基于可信计算的车载网认证方案

2017-09-08胡春阳徐德刚

湖北文理学院学报 2017年8期

关键词：可信性私钥公钥

文松，王敏，胡春阳，徐德刚

(湖北文理学院数学与计算机科学学院，湖北襄阳 441053)

基于可信计算的车载网认证方案

文松，王敏，胡春阳，徐德刚

(湖北文理学院数学与计算机科学学院，湖北襄阳 441053)

基于可信思想提出了一种车载网络中车载单元和路侧单元的双向认证方案. 鉴于现有各种方案的优点与不足，对基于身份密码的认证方案进行了改进，使用可信第三方作为密钥生成中心来提高参与方私钥的可信性. 采用身份密码在路侧单元与车载单元之间进行相互认证，克服了传统PKI证书管理弱点. 为抵抗重放攻击、路侧单元叛变、虚假信息，使用可信平台模块进行完整性测量与报告，在认证过程中向车载单元出示测量结果，车载单元可以根据测量结果对路侧单元的可信性进行验证，保护自己的隐私信息.

可信计算；身份密码；双向认证

车载自组网(Vehicular Ad hoc Network， VANET)是移动自组织网络(Mobile Ad hoc Network， MANET)在交通道路上的应用，具有无中心、移动性和多跳传输等特点，主要实现人、车、路之间的信息交互，进而构造智能、安全、可靠的高效交通信息网络. VANET的常用通信方式有车-车通信(Vehicle to Vehicle， V2V)，车-路通信(Vehicle to Infrastructure， V2I)，通信过程中的安全问题受到广泛关注.

车载自组织网络中车辆数目众多，形成了规模庞大的网络，车辆与车辆和基础设施之间通过无线方式进行通信，网络容易受到攻击，安全问题突出. 研究者对VANET存在的攻击方式进行了详细分析，将攻击行为分为4类[1- 2]：1)虚假信息攻击：比如在网络中发布虚假车流路况信息，以攻击其他车辆的路由；2)伪冒身份攻击：攻击者伪造多个虚假身份，在网络中发起Sybil攻击，欺骗并危害其他车辆；3)篡改信息记录攻击：攻击者为逃避交通事故责任，伪造车速、位置、方向、时间等信息记录；4)拒绝服务攻击：攻击者大量发送虚假报文，堵塞通信信道，使信息无法从源节点发出，导致其他车辆无法及时处理重要信息.

为应对以上安全威胁，研究者对车载网络的安全需求进行了定义，文献[3-4]认为VANET内的位置安全主要有以下要素：保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、身份验证(Authentication)、隐私(Privacy)和付费(Billing).

针对上述需求，有人开展了不少有意义的工作. 为了提高车载自组织网络的安全通信效率，一些学者研究提高VANET系统性能的安全保护方法，其中包括控制用户证书发送，减少证书重复发放，避免信道拥塞，降低接收消息者的处理延迟[5-6]；以及汇聚若干签名及消息一起发送，减少付加数据冗余，提高签名验证效率的方法[7-9]；引用轻量级密码算法，对称加密与非对称假名算法灵活使用，保证安全性能的同时降低系统开销[10-12].

在V2I通信中，运行的车载设备单元(On Board Units， OBU)与路侧单元(Road Side Units， RSU)之间的身份认证是双方进行后续服务请求与提供的基础. 如果VANET没有安全性保障，有可能存在注入消息重放攻击、主动伪造信息攻击等，这将给VANET和交通系统带来严重威胁. V2I的安全通信协议提供RSUs与OBUs之间的安全通信，要求在通信之前必须通过双方的身份认证.

1 常用的认证方案

车载自组网由车辆子网、网络运营商和基础设施组成，其中V2V和V2I以无线通信方式为主，特别容易受到虚假身份和虚假信息的攻击. 在V2I通信中，首先进行的是身份认证. 现有的V2I安全通信协议主要有以下几类：

1)基于传统公钥密码系统PKI(Public Key Infrastructure).

2)基于身份的公钥系统(Identity-based Public Key Cryptography， ID-PKC)[13]. PKI方式虽然解决了对称密码体制中密钥量过多的问题，但是要求认证协议中有证书管理机构，用于管理证书的生成及管理工作. 在一般网络规模不大且网络拓扑变化很少的应用中，PKI比较易于使用，但对于VANET来说，网络中的车辆数目太多且随机移动，如果使用证书认证身份，将增加巨大的网络流量和管理成本.

表1 PKI、ID-PKC、CL-PKC的主要区别

PKIID-PKCCL-PKC需要证书需要不需要不需要可信第三方需要需要不需要密钥(证书)管理难度复杂简单简单使用的密码算法公钥密码公钥密码公钥密码密码算法复杂度(相对)简单复杂复杂密钥的产生需要节点参与不需要不需要需要

3)基于无证书的公钥系统(Certificateless Public Key Cryptography， CL-PKC)[14-15]. ID-PKC无需证书，只需要以参与者的身份作为公钥即可进行认证，大大降低了管理难度，引起了研究者的广泛兴趣. 但是，由于身份密码计算复杂，公钥以参与者的身份自动公开，而私钥则需要一个单独的密钥生成中心(Private Key Generator， PKG)计算得到. Shamir曾指出，在身份密码中，私钥不可以由节点自己计算，只能由PKG产生，并通过安全信道分发. 这就带来了新问题：密钥托管和密钥更新. 首先PKG必须是可信的，否则托管的密钥面临着被盗和虚假的问题；其次密钥更新需要一个可靠的信道或安全的密钥分配协议. 对此，很多研究者根据Al-Riyami和Paterson的研究成果[16]，提出了无证书公钥系统，用于车载网络的身份认证. 该方法的原理是利用PKG产生部分私钥，用户自己产生部分私钥，两者合成在一起形成共同的私钥. 这时不必再担心PKG受到攻击，也解决了密钥的更新问题. 有很多基于该思想的认证方案被提出，由于该方法的密码学基础在于双线性对的计算，而双线性对的计算比较困难，因此所提出的方案思路多集中于减少双线性对的运算. 一个典型的CL-PKC算法包括密钥计算、签名、验证三部分. 其中密钥计算又分为系统初始化、公私钥计算、公私钥设置几部分. 表1列出了PKI、ID-PKC、CL-PKC的主要区别.

从表1可看出，三种方案各有优缺点，从VANET的应用角度来看，ID-PKC和CL-PKC更加适用. 从可信第三方角度来说，如果解决了对于可信第三方的问题，则ID-PKC可能更优于CL-PKC. 因此本文提出一种基于可信计算的ID-PKC方案，无需OBU参与公私钥运算.

2 可信平台证明方案

图1 一个简单的双向认证过程

考虑一个基于ID-PKC的OBU和RSU的双向认证过程，如图1所示. 当车辆经过RSU时，RSU要读取OBU中的信息，这时RSU首先发起认证过程：step1：RSU向OBU发送自己的身份信息，并要求读取OBU的数据；step2：OBU验证RSU的身份信息，若通过验证则将自己的身份信息发给OBU；step3： RSU验证OBU的身份信息. RSU获取OBU的数据后将把数据交给后台服务器处理. 通过以上过程可实现一个简单的双向认证过程. 根据ID-PKC在该过程中需要使用身份密码进行身份验证，即证明方用自己的私钥签名身份信息，而验证方用证明方的共约验证该签名得到结果.

然而该过程可能受到身份伪造攻击、重放攻击、RSU妥协攻击. 由于ID-PKC使用身份密码，公钥是参与方自己的身份ID，则RSU和OBU任何一方只要在系统中使用虚假的身份信息注册过，都可以使用伪造的身份ID进行认证过程. 重放攻击在以上过程中是很容易实现的. 如果一个RSU被攻陷，则可违反既定的程序规则，出现异常的行为，例如将用户车辆信息上传给一个恶意服务器. 因此，一个ID-PKC方案的设计需要一定能够抵抗以上的攻击.

2.1 注册阶段

身份密码是基于椭圆曲线加密算法和双线性对，其安全性是基于椭圆曲线离散对数问题的双线性版本，简称为BDHP(Bilinear Diffie-Hellman Problem)困难问题. Paterson还于2006年提出一个标准模型下安全的身份密码签名算法[17].

为了保证私钥的安全性，使用带有可信计算平台模块(TPM)的服务器作为PKG来为节点产生私钥，一是提高私钥产生的安全性，二是提供对私钥的验证能力. 为了实现对RSU的可信证明，也要在RSU中使用TPM，用于对RSU的可信证明.

系统初始化过程：step1：根据系统规则为每个节点产生公钥；step2：PKG为每个合法的OBU和RSU计算私钥，并保存在节点中. 其中计算私钥过程：

2.2 消息签名

2.3 验证签名

2.4 可信证明

以上方案虽然能够实现对身份的认证，但无法抵抗重放攻击和RSU叛变，RSU叛变会使用户的隐私数据暴露或蒙受损失. 对抗重放攻击的有效方法是使用随机数来保持认证消息的新鲜性；而对抗RSU叛变则可以基于RSU平台完整性的验证来确定RSU状态. 研究者也对VANET和可信计算技术的密钥管理、身份认证、算法协议和实际应用进行了广泛研究[18-20].

可信计算平台利用密码机制，通过对系统平台组件的完整性度量、存储与报告，确保平台完整性. 计算部件的度量值被写入到TPM内相应的平台配置寄存器中(Platform Configuration Register， PCR). 另外，可信计算平台采用密码模块密钥标识其身份，在平台所有者授权下，在TPM内部生成一个密钥对，作为平台身份密钥(Platform Identity Key， PIK)，用于对TPM内部的信息进行数字签名，实现平台身份认证和平台完整性报告，从而向外部实体证实平台内部数据的可信性.

一个OBU对RSU完整性验证的一般过程：step1：RSU和OBU开始交换数据之前，OBU要求度量RSU的完整性；step2：RSU中的TPM取出PCR值，使用PIK对PCR的值签名；step3：RSU将PCR的值、PIK对PCR值的签名和PIK证书发送给OBU；step4：OBU收到这些信息后，验证RSU的PIK证书、PCR值的签名；step5：OBU对PCR的值与RSU完整性基准值进行比较，若相同则表明该RSU处于可信状态.

2.5 认证过程

图2 RSU与OBU的双向认证过程

基于以上构造认证过程基础，认证从RSU发起，过程为step1： RSU产生随机数Qr；step2：RSU用私钥对Qr签名；step3：RSU将认证请求和Qr一起发给OBU；step4：OBU收到认证请求后，用RSU的公钥认证消息；step5：OBU产生随机数Qo；step6：OBU用私钥对Qo签名；step7：OBU向RSU发起可信验证的挑战，与Qo、Qr一起发给RSU；step8：RSU用OBU的公钥认证消息，通过认证后比较Qr，若跟自己发出的一致则认为OBU是真实的；step9：RSU取出PCR值并签名；step10：将PCR值、PCR签名、Qo一起发给OBU；step11：OBU计算比较收到的Qo和自己发出的Qo，计算PCR值并与PCR签名比较，对PCR值与RSU完整性基准值进行比较，全部一致则认为RSU是可信的. 认证完毕. 完整过程如图2所示. 从图2可以看出，整个过程共需3次通信.

3 方案分析

VANET应满足保密性、完整性、身份验证、隐私保护等安全需求，不稳定的网络结构和无线通信方式也使之面临着Sybil攻击、假消息攻击、重放攻击、节点叛变等安全威胁，因此高效的身份认证技术对于提高VANET的安全性有重要作用.

3.1 方案有效性

PKI、ID-PKC和CL-PKC各有长处，对于VANET这样规模巨大且结构处于变化的网络来说，ID-PKC和CL-PKC由于不使用证书更加适用. 但是ID-PKC需要可信第三方，而CL-PKC则需要更加强大的运算量.

为克服ID-PKC和CL-PKC弱点，笔者在本文提出一种基于可信计算平台的认证方案，分别从消息认证和平台可信角度对VANET中的节点进行认证. 在节点身份认证方面，涉及到RSU和OBU的双向身份认证，分别使用各自的标识作为公钥，使用在网络注册时所计算的私钥进行签名，其正确性可以从密钥的计算和签名验证过程中得到，上文中已经给出了证明.

关于认证过程共有3次通信：RSU向OBU发起身份认证；OBU验证RSU签名并要求验证RSU可信性；RSU向OBU发送报告以证明自身可信性. 从过程上看，能够抵抗OBU的假冒身份攻击，RSU的假冒身份和叛变，OBU可以获取对于RSU的可信性判断.

ID-PKC方案的一个弱点是可信第三方有可能被攻击，此时私钥将被泄露或假冒，因此对于可信第三方的安全性一直是ID-PKC所要重点考虑的问题. 可信计算技术的应用将极大地提高对于第三方安全性的评估能力，对于私钥保护、平台状态及可信性测量都提供了技术手段，合理运用可信计算技术可以提高整个系统的安全性，将系统可信性从终端扩展到整个网络，也能够降低ID-PKC方案的私钥管理难度.

当RSU的私钥泄露，或者RSU被操纵叛变，将对车辆的隐私和秘密信息造成极大威胁，因此对于RSU的认证不仅着眼于身份认证，而且考虑可信性. 在RSU中植入TPM用于RSU的完整性测量和行为可信性评估，能够抵抗RSU私钥泄露、叛变等攻击.

3.2 方案的成本及效能

这里所述成本主要涉及经济成本、计算成本和网络通信成本.

在经济成本上. 本方案要求RSU中必须加装TPM，而CL-PKC方式则不需要，因此本方案高于CL-PKC方式. 但是，可信计算技术所用到的TPM实际经济成本并不高，与现有的RSU相比只占很小一部分，随着该技术的普及和生产规模的扩大，经济支出增加不明显，在不考虑经济成本的情况下，可以在OBU中也添加TPM实现车辆行为测量.

表2 本文方案与CL-PKC的比较

本文方案CL-PKC密钥计算不需要需要可信第三方需要不需要认证至少需要通信次数32计算消耗签名与认证签名、认证，及对运算实现对RSU的可信评估能不能经济成本需TPM不需要TPM

在计算成本上. 本方案和CL-PKC都使用身份标识密码进行消息签名和验证. 但是，本方案不要求OBU进行密钥计算，而密钥计算非常耗时，因此大多数CL-PKC方案都从减少计算入手. 无论如何，现有的CL-PKC方案都要求OBU参与到私钥计算中来，因此本方案在计算成本上要优于CL-PKC方案.

在网络通信方面. RSU的可信性测量需要进行网络通信，通过合理的方案设计，可在一次交互中完成，因此本方案需要额外的网络通信成本，在验证RSU完整性时需要付出一部分计算成本. 表2为本方案跟CL-PKC方案的比较.

在效能上. 本方案除实现节点身份认证外，还对RSU完整性进行测量与验证，提高了对RSU可信性的评估能力，有利于进一步使用更多VANET提供的服务，提高了VANET的整体安全性.

整体来看，经济成本、计算成本、通信成本互相制约，各种方案需要根据具体应用背景和安全需求设计更加合理的应用方案. 随着计算机技术、网络通信技术、电子技术等的发展，以上几方面的限制也将不断发生变化，各种方案会在不同时期显示出各自的不同特点.

本文分析了VANET中的安全需求，对现有的身份认证方案进行了讨论. 基于可信计算技术提出使用可信计算平台帮助产生身份密码中的私钥，提高私钥的安全性. 基于身份密码提出一种身份认证方案，一定程度上克服了一般ID-PKC对可信第三方的不信任，在对路侧单元的认证过程中，使用平台完整性证明方式，对RSU的完整性进行了验证，以上方案能够有效抵抗重放攻击、假冒信息、RSU叛变等攻击. 通过分析方案的成本和效能，本方案以一定的网络通信代价换取了计算资源的节约和安全性的提升. 下一步工作将进行方案仿真测试，定量测量方案的有效性和资源消耗.

[1] PARNO B，PERRIG A. Challenges in securing vehicular networks：Proc.4th Workshop on Hot Topics in Networks(HotNets-IV)[C].Maryland：ACM SIGCOMM，2005.

[2] RAYA M，HUBAUX J P. Securing vehicular ad hoc networks [J].Journal of Computer Security，2007，15(1)：39-68.

[3] ZHU H J，LU R X，SHEN X M，et al. Security in service-oriented vehicular networks[J].IEEE Wireless Communication，2009，16(4)：16-22.

[4] FURGEL I，LEMKE K. A review of the digital tachograph system[M].Embedded Security in Cars：Springer Berlin Heidelberg，2006：69-94.

[5] CALANDRIELLO G，PAPADIMITRATOS P，HUBAUX J-P，et al. Efficient and robust pseudonymous authentication in VANET：Proceedings of the fourth ACM international workshop on Vehicular ad hoc networks[C].Montreal：ACM SIGMOBILE，2007.

[6] SCHOCH E，KARGL F. On the efficiency of secure beaconing in VANETs：Proceedings of the third ACM conference on Wireless network security[C].Hoboken：ACM，2010.

[7] ZHANG C，LIN X，LU R，et al. An efficient message authentication scheme for vehicular communications[J].Vehicular Technology，IEEE Transactions on，2008，57(6)：3357-3368.

[8] RAYA M，AZIZ A，HUBAUX J P. Efficient secure aggregation in VANETs：Proceedings of the 3rd international workshop on Vehicular ad hoc networks[C].Los Angeles：ACM，2006.

[9] TSENG H R，JAN R H，YANG W，et al. A Secure Aggregated message authentication scheme for Vehicular Ad-Hoc Networks：The 18th World Congress on Intelligent Transportation systems[C].Orlando：Its world congress，2011.

[10] WANG N W，HUANG Y M，CHEN W M. A novel secure communication scheme in vehicular ad hoc networks [J].Computer communications，2008，31(12)：2827-2837.

[11] HU C，CHIM T W，YIU SM，et al. Efficient HMAC-based secure communication for VANETs[J].Computer Networks，2012，56(9)：2292-2303.

[12] HUBAUX J P，CAPKUN S，LUO J. The security and privacy of smart vehicles[J].IEEE Security and Privacy Magazine，2004，2(3)：49-55.

[13] 陶洋，张柯伟. 一种基于车载网络的身份认证密钥管理方案[J].科技通报，2016，32(5)：166-170.

[14] SONG J，HE C J，ZHANG L，et al. Toward an RSU-unavailable lightweight certificateless key agreement scheme for VANETs[J].China Communications，2014(9)：93-103.

[15] 刘唐，汪小芬，肖国镇. 基于无证书公钥的安全V2I通信协议[J].计算机科学，2012，39(9)：20-23.

[16] SATTAM S，AL-RIYAMI，KENNETH G，et al. Certificateless Public Key Cryptography：Proceedings of Asiacrypt 2003，Lecture Notes in Computer Science[C].Berlin：Springer-Verlag，2003.

[17] PATERSON K G，SCHULDT J C N. Efficient identity-based signatures secure in the standard model：Proceedings of the ACISP’2006[C].Melbourne：Springer-Verlag，2006.

[18] 吴静，刘衍珩，王健，等. 车载自组网的可信认证与信任评估框架[J].通信学报，2009，30(10A)：107-112.

[19] 谭良，陈菊. 一种可信终端运行环境远程证明方案[J].软件学报，2014，25(6)：1273-1290.

[20] 王中华，韩臻，刘吉强，等. 云环境下基于PTPM和无证书公钥的身份认证方案[J].软件学报，2016，27(6)：1523-1537.

(责任编辑：陈丹)

2016-10-20；

2016-11-30

湖北文理学院科学研究基金项目(2016ZK012)

文松(1975— )，男，湖北襄阳人，湖北文理学院数学与计算机学院讲师，博士，主要研究方向：可信计算及传感器网络.

TP393

2095-4476(2017)08-0005-05