車(chē)聯(lián)網(wǎng)中假名變更策略研究綜述

江榮旺 魏爽

摘 要：該文簡(jiǎn)述了車(chē)網(wǎng)聯(lián)中假名變更的必要性，對(duì)當(dāng)前車(chē)聯(lián)網(wǎng)中假名變更策略進(jìn)行了深入研究，并從安全性、代價(jià)等方面對(duì)當(dāng)前的假名變更策略進(jìn)行評(píng)價(jià)，指出當(dāng)前假名變更策略存在的問(wèn)題，方便以后在部署車(chē)聯(lián)網(wǎng)的過(guò)程中，能夠選擇或制定出更優(yōu)化、更安全的假名變更策略，確保車(chē)聯(lián)網(wǎng)安全可靠。最后，重點(diǎn)介紹了當(dāng)前假名變更研究現(xiàn)狀，以及未解決的問(wèn)題和未來(lái)的發(fā)展方向。

關(guān)鍵詞：假名變更;語(yǔ)法鏈接攻擊;語(yǔ)義鏈接攻擊;車(chē)聯(lián)網(wǎng)技術(shù);無(wú)線電靜默;隱私安全

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-1302（2020）10-00-03

0 引 言

在過(guò)去的10年里，車(chē)聯(lián)網(wǎng)的發(fā)展越來(lái)越受到人們的關(guān)注。車(chē)聯(lián)網(wǎng)技術(shù)的發(fā)展主要用于提高道路安全和交通效率。車(chē)聯(lián)網(wǎng)中不僅車(chē)輛之間進(jìn)行通信，路邊基礎(chǔ)設(shè)施也會(huì)與車(chē)輛進(jìn)行通信，這些通信能夠有效地提高道路安全和交通效率。車(chē)輛與車(chē)輛、車(chē)輛與基礎(chǔ)設(shè)施的通信能夠提高道路安全和交通效率的主要原因是通信信息里面包含了車(chē)輛的標(biāo)識(shí)、位置、速度等內(nèi)容，這些內(nèi)容對(duì)智能交通系統(tǒng)產(chǎn)生了巨大的影響。然而，這些信息通過(guò)車(chē)聯(lián)網(wǎng)傳遞也造成了安全威脅。攻擊者可以利用它們來(lái)對(duì)車(chē)輛進(jìn)行未經(jīng)授權(quán)的位置跟蹤。由于車(chē)聯(lián)網(wǎng)無(wú)線介質(zhì)的性質(zhì)，攻擊者可很輕松地竊聽(tīng)網(wǎng)絡(luò)的消息。車(chē)輛位置跟蹤侵犯了駕駛員的隱私，可能會(huì)對(duì)駕駛員造成傷害。而通過(guò)假名認(rèn)證方法可以有效解決隱私威脅。要使假名認(rèn)證方法有效的前提是要對(duì)假名進(jìn)行變更。而假名變更方法能夠保護(hù)車(chē)輛的位置隱私主要取決于兩個(gè)因素。

（1）假名變更的頻率，即假名變更的頻率越高，車(chē)輛的位置隱私保護(hù)的等級(jí)越高。但是，由于假名是車(chē)輛間通信中的標(biāo)識(shí)，所以較高頻率的假名更改會(huì)對(duì)車(chē)聯(lián)網(wǎng)通信性能產(chǎn)生負(fù)面影響。

（2）假名之間的不可鏈接性，這要求同一輛車(chē)的兩個(gè)假名之間沒(méi)有關(guān)聯(lián)。

對(duì)過(guò)去的文獻(xiàn)研究發(fā)現(xiàn)，簡(jiǎn)單的變更假名并不能有效地保護(hù)用戶(hù)的位置隱私，因?yàn)橥ㄟ^(guò)語(yǔ)法鏈接攻擊和語(yǔ)義鏈接攻擊就能破解簡(jiǎn)單的假名變更;而有效的假名變更策略才能防止這些攻擊。假名變更策略的目的是確定車(chē)輛應(yīng)在何處、何時(shí)以及如何變更假名才能保證假名之間的不可鏈接性。而本文就是對(duì)現(xiàn)有的假名變更策略進(jìn)行綜述，對(duì)當(dāng)前策略進(jìn)行分析比較，從安全性、代價(jià)等方面對(duì)當(dāng)前的假名變更策略進(jìn)行評(píng)價(jià)，指出當(dāng)前假名變更策略存在的問(wèn)題。

1 假名變更策略概述

假名變更的目的是保護(hù)車(chē)輛的隱私安全，而假名變更策略的主要目的是保證車(chē)輛在變更假名以后，假名之間不可鏈接性。在查閱了大量文獻(xiàn)以后，發(fā)現(xiàn)關(guān)于假名變更策略的研究已經(jīng)提出了很多?，F(xiàn)在有的假名變更策略可以分成兩大類(lèi)：

（1）基于混合區(qū)域的假名變更策略;

（2）基于混合上下文的假名變更策略。

1.1 假名變更策略簡(jiǎn)介

假名是車(chē)輛在車(chē)聯(lián)網(wǎng)中的虛擬標(biāo)識(shí)符。在車(chē)聯(lián)網(wǎng)中每輛車(chē)都使用一組假名，每個(gè)假名都有使用時(shí)限，在使用時(shí)限到期前，車(chē)輛需要變更假名。只有在追究責(zé)任的時(shí)候，才能知道車(chē)輛的真實(shí)標(biāo)識(shí)符與其假名之間的聯(lián)系。假名的生成需要證書(shū)頒發(fā)機(jī)構(gòu)來(lái)生成，證書(shū)頒發(fā)機(jī)構(gòu)可以是政府運(yùn)輸當(dāng)局，也可以是某汽車(chē)制造商之一，并負(fù)責(zé)證書(shū)的管理。為了同時(shí)確保認(rèn)證和匿名性，每個(gè)注冊(cè)車(chē)輛最初都配備了一組假名和一個(gè)基本標(biāo)識(shí)符。

通過(guò)文獻(xiàn)知道，當(dāng)前有很多針對(duì)假名變更的研究，這些研究主要集中在假名變更的有效性方面。而有效性研究的內(nèi)容主要有以下兩個(gè)方面：

（1）跟蹤者使用的跟蹤技術(shù);

（2）車(chē)輛被成功跟蹤的比率。

在車(chē)聯(lián)網(wǎng)中用于跟蹤車(chē)輛的技術(shù)有：隱式馬爾可夫鏈模型算法、基于貝葉斯決策算法、多假設(shè)跟蹤算法和最鄰近數(shù)據(jù)算法等。比如：基于貝葉斯決策算法在跟蹤者僅控制道路交叉口的一半時(shí)，則成功跟蹤到目標(biāo)車(chē)輛的概率將達(dá)到90%;而多假設(shè)跟蹤算法是與卡爾曼濾波器相結(jié)合使用來(lái)跟蹤車(chē)輛，根據(jù)文獻(xiàn)可知，多假設(shè)跟蹤算法在全局被動(dòng)跟蹤的情況下跟蹤成功率接近100%。由于跟蹤效率之高，所以研究假名變更策略就成為車(chē)聯(lián)網(wǎng)中解決隱私安全的當(dāng)務(wù)之急。假名變更策略主要研究?jī)?nèi)容是車(chē)輛在何時(shí)何地變更假名的問(wèn)題。而要解決何時(shí)何地變更假名的問(wèn)題，首先要了解假名變更對(duì)手攻擊模型。

1.2 假名變更對(duì)手攻擊模型

在車(chē)聯(lián)網(wǎng)中，攻擊模式有很多，如：拒絕服務(wù)攻擊、女巫攻擊、中間人攻擊、黑洞攻擊、虛假信息注入、GPS欺騙等。這些攻擊都會(huì)對(duì)車(chē)聯(lián)網(wǎng)安全造成不可預(yù)料的后果。而對(duì)于隱私安全的攻擊，主要的攻擊模型有兩種：語(yǔ)法鏈接攻擊和語(yǔ)義鏈接攻擊。

1.2.1 語(yǔ)法鏈接攻擊

假名的語(yǔ)法鏈接攻擊模型如圖1所示。圖1中，車(chē)輛經(jīng)過(guò)Δt時(shí)間后，在道路上行駛的三輛汽車(chē)中只有一輛汽車(chē)（B）更改了其假名（從B1到B2），那么對(duì)跟蹤者來(lái)說(shuō)可以輕松地將假名B1和B2鏈接起來(lái)，這樣跟蹤者還是很容易就能跟蹤車(chē)輛B的行駛路徑，從而對(duì)其行蹤進(jìn)行分析，獲得其位置隱私。當(dāng)然對(duì)于語(yǔ)法鏈接攻擊來(lái)說(shuō)，可以通過(guò)使用假名變更同步機(jī)制來(lái)執(zhí)行針對(duì)此類(lèi)攻擊。假名變更同步機(jī)制即是在某車(chē)輛進(jìn)行假名變更的同時(shí)，其他車(chē)輛也同步變更假名，這樣跟蹤者就沒(méi)有辦法通過(guò)語(yǔ)法攻擊來(lái)跟蹤車(chē)輛的行動(dòng)路徑。

1.2.2 語(yǔ)義鏈接攻擊

語(yǔ)義鏈接攻擊比語(yǔ)法鏈接更強(qiáng)大，因?yàn)檎Z(yǔ)義鏈接攻擊者可以訪問(wèn)到車(chē)聯(lián)網(wǎng)中的安全信息，依靠安全消息中包含的車(chē)輛的行駛方向、速度和位置信息來(lái)鏈接假名。例如，跟蹤者可以使用基于貝葉斯決策算法或隱式馬爾可夫鏈模型算法之類(lèi)的跟蹤方法預(yù)測(cè)車(chē)輛的下一個(gè)位置?；谠擃A(yù)測(cè)，將車(chē)輛假名進(jìn)行鏈接，從而將同一車(chē)輛的兩個(gè)假名鏈接起來(lái)，效果如圖2所示。即使圖2中所示的三個(gè)車(chē)輛（A，B和C）同時(shí)更改其假名，對(duì)手也可以鏈接假名B1和B2。而針對(duì)語(yǔ)義鏈接攻擊，則可以通過(guò)在一段時(shí)間內(nèi)阻止對(duì)手訪問(wèn)安全消息來(lái)防止攻擊，也就是在更換假名的時(shí)候產(chǎn)生靜默期，使跟蹤者訪問(wèn)不到車(chē)輛的信息。

1.3 假名變更策略的度量指標(biāo)

度量指標(biāo)用來(lái)度量假名變更策略所實(shí)現(xiàn)的位置隱私保護(hù)級(jí)別。筆者通過(guò)文獻(xiàn)了解到假名變更策略的主要度量指標(biāo)有假名集的大小、是否加密和是否無(wú)線電靜默等。接下來(lái)對(duì)這些度量指標(biāo)進(jìn)行介紹。

1.3.1 假名集

假名集的大小是指攻擊目標(biāo)所在的區(qū)域內(nèi)，車(chē)輛數(shù)量的多少。車(chē)輛越多，所能實(shí)現(xiàn)的位置隱私保護(hù)的級(jí)別就越高。然而由于使用假名集無(wú)法描述某些車(chē)輛比其他車(chē)輛更可能成為目標(biāo)的敵手的先驗(yàn)知識(shí)，所以在很多的假名變更策略研究中引入了假名集的熵代替假名集大小來(lái)評(píng)價(jià)策略的保護(hù)級(jí)別。假名集的熵表示車(chē)輛被跟蹤的概率。在假名集的熵中可以描述車(chē)輛可能成為目標(biāo)的先驗(yàn)知識(shí)。

1.3.2 加密

對(duì)信息進(jìn)行加密是保護(hù)信息安全的重要措施。信息的加密和解密是同時(shí)出現(xiàn)的。在車(chē)聯(lián)網(wǎng)中，如果對(duì)信息進(jìn)行加密，那么要讀取信息就要進(jìn)行解密。當(dāng)車(chē)流量很大的時(shí)候，信息的加解密就需要進(jìn)行大量的計(jì)算，而這不利于實(shí)時(shí)的安全應(yīng)用。所以是否需要對(duì)信息加密也是假名變更策略度量指標(biāo)之一。

1.3.3 無(wú)線電靜默

無(wú)線電靜默是指在某個(gè)特定的時(shí)間，車(chē)輛停止廣播信標(biāo)。車(chē)輛廣播的信標(biāo)包含車(chē)輛的速度、方向和位置，但車(chē)輛停止廣播信標(biāo)時(shí)，智能交通系統(tǒng)和其他車(chē)輛將不能接收到車(chē)輛的信息，而這有可能會(huì)引起交通事故，造成損失。所以也將是否需要無(wú)線電靜默作為車(chē)輛的假名變更策略度量指標(biāo)之一。

當(dāng)然像對(duì)手的成功率、最大跟蹤時(shí)間等數(shù)據(jù)也是假名變更策略的重要度量指標(biāo)。

2 假名變更策略研究進(jìn)展

目前，假名變更策略主要有以下兩種：

（1）基于混合區(qū)域的假名變更策略;

（2）基于混合上下文的假名變更策略。

在基于混合區(qū)域的假名變更策略中，車(chē)輛在預(yù)先設(shè)定的道路區(qū)域，即混合區(qū)域更改其假名。基于混合上下文的假名變更策略與基于混合區(qū)域的假名變更策略不同，基于混合上下文的假名變更策略中的每輛車(chē)不再受區(qū)域的影響，車(chē)輛可以獨(dú)立確定何時(shí)何地更改其假名。準(zhǔn)確地說(shuō)，混合上下文定義為在車(chē)輛之間同步假名變化的任何情況或機(jī)會(huì)。然后，僅當(dāng)車(chē)輛找到混合上下文時(shí)，車(chē)輛才會(huì)更改其假名。接下來(lái)對(duì)當(dāng)前比較流行的幾種假名變更策略進(jìn)行深入討論。

2.1 基于加密混合區(qū)域假名變更策略

基于加密混合區(qū)域的假名變更策略要求進(jìn)入?yún)^(qū)域的車(chē)輛對(duì)廣播的消息進(jìn)行加密的道路區(qū)域。這種區(qū)域一般設(shè)置在道路十字路口或三叉路口。車(chē)輛在該區(qū)域內(nèi)更改其假名，并使用路邊設(shè)施分發(fā)的共享密鑰來(lái)加密車(chē)輛廣播的消息。每個(gè)路口都配備有路邊基礎(chǔ)設(shè)施，路邊基礎(chǔ)設(shè)施會(huì)定期廣播通知以告知車(chē)輛加密混合區(qū)域的存在。車(chē)輛收到此類(lèi)通知后，會(huì)向路邊基礎(chǔ)設(shè)施發(fā)送消息以請(qǐng)求加密密鑰。路邊基礎(chǔ)設(shè)施收到請(qǐng)求后，便立即將加密密鑰提供給車(chē)輛，并等待車(chē)輛的確認(rèn)。如果車(chē)輛很好地接收到了鑰匙，它將向路邊基礎(chǔ)設(shè)施發(fā)送確認(rèn)，并使用該鑰匙開(kāi)始對(duì)其安全消息進(jìn)行加密。當(dāng)然車(chē)輛還必須在加密混合區(qū)域內(nèi)更改其假名。加密安全消息的主要原因是防止考慮的外部攻擊者讀取其內(nèi)容。

基于加密混合區(qū)域假名變更策略如圖3所示。此策略能夠有效地解決語(yǔ)法鏈接攻擊和語(yǔ)義鏈接攻擊，但是此策略存在以下問(wèn)題：當(dāng)假名集特別大時(shí)，策略的安全性似乎特別高。但是，由于此策略涉及到加密解密，當(dāng)假名集特別大時(shí)，路邊基礎(chǔ)設(shè)施需要進(jìn)行大量的計(jì)算，而這不利于實(shí)時(shí)的車(chē)聯(lián)網(wǎng)。所以此策略并不適合大假名集的路口。

2.2 基于社交場(chǎng)所的假名變更策略

基于社交場(chǎng)所的假名變更策略如圖4所示。社交場(chǎng)所主要是指有紅綠信號(hào)燈的交叉路口或大型的停車(chē)場(chǎng)。在基于社交場(chǎng)所的假名變更策略中，分為小型社交場(chǎng)所和大型社交場(chǎng)所。其中有信號(hào)燈的路口為小型社交場(chǎng)所，而大型停車(chē)場(chǎng)等為大型社交場(chǎng)所。在小型社交場(chǎng)所中，當(dāng)交通信號(hào)燈由紅燈變綠燈時(shí)，社交場(chǎng)所內(nèi)的所有車(chē)輛同時(shí)變更其假名。此策略雖然能夠有效地防止語(yǔ)法鏈接攻擊，但是由于在小型社交場(chǎng)所中，車(chē)輛依然在廣播其信標(biāo)，所以攻擊者還是可以通過(guò)語(yǔ)義鏈接攻擊來(lái)跟蹤車(chē)輛的位置。而對(duì)于大型社交場(chǎng)所而言，由于其應(yīng)用場(chǎng)景的限制，所以此策略應(yīng)用范圍有限。

2.3 基于城市區(qū)域的假名變更策略

基于城市區(qū)域的假名變更策略如圖5所示。該策略的應(yīng)用場(chǎng)景為城市交叉路口，能夠確保假名變更時(shí)，假名集足夠大。此策略要求路邊基礎(chǔ)設(shè)施在交通信號(hào)燈為紅色時(shí)，在道路的交叉路口創(chuàng)建靜默混合區(qū)，并廣播通知車(chē)輛靜默區(qū)開(kāi)始的位置。當(dāng)車(chē)輛進(jìn)入靜默區(qū)域時(shí)，車(chē)輛停止信標(biāo)的廣播，同時(shí)車(chē)輛變更或者變換其假名。當(dāng)交通信號(hào)燈變綠燈時(shí)，車(chē)輛繼續(xù)廣播信標(biāo)。此策略能夠確保假名集的大小和無(wú)線電靜默，但是需要在交叉路口創(chuàng)建靜默期，而根據(jù)調(diào)查發(fā)現(xiàn)，在交叉路口發(fā)生交通事故的可能也是最高。所以此策略也將降低道路的安全性。同時(shí)，由于交叉路口的限制，此策略很容易受到FIFO算法的攻擊。

3 結(jié) 語(yǔ)

假名變更策略是車(chē)聯(lián)網(wǎng)隱私安全的重要組成部分。本文研究車(chē)聯(lián)網(wǎng)中相關(guān)假名變更策略，并對(duì)當(dāng)前比較流行的假名變更策略進(jìn)行比較，指出當(dāng)前假名變更策略的優(yōu)勢(shì)、代價(jià)和不足。雖然假名變更策略還存在問(wèn)題需要繼續(xù)改進(jìn)，但是希望此文能為以后的假名變更策略研究和實(shí)施提供幫助。

參考文獻(xiàn)

[1]張剛，石潤(rùn)華，仲紅.車(chē)載自組織網(wǎng)絡(luò)中基于身份的匿名認(rèn)證方案[J].計(jì)算機(jī)工程與應(yīng)用，2016，52（17）：101-106.

[2]趙建杰，谷大武，胡學(xué)先.基于PKI的認(rèn)證密鑰協(xié)商協(xié)議可證明安全理論研究[J].密碼學(xué)報(bào)，2014，1（6）：551-567.

[3] SOMMER C，DRESSLER F. Vehicular networking [M]. Cambridge： Cambridge University Press，2015.

[4] KARAGIANNIS G，ALTINTAS O，EKICI E，et al. Vehicular networking： a survey and tutorial on requirements，architectures，challenges，standards and solutions [J]. IEEE communications surveys and tutorials，2011，13（4）： 584-616.

[5] SOMMER C，ECKHOFF D，DRESSLER F. IVC in cities：signal attenuation by buildings and how parked cars can improve the situation [J]. IEEE transactions on mobile computing，2014，13（8）： 1733-1745.

[6]鄭卜毅.基于勢(shì)博弈理論的新型網(wǎng)絡(luò)應(yīng)用的激勵(lì)機(jī)制研究[D].杭州：浙江工商大學(xué)，2018.

[7]李磊.多用戶(hù)公鑰可搜索加密中訪問(wèn)控制的研究[D].南京：南京理工大學(xué)，2018.

[8]程慶豐，阮展靖，張瑞杰.對(duì)三個(gè)無(wú)雙線性對(duì)的密鑰協(xié)商協(xié)議分析[J].信息網(wǎng)絡(luò)安全，2019，19（1）：16-26.

[9]屈娟，馮玉明，李艷平，等.可證明安全的面向無(wú)線傳感器網(wǎng)絡(luò)的三因素認(rèn)證及密鑰協(xié)商方案[J].通信學(xué)報(bào)，2018，38（z2）：189-197.

[10]張佳妮，何德彪，李莉.基于區(qū)塊鏈的物聯(lián)網(wǎng)密鑰協(xié)商協(xié)議[J].中興通訊技術(shù)，2018，24（6）：23-27.