吳新開(kāi), 陳恒威, 王朋成

(1.北京航空航天大學(xué)交通科學(xué)與工程學(xué)院, 北京 100191； 2.北京航空航天大學(xué)大數(shù)據(jù)科學(xué)與腦機(jī)智能高精尖創(chuàng)新中心,北京 100191； 3.北京航空航天大學(xué)網(wǎng)絡(luò)空間安全學(xué)院, 北京 100191)

汽車(chē)智能化、網(wǎng)聯(lián)化是當(dāng)前汽車(chē)行業(yè)發(fā)展的重要方向, 智能網(wǎng)聯(lián)汽車(chē)之間可以依靠通信技術(shù)進(jìn)行數(shù)據(jù)交換, 同時(shí)還可以利用傳感器(例如相機(jī)、激光雷達(dá)、毫米波雷達(dá))對(duì)周?chē)h(huán)境進(jìn)行充分感知, 結(jié)合通信數(shù)據(jù)和傳感器對(duì)環(huán)境的感知結(jié)果, 汽車(chē)會(huì)采取相應(yīng)的決策和控制策略[1-3]. 現(xiàn)今, 汽車(chē)電子系統(tǒng)已經(jīng)成為汽車(chē)的核心構(gòu)成, 車(chē)聯(lián)網(wǎng)系統(tǒng)也是依靠汽車(chē)電子系統(tǒng)聯(lián)網(wǎng)實(shí)現(xiàn)的, 由于網(wǎng)絡(luò)環(huán)境的開(kāi)放性, 聯(lián)網(wǎng)過(guò)程中汽車(chē)可能會(huì)遭受網(wǎng)絡(luò)攻擊, 例如信息篡改、病毒入侵、惡意代碼植入等[4-6]. 據(jù)國(guó)外安全調(diào)研公司Upstream Security發(fā)布的2020年《汽車(chē)網(wǎng)絡(luò)安全報(bào)告》顯示, 自2016年至2020年1月, 汽車(chē)網(wǎng)絡(luò)安全事件的數(shù)量增加了605%, 由此可知, 針對(duì)智能網(wǎng)聯(lián)汽車(chē)安全控制策略研究已經(jīng)刻不容緩.

關(guān)于網(wǎng)聯(lián)汽車(chē)信息安全問(wèn)題, 各國(guó)開(kāi)展了不同程度的研究. 英國(guó)諾丁漢大學(xué)的He等[7]根據(jù)網(wǎng)絡(luò)攻擊的特點(diǎn)和攻擊路徑, 將攻擊進(jìn)行了分類(lèi). 新加坡科技大學(xué)Cui等[8]梳理了針對(duì)車(chē)聯(lián)網(wǎng)的攻擊類(lèi)型, 并根據(jù)數(shù)據(jù)的安全需求進(jìn)行了分類(lèi), 包括針對(duì)數(shù)據(jù)真實(shí)性、完整性、機(jī)密性的攻擊. 在智能網(wǎng)聯(lián)汽車(chē)或車(chē)隊(duì)控制方面, 學(xué)者們也進(jìn)行了一系列研究, 例如Xiao等[9]研究了3種通信拓?fù)浣Y(jié)構(gòu)下的車(chē)隊(duì)穩(wěn)定性, 研究表明不同的通信拓?fù)浣Y(jié)構(gòu)會(huì)顯著影響車(chē)輛的穩(wěn)定性. Castiglione等[10]針對(duì)車(chē)載控制器局域網(wǎng)絡(luò)(controller area network，CAN)總線未使用加密通信的問(wèn)題, 提出了一種輕量級(jí)分組密碼來(lái)保護(hù)車(chē)輛通信安全. Koscher等[11]展示了攻擊者通過(guò)滲透車(chē)輛控制系統(tǒng)來(lái)繞過(guò)一系列的安全防護(hù)機(jī)制, 進(jìn)而可以對(duì)車(chē)輛實(shí)施惡意攻擊.

綜合現(xiàn)有文獻(xiàn)研究, 現(xiàn)有的智能網(wǎng)聯(lián)汽車(chē)安全防護(hù)研究主要偏向于通信過(guò)程的加密和保護(hù), 而對(duì)通信數(shù)據(jù)真實(shí)性的研究較少. 簡(jiǎn)單來(lái)講, 數(shù)據(jù)的真實(shí)性也即通信數(shù)據(jù)是否正確或者是否處于合理范圍內(nèi). 對(duì)于智能網(wǎng)聯(lián)汽車(chē)跟車(chē)行駛而言, 通信數(shù)據(jù)中的重要信息是車(chē)輛動(dòng)力學(xué)信息, 智能網(wǎng)聯(lián)汽車(chē)實(shí)現(xiàn)高可靠性的關(guān)鍵是充分了解周?chē)?chē)輛動(dòng)態(tài)信息并及時(shí)做出最優(yōu)決策, 那么實(shí)現(xiàn)最優(yōu)決策的重中之重就是能否準(zhǔn)確獲得周?chē)?chē)輛的動(dòng)態(tài)信息, 動(dòng)態(tài)信息包括但不限于速度、位置、加速度、航向角、轉(zhuǎn)向角度、換道或超車(chē)意圖信息, 其中他車(chē)動(dòng)力學(xué)信息(加速度、速度、位移等)對(duì)于本車(chē)采取相應(yīng)的控制策略至關(guān)重要. 因此, 本文選擇從交通微觀視角研究網(wǎng)絡(luò)攻擊下車(chē)輛的異常駕駛行為以及對(duì)周?chē)?chē)輛帶來(lái)的影響.

車(chē)輛隊(duì)列是路網(wǎng)交通流的縮微模型, 具有交通流的一些特征，如車(chē)間距、平均車(chē)速等, 研究網(wǎng)絡(luò)攻擊下的車(chē)輛隊(duì)列, 能對(duì)未來(lái)研究路網(wǎng)交通提供一定幫助. 另外, 很多學(xué)者針對(duì)車(chē)輛隊(duì)列提出了大量的理論和模型, 尤其是研究網(wǎng)絡(luò)攻擊下的車(chē)輛駕駛行為, 往往也是以車(chē)輛隊(duì)列為研究對(duì)象的. 例如, Petrillo等[12]總結(jié)了能夠?qū)?chē)輛隊(duì)列產(chǎn)生影響的攻擊如欺騙、篡改、拒絕服務(wù)(denial of service，DoS)和脈沖傳輸攻擊等, 并描述了這些攻擊對(duì)協(xié)同自適應(yīng)巡航控制(cooperative adaptive cruise control，CACC)車(chē)隊(duì)交通行為的影響. Schoitsch[13]的研究同樣表明黑客能夠篡改速度和位置信息, 影響交通的穩(wěn)定性和安全性. Dadras等[14]通過(guò)仿真實(shí)驗(yàn)分析了網(wǎng)絡(luò)攻擊給車(chē)隊(duì)行駛造成的追尾事故. 可見(jiàn), 車(chē)輛動(dòng)力學(xué)信息被惡意攻擊可能會(huì)嚴(yán)重危害駕駛安全. 因此, 本文從車(chē)輛動(dòng)力學(xué)信息出發(fā), 研究針對(duì)智能網(wǎng)聯(lián)汽車(chē)的信息安全控制方法, 使其能夠抵御或緩解網(wǎng)絡(luò)攻擊給行車(chē)安全帶來(lái)的影響.

綜上, 如何確保車(chē)輛動(dòng)力學(xué)信息的正確性對(duì)于網(wǎng)聯(lián)車(chē)輛隊(duì)列的行駛穩(wěn)定性有重要影響. 本文以車(chē)輛通信系統(tǒng)中動(dòng)力學(xué)信息為出發(fā)點(diǎn), 提出了一種基于動(dòng)力學(xué)參數(shù)閾值的異常信息檢測(cè)與基于DNA雙螺旋結(jié)構(gòu)的雙鏈修復(fù)機(jī)制, 通過(guò)對(duì)本車(chē)的動(dòng)力學(xué)信息進(jìn)行校驗(yàn), 從而保證通信系統(tǒng)發(fā)出的信息是正確的, 以此來(lái)保障車(chē)隊(duì)行駛的穩(wěn)定性. 同時(shí), 為了驗(yàn)證該機(jī)制的有效性, 文中也構(gòu)建了仿真場(chǎng)景, 實(shí)驗(yàn)表明該機(jī)制在理論上可以保障車(chē)隊(duì)的行駛安全.

1 智能網(wǎng)聯(lián)汽車(chē)技術(shù)與安全威脅

1.1 智能網(wǎng)聯(lián)汽車(chē)通信拓?fù)浣Y(jié)構(gòu)

智能網(wǎng)聯(lián)汽車(chē)通信系統(tǒng)由移動(dòng)無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)組成, 每個(gè)車(chē)輛都是一個(gè)通信節(jié)點(diǎn), 車(chē)輛間通過(guò)無(wú)線通信技術(shù)進(jìn)行數(shù)據(jù)交換. 隨著5G通信的普及應(yīng)用, 當(dāng)前的智能網(wǎng)聯(lián)汽車(chē)普遍開(kāi)始采用5G/蜂窩車(chē)聯(lián)網(wǎng)(cellular vehicle-to-everything，C-V2X)多模式通信方式進(jìn)行信息交互. 由于車(chē)輛的通信網(wǎng)絡(luò)是實(shí)時(shí)動(dòng)態(tài)開(kāi)放的, 因此網(wǎng)聯(lián)車(chē)隊(duì)的通信拓?fù)浣Y(jié)構(gòu)是復(fù)雜多樣的, 事實(shí)上, 車(chē)輛的通信拓?fù)浣Y(jié)構(gòu)有多種, 不同的通信方式所采用的車(chē)輛控制模型也是不一樣的. 比如Zheng等[15]描繪了6種典型的通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 包括前車(chē)跟隨式、前車(chē)- 領(lǐng)航者跟隨式、雙向跟隨式、雙向- 領(lǐng)航者跟隨式、雙前車(chē)跟隨式、雙前車(chē)- 領(lǐng)航者跟隨式等. 為了直觀地研究威脅信息傳播帶來(lái)的影響, 本文采用前車(chē)跟隨式的車(chē)輛控制方式, 從通信拓?fù)浣Y(jié)構(gòu)上來(lái)看, 也即單跳單播信息傳播方式.

單跳單播是從信息發(fā)送端來(lái)定義的, 它指的是本車(chē)(發(fā)送端)發(fā)出的信息只傳輸給最近鄰后車(chē). 具體的傳播形式如圖1所示.

圖1 單跳單播通信結(jié)構(gòu)

圖1中：Δxn表示第n-1輛車(chē)與第n輛車(chē)的位移差, 且Δxn=xn-1-xn；Ln表示第n輛車(chē)的長(zhǎng)度；Δsn+1表示第n車(chē)與第n+1車(chē)的間距, 且Δsn+1=xn-xn+1-Ln.在單跳單播拓?fù)浣Y(jié)構(gòu)下, 每輛車(chē)(領(lǐng)頭車(chē)除外)都在接收其最近鄰前車(chē)的動(dòng)力學(xué)信息, 包括速度、位移、加速度.

1.2 潛在的安全威脅

車(chē)聯(lián)網(wǎng)系統(tǒng)可以分為感知層、網(wǎng)絡(luò)層、應(yīng)用層, 本文主要研究網(wǎng)絡(luò)層面的信息安全防護(hù).網(wǎng)絡(luò)層的主要任務(wù)是接收信息和發(fā)送數(shù)據(jù), 相鄰車(chē)之前通過(guò)收發(fā)數(shù)據(jù)來(lái)了解相互的運(yùn)動(dòng)狀態(tài)信息(例如前車(chē)是否在加速等).車(chē)輛的內(nèi)部網(wǎng)絡(luò)(例如CAN總線)和傳感器(例如全球定位系統(tǒng)(global position system,GPS))可能會(huì)受到網(wǎng)絡(luò)攻擊, 從而將錯(cuò)誤信息傳遞給其他車(chē)輛或者造成本車(chē)定位信息出錯(cuò), 這就會(huì)對(duì)汽車(chē)的駕駛行為產(chǎn)生誤導(dǎo), 異常的駕駛行為就會(huì)影響區(qū)域內(nèi)的交通情況, 造成交通擁堵或者交通事故.針對(duì)GPS傳感器和CAN總線的攻擊如圖2所示.事實(shí)上, 針對(duì)車(chē)聯(lián)網(wǎng)的安全威脅多達(dá)數(shù)10種, 眾多學(xué)者的分類(lèi)依據(jù)和標(biāo)準(zhǔn)不盡相同.

圖2 典型網(wǎng)絡(luò)攻擊案例

例如，Sun等[16]依據(jù)是否直接攻擊車(chē)內(nèi)網(wǎng)絡(luò)，將所有攻擊劃分為兩大類(lèi)，并詳細(xì)闡述了17種攻擊類(lèi)型；Loukas等[17]概述了27種攻擊類(lèi)型.由于本文重點(diǎn)闡述所提出的檢測(cè)與控制方法，并驗(yàn)證其有效性.為便于研究，基于本文作者前期的工作[18]，本文將產(chǎn)生相同或相似后果的攻擊劃分為一類(lèi)，因此，本文主要研究可以產(chǎn)生虛假信息的攻擊類(lèi)型，如數(shù)據(jù)篡改、數(shù)據(jù)偽造、GPS欺騙等.

本文以數(shù)據(jù)篡改攻擊為例，模擬威脅信息對(duì)網(wǎng)聯(lián)車(chē)隊(duì)的影響.在車(chē)輛通信交互過(guò)程中，傳遞的動(dòng)力學(xué)信息主要包括速度vn(t)、位移xn(t)、加速度an(t)，不失一般性，本文假設(shè)威脅信息攻擊環(huán)境下，車(chē)輛的動(dòng)力學(xué)信息發(fā)生的變化[19-20]為

(1)

1.3 交通流基礎(chǔ)模型

跟馳模型是交通流理論的重要組成部分，它描述的是微觀駕駛行為變化，例如在單行道上前車(chē)運(yùn)動(dòng)狀態(tài)發(fā)生變化后對(duì)后車(chē)的影響，以及后車(chē)應(yīng)該采取的駕駛行為.

車(chē)輛跟馳模型最初是由Reuschel[21]和Pipes[22]提出的，之后延伸出一系列相關(guān)模型，包括Gazis-Herman-Rothery[23-24](GHR)模型、安全距離模型[25-28]、線性模型[29-31]、優(yōu)化速度模型(optimal velocity,OV)[32-37]和智能駕駛模型(intelligent driver model,IDM)[38-39]等.其中，IDM因其能夠簡(jiǎn)潔而精確地描述車(chē)輛及交通行為而被廣泛應(yīng)用.IDM最初是由德國(guó)斯圖加特大學(xué)Treiber等[39]提出的，隨后研究人員對(duì)此做了大量的改進(jìn)和應(yīng)用.例如，香港城市大學(xué)Jia等[40]將經(jīng)典IDM模型應(yīng)用于描述自適應(yīng)航控制(adaptive cruise control,ACC)車(chē)隊(duì)控制系統(tǒng)，研究了基于物理- 網(wǎng)絡(luò)層結(jié)構(gòu)的車(chē)隊(duì)之間的網(wǎng)絡(luò)連通性問(wèn)題; 美國(guó)加利福尼亞大學(xué)Milanes等[41]分別將傳統(tǒng)ACC控制器模型、CACC一致性控制模型和IDM控制模型應(yīng)用于實(shí)車(chē)實(shí)驗(yàn)，分析了3種模型給車(chē)輛穩(wěn)態(tài)造成的影響及其優(yōu)缺點(diǎn)；克萊姆森大學(xué)Malinauskas[42]將IDM模型用于ACC車(chē)輛控制模型，并且分析了車(chē)輛的駕駛行為；同濟(jì)大學(xué)Li等[43]改進(jìn)了經(jīng)典IDM，用于描述聯(lián)網(wǎng)協(xié)同車(chē)隊(duì)的駕駛行為，并探究了穩(wěn)態(tài)條件下交通行為.使用不同的跟馳模型得出的研究結(jié)果會(huì)存在不同程度的差異，Kanagaraj等[44]對(duì)IDM等4種跟馳模型在不同交通狀態(tài)下的應(yīng)用效果進(jìn)行了對(duì)比，研究表明在穩(wěn)態(tài)下，IDM模型相比于其他3個(gè)模型對(duì)汽車(chē)速度的估計(jì)值相對(duì)實(shí)際值偏差較小，并且也能給出合理的道路通行能力、臨界密度等.

因此，本文采用IDM模型來(lái)刻畫(huà)車(chē)輛的駕駛狀態(tài).經(jīng)典的IDM公式[39]為

(2)

式中:s*表示期望間距；s0表示嚴(yán)重?fù)矶聲r(shí)的車(chē)頭間距；sn代表第n輛車(chē)與第n-1輛車(chē)的間距；T表示安全車(chē)頭時(shí)距；an(t)表示第n輛車(chē)的加速度；a、b分別表示期望加速度和期望減速度值；vn表示第n輛車(chē)的速度；v0代表最大速度；Δvn表示速度差，且Δvn=vn-vn-1.

為了求出加加速度關(guān)于時(shí)間的函數(shù)，對(duì)式(2)進(jìn)行求導(dǎo)

(3)

可以看出，IDM參數(shù)簡(jiǎn)潔，也已經(jīng)被廣泛應(yīng)用到交通領(lǐng)域研究中.此外，本文研究的是網(wǎng)絡(luò)攻擊對(duì)穩(wěn)定狀態(tài)下車(chē)輛駕駛影響，選用以IDM為基礎(chǔ)的車(chē)輛隊(duì)列運(yùn)行更貼近交通穩(wěn)定狀態(tài)，所以最終選用IDM作為仿真和理論基礎(chǔ).

1.4 改進(jìn)的IDM

由于經(jīng)典IDM即式(2)中沒(méi)有考慮前車(chē)加速度信息，為使模型能夠用于同時(shí)校驗(yàn)速度、位移和加速度，借鑒Li等[43]、Shladover等[45]和Li等[46]的研究工作，本文將經(jīng)典的IDM模型擴(kuò)展成

(4)

式中:λ為權(quán)值系數(shù)；τ為通信延遲.可以看出，當(dāng)網(wǎng)聯(lián)車(chē)隊(duì)達(dá)到穩(wěn)定狀態(tài)時(shí)，前車(chē)加速度為0，式(4)退化為經(jīng)典IDM；當(dāng)前車(chē)加速時(shí)，后車(chē)會(huì)考慮前車(chē)加速度大小不斷調(diào)整加速度.

在異常修復(fù)機(jī)制中，式(4)將用來(lái)計(jì)算下一時(shí)刻IDM校驗(yàn)鏈中的車(chē)輛動(dòng)力學(xué)參數(shù).但如果不進(jìn)行修復(fù)，公式進(jìn)一步轉(zhuǎn)化為

(5)

比較式(4)和式(5)可以看出修復(fù)與不修復(fù)的區(qū)別.在無(wú)網(wǎng)絡(luò)攻擊下，式(4)與式(5)將得出相同的數(shù)值; 只有在有威脅信息時(shí)，兩鏈中的數(shù)據(jù)才會(huì)出現(xiàn)差異.

2 異常信息檢測(cè)與修復(fù)機(jī)制

根據(jù)1.2節(jié)的描述，威脅信息可以通過(guò)篡改車(chē)輛的動(dòng)力學(xué)信息進(jìn)而影響車(chē)隊(duì)的運(yùn)行，具體攻擊點(diǎn)主要為速度vn(t)、位移xn(t)、加速度an(t).基于此，本文提出了針對(duì)車(chē)輛動(dòng)力學(xué)信息的異常信息檢測(cè)與修復(fù)機(jī)制，具體為基于動(dòng)力學(xué)參數(shù)閾值的異常信息檢測(cè)與基于DNA雙螺旋結(jié)構(gòu)的雙鏈修復(fù)機(jī)制，整個(gè)機(jī)制的大致流程如圖3所示.

圖3 異常信息檢測(cè)與修復(fù)機(jī)制

2.1 基于動(dòng)力學(xué)參數(shù)閾值的異常信息檢測(cè)

在本文中，車(chē)輛通信方式采用單跳單播的方式.異常信息檢測(cè)是根據(jù)IDM(見(jiàn)式(2))、變換后的IDM(見(jiàn)式(4))以及基本運(yùn)動(dòng)學(xué)計(jì)算出本車(chē)的加速度、速度、位移閾值.

然后判斷本車(chē)通信系統(tǒng)中的動(dòng)力學(xué)信息是否處于安全閾值.異常信息檢測(cè)的工作流程如圖4所示.

圖4 異常信息檢測(cè)機(jī)制流程

閾值的計(jì)算是通過(guò)經(jīng)典IDM和改進(jìn)的IDM求出的.其思路為:假設(shè)當(dāng)前時(shí)刻為t，本車(chē)為車(chē)輛隊(duì)列中的第n輛車(chē)(見(jiàn)圖4)，通過(guò)t-Δt時(shí)刻第n-1車(chē)傳來(lái)的動(dòng)力學(xué)信息及本車(chē)信息可以計(jì)算出rn(t)，再通過(guò)t時(shí)刻第n-1車(chē)傳來(lái)的動(dòng)力學(xué)信息及本車(chē)信息可以計(jì)算出rn(t+Δt)；同理也可計(jì)算出an(t)和an(t+Δt)(計(jì)算式見(jiàn)式(2))；vn(t+Δt)則通過(guò)基本的運(yùn)動(dòng)學(xué)方程求出，即

(6)

式中:vn(t+Δt)、xn(t+Δt)分別表示t+Δt時(shí)刻第n輛車(chē)的速度、位移；vn(t)、xn(t)分別表示t時(shí)刻第n輛車(chē)的速度、位移；Δt表示時(shí)間間隔.由牛頓第二定律可知，在Δt足夠小的情況下，車(chē)輛在[t,t+Δt]時(shí)間段內(nèi)的動(dòng)力學(xué)參數(shù)范圍為

(7)

之所以使用式(7)判斷車(chē)輛在[t,t+Δt]內(nèi)速度、加速度、變加速度的最值，是因?yàn)樵诤芏痰摩時(shí)間內(nèi)，可以認(rèn)為它們是單調(diào)變化的，也就是說(shuō)在足夠短的時(shí)間內(nèi)，它們的數(shù)值不會(huì)產(chǎn)生跳躍式波動(dòng)，那么區(qū)間端點(diǎn)值即為最值.

通過(guò)式(7)即可求出速度、加速度、變加速度在[t,t+Δt]時(shí)間段內(nèi)的最值.通過(guò)求出的最值再結(jié)合基本運(yùn)動(dòng)學(xué)方程即式(6)，可以得出最終的檢測(cè)公式.

速度檢測(cè)

(8)

位移檢測(cè)

(9)

加速度檢測(cè)

(10)

2.2 基于DNA雙螺旋結(jié)構(gòu)的雙鏈校對(duì)機(jī)制

在異常信息檢測(cè)機(jī)制中，后車(chē)?yán)们败?chē)傳來(lái)的信息進(jìn)行預(yù)測(cè)計(jì)算，可以判斷本車(chē)動(dòng)力學(xué)信息是否處于正常范圍內(nèi).異常信息的檢測(cè)是為了判斷動(dòng)力學(xué)參數(shù)是否異常，而當(dāng)檢測(cè)出異常時(shí)，就需要采用雙鏈校對(duì)機(jī)制對(duì)異常數(shù)據(jù)進(jìn)行替換修復(fù).異常信息檢測(cè)機(jī)制的結(jié)果不同，雙鏈修復(fù)機(jī)制做出的響應(yīng)也不同.在攻擊狀態(tài)下和正常狀態(tài)下異常修復(fù)機(jī)制的反應(yīng)如圖5所示.

雙鏈校對(duì)機(jī)制的理論基礎(chǔ)來(lái)源于DNA雙螺旋結(jié)構(gòu)中的錯(cuò)配修復(fù)(mismatch repair，MMR)[47-48]系統(tǒng).錯(cuò)配修復(fù)是DNA的一種損傷識(shí)別與修復(fù)系統(tǒng)，主要用于識(shí)別和修復(fù)在DNA復(fù)制和重組過(guò)程中可能出現(xiàn)的堿基錯(cuò)誤插入、缺失、錯(cuò)誤結(jié)合等問(wèn)題.DNA修復(fù)原理是依靠某些特定酶識(shí)別DNA損傷部位，通過(guò)堿基互補(bǔ)配對(duì)原則(即一條鏈上的堿基必須與另一條鏈上的堿基以相對(duì)應(yīng)的方式存在，腺嘌呤對(duì)應(yīng)胸腺嘧啶(A對(duì)T或T對(duì)A)，鳥(niǎo)嘌呤對(duì)應(yīng)胞嘧啶(C對(duì)G或G對(duì)C)形成堿基對(duì))，實(shí)現(xiàn)精準(zhǔn)修復(fù).鑒于DNA的修復(fù)理論，本文提出了一種面向車(chē)聯(lián)網(wǎng)通信過(guò)程中的雙鏈結(jié)構(gòu)校對(duì)機(jī)制.

圖5 異常信息修復(fù)機(jī)制時(shí)刻圖

圖6 雙鏈校對(duì)機(jī)制結(jié)構(gòu)

在正常狀態(tài)下，如圖5、6所示:t時(shí)刻時(shí)，數(shù)據(jù)鏈接收到前車(chē)的動(dòng)力學(xué)信息vn-1(t)、xn-1(t)、an-1(t)，本車(chē)根據(jù)車(chē)載傳感器測(cè)出自身動(dòng)力學(xué)信息vn(t)、xn(t)、an(t)；結(jié)合兩者信息和式(2)可以計(jì)算出下一時(shí)刻的加速度信息an(t+Δt).

數(shù)據(jù)鏈將三者信息傳入校驗(yàn)鏈中并更新校驗(yàn)鏈中的數(shù)據(jù).校驗(yàn)鏈此刻的數(shù)據(jù)與數(shù)據(jù)鏈數(shù)據(jù)一致，包括t+Δt時(shí)的前車(chē)信息和本車(chē)信息以及下一時(shí)刻的加速度信息.

在異常狀態(tài)下，如圖5、6所示，在t+2Δt時(shí)，分3種情況:

異常狀態(tài)下，數(shù)據(jù)鏈會(huì)接收來(lái)自校驗(yàn)鏈中的數(shù)據(jù)，直至攻擊結(jié)束.攻擊結(jié)束之后，校驗(yàn)鏈中的數(shù)據(jù)也將會(huì)接收到真實(shí)的前車(chē)及本車(chē)數(shù)據(jù)，用于更新預(yù)估的數(shù)據(jù).

綜上可知，通過(guò)雙鏈結(jié)構(gòu)對(duì)同一時(shí)刻數(shù)據(jù)進(jìn)行修正，能夠避免錯(cuò)誤的通信數(shù)據(jù)對(duì)車(chē)輛駕駛行為的影響，進(jìn)而實(shí)現(xiàn)車(chē)輛駕駛行為的安全性和穩(wěn)定性.下面將通過(guò)仿真實(shí)驗(yàn)進(jìn)行驗(yàn)證.

3 仿真實(shí)驗(yàn)

為了驗(yàn)證上述機(jī)制的有效性，設(shè)計(jì)了仿真實(shí)驗(yàn).實(shí)驗(yàn)環(huán)境及初始條件為:網(wǎng)聯(lián)車(chē)隊(duì)由15輛車(chē)組成，行駛在單車(chē)道并且不考慮超車(chē)或者換道行為；初始狀態(tài)下每輛車(chē)以速度15 m/s并保持穩(wěn)態(tài)車(chē)間距18.89 m行駛，穩(wěn)態(tài)車(chē)間距可由式(2)求出.車(chē)隊(duì)在正常運(yùn)行一段時(shí)間后會(huì)形成穩(wěn)定的跟馳現(xiàn)象，穩(wěn)定狀態(tài)也即an(t)=0、Δvn=0，由式(2)，可以得出穩(wěn)態(tài)下的車(chē)間距公式為

(11)

式中se、ve分別表示網(wǎng)聯(lián)車(chē)隊(duì)穩(wěn)定狀態(tài)下的車(chē)間距和速度.

實(shí)驗(yàn)中定義最后一輛車(chē)車(chē)尾坐標(biāo)為原點(diǎn)，仿真時(shí)間間隔dt=0.1 s，總仿真時(shí)長(zhǎng)100 s.參考現(xiàn)有文獻(xiàn)[41，49-50]，其他涉及的參數(shù)信息如表1所示.

表1 仿真參數(shù)設(shè)定表

為了直觀地看出此機(jī)制的效果，下面將設(shè)計(jì)3種實(shí)驗(yàn)場(chǎng)景，分別針對(duì)速度、位移和加速度.

3.1 速度攻擊

3.1.1 無(wú)檢測(cè)機(jī)制

在無(wú)檢測(cè)機(jī)制下，網(wǎng)聯(lián)車(chē)隊(duì)的運(yùn)行狀況如圖7所示.

圖7展示了車(chē)聯(lián)網(wǎng)通信過(guò)程中，速度信息被惡意篡改后網(wǎng)聯(lián)車(chē)隊(duì)運(yùn)行的變化情況，包括低估速度p=0.95和高估速度p=1.30兩種情況，可以看出，第3輛車(chē)的速度被篡改后，后方車(chē)輛的位移、速度、車(chē)間距離、加速度曲線都發(fā)生了明顯的擾動(dòng)，這種擾動(dòng)可能導(dǎo)致的交通負(fù)面影響需要更進(jìn)一步分析.

觀察圖7(a)(c)(e)(g)圖形，在第21秒時(shí)，第3輛車(chē)傳遞給第4輛車(chē)的速度信息突然變小，所以第4輛車(chē)會(huì)誤以為前車(chē)正在減速，從而采取減速措施，這種減速措施將產(chǎn)生向后傳遞的交通波(也即減速行為在車(chē)隊(duì)傳遞).這樣將會(huì)導(dǎo)致第3輛車(chē)與第2輛車(chē)的間距逐漸增大(見(jiàn)圖7(e))，車(chē)隊(duì)的間距不斷變大，就會(huì)使道路使用率下降，產(chǎn)生延誤現(xiàn)象.直至第30秒攻擊結(jié)束后車(chē)間距才逐漸減小.此后車(chē)隊(duì)將逐漸恢復(fù)穩(wěn)定狀態(tài).

圖7 無(wú)檢測(cè)機(jī)制速度攻擊下的車(chē)隊(duì)運(yùn)行狀態(tài)

同樣的，繼續(xù)觀察圖7(b)(d)(f)(h)圖形，在第21秒時(shí)，第3輛車(chē)傳遞給第4輛車(chē)的速度瞬間增大，這就會(huì)誤導(dǎo)第4輛車(chē)進(jìn)行加速以達(dá)到更小的跟馳間距，跟車(chē)間距越來(lái)越小就會(huì)使得追尾的風(fēng)險(xiǎn)變大，誘導(dǎo)交通事故發(fā)生.在第30秒攻擊結(jié)束后，車(chē)隊(duì)間距逐漸恢復(fù)正常，向穩(wěn)定狀態(tài)調(diào)整.

圖7的仿真結(jié)果模擬了網(wǎng)聯(lián)車(chē)隊(duì)中的單個(gè)車(chē)輛受到網(wǎng)絡(luò)攻擊后的影響.在實(shí)際中，網(wǎng)絡(luò)攻擊者還可能會(huì)對(duì)車(chē)隊(duì)中的多輛車(chē)同時(shí)進(jìn)行攻擊，進(jìn)而造成更大的交通影響或者不法目的，所以這里補(bǔ)充針對(duì)網(wǎng)聯(lián)車(chē)隊(duì)中多個(gè)車(chē)輛進(jìn)行網(wǎng)絡(luò)攻擊的仿真實(shí)驗(yàn)，以探究多輛車(chē)受到網(wǎng)絡(luò)攻擊后的交通狀況變化.

為了清晰地觀察到單輛網(wǎng)聯(lián)車(chē)受攻擊和多輛網(wǎng)聯(lián)車(chē)受攻擊的區(qū)別，實(shí)驗(yàn)中的網(wǎng)絡(luò)攻擊對(duì)象改變?yōu)榈?～13輛車(chē)，實(shí)驗(yàn)結(jié)果如圖8所示.

從圖8的(a)～(b)中可以看出，多輛車(chē)速度同時(shí)受攻擊后，在網(wǎng)絡(luò)攻擊持續(xù)時(shí)間內(nèi)(第21～30秒期間)，第3～13輛車(chē)的速度受到較大影響，而且車(chē)間距離下降幅度明顯，無(wú)疑會(huì)增加碰撞危險(xiǎn)，在網(wǎng)絡(luò)攻擊結(jié)束后(第30秒后)，第3～15輛車(chē)的速度和車(chē)間距逐漸恢復(fù)穩(wěn)定狀態(tài).將圖8的(a)和(b)分別與圖7的(c)和(e)對(duì)比可以看出，多輛車(chē)同時(shí)受到網(wǎng)絡(luò)攻擊后交通狀況變化更大，當(dāng)被攻擊車(chē)輛的數(shù)量達(dá)到一定時(shí)，可能會(huì)引發(fā)大規(guī)模的交通癱瘓甚至整個(gè)城市交通路網(wǎng)的運(yùn)轉(zhuǎn).

圖8 無(wú)檢測(cè)機(jī)制多輛車(chē)速度同時(shí)受攻擊的車(chē)隊(duì)運(yùn)行狀態(tài)

3.1.2 有檢測(cè)機(jī)制

需要指出的是，誤差項(xiàng)的設(shè)置是為了更貼近實(shí)際狀況.例如在路面不平或者某些天氣(比如雨天時(shí)雷達(dá)識(shí)別效果變差)狀況下，車(chē)速、加速度測(cè)量值可能并不準(zhǔn)確，導(dǎo)致傳感器數(shù)值與真實(shí)數(shù)值存在一定偏差[51]，誤差項(xiàng)可以彌補(bǔ)傳感器等設(shè)備不能保證高精準(zhǔn)性的不足.在以后的研究中，本文研究者也會(huì)對(duì)誤差項(xiàng)的取值進(jìn)行更為細(xì)致的研究，從更多的實(shí)車(chē)實(shí)驗(yàn)中得出在不同環(huán)境下誤差項(xiàng)的取值將是未來(lái)的一個(gè)研究方向.

搭建仿真場(chǎng)景后，得出在有檢測(cè)機(jī)制下針對(duì)速度攻擊的結(jié)果，如圖9所示.

圖9 有檢測(cè)機(jī)制速度攻擊下的車(chē)隊(duì)運(yùn)行狀態(tài)

圖9表示在有檢測(cè)機(jī)制下，第3輛車(chē)速度信息被篡改后車(chē)隊(duì)的位移、速度、車(chē)間距、加速度關(guān)于時(shí)間的圖形，從圖中可以看出，檢測(cè)機(jī)制和修復(fù)機(jī)制的響應(yīng)時(shí)間在足夠短的情況下(ms級(jí)以上)，網(wǎng)絡(luò)攻擊對(duì)自動(dòng)駕駛隊(duì)列的影響微乎其微.

需要指出的是，文中也進(jìn)行了針對(duì)于多輛車(chē)的速度同時(shí)受到攻擊時(shí)(見(jiàn)圖 8)的有檢測(cè)機(jī)制仿真，仿真結(jié)果和圖9相同.

3.1.3 檢測(cè)機(jī)制失效

已經(jīng)提到，為了避免傳感器等設(shè)備的細(xì)微測(cè)量誤差導(dǎo)致的異常檢測(cè)機(jī)制誤檢，本文在檢測(cè)條件中添加了誤差項(xiàng)來(lái)彌補(bǔ)這種不足.添加誤差項(xiàng)的初衷是為了讓檢測(cè)機(jī)制更好地貼近實(shí)際情況，但這也引出了另一個(gè)問(wèn)題，具體描述如下.

當(dāng)數(shù)據(jù)被篡改后波動(dòng)范圍較小，假如設(shè)定p=0.95，速度誤差項(xiàng)、位移誤差項(xiàng)、加速度誤差項(xiàng)仍然設(shè)定為1，即ζ=ξ=ζ=1.

由于此時(shí)的篡改量較小，篡改后的值仍然處于異常檢測(cè)機(jī)制的合理范圍內(nèi)，因此會(huì)出現(xiàn)不能檢測(cè)到篡改攻擊的情況，車(chē)隊(duì)運(yùn)行狀態(tài)圖形將會(huì)和圖7左側(cè)的仿真結(jié)果一致，也即車(chē)隊(duì)會(huì)受到信息篡改攻擊的影響，車(chē)隊(duì)的穩(wěn)定性受到干擾.

在發(fā)現(xiàn)異常信息檢測(cè)機(jī)制存在新的技術(shù)難點(diǎn)后進(jìn)行了構(gòu)思，要解決小幅度信息篡改攻擊(也即信息被惡意篡改后仍處于異常檢測(cè)機(jī)制的合理范圍內(nèi))問(wèn)題.

問(wèn)題關(guān)鍵在于如何區(qū)分動(dòng)力學(xué)信息小幅度變化是由于傳感器等設(shè)備產(chǎn)生的還是惡意攻擊者發(fā)起的網(wǎng)絡(luò)攻擊.這個(gè)問(wèn)題需要結(jié)合大量的理論研究和實(shí)際測(cè)試，這也將會(huì)是本文研究者日后要重點(diǎn)思考的問(wèn)題.因?yàn)楸疚牡闹饕康脑谟谔岢鲆环N應(yīng)用于網(wǎng)聯(lián)自動(dòng)駕駛車(chē)隊(duì)的信息安全防護(hù)策略，驗(yàn)證該防護(hù)策略在理論層面的可行性以及限制性，所以這個(gè)問(wèn)題不再過(guò)多深入探討.

3.2 位移攻擊

3.2.1 無(wú)檢測(cè)機(jī)制

圖10描繪了無(wú)檢測(cè)機(jī)制下，第3輛車(chē)受到位移篡改攻擊后車(chē)隊(duì)的位移、速度、車(chē)間距離、加速度隨時(shí)間的圖形.

圖10 無(wú)檢測(cè)機(jī)制位移攻擊下的車(chē)隊(duì)運(yùn)行狀態(tài)

觀察圖10左側(cè)圖形，在第21秒時(shí)，第3輛車(chē)傳遞給第4輛車(chē)的位移信息突然變大，所以第4輛車(chē)會(huì)誤以為和第3輛車(chē)的車(chē)間距增大，從而采取加速措施以縮小車(chē)間距.這種加速措施將產(chǎn)生向后傳遞的交通波(也即加速行為在車(chē)隊(duì)傳遞).這樣將會(huì)導(dǎo)致第3輛車(chē)與第2輛車(chē)的間距逐漸減小(見(jiàn)圖10(e))，最終導(dǎo)致追尾事故的發(fā)生，也即圖10(e)中的“碰撞區(qū)”.圖10右側(cè)的圖形也是同理，網(wǎng)絡(luò)攻擊段內(nèi)出現(xiàn)碰撞事故(見(jiàn)圖10(f)).

車(chē)隊(duì)的間距變小，就會(huì)使車(chē)輛之間的碰撞風(fēng)險(xiǎn)增大，因?yàn)楦?chē)距離越小，留給駕駛員的反應(yīng)空間越小，事故發(fā)生后，還會(huì)影響到周?chē)鷧^(qū)域內(nèi)交通的秩序，嚴(yán)重時(shí)引發(fā)交通混亂.

3.2.2 有檢測(cè)機(jī)制

在有檢測(cè)機(jī)制下，其他條件同3.2.1，位移篡改攻擊對(duì)車(chē)隊(duì)的影響與3.1.2中的結(jié)果相同.

實(shí)驗(yàn)結(jié)果相同說(shuō)明網(wǎng)聯(lián)汽車(chē)在異常檢測(cè)與修復(fù)機(jī)制下，對(duì)網(wǎng)絡(luò)攻擊產(chǎn)生的惡意信息及時(shí)進(jìn)行修復(fù)，使得車(chē)隊(duì)能穩(wěn)定運(yùn)行，沒(méi)有出現(xiàn)更惡劣的影響.關(guān)于產(chǎn)生相同實(shí)驗(yàn)結(jié)果的理論原因與3.1.2中結(jié)果描述部分相似.

3.2.3 檢測(cè)機(jī)制失效

保持檢測(cè)機(jī)制的3個(gè)誤差項(xiàng)數(shù)值不變，改變位移篡改值，比如q更改為±0.5，也即位移篡改的波動(dòng)范圍為0.5 m，將此值代入檢測(cè)機(jī)制可知，異常信息檢測(cè)并不能識(shí)別這一篡改，該攻擊會(huì)使車(chē)隊(duì)產(chǎn)生小幅度的波動(dòng).具體結(jié)果如圖11所示(以q=0.5為例).圖11描繪了檢測(cè)機(jī)制失效下，第3輛車(chē)受到位移篡改攻擊后車(chē)隊(duì)的位移、速度、車(chē)間距離、加速度隨時(shí)間的圖形.

由圖11(b)(d)可知，由于第3輛車(chē)在第21秒位移突然變大，導(dǎo)致第3輛車(chē)誤以為和第2輛車(chē)的間距變小而采取減速措施，而第3輛車(chē)的位移信息被篡改后傳遞給了第4輛車(chē)，就會(huì)誤導(dǎo)第4輛車(chē)加速以尋求更小的穩(wěn)定間距.

圖11 檢測(cè)機(jī)制失效位移攻擊下的車(chē)隊(duì)運(yùn)行狀態(tài)

但是由于位移篡改的幅度較小，因此在第21～30秒的網(wǎng)路攻擊過(guò)程中，整個(gè)車(chē)隊(duì)的運(yùn)行狀態(tài)沒(méi)有產(chǎn)生過(guò)大的波動(dòng)，而且在網(wǎng)絡(luò)攻擊結(jié)束后，車(chē)隊(duì)也很快的調(diào)整回穩(wěn)定狀態(tài)，這種現(xiàn)象也從側(cè)面表明本文所提出的改進(jìn)IDM模型能夠很好地維持車(chē)隊(duì)的穩(wěn)定性，在車(chē)隊(duì)發(fā)生狀態(tài)波動(dòng)并且網(wǎng)絡(luò)攻擊消失后，能夠迅速地調(diào)整到穩(wěn)定狀態(tài).

3.3 加速度攻擊

3.3.1 無(wú)檢測(cè)機(jī)制

圖12描繪了無(wú)檢測(cè)機(jī)制下，第3輛車(chē)受到加速度篡改攻擊后車(chē)隊(duì)的位移、速度、車(chē)間距離、加速度隨時(shí)間的圖形.

圖12 無(wú)檢測(cè)機(jī)制加速度攻擊下的車(chē)隊(duì)運(yùn)行狀態(tài)

通過(guò)對(duì)比左右兩側(cè)圖形可以直觀地看出，A的值越大，也即篡改幅度越大，車(chē)隊(duì)被擾動(dòng)的程度越大.與圖7和圖10相對(duì)比而言，針對(duì)于加速度的網(wǎng)絡(luò)攻擊呈現(xiàn)出一種周期性波動(dòng)的規(guī)律，原因在于加速度的篡改攻擊是周期性函數(shù)(見(jiàn)式(1)).

3.3.2 有檢測(cè)機(jī)制與檢測(cè)機(jī)制失效

其他條件不變，在有檢測(cè)機(jī)制下，車(chē)隊(duì)受到加速度篡改后車(chē)隊(duì)的運(yùn)行狀態(tài)圖形和圖9相同(以A=4為例).

綜合有檢測(cè)機(jī)制下速度攻擊、位移攻擊、加速度攻擊后車(chē)隊(duì)的運(yùn)行狀態(tài)圖可以得出，本文所提出的異常檢測(cè)與修復(fù)機(jī)制能夠在理論上保證網(wǎng)聯(lián)車(chē)隊(duì)的穩(wěn)定性.

3.3.3 異常檢測(cè)機(jī)制的不足之處

從仿真實(shí)驗(yàn)可以看出，本文設(shè)計(jì)的異常信息檢測(cè)與雙鏈修復(fù)機(jī)制能夠很好地保障網(wǎng)聯(lián)車(chē)隊(duì)的運(yùn)行穩(wěn)定性，雙鏈修復(fù)機(jī)制能夠及時(shí)地將異常數(shù)據(jù)替換為合理數(shù)據(jù).但是當(dāng)面對(duì)一些篡改量比較小的攻擊時(shí)，該機(jī)制未能成功識(shí)別，主要原因是誤差項(xiàng)的設(shè)置使得檢測(cè)區(qū)間存在一定的波動(dòng)范圍，當(dāng)篡改量較小時(shí)，異常數(shù)據(jù)仍處于設(shè)置的安全閾值內(nèi).因此，誤差項(xiàng)的設(shè)置對(duì)于整個(gè)異常信息檢測(cè)機(jī)制的結(jié)果影響很大，但誤差項(xiàng)的數(shù)值需要在多次實(shí)車(chē)測(cè)試中得出，而仿真實(shí)驗(yàn)不能完全替代實(shí)際，因此誤差項(xiàng)的設(shè)置使得檢測(cè)機(jī)制對(duì)于較小的篡改不敏感，從而使得車(chē)隊(duì)還是發(fā)生了擾動(dòng).

4 結(jié)論

1) 信息安全威脅能夠影響網(wǎng)聯(lián)自動(dòng)駕駛車(chē)輛的駕駛行為，不同的攻擊類(lèi)型如速度、位移、加速度篡改攻擊等可能帶來(lái)不同的影響，如車(chē)輛速度變大、車(chē)間距離變小、加速度頻率擾動(dòng)，甚至導(dǎo)致碰撞事故，引發(fā)交通癱瘓.

2) 基于動(dòng)力學(xué)參數(shù)閾值的異常檢測(cè)機(jī)制能夠有效識(shí)別信息篡改等類(lèi)型的網(wǎng)絡(luò)攻擊，選取合適的安全閾值，能夠更好地模擬并應(yīng)用于真實(shí)環(huán)境中.其中，安全閾值的設(shè)定影響異常檢測(cè)機(jī)制的效果.盡管安全閾值越小，異常檢測(cè)機(jī)制越敏感，但會(huì)導(dǎo)致對(duì)正常動(dòng)力學(xué)參數(shù)的誤檢.

3) 借鑒DNA雙螺旋修復(fù)機(jī)制，提出面向網(wǎng)聯(lián)自動(dòng)駕駛車(chē)輛的基于雙鏈修復(fù)的安全控制方法，通過(guò)理論分析與仿真實(shí)驗(yàn)，結(jié)果表明該方法能夠有效緩解或抑制威脅攻擊對(duì)車(chē)輛行為的影響.