论文解读：针对V2X网络节点的失信攻击

一. 前言

车联网，是车与路边感知设备、云服务、其他汽车等进行交通数据交互的一种网络，这种交互，也被称之为车路协同或V2X，X指的是除了自己这辆车以外的其他物体、人等。随着国家逐步推进车联网基础设施建设的进程，V2X也必将落地。但是，由于汽车行驶速度较高，V2X网络中各个节点短时间内会频繁、高速地进行数据交互，这种高速数据的交互过程，往往会存在众多的安全隐患。为防备低级的安全隐患，IEEE发布了标准1609.2来规定V2X数据交互中的安全通信过程。

但是，即便如此，V2X网络依然存在设计方面的安全问题。例如针对V2X网络节点的失信攻击，可以让V2X网络中的节点通信过程中失去信用进而失去V2X的网络连接，在未来自动驾驶+V2X的交通模式下，可以造成车祸等交通隐患。

这种攻击方式被在2021 IEEE ICC（International Conference on Communications）上披露。本文将对此论文进行解读。

二、V2X网络缺陷

IEEE 1609.2-2016和1609.2.1-2020这两个标准，定义了DSRC和C-V2X底层技术中安全交换BSM消息的服务以及协议。根据 1609.2，每个BSM都需要用椭圆曲线数字签名算法 (ECDSA) 和 VPKI 颁发的证书进行数字签名，防止消息被篡改。同时，为了防止汽车在V2X这种大规模网络中暴露真实身份，采用“化名”（pseudonym certificates）来代表汽车临时身份，标准中并没有明确定义其有效期，根据经验，一般可以认为约5分钟，汽车会更换化名。在这五分钟下，网络对汽车颁发证书、吊销汽车证书。如果汽车在网络中失信或者离开网络，则需要对汽车的证书进行吊销。

但是，这个过程中，整个网络对“认证失败”的结果认定不足，即数据报文本身的校验过程只采用CRC32，无法对报文进行纠错处理，导致它无法区分到底是因为消息传输错误，还是因为被恶意篡改导致的“认证失败”。攻击者可以利用得到的“化名”在短时间内发送大量的伪造消息，让被攻击的节点在网络中认证失败。

安全凭证管理系统 (SCMS) 是美国交通部提议的 VPKI 框架，它概述了用于分发、更新和撤销车辆证书的架构。这种架构提出多种方法来检测不当行为车辆，其中包括机器学习、基于声誉的方案等。在基于信誉的方案中，我方车为对方车辆维护一个本地信誉库。每次收到消息时，消息签名验证的结果会对信誉产生影响，因此在类似的方案下，每次从对方接收到验证失败的消息时，我方都会降低该车辆的声誉。因此，如果在VPKI中使用基于信誉的检测方案，车辆可能会被攻击者“抹黑”。就是说，汽车开着开着，就容易被V2X网络拉黑。

三、攻击实验与结果

作者开源了测试环境以及代码v2verifier。测试环境如图 1所示。测试环境中有接收方、发送方、攻击方三个节点，每个节点由一个笔记本电脑和一台SDR组成。

图1. 威胁模型

v2verifier则实现了IEEE 1609.2的必要部分，以说明安全风险。v2verifier使用一组预置的GPS记录，计算发生方的速度、朝向后，组成BSM，在使用 ECDSA 对每个 BSM 进行签名后，将生成的签名和车辆的签名证书一起打包到 1609.2 定义的 SPDU 结构中发送给接收方。接收方验证 BSM 的签名，然后使用从其他“车辆”接收到的运动数据更新其本地跟踪系统。除此以外，v2verifier还实现了一个图形展示界面，直观地表示车辆位置以及攻击效果，如图 2所示。

图2. v2verifier的图形界面

在使用USRP这种软件无线电设备进行通信时，引发的签名校验的错误结果会非常多，由此，作者设想了一种利用此漏洞攻击的场景。即，攻击者试图在特定目标车辆发送的消息中引发有针对性的解码错误，导致这些消息无法被接收者验证。当使用基于声誉的不当行为检测方案时，攻击者将车辆信誉清零并从信誉库中拉黑。

每个汽车“化名”的有效期为5分钟，因此，攻击者最多有5分钟；来攻击受害车辆的信誉。在假设攻击者在短时间内可以比其他车辆距离受害车辆更近的场景成立的条件（比如开车跟踪）下，攻击者采取以下步骤实现攻击：

1. 获取受害车辆当前的“化名”。为了提高对化名消息的识别效率，攻击者先识别报文头部标识，当识别到这是一个“化名”更新消息时候，再进一步解析报文格式，取出“化名”。
2. 在100ms内发送高频的干扰信号（>2K/s）。几次迭代后，对受害车辆的信誉将下降到定义的阈值以下，证书被误销。

有个非常有意思的现象，实验表明，5分钟内，攻击者不对其进行干扰，仅通信错误就可能使给定车辆的声誉最多降低 50%。这从一定程度上说明了规范与落地的距离。如果攻击者干扰20%的BSM消息，则5分钟即可攻击成功，如果干扰所有的BSM消息，时间将缩短为2分钟。也就是说，汽车接入网络2分钟后就被“踢出了群聊”。

四、模拟实验

硬件环境带来的是成本问题。一个USRP B210 SDR近2万元，对个人来说，其成本依旧较高。更别说还需要3个SDR才能完成整体实验。作者在v2verifier加入了模拟环境，只需要在v2verifier程序运行参数中，加入“--test”，不需要SDR设备也能进行基本的消息收发。比如图 3所示中，左侧为车路的环境，右侧为发送方向接收方发送消息，消息中包含位置、速度、朝向信息。

图3. v2verifier的模拟环境

四、启发与总结

在V2X尚未落地的今天，研究V2X的安全性显得较为困难。作者研读了V2X众多标准后，使用软件无线电设备对V2X网络的安全通信进行了模拟，并开源了实验环境和代码。同时，针对V2X网络中汽车的信誉进行了攻击和测试，最后，成功验证了V2X网络下基于信誉的安全机制存在安全漏洞。

使用证书来认证是没有问题的，但是如何使用验证失败的结果，需要谨慎考虑。仅仅使用认证失败来降低其信誉，不是一个稳妥的方法。