車聯網環境下的網絡安全需求分析

◆馬佳榮 李蘭鳳

（西安文理學院（西安）信息工程學院 陜西 710065）

0 引言

根據車聯網（Vehicular Ad hoc Network， 簡稱VANET）的定義，車聯網是以車內網、車際網和車載自組網為基礎，依照約定的通信協議和數據交互標準，通過完成車與車、車與網絡間的無線通信和信息交互，實現對交通的智能管理和控制的一體化網絡[1]。車聯網架構如圖1所示。

圖1 車聯網系統架構圖

車聯網環境下，網絡的安全性能[2]是保證系統正常運行的前提，為此，首先需要對車聯網環境下的網絡安全需求進行分析。考慮到影響網絡安全的因素較為多樣，本文從身份認證、完整性、機密性、可用性和接入可控五方面進行分析。

1 車聯網安全需求分析

1.1 身份認證

作為最主要的一項網絡安全需求，身份認證[3]對幾乎所有系統具有普適性。對車聯網而言，身份認證意味著需要多種信息進行確認：對傳輸節點而言，這些信息主要包括節點的ID信息和用戶的授信；對發送的消息而言，則主要是指用戶的授信、消息的屬性和位置信息。上述認證信息中，用戶授信直接控制車輛節點的授信等級，同時，用戶授信能夠通過為車輛節點指定ID從而避免Sybil攻擊（一種通過虛構多個ID身份從而影響正常節點進行網絡通信的攻擊方式）。特別的，通過擴展外部機制，部分授信信息還可具備法律效力，成為舉證非法攻擊的法定證據。常見的認證方式主要有三種：

（1）ID認證：節點利用一個唯一的序列碼對消息傳輸者身份進行認證，這一認證方式允許節點接入當前網絡，認證過程能夠較為輕易地對虛假節點進行識別。

（2）屬性認證：屬性認證用于確認通信實體類型，從而甄別當前通信實體為車輛節點、路側單元或是其他設備。

（3）位置認證：當用戶使用基于位置的應用時，位置認證對節點的位置信息進行認證。

1.2 完整性

完整性保證了消息在傳輸過程中不被隨意更改。只有當接收方同發送方的消息內容一致時，接收方才能獲取發送方正確的ID信息，從而對消息進行準確的回復。這一屬性能夠對未經認證的消息或被惡意篡改的消息進行識別，當接收方收到被損壞的消息，完整屬性被破壞，當前通信協議即被視為存在缺陷。

為了實現完整性，系統需要對傳輸的消息內容進行信任確認，從而防止外部攻擊者更改消息內容，外部攻擊者的甄別主要通過身份認證進行。文獻[4]設計的安全協議利用交通燈為消息附加簽名，從而保證消息從發送方到目標節點不被更改。

1.3 機密性

不同通信實體進行通信時，為了防止外部攻擊者理解通信內容，需要對消息進行加密處理。在車聯網環境中，消息加密主要應用在部分特殊的應用場景，對不包含敏感信息的安全相關消息而言，沒有進行加密的必要；對部分支付應用而言，由于通信實體需要通過 RSU建立接入互聯網，同時支付過程包含大量用戶隱私信息，則需要對整體通信過程進行多重加密處理。目前，常見的加密處理主要包括公鑰加密和對稱密鑰。在V2I通信過程中，RSU和車輛節點在認證之后會共享會話密鑰，消息傳遞過程中利用該密鑰對消息連續加密，消息認證則主要使用MAC信息完成。

與此同時，車聯網中還定義了不可否認性，參與通信過程的通信實體，對某一事件或指令進行聲明之后，就無法對通信過程和傳輸的消息進行否認。這一特性可通過追蹤事件或指令的認證信息，找出網絡中的惡意攻擊用戶。

1.4 可用性

可用性主要是要求在制定通信協議時，通過設計一定的容錯機制，保證通信網絡和應用在遭遇錯誤或不當操作時，仍可進行基礎的運行直到錯誤操作被移除。同時，可用性還能保證發送方向多個接收方發送信息，并協助完成特定消息在特定區域的限時發布。此外，這一屬性還保證了部分協議資源的可用性，例如，通信過程中交換密鑰時需要確認通信雙方建立對話，因此當某一用戶向服務器申請建立一個對話密鑰時，服務器需要連續同用戶確認雙方持有可信的對話密鑰。考慮到實時性對車聯網環境下消息的重要性，在對可用性進行研究時，減少延遲亦是一個重要的研究內容。

1.5 接入可控

對部分敏感通信過程而言，由于其通信過程不得被其他網絡節點獲取，需要利用接入可控屬性決定通信實體的角色和等級。這一屬性需要結合相關的政策法規進行指定，同時。可以看到，身份認證也是控制接入的通信實體的一種方法。

2 結論

車聯網環境下的網絡安全與用戶體驗、用戶安全息息相關，本文從身份認證、完整性、機密性、可用性和接入可控五個不同角度對車聯網環境下的網絡安全需求進行了分析，為未來有針對性的設計通信協議提供了思路。