dǎo)信息的傳輸路徑，導(dǎo)致車輛間相對位置判斷的錯(cuò)誤，使行車安全遭受破壞。

    除以上安全攻擊之外，車聯(lián)網(wǎng)還會(huì)受到黑洞問題、DoS攻擊（分布在網(wǎng)絡(luò)體系結(jié)構(gòu)的各層，如網(wǎng)絡(luò)層DoS攻擊、MAC層DoS攻擊等）、路由表溢出、信息泄漏等主動(dòng)型攻擊方式。

3 車載移動(dòng)互聯(lián)網(wǎng)安全威脅

3.1 車輛安全威脅

3.1.1 車載操作系統(tǒng)安全威脅

    （1）操作系統(tǒng)移植中存在的安全威脅。目前，車載操作系統(tǒng)也多移植于智能移動(dòng)終端的操作系統(tǒng)，主要有蘋果公司的iOS和Google的Android。由于iOS是一個(gè)系統(tǒng)級(jí)服務(wù)有限的相對封閉的操作系統(tǒng)，所以其安全性較好，受攻擊的面較小。而Android是一個(gè)相對開放的半開源操作系統(tǒng)，雖然操作系統(tǒng)的核心代碼是開源的，底層服務(wù)也是開放的，但第三方基于開源系統(tǒng)和開放平臺(tái)開發(fā)的應(yīng)用一般是不開源的，導(dǎo)致軟件漏洞和后門大量存在，安全事件頻發(fā)，安全威脅較大。

    （2）軟件“越獄”帶來的安全風(fēng)險(xiǎn)威脅。軟件“越獄”是指繞過蘋果公司對其操作系統(tǒng)iOS施加的很多限制，從而可以獲得設(shè)備root權(quán)限訪問底層服務(wù)的技術(shù)手段。設(shè)備“越獄”后，用戶從蘋果App Store以外的商店下載其他非官方的應(yīng)用程序或者自行安裝和訂制應(yīng)用，開發(fā)者可以在不受App Store嚴(yán)格審核的情況下訪問系統(tǒng)資源、使用私有應(yīng)用程序編程接口、修改系統(tǒng)特性等，進(jìn)而實(shí)現(xiàn)對短信、通話及電子郵件的攔截，GPS后臺(tái)跟蹤，后臺(tái)錄音等操作，給行車安全和用戶信息安全帶來極大的隱患。

    （3）操作系統(tǒng)“刷機(jī)”帶來的安全風(fēng)險(xiǎn)威脅?！八C(jī)”即對設(shè)備更換固件（即ROM），目前多用于智能手機(jī)等移動(dòng)終端設(shè)備。“刷機(jī)”后有可能帶來設(shè)備運(yùn)行不穩(wěn)定、死機(jī)、功能失效等后果，當(dāng)使用來路不明或事先設(shè)置了安全后門的ROM時(shí)，會(huì)存在很大的安全風(fēng)險(xiǎn)。

    （4）外部通信接口帶來的安全威脅。車聯(lián)網(wǎng)中的外部通信接口主要是車載通信安全網(wǎng)關(guān)，在與外部進(jìn)行數(shù)據(jù)交換時(shí)，一方面要防止內(nèi)部信息的泄露，另一方面還要防止外部網(wǎng)絡(luò)中的病毒侵入內(nèi)部網(wǎng)絡(luò)。

    另外，還有軟件升級(jí)過程中帶來的安全隱患，用戶非授權(quán)訪問等安全問題。

3.1.2 應(yīng)用軟件安全威脅

    （1）病毒的侵入。雖然車載智能終端不像智能手機(jī)、平面電腦那樣受計(jì)算和存儲(chǔ)能力的限制，但與傳統(tǒng)互聯(lián)網(wǎng)中的計(jì)算機(jī)相比，車聯(lián)網(wǎng)中車載智能終端防范病毒入侵和防御外界攻擊的能力相對有限，復(fù)雜的加密算法和運(yùn)行機(jī)制很難取得預(yù)期的效果，對于龐大病毒庫的更新與維護(hù)相對困難。

    （2）云計(jì)算環(huán)境中的數(shù)據(jù)安全。由于云計(jì)算所具有的按需使用、易拓展、高效利用等特征，大大增加了在車聯(lián)網(wǎng)應(yīng)用中的靈活性。云計(jì)算是一個(gè)由多個(gè)單一安全域通過輕耦合方式聯(lián)合而成的邏輯安全域，云計(jì)算所具有的可擴(kuò)展性、開放性和管理的復(fù)雜性，使訪問控制變得非常繁雜，傳統(tǒng)單一安全域中的訪問控制模型和機(jī)制無法解決多域環(huán)境中可能出現(xiàn)的安全威脅。所以云計(jì)算的應(yīng)用必須解決跨域認(rèn)證、授權(quán)和操作中帶來的安全問題。除此之外，傳統(tǒng)網(wǎng)絡(luò)的安全也在影響著云計(jì)算環(huán)境中用戶數(shù)據(jù)的安全^[6]。

    （3）專業(yè)應(yīng)用安全。專業(yè)應(yīng)用安全中最典型的是定位軟件的安全。由于定位信息不僅僅涉及到用戶的個(gè)人私隱，還涉及到行車安全，所以成為木馬攻擊的主要目標(biāo)之一。當(dāng)木馬侵入到車輛定位軟件后，會(huì)在后臺(tái)運(yùn)行并收集用戶的地理位置等敏感信息，并在用戶完全不知情的情況下泄露出去。在這種情況下，定位軟件就像一個(gè)隱藏的間諜，其存在對個(gè)人信息和行車安全來說無疑是一種威脅。

3.2 接入網(wǎng)安全威脅

    接入網(wǎng)負(fù)責(zé)將車輛節(jié)點(diǎn)連接到核心網(wǎng)絡(luò)以獲得相應(yīng)的服務(wù)，它是車聯(lián)網(wǎng)的重要信息基礎(chǔ)設(shè)施。根據(jù)信號(hào)覆蓋范圍的不同，車聯(lián)網(wǎng)中的接入網(wǎng)可以分為衛(wèi)星通信網(wǎng)絡(luò)、蜂窩網(wǎng)絡(luò)（2G/3G/4G）、無線城域網(wǎng)（如WiMax）、無線局域網(wǎng)（WLAN）、無線個(gè)域網(wǎng)（如紅外、藍(lán)牙等）等方式^[7，8]。接入網(wǎng)主要面臨以下幾個(gè)方面的安全威脅。

3.2.1 網(wǎng)絡(luò)耦合過程中帶來的安全威脅

    各種接入網(wǎng)絡(luò)之間的泛在互聯(lián)，需要異構(gòu)網(wǎng)絡(luò)之間的耦合。例如，3G與WLAN在耦合時(shí)需要通過接入網(wǎng)關(guān)將WLAN中的AP接入到3G網(wǎng)絡(luò)，WLAN中的用戶共享3G網(wǎng)絡(luò)系統(tǒng)提供的身份認(rèn)證、資源授權(quán)和計(jì)費(fèi)等功能。在這一過程中，相對安全的3G網(wǎng)絡(luò)需要向WLAN開放網(wǎng)絡(luò)接口，其安全性受到威脅。在不同架構(gòu)的網(wǎng)絡(luò)耦合過程中，各類專用接入網(wǎng)關(guān)扮演著異構(gòu)網(wǎng)絡(luò)之間的用戶與資源管理和數(shù)據(jù)轉(zhuǎn)換等角色，網(wǎng)關(guān)自身的安全性也在很大程度上決定著車聯(lián)網(wǎng)的安全性。

3.2.2 缺乏安全統(tǒng)一的身份認(rèn)證機(jī)制

    任何一個(gè)多用戶系統(tǒng)都涉及到身份認(rèn)證和資源授權(quán)問題^[9，10]。在傳統(tǒng)的單一安全域中，一般都存在技術(shù)上成熟、運(yùn)行穩(wěn)定的用戶和資源管理模式來負(fù)責(zé)協(xié)調(diào)管理本域中的不同應(yīng)用系統(tǒng)，如基于單點(diǎn)登錄（Single Sign On，SSO）的統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)了用戶在一個(gè)安全域內(nèi)的一次登錄多次訪問能力。在車聯(lián)網(wǎng)環(huán)境中同一車輛節(jié)點(diǎn)需要同時(shí)訪問多個(gè)相對獨(dú)立的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)多屬于不同的安全域，多數(shù)訪問需要跨域進(jìn)行，因而需要一個(gè)統(tǒng)一身份認(rèn)證（也稱為“聯(lián)邦身份認(rèn)證”）中心負(fù)責(zé)對邏輯安全域中的用戶身份和資源授權(quán)進(jìn)行統(tǒng)一管理。但是，因不同域間的輕耦合性而導(dǎo)致的安全邊界的不穩(wěn)定性和模糊性，大大增加了車聯(lián)網(wǎng)中對數(shù)據(jù)安全和用戶隱私保護(hù)的難度，傳統(tǒng)單一安全域中的安全機(jī)制在其可擴(kuò)展性和資源按需分配方面無法滿足多域環(huán)境下的需求，并暴露出一些安全問題。

3.3 應(yīng)用安全威脅

3.3.1 數(shù)據(jù)的非法訪問

    非法訪問是指對數(shù)據(jù)的非授權(quán)或越權(quán)訪問，破壞了數(shù)據(jù)的保密性和完整性。非法訪問一般通過掃描、黑客程序、隱蔽通道、遠(yuǎn)端操縱、密碼攻擊等手段，竊取或截獲用戶帳號(hào)和口令等信息，尋找網(wǎng)絡(luò)安全弱點(diǎn)，竊取系統(tǒng)管理員權(quán)限或?qū)⑵胀ㄓ脩舻臋?quán)限提升為管理員權(quán)限，竊取網(wǎng)絡(luò)中傳輸或存儲(chǔ)的非公開數(shù)據(jù)，破壞、修改正常數(shù)據(jù)，設(shè)置非法程序，使系統(tǒng)無法為合法用戶提供服務(wù)。對用戶隱私信息的不規(guī)范甚至是非法使用，不僅會(huì)侵犯個(gè)人隱私，而且有可能助長以用戶信息為牟利點(diǎn)的地下黑色產(chǎn)業(yè)鏈，嚴(yán)重影響車聯(lián)網(wǎng)技術(shù)的應(yīng)用和發(fā)展。

3.3.2 軌跡隱私泄露

    車聯(lián)網(wǎng)中，車輛隨時(shí)隨地接入互聯(lián)網(wǎng)，車輛信息具備時(shí)間和空間上的連續(xù)性和關(guān)聯(lián)性，形成了邏輯上非常明晰的關(guān)聯(lián)，將這種關(guān)聯(lián)稱為軌跡。由于車輛的運(yùn)行軌跡中包含著或者可以推導(dǎo)出內(nèi)容豐富的敏感信息（例如什么時(shí)間去過什么地方、駕駛者的生活習(xí)慣及健康狀況等），所以攻擊者可以收集豐富的、細(xì)粒度的車輛軌跡信息，并經(jīng)分析獲得用戶的隱私。

3.3.3 車輛大數(shù)據(jù)安全

    移動(dòng)通信和傳感設(shè)備的廣泛使用導(dǎo)致了大數(shù)據(jù)的到來，而移動(dòng)通信和傳感設(shè)備正是車聯(lián)網(wǎng)的應(yīng)用核心。由于車聯(lián)網(wǎng)中研究的主要對象是車輛，原始數(shù)據(jù)也主要由車輛直接產(chǎn)生，為此將車聯(lián)網(wǎng)中與車輛相關(guān)的數(shù)據(jù)理解為車輛大數(shù)據(jù)。根據(jù)已有的研究，對大數(shù)據(jù)提出了稱為5 V的5個(gè)基本特征，即體量大（volume）、產(chǎn)生速度快（velocity）、模態(tài)多（variety）、識(shí)別難度大（veracity）和價(jià)值密度低（value）^[11]。其中，車輛大數(shù)據(jù)中最大的特點(diǎn)是體量大、產(chǎn)生速度快和模態(tài)多，體量大是由車聯(lián)網(wǎng)的規(guī)模決定的，而產(chǎn)生速度快是由車聯(lián)網(wǎng)中行駛的安全性決定的，而模態(tài)多則是由車聯(lián)網(wǎng)中數(shù)據(jù)類型決定的。車輛大數(shù)據(jù)的安全威脅主要體現(xiàn)在以下三個(gè)方面：一是由于數(shù)據(jù)中包含著與車輛自身（包括車輛注冊信息、車輛擁有者信息、車輛駕駛者信息等）和車輛軌跡相關(guān)的敏感信息，所以存在著信息泄露問題；二是數(shù)據(jù)服務(wù)的真實(shí)性和可用性，從車聯(lián)網(wǎng)自身的功能定位和應(yīng)用需求出發(fā)，車輛節(jié)點(diǎn)實(shí)時(shí)得到的信息必須是真實(shí)、可靠、可信的，這需要在確保網(wǎng)絡(luò)通信質(zhì)量的前提下，提高數(shù)據(jù)服務(wù)的質(zhì)量，防止數(shù)據(jù)被篡改；三是由于車輛大數(shù)據(jù)的價(jià)值很高，成為攻擊者的關(guān)注目標(biāo)。車聯(lián)網(wǎng)中的數(shù)據(jù)價(jià)值直接涉及到行車安全和對可用信息的利用（如利用車輛軌跡信息的欺詐、出售駕駛者健康信息、非法披露用戶的個(gè)人習(xí)慣等），攻擊者也可以通過收集公開的信息并進(jìn)行數(shù)據(jù)分析，獲得有價(jià)值的數(shù)據(jù)。另外，大數(shù)據(jù)也成為各類攻擊實(shí)施的載體，攻擊者通過將攻擊代碼寫入大數(shù)據(jù)并以其為攻擊發(fā)起者對目標(biāo)對象實(shí)施攻擊行為。

3.3.4 Sybil攻擊

    Sybil攻擊^[12，13]是車聯(lián)網(wǎng)中常見的基于身份的攻擊方式，發(fā)起攻擊的節(jié)點(diǎn)（Sybil節(jié)點(diǎn)）通過偽造車輛的身份標(biāo)識(shí)（ID）來創(chuàng)建錯(cuò)誤的目的地址，達(dá)到攻擊目的。在Sybil攻擊中，Sybil節(jié)點(diǎn)通過冒充其他合法車輛節(jié)點(diǎn)或偽造車輛ID，使一個(gè)惡意物理實(shí)體同時(shí)對外提供多個(gè)ID，從而使車輛ID失去真實(shí)性。一旦Sybil攻擊成功，攻擊者將破壞車聯(lián)網(wǎng)正常的運(yùn)行機(jī)制，主要表現(xiàn)為：發(fā)布虛假交通信息、使點(diǎn)對點(diǎn)存儲(chǔ)系統(tǒng)的分段和復(fù)制機(jī)制失效、擾亂路由算法機(jī)制、破壞網(wǎng)絡(luò)選舉機(jī)制、改變數(shù)據(jù)整合結(jié)果、使以節(jié)點(diǎn)為基礎(chǔ)的資源分配策略喪失公平性、使異常行為檢測出現(xiàn)誤差等。如圖3所示，在一交通路口，車輛正確的行駛方向應(yīng)該是直行或右轉(zhuǎn)，但在攻擊節(jié)點(diǎn)虛假信息的引導(dǎo)下，錯(cuò)誤的導(dǎo)向了直行或左轉(zhuǎn)，從而引起車輛間的碰撞甚至是更大的交通事故。

3.3.5 蟲洞攻擊

    蟲洞攻擊（worm hole attack）^[14]是一種典型的發(fā)生在網(wǎng)絡(luò)層的DoS攻擊方式，攻擊節(jié)點(diǎn)無需獲得系統(tǒng)的身份認(rèn)證便可以對網(wǎng)絡(luò)進(jìn)行功能干擾和破壞。蟲洞攻擊的實(shí)現(xiàn)過程如圖4所示，兩個(gè)實(shí)施攻擊的惡意節(jié)點(diǎn)A₁和A₂通過串謀建立一條稱為“蟲洞鏈路”的私有通道，任何一個(gè)攻擊者能夠分別在各自的位置上獲得并記錄從鄰居節(jié)點(diǎn)收到的數(shù)據(jù)，并通過蟲洞鏈路傳遞到另一端的攻擊節(jié)點(diǎn)，并由該攻擊節(jié)點(diǎn)廣播給通信半徑內(nèi)的其他節(jié)點(diǎn)。

    正常情況下，節(jié)點(diǎn)N₁和N₆無法直接進(jìn)行通信，但是因?yàn)橄x洞鏈路的存在，節(jié)點(diǎn)N₁和N₆分別錯(cuò)誤地認(rèn)為對方在各自的通信范圍內(nèi)。更為糟糕的是，相比其他正常的通信鏈路，蟲洞鏈路具有更高的通信質(zhì)量，而且對于上層應(yīng)用來講，蟲洞攻擊節(jié)點(diǎn)和蟲洞鏈路是不可見的，這就導(dǎo)致應(yīng)用層的身份認(rèn)證和加密數(shù)據(jù)在蟲洞鏈路中會(huì)無條件轉(zhuǎn)發(fā)。在車聯(lián)網(wǎng)中，蟲洞攻擊主要影響數(shù)據(jù)融合、路由和定位等功能的正常實(shí)現(xiàn)。以基于跳數(shù)的無線定位算法（如典型的DV-Hop算法）的實(shí)現(xiàn)為例，在正常情況下節(jié)點(diǎn)N₁和N₆之間的跳數(shù)為5（N₁→N₂→N₃→N₄→N₅→N₆），而當(dāng)存在蟲洞鏈路時(shí)其跳數(shù)變?yōu)?（N₁→A₁→A₂→N₆），其中在算法實(shí)現(xiàn)中A₁和A₂是不可見的，由于蟲洞攻擊的存在，使得N₁和N₆之間的跳數(shù)比實(shí)際跳數(shù)小得多，導(dǎo)致定位結(jié)果與實(shí)際位置信息嚴(yán)重不符，形成車聯(lián)網(wǎng)安全的隱患。

3.3.6 黑洞攻擊

    黑洞攻擊（black hole attack）^[15]是一種典型的網(wǎng)絡(luò)層DoS攻擊方式，也是車聯(lián)網(wǎng)中一種常見的攻擊類型。與蟲洞攻擊不同的是，黑洞攻擊屬于一種內(nèi)部攻擊方式，是由已經(jīng)被授權(quán)的網(wǎng)絡(luò)內(nèi)部惡意節(jié)點(diǎn)發(fā)起的一種攻擊。黑洞攻擊的實(shí)現(xiàn)過程如圖5所示，當(dāng)節(jié)點(diǎn)N₁中沒有到達(dá)節(jié)點(diǎn)N₄所在網(wǎng)絡(luò)的路由時(shí)，節(jié)點(diǎn)N₁將向所在網(wǎng)絡(luò)中廣播一個(gè)請求報(bào)文，由于節(jié)點(diǎn)N₂和N₆以及惡意節(jié)點(diǎn)A屬于同一個(gè)網(wǎng)絡(luò)，所以這3個(gè)節(jié)點(diǎn)都會(huì)收到該請求報(bào)文。其中，惡意節(jié)點(diǎn)A在收到該請求報(bào)文后，會(huì)向節(jié)點(diǎn)N₁返回一個(gè)應(yīng)答報(bào)文，謊稱通過自己有一條到達(dá)目的主機(jī)N₄所在網(wǎng)絡(luò)的最短路徑。節(jié)點(diǎn)N₁在接收到該欺騙報(bào)文后，開始通過節(jié)點(diǎn)A向節(jié)點(diǎn)N₄發(fā)送數(shù)據(jù)。而當(dāng)節(jié)點(diǎn)A接收到從節(jié)點(diǎn)N₁發(fā)送來的數(shù)據(jù)后，并不轉(zhuǎn)發(fā)數(shù)據(jù)，而是直接將其丟棄掉或者重定向到偽裝的目的節(jié)點(diǎn)。在黑洞攻擊中，惡意節(jié)點(diǎn)充分利用了路由協(xié)議存在的設(shè)計(jì)缺陷，從而在網(wǎng)絡(luò)中形成了一個(gè)專門吸收數(shù)據(jù)的黑洞，在破壞網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制的同時(shí)，惡意截獲并丟棄節(jié)點(diǎn)數(shù)據(jù)，甚至竊取網(wǎng)絡(luò)中一些重要節(jié)點(diǎn)的數(shù)據(jù)。

4 結(jié)論

    知己知彼，百戰(zhàn)不殆。對安全威脅進(jìn)行全面系統(tǒng)研究的目的不是人為放大存在和潛在的安全風(fēng)險(xiǎn)，甚至導(dǎo)致應(yīng)用恐慌，而是在充分認(rèn)識(shí)所面臨威脅的基礎(chǔ)上，為安全技術(shù)研究和機(jī)制創(chuàng)新提供依據(jù)和支撐。本文在充分分析互聯(lián)網(wǎng)已有安全威脅的基礎(chǔ)上，針對車聯(lián)網(wǎng)應(yīng)用，重點(diǎn)從數(shù)據(jù)通信安全入手、從網(wǎng)絡(luò)安全出發(fā)，以成熟的網(wǎng)絡(luò)分層模型為基礎(chǔ)，綜述了面臨的安全威脅。

參考文獻(xiàn)

[1] RAYA M，PAPADIMITRATOS P，HUBAUX J P.Securing vehicular communications[J].IEEE Wireless Communications，2006，13(5)：8-15.

[2] HU Y C，PERRING A，JOHNSON D B.Wormhole attacks in wireless networks[J].IEEE Journal on Selected Areas in Communications，2006，24(2)：370-380.

[3] LAMPSON B W.A note on the confinement problem[J].Communications of the ACM，1973，16(10)：613-615.

文獻(xiàn)4-15略

作者信息:

李馥娟1，王  群1，2，錢煥延2

（1.江蘇警官學(xué)院 計(jì)算機(jī)信息與網(wǎng)絡(luò)安全系，江蘇 南京210031；

2.南京理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京210094）