随着车联网(Internet of Vehicles， IOV)的快速发展，无人驾驶、智慧交通等新技术层出不穷。人们希望能够泄露尽可能少的隐私信息获取更好的车联网服务。车载自组织网络（Vehicular Ad-hoc Network, VANET）是车联网的关键支撑技术，服务于安全类和非安全类两类应用场景，要求VANET既能够满足不同应用场景下的服务质量(Quality of Service，QoS)要求，又能够提供必要的隐私保护能力。然而，由于VANET本身具备的无线通信开放特性，以及车联网应用服务对用户身份、运动、兴趣等敏感信息的依赖性，导致敌手可以轻易的破坏通信网络、追踪车辆位置和窃取用户私密信息，甚至实施犯罪行为，这与人们日益增强的隐私保护需求被满足之间的矛盾日益尖锐。如何丰富隐私保护特性、提高隐私保护性能，已经成为了VANET的重要研究问题。　　论文围绕着VANET隐私保护展开研究工作，分别针对安全类和非安全类应用中共性和个性的安全隐私特性和服务质量要求，研究隐私保护协议的设计与评价问题。具体的，针对共性的隐私保护认证问题，论文对适用于多场景的轻量级隐私保护认证协议框架进行了深入研究;针对非安全类内容共享场景，论文对多关键字机会路由隐私保护协议进行了研究和设计;以认证框架为基础，针对安全类短消息播报场景，论文对事后分层条件性可追溯性拓展的隐私保护认证协议进行了研究和设计。论文的主要研究成果如下:　　1.针对非安全类应用内容分享场景，提出了一种支持可搜索加密模糊多字路由的机会路由隐私保护协议　　针对以内容为中心的VANET，该部分工作提出以兴趣为中心的机会通信。内容用户通过发布订阅兴趣消息完成订阅，内容发布者发布包含了内容索引的内容消息提供路由匹配计算依据，中继节点通过兴趣和内容索引进行匹配计算进行转发。基于上述机会通信方式，基于可搜索模糊加密关键字和密文策略属性基加密，提出了一种多关键字路由隐私保护协议。该协议一方面支持多关键字的安全路由匹配，中继节点根据模糊加密关键字进行安全匹配计算和进行内容转发，保护了用户的内容索引和订阅兴趣等敏感信息，维持了投递率。另外一方面将用户属性基身份来作为订阅兴趣和共享内容的索引，适应了目标地址的不确定特性，提供了密文形式的细粒度共享内容访问控制策略。使用户在不获取访问控制策略明文的前提下，完成计算属性身份与访问控制策略的匹配程度。只有匹配度超过预设阈值，内容用户才可以对密文进行解密和获得明文。通过安全分析证明所提出协议具备端对端负载机密性、安全访问控制策略、内容隐私保护、用户匿名性、路由安全匹配、多加密关键字索引等安全特性。通过性能评估验证了协议在发布内容加解密计算开销与消息大小、访问控制策略树叶节点数量分别呈线性增长关系，达到实用指标;协议可以保持固定通信开销，具备良好的伸缩性。　　2.针对多应用场景，提出了一种去中心化轻量级隐私保护认证协议框架　　针对多应用场景下的共性和个性隐私保护需求，该部分工作充分考虑城市环境对VANET通信和计算带来的挑战，对内容共享、安全短消息播报、车联云计算等服务类型做了深入对比分析，以安全负载分布化的设计原则为指导，提出了一种去中心化轻量级隐私保护认证协议框架EPAF。将隐私保护认证分为用户车辆身份认证、消息认证和服务认证三个独立阶段，对各阶段的核心处理组件的输入输出、处理逻辑进行了设计。为了说明框架的可行性，以基于椭圆曲线公钥密码体制的轻量级签名、消息验证码和基于身份的加密等技术为支撑，对框架做了示例实现。据可查资料，提出框架是第一个适用于多应用场景VANET服务的轻量级隐私保护认证协议框架。为进行安全分析与性能评估，该部分工作中提出了包括安全协议自动形式化验证、性能量化评估基准计算和基于改造ONE仿真器网络仿真三部分的协议安全分析与性能评价方法。通过上述评价方法，验证了框架多应用场景服务兼容的条件下，满足数据完整性、不可抵赖性、隐私保护性、非链接性、强隐私保护性、条件性可追溯性、双向认证、非法车辆快速撤销等安全特性，在性能方面，与经典的安全类和非安全类隐私保护认证协议相比，在增加手持凭据设备和不可篡改设备等安全实体、车辆注册开销增加的代价下，双向通信开销可以降低45.98％～75.53％，服务请求类、响应类消息的签名性能和认证性能获得大幅提升。该框架可作为未来隐私保护认证协议的设计依据。　　3.针对安全类场景，提出了一种基于双因子的事后分层条件追溯隐私保护认证协议　　在条件性可追溯性保护方面，现有隐私保护认证协议多以追溯到车辆作为目标，这与现实中交通事故追责到人的执法机制并不符合。该部分工作充分调研工业领域发展的最新进展，结合短消息播报场景严苛的通信和计算开销要求，以双因子思想为指导，引入驾驶人这一网络中安全实体，以驾驶人“所有”（手持凭据设备）、“所是”（指纹等生物特征口令）的两方面因子为凭据，将所提出EPAF框架进一步拓展，提出了一种基于双因子的事后分层条件追溯隐私保护认证协议2FLIP。该协议中设计和实现了增强条件性可追溯性的安全特性，以基于椭圆曲线公钥密码体制的轻量级签名技术、消息验证码技术和基于身份的加密技术为支撑，改进了基于假名的隐私保护认证，使得协议在签名、认证等环节中仅需要通过轻量化的数字签名和哈希操作就可以完成。通过基于Dolev-Yao模型的ProVerif自动形式化分析验证了提出协议包括强不可抵赖性、分层条件性可追溯性、安全密码更新等改进的安全特性。在性能评估方面，与经典的安全类保护认证协议相比，在付出增加安全实体、增加注册阶段参数管理、增加不可篡改设备存储开销的代价下，通过性能量化评估验证提出协议通信开销、计算开销都有显著降低。通过改进ONE仿真器模拟真实城市路网对协议性能进行了验证。在高交通密度下，与经典协议相比可以保持较低的平均消息延迟、消息丢失率和接近100％的消息验证率，证明了协议在高密度的城市交通环境下的可用性。