车载自组网匿名认证方案的安全性分析与改进

霍士伟,杨文静,侯银涛,申金山

(1.国防科技大学 信息通信学院 试验训练基地,西安 710106; 2.西安通信学院,西安 710106)

0 概述

车载自组网(Vehicle Ad Hoc Network,VANET)是移动自组网在交通领域中的应用,是专为车辆间通信而设计的自组织网络。VANET包括2种节点:路边基础设施单元(Road Side Unit,RSU)和车辆单元(On Board Unit,OBU)[1]。由于VANET节点众多且高速移动,其网络拓扑结构变化快、无线信道质量不稳定,相比传统网络面临更多的安全威胁[2],因此需要采取必要的安全策略保障VANET的安全运行。

认证是实现VANET安全通信的基础,对构建安全的VANET具有重要意义。由于VANET涉及到车辆人员和位置等敏感信息,因此在认证的过程中还需要保护用户隐私[3]。匿名认证能够实现在安全认证的同时保护用户身份信息不被泄露,以及用户会话不被追踪。目前VANET中的匿名认证方案包括基于公钥证书的方案、基于笔名的方案和基于身份的方案[4-5]。其中,基于公钥证书的认证需要复杂的证书管理过程[6],基于笔名的认证涉及到大量笔名的生产、存储过程[7],这两种方式都会带来较大的计算和存储开销。因此,基于身份的密码体制被引入到VANET认证方案的设计中[8]。

文献[9]提出一种基于身份的VANET匿名认证方案,该方案能够实现OBU与RSU之间以及OBU之间的匿名认证,同时具有较高的效率。本文对该方案进行分析,发现其无法抵抗伪造攻击,攻击者可以利用截获的信息伪造出认证信息,从而假冒合法节点[10-11]。针对该问题,本文提出一种改进的VANET匿名认证方案,以期实现OBU与RSU之间以及OBU之间的匿名认证,同时有效抵抗伪造攻击。

1 车载自组网匿名认证方案与安全性分析

本节首先对文献[9]方案进行简要描述,然后分析该方案容易遭受伪造攻击的原因。

1.1 协议模型

文献[9]方案包含3类实体:可信机构(Trusted Authority,TA),OBU和RSU。其中:TA在系统中是完全可信的;RSU通过安全信道与TA进行连接;OBU是车载自组网中的移动节点,通过无线信道同RSU节点及其他OBU节点连接。

1.2 方案描述

1.2.1 参数设置

文献[9]方案的参数设置如下:

1)选择循环加法群G1和乘法群G2,G1和G2的阶为大素数q,G1的生成元是P,e:G1×G1→G2为双线性映射。

1.2.2 系统初始化

系统初始化过程如下:

1.2.3 OBU节点与RSU节点的身份认证

当OBU节点与RSU节点通信时,通过以下过程进行认证[8]:

2)当车辆节点进入RSU节点区域内时,在收到RSU节点广播的消息后,重新计算H2(fx(V)‖fx(T)‖t1)并判断与W是否相等,若相等,则证明收到的消息是完整的,否则丢弃该消息。

3)车辆节点在完成消息的完整性检测后,计算并判断e(V,Qx)与e(T,P)是否相等,若相等,则表明RSU节点是合法的,否则对RSU节点认证失败。

5)RSU节点在收到车辆节点发来的消息后,重新计算H2(fx(M)‖fx(N)‖t1‖t2),并判断与C是否相等,若相等,则证明收到的消息是完整的,否则丢弃消息。

6)RSU节点在完成消息的完整性检测后,计算并判断e(N,Q0)与e(M,P)是否相等,若相等,则对车辆节点认证通过,否则认证失败。

通过以上过程,OBU与RSU确认对方是合法的,同时双方未泄露真实身份,实现了匿名性。OBU之间的认证同上述过程类似,在此不再赘述。

1.3 安全性分析

文献[9]指出,其匿名认证方案能够实现双向认证并具备匿名性,可以抗重放攻击。笔者通过分析发现,该方案无法抵抗伪造攻击,攻击者可以利用截获的消息来伪造认证信息,进而通过认证。攻击者可以伪装成为一个RSU节点,欺骗车辆节点。具体攻击过程如下:

上述匿名认证过程是基于身份对公钥和私钥利用随机数进行盲化处理,从而实现了认证信息的匿名性和不相关性,这本质上同一次性公钥的思想和方法是相同的[12]。该方案无法抵抗伪造攻击是由于其在认证过程中将盲化处理后的公钥和私钥同时在信道上发送,这样攻击者能够同时获取私钥和公钥,就可以伪造认证信息。

2 改进的车载自组网匿名认证方案

2.1 方案描述

针对文献[9]方案存在的问题,本文利用文献[11]中基于身份的一次性公钥及签名算法,提出一种改进的车载自组网匿名认证方案。改进后的方案改变了原方案直接将盲化处理的公钥和私钥在信道上发送的做法,将对时间戳的签名作为认证信息发送,从而使攻击者无法获得用户私钥这一关键信息。方案同样包括参数设置、系统初始化、车辆与RSU节点身份认证、车辆节点间的身份认证4个部分。

2.1.1 参数设置

本文方案的参数设置如下:

1)TA选择椭圆曲线上满足双线性对要求的e、G1、G2、q,G1的生成元为P。

2.1.2 系统初始化

系统初始化过程如下:

2.1.3 车辆与RSU节点的身份认证

车辆与RSU节点的身份认证过程如下:

2)当车辆节点进入RSU节点区域内时,在收到RSU节点广播的消息后,重新计算H2(fx(Px)‖fx(Ux)‖fx(Vx)‖fx(Yx)‖t1),并判断与hx是否相等,若相等,则证明收到的消息是完整的,否则丢弃该消息。

5)RSU节点在收到车辆节点消息后,重新计算H2(fx(Pi)‖fx(Ui)‖fx(Vi)‖fx(Yi)‖t1‖t2),并判断与hi是否相等,若相等,则证明收到的消息是完整的,否则丢弃该消息。

6)RSU节点在完成消息的完整性检测后,计算并验证e(Pi,P)=e(Ui,P)e(Vi,P0)是否成立,若成立,接着验证ziP=Yi+hiPi是否成立,若成立,则证明车辆节点是合法的,否则认证失败。

通过以上过程,OBU与RSU确认对方是合法的。车辆节点间的认证同上述过程类似,在此不再赘述。

2.2 安全性分析

改进后的方案满足以下安全要求:

1)双向认证性。方案可以实现RSU与OBU之间的双向认证。OBU与RSU之间的认证都是通过验证一次性公钥以及对时间戳的签名验证完成的。由文献[13]可知,所使用的一次性公钥及签名算法是安全的,同时可通过对时间戳签名保证签名的新鲜性,因此,RSU与OBU之间的认证是安全的。利用同样的方法,OBU节点之间也可以实现安全的双向认证。

2)完全匿名性。在车辆节点与RSU节点之间的认证过程中,通过一次性公钥和对时间戳的签名进行认证,没有包含任何身份信息,并且一次性公钥经过了随机数的处理,每次认证信息之间没有关联性。因此,通信对方和恶意攻击者都无法确定当前通信方的身份,并且无法将不同的会话联系起来。利用同样的方法,车辆节点之间的认证也具有完全匿名性。

3)抗重放攻击性。在认证过程中,通信双方的认证信息中包括了时间戳,通过验证时间戳的新鲜性,可以防止重放攻击。

4)消息完整性与正确性。与原方案相同,改进方案通过计算并验证H2(fx(Px)‖fx(Ux)‖fx(Vx)‖fx(Yx)‖t1)与hx是否相同,保证了接收到消息的完整性和正确性。

由上述分析看出,本文改进方案在满足双向认证、完全匿名性、抗重放攻击性、消息完整性与正确性的同时,还能够抵抗伪造攻击,与原方案相比具有更强的安全性。

2.3 性能分析

本文对改进方案的计算开销进行分析,并与原方案比较。用Tpair表示一次双线性对运算的时间,Tmul表示一次点乘运算的时间,Tmtp表示一次映射到点的哈希运算的时间。相对于这些运算,其他运算可以忽略不计[15-16]。由文献[9]可知,在相同的计算条件下,Tpair≈9Tmul,Tmtp≈Tmul。比较结果如表1所示,可以看出,改进方案相比原方案增加的计算开销较少。

表1 计算开销对比

3 结束语

针对文献[9]中基于身份的车载自组网匿名认证方案容易遭受伪造攻击的问题,本文将一次性公钥用于匿名认证方案的设计,提出一种改进方案。由于该方案采用的一次性公钥及签名算法需要3次双线性对运算,而双线性对是一种计算开销较大的密码运算,因此下一步计划通过减少双线性对运算的次数对其进行优化,以提高执行效率。

[1] 杨 涛,胡建斌,陈 钟.一种可追溯的车载自组网隐私保护认证协议[J].计算机工程,2013,39(8):161-165.

[2] RAYA M,HUBAUX J P.Securing vehicular ad hoc networks[J].Journal of Computer Security,2007,15(1):39-68.

[3] 高天寒,李艳强.车载自组织网匿名接入认证机制研究综述[J].网络与信息安全学报,2016,2(8):10-16.

[4] 张 刚,石润华,仲 红,等.车载自组织网络中新颖的无加密匿名认证方案[J].计算机应用,2015,35(3):741-745.

[5] 张 刚.VANET中保护用户身份隐私的认证协议研究[D].合肥:安徽大学,2015.

[6] XIONG H,QIN Z,LI F.Secure vehicle-to-roadside communication protocol using certificate-based cypto-system[J].IETE Techenical Review,2010,27(3):214-219.

[7] HUANG D,MISRA S,VERMA M.PACP:an efficient pseudonymous authentication-based conditional privacy protocol for VANETs[J].IEEE Transactions on Intelligent Transportation Systems,2011,12(3):736-746.

[8] HE D,ZEADALLY S,XU B.An efficient identity-based conditional privacy-preserving authentication scheme for vehicular ad hoc networks[J].IEEE Transactions on Information Forensics and Security,2015,10(12):2681-2691.

[9] 张 刚,石润华,仲 红.车载自组织网络中基于身份的匿名认证方案[J].计算机工程与应用,2016,52(17):101-106.

[10] 于宝证.基于群盲签名的多银行电子现金系统研究[D].合肥:合肥工业大学,2009.

[11] 汪 定,王 平,李增鹏,等.可证明安全的基于RSA的远程用户口令认证协议[J].系统工程理论与实践,2015,35(1):191-204.

[12] 霍士伟.普适环境中的认证与密钥协商研究[D].郑州:解放军信息工程大学,2011.

[13] 罗长远,霍士伟,邢洪智.普适环境中基于一次性公钥的匿名认证方案[J].通信学报,2012,33(2):93-98.

[14] 罗长远,霍士伟,邢洪智.普适环境中基于身份的跨域认证方案[J].通信学报,2011,32(9):111-115.

[15] 彭延国,彭长根,冯 蕾,等.一个基于证书的聚集签名方案[J].计算机科学,2011,38(12):57-60.

[16] 徐明明,尹毅峰,张 晴,等.无证书聚合签名方案的分析与改进[J].湖北民族学院学报(自然科学版),2017,35(2):190-194.