侯琬鈺 孫鈺 李大偉 崔 劍 關(guān)振宇 劉建偉

(北京航空航天大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 100191) (空天網(wǎng)絡(luò)安全工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室(北京航空航天大學(xué)) 北京 100191)

近年來，全球移動通信數(shù)量成爆發(fā)性增長，越來越多的用戶對通信服務(wù)質(zhì)量提出更高的要求，而物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等領(lǐng)域的不斷創(chuàng)新也對通信技術(shù)的帶寬、速率、延遲等方面提出了新的目標(biāo).因此第5代移動通信技術(shù)(5th generation mobile communication technology, 5G)應(yīng)運(yùn)而生.2016年第3代合作伙伴計(jì)劃(3rd Generation Partnership Project, 3GPP)在R15(release-15)[1]中正式啟動了5G標(biāo)準(zhǔn)化研究工作.R15作為5G第1階段的標(biāo)準(zhǔn)在2019年3月凍結(jié)，主要聚焦于增強(qiáng)移動寬帶(enhanced mobile boardband, eMBB)場景，并對5G的全新網(wǎng)絡(luò)架構(gòu)進(jìn)行定義，初步滿足了高可靠低時延通信(ultra reliable low latency communication, uRLLC)場景的基本需求[2].2018年6月，3GPP開啟第2階段5G標(biāo)準(zhǔn)R16(release-16)[3]的研究工作，并于2020年7月凍結(jié)了5G第一個演進(jìn)版標(biāo)準(zhǔn)R16. R16側(cè)重于超級上行、車用無線通信、uRLLC增強(qiáng)、移動性增強(qiáng)等方面，對海量機(jī)器通信(massive machine type of communication, mMTC)場景能力進(jìn)行了補(bǔ)充[4].為了進(jìn)一步提升5G網(wǎng)絡(luò)能力，3GPP于2019年12月啟動5G第3階段標(biāo)準(zhǔn)R17(release-17)[5]的制定工作，對已有的R16進(jìn)行全方位優(yōu)化，并提出了覆蓋增強(qiáng)、多SIM終端優(yōu)化等新的業(yè)務(wù)和能力需求[4].

5G網(wǎng)絡(luò)高速率、大容量、低延遲的特性提升了車輛對環(huán)境的感知、決策和執(zhí)行能力，為車聯(lián)網(wǎng)應(yīng)用和自動駕駛應(yīng)用，尤其是涉及車輛安全控制類的應(yīng)用奠定了基礎(chǔ).R16標(biāo)準(zhǔn)中指出，5G車聯(lián)網(wǎng)支持車輛之間(vehicle-to-vehicle, V2V)和車輛與基礎(chǔ)設(shè)施之間的(vehicle-to-infrastructure, V2I)的直連通信，引入組播和廣播等多種通信方式，實(shí)現(xiàn)了車輛編隊(duì)行駛、高級駕駛、傳感器擴(kuò)展、遠(yuǎn)程駕駛等更豐富的車聯(lián)網(wǎng)應(yīng)用場景[4].但是車聯(lián)網(wǎng)的安全建設(shè)沒有跟上通信技術(shù)的進(jìn)步，5G安全標(biāo)準(zhǔn)[6]對V2V通信中裸露的PC5接口沒有設(shè)置任何安全機(jī)制，越來越多的安全問題不斷涌現(xiàn)，例如無線入侵、隱私泄露、遠(yuǎn)程控制等，嚴(yán)重威脅車聯(lián)網(wǎng)的安全.以往提出的解決方案[7-9]中多數(shù)使用高強(qiáng)度的加密算法和密鑰，造成大量的計(jì)算開銷和存儲開銷，而車輛有限的計(jì)算能力和存儲能力難以滿足方案的需求.另外，由于車輛的SIM卡可以隨意拆卸，一旦攻擊者竊取到了車輛的專屬SIM卡，就可以假冒原車輛身份，對V2V通信進(jìn)行身份假冒攻擊.

為了解決車聯(lián)網(wǎng)中存在的身份假冒、隱私泄露等安全問題，本文提出了一個基于物理不可克隆函數(shù)(physical unclonable function, PUF)的5G車聯(lián)網(wǎng)V2V匿名認(rèn)證與密鑰協(xié)商協(xié)議.該協(xié)議通過PUF實(shí)現(xiàn)了輕量級的偽身份生成更新、身份認(rèn)證和密鑰協(xié)商等功能，為車聯(lián)網(wǎng)的V2V通信提供有效保障.本文的主要貢獻(xiàn)有3個方面：

1) 使用輕量級的PUF加固5G V2V通信并滿足條件匿名性.本協(xié)議利用PUF的不可克隆性實(shí)現(xiàn)了車載單元(on board unit, OBU)和5G SIM卡的綁定，成功解決了因車輛5G SIM卡拆卸導(dǎo)致的身份假冒問題，并通過在5G服務(wù)網(wǎng)(serving network, SN)中構(gòu)建身份索引表實(shí)現(xiàn)對可疑車輛的追查，滿足條件匿名性.

2) 大幅減少了車輛的計(jì)算開銷和存儲開銷.本協(xié)議通過PUF實(shí)現(xiàn)了車輛間(vehicle-to-vehicle, V2V)通信的雙向認(rèn)證，避免了密鑰存儲、證書托管、數(shù)字簽名等操作，在提升安全性的同時減輕了車輛的計(jì)算和存儲開銷.

3) 精簡了V2V通信中的認(rèn)證與密鑰協(xié)商過程，通信開銷小、時延低.本協(xié)議只需兩車與SN之間的1次單向通信和1次兩車之間的握手通信即可完成車輛間認(rèn)證與密鑰協(xié)商，通信開銷大幅減少，時延降低明顯，成功適應(yīng)了車輛在高速行駛中頻繁地SN切換.

1 相關(guān)工作

1.1 PUF技術(shù)

隨著人們對安全服務(wù)需求的不斷增加，重量級密碼對嵌入式設(shè)備和移動設(shè)備的計(jì)算能力和存儲能力帶來巨大的考驗(yàn).為了減輕嵌入式設(shè)備負(fù)擔(dān)，越來越多的研究者嘗試將PUF融入設(shè)備并設(shè)計(jì)基于PUF的認(rèn)證協(xié)議.2015年美國弗吉尼亞理工大學(xué)的Aysu等人將隱私保護(hù)認(rèn)證技術(shù)與反向模糊提取技術(shù)相結(jié)合，提出了一種端到端基于PUF的隱私雙向認(rèn)證協(xié)議和一種基于BCH碼的交叉糾錯技術(shù)，充分滿足了隱私保護(hù)的需求[10].2017年印度理工學(xué)院的Chatterjee等人對基于身份的加密(identity-based encryption, IBE)[11]方案進(jìn)行優(yōu)化，使用PUF的響應(yīng)替代用于消息加密的公開身份字符串，并撤銷了方案中的公鑰生成器，讓接收數(shù)據(jù)的節(jié)點(diǎn)自己生成公私鑰，服務(wù)器驗(yàn)證公鑰，成功抵抗否認(rèn)攻擊和偽裝攻擊[12].2018年比利時布魯塞爾自由大學(xué)的Braeken等人對Chatterjee等人提出的協(xié)議進(jìn)行分析，認(rèn)為其在Dolve-Yao安全模型下存在中間人攻擊，重放攻擊和拒絕服務(wù)攻擊等安全問題[13].為了解決這些問題，他們使用橢圓曲線加法和乘法替代了雙線性對運(yùn)算，并實(shí)現(xiàn)了基于身份的認(rèn)證和否認(rèn)等功能.印度理工學(xué)院的Chatterjee等人將IBE,PUF和消息認(rèn)證碼相結(jié)合，提出了一種低功耗、低延遲的認(rèn)證與密鑰協(xié)商協(xié)議，解決了挑戰(zhàn)響應(yīng)對(challenge response pair, CRP)數(shù)據(jù)庫存儲開銷問題，成功抵抗了中間人攻擊[14].2019年南京郵電大學(xué)Zhu等人提出了一種依靠PUF的輕量級射頻識別(radio frequency identification, RFID)認(rèn)證協(xié)議，滿足了可溯源、相互認(rèn)證、前向安全和不可克隆等安全需求，大幅減少了RFID標(biāo)志的存儲開銷，成功抵抗窮舉攻擊[15].2021年江蘇師范大學(xué)李濤等人對已有的基于雙PUF的RFID認(rèn)證協(xié)議進(jìn)行優(yōu)化，提出了改進(jìn)的NDAP協(xié)議[16]，滿足不可追蹤性，成功抵抗去同步攻擊、標(biāo)簽假冒攻擊，有更好安全性和隱私性.

1.2 車聯(lián)網(wǎng)安全協(xié)議

隨著用戶對于隱私保護(hù)的需求逐漸提高，匿名通信成為車聯(lián)網(wǎng)安全領(lǐng)域的重要研究內(nèi)容.2017年重慶郵電大學(xué)Liu等人針對車聯(lián)網(wǎng)安全性和保密性的需求，提出了面向智能交通系統(tǒng)的V2V雙向認(rèn)證方案——PPDAS，利用車輛獨(dú)立生成的偽身份實(shí)現(xiàn)匿名通信，并通過雙線性對運(yùn)算建立臨時加密密鑰[17].同時，該方案通過車輛身份驗(yàn)證和信譽(yù)評估雙重認(rèn)證來增強(qiáng)特定V2V場景下的安全性.2019年武漢大學(xué)Ma等人面向基于霧計(jì)算的車聯(lián)網(wǎng)場景，提出了一種無雙線性對運(yùn)算的認(rèn)證與密鑰協(xié)商協(xié)議[18].該方案借助可信第三方為車輛分配偽身份，實(shí)現(xiàn)了通信過程中的隱私保護(hù)，并通過了隨機(jī)Oracle模型下的安全性證明.

偽身份生成和溯源作為匿名通信的關(guān)鍵技術(shù)也在不斷發(fā)展.目前，偽身份生成和溯源方法基本可以分為4個類型：可信第三方單獨(dú)生成、車輛和第三方聯(lián)合生成、車輛單獨(dú)生成以及PUF生成.可信第三方單獨(dú)生成方法[8-9,19-21]主要指偽身份的生成完全由第三方負(fù)責(zé)，車輛只需將真實(shí)身份發(fā)送給第三方等待分配即可.其偽身份溯源多數(shù)通過第三方存表查表實(shí)現(xiàn).車輛和第三方聯(lián)合生成方法[7,22-24]指的是基于車輛和第三方分別提出的隨機(jī)參數(shù)生成偽身份.車輛除了發(fā)送真實(shí)身份給第三方外，還需要將生成偽身份的參數(shù)發(fā)送給第三方.其偽身份溯源多數(shù)通過異或等計(jì)算直接推導(dǎo)真實(shí)身份.車輛單獨(dú)生成方法[25-29]主要指車輛基于第三方的公開參數(shù)和自己生成的參數(shù)獨(dú)立推出偽身份，省略了車輛將真實(shí)身份發(fā)送給第三方的過程.其偽身份溯源與上面類似，都是第三方通過計(jì)算推導(dǎo)出真實(shí)身份，但是會利用第三方公開參數(shù)和秘密參數(shù)的推導(dǎo)關(guān)系.PUF生成方法[30]主要流程為第三方發(fā)送隨機(jī)挑戰(zhàn)給車輛，車輛將PUF輸出的響應(yīng)返回給第三方，第三方根據(jù)響應(yīng)生成偽身份存儲后分配給車輛.其偽身份溯源過程通過第三方查表實(shí)現(xiàn).

本文提出的協(xié)議為了實(shí)現(xiàn)輕量高效的雙向認(rèn)證與密鑰協(xié)商，將PUF與身份認(rèn)證和偽身份生成溯源技術(shù)相結(jié)合，在保證安全的同時最小化計(jì)算開銷和存儲開銷，適用于車輛計(jì)算能力和存儲能力有限的場景.

2 系統(tǒng)模型

本文設(shè)計(jì)的協(xié)議主要依托于圖1中的5G V2X架構(gòu)[2]，分為OBU、接入網(wǎng)(radio access network, RAN)、SN、歸屬網(wǎng)絡(luò)(home network, HN)4部分.OBU是車輛上負(fù)責(zé)計(jì)算和通信的單元，可以調(diào)用PUF對接收的挑戰(zhàn)進(jìn)行處理并輸出響應(yīng).RAN主要由基站(generation NodeB, gNB)組成，在本協(xié)議中基站gNB主要負(fù)責(zé)車輛和SN之間的消息轉(zhuǎn)發(fā)，幫助SN完成偽身份分配和身份認(rèn)證等操作.SN通過安全錨函數(shù)(security anchor function, SEAF)和接入和移動管理功能(access and mobility management function, AMF)完成注冊管理、連接管理、流動授權(quán)等基本功能以及基于CRP數(shù)據(jù)對的身份認(rèn)證與密鑰協(xié)商.而HN主要通過認(rèn)證服務(wù)功能(auth-entication server function, AUSF)和統(tǒng)一數(shù)據(jù)管理(unified data management, UDM)完成5G認(rèn)證與密鑰協(xié)商(authentication and key agreement, AKA)過程中的認(rèn)證矢量生成和響應(yīng)驗(yàn)證，并在統(tǒng)一數(shù)據(jù)存儲(unified data repository, UDR)中保存用戶的注冊數(shù)據(jù).在5G架構(gòu)中，車聯(lián)網(wǎng)的V2V通信主要使用PC5接口，而5G的車聯(lián)網(wǎng)標(biāo)準(zhǔn)[6]中沒有對PC5接口提出具體的安全機(jī)制，攻擊者可以通過PC5接口實(shí)現(xiàn)竊聽、篡改等攻擊，嚴(yán)重侵犯車輛的隱私安全和數(shù)據(jù)安全.所以車聯(lián)網(wǎng)領(lǐng)域急需一種輕量高效的通信機(jī)制來解決V2V通信中因PC5接口公開而存在的安全問題.

Fig. 1 5GV2X architecture圖1 5G V2X架構(gòu)

為了恢復(fù)因噪聲、溫度等環(huán)境因素產(chǎn)生微小誤差的PUF響應(yīng)，本文引入Chatterjee等人[31]設(shè)計(jì)的BCH編碼器電路(BCHDecoder/BCHEncoder)，從PUF的響應(yīng)中生成輔助數(shù)據(jù).本文提出的協(xié)議主要分為5個部分：初始階段、注冊階段、偽身份更新、車輛間認(rèn)證與密鑰協(xié)商和偽身份溯源.為了實(shí)現(xiàn)車輛之間的密鑰協(xié)商，SN定義一個大素?cái)?shù)q，以q為階定義了一個循環(huán)群G，P為G的一個生成元，還定義了抗碰撞的安全哈希函數(shù)H，HK：{0,1}*→{0,1}*，其中K為哈希函數(shù)使用的密鑰，最后將〈q,P,G,H,HK〉公開.協(xié)議中具體的參數(shù)定義如表1所示:

Table 1 Parameters Definition表1 參數(shù)定義

3 安全模型

本文在擴(kuò)展的Dolev-Yao模型下開展安全分析.在Dolev-Yao模型[32]中，認(rèn)為攻擊者可以控制整個通信網(wǎng)絡(luò)，攻擊者的具體能力為：1)攻擊者可以竊聽和攔截所有經(jīng)過網(wǎng)絡(luò)的消息；2)攻擊者可以存儲攔截到的或自己構(gòu)造的消息；3)攻擊者可以發(fā)送攔截到的或自己構(gòu)造的消息；4)攻擊者可以作為合法主體參與協(xié)議運(yùn)行.在Dolev-Yao模型的基礎(chǔ)上，本文使用的安全模型還對攻擊者能力進(jìn)行了擴(kuò)充，認(rèn)為攻擊者可以獲取上一輪協(xié)商的會話密鑰，從而驗(yàn)證協(xié)議的前向后向安全性.本文支持Dolev-Yao模型的形式化分析工具AVISPA(Automated Validation of Internet Security Protocols and Applications)對設(shè)計(jì)的協(xié)議進(jìn)行驗(yàn)證.通過在AVISPA中改變攻擊者已知信息(intruder_knowledge)實(shí)現(xiàn)攻擊者能力的擴(kuò)充.針對協(xié)議中涉及的實(shí)體，包括車輛OBU、SN、HN、攻擊者，對他們的角色能力進(jìn)行進(jìn)一步的安全假設(shè)：

1) 車輛OBU是誠實(shí)但好奇的.在協(xié)議執(zhí)行過程中，車輛OBU完全遵守協(xié)議執(zhí)行過程，中途不退出協(xié)議執(zhí)行，也不篡改協(xié)議運(yùn)行結(jié)果，同時可以保留協(xié)議執(zhí)行過程中的中間結(jié)果，但是車輛OBU會試圖從中間結(jié)果中分析推導(dǎo)其他成員的真實(shí)身份.

2) SN是誠實(shí)的.負(fù)責(zé)對車輛OBU進(jìn)行偽身份分配、偽身份溯源和身份認(rèn)證，還會秘密保存車輛的CRP數(shù)據(jù)對.

3) HN是誠實(shí)的.HN負(fù)責(zé)CRP數(shù)據(jù)庫的建立和存儲，建立過程使用的是安全通道.HN同時負(fù)責(zé)在SN的協(xié)助下完成車輛的5G AKA過程，實(shí)現(xiàn)車輛注冊.

4) 攻擊者是惡意的.攻擊者可以竊聽、攔截、篡改、偽造協(xié)議傳輸?shù)南?，還可以通過公開的和竊聽的信息冒充不同的實(shí)體，例如車輛OBU，SN等，進(jìn)而竊取到會話密鑰等關(guān)鍵信息.

4 協(xié)議設(shè)計(jì)

4.1 初始階段

初始階段完成了HN上的PUF數(shù)據(jù)庫建立.在生產(chǎn)過程中，汽車廠商將PUF嵌入到車輛OBU內(nèi).HN通過車輛OBU中的PUF為車輛發(fā)布專屬的5G SIM卡，同時完成CRP數(shù)據(jù)庫的建立.建立過程為車輛OBU將注冊請求和自己的真實(shí)身份SUPI發(fā)送給HN，HN記錄后將隨機(jī)挑戰(zhàn)C發(fā)送給車輛OBU，車輛OBU將經(jīng)PUF計(jì)算后的響應(yīng)R返回給HN，隨后HN根據(jù)響應(yīng)計(jì)算輔助數(shù)據(jù)HLP，并以〈SUPI,C,R,HLP〉格式存儲.重復(fù)該過程多次直至滿足需求.注意，車輛OBU與HN之間的通信在安全通道中進(jìn)行，沒有泄露風(fēng)險.最終的數(shù)據(jù)庫會存儲到HN的UDR中，用于后序的身份認(rèn)證.協(xié)議設(shè)計(jì)初始階段過程如圖2所示：

Fig. 2 Initial identity store process圖2 初始身份存儲過程

4.2 注冊階段

注冊階段主要在車輛OBU，SN和HN之間的5G AKA過程基礎(chǔ)上實(shí)現(xiàn)了車輛OBU的初始偽身份分配.該部分為了增強(qiáng)協(xié)議的兼容性將偽身份分配過程融合進(jìn)5G AKA，加固車聯(lián)網(wǎng)的匿名通信.該階段的前7步與5G AKA基本一致，只是在HN發(fā)送給SN的認(rèn)證響應(yīng)中額外加入了n個〈Ci,Ri,HLPi〉組，以幫助SN實(shí)現(xiàn)車輛偽身份更新中的身份認(rèn)證.后序車輛OBU的初始偽身份分配過程如圖3所示.

1) SN隨機(jī)生成挑戰(zhàn)，并將挑戰(zhàn)和認(rèn)證成功標(biāo)識Success發(fā)送給車輛OBU；

2) 車輛OBU接收到Success后，計(jì)算響應(yīng)R=PUF(C)以及MAC2=H(C‖R).車輛使用5G AKA過程協(xié)商的密鑰KSEAF加密R，連同MAC2一起返回給SN；

3) SN使用KSEAF解出R驗(yàn)證MAC2，確定接收的信息沒有被篡改.接著計(jì)算初始偽身份PID={HKSEAF(SUPI‖R‖T),T}，T為隨機(jī)生成的PID的有效期，并將PID和真實(shí)身份SUPI一起存入身份索引表.隨后計(jì)算MAC3=H(PID‖R)，并將PID和MAC3返回給車輛；

4) 車輛OBU驗(yàn)證MAC3，確定接收的信息沒有被篡改，保存PID作為后序通信的初始偽身份.

Fig. 3 Vehicle registration process圖3 車輛注冊過程

4.3 偽身份更新

Fig. 4 Pseudo identity update圖4 偽身份更新

當(dāng)車輛的PID超出有效期、車輛跨SN漫游或者車輛因故障進(jìn)行修理后需要更新PID時，應(yīng)當(dāng)向SN申請重新分配偽身份.為了防止基站假冒和車輛假冒問題，偽身份更新過程需要車輛OBU和SN之間進(jìn)行雙向認(rèn)證，以保證通信雙方的可信度.本階段的具體實(shí)現(xiàn)過程如圖4所示:

1) 車輛OBU將更新請求以及當(dāng)前PID發(fā)送給SN；

5) 車輛OBU驗(yàn)證H21，確定信息是否被篡改.若驗(yàn)證成功，則保存新的偽身份PID2用于后序的V2V通信.

4.4 車輛間認(rèn)證和密鑰協(xié)商

5G車聯(lián)網(wǎng)中V2V通信主要通過PC5接口實(shí)現(xiàn)，標(biāo)準(zhǔn)中沒有提供有效的安全機(jī)制[2].為了解決這個問題，本文提出了基于PUF的車輛間認(rèn)證與密鑰協(xié)商協(xié)議.協(xié)議中使用偽身份進(jìn)行廣播和通信以保護(hù)車輛的隱私.由于車輛與車輛之間沒有共同秘密，協(xié)議使用SN存儲的CRP數(shù)據(jù)對完成通信雙方的身份認(rèn)證，并通過橢圓曲線Diffie-Hellman密鑰交換(elliptic curve Diffie-Hellman key exchange, ECDH)算法完成車輛之間的密鑰協(xié)商，基本流程如圖5所示.為減少認(rèn)證與密鑰協(xié)商過程中的通信開銷，同時降低時延、提高效率，本協(xié)議只需要進(jìn)行4次通信：包括兩車與SN之間的1次單向通信和1次兩車間的握手通信，即可實(shí)現(xiàn)安全高效的認(rèn)證與密鑰協(xié)商過程.相比于傳統(tǒng)的認(rèn)證與密鑰協(xié)商協(xié)議，大幅降低了通信量，減少了通信所需時間，適應(yīng)了車輛行駛過程中速度快、通信時間短、切換快的特殊情況，為V2V通信提供了高效可靠的安全機(jī)制.

Fig. 5 V2V authentication process summary圖5 V2V認(rèn)證流程概要

Fig. 6 V2V authentication and key agreement process圖6 V2V認(rèn)證和密鑰協(xié)商流程

協(xié)議中車輛OBU1和車輛OBU2在SN的幫助下不僅完成了雙向認(rèn)證和密鑰協(xié)商，還同時實(shí)現(xiàn)了車輛OBU1和車輛OBU2對SN的認(rèn)證.協(xié)議的具體流程如圖6所示.

5) 車輛OBU2驗(yàn)證H12確認(rèn)車輛OBU1的身份(只有OBU1能夠成功生成R1)，計(jì)算會話密鑰Key=a2Q1.

4.5 偽身份溯源

如果車輛對于其他車輛的傳輸數(shù)據(jù)或者行為存在質(zhì)疑，可以向相關(guān)監(jiān)管部門提出身份溯源請求.監(jiān)管部門對該車輛的數(shù)據(jù)和行為進(jìn)行審核后，將偽身份傳輸給SN進(jìn)行溯源.SN根據(jù)嫌疑車輛的偽身份在身份索引表中進(jìn)行查詢，鎖定其真實(shí)身份.如果監(jiān)管部門和SN審核確認(rèn)該車輛的數(shù)據(jù)或行為非法，則撤銷該車輛的偽身份，同時廣播偽身份進(jìn)行預(yù)警，確保其他車輛能夠及時拒絕或者阻斷與該車輛的通信.由于車輛的偽身份是由SN進(jìn)行分配和存儲，所以只有SN能夠?qū)囕v的偽身份進(jìn)行溯源，滿足條件匿名性的要求.

5 安全性證明

5.1 形式化驗(yàn)證工具分析

為了模擬協(xié)議中的異或和橢圓曲線計(jì)算，本節(jié)使用形式化分析工具AVISPA對協(xié)議進(jìn)行安全性分析.因?yàn)閰f(xié)議的初始階段是在安全通道中完成，且注冊階段是在5G AKA框架的支持下實(shí)現(xiàn)，為這2部分的安全性提供了較強(qiáng)的保障.因此本節(jié)主要對協(xié)議的偽身份更新階段和車輛間認(rèn)證與密鑰協(xié)商階段進(jìn)行形式化分析.AVISPA實(shí)現(xiàn)了3種安全性質(zhì)的驗(yàn)證：保密性(secret)、強(qiáng)認(rèn)證性(witness/request)、弱認(rèn)證性(witness/wrequest).本次分析主要使用后臺工具OFMC[33]和CL-Atse[34]，對協(xié)議的隨機(jī)數(shù)、密鑰、響應(yīng)的保密性和車輛與SN之間的強(qiáng)認(rèn)證性進(jìn)行分析.而對于密鑰協(xié)商階段的前向、后向安全性，則通過在攻擊者已知信息中加入上一輪的會話密鑰來實(shí)現(xiàn).

在協(xié)議的分析過程中，需要先使用AVISPA自帶的HLPSL語言描述協(xié)議并保存成.hlpsl文件，描述內(nèi)容主要包括協(xié)議角色及其行為(role)、協(xié)議會話(session)、協(xié)議執(zhí)行環(huán)境(environment)和目標(biāo)安全性質(zhì)(goal).role主要描述協(xié)議中各參與者的已知信息、變量、狀態(tài)、和行為(發(fā)送消息、接收消息和各類計(jì)算)；session主要用于實(shí)例化前面描述的role，并定義了相應(yīng)的通道(channel)用于role發(fā)送和接收消息；environment主要用于實(shí)例化前面描述的session，并對已知常量進(jìn)行定義；goal主要用于分析在role中描述的安全性質(zhì).注意，為了分析消息傳輸?shù)陌踩?，需要在協(xié)議角色行為的后面對安全性質(zhì)進(jìn)行描述.例如，車輛間認(rèn)證與密鑰協(xié)商階段協(xié)議角色OBU1的部分描述：

State′Key′secret(A1,a1,{OBU1,OBU2,SN})∧

OBU1向OBU2發(fā)送H12后，通過witness,request和secret對H12的強(qiáng)認(rèn)證性以及隨機(jī)數(shù)a1,r1的保密性進(jìn)行驗(yàn)證.協(xié)議描述完成后，使用AVISPA的圖形化工具SPAN打開文件，編譯后傳遞給后臺工具OFMC和CL-Atse進(jìn)行分析.協(xié)議描述的詳細(xì)代碼已上傳至github(1)AVISPA形式化分析代碼地址：https://github.com/BUAA-CST/5G-V2V-AKA-Based-on-PUF.

AVISPA執(zhí)行結(jié)果如圖7所示，詳細(xì)的分析結(jié)果如表2所示.從分析結(jié)果來看，偽身份更新部分協(xié)議成功實(shí)現(xiàn)了響應(yīng)R1和R2的保密性，保證只有SN能夠?qū)囕v的真實(shí)身份進(jìn)行溯源，而車輛OBU、HN、攻擊者無法根據(jù)偽身份獲取真實(shí)身份，滿足條件匿名性要求.同時該部分協(xié)議還通過了根據(jù)H11，H12和H21這3個參數(shù)進(jìn)行的車輛和SN之間的強(qiáng)認(rèn)證性分析，有效保證了車輛與SN之間通信的可信度.車輛間認(rèn)證和密鑰協(xié)商部分協(xié)議成功實(shí)現(xiàn)了響應(yīng)R1和R2的保密性，保證在認(rèn)證與密鑰協(xié)商過程中只有車輛OBU1、車輛OBU2、SN能夠相互確認(rèn)身份，攻擊者不能進(jìn)行重放和身份假冒攻擊.該部分還保證了隨機(jī)值a1和a2的保密性，保證攻擊者無法竊取隨機(jī)數(shù)，進(jìn)而無法推導(dǎo)出最后協(xié)商出的會話密鑰.該部分協(xié)議還通過了根據(jù)HS2和H12兩個參數(shù)進(jìn)行的車輛和SN之間的強(qiáng)認(rèn)證性分析，有效保證了車輛之間以及車輛與SN之間的可信度.綜上，偽身份更新協(xié)議和車輛間認(rèn)證與密鑰協(xié)商協(xié)議在保密性、完整性、強(qiáng)認(rèn)證性上表現(xiàn)優(yōu)秀.

Fig. 7 AVISPA analysis results圖7 AVISPA分析結(jié)果

Table 2 Formal Verification Tool Analysis Results表2 形式化驗(yàn)證工具分析結(jié)果

5.2 非形式化安全分析

本節(jié)對基于PUF的5G車聯(lián)網(wǎng)V2V匿名認(rèn)證與密鑰協(xié)商協(xié)議的安全性進(jìn)行非形式化分析：

1) 雙向認(rèn)證

協(xié)議注冊階段通過5G AKA過程，成功實(shí)現(xiàn)了車輛與SN和HN的雙向認(rèn)證，并通過5G AKA協(xié)商出的密鑰KSEAF來保證信息傳輸安全.協(xié)議偽身份更新階段，只有車輛和SN才能擁有正確的挑戰(zhàn)響應(yīng)對.車輛通過SN發(fā)來的挑戰(zhàn)C和輔助數(shù)據(jù)HLP推導(dǎo)出真正的響應(yīng)R，計(jì)算相應(yīng)的哈希值H并與SN發(fā)送過來的哈希值進(jìn)行對比，若一致則可證實(shí)SN的身份.SN通過檢驗(yàn)隨機(jī)數(shù)S即可驗(yàn)證車輛的身份，進(jìn)而完成雙向認(rèn)證.

協(xié)議的車輛間認(rèn)證與密鑰協(xié)商階段，借助SN完成車輛間的雙向認(rèn)證.車輛OBU2先通過SN發(fā)來的挑戰(zhàn)C2和響應(yīng)R2的哈希值HS2驗(yàn)證SN的身份，然后使用R2解出車輛OBU1的響應(yīng)R1.接著，車輛OBU1通過車輛OBU2發(fā)送的挑戰(zhàn)C1和響應(yīng)R1的哈希值H21驗(yàn)證車輛OBU2的身份.最后，車輛OBU2通過車輛OBU1返回的隨機(jī)數(shù)S的哈希值H12驗(yàn)證車輛OBU1的身份，完成車輛間的雙向認(rèn)證.

2) 密鑰協(xié)商

協(xié)議的密鑰協(xié)商部分主要通過在PUF雙向認(rèn)證過程ECDH算法來實(shí)現(xiàn)，可以成功抵抗中間人攻擊.通信雙方在雙向認(rèn)證的同時交換了Q1=a1P和Q2=a2P，可以成功推導(dǎo)出密鑰Key=a1Q2=a2Q1.而攻擊者通過Q1和Q2無法推導(dǎo)出Key.

3) 條件匿名性

協(xié)議中，車輛在5G AKA過程后完成了偽身份的初始分配，在有效期內(nèi)使用偽身份進(jìn)行密鑰協(xié)商和加密通信，并通過SN實(shí)現(xiàn)了車輛的偽身份溯源，滿足條件匿名性要求.在有效期結(jié)束后，可以執(zhí)行偽身份更新協(xié)議，以免攻擊者對偽身份進(jìn)行追蹤鏈接.

4) 偽身份溯源

在偽身份生成和更新過程中，SN會將車輛的真實(shí)身份和偽身份PID一起存入身份索引表.一旦車輛對于其他車輛的傳輸數(shù)據(jù)或行為存在質(zhì)疑，可以向相關(guān)監(jiān)管部門發(fā)送身份溯源請求.監(jiān)管部門通過SN查表溯源鎖定質(zhì)疑車輛的真實(shí)身份，對車輛的數(shù)據(jù)和行為進(jìn)行審核和處理.由于車輛的偽身份都是由SN進(jìn)行分配和記錄的，所以只有SN能夠?qū)囕v身份進(jìn)行溯源.

5) 前向后向安全

車輛之間的密鑰是通過Key=a1Q2=a2Q1導(dǎo)出的.由于每次密鑰都會通過新的隨機(jī)數(shù)重新生成，與車輛之間的私鑰以及其他會話密鑰沒有直接關(guān)系，無法進(jìn)行推導(dǎo)，所以可以實(shí)現(xiàn)前向后向安全.

6) 抵抗重放攻擊

協(xié)議的偽身份更新階段，車輛和SN分別生成隨機(jī)數(shù)S2和S1，完成當(dāng)前會話的雙向挑戰(zhàn)響應(yīng)，抵抗重放攻擊.協(xié)議的車輛間認(rèn)證與密鑰協(xié)商階段，車輛之間通過隨機(jī)生成的Q1和Q2，完成當(dāng)前會話的雙向挑戰(zhàn)響應(yīng)，抵抗重放攻擊.

7) 抵抗假冒攻擊

由于PUF的不可克隆性，攻擊者無法通過拆卸車輛OBU對PUF進(jìn)行復(fù)制.而PUF的挑戰(zhàn)響應(yīng)對只有SN和HN知道，所以攻擊者無法完成協(xié)議中的雙向認(rèn)證，進(jìn)而無法偽造合法的車輛.由于攻擊者無法獲取到車輛PUF的挑戰(zhàn)響應(yīng)對，所以也無法假冒合法基站.

8) 抵抗中間人攻擊

在密鑰協(xié)商的過程中，參數(shù)Q1和Q2只有在完成身份驗(yàn)證之后才會被接受并用于計(jì)算最后的會話密鑰.而攻擊者無法通過協(xié)議中傳輸?shù)膮?shù)推出身份驗(yàn)證所需的挑戰(zhàn)響應(yīng)對，且挑戰(zhàn)響應(yīng)對使用后就會在SN中刪除，所以攻擊者無法通過身份認(rèn)證，進(jìn)而無法進(jìn)行中間人攻擊.

9) 抵抗拒絕服務(wù)攻擊

在偽身份更新階段和認(rèn)證與密鑰協(xié)商階段，除了第一步發(fā)送的消息外，都需要接收方通過消息中的哈希值進(jìn)行完整性驗(yàn)證和身份驗(yàn)證，例如偽身份更新階段中車輛對H11的驗(yàn)證和認(rèn)證與密鑰協(xié)商階段中車輛對HS2的驗(yàn)證等，使得車輛與核心網(wǎng)在協(xié)議執(zhí)行初始就能發(fā)現(xiàn)錯誤[13]，成功避免拒絕服務(wù)攻擊.

6 性能分析

本節(jié)將協(xié)議中認(rèn)證與密鑰協(xié)商部分與已有的車聯(lián)網(wǎng)協(xié)議[17-18]和PUF認(rèn)證協(xié)議[13-14]的認(rèn)證與密鑰協(xié)商部分進(jìn)行對比，在安全性、計(jì)算開銷和通信開銷3個方面進(jìn)行詳細(xì)分析，結(jié)果如表3所示.其中為了評估計(jì)算開銷，我們定義TM是橢圓曲線上的倍點(diǎn)運(yùn)算時間，TP是雙線性對的運(yùn)算時間，TH為哈希的運(yùn)算時間，TE為加密的運(yùn)算時間，Tsp為字符串映射到點(diǎn)的運(yùn)算時間，TPUF為PUF的運(yùn)行時間.為了量化協(xié)議的計(jì)算開銷，本文參考Gope等人在MSP430微控制器上對仲裁器PUF的模擬結(jié)果以及在798 MHz主頻的CPU和256 MB的RAM上對其他運(yùn)算的模擬結(jié)果[35]，在表3中給出各個運(yùn)算的執(zhí)行時間.

Table 3 The Execution Time of the Typical Operation表3 典型運(yùn)算操作的執(zhí)行時間

為了評估通信開銷，我們定義哈希值(包括帶密鑰和不帶密鑰的哈希函數(shù)計(jì)算)和隨機(jī)數(shù)的長度均為160 b，PUF使用的挑戰(zhàn)的位數(shù)為64 b[31],響應(yīng)的位數(shù)為128 b[31]，輔助數(shù)據(jù)為8 b，時間戳的長度為32 b，參與者身份長度為128 b，偽身份的長度為160 b，橢圓曲線上點(diǎn)的長度為320 b.具體的比較結(jié)果如表4所示.

在通信開銷方面，由表4可以看出PUF認(rèn)證協(xié)議相比于傳統(tǒng)的車聯(lián)網(wǎng)協(xié)議要更占優(yōu)勢，而本文的方案通過將輕量級的PUF應(yīng)用到車聯(lián)網(wǎng)中，在保證安全的情況下將認(rèn)證與密鑰協(xié)商過程壓縮至4次消息傳輸，成功實(shí)現(xiàn)了通信過程的極簡化，使得本方案的通信開銷相比于文獻(xiàn)[13-14,17-18]分別節(jié)省了32%,50%,72%和47%，減少了車輛間認(rèn)證與密鑰協(xié)商的通信開銷，大大降低了時延.在計(jì)算開銷方面，文獻(xiàn)[14,17]相比于本方案需要執(zhí)行額外的雙線性對運(yùn)算和更多的倍點(diǎn)計(jì)算，增加了方案的計(jì)算量.而文獻(xiàn)[13,18]雖然成功地避免了復(fù)雜運(yùn)算所帶來的計(jì)算開銷，但是在Hash運(yùn)算和倍點(diǎn)運(yùn)算的使用次數(shù)上仍舊超過了本方案，且本方案的使用PUF計(jì)算的次數(shù)也小于文獻(xiàn)[13].本方案的計(jì)算開銷相比于文獻(xiàn)[13-14,17-18]分別減少了42%,83%,78%和60%，計(jì)算開銷減少明顯.

Table 4 Performance Comparison表4 性能比較

在安全性方面，文獻(xiàn)[13-14]沒有提供任何匿名性保護(hù)，在認(rèn)證過程中直接傳輸真實(shí)身份，而文獻(xiàn)[17-18]和本方案借助偽身份實(shí)現(xiàn)了車輛之間的匿名安全通信，并保證只有SN能對偽身份進(jìn)行溯源.另外，文獻(xiàn)[14,17-18]相比于文獻(xiàn)[13]和本方案，并沒有實(shí)現(xiàn)認(rèn)證與密鑰協(xié)商協(xié)議中每一步消息的完整性驗(yàn)證和身份驗(yàn)證，只是對時間戳進(jìn)行了簡單校驗(yàn)，無法抵抗拒絕服務(wù)攻擊[13].其次，文獻(xiàn)[17-18]由于沒有使用PUF進(jìn)行綁定，所以很容易被攻擊者竊取身份.而文獻(xiàn)[13-14]和本方案基于PUF的不可克隆性和唯一性，實(shí)現(xiàn)了車輛OBU與5G SIM卡的綁定，成功避免了身份假冒攻擊.最后，只有本方案能夠滿足5G-V2X對于V2V通信的隱私保護(hù)和安全傳輸?shù)男枨?從對比結(jié)果來看，本方案成功結(jié)合了表4中文獻(xiàn)的安全特性，在匿名性、抗拒絕服務(wù)攻擊、抗假冒攻擊等方面表現(xiàn)突出，在安全性方面的綜合屬性較強(qiáng)，優(yōu)于已有的協(xié)議.

7 總 結(jié)

5G車聯(lián)網(wǎng)已有的V2V匿名通信協(xié)議多數(shù)使用了較為復(fù)雜的運(yùn)算和加密方式，計(jì)算和通信開銷過大.為了解決這個問題，本文提出了一個基于PUF的5G車聯(lián)網(wǎng)V2V匿名認(rèn)證與密鑰協(xié)商協(xié)議，通過引入輕量級的PUF避免了V2V通信中的密鑰存儲、證書托管、數(shù)字簽名等操作，減少了至少42%的計(jì)算開銷.同時，將認(rèn)證與密鑰協(xié)商過程精簡為1次兩車與SN之間的單向通信和1次兩車間的握手通信，減少了至少22%的通信開銷，大大降低了時延，適用于當(dāng)前車輛高速行駛中頻繁切換SN的場景.另外，本協(xié)議通過PUF實(shí)現(xiàn)了車輛OBU與5G SIM卡的綁定，成功解決了因5G SIM卡拆卸導(dǎo)致的身份假冒問題，并通過在SN中構(gòu)建身份索引表實(shí)現(xiàn)對可疑車輛的追查，滿足條件匿名性.本協(xié)議通過了AVISPA的形式化分析，安全性可以滿足車聯(lián)網(wǎng)的認(rèn)證需求.下一步我們將改進(jìn)PUF偽身份分配和溯源過程，為更多的5G V2X高級應(yīng)用場景設(shè)計(jì)輕量級安全協(xié)議.