智能網(wǎng)聯(lián)汽車已成為現(xiàn)代運(yùn)輸問題的潛在解決方案。廣泛的采用智能網(wǎng)聯(lián)汽車可以通過減少排放和能源消耗來減少環(huán)境惡化，同時(shí)通過提高效率、交通流量、道路安全和交通可達(dá)性以及其他好處提供有益的經(jīng)濟(jì)和社會(huì)成果。但是，智能網(wǎng)聯(lián)汽車的成功運(yùn)作及其對(duì)社會(huì)的影響在很大程度上取決于其管理和解決與之相關(guān)的風(fēng)險(xiǎn)。其中很重要的一個(gè)風(fēng)險(xiǎn)就是網(wǎng)絡(luò)安全。如果對(duì)安全運(yùn)營至關(guān)重要的通信網(wǎng)絡(luò)不能防止黑客攻擊，那么智能網(wǎng)聯(lián)汽車將面臨主要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

本文首先介紹有關(guān)智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全問題的背景，以及不同國家對(duì)相關(guān)問題的解決策略。然后介紹現(xiàn)有的一種網(wǎng)絡(luò)風(fēng)險(xiǎn)分類框架。最后總結(jié)了三種解決智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全問題的新技術(shù)，為智能網(wǎng)聯(lián)汽車相關(guān)問題的解決提供新的技術(shù)方向。

1 研究背景及現(xiàn)狀

1.1 背景[1]

隨著智能網(wǎng)聯(lián)汽車在我們的生活中越來越普及，無數(shù)的擔(dān)憂和法律問題也越來越多，解決這些問題將使消費(fèi)者對(duì)這一新興技術(shù)的信心產(chǎn)生巨大影響。一些最重要的方面涉及智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全問題。

在汽車中采用日益復(fù)雜的技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)主要問題。在智能網(wǎng)聯(lián)汽車出現(xiàn)之前，網(wǎng)絡(luò)安全就成了影響人類駕駛汽車的一個(gè)緊迫問題。黑客已經(jīng)證明了一種無線抓取車輛控制并通過汽車軟件和網(wǎng)聯(lián)系統(tǒng)遠(yuǎn)程控制的能力。那些有惡意的人可以通過藍(lán)牙、遙控門鎖系統(tǒng)、手機(jī)信號(hào)或汽車與外界建立的任何無線連接找到進(jìn)入路徑。惡意軟件攻擊關(guān)鍵的汽車部件，如剎車和變速器，可以不知不覺地被引入汽車經(jīng)銷商的汽車系統(tǒng)。隨著各種數(shù)字系統(tǒng)和便利設(shè)施的不斷增加，尤其是無人駕駛汽車，這種非法進(jìn)入的方法只會(huì)增加。雖然攻擊汽車仍然很困難，需要一定程度的物理訪問或?qū)ζ嚦绦蜻M(jìn)行長時(shí)間的艱苦研究，但汽車收集和使用的大量數(shù)據(jù)有很大的價(jià)值，這使得黑客鋌而走險(xiǎn)。該數(shù)據(jù)可包括由車輛存儲(chǔ)或由機(jī)載應(yīng)用程序使用的許多類型的信息。隨著無人駕駛汽車在汽車市場(chǎng)的發(fā)展和“物聯(lián)網(wǎng)”加入主流，這些汽車將只存儲(chǔ)和傳輸更多數(shù)據(jù)，包括生活方式信息、信用卡使用和醫(yī)療記錄，從而使其成為黑客有吸引力的目標(biāo)。

1.2 不同國家現(xiàn)有解決策略[2]

解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的常用方法包括制定與無人駕駛車輛相關(guān)的立法、進(jìn)一步研究無人駕駛車輛和所有車輛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及提供指導(dǎo)方針。英國和新加坡等一些政府也開始向公眾宣傳網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，而日本和韓國政府尚未表明其解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的意圖。

在美國，聯(lián)邦政府已采取措施探索車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并提出了管理特定于無人駕駛車輛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的建議。2012年，美國國家公路交通安全管理局（NHTSA）成立了一個(gè)新部門，研究“復(fù)雜、互聯(lián)、電子車輛系統(tǒng)的安全性和可靠性”，并成立了一個(gè)電子委員會(huì)，以加強(qiáng)整個(gè)NHTSA組織關(guān)于車輛電子和網(wǎng)絡(luò)安全的協(xié)作。最近，NHTSA發(fā)布了無人駕駛車輛開發(fā)和自動(dòng)駕駛系統(tǒng)指南的非強(qiáng)制性建議，鼓勵(lì)各實(shí)體根據(jù)相關(guān)組織制定的標(biāo)準(zhǔn)設(shè)計(jì)其無人駕駛車輛系統(tǒng)。在美國，最近出臺(tái)的間諜車法案解決了車輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，該法律包含防止車輛遭到黑客攻擊的規(guī)定。

歐盟采取了各種策略來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2016年8月，歐盟頒布了第一份歐盟范圍內(nèi)的網(wǎng)絡(luò)安全立法：“關(guān)于網(wǎng)絡(luò)和信息系統(tǒng)安全的指令”。2014年8月，歐盟數(shù)據(jù)保護(hù)工作組強(qiáng)調(diào)了物聯(lián)網(wǎng)潛在的安全風(fēng)險(xiǎn)，2016年12月，歐盟網(wǎng)絡(luò)和信息安全局發(fā)布了聯(lián)網(wǎng)車輛網(wǎng)絡(luò)安全的最佳實(shí)踐指南，包括傳統(tǒng)和無人駕駛車輛，提高對(duì)這些問題的認(rèn)識(shí)并提供指導(dǎo)。

新加坡采取多元化的方法來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、修改立法、咨詢不同的利益相關(guān)者，并教育公眾了解這些風(fēng)險(xiǎn)。2017年4月，新加坡政府修訂了2017年6月生效的“計(jì)算機(jī)濫用和網(wǎng)絡(luò)安全法案”，規(guī)定個(gè)人使用“非法從計(jì)算機(jī)獲取”的個(gè)人信息并獲取“黑客工具”或促進(jìn)犯罪。政府已采取措施加強(qiáng)對(duì)此類風(fēng)險(xiǎn)的響應(yīng)，并將與這些風(fēng)險(xiǎn)相關(guān)的成本降至最低。

另一方面，日本和韓國政府沒有提供任何關(guān)于管理與無人駕駛車輛或網(wǎng)絡(luò)系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法。2017年，韓國政府修訂了“機(jī)動(dòng)車管理法”。但是，該法律不包括任何有關(guān)網(wǎng)絡(luò)安全的規(guī)定。同樣，日本沒有修改立法或提供有關(guān)解決一般網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或特殊安全信息系統(tǒng)風(fēng)險(xiǎn)的指導(dǎo)方針。

雖然德國、法國和英國政府尚未修改或引入任何有關(guān)網(wǎng)絡(luò)安全的新立法，但他們已采取措施提高對(duì)無人駕駛車輛相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)識(shí)。德國政府于2015年9月成立了有關(guān)無人駕駛車輛相關(guān)問題的工作組，其中包括網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)，這是其“自動(dòng)和網(wǎng)聯(lián)駕駛”國家戰(zhàn)略的一部分。同樣，法國政府在2016年成立了工作組，以解決與無人駕駛車輛相關(guān)的社會(huì)問題，其中一個(gè)問題涉及安全問題。

英國應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法似乎旨在提高認(rèn)識(shí)，增強(qiáng)國家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的長期抵御能力，建設(shè)國家的網(wǎng)絡(luò)安全行業(yè)，其中包括關(guān)注無人駕駛車輛。2017年4月，英國科技聯(lián)合會(huì)從政府創(chuàng)新機(jī)構(gòu)“創(chuàng)新英國”獲得了資金，以開發(fā)一種無人駕駛車輛行業(yè)可用于確保無人駕駛車輛系統(tǒng)在其整個(gè)生命周期內(nèi)滿足所需網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的方法。英國還實(shí)施了《2016-2021年國家網(wǎng)絡(luò)安全戰(zhàn)略》，該戰(zhàn)略的重點(diǎn)是到2021年促進(jìn)研究并加強(qiáng)英國在這一領(lǐng)域的地位。政府還于2016年10月成立了國家網(wǎng)絡(luò)安全中心，為解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供指導(dǎo)。

2 網(wǎng)絡(luò)風(fēng)險(xiǎn)分類框架[3]

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)風(fēng)險(xiǎn)是保險(xiǎn)公司、監(jiān)管機(jī)構(gòu)特別關(guān)注的問題，需要采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。網(wǎng)絡(luò)風(fēng)險(xiǎn)是指由于信息技術(shù)系統(tǒng)的某種故障而給組織聲譽(yù)造成的財(cái)務(wù)損失、中斷或損害的風(fēng)險(xiǎn)。由于持續(xù)的數(shù)字創(chuàng)新，強(qiáng)化全球連通性和黑客日益復(fù)雜化，網(wǎng)絡(luò)風(fēng)險(xiǎn)本質(zhì)上是動(dòng)態(tài)的。技術(shù)創(chuàng)新的快速發(fā)展，相關(guān)風(fēng)險(xiǎn)暴露的可能性以及缺乏歷史索賠數(shù)據(jù)使得網(wǎng)絡(luò)風(fēng)險(xiǎn)成為保險(xiǎn)公司承保的復(fù)雜現(xiàn)象。然而，隨著智能網(wǎng)聯(lián)汽車的出現(xiàn)，賭注隨著人類生命損失威脅的擴(kuò)大而增加。

要使智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)風(fēng)險(xiǎn)分類框架有效，它必須能夠適應(yīng)風(fēng)險(xiǎn)的動(dòng)態(tài)變化性質(zhì)，并在新威脅出現(xiàn)時(shí)發(fā)生變化。傳統(tǒng)的反應(yīng)模型通常無法在低容量和不同數(shù)據(jù)的環(huán)境中進(jìn)行預(yù)測(cè)。本研究中開發(fā)的貝葉斯網(wǎng)絡(luò)（BN）模型使用NVD（National Vulnerability Database）來學(xué)習(xí)圖形結(jié)構(gòu)并訓(xùn)練參數(shù)。由于能夠?qū)崿F(xiàn)車輛連通性和自主性的技術(shù)仍在不斷發(fā)展，因此很少有經(jīng)驗(yàn)證據(jù)表明對(duì)智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)攻擊。但是，分析軟件漏洞的演變并使這些信息適應(yīng)智能網(wǎng)聯(lián)汽車范例，可以為汽車制造商（OEM）、供應(yīng)商和保險(xiǎn)公司提供主動(dòng)風(fēng)險(xiǎn)分析和評(píng)估?？紤]到網(wǎng)絡(luò)事件的可利用性和潛在影響，作者研究中的BN捕獲了系統(tǒng)對(duì)網(wǎng)絡(luò)威脅的漏洞。隨后對(duì)所有系統(tǒng)漏洞的綜合聚合可用于確定總體智能網(wǎng)聯(lián)汽車風(fēng)險(xiǎn)評(píng)分。BN圖形框架還可以用作有效的可視化機(jī)制，以便向非專業(yè)利益相關(guān)者傳達(dá)有關(guān)如何維護(hù)和提高其網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)級(jí)的建議。

圖1說明了Parkinson等人在2017年總結(jié)的一些基本的網(wǎng)絡(luò)攻擊類型。

圖1 網(wǎng)絡(luò)攻擊類型、攻擊向量（或模式）和CAV攻擊面的概述[3]

作者提出了一種基于網(wǎng)絡(luò)安全態(tài)勢(shì)對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行分類的方法。對(duì)提議的BN網(wǎng)絡(luò)風(fēng)險(xiǎn)分類模型進(jìn)行了準(zhǔn)確性測(cè)試，并應(yīng)用于智能網(wǎng)聯(lián)汽車GPS系統(tǒng)。這種方法的優(yōu)點(diǎn)是它允許使用專家意見，使用其貝葉斯性質(zhì)固有的信念更新附加定量和定性信息。專家判斷用于BN圖形結(jié)構(gòu)的初始構(gòu)建和模型的案例研究應(yīng)用。來自NVD的定量和定性信息用于使用機(jī)器學(xué)習(xí)方法來改進(jìn)BN結(jié)構(gòu)和參數(shù)。即使在未知完整詳細(xì)信息的情況下，該模型也可用于聚合已知漏洞和潛在漏洞。針對(duì)汽車電氣和電子系統(tǒng)的當(dāng)前汽車專用功能安全標(biāo)準(zhǔn)（ISO 26262）進(jìn)行了評(píng)估，該標(biāo)準(zhǔn)與智能網(wǎng)聯(lián)汽車對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的適用性有關(guān)。

作者建議將CVSS軟件漏洞評(píng)分機(jī)制作為智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的合適標(biāo)準(zhǔn)化框架。作者使用來自CVSS評(píng)分并包含在NVD中的88 438個(gè)已知漏洞的數(shù)據(jù)，并且可以利用此先前證據(jù)來預(yù)測(cè)知識(shí)差距或潛在的新網(wǎng)絡(luò)漏洞。因此，它可用于網(wǎng)絡(luò)風(fēng)險(xiǎn)情景分析，并用于反向設(shè)計(jì)新智能網(wǎng)聯(lián)汽車支持技術(shù)的適當(dāng)風(fēng)險(xiǎn)級(jí)別。BN模型本質(zhì)上是動(dòng)態(tài)的，并且可以在新信息可用時(shí)調(diào)整其參數(shù)或結(jié)構(gòu)。因此，BN可以每天更新，并在NVD內(nèi)報(bào)告新的漏洞，從而實(shí)現(xiàn)主動(dòng)和即時(shí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。

3 防止網(wǎng)聯(lián)攻擊的新技術(shù)

目前國際上防止網(wǎng)聯(lián)攻擊的主要工具包括網(wǎng)聯(lián)攻擊的實(shí)時(shí)監(jiān)測(cè)與估計(jì)、基于遞推貝葉斯估計(jì)、專用安全硬件和ECDH（Elliptic Curver Diffic-Hellman）算法的車輛網(wǎng)絡(luò)安全預(yù)防措施。

3.1 拒絕服務(wù)攻擊的實(shí)時(shí)檢測(cè)與估計(jì)[4]

為了提高安全性和可靠性，先進(jìn)的車輛控制系統(tǒng)必須能夠抵御網(wǎng)絡(luò)攻擊。設(shè)計(jì)這種攻擊彈性控制系統(tǒng)的第一步是檢測(cè)網(wǎng)絡(luò)攻擊的發(fā)生。在現(xiàn)有文獻(xiàn)中對(duì)聯(lián)網(wǎng)車輛的建模、控制和穩(wěn)定性分析進(jìn)行了充分研究。然而對(duì)于聯(lián)網(wǎng)車輛的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)檢測(cè)的問題仍未得到充分研究。網(wǎng)絡(luò)攻擊由于其威脅人類生命和安全的嚴(yán)重后果而需要引起重大關(guān)注。然而，很少有關(guān)于聯(lián)網(wǎng)車輛的網(wǎng)絡(luò)安全性的研究，更具體地說是協(xié)作自適應(yīng)巡航控制。

在網(wǎng)聯(lián)的車輛系統(tǒng)中可能存在多種形式的網(wǎng)絡(luò)攻擊，例如：

（1）拒絕服務(wù)（DOS）：攻擊者使網(wǎng)絡(luò)忙于虛假請(qǐng)求，因此網(wǎng)絡(luò)無法處理合法請(qǐng)求；

（2）虛假數(shù)據(jù)注入：攻擊者試圖通過修改其有效載荷來影響傳輸數(shù)據(jù)包的完整性；

（3）重播攻擊：攻擊者攔截系統(tǒng)的數(shù)據(jù)并重新傳輸它，同時(shí)降低系統(tǒng)功能。

在本研究工作中，作者專注于DOS攻擊，這是通信網(wǎng)絡(luò)和網(wǎng)絡(luò)物理系統(tǒng)（CPS）中最常見的攻擊之一。很少有文獻(xiàn)從控制導(dǎo)向的角度探討CPS中的DOS。在本研究中，作者試圖解決有關(guān)聯(lián)網(wǎng)車輛中DOS攻擊檢測(cè)和估計(jì)的研究差距。本研究的主要貢獻(xiàn)是面向控制的連接車輛系統(tǒng)診斷框架，它能夠：

（1）對(duì)未知時(shí)間延遲的DOS攻擊進(jìn)行建模；

（2）檢測(cè)DOS攻擊的發(fā)生，以及

（3）提供攻擊效果的估計(jì)。

本研究中所涉及到的DOS攻擊的實(shí)時(shí)檢測(cè)與估計(jì)方案如圖2所示：根據(jù)研究中提及的公式，診斷問題是檢測(cè)延遲參數(shù)τ何時(shí)非零，如果是，則估計(jì)τ的值。DOS檢測(cè)模塊在車輛i-1中實(shí)現(xiàn)。車輛i-1可以訪問以下信息：

圖2 DOS攻擊檢測(cè)和估計(jì)方案[4]

（1）由后方雷達(dá)測(cè)量的di（t）和vi（t）車輛i-1和

（2）ai-1（t）直接在車輛i-1中測(cè)量。注意，這些測(cè)量不受DOS攻擊發(fā)生的影響。該方案由一個(gè)基于模型的觀測(cè)器組成，由車輛i觀測(cè)器表示。根據(jù)可用的測(cè)量值和模型，車輛I觀察員檢測(cè)發(fā)生的情況并估計(jì)延遲τ的大小，主要內(nèi)容包括：

（1）檢測(cè)DOS的發(fā)生，以及

（2）估計(jì)其對(duì)連接的車輛系統(tǒng)的影響。

擬議方案的主要目標(biāo)是跟蹤信息處理的延遲。該方案由一組通過滑模理論和自適應(yīng)觀測(cè)器理論設(shè)計(jì)的觀測(cè)器組成。最后，仿真證明了該方法的性能以及該方案在幾種形式的不確定性下的魯棒性。

3.2 基于遞歸貝葉斯估計(jì)的主動(dòng)威脅檢測(cè)[5]

目前，正在開發(fā)生產(chǎn)的智能網(wǎng)聯(lián)汽車在內(nèi)置安全方面并不盡如人意。遞歸貝葉斯估計(jì)優(yōu)于監(jiān)督機(jī)器學(xué)習(xí)，用于可比較的旅行路線和實(shí)際運(yùn)動(dòng)模式的未來狀態(tài)的實(shí)時(shí)預(yù)測(cè)建模。本研究著眼于當(dāng)前分析和行為分析方法的相關(guān)工作，并討論了它們對(duì)主動(dòng)威脅檢測(cè)的缺點(diǎn)或適用性。如果實(shí)現(xiàn)反應(yīng)時(shí)間的顯著改善，可以阻止惡意攻擊，以消除預(yù)期的傷害?？梢圆扇》e極主動(dòng)的立場(chǎng)，而不是當(dāng)前的重新激活解決方案，以便盡早預(yù)測(cè)在攻擊鏈中發(fā)生網(wǎng)絡(luò)安全威脅。為了證明這種行為分析方法可以作為網(wǎng)絡(luò)防御的基準(zhǔn)，本研究將以網(wǎng)聯(lián)汽車的特定場(chǎng)景為例展示該技術(shù)，從中可以推斷出該方法具有潛力且適合用于陸地或空中運(yùn)輸?shù)囊话銘?yīng)用。

威脅預(yù)測(cè)技術(shù)可以利用諸如漏洞和現(xiàn)有攻擊圖等環(huán)境因素，或通過量化隱私或匿名等合并的安全原則來解決問題。許多預(yù)測(cè)模型基于遞歸貝葉斯估計(jì)，也稱為貝葉斯濾波器。其他提議利用數(shù)據(jù)融合框架，在智能代理的幫助下演示非對(duì)稱和自適應(yīng)威脅的檢測(cè)，其中預(yù)測(cè)方法基于分散的Makov（隨機(jī)）游戲模型。此外，內(nèi)部威脅預(yù)測(cè)是惡意企圖行為如何與合法行為融合的一個(gè)有趣的行為（圖3）?？傊?，網(wǎng)聯(lián)汽車中的網(wǎng)絡(luò)威脅檢測(cè)和預(yù)測(cè)應(yīng)考慮所提方法的適用性?？紤]混合方法，將不同的預(yù)測(cè)方法集成到安全框架中以將遠(yuǎn)程網(wǎng)絡(luò)黑客的特定案例應(yīng)用于主動(dòng)方法也是有用的。

網(wǎng)聯(lián)汽車應(yīng)該能夠抵御網(wǎng)絡(luò)攻擊。當(dāng)防御失敗時(shí)，適當(dāng)?shù)姆磻?yīng)是由檢測(cè)方法觸發(fā)的。隨著網(wǎng)絡(luò)劫持和路線改變的具體場(chǎng)景，遠(yuǎn)程黑客的威脅建模被強(qiáng)調(diào)為一種潛在的危險(xiǎn)入侵，并且已經(jīng)確定行為分析和剖析可以解決這一缺陷。本研究通過使用貝葉斯估計(jì)技術(shù)的行為分析概念，提出了一種主動(dòng)異常檢測(cè)網(wǎng)絡(luò)威脅預(yù)防的方法，并對(duì)其進(jìn)行了仿真，驗(yàn)證了該方法能顯著提高系統(tǒng)的恢復(fù)能力，并減少監(jiān)督機(jī)器學(xué)習(xí)預(yù)測(cè)新惡意意圖所需的時(shí)間成本。網(wǎng)聯(lián)汽車已被選為研究的一個(gè)使用案例，專注于網(wǎng)絡(luò)物理系統(tǒng)的子集，并使用特定的網(wǎng)絡(luò)劫持方案進(jìn)行行為分析。通過對(duì)兩個(gè)城市之間的路線的數(shù)據(jù)集進(jìn)行采樣以及包括傳感器數(shù)據(jù)的運(yùn)動(dòng)模式（應(yīng)用統(tǒng)計(jì)方法和技術(shù)）來利用定量研究設(shè)計(jì)。通過抽樣，看出可以主動(dòng)識(shí)別與正常路線的偏差，這是傳統(tǒng)反應(yīng)解決方案的重要改進(jìn)。每個(gè)配置文件都是針對(duì)特定汽車創(chuàng)建的。

該領(lǐng)域未來的工作包括開發(fā)一個(gè)集成系統(tǒng)，該系統(tǒng)采用優(yōu)化方法，基于包含多輛汽車和駕駛員的現(xiàn)場(chǎng)研究。這將有助于通過糾正措施整合系統(tǒng)，以識(shí)別與外部因素相關(guān)的異常。一旦確定，這種外部不確定性可用于通過更好的貝葉斯預(yù)測(cè)來提高性能。

圖3 內(nèi)部威脅預(yù)測(cè)模型[5]

3.3 基于專用安全硬件和ECDH算法的車輛網(wǎng)絡(luò)安全研究[6]

車輛網(wǎng)絡(luò)安全由兩部分組成。一部分是車輛與外部實(shí)體（如路邊、其他車輛、云和行人）之間的安全通信。第二種是車載安全通信。在安全的V2X通信中，外部實(shí)體的身份應(yīng)當(dāng)在與車輛構(gòu)建會(huì)話信道時(shí)進(jìn)行驗(yàn)證，同時(shí)還需要確保消息的機(jī)密性和完整性。在安全的車載通信中，不應(yīng)竊聽消息并防止重放攻擊。這意味著不允許未經(jīng)授權(quán)的ECU在CAN總線中廣播，這兩部分是相關(guān)的。通常，當(dāng)黑客想要遠(yuǎn)程攻擊車輛時(shí)，他首先掃描并利用V2X通信中的漏洞來連接遠(yuǎn)程信息處理單元，然后他試圖控制車載ECU并發(fā)起甚至控制車輛的攻擊，我們認(rèn)為這是最危險(xiǎn)的情況。

專用安全硬件將在汽車內(nèi)部和外部安全通信中發(fā)揮重要作用。當(dāng)車輛與外部實(shí)體連接或構(gòu)建可信計(jì)算環(huán)境時(shí)，TPM（可信平臺(tái)模塊）可以作為安全基石?；谧C書存儲(chǔ)，密鑰推導(dǎo)和完整性測(cè)試等功能，作者研究了如何在具有遠(yuǎn)程信息處理單元的車輛中構(gòu)建可信環(huán)境的原理。HSM（硬件安全模塊）可以幫助安全快速地實(shí)現(xiàn)車載加密通信，從而保護(hù)數(shù)據(jù)。對(duì)于某些由HSM組成的AURIX MCU，實(shí)驗(yàn)結(jié)果表明，更便宜的32位HSM的AES計(jì)算速度是32位主控制器的25倍，因此HSM是實(shí)現(xiàn)網(wǎng)絡(luò)安全的有效選擇。在比較了兩種實(shí)現(xiàn)CAN通信安全的現(xiàn)有方法后，提出了一種改進(jìn)的SECURECAN方案，并分析了這三種方案的不同之處。

（1）本研究中的SECURECAN是AUTOSAR規(guī)范的一部分。它旨在執(zhí)行完整性驗(yàn)證并防止重放攻擊。CAN幀分為三部分，4個(gè)字節(jié)用于消息值，2個(gè)字節(jié)用于截?cái)嗟腗AC值，2個(gè)字節(jié)用于截?cái)嗟男迈r度值。新鮮度值可用于驗(yàn)證身份，從而防止重放攻擊。通過使用消息和新鮮度值來計(jì)算MAC以驗(yàn)證完整性。

優(yōu)點(diǎn)和不足：通過SECURECAN協(xié)議，可以防止數(shù)據(jù)被篡改和重放攻擊，但數(shù)據(jù)可以被竊聽。然而它仍然是這樣設(shè)計(jì)的，因?yàn)樽顕?yán)重的情況是黑客控制ECU或作為授權(quán)的發(fā)送器ECU假裝在不適當(dāng)?shù)臅r(shí)間重放執(zhí)行器的命令。如果使用SECURECAN通信，則可以防止上述情況。

（2）密碼CAN意味著所有8字節(jié)CAN幀都是密碼數(shù)據(jù)，因?yàn)锳ES算法需要至少16字節(jié)輸入，所以需要兩幀來執(zhí)行一次加密或解密。

優(yōu)點(diǎn)和不足：密碼CAN通信可以防止竊聽，這意味著它實(shí)現(xiàn)了保密性。但它無法阻止重放攻擊。但是通過其他措施，我們可以增加重播攻擊的難度。

（3）改進(jìn)的SECURECAN。測(cè)試SECURECAN和密碼CAN的平均幀生成時(shí)間。本研究提出了一種改進(jìn)的SECURE CAN通信類型。改進(jìn)的SECURE CAN和SECURE CAN之間的差異在于改進(jìn)的SECURE CAN使用AES密碼作為MAC而不是AES-CMAC，因此有助于提高加密速度。圖4中顯示了差異。

圖4 改進(jìn)的安全CAN和安全CAN之間的差異[6]

作者的研究結(jié)果表明，考慮到通信時(shí)間和重放攻擊和竊聽等攻擊，改進(jìn)的SECURECAN通信在實(shí)際應(yīng)用中具有更多優(yōu)勢(shì)。在安全系統(tǒng)中，密鑰派生和管理是一個(gè)關(guān)鍵問題。在比較了RSA和ECC算法的計(jì)算效率后，提出了一種基于ECDH算法實(shí)現(xiàn)一次性填充的改進(jìn)密鑰導(dǎo)出方案。實(shí)現(xiàn)3個(gè)ECU之間的密鑰推導(dǎo)，并測(cè)試推導(dǎo)時(shí)間。

4 結(jié)束語

隨著智能網(wǎng)聯(lián)汽車的不斷發(fā)展，網(wǎng)絡(luò)安全問題也逐漸被人們所重視。本文首先介紹了相關(guān)問題的背景，然后總結(jié)了不同國家現(xiàn)有的解決策略，主要是制定與智能網(wǎng)聯(lián)汽車相關(guān)的立法、進(jìn)一步研究智能網(wǎng)聯(lián)汽車和所有車輛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及提供指導(dǎo)方針。然后介紹了一種基于網(wǎng)絡(luò)安全態(tài)勢(shì)對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行分類的方法，從而實(shí)現(xiàn)主動(dòng)和即時(shí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。最后總結(jié)了三種現(xiàn)有的解決智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全問題的新技術(shù)，包括拒絕服務(wù)攻擊的實(shí)時(shí)檢測(cè)與估計(jì)技術(shù)、基于遞歸貝葉斯估計(jì)的主動(dòng)威脅檢測(cè)，以及基于專用安全硬件和ECDH算法的車輛網(wǎng)絡(luò)安全研究。隨著人們對(duì)智能網(wǎng)聯(lián)汽車的深入認(rèn)識(shí)與研究，網(wǎng)絡(luò)安全問題也會(huì)得到進(jìn)一步控制與解決。