基于城市公交的車載自組網隱私保護協議

楊亞芳（山西大學 軟件學院，山西 太原 030013）

基于城市公交的車載自組網隱私保護協議

楊亞芳
（山西大學 軟件學院，山西 太原 030013）

針對車載自組網中存在的隱私泄露問題，提出了一種基于城市公交的車載自組網隱私保護協議。該協議利用可信度高的公交車來廣播路況信息和應答車輛路況信息的查詢，有效地減少普通車輛需認證消息的數量；公交車利用安全認證中心頒發的數字證書與其他車輛建立起信任關系，解決了用戶假冒的問題；車輛之間利用Diffie-Hellman算法生成會話密鑰對消息進行對稱加密，有效地保護了用戶的身份信息，同時提高了消息認證的效率。安全性證明和分析表明，該協議在語義上是安全的，能抵抗現有各種攻擊，并且可以實時處理用戶的請求。

車載自組網；公交車；安全；隱私；數字證書

0 引言

車載自組網（Vehicular Ad hoc Network，VANET）由認證中心（Certification Authority，CA）、路邊單元（Road Side Unit，RSU）和車載單元（On Board Unit，OBU）共同組成［1-2］。VANET能有效地提高道路的使用效率，減少意外事故的發生，因此受到學術界和工業界的普遍關注，已取得了部分研究成果。

然而，VANET的發展仍面臨著巨大的挑戰，VANET的開放性使得攻擊形式多樣化，高度動態性和移動性使得攻擊行為難以被檢測與發現。如何在確保信息的完整性和可追溯性的同時，保護用戶的安全隱私，并且實時處理用戶請求成為接納VANET的關鍵。

一般來說，VANET中的車輛需要保護身份不被泄漏，而RSU不需要保護其身份。為了確保合法用戶的身份信息不被攻擊者所知，必須對其身份信息進行加密；為了防止惡意節點假冒合法用戶，目前各國要求所有車輛必須在管理部門進行登記注冊，管理部門對所有車輛進行統一編號并提供身份認證。VANET中車輛身份編號的唯一性能有效保證身份認證服務的實施。身份認證可以有效保護系統不被外部攻擊者所侵害，但增加了個人隱私泄漏的風險。有時VANET通過不定期地更換假名來保護用戶隱私。

然而VANET不定期更換用戶假名容易引發女巫攻擊［3］，一個惡意節點蓄意聲稱自己有多個不同身份的女巫攻擊會對VANET產生巨大危害［4］。針對這些問題，陳辰［4］提出了女巫攻擊檢測算法SADSIV，通過驗證授權認證單元（Authentication Unit，AU）定期向車輛節點提供不可篡改的數字簽名來確定車輛身份的唯一性。由于同一AU對不同車輛的數字簽名相同，那么惡意節點可能會根據AU的數字簽名追蹤用戶。

針對這些問題，王景欣等人［5］構建了匿名互換的社團，并通過組密鑰機制實現保證基本安全需求下的匿名互換。同時，參考文獻［6］提出所有車輛節點必須在CA注冊并且由其分發車輛的公鑰和私鑰以保證用戶的隱私。但是，這些協議［5-6］未考慮到 VANET中所產生的海量消息，認證需要花費大量時間，尤其是在車流密度大的情況下，難以實現實時性。

針對參考文獻［5-6］消息的不及時性，劉輝等人［7］提出了一個基于群組密鑰的認證方案。該方案采用批量驗證技術降低了車輛的計算開銷，成功地解決VANET中消息認證的不及時性。但是該方案不能抵抗重放攻擊。

［4-7］中任何車輛都可以廣播消息，那么海量消息可能會阻塞信道，同時需要大量的簽名認證，耗費大量時間和計算能力。因此設計一個高效的隱私保護協議迫在眉睫。

本文提出一個基于城市公交的VANET隱私保護協議，能實時處理用戶的請求，同時很好地保護用戶的隱私。協議僅允許可信性高的公交車廣播消息，有效地減少了消息的數量，提高了消息的質量和認證速度，可以實時處理用戶的請求。利用DH算法產生會話密鑰進行車輛之間的信息交流，最大程度保證用戶身份不被泄露。車輛之間利用對稱密鑰通信，提高了加密的速度，有效地減少了系統的開銷。

1 預備知識

1.1 雙線性對

設G1和G2分別表示階為素數q的加法循環群和乘法循環群，p是 G1的生成元。若映射e：G1×G2→G2滿足下列性質，則稱為雙線性對。（1）雙線性：對任何a，b∈，e（aP，bP）=e（P，P）ab。（2）非退化性：e（P，P）≠1。（3）可計算性：對所有的 P，Q∈G1，都能有效計算 e（P，Q）。雙線性對e可以通過有限域上的超橢圓曲線的Tate對或Wail對來構造。

1.2 Diffie-Hellman問題

CDH（Computational Diffie-Hellman）問題：任意（aP，bP），其中 a，b∈，計算 abP。BDH（Bilinear Diffie-Hellman）問題：任給（aP，bP，cP），其中 a，b，c∈，計算e（P，P）abc。

Diffie-Hellman算法具有兩個吸引力的特征［8］：

（1）僅當需要時才生成密鑰，減少了將密鑰存儲很長一段時間而致使遭受攻擊的機會；

（2）除對全局參數的約定外，密鑰交換不需要事先存在基礎結構。

Diffie-Hellman算法也存在不足［8］：

（1）沒有提供雙方身份的任何信息；

（2）沒辦法防止重放攻擊。

2 協議提出

假設CA負責車輛登記，有足夠的計算能力和存儲能力，所有的RSU通過有線或無線方式與CA相連。CA完全被各方信任，不可能被攻擊者攻破。所有車輛都通過RSU相互通信。

本文提出了一個基于城市公交的VANET隱私保護協議。根據可信度將用戶分為兩類：普通車輛和公交車。相對于普通車輛，公交車具有固定的行駛路線，速度較為緩慢，具有較高可信度。本協議有4類實體，分別是公交車VB、普通車輛VC、CA、RSU。本協議分為3個階段：注冊階段、公交車與普通車輛認證階段、公交車認證階段。各符號如表1所示。

表1 符號

2.1 注冊階段

普通車輛和公交車都需要在CA進行統一注冊。CA為注冊的公交車頒發數字證書 CertuB，不為普通車輛頒發，然而必須為所有注冊車輛約定全局參數。由于一個城市的公交車歸為數不多的公交公司管理，那么可以通過公交公司統一在CA注冊。注冊階段，公交車、公交車公司、CA三者之間的信道是安全的。

公交車注冊過程如圖1所示。

圖1 公交車的注冊階段

（1）公交車 VB產生公私鑰對（PrkB，PukB），將 PukB、PrkB（BID）、BID通過公交公司發送給CA。

（2）CA收到 VB所發送的消息后，利用公鑰 PukB解密 PrkB（BID）得到 BID，驗證明文傳送的 BID與解密所得BID是否相等，若相等則產生數字證書CertuB，該證書包含其生命周期 lifetime和 VB的公鑰 PukB。將該證書CertuB通過公交公司發送給 VB。

（3）VB收到 CertuB后，驗證是否正確，若正確，則保存該證書，否則丟棄證書。

2.2 公交車與普通車輛的認證階段

公交車每過一段時間就廣播其附近路況的消息，普通車輛和其他公交車則接收消息，若普通車輛收到消息后，需要查詢更多消息，則利用DH算法生成會話密鑰進行消息交流，過程如圖2所示。

圖2 公交車與普通車輛的認證階段

（1）公交車 VB產生消息 M1、時間戳 t1，并用其私鑰加密得 PrkB（M1||t1||CertuB），然后廣播 CertuB和 PrkB（M1|| t1||CertuB）。

（2）普通車輛 VC收到公交車廣播的消息后，首先驗證CertuB是否合法，若合法，利用 CertuB上的公鑰 PukB解密得 M1、t1；驗證解密所得 CertuB是否與明文發送的CertuB相同，若相同，驗證t1是否合法，若合法，則接受M1。

（3）若普通車輛需要向公交車詢問更多消息，則產生時間戳t2、消息 M2，隨機數a、XA∈，計算YA∈aX A。VC利用VB的公鑰PukB加密消息得到PukB（M2‖t2‖YA‖a‖t1），并將其發送給VB。

（4）VB用其私鑰解密得 M2‖t2‖YA‖a‖t1，驗證解密所得 t1與VB保存的t1是否相同，若不相同，則丟棄 M2；否則隨機選擇 XB∈，計算 Q=aX B和sk=，產生回應消息 M3和時間戳 t3，將 Esk（M3‖t3‖Q）、Q發送給 VC。

（5）VC收到消息以后，計算 sk=QX A，并用sk解密得M3、t3、Q，驗證明文傳遞Q是否與解密所得Q相等。若相等則驗證 t3是否過期，若不過期，則保存 M3，否則丟棄M3。

2.3 公交車之間的認證階段

公交車通過相互交流，得到不同路段的信息，公交車之間認證過程如圖3所示。

（1）公交車 VB1產生時間戳 t4，隨機選擇 b，XB1∈，計算 YB=YX B1。將 PukB2（b‖YB‖CertuB1‖PukB1（CertuB1））發送公交車VB2。

（2）VB2收到消息后，利用其私鑰解密消息得：b、YB、t4、CertuB1、PrkB1（CertuB1）。首先驗證 t4是否過期，若過期，則丟棄消息；否則利用 VB1的公鑰解密得 CertuB1，驗證若相等則隨機選擇 XB2∈，計算 Q′= bX B2、sk′=。然后產生消息 M4和時間戳 t5。將PukB1（Q′‖t5‖CertuB2），Esk′（M4‖t5）發送給 VB1。

（3）VB1收到消息后，用其私鑰 PrkB1解密消息得：Q′、t5。驗證t5是否過期，若過期，則丟棄消息；否則計算會話密鑰sk′=Q′XB2。利用 sk′解密得 M4、t5，驗證若不相等，則丟棄消息，否則接受 M4。

圖3 公交車之間的認證階段

3 協議分析

3.1 安全性證明

語義安全是戈德瓦塞爾和米卡里［9］在 1982年提出的密碼學術語。如果已知某段未知文段的密文不會泄露任何文段的其余信息，則稱該密文是語義安全的［9］，并且證明語義安全性和密文不可辨別性等價［10］。

定理1基于雙線性映射群中CDH數學難題成立前提下，本協議在語義上是安全的。L為本協議，是明文消息M3的集合。

證明：假設敵手（Adversary，A）在任何概率多項式時間t內得到消息M3優勢為（k），那么通過構造A與挑戰者交互的游戲，證明A贏得該游戲的優勢可以忽略。具體步驟如下。

Setup模擬：A重構 VC與VB的會話密鑰困難是，A需要知道生成會話密鑰的參數XA。A將竊聽所得消息PukB（M2‖t2‖YA‖a‖t1）發送給挑戰者。

挑戰模擬：挑戰者選取 c∈｛0，1｝，選取兩個長度一樣的明文 m0，m1∈，將 Esk（mc||t3||Q）發送給 A。A隨機選擇參數 k∈，計算會話密鑰 sk″=Qk，利用 sk″解密收到的消息。

猜測模擬：A輸出c′∈｛0，1｝，當且僅當 c′=c時，A贏得游戲。A贏得游戲的優勢為：

3.2 安全性分析經分析，該協議滿足以下安全需求：（1）匿名性

本文用戶分為兩種：公交車和普通車輛。公交車利用數字證書與其他車輛進行相互認證，僅CA知道其身份。普通車輛利用DH算法生成的會話密鑰與公交車進行交流，身份不可能被泄露。故協議具有用戶匿名性。

（2）防重放攻擊

本協議利用時間戳來防重放攻擊。

（3）防假冒攻擊

公交車用戶利用數字證書 Certu來保護其身份，有效地防止了假冒攻擊。

（4）防追蹤攻擊

在本協議中，普通車輛收到公交車廣播的消息后，利用公交車公鑰加密問詢消息，公交車應答消息利用DH算法生成的會話密鑰加密，公交車與普通車輛之間每次交流的消息不相同，故本協議可以抵抗追蹤攻擊。

（5）防女巫攻擊

本協議中所有車輛沒有假名，所以不存在女巫攻擊。

3.3 性能分析

一個有效的VANET安全協議不僅滿足VANET的安全需要，并且盡量減少OBU成本，提高執行效率。在本文僅有公交車可以廣播和回應車輛的消息查詢，普通車輛僅接收公交車所發送的消息。普通車輛與方案［5-9］相比需認證的消息數量要少許多，有效地減少了普通車輛OBU成本，提高了認證速度。雖然在一定程度上需要提高公交車OBU的計算能力和存儲能力，但公交車的數量與普通車輛相比數量較少，從整體分析，本協議可以提高VANET的執行效率。

例如2015年初太原市共擁有公交車2900多輛，而2013年整個城市擁有普通車輛（僅指個人轎車）高達40萬輛［11］。根據太原交通局指示，2015年度將投資 1千多萬元來完成公交車智能化改造［12］。全國其他城市也正大力支持公交車的智能化改造。

4 結論

VANET的隱私保護和實時性非常關鍵，本文提出一個基于城市公交的隱私保護協議。該協議通過可信度高的公交車和DH算法實現實時性和隱私保護。理論分析表明，本協議能有效保證用戶隱私，同時節省網絡資源，適應VANET拓撲快速變化，實現安全高效的通信。

參考文獻

［1］劉海濤.物聯網技術應用［M］.北京：機械工業出版社，2011.

［2］Luo Jun，Hu BAUXJP.A survey of research in Inter-vehicle communications［R］.LEMKE K，PAAR C，WOLF M.Embedded Security in Cars-securing Current and Future Automotive IT Applications.［S.L.］：Springer，2010：111-122.

［3］JOHN D.The sybil attack［C］.The First International Workshop on Peer-to-Peer Systems（IPTPS′01），London，UK：Springer-Verlag，2002：251-260.

［4］陳辰.VANET系統安全的關鍵問題研究［D］.上海：復旦大學，2011.

［5］王景欣，王鉞，耿軍偉，等.基于匿名互換的車聯網安全與隱私保護機制［J］.清華大學學報（自然科學版），2012，52（5）：592-597.

［6］翟苗，拱長青，刁俊勝，等.基于 PKI的車聯網安全通信與隱私保護機制［J］.沈陽航空航天大學學報，2012，29（5）：59-63.

［7］劉輝，李暉.采用群組密鑰管理的分布式車聯網信息認證方案［J］.西安交通大學學報，2013，47（2）：58-62.

［8］楊獻春.Diffie-Hellman密鑰交換算法及其優化［J/OL］，［2011-09-28］［2014-12-24］http://wenku.baidu.com/view/5935096a25c52cc58bd6be49.html.

［9］SHAFI G，SILVIO M，Probabilistic encryption＆amp；how to playmental poker keeping secret all partial information［C］.Annual ACM Symposium on Theory of Computing，1982.

［10］SHAFI G，SILVIO M.Probabilistic encryption［J］.Journal of Computer and System Sciences，1984（28）：270-299.

［11］楊晶.太原機動車保有量：87萬輛［N］.山西晚報，2013-11-05.

［12］蘇鑫波.投資8408萬建設智能化城市公交［N］.三晉都市報，2015-03-18.

Secure and privacy-preserving protocol based on bus for VANET

Yang Yafang
（School of Software，Shanxi University，Taiyuan 0310013，China）

The paper proposes a secure and privacy-preserving protocol based on bus to resolve information security and privacy-preserving problem in VANET.High reliability bus is employed in the protocol to broadcast message and reply to query of vehicle，which can reduce the number of authenticated message.Digital certificate is used to help vehicles to build trust relationship.Moreover，symmetric encryption technique is employed to accelerate the verification.Diffie-Hellman algorism solves to preserve privacy.Security test and analysis show that the protocol is semantic security，can resist existing attacks and deal with user′s request in time.

Vehicular Ad hoc Network；bus；security；privacy；digital certification

TP393.08

A

1674-7720（2015）22-0001-04

楊亞芳.基于城市公交的車載自組網隱私保護協議［J］.微型機與應用，2015，34（22）：1-4.

2015-05-30）

楊亞芳（1986-），女，碩士，助教，主要研究方向：移動互聯網安全協議、VANET安全協議。