吴宸梓

(中兴通讯股份有限公司 西安 710065) (nwgaoyan@aliyun.com)

随着分布式自组织网络在智能交通领域中的应用和普及，基于车载网的应用引起人们广泛关注.车载网也称车载自组织网络(vehicle ad hoc network, VANET)，它是一种多跳无线自组网在车载平台和城市道路环境中的应用，主要目标是缓解城市道路拥堵，降低交通事故死亡率，为车辆用户提供更智能且灵活的通信服务以及安全和舒适的驾驶感受[1].由于车载网具有开放性、节点移动速度高、网络拓扑结构变化快、区域网络节点密度稀疏不同、车辆的入网与脱网瞬时完成等网络特点，车载网十分容易受到各种攻击，如女巫攻击[2]、身份伪造攻击、重放攻击、合谋攻击[3]、位置跟踪攻击等，对车载网的服务造成严重的破坏.因此，为了确保车载网通信的可靠性，对车载网用户的安全认证成为一个不可或缺的环节.对此，学者们从不同视角提出了车载网的各种安全认证方案，其中，基于密码学的车载网的安全认证具有较高的安全性并具有广泛的应用价值.本文将对基于密码学的安全认证方案进行深入探讨，以期为车载网的安全认证方案的设计和研究工作提供参考.

1 车载网安全认证机制

1.1 现代密码技术

图1 对称加密算法

由上述加解密算法可以看出，加解密密钥、加解密算法和传输加解密密钥的方法也就是安全密钥传输协议，组成了基于现代密码学的信息安全系统.随着对现代密码学的应用研究发展以及衍生出的多种密码技术的普及，数字签名、身份认证、云数据存储等也得到了广泛的发展.

1.2 基于公钥密码学的数字签名技术

相比于对称密码学，公钥密码学(PKI)的密码学构造方式更为复杂.PKI的加密密钥分为公钥和私钥.一般地，一个公钥可以有多个私钥，加密时，使用公钥对明文加密，而只有私钥可将密文解密.公钥及加解密算法是公开的，然而只有持有私钥的用户才可以正常解密.相比于对称加密算法，PKI体系的应用范围更广且更灵活.

其中数字签名是PKI体制一个最经典的应用.其原理是签名者对需要签名的文件执行摘要生成算法生成一个摘要，对摘要使用私钥进行加密，然后将消息、消息摘要以及验证公钥发送给验证者，验证者执行签名验证算法对消息和签名进行验证，以判断消息发送者的身份真实性和消息的完整性.整个流程如图2所示：

图2 数字签名算法

1.3 车载网安全认证密码学工具概述

在车载网用户的安全认证中，除了数字签名这种最基本的密码学工具，还有一些密码学工具或构造方法用于车载网的认证中.哈希消息验证码(HMAC)[4]是一种使用安全的散列函数算法(如MD5)构造消息验证码，并被广泛用于检测通过不可靠信道传输的消息完整性.匿名技术也是车载网认证中一个关键的技术工具.由于车载网的用户在传递认证消息时，可能会暴露自己的身份或者位置信息，因此在认证过程中用户都有隐私保护的需求.Mix技术[5]是一种典型的采用混淆机制帮助用户隐藏自己的地理位置信息的技术，而假名技术的普遍使用保护了车载网用户的身份隐私.

除此之外，还有一些基于密码学的特殊应用在车载网的认证中起到了非常重要的作用，如认证消息的批处理机制使用特殊的密码学构造机制可以使认证用户同时认证多个签名消息，从而提高效率.而无证书认证方案可以减轻车辆用户端的证书储存和计算负载.而安全可靠的密钥交换协议和小区切换技术是车载网用户安全认证的基础，对认证方案的设计起着支撑作用.

综上，车载网安全认证是现代密码学在车辆交通安全保障领域的一项重要应用.安全认证的最核心技术是基于PKI体系的数字签名，而多种密码学工具、协议和构造方法共同组成了一个完备且可证明安全的车载网认证方案.

2 车载网及其安全认证方案设计的影响因素

2.1 车载网网络模型

根据车载网安全认证的设计要求，参与车载网认证的实体和网络模型(如图3所示)可以按照如下划分.

可信认证中心(TA)负责保管所有用户的真实可信的身份证书，包括合法的OBU以及所有辖区内的RSU，并接收新入网的OBU的申请，并在发生争议时负责最终仲裁认证过程中认证消息的真实性.在认证协议中被认为是可以绝对信任的实体.

OBU：装载于车辆上，在车载网的认证协议中既是被认证方也可以是认证方.在认证通过前，被认为是完全不可信的，认证通过后，在约定的时间内被认为是可信的.OBU的通信对象包括OBU和RSU.

RSU：由车载网服务提供商部署于道路旁或重要的车辆服务区(如停车场等).RSU一般能够通过安全信道与TA直连，并且服务对象就是车辆搭载的OBU，为其提供信息服务.然而RSU并不能认为是完全可信的，有可能会被入侵者控制并发送错误信息，因此在有些情况下，RSU同样需要执行认证协议.

图3 车载网安全认证网络模型

2.2 车载网认证方案设计的影响因素

影响车载网认证方案的设计有很多因素，一般可以分为两大类因素：内在因素和外在因素.内在因素主要是涉及车载网内的有关技术因素，外在因素主要是针对认证协议的不同种类攻击行为因素.

1) 内在因素

① 认证时间约束.车载网的应用是保证行车安全的信息警告服务.这类信息有着严格的消息生存期限，用户在交互此类信息时不能在认证阶段耽误过久的时间.因此，车载网认证方案设计需要简化认证的步骤，并减轻用户端的认证负担.

② 认证需求不平衡和认证拓扑变化.由于车载网使用不均衡，在城市交通枢纽区域，单位时间有大量的车辆用户接入网络的需求，OBU和RSU需用处理大量而频繁的认证请求.而在非城市交通枢纽区域，OBU和RSU需要认证的请求比较小.因此，车载网认证方案设计需要兼顾不同环境所造成的困难.

③ 车辆用户有限的计算和存储能力.与智能手机相比，汽车作为移动通信平台搭载高性能计算和存储能力更加强大，在执行认证算法时有更好的性能.然而，在设计认证方案时，依然要考虑OBU和RSU的计算能力差异性.V2I的认证算法要尽量将耗费资源的计算过程放在RSU端，而V2V中，需要避免认证过程过于依赖一个群管理员，每个认证用户都应该有独立建网的能力.

2) 外在因素

① 身份伪造攻击.身份伪造指在认证时采用错误或假冒的身份与其他用户或对象进行认证而使整个认证过程不可信.抵御身份伪造攻击是认证的一个非常重要的基本功能.

② 恶意行为攻击.用户的一些恶意行为会严重影响认证的效率,诸如拒绝服务攻击(DOS)、信息丢弃[7]，用户向某个用户短时间内发送大量的认证消息，导致其与其他正常用户的认证通信发生堵塞.还有一类用户的自私行为，通过迟滞或拒绝合作导致一个区域的用户认证无法顺利完成.

③ 隐私窃听.用来认证的证书包含着用来生成认证消息的公私钥，这些信息都与用户的真实身份高度相关.如果不采取适当的隐私保护措施，合法的认证过程本身也会泄露与认证用户的身份相关的信息，如GPS位置信息和某些消费行为.通过采用假名或频繁更换证书的方式来保证用户认证时的隐私，恶意用户也会利用隐私保护的漏洞匿名向其他用户传递虚假的信息，对车载网造成相当大的混乱.

3 基于密码学的安全认证方案分类

3.1 基于群签名和身份签名的安全认证方案

群签名的概念最早由Chaum等人[6]提出并由Camenisch和Stadler[7]完善，其后随着现代密码学构造工具特别是双线性对的发展，在各个工程领域都得到了广泛的应用.由于用于验证被认证者签名合法性的群公钥只能确定群签名的正确性而无法确定其具体身份，在车载网认证领域主要用于保护被认证者的身份隐私.

Guo等人[8]针对车载通信网络提出了一个基于群签名的安全框架.一个群签名认证方案一般包含5个算法步骤：启动(Setup)、加入(Join)、验证(Verify)、签名(Verify)、打开签名(Open).使用群签名的安全认证方案可以满足可认证性、消息完整性、隐私性和可追溯性.但缺点是效率较低，当一个小区的认证群有群成员的加入或退出时会导致整个群公钥需要重新计算，造成额外的通信和计算开销.

为了提高群签名效率， Wasef和Shen[9]使用群签名构造了安全认证方案，并利用双线性加法群的性质构造了批处理验证方案，可以令多个消息同时被验证而提高认证效率.Zhu等人[10]在群签名的基础架构上，使用HMAC代替证书注销列表(CRL)来提高合法用户检视效率.而Hao等人[11]使用验证者选举算法、n临近算法等方法来建立一个具有合作性质的群签名认证方案，提高了整体的认证效率.

随着对群签名功能的不断发掘， Hwang等人[12]提出了一个具有可控关联性的短群签名认证方案用来平衡匿名性以及可追溯性.不同的群签名能够被匿名的关联，但相应的关联信息只能被一个关联密钥所破解.Rong等人[13]利用群签名机制建立了一个被称作MixGroup的假名累积更新系统，以增强车载交通系统的位置隐私性.其原理是给一个车辆用户扩展多个假名混淆区，并使用群身份代替假名.该方案非常好地解决了当一个区域车辆用户很少时无法进行充分的假名混淆而导致的位置隐私问题.

自2001年Boneh和Franklin[14]使用双线性对构造了一个基于身份的加密方案，基于身份的签名体制得到了实质化应用.

Lin等人[15]提出了一个结合群签名和身份签名的匿名认证方案GSIS.身份签名的使用降低了公钥和证书的复杂性，提高了认证过程中的用户管理效率.在基于身份签名验证的批处理技术方面， Zhang等人[16]和Tzeng等人[17]也作了非常充分的研究.

Li等人[18]特别使用了基于身份的离线在线(IBOOS)签名来分别作为V2R和V2V的认证，以减轻客户端的认证效率.

3.2 非双线性对的安全认证方案

大部分基于群签名和身份签名的认证方案都采用了基于椭圆曲线构造的双线性对技术，安全性条件由CDH或DDH来保证.但构造双线性对所需要的Map2Point计算和pairing计算消耗的资源较多，目前学界也在寻求其他一些使用非双线对技术用于车载网认证方案.

He等人[19]使用基于ECC的身份签名来实现一个具有可追溯性的条件隐私保护车载网认证方案.Cui等人[20]同样使用ECC的结构构造了一个无证书的聚合签名方案用于车载网中的V2R通信.由于不需要使用Map2Point和pairing计算，性能都得到了极大的提升，对高负荷的车载网环境非常重要.

Sulaiman等人[21]提出使用哈希链技术来为RSU发出的每条消息生成公私密钥对.车辆验证消息时可以从上一条消息的公钥和哈希验证码联合验证下一条消息的真实性，好处是计算量较低，但通信成本却比较高.

Islam等人[22]针对V2V场景设计了一个基于密码口令的群密钥认证协议.该协议的安全性主要由SHA512等哈希函数来保证，性能表现非常突出.但安全性还需要通过进一步研究来得到验证.

4 基于密码学的安全认证方案的比较

上述基于不同密码学工具设计的安全认证方案既有共性又有特殊性，每个方案在安全需求、安全攻击处置能力和性能参数等方面具有不同的特点.通过对文献的梳理和归纳，将车载网安全认证方案按照安全性特征满足度和性能要求满足度进行归类与比较.

4.1 安全性维度

车载网认证在安全性上2个重要的目标：一是能抵御车载网通信环境中高风险的攻击；二是满足车载网用户在认证过程中对隐私保护的需求.

车载网由于其特殊的分布式、高动态、自由灵活的网络特性而面临着多种类型的网络攻击.常见的攻击有如下几种：

3) 共谋攻击.在合作认证过程中，合法用户帮助非法用户共同欺骗可信认证中心，使得非法用户认证通过.

在认证过程中除了需要抵御来自内外的非法攻击，还需要考虑用户的隐私保护需求.在认证过程中，认证参与方有可能获得用户的身份、位置等敏感信息.即使网络中没有攻击者，也有充足的“隐私好奇者”威胁着用户的安全.在认证方案中可以采取多种手段保护隐私，如使用假名或位置混淆等.

4.2 性能维度

车载网环境对认证方案在性能方面有着特殊的要求.由于车辆在计算性能和通信带宽方面都有着天生的局限性，因此在认证过程中要求协议简洁且算法复杂度较低.

在性能方面的要求包含3个方面：计算性能高效、通信轻量化、低负担存储.具体含义如下：

1) 计算性能高效.指计算整个认证过程中计算性能受限的车载平台将承受更少的计算负担.方法是轻量化整个认证协议或将认证过程中的耗时计算从车载平台的OBU上转移到RSU平台上.

2) 通信轻量化.认证过程中的V2R和V2V的通信次数认证所需依赖的第三方需要尽可能的少，同时认证交换应仅限于密钥、签名等用来证明认证者身份的数据.

3) 低负担存储.指在为了认证匿名化而采取额外的混淆措施时，不会给车辆用户端带来额外的存储开销，如用于增加冗余的额外身份证书等.

4.3 认证方案比较

根据上述的车载网安全认证方案所必备的2个特征维度，对基于密码学的安全认证方案分类中各方案按照满足的安全特性、攻击地域范围和所解决的性能问题进行分类和比较(如表1所示).

表1 车载网安全认证方案安全性和性能比较

实现的安全特性：Au—可认证性；In—完整性；An—匿名性；Un—不可关联性.

性能优化指标：Cp—计算性能高效；Cm—通信轻量化；St—低负担存储.

5 结论与未来研究方向

依照安全性与性能2个维度，基于密码学的车载网安全认证方案被分为：基于双线性对的群签名和身份签名方案；基于对称和其他公钥密码学工具的安全认证方案.其中传统的基于双线性对的认证方案在保护用户安全性和匿名性方面都得到了证明，且可以通过签名批处理验证的手段提高方案的认证效率.而非双线对的认证方案由于避免使用耗时的双线性对密码学运算，而极大地提升了效率，对未来的车载网安全认证方法有极大的促进作用.根据目前学术界对车载网安全认证的研究现状，未来针对车载网的安全认证方案，还有3个方面值得进一步研究：

1) 安全与隐私是车载网安全认证解决的2个最基本问题.然而，在某些特殊情况下，安全和隐私却是相互矛盾的.比如在路况信息分享过程中，其他用户需要尽可能地使用消息提供者的真实身份和位置信息来进行认证以验证消息的可信性.然而消息提供者却希望消息的分享是匿名的，有强烈的动机对提供虚假的信息进行认证.换句话说安全特性中的不可关联性(unlinkability)和可追溯性(traceability)具有一定的矛盾性，很难同时被满足.引入第三方的可信认证中心无疑是解决这个问题的最好方法，但无疑会增加车载网安全认证的部署成本.因此采取分布式的思想改进车载网认证方案是当前非常重要的课题.

2) 目前基于双线性对的安全认证方案在车载网方面的设计已经非常成熟，已有许多具体的使用群签名和身份签名构造的适合于车载网场景的安全认证方案.然而，对这些方案的分析往往停留在理论分析方面，或是使用仿真工具进行仿真测试，而缺少在真实环境下的方案实现，特别是在移动智能设备上对密码学相关算法的性能测试数据.因此，未来的研究者无法对认证方案进行真实有效的评估以便改进优化.目前互联网上已有基于双线性对的密码学开发套件PBC(pairing based cryptography library)[23],并有相应的可在Android设备上运行的解决方案，值得未来的研究者进行实现方面的进一步工作.

3) 使用ECC以及其他非双线性对结构的密码学应用系统来替代传统的双线性认证方案以提高认证速度对于学术界具有非常大的吸引力.然而，这些方案要么缺乏严谨的可证明安全分析，要么缺乏具体的实现手段，对车载网安全认证方案的实际设计影响有限.然而，车载网络环境是一个综合而复杂的网络模型和较高安全风险的集合体.除了用户接入过程中的身份认证，还在访问控制、身份鉴权、安全审计等方面需要利用车载网安全认证技术来抵御来自车载网内外的安全威胁和用户的安全需求.同时，车载网本身是一个具有非常大扩展空间的应用搭载平台.近年来基于车载网的云计算应用、社交网应用都引起了学术界的广泛关注，无疑也扩展了安全认证需要覆盖的安全风险问题.这些都需要借助更多灵活有效密码学工具以辅助传统的数字签名技术，增强方案的可用性.