吳宸梓

(中興通訊股份有限公司 西安 710065) (nwgaoyan@aliyun.com)

隨著分布式自組織網絡在智能交通領域中的應用和普及，基于車載網的應用引起人們廣泛關注.車載網也稱車載自組織網絡(vehicle ad hoc network, VANET)，它是一種多跳無線自組網在車載平臺和城市道路環(huán)境中的應用，主要目標是緩解城市道路擁堵，降低交通事故死亡率，為車輛用戶提供更智能且靈活的通信服務以及安全和舒適的駕駛感受[1].由于車載網具有開放性、節(jié)點移動速度高、網絡拓撲結構變化快、區(qū)域網絡節(jié)點密度稀疏不同、車輛的入網與脫網瞬時完成等網絡特點，車載網十分容易受到各種攻擊，如女巫攻擊[2]、身份偽造攻擊、重放攻擊、合謀攻擊[3]、位置跟蹤攻擊等，對車載網的服務造成嚴重的破壞.因此，為了確保車載網通信的可靠性，對車載網用戶的安全認證成為一個不可或缺的環(huán)節(jié).對此，學者們從不同視角提出了車載網的各種安全認證方案，其中，基于密碼學的車載網的安全認證具有較高的安全性并具有廣泛的應用價值.本文將對基于密碼學的安全認證方案進行深入探討，以期為車載網的安全認證方案的設計和研究工作提供參考.

1 車載網安全認證機制

1.1 現(xiàn)代密碼技術

圖1 對稱加密算法

由上述加解密算法可以看出，加解密密鑰、加解密算法和傳輸加解密密鑰的方法也就是安全密鑰傳輸協(xié)議，組成了基于現(xiàn)代密碼學的信息安全系統(tǒng).隨著對現(xiàn)代密碼學的應用研究發(fā)展以及衍生出的多種密碼技術的普及，數(shù)字簽名、身份認證、云數(shù)據(jù)存儲等也得到了廣泛的發(fā)展.

1.2 基于公鑰密碼學的數(shù)字簽名技術

相比于對稱密碼學，公鑰密碼學(PKI)的密碼學構造方式更為復雜.PKI的加密密鑰分為公鑰和私鑰.一般地，一個公鑰可以有多個私鑰，加密時，使用公鑰對明文加密，而只有私鑰可將密文解密.公鑰及加解密算法是公開的，然而只有持有私鑰的用戶才可以正常解密.相比于對稱加密算法，PKI體系的應用范圍更廣且更靈活.

其中數(shù)字簽名是PKI體制一個最經典的應用.其原理是簽名者對需要簽名的文件執(zhí)行摘要生成算法生成一個摘要，對摘要使用私鑰進行加密，然后將消息、消息摘要以及驗證公鑰發(fā)送給驗證者，驗證者執(zhí)行簽名驗證算法對消息和簽名進行驗證，以判斷消息發(fā)送者的身份真實性和消息的完整性.整個流程如圖2所示：

圖2 數(shù)字簽名算法

1.3 車載網安全認證密碼學工具概述

在車載網用戶的安全認證中，除了數(shù)字簽名這種最基本的密碼學工具，還有一些密碼學工具或構造方法用于車載網的認證中.哈希消息驗證碼(HMAC)[4]是一種使用安全的散列函數(shù)算法(如MD5)構造消息驗證碼，并被廣泛用于檢測通過不可靠信道傳輸?shù)南⑼暾?匿名技術也是車載網認證中一個關鍵的技術工具.由于車載網的用戶在傳遞認證消息時，可能會暴露自己的身份或者位置信息，因此在認證過程中用戶都有隱私保護的需求.Mix技術[5]是一種典型的采用混淆機制幫助用戶隱藏自己的地理位置信息的技術，而假名技術的普遍使用保護了車載網用戶的身份隱私.

除此之外，還有一些基于密碼學的特殊應用在車載網的認證中起到了非常重要的作用，如認證消息的批處理機制使用特殊的密碼學構造機制可以使認證用戶同時認證多個簽名消息，從而提高效率.而無證書認證方案可以減輕車輛用戶端的證書儲存和計算負載.而安全可靠的密鑰交換協(xié)議和小區(qū)切換技術是車載網用戶安全認證的基礎，對認證方案的設計起著支撐作用.

綜上，車載網安全認證是現(xiàn)代密碼學在車輛交通安全保障領域的一項重要應用.安全認證的最核心技術是基于PKI體系的數(shù)字簽名，而多種密碼學工具、協(xié)議和構造方法共同組成了一個完備且可證明安全的車載網認證方案.

2 車載網及其安全認證方案設計的影響因素

2.1 車載網網絡模型

根據(jù)車載網安全認證的設計要求，參與車載網認證的實體和網絡模型(如圖3所示)可以按照如下劃分.

可信認證中心(TA)負責保管所有用戶的真實可信的身份證書，包括合法的OBU以及所有轄區(qū)內的RSU，并接收新入網的OBU的申請，并在發(fā)生爭議時負責最終仲裁認證過程中認證消息的真實性.在認證協(xié)議中被認為是可以絕對信任的實體.

OBU：裝載于車輛上，在車載網的認證協(xié)議中既是被認證方也可以是認證方.在認證通過前，被認為是完全不可信的，認證通過后，在約定的時間內被認為是可信的.OBU的通信對象包括OBU和RSU.

RSU：由車載網服務提供商部署于道路旁或重要的車輛服務區(qū)(如停車場等).RSU一般能夠通過安全信道與TA直連，并且服務對象就是車輛搭載的OBU，為其提供信息服務.然而RSU并不能認為是完全可信的，有可能會被入侵者控制并發(fā)送錯誤信息，因此在有些情況下，RSU同樣需要執(zhí)行認證協(xié)議.

圖3 車載網安全認證網絡模型

2.2 車載網認證方案設計的影響因素

影響車載網認證方案的設計有很多因素，一般可以分為兩大類因素：內在因素和外在因素.內在因素主要是涉及車載網內的有關技術因素，外在因素主要是針對認證協(xié)議的不同種類攻擊行為因素.

1) 內在因素

① 認證時間約束.車載網的應用是保證行車安全的信息警告服務.這類信息有著嚴格的消息生存期限，用戶在交互此類信息時不能在認證階段耽誤過久的時間.因此，車載網認證方案設計需要簡化認證的步驟，并減輕用戶端的認證負擔.

② 認證需求不平衡和認證拓撲變化.由于車載網使用不均衡，在城市交通樞紐區(qū)域，單位時間有大量的車輛用戶接入網絡的需求，OBU和RSU需用處理大量而頻繁的認證請求.而在非城市交通樞紐區(qū)域，OBU和RSU需要認證的請求比較小.因此，車載網認證方案設計需要兼顧不同環(huán)境所造成的困難.

③ 車輛用戶有限的計算和存儲能力.與智能手機相比，汽車作為移動通信平臺搭載高性能計算和存儲能力更加強大，在執(zhí)行認證算法時有更好的性能.然而，在設計認證方案時，依然要考慮OBU和RSU的計算能力差異性.V2I的認證算法要盡量將耗費資源的計算過程放在RSU端，而V2V中，需要避免認證過程過于依賴一個群管理員，每個認證用戶都應該有獨立建網的能力.

2) 外在因素

① 身份偽造攻擊.身份偽造指在認證時采用錯誤或假冒的身份與其他用戶或對象進行認證而使整個認證過程不可信.抵御身份偽造攻擊是認證的一個非常重要的基本功能.

② 惡意行為攻擊.用戶的一些惡意行為會嚴重影響認證的效率,諸如拒絕服務攻擊(DOS)、信息丟棄[7]，用戶向某個用戶短時間內發(fā)送大量的認證消息，導致其與其他正常用戶的認證通信發(fā)生堵塞.還有一類用戶的自私行為，通過遲滯或拒絕合作導致一個區(qū)域的用戶認證無法順利完成.

③ 隱私竊聽.用來認證的證書包含著用來生成認證消息的公私鑰，這些信息都與用戶的真實身份高度相關.如果不采取適當?shù)碾[私保護措施，合法的認證過程本身也會泄露與認證用戶的身份相關的信息，如GPS位置信息和某些消費行為.通過采用假名或頻繁更換證書的方式來保證用戶認證時的隱私，惡意用戶也會利用隱私保護的漏洞匿名向其他用戶傳遞虛假的信息，對車載網造成相當大的混亂.

3 基于密碼學的安全認證方案分類

3.1 基于群簽名和身份簽名的安全認證方案

群簽名的概念最早由Chaum等人[6]提出并由Camenisch和Stadler[7]完善，其后隨著現(xiàn)代密碼學構造工具特別是雙線性對的發(fā)展，在各個工程領域都得到了廣泛的應用.由于用于驗證被認證者簽名合法性的群公鑰只能確定群簽名的正確性而無法確定其具體身份，在車載網認證領域主要用于保護被認證者的身份隱私.

Guo等人[8]針對車載通信網絡提出了一個基于群簽名的安全框架.一個群簽名認證方案一般包含5個算法步驟：啟動(Setup)、加入(Join)、驗證(Verify)、簽名(Verify)、打開簽名(Open).使用群簽名的安全認證方案可以滿足可認證性、消息完整性、隱私性和可追溯性.但缺點是效率較低，當一個小區(qū)的認證群有群成員的加入或退出時會導致整個群公鑰需要重新計算，造成額外的通信和計算開銷.

為了提高群簽名效率， Wasef和Shen[9]使用群簽名構造了安全認證方案，并利用雙線性加法群的性質構造了批處理驗證方案，可以令多個消息同時被驗證而提高認證效率.Zhu等人[10]在群簽名的基礎架構上，使用HMAC代替證書注銷列表(CRL)來提高合法用戶檢視效率.而Hao等人[11]使用驗證者選舉算法、n臨近算法等方法來建立一個具有合作性質的群簽名認證方案，提高了整體的認證效率.

隨著對群簽名功能的不斷發(fā)掘， Hwang等人[12]提出了一個具有可控關聯(lián)性的短群簽名認證方案用來平衡匿名性以及可追溯性.不同的群簽名能夠被匿名的關聯(lián)，但相應的關聯(lián)信息只能被一個關聯(lián)密鑰所破解.Rong等人[13]利用群簽名機制建立了一個被稱作MixGroup的假名累積更新系統(tǒng)，以增強車載交通系統(tǒng)的位置隱私性.其原理是給一個車輛用戶擴展多個假名混淆區(qū)，并使用群身份代替假名.該方案非常好地解決了當一個區(qū)域車輛用戶很少時無法進行充分的假名混淆而導致的位置隱私問題.

自2001年Boneh和Franklin[14]使用雙線性對構造了一個基于身份的加密方案，基于身份的簽名體制得到了實質化應用.

Lin等人[15]提出了一個結合群簽名和身份簽名的匿名認證方案GSIS.身份簽名的使用降低了公鑰和證書的復雜性，提高了認證過程中的用戶管理效率.在基于身份簽名驗證的批處理技術方面， Zhang等人[16]和Tzeng等人[17]也作了非常充分的研究.

Li等人[18]特別使用了基于身份的離線在線(IBOOS)簽名來分別作為V2R和V2V的認證，以減輕客戶端的認證效率.

3.2 非雙線性對的安全認證方案

大部分基于群簽名和身份簽名的認證方案都采用了基于橢圓曲線構造的雙線性對技術，安全性條件由CDH或DDH來保證.但構造雙線性對所需要的Map2Point計算和pairing計算消耗的資源較多，目前學界也在尋求其他一些使用非雙線對技術用于車載網認證方案.

He等人[19]使用基于ECC的身份簽名來實現(xiàn)一個具有可追溯性的條件隱私保護車載網認證方案.Cui等人[20]同樣使用ECC的結構構造了一個無證書的聚合簽名方案用于車載網中的V2R通信.由于不需要使用Map2Point和pairing計算，性能都得到了極大的提升，對高負荷的車載網環(huán)境非常重要.

Sulaiman等人[21]提出使用哈希鏈技術來為RSU發(fā)出的每條消息生成公私密鑰對.車輛驗證消息時可以從上一條消息的公鑰和哈希驗證碼聯(lián)合驗證下一條消息的真實性，好處是計算量較低，但通信成本卻比較高.

Islam等人[22]針對V2V場景設計了一個基于密碼口令的群密鑰認證協(xié)議.該協(xié)議的安全性主要由SHA512等哈希函數(shù)來保證，性能表現(xiàn)非常突出.但安全性還需要通過進一步研究來得到驗證.

4 基于密碼學的安全認證方案的比較

上述基于不同密碼學工具設計的安全認證方案既有共性又有特殊性，每個方案在安全需求、安全攻擊處置能力和性能參數(shù)等方面具有不同的特點.通過對文獻的梳理和歸納，將車載網安全認證方案按照安全性特征滿足度和性能要求滿足度進行歸類與比較.

4.1 安全性維度

車載網認證在安全性上2個重要的目標：一是能抵御車載網通信環(huán)境中高風險的攻擊；二是滿足車載網用戶在認證過程中對隱私保護的需求.

車載網由于其特殊的分布式、高動態(tài)、自由靈活的網絡特性而面臨著多種類型的網絡攻擊.常見的攻擊有如下幾種：

3) 共謀攻擊.在合作認證過程中，合法用戶幫助非法用戶共同欺騙可信認證中心，使得非法用戶認證通過.

在認證過程中除了需要抵御來自內外的非法攻擊，還需要考慮用戶的隱私保護需求.在認證過程中，認證參與方有可能獲得用戶的身份、位置等敏感信息.即使網絡中沒有攻擊者，也有充足的“隱私好奇者”威脅著用戶的安全.在認證方案中可以采取多種手段保護隱私，如使用假名或位置混淆等.

4.2 性能維度

車載網環(huán)境對認證方案在性能方面有著特殊的要求.由于車輛在計算性能和通信帶寬方面都有著天生的局限性，因此在認證過程中要求協(xié)議簡潔且算法復雜度較低.

在性能方面的要求包含3個方面：計算性能高效、通信輕量化、低負擔存儲.具體含義如下：

1) 計算性能高效.指計算整個認證過程中計算性能受限的車載平臺將承受更少的計算負擔.方法是輕量化整個認證協(xié)議或將認證過程中的耗時計算從車載平臺的OBU上轉移到RSU平臺上.

2) 通信輕量化.認證過程中的V2R和V2V的通信次數(shù)認證所需依賴的第三方需要盡可能的少，同時認證交換應僅限于密鑰、簽名等用來證明認證者身份的數(shù)據(jù).

3) 低負擔存儲.指在為了認證匿名化而采取額外的混淆措施時，不會給車輛用戶端帶來額外的存儲開銷，如用于增加冗余的額外身份證書等.

4.3 認證方案比較

根據(jù)上述的車載網安全認證方案所必備的2個特征維度，對基于密碼學的安全認證方案分類中各方案按照滿足的安全特性、攻擊地域范圍和所解決的性能問題進行分類和比較(如表1所示).

表1 車載網安全認證方案安全性和性能比較

實現(xiàn)的安全特性：Au—可認證性；In—完整性；An—匿名性；Un—不可關聯(lián)性.

性能優(yōu)化指標：Cp—計算性能高效；Cm—通信輕量化；St—低負擔存儲.

5 結論與未來研究方向

依照安全性與性能2個維度，基于密碼學的車載網安全認證方案被分為：基于雙線性對的群簽名和身份簽名方案；基于對稱和其他公鑰密碼學工具的安全認證方案.其中傳統(tǒng)的基于雙線性對的認證方案在保護用戶安全性和匿名性方面都得到了證明，且可以通過簽名批處理驗證的手段提高方案的認證效率.而非雙線對的認證方案由于避免使用耗時的雙線性對密碼學運算，而極大地提升了效率，對未來的車載網安全認證方法有極大的促進作用.根據(jù)目前學術界對車載網安全認證的研究現(xiàn)狀，未來針對車載網的安全認證方案，還有3個方面值得進一步研究：

1) 安全與隱私是車載網安全認證解決的2個最基本問題.然而，在某些特殊情況下，安全和隱私卻是相互矛盾的.比如在路況信息分享過程中，其他用戶需要盡可能地使用消息提供者的真實身份和位置信息來進行認證以驗證消息的可信性.然而消息提供者卻希望消息的分享是匿名的，有強烈的動機對提供虛假的信息進行認證.換句話說安全特性中的不可關聯(lián)性(unlinkability)和可追溯性(traceability)具有一定的矛盾性，很難同時被滿足.引入第三方的可信認證中心無疑是解決這個問題的最好方法，但無疑會增加車載網安全認證的部署成本.因此采取分布式的思想改進車載網認證方案是當前非常重要的課題.

2) 目前基于雙線性對的安全認證方案在車載網方面的設計已經非常成熟，已有許多具體的使用群簽名和身份簽名構造的適合于車載網場景的安全認證方案.然而，對這些方案的分析往往停留在理論分析方面，或是使用仿真工具進行仿真測試，而缺少在真實環(huán)境下的方案實現(xiàn)，特別是在移動智能設備上對密碼學相關算法的性能測試數(shù)據(jù).因此，未來的研究者無法對認證方案進行真實有效的評估以便改進優(yōu)化.目前互聯(lián)網上已有基于雙線性對的密碼學開發(fā)套件PBC(pairing based cryptography library)[23],并有相應的可在Android設備上運行的解決方案，值得未來的研究者進行實現(xiàn)方面的進一步工作.

3) 使用ECC以及其他非雙線性對結構的密碼學應用系統(tǒng)來替代傳統(tǒng)的雙線性認證方案以提高認證速度對于學術界具有非常大的吸引力.然而，這些方案要么缺乏嚴謹?shù)目勺C明安全分析，要么缺乏具體的實現(xiàn)手段，對車載網安全認證方案的實際設計影響有限.然而，車載網絡環(huán)境是一個綜合而復雜的網絡模型和較高安全風險的集合體.除了用戶接入過程中的身份認證，還在訪問控制、身份鑒權、安全審計等方面需要利用車載網安全認證技術來抵御來自車載網內外的安全威脅和用戶的安全需求.同時，車載網本身是一個具有非常大擴展空間的應用搭載平臺.近年來基于車載網的云計算應用、社交網應用都引起了學術界的廣泛關注，無疑也擴展了安全認證需要覆蓋的安全風險問題.這些都需要借助更多靈活有效密碼學工具以輔助傳統(tǒng)的數(shù)字簽名技術，增強方案的可用性.