張琳娟 王利利 靳 璐 高德云

1(國網(wǎng)河南省電力公司經(jīng)濟(jì)技術(shù)研究院 河南 鄭州 450052) 2(北京交通大學(xué)電子信息工程學(xué)院 北京 100044)

0 引 言

隨著電動汽車充電設(shè)施的大規(guī)模部署和車聯(lián)網(wǎng)技術(shù)的發(fā)展，電動汽車用戶的充電服務(wù)需求也在不斷提升[1]。目前充電車輛用戶接入網(wǎng)絡(luò)的方式以CAN總線為主，這種通信方式信息承載能力低，無法支撐智能化的充電服務(wù)，信息流與能量流高度耦合的傳輸機制極大地影響了電動汽車用戶的充電體驗[2]。

V2X車聯(lián)網(wǎng)無線通信技術(shù)為信息流與能量流的解耦合提供了解決方案[3]，車輛用戶通過LTE蜂窩網(wǎng)實現(xiàn)網(wǎng)絡(luò)接入，從而賦予車輛用戶與電動汽車服務(wù)運營商的遠(yuǎn)程通信功能。然而在為車輛用戶提供無線接入能力的同時，開放的無線信道環(huán)境也給電動汽車充換電網(wǎng)絡(luò)帶來了安全方面的挑戰(zhàn)[4]。惡意節(jié)點可以通過開放的無線網(wǎng)絡(luò)竊取用戶隱私數(shù)據(jù)并偽造用戶信息，甚至可以對電動汽車充換電網(wǎng)絡(luò)進(jìn)行攻擊，從而影響其他用戶的正常服務(wù)。

V2X安全系統(tǒng)設(shè)計和開發(fā)一直是國內(nèi)外許多項目的研究重點。SafeSpot[5]設(shè)計了用于V2X通信的動態(tài)協(xié)作自組織網(wǎng)絡(luò)和本地化機制。PRECIOSA[6]分析了車輛合作信息傳輸中的隱私問題，并提出了V2X通信的隱私感知體系架構(gòu)。EVITA[7]提出了一種基于安全的車載通信系統(tǒng)，保護(hù)車輛的敏感數(shù)據(jù)，防止惡意攻擊。OVERSEE[8]開發(fā)了基于V2X安全應(yīng)用的開放式車載平臺，在獨立應(yīng)用之間實現(xiàn)高度隔離。針對電動汽車智能充電系統(tǒng)的應(yīng)用場景，基于群簽名的群組認(rèn)證方案可以實現(xiàn)用戶在充電過程中的身份認(rèn)證以及數(shù)據(jù)傳輸?shù)陌踩訹9]。

但是，在滿足匿名隱私保護(hù)需求的同時，獲取和分析用戶行為[10]以及追蹤非法逃避監(jiān)管與計費的行為將變得困難。為電動汽車充換電網(wǎng)絡(luò)引入V2X車聯(lián)網(wǎng)無線通信技術(shù)的同時，相關(guān)安全認(rèn)證機制的部署也尤為重要。本文將設(shè)計可靠的認(rèn)證機制來保證電動汽車充電應(yīng)用場景下的車聯(lián)網(wǎng)通信安全。該機制通過周期性密鑰和臨時ID等憑證的映射存儲和管理實現(xiàn)可追蹤和安全隱私保護(hù)兼具的強隱私保護(hù)能力，仿真結(jié)果表明在超過50個車輛用戶同時接入和數(shù)據(jù)庫映射條目到達(dá)6 000時，認(rèn)證時延也在100 ms以內(nèi)，滿足安全通信的低時延需求。

1 充電系統(tǒng)的LTE-V2X安全架構(gòu)

受益于長期演進(jìn)(Long Term Evolution，LTE)的全球部署以及其驅(qū)動的技術(shù)進(jìn)步，LTE-V2X[11]可以通過提供更遠(yuǎn)的通信距離、更高的吞吐量、高度精確的定位和超低的時延、性能更佳的擁塞控制，在復(fù)雜的電動汽車充換電網(wǎng)絡(luò)環(huán)境中支持更廣泛、更豐富的服務(wù)[12]。

未來，預(yù)計絕大多數(shù)車輛都將具備嵌入式的蜂窩連接功能，實現(xiàn)與充換電基礎(chǔ)設(shè)施V2X通信，降低部署成本，提高經(jīng)濟(jì)效益[13]。

基于LTE-V2X，設(shè)計了如圖1所示的電動汽車充換電系統(tǒng)安全架構(gòu)。LTE-V2X技術(shù)包括蜂窩通信(LTE-Uu)和直接通信(PC5)兩種工作模式。架構(gòu)中V2X通信主要基于LTE-Uu通信方式。

圖1 系統(tǒng)安全架構(gòu)

在安全架構(gòu)中，V2X控制功能模塊(V2X Control Function，VCF)主要完成通信參數(shù)配置、周期性密鑰和票據(jù)的發(fā)放等功能；臨時ID管理功能模塊(Temporary ID Management Function，TIMF)完成V-UE的V2X安全方法檢測和匿名移動用戶ID(Pseudonymous Mobile Subscriber ID，PMSI)臨時數(shù)據(jù)庫管理查詢等功能；KMS和CA完成PMSI及其對應(yīng)密鑰對的發(fā)放和存儲映射等功能。

其中VCF和TIMF均為邏輯模塊，通過電動汽車充換電系統(tǒng)服務(wù)運營商部署的智能網(wǎng)關(guān)(Intelligent Gateway，IG)實體完成對車載終端(Vehicle-User Equipment，V-UE)的服務(wù)授權(quán)和PMSI管理等功能。

接下來將介紹安全架構(gòu)涉及的主要接口。

V1：TIMF和VCF為邏輯功能，部署為同一個網(wǎng)元，共享V1接口。車輛用戶通過此接口從VCF獲得服務(wù)授權(quán)和參數(shù)配置。

V2：TIMF和V2X CA/KMS之間的接口。TIMF從V2X CA/KMS獲取數(shù)字證書、注冊密鑰對。充換電系統(tǒng)服務(wù)運營商可以選擇部署于遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)中心(Internet Data Center，IDC)的V2X密鑰管理系統(tǒng)(Key Management System，KMS)和V2X證書頒發(fā)機構(gòu)(Certificate Authority，CA)作為認(rèn)證過程中的可信第三方。由于用于登記和響應(yīng)的證書和密鑰對須具有對應(yīng)關(guān)系，故接下來的認(rèn)證機制設(shè)計中將不對CA和KMS的功能作區(qū)分。

V3：TIMF和VCF之間的接口。TIMF將認(rèn)證請求轉(zhuǎn)發(fā)給VCF，并且只有在獲得VCF認(rèn)證成功的結(jié)果后，才會響應(yīng)來自V-UE的請求。

2 認(rèn)證機制的設(shè)計

本節(jié)首先根據(jù)充換電服務(wù)中可能遇到的安全威脅對系統(tǒng)的安全需求進(jìn)行分析；然后針對安全需求設(shè)計具備強隱私保護(hù)能力的匿名認(rèn)證方案，并介紹認(rèn)證方案實現(xiàn)的整體流程；最后結(jié)合應(yīng)用場景對方案的安全性進(jìn)行分析與論證。

2.1 安全需求分析

在具體部署中，電動汽車以及充電基礎(chǔ)設(shè)施與電動汽車充電服務(wù)運營中心使用蜂窩網(wǎng)絡(luò)連接，充電服務(wù)運營中心采用自動化智能方式來采集和分析電動汽車用戶的充電行為信息并實時調(diào)整策略。但是，基于開放性的信道和大量接入的節(jié)點，這種連接方式可能會使電動汽車充電網(wǎng)絡(luò)面臨安全威脅。一方面，非授權(quán)用戶通過盜用他人充電服務(wù)賬戶進(jìn)行充電，給其他電動汽車用戶帶來財產(chǎn)損失；另一方面，即使在高速動態(tài)的車聯(lián)網(wǎng)環(huán)境下實現(xiàn)強大的用戶隱私保護(hù)技術(shù)，也會給充電運營商采集和分析用戶充電行為數(shù)據(jù)造成不便，同時惡意用戶可能利用其匿名性逃避充電費用的支付和相關(guān)監(jiān)管。

針對上述安全威脅，認(rèn)證機制的設(shè)計應(yīng)從身份隱私、通信的機密性/隱私性保護(hù)、信息的完整性/實時性保護(hù)出發(fā)來解決這些安全問題。傳統(tǒng)的安全認(rèn)證技術(shù)可以滿足隱私性、可鑒別、不可否認(rèn)和完整性等需求[14]?；谝陨贤{，認(rèn)證機制的設(shè)計還應(yīng)滿足如下安全需求：

1) 可認(rèn)證。防止非法攻擊者入侵的基本要求，用戶在獲得服務(wù)之前必須進(jìn)行服務(wù)授權(quán)認(rèn)證。這樣通信雙方均可判斷V2X消息來源的可靠性。

2) 匿名性。接收者無法通過接收到的消息推斷得出發(fā)送者的真實身份。

3) 可追蹤。當(dāng)車輛用戶出現(xiàn)逃避監(jiān)管和計費等非法行為時，能夠追蹤到用戶的真實身份。

將以上安全需求考慮到認(rèn)證機制的設(shè)計中，在進(jìn)行V2X通信之前就可以最大程度避免通信中可能遇到的安全方面的威脅。

2.2 具備強隱私保護(hù)能力的匿名認(rèn)證方案

認(rèn)證方案主要包括三個過程：接入充電網(wǎng)絡(luò)的車輛用戶的V2X服務(wù)授權(quán)過程，匿名證書及對應(yīng)密鑰對的分發(fā)過程，基于隱私性保護(hù)的認(rèn)證過程。

2.2.1服務(wù)授權(quán)過程

車輛用戶獲得服務(wù)授權(quán)是認(rèn)證的前提，具體過程如圖2所示。V-UE出廠后得到一個攜帶其全球唯一標(biāo)識(Global unique identifier，GUID)的數(shù)字證書和密鑰對，用戶攜帶其GUID向IG發(fā)出請求獲得服務(wù)授權(quán)。其中，TIMF模塊和V2X CA/KMS為單獨的邏輯實體，以允許IG設(shè)置無線電參數(shù)和第三方。具體服務(wù)授權(quán)過程如圖2所示。

圖2 服務(wù)授權(quán)

步驟如下：

1) UE從VCF模塊獲取通信參數(shù)。該過程中，UE獲得由運營商和附屬服務(wù)提供商提供的服務(wù)列表，并且被告知該服務(wù)是否需要承載層安全性，同時獲得TIMF模塊以及V2X CA/KMS的地址。

2) UE向TIMF發(fā)送服務(wù)授權(quán)和安全憑證的請求。消息攜帶UE ID、服務(wù)ID和支持的安全方法集。

3) TIMF模塊根據(jù)UE提供的方法集來檢查其是否具備V2X安全能力。

4) 如果步驟3)的檢查對于服務(wù)ID是成功的，TIMF模塊與VCF和CA/KMS共同完成服務(wù)ID授權(quán)確認(rèn)和安全憑證生成，并將Response消息返回給UE，UE獲得服務(wù)授權(quán)和用于身份認(rèn)證和加密的安全憑證。如果檢查失敗，則直接轉(zhuǎn)到步驟5)。

5) UE不支持所需的算法，TIMF模塊將返回算法支持失敗的指示符。

2.2.2(PMSI，KPMSI)分發(fā)過程

認(rèn)證機構(gòu)完成對已授權(quán)用戶的匿名證書及對應(yīng)密鑰的分發(fā)，具體過程如圖3所示。為防止惡意用戶竊取和偽造身份信息，授權(quán)用戶需隱藏GUID，使用匿名證書頒發(fā)機構(gòu)(Pseudonym Certificate Authority，PCA)頒發(fā)的PMSI進(jìn)行通信，其對稱密鑰對KPMSI由KMS發(fā)放?；陔[私性與可追蹤性保護(hù)的折中考慮，本地IG和遠(yuǎn)程IDC分別管理車輛用戶的部分信息，這將通過周期性密鑰Kperiod和票據(jù)實現(xiàn)。

圖3 (PMSI，KPMSI)分發(fā)過程

具體分發(fā)過程如下：

1) UE向VCF發(fā)送獲取周期性密鑰Kperiod和票據(jù)的請求。消息中攜帶包含其GUID信息的安全憑證。

2) VCF驗證UE的憑證后發(fā)送周期性密鑰Kperiod、票據(jù)和合法的KMS列表(KMS_ID，KMS_Pub)。周期性密鑰Kperiod為非對稱密鑰。票據(jù)中包含隨機ID，且與UE的GUID無關(guān)聯(lián)，更新周期與Kperiod相同。VCF使用私鑰Ks對票據(jù)內(nèi)容進(jìn)行數(shù)字簽名。

3) VCF向CA/KMS發(fā)放Kperiod公鑰加密的(PMSI，KPMSI)巨型池和用于驗證票據(jù)簽名的VCF公鑰Kp。Kperiod使得匿名ID和密鑰對信息對CA/KMS保密。

4) UE向從VCF提供的列表中選出的CA/KMS發(fā)送通信密鑰請求。消息攜帶VCF的Ks簽名的票據(jù)。

5) CA/KMS使用VCF公鑰Kp驗證票據(jù)，確保請求的真實性和可靠性。

6) CA/KMS向UE返回響應(yīng)消息，從加密的巨型池中提取子池(PMSI，KPMSI)，簽名后發(fā)送。與此同時，將票據(jù)和發(fā)送的匿名密鑰對綁定，存儲映射，并向臨時ID管理功能發(fā)送消息記錄消耗。

7) TIMF模塊綁定消耗的PMSI子池、KMS_ID、KMS_Pub和對應(yīng)的TIME(PMSI生命周期的開始時間)形成臨時數(shù)據(jù)庫，可以用于識別非法消息的發(fā)送者。數(shù)據(jù)庫的保存期限取決于充電網(wǎng)絡(luò)運營商的政策。

8) UE使用KMS公鑰驗證簽名，確保消息來源為KMS。然后使用Kperiod私鑰將(PMSI，KPMSI)解密。

2.2.3認(rèn)證過程

獲取匿名的車輛和充換電網(wǎng)絡(luò)服務(wù)器之間開始進(jìn)行認(rèn)證通信，如圖4所示?；诠€密碼體系的改進(jìn)[15]，實現(xiàn)通信的隱私性和完整性保護(hù)；在消息中增加時間標(biāo)記，防止重放攻擊。KPMSI包含一個非對稱密鑰對，即秘密簽名密鑰(Secret Signing Key，SSK)和公共驗證令牌(Public Validation Token，PVT)，其中，SSK對外保密；PVT對外公開。

圖4 認(rèn)證通信過程

具體認(rèn)證過程如下：

1) UE向服務(wù)器發(fā)送通信請求。攜帶UE獲取KPMSI的源KMS_ID和KMS簽名的PVT_UE。

2) Server根據(jù)收到的KMS_ID查詢KMS_Pub，驗證UE的PVT可靠性。驗證完畢后攜帶公鑰Server_Pub向UE返回響應(yīng)。

3) UE發(fā)送Server_Pub加密的報文。報文內(nèi)容包含：含SSK_UE簽名的消息、簽名時間t；密鑰對KPMSI(SSK，PVT)的生命周期開始時間TIME。

4) Server收到消息后，對消息內(nèi)容進(jìn)行驗證:

(1) 使用Server_Pri解密消息。

(2) 使用PVT_UE驗證消息的完整性。

(3) 驗證t：設(shè)t′收到消息，要求0 ms時間窗口，則為重放消息，若t′-t<0，則為無效消息。

(4) 驗證TIME，檢查UE的SSK、PVT是否失效。

經(jīng)過步驟4)的驗證后，消息被送至應(yīng)用程序處理，否則請求重傳或丟棄。

2.3 安全能力分析

認(rèn)證方案的強隱私保護(hù)能力體現(xiàn)在既可以防止非法竊取和盜用用戶信息，又可以在用戶逃避監(jiān)管和計費后定位其GUID。下面將結(jié)合具體場景分析和論證機制的安全性。

場景一：非授權(quán)用戶B通過竊聽、截獲得到了用戶A正在使用的(PMSI，KPMSI)，企圖盜用A的賬戶請求充電服務(wù)。由于(PMSI，KPMSI)的生命周期只有幾分鐘，到期后需要使用含VCF的Ks簽名的票據(jù)向CA/KMS請求新的匿名池，且獲取票據(jù)需要使用包含GUID的安全憑證。故用戶B無法繼續(xù)盜用A的賬戶。

場景二：非法用戶C企圖通過黑客行為攻擊充電站智能網(wǎng)關(guān)IG，并盜取充電用戶的賬戶信息。IG中的TIMF綁定(消耗的PMSI對，KMS_ID，KMS_Pub，TIME)形成臨時數(shù)據(jù)庫，一方面，為節(jié)省資源，該數(shù)據(jù)庫根據(jù)運營商的政策可以定期銷毀和更新，用戶C竊取到的可能只是某段時間內(nèi)的數(shù)據(jù)；另一方面，由于PMSI對的分發(fā)通過位于IDC的KMS/CA實現(xiàn)，用戶C即使獲取到完整數(shù)據(jù)庫，也無法定位消耗該PMSI的用戶的GUID，獲取的賬戶信息無效。

場景三：非法用戶D企圖通過黑客行為攻擊充換電服務(wù)運營數(shù)據(jù)中心IDC，分析用戶的實時行為。但是由于IDC只存儲了票據(jù)和(PMSI，KPMSI)子池的映射，且票據(jù)只是用來檢查用戶是否經(jīng)過VCF的驗證，并不包含用戶的GUID信息，(PMSI，KPMSI)子池是由VCF的Kperiod加密。因此用戶D無法獲取任何有效的信息。

場景四：使用PMSI進(jìn)行通信的用戶E在充電服務(wù)完畢后利用匿名的定期更新和反單側(cè)追蹤機制逃避計費。IG的TIMF在臨時數(shù)據(jù)庫中根據(jù)其PMSI查詢對應(yīng)的KMS_ID，然后攜帶PMSI向IDC中對應(yīng)的KMS發(fā)起追蹤請求；KMS查詢票據(jù)和(PMSI，KPMSI)子池的映射，找到用戶E對應(yīng)的票據(jù)并將其返回IG的VCF；VCF根據(jù)票據(jù)中的隨機ID匹配到用戶E的安全憑證，根據(jù)其安全憑證定位其GUID，實現(xiàn)對用戶E的追蹤。

場景五：電動汽車充電站服務(wù)運營商可以根據(jù)綜合分析邊界智能網(wǎng)關(guān)和遠(yuǎn)程數(shù)據(jù)中心的信息，實現(xiàn)對充電用戶行為的數(shù)據(jù)分析，根據(jù)分析結(jié)果進(jìn)行電價策略的實時調(diào)整和充電站的部署規(guī)劃。

實際部署中，充換電網(wǎng)絡(luò)受到惡意攻擊的場景均基于以上情況及其擴展，因此機制的安全性得以驗證：在保護(hù)車輛用戶身份隱私性的同時，也可以在有追責(zé)需求時實現(xiàn)用戶GUID的追蹤和定位。

3 仿真驗證與性能分析

3.1 模擬場景的設(shè)計與仿真

認(rèn)證方案的仿真是在NS-3(Network Simulator-version3)仿真平臺[16]上完成的。根據(jù)LTE-V2X架構(gòu)下的電動汽車充換電系統(tǒng)具體場景，繪制網(wǎng)絡(luò)拓?fù)?，并編寫模擬程序創(chuàng)建所需的場景模型。網(wǎng)絡(luò)拓?fù)淙鐖D5所示。

圖5 電動汽車充換電網(wǎng)絡(luò)拓?fù)湓O(shè)計

仿真結(jié)果的拓?fù)浣缑嫒鐖D6所示。節(jié)點設(shè)備之間可以進(jìn)行正常的業(yè)務(wù)通信，拓?fù)鋱鼍按罱ǔ晒Α?/p>

圖6 仿真拓?fù)涞膶崿F(xiàn)

3.2 仿真結(jié)果分析

認(rèn)證機制的仿真實現(xiàn)了預(yù)期功能，模擬場景中的每個車輛用戶最終都擁有一個GUID和PMSI。CA/KMS和VCF各自維護(hù)一個數(shù)據(jù)庫，前者維護(hù)票據(jù)和(PMSI，KPMSI)的映射關(guān)系，后者維護(hù)用戶GUID、Kperiod和票據(jù)的映射關(guān)系，追蹤功能可以通過獲得授權(quán)后匹配兩個數(shù)據(jù)庫的內(nèi)容追蹤到用戶。

由于車聯(lián)網(wǎng)環(huán)境具有時間敏感特性，認(rèn)證機制的復(fù)雜度和時延互相制約，因此對認(rèn)證機制進(jìn)行時延性能分析，分別研究認(rèn)證時長對同時接入的用戶數(shù)量和匿名數(shù)據(jù)庫大小的敏感度。

從圖7可以看出，在其他因素相同時，隨著車輛用戶數(shù)量的增加，每個用戶的平均認(rèn)證時長也在增加。數(shù)據(jù)擬合的結(jié)果表明兩者之間的關(guān)系更接近多項式曲線。仿真結(jié)果說明，隨著車輛用戶數(shù)量的增加，用戶的平均認(rèn)證時間線性增加。這說明認(rèn)證系統(tǒng)的時延對接入節(jié)點的數(shù)量有一定敏感性。具體原因如下：(1) 由于模擬場景中只部署了一個基站，多個用戶同時請求，會造成可能的資源沖突導(dǎo)致較大排隊時延；(2) 隨著發(fā)起請求的增加，IG節(jié)點和IDC節(jié)點的響應(yīng)時間會變長，從PMSI資源池中提取條目并分發(fā)的時延也相應(yīng)增加。

圖7 平均認(rèn)證時間與車輛用戶數(shù)量的關(guān)系

圖8顯示，在數(shù)據(jù)庫規(guī)模增長時，用戶的認(rèn)證時間呈現(xiàn)緩慢增長的趨勢，數(shù)據(jù)擬合的結(jié)果表明兩者之間的關(guān)系更接近指數(shù)曲線，隨數(shù)據(jù)庫條目增長，用戶的認(rèn)證時間增長趨勢逐漸減緩。數(shù)據(jù)庫條目從100到6 400的變化對應(yīng)認(rèn)證時長的變化僅為20 ms，因此可以說明認(rèn)證機構(gòu)維護(hù)的數(shù)據(jù)庫大小并不會對認(rèn)證時延造成影響。

圖8 認(rèn)證時間與數(shù)據(jù)庫大小的關(guān)系

4 結(jié) 語

本文在LTE-V2X架構(gòu)的基礎(chǔ)上對電動汽車充換電網(wǎng)絡(luò)中的安全隱私保護(hù)的需求進(jìn)行具體分析，提出具備強隱私保護(hù)能力的匿名認(rèn)證機制，同時實現(xiàn)車輛用戶的真實身份隱私保護(hù)和可追蹤?；贜S-3網(wǎng)絡(luò)仿真平臺，搭建拓?fù)洳φJ(rèn)證方案進(jìn)行仿真，匿名分發(fā)和多方問責(zé)功能的同時實現(xiàn)說明該認(rèn)證機制具有實際部署能力和可擴展性，滿足電動汽車用戶充換電通信業(yè)務(wù)的需求。