石琴 李想 程騰 王川宿 王文祥

（1.合肥工業(yè)大學(xué)，自動駕駛汽車安全技術(shù)安徽省重點實驗室 安徽省智慧交通車路協(xié)同工程研究中心，合肥 230009；2.奇瑞汽車股份有限公司，蕪湖 241006）

主題詞：車聯(lián)網(wǎng) 量子保密通信 身份認(rèn)證 量子密鑰分發(fā)

1 前言

伴隨著智能網(wǎng)聯(lián)汽車滲透率的逐漸提高，其涉及到的信息數(shù)據(jù)交換的場景也日益增多[1]，這些數(shù)據(jù)涉及到車主的敏感隱私數(shù)據(jù)[2]。黑客能夠利用車聯(lián)網(wǎng)平臺的漏洞，非法獲取這些數(shù)據(jù)，從而威脅用戶的生命安全、財產(chǎn)安全以及隱私安全[3]。因此，有條件的身份認(rèn)證和密鑰協(xié)商機(jī)制被認(rèn)為是保障車聯(lián)網(wǎng)安全通信的有效措施[4]。

當(dāng)前的車聯(lián)網(wǎng)身份認(rèn)證方案大多基于經(jīng)典公鑰密碼算法[5]，如RSA、ECC、Diffie-Hellman，這些方法的安全性是建立在整數(shù)分解和離散對數(shù)這一系列數(shù)學(xué)問題上的。然而，這些傳統(tǒng)密碼算法已被證明可以被量子計算機(jī)破解[6]。因此，能夠抵抗量子攻擊的身份認(rèn)證方案受到了研究者的關(guān)注，現(xiàn)有方案大多采用基于格的加密和簽名算法[7-9]，依賴后量子密碼（Post-Quantum Cryptography，PQC）算法的長期安全性，若PQC算法被破解，隱私數(shù)據(jù)將面臨泄露的風(fēng)險。

量子保密通信是保障未來通信安全的重要技術(shù)手段[10]。其中，量子密鑰分發(fā)（Quantum Key Distribution，QKD）作為最先實用化的量子技術(shù)，是目前唯一被嚴(yán)格證明的無條件安全的密鑰分發(fā)方式[11]。將QKD應(yīng)用于車聯(lián)網(wǎng)的實際場景中，可以極大地確保數(shù)據(jù)的前向安全性。

綜合考慮車聯(lián)網(wǎng)場景下的量子密鑰分發(fā)方式和身份認(rèn)證的安全性，本文提出了一種基于擴(kuò)展量子密鑰分發(fā)的車聯(lián)網(wǎng)增強(qiáng)身份認(rèn)證方案。該方案包括：

a.提出適用于車聯(lián)網(wǎng)的擴(kuò)展量子密鑰分發(fā)方法。在無線網(wǎng)絡(luò)中，通過集成量子安全模塊的車載通信終端與量子安全云服務(wù)器（Quantum Security Cloud Server，QSC）進(jìn)行量子密鑰協(xié)商；在有線網(wǎng)絡(luò)中，通過布置在QSC與車輛云服務(wù)提供商（Vehicle Cloud Service Provider，VSP）的量子密鑰分發(fā)設(shè)備，完成量子密鑰的安全分發(fā)。

b.提出適用于后量子時代的車聯(lián)網(wǎng)身份認(rèn)證方案。方案基于PQC的加密和簽名算法進(jìn)行初次身份認(rèn)證，通過身份認(rèn)證量子密鑰進(jìn)行增強(qiáng)認(rèn)證，驗證硬件的合法性。方案結(jié)合QKD與PQC算法完成車輛和VSP之間的身份認(rèn)證和密鑰協(xié)商，只需要PQC 算法具有短時安全性。最后對方案進(jìn)行安全分析和性能對比，以證明提出方案的安全性和適用性。

2 安全通信系統(tǒng)架構(gòu)

針對車聯(lián)網(wǎng)的車云通信場景，本文提出了如圖1所示的系統(tǒng)架構(gòu)。該系統(tǒng)架構(gòu)包括QSC、VSP、QKD設(shè)備、智能網(wǎng)聯(lián)汽車以及基礎(chǔ)設(shè)施。

圖1 系統(tǒng)通信架構(gòu)

a.量子安全云服務(wù)器（QSC）：QSC作為可信賴的量子安全中心，為系統(tǒng)中的所有用戶和云服務(wù)提供商提供注冊服務(wù)。QSC 和VSP 中集成的量子密鑰分發(fā)設(shè)備可以相互進(jìn)行身份認(rèn)證，組成QKD 網(wǎng)絡(luò)。QSC 通過對預(yù)置量子密鑰的管理，在車云間形成擴(kuò)展的QKD網(wǎng)絡(luò)，實現(xiàn)量子密鑰的無線分發(fā)。

b.車輛云服務(wù)提供商（VSP）：VSP 能夠為車輛提供各種網(wǎng)絡(luò)服務(wù)，例如智能交通服務(wù)、道路信息服務(wù)、智能停車服務(wù)等。VSP在與QSC身份認(rèn)證成功后，能夠為車輛提供所需要的云服務(wù)。VSP 也部署有QKD 設(shè)備，能夠與QSC進(jìn)行會話密鑰的協(xié)商。

c.量子密鑰分發(fā)（QKD）設(shè)備：QKD 設(shè)備成對部署，采用BB84協(xié)議通過經(jīng)典信道和量子信道協(xié)商量子密鑰。

d.智能網(wǎng)聯(lián)汽車：安裝有車載通信終端（Telematics BOX，T-BOX）、車載單元（On Board Unit，OBU），具備聯(lián)網(wǎng)和通信功能的智能車輛。車載通信終端集成了防篡改的量子安全模塊（Quantum Security Entity，QSE），其可以安全存儲預(yù)置的量子密鑰，并在預(yù)置量子密鑰的保護(hù)下，與QSC 進(jìn)行會話密鑰的協(xié)商，實現(xiàn)量子密鑰在擴(kuò)展型QKD網(wǎng)絡(luò)下的分發(fā)。

e.基礎(chǔ)設(shè)施：安裝在道路兩側(cè)，具有快速傳輸速度的設(shè)備。其僅作為數(shù)據(jù)傳輸?shù)闹虚g介質(zhì)，不具備計算能力，支持車輛通信的全域覆蓋。

3 方案流程設(shè)計

本研究方案包括系統(tǒng)初始化、注冊、身份認(rèn)證和量子密鑰協(xié)商4個流程。表1為方案設(shè)計所需使用的符號及對應(yīng)定義?？傮w流程如圖2所示。

表1 方案所需符號及相應(yīng)定義

圖2 方案整體流程

3.1 系統(tǒng)初始化

QSC生成公私鑰對pkQ和skQ，并選擇兩個無碰撞的單向哈希函數(shù)h和h1，然后QSC 將所選擇的系統(tǒng)參數(shù)pkQ、h、h1，選擇對稱加密算法（Advanced Encryption Standard，AES）進(jìn)行公開。車輛生成簽名公私鑰對pkV和skV，VSP 生成簽名公私鑰對pkS和skS,車輛和VSP 向QSC公開簽名公鑰。

3.2 注冊

注冊階段是由車輛、QSC和VSP通過安全通道執(zhí)行的交互式協(xié)議。QSC 負(fù)責(zé)管理車輛和VSP 的身份信息。車輛的車載通信終端集成了已經(jīng)充注了預(yù)置密鑰的量子安全模塊，預(yù)置密鑰的信息在QSC中也有記錄存儲。另外，VSP的可信存儲空間存儲有購買云服務(wù)的車輛的VIDi。

首先進(jìn)行車輛注冊，車輛用戶需要加入車聯(lián)網(wǎng)云服務(wù)網(wǎng)絡(luò)，獲得云服務(wù)功能。因此用戶和車輛需要執(zhí)行以下步驟提前向QSC注冊：

a.車輛用戶設(shè)置登錄賬號IDUi和密碼PWUi，并計算UPWi=h1(IDUi‖PWUi) 。通過安全通道，發(fā)送注冊信息mR1={pkV,UPWi,VIDi} 到QSC。

b.QSC接收到消息mR1后，計算Ai=h(UPWi)⊕VIDi，將Ai在數(shù)據(jù)庫的現(xiàn)有身份信息中進(jìn)行檢索。若檢索成功，則拒絕注冊請求。反之，將UPWi和VIDi進(jìn)行綁定，并在數(shù)據(jù)庫中記錄{Ai,pkV}，向?qū)?yīng)車輛發(fā)送注冊反饋信息mR2={Ai}。

c.車輛接收到mR2之后，計算用戶登錄的驗證參數(shù)Bi=h(Ai‖VIDi)，并存儲到車載終端。

其次進(jìn)行VSP 注冊，VSP 需要提前在QSC 進(jìn)行注冊，注冊步驟為：

a.VSP 提供唯一的身份標(biāo)識SID，通過安全通道將注冊消息mR3={SID,pkS}發(fā)送到QSC。

b.QSC 接收到mR3后，將S=h1(SID)和SID進(jìn)行綁定，并在數(shù)據(jù)庫中記錄{S,pkS}。

c.VSP將S安全存儲。

3.3 身份認(rèn)證

在車輛獲得VSP提供的云服務(wù)之前，需要向QSC進(jìn)行身份認(rèn)證。QSC不僅校驗車輛身份的合法性，還幫助車輛對VSP 進(jìn)行身份認(rèn)證。車輛和VSP 均需要通過向QSC的增強(qiáng)身份認(rèn)證，以保證它們的身份和硬件的雙重合法性，才能夠進(jìn)行后續(xù)會話密鑰的協(xié)商。身份認(rèn)證的具體流程如圖3所示。

注冊階段完成后，車輛需驗證用戶身份的合法性。用戶在車機(jī)端輸入賬號IDUi和密碼PWUi。車輛終端收到賬號密碼之后，計算=h(Ai‖VIDi)，并檢查等式=是否成立，若成立，則表明用戶是合法的。

其次，車輛向QSC進(jìn)行身份認(rèn)證。為了抵御重放攻擊，車輛選擇量子隨機(jī)數(shù)RV，然后從QSE 中提取認(rèn)證密鑰PFKV及其對應(yīng)的密鑰標(biāo)識KtagV，并計算ui=h(VIDi)⊕PFKV。然后，使用QSC 的公鑰對密鑰信息進(jìn)行加密，獲得KV=EnpkQ(ui‖KtagV)，并生成消息摘要DV=h(KV)。接著，車輛使用私鑰skV對消息摘要進(jìn)行簽名，生成簽名值TV=Sign(DV‖RV,skV)。最后，計算哈希值Si=h(KV‖TV‖tSi)用于完整性校驗。車端將認(rèn)證請求消息mA1={KV,TV,RV,Si,tSi} 發(fā)送給QSC。

兩次認(rèn)證確認(rèn)車輛合法后，QSC 選擇量子隨機(jī)數(shù)RQ，計算消息摘要DQ=h1(VIDi) 和簽名值TQ=Sign(DQ‖RQ,skQ)，用于VSP 的身份認(rèn)證。最后QSC生成完整性校驗碼M=h(TQ‖RQ‖tS)，并將認(rèn)證請求消息mA2={TQ,RQ,M,tS}發(fā)送給VSP。

VSP 收 到mA2后，首先通過校驗tR-tS<Δt、M=h(‖‖tS)來確保消息的完整性和有效性。再通過Verify(,DQ‖RQ,pkQ)驗證QSC的消息簽名。VSP將DQ與存儲空間中VID的哈希值做匹配，若成功，則表示車輛具有VSP服務(wù)。

然后VSP 從QSE 中提取認(rèn)證密鑰PFKS及其對應(yīng)的密鑰標(biāo)識KtagS，并使用公鑰pkQ對密鑰信息進(jìn)行加密，得到KS=EnpkQ(S‖PFKS‖KtagS)，并生成消息摘要DS。接著選擇量子隨機(jī)數(shù)RS，使用VSP 的私鑰skS簽名TS=Sign(DS‖RS,skS) 。最后產(chǎn)生完整性校驗碼W=h(KS‖TS‖RS‖tS)，并將認(rèn)證請求消息mA3={KS,TS,RS,W,tS}發(fā)送給QSC。

車輛收到mA4后，校 驗tRi-tSi<Δt和Pi=h(PFKV‖VIDi‖tSi)，成功則車輛認(rèn)證完成。VSP 收到mA5后，校驗tR-tS<Δt和Q=h(PFKS‖S‖tS)，成功則VSP認(rèn)證完成。

3.4 量子密鑰協(xié)商

如圖2 所示，在量子密鑰協(xié)商階段，有兩種密鑰分發(fā)方式。第一種：QSC和VSP之間通過QKD網(wǎng)絡(luò)有線連接完成量子密鑰的分發(fā)，依賴的是量子密鑰分發(fā)協(xié)議。第二種：在QSE中預(yù)置量子密鑰，在車輛和QSC之間實現(xiàn)擴(kuò)展的量子密鑰分發(fā)。具體的密鑰分發(fā)流程如下：

a.車輛從量子安全模塊中提取量子密鑰QKi及其對應(yīng)密鑰標(biāo)識KtagQKi，計算會話密鑰SKi=h(QKi‖PFKV‖RV) 并保存 。隨后，計算Ki=h(KtagV‖tSi)⊕KtagQKi，生成消息完整性驗證碼Xi=h(Ki‖tSi)，并將請求同步會話密鑰消息mK1={Ki,Xi,tSi}發(fā)送給QSC。

4 安全性證明

4.1 安全模型

參考其他研究者提出的認(rèn)證協(xié)議[12-13]后，本研究使用真實或隨機(jī)模型（Real or Random，ROR），假設(shè)方案中身份認(rèn)證和密鑰協(xié)商協(xié)議有用戶、QSC 和VSP 三種實體。這些實體中包含的多個實例之間能夠同時進(jìn)行身份認(rèn)證。每一個實例都能夠看作一個獨立的預(yù)言機(jī)。預(yù)言機(jī)存在三種狀態(tài)，分別為：“Accept”表示預(yù)言機(jī)接收到正確的信息；“Reject”表示預(yù)言機(jī)接收到錯誤信息；“⊥”表示預(yù)言機(jī)輸出為空。設(shè)定是車輛的第a個實例，為QSC的第b個實例，為VSP的第c個實例。身份認(rèn)證協(xié)議的安全性是在多項式時間攻擊者A和挑戰(zhàn)者C之間的“查詢-響應(yīng)游戲”證明的。

定義1（對手能力）：攻擊者A可以執(zhí)行以下查詢來攻擊認(rèn)證方案，并獲取挑戰(zhàn)者的查詢結(jié)果。

hi(mi)：當(dāng)攻擊者A通過mi問詢此預(yù)言機(jī)時，挑戰(zhàn)者C 在列表Lhi中生成一個隨機(jī)數(shù)ri，并將（mi，ri）儲存在列表中。然后，挑戰(zhàn)者C返回ri（i=1，2）到攻擊者。

Execute（）：監(jiān)聽模式。攻擊者A能夠訪問可信實例間的認(rèn)證過程。Oracles 在接收到此查詢時，根據(jù)認(rèn)證和密鑰協(xié)商協(xié)議，返回、與之間的交互消息{mA1，mA2，mA3，mA4，mA5，mK1}。

Send(//，mi)：主動攻擊，模擬攻擊者A向，或發(fā)送認(rèn)證消息m。當(dāng)消息m有效時，預(yù)言機(jī)會接受m，并根據(jù)認(rèn)證和密鑰協(xié)商方案將響應(yīng)消息發(fā)送給攻擊者A。否則返回拒絕響應(yīng)。

Revea（l，）：通過執(zhí)行該查詢，挑戰(zhàn)者C 會將相關(guān)的會話密鑰SKi/SKj發(fā)送給攻擊者A。

Corrup（t，）：通過執(zhí)行該查詢，攻擊者A可以獲得存儲在和安全存儲空間中的所有秘密參數(shù)。

Test()：該查詢會對會話密鑰的語義安全性進(jìn)行模擬。在游戲開始前，將硬幣翻轉(zhuǎn)，并且只有攻擊者A知道硬幣的值。這個值決定了此預(yù)言機(jī)的輸出。若A執(zhí)行此查詢并建立了新鮮的會話密鑰SKi，當(dāng)b=1時，挑戰(zhàn)者C 返回正確的會話密鑰SKi到A；否則當(dāng)b=0 時，C向A返回與SKi長度相同的隨機(jī)字符串。

定義2（語義安全）：攻擊者A 在執(zhí)行完上述查詢后，輸出其在Test 預(yù)言機(jī)中猜測的數(shù)值b。如果攻擊者在沒有執(zhí)行過Reveal 的前提下，猜測的數(shù)值是正確的，則認(rèn)為攻擊者成功破壞了認(rèn)證和密鑰協(xié)商方案(Authentication and Key Agreement，AKA)的語義安全性。其中A的優(yōu)勢如下：

4.2 安全證明

在證明所提出的車聯(lián)網(wǎng)增強(qiáng)身份認(rèn)證方案在上述安全模型下能夠滿足AKA安全的前提下，定義Γ為所提出的方案。若攻擊者A 能夠偽造正確的登錄和認(rèn)證信息，則認(rèn)為攻擊者A破壞了Γ。

定理1：如果攻擊者A 違反認(rèn)證協(xié)議的優(yōu)勢在任何多項式時間內(nèi)都可以被忽略，就稱Γ是AKA 安全的得到。qs,qe,qd,qh和qh1分別表示發(fā)送查詢、執(zhí)行查詢、加密/解密查詢、h和h1查詢的次數(shù)。|P|、|C|和|R|分別表示用戶密碼、密文、隨機(jī)數(shù)范圍空間的長度。A 在破解方案Γ的會話密鑰安全性方面的優(yōu)勢可以估計為：

式中，L為哈希值長度；Lu為用戶身份長度。

證明：構(gòu)建如下游戲來證明攻擊者A破解該方案的優(yōu)勢從游戲開始到游戲結(jié)束都可以被忽略，從而證明定理1。具體證明過程如下：

游戲0：在ROR模型中，A對Γ執(zhí)行的實際攻擊，成功的概率與攻破本方案協(xié)議的概率相同。由定義2可得：

游戲1：此游戲模擬了由哈希列表LC-A維護(hù)的哈希預(yù)言機(jī)h和h1。當(dāng)A 使用消息m執(zhí)行查詢時，C 首先檢查哈希列表，若對應(yīng)的元組（M，h（M））值已存在，則返回該值。否則產(chǎn)生一個隨機(jī)數(shù)并將值添加到哈希列表，同時將該值發(fā)送給A。對攻擊者來說，游戲0 和游戲1是無法區(qū)分的，由此得到：

游戲2：模擬游戲1 中所有的預(yù)言機(jī)。如果發(fā)生以下碰撞事件，則游戲終止?；谏浙Ｕ摽梢缘玫剑?/p>

事件1：認(rèn)證協(xié)議中使用的兩個哈希函數(shù)h和h1發(fā)生碰撞的最大概率是。

事件2：認(rèn)證和密鑰協(xié)商協(xié)議中發(fā)送的消息中的隨機(jī)數(shù)RV、RO和RS發(fā)生碰撞的概率是。

事件3：認(rèn)證協(xié)議中使用簽名和非對稱加密發(fā)生碰撞的最大概率是。

游戲3：模擬了游戲2中所有的預(yù)言機(jī)。游戲中還假設(shè),如果發(fā)生A可以不通過相應(yīng)的哈希預(yù)言機(jī)查詢，只通過Send查詢就能夠正確偽造身份認(rèn)證流程中的關(guān)鍵參數(shù)M、Q、W、Pi、Si、Xi的情況，則游戲3終止。除非車輛否認(rèn)Si，VSP否認(rèn)W或者QSC否認(rèn)M和Xi。因此得到：

游戲4：修改發(fā)送查詢。C 隨機(jī)選擇一個匹配的實例（,,），并按照圖3 的流程答復(fù)A 的Send查詢。設(shè)定一個用來解決基于格的簽名和加密算法的方案，并假定A可以在多項式時間內(nèi)解決基于理想格問題的難題[14]，攻擊者A的優(yōu)勢為：

在執(zhí)行完Send查詢后，A獲得身份認(rèn)證和密鑰協(xié)商階段的交互信息。隨后，A將進(jìn)行qS次Corrup（t，）詢問，若能夠成功區(qū)別SKi=h(QKi‖S‖ui)和隨機(jī)數(shù)，那么C結(jié)束游戲。此時認(rèn)為A已經(jīng)成功通過了身份認(rèn)證和密鑰協(xié)商協(xié)議，獲得游戲的勝利。該結(jié)果需以下列事件發(fā)生為前提:

事件4：A 想要成功模擬車輛用戶并偽造消息mA1={KV,TV,RV,Si,tSi}，其必須正確計算Si、RV和(IDui,PWUi)。A 通過Corrup（t）獲得車輛存儲的秘密參數(shù)(Bi,VID,PFKV)。若A 想要從Bi正確猜測出用戶(IDUi,PWUi)組合，需要執(zhí)行qS次Corrup（t），正確輸出mA1的概率為：

事件5：A 想要成功模擬VSP 并偽造消息mA3={KS,TS,RS,W,tS}，那么必須正確計算W，通過Corrupt（）獲得VSP存儲的秘密參數(shù)(Q,PFKS,S)。若A想要正確猜測出W和RS的組合，需要執(zhí)行qS次Corrupt（），正確輸出mA3的概率為：

事件6：A身份認(rèn)證成功后，想要模擬QSC并偽造密鑰協(xié)商消息mK1={Ki,Xi,tSi}，那么其必須獲得Ki和Xi，正確輸出mK1的概率為：

事件7：A 想要獲取正確的會話密鑰SKi=h(QKi‖PFKV‖RV)，在h預(yù)言機(jī)的幫助下，正確獲得的概率為：

因此，得到通過游戲5的可能性為：

綜上所述，可得到攻擊者A的優(yōu)勢為：

5 性能分析

為了驗證方案的有效性，搭建試驗環(huán)境，將所提出方案的身份認(rèn)證和密鑰協(xié)商階段的計算開銷與現(xiàn)有方案進(jìn)行比較，其中包括Ying[15]、Wang[16]、Cui[17]、Zhang[18]提出的方案。

5.1 試驗環(huán)境搭建

在試驗室中搭建模擬車聯(lián)網(wǎng)真實場景的硬件環(huán)境。如圖4 所示，包括具備聯(lián)網(wǎng)功能的ROS 小車、搭載QSE 且能夠加密車端數(shù)據(jù)的車載通信終端、為車輛提供云服務(wù)的VSP、管理車輛和VSP 身份認(rèn)證、管理量子密鑰的QSC、量子密鑰分發(fā)設(shè)備QKD 以及調(diào)試電腦。

圖4 硬件試驗環(huán)境

5.2 計算開銷對比

計算提出方案與對比方案所用到的重要密碼算法的計算開銷，并將認(rèn)證方案中所用到的密碼運算時間進(jìn)行統(tǒng)計對比。這些密碼算法包含：模指數(shù)運算、標(biāo)量乘法運算、NTRU 加密/解密運算、Falcon 簽名/驗簽運算、哈希運算。為了實現(xiàn)對比的客觀性，設(shè)定Hash 算法為SHA-256，對稱加密算法為AES。通過參考NIST 在局部模型下定義的第一類安全類別[19]和Zhang[15]提出方案中設(shè)定的參數(shù)，設(shè)定NTRU 加密算法的關(guān)鍵參數(shù)為：N=503；p=3；q=2 048，設(shè)定Falcon 簽名算法的關(guān)鍵參數(shù)為：k=256；R=12 289。為了避免硬件差異，在同樣的硬件（英特爾酷睿i7-12700H）上計算各算法的計算開銷，結(jié)果如表2所示。

表2 各算法的計算開銷

將各方案的計算開銷進(jìn)行對比，并假設(shè)是在單個車輛和單個VSP 的場景下，分析車端和服務(wù)端的計算開銷。Ying[15]、Wang[16]、Cui[17]的方案是建立在橢圓曲線密碼算法的基礎(chǔ)上。Zhang[18]和本方案則是基于格的密碼算法來建立安全的身份認(rèn)證方案。計算開銷的方案對比如表3所示。

表3 各方案的計算開銷對比

在Ying[15]的方案中，車輛需要執(zhí)行4次點乘、2次點加和7次單向哈希運算，開銷為1.406 5 ms；服務(wù)端包括可信機(jī)構(gòu)（QSC）和服務(wù)提供者（VSP），需要執(zhí)行4 次點乘、2次點加和3次單向哈希運算，開銷為1.406 1 ms，總計算開銷為2.812 6 ms。同理，可以計算出Wang[16]，Cui[17]和Zhang[18]方案的總計算開銷，分別是3.505 9 ms、2.775 3 ms 和1.122 3 ms。在本研究提出的增強(qiáng)身份認(rèn)證方案中，車輛需要執(zhí)行1次加密、1次簽名和7次單向哈希運算；QSC執(zhí)行2次解密、1次簽名、2次驗簽和10次單向哈希運算；VSP執(zhí)行1次加密、1次簽名、1次驗簽和5次單向哈希運算?？傆嬎汩_銷為1.689 ms。圖5為各方案的計算開銷結(jié)果。

圖5 計算開銷測試結(jié)果

可以看出Zhang[18]的方案計算開銷最小，這是因為其采用的是基于格的加密和簽名算法，計算開銷小于基于橢圓曲線的標(biāo)量乘法運算。本研究的方案計算開銷略大于Zhang 的方案，是由于本方案對車輛、QSC 以及VSP 的消息進(jìn)行了簽名，保證了消息的不可否認(rèn)性，方便在復(fù)雜交通環(huán)境下對車輛進(jìn)行管理。因此本方案的安全性優(yōu)于Zhang 的方案，顯著地減少了車端開銷，性能提升為60.43%～70.72%。

6 結(jié)束語

本文提出了一種適用于后量子時代的車云通信場景下的增強(qiáng)身份認(rèn)證方案。方案實現(xiàn)了可擴(kuò)展的量子密鑰分發(fā)，能夠在車聯(lián)網(wǎng)環(huán)境中兼顧無線和有線通信網(wǎng)絡(luò)，進(jìn)行安全高效的身份認(rèn)證和密鑰協(xié)商。對提出方案的安全性進(jìn)行評估，并搭建了硬件實驗環(huán)境，測試方案的通信性能和密鑰協(xié)商過程，并與其他方案進(jìn)行對比。結(jié)果表明，所提出的方案能夠完成量子密鑰在車聯(lián)網(wǎng)通信場景的安全協(xié)商，適用于后量子時代的車聯(lián)網(wǎng)領(lǐng)域。