基于擴(kuò)展量子密鑰分發(fā)的車聯(lián)網(wǎng)增強(qiáng)身份認(rèn)證方案*

石琴 李想 程騰 王川宿 王文祥

（1.合肥工業(yè)大學(xué)，自動(dòng)駕駛汽車安全技術(shù)安徽省重點(diǎn)實(shí)驗(yàn)室 安徽省智慧交通車路協(xié)同工程研究中心，合肥 230009；2.奇瑞汽車股份有限公司，蕪湖 241006）

主題詞：車聯(lián)網(wǎng) 量子保密通信 身份認(rèn)證 量子密鑰分發(fā)

1 前言

伴隨著智能網(wǎng)聯(lián)汽車滲透率的逐漸提高，其涉及到的信息數(shù)據(jù)交換的場(chǎng)景也日益增多[1]，這些數(shù)據(jù)涉及到車主的敏感隱私數(shù)據(jù)[2]。黑客能夠利用車聯(lián)網(wǎng)平臺(tái)的漏洞，非法獲取這些數(shù)據(jù)，從而威脅用戶的生命安全、財(cái)產(chǎn)安全以及隱私安全[3]。因此，有條件的身份認(rèn)證和密鑰協(xié)商機(jī)制被認(rèn)為是保障車聯(lián)網(wǎng)安全通信的有效措施[4]。

當(dāng)前的車聯(lián)網(wǎng)身份認(rèn)證方案大多基于經(jīng)典公鑰密碼算法[5]，如RSA、ECC、Diffie-Hellman，這些方法的安全性是建立在整數(shù)分解和離散對(duì)數(shù)這一系列數(shù)學(xué)問題上的。然而，這些傳統(tǒng)密碼算法已被證明可以被量子計(jì)算機(jī)破解[6]。因此，能夠抵抗量子攻擊的身份認(rèn)證方案受到了研究者的關(guān)注，現(xiàn)有方案大多采用基于格的加密和簽名算法[7-9]，依賴后量子密碼（Post-Quantum Cryptography，PQC）算法的長(zhǎng)期安全性，若PQC算法被破解，隱私數(shù)據(jù)將面臨泄露的風(fēng)險(xiǎn)。

量子保密通信是保障未來通信安全的重要技術(shù)手段[10]。其中，量子密鑰分發(fā)（Quantum Key Distribution，QKD）作為最先實(shí)用化的量子技術(shù)，是目前唯一被嚴(yán)格證明的無條件安全的密鑰分發(fā)方式[11]。將QKD應(yīng)用于車聯(lián)網(wǎng)的實(shí)際場(chǎng)景中，可以極大地確保數(shù)據(jù)的前向安全性。

綜合考慮車聯(lián)網(wǎng)場(chǎng)景下的量子密鑰分發(fā)方式和身份認(rèn)證的安全性，本文提出了一種基于擴(kuò)展量子密鑰分發(fā)的車聯(lián)網(wǎng)增強(qiáng)身份認(rèn)證方案。該方案包括：

a.提出適用于車聯(lián)網(wǎng)的擴(kuò)展量子密鑰分發(fā)方法。在無線網(wǎng)絡(luò)中，通過集成量子安全模塊的車載通信終端與量子安全云服務(wù)器（Quantum Security Cloud Server，QSC）進(jìn)行量子密鑰協(xié)商；在有線網(wǎng)絡(luò)中，通過布置在QSC與車輛云服務(wù)提供商（Vehicle Cloud Service Provider，VSP）的量子密鑰分發(fā)設(shè)備，完成量子密鑰的安全分發(fā)。

b.提出適用于后量子時(shí)代的車聯(lián)網(wǎng)身份認(rèn)證方案。方案基于PQC的加密和簽名算法進(jìn)行初次身份認(rèn)證，通過身份認(rèn)證量子密鑰進(jìn)行增強(qiáng)認(rèn)證，驗(yàn)證硬件的合法性。方案結(jié)合QKD與PQC算法完成車輛和VSP之間的身份認(rèn)證和密鑰協(xié)商，只需要PQC 算法具有短時(shí)安全性。最后對(duì)方案進(jìn)行安全分析和性能對(duì)比，以證明提出方案的安全性和適用性。

2 安全通信系統(tǒng)架構(gòu)

針對(duì)車聯(lián)網(wǎng)的車云通信場(chǎng)景，本文提出了如圖1所示的系統(tǒng)架構(gòu)。該系統(tǒng)架構(gòu)包括QSC、VSP、QKD設(shè)備、智能網(wǎng)聯(lián)汽車以及基礎(chǔ)設(shè)施。

圖1 系統(tǒng)通信架構(gòu)

a.量子安全云服務(wù)器（QSC）：QSC作為可信賴的量子安全中心，為系統(tǒng)中的所有用戶和云服務(wù)提供商提供注冊(cè)服務(wù)。QSC 和VSP 中集成的量子密鑰分發(fā)設(shè)備可以相互進(jìn)行身份認(rèn)證，組成QKD 網(wǎng)絡(luò)。QSC 通過對(duì)預(yù)置量子密鑰的管理，在車云間形成擴(kuò)展的QKD網(wǎng)絡(luò)，實(shí)現(xiàn)量子密鑰的無線分發(fā)。

b.車輛云服務(wù)提供商（VSP）：VSP 能夠?yàn)檐囕v提供各種網(wǎng)絡(luò)服務(wù)，例如智能交通服務(wù)、道路信息服務(wù)、智能停車服務(wù)等。VSP在與QSC身份認(rèn)證成功后，能夠?yàn)檐囕v提供所需要的云服務(wù)。VSP 也部署有QKD 設(shè)備，能夠與QSC進(jìn)行會(huì)話密鑰的協(xié)商。

c.量子密鑰分發(fā)（QKD）設(shè)備：QKD 設(shè)備成對(duì)部署，采用BB84協(xié)議通過經(jīng)典信道和量子信道協(xié)商量子密鑰。

d.智能網(wǎng)聯(lián)汽車：安裝有車載通信終端（Telematics BOX，T-BOX）、車載單元（On Board Unit，OBU），具備聯(lián)網(wǎng)和通信功能的智能車輛。車載通信終端集成了防篡改的量子安全模塊（Quantum Security Entity，QSE），其可以安全存儲(chǔ)預(yù)置的量子密鑰，并在預(yù)置量子密鑰的保護(hù)下，與QSC 進(jìn)行會(huì)話密鑰的協(xié)商，實(shí)現(xiàn)量子密鑰在擴(kuò)展型QKD網(wǎng)絡(luò)下的分發(fā)。

e.基礎(chǔ)設(shè)施：安裝在道路兩側(cè)，具有快速傳輸速度的設(shè)備。其僅作為數(shù)據(jù)傳輸?shù)闹虚g介質(zhì)，不具備計(jì)算能力，支持車輛通信的全域覆蓋。

3 方案流程設(shè)計(jì)

本研究方案包括系統(tǒng)初始化、注冊(cè)、身份認(rèn)證和量子密鑰協(xié)商4個(gè)流程。表1為方案設(shè)計(jì)所需使用的符號(hào)及對(duì)應(yīng)定義。總體流程如圖2所示。

表1 方案所需符號(hào)及相應(yīng)定義

圖2 方案整體流程

3.1 系統(tǒng)初始化

QSC生成公私鑰對(duì)pkQ和skQ，并選擇兩個(gè)無碰撞的單向哈希函數(shù)h和h1，然后QSC 將所選擇的系統(tǒng)參數(shù)pkQ、h、h1，選擇對(duì)稱加密算法（Advanced Encryption Standard，AES）進(jìn)行公開。車輛生成簽名公私鑰對(duì)pkV和skV，VSP 生成簽名公私鑰對(duì)pkS和skS,車輛和VSP 向QSC公開簽名公鑰。

3.2 注冊(cè)

注冊(cè)階段是由車輛、QSC和VSP通過安全通道執(zhí)行的交互式協(xié)議。QSC 負(fù)責(zé)管理車輛和VSP 的身份信息。車輛的車載通信終端集成了已經(jīng)充注了預(yù)置密鑰的量子安全模塊，預(yù)置密鑰的信息在QSC中也有記錄存儲(chǔ)。另外，VSP的可信存儲(chǔ)空間存儲(chǔ)有購(gòu)買云服務(wù)的車輛的VIDi。

首先進(jìn)行車輛注冊(cè)，車輛用戶需要加入車聯(lián)網(wǎng)云服務(wù)網(wǎng)絡(luò)，獲得云服務(wù)功能。因此用戶和車輛需要執(zhí)行以下步驟提前向QSC注冊(cè)：

a.車輛用戶設(shè)置登錄賬號(hào)IDUi和密碼PWUi，并計(jì)算UPWi=h1(IDUi‖PWUi) 。通過安全通道，發(fā)送注冊(cè)信息mR1={pkV,UPWi,VIDi} 到QSC。

b.QSC接收到消息mR1后，計(jì)算Ai=h(UPWi)⊕VIDi，將Ai在數(shù)據(jù)庫(kù)的現(xiàn)有身份信息中進(jìn)行檢索。若檢索成功，則拒絕注冊(cè)請(qǐng)求。反之，將UPWi和VIDi進(jìn)行綁定，并在數(shù)據(jù)庫(kù)中記錄{Ai,pkV}，向?qū)?yīng)車輛發(fā)送注冊(cè)反饋信息mR2={Ai}。

c.車輛接收到mR2之后，計(jì)算用戶登錄的驗(yàn)證參數(shù)Bi=h(Ai‖VIDi)，并存儲(chǔ)到車載終端。

其次進(jìn)行VSP 注冊(cè)，VSP 需要提前在QSC 進(jìn)行注冊(cè)，注冊(cè)步驟為：

a.VSP 提供唯一的身份標(biāo)識(shí)SID，通過安全通道將注冊(cè)消息mR3={SID,pkS}發(fā)送到QSC。

b.QSC 接收到mR3后，將S=h1(SID)和SID進(jìn)行綁定，并在數(shù)據(jù)庫(kù)中記錄{S,pkS}。

c.VSP將S安全存儲(chǔ)。

3.3 身份認(rèn)證

在車輛獲得VSP提供的云服務(wù)之前，需要向QSC進(jìn)行身份認(rèn)證。QSC不僅校驗(yàn)車輛身份的合法性，還幫助車輛對(duì)VSP 進(jìn)行身份認(rèn)證。車輛和VSP 均需要通過向QSC的增強(qiáng)身份認(rèn)證，以保證它們的身份和硬件的雙重合法性，才能夠進(jìn)行后續(xù)會(huì)話密鑰的協(xié)商。身份認(rèn)證的具體流程如圖3所示。

注冊(cè)階段完成后，車輛需驗(yàn)證用戶身份的合法性。用戶在車機(jī)端輸入賬號(hào)IDUi和密碼PWUi。車輛終端收到賬號(hào)密碼之后，計(jì)算=h(Ai‖VIDi)，并檢查等式=是否成立，若成立，則表明用戶是合法的。

其次，車輛向QSC進(jìn)行身份認(rèn)證。為了抵御重放攻擊，車輛選擇量子隨機(jī)數(shù)RV，然后從QSE 中提取認(rèn)證密鑰PFKV及其對(duì)應(yīng)的密鑰標(biāo)識(shí)KtagV，并計(jì)算ui=h(VIDi)⊕PFKV。然后，使用QSC 的公鑰對(duì)密鑰信息進(jìn)行加密，獲得KV=EnpkQ(ui‖KtagV)，并生成消息摘要DV=h(KV)。接著，車輛使用私鑰skV對(duì)消息摘要進(jìn)行簽名，生成簽名值TV=Sign(DV‖RV,skV)。最后，計(jì)算哈希值Si=h(KV‖TV‖tSi)用于完整性校驗(yàn)。車端將認(rèn)證請(qǐng)求消息mA1={KV,TV,RV,Si,tSi} 發(fā)送給QSC。

兩次認(rèn)證確認(rèn)車輛合法后，QSC 選擇量子隨機(jī)數(shù)RQ，計(jì)算消息摘要DQ=h1(VIDi) 和簽名值TQ=Sign(DQ‖RQ,skQ)，用于VSP 的身份認(rèn)證。最后QSC生成完整性校驗(yàn)碼M=h(TQ‖RQ‖tS)，并將認(rèn)證請(qǐng)求消息mA2={TQ,RQ,M,tS}發(fā)送給VSP。

VSP 收 到mA2后，首先通過校驗(yàn)tR-tS<Δt、M=h(‖‖tS)來確保消息的完整性和有效性。再通過Verify(,DQ‖RQ,pkQ)驗(yàn)證QSC的消息簽名。VSP將DQ與存儲(chǔ)空間中VID的哈希值做匹配，若成功，則表示車輛具有VSP服務(wù)。

然后VSP 從QSE 中提取認(rèn)證密鑰PFKS及其對(duì)應(yīng)的密鑰標(biāo)識(shí)KtagS，并使用公鑰pkQ對(duì)密鑰信息進(jìn)行加密，得到KS=EnpkQ(S‖PFKS‖KtagS)，并生成消息摘要DS。接著選擇量子隨機(jī)數(shù)RS，使用VSP 的私鑰skS簽名TS=Sign(DS‖RS,skS) 。最后產(chǎn)生完整性校驗(yàn)碼W=h(KS‖TS‖RS‖tS)，并將認(rèn)證請(qǐng)求消息mA3={KS,TS,RS,W,tS}發(fā)送給QSC。

車輛收到mA4后，校 驗(yàn)tRi-tSi<Δt和Pi=h(PFKV‖VIDi‖tSi)，成功則車輛認(rèn)證完成。VSP 收到mA5后，校驗(yàn)tR-tS<Δt和Q=h(PFKS‖S‖tS)，成功則VSP認(rèn)證完成。

3.4 量子密鑰協(xié)商

如圖2 所示，在量子密鑰協(xié)商階段，有兩種密鑰分發(fā)方式。第一種：QSC和VSP之間通過QKD網(wǎng)絡(luò)有線連接完成量子密鑰的分發(fā)，依賴的是量子密鑰分發(fā)協(xié)議。第二種：在QSE中預(yù)置量子密鑰，在車輛和QSC之間實(shí)現(xiàn)擴(kuò)展的量子密鑰分發(fā)。具體的密鑰分發(fā)流程如下：

a.車輛從量子安全模塊中提取量子密鑰QKi及其對(duì)應(yīng)密鑰標(biāo)識(shí)KtagQKi，計(jì)算會(huì)話密鑰SKi=h(QKi‖PFKV‖RV) 并保存 。隨后，計(jì)算Ki=h(KtagV‖tSi)⊕KtagQKi，生成消息完整性驗(yàn)證碼Xi=h(Ki‖tSi)，并將請(qǐng)求同步會(huì)話密鑰消息mK1={Ki,Xi,tSi}發(fā)送給QSC。

4 安全性證明

4.1 安全模型

參考其他研究者提出的認(rèn)證協(xié)議[12-13]后，本研究使用真實(shí)或隨機(jī)模型（Real or Random，ROR），假設(shè)方案中身份認(rèn)證和密鑰協(xié)商協(xié)議有用戶、QSC 和VSP 三種實(shí)體。這些實(shí)體中包含的多個(gè)實(shí)例之間能夠同時(shí)進(jìn)行身份認(rèn)證。每一個(gè)實(shí)例都能夠看作一個(gè)獨(dú)立的預(yù)言機(jī)。預(yù)言機(jī)存在三種狀態(tài)，分別為：“Accept”表示預(yù)言機(jī)接收到正確的信息；“Reject”表示預(yù)言機(jī)接收到錯(cuò)誤信息；“⊥”表示預(yù)言機(jī)輸出為空。設(shè)定是車輛的第a個(gè)實(shí)例，為QSC的第b個(gè)實(shí)例，為VSP的第c個(gè)實(shí)例。身份認(rèn)證協(xié)議的安全性是在多項(xiàng)式時(shí)間攻擊者A和挑戰(zhàn)者C之間的“查詢-響應(yīng)游戲”證明的。

定義1（對(duì)手能力）：攻擊者A可以執(zhí)行以下查詢來攻擊認(rèn)證方案，并獲取挑戰(zhàn)者的查詢結(jié)果。

hi(mi)：當(dāng)攻擊者A通過mi問詢此預(yù)言機(jī)時(shí)，挑戰(zhàn)者C 在列表Lhi中生成一個(gè)隨機(jī)數(shù)ri，并將（mi，ri）儲(chǔ)存在列表中。然后，挑戰(zhàn)者C返回ri（i=1，2）到攻擊者。

Execute（）：監(jiān)聽模式。攻擊者A能夠訪問可信實(shí)例間的認(rèn)證過程。Oracles 在接收到此查詢時(shí)，根據(jù)認(rèn)證和密鑰協(xié)商協(xié)議，返回、與之間的交互消息{mA1，mA2，mA3，mA4，mA5，mK1}。

Send(//，mi)：主動(dòng)攻擊，模擬攻擊者A向，或發(fā)送認(rèn)證消息m。當(dāng)消息m有效時(shí)，預(yù)言機(jī)會(huì)接受m，并根據(jù)認(rèn)證和密鑰協(xié)商方案將響應(yīng)消息發(fā)送給攻擊者A。否則返回拒絕響應(yīng)。

Revea（l，）：通過執(zhí)行該查詢，挑戰(zhàn)者C 會(huì)將相關(guān)的會(huì)話密鑰SKi/SKj發(fā)送給攻擊者A。

Corrup（t，）：通過執(zhí)行該查詢，攻擊者A可以獲得存儲(chǔ)在和安全存儲(chǔ)空間中的所有秘密參數(shù)。

Test()：該查詢會(huì)對(duì)會(huì)話密鑰的語義安全性進(jìn)行模擬。在游戲開始前，將硬幣翻轉(zhuǎn)，并且只有攻擊者A知道硬幣的值。這個(gè)值決定了此預(yù)言機(jī)的輸出。若A執(zhí)行此查詢并建立了新鮮的會(huì)話密鑰SKi，當(dāng)b=1時(shí)，挑戰(zhàn)者C 返回正確的會(huì)話密鑰SKi到A；否則當(dāng)b=0 時(shí)，C向A返回與SKi長(zhǎng)度相同的隨機(jī)字符串。

定義2（語義安全）：攻擊者A 在執(zhí)行完上述查詢后，輸出其在Test 預(yù)言機(jī)中猜測(cè)的數(shù)值b。如果攻擊者在沒有執(zhí)行過Reveal 的前提下，猜測(cè)的數(shù)值是正確的，則認(rèn)為攻擊者成功破壞了認(rèn)證和密鑰協(xié)商方案(Authentication and Key Agreement，AKA)的語義安全性。其中A的優(yōu)勢(shì)如下：

4.2 安全證明

在證明所提出的車聯(lián)網(wǎng)增強(qiáng)身份認(rèn)證方案在上述安全模型下能夠滿足AKA安全的前提下，定義Γ為所提出的方案。若攻擊者A 能夠偽造正確的登錄和認(rèn)證信息，則認(rèn)為攻擊者A破壞了Γ。

定理1：如果攻擊者A 違反認(rèn)證協(xié)議的優(yōu)勢(shì)在任何多項(xiàng)式時(shí)間內(nèi)都可以被忽略，就稱Γ是AKA 安全的得到。qs,qe,qd,qh和qh1分別表示發(fā)送查詢、執(zhí)行查詢、加密/解密查詢、h和h1查詢的次數(shù)。|P|、|C|和|R|分別表示用戶密碼、密文、隨機(jī)數(shù)范圍空間的長(zhǎng)度。A 在破解方案Γ的會(huì)話密鑰安全性方面的優(yōu)勢(shì)可以估計(jì)為：

式中，L為哈希值長(zhǎng)度；Lu為用戶身份長(zhǎng)度。

證明：構(gòu)建如下游戲來證明攻擊者A破解該方案的優(yōu)勢(shì)從游戲開始到游戲結(jié)束都可以被忽略，從而證明定理1。具體證明過程如下：

游戲0：在ROR模型中，A對(duì)Γ執(zhí)行的實(shí)際攻擊，成功的概率與攻破本方案協(xié)議的概率相同。由定義2可得：

游戲1：此游戲模擬了由哈希列表LC-A維護(hù)的哈希預(yù)言機(jī)h和h1。當(dāng)A 使用消息m執(zhí)行查詢時(shí)，C 首先檢查哈希列表，若對(duì)應(yīng)的元組（M，h（M））值已存在，則返回該值。否則產(chǎn)生一個(gè)隨機(jī)數(shù)并將值添加到哈希列表，同時(shí)將該值發(fā)送給A。對(duì)攻擊者來說，游戲0 和游戲1是無法區(qū)分的，由此得到：

游戲2：模擬游戲1 中所有的預(yù)言機(jī)。如果發(fā)生以下碰撞事件，則游戲終止?；谏浙Ｕ摽梢缘玫剑?/p>

事件1：認(rèn)證協(xié)議中使用的兩個(gè)哈希函數(shù)h和h1發(fā)生碰撞的最大概率是。

事件2：認(rèn)證和密鑰協(xié)商協(xié)議中發(fā)送的消息中的隨機(jī)數(shù)RV、RO和RS發(fā)生碰撞的概率是。

事件3：認(rèn)證協(xié)議中使用簽名和非對(duì)稱加密發(fā)生碰撞的最大概率是。

游戲3：模擬了游戲2中所有的預(yù)言機(jī)。游戲中還假設(shè),如果發(fā)生A可以不通過相應(yīng)的哈希預(yù)言機(jī)查詢，只通過Send查詢就能夠正確偽造身份認(rèn)證流程中的關(guān)鍵參數(shù)M、Q、W、Pi、Si、Xi的情況，則游戲3終止。除非車輛否認(rèn)Si，VSP否認(rèn)W或者QSC否認(rèn)M和Xi。因此得到：

游戲4：修改發(fā)送查詢。C 隨機(jī)選擇一個(gè)匹配的實(shí)例（,,），并按照?qǐng)D3 的流程答復(fù)A 的Send查詢。設(shè)定一個(gè)用來解決基于格的簽名和加密算法的方案，并假定A可以在多項(xiàng)式時(shí)間內(nèi)解決基于理想格問題的難題[14]，攻擊者A的優(yōu)勢(shì)為：

在執(zhí)行完Send查詢后，A獲得身份認(rèn)證和密鑰協(xié)商階段的交互信息。隨后，A將進(jìn)行qS次Corrup（t，）詢問，若能夠成功區(qū)別SKi=h(QKi‖S‖ui)和隨機(jī)數(shù)，那么C結(jié)束游戲。此時(shí)認(rèn)為A已經(jīng)成功通過了身份認(rèn)證和密鑰協(xié)商協(xié)議，獲得游戲的勝利。該結(jié)果需以下列事件發(fā)生為前提:

事件4：A 想要成功模擬車輛用戶并偽造消息mA1={KV,TV,RV,Si,tSi}，其必須正確計(jì)算Si、RV和(IDui,PWUi)。A 通過Corrup（t）獲得車輛存儲(chǔ)的秘密參數(shù)(Bi,VID,PFKV)。若A 想要從Bi正確猜測(cè)出用戶(IDUi,PWUi)組合，需要執(zhí)行qS次Corrup（t），正確輸出mA1的概率為：

事件5：A 想要成功模擬VSP 并偽造消息mA3={KS,TS,RS,W,tS}，那么必須正確計(jì)算W，通過Corrupt（）獲得VSP存儲(chǔ)的秘密參數(shù)(Q,PFKS,S)。若A想要正確猜測(cè)出W和RS的組合，需要執(zhí)行qS次Corrupt（），正確輸出mA3的概率為：

事件6：A身份認(rèn)證成功后，想要模擬QSC并偽造密鑰協(xié)商消息mK1={Ki,Xi,tSi}，那么其必須獲得Ki和Xi，正確輸出mK1的概率為：

事件7：A 想要獲取正確的會(huì)話密鑰SKi=h(QKi‖PFKV‖RV)，在h預(yù)言機(jī)的幫助下，正確獲得的概率為：

因此，得到通過游戲5的可能性為：

綜上所述，可得到攻擊者A的優(yōu)勢(shì)為：

5 性能分析

為了驗(yàn)證方案的有效性，搭建試驗(yàn)環(huán)境，將所提出方案的身份認(rèn)證和密鑰協(xié)商階段的計(jì)算開銷與現(xiàn)有方案進(jìn)行比較，其中包括Ying[15]、Wang[16]、Cui[17]、Zhang[18]提出的方案。

5.1 試驗(yàn)環(huán)境搭建

在試驗(yàn)室中搭建模擬車聯(lián)網(wǎng)真實(shí)場(chǎng)景的硬件環(huán)境。如圖4 所示，包括具備聯(lián)網(wǎng)功能的ROS 小車、搭載QSE 且能夠加密車端數(shù)據(jù)的車載通信終端、為車輛提供云服務(wù)的VSP、管理車輛和VSP 身份認(rèn)證、管理量子密鑰的QSC、量子密鑰分發(fā)設(shè)備QKD 以及調(diào)試電腦。

圖4 硬件試驗(yàn)環(huán)境

5.2 計(jì)算開銷對(duì)比

計(jì)算提出方案與對(duì)比方案所用到的重要密碼算法的計(jì)算開銷，并將認(rèn)證方案中所用到的密碼運(yùn)算時(shí)間進(jìn)行統(tǒng)計(jì)對(duì)比。這些密碼算法包含：模指數(shù)運(yùn)算、標(biāo)量乘法運(yùn)算、NTRU 加密/解密運(yùn)算、Falcon 簽名/驗(yàn)簽運(yùn)算、哈希運(yùn)算。為了實(shí)現(xiàn)對(duì)比的客觀性，設(shè)定Hash 算法為SHA-256，對(duì)稱加密算法為AES。通過參考NIST 在局部模型下定義的第一類安全類別[19]和Zhang[15]提出方案中設(shè)定的參數(shù)，設(shè)定NTRU 加密算法的關(guān)鍵參數(shù)為：N=503；p=3；q=2 048，設(shè)定Falcon 簽名算法的關(guān)鍵參數(shù)為：k=256；R=12 289。為了避免硬件差異，在同樣的硬件（英特爾酷睿i7-12700H）上計(jì)算各算法的計(jì)算開銷，結(jié)果如表2所示。

表2 各算法的計(jì)算開銷

將各方案的計(jì)算開銷進(jìn)行對(duì)比，并假設(shè)是在單個(gè)車輛和單個(gè)VSP 的場(chǎng)景下，分析車端和服務(wù)端的計(jì)算開銷。Ying[15]、Wang[16]、Cui[17]的方案是建立在橢圓曲線密碼算法的基礎(chǔ)上。Zhang[18]和本方案則是基于格的密碼算法來建立安全的身份認(rèn)證方案。計(jì)算開銷的方案對(duì)比如表3所示。

表3 各方案的計(jì)算開銷對(duì)比

在Ying[15]的方案中，車輛需要執(zhí)行4次點(diǎn)乘、2次點(diǎn)加和7次單向哈希運(yùn)算，開銷為1.406 5 ms；服務(wù)端包括可信機(jī)構(gòu)（QSC）和服務(wù)提供者（VSP），需要執(zhí)行4 次點(diǎn)乘、2次點(diǎn)加和3次單向哈希運(yùn)算，開銷為1.406 1 ms，總計(jì)算開銷為2.812 6 ms。同理，可以計(jì)算出Wang[16]，Cui[17]和Zhang[18]方案的總計(jì)算開銷，分別是3.505 9 ms、2.775 3 ms 和1.122 3 ms。在本研究提出的增強(qiáng)身份認(rèn)證方案中，車輛需要執(zhí)行1次加密、1次簽名和7次單向哈希運(yùn)算；QSC執(zhí)行2次解密、1次簽名、2次驗(yàn)簽和10次單向哈希運(yùn)算；VSP執(zhí)行1次加密、1次簽名、1次驗(yàn)簽和5次單向哈希運(yùn)算。總計(jì)算開銷為1.689 ms。圖5為各方案的計(jì)算開銷結(jié)果。

圖5 計(jì)算開銷測(cè)試結(jié)果

可以看出Zhang[18]的方案計(jì)算開銷最小，這是因?yàn)槠洳捎玫氖腔诟竦募用芎秃灻惴?，?jì)算開銷小于基于橢圓曲線的標(biāo)量乘法運(yùn)算。本研究的方案計(jì)算開銷略大于Zhang 的方案，是由于本方案對(duì)車輛、QSC 以及VSP 的消息進(jìn)行了簽名，保證了消息的不可否認(rèn)性，方便在復(fù)雜交通環(huán)境下對(duì)車輛進(jìn)行管理。因此本方案的安全性優(yōu)于Zhang 的方案，顯著地減少了車端開銷，性能提升為60.43%～70.72%。

6 結(jié)束語

本文提出了一種適用于后量子時(shí)代的車云通信場(chǎng)景下的增強(qiáng)身份認(rèn)證方案。方案實(shí)現(xiàn)了可擴(kuò)展的量子密鑰分發(fā)，能夠在車聯(lián)網(wǎng)環(huán)境中兼顧無線和有線通信網(wǎng)絡(luò)，進(jìn)行安全高效的身份認(rèn)證和密鑰協(xié)商。對(duì)提出方案的安全性進(jìn)行評(píng)估，并搭建了硬件實(shí)驗(yàn)環(huán)境，測(cè)試方案的通信性能和密鑰協(xié)商過程，并與其他方案進(jìn)行對(duì)比。結(jié)果表明，所提出的方案能夠完成量子密鑰在車聯(lián)網(wǎng)通信場(chǎng)景的安全協(xié)商，適用于后量子時(shí)代的車聯(lián)網(wǎng)領(lǐng)域。