基于语法生成树的软件定义车联网动态防御体系

本文主要介绍如何实现软件定义车联网中的动态防御。首先介绍动态防御基本框架，阐述动态防御执行的原理.然后提出策略四元组和策略语法生成树，最后提出基于FAHP-TOPSIS的安全等级评估打分排序方法，用于评估动态防御前后的系统安全等级。

1 动态防御体系基本框架

动态防御的概念与静态相对，旨在能够及时针对网络中面临的攻击、故障等问题做出自适应的调整，以维持车联网的平稳有效运行。动态防御对自动化和实时性的要求较高，如图1所示是提出的动态防御体系基本框架示意图。

图1 动态防御体系基本框架

动态防御方案的工作流程可以分为以下几个步骤。

首先，SDN主控制器按照一定的时间间隔，将状态数据收集请求发送到数据层。作为响应，车辆数据通过V2I通信从车辆传输到基础设施(例如，BS和RSU)的数据收集模块。然后，数据收集模块将车辆和基础设施的数据打包成为数据层状态信息，并通过SBI将该信息上载到分布式BS控制器和RSU控制器。最后，SDN主控制器获取所有BS和RSU控制器的数据平面信息和系统日志作为当前整个软件定义车联网系统的状态数据。

然后，位于应用层的的动态防御模块将收集到的系统状态数据与策略触发条 件进行匹配，一旦匹配成功即进入安全策略生成状态，按照策略语法生成树(第2节介绍)逐步生成策略四元组。生成的安全策略位于应用层，经由动态防御模块通过NBI发送到控制器进行策略解析，使之成为数据层硬件能够执行的底层命令，经由SBI发送到数据层进行策略执行。

接着，SDN主控制器再次进行一次系统状态信息收集，并通过第3节提出的安全等级评估方法进行前后安全等级打分排序，得到当前系统的安全状态评分。最后，系统管理人员可以根据动态防御执行前后的系统安全等级评估结果，判断当前的策略集合是否完善和完备，并通过NBI应用程序编程接口和策略语法生成树进一步修改完善动态防御模块。

2 动态防御策略语法生成树

提出的动态防御方案依赖于软件定义网络的可编程性，以提供全局安全策略的规范接口，并利用软件定义车联网体系结构内的集中控制来使得整体系统能够根据安全策略得到动态保护。详细来说，首先将动态防御模块应用和系统内部信息数据收集作为先验知识库，经由语法生成树生成策略，生成的安全策略经过解析、传输和执行，最终对应的实体配置得以更新，系统整体安全性得到提升。

通常，控制层中按照功能划分有五种类型的消息，即安全策略消息、模块事件消息、流统计消息、OpenFlow消息和设备日志消息。动态防御模块将以四元组的格式生成策略：p=(E,S,O,A)。这意味着，若当前系统状态属于触发条件集合E时，动态防御模块启动；S为执行策略的主体，可以是RSU、交换机、车辆、 BS等；O为一组对象的集合，可以是交换机端口、IP地址、硬件设备MAC地址、本地时钟等；A为操作的类型，例如开启或关闭、阻断、转发、升级等等。

但是，安全策略在逻辑上高度抽象，因为其通过NBI面向编程人员，而在硬件设备上的实现还需要经过控制器的转译。详细来说，可以将典型的策略解析过程表述为由多个子节点组成的复合树结构，如图2所示。每个策略自上而下层层解析，最终得以在设备上实现。综上所述，通过制定安全策略生成和策略解析机制，提出的动态防御方案可以在整个软件定义车联网中充分表达面向SDN控制器的OpenFlow流命令和面向终端设备的指令。借助SDN的可编程性和集中控制特性，实现了动态安全防御功能。

图2 动态防御策略语法生成树

3 基于FAHP-TOPSIS的动态防御效果评估

为了有效评估动态防御策略实施后的有效性，我们需要一种合理的数学方法来综合评估整体系统安全等级。本节提出了软件定义车联网的安全等级评估方法，主要分为“安全评估指标体系建立”和“基于模糊层次分析—逼近理想解排序法进行系统安全等级打分”两个部分。

3.1 安全评估指标体系

软件定义车联网架构的安全指标可以根据信息安全三要素来作为划分依据，分别是：机密性，完整性和可用性。每个方向下细分各个安全要素的子类别。图3展示了安全等级评估的层次分析结构。

图3 安全等级评估的层次分析结构

软件定义车联网中的机密性主要是指网络中的通信内容只能由授权用户获得。车辆存储系统作为数据存储空间，是数据保护的最后一道防线。车辆存储系统是从本地直接连接到网络化和分布式方向发展的，这使其更加脆弱。攻击者可以通过入侵目标以窃取、篡改或破坏数据，因此安全存储成为关键指标。身份认证是指在数据传输之前确认通信者身份的过程。该过程可以确定用户是否可以访问车辆资源以及他是否具有使用特权。它可以防止攻击者冒充合法用户访问敏感资源，从而确保系统和数据的安全性。另外，为了确保软件定义车联网中的高吞吐量和低延迟特性，通常使用相对简单的通信协议。他们通常没有加密或身份验证手段。因此，评估所用通信协议的安全级别也很重要。

软件定义车联网中的完整性意味着在输入和传输过程中确保数据的一致性，信息不会被非法授权、修改和破坏。具体来说，它专注于V2X通信完整性和Open-Flow交换机流表完整性。V2X通信完整性的破坏可能导致车辆误判道路状况、目的地位置和其他重要信息，从而可能导致交通拥堵、交通事故、导航故障等。Open-Flow交换机流表完整性的破坏意味着数据可能被转发到错误的目标、车辆执行错误的命令，甚至在整个车辆网络中引起DDoS泛洪攻击。

软件定义车联网中的可用性意味着车联网可以提供高质量的服务。车辆网络包含数以千记的车辆，这对于网络的承载能力和车辆通信的及时性是一项艰巨的任务。因此，吞吐量和延迟是非常重要的指标。同时，作为一种特殊的信息网络，与传统的互联网相比，车联网需要准确高效的车辆拓扑发现能力，从而确保可以准确地提供基于拓扑的服务，例如车辆导航和交通流量控制。

3.2 安全等级评估方法

为了全面评估当前软件定义车联网系统的网络运行状态以进行安全评估，我们建立了基于FAHP-TOPSIS的安全评估数学模型，该方案采用混合决策方法，可以消除个人主观判断的影响。在我们的方案中，我们对当前系统进行全面评估，以全面分析网络状态。该评估指标体系框架总共包括安全存储、身份认证、通信协议、V2X通信、流表配置、网络吞吐量、传输延迟、拓扑发现。

4 总结

本文主要设计了软件定义车联网中的动态防御方法。分别阐述了动态防御框架体系、安全策略语法生成树、安全等级评估方法三个方面。其中安全等级评估方法通过建立安全评价指标体系框架和FAHP-TOPSIS数学模型实现。

文章转载自公众号：智能汽车开发者平台