◆马佳荣 李兰凤

（西安文理学院（西安）信息工程学院 陕西 710065）

0 引言

根据车联网（Vehicular Ad hoc Network， 简称VANET）的定义，车联网是以车内网、车际网和车载自组网为基础，依照约定的通信协议和数据交互标准，通过完成车与车、车与网络间的无线通信和信息交互，实现对交通的智能管理和控制的一体化网络[1]。车联网架构如图1所示。

图1 车联网系统架构图

车联网环境下，网络的安全性能[2]是保证系统正常运行的前提，为此，首先需要对车联网环境下的网络安全需求进行分析。考虑到影响网络安全的因素较为多样，本文从身份认证、完整性、机密性、可用性和接入可控五方面进行分析。

1 车联网安全需求分析

1.1 身份认证

作为最主要的一项网络安全需求，身份认证[3]对几乎所有系统具有普适性。对车联网而言，身份认证意味着需要多种信息进行确认：对传输节点而言，这些信息主要包括节点的ID信息和用户的授信；对发送的消息而言，则主要是指用户的授信、消息的属性和位置信息。上述认证信息中，用户授信直接控制车辆节点的授信等级，同时，用户授信能够通过为车辆节点指定ID从而避免Sybil攻击（一种通过虚构多个ID身份从而影响正常节点进行网络通信的攻击方式）。特别的，通过扩展外部机制，部分授信信息还可具备法律效力，成为举证非法攻击的法定证据。常见的认证方式主要有三种：

（1）ID认证：节点利用一个唯一的序列码对消息传输者身份进行认证，这一认证方式允许节点接入当前网络，认证过程能够较为轻易地对虚假节点进行识别。

（2）属性认证：属性认证用于确认通信实体类型，从而甄别当前通信实体为车辆节点、路侧单元或是其他设备。

（3）位置认证：当用户使用基于位置的应用时，位置认证对节点的位置信息进行认证。

1.2 完整性

完整性保证了消息在传输过程中不被随意更改。只有当接收方同发送方的消息内容一致时，接收方才能获取发送方正确的ID信息，从而对消息进行准确的回复。这一属性能够对未经认证的消息或被恶意篡改的消息进行识别，当接收方收到被损坏的消息，完整属性被破坏，当前通信协议即被视为存在缺陷。

为了实现完整性，系统需要对传输的消息内容进行信任确认，从而防止外部攻击者更改消息内容，外部攻击者的甄别主要通过身份认证进行。文献[4]设计的安全协议利用交通灯为消息附加签名，从而保证消息从发送方到目标节点不被更改。

1.3 机密性

不同通信实体进行通信时，为了防止外部攻击者理解通信内容，需要对消息进行加密处理。在车联网环境中，消息加密主要应用在部分特殊的应用场景，对不包含敏感信息的安全相关消息而言，没有进行加密的必要；对部分支付应用而言，由于通信实体需要通过 RSU建立接入互联网，同时支付过程包含大量用户隐私信息，则需要对整体通信过程进行多重加密处理。目前，常见的加密处理主要包括公钥加密和对称密钥。在V2I通信过程中，RSU和车辆节点在认证之后会共享会话密钥，消息传递过程中利用该密钥对消息连续加密，消息认证则主要使用MAC信息完成。

与此同时，车联网中还定义了不可否认性，参与通信过程的通信实体，对某一事件或指令进行声明之后，就无法对通信过程和传输的消息进行否认。这一特性可通过追踪事件或指令的认证信息，找出网络中的恶意攻击用户。

1.4 可用性

可用性主要是要求在制定通信协议时，通过设计一定的容错机制，保证通信网络和应用在遭遇错误或不当操作时，仍可进行基础的运行直到错误操作被移除。同时，可用性还能保证发送方向多个接收方发送信息，并协助完成特定消息在特定区域的限时发布。此外，这一属性还保证了部分协议资源的可用性，例如，通信过程中交换密钥时需要确认通信双方建立对话，因此当某一用户向服务器申请建立一个对话密钥时，服务器需要连续同用户确认双方持有可信的对话密钥。考虑到实时性对车联网环境下消息的重要性，在对可用性进行研究时，减少延迟亦是一个重要的研究内容。

1.5 接入可控

对部分敏感通信过程而言，由于其通信过程不得被其他网络节点获取，需要利用接入可控属性决定通信实体的角色和等级。这一属性需要结合相关的政策法规进行指定，同时。可以看到，身份认证也是控制接入的通信实体的一种方法。

2 结论

车联网环境下的网络安全与用户体验、用户安全息息相关，本文从身份认证、完整性、机密性、可用性和接入可控五个不同角度对车联网环境下的网络安全需求进行了分析，为未来有针对性的设计通信协议提供了思路。