李曉偉，楊鄧奇，曾 新，朱興文，陳本輝，張玉清

(1.大理大學(xué) 數(shù)學(xué)與計算機(jī)學(xué)院，云南 大理 671003；2.中國科學(xué)院大學(xué) 國家計算機(jī)網(wǎng)絡(luò)入侵防范中心，北京 100049)

物聯(lián)網(wǎng)(Internet of Things，IoT)使萬物通信成為可能，它在未來通信中將被廣泛應(yīng)用。車輛自組織網(wǎng)絡(luò)(Vehicular Ad hoc NETworks，VANETs)簡稱車聯(lián)網(wǎng)，是物聯(lián)網(wǎng)中的重要領(lǐng)域[1]。車輛對車輛(Vehicle-to-Vehicle，V-2-V)通信是VANETs的基本通信類型。它可以使車輛之間共享多種信息，如交通信息、位置信息、路線信息等[2]。為了實(shí)現(xiàn)安全通信，身份認(rèn)證和密鑰協(xié)商是車聯(lián)網(wǎng)中不可缺少的步驟[3]。身份認(rèn)證使合法車輛可以訪問網(wǎng)絡(luò)并獲得服務(wù)，而其他任何人都無法偽造。密鑰協(xié)商使車輛之間共享密鑰，建立安全信道。

V-2-V通信大都考慮所有車輛都在一個域中的情況，這意味著它們會在一個服務(wù)提供商或一臺服務(wù)器上注冊。在這種情況下，車輛之間的認(rèn)證與密鑰協(xié)商相對簡單，因為車輛之間往往共享一些由服務(wù)提供商頒發(fā)的通用憑證[4-6]。而更為復(fù)雜的問題是如何實(shí)現(xiàn)跨車聯(lián)網(wǎng)域的認(rèn)證與密鑰協(xié)商，因為來自不同域的車輛在不同的服務(wù)提供商處注冊，也就意味著它們不共享一些秘密值。因此，跨域的身份認(rèn)證和密鑰協(xié)商與同一個域的身份認(rèn)證和密鑰協(xié)商有著本質(zhì)的不同。高效安全的跨域間身份認(rèn)證和密鑰協(xié)商對需要快速切換的車聯(lián)網(wǎng)來說至關(guān)重要。

1 相關(guān)工作

在跨域認(rèn)證與密鑰協(xié)商協(xié)議方面，文獻(xiàn)[7]首先考慮跨域間車輛和路邊單元(Road Side Unite，RSU)之間的認(rèn)證及車輛對道路(Vehicle-to-Road，V-2-R)認(rèn)證。通過RSU發(fā)送憑證完成下一個RSU的認(rèn)證。使用同態(tài)加密，使得用戶不用將全部秘密保存到路邊單元即可完成認(rèn)證。文獻(xiàn)[8]提出了基于口令的跨域間認(rèn)證。其方法是域中用戶分別先跟本域中的服務(wù)器協(xié)商一個密鑰，然后再由服務(wù)器分發(fā)一個具有認(rèn)證功能的憑證，實(shí)現(xiàn)跨域認(rèn)證。文獻(xiàn)[9]和文獻(xiàn)[10]提出了基于區(qū)塊鏈技術(shù)的跨域認(rèn)證，將每個域中的信息放到區(qū)塊鏈上，由區(qū)塊鏈協(xié)助完成認(rèn)證。文獻(xiàn)[11]提出基于生物特征和口令相結(jié)合的方式完成跨域認(rèn)證，將生物特征放到區(qū)塊鏈上實(shí)現(xiàn)認(rèn)證。但上述跨域認(rèn)證與密鑰協(xié)商協(xié)議都需要服務(wù)器的參與，這樣的方法雖然更為直接，但是也存在一定問題。當(dāng)同時有大量車輛提出認(rèn)證與密鑰協(xié)商請求時，若服務(wù)器無法同時處理則會造成車輛通信延遲。而這不適用于高速切換的車聯(lián)網(wǎng)環(huán)境。同時，服務(wù)器始終是半可信的，這意味著它可能獲取或猜測車輛之間的秘密，如車輛的會話密鑰。

在沒有服務(wù)器參與的跨域間認(rèn)證與密鑰協(xié)商協(xié)議方面，文獻(xiàn)[12]提出了基于身份的兩方跨域認(rèn)證協(xié)議，該跨域協(xié)議采用分發(fā)憑證的方式完成認(rèn)證；此外，該協(xié)議還考慮了臨時密鑰泄露攻擊。該協(xié)議效率較高，但是在臨時密鑰泄露的假設(shè)下，該協(xié)議可能遭受密鑰泄露偽裝攻擊。文獻(xiàn)[13]基于簽密算法實(shí)現(xiàn)了物聯(lián)網(wǎng)跨域認(rèn)證；該方法實(shí)現(xiàn)了認(rèn)證又實(shí)現(xiàn)了保密通信，但簽密的使用使得方案計算量較高。文獻(xiàn)[14]提出了基于身份的移動醫(yī)療網(wǎng)絡(luò)中的跨域認(rèn)證，同樣使用分發(fā)認(rèn)證憑證的方式完成認(rèn)證，無論從效率還是安全性都較高。

筆者提出了一種新的基于口令的跨域V-2-V認(rèn)證與密鑰協(xié)商協(xié)議。該協(xié)議僅需要服務(wù)器在注冊時參與，而無需參與認(rèn)證與密鑰協(xié)商過程，從而使得認(rèn)證與密鑰協(xié)商過程在設(shè)備端就可以完成。利用分發(fā)認(rèn)證憑證機(jī)制，使得來自不同域的車輛可以完成身份認(rèn)證和密鑰協(xié)商。結(jié)合口令和防篡改智能卡，使得車輛在認(rèn)證和密鑰協(xié)商過程更加便捷。同時，該跨域V-2-V身份認(rèn)證和密鑰協(xié)商協(xié)議同樣適用于其他同類跨域通信場景。

2 網(wǎng)絡(luò)模型及安全模型

2.1 網(wǎng)絡(luò)模型

該車輛網(wǎng)中存在3類通信實(shí)體：路邊單元RSU、注冊服務(wù)器和用戶車輛。具體通信場景如圖1所示。其中，涉及車輛和車輛之間(V-2-V)通信以及車輛與RSU之間(V-2-R)通信，在此，筆者僅討論V-2-V的通信安全。

如圖1所示，車聯(lián)網(wǎng)中存在多個不同的車聯(lián)網(wǎng)域。這里指的車聯(lián)網(wǎng)域是指在相同認(rèn)證服務(wù)器處注冊的車輛所形成的域，每個域中的車輛需要在該域中注冊后才能接入本域中的車聯(lián)網(wǎng)?？缬蜷g車輛通信則需要從各自域的服務(wù)器處領(lǐng)取認(rèn)證憑證后才能與其他域中的車輛進(jìn)行通信，即跨車聯(lián)網(wǎng)域通信。

圖1 車聯(lián)網(wǎng)通信模型

2.2 安全模型

文中安全模型基于Bellare等人提出的BPR安全模型[15]。模型中有用戶、服務(wù)器以及敵手C。用戶擁有口令和防篡改智能卡。C的能力符合Dolev-Yao模型，即攻擊者可以控制用戶的通信過程，可以竊聽、截取、阻止、偽造用戶通信。將協(xié)議運(yùn)行實(shí)例用一個預(yù)言機(jī)∏來表示。C的能力通過與一個協(xié)議模擬器運(yùn)行的多個協(xié)議實(shí)例之間的詢問體現(xiàn)。具體來講，敵手的能力可以被模擬為如下對預(yù)言機(jī)的詢問：

CORRUPT(A，PWA)：該詢問模擬口令丟失攻擊，當(dāng)收到該詢問后，A將返回自己的口令。

CORRUPT(A，smartcard)：該詢問模擬智能卡丟失攻擊，當(dāng)收到該詢問后，A將返回防篡改智能卡(注：不能獲得卡內(nèi)信息，僅模擬卡片丟失)。

其中，qsend為敵手進(jìn)行SEND詢問的次數(shù)，N為口令字典空間大小，neg(k)是一個可忽略的量。

3 車聯(lián)網(wǎng)環(huán)境下基于口令的跨域間認(rèn)證與密鑰協(xié)商協(xié)議

協(xié)議分為兩個部分，即車輛注冊和車輛間認(rèn)證與密鑰協(xié)商。協(xié)議中兩個來自不同域中的車輛首先在各自域中注冊后得到認(rèn)證憑證，然后通過認(rèn)證憑證，結(jié)合口令和智能卡機(jī)制完成認(rèn)證與密鑰協(xié)商。認(rèn)證與密鑰協(xié)商過程無需服務(wù)器參與，避免了中心服務(wù)器處理大量認(rèn)證與密鑰協(xié)商請求時所帶來的時延，使得跨域間安全通信可以快速實(shí)現(xiàn)。

3.1 系統(tǒng)建立及車輛注冊

車輛注冊：設(shè)網(wǎng)絡(luò)中有某個車聯(lián)網(wǎng)域Di，其對應(yīng)的服務(wù)器的公私鑰對為(pkDi=sDiP，skDi=sDi)。當(dāng)有用戶Ui需要向該域注冊車輛時，Ui和Di執(zhí)行如下步驟完成注冊：

(3)在收到智能卡后，Ui驗證sDi_UiP=RUi+H2(IDDi_Ui‖RUi)pkDi是否成立；若成立，則將ui加入到智能卡中；反之，則拒絕。最終用戶智能卡中信息為{IDDi_Ui，RUi，Ci，ui}。

3.2 車輛間認(rèn)證及密鑰協(xié)商

假設(shè)用戶Ui在車聯(lián)網(wǎng)域D1(對應(yīng)服務(wù)器公鑰為pkD1=sD1P，私鑰為skD1=sD1)處注冊車輛，并獲得智能卡{IDD1_Ui，RUi，Ci，ui}，用戶Uj在車聯(lián)網(wǎng)域D2(對應(yīng)服務(wù)器公鑰為pkD2=sD2P，私鑰為skD2=sD2)處注冊車輛，并獲得智能卡{IDD2_Uj，RUj，Cj，uj}。當(dāng)來自不同車聯(lián)網(wǎng)域中的兩個用戶想要通信時，車輛無需通過各自的注冊服務(wù)器，僅通過服務(wù)器頒發(fā)的認(rèn)證憑證即可完成認(rèn)證和密鑰協(xié)商。具體步驟如圖2所示。

圖2 車聯(lián)網(wǎng)跨域間認(rèn)證與密鑰協(xié)商協(xié)議

(3)收到{IDD2_Uj，RUj，Tb，D2，AuthIDD2_Uj}后，Ui計算K2=a·(RUj+H2(IDD2_Uj‖RUj)pkD2) 并驗證AuthD2_Uj=H3(K2‖Tb‖IDD2_Uj)是否成立；若不成立，則拒絕該消息；否則，Ui計算K1=sD1_Ui·Tb以及K3=a·Tb。同時計算自己的密鑰確認(rèn)消息AuthD1_Ui=H3(K1‖Tb‖IDD1_Ui)以及會話密鑰K=H4(Ta‖Tb‖IDD1_Ui‖IDD2_Uj‖K1‖K2‖K3)。將AuthD1_Ui發(fā)送給Uj的車輛。

(4)當(dāng)收到AuthD1_Ui后，Uj驗證AuthD1_Ui=H3(K1‖Ta‖IDD1_Ui)是否成立；若不成立，則拒絕該消息；否則，Uj計算出會話密鑰sk=H4(Ta‖Tb‖IDD1_Ui‖IDD2_Uj‖K1‖K2‖K3)。

4 安全性及性能分析

4.1 安全性分析

首先給出協(xié)議證明所用到的困難問題，即ECCDH(Elliptic Curve Computational Diffie-Hellman) 困難問題。設(shè)橢圓曲線E/Fq，P是橢圓曲線上的點(diǎn)組成的加法群。給定橢圓曲線上的兩個點(diǎn)aP，bP，在多項式時間內(nèi)沒有有效的算法可以計算出abP。

定理1假設(shè)ECCDH困難問題成立，在隨機(jī)預(yù)言模型下，文中提出的協(xié)議是AKE安全的。

需要說明的是，這里僅討論敵手C最有可能破解協(xié)議AKE安全的情況：①C獲得口令沒有獲得智能卡；②C獲得智能卡沒有獲得口令。

首先，說明在第一種情況下，C不能破解AKE安全。第一種情況中由于沒有智能卡，即使擁有口令也不能恢復(fù)智能卡內(nèi)的認(rèn)證憑證sDi_Ui=Ci⊕H1(IDDi_Ui‖PWUi‖ui)。因此，獲得了口令對于C破解協(xié)議安全性不能起到任何作用，也就意味著第一種情況實(shí)際等同于C沒有獲得任何用戶信息的情況下進(jìn)行協(xié)議攻擊。以下為證明過程。

安全性證明是通過敵手C和協(xié)議模擬器之間的游戲完成的。即協(xié)議模擬器初始化所有用戶信息，并運(yùn)行多個協(xié)議實(shí)例，C通過安全模型中的詢問來實(shí)現(xiàn)獲取會話密鑰的目的。協(xié)議的安全性在隨機(jī)預(yù)言模型下進(jìn)行證明，即協(xié)議中的H2、H3以及H4為隨機(jī)預(yù)言機(jī)。證明過程為首先將一個ECCDH二元組(a0P，b0P)作為挑戰(zhàn)給模擬器，模擬器將該二元組作為通信元素插入到某個具體協(xié)議實(shí)例中，然后模擬器利用與C的交互來完成是否可以破解ECCDH困難問題的挑戰(zhàn)。具體來講，首先確定Test會話，模擬器收到(a0P，b0P)后，令域D1中的某個身份為IDD1_Ui的用戶在其域中注冊后獲得的認(rèn)證憑證對應(yīng)的點(diǎn)乘為a0P，IDD1_Ui與另外一個用戶IDD2_Uj進(jìn)行某個會話時，令I(lǐng)DD2_Uj發(fā)送的隨機(jī)數(shù)Tb=b0P，則該配對會話為測試會話。為了更直觀地進(jìn)行安全性證明，將會話分為Test會話和non-Test會話進(jìn)行證明，即首先說明non-Test會話模擬正確性，再說明Test會話中C破解協(xié)議AKE安全的概率與破解ECCDH困難問題的關(guān)系，從而完成證明。

(2)IDD1_Ui用戶的協(xié)議模擬。這里說明模擬器在不知道a0的情況下如何正確模擬與IDD1_Ui相關(guān)協(xié)議。設(shè)協(xié)議一方為D1中用戶IDD1_Ui，另一方為D2中用戶IDD2_Uj。分為以下3種情況說明協(xié)議可以被正確模擬。

① 若C進(jìn)行Excute詢問，則模擬器可以正確模擬協(xié)議，因為此時模擬器初始化所有協(xié)議運(yùn)行參數(shù)。

③若C冒充IDD1_Ui對IDD2_Uj的協(xié)議實(shí)例進(jìn)行Send詢問，則模擬器同樣控制所有IDD2_Uj選擇的協(xié)議參數(shù)(其認(rèn)證憑證sIDD2_Uj以及隨機(jī)數(shù)Tb)，因此協(xié)議被正確模擬。

Test會話的模擬：如前所述，若C選擇Test會話進(jìn)行詢問(即IDD1_Ui的某個會話，其中，IDD1_Ui的認(rèn)證憑證對應(yīng)的點(diǎn)乘為a0P)，則設(shè)其對應(yīng)的另一方用戶為IDD2_Uj，令I(lǐng)DD2_Uj在本次協(xié)議實(shí)例所發(fā)送的隨機(jī)數(shù)Tb=b0P。模擬器在敵手C進(jìn)行測試會話詢問后返回一個隨機(jī)數(shù)給C，C需要返回該隨機(jī)數(shù)是真正的隨機(jī)數(shù)還是協(xié)議所產(chǎn)生的密鑰。

第二種情況中C獲得智能卡沒有獲得口令。由于協(xié)議中用到的智能卡為防篡改智能卡，因此C獲得智能卡后不能獲得任何內(nèi)部信息。C僅可以通過猜測口令的方式計算出智能卡中的認(rèn)證憑即sDi_Ui=Ci⊕H1(IDDi_Ui‖PWUi‖ui)。而從上述第一種情況可以看出，若計算出sDi_Ui，則協(xié)議的AKE安全被破壞。因此，在該情況下C破解協(xié)議AKE安全的概率即為C正確猜測口令的概率，即O(qsend)/N。其中，qsend為敵手進(jìn)行SEND詢問的次數(shù)，N為口令字典空間大小。

4.2 性能分析

筆者所考慮的認(rèn)證與密鑰協(xié)商場景為跨域場景，表1中列出了與最新的跨域間認(rèn)證與密鑰協(xié)商協(xié)議的性能對比(可用于跨車聯(lián)網(wǎng)域場景的認(rèn)證與密鑰協(xié)商協(xié)議)。

表1 跨域認(rèn)證與密鑰協(xié)商協(xié)議對比

實(shí)驗所用環(huán)境為：英特爾i7處理器，3 GHz主頻，8 GB內(nèi)存，Win10操作系統(tǒng)。其中，用戶身份ID長度為32 bit；車聯(lián)網(wǎng)域名為32 bit；橢圓曲線點(diǎn)為326 bit；橢圓曲線數(shù)字簽名160(選取SHA1-ECDSA)；Hash函數(shù)為128 bit；隨機(jī)數(shù)為：64 bit。

這里僅討論運(yùn)算時間較高的運(yùn)算操作，如雙線性運(yùn)算、指數(shù)運(yùn)算以及橢圓曲線點(diǎn)乘運(yùn)算。這些運(yùn)算的運(yùn)算時間要遠(yuǎn)高于橢圓曲線加法運(yùn)算以及Hash運(yùn)算等。文中從以下3方面說明協(xié)議的優(yōu)勢：

(1) 從表1中可以看出文中認(rèn)證與密鑰協(xié)商協(xié)議僅使用少量橢圓曲線點(diǎn)乘運(yùn)算，因此該協(xié)議適用于輕量級物聯(lián)網(wǎng)設(shè)備。

(2) 同已有的有服務(wù)器參與的跨域間認(rèn)證與密鑰協(xié)商協(xié)議相比，所提協(xié)議沒有服務(wù)器參與，這使得車輛之間通信不受服務(wù)器性能的限制，避免了大量請求到達(dá)服務(wù)器時的時延。同時，若將服務(wù)器看成云中心，則意味著車輛間認(rèn)證和密鑰協(xié)商可以在設(shè)備端完成，這為邊緣計算提供了條件。

(3) 同使用公鑰證書的跨域V-2-V認(rèn)證與密鑰協(xié)商協(xié)議以及基于身份密碼的認(rèn)證與密鑰協(xié)商協(xié)議相比，所提協(xié)議使用口令及智能卡。對用戶來說更加便捷，同時省去了復(fù)雜的公鑰證書管理問題，尤其是證書撤銷列表的管理與維護(hù)。

4.3 創(chuàng)新性及不足

跨域間認(rèn)證與密鑰協(xié)商協(xié)議是多域物聯(lián)網(wǎng)所必須解決的問題。筆者所提出的跨域認(rèn)證與密鑰協(xié)商協(xié)議具有以下兩方面創(chuàng)新：① 使用更簡便并且高效的方式完成跨車聯(lián)網(wǎng)域間的V-2-V認(rèn)證與密鑰協(xié)商協(xié)議，使得車輛之間通信切換可以快速完成；② 將口令和智能卡的認(rèn)證方式引入跨域間認(rèn)證，提出了在無服務(wù)器參與的基于口令的跨域間認(rèn)證與密鑰協(xié)商協(xié)議。

本協(xié)議雖然在性能及應(yīng)用方面有一定創(chuàng)新，但仍存在以下問題需進(jìn)一步研究：① 文中所用智能卡為防篡改智能卡，其價格高于普通智能卡，能否使用普通智能卡結(jié)合口令完成跨域間認(rèn)證與密鑰協(xié)商，仍然是一個需要問題。② 車聯(lián)網(wǎng)中隱私保護(hù)尤為重要，文中方案沒有考慮身份隱私問題。雖然可以使用假名的方式隱藏真正的身份，但是仍存在可關(guān)聯(lián)性的可能性。如何采用更為簡便的方式實(shí)現(xiàn)用戶身份的隱私保護(hù)，仍然是需要解決的問題。

5 結(jié)束語

筆者對跨車聯(lián)網(wǎng)環(huán)境下的認(rèn)證與密鑰協(xié)商協(xié)議進(jìn)行了研究，提出了無服務(wù)器參與的跨域間認(rèn)證與密鑰協(xié)商協(xié)議，從而避免了服務(wù)器因大量計算可能造成的通信時延。使用口令和防篡改智能卡，避免使用公鑰基礎(chǔ)設(shè)施，使得用戶可以方便地完成認(rèn)證。在ECCDH困難問題下證明了協(xié)議的安全性。同已有的相關(guān)跨域認(rèn)證與密鑰協(xié)商協(xié)議相比，本協(xié)議可以看成一個輕量級的適用于更多跨域場景的認(rèn)證與密鑰協(xié)商協(xié)議。