基于双线性对的车联网匿名身份认证

王森

（国家信息中心信息与网络安全部 北京市 100045）

车联网深入融合了新一代网络技术与汽车、道路交通运输、人工智能、云计算等多项技术，具有强烈的市场需求和巨大的发展潜力。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出“积极稳妥发展车联网”工作任务，为我国车联网高质量发展指明了方向。2021年9月，工业和信息化部印发《关于加强车联网网络安全和数据安全工作的通知》，在保障车辆网络安全方面提出“强化安全认证”“加强个人信息与重要数据保护”等工作要求。2021年7月，国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、交通运输部印发《汽车数据安全管理若干规定（试行）》对汽车数据处理活动中的个人信息保护提出要求。2020年12月，国务院办公厅印发《新能源汽车产业发展规划（2021-2035年）》提出“打造网络安全保障体系”“健全新能源汽车网络安全管理制度，构建统一的汽车身份认证和安全信任体系，推动密码技术深入应用”。

车联网英文缩写为V2X，其中V代表车辆，X代表任何与车交互信息的对象，当前X主要包含车、交通路侧基础设施及网络，2是英文“to”的谐音，代表在车载网络中将车辆与“一切事物”相连接。与传统汽车相比，智能汽车依托车联网，能够为用户提供丰富的网络信息服务以及增强行车安全、智能驾驶、导航等交通服务，实现了安全、舒适、便利的交通环境，这些服务依赖大量信息交互。车联网交互数据包含了车辆信息、运动状态、音频视频图像、生物识别特征等，可能含有定位位置、行驶轨迹、驾驶员乘客身份等敏感信息。由于车辆运动存在规律性，如工作日上下班行程等，黑客根据多种信息推演出关联的现实世界信息，导致敏感个人信息泄露，造成巨大的安全隐患。

为满足车联网隐私保护特性，实现车辆可信信息交互并且充分保护用户身份等敏感个人信息，本文提出基于双线性对和消息验证码密码保护方案，基于双线性对密码实现了匿名认证。经认证的用户，个人敏感信息能够被充分保护，同时向网络环境中的其他车辆节点或路侧基础设施证明自己的可信身份，为实现可信安全的车辆交通环境提供了有效支撑。

1 车联网隐私保护相关研究

1.1 隐私保护需求

安全是车辆运行的前提，车联网为用户提供服务时必须满足安全性要求。由于车联网开放性和移动性特点，满足传统安全需求外，还应该考虑真实性、机密性、可用性、抗抵赖性、可认证性，以及隐私保护等需求。真实性要求车联网节点之间的通信数据没有被篡改，没有被截取部分或者添加额外数据；机密性要求节点之间的数据不被无关节点监听，或采用数据加密后监听者无法还原明文；可用性应满足车联网环境中对数据通信接口响应时间、误码率等要求；抗抵赖应满足车联网中节点信息发送的确认，不允许节点在发送消息后抵赖，避免恶意节点通过发送大量消息占用通信带宽；可认证性要确保节点的身份信息，以满足车联网应用中信任需要，保证即使存在恶意节点，也能够定位并进一步对其采取断网措施；隐私保护应确保涉及敏感个人信息，如驾驶路线、车辆标识等信息与车辆和驾驶员乘客之间的对应关系等不会被泄露。

然而车联网环境下，车-车之间和车-路侧设施之间信息交互频繁，在车辆行驶过程中网络拓扑结构变化快，需要车辆用户频繁广播身份信息，可能暴露车主的身份隐私和位置，给攻击者提供了攻击点。因此通常采用认证机制提升车联网的安全性，一方面确保未经认证的用户无法连接到网络，阻止恶意用户通过网络监听获取其他车辆上报或广播的信息。另一方面实现用户行为的有效监管，经认证后，恶意攻击行为会被详细记录，对攻击者起到了有效警示作用。虽然认证信息是必要的安全手段，但是会暴露合法用户的个人信息。一种典型的场景，恶意用户在路上不断广播信息对周边车辆进行信息刺探查询，或通过扫描方式获取周边车辆信息，采集大量信息，直接用于数据买卖或进一步加工后形成个人行程轨迹的高精度数据，对用户信息安全和人身安全造成较大威胁。因此在保护隐私方面，车联网隐私保护应满足匿名性、不可关联性、机密性、似真否认性等特点。

匿名认证协议基于保护用户身份隐私的身份认证方案，能够在不泄露用户身份的情况下，一方面满足身份认证要求，防止攻击者肆意占用通信资源造成通信泛滥，同时保护车联网中的身份隐私安全。

1.2 相关研究

1.2.1 基于匿名证书认证

2007年基于匿名数字证书认证方案被提出。证书认证方式通过交换公钥数字证书，并且采用数字签名的方式进行身份认证。数字证书通过电子认证权威机构CA颁发，将用户信息、用户公钥和CA对用户信息的数字签名绑定到证书文件中，实现依托可信机构的用户身份认证。在匿名证书方案中，权威机构CA在车辆注册时，为车辆节点生成大量的匿名证书。每次车辆节点和其他节点通信时，随机挑选使用一个匿名证书，使用后即丢弃。其他车辆根据数字证书的有效性进行身份认证，不依赖用户真实信息。针对匿名证书，有研究提出预置匿名证书两个局限。一是装载大量的匿名证书，会给车载系统的存储空间造成较大负担，以每个证书10KB为例，5000个证书文件约50MB。二是在证书撤销方面，电子认证权威机构撤销某个车载节点的数字证书，须撤销5000个数字证书文件，造成相关证书吊销文件CRL存储空间增长较快，根据认证协议，每次需检查吊销列表中是否包含认证对象，认证效率会极大降低。目前，由于智能设备的快速发展，相关的存储、计算资源不再成为限制。匿名证书方案存在的显著问题是私钥的存储和签名运算。为确保密码安全，证书私钥应使用密码模块进行存储，同时确保私钥不能以明文方式导出，为满足存储5000个私钥，配置相关密码模块会极大增加防篡改车载通信设备的成本。

1.2.2 基于群签名认证

群签名方案中签名者在群内是匿名的，验证者只能判断消息来自群，而不能判断消息来源于群内某个具体成员，实现了消息的匿名性。但特殊情况下，通过群管理员可以打开签名来确定签名的群成员真实身份，且生成签名的成员不能否认自己的签名行为，进而实现有条件的匿名认证。群签名由Chaum和Heyst首次提出，但是也存在作废群身份代价较高的问题，若群组中出现一个恶意节点，则需要更换整个群的密钥保证安全。

1.2.3 匿名无证书接入认证

匿名无证书接入认证可以利用假名身份标识进行通信，即使攻击者窃听到相关信息，也无法识别出与身份标识相关的敏感信息。无证书方案基于身份的匿名批量认证，该方案利用车辆防篡改设备和硬件安全模块（Hardware Security Module，HSM）存储系统主密钥，由于车辆每次与路侧单元通信前可以生成一次动态的假名身份，该方案实现了较强隐私保护。相关无证书应用方案的安全性都基于安全模块的不可入侵、不可篡改安全特性。

1.2.4 国内车联网安全行业标准

在标准制定方面，2022年2月，工业和信息化部组织制定了《车联网网络安全和数据安全标准体系建设指南》，该建设指南构建了车联网网络安全的标准体系框架。该标准体系共规划了103项标准，包括总体、终端与设施网络安全、网联通信安全、数据安全、安全保障与支撑6个方面。目前已完成编制16项，其中国家标准6项，行业标准10项。《YD/T 3746-2020 车联网信息服务 用户个人信息保护要求》已完成编制，规定了车联网应用中个人信息分类、敏感信息分级以及用户个人信息保护要求，标准中重点针对用户个人信息保护对象，围绕用户个人信息保护的全生命周期各处理环节提出相应的安全要求，降低用户个人信息全生命周期相关安全风险，保障车联网按照相应级别的管理要求及技术要求对用户个人信息的收集、保存、使用、委托处理、共享、转让等工作流程进行规范化管理。

2 基于双线性对的匿名性保护

2.1 车联网身份认证需求

典型车联网模型如图1所示，图中包含认证中心、路侧设施、已认证车辆和认证汽车。车联网环境主要有2种通信模式，一种是网络通信，指的是车辆利用蜂窝网络与车联网云服务平台进行信息交互。另一种是直连通信，包含了车辆对车辆和车辆对路侧基础设施，通过广播方式在近距离范围内进行信息交互。在第一种方式中网络通信通过电信卡实名认证来确保安全，而对于直连通信的方案、标准还在制定，目前由交通运输、无线电管理等相关部门会同有关企业，进行标准制定和产品选型，并开展测试工作。由于直连通信不需要基站进行路由和连接，须通过车载设备直接通信，因此安全机制有待完善。

图1：车联网示意图

2.2 基于双线性对的数据交互

为了实现可信的认证，以及驾驶人员的隐私保护，本文提出基于可信认证中心方案，其中认证中心是为环境中全部对象提供可信认证服务的基础设施，例如认证中心为路侧设施和车辆进行网络接入授权。车载模块经过身份鉴别后，才能获得路侧设施的网络接入权限，通过路侧基础设施获取网络服务，也可以和该区域内其他已认证车辆进行数据通信。完成匿名性接入需要设置全局参数、车载—路侧单元通信、车载—可信中心匿名身份认证等过程。如图2所示。

图2：匿名身份认证流程图

2.3 系统详细设计

2.3.1 可信中心设置系统全局参数

设置可信中心参数之外，在路侧单元和车辆初始化阶段，还需要共享相关秘密信息，作为消息验证码核验的参数。

2.3.2 车载可信模块注册及参数下载

车载模块通过在线方式从可信中心获取公开参数。进行注册时，车辆用户提供相应身份信息，如电话、邮箱等ID信息，并设置车辆用户的验证口令PW，为了保护口令，选取秘密参数x，并计算R

R=H(ID||PW)⊕x

下一步，将用ID作为参数，生成全局唯一身份标识IM，为使IM的值满足系统参数，调用了H单项哈希函数

IM=H(ID||x||TS)∈G

其中，TS表示注册时间。

在初始化车载模块时，需要存储用户登录身份验证消息

Z=H(ID||PW||x)

可信中心根据用IM计算对应的私钥sIM，通过安全信道为车载模块设置参数信息{IM,sIM,R,Z}

当驾驶员通过人机交互接口进行身份认证时，驾驶员输入{ID,PW}，车载模块计算

路侧设施单元负责车辆节点的安全接入，可信中心为路侧单元设置基于密钥参数

P=H(ID)

S=sH(ID)=sP

其中ID是路侧设施单元在系统中的唯一标识符，通过H将标识符映射到G运算空间中。s是可信中心的私钥，则S是路侧设施单元的私钥。

在该模型中，可以认定路侧设施单元部署是在专人可控条件下，通过预置的方式将公私钥{P,S}置入。选取随机整数r∈Z，广播参数rP作为通信加密密钥。

2.3.3 路侧单元身份认证流程

车载单元向路侧单元发送加密的签名消息，生成临时匿名身份

AID=H(IM||TS)

其中P是可信中心的公钥。认证消息包含m={C,rP,TS}，其中C采用对称加密算法加密生成

C=ENC(ID||AID||TS,SK)

当路侧单元接收到认证消息，验证消息的时效性|T-TS|<∆T，T代表路侧单元接收到消息的时刻，∆T代表网络允许的延迟经验值，如果消息不满足时效性，则丢弃当前消息。当验证时效性通过后，路侧设施单元根据m中的rP计算SK，计算过程如下，

上述计算过程的关键是双线性函数e的双线性，

e([a]P,[b]Q)=e(P,Q)

其中车辆和路侧设施在线协商密钥过程如图3所示。

图3：车辆和路侧设施在线协商密钥

通过分析最后的公式中各个参数，其中rP包含在m消息中，r是路侧单元选择的随机参数，sP是路侧设施单元的私钥，因此路侧单元能够计算获得SK。通过解密函数，传入密钥SK，解密C获得ID、AID、TS等数据。

2.3.4 车辆与可信中心身份认证流程

路侧单元采用与可信中心共享密钥k，计算加密消息及验证码MAC，

C=ENC(ID||AID||TS,k)

MAC= H(AID||TS||k)

并向可信中心转发身份认证消息m，

m={C,MAC,TS}

可信中心验证路侧单元转发的消息时效性，计算|T-TS|<∆T，T代表可信中心接收到消息的时刻，∆T代表允许的网络延迟经验值。解密C得到ID、AID、TS信息。计算消息验证码MAC，

σ=sM=σH(AID||TS)

将消息m={AID,TS,σ}发送为路侧单元。

路侧单元接收可信中心返回消息，进行验证

e(P,σ)=e(P,sM)=e(sP,M)

其中sP是可信中心的公钥，M‘=H(AID||TS)是消息的哈希值，将M‘带入上式

e(P,σ)=e(sP,M‘)

当上式成立时，验证可信中心发送的消息，说明可信中心认可车辆i的AID身份信息。路侧单元通过广播该合法车辆身份，允许其接入该局部车载网络。

3 结束语

车联网环境模型包括可信认证中心、路侧设施、车辆等对象，由于车辆移动性和车联网开放性特点，在安全方面提出了新的要求。本文围绕车辆隐私保护需求，提出了基于双线性对和消息验证码的匿名认证解决方案。车辆匿名身份作为认证身份凭证，基于双线对特性和路侧设施的广播信息公钥实现了通信信息加密。可信中心通过验证匿名身份认证信息，保护了用户真实身份，实现了较好的隐私保护。该方案中，可信中心负责初始化双线性对系统参数，同时为车辆和路侧设施分配了用于真实性和完整性校验的秘密信息，实现了可信中心与车辆和路侧设施的消息认证。可信中心的私钥用于匿名认证消息的签名，实现对接入请求的认证。整体方案安全性较高，在车-路侧设施通信、可信中心-车/路侧设施之间采用了双线性加密方案和签名方案，在路侧设施-可信中心、车-可信中心之间采用了消息验证码，保证了加密强度，同时优化了系统计算量。