智能網(wǎng)聯(lián)汽車安全專利分析

朱江巖

摘 要：隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車輛內(nèi)部以及其與外部信息交互的接入類型、連接數(shù)量和交互數(shù)據(jù)量都出現(xiàn)了爆發(fā)式的增長，網(wǎng)絡(luò)架構(gòu)也更加復(fù)雜，而自動輔助駕駛相關(guān)的信息安全更是直接關(guān)系車主的財產(chǎn)甚至是人身安全。本文基于對該技術(shù)領(lǐng)域的專利申請的檢索和統(tǒng)計分析，簡要闡述了智能網(wǎng)聯(lián)汽車安全技術(shù)的主要技術(shù)分支和發(fā)展趨勢，并為國內(nèi)相關(guān)創(chuàng)新主體的技術(shù)開發(fā)和專利布局提供信息支撐。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車 車聯(lián)網(wǎng) 信息安全

智能網(wǎng)聯(lián)汽車（Intelligent Connected Vehicle，ICV），是指車聯(lián)網(wǎng)與智能車的有機聯(lián)合，是搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與人、路、后臺等智能信息交換共享，實現(xiàn)安全、舒適、節(jié)能、高效行駛，并最終可替代人來操作的新一代汽車[1]。隨著車聯(lián)網(wǎng)的技術(shù)熱點從單車智能發(fā)展到當(dāng)前的車路協(xié)同，并進(jìn)一步向智慧智能交通發(fā)展，越來越多的電子設(shè)備將加入與ICV的數(shù)據(jù)通信中，越來越多的交通工具中系統(tǒng)正在成為與彼此通信的自相似計算設(shè)備的層級結(jié)構(gòu)，同時對帶寬、計算能力等提出了越來越高的要求?；谄嚺c萬物互聯(lián)（Vehicle to Everything，V2X）證書的車聯(lián)網(wǎng)的現(xiàn)有協(xié)議多數(shù)存在前向安全性和匿名性脆弱的特點，同時車輛的環(huán)境感知、行車決策制定、以及輔助駕駛功能雖然都能一定程度上的提高駕駛的安全性，但是其本身均需要外部的數(shù)據(jù)和指令作為操作的依據(jù)，一旦攻擊者通過互聯(lián)網(wǎng)入侵汽車網(wǎng)絡(luò)，其甚至可以遠(yuǎn)程操控車輛，威脅車主的財產(chǎn)甚至是人身安全。同時自主交通工具的進(jìn)展意味著各種各樣的計算單元正不斷以高速率來交換數(shù)據(jù)段，越來越多的不同類型的接入節(jié)點、日益復(fù)雜的網(wǎng)絡(luò)架構(gòu)以及爆發(fā)式增長的連接數(shù)量和交互數(shù)據(jù)量都增加了惡意入侵起源的可能性。因此目前關(guān)于如何提高智能網(wǎng)聯(lián)汽車的安全性也稱為了行業(yè)的研究熱點，通過對相關(guān)專利申請的檢索和統(tǒng)計分析，可將其主要分為四個技術(shù)分支：攻擊檢測：包括通過行為、特征碼、模型等方式檢測對數(shù)據(jù)的攻擊；安全冗余：包括設(shè)備冗余，以及數(shù)據(jù)記錄在本地、可信節(jié)點，或云端/區(qū)塊鏈的存儲冗余；信道安全：通過確定可靠信道，以及隱藏主體和或客體身份的情況下進(jìn)行通信；人機博弈：通過對場景以及駕駛員狀態(tài)等的判斷，對操縱指令的車輛智能/駕駛員優(yōu)先級進(jìn)行仲裁。

1 攻擊檢測

網(wǎng)聯(lián)汽車涉及的攻擊檢測與一般系統(tǒng)的攻擊檢測存在相當(dāng)?shù)奶厥庑裕诰W(wǎng)聯(lián)汽車環(huán)境下，網(wǎng)絡(luò)參與的節(jié)點通常隨著車輛的形式而不斷變化，甚至在行駛過程中絕大多數(shù)節(jié)點都僅在部分時間與對象車輛屬于一個網(wǎng)絡(luò)，在行程的起始點和終點，除了云服務(wù)器和對象車輛，所有的節(jié)點可能都發(fā)生了變化；同時各個節(jié)點的信息處理能力也存在很大的區(qū)別，其自身的操作系統(tǒng)、通訊協(xié)議也存在很大的不同。因此如何在上述網(wǎng)聯(lián)汽車的特性下，準(zhǔn)確、及時的識別內(nèi)外的網(wǎng)絡(luò)攻擊，存在很多具體的技術(shù)困難。相關(guān)專利主要有：申請?zhí)枺篊N202011491452.6 ，發(fā)明名稱：基于云霧協(xié)同的車聯(lián)網(wǎng)入侵檢測方法。其特點在于：由于霧節(jié)點和云服務(wù)器的計算能力不同，設(shè)計了云霧協(xié)同防御架構(gòu)，在資源有限的霧節(jié)點將流量數(shù)據(jù)分為正常數(shù)據(jù)和可疑數(shù)據(jù)，在具有強大計算資源的云服務(wù)器上將可疑數(shù)據(jù)具體分類，判別攻擊類型。由于霧節(jié)點資源有限并且網(wǎng)絡(luò)環(huán)境復(fù)雜多變的問題，采用CART決策樹算法，通過對數(shù)據(jù)進(jìn)行檢測，能夠更快速的確定可疑數(shù)據(jù)和良性數(shù)據(jù)。針對車聯(lián)網(wǎng)場景中數(shù)據(jù)不平衡問題，設(shè)計了代價敏感CNN模型，對可疑數(shù)據(jù)進(jìn)行具體分類，減少少數(shù)攻擊漏報率。申請?zhí)枺篊N202110445916.8，發(fā)明名稱：車聯(lián)網(wǎng)中基于聯(lián)邦學(xué)習(xí)的隱私保護(hù)模型聚合系統(tǒng)及方法。其特點在于：系統(tǒng)包括可信權(quán)威中心TA（Trusted Authority）、云服務(wù)器CS（Cloud Server）、霧節(jié)點FN（Fog Node）、車輛V（Vehicle）；方法包括四個步驟：系統(tǒng)初始化、車輛數(shù)據(jù)收集、訓(xùn)練生成局部模型、聚合生成全局模型。本發(fā)明在確保車輛隱私信息不被泄露的情況下，使得云服務(wù)器能夠有效地生成車聯(lián)網(wǎng)的全局模型，同時保證聚合過程中局部模型和全局模型的私密性。

2 身份認(rèn)證

由于車聯(lián)網(wǎng)的特殊性，證書簽發(fā)節(jié)點的確定較為困難，密鑰協(xié)商和分發(fā)的過程通常暴露在廣播鏈路中，同時部分通用的協(xié)議也未要求嚴(yán)格的身份認(rèn)證，因此其身份認(rèn)證需要克服一系列困難，同時也存在對主客體真實身份隱藏的技術(shù)需要。相關(guān)專利主要有：申請?zhí)枺篜CT/KR2017/0103001，發(fā)明名稱：使用OTP的V2X通信系統(tǒng)。其特點在于：當(dāng)車輛和外部設(shè)備要進(jìn)行通信時，傳輸數(shù)據(jù)在被提供有用于生成OTP的秘密密鑰之后通過安全中繼中心進(jìn)行傳輸。配置為使用所使用的OTP進(jìn)行加密和傳輸，并使用另一方的OTP對接收到的數(shù)據(jù)進(jìn)行解密和解密由于OTP對車輛與外部設(shè)備之間的通信進(jìn)行了加密。申請?zhí)枺篊N201911079285.1，發(fā)明名稱：一種車路協(xié)同的身份認(rèn)證系統(tǒng)及方法。其特點在于：車路協(xié)同車輛節(jié)點身份的強認(rèn)證方法：車載終端、路側(cè)終端分別與認(rèn)證服務(wù)器通信連接，認(rèn)證服務(wù)器中包括根CA、認(rèn)證CA、匿名CA；對于不同的車路協(xié)同節(jié)點使用不同的身份認(rèn)證機制，路側(cè)終端和需要隱私保護(hù)的車載終端使用PKI身份認(rèn)證機制，無需隱私保護(hù)的車載終端使用IBC身份認(rèn)證機制，且對于車載終端，增加唯一標(biāo)識車輛可信數(shù)字身份的汽車電子標(biāo)識，以實現(xiàn)車輛身份強認(rèn)證。

3 安全冗余

任何機械或電子設(shè)備，都存在部件或整體失效的可能，尤其在受到惡意攻擊時，因此對關(guān)鍵設(shè)備進(jìn)行多余度冗余配置，也是一種可信且可行的在指令和數(shù)據(jù)遭到惡意篡改時提高網(wǎng)聯(lián)汽車安全性的路徑。相關(guān)專利有：申請?zhí)枺篊N201811208660.3，發(fā)明名稱：一種具有冗余結(jié)構(gòu)的即插即用型智能汽車域控制器及方法，特點在于：域控制器通過硬件冗余方式設(shè)置有電源冗余結(jié)構(gòu)、微控制器冗余結(jié)構(gòu)、微處理器冗余結(jié)構(gòu)、通信冗余結(jié)構(gòu)、數(shù)據(jù)冗余結(jié)構(gòu)以及余度管理模塊，其中，微控制器冗余結(jié)構(gòu)包括兩個以上實現(xiàn)智能控制的微控制器MCU和輔助芯片，微處理器冗余結(jié)構(gòu)為多嵌入式微處理器結(jié)構(gòu)，通信冗余包括多路冗余總線；數(shù)據(jù)冗余結(jié)構(gòu)包括兩個以上數(shù)據(jù)存儲單元；余度管理模塊用于在發(fā)現(xiàn)故障或攻擊時隔離、切換和重構(gòu)域控制器輸入輸出通道及信號；該域控制器與整車連接后完成安全部署。申請?zhí)枺篊N202110621171.6，發(fā)明名稱：一種V2X通信方法及系統(tǒng)，特點在于：接收OBU通過數(shù)據(jù)面?zhèn)鬏斖ǖ腊l(fā)送的車輛信息，OBU已注冊中心云中的黑匣子應(yīng)用；通過防火墻以及安全網(wǎng)絡(luò)向所述中心云同步所述車輛信息，所述車輛信息用于觸發(fā)所述中心云在接收到用戶的黑匣子應(yīng)用數(shù)據(jù)獲取請求時，向所述用戶發(fā)送與其對應(yīng)的所述車輛信息。該方法及系統(tǒng)能夠解決現(xiàn)有的基于核心云的車聯(lián)網(wǎng)通信方法或系統(tǒng)無法滿足自動駕駛場景的低延時，高帶寬的技術(shù)要求，以及在出現(xiàn)交通事故時，用于事故責(zé)任認(rèn)定的數(shù)據(jù)容易被篡改，無法保證數(shù)據(jù)安全的問題。

區(qū)塊鏈技術(shù)對網(wǎng)聯(lián)汽車領(lǐng)域的滲透也日漸常見，雖然由于區(qū)塊鏈的存儲容量限制，全量智能汽車傳感器數(shù)據(jù)上鏈很難實現(xiàn)，但是通過摘要數(shù)據(jù)的上鏈，也能做到對這些數(shù)據(jù)進(jìn)行防止篡改的效果。同時由于區(qū)塊鏈本身的對任何單一節(jié)點都無需信任的特點，非常適合用在對于智能道路上無法對所有節(jié)點都進(jìn)行信任認(rèn)證的場景。申請?zhí)枺篊N201810874187.6，發(fā)明名稱：一種基于服務(wù)證明的共識協(xié)議設(shè)計及其車聯(lián)網(wǎng)應(yīng)用方法，特點在于：在傳統(tǒng)的基于中心化的車聯(lián)網(wǎng)激勵機制模型中，雖然大多數(shù)情況下這類系統(tǒng)都運作良好，但是任何時候的一個單點故障或者惡意攻擊都有可能摧毀整個網(wǎng)絡(luò)，從而直接危及乘客乃至周邊道路的所有交通參與者。車輛自組織網(wǎng)絡(luò)（VANETs）技術(shù)以及區(qū)塊鏈（BlockChain）技術(shù)的橫空出世，可以很好地解決車聯(lián)網(wǎng)中令人擔(dān)憂的部分。車輛可以通過提供服務(wù)證明而不依賴第三方可消息認(rèn)證機構(gòu)來獲得VPoSCoin（即虛擬貨幣）。VPoSCoin（即虛擬貨幣）可以通過激勵車輛參與V2V通信，激勵更多節(jié)點自愿、自發(fā)地與市場合作。所提出的區(qū)塊鏈共識協(xié)議，其區(qū)塊的產(chǎn)生概率與車輛服務(wù)貢獻(xiàn)之間的呈強正相關(guān)性，即車輛提供的通信服務(wù)越多，其挖到礦的概率越大。申請?zhí)枺篣S15997826，發(fā)明名稱：實時車輛事故管理的區(qū)塊鏈和加密貨幣，特點在于：數(shù)據(jù)塊的安全鏈在給定的計算節(jié)點上維護(hù)。給定的計算節(jié)點是計算節(jié)點的分布式網(wǎng)絡(luò)中的一組計算節(jié)點的一部分，其中該組計算節(jié)點中的每一個維護(hù)數(shù)據(jù)塊的安全鏈。在每個計算節(jié)點處維護(hù)的數(shù)據(jù)塊的安全鏈包括一個或多個數(shù)據(jù)塊，這些數(shù)據(jù)塊表示與車輛關(guān)聯(lián)的一個或多個與事故相關(guān)的交易。響應(yīng)于風(fēng)險評估操作，將一個或多個數(shù)據(jù)塊添加到在給定計算節(jié)點處維護(hù)的數(shù)據(jù)塊的安全鏈。數(shù)據(jù)塊的安全鏈?zhǔn)菂^(qū)塊鏈分類帳。SDV制造商可能需要在SDV上實施防篡改模塊，關(guān)于數(shù)據(jù)的這種防篡改要求是由區(qū)塊鏈實現(xiàn)的。

4 安全信道

由于車載計算資源的限制，對外界的攻擊很難進(jìn)行完全的防御，同時現(xiàn)有通信安全保護(hù)技術(shù)主要是被動防御，不能夠有效防范未知的攻擊，存在被監(jiān)聽、被篡改的可能，尤其是難以防御拒絕服務(wù)攻擊。因此采用安全信道，或者隱藏發(fā)送方和或接受方節(jié)點的真實身份，也成為了一個有效的研究方向。申請?zhí)枺篊N202010261432.3，發(fā)明名稱：一種基于端信息跳變的車聯(lián)網(wǎng)安全通信方法、系統(tǒng)及應(yīng)用，特點在于：通信雙方進(jìn)行連接并認(rèn)證，獲得共享會話密鑰；采用時間戳同步技術(shù)進(jìn)行時間同步，獲得當(dāng)前時間戳；根據(jù)獲得的會話密鑰與時間戳，進(jìn)行隨機函數(shù)處理，生成跳變模塊的跳變參數(shù)，得到跳變端信息即跳變圖案；基于得到的跳變端信息，采用雙方跳變的方式進(jìn)行車與車之間、車與紅綠燈及其他基礎(chǔ)設(shè)施之間以及車與云服務(wù)器之間的跳變通信。本發(fā)明提高了車聯(lián)網(wǎng)通信的安全性，能夠有效抗DoS、抗嗅探和惡意跟蹤等攻擊；同時通信性能好，通信過程較低的時延，同時保證了數(shù)據(jù)的安全可靠。申請?zhí)枺篜CT/KR2021/002653，發(fā)明名稱：直接溝通，特點在于：UE可以使用V2X服務(wù)的列表（例如，V2X應(yīng)用的PSID或ITS-AID）、地理區(qū)域和V2X服務(wù)的安全策略。V2X 服務(wù)的安全策略可能指示以下內(nèi)容：信令完整性保護(hù)：開（或需要）/首選/關(guān)（或不需要）、信令保密保護(hù)：開（或需要）/首選/關(guān)（或不需要）、用戶平面完整性保護(hù)：開啟（或需要）/首選/關(guān)閉（或不需要）、用戶面機密性保護(hù)：ON（或REQUIRED）/PREFERRED/OFF（或NONEEDED）、如果流量沒有完整性保護(hù)，則可能會激活不需要安全性的服務(wù)。當(dāng)至少一個UE對應(yīng)的V2X業(yè)務(wù)的信令完整性安全策略設(shè)置為REQUIRED時，可以保證只使用對V2X業(yè)務(wù)應(yīng)用安全的連接。

5 人機博弈

隨著智能網(wǎng)聯(lián)汽車自動輔助駕駛能力的快速發(fā)展，駕駛?cè)藛T越來越傾向于將更多的操縱決策交付給汽車的智能系統(tǒng)進(jìn)行決斷，但是當(dāng)前的技術(shù)水平和法律責(zé)任體制下，尤其對駕駛?cè)伺c自動系統(tǒng)決策不一致的情形，如何決定車輛的操作，是一個需要進(jìn)行深入研究的方向。申請?zhí)枺篊N202110471884.9，發(fā)明名稱：基于線控轉(zhuǎn)向和博弈結(jié)果的智能網(wǎng)聯(lián)汽車自適應(yīng)避障系統(tǒng)，其特征在于：根據(jù)駕駛員和智能網(wǎng)聯(lián)汽車各自的識別情況判斷博弈結(jié)果，并存儲博弈期間人車環(huán)境監(jiān)測系統(tǒng)采集的駕駛員狀態(tài)信息、車輛行駛信息和外部環(huán)境信息，利用elo評分方法對人和車輛的避障水平進(jìn)行量化評分，并與其他智能網(wǎng)聯(lián)汽車避障系統(tǒng)聯(lián)通，并獲取其elo評分、車輛密度、行駛車速以做出決策。申請?zhí)枺篊N202110694150.7，發(fā)明名稱：一種非完全信息非合作博弈人機共駕控制方法，其特征在于：首先建立人車操縱博弈模型，模型包含操縱動力學(xué)模型、駕駛員和車輛路徑預(yù)覽模型，再建立車輛實際行駛情況下駕駛員和車輛信息獲取與真實系統(tǒng)狀態(tài)的線性關(guān)系，并在非完全信息模式下對人車操縱博弈模型中駕駛員和車輛決策進(jìn)行假設(shè)，所假設(shè)的非完全信息非合作最優(yōu)策略目的為優(yōu)化包含駕駛員和車輛輸入、系統(tǒng)狀態(tài)的收益函數(shù)，最后根據(jù)非完全信息下駕駛員和車輛信息掌握精確程度和數(shù)量特點求解駕駛員和車輛最優(yōu)策略迭代公式，并給出迭代公式的迭代方法。

6 總結(jié)

對于網(wǎng)聯(lián)汽車來說，過去幾年是飛速擴張的的時間，具有駕駛輔助功能的車輛比例持續(xù)上升，同時相應(yīng)的網(wǎng)聯(lián)汽車涉及的事故以及法律糾紛的數(shù)量也有了數(shù)量級的增長。尤其是諸如美國的Uber、Waymo以及多個國家的特斯拉等自動駕駛事故層出不窮，如何降低由智能網(wǎng)聯(lián)車輛造成的交通事故數(shù)量，并在事故發(fā)生時明確刑事責(zé)任分配，對技術(shù)人員提出了新的挑戰(zhàn)。

2022年8月1日，國內(nèi)首部關(guān)于智能網(wǎng)聯(lián)汽車管理的法規(guī)——《深圳經(jīng)濟特區(qū)智能網(wǎng)聯(lián)汽車管理條例》正式實施[2]，《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》規(guī)劃了在2025年實現(xiàn)L3規(guī)模化和L4部分場景商業(yè)應(yīng)用的發(fā)展目標(biāo)。目前世界上各國的交通責(zé)任體系都以“人”為核心。從責(zé)任類型來看，交通事故責(zé)任包括民事責(zé)任和刑事責(zé)任，責(zé)任主體從人類駕駛員擴大到制造商、軟件設(shè)計者、惡意攻擊者等主體，尤其是刑事責(zé)任與民事責(zé)任不同，高度蓋然性標(biāo)準(zhǔn)是無法滿足的，必須提供相應(yīng)的責(zé)任應(yīng)當(dāng)由駕駛員、生產(chǎn)商、還是對車聯(lián)網(wǎng)節(jié)點的攻擊者來承擔(dān)的確鑿證據(jù)[3]。因此對事故相關(guān)數(shù)據(jù)的防篡改要求日益迫切了起來。隨著各個研發(fā)實體的大量開發(fā)投入，車聯(lián)網(wǎng)防篡改技術(shù)的飛速發(fā)展，相關(guān)的理論研究取得顯著的成果，但想要將其廣泛應(yīng)用于實踐中還面臨著許多挑戰(zhàn)。

尤其是在理論技術(shù)、硬件架構(gòu)、應(yīng)用領(lǐng)域等方面還有以下幾個亟待解決的關(guān)鍵問題：１）如何確保事故相關(guān)各方、以及在法律層面上對事故數(shù)據(jù)的證據(jù)效力的認(rèn)可；２）如何在開放或半開放的無線網(wǎng)絡(luò)中保護(hù)節(jié)點之間交互海量數(shù)據(jù)的安全；３）如何在攻擊發(fā)生時，最大限度的確保駕駛?cè)藛T對車輛的基本操作性；４）如何在與網(wǎng)聯(lián)汽車交互的大量節(jié)點的計算和存儲能力有限的情況下，構(gòu)建安全可追溯的信息交互通道；5）如何在多個節(jié)點發(fā)送海量相關(guān)數(shù)據(jù)的情況下，在滿足實時性要求的同時，快速識別其中可能存在的數(shù)據(jù)攻擊行為。所以總體上來說智能網(wǎng)聯(lián)汽車安全技術(shù)處于實驗室階段的末期，商業(yè)化應(yīng)用的前期，相信隨著網(wǎng)聯(lián)智能汽車，尤其是自動輔助駕駛和智慧公路技術(shù)的進(jìn)步，在網(wǎng)聯(lián)汽車本身和道路基礎(chǔ)設(shè)施越來越完備的將來，作為該技術(shù)必定會迅猛發(fā)展，造福人類，深刻的改變我們的經(jīng)濟社會。

參考文獻(xiàn)：

[1]國內(nèi)外智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展概況[J].科技中國，2019（02）：50-60.

[2]戚耀琪.為智能網(wǎng)聯(lián)汽車管理立法深圳這一步影響深遠(yuǎn)[J].人民之聲，2022（08）：62.

[3]鄧建志，程智婷.自動駕駛汽車適用產(chǎn)品責(zé)任的困境與對策[J].時代法學(xué)，2022，20（03）：13-20.