車聯(lián)網(wǎng)安全模型及關(guān)鍵技術(shù)

劉宴兵，王宇航，常光輝

（重慶郵電大學(xué)　網(wǎng)絡(luò)與信息安全重慶市工程重點(diǎn)實(shí)驗(yàn)室，重慶 400065）

車聯(lián)網(wǎng)安全模型及關(guān)鍵技術(shù)

劉宴兵，王宇航，常光輝

（重慶郵電大學(xué)網(wǎng)絡(luò)與信息安全重慶市工程重點(diǎn)實(shí)驗(yàn)室，重慶 400065）

車聯(lián)網(wǎng)是計(jì)算機(jī)、互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)、物聯(lián)網(wǎng)等相關(guān)技術(shù)的集成應(yīng)用和延伸。提出車聯(lián)網(wǎng)安全層次模型，研究共性關(guān)鍵技術(shù)，重點(diǎn)分析和研究車聯(lián)網(wǎng)感知層涉及的傳感技術(shù)和車內(nèi)通信技術(shù)、網(wǎng)絡(luò)層涉及的接入認(rèn)證技術(shù)和隔離技術(shù)以及應(yīng)用層涉及的云計(jì)算技術(shù)，并比較研究分析了車聯(lián)網(wǎng)中的隱私保護(hù)技術(shù)。相關(guān)研究對(duì)當(dāng)前車聯(lián)網(wǎng)的應(yīng)用部署與實(shí)踐具有重要的參考意義。

車聯(lián)網(wǎng)；安全結(jié)構(gòu)；隱私保護(hù)

0 引 言

傳感器技術(shù)、無(wú)線通信技術(shù)以及智能技術(shù)的快速發(fā)展，加快了汽車和交通從信息化向智能化過(guò)渡的進(jìn)程。車聯(lián)網(wǎng)作為融合了智能交通和智能車輛相關(guān)理論及技術(shù)于一身的新生事物，其相關(guān)技術(shù)研究及應(yīng)用倍受世界各國(guó)的關(guān)注。其中，車聯(lián)網(wǎng)安全屬于研究的熱點(diǎn)和難點(diǎn)。

車聯(lián)網(wǎng)融合了傳統(tǒng)互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)技術(shù)，為交通行業(yè)提供多樣化的智能服務(wù)模式，由此產(chǎn)生的安全問(wèn)題也更加復(fù)雜。雖然傳統(tǒng)的諸如認(rèn)證、數(shù)字簽名、加密等計(jì)算機(jī)網(wǎng)絡(luò)安全算法和協(xié)議對(duì)實(shí)現(xiàn)車聯(lián)網(wǎng)中的安全目標(biāo)依然有重要參考價(jià)值，但車輛的快速移動(dòng)導(dǎo)致通信網(wǎng)絡(luò)的頻繁切換和有效鏈接的臨時(shí)性、短暫性，使傳統(tǒng)網(wǎng)絡(luò)安全措施并不完全適合車聯(lián)網(wǎng)特殊的安全需求。由于當(dāng)前車聯(lián)網(wǎng)安全關(guān)鍵技術(shù)的研究并未形成完整體系，因此，作者力圖從國(guó)內(nèi)外車聯(lián)網(wǎng)的研究及發(fā)展現(xiàn)狀出發(fā)，給出車聯(lián)網(wǎng)安全層次結(jié)構(gòu)模型，研究分析各項(xiàng)關(guān)鍵安全技術(shù)需要突破的難點(diǎn)以及要注意的問(wèn)題，為車聯(lián)網(wǎng)創(chuàng)新研究和應(yīng)用推廣提供相關(guān)技術(shù)思路和保障。

1 車聯(lián)網(wǎng)相關(guān)概念及安全問(wèn)題

車聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)近年來(lái)在交通系統(tǒng)領(lǐng)域的典型應(yīng)用，到目前為止其概念并未在國(guó)際上得到統(tǒng)一的權(quán)威的定義。車聯(lián)網(wǎng)是車內(nèi)網(wǎng)、車際網(wǎng)和車載移動(dòng)互聯(lián)網(wǎng)的融合網(wǎng)，以車輛為移動(dòng)的信息感知對(duì)象，利用傳感技術(shù)、無(wú)線通信網(wǎng)絡(luò)、信息處理技術(shù)、互聯(lián)網(wǎng)技術(shù)等，按照約定的通信協(xié)議，在車—X（X：車、路、行人及互聯(lián)網(wǎng)等）之間進(jìn)行無(wú)線通訊和信息交換與共享，通過(guò)人—車—路—網(wǎng)之間實(shí)時(shí)互聯(lián)感知實(shí)現(xiàn)交通智能管理、信息服務(wù)智能決策和車輛智能化控制的一體化［1—3］。車聯(lián)網(wǎng)的基本思想源于物聯(lián)網(wǎng)，通過(guò)在車中部署具有感知能力、計(jì)算能力和執(zhí)行能力的軟硬件，使其本身成為承載智能傳感網(wǎng)絡(luò)的智能節(jié)點(diǎn)，再由網(wǎng)絡(luò)設(shè)施和云平臺(tái)傳輸處理信息，使車輛內(nèi)部網(wǎng)絡(luò)與外部人、車、路、互聯(lián)網(wǎng)互聯(lián)互通。車聯(lián)網(wǎng)除了繼承了物聯(lián)網(wǎng)的基本特征外，還存在以下3個(gè)獨(dú)有的特點(diǎn)和需求［4，5］：（1）相比移動(dòng)自組織網(wǎng)，車輛節(jié)點(diǎn)的高速移動(dòng)導(dǎo)致網(wǎng)絡(luò)拓?fù)淇焖僮兓徒尤敕绞降念l繁切換，要求很強(qiáng)的通信實(shí)時(shí)性與可靠性；（2）相比物聯(lián)網(wǎng)，作為車聯(lián)網(wǎng)感知和通信單元的車輛節(jié)點(diǎn)，具有更充足的存儲(chǔ)空間和能量，以及更強(qiáng)的計(jì)算能力，因此可在終端對(duì)感知網(wǎng)絡(luò)信息進(jìn)行處理；（3）相比其他智能聯(lián)網(wǎng)終端，聯(lián)網(wǎng)車引入了更多的通信接口、接入方式以及應(yīng)用，具有更多樣的應(yīng)用場(chǎng)景，比如主動(dòng)安全、協(xié)同駕駛、交通管理監(jiān)控、網(wǎng)絡(luò)應(yīng)用等。

車聯(lián)網(wǎng)可靠性要求極高，其安全問(wèn)題成為制約車聯(lián)網(wǎng)全面發(fā)展及部署的重要因素。根據(jù)現(xiàn)有研究分析，目前車聯(lián)網(wǎng)主要面臨3方面安全問(wèn)題：（1）在車聯(lián)網(wǎng)終端層，不同車廠出于各自的設(shè)計(jì)目標(biāo)使得車內(nèi)網(wǎng)絡(luò)架構(gòu)缺少統(tǒng)一的數(shù)據(jù)接口和協(xié)議，導(dǎo)致很多智能傳感器和終端無(wú)法統(tǒng)一接入，難以有效地在全網(wǎng)范圍內(nèi)進(jìn)行數(shù)據(jù)共享和協(xié)同，造成數(shù)據(jù)交互不及時(shí)問(wèn)題；此外，車上越來(lái)越多無(wú)線技術(shù)以及接口的部署，令黑客可通過(guò)藍(lán)牙或互聯(lián)網(wǎng)技術(shù)攻擊GPS、信息娛樂(lè)等聯(lián)網(wǎng)系統(tǒng)，進(jìn)而控制整個(gè)車內(nèi)網(wǎng)絡(luò)，從而帶來(lái)嚴(yán)重信息安全、隱私安全甚至人身財(cái)產(chǎn)安全隱患；（2）在車聯(lián)網(wǎng)網(wǎng)絡(luò)層，用戶接入認(rèn)證協(xié)議、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)切換機(jī)制的漏洞，以及密鑰的暴露都將帶來(lái)信息安全及隱私泄露威脅；（3）在車聯(lián)網(wǎng)應(yīng)用層，黑客進(jìn)行DOS等攻擊，甚至取得后臺(tái)的控制權(quán)，進(jìn)而威脅到車聯(lián)網(wǎng)整個(gè)網(wǎng)絡(luò)的信息安全以及隱私泄露。

2 車聯(lián)網(wǎng)安全層次結(jié)構(gòu)

由于車聯(lián)網(wǎng)源于物聯(lián)網(wǎng)，具備明顯的物聯(lián)網(wǎng)屬性，遵循物聯(lián)網(wǎng)的3層體系架構(gòu)［6］，因此，本文給出相應(yīng)的車聯(lián)網(wǎng)安全層次模型（如圖1所示），并結(jié)合每層的安全需求所涉及的關(guān)鍵技術(shù)進(jìn)行闡述。在車聯(lián)網(wǎng)的感知層，由集成了一系列無(wú)線技術(shù)、采集技術(shù)以及處理技術(shù)于一身的車輛節(jié)點(diǎn)為基礎(chǔ)對(duì)象為上層提供原始的終端信息服務(wù)；在車聯(lián)網(wǎng)網(wǎng)絡(luò)層，除了像傳統(tǒng)網(wǎng)絡(luò)層協(xié)議那樣具備為上層提供透明傳輸服務(wù)以及屏蔽通信網(wǎng)類型細(xì)節(jié)等功能外，還應(yīng)融合管理異構(gòu)無(wú)線網(wǎng)絡(luò)資源；在車聯(lián)網(wǎng)應(yīng)用層，各應(yīng)用服務(wù)除了在現(xiàn)有的網(wǎng)絡(luò)體系采用包括云計(jì)算、大數(shù)據(jù)等技術(shù)完成各自職責(zé)外，還應(yīng)兼容可能的未來(lái)網(wǎng)絡(luò)（SDN）技術(shù)。

圖1　車聯(lián)網(wǎng)安全層次結(jié)構(gòu)

3 相關(guān)關(guān)鍵技術(shù)及研究

3.1 感知層終端安全

車輛作為車聯(lián)網(wǎng)終端主要功能為感知，其內(nèi)部安裝了大量電子控制單元ECU、智能傳感器、執(zhí)行器等電子系統(tǒng)，使車輛本身成為智能的傳感器網(wǎng)絡(luò)系統(tǒng)。終端安全涉及到硬件安全、嵌入式操作系統(tǒng)等基礎(chǔ)軟件安全、接口安全等方面，本文主要研究分析傳感技術(shù)及其融合安全和車內(nèi)CAN通信安全問(wèn)題。

3.1.1 傳感技術(shù)安全

傳感器由數(shù)據(jù)采集模塊、數(shù)據(jù)處理、控制模塊、通信模塊、供電模塊等組成。車輛上需安裝多種功能相同或者不同的傳感器（速度、加速度、GPS、胎壓傳感器等）以實(shí)現(xiàn)多視角全方位的自身和環(huán)境參數(shù)協(xié)作感知，感知數(shù)據(jù)由智能傳感器加工后交由車內(nèi)相應(yīng)的ECU處理，此過(guò)程中涉及到多傳感器數(shù)據(jù)融合安全問(wèn)題［7］。

車聯(lián)網(wǎng)感知層多傳感器數(shù)據(jù)融合是指將車內(nèi)多個(gè)傳感器在空間和時(shí)間上互補(bǔ)或冗余的信息依據(jù)某種準(zhǔn)則組合、總結(jié)提煉，從而為ECU提供更加精確全面的有效信息。為確保融合過(guò)程安全性，主要方法有提高原始數(shù)據(jù)安全性以及使用安全融合算法，對(duì)于前者，主要通過(guò)數(shù)據(jù)真實(shí)性、完整性認(rèn)證以及異常傳感節(jié)點(diǎn)的檢測(cè)與隔離保證原始數(shù)據(jù)的安全有效；后者，則根據(jù)不同的業(yè)務(wù)功能需求選擇不同的融合算法。目前，常用的數(shù)據(jù)融合算法分為經(jīng)典方法和現(xiàn)代方法兩類，如表1所示［8，9］。

每種算法都有諸如精度問(wèn)題、處理開(kāi)銷、實(shí)時(shí)性、容錯(cuò)能力上的優(yōu)劣勢(shì)，在車內(nèi)網(wǎng)中，可在兩類方法之間選擇多種融合算法進(jìn)行有機(jī)集成，得到更優(yōu)的融合算法。

表1　數(shù)據(jù)融合方法

3.1.2 車內(nèi)CAN通信安全

目前，車內(nèi)電子單元普遍使用CAN總線協(xié)議通信，通過(guò)CAN總線建立各ECU間的通信，CAN協(xié)議具備3方面特點(diǎn)［10，11］：CAN上所有ECU訪問(wèn)權(quán)限相同；廣播信道，無(wú)任何加密認(rèn)證機(jī)制；非破壞性總線仲裁，某些ECU會(huì)持續(xù)占用信道；導(dǎo)致數(shù)據(jù)幀不具備加密屬性和發(fā)送單元地址，且以廣播形式在車內(nèi)網(wǎng)絡(luò)中流動(dòng)，使得其他ECU單元無(wú)法對(duì)發(fā)送源進(jìn)行認(rèn)證，如果車內(nèi)部某ECU單元被控制或故障，容易造成竊聽(tīng)、偽裝、重放、偽造攻擊。為確保車內(nèi)網(wǎng)安全，目前主要通過(guò)異常檢測(cè)方法對(duì)CAN異常進(jìn)行檢測(cè)，如在CAN總線子網(wǎng)中放置若干傳感器檢測(cè)總線異常數(shù)據(jù)幀，及時(shí)發(fā)現(xiàn)總線上各種異常消息和漏洞并預(yù)警；或?yàn)檐噧?nèi)所有 CAN子網(wǎng)設(shè)置中心網(wǎng)關(guān)，將汽車內(nèi)網(wǎng)劃分為動(dòng)力、舒適娛樂(lè)、故障診斷等不同的安全域，將高危要素集中到獨(dú)立的“局部安全總線”，定義清晰的安全域邊界，并在邊界部署安全措施，通過(guò)安全網(wǎng)關(guān)使動(dòng)力總線與其他區(qū)域安全通信；也可為總線上的各ECU增加硬件安全模塊，使車內(nèi)以密文通信。

3.2 網(wǎng)絡(luò)層無(wú)線網(wǎng)絡(luò)安全

車聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)是互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)、無(wú)線網(wǎng)等行業(yè)網(wǎng)絡(luò)，作為承載網(wǎng)的互聯(lián)網(wǎng)可繼續(xù)沿用原有的安全策略，而作為接入網(wǎng)的無(wú)線網(wǎng)涉及到加密認(rèn)證、異常流量控制、網(wǎng)絡(luò)隔離和交換、信令和協(xié)議過(guò)濾等安全需求。本文主要研究分析無(wú)線接入認(rèn)證技術(shù)、無(wú)線切換融合技術(shù)和網(wǎng)絡(luò)隔離技術(shù)安全。

3.2.1 接入認(rèn)證技術(shù)安全

車輛節(jié)點(diǎn)安全接入與退出Internet是車輛聯(lián)網(wǎng)安全最基本的需求之一，若不采取有效的安全接入控制措施，不僅導(dǎo)致非法節(jié)點(diǎn)入侵破壞網(wǎng)絡(luò)環(huán)境，而且容易帶來(lái)車內(nèi)網(wǎng)安全隱患。車聯(lián)網(wǎng)安全接入技術(shù)是指，當(dāng)有新節(jié)點(diǎn)申請(qǐng)接入Internet或其他行業(yè)網(wǎng)絡(luò)時(shí)，對(duì)申請(qǐng)節(jié)點(diǎn)的身份合法性進(jìn)行認(rèn)證并協(xié)商密鑰，保障通信的安全性與機(jī)密性。安全接入技術(shù)發(fā)展至今，主要有基于口令認(rèn)證的安全接入、基于門限密碼的安全接入、自組織安全接入、基于身份的安全接入、無(wú)證書安全接入以及不基于密碼學(xué)的信譽(yù)系統(tǒng)。

車輛節(jié)點(diǎn)的高速移動(dòng)，使其接入認(rèn)證技術(shù)面臨的挑戰(zhàn)與傳統(tǒng)計(jì)算機(jī)和智能手機(jī)相比存在較大的不同，主要表現(xiàn)為以下3點(diǎn)需求［12，13］：（1）低開(kāi)銷快速安全的接入方案：在100公里時(shí)速下，車聯(lián)網(wǎng)鏈路能穩(wěn)定保持15s以上的概率只有57%，使其鏈路的穩(wěn)定性差，因此，需要在車輛接入過(guò)程中，在保證安全的前提下，減少交互次數(shù)，降低每次通信的流量開(kāi)銷，降低密碼算法的計(jì)算開(kāi)銷，從而提高接入認(rèn)證的速度；（2）快速安全的密鑰更新機(jī)制：車輛節(jié)點(diǎn)可隨時(shí)可加入或者退出網(wǎng)絡(luò)，具有很強(qiáng)的自組織性，通過(guò)密鑰管理來(lái)確保車輛身份合法的時(shí)效性與會(huì)話期限，因此，高效安全的密鑰更新機(jī)制具有重要作用；（3）獎(jiǎng)懲安全接入機(jī)制：車輛的自組織性使其信任關(guān)系存在不確定、短期性，此刻可信節(jié)點(diǎn)在下一刻就可能成為攻擊節(jié)點(diǎn)，對(duì)于不可信或失控節(jié)點(diǎn)應(yīng)使用隔離機(jī)制或懲罰機(jī)制，通過(guò)引入車輛節(jié)點(diǎn)行為可信度，從而提供更高可靠的安全接入。

3.2.2 異構(gòu)網(wǎng)絡(luò)融合技術(shù)安全

車輛節(jié)點(diǎn)部署多個(gè)無(wú)線接口，具備多種網(wǎng)絡(luò)連接能力，目前普遍使用的無(wú)線通信技術(shù)有DSRC、W iMax、WLAN、801.11、3G/4G/5G等，車輛頻繁的網(wǎng)間切換涉及到不同的接入技術(shù)和協(xié)議轉(zhuǎn)換問(wèn)題，異構(gòu)無(wú)線網(wǎng)融合技術(shù)是車聯(lián)網(wǎng)發(fā)展的必然選擇。

網(wǎng)絡(luò)融合是指將不同的無(wú)線技術(shù)進(jìn)行結(jié)合，形成統(tǒng)一規(guī)范的無(wú)線通信網(wǎng)絡(luò)，確保任何時(shí)間任何地點(diǎn)通信的連續(xù)性與穩(wěn)定性，提供全網(wǎng)覆蓋。當(dāng)前的異構(gòu)無(wú)線網(wǎng)絡(luò)融合方案主要有松耦合與緊耦合兩種方式，緊耦合方式選擇一種網(wǎng)絡(luò)為承載網(wǎng)，雖能有效利用單一網(wǎng)絡(luò)相對(duì)健全的管理機(jī)制，但需修改其他網(wǎng)絡(luò)協(xié)議，實(shí)現(xiàn)起來(lái)復(fù)雜困難；松耦合方式容易實(shí)現(xiàn)網(wǎng)絡(luò)間互聯(lián)，但存在融合不徹底問(wèn)題，無(wú)法對(duì)網(wǎng)絡(luò)資源統(tǒng)籌處理［14，15］。顯然，車聯(lián)網(wǎng)中涉及多種無(wú)線技術(shù)，使用耦合機(jī)制并不是最優(yōu)的融合方案，可考慮引入軟件定義網(wǎng)絡(luò)（SDN）的理念。

3.2.3 隔離技術(shù)安全

隔離是為了防止非可信應(yīng)用軟件侵害原有主體系統(tǒng)，盡可能地保證原有系統(tǒng)功能的完整性。通過(guò)研究分析，將車聯(lián)網(wǎng)環(huán)境下的隔離根據(jù)其面向?qū)ο蟛煌瑒澐譃楸?中4種類型。

表2　車聯(lián)網(wǎng)中安全隔離類型劃分

各類總線、智能終端、TCP/IP網(wǎng)絡(luò)、藍(lán)牙、2G/3G/4G等無(wú)線網(wǎng)絡(luò)的廣泛使用，使得汽車正快速地從封閉、孤立的系統(tǒng)走向智能和互聯(lián)，從車聯(lián)網(wǎng)安全相關(guān)文獻(xiàn)來(lái)看［16，17］，對(duì)車內(nèi)網(wǎng)進(jìn)行入侵和攻擊的方式主要通過(guò)車載應(yīng)用系統(tǒng)模塊（娛樂(lè)系統(tǒng)、咨詢系統(tǒng)、OBD接口等）、通信模塊（藍(lán)牙、W iFi、GPS系統(tǒng)等）以及協(xié)議解析后的非法讀寫操作。因此，為了保證車內(nèi)網(wǎng)環(huán)境的安全性，應(yīng)在車內(nèi)網(wǎng)與車外網(wǎng)之間建立安全網(wǎng)絡(luò)隔離和訪問(wèn)控制機(jī)制（如圖2所示），限制外部網(wǎng)絡(luò)對(duì)車輛內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限，為車內(nèi)網(wǎng)提供一個(gè)與外界相對(duì)隔離的操作環(huán)境，使其內(nèi)部運(yùn)行的數(shù)據(jù)和存儲(chǔ)的內(nèi)容獲得高級(jí)別的安全保障，對(duì)運(yùn)行于隔離環(huán)境外的應(yīng)用程序?qū)Ω綦x環(huán)境中的數(shù)據(jù)訪問(wèn)進(jìn)行細(xì)粒度的權(quán)限控制。

圖2　車內(nèi)網(wǎng)隔離與訪問(wèn)控制策略

圖2中將車輛外圍聯(lián)網(wǎng)設(shè)施分為車載應(yīng)用模塊和車域網(wǎng)接入模塊。車載應(yīng)用模塊是指車輛上的應(yīng)用軟件，包括娛樂(lè)資訊等服務(wù)，車輛可讀取此模塊的數(shù)據(jù)而此模塊無(wú)法得到車輛安全區(qū)的數(shù)據(jù)；車域網(wǎng)接入模塊包括環(huán)境感知、車車通信以及車路通信，可概括為車輛與外部進(jìn)行數(shù)據(jù)交換的模塊。將這兩個(gè)模塊接入數(shù)據(jù)安全交換區(qū)進(jìn)行安全處理，通過(guò)CAN總線提供給車輛的控制中樞。因此，接入模式設(shè)為單向和雙向，進(jìn)而隔離數(shù)據(jù)流與控制流兩種信息流，使不同功能模塊在各自功能范圍內(nèi)得到不同程度的隔離，防止車內(nèi)網(wǎng)安全區(qū)被控制以及內(nèi)容的泄漏。

3.3 應(yīng)用層云服務(wù)安全

車聯(lián)網(wǎng)應(yīng)用場(chǎng)景及服務(wù)種類廣泛，承載這些服務(wù)的后臺(tái)需要利用大數(shù)據(jù)處理技術(shù)、智能計(jì)算技術(shù)、業(yè)務(wù)管理控制技術(shù)等處理海量信息，從而分發(fā)給不同的應(yīng)用場(chǎng)景。應(yīng)用服務(wù)平臺(tái)涉及到信息的儲(chǔ)存、計(jì)算、隱私以及業(yè)務(wù)控制安全，本文主要研究分析應(yīng)用服務(wù)平臺(tái)依賴的云計(jì)算技術(shù)安全。云計(jì)算技術(shù)具有強(qiáng)大的計(jì)算能力、通用性和易擴(kuò)展性、高可靠性、動(dòng)態(tài)資源調(diào)度、按需服務(wù)以及海量信息集中管理等明顯優(yōu)勢(shì)，不僅可對(duì)龐大無(wú)序的交通數(shù)據(jù)進(jìn)行有效分析、處理、挖掘、預(yù)測(cè)以及運(yùn)用，而且能有效解決車聯(lián)網(wǎng)系統(tǒng)間的信息共享和信息傳遞延緩問(wèn)題，提高信息傳遞的準(zhǔn)確性以及管理調(diào)度效率。車聯(lián)網(wǎng)與云計(jì)算結(jié)合，在極大地增強(qiáng)車聯(lián)網(wǎng)業(yè)務(wù)功能、改善車聯(lián)網(wǎng)業(yè)務(wù)體驗(yàn)的同時(shí)，也暴露出一些急需關(guān)注的安全問(wèn)題。例如，云計(jì)算技術(shù)將其本身的云計(jì)算虛擬化、多租戶、云計(jì)算數(shù)據(jù)安全、隱私保護(hù)、虛擬資源調(diào)度和管理問(wèn)題等安全問(wèn)題引入車聯(lián)網(wǎng)；其次，車聯(lián)網(wǎng)的具體技術(shù)及應(yīng)用與云計(jì)算相結(jié)合后，可能暴露出新的安全隱患，應(yīng)設(shè)置多層安全防護(hù)系統(tǒng)構(gòu)成多道防線，增加系統(tǒng)防御屏障將各層之間的漏洞錯(cuò)開(kāi)，保護(hù)關(guān)鍵的汽車應(yīng)用安全。因此，車聯(lián)網(wǎng)云端安全技術(shù)架構(gòu)［18］（如圖3所示）主要考慮兩點(diǎn)安全需求：（1）確保云計(jì)算平臺(tái)運(yùn)行環(huán)境的安全，使之具有抵抗外來(lái)攻擊的能力，涉及到風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、數(shù)據(jù)隱私保護(hù)等技術(shù)；（2）確保云平臺(tái)的數(shù)據(jù)安全，涉及到數(shù)據(jù)存儲(chǔ)安全、虛擬化技術(shù)、隔離技術(shù)、加密技術(shù)等。

圖3　車聯(lián)網(wǎng)下云計(jì)算安全技術(shù)架構(gòu)

3.4 車聯(lián)網(wǎng)中隱私保護(hù)和后臺(tái)服務(wù)安全

在車聯(lián)網(wǎng)體系結(jié)構(gòu)的各個(gè)層面都涉及到數(shù)據(jù)隱私保護(hù)，主要存在身份隱私、位置隱私、查詢隱私、軌跡隱私威脅，目前研究較多的隱私保護(hù)技術(shù)有位置模糊、混淆技術(shù)（K-匿名、Mix-Zone）、時(shí)空隱匿、虛假信息等［19，20］。由于車聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)存在差異性特征，使傳統(tǒng)隱私保護(hù)技術(shù)在車聯(lián)網(wǎng)環(huán)境中并不完全適用，通過(guò)研究分析，總結(jié)各種隱私保護(hù)技術(shù)的優(yōu)缺點(diǎn)如表3所示。

表3　車聯(lián)網(wǎng)環(huán)境下隱私保護(hù)技術(shù)對(duì)比

在車聯(lián)網(wǎng)的服務(wù)后臺(tái)，相關(guān)安全技術(shù)可繼承傳統(tǒng)網(wǎng)絡(luò)與信息安全技術(shù)，但可管、可控和可信要求更高。為此，本文認(rèn)為可考慮以下安全準(zhǔn)入及閉環(huán)防御方法：（1）根據(jù)安全核查結(jié)果及預(yù)設(shè)風(fēng)險(xiǎn)評(píng)估算法對(duì)發(fā)生變更的路測(cè)設(shè)備和接入車輛信息進(jìn)行風(fēng)險(xiǎn)評(píng)估，獲取風(fēng)險(xiǎn)評(píng)估結(jié)果；（2）預(yù)設(shè)風(fēng)險(xiǎn)評(píng)估算法可以為安全準(zhǔn)入裝置將車聯(lián)網(wǎng)的整體風(fēng)險(xiǎn)系數(shù)和安全核查結(jié)果作為預(yù)設(shè)風(fēng)險(xiǎn)評(píng)估算法的輸入?yún)?shù)，計(jì)算發(fā)生變更的設(shè)備在網(wǎng)絡(luò)中的風(fēng)險(xiǎn)系數(shù)，確定發(fā)生變更的車輛及設(shè)備的安全等級(jí)；（3）采用遠(yuǎn)程安全評(píng)估方法，實(shí)現(xiàn)車聯(lián)網(wǎng)后臺(tái)服務(wù)信息系統(tǒng)中存在的安全漏洞、安全配置問(wèn)題、應(yīng)用系統(tǒng)安全漏洞的主動(dòng)評(píng)估，結(jié)合安全流程中的預(yù)警、檢測(cè)、分析管理、審計(jì)環(huán)節(jié)，實(shí)現(xiàn)閉環(huán)安全防御。

4 相關(guān)評(píng)價(jià)與結(jié)論

未來(lái)車聯(lián)網(wǎng)要想快速發(fā)展并普及，除了全球盡快制定相關(guān)國(guó)際標(biāo)準(zhǔn)外，還需要相關(guān)行業(yè)出臺(tái)相關(guān)政策以及立法，建立車聯(lián)網(wǎng)涉及的各方共同參與協(xié)作、協(xié)調(diào)配合以及整合集中優(yōu)勢(shì)資源的組織模式，引導(dǎo)車聯(lián)網(wǎng)健康快速發(fā)展。當(dāng)下，國(guó)內(nèi)車聯(lián)網(wǎng)的發(fā)展仍處于“車載移動(dòng)互聯(lián)網(wǎng)”階段，若想實(shí)現(xiàn)真正意義的人—車—路—網(wǎng)之間實(shí)時(shí)互聯(lián)感知，其面臨的安全問(wèn)題必然要上升到國(guó)家層面，使之規(guī)范統(tǒng)一有效。總體來(lái)說(shuō)，無(wú)論目前國(guó)際上的車聯(lián)網(wǎng)研究處于哪個(gè)階段，其安全研究都將貫穿到終端安全、通信安全、服務(wù)安全、隱私保護(hù)等方面，遵循“全面布局，重點(diǎn)突破”的原則，針對(duì)汽車信息安全缺口眾多并且分散的特點(diǎn)，從汽車整體信息安全角度出發(fā)，構(gòu)建縱深防御安全體系。目前，車聯(lián)網(wǎng)關(guān)鍵技術(shù)、應(yīng)用與實(shí)踐部署的研究正如火如荼，很多新技術(shù)、新協(xié)議、新業(yè)務(wù)以及安全需求應(yīng)運(yùn)而生，未來(lái)的車聯(lián)網(wǎng)將是融合了不同的接入技術(shù)、網(wǎng)絡(luò)類型、業(yè)務(wù)模式的開(kāi)放式彈性化系統(tǒng)，實(shí)現(xiàn)跨網(wǎng)、跨域、跨技術(shù)的全網(wǎng)交通信息集中控制。但從技術(shù)的角度講，融合異構(gòu)網(wǎng)的通信系統(tǒng)將面臨更重要的安全接入認(rèn)證問(wèn)題，更多新業(yè)務(wù)的安全需求將給融合技術(shù)帶來(lái)新挑戰(zhàn)，使新協(xié)議、業(yè)務(wù)接口以及功能實(shí)體成為新的攻擊對(duì)象。本文詳細(xì)分析了車聯(lián)網(wǎng)的安全架構(gòu)、關(guān)鍵技術(shù)及其存在的安全問(wèn)題，為車聯(lián)網(wǎng)安全的研究和發(fā)展提供參考。

致謝：本文得到了葉青、李露同學(xué)的幫助，在此一并致謝！

［1］王群，錢煥延.車聯(lián)網(wǎng)體系結(jié)構(gòu)及感知層關(guān)鍵技術(shù)研究［J］.電信科學(xué)，2013，28（12）：1-9.

［2］《貨運(yùn)車輛》研究部，華夏物聯(lián)網(wǎng)研究中心.中國(guó)貨運(yùn)車聯(lián)網(wǎng)技術(shù)與產(chǎn)業(yè)發(fā)展報(bào)告［J］.貨運(yùn)車輛，2012，（1）：7-103.

［3］熊煒，李清泉，李宇光.智能道路系統(tǒng)的發(fā)展現(xiàn)狀與趨勢(shì)［J］.中國(guó)公共安全（智能交通版），2007，（2）：83-88.

［4］LEE E，LEE E K，GERLA M，et al.Vehicular cloud networking：architecture and design principles［J］.Communications Magazine，IEEE，2014，52（2）：148-155.

［5］DRESSLER F，HARTENSTEIN H，ALTINTASO，et al.Inter-vehicle communication：Quo vadis［J］.Communications Magazine，IEEE，2014，52（6）：170-177.

［6］劉宴兵，胡文平，杜江.基于物聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全體系［J］.中興通訊技術(shù)，2011，（1）：23.

［7］史小平，黃愛(ài)蓉，張濤.車聯(lián)網(wǎng)感知技術(shù)研究進(jìn)展［J］.湖北汽車工業(yè)學(xué)院學(xué)報(bào)，2011，25（3）：39-44.

［8］華鑫鵬，張輝宜，張嵐.多傳感器數(shù)據(jù)融合技術(shù)及其研究進(jìn)展［J］.中國(guó)儀器儀表，2008，（5）：40-43.

［9］夏陽(yáng)，陸余良，孫樂(lè)昌.多傳感器網(wǎng)絡(luò)信息數(shù)據(jù)融合技術(shù)研究［J］.計(jì)算機(jī)工程與科學(xué)，2005，27（2）：25-27.

［10］張子鍵，張?jiān)?，王?一種應(yīng)用于CAN總線的異常檢測(cè)系統(tǒng)［J］.信息安全與通信保密，2015，（8）：92-96.

［11］ROBERT BOSCH CMBH.Version 2.0-1991.CAN Specification［S］.Stuttgart：Bosch.1991：1-73.

［12］WANG M，LIU D，ZHU L，et al.LESPP：lightweight and efficient strong privacy preserving authentication scheme for secure VANET communication［J］.Computing，2014：1-24.

［13］WASEF A，SHEN X.EMAP：Expedite Message Authentication Protocol for Vehicular Ad Hoc Networks［J］.IEEE Transactions on Mobile Computing，2013，12（1）：78-89.

［14］張振海.異構(gòu)開(kāi)放無(wú)線網(wǎng)絡(luò)無(wú)縫切換技術(shù)研究［D］.北京：郵電大學(xué)，2015.

［15］楊瓊，胡靜，夏瑋瑋.異構(gòu)網(wǎng)絡(luò)融合場(chǎng)景下車聯(lián)網(wǎng)的移動(dòng)性管理和資源管理［J］.電信科學(xué)，2015，31（9）：60-65.

［16］SUMRA IA，HASBULLAH H B，ABMANAN J L B.Attacks on Security Goals（Confidentiality，Integrity，Availability）in VANET：A Survey［M］//ANIS LAOUITI，AMIR QAYYUM，MOHAMAD NAUFAL MOHAMAD SAAD.Vehicular Ad-hoc Networks for Smart Cities.Singapore：Springer，2014：51-61.

［17］RAYA M，PAPADIMITRATOS P，HUBAUX J P.Securing vehicular communications［J］.IEEE W ireless Communications Magazine，Special Issue on Inter-Vehicular Communications，2006，13（5）：8-15.

［18］肖云鵬，劉宴兵，徐光俠.移動(dòng)互聯(lián)網(wǎng)安全技術(shù)解析［M］.北京：科學(xué)出版社，2015：152-154.

［19］杜瑞穎，王持恒，何琨.智能移動(dòng)終端的位置隱私保護(hù)技術(shù)［J］.中興通訊技術(shù)，2015，21（3）：23-29.

［20］SUO H，LIU Z，WAN J，et al.Security and privacy in mobile cloud computing［C］//W ireless Communications and Mobile Computing Conference（IWCMC），2013 9th International.IEEE，2013：655-659.

Internet of Vehicle Security M odel and Its Key Technologies

LIU Yanbing，WANG Yuhang，CHANG Guanghui
（Chongqing Engineering Lab.of Network and Information Security，ChongqingUniversity of Posts and Telecommunications，Chongqing 400065，China）

Internet of Vehicle（IoV）has been considered the evolution of related technologies and app lications in the Internet and mobile networks.In this paper，an Internet of Vehicle（IoV）security architecture is discussed，exp laining its generic technology and information security，especially its sensor and inner-vehicular communication technology in the perception layer，its access authentication and isolation technology in the network layer，and its cloud computing technology in the application layer.Besides，IoV privacy protection technology is discussed.It is believed that our research into IoV provides a reference for its deployment and practice.

Internet of Vehicle（IoV）；security architecture；privacy protection

TN929.5

A

10.16246/j.issn.1673-5072.2016.01.006

1673-5072（2016）01-0044-07

2016-02-27

國(guó)家科技重大專項(xiàng)（2011ZX03002-004-03）；國(guó)家自然科學(xué)基金項(xiàng)目（61272400）

劉宴兵（1971—），男，四川遂寧人，博士，二級(jí)教授，博士生導(dǎo)師，主要從事網(wǎng)絡(luò)安全與管控研究。

劉宴兵，E-mail：liuyb@cqupt.edu.cn