車載云計算安全綜述

紀健全 姚英英 常曉林

摘 ? 要：伴隨智能交通系統的快速發展，車輛的物理資源設備愈發趨向于計算機化。車載云計算以車輛自組網與云計算為基礎，實現對底層物理資源的充分利用，以滿足安全駕駛、車載娛樂等服務需求。然而，車載云計算在提高云服務效率的同時，也面臨著諸多安全威脅與挑戰。安全已成為車載云計算領域亟待解決的重要問題之一。文章首先介紹了車載云計算的架構，并從完整性、可用性、機密性等方面對其安全需求進行分析，之后分別闡述了可能受到的安全攻擊，并在此基礎上總結了相應的防護對策，最后討論了車載云計算安全的未來研究方向。

關鍵詞：車載云計算;安全需求;攻擊

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

1 引言

近年來，車輛自組網[1]（Vehicle Ad hoc Network，VANET）已經成為智能交通系統發展的重要基礎。與此同時，云計算被應用于交通領域。通過將其與VANET相結合形成車載云計算（Vehicular Cloud Computing，VCC）[2]，實現了在快速變化的自組織網絡中進行通信和資源共享，為用戶提供了低成本高效率的云服務。

然而，由于受VANET[3]和云計算[4]兩種技術本身存在的安全漏洞所影響，VCC的安全問題也日益凸顯。無論是廣泛的資源自主共享，還是快速移動車輛間的無線通信，亦或是云成員的可信程度都給VCC帶來了極大的安全挑戰[5]。

一方面，攻擊者和合法用戶都可以平等地成為VCC系統的一部分，在資源被不斷共享和租用時，車輛很容易與攻擊者進行交互并不易察覺。與此同時，車輛的高機動性也使得用戶成員在快速變化，這也意味著敏感數據被訪問的可能性逐漸增大。

另一方面，在VCC中云的動態部署經常位于停車場、路邊基礎設施等區域，這些地方很容易受到內部攻擊的影響，因此用戶會對云服務提供商的安全防護能力產生質疑，存在于VCC中的安全隱患隨時都可能給用戶帶來巨大的損失。由此可見，針對VCC的安全問題有待進一步研究解決。

本文首先介紹了VCC的基本架構，并對其安全需求進行詳細剖析，之后分析了在VCC中可能受到的惡意攻擊，并討論相應的防護對策，最后概述了VCC安全的未來研究方向。

2 ?VCC的基本架構

在VCC中，車輛的快速移動使車載云的形成具有動態自主性，參與交互的實體也不斷發生變化，同時車輛既可以通過廣播道路信息作為服務提供者，也可以通過享受集中式的互聯網云服務作為消費者。這些導致了各類VCC架構的出現。Gu等人[6]提出了VCC兩層架構：第一層是基于互聯網云計算平臺，主要為用戶提供數據獲取的云服務需求;第二層則是由多個車載云所構成，以滿足用戶對車載云服務的需求。Ahmed等人[7]詳細闡述了VCC技術的發展及其特性，同時將VCC架構分成三層進行介紹，分別是車輛內部層、通信層和云計算層。

車輛內部層主要是利用傳感器收集車內各類信息，整理后上傳云端或作為其他應用程序的輸入進行存儲;通信層則是方便車輛與云層之間進行交互，其分為車對車（Vehicle to Vehicle，V2V）通信和車對基礎設施（Vehicle to Infrastructure，V2I）通信兩類;云計算層又被分為三個子層，分別是云基礎設施、云應用和云服務，它主要是利用云中存儲的計算資源為用戶提供網絡服務。

本節將VCC基本架構分為兩部分進行介紹：車載云和互聯網云，如圖1所示。

（1）車載云

車載云的形成主要是基于V2V與V2I通信。車輛內部的控制器局域網總線將物理資源進行整合并利用傳感器收集車輛信息，之后通過車載單元（On Board Unit，OBU）實現與其他車輛或路側單元（Road Side Unit，RSU）的信息交互。而車載云是將底層設備的物理資源整合形成設施云，進而按需部署，在減少未充分利用車載資源的同時，為用戶提供高效的云服務。根據VCC應用場景的不同，形成車載云的難度也會有所差異。

例如，在大型停車場附近部署車載云會相對容易，因為在這類環境中，車輛會長期處于靜止狀態，這使得大量的物理資源被長時間擱置，因此這些車輛便可以成為云服務的提供者[8]，利用專用短程通信將閑置資源進行匯總形成自主云，從而進行高性能的存儲、計算服務。但是，對于在城市道路或高速公路上的車輛來說，其高機動性特點使車載云的形成較為困難，車輛的快速移動使云成員不斷發生動態變化，同時車輛作為服務提供者和服務消費者的身份也在隨時變換，這些都對車載云的性能提出了更高的要求。

（2）互聯網云

互聯網云則是基于傳統意義上的云所構成的網絡，它可以通過RSU等基礎設施實現與車輛的通信交互。互聯網云主要分為基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）、軟件即服務（Software as a Service，SaaS）三層。IaaS中最主要的部分為虛擬化層，其包含了計算、存儲等虛擬化資源;PaaS主要是為了開發云上的應用程序，利用應用程序接口（Application Programming Interface，API）來作為云服務提供商與用戶之間的交互通道;SaaS則是通過網絡提供應用服務，來滿足用戶信息娛樂、互聯網瀏覽等需求。

3 ?VCC安全需求分析

在VCC中，物理資源可以在車輛間進行動態共享，各類數據也會被廣泛傳播，一旦攻擊者對VCC中的信息造成威脅，其后果不堪設想。因此，構建VCC的首要需求就是保證其安全性。本節從完整性、可用性、機密性、不可抵賴性和認證五個方面對VCC系統中的安全需求進行分析。

（1）完整性

基于車輛內部的完整性主要是針對車載數據與車載通信兩部分。對車載數據而言，完整性應防止未經授權的實體對OBU上的本地數據進行更改;并且應保證用戶對車輛內部軟件進行更新升級操作的真實性。而針對車載通信的完整性，OBU應驗證經車載網絡傳輸的消息數據是否發生未經授權的更改，同時位于車載平臺中的所有實體都應該向除自身以外的其他車輛證明其內部資源的真實和完整性。

基于無線網絡通信的完整性，應防止未經授權實體對位于無線通信信道上的數據進行修改、刪除等操作[9]，同時經無線網絡傳輸而收到的消息也應由OBU進行完整性驗證。

基于云的完整性則是針對云系統的虛擬化資源、云數據信息的安全防護需求，尤其是防止內部人員的惡意篡改。

（2）可用性

VCC的形成主要是基于V2V與V2I通信，由于云的多租戶性特點，無線通信信道的共享面臨著極大的安全挑戰。尤其是針對可用性的安全威脅，很容易導致網絡通信的中斷，從而影響信息數據的安全傳輸。因此，針對可用性需求，主要是保證無線網絡通信處于穩定安全的工作狀態[10]，從而使用戶能夠隨時訪問云資源，享受云服務。

（3）機密性

存在于VCC中的信息數據通常涉及用戶的敏感信息，例如有關交通狀況的廣播通信一般與車輛位置信息相關，基于車載軟件的數據容易分析出駕駛員的行車軌跡、生活喜好等隱私信息。因此，在VCC中保證機密性至關重要。機密性安全需求首先應防止惡意人員對車載數據或通信進行篡改和泄露。其次，應對無線網絡通信中的數據進行安全加密，只有授權實體才可進行訪問[11]。同時，對車輛的身份和位置信息實施匿名隱私保護。此外，應識別驗證云實體的合法身份，僅允許對已授權的云實體公開數據信息，實現對系統資源的訪問限制，并且應根據云實體的不同分別設置其特定的訪問控制權限。

（4）不可抵賴性

不可抵賴性則適用于車輛發生沖突的情況，為保證數據的發送方和接收方誠實的面對自身行為，從而對發送和接收的數據不可否認[12]。因此，不可抵賴性的實現保證了對信息源頭的可追溯性，并且驗證數據的真實性。同時不可抵賴性還包括云實體與其他任何實體存在有交互的不可否認性。

（5）認證

認證主要是為了防止攻擊者在無線通信網絡中的惡意攻擊，采用認證方式確保信息發送者的合法性和真實性[13]，防止惡意實體的侵入。基于車輛的高機動性特點，有必要對其位置信息進行驗證，從而保證所接收信息的真實性和與當前環境的關聯程度。

4 ?安全攻擊

對于在動態變化的物理資源上實現車載云的部署，VCC面臨著許多安全威脅。因此，本節針對上述安全需求，分析其相應的安全攻擊。

（1）針對完整性攻擊

數據篡改：攻擊者對通信信道上的數據進行惡意刪除、修改等操作[18]，以達到破壞數據完整性的目的。同時，還可能在通信網絡中廣播偽造信息，如發送虛假的安全消息，營造出一個良好的行車環境，從而使駕駛員做出錯誤判斷。此外，攻擊者還可能對云數據進行未經授權的更改，并且由于云服務對API的高依賴性，針對云中的軟件應用程序，一旦攻擊者對API進行惡意控制，就會導致用戶數據、軟件程序的破壞。

偽裝攻擊：攻擊者冒充合法車輛的身份信息，在無線網絡通信中向目標車輛發送惡意消息[14]，使合法車輛做出錯誤判斷。

中間人攻擊：攻擊者參與合法車輛之間的正常通信，使車輛雙方誤以為都在與對方通話，實則是與攻擊者進行通信，從而可以達到監聽的目的。此外，攻擊者還可能在通信中進行插入或刪除信息等操作，實現通信控制[15]。

（2）針對可用性攻擊

拒絕服務（Denial of Service，DoS）攻擊：攻擊者在V2V、V2I通信網絡中發送過量的虛假信息，使網絡中的資源被不必要的消耗，OBU無法與RSU進行交互，從而造成嚴重的后果。此外，攻擊者可能會發送大量的垃圾郵件、廣告信息等，致使通信帶寬達到飽和狀態，其目的在于信道被大量占用，造成安全信息的延遲傳輸[16]。針對云服務，當授權用戶請求訪問時，攻擊者通過控制消耗大量的車載云資源，致使合法訪問受限，從而降低云服務質量。例如，因軟件應用程序自身漏洞的存在，攻擊者可能會發送大量假數據包，同時禁止授權用戶享受云服務。

惡意軟件攻擊：此類攻擊通常是利用安裝在OBU或RSU設備上的惡意組件來滲透實體，一般以病毒形式感染無線通信信道，以此破壞正常通信。

（3）針對機密性攻擊

竊聽：由于車輛的高機動性，在VCC中共享的數據資源，其加密和解密過程一般存在有延遲性，因此攻擊者可能會對通信信道實施監聽[17]，收集有用信息并加以分析從而破壞數據的機密性。

位置跟蹤：攻擊者可以利用路邊的基礎設施或者連接WiFi網絡獲取車載云通信過程中的完整移動視圖。此外，攻擊者還可能部署位置跟蹤設備，當定位系統持續不斷地自動跟蹤車輛時，會產生大量隱私信息，從而收集敏感數據。

信息竊取：基于云上的軟件應用程序，一般以加密方式處理敏感數據，但由于程序設計本身可能存在漏洞，導致攻擊者實現未經授權的訪問，從而竊取數據信息。

（4）針對不可抵賴性攻擊

此類攻擊就是指車輛對發送或接收到的信息持否認態度，從而形成爭議事件。尤其在緊急情況下，攻擊者往往會挑起事端，從而占用資源，致使交通系統的混亂。

（5）針對認證攻擊

Sybil攻擊：攻擊者會創建大量的假名，通過傳輸這些偽造實體的惡意信息，致使網絡通信受到阻塞，同時會誤導車輛做出錯誤判斷[18]。并且網絡中的合法用戶無法識別惡意車輛的真實身份信息，也無法獲知其所在位置，因此這類攻擊很難防范。

假冒攻擊：在VCC中，為識別通信車輛的身份，每輛車都有其唯一的ID。而在這類攻擊中，攻擊者會冒充合法車輛的身份，然后在網絡通信中發送惡意信息，從而造成交通秩序的混亂。

5 防護對策

盡管在VCC中，快速移動的車輛、動態變化的通信網絡、自組織形成的車載云都會給VCC的安全帶來極大的威脅;但研究表明一些針對VANET與云計算的防護對策同樣適用于VCC。因此，本節將根據不同地安全攻擊總結相應的防護對策。

（1）基于完整性的防護對策

針對數據篡改。主要解決方法就是對通信中的信息進行加密操作，并使用消息認證碼來查看其完整性。Kumar等人[19]提出了一種基于橢圓曲線加密技術的端對端認證安全方案，為通信過程提供機密性、完整性、可用性三位一體的安全服務。

針對偽裝或中間人攻擊，防護對策主要是基于加密和認證技術的安全協議[20，21]，保證信息傳輸的可靠性。同時，利用證書吊銷列表對通信中的惡意節點進行檢測并及時廣播，從而減少此類攻擊的危害性。

（2）基于可用性的防護對策

針對DoS攻擊。Quyoom等人[22]提出了一種惡意無關包檢測算法，通過驗證數據包的源節點，鎖定Sybil攻擊的源頭。若發送惡意數據包，則該車輛節點會被跟蹤，以便進行后續操作。此外，緩解DoS攻擊的方法可以依賴于OBU，當發生攻擊時，OBU可以切換信道或使用跳頻技術來保證通信信道的可用性。

針對惡意軟件攻擊，通常情況下使用反惡意軟件來防止。然而在軟件更新時，防范這類攻擊將更加困難，因此應提前對更新進行簽名并驗證，以保證操作的真實性，從而緩解此類攻擊。

（3）基于機密性的防護對策

針對機密性攻擊，其防護對策主要是基于非對稱密碼加密和公鑰基礎設施的假名方案。除此之外還有基于身份加密[23]、群簽名[24]等。

針對位置跟蹤，Memon等人[25]提出使用動態假名信任管理系統，一旦車輛完成規定的初始化操作，便可以自主地生成假名，從而縮短假名的有效期，最終實現對隱私數據的保護。

此外，針對內部人員對云數據的竊取行為，Kaza提出了一種攻擊誘餌技術[26]。通過監控用戶行為來發現惡意內部人員，進而云會向攻擊者發送大量誘餌信息，以此防止真實數據被竊取。

（4）基于不可抵賴性的防護對策

在VCC中，不可抵賴性、完整性和車輛隱私保護是通信安全的基本要求。但就以往相關研究來看，這些防護需求的實現往往又存在一定的矛盾性。Li等人[27]則提出了一種新的條件性隱私保護與不可抵賴框架。通過將公鑰加密進入假名機制，保證合法的第三方能獲得車輛的真實身份，從而實現其不可抵賴性。

（5）基于認證的防護對策

針對Sybil攻擊，Sharma等人[28]提出了一個基于動態證書生成技術的系統模型來限制Sybil攻擊，同時利用鄰近信息來檢測Sybil節點。Chaubey等人[29]總結了檢測Sybil攻擊的關鍵技術。

針對假冒攻擊，Limbasiya等人[30]提出了一種高效安全的V2V數據傳輸協議，通過使用單向哈希函數在接收端快速發送有價值的信息來避免攻擊。Bajaj等人[31]提出了一種基于身份的簽名協議，通過使用VANET中批驗證的概念，減少通信過程中的計算時間，并驗證了其抵抗攻擊的有效性。

6 未來研究展望

目前，研究表明針對VANET與云計算的防護對策在VCC中同樣適用，但這項新技術的出現還伴隨有其他的安全漏洞。一方面，在VCC中車輛不斷地對云上資源進行訪問和共享，對高機動性車輛及時進行可信判斷與信用評分存在一定難度。另一方面，VCC的開放性使攻擊者不具有明顯特征，而能夠成為系統中普通的一員與合法用戶進行交互，從而破壞通信的安全性。此外，VCC中存在許多由不同機構制定的標準體系，因標準不同而造成的耦合度問題也會為資源服務、安全防護帶來不便。這些安全漏洞都有可能給用戶帶來巨大損失。因此，未來基于VCC的安全依然是研究的重點方向。

7 結束語

VCC作為云計算應用于VANET中的一項創新技術，旨在為用戶提供安全駕駛、車載娛樂等智能體驗。通過將未充分利用的車載資源進行動態整合與按需部署，加強了實體間的信息交互，以滿足用戶的云服務需求。然而，基于云的多租戶性、車輛的高機動性等特點， 在VCC環境下保證資源數據與通信的安全則面臨很多潛在威脅與挑戰。本文首先介紹了VCC的基本架構，詳細闡述了其安全需求，其次分析了針對VCC的安全攻擊及相應的防護對策，最后對VCC安全的未來研究方向進行了展望。

基金項目：

國家自然科學基金“聯合基金項目”： 動靜協同的惡意代碼智能分析方法研究（項目編號：U1836105）。

參考文獻

[1] Regan A C， Chen R. Chapter 2： Vehicular ad hoc networks[M]. Vehicular Communications and Networks： Architectures， Protocols， Op-eration and Deployment， Chen W， Ed. Elsevier， 2015： 29–35.

[2] Olariu S， Khalil I， Abuelela M. Taking VANET to the clouds[J]. International Journal of Pervasive Computing & Communications， 2011， 7（1）：7-21.

[3] Gillani S， Shahzad F， Qayyum A， Mehmood R. A Survey on Security in Vehicular Ad Hoc Networks[C].International Workshop. Springer， Berlin， Heidelberg， 2013.

[4] 鄧宇珊.探究云計算之安全問題[J].網絡空間安全， 2018， 9（09）： 82-85.

[5] Yan G， Wen D， Olariu S， Weigle M C. Security Challenges in Vehicular Cloud Computing[J].IEEE Transactions on Intelligent Transportation Systems， 2013， 14（1）：284-294.

[6] Gu L， Zeng D， Guo S. Vehicular cloud computing： A survey[C].2013 IEEE Globecom Workshops （GC Wkshps）， Atlanta， GA， 2013： 403-407.

[7] Ahmed Z E， Saeed R A， Mukherjee A. Challenges and opportunities in vehicular cloud computing[M].Cloud Security： Concepts， Meth-odologies， Tools， and Applications.IGI global， 2019： 2168-2185.

[8] Hussain R， Son J， Eun H， Kim S， and Oh H. Rethinking Vehicular Communications： Merging VANET with Cloud Computing[C].IEEE 4th In-ternational Conference on Cloud Computing Technology and Science （CloudCom）. IEEE， 2012： 606–609.

[9] Siddiqui N R， Khaliq K A， Pannek J. VANET Security Analysis on the Basis of Attacks in Authentication[M].Dynamics in Logistics - Proceedings of LDIC 2016 Bremen， Germany， Lecture Notes in Logistics， 2016： 491–502.

[10] Kaur N， Kad S. A Review on Security Related Aspects in Vehicular Adhoc Networks[J].Procedia Computer Science， 2016， 78：387-394.

[11] Hasrouny H， Samhat A E， Bassil C， Laouiti A. VANet security challenges and solutions： A survey[J]. Vehicular Communications， 2017， 7（JAN.）：7-20.

[12] Afzal Z， Kumar M. Security of Vehicular Ad-Hoc Networks （VANET）： A survey[J].Journal of Physics Conference Series， 2020， 1427： 012015.

[13] Mansour M B， Salama C， Mohamed H K， Hammad S A. Vanet security and privacy-an overview[J].International Journal of Network Security & Its Applications （IJNSA）， 2018， 10（2）：13-34.

[14] Dai Nguyen H P， Zoltán R. The Current Security Challenges of Vehicle Communication in the Future Transportation System[C].2018 IEEE 16th International Symposium on Intelligent Systems and Informatics （SISY）， Subotica， 2018： 000161-000166.

[15] Abdelgader A M S， Shu F， Zhu W， Ayoub K. Security challenges and trends in vehicular communications[C].2017 IEEE Conference on Systems， Process and Control （ICSPC）， Malacca， 2017， pp. 105-110.

[16] Kaur R， Singh T P， Khajuria V. Security Issues in Vehicular Ad-Hoc Network （VANET）[C]. 2018 2nd International Conference on Trends in Electronics and Informatics （ICOEI）， Tirunelveli， 2018： 884-889.

[17] Akalu R. Privacy， consent and vehicular ad hoc networks （vanets）[J]. Computer Law & Security Review， 2018， 34（1）： 37–46.

[18] Sheikh M S， Liang J. A comprehensive survey on VANET security services in traffic management system[J].Wireless Communications and Mobile Computing， 2019， 2019（2）： 1-23.

[19] Kumar G， Saha R， Rai M K， Kim T. Multidimensional Security Provision for Secure Communication in Vehicular Ad Hoc Networks Using Hierarchical Structure and End-to-End Authentication[J]. IEEE Access， 2018， 6： 46558-46567.

[20] Jo H J， Kim J H， Choi H， Choi W， Lee D H， Lee I. MAuth-CAN： Masquerade-Attack-Proof Authentication for In-Vehicle Networks[J].IEEE Transactions on Vehicular Technology， 2020， 69（2）：2204-2218.

[21] Sheikh M S， Liang J， Wang W. A Survey of Security Services， Attacks， and Applications for Vehicular Ad Hoc Networks 〔VANETs〕[J]. Sensors 2019， 2019， 19（16）： 3589.

[22] Quyoom A， Ali R， Gouttam D N， Sharma H. A novel mechanism of detection of denial of service attack （DoS） in VANET using Malicious and Irrelevant Packet Detection Algorithm （MIPDA）[J]. International Conference on Computing， Communication & Automation， Noida， 2015： 414-419.

[23] Wan C， Zhang J. Efficient identity-based data transmission for vanet[J].Journal of Ambient Intelligence and Humanized Computing， 2017， 9（3）： 1–11.

[24] Liu X， Yang Y， Xu E， Jia Z. An Authentication Scheme in VANETs Based on Group Signature[M].Intelligent Computing Theories and Application. ICIC 2019. Lecture Notes in Computer Science， 2019， 11643： 346-355.

[25] Memon I， Mirza H T. MADPTM： Mix zones and dynamic pseudonym trust management system for location privacy[J]. International Journal of Communication Systems， 2018， 31（1）： e3795.

[26] Kaza V. Securing cloud by mitigating insider data theft attacks with decoy technology using Hadoop[J].International Journal of Engineering and Technology， 2018， 7（2.31）.

[27] Li J， Lu H， Guizani M. ACPN： A Novel Authentication Framework with Conditional Privacy-Preservation and Non-Repudiation for VANETs[J].IEEE Transactions on Parallel & Distributed Systems， 2015， 26（4）：938-948.

[28] Sharma A K， Saroj S K， Chauhan S K， Saini S K. Sybil attack prevention and detection in vehicular ad hoc network[C].2016 International Conference on Computing， Communication and Automation （ICCCA）， Noida， 2016： 594-599.

[29] Chaubey N K， Yadav D. A Taxonomy of Sybil Attacks in Vehicular Ad-Hoc Network （VANET）[M].IoT and Cloud Computing Advancements in Vehicular Ad-Hoc Networks. IGI Global， 2020： 174-190.

[30] Limbasiya T， Das D. Lightweight Secure Message Broadcasting Protocol for Vehicle-to-Vehicle Communication[J].IEEE Systems Journal， 2020， 14（1）： 520-529.

[31] Bajaj K， Limbasiya T， Das D. An Efficient Message Transmission and Verification Scheme for VANETs[M].Distributed Computing and Internet Technology， ICDCIT 2020， Lecture Notes in Computer Science， 2020， 11969： 127-143.