V2X通信異常行為管理體系

羅瓔珞，劉建行，周唯

[國(guó)汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司，北京 100176]

1 引言

車聯(lián)萬物V2X（Vehicle to Everything）通信通過及時(shí)的無線信息交換來提高交通效率和行車安全性。其中，直連通信端口的信息交換不需要網(wǎng)絡(luò)側(cè)設(shè)備參與，可以實(shí)現(xiàn)一定距離范圍內(nèi)車輛對(duì)車輛V2V（Vehicle to Vehicle）或者車輛對(duì)基礎(chǔ)設(shè)施V2I（Vehicle to Infrastructure）的直接通信。這種通信方式的安全性很大程度上依賴通信終端本身的防護(hù)，而通信終端暴露在開放的環(huán)境中，很容易遭受到各種方式的網(wǎng)絡(luò)攻擊[1,2]。因此，對(duì)V2X通信中出現(xiàn)的異常行為要進(jìn)行系統(tǒng)的管理，部署全面的檢測(cè)手段，定義分析判定的策略并針對(duì)不同的異常行為有相應(yīng)的措施進(jìn)行響應(yīng)。

本文對(duì)V2X通信異常行為管理體系進(jìn)行規(guī)劃和探討。第一部分介紹目前應(yīng)用在V2X通信中的安全防護(hù)系統(tǒng)以及系統(tǒng)中部署異常行為管理中心的必要性。第二部分對(duì)異常行為管理體系及其特點(diǎn)進(jìn)行了分析。第三部分重點(diǎn)討論異常行為檢測(cè)中需要關(guān)注的各種異常行為，覆蓋云端的和車端各層面。第四部分討論異常行為分析判定與響應(yīng)。第五部分就未來V2X通信異常行為管理所要解決的問題進(jìn)行了探討。

2 V2X通信安全認(rèn)證防護(hù)系統(tǒng)

具備V2X通信功能的車輛通過直連端口對(duì)外廣播BSM（Basic Safety Message）消息。收到消息的車輛會(huì)基于消息中所提供的車輛位置、速度、方向等狀態(tài)信息[3]，完成上層各類應(yīng)用的分析運(yùn)算，實(shí)現(xiàn)包括前向碰撞預(yù)警或者盲區(qū)預(yù)警等場(chǎng)景的告警輸出或者直接參與自動(dòng)駕駛決策。由于廣播消息面臨著以偽造攻擊和篡改攻擊為主的網(wǎng)絡(luò)安全威脅，所以要通過數(shù)字簽名技術(shù)保護(hù)BSM消息的完整性和真實(shí)性。V2X通信安全認(rèn)證防護(hù)系統(tǒng)由安全可信平臺(tái)和車端模塊組成，為V2X通信提供數(shù)字證書分發(fā)和簽名驗(yàn)簽服務(wù)。具有V2X功能的車輛通過向V2X通信安全可信平臺(tái)申請(qǐng)注冊(cè)。注冊(cè)申請(qǐng)驗(yàn)證通過后，V2X通信安全可信平臺(tái)中的ECA（Enrollment Certificate Authority）為車輛簽發(fā)注冊(cè)證書EC（Enrollment Certificate）。在此基礎(chǔ)上，車輛會(huì)周期性地向V2X可信體系平臺(tái)提交包含有效的EC申請(qǐng)，以批量獲取用于給BSM消息進(jìn)行簽名的證書PC（Pseudonym Certificate），PC由V2X通信安全可信平臺(tái)中的PCA（Pseudonym Certificate Authority）簽發(fā)[4]。

在V 2 X直連通信時(shí)，車輛用有效的P C對(duì)消息進(jìn)行簽名，將原始消息、消息簽名和證書/證書摘要封裝成SPDU（Secure Protocol Data Unit）數(shù)據(jù)包發(fā)出；接收方收到SPDU時(shí)，在相應(yīng)的驗(yàn)證操作通過后，才對(duì)消息進(jìn)行處理，否則認(rèn)為消息無效并將相關(guān)信息上報(bào)給V2X通信安全可信平臺(tái)的異常管理模塊MA（Misbehavior Authority）。V2X安全認(rèn)證防護(hù)系統(tǒng)整體架構(gòu)如圖1所示。

使用了數(shù)字簽名技術(shù)后，V2X通信在消息層面得到了安全防護(hù)，但可能不是所有車輛都正確有效地使用了防護(hù)措施，也存在對(duì)其它層面的安全攻擊，例如GPS攻擊等。當(dāng)參與V2X通信的車輛發(fā)現(xiàn)周圍有其它車輛可能存在與網(wǎng)絡(luò)安全相關(guān)的問題時(shí)，車輛會(huì)上報(bào)所發(fā)現(xiàn)的異常信息。同時(shí)，云端CA中心和其它網(wǎng)絡(luò)監(jiān)控設(shè)備也會(huì)監(jiān)測(cè)到是否有網(wǎng)絡(luò)攻擊等異常。這就需要在V2X安全認(rèn)證防護(hù)系統(tǒng)中的異常管理中心MA對(duì)V2X通信中的各種異常情況進(jìn)行匯總分析判定和響應(yīng)。

3 V2X通信異常行為管理體系及特點(diǎn)

V2X通信異常行為管理可以分為異常檢測(cè)、信息匯聚、分析判定和響應(yīng)處置四個(gè)階段。這四個(gè)階段周而復(fù)始，推動(dòng)系統(tǒng)不斷演進(jìn)。異常行為管理體系整體架構(gòu)如圖2所示。

V2X異常行為管理體系是一個(gè)復(fù)雜的系統(tǒng)，具有持續(xù)性、全局性和動(dòng)態(tài)性的特點(diǎn)。異常行為管理過程的持續(xù)性表現(xiàn)在通常情況下只有持續(xù)的舉報(bào)事件出現(xiàn)時(shí)，才會(huì)觸發(fā)對(duì)異常行為的判定和響應(yīng)。單一的事件上報(bào)時(shí)，如果無法跟以往事件相關(guān)聯(lián)，往往不足以被認(rèn)定為異常。這些上報(bào)事件會(huì)存儲(chǔ)在數(shù)據(jù)庫中，用于和后續(xù)事件匹配。異常行為管理的全局性要求MA必須有一個(gè)全網(wǎng)中心，所有車輛的舉報(bào)信息要匯總到統(tǒng)一的第三方平臺(tái)進(jìn)行關(guān)聯(lián)分析，從而保證判定的及時(shí)有效。從圖1中可以看出，為了保證在道路上行駛的各家車廠的車輛都可以互相驗(yàn)證消息的簽名，所使用的證書就必須是由統(tǒng)一的第三方平臺(tái)簽發(fā)。同理，這個(gè)第三方平臺(tái)也負(fù)責(zé)定義全網(wǎng)通用的策略，比如證書的類型和相應(yīng)權(quán)限，證書使用規(guī)則等。所以，當(dāng)車輛發(fā)現(xiàn)周圍有其它車輛出現(xiàn)V2X通信異常時(shí)，也需要直接上報(bào)到全網(wǎng)中心進(jìn)行匯總。這樣一方面可以避免各個(gè)車廠分別收集異常報(bào)告后形成信息孤島，無法與其它車廠收集的異常報(bào)告進(jìn)行關(guān)聯(lián)，從而不能判斷是否為異常行為；另一方面，信息可以在第一時(shí)間到達(dá)統(tǒng)一的平臺(tái)，避免信息中轉(zhuǎn)時(shí)的延誤與損耗。異常行為管理的動(dòng)態(tài)性表現(xiàn)在信息匯聚關(guān)聯(lián)時(shí)的模型是與時(shí)俱進(jìn)的，是隨著新的攻擊模式的出現(xiàn)不斷更新的；異常行為所對(duì)應(yīng)的處置措施也會(huì)因?yàn)樾袨樵诓煌h(huán)境下可能造成的破壞力的差異，以及不同條件下安全需求的不同而動(dòng)態(tài)調(diào)整。

圖1 V2X安全認(rèn)證防護(hù)系統(tǒng)

4 V2X通信異常行為檢測(cè)方法

根據(jù)異常檢測(cè)功能的具體位置，V2X通信異常行為檢測(cè)可以分為云端檢測(cè)和車端檢測(cè)兩部分。云端檢測(cè)主要針對(duì)車云通信異常，包括車輛反復(fù)地向云端CA系統(tǒng)申請(qǐng)證書，惡意構(gòu)造或者發(fā)生無效的連接請(qǐng)求等。這些情況可能是車端出現(xiàn)網(wǎng)絡(luò)安全問題被非法控制后，軟件被篡改或者功能被非正常調(diào)用導(dǎo)致，也有可能是偽造身份的人或車輛對(duì)云端系統(tǒng)發(fā)起的攻擊。云端可以設(shè)定一些連接閾值，或者對(duì)提交的請(qǐng)求進(jìn)行模式掃描，這樣可以迅速有效地發(fā)現(xiàn)拒絕服務(wù)攻擊，或者構(gòu)造惡意輸入等攻擊行為。

車端異常情況較為多樣化，可能出現(xiàn)在V2X通信系統(tǒng)從物理層到應(yīng)用層幾個(gè)層面，因此檢測(cè)方法也有幾種方式。應(yīng)用層面的異常行為往往涉及到復(fù)雜的模式，需要的檢測(cè)手段相對(duì)復(fù)雜。通過接收到的直連通信的消息與車輛的真實(shí)情況進(jìn)行比對(duì)，發(fā)現(xiàn)車輛的異常情況，包括合理性檢測(cè)和連續(xù)性檢測(cè)[5]。例如，車輛通過BSM消息發(fā)出的位置坐標(biāo)，與車輛真實(shí)的坐標(biāo)不符[6]。這種真實(shí)情況與發(fā)送消息的不一致，會(huì)導(dǎo)致依賴B S M的V 2 X各種上層應(yīng)用的判斷錯(cuò)誤。舉例來說，現(xiàn)實(shí)中車輛甲是在車輛乙同一車道的前方，而且車輛乙正在迅速靠近車輛甲，但是BSM消息卻顯示車輛甲在車輛乙的相鄰車道。這時(shí)候基于BSM的上層應(yīng)用不會(huì)提示車輛乙的司機(jī)剎車。當(dāng)自動(dòng)駕駛等級(jí)達(dá)到L3級(jí)以上時(shí)，如果車輛的行為決策是基于V2X消息的，車輛乙可能直接和車輛甲發(fā)生追尾事故。具有V2X功能車輛上市時(shí)已經(jīng)通過了定位的精度和準(zhǔn)確性的測(cè)試，所以如果出現(xiàn)這種問題則基本上可以認(rèn)為是出現(xiàn)了網(wǎng)絡(luò)安全問題，位置信息被惡意篡改了。這類問題會(huì)導(dǎo)致網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的混亂，是破壞性比較大的一類攻擊。不僅如此，攻擊者在控制了V2X通信終端后，還可能使用相同的內(nèi)容填充多個(gè)BSM消息；或者使用隨機(jī)生成的內(nèi)容填充，導(dǎo)致從B S M消息看上去車輛位置不連貫，跳來跳去等。這些由于應(yīng)用層面防護(hù)不當(dāng)造成的消息異常，也需要相應(yīng)的手段進(jìn)行檢測(cè)、挖掘，當(dāng)車端的計(jì)算能力允許時(shí)，可以考慮綜合多源感知融合技術(shù)進(jìn)行檢測(cè)。

圖2 異常行為管理體系整體架構(gòu)

安全中間件層可能出現(xiàn)的異常行為比較直觀，是與證書和簽名驗(yàn)證相關(guān)的異常行為。車輛廣播的SPDU被周圍車輛接收到后，會(huì)執(zhí)行一系列的驗(yàn)證操作。具體來說，有證書驗(yàn)證、簽名驗(yàn)證、證書有效期驗(yàn)證、證書類型和權(quán)限與數(shù)據(jù)包內(nèi)容所對(duì)應(yīng)的類型和權(quán)限的匹配驗(yàn)證等。其中，任何步驟驗(yàn)證不通過，都屬于異常情況。這類問題可能是攻擊者篡改了消息本身，或者使用偽冒的證書等攻擊方式造成的。這類異常情況可以通過對(duì)消息本身的驗(yàn)證分析就可以發(fā)現(xiàn)，不依賴于其它層面的信息支撐。相對(duì)來說，證書和簽名異常是一類比較容易發(fā)現(xiàn)的異常行為。

我國(guó)V 2 X通信在網(wǎng)絡(luò)層使用的D S M P協(xié)議[7]，與常見的IP協(xié)議有所不同，攻擊的細(xì)節(jié)也會(huì)有差別。但是，洪泛攻擊依然是這個(gè)層面的常見攻擊。這種類型的攻擊者其主要目的在于破壞或干擾正常服務(wù)，以致合法用戶無法使用，例如攻擊者故意向控制信道填充大量消息，因此V2X終端無法處理如此大量的消息，從而導(dǎo)致V2X通信異常[8]。

物理層面的攻擊行為也常有發(fā)生。例如，通過加大自身車輛V2X通信設(shè)備的發(fā)射功率，過多占用信道資源，導(dǎo)致其它車輛無法正常發(fā)送或接收V2X消息[9]。類似的物理層網(wǎng)絡(luò)攻擊，對(duì)V2X通信影響惡劣，周圍車輛也應(yīng)對(duì)這類攻擊行為的車輛進(jìn)行舉報(bào)。

V2X通信對(duì)異常行為檢測(cè)需要占用系統(tǒng)資源，特別是車端多個(gè)層面的異常檢測(cè)需要不同的軟件功能，當(dāng)車端的算力和存儲(chǔ)資源受限時(shí)，對(duì)哪些異常進(jìn)行檢測(cè)，對(duì)哪些模式進(jìn)行匹配，要經(jīng)過系統(tǒng)的規(guī)劃和全面的測(cè)試，以保證異常檢測(cè)所占用的系統(tǒng)資源不會(huì)影響V2X通信正常應(yīng)用。

5 V2X通信異常行為分析判定與響應(yīng)

由于各類異常行為具有不同的特點(diǎn)，因此使用檢測(cè)手段不盡相同。通過不同檢測(cè)手段收集到的信息其置信度可能存在差異，因此信息首先要進(jìn)行匯聚，在按照一定的策略進(jìn)行分析和判定，根據(jù)判定結(jié)果中異常行為的不同類型和不同危害程度啟動(dòng)相應(yīng)的管控措施。

車端發(fā)現(xiàn)的異常是其它車輛的異常，是通過舉報(bào)方式上傳報(bào)告給云端異常分析中心的。新的上報(bào)信息會(huì)與云端數(shù)據(jù)庫中存儲(chǔ)的以往上報(bào)信息進(jìn)行比對(duì)，看是否已經(jīng)有其它車輛舉報(bào)過該車，舉報(bào)的是否是同樣的異常情況。當(dāng)數(shù)據(jù)庫中存在的舉報(bào)消息已經(jīng)超過設(shè)定數(shù)量時(shí)，這些信息將被一同導(dǎo)入分析判定引擎。除了規(guī)定舉報(bào)信息的數(shù)量，也可以增加條件，例如一些舉報(bào)消息必須來源于不同的汽車廠家的車輛，這樣才會(huì)被認(rèn)為是有價(jià)值的信息，可以參與分析判定的決策環(huán)節(jié)。云端檢測(cè)發(fā)現(xiàn)的是異常車輛本身的問題，通過其它方式，例如基于車輛上部署的探針?biāo)鸭降陌踩畔⒒蛘咄ㄟ^網(wǎng)絡(luò)流量分析得到的態(tài)勢(shì)感知信息也會(huì)定位到異常車輛本身。這些信息可以組合在一起，也可以進(jìn)一步跟車端舉報(bào)信息相融合，高效地定位異常車輛，判斷其可能出現(xiàn)的安全問題。

分析判定可以有多種策略。例如，當(dāng)認(rèn)為所有的上報(bào)信息具有相等的價(jià)值時(shí)，判定類似于投票，通過比較當(dāng)前舉報(bào)數(shù)量與設(shè)定的判定某種異常行為的最少票數(shù)進(jìn)行比較，最終確定是否為異常。也可以為多種數(shù)據(jù)來源的信息設(shè)定權(quán)重，甚至對(duì)于不同車輛上傳的信息賦予不同的權(quán)重，權(quán)重高的信息對(duì)最終判定結(jié)果影響程度大，也稱為“信譽(yù)加權(quán)判定”。判定不僅僅給出車輛是否存在異常的結(jié)論，而且要給出具體是什么問題等詳細(xì)分析結(jié)果。這些結(jié)果將決定會(huì)采用什么措施應(yīng)對(duì)車輛的異常。

V2X通信異常行為管理系統(tǒng)通常對(duì)判定為異常的情況采取吊銷車端注冊(cè)證書、吊銷車端假名證書等措施進(jìn)行應(yīng)對(duì)。注冊(cè)證書是車輛參與V 2 X通信的“身份證”，一旦發(fā)現(xiàn)車輛有異常行為，對(duì)其“身份證”進(jìn)行撤銷，可以導(dǎo)致其無法繼續(xù)獲得假名證書，從而限制其參與V 2 X通信。吊銷注冊(cè)證書的列表只需下發(fā)給相應(yīng)的PC簽發(fā)系統(tǒng)，這樣可以節(jié)省車端的資源開銷。當(dāng)然，由于車輛已經(jīng)獲得的假名證書依然有效，所以一段時(shí)間內(nèi)該車輛還是能進(jìn)行V2X通信，也可能進(jìn)一步造成破壞。效果顯現(xiàn)更加迅速的處置方式是吊銷車輛已經(jīng)獲取的假名證書，并將吊銷列表下發(fā)到車端。存在問題的車輛后續(xù)發(fā)出的V2X消息不再為其它車輛所采信，從而避免其繼續(xù)破壞V2X通信安全。當(dāng)然，對(duì)于可能造成嚴(yán)重危害的車輛，異常管理中心也可以與云控管理平臺(tái)進(jìn)行聯(lián)動(dòng)，通過直接向車輛下發(fā)指令控制車輛行為。這種方式相對(duì)來說比較激進(jìn)，要確保對(duì)異常行為判斷的準(zhǔn)確性，同時(shí)下發(fā)指令時(shí)要結(jié)合車輛的工況，避免造成更加嚴(yán)重的傷害。

6 結(jié)束語

V2X通信異常行為管理是個(gè)覆蓋面廣，過程復(fù)雜的課題。在初步形成基于PKI的管理體系后[10]，很多問題還需要充分完善和詳細(xì)定義。首先，需要對(duì)異常行為的具體模式定義，就是滿足哪些條件的行為被認(rèn)為是異常行為，從而車端會(huì)依據(jù)設(shè)定的模式對(duì)接收到的信息進(jìn)行比對(duì)。這項(xiàng)工作十分重要，定義的過于嚴(yán)格或者過于寬松都會(huì)導(dǎo)致相應(yīng)的網(wǎng)絡(luò)問題。其次，需要對(duì)舉報(bào)消息報(bào)文格式進(jìn)行定義，當(dāng)發(fā)現(xiàn)周圍車輛存在異常時(shí)，應(yīng)按照什么格式，上報(bào)哪些數(shù)據(jù)才能準(zhǔn)確高效的反映情況。這項(xiàng)工作涉及到對(duì)異常行為進(jìn)行分類編號(hào)，對(duì)各類異常定義關(guān)鍵證據(jù)字段隨報(bào)告一起發(fā)送等[11]。全面清晰的定義需要以標(biāo)準(zhǔn)的形式公布，以便于各家車廠遵循。同時(shí)，應(yīng)對(duì)措施與異常行為的對(duì)應(yīng)關(guān)系需要明確，既要有強(qiáng)有力的控制手段，對(duì)網(wǎng)絡(luò)異常行為進(jìn)行精準(zhǔn)管控，不漏掉任何的異常情況；又可以維持整體V2X通信系統(tǒng)的穩(wěn)定，免于大量誤報(bào)造成的混亂，使V2X通信能最大程度的提升出行安全和交通效率。期待本文構(gòu)建的V 2 X通信異常行為管理體系能為后續(xù)的V2X通信異常行為管理的深入研究提供明晰的方向指引。