基于可信计算的车载网认证方案

2017年8月第38卷第8期
湖北文理学院学报
Journal of Hubei University of Arts and Science
Aug. ,2017
Vol. 38 No. 8基于可信计算的车载网认证方案
文松，王敏，胡春阳，徐德刚
(湖北文理学院数学与计算机科学学院，湖北襄阳441053)
摘要：基于可信思想提出了一种车载网络中车载单元和路侧单元的双向认证方案.鉴于现 有各种方案的优点与不足，对基于身份密码的认证方案进行了改进，使用可信第三方作为密钥生
成中心来提高参与方私钥的可信性.采用身份密码在路侧单元与车载单元之间进行相互认证，
克服了传统P K I证书管理弱点.为抵抗重放攻击、路侧单元叛变、虚假信息，使用可信平台模块
进行完整性测量与报告，在认证过程中向车载单元出示测量结果，车载单元可以根据测量结果对
路侧单元的可信性进行验证，保护自己的隐私信息.
关键词：可信计算；身份密码;双向认证
中图分类号:TP393 文献标志码:A文章编号=2095 -4476(2017)08 -0005 -05
车载自组网（Vehicular Ad hoc Network,V A N E T)是移动自组织网络（Mobile Ad hoc Network,M A N E T)在交通道路上的应用，具有无中心、移动性和多跳传输等特点，主要实现人、车、路之间的信息交互，进而构 造智能、安全、可靠的高效交通信息网络.V A N E T的常用通信方式有车-车通信(Vehicle t o Vehicle，V2V)，车-路通信（Vehicle t o Infrastructure,V2I)，通信过程中的安全问题受到广泛关注.
车载自组织网络中车辆数目众多，形成了规模庞大的网络，车辆与车辆和基础设施之间通过无线方式 进行通信，网络容易受到攻击，安全问题突出.研究者对V A N E T存在的攻击方式进行了详细分析，将攻击行 为分为4类[“2] :1)虚假信息攻击：比如在网络中发布虚假车流路况信息，以攻击其他车辆的路由;2)伪冒 身份攻击:攻击者伪造多个虚假身份，在网络中发起Sybil攻击，欺骗并危害其他车辆;3)篡改信息记录攻 击:攻击者为逃避交通事故责任，伪造车速、位置、方向、时间等信息记录;4)拒绝服务攻击:攻击者大量发送 虚假报文，堵塞通信信道，使信息无法从源节点发出，导致其他车辆无法及时处理重要信息.
为应对以上安全威胁，研究者对车载网络的安全需求进行了定义，文献[3 -4]认为V A N E T内的位置安 全主要有以下要素:保密性（Confidentiality)、完整性（Integrity)、可用性（Availability)、身份验证（Authentica-tion)、隐私（Privacy)和付费（Billing)•
针对上述需求，有人开展了不少有意义的工作.为了提高车载自组织网络的安全通信效率，一些学者研究提 高V A N E T系统性能的安全保护方法，其中包括控制用户证书发送，减少证书重复发放，避免信道拥塞，降低接收消 息者的处理延迟[5“];以及汇聚若干签名及消息一起发送，减少付加数据冗余，提高签名验证效率的方法卜9];引用轻量级密码算法，xt称加密与非对称假名算法灵活使用，保证安全性能的同时降低系统开销[w-12].
在V2I通信中，运行的车载设备单元（On Board Units，0B U)与路侧单元（Road Side Units，R S U)之间的 身份认证是双方进行后续服务请求与提供的基础.如果V A N E T没有安全性保障，有可能存在注入消息重放 攻击、主动伪造信息攻击等，这将给V A N E T和交通系统带来严重威胁.V2I的安全通信协议提供R S U s与 O B U s之间的安全通信，要求在通信之前必须通过双方的身份认证.
1常用的认证方案
车载自组网由车辆子网、网络运营商和基础设施组成，其中V2V和V2I以无线通信方式为主，特别容易 受到虚假身份和虚假信息的攻击.在V2I通信中，首先进行的是身份认证.现有的V2I安全通信协议主要有 以下几类：
收稿日期:2016 -10 -20;修订日期:2016-11-30
基金项目：湖北文理学院科学研究基金项目（2016ZK012)
作者简介:文松（1975 —），男，湖北襄阳人，湖北文理学院数学与计算机学院讲师，博士，主要研究方向:可信计算及传感器网络.
第38卷第8期湖北文理学院学报2017年第8期
1) 基于传统公钥密码系统PKI(Public Key Infmstmcture).
2) 基于身份的公钥系统（Identity-based Public Key Cryptography,ID -P K C)[13].PKI方式虽然解决对称密码体制中密钥量过多的问题，但是要求认证协议中有证书管理机构，用于管理证书的生成及管理工 作.在一般网络规模不大且网络拓扑变化很少的应用中，P K I比较易于使用，但对于V A N E T来说，网络中的 车辆数目太多且随机移动，如果使用证书认证身份，将增加巨大的网络流量和管理成本.
3) 基于无证书的公钥系统（Certificateless Public Key Cryptography，CL-P K C)[14-15].ID-P K C 无需书，只需要以参与者的身份作为公钥即可进行认证，大大降低了管理难度，引起了研究者的广泛兴趣.但是，由于身份密码计算复杂，公钥以参与者的身份自动公开，而私钥则需要一个单独的密钥生成中心（Private Key Generator,P K G)计算得到.Shamir•曾指出，在身份密码中，私钥不可以由节点自己计算，只能由P K G产 生，并通过安全信道分发.这就带来了新问题:密钥托管和密钥更新.首先P K G必须是可信的，否则托管的 密钥面临着被盗和虚假的问题;其次密钥更新需要一个可靠的信道或安全的密钥分配协议.对此，很多研究 者根据A1-Riyami和Paterson的研究成果[16]，提出了无证书公钥系统，用于车载网络的身份认证.该方法 的原理是利用P K G产生部分私钥，用户自己产生部分私钥，两者合成在一起形成共同的私钥.这时不必再 担心P K G受到攻击，也解决了密钥的更新问题.有很多基于该思想的认证方案被提出，由于该方法的密码 学基础在于双线性对的计算，而双线性对的计算比较困难，因此所提出的方案思路多集中于减少双线性对 的运算.一个典型的C L-P K C算法包括密钥计算、签名、验证三部分.其中密钥计算又分为系统初始化、公
私钥计算、公私钥设置几部分.表1列出了PKI、ID- P K C、CL- P K C 的主要区别.
从表1可看出，三种方案各有优缺点，从 V A N E T的应用角度来看，ID - P K C和CL - P K C更加适用.从可信第三方角度来说，如果 解决了对于可信第三方的问题，则ID - P K C可 能更优于CL- P K C.因此本文提出一种基于可 信计算的ID - P K C方案，无需0B U参与公私 钥运算.
表 1 PKI、I D-P K C、C L-P K C 的主要区另 1]
PKI ID - PKC CL - PKC 需要证书需要不需要不需要可信第三方需要需要不需要密钥（证书）管理难度复杂简单简单使用的密码算法公钥密码公钥密码公钥密码密码算法复杂度（相对）简单复杂复杂密钥的产生需要节点参与不需要不需要需要
2可信平台证明方案
考虑一个基于ID- P K C的0B U和R S U的双向认证过程，如图
1所示.当车辆经过R S U时，R S U要读取0B U中的信息，这时R S U
首先发起认证过程:S teP l:R S U向0B U发送自己的身份信息，并要
求读取0B U的数据;steP2:0B U验证R S U的身份信息，若通过验证
则将自己的身份信息发给0B U;ste P3 :R S U验证0B U的身份信息.
R S U获取0B U的数据后将把数据交给后台服务器处理.通过以上
过程可实现一个简单的双向认证过程.根据ID - P K C在该过程中
需要使用身份密码进行身份验证，即证明方用自己的私钥签名身份
信息，而验证方用证明方的共约验证该签名得到结果.
然而该过程可能受到身份伪造攻击、重放攻击、R S U妥协攻击.
由于ID- P K C使用身份密码，公钥是参与方自己的身份ID，则R S U和
0B U任何一方只要在系统中使用虚假的身份信息注册过，都可以使用伪造的身份I D进行认证过程.重放攻击 在以上过程中是很容易实现的.如果一个R S U被攻陷，则可违反既定的程序规则，出现异常的行为，例如将用 户车辆信息上传给一个恶意服务器.因此，一个ID- P K C方案的设计需要一定能够抵抗以上的攻击.
2.1注册阶段
身份密码是基于椭圆曲线加密算法和双线性对，其安全性是基于椭圆曲线离散对数问题的双线性版 本，简称为B D H P(Bilinear D iffie- Heilman Problem)困难问题.Paterson还于2006年提出一个标准模型下安全的身份密码签名算法[17].
6
文松，等:基于可信计算的车载网认证方案
为了保证私钥的安全性，使用带有可信计算平台模块（T P M)的服务器作为P K G来为节点产生私钥，一 是提高私钥产生的安全性，二是提供对私钥的验证能力.为了实现对R S U的可信证明，也要在R S U中使用 T P M，用于对R S U的可信证明.
系统初始化过程:stepl:根据系统规则为每个节点产生公钥;S teP2:P K G为每个合法的O B U和R S U计算 私钥，并保存在节点中.其中计算私钥过程：
1) 参数建立阶段Setup.给定秘密参数算法为stepl:以/c作为B D H P的输入参数，生成大素数 g，两个以g为阶的群A，G2，以及一个双线性映射心^ x，在^中随机选择一个生成元P;s t e P2:选择一个随机数s e Z:，计算A =_P%选择随机数g2E Gi，《/e G i G i.向量f/= (A)，M= (m,)，其长度分 别为和.经此过程建立了系统参数paranw= <9，^，g2，_P，w/，f/，m\M>，将g丨称为主密钥.
2) 密钥提取阶段Extract.对任意给定的字符串z i e丨0,1丨*，其长度为《，定义F C丨1，…，丨为使得心]=1的集合，即当i i[i] =1时，运行算法（=j，g4是主密钥又是用户私钥.
2.2消息签名
令w是长度为的公钥，m为待签名消息.令V C丨1，一，《…丨为使得w[i] =1的i集合，I F C丨
为使得m[y] =1的y集合，则(7= 广）为使用心对肌的签名人是选自^的随机数.
2.3 验证签名
验证方使用^作为用户U ID的公钥对消息M的签名= (F，R…，R m)E G丨进行验证，计算g)= 夂g2,gl W r K，R…M m T K，/〇.若等式成立，则签名正确，否则拒绝该签名.
i e F j E.W
证明：爸（f,g)=爸=g(g2,
= e(g2,gi)e(u'J}vul,R J e(m'^wm))
2.4可信证明
以上方案虽然能够实现对身份的认证，但无法抵抗重放攻击和R S U叛变，R S U叛变会使用户的隐私数 据暴露或蒙受损失.Xt抗重放攻击的有效方法是使用随机数来保持认证消息的新鲜性;而对抗R S U叛变则 可以基于R S U平台完整性的验证来确定R S U状态.研究者也对V A N E T和可信计算技术的密钥管理、身份 认证、算法协议和实际应用进行了广泛研究[184°].
可信计算平台利用密码机制，通过对系统平台组件的完整性度量、存储与报告，确保平台完整性.计算 部件的度量值被写入到T P M内相应的平台配置寄存器中（Platform Configuration Register,P C R).另夕卜，可信 计算平台采用密码模块密钥标识其身份，在平台所有者授权下，在T P M内部生成一个密钥对，作为平台身份 密钥（Platform Identity Key，PIK)，用于对T P M内部的信息进行数字签名，实现平台身份认证和平台完整性 报告，从而向外部实体证实平台内部数据的可信性.
一个0B U对R S U完整性验证的一般过程:stepl: R S U和0B U开始交换数据之前，0B U要求度量R S U 的完整性;step2 :R S U中的T P M取出P C R值，使用P I K对P C R的值签名；s te P3 : R S U将P C R的值、P I K对 P C R值的签名和P I K证书发送给0B U;s teP4:0B U收到这些信息后，验证R S U的P I K证书、P C R值的签名；step5:0B U对P C R的值与R S U完整性基准值进行比较，若相同则表明该R S U处于可信状态.
2.5认证过程
基于以上构造认证过程基础，认证从R S U发起，过程为stepl: R S U产生随机数Q r;s teP2:R S U用私钥对 Qi•签名；s te P3 :R S U将认证请求和Qi•—起发给0B U;step4:0B U收到认证请求后，用R S U的公钥认证消息；step5:0B U产生随机数Q〇;step6:0B U用私钥对Q〇签名；step7 :0B U向R S U发起可信验证的挑战，与Q〇、Qr 一起发给R S U;s teP8:R S U用0B U的公钥认证消息，通过认证后比较Qr，若跟自己发出的一致则认为0B U 是真实的；steP9:R S U取出P C R值并签名；steplO:将P C R值、P C R签名、Qo—起发给0B U;stepl1:0B U计算 比较收到的Q〇和自己发出的Q〇,计算P C R值并与P C R签名比较，对P C R值与R S U完整性基准值进行比 较，全部一致则认为R S U是可信的.认证完毕.完整过程如图2所示.从图2可以看出，整个过程共需3次 通信.
7
第38卷第8期湖北文理学院学报2017年第8期3方案分析
RSU 〇©产生随机数
©对随机数签名〇 OBU @发起认证请求®认证OBU 消息4 @
取?01值签名©请求可信证明⑭发送PCR 值及签名©认证RSU 消息 ©产生随机数 ©对随机数签名@可信性证明 图2 R S U 与O B U 的双向认证过程
V A N E T 应满足保密性、完整性、身份验证、隐私保护
等安全需求，不稳定的网络结构和无线通信方式也使之
面临着Sybil 攻击、假消息攻击、重放攻击、节点叛变等安
全威胁，因此高效的身份认证技术对于提高V A N E T 的安
全性有重要作用.
3.1方案有效性
PKI、ID - P K C 和 CL - P K C 各有长处，对于 V A N E T 这样规模巨大且结构处于变化的网络来说，ID -P K C 和
CL -P K C 由于不使用证书更加适用.但是ID - P K C 需 要可信第三方，而CL - P K C 则需要更加强大的运算量.
为克服ID - P K C 和CL - P K C 弱点，笔者在本文提 出一种基于可信计算平台的认证方案，分别从消息认证和平台可信角度对V A N E T 中的节点进行认证.在节 点身份认证方面，涉及到R S U 和O B U 的双向身份认证，分别使用各自的标识作为公钥，使用在网络注册时 所计算的私钥进行签名，其正确性可以从密钥的计算和签名验证过程中得到，上文中已经给出了证明.
关于认证过程共有3次通信:R S U 向O B U 发起身份认证;O B U 验证R S U 签名并要求验证R S U 可信性； R S U 向O B U 发送报告以证明自身可信性.从过程上看，能够抵抗O B U 的假冒身份攻击，R S U 的假冒身份和 叛变，O B U 可以获取对于R S U 的可信性判断.
ID - P K C 方案的一个弱点是可信第三方有可能被攻击，此时私钥将被泄露或假冒，因此对于可信第三 方的安全性一直是ID - P K C 所要重点考虑的问题.可信计算技术的应用将极大地提高对于第三方安全性 的评估能力，对于私钥保护、平台状态及可信性测量都提供了技术手段，合理运用可信计算技术可以提高整 个系统的安全性，将系统可信性从终端扩展到整个网络，也能够降低ID -P K C 方案的私钥管理难度.
当R S U 的私钥泄露，或者R S U 被操纵叛变，将对车辆的隐私和秘密信息造成极大威胁，因此对于R S U 的认证不仅着眼于身份认证，而且考虑可信性.在R S U 中植入T P M 用于R S U 的完整性测量和行为可信性 评估，能够抵抗R S U 私钥泄露、叛变等攻击.
3.2方案的成本及效能
这里所述成本主要涉及经济成本、计算成本和网络通信成本.
在经济成本上.本方案要求R S U 中必须加装T P M ，而CL - P K C 方式则不需要，因此本方案高于CL - P K C 方式.但是，可信计算技术所用到的T P M 实际经济成本并不高，与现有的R S U 相比只占很小一部分，随 着该技术的普及和生产规模的扩大，经济支出增加不明显，在不考虑经济成本的情况下，可以在O B U 中也添 加T P M 实现车辆行为测量.
在计算成本上.本方案和C L -P K C 都使用身份标识密码进行消息签名和验证.但是，本方案不要求 O B U 进行密钥计算，而密钥计算非常耗时，因此大多数CL - P K C 方案都从减少计算入手.无论如何，现有的 CL - P K C 方案都要求O B U 参与到私钥计算中来，因此本方案在计算成本上要优于CL - P K C 方案.
在网络通信方面.R S U 的可信性测量需要进行网络通信，通过合理的方案设计，可在一次交互中完成， 因此本方案需要额外的网络通信成本，在验证R S U 完整性时需要付出一部分计算成本.表2为本方案跟C L -P K C 方案的比较.在效能上.本方案除实现节点身份认 证外，还对R S U 完整性进行测量与验证，提 高了对R S U 可信性的评估能力，有利于进 一步使用更多V A N E T 提供的服务，提高了 V A N E T 的整体安全性.整体来看，经济成本、计算成本、通信成
本互相制约，各种方案需要根据具体应用背
表2 本文方案与CL - P K C 的比较
本文方案C L -P K C 密钥计算
不需要需要可信第三方
需要不需要认证至少需要通信次数
32计算消耗
签名与认证签名、认证，及对运算实现对R S U 的可信评估
肯这不能经济成本需TPM 不需要TPM 8
文松，等:基于可信计算的车载网认证方案
景和安全需求设计更加合理的应用方案.随着计算机技术、网络通信技术、电子技术等的发展，以上几方面 的限制也将不断发生变化，各种方案会在不同时期显示出各自的不同特点.
本文分析了 V A N E T中的安全需求，X#现有的身份认证方案进行了讨论.基于可信计算技术提出使用可 信计算平台帮助产生身份密码中的私钥，提高私钥的安全性.基于身份密码提出一种身份认证方案，一定程 度上克服了一般ID-P K C对可信第三方的不信任，在对路侧单元的认证过程中，使用平台完整性证明方式，对R S U的完整性进行了验证，以上方案能够有效抵抗重放攻击、假冒信息、R S U叛变等攻击.通过分析方案 的成本和效能，本方案以一定的网络通信代价换取了计算资源的节约和安全性的提升.下一步工作将进行 方案仿真测试，定量测量方案的有效性和资源消耗.
参考文献：
[1 ] PARNO B, PERRIG A. Challenges in securing vehicular networks ：Proc. 4th Workshop on Hot Topics in Networks( HotNets - IV) [ C]. Maryland ：
ACM SIGCOMM, 2005.
[2] RAYA M ,HUBAUX J P. Securing vehicular ad hoc networks [ J]. Journal of Computer Security ,2007,15(1) ：39 - 68.
[3] ZHU H J,LU R X,SHEN X M,et al. Security in service - oriented vehicular networks[ J]. IEEE Wireless Communication,2009,16(4) ：16 -22.
[4] FURGEL I, LEMKE K. A review of the digital tachograph system[ M]. Embedded Security in Cars： Springer Berlin Heidelberg,2006 ：69 - 94.
[5] CALANDRIELLO G,PAPADIMITRATOS P,HUBAUX J - P,et al. Efficient and robust pseudonymous authentication in VANET： Proceedings of
the fourth ACM international workshop on Vehicular ad hoc networks[C]. Montreal：ACM SIGMOBILE ,2007.
[6] SCHOCH E , KARGL F. On the efficiency of secure beaconing in VANETs：Proceedings of the third ACM conference on Wireless network security
[C], Hoboken：ACM,2010.
[7 ] ZHANG C , LIN X, LU R, et al. An efficient message authentication scheme for vehicular communications[ J]. Vehicular Technology, IEEE Transac­
tions on,2008 ,57(6) ：3357 -3368.
[8] RAY A M, AZIZ A, HUBAUX J P. Efficient secure aggregation in VANETs ： Proceedings of the 3rd international workshop on Vehicular ad hoc net­
works [C ]. Los Angeles ： ACM, 2006.
[9] TSENG H R,JAN R H, YANG W,et al. A Secure Aggregated message authentication scheme for Vehicular Ad - Hoc Networks：The 18th World
Congress on Intelligent Transportation systems[C]. Orlando：Its world congress,2011.
[10] WANG N W,HUANG Y M,CHEN W M. A novel secure communication scheme in vehicular ad hoc networks [ J]. Computer communications,
2008,31(12) ：2827 -2837.
[11] HU C,CHIM T W, YIU SM,et al. Efficient HMAC - based secure communication for VANETs [J]. Computer Networks, 2012,56 ( 9) ： 2292
-2303.
[12] HUBAUX J P,CAPKUN S,LUO J. The security and privacy of smart vehicles[J]. IEEE Security and Privacy Magazine ,2004,2( 3) ：49 -55.
[13]陶洋，张柯伟.一种基于车载网络的身份认证密钥管理方案[J]•科技通报，2016,32(5):166 -170.
[14] SONG J,HE C J,ZHANG L,et al. Toward an RSU - unavailable lightweight certificateless key agreement scheme for VANETs[ J]. China Com­
munications ,2014 (9) ：93 -103.
[15]刘唐，汪小芬，肖国镇•基于无证书公钥的安全V2I通信协议[J].计算机科学，2012,39(9):20 -23.
[16] SATTAM S,AL - RIYAMI,KENNETH G,et al. Certificateless Public Key Cryptography ： Proceedings of Asiacrypt 2003 , Lecture Notes in Com­
puter Science [ C ]. Berlin ： Springer - Verlag ,2003.
[17] PATERSON K G, SCHULDT J C N. Efficient identity - based signatures secure in the standard model ： Proceedings of the ACISP' 2006 [ C ]. Mel­
bourne ： Springer -Verlag,2006.
[18]吴静，刘衍珩，王健，等.车载自组网的可信认证与信任评估框架[J].通信学报，2009,30(10A):107-112.
[19]谭良，陈菊.一种可信终端运行环境远程证明方案[J]•软件学报，2014,25(6):1273 -1290.
[20]王中华，韩臻，刘吉强，等•云环境下基于PTPM和无证书公钥的身份认证方案[J] •软件学报，2016,27(6):1523 -1537.
(责任编辑：陈丹）
9。