朱江巖

摘 要：隨著智能網聯汽車的發展，車輛內部以及其與外部信息交互的接入類型、連接數量和交互數據量都出現了爆發式的增長，網絡架構也更加復雜，而自動輔助駕駛相關的信息安全更是直接關系車主的財產甚至是人身安全。本文基于對該技術領域的專利申請的檢索和統計分析，簡要闡述了智能網聯汽車安全技術的主要技術分支和發展趨勢，并為國內相關創新主體的技術開發和專利布局提供信息支撐。

關鍵詞：智能網聯汽車 車聯網 信息安全

智能網聯汽車（Intelligent Connected Vehicle，ICV），是指車聯網與智能車的有機聯合，是搭載先進的車載傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，實現車與人、路、后臺等智能信息交換共享，實現安全、舒適、節能、高效行駛，并最終可替代人來操作的新一代汽車[1]。隨著車聯網的技術熱點從單車智能發展到當前的車路協同，并進一步向智慧智能交通發展，越來越多的電子設備將加入與ICV的數據通信中，越來越多的交通工具中系統正在成為與彼此通信的自相似計算設備的層級結構，同時對帶寬、計算能力等提出了越來越高的要求。基于汽車與萬物互聯（Vehicle to Everything，V2X）證書的車聯網的現有協議多數存在前向安全性和匿名性脆弱的特點，同時車輛的環境感知、行車決策制定、以及輔助駕駛功能雖然都能一定程度上的提高駕駛的安全性，但是其本身均需要外部的數據和指令作為操作的依據，一旦攻擊者通過互聯網入侵汽車網絡，其甚至可以遠程操控車輛，威脅車主的財產甚至是人身安全。同時自主交通工具的進展意味著各種各樣的計算單元正不斷以高速率來交換數據段，越來越多的不同類型的接入節點、日益復雜的網絡架構以及爆發式增長的連接數量和交互數據量都增加了惡意入侵起源的可能性。因此目前關于如何提高智能網聯汽車的安全性也稱為了行業的研究熱點，通過對相關專利申請的檢索和統計分析，可將其主要分為四個技術分支：攻擊檢測：包括通過行為、特征碼、模型等方式檢測對數據的攻擊；安全冗余：包括設備冗余，以及數據記錄在本地、可信節點，或云端/區塊鏈的存儲冗余；信道安全：通過確定可靠信道，以及隱藏主體和或客體身份的情況下進行通信；人機博弈：通過對場景以及駕駛員狀態等的判斷，對操縱指令的車輛智能/駕駛員優先級進行仲裁。

1 攻擊檢測

網聯汽車涉及的攻擊檢測與一般系統的攻擊檢測存在相當的特殊性，在網聯汽車環境下，網絡參與的節點通常隨著車輛的形式而不斷變化，甚至在行駛過程中絕大多數節點都僅在部分時間與對象車輛屬于一個網絡，在行程的起始點和終點，除了云服務器和對象車輛，所有的節點可能都發生了變化；同時各個節點的信息處理能力也存在很大的區別，其自身的操作系統、通訊協議也存在很大的不同。因此如何在上述網聯汽車的特性下，準確、及時的識別內外的網絡攻擊，存在很多具體的技術困難。相關專利主要有：申請號：CN202011491452.6 ，發明名稱：基于云霧協同的車聯網入侵檢測方法。其特點在于：由于霧節點和云服務器的計算能力不同，設計了云霧協同防御架構，在資源有限的霧節點將流量數據分為正常數據和可疑數據，在具有強大計算資源的云服務器上將可疑數據具體分類，判別攻擊類型。由于霧節點資源有限并且網絡環境復雜多變的問題，采用CART決策樹算法，通過對數據進行檢測，能夠更快速的確定可疑數據和良性數據。針對車聯網場景中數據不平衡問題，設計了代價敏感CNN模型，對可疑數據進行具體分類，減少少數攻擊漏報率。申請號：CN202110445916.8，發明名稱：車聯網中基于聯邦學習的隱私保護模型聚合系統及方法。其特點在于：系統包括可信權威中心TA（Trusted Authority）、云服務器CS（Cloud Server）、霧節點FN（Fog Node）、車輛V（Vehicle）；方法包括四個步驟：系統初始化、車輛數據收集、訓練生成局部模型、聚合生成全局模型。本發明在確保車輛隱私信息不被泄露的情況下，使得云服務器能夠有效地生成車聯網的全局模型，同時保證聚合過程中局部模型和全局模型的私密性。

2 身份認證

由于車聯網的特殊性，證書簽發節點的確定較為困難，密鑰協商和分發的過程通常暴露在廣播鏈路中，同時部分通用的協議也未要求嚴格的身份認證，因此其身份認證需要克服一系列困難，同時也存在對主客體真實身份隱藏的技術需要。相關專利主要有：申請號：PCT/KR2017/0103001，發明名稱：使用OTP的V2X通信系統。其特點在于：當車輛和外部設備要進行通信時，傳輸數據在被提供有用于生成OTP的秘密密鑰之后通過安全中繼中心進行傳輸。配置為使用所使用的OTP進行加密和傳輸，并使用另一方的OTP對接收到的數據進行解密和解密由于OTP對車輛與外部設備之間的通信進行了加密。申請號：CN201911079285.1，發明名稱：一種車路協同的身份認證系統及方法。其特點在于：車路協同車輛節點身份的強認證方法：車載終端、路側終端分別與認證服務器通信連接，認證服務器中包括根CA、認證CA、匿名CA；對于不同的車路協同節點使用不同的身份認證機制，路側終端和需要隱私保護的車載終端使用PKI身份認證機制，無需隱私保護的車載終端使用IBC身份認證機制，且對于車載終端，增加唯一標識車輛可信數字身份的汽車電子標識，以實現車輛身份強認證。

3 安全冗余

任何機械或電子設備，都存在部件或整體失效的可能，尤其在受到惡意攻擊時，因此對關鍵設備進行多余度冗余配置，也是一種可信且可行的在指令和數據遭到惡意篡改時提高網聯汽車安全性的路徑。相關專利有：申請號：CN201811208660.3，發明名稱：一種具有冗余結構的即插即用型智能汽車域控制器及方法，特點在于：域控制器通過硬件冗余方式設置有電源冗余結構、微控制器冗余結構、微處理器冗余結構、通信冗余結構、數據冗余結構以及余度管理模塊，其中，微控制器冗余結構包括兩個以上實現智能控制的微控制器MCU和輔助芯片，微處理器冗余結構為多嵌入式微處理器結構，通信冗余包括多路冗余總線；數據冗余結構包括兩個以上數據存儲單元；余度管理模塊用于在發現故障或攻擊時隔離、切換和重構域控制器輸入輸出通道及信號；該域控制器與整車連接后完成安全部署。申請號：CN202110621171.6，發明名稱：一種V2X通信方法及系統，特點在于：接收OBU通過數據面傳輸通道發送的車輛信息，OBU已注冊中心云中的黑匣子應用；通過防火墻以及安全網絡向所述中心云同步所述車輛信息，所述車輛信息用于觸發所述中心云在接收到用戶的黑匣子應用數據獲取請求時，向所述用戶發送與其對應的所述車輛信息。該方法及系統能夠解決現有的基于核心云的車聯網通信方法或系統無法滿足自動駕駛場景的低延時，高帶寬的技術要求，以及在出現交通事故時，用于事故責任認定的數據容易被篡改，無法保證數據安全的問題。

區塊鏈技術對網聯汽車領域的滲透也日漸常見，雖然由于區塊鏈的存儲容量限制，全量智能汽車傳感器數據上鏈很難實現，但是通過摘要數據的上鏈，也能做到對這些數據進行防止篡改的效果。同時由于區塊鏈本身的對任何單一節點都無需信任的特點，非常適合用在對于智能道路上無法對所有節點都進行信任認證的場景。申請號：CN201810874187.6，發明名稱：一種基于服務證明的共識協議設計及其車聯網應用方法，特點在于：在傳統的基于中心化的車聯網激勵機制模型中，雖然大多數情況下這類系統都運作良好，但是任何時候的一個單點故障或者惡意攻擊都有可能摧毀整個網絡，從而直接危及乘客乃至周邊道路的所有交通參與者。車輛自組織網絡（VANETs）技術以及區塊鏈（BlockChain）技術的橫空出世，可以很好地解決車聯網中令人擔憂的部分。車輛可以通過提供服務證明而不依賴第三方可消息認證機構來獲得VPoSCoin（即虛擬貨幣）。VPoSCoin（即虛擬貨幣）可以通過激勵車輛參與V2V通信，激勵更多節點自愿、自發地與市場合作。所提出的區塊鏈共識協議，其區塊的產生概率與車輛服務貢獻之間的呈強正相關性，即車輛提供的通信服務越多，其挖到礦的概率越大。申請號：US15997826，發明名稱：實時車輛事故管理的區塊鏈和加密貨幣，特點在于：數據塊的安全鏈在給定的計算節點上維護。給定的計算節點是計算節點的分布式網絡中的一組計算節點的一部分，其中該組計算節點中的每一個維護數據塊的安全鏈。在每個計算節點處維護的數據塊的安全鏈包括一個或多個數據塊，這些數據塊表示與車輛關聯的一個或多個與事故相關的交易。響應于風險評估操作，將一個或多個數據塊添加到在給定計算節點處維護的數據塊的安全鏈。數據塊的安全鏈是區塊鏈分類帳。SDV制造商可能需要在SDV上實施防篡改模塊，關于數據的這種防篡改要求是由區塊鏈實現的。

4 安全信道

由于車載計算資源的限制，對外界的攻擊很難進行完全的防御，同時現有通信安全保護技術主要是被動防御，不能夠有效防范未知的攻擊，存在被監聽、被篡改的可能，尤其是難以防御拒絕服務攻擊。因此采用安全信道，或者隱藏發送方和或接受方節點的真實身份，也成為了一個有效的研究方向。申請號：CN202010261432.3，發明名稱：一種基于端信息跳變的車聯網安全通信方法、系統及應用，特點在于：通信雙方進行連接并認證，獲得共享會話密鑰；采用時間戳同步技術進行時間同步，獲得當前時間戳；根據獲得的會話密鑰與時間戳，進行隨機函數處理，生成跳變模塊的跳變參數，得到跳變端信息即跳變圖案；基于得到的跳變端信息，采用雙方跳變的方式進行車與車之間、車與紅綠燈及其他基礎設施之間以及車與云服務器之間的跳變通信。本發明提高了車聯網通信的安全性，能夠有效抗DoS、抗嗅探和惡意跟蹤等攻擊；同時通信性能好，通信過程較低的時延，同時保證了數據的安全可靠。申請號：PCT/KR2021/002653，發明名稱：直接溝通，特點在于：UE可以使用V2X服務的列表（例如，V2X應用的PSID或ITS-AID）、地理區域和V2X服務的安全策略。V2X 服務的安全策略可能指示以下內容：信令完整性保護：開（或需要）/首選/關（或不需要）、信令保密保護：開（或需要）/首選/關（或不需要）、用戶平面完整性保護：開啟（或需要）/首選/關閉（或不需要）、用戶面機密性保護：ON（或REQUIRED）/PREFERRED/OFF（或NONEEDED）、如果流量沒有完整性保護，則可能會激活不需要安全性的服務。當至少一個UE對應的V2X業務的信令完整性安全策略設置為REQUIRED時，可以保證只使用對V2X業務應用安全的連接。

5 人機博弈

隨著智能網聯汽車自動輔助駕駛能力的快速發展，駕駛人員越來越傾向于將更多的操縱決策交付給汽車的智能系統進行決斷，但是當前的技術水平和法律責任體制下，尤其對駕駛人與自動系統決策不一致的情形，如何決定車輛的操作，是一個需要進行深入研究的方向。申請號：CN202110471884.9，發明名稱：基于線控轉向和博弈結果的智能網聯汽車自適應避障系統，其特征在于：根據駕駛員和智能網聯汽車各自的識別情況判斷博弈結果，并存儲博弈期間人車環境監測系統采集的駕駛員狀態信息、車輛行駛信息和外部環境信息，利用elo評分方法對人和車輛的避障水平進行量化評分，并與其他智能網聯汽車避障系統聯通，并獲取其elo評分、車輛密度、行駛車速以做出決策。申請號：CN202110694150.7，發明名稱：一種非完全信息非合作博弈人機共駕控制方法，其特征在于：首先建立人車操縱博弈模型，模型包含操縱動力學模型、駕駛員和車輛路徑預覽模型，再建立車輛實際行駛情況下駕駛員和車輛信息獲取與真實系統狀態的線性關系，并在非完全信息模式下對人車操縱博弈模型中駕駛員和車輛決策進行假設，所假設的非完全信息非合作最優策略目的為優化包含駕駛員和車輛輸入、系統狀態的收益函數，最后根據非完全信息下駕駛員和車輛信息掌握精確程度和數量特點求解駕駛員和車輛最優策略迭代公式，并給出迭代公式的迭代方法。

6 總結

對于網聯汽車來說，過去幾年是飛速擴張的的時間，具有駕駛輔助功能的車輛比例持續上升，同時相應的網聯汽車涉及的事故以及法律糾紛的數量也有了數量級的增長。尤其是諸如美國的Uber、Waymo以及多個國家的特斯拉等自動駕駛事故層出不窮，如何降低由智能網聯車輛造成的交通事故數量，并在事故發生時明確刑事責任分配，對技術人員提出了新的挑戰。

2022年8月1日，國內首部關于智能網聯汽車管理的法規——《深圳經濟特區智能網聯汽車管理條例》正式實施[2]，《智能汽車創新發展戰略》規劃了在2025年實現L3規模化和L4部分場景商業應用的發展目標。目前世界上各國的交通責任體系都以“人”為核心。從責任類型來看，交通事故責任包括民事責任和刑事責任，責任主體從人類駕駛員擴大到制造商、軟件設計者、惡意攻擊者等主體，尤其是刑事責任與民事責任不同，高度蓋然性標準是無法滿足的，必須提供相應的責任應當由駕駛員、生產商、還是對車聯網節點的攻擊者來承擔的確鑿證據[3]。因此對事故相關數據的防篡改要求日益迫切了起來。隨著各個研發實體的大量開發投入，車聯網防篡改技術的飛速發展，相關的理論研究取得顯著的成果，但想要將其廣泛應用于實踐中還面臨著許多挑戰。

尤其是在理論技術、硬件架構、應用領域等方面還有以下幾個亟待解決的關鍵問題：１）如何確保事故相關各方、以及在法律層面上對事故數據的證據效力的認可；２）如何在開放或半開放的無線網絡中保護節點之間交互海量數據的安全；３）如何在攻擊發生時，最大限度的確保駕駛人員對車輛的基本操作性；４）如何在與網聯汽車交互的大量節點的計算和存儲能力有限的情況下，構建安全可追溯的信息交互通道；5）如何在多個節點發送海量相關數據的情況下，在滿足實時性要求的同時，快速識別其中可能存在的數據攻擊行為。所以總體上來說智能網聯汽車安全技術處于實驗室階段的末期，商業化應用的前期，相信隨著網聯智能汽車，尤其是自動輔助駕駛和智慧公路技術的進步，在網聯汽車本身和道路基礎設施越來越完備的將來，作為該技術必定會迅猛發展，造福人類，深刻的改變我們的經濟社會。

參考文獻：

[1]國內外智能網聯汽車產業發展概況[J].科技中國，2019（02）：50-60.

[2]戚耀琪.為智能網聯汽車管理立法深圳這一步影響深遠[J].人民之聲，2022（08）：62.

[3]鄧建志，程智婷.自動駕駛汽車適用產品責任的困境與對策[J].時代法學，2022，20（03）：13-20.