電動汽車充換電網絡系統的安全認證機制設計

張琳娟 王利利 靳 璐 高德云

1(國網河南省電力公司經濟技術研究院 河南 鄭州 450052) 2(北京交通大學電子信息工程學院 北京 100044)

0 引 言

隨著電動汽車充電設施的大規模部署和車聯網技術的發展，電動汽車用戶的充電服務需求也在不斷提升[1]。目前充電車輛用戶接入網絡的方式以CAN總線為主，這種通信方式信息承載能力低，無法支撐智能化的充電服務，信息流與能量流高度耦合的傳輸機制極大地影響了電動汽車用戶的充電體驗[2]。

V2X車聯網無線通信技術為信息流與能量流的解耦合提供了解決方案[3]，車輛用戶通過LTE蜂窩網實現網絡接入，從而賦予車輛用戶與電動汽車服務運營商的遠程通信功能。然而在為車輛用戶提供無線接入能力的同時，開放的無線信道環境也給電動汽車充換電網絡帶來了安全方面的挑戰[4]。惡意節點可以通過開放的無線網絡竊取用戶隱私數據并偽造用戶信息，甚至可以對電動汽車充換電網絡進行攻擊，從而影響其他用戶的正常服務。

V2X安全系統設計和開發一直是國內外許多項目的研究重點。SafeSpot[5]設計了用于V2X通信的動態協作自組織網絡和本地化機制。PRECIOSA[6]分析了車輛合作信息傳輸中的隱私問題，并提出了V2X通信的隱私感知體系架構。EVITA[7]提出了一種基于安全的車載通信系統，保護車輛的敏感數據，防止惡意攻擊。OVERSEE[8]開發了基于V2X安全應用的開放式車載平臺，在獨立應用之間實現高度隔離。針對電動汽車智能充電系統的應用場景，基于群簽名的群組認證方案可以實現用戶在充電過程中的身份認證以及數據傳輸的安全性[9]。

但是，在滿足匿名隱私保護需求的同時，獲取和分析用戶行為[10]以及追蹤非法逃避監管與計費的行為將變得困難。為電動汽車充換電網絡引入V2X車聯網無線通信技術的同時，相關安全認證機制的部署也尤為重要。本文將設計可靠的認證機制來保證電動汽車充電應用場景下的車聯網通信安全。該機制通過周期性密鑰和臨時ID等憑證的映射存儲和管理實現可追蹤和安全隱私保護兼具的強隱私保護能力，仿真結果表明在超過50個車輛用戶同時接入和數據庫映射條目到達6 000時，認證時延也在100 ms以內，滿足安全通信的低時延需求。

1 充電系統的LTE-V2X安全架構

受益于長期演進(Long Term Evolution，LTE)的全球部署以及其驅動的技術進步，LTE-V2X[11]可以通過提供更遠的通信距離、更高的吞吐量、高度精確的定位和超低的時延、性能更佳的擁塞控制，在復雜的電動汽車充換電網絡環境中支持更廣泛、更豐富的服務[12]。

未來，預計絕大多數車輛都將具備嵌入式的蜂窩連接功能，實現與充換電基礎設施V2X通信，降低部署成本，提高經濟效益[13]。

基于LTE-V2X，設計了如圖1所示的電動汽車充換電系統安全架構。LTE-V2X技術包括蜂窩通信(LTE-Uu)和直接通信(PC5)兩種工作模式。架構中V2X通信主要基于LTE-Uu通信方式。

圖1 系統安全架構

在安全架構中，V2X控制功能模塊(V2X Control Function，VCF)主要完成通信參數配置、周期性密鑰和票據的發放等功能；臨時ID管理功能模塊(Temporary ID Management Function，TIMF)完成V-UE的V2X安全方法檢測和匿名移動用戶ID(Pseudonymous Mobile Subscriber ID，PMSI)臨時數據庫管理查詢等功能；KMS和CA完成PMSI及其對應密鑰對的發放和存儲映射等功能。

其中VCF和TIMF均為邏輯模塊，通過電動汽車充換電系統服務運營商部署的智能網關(Intelligent Gateway，IG)實體完成對車載終端(Vehicle-User Equipment，V-UE)的服務授權和PMSI管理等功能。

接下來將介紹安全架構涉及的主要接口。

V1：TIMF和VCF為邏輯功能，部署為同一個網元，共享V1接口。車輛用戶通過此接口從VCF獲得服務授權和參數配置。

V2：TIMF和V2X CA/KMS之間的接口。TIMF從V2X CA/KMS獲取數字證書、注冊密鑰對。充換電系統服務運營商可以選擇部署于遠程網絡數據中心(Internet Data Center，IDC)的V2X密鑰管理系統(Key Management System，KMS)和V2X證書頒發機構(Certificate Authority，CA)作為認證過程中的可信第三方。由于用于登記和響應的證書和密鑰對須具有對應關系，故接下來的認證機制設計中將不對CA和KMS的功能作區分。

V3：TIMF和VCF之間的接口。TIMF將認證請求轉發給VCF，并且只有在獲得VCF認證成功的結果后，才會響應來自V-UE的請求。

2 認證機制的設計

本節首先根據充換電服務中可能遇到的安全威脅對系統的安全需求進行分析；然后針對安全需求設計具備強隱私保護能力的匿名認證方案，并介紹認證方案實現的整體流程；最后結合應用場景對方案的安全性進行分析與論證。

2.1 安全需求分析

在具體部署中，電動汽車以及充電基礎設施與電動汽車充電服務運營中心使用蜂窩網絡連接，充電服務運營中心采用自動化智能方式來采集和分析電動汽車用戶的充電行為信息并實時調整策略。但是，基于開放性的信道和大量接入的節點，這種連接方式可能會使電動汽車充電網絡面臨安全威脅。一方面，非授權用戶通過盜用他人充電服務賬戶進行充電，給其他電動汽車用戶帶來財產損失；另一方面，即使在高速動態的車聯網環境下實現強大的用戶隱私保護技術，也會給充電運營商采集和分析用戶充電行為數據造成不便，同時惡意用戶可能利用其匿名性逃避充電費用的支付和相關監管。

針對上述安全威脅，認證機制的設計應從身份隱私、通信的機密性/隱私性保護、信息的完整性/實時性保護出發來解決這些安全問題。傳統的安全認證技術可以滿足隱私性、可鑒別、不可否認和完整性等需求[14]。基于以上威脅，認證機制的設計還應滿足如下安全需求：

1) 可認證。防止非法攻擊者入侵的基本要求，用戶在獲得服務之前必須進行服務授權認證。這樣通信雙方均可判斷V2X消息來源的可靠性。

2) 匿名性。接收者無法通過接收到的消息推斷得出發送者的真實身份。

3) 可追蹤。當車輛用戶出現逃避監管和計費等非法行為時，能夠追蹤到用戶的真實身份。

將以上安全需求考慮到認證機制的設計中，在進行V2X通信之前就可以最大程度避免通信中可能遇到的安全方面的威脅。

2.2 具備強隱私保護能力的匿名認證方案

認證方案主要包括三個過程：接入充電網絡的車輛用戶的V2X服務授權過程，匿名證書及對應密鑰對的分發過程，基于隱私性保護的認證過程。

2.2.1服務授權過程

車輛用戶獲得服務授權是認證的前提，具體過程如圖2所示。V-UE出廠后得到一個攜帶其全球唯一標識(Global unique identifier，GUID)的數字證書和密鑰對，用戶攜帶其GUID向IG發出請求獲得服務授權。其中，TIMF模塊和V2X CA/KMS為單獨的邏輯實體，以允許IG設置無線電參數和第三方。具體服務授權過程如圖2所示。

圖2 服務授權

步驟如下：

1) UE從VCF模塊獲取通信參數。該過程中，UE獲得由運營商和附屬服務提供商提供的服務列表，并且被告知該服務是否需要承載層安全性，同時獲得TIMF模塊以及V2X CA/KMS的地址。

2) UE向TIMF發送服務授權和安全憑證的請求。消息攜帶UE ID、服務ID和支持的安全方法集。

3) TIMF模塊根據UE提供的方法集來檢查其是否具備V2X安全能力。

4) 如果步驟3)的檢查對于服務ID是成功的，TIMF模塊與VCF和CA/KMS共同完成服務ID授權確認和安全憑證生成，并將Response消息返回給UE，UE獲得服務授權和用于身份認證和加密的安全憑證。如果檢查失敗，則直接轉到步驟5)。

5) UE不支持所需的算法，TIMF模塊將返回算法支持失敗的指示符。

2.2.2(PMSI，KPMSI)分發過程

認證機構完成對已授權用戶的匿名證書及對應密鑰的分發，具體過程如圖3所示。為防止惡意用戶竊取和偽造身份信息，授權用戶需隱藏GUID，使用匿名證書頒發機構(Pseudonym Certificate Authority，PCA)頒發的PMSI進行通信，其對稱密鑰對KPMSI由KMS發放?；陔[私性與可追蹤性保護的折中考慮，本地IG和遠程IDC分別管理車輛用戶的部分信息，這將通過周期性密鑰Kperiod和票據實現。

圖3 (PMSI，KPMSI)分發過程

具體分發過程如下：

1) UE向VCF發送獲取周期性密鑰Kperiod和票據的請求。消息中攜帶包含其GUID信息的安全憑證。

2) VCF驗證UE的憑證后發送周期性密鑰Kperiod、票據和合法的KMS列表(KMS_ID，KMS_Pub)。周期性密鑰Kperiod為非對稱密鑰。票據中包含隨機ID，且與UE的GUID無關聯，更新周期與Kperiod相同。VCF使用私鑰Ks對票據內容進行數字簽名。

3) VCF向CA/KMS發放Kperiod公鑰加密的(PMSI，KPMSI)巨型池和用于驗證票據簽名的VCF公鑰Kp。Kperiod使得匿名ID和密鑰對信息對CA/KMS保密。

4) UE向從VCF提供的列表中選出的CA/KMS發送通信密鑰請求。消息攜帶VCF的Ks簽名的票據。

5) CA/KMS使用VCF公鑰Kp驗證票據，確保請求的真實性和可靠性。

6) CA/KMS向UE返回響應消息，從加密的巨型池中提取子池(PMSI，KPMSI)，簽名后發送。與此同時，將票據和發送的匿名密鑰對綁定，存儲映射，并向臨時ID管理功能發送消息記錄消耗。

7) TIMF模塊綁定消耗的PMSI子池、KMS_ID、KMS_Pub和對應的TIME(PMSI生命周期的開始時間)形成臨時數據庫，可以用于識別非法消息的發送者。數據庫的保存期限取決于充電網絡運營商的政策。

8) UE使用KMS公鑰驗證簽名，確保消息來源為KMS。然后使用Kperiod私鑰將(PMSI，KPMSI)解密。

2.2.3認證過程

獲取匿名的車輛和充換電網絡服務器之間開始進行認證通信，如圖4所示。基于公鑰密碼體系的改進[15]，實現通信的隱私性和完整性保護；在消息中增加時間標記，防止重放攻擊。KPMSI包含一個非對稱密鑰對，即秘密簽名密鑰(Secret Signing Key，SSK)和公共驗證令牌(Public Validation Token，PVT)，其中，SSK對外保密；PVT對外公開。

圖4 認證通信過程

具體認證過程如下：

1) UE向服務器發送通信請求。攜帶UE獲取KPMSI的源KMS_ID和KMS簽名的PVT_UE。

2) Server根據收到的KMS_ID查詢KMS_Pub，驗證UE的PVT可靠性。驗證完畢后攜帶公鑰Server_Pub向UE返回響應。

3) UE發送Server_Pub加密的報文。報文內容包含：含SSK_UE簽名的消息、簽名時間t；密鑰對KPMSI(SSK，PVT)的生命周期開始時間TIME。

4) Server收到消息后，對消息內容進行驗證:

(1) 使用Server_Pri解密消息。

(2) 使用PVT_UE驗證消息的完整性。

(3) 驗證t：設t′收到消息，要求0 ms時間窗口，則為重放消息，若t′-t<0，則為無效消息。

(4) 驗證TIME，檢查UE的SSK、PVT是否失效。

經過步驟4)的驗證后，消息被送至應用程序處理，否則請求重傳或丟棄。

2.3 安全能力分析

認證方案的強隱私保護能力體現在既可以防止非法竊取和盜用用戶信息，又可以在用戶逃避監管和計費后定位其GUID。下面將結合具體場景分析和論證機制的安全性。

場景一：非授權用戶B通過竊聽、截獲得到了用戶A正在使用的(PMSI，KPMSI)，企圖盜用A的賬戶請求充電服務。由于(PMSI，KPMSI)的生命周期只有幾分鐘，到期后需要使用含VCF的Ks簽名的票據向CA/KMS請求新的匿名池，且獲取票據需要使用包含GUID的安全憑證。故用戶B無法繼續盜用A的賬戶。

場景二：非法用戶C企圖通過黑客行為攻擊充電站智能網關IG，并盜取充電用戶的賬戶信息。IG中的TIMF綁定(消耗的PMSI對，KMS_ID，KMS_Pub，TIME)形成臨時數據庫，一方面，為節省資源，該數據庫根據運營商的政策可以定期銷毀和更新，用戶C竊取到的可能只是某段時間內的數據；另一方面，由于PMSI對的分發通過位于IDC的KMS/CA實現，用戶C即使獲取到完整數據庫，也無法定位消耗該PMSI的用戶的GUID，獲取的賬戶信息無效。

場景三：非法用戶D企圖通過黑客行為攻擊充換電服務運營數據中心IDC，分析用戶的實時行為。但是由于IDC只存儲了票據和(PMSI，KPMSI)子池的映射，且票據只是用來檢查用戶是否經過VCF的驗證，并不包含用戶的GUID信息，(PMSI，KPMSI)子池是由VCF的Kperiod加密。因此用戶D無法獲取任何有效的信息。

場景四：使用PMSI進行通信的用戶E在充電服務完畢后利用匿名的定期更新和反單側追蹤機制逃避計費。IG的TIMF在臨時數據庫中根據其PMSI查詢對應的KMS_ID，然后攜帶PMSI向IDC中對應的KMS發起追蹤請求；KMS查詢票據和(PMSI，KPMSI)子池的映射，找到用戶E對應的票據并將其返回IG的VCF；VCF根據票據中的隨機ID匹配到用戶E的安全憑證，根據其安全憑證定位其GUID，實現對用戶E的追蹤。

場景五：電動汽車充電站服務運營商可以根據綜合分析邊界智能網關和遠程數據中心的信息，實現對充電用戶行為的數據分析，根據分析結果進行電價策略的實時調整和充電站的部署規劃。

實際部署中，充換電網絡受到惡意攻擊的場景均基于以上情況及其擴展，因此機制的安全性得以驗證：在保護車輛用戶身份隱私性的同時，也可以在有追責需求時實現用戶GUID的追蹤和定位。

3 仿真驗證與性能分析

3.1 模擬場景的設計與仿真

認證方案的仿真是在NS-3(Network Simulator-version3)仿真平臺[16]上完成的。根據LTE-V2X架構下的電動汽車充換電系統具體場景，繪制網絡拓撲，并編寫模擬程序創建所需的場景模型。網絡拓撲如圖5所示。

圖5 電動汽車充換電網絡拓撲設計

仿真結果的拓撲界面如圖6所示。節點設備之間可以進行正常的業務通信，拓撲場景搭建成功。

圖6 仿真拓撲的實現

3.2 仿真結果分析

認證機制的仿真實現了預期功能，模擬場景中的每個車輛用戶最終都擁有一個GUID和PMSI。CA/KMS和VCF各自維護一個數據庫，前者維護票據和(PMSI，KPMSI)的映射關系，后者維護用戶GUID、Kperiod和票據的映射關系，追蹤功能可以通過獲得授權后匹配兩個數據庫的內容追蹤到用戶。

由于車聯網環境具有時間敏感特性，認證機制的復雜度和時延互相制約，因此對認證機制進行時延性能分析，分別研究認證時長對同時接入的用戶數量和匿名數據庫大小的敏感度。

從圖7可以看出，在其他因素相同時，隨著車輛用戶數量的增加，每個用戶的平均認證時長也在增加。數據擬合的結果表明兩者之間的關系更接近多項式曲線。仿真結果說明，隨著車輛用戶數量的增加，用戶的平均認證時間線性增加。這說明認證系統的時延對接入節點的數量有一定敏感性。具體原因如下：(1) 由于模擬場景中只部署了一個基站，多個用戶同時請求，會造成可能的資源沖突導致較大排隊時延；(2) 隨著發起請求的增加，IG節點和IDC節點的響應時間會變長，從PMSI資源池中提取條目并分發的時延也相應增加。

圖7 平均認證時間與車輛用戶數量的關系

圖8顯示，在數據庫規模增長時，用戶的認證時間呈現緩慢增長的趨勢，數據擬合的結果表明兩者之間的關系更接近指數曲線，隨數據庫條目增長，用戶的認證時間增長趨勢逐漸減緩。數據庫條目從100到6 400的變化對應認證時長的變化僅為20 ms，因此可以說明認證機構維護的數據庫大小并不會對認證時延造成影響。

圖8 認證時間與數據庫大小的關系

4 結 語

本文在LTE-V2X架構的基礎上對電動汽車充換電網絡中的安全隱私保護的需求進行具體分析，提出具備強隱私保護能力的匿名認證機制，同時實現車輛用戶的真實身份隱私保護和可追蹤?；贜S-3網絡仿真平臺，搭建拓撲并對認證方案進行仿真，匿名分發和多方問責功能的同時實現說明該認證機制具有實際部署能力和可擴展性，滿足電動汽車用戶充換電通信業務的需求。