電動汽車充換電網(wǎng)絡系統(tǒng)的安全認證機制設計

張琳娟 王利利 靳 璐 高德云

1(國網(wǎng)河南省電力公司經(jīng)濟技術研究院 河南 鄭州 450052) 2(北京交通大學電子信息工程學院 北京 100044)

0 引 言

隨著電動汽車充電設施的大規(guī)模部署和車聯(lián)網(wǎng)技術的發(fā)展，電動汽車用戶的充電服務需求也在不斷提升[1]。目前充電車輛用戶接入網(wǎng)絡的方式以CAN總線為主，這種通信方式信息承載能力低，無法支撐智能化的充電服務，信息流與能量流高度耦合的傳輸機制極大地影響了電動汽車用戶的充電體驗[2]。

V2X車聯(lián)網(wǎng)無線通信技術為信息流與能量流的解耦合提供了解決方案[3]，車輛用戶通過LTE蜂窩網(wǎng)實現(xiàn)網(wǎng)絡接入，從而賦予車輛用戶與電動汽車服務運營商的遠程通信功能。然而在為車輛用戶提供無線接入能力的同時，開放的無線信道環(huán)境也給電動汽車充換電網(wǎng)絡帶來了安全方面的挑戰(zhàn)[4]。惡意節(jié)點可以通過開放的無線網(wǎng)絡竊取用戶隱私數(shù)據(jù)并偽造用戶信息，甚至可以對電動汽車充換電網(wǎng)絡進行攻擊，從而影響其他用戶的正常服務。

V2X安全系統(tǒng)設計和開發(fā)一直是國內(nèi)外許多項目的研究重點。SafeSpot[5]設計了用于V2X通信的動態(tài)協(xié)作自組織網(wǎng)絡和本地化機制。PRECIOSA[6]分析了車輛合作信息傳輸中的隱私問題，并提出了V2X通信的隱私感知體系架構(gòu)。EVITA[7]提出了一種基于安全的車載通信系統(tǒng)，保護車輛的敏感數(shù)據(jù)，防止惡意攻擊。OVERSEE[8]開發(fā)了基于V2X安全應用的開放式車載平臺，在獨立應用之間實現(xiàn)高度隔離。針對電動汽車智能充電系統(tǒng)的應用場景，基于群簽名的群組認證方案可以實現(xiàn)用戶在充電過程中的身份認證以及數(shù)據(jù)傳輸?shù)陌踩訹9]。

但是，在滿足匿名隱私保護需求的同時，獲取和分析用戶行為[10]以及追蹤非法逃避監(jiān)管與計費的行為將變得困難。為電動汽車充換電網(wǎng)絡引入V2X車聯(lián)網(wǎng)無線通信技術的同時，相關安全認證機制的部署也尤為重要。本文將設計可靠的認證機制來保證電動汽車充電應用場景下的車聯(lián)網(wǎng)通信安全。該機制通過周期性密鑰和臨時ID等憑證的映射存儲和管理實現(xiàn)可追蹤和安全隱私保護兼具的強隱私保護能力，仿真結(jié)果表明在超過50個車輛用戶同時接入和數(shù)據(jù)庫映射條目到達6 000時，認證時延也在100 ms以內(nèi)，滿足安全通信的低時延需求。

1 充電系統(tǒng)的LTE-V2X安全架構(gòu)

受益于長期演進(Long Term Evolution，LTE)的全球部署以及其驅(qū)動的技術進步，LTE-V2X[11]可以通過提供更遠的通信距離、更高的吞吐量、高度精確的定位和超低的時延、性能更佳的擁塞控制，在復雜的電動汽車充換電網(wǎng)絡環(huán)境中支持更廣泛、更豐富的服務[12]。

未來，預計絕大多數(shù)車輛都將具備嵌入式的蜂窩連接功能，實現(xiàn)與充換電基礎設施V2X通信，降低部署成本，提高經(jīng)濟效益[13]。

基于LTE-V2X，設計了如圖1所示的電動汽車充換電系統(tǒng)安全架構(gòu)。LTE-V2X技術包括蜂窩通信(LTE-Uu)和直接通信(PC5)兩種工作模式。架構(gòu)中V2X通信主要基于LTE-Uu通信方式。

圖1 系統(tǒng)安全架構(gòu)

在安全架構(gòu)中，V2X控制功能模塊(V2X Control Function，VCF)主要完成通信參數(shù)配置、周期性密鑰和票據(jù)的發(fā)放等功能；臨時ID管理功能模塊(Temporary ID Management Function，TIMF)完成V-UE的V2X安全方法檢測和匿名移動用戶ID(Pseudonymous Mobile Subscriber ID，PMSI)臨時數(shù)據(jù)庫管理查詢等功能；KMS和CA完成PMSI及其對應密鑰對的發(fā)放和存儲映射等功能。

其中VCF和TIMF均為邏輯模塊，通過電動汽車充換電系統(tǒng)服務運營商部署的智能網(wǎng)關(Intelligent Gateway，IG)實體完成對車載終端(Vehicle-User Equipment，V-UE)的服務授權和PMSI管理等功能。

接下來將介紹安全架構(gòu)涉及的主要接口。

V1：TIMF和VCF為邏輯功能，部署為同一個網(wǎng)元，共享V1接口。車輛用戶通過此接口從VCF獲得服務授權和參數(shù)配置。

V2：TIMF和V2X CA/KMS之間的接口。TIMF從V2X CA/KMS獲取數(shù)字證書、注冊密鑰對。充換電系統(tǒng)服務運營商可以選擇部署于遠程網(wǎng)絡數(shù)據(jù)中心(Internet Data Center，IDC)的V2X密鑰管理系統(tǒng)(Key Management System，KMS)和V2X證書頒發(fā)機構(gòu)(Certificate Authority，CA)作為認證過程中的可信第三方。由于用于登記和響應的證書和密鑰對須具有對應關系，故接下來的認證機制設計中將不對CA和KMS的功能作區(qū)分。

V3：TIMF和VCF之間的接口。TIMF將認證請求轉(zhuǎn)發(fā)給VCF，并且只有在獲得VCF認證成功的結(jié)果后，才會響應來自V-UE的請求。

2 認證機制的設計

本節(jié)首先根據(jù)充換電服務中可能遇到的安全威脅對系統(tǒng)的安全需求進行分析；然后針對安全需求設計具備強隱私保護能力的匿名認證方案，并介紹認證方案實現(xiàn)的整體流程；最后結(jié)合應用場景對方案的安全性進行分析與論證。

2.1 安全需求分析

在具體部署中，電動汽車以及充電基礎設施與電動汽車充電服務運營中心使用蜂窩網(wǎng)絡連接，充電服務運營中心采用自動化智能方式來采集和分析電動汽車用戶的充電行為信息并實時調(diào)整策略。但是，基于開放性的信道和大量接入的節(jié)點，這種連接方式可能會使電動汽車充電網(wǎng)絡面臨安全威脅。一方面，非授權用戶通過盜用他人充電服務賬戶進行充電，給其他電動汽車用戶帶來財產(chǎn)損失；另一方面，即使在高速動態(tài)的車聯(lián)網(wǎng)環(huán)境下實現(xiàn)強大的用戶隱私保護技術，也會給充電運營商采集和分析用戶充電行為數(shù)據(jù)造成不便，同時惡意用戶可能利用其匿名性逃避充電費用的支付和相關監(jiān)管。

針對上述安全威脅，認證機制的設計應從身份隱私、通信的機密性/隱私性保護、信息的完整性/實時性保護出發(fā)來解決這些安全問題。傳統(tǒng)的安全認證技術可以滿足隱私性、可鑒別、不可否認和完整性等需求[14]?；谝陨贤{，認證機制的設計還應滿足如下安全需求：

1) 可認證。防止非法攻擊者入侵的基本要求，用戶在獲得服務之前必須進行服務授權認證。這樣通信雙方均可判斷V2X消息來源的可靠性。

2) 匿名性。接收者無法通過接收到的消息推斷得出發(fā)送者的真實身份。

3) 可追蹤。當車輛用戶出現(xiàn)逃避監(jiān)管和計費等非法行為時，能夠追蹤到用戶的真實身份。

將以上安全需求考慮到認證機制的設計中，在進行V2X通信之前就可以最大程度避免通信中可能遇到的安全方面的威脅。

2.2 具備強隱私保護能力的匿名認證方案

認證方案主要包括三個過程：接入充電網(wǎng)絡的車輛用戶的V2X服務授權過程，匿名證書及對應密鑰對的分發(fā)過程，基于隱私性保護的認證過程。

2.2.1服務授權過程

車輛用戶獲得服務授權是認證的前提，具體過程如圖2所示。V-UE出廠后得到一個攜帶其全球唯一標識(Global unique identifier，GUID)的數(shù)字證書和密鑰對，用戶攜帶其GUID向IG發(fā)出請求獲得服務授權。其中，TIMF模塊和V2X CA/KMS為單獨的邏輯實體，以允許IG設置無線電參數(shù)和第三方。具體服務授權過程如圖2所示。

圖2 服務授權

步驟如下：

1) UE從VCF模塊獲取通信參數(shù)。該過程中，UE獲得由運營商和附屬服務提供商提供的服務列表，并且被告知該服務是否需要承載層安全性，同時獲得TIMF模塊以及V2X CA/KMS的地址。

2) UE向TIMF發(fā)送服務授權和安全憑證的請求。消息攜帶UE ID、服務ID和支持的安全方法集。

3) TIMF模塊根據(jù)UE提供的方法集來檢查其是否具備V2X安全能力。

4) 如果步驟3)的檢查對于服務ID是成功的，TIMF模塊與VCF和CA/KMS共同完成服務ID授權確認和安全憑證生成，并將Response消息返回給UE，UE獲得服務授權和用于身份認證和加密的安全憑證。如果檢查失敗，則直接轉(zhuǎn)到步驟5)。

5) UE不支持所需的算法，TIMF模塊將返回算法支持失敗的指示符。

2.2.2(PMSI，KPMSI)分發(fā)過程

認證機構(gòu)完成對已授權用戶的匿名證書及對應密鑰的分發(fā)，具體過程如圖3所示。為防止惡意用戶竊取和偽造身份信息，授權用戶需隱藏GUID，使用匿名證書頒發(fā)機構(gòu)(Pseudonym Certificate Authority，PCA)頒發(fā)的PMSI進行通信，其對稱密鑰對KPMSI由KMS發(fā)放?；陔[私性與可追蹤性保護的折中考慮，本地IG和遠程IDC分別管理車輛用戶的部分信息，這將通過周期性密鑰Kperiod和票據(jù)實現(xiàn)。

圖3 (PMSI，KPMSI)分發(fā)過程

具體分發(fā)過程如下：

1) UE向VCF發(fā)送獲取周期性密鑰Kperiod和票據(jù)的請求。消息中攜帶包含其GUID信息的安全憑證。

2) VCF驗證UE的憑證后發(fā)送周期性密鑰Kperiod、票據(jù)和合法的KMS列表(KMS_ID，KMS_Pub)。周期性密鑰Kperiod為非對稱密鑰。票據(jù)中包含隨機ID，且與UE的GUID無關聯(lián)，更新周期與Kperiod相同。VCF使用私鑰Ks對票據(jù)內(nèi)容進行數(shù)字簽名。

3) VCF向CA/KMS發(fā)放Kperiod公鑰加密的(PMSI，KPMSI)巨型池和用于驗證票據(jù)簽名的VCF公鑰Kp。Kperiod使得匿名ID和密鑰對信息對CA/KMS保密。

4) UE向從VCF提供的列表中選出的CA/KMS發(fā)送通信密鑰請求。消息攜帶VCF的Ks簽名的票據(jù)。

5) CA/KMS使用VCF公鑰Kp驗證票據(jù)，確保請求的真實性和可靠性。

6) CA/KMS向UE返回響應消息，從加密的巨型池中提取子池(PMSI，KPMSI)，簽名后發(fā)送。與此同時，將票據(jù)和發(fā)送的匿名密鑰對綁定，存儲映射，并向臨時ID管理功能發(fā)送消息記錄消耗。

7) TIMF模塊綁定消耗的PMSI子池、KMS_ID、KMS_Pub和對應的TIME(PMSI生命周期的開始時間)形成臨時數(shù)據(jù)庫，可以用于識別非法消息的發(fā)送者。數(shù)據(jù)庫的保存期限取決于充電網(wǎng)絡運營商的政策。

8) UE使用KMS公鑰驗證簽名，確保消息來源為KMS。然后使用Kperiod私鑰將(PMSI，KPMSI)解密。

2.2.3認證過程

獲取匿名的車輛和充換電網(wǎng)絡服務器之間開始進行認證通信，如圖4所示?；诠€密碼體系的改進[15]，實現(xiàn)通信的隱私性和完整性保護；在消息中增加時間標記，防止重放攻擊。KPMSI包含一個非對稱密鑰對，即秘密簽名密鑰(Secret Signing Key，SSK)和公共驗證令牌(Public Validation Token，PVT)，其中，SSK對外保密；PVT對外公開。

圖4 認證通信過程

具體認證過程如下：

1) UE向服務器發(fā)送通信請求。攜帶UE獲取KPMSI的源KMS_ID和KMS簽名的PVT_UE。

2) Server根據(jù)收到的KMS_ID查詢KMS_Pub，驗證UE的PVT可靠性。驗證完畢后攜帶公鑰Server_Pub向UE返回響應。

3) UE發(fā)送Server_Pub加密的報文。報文內(nèi)容包含：含SSK_UE簽名的消息、簽名時間t；密鑰對KPMSI(SSK，PVT)的生命周期開始時間TIME。

4) Server收到消息后，對消息內(nèi)容進行驗證:

(1) 使用Server_Pri解密消息。

(2) 使用PVT_UE驗證消息的完整性。

(3) 驗證t：設t′收到消息，要求0 ms時間窗口，則為重放消息，若t′-t<0，則為無效消息。

(4) 驗證TIME，檢查UE的SSK、PVT是否失效。

經(jīng)過步驟4)的驗證后，消息被送至應用程序處理，否則請求重傳或丟棄。

2.3 安全能力分析

認證方案的強隱私保護能力體現(xiàn)在既可以防止非法竊取和盜用用戶信息，又可以在用戶逃避監(jiān)管和計費后定位其GUID。下面將結(jié)合具體場景分析和論證機制的安全性。

場景一：非授權用戶B通過竊聽、截獲得到了用戶A正在使用的(PMSI，KPMSI)，企圖盜用A的賬戶請求充電服務。由于(PMSI，KPMSI)的生命周期只有幾分鐘，到期后需要使用含VCF的Ks簽名的票據(jù)向CA/KMS請求新的匿名池，且獲取票據(jù)需要使用包含GUID的安全憑證。故用戶B無法繼續(xù)盜用A的賬戶。

場景二：非法用戶C企圖通過黑客行為攻擊充電站智能網(wǎng)關IG，并盜取充電用戶的賬戶信息。IG中的TIMF綁定(消耗的PMSI對，KMS_ID，KMS_Pub，TIME)形成臨時數(shù)據(jù)庫，一方面，為節(jié)省資源，該數(shù)據(jù)庫根據(jù)運營商的政策可以定期銷毀和更新，用戶C竊取到的可能只是某段時間內(nèi)的數(shù)據(jù)；另一方面，由于PMSI對的分發(fā)通過位于IDC的KMS/CA實現(xiàn)，用戶C即使獲取到完整數(shù)據(jù)庫，也無法定位消耗該PMSI的用戶的GUID，獲取的賬戶信息無效。

場景三：非法用戶D企圖通過黑客行為攻擊充換電服務運營數(shù)據(jù)中心IDC，分析用戶的實時行為。但是由于IDC只存儲了票據(jù)和(PMSI，KPMSI)子池的映射，且票據(jù)只是用來檢查用戶是否經(jīng)過VCF的驗證，并不包含用戶的GUID信息，(PMSI，KPMSI)子池是由VCF的Kperiod加密。因此用戶D無法獲取任何有效的信息。

場景四：使用PMSI進行通信的用戶E在充電服務完畢后利用匿名的定期更新和反單側(cè)追蹤機制逃避計費。IG的TIMF在臨時數(shù)據(jù)庫中根據(jù)其PMSI查詢對應的KMS_ID，然后攜帶PMSI向IDC中對應的KMS發(fā)起追蹤請求；KMS查詢票據(jù)和(PMSI，KPMSI)子池的映射，找到用戶E對應的票據(jù)并將其返回IG的VCF；VCF根據(jù)票據(jù)中的隨機ID匹配到用戶E的安全憑證，根據(jù)其安全憑證定位其GUID，實現(xiàn)對用戶E的追蹤。

場景五：電動汽車充電站服務運營商可以根據(jù)綜合分析邊界智能網(wǎng)關和遠程數(shù)據(jù)中心的信息，實現(xiàn)對充電用戶行為的數(shù)據(jù)分析，根據(jù)分析結(jié)果進行電價策略的實時調(diào)整和充電站的部署規(guī)劃。

實際部署中，充換電網(wǎng)絡受到惡意攻擊的場景均基于以上情況及其擴展，因此機制的安全性得以驗證：在保護車輛用戶身份隱私性的同時，也可以在有追責需求時實現(xiàn)用戶GUID的追蹤和定位。

3 仿真驗證與性能分析

3.1 模擬場景的設計與仿真

認證方案的仿真是在NS-3(Network Simulator-version3)仿真平臺[16]上完成的。根據(jù)LTE-V2X架構(gòu)下的電動汽車充換電系統(tǒng)具體場景，繪制網(wǎng)絡拓撲，并編寫模擬程序創(chuàng)建所需的場景模型。網(wǎng)絡拓撲如圖5所示。

圖5 電動汽車充換電網(wǎng)絡拓撲設計

仿真結(jié)果的拓撲界面如圖6所示。節(jié)點設備之間可以進行正常的業(yè)務通信，拓撲場景搭建成功。

圖6 仿真拓撲的實現(xiàn)

3.2 仿真結(jié)果分析

認證機制的仿真實現(xiàn)了預期功能，模擬場景中的每個車輛用戶最終都擁有一個GUID和PMSI。CA/KMS和VCF各自維護一個數(shù)據(jù)庫，前者維護票據(jù)和(PMSI，KPMSI)的映射關系，后者維護用戶GUID、Kperiod和票據(jù)的映射關系，追蹤功能可以通過獲得授權后匹配兩個數(shù)據(jù)庫的內(nèi)容追蹤到用戶。

由于車聯(lián)網(wǎng)環(huán)境具有時間敏感特性，認證機制的復雜度和時延互相制約，因此對認證機制進行時延性能分析，分別研究認證時長對同時接入的用戶數(shù)量和匿名數(shù)據(jù)庫大小的敏感度。

從圖7可以看出，在其他因素相同時，隨著車輛用戶數(shù)量的增加，每個用戶的平均認證時長也在增加。數(shù)據(jù)擬合的結(jié)果表明兩者之間的關系更接近多項式曲線。仿真結(jié)果說明，隨著車輛用戶數(shù)量的增加，用戶的平均認證時間線性增加。這說明認證系統(tǒng)的時延對接入節(jié)點的數(shù)量有一定敏感性。具體原因如下：(1) 由于模擬場景中只部署了一個基站，多個用戶同時請求，會造成可能的資源沖突導致較大排隊時延；(2) 隨著發(fā)起請求的增加，IG節(jié)點和IDC節(jié)點的響應時間會變長，從PMSI資源池中提取條目并分發(fā)的時延也相應增加。

圖7 平均認證時間與車輛用戶數(shù)量的關系

圖8顯示，在數(shù)據(jù)庫規(guī)模增長時，用戶的認證時間呈現(xiàn)緩慢增長的趨勢，數(shù)據(jù)擬合的結(jié)果表明兩者之間的關系更接近指數(shù)曲線，隨數(shù)據(jù)庫條目增長，用戶的認證時間增長趨勢逐漸減緩。數(shù)據(jù)庫條目從100到6 400的變化對應認證時長的變化僅為20 ms，因此可以說明認證機構(gòu)維護的數(shù)據(jù)庫大小并不會對認證時延造成影響。

圖8 認證時間與數(shù)據(jù)庫大小的關系

4 結(jié) 語

本文在LTE-V2X架構(gòu)的基礎上對電動汽車充換電網(wǎng)絡中的安全隱私保護的需求進行具體分析，提出具備強隱私保護能力的匿名認證機制，同時實現(xiàn)車輛用戶的真實身份隱私保護和可追蹤。基于NS-3網(wǎng)絡仿真平臺，搭建拓撲并對認證方案進行仿真，匿名分發(fā)和多方問責功能的同時實現(xiàn)說明該認證機制具有實際部署能力和可擴展性，滿足電動汽車用戶充換電通信業(yè)務的需求。