車聯網中假名變更策略研究綜述

江榮旺 魏爽

摘 要：該文簡述了車網聯中假名變更的必要性，對當前車聯網中假名變更策略進行了深入研究，并從安全性、代價等方面對當前的假名變更策略進行評價，指出當前假名變更策略存在的問題，方便以后在部署車聯網的過程中，能夠選擇或制定出更優化、更安全的假名變更策略，確保車聯網安全可靠。最后，重點介紹了當前假名變更研究現狀，以及未解決的問題和未來的發展方向。

關鍵詞：假名變更;語法鏈接攻擊;語義鏈接攻擊;車聯網技術;無線電靜默;隱私安全

中圖分類號：TP393文獻標識碼：A文章編號：2095-1302（2020）10-00-03

0 引 言

在過去的10年里，車聯網的發展越來越受到人們的關注。車聯網技術的發展主要用于提高道路安全和交通效率。車聯網中不僅車輛之間進行通信，路邊基礎設施也會與車輛進行通信，這些通信能夠有效地提高道路安全和交通效率。車輛與車輛、車輛與基礎設施的通信能夠提高道路安全和交通效率的主要原因是通信信息里面包含了車輛的標識、位置、速度等內容，這些內容對智能交通系統產生了巨大的影響。然而，這些信息通過車聯網傳遞也造成了安全威脅。攻擊者可以利用它們來對車輛進行未經授權的位置跟蹤。由于車聯網無線介質的性質，攻擊者可很輕松地竊聽網絡的消息。車輛位置跟蹤侵犯了駕駛員的隱私，可能會對駕駛員造成傷害。而通過假名認證方法可以有效解決隱私威脅。要使假名認證方法有效的前提是要對假名進行變更。而假名變更方法能夠保護車輛的位置隱私主要取決于兩個因素。

（1）假名變更的頻率，即假名變更的頻率越高，車輛的位置隱私保護的等級越高。但是，由于假名是車輛間通信中的標識，所以較高頻率的假名更改會對車聯網通信性能產生負面影響。

（2）假名之間的不可鏈接性，這要求同一輛車的兩個假名之間沒有關聯。

對過去的文獻研究發現，簡單的變更假名并不能有效地保護用戶的位置隱私，因為通過語法鏈接攻擊和語義鏈接攻擊就能破解簡單的假名變更;而有效的假名變更策略才能防止這些攻擊。假名變更策略的目的是確定車輛應在何處、何時以及如何變更假名才能保證假名之間的不可鏈接性。而本文就是對現有的假名變更策略進行綜述，對當前策略進行分析比較，從安全性、代價等方面對當前的假名變更策略進行評價，指出當前假名變更策略存在的問題。

1 假名變更策略概述

假名變更的目的是保護車輛的隱私安全，而假名變更策略的主要目的是保證車輛在變更假名以后，假名之間不可鏈接性。在查閱了大量文獻以后，發現關于假名變更策略的研究已經提出了很多?，F在有的假名變更策略可以分成兩大類：

（1）基于混合區域的假名變更策略;

（2）基于混合上下文的假名變更策略。

1.1 假名變更策略簡介

假名是車輛在車聯網中的虛擬標識符。在車聯網中每輛車都使用一組假名，每個假名都有使用時限，在使用時限到期前，車輛需要變更假名。只有在追究責任的時候，才能知道車輛的真實標識符與其假名之間的聯系。假名的生成需要證書頒發機構來生成，證書頒發機構可以是政府運輸當局，也可以是某汽車制造商之一，并負責證書的管理。為了同時確保認證和匿名性，每個注冊車輛最初都配備了一組假名和一個基本標識符。

通過文獻知道，當前有很多針對假名變更的研究，這些研究主要集中在假名變更的有效性方面。而有效性研究的內容主要有以下兩個方面：

（1）跟蹤者使用的跟蹤技術;

（2）車輛被成功跟蹤的比率。

在車聯網中用于跟蹤車輛的技術有：隱式馬爾可夫鏈模型算法、基于貝葉斯決策算法、多假設跟蹤算法和最鄰近數據算法等。比如：基于貝葉斯決策算法在跟蹤者僅控制道路交叉口的一半時，則成功跟蹤到目標車輛的概率將達到90%;而多假設跟蹤算法是與卡爾曼濾波器相結合使用來跟蹤車輛，根據文獻可知，多假設跟蹤算法在全局被動跟蹤的情況下跟蹤成功率接近100%。由于跟蹤效率之高，所以研究假名變更策略就成為車聯網中解決隱私安全的當務之急。假名變更策略主要研究內容是車輛在何時何地變更假名的問題。而要解決何時何地變更假名的問題，首先要了解假名變更對手攻擊模型。

1.2 假名變更對手攻擊模型

在車聯網中，攻擊模式有很多，如：拒絕服務攻擊、女巫攻擊、中間人攻擊、黑洞攻擊、虛假信息注入、GPS欺騙等。這些攻擊都會對車聯網安全造成不可預料的后果。而對于隱私安全的攻擊，主要的攻擊模型有兩種：語法鏈接攻擊和語義鏈接攻擊。

1.2.1 語法鏈接攻擊

假名的語法鏈接攻擊模型如圖1所示。圖1中，車輛經過Δt時間后，在道路上行駛的三輛汽車中只有一輛汽車（B）更改了其假名（從B1到B2），那么對跟蹤者來說可以輕松地將假名B1和B2鏈接起來，這樣跟蹤者還是很容易就能跟蹤車輛B的行駛路徑，從而對其行蹤進行分析，獲得其位置隱私。當然對于語法鏈接攻擊來說，可以通過使用假名變更同步機制來執行針對此類攻擊。假名變更同步機制即是在某車輛進行假名變更的同時，其他車輛也同步變更假名，這樣跟蹤者就沒有辦法通過語法攻擊來跟蹤車輛的行動路徑。

1.2.2 語義鏈接攻擊

語義鏈接攻擊比語法鏈接更強大，因為語義鏈接攻擊者可以訪問到車聯網中的安全信息，依靠安全消息中包含的車輛的行駛方向、速度和位置信息來鏈接假名。例如，跟蹤者可以使用基于貝葉斯決策算法或隱式馬爾可夫鏈模型算法之類的跟蹤方法預測車輛的下一個位置?；谠擃A測，將車輛假名進行鏈接，從而將同一車輛的兩個假名鏈接起來，效果如圖2所示。即使圖2中所示的三個車輛（A，B和C）同時更改其假名，對手也可以鏈接假名B1和B2。而針對語義鏈接攻擊，則可以通過在一段時間內阻止對手訪問安全消息來防止攻擊，也就是在更換假名的時候產生靜默期，使跟蹤者訪問不到車輛的信息。

1.3 假名變更策略的度量指標

度量指標用來度量假名變更策略所實現的位置隱私保護級別。筆者通過文獻了解到假名變更策略的主要度量指標有假名集的大小、是否加密和是否無線電靜默等。接下來對這些度量指標進行介紹。

1.3.1 假名集

假名集的大小是指攻擊目標所在的區域內，車輛數量的多少。車輛越多，所能實現的位置隱私保護的級別就越高。然而由于使用假名集無法描述某些車輛比其他車輛更可能成為目標的敵手的先驗知識，所以在很多的假名變更策略研究中引入了假名集的熵代替假名集大小來評價策略的保護級別。假名集的熵表示車輛被跟蹤的概率。在假名集的熵中可以描述車輛可能成為目標的先驗知識。

1.3.2 加密

對信息進行加密是保護信息安全的重要措施。信息的加密和解密是同時出現的。在車聯網中，如果對信息進行加密，那么要讀取信息就要進行解密。當車流量很大的時候，信息的加解密就需要進行大量的計算，而這不利于實時的安全應用。所以是否需要對信息加密也是假名變更策略度量指標之一。

1.3.3 無線電靜默

無線電靜默是指在某個特定的時間，車輛停止廣播信標。車輛廣播的信標包含車輛的速度、方向和位置，但車輛停止廣播信標時，智能交通系統和其他車輛將不能接收到車輛的信息，而這有可能會引起交通事故，造成損失。所以也將是否需要無線電靜默作為車輛的假名變更策略度量指標之一。

當然像對手的成功率、最大跟蹤時間等數據也是假名變更策略的重要度量指標。

2 假名變更策略研究進展

目前，假名變更策略主要有以下兩種：

（1）基于混合區域的假名變更策略;

（2）基于混合上下文的假名變更策略。

在基于混合區域的假名變更策略中，車輛在預先設定的道路區域，即混合區域更改其假名?；诨旌仙舷挛牡募倜兏呗耘c基于混合區域的假名變更策略不同，基于混合上下文的假名變更策略中的每輛車不再受區域的影響，車輛可以獨立確定何時何地更改其假名。準確地說，混合上下文定義為在車輛之間同步假名變化的任何情況或機會。然后，僅當車輛找到混合上下文時，車輛才會更改其假名。接下來對當前比較流行的幾種假名變更策略進行深入討論。

2.1 基于加密混合區域假名變更策略

基于加密混合區域的假名變更策略要求進入區域的車輛對廣播的消息進行加密的道路區域。這種區域一般設置在道路十字路口或三叉路口。車輛在該區域內更改其假名，并使用路邊設施分發的共享密鑰來加密車輛廣播的消息。每個路口都配備有路邊基礎設施，路邊基礎設施會定期廣播通知以告知車輛加密混合區域的存在。車輛收到此類通知后，會向路邊基礎設施發送消息以請求加密密鑰。路邊基礎設施收到請求后，便立即將加密密鑰提供給車輛，并等待車輛的確認。如果車輛很好地接收到了鑰匙，它將向路邊基礎設施發送確認，并使用該鑰匙開始對其安全消息進行加密。當然車輛還必須在加密混合區域內更改其假名。加密安全消息的主要原因是防止考慮的外部攻擊者讀取其內容。

基于加密混合區域假名變更策略如圖3所示。此策略能夠有效地解決語法鏈接攻擊和語義鏈接攻擊，但是此策略存在以下問題：當假名集特別大時，策略的安全性似乎特別高。但是，由于此策略涉及到加密解密，當假名集特別大時，路邊基礎設施需要進行大量的計算，而這不利于實時的車聯網。所以此策略并不適合大假名集的路口。

2.2 基于社交場所的假名變更策略

基于社交場所的假名變更策略如圖4所示。社交場所主要是指有紅綠信號燈的交叉路口或大型的停車場。在基于社交場所的假名變更策略中，分為小型社交場所和大型社交場所。其中有信號燈的路口為小型社交場所，而大型停車場等為大型社交場所。在小型社交場所中，當交通信號燈由紅燈變綠燈時，社交場所內的所有車輛同時變更其假名。此策略雖然能夠有效地防止語法鏈接攻擊，但是由于在小型社交場所中，車輛依然在廣播其信標，所以攻擊者還是可以通過語義鏈接攻擊來跟蹤車輛的位置。而對于大型社交場所而言，由于其應用場景的限制，所以此策略應用范圍有限。

2.3 基于城市區域的假名變更策略

基于城市區域的假名變更策略如圖5所示。該策略的應用場景為城市交叉路口，能夠確保假名變更時，假名集足夠大。此策略要求路邊基礎設施在交通信號燈為紅色時，在道路的交叉路口創建靜默混合區，并廣播通知車輛靜默區開始的位置。當車輛進入靜默區域時，車輛停止信標的廣播，同時車輛變更或者變換其假名。當交通信號燈變綠燈時，車輛繼續廣播信標。此策略能夠確保假名集的大小和無線電靜默，但是需要在交叉路口創建靜默期，而根據調查發現，在交叉路口發生交通事故的可能也是最高。所以此策略也將降低道路的安全性。同時，由于交叉路口的限制，此策略很容易受到FIFO算法的攻擊。

3 結 語

假名變更策略是車聯網隱私安全的重要組成部分。本文研究車聯網中相關假名變更策略，并對當前比較流行的假名變更策略進行比較，指出當前假名變更策略的優勢、代價和不足。雖然假名變更策略還存在問題需要繼續改進，但是希望此文能為以后的假名變更策略研究和實施提供幫助。

參考文獻

[1]張剛，石潤華，仲紅.車載自組織網絡中基于身份的匿名認證方案[J].計算機工程與應用，2016，52（17）：101-106.

[2]趙建杰，谷大武，胡學先.基于PKI的認證密鑰協商協議可證明安全理論研究[J].密碼學報，2014，1（6）：551-567.

[3] SOMMER C，DRESSLER F. Vehicular networking [M]. Cambridge： Cambridge University Press，2015.

[4] KARAGIANNIS G，ALTINTAS O，EKICI E，et al. Vehicular networking： a survey and tutorial on requirements，architectures，challenges，standards and solutions [J]. IEEE communications surveys and tutorials，2011，13（4）： 584-616.

[5] SOMMER C，ECKHOFF D，DRESSLER F. IVC in cities：signal attenuation by buildings and how parked cars can improve the situation [J]. IEEE transactions on mobile computing，2014，13（8）： 1733-1745.

[6]鄭卜毅.基于勢博弈理論的新型網絡應用的激勵機制研究[D].杭州：浙江工商大學，2018.

[7]李磊.多用戶公鑰可搜索加密中訪問控制的研究[D].南京：南京理工大學，2018.

[8]程慶豐，阮展靖，張瑞杰.對三個無雙線性對的密鑰協商協議分析[J].信息網絡安全，2019，19（1）：16-26.

[9]屈娟，馮玉明，李艷平，等.可證明安全的面向無線傳感器網絡的三因素認證及密鑰協商方案[J].通信學報，2018，38（z2）：189-197.

[10]張佳妮，何德彪，李莉.基于區塊鏈的物聯網密鑰協商協議[J].中興通訊技術，2018，24（6）：23-27.