江荣旺 魏爽

摘 要：该文简述了车网联中假名变更的必要性，对当前车联网中假名变更策略进行了深入研究，并从安全性、代价等方面对当前的假名变更策略进行评价，指出当前假名变更策略存在的问题，方便以后在部署车联网的过程中，能够选择或制定出更优化、更安全的假名变更策略，确保车联网安全可靠。最后，重点介绍了当前假名变更研究现状，以及未解决的问题和未来的发展方向。

关键词：假名变更;语法链接攻击;语义链接攻击;车联网技术;无线电静默;隐私安全

中图分类号：TP393文献标识码：A文章编号：2095-1302（2020）10-00-03

0 引 言

在过去的10年里，车联网的发展越来越受到人们的关注。车联网技术的发展主要用于提高道路安全和交通效率。车联网中不仅车辆之间进行通信，路边基础设施也会与车辆进行通信，这些通信能够有效地提高道路安全和交通效率。车辆与车辆、车辆与基础设施的通信能够提高道路安全和交通效率的主要原因是通信信息里面包含了车辆的标识、位置、速度等内容，这些内容对智能交通系统产生了巨大的影响。然而，这些信息通过车联网传递也造成了安全威胁。攻击者可以利用它们来对车辆进行未经授权的位置跟踪。由于车联网无线介质的性质，攻击者可很轻松地窃听网络的消息。车辆位置跟踪侵犯了驾驶员的隐私，可能会对驾驶员造成伤害。而通过假名认证方法可以有效解决隐私威胁。要使假名认证方法有效的前提是要对假名进行变更。而假名变更方法能够保护车辆的位置隐私主要取决于两个因素。

（1）假名变更的频率，即假名变更的频率越高，车辆的位置隐私保护的等级越高。但是，由于假名是车辆间通信中的标识，所以较高频率的假名更改会对车联网通信性能产生负面影响。

（2）假名之间的不可链接性，这要求同一辆车的两个假名之间没有关联。

对过去的文献研究发现，简单的变更假名并不能有效地保护用户的位置隐私，因为通过语法链接攻击和语义链接攻击就能破解简单的假名变更;而有效的假名变更策略才能防止这些攻击。假名变更策略的目的是确定车辆应在何处、何时以及如何变更假名才能保证假名之间的不可链接性。而本文就是对现有的假名变更策略进行综述，对当前策略进行分析比较，从安全性、代价等方面对当前的假名变更策略进行评价，指出当前假名变更策略存在的问题。

1 假名变更策略概述

假名变更的目的是保护车辆的隐私安全，而假名变更策略的主要目的是保证车辆在变更假名以后，假名之间不可链接性。在查阅了大量文献以后，发现关于假名变更策略的研究已经提出了很多。现在有的假名变更策略可以分成两大类：

（1）基于混合区域的假名变更策略;

（2）基于混合上下文的假名变更策略。

1.1 假名变更策略简介

假名是车輛在车联网中的虚拟标识符。在车联网中每辆车都使用一组假名，每个假名都有使用时限，在使用时限到期前，车辆需要变更假名。只有在追究责任的时候，才能知道车辆的真实标识符与其假名之间的联系。假名的生成需要证书颁发机构来生成，证书颁发机构可以是政府运输当局，也可以是某汽车制造商之一，并负责证书的管理。为了同时确保认证和匿名性，每个注册车辆最初都配备了一组假名和一个基本标识符。

通过文献知道，当前有很多针对假名变更的研究，这些研究主要集中在假名变更的有效性方面。而有效性研究的内容主要有以下两个方面：

（1）跟踪者使用的跟踪技术;

（2）车辆被成功跟踪的比率。

在车联网中用于跟踪车辆的技术有：隐式马尔可夫链模型算法、基于贝叶斯决策算法、多假设跟踪算法和最邻近数据算法等。比如：基于贝叶斯决策算法在跟踪者仅控制道路交叉口的一半时，则成功跟踪到目标车辆的概率将达到90%;而多假设跟踪算法是与卡尔曼滤波器相结合使用来跟踪车辆，根据文献可知，多假设跟踪算法在全局被动跟踪的情况下跟踪成功率接近100%。由于跟踪效率之高，所以研究假名变更策略就成为车联网中解决隐私安全的当务之急。假名变更策略主要研究内容是车辆在何时何地变更假名的问题。而要解决何时何地变更假名的问题，首先要了解假名变更对手攻击模型。

1.2 假名变更对手攻击模型

在车联网中，攻击模式有很多，如：拒绝服务攻击、女巫攻击、中间人攻击、黑洞攻击、虚假信息注入、GPS欺骗等。这些攻击都会对车联网安全造成不可预料的后果。而对于隐私安全的攻击，主要的攻击模型有两种：语法链接攻击和语义链接攻击。

1.2.1 语法链接攻击

假名的语法链接攻击模型如图1所示。图1中，车辆经过Δt时间后，在道路上行驶的三辆汽车中只有一辆汽车（B）更改了其假名（从B1到B2），那么对跟踪者来说可以轻松地将假名B1和B2链接起来，这样跟踪者还是很容易就能跟踪车辆B的行驶路径，从而对其行踪进行分析，获得其位置隐私。当然对于语法链接攻击来说，可以通过使用假名变更同步机制来执行针对此类攻击。假名变更同步机制即是在某车辆进行假名变更的同时，其他车辆也同步变更假名，这样跟踪者就没有办法通过语法攻击来跟踪车辆的行动路径。

1.2.2 语义链接攻击

语义链接攻击比语法链接更强大，因为语义链接攻击者可以访问到车联网中的安全信息，依靠安全消息中包含的车辆的行驶方向、速度和位置信息来链接假名。例如，跟踪者可以使用基于贝叶斯决策算法或隐式马尔可夫链模型算法之类的跟踪方法预测车辆的下一个位置。基于该预测，将车辆假名进行链接，从而将同一车辆的两个假名链接起来，效果如图2所示。即使图2中所示的三个车辆（A，B和C）同时更改其假名，对手也可以链接假名B1和B2。而针对语义链接攻击，则可以通过在一段时间内阻止对手访问安全消息来防止攻击，也就是在更换假名的时候产生静默期，使跟踪者访问不到车辆的信息。

1.3 假名变更策略的度量指标

度量指标用来度量假名变更策略所实现的位置隐私保护级别。笔者通过文献了解到假名变更策略的主要度量指标有假名集的大小、是否加密和是否无线电静默等。接下来对这些度量指标进行介绍。

1.3.1 假名集

假名集的大小是指攻击目标所在的区域内，车辆数量的多少。车辆越多，所能实现的位置隐私保护的级别就越高。然而由于使用假名集无法描述某些车辆比其他车辆更可能成为目标的敌手的先验知识，所以在很多的假名变更策略研究中引入了假名集的熵代替假名集大小来评价策略的保护级别。假名集的熵表示车辆被跟踪的概率。在假名集的熵中可以描述车辆可能成为目标的先验知识。

1.3.2 加密

对信息进行加密是保护信息安全的重要措施。信息的加密和解密是同时出现的。在车联网中，如果对信息进行加密，那么要读取信息就要进行解密。当车流量很大的时候，信息的加解密就需要進行大量的计算，而这不利于实时的安全应用。所以是否需要对信息加密也是假名变更策略度量指标之一。

1.3.3 无线电静默

无线电静默是指在某个特定的时间，车辆停止广播信标。车辆广播的信标包含车辆的速度、方向和位置，但车辆停止广播信标时，智能交通系统和其他车辆将不能接收到车辆的信息，而这有可能会引起交通事故，造成损失。所以也将是否需要无线电静默作为车辆的假名变更策略度量指标之一。

当然像对手的成功率、最大跟踪时间等数据也是假名变更策略的重要度量指标。

2 假名变更策略研究进展

目前，假名变更策略主要有以下两种：

（1）基于混合区域的假名变更策略;

（2）基于混合上下文的假名变更策略。

在基于混合区域的假名变更策略中，车辆在预先设定的道路区域，即混合区域更改其假名。基于混合上下文的假名变更策略与基于混合区域的假名变更策略不同，基于混合上下文的假名变更策略中的每辆车不再受区域的影响，车辆可以独立确定何时何地更改其假名。准确地说，混合上下文定义为在车辆之间同步假名变化的任何情况或机会。然后，仅当车辆找到混合上下文时，车辆才会更改其假名。接下来对当前比较流行的几种假名变更策略进行深入讨论。

2.1 基于加密混合区域假名变更策略

基于加密混合区域的假名变更策略要求进入区域的车辆对广播的消息进行加密的道路区域。这种区域一般设置在道路十字路口或三叉路口。车辆在该区域内更改其假名，并使用路边设施分发的共享密钥来加密车辆广播的消息。每个路口都配备有路边基础设施，路边基础设施会定期广播通知以告知车辆加密混合区域的存在。车辆收到此类通知后，会向路边基础设施发送消息以请求加密密钥。路边基础设施收到请求后，便立即将加密密钥提供给车辆，并等待车辆的确认。如果车辆很好地接收到了钥匙，它将向路边基础设施发送确认，并使用该钥匙开始对其安全消息进行加密。当然车辆还必须在加密混合区域内更改其假名。加密安全消息的主要原因是防止考虑的外部攻击者读取其内容。

基于加密混合区域假名变更策略如图3所示。此策略能够有效地解决语法链接攻击和语义链接攻击，但是此策略存在以下问题：当假名集特别大时，策略的安全性似乎特别高。但是，由于此策略涉及到加密解密，当假名集特别大时，路边基础设施需要进行大量的计算，而这不利于实时的车联网。所以此策略并不适合大假名集的路口。

2.2 基于社交场所的假名变更策略

基于社交场所的假名变更策略如图4所示。社交场所主要是指有红绿信号灯的交叉路口或大型的停车场。在基于社交场所的假名变更策略中，分为小型社交场所和大型社交场所。其中有信号灯的路口为小型社交场所，而大型停车场等为大型社交场所。在小型社交场所中，当交通信号灯由红灯变绿灯时，社交场所内的所有车辆同时变更其假名。此策略虽然能够有效地防止语法链接攻击，但是由于在小型社交场所中，车辆依然在广播其信标，所以攻击者还是可以通过语义链接攻击来跟踪车辆的位置。而对于大型社交场所而言，由于其应用场景的限制，所以此策略应用范围有限。

2.3 基于城市区域的假名变更策略

基于城市区域的假名变更策略如图5所示。该策略的应用场景为城市交叉路口，能够确保假名变更时，假名集足够大。此策略要求路边基础设施在交通信号灯为红色时，在道路的交叉路口创建静默混合区，并广播通知车辆静默区开始的位置。当车辆进入静默区域时，车辆停止信标的广播，同时车辆变更或者变换其假名。当交通信号灯变绿灯时，车辆继续广播信标。此策略能够确保假名集的大小和无线电静默，但是需要在交叉路口创建静默期，而根据调查发现，在交叉路口发生交通事故的可能也是最高。所以此策略也将降低道路的安全性。同时，由于交叉路口的限制，此策略很容易受到FIFO算法的攻击。

3 结 语

假名变更策略是车联网隐私安全的重要组成部分。本文研究车联网中相关假名变更策略，并对当前比较流行的假名变更策略进行比较，指出当前假名变更策略的优势、代价和不足。虽然假名变更策略还存在问题需要继续改进，但是希望此文能为以后的假名变更策略研究和实施提供帮助。

参考文献

[1]张刚，石润华，仲红.车载自组织网络中基于身份的匿名认证方案[J].计算机工程与应用，2016，52（17）：101-106.

[2]赵建杰，谷大武，胡学先.基于PKI的认证密钥协商协议可证明安全理论研究[J].密码学报，2014，1（6）：551-567.

[3] SOMMER C，DRESSLER F. Vehicular networking [M]. Cambridge： Cambridge University Press，2015.

[4] KARAGIANNIS G，ALTINTAS O，EKICI E，et al. Vehicular networking： a survey and tutorial on requirements，architectures，challenges，standards and solutions [J]. IEEE communications surveys and tutorials，2011，13（4）： 584-616.

[5] SOMMER C，ECKHOFF D，DRESSLER F. IVC in cities：signal attenuation by buildings and how parked cars can improve the situation [J]. IEEE transactions on mobile computing，2014，13（8）： 1733-1745.

[6]郑卜毅.基于势博弈理论的新型网络应用的激励机制研究[D].杭州：浙江工商大学，2018.

[7]李磊.多用户公钥可搜索加密中访问控制的研究[D].南京：南京理工大学，2018.

[8]程庆丰，阮展靖，张瑞杰.对三个无双线性对的密钥协商协议分析[J].信息网络安全，2019，19（1）：16-26.

[9]屈娟，冯玉明，李艳平，等.可证明安全的面向无线传感器网络的三因素认证及密钥协商方案[J].通信学报，2018，38（z2）：189-197.

[10]张佳妮，何德彪，李莉.基于区块链的物联网密钥协商协议[J].中兴通讯技术，2018，24（6）：23-27.