基于區塊鏈的危險駕駛地圖數據評估模型

陳 凱，徐 成，劉宏哲，代松銀

（1.北京聯合大學 北京市信息服務工程重點實驗室，北京 100101；2.北京聯合大學 機器人學院，北京 100101）

0 概述

近年來，汽車數量的急劇增加，給現有的交通系統帶來了巨大壓力。交通擁堵和交通事故的頻發，嚴重威脅人們的生命和財產安全。車聯網（Internet of Vehicle，IoV）［1］被公認為是從根本上解決車輛安全問題、遏制交通事故的有效途徑，通過在車與車之間、車與網絡設施之間建立通信，使得車輛能夠有效獲取交通環境信息，提前做出駕駛決策，從而提升交通安全和效率［2］。但如果車聯網中相關駕駛數據遭到竊取或者篡改，則會直接造成財產或生命損失。因此，如何防止車輛信息被修改，保證車聯網數據安全和共享是智能駕駛的關鍵。

區塊鏈是一種去中心化的數據庫存儲技術［3］，具有去中心化［4］、對等傳輸［5］、匿名性［6］、記錄不可逆性［7-8］等特性，可以有效地對加入區塊的數據可信度進行分析鑒別，確保數據可信、可用和可溯［9］。本文建立危險駕駛地圖數據評估模型，利用區塊鏈去中心化技術對車輛數據進行處理。針對單一車輛具體地圖運行數據采集上鏈［10］，根據車輛運行過程中遇到的不同危險場景進行危險評估［11］，利用自動化執行的智能合約［12］程序有效避免數據篡改［13］，通過全域集理論［14］構建輸入輸出模型，提升模型擴展性與適用性。

1 相關工作

車聯網應用越來越普遍［15］，但其網絡安全形勢日趨嚴峻［16］。針對車聯網中數據安全方面存在的問題，學者們對此進行了大量研究并取得了重要的成果。文獻［17］提出一個認證和安全的數據傳輸算法，在車聯網框架中使用區塊鏈技術，確保節點之間的信息通信。文獻［18］提出一種新的基于區塊鏈技術的車輛信息系統架構，保持分布式服務提供商之間的一致性，從而確保數據的完整性、車輛認證、隱私保護和無縫訪問控制。這種分散的區塊鏈框架適用于管理大規模車聯網數據，通過本地緩存策略可避免較長的事務時間限制。

1.1 數據隱私信息上鏈認證模型

信息數據通信是車聯網中的重要環節，節點之間的高效通信可避免發生交通事故。為了防止惡意活動，如篡改緊急消息或發送虛假信息，在網絡中只允許存在經過身份驗證［19］的節點。文獻［20］提出一個邊緣信任管理方案，使用開源平臺以太網區塊鏈建立分散式信任管理平臺，所有的響應單元以分布式方式工作，以維護一致的車輛信任數據庫并增強可靠性、可用性和一致性。車輛與車輛之間通過建立信任機制對車輛每次傳輸的數據進行準確性判斷，避免應用錯誤信息導致發生事故。文獻［21］提出一種匿名地址管理方案，將個人數據的控制分權，由AC 管理加密地址，由RS 管理解密私鑰，但雙方都沒有獲得真正的地址，只有在授權TP 訪問后，TP 提交加密地址給RS 并由其解密地址，才能得到真正的地址并執行TP 的數據請求，以此實現對個人數據的有效保護。

1.2 智能合約危險分析模型

車聯網建立了智能運輸應用程序，由于無線通信的開放性，使得傳輸信息資源的完整性、機密性和可用性容易被非法訪問所破壞，面臨相關IoV 應用的安全性威脅。文獻［22］提出一種新穎的基于危險預測的訪問控制模型RPBAC，該模型通過預測危險級別將訪問權限分配給節點。區塊鏈智能合約技術確保了數據傳輸過程中不被篡改，建立的危險評級使得車輛獲取到的數據可信可靠，根據數據進行車輛設備映射達到最終控制車輛的目的。文獻［23］利用智能邊緣鏈來實現對IoV 設備的訪問控制，為提高RPBAC 模型的精度，設計Wasserstein 復合GaN（WCGaN），解決了原GaN 中的梯度消失和模式崩潰問題，并優化了RPBAC 模型來規范車輛的行為。

本文的主要貢獻如下：1）基于智能合約技術建立網絡數據加密平臺，確保用戶個人信息及車輛運行數據安全，利用智能合約建立自動執行的合約程序，對車輛運行過程產生的數據進行信息上鏈，建立智能合約匿名系統，確保數據可信；2）為智能車地圖數據交互建立危險評估模型，在遭遇網絡攻擊、危險路段、惡劣天氣等場景時，根據環境因素以及被攻擊程度增高車輛安全評級，當車輛接收到的數據危險評級過高時根據具體情況對車輛實施減速慢行、停車等安全舉措。

2 基于區塊鏈的危險評估模型

表1 給出了本文使用到的符號及含義。每個參與者用戶先申請唯一性地址，當用戶駕駛車輛連入區塊鏈網絡時，將用戶個人信息、車輛運行數據、車輛環境信息和基站網絡信息先轉換為精確的位置坐標信息再匿名打包發布，智能合約對地圖數據進行處理，針對不同場景數據進行危險評估，當網絡受到攻擊時，發出應對指令。智能合約交易僅顯示地址交互，確保匿名性。交易信息進行區塊上鏈，區塊鏈同時提供能夠查詢交易的接口。

表1 相關符號及含義Table 1 Relevant symbols and meanings

將用戶數據和車輛運行數據進行非對稱加密，建立自動化智能合約腳本，對上鏈的區塊進行自動處理，將處理后的數據存入區塊鏈分布式賬本中，之后為每一個用戶建立賬本副本，將賬本副本借助Fabric 平臺發布到對應的每一個用戶中。

如圖1 所示，車輛危險駕駛地圖數據評估模型有五元組S構成，其中：A是模型輸入端數據，具體為用戶信息數據、地圖信息以及網絡基站傳輸的指令信息；B是模型映射環境，車輛信息加密后構成區塊，通過此過程將數據信息上鏈組成區塊鏈賬本；F是模型數據變換過程，區塊鏈賬本信息通過智能合約過程，自動化處理Hash 數據，對不同的地圖數據信息進行權重運算得到當前時刻地圖數據反饋的危險系數，對地圖數據進行危險分級并對應相應的危險系數，不同的危險系數將反饋不同的行為指令；D為模型數據轉換對應的表映射，危險評估結果通過此表結合當前車輛運行狀態將決策數據轉換為對應的安全態、平穩態、危險態，不同運行態將對應的車輛控制指令通過基站網絡傳輸到車輛實際控制層，數據表示為速度、方向、停止、運行等狀態；J是模型環境映射的滿意值，表示環境映射滿意值的界限范圍，智能合約腳本處理后將評估結果數據上鏈，將此滿意值也作為映射關鍵權重參與下一次迭代循環。

圖1 車輛危險駕駛地圖數據評估模型Fig.1 Evaluation model of vehicle dangerous driving map data

系統模型使用全域集理論定義如下：

用戶車輛信息非對稱加密后生成的Hash 值使用非對稱加密算法對數據進行加密解密，對數據明文A采用公鑰（n，e）進行加密，n和e是公鑰，加密后密文為Y，加密公式如下：

對密文Y采用私鑰（n，d）進行解密，n和d是私鑰，解密后明文為A，解密公式如下：

危險評估使用決定系數對模型進行擬合判斷，其中安全參數λ和時間t為決定系數，通過改變λ和t對危險值評估范圍進行調整，估算預測公式如下：

其中：yi表示車輛運行過程中獲取到的真實行為數據；表示某一時間段t中采集到的地圖信息數據的平均值；fi表示估算的數據；Sres表示估算數據與平均值的誤差；Stot表示真實數據與平均值的誤差。

2.1 數據采集信息匿名上鏈

信息匿名加密過程如圖2 所示。首先進行初始化，輸入安全參數λ，車輛本地和服務端分別生成一對加密和解密的公鑰和私鑰。在消息傳遞時獲取服務端公鑰，隨后使用橢圓曲線數字簽名加密算法（Elliptic Curve Digital Signature Algorithm，ECDSA）對信息進行非對稱加密，信息傳輸后分別使用私鑰進行解密，保證信息傳輸安全。車輛本地生成密鑰對K1和P1，服務端生成密鑰對K2和P2，本地通過非對稱加密算法使用服務端公鑰K2進行加密，傳輸后服務端使用私鑰P2進行解密。同理，服務端返回的數據使用K1進行加密，本地使用私鑰P1進行解密。

圖2 信息匿名加密過程Fig.2 Information anonymity encryption process

地圖數據匿名加密過程的偽代碼如算法1 所示。系統執行信息上鏈行為時，先對比λ值，若λ在安全范圍內，則進行數據上鏈行為。其中λ為安全參數，每次通過危險評估改變其數值，若網絡受到攻擊，則安全參數會適當下降，危險參數會上升。在消息傳遞時獲取服務端公鑰K1，然后用公鑰K1和制定的訪問策略T進行加密得到密文CCTK，最終將公鑰和加密后的密文暴露在區塊鏈網絡上，然后進行數據傳輸。具體實施過程為：用戶使用時需要注冊賬號作為交易的唯一性地址，在一個完整的行車過程中此地址作為車輛連接網絡的唯一憑證。用戶數據隱私信息以及某一時刻地圖信息使用ECDSA 封裝加密，服務端通過私鑰進行解密讀取數據信息。如果網絡被攻擊，則攻擊者只能獲取到公鑰，因此沒有私鑰逆運算進行解密，可有效防止密鑰泄露造成的數據信息損失。在每次加密后，數據信息與此刻時間戳建立數據ID，以便同一網絡能夠區分不同時間片的地圖數據信息。在循環添加區塊鏈網絡數據時，只需匹配用戶ID 降低認證時間成本。

算法1地圖數據匿名加密

2.2 危險評估過程

該模型進行以下2 種狀態的危險評估：1）環境危險態，車輛將要處于危險駕駛狀態，獲取到的地圖信息暴露出車輛即將遭遇危險；2）網絡攻擊態，區塊鏈共識過程中的其他節點收到的信息存在被修改的危險，該危險由網絡攻擊者攻擊區塊鏈引起。區塊鏈具有去中心化特點，不具備集中式數據庫修改方式，如果要修改區塊鏈信息則需要進行全網節點投票，需要大部分節點投票同意修改寫入區塊才能執行。自動化執行的智能合約腳本定期進行鏈上數據信息比較，將上一次模型處理數據與本次數據進行節點比對，計算節點修改率，如果節點修改率過高則視為有危險。

圖3 描述了數據進行自動化執行的智能合約過程，合約主要功能是根據輸入的不同數據判斷網絡安全性，并分析得到當前網絡數據的危險值，其中，①、②、③、④、⑤為數據傳輸的先后過程，直線箭頭表示智能合約中固定執行的邏輯，虛線箭頭表示根據評估結果需要動態調整修改率以便更新安全參數。

圖3 危險評估過程Fig.3 Danger evaluation process

智能合約執行過程的偽代碼如算法2 所示，其中輸入參數是區塊鏈上鏈數據。智能合約腳本首先對車輛傳輸的數據使用私鑰P2進行解密，然后對每次傳輸的區塊鏈節點進行修改率計算，如果節點修改率過高則視為危險場景，隨后判斷是否為社區投票進行的區塊鏈分叉行為，如果不是則判別為受到網絡攻擊，更新為網絡攻擊狀態attack。如果上鏈加密過程視為安全，則對數據進行危險預測，根據建立的預測模型，不同的輸入數據權重不同，然后通過式（6）計算出本次地圖信息的危險值，最后根據數據狀態和評估值映射轉換到本地車輛控制。

算法2智能合約執行

2.3 危險評估映射過程

危險評估映射過程的偽代碼如算法3 所示。根據智能合約獲取到危險值R和網絡攻擊狀態，將區塊鏈網絡中獲取的車輛地圖信息，根據危險值和網絡攻擊狀態以及表2 映射將數據轉換為車輛可執行的指令，對數據進行ECDSA 加密傳輸，本地車輛提供私鑰P1解密數據，根據參數權重計算評估數據，并更新安全參數λ，同時根據返回的車輛行為數據進行車輛控制。

表2 危險行為映射Table 2 Dangerous behavior mapping

算法3危險評估映射

在表2 中，不同危險值對應不同的安全狀態，不同的安全狀態會反饋給車輛不同的安全行為，其中，s表示每秒鐘車輛前進的距離，v表示車輛的瞬時速度，-max 表示車輛處于危險態，不受s和v參數影響而采取的緊急制動行為以確保車輛安全。

3 實驗過程與結果分析

3.1 節點通信方式

為防止區塊鏈網絡被惡意攻擊者隨意注冊節點，利用聯盟鏈Fabric 充當網絡環境，在加入節點前需要得到指定節點授權。使用的共識機制為拜占庭容錯，在實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）模型下，選擇一個擁有記賬權的主節點，其他節點作為備份節點。系統內的所有節點都相互通信，最終以少數服從多數的原則達成共識。如果記賬節點作惡，其他節點則會聯合起來替換記賬節點。隨后該區塊節點通過gPRC 消息傳遞機制將交易記錄轉發給區塊鏈網絡中的其他節點，2/3 的節點驗證通過后將交易存入到區塊鏈中。

3.2 數據上鏈與吞吐量性能比較

首先車輛用戶通過Fabric 申請加入節點權限，通過后保存節點ID 及相關個人與車輛信息進行車輛注冊。然后模型通過車載攝像頭采集道路圖片，利用深度學習算法對道路圖片分類，同時通過激光雷達確定道路環境信息以及障礙物信息，結合慣導系統對車輛進行精確定位獲取定位數據。將評估模型需要的參數數據進行加密上鏈，上鏈傳輸過程中特定車輛充當投票節點。對比具有2、4、8 個投票節點的3 組節點，令每組節點分別執行1 000 次評估事務，計算本文模型的區塊鏈網絡吞吐量如圖4 所示，其中，網絡吞吐量定義為從評估事務第一次部署開始每秒成功部署的評估事務數量，平均吞吐量為執行時間內的平均吞吐量。

圖4 網絡吞吐量比較Fig.4 Comparison of network throughput

從圖4 可以看出：對于評估1 000 個事務不同組節點的處理時間不同，即模型的吞吐量不同，隨著加入的投票節點增多，區塊鏈網絡需要轉發更新信息的節點增多，導致網絡評估模型的吞吐量降低。對于評估單組1 000 個事務，隨著評估事務數量的增長，吞吐量增長的速度也會下降，由此可以看出隨著區塊鏈評估事務數量不斷增多，區塊鏈網絡的平均吞吐量將變為某個常量。

3.3 危險場景預測與結果分析

使用MATLAB 工具Simulink 創建虛擬車輛，并采用轎車、卡車和公交車做對比實驗。選定固定地圖場景進行正常態車輛運行，記錄時間及模型評估結果，并對以下2 種危險場景進行模擬預測：1）網絡攻擊場景，在車輛運行過程中區塊鏈網絡接入算力更高的設備對評估車輛進行算力攻擊，算力高且成鏈速度快就能覆蓋測試車輛區塊鏈從而修改數據，通過此網絡攻擊來測試模型評估效果；2）障礙物場景，在車輛正常運行環境地圖中增添障礙物，使得車輛感知危險環境數據以此來測試模型評估效果。

圖5 是模擬仿真了3 種車輛在不同場景下的危險值結果，3 種車輛的變化趨勢大致相同，在受到攻擊后，車輛剎車躲避危險（即危險值為0）的速度為轎車比卡車快、卡車比公交車快，緣由為車輛質量越大導慣性較大，車輛減速或者剎車所需時間較長。從圖5 可以看出：網絡攻擊場景車輛危險值迅速提高，車輛狀態轉換為網絡攻擊態，車輛剎車停止運行；障礙物場景車輛危險值提高，車輛狀態轉換為環境危險態，車輛減速避開障礙物后恢復到正常態。實驗結果表明，基于本文模型，同一路段不同車輛在不同危險場景下能夠進行危險預測，準確評估網絡攻擊與環境危險并進行危險規避。

圖5 同一路段在不同危險場景下危險值隨時間的變化情況Fig.5 Variation of danger values with time under different danger scenarios in the same road section

4 結束語

本文通過對車聯網數據交互過程中受到的惡意攻擊及危險駕駛場景進行預測分析，構建基于區塊鏈技術的危險駕駛地圖評估模型。根據個人信息以及車輛駕駛途中產生的數據進行上鏈評估，使用智能合約技術保證數據傳輸安全性。針對傳輸數據進行危險評估，使得車輛在道路危險、網絡攻擊等場景下能進行應急處理，保障車輛安全運行。應用全域集理論對危險評估模型進行設計，將智能合約建立成獨立模塊，使得模塊與模塊之間只有數據輸入和輸出，并且通過修改獨立模塊即可建立新功能，增強了模型的普適性與健壯性。實驗通過設定不同危險場景驗證了該模型的可用性。下一步將對多車輛某段路程地圖數據進行危險評估，同時使用機器學習算法對危險評估模型進行優化，使車輛能夠自適應地圖道路環境，從而對不同危險場景進行評估預測。