沈霞/SHEN Xia，周偉/ZHOU Wei，王志勤/WANG Zhiqin

（中國信息通信研究院，中國北京 100191）

基于移動通信的蜂窩車聯(lián)網(wǎng)（C-V2X）技術(shù)是面向車輛場景通信業(yè)務(wù)需求的關(guān)鍵技術(shù)，也是中國目前主要推廣的車聯(lián)網(wǎng)通信技術(shù)。該技術(shù)支持車與路邊設(shè)施、車與車之間的通信。其中，路邊設(shè)施可以是基站，也可以是終端。車和基站之間的通信類似于手機終端和基站之間的通信，即利用上行和下行通信進(jìn)行信息交互。車和車之間以及車和終端模式下的路邊設(shè)施之間的通信模式主要有兩種：一種是基于基站調(diào)度的通信模式，另一種是基于終端自主資源分配的通信模式。對于前者，終端和終端的通信資源均由基站分配調(diào)度，源節(jié)點在向其他終端發(fā)送數(shù)據(jù)之前需要向基站發(fā)出資源分配請求；對于后者，終端在基站分配或者預(yù)配置的一個資源池上偵聽信道，并選擇空閑或者干擾較小的信道資源發(fā)送數(shù)據(jù)。相對來說，基站調(diào)度的通信模式可以避免終端間通信干擾和隱藏節(jié)點下的傳輸碰撞問題，但是會引入較大的傳輸時延；終端自主資源分配的通信模式可以讓終端快速接入信道，但是會遇到信道擁塞、傳輸碰撞等問題。

C-V2X經(jīng)歷了4G長期演進(jìn)車聯(lián)網(wǎng)（LTE-V2X）和5G新空口車聯(lián)網(wǎng)（NR-V2X）兩個階段，并且主要在終端和終端之間的通信邊鏈路（SL）上開展設(shè)計。在4G LTE-V2X 中，終端間的通信主要支持廣播模式下的周期性業(yè)務(wù)；5G NRV2X 則在功能上做了進(jìn)一步增強，支持廣播、組播和單播模式下的周期和非周期性業(yè)務(wù)。其中，單播還支持終端間的信道測量反饋和傳輸混合自動重傳請求（HARQ）反饋，以增強單播和組播的可靠性。5G NR-V2X 同時支持多種子載波間隔和高低頻通信，傳輸配置更加靈活。目前，諸如部分偵聽、非連續(xù)接收（DRX）、終端間協(xié)作、中繼等5G NR V2X標(biāo)準(zhǔn)正在制訂當(dāng)中。制訂這些標(biāo)準(zhǔn)的目的是減少終端能耗，提升終端之間通信的可靠性，增強網(wǎng)絡(luò)覆蓋。此外，非授權(quán)頻段、高頻段、載波聚合等方面的增強后續(xù)也將受到關(guān)注。

C-V2X 的安全問題目前已成為車聯(lián)網(wǎng)產(chǎn)業(yè)化應(yīng)用的一個焦點問題。中國在2021年9月8日正式啟動了車聯(lián)網(wǎng)身份認(rèn)證和安全信任試點工作，以便為車聯(lián)網(wǎng)中的通信設(shè)備構(gòu)建可信的“數(shù)字身份”認(rèn)證和管理體系，避免非法設(shè)備的身份偽造和安全攻擊。車聯(lián)網(wǎng)安全主要包括終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應(yīng)用服務(wù)安全等。相應(yīng)的安全技術(shù)標(biāo)準(zhǔn)已經(jīng)制定，例如《YD/T 3594-2019 基于LTE 的車聯(lián)網(wǎng)通信安全技術(shù)要求》等。針對C-V2X 網(wǎng)聯(lián)通信安全，人們搭建了LTE-V2X 安全架構(gòu)，制定了終端設(shè)備與核心網(wǎng)之間、終端與終端之間、終端與基站之間、基站與核心網(wǎng)之間，以及核心網(wǎng)網(wǎng)元之間非接入層上的接口和接入層中分組數(shù)據(jù)匯聚協(xié)議（PDCP）層之上的安全技術(shù)標(biāo)準(zhǔn)。這類標(biāo)準(zhǔn)主要通過傳統(tǒng)加密認(rèn)證的方式來構(gòu)建安全可行的鏈接。而接入層PDCP層之下，尤其是SL上的物理層安全問題則相對比較突出。在目前標(biāo)準(zhǔn)約定的方法中，物理層可根據(jù)應(yīng)用層的指示隨機更改該層通信所使用的層2-ID 和設(shè)備IP 地址。然而，這種方法并不能避免物理層數(shù)據(jù)被竊取分析的問題。本文對C-V2X 終端間通信的物理層安全問題展開深入分析，并針對問題提出相應(yīng)的解決方案。

1 C-V2X物理層安全問題分析

C-V2X 物理層安全問題主要包括兩個方面：一是終端的物理層信息可以被惡意監(jiān)聽的終端接收并識別，二是信道被終端惡意長期占用導(dǎo)致其他終端無法正常接入信道。這兩方面的安全問題在一定程度上均來源于現(xiàn)有技術(shù)的設(shè)計：現(xiàn)有終端解析物理層信息方案導(dǎo)致PDCP層以下的物理層信息被惡意監(jiān)聽，基于信道偵聽的終端自主資源分配方式導(dǎo)致終端高優(yōu)先級業(yè)務(wù)長期搶占信道。下面我們對現(xiàn)有技術(shù)下的具體物理層安全問題展開分析。

1.1 C-V2X物理層信息解析方案中的安全問題

LTE V2X 終端檢測PSSCH 和PSCCH 的基本流程為：在網(wǎng)絡(luò)配置的PSCCH資源位置上采用盲檢的方式檢測PSCCH，在解擾PSCCH上承載的邊鏈路控制信息（SCI）之后，進(jìn)一步在SCI 指示的PSSCH 資源位置上接收檢測PSSCH，并對PSSCH 進(jìn)行解擾解析。NR V2X 引入了2 階SCI 設(shè)計，其中PSCCH 承載1SCI，PSSCH 承載2SCI。2SCI 的格式在1SCI 中指示。終端根據(jù)檢測的1SCI 的指示，在PSSCH 上先檢測2SCI信息，再根據(jù)2SCI信息中指示的HARQ信息檢測PSSCH 中的數(shù)據(jù)部分。在引入單播和主播之后，NR V2X會在SCI信息中指示目的節(jié)點層1-ID信息。如果檢測到SCI中的身份標(biāo)識（ID）與自身ID 信息匹配，接收終端則會進(jìn)一步檢測對應(yīng)的PSSCH，否則不做進(jìn)一步檢測。

在解析出物理層PSSCH 的數(shù)據(jù)部分之后，接收終端會將數(shù)據(jù)進(jìn)一步傳遞給媒體接入控制（MAC）層，并識別MAC層的包頭內(nèi)容。MAC層包頭中也包含ID信息，這些信息為源節(jié)點和目的節(jié)點層2-ID 的部分信息。接收終端會進(jìn)一步判斷該ID信息所配置的源節(jié)點與目的節(jié)點的層2-ID信息是否匹配。如果匹配，接收終端會進(jìn)一步將解析的MAC層數(shù)據(jù)上傳給PDCP層，否則將丟棄數(shù)據(jù)。在不同傳輸模式下，SCI 和MAC 包頭指示節(jié)點的ID 信息會有所不同，具體如表1所示。

表1 C-V2X中物理層節(jié)點ID指示[8-9]

由上述PSSCH 和PSCCH 的加擾方式以及終端檢測數(shù)據(jù)流程可知，物理層信道的解擾檢測并未與源節(jié)點層2-ID、目的節(jié)點層2-ID以及組層2-ID實際綁定，終端僅通過接收的SCI 和MAC 包頭中的ID 信息來判斷是否與自身的ID 相匹配，進(jìn)而選擇是否將數(shù)據(jù)進(jìn)一步傳遞給上層。一個非目的節(jié)點或者非組內(nèi)成員的終端，也可直接將監(jiān)聽的單播或者組播的物理層數(shù)據(jù)（不管是否與自身設(shè)備的層2-ID 匹配）傳遞給上層進(jìn)行解析。一個惡意的節(jié)點可以在單播通信的連接建立過程中利用監(jiān)聽獲取源節(jié)點層2-ID和目的節(jié)點層2-ID的信息，惡意占用信道資源向源節(jié)點和目的節(jié)點發(fā)送信息，干擾正常的單播通信，如圖1所示。

圖1 惡意節(jié)點對單播通信的監(jiān)測及干擾

1.2 C-V2X終端自主資源分配方案中的安全問題

LTE-V2X 和NR-V2X 都支持終端自主資源分配方案。該方案的基本設(shè)計思路為：源節(jié)點首先偵聽信道占用情況，在一個資源選擇窗[+,+]內(nèi)基于信道偵聽結(jié)果確定一個候選資源集，然后在候選資源集中選擇傳輸資源。其中，為資源選擇觸發(fā)時刻。候選資源集主要由源節(jié)點判斷的未被占用的信道資源組成，或者由已被占用但是測量的參考信號接收功率（RSRP）低于設(shè)定閾值的信道資源組成。為了保證源節(jié)點有足夠的候選資源可使用，并且每個信道資源上的業(yè)務(wù)量是平均化的，候選資源集中的資源數(shù)量應(yīng)不低于資源選擇窗中總資源數(shù)量的占比。其中，在LTE-V2X中固定為20%，在NR-V2X 中則可配。在資源選擇過程中，如果候選資源集的資源數(shù)量低于上述占比，系統(tǒng)將會降低判定被占用資源的RSRP閾值，將更多的資源判定為候選資源，直到候選資源數(shù)量達(dá)到占比要求。在資源選擇過程中，不論信道是否擁塞，發(fā)送數(shù)據(jù)的源節(jié)點都可以通過上述方法選擇到資源以用于發(fā)送數(shù)據(jù)。盡管如此，源節(jié)點的發(fā)送參數(shù)配置仍然受到擁塞控制機制的限制。擁塞控制機制規(guī)定了不同優(yōu)先級下不同信道擁塞狀態(tài)的信道占比限制情況。如果源節(jié)點不同優(yōu)先級傳輸選擇占用的資源總量超過規(guī)定的信道占比限制，則需要丟棄低優(yōu)先級的傳輸，以緩解信道擁塞，減少資源碰撞。

由此可見，擁塞控制機制在一定程度上保證了高優(yōu)先級業(yè)務(wù)的傳輸。為了進(jìn)一步保障高優(yōu)先級業(yè)務(wù)的傳輸，NRV2X引入了資源搶占機制，即高優(yōu)先級業(yè)務(wù)可以搶占低優(yōu)先級業(yè)務(wù)占用的傳輸資源。在發(fā)送SCI指示占用的傳輸資源之后，源節(jié)點在利用傳輸資源發(fā)送數(shù)據(jù)之前會持續(xù)進(jìn)行信道偵聽。當(dāng)偵聽到有更高優(yōu)先級業(yè)務(wù)搶占指示的傳輸資源時，且測量的RSRP高于閾值，源節(jié)點則判定資源被搶占，需要進(jìn)行資源重選。因此，一般節(jié)點如果亟需接入信道而無合適的資源選擇時，可以將被低優(yōu)先級業(yè)務(wù)占用的信道資源作為候選資源。低優(yōu)先級業(yè)務(wù)對應(yīng)的源節(jié)點會通過信道偵聽發(fā)現(xiàn)資源搶占，從而退避并進(jìn)行資源重選，避免傳輸碰撞。

在終端自主資源選擇的模式下，擁塞控制機制和資源搶占機制在保障高優(yōu)先級業(yè)務(wù)傳輸?shù)耐瑫r也引入了一定的安全問題。例如，當(dāng)某個節(jié)點擁塞控制機制出現(xiàn)故障或者不使用該機制，同時該節(jié)點仍處于信道擁塞環(huán)境中并且需要大量業(yè)務(wù)進(jìn)行傳輸時，信道擁塞的程度無疑會加重，傳輸干擾也會增加。此外，如果一個功能故障節(jié)點或者惡意節(jié)點將其傳輸業(yè)務(wù)設(shè)置為最高優(yōu)先級，持續(xù)地發(fā)送數(shù)據(jù)占用或者搶占信道，則在NR-V2X場景下，低優(yōu)先級業(yè)務(wù)的節(jié)點在移動到功能故障節(jié)點或者惡意節(jié)點附近時就無法接入信道，功能故障節(jié)點或者惡意節(jié)點的周圍就形成一個通信盲區(qū)，如圖2 所示。這將帶來一定的安全隱患。

圖2 節(jié)點非正常占用信道形成的通信盲區(qū)

2 C-V2X物理層安全方案設(shè)計

在本節(jié)中，我們提出相應(yīng)的解決方案，以應(yīng)對上述CV2X的物理層安全問題。這些方案主要包括：單播通信中物理層安全通信方案和在終端自主資源分配模式下可能出現(xiàn)的持續(xù)非正常信道占用的解決方案。

2.1 單播通信中的物理層安全通信方案

在單播通信中，為了確定物理層數(shù)據(jù)只有源節(jié)點和目的節(jié)點能解碼檢測，可以對業(yè)務(wù)信道PSSCH 的數(shù)據(jù)采用只有源節(jié)點和目的節(jié)點獲知的專用標(biāo)識進(jìn)行加擾，其他周圍節(jié)點由于未獲知該專用標(biāo)識則無法解擾該單播業(yè)務(wù)信道。一個實現(xiàn)方法就是借助基站為C-V2X 通信指示用于單播通信的專用標(biāo)識。具體流程可以設(shè)計為：終端節(jié)點獲取周圍節(jié)點的層2-ID信息，然后將獲取的層2-ID信息連同自身的層2-ID信息形成一個節(jié)點層2-ID 列表并上報給基站，基站依據(jù)上報的層2-ID為每兩個節(jié)點之間的單播通信分配一個專用標(biāo)識，最后基站將分配的單播專用標(biāo)識發(fā)送給節(jié)點。如圖3 所示，假設(shè)圖中源節(jié)點和目的節(jié)點的層2-ID 分別為層2-ID1 和層2-ID2，基站分別為層2-ID1 和層2-ID2 的節(jié)點之間的單播通信分配一個單播專用標(biāo)識（專用標(biāo)識1），并告知源節(jié)點和目的節(jié)點。源節(jié)點利用專用標(biāo)識1加擾向目的節(jié)點發(fā)送的單播通信業(yè)務(wù)信道PSSCH，控制信道PSCCH 中仍采用原廣播模式下的加擾方式。源節(jié)點在PSCCH承載的SCI中直接指示單播通信源節(jié)點和目的節(jié)點相關(guān)的ID 信息（一般為節(jié)點層2-ID的部分比特信息）。目的節(jié)點在檢測到SCI中的ID信息之后，如果和自身的ID 匹配，則進(jìn)一步用和源節(jié)點層2-ID1、目的節(jié)點層2-ID2 對應(yīng)的單播專用標(biāo)識1 解擾業(yè)務(wù)信道。為節(jié)省信令開銷，節(jié)點向基站上報的節(jié)點層2-ID 信息可以是24 bit的層2-ID的部分比特信息。由于除源節(jié)點和目的節(jié)點之外的其他節(jié)點未獲知源節(jié)點和目的節(jié)點之間單播專用標(biāo)識1，因此這些節(jié)點無法解擾業(yè)務(wù)信道PSSCH，從而無法檢測相應(yīng)的單播通信物理層數(shù)據(jù)。

圖3 基于基站的終端間單播通信專用標(biāo)識分配

同樣地，假設(shè)目的節(jié)點周圍有一個惡意節(jié)點在SCI中指示目的節(jié)點的ID 信息，并計劃向其發(fā)送干擾信息。此時，即使目的節(jié)點判斷該ID 和自身相匹配，由于之前該節(jié)點未分配可信的單播專用標(biāo)識，該目的節(jié)點仍可以不做接收檢測處理。

此外，在設(shè)備準(zhǔn)入的時候，測試終端可以作為非目的節(jié)點對接收數(shù)據(jù)的處理單元。如果設(shè)備可以正常對相應(yīng)的物理層數(shù)據(jù)做丟棄處理，那么該設(shè)備就能滿足準(zhǔn)入條件。

2.2 持續(xù)非正常信道占用的解決方案

在基于終端自主的資源分配模式下，功能故障或者惡意持續(xù)超標(biāo)占用信道會引起信道擁塞和通信盲區(qū)的問題。而這一問題很難被實時解決。對此，一方面可以通過上報并分析識別功能故障或者惡意節(jié)點的方式，另一方面也可以通過加強可行設(shè)備信道準(zhǔn)入監(jiān)管的方式來解決這類問題。

如果持續(xù)超標(biāo)準(zhǔn)非正常搶占信道的節(jié)點是一個移動節(jié)點，則該節(jié)點移動經(jīng)過的區(qū)域周圍節(jié)點將無法接入信道或者傳輸會大量失敗。如果這些周期節(jié)點將移動區(qū)域的信道接入狀態(tài)或者傳輸狀態(tài)上報給網(wǎng)絡(luò)，那么網(wǎng)絡(luò)可以通過歷史信道擁塞程度的學(xué)習(xí)分析識別出通信故障區(qū)域。如圖4所示，Zone 1至Zone 6在正常狀態(tài)下可以通過歷史數(shù)據(jù)識別一定車流密度下的正常信道擁塞程度。假設(shè)一個功能故障或者惡意節(jié)點從Zone1沿著道路移動到Zone 6，則Zone 1至Zone 6的信道擁塞程度會在該節(jié)點停留的時間內(nèi)出現(xiàn)一個超預(yù)期的非正常狀態(tài)，從而可判斷Zone 1至Zone 6區(qū)域內(nèi)存在一個故障或者惡意節(jié)點。結(jié)合車流的監(jiān)控，我們可以進(jìn)一步排查該節(jié)點。

圖4 異常區(qū)域信道擁塞程度監(jiān)測

在加強可信設(shè)備準(zhǔn)入的監(jiān)管方面，需要制定相應(yīng)的設(shè)備擁塞控制和資源搶占功能測試標(biāo)準(zhǔn)，以測試設(shè)備是否依據(jù)標(biāo)準(zhǔn)中規(guī)定的擁塞控制機制配置相應(yīng)的發(fā)送參數(shù)來占用信道，是否正常根據(jù)優(yōu)先級和信道測量來搶占信道，以及是否按照標(biāo)準(zhǔn)規(guī)定配置資源搶占相關(guān)的參數(shù)，例如測試物理層SCI中優(yōu)先級配置與高層業(yè)務(wù)之間的QoS映射是否正常等。在蜂窩覆蓋區(qū)域，當(dāng)基站根據(jù)用戶設(shè)備（UE）上報的網(wǎng)絡(luò)擁塞程度更改基于基站調(diào)度模式和基于終端自主資源分配模式的資源池配置和擁塞控制配置的參數(shù)時，系統(tǒng)將測試非基站連接下的終端是否可以通過邊鏈路及時更改相關(guān)參數(shù)配置。例如，當(dāng)基于終端自主資源分配模式的信道擁塞導(dǎo)致更多傳輸依靠基站調(diào)度時，基站可以增加基于基站調(diào)度的資源池數(shù)量，調(diào)整終端自主資源分配模式下的擁塞控制相關(guān)配置參數(shù)（相應(yīng)的參數(shù)配置需及時應(yīng)用于終端間通信）。

3 結(jié)束語

本文介紹了C-V2X 目前主要面臨的物理層安全問題，主要包括終端對單播通信物理層數(shù)據(jù)的檢測獲取，以及基于終端自主資源分配模式的信道擁塞和非正常資源搶占問題。對于5G NR-V2X 中引入的單播通信問題，為避免其他終端的監(jiān)測，可以借助基站為單播通信分配專用的標(biāo)識，并在設(shè)備準(zhǔn)入測試中測試設(shè)備對其作為非目的節(jié)點數(shù)據(jù)的處理功能是否正常來解決。對于基于終端自主資源分配模式下的非正常信道占用和資源搶占問題，則可以通過信道擁塞程度的監(jiān)測來識別非正常區(qū)域以及該區(qū)域中的功能故障或者惡意節(jié)點，并借助設(shè)備擁塞控制和資源搶占功能的測試來解決。

感謝北京郵電大學(xué)泛網(wǎng)無線通信教育部重點實驗室的馮志勇教授與尉志青副教授對本研究的指導(dǎo)與幫助。