江榮旺 魏爽

摘 要：該文簡述了車網(wǎng)聯(lián)中假名變更的必要性，對當(dāng)前車聯(lián)網(wǎng)中假名變更策略進(jìn)行了深入研究，并從安全性、代價等方面對當(dāng)前的假名變更策略進(jìn)行評價，指出當(dāng)前假名變更策略存在的問題，方便以后在部署車聯(lián)網(wǎng)的過程中，能夠選擇或制定出更優(yōu)化、更安全的假名變更策略，確保車聯(lián)網(wǎng)安全可靠。最后，重點介紹了當(dāng)前假名變更研究現(xiàn)狀，以及未解決的問題和未來的發(fā)展方向。

關(guān)鍵詞：假名變更;語法鏈接攻擊;語義鏈接攻擊;車聯(lián)網(wǎng)技術(shù);無線電靜默;隱私安全

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：2095-1302（2020）10-00-03

0 引 言

在過去的10年里，車聯(lián)網(wǎng)的發(fā)展越來越受到人們的關(guān)注。車聯(lián)網(wǎng)技術(shù)的發(fā)展主要用于提高道路安全和交通效率。車聯(lián)網(wǎng)中不僅車輛之間進(jìn)行通信，路邊基礎(chǔ)設(shè)施也會與車輛進(jìn)行通信，這些通信能夠有效地提高道路安全和交通效率。車輛與車輛、車輛與基礎(chǔ)設(shè)施的通信能夠提高道路安全和交通效率的主要原因是通信信息里面包含了車輛的標(biāo)識、位置、速度等內(nèi)容，這些內(nèi)容對智能交通系統(tǒng)產(chǎn)生了巨大的影響。然而，這些信息通過車聯(lián)網(wǎng)傳遞也造成了安全威脅。攻擊者可以利用它們來對車輛進(jìn)行未經(jīng)授權(quán)的位置跟蹤。由于車聯(lián)網(wǎng)無線介質(zhì)的性質(zhì)，攻擊者可很輕松地竊聽網(wǎng)絡(luò)的消息。車輛位置跟蹤侵犯了駕駛員的隱私，可能會對駕駛員造成傷害。而通過假名認(rèn)證方法可以有效解決隱私威脅。要使假名認(rèn)證方法有效的前提是要對假名進(jìn)行變更。而假名變更方法能夠保護(hù)車輛的位置隱私主要取決于兩個因素。

（1）假名變更的頻率，即假名變更的頻率越高，車輛的位置隱私保護(hù)的等級越高。但是，由于假名是車輛間通信中的標(biāo)識，所以較高頻率的假名更改會對車聯(lián)網(wǎng)通信性能產(chǎn)生負(fù)面影響。

（2）假名之間的不可鏈接性，這要求同一輛車的兩個假名之間沒有關(guān)聯(lián)。

對過去的文獻(xiàn)研究發(fā)現(xiàn)，簡單的變更假名并不能有效地保護(hù)用戶的位置隱私，因為通過語法鏈接攻擊和語義鏈接攻擊就能破解簡單的假名變更;而有效的假名變更策略才能防止這些攻擊。假名變更策略的目的是確定車輛應(yīng)在何處、何時以及如何變更假名才能保證假名之間的不可鏈接性。而本文就是對現(xiàn)有的假名變更策略進(jìn)行綜述，對當(dāng)前策略進(jìn)行分析比較，從安全性、代價等方面對當(dāng)前的假名變更策略進(jìn)行評價，指出當(dāng)前假名變更策略存在的問題。

1 假名變更策略概述

假名變更的目的是保護(hù)車輛的隱私安全，而假名變更策略的主要目的是保證車輛在變更假名以后，假名之間不可鏈接性。在查閱了大量文獻(xiàn)以后，發(fā)現(xiàn)關(guān)于假名變更策略的研究已經(jīng)提出了很多。現(xiàn)在有的假名變更策略可以分成兩大類：

（1）基于混合區(qū)域的假名變更策略;

（2）基于混合上下文的假名變更策略。

1.1 假名變更策略簡介

假名是車輛在車聯(lián)網(wǎng)中的虛擬標(biāo)識符。在車聯(lián)網(wǎng)中每輛車都使用一組假名，每個假名都有使用時限，在使用時限到期前，車輛需要變更假名。只有在追究責(zé)任的時候，才能知道車輛的真實標(biāo)識符與其假名之間的聯(lián)系。假名的生成需要證書頒發(fā)機構(gòu)來生成，證書頒發(fā)機構(gòu)可以是政府運輸當(dāng)局，也可以是某汽車制造商之一，并負(fù)責(zé)證書的管理。為了同時確保認(rèn)證和匿名性，每個注冊車輛最初都配備了一組假名和一個基本標(biāo)識符。

通過文獻(xiàn)知道，當(dāng)前有很多針對假名變更的研究，這些研究主要集中在假名變更的有效性方面。而有效性研究的內(nèi)容主要有以下兩個方面：

（1）跟蹤者使用的跟蹤技術(shù);

（2）車輛被成功跟蹤的比率。

在車聯(lián)網(wǎng)中用于跟蹤車輛的技術(shù)有：隱式馬爾可夫鏈模型算法、基于貝葉斯決策算法、多假設(shè)跟蹤算法和最鄰近數(shù)據(jù)算法等。比如：基于貝葉斯決策算法在跟蹤者僅控制道路交叉口的一半時，則成功跟蹤到目標(biāo)車輛的概率將達(dá)到90%;而多假設(shè)跟蹤算法是與卡爾曼濾波器相結(jié)合使用來跟蹤車輛，根據(jù)文獻(xiàn)可知，多假設(shè)跟蹤算法在全局被動跟蹤的情況下跟蹤成功率接近100%。由于跟蹤效率之高，所以研究假名變更策略就成為車聯(lián)網(wǎng)中解決隱私安全的當(dāng)務(wù)之急。假名變更策略主要研究內(nèi)容是車輛在何時何地變更假名的問題。而要解決何時何地變更假名的問題，首先要了解假名變更對手攻擊模型。

1.2 假名變更對手攻擊模型

在車聯(lián)網(wǎng)中，攻擊模式有很多，如：拒絕服務(wù)攻擊、女巫攻擊、中間人攻擊、黑洞攻擊、虛假信息注入、GPS欺騙等。這些攻擊都會對車聯(lián)網(wǎng)安全造成不可預(yù)料的后果。而對于隱私安全的攻擊，主要的攻擊模型有兩種：語法鏈接攻擊和語義鏈接攻擊。

1.2.1 語法鏈接攻擊

假名的語法鏈接攻擊模型如圖1所示。圖1中，車輛經(jīng)過Δt時間后，在道路上行駛的三輛汽車中只有一輛汽車（B）更改了其假名（從B1到B2），那么對跟蹤者來說可以輕松地將假名B1和B2鏈接起來，這樣跟蹤者還是很容易就能跟蹤車輛B的行駛路徑，從而對其行蹤進(jìn)行分析，獲得其位置隱私。當(dāng)然對于語法鏈接攻擊來說，可以通過使用假名變更同步機制來執(zhí)行針對此類攻擊。假名變更同步機制即是在某車輛進(jìn)行假名變更的同時，其他車輛也同步變更假名，這樣跟蹤者就沒有辦法通過語法攻擊來跟蹤車輛的行動路徑。

1.2.2 語義鏈接攻擊

語義鏈接攻擊比語法鏈接更強大，因為語義鏈接攻擊者可以訪問到車聯(lián)網(wǎng)中的安全信息，依靠安全消息中包含的車輛的行駛方向、速度和位置信息來鏈接假名。例如，跟蹤者可以使用基于貝葉斯決策算法或隱式馬爾可夫鏈模型算法之類的跟蹤方法預(yù)測車輛的下一個位置?；谠擃A(yù)測，將車輛假名進(jìn)行鏈接，從而將同一車輛的兩個假名鏈接起來，效果如圖2所示。即使圖2中所示的三個車輛（A，B和C）同時更改其假名，對手也可以鏈接假名B1和B2。而針對語義鏈接攻擊，則可以通過在一段時間內(nèi)阻止對手訪問安全消息來防止攻擊，也就是在更換假名的時候產(chǎn)生靜默期，使跟蹤者訪問不到車輛的信息。

1.3 假名變更策略的度量指標(biāo)

度量指標(biāo)用來度量假名變更策略所實現(xiàn)的位置隱私保護(hù)級別。筆者通過文獻(xiàn)了解到假名變更策略的主要度量指標(biāo)有假名集的大小、是否加密和是否無線電靜默等。接下來對這些度量指標(biāo)進(jìn)行介紹。

1.3.1 假名集

假名集的大小是指攻擊目標(biāo)所在的區(qū)域內(nèi)，車輛數(shù)量的多少。車輛越多，所能實現(xiàn)的位置隱私保護(hù)的級別就越高。然而由于使用假名集無法描述某些車輛比其他車輛更可能成為目標(biāo)的敵手的先驗知識，所以在很多的假名變更策略研究中引入了假名集的熵代替假名集大小來評價策略的保護(hù)級別。假名集的熵表示車輛被跟蹤的概率。在假名集的熵中可以描述車輛可能成為目標(biāo)的先驗知識。

1.3.2 加密

對信息進(jìn)行加密是保護(hù)信息安全的重要措施。信息的加密和解密是同時出現(xiàn)的。在車聯(lián)網(wǎng)中，如果對信息進(jìn)行加密，那么要讀取信息就要進(jìn)行解密。當(dāng)車流量很大的時候，信息的加解密就需要進(jìn)行大量的計算，而這不利于實時的安全應(yīng)用。所以是否需要對信息加密也是假名變更策略度量指標(biāo)之一。

1.3.3 無線電靜默

無線電靜默是指在某個特定的時間，車輛停止廣播信標(biāo)。車輛廣播的信標(biāo)包含車輛的速度、方向和位置，但車輛停止廣播信標(biāo)時，智能交通系統(tǒng)和其他車輛將不能接收到車輛的信息，而這有可能會引起交通事故，造成損失。所以也將是否需要無線電靜默作為車輛的假名變更策略度量指標(biāo)之一。

當(dāng)然像對手的成功率、最大跟蹤時間等數(shù)據(jù)也是假名變更策略的重要度量指標(biāo)。

2 假名變更策略研究進(jìn)展

目前，假名變更策略主要有以下兩種：

（1）基于混合區(qū)域的假名變更策略;

（2）基于混合上下文的假名變更策略。

在基于混合區(qū)域的假名變更策略中，車輛在預(yù)先設(shè)定的道路區(qū)域，即混合區(qū)域更改其假名?；诨旌仙舷挛牡募倜兏呗耘c基于混合區(qū)域的假名變更策略不同，基于混合上下文的假名變更策略中的每輛車不再受區(qū)域的影響，車輛可以獨立確定何時何地更改其假名。準(zhǔn)確地說，混合上下文定義為在車輛之間同步假名變化的任何情況或機會。然后，僅當(dāng)車輛找到混合上下文時，車輛才會更改其假名。接下來對當(dāng)前比較流行的幾種假名變更策略進(jìn)行深入討論。

2.1 基于加密混合區(qū)域假名變更策略

基于加密混合區(qū)域的假名變更策略要求進(jìn)入?yún)^(qū)域的車輛對廣播的消息進(jìn)行加密的道路區(qū)域。這種區(qū)域一般設(shè)置在道路十字路口或三叉路口。車輛在該區(qū)域內(nèi)更改其假名，并使用路邊設(shè)施分發(fā)的共享密鑰來加密車輛廣播的消息。每個路口都配備有路邊基礎(chǔ)設(shè)施，路邊基礎(chǔ)設(shè)施會定期廣播通知以告知車輛加密混合區(qū)域的存在。車輛收到此類通知后，會向路邊基礎(chǔ)設(shè)施發(fā)送消息以請求加密密鑰。路邊基礎(chǔ)設(shè)施收到請求后，便立即將加密密鑰提供給車輛，并等待車輛的確認(rèn)。如果車輛很好地接收到了鑰匙，它將向路邊基礎(chǔ)設(shè)施發(fā)送確認(rèn)，并使用該鑰匙開始對其安全消息進(jìn)行加密。當(dāng)然車輛還必須在加密混合區(qū)域內(nèi)更改其假名。加密安全消息的主要原因是防止考慮的外部攻擊者讀取其內(nèi)容。

基于加密混合區(qū)域假名變更策略如圖3所示。此策略能夠有效地解決語法鏈接攻擊和語義鏈接攻擊，但是此策略存在以下問題：當(dāng)假名集特別大時，策略的安全性似乎特別高。但是，由于此策略涉及到加密解密，當(dāng)假名集特別大時，路邊基礎(chǔ)設(shè)施需要進(jìn)行大量的計算，而這不利于實時的車聯(lián)網(wǎng)。所以此策略并不適合大假名集的路口。

2.2 基于社交場所的假名變更策略

基于社交場所的假名變更策略如圖4所示。社交場所主要是指有紅綠信號燈的交叉路口或大型的停車場。在基于社交場所的假名變更策略中，分為小型社交場所和大型社交場所。其中有信號燈的路口為小型社交場所，而大型停車場等為大型社交場所。在小型社交場所中，當(dāng)交通信號燈由紅燈變綠燈時，社交場所內(nèi)的所有車輛同時變更其假名。此策略雖然能夠有效地防止語法鏈接攻擊，但是由于在小型社交場所中，車輛依然在廣播其信標(biāo)，所以攻擊者還是可以通過語義鏈接攻擊來跟蹤車輛的位置。而對于大型社交場所而言，由于其應(yīng)用場景的限制，所以此策略應(yīng)用范圍有限。

2.3 基于城市區(qū)域的假名變更策略

基于城市區(qū)域的假名變更策略如圖5所示。該策略的應(yīng)用場景為城市交叉路口，能夠確保假名變更時，假名集足夠大。此策略要求路邊基礎(chǔ)設(shè)施在交通信號燈為紅色時，在道路的交叉路口創(chuàng)建靜默混合區(qū)，并廣播通知車輛靜默區(qū)開始的位置。當(dāng)車輛進(jìn)入靜默區(qū)域時，車輛停止信標(biāo)的廣播，同時車輛變更或者變換其假名。當(dāng)交通信號燈變綠燈時，車輛繼續(xù)廣播信標(biāo)。此策略能夠確保假名集的大小和無線電靜默，但是需要在交叉路口創(chuàng)建靜默期，而根據(jù)調(diào)查發(fā)現(xiàn)，在交叉路口發(fā)生交通事故的可能也是最高。所以此策略也將降低道路的安全性。同時，由于交叉路口的限制，此策略很容易受到FIFO算法的攻擊。

3 結(jié) 語

假名變更策略是車聯(lián)網(wǎng)隱私安全的重要組成部分。本文研究車聯(lián)網(wǎng)中相關(guān)假名變更策略，并對當(dāng)前比較流行的假名變更策略進(jìn)行比較，指出當(dāng)前假名變更策略的優(yōu)勢、代價和不足。雖然假名變更策略還存在問題需要繼續(xù)改進(jìn)，但是希望此文能為以后的假名變更策略研究和實施提供幫助。

參考文獻(xiàn)

[1]張剛，石潤華，仲紅.車載自組織網(wǎng)絡(luò)中基于身份的匿名認(rèn)證方案[J].計算機工程與應(yīng)用，2016，52（17）：101-106.

[2]趙建杰，谷大武，胡學(xué)先.基于PKI的認(rèn)證密鑰協(xié)商協(xié)議可證明安全理論研究[J].密碼學(xué)報，2014，1（6）：551-567.

[3] SOMMER C，DRESSLER F. Vehicular networking [M]. Cambridge： Cambridge University Press，2015.

[4] KARAGIANNIS G，ALTINTAS O，EKICI E，et al. Vehicular networking： a survey and tutorial on requirements，architectures，challenges，standards and solutions [J]. IEEE communications surveys and tutorials，2011，13（4）： 584-616.

[5] SOMMER C，ECKHOFF D，DRESSLER F. IVC in cities：signal attenuation by buildings and how parked cars can improve the situation [J]. IEEE transactions on mobile computing，2014，13（8）： 1733-1745.

[6]鄭卜毅.基于勢博弈理論的新型網(wǎng)絡(luò)應(yīng)用的激勵機制研究[D].杭州：浙江工商大學(xué)，2018.

[7]李磊.多用戶公鑰可搜索加密中訪問控制的研究[D].南京：南京理工大學(xué)，2018.

[8]程慶豐，阮展靖，張瑞杰.對三個無雙線性對的密鑰協(xié)商協(xié)議分析[J].信息網(wǎng)絡(luò)安全，2019，19（1）：16-26.

[9]屈娟，馮玉明，李艷平，等.可證明安全的面向無線傳感器網(wǎng)絡(luò)的三因素認(rèn)證及密鑰協(xié)商方案[J].通信學(xué)報，2018，38（z2）：189-197.

[10]張佳妮，何德彪，李莉.基于區(qū)塊鏈的物聯(lián)網(wǎng)密鑰協(xié)商協(xié)議[J].中興通訊技術(shù)，2018，24（6）：23-27.