林茂伟　王达斌　梁宇辉

摘要：智能交通车联网的发展面临着无线网络通信安全与车载用户隐私保护等一系列具有挑战性的难题。针对该系列问题，文章提出了一种层次化的车联网移动云安全模型，车载移动终端使用其身份证书接入相应层次的云端进行身份认证，以确保获得安全稳定的车联网系统服务。同时，由于车载单元的快速移动性质，路侧设施难以支撑大密度的车载终端认证过程，结合云端充足的计算资源和强大的服务能力，可降低车载移动终端在身份合法性确认过程对于车联网路侧设施的处理性能要求，而使用匿名认证的方法可保护车辆的安全和位置隐私。

关键词：车联网；云计算；匿名认证；层次化

近年来，车辆的剧增引发了一系列引人关注的社会问题，如交通拥堵、交通事故频发等。随着人们在车辆移动过程中的应用服务及安全性需求日益增长，智能交通领域已成为世界瞩目的研究方向，同时也推动了车辆向网络化、智能化方向发展。

作为物联网在智能交通系统领域的延伸，车联网是智能交通系统的核心组成部分，它通过对道路和交通进行全面感知，实现多个交通系统间大范围、大容量的数据传输和交互，支持对道路车辆的实时控制，从而提升交通安全和交通效率。车联网系统功能的实现需要搜集大量移动节点信息，并能实时处理海量的相关交通信息，这就需要拥有大规模数据处理能力的平台支撑。随着近些年云计算技术的不断发展，研究人员通过在车辆和相关路侧设施上搭建车辆云处理平台的方式，使得车辆行驶过程中可以高效利用云端提供的服务。由于车载网络是通过无线信道进行通信，不可避免地要面临很多威胁和攻击，比如说注入虚假错误的信息、修改或重放以前的信息等等。对于传输与生命相关的安全信息的车联网而言，这些威胁和攻击会造成严重后果。车联网隐私保护领域的先驱者Raya曾指出：“VANET能否被接受和推广，安全和隐私保护起着关键性的作用”。为此，迫切需要对车联网隐私保护进行全面和系统的研究。文章关注车联网安全与隐私问题，提出了层次化车联网移动云安全架构，该架构扩展性高，不仅满足匿名认证的基本特性，还能有效避免传统分布式假名管理机制下的路上证书更新开销和车辆与区域授权机构之间的隐私信任缺失问题。

1层次化车联网移动云安全模型

随着移动互联网的蓬勃发展，基于移动终端如智能平板、手机等的云计算（Mobile cloud computing，移动云计算）服务已经出现。移动云计算是指通过移动网络以按需、易扩展的方式获得所需的基础设施、平台、软件（或应用）等的一种IT资源或信息服务的交付与使用模式。移动云计算使移动终端获得云提供的弹性资源，功能更为强大。

文章所采用的车联网移动云服务系统模型包含车载云、路侧云和中心云3个层次，其中车载云由车载节点构成，车载节点之间通过相对松散结合方式，相互共享计算资源和存储资源；路侧云由RSU构成，RSU包含无线接入模块和本地服务器，物理逻辑相邻的本地服务器之间有较为稳定且充足的带宽，可以将这些资源结合成为较为集中且稳定的服务提供平台，它的计算资源和存储资源既可以对车载终端用户开放接入也可以对服务提供商开放接入；中心云可以是多个的，其中面向智能交通的中心云则由交管部门数据中心服务器构成，车载终端用户可通过DSRC，蜂窝无线通信或者WIFI并经过Internet接入中心云，使用中心云提供的计算和存储资源。

在“云层”中实现面向智能交通的车辆安全与隐私保护，需要充分考虑各层云的特性以及最终用户的特性。与传统的互联网所不同的是，车联网用户群是一个具有高移动性且计算、存储能力相对较弱的群体。高移动性在车联网的初期表现出拓扑的不确定，OBU可能长时间无法接入RSU，只能在小范围的临时OBU体中实现资源分享，无法形成可信通信的有效拓扑，适合采用一次性的获取海量假名进行匿名认证；而在车联网的发展期则表现出拓扑的不稳定性，OBU虽然能够通过各类的RSU接入而获取网络资源，并可以与周围的OBU实现资源共享，但是拓扑却随着高速移动而快速变化，可以采用有限时间内领取若干区域假名进行匿名认证。

笔者提出层次化车联网移动云安全模型，如图1所示。从“云层”方面看，远端的中心云资源充足、功能强大，但由于受到核心通道的流量制约，适合与交通管理中心构成车联网的cA树，为车辆提供注册、认证、资格管理等核心隐私业务；由RSU以及就近的服务器所构成的“微云”贴近最终用户，部署灵活，可以承载各种服务，但却在安全性上不如中心云，其安全性依赖于部署云层的安全策略以及物理设备的安保，适合在CA的授权下分担证书的生成与发放以及提供普通的证书验证服务。

2车联网移动云安全隐私保护方案

匿名认证是车联网安全和身份隐私保护的关键机制。传统分布式假名证书管理方案允许车辆在行进中通过RSU更新假名证书，同时限定证书的有效期和使用区域。路上证书更新属于实时服务，在有限的时间内为大量过往车辆更新假名证书对RSU服务能力提出极大的挑战。针对这一情况，我们提出的层次化车联网移动云安全模型可适用于车辆匿名认证的流程，同时也有效降低对RSU处理器性能的依赖，以减少服务不可保证的风险，保证车联网系统的稳定和安全。

2.1主要工作模块

车联网移动云安全隐私保护方案由三个工作模块互相协作完成：

（1）位于中心云的cA模块。它部署于远端，主要完成车辆身份的认证、车辆身份信息的保存与管理、用于匿名通信的假名池的管理、LA身份的认证、LA信息的保存于管理、公共信息的发放、CRL的生成与发放、安全策略的执行与监管。该模块的规模与元素由车联网的规模决定：①当在车联网初期，入网车辆较少，RSU数量规模较小，大地区范围内微云数量少，中心云覆盖范围宽广时，CA可以是一个服务器群组；②当车联网进入发展期，在OBU、RSU、微云量级大幅提高，基于智能交通服务的中心云地区化之后，CA可以是一个树状结构的分布式中心，在根CA以下，每个子CA所辖地区可以与我国交通行政划分相结合，形成一个抽象的功能强大的CA。

（2）位于“微云”的LA模块。它是本地认证中心，与CA通过有线网络互联，主要完成车辆证书的生成与分发、协助揭露恶意车辆的身份、CRL的同步以及区域广播、提供车辆匿名证书的认证等。LA签发的假名证书只有在所属CA所在地区内是合法的。车联网部署的不同时期，“微云”的覆盖范围、部署密度，云内RSU的密度，云的自身性能等都是不同的，LA根据“微云”的参数依据安全策略制作分发一定基数的假名证书，并声明证书生存时间。作为分散在路边的设施，RSU存在着被攻击者破坏或者入侵的可能，但是分布于区域内的“微云”确保了LA的系统的健壮，这将比基于RSU的分布认证模型拥有更大的安全性。另一方面，基于“微云”的LA数量性能更强大，部署数量远小于基于RSU的模型，大大减少cA组播造成的带宽消耗。

（3）位于OBU的隐私保护模块。它是用于处理车辆认证流程的场所，通过该模块认证的OBU之间可以相互通信，分享交通信息，提高驾驶体验。在分布式假名管理机制中，OBU不定期更换假名证书对外发布信息并且接收LA所公布的CRL。当假名证书生存期将过，OBU经过RSU时请求更新假名证书，更新的数量应保证车辆在证书生存期内保证隐私保护能够达到一定的标准。

2.2系统特性

车联网移动云安全隐私保护方案除了满足匿名认证的基本特性外，还具备以下优点。

（1）优化路上证书更新过程中间CA的运算压力以及核心网络的传输压力；

（2）保证了LA的强壮性与自主性。部署于云的LA安全性依托于云安全，性能是可以动态调配的，当计算压力突然增大时可有有效避免资源不足而造成服务中断。

（3）保持OBU对LA的身份隐私。LA协助CA完成OBU更新证书，发挥区域授权机构的功能，但是无法将OBU真实身份与假名关联，无法将其他区域LA颁发的假名证书相关联，因此，有限度地保护了用户身份隐私。

3结语

文章结合移动云计算、车联网安全和匿名认证等方向的研究，提出了层次化车联网移动云安全模型，分析了在车联网移动云安全隐私保护方案中主要模块的职能和工作流程，该安全模型在满足车联网匿名认证的基本特性的同时，可有效降低对车联网路侧设施的工作负荷水平，提升车联网系统的稳定性和安全性。