車載云計算的隱私保護綜述

紀健全 姚英英 常曉林

摘 ? 要：車載云計算作為傳統云計算應用于智能交通系統的一項創新型技術，不但完善了車輛控制、信息娛樂等功能，而且實現了對車輛資源的動態整合與按需分配，滿足了用戶對高質量云服務的需求。然而，車載云計算在道路安全、智能駕駛等方面產生積極影響的同時，其隱私安全問題也逐漸顯現。文章介紹了車載云計算的基本架構以及隱私保護需求，同時分析了其基于隱私方面的潛在威脅與攻擊并總結解決方案，最后給出了車載云計算隱私保護的未來研究方向。

關鍵詞：車載云計算;隱私保護;安全威脅

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

Abstract： As an innovative technology of traditional cloud computing applied to intelligent transportation system， vehicular cloud computing not only improves the vehicle control， infotainment and other functions， but also realizes the dynamic integra-tion and demand assignment of vehicle resources and satisfies the requirement of users for high-quality cloud services. While vehicular cloud computing has a positive influence to road safety and intelligent driving， it also faces challenges in privacy-preserving. In this article， we introduce the basic architecture and privacy-preserving requirements of vehicular cloud computing， analyze its potential threats and attacks based on privacy， summarize the solutions， and finally give the future research direction of protecting privacy in vehicular cloud computing.

Key words： vehicular cloud computing;privacy protection;security threats

1 引言

作為智能交通系統發展的基礎，車輛自組網（Vehicle Ad hoc Network，VANET）[1]利用傳感器從周邊環境獲得信息，通過車對車（Vehicle-to-Vehicle，V2V）或車對基礎設施（Vehicle-to-Infrastructure，V2I）通信與相鄰車輛、路側單元（Road Side Unit，RSU）進行交互，從而提高道路交通的安全性。但隨著人們對高帶寬應用程序和復雜計算的需求，受硬件設備的限制，每臺車輛的物理資源十分有限，因此Olariu等人[2]提出將車載網絡、嵌入式設備和云計算相結合建立成為車載云，相鄰車輛利用RSU實現更多物理資源的共享。

車載云計算（Vehicular Cloud Computing，VCC）作為云計算應用于汽車行業的一次革新，它是將VANET與云計算相結合，通過系統中實體自組織形成云，將底層物理資源動態整合再分配，平衡資源限制，從而滿足信息存儲、車載計算、通信等服務需求。然而VANET[3]和云計算[4]的隱私安全問題并不會因技術的合并而改變。相反，因為車輛的高移動性，VCC還存在有其他的隱私安全挑戰。一方面，車輛可以隨時動態加入或離開，合法用戶和攻擊者有同等共享物理資源的權利，用戶無法有效地分辨出合法車輛資源與攻擊者偽裝車輛的惡意資源。另一方面，車輛內部的系統很可能泄露敏感信息，尤其是與位置相關的隱私數據。盡管現在假名和加密技術[5]被廣泛應用于生活中，但云成員之間的可信問題依然會產生極大的隱私挑戰。因此，研究人員在充分利用VCC的同時，解決隱私安全問題也至關重要。

本文首先介紹了VCC的基本架構，然后從三個方面對其隱私需求進行分析，之后介紹了目前針對VCC隱私安全方面存在的主要攻擊，并總結解決對策。最后描述了有待解決的問題和未來研究方向。

2 ?VCC架構

相較于一般云計算或移動云計算所具有的靈活性、可靠性、按需服務等特點，VCC服務不僅要確保云計算本身優點的強化，更需要有針對性的特征支持。Gu等人[6]將車載云架構分為兩層，底層的車載云根據適用的應用場景不同分為兩類：基于道路的車載云和基于停車場的車載云。第二層中心化云平臺則是對底層車載云數據的存儲和計算，以此實現更高效的資源部署。之后Ahmad等人[7]則是對車載網絡提出了三層云架構：車載云、基礎設施云與后端云。在車載云中，車輛的物理資源會在與其同組的成員汽車之間共享，而位于云外部的車輛無法獲得。基礎設施云則是由道路中大量的RSU對車輛的云服務訪問請求進行處理。后端云實質上代表了傳統的互聯網車載云，它擁有更強大的存儲和計算能力，同時可以覆蓋更廣闊的位置區域[8]，從而保證了用戶所需的高帶寬、大容量等要求。

本節中，通過區分對車載云網絡通信過程中基于的主要實體不同，將VCC架構分為兩部分進行介紹：基于車輛的云計算和基于基礎設施的云計算。如圖1所示，給出了一個VCC的基本架構。

（1） 基于車輛的云計算：車輛在利用內部傳感器在多種控制單元互聯的基礎上，與其他車輛之間通過專用短程通信技術（Dedicated Short Range Com-munication，DSRC）進行通信，并且在車輛之間形成自主云，以此達到使物理資源匯集再分配的目的，從而提升整個車輛對外界通信（Vehicle-to-Everything，V2X）的服務效率。相較于簡單的V2V通信，這種VCC使資源能夠動態自主加入并協同處理，車輛可以同時成為資源消費者和資源提供者，也可擇一為之，從而能更好的滿足對資源的彈性需求。但與此同時，因車輛的高移動性特點，云計算中會面臨不斷有車輛的加入或離開，因此VCC的隱私安全性受到了極大的挑戰。

（2）基于基礎設施的云計算：其主要表現為車輛通過無線通信技術與基礎設施進行通信，之后由基礎設施利用服務接入點與傳統意義上的互聯網云實現互聯。在實際應用中，道路上存在有大量的RSU（如智能交通信號燈、智能無限攝像機）等基礎設施，交通管理部門通過跟蹤RSU所反饋的道路信息，實時監控交通狀況，及時更改管制措施，并將結果通知給車輛。另一方面基礎設施也為車載云應用程序提供支持，通過幫助車載云與通信服務提供商進行交互，從而滿足大眾對于娛樂創新型、舒適性的需求和體驗。

3 ?VCC隱私需求分析

隨著智能交通系統的快速發展，越來越多的車輛加入其中。由計算機控制連接的車輛很容易受到隱私安全威脅。車載云的動態靈活性在方便資源協作的同時，也暴露出大量的潛在隱私問題。本節將從三方面：車載網絡、通信系統和云對VCC系統中的隱私需求進行分析。

（1）車載網絡

眾所周知，車輛內部包含有多種傳感器和控制單元，例如通信控制單元、全球定位系統設備等。現代汽車擁有超過70個嵌入式電子控制單元以實現各種功能，這些組件都是通過各種通信總線進行連接。然而將車輛內部組件進行互聯所產生的隱私安全問題卻一直被研究領域長期忽視。

1）車載數據的機密性：車載數據的記錄系統通常包含有加速、剎車以及駕駛員相關信息等數據。并且隨著大眾對于適用性、娛樂性需求的提高，車輛中導航設備、信息娛樂等相關軟件所采集到的駕駛員敏感數據，例如聯系人列表、瀏覽歷史、行車軌跡等私人信息往往會被人們所忽略。因此必須防止車載軟件未經授權的更新，以及對存儲在車載單元上的本地數據進行加密，防止惡意篡改。同時還要保證駕駛員主張數據修改、軟件更新等操作的真實性。并且，車載單元應檢測和驗證接收到的數據信息是否被惡意篡改。

2）車載通信的機密性：控制器局域網（Controller Area Network，CAN）作為各種網絡嵌入式控制系統的實際標準，同樣也成為汽車行業中主要應用的車載網絡媒體[9];但CAN通信協議并不能保證數據幀的機密性，Zheng等人[10]分析了針對車載網絡控制系統的安全威脅，總結了CAN可能面臨的拒絕服務、嗅探、弱訪問控制等安全挑戰。同時CAN網絡中每個節點都可以訪問總線上的數據，一旦攻擊者獲得對車輛通信的訪問權，就可以控制車輛的許多功能。因此，需要一種安全解決方案[11]，保護車輛內部和通信信道上的數據機密性和完整性。

（2）通信系統

VCC中通信系統主要指基于V2X通信，實現車輛、路側基礎設施等運輸實體的信息交互，從而將物理資源動態整合再分配。但基于云的多租戶性特點，共享無線通信信道給V2X帶來了巨大的隱私安全挑戰[12]。

1）通信數據的機密性：機密性要求確保發送和接收的數據信息已被正確加密，同時保證非經授權的用戶無法訪問信息。

2）授權：針對通信實體的不同，需要制定基于身份的授權機制和訪問控制策略。同時可以實施更有針對性的訪問規則，例如拒絕/允許特定實體訪問/讀取特定資源數據。

3）匿名與隱私保護：由于云計算對車輛動態位置等信息實現的可預測性，為保證駕駛員和乘客的信息安全，匿名機制的設定是有必要的，隱私是對設計個人信息、車輛身份的有力保障。但在緊急情況突發時，要保證對位置信息和駕駛員個人隱私信息的可追蹤性，從而做到有條件的匿名。

（3）云

VCC的部署將在很大程度上減少服務的提供時間和成本。但不同于單一的傳統互聯網云[13]，車載云的動態性和多租戶性等特點會給系統的隱私安全保護帶來額外挑戰。

1）數據的機密性：機密性保證只針對已授權實體開放數據信息，在確保合法實體能夠安全訪問數據的同時防止對未授權實體的隱私敏感信息泄露。

2）訪問控制：訪問控制機制的設定實現了對資源數據的訪問限制，其安全需求表現為識別和確認與云交互實體的合法身份，并且對合法實體授予其資源的訪問權限。

4 ?隱私安全攻擊

由于在VCC中，同一時間會有多個用戶共享多個計算資源，因此無法保證所有用戶的可信程度。攻擊者同樣擁有成為車載云用戶的權利，并實現共享同一物理機器的一部分。因此，針對車輛內部的車載網絡、V2X通信以及云，本節分別總結了其存在的隱私攻擊。

（1）針對車載網絡的隱私攻擊

現代汽車中，車輛的電子控制單元通過內部總線相互連接。而基于廣播通信協議的CAN總線技術被普遍應用于車載網絡中，這也導致了車輛內部攻擊面的形成。Woo等人[14]討論了一個實際的遠程無線攻擊，它基于受害者使用被安裝了惡意自診斷應用程序的智能手機連接車載環境。惡意應用程序通過移動無線網絡向攻擊者傳輸CAN數據幀，從而使攻擊者可以觀察到目標車輛的CAN狀態，并向車輛發送異常CAN數據幀。被破壞的電子控制單元可以竊取身份信息并進行重放攻擊。該攻擊模型識別出車載CAN中弱訪問控制、無加密等漏洞。

Checkoway等人[15]檢測發現攻擊者往往可以通過車載免提電話記錄數據信息，之后利用連接的即時聊天軟件通道竊取數據;并且很容易做到對車輛位置信息的捕獲，從而實現對特定車輛私人對話的竊聽。

（2）針對通信系統的隱私攻擊

1）位置跟蹤攻擊

位置信息的隱私問題隨著普適計算的發展而日益嚴重。每個車輛所帶有的唯一車牌也使得其位置隱私受到限制。Cruickshanks等人[16]針對道路上監控系統可能會對車輛人員信息帶來負面影響展開討論。同時，交通系統中應用的車牌自動識別技術所提取的信息允許在多種應用程序中使用[17]，這些都給車輛隱私帶來一定程度的安全威脅。

除此之外，攻擊者可以主動部署竊聽站，遠程監控一定區域內的無線電收發器，從而達到竊取車輛位置信息的目的，同時與位置數據相關的隱私威脅[18]也會暴露在外。攻擊者還可以通過設置位置跟蹤系統，自動記錄車輛行車軌跡和人員信息。通過分析活動路線、工作地點等數據可以更深入獲知駕駛員敏感信息。

2）機密性攻擊

攻擊者通過一段時間的網絡監聽，收集現有車輛的有效信息，確定消息類型和頻率，當用戶沒有察覺到存在未授權訪問時，攻擊者可以對收集到的信息加以利用，從而破壞了網絡通信過程中信息的機密性。

（3）針對云的隱私攻擊

由于車載云的多租戶性，當用戶與多個車載云用戶共享同一物理資源時，用戶無法獲知數據在云中的存儲位置，導致用戶不能保護和信任數據的機密性，從而使隱私安全受到了極大挑戰。Vaquero等人[19]主要針對云的多租戶性特點，分析其安全風險和相關解決方案的現狀，最終發現系統大多使用訪問控制和加密技術來實現對虛擬化數據中心的隱私保護。

與此同時，在云計算中機密性不只是針對于車載云用戶的保密信息，同時也包含在共享物理基礎設施上創建的虛擬機及軟件應用程序的數據信息。用戶通過服務提供商提供的應用程序接口（Application Programming Interface，API）實現與車載云應用程序的交互，但由于API的自身缺陷和惡意人員的存在，攻擊者便可以在訪問車載云服務以此損害其機密性[20]，亦或者因為應用程序自身存在的漏洞，攻擊者可以實現對機密數據的未授權訪問。

5 ?常見隱私保護對策

（1）基于車載網絡的隱私保護對策

Woo等人[15]提出了一種針對CAN的安全協議，對每個電子控制單元分別使用基于哈希的消息驗證碼和高級加密標準（Advanced Encryption Standard，AES）128位算法對生成的CAN數據幀進行認證和加密，并且支持安全高效的密鑰分發機制，每次會話中的加密和身份認證密鑰都保證定期更新。李超贏等人[21]針對CAN總線中信息的機密性和完整性，提出在原有的CAN總線中嵌入包含有認證和加密功能的新層。通過采用對稱加密算法和一次一密加密方案，保證數據的機密性。

（2）基于通信系統的隱私保護對策

針對位置隱私攻擊，Memon等人[22]提出使用動態假名信任管理方案，一旦車輛完成初始化，便可以自主生成動態假名，從而可以縮短假名的有效期，以此保護用戶隱私。Lin等人[23]則是提出了一種高效的社會層輔助分組轉發協議，通過在日常社交場所部署大量的RSU，使它們形成虛擬社交層。通信過程中發送的數據包首先在社交層被轉發和傳播，一旦接收者訪問了地點，即可成功接收。

針對機密性攻擊，匿名是應用于隱私信息保護的主要方法。P?tzmann等人[24]將匿名定義成為“一種不可識別的狀態”，而在通信過程中這種狀態則是通過假名來實現。Petit等人[5]對基于V2X通信過程的匿名和假名方法做了全面的闡述。基于非對稱密碼加密和公鑰基礎設施的假名方案是車輛通信過程中隱私保護的主要方案[25];除此之外，常見方法還有基于屬性加密[26]、基于身份加密[27]、群簽名方案[28]等。

（3）基于云的隱私保護對策

VCC的實現主要基于虛擬化技術，為防止底層虛擬機被惡意攻擊者控制，身份認證和限制訪問能力等技術被普遍應用。Hiroyuki等人[29]論述了身份訪問管理技術對底層物理資源的保護作用。

此外，API作為云服務提供商與用戶之間的接口，針對其安全問題，Bendiab[30]提出了一種改進的訪問控制機制。除了利用“用戶名-密碼”的方式驗證身份信息以外，該機制使用令牌和基于屬性的訪問控制模型來保護云API。

同時，為防止內部人員對云提供商實施數據竊取攻擊。Vamsi Krishna等人[31]提出了一種結合分布式系統框架與攻擊誘餌技術的方法，通過監控云中數據發現存在未授權訪問時，云會向攻擊者發送大量誘餌信息，從而防止用戶的真實數據被濫用。

6 ?開放性問題

VCC中用戶的數據被存儲在其無法控制的車載資源上，與此同時，在快速移動的車輛之間資源被不斷地進行動態共享，這使得合法用戶對云中私人數據的可控程度明顯降低。VCC的開放性使攻擊者可以成為系統的一部分，同時無法確定內部人員的可信程度，一個惡意的內部人員很可能對存儲在云上的隱私數據進行未授權的訪問與使用。此外，存在于無線通信信道上的竊聽者也會收集隱私信息，并且基于VCC的敏感數據往往與位置信息緊密相連。然而，針對目前龐大的交通體系，應用于隱私保護方案的匿名和假名技術很難為每個車輛用戶提供足夠的假名。無論是資源提供者還是資源租用者，其私人數據的隱私保護問題都有待進一步研究解決。

7 ?結束語

VCC作為VANET與云計算的融合，實現了車載資源的動態按需部署，通過形成更強大的存儲和計算平臺，以滿足車載用戶日益增長的服務需求。然而，在共享資源領域內的隱私安全問題日益嚴重，同時VCC的潛在安全威脅并沒有因技術的融合而減少，反而因為車輛的高機動性、資源的動態整合面臨巨大挑戰。本文描述了VCC的基本架構及隱私需求。同時，介紹了基于隱私安全方面的潛在威脅與攻擊，并總結目前的解決對策。盡管用于VANET和云計算領域中的解決方案對VCC的隱私保護依然有效，但仍需要提出針對于VCC自身特性的保護方法。最后，本文給出了未來的研究方向。

基金項目：

國家自然科學基金“聯合基金項目”： 動靜協同的惡意代碼智能分析方法研究（項目編號：U1836105）。

參考文獻

[1] Khilar P M， Bhoi S K. Vehicular communication： a survey[J]. IET Networks， 2014， 3（3）：204-217.

[2] Olariu S， Khalil I， Abuelela M. Taking VANET to the clouds[J]. International Journal of Pervasive Computing & Communica-tions， 2011， 7（1）：7-21.

[3] Engoulou R G， Bellaiche M， Pierre S， Quintero A. VANET security surveys[J]. Computer Communications， 2014， 44：1-13.

[4] 鄧宇珊. 探究云計算之安全問題[J]. 網絡空間安全， 2018， 9（09）：78-81.

[5] Petit J， Schaub F， Feiri M， Kargl F. Pseudonym Schemes in Ve-hicular Networks： A Survey[J]. IEEE Communications Surveys & Tutorials， 2015， 17（1）：228-255.

[6] Gu L， Zeng D， Guo S. Vehicular cloud computing： A survey[C]. ?Globecom Workshops. IEEE， 2014.

[7] Ahmad F， Kazim M， Adnane A， Awad A. Vehicular Cloud Net-works： Architecture， Applications and Security Issues[C]. 8th IEEE/ACM International Conference on Utility and Cloud Computing （UCC）. ACM， 2015.

[8] Yu R， Zhang Y， Gjessing S， Xia W， Yang K. Toward cloud-based vehicular networks with efficient resource management[J]. IEEE Network， 2013， 27（5）：48-55.

[9] Guo S. The application of CAN-bus technology in the vehicle[C]. ?2011 International Conference on Mechatronic Science， Electric Engineering and Computer （MEC）， Jilin， 2011： 755-758.

[10] Zheng X， Pan L， Chen H， Wang P. Investigating Security Vul-nerabilities in Modern Vehicle Systems[C]. International Conference on Applications & Techniques in Information Se-curity. Springer， Singapore， 2016.

[11] Wampler D， Fu H， Zhu Y. Security Threats and Countermeasures for Intra-vehicle Networks[C]. Fifth International Conference on Information Assurance & Security. IEEE， 2009.

[12] Kaur N， Kad S. A Review on Security Related Aspects in Ve-hicular Adhoc Networks[J].Procedia Computer Science， 2016， 78：387-394.

[13] Shariati S M， Ahmadzadegan M H. Challenges and security issues in cloud computing from two perspectives： Data security and privacy protection[C]. International Conference on Knowledge-based Engineering & Innovation. IEEE， 2016.

[14] Woo S， Jo H J， Lee D H. A Practical Wireless Attack on the Connected Car and Security Protocol for In-Vehicle CAN[J].IEEE Transactions on Intelligent Transportation Systems， 2014， 16（2）：1-14.

[15] Checkoway S， Mccoy D， Anderson D， et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[C]. Proceedings of the USENIX Security Symposium 2011. USENIX Association， 2011.

[16] Cruickshanks S， Waterson B. Will Privacy Concerns Associated with Future Transport Systems Restrict the Publics Freedom of Movement？[J].Procedia Social & Behavioral Sciences， 2012， 48：941-950.

[17] Ahmad I S， Boufama B， Habashi P， Anderson W， Elamsy T. Au-tomatic license plate recognition： A comparative study[C]. IEEE International Symposium on Signal Processing & Information Technology. IEEE， 2015.

[18] Krumm J. Inference attacks on location tracks[C]. Pervasive Computing， 5th International Conference， PERVASIVE 2007， Toronto， Canada， May 13-16， 2007， Proceedings. DBLP， 2007.

[19] Vaquero L M， Rodero-Merino L， Daniel Morán. Locking the sky： a survey on IaaS cloud security[J]. Computing， 2011， 91（1）：93-118.

[20] Alani M M. Security Threats in Cloud Computing[M]. Elements of Cloud Computing Security. Springer International Publishing， 2016.

[21] 李超贏， 李秦偉. CAN總線中的一種安全協議[J]. 計算技術與自動化， 2018， v.37; No.146（02）：83-87+126.

[22] Memon I， Mirza H T. MADPTM： Mix zones and dynamic pseu-donym trust management system for location privacy[J]. In-ternational Journal of Communication Systems， 2018， 31（1）： e3795.

[23] Lin X， Lu R， Liang X， Shen X. STAP： A social-tier-assisted packet forwarding protocol for achieving receiver-location privacy preservation in VANETs[C]. INFOCOM， 2011 Proceedings IEEE. IEEE， 2011.

[24] Pfitzmann A， Marit K?hntopp. Anonymity， Unobservability， and Pseudonymity — A Proposal for Terminology[C]. International Workshop on Designing Privacy Enhancing Technologies. 2000.

[25] Sivakumar T， Nidhin A S. A Survey on Pseudonym Management Scheme in Vehicular Ad-Hoc Networks[J]. Indian Journal of Innovations and Developments， 2016， 5（6）：1-4.

[26] Cui H， Deng R H， Wang G. An Attribute-Based Framework for Secure Communications in Vehicular Ad Hoc Networks[J]. IEEE/ACM Transactions on Networking， April 2019， 27（2）： 721-733.

[27] He D， Zeadally S， Xu B， Huang X. An Efficient Identity-based Conditional Privacy-preserving Authentication Scheme For Vehicular Ad-hoc Networks[J]. IEEE Transactions on Information Forensics and Security， 2015， 10（12）：2681-2691.

[28] Zhu X， Jiang S， Wang L， Li H. Efficient Privacy-Preserving Au-thentication for Vehicular Ad Hoc Networks[J]. IEEE Transactions on Vehicular Technology， 2014， 63（2）：907-919.

[29] Hiroyuki S， Atsushi K， Shigeaki T. Building a security aware cloud by extending internal control to cloud[J]. Autonomous De-centralized Systems （ISADS）， 2011 10th International Sympo-sium on. IEEE， 2011： 323–326.

[30] Bendiab M. A Novel Access Control Model for Securing Cloud API[C]. International Conference on Networking & Advanced Systems， 2015.

[31] Vamsi Krishna K， Srikanth V. Securing cloud by mitigating insider data theft attacks with decoy technology using Hadoop[J]. International Journal of Engineering & Technology， 2018， 7（2.31）.