李晓伟，杨邓奇，曾 新，朱兴文，陈本辉，张玉清

(1.大理大学 数学与计算机学院，云南 大理 671003；2.中国科学院大学 国家计算机网络入侵防范中心，北京 100049)

物联网(Internet of Things，IoT)使万物通信成为可能，它在未来通信中将被广泛应用。车辆自组织网络(Vehicular Ad hoc NETworks，VANETs)简称车联网，是物联网中的重要领域[1]。车辆对车辆(Vehicle-to-Vehicle，V-2-V)通信是VANETs的基本通信类型。它可以使车辆之间共享多种信息，如交通信息、位置信息、路线信息等[2]。为了实现安全通信，身份认证和密钥协商是车联网中不可缺少的步骤[3]。身份认证使合法车辆可以访问网络并获得服务，而其他任何人都无法伪造。密钥协商使车辆之间共享密钥，建立安全信道。

V-2-V通信大都考虑所有车辆都在一个域中的情况，这意味着它们会在一个服务提供商或一台服务器上注册。在这种情况下，车辆之间的认证与密钥协商相对简单，因为车辆之间往往共享一些由服务提供商颁发的通用凭证[4-6]。而更为复杂的问题是如何实现跨车联网域的认证与密钥协商，因为来自不同域的车辆在不同的服务提供商处注册，也就意味着它们不共享一些秘密值。因此，跨域的身份认证和密钥协商与同一个域的身份认证和密钥协商有着本质的不同。高效安全的跨域间身份认证和密钥协商对需要快速切换的车联网来说至关重要。

1 相关工作

在跨域认证与密钥协商协议方面，文献[7]首先考虑跨域间车辆和路边单元(Road Side Unite，RSU)之间的认证及车辆对道路(Vehicle-to-Road，V-2-R)认证。通过RSU发送凭证完成下一个RSU的认证。使用同态加密，使得用户不用将全部秘密保存到路边单元即可完成认证。文献[8]提出了基于口令的跨域间认证。其方法是域中用户分别先跟本域中的服务器协商一个密钥，然后再由服务器分发一个具有认证功能的凭证，实现跨域认证。文献[9]和文献[10]提出了基于区块链技术的跨域认证，将每个域中的信息放到区块链上，由区块链协助完成认证。文献[11]提出基于生物特征和口令相结合的方式完成跨域认证，将生物特征放到区块链上实现认证。但上述跨域认证与密钥协商协议都需要服务器的参与，这样的方法虽然更为直接，但是也存在一定问题。当同时有大量车辆提出认证与密钥协商请求时，若服务器无法同时处理则会造成车辆通信延迟。而这不适用于高速切换的车联网环境。同时，服务器始终是半可信的，这意味着它可能获取或猜测车辆之间的秘密，如车辆的会话密钥。

在没有服务器参与的跨域间认证与密钥协商协议方面，文献[12]提出了基于身份的两方跨域认证协议，该跨域协议采用分发凭证的方式完成认证；此外，该协议还考虑了临时密钥泄露攻击。该协议效率较高，但是在临时密钥泄露的假设下，该协议可能遭受密钥泄露伪装攻击。文献[13]基于签密算法实现了物联网跨域认证；该方法实现了认证又实现了保密通信，但签密的使用使得方案计算量较高。文献[14]提出了基于身份的移动医疗网络中的跨域认证，同样使用分发认证凭证的方式完成认证，无论从效率还是安全性都较高。

笔者提出了一种新的基于口令的跨域V-2-V认证与密钥协商协议。该协议仅需要服务器在注册时参与，而无需参与认证与密钥协商过程，从而使得认证与密钥协商过程在设备端就可以完成。利用分发认证凭证机制，使得来自不同域的车辆可以完成身份认证和密钥协商。结合口令和防篡改智能卡，使得车辆在认证和密钥协商过程更加便捷。同时，该跨域V-2-V身份认证和密钥协商协议同样适用于其他同类跨域通信场景。

2 网络模型及安全模型

2.1 网络模型

该车辆网中存在3类通信实体：路边单元RSU、注册服务器和用户车辆。具体通信场景如图1所示。其中，涉及车辆和车辆之间(V-2-V)通信以及车辆与RSU之间(V-2-R)通信，在此，笔者仅讨论V-2-V的通信安全。

如图1所示，车联网中存在多个不同的车联网域。这里指的车联网域是指在相同认证服务器处注册的车辆所形成的域，每个域中的车辆需要在该域中注册后才能接入本域中的车联网。跨域间车辆通信则需要从各自域的服务器处领取认证凭证后才能与其他域中的车辆进行通信，即跨车联网域通信。

图1 车联网通信模型

2.2 安全模型

文中安全模型基于Bellare等人提出的BPR安全模型[15]。模型中有用户、服务器以及敌手C。用户拥有口令和防篡改智能卡。C的能力符合Dolev-Yao模型，即攻击者可以控制用户的通信过程，可以窃听、截取、阻止、伪造用户通信。将协议运行实例用一个预言机∏来表示。C的能力通过与一个协议模拟器运行的多个协议实例之间的询问体现。具体来讲，敌手的能力可以被模拟为如下对预言机的询问：

CORRUPT(A，PWA)：该询问模拟口令丢失攻击，当收到该询问后，A将返回自己的口令。

CORRUPT(A，smartcard)：该询问模拟智能卡丢失攻击，当收到该询问后，A将返回防篡改智能卡(注：不能获得卡内信息，仅模拟卡片丢失)。

其中，qsend为敌手进行SEND询问的次数，N为口令字典空间大小，neg(k)是一个可忽略的量。

3 车联网环境下基于口令的跨域间认证与密钥协商协议

协议分为两个部分，即车辆注册和车辆间认证与密钥协商。协议中两个来自不同域中的车辆首先在各自域中注册后得到认证凭证，然后通过认证凭证，结合口令和智能卡机制完成认证与密钥协商。认证与密钥协商过程无需服务器参与，避免了中心服务器处理大量认证与密钥协商请求时所带来的时延，使得跨域间安全通信可以快速实现。

3.1 系统建立及车辆注册

车辆注册：设网络中有某个车联网域Di，其对应的服务器的公私钥对为(pkDi=sDiP，skDi=sDi)。当有用户Ui需要向该域注册车辆时，Ui和Di执行如下步骤完成注册：

(3)在收到智能卡后，Ui验证sDi_UiP=RUi+H2(IDDi_Ui‖RUi)pkDi是否成立；若成立，则将ui加入到智能卡中；反之，则拒绝。最终用户智能卡中信息为{IDDi_Ui，RUi，Ci，ui}。

3.2 车辆间认证及密钥协商

假设用户Ui在车联网域D1(对应服务器公钥为pkD1=sD1P，私钥为skD1=sD1)处注册车辆，并获得智能卡{IDD1_Ui，RUi，Ci，ui}，用户Uj在车联网域D2(对应服务器公钥为pkD2=sD2P，私钥为skD2=sD2)处注册车辆，并获得智能卡{IDD2_Uj，RUj，Cj，uj}。当来自不同车联网域中的两个用户想要通信时，车辆无需通过各自的注册服务器，仅通过服务器颁发的认证凭证即可完成认证和密钥协商。具体步骤如图2所示。

图2 车联网跨域间认证与密钥协商协议

(3)收到{IDD2_Uj，RUj，Tb，D2，AuthIDD2_Uj}后，Ui计算K2=a·(RUj+H2(IDD2_Uj‖RUj)pkD2) 并验证AuthD2_Uj=H3(K2‖Tb‖IDD2_Uj)是否成立；若不成立，则拒绝该消息；否则，Ui计算K1=sD1_Ui·Tb以及K3=a·Tb。同时计算自己的密钥确认消息AuthD1_Ui=H3(K1‖Tb‖IDD1_Ui)以及会话密钥K=H4(Ta‖Tb‖IDD1_Ui‖IDD2_Uj‖K1‖K2‖K3)。将AuthD1_Ui发送给Uj的车辆。

(4)当收到AuthD1_Ui后，Uj验证AuthD1_Ui=H3(K1‖Ta‖IDD1_Ui)是否成立；若不成立，则拒绝该消息；否则，Uj计算出会话密钥sk=H4(Ta‖Tb‖IDD1_Ui‖IDD2_Uj‖K1‖K2‖K3)。

4 安全性及性能分析

4.1 安全性分析

首先给出协议证明所用到的困难问题，即ECCDH(Elliptic Curve Computational Diffie-Hellman) 困难问题。设椭圆曲线E/Fq，P是椭圆曲线上的点组成的加法群。给定椭圆曲线上的两个点aP，bP，在多项式时间内没有有效的算法可以计算出abP。

定理1假设ECCDH困难问题成立，在随机预言模型下，文中提出的协议是AKE安全的。

需要说明的是，这里仅讨论敌手C最有可能破解协议AKE安全的情况：①C获得口令没有获得智能卡；②C获得智能卡没有获得口令。

首先，说明在第一种情况下，C不能破解AKE安全。第一种情况中由于没有智能卡，即使拥有口令也不能恢复智能卡内的认证凭证sDi_Ui=Ci⊕H1(IDDi_Ui‖PWUi‖ui)。因此，获得了口令对于C破解协议安全性不能起到任何作用，也就意味着第一种情况实际等同于C没有获得任何用户信息的情况下进行协议攻击。以下为证明过程。

安全性证明是通过敌手C和协议模拟器之间的游戏完成的。即协议模拟器初始化所有用户信息，并运行多个协议实例，C通过安全模型中的询问来实现获取会话密钥的目的。协议的安全性在随机预言模型下进行证明，即协议中的H2、H3以及H4为随机预言机。证明过程为首先将一个ECCDH二元组(a0P，b0P)作为挑战给模拟器，模拟器将该二元组作为通信元素插入到某个具体协议实例中，然后模拟器利用与C的交互来完成是否可以破解ECCDH困难问题的挑战。具体来讲，首先确定Test会话，模拟器收到(a0P，b0P)后，令域D1中的某个身份为IDD1_Ui的用户在其域中注册后获得的认证凭证对应的点乘为a0P，IDD1_Ui与另外一个用户IDD2_Uj进行某个会话时，令IDD2_Uj发送的随机数Tb=b0P，则该配对会话为测试会话。为了更直观地进行安全性证明，将会话分为Test会话和non-Test会话进行证明，即首先说明non-Test会话模拟正确性，再说明Test会话中C破解协议AKE安全的概率与破解ECCDH困难问题的关系，从而完成证明。

(2)IDD1_Ui用户的协议模拟。这里说明模拟器在不知道a0的情况下如何正确模拟与IDD1_Ui相关协议。设协议一方为D1中用户IDD1_Ui，另一方为D2中用户IDD2_Uj。分为以下3种情况说明协议可以被正确模拟。

① 若C进行Excute询问，则模拟器可以正确模拟协议，因为此时模拟器初始化所有协议运行参数。

③若C冒充IDD1_Ui对IDD2_Uj的协议实例进行Send询问，则模拟器同样控制所有IDD2_Uj选择的协议参数(其认证凭证sIDD2_Uj以及随机数Tb)，因此协议被正确模拟。

Test会话的模拟：如前所述，若C选择Test会话进行询问(即IDD1_Ui的某个会话，其中，IDD1_Ui的认证凭证对应的点乘为a0P)，则设其对应的另一方用户为IDD2_Uj，令IDD2_Uj在本次协议实例所发送的随机数Tb=b0P。模拟器在敌手C进行测试会话询问后返回一个随机数给C，C需要返回该随机数是真正的随机数还是协议所产生的密钥。

第二种情况中C获得智能卡没有获得口令。由于协议中用到的智能卡为防篡改智能卡，因此C获得智能卡后不能获得任何内部信息。C仅可以通过猜测口令的方式计算出智能卡中的认证凭即sDi_Ui=Ci⊕H1(IDDi_Ui‖PWUi‖ui)。而从上述第一种情况可以看出，若计算出sDi_Ui，则协议的AKE安全被破坏。因此，在该情况下C破解协议AKE安全的概率即为C正确猜测口令的概率，即O(qsend)/N。其中，qsend为敌手进行SEND询问的次数，N为口令字典空间大小。

4.2 性能分析

笔者所考虑的认证与密钥协商场景为跨域场景，表1中列出了与最新的跨域间认证与密钥协商协议的性能对比(可用于跨车联网域场景的认证与密钥协商协议)。

表1 跨域认证与密钥协商协议对比

实验所用环境为：英特尔i7处理器，3 GHz主频，8 GB内存，Win10操作系统。其中，用户身份ID长度为32 bit；车联网域名为32 bit；椭圆曲线点为326 bit；椭圆曲线数字签名160(选取SHA1-ECDSA)；Hash函数为128 bit；随机数为：64 bit。

这里仅讨论运算时间较高的运算操作，如双线性运算、指数运算以及椭圆曲线点乘运算。这些运算的运算时间要远高于椭圆曲线加法运算以及Hash运算等。文中从以下3方面说明协议的优势：

(1) 从表1中可以看出文中认证与密钥协商协议仅使用少量椭圆曲线点乘运算，因此该协议适用于轻量级物联网设备。

(2) 同已有的有服务器参与的跨域间认证与密钥协商协议相比，所提协议没有服务器参与，这使得车辆之间通信不受服务器性能的限制，避免了大量请求到达服务器时的时延。同时，若将服务器看成云中心，则意味着车辆间认证和密钥协商可以在设备端完成，这为边缘计算提供了条件。

(3) 同使用公钥证书的跨域V-2-V认证与密钥协商协议以及基于身份密码的认证与密钥协商协议相比，所提协议使用口令及智能卡。对用户来说更加便捷，同时省去了复杂的公钥证书管理问题，尤其是证书撤销列表的管理与维护。

4.3 创新性及不足

跨域间认证与密钥协商协议是多域物联网所必须解决的问题。笔者所提出的跨域认证与密钥协商协议具有以下两方面创新：① 使用更简便并且高效的方式完成跨车联网域间的V-2-V认证与密钥协商协议，使得车辆之间通信切换可以快速完成；② 将口令和智能卡的认证方式引入跨域间认证，提出了在无服务器参与的基于口令的跨域间认证与密钥协商协议。

本协议虽然在性能及应用方面有一定创新，但仍存在以下问题需进一步研究：① 文中所用智能卡为防篡改智能卡，其价格高于普通智能卡，能否使用普通智能卡结合口令完成跨域间认证与密钥协商，仍然是一个需要问题。② 车联网中隐私保护尤为重要，文中方案没有考虑身份隐私问题。虽然可以使用假名的方式隐藏真正的身份，但是仍存在可关联性的可能性。如何采用更为简便的方式实现用户身份的隐私保护，仍然是需要解决的问题。

5 结束语

笔者对跨车联网环境下的认证与密钥协商协议进行了研究，提出了无服务器参与的跨域间认证与密钥协商协议，从而避免了服务器因大量计算可能造成的通信时延。使用口令和防篡改智能卡，避免使用公钥基础设施，使得用户可以方便地完成认证。在ECCDH困难问题下证明了协议的安全性。同已有的相关跨域认证与密钥协商协议相比，本协议可以看成一个轻量级的适用于更多跨域场景的认证与密钥协商协议。