米 洪，鄭 瑩

(南京交通職業(yè)技術(shù)學(xué)院 ,江蘇 南京 211188)

0 引 言

作為移動(dòng)自組織網(wǎng)絡(luò)(Mobile Ad hoc Network, MANET)的特例，車(chē)聯(lián)網(wǎng)(Vehicular Ad Hoc Networks, VANETs)已受到商業(yè)和學(xué)術(shù)的廣泛關(guān)注。VANETs主要由車(chē)載單元(On-Board Units, OBUs)、路邊設(shè)施單元(Road Side Units, RSUs)和信任實(shí)體(Trusted Authority, TA)構(gòu)成。其中，OBUs安裝于每輛車(chē)上，而RSUs部署于道路旁。依據(jù)專(zhuān)用短距離通信(Dedicated Short-Range Communication, DSRC)[1], 每輛車(chē)以100 ms～300 ms為周期，周期地向鄰近車(chē)輛和RSUs廣播beacon消息[2]，進(jìn)而分享道路流量、速度等信息。

然而，VANETs是基于開(kāi)放式的無(wú)線網(wǎng)絡(luò)。這些特點(diǎn)容易讓惡意車(chē)輛發(fā)起安全攻擊，包括惡意數(shù)據(jù)入侵攻擊、數(shù)據(jù)轉(zhuǎn)發(fā)攻擊和位置攻擊。為了防御這些攻擊，維持VANETs安全，研究人員提出了許多密碼方案，其中隱私-保護(hù)消息認(rèn)證方案受到廣泛關(guān)注[3-6]。

文獻(xiàn)[3-4]利用基于別名的認(rèn)證方案實(shí)現(xiàn)車(chē)輛匿名。然而，這些方案的撤銷(xiāo)列表(Revocation List, RL)過(guò)大，導(dǎo)致在分發(fā)RL階段消耗了大量時(shí)間。依據(jù)文獻(xiàn)[5]的研究分析，如果撤銷(xiāo)100個(gè)OBUs，每個(gè)OBU有25000個(gè)別名，則一個(gè)RL包含百萬(wàn)個(gè)別名。管理RL所產(chǎn)生的時(shí)延也影響VANETs的性能。

在文獻(xiàn)[6]中，每輛車(chē)使用自己的偽身份。該偽身份是由TA產(chǎn)生的，具有唯一性。然而，單一的偽身份并不能防止車(chē)輛被追蹤。盡管群簽名協(xié)議[7]能夠減少RL的尺寸，但是由于群簽名具有高的簽名驗(yàn)證和撤銷(xiāo)成本，這些協(xié)議并不適合VANETs。

雙線性對(duì)操作常用于群簽名的驗(yàn)證和撤銷(xiāo)，但其也導(dǎo)致長(zhǎng)的認(rèn)證時(shí)延。為了最小化認(rèn)證和撤銷(xiāo)管理的開(kāi)銷(xiāo)，文獻(xiàn)[8]和文獻(xiàn)[9]提出基于信任設(shè)備的認(rèn)證協(xié)議。然而，在每輛上注冊(cè)信任設(shè)備也限制了VANETs的部署。

為了能在無(wú)信任設(shè)備條件下，實(shí)現(xiàn)有效地匿名消息認(rèn)證，文獻(xiàn)[10]提出基于RSU-協(xié)助的認(rèn)證協(xié)議。這些協(xié)議利用RSUs的計(jì)算能力，實(shí)施對(duì)消息的認(rèn)證。此外，文獻(xiàn)[11-13]提出協(xié)作認(rèn)證協(xié)議。這些協(xié)議通過(guò)分享鄰近車(chē)輛的認(rèn)證消息，有效地管理消息。然而，這些協(xié)議要求所有區(qū)域部署RSUs。此外，文獻(xiàn)[11]采用了大量別名，存在RL尺寸過(guò)大問(wèn)題。

在文獻(xiàn)[10]和文獻(xiàn)[12]中，每個(gè)RSU扮成一個(gè)群管理者，向每輛車(chē)分發(fā)群-成員密鑰。RSU通過(guò)此密鑰能實(shí)現(xiàn)對(duì)車(chē)輛的追蹤。并且文獻(xiàn)[12]和文獻(xiàn)[13]并不能有效地驗(yàn)證所有消息。原因在于：協(xié)作與非協(xié)作模式間的同步問(wèn)題。此外，文獻(xiàn)[12]和文獻(xiàn)[13]提出的協(xié)作認(rèn)證模式只是在高密度車(chē)輛場(chǎng)景下才能有效地認(rèn)證所有消息。在車(chē)輛稀疏的環(huán)境，該協(xié)議并不能有效地認(rèn)證消息。

為此，本文提出可靠的協(xié)作認(rèn)證協(xié)議AA-CM。AA-CM協(xié)議首先利用基于帶密鑰散列鏈(Keyed Hash Chain，KHC)的雙別名機(jī)制。通過(guò)該機(jī)制控制RL尺寸和管理RL成本。并引用安全的群密鑰分布協(xié)議。同時(shí)，AA-CM協(xié)議引用了基礎(chǔ)的協(xié)作認(rèn)證算法，并不存在協(xié)作與非協(xié)作模式間的認(rèn)證同步問(wèn)題。

1 網(wǎng)絡(luò)模型

1.1 系統(tǒng)模型

考慮如圖1所示的系統(tǒng)模型。整個(gè)系統(tǒng)由TA、RSUs和車(chē)輛組成。假定這三個(gè)實(shí)體(TA、RSUs和車(chē)輛)通過(guò)基于GPS的時(shí)間同步算法實(shí)現(xiàn)同步。TA通過(guò)有線的安全通信—傳輸層安全協(xié)議(Transport Layer Security, TLS)連通RSU。而車(chē)間通信(V2V)和車(chē)與RSU間通信(V2R)采用DSRC標(biāo)準(zhǔn)。

圖1 系統(tǒng)模型

作為權(quán)威的實(shí)體，TA負(fù)責(zé)產(chǎn)生、管理RSUs的證書(shū)。此外，TA也給車(chē)輛產(chǎn)生大量的別名和相應(yīng)的密鑰。同時(shí)，TA負(fù)責(zé)管理公共參數(shù)。

相比于TA，RSU屬半信任結(jié)構(gòu)，其受TA監(jiān)管[14]。每輛上均安裝了OBU。車(chē)輛通過(guò)OBU周期地廣播beacon消息。每個(gè)OBU預(yù)下載別名和相應(yīng)的私鑰。

1.2 攻擊模型

本文考慮多項(xiàng)-時(shí)間攻擊。RSUs和車(chē)輛均能發(fā)起攻擊。它們通過(guò)篡改、插入、刪除數(shù)據(jù)等方式發(fā)起攻擊。假定系統(tǒng)內(nèi)的多數(shù)RSUs和車(chē)輛是善良的。只有少數(shù)的RSUs和車(chē)輛是惡意的。此外，TA能夠檢測(cè)惡意車(chē)輛。

2 AA-CM協(xié)議

整個(gè)協(xié)議由初始階段、注冊(cè)階段、管理RLs階段、產(chǎn)生-分布并更新群密鑰階段以及V2V間的消息認(rèn)證階段組成。

2.1 初始階段

2.1.1TA設(shè)定參數(shù)

在此階段，TA初始化自己密鑰和公共參數(shù)。同時(shí)所有RSUs產(chǎn)生自己私鑰和相應(yīng)的公鑰。令F表示有限域。C表示在F域上橢圓曲線域。而P表示在C上階數(shù)為p的一個(gè)素?cái)?shù)。

首先，TA隨機(jī)產(chǎn)生一個(gè)密鑰x∈R，并計(jì)算它的公鑰Ppub=xP。然后，產(chǎn)生追蹤密鑰tk，用于產(chǎn)生偽身份。

TA再選擇加密散列函數(shù)，如式(1)所示：

(1)

此外，TA將時(shí)間劃分了多個(gè)時(shí)間窗口。令TWj表示第j個(gè)窗口。每個(gè)窗口時(shí)長(zhǎng)為ΔLtω。每個(gè)窗口又劃分為Nts個(gè)時(shí)隙TS，且每個(gè)時(shí)隙長(zhǎng)ΔLts=ΔLtω/Nts。每輛車(chē)在一個(gè)時(shí)隙內(nèi)僅使用一個(gè)偽身份。時(shí)隙TSj,k表示在第TWj個(gè)窗口內(nèi)的第k個(gè)時(shí)隙。而ΔLtω和Nts這兩個(gè)參數(shù)用于位置隱私。由于一個(gè)偽身份的有效時(shí)間減少，ΔLtω越短、Nts越大，保護(hù)位置隱私的性能越好。

最后，TA給車(chē)輛設(shè)定偽身份數(shù)Npid。車(chē)輛在第Npid個(gè)窗口使用這些偽身份。

2.1.2RSU設(shè)定參數(shù)

所有RSUs先產(chǎn)生簽名、驗(yàn)證密鑰對(duì)(SKRSUi,VKRSUi)。這個(gè)密鑰對(duì)用于數(shù)字簽名。然后，RSUs從TA接收公共參數(shù)，再獲取證書(shū)CertRSUi。CertRSUi包含了IDRSUi和VKRSUi，其中IDRSUi表示第i個(gè)RSU的真實(shí)身份。

當(dāng)TA和RSUs設(shè)定參數(shù)后，TA就設(shè)定公共參數(shù)：

{H1(),H2(),H3,key(),H4,key(),h(),

Ppub,ΔLtw,Nts,F,C,P,p}

(2)

2.2 注冊(cè)階段

(3)

(4)

其中1≤j≤Npid、1≤k≤NTS。

然后，TA就產(chǎn)生兩個(gè)偽身份(雙別名)：一個(gè)別名用于時(shí)間窗口；另一個(gè)別名用于時(shí)隙：

(5)

(6)

其中“||”表示連結(jié)操作。⊕表示異或操作。

(7)

圖2 雙別名的產(chǎn)生

2.3 RL的管理

當(dāng)新的一輛車(chē)在第TWj個(gè)時(shí)間窗口被撤銷(xiāo)，TA就將RVi,j-δ、RVi,j和RVVi加入到RL中。然后，TA在第TWj個(gè)時(shí)間窗口向所有RSUs廣播RL。當(dāng)收到最新的RL，RSU就在TWj+1個(gè)時(shí)間窗口，利用RVVi和H3,key()將RVi,j更新成RVi,j+1。而RVi,j-δ用于群密鑰更新。

2.4 產(chǎn)生-分布并更新群密鑰階段

TA先產(chǎn)生群密鑰GK，然后再通過(guò)安全信道周期地傳輸至所有RSU。群密鑰GK的有效期由系統(tǒng)參數(shù)控制。

本方法建立了一種適用于中國(guó)西北降水量少的地區(qū)降塵總量采集與測(cè)試方法，克服了液體樣品少的問(wèn)題，把液體樣品和固體樣品集中處理成固體樣品一次性測(cè)試，減少了測(cè)試的成本與誤差。方法對(duì)采樣的具體要求進(jìn)行了討論，對(duì)方法的準(zhǔn)確度、精密度、加標(biāo)情況進(jìn)行了驗(yàn)證，得到了滿意的結(jié)果。

RSU(假定RSUi)就隨機(jī)產(chǎn)生參數(shù)t∈Zp，并計(jì)算T=tP。同時(shí)利用RSUi的公鑰對(duì)(T||IDRSUi)進(jìn)行簽名，即SigsKRSUi(T||IDRSUi)。其中SigsK(·)表示利用密鑰K進(jìn)行的公鑰簽名。然后，RSUi就向它覆蓋的區(qū)域內(nèi)廣播IDRSUi、TimeRSUi、T、SigsKRSUi(T||IDRSUi||TimeRSUi)和CertRSUi。

當(dāng)車(chē)輛Vi進(jìn)入RSUi的覆蓋范圍，車(chē)輛Vi就能在窗口TWj接收此消息，并從中提取IDRSUi。并判斷此IDRSUi是否為最新身份。如果IDRSUi是新的，則車(chē)輛Vi就驗(yàn)證CertRSUi和SigsKRSUi(T||IDRSUi)。

(8)

(9)

(10)

2.5 V2V間消息認(rèn)證

AA-CM系統(tǒng)采用協(xié)作消息認(rèn)證策略，其引用了簽名算法[15]和消息認(rèn)證編碼(Message Authentication Code, MAC)算法。

2.5.1產(chǎn)生消息

一旦生成了Mi、R、e和π，車(chē)輛Vi就通過(guò)GK計(jì)算消息認(rèn)證編碼：

(11)

最后，車(chē)輛Vi就鄰居車(chē)輛廣播消息MESVi→Vj：

(12)

2.5.2消息認(rèn)證

AA-CM協(xié)議采用協(xié)作認(rèn)證機(jī)制。每輛車(chē)共享消息認(rèn)證的結(jié)果。

當(dāng)車(chē)輛Vi廣播了beacon消息Mi, 鄰近Vi的車(chē)輛就驗(yàn)證消息的簽名：

(13)

(14)

車(chē)輛驗(yàn)證結(jié)束后，所有車(chē)輛就廣播自己的驗(yàn)證報(bào)告，其包括自己對(duì)車(chē)輛Vi所廣播消息Mi的驗(yàn)證結(jié)果。假定在時(shí)隙TSj,k，車(chē)輛Vi產(chǎn)生報(bào)告Report_Vi。然后，車(chē)輛Vi再產(chǎn)生隨機(jī)數(shù)r′∈Zp，并形成簽名值：

(15)

π=r′-esi,j,k

(16)

同時(shí)，廣播MAC值：

(17)

3 性能分析

3.1 安全性能分析

3.1.1消息完整性

如果一個(gè)攻擊者偽造了簽名，攻擊者必須從π中獲取si,j,k。這就意味著：攻擊者須從R中計(jì)算r，進(jìn)而才能得到si,j,k。然而，這個(gè)過(guò)程需解決到橢圓曲線離散對(duì)數(shù)問(wèn)題(Elliptic Curve Discrete Logarithm Problem , ECDLP)。但解決ECDLP問(wèn)題是非常復(fù)雜。因此，AA-CM協(xié)議能夠維護(hù)消息的完整性。

3.1.2條件隱私保護(hù)

(1)匿名和不可鏈接性

(2)條件化可追蹤性和可鏈接性

在爭(zhēng)論情況，如惡行節(jié)點(diǎn)的追查，TA能夠通過(guò)tk追蹤車(chē)輛Vi的真實(shí)身份：

(18)

(19)

此外，TA也能通過(guò)RKVi鏈接車(chē)輛Vi的多個(gè)身份：

(20)

(21)

通過(guò)上述分析可知，AA-CM協(xié)議具有可追查性。

3.2 計(jì)算開(kāi)銷(xiāo)及性能對(duì)比分析

在AA-CM協(xié)議中，RSUs在其覆蓋范圍內(nèi)向非撤銷(xiāo)車(chē)輛分發(fā)GK。為了評(píng)估分發(fā)GK的性能，分析AA-CM協(xié)議的性能。

3.2.1計(jì)算開(kāi)銷(xiāo)

同時(shí)，RSUi也驗(yàn)證車(chē)輛Vi的簽名(ci,j,k和π)，并計(jì)算系列密鑰κ=t′T=t′tP，然后，再對(duì)消息進(jìn)行ECDSA簽名。因此，RSUi分布GK消耗了約4Tmul。

考慮1000 m×1000 m區(qū)域內(nèi)部署100個(gè)節(jié)點(diǎn)，車(chē)輛的移動(dòng)速度約10～30 m/s。信道帶寬為6 Mbs。采用802.11p無(wú)線協(xié)議。表1列出了在不同節(jié)點(diǎn)數(shù)條件下的平均傳輸GK的時(shí)延。

表1 傳輸GK的平均時(shí)延

3.2.2性能對(duì)比

為了更好地分析AA-CM協(xié)議，選擇文獻(xiàn)[11-13]作為參照，并進(jìn)行對(duì)比分析，如表2所示。

表2 性能對(duì)比

表2中的n指撤銷(xiāo)的節(jié)點(diǎn)數(shù)；MAC操作是消息認(rèn)證編碼。從表2可知，文獻(xiàn)[12]和文獻(xiàn)[13]存在模式同步問(wèn)題和位置修改攻擊。盡管文獻(xiàn)[11]的方案不存在這些問(wèn)題，但是它具有撤銷(xiāo)管理問(wèn)題，其包括更新和存在RL，增加了存儲(chǔ)和通信開(kāi)銷(xiāo)。

4 總 結(jié)

為了能安全傳輸VANETs消息，提出可靠的協(xié)作消息認(rèn)證策略AA-CM。AA-CM協(xié)議引用雙層偽身份，降低RL成本，并利用帶密鑰散列鏈產(chǎn)生偽身份。同時(shí)，引用協(xié)作認(rèn)證技術(shù)。性能分析表明，提出的AA-CM協(xié)議能夠有效地降低成本，并具有條件隱私保護(hù)能力。