CN115412264B - 基于Morton过滤器的车载自组织网络假名撤销方法 - Google Patents
基于Morton过滤器的车载自组织网络假名撤销方法 Download PDFInfo
- Publication number
- CN115412264B CN115412264B CN202211341962.4A CN202211341962A CN115412264B CN 115412264 B CN115412264 B CN 115412264B CN 202211341962 A CN202211341962 A CN 202211341962A CN 115412264 B CN115412264 B CN 115412264B
- Authority
- CN
- China
- Prior art keywords
- pseudonym
- fingerprint
- vehicle
- certificate revocation
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例涉及互联网及交通运输领域,提供了基于Morton过滤器的车载自组织网络假名撤销方法。所述方法包括可信第三方将恶意车辆长期假名集及相应有效期封装到CRLTA中,发送到车载自组织网络范围内的所有基站;基站生成CRLBS向路边单元分发;路边单元对于合法的CRLBS,解析其中所包含的恶意车辆信息,对于恶意车辆发送的消息不再进行应答;路边单元将CRLBS分发到基站管理区域内的所有合法车辆;基站管理区域内的合法车辆解析合法的CRLBS中所包含的恶意车辆信息,对于恶意车辆发送的消息不再进行应答。以此方式,提高了证书撤销列表的生成及更新的效率,降低了证书撤销列表的存储成本,实现了车辆对周边通信车辆身份的快速查询及验证。
Description
技术领域
本发明一般涉及互联网及交通运输领域,并且更具体地,涉及一种基于Morton过滤器的车载自组织网络假名撤销方法。
背景技术
伴随着互联网和交通运输业的快速发展,智能交通系统(intelligenttransportation systems,ITS)集成了传感器、智能访问控制等多种先进设备和技术,逐渐成为下一代城市交通的重要组成部分,为驾驶员和乘客提供出行便利。车载自组织网络(vehicle ad-hoc networks,VANETs)作为ITS的重要组成部分,其利用专用短距离通信技术(dedicated short range communications, DSRC)能够实现车辆之间(vehicle-to-vehicle, V2V)、车辆与路边基础设施之间(vehicle-to-infrastructure, V2I)的快速互联,确保驾驶者及乘客获得持续稳定的网络通信服务及多样化的应用服务。一方面VANETs能够有效弥补传统技术在距离、角度等方面存在的缺陷,提高车辆行驶的安全性;另一方面又可以在各种交通要素之间充分共享数据获取相关服务。由于VANETs内车辆数量多、速度快、分布不均匀,使得对车辆的管理变得非常困难。其次,相比传统有线网络和单跳无线网络,VANETs采用无线多跳的通信方式,导致网络更加脆弱、更容易遭受攻击。同时,为了保证行驶安全,车辆需要定期向周边车辆广播其位置、速度、行驶方向等信息,攻击者很容易根据这些信息对车辆进行追踪,造成车辆位置隐私信息的泄露。因此,设计一种完善的安全体系架构,对车辆在通信过程涉及的匿名认证、假名更换、假名撤销及数据共享等安全机制提出相应的解决方案,保护车辆身份及数据的安全性,提高通信效率,成为VANETs安全领域内亟需解决的关键技术难题。
为了保护合法车辆的身份隐私,车辆以假名代替真实身份匿名化隐私信息,并通过定期更换假名防止敌手对车辆轨迹的追踪。然而,当车辆被恶意敌手攻击或车辆执行恶意操作时,VANETs需要提供一种有效的假名撤销机制及时将恶意车辆从VANETs中移除,保证网络内部的通信安全。当前,VANETs的假名撤销方案通常基于如下两种机制:
(1)过期自动撤销机制:当发现VANETs内存在恶意车辆时,权威机构仅停止对恶意车辆颁发新的假名,不做其他任何处理。待恶意车辆的假名过期后,自动将其撤销。过期自动撤销机制虽然能够有效降低权威机构对车辆信息的维护成本,改善权威机构的计算机通信开销。但是由于无法及时向合法车辆通知恶意车辆的身份信息,导致在恶意车辆的假名过期前,仍能够通过与周边合法车辆或RSU通信执行恶意操作,因此,过期自动撤销机制很少被应用在实际场景中;
(2)基于证书撤销列表(Certificate Revocation List,CRL)的假名撤销机制:权威机构通过分发包含恶意车辆身份信息的CRL,将恶意车辆及时移除VANETs。CRL通常在以下三种情况下被分发:
(a)密钥妥协:车辆的私钥或证书被泄露或被损坏;
(b)关联变更:车辆的某些信息变更或已失效;
(c)运营终止:车辆获得证书或私钥的使用场景被取消;
传统基于CRL的假名撤销机制仍面临如下问题:
传输效率低:由于CRL保存所有被撤销车辆的信息,造成了较大的CRL传输开销。当车辆高速移动时,很难快速将CRL及时完整地分发到合法车辆中。
更新周期长:为保证VANETs的安全性,权威机构需要定期更新和维护CRL。在CRL更新过程中,权威机构需要移除假名过期的车辆信息,并添加新的恶意车辆信息。在基于WAVE的CRL中,所有恶意车辆信息以线性的方式存储在CRL的entries字段中。因此,当删除过期假名时,权威机构需遍历整个CRL,如果假名过期的恶意车辆过多,会严重影响CRL的更新效率;
查找效率低:获得CRL的合法车辆在与周边其他车辆进行通信前,需要首先查询周边其他车辆的身份信息是否被记录在CRL中。由于CRL的线性存储结构,合法车辆需遍历整个CRL的entries。在VANETs中,这种低效的查询方式,很大程度上会影响车辆之间的认证及通信效率。
存储开销高:权威机构需存储在整个生命周期内所有CRL的记录,由于在多个发布周期内颁发的CRL中可能存储大量相同恶意车辆的信息,这导致了权威机构存储空间的浪费。此外,车辆存储的CRL中包含全网内所有恶意车辆的身份信息,由于车辆在CRL的颁发周期内,通信的车辆数量有限,当全网中恶意车辆过多时,车辆不得不存储大量无用的恶意车辆信息,导致车辆的高存储开销。
发明内容
根据本发明的实施例,提供了一种基于Morton过滤器的车载自组织网络假名撤销方法。本方案通过改进Morton过滤器,提高了CRL的生成及更新的效率,降低了CRL的存储成本,实现了车辆对周边通信车辆身份的快速查询及验证;并且基于去中心化的CRL管理机制,在降低TA对CRL的维护成本的同时,提高了CRL的分发效率。
在本发明的第一方面,提供了一种Morton过滤器,包括证书撤销列表存储区、数据共享区和临时存储区;
所述证书撤销列表存储区用于生成由基站管理的证书撤销列表以及存储当前及历史所有的由基站管理的证书撤销列表;所述证书撤销列表存储区包括由顺序链表构成的证书撤销列表组和由指纹存储数组以及全计数器数组组成的第一顺序表;
所述数据共享区用于动态存储当前由基站管理的证书撤销列表中需要被撤销的恶意车辆假名的指纹;所述数据共享区包括指纹存储表,所述指纹存储表由若干个桶数组组成,每个桶数组包括若干个条目;
所述临时存储区由假名表和有效期表组成,用于维护最近一次颁发的由基站管理的证书撤销列表对应的恶意车辆的假名及假名的有效期。
进一步地,所述证书撤销列表组包括若干组数据,每一组数据由二元组<date,linkCRL>构成,其中字段date用于存储linkCRL指向的第一顺序表生成的时间;字段linkCRL指向所述第一顺序表;
所述全计数器数组通过将数据共享区中指纹存储表的每个桶数组相关联,对所述桶数组的逻辑顺序进行编码;
所述全计数器数组用于根据所述桶数组的逻辑顺序存储所述指纹存储表存储的指纹;当所述桶数组内的条目数量为0时,所述全计数器数组遍历下一个桶数组内的条目,直至遍历完指纹存储表所存储的所有指纹。
进一步地,所述动态存储当前CRLBS中需要被撤销的恶意车辆假名的指纹,包括:
对于恶意车辆的假名和有效期,通过第一哈希映射确定所述恶意车辆的假名和有效期的指纹在指纹存储表中桶数组的存储位置bucket[x];
当存储位置bucket[x]中已存储n条指纹时,将所述指纹顺序存储在存储位置bucket [x]的第n+1个位置;
当存储位置bucket[x]为空,所述指纹存储在存储位置bucket [x]的第一个位置;
当存储位置bucket[x]的剩余空间不足时,执行第二哈希映射,确定候选位置bucket [x’];
当第二哈希映射对应的候选位置bucket[x’]的剩余空间不足时,扩展桶数组的存储空间,重新执行第一哈希映射,并在对应的桶数组存储所述指纹F。
进一步地,所述有效期表包含若干个有效期节点,每个所述有效期节点由有效三元组<nextpn, EXP, nexten>构成,且每个所述有效期节点按照EXP递增的顺序存储;所述有效三元组中的字段nextpn为指向存储有效期为EXP的假名链表的指针;所述有效三元组中的字段EXP为恶意车辆假名的有效期;所述有效三元组中的字段nexten为指向有效期表中的下一个有效期节点的指针;
所述假名表包含一个或多个假名节点,每个所述假名节点由假名三元组<nextpn,PS, linkfp>三元组组成;所述假名三元组中的字段nextpn为指向有效期同为EXP的下一个假名节点的指针,若当前假名节点为最后一个节点,则将当前假名节点的字段nextpn设置为空;所述假名三元组中的字段PS为恶意车辆的假名;所述假名三元组中的字段linkfp为指向恶意车辆的假名和有效期的指纹在指纹存储表中存储地址的指针。
在本发明的第二方面,提供了一种基于Morton过滤器的车载自组织网络假名撤销方法。
该方法包括:可信第三方根据长期假名查找恶意车辆信息,将恶意车辆长期假名集及相应有效期封装到所述可信第三方的证书撤销列表中,将所述可信第三方的证书撤销列表发送到车载自组织网络范围内的所有基站;
基站获取到所述可信第三方的证书撤销列表,对于合法的所述可信第三方的证书撤销列表,根据其中所包含的恶意车辆信息查询由基站颁发的临时假名集和临时假名集有效期,更新临时存储区的假名表及数据共享区的有效期表,生成由基站管理的证书撤销列表,并向路边单元分发;
当路边单元收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答;同时,路边单元将由基站管理的证书撤销列表分发到基站管理区域内的所有合法车辆;
当基站管理区域内的合法车辆收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答。
进一步地,所述更新临时存储区的假名表及数据共享区的指纹存储表,包括:
当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表;以及
识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹。
进一步地,所述识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹,包括:
遍历有效期表,查询有效期所在有效期节点中nextpn指向的假名表,对于所述假名表中每个假名节点存储的有效期表,确定该节点中过期的恶意车辆的假名和有效期的第一指纹在数据共享区的指纹存储表中的位置;
根据指纹存储表的位置信息删除过期的恶意车辆的假名和有效期在指纹存储表中映射的第一指纹;在同一桶数组内,将所述第一指纹左侧的所有指纹右移,并将最左侧的存储空间置为空;
删除有效期节点中nextpn指向的假名表内全部假名节点及nextpn所在的有效期节点,更新有效期表。
进一步地,所述当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表,包括:
遍历有效期表指向的有效期节点,确定获取到的恶意车辆的假名所在的假名表:
计算获取到的恶意车辆的假名和有效期的第二指纹以及第二指纹存储在指纹存储表的桶数组中剩余空间的第一个位置;
新建假名节点,将获取到的恶意车辆的假名放置在所述假名节点中,所述第二指纹存储在所述假名节点的有效期表中, 设置有效期表的nextpn为空;
将有效期表的最后一个nextpn指向新建的假名节点。
进一步地,所述生成由基站管理的证书撤销列表的证书撤销列表,包括:
新建二元组<FCA,FSA>,其中字段FCA为指纹存储数组,字段FSA为全计数器数组;
遍历指纹存储表所存储的指纹集,并将其顺序存入全计数器数组中;
记录指纹存储表中每个桶数组所存储指纹的总量,将结果记录在对应的指纹存储数组中;
将二元组<FCA,FSA>以及当前日期打包成由基站管理的证书撤销列表,将由基站管理的证书撤销列表添加到证书撤销列表组中。
进一步地,所述对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,包括:
计算车辆假名及有效期的第三指纹;
通过第一哈希映射确定车辆的假名以及有效期在二元组<FCA,FSA>中指纹存储数组FCA的索引x;
通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA 中的补位off;
查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则通过第二哈希映射确定恶意车辆的假名以及有效期在二元组<FCA,FSA>中FCA的索引x;通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA中的补位off;查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则车辆假名及有效期不在由基站管理的证书撤销列表中。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本发明的实施例的Morton过滤器的数据结构示意图;
图2示出了根据本发明的实施例的可信第三方、基站、路边单元和车辆之间的交互示意图;
图3示出了根据本发明的实施例的由基站管理的证书撤销列表的数据结构示意图;
图4示出了根据本发明的实施例的基于Morton过滤器的车载自组织网络假名撤销方法的流程图;
图5示出了根据本发明的实施例的由基站管理的证书撤销列表执行删除过期的恶意车辆的假名及指纹的示意图;
图6示出了根据本发明的实施例的由基站管理的证书撤销列表执行将恶意车辆假名及指纹添加到临时存储区及数据共享区的示意图;
图7示出了根据本发明的实施例的车辆和路边单元解析对车辆进行合法性验证的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
如图1所述,Morton过滤器的数据结构包括证书撤销列表存储区、数据共享区和临时存储区。
所述证书撤销列表存储区用于生成由基站管理的证书撤销列表以及存储当前及历史所有的由基站管理的证书撤销列表;所述证书撤销列表存储区包括由顺序链表构成的证书撤销列表组和由指纹存储数组以及全计数器数组组成的第一顺序表。
在本实施例中,所述证书撤销列表存储区也叫CRL生成/存储区。该分区负责生成和存储历史和当前所有的CRLBS。与传统的MF不同,CRL生成/存储区移除了区块的概念,增加了由顺序链表构成的CRLs。
在本实施例中,由基站管理的证书撤销列表,即CRLBS,其数据结构如图3所示。其中,数据结构标识及说明如下表1所示:
标识 | 说明 |
version | CRL的版本号 |
CRL series | CRL系列号,描述该证书是否与某个特定的证书相关联 |
ID<sub>BS</sub> | BS的身份信息 |
issue date | CRL<sub>BS</sub>的颁发时间 |
next CRL | 下一次颁发携带相同CRL series的CRL<sub>BS</sub>时间 |
priorityInfo | 协助存储空间不足的合法车辆确定需要保留或丢弃的信息 |
CRL serial | 计数器,每当颁发完整CRL<sub>BS</sub>或增量CRL<sub>BS</sub>时,计数器加1 |
entries | 基于Morton过滤器数据结构存储包含撤销车辆假名的指纹 |
signature | BS利用私钥SK<sub>BS</sub>对CRL<sub>BS</sub>所有字段签名的结果 |
表1
在本实施例中,CRLs的每一组数据由二元组<date, linkCRL>构成,其中,date存储linkCRL指向的CRL生成的时间,linkCRL指向由完全计数数组(fullness counter array,FCA)及指纹存储数组(finger storage array,FSA)组成的顺序表,其中FCA通过将数据共享区中指纹存储表fplist的每个桶数组bucket相关联,对其逻辑结构进行编码,以存储恶意车辆指纹F在bucket的位置信息。遵循bucket的逻辑顺序,FSA存储在数据共享区内fplist所存储的指纹,当bucket内的条目entry数量为0时,FSA遍历下一个bucket内的entry,直到遍历完fplist所存储的所有指纹。
所述数据共享区用于动态存储当前由基站管理的证书撤销列表中需要被撤销的恶意车辆假名的指纹;所述数据共享区包括指纹存储表,所述指纹存储表由若干个桶数组组成,每个桶数组包括若干个条目。
在本实施例中,数据共享区:该分区负责动态存储当前CRLBS中需要被撤销的恶意车辆假名的指纹。给定恶意车辆的假名PS及有效期EXP,通过第一哈希映射H1能够确定该PS的指纹F在fplist的位置bucket [x]。存在下述四种情况:
(a)当bucket [x]中已存储n条指纹时,将PS和EXP的指纹F顺序存储在bucket [x]的第n+1个位置中;
(b)当bucket [x]为空,PS和EXP的指纹F存储在bucket [x]的第一个位置中;
(c)当bucket [x]的剩余空间不足时,执行H2,确定候选区bucket [x’],并继续执行(a)、(b)或(d);
(d)当H2对应的bucket [x’]已经存满时,扩展bucket的存储空间,重新执行哈希映射H1,并在对应的bucket存储指纹F。
所述临时存储区由假名表和有效期表组成,用于维护最近一次颁发的由基站管理的证书撤销列表对应的恶意车辆的假名及假名的有效期。
在本实施例中,所述临时存储区由eList和pList两个链表构成,负责维护最近一次颁发的CRLBS对应的恶意车辆的假名信息。
其中eList中每个节点eNode由三元组<nextpn, EXP, nexten>构成。nextpn为指针,指向存储有效期为EXP的假名链表pList;EXP为负责存储恶意车辆假名的有效期;nexten指向中eList中下一个eNode。每个eNode按照EXP递增的顺序存储于eList。
每个pList链表节点pNode由<nextpn, PS, linkfp>三元组组成。其中nextpn指向有效期同为EXP的下一个pNode,当pNode为最后一个节点时,nextpn设置为空;PS为恶意车辆的假名;linkfp指向PS及EXP的指纹在数据共享区的fpList中存储的地址。
基于上述实施例中改进的Morton过滤器,本申请提出一种车载自组织网络假名撤销方法。该方法涉及四类主体,分别是可信第三方(Trusted Authority,TA)、基站(BaseStation,BS)、路边单元(Roadside Unit,RSU)和车辆。
如图4所示,该方法包括:
S401、可信第三方根据长期假名查找恶意车辆信息,将恶意车辆长期假名集及相应有效期封装到所述可信第三方的证书撤销列表中,将所述可信第三方的证书撤销列表发送到车载自组织网络范围内的所有基站。
在本实施例中,TA遵循WAVE-CRL构造算法将恶意车辆长期假名集及相应有效期加载到CRLTA中,并通过安全信道将CRLTA发送到VANETs内的所有BS。所述WAVE-CRL构造算法由电气与电子工程师协会的1609.2标准中所提出的一种CRL管理和维护的算法。该算法支持恶意车辆的信息以线性结构存储到CRL中,通过对线性结构中存储的恶意车辆进行遍历,实现对CRL的更新及查询。
S402、基站获取到所述可信第三方的证书撤销列表,对于合法的所述可信第三方的证书撤销列表,根据其中所包含的恶意车辆信息查询由基站颁发的临时假名集和临时假名集有效期,更新临时存储区的假名表及数据共享区的有效期表,生成由基站管理的证书撤销列表,并向路边单元分发。
在本实施例中,当收到来自TA的CRLTA,BS首先根据CRLTA中所包含的恶意车辆信息查询由BS颁发的恶意车辆信息。根据CRLTA的及本地存储的恶意车辆信息,BS更新临时存储区中pList及数据共享区中的fplist。最后通过更新后的fplist生成CRLTA。
具体地,首先BS验证的合法性,如果是合法的,BS查询中所包含的恶意车辆信息查询,例如长期假名集及相应有效期。
其次,根据中所包含的长期假名集和有效期集查询由其颁发的临时假名集及相应有效期。
再次,BS整合新收集的及本地存储的恶意车辆信息,BS更新临时存储区中pList及数据共享区中的fplist。
本实施例能够保证权威机构仅需维护恶意车辆的长期假名和有效期,而无需对恶意车辆的临时假名和有效期进行管理;车辆及路边单元所接收的证书撤销列表中仅包含基站管理范围内的恶意车辆的信息,而无需接收全网其他恶意车辆的信息,因此本实施例能够有效缓解了高存储开销问题,提高了传输效率。
在本本发明的一种实施例中,BS更新临时存储区中pList及数据共享区中的fplist,包括:当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表;以及,识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹。
具体地,如图5所示,所述识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹,包括:
1)遍历有效期表eList,查询有效期EXP所在eNode节点中nextpn指向的假名表pList,对于所述假名表pList中每个假名节点pNode存储的有效期表linkfp,确定该节点中过期的恶意车辆的假名PS和有效期EXP的第一指纹在数据共享区的指纹存储表fpList中的位置。
2)根据指纹存储表linkfp的位置信息删除过期的恶意车辆的假名PS和有效期EXP在指纹存储表fpList中映射的第一指纹;在同一桶数组bucket内,将所述第一指纹左侧的所有指纹右移,并将最左侧的存储空间置为空。
3)删除有效期节点eNode中nextpn指向的假名表pList内全部假名节点pNode及nextpn所在的有效期节点eNode,更新有效期表eList。
具体地,如图6所示,当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表,包括:
(a)遍历eList指向的eNode节点,确定新假名PS所在的PList:
当在eList中存在有效期为EXP的eNode节点,记录该eNode节点中nextpn指向的eList中最后一个pNode节点的nextpn,记为lastnextpn。
当eList为空表时,新建eNode节点,并将该节点中添加EXP,nexten和nextpn,且nexten和nextpn设置为null,eList指向该eNode节点。最后记录该eNode节点中的nextpn,记为lastnextpn。
当在eList中不存在有效期为EXP的eNode节点时,新建eNode节点,将该eNode节点中添加EXP,nexten和nextpn,且nextpn设置为null。按照eList中的递增顺序添加该eNode节点(eNode上一个节点的nexten指向该节点,eNode的nexten指向下一个节点),记录该eNode节点中的nextpn,记为lastnextpn。
(b)计算假名PS和EXP的指纹F= HF(PS||EXP)以及F存储在fpList的bucket位置x=H1(PS||EXP)(或 x= H2(PS||EXP));将指纹F存储在bucket[x]中剩余空间的第一个位置y。
(c)新建pNode节点,将假名PS放置在该节点中,F的位置<x, y>存储在pNode的linkfp中, 设置nextpn=null。
(d)将lastnextpn指向节点新pNode。
最后,给定fpList、CRLs以及当前日期date,BS生成基于MPR-CRL数据结构的证书撤销列表CRLBS。具体地:
1)新建二元组<CFA,CSA>;
2)遍历fpList所存储的指纹集{Fi}并将其顺序存入entries的CSA中;
3)记录fpList中每个bucket所存储指纹的总量,将结果记录在对应的CFA[i]中;
4)将entries以及当前日期date打包成CRLBS,CRLBS添加到CRLs列表中,最后返回CRLs。
本实施例通过优化恶意车辆信息在基站中存储和维护的数据结构,有效解决在基于WAVE-CRL构造算法所面临的更新周期长的难题。基站无需遍历所有恶意车辆信息,即可实现对CRLBS的快速更新,提高了CRl的更新效率。
S403、当路边单元收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答;同时,路边单元将由基站管理的证书撤销列表分发到基站管理区域内的所有合法车辆。
在本发明的一种实施例中,BS通过执行CRLBS分发协议,经由RSU将CRLBS分发到所管理区域内的所有车辆。具体地:
1)BS将CRLBS传输到RSU;
2)当收到来自BS的证书撤销列表CRLBS后,RSU验证CRLBS的合法性。当CRLBS合法时,RSU本地存储CRLBS;
3)RSU将CRLBS发送到信号覆盖范围内的所有合法车辆;
4)获得CRLBS的合法车辆验证BS生成的证书撤销列表的合法性,当CRLBS验证成功后,车辆更新本地CRLBS。
S404、当基站管理区域内的合法车辆收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答。
在本实施例中,如图7所示,当合法车辆和RSU收到来自周边其他车辆的通信请求时,车辆v和RSU查询CRLBS中指纹的信息对车辆的合法性进行验证。
具体地,计算车辆假名及有效期的第三指纹;通过H1确定车辆的假名以及有效期在二元组<FCA,FSA>中指纹存储数组FCA的索引x;
通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA 中的补位off。
查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则通过第二哈希映射H2确定恶意车辆的假名以及有效期在二元组<FCA,FSA>中FCA的索引x;通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA中的补位off;查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则车辆假名及有效期不在由基站管理的证书撤销列表中。
本实施例通过将线性查询方式替换为基于改进Morton过滤器的查询方式,降低了恶意车辆信息查询的时间复杂度,解决了基于WAVE-CRL数据结构证书撤销列表所面临的查找效率低的难题。
根据本发明的实施例,通过改进Morton过滤器,提高了CRL的生成及更新的效率,降低了CRL的存储成本,实现了车辆对周边通信车辆身份的快速查询及验证;并且基于去中心化的CRL管理机制,在降低TA对CRL的维护成本的同时,提高了CRL的分发效率。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种Morton过滤器,其特征在于,包括证书撤销列表存储区、数据共享区和临时存储区;
所述证书撤销列表存储区用于生成由基站管理的证书撤销列表以及存储当前及历史所有的由基站管理的证书撤销列表;所述证书撤销列表存储区包括由顺序链表构成的证书撤销列表组和由指纹存储数组以及全计数器数组组成的第一顺序表;
所述数据共享区用于动态存储当前由基站管理的证书撤销列表中需要被撤销的恶意车辆假名的指纹;所述数据共享区包括指纹存储表,所述指纹存储表由若干个桶数组组成,每个桶数组包括若干个条目;
所述临时存储区由假名表和有效期表组成,用于维护最近一次颁发的由基站管理的证书撤销列表对应的恶意车辆的假名及假名的有效期。
2.根据权利要求1所述的Morton过滤器,其特征在于,所述证书撤销列表组包括若干组数据,每一组数据由二元组<date, linkCRL>构成,其中字段date用于存储linkCRL指向的第一顺序表生成的时间;字段linkCRL指向所述第一顺序表;
所述全计数器数组通过将数据共享区中指纹存储表的每个桶数组相关联,对所述桶数组的逻辑顺序进行编码;
所述全计数器数组用于根据所述桶数组的逻辑顺序存储所述指纹存储表存储的指纹;当所述桶数组内的条目数量为0时,所述全计数器数组遍历下一个桶数组内的条目,直至遍历完指纹存储表所存储的所有指纹。
3.根据权利要求1所述的Morton过滤器,其特征在于,所述动态存储当前CRLBS中需要被撤销的恶意车辆假名的指纹,包括:
对于恶意车辆的假名和有效期,通过第一哈希映射确定所述恶意车辆的假名和有效期的指纹在指纹存储表中桶数组的存储位置bucket[x];
当存储位置bucket[x]中已存储n条指纹时,将所述指纹顺序存储在存储位置bucket[x]的第n+1个位置;
当存储位置bucket[x]为空,所述指纹存储在存储位置bucket [x]的第一个位置;
当存储位置bucket[x]的剩余空间不足时,执行第二哈希映射,确定候选位置bucket[x’];
当第二哈希映射对应的候选位置bucket[x’]的剩余空间不足时,扩展桶数组的存储空间,重新执行第一哈希映射,并在对应的桶数组存储所述指纹F。
4.根据权利要求1所述的Morton过滤器,其特征在于,所述有效期表包含若干个有效期节点,每个所述有效期节点由有效三元组<nextpn, EXP, nexten>构成,且每个所述有效期节点按照EXP递增的顺序存储;所述有效三元组中的字段nextpn为指向存储有效期为EXP的假名链表的指针;所述有效三元组中的字段EXP为恶意车辆假名的有效期;所述有效三元组中的字段nexten为指向有效期表中的下一个有效期节点的指针;
所述假名表包含一个或多个假名节点,每个所述假名节点由假名三元组<nextpn, PS,linkfp>三元组组成;所述假名三元组中的字段nextpn为指向有效期同为EXP的下一个假名节点的指针,若当前假名节点为最后一个节点,则将当前假名节点的字段nextpn设置为空;所述假名三元组中的字段PS为恶意车辆的假名;所述假名三元组中的字段linkfp为指向恶意车辆的假名和有效期的指纹在指纹存储表中存储地址的指针。
5.基于如权利要求1~4任一项所述Morton过滤器的车载自组织网络假名撤销方法,其特征在于,包括:
可信第三方根据长期假名查找恶意车辆信息,将恶意车辆长期假名集及相应有效期封装到所述可信第三方的证书撤销列表中,将所述可信第三方的证书撤销列表发送到车载自组织网络范围内的所有基站;
基站获取到所述可信第三方的证书撤销列表,对于合法的所述可信第三方的证书撤销列表,根据其中所包含的恶意车辆信息查询由基站颁发的临时假名集和临时假名集有效期,更新临时存储区的假名表及数据共享区的有效期表,生成由基站管理的证书撤销列表,并向路边单元分发;
当路边单元收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答;同时,路边单元将由基站管理的证书撤销列表分发到基站管理区域内的所有合法车辆;
当基站管理区域内的合法车辆收到所述由基站管理的证书撤销列表时,对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,对于所述恶意车辆发送的消息不再进行应答。
6.根据权利要求5所述的方法,其特征在于,所述更新临时存储区的假名表及数据共享区的指纹存储表,包括:
当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表;以及
识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹。
7.根据权利要求6所述的方法,其特征在于,所述识别并删除出临时存储区和数据共享区中存储的过期的恶意车辆的假名及指纹,包括:
遍历有效期表,查询有效期所在有效期节点中nextpn指向的假名表,对于所述假名表中每个假名节点存储的有效期表,确定该节点中过期的恶意车辆的假名和有效期的第一指纹在数据共享区的指纹存储表中的位置;
根据指纹存储表的位置信息删除过期的恶意车辆的假名和有效期在指纹存储表中映射的第一指纹;在同一桶数组内,将所述第一指纹左侧的所有指纹右移,并将最左侧的存储空间置为空;
删除有效期节点中nextpn指向的假名表内全部假名节点及nextpn所在的有效期节点,更新有效期表。
8.根据权利要求7所述的方法,其特征在于,所述当基站获取到恶意车辆的假名和指纹时,将所述恶意车辆的假名和指纹添加到临时存储区的假名表和数据共享区的指纹存储表,包括:
遍历有效期表指向的有效期节点,确定获取到的恶意车辆的假名所在的假名表:
计算获取到的恶意车辆的假名和有效期的第二指纹以及第二指纹存储在指纹存储表的桶数组中剩余空间的第一个位置;
新建假名节点,将获取到的恶意车辆的假名放置在所述假名节点中,所述第二指纹存储在所述假名节点的有效期表中, 设置有效期表的nextpn为空;
将有效期表的最后一个nextpn指向新建的假名节点。
9.根据权利要求5所述的方法,其特征在于,所述生成由基站管理的证书撤销列表的证书撤销列表,包括:
新建二元组<FCA,FSA>,其中字段FCA为指纹存储数组,字段FSA为全计数器数组;
遍历指纹存储表所存储的指纹集,并将其顺序存入全计数器数组中;
记录指纹存储表中每个桶数组所存储指纹的总量,将结果记录在对应的指纹存储数组中;
将二元组<FCA,FSA>以及当前日期打包成由基站管理的证书撤销列表,将由基站管理的证书撤销列表添加到证书撤销列表组中。
10.根据权利要求9所述的方法,其特征在于,所述对于合法的由基站管理的证书撤销列表,解析其中所包含的恶意车辆信息,包括:
计算车辆假名及有效期的第三指纹;
通过第一哈希映射确定车辆的假名以及有效期在二元组<FCA,FSA>中指纹存储数组FCA的索引x;
通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA 中的补位off;
查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则通过第二哈希映射确定恶意车辆的假名以及有效期在二元组<FCA,FSA>中FCA的索引x;通过对FCA[0]到FCA[x-1]记录的数值求和,得到第三指纹在全计数器数组FSA中的补位off;查询FSA[off]与FSA[off+FCA[x]-1]之间是否存在第三指纹,若存在,则车辆为恶意车辆;否则车辆假名及有效期不在由基站管理的证书撤销列表中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211341962.4A CN115412264B (zh) | 2022-10-31 | 2022-10-31 | 基于Morton过滤器的车载自组织网络假名撤销方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211341962.4A CN115412264B (zh) | 2022-10-31 | 2022-10-31 | 基于Morton过滤器的车载自组织网络假名撤销方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115412264A CN115412264A (zh) | 2022-11-29 |
CN115412264B true CN115412264B (zh) | 2022-12-27 |
Family
ID=84168892
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211341962.4A Active CN115412264B (zh) | 2022-10-31 | 2022-10-31 | 基于Morton过滤器的车载自组织网络假名撤销方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115412264B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2474143A1 (en) * | 2009-08-31 | 2012-07-11 | Telcordia Technologies, Inc. | System and methods to perform public key infrastructure (pki) operations in vehicle networks using one-way communications infrastructure |
CN110677256A (zh) * | 2019-09-24 | 2020-01-10 | 东北大学 | 一种基于VPKI的VANETs假名撤销系统及方法 |
CN112929174A (zh) * | 2019-12-06 | 2021-06-08 | 华为技术有限公司 | 一种证书撤销列表更新方法及相关设备 |
CN113992388A (zh) * | 2021-10-26 | 2022-01-28 | 北京工业大学 | 一种基于rsu实现车辆身份条件隐私保护的方法 |
CN114428976A (zh) * | 2020-10-29 | 2022-05-03 | 潘塔安全系统公司 | 用于管理假名证书的装置和方法 |
-
2022
- 2022-10-31 CN CN202211341962.4A patent/CN115412264B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2474143A1 (en) * | 2009-08-31 | 2012-07-11 | Telcordia Technologies, Inc. | System and methods to perform public key infrastructure (pki) operations in vehicle networks using one-way communications infrastructure |
CN110677256A (zh) * | 2019-09-24 | 2020-01-10 | 东北大学 | 一种基于VPKI的VANETs假名撤销系统及方法 |
CN112929174A (zh) * | 2019-12-06 | 2021-06-08 | 华为技术有限公司 | 一种证书撤销列表更新方法及相关设备 |
CN114428976A (zh) * | 2020-10-29 | 2022-05-03 | 潘塔安全系统公司 | 用于管理假名证书的装置和方法 |
CN113992388A (zh) * | 2021-10-26 | 2022-01-28 | 北京工业大学 | 一种基于rsu实现车辆身份条件隐私保护的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115412264A (zh) | 2022-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jiang et al. | Blockchain-based internet of vehicles: Distributed network architecture and performance analysis | |
Lei et al. | A blockchain based certificate revocation scheme for vehicular communication systems | |
Memon | A secure and efficient communication scheme with authenticated key establishment protocol for road networks | |
CN102027705B (zh) | 车载网络中基于pki安全架构的有效操作的认证分配策略 | |
US20190245831A1 (en) | Method and system for connected vehicle communication | |
WO2019041896A1 (zh) | 一种基于虚拟Mix-zone的VANETs位置隐私保护系统及方法 | |
CN102480727B (zh) | 机器与机器通信中的组认证方法及系统 | |
JP7074863B2 (ja) | デジタル認証書の撤回のための活性化コードを用いた暗号化方法及びそのシステム | |
CN110166220B (zh) | 一种根据分区键的散列值进行切分的分片方法 | |
CN101895535B (zh) | 用于标识分离映射网络的网络认证方法、装置以及系统 | |
Liao et al. | Effectively changing pseudonyms for privacy protection in vanets | |
CN1954538A (zh) | 用于安全广播的密钥管理消息 | |
Wang et al. | A survey of blockchain-based cybersecurity for vehicular networks | |
CN1205833C (zh) | 在无线电话网络中的鉴权 | |
Chen et al. | Analysis of VANET security based on routing protocol information | |
Khodaei et al. | Privacy Preservation through Uniformity | |
CN115412264B (zh) | 基于Morton过滤器的车载自组织网络假名撤销方法 | |
Ramamoorthy et al. | Group based dual mode key management scheme for secure communication in vehicular ad hoc networks | |
Zhang et al. | Improving efficiency of pseudonym revocation in VANET using cuckoo filter | |
CN100561912C (zh) | 基于群签名的移动代理安全路由方法 | |
Tuladhar et al. | Efficient and scalable certificate revocation list distribution in hierarchical VANETs | |
CN103269371A (zh) | 一种基于Anycast的物联网DS查询方法及系统 | |
Singh et al. | A single-hop based fast certificate revocation protocol in VANET | |
Gañán et al. | BECSI: Bandwidth efficient certificate status information distribution mechanism for VANETs | |
Wang et al. | A consortium blockchain-based model for data sharing in Internet of Vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |