沈 勇 徐海栋

（江苏科技大学计算机学院 镇江 212003）

1 引言

无线通讯技术在近几年以惊人的速度不断发展和进步，移动计算在各种新兴技术的支持下，被广泛地应用于智能交通、医疗健康以及能源管理等领域，并且衍生出大量具有发展潜力的应用场景［1］。随着新生应用场景的不断发展，各种问题也随之而来，其中比较突出的为安全和隐私保护，对表现出来的问题不加以解决势必会限制移动计算在应用场景当中的发展［2］。而位置服务的广泛应用更是提高了人们对个人隐私数据的关注，在位置服务中实现对个人隐私数据的有效保护成为了人们最基本的要求［14］。车辆位置隐私保护问题，传统的云计算模式无法得到有效解决［15］。而通过车联网与雾算结合之后，车辆位置隐私保护问题得以顺利应对，并将成为未来智能交通领域的新趋势［3］。

与其他模式相比，雾计算模式在车辆位置隐私保护当中优势十分明显［4］。因此，本文进行的假名隐私保护策略研究也是基于雾计算模式进行的，期望能够实现车辆位置隐私保护水平的提升。

2 模型框架

2.1 车联网系统模型

基于移动计算的车载网络模型由物理层、云层、用户层组成算组合的语义表示。

在物理层中，车牌号码、车主姓名是车辆管理的关键信息，而对于这些关键信息的认证［5］，通常需要到交通部门或者政府指定的第三方机构进行注册，只能通过注册，才能完成车辆所有信息的关联，这是车联网管理的基本程序。基于注册的合法性，在车联网管理系统中，实体密钥的有效管理、初始化安全系数管理才能得到保障，路测单元出现的任何异常行为都能够被认证中心进行确切有效的监管和控制。

云层分为中心云和本地云。车辆的移动特性通常取决于用户层当中包含的驾驶者社交行为，除此之外还可以对区域的假名管理工作产生间接的影响。为了发现车辆时空分布的规律［6］主要研究了实际行驶轨迹的数据集、挖掘车辆时空分布特性。图1为车联网系统模型。

图1 车联网系统模型

2.2 假名分发方案

借助路侧单元，车辆完成了假名申请工作，并最终本地云接收到请求。这一过程发生在车辆进行假名申请，以及地云接收到请求并发生系列指令，全过程中，表1 列出了这一过程所运用的绝大部分符号。以下是车辆如何完成假名请求的介绍。

表1 假名方案运用符号

第一步：借助最近路侧单元，全局认证中心，定时的发布信息系统，传送至周围的车辆。其中，服务系统包括以下几个部分，第一部分是具体提供的服务；第二部分是地理位置范围；第三部分是本地云的位置；第四部分是全局认证中心相关信息；第五部分则是本地云的身份资料等。

第二步：车辆Vi，进入本地云LCn的覆盖范围后，由Vi 负责接受服务信息，并经过后期的处理，对Infor service 做出真伪判断。完成这一工作之后，全局认证中心将分配给该车辆一个公钥，对车辆申请的假名请求，以及该车辆的身份资料，进行加密处理，完成加密后，协议一中的假名request 便生成成功。其重要性体现为能够对信息的安全性提供必要的保证，并且有效地抵御第三方的攻击。除此之外，借助于最近的路测单元，会给每个车辆分配一个数字签名，并最终会传送至本地认证中心。

第三步：本地认证中心收到来至车辆Vi 的请求后，并借助其从全局认证中心所取得的公钥，完成加密处理之后，将对应的信息提炼出来，然后本地认证中心提取其中的数字签名，最后附上数字签名，最后完成信息的输送。

第四步：全局认证中心接收该信息后，对该信息进行一定的处理，这部分的工作主要是由注册数据库来完成，以此来检验车辆的身份信息，与此同时，并对全民的假名黑名单进行搜索，来排检车辆。完成以上操作后，将检验的信息打包，并传送给本地认证中心。

第五步：完成信息传输后，如果反馈信息表明，该车辆Vi 通过检测，那么本地认证中心将会授予该车辆假名，否则，会拒绝汽车所提出的假名申请。例如，车辆经过Vi 检测确认为合法车辆之后，假名池当中的假名数量充足，在这种情况下，本地认证中心将会将假名集合发送至车辆，假名集合当中分别包含：与车辆信息相匹配的公钥和私钥，以及车辆的假名证书［7］。

2.3 问题求解

假设假名的产生速度为θ。假设本地云需要m个假名。为了进一步确保位置信息具有足够的安全性，车辆的假名数量应当符合要求。我们可以通过计算该车辆的社交热点的车辆所需要假名的数目，来估计该车辆在特定的时间内所需要的假名数量。经过一个时间间隔之后，中心云通过估计的，分发—定量的假名给LCi。随着时间的变化，假名需求变量也会发生改变，根据车辆的移动记录能够分析出规律，以此获得概率密度分布函数［8］。

为了更好地明确车辆和本地云二者间的假名分配情况，本文选择使用了报童模式［9］。在以前的模型里，报童负责供给资源，将报纸分发给对应的客户。在我们的假名分发模型中，本地云所扮演的功能就相当于报童，假名就如同传统模型中的报纸，车辆就是传统模型中的客户。不同的假名数目会影响运行的效率，关于假名树木的选择主要由本地云来完成，由本地云发出的假名数请求记为。如果Qt小于，那么分发假名的时候，本地云LCi便可以得到好处，我们用e来表示。否则，在本地云LCi中，剩余的假名将会被存放在假名池中，在存放过程中，也会产生存储费用，我们用s 来表示。如果LCi不能达到本地车辆的要求，作为对LCi的惩罚，将会被罚款，罚款的金额用P 来表示，LCi的效益函数为

为了简化，我们令x+=max（x，0），并把式（1）改写为

图2 遗传算法流程图

3 实验结果与分析

3.1 仿真分析

考虑在面积为25km2的观察区域中安装四个本地云，记录为LC1，LC2，LC3，LC4。我们对本地云中假名请求过程进行相应的分析，最后发现，这一请求呈现柏松分布的特点。以上四个本地云，平均每一分钟，可以发出的假名请求分别达到50 次，100次，150 次，200 次，并将其存储至列表中。在参数的设置方面，将c设置为1，将s设置为0.1，将P设置为0.3。对于中心云而言，其每一分钟大约能够产生600 个假名。为了进一步明确分发假名系统的功能，在研究的过程中分别就每个提案进行了分析，并且将所有提案与典型方案相比对。

每个假名方案所对应的本地云效益的比较如图3 所示。根据图中的数据可以得知，就不同的本地云而言，将全部的假名分配方案进行比较可知，应用均分方案能够获得的效益显著高于其他。例如，CL4在根据需要进行假名的分发方案中，比均分方案，产生的效益会高出约44.44%。而对于其他的本地云盘而言，根据需求进行假名分发的方案，产生的效益也会更高，比另一种方案会高出18.3%。其主要的原因是因为在这种方案中，假名可以根据实际情况进行假名的分发工作。但是均分方案在实际应用当中却发生了分配不均的情况，主要是因为LC1 和LC2 能够生产出过量的假名，但是LC4 正好相反，假名不足，从而拉低了平均效益。在图4 中，说明了系统参数对假名请求数量的最优选择有重大的作用。通过图4 我们可以知道，我们可以增加e 参数以及p 参数的大小，减小s 参数，可以帮助我们获得最优的假名需求量。

图3 所提方案与均分假名方案的结果对比

图4 不同方案对假名参数影响

3.2 假名方案安全性分析

1）车辆的匿名性：位置隐私保护程度的高低最关键性的影响因素为全局被动攻击者将某一假名映射值目标车辆实际身份的不确定性，也就是所谓的假名熵。就全局被动攻击而言，它不仅可以对车辆的安全信息进行窃取，还可以对车辆的时间和位置进行观察和理解，并且这些举动都是被动进行的，通过窃取的信息对目标车辆假名的可能映射关系进行推算。攻击者在假名更换处车辆不多的情况下有极大的可能对目标车辆进行跟踪。因此，当车辆比较少的时候，可以通过周期新更换假名的方式加强隐私的保护，例如，每12min 对假名进行一次更换。当车辆处于社交热点的时候，可以对自身的车辆侧假名熵进行合理的估算，结合情境对假名的更换时间和地点进行科学的设置，一般情况下，为了实现车辆侧假名熵的最大化，假名的更换地点通常选择在车辆足够多的热点处进行。这主要是因为目标车辆混入众多车辆中间会增加全局被动攻击者持续追踪的难度，此时在热点处的多辆车一起进行假名更换，则所有的车辆都可能被误认为目标车辆，最终导致全局被动攻击者无法正确辨认跟踪目标。本文设计的方案和集中式假名管理进行比较，通信开销更多用于假名更换博弈。

2）基本安全要求：P3方案是指使用标准加密算法对多重安全攻击进行有效的抵御，标准加密算法通常表现为不对称或者加密。对于攻击者而言，受到加密及认证机制的限制，使用暴力方式无法对密文进行破解，自然也就无法打开加密消息。重放攻击随着时间戳的使用也将无法发挥作用，而且攻击者也没有办法对路侧单元消息进行伪造。为了提高抵御攻击的能力，车辆使用新的假名之后，原来的假名在失效之后将不会继续保存于存储空间当中。

3）数据完整性和认证性：全部实体都得益于数字签名，能够实现通信过程当中的相互验证。所有实体在不具备签名者私钥的前提下，都无法对其数字签名进行伪造。数字签名只可以由指定的签名者生成，能够对所有拥有数字签名的信息进行身份验证，以有效的抵挡攻击者对合法车辆进行模仿所造成的攻击。接受者在进行验证的过程中，可以对信息的修改情况进行及时的发现，这样做既维护了信息的完整性，也保证了它的不可篡改性。

3.3 性能评估

PLL-T 考虑一个中心商务区，其面积为20km2，辖区内包含的街道网格数量为10×10。所有街道均为双车道公路，能够进行双向交通，从中挑选8 个规模较大的十字路口设置成为社交热点，并分别在其附近设置路侧单元，数量为1。每个路侧单元安装有覆盖半径为350m 的无线电装置。所有车辆均遵循泊松过程的规律驶达十字路口，其平 均 值A=30～120辆/min［38］。设 置 红 灯 时 间 为60s，熵损失率θτ（熵/分）满足正态分布特征：θτ～N（0.1，σ2）。更换假名的成本c的取值为集合[0.3，05，07]当中的某一个。我们设置观察时间为120min。根据参考文献对加密操作和传输延迟的参数值进行设置，与参考文献保持一致［13］。具体的加密操作时间参数包括：非对称加密-1.86ms，解密-0.94ms，数字签名生成-0.93ms，数字签名验证-1.11ms，身份证验证-5.42ms。路侧单元和车载单元、本地认证中心、全局认证中心三者间的传输时延分别为20ms、5ms、10ms。

P3方案当中的假名请求时延性能和文献［11］中的传统方案进行的比较详见图5。车辆可以通过F-IoV直接向本地认证中心申请新假名。任何一个本地认证中心都具有生成假名的能力，并且其成的假名只会发放给本地车辆，这样可以预防发生网络堵塞的情况。假名请求本地化能够有效地缩短相应时间，除此之外往返时延也会减少。所以在本文的设计中，请求时延明显短于其他方案。在本地认证中心加入之后，其工作量实现了均衡，也使得假名请求时延显著缩减。本文的设计方案随着请求新假名车辆的增加，其时延小的优点将表现的更加突出。如果系统当中同时存在两个可以正常工作的本地认证中心，那么按照本文设计的方案与已有方案相比，时延将缩短440%。随着假名请求本地化的发展，系统的通信开销也随之节省，假名请求的量越大，通信开销的节省也随之增加，详见图6。本地认证中心在部署上遵守边缘部署的原则，使得车辆与其进行交互的时间短并且速度非常快，这样部署的优点是可以降低假名请求过程中的通信开销。在本文的设计当中，随着λ的增加，通信开销总的减少量也持续增大。

图5 假名请求延时

图6 假名请求量

4 结语

本文主要研究了车联网位置隐私问题的解决办法，在雾计算的基础上进行了方案设计，其功能是对车辆行驶当中的位置进行隐私保护。传统的云计算模式无法有效解决，而通过车联网与雾算结合之后，车辆位置隐私保护问题得以顺利应对，并将成为未来智能交通领域的新趋势。在本文的研究中，首先是对假名按需管理分发系统进行了重新设计，建立了物理层、用户层、云层的三层云架构模式。车辆假名应当具备多样性的特点，其需求的影响因素主要包括地域和交通道路的差异等。为此，为了求解最优假名分发量，本文采用了报童模型建模的方式予以解决。基于此进行仿真检验，全面评估车辆进行假名更换的安全性。