王 正，戴煜洲，廖 丹，張 明,3,4＊

（1.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.電子科技大學(xué) 信息與通信工程學(xué)院，四川 成都 611733；3.電子科技大學(xué)宜賓研究院，四川 宜賓 644000；4.電子科技大學(xué)天府協(xié)同創(chuàng)新中心，四川 成都 610299）

0 引言

車聯(lián)網(wǎng)是汽車工業(yè)與人工智能、物聯(lián)網(wǎng)、高性能計(jì)算及其他信息技術(shù)的深度集成[1]，是目前全球汽車運(yùn)輸行業(yè)智能互聯(lián)發(fā)展的主要方向。隨著聯(lián)網(wǎng)車輛的快速增長(zhǎng)和各種車載服務(wù)的發(fā)展，聯(lián)網(wǎng)車輛之間的跨域通信范圍不斷擴(kuò)大，使跨域通信成為車聯(lián)網(wǎng)中一個(gè)重要的應(yīng)用場(chǎng)景[2]?？缬蛲ㄐ攀侵冈谲嚶?lián)網(wǎng)內(nèi)屬于不同域的車輛之間的通信。不同的域由不同的CA（Certificate Authority）注冊(cè)、授權(quán)和管理。它們之間幾乎沒(méi)有任何溝通的歷史，而且車輛不能識(shí)別來(lái)自其他領(lǐng)域的車輛是否值得信賴。因此，身份認(rèn)證是保證跨域通信的安全性和可靠性的關(guān)鍵環(huán)節(jié)[3]。

為了保證合法車輛在跨域通信過(guò)程中的身份安全，研究人員提出了匿名認(rèn)證方案，例如在文獻(xiàn)[4]中，作者提出了一種匿名身份認(rèn)證方法來(lái)隱藏真實(shí)身份。身份標(biāo)識(shí)文件（ID）被映射到一個(gè)唯一的假名，只有可信授權(quán)（Trusted Authorization，TA）才能從任何假名中檢索真實(shí)身份。在文獻(xiàn)[5]中，作者提出了一種基于車輛身份假名的隱私認(rèn)證機(jī)制，引入了路邊單位（Road Side Unit，RSU）代理輔助的兩階段假名分配機(jī)制。該方法將主成分分析（Principal Component Analysis，PCA）的假名生成機(jī)制預(yù)加載到RSU 上，以提高假名分配的效率。

然而，這些現(xiàn)有的匿名機(jī)制并沒(méi)有考慮到車輛身份偽造攻擊[6]。如果是惡意的車輛不根據(jù)匿名機(jī)制生成假名，而是偽造假名和相應(yīng)的鑰匙，則惡意車輛可以在車聯(lián)網(wǎng)上發(fā)起各種攻擊。因此，現(xiàn)有的匿名機(jī)制無(wú)法識(shí)別和定位此惡意車輛，會(huì)導(dǎo)致身份安全問(wèn)題。圖1 分析了跨域通信場(chǎng)景中的車輛身份偽造攻擊[7]。

圖1 跨域通信中的偽造攻擊

在假名產(chǎn)生的階段，偽造假名有以下兩種情況。

（1）惡意車輛在域中完成注冊(cè)后，不會(huì)向系統(tǒng)發(fā)送假名請(qǐng)求，而是偽造非法假名TIDf與周圍的實(shí)體通信。這個(gè)假名TIDf的生成未通過(guò)系統(tǒng)假名機(jī)制進(jìn)行驗(yàn)證和授權(quán)。

（2）惡意車輛已經(jīng)向系統(tǒng)發(fā)起了一個(gè)假名生成請(qǐng)求。它獲取了假名生成的授權(quán)參數(shù)，并根據(jù)系統(tǒng)的規(guī)則生成了一個(gè)合法的假名TIDlegi。但是，在實(shí)際的通信過(guò)程中，它沒(méi)有使用合法的TIDlegi，而是通過(guò)虛假的授權(quán)參數(shù)偽造了另一個(gè)假名TIDf。然后它就可以將TIDf和假參數(shù)打包Packagef={TIDf,parameterlegi}，并發(fā)起攻擊，這使得系統(tǒng)無(wú)法定位它的真實(shí)身份。

目前，利用區(qū)塊鏈技術(shù)解決身份認(rèn)證安全問(wèn)題的方法已得到初步驗(yàn)證，例如：文獻(xiàn)[8]提出了一種以區(qū)塊鏈作為可信平臺(tái)的跨域認(rèn)證方案，結(jié)合基于身份的簽名技術(shù)來(lái)共享領(lǐng)域信息；文獻(xiàn)[9]提出了一個(gè)區(qū)塊鏈輔助的隱私保護(hù)認(rèn)證系統(tǒng)，為車聯(lián)網(wǎng)提供自主身份驗(yàn)證，且該認(rèn)證系統(tǒng)不需要任何在線注冊(cè)中心（系統(tǒng)初始化和車輛注冊(cè)除外），它可以在特定的場(chǎng)景下跟蹤和撤銷行為不當(dāng)?shù)能囕v身份。

但是，在跨域認(rèn)證過(guò)程中，車輛域的數(shù)據(jù)要頻繁在區(qū)塊鏈中進(jìn)行讀寫，且在區(qū)塊鏈中，每個(gè)身份驗(yàn)證事務(wù)處理（例如，存儲(chǔ)車輛證書(shū)數(shù)據(jù)）在寫入新塊之前必須經(jīng)過(guò)共識(shí)驗(yàn)證，導(dǎo)致驗(yàn)證過(guò)程效率較低。因此，傳統(tǒng)的單鏈區(qū)塊鏈體系結(jié)構(gòu)不能滿足車聯(lián)網(wǎng)的跨域需求。

為了解決在車聯(lián)網(wǎng)跨域身份認(rèn)證中可能存在的身份偽造攻擊和認(rèn)證效率問(wèn)題，本文設(shè)計(jì)了一種基于主從鏈的跨域身份認(rèn)證算法（CAMS）。本文主要貢獻(xiàn)總結(jié)如下。

（1）設(shè)計(jì)了CAMS 算法，包括系統(tǒng)初始化、車輛注冊(cè)、假名生成、信息簽名和身份驗(yàn)證。

（2）利用主從鏈，實(shí)現(xiàn)了車輛數(shù)據(jù)的跨域存儲(chǔ)和共享。解決了惡意車輛使用身份匿名性進(jìn)行攻擊的潛在問(wèn)題，確保了跨域通信的車輛認(rèn)證。

（3）提供了詳細(xì)的實(shí)驗(yàn)來(lái)驗(yàn)證CAMS 算法。結(jié)果表明，CAMS 具有抗偽造攻擊的能力，并驗(yàn)證了CAMS 在降低計(jì)算開(kāi)銷和提高身份驗(yàn)證效率等方面的良好性能。

1 算法設(shè)計(jì)

本節(jié)詳細(xì)介紹了CAMS 算法。CAMS 算法主要包括系統(tǒng)初始化、車輛登記、車輛假名生成階段、消息簽名和身份驗(yàn)證?；跈E圓校驗(yàn)算法技術(shù)和主從鏈技術(shù)，在驗(yàn)證過(guò)程中引入了假名生成參數(shù)和驗(yàn)證參數(shù)。這保證了車輛認(rèn)證過(guò)程中的身份匿名性，抵御了身份偽造攻擊，從而解決了惡意車輛利用身份匿名性進(jìn)行攻擊的潛在問(wèn)題。算法中各種標(biāo)識(shí)符的含義如表1 所示。

表1 標(biāo)識(shí)符含義

算法1 顯示了CAMS 算法的偽代碼。CAMS 的輸入包括系統(tǒng)公共參數(shù)CP、車輛信息，以及各個(gè)可信實(shí)體即TA、KGC、CA 等的密鑰對(duì)，而CAMS 的輸出是身份驗(yàn)證的結(jié)果e(σi,P)。在CAMS 中，它首先初始化橢圓曲線和各個(gè)實(shí)體的密鑰對(duì)，其次車輛在域DA中注冊(cè)其身份。根據(jù)車輛的身份特征，CAA為車輛生成相應(yīng)的密鑰對(duì)、加密參數(shù)pai和身份證書(shū)Certi（這些信息存儲(chǔ)在從鏈SCA上）。KGC 在RSU中預(yù)加載了假名預(yù)加載因子hi，以提高假名授權(quán)效率。當(dāng)車輛啟動(dòng)一個(gè)假名生成請(qǐng)求到附近的RSU 時(shí)，RSU 驗(yàn)證車輛請(qǐng)求的合法性，并計(jì)算假名生成參數(shù)pbi。在車輛收到假名生成參數(shù)后，通過(guò)交易生成自己的假名、驗(yàn)證參數(shù)tsi和相應(yīng)的密鑰對(duì)。

車輛可以使用假名和密鑰對(duì)來(lái)計(jì)算車輛的唯一簽名σi，并利用簽名加密消息。當(dāng)車輛請(qǐng)求通信時(shí)，它向接收者發(fā)送消息包{Mi,Addrvi,TIDi,Hi,σi,,tsi}。接收者獲得來(lái)自發(fā)送方通過(guò)它所在域的從屬鏈提供的相關(guān)信息后，它就會(huì)驗(yàn)證數(shù)據(jù)包的有效性、車輛假名及合法性。最后，它驗(yàn)證了車輛身份的簽名σi和合法性。

2 跨域認(rèn)證

在域DA和DB之間的跨域身份驗(yàn)證的過(guò)程如圖2 所示。在圖2 中，假設(shè)車輛和車輛已各自在域DA和DB中注冊(cè)。它們各自的身份證書(shū)信息存儲(chǔ)在兩個(gè)獨(dú)立的子鏈中：DA的從鏈SCA用于車輛，DB的從鏈SCB用于車輛。從鏈中每個(gè)車輛的證書(shū)信息的存儲(chǔ)賬戶地址為Addrvi和Addrvj。

圖2 跨域驗(yàn)證

下面詳細(xì)闡述在域DA和DB間的跨域認(rèn)證過(guò)程。

2.1 系統(tǒng)初始化

系統(tǒng)初始化過(guò)程將通過(guò)橢圓曲線Ep為每個(gè)實(shí)體生成密鑰對(duì)，并構(gòu)造一個(gè)公共參數(shù)集CP。首先，TA 選擇一個(gè)G0 階的加法群，由橢圓曲線Ep(a,b)上的點(diǎn)和無(wú)窮遠(yuǎn)處的點(diǎn)組成。其中，a,b∈Fp是質(zhì)數(shù)。橢圓曲線的生成器是點(diǎn)p，橢圓曲線是點(diǎn)Ep(a,b)在有限域Fp上由等式（1）表示。

假設(shè)KGC 系統(tǒng)初始化的密鑰對(duì)為{Ppk,psk}，CAA的密鑰對(duì)為{CpkA,cskA}。接著，一個(gè)隨機(jī)數(shù)s1∈Zq*通過(guò)KCG 被選擇作為系統(tǒng)私鑰SK。因此，對(duì)應(yīng)的公鑰PK 可以表示為Ppub1=s1×p。公共參數(shù)集可以表示為CP={G0,q,P,Ppub1,Rpk}G0，它將在車聯(lián)網(wǎng)上公布。

2.2 車輛注冊(cè)

注冊(cè)過(guò)程將為使用CA 私鑰的車輛生成一個(gè)證書(shū)Certi和加密參數(shù)pai，如圖3 所示。

圖3 車輛注冊(cè)

為了唯一地識(shí)別車輛，根據(jù)類型、網(wǎng)絡(luò)訪問(wèn)時(shí)間和其他信息分配了一個(gè)唯一身份碼RIDi∈G0給車輛。在域DA中，車輛提交其身份信息（如RIDi和駕駛執(zhí)照）發(fā)送給管理員CAA。然后，CAA通過(guò)執(zhí)行以下操作為車輛進(jìn)行注冊(cè)。

（1）假設(shè)CAA的密鑰對(duì)是{CpkA,cskA}，CAA首先驗(yàn)證所提交的車輛身份信息。如果車輛的信息是合法的，則為車輛生成一個(gè)注冊(cè)密鑰對(duì){Vpki,xi}。

（2）CAA使用它的私鑰cskA來(lái)為車輛ViA生成加密的參數(shù)pai，車輛本地存儲(chǔ)此參數(shù)。pai可以證明已通過(guò)等式（2）被CAA認(rèn)證，并在后續(xù)的通信中協(xié)助生成簽名。

（3）CAA為車輛生成身份證書(shū)Certi，它由{DA,CpkA,Vpki,Si}組成，其中，si表示該證書(shū)是否有效；接著，CAA在域DA的從鏈SCi中記錄Certi，SCA利用原始的Vpki和DA來(lái)計(jì)算的存儲(chǔ)地址Addrvi；最終，它向返回Addrvi。在后續(xù)步驟中，其他合法車輛或周圍實(shí)體可以通過(guò)從從鏈SCA訪問(wèn)Addrvi來(lái)查詢車聯(lián)網(wǎng)的身份證書(shū)。

2.3 假名生成

車輛假名生成階段包括生成因子、假名驗(yàn)證和生成假名這3 個(gè)過(guò)程。假名生成的順序如圖4 所示。

圖4 假名生成流程

2.3.1 生成因子

在KGC 授權(quán)車輛生成假名的過(guò)程中，為防止私鑰泄露psk，將生成包含基于ECC 私鑰的預(yù)加載的因子hi。首先，生成一個(gè)隨機(jī)向量W={w1,w2,…,wn}，其中wi∈；其次，KCG 預(yù)加載因子hn=wn×psk，hn∈G0，同時(shí)Wn=wn×Psk，Wn∈G0導(dǎo)致了H={h1,h2,…,hn}的集合。一定數(shù)量的hi被預(yù)加載到每個(gè)RSU 上，以便后續(xù)授權(quán)假名的生成，這樣就可以消除由RSU 劫持引起的psk的泄漏，并防止攻擊者利用psk生成假名。

2.3.2 假名驗(yàn)證

RSU 通過(guò)參數(shù)req驗(yàn)證假名請(qǐng)求。首先它為車輛計(jì)算假名生成參數(shù)pbi。為了保護(hù)車輛身份的匿名性，車輛需要申請(qǐng)自己的假名。車輛向附近的RSU 提交了一個(gè)假名請(qǐng)求，包括域標(biāo)識(shí)符DA、真實(shí)身份的哈希值RIDi和當(dāng)前的時(shí)間戳Treq。其次，參數(shù)被用來(lái)驗(yàn)證車輛請(qǐng)求的合法性。當(dāng)RSU 收到假名請(qǐng)求時(shí)，進(jìn)行車輛合法性驗(yàn)證和假名生成參數(shù)的分布，具體如下：

①RSU 從從鏈SCA中查詢車輛的證書(shū)Certi={DA,CpkA,Vpki,Si}。Certi記錄了車輛的注冊(cè)信息、證書(shū)頒發(fā)機(jī)構(gòu)CAA和證書(shū)狀態(tài)Si。SCA首先檢查車輛的身份證明是否在本地存在。如果存在，則將證書(shū)返回給RSU；否則，它將從主鏈請(qǐng)求對(duì)車輛身份證書(shū)的跨域查詢。

②在獲得車輛的Certi后，RSU 驗(yàn)證Si是否處于有效狀態(tài)。如果是有效的，車輛請(qǐng)求的合法性則由等式（3）進(jìn)行驗(yàn)證。

如果式（3）不成立，RSU 將拒絕車輛的假名請(qǐng)求；否則，RSU 將使用車輛的唯一公鑰從預(yù)存儲(chǔ)的本地預(yù)加載因子中計(jì)算假名生成參數(shù)pbi，可以通過(guò)式（4）進(jìn)行表述。為了后續(xù)消息驗(yàn)證，RSU 向車輛發(fā)送pbi，并保存假名授權(quán)記錄recordi={Addrvi,Vpki,ui,hi}。

在這里使用了一個(gè)隨機(jī)數(shù)ui∈。而hi是通過(guò)KGC 的私鑰生成的，這是不能被RSU 偽造的。在該算法中，只有獲得了pbi的車輛才能生成自己的假名。在隨后的認(rèn)證階段，pbi被用于驗(yàn)證假名的合法性。

2.3.3 生成假名

接著，車輛用一個(gè)隨機(jī)數(shù)r∈生成。每次生成一個(gè)新的r都會(huì)改變TIDi，用于確保TIDi的唯一性。生成假名和密鑰的時(shí)間戳是Ttemp。αi=H2(||Ttemp)，生成TIDi和vski的計(jì)算過(guò)程為：

這里，驗(yàn)證參數(shù)tsi被用來(lái)證明車輛的假名是由KGC 和RSU 授權(quán)的。它可以在車輛驗(yàn)證階段協(xié)助驗(yàn)證，防止攻擊者未經(jīng)系統(tǒng)授權(quán)偽造假名，攻擊車輛網(wǎng)絡(luò)。

2.4 消息簽名

車輛使用它自己的TIDi和vski來(lái)生成唯一的簽名σi。當(dāng)車輛啟動(dòng)與車輛的通信時(shí)，它需要首先對(duì)消息Mi進(jìn)行簽名和加密，其可以被目標(biāo)車輛解密和驗(yàn)證，以用于獲取消息內(nèi)容。車輛ViA使用假名TIDi和相應(yīng)私鑰ski來(lái)計(jì)算簽名σi，即：

2.5 身份驗(yàn)證

圖5 消息簽名驗(yàn)證順序

（2）如果式（8）成立，RSU 會(huì)在其本地?cái)?shù)據(jù)庫(kù)中搜索CAA的公鑰Cpkj。如果本地沒(méi)有記錄，RSU 從從鏈中查詢車輛的證書(shū)Certi={Di,Cpkj,Vpki,Si}。SCB發(fā)起了對(duì)主鏈MC 的數(shù)據(jù)查詢。接著，它跨過(guò)主鏈MC 到從鏈SCA獲得的證書(shū)Certi及相關(guān)信息。

（3）RSU 根據(jù)Si驗(yàn)證車輛憑據(jù)是否有效。如果無(wú)效，則終止驗(yàn)證并丟棄數(shù)據(jù)包；否則，RSU 對(duì)車輛進(jìn)行身份驗(yàn)證，并檢查式（9）是否成立。如果不成立，車輛驗(yàn)證失敗，數(shù)據(jù)包被丟棄。

3 反身份偽造的分析

4 模擬分析

在驗(yàn)證效率分析方面，將CAMS 算法與條件隱私保護(hù)的批量驗(yàn)證認(rèn)證方案（Conditional Privacy Preserving Batch Verification-Based Authentication Scheme，CPVA）[10]和雙線性驗(yàn)證的安全認(rèn)證（Secure Authentication with Bilinear Verification，SABV）[11]算法進(jìn)行比較，其中，SABV 主要通過(guò)高計(jì)算開(kāi)銷的雙線性配對(duì)操作來(lái)實(shí)現(xiàn)車輛身份認(rèn)證。本文實(shí)驗(yàn)是在JDK1.8 環(huán)境下進(jìn)行的，使用基于配對(duì)的Java 密碼學(xué)的庫(kù)（Java Pairing Based Cryptography，JPBC）來(lái)模擬這3 種算法。同時(shí)，通過(guò)超分類賬結(jié)構(gòu)對(duì)主從鏈進(jìn)行了模擬。Java 可以通過(guò)開(kāi)源包“fabric-chain code-java”來(lái)編寫鏈代碼。

圖6 顯示了不同階段（假名生成、消息簽名、身份驗(yàn)證）的計(jì)算時(shí)間開(kāi)銷，其中，SABV 算法各階段的計(jì)算時(shí)間開(kāi)銷最高，而CAMS 和CPVA 都是基于ECC 進(jìn)行認(rèn)證的，它們?cè)谙⒑灻A段的計(jì)算時(shí)間開(kāi)銷是非常接近的。在身份驗(yàn)證階段，CAMS的計(jì)算時(shí)間開(kāi)銷約為3.161 ms，大于CPVA（約為1.372ms）。由于車輛和受信任的實(shí)體在CAMS 中共同生成假名和密鑰，車輛需要從實(shí)體中獲取假名生成參數(shù)，且車輛假名的合法性在消息驗(yàn)證錢需要被確認(rèn)，會(huì)帶來(lái)額外的費(fèi)用，但是，這些開(kāi)銷是可以幫助CAMS 抵抗身份偽造攻擊；因此，CAMS 可以承受這種計(jì)算時(shí)間的開(kāi)銷。

圖6 計(jì)算時(shí)間開(kāi)銷

圖7 顯示了在不同的身份驗(yàn)證請(qǐng)求發(fā)送速率下的吞吐量。這3 種算法的吞吐量隨著身份驗(yàn)證請(qǐng)求的發(fā)送速率的增大而增大。當(dāng)身份驗(yàn)證請(qǐng)求的發(fā)送速率超過(guò)300 TPS 時(shí)，每個(gè)算法的吞吐量都趨于飽和。在每個(gè)認(rèn)證請(qǐng)求發(fā)送速率下，CAMS 的吞吐量高于SABV 和CPVA，CAMS 的最大吞吐量也高于SABV 和CPVA。

圖7 吞吐量性能

圖8 顯示了身份驗(yàn)證延遲與身份驗(yàn)證數(shù)量之間的關(guān)系。可以得到，在相同的認(rèn)證數(shù)量下，CAMS的認(rèn)證延遲明顯低于SABV 和CPVA。隨著認(rèn)證數(shù)量的增加，CAMS 的低認(rèn)證延遲變得越來(lái)越明顯，這反映了CAMS 具有低延遲的良好特性。

圖8 身份驗(yàn)證延遲

5 結(jié)語(yǔ)

本文結(jié)合主從鏈技術(shù)和ECC 技術(shù)，提出了一種車輛跨域認(rèn)證CAMS 算法。CAMS 算法主要包括車輛注冊(cè)、假名生成、報(bào)文簽名和報(bào)文驗(yàn)證階段。在認(rèn)證過(guò)程中，引入了新的假名生成參數(shù)和驗(yàn)證參數(shù)來(lái)抵御身份偽造攻擊。此外，還從理論上證明了CAMS能夠抵抗偽造攻擊。最后，通過(guò)計(jì)算時(shí)間開(kāi)銷、吞吐量和驗(yàn)證延遲，驗(yàn)證了CAMS 的驗(yàn)證效率。然而，當(dāng)車輛域和從鏈數(shù)量較大時(shí)，CAMS 算法將會(huì)有較大的延遲，這是未來(lái)優(yōu)化的方向。