的,操作可W被检测。最 后,地理时间戳和签名,允许检测重复的攻击者。
[0100] 安全邻居发现
[0101] 协同感知或安全消息允许汽车发现靠近的或者说物理邻居里频繁更新的车辆。此 夕h为了进行通信,车辆发现其它直接可达的节点(车辆或路边单元),也就是通信邻居,是 非常重要的。典型的,如果两个节点是通信邻居,它们就是物理邻居,反之亦然。然而并非如 此,因为对手可W安装中继攻击,也就是说,接收和快速重传(中继)远程节点的消息。
[0102] 包含有发送者时间戳和位置,W及认证,使得系统可靠地保障邻居发现W对抗外 部对手。基本的想法是,基于自己的坐标、接收消息的位置和飞行时间(本地时间和接收到 的时间戳的差值),估计发送者和接受者的距离。对于一个协议可选的可接收的邻居范围, 当两个距离估计是相等的W及发送者是被授权的,接收节点接受发送者作为通信邻居。因 此,车辆可W确保它们的邻居表仅包括准确的通信邻居。
[0103] C、安全的地表广播协议
[0104] 在车际通信中,一跳指示所覆盖的范围常常不够。某些事件例如事故的消息需要 传播到更大的区域。运通过基于地理位置的数据传输协议地表广播实现。地表广播包含Ξ 个元素:(i)地理上定义的目标区域的地址,(ii)转发到运个区域,(iii)目标区域内的包分 发。基于位置路由,也就是说多跳单路转发,非常适用于车辆网络的动态变化,由贪婪路由 协议如GPSR或者CGGC实现的。消息在目标区域内所有节点的分发,可W通过简单泛洪或者 对于多跳广播更有效的方法完成。在简单泛洪情况下,目标区域内的每一个节点重播消息 一次,记录序列号W制止相同消息的重播。
[0105] 作为基于位置路由和消息分发的基本安全措施,源节点签名验证创建消息,并附 上相应证书,与安全指示的功能相似。而且,转发节点也可W签名验证它们所中继的包,运 样包可W被下一跳中继所授权,只有合格的网络参与者可W创建消息被其它接收,消息的 完整到达目的地是受到保护的。如前面讨论的,可W防止重播和邻居发现攻击。
[0106] 既然指示是基于位置转发决策,那指示中给定的位置可W是伪造的,数据还有可 能传递失败(当流量被攻击者攻击),W及增加网络负载(由于路由环路),提出一种基于合 理探索的位置认证方法,可w检测运样的位置错误。其次,由于隐私原因导致节点邻居表不 稳定性增加,要变换化名。运样可能导致传播错误到下一跳,因为在一个化名变换期间节点 无法接触更多,运恶化了路由性能。为了平衡网络和隐私需求,可W通过MAC层回调通知路 由层丢了的邻居来扩展路由机制。最后,为减轻资源枯竭攻击,在一个大的目标区域,内部 对手分发了高比率的消息,为此需要使用比率限制。
[0107] D、化名处理
[0108] 上面的一些实施例中已经提到,所述化名集还包括化名的作用时长,车辆每经过 作用时长切换化名。
[0109] 可W设想一些情况,一个对手分析附着在前面消息的认证,可W随着时间跟踪车 辆的位置。因此,建议每一个车辆装载多个认证的用于短期的公钥(即化名)。如果化名在合 适的时间和位置变化,通过不同化名签名的消息就很难被对手连接了。
[0110] 由于对手可W使用通信协议找其它层的信息来跟踪车辆(例如MAC层、IP层),化名 也应该随着车辆底层协议中的身份证的变化而变化。还有,使用消息中包含的位置匹配化 名,对手可W间接通过预测车辆的下一个位置来识别车辆,即使车辆换了一个新的化名。位 置信息的隐形并不是一个解决办法,因为它可能威胁安全应用程序的使用。
[0111] 提出一种方法,建议车辆改变在未被对手控制的区域的化名。运种区域被称为混 合区,车辆通过改变化名混合在彼此之中。同时还建议车辆在规律的时间间隔变化化名,最 大化在混合区内改变化名的概率。探索另一种方法,在路边设施的协助下,在小区域使用加 密通信(即加密混合区)创建未被控制的区域。
[0112] 混合区的一般思路解释如下:如果在混合区,只有一个车辆改变其化名,对手观察 进入和退出该区域的车,可W很容易跟踪车辆,因为只有一个化名变化了。但是如果超过一 个车辆在混合区改变了化名,对手必须考虑匹配进出车辆的每一种可能性,并根据车辆的 移动,穿越混合区的时间和混合区的地理形状,估计最有可能匹配的。运样对手获得准确预 测是很难的。
[0113] 当车辆在网络中一个很大的混合区内改变化名,对手很难获得好的估计。然而,混 合区是通过加密创建的,往往是较小的,因此必须在适当的位置最大限度地发挥其效用(例 如,在交通路口)。因此在一些优选的实施例中,所述作用时长为车辆经过一个街区长度需 要的平均时间。运样一来,车辆在经过一个街区的时间后进入下一个交通路口,所有参与本 系统的节点车辆将有大概率的一同在交通路口变化自己的化名,如此,随着时间和空间变 化,连接不同化名签名的消息变得越来越难。因为车辆在到达目的之前会多次改变化名,对 手将积累更多的不确定性,就像在一个混合网络,移动节点可W获得更高级别的位置隐私。 提高了本通信方法的安全性。
[0114] 一种车际通信系统,包括授权机构60、车辆62,所述车辆包括请求模块620、通信模 块622,所述授权机构包括签名模块600、发送模块602;
[0115] 所述请求模块620用于向授权机构60发送公钥并请求化名,
[0116] 所述签名模块600用于对公钥进行签名作为化名;所述发送模块602用于向车辆发 送化名集,所述化名集包括授权机构的认证信息、公钥和授权机构的签名;
[0117] 所述通信模块622用于在收到化名集后轮流使用化名进行通信。通过设计上述系 统模块,通过授权机构对公钥(化名)进行管理,可W认证在系统中通信的车辆身份是否合 法,车辆管理自身的化名并通过授权机构验证来自于其他车辆的化名是否合法,对于不合 法来源的通信消息不予回应,使用化名又保证了恶意对手无法追踪消息节点,达到了安全 通信的效果。
[0118] 在进一步的实施例中,所述车辆还包括硬件安全模块624,所述硬件安全模块用于 配对产生公钥私钥,所述私钥用于车载应用的使用或生成签名。所述硬件安全模块提高节 点的安全性,私钥能够用于签名并在系统通信中验证消息的来源,提高了本发明通信系统 的安全性。
[0119] 在进一步的实施例中,所述发送模块602还用于发送证书撤销清单,所述硬件安全 模块624还用于在接收到证书撤销清单后撤销公钥或撤销自身敏感内容。通过上述设计,可 W对错误的节点进行撤销操作,提高了系统的容错率及自主修复能力。
[0120] 具体地,硬件安全模块624用于存储第一根公钥和第二根公钥,还用于在第一根公 钥被撤销后,将新的根公钥通过第二根公钥对应的私钥签名验证的指令加载到硬件安全模 块中。上述设计实现了硬件安全模块的根公钥更新,提高了硬件安全模块的安全性。
[0121] 在优选的实施例中,所述通信模块622还用于发送或接收指示包,所述指示包包括 指示消息、发送者签名或发送者状态消息。通过收发带有签名的指示包,能够追踪发送者信 息,能够及时发现系统中存在的恶意对手信息,提高本系统的安全性。
[0122] 进一步地,所述请求模块600经常性且规律性地与授权机构联系,获取新的化名 集。化名从化名集中更新,避免车辆节点被对手追踪,增进了安全效果。
[0123] 优选的实施例中,所述请求模块600始终保存一个使用中的化名集与备用的化名 集,所述通信模块还用于当使用中的化名集中化名使用完毕时,切换到备用化名集使用其 中的化名进行通信。使用备用化名集,提高了化名更新的频率,进一步防止车辆节点被恶意 追踪。
[0124] 某些进一步地实施例中,所述化名集还包括化名的作用时长,所述通信模块还用 于每经过作用时长切换化名。
[0125] 优选地,所述作用时长为车辆经过一个街区长度需要的平均时间。运样一来,车辆 在经过一个街区的时间后进入下一个交通路口,所