CN116723511B - 车联网中实现隐私保护的位置管理方法、系统及车联网 - Google Patents

Abstract

一种车联网中实现隐私保护的位置管理方法、系统及车联网，所述位置管理方法包括系统初始化、位置更新和数据发送；其中，所述位置更新包括：位置注册阶段：车辆的伪身份批量更新周期开始时，车辆向卫星的地面站登记自身位置的情况；以及位置变化阶段：车辆在伪身份更新周期内更改所连接到的地面站，保证数据包的安全传递。本发明实现对于车辆的真实身份的隐藏以及保证车辆不同伪身份之间的不关联性，同时，当车辆在伪身份周期性批量更新之前，改变绑定地面站的伪身份时，仍然能够保证数据包的安全传输。进一步地，本发明实现车辆绑定地面站能够安全可靠且高效识别车辆。

Description

车联网中实现隐私保护的位置管理方法、系统及车联网

技术领域

本发明涉及车联网技术，特别是涉及一种车联网中实现隐私保护的位置管理方法、系统及车联网。

背景技术

自动驾驶依赖于网络信号，因此在地面网络覆盖不足的偏远地区很难实现无人驾驶，由于地面网络的建设和维护受到了地理区域和地形的限制，科研人员寄希望于低地轨LEO（Low Earth orbit）卫星，LEO卫星星座可以实现全球覆盖，拓展地面网络因为地理原因受到的服务区域限制，也可以缓解交通拥挤地区的网络负荷，提高车载网络服务质量。但是由于LEO卫星拓扑结构的复杂，包括卫星沿恒定轨道的移动和车辆的移动，所以车联网位置移动的管理是一个重要的问题。当前基于IP的移动管理协议侧重于管理终端的位置，并不适合终端和卫星都移动的卫星网络。移动管理主要包括位置管理和切换管理。位置管理包括两个阶段——位置更新和数据传递，位置更新指更新位置和绑定地面站的过程，数据传递指数据包发送给目标接收者的过程。

目前，车联网给人们的日常出行等带来了极大的便捷，但是也增加了车辆用户的身份、位置等各种敏感信息泄露的风险，也很容易推测出用户的家庭住址和职业、日常习惯等信息，极大程度地危害用户的生命和财产安全。所以车联网中的隐私保护受到了国内外各界学者的关注和研究。车联网中的隐私保护基于保护对象主要可以分为三类：

身份隐私保护。身份认证在车联网中占据重要地位，目前有许多认证方法实现对车辆的身份隐私保护：基于身份的密码学技术，利用车辆个人信息生成公钥，可以避免证书管理和发放的问题；伪身份技术，车辆的伪身份保证车辆的身份验证和匿名化；雾计算技术，使用车联网中的边缘资源来管理车辆的伪身份，实现车辆用户的身份隐私保护。

位置隐私保护。当车辆终端使用基于位置的服务时，车辆终端就会向服务器发出位置查询请求，并将自己的位置发送给服务器，服务器接收到请求和用户的当前位置之后才会返回结果。在此过程中，有极大可能造成用户的位置泄露。目前用于用户位置隐私保护的技术主要有：基于加密的位置保护技术；基于匿名的位置保护技术；基于差分隐私的位置保护技术等。

轨迹隐私保护。轨迹隐私保护中不仅要保护用户的轨迹本身的安全，同时还要保证攻击者不会通过用户的轨迹推测出其他的个人信息。轨迹隐私的保密性，主要由轨迹点或者是轨迹段之间的不关联性、轨迹点的精确性和泄露率来保障。目前轨迹隐私保护技术大概可以分为三类：基于假数据的轨迹保护，通过添加随机的假数据对车辆的真实数据增加干扰，但是又不会使数据完全失真；基于泛化法的轨迹保护，将轨迹上所有的采样点都泛化为对应的匿名区域；基于抑制法的轨迹保护，根据具体情况有条件地发布轨迹数据，不发布轨迹上的某些敏感位置或频繁访问的位置以实现隐私保护。

然而，即使LEO卫星网络通信可以提供全球覆盖，保障无人驾驶在地面网络无法覆盖的地区的正常使用，提高了车联网的网络质量，但是由于LEO卫星沿着连续轨道移动以及车辆终端在地面的移动，现有的基于IP的移动性管理协议只能适应于管理移动终端的位置，不能解决卫星和车辆终端均动态的情况，目前为了应对此问题，主要有三种解决方案：1）基于IP协议的变形；2）定位器和标识符的拆分；3）基于SDN的位置管理协议。由于SDN是一种拥有逻辑集中式的控制平面，SDN控制器处会公开车辆和卫星、地面站之间的绑定信息，因此有极大可能泄露车辆的时空信息。在批量周期性更新伪身份之前，由于绑定地面站的变化车辆的伪身份已经发生变化，然而消息源和位置更新不同步，所以现有的条件隐私保护方案无法实现数据的传递是一个重要的问题。另一方面，在数据传递时，车辆绑定地面站进行识别时，现有的方案均具有较高的计算复杂度和通信开销。

如何在车辆的伪身份周期更新且伪身份之间不关联的情况下，在数据传递时能够准确可靠识别目标车辆，更具挑战性的是，车辆伪身份的周期性更新前，车辆由于绑定地面站变化而更新伪身份时，如何保证数据能够快速高效发送给数据接收方。

需要说明的是，在上述背景技术部分公开的信息仅用于对本申请的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

为了应对动态网络拓扑中基于IP的位置管理的问题，我们选择基于软件定义网络（SDN）的分布式移动管理（DMM）框架，SDN控制器的控制平面管理功能被分发到SDN交换机和网络边缘节点。LEO卫星在连续轨道上运行，当车辆与某个地面站绑定时，只要车辆位于该地面站的服务区域，就可以通过地面站向中心网传递数据包。为保护车辆与地面站之间的绑定信息要求使用车辆的伪身份，同时为了保护车辆的位置隐私要求不同地面站使用的伪身份之间不具有关联性。因此，如何在保护车辆隐私的情况下实现车辆与地面站之间在位置更新时安全绑定是一个亟需解决的问题，并且当车辆的伪身份在批量伪身份更新前发生更改如何使得数据包仍能到达目的地，也是一个亟需解决的问题。

基于上述面临的挑战，本发明针对基于LEO卫星通信且地面站密集部署的场景，提出一种车联网中可以实现隐私保护的位置管理方法、系统及车联网。

为实现上述目的，本发明采用以下技术方案：

一种车联网中实现隐私保护的位置管理方法，所述位置管理方法包括系统初始化、位置更新和数据发送；

其中，所述位置更新包括：

位置注册阶段：车辆的伪身份批量更新周期开始时，车辆向卫星的地面站登记自身位置的情况；以及

位置变化阶段：车辆在伪身份更新周期内更改所连接到的地面站，保证数据包的安全传递；

其中，所述数据发送包括：

车辆计算伪身份，发送数据发送请求给区域服务器；

区域服务器接收数据发送请求后，向所有连接的本地服务器广播车辆的伪身份；

本地服务器检查接收到的伪身份是否在动态列表中，是则发送消息给连接的地面站，否则利用布谷鸟过滤器查询该伪身份是否存在，存在则发送伪身份给地面站；

地面站检查在其覆盖区域是否存在该伪身份，存在则将默克尔树的认证路径发给本地服务器；

本地服务器对该伪身份进行认证；

本地服务器通过地面站发送信息给车辆。

进一步地，地面站定期使用布谷鸟过滤器构造伪身份来实现车辆绑定地面站的识别；在数据发送阶段，本地服务器先对布谷鸟过滤器进行粗略查询，所绑定的地面站再进一步验证目标车辆。

进一步地，所述位置注册阶段包括：

给定时段初始车辆向地面站注册，利用伪身份，车辆生成签名对将伪身份与地面站绑定：

随后车辆生成位置注册请求发送给地面站；

当地面站接收到注册请求之后，地面站聚合签名对；

地面站验证聚合得到的签名的正确性，如果验证正确，地面站解析伪身份，并在空布谷鸟过滤器中插入伪身份组；

在插入之后，地面站利用伪身份组生成默克尔树，利用签名对得到根节点的签名，生成消息发送给本地服务器。

进一步地，所述位置变化阶段包括：

在批量更新伪身份之前，车辆更改连接的地面站；

车辆利用伪身份，加密会话密钥用于本地服务器的解密；

车辆生成基于身份的密钥的签名对；

车辆生成消息并发送给新连接的地面站；

新连接的地面站接收到所述消息之后，验证签名是否正确；

如果通过验证，新连接的地面站解析伪身份，发送所述消息给本地服务器，本地服务器用私钥进行解密来推导会话密钥，并利用会话密钥解密在伪身份更新期开始时使用解密信息，并且在本地更新列表中插入伪身份组；

进一步地，所述系统初始化包括：

由可信任的权威TA执行以下步骤：

生成主密钥，计算系统公钥；

选择安全对称加密算法；

定义起始时间点，将一个时间期间划分为m个时间段；

选择哈希函数和指纹函数，并且为默克尔树分配哈希函数；

在地面站注册阶段，可信任的权威TA生成基于身份的密钥发送给地面站；

在本地服务器注册阶段，可信任的权威TA生成基于身份的密钥发送给本地服务器；

在车辆的注册阶段，可信任的权威TA执行以下步骤：

先选择随机数并将其与车辆的信息储存在跟踪列表中，生成每个时段的辅助信息；以及

在每个时间段，选择随机数,使用主密钥和辅助信息计算伪身份，利用主密钥生成基于身份的密钥。

一种车联网中实现隐私保护的位置管理系统，使用所述的位置管理方法在车联网中实现隐私保护的位置管理。

一种计算机可读存储介质，存储有计算机程序，所述计算机程序由处理器运行时，实现所述的位置管理方法。

一种车联网，具有所述的位置管理系统。

本发明具有如下有益效果：

本发明提供一种车联网中实现隐私保护的位置管理方法，实现对于车辆的真实身份的隐藏以及保证车辆不同伪身份之间的不关联性，同时，当车辆在伪身份周期性批量更新之前，改变绑定地面站的伪身份时，仍然能够保证数据包的安全传输。进一步地，本发明实现车辆绑定地面站能够安全可靠且高效识别车辆。

本发明的优点主要体现在：第一，本发明保证了车辆用户的身份、位置、轨迹等敏感信息的隐私安全；第二，本发明保证了卫星与车辆用户之间传递数据的安全性和保密性；第三，本发明保证了车联网中车辆用户伪身份的高效安全认证，保证了数据的可靠性和真实性。本发明尤其适用于地面站密集部署的车联网场景。

附图说明

图1为本发明实施例中采用的默克尔树的示例图。

图2为本发明实施例的基于密集地面站的LEO卫星车联网隐私保护位置管理的系统结构图。

具体实施方式

以下对本发明的实施方式做详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

需要说明的是，当元件被称为“固定于”或“设置于”另一个元件，它可以直接在另一个元件上或者间接在该另一个元件上。当一个元件被称为是“连接于”另一个元件，它可以是直接连接到另一个元件或间接连接至该另一个元件上。另外，连接既可以是用于固定作用也可以是用于耦合或连通作用。

需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明实施例和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多该特征。在本发明实施例的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

缩略语和关键术语定义：

软件定义网络（SDN）:

SDN是一种网络管理方法，核心思想是把数据面与控制面完全分离，与传统网络有很大的区别。传统网络架构主要包括管理面、控制面、转发面，管理面来负责业务的编排和策略的制定，控制面负责操作系统的运行以及各种算法的运算，转发面负责数据包的转发和接收，在SDN中，网络设备的控制面可以直接编程，将网络服务从底层硬件设备中抽象出来。SDN架构可以分为转发层、控制层、应用层。转发层主要是转发设备，实现数据的转发；控制层由SDN控制软件组成，可以通过标准化协议和转发设备进行通信，实现对转发层的控制；应用层常见有基于OpenStack架构的云平台。SDN的层间采用北向和南向应用程序接口通信，其中，北向负责应用层和控制层之间的通信，南向负责管理层和控制层之间的通信。

分布式移动管理（DMM）:

集中式移动管理具有许多局限性：路由路径长、不适合网络长远发展且容易发生单点故障和单点攻击。分布式移动管理主要是为了应对集中式管理存在的若干问题而提出的。分布式移动管理就是将集中式中锚点的若干子功能分布到各个接入路由器中，进行扁平化的管理，而不是通过单个锚点将数据和信令等进行集中式处理。

双线性映射（Bilinear Maps）：

给定安全参数，/>、/>为阶为/>的循环群，/>为大素数，满足/>。

1）双线性：，并且/>，可以得到。

2）非退化性：存在，使得/>。

3）可计算性：，存在一个有效算法来计算/>。

双线性参数生成器表示一种以参数/>为输入的概率算法，输出五元组。其中/>表示满足/>的大素数，/>是一个加法循环群，/>是一个乘法循环群，P∈G是生成元，/>是一个满足非退化性和可计算性的双线性映射。

布谷鸟过滤器（Cuckoo Filter）：

布谷鸟过滤器是布谷鸟哈希表的一个紧凑变体，由两个或者多个哈希函数构成，布谷鸟过滤器的布谷鸟哈希表的基本单位称为条目，每个条目储存一个指纹。当要插入一个元素时，

(1)

指纹函数是通过哈希函数取一定量的比特位，如果任意一个桶为空，则将指纹存储在空闲桶中。如果两个桶均非空的，它将选择一个候选桶，删除现有的项，并将被删除的项重新插入另一个桶，直到找到一个空桶或超过最大位移次数。要检查在布谷鸟过滤器中是否存在一个/>，首先计算指纹/>，然后派生两个相关桶/>，如果指纹可以被识别，布谷鸟过滤器返回True;否则，返回False。

默克尔树(Merkle Hash Tree)：

默克尔树是一种哈希二叉树，可以实现安全高效地验证大量数据，利用一个单向加密的哈希函数h()，通过相应的认证路径实现认证。如图1所示，八个叶子节点可以表示为。非叶子节点可以通过他们的孩子节点来计算节点值，例如：,/> ，在这个默克尔树中，根节点/>和它的签名被用来验证。例如：为了验证对节点/>的查询结果的正确性，需要在返回节点所储存的节点值之外，将查询节点的认证路径一并返回给查询者。节点/>的身份验证按照以下步骤：1）节点发送他的身份验证路径序列/>；2）验证方计算，验证和/>的值是否相等，如果相等，/>查询结果正确。通过默克尔树，验证的计算开销为，/>为数据大小，/>表示验证请求的次数，签名验证的规模所引入的相应计算复杂度总是/>。

根据本发明的目的，在地面站密集部署场景下，利用LEO卫星的车联网中，需要保护车辆的隐私，一方面要保护车辆的时空信息和车辆与地面站、卫星的绑定信息等隐私，故选择通过伪身份来隐藏车辆的真实身份，另一方面车辆的不同伪身份之间要保证互不关联，减小通过伪身份推断车辆日常出行习惯的风险。同时还要保证位置更新时的安全可靠绑定，实现SDN交换机在数据传递时能快速高效识别目标车辆终端。因此，在密集地面站环境下，本发明提出了利用LEO卫星实现车联网隐私保护的位置管理方案。

参阅图2，本发明实施例提供一种车联网中实现隐私保护的位置管理方法和系统，其采用基于软件定义网络SDN的分布式移动管理DMM框架，SDN控制器的控制平面管理功能被分发到SDN交换机和网络边缘节点；LEO卫星在连续轨道上运行，当车辆位于与该车辆绑定的地面站的服务区域时，能够通过该地面站和LEO卫星向中心网传递数据包；其中，车辆与地面站之间的绑定信息使用车辆的伪身份，不同地面站使用的伪身份之间不具有关联性。

所述位置管理方法包括系统初始化、位置更新和数据发送。

其中，所述位置更新包括：

位置注册阶段：车辆的伪身份批量更新周期开始时，车辆向卫星的地面站登记自身位置的情况；以及

位置变化阶段：车辆在伪身份更新周期内更改所连接到的地面站。

伪身份周期批量更新前，即使车辆改变绑定的地面站和伪身份，仍能实现数据的安全传递。

其中，所述数据发送包括：

车辆计算伪身份，发送数据发送请求给区域服务器；

区域服务器接收数据发送请求后，向所有连接的本地服务器广播车辆的伪身份；

本地服务器检查接收到的伪身份是否在动态列表中，是则发送消息给连接的地面站，否则利用布谷鸟过滤器查询该伪身份是否存在，存在则发送伪身份给地面站，具体地，检查布谷鸟过滤器，如果布谷鸟过滤器中有对应的指纹，发送伪身份给地面站；

地面站检查在其覆盖区域是否存在该伪身份，存在则将默克尔树的认证路径发给本地服务器；

本地服务器对该伪身份进行认证；

本地服务器通过地面站发送信息给车辆。

在优选的实施例中，地面站定期使用布谷鸟过滤器构造伪身份来实现车辆绑定地面站的识别；在数据发送阶段，本地服务器先对布谷鸟过滤器进行粗略查询，所绑定的地面站再进一步验证目标车辆。

在优选的实施例中，所述位置注册阶段包括：

给定时段初始车辆向地面站注册，利用伪身份，车辆生成签名对将伪身份与地面站绑定：

随后车辆生成位置注册请求发送给地面站；

当地面站接收到注册请求之后，地面站聚合签名对；

地面站验证聚合得到的签名的正确性，如果验证正确，地面站解析伪身份，并在空布谷鸟过滤器中插入伪身份组；

在插入之后，地面站利用伪身份组生成默克尔树，利用签名对得到根节点的签名，生成消息发送给本地服务器。

在优选的实施例中，所述位置变化阶段包括：

在批量更新伪身份之前，车辆更改连接的地面站；

车辆利用伪身份，加密会话密钥用于本地服务器的解密；

车辆生成基于身份的密钥的签名对；

车辆生成消息并发送给新连接的地面站；

新连接的地面站接收到所述消息之后，验证签名是否正确；

如果通过验证，新连接的地面站解析伪身份，发送所述消息给本地服务器，本地服务器用私钥进行解密来推导会话密钥，并利用会话密钥解密在伪身份更新期开始时使用解密信息，并且在本地更新列表中插入伪身份组；

在优选的实施例中，所述系统初始化包括：

由可信任的权威TA执行以下步骤：

生成主密钥，计算系统公钥；

选择安全对称加密算法；

定义起始时间点，将一个时间期间划分为m个时间段；

选择哈希函数和指纹函数，并且为默克尔树分配哈希函数；

在地面站注册阶段，可信任的权威TA生成基于身份的密钥发送给地面站；

在本地服务器注册阶段，可信任的权威TA生成基于身份的密钥发送给本地服务器；

在车辆的注册阶段，可信任的权威TA执行以下步骤：

先选择随机数并将其与车辆的信息储存在跟踪列表中，生成每个时段的辅助信息；以及

在每个时间段，选择随机数,使用主密钥和辅助信息计算伪身份，利用主密钥生成基于身份的密钥。

本发明实施例提供了一种基于条件隐私保护协议的安全位置管理方法，实现对于车辆的真实身份的隐藏以及保证车辆不同伪身份之间的不关联性，同时，当车辆在伪身份周期性批量更新之前，改变绑定地面站的伪身份时，仍然能够保证数据包的安全传输。

本发明优选实施例中，利用布谷鸟过滤器查询伪身份是否存在，实现车辆绑定地面站能够安全可靠且高效识别车辆，同时利用默克尔树和基于身份的聚合签名方案来实现伪身份的认证。

本发明实施例还提供一种车联网中实现隐私保护的位置管理系统，使用所述的位置管理方法在车联网中实现隐私保护的位置管理。

本发明实施例还提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序由处理器运行时，实现所述的位置管理方法。

本发明实施例还提供一种车联网，具有所述的位置管理系统。

以下进一步描述本发明具体实施例。

本发明的系统主体工作流程包括：1）系统初始化；2）位置更新；3）数据发送。其具体工作流程如下：

1）系统初始化

在位置管理系统中，假定存在一个可信任的权威（TA），例如LEO卫星的网络运营商。TA会执行以下步骤。

（1）给定安全参数，/>调用/>生成参数/>。TA选择两个随机数/>作为主密钥，计算系统公钥/>。gen(k)表示一个双线性参数生成器,输入参数k，输出五元组/>。其中/>表示满足/>的大素数，/>是一个加法循环群，/>是一个乘法循环群，P∈G是生成元，/>是一个满足非退化性和可计算性的双线性映射。安全参数k决定了加密机制中的计算数值空间大小，决定了系统的安全性；/>、/>用来构建密码协议。

（2）TA选择一个安全对称加密算法，例如：高级加密标准（AES），四个。其中，/>表示哈希函数，将任意长度的消息映射到阶数为q-1的整数乘法循环群/>中的一个整数。/>哈希函数，将任意长度的消息映射到G中元素。

（3）TA定义起始时间点将一个较长的时间段划分为m个时间段/>。

（4）TA选择哈希函数和指纹函数/>，并且为默克尔树分配哈希函数。

在地面站注册阶段，TA生成一个基于身份的密钥/> ，安全发送给地面站/>。在本地服务器/>注册阶段，TA同样生成基于身份的密钥/>，安全发送给/>。在车辆/>的注册阶段，TA按照以下步骤：

（1）TA先选择一个随机数，并将值/>储存在它的跟踪列表中。TA生成每个时段/>的辅助信息/>，其中。

（2）在时间段，TA选择一个/>位的随机数/>，使用主密钥/>和辅助信息计算伪身份/>，利用主密钥/>生成基于身份的密钥/>。其中，表示用k加密之后的密文部分，/>表示用/>加密之后的密文，/>表示用主密钥k加密车辆真实身份，/>为|q|位的随机数，/>表示用辅助信息/>进行加密，/>是表示对/>用哈希函数/>进行哈希。

2）位置更新

在位置更新阶段，我们考虑两个典型场景：位置注册和位置变化。位置注册是指在每个伪身份批量更新周期开始时，车辆向地面站登记自身位置的情况；位置变化指车辆在伪身份更新周期内改变所连接地面站的情况。

位置注册阶段：

时段初始车辆/>要向地面站/>注册，利用伪身份/> ，/>为|q|位的随机数，车辆/>计算，其为地面站身份和当前时间的哈希；选择一个随机数/>，生成签名对/>将伪身份/>与地面站/>绑定：

(2)

其中，/>是当前的时间戳，P表示生成元。随后车辆/>生成位置注册请求/>，安全发送给地面站/>。

当地面站接收到注册请求之后，地面站聚合签名对/>：

(3)

地面站验证聚合得到的签名/>的正确性:

(4)

如果上式验证正确，地面站解析伪身份/>，得到。在空布谷鸟过滤器/>中插入伪身份组/>：

(5)，此操作是在布谷鸟过滤器中插入伪身份组，/>和/>为布谷鸟过滤器的两个相关桶，/>为指纹函数；

在插入之后，地面站利用伪身份组/>生成默克尔树，通过等式（2）得到根节点/>的签名/>，生成消息/>发送给本地服务器/>。/>指插入了伪身份组之后的布谷鸟过滤器。

位置变化阶段：

在批量更新伪身份之前，连接地面站的车辆/>更改连接到地面站/>。

车辆利用伪身份/>，加密会话密钥/>用于本地服务器/>的解密，其中对会话密钥进行加密之后的密文，加密会话密钥的密钥/> 。车辆/>生成基于身份的密钥/>的签名对：

(6)

其中为随机数，/>表示对当前时间和所连接的地面站的身份进行哈希，/>表示对车辆的伪身份、所连接的地面站、会话密钥的密文、当前时间戳进行哈希。

为当前的时间戳。最后，车辆/>生成消息/> 并发送给新连接的地面站/>。

新连接的地面站接收到消息/>之后，验证签名/>是否正确/>

(7)

其中 ，如果上式两端相等，新连接的地面站解析/>推导值/>，发送消息/>给本地服务器/>。本地服务器/>用私钥/>解密/>来推导会话密钥/>，/>，，本地服务器/>利用会话密钥/>解密 在伪身份更新期开始时使用，并且在本地更新列表/>中插入伪身份组/>。/>是现在的伪身份中的第二部分，/>是之前的伪身份中的第二部分。

3）数据发送

在该方案中，我们假设两个用户会在他们第一次遇到时交换他们的身份和辅助密钥信息。例如：在第个时间段内，用户/>发送他的真实身份和辅助信息/>给另一个用户，/>表示辅助信息。身份和辅助密钥材料交换过程是合理的，类似于蜂窝网络中电话号码的分布。在时间/>用户想要消息给/>，发送方计算/>的伪身份，发送数据发送请求/>给区域服务器，/>表示用户要发送的数据信息。区域服务器接收之后，向所有连接的本地服务器广播伪身份。

对本地服务器来说，首先检查接收到的伪身份/>是否在这个动态列表中，如果存在，发送消息给连接的地面站，反之则通过下式检查布谷鸟过滤器：

(8)

如果在桶或者桶/>中，布谷鸟过滤器/>中有指纹/>（其是表示车辆的伪身份的指纹，如果存在，表示该车辆身份储存在这个布谷鸟过滤器中），发送伪身份给地面站/>。/>检查在它的覆盖区域是否存在伪身份/>。如果存在，发给本地服务器/>默克尔树的认证路径，本地服务器/>认证伪身份/>是否存在。最后，本地服务器通过地面站/>发送信息给车辆/>。注意布谷鸟过滤器的结构也会受到虚假位置的影响，且本地服务器/>可以找到多个包含目标伪身份的布谷鸟过滤器。/>

综上所述，针对基于LEO卫星通信且地面站密集部署的场景，本发明实施例提供了一种车联网中可以实现隐私保护的位置管理方法：

1. 提出基于条件隐私保护协议的保证安全和实现隐私保护的位置管理方法，实现了对于车辆信息的保护和身份的匿名化，打断了车辆不同的伪身份之间的联系。伪身份周期批量更新前，即使车辆改变绑定的地面站和伪身份，仍能实现数据的安全传输。

2. 通过地面站定期使用布谷鸟过滤器构造伪身份来实现车辆绑定地面站的安全高效识别，结合默克尔树和基于身份的聚合签名方案实现伪身份认证。在数据传递阶段，本地服务器先对布谷鸟过滤器进行粗略查询，所绑定的地面站再进一步验证目标车辆。

本发明实施例还提供一种存储介质，用于存储计算机程序，该计算机程序被执行时至少执行如上所述的方法。

本发明实施例还提供一种控制装置，包括处理器和用于存储计算机程序的存储介质；其中，处理器用于执行所述计算机程序时至少执行如上所述的方法。

本发明实施例还提供一种处理器，所述处理器执行计算机程序，至少执行如上所述的方法。

所述存储介质可以由任何类型的易失性或非易失性存储设备、或者它们的组合来实现。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，ElectricallyErasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，FerromagneticRandom Access Memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM，DynamicRandom AccessMemory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic RandomAccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double DataRateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本发明所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本发明所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本发明所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上内容是结合具体的优选实施方式对本发明所做的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的技术人员来说，在不脱离本发明构思的前提下，还可以做出若干等同替代或明显变型，而且性能或用途相同，都应当视为属于本发明的保护范围。

Claims (6)

1.一种车联网中实现隐私保护的位置管理方法，其特征在于，包括系统初始化、位置更新和数据发送；

其中，所述位置更新包括：

位置注册阶段：车辆的伪身份批量更新周期开始时，车辆向卫星的地面站登记自身位置的情况；以及

位置变化阶段：车辆在伪身份更新周期内更改所连接到的地面站，保证数据包的安全传递；

其中，所述数据发送包括：

车辆计算伪身份，发送数据发送请求给区域服务器；

区域服务器接收数据发送请求后，向所有连接的本地服务器广播车辆的伪身份；

本地服务器检查接收到的伪身份是否在动态列表中，是则发送消息给连接的地面站，否则利用布谷鸟过滤器查询该伪身份是否存在，存在则发送伪身份给地面站；

地面站检查在其覆盖区域是否存在该伪身份，存在则将默克尔树的认证路径发给本地服务器；

本地服务器对该伪身份进行认证；

本地服务器通过地面站发送信息给车辆。

2.如权利要求1所述的车联网中实现隐私保护的位置管理方法，其特征在于：地面站定期使用布谷鸟过滤器构造伪身份来实现车辆绑定地面站的识别；在数据发送阶段，本地服务器先用布谷鸟过滤器查询车辆绑定的地面站，所绑定的地面站再进一步验证目标车辆。

3.如权利要求1所述的车联网中实现隐私保护的位置管理方法，其特征在于：

所述位置注册阶段包括：

在给定时段初始车辆向地面站注册，利用伪身份，车辆生成签名对将伪身份与地面站绑定：

随后车辆生成位置注册请求发送给地面站；

当地面站接收到位置注册请求之后，地面站聚合签名对；

地面站验证聚合得到的签名对的正确性，如果验证正确，地面站解析伪身份，并在空布谷鸟过滤器中插入伪身份组；

在插入之后，地面站利用伪身份组生成默克尔树，利用签名对得到根节点的签名，生成消息发送给本地服务器。

4.如权利要求1所述的车联网中实现隐私保护的位置管理方法，其特征在于：

所述位置变化阶段包括：

在批量更新伪身份之前，车辆更改连接的地面站；

车辆利用伪身份加密会话密钥，所述会话密钥用于本地服务器的解密；

车辆生成基于身份的密钥的签名对；

车辆生成消息并发送给新连接的地面站；

新连接的地面站接收到所述消息之后，验证签名对是否正确；

如果通过验证，新连接的地面站解析伪身份，发送所述消息给本地服务器，本地服务器用私钥进行解密来推导会话密钥，并利用会话密钥解密伪身份，在伪身份更新期开始时使用解密信息，并且在本地更新列表中插入伪身份组。

5.如权利要求1所述的车联网中实现隐私保护的位置管理方法，其特征在于：所述系统初始化包括：

由可信任的权威TA执行以下步骤：

生成主密钥，计算系统公钥；

选择安全对称加密算法；

定义起始时间点，将一个时间期间划分为m个时间段；

选择哈希函数和指纹函数，并且为默克尔树分配哈希函数；

在地面站注册阶段，可信任的权威TA生成基于身份的密钥发送给地面站；

在本地服务器注册阶段，可信任的权威TA生成基于身份的密钥发送给本地服务器；

在车辆的注册阶段，可信任的权威TA执行以下步骤：

先选择随机数并将其与车辆的信息储存在跟踪列表中，生成每个时段的辅助信息；以及

在每个时间段，选择随机数，使用主密钥和辅助信息计算伪身份，利用主密钥生成基于身份的密钥。

6.一种计算机可读存储介质，存储有计算机程序，其特征在于：所述计算机程序由处理器运行时，实现如权利要求1至5任一项所述的位置管理方法。