葛敬禹

(同濟(jì)大學(xué) 電子與信息工程學(xué)院，上海 201804)

0 引言

近年來，由于車輛自組織網(wǎng)絡(luò)(VANET，Vehicular Ad Hoc Networks) 可以為駕駛員和相關(guān)機(jī)構(gòu)提供及時有效的交通信息，確保道路行駛安全，已逐漸成為下一代智能交通系統(tǒng)（ITS，Intelligent Transportation Systems）的基礎(chǔ)及多方研究機(jī)構(gòu)的關(guān)注焦點。

VANET研究中的一個主要方向是通過車輛與車輛（V2V，Vehicle to Vehicle）、車輛與路邊設(shè)施(V2R，Vehicle to Road Side Unit)之間的通信來確保車輛的駕駛安全[1]。例如，當(dāng)交通事故發(fā)生時，VANET的應(yīng)用可以對所有接近的車輛發(fā)出警告，以避免造成更多的傷害。但 VANET中有相當(dāng)多的應(yīng)用涉及到多車輛的合作，并且車輛之間通信使用的無線信道具有很大的開放性。若參與的車輛身份不明，或者通信過程受到攻擊者的干預(yù)，則很容易遭受到女巫攻擊而進(jìn)一步產(chǎn)生巨大的危害。

女巫攻擊即攻擊者通過偽造、竊取等方法來制造出多個虛假身份，繼而利用虛假身份攻擊，為自身獲取利益。這對于車輛網(wǎng)絡(luò)的影響可以是致命的，當(dāng)事故預(yù)警、碰撞預(yù)防等關(guān)系到行駛安全的應(yīng)用收到女巫攻擊時，很可能會造成嚴(yán)重的交通事故，為人身安全帶來巨大的損失。典型的女巫攻擊如圖 1所示。

本文提出了一種基于車輛駕駛路線的女巫節(jié)點檢測方法，同時根據(jù)車輛與路邊設(shè)施的公鑰證書來確定合法性，防止數(shù)字簽名的竊取與偽造的現(xiàn)象發(fā)生。方法的實現(xiàn)借助于路邊設(shè)施RSU所提供的基本服務(wù)，但不依賴RSU進(jìn)行驗證。這保證了在VANET網(wǎng)絡(luò)部署初期，基礎(chǔ)設(shè)施不完善的條件下也能適用。

圖1 女巫攻擊示意圖

1 相關(guān)工作

女巫攻擊的概念是由 Douceur提出[2]，它可輕松地破壞網(wǎng)絡(luò)的分布式存儲并對路由算法進(jìn)行攻擊，進(jìn)而獲取網(wǎng)絡(luò)的大量資源。在 VANET這樣的分布式網(wǎng)絡(luò)中，大多數(shù)的應(yīng)用都假定每一個參與的個體都只擁有一個身份。倘若這一前提成立，則驗證欺騙攻擊是很容易的事情。Douceur在文章中提出了使用中央授權(quán)機(jī)構(gòu)（CA，Central Authority）的方法，保證每個個體只能擁有一個身份，從而杜絕女巫攻擊。然而在實踐中，想要在大的范圍里，如全國，甚至全球)建立如此的機(jī)構(gòu)卻難以實現(xiàn)。此外，該方法對于個體的匿名性以及位置隱私不能很好地給予保護(hù)。

近年來，有文獻(xiàn)[5]提出了利用車輛運(yùn)動軌跡判定女巫節(jié)點的方法。通過車輛在駕駛過程中，獲取RSU的數(shù)字簽名，來對車輛的運(yùn)動軌跡進(jìn)行判斷。

本文試圖在現(xiàn)有的基于車輛運(yùn)動軌跡判斷的基礎(chǔ)上，為解決惡意車輛竊取數(shù)字簽名以及惡意刷新簽名的問題，加入了車輛證書的審查。利用整合的數(shù)字簽名證書，以進(jìn)一步的防止惡意車輛對數(shù)字簽名進(jìn)行更換或篡改，從而保證方法的安全性。

2 系統(tǒng)模型

在車載網(wǎng)絡(luò)中，車輛可以通過 V2V通信或者V2R通信與鄰近車輛或者路邊設(shè)施進(jìn)行通信。圖 2展示了系統(tǒng)模型的架構(gòu)，包含以下3個部件：

（1）路邊設(shè)施(RSU)

可在交叉路口或任意地點 (如，公交車站、收費站或停車場入口處) 部署。完整的RSU具備無線接入點的作用(IEEE 802 11x)，能為信號范圍內(nèi)的車輛提供無線連接。

（2）車載單元(OBU，On Board Unit)

預(yù)先配置在車輛中，同時具備GPS接收器和短程無線通信模塊。配備了OBU的車輛可以與RSU或其他鄰近車輛通過無線方式進(jìn)行通信。

（3）可信機(jī)構(gòu)(TA，Trust Authority)

負(fù)責(zé)系統(tǒng)的初始化以及RSU的管理。

本文假設(shè)：①TA與RSU都是完全可信的；②每輛車的移動都是自由的。

圖2 系統(tǒng)模型示意

3 女巫節(jié)點檢測方法

本章描述女巫節(jié)點檢測方法的實現(xiàn)，主要包含2個部分：①車輛請求與RSU響應(yīng)；②驗證方進(jìn)行身份驗證。

3.1 車輛-RSU通信

當(dāng)車輛Vk駛過RSUn時，會與RSUn進(jìn)行通信。此時，根據(jù)n值的不同，通信協(xié)議有所不同。

3.1.1 n=1時通信協(xié)議

若 n=1，即車輛經(jīng)過第一個路邊設(shè)施時，請求信息中只包含車輛的身份信息、位置信息以及車輛的公鑰，即：

此時，RSU1只需在對該車評定信用等級(詳見3.1.3節(jié))后，根據(jù)Vk的公鑰KPUB_Vk為其生成數(shù)字簽名。通信協(xié)議如圖3所示。

圖3 車輛-RSU通信協(xié)議(n=1)

其中，Ctf_Vn證書格式如下：

式中，CL表示該車的信用等級(詳見3. 2.1節(jié))、MDS包含了車輛 Vk所收到的 n個 RSU的時間戳、KPUB_Vk是車輛Vk公鑰、Sig(KPRI_RSUn)是RSUn為這證書做出的加密簽名。

3.1.2 n＞1時通信協(xié)議

若n＞1時，請求信息為：

此時，RSUn除了要對 Vk進(jìn)行信用等級評定之外，還要對車輛的舊證書Ctf_進(jìn)行合法性審查，來驗證 Vk是否是該證書的合法持有者以及該證書是否有被篡改。通信協(xié)議如圖4所示。

圖4 車輛-RSU通信協(xié)議(n＞1)

3.1.3 信用等級評定

車輛的信用等級，是由RSU對其進(jìn)行RSSI[6-7]檢測后得出的結(jié)果，用以輔助驗證方對車輛身份的驗證。

RSUn在收到車輛的請求信息Request_Vk之后，利用收到beacon包的信號強(qiáng)度，結(jié)合自身的位置信息 Ln，通過計算可以得出車輛的距離與角度。當(dāng)RSUn計算出的實際位置與車輛請求中所帶的位置信息具有較大差異時，則將該車的信用等級評定為I級，即需要優(yōu)先進(jìn)行身份驗證；若沒有差異或者差異不明顯時，信用等級為II級。

3.2 車輛身份驗證

身份驗證由道路上的車輛發(fā)起，主要包含證書收集、對比驗證和整理歸類三個步驟。

3.2.1 證書收集

驗證方V主動向周圍所有的鄰居節(jié)點發(fā)送請求信息，而被驗證的車輛需要回復(fù)驗證信息，即：

在證書收集后，驗證方將檢查：①若在證書中發(fā)現(xiàn)該車輛的信用等級為 I級，則優(yōu)先對其進(jìn)行對比驗證；②若發(fā)現(xiàn)證書中 n=1，即該車輛只持有一個數(shù)字簽名，則放棄對此車輛的身份驗證。

3.2.2 對比驗證

驗證方V將收到的鄰居節(jié)點Vu和Vv的MDS憑證進(jìn)行對比。當(dāng)滿足下述條件時，則可以斷定兩輛車是女巫節(jié)點：①根據(jù)公鑰證書Ctf_RSUn，判斷出KPUB_RSUn不合法；②根據(jù)證書Ctf_Vn中的車輛公鑰KPUB_Vk，判斷出被驗證車輛不是該證書的合法持有者；即兩輛車的MDS一致或Vu中的MDS是Vv中MDS的子集。

3.2.3 合并整理

驗證方在執(zhí)行完對比驗證后，會將已確定的女巫節(jié)點組合進(jìn)行整理與合并，將有交集的多個集合合并到一個集合中。如對于集合{V1，V2}以及{V1，V3}，就可將其歸并到集合{V1，V2，V3}中。

3.3 實驗仿真

檢測機(jī)制的性能評估主要包含兩個方面：檢測率和所需的檢測時間。

(1)檢測率RD：指正確檢測出女巫節(jié)點的次數(shù)與總檢測次數(shù)之比。同時還要考慮誤檢率RF（錯誤地將普通節(jié)點判定為女巫節(jié)點）和漏檢率RO（錯誤地將女巫節(jié)點判定為普通節(jié)點）。

(2)檢測時間TD：指女巫節(jié)點從開始存在到被檢測出所需要的時間。

圖5 MDS長度對檢測率的影響

MDS長度，即數(shù)字簽名的數(shù)量對于誤檢率RF和漏檢率RO的影響如圖5所示。隨著數(shù)字簽名個數(shù)的增多，誤檢率RF逐漸上升而漏檢率RO迅速降低。原因是當(dāng)MDS的容量過于龐大時，驗證方難以在短時間內(nèi)判斷出兩者的區(qū)別；而當(dāng)容量過小，如n=1時，對于該車輛的身份將無法進(jìn)行驗證。因此，選擇適當(dāng)?shù)腗DS長度對于檢測的性能具有重要的意義。

本文在實驗中，用車輛通信距離（300 m）內(nèi)所擁有的鄰居車輛的數(shù)量來表示道路的密集程度。圖7所示的是不同的道路密集程度下，采用信用等級制度前后，檢測出全部女巫節(jié)點所需要的時間。一般情況下，利用比較數(shù)字簽名的方法可以實現(xiàn)在數(shù)秒內(nèi)完成女巫節(jié)點的檢測，但當(dāng)?shù)缆烦鲇趽砣麪顟B(tài)時，需要17 s的時間來完成驗證。在引入信用等級評定之后，能有效縮短車輛擁塞時的驗證時間，最高可達(dá)5 s。

圖7 道路車輛數(shù)對檢測時間的影響

4 結(jié)語

本文在 VANET環(huán)境中，提出了一種基于車輛駕駛路線與證書的女巫節(jié)點檢測方法。方法的實現(xiàn)對于路邊設(shè)施和公鑰設(shè)施的部署沒有依賴，即使在VANET網(wǎng)絡(luò)部署的前期，也可以起到良好的檢測作用，降低女巫攻擊對網(wǎng)絡(luò)的影響(檢測率高達(dá)96%)。車輛利用RSU頒發(fā)的數(shù)字證書對身份進(jìn)行驗證，當(dāng)發(fā)現(xiàn)多輛車具有相同的 MDS時可以斷定其為女巫節(jié)點。

[1] RAYA M, HUBAUX J P. Securing Vehicular Ad hoc Networks[J].Journal of Computer Security,2007(2627):39-68.

[2] DOUCEUR J R. The Sybil Attack[C]. [s.l.]:IPTPS,2002:251-260.

[3] BOUASSIDA M S, GUETTE G, SHAWKY M. Sybil Nodes Detection Based on Received Signal Strength Variations within Vanet[J]. International Journal of Network Security,2009,9(01):22-32.

[4] XIAO B, YU B, GAO C. Detection and Localization of Sybil Nodes in Vanets[C].[s.l.]:DIWANS,2006:1-8.

[5] Soyoung Park Aslam, TURGUT B, ZOU D. Defense Against Sybil Attack in Vehicular Ad hoc Network based on Roadside Unit Support[C].USA:IEEE,2009:1-7.

[6] 方海濤,雷菁,胡昆明,等.基于RSSI修正的改進(jìn)DV-Hop測距算法[J].通信技術(shù),2012,45(02):16-19.

[7] 蔡玲,周力.定位算法在傳感器網(wǎng)絡(luò)中的改進(jìn)策略[J].通信技術(shù),2011,44(04):93-96.