随着自动驾驶汽车(AV)的快速部署，各类针对AV的网络攻击已成为当前基础设施中最大的网络安全攻击面之一。AV子系统——激光雷达(LiDAR)、毫米波雷达、摄像头、全球定位系统(GPS)、控制器局域网(CAN)总线及车联万物(V2X)通信——均存在独立的可被利用的攻击向量，威胁乘客安全与交通秩序。集中式机器学习虽已被用于入侵检测，但隐私问题、可扩展性限制以及对量子赋能对手的易感性，推动了联邦学习(FL)作为一种分布式方案的受关注。一方面，运行在基于RSA和椭圆曲线密码(ECC)协议上的车辆将因量子效应变得不安全，这促使了对量子密钥分发(QKD)、后量子密码(PQC)[7]或现有系统替代方案的需求。这项开创性工作提出了专门针对AV网络安全的量子联邦学习(QFL)研究综述。贡献包括：(i)用于AV攻击优先级排序的多维风险矩阵；(ii)FL-IDS部署差距的交叉研究综合；(iii)QKD、PQC及量子安全过渡混合模型的比较分析；(iv)包含七个待解决差距议程的QFL参考架构构建；(v)结构化的2025–2030路线图。分析表明，单独的FL或其量子安全方案均非严格充分，二者结合点——QFL——是保障自动驾驶汽车安全最紧迫的前进方向。

论文主体内容总结如下：

背景

全球自动驾驶汽车市场预计2030年将超过6000亿美元，Waymo、Cruise、特斯拉、百度Apollo、Mobileye等企业的商业化部署已在全球主要城市落地。自动驾驶的产业化使其从计算机科学研究领域转变为安全攸关的公共基础设施挑战。国际标准化组织(ISO)与美国汽车工程师学会(SAE)联合制定的SAE J3016标准将驾驶自动化分为6级，从L0（无自动化）到L5（完全自动驾驶），每提升一个等级，车辆的计算复杂度、传感器集成深度及外部网络连接性均显著增加，导致攻击面同步扩大。AV系统的安全-安保关联最早在文献中被系统记录，Cui等人对网络入侵如何通过操控转向、制动和加速控制回路直接转化为物理伤害进行了调研。多起高关注度事故印证了这一关联的严峻性：2018年亚利桑那州坦佩市一辆处于自动驾驶模式的Uber沃尔沃XC90因车载机器学习检测系统对行人状态连续帧分类冲突致行人死亡；2023年旧金山一起Cruise自动驾驶出租车碾压并拖行行人事故，凸显了感知、传感器融合与V2X安全消息传递同时失效时的棘手危害。这些事故不仅推动现有安全机制的演进，更要求对AV系统级安全进行重新架构。

已有大量综述刻画了AV网络安全威胁态势，Kim等人分析了超过100篇文献中的各类攻击方法与对应防御机制，最终得出单一防御机制不足的结论；Pham和Xiong将分析扩展到网联汽车，指出基于5G新空口(NR)的蜂窝车联网(C-V2X)标准化集成提升了通信效用，但也扩大了协议层攻击面；Sheehan等人构建了网联自动驾驶汽车的初始网络风险分类法，指出不同SAE自动化等级的风险特征存在显著差异；Chowdhury等人证明AV机器学习感知管道对对抗性扰动攻击极为易感，视觉输入的不可察觉修改会导致安全攸关的目标检测任务系统性误分类。

联邦学习(FL)是在AV生态中实现分布式隐私保护入侵检测的成熟框架。由McMahan等人形式化的FedAvg算法及Kone?ny等人奠定理论基础，FL允许车队在不传输原始传感器或通信数据至中心服务器的情况下协作训练全局检测模型。每辆车仅基于本地数据训练模型，仅将生成的模型参数更新——梯度或权重——发送至聚合服务器计算加权平均。该框架尊重数据主权，相比原始数据流模式节省带宽，且避免了集中式学习机构普遍存在的单点妥协风险。Li等人详细梳理了FL的方法论挑战，发现强不收敛、非独立同分布(non-IID)数据是最突出的阻碍，这与AV场景中车辆行驶于不同地理与交通环境、生成本质异构的本地数据分布的现实高度相关。

现有FL架构的AV安全收益尚未得到充分解决，存在三个主要局限未被满意解决。首先是基于Bonawitz等人的安全聚合协议，其仅提供计算安全性——即基于特定数学问题对多项式时间对手的难解性，这类安全保障在能够利用秀尔算法(Shor's algorithm)分解底层迪菲-赫尔曼密钥协商的量子能力对手面前会彻底失效。其次，FL中的拜占庭容错——识别并移除提交投毒梯度更新的恶意客户端——已在通用FL抽象场景中得到研究，但尚未在实时、资源受限的汽车部署环境中得到验证，此类环境中车队规模常达数万辆以上。第三，Zhao等人形式定义的非独立同分布数据问题在基于FL的AV入侵检测系统(IDS)提案中被忽视，多数方案使用仅3–20辆车的极简化实验设置，而非商业发布所展示的数百或数千辆车规模。

与此同时，量子计算对车载密码学的威胁已从理论关切转为工程紧迫事项。支撑当前V2X安全标准（包括IEEE 1609.2和ETSI ITS-G5）的RSA和椭圆曲线密码(ECC)所依赖的大整数分解和离散对数问题，均可被运行在容错量子计算机上的秀尔算法以多项式时间O((log N)³)高效求解。IBM 2023年的Condor 1121量子位处理器及后续的Heron r2架构展示了量子硬件的发展轨迹。美国国家标准与技术研究院(NIST)后量子密码标准化进程(2016–2024)产出了三个主要标准——FIPS 203(ML-KEM)、FIPS 204(ML-DSA)和FIPS 205(SLH-DSA)——直接回应了预期中密码相关量子计算机(CRQC)带来的密码威胁。

在车载场景下，Zeydan等人分析了V2X安全管理系统的PQC部署考量；Castiglione和Elia演示了PQC与CAN总线网络分段集成，在ARM Cortex-M4硬件上实现了3.2毫秒延迟的认证信道建立；Verma等人提出了面向车载自组织网络(VANET)的量子安全无证书认证。然而，这类研究仅将PQC视为独立于分布式学习基础设施的端点层挑战，而后者正是AV系统的决策核心。据作者所知，目前尚无研究涉及PQC与FL聚合协议的集成——确保模型参数交换对纠缠态和量子能力设备实现计算私密性。

量子密钥分发(QKD)通过量子力学原理实现信息论安全性而非仅计算安全性，是一种互补路径。Fowler等人演示了距离达10公里的V2I通信通过QKD生成实用密钥；Conrad等人提出了通过无人机中继量子收发器的移动平台QKD拓扑。但部署障碍——即QKD的点对点拓扑约束、对大气衰减的敏感性，以及无法达到专用短程通信(DSRC)基本安全消息频率所需每消息V2V认证能力的密钥生成速率——将其当前适用范围限制在基础设施层面，而非每消息认证。

FL与量子计算的交叉领域——量子联邦学习(QFL)——相对未被探索，却可能是AV安全未来研究最重要的方向。Biamonte等人证明量子算法可为特定机器学习优化问题带来超多项式加速；Majumder等人提出了一种混合经典-量子深度学习方法，在对抗攻击下提升了AV交通图像分类的对抗鲁棒性；Wang提出了面向自动驾驶安全的概念性QFL架构。但目前尚无公开研究在实际汽车硬件上、在真实车队条件、攻击场景和量子硬件噪声模型下实现并验证QFL系统。这种介于理论前景与实际验证之间的落地差距，构成了本分析性综述的核心动因。

已识别的研究空白

现有FL应用于AV安全的研究多为描述性——总结所采用的方法和报告的指标（准确率、F1分数），而未分析特定条件下方法成功或失败的基础、实际部署中违反的假设，或不同范式研究结果之间的相互作用。FL-AV研究社区与量子安全-AV研究社区基本平行发展，交叉引用极少且无统一框架，FL研究者通常未利用PQC方案设计成果，FL与QKD文献间也鲜有交叉，这种孤岛效应使得尽管QFL交叉领域重要性明确，却仍结构性空白。大多数现有FL-IDS解决方案在3–20辆车的简化网络拓扑上、基于传统数据集验证，未表征模拟条件与真实AV部署间的差距——后者涉及数百至数千辆车、实时电子控制单元(ECU)延迟预算、异构硬件和动态V2X连接。现有文献未提供涵盖QKD、NIST PQC标准、混合PQC+ECC方法及量子机器学习(Quantum ML)的综合技术评估，以匹配汽车硬件部署约束（ECU计算限制、认证延迟预算、监管认证时间表），这类评估是指导投资和标准化决策的必要条件。

研究目标

设计多维框架对AV网络安全威胁按传感器、机器学习、通信和基础设施层进行主题分类与分析排序，同时考虑文献中出现频率、安全影响严重程度可能性、检测难度、缓解成熟度指数（如适用）及FL特定漏洞暴露。批判性评估广泛的FL-AV IDS提案，围绕车队规模可部署性、拜占庭容错、非独立同分布数据鲁棒性、汽车硬件可行性和隐私保障等维度，按趋同性限制分组而非按顺序总结个体研究。比较QKD、NIST标准化PQC（CRYSTALS-Kyber、CRYSTALS-Dilithium和FALCON）、混合PQC+ECC及量子机器学习方法对汽车部署约束的适配性，产出技术就绪水平(TRL)评估以确定过渡优先级。追溯FL-量子计算交叉领域的循证研究空白，提出面向AV IDS的QFL参考架构，并制定解决七个已识别空白的结构化2025–2030研究路线图。

研究贡献

包含五个分析维度的6×5多维攻击面风险矩阵，量化AV威胁，为安全研究与投资决策提供循证优先级框架。对十项FL-AV IDS研究的关键比较综合，从七个部署相关维度评估，区别于描述性既往综述。覆盖七种路径的量子安全过渡分析，含TRL评级和汽车部署时间评估，支持明智的技术选型决策。面向AV IDS的四层QFL参考架构，集成量子安全聚合、CRYSTALS-Dilithium梯度认证和量子Krum拜占庭过滤。结构化研究议程，识别七个具体、基于证据的空白，以及衔接现有文献与标准化QFL部署的分阶段2025–2030开发路线图。

方法细节

背景与技术基础

研究框架包含三个核心支柱——AV威胁态势、联邦学习和量子计算——及其子域，交汇于面向AV IDS的QFL参考架构。

自动驾驶汽车架构

自动驾驶汽车按SAE J3016分为六个驾驶自动化等级。感知层集成了最高20Hz生成三维点云的激光雷达、用于视觉目标识别的单目与立体摄像头、恶劣天气下速度估计的毫米波雷达、定位的全球定位系统与惯性测量单元(IMU)，以及近距离障碍物检测的超声波传感器。这些传感器模态通过深度神经网络——摄像头输入常用卷积神经网络(CNN)，激光雷达点云常用PointNet或VoxelNet变体——融合生成实时世界模型，为规划与控制决策提供依据。每辆车拥有受控于CAN总线协议的内部通信架构，连接负责发动机管理、电子制动系统(ABS、ESC)、转向指令、安全气囊激活指令及传感器数据检索的电子控制单元(ECU)。1986年设计的CAN总线协议专为汽车电气噪声环境下的可靠性打造，但不提供源认证、消息加密和访问控制：总线上所有节点可同时收发所有消息。现代车辆集成70–100余个ECU，跨多个CAN网段互联，构成广泛未认证的内部通信网络。较新的车载网络标准——CAN FD、FlexRay、汽车以太网和MOST——提供了更高带宽，但尚未从根本上解决安全攸关消息交换的认证漏洞。

车联万物(V2X)外部通信层涵盖V2V、V2I、V2P、V2N和V2C交互模式。两个竞争标准主导V2V/V2I的物理层和媒体访问控制(MAC)层：DSRC（IEEE 802.11p/WAVE/1609.x）和C-V2X（3GPP LTE-V2X和5G NR-V2X）。两者均以10Hz频率发送基本安全消息(BSM)，包含车辆位置、速度、航向和加速度状态——形成实时行为广播，一旦被攻破，可实现被动交通监控和主动攻击注入。该多层暴露特性驱动了本综述分析的多技术防御路径。

SAE自动化等级与攻击面扩张

SAE自动化等级与攻击面的关系是非线性的。L0–L1级攻击面局限于车载诊断(OBD)-II诊断端口、基础远程信息通信单元和胎压监测系统(TPMS)——均为低带宽、低频攻击向量，安全后果有限。L2–L3级是SAE分类法中最重要的安全阈值：持续传感器融合、实时机器学习推理、基于摄像头的感知系统和初步V2X连接。L3有条件自动化模式下人机信任动态最为复杂，因为存在人和机器均可能不完全掌握彼此态势状态的控制权交接期。L4–L5级车辆将人完全移出控制回路，此时机器学习模型完整性和通信安全成为系统安全运行唯一保障。分析显示，从L2级开始，传感器、网络和机器学习攻击面呈超线性增长，而物理攻击面仅缓慢增长，这对各自动化等级的防御技术优先级选择有直接指导意义。

网络安全威胁分类法

现有文献已全面编目AV威胁，本分析的独特贡献是根据这些威胁与FL防御及量子时代密码学漏洞的交互进行分层，这是既往综述缺失的分析视角。

传感器层攻击

传感器欺骗攻击利用AV传感模式的物理转导原理。Eykholt等人证明，对抗构造的物理扰动——贴在停车标志上的小贴纸——会导致ResNet风格分类器反复误分类，首次引入了AV感知的物理世界对抗攻击类别。Cao等人演示了通过合成激光脉冲注入的激光雷达欺骗，可在车辆点云中制造幻影目标或移除真实障碍物。Zeng等人证明，使用总成本低于500美元的商用硬件即可将AV导航重定向至任意位置。传感器欺骗攻击对基于FL的AV系统具有特殊相关性：其代表了一种间接毒化FL模型的机制——若车队中某辆车传感器被攻破，其本地训练数据将被污染，导致投毒的对抗梯度更新毒化聚合后的全局模型，即便该车辆的FL客户端软件未被修改。

对抗性机器学习攻击

AV机器学习系统的对抗攻击是综述中演化最快、技术最复杂的威胁类别。Goodfellow等人证明了不可察觉的无穷范数(L_∞-norm)扰动应用于神经网络输入时会导致灾难性误分类，由此引入快速梯度符号法(FGSM)。Chowdhury等人针对AV场景开发了神经网络模型，列出了针对目标检测（标签切换）、语义分割（道路边界移除）和轨迹预测（虚假速度估计）的多类对抗攻击。针对FL-AV安全的威胁还包括数据投毒攻击，恶意FL客户端提交带有意图的对抗梯度更新以破坏全局模型。Blanchard等人证明，100个客户端中的单个拜占庭客户端即可使FedAvg全局模型变得任意恶意，确立了该类攻击的普遍严重性。

通信层攻击

V2X通信攻击利用车载网络的广播架构和现行标准的认证局限性。Sanchez等人阐释了针对AV控制系统的重放攻击并提出了QP V观察者检测机制。Pham和Xiong描述了基于LTE的C-V2X拒绝服务(DoS)攻击，通过软件中断队列饱和导致摄像头和雷达模块失效。虽然向5G NR-V2X的迁移增强了核心网认证，但在NSMF和V2X应用服务器层引入了新的攻击面，Korba等人在其5G V2X网络零日攻击检测工作中指出了这一点。

车内网络攻击

CAN总线攻击利用协议固有的源认证缺失特性。Miller和Valasek在标志性Jeep切诺基研究中演示了通过OBD-II端口配合Uconnect信息娱乐系统入侵，获得转向、制动和加速的完全CAN总线控制权。攻击范围涵盖从插入高频随机CAN消息以探测ECU内存损坏漏洞的模糊测试，到注入特定仲裁ID的定向恶意消息以绕过安全攸关控制功能。Petit和Shladover报告了针对AV ECU的固件级漏洞利用，可在车辆断电重启后存活，普通诊断扫描工具无法发现——这是一类具有低检测概率、高影响的特别隐蔽攻击。

联邦学习用于自动驾驶安全

数学形式化

FL框架将分布式模型训练表述为跨K个参与车辆客户端的最小化全局目标函数：F(w)=Σ(k=1 to K) λ_k·L_k(w)，其中w表示全局模型参数，λ_k是客户端k的相对权重，与其本地数据集大小n_k成正比，L_k(w)是在客户端k数据上评估的本地损失函数。每个参与车辆在向中心聚合服务器传输参数更新前执行T轮本地随机梯度下降(SGD)：w_k^(t+1)=w_k^(t)?η·?L_k(w_k^(t))，其中η为学习率。FedAvg聚合规则将全局模型更新构建为客户端贡献的加权和：w^(t+1)=Σ(k=1 to K) λ_k·w_k^(t+1)。在有监督入侵检测（攻击类标签可用）中，本地目标采用二元交叉熵损失；在零日异常检测（攻击标签不可用）中，采用基于自动编码器的重构损失：L_k^recon(w)=(1/n_k) Σ_i||x_i^(k)?x?_i^(k)||²。FedAvg的一个关键理论局限是隐含假设客户端间梯度差异有界，Li等人通过梯度散度度量E[||?L_k??F||²]形式化地量化了这一约束，确立当客户端数据分布高度异构——这在地理分散的AV车队中是结构性常态——时，FedAvg可能收敛到远离真实全局最优的解。

FL中的隐私与安全机制

Bonawitz等人的安全聚合协议通过成对秘密共享掩码方案扩展了基础FL，防止中心服务器恢复个体客户端梯度，同时保留正确的全局聚合。但该协议仅提供计算安全性——对受限于经典多项式时间计算的对手安全，但对能够通过秀尔算法解决底层迪菲-赫尔曼问题的量子对手脆弱。差分隐私(DP)由Dwork等人形式化并由Abadi等人应用于深度学习，提供了一种互补的数学隐私保障：聚合模型输出揭示任何个体训练样本信息的概率受隐私预算ε约束。Tian等人将标准DP扩展到考虑AV传感器数据时间和空间相关性的相关噪声模型，指出同一车辆连续的CAN总线帧在统计上是相关的，标准DP中的独立高斯噪声注入会高估所需噪声量级。但Tian等人的分析表明，隐私预算ε<1.0的相关DP会在零日检测任务上引入约2–4个百分点的准确率下降，形成了限制高隐私部署场景的隐私-效用权衡。

用于AV IDS的FL架构

FL-IDS文献探索了三种主要架构变体。集中式FL（带可信聚合服务器的标准FedAvg）实现最简单，但将信任和漏洞集中在服务器端。层级FL——在全局聚合之前引入中间集群聚合步骤——由Althunayyan等人提出，作为提升拜占庭容错能力和降低大规模车队每轮通信负载的机制。去中心化FL采用基于八卦协议的P2P聚合而无中心服务器，由Pandi等人在车载网络连通性约束背景下考察。每种架构变体在通信效率、拜占庭容错、收敛速度和单点故障暴露间存在不同的权衡。

量子计算用于自动驾驶安全

量子对车载密码学的威胁

当前车载通信系统的安全基础设施建立在两大计算困难假设之上：支撑RSA的大整数分解问题和支撑ECC、迪菲-赫尔曼和DSA的离散对数问题。秀尔算法在容错量子计算机上以多项式时间O((log N)³)运行，使这两类问题都可被高效求解，从而破解作为IEEE 1609.2 V2V证书管理和ETSI ITS-G5 V2X安全基础的RSA-2048和ECC-256。格罗弗算法为非结构化搜索提供二次加速，将对称加密方案的有效比特强度减半；AES-128在格罗弗攻击下降至约64比特等效安全，需要迁移到AES-256。先收集后解密威胁模型对AV车队运营商具有即时相关性：对手今天收集加密的V2X流量、OTA固件升级通道和遥测数据流，可在密码相关量子计算机(CRQC)可用时对这批数据进行追溯解密。对于生成15–20年硬件生命周期内持续位置历史和行为画像的AV系统，无论CRQC可用的精确时间线如何，这一威胁都是即时存在的。NIST 2024年定稿PQC标准正是明确受此收集-解密威胁模型驱动。

量子密钥分发

量子密钥分发通过利用测量未知量子态会不可逆地干扰它的量子力学原理，提供信息论安全性——即对抗任意计算能力（包括量子计算机）对手的安全性。BB84协议使两个通信方能够通过将比特值编码在光子偏振态中来建立共享密码密钥。窃听尝试会干扰量子态并提高量子比特错误率(QBER)：QBER(ε)=d/c，其中d为检测到的比特不匹配数，c为采样的比较比特数。如果ε超过安全阈值（BB84通常为11%），密钥交换中止并重启。量子力学的不可克隆定理保证了对手无法在不引入可检测干扰的情况下拦截和复制传输的量子比特：?U使得对所有|ψ?都有U(|ψ??|0?)=|ψ??|ψ?。这种不可能性直接挫败了对QKD会话的重放和中间人攻击。量子纠缠提供了额外的安全原语：E91协议利用贝尔不等式违背来验证信道完整性；任何敌对方篡改都会破坏纠缠相关性，并使CHSH参数S的测量值降至量子界限2√2以下。Fowler等人演示了面向V2I通信的QKD衍生密钥生成，在5公里距离上使用铟镓砷单光子雪崩二极管实现了约2kbps的密钥速率。Conrad等人通过无人机中继量子信道将QKD扩展到车载移动平台，证明了城市环境中的移动密钥分发可行性。三项部署障碍值得强调：QKD的点对点拓扑与V2V通信的一对多BSM广播架构不兼容，除非有可信中继基础设施；自由空间光QKD性能在雾、雨和颗粒物条件下显著下降——这是AV必须常规应对的运行环境；1–100kbps的密钥生成速率不足以支持DSRC BSM 10Hz频率、350字节消息的每消息V2V认证，后者至少需要约28kbps的认证吞吐量。因此，QKD最适合定位为面向基础设施到车队会话的长期密钥建立机制，而非每消息V2X安全原语。

后量子密码：标准与汽车部署

NIST PQC标准化进程(2016–2024)产出了四项直接适用于AV安全的首要标准。FIPS 203（ML-KEM，基于CRYSTALS-Kyber）提供基于格的密钥封装，在ARM Cortex-M4硬件上于NIST安全等级3（128比特后量子安全）下与ECC性能相当。FIPS 204（ML-DSA，基于CRYSTALS-Dilithium）提供基于格的数字签名，在Cortex-M4上验证延迟约4毫秒。FIPS 205（SLH-DSA，基于SPHINCS+）提供基于哈希的无状态签名，具有更强的安全假设但更大的签名尺寸。FIPS 206（FN-DSA，基于FALCON）提供紧凑的NTRU格签名，但需要浮点硬件，并非在所有汽车ECU设计中普遍存在。Castiglione和Elia演示了CRYSTALS-Kyber与CAN总线网络分段的集成，在ARM Cortex-M4上实现了3.2毫秒的认证信道建立——这一结果直接证明了PQC可在当前延迟预算内部署于汽车级嵌入式硬件。Zeydan等人分析了V2X安全凭证管理系统(SCMS)中的PQC部署，指出从基于ECC到基于PQC的证书基础设施迁移，需要协调更新注册机构、假名证书机构和证书撤销列表管理系统——这一组织层面的迁移挑战在复杂性和耗时上可能超过算法层面的技术转换。Verma等人及混合方案分析考察的混合PQC+ECC方法提供了一种务实的过渡策略：在双证书方案中结合ECC与基于格的PQC签名，可在迁移期间同时抵御经典和量子对手，代价是约两倍的签名验证开销。该方法符合NIST迁移指南，正日益被纳入ETSI TC ITS正在考虑的V2X安全标准草案中。

量子联邦学习用于AV安全：架构与分析

QFL的理论动因

量子联邦学习是量子计算的计算和密码能力与FL训练范式的原理性集成，在AV安全语境下有三大独立理论动因。一是本地模型训练的量子加速：Biamonte等人在《自然》综述中证明，量子近似优化算法(QAOA)和变分量子本征求解器(VQE)等量子算法可为与FL训练相关的特定机器学习优化问题带来超多项式加速。对于本地梯度计算占每轮FL主要计算瓶颈的AV ECU，即使是多项式量子加速也能支持更频繁的全局模型更新，提升系统对新兴攻击模式的响应能力。二是量子安全梯度传输：Bonawitz等人的安全聚合协议为梯度交换提供计算安全性，但对量子对手脆弱。QKD安全梯度传输提供信息论安全性：任何任意计算能力的对手都无法在不引入可检测干扰的情况下拦截QKD安全信道中的梯度信息。对于模型参数编码安全攸关检测逻辑的AV FL系统，这种从计算安全性到信息论安全性保障的转变，构成了系统级安全态势的质变。三是量子增强拜占庭检测：经典拜占庭鲁棒聚合规则——Krum、Trimmed Mean、Bulyan——需要O(n²)的成对梯度距离计算（n为客户端数），使其在超过数百辆车的车队规模下计算不可行。量子距离估计算法可在O(√n)时间内评估成对距离，使1000–10000辆规模的车队能在汽车延迟预算内实现每轮拜占庭过滤。

QFL参考架构

QFL参考架构包含四层垂直的车内分层视角。第一层枚举提供原始数据的物理传感器和ECU硬件（激光雷达、CAN总线、GPS/IMU、V2X无线电、OBD-II）。第二层详述车内本地FL训练流水线（LSTM自动编码器IDS、异常评分、DP噪声注入、梯度量化）。第三层规定应用于出站梯度传输的量子安全机制（QKD密钥分发、CRYSTALS-Dilithium签名、量子Krum拜占庭过滤）。第四层确定构成服务器端操作的全局聚合功能（FedAvg、模型验证、威胁情报广播）。本地训练层纳入梯度量化——通过自适应量化将32位浮点梯度压缩为8位整数表示——在不造成统计显著准确率下降的前提下将每轮通信开销减少约4倍。每个量化梯度包在传输前使用CRYSTALS-Dilithium签名，提供后量子认证，防范那些攻破了V2X通信信道但未攻破车辆签名密钥的对手发起的梯度注入攻击。拜占庭过滤模块应用量子Krum——Krum聚合规则的量子加速变体——利用量子距离估计算法以O(√n)时间评估梯度成对相似性，相比经典Krum的O(n²)实现约30倍加速（针对1000辆车队）。QKD模块为梯度传输信道建立会话密钥；在缺乏量子网络基础设施的部署环境中，该模块可优雅回退到使用CRYSTALS-Kyber+ECC-384的混合PQC+ECC密钥封装。

研究空白、未来方向与路线图

系统性的交叉研究分析识别出FL-量子交叉领域面向AV安全的七个具体、基于证据的研究空白。RG1：缺乏在真实汽车硬件上验证的QFL。尚无已发表研究在实际汽车硬件（包括ECU平台、V2X无线电模块或量子安全路侧单元）上实现并验证QFL系统，现有方案多使用IBM Qiskit量子模拟环境，未捕获含噪声中等规模量子(NISQ)时代的硬件热退相干、门错误率、量子位连接限制和编译开销。RG2：车队规模的量子拜占庭容错。经典拜占庭鲁棒聚合规则尚未设计为在量子安全聚合信道上运行或纳入量子验证原语，且经典Krum的O(n²)复杂度在千辆级以上车队中不可行。RG3：FL-AV安全的标准化基准。现有文献使用至少六种不同数据集，无标准化的FL训练/测试划分策略、拜占庭客户端注入协议或延迟报告的硬件参考平台，导致表观性能差异可能源于配置而非架构优势。RG4：汽车ECU上的能耗与延迟剖析。尚无FL-IDS研究报告真实汽车硬件上的能耗或热预算合规性，量子辅助本地训练引入的量子电路编译、经典-量子数据传输和基于采样的测量结果开销需量化。RG5：跨层安全组合。现有文献将PQC部署、FL模型训练和车内网络安全视为独立关切，未评估一层漏洞如何跨层传播，需开发适配汽车场景的多层AV安全架构形式化安全组合定理。RG6：监管与标准对齐。现行ISO/SAE 21434:2021、UNECE WP.29法规第155号及ETSI EN 303 097均未涉及联邦学习或量子安全机制，FL-IDS的认证路径未定义。RG7：自适应攻击者下的纵向对抗鲁棒性。所有现有FL-IDS研究均在静态威胁模型下评估检测性能，未开展多智能体强化学习(MARL)对手模型驱动的纵向评估，跟踪FL-IDS在多轮自适应对抗共演化中的检测性能。

结构化研究路线图(2025–2030)

第一阶段(2025–2026)——基础与基准：开发AV-SecBench联邦安全基准套件；在NXP S32G(5W)和NVIDIA DRIVE Orin(60W)平台上进行现有FL-IDS架构的能耗与延迟剖析；在FedAvg聚合服务器软件中原型化混合PQC+ECC梯度签名；启动与ISO TC22/SC32及UNECE WP.29/GRVA工作组关于FL-AV安全认证框架的正式接洽。第二阶段(2026–2028)——QFL原型开发：使用IBM Quantum或IonQ后端上的变分量子电路，实现面向CAN总线异常检测的NISQ时代QFL原型，在配置可调拜占庭客户端注入的AV-SecBench上验证；开发和评估100–1000辆车队规模的量子Krum拜占庭检测算法；在50辆车硬件在环测试床上演示QKD安全梯度聚合；发布基于MARL的自适应攻击者框架下的纵向对抗鲁棒性评估。第三阶段(2028–2030)——集成与监管验证：使用通用可组合性框架开发组合QFL+PQC+CAN-IDS系统的形式化跨层安全组合分析；向UNECE WP.29提交QFL-AV安全框架文档供监管审议；目标将QFL/PQC梯度认证纳入IEEE P1609.2b标准扩展，用于V2X安全凭证管理；目标到2030年由ETSI或ISO标准化QFL保护的AV车队安全管理协议。

讨论

推论1——模拟到现实的差距是该领域主要的方法论缺陷。FL-AV IDS文献报告的优异基准性能（已知CAN总线攻击检测F1分数超0.99，IoV异常检测准确率99.2%）均是在与运营AV部署系统性不同的实验条件下获得的。综述研究使用的3–20辆车实验规模、离线平衡数据集和静态威胁模型，不能代表商业AV部署的异构、对抗性和延迟约束条件。任何综述研究都未表征基准与部署条件间的性能增量，构成了根本的可复现性和有效性关切。高影响力未来研究应优先开展在真实车队规模下的硬件验证、纵向评估系统，而非在现有数据集上取得增量基准性能提升。

推论2——AV量子安全需要组合式路径。分析确立没有任何单一量子安全技术能在所有部署约束下覆盖完整的AV威胁态势。QKD为密钥建立提供信息论安全性，但无法扩展到每消息V2V认证。PQC在汽车延迟预算内提供可部署的认证和签名验证量子抗性，但仅提供计算安全性而非信息论安全性。量子机器学习提供潜在的检测准确率提升，但需要容错量子处理器，在5年部署时间线内不可用。第5节提出的QFL架构实施组合式路径——PQC用于凭证管理（TRL 6–7，近期）、QKD用于聚合信道会话密钥（TRL 3–4，中期）、量子优化用于FL收敛加速（TRL 2–3，长期）——将每种量子能力匹配到其在现实部署时间线内提供最大实用效益的AV安全层。

推论3——AV FL中的拜占庭威胁比通用FL中性质更严重。通用FL中的拜占庭攻击分析假设恶意客户端故意提交对抗梯度更新。在AV FL中，威胁模型在三个方面结构更复杂：传感器欺骗攻击可在不修改客户端FL软件的情况下，诱导原本诚实客户端的梯度等价毒化；对地理集群车辆的协调物理攻击可同时攻破层级FL中的多个客户端；AV应用的安全攸关后果意味着即使1%的拜占庭影响导致的检测准确率下降，也可能导致未能检测到具有致命后果的实时攻击事件。这些AV特定威胁特征促使需要开发专用的量子加速拜占庭检测算法，