基于区块链的车辆取证和责任决定研究应用

区块链：研究与应用3（2022）100050WIDE：一种基于权限的车辆取证Chuka Ohama，**，Regio A.Michelina，*，Raja Jurdakb，Salil S.桑杰？贾？坎海雷a新南威尔士大学（UNSW），悉尼，NSW 2052，澳大利亚b昆士兰科技大学（QUT），布里斯班，QLD 4000，澳大利亚A R T I C L E I N F O保留字：全自动驾驶汽车电子控制单元区块链证人取证安全共识公平互联网安全协议和应用程序的自动验证（AVISPA）A B S T R A C T在本文中，我们提出了一个基于智慧的数据优先级机制（WIDE）的车辆在附近的事故，以促进责任的决定。在发生事故时，安全信息网评估这些车辆（称为证人）产生的数据的完整性，以确保用于作出责任决定的数据的可靠性，并确保这些数据来自可靠的证人。 为了实现这一目标，WIDE引入了两级完整性评估，通过最初确定数据生成传感器的完整性来实现端到端的完整性，并通过执行实用的拜占庭容错（pBFT）协议来验证生成的数据在运输过程中没有被受损的路边单元（RSU）更改，以达成对数据可靠性的共识。此外，WIDE利用基于区块链的信誉管理系统（BRMS），以确保只有来自信誉良好的证人的数据才能被用作促进责任决定的证据。最后，我们正式验证所提出的框架对数据完整性的要求，使用互联网安全协议和应用程序的自动验证（AVISPA）与高级协议规范语言（HLPSL）。 定性参数表明，我们提出的框架可以抵御已识别的安全攻击，并确保用于做出责任决策的数据的可靠性，而定量评估表明，我们的建议对于全自动车辆取证是实用的。1. 介绍预计全自动驾驶汽车（FAV）的出现将破坏现有的事故责任归属取证过程。 虽然现有流程将责任转移到驾驶员身上，但FAV的取证流程考虑将责任分配给多个实体，包括可追溯产品缺陷的车辆制造商，服务故障的服务技术人员以及疏忽的车主。车主疏忽的一个例子是没有遵守车辆制造商或服务技术人员的指示，以执行内部控制单元的更新，以提高效率或安全性[1]。参考文献[2]中的作者提出了一种安全解决方案，该解决方案根据参考文献[1]中的条件捕获必要的证据，以促进责任决定。捕获的证据包括事故附近的所有车辆生成的数据，这些数据描述了车载传感器生成的事件细节，例如位置，速度，视频和安全系统的使用，以及跟踪责任实体之间交互的数据，以识别服务/产品故障和疏忽情况。我们称目击者为在事故车辆无线电范围内的车辆 这是为了确保只有事故附近的车辆才能为责任决策提供数据。车辆的无线电范围由专用短程通信（DSRC）802.11p无线通信协议实现，以促进车辆到车辆（v2v）和车辆到基础设施（v2i）通信[18]。 在本文中，我们假设在事故发生时证人在场。需要证人提供的数据，以比较评估直接涉及事故的车辆产生的数据的可信度。 由见证车辆生成的数据反映其对事件的记录，包括事件的时间和位置。虽然在Ref.[2]排除了制造商和技术人员在车辆上的行为，并可能阻止责任实体利用用于做出责任决定的数据，但它不能保证从证人那里收到的数据的真实性，因为其数据生成传感器可能会被远程利用，如参考文献[3]所示。[17]并可能影响责任结果。因此，从证人那里获得可靠的数据对于FAV取证至关重要，以提高有助于证据的数据质量并实现公正的责任决定。* 通讯作者。** 通讯作者。电子邮件地址：f. unsw.edu.au（C. Oham）、regio. unsw.edu.au、regiom@gmail.com（R.A. 米其林）。https://doi.org/10.1016/j.bcra.2021.100050接收日期：2021年6月23日;接收日期：2021年10月29日;接受日期：2021年12月16日2096-7209/©2022作者。出版社：Elsevier B.V.代表浙江大学出版社。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表区块链：研究与应用杂志主页：www.journals.elsevier.com/blockchain-research-and-applicationsC. Oham等人区块链：研究与应用3（2022）1000502以前的研究工作[4-直接涉及事故的车辆和邻近车辆（目击者），以确定有助于事故发生的数据的真实性然而，虽然数据关联提高了用于做出责任决定的数据的质量，但它并不能减轻战术攻击，例如证人的共谋倾向，以产生可能影响责任结果的误导性信息。因此，识别这种攻击潜力的解决方案对于实现公正的责任决策至关重要。区块链[3]与自动取证的集成最近因其分散性和不变性而受到关注。去中心化允许多个实体管理和维护相同的数据记录，而不变性有助于确保用作责任决策证据的因此，在本文中，我们将信誉管理系统的智慧为基础的数据优先级机制（WIDE），以确保只有从车辆收到的数据与高信誉分数被认为是责任的决定。通过将区块链技术和声誉管理纳入FAV取证，我们提出的取证解决方案能够通过基于以下因素对从证人接收的数据进行优先级排序来防止上述战术攻击：（1）其数据生成传感器的完整性，（2）在传输中交换的数据的完整性，以及（3）他们的声誉。 利用这种能力，所提出的解决方案通过利用仅从具有高信誉的车辆生成的数据来做出可靠的可行性决策。综上所述，本文做出了以下贡献：我们提出了一个广泛的车辆在附近的事故，以促进责任的决定。为了 实 现 这 一 目 标 ， WIDE 利 用 基 于 区 块 链 的 信 誉 管 理 系 统（BRMS），该系统在发生事故时评估证人车辆的可信度，并确保从高度可信的车辆接收有助于责任决策证据的数据。我们讨论了所提出的解决方案对已识别攻击的弹性，并对延迟和声誉的演变进行了评估，以证明我们的建议的实用性使用互联网安全协议和应用程序自动验证（AVISPA）验证工具进行正式验证，以证明拟议系统符合关键安全要求。本文的其余部分组织如下。在第二节中，我们讨论了相关的工作，并提出了必要的背景，支持我们的研究。第3节描述了WIDE架构、攻击模型和设计原则，而第4节描述了WIDE协议，包括WIDE中用于实现设计原则的必要安全机制。第五部分对WIDE进行了安全性分析、比较和性能评估。第6节介绍了WIDE的正式验证，第7节总结了本文并概述了未来的工作。2. 相关作品及背景在本节中，我们提出了一个严格的审查现有的工作，在车辆取证，依赖于证人的可用性，以获得有助于促进责任的决定证据。参考文献[4]中的作者提出了一种基于协同碰撞警告的机动车事件数据记录器（MVEDR），该记录器从事故中涉及的车辆和事故现场的目击车辆中检索证据，以重建事故。然而，他们没有考虑证人提供的数据的真实性，这些数据将用于作出责任决定。作者在Ref。[5]提出了一种基于证据的事故重建证据他们的建议涉及从以下方面获取有关发生事故的车辆的数据：目击者车辆 它还涉及根据多名证人就特定数据参数达成的共识生成一份数字证据，这些数据参数构成促进责任决定的证据。虽然该建议代表了Ref.[4]，它仍然容易受到共谋攻击，证人可以就伪造的数据参数达成共识，从而影响责任结果。作者在Refs。[6，7]提出了一种用于事故重建的车辆法医他们为事故再现定义了两个产生证据的来源参与事故的车辆可以记录其对事故的感知，也可以存储来自附近车辆目击者的数据然而，他们没有考虑到主要车辆和见证车辆产生的数据的可靠性。此外，另一个挑战是，从这些来源检索到的证据存储在不同的集中式数据库中，这引入了单点故障。作者在Ref。[2]提出了一个基于区块链的责任归属框架，该框架整合了可能的责任实体，并有助于生成责任归属所需的证据本报告还考虑了在作出责任决定时也考虑司机疏忽的具体情况然而，他们的提议依赖于事故现场车辆（包括主要车辆和目击车辆）产生的数据的相关性如前所述，这些车辆生成的数据的真实性得不到保证，并且他们的提议容易受到共谋攻击，其中车辆可以共同影响责任结果。作者在Ref。[8]提出了一种针对智能车辆的区块链取证解决方案，该解决方案包含了针对主要车辆的数据准确性机制。然而，他们的解决办法并不能确定从证人那里得到的数据的可信度。总之，以往的研究认为，从证人收到的数据责任归属无法确定从证人收到的数据的真实性。此外，很少或根本没有注意到建立其数据有助于责任结果的智慧的可信度。 在本文中，我们还提出了一个区块链信誉管理系统，用于评估见证车辆的可信度。2.1. 背景在本节中，我们介绍了WIDE的背景研究，并讨论了其核心组件。WIDE建立在参考文献[9]中用于保护智能车辆的区块链解决方案的在这项工作中，作者提出了如图1所示的双层框架。上层描述了车辆登记过程，该过程导致在下层中为车辆创建公共记录较低层次描述了确定车辆内部控制完整性为了确定车辆的完整性当车辆进入其覆盖区域时，路边单元向车辆该挑战要求车辆证明其部分或全部内部控制的状态作为响应，车辆计算并提供所选内部控制的散列值和其所有内部控制的累积散列值，并将其转发给路边单元，路边单元将计算的值与存储在较低层区块链中的值进行比较以保持一致性。在本文中，我们重点关注在较低层上执行的操作，并依靠在较低层上执行的完整性评估方法来创建车辆的可信度。可信度曲线显示了描述车辆随时间推移的行为的历史记录路边单位利用该记录来计算车辆的信誉分数，并且进一步利用该分数来优先化所接收的证人数据以用于责任归属目的。具体而言，在较低层执行的操作包括完整性评估和数据可信度测量。由路边单位进行完整性评估，以确定车辆的内部控制状况。这遵循了参考文献1中所[9]在由路边单元和车辆联合执行质询-响应机制以验证●●●C. Oham等人区块链：研究与应用3（2022）1000503Fig. 1. 智能汽车的安全架构[18]。车辆及其数据生成传感器的完整性具体来说，当车辆进入路边单元的无线电范围时，它会收到一个挑战，即计算其传感器产生数据的哈希值。车辆产生的响应用于通过检查其公钥在区块链中的存在来验证车辆的合法性接下来，通过将车辆产生的响应与区块链中的值进行比较来评估其传感器的完整性 这是基于传感器的完整性影响其产生的数据的可信度的前提。此外，在将数据存储在区块链中之前，为了防止流氓路边单元对车辆生成的响应进行潜在更改，其他路边单元进行数据可信度测量，以重新评估车辆生成的响应的完整性以确保一致性。该评估的结果随后存储在区块链中，并构成我们声誉管理系统的基础，该系统允许路边单位根据其声誉分数对证人车辆进行排名，并使裁决人员能够利用具有高声誉分数的车辆的数据来促进责任决策。基于这些行动，WIDE由三个核心模块组成，即诚信评估员、信誉评估员和信誉管理。完整性评估器通过将车辆作为对来自路边单元的挑战的响应而产生的值与区块链中的值进行比较来促进车辆的内部控制可信度评估器确保由目击车辆作为贡献证据提交的数据不被恶意的路边单元改变。可信度评估或允许多个路边单位确认证人车辆提交的数据的有效性（见图1）。 2）。这是为了防止流氓路边单元修改数据的可能性此外，我们利用实用的拜占庭容错（pBFT）共识协议[10]，即使在存在恶意攻击的情况下，也允许路边单元就数据的有效性图二、 WIDE（WItness based Data priority mEchanism）核心模块。路边单位声誉管理有助于根据车辆的声誉得分对车辆进行排名，以促进责任决策。3. WIDE体系结构和攻击模型在本节中，我们将概述系统，描述体系结构的组件，介绍攻击模型，并讨论WIDE的设计原则。3.1. WIDE的组成部分图 3介绍了WIDE的主要组成部分，包括主要车辆、证人、路边单位和BRMS。在下文中，我们详细描述了我们的架构的组件。主要车辆：这些车辆直接涉及事故。在发生事故时，这些车辆最初会发出●C. Oham等人区块链：研究与应用3（2022）1000504图3. WIDE（基于宽度的数据优先级机制）架构。RSU：路边单元; BRMS：基于区块链的信誉管理系统。安全信息，如参考 [2]这是一个关于事故的目击者。接下来，主要车辆记录并存储它们对事故的感知，以用于责任归属目的。见证车辆：这些车辆与主要车辆非常接近，即， 主要车辆覆盖范围内的车辆。他们从主要车辆接收事件通知，这促使记录他们对事故的看法，包括他们的看法，并通过v2i通信[2]将其转发给路边单位，作为确定责任和声誉评估的证据路边单元：在从目击者和/或主要车辆接收到事故相关数据后，路边单元（RSU）首先评估车辆传感器的完整性，根据完整性评估的结果更新其行为配置文件，最后计算车辆的信誉分数行为特征定义了车辆通过或未通过完整性评估的程度，并支持声誉管理。我们将在第4节中详细讨论计算车辆信誉分数的过程。运输当局：这些实体负责安装和维护RSU。 当在执行可信度评估模块期间识别出流氓RSU时，该信息将在区块链中广播，并且运输机构将对识别出的RSU进行维护。执法机构：在发生事故时，执法机构从区块链中获取补充证据，并利用车辆的信誉评分来识别高度可信的证人，以促进公正的责任决定。BRMS：BRMS由路边单位管理，并存储RSU执行的完整性评估结果。它提供了一个车辆的信誉档案，因为它捕捉了通过或未通过完整性评估的时间比例，因此描述了自其运营生命周期以来的信誉。考虑到受损的路边单元改变从车辆接收到的响应的可能性，我们重新评估车辆对从路边单元接收的挑战，并进一步利用实际拜占庭容错（pBFT）共识协议来允许其他路边单元对响应的有效性进行投票关于如何重新评价缓解和pBFT的更多详细信息见第4节。3.2. 攻击模型在本节中，我们将描述恶意攻击者可能执行的攻击，以破坏我们提出的系统的安全性此处对手的行为反映了证人更改事故相关数据或受损路边单位影响车辆声誉数据伪造攻击：车主可以操纵他们的数据生成传感器向路边单元发送虚假信息。这可以与主要车辆合作进行，以逃避责任，即，如果主车主和见证车辆共同行驶。这种攻击的目的是歪曲证据，从而使责任归属过程复杂化，因为同一地点的车辆产生的数据非常不同Sybil：车主可以为其车辆创建多个身份，通过为多个实体制作关于事故的虚构消息并将这些消息发送给路边单位来影响责任结果。在这里，对手的主要目标是让更多的车辆报告捏造的事件，因此，如果多个车辆对事件提出不同的看法，则会使责任决策复杂化，或者如果报告了更多的捏造消息，则会显著影响责任决策。声誉操纵和数据利用：考虑到RSU对车辆执行的完整性评估的结果支持声誉管理，受损的RSU可以利用该机会通过接受错误的完整性评估结果或错误地更新良性车辆的声誉分数来影响声誉分数，即，具有良好完整性评估结果的车辆此外，受损的RSU可以很容易地修改车辆传输的数据，或将其用于做出责任决定。●●●●●C. Oham等人区块链：研究与应用3（2022）10005053.3. 设计原则WIDE的设计有可能减轻流氓实体的上述攻击能力下面，我们将介绍我们的设计原则。3.3.1. 抵制恶意受限制股份单位如第3节所述，受损RSU可能会更改存储的证据。为了成功实现这一点，RSU可以在存储之前更改数据，即，在接收到来自车辆的响应之后，或者在存储之后改变数据 基于这种可能性，应该在存储之前和存储之后保证对FAV生成的数据的端到端保护，以防止这种更改。为了在发生事故时保护车辆生成的数据的完整性，车辆提供的响应需要在区块链存储之前由其他RSU重新评估为了实现这一点，一旦挑战者评估了车辆提供的响应，挑战者就会将此响应和作为单个交易发送到区块链的挑战广播。 在收到此交易后，其他RSU必须首先验证挑战者和响应者的合法性。 在成功验证后，他们会根据挑战评估从车辆收到的响应，以确保其与挑战者的评估一致。有关重新评估过程的具体详情载于第4节。最后，为了防止数据在存储后发生任何更改，需要区块链来确保车辆生成并由RSU处理的数据的不变性通过这种方式，车辆生成的所有数据都按时间顺序链接在一个链中，其中更改任何数据都会损害链的一致性。我们提出的解决方案考虑了许可区块链的使用。在我们之前的提案[9]中，我们采用了一个名为Speedychain的定制区块链框架[11]。该框架使用了一个可追加的区块概念，它从交易中提取区块头，因此使区块链管理器，即， 运输和法律当局，以存储链下交易，而不影响区块的完整性。然而，在本文中，我们将WIDE定义为区块链不可知的解决方案，任何提供此类功能的区块链实例都可以采用我们的解决方案。具体而言，我们专注于车辆与受限制股份单位之间的数据管理，以及为车辆建立声誉，以便在作出责任决策时亦可考虑车辆的声誉。3.3.2. 证人数据用于裁定目的这项工作的主要目的是确保从证人那里收到的数据是可信的，以便作出赔偿责任的决定。 为此，有必要确定证人的可信度，并利用这一信息选择高度可信的证人提供的数据，以便利责任决定。在这里，我们依靠的完整性评估建议参考。 [9]记录车辆通过或未通过完整性评估的次数。 拥有该记录使得WIDE能够获得可信度评估概率（CAP），该可信度评估概率（CAP）可以告知裁判员基于车辆的历史行为从车辆获得可信数据的可能性。然而，虽然CAP提出了一个有用的方法来确定一辆车有多好或多坏已经超时，我们认为，它并不代表一个整体的解决方案，分类车辆作为诚实的责任归属的目的。 这是因为与RSU进行完整性评估的交互较少的新进入车辆总是被认为比在车辆网络中存在更长时间的车辆更可信，RSU交互更多。这种可能性引入了公平性挑战，因为CAP不考虑车辆在网络中存在了因此，需要一种替代方法，该方法还考虑了车辆在其运行寿命期间与RSU的相互作用次数为此，我们结合了一个声誉管理系统，该系统还考虑了车辆与RSU的交互次数，以确定车辆的可信度4. WIDE体系结构和攻击模型为了实现上一节所述的关键安全功能，我们将描述用于防止路边单位篡改车辆提供的证据并建立证人可信度以进行责任归属的机制。当车辆进入RSU的通信范围时，该协议被初始化此时，车辆在其范围内时，通过响应RSU发起的质询来证明其内部传感器状态的完整性每当车辆进入任何RSU的通信范围时，该操作将继续，并且确定车辆传感器的完整性的能力确保在事故发生时，可以依赖这种车辆生成的数据来做出责任决定。4.1. 完整性评估为了确定目击车辆传输到路边单元的数据的完整性，我们采用了两级完整性评估，以确保目击车辆在发生事故时传输的数据与路边单元存储在区块链中的数据一致。 第一级完整性评估遵循B-FERL中所述的方法，即在车辆连接到路边单元时评估车辆内部控制的完整性。另一方面，第二级完整性评估确保由见证车辆传输的数据不能被流氓路边单元改变。具体而言，它确保见证车辆传输的数据与路边单元存储的数据一致。在下文中，我们将详细描述两级完整性评估。4.1.1. 一级这遵循了参考文献1中描述的过程[9]在车辆运行时跟踪车辆传感器的变化，包括维修技术人员在维护期间执行的变化 该过程由注册协议启动，该注册协议计算车辆中所有传感器的Merkle树根值，即，所有传感器的累积散列值，并允许为车辆网络中的车辆创建公钥，其中BRMS由运输和法律机构管理。在注册期间计算的Merkle树根值现在表示车辆的状态，并且当车辆通过质询-响应机制到达RSU的覆盖区域时用于验证车辆的状态，然后存储在BRMS中的公钥用于验证车辆的身份。 当服务技术人员对车辆进行维护时，例如更新车辆中的设备/传感器，将导出车辆的新Merkle树根值，并更新其在区块链中的状态。因此，为了成功评估车辆内部控制的完整性，车辆将在车辆网络中注册。注册过程由车辆制造商发起，该车辆制造商在车辆制造时计算所有电子控制单元（ECU）的累积散列值以获得Merkle树根值，该Merkle树根值与每个ECU的散列值一起发送到注册机构，并用于在车辆网络中创建车辆的公共记录。当车辆进行维护或诊断时，注册机构还在车辆网络中更新Merkle树根值使用此Merkle根值，路边单元通过挑战车辆来评估车辆电子控制的完整性，以证明其内部控制的状态，当涉及到路边单元的覆盖区域时。 这个挑战是随机和静态的，因为车辆需要重新计算Merkle树根值，并提供随机选择的ECU的哈希值。一旦车辆提供了对挑战的响应，路边单元就会将计算值与启用区块链的车辆网络中存在的值进行比较评估，以确保一致性，从而确定车辆的完整性状态。如果数值一致，则车辆被认为是可信的，否则被认为是恶意的。C. Oham等人区块链：研究与应用3（2022）1000506¼Re.ID'id路边单元和车辆之间的质询-响应（C Re）数据交换是多签名（双签名）事务，当车辆进入其覆盖区域时由路边单元发起，并且当车辆计算其对质询的响应时由该交易通过路边单元和证人车辆的签名来验证其合法性，并通过哈希函数来检测潜在的更改。挑战-响应数据的内容如下所示。首先，我们依赖于自车辆投入运营以来存储在区块链中的第一级评估的全部输出为了确保最近的交互更相关，我们引入了老化权重（α）以减少过去数据的影响，并进一步引入加权因子，在发生事故时，根据车辆与路边单元的交互次数对提供证据的车辆进行比较评估，以进行完整性评估。在发生事故时有n辆车在场，我们C¼[ T | C| TS1|PK| Sig|不|T|TS2| PK|PK|Sig（1）计算具有k1个相互作用的车辆（v）的加权因子（β）因此：其中，T_id是事务标识符，其是由路边单元生成的质询的内容的散列值，包括质询（C）、时间戳（TS 1），其表示质询何时被发送。βk1k1k2k3（二）生成的公共密钥、路边单元的公共密钥（PKR）和路边单元的签名（SigR）。T'id是新的事务标识符，我们现在可以将信誉函数表示为如下，以便计算v的声誉得分。响应由车辆产生它是T的哈希值，意外ID. Xk！由 车 辆 生 成 的 数 据 （ AD ） 、 TS 2 、 车 辆 的 公 钥 （ PKV ） 及 其 签 名（SigR），其中，TS 2表示生成交易的时间。Repv¼t1/2βt：αp-k：x别墅（3）4.1.2. 二级第二级完整性评估在执行第一级评估后建立见证车辆数据的可信度这里的假设是，在第一级评估后，受损的路边单元可能会改变车辆数据的因此，为了减轻这种情况，由车辆响应于挑战而生成的响应由多个RSU重新评估，以确保与路边单元存储的内容一致。第二级评估在第一级评估之后立即开始。 路边单元将多重签名交易广播到其他路边单元进行验证，然后将其存储在区块链中。事务的验证包括验证多重签名事务中的签名、重新计算T'id以及对事务的有效性进行投票 对于投票，我们采用pBFT协议，如果受损路边单元的数量低于投票者数量的三分之一，则交易成功验证。在通过验证其签名并确认其公钥在区块链车辆网络中的存在来确认车辆的合法性后，他们评估多重签名交易的完整性，以确保它没有被更改。为了实现这一点，路边单元通过获取多重签名事务的散列并将其与多重签名事务中的T'id进行比较来 如果值一致，则成功执行重新评估，否则将检测到数据更改。接下来，路边单元对其交易的有效性进行投票，并且只要在不一致的T'id值中所反映的受损路边单元的数量低于pBFT阈值，则交易被认为是有效的并存储在区块链中。因此，通过确定多重签名交易的完整性，我们可以确保车辆生成的数据在存储之前不会被路边单元更改。4.2. 声誉管理为了建立证人的可信度，以确定责任归属，我们采用了声誉管理计划，跟踪车辆超时的行为我们依赖第一级完整性评估的结果，以追踪车辆通过或未通过完整性评估的时间长短反映车辆的良好或不良程度为了计算车辆的信誉分数，进行以下考虑：（1）信誉计算的输入需要表明信誉是聚合车辆历史信息的结果。(2)汇总过程必须考虑到，最近的一级完整性评估互动比过去更相关。(3)对信誉函数的输入还需要反映车辆在车辆网络中是新的还是已经存在超时。x¼ 。如 果 阳 性 相 互 作 用 n ，则为 x阳性 ; 否 则 为x 阴 性（ 4）其中βt是加权因子，x是第一级完整性评估的当前输出，xpos 为0且xpos>0。

下载后可阅读完整内容，剩余1页未读，立即下载