摘  要： 針對車載自組網(wǎng)中存在的隱私泄露問題，提出了一種基于城市公交的車載自組網(wǎng)隱私保護協(xié)議。該協(xié)議利用可信度高的公交車來廣播路況信息和應答車輛路況信息的查詢，有效地減少普通車輛需認證消息的數(shù)量；公交車利用安全認證中心頒發(fā)的數(shù)字證書與其他車輛建立起信任關(guān)系，解決了用戶假冒的問題；車輛之間利用Diffie-Hellman算法生成會話密鑰對消息進行對稱加密，有效地保護了用戶的身份信息，同時提高了消息認證的效率。安全性證明和分析表明，該協(xié)議在語義上是安全的，能抵抗現(xiàn)有各種攻擊，并且可以實時處理用戶的請求。

　　關(guān)鍵詞： 車載自組網(wǎng)；公交車；安全；隱私；數(shù)字證書

0 引言

　　車載自組網(wǎng)（Vehicular Ad hoc Network，VANET）由認證中心（Certification Authority，CA）、路邊單元（Road Side Unit，RSU）和車載單元（On Board Unit，OBU）共同組成[1-2]。VANET能有效地提高道路的使用效率，減少意外事故的發(fā)生，因此受到學術(shù)界和工業(yè)界的普遍關(guān)注，已取得了部分研究成果。

　　然而，VANET的發(fā)展仍面臨著巨大的挑戰(zhàn)，VANET的開放性使得攻擊形式多樣化，高度動態(tài)性和移動性使得攻擊行為難以被檢測與發(fā)現(xiàn)。如何在確保信息的完整性和可追溯性的同時，保護用戶的安全隱私，并且實時處理用戶請求成為接納VANET的關(guān)鍵。

　　一般來說，VANET中的車輛需要保護身份不被泄漏，而RSU不需要保護其身份。為了確保合法用戶的身份信息不被攻擊者所知，必須對其身份信息進行加密；為了防止惡意節(jié)點假冒合法用戶，目前各國要求所有車輛必須在管理部門進行登記注冊，管理部門對所有車輛進行統(tǒng)一編號并提供身份認證。VANET中車輛身份編號的唯一性能有效保證身份認證服務(wù)的實施。身份認證可以有效保護系統(tǒng)不被外部攻擊者所侵害，但增加了個人隱私泄漏的風險。有時VANET通過不定期地更換假名來保護用戶隱私。

　　然而VANET不定期更換用戶假名容易引發(fā)女巫攻擊[3]，一個惡意節(jié)點蓄意聲稱自己有多個不同身份的女巫攻擊會對VANET產(chǎn)生巨大危害[4]。針對這些問題，陳辰[4]提出了女巫攻擊檢測算法SADSIV，通過驗證授權(quán)認證單元（Authentication Unit，AU）定期向車輛節(jié)點提供不可篡改的數(shù)字簽名來確定車輛身份的唯一性。由于同一AU對不同車輛的數(shù)字簽名相同，那么惡意節(jié)點可能會根據(jù)AU的數(shù)字簽名追蹤用戶。

　　針對這些問題，王景欣等人[5]構(gòu)建了匿名互換的社團，并通過組密鑰機制實現(xiàn)保證基本安全需求下的匿名互換。同時，參考文獻[6]提出所有車輛節(jié)點必須在CA注冊并且由其分發(fā)車輛的公鑰和私鑰以保證用戶的隱私。但是，這些協(xié)議[5-6]未考慮到VANET中所產(chǎn)生的海量消息，認證需要花費大量時間，尤其是在車流密度大的情況下，難以實現(xiàn)實時性。

　　針對參考文獻[5-6]消息的不及時性，劉輝等人[7]提出了一個基于群組密鑰的認證方案。該方案采用批量驗證技術(shù)降低了車輛的計算開銷，成功地解決VANET中消息認證的不及時性。但是該方案不能抵抗重放攻擊。

　　在參考文獻[4-7]中任何車輛都可以廣播消息，那么海量消息可能會阻塞信道，同時需要大量的簽名認證，耗費大量時間和計算能力。因此設(shè)計一個高效的隱私保護協(xié)議迫在眉睫。

　　本文提出一個基于城市公交的VANET隱私保護協(xié)議，能實時處理用戶的請求，同時很好地保護用戶的隱私。協(xié)議僅允許可信性高的公交車廣播消息，有效地減少了消息的數(shù)量，提高了消息的質(zhì)量和認證速度，可以實時處理用戶的請求。利用DH算法產(chǎn)生會話密鑰進行車輛之間的信息交流，最大程度保證用戶身份不被泄露。車輛之間利用對稱密鑰通信，提高了加密的速度，有效地減少了系統(tǒng)的開銷。

1 預備知識

　　1.1 雙線性對

　　設(shè)G1和G2分別表示階為素數(shù)q的加法循環(huán)群和乘法循環(huán)群，p是G1的生成元。若映射e：G1×G2→G2滿足下列性質(zhì)，則稱為雙線性對。（1）雙線性：對任何a，b∈Zq*，e（aP，bP）=e（P，P）ab。（2）非退化性：e（P，P）≠1。（3）可計算性：對所有的P，Q∈G1，都能有效計算e（P，Q）。雙線性對e可以通過有限域上的超橢圓曲線的Tate對或Wail對來構(gòu)造。

　　1.2 Diffie-Hellman問題

　　CDH（Computational Diffie-Hellman）問題：任意（aP，bP），其中a，b∈Zq*，計算abP。BDH（Bilinear Diffie-Hellman）問題：任給（aP，bP，cP），其中a，b，c∈Zq*，計算e（P，P）abc。

　　Diffie-Hellman算法具有兩個吸引力的特征[8]：

　?。?）僅當需要時才生成密鑰，減少了將密鑰存儲很長一段時間而致使遭受攻擊的機會；

　　（2）除對全局參數(shù)的約定外，密鑰交換不需要事先存在基礎(chǔ)結(jié)構(gòu)。

　　Diffie-Hellman算法也存在不足[8]：

　　（1）沒有提供雙方身份的任何信息；

　　（2）沒辦法防止重放攻擊。

2 協(xié)議提出

　　假設(shè)CA負責車輛登記，有足夠的計算能力和存儲能力，所有的RSU通過有線或無線方式與CA相連。CA完全被各方信任，不可能被攻擊者攻破。所有車輛都通過RSU相互通信。

　　本文提出了一個基于城市公交的VANET隱私保護協(xié)議。根據(jù)可信度將用戶分為兩類：普通車輛和公交車。相對于普通車輛，公交車具有固定的行駛路線，速度較為緩慢，具有較高可信度。本協(xié)議有4類實體，分別是公交車VB、普通車輛VC、CA、RSU。本協(xié)議分為3個階段：注冊階段、公交車與普通車輛認證階段、公交車認證階段。各符號如表1所示。

　　2.1 注冊階段

　　普通車輛和公交車都需要在CA進行統(tǒng)一注冊。CA為注冊的公交車頒發(fā)數(shù)字證書CertuB，不為普通車輛頒發(fā)，然而必須為所有注冊車輛約定全局參數(shù)。由于一個城市的公交車歸為數(shù)不多的公交公司管理，那么可以通過公交公司統(tǒng)一在CA注冊。注冊階段，公交車、公交車公司、CA三者之間的信道是安全的。

　　公交車注冊過程如圖1所示。

　?。?）公交車VB產(chǎn)生公私鑰對（PrkB，PukB），將PukB、PrkB（BID）、BID通過公交公司發(fā)送給CA。

　?。?）CA收到VB所發(fā)送的消息后，利用公鑰PukB解密PrkB（BID）得到BID，驗證明文傳送的BID與解密所得BID是否相等，若相等則產(chǎn)生數(shù)字證書CertuB，該證書包含其生命周期lifetime和VB的公鑰PukB。將該證書CertuB通過公交公司發(fā)送給VB。

　?。?）VB收到CertuB后，驗證是否正確，若正確，則保存該證書，否則丟棄證書。

　　2.2 公交車與普通車輛的認證階段

　　公交車每過一段時間就廣播其附近路況的消息，普通車輛和其他公交車則接收消息，若普通車輛收到消息后，需要查詢更多消息，則利用DH算法生成會話密鑰進行消息交流，過程如圖2所示。

　?。?）公交車VB產(chǎn)生消息M1、時間戳t1，并用其私鑰加密得PrkB（M1||t1||CertuB），然后廣播CertuB和PrkB（M1||t1||CertuB）。

　?。?）普通車輛VC收到公交車廣播的消息后，首先驗證CertuB是否合法，若合法，利用CertuB上的公鑰PukB解密得M1、t1；驗證解密所得CertuB是否與明文發(fā)送的CertuB相同，若相同，驗證t1是否合法，若合法，則接受M1。

　?。?）若普通車輛需要向公交車詢問更多消息，則產(chǎn)生時間戳t2、消息M2，隨機數(shù)a、XA∈Zq*，計算YA∈。VC利用VB的公鑰PukB加密消息得到PukB（M2‖t2‖YA‖a‖t1），并將其發(fā)送給VB。

　　（4）VB用其私鑰解密得M2‖t2‖YA‖a‖t1，驗證解密所得t1與VB保存的t1是否相同，若不相同，則丟棄M2；否則隨機選擇XB∈Zq*，計算，產(chǎn)生回應消息M3和時間戳t3，將Esk（M3‖t3‖Q）、Q發(fā)送給VC。

　　（5）VC收到消息以后，計算sk=，并用sk解密得M3、t3、Q，驗證明文傳遞Q是否與解密所得Q相等。若相等則驗證t3是否過期，若不過期，則保存M3，否則丟棄M3。

　　2.3 公交車之間的認證階段

　　公交車通過相互交流，得到不同路段的信息，公交車之間認證過程如圖3所示。

　?。?）公交車VB1產(chǎn)生時間戳t4，隨機選擇b，XB1∈Zq*，計算YB=。將PukB2（b‖YB‖CertuB1‖PukB1（CertuB1））發(fā)送公交車VB2。

　?。?）VB2收到消息后，利用其私鑰解密消息得：b、YB、t4、CertuB1、PrkB1（CertuB1）。首先驗證t4是否過期，若過期，則丟棄消息；否則利用VB1的公鑰解密得CertuB1，驗證CertuB1Certu*B1，若相等則隨機選擇XB2∈Zq*，計算Q′=   。然后產(chǎn)生消息M4和時間戳t5。將PukB1（Q′‖t5‖CertuB2），Esk′（M4‖t5）發(fā)送給VB1。

　?。?）VB1收到消息后，用其私鑰PrkB1解密消息得：Q′、t5。驗證t5是否過期，若過期，則丟棄消息；否則計算會話密鑰。利用sk′解密得M4、t5，驗證t5t5*，若不相等，則丟棄消息，否則接受M4。

3 協(xié)議分析

　　3.1 安全性證明

　　語義安全是戈德瓦塞爾和米卡里[9]在1982年提出的密碼學術(shù)語。如果已知某段未知文段的密文不會泄露任何文段的其余信息，則稱該密文是語義安全的[9]，并且證明語義安全性和密文不可辨別性等價[10]。

　　定理1 基于雙線性映射群中CDH數(shù)學難題成立前提下，本協(xié)議在語義上是安全的。L為本協(xié)議， 是明文消息M3的集合。

　　證明：假設(shè)敵手（Adversary，A）在任何概率多項式時間t內(nèi)得到消息M3優(yōu)勢為AdvAL（k），那么通過構(gòu)造A與挑戰(zhàn)者交互的游戲，證明A贏得該游戲的優(yōu)勢可以忽略。具體步驟如下。

　　Setup模擬：A重構(gòu)VC與VB的會話密鑰困難是，A需要知道生成會話密鑰的參數(shù)XA。A將竊聽所得消息PukB（M2‖t2‖YA‖a‖t1）發(fā)送給挑戰(zhàn)者。

　　挑戰(zhàn)模擬：挑戰(zhàn)者選取c∈{0，1}，選取兩個長度一樣的明文m0，m1∈ ，將Esk（mc||t3||Q）發(fā)送給A。A隨機選擇參數(shù)k∈Zq*，計算會話密鑰sk″=Qk，利用sk″解密收到的消息。

　　猜測模擬：A輸出c′∈{0，1}，當且僅當c′=c時，A贏得游戲。A贏得游戲的優(yōu)勢為：

　　AdvAL（k）=|Pr[c′=c]-1/2|（1）

　　消息mc的加密密鑰，解密密鑰sk″=Qk=。當且僅當sk=sk″時，c=c′，A贏得游戲。由于雙線性映射群中CDH是公認數(shù)學難題，A不可能計算出會話密鑰sk，贏得游戲的優(yōu)勢AdvAL（k）可以忽略，即本協(xié)議在語義上安全。

　　3.2 安全性分析

　　經(jīng)分析，該協(xié)議滿足以下安全需求：

　?。?）匿名性

　　本文用戶分為兩種：公交車和普通車輛。公交車利用數(shù)字證書與其他車輛進行相互認證，僅CA知道其身份。普通車輛利用DH算法生成的會話密鑰與公交車進行交流，身份不可能被泄露。故協(xié)議具有用戶匿名性。

　?。?）防重放攻擊

　　本協(xié)議利用時間戳來防重放攻擊。

　　（3）防假冒攻擊

　　公交車用戶利用數(shù)字證書Certu來保護其身份，有效地防止了假冒攻擊。

　?。?）防追蹤攻擊

　　在本協(xié)議中，普通車輛收到公交車廣播的消息后，利用公交車公鑰加密問詢消息，公交車應答消息利用DH算法生成的會話密鑰加密，公交車與普通車輛之間每次交流的消息不相同，故本協(xié)議可以抵抗追蹤攻擊。

　　（5）防女巫攻擊

　　本協(xié)議中所有車輛沒有假名，所以不存在女巫攻擊。

　　3.3 性能分析

　　一個有效的VANET安全協(xié)議不僅滿足VANET的安全需要，并且盡量減少OBU成本，提高執(zhí)行效率。在本文僅有公交車可以廣播和回應車輛的消息查詢，普通車輛僅接收公交車所發(fā)送的消息。普通車輛與方案[5-9]相比需認證的消息數(shù)量要少許多，有效地減少了普通車輛OBU成本，提高了認證速度。雖然在一定程度上需要提高公交車OBU的計算能力和存儲能力，但公交車的數(shù)量與普通車輛相比數(shù)量較少，從整體分析，本協(xié)議可以提高VANET的執(zhí)行效率。

　　例如2015年初太原市共擁有公交車2 900多輛，而2013年整個城市擁有普通車輛（僅指個人轎車）高達40萬輛[11]。根據(jù)太原交通局指示，2015年度將投資1千多萬元來完成公交車智能化改造[12]。全國其他城市也正大力支持公交車的智能化改造。

4 結(jié)論

　　VANET的隱私保護和實時性非常關(guān)鍵，本文提出一個基于城市公交的隱私保護協(xié)議。該協(xié)議通過可信度高的公交車和DH算法實現(xiàn)實時性和隱私保護。理論分析表明，本協(xié)議能有效保證用戶隱私，同時節(jié)省網(wǎng)絡(luò)資源，適應VANET拓撲快速變化，實現(xiàn)安全高效的通信。

參考文獻

　　[1] 劉海濤.物聯(lián)網(wǎng)技術(shù)應用[M].北京：機械工業(yè)出版社，2011.

　　[2] Luo Jun， Hu BAUXJP. A survey of research in Inter-vehicle communications[R]. LEMKE K， PAAR C， WOLF M. Embedded Security in Cars-securing Current and Future Automotive IT Applications. [S. L.]： Springer， 2010：111-122.

　　[3] JOHN D. The sybil attack[C]. The First International Workshop on Peer-to-Peer Systems（IPTPS′01）， London， UK： Springer-Verlag， 2002：251-260.

　　[4] 陳辰.VANET系統(tǒng)安全的關(guān)鍵問題研究[D].上海：復旦大學，2011.

　　[5] 王景欣，王鉞，耿軍偉，等.基于匿名互換的車聯(lián)網(wǎng)安全與隱私保護機制[J].清華大學學報（自然科學版），2012，52（5）：592-597.

　　[6] 翟苗，拱長青，刁俊勝，等.基于PKI的車聯(lián)網(wǎng)安全通信與隱私保護機制[J].沈陽航空航天大學學報，2012，29（5）：59-63.

　　[7] 劉輝，李暉.采用群組密鑰管理的分布式車聯(lián)網(wǎng)信息認證方案[J].西安交通大學學報，2013，47（2）：58-62.

　　[8] 楊獻春.Diffie-Hellman密鑰交換算法及其優(yōu)化[J/OL]，[2011-09-28][2014-12-24] http：//wenku.baidu.com/view/5935096a25c52cc58bd6be49.html.

　　[9] SHAFI G， SILVIO M，Probabilistic encryption & how to playmental poker keeping secret all partial information[C]. Annual ACM Symposium on Theory of Computing，1982.

　　[10] SHAFI G， SILVIO M. Probabilistic encryption[J]. Journal of Computer and System Sciences， 1984（28）：270-299.

　　[11] 楊晶．太原機動車保有量：87萬輛[N]．山西晚報，2013-11-05．

　　[12] 蘇鑫波．投資8408萬建設(shè)智能化城市公交[Ｎ]．三晉都市報，2015-03-18．