[发明专利]无人驾驶车群安全自协模型构建方法

权利要求书

1.一种无人驾驶车群安全自协模型构建方法，其特征是，具体包括如下步骤：

步骤1.基于风险评估效用的无人驾驶车群动态演化方法

步骤1.1相关定义

定义1距离函数dist：车群形成算法使用欧氏距离衡量两个车辆节点之间的距离，即：

其中，v_i，，v_j代表车辆节点，(x，y，z)是车辆节点在三维空间的坐标；

定义2风险评估效用REU：从预估损失等级(Estimated Loss Level，ELL)、威胁、漏洞三个方面对无人驾驶车群节点的风险进行评估，给出了风险效用评估(Risk EvaluationUtility，REU)作为车群的安全性度量指标；在t时刻的无人驾驶车辆节点v_i的REU为：

其中，int函数用来将ELL级别转换为相应的正实数值，一般选取单调递增的函数；α的值是根据int函数的取值范围设定的，使REU取值具有明显的区分度；分别对应CVSS评分系统中的基础指标得分，生命周期指标得分和环境指标得分，得分越高表示漏洞的严重程度越高；

定义3核心节点CN(Core Node)：当节点在ε邻域内的邻居节点数量达到τ，REU高于半数以上的邻居节点时，该节点被称为核心节点；此时节点的REU需要按照公式(1.1)重新计算：

其中，V是节点的ε邻域内的所有节点的集合(包含节点自身)，|V|是集合V中元素的数量，核心节点主要分担主节点的通信和计算负载；

定义4主节点MN(Master Node)：核心节点需要通过竞选机制才能升级为主节点，一个节点满足以下条件才能升级为主节点：

(1)该节点是核心节点；

(2)REU值高于半数以上的邻居核心节点，或者不存在其他核心节点；

主节点的邻居核心节点充当次级节点，负责维护其子车群和主节点的通信；当车群中只有一个核心节点时，此核心节点依然升级为主节点，此时车群中不存在次级节点，主节点的REU需要按照公式(1.2)进行更新

其中，V是主节点下属的核心节点及其子车群的集合；

定义5边界节点(Border Node)：如果一个噪声点处在某个核心节点的ε邻域内，在该节点收到核心节点的心跳包(定时发送消息用于保持车辆之间的通讯)后升级为边界节点，此时节点正式加入车群，即节点满足如下条件便可加入车群：

其中，N_i是节点v_i的邻居集合，v_c是其邻居集合中的一个核心节点；

定义6噪声节点NN(Noise Node)：既非核心节点也非边界节点，此类节点邻域内不存在核心节点或主节点；如果其邻域中存在核心节点，此时可以将该节点加入车群构成的拓扑网络中；否则该节点不参与车群构建；

步骤1.2无人驾驶车群事件及处理算法

(1)无人驾驶车群增长事件

(2)无人驾驶车群缩减事件

(3)无人驾驶车群合并事件

(4)无人驾驶车群分裂事件

步骤1.3无人驾驶车群演化算法

完整的无人驾驶车群安全演化方法，如算法5所示，该算法的具体步骤如下：

1)遍历车群的演化事件集合，该集合在车群的生命周期内不断更新；

2)对于增长事件，执行节点加入算法；对于缩减事件，执行节点离开算法；对于合并事件，执行车群合并算法；对于增长事件，执行车群分裂算法；

3)处理完毕演化事件后更新车辆集合V_n；

步骤2.无人驾驶车群安全自协模型

步骤2.1相关定义

定义1车辆身份实数vid：vid由(1)计算得到：

vid_i＝H(ELP_i，MAC_i) (1)

其中，ELP表示车辆的电子牌照(Electronic License Plate)，MAC表示车辆在网络通信中使用的MAC地址，通过二元映射函数H将ELP和MAC地址转换成车辆身份实数vid，用以唯一标识特定车辆；

定义2公共撤销多项式R(x)：该多项式由车群共同维护，用来替代传统CA中使用的撤销证书列表(Certificate Revocation List，CRL)，由公式(2)定义：

其中，S_r是被车群排除的车辆节点对应的车辆身份实数的集合，由定义可知对任意r_i∈S_r，R(r_i)＝0；

定义3私有撤销多项式r(x)：该多项式根据R(x)生成，当发现新的恶意节点时将其vid添加到r(x)中；r(x)被用来临时替代CRL，由车辆节点单独维护，其定义如下：

其中，t是多项式的最低次数，r_j′是用于补齐多项式次数而随机生成的实数；由定义可知，R(x)是r(x)的因子，式(3)定义了撤销证书多项式的生成，最终被使用的多项式是其计算后的结果，如公式(4)所示：

定义4掩膜多项式s(x)：该多项式用于混淆，防止密钥被破解，车辆v_i的掩膜多项式由该车辆单独保存，不会泄露给其他车辆，其形式为：

其中，n为r(x)的次数，因此s_i(x)和r(x)的次数保持一致；

定义5密钥多项式φ(x)：该多项式由撤销证书多项式、掩膜多项式和车辆节点v_i的公钥PK_i生成，被用来传递密钥，其定义为：

φ_i(x)＝PK_ir(x)+ε_ts_i(x) (6)

其中，ε_t是通信时临时随机生成的系数，当车辆节点v_i向车辆节点v_j传递密钥时，密钥多项式为

用Δ_i，j代替ε_ts_i(j)，当节点v_j得到Δ_i，j和r(x)后可以得到公钥PK_i的计算方法：

定义6车群属性集合M：该集合是车群在安全自协模型中所涉及的所有属性的集合，可以用以下的五元组表示：

M＝V，G，S，F，R(x) (9)

其中，V＝{v_i|i＝1，2…，n}表示所有车辆节点的集合；

G＝{G_i|i＝1，2…，n}表示所有车群集合；

R(x)表示为撤销多项式，用于维护车群之间的通信安全；

F＝{f_i|i＝1，2…，n}表示车群演化事件，事件主要分为节点加入f₁、车群加入f₂、边界点离开f₃、核心/主节点离开f₄、边界点排除f₅、核心\主节点排除f₆、攻击检测f₇七种事件，不同的事件会引起相应的状态变化；

S表示为车群的状态，在该模型中定义了七种状态，分别为初始化状态S₀、增长状态S₁、缩减状态S₂、合并状态S₃、分裂状态S₄、非安全状态S₅和安全自协状态S₆；

定义7初始化状态S₀：构成一个新的车群G_i，其中v_i表示主节点，此时车群集合G＝G∪G_i；主节点向车群所有节点广播撤销多项式R(x)，此时，对都需要通过R(x)验证周围邻居车辆的可靠性，然后使用ECDH的方式与验证过的可靠节点交换密钥；

定义8增长状态S₁：当t时刻节点v_j加入车群G_i时，模型的状态更新如下：

此时，v_j从主节点获取撤销多项式R(x)，然后使用ECDH的方式同周围的可靠节点交换密钥；

定义9缩减状态S₂：当t时刻边界节点v_j离开车群G_i时，模型的状态更新如下：

定义10合并状态S₃：当t时刻二级结构车群G_j并入另一个车群G_i时，模型的状态更新如下：

此时，主节点更新撤销多项式R(x)，原属于车群G_j和车群G_i的节点互相交换公钥；

定义11分裂状态S₄：当t时刻二级结构车群G_j脱离车群G_i时，模型的状态更新如下：

此时，主节点根据车群现有节点更新撤销多项式R(x)并广播给车群成员；

定义12非安全状态S₅：对于一个车群G_i，检测到伪造的消息时，节点v_j确认造假者v_k身份后，开始密钥更新流程；流程结束后车群中非恶意节点完成了密钥更新，同时将造假者从车群中排除并加入撤销多项式R(x)，将更新该撤销多项式R(x)；模型的状态更新如下：

定义13安全自协态S₆：车群经过节点常规变化或者排除恶意节点导致的演化事件后，恢复到安全自协状态，即其它演化状态最终回归安全自协态

步骤2.2基于撤销多项式的密钥更新协议

步骤2.3无人驾驶车群安全自协模型

所述无人驾驶车群安全自协模型定义如下：

1)攻击模型

本攻击模型考虑了来自车群内部和外部的攻击者，消息的发送方和接收方都可能充当内部攻击者的角色；外部攻击者充当入侵者，假定其攻击类型仅限于窃听；根据攻击行为，可以将攻击分为主动攻击和被动攻击：被动攻击主要是指窃听攻击，主动攻击是指向车群网络中注入伪造的消息；表2列举了所有的攻击类型；

2)安全目标

a.消息完整性：该无人驾驶车群自协模型能够保持消息的完整性；发送方车辆发送的消息内容在交付给接收方车辆时应保证不被修改；

b.防窃听性：除了指定的消息接受方车辆，其他车辆无法破解消息；

c.车辆可撤销性：一旦车辆身份被撤销，车辆便被排除在车群外，不能再次加入到车群网络中；

3)安全假设

a.车群中节点的身份是公开且实名的；

b.攻击者执行被动攻击不会被车群主动发现，因为车群中较远的节点无法直接通信时，需要中继节点来转发消息，在此过程中消息被窃听是无法被阻止的；

c.攻击者执行主动攻击(如伪造消息)能够被车群发觉并获知其身份，可以通过追溯消息传播途径上的节点实现，在本文的车群模型中，两个节点间最多间隔3个中继节点；

d.车群中所有成员都能保证其加密凭证(如私钥和掩膜多项式)的安全；

e.潜在攻击者未被发现前被视为普通节点；

f.攻击者之间不存在共谋；

4)安全自协模型

根据基于撤销多项式的密钥更新协议和无人驾驶车群安全性动态演化方法，可以得到无人驾驶车群安全自协模型，具体如下：

其中，f^t∈F，S^t∈S，并且由f^t触发的状态S^t的变化符合定义7～定义13中的约束；

车群遵循上述规则对安全事件和车群变化进行处理，在演化事件结束之后，最终达到安全自协状态。