智能网联汽车信息安全风险识别与应对策略研究综述

摘要：随着智能网联汽车技术的飞速发展，其信息安全问题逐渐成为公众关注的焦点。本文概述了智能网联汽车技术的发展背景和信息安全风险的来源，采用STRIDE威胁分析方法对智能网联汽车的四层模型进行风险识别，进一步探讨了抗女巫攻击策略和无证书公钥认证体制等关键技术。最后，提出了智能网联汽车安全测评体系的构建，并讨论了未来的研究方向和潜在的技术解决方案。本文旨在为智能网联汽车的信息安全领域提供全面的分析框架和应对策略，以促进该领域的健康发展。

关键词：智能网联汽车；信息安全；风险识别；女巫攻击；无证书公钥认证

1.引言

随着全球汽车产业的快速发展，智能网联汽车（Intelligent Connected Vehicles, ICVs）作为汽车技术革新的前沿领域，正逐步改变着我们的出行方式。它们集成了先进的传感器、通信模块和计算平台，能够实现自动驾驶、交通信息共享、远程监控等多种功能。这些技术的融合不仅为用户带来了前所未有的便利，也为交通安全和效率的提升做出了巨大贡献。

然而，智能网联汽车的快速发展也带来了一系列信息安全风险。车辆的网络化使得它们成为潜在的网络攻击目标，黑客可能通过远程攻击手段非法控制车辆，窃取用户数据，甚至造成严重的交通事故。包括但不限于CAN总线异常检测技术研究、车联网信息安全问题、以及智能网联车网络安全研究。这些威胁主要来源于智能网联汽车的开放性和复杂性，如外部接口的攻击、无线通信技术带来的安全挑战，以及车联网络结构特点带来的设计约束和挑战。此外，车辆内部的复杂电子系统也可能因为软件缺陷或硬件故障导致安全问题。因此，如何识别和应对智能网联汽车的信息安全风险，已成为一个亟待解决的问题。

本文旨在综述智能网联汽车信息安全风险的识别与应对技术。1.分析智能网联汽车面临的主要信息安全威胁，包括网络攻击、数据泄露、隐私侵犯等。为了有效识别和评估智能网联汽车面临的信息安全风险，采用STRIDE威胁分析方法针对智能网联架构四层模型的威胁识别系统方法，以及全生命周期的信息安全风险评估。这些方法有助于全面理解智能网联汽车的安全威胁，并为制定相应的防护措施提供依据；2.探讨当前用于识别和防范风险的关键技术，如入侵检测系统、安全通信协议、数据加密和访问控制等。针对智能网联汽车的信息安全威胁，研究者们提出了多种防护技术。例如，基于信息熵的车载CAN总线网络报文异常检测方法、基于决策树的车载CAN总线报文数据异常检测方法、无证书公钥认证体制、抗女巫攻击策略的安全机制、基于物理层信号特征的入侵检测方法等。这些技术旨在提高智能网联汽车的信息安全防护水平，确保车辆行驶安全和用户数据保护；3.提出智能网联汽车信息安全领域的研究方向和潜在的技术解决方案，以期为相关领域的研究者和工程师提供参考和指导。尽管已有多项研究关注智能网联汽车的信息安全问题，但仍存在一些未解决的问题和挑战，如车联网动态网络拓扑结构的特殊性、车载云中的安全问题以及智能网联汽车信息安全测评体系的建立等。因此，未来的研究需要进一步探索更高效、低能耗的安全机制，以及建立更加完善的信息安全评估和见监控体系。

智能网联汽车信息安全风险识别与应对技术是一个多方面、跨学科的研究领域，涉及到威胁识别、风险评估、防护技术开发等多个环节。通过综合运用现有的研究成果和技术手段，可以有效提升智能网联汽车的信息安全防护水平，保障驾乘者的安全和隐私。

2.基于STRIDE方法风险识别系统

智能网联汽车的快速发展得益于物联网、云计算、人工智能、大数据和5G技术的推动，这些技术的应用使得现代汽车能够实现自动驾驶、智能交通和智慧城市等功能。然而，这也带来了前所未有的安全威胁，如远程入侵和控制等。因此，采用STRIDE威胁分析方法对智能网联汽车进行威胁识别和防护显得尤为重要。基于STRIDE威胁分析方法的智能网联汽车四层模型威胁识别系统，是一种针对智能网联汽车信息安全风险进行全面分析和防护的方法。这种方法通过将智能网联汽车分为四个不同的层次：感知设备层、网络通信层、控制服务层以及外部连接层，来识别和分析每个层面可能面临的不同信息安全问题。

STRIDE威胁模型是一种广泛使用的安全威胁建模方法，它将系统面临的威胁分为六类：①假冒/欺骗，非法访问并使用其他用户的身份验证信息，如用户名和密码；②篡改，恶意修改数据，包括对持久数据或数据在网络中传输时的更改；③否认，用户否认曾经执行过的操作，通常由于缺乏足够的日志记录和审计；④信息泄露，未经授权的访问敏感信息；⑤拒绝服务，攻击导致系统或应用程序不可用；⑥提升权限，攻击者利用漏洞提升权限，获得更高级别的访问权限。这种分类方法有助于确保系统具有身份验证、机密性、不可否认性、完整性、可用性以及授权等安全属性。

在智能网联汽车的上下文中，基于STRIDE威胁分析方法的威胁识别系统可以有效地提高威胁分析的正确率和覆盖率。例如，通过对车载网络架构进行细化分层，并按照信息安全的风险以及安全等级的高低，划分不同的智能网联汽车车内通信域，可以降低网络通信层的安全风险。此外，改进的STRIDE模型（iSTRIDE）提出了一种具有层次结构的威胁分类模型，从两个维度上考虑系统所面临的威胁：一是威胁所属的类别，二是威胁发生的位置。这一改进有助于更精确地确定系统可能会面临某类威胁的攻击发生在系统的何处，从而为选择合适的安全解决方案提供依据。

基于STRIDE威胁分析方法的智能网联汽车四层模型威胁识别系统，通过对智能网联汽车架构的深入分析和对各层次威胁的细致识别，为智能网联汽车的信息安全防护提供了一种有效的方法。这种方法不仅能够提高威胁分析的准确性和覆盖率，还能够帮助制定更加针对性的安全防护措施，以应对日益复杂的网络环境下的安全威胁。基于STRIDE威胁分析方法的智能网联汽车四层模型威胁识别系统的具体实施步骤和效果评估可以分为以下几个阶段：①系统架构分析与威胁识别：首先，需要对智能网联汽车的系统架构进行详细分析，包括其通信原理和机制，以及车载通信、云端通信（TSP）和V2X通信等部分。这一步骤是为了明确智能网联汽车所面临的安全威胁，包括物理攻击、近距离无线攻击和远距离无线攻击等。②基于STRIDE模型的威胁分类：根据STRIDE模型，将识别出的威胁分为假冒威胁、篡改威胁、否认威胁、信息泄漏威胁、拒绝服务威胁和提升权限威胁六大类别。这一步骤有助于系统化地理解和处理各种类型的安全威胁。③威胁发生位置的确定：进一步地，根据改进的STRIDE模型（iSTRIDE），将威胁发生的位置划分为系统核心、系统边界和系统外部三个地方。这有助于针对性地选择合适的安全解决方案。④攻击路径建模与风险评估：利用传统构建攻击图的方式或基于贝叶斯网络的攻击图建模方案，对智能网联汽车的攻击路径进行建模，并进行基于概率推理的风险分析。这一步骤旨在量化威胁发生的可能性和严重程度，为后续的安全风险评估提供依据。⑤安全风险评估与对策制定：根据上述步骤得到的威胁识别和风险评估结果，针对识别的威胁提出相应的风险消除或减轻方法。这包括但不限于加强身份验证、保护数据机密性、确保系统的不可否认性、完整性、可用性以及授权等安全属性。⑥效果评估：最后，通过对实验评估数据进行分析，验证模型的可用性，并取得良好的效果。这一步骤是为了确保所采取的安全措施能够有效提高智能网联汽车的安全性能。

基于STRIDE威胁分析方法的智能网联汽车四层模型威胁识别系统的实施步骤涉及从系统架构分析到威胁识别、分类、发生位置确定、攻击路径建模与风险评估，再到安全风险评估与对策制定，最终进行效果评估的全过程。

3.应对策略

3.1抗女巫攻击策略的安全机制

女巫攻击（Sybil Attack）是一种网络攻击方式，其中攻击者创建多个身份（Sybil identities）来影响系统的决策过程或对网络中的共识机制进行破坏。在智能网联汽车（Intelligent Connected Vehicles, ICVs）的环境中，这种攻击可能导致严重的后果，比如影响车辆的导航决策、交通流量控制或者车辆间的通信。

智能网联汽车中抗女巫攻击策略的安全机制主要包括以下几个方面：①基于椭圆曲线密码构建的轻量级安全认证模式：这种模式利用信任节点协同计算，实现对攻击者的位置定位有效追溯，从而提高恶意节点检出率，便于交通权威中心对攻击者的取证和采取相应的事后管制措施。②无证书公钥认证体制：这种体制能有效抵御车联网中的篡改攻击、伪造攻击和重放攻击。它基于无证书公钥密码体制（CLPKC），并通过安全性证明本方案在随机预言机模型下是安全的。此外，该方案设计了基于智能卡的双因素信息保护方案以及智能卡防偷盗攻击方案，为用户提供高安全性的私密信息保护机制。③基于接收信号强度指示（RSSI）的抗RSU捕获攻击和复制攻击方案：这种方案防止在无人看守环境中RSU设备被捕获和复制攻击，同时也防止恶意RSU和女巫攻击者发动的合谋攻击。④基于单点限时凭证（Time Limited Certification, TLC）的抗女巫攻击策略：TLC是由RSU授权的信息限时凭证，能有效解决外部攻击者发动的女巫攻击问题的同时，有效抵抗了普通抗女巫攻击机制中不能解决的内部攻击者发动的女巫攻击。⑤基于车辆群组密钥管理协议的安全机制：这种机制利用基于中国剩余定理（Chinese Reminder Theorem, CRT）密钥管理策略提高群组密钥分配和更新的效率，保证群组信息的前向安全性和后向安全性。这对于车载云中多种类型的信息服务需求和安全等级需求，设计了三种相应的安全传输机制，保证信息传输的完整性、可靠性以及私密信息的保密性。这些安全机制共同构成了智能网联汽车中抗女巫攻击的综合策略，旨在提高车联网环境下的信息传输安全性，确保车辆行驶安全，同时满足未来车联网技术发展的需求。

在实际的应用中，抗女巫攻击策略的安全机制存在一定的局限性。根据2012年的研究，通过引入全局惩罚因子来记录系统遭受过的攻击，可以加速攻击节点的驱逐和隔离，从而在一定时间内使得攻击者无法对系统产生影响。这种方法在实验中显示出了一定的效果，但其主要局限性在于依赖于全局惩罚机制的设计和实施，这可能会引入额外的复杂性和成本。2023年的研究提出了一种基于DID的跨域身份管理系统，该系统不仅具有隐私保护和抗女巫攻击的特性，还通过限制用户DID数量的去重方法来抵御女巫攻击。此外，该系统还采用了动态累加器来减少区块链上的存储开销，并使用匿名凭证和非交互式零知识证明来提高效率和保护用户隐私。这些改进在理论上提供了更高的安全性和可行性，但仍存在一些挑战，如区块链上的跨域存储开销过大、隐私保护不足等问题。基于此局限性，研究人员提出可以从三个方面进行改进：①增强系统的鲁棒性：尽管现有的抗女巫攻击策略已经能够在一定程度上防御攻击，但仍需进一步增强系统的鲁棒性，以应对更加复杂和多变的网络环境。②优化存储和处理效率：如前所述，区块链上的跨域存储开销是一个重要问题。因此，开发更高效的数据存储和处理技术是必要的，以减轻系统负担并提高整体性能。③提升隐私保护能力：虽然已有方案尝试通过匿名凭证和非交互式零知识证明来保护用户隐私，但如何在保证安全性的同时最大限度地保护用户隐私仍是一个值得深入研究的问题。

3.2无证书公钥认证体制

无证书公钥认证体制在智能网联汽车中的应用主要体现在其能够提供一种高效、安全且不依赖于传统证书管理的身份认证和数据签名机制。这种认证体制通过利用先进的密码学技术，如椭圆曲线、非线性对等问题等，实现了车辆间的安全通信和信息交换，同时保护了车辆的隐私信息不被泄露。

无证书公钥认证体制，主要应用于智能网联汽车以下4大场景：①匿名认证与密钥协商：无证书聚合签名技术允许车辆在不暴露其真实身份的情况下进行匿名认证和密钥协商，从而保护车辆的隐私信息。这种技术通过引入临时身份和预签名机制，实现了对车辆的隐私保护以及匿名认证。②条件隐私保护：通过动态更新车辆的假名身份和公钥，可以在保证车辆轨迹不被泄露的同时，有效避免私钥频繁更新带来的通信和存储开销。这种方法既保证了车辆的匿名性，又满足了可追踪性和强隐私保护的需求。③批量验证与聚合签名：采用无双线性对的聚合签名技术，实现了车辆签名的动态聚合和转发，有效降低了签名传递的通信量和云服务器的验证开销。此外，无证书批量匿名认证方案能够实现消息的批量认证，有效提高了认证效率。④抗攻击能力：无证书聚合签名方案能够抵抗公钥替换攻击和恶意密钥生成中心（KGC）攻击，增强了系统的安全性。基于区块链的无证书匿名跨域认证方案利用区块链技术实现了交易信息的透明性，减少了RSUs对车辆身份重复认证的负载。

无证书公钥认证体制的优势主要体现在其高效性、安全性、隐私保护、扩展灵活性。具体来说，①高效性：无证书聚合签名技术通过减少通信开销和计算开销，提高了认证和验证过程的效率。特别是在边缘计算环境下，无证书车联网身份认证方案能够在保持高安全性的同时，显著减少计算、通信开销和达到率方面具有一定的优势。例如，一种可证明安全的无证书批认证方案，通过减少计算开销和引入批认证来提高认证效率，同时减轻路边设施的认证负担。另一项研究提出了一种基于无证书聚合签名和无证书聚合签密技术的车联网消息认证方案，该方案利用“批处理”和“压缩”技术提高了签名的验证与传输效率。②安全性：无证书认证体制通过采用基于椭圆曲线离散对数问题的困难性假设，以及结合区域管理局生成的长期伪身份和自己生成的短期伪身份，提供了高级别的安全保护。这些方案能够抵抗包括自适应选择消息和身份攻击在内的多种攻击方式。③隐私保护：通过引入假名身份和动态更新机制，无证书认证体制能够有效保护车辆的隐私信息不被泄露，同时满足匿名性、可追踪性和强隐私保护的需求。例如，一种支持批量验证的非线性对的无证书匿名认证方案，通过结合区域管理局生成的长期伪身份和自己生成的短期伪身份保证车辆的强匿名性和签名的新鲜性，从而避免了身份泄露和时延。此外，还有研究提出了一种具有强隐私保护的无证书聚合签名方案，通过引入假名身份实现车辆的身份隐藏，同时实现可信中心对可疑车辆的事后追查。④可扩展性和灵活性：无证书认证体制能够适应不同的车联网场景和需求，如车载自组网、车联网云服务信息系统等，提供灵活的安全认证机制。

无证书公钥认证体制在智能网联汽车中的应用案例表明，该技术不仅能够有效解决传统公钥认证体系中的问题，还能提高通信效率和保护车辆隐私。无证书公钥认证体制能够有效解决传统公钥认证体系中存在的证书管理和密钥托管问题。在智能网联汽车的环境下，车辆频繁更换位置，且可能面临恶意攻击，因此需要一种不依赖于预先分发的证书的认证机制。例如，一种基于零信任架构的无证书签名方案，通过可信中心与车辆协同产生公私钥对，摆脱了对安全信道的依赖，同时满足匿名性和可追踪性等安全和隐私保护需求。此外，还有研究提出了基于非线性对的车联网无证书批量匿名认证方案，该方案能够实现多种安全性能，如可认证性、匿名性、可追踪性等，并在随机预言模型下证实了其安全性。

4.智能网联汽车安全测评体系

智能网联汽车信息安全测评体系的建立是一个复杂且多方面的任务，包括架构分析、威胁识别、防护措施设计、测试评估以及风险管理等，涉及到国际标准和最佳实践的制定与实施。

建立全面的智能网联汽车安全测评体系，依次需要经历以下步骤：①架构分析与威胁识别：首先，需要对智能网联汽车的架构进行深入分析，识别潜在的信息安全风险。这包括对车辆的感知设备层、网络通信层、控制服务层以及外部连接层的分析。通过采用STRIDE威胁分析方法，可以针对智能网联汽车架构的每个层级识别出不同的信息安全问题。②多级安全防护方案设计：在识别了潜在的安全威胁后，设计多级安全防护方案至关重要。这包括从“云盾”、“通信通道”、“硬件终端”三个方面提供安全防护，并通过渗透测试不断完善安全体系。此外，还应考虑采用可信平台技术、安全模型总线技术、高安全等级隔离、APN技术防护通道、动态签名方式以及对称和非对称加密等方法来进行数据终端管理和数据通信的多重防护。③软件安全测试关键技术研究：智能网联汽车的软件是其核心与关键，因此，对车载总线及网关系统、汽车操作系统及应用程序、V2X网络及应用等进行安全性测评是必要的。这要求围绕智能网联汽车软件质量问题，重点针对上述领域开展安全性测评的关键技术与方法研究，并提出相应的解决方案。④信息安全防护体系研究：结合等级保护测评基本要求，提出适用于车联网的信息安全防护体系。这包括对车联网在车载终端域、网络传输域、云平台域面临的安全风险的分析，以及基于此的信息安全防护体系的构建。⑤信息安全测评体系：提出一套从汽车自身安全水平、车辆智能网联化水平和企业应急响应体系3个方面综合分析汽车信息安全的测试评估体系。通过实车验证该测评体系的合理可行性，为汽车研发过程中信息安全风险分析提供技术支撑。⑥风险评估与管理：基于车联网信息安全平台风险评估系统的研究与实现，丰富了联网汽车安全风险管理的研究内容。这包括利用风险评估技术判断车辆行驶过程中可能存在的风险，对驾驶员的驾驶行为进行约束，解决车辆单位交通事故多发的问题。⑦整车信息安全威胁分析及渗透测试实践：完善智能网联汽车网络安全标准体系，构建智能网联汽车网络安全健康生态。这包括智能网联汽车法规、政策、标准概述，整车信息安全威胁分析，以及整车渗透测试结果分析。

目前在智能网联汽车信息安全测评体系中，ISO/SAE 21434是目前汽车信息安全领域最重要的国际标准之一，它主要规定了道路车辆电子电气系统及其组件和接口在概念、开发、生产、运行、维护和销毁阶段工程相关的信息安全风险管理要求，国际标准化组织在推动智能网联汽车信息安全标准化方面发挥着关键作用。UNECE/WP.69 R155是世界范围内第一个汽车信息安全强制法规，其发布和强制实施标志着全世界范围内对汽车信息安全重视程度的提升，国际社会对于汽车信息安全的法律法规也在不断完善和加强。自动驾驶汽车安全的研究不仅包括传统的功能安全，还扩展到了预期功能安全（SOTIF），这涉及到自动驾驶测试场景、测试装置等方面，在智能网联汽车信息安全测评体系中，不仅要考虑当前的安全状态，还要预见潜在的风险和威胁。为了应对智能汽车互联体系中的信息安全问题，已经开始建立相应的测试和评价指标体系。这包括整体安全、硬件安全、操作系统安全、应用安全、对内通信安全、对外通信安全和数据安全等方面。这些指标体系为智能网联汽车信息安全技术标准体系的推动和完善奠定了基础。中国代表团提交的"基于大数据分析的联网汽车安全异常检测机制"获得了国际电信联盟通信标准化组织(ITU-T)SG17安全工作组会议的立项，这是国际上第一个将大数据分析用于智能交通系统信息安全标准。这表明大数据技术在智能网联汽车信息安全领域的应用是一个重要的发展方向。

5. 结论

智能网联汽车作为现代汽车工业与信息技术深度融合的产物，不仅预示着交通方式的革命性变革，也带来了前所未有的信息安全挑战。本文综合分析了智能网联汽车在快速发展过程中所面临的信息安全风险，并综述研究了风险识别与应对策略。

文章基于STRIDE模型构建了一个全面的风险识别框架，该框架能够系统地识别和分类智能网联汽车所面临的多种威胁，包括网络攻击、数据泄露和隐私侵犯等。STRIDE模型的应用为智能网联汽车的信息安全防护提供了一种结构化的分析方法，有助于相关利益相关者理解潜在的安全威胁，并采取相应的预防措施。针对女巫攻击等特定威胁，本文进行了深入探讨，并提出了一系列抗女巫攻击策略。这些策略包括但不限于基于椭圆曲线密码学的轻量级安全认证模式、无证书公钥认证体制、基于接收信号强度指示（RSSI）的攻击防护方案等。这些机制的引入，旨在增强智能网联汽车的抗攻击能力，确保车辆通信的安全性和数据的完整性。此外，文章还介绍了无证书公钥认证体制，这是一种不依赖于传统证书管理的身份认证和数据签名机制，它通过先进的密码学技术，为车辆间的安全通信和信息交换提供了有力保障。无证书公钥认证体制的应用，不仅提高了认证过程的效率，同时也增强了系统的安全性和隐私保护能力。为了进一步提升智能网联汽车的信息安全防护水平，本文提出了构建智能网联汽车安全测评体系的必要性。该体系涵盖了架构分析、威胁识别、防护措施设计、测试评估以及风险管理等多个方面，旨在为智能网联汽车的信息安全提供标准化和系统化的评估方法。最后，文章指出未来的研究需要在现有基础上进一步探索更高效、低能耗的安全机制，并建立更加完善的信息安全评估和监控体系。随着网络环境的日益复杂和安全威胁的不断演变，智能网联汽车的信息安全研究领域仍面临着诸多挑战。未来的研究应聚焦于开发适应性强、可扩展的安全解决方案，并不断完善测评体系，以应对新兴的安全威胁，确保智能网联汽车技术的可持续发展。

通过本文的研究，我们认识到智能网联汽车信息安全的重要性，并提出了一系列切实可行的策略和技术。随着技术的不断进步和标准的不断完善，我们有理由相信，智能网联汽车将能够克服当前的信息安全挑战，为用户提供更安全、更可靠的出行体验。

参考文献

[1]郝晶晶,韩光省.智能网联汽车信息安全威胁识别和防护方法研究[J].现代电子技术,2021,44(23):62-66.DOI:10.16652/j.issn.1004-373x.2021.23.013.

[2]李岩松.复杂网络环境下智能网联汽车安全威胁分析与远程入侵研究[D].西安电子科技大学,2019.DOI:10.27389/d.cnki.gxadu.2019.001387.

[3]周延.改进的STRIDE威胁模型研究[D].华中科技大学,2015.

[4]张文芳,雷丽婷,王小敏,等.面向云服务的安全高效无证书聚合签名车联网认证密钥协商协议[J].电子学报,2020,48(09):1814-1823.

[5]朱栋,殷新春,宁建廷.车联网中具有强隐私保护的无证书签名方案[J].计算机应用,2022,42(10):3091-3101.

[6]朱栋.适用于车联网的无证书签名方案研究[D].扬州大学,2022.DOI:10.27441/d.cnki.gyzdu.2022.001944.

[7]王力.面向车联网的无证书匿名认证和条件隐私保护方案研究[D].西北师范大学,2022.DOI:10.27410/d.cnki.gxbfu.2022.000589.

[8]李聪聪.面向车联网信息安全问题的安全机制研究[D].北京交通大学,2019.

[9]郝晶晶,韩光省.智能网联汽车信息安全威胁识别和防护方法研究[J].现代电子技术,2021,44(23):62-66.DOI:10.16652/j.issn.1004-373x.2021.23.013.

[10]胡文,姜立标.智能网联汽车的多级安全防护方案设计和分析[J].网络安全技术与应用,2017,(02):136-138+140.

[11]陈渌萍.智能网联汽车整车信息安全威胁分析及渗透测试实践[J].软件和集成电路,2021,(10):36-37.DOI:10.19609/j.cnki.cn10-1339/tn.2021.10.011.

[12]杨曙光.基于车联网信息安全平台风险评估系统的研究与实现[D].电子科技大学,2020.DOI:10.27005/d.cnki.gdzku.2020.001614.