面向V2X安全通信的認證協(xié)議研究

吳甜甜，楊亞芳，趙運磊

（復(fù)旦大學(xué) 計算機科學(xué)技術(shù)學(xué)院，上海200433）

0 引 言

近年來，由于經(jīng)濟的發(fā)展，全球的汽車保有量呈逐漸增長的趨勢，車聯(lián)網(wǎng)（VANET）的產(chǎn)業(yè)化和普及對于中國構(gòu)建和諧的汽車社會具有重要的意義［1-2］。但車聯(lián)網(wǎng)V2X通信中的隱私泄露等安全問題嚴重阻礙了其應(yīng)用落地。在V2X通信中，車輛在行駛過程中，需要定期生成安全信息發(fā)送給其他車輛或設(shè)備。附近的車輛可以根據(jù)收到的交通信息及時做出反應(yīng)來避免交通混亂。在這種情況下，如果攻擊者對消息進行篡改、冒充其它車輛發(fā)送信息或是發(fā)送虛假信息都會造成嚴重的交通事故及人員傷亡。因此，設(shè)計出面向V2X安全通信的車聯(lián)網(wǎng)認證協(xié)議是亟待解決的問題。

1 V2X通信模型及安全需求

1.1 V2X通信標準系統(tǒng)模型

車用無線通信技術(shù)（V2X，Vehicle to Everything）是將車輛與其他一切事物連接通信的技術(shù)。其中，V表示車輛，X表示任何與車輛交互的對象，包括車、人、路側(cè)基礎(chǔ)設(shè)施等。標準的V2X通信系統(tǒng)模型如圖1所示。主要包括以下幾種實體：智能網(wǎng)聯(lián)汽車、路側(cè)基礎(chǔ)設(shè)施、行人和網(wǎng)絡(luò)。

V2X的通信模式主要包括：車車通信（V2V，Vehicle to Vehicle）、車路通信（V2I，Vehicle to Infrastructure）、車 人 通 信 （V2P，Vehicle to Pedestrian）、車網(wǎng)通信（V2N，Vehicle to Network）。

V2V指的是車輛之間進行通信，一般用于傳輸車輛實時獲取的周圍車輛的速度、位置、行為等信息。V2V可以應(yīng)用于車輛的監(jiān)督管理，避免或減少交通事故的發(fā)生。V2I通信指的是車輛與路測基礎(chǔ)設(shè)施（如交通信號燈、攝像頭、路側(cè)單元等）進行通信。V2I通信可應(yīng)用于實時信息服務(wù)和城市交通監(jiān)管等。V2P指的是車輛和行人持有的電子設(shè)備進行通信，主要用于信息服務(wù)。V2N指的是車輛與接入網(wǎng)絡(luò)的云平臺進行通信，可用于車輛導(dǎo)航、遠程監(jiān)控、緊急救援等場景。

圖1 V2X系統(tǒng)模型Fig.1 System model of V2X

1.2 車聯(lián)網(wǎng)特點

車聯(lián)網(wǎng)除了具備MANET的一些基本特點，同時也具備自己的獨特屬性。主要可以概括為以下幾點：

（1）自組織性。在V2V通信中，各組成節(jié)點是移動中的車輛，各車輛根據(jù)需求自發(fā)地加入到網(wǎng)絡(luò)中，整個網(wǎng)絡(luò)沒有中心節(jié)點。對于每輛汽車，其在網(wǎng)絡(luò)中的權(quán)利和優(yōu)先級是等同的。根據(jù)不同的應(yīng)用場景，在某些V2I場景中，部分路側(cè)單元（Roadside Unite，RSU）可能擔(dān)任中心節(jié)點的角色。

（2）網(wǎng)絡(luò)拓撲結(jié)構(gòu)動態(tài)變化。由于車輛的快速移動，對于某區(qū)域來說是迅速進入或退出，整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)呈現(xiàn)一個不斷變化的狀態(tài)。因此，在制定各類車聯(lián)網(wǎng)解決方案時，除了針對一般網(wǎng)絡(luò)特點做出考慮之外，不可忽視其動態(tài)變化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

（3）無限的網(wǎng)絡(luò)規(guī)模。車聯(lián)網(wǎng)的實現(xiàn)可以在一個城市內(nèi)，也可以是幾個城市甚至是幾個國家內(nèi)。這意味著，車聯(lián)網(wǎng)的網(wǎng)絡(luò)規(guī)模在地理上是不受限制的，即車聯(lián)網(wǎng)具有無限的網(wǎng)絡(luò)規(guī)模。

（4）移動軌跡可預(yù)測。移動的汽車雖然移動速度較快，但由于受到移動方向以及公路條件等限制，對于系統(tǒng)管理者而言，在較短的時間內(nèi)，所有移動車輛確定了移動方向的前提下，移動軌跡是可預(yù)測的。

（5）快速的信息交換。在V2V和V2I的通信模型中，移動中的車輛均需向附近的節(jié)點階段性地發(fā)出通信信息，并接收來自附近節(jié)點的通信信息。由于車輛的通信信息具有時效性，且移動速度過快，因此要求通信時延低。

（6）安全需求高。移動的車輛需要動態(tài)的發(fā)送移動中的各種數(shù)據(jù)，這些數(shù)據(jù)對于安全性需求較高。如果網(wǎng)絡(luò)中存在的惡意節(jié)點對安全信息進行竊聽、偽造、篡改，可能造成嚴重的安全事故，對用戶生命財產(chǎn)安全造成威脅。

1.3 安全需求

為了實現(xiàn)安全的V2X通信，應(yīng)當(dāng)根據(jù)車聯(lián)網(wǎng)特有的特性，設(shè)計滿足一些特殊的安全特性的認證協(xié)議。主要包括以下幾點：

（1）可用性。要求在通信中具有高連接性和足夠的帶寬，來保證通信的流暢。網(wǎng)絡(luò)必須保證在需要的時間內(nèi)保持可用，必須對特定的應(yīng)用具有很快的響應(yīng)速度。因此即使是毫秒級的延時，都可能使發(fā)送的信息失去時效性。

（2）可認證性。車聯(lián)網(wǎng)中被授權(quán)的合法節(jié)點可以通過網(wǎng)絡(luò)接收和發(fā)送信息。在該過程中，必須對其中的節(jié)點進行身份認證。認證過程包括：驗證發(fā)送者的身份是否合法、實際發(fā)送方是否與其聲稱的身份一致，以及是否被授權(quán)發(fā)送信息。

（3）完整性。接收方在接收信息后，為了信任所接收的消息內(nèi)容，需要對消息進行驗證，保證消息未被篡改。也就是說，接收到的消息與發(fā)送方發(fā)送出的消息應(yīng)當(dāng)是相同的。經(jīng)過攻擊者篡改或者偽造的消息，應(yīng)被接收方拒絕。

（4）不可否認性。發(fā)送方可能發(fā)出錯誤的消息，攻擊者可能發(fā)送出虛假消息，這些可能對系統(tǒng)的安全造成威脅。不可否認性要求，對于發(fā)送者而言，其發(fā)送出的任何消息都不可否認曾經(jīng)發(fā)送過。

（5）隱私保護。車聯(lián)網(wǎng)中發(fā)送的消息大多數(shù)是在公共信道中進行傳輸?shù)模@意味著攻擊者可能對發(fā)送的信息進行竊聽。隱私保護要求，通過公共信道傳輸?shù)男畔⒉粦?yīng)暴露發(fā)送方和接收方的秘密信息。包括車輛的真實身份信息、位置信息、密鑰等。

（6）不可鏈接性。不可鏈接性要求，即使攻擊者獲取到同一車輛發(fā)送出的不同的消息，也無法確定這些消息的來源是否為同一車輛，不能通過對消息進行分析定位到該車輛并對其進行追蹤。

（7）可追溯性。當(dāng)系統(tǒng)中存有糾紛的信息需要進行追責(zé)時，需要經(jīng)過授權(quán)的中心機構(gòu)來對信息進行解析，從而確定發(fā)送者的真實身份。可追溯性意味著中心機構(gòu)TA可以通過傳輸信息確定發(fā)送者的真實身份，并對其進行后續(xù)操作。

2 車聯(lián)網(wǎng)認證協(xié)議

為了解決V2X的安全通信問題，大量的認證協(xié)議被提出。本文僅介紹幾種主要的認證協(xié)議。

2.1 基于對稱密碼的認證協(xié)議

使用MAC碼進行消息認證的對稱密碼，具有很高的計算效率和較低的通信負載。發(fā)送方使用共享密鑰為每個消息生成MAC碼。在匿名集中的所有用戶均使用相同的密鑰，可以對消息的MAC碼進行驗證。

2005年，Choi等人首次提出了基于對稱密碼的車聯(lián)網(wǎng)認證協(xié)議［3］。在該協(xié)議中，授權(quán)機構(gòu)為每個車輛發(fā)送唯一的標識符和一個種子，用于生成不斷更新的假名。用于驗證的密鑰在所有的RSU和車輛中是共享的。2007年，文獻［4］提出的協(xié)議中，車輛在沒有中央授權(quán)的情況下保留用于認證的隨機密鑰集，以便在零信任策略下保護用戶的隱私。該協(xié)議的匿名性是通過在不同隨機集之間共享密鑰來實現(xiàn)的。

基于對稱密碼的認證協(xié)議中存在兩個問題：一是VANET中的密鑰管理問題，不僅容易受到攻擊，并且會導(dǎo)致通信和存儲的開銷。其次，該類協(xié)議缺乏不可否認性，無法為每輛車都提供認證。2016之后的此類協(xié)議［5-7］，提出了雙重認證和密鑰托管技術(shù)，用于解決上述問題。雙重認證機制不僅可以提供更高的安全性，防止未授權(quán)的車輛進入到網(wǎng)絡(luò)中，同時雙重認證的群組密碼管理機制，可以有效地將群組密鑰分發(fā)給所有成員。

2.2 基于公鑰密碼的認證協(xié)議

在基于公鑰密碼（PKI）的認證協(xié)議中，車輛配備了用于匿名通信的公私鑰對。證書管理機構(gòu)（CA）頒發(fā)公鑰證書，用于車輛的身份驗證，其中包含了車輛的公鑰以及證書機構(gòu)生成的數(shù)字簽名。車輛使用私鑰和假名對傳輸?shù)男畔⑸珊灻＝邮辗娇梢酝ㄟ^簽名和證書來驗證消息來源的可靠性，在此過程中并不會暴露發(fā)送方的身份隱私。

CA負責(zé)長期證書的頒發(fā)和管理。在文獻［8］提出的方案中，車輛以一定的間隔從CA處獲得短期假名。為了減少與CA通信的開銷，文獻［9］提出的方案允許車輛可以自行生成假名。2012年，Lu等提出假名更新策略［10］，通過限制假名的使用壽命防止車輛被跟蹤。撤銷假名證書帶來的巨大開銷是公鑰密碼體制中面臨的難題，這項工作大多是通過證書撤銷列表（CRL）來完成的。如果車輛的長期證書被撤銷，將不能從CA處獲取到新的假名。文獻［11-12］中提出了幾種可擴展的CRL分發(fā)方法，但并不能阻止車輛在所有假名過期之前繼續(xù)通信。為了避免公鑰密碼體制中繁重的證書撤銷問題，基于身份的認證協(xié)議應(yīng)運而生。

2.3 基于身份基簽名的認證協(xié)議

身份基簽名（IBS）使用節(jié)點的身份作為公鑰，使用基于身份生成的私鑰來對發(fā)送的消息進行簽名。相比于公鑰密碼體制，僅使用發(fā)送方的身份完成消息簽名的驗證，減少了證書的管理和存儲開銷。在IBS中，私鑰生成器（PKG）可看作可信任第三方用于私鑰的生成和管理。

2001年，Boneh等［13］人基于橢圓曲線上的雙線性配對，提出了第一個基于身份的加密方案。為了減少VANET中IBS方案的計算開銷，Lu等［14］在2012年提出了一種名為IBOOS的新型認證框架，實現(xiàn)了基于身份的在線和離線簽名。在改進版的IBOOS［15］中，簽名過程被分解為在線和離線階段。由于加速了配對過程，簽名驗證的效率也得到了很大的提高。

與傳統(tǒng)的PKI相比，IBS消除了對公鑰驗證的證書要求。因此不需要為公鑰分配證書。同時，IBS避免了管理證書撤銷列表的繁重開銷。但是，IBS中的所有私鑰都是由PKG生成的。這意味著在VANET中，PKG會知道所有車輛的私鑰，產(chǎn)生密鑰托管的問題。為了解決密鑰的托管問題，文獻［16］中提出了一種分布式聚合隱私保護的認證協(xié)議（DAPPA），該協(xié)議中包含多個可信任第三方機構(gòu)（TA）。根TA負責(zé)產(chǎn)生系統(tǒng)參數(shù)，并為RSU頒發(fā)相應(yīng)的證書。在授權(quán)期間，車輛會生成一次性的私鑰和基于身份的一次性聚合簽名。DAPPA使用根TA未知的一次性私鑰，解決了托管問題。文獻［17］提出了一種名為IFAL的支持可證明安全的適用于V2V和V2I的隱私保護方案，引入了一種新型的密碼機制，同時可以避免證書撤銷的開銷，支持車輛的間歇性連接。

2.4 基于無證書簽名的認證協(xié)議

為了消除基于PKI的方案中昂貴的證書管理問題和IBS中的密鑰托管問題，AI-Riyami等［18］于2003年首次提出了無證書公鑰機制（CLS）。與PKI方案不同，無證書方案在不需要證書的前提下，仍然可以確保公鑰的真實性。在無證書方案中，密鑰生成中心（KGC）充當(dāng)半可信任的第三方，負責(zé)向用戶提供根據(jù)用戶身份計算出的部分私鑰，用戶可以使用自己選取的部分私鑰和KGC生成的部分私鑰生成自己的完整私鑰。最后，用戶使用公共參數(shù)和秘密值生成公鑰。與IBS方案不同的是，KGC無法獲取用戶的完整私鑰。

近年來，幾種改進的無證書短簽名（CLSS）被提出并應(yīng)用到VANET中。2015年，文獻［19-20］提出了新的基于CLSS的V2I通信無證書聚合簽名方案。通過將車輛廣播的消息映射到偽身份來實現(xiàn)條件隱私保護。當(dāng)發(fā)生爭議時，授權(quán)機構(gòu)可以從任何偽身份中檢索出真實身份。由于CLSS在VANET中的部署嚴重依賴于配對的有效實現(xiàn)，提出了許多關(guān)于硬件加速器的研究方案［21-22］，極大提高了CLSS的效率。因此，CLSS在VANET的應(yīng)用中是一種很有前景的隱私保護認證協(xié)議。

3 研究展望

面向V2X安全通信的車聯(lián)網(wǎng)認證協(xié)議，一直是車聯(lián)網(wǎng)安全的重要研究方向之一，這對于車聯(lián)網(wǎng)的應(yīng)用落地具有非常重要的意義。然而，車聯(lián)網(wǎng)相關(guān)設(shè)備的計算和存儲等各類資源有限，認證協(xié)議需要滿足的功能需求卻很多。因此，設(shè)計出安全高效的認證協(xié)議是需要解決的技術(shù)難題。本文對未來車聯(lián)網(wǎng)認證協(xié)議研究領(lǐng)域的發(fā)展方向總結(jié)如下：

（1）輕量級。由于車聯(lián)網(wǎng)中的主體是移動汽車，其存儲能力和計算資源有限，設(shè)計出輕量級的通信協(xié)議是解決資源受限的關(guān)鍵。現(xiàn)有認證協(xié)議大多數(shù)是基于橢圓曲線或雙線性配對設(shè)計的，計算開銷和通信開銷均較高。對于輕量級協(xié)議的設(shè)計而言，一方面，現(xiàn)有針對V2X通信的算法可以進一步優(yōu)化；另一方面，可以對現(xiàn)有輕量級算法在車聯(lián)網(wǎng)環(huán)境中的應(yīng)用進一步研究。

（2）相互認證。現(xiàn)有的認證協(xié)議大多數(shù)只能實現(xiàn)單方面認證，即接收方對消息來源進行認證，不能實現(xiàn)通信雙方的相互認證。然而，相互認證是必須面對的問題。在V2X通信中，從安全的角度考慮，實現(xiàn)通信雙方的相互認證是必要的，可以避免更多沖突的發(fā)生。設(shè)計出具有相互認證功能的通信協(xié)議是未來研究的重點方向之一。

（3）去中心化。現(xiàn)有的認證協(xié)議中，大多存在可信任的第三方完成密鑰分發(fā)以及認證等功能。事實上，信任機制很難保證。因此，設(shè)計出去中心化的認證協(xié)議，是V2X通信未來發(fā)展的一個重要方向。區(qū)塊鏈等新興技術(shù)的出現(xiàn)，或許會為去中心化認證協(xié)議的設(shè)計提供新的研究思路。

4 結(jié)束語

隨著智能網(wǎng)聯(lián)汽車的普及，面向V2X通信的認證協(xié)議會成為車聯(lián)網(wǎng)安全領(lǐng)域重要的研究方向之一。本文詳細介紹了車聯(lián)網(wǎng)V2X通信模型，針對其特點提出了協(xié)議設(shè)計需要滿足的安全需求。針對國內(nèi)外的研究現(xiàn)狀，分類介紹了現(xiàn)有的認證協(xié)議，總結(jié)了最新的研究進展。最后提出了面向V2X通信的車聯(lián)網(wǎng)認證協(xié)議未來的發(fā)展方向。本文以其為初入車聯(lián)網(wǎng)領(lǐng)域的研究者提供參考。