一种基于投票的VANET位置验证方法

陈佳威

（同济大学 电子与信息工程学院，上海 201804）

0 引言

VANET中很多与安全相关的应用都依赖于正确的车辆位置信息。但 VANET中的攻击者通过位置欺骗，达到利己的目的。位置欺骗严重威胁到车辆的行驶安全，为有效地解决位置欺骗问题，研究人员提出了利用位置验证来解决位置欺骗。

位置验证时通常利用安全定位来确定位置验证目标节点的位置，再与所声称的位置进行比较。位置验证的一般方法包括[3]：多点定位验证，三角测量法，自主位置验证等。

VANET中车辆间有较高的相对速度，网络拓扑结构变化快，路径寿命短。这使得传感器网络的定位方式（如抗攻击的位置估计、信标套件技术等[2]）不适合VANET，为验证车辆的位置带来了一定的挑战。但 VANET不受电源和计算能力的限制，具有相当的计算和储存能力。这些有利条件为设计出新的VANET位置验证方法提供了基础。

基于MMSE的位置验证方法[4]是通过最小均方误差推得一个良性邻居集，此良性邻居集的大小应大于目标车辆的直接邻居数量的一半。若推不出这样的良性邻居集，则说明目标车辆实施了位置欺骗。

为更高效准确地检测出位置欺骗，本文引入投票机制，通过协作式的投票，来更好解决 VANET中位置验证，进一步提高位置检测的正确性。其基本思想是将连续时间转化成一个个静态帧，在每个静态帧上，主检测者启动多轮投票过程。该过程为主检测者审核投票者的投票资格、划分目标区域为网格，接着与审核通过的从检测者对网格进行投票，最后选出票数最多的网格（组）。在此基础上，用阈值判定验证被检测者是否实施了位置欺骗。

1 基于投票的VANET位置验证

1.1 系统模型及假设

本文定义了VANET中的3种车辆类别：主检测者(MT, Major Tester)、被检测者(PT, Passive Tester)和从检测者(FT, Followed Tester)，如图1所示。假设数据包在通信过程中，均须安全认证，确保恶意车辆在一定时间内无法伪装成多个车辆来进行位置欺骗。

MT：收到一跳邻居的数据包并对该数据包的源节点发起位置验证过程的车辆。

PT：每辆行驶的车辆周期性的广播一个数据包。通常车辆发出一个数据包后，被检测者的位置受到邻居车辆的位置验证。

FT：被检测者一跳通信范围内的所有邻居为从检测者，为主检测者提供关于被检测者的位置信息的真实性。

图1给出了这3种车辆类别的关系图。由图1知，MT和PT是邻居关系，是MT和PT的共同邻居。

图1 主检测者、被检测者及从检测者关系图

VANET中车辆间的通信是通过数据包的发送和接收来完成的。数据包的格式如图2所示。其中，记录表是发送上一个数据包到发下一个数据包这段时间间隔内收到的所有直接邻居数据包的记录，每条记录包含所收到的数据包的身份标识码，该身份标识码车辆的位置、速率、时戳，收到该身份标识码时自己的位置、速率、所测得的该数据包所附信号的功率（RSS值）。

图2 数据包的格式

为实现投票，本文定义了投票的三个主要要素：目标区域、网格和投票圆环。目标区域：PT的实际位置的所有可能范围。网格：PT的实际位置的可能范围的一小部分。投票圆环：投票者认为PT的实际位置的可能范围。图3给出了目标区域、网格及投票圆环的关系图。由图可知，目标区域划分为网格，投票圆环是目标区域的一部分，它与多个网格有重叠部分。

为验证车辆位置，本文进一步假设：

1）每辆车都装有以下设备：全球定位系统(GPS)接收器，可为位置信息提供二维平面的坐标；无线收发设备，发射数据包时使用相同的全向发射功率。

2）大多数的车辆是位置可信的，仅有部分会实施位置欺骗，即：若一个车辆周围有n辆车，良性车辆的数目至少为( 2)/2n+[5]。

图3 目标区域、网格及投票圆环关系

1.2 问题描述与设计目标

假设在高速公路场景下，通过对车辆进行位置验证，检测出位置欺骗的车辆。给定一个区域，该区域中车辆集合为。显然，是VI的子集，即FT⊆VI。FT可为空集，可以是一个元素的集合也可以是多个元素的集合。

本位置验证方案拟实现以下目标：

1）假设PT的声称位置为 P T(x,y)，实际位置为 P T′(x′,y′)，若不满足PT≅ P T′，MT能检测出PT实施了位置欺骗。

2）位置验证方法的正确率为 acR，漏警率为 fnR ，虚警率为 fpR 。在车辆总数和恶意车辆数目相同的高速公路场景下，达到

1.3 位置验证方案

1.3.1 位置验证流程

本位置验证方案采用两步骤来检测车辆是否实施了位置欺骗：

1）MT单独对 PT进行一个初步的真实性检测[7]：若PT所声称的位置不在MT的投票圆环内，则可直接确定PT存在位置欺骗，位置验证结束，否则进入下一个步骤。

2）MT联合从检测者FT对PT进行一个深入的位置验证：MT收集来自从检测者的数据包，从中提取出PT触发的静态帧，再用基于投票的位置验证算法判断PT的位置是否属实。

图4 位置验证流程

1.3.2 投票圆环

投票圆环是投票者通过接收到被检测者的数据包，接着利用 RSS测距技术计算得出。本文采用Rappaport的大尺度无线信号传播模型[6]来计算 T-R距离，忽略VANET中的小尺度衰落[1]。

将车辆A和车辆B之间的距离表示为 (,)DAB，其中A为数据包发送者，B为数据包接收者。因为测量误差的存在，使得 (,)DAB的值落在一个最小值和最大值的范围内。如图3所示，即B能将 A的位置限定在以自己为圆心，(A,B)和A ,B )为内外半径的圆环内，将此圆环称为 B的投票圆环。

1.3.3 基于投票的位置验证算法

为解决动态变化网络中，车辆在运动时仍能完成投票的问题，本文采用了文献[5]提出的时间切片的概念，把连续时间转化为一系列时间间隔极小的静态帧。当某个PT在 1t时刻发送数据包给其邻居节点时，触发了 1t时刻的一个静态帧。当在t′时刻MT收集到 1t时刻的所有FT的信息后，就启动对PT的投票位置验证算法。如图5所示，假设这些车辆发送数据包的先后顺序为MT。MT等1到2个周期（数据包发送周期为0.3～1 s），直到收集到一定数量的关于PT在时刻 1t静态帧中的信息（如图中的t′或t′），然后再利用基于投票的位置验证方法做后续处理。

图5 通信过程

每个PT触发的静态帧上，MT首先识别出一个包含所有车辆（MT、PT和所有FT）声称位置的最小矩形，之后基于每个声称位置用bR来扩展这个矩形， bR为数据包的最大传播范围（根据专用短程通信技术标准， bR为 300米）。这个被扩展的矩形与实际道路的重叠部分就构成 MT的目标区域。MT把目标区域分割成M个网格，网格的边长为L，如图6所示。每个网格有一个票数状态变量，初始值为零。

药物、饮食、各种疾病状态均可改变华法林的药代动力学。药化表明，S-华法林异构体比R-华法林异构体的抗凝效率高5倍，因此干扰S-华法林异构体代谢的因素更为重要。维生素K摄入量是影响华法林抗凝治疗效果的关键要素。很多日常饮食及营养保健品也会影响华法林的抗凝作用。当患者口服华法林进行抗凝治疗时，应尽量保持饮食结构的均衡，不要盲目服用过多的营养保健品，并定期监测PT和INR。

首轮投票开始前，MT须对每个FT的投票资格进行审核。MT收集到PT触发的静态帧上所有FT的数据包后，提取时刻 t2FT的位置 ( x 2 ,y 2 )、速率 v 2及记录表中FT上一时刻 t1的位置 ( x1,y1 ) 、速率 v1。按式（1）和式（2）可求出 t1 - t 2时间内该车辆的平均速率。若v或v′超过了公路上的限制车速，则该FT不具有投票权。若满足(v- v ′)/v≤ λ ，λ取5%以内，该FT才具有投票权。

MT和审核通过的FT组成投票委员会。为判断PT的实际位置落于哪个网格，投票委员会对所有网格进行投票。投票规则[8]是：网格与 n个投票者的投票圆环有重叠部分，即有n个投票者认为PT的实际位置落于该网格内，该网格的票数状态变量加n。网格的票数越多，表示PT的实际位置落于该网格的概率越高。如图6所示，若PT的声称位置在 P T1处，PT得到的票数为3，其声称位置具有很高的可信度；若PT的声称位置在或处，PT得到的票数为2或1，因网格的最高票数为3，所以PT的声称位置是虚假的。

图6 基于投票的位置验证

首轮投票结束后，MT可能会发现一个或多个票数最高的网格。MT识别出一个包含所有票数最高网格的最小矩形作为下一轮投票的目标区域，把目标区域以更小的量化间隔划分为网格，然后再执行新一轮的投票。

新一轮投票开始前，MT须对剩余投票者进行投票资格审核。若投票者没有把票投给票数最高的网格，该投票者不能参加新一轮投票，同时更新投票委员会。新一轮的投票过程中，由于目标区域的缩小，网格面积减小，这样位置估计的精确度更高。当达到设置的精度（L小于预设临界值2Me[9]）时，多轮投票就终止，MT选出最后一轮中产生的票数最高的网格（组），并把它的几何中心当作PT的估计位置。其中Me为平均测量误差。

通过投票法得到PT的估计位置后，接着执行阈值判定。阈值判定的过程如下：假设PT的投票法估计位置为()，PT的声称位置为(x,y)。若，PT的声称位置是正确的，否则PT实施了位置欺骗。τ为预设临界值，一般设为5以内。

阈值判定后，MT得出PT是否实施了位置欺骗。一个静态帧的多轮投票过程结束，MT等待下一个静态帧的到来，启动新一次多轮投票过程。

2 安全性分析

VANET中，位置验证方法的安全性是一个关键问题。分析一个位置验证算法的安全性主要是考察其检测邻居车辆是否发起位置欺骗攻击的能力。这里分析了VANET中几种位置欺骗的情形。

情况1 PT声称的位置未落在MT的投票圆环内。这种情况下，基于投票的位置验证算法能直接通过真实性检测将这种位置欺骗检测出来。

情况 2 PT属于一种狡猾的攻击者，它能逃脱MT的真实性检测，但没有与其他车辆合伙。

情况3 PT属于一种狡猾的攻击者，它能逃脱MT的真实性检测，且勾结其他车辆合伙进行位置欺骗。

在这两种情况下，假设对于PT来说，有N个邻居车辆，这些邻居车辆中有n个良性车辆和m个恶意车辆。可知：

假设1P表示恶意车辆可通过投票资格审核的概率，2P表示良性车辆没有通过投票资格审核的概率。当且仅当参与投票的良性车辆数小于等于参与投票的恶意车辆数时，即：

无法检测出PT实施了位置欺骗。由方案假设知：

将式（3）和式（5）代入式（4）得到：

由投票资格审核的规则可推断出2P的值非常小，接近于0。因此忽略式（6）中的2P，可得：

因为 0 ＜P1＜1，式（7）右边的值为负，N要小于等于一个负数，这与实际不相符。

通过上述分析，本节主要针对三种基本情况进行了讨论，无论哪种情况出现，本算法都可以较高的准确率来验证位置。

3 实验仿真

位置验证方法有效性的评价参数包括：

1）正确率（Rac，Accuracy），Nsv表示正确的位置验证次数，Ntv表示总的位置验证次数，则公式为：

2）漏警率（Rfn，False Negative Rate）：指恶意位置被识别为良性位置的比率；Nfm表示通过位置验证的恶意节点数，Ntm表示总的恶意节点数。公式为：

（3）虚警率（Rfp，False Positive Rate）：是指良性位置被识别为恶意位置的比率；Nfb表示未通过位置验证的良性节点数，Ntb表示总的良性节点数。公式为：

本次仿真选取的场景为：一个双向4车道，每车道宽2.5 m，长500 m的高速公路。在这10 m×500 m的目标区域内随机部署1个主检测者MT和N-1个邻居节点，N是车辆总数考虑到不同时刻车流量的不同，道路上会出现密集车辆网络和稀疏车辆网络，所以在一天24小时中设置峰顶值1tN和3tN，峰谷值2tN和4tN，峰顶和峰谷间的时间区域内，N是单调的。

车辆在行驶中为匀速运动，速度为（20～42 m/s）间的一个随机值。车辆分为良性车辆和恶意车辆。良性车辆：以周期T广播自己的数据包。恶意车辆分为单独攻击的车辆和共谋攻击的车辆。单独攻击的车辆：上报的数据包中位置和RSS信息都是随机的。共谋攻击的车辆：上报的位置是随机的，但RSS信息是计算出来的。良性车辆数目与恶意车辆数目也是随机分布的，但满足N =+和＞这两个条件。

仿真结果如图7和图8所示。

图7 两种位置验证方法的正确率

图8 两种位置验证方法的漏警率与虚警率

由图可知，基于投票的位置验证算法的正确率比基于MMSE的位置验证算法高，漏警率和虚警率比基于MMSE的位置验证算法低。

4 结语

检测位置欺骗，减少位置欺骗相关的攻击对于VANET的安全性而言是最为关键的因素之一。本文的工作主要针对该领域，设计了一种基于投票的位置验证方法，来有效且安全的实现 VANET中的位置验证。

本文仅研究了 VANET中的位置验证，如何将位置验证同 VANET中较为成熟的安全和隐私保护机制结合起来使用，使之和谐的共同确保 VANET的安全性，还需设计一种安全架构，这也是本文需要进一步研究的内容。

[1] 熊飚,张小桥.VANET网络中小尺度衰落信道仿真[J].通信技术,2010,43(12):56-57.

[2] 杨跃,王福豹,段渭军.无线传感器网络安全定位研究[J].信息安全与通信保密,2008(09):56-60.

[3] SONG Joo-Han, WONG V W S, LEUNG V C M. Secure Location Verification for Vehicular Ad-Hoc Networks[C].USA:IEEE,2008:1-5.

[4] XUE Xiaoping,LIU Mingyang,LIN Nizhong, et al. TSLV:Time － Slice － Based Location Verification for VANET[J]. China Communications,2011(05):130-143.

[5] ZHONG S, JADLIWALA M, UPADHYAYA S,et al. Towards a Theory of Robust Localization Against Malicious Beacon Nodes[C].USA:IEEE,2008:1391-1399.

[6] LAURENDEAU C, BARBEAU M. Probabilistic Localization and Tracsking of Malicious Insiders Using Hyperbolic Position Bounding in Vehicular Networks[M].USA:ACM,2009:1-13.

[7] WHITEHOUSE K, KARLOF C, CULLER D. A Practical Evaluation of Radio Signal Strength for Ranging-based Localization[J].Mobile Computing and Communications Review,2006,11(01):41-52.

[8] LIU D, NING P, DU W K. Attack-resistant Location Estimation in Sensor Networks[C]. USA:IEEE,2005:99-106.

[9] Yan Gongjun, Chen Xingwang, Olariu. Providing VANET Position Integrity through Filtering[C]. USA:IEEE,2009:1-6.