基于广播通信信道的轻量级车辆轨迹安全验证方案.pdf

1、2023 年 10 月 Chinese Journal of Network and Information Security October 2023 第 9 卷第 5 期 网络与信息安全学报 Vol.9 No.5 基于广播通信信道的轻量级车辆轨迹安全验证方案 宁志强1，汪媛媛1，张驰1，魏凌波1，俞能海1，HAO Yue2（1.中国科学技术大学网络空间安全学院，安徽 合肥 230001；2.San Francisco State University,Department of Computer Science,Houghton,San Francisco,CA 94132）摘 要：在智慧

2、交通系统中，智能汽车需要实时广播车辆轨迹消息来协调驾驶决策，保证行车安全。然而，攻击者可以通过修改消息的发送时间戳或操纵信号发射的载波频率伪造车辆轨迹。针对该问题，提出了一种轻量级车辆轨迹验证方案。无须任何特殊硬件支持，基于同一广播通信信道完成对车辆轨迹的安全验证；无须时间同步，每个验证点计算消息接收时间与发送时间戳的时间间隔，通过联立两两验证点的时间间隔所形成的空间位置约束方程，达到了抗时间戳伪造攻击的防御效果；每个验证点计算消息到达频率和预定发射频率的多普勒频移，通过联立两两验证点的频移所形成的速度矢量约束方程，实现了抗载波频率操纵攻击的安全目的。通过形式化分析，表明增加验证点的数目可以提

3、高车辆轨迹验证的准确率。最后，真实环境中的实验结果表明，当验证点数量设定为3个时，方案展现出了最佳的性能。与现有方案相比，在分别验证真实车辆轨迹和虚假车辆轨迹时，方案具有更高的正确率，更低的错误拒绝率和错误接受率。关键词：时间戳；多普勒效应；车辆轨迹；安全验证 中图分类号：TP302 文献标志码：A DOI:10.11959/j.issn.2096109x.2023077 Lightweight and secure vehicle track verification scheme via broadcast communication channels NING Zhiqiang1,WAN

4、G Yuanyuan1,ZHANG Chi1,WEI Lingbo1,YU Nenghai1,HAO Yue2 1.School of Cyber Science and Technology,University of Science and Technology of China,Hefei 230001,China 2.Department of Computer Science,San Francisco State University,San Francisco,CA 94132,USA Abstract:In intelligent transportation systems,

5、it is crucial for smart vehicles to broadcast real-time vehicle track messages to coordinate driving decisions and ensure driving safety.However,attackers can manipulate vehicle tracks by modifying timestamps or manipulating signal frequencies,posing a threat to security.To address this problem,a li

6、ghtweight vehicle track verification scheme was proposed,utilizing the broadcast communication channels to achieve secure verification of vehicle tracks without any special hardware support.Without time 收稿日期：20230321；修回日期：20230818 通信作者：张驰， 基金项目：国家自然科学基金(61871362，U19B2023)Foundation Item:The National

7、 Natural Science Foundation of China(61871362，U19B2023)引用格式：宁志强,汪媛媛,张驰,等.基于广播通信信道的轻量级车辆轨迹安全验证方案J.网络与信息安全学报,2023,9(5):71-81.Citation Format:NING Z Q,WANG Y Y,ZHANG C,et al.Lightweight and secure vehicle track verification scheme viabroadcast communication channelsJ.Chinese Journal of Network and Info

8、rmation Security,2023,9(5):71-81.72 网络与信息安全学报 第 9 卷 synchronization,each verifier calculated the time interval between the reception time of the message and the sending timestamp.Spatial position constraint equations are formulated by combining these time intervals between any two verifiers,effectiv

9、ely defending against timestamp forgery attacks.Additionally,each verifier calculates the Doppler frequency shift between the arrival frequency and the scheduled transmit frequency.Velocity vector constraint equations were formulated by combining these frequency shifts between any two verifiers,prov

10、iding defense against carrier frequency manipulation attacks.Formal analysis shows that increasing the number of verifiers improves the accuracy of the proposed verification scheme.Experimental results in a real-world environment further validate that the proposed verification scheme exhibits the be

11、st performance when the number of verifiers is set to 3.Compared to the existing solution,the proposed verification scheme has a higher accuracy,lower false rejection rate,and lower false acceptance rate when validating true vehicle track and false vehicle track separately.Keywords:timestamp,Doppler

12、 effect,vehicle track,secure verification 0 引言 随着汽车工业技术的迅速发展，智能汽车已经成为智慧交通系统的重要组成部分，给人们出行带来了极大便利。为了避免交通事故，智能汽车通常会安装摄像头、激光雷达、毫米波雷达等设备，探测并定位周围的汽车，并采取制动或避让等措施。然而，这种主动式的探测方法开销大，需要额外的设备成本和设备维护费用，同时，面临雨雪天气干扰、识别精度不高等问题。此外，这种方法需要占用海量的车载计算资源进行数据实时处理，并且在探测范围上存在盲区，无法完全保障智能汽车在道路上的安全行驶1。在这样的场景下，被探测的智能汽车通常安装卫星定位系统

13、（如北斗、GPS）、惯性测量单元、陀螺仪等传感器，以实现高精度定位，并通过广播通信信道向周围智能汽车或路边基础设施发送车辆轨迹信息2，如车辆位置、速度、加速度等。周围的智能汽车或路边基础设施通过侦听广播通信信道的方式获取信息3，进而根据被探测智能汽车的车辆轨迹下达行车指令，改变行车速度和方向。这种被动式广播车辆轨迹信息的方式仅依赖于现有的车载传感器和通信模块，并未增加任何特殊硬件4。该方式的优点在于它降低了开销，同时减少了对车载计算资源的需求。此外，该方式有利于高速公路上车辆编队行驶，可以更好地保持合适的行驶速度和车间距离，实现轻量级的车辆定位应用5。然而，这种方式也存在安全隐患：一方面，如果

14、车载传感器发生故障并输出错误轨迹数据，这些错误数据会被广播到周围的智能汽车，导致这些汽车做出错误的决策，如如果需要减速的车辆根据错误轨迹数据加速行驶，将会导致严重的交通事故6；另一方面，恶意的攻击者在通过控制车载软件平台后，可以伪造虚假的车辆轨迹信息并发送给周围的智能汽车，如果这些汽车没有任何安全防御机制，就会根据虚假的车辆轨迹下达错误的行车指令，导致出现严重的后果7。因此，对智能汽车广播的车辆轨迹信息进行安全验证是非常必要的8。现有的车辆轨迹安全验证方法研究可以总结为两种：第一种方法通常在智能汽车上部署硬件，如通过车载激光雷达等设备进行主动探测，或通过增加特殊硬件的方法对接收到的车辆广播信号

15、进行物理特征提取，从而定位车辆位置；第二种方法在不部署任何特殊硬件的情况下，利用通信信道获取车辆状态信息，验证车辆轨迹。Yan 等9提出一种基于车载雷达的方法，通过探测邻近车辆并计算雷达数据与邻近车辆广播数据之间的余弦相似度来判断广播数据是否真实；从过滤后的真实数据中筛选出虚假数据，实现对邻近车辆轨迹的验证。然而，该方案开销较大，同时需要多个不同节点的车载雷达实现安全防御。Sun 等5利用单个天线接收器测量信号到达角（AoA，angle of arrival）和到达频率（FoA，frequency of arrival），定位发射信号的车辆。该方案利用环境中的多路径信号反射点来模拟不同位置的验

16、证点，并使用极大似然估计模型定位可能的信号源，同时基于到达频率差的方法消除未知频率偏移，并利用多普勒效应验证车辆速度。然而，当车辆在开阔的道路环境行驶时，由于不存在反射物体，第 5 期 宁志强等：基于广播通信信道的轻量级车辆轨迹安全验证方案 73 车辆接收不到反射信号。Du 等10设计了一种名为 MobTrack 的单设备系统，该系统增加多根天线，利用天线阵列计算视距（LoS，line of sight）传播信号的到达角来测量信号源的位置，实现轨迹验证。然而，智能汽车搭载的硬件有时会发生故障11，这可能会产生错误的数据。如果不部署任何特殊硬件，仅基于广播通信信道来获取车辆状态信息，也可以对车辆

17、轨迹进行验证。通常采用测距的方法来解决此问题12。Baker 等13提出一种通过测量信号从固定节点传输到移动节点时的到达时间差来实现对固定节点位置安全验证的方法。然而，该方法在一定误差范围内有效，并且需要各个节点保持精确的时间同步。Yao14等提出了 Voiceprint 方法，通过观察接收信号强度指示（RSSI，received signal strength indicator）在两个节点上的时间序列是否相似来实现对节点位置的验证，而无须依赖任何无线电传播模型。然而，恶意攻击者可以改变本地时间，这会使消息接收方无法验证两个节点是否保持精确的时间同步。基于对广播通信信道频偏的测量也可以对智能

18、汽车的速度进行验证。Sun 等15提出在后方车辆获得前方目标车辆广播的消息后，基于后方车辆与另一台可信车辆测量信号到达角以及相应的信号到达频率差，通过卡方检验检测这些数据，从而验证目标车辆轨迹。然而，恶意攻击者可以通过调整智能汽车载波信号的频率进行欺骗，周围车辆不能根据信号的到达频率验证目标车辆的速度。针对上述问题，本文提出了一种基于广播通信信道的抗时间戳伪造攻击和抗载波频率操纵攻击的轻量级车辆轨迹安全验证方案，本文的主要贡献如下。1)提出了一种基于广播通信信道的轻量级车辆轨迹安全验证方案。该方案无须部署任何特殊硬件，基于同一广播通信信道，完成对车辆轨迹的安全验证。2)提出了一种抗时间戳伪造攻

19、击的车辆轨迹安全验证方法。该方法计算每个验证点计算消息接收时间与发送时间戳的时间间隔，通过联立两两验证点的时间间隔所形成的空间位置约束方程，达到抗时间戳伪造攻击的防御效果。3)提出一种抗载波频率操纵攻击的车辆轨迹安全验证方法，利用多普勒效应验证智能汽车的瞬时速度，每个验证点计算消息到达频率和预定发射频率的频偏，通过联立两两验证点的频偏所形成的速度矢量约束方程，实现抗载波频率操纵攻击的安全目的。4)真实环境的实验结果表明，当存在至少3 个验证点时，可以对车辆的轨迹进行安全验证，并达到抗时间戳伪造攻击和抗载波频率操纵攻击的效果。1 模型假设 1.1 系统模型 车辆轨迹安全验证的场景通常包含目标车辆

20、、验证者、验证点等。目标车辆不断广播自身的轨迹信息，并通过消息验证码或数字签名的方式确保广播的信息未被修改。验证者需要验证这些广播信息内容的真实性。验证点是位于智能汽车的广播范围内，能够接收到智能汽车发送的物理层无线通信信号，起到辅助验证者验证车辆轨迹作用的实体。这类实体有两类：第一类是路侧单元和基础设施；第二类是周边车辆。路侧单元和基础设施具有较强的安全防护能力，在充当验证点时可认为是可信的。周边车辆能够接收到目标车辆广播的消息，也可以充当验证点的作用，然而需要验证者信任这些周边车辆，这可以通过信誉机制16予以解决。验证者可以接收来自各个验证点有关目标车辆的轨迹验证信息，然后在本地综合判断目

21、标车辆广播信息的可信度。因此，验证者无须位于智能汽车广播范围内。为了简化讨论，后续描述中假设验证者就是某一可信的验证点。本文假设所有验证点可以与验证者安全地通信，并且所有验证点可以正确地将自身位置发送给验证者。由于在验证过程中，验证点都是可信的，验证点直接将目标车辆的消息发送给验证者，验证点与验证者之间的安全通信将保证所有消息都真实地来自目标车辆。所有验证点可以正确地将自身位置发送给验证者，使得验证者可以根据验证点的位置验证目标车辆的真实位置。74 网络与信息安全学报 第 9 卷 本文假设验证点可以记录接收车辆消息时的本地时间，并将车辆消息和到达的本地时间、车辆消息的到达频率等信息传输给验证者

22、。在此过程中，由于验证者与验证点的距离不影响本文的验证方案，验证点传输信息给验证者的时间可以忽略不计。本文假设目标车辆与验证点之间不需要严格的时间同步，为了实现此目标，需要将时间分为本地时间和全局时间，本地时间表示以本地物理时钟为时间基准的时间，本地时间戳表示以本地时间为时间基准标记的时间戳，全局时间表示在各个物理时钟存在偏移的情况下，以此时间作为参考的标准时间。本文假设智能汽车定期使用固定信号频率向周围广播消息，该消息包括自身的位置、速度、发送消息时车辆的本地时间戳等。定期广播消息是为了让周围验证点可以稳定地接收车辆消息，以便安全验证车辆轨迹。使用固定信号频率可以使所有验证点统一地在同一个信

23、号频率上接收目标车辆的消息，并且验证点可以根据信号的到达频率差对车辆的速度进行验证。目标车辆以一个固定信号频率1f连续广播车辆消息，所有位于目标车辆通信范围内的验证点都可以接收到车辆消息。本文用O表示固定的验证点，1,kMSM表示车辆轨迹消息集合，1S，对于目标车辆广播的两条车辆消息(,)iiiiv pMt和1111(,)iiiiMvpt，1iipp，it表示车辆消息iM发送时的本地时间戳，ip表示在时间节点it时的车辆位置（二维或三维的欧几里得坐标）。从消息iM的定义可以得知目标车辆在时间节点it向周围车辆广播其本地消息时间戳、位置和速度，iv表示在位置ip时的车辆速度。目标车辆消息显示的车

24、辆轨迹如图1所示，从目标车辆发送给验证点O的车辆消息显示其位置从1p依次移动至2p、3p。目标车辆使用无线通信信道先后将车辆消息iM和1iM广播到验证点O，验证点的位置位于p。以验证点O为例，本文规定iv表示车辆消息沿着验证点O的径向速度，i是车辆速度iv与目标车辆到验证点视线路径的角度，iv和iv是车辆速度iv和径向速度iv的标量大小，iv和iv关系式为 cosiiivv 在多普勒效应的影响下，验证点O可以接收到沿着径向速度方向的车辆消息，其中cv表示信号的传播速度，验证点O接收到目标车辆消息的预期信号频率f为 11/ciffvv(1)图 1 目标车辆消息显示的车辆轨迹 Figure 1 T

25、rack information broadcasted by the target vehicle 本文所要实现的安全目标是验证目标车辆先后发送给验证点的车辆消息iM和1iM是否真实。1.2 攻击模型和假设 为了分析所提车辆轨迹安全验证方案，本文使用以下威胁模型。假设在位置Ap有一攻击者A，可以是恶意车辆，也可以是软件平台被攻击者控制的车辆。该攻击者的主要目的是广播被虚假的车辆消息欺骗的位于自身通信范围内的验证点。虽然在攻击者的通信范围内存在众多验证点，然而并非所有的验证点都参与对车辆消息的安全验证过程，因而攻击者无法确认在验证过程中参与的验证点的具体位置和数量，无法采用定向天线进行欺骗攻击

26、，或者攻击者控制了车辆的软件平台，但无法改变车辆的通信硬件，因此只能采用全向天线广播车辆消息，这使得验证点都能够通过广播信道接收到相同的车辆消息。攻击者可以修改车辆位置ip和车辆消息时间戳it，完成时间戳伪造攻击；修改车辆位置ip、预定的广播信号频率1f、标量速度iv，完成载波频率操纵攻击。首先，攻击者与验证点各自的本地物理时钟可以不同步，消息时间戳it不一定与第 5 期 宁志强等：基于广播通信信道的轻量级车辆轨迹安全验证方案 75 全局时间相同，这使攻击者可以进行消息时间戳的伪造攻击，即攻击者可以在本地对消息时间戳进行任意篡改，使消息的发送时间戳与本地的物理时间不对应，进而可以在任意时间节点

27、上广播任意位置，而验证点无法对单个消息中的时间戳进行验证13。其次，验证点不具备任何特殊硬件对目标车辆的位置和速度进行测量，因而攻击者可以任意篡改ip和iv。攻击者还可以选择不同的载波频率Af发射信号，即控制信号载波频率1f对验证点进行欺骗攻击，使验证点无法根据信号的到达频率差对车辆消息内容的iv进行验证17。2 本文方案设计 本文方案通过对消息时间戳的计算和基于多普勒效应的应用，实现对车辆轨迹的安全验证。方案分为两部分：消息时间戳的验证方法和信号载波频率的验证方法。2.1 消息时间戳的验证方法 由于目标车辆与验证点各自的物理时钟存在偏差，为了便于讨论，本文将时间区分为全局时间和本地时间。全局

28、时间用T 表示，在全局时间中两个时间节点之间的时间间隔用 D 表示；本地时间用t表示，在本地时间中两个时间节点之间的时间间隔用d表示。图2展示了目标车辆与验证点间车辆消息传输的全局时间线。从全局时间角度来说，车辆消息iM从目标车辆位置到达验证点位置的传播时延为iiiDTT，其中iT表示目标车辆发送车辆消息iM的时间点，iT表示验证点O接收到车辆消息时的时间点。目标车辆发送消息iM和1iM间的时间间隔表示为11,ii iiDTT。验证点O接 收 到iM和1iM之 间 的 时 间 间 隔 表 示 为11,ii iiDTT。从本地时间角度来说，若目标车辆发送的两次车辆消息iM和1iM是真实的，则有,

29、1,1i ii idD。基于以上定义，车辆轨迹安全验证流程如下。由图2可知，目标车辆发送消息iM到验证点O接收消息1iM的时间间隔,1ii iDD应等于消息iM和消息1iM的发送时间间隔,1i iD与消息1iM的传播时延1iD之和，即 ,1,11iii ii iDDDD(2)图 2 目标车辆与验证点间车辆消息传输的全局时间线 Figure 2 The message transmission between the target vehicle and the verifier with a global timestamp 从全局时间角度来说，车辆消息iM和1iM被发送到验证点O位置的传播时

30、延可以分别表示为/iicDppv，11/iicDppv，其中cv表示信号传播速度，代表欧几里得距离。由式(2)可知，验证点接收消息iM和1iM的时间间隔,1i iD为 ,1,11()i iiiiiDDDD(3)从本地时间角度来说，验证点O接收iM和1iM间的时间间隔表示为,1i id。验证车辆轨迹是否真实的关键在于：从本地时间来看，验证点O接收消息iM和1iM间的时间间隔,1i id，是否等于目标车辆发送消息iM到验证点接收消息1iM间的时间间隔与消息iM的传播时延iD之差；无论用全局时间还是本地时间，目标车辆发送iM和1iM的时间间隔始终相同，即,1,1i ii iDd。对于任意车辆消息1,

31、iiMMS，每个验证点都需要判断是否满足下列条件。,1,11()i ii iiidDDd(4)由于时间测量误差等因素存在，测量得到的,1i id与真实数值不完全相同，因而当绝对误差小于阈值1时，即,1,111()i ii iiidDDd，可认定消息iM和消息1iM都是真实可信的。2.2 信号载波频率的验证方法 由多普勒效应可知5，传输信号频率大小与距离无关，与速度有关。不同方向上的径向速度76 网络与信息安全学报 第 9 卷 不相同，所有验证点接收到的信号载波频率也不相同。每个验证点由式(1)计算出预期信号频率，如果每个验证点接收到的信号载波频率与计算出的预期信号频率不相同，就会引发警报。以验

32、证点O为例，f是验证点O接收到的信号载波频率，1f是车辆固定发出的载波信号频率，iv是载波信号沿着验证点O的径向速度大小，cv表示信号的传播速度，对于车辆消息iM，每个验证点O都需要判断是否满足下列条件。11/ciffvv(5)由于信道噪声等因素存在，测量的f与真实的载波信号频率不完全相同，因而当绝对误差小于阈值2时，即121/icfvfv，可认定消息iM 是真实可信的。此外，在对车辆消息的载波信号进行验证时，各个验证点之间无须保持严格的时间同步，验证点与智能汽车也无须保持时间同步，这解决了各节点本地物理时钟不同步的问题。本文方案无须在智能汽车与验证点上部署特殊的硬件，这使得本文方案可以大规模

33、、低成本地运用在车辆轨迹的安全验证上。而且本文方案可以在高速公路上快速验证智能汽车的瞬时速度，从而安全验证车辆轨迹。3 安全性分析 3.1 基于单个验证点的安全性分析（1）抗时间戳伪造攻击的安全性分析 假设目标车辆（或攻击者）会先后发送两次车辆消息(,)iiitMp和111(,)iiitMp给验证点O，且1iipp。对于任意两个车辆消息iM 和1iM，如果这些车辆消息被验证是安全的，即可证明车辆轨迹1,kMSM也是安全的。当验证点数量为 1 时，从本地时间角度来说，由式(4)可知 111)()iiiiiittttDD(6)攻击者目标是寻找消息发送时间点iT和1iT，在iM 发送之后，攻击者会等

34、待一段合适的时间AD 再次发送，从全局时间的角度来说，从式(6)可得 111()()iiiiiiTTttDD(7)其中，验证点O第一次接收目标车辆消息的时间A1AiiTTDD，第二次接收目标车辆消息的时间AiiTTD，且1AiiTTD。如果存在攻击者，从攻击者的位置发送消息到验证点O的传播时延为AA(/)cDppv，由式(7)推导出 A11()()iiiiDttDD(8)只存在一个验证点的情况下，当攻击者离验证点足够近，可以通过设置发送两次消息之间的间隔时间AD 进行欺骗攻击，对单个验证点进行消息时间戳伪造攻击如图 3 所示。图 3 对单个验证点进行消息时间戳伪造攻击 Figure 3 Att

35、ack with forged timestamps on a single verifier（2）抗载波频率操纵攻击的安全性分析 在图 1 中，当只有一个验证点O接收车辆消息时，由式(5)可以得出结论，攻击者只需将载波频率1f 调整为 f，验证点O接收消息信号的频率是预期信号频率 f，攻击不会被检测到。3.2 基于两个验证点的安全性分析（1）抗时间戳伪造攻击的安全性分析 当验证点数量为 2 时，攻击者的目标是需要调整发送iM 和1iM的时间间隔,1i iD，车辆消息iM 和1iM需要经过两个不同的传播时延AD和AD分别到达两个验证点O和O。因此攻击者仍然需要AD 满足式(8)和式(9)才能成

36、功发起攻击。A11()()iiiiDttDD(9)由式(8)和式(9)可推导出 11iiiiDDDD(10)对于车辆消息iM，攻击者可以任意选择ip第 5 期 宁志强等：基于广播通信信道的轻量级车辆轨迹安全验证方案 77 进行欺骗攻击，然而，对于另一条车辆消息1iM，攻击者需要精心构造车辆消息中的位置1ip使得式(9)成立，由于消息的传播时延和距离相关，将式(10)重写为关于距离的公式，位置1ip由位置ip、验证点位置 p和p决定。定义集合(,)iP p pp|inpppppp ipp p，其中 n是维度的数量。攻击者可以选择任意一个属于集合(,)iP p pp中的位置1ip来完成攻击。当2n

37、时，即在二维情况下，集合(,)iP p pp对应于双曲线上的一条臂，且此双曲线上任意一点到焦点的距离差为ipp ipp，因此当车辆消息1iM中的位置1ip对应此双曲线上一条臂中的某个位置时，就可以质疑其是虚假的车辆轨迹。（4）抗载波频率操纵攻击的安全性分析 对两个验证点进行载波频率操纵攻击如图4所示，攻击者对两个验证点发起攻击。由于验证点根据式(5)验证载波频率，从攻击者角度来看，攻击者需要依据此公式计算出来一个特殊的车辆位置，该位置可以使得不同方向上的径向速度都相同，从而使得两个验证点接收到同样的载波频率。为了欺骗验证点，攻击者需要调整消息广播的载波频率1f，使得到达每个验证点真实的载波频率

38、Bf满足以下条件：1B1/icffvv(11)1B1/icffvv(12)图 4 对两个验证点进行载波频率操纵攻击 Figure 4 Attack with carrier frequency manipulation on two verifiers 这使得iivv，即ii。车辆速度iv应平分矢量iv和iv形成的夹角。从几何的角度来说，车辆消息(,)iiiiv pMt中的iv应与以p和p为焦点的双曲线中的一条臂相切，该双曲线的半长轴长度为从ip到焦点距离差的一半。因此当车辆消息1iM中的位置1ip对应此双曲线上一条臂中的某个位置时，就可以质疑其是虚假的车辆轨迹。3.3 基于 3 个验证点的安

39、全性分析（1）抗时间戳伪造攻击的安全性分析 当验证点数量为3时，由上文的结论得出以下关系式。111iiiiiiDDDDDD(13)两条车辆消息iM和1iM分别被发送到3个验证点O、O、O，使得ip和1ip需要满足以下条件。1,(,)iiOOOOVOpP p pp(14)即需要3条不同的双曲线构成平面上的交点。为了方便表示，令22()()lxxyy，22()()()iilxxyydpp，ippp，22()()lxxyy，()iidppippp，并且两条双曲线(,)iP p pp和(,)iP p pp的交点2(,)x y 必须满足 ()illdp(15)()illdp(16)从式(15)、式(16

40、)可得 bcgh0 xy (17)其中，bcgh、都是常量。)()()()b()()(iiiiiixdpdpx dpx dpdp dp,)()c()()()iiiiiiydpdpy dpy dpdp dp,22222)g2()(iixyxydpdp,22222)h2()(iixyxydpdp。78 网络与信息安全学报 第 9 卷 将式(17)代入式(15)或式(16)，可得到一个二元一次方程，产生0、1或2个交点，即0、1或2个解。由定义可知，3条双曲线至少有一个焦点ip，攻击者为了获得满足式(4)的虚假位置，最多只能有一个可能的位置来欺骗验证点。当验证点数量为3时，针对位置pi形成的双曲线如

41、图5所示，攻击者最多只能构造一个虚假位置对验证点实施欺骗攻击，因此利用3个验证点可以完全实现车辆消息中的轨迹验证。图 5 当验证点数量为 3 时，针对位置 pi形成的双曲线 Figure 5 Pairwise hyperbolas for position pi with three verifiers（2）抗载波频率操纵攻击的安全性分析 由 上 文 可 以 得 出 结 论：此 攻 击 满 足iiivvv。攻击者需要使车辆消息iM中的位置ip位于任意一条两两验证点连接的直线上，从几何的角度来说，矢量iv无法平分iv、iv和iv两两形成的夹角，使得iii，因此当3个验证点不位于同一方向的前提下，

42、攻击者无法发起载波频率操纵攻击。综上所述，如果在验证过程中方案满足下列条件，可以探测到欺骗攻击。如果|Vn，且11,(,)iiippMiipP p pp，其中 n为车辆的位置维度数量，即 nip，则至少有n个验证点接收到车辆消息，每个验证点接收到两个不同的车辆消息，且其中的一条车辆消息显示车辆位置不对应双曲线(,)iP p pp一条臂上的任意位置。如果|3S，且|1On，则至少有1n个验证点接收到车辆消息，且每个验证点接收到至少3条车辆消息，这些车辆消息组成了一条完整的车辆轨迹。4 实验结果与分析 为了验证所提方案的有效性和高效性，基于目前已有的硬件，本文采用蔚来ES8作为目标车辆。目标车辆的

43、通信模块如图6所示，本文基于LTE-V通信协议选择载波频率5.2 GHz进行实验，该车的通信模块搭载中兴ZM8350车载模组，通过车载GPS接收机Pwrpak E1进行精确定位，使用USRP B210无线电台发射信号，并利用VERT 2450天线进行广播。目标车辆与各验证点的实物图如图7所示。验证点包括路侧单元、基础设施和可信的周围车辆。其中，路侧单元和基础设施已安装CPU/MPU、LTE-V通信模块、定位设备等18-22。可信车辆安装与目标车辆相同的通信模块，与目标车辆进行通信。图 6 目标车辆的通信模块 Figure 6 Communication module on the target

44、 vehicle 图 7 目标车辆与各验证点的实物图 Figure 7 Physical view of the target vehicle and verifiers 由式(4)可得，攻击者需要精确设置两次车辆消息传输的间隔时间才能进行有效攻击，因而本文方案决定随机地设置攻击者的位置，以便两次车辆消息到达各个验证点时的间隔时间满足攻击要求，同时采用SVM方案5作为对照第 5 期 宁志强等：基于广播通信信道的轻量级车辆轨迹安全验证方案 79 实验。由于车辆的体积大，存在定位误差，并且由于时间测量误差、信道噪声等，阈值1和2需要在实验前期根据错误拒绝率与错误接受率来选择阈值，以便后续进行实验。

45、设置阈值1和2如图8和图9所示，当错误拒绝率与错误接受率都相对较低时，此时阈值10.35 s、215 Hz，因而本文选择将阈值1、2分别设置成0.35 s、15 Hz。图 8 设置阈值 1 Figure 8 Setting the first threshold 1 图 9 设置阈值 2 Figure 9 Setting the second threshold 2 不同数量验证点的情况下本文方案的正确率如图10所示，可以看出，当验证点数量从1增加至3时，本文方案验证的正确率显著上升；当验证点数量为4或5时，验证的正确率无明显变化，这表明随着验证点数量的增加，验证正确率会上升，当验证点数量为4

46、或5时，正确率达到饱和，与第3节的安全性分析一致。因此，后续实验只设置3个验证点。图 10 不同数量验证点的情况下本文方案的正确率 Figure 10 The accuracy of proposed scheme with different numbers of verifiers 两种方案验证真实车辆轨迹的正确率如图11所示。此次实验将车辆轨迹全部设置为真实的车辆轨迹，随着目标车辆发送的车辆消息数量逐渐增多，验证车辆轨迹的正确率也逐渐上升，最终接近94.50%，这表明本文方案在验证车辆轨迹时具有一定的有效性。此外当车辆消息数目少于40时，本文方案验证车辆轨迹的正确率增长速率快，表明本文方

47、案能够在很短时间内达到良好的车辆轨迹验证作用。此外，本文方案的验证正确率始终优于SVM方案，这是因为SVM方案需接收到反射信号进行车辆轨迹验证，如果设置的反射点较少，验证轨迹的正确率就会较低。图 11 两种方案验证真实车辆轨迹的正确率 Figure 11 The two schemes verify the accuracy of true vehicle track 两种方案验证虚假车辆轨迹的正确率如图12所示，该实验中，本文方案将目标车辆发送的车辆轨迹全部设置为虚假的车辆轨迹，随着目标车辆发送的车辆消息逐渐增多，验证车辆轨迹的正确率逐渐上升，最终接近94.00%，这表明本文方案并没有80

48、网络与信息安全学报 第 9 卷 受到虚假车辆轨迹的干扰，成功实现了抗时间戳伪造攻击和抗载波频率操纵攻击。图 12 两种方案验证虚假车辆轨迹的正确率 Figure12 The two schemes verify the accuracy of false vehicle track 本文方案验证车辆轨迹的错误接受率和错误拒绝率如图13所示。错误接受率指的是方案将虚假车辆轨迹验证为真实车辆轨迹的比率。错误拒绝率指的是方案将真实车辆轨迹验证为虚假车辆轨迹的比率，出现这些情况可能是在实验环境中存在时间测量误差或者信道噪声等。从图13可以看出，随着目标车辆消息数量逐渐增加，错误接受率和错误拒绝率逐渐下

49、降，同时当目标车辆消息数量从10增加至30时，实验结果比率曲线下降迅速，这表明本文方案在验证目标车辆轨迹时具有高效性。在不同数量的目标车辆情况下，本文方案的验证时间如图14所示。随着车辆数量逐渐增多，验证点接收到的车辆消息也逐渐增多，验证时间变长，如何控制并缩短验证时间，将是车辆轨迹验证领域的一个重要方向。图 13 本文方案验证车辆轨迹的错误接受率和错误拒绝率 Figure 13 The proposed scheme verify vehicle tracks false acceptance and rejection rates 图 14 本文方案的验证时间 Figure 14 The

50、verification time of proposed scheme 5 结束语 基于同一广播通信信道，本文提出了一种抗时间戳伪造攻击和抗载波频率操纵攻击的轻量级车辆轨迹安全验证方案。该方案基于智能汽车已有的硬件，无须部署任何新的硬件，减少了汽车成本开销，实现了对智能汽车车辆轨迹的安全验证。在时间不同步的情况下，每个验证点计算消息接收时间与发送时间戳的时间间隔，通过联立两两验证点的时间间隔所形成的空间位置约束方程，达到了抗时间戳伪造攻击的防御效果。基于多普勒效应，每个验证点计算消息到达频率和预定发射频率的频偏，通过联立两两验证点的频偏所形成的速度矢量约束方程，实现了抗载波频率操纵攻击的安全