VANET：可信消息保障

目前有许多可信安全机制和协议可以保护VANET中的消息和确保消息的完整性与起源性（也被称为消息认证或数据源认证）。对于消息认证，如果消息从发送方传送至接收方的过程中没有被改变，并且接收方能够确信该信息确实是从发送方发送的，则可以确定该消息是可信的。但是这种思维方式是有缺陷的，以图8-2中描述的使用虚假交通信息的场景为例，在这种情况下并没有办法保证个体（如发送方）所说的是实话。如果这种情况发生在VANET中，后果可能是非常昂贵甚至是致命的。

现有的安全机制可以很容易地过滤由外部攻击者伪造的紧急消息，但是防止来自于内部的攻击则是更大的挑战。当前可以经常看到某些人的驾驶方式非常具有侵略性，因此如果某些合法用户成为恶意用户也是毫不奇怪的，他们会为获得通行优势而广播虚假的紧急消息（例如为创造更好的驾驶条件告诉其他驾驶人避开那些并不存在的交通堵塞）。可追溯性和有条件的隐私成为重要的特性，若这些因素被放置在消息内时，当紧急消息被证明是假的时，就可以发现作假者的真实身份，这将在一定程度上遏制这种犯罪行为。但实际情况是这一问题并不会完全消失。司法机构已经通过各种活动投入了大量的精力，以制止各种野蛮驾驶行为，如“停止野蛮驾驶”，但是路上仍然有很多野蛮驾驶人。部分原因是因为对野蛮驾驶的处罚并不重（例如，500美元的罚款对一个非常富有的野蛮驾驶人的影响并不大）。同样的事情肯定会发生在假冒紧急消息罪犯上。更重要的是这些事后的应对措施对于危害车辆安全的应用来说是不能接受的，尤其是在危及生命的紧急情况出现时。由于伤害已经造成［3］，这些惩罚对于事件来说为时已晚。另外，在这样一个高度动态和有大量潜在车辆节点的网络环境中，常规的安全机制（如公钥证书和数字签名）是不够的，对手仍然可以通过危害一个或多个节点而发动攻击，然后使用其他用户的凭证传播错误的紧急消息。由此可见，对于车辆安全应用所广播的紧急消息来说，可信是其另一个重要的特性。可信代表接收方对紧急消息的信任程度，以便接收方能够做出正确的决定，避免潜在的伤害。若没有这个属性，驾驶人将很容易成为野蛮或恶意驾驶人的受害者。

在大多数情况下，消息通过VANET网络多跳传输进行传播，特别是在RSU较少的郊区。因此将紧急消息高效地传播到目标区域内的车辆就变得非常重要，将紧急情况和当地的警告信息快速传播给正在接近的车辆可以有效地预防第二波事故的发生，之前的很多研究都集中在VANET数据的传播上［4，5］，然而安全问题特别是在VANET中如何保证紧急消息的真实性和可信性仍然是个很大的挑战。首先，由于在VANET中大部分性命攸关的应用都依赖多跳传输将数据传播到周围的地理区域，在传播过程中对手可能有意修改（甚至伪造）无效的紧急事件，这可能对道路交通安全构成严重威胁。其次，在VANET这样一个拥有潜在车辆节点的高度动态的网络环境中，现有的安全机制（如公钥证书和数字签名）并不足以保证VANET的安全性，对手仍然可以通过危害一个或多个节点来发动攻击，然后使用其他用户的凭证传播虚假的紧急消息。另一方面，对于任意给定的紧急事件，期望有多个检测车辆能够检测到这个公共事件。如图8-3所示，检测车辆不仅包括当前的证人车辆，而且还包括正在迅速接近紧急事件的潜在证人车辆。其结果是它们可以一起协同工作，以证明确实发生了紧急事件。

图8-3 VANET中紧急事件检测

值得一提的是，可以通过手动或自动来完成紧急事件的检测，现在的汽车传感器可以自动地检测到车祸，并提醒正在接近事故现场的车辆。考虑其他检测车辆的共同看法，可实现对紧急消息的交叉验证，作为提高VANET整体安全级别的一个方法，这种方法已经应用在其他领域，如网页可信等级的评定。这种通过收集证人反馈信息而实现紧急事件交叉检查的方法实际上是一种投票机制，该机制原本是用于检测分布式自组织网络中行为不端的节点，该机制不需要设置中心安全机构［6］。将该机制迁移到VANET中，可以提升紧急事件认证的整体安全性［7，8］。这种方法统称为先验对策。Raya等［7］实现了基于位置的组表决方案，将车辆按照其位置进行分组，每个组内选举一个组长，该组长需要从多于一个阀值k的不同的证人收集k个采样，来证明紧急事件的有效性。然而基于组的投票机制面临着VANET高度动态的网络拓扑所带来的挑战，从而需要额外的开销来维持基于位置的组。此外，在车辆密度较低的区域，组长可能面临着不能收集到超过k个支持签名的情况。Ostermaier等［8］对该投票概念进行了扩展，提出了“目的地投票”策略，证人将不断地产生紧急消息，并将它们发送到远方的车辆，这些车辆将检查大多数消息是否是一致的，并做出决定。现有投票机制依赖于一个预定的阈值，但在某些环境下它可能会面临不能收集到多于k个支持签名的情况，从而使其变得不可行。Daza等［3］提出了一种灵活的阈认证协议，通过确定所接收到的消息是否已经由至少t台车辆核准，车辆可以验证所接收的消息的可信度，阈值t可根据周围的环境动态地调整（例如，当周围有100辆车时的阀值要高于周围有10辆车的情况）。(www.xing528.com)

现有的投票机制公平地对待所有投票者，但是该机制并没有将突发事件证人的可信等级考虑在内，因此并不能很好地工作在VANET环境中。现实中，道路上车辆的类型有许多种，例如来自于救援车辆（消防车、救护车、警车）的警告要比来自于其他类型车辆的警告更可信，并且这些警告应该自动地被公众所信任。因此在系统开发时需要考虑这一因素。

此外，投票机制可以有效地提高VANET的安全性，作为代价其增加了计算和传输开销。参考文献［7］和［8］中提出的两种方法只考虑从特定车辆发出的特定消息，以防止攻击者发送复制的紧急消息，也就是说，如果不能证明消息是从他们声称的车辆发出的（可能是伪造的），则这些消息将被认为是不可信的。为了满足这种要求，发送方需要对每个发送的紧急消息进行数字签名，以便接收方能够验证接收到的消息。但是数字签名通常非常大，从几十（使用椭圆曲线加密算法）至数百（使用RSA加密算法）字节，这将导致更多的传输开销。

生成和验证数字签名及其相应的证书也将产生额外的计算开销，这样的开销将随活动车辆的增加而按比例地增加，因为每个新增加的车辆都将生成、签名和传送一个额外的紧急消息。当所有这些车辆传送大量的信息时，传送和计算开销可以很容易地使整个网络过载。为了解决这个问题，聚集相关的紧急消息并提供相应的消息认证是非常重要的，同时这些方法必须能够确保消息的可信性。

本章将研究利用上下文感知的方法来保护VANET中某些特定类型的消息，并且这些方法同时还考虑了VANET环境的独特需求。“上下文感知”的概念将考虑场景信息，如消息类型、紧急事件源的可信性、突发事件证人验证、地理位置、受影响的物理区域、道路维修历史、消息广播方向以及其他潜在的因素，这些信息将进一步用来建立消息来源的可信性。这里提到的每个上下文因素都可以作为一个可信线索，多个可信线索可以聚合成一个可信系数［9，10］。例如随着天气在冬季（季节信息）开始变暖（天气条件），并伴随着持续的降雨（天气条件），那么对于那些情况不好的道路（道路维护历史）来说非常容易出现坑洼（道路紧急情况）。了解了这些信息后在某些季节部分地区出现“前方坑洼”的警告信息将比在其他情况下更值得信赖。上下文感知的方法将可以针对不同的情况选择更为恰当的处理方式，特别地，本章将专注于一种特定的信息类型（即紧急消息），并提出一种新的能够在VANET中高效验证紧急消息的聚合紧急消息认证和可信（AEMAT）方案［11］，它不仅满足了紧急消息的独特需求，而且还使用了聚合和批量验证技术，从而减少了计算和通信开销。总之，在有紧急消息需要转发时，车辆可以将多条消息聚合成一个单一的数据，然后再发送出去。所建议的AEMAT方案充分利用了句法和加密聚合技术来降低传输开销，并采用批量验证技术来降低计算开销［12］。此外还聚合了多个可信赖的线索，并采用可靠的方法来评估接收到的消息，之后再提供给驾驶人，从而提高他们决策的质量。本书将证明所提出的方案可以显著减少紧急消息的计算和传输开销，并实现对紧急消息的高效和有效认证。