英语原文共 5 页，剩余内容已隐藏，支付完成后下载完整资料

基于攻击树的风险评估方法对VANETs的位置隐私保护

任丹丹，杜苏国；朱浩金

上海交通大学经济管理学院，中国 上海 {rendandan,sgdu}@sjtu.edu.cn

上海交通大学计算机科学与工程系，中国 上海 zhu-hj@cs.sjtu.edu.cn

摘要：车载Ad hoc网络（VANETs）在增加道路安全，效率和便捷性方面很有前瞻性，但仍然面临许多新的挑战。大多数文献关注预防技术的位置隐私保护，却很少关注位置隐私风险评估。在本文中，引入一个新的基于攻击树的风险评估方法来评估VANET的风险安全隐私。通过估计一定程度VANETs可能带来威胁的通用分析框架，构造攻击树来识别攻击者在VANETs对隐私保护系统攻击的可能攻击场景，从而期望进一步提高系统安全。

关键词：隐私；攻击树；VANET；风险评估；

1. 引言

车载ad hoc网络（VANETs）是自制的专为汽车之间交流的网站^[1]。在VANET中，每辆车都配备了一个On Board Unit，从而每辆车都能像在路边一样相互交流。VANETs预计支持基于位置服务等广泛的应用前景。然而，具有广播性质的无线媒介允许敌人窃听包含节点标识符的通信，并且通信节点的位置估计精度满足跟踪节点。例如，对手可以通过每一天的跟踪近似推导出司机的家庭地址和工作场所的位置^[2]。由于这些原因，位置隐私威胁已经被公认为VANETs的主要安全威胁之一并且吸引了很多的关注。

现有在VANET隐私方面的研究主要着重于预防技术，包括：化名为基础的方法^[4]，基于群签名技术^[5] 或基于mixzone方法^[3][6][7]。基本的思想是通过引入预防技术的隐私保护技术来防止用户位置隐私泄露。然而，预防计划只能满足预期的安全漏洞,并不能应付意想不到的隐私威胁。另外，从系统的角度来看，全面而明确的安全评估使系统管理员能够识别VANET整体成功部署中最关键的安全威胁和攻击策略。有些报道调查研究可能的安全漏洞。提出一个并不是专用于研究VANETs中位置隐私的评估风险的方法^[8]。基于简单的成本估算来识别攻击威胁到用户的隐私^[9]。然而，他们无法从系统的角度给予定量的位置隐私的风险分析。

在本篇文章中，我们提出一个新颖的风险评估方法，基于攻击树为基础的VANETs位置隐私保护方法。基于攻击树风险分析是利用树方法模型和系统的风险分析来识别对手可能会启动的攻击策略。在攻击树模型的帮助下，能更便捷的分析和估计攻击源的能力或某一系统可能带来威胁的程度。基于这些特性，在本篇文章中，利用攻击树方法的优势来识别所有可能的威胁，并且进一步计算达到攻击目的攻击树的总概率。根据量化结果,系统的决策者可以决定哪些保护措施应该被采纳。

论文框架：第二章，介绍攻击树方法并提出如何构建攻击树。第三章，为叶节点分配值并且计算系统的风险。第四章，估计攻击者最可能选择的方法，并在攻击树的基础上进行了一个攻击场景的分析。最后，第五章，对研究结果进行总结。

1. VANET隐私攻击树模型

2.1系统模型

在VANET中的交流可分为两个部分：车辆基础设施和车辆对车辆。以下是一些关于网络的假设^[7]：

（1）每辆车都有自己通信设备的OBU((On Board Unit)，使车辆间的交流像在路边一样。

（2）假设有一个受信任的第三方管理中心，像网络的交通管理局负责网络的安全和隐私问题。每辆车在管理中心登记才能成为一个合法的网络节点。

（3）在管理中心中传播的每个节点只有一个身份,并且要对假节点的身份有效性进行验证。

（4）一个节点为了保护隐私会在指定的时间间隔改变其假名。过期的假名直接从汽车的存储介质中移除，并且如果一个节点将它的pre-download假名全部使用完毕，管理机构负责发行新的假名。

（5）每个节点以固定的时间间隔自动播报自身的位置,速度和其他特殊信息。

（6）车辆有足够的权力来安装和运行个人防火墙或其他杀毒软件，从而保护自己远离在无线网络中传播的蠕虫和病毒等恶意程序。

2.2构建攻击树

攻击树可以简单地描述为一个树结构分析技术^[10]。在一个攻击树中，最高的事件，也称攻击目标,攻击者的最终期望的目的。根据研究目的分析确定被视为攻击目标的事件。确定袭击目标后,系统分析了上下文的环境和操作从而找到直接导致攻击目标的出现所有可信事件^[11]。根据它们之间的逻辑关系,这些事件被分为或门或与门。或门用于显示输出事件发生时只有一个或多个输入事件发生。与门显示只有在所有的输入事件发生时输出事件才会发生。如果其中一个事件不能进一步分裂,它就是一个叶子节点。否则,这些事件门节点被分别视为子目标并不断分裂,直到所有的事件成为叶节点。一个事件能否继续下去是由分析的深度以及一个人关于系统的知识储备决定的。也就是说,一个事件可能是一个攻击树的叶子节点,但是另一个的门节点。

在VANET系统中，设置泄漏位置隐私为攻击目标，并用G表示。接下来，我们从G开始执行top-to-down策略来构建攻击树。整个过程通过逐个击破的方式进行。引起G起媒介作用的原因是：直接沟通、窃听、偷窃和非法披露,分别以M1，M2，M3，M4表示。如果四个条件中任何一个实现就可以实现任务目标。现在我们将四个中间引起设定为子目标,并且确定他们的直接原因或间接原因是必要的。在图1中，我们用左边两个点子树来说明，而另一个点子树采用类似的规则。

首先，在最左边的树,有两种来实现目标“直接沟通(M1)”的可能性。

（1）“调查(X1)”:攻击者使用真实身份与目标节点进行交流,然后查询节点的位置隐私。这种方法只适用于隐私灵敏度低的节点。

（2）“作弊(M5)”:攻击者模仿获得目标节点信任的节点,并通过与目标节点交流来获得目标节点的隐私。例如朋友，同事或服务提供者被认为是最可靠节点，这些节点与目标节点有密切的关系，这种攻击成功的几率最高。

因此,目标“直接沟通(M1)”可以从两个事件引出,“调查(X1)”或“作弊(M5)”。寻找新目标“作弊（M5）”的直接原因表现为交叉的两个事件:“在系统中寻找漏洞的认证机制X2”和“假身份X3”。

其次，通过“窃听（M2）”来进行事件的分析。“窃听（M2）”能获得一个节点的隐私，方法有“物理层窃听(M6)”,或“MAC层窃听(M7)”,或“应用层窃听(M8)”。 我们定义M6,M7和M8作为中间体，分析如下：

（1）物理层窃听(M6):如果连续完成“设备拆除wiretap-proof X4”和“安装窃听设备M11公路”两个任务就可以实现这个任务。有三种方法对攻击者成功地“安装窃听设备M11公路”: “假装一个服务提供者X5”,或“破坏汽车的防盗系统X6”,或“利用主人的粗心X7”。

（2）MAC层窃听(M7):攻击“MAC层窃听(M7)”可以通过两个联合原子攻击:“协议脆弱性分析X8”和“重置自己的配置X9”。

（3）应用程序层窃听(M8):在应用程序层,窃听攻击者可以从两个方面进行选择:“窃听假名M12”或“运行窃听软件M13”。 两个方式都是将节点的隐私进一步分解为子组件。对于一个攻击者为了“获得信号接收器X10”和“分析采用假名机制的弱点X11”，“窃听假名M12”是必须的。对于“运行窃听软件M13”，在“攀爬通过网络的防火墙X12”之后，攻击者首先需要“熟悉无线网络薄弱的安全功能X13”，然后通过窃听计划泄漏目标节点。

图1 VANET隐私攻击树模型

G 位置隐私泄露 X2在身份验证机制中找到漏洞

M1直接沟通 X3制造假身份

M2窃听 X4拆除wiretap-proof设备

M3偷 X5 汽车的服务提供者

M4非法披露 X6 破坏汽车的防盗系统

M5作弊 X7 主人的粗心大意

M6物理层窃听 X8 协议脆弱性分析

M7 MAC层窃听 X9 重置自己的配置

M8应用程序层窃听 X10 获取信号接收器

M9物理盗窃 X11 采用假名机制的弱点

M10恶意代码盗窃 X12 攀爬通过网络的防火墙

M11安装窃听工具 X13 熟悉无线网络薄弱的安全性

M12窃听假名 X14 破译加密的文件

M13运行窃听软件 X15 破坏远程控制删除数据的功能

M14偷车 X16 第三方获取的隐私

X1 调查 X17 官方部门泄漏

“偷M3”和“非法披露M4”的子组件以类似的方式分解。注意，上述攻击树只是捕获对手发起的可能方式的一个例子。作为一个通用框架，在实践中，一个攻击树通过考虑对手的攻击策略来容纳更多的攻击树。关于VANET安全和隐私的研究也从树的构建中获益[14-22]。

1. 风险评估

由于资源的限制，攻击者需要考虑许多问题，像成功的可能性、攻击成本、技术困难、被发现的风险等等。在本文中，通过分配叶节点三个属性：攻击成本（c_L）、技术难度（d_L）和被发现的概率（s_L）计算到达攻击目标的总概率。表1为等级水平标准。

表1 等级标准

每个节点属性的特定任务需要实现系统细节的知识，包括协议、硬件、操作系统以及攻击软件和工具。本文所面临的问题是位置隐私的新评价方法，通过以下方式来估算每个叶节点的c_L、d_L和s_L。（叶节点的值在表2中列出）

（1）攻击者可以在系统的任何层发起攻击。攻击层越高，攻击越困难，成功几率越低。在这种情况下，我们可以根据妥协的难度，按照如下顺序是排序这些层，应用层路由层gt;传输层gt;MAC层gt;物理层。

（2）车辆和劳动力与分析协议或机制的漏洞相比成本还是比较高的。

（3）强大的节点，例如有能力承担更多保护行为的交通办公室或服务提供商，这些节点与普通节点相比更难妥协。

表2 每个叶子节点属性值