吴海云,王良民

(安徽大学 计算机科学与技术学院 信息保障技术协同创新中心,安徽 合肥 230601)

近年来,车载自组织网络[1-2](vehicle ad hoc networks,简称VANETs)以及基于VANETs的应用的相关研究日益兴起,研究者致力于实现智能交通和满足用户的服务需求.基于VANETs的应用包括安全、便利导向应用和商业应用等.安全、便利导向应用广泛采用车辆广播通信传送紧急的警告消息、环境危害和交通状况等[3].而商业应用,如视频点播、视频会议、软件更新等只有授权的车辆可获得,一般采用车辆组播通信,支持基于群的应用[4-7].为确保组播通信的保密性,发送者和群成员之间共享一个对称密钥,这个对称密钥称为交通加密密钥(traffic encryption key,简称TEK).当群成员关系发生变化时,TEK需要及时更新[8].

典型的车联网架构如图1所示.服务提供商(service provider,简称SP)可以提供多项服务,对每项服务注册的车辆组成一个服务群.为保证服务只提供给授权的群成员,SP用服务群的群密钥加密服务,再通过路边单元(road side unit,简称RSU)传送.一方面,服务群的群成员越多,群密钥管理越复杂.特别是当服务群的群成员关系改变时,群密钥需要立即更新,使得离开群的成员不能访问未来发送该群的服务,保证前向安全；新加入的成员不能访问之前发送该群的服务,保证后向安全[8].现有的群密钥管理方案,如基于树的逻辑密钥层次结构(logical key hierarchy, 简称LKH)[9]、基于物理拓扑的密钥管理(topology matching key management, 简称TMKM)[10-11]和采用分散式框架密钥管理(RSU-based distributed key management, 简称RDKM)[4]存在密钥更新开销大以及车辆频繁跨RSU移交时群密钥更新频繁等问题.另一方面,车辆若以真实的身份向SP注册服务,SP可能贩卖车辆的身份信息获取私利;若不以真实身份注册服务,SP面临如何对车辆使用的服务进行正确计费问题.因此,提供服务的车联网需要协调车辆的身份隐私和SP的服务计费问题.此外,由于部署RSU的成本比较高,服务提供商一般从经济的角度,考虑部署一个密度合理的RSU分布[12].由于RSU 单元通信范围有限,相邻 RSU 单元之间可能存在盲区[13],服务在传送时需要考虑盲区内的车辆如何获取服务.针对上述问题,笔者提出了一个面向服务的隐私保护群密钥管理(privacy-preserving group key management for VANETs, 简称PVGKM)方案,在保护车辆的身份隐私的同时实现服务提供商的合理收费,并降低群密钥管理的复杂度.

图1 车联网架构

1 相关知识和网络模型

(1) 中国剩余定理[14]:设k1,k2,k3,…,kn为两两互质的正整数,对于任意给定的整数α1,α2,α3,…,αn,同余式方程组

x≡αimodki, 1≤i≤n

(1)

其中

(2) 椭圆曲线离散对数问题(elliptic curve discrete logarithm problem, 简称ECDLP)[15]:假设椭圆曲线E是定义在有限域Fr上,P和Q是椭圆曲线上的两点,在域Fr中寻找一个正整数x,使得xP=Q成立.

PVGKM方案采用的网络模型如图1所示,包含4种实体:服务提供商、权威机构、路边单元和车辆.SP提供多项服务,每项服务用一个群密钥加密.权威机构(trusted authority, 简称TA)一般是汽车制造商或者地方交通运输部门,它为SP设置服务群的群密钥,为每个车辆颁发独有的真实身份和认证密钥.路边单元(road side unit,简称RSU)是配备了全向天线的基础设施,它通过安全的有线网络连接SP和TA.每辆车装有车载单元(on-board unit, 简称OBU)和防篡改设备(tamper-proof device, 简称TPD).OBU用于车与RSU之间(vehicle-to-infrastructure, 简称V2I)、车车之间(vehicle-to-vehicle, 简称V2V)通信,也可以与车内其他模块通信；TPD内存放车辆的真实身份、私钥和认证密钥等敏感信息.根据安全的车载自组网的规定,车辆每隔100～300 ms广播一条与交通有关的信息,如驾驶方向、速度和加速/减速等.V2V和V2I都采用基于802.11p标准的专用短距离通信协议(dedicated short range communication, 简称DSRC)进行无线通信[1].

假设网络模型中TA的计算能力、通信能力和存储能力比RSU和车辆强很多,TA有防火墙和其他保护机制,能抵抗恶意攻击者的攻击,是完全可信的.而V2I和V2V在开放的无线网络环境下通信,RSU发送包含群密钥的消息面临安全威胁[16].因此,群密钥更新在考虑效率的同时,也要考虑安全需求,如服务保密性、前后向安全性、隐私保护性以及身份可追溯性.

2 PVGKM方案

PVGKM方案用到的主要符号如表1所示.

表1 符号及其描述

2.1 初始化设置

VPKi=VSKi·P=ri·P,

车辆的防篡改装置还生成一个假名

PIDi=RIDi⊕H(ri·PK).

(3) 对于i=1,2,…,n,计算yi满足xi×yi≡1 mod VAKi.

(4) 对于i=1,2,…,n,将xi和yi相乘的结果存放在变量Ci中,即Ci=xi×yi.

2.2 群密钥分发

假设订购某项服务的车辆群VGi向SP注册,注册信息包括这些车辆的假名、公钥以及该服务的订购时间tj和退订时间tl,SP将这些注册信息存入一张服务表.对于每项服务,SP存储一张对应该服务的表.SP将车辆群VGi中所有车辆的假名PIDi和公钥VPKi发送给TA,TA推导出这些车辆的真实身份,找到储存器中每个车辆对应的变量Ci,计算群密钥因子λ,即

λ=∑Ci,Vi∈VGi.

然后TA进行如下步骤:

m=k×λ.

(2) TA将k通过安全信道发送给SP,便于SP用k加密服务.TA通过RSU广播消息m到VANETs中的车辆,属于服务群的车辆收到m,计算mmod VAKi可得到服务群的群密钥k(因为k

(3) 相邻RSU之间盲区内的车辆通过RSU内的车辆或盲区内的其他车辆获取消息m.如图2所示,边缘区域Re内属于群成员的车辆(如V1)检测到其通信范围内有RSU范围外道路上的车辆(如V2),将消息m发送给这个车辆,如果这个车辆是该服务群的成员,它用m模自己的认证密钥可获得群密钥,并和其他群成员通信,告知同一服务群的车辆不要再将消息m发送给自己,以节省通信开销;如果这个车辆不是该服务群的成员,它不能计算出正确的群密钥,不能获取服务.盲区内获得消息m的车辆(如V2)再以同样的V2V方式将m转发给其通信范围内盲区内的其他车辆(如V3).

图2 RSU边缘区域通信

2.3 群密钥更新

当服务群的群成员关系改变时,群密钥需要立即更新以保证前后向安全,群密钥更新分两种情况.

情况1当新成员Vi加入服务群,Vi向SP发出订购请求信息,申请加入某服务群.Vi将其假名PIDi、公钥VPKi、该服务的订购时间tj和退订时间tl发送给SP, SP将这些信息存入服务表,并将Vi的假名PIDi和公钥VPKi发送给TA,TA推导出该车辆的真实身份后,进行如下步骤:

(1) 从存储器找到该车辆对应的变量Ci,计算新的群密钥因子

λ′=λ+Ci.

m′=k′×λ′.

(3) 将k′通过安全有线信道发送给SP,并通过RSU广播消息m′到VANETs中的车辆,所有该服务群的成员用m′模自己的认证密钥获得新的群密钥k′.

(4) RSU边缘区域Re内属于群成员的车辆转发m′给其通信范围内盲区内的车辆.属于该服务群的车辆用m′模自己的认证密钥获得群密钥k′,并将m′转发给盲区内的其他车辆.

扩展到一般情况,若有w辆车同时加入某服务群,则TA需要执行w次加法来更新群密钥因子.

情况2当SP从服务表中发现Vi订购某服务的tl到期后,将Vi的假名PIDi、公钥VPKi、该服务的订购时间tj和退订时间tl发送给TA,然后从服务表中删除Vi的订购记录.TA推导出该车辆的真实身份, SP对该车辆使用的服务情况进行计费.然后TA进行如下步骤:

(1) 从存储器找到该车辆对应的变量Ci,计算新的群密钥因子λ′=λ-Ci.

(2)～(4)过程同情况1中的相应步骤.

扩展到一般情况,若有w个车辆同时退出某服务群,则TA需要执行w次减法来更新群密钥因子.

3 安全性分析

(1) 服务保密性. PVGKM方案利用k加密服务,只有享有k的群成员可以解密获得服务.当群密钥k更新为k′时,由于消息m′的因子λ′的计算项只含有服务群内的车辆的Ci, 因此只有属于服务群的车辆可以用m′模自己的认证密钥获得更新的k′,服务群外的车辆无法计算得到k′.

(2) 前向安全性. 当有成员Vi离开服务群时,TA选择一个新的群密钥k′,将原来的群密钥因子λ减去离开成员的Ci得到λ′.由于λ′中不含离开成员的Ci,离开成员无法计算出k′,它只能盲目猜测k′或其他群成员认证密钥的值.所有的群成员的认证密钥都储存在各自的防篡改设备中,离开成员不能获取.由于k′是一个大素数,正确猜测出它的值的概率非常小,而认证密钥的值都大于k′,猜中的概率更小,因此盲目猜测是不可行的, PVGKM方案保证了前向安全性.

(3) 后向安全性. 当有新成员Vj加入某一服务群时,为了访问它加入前服务提供商提供的服务,它需要获得之前加密该服务的群密钥k.假设Vj加入前,RSU广播的消息为m.由于m的因子λ的计算项不含Cj,Vj不能计算出k.由前向安全性分析可知,猜测k的值也是不可行的.因此,PVGKM方案保证了后向安全性.

(4) 隐私保护性. 车辆向服务提供商注册服务时,提供的是假名、公钥和服务的订购时间信息,且每到一个RSU区域,车辆的公钥和假名都会改变,服务提供商无法获得车辆的真实身份,恶意的车辆也不能根据假名追踪到合法的车辆,因此PVGKM方案保护了车辆的身份隐私.

(5) 身份可追溯性. PVGKM方案初始化设置所定义的假名PIDi=RIDi⊕H(ri·PK),服务提供商在获取群密钥之前,会将Vi的假名PIDi、公钥VPKi发送给TA,TA计算PIDi⊕H(s·VPKi)可获得RIDi.因此,TA可以通过假名追溯车辆的真实身份.

PVGKM方案与LKH[9]、TMKM[10-11]、RDKM[4]、CRTGKM[14](Chinese remainder theorem based group key management)方案的安全性对比如表2所示,其中：“×”表示不满足,“√”表示满足.

表2 安全性对比

4 性能分析与实验

下面主要分析PVGKM方案的群密钥更新开销,包括群成员关系变化时TA的计算时间、车辆获得新群密钥的计算时间、TA和车辆存储与群密钥计算有关的密钥的存储开销以及实现群密钥更新的通信开销.

4.1 性能分析

假设某城市区域有1个TA,1个服务提供商和c个RSU,TA管理n辆车.用TAS表示执行一个加法或减法的时间,TMOD表示执行一个模运算的时间,TENC和TDEC分别表示执行一次AES(advanced encryption standard)加密和解密运算的时间,Tm表示执行一次大数乘的时间,TXOR执行一次异域操作的时间,TMUL表示执行一次点乘的时间,TMTP表示执行一个MapToPoint哈希函数的时间.

PVGKM方案中,TA推导变化群成员的真实身份的计算开销为TMUL+TMTP+TXOR,计算消息m′的计算开销为TAS+Tm,TA总的计算开销为TMUL+TMTP+TXOR+TAS+Tm.群内车辆获得群密钥的计算开销为TMOD. TA存储每个车辆的RIDi、VPKi、xi、yi和Ci,以及与群密钥计算有关的参数ψ、k和λ,TA管理n辆车的存储代价为5n+3.每辆车储存RIDi、PIDi、VAKi、VSKi和VPKi,存储代价为5.TA连接c个RSU,广播一个密钥更新消息给所有的RSU.因此PVGKM方案的通信开销为c.

(2)

LKH方案中,密钥分发中心(key distribution center, 简称KDC)管理一个TEK和一个度为d、叶子节点数为n的完全平衡密钥树.TMKM方案和RDKM方案假设车辆平均访问过x(1≤x≤c)个RSU,不考虑TMKM方案有线回程网络中的一些控制信息.设RDKM方案中每个RSU内划分的段数为z,由于RDKM方案将密钥管理功能授予各个RSU,KDC只需要存储一个TEK[4]而RSUs(road side units, TA管理的所有RSU)存储较多的密钥.为保证比较的公平性,将RDKM方案的RSUs的存储开销、计算开销和其他方案的TA或KDC的相应开销进行比较.PVGKM方案与其他方案的群密钥更新开销如表3所示.

表3 不同方案的群密钥更新开销

4.2 实验分析

在本地计算机(Intel Core i3 CPU,2.53 GHz,4 GB RAM,500 GB硬盘,Windows 7操作系统)用Java语言做实验,服务群的群密钥和密钥树中的密钥均采用长度为128位的AES密钥.使用Date类的getTime方法测试AES加密和解密算法的时间,实验测得TENC=4 ms,TDEC=5 ms.用BigInteger类的multiply方法处理大整数乘法,测得Tm=1 ms.根据文献[17],TMTP=0.09 ms.TMUL=0.39 ms.TAS、TXOR和TMOD非常小,可以忽略.设置场景:RSU的数目c=10,密钥树的度d=2,RSU内划分的段数z=2,平均每个车辆访问过的RSU数目x=5. TA(或KDC或RSUs)的计算开销如图3所示.

图3 计算开销(TA,KDC或RSUs)

可以看出随着TA管理的车辆数增多,LKH、TMKM和RDKM方案TA等的计算开销呈阶梯状增加,而CRTGKM和PVGKM保持为一个常数,且比前3个方案小.PVGKM比CRTGKM多0.48 ms,这是由于PVGKM增加了车辆真实身份的推导过程,这个时间差非常小,用此微小的时间差换取车辆的隐私保护是可行的.此外,从表4可以看出，CRTGKM和PVGKM方案车辆的计算开销非常小,几乎可以忽略,而LKH、TMKM和RDKM车辆的计算开销大很多.从公式(2)可推导出

(3)

可推算出PVGKM和CRTGKM方案的TA存储开销比其他3个方案大一些.所有方案的通信开销如图4所示.由图4可知,随着TA管理的车辆数增多,LKH、TMKM和RDKM的通信开销呈阶梯状增加,而PVGKM方案和CRTGKM方案保持常数,且比另外3个方案的通信开销小很多.

图4 通信开销

5 结束语

笔者利用中国剩余定理设计群密钥因子使群密钥保密,降低群密钥管理的复杂度；利用车辆假名绑定服务,在保证车辆的身份隐私的同时实现服务提供商的合理收费，并综合V2I和V2V通信扩大RSU的服务覆盖范围.论文的安全性分析、性能分析和实验表明PVGKM方案具有更好的安全性、较少的计算开销和通信开销.未来的研究可以考虑使用代理机构减轻权威机构管理密钥的存储开销.