馮睿琪，王雷蕾，林 翔，熊金波*

（1.福建師范大學(xué) 計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福州 350117；2.福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室（福建師范大學(xué)），福州 350007）

0 引言

近年來，智能交通已成為國家產(chǎn)業(yè)發(fā)展戰(zhàn)略的重要組成部分，車聯(lián)網(wǎng)（Internet of Vehicles，IoV）成為新型基礎(chǔ)設(shè)施的建設(shè)焦點(diǎn)［1］。從功能層面分析，車聯(lián)網(wǎng)的體系結(jié)構(gòu)可劃分為負(fù)責(zé)數(shù)據(jù)采集的感知層，包括車載傳感器（攝像頭、毫米波雷達(dá)、激光雷達(dá)等感知設(shè)備）；進(jìn)行數(shù)據(jù)傳輸、分析、處理、反饋與存儲(chǔ)的網(wǎng)絡(luò)層，包括路側(cè)單元（Road Side Unit，RSU）；完成人機(jī)數(shù)據(jù)交互的應(yīng)用層，包括云計(jì)算中心、業(yè)務(wù)服務(wù)平臺(tái)。路側(cè)單元與車載單元實(shí)時(shí)通信，接收車輛的各項(xiàng)數(shù)據(jù)信息進(jìn)行實(shí)時(shí)分析，以獲取車輛行駛行為并分析當(dāng)前路況［2］。這些數(shù)據(jù)隱含車輛及用戶的隱私信息，在傳輸、計(jì)算和存儲(chǔ)過程中面臨著篡改、假冒和泄露等多重風(fēng)險(xiǎn)，因而數(shù)據(jù)安全的保證成為車聯(lián)網(wǎng)系統(tǒng)的建設(shè)重點(diǎn)［3］。

當(dāng)前有大量車聯(lián)網(wǎng)系統(tǒng)框架著眼于數(shù)據(jù)隱私保護(hù)［4-6］、通信與認(rèn)證安全保護(hù)［7-10］，或采用單純密碼學(xué)方法，或?qū)⒓用芘c邊緣計(jì)算、云霧計(jì)算和區(qū)塊鏈等新興技術(shù)手段結(jié)合，實(shí)現(xiàn)系統(tǒng)或框架的安全運(yùn)行。在防止車輛細(xì)粒度數(shù)據(jù)泄露方面，傳統(tǒng)車聯(lián)網(wǎng)解決方案中常采用計(jì)算開銷較大的密碼學(xué)安全協(xié)議與算法，如同態(tài)加密算法［11-14］。由于車輛快速移動(dòng)，車聯(lián)網(wǎng)內(nèi)部通信網(wǎng)絡(luò)切換頻率快，連接建立時(shí)間短，上述方法難以同時(shí)滿足較小的通信開銷與計(jì)算開銷。在用戶實(shí)時(shí)性與安全性需求激增的今天，車聯(lián)網(wǎng)路側(cè)單元需要更為高效的隱私保護(hù)機(jī)制。

軟件防護(hù)擴(kuò)展（Software Guard Extension，SGX）技術(shù)能夠?qū)崿F(xiàn)安全處理明文形式的數(shù)據(jù)信息，并能輕易地保存會(huì)話密鑰，在物聯(lián)網(wǎng)場(chǎng)景中可以減輕數(shù)據(jù)處理過程的工作量［15-18］。本文設(shè)計(jì)了一種面向路況監(jiān)測(cè)服務(wù)的用戶隱私保護(hù)框架，使用具有SGX 功能的處理器構(gòu)建路側(cè)單元的數(shù)據(jù)處理模塊，使數(shù)據(jù)僅需在傳輸過程進(jìn)行簡單的加密與簽名，無需繁重的密文計(jì)算；然而SGX 技術(shù)只能保障數(shù)據(jù)處理過程的安全，傳輸過程仍面臨數(shù)據(jù)安全威脅。

本文的主要工作如下：

1）設(shè)計(jì)了初始化協(xié)議、定期報(bào)告協(xié)議等安全協(xié)議，解決SGX 技術(shù)應(yīng)用中出現(xiàn)的傳輸安全隱患，抵御車聯(lián)網(wǎng)框架與SGX 框架常面臨的竊聽、篡改、假冒、重放和回滾等攻擊，構(gòu)建全面的安全保障機(jī)制。

2）基于SGX 技術(shù)設(shè)計(jì)了一種面向IoV 的路況監(jiān)測(cè)安全數(shù)據(jù)處理框架（Secure Data Processing Framework，SDPF），在可信執(zhí)行環(huán)境中使用明文計(jì)算以提升計(jì)算效率，滿足IoV 的實(shí)時(shí)性與安全性需求。

3）實(shí)驗(yàn)結(jié)果表明，在正常行駛狀態(tài)下，SDPF 可在1 ms 內(nèi)完成對(duì)于單車輛所有數(shù)據(jù)的安全處理，在車流量變大、數(shù)據(jù)量增多時(shí)仍可保障效率與安全。

1 背景知識(shí)

SGX 是Intel 公司提供的一套CPU 擴(kuò)展，它提供了針對(duì)同設(shè)備上其他所有軟件（包括操作系統(tǒng)（Operation System，OS））的獨(dú)立執(zhí)行環(huán)境，稱為安全區(qū)（enclave）［19］。安全區(qū)數(shù)據(jù)處理的一般流程如圖1 所示，即將密文c1送入安全區(qū)后解密為原始數(shù)據(jù)praw，以明文處理數(shù)據(jù)得到明文結(jié)果p，將它加密為c2傳出安全區(qū)進(jìn)行后續(xù)處理。

圖1 安全區(qū)數(shù)據(jù)處理的流程Fig.1 Flow of data processing in enclave

本文將使用SGX 所提供的兩個(gè)核心操作——密封（Sealing）和遠(yuǎn)程認(rèn)證（Remote attestation）。

密封指數(shù)據(jù)離開當(dāng)前安全區(qū)時(shí)被安全區(qū)加密的過程。每個(gè)具有SGX 功能的CPU 都有一個(gè)硬件保護(hù)的根密封密鑰，每次生成安全區(qū)時(shí)都從中派生一個(gè)特定密封密鑰（seal key），用于加密、驗(yàn)證被密封的數(shù)據(jù)。在未經(jīng)授權(quán)的情況下，同一CPU 生成的其他安全區(qū)也無法解密查看該數(shù)據(jù)。

遠(yuǎn)程認(rèn)證指遠(yuǎn)程方驗(yàn)證當(dāng)前安全區(qū)合法性的過程，即該安全區(qū)由具有合法SGX 功能的CPU 創(chuàng)建，且相關(guān)代碼已正確載入安全區(qū)內(nèi)。當(dāng)安全區(qū)被創(chuàng)建時(shí)，CPU 將生成一個(gè)包含已加載代碼和靜態(tài)數(shù)據(jù)狀態(tài)的哈希值的報(bào)告。安全區(qū)將報(bào)告和簽名發(fā)送至遠(yuǎn)程方，其中簽名密鑰為被CPU 硬件保護(hù)的證明密鑰，遠(yuǎn)程方將聯(lián)系Intel 服務(wù)器驗(yàn)證報(bào)告內(nèi)容［19］。

安全區(qū)的定義使得SGX 系統(tǒng)能夠?qū)崿F(xiàn)安全的明文計(jì)算，密封則使得暫存于安全區(qū)外的數(shù)據(jù)絕對(duì)安全，基于此，RSU可實(shí)現(xiàn)明文處理車輛定期發(fā)送的數(shù)據(jù)而不泄露任何隱私信息。明文的直接計(jì)算相較于密文計(jì)算有著明顯性能優(yōu)勢(shì)，基于硬件保護(hù)的安全區(qū)可提供極高的安全性，因而具有SGX 功能的RSU 可兼顧效率與安全。但SGX 并不能保障系統(tǒng)其他部分的安全性，如身份認(rèn)證與數(shù)據(jù)傳輸過程，需要相應(yīng)的安全設(shè)計(jì)以保障系統(tǒng)整體安全運(yùn)行。此外，攻擊者?；赟GX技術(shù)的特性發(fā)動(dòng)回滾、重放等破壞數(shù)據(jù)新鮮度的攻擊［20］，同樣需在設(shè)計(jì)中結(jié)合車聯(lián)網(wǎng)的需求研究適當(dāng)?shù)慕鉀Q方案。

2 問題描述

2.1 系統(tǒng)模型

SDPF 包含移動(dòng)終端（Mobile End，ME）、RSU 和云服務(wù)器（Cloud Server，CS）這3 個(gè)實(shí)體。

ME 主要指車載終端，也包括司機(jī)的手持終端，每個(gè)ME擁有自己的標(biāo)識(shí)符MID（ME IDentification）和公/私鑰對(duì)PKM/SKM。ME 與RSU 完成認(rèn)證與密鑰交換后，將定期（每5 s）將加密的車輛實(shí)時(shí)數(shù)據(jù)發(fā)送至RSU 進(jìn)行分析處理。此外，ME 還會(huì)接收云服務(wù)器發(fā)布的實(shí)時(shí)路況信息，并請(qǐng)求查看它存儲(chǔ)的個(gè)人隱私數(shù)據(jù)。RSU 內(nèi)運(yùn)行一個(gè)SGX 安全區(qū)RE（RSU Enclave），它將與進(jìn)入它處理范圍內(nèi)的ME 進(jìn)行認(rèn)證與密鑰協(xié)商，供它發(fā)送密文數(shù)據(jù)。接收數(shù)據(jù)后在RE 內(nèi)進(jìn)行車輛違章的判定、當(dāng)前道路路況的計(jì)算等功能，然后將結(jié)果按需簽名加密后發(fā)送至服務(wù)器。

CS 存儲(chǔ)、發(fā)布數(shù)據(jù)并響應(yīng)ME 請(qǐng)求。在接收到信息后，先驗(yàn)證信息真實(shí)性、完整性，然后根據(jù)信息類型進(jìn)行存儲(chǔ)、查詢與發(fā)送操作。

綜上所述，SDPF 將由ME 采集并提供數(shù)據(jù)信息，然后交由RSU 進(jìn)行安全分析處理，得到結(jié)果上報(bào)云服務(wù)器。本文框架側(cè)重于構(gòu)建設(shè)計(jì)RSU 功能，云服務(wù)器端僅作為一個(gè)智能數(shù)據(jù)庫，事實(shí)上云端具有強(qiáng)大算力，可基于SGX 技術(shù)在云端構(gòu)建更復(fù)雜的安全數(shù)據(jù)處理單元［21］，并在RSU 與ME 內(nèi)嵌入邊緣計(jì)算設(shè)備［22］進(jìn)一步提升運(yùn)行效率。

2.2 安全模型

假設(shè)存在惡意攻擊者可以控制RSU 和CS 中所有的軟件（包括OS），且將通過多種攻擊行為試圖侵犯用戶隱私，破壞數(shù)據(jù)機(jī)密性與完整性。攻擊者可以竊聽、攔截、篡改、重放發(fā)送至安全區(qū)和由安全區(qū)發(fā)送的所有數(shù)據(jù)信息，同時(shí)他還可以進(jìn)一步偽裝自己的身份，假冒數(shù)據(jù)發(fā)送者或接收者欺騙安全區(qū)。此外，在周期性數(shù)據(jù)發(fā)送場(chǎng)景下，攻擊者常進(jìn)行回滾、重放攻擊，即用舊版本的數(shù)據(jù)替換當(dāng)前加密數(shù)據(jù)。

基于實(shí)際車聯(lián)網(wǎng)場(chǎng)景，假設(shè)CS 是半可信的［23］，即它會(huì)嚴(yán)格遵循預(yù)定義的協(xié)議，但同時(shí)將盡其所能獲取更多的用戶隱私數(shù)據(jù)；由于RSU 將處理運(yùn)行中涉及的所有的隱私數(shù)據(jù)內(nèi)容，所以RE 應(yīng)是健忘的，它的功能函數(shù)應(yīng)盡可能避免依賴數(shù)據(jù)的操作；假設(shè)ME 是安全可信的［24］；假設(shè)三者之間的通信信道均不安全。

此外，假設(shè)攻擊者無法攻破硬件保護(hù)的安全區(qū)和相關(guān)安全區(qū)密鑰（包括密封密鑰和遠(yuǎn)程認(rèn)證密鑰），也無法破譯框架中使用的加密原語（如高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）、RSA（Rivest-Shamir-Adleman）、Diffie-Hellman密鑰交換等）。

3 SDPF設(shè)計(jì)與構(gòu)造

SDPF 的目標(biāo)是在保護(hù)用戶隱私的同時(shí)實(shí)現(xiàn)高效的路況監(jiān)測(cè)與駕駛行為監(jiān)測(cè)等功能，主體數(shù)據(jù)處理功能在RSU 內(nèi)的安全區(qū)運(yùn)行。從功能角度分析，SDPF 組成如圖2 所示。ME將所采集的行駛數(shù)據(jù)等內(nèi)容加密后發(fā)送至經(jīng)過認(rèn)證的RSU，RSU 將它送入安全區(qū)解密、處理、打包，形成包含隱私信息的車輛行駛數(shù)據(jù)包與可公開的路況信息數(shù)據(jù)包發(fā)送至CS，CS根據(jù)消息類型進(jìn)行存儲(chǔ)與發(fā)布，并響應(yīng)ME 對(duì)數(shù)據(jù)的查詢請(qǐng)求。

圖2 SDPF組成Fig.2 Composition of SDPF

3.1 安全協(xié)議設(shè)計(jì)

本文針對(duì)密鑰的協(xié)商與交換、安全區(qū)合法性的驗(yàn)證、數(shù)據(jù)在安全區(qū)外的管理等問題設(shè)計(jì)了CS-RE 初始化協(xié)議、ME-RE 初始化協(xié)議和定期報(bào)告協(xié)議等安全協(xié)議，實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸與保存。

3.1.1 CS-RE初始化協(xié)議

當(dāng)RSU 被安裝設(shè)置于某路段首次創(chuàng)建RE 時(shí)，將自動(dòng)運(yùn)行CS-RE 初始化協(xié)議，用于驗(yàn)證RE 合法性并與CS 共享密鑰，具體如下。

協(xié)議1 CS-RE 初始化協(xié)議。

1）RE 生成公/私鑰對(duì)PKR/SKR，發(fā)送遠(yuǎn) 程報(bào)告RemoteATT、標(biāo)識(shí)符RID（RE IDentification）和公鑰PKR。

2）CS 通過RemoteATT驗(yàn)證RE 合法性，然后生成隨機(jī)數(shù)r進(jìn)行挑戰(zhàn)，發(fā)送使用PKR加密的隨機(jī)數(shù)renc。

3）RE 使用SKR解密得到隨機(jī)數(shù)，回送r+1 及簽名。

4）CS 驗(yàn)證簽名內(nèi)容后，將RID與PKR存入數(shù)據(jù)庫。

3.1.2 ME-RE初始化協(xié)議

當(dāng)車輛進(jìn)入RSU 監(jiān)控區(qū)域，將運(yùn)行ME-RE 初始化協(xié)議，用于驗(yàn)證RE 合法性，并完成臨時(shí)會(huì)話密鑰協(xié)商與時(shí)間同步，以保障后續(xù)數(shù)據(jù)的安全傳輸，具體如下。

協(xié)議2 ME-RE 初始化協(xié)議。

1）RE 生 成Diffie-Hellman 參 數(shù)gr，發(fā)送遠(yuǎn) 程報(bào)告RemoteATT、公鑰PKR、時(shí)間time與gr。

2）ME 接收消息后立即啟動(dòng)計(jì)時(shí)器，然后通過RemoteATT驗(yàn)證RE 合法性，驗(yàn)證通過后生成Diffie-Hellman 參數(shù)gm，計(jì)算并存儲(chǔ)grm，停止計(jì)時(shí)器記錄當(dāng)前時(shí)間echo，將車輛標(biāo)識(shí)符MID、gm、echo使用PKR加密后發(fā)送。

3）RE 使用SKR解密得到原始內(nèi)容，使用echo進(jìn)行時(shí)鐘同步，向CS 請(qǐng)求驗(yàn)證當(dāng)前ME 是否經(jīng)過合法注冊(cè)并獲得其公鑰PKM。

4）RE 存儲(chǔ)通過驗(yàn)證的MID和PKM，生成臨時(shí)會(huì)話密鑰grm，分別使用grm和PKM加密確認(rèn)信息并發(fā)送，然后密封grm存于數(shù)據(jù)庫；

5）ME 分別使用SKM和grm解密消息，驗(yàn)證確認(rèn)信息。

3.1.3 定期報(bào)告協(xié)議

ME 將定時(shí)調(diào)用定期報(bào)告協(xié)議向RSU 報(bào)告自己當(dāng)前的行駛狀態(tài)，基于對(duì)RSU 算力與計(jì)算精確程度考量，將發(fā)送時(shí)間間隔設(shè)置為5 s，RSU 分析處理后將結(jié)果密封于數(shù)據(jù)庫，傳輸過程安全基于ME-RE 初始化協(xié)議的設(shè)置，具體如下。

協(xié)議3 定期報(bào)告協(xié)議。

1）ME 生成當(dāng)前行駛狀態(tài)數(shù)據(jù)包msg并更新消息序號(hào)cnt，使用grm加密cnt、當(dāng)前時(shí)間time和msg，在加密消息前附加標(biāo)識(shí)符MID后發(fā)送；

2）RE 根據(jù)MID在數(shù)據(jù)庫中查找并解封相應(yīng)關(guān)鍵信息，使用解封所得解密數(shù)據(jù)包，使用解封所得cnt和last驗(yàn)證消息序號(hào)與發(fā)送時(shí)間；

3.2 路況分析與上傳

本文根據(jù)國家標(biāo)準(zhǔn)將道路按規(guī)模劃分為高速路、快速路、主干路、次干路和支路［25］。不同類型道路安裝不同初始參數(shù)的RSU，具體參數(shù)設(shè)置見表1。RID為RSU 標(biāo)識(shí)符命名規(guī)則，限速僅針對(duì)小型載人轎車，監(jiān)控范圍指沿當(dāng)前道路方向的單向監(jiān)測(cè)距離，擁堵下限指判定當(dāng)前道路為擁堵時(shí)車輛的最少數(shù)目。RSU 將根據(jù)參數(shù)設(shè)置處理數(shù)據(jù)，主要包括車輛數(shù)據(jù)處理和路況計(jì)算兩大功能。

表1 RSU參數(shù)設(shè)置Tab.1 RSU parameter setting

3.2.1 車輛數(shù)據(jù)處理

車輛數(shù)據(jù)處理過程為RSU 即時(shí)計(jì)算處理ME 所發(fā)送數(shù)據(jù)內(nèi)容，生成包含隱私的結(jié)果信息，過程中需保證隱私不泄露，過程如圖3 所示。

圖3 車輛數(shù)據(jù)處理流程Fig.3 Processing flow of vehicle data

ME 完成初始化后，遵循定期報(bào)告協(xié)議開始發(fā)送車輛數(shù)據(jù)包。其中有效信息為msg，包括車牌與時(shí)速，其余內(nèi)容均用于保證數(shù)據(jù)包安全可靠。

RSU 在安全區(qū)外內(nèi)置數(shù)據(jù)庫，維護(hù)KEY和DATA兩個(gè)數(shù)據(jù)表，具體設(shè)置如表2。在完成數(shù)據(jù)的解密與驗(yàn)證后，更新表中相應(yīng)內(nèi)容，同時(shí)若當(dāng)前車輛超速則即時(shí)形成超速報(bào)告srepo，經(jīng)加密簽名后上報(bào)至CS。此外，RSU 每隔30 s 更新數(shù)據(jù)庫，處理過期ME 數(shù)據(jù)，根據(jù)它存于數(shù)據(jù)庫中的信息生成包括車牌號(hào)、當(dāng)前道路名稱和時(shí)速等信息的報(bào)告repo，經(jīng)加密簽名后發(fā)送至CS。然后刪除相應(yīng)MID 在數(shù)據(jù)庫中的所有數(shù)據(jù)，保證RSU 健忘的同時(shí)減輕它的查詢負(fù)擔(dān)。

表2 RSU數(shù)據(jù)庫設(shè)置Tab.2 RSU database setting

CS 數(shù)據(jù)庫內(nèi)置3 個(gè)表，具體設(shè)置如表3。CS 接收到數(shù)據(jù)包后根據(jù)RID 查找公鑰進(jìn)行驗(yàn)證，然后根據(jù)相應(yīng)MID直接存入表REPO。即CS 無法獲悉報(bào)告內(nèi)容，甚至無法分辨報(bào)告是超速報(bào)告還是行駛數(shù)據(jù)報(bào)告。

表3 CS數(shù)據(jù)庫設(shè)置Tab.3 CS database setting

3.2.2 路況計(jì)算

路況計(jì)算過程為定期處理數(shù)據(jù)庫內(nèi)的大量數(shù)據(jù)，由包含隱私的數(shù)據(jù)內(nèi)容生成可公開發(fā)布的結(jié)果，保證根據(jù)結(jié)果無法反推用戶數(shù)據(jù)內(nèi)容。RSU 每30 s 根據(jù)當(dāng)前所接收數(shù)據(jù)估算路況，若與上次計(jì)算結(jié)果不同，則生成報(bào)告trepo，簽名封裝后上報(bào)CS。CS 根據(jù)相應(yīng)RSU 密鑰驗(yàn)證消息后更新表TRAFFIC，并發(fā)布實(shí)時(shí)路況信息。

3.3 數(shù)據(jù)查詢與顯示

SDPF 在ME 端設(shè)計(jì)實(shí)現(xiàn)可視化界面供用戶查看實(shí)時(shí)路況和個(gè)人行駛記錄，數(shù)據(jù)源為CS，所以需考慮ME 與CS 之間數(shù)據(jù)交互的安全問題。

對(duì)冠狀動(dòng)脈支架植入術(shù)圍術(shù)期預(yù)防應(yīng)用抗菌藥物的考察與分析…………………………………… 孫 瑩，孫增先（5·381）

3.3.1 路況顯示

路況主要通過實(shí)時(shí)地圖的方式展現(xiàn)，以綠色、黃色和紅色區(qū)別不同路段的暢通、行駛緩慢和疑似擁堵狀態(tài)，區(qū)分依據(jù)為CS 端表TRAFFIC 中的可公開數(shù)據(jù)。

3.3.2 駕駛行為查詢

駕駛行為查詢用于查詢當(dāng)前用戶某天的行駛記錄，包括每日午夜自動(dòng)執(zhí)行的超速報(bào)告檢索和用戶自主選定查詢?nèi)掌诘男旭倲?shù)據(jù)查看。查詢時(shí)，ME 向CS 發(fā)送加密查詢請(qǐng)求，其中加密過程用于雙方互相認(rèn)證合法身份。CS 解密消息后，根據(jù)請(qǐng)求查詢?nèi)掌诓樵兿鄳?yīng)密文數(shù)據(jù)報(bào)告，使用SKC逐一簽名后發(fā)送至ME。ME 使用注冊(cè)時(shí)獲取的CS 公鑰PKC驗(yàn)證后，使用自己的私鑰解密即可查看報(bào)告內(nèi)容。

4 安全分析

SDPF 旨在高效地完成數(shù)據(jù)處理且不泄露用戶隱私，所以數(shù)據(jù)安全將是安全分析的核心內(nèi)容。由于安全區(qū)內(nèi)的數(shù)據(jù)處理過程中不存在安全威脅，所以只需分析數(shù)據(jù)傳輸過程中的安全威脅。本章將證明所設(shè)計(jì)初始化協(xié)議的安全性，以證明密鑰協(xié)商與管理功能的安全完善，同時(shí)證明框架運(yùn)行過程中信息的完整性與機(jī)密性。

4.1 初始化協(xié)議安全性

本文框架的安全性主要依賴初始化階段，也就是密鑰協(xié)商與交換的過程，包括CS-RE 初始化和ME-RE 初始化這兩個(gè)協(xié)議，該階段所協(xié)商的密鑰將是后續(xù)數(shù)據(jù)傳輸過程安全性的保障，所進(jìn)行的遠(yuǎn)程認(rèn)證與時(shí)間校準(zhǔn)則是數(shù)據(jù)傳輸過程正確、安全、可靠的基礎(chǔ)。本節(jié)將證明初始化協(xié)議交互的安全，證明它可抵御攻擊者的竊聽與篡改，由此推定密鑰協(xié)商過程的安全，然后基于安全模型定義分析密鑰管理的安全性。

命題1 CS-RE 初始化協(xié)議是安全的。

證明 該協(xié)議主體功能為遠(yuǎn)程認(rèn)證RE 的合法性，同時(shí)生成并發(fā)布密鑰對(duì)。遠(yuǎn)程認(rèn)證過程安全性由SGX 技術(shù)保障，而密鑰發(fā)布后將通過隨機(jī)數(shù)進(jìn)行兩輪的挑戰(zhàn)驗(yàn)證，途中數(shù)據(jù)包被篡改則無法通過驗(yàn)證，而單純的竊聽則無法獲得任何有效數(shù)據(jù)信息，即攻擊者對(duì)該協(xié)議過程無法造成任何有害影響。因此CS-RE 初始化協(xié)議安全可靠。

命題2 ME-RE 初始化協(xié)議是安全的。

證明 該協(xié)議將在4 步內(nèi)完成RE 合法性認(rèn)證、Diffie-Hellman 密鑰協(xié)商、公鑰發(fā)送和時(shí)間同步等內(nèi)容，所以發(fā)送數(shù)據(jù)包較長。但即便竊聽所有數(shù)據(jù)包，攻擊者也無法獲悉密鑰，因此無法解密隱私數(shù)據(jù)或偽造數(shù)據(jù)包；而篡改某一數(shù)據(jù)包將導(dǎo)致后續(xù)過程驗(yàn)證出錯(cuò)。此外，車聯(lián)網(wǎng)系統(tǒng)中存在大量惡意用戶，數(shù)據(jù)偽造攻擊成為車聯(lián)網(wǎng)中的主要安全問題之一［26］，協(xié)議中RSU 將向CS 請(qǐng)求查詢當(dāng)前ME 合法性以防范惡意用戶假冒攻擊。因此攻擊者無法對(duì)該協(xié)議過程造成任何有害影響，ME-RE 初始化協(xié)議安全可靠。

綜上，SDPF 密鑰協(xié)商機(jī)制安全可靠，可抵御竊聽、篡改和假冒等攻擊手段。

命題3 密鑰管理機(jī)制是安全的。

證明 由協(xié)議定義可知，ME 需保管自己的公私鑰和與RSU 協(xié)商的臨時(shí)會(huì)話密鑰grm，根據(jù)安全模型定義ME 安全可信，認(rèn)為它可以妥善保管好這些密鑰。RSU 需保管它的安全區(qū)的公私鑰以及與實(shí)時(shí)經(jīng)過的ME 協(xié)商的密鑰grm、PKM，其中RE 的公私鑰存放于不可侵犯的安全區(qū)內(nèi)，無法被訪問獲??；grm經(jīng)過密封存于數(shù)據(jù)庫，僅可被安全區(qū)解封；而PKM為可公開內(nèi)容，無需進(jìn)行過多處理。CS 需保管自己的公私鑰、所有RE 的公鑰和所有注冊(cè)ME 的公鑰，除了私鑰SKC，其余均為可公開信息；而SKC僅用于驗(yàn)簽保證數(shù)據(jù)包完整性，不用于任何解密過程，不造成任何信息泄露。因此，密鑰管理機(jī)制完善安全。

4.2 數(shù)據(jù)完整性

數(shù)據(jù)完整性主要在傳輸過程中受損，所以本節(jié)將分析框架運(yùn)行中存在的所有傳輸過程。

ME → RSU 指ME 定期向RSU 發(fā)送所采集數(shù)據(jù)的過程，遵循定期發(fā)送協(xié)議，密鑰安全基于密封技術(shù)。加密數(shù)據(jù)中的cnt與time驗(yàn)證用于防范回滾攻擊，保證數(shù)據(jù)真實(shí)新鮮，一旦發(fā)生錯(cuò)誤將立刻丟棄當(dāng)前數(shù)據(jù)包，多次錯(cuò)誤則警告服務(wù)器。若在傳輸過程中數(shù)據(jù)被截獲篡改，數(shù)據(jù)解密后的內(nèi)容將受到影響，但可根據(jù)每一段數(shù)據(jù)的性質(zhì)判斷真?zhèn)巍?/p>

RSU → CS 指RSU 的數(shù)據(jù)處理結(jié)果srepo（超速報(bào)告）、trepo（路況報(bào)告）、repo（數(shù)據(jù)報(bào)告）的上報(bào)。所有數(shù)據(jù)發(fā)送時(shí)均經(jīng)過加密后簽名的封裝過程，CS 端的驗(yàn)簽不通過將直接丟棄數(shù)據(jù)包。因此攻擊者無法獲悉私鑰，就無法偽造數(shù)據(jù)包，也無法解密所截獲的數(shù)據(jù)。

CS → ME 主要指駕駛行為查詢過程。此過程中傳輸?shù)臄?shù)據(jù)包均為密文且附加簽名，驗(yàn)簽不通過將直接丟棄數(shù)據(jù)包，而數(shù)據(jù)包僅對(duì)應(yīng)ME 可解密。

SDPF 中數(shù)據(jù)完整性大多基于簽名與驗(yàn)簽過程進(jìn)行保護(hù)，在定期報(bào)告的過程中，考慮到效率問題不對(duì)報(bào)告進(jìn)行簽名，采用對(duì)數(shù)據(jù)格式的判定進(jìn)行完整性校驗(yàn)。由于數(shù)據(jù)特點(diǎn)明顯易于驗(yàn)證，且密文篡改后對(duì)明文影響較大，所以SDPF 可抵御篡改、回滾、偽造等攻擊手段，具有完善的數(shù)據(jù)完整性保護(hù)機(jī)制。

4.3 數(shù)據(jù)機(jī)密性

在框架運(yùn)行的過程中，ME 上報(bào)的各項(xiàng)隱私數(shù)據(jù)絕不會(huì)以明文形式出現(xiàn)在安全區(qū)之外。由于ME 和RE 的可信，所有的解密密鑰（簽名密鑰）都難以獲取，所以傳輸過程中的密文基本安全。在路況統(tǒng)計(jì)的過程中，RE 設(shè)有計(jì)數(shù)器用于記錄當(dāng)前道路上長時(shí)間停留的車輛數(shù)，無法據(jù)此推算任何用戶的隱私。

在安全模型內(nèi)設(shè)定CS 會(huì)竭盡所能獲取用戶數(shù)據(jù)，但所有用戶數(shù)據(jù)都以密文形式出現(xiàn)。由于報(bào)告封裝格式設(shè)計(jì)，CS 可以知曉某ME 與某RE 在某段時(shí)間內(nèi)具有聯(lián)系，或某ME與某道路路況存在聯(lián)系，但MID 與車牌號(hào)、RID 與道路名的對(duì)應(yīng)關(guān)系不公開，不影響數(shù)據(jù)機(jī)密性。

本文框架所采用的加密算法是當(dāng)前主流的、經(jīng)過大量驗(yàn)證的AES 算法與RSA 算法，并輔以長度足夠的密鑰，因此認(rèn)為加密算法足夠可靠；此外，本文框架同時(shí)兼容其他相應(yīng)的對(duì)稱與非對(duì)稱加密算法。密鑰管理問題則設(shè)計(jì)了初始化協(xié)議進(jìn)行保障，并在保存時(shí)充分利用安全區(qū)、密封等SGX 技術(shù)，確保密鑰難以被獲取，因此SDPF 具有完善的數(shù)據(jù)機(jī)密性保護(hù)機(jī)制。

4.4 認(rèn)證安全

通信協(xié)議是車聯(lián)網(wǎng)系統(tǒng)中最基礎(chǔ)最重要的部分，用于連接和溝通終端與服務(wù)端。本節(jié)將針對(duì)JT/T808 協(xié)議標(biāo)準(zhǔn)［27］和在該標(biāo)準(zhǔn)下實(shí)現(xiàn)的網(wǎng)聯(lián)車聯(lián)網(wǎng)平臺(tái)、基于霧計(jì)算的車聯(lián)網(wǎng)隱私保護(hù)框架（Privacy-preserving Fog Computing Framework for vehicular crowdsensing networks，PFCF）［9］、基于同態(tài)加密的云輔助車載自組織網(wǎng)絡(luò)（Vehicular Ad hoc NETwork，VANET）隱私保護(hù)框架（Privacy-preserving Protocol for Vehicle Feedback in cloud-assisted VANET，PPVF）［14］進(jìn)行對(duì)比分析。

4.4.1 JT/T 808協(xié)議標(biāo)準(zhǔn)與相應(yīng)車聯(lián)網(wǎng)平臺(tái)

JT/T808 協(xié)議標(biāo)準(zhǔn)是中華人民共和國交通運(yùn)輸部制定的用于規(guī)定國內(nèi)道路運(yùn)輸車輛衛(wèi)星定位系統(tǒng)車載終端與平臺(tái)之間的通信協(xié)議標(biāo)準(zhǔn)，具有一定的權(quán)威性和通用性。對(duì)于通信中所發(fā)送數(shù)據(jù)的機(jī)密性、完整性、可用性等安全特性，各開發(fā)方實(shí)現(xiàn)思路各不相同且不公開，難以進(jìn)行分析對(duì)比，所以該部分主要針對(duì)認(rèn)證安全方面進(jìn)行分析。

在該標(biāo)準(zhǔn)下實(shí)現(xiàn)的系統(tǒng)一般使用注冊(cè)獲取鑒權(quán)碼處理服務(wù)端與終端交互過程中的認(rèn)證問題，但這種方式面臨著如枚舉攻擊、異常數(shù)據(jù)偽造和通信偽造等多種風(fēng)險(xiǎn)。SDPF 對(duì)此設(shè)計(jì)相應(yīng)的抵御措施。

枚舉攻擊指攻擊者發(fā)送攜帶不同關(guān)鍵字的合法數(shù)據(jù)包到服務(wù)端，根據(jù)服務(wù)端的反應(yīng)探測(cè)真實(shí)存在的終端關(guān)鍵字。在本文中，該情景符合ME 向CS 請(qǐng)求駕駛行為數(shù)據(jù)的過程，但攻擊者無法獲悉用戶私鑰，因而無法隨意偽造查詢請(qǐng)求，非法數(shù)據(jù)包將被丟棄不作任何響應(yīng)。

異常數(shù)據(jù)偽造指攻擊者偽造注冊(cè)請(qǐng)求或其他符合協(xié)議的異常數(shù)據(jù)內(nèi)容發(fā)送至服務(wù)端，使服務(wù)端出現(xiàn)大量錯(cuò)誤日志等異常記錄，以消耗服務(wù)器運(yùn)算資源。在本文中，該情景符合ME向RSU定期發(fā)送數(shù)據(jù)和RSU向CS上報(bào)數(shù)據(jù)兩個(gè)過程。對(duì)于前者，RSU將通過是否有初始化記錄篩選非法發(fā)送方；對(duì)于后者，CS 將驗(yàn)證RID 的合法性與簽名以篩選異常數(shù)據(jù)。綜上，本文對(duì)此主要通過初步篩選驗(yàn)證減少運(yùn)算資源消耗。

通信偽造指攻擊者得知設(shè)備終端車牌號(hào)等基本信息，通過模擬設(shè)備與數(shù)據(jù)平臺(tái)通信發(fā)送異常報(bào)警與位置數(shù)據(jù)等內(nèi)容。在本文中，該情景符合ME 向RSU 定期發(fā)送數(shù)據(jù)的過程，但車牌號(hào)與MID 關(guān)聯(lián)不公開，且有ME-RE 初始化協(xié)議，使得攻擊者無法偽造合法數(shù)據(jù)包。

4.4.2 PFCF與PPVF

表4 為SDPF 與其他系統(tǒng)框架的部分安全特征實(shí)現(xiàn)對(duì)比，可見本文在安全方面的設(shè)計(jì)更加完善優(yōu)越。

表4 不同方案的安全性對(duì)比Tab.4 Security comparison of different schemes

5 性能分析

本文實(shí)驗(yàn)在Ubuntu 16.04 系統(tǒng)中搭建虛擬SGX 環(huán)境實(shí)現(xiàn)RSU 相關(guān)數(shù)據(jù)處理功能，基于Android 實(shí)現(xiàn)ME 相關(guān)數(shù)據(jù)采集與發(fā)送功能，并基于MSSQL 數(shù)據(jù)庫搭建簡易CS。

5.1 協(xié)議性能

協(xié)議的性能主要取決于網(wǎng)絡(luò)復(fù)雜度和時(shí)間復(fù)雜度，時(shí)間復(fù)雜度為協(xié)議中各項(xiàng)操作耗時(shí)之和，協(xié)議中各項(xiàng)操作在100次實(shí)驗(yàn)中的平均耗時(shí)如表5所示，協(xié)議時(shí)間復(fù)雜度分析如表6所示，實(shí)際測(cè)試所得平均結(jié)果如表7 所示；網(wǎng)絡(luò)復(fù)雜度方面，由于所傳輸數(shù)據(jù)包較小，因此僅計(jì)算通信消息的數(shù)量（消息復(fù)雜度），即以交互次數(shù)作為協(xié)議網(wǎng)絡(luò)復(fù)雜度，如表8所示。

表5 各項(xiàng)操作執(zhí)行的平均耗時(shí)Tab.5 Average time taken to perform each operation

表6 安全協(xié)議時(shí)間復(fù)雜度Tab.6 Time complexity of security protocols

表7 安全協(xié)議運(yùn)行耗時(shí) 單位：msTab.7 Running time of security protocols unit：ms

表8 安全協(xié)議網(wǎng)絡(luò)復(fù)雜度Tab.8 Network complexity of security protocols

5.2 通信開銷

框架運(yùn)行中各個(gè)終端之間的通信過程主要有3 種，所傳送數(shù)據(jù)基本為密文和簽名，所應(yīng)用加密算法密文長度可估計(jì)，具體開銷分析如下所示。

ME → RSU ME 發(fā)送的數(shù)據(jù)定期報(bào)告中，MID為10 b，密文內(nèi)容為44 b，共計(jì)54 b。

RSU → CS 該過程包括3 種類型的數(shù)據(jù)包，即封裝后的超速報(bào)告、數(shù)據(jù)報(bào)告和路況報(bào)告。3 種報(bào)告封裝格式相同，均為加密后簽名后一并發(fā)送至CS。本文中非對(duì)稱加密采用RSA 算法，選用1 024 b 的密鑰，加密后密文與簽名長度為172 b。則RSU 每次上報(bào)數(shù)據(jù)的通信開銷小于1 B。

CS → ME 該過程包括發(fā)布路況信息和響應(yīng)ME 查詢請(qǐng)求兩種。前者發(fā)送數(shù)據(jù)為道路名稱和路況，報(bào)告原文附帶簽名共計(jì)174 b；后者返回的數(shù)據(jù)包長度取決于用戶本身，它是多條密文報(bào)告的組合串，其中密文報(bào)告長度為172 b、簽名長度為344 b，共計(jì)516 b。根據(jù)當(dāng)前居民日常用車需求，估算其每天經(jīng)過約50 個(gè)不同大小的RSU，則形成50 條報(bào)告，數(shù)據(jù)長度約為25 B。

5.3 計(jì)算時(shí)間

計(jì)算時(shí)間指RE 中進(jìn)行的車輛數(shù)據(jù)處理與路況計(jì)算，單純計(jì)算耗時(shí)在0.01 ms 以下。RSU 實(shí)際計(jì)算開銷如圖4 所示。正常行駛的車輛約向RSU 定期報(bào)告10 次，從接收所有數(shù)據(jù)包到形成行駛數(shù)據(jù)報(bào)告的實(shí)際計(jì)算時(shí)間約為0.97 ms。當(dāng)路段陷入擁堵時(shí)，即車輛總數(shù)增多、單車輛所發(fā)送數(shù)據(jù)包增多，RSU 將花費(fèi)大量開銷用于數(shù)據(jù)庫查詢和數(shù)據(jù)的密封與解封，但受限于道路容納能力和數(shù)據(jù)類型，實(shí)際開銷并不會(huì)產(chǎn)生較大波動(dòng)。

圖4 RSU實(shí)際計(jì)算時(shí)間Fig.4 Real computational cost of RSU

5.4 與PPCF、PPVF的對(duì)比

在實(shí)驗(yàn)配置相似的場(chǎng)景下，對(duì)比SDPF 與PFCF、PPVF 所實(shí)現(xiàn)系統(tǒng)的通信開銷與計(jì)算開銷。單車輛結(jié)果如表9 所示，其中單車輛計(jì)算設(shè)需10 次會(huì)話；多車輛環(huán)境下RSU 實(shí)際開銷如圖5 所示，由于與PFCF 差異較大，所以僅作出與PPVF的開銷對(duì)比。由于前置ME 初始化協(xié)議的認(rèn)證與密鑰協(xié)商，在實(shí)際定期報(bào)告中本文會(huì)話消息長度僅需54 b，相較于現(xiàn)有方案縮短了90%以上；由于安全區(qū)內(nèi)明文處理的高效，本文對(duì)單車輛的實(shí)際計(jì)算時(shí)間僅為0.97 ms，相較于現(xiàn)有方案縮短了16.38%以上?？梢?，SDPF 在性能方面較為優(yōu)越，用更小的成本實(shí)現(xiàn)了更高的安全性。

表9 性能對(duì)比Tab.9 Performance comparison

圖5 RSU計(jì)算開銷對(duì)比Fig.5 RSU computational overhead comparison

6 結(jié)語

本文提出了一種實(shí)用的路況監(jiān)測(cè)數(shù)據(jù)處理框架SDPF，在不泄露用戶隱私信息的前提下實(shí)現(xiàn)了高效的車輛數(shù)據(jù)處理與路況計(jì)算功能。安全性方面，本文提出基于SGX 技術(shù)的隱私保護(hù)機(jī)制，并進(jìn)行針對(duì)性安全設(shè)計(jì)，使它可抵御竊取、篡改、回滾、重放和假冒等攻擊行為；性能方面，本文的敏感數(shù)據(jù)處理均在安全區(qū)內(nèi)部以明文形式進(jìn)行，單次明文數(shù)據(jù)處理時(shí)間在0.01 ms 以下，單車輛的安全計(jì)算共耗時(shí)約0.97 ms，較現(xiàn)有方案有16.38%以上的下降。

此外，當(dāng)前設(shè)計(jì)中混合加密方案帶來的額外密鑰傳輸與加解密開銷，以及SGX 系統(tǒng)框架常面臨的側(cè)信道攻擊［28］等問題仍值得進(jìn)一步研究設(shè)計(jì)。