基于PUF的5G車聯(lián)網(wǎng)V2V匿名認證與密鑰協(xié)商協(xié)議

侯琬鈺 孫鈺 李大偉 崔 劍 關(guān)振宇 劉建偉

(北京航空航天大學網(wǎng)絡(luò)空間安全學院 北京 100191) (空天網(wǎng)絡(luò)安全工業(yè)和信息化部重點實驗室(北京航空航天大學) 北京 100191)

近年來，全球移動通信數(shù)量成爆發(fā)性增長，越來越多的用戶對通信服務(wù)質(zhì)量提出更高的要求，而物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等領(lǐng)域的不斷創(chuàng)新也對通信技術(shù)的帶寬、速率、延遲等方面提出了新的目標.因此第5代移動通信技術(shù)(5th generation mobile communication technology, 5G)應運而生.2016年第3代合作伙伴計劃(3rd Generation Partnership Project, 3GPP)在R15(release-15)[1]中正式啟動了5G標準化研究工作.R15作為5G第1階段的標準在2019年3月凍結(jié)，主要聚焦于增強移動寬帶(enhanced mobile boardband, eMBB)場景，并對5G的全新網(wǎng)絡(luò)架構(gòu)進行定義，初步滿足了高可靠低時延通信(ultra reliable low latency communication, uRLLC)場景的基本需求[2].2018年6月，3GPP開啟第2階段5G標準R16(release-16)[3]的研究工作，并于2020年7月凍結(jié)了5G第一個演進版標準R16. R16側(cè)重于超級上行、車用無線通信、uRLLC增強、移動性增強等方面，對海量機器通信(massive machine type of communication, mMTC)場景能力進行了補充[4].為了進一步提升5G網(wǎng)絡(luò)能力，3GPP于2019年12月啟動5G第3階段標準R17(release-17)[5]的制定工作，對已有的R16進行全方位優(yōu)化，并提出了覆蓋增強、多SIM終端優(yōu)化等新的業(yè)務(wù)和能力需求[4].

5G網(wǎng)絡(luò)高速率、大容量、低延遲的特性提升了車輛對環(huán)境的感知、決策和執(zhí)行能力，為車聯(lián)網(wǎng)應用和自動駕駛應用，尤其是涉及車輛安全控制類的應用奠定了基礎(chǔ).R16標準中指出，5G車聯(lián)網(wǎng)支持車輛之間(vehicle-to-vehicle, V2V)和車輛與基礎(chǔ)設(shè)施之間的(vehicle-to-infrastructure, V2I)的直連通信，引入組播和廣播等多種通信方式，實現(xiàn)了車輛編隊行駛、高級駕駛、傳感器擴展、遠程駕駛等更豐富的車聯(lián)網(wǎng)應用場景[4].但是車聯(lián)網(wǎng)的安全建設(shè)沒有跟上通信技術(shù)的進步，5G安全標準[6]對V2V通信中裸露的PC5接口沒有設(shè)置任何安全機制，越來越多的安全問題不斷涌現(xiàn)，例如無線入侵、隱私泄露、遠程控制等，嚴重威脅車聯(lián)網(wǎng)的安全.以往提出的解決方案[7-9]中多數(shù)使用高強度的加密算法和密鑰，造成大量的計算開銷和存儲開銷，而車輛有限的計算能力和存儲能力難以滿足方案的需求.另外，由于車輛的SIM卡可以隨意拆卸，一旦攻擊者竊取到了車輛的專屬SIM卡，就可以假冒原車輛身份，對V2V通信進行身份假冒攻擊.

為了解決車聯(lián)網(wǎng)中存在的身份假冒、隱私泄露等安全問題，本文提出了一個基于物理不可克隆函數(shù)(physical unclonable function, PUF)的5G車聯(lián)網(wǎng)V2V匿名認證與密鑰協(xié)商協(xié)議.該協(xié)議通過PUF實現(xiàn)了輕量級的偽身份生成更新、身份認證和密鑰協(xié)商等功能，為車聯(lián)網(wǎng)的V2V通信提供有效保障.本文的主要貢獻有3個方面：

1) 使用輕量級的PUF加固5G V2V通信并滿足條件匿名性.本協(xié)議利用PUF的不可克隆性實現(xiàn)了車載單元(on board unit, OBU)和5G SIM卡的綁定，成功解決了因車輛5G SIM卡拆卸導致的身份假冒問題，并通過在5G服務(wù)網(wǎng)(serving network, SN)中構(gòu)建身份索引表實現(xiàn)對可疑車輛的追查，滿足條件匿名性.

2) 大幅減少了車輛的計算開銷和存儲開銷.本協(xié)議通過PUF實現(xiàn)了車輛間(vehicle-to-vehicle, V2V)通信的雙向認證，避免了密鑰存儲、證書托管、數(shù)字簽名等操作，在提升安全性的同時減輕了車輛的計算和存儲開銷.

3) 精簡了V2V通信中的認證與密鑰協(xié)商過程，通信開銷小、時延低.本協(xié)議只需兩車與SN之間的1次單向通信和1次兩車之間的握手通信即可完成車輛間認證與密鑰協(xié)商，通信開銷大幅減少，時延降低明顯，成功適應了車輛在高速行駛中頻繁地SN切換.

1 相關(guān)工作

1.1 PUF技術(shù)

隨著人們對安全服務(wù)需求的不斷增加，重量級密碼對嵌入式設(shè)備和移動設(shè)備的計算能力和存儲能力帶來巨大的考驗.為了減輕嵌入式設(shè)備負擔，越來越多的研究者嘗試將PUF融入設(shè)備并設(shè)計基于PUF的認證協(xié)議.2015年美國弗吉尼亞理工大學的Aysu等人將隱私保護認證技術(shù)與反向模糊提取技術(shù)相結(jié)合，提出了一種端到端基于PUF的隱私雙向認證協(xié)議和一種基于BCH碼的交叉糾錯技術(shù)，充分滿足了隱私保護的需求[10].2017年印度理工學院的Chatterjee等人對基于身份的加密(identity-based encryption, IBE)[11]方案進行優(yōu)化，使用PUF的響應替代用于消息加密的公開身份字符串，并撤銷了方案中的公鑰生成器，讓接收數(shù)據(jù)的節(jié)點自己生成公私鑰，服務(wù)器驗證公鑰，成功抵抗否認攻擊和偽裝攻擊[12].2018年比利時布魯塞爾自由大學的Braeken等人對Chatterjee等人提出的協(xié)議進行分析，認為其在Dolve-Yao安全模型下存在中間人攻擊，重放攻擊和拒絕服務(wù)攻擊等安全問題[13].為了解決這些問題，他們使用橢圓曲線加法和乘法替代了雙線性對運算，并實現(xiàn)了基于身份的認證和否認等功能.印度理工學院的Chatterjee等人將IBE,PUF和消息認證碼相結(jié)合，提出了一種低功耗、低延遲的認證與密鑰協(xié)商協(xié)議，解決了挑戰(zhàn)響應對(challenge response pair, CRP)數(shù)據(jù)庫存儲開銷問題，成功抵抗了中間人攻擊[14].2019年南京郵電大學Zhu等人提出了一種依靠PUF的輕量級射頻識別(radio frequency identification, RFID)認證協(xié)議，滿足了可溯源、相互認證、前向安全和不可克隆等安全需求，大幅減少了RFID標志的存儲開銷，成功抵抗窮舉攻擊[15].2021年江蘇師范大學李濤等人對已有的基于雙PUF的RFID認證協(xié)議進行優(yōu)化，提出了改進的NDAP協(xié)議[16]，滿足不可追蹤性，成功抵抗去同步攻擊、標簽假冒攻擊，有更好安全性和隱私性.

1.2 車聯(lián)網(wǎng)安全協(xié)議

隨著用戶對于隱私保護的需求逐漸提高，匿名通信成為車聯(lián)網(wǎng)安全領(lǐng)域的重要研究內(nèi)容.2017年重慶郵電大學Liu等人針對車聯(lián)網(wǎng)安全性和保密性的需求，提出了面向智能交通系統(tǒng)的V2V雙向認證方案——PPDAS，利用車輛獨立生成的偽身份實現(xiàn)匿名通信，并通過雙線性對運算建立臨時加密密鑰[17].同時，該方案通過車輛身份驗證和信譽評估雙重認證來增強特定V2V場景下的安全性.2019年武漢大學Ma等人面向基于霧計算的車聯(lián)網(wǎng)場景，提出了一種無雙線性對運算的認證與密鑰協(xié)商協(xié)議[18].該方案借助可信第三方為車輛分配偽身份，實現(xiàn)了通信過程中的隱私保護，并通過了隨機Oracle模型下的安全性證明.

偽身份生成和溯源作為匿名通信的關(guān)鍵技術(shù)也在不斷發(fā)展.目前，偽身份生成和溯源方法基本可以分為4個類型：可信第三方單獨生成、車輛和第三方聯(lián)合生成、車輛單獨生成以及PUF生成.可信第三方單獨生成方法[8-9,19-21]主要指偽身份的生成完全由第三方負責，車輛只需將真實身份發(fā)送給第三方等待分配即可.其偽身份溯源多數(shù)通過第三方存表查表實現(xiàn).車輛和第三方聯(lián)合生成方法[7,22-24]指的是基于車輛和第三方分別提出的隨機參數(shù)生成偽身份.車輛除了發(fā)送真實身份給第三方外，還需要將生成偽身份的參數(shù)發(fā)送給第三方.其偽身份溯源多數(shù)通過異或等計算直接推導真實身份.車輛單獨生成方法[25-29]主要指車輛基于第三方的公開參數(shù)和自己生成的參數(shù)獨立推出偽身份，省略了車輛將真實身份發(fā)送給第三方的過程.其偽身份溯源與上面類似，都是第三方通過計算推導出真實身份，但是會利用第三方公開參數(shù)和秘密參數(shù)的推導關(guān)系.PUF生成方法[30]主要流程為第三方發(fā)送隨機挑戰(zhàn)給車輛，車輛將PUF輸出的響應返回給第三方，第三方根據(jù)響應生成偽身份存儲后分配給車輛.其偽身份溯源過程通過第三方查表實現(xiàn).

本文提出的協(xié)議為了實現(xiàn)輕量高效的雙向認證與密鑰協(xié)商，將PUF與身份認證和偽身份生成溯源技術(shù)相結(jié)合，在保證安全的同時最小化計算開銷和存儲開銷，適用于車輛計算能力和存儲能力有限的場景.

2 系統(tǒng)模型

本文設(shè)計的協(xié)議主要依托于圖1中的5G V2X架構(gòu)[2]，分為OBU、接入網(wǎng)(radio access network, RAN)、SN、歸屬網(wǎng)絡(luò)(home network, HN)4部分.OBU是車輛上負責計算和通信的單元，可以調(diào)用PUF對接收的挑戰(zhàn)進行處理并輸出響應.RAN主要由基站(generation NodeB, gNB)組成，在本協(xié)議中基站gNB主要負責車輛和SN之間的消息轉(zhuǎn)發(fā)，幫助SN完成偽身份分配和身份認證等操作.SN通過安全錨函數(shù)(security anchor function, SEAF)和接入和移動管理功能(access and mobility management function, AMF)完成注冊管理、連接管理、流動授權(quán)等基本功能以及基于CRP數(shù)據(jù)對的身份認證與密鑰協(xié)商.而HN主要通過認證服務(wù)功能(auth-entication server function, AUSF)和統(tǒng)一數(shù)據(jù)管理(unified data management, UDM)完成5G認證與密鑰協(xié)商(authentication and key agreement, AKA)過程中的認證矢量生成和響應驗證，并在統(tǒng)一數(shù)據(jù)存儲(unified data repository, UDR)中保存用戶的注冊數(shù)據(jù).在5G架構(gòu)中，車聯(lián)網(wǎng)的V2V通信主要使用PC5接口，而5G的車聯(lián)網(wǎng)標準[6]中沒有對PC5接口提出具體的安全機制，攻擊者可以通過PC5接口實現(xiàn)竊聽、篡改等攻擊，嚴重侵犯車輛的隱私安全和數(shù)據(jù)安全.所以車聯(lián)網(wǎng)領(lǐng)域急需一種輕量高效的通信機制來解決V2V通信中因PC5接口公開而存在的安全問題.

Fig. 1 5GV2X architecture圖1 5G V2X架構(gòu)

為了恢復因噪聲、溫度等環(huán)境因素產(chǎn)生微小誤差的PUF響應，本文引入Chatterjee等人[31]設(shè)計的BCH編碼器電路(BCHDecoder/BCHEncoder)，從PUF的響應中生成輔助數(shù)據(jù).本文提出的協(xié)議主要分為5個部分：初始階段、注冊階段、偽身份更新、車輛間認證與密鑰協(xié)商和偽身份溯源.為了實現(xiàn)車輛之間的密鑰協(xié)商，SN定義一個大素數(shù)q，以q為階定義了一個循環(huán)群G，P為G的一個生成元，還定義了抗碰撞的安全哈希函數(shù)H，HK：{0,1}*→{0,1}*，其中K為哈希函數(shù)使用的密鑰，最后將〈q,P,G,H,HK〉公開.協(xié)議中具體的參數(shù)定義如表1所示:

Table 1 Parameters Definition表1 參數(shù)定義

3 安全模型

本文在擴展的Dolev-Yao模型下開展安全分析.在Dolev-Yao模型[32]中，認為攻擊者可以控制整個通信網(wǎng)絡(luò)，攻擊者的具體能力為：1)攻擊者可以竊聽和攔截所有經(jīng)過網(wǎng)絡(luò)的消息；2)攻擊者可以存儲攔截到的或自己構(gòu)造的消息；3)攻擊者可以發(fā)送攔截到的或自己構(gòu)造的消息；4)攻擊者可以作為合法主體參與協(xié)議運行.在Dolev-Yao模型的基礎(chǔ)上，本文使用的安全模型還對攻擊者能力進行了擴充，認為攻擊者可以獲取上一輪協(xié)商的會話密鑰，從而驗證協(xié)議的前向后向安全性.本文支持Dolev-Yao模型的形式化分析工具AVISPA(Automated Validation of Internet Security Protocols and Applications)對設(shè)計的協(xié)議進行驗證.通過在AVISPA中改變攻擊者已知信息(intruder_knowledge)實現(xiàn)攻擊者能力的擴充.針對協(xié)議中涉及的實體，包括車輛OBU、SN、HN、攻擊者，對他們的角色能力進行進一步的安全假設(shè)：

1) 車輛OBU是誠實但好奇的.在協(xié)議執(zhí)行過程中，車輛OBU完全遵守協(xié)議執(zhí)行過程，中途不退出協(xié)議執(zhí)行，也不篡改協(xié)議運行結(jié)果，同時可以保留協(xié)議執(zhí)行過程中的中間結(jié)果，但是車輛OBU會試圖從中間結(jié)果中分析推導其他成員的真實身份.

2) SN是誠實的.負責對車輛OBU進行偽身份分配、偽身份溯源和身份認證，還會秘密保存車輛的CRP數(shù)據(jù)對.

3) HN是誠實的.HN負責CRP數(shù)據(jù)庫的建立和存儲，建立過程使用的是安全通道.HN同時負責在SN的協(xié)助下完成車輛的5G AKA過程，實現(xiàn)車輛注冊.

4) 攻擊者是惡意的.攻擊者可以竊聽、攔截、篡改、偽造協(xié)議傳輸?shù)南ⅲ€可以通過公開的和竊聽的信息冒充不同的實體，例如車輛OBU，SN等，進而竊取到會話密鑰等關(guān)鍵信息.

4 協(xié)議設(shè)計

4.1 初始階段

初始階段完成了HN上的PUF數(shù)據(jù)庫建立.在生產(chǎn)過程中，汽車廠商將PUF嵌入到車輛OBU內(nèi).HN通過車輛OBU中的PUF為車輛發(fā)布專屬的5G SIM卡，同時完成CRP數(shù)據(jù)庫的建立.建立過程為車輛OBU將注冊請求和自己的真實身份SUPI發(fā)送給HN，HN記錄后將隨機挑戰(zhàn)C發(fā)送給車輛OBU，車輛OBU將經(jīng)PUF計算后的響應R返回給HN，隨后HN根據(jù)響應計算輔助數(shù)據(jù)HLP，并以〈SUPI,C,R,HLP〉格式存儲.重復該過程多次直至滿足需求.注意，車輛OBU與HN之間的通信在安全通道中進行，沒有泄露風險.最終的數(shù)據(jù)庫會存儲到HN的UDR中，用于后序的身份認證.協(xié)議設(shè)計初始階段過程如圖2所示：

Fig. 2 Initial identity store process圖2 初始身份存儲過程

4.2 注冊階段

注冊階段主要在車輛OBU，SN和HN之間的5G AKA過程基礎(chǔ)上實現(xiàn)了車輛OBU的初始偽身份分配.該部分為了增強協(xié)議的兼容性將偽身份分配過程融合進5G AKA，加固車聯(lián)網(wǎng)的匿名通信.該階段的前7步與5G AKA基本一致，只是在HN發(fā)送給SN的認證響應中額外加入了n個〈Ci,Ri,HLPi〉組，以幫助SN實現(xiàn)車輛偽身份更新中的身份認證.后序車輛OBU的初始偽身份分配過程如圖3所示.

1) SN隨機生成挑戰(zhàn)，并將挑戰(zhàn)和認證成功標識Success發(fā)送給車輛OBU；

2) 車輛OBU接收到Success后，計算響應R=PUF(C)以及MAC2=H(C‖R).車輛使用5G AKA過程協(xié)商的密鑰KSEAF加密R，連同MAC2一起返回給SN；

3) SN使用KSEAF解出R驗證MAC2，確定接收的信息沒有被篡改.接著計算初始偽身份PID={HKSEAF(SUPI‖R‖T),T}，T為隨機生成的PID的有效期，并將PID和真實身份SUPI一起存入身份索引表.隨后計算MAC3=H(PID‖R)，并將PID和MAC3返回給車輛；

4) 車輛OBU驗證MAC3，確定接收的信息沒有被篡改，保存PID作為后序通信的初始偽身份.

Fig. 3 Vehicle registration process圖3 車輛注冊過程

4.3 偽身份更新

Fig. 4 Pseudo identity update圖4 偽身份更新

當車輛的PID超出有效期、車輛跨SN漫游或者車輛因故障進行修理后需要更新PID時，應當向SN申請重新分配偽身份.為了防止基站假冒和車輛假冒問題，偽身份更新過程需要車輛OBU和SN之間進行雙向認證，以保證通信雙方的可信度.本階段的具體實現(xiàn)過程如圖4所示:

1) 車輛OBU將更新請求以及當前PID發(fā)送給SN；

5) 車輛OBU驗證H21，確定信息是否被篡改.若驗證成功，則保存新的偽身份PID2用于后序的V2V通信.

4.4 車輛間認證和密鑰協(xié)商

5G車聯(lián)網(wǎng)中V2V通信主要通過PC5接口實現(xiàn)，標準中沒有提供有效的安全機制[2].為了解決這個問題，本文提出了基于PUF的車輛間認證與密鑰協(xié)商協(xié)議.協(xié)議中使用偽身份進行廣播和通信以保護車輛的隱私.由于車輛與車輛之間沒有共同秘密，協(xié)議使用SN存儲的CRP數(shù)據(jù)對完成通信雙方的身份認證，并通過橢圓曲線Diffie-Hellman密鑰交換(elliptic curve Diffie-Hellman key exchange, ECDH)算法完成車輛之間的密鑰協(xié)商，基本流程如圖5所示.為減少認證與密鑰協(xié)商過程中的通信開銷，同時降低時延、提高效率，本協(xié)議只需要進行4次通信：包括兩車與SN之間的1次單向通信和1次兩車間的握手通信，即可實現(xiàn)安全高效的認證與密鑰協(xié)商過程.相比于傳統(tǒng)的認證與密鑰協(xié)商協(xié)議，大幅降低了通信量，減少了通信所需時間，適應了車輛行駛過程中速度快、通信時間短、切換快的特殊情況，為V2V通信提供了高效可靠的安全機制.

Fig. 5 V2V authentication process summary圖5 V2V認證流程概要

Fig. 6 V2V authentication and key agreement process圖6 V2V認證和密鑰協(xié)商流程

協(xié)議中車輛OBU1和車輛OBU2在SN的幫助下不僅完成了雙向認證和密鑰協(xié)商，還同時實現(xiàn)了車輛OBU1和車輛OBU2對SN的認證.協(xié)議的具體流程如圖6所示.

5) 車輛OBU2驗證H12確認車輛OBU1的身份(只有OBU1能夠成功生成R1)，計算會話密鑰Key=a2Q1.

4.5 偽身份溯源

如果車輛對于其他車輛的傳輸數(shù)據(jù)或者行為存在質(zhì)疑，可以向相關(guān)監(jiān)管部門提出身份溯源請求.監(jiān)管部門對該車輛的數(shù)據(jù)和行為進行審核后，將偽身份傳輸給SN進行溯源.SN根據(jù)嫌疑車輛的偽身份在身份索引表中進行查詢，鎖定其真實身份.如果監(jiān)管部門和SN審核確認該車輛的數(shù)據(jù)或行為非法，則撤銷該車輛的偽身份，同時廣播偽身份進行預警，確保其他車輛能夠及時拒絕或者阻斷與該車輛的通信.由于車輛的偽身份是由SN進行分配和存儲，所以只有SN能夠?qū)囕v的偽身份進行溯源，滿足條件匿名性的要求.

5 安全性證明

5.1 形式化驗證工具分析

為了模擬協(xié)議中的異或和橢圓曲線計算，本節(jié)使用形式化分析工具AVISPA對協(xié)議進行安全性分析.因為協(xié)議的初始階段是在安全通道中完成，且注冊階段是在5G AKA框架的支持下實現(xiàn)，為這2部分的安全性提供了較強的保障.因此本節(jié)主要對協(xié)議的偽身份更新階段和車輛間認證與密鑰協(xié)商階段進行形式化分析.AVISPA實現(xiàn)了3種安全性質(zhì)的驗證：保密性(secret)、強認證性(witness/request)、弱認證性(witness/wrequest).本次分析主要使用后臺工具OFMC[33]和CL-Atse[34]，對協(xié)議的隨機數(shù)、密鑰、響應的保密性和車輛與SN之間的強認證性進行分析.而對于密鑰協(xié)商階段的前向、后向安全性，則通過在攻擊者已知信息中加入上一輪的會話密鑰來實現(xiàn).

在協(xié)議的分析過程中，需要先使用AVISPA自帶的HLPSL語言描述協(xié)議并保存成.hlpsl文件，描述內(nèi)容主要包括協(xié)議角色及其行為(role)、協(xié)議會話(session)、協(xié)議執(zhí)行環(huán)境(environment)和目標安全性質(zhì)(goal).role主要描述協(xié)議中各參與者的已知信息、變量、狀態(tài)、和行為(發(fā)送消息、接收消息和各類計算)；session主要用于實例化前面描述的role，并定義了相應的通道(channel)用于role發(fā)送和接收消息；environment主要用于實例化前面描述的session，并對已知常量進行定義；goal主要用于分析在role中描述的安全性質(zhì).注意，為了分析消息傳輸?shù)陌踩裕枰趨f(xié)議角色行為的后面對安全性質(zhì)進行描述.例如，車輛間認證與密鑰協(xié)商階段協(xié)議角色OBU1的部分描述：

State′Key′secret(A1,a1,{OBU1,OBU2,SN})∧

OBU1向OBU2發(fā)送H12后，通過witness,request和secret對H12的強認證性以及隨機數(shù)a1,r1的保密性進行驗證.協(xié)議描述完成后，使用AVISPA的圖形化工具SPAN打開文件，編譯后傳遞給后臺工具OFMC和CL-Atse進行分析.協(xié)議描述的詳細代碼已上傳至github(1)AVISPA形式化分析代碼地址：https://github.com/BUAA-CST/5G-V2V-AKA-Based-on-PUF.

AVISPA執(zhí)行結(jié)果如圖7所示，詳細的分析結(jié)果如表2所示.從分析結(jié)果來看，偽身份更新部分協(xié)議成功實現(xiàn)了響應R1和R2的保密性，保證只有SN能夠?qū)囕v的真實身份進行溯源，而車輛OBU、HN、攻擊者無法根據(jù)偽身份獲取真實身份，滿足條件匿名性要求.同時該部分協(xié)議還通過了根據(jù)H11，H12和H21這3個參數(shù)進行的車輛和SN之間的強認證性分析，有效保證了車輛與SN之間通信的可信度.車輛間認證和密鑰協(xié)商部分協(xié)議成功實現(xiàn)了響應R1和R2的保密性，保證在認證與密鑰協(xié)商過程中只有車輛OBU1、車輛OBU2、SN能夠相互確認身份，攻擊者不能進行重放和身份假冒攻擊.該部分還保證了隨機值a1和a2的保密性，保證攻擊者無法竊取隨機數(shù)，進而無法推導出最后協(xié)商出的會話密鑰.該部分協(xié)議還通過了根據(jù)HS2和H12兩個參數(shù)進行的車輛和SN之間的強認證性分析，有效保證了車輛之間以及車輛與SN之間的可信度.綜上，偽身份更新協(xié)議和車輛間認證與密鑰協(xié)商協(xié)議在保密性、完整性、強認證性上表現(xiàn)優(yōu)秀.

Fig. 7 AVISPA analysis results圖7 AVISPA分析結(jié)果

Table 2 Formal Verification Tool Analysis Results表2 形式化驗證工具分析結(jié)果

5.2 非形式化安全分析

本節(jié)對基于PUF的5G車聯(lián)網(wǎng)V2V匿名認證與密鑰協(xié)商協(xié)議的安全性進行非形式化分析：

1) 雙向認證

協(xié)議注冊階段通過5G AKA過程，成功實現(xiàn)了車輛與SN和HN的雙向認證，并通過5G AKA協(xié)商出的密鑰KSEAF來保證信息傳輸安全.協(xié)議偽身份更新階段，只有車輛和SN才能擁有正確的挑戰(zhàn)響應對.車輛通過SN發(fā)來的挑戰(zhàn)C和輔助數(shù)據(jù)HLP推導出真正的響應R，計算相應的哈希值H并與SN發(fā)送過來的哈希值進行對比，若一致則可證實SN的身份.SN通過檢驗隨機數(shù)S即可驗證車輛的身份，進而完成雙向認證.

協(xié)議的車輛間認證與密鑰協(xié)商階段，借助SN完成車輛間的雙向認證.車輛OBU2先通過SN發(fā)來的挑戰(zhàn)C2和響應R2的哈希值HS2驗證SN的身份，然后使用R2解出車輛OBU1的響應R1.接著，車輛OBU1通過車輛OBU2發(fā)送的挑戰(zhàn)C1和響應R1的哈希值H21驗證車輛OBU2的身份.最后，車輛OBU2通過車輛OBU1返回的隨機數(shù)S的哈希值H12驗證車輛OBU1的身份，完成車輛間的雙向認證.

2) 密鑰協(xié)商

協(xié)議的密鑰協(xié)商部分主要通過在PUF雙向認證過程ECDH算法來實現(xiàn)，可以成功抵抗中間人攻擊.通信雙方在雙向認證的同時交換了Q1=a1P和Q2=a2P，可以成功推導出密鑰Key=a1Q2=a2Q1.而攻擊者通過Q1和Q2無法推導出Key.

3) 條件匿名性

協(xié)議中，車輛在5G AKA過程后完成了偽身份的初始分配，在有效期內(nèi)使用偽身份進行密鑰協(xié)商和加密通信，并通過SN實現(xiàn)了車輛的偽身份溯源，滿足條件匿名性要求.在有效期結(jié)束后，可以執(zhí)行偽身份更新協(xié)議，以免攻擊者對偽身份進行追蹤鏈接.

4) 偽身份溯源

在偽身份生成和更新過程中，SN會將車輛的真實身份和偽身份PID一起存入身份索引表.一旦車輛對于其他車輛的傳輸數(shù)據(jù)或行為存在質(zhì)疑，可以向相關(guān)監(jiān)管部門發(fā)送身份溯源請求.監(jiān)管部門通過SN查表溯源鎖定質(zhì)疑車輛的真實身份，對車輛的數(shù)據(jù)和行為進行審核和處理.由于車輛的偽身份都是由SN進行分配和記錄的，所以只有SN能夠?qū)囕v身份進行溯源.

5) 前向后向安全

車輛之間的密鑰是通過Key=a1Q2=a2Q1導出的.由于每次密鑰都會通過新的隨機數(shù)重新生成，與車輛之間的私鑰以及其他會話密鑰沒有直接關(guān)系，無法進行推導，所以可以實現(xiàn)前向后向安全.

6) 抵抗重放攻擊

協(xié)議的偽身份更新階段，車輛和SN分別生成隨機數(shù)S2和S1，完成當前會話的雙向挑戰(zhàn)響應，抵抗重放攻擊.協(xié)議的車輛間認證與密鑰協(xié)商階段，車輛之間通過隨機生成的Q1和Q2，完成當前會話的雙向挑戰(zhàn)響應，抵抗重放攻擊.

7) 抵抗假冒攻擊

由于PUF的不可克隆性，攻擊者無法通過拆卸車輛OBU對PUF進行復制.而PUF的挑戰(zhàn)響應對只有SN和HN知道，所以攻擊者無法完成協(xié)議中的雙向認證，進而無法偽造合法的車輛.由于攻擊者無法獲取到車輛PUF的挑戰(zhàn)響應對，所以也無法假冒合法基站.

8) 抵抗中間人攻擊

在密鑰協(xié)商的過程中，參數(shù)Q1和Q2只有在完成身份驗證之后才會被接受并用于計算最后的會話密鑰.而攻擊者無法通過協(xié)議中傳輸?shù)膮?shù)推出身份驗證所需的挑戰(zhàn)響應對，且挑戰(zhàn)響應對使用后就會在SN中刪除，所以攻擊者無法通過身份認證，進而無法進行中間人攻擊.

9) 抵抗拒絕服務(wù)攻擊

在偽身份更新階段和認證與密鑰協(xié)商階段，除了第一步發(fā)送的消息外，都需要接收方通過消息中的哈希值進行完整性驗證和身份驗證，例如偽身份更新階段中車輛對H11的驗證和認證與密鑰協(xié)商階段中車輛對HS2的驗證等，使得車輛與核心網(wǎng)在協(xié)議執(zhí)行初始就能發(fā)現(xiàn)錯誤[13]，成功避免拒絕服務(wù)攻擊.

6 性能分析

本節(jié)將協(xié)議中認證與密鑰協(xié)商部分與已有的車聯(lián)網(wǎng)協(xié)議[17-18]和PUF認證協(xié)議[13-14]的認證與密鑰協(xié)商部分進行對比，在安全性、計算開銷和通信開銷3個方面進行詳細分析，結(jié)果如表3所示.其中為了評估計算開銷，我們定義TM是橢圓曲線上的倍點運算時間，TP是雙線性對的運算時間，TH為哈希的運算時間，TE為加密的運算時間，Tsp為字符串映射到點的運算時間，TPUF為PUF的運行時間.為了量化協(xié)議的計算開銷，本文參考Gope等人在MSP430微控制器上對仲裁器PUF的模擬結(jié)果以及在798 MHz主頻的CPU和256 MB的RAM上對其他運算的模擬結(jié)果[35]，在表3中給出各個運算的執(zhí)行時間.

Table 3 The Execution Time of the Typical Operation表3 典型運算操作的執(zhí)行時間

為了評估通信開銷，我們定義哈希值(包括帶密鑰和不帶密鑰的哈希函數(shù)計算)和隨機數(shù)的長度均為160 b，PUF使用的挑戰(zhàn)的位數(shù)為64 b[31],響應的位數(shù)為128 b[31]，輔助數(shù)據(jù)為8 b，時間戳的長度為32 b，參與者身份長度為128 b，偽身份的長度為160 b，橢圓曲線上點的長度為320 b.具體的比較結(jié)果如表4所示.

在通信開銷方面，由表4可以看出PUF認證協(xié)議相比于傳統(tǒng)的車聯(lián)網(wǎng)協(xié)議要更占優(yōu)勢，而本文的方案通過將輕量級的PUF應用到車聯(lián)網(wǎng)中，在保證安全的情況下將認證與密鑰協(xié)商過程壓縮至4次消息傳輸，成功實現(xiàn)了通信過程的極簡化，使得本方案的通信開銷相比于文獻[13-14,17-18]分別節(jié)省了32%,50%,72%和47%，減少了車輛間認證與密鑰協(xié)商的通信開銷，大大降低了時延.在計算開銷方面，文獻[14,17]相比于本方案需要執(zhí)行額外的雙線性對運算和更多的倍點計算，增加了方案的計算量.而文獻[13,18]雖然成功地避免了復雜運算所帶來的計算開銷，但是在Hash運算和倍點運算的使用次數(shù)上仍舊超過了本方案，且本方案的使用PUF計算的次數(shù)也小于文獻[13].本方案的計算開銷相比于文獻[13-14,17-18]分別減少了42%,83%,78%和60%，計算開銷減少明顯.

Table 4 Performance Comparison表4 性能比較

在安全性方面，文獻[13-14]沒有提供任何匿名性保護，在認證過程中直接傳輸真實身份，而文獻[17-18]和本方案借助偽身份實現(xiàn)了車輛之間的匿名安全通信，并保證只有SN能對偽身份進行溯源.另外，文獻[14,17-18]相比于文獻[13]和本方案，并沒有實現(xiàn)認證與密鑰協(xié)商協(xié)議中每一步消息的完整性驗證和身份驗證，只是對時間戳進行了簡單校驗，無法抵抗拒絕服務(wù)攻擊[13].其次，文獻[17-18]由于沒有使用PUF進行綁定，所以很容易被攻擊者竊取身份.而文獻[13-14]和本方案基于PUF的不可克隆性和唯一性，實現(xiàn)了車輛OBU與5G SIM卡的綁定，成功避免了身份假冒攻擊.最后，只有本方案能夠滿足5G-V2X對于V2V通信的隱私保護和安全傳輸?shù)男枨?從對比結(jié)果來看，本方案成功結(jié)合了表4中文獻的安全特性，在匿名性、抗拒絕服務(wù)攻擊、抗假冒攻擊等方面表現(xiàn)突出，在安全性方面的綜合屬性較強，優(yōu)于已有的協(xié)議.

7 總 結(jié)

5G車聯(lián)網(wǎng)已有的V2V匿名通信協(xié)議多數(shù)使用了較為復雜的運算和加密方式，計算和通信開銷過大.為了解決這個問題，本文提出了一個基于PUF的5G車聯(lián)網(wǎng)V2V匿名認證與密鑰協(xié)商協(xié)議，通過引入輕量級的PUF避免了V2V通信中的密鑰存儲、證書托管、數(shù)字簽名等操作，減少了至少42%的計算開銷.同時，將認證與密鑰協(xié)商過程精簡為1次兩車與SN之間的單向通信和1次兩車間的握手通信，減少了至少22%的通信開銷，大大降低了時延，適用于當前車輛高速行駛中頻繁切換SN的場景.另外，本協(xié)議通過PUF實現(xiàn)了車輛OBU與5G SIM卡的綁定，成功解決了因5G SIM卡拆卸導致的身份假冒問題，并通過在SN中構(gòu)建身份索引表實現(xiàn)對可疑車輛的追查，滿足條件匿名性.本協(xié)議通過了AVISPA的形式化分析，安全性可以滿足車聯(lián)網(wǎng)的認證需求.下一步我們將改進PUF偽身份分配和溯源過程，為更多的5G V2X高級應用場景設(shè)計輕量級安全協(xié)議.