王 冠,張倩倩

(1.北京工業(yè)大學(xué) 信息學(xué)部,北京 100124;2.北京市可信計(jì)算重點(diǎn)實(shí)驗(yàn)室,北京 100124)

0 引 言

隨著物聯(lián)網(wǎng)的成熟和普及,一種通過互聯(lián)網(wǎng)連接車輛的特殊網(wǎng)絡(luò)應(yīng)運(yùn)而生:車聯(lián)網(wǎng)。車聯(lián)網(wǎng)是物聯(lián)網(wǎng)的一個(gè)子集,通過車對(duì)車(V2V)、車對(duì)基礎(chǔ)設(shè)施(V2I)連接實(shí)現(xiàn)通信。車聯(lián)網(wǎng)是一個(gè)復(fù)雜的綜合網(wǎng)絡(luò)系統(tǒng),連接車內(nèi)外的人、車載智能系統(tǒng)以及城市環(huán)境中的各種信息物理系統(tǒng)。通過將車輛、傳感器和移動(dòng)設(shè)備集成到一個(gè)全球網(wǎng)絡(luò)中,車聯(lián)網(wǎng)超越了遠(yuǎn)程信息處理、車輛自組織網(wǎng)絡(luò)和智能交通,使各種服務(wù)能夠交付給車輛和運(yùn)輸系統(tǒng)以及車上和車輛周圍的人。車聯(lián)網(wǎng)實(shí)時(shí)采集、處理和共享道路信息,緩解交通管控中的交通擁堵,通過預(yù)警減少交通事故,保障車輛安全[1]。傳統(tǒng)的車聯(lián)網(wǎng)環(huán)境主要由可信實(shí)體(TA)、路邊基站單元(RSU)和車載移動(dòng)單元(OBU)3個(gè)基本網(wǎng)絡(luò)節(jié)點(diǎn)組成。TA執(zhí)行車輛的注冊(cè)、認(rèn)證等功能,RSU設(shè)置在道路兩側(cè)或十字路口,利用專用短程通信協(xié)議通過無線信道與車輛通信,OBU用于采集上傳的相關(guān)車輛信息[2]。

當(dāng)前有大量車聯(lián)網(wǎng)身份認(rèn)證協(xié)議,它們用密碼學(xué)方法結(jié)合區(qū)塊鏈、云霧計(jì)算、邊緣計(jì)算等手段,實(shí)現(xiàn)了車聯(lián)網(wǎng)身份認(rèn)證協(xié)議的安全高效[2-6]。

文獻(xiàn)[3]針對(duì)多TA網(wǎng)絡(luò)模型提出一種基于區(qū)塊鏈的認(rèn)證和密鑰協(xié)議,將TA的計(jì)算負(fù)載卸載到RSU,提高認(rèn)證效率,但該協(xié)議并沒有抵抗內(nèi)部攻擊的手段。文獻(xiàn)[4]設(shè)計(jì)了一種基于對(duì)稱加密算法和霧計(jì)算的車聯(lián)網(wǎng)認(rèn)證協(xié)議,有4層架構(gòu),并應(yīng)用了SGX抵抗特權(quán)攻擊,但該協(xié)議并沒有有效利用RSU。文獻(xiàn)[5]提出一個(gè)基于邊緣計(jì)算的的車聯(lián)網(wǎng)身份認(rèn)證隱私保護(hù)協(xié)議,該協(xié)議將車輛作為邊緣節(jié)點(diǎn)參與認(rèn)證,RSU不參與認(rèn)證,但是沒有抵抗特權(quán)用戶攻擊。文獻(xiàn)[6]提出了一種基于密鑰共享和動(dòng)態(tài)代理機(jī)制的去中心化車輛身份驗(yàn)證方案,基于信任管理的區(qū)塊鏈聚合子認(rèn)證結(jié)果,實(shí)現(xiàn)協(xié)同認(rèn)證,存儲(chǔ)在防篡改區(qū)塊鏈中的信譽(yù)較高的邊緣計(jì)算節(jié)點(diǎn)可以將最終聚合的認(rèn)證結(jié)果上傳到中心服務(wù)器,實(shí)現(xiàn)去中心化認(rèn)證,但是沒有抵抗內(nèi)部攻擊。文獻(xiàn)[7]設(shè)計(jì)了一種基于SGX技術(shù)的工業(yè)物聯(lián)網(wǎng)認(rèn)證協(xié)議,該協(xié)議采用SGX存儲(chǔ)主密鑰,同時(shí)借助SGX內(nèi)存保密的特點(diǎn)實(shí)現(xiàn)機(jī)密計(jì)算,該協(xié)議可以有效抵抗特權(quán)用戶攻擊和終端節(jié)點(diǎn)的追蹤攻擊[7]。文獻(xiàn)[2]設(shè)計(jì)了一種基于區(qū)塊鏈和secGear統(tǒng)一機(jī)密計(jì)算框架的車聯(lián)網(wǎng)認(rèn)證協(xié)議,在滿足抗抵賴要求的同時(shí)實(shí)現(xiàn)了跨區(qū)域認(rèn)證,并采用secGear框架實(shí)現(xiàn)了認(rèn)證表的機(jī)密計(jì)算,保護(hù)了認(rèn)證表的安全。

但是隨著網(wǎng)絡(luò)中車輛的激增,區(qū)塊鏈性能開銷大,逐漸不能滿足認(rèn)證所需的安全高效。在車聯(lián)網(wǎng)中應(yīng)用邊緣計(jì)算、霧計(jì)算等新興技術(shù)手段提高了認(rèn)證的高效,但是增加了網(wǎng)絡(luò)節(jié)點(diǎn),且沒有最大程度地利用RSU?，F(xiàn)存的大部分認(rèn)證協(xié)議主要考慮了外部攻擊,如重放攻擊、竊聽攻擊、捕獲攻擊等。隨著軟件復(fù)雜性的增加,攻擊者有可能會(huì)利用木馬等惡意軟件來獲取系統(tǒng)內(nèi)部的信息,竊取認(rèn)證表,從而實(shí)現(xiàn)內(nèi)部攻擊,內(nèi)部攻擊危害相比于外部攻擊更大,系統(tǒng)內(nèi)部充滿威脅[7]?；诖?該文設(shè)計(jì)了一種基于可信計(jì)算技術(shù)的安全高效的身份認(rèn)證協(xié)議,抵抗了內(nèi)部攻擊,同時(shí)實(shí)現(xiàn)了計(jì)算的卸載。

該協(xié)議最大程度地利用RSU,RSU不再只是實(shí)現(xiàn)簡(jiǎn)單的轉(zhuǎn)發(fā)功能,將身份認(rèn)證過程中的主要計(jì)算工作卸載到RSU內(nèi)完成。TA和RSU實(shí)現(xiàn)遠(yuǎn)程認(rèn)證,TA將生成的主密鑰通過遠(yuǎn)程認(rèn)證實(shí)現(xiàn)的安全通道傳輸給可信的RSU。在身份認(rèn)證與密鑰協(xié)商階段,OBU通過公共信道將信息發(fā)送給RSU后,RSU根據(jù)收到的信息,從中取出車輛離線注冊(cè)時(shí)留在TA的認(rèn)證標(biāo)識(shí),發(fā)送給TA,TA收到此標(biāo)識(shí)后,從內(nèi)存的OBU認(rèn)證表中取出對(duì)應(yīng)信息發(fā)送給RSU,在RSU內(nèi)將TA發(fā)來的信息和OBU發(fā)來的信息進(jìn)行計(jì)算對(duì)比,計(jì)算完成后,RSU將對(duì)應(yīng)的信息分別轉(zhuǎn)發(fā)給OBU和TA。

該協(xié)議利用SGX技術(shù)提供的安全機(jī)制來保證認(rèn)證協(xié)議的安全性,利用SGX的密封機(jī)制來保存主密鑰,內(nèi)存隔離機(jī)制來實(shí)現(xiàn)機(jī)密計(jì)算,遠(yuǎn)程認(rèn)證機(jī)制來安全地傳輸主密鑰。

1 相關(guān)技術(shù)

IntelSGX(Intel Software Guard Extension)[8]是對(duì)Intel架構(gòu)的一組擴(kuò)展,旨在為計(jì)算機(jī)上執(zhí)行的敏感計(jì)算提供完整性和機(jī)密性保護(hù)。SGX是一系列可信計(jì)算設(shè)計(jì)中的最新迭代,旨在通過利用遠(yuǎn)程計(jì)算機(jī)中的可信硬件來解決安全遠(yuǎn)程問題。可信硬件建立安全容器,遠(yuǎn)程計(jì)算服務(wù)用戶將所需的計(jì)算和數(shù)據(jù)上傳到安全容器中,可信硬件在執(zhí)行計(jì)算時(shí)保護(hù)數(shù)據(jù)的機(jī)密性和完整性[9]。SGX技術(shù)主要包括隔離執(zhí)行和遠(yuǎn)程認(rèn)證兩個(gè)核心機(jī)制[10]。

1.1 隔離執(zhí)行

SGX技術(shù)允許應(yīng)用程序在一個(gè)受保護(hù)的容器中執(zhí)行,稱為Enclave。Enclave是應(yīng)用程序地址空間中的一個(gè)受保護(hù)區(qū)域,即使存在特權(quán)惡意軟件,它也提供了機(jī)密性和完整性。如果Enclave外的軟件試圖訪問Enclave內(nèi)存區(qū)域,即使是特權(quán)軟件,如虛擬機(jī)管理器、BIOS或操作系統(tǒng),也會(huì)受到阻止。SGX阻止所有其他軟件訪問位于Enclave內(nèi)的代碼和數(shù)據(jù),包括系統(tǒng)軟件和來自其他Enclave的訪問。檢測(cè)到修改Enclave內(nèi)容時(shí),阻止或中止執(zhí)行。

為了實(shí)現(xiàn)SGX內(nèi)存保護(hù),需要新的硬件結(jié)構(gòu)。EPC(Enclave Page Cache)是用于存儲(chǔ)Enclave頁和SGX結(jié)構(gòu)的保護(hù)內(nèi)存,該內(nèi)存受軟硬件訪問的保護(hù)。EPC內(nèi)存儲(chǔ)了許多不同Enclaves的代碼和數(shù)據(jù),當(dāng)Enclave執(zhí)行對(duì)EPC的內(nèi)存訪問時(shí),處理器決定是否訪問。處理器在稱為EPCM(Enclave Page Cache Map)的硬件結(jié)構(gòu)中維護(hù)EPC中每個(gè)頁面的安全性和訪問控制信息。EPC為系統(tǒng)中的Enclave提供受保護(hù)的內(nèi)存區(qū)域。EPCM是附加到每個(gè)EPC頁面的安全元數(shù)據(jù)。EPCM包含硬件保護(hù)Enclave內(nèi)存訪問所需的信息。EPC頁面和EPCM條目之間存在1∶1的映射。內(nèi)存加密引擎(MEE)是一個(gè)硬件單元,加密處理器包主存(DRAM)之間的通信數(shù)據(jù)。創(chuàng)建Enclave時(shí),會(huì)將Enclave二進(jìn)制文件加載到EPC中,并建立Enclave標(biāo)識(shí)。Enclave創(chuàng)建過程分為多個(gè)階段:初始化Enclave控制結(jié)構(gòu)、分配EPC頁并將Enclave內(nèi)容加載到頁中、測(cè)量Enclave內(nèi)容并最終建立Enclave標(biāo)識(shí)。加載完后,處理器會(huì)計(jì)算Enclave中所有內(nèi)容的摘要(SHA-256) ,與開發(fā)者簽名中的摘要進(jìn)行對(duì)比。只有相匹配,才會(huì)通過完整性驗(yàn)證,然后執(zhí)行相應(yīng)應(yīng)用代碼。

1.2 遠(yuǎn)程認(rèn)證

SGX架構(gòu)提供了兩種機(jī)制,一種用于在同一平臺(tái)上運(yùn)行的2個(gè)Enclave之間進(jìn)行本地證明,另一種用于擴(kuò)展本地證明以向平臺(tái)外的第3方進(jìn)行遠(yuǎn)程證明。

遠(yuǎn)程認(rèn)證需要使用非對(duì)稱加密。SGX啟用了一個(gè)特殊的Enclave,稱為Quoting Enclave,專門用于遠(yuǎn)程證明。SGX引入了EPID(Enhanced Privacy ID),EPID是一種組簽名方案,它允許平臺(tái)對(duì)對(duì)象進(jìn)行簽名,而無需唯一標(biāo)識(shí)平臺(tái)或鏈接不同的簽名。Quoting Enclave創(chuàng)建用于簽署平臺(tái)證明的EPID密鑰,然后由EPID后端基礎(chǔ)設(shè)施認(rèn)證。EPID密鑰不僅代表平臺(tái),還代表底層硬件的可信度。當(dāng)Enclave 系統(tǒng)運(yùn)行時(shí),只有Quoting Enclave可以訪問EPID密鑰,并且EPID密鑰綁定到處理器固件的版本。因此,可以看到一個(gè)QUOTE是由處理器本身發(fā)出的。

首先,應(yīng)用程序需要來自平臺(tái)外部的服務(wù),并與服務(wù)提供商建立通信。服務(wù)提供商向應(yīng)用程序發(fā)出挑戰(zhàn),以證明它確實(shí)要在一個(gè)或多個(gè)Enclave內(nèi)運(yùn)行必要的組件;應(yīng)用程序提供Quoting Enclave的Enclave身份,并將其與服務(wù)提供商的挑戰(zhàn)一起傳遞給應(yīng)用程序的Enclave;Enclave生成一個(gè)清單,其中包括對(duì)質(zhì)詢的響應(yīng)和一個(gè)臨時(shí)生成的公鑰,以供挑戰(zhàn)者用于將秘密傳送回Enclave,然后它生成清單的哈希摘要,并將其作為EREPORT指令的用戶數(shù)據(jù)包含在內(nèi),EREPORT指令將生成一個(gè)將清單綁定到Enclave的報(bào)告,然后Enclave將報(bào)告發(fā)送到應(yīng)用程序;應(yīng)用程序?qū)EPORT轉(zhuǎn)發(fā)給Quoting Enclave進(jìn)行簽名;Quoting Enclave使用EGETKEY指令檢索其報(bào)告密鑰并驗(yàn)證報(bào)告。Quoting Enclave創(chuàng)建QUOTE結(jié)構(gòu)并使用EPID密鑰對(duì)其進(jìn)行簽名。Quoting Enclave將QUOTE結(jié)構(gòu)返回給應(yīng)用程序;應(yīng)用程序?qū)UOTE結(jié)構(gòu)發(fā)送給服務(wù)挑戰(zhàn)者;挑戰(zhàn)者使用EPID公鑰證書和撤銷信息或認(rèn)證服務(wù)來驗(yàn)證報(bào)價(jià)上的簽名,并通過清單摘要驗(yàn)證清單的完整性。

2 身份認(rèn)證協(xié)議設(shè)計(jì)

該系統(tǒng)包括3個(gè)實(shí)體:TA、RSU和OBU[11]。在這個(gè)模型中,TA知道部署了哪些RSU。車輛在接入車聯(lián)網(wǎng)中要與TA進(jìn)行認(rèn)證,整體流程如圖1所示。

圖1 整體流程

針對(duì)車聯(lián)網(wǎng)應(yīng)用場(chǎng)景,該文提出一種基于SGX的身份認(rèn)證協(xié)議,以確保車聯(lián)網(wǎng)的數(shù)據(jù)傳輸和指令傳輸?shù)陌踩咝АＴ搮f(xié)議主要包括初始化協(xié)議、注冊(cè)階段、遠(yuǎn)程認(rèn)證階段、身份認(rèn)證及密鑰協(xié)商階段。

2.1 初始化協(xié)議

(1)超級(jí)管理員選取隨機(jī)數(shù)(MK),將MK作為主密鑰保存在TA中的SGX,TA生成全局隨機(jī)數(shù)(IDT),RSU內(nèi)也包含IDT。

(2)超級(jí)管理員將單向哈希函數(shù)h(),消息認(rèn)證碼對(duì)HMack(Mac,Ver)等寫入所有的OBU和RSU的內(nèi)存中。

2.2 車輛注冊(cè)階段

在車輛注冊(cè)階段,用戶和車輛需要在TA進(jìn)行注冊(cè),TA為車輛生成身份標(biāo)識(shí)(IDi),該階段在離線環(huán)境中進(jìn)行,注冊(cè)步驟如下:

(1)用戶在TA中輸入密碼(PWi)和生物信息(BIOi),TA為車輛選擇身份標(biāo)識(shí)(IDi),創(chuàng)建智能卡(IDSC),計(jì)算(σi,τi)=Gen(BIOi),RPW=h(IDi‖PWi|σi),V=h(RPW‖IDSC)。

(2)TA生成隨機(jī)數(shù)(rs,Ks),使用IDT計(jì)算Ni,VIDi和Fi,其中Ni=rs⊕h(IDi‖PWi‖σi‖IDSC),VIDi=h(rs‖IDi‖IDT),Fi=h(IDT‖VIDi)⊕rs。

(3)TA獲取隨機(jī)數(shù)(W),并將W、VIDi、Fi、Ks、IDi輸入到SGX的安全接口,安全接口使用主密鑰(MK)計(jì)算并返回PVIDi,PFi,SW,PKs,PIDi,其中PVIDi=VIDi⊕h(W‖MK),PFi=Fi⊕h(W‖MK),PKs=Ks⊕h(W‖MK),PIDi=IDi⊕h(W‖MK),SW=W⊕h(IDT‖MK)。

(4)TA將{W,PVIDi,PFi,PKs,PIDi}存儲(chǔ)在自己內(nèi)存中的認(rèn)證表中,TA獲取當(dāng)前時(shí)間戳(t1),并將{Ni,V,VIDi,SW,Ks,τi,IDi,t1}通過安全信道發(fā)送給OBU,將智能卡交給用戶。

(5)OBU接收到TA返回的信息后,判斷時(shí)間戳(t1)的新鮮性,如果t1不新鮮,則拒絕該請(qǐng)求并要求重發(fā);否則,OBU將{Ni,V,VIDi,SW,Ks,τi,IDi}保存在自己的內(nèi)存中,并給TA返回一條確認(rèn)消息。

2.3 遠(yuǎn)程認(rèn)證階段

在基于SGX的身份認(rèn)證協(xié)議中,為了確保主密鑰的安全性,主密鑰的部署方式必須是可信的。TA首先需要通過認(rèn)證建立與RSU的安全會(huì)話通道,然后將主密鑰發(fā)送到RSU中。利用SGX提供的遠(yuǎn)程認(rèn)證建立TA與RSU可信區(qū)的認(rèn)證會(huì)話,同時(shí)通過密鑰交換協(xié)議協(xié)商出雙方的會(huì)話密鑰。最終TA通過會(huì)話密鑰加密主密鑰并發(fā)送給RSU。通過遠(yuǎn)程認(rèn)證,RSU中的Enclave可以證明自己的身份合法,未經(jīng)篡改同時(shí)運(yùn)行在啟用了SGX的正版平臺(tái),這保證了主密鑰的安全[12-14]。認(rèn)證流程如圖2所示。

圖2 遠(yuǎn)程認(rèn)證流程

認(rèn)證過程如下:(1)TA向RSU發(fā)起挑戰(zhàn),RSU執(zhí)行幾個(gè)步驟來構(gòu)造遠(yuǎn)程認(rèn)證流的初始消息。RSU Enclave初始化后,RSU Application執(zhí)行Ecall進(jìn)入Enclave,RSU Enclave調(diào)用sgx_ra_init()并將結(jié)果和DHKE Context返回給RSU Application,sgx_ra_init()函數(shù)的參數(shù)為TA的公鑰,該公鑰應(yīng)該硬編碼到RSU Enclave,可確保最終用戶無法更改密鑰,從而Enclave只能與預(yù)期的遠(yuǎn)程服務(wù)通信。然后,RSU Enclave調(diào)用sgx_get_extended_epid_group_id()來檢索EPID的擴(kuò)展GID以生成msg0。

(2)RSU調(diào)用sgx_ra_get_msg1()來生成包含DHKE客戶端公鑰(Ga)的msg1,該方法的其他參數(shù)包括在上一步中獲得的DHKE Context和一個(gè)指向用于計(jì)算客戶端DHKE密鑰的sgx_ra_get_ga()存根函數(shù)的指針。當(dāng)RSU Enclave鏈接到sgx_tkey_exchange庫并導(dǎo)入sgx_tkey_exchange時(shí),該函數(shù)由SDK自動(dòng)生成。將msg0和msg1一起發(fā)送給TA,msg0‖msg1=(ExGID‖Ga‖GID),其中“‖”表示連接。

(3)從RSU接收msg1后,TA檢查請(qǐng)求中的值,生成自己的DHKE參數(shù),并向Intel認(rèn)證服務(wù)中心(IAS)發(fā)送查詢用以檢索客戶端發(fā)送的Intel EPID GID的簽名撤銷列表(SigRL),Intel認(rèn)證服務(wù)只支持?jǐn)U展GID的值為0。TA使用P-256曲線生成一個(gè)隨機(jī)的EC密鑰(Gb),通過Ga和Gb派生出密鑰(KDK),對(duì)KDK執(zhí)行AES-128CMAC算法派生出SMK。TA將msg2=(Gb‖SPID‖Quote_Type‖KDF_ID‖SigSP(Ga,Gb))‖CMACSMK(Gb‖SPID‖Quote_Type‖KDF_ID‖SigSP(Ga,Gb))‖SigRL(GID)發(fā)給RSU。其中SPID為服務(wù)提供商ID,Quote_Type為客戶端請(qǐng)求的Quote類型(0x0表示不可鏈接,0x1表示可鏈接)。KDF_ID通常為0x1,使用服務(wù)提供商的EC私鑰計(jì)算ECDSA簽名得到SigSP(Ga,Gb)。

(4)RSU接收到msg2后,應(yīng)用程序調(diào)用sgx_ra_proc_msg2()函數(shù)來生成msg3。該調(diào)用執(zhí)行以下任務(wù)。驗(yàn)證TA Enclave的簽名、檢查SigRL、返回msg3,其中包含用于驗(yàn)證特定Enclave的Quote,msg3=CMACSMK(Ga‖Ps_Security_Prop‖Quote)‖Ga‖Ps_Security_Prop‖Quote。

(5)TA接收到msg3后,需要做以下操作。驗(yàn)證msg3中的Ga是否與msg1中的Ga匹配;驗(yàn)證CMACSMK(M);驗(yàn)證Quote中的前32個(gè)字節(jié)是否匹配SHA-256摘要(Ga‖Gb‖VK),其中‖表示連接;驗(yàn)證RSU提供的認(rèn)證證據(jù),驗(yàn)證證據(jù)要求服務(wù)提供者向IAS提交QUOTE并獲得認(rèn)證報(bào)告。該報(bào)告由IAS報(bào)告簽名私鑰簽名,服務(wù)提供者必須使用IAS報(bào)告簽名公鑰驗(yàn)證該簽名。TA從KDK派生出128比特的會(huì)話密鑰,用會(huì)話密鑰通過該AES/GCM/NoPadding算法加密要傳輸?shù)闹髅荑€。TA將驗(yàn)證結(jié)果和加密的MK作為msg4發(fā)送給RSU[15]。

(6)RSU收到msg4后在Enclave中調(diào)用sgx_ra_get_keys()獲取會(huì)話密鑰,并調(diào)用SGX加密庫提供的AES解密函數(shù)sgx_rijindael128GCM_decrypt()解密出MK,然后通過SGX密封函數(shù)sgx_seal_data()密封MK。

2.4 用戶登錄認(rèn)證與密鑰協(xié)商階段

在該階段中,用戶首先進(jìn)行登錄,登錄成功后進(jìn)入身份認(rèn)證階段,TA、RSU和OBU三方都要進(jìn)行認(rèn)證,并協(xié)商出會(huì)話密鑰,該階段如圖3所示。

(1)用戶在車輛的設(shè)備終端輸入登錄需要的身份信息,登錄驗(yàn)證通過后進(jìn)入車輛身份認(rèn)證與密鑰協(xié)商階段。車輛在進(jìn)入車聯(lián)網(wǎng)區(qū)域時(shí),車輛的OBU通過不安全的網(wǎng)絡(luò)信道將{Q1,M1,SW,t1}發(fā)送給RSU。

圖3 三方身份認(rèn)證階段

3 安全性分析

3.1 重放攻擊

協(xié)議使用時(shí)間戳(t1、t2)來抵抗重放攻擊,在每次接收到消息時(shí),會(huì)先檢查時(shí)間戳的新鮮性,如果時(shí)間戳不新鮮,丟棄此消息要求重發(fā)。

3.2 特權(quán)內(nèi)部攻擊

該協(xié)議主密鑰存儲(chǔ)在SGX內(nèi),TA中的OBU認(rèn)證表的內(nèi)容都經(jīng)過主密鑰的加密,包括存儲(chǔ)的會(huì)話密鑰、OBU的ID等敏感信息,即使內(nèi)部特權(quán)用戶獲得認(rèn)證表,也無法獲取有效消息。且RSU中的計(jì)算都是在SGX中進(jìn)行,特權(quán)用戶攻擊者也無法窺得該機(jī)密計(jì)算的過程。

3.3 追蹤攻擊

該協(xié)議使用的變量在每個(gè)會(huì)話中都是動(dòng)態(tài)變化的,其中的重要參數(shù){Q1,M1,SW},在每一輪的認(rèn)證過程中都是不同的,包括在TA和RSU之間傳輸?shù)膡W,PVIDi,PFi,PKs,PIDi}也是在認(rèn)證過后實(shí)時(shí)更新的。不存在可以一直追蹤的常量,因此攻擊者無法追蹤某個(gè)參數(shù)進(jìn)而獲取敏感信息。

3.4 竊聽攻擊

攻擊者可以在網(wǎng)絡(luò)中截獲{Q1,Q2,M1,M2,SW,PVIDi,PFi,PKs,PIDi},其中攻擊者要想從Q1,Q2中獲得敏感信息,需要獲取ri,VIDi,但這兩個(gè)參數(shù)不在網(wǎng)絡(luò)中傳輸。M1,M2已經(jīng)被單向哈希函數(shù)加密,從中無法獲取有效信息。SW經(jīng)過主密鑰的計(jì)算,PVIDi,PFi,PKs,PIDi均已經(jīng)通過主密鑰進(jìn)行加密計(jì)算,因此也無法獲取有效信息。

3.5 認(rèn)證表泄露攻擊

在該協(xié)議中,認(rèn)證表存儲(chǔ)在內(nèi)存中,假設(shè)認(rèn)證表泄露,認(rèn)證表中的內(nèi)容{W,PVIDi,PFi,PKs,PIDi}即使被攻擊這獲取,他也無法獲取有效內(nèi)容。因?yàn)閃為隨機(jī)數(shù),在下一次認(rèn)證時(shí)W也會(huì)更新,并且在此次認(rèn)證后的會(huì)話過程中也無法通過W獲取到會(huì)話密鑰或者其他有效信息,{PVIDi,PFi,PKs,PIDi}都已經(jīng)通過主密鑰進(jìn)行計(jì)算,因此也無法獲取到有效信息。綜上,該協(xié)議抵抗了認(rèn)證表泄露攻擊。

4 性能分析

在比較計(jì)算成本時(shí),通過模擬實(shí)驗(yàn)估算協(xié)議中每個(gè)實(shí)體的計(jì)算時(shí)間,其中用安卓手機(jī)來模擬車輛,用聯(lián)想筆記本電腦來模擬RSU和TA。兩臺(tái)設(shè)備的配置如表1所示,得出的運(yùn)行時(shí)間如表2所示,其中定義th為哈希函數(shù)的運(yùn)算時(shí)間,tsym為一次對(duì)稱加解密的運(yùn)算時(shí)間,te為一次模指數(shù)運(yùn)算的時(shí)間。

表2 實(shí)驗(yàn)結(jié)果 ms

該協(xié)議將TA中的主要計(jì)算工作卸載到RSU內(nèi)進(jìn)行,實(shí)現(xiàn)了分布式計(jì)算,解決了可信中心(TA)負(fù)載過大的問題。在分析計(jì)算成本時(shí),需要分別分析車輛(OBU)、路邊單元(RSU)和可信中心(TA)的計(jì)算成本,其中簡(jiǎn)單的異或運(yùn)算⊕小到忽略不計(jì),HAMC簽名所用時(shí)間與哈希函數(shù)所用時(shí)間相同。TA將主密鑰通過Intel SGX遠(yuǎn)程認(rèn)證建立的安全通道傳輸給RSU,這個(gè)操作只在系統(tǒng)遠(yuǎn)程認(rèn)證時(shí)部署一次,不會(huì)在系統(tǒng)運(yùn)行過程中帶來時(shí)間消耗。系統(tǒng)中使用SGX主要帶來模式切換開銷和訪存開銷,在文獻(xiàn)[12]中經(jīng)過評(píng)測(cè)得到模式切換開銷僅為8μs,訪存開銷為3μs,故在以下的計(jì)算分析中忽略SGX的計(jì)算開銷。

4.1 計(jì)算開銷分析

計(jì)算消耗的比較結(jié)果如表3所示。從表中可以看出,文中協(xié)議的計(jì)算消耗是最低的,并且實(shí)現(xiàn)了TA的計(jì)算卸載,因此文中協(xié)議在具備安全性的保證下計(jì)算耗能也更低,實(shí)現(xiàn)了分布式計(jì)算,具備車聯(lián)網(wǎng)協(xié)議要求的高效及時(shí)性。

表3 計(jì)算開銷對(duì)比

4.2 通信開銷分析

在分析通信開銷時(shí),假設(shè)時(shí)間戳的長度為32 bit,隨機(jī)數(shù)、密鑰、身份標(biāo)識(shí)的長度為160 bit,哈希函數(shù)和對(duì)稱加解密的輸出為256 bit,得出通信開銷對(duì)比如表4所示。

表4 通信開銷對(duì)比

在計(jì)算開銷和通信開銷在總成本中占比相等的情況下進(jìn)行對(duì)比,文中協(xié)議的計(jì)算開銷遠(yuǎn)小于文獻(xiàn)[11]的計(jì)算開銷,與文獻(xiàn)[2]相比,文中的通信開銷增加了21.59%,但計(jì)算開銷減少了23.16%。由此得出文中協(xié)議優(yōu)于以上兩種協(xié)議。同時(shí),文獻(xiàn)[2]在模型中設(shè)置了多個(gè)TA,增加了網(wǎng)絡(luò)節(jié)點(diǎn)。文中協(xié)議實(shí)現(xiàn)了分布式計(jì)算,將TA的計(jì)算負(fù)載卸載到RSU中完成,同時(shí)也沒有在網(wǎng)絡(luò)中增加節(jié)點(diǎn),相較于其他協(xié)議降低了成本。

5 結(jié)束語

車聯(lián)網(wǎng)的身份認(rèn)證協(xié)議目前多數(shù)使用基于區(qū)塊鏈的方式,或者使用復(fù)雜的加密運(yùn)算方式,或是采用在網(wǎng)絡(luò)中增加云霧節(jié)點(diǎn)等方式,使得計(jì)算通信開銷過大。為了解決這個(gè)問題,文中協(xié)議在車聯(lián)網(wǎng)中使用了可信計(jì)算(SGX)技術(shù),將TA的計(jì)算負(fù)載卸載到RSU中完成,實(shí)現(xiàn)了分布式計(jì)算,大大地降低了TA的計(jì)算成本,實(shí)現(xiàn)了去中心化的身份認(rèn)證,通過與現(xiàn)有的認(rèn)證協(xié)議進(jìn)行對(duì)比,該協(xié)議的計(jì)算開銷有所減少。另外,該文采用了SGX技術(shù),將主密鑰保存在由可信硬件保護(hù)的環(huán)境中,并利用主密鑰對(duì)TA中的車輛關(guān)系認(rèn)證表進(jìn)行加密,防止了認(rèn)證表泄露攻擊,同時(shí)抵御了內(nèi)部特權(quán)用戶的攻擊。