车载自组织网络的车辆位置隐私保护方法

暂无

车载自组织网络的车辆位置隐私保护方法\n技术领域\n[0001] 本发明涉及无线通信技术领域，尤其是涉及一种能够有效保护车辆的位置隐私；\n能够促使更多车辆参与伪名更改，从而显著提高网络的位置隐私安全性的车载自组织网络的车辆位置隐私保护方法。\n背景技术\n[0002] 随着无线通信技术、车载嵌入式计算以及各类车载传感器等关键技术的迅速发展，车载自组织网络(Vehicular ad hoc network，VANET)被认为是当前实用程度较高的特大规模移动自组织网络。车载自组织网络是由车与车、车与路边单元(Roadside Units，RSUs)相互通信构成的安全、快速、有效、结构开放的车辆间通信的智能交通系统，能够实现事故告警、辅助驾驶等应用。例如在事故告警应用中，司机能够依靠车载通信在超视距的范围内获得其他车辆的车况(如车速、方向、位置、刹车板压力等)和实时路况信息，从而有效避免交通事故和拥塞，使车辆交通更加安全迅捷。VANET由于广阔的应用前景及其巨大的社会经济效益，而受到了各国政府，学术界以及产业界等的高度重视。\n[0003] 然而在车载自组织网络事故告警、辅助驾驶应用中，车辆需要频繁地广播心跳报文。这些心跳报文包括位置、时间、方向、速度、加速/减速等信息。攻击者可以利用这些心跳报文跟踪感兴趣的车辆或者还原他们的行驶轨迹，严重危害人们的隐私安全。\n[0004] 尽管可以借助于伪名技术发送匿名心跳报文，但全局攻击者仍旧可以利用位置、时间、速度之间的时空关联性将这些报文联系起来而获得目标车辆的位置隐私。一些学者利用混合区域(Mix-zone)来解决位置隐私问题，其思想是所有车辆在离开混合区域之前更换伪名。如果混合区域面积很大，那么车辆至少需要等待较长的时间才能发送心跳报文。\n如果混合区域面积较小，攻击者很容易猜测位置和伪名之间的关联。Sampigethaya等学者提出了代理通信策略，即相邻的车辆之间形成一个通信小组，由组长代表小组成员对外发布心跳报文。由于车辆快速行驶、组内成员变化非常大，该方法对查询处理时间和通信时间要求非常高。Carianha等学者提议在车辆密集的区域部署由RSUs所建立的加密混合区域。\n当车辆在混合区域内，所有的通信都必须加密。然而，混合区域位置预先固定，如果车辆的旧伪名生命期限已到，但是该车辆可能在混合区域外面。\n[0005] 针对上述混合区域的弊端，一些学者提出了动态混合区域位置隐私保护方法，即车辆根据自己的隐私需求动态建立混合区域。例如，当伪名即将到期或者位置隐私低的时候，车辆自动建立动态混合区域，并要求混合区域内的所有车辆更改伪名。由于在混合区域中，更换伪名会失去一个伪名证书和产生额外的能量开销，某些自私的车辆可以选择不合作，即不更换伪名来实现自身利益最大化。如果系统中缺乏正确有效的激励与惩罚机制，自私车辆会考虑自身隐私最大化，导致不主动更换伪名。而伪名即将到期的车辆，则必须在混合区域更改伪名，如果其他车辆均选择不合作，攻击者很容易推测出该车辆的新旧伪名之间的映射关系。\n[0006] 中国专利授权公开号：CN101720059A，授权公开日2010年6月2日，公开了一种车载移动自组织网络路由的实现方法，包括以下步骤：每个交叉路口设置节点，源节点在转发数据包时，可以向自己所在路段一端距离目的节点较近的节点转发；节点在转发数据包时，首先判断邻居表中是否有距目的节点更近的节点，若有，则直接将数据包转发给对应的节点；否则按照路段选择算法选择相邻的不是刚刚接收数据包的路段，并且路段方向靠近目的节点的路段，然后指定所选路段上另一端节点为路段接收端节点；路由节点从不同路段接收到相同源节点发送来的同一个数据包时，选择一条接收数据包成功率较高，且延迟时间较短的最优路径，同时禁用那些非最优接收路径。不足之处是，功能单一，没有位置隐私保护功能。\n发明内容\n[0007] 本发明是为了克服现有技术的车载自组织网络的位置隐私保护过程中，存在自私车辆不合作，导致车辆位置隐私安全性下降；或者车载自组织网络中的车辆频繁更改伪名所带来的能量开销增大的不足，提供了一种能够有效保护车辆的位置隐私；能够促使更多车辆参与伪名更改，从而显著提高网络的位置隐私安全性的车载自组织网络的车辆位置隐私保护方法。\n[0008] 为了实现上述目的，本发明采用以下技术方案：\n[0009] 一种车载自组织网络的车辆位置隐私保护方法，所述车载自组织网络将设于汽车上的终端作为移动节点，所述终端包括无线收发模块、微处理器和存储器；所述移动节点与若干个车载服务器无线连接，车载服务器与控制服务器通过无线方式或有线方式相连接；\n包括如下步骤：\n[0010] (1-1)在车载服务器内设有车辆i的混合区域准则，混合区域准则为在车辆i的混合区域内至少有 辆车；其中，i为车载自组织网络内的任一个车辆的编号；\nkΔT-Δt≤t＜(k+1)ΔT；ΔT是伪名的生命周期，Δt是伪名的更改阈\n值；Pchp为混合区域内每辆车更改伪名的概率，DLi(t)为设定的车辆位置隐私阈值；k为伪名更改次数；\n[0011] 由DLi(t)、Pchp确定，例如：DLi(t)＝2，Pchp＝0.5，则 的\n数值跟车辆i的声望值、车辆i的混合区域内的车辆的声望值和位置隐私有关。\n[0012] 在终端内设有位置隐私模型为：\n[0013] 其中 为位置隐私等级，\nα为车辆i的旧伪名序号，b为车辆i的新伪名序号； 为混\n合区域内更改伪名的车辆总数；Bi(t)为位置隐私，Pa→b为车辆i旧伪名序号α更换为新伪名序号b的概率；\n[0014] 在终端内设有声望模型： 为经过k次更改伪\n名后，车辆i的声望值； 为混合区域内车辆总数；设定声望值阈值为DRi(t)；\n[0015] (1-2)当车辆i首次进入车载自组织网络之前，向控制服务器注册获得公、私密钥对，与公、私密钥对相对应的证书；设定车辆i的初始声望值为0，车辆i的初始位置隐私为\n2；\n[0016] (1-3)车辆i的微处理器计算车辆i的伪名剩余时间 当 车辆i发送一个加密后的伪名请求报文RNP给车载服务器；\n[0017] (1-4)收到伪名请求报文RNP后，车载服务器根据混合区域建立准则建立车辆i的混合区域，车载服务器广播加密后的命令报文COMMAND；\n[0018] (1-5)设定车辆自组织网络中的车辆i之外的其它车辆为车辆j，当车辆j收到命令报文COMMAND，车辆j的微处理器将接收到的命令报文COMMAND中混合区域大小及位置信息和自车所处位置进行比较，当车辆j落在车辆i的混合区域内，车辆j广播命令报文COMMAND；当 则车辆j更改伪名；车辆j的微处理器利用声望模型计算其声望值 车辆j的微处理器计算车辆j的位置隐私Bj(t)，并且把 和Bj(t)存储在车辆j的存储器中；\n[0019] (1-6)当车辆j落在车辆i的混合区域内、且 并且车辆j的\n当前声望值 则车辆j更改伪名；当车辆j落在车辆i的混合区域内、且\n并且车辆j的位置隐私Bj(t)＜DLj(t)，则车辆j更改伪名；车辆j的微处\n理器计算车辆j的声望值 和位置隐私Bj(t)，并且把 和Bj(t)存储在车辆j的存储器中；\n[0020] (1-7)当车辆j收到命令报文COMMAND并且车辆j不在车辆i的混合区域内，则车辆j将命令报文COMMAND丢弃。\n[0021] 由于在混合区域中，更换伪名会失去一个伪名证书和产生额外的能量开销，对于自私车辆来说，可以选择不合作即不更换伪名来实现自身利益最大化。如果系统中缺乏正确有效的激励与惩罚机制，自私车辆会考虑自身隐私最大化，导致不主动更换伪名。而伪名即将到期的车辆，则必须在混合区域内更改伪名，如果其他车辆均选择不合作，攻击者很容易推测出该车辆的新旧伪名之间的映射关系。\n[0022] 针对上述问题，本发明首先设定用于评估不同车辆的当前位置隐私的隐私模型，用于反映当前车辆的合作程度的声望模型和混合区域准则。\n[0023] 本发明的车载自组织网络中的任何车辆，根据发出伪名请求的车辆i的当前声望值以及自车是否在车辆i的混合区域内来决定是否合作更改伪名来保护车辆i；并且可以根据自车当前的位置隐私、伪名剩余时间动态调整自车的声望值。\n[0024] 仿真结果表明，本发明的车载自组织网络位置隐私保护方法在满足保护车辆的当前位置隐私要求的同时，能够显著降低能量开销。同时，由于声望值的引入使得更多的车辆参与伪名更改，从而提高整个车载自组织网络的位置隐私的安全性。\n[0025] 作为优选，步骤(1-4)还包括如下步骤：\n[0026] 当车载服务器收到车辆i的伪名请求报文RNP后，又收到车辆j发出的伪名请求报文RNP并且车辆j在车辆i的混合区域内，则车载服务器将收到的车辆j的伪名请求报文RNP丢弃。\n[0027] 作为优选，所述步骤(1-3)中的伪名请求报文RNP包括当前伪名的剩余时间新伪名、声望值 声望值阈值DRi(t)、当前位置和车速。\n[0028] 作为优选，所述步骤(1-4)中的命令报文COMMAND包括车辆i的混合区域位置、混合区域大小、车辆更改伪名的时间、声望值 和声望值阈值DRi(t)。\n[0029] 作为优选，所述步骤(1-3)中的伪名请求报文RNP采用广播加密方法加密。\n[0030] 作为优选，所述步骤(1-4)中的报文COMMAND采用广播加密方法加密。\n[0031] 作为优选，ΔT为5分钟至30分钟。\n[0032] 作为优选，Δt为1秒至45秒。\n[0033] 因此，本发明具有如下有益效果：(1)在满足保护车辆的当前位置要求的同时，能够显著降低能量开销；(2)更多车辆参与伪名更改，车载无线网络的位置隐私安全性更高。\n附图说明\n[0034] 图1是本发明的车辆i的一种位置隐私模型图；\n[0035] 图2是本发明的一种流程图；\n[0036] 图3是本发明的平均位置隐私与伪名生命周期ΔT关系图；\n[0037] 图4是平均能量开销与伪名生命周期ΔT关系图；\n[0038] 图5是平均能量开销与位置隐私阈值关系图；\n[0039] 图6是平均位置隐私与声望阈值关系图。\n具体实施方式\n[0040] 下面结合附图和具体实施方式对本发明做进一步的描述。\n[0041] 如图2所述的实施例是一种车载自组织网络的车辆位置隐私保护方法，车载自组织网络将设于汽车上的终端作为移动节点，终端包括无线收发模块、微处理器和存储器；微处理器分别与无线收发模块和存储器电连接；移动节点与4个车载服务器无线连接，车载服务器与控制服务器通过无线方式相连接；包括如下步骤：\n[0042] 步骤100，在车载服务器内设有车辆i的混合区域准则为在车辆i的混合区域内至少有 辆车；其中，i为车载自组织网络内的任一个车辆的编号； 的取值范围为：\nkΔT-Δt≤t＜(k+1)ΔT；ΔT＝25分钟，Δt＝0.5分钟；Pchp＝0.5，\nDLi(t)＝2.0；k＝50；\n[0043] 在终端内设有如图1所示的位置隐私模型，位置隐私模型为：\n[0044] 其中 为位置隐私等级，\nα为车辆i的旧伪名序号，b为车辆i的新伪名序号； 为混\n合区域内更改伪名的车辆总数；Bi(t)为位置隐私，Pa→b为车辆i旧伪名序号α更换为新伪名序号b的概率；例如车辆i在进入混合区域之前的伪名序号为α，混合区域内有3辆车更改为新伪名，其新伪名序号分别为b、c、d，车辆i的新伪名序号可能是b、c、d当中的一个；Pa→b＝1/3；Bi(t)值与t、k、 相关；\n[0045] 在终端内设有声望模型： 为经过k次更改伪\n名后，车辆i的声望值； 为混合区域内车辆总数；设定声望值阈值为DRi(t)为2.0；\n[0046] 步骤200，当车辆i首次进入车载自组织网络之前，向控制服务器注册获得公、私密钥对和与公、私密钥对相对应的证书；设定车辆i的初始声望值为0，车辆i的初始位置隐私为2；\n[0047] 步骤300，车辆i的微处理器计算车辆i的伪名剩余时间 当 车辆i发送一个加密后的伪名请求报文RNP给车载服务器；\n[0048] 步骤400，收到伪名请求报文RNP后，车载服务器根据混合区域建立准则建立车辆i的混合区域，车载服务器广播加密后的命令报文COMMAND；伪名请求报文RNP包括当前伪名的剩余时间 新伪名、声望值 声望值阈值DRi(t)、当前位置和车速。\n[0049] 步骤500，设定车辆自组织网络中的车辆i之外的其它车辆为车辆j，当车辆j收到命令报文COMMAND，车辆j的微处理器将接收到的命令报文COMMAND中混合区域大小及位置信息和自车所处位置进行比较，当车辆j落在车辆i的混合区域内，车辆j广播命令报文COMMAND；当 则车辆j更改伪名；车辆j的微处理器利用声望模型计算其声望值 车辆j的微处理器计算车辆j的位置隐私Bj(t)，并且把 和Bj(t)存储在车辆j的存储器中；\n[0050] 命令报文COMMAND包括车辆i的混合区域位置、混合区域大小、车辆更改伪名的时间、声望值 和声望值阈值DRi(t)。\n[0051] 步骤600，当车辆j落在车辆i的混合区域内、且 并且车辆j的\n当前声望值 则车辆j更改伪名；当车辆j落在车辆i的混合区域内、且\n并且车辆j的位置隐私Bj(t)＜DLj(t)，则车辆j更改伪名；车辆j的微处理器计算车辆j的声望值 和位置隐私Bj(t)，并且把 和Bj(t)存储在车辆j的存储器中；\n[0052] 步骤700，当车辆j收到命令报文COMMAND并且车辆j不在车辆i的混合区域内，则车辆j将命令报文COMMAND丢弃。\n[0053] 以下为仿真试验结果：\n[0054] 仿真实验的配置见表1，车辆运行在2车道的郊区道路，车辆行驶速度限制在40公里/小时到80公里/小时，车辆的通信半径为250米，Δt为0.5分钟。\n[0055] 表1 实验参数配置\n[0056] \n参数 数值\n车道 2车道\n车道宽度 3.5米\n最短安全行驶距离 5米\n行驶速度 [40公里/小时 80公里/小时]\n车辆通信半径 250米\n发送一个RNP能量开销 1mJ\n更改伪名一次的能量开销 0.1mJ\nΔt 0.5秒\nk 50\n[0057] 图3表示车辆的平均位置隐私与伪名生命周期ΔT之间的关系。其中，Swap方法，是某车辆的位置隐私小于位置隐私阈值或者伪名的剩余时间小于Δt时，该车辆进入伪名更改过程。\n[0058] Non-Reputation方法是若混合区域内某车辆的位置隐私满足位置隐私阈值，则该车辆不更改伪名。本实施例中位置隐私阈值DLi(t)为log2(5)，声望阈值DRi(t)为2.0。\n[0059] 由图3可知，本发明和Swap方法的位置隐私要高于位置隐私阈值log2(5)，而Non-Reputation方法的位置隐私值却保持在2.3。其原因在于：在Non-Reputation方法中，一旦自私车辆满足位置隐私阈值则不更改伪名，使得车辆i的位置隐私值下降，从而导致整个系统的平均位置隐私下降。\n[0060] 此外，由图3可知，伪名的生命周期对平均位置隐私影响不大，其原因是如果伪名的剩余时间 所有车辆均更改伪名。\n[0061] 图4给出了系统的平均能量开销与伪名生命周期之间的关系。其中，位置隐私阈值DLi(t)为log2(5)，DRi(t)声望阈值为2.0。\n[0062] 由图4可知，本发明的能量开销在2.5mJ左右，而Swap方法却在37mJ左右，其主要原因是与Swap方法相比，本发明减少了伪名更改次数。与本发明相比，Non-Reputation方法由于平均位置隐私低，使得更多的车辆发送RNP消息，从而导致能量开销比本发明要大。\n[0063] 表2给出不同位置隐私阈值的三种方法的平均位置隐私。跟Swap方法相比，本发明由于自私车辆不主动更改伪名导致平均位置隐私低，但是本发明能够符合车辆的位置隐私阈值。与Non-Reputation方法相比，本发明由于引入声望激励措施使得平均位置隐私增大。\n[0064] 表2 平均位置隐私与阈值之间关系\n[0065] \n[0066] \n[0067] 图5表示平均能量开销与位置隐私阈值之间的关系。由图5可知，本发明和Non-Reputation方法的平均能量开销随着位置隐私阈值的增加而增大，而Swap方法却相反。其原因如下：当混合区域较小时，Swap方法中车辆很难达到位置隐私阈值从而不断发送RNP消息要求进入伪名更改过程；而本发明和Non-Reputation方法中，由于混合区域内部分车辆更改伪名，随着位置隐私阈值增大，更多的车辆需要更改伪名来满足位置隐私阈值。\n[0068] 图6给出了平均位置隐私与声望阈值之间的关系。\n[0069] 由图6可知，随着声望阈值的增大，本发明的平均位置隐私也随之增大。这主要由于声望阈值增大，导致更多的车辆需要通过更改伪名才能提高本身的声望值。\n[0070] 应理解，本实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。