尚大偉，龔元明

（201620 上海市 上海工程技術(shù)大學(xué) 機(jī)械與汽車工程學(xué)院）

0 引言

通信技術(shù)的革新推動(dòng)了車聯(lián)網(wǎng)產(chǎn)業(yè)的快速進(jìn)步，汽車由代步工具變成了娛樂休閑、快捷辦公等兼顧生活與工作的移動(dòng)載體。但隨著車聯(lián)網(wǎng)的業(yè)務(wù)場景的不斷豐富，信息篡改、隱私泄漏等問題層出不窮[1]，給汽車的安全性帶來極大的挑戰(zhàn)，主要體現(xiàn)在以下幾個(gè)方面：（1）相比于傳統(tǒng)的封閉式的車內(nèi)網(wǎng)絡(luò)，在車聯(lián)網(wǎng)中，車輛單元要不斷地與車內(nèi)網(wǎng)絡(luò)、車際網(wǎng)絡(luò)交換數(shù)據(jù)，在外部網(wǎng)絡(luò)的接入下，難以保證車內(nèi)網(wǎng)絡(luò)的安全性；（2）5G 技術(shù)融入車聯(lián)網(wǎng)中無疑會(huì)提升消息處理速率，但是根據(jù)現(xiàn)代密碼學(xué)的加密算法，強(qiáng)加密不僅要求硬件設(shè)備具有很高的處理能力，同時(shí)還耗費(fèi)較多時(shí)間，這就為安全加密算法提出了更高的要求；（3）在車聯(lián)網(wǎng)環(huán)境中，各智能設(shè)備都實(shí)時(shí)進(jìn)行數(shù)據(jù)傳輸，甚至面臨來自攻擊方的惡意攻擊等，如何保證信息的準(zhǔn)確性而不被篡改或竊聽，為車輛的信息安全帶來了巨大挑戰(zhàn)。

針對以上問題，本文構(gòu)建了車聯(lián)網(wǎng)系統(tǒng)安全框架，在此基礎(chǔ)上，分析對比RSA、ECC、DSA 等算法在密鑰破解時(shí)間、密鑰長度等方面的優(yōu)劣，結(jié)合PKI 認(rèn)證體系，提出了基于ECC 的PKI 身份認(rèn)證方式，并對其實(shí)現(xiàn)過程做了詳細(xì)闡述，制定了身份認(rèn)證傳輸協(xié)議，分析了系統(tǒng)的安全性，并用iperf工具驗(yàn)證了系統(tǒng)傳輸?shù)臅r(shí)效性。

1 車聯(lián)網(wǎng)系統(tǒng)安全框架

為有效應(yīng)對未來車聯(lián)網(wǎng)面臨的安全問題，包括3GPP、5GAA 在內(nèi)的多家國際組織都在針對NR V2X 做一些安全相關(guān)的課題研究，并且已提出許多建設(shè)性解決方案，其中在3GPP TR33.836 中首次闡述了當(dāng)前國際認(rèn)可度較高的NR V2X 安全問題的解決方案，提出NR V2X 將支持網(wǎng)絡(luò)層安全問題解決方案，以期在網(wǎng)絡(luò)層上解決信息安全問題，保證通訊的安全[2]。

如圖1 所示，5G 網(wǎng)絡(luò)安全是車聯(lián)網(wǎng)系統(tǒng)中至關(guān)重要的部分，為保證車聯(lián)網(wǎng)系統(tǒng)的安全性，可以將5G 車聯(lián)網(wǎng)系統(tǒng)分為安全感知層、安全網(wǎng)絡(luò)層和安全應(yīng)用層[3]。其中，安全感知層主要負(fù)責(zé)與路側(cè)單元（RSU）相關(guān)的道路設(shè)備、定位設(shè)備或ETC等設(shè)備的感知功能，通過道路感知，實(shí)現(xiàn)地圖定位，車與車、車與人、車與RSU 的距離感知，ETC 自動(dòng)收費(fèi)等。安全網(wǎng)絡(luò)層主要通過當(dāng)前主流的蜂窩網(wǎng)絡(luò)/WLAN/衛(wèi)星網(wǎng)絡(luò)結(jié)合毫米波、Device-to-Device通信等技術(shù)實(shí)現(xiàn)數(shù)據(jù)通信的安全傳輸。安全應(yīng)用層則主要是對人、車、路之間傳遞的大量數(shù)據(jù)進(jìn)行安全分析與決策，并對其進(jìn)行安全傳輸及存儲(chǔ)，保障行車過程中車輛通信數(shù)據(jù)的安全性和行車安全性。

圖1 5G 車聯(lián)網(wǎng)安全框架Fig.1 5G Internet of Vehicles security framework

車載硬件平臺(tái)作為將封閉式的車內(nèi)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)和設(shè)備緊密連接的實(shí)體，在數(shù)據(jù)加密和安全認(rèn)證方面扮演著十分重要的角色。任何信息傳輸中不安全的因素都將給車輛節(jié)點(diǎn)帶來滅頂之災(zāi)。DOUCEUR[4]提出Sybil 攻擊，由于身份與實(shí)體之間缺少一個(gè)身份識別認(rèn)證，一個(gè)虛假身份可以創(chuàng)造出大量的虛假身份，利用多個(gè)虛假身份對系統(tǒng)攻擊進(jìn)而控制整個(gè)系統(tǒng)；THING[5]等提出的In Vehicle Spoofing 攻擊，是指攻擊者通過利用非法組件替代車內(nèi)組件從而達(dá)到惡意操控駕駛的目的，其根本原因就是相互通信的組件之間缺乏信任認(rèn)證；黑客曾用自己研發(fā)的無線電設(shè)備，破解汽車和車庫門廠商間使用的無線解鎖碼，輕松截取密碼隨意打開門鎖[6]。

針對車聯(lián)網(wǎng)發(fā)展面臨的諸多安全威脅，許多學(xué)者為解決安全加密難題提出了許多針對車聯(lián)網(wǎng)安全的解決方案。其中利用公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）技術(shù)[7]的解決方案得到了普遍認(rèn)同和支持，下文對PKI 體系進(jìn)行論述。

2 基于PKI 體系通信安全

2.1 PKI 體系安全原理

為保證車聯(lián)網(wǎng)中各節(jié)點(diǎn)之間的通信安全，常采用PKI 機(jī)制來保證通信安全。兩個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行傳輸數(shù)據(jù)之前，需先進(jìn)行身份認(rèn)證，身份確認(rèn)后方可進(jìn)行信息通信。這個(gè)身份認(rèn)證是通過證書頒發(fā)機(jī)構(gòu)（Cerlificale Authority，CA）實(shí)現(xiàn)的，車輛通信的原理如圖2 所示。CA 公布自身的相關(guān)信息，車輛A 和車輛B 之間要建立通信時(shí)，車輛A 先向CA請求身份認(rèn)證，CA 對車輛A 進(jìn)行身份認(rèn)證，認(rèn)證通過后將車輛A 的公鑰、身份信息、數(shù)字證書等打包成簽名消息發(fā)送給車輛A，車輛A 將簽名消息、公鑰證書發(fā)送給車輛B，車輛B 在接收到消息后，將證書發(fā)送給CA，驗(yàn)證簽名消息的有效性，驗(yàn)證通過則二者建立通信。

圖2 基于PKI 體系的車輛通信安全原理Fig.2 Vehicle communication security principle based on PKI system

2.2 CA 身份認(rèn)證

PKI 體系的核心就是身份驗(yàn)證，這是PKI 體系安全的重要保障。車輛網(wǎng)中的智能單元（車輛單元、RSU 及移動(dòng)終端等）在進(jìn)行數(shù)據(jù)交互時(shí)，首先要進(jìn)行身份認(rèn)證，確保通信雙方身份的真實(shí)性。圖3以車輛單元接入為例，詳述其通信流程。

圖3 PKI 通信流程Fig.3 PKI communication flow

2.3 數(shù)字簽名驗(yàn)簽

進(jìn)行身份認(rèn)證時(shí)，數(shù)字簽名是消息安全不被竊取的重要保障。當(dāng)車輛單元發(fā)送消息時(shí)，為保證消息的安全性，加快消息的加密解密速度，縮短時(shí)間開銷，可采用散列函數(shù)Hash 對消息進(jìn)行摘要，并用自己的私鑰對摘要加密，然后將加密后的密文連同散列函數(shù)生成簽名消息發(fā)送給接收方。接收方在接收到簽名消息后，用發(fā)送方的公鑰對密鑰解密，同時(shí)將接收到的內(nèi)容用消息包中的Hash 函數(shù)進(jìn)行摘要，對二者的摘要進(jìn)行比對，若一致則證明消息源自接收方。具體流程如圖4 所示。

圖4 數(shù)字簽名驗(yàn)簽流程圖Fig.4 Digital signature verification flow chart

2.4 非對稱加密算法

加密算法在網(wǎng)絡(luò)安全中扮演著重要角色，得到了廣泛應(yīng)用，尤其是非對稱加密算法，無需用戶交換密鑰。目前，非對稱加密算法有許多種，常用的主要有RSA、DSA 和ECC 等。

RSA 算法采用乘方運(yùn)算，隨著計(jì)算機(jī)計(jì)算能力的不斷提升和因子分解算法的不斷改進(jìn)，當(dāng)前采用RSA 加密要達(dá)到一般安全性，所需密鑰至少達(dá)到768 位。DSA 算法為保證加密的安全性，要求密鑰長度在512～2 048 位之間。這2 種方法對計(jì)算機(jī)的處理能力有極大挑戰(zhàn)，普適性較差。相比之下，ECC 算法更加友好，在同等加密等級下，密鑰長度在106～210 位之間，更加符合車用條件。表1 對這幾種算法的安全等級進(jìn)行了比較[8-9]。

表1 ECC/DSA/RSA 安全等級比較Tab.1 Comparison of ECC/DSA/RSA security levels

表2 對當(dāng)前兩種主流的非對稱加密算法的加密體系進(jìn)行了比較[10]。不難看出，與RSA 相比，ECC 的計(jì)算復(fù)雜度較高，單位安全強(qiáng)度相對較高，要達(dá)到相同的安全等級，ECC 需要的存儲(chǔ)空間也更小，解密的速度也更快一些，更適應(yīng)車聯(lián)網(wǎng)應(yīng)用的不斷變化的場景。

表2 ECC/RSA 加密體系的比較Tab.2 Comparison of ECC/RSA encryption systems

3 基于橢圓曲線的身份認(rèn)證研究

3.1 CA 初始化

初始狀態(tài)下，在有限域Fp上，CA 選定一條橢圓曲線Ep（a，b）：y2=x3+ax+b（modp），其 中p是一個(gè)很大的素?cái)?shù)，且參數(shù)a，b，x，y∈Fp，符合4a3+27b2≠0（modp）。然后，在Ep（a，b）中挑選一個(gè)點(diǎn)G=（x1，y1）作為基點(diǎn)，G的階是一個(gè)非常大的數(shù)n。橢圓曲線上的點(diǎn)G的階n是使得nG=O 成立的最小正整數(shù)。同時(shí)，CA還創(chuàng)建了2個(gè)Hash函數(shù)：H1{0，1}→Z*，H2{0，1}→Z*，對認(rèn)證內(nèi)容進(jìn)行摘要，隨機(jī)選取r∈[1，p-1]用作自己的私鑰，并根據(jù)公式Ppub=r·G得到自己的公鑰。最后，CA 選定了所有參數(shù)后，將自己的參數(shù){E，n，Ppub，G，H1，H2}公布并下發(fā)至待認(rèn)證設(shè)備。

3.2 RSU 初始化

由于CA 在完成初始化后會(huì)公布并在自己的下轄區(qū)域發(fā)布自己的參數(shù)，RSU 在獲取到這些參數(shù)后向CA 注冊獲取屬于自己的公私鑰對：Sr=r·H1（IDr）和Pr=r·G·H1（IDr）。

3.3 車輛與CA 之間身份認(rèn)證

車輛單元與其他設(shè)備通信之前，必須先注冊CA 完成相應(yīng)的身份認(rèn)證，然后由CA 頒發(fā)公鑰數(shù)字證書，認(rèn)證通過后方可進(jìn)行數(shù)據(jù)通信。本節(jié)對車輛與CA 的認(rèn)證過程（如圖5 所示）進(jìn)行詳細(xì)講解。

圖5 汽車初始化認(rèn)證Fig.5 Vehicle initialization authentication

3.3.1 車輛初始化認(rèn)證

Engv‖H1‖Pv-pub‖IDEng‖TS1：CA 初始化后會(huì)公布自己的參數(shù)，車輛單元需先注冊CA 下載相應(yīng)的由CA 選定的橢圓曲線參數(shù)，然后在Fp上選定一個(gè)素?cái)?shù)s∈[1，p-1]作為自己的私鑰，選定橢圓曲線上一點(diǎn)G'作為基點(diǎn)，由公式計(jì)算可得公鑰為Pv-pub=s·G'。將車牌號作為車輛的唯一編號，對車牌號做Hash 運(yùn)算提取摘要，并用自己的私鑰對摘要進(jìn)行加密得到臨時(shí)汽車身份IDEng=Es[H1（Engv）]。其次，將車輛的車牌號Engv、散列函數(shù)H1、自己的公鑰Pv-pub、IDEng以及時(shí)間戳TS1使用隨機(jī)的對稱加密算法M1進(jìn)行加密，再用CA 的公鑰將對稱加密后的密鑰加密，通過安全通道發(fā)送給CA。

3.3.2 CA 頒發(fā)簽名消息

EPv[RIDv‖Certv‖Ksession‖TS2：CA 接收到由車輛傳來的請求認(rèn)證的消息，先通過Tsec-TS1＜ΔT來進(jìn)行時(shí)間驗(yàn)證，其中Tsec表示接收到消息的時(shí)間，ΔT表示互聯(lián)網(wǎng)傳輸?shù)淖畲髸r(shí)延。如果通過驗(yàn)證，則用自己的私鑰r對密鑰進(jìn)行解密,得到車輛所用的加密算法M1的密鑰，再對消息進(jìn)行解壓可得到Engv、H1、車輛的公鑰Pv-pub、IDEng以及TS1，為防止消息在傳輸?shù)倪^程中被篡改，先通過計(jì)算H1（Engv）與IDEng是否相等來驗(yàn)證消息的準(zhǔn)確性，若驗(yàn)證通過，則根據(jù)車牌號計(jì)算并生成汽車的真實(shí)身份RIDv=H2（Pv-pub||Engv）。CA 根據(jù)RIDv生成臨時(shí)簽名密鑰，并由相應(yīng)的參數(shù)進(jìn)行簽名運(yùn)算Signv生成對應(yīng)的汽車的數(shù)字證書Certv。同時(shí)，生成會(huì)話密鑰Ksession，數(shù)字證書Certv用CA 自己的私鑰r進(jìn)行加密，將臨時(shí)簽名、加密的數(shù)字證書Certv及會(huì)話密鑰Ksession連同時(shí)間戳TS2發(fā)送給汽車。

3.3.3 汽車對CA 消息進(jìn)行驗(yàn)證

汽車接收到由CA 傳送的消息后，先用CA 的公鑰對簽名消息進(jìn)行解密，并通過Tsec-TS2＜ΔT 對時(shí)延進(jìn)行驗(yàn)證，若驗(yàn)證通過，獲取消息中的由簽名運(yùn)算生成的會(huì)話密鑰Ksession，并使用簽名算法對消息的有效性進(jìn)行驗(yàn)證；驗(yàn)證通過后對CA 生成的數(shù)字證書、Ksession以及車輛的真實(shí)身份進(jìn)行保存。

3.4 車輛與RSU 之間身份認(rèn)證

當(dāng)汽車行駛進(jìn)入RSU 所在區(qū)域內(nèi)時(shí)，需要與RSU 交換數(shù)據(jù)，就需要與RSU 進(jìn)行數(shù)據(jù)通信。車輛與RSU 之間進(jìn)行數(shù)據(jù)交互的流程如圖6 所示。

圖6 汽車與RSU 的認(rèn)證過程Fig.6 Vehicle and RSU certification process

3.4.1 汽車請求通信

RIDv‖Pv-pub‖Certv‖TS1:當(dāng)汽車行駛進(jìn)入RSU所管轄的區(qū)域內(nèi)，欲實(shí)現(xiàn)與RSU 通信，需先將CA所頒發(fā)的汽車真實(shí)身份RIDv、自己的公鑰Pv-pub、汽車的數(shù)字安全證書Certv以及時(shí)間戳TS1，發(fā)送給對應(yīng)的RSU。

3.4.2 RSU 與CA 建立驗(yàn)證

RIDv‖Certv‖Pv-pub‖Pr‖TS2：RSU在接收到汽車傳過來的正式身份RIDv、數(shù)字證書Cerv、汽車的公鑰Pv-pub信息后，先對它們進(jìn)行時(shí)延驗(yàn)證。若驗(yàn)證通過，將這些消息與當(dāng)前時(shí)間戳TS2以及自己的公鑰Pr組成數(shù)據(jù)包傳輸給CA 進(jìn)行驗(yàn)證。

CA 接收到RSU 傳來的數(shù)據(jù)后，用自己的私鑰解密，對時(shí)延進(jìn)行驗(yàn)證，若驗(yàn)證通過，再對汽車的真實(shí)身份RIDv、數(shù)字證書Certv進(jìn)行驗(yàn)證，驗(yàn)證通過后利用相關(guān)的參數(shù)生成臨時(shí)會(huì)話密鑰Ksession、簽名消息以及當(dāng)前時(shí)間戳TS3，并將其進(jìn)行公鑰加密傳輸給RSU。

3.4.3 汽車身份認(rèn)證反饋

EPv-pub（Pr‖TS4‖Ksession‖Certv）：RSU 接收到CA 的簽名消息后，用自己的私鑰對數(shù)據(jù)包進(jìn)行解密，首先對時(shí)延進(jìn)行驗(yàn)證，驗(yàn)證通過后，由于收到CA 的信息符合，則汽車身份認(rèn)證完成，將RSU 的公鑰Pr、當(dāng)前時(shí)間戳TS4、會(huì)話密鑰Ksession及Certv用汽車的公鑰加密后發(fā)送給汽車。

3.4.4 汽車接收并驗(yàn)證RSU

汽車接收到RSU 反饋的消息包后，先計(jì)算并驗(yàn)證消息的時(shí)延，若通過驗(yàn)證，則用自己的私鑰對密文進(jìn)行解密，然后根據(jù)解密出的RSU 的公鑰Pr及會(huì)話密鑰Ksession，實(shí)現(xiàn)對RSU 的身份認(rèn)證[11]。認(rèn)證通過后便可建立汽車和RSU 之間的通信。汽車與汽車之間的認(rèn)證方式與此相似，在此就不做贅述。

4 5G 車聯(lián)網(wǎng)安全認(rèn)證協(xié)議制定

車輛、RSU 與CA 之間只有經(jīng)過認(rèn)證后方能通信。在前面的論述中，對車聯(lián)網(wǎng)中采用ECC 算法實(shí)現(xiàn)基于PKI 體系的認(rèn)證做了比較詳細(xì)的描述。不難看出，在認(rèn)證過程中，主要包含表示汽車身份的車牌號信息、簽名算法、公鑰、數(shù)字證書、時(shí)間戳等內(nèi)容。為滿足車聯(lián)網(wǎng)中初始化認(rèn)證的通信需求，在參考國標(biāo)GB/T 37376-2019《交通運(yùn)輸數(shù)字證書格式》和X.509 證書格式的基礎(chǔ)之上[12]，設(shè)計(jì)初始化認(rèn)證報(bào)文格式，如表3 所示。

表3 報(bào)文基本信息格式Tab.3 Basic information format of message

車輛與CA、RSU 及車輛之間相互通信時(shí)，采用蜂窩網(wǎng)絡(luò)通信，根據(jù)以上歸納的報(bào)文傳輸內(nèi)容，可制定認(rèn)證報(bào)文的傳輸協(xié)議，如表4 所示。

表4 認(rèn)證報(bào)文傳輸協(xié)議Tab.4 Authenticated Message Transport Protocol

5 結(jié)語

在PKI體系中，私鑰是由相關(guān)通信實(shí)體來保存，因此私鑰是難以被獲取的，除非根據(jù)公鑰破解，而要想故意破解私鑰，則面臨大素?cái)?shù)相乘分解的難題，對計(jì)算機(jī)的計(jì)算能力也是一個(gè)巨大的挑戰(zhàn)，因?yàn)樗借€不被破解，通信消息的安全發(fā)送也將得到有效的保證。同時(shí)，本文通過幾臺(tái)電腦搭建模擬環(huán)境，采用socket 通信模擬車輛、CA 及RSU 之間通信的安全認(rèn)證，并采用iperf 工具對加密數(shù)據(jù)傳輸進(jìn)行抓包，測算傳輸時(shí)間間隔，保障了傳輸?shù)膶?shí)效性，驗(yàn)證了該方案的可行性。