車聯網移動云安全與隱私保護技術研究

林茂偉　王達斌　梁宇輝

摘要：智能交通車聯網的發展面臨著無線網絡通信安全與車載用戶隱私保護等一系列具有挑戰性的難題。針對該系列問題，文章提出了一種層次化的車聯網移動云安全模型，車載移動終端使用其身份證書接入相應層次的云端進行身份認證，以確保獲得安全穩定的車聯網系統服務。同時，由于車載單元的快速移動性質，路側設施難以支撐大密度的車載終端認證過程，結合云端充足的計算資源和強大的服務能力，可降低車載移動終端在身份合法性確認過程對于車聯網路側設施的處理性能要求，而使用匿名認證的方法可保護車輛的安全和位置隱私。

關鍵詞：車聯網；云計算；匿名認證；層次化

近年來，車輛的劇增引發了一系列引人關注的社會問題，如交通擁堵、交通事故頻發等。隨著人們在車輛移動過程中的應用服務及安全性需求日益增長，智能交通領域已成為世界矚目的研究方向，同時也推動了車輛向網絡化、智能化方向發展。

作為物聯網在智能交通系統領域的延伸，車聯網是智能交通系統的核心組成部分，它通過對道路和交通進行全面感知，實現多個交通系統間大范圍、大容量的數據傳輸和交互，支持對道路車輛的實時控制，從而提升交通安全和交通效率。車聯網系統功能的實現需要搜集大量移動節點信息，并能實時處理海量的相關交通信息，這就需要擁有大規模數據處理能力的平臺支撐。隨著近些年云計算技術的不斷發展，研究人員通過在車輛和相關路側設施上搭建車輛云處理平臺的方式，使得車輛行駛過程中可以高效利用云端提供的服務。由于車載網絡是通過無線信道進行通信，不可避免地要面臨很多威脅和攻擊，比如說注入虛假錯誤的信息、修改或重放以前的信息等等。對于傳輸與生命相關的安全信息的車聯網而言，這些威脅和攻擊會造成嚴重后果。車聯網隱私保護領域的先驅者Raya曾指出：“VANET能否被接受和推廣，安全和隱私保護起著關鍵性的作用”。為此，迫切需要對車聯網隱私保護進行全面和系統的研究。文章關注車聯網安全與隱私問題，提出了層次化車聯網移動云安全架構，該架構擴展性高，不僅滿足匿名認證的基本特性，還能有效避免傳統分布式假名管理機制下的路上證書更新開銷和車輛與區域授權機構之間的隱私信任缺失問題。

1層次化車聯網移動云安全模型

隨著移動互聯網的蓬勃發展，基于移動終端如智能平板、手機等的云計算（Mobile cloud computing，移動云計算）服務已經出現。移動云計算是指通過移動網絡以按需、易擴展的方式獲得所需的基礎設施、平臺、軟件（或應用）等的一種IT資源或信息服務的交付與使用模式。移動云計算使移動終端獲得云提供的彈性資源，功能更為強大。

文章所采用的車聯網移動云服務系統模型包含車載云、路側云和中心云3個層次，其中車載云由車載節點構成，車載節點之間通過相對松散結合方式，相互共享計算資源和存儲資源；路側云由RSU構成，RSU包含無線接入模塊和本地服務器，物理邏輯相鄰的本地服務器之間有較為穩定且充足的帶寬，可以將這些資源結合成為較為集中且穩定的服務提供平臺，它的計算資源和存儲資源既可以對車載終端用戶開放接入也可以對服務提供商開放接入；中心云可以是多個的，其中面向智能交通的中心云則由交管部門數據中心服務器構成，車載終端用戶可通過DSRC，蜂窩無線通信或者WIFI并經過Internet接入中心云，使用中心云提供的計算和存儲資源。

在“云層”中實現面向智能交通的車輛安全與隱私保護，需要充分考慮各層云的特性以及最終用戶的特性。與傳統的互聯網所不同的是，車聯網用戶群是一個具有高移動性且計算、存儲能力相對較弱的群體。高移動性在車聯網的初期表現出拓撲的不確定，OBU可能長時間無法接入RSU，只能在小范圍的臨時OBU體中實現資源分享，無法形成可信通信的有效拓撲，適合采用一次性的獲取海量假名進行匿名認證；而在車聯網的發展期則表現出拓撲的不穩定性，OBU雖然能夠通過各類的RSU接入而獲取網絡資源，并可以與周圍的OBU實現資源共享，但是拓撲卻隨著高速移動而快速變化，可以采用有限時間內領取若干區域假名進行匿名認證。

筆者提出層次化車聯網移動云安全模型，如圖1所示。從“云層”方面看，遠端的中心云資源充足、功能強大，但由于受到核心通道的流量制約，適合與交通管理中心構成車聯網的cA樹，為車輛提供注冊、認證、資格管理等核心隱私業務；由RSU以及就近的服務器所構成的“微云”貼近最終用戶，部署靈活，可以承載各種服務，但卻在安全性上不如中心云，其安全性依賴于部署云層的安全策略以及物理設備的安保，適合在CA的授權下分擔證書的生成與發放以及提供普通的證書驗證服務。

2車聯網移動云安全隱私保護方案

匿名認證是車聯網安全和身份隱私保護的關鍵機制。傳統分布式假名證書管理方案允許車輛在行進中通過RSU更新假名證書，同時限定證書的有效期和使用區域。路上證書更新屬于實時服務，在有限的時間內為大量過往車輛更新假名證書對RSU服務能力提出極大的挑戰。針對這一情況，我們提出的層次化車聯網移動云安全模型可適用于車輛匿名認證的流程，同時也有效降低對RSU處理器性能的依賴，以減少服務不可保證的風險，保證車聯網系統的穩定和安全。

2.1主要工作模塊

車聯網移動云安全隱私保護方案由三個工作模塊互相協作完成：

（1）位于中心云的cA模塊。它部署于遠端，主要完成車輛身份的認證、車輛身份信息的保存與管理、用于匿名通信的假名池的管理、LA身份的認證、LA信息的保存于管理、公共信息的發放、CRL的生成與發放、安全策略的執行與監管。該模塊的規模與元素由車聯網的規模決定：①當在車聯網初期，入網車輛較少，RSU數量規模較小，大地區范圍內微云數量少，中心云覆蓋范圍寬廣時，CA可以是一個服務器群組；②當車聯網進入發展期，在OBU、RSU、微云量級大幅提高，基于智能交通服務的中心云地區化之后，CA可以是一個樹狀結構的分布式中心，在根CA以下，每個子CA所轄地區可以與我國交通行政劃分相結合，形成一個抽象的功能強大的CA。

（2）位于“微云”的LA模塊。它是本地認證中心，與CA通過有線網絡互聯，主要完成車輛證書的生成與分發、協助揭露惡意車輛的身份、CRL的同步以及區域廣播、提供車輛匿名證書的認證等。LA簽發的假名證書只有在所屬CA所在地區內是合法的。車聯網部署的不同時期，“微云”的覆蓋范圍、部署密度，云內RSU的密度，云的自身性能等都是不同的，LA根據“微云”的參數依據安全策略制作分發一定基數的假名證書，并聲明證書生存時間。作為分散在路邊的設施，RSU存在著被攻擊者破壞或者入侵的可能，但是分布于區域內的“微云”確保了LA的系統的健壯，這將比基于RSU的分布認證模型擁有更大的安全性。另一方面，基于“微云”的LA數量性能更強大，部署數量遠小于基于RSU的模型，大大減少cA組播造成的帶寬消耗。

（3）位于OBU的隱私保護模塊。它是用于處理車輛認證流程的場所，通過該模塊認證的OBU之間可以相互通信，分享交通信息，提高駕駛體驗。在分布式假名管理機制中，OBU不定期更換假名證書對外發布信息并且接收LA所公布的CRL。當假名證書生存期將過，OBU經過RSU時請求更新假名證書，更新的數量應保證車輛在證書生存期內保證隱私保護能夠達到一定的標準。

2.2系統特性

車聯網移動云安全隱私保護方案除了滿足匿名認證的基本特性外，還具備以下優點。

（1）優化路上證書更新過程中間CA的運算壓力以及核心網絡的傳輸壓力；

（2）保證了LA的強壯性與自主性。部署于云的LA安全性依托于云安全，性能是可以動態調配的，當計算壓力突然增大時可有有效避免資源不足而造成服務中斷。

（3）保持OBU對LA的身份隱私。LA協助CA完成OBU更新證書，發揮區域授權機構的功能，但是無法將OBU真實身份與假名關聯，無法將其他區域LA頒發的假名證書相關聯，因此，有限度地保護了用戶身份隱私。

3結語

文章結合移動云計算、車聯網安全和匿名認證等方向的研究，提出了層次化車聯網移動云安全模型，分析了在車聯網移動云安全隱私保護方案中主要模塊的職能和工作流程，該安全模型在滿足車聯網匿名認證的基本特性的同時，可有效降低對車聯網路側設施的工作負荷水平，提升車聯網系統的穩定性和安全性。