I-SIG

I-SIG（Intelligent Traffic Signal System）系统的操作包含了基础设施端设备和车辆端设备。从之前的研究来看，传统的交通基础设施端设备一般会选用弱凭证，这样攻击者就可以很容易地完全控制设备；这在嵌入式网络设备中也是一个常见的问题。在这里我们考虑的威胁常见场景主要是来自车辆端的攻击，比如OBU。比如，我们假设攻击者可以入侵自己或其他车辆的车载系统或者OBU，然后发送恶意的BSM消息给RSU来影响信号灯方案。

COP算法要达到的目的是让十字路口等待通行的车辆的总等待时间最小。

作为重要的基础设施，交通信号灯控制系统对经济和环境有基础的影响，因此，确保系统受到应有的保护并确保其正确和高效地运行非常重要。

攻击

攻击假设

在本文的攻击中，唯一的需求就是攻击者可以在自己或他人的车上入侵车端设备，并发送恶意消息给I-SIG系统来影响交通控制的决策。这样的攻击可以是物理地、无线地的方式进行，也可以通过恶意软件。为了攻击更加贴近现实，研究人员假设only one attack vehicle存在于十字路口的情形。

攻击过程

数据欺骗data spoofing

攻击输入数据流和直接欺骗策略

图5是I-SIG系统中的攻击输入数据流。当系统收到欺骗的车辆轨迹数据时，首先进行位置检查，检查的目的是丢弃那些位置信息不属于交叉口范围内的数据。数据欺骗攻击的目标是改变arrive table的内容，达到影响COP算法中规划的作用。因为每个汽车在arrive table都有位置，所以直接数据欺骗的策略是：到达时间和阶段欺骗。在全部应用和过渡阶段，攻击者可以修改BSM消息中的速度和位置信息来设置到达时间和决策中的要求阶段，这就增加了对应的到达表元素。在当前应用情况下，arrive table认为车会在130秒内到达。因此，攻击者有131（arrive time）*8（phase）种欺骗选项。

过渡阶段的欺骗策略

除了直接欺骗攻击车辆的数据外，还可以攻击未在过渡阶段配备车辆估计过程（unequipped vehicle estimation process, EVLS）的车辆。EVLS算法见图5的底部。研究人员发现，最佳的攻击策略是攻击queue estimation，即攻击过渡阶段的queue length manipulation。攻击者可以在过渡阶段改变BSM消息的速度和位置信息，这一就设定了所选车道的最远停靠车辆的位置，在EVLS算法中原来的最远停靠车辆后增加了未配置的排队车辆的数量，最终导致arrival table的第一行的变化。在每一阶段，攻击者都会有许多的数据欺骗选项来增加最大排队数量的值。

攻击结果

漏洞起因

本漏洞的起因是last vehicle advantage最后一辆到达的车的优势。通过检查信号计划的输出，我们发现当欺骗车辆的到达时间最晚时，攻击越成功。因为它决定着请求阶段的绿灯结束的时间，会延迟之后所有绿灯开始的时间，并且增加这些阶段所有车辆的排队时间。

因为COP算法是优化所有车辆的平均延迟，所以当服务最后一辆车付出的代价太大时，就应该放弃服务最后一辆车。研究人员发现，根本原因在于实现COP算法时在规划阶段的限制。默认使用的是两阶段的规划，每个阶段只可以规划一次。因此，对每个阶段，规划必须服务所有的车辆，这也就造成了规划阶段会被最后一辆到达的车严重影响。如果COP算法允许多个阶段规划，那么这个问题就可以被缓解了，比如划分为4阶段。

安全和应用的平衡

因为两阶段规划容易被最后一辆到达的车所影响，研究人员很好奇为什么I-SIG系统的开发者选择了两阶段规划作为默认值。研究人员与开发者取得联系后了解到这是一种安全与应用的平衡。选用二阶段规划的运行时间是最低的，与五阶段规划相比，二阶段规划的影响并没有明显地降级，所以做出了这样的选择。

结论

车联网早已进入我们的视野，即将步入我们的现实生活之中。基于车联网的汽车和网络攻击事件层出不穷（大多数可能是无害的研究性质的），但是总的来说，车联网、自动驾驶、智能汽车等的安全性仍需进一步研究。