韋可欣，李雷孝，高昊昱，熊 嘯

1.內(nèi)蒙古工業(yè)大學(xué) 數(shù)據(jù)科學(xué)與應(yīng)用學(xué)院，呼和浩特 010080

2.海南大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院（密碼學(xué)院），海口 570228

目前智能出行和交通數(shù)字化管理逐步受到重視[1]，整個車聯(lián)網(wǎng)系統(tǒng)承載了巨大體量的車主隱私數(shù)據(jù)，如車輛信息、駕駛本信息、日常行駛路線、車況信息、用戶密碼等，這些信息如果被惡意訪問將會對車主和周邊車輛產(chǎn)生安全隱患。所以，為了避免惡意節(jié)點(diǎn)獲取并篡改車主隱私數(shù)據(jù)，車聯(lián)網(wǎng)訪問控制研究格外重要[2]。

研究初始，學(xué)者們傾向于將訪問控制模型直接應(yīng)用到車聯(lián)網(wǎng)系統(tǒng)中，這些訪問控制模型包括：基于屬性的訪問控制（attributes based access control，ABAC）[3]、基于角色的訪問控制（role-based access control，RBAC）[4]、基于權(quán)能的訪問控制（capability-based access control，CapBAC）[5]、基于資源的訪問控制（resource-based access control，ReBAC）[6]和基于使用訪問控制模型（usage control，UCON）[7]等，這些模型在很長一段時間內(nèi)有較好的訪問控制效果。但是，隨著智能車輛產(chǎn)業(yè)的興起，道路上智能車輛的數(shù)量也飛速上漲且與眾多智能終端設(shè)備形成了更為復(fù)雜的車聯(lián)網(wǎng)系統(tǒng)。因此直接把訪問控制模型應(yīng)用到目前車聯(lián)網(wǎng)系統(tǒng)中不足以形成有效的訪問控制[8]，原因有以下三點(diǎn)。首先，目前車輛數(shù)量過多，要同時管理這些車輛并對資源細(xì)粒度授權(quán)較為困難；其次單點(diǎn)故障問題難以解決，車聯(lián)網(wǎng)系統(tǒng)安全性較低容易遭受女巫攻擊和消息篡改等攻擊威脅[9]；再者，從國內(nèi)車聯(lián)網(wǎng)的“三跨”“四跨”和“新四跨”等互聯(lián)互通應(yīng)用實(shí)踐活動來看，目前最影響訪問控制模型應(yīng)用到當(dāng)下車聯(lián)網(wǎng)系統(tǒng)的是：各個車廠商，包括整車零部件、模組、車輛終端設(shè)備，以及安全設(shè)施的相互支持和遵守同樣的標(biāo)準(zhǔn)和規(guī)范。因此對車聯(lián)網(wǎng)中的消息驗(yàn)證、信任管理、證書管理、數(shù)據(jù)管理和隱私保護(hù)沒有足夠的安全性保障[10]。例如，2022 年5 月，某用戶在社交媒體曝光，其使用某智能純電品牌汽車的“車車互聯(lián)”功能，能看到多位同品牌汽車用戶的行車記錄儀實(shí)時畫面，涉嫌未經(jīng)用戶同意使用用戶的隱私信息，也存在泄露國家相關(guān)機(jī)密的可能。2022年10月，某日本知名汽車集團(tuán)因數(shù)據(jù)安全管理不善，導(dǎo)致其T-Connect服務(wù)中的296 019條客戶信息疑被泄露，泄露的內(nèi)容包含了客戶電子郵件地址和客戶號碼等。2023年2月21日，為辰安全實(shí)驗(yàn)室監(jiān)測到部分智能網(wǎng)聯(lián)汽車使用的開源項(xiàng)目Busybox（是一個遵循GPL 協(xié)議、以自由軟件形式發(fā)行的應(yīng)用程序）代碼執(zhí)行漏洞，該漏洞影響多數(shù)車機(jī)娛樂和儀表等系統(tǒng)安全。

區(qū)塊鏈作為新一代安全性保護(hù)技術(shù)因其自身去中心化、匿名性和不可追溯性等特點(diǎn)可以用來解決當(dāng)前車聯(lián)網(wǎng)訪問控制的不足，更好地保障車聯(lián)網(wǎng)系統(tǒng)安全。為用戶的訪問請求提供分布式存儲方式，方便數(shù)據(jù)存儲，區(qū)塊鏈網(wǎng)絡(luò)在車聯(lián)網(wǎng)系統(tǒng)中用于用戶的請求訪問、數(shù)據(jù)存儲和用戶訪問請求撤銷。

1 研究背景

1.1 車聯(lián)網(wǎng)

物聯(lián)網(wǎng)技術(shù)高速發(fā)展的同時帶動了車聯(lián)網(wǎng)（Internet of vehicle，IoV）的發(fā)展，它是一個以車輛為主體，車載移動互聯(lián)網(wǎng)為基礎(chǔ)，以約定好的通信協(xié)議和數(shù)據(jù)交互為標(biāo)準(zhǔn)[11]。依靠通信網(wǎng)絡(luò)互聯(lián)實(shí)現(xiàn)車與車（vehicle-tovehicle）、車與人（vehicle-to-pedestrian）、車與網(wǎng)絡(luò)（vehicleto-network）、車與路（vehicle-to-infrastructure）的互通互聯(lián)、信息共享的網(wǎng)絡(luò)，進(jìn)而可以保障交通安全、提高駕駛體驗(yàn)、拓展智能服務(wù)等。在當(dāng)下車、路、云一體化的復(fù)雜車聯(lián)網(wǎng)中[12]為了提高車聯(lián)網(wǎng)中的服務(wù)和車輛之間及時通信，部署了路邊單元（roadside units，RSUs）[13]。為了使IoV 更加商業(yè)化，IoV 通信架構(gòu)不局限于車輛，智能手機(jī)、平板電腦和筆記本電腦等智能設(shè)備也都能同時接入，所以說IoV是車載移動網(wǎng)絡(luò)與智能設(shè)備的集成[14]。

1.2 區(qū)塊鏈

區(qū)塊鏈概念起源于[15]第一個數(shù)字貨幣：比特幣，自此區(qū)塊鏈概念逐步進(jìn)入到人們視野并逐漸應(yīng)用到銀行、工業(yè)等領(lǐng)域。它作為一種點(diǎn)對點(diǎn)（peer-to-peer，P2P）的分布式賬本，網(wǎng)絡(luò)中所有節(jié)點(diǎn)都擁有相同區(qū)塊鏈數(shù)據(jù)信息，并且區(qū)塊上的數(shù)據(jù)無法更改，通過提供公鑰來保證用戶身份匿名性。每個區(qū)塊可以視作賬本的一頁，其通過記錄時間的先后順序鏈接起來從而形成“賬本”，在記賬方面，區(qū)塊鏈不需要一個中心機(jī)構(gòu)來負(fù)責(zé)記賬，每個節(jié)點(diǎn)的交易情況都會在區(qū)塊鏈中公布，因此具有去中心化和透明開放性的優(yōu)勢。但這種區(qū)塊鏈只能用來交易并不能在區(qū)塊上執(zhí)行某些制定好的規(guī)則。如果要在區(qū)塊鏈上執(zhí)行擬定好的規(guī)則就要在以太坊平臺[16]上設(shè)計(jì)開發(fā)，它能提供一個名為智能合約的可信數(shù)字合約，根據(jù)編碼預(yù)先指定規(guī)則并在上鏈后自動執(zhí)行，人們可以根據(jù)自己的需求靈活部署。通過對IoV和區(qū)塊鏈的介紹，區(qū)塊鏈的特性完全可以解決IoV 中面臨的身份和通信信息泄露及自身網(wǎng)絡(luò)安全等威脅，圖1為區(qū)塊鏈在車聯(lián)網(wǎng)訪問控制中的優(yōu)勢。

圖1 區(qū)塊鏈在車聯(lián)網(wǎng)訪問控制中的優(yōu)勢Fig.1 Advantages of blockchain in access control of Internet of vehicles

2 車聯(lián)網(wǎng)訪問控制研究現(xiàn)狀

通過上述分析，車聯(lián)網(wǎng)訪問控制與其他場景下的訪問控制有很大不同，節(jié)點(diǎn)速度移動快、應(yīng)對安全性攻擊、網(wǎng)絡(luò)拓?fù)渥兓?、?jié)點(diǎn)間鏈路持續(xù)時間短暫和移動模型在路網(wǎng)拓?fù)渲杏邢拗七@些車聯(lián)網(wǎng)中獨(dú)有的特點(diǎn)都要求車聯(lián)網(wǎng)訪問控制必須有足夠的針對性，車聯(lián)網(wǎng)結(jié)構(gòu)的復(fù)雜性決定了物聯(lián)網(wǎng)中的訪問控制應(yīng)用于車聯(lián)網(wǎng)中其有效性無法保證。國內(nèi)外很多研究學(xué)者對車聯(lián)網(wǎng)訪問控制已經(jīng)做出研究，本章總結(jié)傳統(tǒng)車聯(lián)網(wǎng)訪問控制機(jī)制中存在的不足，總結(jié)引入?yún)^(qū)塊鏈的優(yōu)勢，并列舉目前區(qū)塊鏈技術(shù)引入車聯(lián)網(wǎng)訪問控制的場景。

2.1 車聯(lián)網(wǎng)訪問控制

車聯(lián)網(wǎng)訪問控制目的是通過智能汽車和道路上其他智能車輛、行人和RSU 之間的實(shí)時通信來增強(qiáng)車輛之間的身份認(rèn)證，提供更完善的隱私保護(hù)從而實(shí)現(xiàn)更安全的道路行駛。

車聯(lián)網(wǎng)訪問控制涉及連接到網(wǎng)絡(luò)的車輛、用戶、其他智能設(shè)備和路邊設(shè)備，與眾多物聯(lián)網(wǎng)設(shè)備不同的是，車聯(lián)網(wǎng)中的車輛具有計(jì)算和存儲能力。連接到網(wǎng)絡(luò)的車輛一般有兩個身份，一個身份是數(shù)據(jù)信息擁有者，另一個身份是數(shù)據(jù)信息申請者。車輛作為數(shù)據(jù)信息申請者時，經(jīng)過車聯(lián)網(wǎng)訪問控制一系列的驗(yàn)證最后給出訪問權(quán)限判定。用戶則是指參與系統(tǒng)的人，通常情況下包括駕駛員、乘客甚至路邊的行人，用戶的社交記錄也可用于提供推薦服務(wù)。其他智能設(shè)備和路邊設(shè)備一般由連接到車聯(lián)網(wǎng)中的手機(jī)、電腦和RSU組成。圖2為車聯(lián)網(wǎng)訪問控制框架。

圖2 車聯(lián)網(wǎng)訪問控制框架Fig.2 Internet of vehicles access control framework

車聯(lián)網(wǎng)場景下訪問控制有時會面臨區(qū)別于物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的眾多因素干擾，主要體現(xiàn)在三方面：

（1）內(nèi)外部傳感器因素：外部傳感器安裝在車輛外部，包括攝像頭、停車傳感器等，內(nèi)部傳感器包括制動傳感器、低燃油和輪胎壓力傳感器等，惡意傳感器可能會竊取車輛數(shù)據(jù)致使車輛受損[17]。

（2）駕駛員因素：惡意節(jié)點(diǎn)通過分析駕駛員社交網(wǎng)絡(luò)推送，并對駕駛員進(jìn)行社交網(wǎng)絡(luò)攻擊，使駕駛員情緒波動從而造成安全隱患。

（3）信號因素：信號標(biāo)識和警報(bào)等各種信號因素都會影響車輛。惡意節(jié)點(diǎn)篡改信號標(biāo)識導(dǎo)致車輛狀態(tài)判斷異常，路程延誤等，都會影響訪問控制判斷。

車聯(lián)網(wǎng)訪問控制不同于物聯(lián)網(wǎng)訪問控制，有其獨(dú)特之處，主要體現(xiàn)在以下五個方面：

（1）節(jié)點(diǎn)移動速度快：與物聯(lián)網(wǎng)不同，車聯(lián)網(wǎng)中車輛節(jié)點(diǎn)移動速度快，拓?fù)漕l繁變化，路徑壽命短暫，且受到的干擾因素更多，包括路邊的建筑物、天氣狀況、道路交通等。車輛處于不斷運(yùn)動狀態(tài)，而車聯(lián)網(wǎng)不能保證全面覆蓋，所以車輛在某些時間段處于車聯(lián)網(wǎng)之外，即使車輛處在車聯(lián)網(wǎng)之內(nèi)，也不能保證車聯(lián)網(wǎng)覆蓋范圍是由同一家通信公司運(yùn)營，所以在車聯(lián)網(wǎng)中要允許車輛動態(tài)加入。

（2）應(yīng)對安全性攻擊：車聯(lián)網(wǎng)的健壯性極其重要，一方面要應(yīng)對惡意節(jié)點(diǎn)對車聯(lián)網(wǎng)網(wǎng)絡(luò)的攻擊，另一方面也要能抵抗對車載單元和智能設(shè)備等終端的攻擊。同時排除有設(shè)備和傳感器老化的因素，所以在安全性允許的范圍內(nèi)可以有一定的安全性預(yù)測偏差。

（3）網(wǎng)絡(luò)拓?fù)渥兓欤很嚶?lián)網(wǎng)網(wǎng)絡(luò)拓?fù)涓叨葎討B(tài)且交通狀況處于不穩(wěn)定狀態(tài)，因此，相對于物聯(lián)網(wǎng)來說，車聯(lián)網(wǎng)訪問控制過程的時效性要求要更高。

（4）節(jié)點(diǎn)間鏈路持續(xù)時間短暫：由于車輛移動速度快，導(dǎo)致車聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化劇烈、信道資源不均衡，為車聯(lián)網(wǎng)通信的實(shí)時性和可靠性帶來了諸多隱患，故與物聯(lián)網(wǎng)相比，車聯(lián)網(wǎng)通信節(jié)點(diǎn)間鏈路維持時間略短，針對車聯(lián)網(wǎng)而言，提高信道接入效率和并發(fā)通信能力才是關(guān)鍵。

（5）移動模型在路網(wǎng)拓?fù)渲杏邢拗疲和暾穆肪W(wǎng)結(jié)構(gòu)應(yīng)包括紅綠燈，路標(biāo)等個性化交通元素；復(fù)雜的交叉路口和多車道等路網(wǎng)情況；也要反映不同城市區(qū)域，如生活區(qū)，商業(yè)區(qū)等。移動模型包括車輛屬性，駕駛員行為偏好等，不同類型的車輛有其獨(dú)特的駕駛軌跡與限制，例如，公交車只可在公交車道上行駛。車輛的移動方式很大程度上受到駕駛?cè)藗€性喜好影響，主要反映在車輛的原子動作和車輛的移動路線，同時，不同駕駛風(fēng)格，對交通狀態(tài)的處理，以及駕駛?cè)嗽诓煌瑫r刻的身體狀態(tài)，都需要在移動模型中得以體現(xiàn)。

2.2 傳統(tǒng)車聯(lián)網(wǎng)訪問控制

傳統(tǒng)車聯(lián)網(wǎng)訪問控制如下：RBAC、ABAC、CapBAC、ReBAC和UCON。這些訪問控制機(jī)制普遍都需要有可信的集中授權(quán)策略實(shí)體，依據(jù)訪問控制策略和其他屬性信息進(jìn)行訪問控制決策，不可避免地就會出現(xiàn)單點(diǎn)故障問題。RBAC 中最基本的元素是權(quán)限、角色以及用戶，三者相互集成。在車聯(lián)網(wǎng)中通過定義角色的權(quán)限，并對用戶授予某個角色來控制用戶的權(quán)限，實(shí)現(xiàn)用戶和權(quán)限的邏輯分離，極大地方便了權(quán)限的管理[18-25]，適用于少量IoV 場景中。ABAC 應(yīng)用在車聯(lián)網(wǎng)中，通過對整個資源賦予屬性，包括主體、客體、環(huán)境屬性和判定結(jié)果，主體和客體會被分配屬性集，通過驗(yàn)證訪問者與被訪問者的屬性集來給出權(quán)限判定結(jié)果[26-31]，可以解決IoV 中節(jié)點(diǎn)動態(tài)接入、節(jié)點(diǎn)移動和訪問數(shù)據(jù)變化帶來的動態(tài)性問題。CapBAC 其中包括主客體、行為和時間段，它的核心是權(quán)能令牌和權(quán)限委托，在車聯(lián)網(wǎng)中通過權(quán)能令牌分配和權(quán)限委托實(shí)現(xiàn)訪問控制[32-33]，在IoV 環(huán)境中實(shí)現(xiàn)了支持動態(tài)性和可擴(kuò)展性的輕量級分布式訪問控制。ReBAC應(yīng)用在車聯(lián)網(wǎng)中，由資源服務(wù)器直接制定訪問策略，保證資源安全，另外同時實(shí)現(xiàn)了訪問控制權(quán)限靈活授予的功能[34]。UCON 應(yīng)用在車輛網(wǎng)中方便延長策略評估的時間，除了在請求訪問時評估和執(zhí)行策略之外，UCON還在資源使用期間對增加的策略進(jìn)行評估，從而能夠及時檢測用戶對資源的不當(dāng)或惡意使用[35]。

對傳統(tǒng)車聯(lián)網(wǎng)訪問控制機(jī)制的研究來看其主要是為了快速使用性，所以并不能實(shí)現(xiàn)有效的訪問控制。如表1 所示，每種訪問控制模型因其自身都存在局限性，無法滿足車聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)淇?、移動模型在路網(wǎng)拓?fù)渲杏邢拗啤①Y源的細(xì)粒度分配以及角色動態(tài)分配等需求，可以思考構(gòu)建多種訪問控制模型結(jié)合的混合模型。

表1 傳統(tǒng)訪問控制局限性Table 1 Limitations of traditional access control

2.3 車聯(lián)網(wǎng)訪問控制引入?yún)^(qū)塊鏈的優(yōu)勢

車聯(lián)網(wǎng)利用區(qū)塊鏈獨(dú)特的優(yōu)勢得到更安全的車聯(lián)網(wǎng)訪問控制，經(jīng)過文獻(xiàn)調(diào)研本文提出五個突出方面，分別是消息驗(yàn)證、信任管理、證書管理、數(shù)據(jù)管理和隱私保護(hù)。下面對這五方面進(jìn)行概述。

（1）消息驗(yàn)證：車聯(lián)網(wǎng)發(fā)展至現(xiàn)階段，許多應(yīng)用程序可以直接在車聯(lián)網(wǎng)中使用，越來越多的信息在智能交通系統(tǒng)中共享，引入?yún)^(qū)塊鏈共識機(jī)制例如：事件證明（proof of exsitence，PoE）可以實(shí)現(xiàn)消息發(fā)布的可靠性。

偽造或修改的消息傳播后，影響整個車聯(lián)網(wǎng)網(wǎng)絡(luò)的性能，也會導(dǎo)致路上危險情況發(fā)生，如事故，交通擁堵等。因?yàn)榇嬖谔摷傧ⅲ虼宋墨I(xiàn)[36]利用vehicular Ad-hoc networks（VANET）的信任集群機(jī)制（TCMV），通過檢查車輛網(wǎng)絡(luò)中的消息可信度來實(shí)現(xiàn)安全的消息交換。TCMV機(jī)制根據(jù)車輛的信譽(yù)計(jì)算消息的可信度，然后，對發(fā)送緊急消息的車輛進(jìn)行信譽(yù)值更新，但消息的可信度不足以確定交換的信息是否可靠。因此，在基于TCMV研究的基礎(chǔ)上，作者提出了基于區(qū)塊鏈的分布式信任集群機(jī)制（DTCMV）[37]。DTCMV 由三個步驟組成，即消息傳輸、塊創(chuàng)建和塊驗(yàn)證。RSU 在DTCMV 中充當(dāng)?shù)V工，負(fù)責(zé)RSU之間的數(shù)據(jù)交換、消息塊的創(chuàng)建和消息的存儲，方便驗(yàn)證消息正確性。

文獻(xiàn)[38]提出了基于區(qū)塊鏈的交通事件驗(yàn)證（BTEV）框架。在BTEV中，根據(jù)地理區(qū)域?qū)^(qū)塊鏈上的交易分為兩個連續(xù)階段，首先同步本地區(qū)塊鏈，然后同步全球區(qū)塊鏈，這可以有助于傳遞警告消息和維護(hù)區(qū)塊鏈。此外，BTEV引入默克爾壓縮前綴樹（Merkle patricia trie，MPT）結(jié)構(gòu)，使RSU更高效地將已確認(rèn)事件提交至區(qū)塊鏈，最后，通過PoE 共識機(jī)制提高消息發(fā)生的可靠性。文獻(xiàn)[39]提出了一種基于區(qū)塊鏈的高效去中心化架構(gòu)，用于在云服務(wù)器的幫助下，在所有路邊單元之間共享事件信息。然后，作者提出了一種三階段身份驗(yàn)證協(xié)議來實(shí)現(xiàn)車輛的授權(quán)并提供消息的可靠性。第一階段，RSU和車輛分別在云服務(wù)器和RSU 上注冊和登記；第二階段，某車輛檢測到關(guān)鍵事件，其他車輛驗(yàn)證該關(guān)鍵事件，驗(yàn)證后，車輛將其響應(yīng)發(fā)送到最近的RSU；第三階段，其中一個RSU 創(chuàng)建一個新的區(qū)塊，并向其他RSU 廣播以進(jìn)行塊驗(yàn)證。成功驗(yàn)證區(qū)塊后，所有RSU 更新其區(qū)塊鏈，并向RSU 回復(fù)確認(rèn)消息。最后作者提出了一種共識算法來驗(yàn)證新構(gòu)建的塊，并為所提出的架構(gòu)設(shè)計(jì)了一種新的智能合約機(jī)制。為了解決VANET系統(tǒng)中的消息傳播問題，文獻(xiàn)[40]提出了基于區(qū)塊鏈的VANET 系統(tǒng)。他們將事件消息與車輛信任等級結(jié)合起來，以適配工作量證明共識機(jī)制（proof of work，PoW）。作者引入了一種適用于車聯(lián)網(wǎng)的新型區(qū)塊鏈，是基于比特幣交易的事件消息構(gòu)建的，每個區(qū)塊的哈希值按順序鏈接在一起以形成區(qū)塊鏈。

（2）信任管理：由于網(wǎng)絡(luò)不穩(wěn)定和網(wǎng)絡(luò)攻擊，第三方權(quán)威機(jī)構(gòu)不一定是可信的。因此，需要一種無信任架構(gòu)來解決這個問題，網(wǎng)絡(luò)中每個車輛的信任值會根據(jù)其行為動態(tài)更新，車輛的信任值可用來評估車輛的行為。

為了解決車輛消息的可信度問題，文獻(xiàn)[41]中的作者提出了區(qū)塊鏈技術(shù)支持的VANET系統(tǒng)去中心化信任管理框架。使用貝葉斯推理數(shù)學(xué)模型驗(yàn)證車輛從相鄰車輛接收到的消息。在他們提出的協(xié)議中，RSU充當(dāng)?shù)V工，作者同時使用PoW 和權(quán)益證明共識機(jī)制（proof of stake，PoS）。對于塊驗(yàn)證，他們將車輛的信任值與車輛的消息綜合分析。

文獻(xiàn)[42]提出了多層的，基于區(qū)塊鏈的信任構(gòu)建和認(rèn)證框架，以維護(hù)網(wǎng)絡(luò)實(shí)體之間的信任關(guān)系。信任值大于閾值的車輛被選為礦工。上述方案的好處是采用以實(shí)體為中心的信任模型來確保數(shù)據(jù)所有權(quán)。

（3）證書管理：通過頒發(fā)證書保證車聯(lián)網(wǎng)中每輛車的通信身份，利用區(qū)塊鏈充當(dāng)證書頒發(fā)和撤銷來代替公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）功能，可以解決單點(diǎn)故障并增加網(wǎng)絡(luò)安全性。

文獻(xiàn)[43]為VANET 提供了基于區(qū)塊鏈的隱私保護(hù)認(rèn)證（BPPA）方案。該方案假設(shè)可信授權(quán)機(jī)構(gòu)是半可信的，在發(fā)生爭議時不會惡意跟蹤或泄露公鑰與目標(biāo)車輛真實(shí)身份之間的聯(lián)系。此外，半可信授權(quán)機(jī)構(gòu)是透明和可驗(yàn)證的，因?yàn)樗凶C書和交易都永久且不可更改地記錄在區(qū)塊鏈中。最后，BPPA采用時序默克爾樹（chronological Merkle tree，CMT）和MPT來擴(kuò)展傳統(tǒng)的區(qū)塊鏈結(jié)構(gòu)，從而提高效率和可擴(kuò)展性。

文獻(xiàn)[44]提出了一種基于區(qū)塊鏈的匿名信譽(yù)系統(tǒng)，以解決VANET 中的信譽(yù)管理、證書管理以及證書與車輛身份之間的隱私保護(hù)三個問題。在基于區(qū)塊鏈的匿名信譽(yù)系統(tǒng)中，提出了消息、證書和撤銷公鑰三種區(qū)塊鏈，來管理證書初始化、更新、撤銷和認(rèn)證過程。其次，提出了一種信譽(yù)評估算法來構(gòu)建VANET 中的信任模型。該算法利用獎勵機(jī)制來激勵誠實(shí)和活躍的節(jié)點(diǎn)，同時利用懲罰機(jī)制來抑制分發(fā)偽造消息等不當(dāng)行為。最后，使用第三方執(zhí)法機(jī)構(gòu)來保護(hù)車輛身份的隱私。第三方機(jī)構(gòu)代替了證書頒發(fā)機(jī)構(gòu)的部分功能，證書頒發(fā)機(jī)構(gòu)不知道車輛身份與相關(guān)證書之間的關(guān)聯(lián)，僅由執(zhí)法部門控制。

為解決證書管理問題，文獻(xiàn)[45]提出了一種去中心化的密鑰管理機(jī)制（DB-KMM），其中集成了輕量級認(rèn)證和基于區(qū)塊鏈的密鑰協(xié)商。DB-KMM通過區(qū)塊鏈和智能合約實(shí)現(xiàn)。該機(jī)制可以抵御內(nèi)外部攻擊、公鑰篡改、DoS攻擊、合謀攻擊等典型攻擊。

（4）數(shù)據(jù)管理：車聯(lián)網(wǎng)中的數(shù)據(jù)管理針對鏈上和鏈下數(shù)據(jù)的管理。鏈上數(shù)據(jù)要注意存儲和共享兩個方面，鏈下數(shù)據(jù)要突出數(shù)據(jù)的查詢處理和分析，傳統(tǒng)數(shù)據(jù)管理處理車輛數(shù)據(jù)時無法保證數(shù)據(jù)的完整性和可信度。區(qū)塊鏈可以通過合適的激勵機(jī)制促進(jìn)鏈上和鏈下的數(shù)據(jù)管理，確保鏈上和鏈下數(shù)據(jù)相互信任，可以說區(qū)塊鏈不僅充當(dāng)設(shè)備與車聯(lián)網(wǎng)中心之間的信息交換媒介，還充當(dāng)數(shù)據(jù)庫以確保相關(guān)數(shù)據(jù)的安全性。

為解決車聯(lián)網(wǎng)中海量數(shù)據(jù)采集問題，移動群智感知（MCS）是一種有效方式，目前多數(shù)文獻(xiàn)在不同的工作中提出了許多激勵機(jī)制，但大多數(shù)都沒有考慮車載網(wǎng)絡(luò)中緊急感知任務(wù)的情況。文獻(xiàn)[46]提出了一種基于區(qū)塊鏈的、安全信息交換車的聯(lián)網(wǎng)高效協(xié)同激勵機(jī)制，來鼓勵車輛協(xié)作完成緊急消息發(fā)布。更重要的是，作者提出了一個基于區(qū)塊鏈的框架來在車載MCS網(wǎng)絡(luò)中安全地交換數(shù)據(jù)。區(qū)塊鏈在充當(dāng)設(shè)備和車聯(lián)網(wǎng)系統(tǒng)之間信息交換媒介的同時，也作為數(shù)據(jù)庫來確保數(shù)據(jù)安全。

為了有效管理鏈上和鏈下的數(shù)據(jù)，文獻(xiàn)[47]提出了一種拍賣激勵機(jī)制。該激勵機(jī)制基于聯(lián)盟鏈的驅(qū)動來保證鏈上和鏈下數(shù)據(jù)可信度FF0C過濾消息的過程被描述為逆向拍賣，其中服務(wù)器充當(dāng)拍賣師，從用戶那里購買數(shù)據(jù)。對于鏈下數(shù)據(jù)，作者提出了一種，基于期望最大化（EM）算法的數(shù)據(jù)質(zhì)量評估，以評估實(shí)際任務(wù)數(shù)據(jù)和數(shù)據(jù)質(zhì)量。此外，設(shè)計(jì)基于區(qū)塊鏈數(shù)據(jù)質(zhì)量驅(qū)動拍賣（DQDA）模型，以低成本實(shí)現(xiàn)福利最大化。最后，設(shè)計(jì)智能合約來自動共享數(shù)據(jù)和計(jì)算成本。

（5）隱私保護(hù)：智能車輛會存儲用戶高頻率通行路線、個人隱私、駕駛喜好和習(xí)慣等，車輛可以看成個人隱私數(shù)據(jù)庫因此需要引入?yún)^(qū)塊鏈輔助來確保隱私安全。

考慮到共享數(shù)據(jù)的安全性和隱私保護(hù)，文獻(xiàn)[48]提出了一種基于密文策略屬性基加密（ciphertext-policy attribute-based encryption，CP-ABE）和區(qū)塊鏈的輕量級去中心化多授權(quán)訪問控制方案，通過該方案，去中心化多授權(quán)節(jié)點(diǎn)通過執(zhí)行輕量級計(jì)算來支持車輛用戶車輛云服務(wù)提供商（VCSP）的協(xié)助。使用區(qū)塊鏈來記錄存儲和訪問交易，實(shí)現(xiàn)用戶自我驗(yàn)證和密文不可篡改。使用智能合約減少用戶驗(yàn)證的工作量，并通過隱藏策略實(shí)現(xiàn)隱私保護(hù)。

現(xiàn)有方案大多在單一行政域內(nèi)考慮車輛安全和認(rèn)證，缺乏對智能交通系統(tǒng)中權(quán)力和實(shí)體的監(jiān)管。文獻(xiàn)[49]提出了一種多域車輛認(rèn)證架構(gòu)，通過引入?yún)^(qū)塊鏈技術(shù)在多個管理域之間建立分布式信任和共享跨域信息。同時為保證匿名性和可追溯性，提出了一種基于假名的隱私保護(hù)認(rèn)證方法?？紤]到監(jiān)督和密鑰托管，作者在RSU代理的幫助下設(shè)計(jì)了一個兩階段的假名機(jī)制。

利用區(qū)塊鏈去中心化、不可修改、可追溯，匿名性等特點(diǎn)，同時利用區(qū)塊鏈中共識機(jī)制和智能合約等算法與技術(shù)。針對車聯(lián)網(wǎng)單點(diǎn)故障、鏈路持續(xù)時間短暫造成的消息不可靠以及網(wǎng)絡(luò)拓?fù)渥兓煸斐傻难舆t敏感，道路情況需緊急處理等問題做出解決方案。區(qū)塊鏈智能合約技術(shù)可以自動化做出訪問控制決策，故對智能合約訪問策略審查至關(guān)重要，避免訪問和權(quán)限漏洞，訪問控制策略沖突等邏輯問題。具體情況如表2所示。

2.4 區(qū)塊鏈訪問控制技術(shù)在車聯(lián)網(wǎng)中的應(yīng)用場景

經(jīng)過對文獻(xiàn)調(diào)研，本文總結(jié)提煉出五種區(qū)塊鏈技術(shù)下車聯(lián)網(wǎng)訪問控制的應(yīng)用場景，分別是提供更安全的數(shù)據(jù)保護(hù)和資源共享、提供更安全的數(shù)據(jù)交易平臺、提供更方便的行人出行管理、方便交通事故取證和提高交通管理效率。

（1）提供更安全的數(shù)據(jù)保護(hù)和資源共享

智能汽車擁有更好的車機(jī)和人機(jī)交互系統(tǒng)，新購置的汽車從注冊完用戶信息后就存在數(shù)據(jù)泄露的風(fēng)險，因此，需要通過信任值的高低判斷數(shù)據(jù)和資源是否安全。

車聯(lián)網(wǎng)中的邊緣信任始終是未解決的問題，為了解決未經(jīng)授權(quán)的數(shù)據(jù)和資源共享，文獻(xiàn)[50-51]利用區(qū)塊鏈技術(shù)在邊緣節(jié)點(diǎn)之間增加信任，通過智能合約實(shí)現(xiàn)可靠的數(shù)據(jù)共享，并采用基于有向無環(huán)圖（directed acyclic graph，DAG）的分布式共識協(xié)議以達(dá)成共識，數(shù)據(jù)存儲智能合約（DSSC）和信息共享智能合約（ISSC）部署在車載區(qū)塊鏈上，以實(shí)現(xiàn)安全和分散的數(shù)據(jù)共享。DrivMan[52]是一個基于區(qū)塊鏈信任的數(shù)據(jù)共享方案，它會在車載自組網(wǎng)中生成數(shù)據(jù)同時引入資源來保護(hù)用戶隱私，使用物理不可克隆函數(shù)（physical unclonable function，PUF）為每個車輛分配一個唯一的加密ID稱為cID，使用PKI為每個用戶分配公鑰和私鑰，這樣在非信任的車聯(lián)網(wǎng)下能方便維護(hù)信任管理。有些學(xué)者在現(xiàn)有共識機(jī)制上進(jìn)行軟安全設(shè)計(jì)方案[53]通過增強(qiáng)股份授權(quán)證明機(jī)制（delegated proof of stake，DPoS）共識算法實(shí)現(xiàn)安全的P2P 數(shù)據(jù)共享，整個解決方案分為兩個步驟第一個步驟是選擇聲譽(yù)高的礦工，第二個步驟是激勵礦工參與出塊驗(yàn)證。為了對礦工聲譽(yù)有效評估提出多權(quán)重主觀邏輯方法，根據(jù)過去車輛和RSU 之間的交互和推薦制定礦工聲譽(yù)評估。車輛在獲得RSU最終意見后把其最終聲譽(yù)值上傳至區(qū)塊并將最終聲譽(yù)值作為其他車輛的參考。

（2）提供更安全的交易平臺

車聯(lián)網(wǎng)中的數(shù)據(jù)是具有商業(yè)價值的，車聯(lián)網(wǎng)復(fù)雜程度高，對數(shù)據(jù)交易的安全性要求也越高。車聯(lián)網(wǎng)中數(shù)據(jù)交易具有參與者多、利益沖突、雙方互不信任等特點(diǎn)，例如汽車品牌獨(dú)有的車輛技術(shù)有可能會因?yàn)閿?shù)據(jù)交易被泄露。

Chen 等人[54]在聯(lián)盟鏈中建立點(diǎn)對點(diǎn)類型的交易框架，此框架可用來對用戶的交易記錄進(jìn)行審計(jì)和驗(yàn)證，而有些信譽(yù)低的用戶或者擁有某些數(shù)據(jù)的多個用戶聯(lián)合起來制定高價，使得交易難以進(jìn)行，降低用戶參與交易的積極性，難以維護(hù)整個區(qū)塊鏈的運(yùn)行。為防止這種現(xiàn)象，作者使用了一種迭代的雙重拍賣機(jī)制，參與者通過投標(biāo)來決定買賣雙方交易的數(shù)據(jù)量及其價格，在可信機(jī)構(gòu)注冊后，每個車輛都被視為聯(lián)盟區(qū)塊鏈中的合法實(shí)體。由于傳統(tǒng)數(shù)據(jù)交易系統(tǒng)中數(shù)據(jù)擁有者和用戶依賴服務(wù)提供商（如運(yùn)營商），數(shù)據(jù)不易被監(jiān)管且易出現(xiàn)單點(diǎn)故障如，文獻(xiàn)[55]提出一種委托監(jiān)視的高效控制模型，引入一種策略監(jiān)視器，控制監(jiān)管用戶數(shù)據(jù)使用，并且在本地驗(yàn)證和授權(quán)用戶交易操作以提高效率，針對公平交易設(shè)計(jì)了鏈上智能合約，車聯(lián)網(wǎng)中的用戶可以通過該合約對某數(shù)據(jù)和數(shù)據(jù)集價格達(dá)成共識實(shí)現(xiàn)公平交易，但是此模型沒有針對共謀攻擊和價格控制做出設(shè)計(jì)，應(yīng)該對參與共識的節(jié)點(diǎn)有信譽(yù)值的判斷，交易環(huán)境才能更安全。

（3）提供更方便的行人出行管理

在城市擁擠路段尋找可用停車位比較困難，浪費(fèi)時間的同時燃油汽車的碳排放不可避免地增多，于是政府及地下停車場等推出智能出行APP 提供預(yù)約可用停車位服務(wù)。這會造成兩種現(xiàn)象，①用戶完成預(yù)約以后不及時到達(dá)停車位導(dǎo)致停車位資源一直被占用；②用戶預(yù)約完成以后自身信息被透露，比如用戶的到達(dá)時間、路線、目的地等，另外系統(tǒng)崩潰時單點(diǎn)故障問題不可避免。

于是文獻(xiàn)[56]Al 引入?yún)^(qū)塊鏈技術(shù)設(shè)計(jì)出一個安全的保護(hù)個人隱私的智能停車系統(tǒng)。用戶通過使用隱私信息檢索技術(shù)，向區(qū)塊鏈發(fā)送查詢來檢索停車優(yōu)惠，其中每個區(qū)塊鏈節(jié)點(diǎn)向駕駛員發(fā)送響應(yīng)，根據(jù)檢索到的停車位價格提出自己的停車報(bào)價（提出自己的報(bào)價是以匿名的方式），收到停車報(bào)價消息后所有驗(yàn)證者使用Raft共識算法參與驗(yàn)證，允許以后采用短隨機(jī)化簽名確認(rèn)預(yù)定。Raft 算法比PoW、PoS 有更快的共識時間，智能出行APP開發(fā)完成后缺少足夠的技術(shù)人員對其進(jìn)行維護(hù)，導(dǎo)致惡意停車場對外宣稱沒有空余停車位、惡意車輛一直占用停車位，一個用戶多預(yù)定車位等情況不斷發(fā)生。文獻(xiàn)[57]結(jié)合區(qū)塊鏈提出了一個可靠的停車協(xié)議應(yīng)對上述問題，該文設(shè)計(jì)的停車系統(tǒng)中根據(jù)城市區(qū)域劃分成多個M類型的正方形并有各自ID標(biāo)識。該停車系統(tǒng)主要特點(diǎn)是有兩條鏈，一個是主鏈另一個是子鏈，為了保證停車場信息是可靠的，系統(tǒng)將停車場信息上傳到所有子鏈中，如果停車場上鏈的停車信息與現(xiàn)實(shí)情況不符合，或者停車位已經(jīng)被占用但鏈上顯示空余這些虛假信息。全部由本地服務(wù)器簽名上鏈，被驗(yàn)證是消息虛假后上傳至受信任的權(quán)威機(jī)構(gòu)處理，給予罰款并降低信任值。

（4）方便交通事故取證

雖然在現(xiàn)代發(fā)達(dá)交通網(wǎng)中基本可以做到城市攝像頭全面覆蓋，但不免有監(jiān)控死角或者攝像頭發(fā)生故障，造成交警取證困難。車聯(lián)網(wǎng)中的廣播系統(tǒng)也與交通事故取證相關(guān)，車輛檢測到附近有交通違紀(jì)行為或自身車輛數(shù)據(jù)出現(xiàn)異常都會向周圍車輛發(fā)出警告。

隨著自動駕駛技術(shù)引入車輛中，交通事故取證分析就變得至關(guān)重要，很難分析是車輛自身發(fā)生了故障還是車聯(lián)網(wǎng)中的其他車輛數(shù)據(jù)干擾到自動駕駛計(jì)算等。于是文獻(xiàn)[58]設(shè)計(jì)了一個分布式賬本用來存儲車輛細(xì)節(jié)處數(shù)據(jù)，通過物聯(lián)網(wǎng)和綜合信息物理系統(tǒng)（cyber physical systems，CPS）功能將傳感器數(shù)據(jù)與決策實(shí)體結(jié)合生成取證信息，文章提出的框架包含車輛、維修部、車輛制造商、執(zhí)法部門和保險公司五部分，其主要取證程序嵌入在車載單元中，通過控制器局域網(wǎng)從事件記錄器和從其他車輛接收到的消息檢索數(shù)據(jù)，取證程序會經(jīng)常通過加密措施與保險部門共享檢索的數(shù)據(jù)。此外車輛制造商會定期收到車輛的質(zhì)檢報(bào)告，維修記錄以哈希的方式上傳到區(qū)塊鏈上，此外這些數(shù)據(jù)也能放到個人云中。

（5）提高交通管理效率

根據(jù)車流量數(shù)據(jù)、街道事故發(fā)生率、車輛行駛路線等，可以在道路中能動態(tài)調(diào)整紅綠燈時間、預(yù)測擁堵狀況，更改行駛路線這些都可以使交通管理變得更容易。

車輛需要提供信息來輔助交通控制提高交通管理效率，在文獻(xiàn)[59]中提出了一種基于屬性的區(qū)塊鏈半中心化模式，稱為半集中式交通信號控制模式（SCTSC），在區(qū)塊鏈中加入基于屬性的訪問控制實(shí)現(xiàn)細(xì)粒度訪問控制，根據(jù)靜態(tài)實(shí)體固有特征附著的屬性，靜態(tài)屬性一定是不長時間更新的，所以使用CP-ABE分發(fā)密鑰時就降低了成本，其中需要經(jīng)常修改的屬性稱為動態(tài)屬性，但要時常更新。區(qū)塊鏈?zhǔn)管囕v能夠通過投票達(dá)成共識協(xié)議，在投票過程中決定信號時間，接下來，協(xié)議和決定將存儲在區(qū)塊鏈上，這樣在保證隱私的情況下互相交互確定臨時信號時序。

通過分布式方法管理車輛數(shù)據(jù)和資源，消除對可信第三方的依賴，針對車聯(lián)網(wǎng)中實(shí)體越來越多等問題，通過智能合約自動化驗(yàn)證極大方便駕駛體驗(yàn)，且永久存儲車輛行為方便交通事故取證。

車輛節(jié)點(diǎn)增長迅速，對節(jié)點(diǎn)和的存儲能力和計(jì)算能力的要求也隨之增強(qiáng)。對此可以將大范圍的車聯(lián)網(wǎng)，分割成小區(qū)域的車聯(lián)網(wǎng)，這樣會降低區(qū)域內(nèi)所生成區(qū)塊的時間，提高整個車聯(lián)網(wǎng)系統(tǒng)的吞吐量，但分隔開的各個小區(qū)域車聯(lián)網(wǎng)需使用同一種類型區(qū)塊鏈，避免區(qū)塊鏈自身的差異性等問題，綜上引入?yún)^(qū)塊鏈訪問控制技術(shù)極大提高車輛駕駛環(huán)境的安全性、方便車輛日常出行，提高交通管理效率，詳情見表3。

表3 區(qū)塊鏈訪問控制技術(shù)在車聯(lián)網(wǎng)中應(yīng)用場景總結(jié)Table 3 Summary of application scenarios of block chain access control technology in Internet of vehicles

3 車聯(lián)網(wǎng)訪問控制在區(qū)塊鏈技術(shù)下的實(shí)現(xiàn)方案

車聯(lián)網(wǎng)中如要對某請求者的申請作出判決需考慮眾多因素，如：信任值高低、歷史行為記錄、道路事故概率、車輛位置是否安全和通信是否正常等，都能成為影響訪問控制判斷的因素?；趨^(qū)塊鏈的車聯(lián)網(wǎng)訪問控制根據(jù)判別方式的不同可以分為三種：基于信任的訪問控制機(jī)制、基于位置的訪問控制機(jī)制，基于風(fēng)險的訪問控制機(jī)制。

基于信任的訪問控制機(jī)制根據(jù)申請者在整個車聯(lián)網(wǎng)歷史的聲譽(yù)積累值做出評判，歷史聲譽(yù)值和內(nèi)部礦工聲譽(yù)值這兩種聲譽(yù)值常作為基于信任的訪問控制機(jī)制的評判指標(biāo)。

基于位置的訪問控制已成為提高車聯(lián)網(wǎng)安全性的一種手段，通過將用戶和系統(tǒng)連接到特定位置，使攻擊者難以破壞系統(tǒng)，在當(dāng)前車聯(lián)網(wǎng)環(huán)境中可以做到更有效的訪問控制。

基于風(fēng)險的訪問控制研究使用了多種方法來檢查和預(yù)測道路事故概率，包括標(biāo)準(zhǔn)分析、深度學(xué)習(xí)和智能系統(tǒng)，基于角色或基于屬性的訪問控制很難防止惡意霧節(jié)點(diǎn)在基于云的情況下進(jìn)入該區(qū)域。

以上三種基于區(qū)塊鏈的車聯(lián)網(wǎng)訪問控制分別采用區(qū)塊鏈中事務(wù)與智能合約來實(shí)現(xiàn)。通過引入?yún)^(qū)塊鏈?zhǔn)聞?wù)，根據(jù)區(qū)塊鏈的可信任存儲優(yōu)勢，系統(tǒng)將訪問看作交易事務(wù)，給予申請者允許、撤銷和禁止等權(quán)限，所有人都可以在區(qū)塊鏈上查看用戶的訪問情況，而且整個流程參與人員的操作信息也會上鏈以供審計(jì)。引入智能合約，根據(jù)區(qū)塊鏈的可信任計(jì)算優(yōu)勢，可信權(quán)威（trust authority，TA）和用戶將訪問控制策略編碼成智能合約，根據(jù)智能合約給予申請者權(quán)限[60]。從而實(shí)現(xiàn)基于區(qū)塊鏈的車聯(lián)網(wǎng)訪問控制。

3.1 基于信任的訪問控制機(jī)制

基于信任的訪問控制機(jī)制，目的主要是驗(yàn)證用戶身份信息是否為惡意節(jié)點(diǎn)，廣播消息是否可信，其本質(zhì)可以看成是驗(yàn)證用戶身份并授予訪問權(quán)限的系統(tǒng)。

Maria等人[61]提出一種結(jié)合區(qū)塊鏈的匿名認(rèn)證方式BBAAS，用戶在完成自身注冊以后需要提交自身地址和ID等憑證進(jìn)入車聯(lián)網(wǎng)認(rèn)證系統(tǒng)。認(rèn)證后生成公私鑰對，這些信息將存儲在連續(xù)的RSU 中幫助完成車輛身份認(rèn)證，解決了不同RSU 之間需要重新認(rèn)證身份的難題，區(qū)塊鏈服務(wù)器作為匿名切換認(rèn)證的輔助。同樣也是匿名認(rèn)證但是Noh 等人[62]并不是對身份認(rèn)證而是對車聯(lián)網(wǎng)中廣播消息進(jìn)行匿名，將區(qū)塊鏈交易看作車載網(wǎng)絡(luò)中傳輸?shù)南ⅲ⒂肕erklehash 來驗(yàn)證，因此系統(tǒng)有可追溯性。用戶每次廣播時都將驗(yàn)證其身份，TA 收到消息后通過PoW 和實(shí)用拜占庭（practical Byzantine fault tolerance，PBFT）兩種共識算法同時認(rèn)證生成的區(qū)塊，此PBFT改進(jìn)了選擇leader過程增加計(jì)算速度但額外會增加一些開銷。Zheng 等人[63]為了防止偽裝攻擊，在不泄露用戶身份的情況下持續(xù)保持匿名，設(shè)計(jì)了一個基于區(qū)塊鏈的安全分布式交易云存儲方案。此方案可以提供去中心化且可信的通信環(huán)境，使用區(qū)塊存儲車輛交易公告，結(jié)合分布式云存儲降低區(qū)塊鏈的容量負(fù)擔(dān)，可以有效保護(hù)交易信息使其免受攻擊。Xu等人[64]設(shè)計(jì)出一種基于隱私保護(hù)的遠(yuǎn)程身份認(rèn)證模型RASM，適用于V2X中的智能汽車。首先會將通信的車輛基本信息寫入?yún)^(qū)塊鏈并標(biāo)記寫入時間和驗(yàn)證時間，其次車輛計(jì)算并評估車輛身份，最后區(qū)塊鏈系統(tǒng)維護(hù)一個特定參數(shù)，記錄每個節(jié)點(diǎn)的信用值，該值在網(wǎng)絡(luò)中動態(tài)變化，并根據(jù)節(jié)點(diǎn)的信任值變化增加或減少。

霧計(jì)算適合于邊緣網(wǎng)絡(luò)設(shè)備中，應(yīng)用于遼闊的地理分布位置，Yao 等人[65]為了使霧計(jì)算更好地應(yīng)用在車聯(lián)網(wǎng)中，提出了一種分布式的基于區(qū)塊鏈輔助輕量級匿名身份驗(yàn)證BLA機(jī)制。與上述訪問控制不同的是它免去了車輛與服務(wù)器之間的交互性，降低了在認(rèn)證身份過程中服務(wù)器之間的通信延遲，廣播認(rèn)證結(jié)果通過PBFT共識算法寫入?yún)^(qū)塊。當(dāng)移動到下一個服務(wù)器區(qū)域后不需要再額外認(rèn)證。

車聯(lián)網(wǎng)在享受位置共享等便利信息的同時也容易泄露車輛位置信息，作為最流行的位置隱私保護(hù)方法之一，K-匿名可以在保證個性化隱私要求的情況下提供精確的查詢結(jié)果而無需任何密鑰共享。Luo 等人[66]將K-匿名隱私保護(hù)引入?yún)^(qū)塊鏈中提出了一種支持區(qū)塊鏈的基于信任的位置隱私保護(hù)方案，將車輛此前的信任信息存儲在區(qū)塊鏈上。K-匿名會假設(shè)所有車輛都是誠實(shí)可信的，因此安全性會稍微降低，圖3 為基于信任的位置隱私保護(hù)方案框架。Feng 等人[67]提出一種基于信任機(jī)制的可信隱身區(qū)域構(gòu)建（TCAC）方案，以保護(hù)車輛的位置隱私，在TCAC 中信任值不只用來篩選誠實(shí)節(jié)點(diǎn)，也用作邊緣計(jì)算，同時信任值還用來決定車輛位置服務(wù)請求。

圖3 基于信任的位置隱私保護(hù)方案框架Fig.3 Framework for location privacy protection scheme based on trust

V2X（vehicle-to-everything）信息通信技術(shù)的產(chǎn)生，將車輛與周圍的車、人、交通基礎(chǔ)設(shè)施和網(wǎng)絡(luò)等全方位結(jié)合于是產(chǎn)生了車輛社交網(wǎng)絡(luò)，Kim等人[68]將此網(wǎng)絡(luò)分成三層架構(gòu)分別是社交網(wǎng)絡(luò)、車載社交網(wǎng)絡(luò)和車載網(wǎng)絡(luò)，社交網(wǎng)絡(luò)層可以共享車主信息和車輛目前行駛狀態(tài)，但是對安全方面缺少考慮。Ren 等人[69]設(shè)計(jì)了一種五層的分散式邊緣計(jì)算架構(gòu)對連接的智能車輛設(shè)備進(jìn)行訪問控制，第一層為邊緣網(wǎng)絡(luò)設(shè)備層，利用各種終端進(jìn)行監(jiān)控；第二層為智能控制系統(tǒng)層，大量監(jiān)控終端構(gòu)建自組網(wǎng)形式的邊緣網(wǎng)用來收集信息，并在本地處理；第三層為管控中心也稱邊緣網(wǎng)絡(luò)中心，中心被認(rèn)為是區(qū)塊鏈網(wǎng)絡(luò)中的礦工，負(fù)責(zé)存儲區(qū)塊鏈信息和驗(yàn)證交易；第四層為區(qū)塊鏈網(wǎng)絡(luò)，一個或多個邊緣網(wǎng)絡(luò)中心都可以構(gòu)成區(qū)塊鏈網(wǎng)絡(luò)；第五層為云計(jì)算中心，將復(fù)雜計(jì)算任務(wù)轉(zhuǎn)移到云中計(jì)算。

為了防止礦工候選人與高風(fēng)險車輛互相勾結(jié)投票，Kang 等人[70]提出一個兩階段的軟安全增強(qiáng)解決方案第一階段是礦工選擇，第二階段為區(qū)塊驗(yàn)證。第一階段設(shè)計(jì)基于聲譽(yù)的投票方案，通過與過去車輛的交互得出推薦意見來獲得聲譽(yù)，聲譽(yù)高的候選者不直接成為礦工而是成為活躍礦工和備用礦工。第二階段防止活躍礦工內(nèi)部勾結(jié)，生成的區(qū)塊由備用區(qū)塊驗(yàn)證和審計(jì)并通過激勵機(jī)制激勵備用區(qū)塊，圖4為在車輛邊緣網(wǎng)絡(luò)中使用區(qū)塊鏈安全存儲和共享數(shù)據(jù)的框架結(jié)構(gòu)。Sun等人[71]基于區(qū)塊鏈技術(shù)開發(fā)了一種新穎的信譽(yù)系統(tǒng)，用于用戶可信度判斷。在該框架中，車輛通過觀察交通環(huán)境對收到的消息進(jìn)行評級，并將這些評級輸入?yún)^(qū)塊，每個區(qū)塊都通過存儲前一個區(qū)塊的哈希值鏈接到現(xiàn)有區(qū)塊，之后，從車輛中選擇臨時中心節(jié)點(diǎn)來廣播區(qū)塊鏈中的評級。

圖4 邊緣網(wǎng)絡(luò)下的區(qū)塊鏈安全存儲和共享數(shù)據(jù)Fig.4 Blockchain under edge network securely stores and shares data

Chai 等人[72]提出了一種在車載能源網(wǎng)絡(luò)中支持區(qū)塊鏈的安全激勵模型。引入許可的能源區(qū)塊鏈系統(tǒng)，用于使用加密貨幣和分布式賬本，安全地實(shí)施能源輸送服務(wù)，并建立了名為聲譽(yù)證明（proof of reputation，PoR）的協(xié)議，經(jīng)實(shí)驗(yàn)結(jié)果表明可在區(qū)塊鏈中高效達(dá)成共識。

綜上所述，基于信任的訪問控制機(jī)制有六種保護(hù)方式，分別為通過匿名認(rèn)證、廣播認(rèn)證、激勵機(jī)制、位置信息加密、內(nèi)部礦工聲譽(yù)和歷史聲譽(yù)值，通過這六種方式在車聯(lián)網(wǎng)之間增加信任。針對惡意節(jié)點(diǎn)對車聯(lián)網(wǎng)網(wǎng)絡(luò)的攻擊，廣播消息是否可信等問題，通過區(qū)塊鏈技術(shù)達(dá)到匿名認(rèn)證目的，引入隱私保護(hù)算法對車輛位置消息加密保障車輛安全，構(gòu)建與區(qū)塊鏈結(jié)合的聲譽(yù)評估模型等提高整體車聯(lián)網(wǎng)系統(tǒng)的安全性并抵擋多種惡意攻擊。車輛的信任值每段時間就要及時更新，而車聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)處于不斷變化當(dāng)中，使得計(jì)算復(fù)雜，車輛信任值不能及時更新；結(jié)合信任，可構(gòu)建信任值計(jì)算，設(shè)置閾值和信任等級，避免惡意節(jié)點(diǎn)參與，實(shí)現(xiàn)可控訪問；針對車聯(lián)網(wǎng)制定的共識機(jī)制太少，PoR 等雖可以達(dá)成有效共識，但耗能太大；驗(yàn)證廣播消息時可嘗試采用基于密鑰策略的屬性加密（key-policy ABE，KP-ABE）對消息加密；對RSU 等硬件做保護(hù)措施，保障數(shù)據(jù)安全，就目前來看通過智能合約增加信任的方式較少，應(yīng)多與智能合約結(jié)合通過可信計(jì)算構(gòu)建信任值計(jì)算，進(jìn)而實(shí)現(xiàn)訪問控制決策。具體細(xì)節(jié)如表4所示。

表4 基于信任的車聯(lián)網(wǎng)訪問控制機(jī)制總結(jié)Table 4 Summary of trust-based access control mechanism for Internet of vehicles

3.2 基于位置的訪問控制機(jī)制

在基于位置的訪問控制中，系統(tǒng)通過傳感器推斷用戶位置并與物理環(huán)境相結(jié)合達(dá)到有效的訪問控制，身份認(rèn)證、消息認(rèn)證、隱私保護(hù)和位置認(rèn)證為基于位置訪問控制機(jī)制的主要保護(hù)方式。

文獻(xiàn)[73]提出了一種高效且保護(hù)隱私的拼車方案，使用區(qū)塊鏈為輔助的車輛霧計(jì)算來支持條件隱私、一對多匹配、目的地匹配并保證數(shù)據(jù)和訂單的可審計(jì)性。其特點(diǎn)是引入車輛霧計(jì)算，在本地乘客和司機(jī)之間引入霧節(jié)點(diǎn)，再由RSU構(gòu)建私有區(qū)塊鏈，采用帶有位置標(biāo)簽的測試實(shí)現(xiàn)鄰近車輛和乘客的一對多匹配。車輛和司機(jī)之間設(shè)有唯一的密鑰，整個拼車過程會記錄在RSU 搭建的私有區(qū)塊鏈上，大量數(shù)據(jù)存放到服務(wù)器中，為了降低成本只將拼車數(shù)據(jù)的哈希值上傳至鏈上。RSU 沒有預(yù)防眾多的攻擊措施，另外使用搭建私鏈并不是主流的方式還應(yīng)發(fā)展在公鏈上的拼車系統(tǒng)。

物聯(lián)網(wǎng)中的設(shè)備是靜態(tài)的，不用考慮設(shè)備動態(tài)變化性，而車聯(lián)網(wǎng)中大多數(shù)應(yīng)用根據(jù)車輛位置數(shù)據(jù)來設(shè)計(jì)，比如在智能運(yùn)輸系統(tǒng)（intelligent transportation system，ITS）中，車輛可以獲得周圍路況信息和天氣信息，在ITS中可以根據(jù)當(dāng)前位置獲得交通擁堵情況，通過這個特性搜索停車位等信息。Jiang 等人[74]提出一種基于位置數(shù)據(jù)的訪問控制（LB-DAC）同時引入ABAC，數(shù)據(jù)擁有者在指定訪問控制策略下對想要共享的數(shù)據(jù)加密并上傳到云服務(wù)器中，區(qū)塊鏈系統(tǒng)負(fù)責(zé)屬性權(quán)限參數(shù)發(fā)布和位置權(quán)限參數(shù)的發(fā)布，當(dāng)申請?jiān)L問的車輛的屬性和自身位置數(shù)據(jù)同時滿足時才能進(jìn)行解密操作。其在實(shí)際部署中作者引入了霧節(jié)點(diǎn)，一方面可以起到定位作用，當(dāng)車輛到達(dá)某指定位置時向它發(fā)送定位密鑰，另一方面它可以作為計(jì)算資源作用于解密過程，圖5為LB-DAC在車聯(lián)網(wǎng)中的部署。Zhou 等人[75]也根據(jù)位置數(shù)據(jù)信息提出了一種使用區(qū)塊鏈和智能合約的去中心化汽車共享控制方案，在車主和租戶之間建立一個安全、可信和防篡改平臺有效防止數(shù)據(jù)篡改。

圖5 LB-DAC在車聯(lián)網(wǎng)中的部署Fig.5 Deployment of LB-DAC in networking of vehicles

基于位置的訪問控制在決定是否應(yīng)允許移動用戶訪問特定資源（如文件、數(shù)據(jù)或服務(wù)）時考慮了移動用戶的當(dāng)前位置。經(jīng)上述研究可以總結(jié)出兩個關(guān)鍵點(diǎn)：（1）利用加密技術(shù)對車輛位置加密，也可以通過引入屬性加密（attribute-based encryption，ABE）可以提供更方便的加密方式，但是引入以后需要考慮計(jì)算開銷，在保證外包計(jì)算正確的前提下可以引入外包計(jì)算；（2）在實(shí)際場景中提供移動性支持在基于位置的訪問控制下較為重要，引入霧計(jì)算可以很好地解決這一需求。綜上，車輛位置可嘗試通過高級加密標(biāo)準(zhǔn)（advanced encryption standard，AES）與ABE 結(jié)合的混合加密方式，提高車輛位置機(jī)密性；也可以先通過組織、機(jī)構(gòu)等劃分固定數(shù)據(jù)和資源的共享區(qū)域再與RBAC，BAC等構(gòu)建訪問控制機(jī)制，但也需注意數(shù)據(jù)的保護(hù)。針對車聯(lián)網(wǎng)中基于位置的訪問控制需結(jié)合外包計(jì)算，霧計(jì)算等計(jì)算方式，應(yīng)多與智能合約結(jié)合整合歸納鏈上數(shù)據(jù)，詳情如表5所述。

3.3 基于風(fēng)險的訪問控制機(jī)制

基于風(fēng)險的授權(quán)可以動態(tài)評估節(jié)點(diǎn)的危險性，以提供數(shù)據(jù)機(jī)密性和安全性，其保護(hù)方式有兩種分別是歷史行為和通信特征。

車聯(lián)網(wǎng)中已經(jīng)通過引入機(jī)器學(xué)習(xí)算法分析車輛歷史行為構(gòu)建風(fēng)險預(yù)測模型來動態(tài)進(jìn)行動態(tài)訪問控制，但是用機(jī)器學(xué)習(xí)一般需要大量數(shù)據(jù)，當(dāng)只有小部分?jǐn)?shù)據(jù)時無法進(jìn)行有效分析。Liu等人[76]設(shè)想利用生成對抗網(wǎng)絡(luò)（GANs）對樣本進(jìn)行微調(diào)和優(yōu)化，這樣小數(shù)據(jù)集也可以保證預(yù)測準(zhǔn)確性，針對GANs中梯度消失和模式崩潰問題設(shè)計(jì)了一種Wasserstein組合GAN方法稱為WCGAN，在GANs 下引入支持邊緣鏈的系統(tǒng)來促進(jìn)車聯(lián)網(wǎng)設(shè)備的安全，并稱為基于風(fēng)險預(yù)測的訪問控制（RPBAC）。區(qū)塊鏈網(wǎng)絡(luò)由RSU 和車輛節(jié)點(diǎn)組成，車輛節(jié)點(diǎn)充當(dāng)輕節(jié)點(diǎn)，RSU作為全節(jié)點(diǎn)，區(qū)塊鏈負(fù)責(zé)安全存儲智能合約來控制策略的自動執(zhí)行。根據(jù)預(yù)測等級評估請求車輛訪問權(quán)限，得出相應(yīng)訪問策略，再為車聯(lián)網(wǎng)設(shè)備分配不同的訪問權(quán)限，圖6為支持邊鏈的訪問控制框架。Priscila等人[77]提出一種具有車輛節(jié)點(diǎn)和RSU 的人工智能訪問控制機(jī)制（AI-ACM）來克服車聯(lián)網(wǎng)被惡意節(jié)點(diǎn)攻擊和未授權(quán)節(jié)點(diǎn)滲透現(xiàn)象，使用車輛節(jié)點(diǎn)作為輕量級節(jié)點(diǎn)，RSU作為綜合節(jié)點(diǎn)和邊緣節(jié)點(diǎn)提供訪問控制服務(wù)，使用GAN 做平均風(fēng)險預(yù)測。經(jīng)過對平均風(fēng)險評估、CPU 利用率和延遲等測試結(jié)果證明引入?yún)^(qū)塊鏈和人工智能技術(shù)可以提高系統(tǒng)的安全性和準(zhǔn)確性。

圖6 支持邊緣鏈的訪問控制框架Fig.6 Access control framework of supporting edge chains

Miao等人[78]利用聯(lián)盟鏈-私鏈雙鏈架構(gòu)設(shè)計(jì)了一種基于區(qū)塊鏈技術(shù)的電動車車聯(lián)網(wǎng)數(shù)據(jù)安全訪問控制機(jī)制，通過雙鏈架構(gòu)構(gòu)建分布式數(shù)據(jù)庫保證數(shù)據(jù)安全，引入長短期記憶（long short-term memory，LSTM）分析通信行為風(fēng)險，在車輛通信中引入生成器和判別器規(guī)避通信風(fēng)險從而實(shí)現(xiàn)安全訪問。

區(qū)塊鏈在基于風(fēng)險的訪問控制中充當(dāng)安全性系統(tǒng)，（1）使用智能合約主要用于對訪問制策略的自動執(zhí)行；（2）利用區(qū)塊鏈不可篡改性，并使用區(qū)塊鏈存儲車輛行為數(shù)據(jù)，以保證引入的風(fēng)險模型有準(zhǔn)確的風(fēng)險預(yù)測。使用機(jī)器學(xué)習(xí)構(gòu)建風(fēng)險預(yù)測模型來進(jìn)行動態(tài)訪問控制，需要對數(shù)據(jù)集提前處理，篩選不合格和冗余數(shù)據(jù)；也可將誠實(shí)節(jié)點(diǎn)和惡意節(jié)點(diǎn)分成兩個數(shù)據(jù)集，觀察惡意節(jié)點(diǎn)特征，對惡意節(jié)點(diǎn)做特征提取，在總數(shù)據(jù)集中保證風(fēng)險預(yù)測質(zhì)量，提高訪問控制性能；通過智能合約實(shí)現(xiàn)訪問控制策略作出判決，需審查智能合約訪問策略的邏輯，檢查漏洞，可結(jié)合聯(lián)邦學(xué)習(xí)或者機(jī)器學(xué)習(xí)進(jìn)行漏洞檢測。如前所述，需要有準(zhǔn)確的數(shù)據(jù)保障模型有具體的風(fēng)險預(yù)測，數(shù)據(jù)保護(hù)類型可多選取可信存儲，多存儲用戶數(shù)據(jù)信息，車輛行駛信息，具體細(xì)節(jié)如表6所述。

表6 基于風(fēng)險的車聯(lián)網(wǎng)訪問控制機(jī)制總結(jié)Table 6 Summary of risk-based access control mechanism for Internet of vehicles

4 區(qū)塊鏈技術(shù)下訪問控制性能評估參數(shù)分析

在上一章深入研究三種區(qū)塊鏈訪問控制的基礎(chǔ)上，本章總結(jié)了文獻(xiàn)中涉及到的仿真環(huán)境和常見的性能參數(shù)，并分析實(shí)驗(yàn)合理性和真實(shí)可用性。

（1）通信開銷：消息編碼（message authentication code，MAC）和物理層（physical layer，PHY）開銷是IoV中的一個重要因素。在車聯(lián)網(wǎng)系統(tǒng)中，通過車輛網(wǎng)絡(luò)中的無線信道傳輸?shù)男畔⒎譃榘踩头前踩畔?，安全信息通過車輛廣播，文獻(xiàn)[23]把消息的分組大小被設(shè)置為800 Byte。對于汽車產(chǎn)生的非安全消息，在一定時間內(nèi)累積記錄，進(jìn)而打包成數(shù)據(jù)包，最后上傳到附近的RSU。非安全消息分組的大小通常比安全消息的大小更重要，在文獻(xiàn)[77]中把區(qū)塊鏈數(shù)據(jù)包的大小設(shè)為512 Byte，應(yīng)用程序數(shù)據(jù)包的長度為64 Byte。通信開銷隨時間的移動平均值可以表示為：

total PHYBytes表示總的物理層的流量，total AppBytes表示總的數(shù)據(jù)鏈路層的流量。

（2）去中心化程度：對去中心化程度量化分析，可以更好地判斷車聯(lián)網(wǎng)系統(tǒng)去中心化程度的高低，也可以判斷系統(tǒng)的修改對去中心化程度大小的影響。區(qū)塊鏈的去中心化程度可以通過礦工之間的控制權(quán)和資源分配來評估，以便系統(tǒng)框架的設(shè)計(jì)和算法的優(yōu)化，最大程度地分散權(quán)力。通過考慮礦工節(jié)點(diǎn)的地理位置分布，文獻(xiàn)[79-80]使用基尼系數(shù)g(λ) 來測量所提出協(xié)議的去中心化程度?；嵯禂?shù)g(λ) 可以表示為：

其中，a是RSU地理位置的二維坐標(biāo)(x,y)的面積，λ(x)是區(qū)域內(nèi)礦工節(jié)點(diǎn)密度，M是區(qū)塊鏈系統(tǒng)中礦工節(jié)點(diǎn)數(shù)量。基尼系數(shù)g(λ) 的值在[0，1]范圍內(nèi)，其中0 表示完全分散，1表示完全集中。因此，礦工的地理分布越分散或均勻，系數(shù)越接近0。此外，為了保證礦工的地理分散，需要滿足以下約束條件：

其中，ηg是礦工地理分布的分散閾值。

（3）延遲：延遲指發(fā)送消息并被成功接收所需的時間，一般情況下計(jì)算平均延遲時不考慮傳輸失敗的情況，即數(shù)據(jù)包丟失或沖突時間。但是RSU 數(shù)量會對延遲造成影響，RSU 數(shù)量的增加，導(dǎo)致用于驗(yàn)證請求的平均響應(yīng)時間增加，進(jìn)而增加延遲。平均延遲E[ ]D可表示為：

其中，E[Tinterval]為兩個成功接收到的數(shù)據(jù)包之間的平均時間間隔，Pfdrop為數(shù)據(jù)包丟失的可能性，E[Tdrop]為丟失數(shù)據(jù)包的平均時間。

（4）吞吐量：吞吐量指區(qū)塊鏈系統(tǒng)中每秒成功交易的數(shù)量，在眾多車聯(lián)網(wǎng)的實(shí)驗(yàn)中，通常吞吐量會隨著塊大小的增加而增加，但也并非一直如此。原因是，盡管區(qū)塊大小增加可以存儲更多的事務(wù)，但延遲限制了塊中的最大事務(wù)數(shù)，因此吞吐量不會無限增加，所以區(qū)塊大小和生成區(qū)塊時間（延遲）都對吞吐量有影響。通常設(shè)計(jì)輕量級可擴(kuò)展區(qū)塊鏈增加吞吐量。

4.1 對比分析

依據(jù)上述通信開銷、去中心化程度、延遲和吞吐量對性能進(jìn)行分析，根據(jù)評價指標(biāo)數(shù)量和環(huán)境模擬把實(shí)驗(yàn)合理性分為低、中和高三個檔次，再對可用性做出評判，如表7 所示。車輛數(shù)量和傳輸消息的大小對通信開銷都有較大影響，RSU數(shù)量增加會影響整個車聯(lián)網(wǎng)系統(tǒng)的延遲。多鏈結(jié)構(gòu)在CPU 利用率、延遲和吞吐量三方面均比單鏈結(jié)構(gòu)性能更優(yōu)，所有實(shí)驗(yàn)方案的吞吐量都隨著事務(wù)大小的增加而降低，區(qū)域內(nèi)汽車數(shù)量、區(qū)塊大小和生成區(qū)塊時間（延遲）均對吞吐量有影響。例如：在0～100輛車模擬中，每個塊中可含有100個事務(wù)的情況下，需要吞吐量為每秒2 000個交易的區(qū)塊鏈支撐；在100～1 000輛車，區(qū)塊大小最大為12 MB的情況下，則需要吞吐量為每秒14 000 個交易的區(qū)塊鏈支撐；在100～1 000輛車，延遲為0～20 s 的情況下，則需要吞吐量為每秒15 000個交易的區(qū)塊鏈支撐。

4.2 區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)中存在的問題

本節(jié)對區(qū)塊鏈在車聯(lián)網(wǎng)訪問控制中出現(xiàn)的技術(shù)瓶頸進(jìn)行總結(jié)。

如前幾節(jié)所述，在過去幾年中，區(qū)塊鏈已成為車聯(lián)網(wǎng)中的變革性技術(shù)。區(qū)塊鏈技術(shù)與共識算法、密碼技術(shù)和智能合約相結(jié)合，使用戶能夠在沒有中央機(jī)構(gòu)或中間人干預(yù)的情況下進(jìn)行交互。盡管在運(yùn)行和操作期間不存在中間人，但基于區(qū)塊鏈的系統(tǒng)始終依賴于預(yù)定義的規(guī)則。因此，確保規(guī)則值得信任至關(guān)重要。此外，區(qū)塊鏈技術(shù)仍處于早期階段，還存在各種問題，例如減少交易負(fù)載。國內(nèi)外學(xué)者已經(jīng)進(jìn)行大量研究，但區(qū)塊鏈仍然存在一些技術(shù)瓶頸，以及與其在車聯(lián)網(wǎng)中的集成相關(guān)的一些潛在限制。在本節(jié)中將詳細(xì)討論區(qū)塊鏈在車聯(lián)網(wǎng)研究中的局限性，在大規(guī)模廣泛采用之前必須解決這些問題。圖7為區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)中存在的問題。

圖7 區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)中存在的問題Fig.7 Blockchain access control problems in Internet of vehicles

將區(qū)塊鏈集成到IoV 中需要在高速移動下處理大量數(shù)據(jù)和交易。這是目前區(qū)塊鏈技術(shù)與車聯(lián)網(wǎng)集成方面的限制之一。由于依賴大量數(shù)據(jù)，區(qū)塊鏈下的車聯(lián)網(wǎng)網(wǎng)絡(luò)性能水平與其隱私和安全性一樣重要。延遲、吞吐量和可擴(kuò)展性是此類性能指標(biāo)的示例。具體將性能方面的局限性分為四部分，分別是：可擴(kuò)展性不足、鏈上鏈下存儲數(shù)據(jù)協(xié)同性差、網(wǎng)絡(luò)瓶頸與資源約束和存儲有限。

（1）可擴(kuò)展性不足

可擴(kuò)展性是區(qū)塊鏈訪問控制能否應(yīng)用在車聯(lián)網(wǎng)中的關(guān)鍵。在保證數(shù)據(jù)安全和去中心化的前提下，如果車聯(lián)網(wǎng)系統(tǒng)的性能和可擴(kuò)展性不足，則無法實(shí)現(xiàn)大規(guī)模應(yīng)用，區(qū)塊鏈的可擴(kuò)展性挑戰(zhàn)主要包括兩個方面，即一致性問題和性能限制問題。為保證區(qū)塊鏈的安全性，需要大多數(shù)節(jié)點(diǎn)對交易數(shù)據(jù)達(dá)成共識，交易性能對區(qū)塊鏈可擴(kuò)展性的限制，也是制約區(qū)塊鏈應(yīng)用落地的核心原因。為保證安全性和最終一致性，區(qū)塊鏈交易不能并行進(jìn)行，交易吞吐量難以提升。有向無環(huán)圖、交易共享、鏈下交易和區(qū)塊擴(kuò)容等不同的解決方案已經(jīng)用來解決區(qū)塊鏈的性能問題，但它們會降低區(qū)塊鏈的可信度和安全性。由于吞吐量限制和事務(wù)延遲，目前區(qū)塊鏈系統(tǒng)在性能方面存在嚴(yán)重的可伸縮性不足的缺陷，另外，由于區(qū)塊大小的限制，許多區(qū)塊鏈延長了向鏈中添加交易的排隊(duì)時間，區(qū)塊生成時間的增加進(jìn)而導(dǎo)致系統(tǒng)吞吐量的降低。

（2）鏈上鏈下存儲數(shù)據(jù)協(xié)同性差

傳統(tǒng)信息系統(tǒng)和區(qū)塊鏈系統(tǒng)是兩種存儲數(shù)據(jù)的方式，各有局限性。一方面，區(qū)塊鏈需要通過鏈下存儲和計(jì)算系統(tǒng)來提升性能；另一方面，傳統(tǒng)信息系統(tǒng)需要區(qū)塊鏈技術(shù)來保證數(shù)據(jù)的安全共享和可信性。這就需要區(qū)塊鏈技術(shù)與傳統(tǒng)信息系統(tǒng)的有效結(jié)合，而保證鏈上數(shù)據(jù)和鏈下數(shù)據(jù)的相關(guān)性和一致性是目前要克服的難題。車聯(lián)網(wǎng)訪問控制需要大量數(shù)據(jù)支撐，但在車聯(lián)網(wǎng)中還面臨著數(shù)據(jù)質(zhì)量差、數(shù)據(jù)壟斷和數(shù)據(jù)濫用等諸多問題。

（3）網(wǎng)絡(luò)瓶頸

由于區(qū)塊鏈網(wǎng)絡(luò)中的每個節(jié)點(diǎn)都需要保存一份數(shù)據(jù)，網(wǎng)絡(luò)中交換的數(shù)據(jù)使得網(wǎng)絡(luò)帶寬成為瓶頸，隨著區(qū)塊鏈系統(tǒng)規(guī)模的增加，必須解決網(wǎng)絡(luò)帶寬問題。如果一味地提高區(qū)塊鏈可擴(kuò)展性，就會降低分布式網(wǎng)絡(luò)的一致性要求，會導(dǎo)致區(qū)塊鏈出現(xiàn)分叉。由于區(qū)塊鏈?zhǔn)屈c(diǎn)對點(diǎn)的分布式網(wǎng)絡(luò)，一旦有延遲較高的節(jié)點(diǎn)，節(jié)點(diǎn)之間的網(wǎng)絡(luò)延遲會限制整個系統(tǒng)的可擴(kuò)展性。

（4）資源約束和存儲有限

大多數(shù)IoV設(shè)備的資源有限，例如，傳感器、RSU和電車充電樁等設(shè)備處理能力不足、存儲空間有限、電池電量不足以及網(wǎng)絡(luò)連接能力不足。共識算法有時需要大量的計(jì)算功率和能源使用，例如，工作量證明需要大量算力。因此，對于低功耗IoV 設(shè)備而言，具有高能耗的共識算法并不適配。另一方面，區(qū)塊鏈數(shù)據(jù)量大，很難在每個車聯(lián)網(wǎng)設(shè)備上保持完整的區(qū)塊鏈，所以無法在整個車聯(lián)網(wǎng)中完全實(shí)現(xiàn)區(qū)塊鏈。車聯(lián)網(wǎng)幾乎實(shí)時在生成大量數(shù)據(jù)，因此，需要使用策略來限制分類賬本所需的存儲資源量。

表8 為區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)集成中存在的性能問題，大多與共識算法，網(wǎng)絡(luò)帶寬等有關(guān)，針對節(jié)點(diǎn)間鏈路持續(xù)時間短暫，網(wǎng)絡(luò)拓?fù)渥兓斓染W(wǎng)絡(luò)問題可以與區(qū)塊鏈隱蔽信道新技術(shù)相結(jié)合；吞吐量低和可擴(kuò)展性差等問題與區(qū)塊鏈自身結(jié)構(gòu)有關(guān)，需要引入DAG 等更優(yōu)的數(shù)據(jù)結(jié)構(gòu)；資源消耗過大問題需要考慮更適合車聯(lián)網(wǎng)的共識協(xié)議，具體詳情如表8 所述，并給出了自己的解決思路。

表8 區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)中的性能問題Table 8 Performance issues of blockchain access control in Internet of vehicles

（5）隱私和安全

車聯(lián)網(wǎng)中采用區(qū)塊鏈技術(shù)，通過確保數(shù)據(jù)不變性來保障車聯(lián)網(wǎng)安全，同時防止數(shù)據(jù)被操縱。值得注意的是，區(qū)塊鏈建立在不同的技術(shù)之上，它不能立即確保安全和隱私。其中一些技術(shù)可以保護(hù)塊內(nèi)信息（交易或記錄）的安全以及IoV 用戶和設(shè)備的隱私，這些技術(shù)包括高級加密技術(shù)、假名和鏈下存儲等。例如，BTC 中的交易是使用IP地址而不是參與者的實(shí)際身份進(jìn)行，從而保持匿名。此外，在BTC 中創(chuàng)建一次性帳戶也可以確保用戶隱私。如前所述，這些保障措施并不健全。一方面，可以通過識別和推斷與單個普通用戶相關(guān)的交易來破解用戶假名，另一方面，將交易數(shù)據(jù)整個存儲在區(qū)塊鏈上可能會導(dǎo)致隱私泄露。在區(qū)塊鏈中，任何與交易相關(guān)的信息，包括發(fā)送者或接收者的記錄和價值金額，都是可公開訪問的。因此，即使用戶使用假名，也可能無法幫助車聯(lián)網(wǎng)用戶保持完全匿名，從而引發(fā)安全問題。再者，車聯(lián)網(wǎng)用戶的行為和能源概況也有泄露風(fēng)險，如能源消耗、生產(chǎn)、能源使用模式、駕駛概況和其他記錄等，可以通過分析區(qū)塊鏈中的公開數(shù)據(jù)來監(jiān)控從而導(dǎo)致數(shù)據(jù)泄露。上述分析表明，車聯(lián)網(wǎng)中用戶的隱私有泄露風(fēng)險。

表9 為區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)集成中存在的安全性問題，將安全性問題可分為：硬件漏洞、身份漏洞、數(shù)據(jù)存儲和區(qū)塊鏈漏洞四種，例如：針對硬件漏洞可將涉及到的硬件設(shè)施更新成安全性級別更高的，與網(wǎng)絡(luò)有關(guān)的硬件設(shè)施要兼容5G 網(wǎng)絡(luò)等；車輛的數(shù)據(jù)存儲隨交易數(shù)量的增長變得困難，應(yīng)使用鏈上鏈下共同存儲數(shù)據(jù)的方式應(yīng)對存儲問題，使用更高級加密算法對敏感數(shù)據(jù)加密，對數(shù)據(jù)存儲有更好的保護(hù)，具體問題描述和解決思路如表9所示。

表9 區(qū)塊鏈訪問控制在車聯(lián)網(wǎng)中的安全問題Table 9 Security issues of blockchain access control in Internet of vehicles

（6）實(shí)用性

目前部署基于區(qū)塊鏈的應(yīng)用程序成本昂貴，技術(shù)、服務(wù)提供商、設(shè)備、合格資源等方面都要大量投資。例如：車聯(lián)網(wǎng)服務(wù)器的成本會隨著注冊表的不斷存儲和檢查更新而持續(xù)增加；當(dāng)車聯(lián)網(wǎng)設(shè)備在開放的區(qū)塊鏈上存儲所有數(shù)據(jù)時，存儲數(shù)據(jù)要收取費(fèi)用。因此，在使用區(qū)塊鏈記錄車聯(lián)網(wǎng)交易時，應(yīng)采用新的區(qū)塊鏈協(xié)議和框架來降低基礎(chǔ)設(shè)施成本。

5 未來研究展望

上一章中，總結(jié)了IoV訪問控制在區(qū)塊鏈技術(shù)下的實(shí)現(xiàn)方案，但是隨著網(wǎng)絡(luò)復(fù)雜程度越來越高，訪問控制領(lǐng)域仍需要繼續(xù)深入研究，下面提出六點(diǎn)未來研究展望。

（1）與現(xiàn)有新技術(shù)結(jié)合

在車聯(lián)網(wǎng)訪問控制安全性方面，可以在引入?yún)^(qū)塊鏈技術(shù)的基礎(chǔ)上，融合多項(xiàng)現(xiàn)有技術(shù)來提高的車聯(lián)網(wǎng)系統(tǒng)的安全性。

區(qū)塊鏈引入邊緣計(jì)算可以在低延遲中計(jì)算任務(wù)，以支持高效的計(jì)算和存儲能力，同時提供數(shù)據(jù)可審計(jì)性，再利用假名機(jī)制和基于身份的簽名可以實(shí)現(xiàn)車輛的身份隱私保護(hù)和信息認(rèn)證[84]；將深度強(qiáng)化學(xué)習(xí)（DRL）與區(qū)塊鏈結(jié)合，并通過異步聯(lián)邦學(xué)習(xí)進(jìn)行區(qū)塊鏈節(jié)點(diǎn)選擇，提高車聯(lián)網(wǎng)數(shù)據(jù)共享的安全性和可靠性[85]；為防止惡意節(jié)點(diǎn)上傳假消息危害車聯(lián)網(wǎng)系統(tǒng)，將區(qū)塊鏈技術(shù)與深度學(xué)習(xí)結(jié)合，構(gòu)建一種區(qū)塊鏈和深度學(xué)習(xí)技術(shù)相結(jié)合的互聯(lián)車輛信任管理系統(tǒng)，通過深度學(xué)習(xí)的驗(yàn)證模型，計(jì)算上傳信息的可信度，并利用計(jì)算結(jié)果進(jìn)一步獲取車輛的可信度得分，并對惡意車輛進(jìn)行檢測[86]。但是現(xiàn)有結(jié)合新技術(shù)方法大多是只引入一種技術(shù)，引入多種新技術(shù)與區(qū)塊鏈結(jié)合目前仍在研究初段。本文根據(jù)多種新技術(shù)與區(qū)塊鏈結(jié)合給出了提高車聯(lián)網(wǎng)系統(tǒng)安全性的新想法，首先車聯(lián)網(wǎng)中的數(shù)據(jù)大多是本地存儲和在車輛之間存儲的小數(shù)據(jù)片段，在邊緣計(jì)算網(wǎng)絡(luò)中這些數(shù)據(jù)容易存儲不當(dāng)或丟失，數(shù)據(jù)完整性難以保障。當(dāng)上傳數(shù)據(jù)被未經(jīng)授權(quán)的惡意節(jié)點(diǎn)修改或?yàn)E用時，可能會出現(xiàn)數(shù)據(jù)泄露和其他隱私問題，另外車輛未來的行為會取決于記錄的歷史路線，因此可以引入LSTM 模型，通過輸入一組離散的歷史數(shù)據(jù)來預(yù)測未來風(fēng)險，最后結(jié)合區(qū)塊鏈技術(shù)可以保證邊緣計(jì)算網(wǎng)絡(luò)中數(shù)據(jù)安全性，也可以保證神經(jīng)網(wǎng)絡(luò)中用來預(yù)測風(fēng)險的車輛歷史行為數(shù)據(jù)的可信性。

（2）激勵機(jī)制與訪問控制結(jié)合

在公共區(qū)塊鏈網(wǎng)絡(luò)中，礦工或驗(yàn)證者通常會因成功生成區(qū)塊而獲得獎勵，這種激勵被分配給一起工作的一組礦工或參與驗(yàn)證的節(jié)點(diǎn)，例如，首先完成計(jì)算要求工作的礦工將獲得一些獎勵。

如果惡意的節(jié)點(diǎn)獲得了正面的聲譽(yù)，那么它可能與其他行為良好的車輛節(jié)點(diǎn)交涉，為候選人節(jié)點(diǎn)產(chǎn)生正面的聲譽(yù)意見，并作為礦工投票，這些惡意礦工還可能會在挖礦過程中放棄交易。因此，惡意礦工參與所有輪次投票繼續(xù)破壞系統(tǒng)，惡意礦工還參與區(qū)塊驗(yàn)證問題，這會導(dǎo)致生成錯誤結(jié)果進(jìn)一步與其他礦工發(fā)生沖突產(chǎn)生雙花攻擊。因此，車聯(lián)網(wǎng)訪問控制引入激勵機(jī)制，安全地選擇礦工和區(qū)塊驗(yàn)證至關(guān)重要。

然而，車聯(lián)網(wǎng)中可用的激勵機(jī)制方案有限，以車聯(lián)網(wǎng)為中心的激勵機(jī)制仍然是一個需要深入研究的方向。例如可以通過區(qū)塊鏈提供比特幣、貨幣、碳信用額度和聲譽(yù)價值等激勵措施，最終有助于增加清潔和可再生能源的消費(fèi)，并促進(jìn)新能源汽車的參與。因此，一個重要的未來研究方向是創(chuàng)建有效和有益的公平分配激勵機(jī)制，以激勵所有利益相關(guān)者，包括生產(chǎn)者、消費(fèi)者和驗(yàn)證者，參與到清潔和可再生能源消費(fèi)的區(qū)塊鏈網(wǎng)絡(luò)中。此外，還需要懲罰制度來禁止任何一方的有害行為。

（3）IoV共識協(xié)議的制定和優(yōu)化

在IoV應(yīng)用領(lǐng)域，延遲在傳遞安全相關(guān)消息方面起著非常關(guān)鍵的作用。它需要非常嚴(yán)格的延遲約束，其中應(yīng)該將延遲保持在較低的水平[50]。在緊急情況下，關(guān)鍵信息的實(shí)時交換至關(guān)重要，用現(xiàn)有的通信基礎(chǔ)設(shè)施和共識協(xié)議很難應(yīng)用于如此高效的車聯(lián)網(wǎng)網(wǎng)絡(luò)。

IoV中節(jié)點(diǎn)交易數(shù)量很多，尤其是在通勤密集的時間段，對數(shù)據(jù)的傳輸和存儲都有很大的挑戰(zhàn)，目前IoV中的共識機(jī)制存在資源浪費(fèi)問題，PoW由于需要巨大算力耗費(fèi)資源較大，PBFT通信開銷也是巨大的，在動態(tài)車聯(lián)網(wǎng)下不宜使用，PoS又有安全性差的缺陷。大多數(shù)共識算法的一個共同缺點(diǎn)是它們的用途單一化太強(qiáng)，例如僅用于加密貨幣。由于車聯(lián)網(wǎng)的獨(dú)特性質(zhì)，實(shí)現(xiàn)這些算法存在一些挑戰(zhàn)，如區(qū)塊驗(yàn)證、安全性、獎勵方案和能源使用。目前對IoV 特定的共識算法有初步的研究和實(shí)現(xiàn)，但仍需進(jìn)一步測試和評估。

（4）車聯(lián)網(wǎng)跨鏈訪問

在交通領(lǐng)域，交通管理部門與涉及的眾多企業(yè)之間沒有信息互通，導(dǎo)致各種逃費(fèi)漏費(fèi)行為無法及時發(fā)現(xiàn)，證據(jù)傳輸和存儲不可靠。這些問題造成了巨大的經(jīng)濟(jì)損失，是智能交通領(lǐng)域亟待解決的難題。

利用區(qū)塊鏈的跨鏈技術(shù)，結(jié)合數(shù)據(jù)分布式存儲的基礎(chǔ)數(shù)據(jù)交換協(xié)議、共識機(jī)制、加密算法等技術(shù)，構(gòu)建標(biāo)準(zhǔn)化統(tǒng)一的區(qū)塊鏈協(xié)議接口。提高智能交通的服務(wù)質(zhì)量，在各方區(qū)塊鏈之間交換可信數(shù)據(jù)。再將區(qū)塊鏈跨鏈技術(shù)與大數(shù)據(jù)分析技術(shù)相結(jié)合，可以在多個節(jié)點(diǎn)并行校驗(yàn)計(jì)算，將車輛信任值公布在車聯(lián)網(wǎng)中，提高整體車聯(lián)網(wǎng)安全性。

（5）訪問控制性能提升

將區(qū)塊鏈整合到車聯(lián)網(wǎng)中，需要提高在動態(tài)移動的車輛環(huán)境中處理大量數(shù)據(jù)和交易的能力。這是區(qū)塊鏈技術(shù)目前應(yīng)用在車聯(lián)網(wǎng)中的局限性。由于對海量數(shù)據(jù)和移動性的依賴，支持區(qū)塊鏈的車聯(lián)網(wǎng)網(wǎng)絡(luò)的性能指標(biāo)與其安全性和隱私性同樣重要，這些性能矩陣包括延遲、能耗、吞吐量和可擴(kuò)展性?？梢栽O(shè)計(jì)多鏈結(jié)構(gòu)的區(qū)塊鏈來降低延遲并提高吞吐量，另外，車輛和區(qū)塊鏈網(wǎng)絡(luò)之間的分類帳本所需的交易相關(guān)消息數(shù)量過多。為了節(jié)省能源提高吞吐量，可以采用分布式集群方法，將事務(wù)控制到最佳數(shù)量。

（6）建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系

完善車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的術(shù)語、總體架構(gòu)和密碼學(xué)技術(shù)應(yīng)用等標(biāo)準(zhǔn)；規(guī)范車聯(lián)網(wǎng)終端和基礎(chǔ)設(shè)施等相關(guān)網(wǎng)絡(luò)安全要求，包括車載設(shè)備網(wǎng)絡(luò)安全、車端網(wǎng)絡(luò)安全、路側(cè)通信設(shè)備網(wǎng)絡(luò)安全、網(wǎng)絡(luò)設(shè)施與系統(tǒng)安全等；加強(qiáng)車聯(lián)網(wǎng)通信網(wǎng)絡(luò)安全和車聯(lián)網(wǎng)系統(tǒng)中的身份認(rèn)證，證書管理系統(tǒng)、安全認(rèn)證技術(shù)及測試方法和關(guān)鍵部件盡量達(dá)到輕量級的要求；保障智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)平臺、車載應(yīng)用服務(wù)等數(shù)據(jù)安全和個人信息絕不泄露，車聯(lián)網(wǎng)相關(guān)應(yīng)用所開展的數(shù)據(jù)采集和使用等活動，例如車聯(lián)網(wǎng)平臺、網(wǎng)約車、車載應(yīng)用程序等獲取和使用的數(shù)據(jù)均要采用統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)；提高車聯(lián)網(wǎng)應(yīng)用服務(wù)安全標(biāo)準(zhǔn)，加強(qiáng)車輛安全防護(hù)和監(jiān)測，包括汽車遠(yuǎn)程診斷、高級輔助駕駛、車路協(xié)同等服務(wù)安全要求；對風(fēng)險評估、安全監(jiān)測與應(yīng)急管理和安全能力評估這三方面，做到有完備的安全保障與支撐標(biāo)準(zhǔn)。

6 結(jié)束語

車聯(lián)網(wǎng)系統(tǒng)因其有獨(dú)特的性質(zhì)，使用傳統(tǒng)訪問控制模型無法保障車聯(lián)網(wǎng)系統(tǒng)安全性，將區(qū)塊鏈技術(shù)應(yīng)用到車聯(lián)網(wǎng)訪問控制領(lǐng)域，可以適配車聯(lián)網(wǎng)獨(dú)特性質(zhì)并提供足夠安全保障，因此受到國內(nèi)外研究學(xué)者的重視。本文對傳統(tǒng)車聯(lián)網(wǎng)訪問控制機(jī)制不足之處進(jìn)行總結(jié)；介紹將區(qū)塊鏈技術(shù)引入車聯(lián)網(wǎng)中的優(yōu)勢及目前區(qū)塊鏈技術(shù)在車聯(lián)網(wǎng)訪問控制下的應(yīng)用場景；根據(jù)訪問控制判別方式的不同，分為基于信任、位置和風(fēng)險的三種訪問控制機(jī)制；結(jié)合常見的評價指標(biāo)對系統(tǒng)性能進(jìn)行對比，并分析實(shí)驗(yàn)合理性和現(xiàn)實(shí)可用性；提出五點(diǎn)目前技術(shù)存在的不足，具體說明存在的問題并提出解決思路；最后提出六種未來研究展望。