基于城市公交的车载自组网隐私保护协议

杨亚芳（山西大学 软件学院，山西 太原 030013）

基于城市公交的车载自组网隐私保护协议

杨亚芳
（山西大学 软件学院，山西 太原 030013）

针对车载自组网中存在的隐私泄露问题，提出了一种基于城市公交的车载自组网隐私保护协议。该协议利用可信度高的公交车来广播路况信息和应答车辆路况信息的查询，有效地减少普通车辆需认证消息的数量；公交车利用安全认证中心颁发的数字证书与其他车辆建立起信任关系，解决了用户假冒的问题；车辆之间利用Diffie-Hellman算法生成会话密钥对消息进行对称加密，有效地保护了用户的身份信息，同时提高了消息认证的效率。安全性证明和分析表明，该协议在语义上是安全的，能抵抗现有各种攻击，并且可以实时处理用户的请求。

车载自组网；公交车；安全；隐私；数字证书

0 引言

车载自组网（Vehicular Ad hoc Network，VANET）由认证中心（Certification Authority，CA）、路边单元（Road Side Unit，RSU）和车载单元（On Board Unit，OBU）共同组成［1-2］。VANET能有效地提高道路的使用效率，减少意外事故的发生，因此受到学术界和工业界的普遍关注，已取得了部分研究成果。

然而，VANET的发展仍面临着巨大的挑战，VANET的开放性使得攻击形式多样化，高度动态性和移动性使得攻击行为难以被检测与发现。如何在确保信息的完整性和可追溯性的同时，保护用户的安全隐私，并且实时处理用户请求成为接纳VANET的关键。

一般来说，VANET中的车辆需要保护身份不被泄漏，而RSU不需要保护其身份。为了确保合法用户的身份信息不被攻击者所知，必须对其身份信息进行加密；为了防止恶意节点假冒合法用户，目前各国要求所有车辆必须在管理部门进行登记注册，管理部门对所有车辆进行统一编号并提供身份认证。VANET中车辆身份编号的唯一性能有效保证身份认证服务的实施。身份认证可以有效保护系统不被外部攻击者所侵害，但增加了个人隐私泄漏的风险。有时VANET通过不定期地更换假名来保护用户隐私。

然而VANET不定期更换用户假名容易引发女巫攻击［3］，一个恶意节点蓄意声称自己有多个不同身份的女巫攻击会对VANET产生巨大危害［4］。针对这些问题，陈辰［4］提出了女巫攻击检测算法SADSIV，通过验证授权认证单元（Authentication Unit，AU）定期向车辆节点提供不可篡改的数字签名来确定车辆身份的唯一性。由于同一AU对不同车辆的数字签名相同，那么恶意节点可能会根据AU的数字签名追踪用户。

针对这些问题，王景欣等人［5］构建了匿名互换的社团，并通过组密钥机制实现保证基本安全需求下的匿名互换。同时，参考文献［6］提出所有车辆节点必须在CA注册并且由其分发车辆的公钥和私钥以保证用户的隐私。但是，这些协议［5-6］未考虑到 VANET中所产生的海量消息，认证需要花费大量时间，尤其是在车流密度大的情况下，难以实现实时性。

针对参考文献［5-6］消息的不及时性，刘辉等人［7］提出了一个基于群组密钥的认证方案。该方案采用批量验证技术降低了车辆的计算开销，成功地解决VANET中消息认证的不及时性。但是该方案不能抵抗重放攻击。

［4-7］中任何车辆都可以广播消息，那么海量消息可能会阻塞信道，同时需要大量的签名认证，耗费大量时间和计算能力。因此设计一个高效的隐私保护协议迫在眉睫。

本文提出一个基于城市公交的VANET隐私保护协议，能实时处理用户的请求，同时很好地保护用户的隐私。协议仅允许可信性高的公交车广播消息，有效地减少了消息的数量，提高了消息的质量和认证速度，可以实时处理用户的请求。利用DH算法产生会话密钥进行车辆之间的信息交流，最大程度保证用户身份不被泄露。车辆之间利用对称密钥通信，提高了加密的速度，有效地减少了系统的开销。

1 预备知识

1.1 双线性对

设G1和G2分别表示阶为素数q的加法循环群和乘法循环群，p是 G1的生成元。若映射e：G1×G2→G2满足下列性质，则称为双线性对。（1）双线性：对任何a，b∈，e（aP，bP）=e（P，P）ab。（2）非退化性：e（P，P）≠1。（3）可计算性：对所有的 P，Q∈G1，都能有效计算 e（P，Q）。双线性对e可以通过有限域上的超椭圆曲线的Tate对或Wail对来构造。

1.2 Diffie-Hellman问题

CDH（Computational Diffie-Hellman）问题：任意（aP，bP），其中 a，b∈，计算 abP。BDH（Bilinear Diffie-Hellman）问题：任给（aP，bP，cP），其中 a，b，c∈，计算e（P，P）abc。

Diffie-Hellman算法具有两个吸引力的特征［8］：

（1）仅当需要时才生成密钥，减少了将密钥存储很长一段时间而致使遭受攻击的机会；

（2）除对全局参数的约定外，密钥交换不需要事先存在基础结构。

Diffie-Hellman算法也存在不足［8］：

（1）没有提供双方身份的任何信息；

（2）没办法防止重放攻击。

2 协议提出

假设CA负责车辆登记，有足够的计算能力和存储能力，所有的RSU通过有线或无线方式与CA相连。CA完全被各方信任，不可能被攻击者攻破。所有车辆都通过RSU相互通信。

本文提出了一个基于城市公交的VANET隐私保护协议。根据可信度将用户分为两类：普通车辆和公交车。相对于普通车辆，公交车具有固定的行驶路线，速度较为缓慢，具有较高可信度。本协议有4类实体，分别是公交车VB、普通车辆VC、CA、RSU。本协议分为3个阶段：注册阶段、公交车与普通车辆认证阶段、公交车认证阶段。各符号如表1所示。

表1 符号

2.1 注册阶段

普通车辆和公交车都需要在CA进行统一注册。CA为注册的公交车颁发数字证书 CertuB，不为普通车辆颁发，然而必须为所有注册车辆约定全局参数。由于一个城市的公交车归为数不多的公交公司管理，那么可以通过公交公司统一在CA注册。注册阶段，公交车、公交车公司、CA三者之间的信道是安全的。

公交车注册过程如图1所示。

图1 公交车的注册阶段

（1）公交车 VB产生公私钥对（PrkB，PukB），将 PukB、PrkB（BID）、BID通过公交公司发送给CA。

（2）CA收到 VB所发送的消息后，利用公钥 PukB解密 PrkB（BID）得到 BID，验证明文传送的 BID与解密所得BID是否相等，若相等则产生数字证书CertuB，该证书包含其生命周期 lifetime和 VB的公钥 PukB。将该证书CertuB通过公交公司发送给 VB。

（3）VB收到 CertuB后，验证是否正确，若正确，则保存该证书，否则丢弃证书。

2.2 公交车与普通车辆的认证阶段

公交车每过一段时间就广播其附近路况的消息，普通车辆和其他公交车则接收消息，若普通车辆收到消息后，需要查询更多消息，则利用DH算法生成会话密钥进行消息交流，过程如图2所示。

图2 公交车与普通车辆的认证阶段

（1）公交车 VB产生消息 M1、时间戳 t1，并用其私钥加密得 PrkB（M1||t1||CertuB），然后广播 CertuB和 PrkB（M1|| t1||CertuB）。

（2）普通车辆 VC收到公交车广播的消息后，首先验证CertuB是否合法，若合法，利用 CertuB上的公钥 PukB解密得 M1、t1；验证解密所得 CertuB是否与明文发送的CertuB相同，若相同，验证t1是否合法，若合法，则接受M1。

（3）若普通车辆需要向公交车询问更多消息，则产生时间戳t2、消息 M2，随机数a、XA∈，计算YA∈aX A。VC利用VB的公钥PukB加密消息得到PukB（M2‖t2‖YA‖a‖t1），并将其发送给VB。

（4）VB用其私钥解密得 M2‖t2‖YA‖a‖t1，验证解密所得 t1与VB保存的t1是否相同，若不相同，则丢弃 M2；否则随机选择 XB∈，计算 Q=aX B和sk=，产生回应消息 M3和时间戳 t3，将 Esk（M3‖t3‖Q）、Q发送给 VC。

（5）VC收到消息以后，计算 sk=QX A，并用sk解密得M3、t3、Q，验证明文传递Q是否与解密所得Q相等。若相等则验证 t3是否过期，若不过期，则保存 M3，否则丢弃M3。

2.3 公交车之间的认证阶段

公交车通过相互交流，得到不同路段的信息，公交车之间认证过程如图3所示。

（1）公交车 VB1产生时间戳 t4，随机选择 b，XB1∈，计算 YB=YX B1。将 PukB2（b‖YB‖CertuB1‖PukB1（CertuB1））发送公交车VB2。

（2）VB2收到消息后，利用其私钥解密消息得：b、YB、t4、CertuB1、PrkB1（CertuB1）。首先验证 t4是否过期，若过期，则丢弃消息；否则利用 VB1的公钥解密得 CertuB1，验证若相等则随机选择 XB2∈，计算 Q′= bX B2、sk′=。然后产生消息 M4和时间戳 t5。将PukB1（Q′‖t5‖CertuB2），Esk′（M4‖t5）发送给 VB1。

（3）VB1收到消息后，用其私钥 PrkB1解密消息得：Q′、t5。验证t5是否过期，若过期，则丢弃消息；否则计算会话密钥sk′=Q′XB2。利用 sk′解密得 M4、t5，验证若不相等，则丢弃消息，否则接受 M4。

图3 公交车之间的认证阶段

3 协议分析

3.1 安全性证明

语义安全是戈德瓦塞尔和米卡里［9］在 1982年提出的密码学术语。如果已知某段未知文段的密文不会泄露任何文段的其余信息，则称该密文是语义安全的［9］，并且证明语义安全性和密文不可辨别性等价［10］。

定理1基于双线性映射群中CDH数学难题成立前提下，本协议在语义上是安全的。L为本协议，是明文消息M3的集合。

证明：假设敌手（Adversary，A）在任何概率多项式时间t内得到消息M3优势为（k），那么通过构造A与挑战者交互的游戏，证明A赢得该游戏的优势可以忽略。具体步骤如下。

Setup模拟：A重构 VC与VB的会话密钥困难是，A需要知道生成会话密钥的参数XA。A将窃听所得消息PukB（M2‖t2‖YA‖a‖t1）发送给挑战者。

挑战模拟：挑战者选取 c∈｛0，1｝，选取两个长度一样的明文 m0，m1∈，将 Esk（mc||t3||Q）发送给 A。A随机选择参数 k∈，计算会话密钥 sk″=Qk，利用 sk″解密收到的消息。

猜测模拟：A输出c′∈｛0，1｝，当且仅当 c′=c时，A赢得游戏。A赢得游戏的优势为：

3.2 安全性分析经分析，该协议满足以下安全需求：（1）匿名性

本文用户分为两种：公交车和普通车辆。公交车利用数字证书与其他车辆进行相互认证，仅CA知道其身份。普通车辆利用DH算法生成的会话密钥与公交车进行交流，身份不可能被泄露。故协议具有用户匿名性。

（2）防重放攻击

本协议利用时间戳来防重放攻击。

（3）防假冒攻击

公交车用户利用数字证书 Certu来保护其身份，有效地防止了假冒攻击。

（4）防追踪攻击

在本协议中，普通车辆收到公交车广播的消息后，利用公交车公钥加密问询消息，公交车应答消息利用DH算法生成的会话密钥加密，公交车与普通车辆之间每次交流的消息不相同，故本协议可以抵抗追踪攻击。

（5）防女巫攻击

本协议中所有车辆没有假名，所以不存在女巫攻击。

3.3 性能分析

一个有效的VANET安全协议不仅满足VANET的安全需要，并且尽量减少OBU成本，提高执行效率。在本文仅有公交车可以广播和回应车辆的消息查询，普通车辆仅接收公交车所发送的消息。普通车辆与方案［5-9］相比需认证的消息数量要少许多，有效地减少了普通车辆OBU成本，提高了认证速度。虽然在一定程度上需要提高公交车OBU的计算能力和存储能力，但公交车的数量与普通车辆相比数量较少，从整体分析，本协议可以提高VANET的执行效率。

例如2015年初太原市共拥有公交车2900多辆，而2013年整个城市拥有普通车辆（仅指个人轿车）高达40万辆［11］。根据太原交通局指示，2015年度将投资 1千多万元来完成公交车智能化改造［12］。全国其他城市也正大力支持公交车的智能化改造。

4 结论

VANET的隐私保护和实时性非常关键，本文提出一个基于城市公交的隐私保护协议。该协议通过可信度高的公交车和DH算法实现实时性和隐私保护。理论分析表明，本协议能有效保证用户隐私，同时节省网络资源，适应VANET拓扑快速变化，实现安全高效的通信。

参考文献

［1］刘海涛.物联网技术应用［M］.北京：机械工业出版社，2011.

［2］Luo Jun，Hu BAUXJP.A survey of research in Inter-vehicle communications［R］.LEMKE K，PAAR C，WOLF M.Embedded Security in Cars-securing Current and Future Automotive IT Applications.［S.L.］：Springer，2010：111-122.

［3］JOHN D.The sybil attack［C］.The First International Workshop on Peer-to-Peer Systems（IPTPS′01），London，UK：Springer-Verlag，2002：251-260.

［4］陈辰.VANET系统安全的关键问题研究［D］.上海：复旦大学，2011.

［5］王景欣，王钺，耿军伟，等.基于匿名互换的车联网安全与隐私保护机制［J］.清华大学学报（自然科学版），2012，52（5）：592-597.

［6］翟苗，拱长青，刁俊胜，等.基于 PKI的车联网安全通信与隐私保护机制［J］.沈阳航空航天大学学报，2012，29（5）：59-63.

［7］刘辉，李晖.采用群组密钥管理的分布式车联网信息认证方案［J］.西安交通大学学报，2013，47（2）：58-62.

［8］杨献春.Diffie-Hellman密钥交换算法及其优化［J/OL］，［2011-09-28］［2014-12-24］http://wenku.baidu.com/view/5935096a25c52cc58bd6be49.html.

［9］SHAFI G，SILVIO M，Probabilistic encryption＆amp；how to playmental poker keeping secret all partial information［C］.Annual ACM Symposium on Theory of Computing，1982.

［10］SHAFI G，SILVIO M.Probabilistic encryption［J］.Journal of Computer and System Sciences，1984（28）：270-299.

［11］杨晶.太原机动车保有量：87万辆［N］.山西晚报，2013-11-05.

［12］苏鑫波.投资8408万建设智能化城市公交［N］.三晋都市报，2015-03-18.

Secure and privacy-preserving protocol based on bus for VANET

Yang Yafang
（School of Software，Shanxi University，Taiyuan 0310013，China）

The paper proposes a secure and privacy-preserving protocol based on bus to resolve information security and privacy-preserving problem in VANET.High reliability bus is employed in the protocol to broadcast message and reply to query of vehicle，which can reduce the number of authenticated message.Digital certificate is used to help vehicles to build trust relationship.Moreover，symmetric encryption technique is employed to accelerate the verification.Diffie-Hellman algorism solves to preserve privacy.Security test and analysis show that the protocol is semantic security，can resist existing attacks and deal with user′s request in time.

Vehicular Ad hoc Network；bus；security；privacy；digital certification

TP393.08

A

1674-7720（2015）22-0001-04

杨亚芳.基于城市公交的车载自组网隐私保护协议［J］.微型机与应用，2015，34（22）：1-4.

2015-05-30）

杨亚芳（1986-），女，硕士，助教，主要研究方向：移动互联网安全协议、VANET安全协议。