V2X通信異常行為管理體系

羅瓔珞，劉建行，周唯

[國汽（北京）智能網聯汽車研究院有限公司，北京 100176]

1 引言

車聯萬物V2X（Vehicle to Everything）通信通過及時的無線信息交換來提高交通效率和行車安全性。其中，直連通信端口的信息交換不需要網絡側設備參與，可以實現一定距離范圍內車輛對車輛V2V（Vehicle to Vehicle）或者車輛對基礎設施V2I（Vehicle to Infrastructure）的直接通信。這種通信方式的安全性很大程度上依賴通信終端本身的防護，而通信終端暴露在開放的環境中，很容易遭受到各種方式的網絡攻擊[1,2]。因此，對V2X通信中出現的異常行為要進行系統的管理，部署全面的檢測手段，定義分析判定的策略并針對不同的異常行為有相應的措施進行響應。

本文對V2X通信異常行為管理體系進行規劃和探討。第一部分介紹目前應用在V2X通信中的安全防護系統以及系統中部署異常行為管理中心的必要性。第二部分對異常行為管理體系及其特點進行了分析。第三部分重點討論異常行為檢測中需要關注的各種異常行為，覆蓋云端的和車端各層面。第四部分討論異常行為分析判定與響應。第五部分就未來V2X通信異常行為管理所要解決的問題進行了探討。

2 V2X通信安全認證防護系統

具備V2X通信功能的車輛通過直連端口對外廣播BSM（Basic Safety Message）消息。收到消息的車輛會基于消息中所提供的車輛位置、速度、方向等狀態信息[3]，完成上層各類應用的分析運算，實現包括前向碰撞預警或者盲區預警等場景的告警輸出或者直接參與自動駕駛決策。由于廣播消息面臨著以偽造攻擊和篡改攻擊為主的網絡安全威脅，所以要通過數字簽名技術保護BSM消息的完整性和真實性。V2X通信安全認證防護系統由安全可信平臺和車端模塊組成，為V2X通信提供數字證書分發和簽名驗簽服務。具有V2X功能的車輛通過向V2X通信安全可信平臺申請注冊。注冊申請驗證通過后，V2X通信安全可信平臺中的ECA（Enrollment Certificate Authority）為車輛簽發注冊證書EC（Enrollment Certificate）。在此基礎上，車輛會周期性地向V2X可信體系平臺提交包含有效的EC申請，以批量獲取用于給BSM消息進行簽名的證書PC（Pseudonym Certificate），PC由V2X通信安全可信平臺中的PCA（Pseudonym Certificate Authority）簽發[4]。

在V 2 X直連通信時，車輛用有效的P C對消息進行簽名，將原始消息、消息簽名和證書/證書摘要封裝成SPDU（Secure Protocol Data Unit）數據包發出；接收方收到SPDU時，在相應的驗證操作通過后，才對消息進行處理，否則認為消息無效并將相關信息上報給V2X通信安全可信平臺的異常管理模塊MA（Misbehavior Authority）。V2X安全認證防護系統整體架構如圖1所示。

使用了數字簽名技術后，V2X通信在消息層面得到了安全防護，但可能不是所有車輛都正確有效地使用了防護措施，也存在對其它層面的安全攻擊，例如GPS攻擊等。當參與V2X通信的車輛發現周圍有其它車輛可能存在與網絡安全相關的問題時，車輛會上報所發現的異常信息。同時，云端CA中心和其它網絡監控設備也會監測到是否有網絡攻擊等異常。這就需要在V2X安全認證防護系統中的異常管理中心MA對V2X通信中的各種異常情況進行匯總分析判定和響應。

3 V2X通信異常行為管理體系及特點

V2X通信異常行為管理可以分為異常檢測、信息匯聚、分析判定和響應處置四個階段。這四個階段周而復始，推動系統不斷演進。異常行為管理體系整體架構如圖2所示。

V2X異常行為管理體系是一個復雜的系統，具有持續性、全局性和動態性的特點。異常行為管理過程的持續性表現在通常情況下只有持續的舉報事件出現時，才會觸發對異常行為的判定和響應。單一的事件上報時，如果無法跟以往事件相關聯，往往不足以被認定為異常。這些上報事件會存儲在數據庫中，用于和后續事件匹配。異常行為管理的全局性要求MA必須有一個全網中心，所有車輛的舉報信息要匯總到統一的第三方平臺進行關聯分析，從而保證判定的及時有效。從圖1中可以看出，為了保證在道路上行駛的各家車廠的車輛都可以互相驗證消息的簽名，所使用的證書就必須是由統一的第三方平臺簽發。同理，這個第三方平臺也負責定義全網通用的策略，比如證書的類型和相應權限，證書使用規則等。所以，當車輛發現周圍有其它車輛出現V2X通信異常時，也需要直接上報到全網中心進行匯總。這樣一方面可以避免各個車廠分別收集異常報告后形成信息孤島，無法與其它車廠收集的異常報告進行關聯，從而不能判斷是否為異常行為；另一方面，信息可以在第一時間到達統一的平臺，避免信息中轉時的延誤與損耗。異常行為管理的動態性表現在信息匯聚關聯時的模型是與時俱進的，是隨著新的攻擊模式的出現不斷更新的；異常行為所對應的處置措施也會因為行為在不同環境下可能造成的破壞力的差異，以及不同條件下安全需求的不同而動態調整。

圖1 V2X安全認證防護系統

4 V2X通信異常行為檢測方法

根據異常檢測功能的具體位置，V2X通信異常行為檢測可以分為云端檢測和車端檢測兩部分。云端檢測主要針對車云通信異常，包括車輛反復地向云端CA系統申請證書，惡意構造或者發生無效的連接請求等。這些情況可能是車端出現網絡安全問題被非法控制后，軟件被篡改或者功能被非正常調用導致，也有可能是偽造身份的人或車輛對云端系統發起的攻擊。云端可以設定一些連接閾值，或者對提交的請求進行模式掃描，這樣可以迅速有效地發現拒絕服務攻擊，或者構造惡意輸入等攻擊行為。

車端異常情況較為多樣化，可能出現在V2X通信系統從物理層到應用層幾個層面，因此檢測方法也有幾種方式。應用層面的異常行為往往涉及到復雜的模式，需要的檢測手段相對復雜。通過接收到的直連通信的消息與車輛的真實情況進行比對，發現車輛的異常情況，包括合理性檢測和連續性檢測[5]。例如，車輛通過BSM消息發出的位置坐標，與車輛真實的坐標不符[6]。這種真實情況與發送消息的不一致，會導致依賴B S M的V 2 X各種上層應用的判斷錯誤。舉例來說，現實中車輛甲是在車輛乙同一車道的前方，而且車輛乙正在迅速靠近車輛甲，但是BSM消息卻顯示車輛甲在車輛乙的相鄰車道。這時候基于BSM的上層應用不會提示車輛乙的司機剎車。當自動駕駛等級達到L3級以上時，如果車輛的行為決策是基于V2X消息的，車輛乙可能直接和車輛甲發生追尾事故。具有V2X功能車輛上市時已經通過了定位的精度和準確性的測試，所以如果出現這種問題則基本上可以認為是出現了網絡安全問題，位置信息被惡意篡改了。這類問題會導致網絡空間和現實空間的混亂，是破壞性比較大的一類攻擊。不僅如此，攻擊者在控制了V2X通信終端后，還可能使用相同的內容填充多個BSM消息；或者使用隨機生成的內容填充，導致從B S M消息看上去車輛位置不連貫，跳來跳去等。這些由于應用層面防護不當造成的消息異常，也需要相應的手段進行檢測、挖掘，當車端的計算能力允許時，可以考慮綜合多源感知融合技術進行檢測。

圖2 異常行為管理體系整體架構

安全中間件層可能出現的異常行為比較直觀，是與證書和簽名驗證相關的異常行為。車輛廣播的SPDU被周圍車輛接收到后，會執行一系列的驗證操作。具體來說，有證書驗證、簽名驗證、證書有效期驗證、證書類型和權限與數據包內容所對應的類型和權限的匹配驗證等。其中，任何步驟驗證不通過，都屬于異常情況。這類問題可能是攻擊者篡改了消息本身，或者使用偽冒的證書等攻擊方式造成的。這類異常情況可以通過對消息本身的驗證分析就可以發現，不依賴于其它層面的信息支撐。相對來說，證書和簽名異常是一類比較容易發現的異常行為。

我國V 2 X通信在網絡層使用的D S M P協議[7]，與常見的IP協議有所不同，攻擊的細節也會有差別。但是，洪泛攻擊依然是這個層面的常見攻擊。這種類型的攻擊者其主要目的在于破壞或干擾正常服務，以致合法用戶無法使用，例如攻擊者故意向控制信道填充大量消息，因此V2X終端無法處理如此大量的消息，從而導致V2X通信異常[8]。

物理層面的攻擊行為也常有發生。例如，通過加大自身車輛V2X通信設備的發射功率，過多占用信道資源，導致其它車輛無法正常發送或接收V2X消息[9]。類似的物理層網絡攻擊，對V2X通信影響惡劣，周圍車輛也應對這類攻擊行為的車輛進行舉報。

V2X通信對異常行為檢測需要占用系統資源，特別是車端多個層面的異常檢測需要不同的軟件功能，當車端的算力和存儲資源受限時，對哪些異常進行檢測，對哪些模式進行匹配，要經過系統的規劃和全面的測試，以保證異常檢測所占用的系統資源不會影響V2X通信正常應用。

5 V2X通信異常行為分析判定與響應

由于各類異常行為具有不同的特點，因此使用檢測手段不盡相同。通過不同檢測手段收集到的信息其置信度可能存在差異，因此信息首先要進行匯聚，在按照一定的策略進行分析和判定，根據判定結果中異常行為的不同類型和不同危害程度啟動相應的管控措施。

車端發現的異常是其它車輛的異常，是通過舉報方式上傳報告給云端異常分析中心的。新的上報信息會與云端數據庫中存儲的以往上報信息進行比對，看是否已經有其它車輛舉報過該車，舉報的是否是同樣的異常情況。當數據庫中存在的舉報消息已經超過設定數量時，這些信息將被一同導入分析判定引擎。除了規定舉報信息的數量，也可以增加條件，例如一些舉報消息必須來源于不同的汽車廠家的車輛，這樣才會被認為是有價值的信息，可以參與分析判定的決策環節。云端檢測發現的是異常車輛本身的問題，通過其它方式，例如基于車輛上部署的探針搜集到的安全信息或者通過網絡流量分析得到的態勢感知信息也會定位到異常車輛本身。這些信息可以組合在一起，也可以進一步跟車端舉報信息相融合，高效地定位異常車輛，判斷其可能出現的安全問題。

分析判定可以有多種策略。例如，當認為所有的上報信息具有相等的價值時，判定類似于投票，通過比較當前舉報數量與設定的判定某種異常行為的最少票數進行比較，最終確定是否為異常。也可以為多種數據來源的信息設定權重，甚至對于不同車輛上傳的信息賦予不同的權重，權重高的信息對最終判定結果影響程度大，也稱為“信譽加權判定”。判定不僅僅給出車輛是否存在異常的結論，而且要給出具體是什么問題等詳細分析結果。這些結果將決定會采用什么措施應對車輛的異常。

V2X通信異常行為管理系統通常對判定為異常的情況采取吊銷車端注冊證書、吊銷車端假名證書等措施進行應對。注冊證書是車輛參與V 2 X通信的“身份證”，一旦發現車輛有異常行為，對其“身份證”進行撤銷，可以導致其無法繼續獲得假名證書，從而限制其參與V 2 X通信。吊銷注冊證書的列表只需下發給相應的PC簽發系統，這樣可以節省車端的資源開銷。當然，由于車輛已經獲得的假名證書依然有效，所以一段時間內該車輛還是能進行V2X通信，也可能進一步造成破壞。效果顯現更加迅速的處置方式是吊銷車輛已經獲取的假名證書，并將吊銷列表下發到車端。存在問題的車輛后續發出的V2X消息不再為其它車輛所采信，從而避免其繼續破壞V2X通信安全。當然，對于可能造成嚴重危害的車輛，異常管理中心也可以與云控管理平臺進行聯動，通過直接向車輛下發指令控制車輛行為。這種方式相對來說比較激進，要確保對異常行為判斷的準確性，同時下發指令時要結合車輛的工況，避免造成更加嚴重的傷害。

6 結束語

V2X通信異常行為管理是個覆蓋面廣，過程復雜的課題。在初步形成基于PKI的管理體系后[10]，很多問題還需要充分完善和詳細定義。首先，需要對異常行為的具體模式定義，就是滿足哪些條件的行為被認為是異常行為，從而車端會依據設定的模式對接收到的信息進行比對。這項工作十分重要，定義的過于嚴格或者過于寬松都會導致相應的網絡問題。其次，需要對舉報消息報文格式進行定義，當發現周圍車輛存在異常時，應按照什么格式，上報哪些數據才能準確高效的反映情況。這項工作涉及到對異常行為進行分類編號，對各類異常定義關鍵證據字段隨報告一起發送等[11]。全面清晰的定義需要以標準的形式公布，以便于各家車廠遵循。同時，應對措施與異常行為的對應關系需要明確，既要有強有力的控制手段，對網絡異常行為進行精準管控，不漏掉任何的異常情況；又可以維持整體V2X通信系統的穩定，免于大量誤報造成的混亂，使V2X通信能最大程度的提升出行安全和交通效率。期待本文構建的V 2 X通信異常行為管理體系能為后續的V2X通信異常行為管理的深入研究提供明晰的方向指引。