VANETs中基于群签名的假名交换位置隐私保护方案

刘世启，蔡英，马孟晓，范艳芳

(北京信息科技大学 计算机学院，北京 100101)

0 引言

如今，随着城市的发展、车辆数量的增加，用户对道路安全的关注度越来越高，促进了车载自组织网络(vehicular ad-hoc networks,VANETs)的快速发展[1]。VANETs是由车辆作为移动节点组成的一种移动自组织网络，在车载单元(onboard unit,OBU)和路边单元(roadside unit,RSU)的协助下，能够为车辆与车辆以及车辆与基础设施之间提供实时通信，促进车辆间信息共享[2]，提升道路安全。VANETs中增强道路安全的应用主要有本地危险警告、电子紧急制动灯和协作避碰等[3]。这些应用通过频繁收集车辆的信标消息为用户提供安全服务。信标消息中包含车辆的实时位置数据，攻击者可能利用这些实时数据对车辆实施跟踪，分析用户的社交活动，甚至威胁用户的人身安全[4]。因此，保护增强道路安全的应用中用户的位置隐私至关重要。

针对上述位置隐私泄露问题，现有基于假名更新的隐私保护方案主要有：静默期、混合区以及群签名。Huang等[5]在2005年首先提出了静默期的概念——即新旧假名之间的过渡期，该方案降低了新旧假名间的可链接性，能够抵抗关联攻击。Sampigethaya等[6-7]利用车辆周期性处于静默状态来抵御攻击者的持续跟踪。但该方案中车辆处于静默期的最大时长受信标消息广播周期的限制[8]，且即使最大静默时长被限制到0.01 ms，攻击者仍有可能通过时间和空间的关联关系追踪到目标车辆。Freudiger等[9]首次提出在交叉路口构建混合区，利用混合区保护VANETs中的车辆位置隐私；Lu等[10]在此基础上提出在车流量较大的区域(如十字路口、红绿灯处、停车场等)建立混合区，以增加同时更新假名的车辆数量，提高假名混淆程度，但该方案在车辆稀疏场景下无法为用户提供有效的位置隐私保护[11]。Chaum等[12]首次提出群签名技术；Lin等[13]将群签名技术应用于车载自组织网络中解决车辆通信过程中的安全和隐私泄露问题。Yu等[14]提出了MixGroup方案，结合群签名和假名交换技术，通过车辆与群内其他车辆随机交换假名，使攻击者准确追踪到目标车辆的难度被累积放大，以达到保护车辆位置隐私的目的。

然而，现有的静默期和混合区方案忽略了权威机构产生和分发假名计算开销较大的问题，群签名方案能有效阻断攻击者的跟踪，但忽略了车辆的行驶状态对攻击者链接新旧假名的影响。因此，本文基于群签名技术设计了假名交换算法，通过与群内具有相似行驶状态的车辆进行假名交换，可以减轻权威机构的计算开销，同时增大攻击者准确链接目标车辆新假名的难度，有效抵御攻击者的跟踪，保护了车辆用户的位置隐私安全。

1 系统模型与问题描述

1.1 系统模型

本方案中VANETs的网络系统模型主要由配备了OBU的车辆、RSU和权威机构(trusted authority,TA)3部分实体构成，如图1所示。其中，RSU与装载了OBU的车辆构成了下层网络，在道路上行驶的车辆能够通过OBU与其他车辆或路边基础设施进行通信。为保证车辆行驶过程中道路安全，每辆车都会定期广播信标消息(包括车辆的假名、实时位置、行驶速度、行驶方向等)。由于下层网络中车辆与车辆以及车辆与RSU间主要采用专用短程通信(dedicated short range communication,DSRC)协议[15]进行通信，因此，信标消息的广播周期为100～300 ms。另外，在VANETs中每辆车都有自己唯一的身份标识(vehicle id,VID)，还有许多假名以及与假名相对应的公私钥对，车辆在发送每条消息之前都会对消息进行签名，其他车辆或RSU在收到消息后则会对消息签名进行验证。上层网络主要由TA和应用服务提供商(如交通控制中心等)构成。为保证安全、高效的数据传输，上层网络主要采用有线链路进行通信。TA能够为车辆提供注册和吊销服务，以及为车辆产生假名等；应用服务器利用车辆的实时位置数据为车辆提供安全可靠的路况信息，同时，分析车辆的行驶数据，将非法车辆信息提供给TA进行追责。

图1 VANETs系统模型

1.2 问题描述

用户车辆在行驶过程中，为了促进道路安全需要定期广播信标消息，应用服务提供商通过车辆广播的信标消息获取车辆的实时位置数据，为车辆提供必要的服务信息。在这个过程中，应用服务提供商需要收集用户车辆大量的位置数据，能够通过链接车辆的新旧假名，重新构建车辆完整的行驶轨迹，导致用户车辆的位置隐私存在被泄露的风险，甚至影响用户的人身及财产安全。

另外，本文主要考虑被动攻击，攻击者只能通过车辆定期频繁广播的信标消息来被动获取车辆的位置数据。同时，攻击者无法阻止车辆更新假名，也无法强制车辆更新假名。

2 方案设计

2.1 基于群签名的假名交换方案

方案主要包括6个步骤：系统初始化、密钥的生成、车辆加入、假名交换、假名激活和车辆离开。车辆在假名交换过程中的状态图描述了车辆从一种状态过渡到另一种状态的条件，如图2所示。

图2 车辆状态

2.1.1 系统初始化和密钥的生成

在VANETs中，车辆与其他车辆或基础设施节点进行通信之前，需要向权威机构完成注册并获得相应的密钥，该过程如图3所示。

图3 车辆注册和密钥生成过程

2.1.2 车辆加入

算法1车辆加入算法

输入：车辆i的假名、位置、公钥和公钥证书(pi,k,li,PKi,k,Ci,k)

1. 车辆发送入群申请；

2. if (车辆i发送入群申请至收到RSUk回复的时长Δt

3. 存储Gkey和Tkey至TPD中；

5. 广播信标消息；

6. else返回第1步；

7. end if；

2.1.3 假名交换

车辆i成为合法群成员后，会周期性频繁广播信标消息，此时使用的是群Gj为其分配的群身份GIDj，而非假名pi,k。车辆假名从最后一次更新完成的时刻起至当前时刻t的时长称为该假名的年龄，记为Z(t)。假名更新过程中，将假名年龄建模为具有老化率λ的随时间线性增加的函数，λ值与假名的更新方式有关，如果车辆独自更新假名，则λ值较大；反之，λ值较小。本文实验中取λ=1，车辆i的假名年龄为

Zi(t)=λi(t-Ti)

(1)

式中Ti为车辆i假名最后一次完成更新的时间。当Zi(t)≥δ，即超过假名年龄阈值δ时，车辆i需要更新假名，同时广播假名交换请求。第j辆车收到假名交换请求后，首先验证车辆i身份的合法性，如果自己恰好也需要更新假名，则响应车辆i的假名交换请求。然后，车辆i在所有响应其假名交换请求的车辆中选择与之行驶速度大小最相似的车辆进行假名交换。假设群Gj中所有同意与车辆i交换假名的车辆构成集合Vswap，车辆i的速度为νi，车辆j的速度为νj，则车辆i与车辆j的速度相似度为

(2)

然后，选择速度相似度simν(Vi,Vj)值最大的车辆i与车辆j交换假名。

算法2假名交换算法

输入：车辆i最后一次更新假名的时间Ti，速度νi

输出：车辆i的新假名pj,k

1. 计算车辆i的假名年龄：Zi(t)=λi(t-Ti)；

2. while (Zi(t)≥δ)

3. 广播车辆的假名交换请求；

4. end while

6. 比较所有车辆simν(Vi,Vj)值的大小，选择simν(Vi,Vj)最大的车辆j与车辆i进行假名交换；

7. 存储新假名pj,k；

2.1.4 假名激活

第i辆车与第j辆车完成假名交换后，此时车辆i的假名变为pj,k，但这个假名目前无法立即使用，需要向TA请求激活。车辆i通过附近的RSU向TA发送假名激活请求：

TA在收到车辆i的新假名激活请求后，首先验证其身份的合法性，然后为其新假名pj,k产生并分发对应的新公私密钥对(PKnewj,k,SKnewj,k)以及新证书(Cnewj,k)。至此，车辆i通过假名交换获得的新假名已完成激活。但值得注意的是，为避免攻击者的持续跟踪，增大攻击者链接新旧假名的难度，车辆i在离开群Gj之前，依旧使用群身份进行通信和广播消息，离开群后再使用新假名。

2.1.5 车辆离开

当车辆i通过第k个RSU的边界并且无法收到RSUk的信号时，将会使用新假名pj,k代替群身份广播信标消息。而RSUk如果在Tmax时间内仍没有收到来自车辆i的任何信标消息时，将认为其已离开，同时从群成员列表中删去其群身份。车辆i离开群后，自行决定是否加入下一个群，或选择使用新假名一段时间后，再加入附近的群进行假名交换，阻断攻击者的持续跟踪，有效保护位置隐私。

2.2 性能分析

从车辆位置隐私保护的实时性、对周围车辆的依赖性和消息验证的合法性方面，对比本文方案与现有的静默期方案[7]和混合区方案[10]的性能，如表1所示。

表1 不同方案的性能比较

基于静默期的位置隐私保护方案通过车辆周期性处于静默状态，停止广播信标消息，以此阻断攻击者的连续跟踪，但车辆处于静默期间无法进行通信，不利于车辆行驶安全，同时该方案中没有考虑信标消息的合法性，致使车辆接收的道路安全信息存在可疑，因此该方案不适用于车辆行驶环境快速变化的VANETs中基于车辆安全的应用服务场景。基于混合区的位置隐私保护方案通过车辆与周围其他车辆协作，同时更新假名，实现对攻击者的混淆，达到实时保护车辆位置隐私的目的，但该方案的隐私保护效果依赖周围车辆密度，而且该方案亦缺乏验证车辆信标消息的合法性，因此不适用于VANETs中车辆稀疏的场景。本文方案能够弥补上述不足，采用群签名技术实现对车辆信标消息合法性的验证，通过假名交换技术实现假名的更新，一方面增大了攻击者链接车辆新旧假名的难度，另一方面降低了TA的计算开销，而且本文方案隐私保护效果不依赖周围车辆密度，能够很好地解决基于车辆安全的应用服务所带来的位置隐私泄露问题。

3 仿真实验

实验中采用SUMO模拟器[17]进行模拟，并使用北京市真实地图，实验区域面积大小为8 km×8 km。仿真参数设置如表2所示。

表2 仿真参数

本方案采用匿名集的大小和匿名熵作为位置隐私度量标准。

将已完成假名更新的车辆集合记为匿名集AS。其中，更新了假名的车辆数量即为该匿名集的大小|AS|。|AS|值反映了车辆使用静默期方案和混合区方案更新假名过程对TA计算资源的占用情况。

本文方案中位置隐私保护强度取决于从对手的角度将假名映射到车辆真实身份的不确定性，即匿名熵HA，它从侧面反映了攻击者的跟踪成功率。假设车辆i更新假名后被成功跟踪(即攻击者准确链接其新旧假名)的概率为P(i)，则其匿名熵为HA(Vi)=-P(i)log2P(i)。由此可得，集合AS的匿名熵为

(3)

模拟仿真实验中，分别设置了3种不同的车辆密度场景：300、500和700辆。对比分析了所提方案与静默期[7]、混合区[10]和群签名方案[14]在不同场景中的位置隐私保护效果。

静默期方案、混合区方案和本文方案在不同车辆密度场景下的匿名集大小如图4所示。可以看出，本文方案在不同车辆密度场景中的匿名集大小均比静默期方案和混合区方案小。静默期方案和混合区方案中车辆频繁从TA处申请假名，尤其在车辆密集区域给TA造成巨大的计算开销，而本文方案中车辆在RSU所管理的群内使用群身份广播消息，有效减少了车辆从TA处获取假名的频次，降低了TA的计算开销，能更好地适用于VANETs中基于车辆安全的应用服务。

图4 不同车辆密度场景下的匿名集大小

在不同车辆密度场景中，对比了本文方案与静默期、混合区和群签名方案的匿名熵。在模拟开始时，将匿名熵重置为0，车辆行驶过程中不断更新假名，50 s后各方案的匿名熵如图5所示。由图5可以看出，本文方案在不同车辆密度场景中的匿名熵均大于其他方案。同时，本文方案与群签名方案对比，证明了通过具有相似行驶速度的车辆间交换假名，能更有效地增大攻击者链接新旧假名的难度，从而更好地保护车辆的位置隐私，防止攻击者的持续跟踪。

图5 不同车辆密度场景下的匿名熵

4 结束语

针对VANETs中增强道路安全的应用所带来的位置隐私泄露隐患，提出了基于群签名的假名交换位置隐私保护方案，设计了假名交换算法，通过车辆间相互交换假名，减少了车辆独自向权威机构申请假名更新的频次，降低了权威机构的计算开销。同时，在具有相似行驶状态的车辆间交换假名，增大了攻击者链接车辆新旧假名的难度，有效保护了位置隐私安全。目前，有效管理群成员制约了群的规模大小，因此，未来将主要研究群的规模以更好地保护车辆的位置隐私安全。