石琴 潘廷亮 程騰 王川宿 張星

（1.合肥工業(yè)大學(xué)，自動(dòng)駕駛汽車安全技術(shù)安徽省重點(diǎn)實(shí)驗(yàn)室 安徽省智慧交通車路協(xié)同工程研究中心，合肥 230009；2.奇瑞汽車股份有限公司，蕪湖 241006）

主題詞：量子加密通信 身份認(rèn)證 車聯(lián)網(wǎng) 計(jì)算開銷 通信開銷

1 前言

在車聯(lián)網(wǎng)各實(shí)體中，車-云間的通信是車聯(lián)網(wǎng)技術(shù)的基礎(chǔ)。車-云通信過程中，存在大量的車輛隱私和位置信息，以及云服務(wù)器的控制信令[1]。因此，車-云通信安全對于整個(gè)車聯(lián)網(wǎng)交通安全具有重大影響。身份認(rèn)證是車聯(lián)網(wǎng)通信中最重要的步驟之一，可使合法車輛與車聯(lián)網(wǎng)云平臺進(jìn)行信息交互，并將非法用戶和各種類型的攻擊拒之門外[2]。

在車-云通信過程中，密鑰對于信息加密也有十分重要的影響。密鑰的生成往往基于隨機(jī)數(shù)和口令，隨機(jī)數(shù)的隨機(jī)性會影響生成密鑰的安全性[3]。在具有強(qiáng)大算力的計(jì)算機(jī)面前，通過種子信息、預(yù)設(shè)函數(shù)和常數(shù)常量等元素生成的偽隨機(jī)數(shù)將會變得極其不安全[4]。而真隨機(jī)數(shù)往往通過一些不可預(yù)測的物理現(xiàn)象產(chǎn)生，例如量子隨機(jī)數(shù)發(fā)生器通過光子的物理現(xiàn)象產(chǎn)生隨機(jī)數(shù)[5]。通過使用真隨機(jī)數(shù)來生成量子密鑰將會具有更高的安全性。目前，較為常用的量子密鑰分發(fā)協(xié)議由Bennett 和Brassard[6]于1984年提出，即BB84協(xié)議。

目前的身份認(rèn)證機(jī)制主要分為基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）的認(rèn)證方案、基于群簽名的認(rèn)證方案和基于身份的認(rèn)證方案[7]?；赑KI的認(rèn)證方案具有存儲、通信和計(jì)算開銷過大的缺陷。基于群簽名的認(rèn)證方案普遍具有如下問題：車輛離開一個(gè)群或加入一個(gè)新群，需要在可信實(shí)體（Trusted Authority，TA）的幫助下更新群密鑰[8]，這不僅給TA 帶來了額外的負(fù)擔(dān)，群密鑰的頻繁切換也帶來極大的計(jì)算和通信開銷[9]；群成員隱私信息的保護(hù)不易實(shí)現(xiàn)，難以保證匿名性和可追溯性?；谏矸莸恼J(rèn)證方案相較于基于PKI 的認(rèn)證方案，在很大程度上減少了計(jì)算、通信和存儲的開銷，但密鑰生成算法或者密鑰存儲設(shè)備的攻破會直接危害系統(tǒng)安全[10]。

本文針對部分車聯(lián)網(wǎng)設(shè)備通信和計(jì)算能力有限的問題，在車云網(wǎng)量子通信架構(gòu)的基礎(chǔ)上，設(shè)計(jì)一種輕量化身份認(rèn)證方案，主要通過量子隨機(jī)數(shù)、邏輯運(yùn)算和單向哈希函數(shù)[11-13]等進(jìn)行運(yùn)算，并與其他4種相關(guān)方案[14-17]進(jìn)行對比驗(yàn)證。

2 車云網(wǎng)量子加密通信系統(tǒng)架構(gòu)模型

車云網(wǎng)量子加密通信架構(gòu)系統(tǒng)既支持廣域網(wǎng)下車輛與車聯(lián)網(wǎng)云平臺之間通過線下儲存的充注密鑰進(jìn)行會話密鑰的無線分發(fā)，也支持局域網(wǎng)下車聯(lián)網(wǎng)云平臺與車載信息服務(wù)提供商（Telematics Service Provider，TSP）之間使用BB84協(xié)議實(shí)現(xiàn)量子密鑰的有線協(xié)商。因此，該系統(tǒng)實(shí)現(xiàn)了混合網(wǎng)絡(luò)下基于量子物理安全的加密通信。

車云網(wǎng)量子加密通信架構(gòu)系統(tǒng)主要由車聯(lián)網(wǎng)云平臺、車輛、密鑰充注系統(tǒng)（Key Filling System，KFS）和TSP組成，其架構(gòu)如圖1所示：

圖1 車云網(wǎng)量子加密通信架構(gòu)

a.量子云服務(wù)器（Quantum Cloud Server，QCS）車聯(lián)網(wǎng)云平臺。車聯(lián)網(wǎng)云平臺記錄著每一輛車的ID、密碼和充注密鑰，以此驗(yàn)證車輛身份的合法性，也為車輛提供各種車聯(lián)網(wǎng)服務(wù)。同時(shí)，QCS內(nèi)還集成了一套量子密鑰分發(fā)系統(tǒng)，可生成充注密鑰和量子會話密鑰，使其能夠與車輛之間進(jìn)行安全加密通信。QCS 與TSP 之間也具有量子密鑰分發(fā)系統(tǒng)，保證QCS能夠?qū)④囕v數(shù)據(jù)安全地傳輸給TSP。

b.車輛。每一輛車都配備一個(gè)具有無線通信能力的設(shè)備，該設(shè)備可以是車載通信終端（Telematics-BOX，T-BOX）或車載診斷系統(tǒng)（On-Board Diagnosis，OBU）。同時(shí)，車輛的安全介質(zhì)內(nèi)存放著KFS生成并線下充注的密鑰。在車輛與QCS完成認(rèn)證并申請到會話密鑰后，車輛能夠使用密鑰進(jìn)行加密通信。

c.密鑰充注系統(tǒng)。KFS 的主要作用是將QCS 產(chǎn)生的足量的量子隨機(jī)數(shù)以線下充注的方式儲存到車輛的安全介質(zhì)內(nèi)。該隨機(jī)數(shù)文件可以視為充注密鑰。同時(shí)，充注密鑰在QCS中也存有備份，并且與車輛ID綁定，充注密鑰將會用于后續(xù)的車-QCS會話密鑰的申請。

d.車載信息服務(wù)提供商：TSP主要負(fù)責(zé)從QCS獲取車輛的相關(guān)數(shù)據(jù)和請求后，提供相應(yīng)的車聯(lián)網(wǎng)服務(wù)。TSP與QCS之間通過光纖連接，并且集成了一套量子密鑰分發(fā)系統(tǒng)。量子密鑰分發(fā)系統(tǒng)能夠保證兩者之間的密鑰分發(fā)和加密通信絕對安全。

3 身份認(rèn)證流程

車輛與車聯(lián)網(wǎng)云平臺之間有2輪認(rèn)證，認(rèn)證過程如圖2所示。車輛上電后，將與QCS建立連接，并發(fā)送第1輪登錄認(rèn)證消息。QCS在收到車輛第1條認(rèn)證消息后，對車輛身份進(jìn)行認(rèn)證，認(rèn)證通過后向車輛回復(fù)一條認(rèn)證消息。車輛收到QCS 回復(fù)的認(rèn)證消息后，對QCS 身份進(jìn)行認(rèn)證，認(rèn)證通過后發(fā)送第2輪認(rèn)證消息。QCS收到第2輪認(rèn)證消息，驗(yàn)證通過后向車輛回復(fù)成功消息。至此，車輛與QCS之間的認(rèn)證流程完成。

圖2 車輛與云平臺的身份認(rèn)證流程

車輛與QCS 身份認(rèn)證的過程分為2 個(gè)階段，即注冊階段和認(rèn)證階段。表1 所示為認(rèn)證過程中的相關(guān)參數(shù)。

表1 登錄認(rèn)證協(xié)議參數(shù)

3.1 注冊階段

車輛通過線下的安全渠道向QCS 注冊登記，并向KFS獲取充注密鑰：

a.車輛Vi選擇其唯一真實(shí)身份信息RIDi和密碼PWi，并將信息上傳QCS。

b.QCS收到注冊信息后，計(jì)算H1(RIDi)，并將計(jì)算結(jié)果與數(shù)據(jù)庫現(xiàn)有身份信息進(jìn)行對比。如果已經(jīng)存在，則拒絕注冊請求；反之，QCS 將計(jì)算結(jié)果與RIDi綁定并記錄在數(shù)據(jù)庫內(nèi)。同時(shí)，QCS將注冊成功信息和3個(gè)安全哈希函數(shù)H1、H2、H3發(fā)送給車輛。

c.車輛收到信息后，記錄下3個(gè)安全哈希函數(shù)并向KFS上報(bào)身份信息H1(RIDi)，請求充注密鑰。

d.KFS在收到充注請求后，請求QCS檢查車輛合法性。完成檢查后，將充注密鑰傳輸?shù)杰囕v的安全介質(zhì)內(nèi)。同時(shí)，KFS將車輛身份信息和充注密鑰發(fā)送給QCS進(jìn)行綁定和記錄。

e.車輛收到充注密鑰后，將充注密鑰存儲在其安全介質(zhì)內(nèi)以完成注冊過程。

3.2 認(rèn)證階段

認(rèn)證階段詳細(xì)過程如圖3所示：

a.車輛Vi啟動(dòng)，登錄云服務(wù)平臺，生成第1 輪登錄認(rèn)證消息。生成量子隨機(jī)數(shù)α、隨機(jī)序列號Seqi和時(shí)間戳ti。計(jì)算匿名身份信息IDi=H1(RIDi)⊕H2(ti)，按照α1=α⊕H3(RIDi⊕H2(ti))計(jì)算隨機(jī)數(shù)，并且組裝生成認(rèn)證消息頭部，即H={MT||L||ti||Seqi}，計(jì)算MAC=H2(H||Ri||IDi||α1)，最后生成消息Mi={H||IDi||α1||Ri||MAC}，將消息發(fā)送給云服務(wù)器。

b.云服務(wù)器接收到消息Mi后，計(jì)算時(shí)間差t*-ti<Δt，檢查消息的有效性，如果不滿足條件則丟棄，如果滿足時(shí)間戳有效性，則計(jì)算該消息MAC*=H2(H||Ri||IDi||α1}，并檢查式（1）是否成立：

如果不成立則丟棄該消息，否則查看消息類型MT，驗(yàn)證為登錄認(rèn)證消息。檢查認(rèn)證輪次Ri，驗(yàn)證為第1輪認(rèn)證。取出IDi，并根據(jù)時(shí)間戳ti計(jì)算得出H1(RIDi)，將數(shù)據(jù)庫內(nèi)的身份消息進(jìn)行對比分析，查詢得出車輛的RIDi，如果未能成功查詢，則丟棄該消息，如果查詢成功，則通過車輛的RIDi在數(shù)據(jù)庫中找到對應(yīng)的PWi，并計(jì)算α=α1⊕H3(RIDi⊕H2(ti))，以及Rm=H2{α||PWi}。記錄對方的Seqj，同時(shí)生成量子隨機(jī)數(shù)β、隨機(jī)序列號Seqj和時(shí)間戳ti，計(jì)算β1=β⊕H3(RIDi⊕H2(ti))，組裝生成認(rèn)證消息頭部，即H={MT||L||ti||Seqj}，然后計(jì)算消息完整性驗(yàn)證碼MAC=H2(H||Ri||β1||Rm||E||Em)，最后生成消息Mi={H||β1||Ri||E||Em||Rm||MAC}，將消息發(fā)送給車輛Vi。

c.車輛Vi接收到消息Mi后，計(jì)算時(shí)間差t*-ti<Δt，檢查消息的有效性，如果不滿足條件則丟棄，如果滿足時(shí)間戳有效性，則計(jì)算該消息MAC*=H2(H||Ri||β1||Rm||E||Em)，并檢查式（2）是否成立：

如果不成立則丟棄該消息，否則查看消息類型MT，驗(yàn)證為登錄認(rèn)證消息。檢查認(rèn)證輪次Ri，驗(yàn)證為第1輪認(rèn)證。車輛Vi將自己之前發(fā)送的量子隨機(jī)數(shù)α與自己的密碼PWi進(jìn)行計(jì)算=H2{α||PWi}，并檢查式（3）是否成立：

如果不成立則丟棄該消息，否則檢查消息內(nèi)錯(cuò)誤碼E的值，如果表明登錄認(rèn)證消息失敗，則根據(jù)錯(cuò)誤信息Em修改認(rèn)證信息，并重新執(zhí)行步驟a。如果消息內(nèi)錯(cuò)誤碼E的值表明登錄認(rèn)證消息成功，則計(jì)算量子隨機(jī)數(shù)β=β1⊕H3(RIDi⊕H2(ti))，將云服務(wù)器的量子隨機(jī)數(shù)β與自己的密碼PWi進(jìn)行計(jì)算，得到Rm=H2{β||PWi}。序列號Seqi在之前的基礎(chǔ)上增加1，同時(shí)生成時(shí)間戳ti。組裝生成認(rèn)證消息頭部，即H={MT||L||ti||Seqj}，然后計(jì)算消息完整性驗(yàn)證碼MAC=H2(H||Ri||IDi||Rm)，最后生成消息Mi={H||IDi||Rm||Ri||MAC}并發(fā)送給云服務(wù)器。

d.云服務(wù)器接收到消息Mi后，計(jì)算時(shí)間差t*-ti<Δt，檢查消息的有效性，如果不滿足條件則丟棄，如果滿足時(shí)間戳有效性，則計(jì)算消息MAC*=H2(H||Ri||IDi||Rm)，并檢查式（4）是否成立：

如果不成立則丟棄該消息，否則查看消息類型MT，驗(yàn)證為登錄認(rèn)證消息。檢查認(rèn)證輪次Ri，驗(yàn)證為第2輪認(rèn)證。計(jì)算Rm=H2{β||PWi}，并檢查式（5）是否成立：

如果不成立則丟棄該消息，否則對比Seqi與之前記錄的數(shù)值是否滿足Seqi=Seqi*+1，不滿足則發(fā)送對應(yīng)錯(cuò)誤碼給車輛Vi，如果符合條件，則回復(fù)認(rèn)證成功消息。組裝生成認(rèn)證消息頭部H={MT||L||ti||Seqj}，然后計(jì)算消息完整性驗(yàn)證碼MAC=H2(H||Ri||E||Em)，最后生成消息Mi={H||Ri||E||Em||MAC}，將消息發(fā)送給車輛Vi。

e.車輛Vi接收到消息Mi后，計(jì)算時(shí)間差t*-ti<Δt，檢查消息的有效性，如果不滿足條件則丟棄，如果滿足時(shí)間戳有效性，則計(jì)算該消息MAC*=H2(H||Ri||E||Em)，驗(yàn)證式（6）是否成立：

如果不成立則丟棄該消息，否則查看消息類型MT，驗(yàn)證為登錄認(rèn)證消息。檢查認(rèn)證輪次Ri，驗(yàn)證為第2輪認(rèn)證。檢查消息內(nèi)錯(cuò)誤碼E的值，如果表明登錄認(rèn)證消息失敗，則根據(jù)錯(cuò)誤信息Em修改認(rèn)證信息，并重新執(zhí)行步驟a。如果消息內(nèi)錯(cuò)誤碼E的值表明登錄認(rèn)證消息成功，則認(rèn)證結(jié)束，車輛進(jìn)入通信流程下一階段。

4 安全性分析

本文所提出的輕量化身份認(rèn)證方案使用量子隨機(jī)數(shù)提高了通信過程的安全性，因?yàn)榱孔蛹用芡ㄐ啪哂袩o條件的安全性，這是由量子物理學(xué)的不可克隆原理和不確定性原理所決定的[18]。一方面，基于量子隨機(jī)數(shù)所產(chǎn)生的量子密鑰更加難以破解，具有更高的安全性，另一方面，量子密鑰分發(fā)過程已被證明是絕對安全的，且任何第三方竊聽行為都將會被及時(shí)發(fā)現(xiàn)[19]。本文對身份認(rèn)證過程進(jìn)行安全性分析，保證其符合安全性需求并能應(yīng)對各種安全攻擊手段：

a.匿名性。因?yàn)樵谡J(rèn)證過程中車輛使用的IDi并不是真實(shí)身份信息，所以在進(jìn)行身份認(rèn)證的過程中，攻擊者不能依靠攔截認(rèn)證消息獲得用戶的真實(shí)信息。因此，本文方案具有匿名性。

b.可追溯性。車輛的真實(shí)身份信息RIDi可以由QCS 分析計(jì)算IDi來獲得。當(dāng)網(wǎng)絡(luò)內(nèi)出現(xiàn)異常節(jié)點(diǎn)時(shí)，QCS 能夠通過分析IDi來追蹤到真實(shí)身份信息。因此，本文方案具備可追溯性。

c.不可鏈接性。車輛生成的用于身份認(rèn)證的匿名身份IDi和認(rèn)證消息Mi都使用了量子隨機(jī)數(shù)和時(shí)間戳，因此，每一次認(rèn)證使用的IDi都不相同，攻擊者無法通過長期追蹤來鎖定某個(gè)特定的車輛用戶。

d.抵抗偽造攻擊。本文方案在建立通信前需要進(jìn)行身份認(rèn)證。合法節(jié)點(diǎn)的身份信息記錄在QCS內(nèi)，而且每次認(rèn)證過程使用不同的量子隨機(jī)數(shù)，攻擊者難以偽裝成車輛或者QCS。因此，該方案能夠抵抗偽造攻擊。

e.抵抗重放攻擊。假定攻擊者具有截獲車輛和QCS 的身份認(rèn)證消息Mi的能力，在一段時(shí)間后，攻擊者將截獲信息原封不動(dòng)地發(fā)送給車輛或者QCS，并以此冒充合法身份。但是，Mi中存在著時(shí)間戳ti、量子隨機(jī)數(shù)和序列號Seqi或Seqj，都將造成攻擊者發(fā)送的認(rèn)證消息無效，從而使得攻擊者無法完成身份認(rèn)證。因此，本文方案對于重放攻擊具有很強(qiáng)的抵抗能力。

f.抵抗篡改攻擊。假設(shè)攻擊者在截獲車輛和QCS之間的身份認(rèn)證消息Mi后，篡改部分內(nèi)容來通過身份認(rèn)證。本文方案中，車輛與QCS的通信消息中都存在著完整性摘要MAC。當(dāng)消息被篡改后，消息接受方在對消息進(jìn)行完整性校驗(yàn)時(shí)將發(fā)現(xiàn)消息已經(jīng)篡改，從而丟棄該條消息。

g.抵抗中間人攻擊。假設(shè)攻擊者通過截獲車輛和QCS間的通信消息，介入兩者間的通信，達(dá)到欺騙對方、竊聽和篡改信息的目的[20]。本文方案中，車輛和QCS之間會進(jìn)行雙向認(rèn)證。同時(shí)，認(rèn)證所需信息都進(jìn)行加密并具有完整性摘要MAC，中間人既不能獲取有效信息，也不能篡改消息內(nèi)容。因此，本文方案具有抵抗中間人攻擊的能力。

5 性能評估

5.1 計(jì)算開銷

將所提出的輕量化認(rèn)證方案與現(xiàn)有的其他相關(guān)方案[10-13]在認(rèn)證過程的計(jì)算開銷進(jìn)行對比和分析。

試驗(yàn)中，使用一臺筆記本電腦作為QCS或云服務(wù)提供商（Cloud Service Provider，CSP）來統(tǒng)計(jì)計(jì)算開銷。該主機(jī)具有AMD Ryzen 7 5800H with Radeon Graphics 處理器、16 GB 內(nèi)存和Ubuntu 16.04 操作系統(tǒng)。對于每種計(jì)算開銷的統(tǒng)計(jì)，以10 000次計(jì)算為一組，計(jì)算10組取平均值。試驗(yàn)主機(jī)如圖4 所示，試驗(yàn)中，使用試驗(yàn)車的T-BOX開發(fā)板統(tǒng)計(jì)車輛計(jì)算開銷，開發(fā)板為移遠(yuǎn)AG35 QuecOpen硬件模組，具有ARM Cortex A7內(nèi)核的基帶處理器平臺，T-BOX開發(fā)板如圖5所示。對于每種計(jì)算開銷的統(tǒng)計(jì)，同樣以10 000次計(jì)算為一組，計(jì)算10組取平均值。異或運(yùn)算執(zhí)行時(shí)間遠(yuǎn)小于其他運(yùn)算，對試驗(yàn)結(jié)果影響較小，因此在統(tǒng)計(jì)計(jì)算開銷時(shí)忽略異或操作執(zhí)行時(shí)間。設(shè)Th1、Th2、Th3、Tbp、Tbp.m、Tmtp、TW.m、TM.m和Te/d分別為以MD5算法執(zhí)行單向哈希函數(shù)運(yùn)算、以SHA256算法執(zhí)行單向哈希函數(shù)運(yùn)算、以SM3 算法執(zhí)行單向哈希函數(shù)運(yùn)算、執(zhí)行雙線性對運(yùn)算、執(zhí)行雙線性對乘法運(yùn)算、執(zhí)行Map-To-Point 哈希運(yùn)算、執(zhí)行橢圓曲線群上的點(diǎn)乘運(yùn)算、執(zhí)行蒙哥馬利曲線群上的點(diǎn)乘運(yùn)算和執(zhí)行對稱加解密運(yùn)算的消耗時(shí)間，各方案的加密操作執(zhí)行時(shí)間如表2所示。

表2 各方案的加密操作執(zhí)行時(shí)間 ms

圖4 實(shí)車試驗(yàn)

圖5 T-BOX開發(fā)板

將本文所提出的輕量化身份認(rèn)證方案與現(xiàn)有的其他相關(guān)方案在認(rèn)證過程的計(jì)算開銷進(jìn)行對比，結(jié)果如表3所示。

表3 各方案的計(jì)算開銷 ms

由表3 可以看出，與其他方案相比，本文設(shè)計(jì)的輕量化方案在認(rèn)證階段所需的總時(shí)間大幅縮短。

5.2 通信開銷

將所提出的輕量化認(rèn)證方案與其他現(xiàn)有的相關(guān)方案在認(rèn)證過程的通信開銷進(jìn)行對比和分析。

本文提出的認(rèn)證方案主要有4 條消息：M1={H||IDi||α1||Ri||MAC}、M2={H||β1||Ri||E||Em||Rm||MAC}、M3={H||IDi||Rm||Ri||MAC}、M4={H||Ri||E||Em||MAC}。假設(shè)哈希函數(shù)的輸出大小為32 B、時(shí)間戳為4 B，4 條消息中IDi、MAC、α1、β1、Rm均屬于哈希函數(shù)。H中MT、L、ti、Seqi（Seqj）的大小分別是3 B、4 B、4 B 和3 B，Ri和E的大小均為1 B，Em的大小為2 B。因此消息M1～M4的通信開銷分別為142 B、114 B、111 B 和50 B。最終，本文方案的通信開銷為417 B。

本文所提出的輕量化認(rèn)證方案與其他現(xiàn)有的相關(guān)方案在認(rèn)證過程的通信開銷對比結(jié)果如表4 所示。由表4可知，本文方案的通信開銷低于其他4種方案。

表4 各方案的通信開銷 B

6 結(jié)束語

本文在車云網(wǎng)量子通信架構(gòu)的基礎(chǔ)上，設(shè)計(jì)了一種輕量化身份認(rèn)證方案。通過對認(rèn)證流程的詳細(xì)分析，論證了該方案符合安全性需求且能應(yīng)對各種安全攻擊手段。試驗(yàn)結(jié)果表明，該方案相較于其他相關(guān)方案，有更低的計(jì)算開銷和通信開銷，故對于大多數(shù)低計(jì)算量和低通信量的車聯(lián)網(wǎng)設(shè)備具有更高的適用性。