高级驾驶辅助系统(ADAS)使得驾驶者能够更好地了解情况和进行控制,使驾驶变得更简单和更安全。ADAS技术可以是基于汽车内的系统,即车辆常驻系统,比如视觉摄像系统和传感器技术,或者是以智能互连网络为基础,如车辆与车辆(V2V)或车辆与基础设施(V2I)系统,两者合称为V2X。
V2X通信利用针对短程无线通信设备的车载系统,与其它车辆互相传输车辆速度、方向、刹车状态、车辆大小等安全相关信息。V2X网络利用多跳通过其它节点传输信息,可以进行远距离通信。这种更远的检测距离可以查看弯角以外或通过其它车辆的能力,协助装备了V2X的车辆比传感器、摄像头或雷达更快地发现某些威胁,并相应地警示驾驶员。
除开发用于安全应用的基本安全信息外,该网络还能够被其它连接的车辆应用使用,比如移动性或天气。将来还可以开发来自车辆或基础设施的其它信息。
就安全影响而言,根据2004至2008年进行的一项研究,美国高速公路交通安全管理局(NHTSA)估计,采用V2C网络可以避免22种可能的车辆相撞场景,这意味着可以避免将近81%的未受损轻型汽车相撞事故。
根据2004至2008年的车辆相撞数据,每年这22种目标轻型车辆相撞场景造成的死亡、伤害和财产损失平均分别达到大约2.7万人、180万人和730万美元。
大规模采用V2I可带来潜在的巨大安全优势,可以有闯红灯警示、弯道车速警示、停车标志间隙辅助、减速区警示、现场天气信息警示、违反停车标志警示、违规穿过铁路警示、过大车辆警示等。
警示不仅告知车辆和驾驶员违反安全,而且可以通过无线链接警示附近的车辆,从而协助防止相撞,例如有车辆在十字路口的死角闯红灯或违反停车标志时。
V2X的安全
为了充分实现V2X的潜力,系统必须确保两点:信息来自值得信任的来源;及信息从发送者发送到接收者期间未被篡改。
以上提到的两点中,任一点没做好都会产生问题,造成严重的后果和致命。假信息会提供错误的速度和方向等车辆行驶数据,因而导致事故,而不法分子操纵数据可能会导致城市交通中断和造成混乱。
除上面提到的关注点外,用户还担心隐私,并要确保信息不会泄露驾驶员的身份和位置,匿名的车辆安全信息仅提供给预授权的实体,如其它车辆。为了确保大规模采用V2X,用户必须信赖V2X系统不会提供其个人数据,这一点尤其重要。
为了证明可靠性,信息发送者必须提供一个接收者能够验证的唯一标识符,证明信息来自可靠的来源。一般情况下,这一点通过使用对称或不对称加密技术来实现(如图1)。
对称加密通常适合节点数量有限的小型网络,其中发送方和接收方共享通常在任何包传输之前双方都已经知道的公共密匙。通过为验证包的完整性和来源而根据有效载荷和密匙计算而动态产生的代码(称为消息认证码,或macs),接收方以该密匙验证数据的真实性。
该方法虽然简单,但是由于所有节点必须使用同一密匙,这一点存在令人无法接受的安全风险 —— 然而,如果每一对互相通信的节点都必须使用不同的密匙则很难处理,因此该方法不可能用于大型网络,比如大型V2X。
非对称加密技术提供一种可扩展的方式以连接网络中尽可能多的节点。为了实现这一点,每个节点使用私有密匙对每个输送的信息进行数字签名。该数字签名可以由接收方利用传输给所有接收节点的相关公共密匙进行验证。除了具有比对称加密更好的扩展性之外,非对称加密还能够实现更简单的故障节点替换。
但是,这又出现了另一个问题:如何确保每个节点使用的私有密匙和公共密匙是真实和没有被人篡改呢?
该问题第一部分的最好解决方案就是使用硅IC的生物特征签名,该签名建立在每台设备制造工艺中微小的物理变化上。这些工艺变化永远都不可能完全相同,为每台设备提供了独一无二的签名,所以没有人可以克隆两个IC。这种签名称为物理不可克隆功能(PUF)。除了不可克隆之外,由于基于PUF的密匙通常是原子级别实现的,因此很难被黑客提取。IC可以在几个物理因素,比如存储器器件、逻辑延迟和电阻等基础上实现PUF。基于SRAM的IC利用SRAM单元独一无二的随机启动状态来产生私有密匙,由于该单元的状态在电源关闭时被擦除,因而更加安全。
问题第二部分可以利用公匙基础设施(PKI)来解决。PKI是一种用于建立、储存和分配数字证书的系统,这些数字证书用于验证属于某一实体的特定公共密匙。PKI创建数字证书,将公共密匙映射给实体,并将这些证书安全地储存在中央储存库中,在需要时将其废除。
在PKI系统中,证书授权中心(CA)通过CA自己的私有密匙以数字方式签署其公匙,从而对所有的节点进行认证。最常用的公匙认证格式为X.509。当设备传输以其私有密匙数字签名的信息时,该信息可以利用设备的公共密匙进行验证。该设备也可以向所有接收其信息的节点发送其X.509证书,使得这些节点都拥有它的公共密匙。接收方可以利用CA的公匙对包括该设备公匙的X.509证书进行验证,而CA公匙预先置于所有节点中,是固有信任的公匙。由于接收方可以验证发送方使用的签名,因此这种方案可以建立一个经过证明的分层证书信任链。这种方案还确保了很容易检测出假冒机器(如图2)。