聯網車輛網絡威脅系統性影響評估的定量方法
摘要
數字技術在聯網車輛中的日益融合帶來了超越單輛車本身的網絡安全風險,這些風險可能會擾亂整個交通系統。當前的實踐(例如 ISO/SAE 21434 威脅分析與風險評估(TARA))側重于車輛邊界處的威脅識別和定性影響評級,在系統性量化方面存在不足。本研究提出了一種基于仿真的系統性方法,用于量化網絡威脅對聯網車輛的系統性運行和安全影響,評估交通網絡中的連鎖效應。研究考察了三個典型場景:(I)遠程信息處理引發的突然制動導致連鎖碰撞;(II)高速公路(M25)路段上的遠程癱瘓攻擊;(III)被入侵的路側單元(RSU)向聯網自動駕駛車輛(CAV)發送可變限速(VSL)和虛擬車道關閉的欺騙信息。結果表明,網絡威脅可能導致連鎖安全事故和系統性運行效率下降,這體現在所定義的系統性運行和安全向量中 —— 這些因素在當前 ISO/SAE 21434 標準的范圍內未得到充分解決,該標準主要關注單車輛層面的威脅。研究結果強調,需要將系統性評估納入現有框架,以增強聯網車輛生態系統的網絡彈性。該框架通過為系統性規模的影響評級步驟提供定量、可重復的證據,補充了 ISO/SAE 21434 標準,減少了評估者的主觀性,并為政策制定和運營提供支持,實現了對系統性網絡風險更數據驅動的評估。
1. 引言
在日益互聯的世界中,先進的數字技術已成為道路交通基礎設施不可或缺的一部分。這些技術提升了交通管理水平、道路安全性和運輸效率,同時減少了環境影響。然而,隨著這些系統的不斷發展,由于復雜且相互關聯的數字組件的整合,新的網絡安全挑戰也隨之而來。每一項技術進步都可能帶來新的攻擊面。
1.1 聯網車輛中的網絡安全威脅
由聯網車輛(CV)和基礎設施組成的現代道路運輸網絡面臨著越來越多的網絡漏洞。車對車(V2V)和車對基礎設施(V2I)通信中的可利用漏洞帶來了數據泄露、交通操縱和協同駕駛功能中斷等風險。同樣,自動駕駛車輛的感知系統(如激光雷達(LiDAR)和攝像頭)也容易受到網絡干擾,攻擊者利用基于激光的欺騙技術扭曲傳感器數據,導致虛擬制動、非自愿變道或傳感器完全失效。雖然網絡系統與物理操作的整合提高了效率,但同時也擴大了攻擊面,并引入了威脅隱私、運行安全和網絡彈性的網絡 - 物理路徑。
控制聯網車輛的復雜軟件系統容易被操縱,可能導致交通流量中斷和公共安全風險增加。一些著名事件,如米勒 - 瓦拉塞克(Miller-Valasek)對吉普切諾基的黑客攻擊以及騰訊科恩安全實驗室對特斯拉 Model S 的黑客攻擊,已經證明了這些漏洞的現實影響。在 2015 年的吉普切諾基黑客攻擊事件中,白帽黑客米勒和瓦拉塞克通過遠程利用車輛的信息娛樂系統,獲得了對車輛制動和加速的控制權,導致 140 萬輛汽車被召回。同樣,2016 年,科恩安全實驗室遠程入侵了一輛特斯拉 Model S,通過控制器局域網(CAN)總線和網頁瀏覽器中的漏洞操縱制動、車門、后視鏡和信息娛樂系統。此類遠程攻擊因其可擴展性和無需直接物理接觸即可執行的特點而尤為令人擔憂,使其成為大規模破壞的高效載體。
近年來,針對車輛控制系統的遠程網絡攻擊急劇增加,破壞了道路運輸網絡的安全性和完整性。攻擊者利用多媒體 CAN 總線漏洞劫持信息娛樂系統,同時利用 Wi-Fi 芯片的漏洞入侵遠程信息處理盒,獲得對車輛操作(如車門鎖定、發動機控制和安全系統停用)的未授權遠程訪問。更令人擔憂的是,能夠同時影響多輛車的遠程攻擊構成了更大的威脅,因為它們可以像蠕蟲式網絡攻擊一樣在聯網車輛中傳播,從單個入口點擴散到整個網絡。車輛合作應用程序的類似安全漏洞加劇了這些問題,這些漏洞允許對發動機點火和前燈操作等各種車輛功能進行進一步的未授權控制。大量研究證實了這些漏洞,指出車輛輔助功能存在被遠程控制的總體風險,這對聯網和自動駕駛車輛的安全運行構成了直接威脅。
除了單輛車之外,網絡威脅還延伸到移動服務和城市交通系統,進一步放大了系統性風險。網約車平臺成為攻擊者的目標,他們通過入侵應用程序導致服務中斷、欺詐性派單和人為擁堵。上游安全公司的《2024 年全球汽車網絡安全報告》估計,95% 的汽車網絡攻擊是通過遠程執行的,這進一步凸顯了該問題的緊迫性。
這些事件共同表明,迫切需要加強網絡安全框架,以應對聯網運輸網絡中不斷擴大的攻擊面。隨著道路運輸系統對數字基礎設施的依賴日益增加,積極主動的多層防御策略對于防范運行中斷、保護道路使用者以及確保智能運輸生態系統的長期彈性至關重要。
1.2 當前網絡安全方法的局限性
現代和未來車輛中軟件棧的日益復雜性凸顯了對安全且具有彈性的車輛及聯網道路運輸基礎設施的迫切需求。為解決這些問題,汽車行業越來越多地采用 “設計即安全” 原則,遵循 ISO/SAE 21434《道路車輛 —— 網絡安全工程》標準,該標準規范了網絡安全生命周期活動。該標準要求對聯網車輛實施威脅分析與風險評估(TARA),重點關注威脅、漏洞及相關風險的識別。聯合國歐洲經濟委員會(UNECE)R155 法規確立了用于型式認證的監管網絡安全管理系統(CSMS),而 ISO/SAE 21434 是行業證明合規性的主要技術手段。在實踐中,ISO/SAE 21434 還與 ISO 26262《道路車輛 —— 功能安全》相銜接,特別是在嚴重程度術語和預期功能安全考慮方面。盡管存在這一完善的生態系統,但當前方法的范圍僅限于車輛層面,未能考慮車輛本身之外的潛在影響,盡管這些系統運行在共享空間中,其故障可能導致嚴重的運行、安全、隱私和財務后果。此外,這些框架的有效性在很大程度上依賴于評估者的專業知識,這可能導致結果不一致或不可靠。
1.3 研究空白與貢獻
因此,迫切需要考慮車輛網絡威脅的系統性影響,并開發一個框架來系統評估汽車網絡事件引發的損害場景。此類框架將使利益相關者能夠就風險緩解和漏洞修復做出明智決策。本研究旨在通過將基于仿真的系統性框架整合到 ISO/SAE 21434 TARA 流程中,定量評估網絡威脅的運行和安全影響,以填補這一空白。本研究的主要貢獻如下:
1. 擴展 TARA 流程:本研究通過納入系統性影響評估,擴展了現有的 TARA 方法,明確解決了超越單輛車的連鎖效應。
2. 基于仿真的定量評估:開發了一個由仿真驅動的框架,為網絡風險提供數據驅動的見解,實現對運行和安全影響的結構化、定量評估。
表 1、 本研究關鍵術語表
1.4 文章結構
本文其余部分安排如下:第 2 節提供背景信息并回顧相關工作;第 3 節概述所提出框架的整體方法;第 4 節詳細介紹運行影響評估框架;第 5 節描述安全影響評估框架;第 6 節通過三個案例研究展示所提出框架的應用;最后,第 8 節總結研究貢獻并提出未來研究方向。本文使用的關鍵技術術語在術語表 1 中定義。
2. 相關工作
2.1 汽車網絡安全風險評估框架
網絡安全風險評估框架在保護聯網車輛免受不斷演變的網絡威脅方面發揮著關鍵作用。已開發出多種方法來評估網絡物理系統中的風險,整合了安全和安保方面的內容。目標樹 - 成功樹 - 主邏輯圖(GTST-MLD)、S-CUBE SCADA(監控和數據采集)安全建模以及布爾驅動馬爾可夫過程等框架為評估工業和關鍵基礎設施系統的風險提供了結構化方法。這些框架依賴于層次邏輯模型、特定領域語言和基于圖形的表示等技術來分析漏洞。盡管這些方法對于一般網絡物理系統是有效的,但它們在解決汽車領域的獨特挑戰方面缺乏針對性。
在聯網車輛領域,ISO/SAE 21434《道路車輛 —— 網絡安全工程》標準是汽車網絡安全風險管理的基礎框架。與聯合國第 155 號法規相一致,ISO/SAE 21434 提供了一個結構化方法,用于在車輛組件的整個生命周期內識別、評估和緩解網絡安全風險。其核心是 TARA 方法,該方法基于資產識別、威脅場景、影響分析、攻擊可行性和風險值確定來評估風險。TARA 的適應性使其適用于不斷發展的汽車技術,但其主要關注點仍然是車載系統和外圍組件,對更廣泛交通網絡的系統性風險關注有限。
TARA 中的影響評估框架從四個關鍵類別評估網絡威脅的潛在后果:安全、運行、財務和隱私影響。根據潛在影響,每個損害場景被分配從可忽略到嚴重的嚴重程度等級。然而,對定性評估和評估者專業知識的依賴引入了主觀性,使其難以應對網絡范圍的風險。
除了 ISO 21434 TARA 之外,其他流行的汽車風險評估框架大致可分為基于公式和基于模型的方法。基于公式的方法(例如 EVITA(車輛入侵保護應用安全)、HEAVENS(通過修復漏洞增強軟件安全性和安全性)、SAHARA(安全感知危險分析和風險評估)、SARA、基于通用漏洞評分系統(CVSS)的改編版)在車輛 / 功能層面以不同的粒度對影響和可行性進行評分。基于模型的方法(STRIDE(欺騙、篡改、否認、信息泄露、拒絕服務、權限提升)、PASTA(攻擊模擬和威脅分析過程)、攻擊圖 / 布爾邏輯驅動馬爾可夫過程(BDMP))提高了覆蓋范圍和自動化程度(以圖形為中心的工具,如攻擊路徑優先級排序),并且貝葉斯公式已被用于攻擊者建模和風險聚合。盡管這些工作對于識別和排序威脅很有價值,但它們并未量化成功操縱后產生的運輸網絡層面的結果。
該領域的最新研究繼續完善聯網車輛的威脅建模和 TARA。Benyahya 等人提出了 TARA 2.0,它擴展了傳統的 TARA,重點關注具有更高自主性的車輛的隱私中心建模,將 SAE 自動化水平作為影響攻擊可能性和專家客觀性的指標。然而,其范圍仍然局限于組件層面的風險識別 / 可行性,而非系統性影響評估。其他研究包括將 STRIDE 分析應用于車載信息娛樂棧,結合 SAHARA/DREAD(損害、可重復性、可利用性、受影響用戶和可發現性)評分來識別組件層面的威脅目錄;將 ISO 21434/ISO 24089 應用于自動緊急制動(AEB)系統,以識別風險等級和緩解措施—— 這兩項研究均未關注車輛外圍之外的影響。最后,對自動碰撞通知(ACN)架構的 ISO/SAE 21434 評估表明,業界依賴 21434/TARA 進行架構安全評估。綜上所述,這些研究加強了標準化的風險評估流程,但仍然以項目為中心且依賴專家。
為解決這些局限性,本研究提出了一個基于仿真的框架,通過提供定量指標來支持影響評估,從而補充 TARA。通過模擬網絡引發的連鎖中斷,所提出的方法增強了 TARA 評估系統性風險的能力,為聯網車輛的網絡安全風險評估提供了更全面和數據驅動的方法。
2.2 影響評估指標
大多數與聯網車輛在交通網絡范圍內的影響評估相關的研究都集中在聯網和自動化帶來的效率和安全效益上。對先前研究的回顧表明,大多數影響評估評估了它們對交通效率和安全的影響,有些還考慮了環境影響,如能源消耗和排放。對于效率評估,常用指標包括交通流量參數(如流量率和密度)、平均旅行時間、車隊穩定性和平均速度。一些研究專門考察了網絡攻擊對聯網車輛運行的影響。其中一項研究使用協同自適應巡航控制(CACC)模型評估了在專用交通環境(即無混合交通條件)下運行的聯網車輛。攻擊場景涉及基于通信的欺騙,攻擊者操縱車輛速度和位置信息以評估偽造數據的影響。該研究使用替代指標測量碰撞風險,并通過速度變化確定網絡中斷如何影響網絡安全和穩定性。
同樣,對于安全影響評估,一些研究使用替代安全措施(SSM)來量化潛在的沖突情況,并評估聯網車輛滲透率對交通安全的影響。文獻中最常用的安全評估指標包括碰撞時間(TTC)、入侵后時間(PET)以及基于 TTC 和 PET 閾值的沖突次數)。速度被認為是碰撞可能性和嚴重程度的關鍵因素。在 2005 年的一項熱門研究中,提出了車輛 - 行人 / 騎行者和車輛 - 車輛碰撞的速度 - 死亡概率關系(Wramborg 曲線)。這些關系表明,在 70 公里 / 小時(前端)和 50 公里 / 小時(側面)的車輛 - 車輛碰撞中,死亡概率為 10%,而在僅 30 公里 / 小時的車輛 - 行人 / 騎行者碰撞中,死亡概率也為 10%,這與 “零愿景”(Vision Zero)中提出的值一致。在后來的一項研究中,有人認為,作為車輛沖突嚴重程度衡量標準的速度變化量(Δv)克服了常見指標(如最大速度、入侵后時間、減速率以及碰撞時間等替代安全措施)的重大缺陷。眾所周知,速度變化量與車輛碰撞中的傷害嚴重程度密切相關。
自從速度變化量被證明是碰撞嚴重程度的強預測因子以來,已有大量研究將其與傷害嚴重程度和死亡概率聯系起來。Carlson 最早嘗試將速度變化量與傷害嚴重程度聯系起來,他使用簡明損傷量表(AIS)對傷害嚴重程度進行評級(Carlson,1979)。美國國家公路交通安全管理局(NHTSA)對車輛對車輛碰撞的研究具有關鍵意義,特別是 Bahouth 和 Schulman、Bahouth 等人的研究。這些研究利用來自美國國家汽車抽樣系統 / 碰撞安全性數據系統(NASS/CDS)和碰撞傷害研究與工程網絡(CIREN)數據庫的大量碰撞數據,建立了各種碰撞類型的詳細速度變化量與嚴重傷害概率關系。
3. 方法
3.1 范圍
本研究通過整合基于仿真的系統性框架,增強了 ISO/SAE 21434 定義的現有 TARA 流程,以定量評估由網絡威脅引發的事件對運行和安全的影響。
如圖 1 所示,所提出的框架通過模擬損害場景提供定量輸入,并將影響評估結果納入整體風險評估方法,從而融入 TARA 流程。這種整合使利益相關者能夠采用基于證據的方法來評估汽車網絡事件的更廣泛后果。
圖1、將擬議的運營和安全影響評估框架整合到TARA過程中,說明其在模擬損害情景和評估其影響以支持系統風險分析方面的作用
該框架擴展了傳統的 TARA 方法(主要關注車輛層面的風險評估),將聯網交通網絡的系統性影響納入考量。這解決了當前網絡安全評估中的一個關鍵空白,即網絡威脅對更廣泛交通系統的連鎖效應尚未得到充分探索。通過將運行和安全影響評估整合到 TARA 中,這種方法提供了全面的風險視角,使聯網車輛生態系統能夠制定更具彈性的網絡安全策略。這種整合框架為明智決策奠定了基礎,使利益相關者能夠通過結構化、數據驅動的風險評估來增強聯網交通系統的彈性和安全性。
3.2 方法框架概述
圖 2 展示了基于仿真的影響評估框架與更廣泛的 TARA 框架的整合。所提出的框架包括三個關鍵階段:威脅定義、基于仿真的影響評估以及影響評估和評級。
圖2、基于仿真的互聯車輛網絡威脅影響評估框架,整合網絡、道路交通和網絡攻擊仿真,以評估系統運行和安全影響
威脅定義階段涉及識別潛在的網絡威脅向量以及描述攻擊者意圖、能力和攻擊場景的攻擊者模型。這一步驟確保對攻擊環境有結構化的理解,并能夠識別可能危及車輛和交通系統安全的合理威脅場景。
一旦定義了這些威脅,就通過基于仿真的影響評估對其進行分析,該評估采用多層仿真模型(見第 3.3 節)。該模型包括三個關鍵組件:網絡通信層(代表車對萬物(V2X)通信)、道路和交通層(模擬交通網絡中的道路基礎設施和車輛交互)以及網絡攻擊仿真(操縱網絡和道路交通層中的參數,以復制網絡威脅的執行和傳播)。
最后一個階段(影響評估和評級)通過評估安全和運行后果來量化產生的損害場景。引入事件安全向量(IS)作為評估安全影響的結構化指標,納入傷害嚴重程度和碰撞次數等因素。同樣,系統性運行影響通過運行影響向量(IO)捕獲,該向量評估行駛速度和交通流量等參數。通過整合(IS)和(IO),該框架增強了傳統的風險評估方法,為利益相關者提供了汽車網絡安全決策的數據驅動基礎。
3.3 仿真框架
本研究使用微觀交通仿真軟件 SUMO 對道路和交通層進行仿真,為建模詳細的車輛動力學提供了強大的平臺。為了在必要時有效整合 V2X 通信,采用了 VEINS 仿真框架,遵循我們早期工作中概述的方法。VEINS 利用 OMNeT++ 進行高級網絡建模,并使用 TraCI 實現與 SUMO 的無縫雙向耦合,從而實現車輛對車輛(V2V)和車輛對基礎設施(V2I)交互的真實整合。這種整合能夠對物理層和通信層進行協同仿真,全面呈現交通網絡。本研究在此基礎上進一步拓展;此處的重點轉向網絡威脅場景的運輸影響,其中 SUMO 被獨立用于模擬交通動力學。
在 SUMO 中,默認的跟馳模型 “Krauss”和變道模型 “LC2013” 分別控制車輛的縱向和橫向運動。這些模型與次要建模參數一起,創建了一個適應性強且精確的仿真環境。對于需要高保真通信建模的場景,VEINS 模擬無線車輛通信,以捕獲集成交通系統內的交互。在通信仿真非關鍵的情況下,將繞過 VEINS 框架,并使用自定義腳本模擬通信層的影響。這種靈活的方法使框架能夠適應各種運行條件,便于分析網絡威脅對交通系統的影響。
4. 系統性運行影響評估
為應對交通系統中網絡威脅的多樣性以及運行影響評估的不同要求,我們提出了一個兼具適應性和可擴展性的模型。這種靈活性允許在細粒度層面(如單個車道或交叉口)以及宏觀層面(包括整個高速公路或城市交通網絡)評估運行影響。網絡事件的系統性運行影響被建模為影響中斷嚴重程度和范圍的關鍵因素的函數(公式(1))。
其中,IC代表網絡攻擊的直接結果,例如車輛癱瘓、非自愿加速或信號燈意外激活。ID量化了這種直接結果持續存在并繼續干擾正常運行的持續時間。例如,如果車輛因攻擊而無法移動,ID將反映恢復功能、移走車輛或通過其他方式減輕其對交通流量干擾所需的時間。ITC代表攻擊發生時交通網絡的通行交通狀況。INR反映網絡的彈性,考慮受影響路段的重要性以及系統在中斷期間重新路由交通的能力。最后,A 和 T 定義了評估的空間和時間范圍,分別指定了評估影響的地理范圍和時間框架。
雖然公式(1)涵蓋了影響系統性運行影響的關鍵因素,但要將這些因素轉化為可測量的結果,需要結構化的評估流程。圖 3 概述了運行影響評估框架,該框架提供了一種可擴展的方法,用于量化不同空間和時間尺度的影響。
圖3、基于仿真的系統作戰影響評估框架
該框架首先將網絡事件引發的損害場景與無事件基準場景進行比較。基于仿真數據的這種比較能夠識別出特定于網絡事件的影響。主要性能指標(速度比(SR)和流量比(FR))用于量化這種影響(見第 4.1 節和第 4.4 節)。還可以納入次要指標,如服務水平(LOS)、平均旅行時間損失(MTTL)、總車輛延遲(TVD)、排隊長度、網格鎖定時間和排隊累積率,以提供額外的背景信息和見解。
根據分析范圍定義空間和時間評估區域(見第 4.2 節),使框架能夠捕獲局部影響和廣泛中斷。在定義的評估區域內,計算每個區域的 SR 和 FR,然后匯總以生成代表系統性運行影響的整體指標。然后將這些匯總值映射到預定義的影響閾值,得出反映影響嚴重程度和范圍的分類評級。閾值定義的詳細信息見第 4.4 節。
公式(1)中描述的高級模型在該框架中得到實際應用,有助于深入理解網絡威脅的系統性運行影響,為決策和彈性規劃提供支持。
4.1 運行影響指標定義
網絡攻擊對道路運輸網絡的影響可以在不同尺度上進行評估,從單個車道和交叉口到整個道路、高速公路、城市部分區域甚至全市范圍的網絡。速度和流量是基本的交通流量指標,適用于所有場景,無論評估的尺度或基礎設施如何。性能指標 SR 和 FR 評估攻擊場景下系統的機動性和吞吐量與基準條件的對比。
SR 評估網絡攻擊引發的事件對平均行駛速度的運行影響(公式(2))。
其中,vatt是攻擊場景下的平均行駛速度,vbase是基準場景下的平均行駛速度。SR 提供了機動性的衡量標準,突顯了事件對預期行駛速度的干擾程度。SR 值越低,表明對機動性的影響越大。
FR 評估對系統車輛吞吐量的影響,如公式(3)所示。
其中,qatt是攻擊場景下的車輛流量,qbase是基準場景下的車輛流量。FR 反映了系統在網絡攻擊引發的中斷下維持吞吐量的能力。FR 值越低,表明車輛流量減少越顯著。根據定義,SR 和 FR 都是相對于場景基準的歸一化比率;僅在相應基準分母非零的情況下報告數值。
SR 通過測量事件條件下車輛速度的維持程度來評估機動性,直接反映道路使用者的移動效率體驗。該指標主要通過突顯網絡攻擊引發的中斷如何影響道路使用者高效穿越網絡的能力,來捕捉道路使用者的視角。相比之下,FR 通過評估系統容納交通和維持吞吐量的能力,作為可達性的代理指標。通過反映事件條件下網絡的性能和容量,FR 與道路當局等服務提供商的關注點一致,他們專注于維持交通系統的運行完整性和可達性。
雖然 SR 和 FR 是評估運行影響的主要指標,但根據所研究設施的具體規模和類型,額外的次要指標可以提供更深入的見解。在單個車道或交叉口尺度,排隊長度、交叉口延遲和停車頻率等指標與理解局部影響相關。對于道路或高速公路,服務水平(LOS)、車道密度、流量 - 容量(V/C)比等指標有助于深入了解系統在壓力下的運行效率。在全市范圍尺度,網格鎖定時間和恢復時間等指標有助于量化網絡事件的更廣泛系統性影響。表 2 總結了關鍵運行影響指標及其解釋。
表2、運行指標概覽(SR 和 FR 是相對于基準的歸一化比率)
說明性示例:如果基準平均速度為 100 公里 / 小時,攻擊場景下的平均速度為 70 公里 / 小時,則 SR=0.70,表明機動性相對于基準有所降低。如果基準流量為 1800 輛 / 小時,攻擊場景下的流量為 1500 輛 / 小時,則 FR=0.83,表明采樣路段的吞吐量降低。
4.2 評估范圍:空間和時間定義
運行影響評估的范圍根據 “空間評估區域(A)” 和 “時間評估窗口(T)” 來定義。它們分別代表評估運行影響的地理范圍和持續時間。空間評估區域包括分析中包含的所有空間區域,代表總分析區域。評估時間窗口包括監測運行指標的總持續時間;這可能包括事件發生、中斷階段和系統恢復。它們共同構成了測量運行影響的范圍。
4.2.1 空間評估區域(A)
評估區域由離散的空間區域組成。空間區域(ai)定義為交通網絡內地理上均勻的路段,其特征是一致的交通運行條件、道路幾何形狀或功能分類。這種分割允許對每個區域內的運行影響進行獨立評估,便于對網絡特定路段的中斷進行詳細分析。
評估區域定義為運行影響評估中考慮的所有空間區域(ai)的總和。形式上,表達為:
其中,每個區域(ai)代表一個地理上均勻的路段,(Na)是區域總數。
該公式允許根據所需的分析級別靈活定義評估區域,既適用于廣泛的網絡層面評估,也適用于詳細的局部評估。這確保了其適用于各種交通網絡配置和中斷場景。
4.2.2 時間評估窗口(T)
時間評估窗口(T)定義為評估運行影響指標的總持續時間,由離散的時間間隔(Delta tj)組成。形式上,總評估持續時間表達為:
其中,(Delta tj)是第 j 個時間間隔的持續時間,(Nt)是評估期間內的間隔總數。
時間邊界可以根據事件的性質或評估的具體目標進行調整。例如,固定時限方法使用預定義的持續時間來評估影響。或者,評估可以延伸到事件結束,捕獲事件積極影響交通流量或速度的時期。另一種方法是繼續評估直到交通穩定,包括條件恢復到穩定狀態所需的時間。
空間和時間評估范圍都設計為靈活的,允許根據所考慮事件的具體特征進行調整。對于空間評估,根據主要指標的評估位置將網絡分割為離散區域,確保系統和細粒度的分析。同樣,時間評估窗口允許適應不同的時間尺度,能夠捕獲短期中斷和長期恢復過程。
4.3 整體系統性運行影響
運行影響使用每個單獨時空區域計算的 SR 和 FR 指標來定義。對于給定的空間區域(ai)和時間步長(Delta tj),SR 和 FR 定義如公式(6)和(7)所示:
其中,(vatti, j)和(vbase i, j)分別表示攻擊和基準場景下的平均行駛速度,而(qatt i, j)和(q base i, j)代表區域 i 在時間步長 j 的相應車輛流量。
為了評估整個網絡的系統性運行影響,引入了反映每個空間區域運行重要性的空間權重因子w(例如,主干道與次要道路)。所有空間區域((Na)和時間間隔(Nt)上 SR 和 FR 指標的加權聚合表達為:
系統性運行影響形式化為關鍵性能指標的向量,在定義的空間評估區域和時間評估窗口內進行評估(公式(10))。這種結構支持可擴展性,允許相同的公式應用于不同的分析級別 —— 從單個區域和時間步長到走廊范圍或網絡層面的評估。
指標(S R A T,w)和\(F R A T,w)反映了由于網絡引發的事件導致的速度和流量的相對變化。補充指標(如 LOS)提供了關于絕對運行影響的額外背景,由(S A T, w)表示。這種公式允許在不同的時間和空間尺度上一致地解釋結果,實現量身定制且可比較的影響評估。
4.4 影響指標閾值標準
表 3 制定了運行影響評級標準,劃定了網絡威脅導致的交通網絡中斷不同程度的閾值。影響評級遵循與 ISO 21434 TARA 框架一致的四級分類。每個分類代表與基準運行性能的可量化偏差,范圍從可忽略影響(可忽略)到嚴重網絡退化(嚴重)。這些標準提供了一種結構化方法,用于評估運行退化并評估網絡在網絡威脅引發的事件后的恢復能力。
表 3、速度比(SR)和流量比(FR)指標的運行影響閾值定義
閾值邊界改編自 He 等人開發的速度性能指數,用于定義 SR 和 FR 的運行閾值,這些閾值代表網絡引發的中斷下與基準性能的偏差。本研究中應用的閾值遵循統一分割:低于 0.25 的值表示嚴重影響,反映車輛機動性的大幅退化,而接近 1.00 的值對應可忽略影響,表示接近基準功能。在缺乏特定于上下文的閾值的情況下,這種分割提供了一種實用方法。這些定義并非強制性的,而是作為分類運行影響的可配置模板。可以根據特定的運行環境、利益相關者優先級或特定領域的考慮對其進行完善或校準。
5. 系統性安全影響評估
5.1 范圍
本小節概述了在網絡威脅引發的事件背景下評估車輛碰撞場景安全影響的方法。圖 4 所示的框架提供了一種結構化方法來評估此類損害場景。圖 4 描繪了安全影響評估的流程,從模擬車輛碰撞的損害場景開始,到計算碰撞前后的速度、確定速度變化量(第 5.2 節),最后分配車輛安全影響評級和事件安全向量(第 5.5 節)。
圖4、安全影響評估框架。該框架使用碰撞前和碰撞后速度、ΔV和最大簡化傷害量表(MAIS)評級來評估車輛碰撞的嚴重程度,以確定事故安全向量
模擬損害場景以獲取安全影響評估所需的數據。該過程涉及建模車輛碰撞并從仿真中提取相關車輛的碰撞前速度。這些碰撞前速度用于計算速度變化量(Δv)指標,該指標測量碰撞引起的速度變化。
5.2 碰撞后速度和速度變化量
速度被認為是碰撞可能性和嚴重程度的關鍵因素。在車輛碰撞中,速度變化量是廣泛接受的車輛沖突嚴重程度衡量標準,因為它克服了常見指標(如最大速度、入侵后時間、減速率以及碰撞時間等替代安全措施)的重大缺陷。眾所周知,速度變化量與車輛碰撞中的傷害嚴重程度密切相關。
為了準確計算速度變化量,需要相關車輛的碰撞前和碰撞后速度。碰撞前速度從模擬的損害場景中提取,該場景提供了碰撞的初始條件。車輛碰撞前后軌跡之間的速度變化(速度變化量)使用以下基本公式計算(公式(11))。
我們推導速度變化(Δv)的基本公式如下。考慮一輛質量為m1的車輛,以初始速度v1行駛,接近另一輛質量為m2、初始速度為v2的車輛。兩輛車碰撞后的速度表示為check v1和check v2(見圖 5)。每輛車的速度變化(Δv)由各自碰撞前和碰撞后速度之間的差異確定,詳見公式(12)。
圖 5. 車輛碰撞中速度變化(Δv)的示意圖,展示了初始速度(v?、v?)、碰撞角度θ及車輛質量(m?、m?)
車輛碰撞表現出一定的彈性效應,即它們會相互反彈。碰撞的彈性通過恢復系數(COR)表示,完全非彈性碰撞的恢復系數為 0(COR=0),完全彈性碰撞的恢復系數為 1。研究表明,雖然車輛碰撞表現出彈性行為,但恢復系數通常在 0.1-0.3 之間,碰撞速度越高,恢復系數越低。為簡化起見,我們假設碰撞是非彈性的,如先前的研究所示。這一假設簡化了碰撞的復雜動力學,并合理地遵循了車輛在碰撞初始沖量期間的運動。因此,應用動量守恒方程,我們得到:
Δv(質量分別為m1和m2的車輛的Δv1和Δ v2)如公式(13)所示,其中 θ 是兩輛車碰撞前速度向量之間的角度:θ=0 對應追尾碰撞,θ=π 對應正面碰撞。
需要注意的是,非彈性碰撞的假設導致對側面碰撞場景的輕微高估。雖然當前框架中未明確建模此類情況,但這使得導出的風險估計較為保守。
5.3 MAIS 評級
最大簡明損傷量表(MAIS)是全球公認的創傷嚴重程度指數,廣泛應用于車輛碰撞傷害評估。它代表了多傷患者所遭受的最高簡明損傷量表(AIS)評分。本研究采用 2005 年修訂并于 2008 年更新的 AIS(稱為 MAIS (05/08)),該版本仍是損傷嚴重程度分析的標準。為了量化碰撞嚴重程度與傷害結果之間的關系,我們利用了 2010 至 2015 年的國家汽車抽樣系統 / 碰撞安全性數據系統(NASS/CDS)數據。在該數據集中,關鍵嚴重程度指標(速度變化量)使用 WinSMASH 碰撞重建工具進行估計。
AIS 將損傷分為 1 級(輕微)至 6 級(最嚴重)。MAIS 對應于一個人在事故中遭受的最嚴重損傷。該報告提供了曲線,用于估計不同 MAIS 級別損傷的可能性作為速度變化量的函數,并使用邏輯回歸對這些概率進行建模。由于嚴重損傷的樣本量有限,非致命的 MAIS 5 和 MAIS 6 類別被合并,死亡病例被指定為 MAIS 6 及以上。MAIS 3 + 被廣泛認為是嚴重損傷的閾值,包括死亡病例。
對于給定的速度變化量值,側面碰撞(駕駛員側)對乘員來說最為嚴重,因為車身提供的保護最少。另一側碰撞的嚴重程度較低,得益于駕駛員左側的空緩沖區域。正面碰撞次之,發動機艙提供一定保護,但方向盤構成風險。追尾碰撞的嚴重程度最低,這要歸功于駕駛員后方廣闊且通常為空的緩沖空間。
圖 6 描繪了正面和追尾碰撞的 MAIS + 曲線與速度變化量的關系。概率模型見附錄 A。例如,給定速度變化量為 40 英里 / 小時,正面和追尾碰撞的概率性 MAIS + 值如圖 7 所示。
圖6、MAIS+(05/08)正面(左)和后端(右)碰撞的傷害概率曲線,作為ΔV的函數
圖7、前方和后方車輛碰撞的Delta-V為40mph時的傷害概率分布。
嚴重程度遵循最大簡化損傷量表,其中0=無損傷,1+=MAIS 1或更高,2+=MAIS 2或更高等
5.4 安全影響評級映射
下一步是將相關的速度變化量與 MAIS 概率映射到安全影響評級。為此,我們參考了 ISO 26262-3《道路車輛 —— 功能安全 —— 第 3 部分:概念階段》,該標準提供了從 MAIS 到安全評級的映射。然而,先前小節中開發和呈現的經驗方程不足以區分 S0 和 S1 嚴重程度評級。為解決這一問題,我們查閱了文獻,以獲取可區分 S0 和 S1 的速度變化量閾值。其余閾值基于前一節討論的經驗方法。
表 4 展示了用于評估車輛碰撞影響嚴重程度的不同量表之間的映射。“影響評級 / 嚴重程度類別” 提供了從 “可忽略” 到 “嚴重” 的一般描述。它與 ISO/SAE 21434:2021 標準相對應,該標準提供了從無傷害(S0)到致命傷害(S3)的傷害可能性結構化分類。這些分類與 MAIS 評級進行了比較,MAIS 評級將傷害嚴重程度量化為 0(無傷害)至 6(最嚴重,無法治療的傷害)。該映射可作為跨不同標準和方法評估車輛碰撞嚴重程度的參考。
表 5 提供了每個嚴重程度類別的速度變化量閾值,區分了正面和追尾碰撞。這些閾值是所提出框架的運行輸出,使用戶能夠直接從已知的速度變化量值估計傷害嚴重程度類別。S2 和 S3 類別的閾值改編自 NHTSA MAIS 研究,而 S1 的閾值來自先前的文獻。這種分類方案允許在有速度變化量數據的碰撞后分析中進行風險分類。
表 4、安全影響評估的影響評級和嚴重程度分類
表5、基于正面和追尾碰撞速度變化量的嚴重程度類別閾值
5.5 事件安全向量
引入事件安全向量(IS),通過報告每個嚴重程度級別受影響方的數量,來結構化呈現碰撞事件的安全影響。嚴重程度根據 ISO/SAE 21434 安全影響評級進行分類。碰撞中的每個相關方根據觀察到的或估計的傷害結果被分配一個嚴重程度級別。事件的整體安全影響表示為嚴重程度分布向量,結構如公式(14)所示:
這種表示以簡潔且可擴展的格式捕獲了傷害嚴重程度的范圍和分布,支持高級別比較和詳細風險評估。例如,考慮兩輛車碰撞,車輛 1 遭受中等傷害(S1),車輛 2 遭受重大傷害(S2)。事件安全向量如公式(15)所示:
6. 場景
本節介紹了三個說明性場景,用于展示所提出的影響評估框架。場景 I 涉及多車道道路上網絡威脅引發的連鎖碰撞事件,并使用安全影響評估框架進行評估。場景 II 考察了類似的網絡威脅,使用來自英國 M25 高速公路的真實交通和位置數據。此處應用了運行影響評估框架。場景 III 探討了在聯網車輛環境中利用被入侵的路側單元(RSU)進行的前瞻性攻擊,同樣使用運行影響框架進行評估。
6.1 場景 I:遠程信息處理 - 連鎖制動攻擊
本場景考察了針對聯網車輛遠程信息處理單元的網絡攻擊的潛在后果,該單元是負責車輛與云通信的關鍵資產。遠程信息處理單元可通過其蜂窩接口被入侵,該接口用作遠程診斷、固件更新和車隊管理功能的網關。一旦被入侵,此漏洞允許攻擊者操縱車輛的電子控制架構,導致整個交通網絡的系統性安全和運行風險。本場景強調了聯網車輛生態系統中單個被入侵的資產如何傳播威脅,最終破壞道路安全和交通效率(見圖 8)。
圖8、模擬網絡引發的突然減速事件,導致高速公路上發生多車碰撞,說明交通中斷導致的二次碰撞的傳播
威脅向量映射:本場景代表通過蜂窩路徑對遠程信息處理 / 電子控制單元(ECU)的入侵;在仿真中,我們向一輛聯網車輛發出緊急制動命令,而所有其他車輛正常運行。
此類攻擊的可行性已在現實世界的實驗中得到證明。2015 年,米勒和瓦拉塞克通過蜂窩網絡針對 2014 款吉普切諾基的 Uconnect 遠程信息處理系統進行了遠程利用(通用漏洞披露,CVE-2015-5611;在通用漏洞評分系統(CVSS)上評為 8.3 “高”),使其能夠操縱制動、加速和轉向等關鍵功能。
遵循 ISO/SAE 21434 框架,遠程信息處理單元因其在車輛聯網中的核心作用而被確定為高價值資產。在本場景中,引入了一種威脅向量,其中蜂窩接口被利用,獲得對網關電子控制單元(ECU)的未授權訪問。這種訪問允許攻擊者注入惡意控制信號,導致非自愿加速或減速。
6.1.1 場景 I:配置
攻擊場景以 70 英里 / 小時的高速公路為模型,流量率為 1800 輛 / 小時 / 車道,模擬高交通量條件。被入侵的車輛通過激活緊急制動而快速減速,導致連鎖追尾碰撞事件。圖 9 所示的仿真結果顯示了相關車輛的速度曲線,說明了被攻擊車輛的快速減速,隨后是周圍車輛的連續制動和碰撞。這些碰撞的連鎖性質突顯了在現實世界交通場景中,由于網絡安全漏洞可能導致的多車輛事件。
圖9、受影響車輛的速度曲線,說明了導致多車道堵塞的剎車事件的傳播
6.1.2 場景 I:影響評估結果
使用安全影響評估框架評估碰撞序列的安全影響,該框架對碰撞嚴重程度進行分類并估計傷害風險概率。表 6 中呈現的定量結果表明,被攻擊車輛的速度變化量為 - 92 公里 / 小時,死亡概率為 0.66,歸類為 S3(嚴重)安全影響評級。此外,第一輛受影響的車輛(車輛 1)也發生了嚴重的正面碰撞,速度變化量為 92 公里 / 小時,導致 0.48 的高死亡概率。連鎖碰撞中的后續車輛表現出逐漸降低的速度變化量值,導致較低的嚴重程度分類(S2:重大和 S1:中等)。本場景中所有受影響車輛的安全影響評級分布由事件安全向量(公式(16))總結:
此處,2 輛車被歸類為 S3(嚴重),4 輛車為 S2(重大),1 輛車為 S1(中等),無車輛為 S0(可忽略)。
表 6、場景 I:安全影響評估數據表
6.2 場景 II:遠程信息處理 - 遠程癱瘓攻擊
本場景調查了與場景 1 類似的網絡攻擊,其中多輛車被遠程癱瘓;此次攻擊發生在真實世界的高速公路環境中。交通數據來源于 WebTRIS(國家高速公路交通數據),提供反映實際運行條件的基準流量率。圖 10 展示了 M25 高速公路 27 號和 28 號交叉口之間建模路段的地理空間概況。
圖10、模擬M25高速公路一段上的網絡誘導車輛禁用攻擊,說明由此造成的擁堵和交通流中斷
威脅向量映射:這代表協調的遠程信息處理癱瘓攻擊;我們通過將 1-3 輛聯網車輛固定在其車道上來模擬車道容量的損失,并造成合并瓶頸。
6.2.1 場景 II:配置
模擬路段為 M25 高速公路的一個路段,雙向四車道,限速 70 英里 / 小時。分析重點關注工作日下午高峰時段(15:30-16:30),期間記錄的總流量為 7167 輛 / 小時。網絡攻擊在從 27 號交叉口到 28 號交叉口的行駛方向 3 公里處建模。為了評估運行影響,考慮了三種仿真配置,對應于一條、兩條和三條高速公路車道的堵塞。
6.2.2 場景 II:影響評估結果
空間評估區域包括事件位置上游 3 公里的路段,時間評估窗口定義為 3600 秒。空間區域(ai)為 100 米,Δj為 300 秒,θ為 1,因為空間區域是均勻的。計算每種配置的主要運行指標(SR 和 FR)。為了捕獲服務質量退化,基于美國公路容量手冊(HCM)的城市高速公路密度閾值方法,評估了基準和攻擊場景的服務水平(LOS)。
每種情況的運行影響向量字符串總結于表 7。圖 11 展示了案例 2 的 SR、FR 和 LOS 熱圖,展示了網絡性能的空間和時間退化。
表 7、場景 II 中三種攻擊案例的運行影響總結。
每種案例反映了 3 公里高速公路路段在 1 小時窗口內不同數量的有效堵塞車道。定性嚴重程度級別基于框架中定義的指標閾值進行映射
圖11、案例2情景II的SR、FR和LOS熱圖,說明了由于網絡引發的中斷導致的交通流的空間和時間退化
結果表明,在三種配置中,車輛速度受到可忽略至重大影響,流量受到可忽略至中等影響。在案例 1 和案例 2 中,高速公路的高容量和多車道幾何形狀使交通能夠有效恢復和重新路由,導致有限的運行中斷。相比之下,案例 3 表現出顯著的性能退化,SR 降至 0.44,LOS 從基準的 LOS C 惡化為 LOS F。這些結果反映了在嚴重車道損失條件下,網絡吸收中斷的能力下降。
6.3 場景 III:路側單元(RSU)欺騙攻擊
本場景模擬了一種未來的網絡物理攻擊,其中被入侵的路側單元(RSU)向在配備可變限速(VSL)控制的高速公路路段上運行的聯網自動駕駛車輛(CAV)傳播虛假信息(見圖 12)。路側單元(RSU)預計將在車對基礎設施(V2I)通信中發揮關鍵作用,作為向附近車輛廣播交通信息的可信節點(路側單元標準化工作組,2022)。然而,由于這種信任關系,被入侵的路側單元(RSU)構成了重大的攻擊向量。車載 signage(IVS)和速度建議等服務直接向車輛傳輸數字更新和危險警報,提高了駕駛安全性,但同時也引入了重大的網絡物理風險。
圖12、攻擊場景顯示RSU受損影響高速公路交通
攻擊在四個連續的 30 分鐘階段進行建模。在階段 1 至 3 中,被入侵的路側單元(RSU)將廣播的可變限速(VSL)從 70 英里 / 小時逐步降低至 50 英里 / 小時、40 英里 / 小時,最后降至 30 英里 / 小時。這些欺騙性建議專門針對聯網自動駕駛車輛(CAV),導致不必要的減速。在階段 4 中,路側單元(RSU)廣播影響左側車道的虛擬車道關閉信息,從其服務區域的中點開始。這導致聯網自動駕駛車輛(CAV)單方面變道,將流量集中到右側車道,進一步加劇擁堵。人類駕駛車輛(HDV)不受影響,在標準條件下運行。
在 ISO 21434 TARA 框架內,這構成了下游損害場景,源于對關鍵資產漏洞的成功網絡攻擊;具體而言,是車對基礎設施(V2I)數據通信通道。該場景說明了如果車載系統未充分過濾或驗證來自基礎設施的欺騙性信息,這些信息如何在功能通信鏈(從導航電子控制單元(ECU)到車輛執行器)中傳播,導致更廣泛的系統性交通中斷。
威脅向量映射:這代表路側單元(RSU)憑證濫用 / 配置錯誤;被操縱的變量是時變可變限速(VSL)曲線和應用于聯網自動駕駛車輛(CAV)的車道關閉標志,假設聯網自動駕駛車輛(CAV)100% 合規;人類駕駛車輛(HDV)不受影響。
6.3.1 場景 III:配置
模擬環境由雙向兩車道、限速 70 英里 / 小時的高速公路路段組成,總長度 5 公里。包括 1 公里的入口路段、2 公里的上游路段、1 公里的事件路段(對應被入侵的路側單元(RSU)廣播范圍)和 1 公里的下游路段。評估了三種聯網自動駕駛車輛(CAV)滲透率(PR)配置:20%、40% 和 60%。交通流量率固定為 1250 輛 / 小時 / 車道,代表典型的中等流量條件,基準服務水平(LOS)為 C。聯網自動駕駛車輛(CAV)使用協同自適應巡航控制(CACC)跟馳模型進行建模。
6.3.2 場景 III:影響評估結果
空間評估區域定義為事件區域 1 公里,事件和上游區域合并為 3 公里。空間區域(ai)設置為 100 米間隔。每種情況的運行影響向量總結于表 8 和表 9。圖 13 展示了 60% 滲透率(PR)案例的 SR、FR 和 LOS 熱圖,捕獲了中斷的時空傳播。
表 8、場景 III 中三種案例的運行影響 —— 路側單元(RSU)廣播范圍內的事件區域
表 9、場景 III 中三種案例的運行影響 —— 事件區域和上游區域
圖13、情景3(PR=60%)的SR、FR和LOS熱圖,說明了由于網絡引發的中斷導致的交通流的空間和時間退化
結果表明,事件區域比上游區域經歷更嚴重的退化,這與預期一致,因為其靠近被入侵的路側單元(RSU)。此外,隨著聯網自動駕駛車輛(CAV)滲透率的提高,影響的嚴重程度和上游傳播的空間范圍均有所加劇。該場景說明了未來聯網車輛生態系統中的一個關鍵網絡安全漏洞。雖然當前的車輛車隊并不完全依賴路側單元(RSU),但支持車對萬物(V2X)的聯網自動駕駛車輛(CAV)的日益部署可能使系統面臨此類攻擊,特別是在基于基礎設施的建議優先于車載決策的情況下。
6.4 敏感性分析
為了評估主要運行指標(SR、FR)和服務水平(LOS)對交通需求水平的敏感性,進行了額外的實驗,需求流量分別為 500、1250 和 2000 輛 / 小時 / 車道。這些分別對應于基準服務水平(LOS)為 A、C 和 E 的不斷增加的交通密度,而所有其他參數保持不變。表 10 總結了結果,顯示隨著需求的增加,SR、FR 和服務水平(LOS)逐漸退化。
表 10、場景 III 中 60% 聯網自動駕駛車輛(CAV)滲透率下三種需求交通流量的運行影響 —— 事件區域
7. 討論
本研究提出的系統性影響評估框架與網絡攻擊鏈無關;它接收被操縱的運行變量(例如,指令減速、可變限速(VSL)曲線)并返回系統性影響指標。這種解耦有助于在新向量出現時保持 TARA 更新的可管理性。其他向量(例如,車對車(V2V)欺騙 / 干擾、全球定位系統(GPS)欺騙)將通過等效的被操縱變量(例如,隨機緊急制動概率;空間 / 時間偏差)進入框架;其全面探索留待未來工作。
7.1 與 ISO/SAE 21434 TARA 的比較定位
我們的框架通過位于威脅識別和可行性分析下游,補充了 ISO/SAE 21434 流程。給定定義的損害場景,它從系統性角度返回定量、基于基準的運行指標(SR、FR、服務水平(LOS))和基于速度變化量(Δv)的安全類別。這些輸出到組織嚴重程度標簽的映射是一個外部層,因此評估者可以使用我們的結果而無需改變現有工作流程(見圖 1)。
對于場景 I,我們報告了事件安全向量IS(公式(16))。對于場景 II-III,我們報告了相對于基準的運行影響向量(SR/FR 和服務水平(LOS))。因此,該框架將影響評級步驟從項目級判斷擴展到系統級測量,而不改變 21434 的可能性 / 可行性工作流程。
7.2 仿真運行時間和可擴展性
表 11 展示了在專用工作站(Intel? Xeon? W-2125 @ 4.00 GHz,32 GB RAM,Ubuntu 24.04)上按順序執行場景的每個種子的運行時間。所有實驗的仿真步長均為 0.1 秒。實驗按種子順序執行,運行時間反映了網絡規模、仿真持續時間和場景復雜性。當前實驗的計算負載較輕,表明使用 SUMO 可以在同一框架內容納更大的網絡,而無需對工作流程進行根本性更改。
表 11、仿真運行時間總結。運行時間是在 Intel Xeon W-2125 上的實際時間,SUMO(圖形用戶界面關閉)
7.3 驗證
該框架量化了成功網絡攻擊下的潛在系統性影響,以支持現有的 TARA 流程。相應地,從三個層面對框架進行驗證:(i)在框架層面,主要運行指標(SR、FR)定義為相對于每個場景基準的歸一化比率,補充指標服務水平(LOS)根據標準公路容量手冊(HCM)指南進行解釋。這將輸出與公認的運行結構相結合,且不依賴于任何單一網絡。對于安全影響評估,利用已發表的經驗關系和 ISO 26262 分類,將速度變化量(Δv)映射到安全嚴重程度類別。(ii)在實施層面,微觀交通仿真軟件 SUMO 廣泛應用于交通研究,在重現關鍵交通現象方面已得到驗證;我們的設置遵循標準實踐(仿真步長、跟馳和變道模型)。(iii)在實例化層面(場景 II),基準流量 / 速度在評估期間的 WebTRIS 觀測范圍內重現。這將基準參考狀態與現場條件相結合,隨后通過 SR/FR 和服務水平(LOS)報告相對退化情況。
鑒于網絡事件影響的實測數據有限,該框架設計為在獲取此類數據時便于校準。利用現場或試驗臺數據,可以調整標準參數:(a)交通 / 網絡:需求水平、路線分配、道路幾何形狀、控制方案;(b)微觀行為:跟馳 / 變道參數和聯網自動駕駛車輛(CAV)合規性;(c)攻擊 / 中斷:發生時間、清除持續時間、路側單元(RSU)范圍。
7.4 局限性
當前研究存在以下局限性:
· 合規性差異:在本研究中,消息合規性被隱含處理,對于聯網自動駕駛車輛(CAV),在欺騙區域邏輯內實際上是確定性的。實際上,合規性可能因駕駛員、原始設備制造商(OEM)設計和場景(消息顯著性、執行形象、對來源的信任)而異。
· 風險感知與規避:未明確建模車輛通過提前制動、增加車距、謹慎變道等操作對感知風險的適應,以及聯網自動駕駛車輛(CAV)的風險感知后備模式。
· 速度變化量(Δv)計算:對于碰撞后動力學,我們采用塑性碰撞近似(恢復系數 COR,沿碰撞線 e=0),以保持安全流程的簡潔性和可重復性。在一維法向分量中,速度變化量為 Δv (e)=(1+e)Δv|e=0。在高速公路相關速度下,恢復系數值往往非常小,這一假設較為保守,但對于發生部分反彈的低速碰撞,可能會低估速度變化量(Δv)。如果有特定場地的恢復系數值,可通過 (1+e) 進行縮放來調整框架。
8. 結論與未來工作
本研究提出了一個評估網絡威脅對聯網車輛系統性影響的系統性框架。通過整合運行和安全影響評估,所提出的方法為評估網絡事件的影響提供了結構化且可量化的途徑。通過基于仿真的評估,我們證明了這些影響可能對機動性和安全性產生重大影響。研究結果強調,除了單車輛漏洞外,還需考慮系統性風險,將 ISO/SAE 21434 等傳統風險評估方法擴展到包含更廣泛的交通網絡影響。
案例研究表明,該框架適用于量化網絡引發事件的嚴重程度。在第一個場景中,基于遠程信息處理的攻擊導致多車輛碰撞,產生了嚴重的安全后果;而第二個和第三個場景則展示了基于遠程信息處理和路側單元(RSU)的攻擊對高速公路交通流量的系統性運行影響。這些結果強調,需要采取主動的網絡安全措施,不僅要考慮車輛層面的風險,還要關注網絡范圍的中斷。
該框架的基準歸一化運行指標(SR、FR、服務水平(LOS))和事件安全向量(IS)為道路當局和運營商提供了可直接用于決策的證據。除了整合到 TARA 中,相同的指標還可用于定義自動駕駛車輛的運行設計域(ODD):通過對設施類型、需求水平和聯網自動駕駛車輛(CAV)滲透率進行場景掃描,可以確定可接受風險下的運行范圍,為基于證據的運行設計域(ODD)進入 / 退出標準和地理圍欄政策提供支持。閾值(例如,在定義的(A,T)窗口內 SR<0.7 或服務水平(LOS)下降≥2 級)可用于觸發車道控制、改道或硬路肩使用;IS進一步為事件響應規劃、資源配置和事后復盤提供可重復的指標支持。
該框架的輸出可直接轉化為網絡彈性實踐。例如,通過對設施類型、需求和聯網自動駕駛車輛(CAV)滲透率進行場景掃描,可確定影響最顯著的領域(如場景 III 中,在較高需求下,欺騙性可變限速(VSL)建議導致服務水平(LOS)降至 F 級),從而指導有針對性的強化措施(如在 SR/FR 退化最嚴重的路段對路側單元(RSU)進行認證和監控)和資源預置。最后,基準歸一化歷史數據可用于在不同走廊和時期之間進行同類事后比較;由此產生的閾值和合規參數可反饋到聯網基礎設施實施政策以及運行設計域(ODD)/ 地理圍欄更新中。
隨著聯網車輛技術的不斷發展,本研究開發的方法可作為增強下一代聯網車輛網絡彈性的基礎。通過為評估聯網車輛網絡中的網絡威脅提供全面且可量化的方法,本研究為汽車網絡安全領域不斷增長的知識體系做出了貢獻。它支持政策制定者、交通當局和行業利益相關者做出明智決策,以提高未來交通基礎設施的安全性、安全性和運行彈性。
在未來的工作中,我們計劃擴展仿真框架,以涵蓋更廣泛的網絡攻擊向量和交通環境,例如復雜的城市網絡以及包含自動駕駛、聯網和傳統車輛的混合交通場景。納入針對信號交叉口、基于車對萬物(V2X)的路由機制和公共交通系統的攻擊場景,將提高場景的多樣性和實際相關性。最后,一個關鍵的研究方向是將影響評估與攻擊可行性分析相結合,為聯網車輛生態系統開發量化的網絡風險評估框架。
相關文章
