面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的匿名雙向認(rèn)證與密鑰協(xié)商協(xié)議

謝 永 吳黎兵 張宇波 葉璐瑤

1(軟件工程國家重點(diǎn)實驗室(武漢大學(xué)) 武漢 430072)2(景德鎮(zhèn)陶瓷大學(xué)信息工程學(xué)院 江西景德鎮(zhèn) 333403)3(武漢大學(xué)計算機(jī)學(xué)院 武漢 430072) (mark.y.xie@qq.com)

?

面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的匿名雙向認(rèn)證與密鑰協(xié)商協(xié)議

謝 永1,2吳黎兵1,3張宇波3葉璐瑤3

1(軟件工程國家重點(diǎn)實驗室(武漢大學(xué)) 武漢 430072)2(景德鎮(zhèn)陶瓷大學(xué)信息工程學(xué)院 江西景德鎮(zhèn) 333403)3(武漢大學(xué)計算機(jī)學(xué)院 武漢 430072) (mark.y.xie@qq.com)

車聯(lián)網(wǎng)(vehicular ad hoc networks, VANETs)是一種依據(jù)特定通信協(xié)議，實現(xiàn)車-X(X：車、路、行人及互聯(lián)網(wǎng)等)之間的無線通訊和信息交換的大型網(wǎng)絡(luò).隨著云計算的發(fā)展，越來越豐富的車聯(lián)網(wǎng)云服務(wù)將涌現(xiàn)并服務(wù)于車輛.但這些服務(wù)往往由不同的服務(wù)器提供，車輛(用戶)則不得不在各個服務(wù)器上注冊并記住大量的用戶名與密碼.為了實現(xiàn)用戶一次注冊即可與多個服務(wù)器相互認(rèn)證的目標(biāo)，多服務(wù)器架構(gòu)的認(rèn)證協(xié)議已被提出并應(yīng)用于眾多領(lǐng)域，但尚未有面向車聯(lián)網(wǎng)的相關(guān)研究.車間通信的瞬時性對認(rèn)證協(xié)議提出了更高的要求，然而已有的多服務(wù)器架構(gòu)的認(rèn)證協(xié)議使用了復(fù)雜的雙線性密碼，在通信與認(rèn)證開銷方面無法滿足車聯(lián)網(wǎng)的要求.為此，首次提出了一個面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)下的新型匿名雙向認(rèn)證與密鑰協(xié)商協(xié)議,該協(xié)議采用非奇異橢圓曲線構(gòu)造了簡易的認(rèn)證方法，降低了認(rèn)證的計算復(fù)雜性.隨機(jī)匿名機(jī)制能有效地保護(hù)車輛的隱私，且可與服務(wù)器進(jìn)行雙向認(rèn)證與密鑰協(xié)商.在隨機(jī)預(yù)言機(jī)模型下證明了協(xié)議的安全性.性能分析表明：與最近的匿名雙向認(rèn)證協(xié)議相比，該協(xié)議在認(rèn)證與密鑰協(xié)商階段的計算開銷與通信開銷分別減少了61%與62%，可更好地滿足車聯(lián)網(wǎng)對計算與通信開銷的要求.

車聯(lián)網(wǎng)；雙向認(rèn)證； 密鑰協(xié)商；橢圓曲線密碼；效率；隱私保護(hù)；云服務(wù)

車聯(lián)網(wǎng)(vehicular ad hoc networks, VANETs)是一種依據(jù)特定通信協(xié)議，實現(xiàn)車-X(X：車、路、行人及互聯(lián)網(wǎng)等)之間的無線通信和信息交換的大型網(wǎng)絡(luò)，也是一種能夠?qū)崿F(xiàn)智能交通與動態(tài)信息服務(wù)的一體化網(wǎng)絡(luò).車聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)在交通系統(tǒng)領(lǐng)域的典型應(yīng)用，也被視為下一代移動互聯(lián)網(wǎng)絡(luò)的重要組成部分[1].面向車聯(lián)網(wǎng)的早期服務(wù)主要以安全駕駛與智能交通為主.隨著車聯(lián)網(wǎng)的發(fā)展，特別是云計算的發(fā)展，越來越多的面向車聯(lián)網(wǎng)用戶的移動應(yīng)用服務(wù)將會涌現(xiàn)出來，并逐步形成一個城市智能化交通服務(wù)系統(tǒng)以及移動、靈活的新型信息資源平臺——車聯(lián)網(wǎng)云計算平臺(vehicular cloud computing, VCC)[2-4].車聯(lián)網(wǎng)的云計算平臺一般包括4個主體：裝配車載單元(onboard units, OBUs)的車輛、路邊設(shè)施單元(roadside units, RSUs)、可信的注冊中心(register center, RC)以及云服務(wù)器(cloud servers, CSs).其中，車輛OBU與其他車輛的OBUs或RSUs通過專用短距離通訊(dedicated short range communication, DSRC)協(xié)議進(jìn)行通信.典型的車聯(lián)網(wǎng)云計算平臺的系統(tǒng)結(jié)構(gòu)如圖1所示.可以預(yù)見，在研究人員的努力下，車聯(lián)網(wǎng)云計算平臺將會為車乘人員提供更安全、更高效的智能交通以及優(yōu)越的駕駛體驗.此外，車乘人員可以通過車聯(lián)網(wǎng)享受豐富多樣的移動應(yīng)用服務(wù).

Fig. 1 The system architecture of VCC.圖1 車聯(lián)網(wǎng)云計算平臺的系統(tǒng)結(jié)構(gòu)圖

正如其他移動應(yīng)用服務(wù)一樣，各式各樣的服務(wù)通常由不同的服務(wù)器提供，車聯(lián)網(wǎng)中豐富多樣的服務(wù)也是由許多不同的服務(wù)器提供.在傳統(tǒng)的單一服務(wù)注冊機(jī)制中，若用戶想要享用任何一種應(yīng)用服務(wù)，則必須注冊并記住用戶名與密碼.在這種注冊機(jī)制下，用戶需要記住大量的注冊名與密碼，這顯然不合實際.為了避免記住大量的用戶名與密碼，用戶通常在眾多服務(wù)器中使用相同的用戶名與密碼.然而，此時又產(chǎn)生了另外2個問題：1)一旦某一服務(wù)器出現(xiàn)泄露事件，很可能會導(dǎo)致用戶在其他服務(wù)器上的信息泄露[5]；2)隨著移動用戶爆炸式的增加，每一個服務(wù)器需要維護(hù)大量的注冊用戶信息，這樣造成眾多服務(wù)器在用戶管理方面出現(xiàn)資源疊加浪費(fèi)，也可能因此導(dǎo)致服務(wù)器性能瓶頸[6].

為了解決這一問題，一些研究者提出了多服務(wù)器架構(gòu)的認(rèn)證協(xié)議，其目標(biāo)是實現(xiàn)用戶一次注冊便可擁有眾多服務(wù)器的訪問權(quán)限，同時能夠與這些服務(wù)器進(jìn)行相互認(rèn)證[7-8].在多服務(wù)器架構(gòu)的認(rèn)證協(xié)議中，身份認(rèn)證的安全性是系統(tǒng)安全的關(guān)鍵.目前主要有2類身份認(rèn)證協(xié)議：1)靜態(tài)身份的認(rèn)證協(xié)議，但此類協(xié)議很容易造成用戶被追蹤或信息泄露；2)動態(tài)身份認(rèn)證協(xié)議，其目的是提供匿名性和保護(hù)用戶隱私.隨著用戶對隱私泄露事件越來越敏感，動態(tài)身份認(rèn)證協(xié)議更易受到青睞.在動態(tài)身份認(rèn)證協(xié)議中，目前主要存在2個基本問題：1)安全性問題.如能否實現(xiàn)雙向認(rèn)證，能否有效抵抗各類安全攻擊等.2)認(rèn)證協(xié)議的效率問題.如移動用戶端(包括車聯(lián)網(wǎng)用戶)的計算能力一般很有限，且多數(shù)場景下通信穩(wěn)定性差，因而要求協(xié)議所需要的計算與通信開銷盡可能地小.目前已有的協(xié)議尚未能完全解決這2個問題，它們或多或少存在一些不足.因此，還急需要一個安全與高效的、適用于移動用戶的多服務(wù)器架構(gòu)的匿名雙向認(rèn)證協(xié)議.

隨著越來越豐富的車聯(lián)網(wǎng)云服務(wù)，車乘人員若要使用這些服務(wù)，同樣面臨著上述2個問題.目前尚未有研究者提出面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的認(rèn)證協(xié)議.為了彌補(bǔ)這一空白，本文提出一個面向車聯(lián)網(wǎng)云服務(wù)的多服務(wù)器架構(gòu)的雙向認(rèn)證與密鑰協(xié)商協(xié)議.本文主要有3個創(chuàng)新點(diǎn)：1)本文協(xié)議是首個面向車聯(lián)網(wǎng)的多服務(wù)器構(gòu)架的雙向認(rèn)證與密鑰協(xié)商協(xié)議，且無需注冊中心協(xié)助認(rèn)證，簡化了認(rèn)證流程;2)本文協(xié)議采用新型匿名機(jī)制有效地保護(hù)了車聯(lián)網(wǎng)用戶的隱私性，并在隨機(jī)預(yù)言模型下證明了協(xié)議的安全性;3)與最近提出的類似協(xié)議性能對比，本文協(xié)議的計算與通信開銷分別減少了61%與62%.

1 相關(guān)工作

目前尚無學(xué)者提出面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的雙向認(rèn)證協(xié)議.因此，本文分析其他面向移動服務(wù)或遠(yuǎn)程服務(wù)場景的多服務(wù)器架構(gòu)的雙向認(rèn)證與密鑰協(xié)商協(xié)議.

近些年提出的面向多服務(wù)器架構(gòu)的認(rèn)證與密鑰協(xié)商協(xié)議依據(jù)認(rèn)證時的身份信息可大致分為靜態(tài)身份認(rèn)證與密鑰協(xié)商協(xié)議、動態(tài)身份認(rèn)證與密鑰協(xié)商協(xié)議2種.靜態(tài)身份認(rèn)證與密鑰協(xié)商協(xié)議[8-11]主要采用固定的身份去訪問各種服務(wù)器.隨著人們對隱私保護(hù)的關(guān)注，動態(tài)身份認(rèn)證與密鑰協(xié)商協(xié)議受到了研究者的主要關(guān)注.依據(jù)協(xié)議采用的密碼體制，又可以將此類協(xié)議細(xì)分為基于對稱密碼的協(xié)議與基于公鑰的密碼協(xié)議.

在基于對稱密碼的認(rèn)證與密鑰協(xié)商協(xié)議中，用戶通過注冊中心獲得注冊信息，并利用Hash函數(shù)等方式變換登錄的身份.文獻(xiàn)[12]提出一種基于Hash函數(shù)的動態(tài)身份雙向認(rèn)證與密鑰協(xié)商協(xié)議，但其被指出易受到重放攻擊與假扮攻擊等安全攻擊[13].文獻(xiàn)[13]也提出一種改進(jìn)的協(xié)議以彌補(bǔ)文獻(xiàn)[12]的不足，但該協(xié)議同樣不能抵抗假扮攻擊與驗證表攻擊等[14].文獻(xiàn)[14]也提出了新的身份認(rèn)證與密鑰協(xié)商協(xié)議.文獻(xiàn)[12-14]的協(xié)議在用戶與服務(wù)器的身份認(rèn)證與密鑰協(xié)商過程都需要注冊中心服務(wù)器的協(xié)助.文獻(xiàn)[15]則提出一種無需注冊中心協(xié)助的認(rèn)證與密鑰協(xié)商協(xié)議,該協(xié)議的用戶與服務(wù)器之間可以直接進(jìn)行認(rèn)證，因而減少了注冊中心的工作負(fù)荷，類似的還有文獻(xiàn)[16-18].基于對稱密碼的協(xié)議在計算性能相對較好，但容易受到各類安全攻擊，不能滿足高安全需求.

隨著安全需求的提高，研究者利用非對稱密碼體制來構(gòu)建多服務(wù)器架構(gòu)的雙向認(rèn)證與密鑰協(xié)商協(xié)議.此類協(xié)議以大數(shù)分解等數(shù)學(xué)難題為基礎(chǔ)來提高協(xié)議的安全性.文獻(xiàn)[19]提出了一種基于公鑰系統(tǒng)的多服務(wù)器的認(rèn)證協(xié)議，但該協(xié)議不能抵抗假扮攻擊[20];文獻(xiàn)[21]提出了一種利用橢圓曲線密碼的構(gòu)建的多服務(wù)器的認(rèn)證方案，但該方案不能抵抗離線密碼攻擊[22];文獻(xiàn)[22]提出了一種改進(jìn)的協(xié)議并有較好的計算性能,但文獻(xiàn)[23]指出文獻(xiàn)[22]方案不能抵抗重放攻擊與假扮攻擊，并提出了新的改進(jìn)協(xié)議;文獻(xiàn)[19,21-23]中協(xié)議在用戶與服務(wù)器的認(rèn)證階段是需要注冊中心參與，這就造成了更多的通信開銷，同時也給注冊中心造成極大的負(fù)荷，很可能成為整個認(rèn)證系統(tǒng)的性能瓶頸.為了阻止這一問題出現(xiàn)，無需注冊中心參與認(rèn)證的多服務(wù)器架構(gòu)的認(rèn)證協(xié)議成為了研究熱點(diǎn).文獻(xiàn)[24]在文獻(xiàn)[11]的基礎(chǔ)上提出一種動態(tài)身份的多服器認(rèn)證協(xié)議,然而，該協(xié)議需要更新身份且不能抵抗身份追蹤攻擊[25];文獻(xiàn)[25]提出了改進(jìn)的協(xié)議;但文獻(xiàn)[26]指出文獻(xiàn)[25]協(xié)議不能抵抗密碼猜測攻擊與服務(wù)器欺騙攻擊，且依然無法隱藏用戶真實身份,為了彌補(bǔ)文獻(xiàn)[25]缺陷，文獻(xiàn)[26]提出一個新協(xié)議，但其認(rèn)證過程需要注冊中心參與.

2 研究背景

2.1 橢圓曲線密碼與困難問題

1985年，Miller首次將橢圓曲線應(yīng)用到密碼學(xué)中[27].當(dāng)Kobilitz利用橢圓曲線離散對數(shù)問題(elliptic curve discrete logarithm problem, ECDLP)構(gòu)建了橢圓曲線密碼系統(tǒng)(elliptic curve cryptosystem, ECC)[28]后，ECC就開始被廣泛地應(yīng)用于加密、協(xié)議等安全相關(guān)領(lǐng)域.

若群G為橢圓曲線E上的一個有限循環(huán)群，其階為q，生成元為P，其中G包含一個無窮遠(yuǎn)點(diǎn)O,G有2種運(yùn)算規(guī)則：

設(shè)G為橢圓曲線上階為大素數(shù)q的有限循環(huán)群，P為生成元，定義2個困難問題：

如果不能在時間t內(nèi)以不可忽略的概率ε解決群G上ECDLP問題或ECCDH問題的算法，則稱ECDLP問題或ECCDH問題在群G中是困難的.

2.2 網(wǎng)絡(luò)模型

依據(jù)車聯(lián)網(wǎng)云計算[3-4]以及多服務(wù)器架構(gòu)的認(rèn)證協(xié)議的最新研究[22,24-25]，本文提出的面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的雙向認(rèn)證與密鑰協(xié)商的網(wǎng)絡(luò)模型主要包含3個主體：注冊中心(RC)、云服務(wù)器以及車輛，其中RSU被視為特殊車輛節(jié)點(diǎn).網(wǎng)絡(luò)模型圖如圖2所示：

Fig. 2 The network model of mutual authentication in multi-server architecture for VANETs.圖2 車聯(lián)網(wǎng)多服器架構(gòu)的雙向認(rèn)證網(wǎng)絡(luò)模型

1) 注冊中心.注冊中心是一個完全可信的第三方，且可以抵抗各類安全攻擊.它在本文系統(tǒng)中主要的工作任務(wù)是產(chǎn)生系統(tǒng)的參數(shù)，并為每一個注冊的云服務(wù)器產(chǎn)生密鑰，也為每一個注冊的車輛分配一個防篡改裝置(tamper-proof device, TPD).TPD為車輛提供消息簽名時所需要的假名與對應(yīng)的密鑰，TPD具有最高強(qiáng)度的安全特性，可以阻止各類環(huán)境下的信息泄露攻擊，即任何攻擊者都無法從該裝置上獲得所存儲的數(shù)據(jù)[29].在本系統(tǒng)模型中，TPD只能依據(jù)事先設(shè)計的程序為車輛產(chǎn)生假名與密鑰，為車輛提供更改TPD的訪問密碼服務(wù).

2) 云服務(wù)器.在注冊階段，云服務(wù)器通過安全通道向注冊中心申請注冊.完成注冊的云服務(wù)器便 可向車聯(lián)網(wǎng)用戶提供云服務(wù).當(dāng)車輛向它發(fā)送請求消息時，云服務(wù)器先驗證車輛身份的有效性，然后給車輛發(fā)送響應(yīng)消息.雙向認(rèn)證完成后，云服務(wù)器與車輛建立了一個共享會話密鑰，并為車輛提供服務(wù).

3) 車輛.在注冊階段，車輛通過安全通道向注冊中心申請注冊.完成注冊后，車輛的OBU則通過路邊的RSU轉(zhuǎn)發(fā)，向云服務(wù)器請求服務(wù).在車輛向云服務(wù)器請求服務(wù)之前，先得向其裝配的TPD請求一個假名與簽名密鑰，然后利用該密鑰對請求消息簽名并發(fā)送給云服務(wù)器.

2.3 安全需求

在車聯(lián)網(wǎng)中，車輛所發(fā)送的消息是通過不安全的無線多跳方式進(jìn)行傳輸，敵手可以任意監(jiān)聽、攔截、篡改、重放等方式攻擊車聯(lián)網(wǎng).因此，一個面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的雙向認(rèn)證與密鑰協(xié)商協(xié)議應(yīng)滿足4項安全需求[22,25].

1) 消息的認(rèn)證性與完整性(authentication and integrity).當(dāng)接收到消息時，無論是車輛還是服務(wù)器都需要能夠驗證消息發(fā)送者的身份，同時能夠判定所收到的消息是否為發(fā)送者的原始消息.

2) 會話密鑰協(xié)商 (session key agreement).車輛與云服務(wù)器能夠產(chǎn)生一個安全的會話密鑰，利用會話密鑰加密后期會話，達(dá)到保護(hù)會話隱私的目的.

3) 隱私保護(hù)(privacy preserving).隨著人們隱私保護(hù)意識的增強(qiáng)，VANETs必須提供匿名性等隱私保護(hù)措施，以保護(hù)車輛的隱私信息，如身份、會話記錄以及行駛位置等.協(xié)議必須確保攻擊者不能從消息中得到任何隱私信息.

4) 可抵抗各類安全攻擊.VANETs易遭受到各類安全攻擊，如假扮攻擊與重放攻擊等.因此，認(rèn)證方案需要能抵抗各類安全攻擊，以確保認(rèn)證方案的安全性與可靠性.

3 本文協(xié)議

本節(jié)提出一種面向車聯(lián)網(wǎng)的多服務(wù)器的雙向認(rèn)證與密鑰協(xié)商協(xié)議，該協(xié)議包含5個部分：系統(tǒng)建立、服務(wù)器注冊階段、車輛注冊階段、雙向認(rèn)證與密鑰協(xié)商階段以及密碼更新階段.

3.1 系統(tǒng)建立

3.2 服務(wù)器注冊階段

3.3 車輛注冊階段

設(shè)車輛Vi向RC提出注冊申請.首先，Vi向RC提交代表自己唯一身份標(biāo)識的RIDi與密碼PWi.RC檢查Vi為合法有效的車輛后，RC為Vi配備一個TPD裝置.TPD裝置中存儲了訪問本TPD的RIDi與PWi、以及系統(tǒng)私鑰s與系統(tǒng)參數(shù)paras，并將TPD安裝到車輛Vi上.

3.4 雙向認(rèn)證與密鑰協(xié)商階段

在執(zhí)行這一過程前，車輛Vi已獲得與服務(wù)器Sj相關(guān)的公有參數(shù){IDj,Uj,Pj,hs j}.此時，當(dāng)Vi需要訪問Sj，它們需要執(zhí)行3個步驟，其示意圖如圖3所示:

Fig. 3 The process of mutual authentication and key agreement.圖3 雙向認(rèn)證與密鑰協(xié)商過程

步驟1.Vi→Sj：Req={IDj,PIDi,Ui,Ri,Ti,δi}.

1) 車乘人員在TPD中輸入正確的RIDi與PWi，然后TPD檢驗輸入的RIDi與PWi是否與存儲中的一致.若不一致則中止操作，否則繼續(xù)執(zhí)行后續(xù)步驟.為了更符合應(yīng)用實際，車輛i可以在一次正確輸入RIDi與PWi后，可連續(xù)用TPD一段時間，此步驟無需再執(zhí)行.

2) 車輛的OBU向TPD發(fā)送所要訪問的服務(wù)器Sj相關(guān)的信息{IDj,Uj,Pj,hs j}.

步驟2.Sj→Vi：Res={PIDi,IDi,Rj,δj}.

Sj在收到Vi的請求消息Req后，計算ht i=h2(IDj,PIDi,Ui,Ti)，hi=h3(IDj,PIDi,Ui,Ri,Ti)，并依據(jù)式(1)驗證收到的簽名是否有效：

δiP=Ui+ht iPpub+hiRi.

(1)

步驟3.Vi驗證Res.

在收到Res之后，Vi計算sk=h4(riRj,IDj,RIDi,Ui,Ti)與hj=h5(RIDi,IDj,Ui,sk,riRj)，然后依據(jù)式(2)驗證收到的簽名是否有效：

δjP=Uj+hs jPpub+hjRj.

(2)

若式(2)成立，Vi則與服務(wù)器Sj之間通過了雙向認(rèn)證，并協(xié)商了一個秘密的會話密鑰sk.隨后，它們之間就可以利用sk加密消息，實現(xiàn)安全通信.

由于ht i=h2(IDj,PIDi,Ui,Ti)，ski=ui+ht is，Ppub=sP，Ri=riP，hi=h3(IDj,PIDi,Ui,Ri,Ti)，δi=ski+hiri，簽名驗證式(1)可展開如下：

δiP=(ski+hiri)P=(ui+ht is)P+hiriP=

Ui+ht iPpub+hiRi,

即式(1)的左邊等于右邊.

由于Ppub=sP，Rj=rjP，sj=uj+hs js，hj=h4(RIDi,IDj,sk,rjRi)，δj=sj+hjrj，簽名驗證式(2)可展開為

δjP=(sj+hjrj)P=(uj+hs js)P+hjrjP=

Uj+hs jPpub+hjRj,

即式(2)的左邊等于右邊.

Sj生成的會話密鑰sk與Vi生成的會話密鑰sk的不同之處在于rjRi與riRj.展開可得到riRj=rirjP=rjRi，即可證二者生成的會話密鑰是一致的.

3.5 密碼更新階段

在車輛Vi已輸入了正確的TPD訪問密碼的情況下，Vi只需要選擇TPD的密碼更新操作，然后輸入新的訪問密碼，TPD則會刪除原密碼并保存新密碼.

4 安全性分析

4.1 安全模型

3)ExtractSever(IDj).C產(chǎn)生服務(wù)器j的私鑰，并且存儲到列表Lj中.

6)CorruptUser(RIDi).C將車輛的假名PIDi與私鑰ski返回給A.

7)CorruptSever(IDj).C返回服務(wù)器的私鑰給A.

4.2 安全性證明

在隨機(jī)預(yù)言機(jī)模型下，利用安全模型證明本文協(xié)議的安全性.

引理1. 請求消息Req不可偽造性.在ECDLP問題是困難的情況下，本文協(xié)議能夠抵抗適應(yīng)性選擇消息的偽造攻擊.

挑戰(zhàn)者C運(yùn)行系統(tǒng)初始化，定義系統(tǒng)公鑰Ppub←Q，并生成系統(tǒng)參數(shù)Paras={e,a,b,p,q,P,Q,h0,h1,h2,h3,h4,h5}.C隨機(jī)選擇一個車輛I(身份標(biāo)識為RIDI)作為挑戰(zhàn)的身份.然后A自適應(yīng)地向C進(jìn)行預(yù)言機(jī)查詢，C以如下方式回復(fù)A查詢:

4)CorruptUser(IDi).當(dāng)IDi=IDI時，C終止游戲;否則，C查詢Lt i列表，當(dāng)IDi在列表中，則返回列表中的ski給A.若IDi不在列表中，C執(zhí)行ExtractUser(IDi)，并返回ski給A.

5)CorruptServer(IDj).當(dāng)A以IDj查詢此預(yù)言機(jī)時，C摸索IDj在列表Ls j中，則返回列表中的sj給A；否則，C執(zhí)行ExtractSever(IDj)查詢，并返回sj給A.

δiP=Ui+ht iQ+hiRi,

(3)

(4)

由式(3)、式(4)可得：

(5)

E1: C在Send預(yù)言機(jī)查詢時終止游戲.

E2: C輸出了一個有效Req消息.

E3:PIDi與PIDI是相同的.

令ns與nh2分別表示游戲中Send與h2預(yù)言機(jī)的查詢次數(shù).依據(jù)協(xié)議定義與游戲規(guī)則，則有:

Pr[E1]≥(1-1(ns-1))ns，Pr[E2|E1]≥ε，Pr[E3|E2∧E1]≥1nh2.即C在隨機(jī)預(yù)言模型下求解ECDLP問題的概率為

Pr[E1∧E2∧E3]=Pr[E3|E2∧E1]Pr[E2|E1]×

(6)

顯然，式(6)為不可忽略的概率，這與ECDLP問題的困難性相沖突.因此可證明，在本文協(xié)議中，任何多項式敵手都無法成功偽造一個有效請求消息Req.

證畢.

引理2. 響應(yīng)消息Res不可偽造性.在ECDLP問題是困難的情況下，本文協(xié)議能夠抵抗適應(yīng)性選擇消息的偽造攻擊.

挑戰(zhàn)者C運(yùn)行系統(tǒng)初始化，定義系統(tǒng)公鑰Ppub←Q，并生成系統(tǒng)參數(shù)Paras={e,a,b,p,q,P,Q,h0,h1,h2,h3,h4,h5}.C隨機(jī)選擇一個服務(wù)器J(身份標(biāo)識為IDJ)作為挑戰(zhàn)的身份;然后A自適應(yīng)地向C進(jìn)行預(yù)言機(jī)查詢，C依據(jù)定理3的方式回復(fù)A查詢.

δjP=Uj+hs jQ+hjRj,

(7)

(8)

由式(7)、式(8)可得：

(9)

證畢.

定理1. 在ECDLP問題是困難的情況下，本文協(xié)議的雙向認(rèn)證是安全的.

證明. 由引理1與引理2可知，在ECDLP問題是困難的情況下，敵手無法成功偽造請求消息或響應(yīng)消息，即本文協(xié)議的雙向認(rèn)證是安全的.

證畢.

定理2. 密鑰協(xié)商安全.在ECCDH問題是困難的情況下，本文協(xié)議的密鑰協(xié)商是安全的.

令E4表示A猜中正確會話密鑰.由游戲規(guī)則可知，A猜中b值的優(yōu)勢至少為12，即Pr[E4]≥ε2.令E5與E6分別表示A對用戶與服務(wù)器的Test查詢事件，E7表示A成功攻擊用戶-服務(wù)器認(rèn)證.則有：

E7]+Pr[E4∧E6∧E7]≤Pr[E4∧E5]+

(10)

Pr[E4∧E5]+Pr[E4∧E6∧E7]≥

(11)

因為E6∧E7與E5是相等的，因而可得：

Pr[sk=h4(Q3,IDj,RIDi,Ui,Ti)|Q3←G]≥

(12)

由式(12)可以看出，挑戰(zhàn)者C可以以不可忽略的概率解決ECCDH問題.但這與ECCDH問題的困難性相沖突.因此，在ECCDH問題的假設(shè)前提下，本文協(xié)議的密鑰協(xié)商是可證安全的.

證畢.

本文將分析協(xié)議是否滿足其他安全需求.

依據(jù)定理3，在隨機(jī)預(yù)言機(jī)模型下，敵手不能偽造車輛的Res消息與服務(wù)器的消息.因此，本文協(xié)議能抵抗假扮攻擊、修改攻擊、中間人攻擊等安全攻擊.本文協(xié)議的車輛與服務(wù)器進(jìn)行相互認(rèn)證時無需任何認(rèn)證表，因而，本文協(xié)議也能有效地防止驗證表攻擊與內(nèi)部人員攻擊等安全攻擊.同時，車輛的Res消息具有時間戳，可抵制重放攻擊.綜合分析表明，本文協(xié)議可滿足車聯(lián)網(wǎng)的各種安全需求.

5 性能分析與評價

計算開銷與通信開銷是衡量協(xié)議的2個重要指標(biāo).車間通信具有瞬時性特征，因而VANETs協(xié)議對于這2種開銷的要求更為苛刻.本文協(xié)議與3個最近提出的多服務(wù)器架構(gòu)的認(rèn)證協(xié)議在計算與通信開銷展開對比分析.這3個協(xié)議分別是文獻(xiàn)[24]的協(xié)議(NMRA協(xié)議)、文獻(xiàn)[25]的協(xié)議(AMA協(xié)議)以及文獻(xiàn)[26]的協(xié)議(MAK協(xié)議).

5.1 計算開銷分析

Table 1 The Execution Time of Cryptographic Operation

下面本文將分析4個協(xié)議在認(rèn)證與密鑰協(xié)商階段的計算開銷.在NMRA協(xié)議中，用戶需要執(zhí)行7個雙線性對密碼的標(biāo)量乘法運(yùn)算、1個雙線性對密碼的加法運(yùn)算以及1個Map-to-Point運(yùn)算，即用戶共需要7Tbm+1Tba+TH；服務(wù)器端需要執(zhí)行2個雙線性對運(yùn)算、5個關(guān)于雙線性對密碼的標(biāo)量乘法運(yùn)算、1個雙線性對密碼的加法運(yùn)算以及1個Map-to-Point運(yùn)算，即服務(wù)器共需要計算2Tbp+5Tbm+1Tba+TH.用同樣方法可計算出AMA協(xié)議與MAK協(xié)議的計算開銷，如表2所示.本文協(xié)議在認(rèn)證與密鑰協(xié)商過程中，用戶需要執(zhí)行4個橢圓曲線密碼的標(biāo)量乘法運(yùn)算與5個one-way的Hash運(yùn)算，即用戶共需要4Tem；服務(wù)器端需要執(zhí)行5個橢圓曲線密碼的標(biāo)量乘法運(yùn)算與5個one-way的Hash運(yùn)算，即服務(wù)器共需要計算5Tem.

Table 2 The Computation Cost of the Four Protocols

結(jié)合表1，4個協(xié)議的用戶與服務(wù)器在雙向認(rèn)證與密鑰協(xié)商階段所需要的計算開銷如表2所示.

從表2可以看出：在本文協(xié)議中，用戶需要的計算開銷為5.160 ms，相比其他3個協(xié)議，本文協(xié)議分別節(jié)省了約74%，74%與61%；服務(wù)器端需要計算開銷為3.688 ms，同樣相比其他3個協(xié)議，本文協(xié)議分別節(jié)省了約86%，86%與88%.4個協(xié)議在計算開銷的比較結(jié)果如圖4所示:

Fig. 4 The comparisons of computation cost.圖4 計算開銷比較

5.2 通信開銷分析

在NMRA協(xié)議中，服務(wù)器與用戶之間所發(fā)送的消息共3個.依據(jù)其協(xié)議設(shè)計，這些消息包含5個G1元素與3個非群元素，即總和為700B.在AMA協(xié)議[25]中，服務(wù)器與用戶之間所發(fā)送的消息共3個.這些消息包含7個G1元素與2個非群元素，即總和為936B.在MAK協(xié)議[26]中，認(rèn)證與協(xié)商需要注冊中心RC協(xié)助，通信過程共需要4個消息.這些消息包含7個G1元素與7個非群元素，即通信開銷總和為1 036B.在本文協(xié)議的認(rèn)證與密鑰協(xié)商過程中，通信過程中共需要2個消息，這些消息包含了3個G元素與7個非群元素，通信開銷總和為260B.

通信開銷的分析結(jié)果如表3所示.與其他3個協(xié)議的通信開銷相比，本文協(xié)議在通信開銷分別減少了62%，72%以及74%.因此，本文協(xié)議能有效地減少通信開銷，相比其他方案，更容易滿足通信資源寶貴的VANETs的通信需求.

Table 3 The Comparison of Communication Cost

6 結(jié)束語

多服務(wù)器架構(gòu)的認(rèn)證協(xié)議使得用戶只需要注冊一次便可訪問多個服務(wù)器.目前已有的多服務(wù)器架構(gòu)的認(rèn)證協(xié)議尚未涉及車聯(lián)網(wǎng)，也無法直接應(yīng)用到車聯(lián)網(wǎng)，因為這些協(xié)議在通信與認(rèn)證開銷方面無法滿足車聯(lián)網(wǎng)的苛刻要求.為此，本文提出了一個新型匿名的面向車聯(lián)網(wǎng)的多服務(wù)器架構(gòu)的認(rèn)證與密鑰協(xié)商協(xié)議.本文協(xié)議采用非奇異橢圓曲線構(gòu)造了簡易的認(rèn)證算法，降低了認(rèn)證的計算復(fù)雜性.本文給出的安全分析證明了本文協(xié)議在隨機(jī)預(yù)言機(jī)模型下可抵抗消息偽造攻擊并可產(chǎn)生安全的會話密鑰，同時本文協(xié)議也可以滿足車聯(lián)網(wǎng)的各類安全需求.性能分析表明，與最近的匿名雙向認(rèn)證協(xié)議相比，本文協(xié)議在認(rèn)證與密鑰協(xié)商階段所需要的計算開銷與通信開銷更少，可更好地滿足車聯(lián)網(wǎng)的要求.TPD的價格相對較高，對于本文協(xié)議的廣泛應(yīng)用有一定的不利影響.因此，我們下一步將研究無TPD的多服務(wù)器架構(gòu)的匿名雙向認(rèn)證協(xié)議.

[1]Kakkasageri M S, Manvi S S. Information management in vehicular ad hoc networks: A review[J]. Journal of Network and Computer Applications, 2014, 39(1): 334-350

[2]Lee E, Lee E K, Gerla M, et al. Vehicular cloud networking: Architecture and design principles[J]. IEEE Communications Magazine, 2014, 52(2): 148-155

[3]Gerla M, Lee E K, Pau G, et al. Internet of vehicles: From intelligent grid to autonomous cars and vehicular clouds[C] //Proc of 2014 IEEE World Forum on Internet of Things (WF-IoT). Piscataway, NJ: IEEE, 2014: 241-246

[4]Liu Bingyi, Wu Libing, Jia Dongyao, et al. Data uplink strategy in mobile cloud service based vehicular ad hoc network[J]. Journal of Computer Research and Development, 2016, 53(4): 811-823 (in Chinese)(劉冰藝, 吳黎兵, 賈東耀, 等. 基于移動云服務(wù)的車聯(lián)網(wǎng)數(shù)據(jù)上傳策略[J]. 計算機(jī)研究與發(fā)展, 2016, 53(4): 811-823)

[5]Wang Ding, Wang Nan, Wang Ping, et al. Preserving privacy for free: Efficient and provably secure two-factor authentication scheme with user anonymity[J]. Information Sciences, 2015, 321: 162-178

[6]Jiang Q, Ma J, Li G, et al. An enhanced authentication scheme with privacy preservation for roaming service in global mobility networks[J]. Wireless Personal Communications, 2013, 68(4): 1477-1491

[7]Wan Tao, Liao Weichuan, Ma Jianfeng. Analysis and improvement of an authentication protocol for the multi-server architecture[J]. Journal of Xidian University, 2013, 40(6): 174-179 (in Chinese)(萬濤, 廖維川, 馬建峰. 面向多服務(wù)器架構(gòu)的認(rèn)證協(xié)議分析與改進(jìn)[J]. 西安電子科技大學(xué)學(xué)報, 2013, 40(6): 174-179)

[8]Chuang Y H, Tseng Y M. Towards generalized ID-based user authentication for mobile multi-server environment[J]. International Journal of Communication Systems, 2012, 25(4): 447-460

[9]Tseng Y M, Huang Y H, Chang H J. Privacy-preserving multireceiver ID-based encryption with provable security[J]. International Journal of Communication Systems, 2014, 27(7): 1034-1050

[10]Tsaur W J, Li J H, Lee W B. An efficient and secure multi-server authentication scheme with key agreement[J]. Journal of Systems and Software, 2012, 85(4): 876-882

[11]Choi K Y, Hwang J Y, Lee D H, et al. ID-based authenticated key agreement for low-power mobile devices[C] //Proc of Australasian Conf on Information Security and Privacy (ACISP). Berlin: Springer, 2005: 494-505

[12]Hsiang H C, Shih W K. Improvement of the secure dynamic ID based remote user authentication scheme for multi-server environment[J]. Computer Standards & Interfaces, 2009, 31(6): 1118-1123

[13]Sood S K, Sarje A K, Singh K. A secure dynamic identity based authentication protocol for multi-server architecture[J]. Journal of Network and Computer Applications, 2011, 34(2): 609-618

[14]Li X, Xiong Y, Ma J, et al. An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards[J]. Journal of Network and Computer Applications, 2012, 35(2): 763-769

[15]Liao Y P, Hsiao C M. A novel multi-server remote user authentication scheme using self-certified public keys for mobile clients[J]. Future Generation Computer Systems, 2013, 29(3): 886-900

[16]Lee C C, Lai Y M, Li C T. An improved secure dynamic ID based remote user authentication scheme for multi-server environment[J]. International Journal of Security and Its Applications, 2012, 6(2): 203-209

[17]Li X, Ma J, Wang W, et al. A novel smart card and dynamic ID based remote user authentication scheme for multi-server environments[J]. Mathematical and Computer Modelling, 2013, 58(1): 85-95

[18]Shao M H, Chin Y C. A novel approach to dynamic ID-based remote user authentication scheme for multi-server environment[C] //Proc of the 4th Int Conf on Network and System Security (NSS). Piscataway, NJ: IEEE, 2010: 548-553

[19]Lin I C, Hwang M S, Li L H. A new remote user authentication scheme for multi-server architecture[J]. Future Generation Computer Systems, 2003, 19(1): 13-22

[20]Cao X, Zhong S. Breaking a remote user authentication scheme for multi-server architecture[J]. IEEE Communications Letters, 2006, 10(8): 580-581

[21]Yoon E J, Yoo K Y. Robust biometrics-based multi-server authentication with key agreement scheme for smart cards on elliptic curve cryptosystem[J]. The Journal of Supercomputing, 2013, 63(1): 235-255

[22]He D, Wang D. Robust biometrics-based authentication scheme for multiserver environment[J]. IEEE Systems Journal, 2015, 9(3): 816-823

[23]Odelu V, Das A K, Goswami A. A secure biometrics-based multi-server authentication protocol using smart cards[J]. IEEE Trans on Information Forensics and Security, 2015, 10(9): 1953-1966

[24]Liao Y P, Hsiao C M. A novel multi-server remote user authentication scheme using self-certified public keys for mobile clients[J]. Future Generation Computer Systems, 2013, 29(3): 886-900

[25]Hsieh W B, Leu J S. An anonymous mobile user authentication protocol using self-certified public keys based on multi-server architectures[J]. The Journal of Supercomputing, 2014, 70(1): 133-148

[26]Amin R, Biswas G P. Design and analysis of bilinear pairing based mutual authentication and key agreement protocol usable in multi-server environment[J]. Wireless Personal Communications, 2015, 84(1): 439-462

[27]Miller V S. Use of elliptic curves in cryptography[C] //Proc of CRYPTO’85. Berlin: Springer, 1985: 417-426

[28]Koblitz N. Elliptic curve cryptosystem[J]. Journal of Mathematics of Computation, 1987, 48(1): 203-209

[29]Zhang C, Lu R, Lin X, et al. An efficient identity-based batch verification scheme for vehicular sensor networks[C] //Proc of IEEE INFOCOM’2008. Piscataway, NJ: IEEE, 2008: 816-824

[30]Pointcheval D, Stern J. Security proofs for signature schemes[C] //Proc of EUROCRYPT’96. Berlin, Springer, 1996: 387-398

Xie Yong, born in 1978. PhD candidate. Associate professor. His main research interests include wireless sensor networks, network protocol and protocol security.

Wu Libing, born in 1972. PhD, professor and PhD supervisor. Member of China Computer Federation. His main research interests include wireless sensor networks, networks management and distributed computing.

Zhang Yubo, born in 1988. PhD candidate. His main research interests include protocol security and cryptography.

Ye Luyao, born in 1995. Undergraduate student in the Computer School of Wuhan University. Her main research interests include intelligent transportation.

Anonymous Mutual Authentication and Key Agreement Protocol in Multi-Server Architecture for VANETs

Xie Yong1,2, Wu Libing1,3, Zhang Yubo1, and Ye Luyao1

1(StateKeyLaboratoryofSoftwareEngineering(WuhanUniversity),Wuhan430072)2(SchoolofInformationandEngineering,JingdezhenCeramicInstitute,Jingdezhen,Jiangxi333403)3(ComputerSchool,WuhanUniversity,Wuhan430072)

Vehicular ad hoc networks (VANETs) is a large network that runs according to a special communication protocol to achieve wireless communication and information exchange among vehicles and roadside infrastructures, pedestrian, Internet and so on. With the development of cloud computing, more and more cloud services for VANETs will emerge. However, the services are usually provided by different servers. Thus, vehicle users have to register different servers and remember a lot of usernames and passwords. Aimed to the goal that a user can do mutual authentication with all servers after hisher one-time registration, the multi-server architecture authentication protocols have been proposed and applied in many areas, but no one focuses on VANETs. The instantaneity of communication in VAENTs poses a new challenge on the multi-server architecture authentication protocol. The existing multi-server architecture authentication protocols use the complex bilinear pairing operations, which cannot meet the strict requirements of VANETs on authentication and communication costs. In this paper, a new efficient anonymous mutual authentication and key agreement protocol for the multi-server environment of VANETs is proposed. The proposed protocol decreases the complexity of protocol by using elliptic curve cryptosystem (ECC) to construct a simple authentication way, and provides the function of random anonymity to protect the privacy of vehicle. The security of the proposed protocol is proved in the random oracle model. Performance analysis shows that compared with the most recent mutual authentication protocols, our protocol decreases the computation and communication cost at least 61% and 62% in the mutual authentication and key agreement phase, and can better meet the computation and communication cost requirements of VANETs.

vehicular ad hoc networks (VANETs); mutual authentication (MA); key agreement; elliptic curve cryptosystem (ECC); efficiency; privacy preserving; cloud service

2016-06-15；

2016-08-14

國家自然科學(xué)基金項目(61272112,61472287)；湖北省自然科學(xué)基金重點(diǎn)項目(2015CF068)

吳黎兵(wu@whu.edu.cn)

TP393

This work was supported by the National Natural Science Foundation of China (61272112, 61472287) and the Key Program of the Natural Science Foundation of Hubei Province of China (2015CFA068).