李永強， 劉兆偉

(煙臺大學 計算機與控制工程學院，山東 煙臺 264005)

0 引言

現(xiàn)如今，隨著車輛中各類傳感器、通信模塊和人工智能技術(shù)的發(fā)展，車輛將變得更加智能。由各類基礎(chǔ)設(shè)施和智能車輛組成的車聯(lián)網(wǎng)將是5G通信時代的一個重要應用場景[1]。在該場景下，車聯(lián)網(wǎng)借助于車-基礎(chǔ)設(shè)施通信(V2I)、車-路通信(V2R)和車-車通信(V2V)等方式，促進車輛間的信息共享，提升道路安全性和運輸效率，為人們提供舒適的駕駛體驗[2]。

然而，車聯(lián)網(wǎng)的高機動性和波動性等特性使其容易遭受到各種類型的攻擊，該網(wǎng)絡的隱私性、安全性和可靠性仍需進一步增強：一方面，由于擔心上傳的數(shù)據(jù)會暴露隱私，用戶可能不會主動分享收集到的交通數(shù)據(jù)；另一方面，由于車輛的高速移動性和位置的不確定性，與陌生車輛建立信任關(guān)系具有一定的挑戰(zhàn)性，車輛間的不信任性將嚴重影響數(shù)據(jù)流通，甚至會形成“數(shù)據(jù)孤島”，阻礙車聯(lián)網(wǎng)的進一步發(fā)展[3-4]。

現(xiàn)階段，人們認為區(qū)塊鏈技術(shù)有極大的潛力應對上述問題，并將徹底改變整個車聯(lián)網(wǎng)的技術(shù)格局。區(qū)塊鏈具有抗篡改和去中心化的特性，參與者的所有活動、身份信息和共享數(shù)據(jù)都將被寫入不可偽造的分布式賬本中, 這些特征有利于在車聯(lián)網(wǎng)中構(gòu)建理想的數(shù)據(jù)共享平臺[5]。然而，由于區(qū)塊鏈的公開性和透明性，存儲的數(shù)據(jù)可以被網(wǎng)絡中的每一個參與者查看，攻擊者通過分析網(wǎng)絡中車輛的歷史行為可以追溯到其真實身份。

為了更好地提升車聯(lián)網(wǎng)中共享信息的可靠性，一些安全驗證方案已被提出。Behfarnia等[6]提出建立基于貝葉斯博弈模型的投票機制，該機制通過對可疑節(jié)點的周邊節(jié)點發(fā)起局部投票來排除惡意節(jié)點。Liu等[7]提出了一種基于區(qū)塊鏈的信任管理模型以實現(xiàn)信息的可信性，該模型采用基于邏輯回歸的信任計算提高了對惡意車輛信譽值的敏感性。然而，上述方案對于網(wǎng)絡中的所有信息采用一致的驗證方法，沒有考慮網(wǎng)絡中信息多樣性和時效性的不同。

車輛隱私的保護是另一個關(guān)鍵的挑戰(zhàn)，因為這將直接影響用戶加入車聯(lián)網(wǎng)的意愿，車輛的敏感信息不應暴露在網(wǎng)絡之中。為了更好地保護車聯(lián)網(wǎng)中的私有數(shù)據(jù)，F(xiàn)eng等[8]提出了一種稱為區(qū)塊鏈輔助隱私保護認證系統(tǒng)的新型框架，不需要任何在線注冊中心，允許跟蹤和動態(tài)撤銷行為不端的車輛。Tan等[9]提出了一種車輛與路邊單元之間的無證書認證協(xié)議，實現(xiàn)了車輛的身份認證。然而，該機制的實現(xiàn)依賴于可信的第三方，不能提供分布式的安全保護。

鑒于此，本文針對車聯(lián)網(wǎng)中車輛間存在的信任和隱私問題，提出了一種基于區(qū)塊鏈的車聯(lián)網(wǎng)安全信息共享機制。為進一步提升網(wǎng)絡中信息的可靠性，該機制采用了基于信譽的雙重過濾技術(shù)，考慮多因素對于車輛信譽的影響，使得車輛的惡意行為可以準確和全面地反映在信譽上。此外，通過引入基于用戶隱私需求的假名替換策略，重新定義假名更換頻率。

1 區(qū)塊鏈技術(shù)

區(qū)塊鏈被認為是一種由復雜密碼技術(shù)和共識模型支持的去中心化的分布式賬本或數(shù)據(jù)庫，能夠有效解決信息不對稱問題，實現(xiàn)多個主體間的信任與協(xié)作，具有極高的應用價值。

然而，目前的區(qū)塊鏈系統(tǒng)每年需要耗費數(shù)十太瓦時的能源用于挖礦，這對于資源受限的車輛來說是無法接受的。此外，傳統(tǒng)的區(qū)塊鏈主要采用鏈式的存儲結(jié)構(gòu)，這種鏈式設(shè)計導致區(qū)塊和交易都是按順序處理的，嚴重影響了區(qū)塊生成效率。顯然，傳統(tǒng)的鏈式結(jié)構(gòu)區(qū)塊鏈已無法滿足車聯(lián)網(wǎng)中海量數(shù)據(jù)的實時性存儲需求。如圖1所示，本文采用了一種基于有向無環(huán)圖(directed acyclic graph,DAG)結(jié)構(gòu)的IOTA[10]來提升系統(tǒng)的穩(wěn)定性。

圖1 基于DAG結(jié)構(gòu)的區(qū)塊鏈Figure 1 Structure of the DAG-based blockchain

DAG結(jié)構(gòu)的區(qū)塊鏈不再受單一主鏈和區(qū)塊大小的限制，這些特點使其能在車聯(lián)網(wǎng)場景中獲得更好的應用，如更高的吞吐量和更短的交易確認時間。在車聯(lián)網(wǎng)應用場景中，由于車輛眾多，發(fā)送和接收信息也十分頻繁，故本文采用IOTA作為數(shù)據(jù)存儲工具。

2 安全模型

本文從安全性和隱私性角度出發(fā)，提出了一種基于區(qū)塊鏈的車聯(lián)網(wǎng)安全信息共享機制。本節(jié)將著重討論所提機制中涉及的實體。

如圖2所示，該機制主要包含5種不同類型的實體，即：路邊基站、車輛、交通管理部門、追蹤部門和執(zhí)法部門。

(1)路邊基站(roadside unit, RSU)。路邊基站配備了存儲、處理和無線通信模塊，主要負責接收和傳遞車輛發(fā)出的交通信息。

(2)車輛。本文中出現(xiàn)的車輛可分為3種類型。

誠實車輛：能夠誠實地發(fā)送車輛收集到的交通信息并對接收到的信息進行及時反饋。

惡意車輛：車聯(lián)網(wǎng)中可能存在部分惡意車輛，為了自身利益試圖干擾其他車輛的正常行駛。

圖2 本機制的主要結(jié)構(gòu)框架Figure 2 Main structural framework of the mechanism

臨時中心節(jié)點：主要作用是根據(jù)組內(nèi)車輛的反饋信息完成車輛信譽的更新并將其上傳至區(qū)塊鏈。

(3)交通管理部門(traffic management authority, TMA)。交通管理部門負責核驗車輛初始信息和真實身份，掌管車輛假名和證書的發(fā)放。

(4)追蹤部門(tracers department, TD)。追蹤部門由多個追蹤小組構(gòu)成，追蹤小組中的追蹤成員由TMA和網(wǎng)絡中的車輛聯(lián)合選出。

(5)執(zhí)法部門(law enforcement department, LED)。如果發(fā)現(xiàn)虛假公告信息，執(zhí)法部門可根據(jù)信息發(fā)布者的歷史作惡記錄來對其進行懲罰。

3 機制運行方案

本節(jié)將詳細介紹所提出的方案，主要包含5個階段：機制的初始化、車輛登記、假名分發(fā)、隱私保護和信息驗證。

3.1 機制的初始化

公鑰密碼體制是實現(xiàn)信息安全傳輸?shù)闹匾夹g(shù)之一，尤其是橢圓曲線公鑰密碼體制(elliptic curve public-key cryptosystem, ECC)，具有安全性高、密鑰長度短、計算速度快、節(jié)省通信帶寬和存儲空間等優(yōu)勢。在所提出的機制中，每個實體都可以通過ECC方案獲得一對私鑰和公鑰。

3.2 車輛的登記與假名分發(fā)

為了跟蹤和懲罰網(wǎng)絡中的惡意車輛，車輛需要在注冊時向TMA提交自己的公鑰和身份信息進行驗證。如果有效，TMA將公鑰和身份信息的映射關(guān)系存儲在區(qū)塊鏈中。為保護身份隱私，車輛V可向TMA發(fā)送帶有自身簽名的假名申請請求。如果簽名有效，TMA將向V發(fā)送用于通信的假名。

3.3 隱私保護

與其他移動自組織網(wǎng)絡相比，車聯(lián)網(wǎng)的拓撲變化頻繁、網(wǎng)絡規(guī)模龐大，車輛更容易受到隱私威脅。假名技術(shù)使車輛與外部進行通信時，可以通過 TMA頒發(fā)的臨時身份代替其真實身份。然而，當網(wǎng)絡中存在持續(xù)檢測的攻擊時，攻擊者將共享信息與車輛的假名相結(jié)合，可以推斷出車輛的真實身份。為解決上述挑戰(zhàn)，本文采用了一種基于用戶隱私需求的假名替換策略。

3.3.1 道路狀況

在車輛進入道路之前，駕駛員需要將行程的目的地發(fā)送給TMA。假設(shè)車輛起始位置為S0，目的地為Sj，則C表示車輛從S0行駛到Sj的路況。計算方法如式(1)所示：

(1)

式中：n為出行路徑中包含的道路段數(shù)；lengthi為車輛經(jīng)過的第i段道路的長度；pi為路段上車輛共享交通信息的概率，該概率是TMA對道路歷史數(shù)據(jù)進行分析后獲得的；Li為某路段的車道時間占用率，為RSU獲取的實時道路數(shù)據(jù)。

3.3.2 用戶隱私要求

考慮到不同用戶對車輛的隱私要求不同，本文規(guī)定車輛需要在出發(fā)前將本次行程的隱私要求發(fā)送給TMA，以獲得每段道路所對應的隱私保護級別pv，表示為[pv1,pv2,pv3,…，pvi]。TMA通過權(quán)重ψ來參數(shù)化駕駛員隱私需求，如表1所示。

表1 參數(shù)化隱私需求Table 1 Parameterized privacy requirements

駕駛員隱私需求Ppri的計算如式(2)所示：

Ppri=ψ1pv1+ψ2pv2+ψ3pv3+…+ψipvi。

(2)

3.3.3 假名變更間隔

為避免被追蹤，車輛需要定期更改其假名，替換間隔被定義為Tlag，隨C和Ppri的變化而動態(tài)改變。根據(jù)多元線性回歸方程，可以預測假名的替換時間Tlag的計算如式(3)所示：

(3)

本文將影響車輛假名替換間隔的上下限閾值定義為Tupper和Tlower。當Tlag在上下閾值之間時，將車輛加入假名更換隊列Qwait，即假名更換時間已到，需要盡快更換假名。為避免因使用同一假名時間過長而被跟蹤，當Tlag高于Tupper時，增加車輛在Qwait中的優(yōu)先級，強制更改假名；若Tlag低于Tlower，表明車輛請求過于頻繁，將車輛加入候選隊列Qcand。當車主再次申請時更改車輛假名。

3.4 信息驗證

本文采用基于雙重過濾的信譽機制來完成信息的驗證，該機制的運行過程如圖3所示，當車輛的傳感器模塊檢測到異常信息時，該車輛將通過通信模塊將異常信息發(fā)送至周圍車輛，接收到異常信息的車輛依據(jù)發(fā)送車輛的信譽值、近期綜合信譽表現(xiàn)和活躍度等因素完成對接收信息的驗證；隨后，車輛將根據(jù)實際情況對所接收信息的真實性進行評估，并將評估信息臨時存儲在本地；信息發(fā)送者和接收者建立一個臨時的小組并選出組內(nèi)的臨時中心節(jié)點，負責達成小組內(nèi)對于評估信息的共識；最后，臨時中心節(jié)點通過獲取的反饋信息完成車輛信譽的更新并將其上傳至區(qū)塊鏈。

圖3 基于車輛信譽的后驗機制Figure 3 Posteriori method based on vehicle reputation

車聯(lián)網(wǎng)中信息服務種類繁多，由于各類信息在車聯(lián)網(wǎng)中所發(fā)揮的重要程度不同，因此車輛主動發(fā)送不同類型共享信息對自身信譽的影響也將是不同的。本文中設(shè)定車輛的信譽由兩部分構(gòu)成，即緊急信息信譽REm和非緊急信息信譽RNem，信譽的計算如式(4)所示：

R=β1RNem+β2REm。

(4)

式中：參數(shù)β1和β2分別為非緊急信息信譽和緊急信息信譽所占的權(quán)重，β1+β2=1。該機制將根據(jù)式(4)對車輛的總信譽進行更新。

3.4.1 信息篩選

當接收到從車輛V1發(fā)送來的緊急信息后，首先查看V1的信譽值，若其信譽值高于設(shè)定的閾值RTH，便可以認為該信息通過了初步的篩選，進入下一驗證階段。

第二階段主要考慮V1的近期(一般默認為20 d，可根據(jù)實際情況進行調(diào)整)綜合信譽Rcom，當Rcom較大時，則認為V1的近期表現(xiàn)較好，接受該緊急信息；反之，拋棄該緊急信息。車輛的近期綜合信譽與近期信譽表現(xiàn)(Rrec)、活躍度(Vliv)和信譽值(R)相關(guān)，具體計算如式(5)所示：

Rcom=λ1Rrec+λ2Vliv+λ3R。

(5)

式中：Rrec、Rliv和R的權(quán)重分別為λ1、λ2和λ3，且λ1+λ2+λ3=1。其部分參數(shù)說明如下。

(6)

近期活躍度(Vliv)。近期活躍度是衡量某一時間段內(nèi)車輛發(fā)送的緊急信息的數(shù)目，單位時間內(nèi)發(fā)送的信息數(shù)目越多，車輛的活躍度越高：

(7)

式中：sum為近期內(nèi)車輛發(fā)送的共享信息數(shù)目；Trec為所提出機制規(guī)定的時間段。

經(jīng)過上述過程的篩選后，如果V1所發(fā)送的緊急信息符合要求，則認為該信息是可靠的，車輛將給予駕駛員行駛提醒。算法具體步驟如下。

算法1惡意信息篩選算法(MMF algorithm)。 輸入：異常數(shù)據(jù)；

輸出：信譽評估信息DRE。

①abnormal data detection；

②ifVj.data==falsethen/*檢測到異常數(shù)據(jù)*/

③Determine the type of message and verification；

④fori←1,n-1do

⑤Vi←{MEm,Reputationdata,Sj,Cerv}；

/*MEm為緊急信息，Sj為車輛Vj對MEm的簽名*/

⑥endfor

⑦endif

⑧ Verify the validity of the reputation data；

⑨ifRj≥RTHthen

⑩ CalculateRcomaccording to equation (5)；

/*Rrec和Vliv分別根據(jù)式(6)和(7)獲得*/

在車輛生成信譽評估信息后，為達成共識，系統(tǒng)將緊急信息發(fā)送車輛和信息接收車輛組建成一個臨時小組，并賦予小組內(nèi)車輛一個臨時的ID。所提出的臨時中心節(jié)點選擇方案如下：

Hash(ID,time,R)

(8)

式中：time為車輛參與選舉時信息輸入的時間；A是對車輛信譽的量化，車輛的歷史信譽越好，A表示的哈希閾值范圍越大,車輛被選為臨時中心節(jié)點的概率越高。

3.4.2 車輛信譽更新

被選為臨時中心節(jié)點的車輛將把本地存儲的信譽評估信息發(fā)送給組內(nèi)的成員，該成員根據(jù)本地信息對所接收到的信息進行反饋，最后由臨時中心節(jié)點根據(jù)反饋情況判定信譽評估信息的可靠性并上傳至區(qū)塊鏈。算法具體步驟如下。

算法2信譽更新算法(RVU algorithm)。

輸入：信譽評估信息DRE；

輸出：更新后的車輛信譽值R。

①Callalgorithm MMF；

②VTsend message toVi；

/*臨時中心節(jié)點發(fā)送信譽評估信息給組內(nèi)車輛*/

③fori←1,n-1do

④Vi←{DRE,ST}；

/*ST為臨時中心節(jié)點對發(fā)送的信息的簽名*/

⑤ifDRE&&ST==truethen

⑥Sum←Sum+ 1；

⑦endif

⑧endfor

⑨ifSum/(n-1)≥70%then

⑩ update reputation value；/*信譽值上升*/

當車輛發(fā)送惡意信息時，會降低車輛的信譽值，且處罰力度與時間相關(guān)，會隨著車輛作惡次數(shù)增加而逐漸加重，其定義如式(9)所示：

(9)

式中：θ為對惡意車輛的懲罰程度；α為懲罰系數(shù)；ΔT為一個時間單元；t為當前的時間;tk為車輛發(fā)送惡意信息的時間。

車輛作惡次數(shù)被記錄在區(qū)塊鏈當中，當達到指定的閾值時，TMA將注銷該用戶信息并將其放入黑名單中。

4 實驗分析

本節(jié)在計算機上依據(jù)所提算法進行實驗仿真和分析。該實驗硬件環(huán)境為Intel AMD Ryzen 7 4800H CPU、主頻2.9 GHz和內(nèi)存16 GB，操作系統(tǒng)為64位Windows10，編程語言為 Go 和Python，集成開發(fā)環(huán)境為GoLand2019和Pycharm2019。

本文將實驗場景設(shè)定在由6×6街區(qū)組成的正方形模擬街道上，每個街區(qū)的大小為600 m×600 m。模擬場景中車輛的數(shù)目為200輛，車輛的平均速度為110 km/h，車輛的無線通信距離為300 m，RSU部署在街區(qū)的交叉路口處，非惡意車輛產(chǎn)生錯誤信譽評估信息的概率為5%，使用的哈希算法為SHA-256。

本文用接收信息的準確率(MAR)來評判算法的性能，其定義如式(10)所示：

(10)

式中：TP表示車輛在接收到信息后，獲取真實信息的數(shù)量；TN表示排除惡意信息的數(shù)量；s表示在該段時間內(nèi)接收到的信息總量。

圖4顯示的是當模擬實驗中存在30輛惡意車輛時，不同RTH取值對車輛接收信息準確率的影響情況。從圖4中可以看出，當RTH較低時，由于大量惡意信息不能被排除，MAR值較低；隨著RTH的升高，MAR值也隨之提升，當RTH為5時，車輛接收信息的準確率達到最高值0.92；當RTH繼續(xù)增大時，由于高信譽值的車輛占少數(shù)，大量真實信息因無法滿足預設(shè)的RTH而被排除，MAR值隨之急劇下降。

圖4 RTH對信息準確率的影響Figure 4 Influence of RTH on the accuracy of information detection

為進一步驗證本文所提出方案的有效性，將其與VARS算法[11]、Vcash算法[12]和文獻[13]中提出的算法進行實驗對比。根據(jù)上述實驗所得結(jié)果，將實驗場景中RTH設(shè)為5，對比各方案在惡意車輛占比率(MR)不同時，所接收信息準確率的情況，實驗結(jié)果如圖5所示。

圖5 不同惡意車輛占比時接收信息的準確率Figure 5 Influence of malicious cars on the accuracy of information detection

從圖5中可以看出，隨著網(wǎng)絡中惡意車輛的增多，本文所提出的機制相比其他兩種方案對于惡意信息的排除率更高，曲線較為平緩，受網(wǎng)絡中惡意信息的影響最小。當實驗中惡意車輛節(jié)點占比為30%時，本文所提方案接收信息的準確率仍然大于91%。這是由于本文所使用的信譽機制不僅依靠RTH排除惡意信息，而且還通過車輛活躍度和近期信譽表現(xiàn)等多種因素進行二次過濾。在相同的惡意車輛節(jié)點占比下，該方案的MAR明顯高于其他3種算法。

車聯(lián)網(wǎng)中惡意車輛的存在對網(wǎng)絡中信息的安全性危害極大，因此對網(wǎng)絡中惡意車輛進行有效排除是十分重要的。假設(shè)模擬實驗中惡意車輛仍為30輛，比較本文所提出方案與其他3種算法隨運行時間對惡意車輛的排除情況。惡意車輛排除率(MCR)的定義如式(11)所示：

(11)

式中：summal為被檢測出的惡意車輛的數(shù)量；sumall為實驗中惡意車輛的總數(shù)。

圖6顯示的是上述4種方案對惡意車輛的排除情況，在實驗運行初期(30 s之前)，由于網(wǎng)絡中惡意信息的數(shù)量較少，車輛所受到的懲罰相對較輕，MCR值較低；在實驗運行中期(30～90 s)，排除率迅速上升，且本文提出方案的上升趨勢明顯高于其他3種算法；在運行至90 s時對于惡意車輛的排除率已達95%以上。這是由于本文所提出的算法對于接收信息的評估需要先在小組內(nèi)達成共識，該機制能夠有效防止部分車輛對于所接收信息的誤判，提升對于惡意信息判斷的準確率。同時，該方案還采用了基于時間的懲罰機制，在短時間內(nèi)隨著車輛惡意行為的增多，惡意車輛受到的懲罰也將累積增長。

圖6 惡意車輛排除率對比圖Figure 6 Comparison chart of malicious vehicle exclusion rate

圖7中顯示的是上述4種算法對于惡意車輛的排除數(shù)量隨時間的變化情況，從圖7中可以清晰地看出在整個實驗過程中本文所提方案對惡意車輛的排除情況整體優(yōu)于其他3種方案，完全排除惡意車輛所用時間也相對較短。

圖7 惡意車輛排除數(shù)量對比柱狀圖Figure 7 Comparison histogram of malicious vehicle exclusion number

5 結(jié)論

車聯(lián)網(wǎng)中惡意節(jié)點的存在會嚴重影響網(wǎng)絡中共享信息的安全性，為此本文提出了一種基于區(qū)塊鏈的車聯(lián)網(wǎng)信息安全共享機制，該機制通過基于車輛信譽的后驗方案來保證車輛接收信息的可靠性，使用基于用戶隱私需求的假名替換策略來保護用戶隱私。理論分析和仿真實驗表明，該機制可有效地提升車聯(lián)網(wǎng)中共享信息的安全性和可靠性。