VANET中面向安全通信的隐私保护协议

VANET中面向安全通信的隐私保护协议
罗熹;蒋忠新;蒋颖
【摘要】车载网VANETs(vehicular ad hoc networks)的隐私安全问题,提出隐私保护安全通信协议PPSCP(privacy preservingsecure communication protocol).PPSCP匿名地认证安全消息,从而保护车辆隐私,阻止非法车辆跟踪,并且平衡了隐私与身份识别的关系.同时PPSCP采用了有效的撤销机制,降低了撤销列表的尺寸.此外,PPSCP能够防御重放攻击和拒绝服务攻击.通过与S3P的安全性能对比分析,结果表明,PPSCP有效地降低了安全消息处理时延,减少了撤销列表尺寸,占用带宽少,提高数据传输率.
【期刊名称】《科学技术与工程》
【年(卷),期】2014(014)013
【总页数】9页(P248-255,262)
【关键词】车载网;隐私;安全通信;共享密钥;消息认证码
【作者】罗熹;蒋忠新;蒋颖
【作者单位】中南大学信息科学与工程学院,长沙410083;湖南警察学院管理系,长沙410138;湖南警察学院管理系,长沙410138;热那亚大学政治学院,热那亚意大利16124 GENOVA
【正文语种】中文
【中图分类】TPT393.04
许多研究者试图提高道路的安全和效率，并提出智能交通系统ITS(intelligent transportation systems)。

智能交通系统中的一个重要部分就是车联网VANETs(Vehicular Ad hoc Networks)。

车联网VANET由移动的车辆和路边固定设计RSU(road side unit)构成的自组织的无线网络。

车辆间彼此通信
V2V(vehicle to vehicle)以及车与基础设施通信V2I(vehicle to infrastructure)，VANET结构如图1所示。

通过V2V、V2I通信，VANET广泛应用被开发。

这些应用主要分两类［1］:安全相关的应用和娱乐应用。

在安全相关的应用中，车辆广播安全消息或beacon信息包向车辆报告消息，如道路堵塞、交通事故。

安全相关消息包括车辆位置、速度以及加速度等信息。

安全消息可分为两类:一类是周期地分发消息，另一类是事故触发消息［2］，此类消息是当紧急事件发生时，所产生的安全消息。

娱乐应用，包括付费服务，internet接入等。

目前，针对安全消息的安全问题展开大量的研究。

这主要是因为安全消息关系到生命、财产安全。

一旦安全消息被攻击，会导致不可估量的损失［3］。

为此，安全消息需要被认证，从而防止攻击者误导其他合法车辆，发送错误的消息。

然而，使用传统的消息认证技术，会降低系统的隐私性，即传统的认证技术与隐私相抵制。

VANET的隐私性对VANET的广泛应用起着关键的作用。

车辆用户希望自己隐私信息不能泄露，如身份信息，也不希望被跟踪，窃听。

相反，一旦车辆发生不端行为，给其他车辆造成损失，该车辆身份必须要揭露，从而追查其相应的责任。

图1 VANET结构示意图Fig．1 VANET structure diagram
为此，提出新颖的隐私保护的安全通信方案PPSCP(privacy preserving secure communication protocol)。

PPSCP方案，采用匿名方式认证安全消息，从而保护车辆的隐私，并防止车辆跟踪。

同时，利用可信任机构从安全消息中识别车辆身
份，从而使得车辆具有可追溯性。

此外，为了降低撤销列表的尺寸，PPSCP采用有别于传统技术的新方案。

1 相关研究
许多研究学者提出使用别名机制保护用户隐私［3］。

通过别名进行匿名通信，隐藏了通信实体的身份，从而保护了用户的身份。

别名机制的一个主要问题在于别名机制的可连接性。

文献［4］提出解决连接性的方案。

其主要是减少从车辆预下载别名的数目。

文献［5］提出削弱别名间连接性的方案。

该方案通过周期性地更新别名。

然而，有效情况，还是存在别名的可连接。

当行驶于长的公路时，没有交叉口，尽管改变了别名，在这种情况下，车辆可能被跟踪或被关联到某个群区域。

不少的学者提出采用Silent period或mix-zone的方法消除别名间的连接性。

在Silent period内，车辆不发送任何信号，并多数车辆同时更换别名［6］。

在mix-zone区域内，车辆同步改变别名，一般将十字路口或商场的停车场等集聚大量车辆的地方，设置成mix-zone。

此外，研究人员提出采用基于身份加密IBC(identity-based cryptography)保护用户隐私。

与PKI(public key infrastructure)不同，IBC用发送者的身份或邮件地址对消息进行加密，无需使用公钥证书去验证发送者。

文献［7］提出基于IBC方案，该方案满足了认证、不可否认性以及隐私性能。

每一个别名就是一个匿名的身份，由RSU产生。

该方案保证了仅单一的机构能够揭露用户身份。

然而，该方案依赖了RSU，一旦RSU不可信或受到攻击，会造成不可估量的损失。

文献［8］采用群签名技术。

将车辆分类为不同的群。

每个群有一个群管理员。

管理员负责对车辆信息进行签名。

群内车辆真实身份唯独管理员知晓。

文献［9］采用了HMAC(hash-based message authentication)方案。

在发送消息前，车辆从RSU获取对称密钥。

通过HMAC产生密钥，并用此密钥对消息进行签名。

接
收车辆通过邻近的RSU对此消息进行认证。

该方案保证了匿名性，但是严重依赖RSU，存在风险。

文献［10］提出S3P的方案。

该方案利用共享密钥(shared keys)的机制。

S3P利用共享的公、私钥对认证车辆消息。

然而，其对安全消息的处理时间过长，产生了时延。

2 PPSCP方案
2.1 基础
VANETs内的车辆所发送的安全消息需要认证，以确保该消息是来自合法车辆。

传统的认证技术需要在消息中添加一些信息，通过这些信息表明发送车辆的身份。

然而，车辆用户喜欢隐藏自己的身份以使自己不会被跟踪。

而隐藏身份增加了维护不可否认性难度。

当车辆有违规行为或逃避责任时，必须要保证系统具有不可否认性，从而能够追查这些车辆的身份。

因此，在不影响认证和不可否认性保证车辆用户的隐私需要额外的措施。

传输的安全协议不能够保护隐私。

隐私问题也阻碍了VANETs的应用。

PPSCP在车辆隐私和车辆身份认证(identification)间进行了平衡。

PPSCP通过独立的认证中心CA(certificate authority)，对安全消息进行匿名认证，从而保护了车辆用户的隐私，并防止了未经认证的车辆跟踪。

CA管理和分发了系统的密钥和车辆撤销列表(revocation lists)。

车辆撤销列表是指被取消车辆密钥的车辆清单。

任何使用已取消的密钥的消息必须丢弃。

所有车辆均装有TPD(tamperproof device)，TPD为车辆存储由CA提供的加密密钥。

此外，TPD执行了PPSCP协议所需的任何加密操作。

PPSCP协议具有以下特性:
(1)匿名地认证安全消息，以新颖的方式保护了车辆隐私并阻止了未经认证车辆跟踪。

使用消息认证码 MAC(message authentication code)，通过共享的对称密钥对消息进行认证。

共享的密钥在所有车辆间共享并周期性地更新。

由信任机构
TA(trusted authority)产生，并通过路由设施RSU(road-side units)分发。

被加密的车辆身份存放于安全消息内，与安全消息是独立的，可在消息发送前进行预处理，从而降低处理时延。

车辆身份加密的密钥是TA的公钥。

TA能通过其私钥揭露车辆的身份。

(2)提供TA，使得TA具有从安全消息中识别车辆身份，从而保证车辆具有可追溯性(traceability)。

该信任机构TA就是认证中心CA。

(3)设计一个新颖的撤销方案。

该方案依赖于对称密钥，将该密钥称为撤销密钥RK(revocation key)。

此方案降低了撤销列表的尺寸。

每个车辆具有RK，并用RK加密时戳(timestamp)。

当车辆需发送安全消息，首先将已加密的时戳和时戳本身加入到消息中。

安全消息的接收车辆，用撤销清单存在的RK对已加密的时戳进行解密。

CA承担维护和广播撤销列表。

用已撤销车辆的RK代替别名或证书，从而减少了撤销列表的尺寸。

当RK的过时了，将从列表中删除。

(4)防止了重放攻击(replay)和拒绝服务攻击DoS(denial of service)。

(5)减少了认证和验证车辆安全消息的时间，从而提高了系统效率。

接下来，描述PPSCP的具体方案。

2.2 密钥管理
每个车辆N具有一个独立的身份VIDN。

车辆在进入系统前，CA需为车辆产生VIDN，并注册。

VIDN存储在TPD中。

在PPSCP中，VIDN的尺寸为64 bit。

为了能与 CA安全通信，CA有公/私钥对(Pub CA，Priv CA)。

同时，CA为每个车辆产生公/私钥对(PubN，PrivN)。

CA在每个车辆上的TPD上预安置 PubN，PrivN 和 VIDN。

为了保证车辆匿名，CA周期地产生n个共享密钥(shared key)。

这些密钥用于车辆间安全消息的认证。

在共享密钥集中的每个密钥Ki像MAC算法的密钥。

与其他对称加密算法一样，如AES，密钥尺寸的大小为128 bit。

每个车辆通过与CA
通信，发送获取共享密钥的请求消息，以获取当前或下一个共享密钥集。

在这个过程中，车辆N使用CA的公钥PubCA对此请求消息加密。

CA收到请求信息后，进行回复，并用车辆N的公钥PubN对回复的消息进行加密。

共享密钥集中的每个密钥Ki仅在一段时限内有效。

在时效结束时，所有车辆使用密钥Ki+1。

在当前密钥过期前，每个车辆与CA进行通信获取下一时刻的共享密钥集。

如果当前密钥集中最后一个密钥Kn也即将过时，所有的车辆将使用下一个共享密钥集。

与S3P一样，PPSCP的共享密钥集的尺寸n设置为4。

共享密钥集时效期设置为一周。

因此，CA每个产生13个共享密钥集。

如果当前或下一个共享密钥集被污染，CA将向所有车辆广播警告消息。

收到此信息的所有车辆，立即与CA通信，以更新当前或下一个共享密钥集。

使用共享密钥集的目的在于确保系统的安全和隐私。

通过MAC认证消息从而保证系统的安全。

所有车辆同时使用同一个共享密钥去认证安全消息，实现了匿名性，从而保护了系统的隐私。

只有信任的实体才可以从CA获取共享密钥集。

如果某一车辆不可信，将无法从CA得到共享密钥集。

此外，CA向所有车辆发送RK，从而保证车辆能及时丢弃相应的消息。

在现实中，车辆在不同的城市和国家间进行移动。

因此，根据车辆的位置，车辆将被不同的CAs管理。

为此，网络中CAs应当实施连接通信。

当车辆N进入一新的区域，将使用PubN和证书与此区域的CA进行通信。

该CA将能通过上一个CA 认证车辆N的证书。

之后，该CA向车辆N发送新的共享密钥集。

图2 向CA请求共享密钥集的算法伪代码Fig．2 Algorithm Sending Request for shared key set to CA
图2显示了车辆向CA请求共享密钥集的算法伪代码。

TPD产生请求消息，每个车辆通过TPD向CA请求当前共享密钥。

在当前共享密钥即将过期时，车辆N向CA请求下一个共享密钥集。

图3显示了CA接收了共享密钥集请求消息后处理算法的伪代码。

CA接收了来自车辆的REQM消息，对其进行认证，提取时戳、请求以及VIDN。

经认证后，CA 向车辆回复消息KM。

车辆请求的可能是当前或下一个共享密钥集，为此CA进行对应的回复。

图3 CA收到请求共享密钥集后的处理算法伪代码Fig．3 CA receiving request for shared key set algorithm
图4显示了CA向车辆分发共享密钥集的算法的伪代码。

CA收到请求消息后，向车辆N发送当前或下一个共享密钥集。

图4 CA向车辆分发共享密钥集的算法的伪代码Fig．4 CA sending shared key set algorithm
2.3 重放攻击的防御
车辆安全消息应当防御重放攻击。

通过在安全消息中添加时间消息，即时戳t，从而保护安全消息受到重放攻击的攻击。

为此，TPD有一个内部时钟，并与RSU保护同步。

TPD在发送消息前，负责向消息中添加时戳t信息。

对于接收到的消息，TPD验证其时戳信息。

2.4 拒绝服务攻击Dos
Dos攻击是危害VANET通信的最为严重的攻击之一。

Dos攻击很难防御，特别
是在无线网络中。

为了缓解Dos攻击，采用在文献［1］所描述的算法。

该方案的通信在不同信道中切换，此外，通信技术也不断转换，如DSRC、Cellular和Bluetooth。

当默认的DSRC通信质量下降，就使用其他通信技术。

如果VANET
的通信均不能使用，车辆将关掉安全应用研究，并向其他车辆通告此情况，直到通信恢复。

2.5 保护隐私和可追责性liability
PPSCP通过隐私车辆的身份从而保护车辆的隐私信息。

此外，PPSCP具有可追责
性liability。

在必要的时候，CA能够揭露车辆的身份，从而使得恶意车辆不能够
否认其发送的消息。

在发送安全消息前，用CA的公钥对车辆身份进行加密。

因此，只有CA才能识别车辆的身份。

因为只有CA才有自己的私钥，只有私钥才能对加密的车辆身份解密。

然而，如果车辆N的VIDN是单独加密，那么每次加密的密
文是一样的。

这样的话，加密的参数能够关联到该车辆。

为此，在车辆N的
VIDN中附加了一个大小为64 bit的随机数r l。

再使用密钥K C加密产生了EVR，如式(1)所示。

产生了EVR后，利用CA的公钥PubCA对EVR加密，如式(2)所示。

在VIDN加入随机数rl，从而使得车辆N发送的每个消息的 VIDN都不一样。

因此，安全消息中EVID不能关联到车辆N。

用K C对VIDN||rl进行加密，从而防
止EVID值的泄露。

如果不能获取rl，不可能还原VIDN。

对于车辆的可追责性，车辆的身份必须可以识别。

然而，这与车辆的隐私相抵触。

为此，车辆的身份仅由某特定的可信任机构识别，如CA。

每个车辆N在其TPD
内存储其身份VIDN。

此外，每个车辆从TPD里下载K C。

K C是大小为128 bit 的对称密钥。

每个车辆的K C是相同的，由CA预存。

当车辆N发送安全消息，TPD就向其传递EVID值。

加密之前，在VIDN串入随机数r l从而确保每个消息的EVID是不一样的。

通过
这种方式，消除了由同一个车辆发送的两连续消息间的关联性。

通过K C加密，
保护EVID的值。

只有CA才能通过其私钥Priv CA对EVID解密，获取EVR，从而识别车辆的身份，如式(3)所示。

之后，CA使用K C对EVR解密，获取VIDN和随机数r l，如式(4)所示。

对K C、Pub CA和Priv CA进行周期性更新。

这些密钥的有效期应当设置长点时间。

当车辆更新其证书时，CA给车辆的TPD载入新的K C、Pub CA。

每个车辆
的PubN和PrivN进行周期性地更新。

2.6 消息的认证和完整性
安全消息包含常用的信息，如车辆位置、速度和加速度。

PPSCP确保消息的完整性，防止消息被修改或窜改。

PPSCP也提供消息认证，从而确保消息发送者的身份。

通过MAC码实现消息的完整性和认证。

将密钥和消息作为MAC算法的输入，产生MAC码值。

MAC算法使用密钥 Ki，其长度为128 bit。

在发送安全消息m前，TPD将时戳t、EVID、ET(encrypted timestamp)和
MAC码。

MAC算法通过这些信息产生MAC码，如式(5)所示。

当接收到消息，车辆通过式(6)重新计算法MAC码，并与接收的MAC码进行比较，如果不一致，将丢弃此消息。

图5显示安全消息算法的伪代码。

通过TPD运行，确保了安全消息的安全。

车辆
N向其他节点发送安全消息m前，该消息m应当是安全的。

OBU依据收集的消息，产生安全消息m，并向TPD传递。

具体的过程如图5所示。

图5 安全消息算法的伪代码Fig．5 CA Securing safety message algorithm
图6显示了验证安全消息的算法的伪代码。

通过TPD，验证安全消息。

当车辆N
从其他车辆收到安全消息SM，OBU向TPD传递此消息，TPD就验证此消息。

如果验证通过，TPD从SM中提前m，并向TPD传递，否则TPD就丢弃安全消息SM，具体过程如图6所示。

图7显示了车辆身份识别算法。

CA从接收到的消息，获取车辆的身份VIDN，具
体过程如图7所示。

图6 验证安全消息的算法的伪代码Fig．6 Verifying secure safety message algorithm
图7 车辆身份识别算法Fig．7 Identifying vehicle algorithm
2.7 车辆密钥撤销
对行为不端的车辆进行撤销是非常重要的。

一旦发现了行为不端的车辆，就必须撤销该车辆。

为了实现撤销，每个车辆有一个密钥称为RK，记为KRN。

撤销某车辆时，该车辆的RK被传递到所有车辆。

来自该车辆的所有消息将被丢弃。

车辆撤销列表L是被撤销车辆的无效密钥清单，CA周期性地向所有车辆广播车辆撤销列表L。

当车辆的RK的时效期过了，就撤离此表。

通过这种方式，减少车辆撤销列表
L的尺寸。

图8显示了车辆撤销列表的更新算法的伪代码。

如果发现行为不端车辆，就向CA 报告。

CA识别该车辆并获取该车辆的身份VIDN。

CA就通过VIDN获取当前和
下一个撤销密钥KRNcurr和KRNnext，并将它们加入到车辆撤销列表L。

图8 车辆撤销列表的更新算法的伪代码Fig．8 Updating revocation list algorithm
图9显示了发送撤销消息算法的伪代码。

当CA识别了行为不端车辆，车辆撤销列表L将通过KR Ncurr和KR Nnext进行更新。

CA产生撤销消息RM，并通过RSU向网络广播，具体的伪代码如图9所示。

图10显示了接收撤销消息算法的伪代码。

当车辆N收到撤销消息RM，OBU将
向TPD传递此消息。

如果TPD在此消息中检测到KR Ncurr和KR Nnext，TPD
将删除所有共享和撤销密钥。

否则，TPD将更新撤销列表，具体过程如图9所示。

3 仿真与分析
通过仿真分析证实PPSCP方案的性能，并与S3P进行比较。

选择S3P进行比较，是因为S3P与PPSCP类似，均使用了共享密钥。

采用SWANS++仿真软件进行
系统仿真。

仿真选取一个如下场景，一个3车道，分别为直行、左转、右转车道。

车辆在车
道上移动，移动模型为STRAW(street random waypoint)。

每车道宽2.5 m，长1 000 m的高速公路。

主干车道由西向东，两个十字路口，最初，车辆随机地分
布在主干车道上。

车辆驶向十字路口时，直行、左转、右转的概率分别0.5、0.25、0.25。

仿真模型如图11所示。

图9 发送撤销消息算法的伪代码Fig．9 Sending revocation message algorithm
图10 接收撤销消息算法的伪代码Fig．10 Receiving revocation message algorithm
针对通信模型，采用MAC协议IEEE 802.11，传输频带为2.4 GHz，带宽为11 Mb/s。

选用自由空间模型作为无线传输模型。

仿真中，车辆数目为25、50、75、100、125 和150。

此外，消息有效负载(message payloads)为250、500、750、1 000、1 250 和1 500 bytes。

仿真
时间为900 s。

图11 仿真模型Fig．11 Simulation model
对于PPSCP，安全消息的尺寸的大小是消息有效负载的总和。

时戳:8 bytes。

EVID:128 bytes。

ET:16 bytes以及MAC码:20 bytes。

对于S3P，安全消息的尺寸的大小是消息有效负载的总和。

时戳:8 bytes。

EP:272 bytes以及 SIGA:128 bytes。

考虑以下参量进行评估方案的性能:平均消息传输时延(average message delay)，吞吐量(throughput)、消息投递率(message delivery ratio)。

图12(a)、图12(b)分别显示了PPSCP和S3P两路由协议的平均消息传输时延的随车辆数目、消息有效负载的变化性能曲线。

从图12(a)、图12(b)可知，与PPSCP相比，S3P具有高的传输时延，这主要因为，S3P在维持安全消息时产生更多的时延。

S3P使用了两次签名算法，分别在发送消息前、接收消息后。

而PPSCP并没有使用数据签名去认证安全消息，而是使用MAC算法。

从图12(a)可知，随着车辆数目的增加，传输时延也随之增加，其原因在于车辆数目的增加，提升了发送消息的数量，从而提高了消息碰撞。

而图12(b)数据表明，传输时延也随着消息有效负载增加而提升。

这主要是因为，消息尺寸的增加，加大了消息碰撞的几率，占用了更多的信道容量。

图13(a)、图13(b)分别显示了PPSCP和S3P两路由协议的吞吐量随车辆数目、消息有效负载的变化性能曲线。

从图13(a)可知，S3P的吞吐量略高于PPSCP。

这是因为S3P产生消息的尺寸大。

从图13(b)可知，当负载尺寸低于600 bytes，S3P的吞吐量高于PPSCP，当负载高于1 000 bytes时，PPSCP和S3P具有相同的吞吐量。

图14(a)、图14(b)分别显示了PPSCP和S3P两路由协议的消息投递率的随车辆数目、消息有效负载的变化性能曲线。

图14(a)的消息负载为500 bytes。

从图14(a)可知，随着车辆数目的增加，消息传递率也随之增加，这主要是因为车辆数目的增加提高了发送者的数量。

图12 PPSCP和S3P的平均消息传输时延Fig．12 Average message delay for both PPSCPand S3P
图13 PPSCP和S3P的吞吐量Fig．13 Throughput for both PPSCP and S3P 图14(b)的车辆数为50。

从图14(b)可知，随着消息负载尺寸的增加，消息传递率随之下降，这主要是由于大的消息尺寸提高了碰撞的几率，占用带宽容量。

因为车辆数目的增加提高了发送者的数量。

而PPSCP的消息传递率高于S3P。

原因在于
S3P的消息尺寸大，增加了数据包的丢失率。

从上述仿真数据表明，与S3P相比，PPSCP占用了少的信道容量，具有高的消息传递率。

同时，PPSCP维护安全消息处理时延更短。

PPSCP通过EV-ID进行了优化，使得确保安全消息更为快捷。

PPSCP采用公钥加密并不耗时，但是，占用了
更多的存储空间。

仿真结果表明，当车辆数目超过75或消息负载大于750 bytes 时，系统消耗大量的带宽。

这是因为过多车辆或大的消息负载增加消息碰撞的几率。

图14 PPSCP和S3P的消息投递率Fig．14 Message delivery rate for both PPSCPand S3P
4 结束语
分析了VANETs隐私安全问题，提出了保护隐私安全通信协议PPSCP方案。

设计PPSCP的目的实现匿名认证安全消息，从而保护车辆隐私，并阻止非法车辆跟踪。

同时，PPSCP平衡隐私保护和身份识别，并采用有效的撤销机制，从而降低了撤
销列表的尺寸。

PPSCP能有效防御攻击，如重放攻击和拒绝服务攻击。

通过与
S3P对比仿真，数据表明，PPSCP在消息传输时延、消息传递率方面具有更好的
性能。

此外，PPSCP在吞吐量方面并没有得到显著的提高，这也是后期研究工作
的重点。

参考文献
【相关文献】
1 Raya M，Hubaux J P.The security of vehicular ad hoc networks.in Proceedings of 3rd ACM Workshop on Security of ad hoc and Sensor Networks，Alexandria，2005:11—21
2 Hartenstein H，Laberteaux K P.A tutorial survey on vehicular Ad Hoc networks.IEEE Communications Magazine，2008;46(6):164—171
3 Isaac J，Zeadally S，Camara J.Security attacks and solutions for vehicular ad hoc
munications， IET，2010;4(7):894—903
4 Burmester M，Magkos E，Chrissikopoulos V．Strengthening privacy protection in VANETs.IEEE Int Conf Networking and Communications，2008;(WIMOB ＇08):508—513
5 Buttyan L，Holczer T，Vajda I.On the effectiveness of changing pseudonyms to provide location privacy in vanets.ESAS，2007;129—141:2007
6 Huang L，Matsuura K，Yamane H，et al．Enhancing wireless location privacy using silent period.IEEE Wireless Communications and Networking Conference(WCNC)，
2005:1187—1192
7 Kamat P，Baliga A，Trappe W.An identity-based security framework for
VANETs.Proceedings of International Conference on Mobile Computing and Networking，Los Angeles，2006:94—95
8 Lin X，Sun X，Ho PH，et al．GSIS:a secure and privacy preserving protocol for vehicular communications．IEEE Transaction on Vehicular Technology，2007;56(6):3442—3456
9 Zhang C，Lin X，Lu R，et al．RAISE:an efficient rsu-aided message authentication scheme in vehicular communication networks.Proceedings of IEEE ICC 2008;Beijing，2008 10 Bayrak A，Acarman T.S3P:a secure and privacy protecting protocol for
VANET.Proceedings of 6th International Conference on Wireless and Mobile Communications(ICWMC)，2010:441—447。