車載自組網(wǎng)ＭＡＣ層的安全問題研究

（北京科技大學(xué) 信息工程學(xué)院 通信工程系 北京 100083）

摘 要：通過分析車載自組網(wǎng)MAC層存在的安全威脅及其實(shí)現(xiàn)原理，對(duì)現(xiàn)有的安全解決方案進(jìn)行總結(jié)和評(píng)估，并提出了適用于車載自組網(wǎng)環(huán)境下MAC層的安全體系結(jié)構(gòu)；最后討論在安全機(jī)制的實(shí)現(xiàn)過程中尚未解決的問題，并指出今后研究的重要方向。

關(guān)鍵詞：車載自組網(wǎng)；網(wǎng)絡(luò)安全；MAC層安全；MAC協(xié)議；攻擊

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2009)05-1891-05

Research in security problems of vehicular Ad hoc networks MAC layer

AN Jianwei，ZHOU Xianwei，HUANG Huan，WU Xiaobo

（Dept. of Communication Engineering，School of Information Engineering，University of Science Technology Beijing，Beijing 100083 China）

Abstract:The paper first analyzed the security threats of VANET（vehicular Ad hoc networks） MAC layer and the principles of attacks. Secondly it illustrated and evaluated present solutions for the threats and attacks，and proposed the security architecture for VANET MAC layer. Finally it discussed the unresolved topics in the implementation process of security mechanism and showed the further directions.

Key words:VANET;network security;MAC layer security;MAC protocol;attacks

0 引言

車載自組網(wǎng)(VANET)作為移動(dòng)自組網(wǎng)(mobile Ad hoc networks，MANET)在道路交通領(lǐng)域的應(yīng)用，將提供事故告警、事故隱患提示等道路信息安全類應(yīng)用^[1]；交通狀況查詢，娛樂、旅游信息下載等信息服務(wù)類應(yīng)用，將構(gòu)建一個(gè)更合理、更高效的智能交通系統(tǒng)。

由于VANET車載終端移動(dòng)速度快、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)高度動(dòng)態(tài)變化、節(jié)點(diǎn)行為變化突然、節(jié)點(diǎn)分布受道路局限等特點(diǎn)，使其網(wǎng)絡(luò)安全性較差，易被竊聽和攻擊。同時(shí)又由于其MAC層有著與傳統(tǒng)網(wǎng)絡(luò)不同的特點(diǎn)：a）無(wú)線信道質(zhì)量不穩(wěn)定，受多種因素的影響（包括路邊建筑、道路情況、車輛類型和車輛相對(duì)速度等）^[2]。b)VANET中節(jié)點(diǎn)分布受道路局限，呈現(xiàn)管狀形態(tài)^[3]，同時(shí)節(jié)點(diǎn)的稀疏分布受到時(shí)間的影響，網(wǎng)絡(luò)容量有限。c)車載終端移動(dòng)速度快，網(wǎng)絡(luò)拓?fù)涓咚僮兓窂酱嬖趬勖獭＼囕v平均速度為100 km/h的道路上，如果車輛的覆蓋半徑為250 m，則鏈路存在15 s的概率僅為57%^[4]。d)鏈路不穩(wěn)定。由于車輛行為沒有約束，通過駕駛者改變車輛行駛方向、速度等可改變鏈路的狀態(tài)；又由于上層應(yīng)用信息的反饋（如交通事故警告、交通優(yōu)化信息等）導(dǎo)致鏈路的頻繁變化。 e)現(xiàn)有MAC協(xié)議應(yīng)用在VANET中所帶來(lái)的不公平問題。VANET中采用的主流MAC協(xié)議為IEEE 802.11MAC協(xié)議^[5]，但I(xiàn)EEE 802.11標(biāo)準(zhǔn)應(yīng)用在VANET方面存在一些問題，如在狹窄的道路空間內(nèi)可能存在更多的沖突，同時(shí)自私節(jié)點(diǎn)可利用協(xié)議機(jī)制實(shí)施自私行為。由于以上不利因素的存在，保證VANET MAC層的安全極為重要。

1 研究背景

1.1 VANET MAC協(xié)議概述

目前，國(guó)際上針對(duì)VANET采用了DSRC（dedicated short range communications，短距離專用通信）技術(shù)^[6]，IEEE已經(jīng)提出了相關(guān)的試用標(biāo)準(zhǔn)WAVE(wireless access in vehicular environments 車載環(huán)境無(wú)線接入)^[7~10]。同時(shí)研究領(lǐng)域也對(duì)VANET投入了廣泛關(guān)注。VANET MAC層的研究主要是針對(duì)MAC協(xié)議的研究，其主要研究方向是基于IEEE 802.11MAC協(xié)議^[5]。VANET是MANET的一種應(yīng)用，因此它具有MANET MAC層的所有特點(diǎn)，但是由于其自身特點(diǎn)，對(duì)其MAC協(xié)議的設(shè)計(jì)和實(shí)現(xiàn)提出了新的挑戰(zhàn)。VANET MAC協(xié)議需要具備以下特征^[11]：支持車輛高速移動(dòng)性，保證通信的實(shí)時(shí)性和可靠性，具有較好的可擴(kuò)展性，具有較高的帶寬利用率，采用分布式自組網(wǎng)方式，為每個(gè)用戶提供公平的通信機(jī)會(huì)，提供高效、及時(shí)的廣播機(jī)制。

目前，應(yīng)用較為廣泛的自組網(wǎng)MAC協(xié)議是IEEE 802.11DCF（distributed coordination function，分布式協(xié)調(diào)功能）協(xié)議^[12]。在IEEE 1609.4^[10]中也規(guī)定了控制幀的傳送是基于IEEE 802.11DCF協(xié)議，該協(xié)議基于CSMA/CA（carrier sense multiple access/collision avoidance，載波偵聽多路訪問/沖突避免）。當(dāng)一個(gè)節(jié)點(diǎn)有數(shù)據(jù)需要發(fā)送時(shí)，如果信道忙，或者即使信道空閑，但是空閑時(shí)間小于DIFS（distributed interframe space，分布協(xié)調(diào)功能幀間距），那么節(jié)點(diǎn)不發(fā)送數(shù)據(jù)幀而處于等待狀態(tài)，直到信道再次空閑，并且空閑時(shí)間達(dá)到DIFS時(shí)，節(jié)點(diǎn)開始進(jìn)入退避階段。競(jìng)爭(zhēng)窗口為CW(contention window)，并進(jìn)行退避計(jì)時(shí)，當(dāng)計(jì)時(shí)到0時(shí)，節(jié)點(diǎn)才發(fā)送RTS（request to send，發(fā)送請(qǐng)求）幀。當(dāng)節(jié)點(diǎn)發(fā)送RTS后，在SIFS（short interframe space，短幀間距）后沒有收到CTS(clear to send，清除請(qǐng)求)，那么節(jié)點(diǎn)需要重發(fā)RTS，此時(shí)節(jié)點(diǎn)利用二進(jìn)制退避算法來(lái)計(jì)算新的CW。所謂二進(jìn)制退避算法是指每重發(fā)一次，節(jié)點(diǎn)就將上次的CW加倍。另一方面，當(dāng)一個(gè)節(jié)點(diǎn)有數(shù)據(jù)需要發(fā)送時(shí)，如果信道空閑，并且空閑時(shí)間達(dá)到DIFS時(shí)，節(jié)點(diǎn)就直接發(fā)送該數(shù)據(jù)，而不進(jìn)入退避階段。整個(gè)過程如圖1所示。

1.2 VANET MAC層安全需求

由于VANET特殊的網(wǎng)絡(luò)環(huán)境和應(yīng)用服務(wù)，VANET MAC層應(yīng)滿足的安全需求有：a）在網(wǎng)絡(luò)拓?fù)涓咚賱?dòng)態(tài)變化的情況下，防止MAC層干擾，保護(hù)多種服務(wù)的可用性；b)與鄰節(jié)點(diǎn)通信時(shí)，確保敏感信息的機(jī)密性和完整性，車輛實(shí)體的真實(shí)性、可鑒別性、不可抵賴性；c)防止自私節(jié)點(diǎn)最大化占用網(wǎng)絡(luò)資源，導(dǎo)致VANET網(wǎng)絡(luò)資源的不公平；d)防止節(jié)點(diǎn)越權(quán)發(fā)送信息，對(duì)整個(gè)智能交通系統(tǒng)造成破壞。

在不少文獻(xiàn)中提出了有關(guān)MANET MAC層的一些安全挑戰(zhàn)以及在一定程度上可對(duì)抗這些挑戰(zhàn)的方法^[13~16]，然而針對(duì)VANET MAC層的安全研究還沒有進(jìn)行系統(tǒng)的分析以及安全方案的總結(jié)。

2 VANET MAC層的安全問題

基于IEEE 802.11DCF協(xié)議VANET MAC層可能存在的安全問題有自私行為攻擊，丟棄、竄改、重放等惡意行為攻擊。為便于分析以及安全方案的總結(jié)，將可能存在的攻擊方式分為自私行為攻擊和惡性行為攻擊；在惡性行為攻擊中又分為針對(duì)信道的攻擊和針對(duì)節(jié)點(diǎn)的攻擊。自私行為攻擊其目的在于占用更大的網(wǎng)絡(luò)資源；惡意行為攻擊其目的在于破壞整個(gè)網(wǎng)絡(luò)性能。

2.1 自私行為攻擊

在通信網(wǎng)中，MAC層負(fù)責(zé)管理鏈路以防止節(jié)點(diǎn)發(fā)送的數(shù)據(jù)幀受到其他節(jié)點(diǎn)的干擾。MAC層的自私行為攻擊可能發(fā)生在運(yùn)行MAC協(xié)議的網(wǎng)絡(luò)接入卡中，攻擊者可以很容易地改變MAC層參數(shù)。最壞的情況是，攻擊者利用不符合MAC協(xié)議的網(wǎng)絡(luò)接口卡蓄意誤用MAC協(xié)議以獲得比正常節(jié)點(diǎn)更多的網(wǎng)絡(luò)資源。通過該類攻擊，自私節(jié)點(diǎn)可獲得更大的吞吐量，減少能量消耗，提高服務(wù)質(zhì)量。該類攻擊無(wú)法通過上層檢測(cè)和響應(yīng)系統(tǒng)識(shí)別。

1）IFS Spoofing攻擊

攻擊者選擇比正常值更小的幀間距，如SIFS/DIFS^[17]。在信道空閑時(shí)立即發(fā)送數(shù)據(jù)包，或是在SIFS以后但必須在DIFS之前發(fā)送^[18]，即當(dāng)沒有達(dá)到正常DIFS值時(shí)就發(fā)送數(shù)據(jù)包，而其他節(jié)點(diǎn)還在等待DIFS時(shí)間，并準(zhǔn)備進(jìn)行退避后才接入信道，因此攻擊者就更先搶占信道。

2）NAV Spoofing攻擊^[19]

當(dāng)一個(gè)節(jié)點(diǎn)收到其他節(jié)點(diǎn)發(fā)送的RTS 、CTS和data幀時(shí)，從這些幀的頭部提取出該發(fā)送的持續(xù)時(shí)間來(lái)更新自己的NAV。根據(jù)NAV的值，MAC層就能夠知道當(dāng)前的發(fā)送將在何時(shí)結(jié)束。如果在發(fā)送RTS、CTS和data時(shí)，攻擊者增加其NAV值，以迫使其他節(jié)點(diǎn)延長(zhǎng)退避時(shí)間，他將導(dǎo)致時(shí)間不合理的信道保留，造成信道的浪費(fèi)。

3）CW Spoofing攻擊^[20]

攻擊節(jié)點(diǎn)不從正常定義的[0，CWmin]內(nèi)選擇退避值，而選擇一個(gè)更小的CW值，例如從[0，CWmin×α]（0≤α＜1）中選擇CW值。當(dāng)信道沖突時(shí)，CW不加倍。該情況使得攻擊者有更多的機(jī)會(huì)占用信道，導(dǎo)致信道使用不公平。 

4）干擾幀的發(fā)送攻擊^[19]

發(fā)送干擾幀以干擾其他節(jié)點(diǎn)，增加其CW值。發(fā)送干擾幀的形式有CTS幀和ACK/data幀。

在發(fā)送CTS幀情況下，攻擊者監(jiān)聽發(fā)送到其他節(jié)點(diǎn)的RTS幀，惡意地引起沖突并使其相關(guān)的CTS幀丟失，以防隨后的data幀進(jìn)行發(fā)送。這樣發(fā)送了具有破壞性的CTS幀后，信道變?yōu)榭臻e狀態(tài)，攻擊者就有機(jī)會(huì)發(fā)送數(shù)據(jù)。

在發(fā)送ACK/data幀的情況下，攻擊者無(wú)法減少節(jié)點(diǎn)發(fā)送幀的時(shí)間，但可以通過發(fā)送混雜的ACK/data幀以使其他節(jié)點(diǎn)進(jìn)行更長(zhǎng)時(shí)間的退避，這樣攻擊者就有機(jī)會(huì)接入信道發(fā)送數(shù)據(jù)。

由于VANET車載終端運(yùn)動(dòng)速度快、網(wǎng)絡(luò)拓?fù)渥兓欤瑢?shí)施該類攻擊可破壞節(jié)點(diǎn)的實(shí)時(shí)性通信，如發(fā)送交通優(yōu)化信息。節(jié)點(diǎn)若實(shí)施上述攻擊，可能導(dǎo)致其他節(jié)點(diǎn)一直處于退避或無(wú)法公平競(jìng)爭(zhēng)信道的狀態(tài)，而無(wú)法及時(shí)地收到交通優(yōu)化信息，導(dǎo)致車輛無(wú)法進(jìn)行更好的道路選擇，造成堵車、交通事故等危險(xiǎn)；同時(shí)，降低了帶寬的利用率，造成網(wǎng)絡(luò)時(shí)延、能量消耗。在車輛密集區(qū)，節(jié)點(diǎn)可通過其他非最優(yōu)方式建立鏈路進(jìn)行通信，這就造成了網(wǎng)絡(luò)的時(shí)延和資源的浪費(fèi)；而在車輛稀疏區(qū)，如果無(wú)法找到其他鏈路，則無(wú)法正常通信。而且破壞了用戶的公平通信，若兩個(gè)節(jié)點(diǎn)間進(jìn)行信息發(fā)送時(shí)，可能由于自私節(jié)點(diǎn)長(zhǎng)時(shí)間地占用信道而無(wú)法正常進(jìn)行鏈路建立。

2.2 惡意行為攻擊

2.2.1 針對(duì)信道的惡意攻擊

1）Pulsing攻擊^[21] 單個(gè)攻擊節(jié)點(diǎn)以隨機(jī)變化的周期T向隨機(jī)選擇的某個(gè)節(jié)點(diǎn)發(fā)送RTS。其目的在于周期性地占用信道，使信道利用率下降。

2）Round Robin攻擊^[21] 多個(gè)攻擊節(jié)點(diǎn)輪流向隨機(jī)選擇的某個(gè)節(jié)點(diǎn)發(fā)送RTS。由于每次攻擊時(shí)使用的節(jié)點(diǎn)不同，該情況較難解決。

3）Self whisper攻擊^[21] 在隨機(jī)變化的周期時(shí)間內(nèi)，兩個(gè)節(jié)點(diǎn)勾結(jié)，一個(gè)節(jié)點(diǎn)向另一個(gè)節(jié)點(diǎn)發(fā)送RTS，長(zhǎng)時(shí)間占用信道，致使其他節(jié)點(diǎn)無(wú)法正常通信。該情況具有很大的隱蔽性。

這類惡意攻擊方式最終目的是長(zhǎng)時(shí)間占用信道而使其他節(jié)點(diǎn)無(wú)法接入信道正常通信。由于車載自組網(wǎng)的特殊性，如交通事故發(fā)生時(shí)發(fā)送的廣播會(huì)導(dǎo)致突然增大的通信負(fù)載，若此時(shí)實(shí)施此類攻擊將給網(wǎng)絡(luò)帶來(lái)更大的負(fù)荷，致使部分節(jié)點(diǎn)無(wú)法正常收到信息。

2.2.2 針對(duì)節(jié)點(diǎn)的惡意攻擊

1）RTS flood攻擊^[21] 多個(gè)節(jié)點(diǎn)輪流或同時(shí)向某個(gè)節(jié)點(diǎn)發(fā)送RTS，使得該節(jié)點(diǎn)無(wú)法與其他節(jié)點(diǎn)正常交換數(shù)據(jù)包。這種RTS包只需要發(fā)起一次，其余多次RTS的發(fā)送可由退避機(jī)制自動(dòng)完成。

2）NAV interference攻擊 當(dāng)發(fā)送節(jié)點(diǎn)發(fā)送RTS/CTS時(shí)，根據(jù)其NAV組成域，攻擊節(jié)點(diǎn)可以旁聽到NAV信息，然后通過無(wú)線信道干擾故意在MAC幀中引入1 bit誤碼，使其數(shù)據(jù)包破壞，接收節(jié)點(diǎn)經(jīng)過差錯(cuò)檢測(cè)后丟掉這個(gè)已被破壞的MAC幀。該攻擊中，攻擊節(jié)點(diǎn)只需要較少的能量就可以消耗受害節(jié)點(diǎn)的能量，使其產(chǎn)生大量不必要的重傳和能量損耗。

3）Dropping攻擊 攻擊節(jié)點(diǎn)丟棄某個(gè)節(jié)點(diǎn)的RTS或data數(shù)據(jù)包，導(dǎo)致該節(jié)點(diǎn)不必要的重發(fā)。當(dāng)重發(fā)超過一定限制時(shí)，將報(bào)告鏈路破壞可能使數(shù)據(jù)流改變路由，帶來(lái)更大競(jìng)爭(zhēng)和阻塞。

4）Timeout攻擊^[22] 攻擊節(jié)點(diǎn)通過惡意修改協(xié)議中的空閑時(shí)間值（如SIFS）來(lái)破壞下一步通信過程或是改變標(biāo)準(zhǔn)中初始設(shè)定的參數(shù)值。

5）竄改數(shù)據(jù)幀 在網(wǎng)絡(luò)中傳送的數(shù)據(jù)可能遭受到攻擊者的竄改。攻擊者針對(duì)某個(gè)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)幀有可能對(duì)幀中的一個(gè)或數(shù)個(gè)比特翻轉(zhuǎn)。在這種情況下，傳輸?shù)臄?shù)據(jù)已經(jīng)被攻擊者非法竄改，但數(shù)據(jù)包的校驗(yàn)和仍為一個(gè)正確的數(shù)值，因而接收方對(duì)此卻毫不知情。

6）重放攻擊 攻擊者監(jiān)聽兩個(gè)授權(quán)節(jié)點(diǎn)間發(fā)送的合法信息，在某個(gè)時(shí)間段后，攻擊者重新發(fā)送該信息；接收者將再次收到之前授權(quán)發(fā)送者的信息。惡意節(jié)點(diǎn)可以通過重放來(lái)實(shí)現(xiàn)其身份的認(rèn)證，在一定程度上破壞了身份的真實(shí)性。

7）Mobile neighborhood攻擊 攻擊節(jié)點(diǎn)主動(dòng)移動(dòng)到某個(gè)節(jié)點(diǎn)周圍，增加對(duì)信道的競(jìng)爭(zhēng)，或丟棄該節(jié)點(diǎn)的RTS和data包，最終孤立該節(jié)點(diǎn)，使其無(wú)法通信。該情況是VANET中的特殊情況，具有移動(dòng)攻擊的特征。

8）Mobile partition攻擊 攻擊節(jié)點(diǎn)主動(dòng)移動(dòng)成一條分隔層，使得網(wǎng)絡(luò)被重新分隔成兩個(gè)或三個(gè)部分（partition）。該攻擊也是VANET中的特有情況，具有移動(dòng)攻擊的特點(diǎn)。

VANET中存在某些特殊車輛節(jié)點(diǎn)（如警車、救護(hù)車、消防車、搶險(xiǎn)車等）。由于該類攻擊都是針對(duì)節(jié)點(diǎn)，若攻擊者選擇這些特殊節(jié)點(diǎn)實(shí)施此類攻擊，如警車發(fā)送緊急避讓信息，攻擊者實(shí)施對(duì)其dropping攻擊、mobile neighborhood攻擊或mobile partition攻擊等就使警車無(wú)法正常發(fā)送，甚至排除在網(wǎng)絡(luò)之外。若對(duì)發(fā)送的信息進(jìn)行竊取竄改將破壞信息的真實(shí)性，對(duì)其他節(jié)點(diǎn)造成安全威脅。

3 VANET MAC層的安全解決方案

目前國(guó)際上對(duì)VANET MAC層以及其MAC協(xié)議的研究尚處于探索階段，把安全問題融入VANET MAC層的研究中將帶來(lái)更多的挑戰(zhàn)。針對(duì)VANET MAC層可能存在的安全威脅以及其安全需求，可以從增強(qiáng)VANET MAC協(xié)議的公平性、基于密碼學(xué)的保護(hù)機(jī)制以及建立合理高效的MAC層檢測(cè)響應(yīng)機(jī)制三個(gè)方面對(duì)VANET MAC層安全問題提出相關(guān)的解決方案。在這些解決方案中有對(duì)現(xiàn)有用于MANET MAC層安全方案的總結(jié)，并結(jié)合VANET MAC層特點(diǎn)分析其優(yōu)缺點(diǎn)；最后在此基礎(chǔ)上提出VANET MAC層的安全體系結(jié)構(gòu)。

3.1 增強(qiáng)VANET MAC協(xié)議的公平性

MAC協(xié)議信道競(jìng)爭(zhēng)機(jī)制的不公平性是造成VANET節(jié)點(diǎn)自私行為的原因之一。因此研究VANET MAC協(xié)議的公平性是VANET安全問題中的一個(gè)重要方向。結(jié)合VANET特點(diǎn)，文獻(xiàn)[23]提出了對(duì)IEEE 802.11MAC協(xié)議的修改，將車輛節(jié)點(diǎn)的速度考慮到競(jìng)爭(zhēng)機(jī)制中，根據(jù)車輛節(jié)點(diǎn)的速度來(lái)調(diào)節(jié)發(fā)送信息的概率。其實(shí)現(xiàn)方式是根據(jù)車速改變競(jìng)爭(zhēng)窗口的大小最終改變發(fā)送信息的概率，以解決車速不同所帶來(lái)的信道競(jìng)爭(zhēng)不公平。同時(shí)文獻(xiàn)[24]提出針對(duì)VANET快速?gòu)V播機(jī)制的跨層MAC和分簇機(jī)制。通過分布式動(dòng)態(tài)分簇算法把車載網(wǎng)絡(luò)分為不同的動(dòng)態(tài)虛擬中樞。中樞中的車輛負(fù)責(zé)有效的信息廣播并維持各個(gè)中樞間的通信。這種機(jī)制在一定程度上改善了VANET廣播業(yè)務(wù)中帶來(lái)的不公平問題。文獻(xiàn)[25]設(shè)計(jì)了一種協(xié)作式的MAC協(xié)議——FMAC/CSR(fair MAC with cooperation between sender and receiver)。根據(jù)不同的優(yōu)先級(jí)發(fā)送方競(jìng)爭(zhēng)信道，而接收方通過暗示或是外部反饋影響發(fā)送方的競(jìng)爭(zhēng)行為，從而通過發(fā)送方和接收方的協(xié)作來(lái)實(shí)現(xiàn)其公平性。

結(jié)合VANET特點(diǎn)以及公平性需求設(shè)計(jì)出的MAC協(xié)議更適用于VANET環(huán)境。而協(xié)作式的MAC協(xié)議增加了節(jié)點(diǎn)間的交互信息，從而通信開銷加大，但是它提高了帶寬利用率以及吞吐量，所以也是VANET MAC協(xié)議的研究熱點(diǎn)。

3.2 基于密碼學(xué)的保護(hù)機(jī)制

這種方式是采用密碼學(xué)的各種技術(shù)試圖首先阻止安全威脅，將可能的攻擊行為通過密碼技術(shù)將其排除在網(wǎng)絡(luò)之外。

3.2.1 提供加密機(jī)制

由第2章可知，攻擊者能夠利用控制信息對(duì)公共信道以及節(jié)點(diǎn)實(shí)施攻擊，并且利用偽造的控制信息進(jìn)行攻擊。因此MAC層控制信息的安全性是實(shí)現(xiàn)正常通信的關(guān)鍵。可通過密碼學(xué)方式對(duì)MAC幀進(jìn)行加密，尤其是對(duì)VANET中的敏感信息提供機(jī)密性以及數(shù)據(jù)完整性，保護(hù)MAC幀不被竄改和偽造。在IEEE 802.11中WEP（wired equivalent privacy）算法^[5]的使用存在一定的隱患，在IEEE 802.11i中提出了TKIP（temporal key integrity protocol）、CCMP（CTR with CBCMAC protocol）兩種加密機(jī)制^[26]。其中，TKIP使用RC4作為加密算法，而CCMP基于AES加密算法和CCM認(rèn)證機(jī)制，使用48 bit的初始化向量以及64 bit的消息認(rèn)證碼，其設(shè)計(jì)顯示出強(qiáng)大的優(yōu)越性，可以大大提高網(wǎng)絡(luò)的安全程度。但是如果將CCMP算法用于VANET中，將帶來(lái)較大的數(shù)據(jù)包開銷，因此結(jié)合VANET特點(diǎn)以及安全性要求設(shè)計(jì)出合適的加密機(jī)制成為VANET MAC幀加密的難點(diǎn)。

3.2.2 提供認(rèn)證機(jī)制

本文將認(rèn)證機(jī)制分為入網(wǎng)認(rèn)證和通信信息認(rèn)證兩部分討論。入網(wǎng)認(rèn)證可防止外部攻擊者惡意進(jìn)入網(wǎng)絡(luò)；通信信息認(rèn)證可防止重放、竄改等攻擊以保證信息的新鮮性和正確性。

IEEE 802.11規(guī)定了兩種入網(wǎng)認(rèn)證方式^[5]，即開放系統(tǒng)認(rèn)證（open system authentication）和共享密鑰認(rèn)證(shared key authentication)。在IEEE 802.11i^[26]中增加了AP（access point，接入點(diǎn)）到站點(diǎn)的雙向認(rèn)證過程，只有當(dāng)AP與站點(diǎn)之間的雙向認(rèn)證都通過后，站點(diǎn)才會(huì)接收AP發(fā)送的各類管理幀和數(shù)據(jù)幀。以上入網(wǎng)認(rèn)證方式適合于集中式網(wǎng)絡(luò)，而對(duì)VANET這種分布式自組織網(wǎng)絡(luò)采用以上認(rèn)證方式會(huì)由于沒有可信的AP無(wú)法進(jìn)行正常認(rèn)證。如何選擇和建立可信的AP是采用以上認(rèn)證方式的關(guān)鍵。同時(shí)由于VANET節(jié)點(diǎn)快速地進(jìn)出網(wǎng)絡(luò)，其認(rèn)證開銷也是需要考慮的問題。在文獻(xiàn)[27]中提出一種針對(duì)SAHN(suburban Ad hoc networks)的入網(wǎng)認(rèn)證機(jī)制。作者認(rèn)為SAHN中的任何成員都具備對(duì)新節(jié)點(diǎn)認(rèn)證的能力。進(jìn)入網(wǎng)絡(luò)的新節(jié)點(diǎn)通過與網(wǎng)絡(luò)中的鄰節(jié)點(diǎn)進(jìn)行認(rèn)證信息的交互實(shí)現(xiàn)入網(wǎng)認(rèn)證。在保證每個(gè)節(jié)點(diǎn)均可信的情況下，這種認(rèn)證方式適合于VANET分布式網(wǎng)絡(luò)環(huán)境，可行性較好。

對(duì)通信信息的認(rèn)證研究中，文獻(xiàn)[28]提出了一種可有效對(duì)抗重放和欺騙攻擊的認(rèn)證機(jī)制。該機(jī)制是在RTS/CTS交互過程中實(shí)現(xiàn)，在RTS幀中引入了TS（time stamp，時(shí)間戳）、SN（sequence number，序列號(hào)），同時(shí)每個(gè)節(jié)點(diǎn)維護(hù)兩張列表記錄RTS收發(fā)信息。如果所收到的RTS帶有錯(cuò)誤認(rèn)證信息，則節(jié)點(diǎn)不發(fā)送CTS并拒絕進(jìn)一步接收data包。此認(rèn)證方式帶來(lái)了通信效率和能量消耗問題。由于增加了額外的信息加/解密過程使得通信效率降低；同時(shí)由于認(rèn)證過程以及加/解密計(jì)算也造成了能量消耗。在VANET中，雖然可通過配置大容量的RAM來(lái)解決此問題，但是由更新列表造成的時(shí)延和通信效率的降低卻無(wú)法得到較好改善。考慮VANET中與安全有關(guān)的信息均有很強(qiáng)的時(shí)間限制，所以認(rèn)證帶來(lái)的開銷將會(huì)影響通信的實(shí)時(shí)性。同樣在文獻(xiàn)[27]中提出對(duì)接收控制幀的認(rèn)證，增加序列號(hào)，對(duì)信息進(jìn)行單向校驗(yàn)和以及數(shù)字簽名以防止對(duì)信息的惡意竄改和偽造。

3.3 MAC層檢測(cè)響應(yīng)機(jī)制

在VANET中設(shè)置檢測(cè)機(jī)制，可通過對(duì)攻擊者數(shù)據(jù)包的比特率、發(fā)包位置、信息健壯性等進(jìn)行檢測(cè)。Raya等人^[20]設(shè)計(jì)出DOMINO (system for detection of greedy behavior in MAC layer of IEEE 802.11 public networks）系統(tǒng)針對(duì)干擾以及修改協(xié)議參數(shù)的自私行為作出檢測(cè)。這一檢測(cè)過程是在接入點(diǎn)完成的，該接入點(diǎn)應(yīng)為可信節(jié)點(diǎn)。在檢測(cè)周期內(nèi)，檢測(cè)發(fā)送節(jié)點(diǎn)的發(fā)送信息情況，將收集到的數(shù)據(jù)通過DOMINO算法進(jìn)行測(cè)試處理，其測(cè)試處理內(nèi)容為幀參數(shù)的設(shè)置等，然后將測(cè)試處理結(jié)果進(jìn)行檢查看是否有攻擊可能。若為攻擊行為，就對(duì)節(jié)點(diǎn)實(shí)施懲罰機(jī)制。圖2為DOMINO檢測(cè)系統(tǒng)功能模塊圖。

在功能模塊中可以看出，首先在檢測(cè)周期內(nèi)收集M節(jié)點(diǎn)發(fā)送的通信數(shù)據(jù)；然后通過test 1~6的測(cè)試，目的在于檢測(cè)某種可能的攻擊行為以決定是否收集到的數(shù)據(jù)呈現(xiàn)不規(guī)則行為，這些不規(guī)則行為可能就是某種攻擊的征兆，測(cè)試的數(shù)據(jù)結(jié)果輸入到?jīng)Q策部分（DMC）以決定節(jié)點(diǎn)是否實(shí)施攻擊；最后是響應(yīng)告知。該檢測(cè)機(jī)制可通過在第二步的測(cè)試中添加檢測(cè)模塊，所以具有很強(qiáng)的擴(kuò)展性。

Kyasanur等人在文獻(xiàn)[29]中提出了一種對(duì)IEEE 802.11MAC退避值誤用的檢測(cè)。該機(jī)制由監(jiān)視、處罰和診斷三部分組成。在該機(jī)制中接收者設(shè)置一個(gè)退避值Bexp給發(fā)送者，并監(jiān)視發(fā)送者任何可能存在的攻擊行為。如果發(fā)送者的實(shí)際退避值為Bact小于初始設(shè)置的退避值Bexp，如Bact≤α×Bexp（0＜α＜1），那么被認(rèn)為可能實(shí)施攻擊，在下一次發(fā)送中接收者就可以通過增加初始設(shè)置的退避值對(duì)該發(fā)送者進(jìn)行處罰。如果發(fā)送者多次用小于初始設(shè)置的退避值進(jìn)行信道競(jìng)爭(zhēng)，那么就會(huì)認(rèn)定為攻擊行為，可通過丟棄發(fā)送者的數(shù)據(jù)包等方式將其排除在網(wǎng)絡(luò)外，即做到了防止攻擊者進(jìn)一步的攻擊行為。

在文獻(xiàn)[30]中提出的檢測(cè)機(jī)制ERA802.11是對(duì)文獻(xiàn)[29]中算法的修改。假設(shè)發(fā)送與接收雙方至少有一方是可信的，通過發(fā)送者與接收者交換承諾信息以保證退避值的隨機(jī)性以及發(fā)送信息前的可信性，但這種交互增加了系統(tǒng)開銷。任何所檢測(cè)到的誤用行為報(bào)告給名譽(yù)管理系統(tǒng)（reputation management system）并提出一種概率檢測(cè)方案以限制勾結(jié)節(jié)點(diǎn)的吞吐量。

Ren Wen等人在文獻(xiàn)[21]中提出一種對(duì)抗MAC層DDoS攻擊的檢測(cè)響應(yīng)機(jī)制。在第2章中提到的針對(duì)信道的惡意攻擊以及RTS flood攻擊均屬于DDoS攻擊。在檢測(cè)階段，檢測(cè)三個(gè)狀態(tài)值，即接收RTS/CTS的頻率、感知信道繁忙的頻率和RTS/data重傳的頻率。如果檢測(cè)到的三個(gè)參數(shù)值超出了設(shè)定的門限值，那么可能存在攻擊。在響應(yīng)階段，節(jié)點(diǎn)用ECN（explicit congestion notification，外部擁塞通告）標(biāo)記每個(gè)數(shù)據(jù)包以告知發(fā)送節(jié)點(diǎn)；發(fā)送節(jié)點(diǎn)通過收到的ECN以減少其發(fā)包率。若由于發(fā)送節(jié)點(diǎn)不減少發(fā)包率而使得信道處于擁塞，那么這些節(jié)點(diǎn)將認(rèn)為是攻擊節(jié)點(diǎn)。

在文獻(xiàn)[22]中提出針對(duì)timeout攻擊的檢測(cè)響應(yīng)系統(tǒng)——DREAM（a system for detection and reaction to timeout mac layer misbehavior）。該系統(tǒng)由正常節(jié)點(diǎn)執(zhí)行并對(duì)發(fā)送者和接收者均進(jìn)行檢測(cè)。通過對(duì)發(fā)送者和接收者實(shí)行不同的檢測(cè)和響應(yīng)以確定惡意節(jié)點(diǎn)，并配合簡(jiǎn)單的協(xié)議參數(shù)降低對(duì)網(wǎng)絡(luò)的破壞。結(jié)合VANET對(duì)以上五種方案進(jìn)行功能及各種優(yōu)缺點(diǎn)對(duì)比，如表1所示。

測(cè)響應(yīng)機(jī)制的功能，可將這一機(jī)制設(shè)在可信節(jié)點(diǎn)處。由于VANET其自組織分布式的特點(diǎn)，信任模型的建立是一個(gè)難點(diǎn)。Kyasanur方案和ERA802.11是通過對(duì)協(xié)議進(jìn)行修改來(lái)實(shí)現(xiàn)其檢測(cè)功能，因此帶來(lái)了網(wǎng)絡(luò)通信開銷，可行性不好。

3.4 VANET MAC層的安全體系結(jié)構(gòu)

通過以上安全威脅分析以及解決方案的討論，考慮多種安全機(jī)制的協(xié)同工作，列出VANET MAC層的安全體系結(jié)構(gòu)，如圖3所示。

圖3中公平性增強(qiáng)的MAC協(xié)議、加密機(jī)制、認(rèn)證機(jī)制、MAC層檢測(cè)響應(yīng)機(jī)制是安全體系結(jié)構(gòu)的主體部分，公平性增強(qiáng)的MAC協(xié)議是此結(jié)構(gòu)的基礎(chǔ)。一個(gè)公平的MAC機(jī)制是實(shí)現(xiàn)數(shù)據(jù)公平有效傳輸?shù)幕A(chǔ)，可以避免攻擊者利用本身協(xié)議的不公平實(shí)施攻擊，在一定程度上降低了MAC層受到攻擊的概率，實(shí)現(xiàn)了安全需求中的防止自私節(jié)點(diǎn)最大化占用網(wǎng)絡(luò)資源。加密機(jī)制主要是對(duì)MAC幀的加密防止竄改、竊聽等威脅到數(shù)據(jù)機(jī)密性和完整性的攻擊。認(rèn)證機(jī)制是對(duì)節(jié)點(diǎn)進(jìn)入網(wǎng)絡(luò)的認(rèn)證以及數(shù)據(jù)傳輸時(shí)的發(fā)送雙方身份真實(shí)性、不可抵賴性以及數(shù)據(jù)的可用性、可信性的認(rèn)證。最后MAC層檢測(cè)響應(yīng)機(jī)制是對(duì)MAC層攻擊的防護(hù)與響應(yīng)。在VANET可信模型的基礎(chǔ)上，選擇合適的檢測(cè)算法實(shí)現(xiàn)檢測(cè)模塊，并進(jìn)行響應(yīng)同時(shí)作出懲罰。整個(gè)體系結(jié)構(gòu)的實(shí)現(xiàn)要依靠?jī)纱蠡A(chǔ)，即安全高效的加密算法以及高效可靠的密鑰管理機(jī)制。

4 結(jié)束語(yǔ)

隨著無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，VANET是未來(lái)發(fā)展的必然趨勢(shì)，而針對(duì)VANET MAC層的特點(diǎn)設(shè)計(jì)出適合于VANET環(huán)境下的MAC層安全體系結(jié)構(gòu)，對(duì)VANET的進(jìn)一步發(fā)展不可或缺。將來(lái)對(duì)VANET MAC層安全的研究方向與問題主要集中在以下幾個(gè)方面：

a)強(qiáng)健的MAC協(xié)議。研究適合于VANET環(huán)境下的MAC協(xié)議，改善現(xiàn)有協(xié)議的脆弱性，增強(qiáng)其抵抗攻擊的能力。

b)高效的加密認(rèn)證算法。VANET MAC層鏈路的建立與斷開變化快，同時(shí)支持實(shí)時(shí)業(yè)務(wù)，因此對(duì)加密認(rèn)證算法時(shí)間復(fù)雜度的要求較高。

c)建立適用的信任模型。由于VANET以及其MAC層特點(diǎn)，傳統(tǒng)網(wǎng)絡(luò)的信任模型不再適合于VANET。如何建立適合于VANET環(huán)境下的分布式信任模型，是建立檢測(cè)機(jī)制和管理安全機(jī)制的基礎(chǔ)。

d)合理高效的MAC層檢測(cè)響應(yīng)機(jī)制。結(jié)合VANET研究可行的數(shù)據(jù)采集、數(shù)據(jù)分析、檢測(cè)算法以及響應(yīng)懲罰機(jī)制的具體實(shí)現(xiàn)，構(gòu)建合理的MAC層檢測(cè)響應(yīng)機(jī)制。

e)安全機(jī)制的管理。其中包括密鑰管理、授權(quán)證書的發(fā)放、更新與撤銷等。

f)安全機(jī)制的協(xié)作。各種安全機(jī)制的協(xié)作，如何保證各種安全機(jī)制的協(xié)同工作，使MAC層攻擊降到最低，保證MAC層安全。

g)安全與成本、安全與性能的權(quán)衡。在設(shè)計(jì)MAC層安全機(jī)制時(shí)，如何做到安全與成本、安全與網(wǎng)絡(luò)性能的權(quán)衡是在實(shí)際VANET部署中遇到的問題。

h)建立開放、可擴(kuò)展的MAC層安全體系結(jié)構(gòu)。各種安全機(jī)制的建立最終構(gòu)成一個(gè)可靠的安全體系結(jié)構(gòu)保證VANET MAC層安全以及整個(gè)網(wǎng)絡(luò)的安全。應(yīng)結(jié)合在具體工程實(shí)現(xiàn)中的問題設(shè)計(jì)出開放、可擴(kuò)展的MAC層安全體系結(jié)構(gòu)。

參考文獻(xiàn)：

［1］RAYA M PAPADIMITRATOS P HUBAUX J P.Securing vehicular communications[J].IEEE Wireless Communications，2006，13(5):815.

[2] 陳立家，江昊，吳靜，等.車用自組織網(wǎng)絡(luò)傳輸控制研究[J].軟件學(xué)報(bào)，2007，18(6):14771490.

[3]NI S Y，TSENG Y C，CHEN Y S，et al.The broadcast storm problem in a mobile Ad hoc network[C]//Proc of the 5th Annual ACM/IEEE International Conference on Mobile Computing and Networking.New York:ACM Press，1999:152162.

[4]RUDACK M MEINCKE M LOTT M. On the dynamics of Ad hoc networks for inter vehicle communication (IVC)[C]//Proc of International Conference on Wireless Networks(ICWN).2002.

[5]MENOUAR H FILALI F LENARDI M. A survey and qualitative analysis of MAC protocols for vehicular Ad hoc networks[J].IEEE Wireless Communications，2006，13(5):3035.

[6]ASTM E221303 standard specification for telecommunications and information exchange between roadside and vehicle systems 5 GHz band dedicated short range communications (DSRC) medium access control (MAC) and physical layer (PHY) specifications[S]. [S.l.]: ASTM Press 2003.

[7]Intelligent Transportation Systems(ITS) Committee of the IEEE Vehicular Technology Society(VTS).IEEE Std. 1609.1—2006，IEEE trialuse standard for wireless access in vehicular environments(WAVE)：resource manager[S].New York:IEEE Press 2006.

[8]Intelligent Transportation Systems(ITS) Committee of the IEEE Vehicular Technology Society (VTS).IEEE trialuse standard for wireless access in vehicular environments (WAVE)：security services for applications and management messages[S].New York: IEEE Press 2006.

[9]Intelligent Transportation Systems (ITS) Committee of the IEEE Vehicular Technology Society(VTS).IEEE trialuse standard for wireless access in vehicular environments (WAVE):networking services[S].New York: IEEE Press，2007.

[10]Intelligent Transportation Systems (ITS) Committee of the IEEE Vehicular Technology Society (VTS).IEEE trialuse standard for wireless access in vehicular environments (WAVE):multichannel operation[S].New York:IEEE Press 2006.

[11]BORGONOVO F，CAMPELLI L，CESANA M，et al.MAC for Ad hoc intervehicle network:services and performance[C]//Proc of the 58th IEEE Vehicular Technology Conference on Orlando.New York:IEEE Press，2004:27892793.

[12]LAN MAN Standards Committee of the IEEE Computer Society.IEEE Std802.11—1997 for information technology tele communications and information exchange between systemslocal and metropolitan area networksspecific requirements，Part 11:wireless lan medium access control (MAC) and physical layer (PHY) specifications [S].New York:IEEE Press 1997.

[13]ROZOVSKY R KUMAR P R.SEEDEX: a MAC protocol for Ad hoc networks[C]//Proc of the 2nd ACM International Symposium on Mobile Ad hoc Networking Computing.New York:ACM Press，2001:6775.

[14]GUANG Lei ASSI C.Crosslayer cooperation to handle MAC misbehavior in Ad hoc networks[C]//Proc of the 19th Annual Canadian Conference on Electrical and Computer Engineering.New York:IEEE Press，2006:194197.

[15]GUANG Lei，ASSI C.Mitigating smart selfish MAC layer misbehavior in Ad hoc networks[C]//Proc of the 2nd IEEE International Conference on Wireless and Mobile Computing，Networking and Communications.New York:IEEE Press，2006:116123.

[16]HEJMO M MARK B L，ZOURIDAKI C，et al.Design and analysis of a denialofserviceresistant qualityofservice signaling protocol for MANETs[J].IEEE Trans on Vehicular Technology，2006，55(3):743751.

[17]GUANG Lei ASSI C.On the resiliency of mobile Ad hoc networks to MAC layer misbehavior[C]//Proc of the 2nd ACM International Workshop on Performance Evaluation of Wireless Ad hoc，Sensor，and Ubiquitous Networks.New York:ACM Press，2005:160167.