车载网络中隐私保护方法

摘要：

针对车载网络通信中存在车辆隐私性保护问题，提出一个K匿名链隐私保护机制。在查询节点处构建k匿名空间，并将包含此k个车辆的最小边界矩阵作为位置数据进行转发，转发过程中构造一条匿名链来混淆身份信息与位置信息的一一对应关系，从而大大降低被攻击成功的概率。通过对该机制安全性及仿真实验结果的分析，该机制能很好地保护车载网络中车辆的位置隐私，提高了车载网络通信的安全性及隐私性。

关键词：位置隐私；匿名空间；K匿名链；Chord；车载网络

中图分类号：TP393.08

文献标志码：A

0引言

车载网络（Vehicular Network）指的是依赖于能够灵活移动的载具而存在的移动自组织网络（Ad Hoc Network），它创造性地将自组织网技术应用于车辆间通信，使司机能够在超视距的范围内获得其他车辆的状况信息（如车速、方向、位置、刹车板压力等）、实时路况[1]及本地化的服务信息[2]。车载网络的特点是网络节点非常多，成员分布区域广，流动性大，车载网络的信息发送本质上是以广播的形式发送，同时由于车辆网络的相对局部性，车载网络中网络节点之间的建立的关系往往持续时间非常短，网络拓扑变化非常快。基于以上特点，车载网络非常容易受到安全攻击，而且相对来说，车载网络对网络安全性攻击是非常敏感的，车载网络的安全性直接关系到车辆驾驶的交通安全性。所以在部署车载网络的过程中，车载网络的安全性必须得到充分的保障。

随着车载网络服务的不断发展，在道路交通变得更加便利的同时，车载网络中车辆隐私性保护问题越来越受到关注。如果允许第三人利用车载网络收集车辆行驶信息，驾驶员的个人隐私必定会受到侵害。所以隐私性保护是车载网络中非常重要的问题。对于隐私性保护在车载网络中的研究，目前已经有很多研究方案：利用群签名的方案[3]、基于ID的签名的方案[4]、基于假名的签名方案[5]、假数据方案[6]、基于空间变换的匿名方案[7]、基于匿名链的位置隐私保护方案[8]等。其中，假名签名方案已经得到一定范围的认可，但大多数假名签名方案都采用预置一定数量的假名，每个假名仅使用一段时间就更换，使用完后需要向证书授权机构（Certificate Authority， CA）请求一组新的假名，这在降低效率的同时大大增加了窃听的概率；基于匿名链的位置隐私保护方案只是隐藏了身份信息和位置息的关联关系，保留了精确的位置数据，这就大大增加了被恶意攻击者攻击成功的概率。

本文所讨论的车载网络指的是狭义上的车载网络，即完全由交通车辆形成的车载网络。主要针对车载网络中车辆间的网络通信隐私性保护问题，提出一种新的K匿名链隐私保护机制，以增强车载网络通信的隐私性及安全性。

为了解决车载网络环境中的隐私性保护问题，徐建等[8]提出基于匿名链的位置隐私保护方法，但是这种方法只是隐藏了身份信息和位置信息的关联关系，保留了精确的位置数据，无法满足高匿名性的要求。为了解决这个问题，本文提出一种K匿名链机制，主要由两部分组成：移动车辆和LBS服务器。移动车辆可分为发送者节点、转发节点和接收者节点。发送者节点先构建K匿名空间，并将此匿名空间连同查询信息一起发送到转发节点上形成一条通向接收者匿名链，由接收者向LBS服务器[11]发起查询，经LBS服务器处理得到的候选结果集直接发送给发送者，由移动车辆对候选结果进行求精。图2表示K匿名链机制原理。

图2中Chord环上的节点（AD1～AD6）称为簇头节点，其中AD2、AD6分别为AD1的后继和前驱节点，S代表发送者节点，R代表接收者节点，整个Chord环就是由簇头节点及其前驱或后继节点构成。在上文中已经提及到，Chord环上的节点并不代表单一用户，而是表示了一簇车辆，例如以AD2为簇头节点的簇包含Node3、Node4、Node5三个簇成员。

以图2为例，当发送者节点S提出查询请求并要求k为4时，首先会通知本簇的簇头节点AD1，之后AD1通知簇中成员Node1、Node2和S共同构建k=4的匿名集合，形成匿名空间；接下来AD1会在其后继簇中随机选择n个簇，并向该n个簇的簇头节点发送选择节点信息。如图2中以AD2、AD3为簇头节点的簇为被选择的后继簇。簇头节点AD2、AD3依据节点间的连通性分别从本簇中选择若干个簇成员作为转发节点，如图2，发送者节点S会根据AD2返回的簇成员节点的信息计算其与簇成员节点间的连通性，从而可以选择Node3作为S的下一个转发节点。同样，Node3会选择Node4作为转发节点，Node4选择Node6作为转发节点。之后通过簇头节点将这些转发节点的信息发送给AD1，AD1再将这些节点信息发送给S。S通过得到的转发节点的地址信息以及公钥对其进行反向加密，由S确定构建匿名链的顺序，并且这个顺序只有S知道，之后S根据这个顺序对转发节点的构建匿名链。匿名链构建完成后，AD1将K匿名空间及查询请求一并发送到匿名链上进行转发，最后由接收者R向LBS服务器发送请求。经处理过的查询请求由LBS服务器直接发送给AD1，然后由AD1发送给S，由S自己对查询结果进行求精。至此，整个K匿名链机制查询过程完成。

值得说明的，是簇中成员节点的身份信息由簇头节点来维护，并复制到所有的簇成员节点中，簇与簇之间通过簇头获知所有各个簇中成员节点的身份信息。为了加强系统的容错性，簇头节点由簇成员节点周期性地轮流承担负载，当簇头节点的负载达到一定的阈值就会引发簇头节点的选举，阈值由簇头节点发送或接收到的信息数量来测量。同样，操作的通信开销也是通过传播的信息量来测量[12]，其数量级为O（log N），其中N为移动节点的总数目。

3安全性分析

本文提出的K匿名链机制中的K匿名空间隐藏了发送者的真实位置，而匿名链则隐藏了车辆身份信息与位置信息的关联关系。因此，攻击者的目标是获取发送者的真实的位置信息及其匿名链隐藏的关联关系。

假设攻击者是一个全局攻击者，即攻击者可以获取LBS服务器数据，并且在移动节点内有同伙恶意节点。在一个包含n个车辆及c个恶意节点的网络中，为了简化讨论本文只考虑一种静态模型，即不考虑车辆的加入或者离开。在构造匿名链过程中，一些恶意节点可能被选为转发节点，这些恶意节点可以根据匿名链中转发节点的顺序以及匿名链所允许的最大长度K值推测出攻击者想要的信息。下面分别从发送者节点和接收者节点角度来分析K匿名链的安全性。

由以上分析可知，匿名链最大长度K取值越大，相应的j与x的取值范围将增大，从而能够分别提高发送者节点及接收者节点的匿名程度，增加了恶意节点的攻击难度。从以上公式可看出，发送者节点的匿名程度明显高于接收者节点的匿名程度。这主要是由于发送者节点在发送查询请求前形成了K匿名空间，隐藏了发送者节点的真实位置。同样，恶意节点的数量会导致匿名程度的变化。当匿名链最大长度一定时，恶意节点数量增加会导致发送者节点和接收者节点的匿名程度下降；反之，它们的匿名程度会提高。

4仿真实验与分析

5结语

本文针对当前匿名链对移动车辆隐私性保护不足，提出了一种K匿名链机制。对发送连续位置查询请求的车辆进行了K匿名保护，并通过转发节点传递包含查询节点在内的K匿名空间及其查询请求构建匿名链。在保证查询节点K匿名的条件下，隐藏了其身份信息与位置信息的关联关系，从而提高了车载网络中车辆的匿名强度。通过对仿真实验结果的分析，在同等条件下，K匿名链机制的匿名效果要明显好于匿名链的匿名效果，进一步完善了车载网络的安全性。

参考文献：

[1]常促宇，向勇，史美林.车载自组网的现状与发展[J].通信学报，2007，28（11）：116-126.

[2]张新潮.城市车载网络中的路由算法研究[D].上海：上海交通大学，2012.

[3]RAYA M， AZIZ A， HUBAUX J P. Efficient secure aggregation in VANETs[C]// VANET 2006： Proceedings of the 3rd International Workshop on Vehicular Ad Hoc Networks. New York： ACM Press， 2006： 66-75.