面向車聯(lián)網(wǎng)增值服務(wù)的匿名認(rèn)證協(xié)議的密碼分析與設(shè)計(jì)

姚海龍 閆 巧

1(蘭州城市學(xué)院信息工程學(xué)院 蘭州 730070) 2(深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院 廣東深圳 518060)

車聯(lián)網(wǎng)是智能交通系統(tǒng)的基礎(chǔ)，是智慧城市的重要組成部分.車聯(lián)網(wǎng)使用無線傳輸技術(shù)將參與交通的車輛、路邊設(shè)施及行人等結(jié)連成網(wǎng)，以提供道路安全和交通管理相關(guān)服務(wù)，及其他增值服務(wù).車聯(lián)網(wǎng)是一種特殊的移動(dòng)無線自組織網(wǎng)絡(luò)，它具備移動(dòng)自組織網(wǎng)絡(luò)優(yōu)點(diǎn)，也有其自身的特點(diǎn).車聯(lián)網(wǎng)的通信方式除了“車-車”通信之外，還有“車-基礎(chǔ)設(shè)施”和“車-行人”等方式；車聯(lián)網(wǎng)的主要節(jié)點(diǎn)高速移動(dòng)，網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化且規(guī)模不可預(yù)測(cè)；有足夠的電力、計(jì)算和存儲(chǔ)能力；關(guān)鍵應(yīng)用的時(shí)延敏感，而且有些應(yīng)用關(guān)乎駕乘人員的生命和財(cái)產(chǎn)安全，因此對(duì)網(wǎng)絡(luò)安全性要求更高.

車聯(lián)網(wǎng)最初的設(shè)計(jì)意圖是提高交通參與實(shí)體的實(shí)時(shí)決策準(zhǔn)確度，以降低交通事故、減少人身和財(cái)產(chǎn)損失；同時(shí)，提高交通管理信息化和智能化水平，提升交通效率.隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展和智慧城市概念的不斷清晰，以車聯(lián)網(wǎng)為依托的智能交通系統(tǒng)也融入了互聯(lián)網(wǎng)，成了智慧城市不可或缺的構(gòu)件.另外，車輛充足的電源、計(jì)算和存儲(chǔ)能力，以及高速的無線傳輸技術(shù)也使車聯(lián)網(wǎng)提供增值服務(wù)成為可能.除了道路安全和交通管理相關(guān)服務(wù)，車聯(lián)網(wǎng)還能夠提供自動(dòng)駕駛服務(wù)和內(nèi)容分發(fā)服務(wù).自動(dòng)駕駛即智能系統(tǒng)代替人工駕駛車輛，把勞累的駕駛員解放為舒適的乘客.提供內(nèi)容分發(fā)服務(wù)的是和娛樂資訊、駕乘舒適相關(guān)的線上應(yīng)用.如即時(shí)信息、金融資訊、視頻會(huì)議、流媒娛樂、在線游戲等互聯(lián)網(wǎng)增值應(yīng)用.車輛或駕乘人員使用安裝于車載應(yīng)用單元之上的應(yīng)用程序，通過車載通信單元連接路邊基礎(chǔ)設(shè)施，獲取遠(yuǎn)程“可信”服務(wù)提供商提供的各種互聯(lián)網(wǎng)服務(wù).內(nèi)容分發(fā)服務(wù)對(duì)車聯(lián)網(wǎng)的安全性要求雖然不及其他3種苛刻，但仍事關(guān)一個(gè)高速移動(dòng)車輛上的駕乘人員，因此相關(guān)信息的機(jī)密性、完整性和可用性不容輕視.

認(rèn)證密鑰協(xié)商協(xié)議是保障互聯(lián)網(wǎng)遠(yuǎn)程安全通信的主要措施，它能夠?yàn)檐嚶?lián)網(wǎng)增值服務(wù)提供信息安全保障.目前，學(xué)術(shù)界和工業(yè)界鮮有面向車聯(lián)網(wǎng)多服務(wù)器環(huán)境的認(rèn)證密鑰協(xié)商協(xié)議被提出.雖然有許多性能良好的面向傳統(tǒng)互聯(lián)網(wǎng)多服務(wù)器環(huán)境的認(rèn)證密鑰協(xié)商協(xié)議供參考，但仍有許多問題待解決，主要包括：

1) 強(qiáng)假設(shè).主要有2個(gè)方面：一方面假設(shè)硬件因子安全可靠，如假設(shè)敵手無法有效獲取存儲(chǔ)在防篡改終端或智能卡中的數(shù)據(jù)，即對(duì)用戶側(cè)長(zhǎng)期秘密泄露的應(yīng)對(duì)措施考慮不足.事實(shí)上，防篡改終端代價(jià)昂貴也并非絕對(duì)安全，實(shí)踐中也多采用非抗串?dāng)_的硬件因子.另一方面假設(shè)注冊(cè)中心為可信第三方，只負(fù)責(zé)參數(shù)生成、憑據(jù)頒發(fā)，不參與認(rèn)證過程.這種情況多出現(xiàn)在注冊(cè)中心離線模式的兩方協(xié)議中，該類協(xié)議不能及時(shí)對(duì)用戶和服務(wù)器注冊(cè)、認(rèn)證憑據(jù)實(shí)施撤銷和更新，容易導(dǎo)致仿冒攻擊.

2) 抗硬件丟失攻擊脆弱.隨著硬件攻擊技術(shù)的發(fā)展，攻擊者有能力從用戶側(cè)硬件中導(dǎo)出用戶長(zhǎng)期秘密以部署離線字典攻擊，進(jìn)而導(dǎo)致用戶仿冒攻擊.

3) 抗用戶仿冒攻擊脆弱.在注冊(cè)中心離線的兩方協(xié)議和注冊(cè)中心在線但不存儲(chǔ)用戶注冊(cè)信息的三方協(xié)議中，敵手一旦獲得用戶的長(zhǎng)期安全因子，便可部署用戶仿冒攻擊，導(dǎo)致協(xié)議雙向認(rèn)證失效.如謝勇等人提出協(xié)議中的車輛識(shí)別號(hào)泄露且未能及時(shí)撤銷，敵手就可能向注冊(cè)中心執(zhí)行重注冊(cè)獲得合法身份；Lwamo等人提出協(xié)議中智能卡信息泄露，敵手就可能繞過用戶本地認(rèn)證實(shí)施仿冒攻擊.服務(wù)器仿冒攻擊也有類似情況.

4) 匿名性脆弱.協(xié)議的硬件因子中通常存儲(chǔ)著敏感信息，這些信息泄露會(huì)導(dǎo)致協(xié)議匿名性喪失.如謝勇等人提出協(xié)議的智能卡中直接存儲(chǔ)著車輛的識(shí)別號(hào)、口令和系統(tǒng)私鑰明文，一旦這些信息泄露，敵手不但獲得了用戶身份信息，而且能根據(jù)交互信息追蹤到應(yīng)用足跡.

5) 前向安全性脆弱.有些協(xié)議的長(zhǎng)期安全因子泄露可能招致前向安全攻擊.如Lwamo等人提出的協(xié)議，敵手一旦獲得了智能卡中信息或服務(wù)器的長(zhǎng)期秘密因子，就有可能導(dǎo)出會(huì)話密鑰，Vasudev等人提出的協(xié)議也存在類似情況.

為了解決上述5個(gè)問題，本文提出了一種新的可證安全的匿名車聯(lián)網(wǎng)多服務(wù)器認(rèn)證密鑰協(xié)商協(xié)議.我們的主要貢獻(xiàn)有：1)分析了車聯(lián)網(wǎng)內(nèi)容分發(fā)應(yīng)用的安全需求，評(píng)價(jià)了已有車聯(lián)網(wǎng)多服務(wù)器密鑰認(rèn)證協(xié)商協(xié)議的優(yōu)點(diǎn)和不足；2)設(shè)計(jì)了一個(gè)高效的、強(qiáng)匿名性和前向安全性的車聯(lián)網(wǎng)多服務(wù)器認(rèn)證密鑰協(xié)商協(xié)議；3)證明了所提協(xié)議滿足隨機(jī)預(yù)言模型下的AKE(authenticated key exchange)安全性；4)從安全特性、計(jì)算效率和通信開銷3個(gè)方面對(duì)所提方案進(jìn)行了性能評(píng)估.

1 相關(guān)工作

車聯(lián)網(wǎng)雖然始于汽車工業(yè)，但和互聯(lián)網(wǎng)技術(shù)的發(fā)展關(guān)系緊密.近些年學(xué)術(shù)界和工業(yè)界提出了大量遠(yuǎn)程認(rèn)證密鑰協(xié)商協(xié)議，但對(duì)適用于車聯(lián)網(wǎng)多服務(wù)器環(huán)境的協(xié)議研究較少.多服務(wù)器密鑰認(rèn)證協(xié)議依據(jù)加密形式可分為對(duì)稱加密類和公鑰加密類，雖然對(duì)稱加密類普遍計(jì)算效率高但幾乎難以有效實(shí)現(xiàn)強(qiáng)匿名性；依據(jù)協(xié)議參與實(shí)體類型又可分為注冊(cè)中心離線的兩方協(xié)議和注冊(cè)中心在線的三方協(xié)議.

Liao等人在文獻(xiàn)[8]的基礎(chǔ)上提出了一種動(dòng)態(tài)身份多服務(wù)器認(rèn)證協(xié)議，但Hsieh等人認(rèn)為該協(xié)議需要定期更新身份且不能抵抗身份追蹤攻擊、匿名性差，并給出了改進(jìn)協(xié)議；不幸的是Amin等人在文獻(xiàn)[10]中證明Hsieh等人的協(xié)議不能抵抗口令猜測(cè)攻擊和服務(wù)器欺騙攻擊.謝勇等人認(rèn)為Amin等人的協(xié)議雖然改進(jìn)了Hsieh等人協(xié)議的漏洞，但認(rèn)證過程需要在線注冊(cè)中心參與，他們?cè)谖墨I(xiàn)[5]中提出了注冊(cè)中心離線模式的改進(jìn)協(xié)議，聲稱該協(xié)議適用于車聯(lián)網(wǎng)多服務(wù)器環(huán)境.Yoon等人提出一種基于橢圓曲線密碼(elliptic curve crypto-graphy, ECC)的多服務(wù)器認(rèn)證協(xié)議，但He等人在文獻(xiàn)[12]中指出Yoon等人的協(xié)議不能抵抗內(nèi)部特權(quán)攻擊、智能卡丟失攻擊和仿冒攻擊并給出了改進(jìn)協(xié)議；Chuang等人也在文獻(xiàn)[13]指出Yoon等人的協(xié)議存在匿名性脆弱的問題，并提出了一個(gè)輕量級(jí)的改進(jìn)方案.2017年，Kumari等人認(rèn)為Chuang等人的協(xié)議不能抵抗中間數(shù)據(jù)攻擊、用戶仿冒攻擊和前向安全攻擊并基于RSA數(shù)字簽名提出了改進(jìn)協(xié)議，Lwamo等人在2019年發(fā)現(xiàn)Kumari等人的協(xié)議使用了大量指數(shù)運(yùn)算，導(dǎo)致協(xié)議效率低下，為了改善該協(xié)議的效率，他們同時(shí)使用公鑰加密和對(duì)稱加密改善協(xié)議的安全性和計(jì)算效率.但Yao等人認(rèn)為，Lwamo等人的協(xié)議不能抵抗智能卡丟失攻擊、離線字典攻擊，進(jìn)而導(dǎo)致用戶仿冒攻擊，甚至喪失匿名性和前向安全性.2017年，Ying等人使用計(jì)算Diffie-Hellman問題設(shè)計(jì)了一種基于智能卡的輕量級(jí)車輛認(rèn)證方案，作者聲稱其提案具有良好的安全性且計(jì)算和通信效率至少是現(xiàn)有方案的2倍.但是2019年Chen等人在文獻(xiàn)[17]中揭示，Ying等人的方案不能抵抗ID猜測(cè)攻擊、會(huì)話密鑰鏈接攻擊和重放攻擊，并給出了針對(duì)性的改進(jìn)方案.2020年，Vasudev等人分析認(rèn)為Chen等人的改進(jìn)方案雖然獲得了相應(yīng)的安全性，但也因此導(dǎo)致計(jì)算和存儲(chǔ)開銷過高.雖然Vasudev等人聲稱其改進(jìn)方案的安全性和效率均優(yōu)于現(xiàn)有方案，但我們?cè)诒疚闹袑⒄故驹摲桨覆坏涿院颓跋虬踩源嗳?，而且存在任意用戶?cè)設(shè)備丟失都會(huì)導(dǎo)致系統(tǒng)主密鑰泄露，進(jìn)而導(dǎo)致所有會(huì)話密鑰泄露的缺陷.

2 背景知識(shí)

在本節(jié)中，我們主要介紹橢圓曲線密碼、通信模型等理解文章所需的背景知識(shí).

2.1 有限域Fp上的橢圓曲線

2.2 通信模型

車聯(lián)網(wǎng)本質(zhì)上是移動(dòng)自組織網(wǎng)外延互聯(lián)網(wǎng)模式.因此，適用于車聯(lián)網(wǎng)內(nèi)容分發(fā)應(yīng)用的多服務(wù)器認(rèn)證密鑰協(xié)商協(xié)議是互聯(lián)網(wǎng)多服務(wù)器遠(yuǎn)程認(rèn)證的特殊情形.本節(jié)在已有模型的基礎(chǔ)上提出適用于車聯(lián)網(wǎng)內(nèi)容分發(fā)應(yīng)用的多服務(wù)器三方認(rèn)證模型.該模型中有4種協(xié)議實(shí)體：注冊(cè)中心、委托授權(quán)方、內(nèi)容提供商服務(wù)器和車輛及其駕乘人員，網(wǎng)絡(luò)拓?fù)淙鐖D1所示.

1) 注冊(cè)中心

.

注冊(cè)中心

RA

是用戶

H

、服務(wù)器

S

、路邊單元

TA

共同信任的第三方服務(wù)器，它擁有充足的電源、強(qiáng)大的計(jì)算能力和豐富的存儲(chǔ)能力及網(wǎng)絡(luò)資源，同時(shí)假設(shè)它能夠抵御各類已知互聯(lián)網(wǎng)安全攻擊，

H

和

S

能夠在

RA

和

TA

的幫助下實(shí)現(xiàn)雙向認(rèn)證和會(huì)話密鑰協(xié)商

.

2) 內(nèi)容提供商服務(wù)器

.

內(nèi)容提供商服務(wù)器

S

是車聯(lián)網(wǎng)增值服務(wù)的載體，它們是若干部署在互聯(lián)網(wǎng)環(huán)境下半誠(chéng)信服務(wù)器或安裝了Raspberry Pi類系統(tǒng)的車輛或使用其他智能終端的移動(dòng)互聯(lián)網(wǎng)服務(wù)提供者，它們

/

他們?yōu)檐囕v或其駕乘人員提供各種娛樂、資訊等互聯(lián)網(wǎng)增值服務(wù)

.

3) 車輛及駕乘者

.

參與交通行為的車輛是車聯(lián)網(wǎng)的主體之一，車輛或其駕乘人員

H

使用安裝在應(yīng)用程序單元上的應(yīng)用程序，通過車載通信單元連接路邊基礎(chǔ)設(shè)施(roadside unit, RSU)，向部署在互聯(lián)網(wǎng)上的內(nèi)容服務(wù)器請(qǐng)求認(rèn)證并獲取相應(yīng)服務(wù)

.

4) 委托授權(quán)方

.

為了提高系統(tǒng)性能(如提高系統(tǒng)響應(yīng)效率、降低

RA

的負(fù)擔(dān))，我們考慮以車輛及其駕乘人員為中心，

RA

按就近原則將授權(quán)和認(rèn)證的任務(wù)委托給車輛附近的

TA

，如已和

RA

相互認(rèn)證的RSU

.

Fig. 1 Communication model of authentication scheme for value-added services in IoV圖1 面向車聯(lián)網(wǎng)增值服務(wù)的認(rèn)證方案通信模型

2.3 安全目標(biāo)

由于車聯(lián)網(wǎng)主要節(jié)點(diǎn)高速移動(dòng)，網(wǎng)絡(luò)的信息安全事故很可能引發(fā)交通事故和其他安全事故.因此，一個(gè)適用于車聯(lián)網(wǎng)增值服務(wù)場(chǎng)景的認(rèn)證密鑰協(xié)商協(xié)議除了具備協(xié)議實(shí)體雙向認(rèn)證和安全會(huì)話密鑰協(xié)商的功能外，還應(yīng)實(shí)現(xiàn)3個(gè)安全目標(biāo)：

1) 強(qiáng)匿名性.強(qiáng)匿名性包括2個(gè)方面：①敵手無法通過主動(dòng)或被動(dòng)攻擊獲取未完全腐化用戶的識(shí)別碼；②敵手無法通過主動(dòng)或被動(dòng)攻擊建立特定用戶和特定應(yīng)用之間的鏈接，即無法追蹤到用戶的任何網(wǎng)絡(luò)活動(dòng)足跡.

2) 強(qiáng)前向安全性.協(xié)議具備強(qiáng)前向安全性意味著即使敵手獲得了所有協(xié)議實(shí)體的所有長(zhǎng)期安全因子，也無法攻擊前期已建立會(huì)話密鑰的安全性.

3) 抵抗其他攻擊.能夠抵抗其他已知的互聯(lián)網(wǎng)攻擊，如重放攻擊、中間人攻擊等.

2.4 威脅模型

1) 能夠完全控制信道、獲得實(shí)體間交互信息的副本并提取敏感信息；

2) 能夠通過攔截、修改、插入、刪除交互信息等手段干擾通信；

3) 能夠使用掌握的硬件攻擊技術(shù)從盜取或拾得的智能卡中導(dǎo)出其中的秘密；

5) 能夠獲得實(shí)體的其他信息，如會(huì)話狀態(tài)、臨時(shí)秘密因子

.

3 Vasudev等人[4]協(xié)議的密碼分析

本節(jié)以Vasudev等人協(xié)議的密碼分析為例，展示現(xiàn)有面向車聯(lián)網(wǎng)增值服務(wù)的輕量級(jí)認(rèn)證協(xié)議在安全性方面的脆弱性.

3.1 Vasudev等人[4]協(xié)議

為了方便理解針對(duì)Vasudev等人協(xié)議的密碼分析，本節(jié)先對(duì)其注冊(cè)和認(rèn)證過程進(jìn)行簡(jiǎn)要回顧.方案中使用的符號(hào)及其說明如表1所示：

Table 1 Notations and Descriptions表1 符號(hào)及其描述

3.2 Vasudev等人[4]協(xié)議的安全漏洞

本節(jié)展示Vasudev等人協(xié)議不能抵抗2.2節(jié)安全威脅下的匿名性攻擊、前向安全性攻擊等攻擊.

Hi(IDi,PWi,SCi)TAk(K)Sj(IDj,K)r*i=ZiIDiPWiif Ai=Bih(PIDi‖PPWi),select x∈R ZZ*q,h1=h(T1‖Ai‖PPWi‖x),Y1=h(Bi‖PPWi),X1=xYi,M1={IDj,h1,X1,T1},HiM1→TA.Y*1=h(Bi‖PPWi),x=X1Y*1,if h1=h(T1‖Ai‖PPWi‖x),PIDk=h(PIDi‖IDk‖IDj)h2=h(T2‖PIDk‖K‖x),X2=xh(K),M2={PIDk,h2,X2,T2},TAkM2→Sj.x*=X2h(K),if h2=h(T2‖PIDk‖K‖x*),y∈RZZ*q,ssji=h(PIDk‖x‖y),h3=h(T3‖x‖y‖K),X3=xy,M3={h3,X3,T3},TAkM3←Sj.y*=X3x,if h3=h(T3‖x‖y*‖K),h4=h(x‖y‖PPWi),X4=yPPWi,M4={h4,X4},HiM4←TAk.y*=X4PPWi,if h4=h(x‖y*‖PPWi),ssij=h(PIDk‖x‖y*).

Fig. 2 Authentication process of the Vasudev et al. scheme圖2 Vasudev等人方案的認(rèn)證過程

②

ss

=

h

(

PID

‖

X

⊕

h

(

K

)‖

X

⊕

X

⊕

h

(

K

))

.

4) 不能抵抗智能卡丟失攻擊

.

用戶的

ID

智能卡

SC

{

A

,

B

,

Z

}丟失將導(dǎo)致離線字典攻擊

.

因?yàn)?p>h

=

h

(

x

‖

y

‖

PPW

)，而

y

=

X

⊕

PPW

，

x

=

X

⊕

y

，

PPW

=

h

(

PW

‖

Z

⊕

ID

⊕

PW

)，所以有等式

h

=

h

(

X

⊕

X

⊕

PPW

‖

X

⊕

PPW

‖

PPW

)

(1)

① 選取(

ID

,

PW

)；② 計(jì)算

PPW

=

h

(

PW

‖

Z

⊕

ID

⊕

PW

)并代入式(1)，如果

h

=

h

(

X

⊕

X

⊕

PPW

‖

X

⊕

PPW

‖

PPW

)為真，返回(

ID

,

PW

)=(

ID

,

PW

)，否則返回執(zhí)行步驟①

.

4 協(xié)議設(shè)計(jì)

由3.2節(jié)的分析可見，Vasudev等人協(xié)議除了匿名性和前向安全性脆弱之外，還存在任意用戶秘密丟失導(dǎo)致所有會(huì)話泄露的致命缺陷.為了解決這些問題，我們使用ECDH安全假設(shè)和Hash函數(shù)設(shè)計(jì)了一個(gè)安全高效的面向車聯(lián)網(wǎng)增值服務(wù)的認(rèn)證密鑰協(xié)商方案.該提案由初始化、注冊(cè)、授權(quán)、認(rèn)證4個(gè)主要階段組成，其中注冊(cè)階段包括授權(quán)方注冊(cè)、服務(wù)器注冊(cè)和用戶注冊(cè)3個(gè)算法，授權(quán)階段包括用戶臨時(shí)憑據(jù)生成和服務(wù)器臨時(shí)憑據(jù)生成2個(gè)算法.

4.1 初始化

4.2 委托授權(quán)方注冊(cè)

TAk(sk)RA(s)send Rek to RAselect IDk,r*k∈RZZ*q,Crk=h(IDk‖s‖r*k),Rk={IDk,r*k}.TAk {IDk,Crk} ←RA.write {IDk,Crk} into TPDk.

Fig. 3 TAk registration process of the proposed scheme圖3 本提案TAk的注冊(cè)過程

4.3 服務(wù)器注冊(cè)

Sj(IDj)RA(s)Rej={IDj},Sj Rej →RAif IDj is true,select r*j∈ZZ*q,Crj=h(IDj‖s‖r*j),Rj={IDj,r*j}.write {IDj,Crj} into cache.Sj Crj ←RA.

Fig. 4 Sj registration process of the proposed scheme圖4 本提案Sj的注冊(cè)過程

4.4 用戶注冊(cè)

Hi(IDi,PWi)RA(s)MPWi=h(IDi‖PWi),Rei={IDi,MPWi}.Vi Rei →RA.if IDi is true,select r*i∈ZZ*q,Cri=h(IDi‖s‖r*i),Cr*i=CriMPWi,Vri=h(IDi‖PWi‖Cri),Ri={IDi,r*i}.write {Cr*i,Vri} into SCi.Hi {Cr*i,Vri} ←RA.

Fig. 5 Hi registration process of the proposed scheme圖5 本提案Hi的注冊(cè)過程

4.5 登錄和認(rèn)證

認(rèn)證階段，用戶

H

和服務(wù)器

S

在委托授權(quán)方

TA

的幫助下實(shí)現(xiàn)相互認(rèn)證并初始化會(huì)話密鑰

.

通常情況下，

H

的車輛駛?cè)肽骋宦范螘r(shí)，會(huì)被臨近

TA

檢測(cè)到(相互檢測(cè))，

TA

會(huì)在通過

RA

認(rèn)證后為

H

生成臨時(shí)憑據(jù)

Cr

和可能訪問的服務(wù)器憑據(jù)

Cr

，詳情如圖6和圖7所示

.

臨時(shí)憑據(jù)的生成過程為：1)

H

通過登錄認(rèn)證后，選取隨機(jī)數(shù)

r

計(jì)算

r

P

和假名

PID

，并盲化用戶名和假名為

MID

和

MPID

，發(fā)送消息{

MID

,

MPID

,

r

P

,

h

,

T

}給

TA

請(qǐng)求認(rèn)證并將

r

寫入緩存

.

2)

TA

驗(yàn)證時(shí)間戳有效后，計(jì)算摘要

h

并發(fā)送消息{

ID

,

MID

,

r

P

,

h

,

h

,

T

}給

RA

請(qǐng)求認(rèn)證

.

3)

RA

驗(yàn)證時(shí)間戳和

h

有效后，從

MID

中導(dǎo)出

ID

、查詢用戶注冊(cè)表為真后計(jì)算其臨時(shí)憑據(jù)

Cr

，盲化

Cr

為

MCr

、計(jì)算摘要

h

并返回消息{

MCr

,

h

,

T

}給

TA

.

Hi(IDi,PW'i,TPDi)TAk(sk)?RA(s)SCiMPW'i=h(IDi‖PW'i),Cr'i=Cr*iMPW'i,if Vri=h(IDi‖PW'i‖Cr'i),↓OBUiselect ri∈ZZ*q,MIDi=IDih(riPK),PIDi=h(IDi‖riP),MPIDi=PIDih(riPKk),Crki=h(IDk‖PIDi‖riPK‖Cr'i),h1=h(T1‖IDi‖IDk‖Crki),M1={MIDi,MPIDi,riP,h1,T1},write [ri] to TPDi.ViM1→TAk.if T2-T1≤ΔT,h2=h(T2‖IDk‖h1‖Crk),M2={IDk,MIDi,riP,h1,h2,T2},TAkM2→RA.if T3-T2≤ΔT and h2 is true,IDi=MIDih(sriP),Crki=h(IDk‖h(IDi‖riP)‖sriP‖Cri),MCrki=Crkih(riP‖Crk),h3=h(T3‖h(IDi‖riP)‖MCrki‖Crk),M3={MCrki,h3,T3},TAk M3 ←RA.if T4-T3≤ΔT and h3 is true,PIDi=MPIDih(skriP),Crki=MCrkih(riP‖Crk),write [PIDi,Crki] to VLk.

Fig. 6 User temporary credential generation algorithm UTCG圖6 用戶的臨時(shí)憑據(jù)生成算法UTCG

Sj(IDj,sj)TAk(sk)?RA(s)h4=h(T4‖IDk‖Crk),M4={IDk,h4,T4},TAk M4 →RA.if T5-T4≤ΔT and h4 is true,select rj∈ZZ*q,Crkj=h(IDk‖IDj‖rjPKj‖Crj),MCrkj=Crkjh(rjP‖Crk),h5=h(T5‖IDj‖MCrkj‖Crk),M5={IDj,MCrkj,rjP,h5,T5},TAk M5 ←RA.if T6-T5≤ΔT and h5 is true,Crkj=MCrkjh(rjP‖Crk),write [IDj,Crkj] to SLk,h6=h(T6‖IDk‖rjP‖Crkj),M6={IDk,rjP,h6,T6},Sj M6 ←TAk.if T7-T6≤ΔT,Crkj=h(IDk‖IDj‖sjrjP‖Crj),if h6=h(T6‖IDk‖rjP‖Crkj),write [IDk,Crkj] to memory.

Fig. 7 Server temporary credential generation algorithm STCG圖7 服務(wù)器的臨時(shí)憑據(jù)生成算法STCG

4)

TA

驗(yàn)證時(shí)間戳和

h

有效后，從

MPID

中導(dǎo)出

PID

、從

MCr

中導(dǎo)出

Cr

，最后將消息{

PID

,

Cr

}寫入緩存中的車輛列表

VL

以備后用

.

5) 與此同時(shí)，

TA

和

RA

還要為

H

經(jīng)常訪問的服務(wù)器

S

生成新的臨時(shí)憑據(jù)

.TA

計(jì)算摘要

h

后發(fā)送消息{

ID

,

h

,

T

}給

RA

請(qǐng)求認(rèn)證

.

6)

RA

驗(yàn)證時(shí)間戳和

h

有效后，選取隨機(jī)數(shù)

r

計(jì)算服務(wù)器臨時(shí)憑據(jù)

Cr

，盲化

Cr

為

MCr

、計(jì)算摘要

h

并返回消息{

ID

,

MCr

,

r

P

,

h

,

T

}給

TA

.

7)

TA

驗(yàn)證時(shí)間戳和

h

有效后，從

MCr

中導(dǎo)出

Cr

,并將消息{

ID

,

Cr

}寫入緩存中的服務(wù)器列表

SL

；

TA

計(jì)算摘要

h

后發(fā)送{

ID

,

r

P

,

h

,

T

}給

S

.

8)

S

驗(yàn)證時(shí)間戳后，計(jì)算

Cr

并驗(yàn)證摘要

h

有效后將消息{

ID

,

Cr

}寫入緩存以備后用

.

如圖8所示，當(dāng)

H

需要訪問

S

時(shí)，

TA

根據(jù)其緩存中的臨時(shí)憑據(jù)實(shí)現(xiàn)相互認(rèn)證，而無需

RA

參與

.

9)

H

先選擇隨機(jī)數(shù)

x

并以

h

(

xPK

)盲化其假名，計(jì)算臨時(shí)憑據(jù)

Cr

后生成摘要

h

，隨后發(fā)送消息{

MPID

,

ID

,

xP

,

h

,

T

}給

TA

請(qǐng)求認(rèn)證

.

Hi(IDi,PW'i,TPDi)TAk(sk)Sj(SIDj,SIK'j)SCiMPW'i=h(IDi‖PW'i),Cr'i=Cr*iMPW'i,if Vri=h(IDi‖PW'i‖Cr'i),↓OBUiselect x∈ZZ*q,PIDi=h(IDi‖riP),MPIDi=PIDih(xPKk),Crki=h(IDk‖PIDi‖riPK‖Cr'i),h11=h(T11‖IDk‖PIDi‖IDj‖xP‖Crki),M11={MPIDi,IDj,xP,h11,T11}.ViM11→TAk.if T12-T11≤ΔTPIDi=MPIDih(skxP),if Lookup(VLk,PIDi) is false,run UTCG∕STCG, elseif h11=h(T11‖IDk‖PIDi‖IDj‖xP‖Crki),MPID'i=PIDih(xP‖Crkj),h12=h(T12‖PIDi‖IDj‖xP‖Crkj),M12={IDk,MPID'i,xP,h12,T12}.TAkM12→Sj.if T13-T12≤ΔTCrkj=h(IDk‖IDj‖sjrjP‖Crj),PIDi=MPID'ih(xP‖Crkj),if h12=h(T12‖PIDi‖IDj‖xP‖Crkj),select y∈Z*q,ssji=h(PIDi‖xyP),h13=h(PIDi‖IDj‖ssji),h14=h(T13‖IDk‖PIDi‖IDj‖h13‖Crkj),M13={yP,h13,h14,T13}.TAk M13 ←Sj.if T14-T13≤ΔT and h14 is trueh15=h(T14‖IDk‖PIDi‖IDj‖yP‖Crki),M14={yP,h13,h15,T14}.Vi M14 ←TAk.OBUiif T15-T14≤ΔT and h15 is truessij=h(PIDi‖xyP),if h13=h(PIDi‖IDj‖ssij)accept ssij.

Fig. 8 Authentication process of the proposed scheme圖8 本提案的認(rèn)證過程

12)

TA

驗(yàn)證時(shí)間戳和

h

有效后，計(jì)算摘要

h

并發(fā)送消息{

yP

,

h

,

h

,

T

}給

H

請(qǐng)求認(rèn)證

.

13)

H

驗(yàn)證時(shí)間戳和

h

有效后，計(jì)算會(huì)話密鑰

ss

=

h

(

PID

‖

xyP

)并驗(yàn)證

h

，有效則接受該密鑰

.

5 安全分析

本節(jié)給出提案在隨機(jī)預(yù)言模型下的AKE安全性證明和其他性質(zhì)的非形式化分析.

5.1 安全模型

5.2 形式化證明

其中

q

，

q

，

q

為有限時(shí)間內(nèi)

Hash

(·)，

Excute

(·)和

Send

(·)請(qǐng)求的次數(shù)，

l

，

α

，

β

為Hash函數(shù)，

ID

空間、口令空間的比特長(zhǎng)度

.

G

：該游戲模擬真實(shí)場(chǎng)景，依據(jù)定義1可得

Pr

(

Succ

)=

Pr

(

Succ

)

.

G

：該游戲在

G

的基礎(chǔ)上增加

Corrupt

(

H

,

TA

)詢問以模擬

P

被部分腐化時(shí)的協(xié)議安全性

.

否則，

G

的優(yōu)勢(shì)為

Pr

(

Succ

)=1

/

2

.

證畢

.

5.3 匿名性及其他安全性分析

本節(jié)在5

.

2節(jié)安全證明的基礎(chǔ)上進(jìn)一步分析提案的匿名性及其他安全性質(zhì)

.

1) 雙向認(rèn)證

.

正常情況下，用戶

H

和服務(wù)器

S

充分相信持有它們長(zhǎng)期憑據(jù)的實(shí)體一定是系統(tǒng)公鑰的私鑰所有者

RA

，而由其長(zhǎng)期憑據(jù)派生的臨時(shí)憑據(jù)持有者是

RA

信任的實(shí)體

TA

.

因此，

H

和

S

與

TA

之間依據(jù)

Cr

和

Cr

實(shí)現(xiàn)相互認(rèn)證，而

H

和

S

在

TA

幫助下實(shí)現(xiàn)間接認(rèn)證

.

5) 抵抗內(nèi)部特權(quán)攻擊

.

協(xié)議中，用戶

H

的口令以

h

(

ID

‖

PW

)形式使用，依據(jù)Hash函數(shù)的單向安全性，好奇的

RA

無法獲取車輛的

PW

；再者，

H

和

S

均獨(dú)立計(jì)算會(huì)話密鑰

ss

=

h

(

PID

‖

xyP

)，

RA

和

TA

要計(jì)算該會(huì)話密鑰還需

xyP

，依據(jù)ECDH安全假設(shè)，它們獲取

xyP

的優(yōu)勢(shì)可忽略

.

6 性能分析

本節(jié)分析比較了本提案、Vasudev等人、謝勇等人協(xié)議和Lwamo等人協(xié)議的安全特性、計(jì)算效率和通信效率.結(jié)果顯示，所提協(xié)議在安全性和效率方面都具有一定優(yōu)勢(shì).

6.1 安全性對(duì)比

本節(jié)從雙向認(rèn)證、匿名性等10個(gè)方面對(duì)比了提案、Vasudev等人、謝勇等人協(xié)議和Lwamo等人協(xié)議的安全特性.結(jié)果顯示，提案具有更好的安全性.由表2可見，注冊(cè)中心離線的協(xié)議一旦易失性因子泄漏就可能導(dǎo)致雙向認(rèn)證失效，進(jìn)而招致用戶仿冒攻擊，甚至喪失匿名性和前向安全性；未使用公鑰密碼構(gòu)造的協(xié)議匿名性脆弱且容易招致離線口令猜測(cè)攻擊.

Table 2 Comparison of the Security Properties of Authentication Protocol for Value-Added Services in IoV表2 車聯(lián)網(wǎng)多服務(wù)器密鑰協(xié)商協(xié)議安全性質(zhì)比較

6.2 計(jì)算效率對(duì)比

為了評(píng)估所提協(xié)議的計(jì)算效率，我們比較了提案及其他3個(gè)典型方案的計(jì)算耗時(shí).根據(jù)文獻(xiàn)[6,26]的結(jié)論，協(xié)議中所涉及的基本操作耗時(shí)如表3所示：

Table 3 Time Overhead for Various Operations表3 基本操作耗時(shí) ms

我們使用表3中的基本耗時(shí)評(píng)估4個(gè)協(xié)議認(rèn)證和密鑰協(xié)商階段的計(jì)算耗時(shí)，詳情如表4所示.忽略Hash函數(shù)和異或操作耗時(shí)，2個(gè)基于ECC的協(xié)議相比，我們的協(xié)議車輛側(cè)耗時(shí)差不多是謝勇等人協(xié)議的43%，總耗時(shí)是他們的58%；相比基于RSA的Lwamo等人協(xié)議，車輛側(cè)耗時(shí)和總耗時(shí)是他們的2倍左右，但該協(xié)議匿名性和前向安全性脆弱.雖然Vasudev等人協(xié)議的計(jì)算開銷相比小的可以忽略，但它存在因智能卡丟失導(dǎo)致系統(tǒng)主密鑰泄露進(jìn)而導(dǎo)致所有會(huì)話密鑰泄露的致命缺陷.

Table 4 Computational Cost Comparison表4 計(jì)算性能比較 ms

6.3 通信效率對(duì)比

為了評(píng)估所提協(xié)議的通信效率，我們比較了提案和其他3個(gè)協(xié)議的通信開銷.協(xié)議中所涉及的數(shù)據(jù)結(jié)構(gòu)的比特長(zhǎng)度如表5所示:

Table 5 Length of Metadata表5 元數(shù)據(jù)的長(zhǎng)度 b

我們使用表5中統(tǒng)計(jì)的數(shù)據(jù)結(jié)構(gòu)比特長(zhǎng)度評(píng)估4個(gè)協(xié)議認(rèn)證和密鑰協(xié)商階段的通信開銷，詳情如表6所示.忽略底層通信協(xié)議開銷，2個(gè)基于ECC的協(xié)議相比，所提協(xié)議的車輛側(cè)發(fā)送的數(shù)據(jù)量差不多是謝勇等人協(xié)議的1/3，總通信開銷也減少了近20%；和基于Hash函數(shù)的協(xié)議相比，所提協(xié)議的車輛側(cè)發(fā)送的數(shù)據(jù)量不足Vasudev等人協(xié)議的2/3，總通信開銷略高；和基于RSA的協(xié)議相比，所提協(xié)議的車輛側(cè)發(fā)送的數(shù)據(jù)量不足Lwamo等人協(xié)議的1/5，總通信開銷也只有他們的37%.

Table 6 Communication Cost Comparison表6 通信開銷比較 b

7 總 結(jié)

本文首先研究了面向車聯(lián)網(wǎng)增值服務(wù)場(chǎng)景的認(rèn)證密鑰協(xié)商協(xié)議的安全需求和威脅模型；分析了已有協(xié)議存在匿名性和前向安全性脆弱的原因；使用橢圓曲線密碼和Hash函數(shù)設(shè)計(jì)了一種可證安全的適用于車聯(lián)網(wǎng)增值服務(wù)場(chǎng)景匿名認(rèn)證協(xié)議，給出了隨機(jī)預(yù)言模型下的安全性證明，并通過與其他典型協(xié)議在安全特性、計(jì)算效率和通信效率3個(gè)方面的對(duì)比分析評(píng)估了所提協(xié)議的性能.結(jié)果顯示，所提協(xié)議具有強(qiáng)匿名性和前向安全性，能夠抵抗已知的互聯(lián)網(wǎng)攻擊；相比其他協(xié)議，所提協(xié)議的安全性更佳，車輛側(cè)的計(jì)算量和通信量更低，更符合車聯(lián)網(wǎng)增值服務(wù)場(chǎng)景的實(shí)際需求.

作者貢獻(xiàn)聲明

：姚海龍負(fù)責(zé)方案設(shè)計(jì)、安全分析、效率評(píng)估、初稿撰寫；閆巧負(fù)責(zé)審閱與修改論文.