CN103415011A - 车载自组织网络的基于智能卡安全认证方法 - Google Patents

Abstract

本发明公开了一种车载自组织网络的基于智能卡安全认证方法。本发明中用户身份认证方法是基于单向散列函数以及简单的按位异或运算，计算量小，适合智能卡的实现。本发明对车辆用户的身份合法性进行验证。本发明具有能够抵抗智能卡丢失攻击，抗离线密码猜测攻击、抗重放攻击、抗基站捕获攻击和计算开销和通信开销低的特点。

Description

车载自组织网络的基于智能卡安全认证方法

技术领域

本发明涉及无线通信技术领域，本发明涉及一种能够抵抗智能卡丢失攻击、离线密码猜测攻击、重放攻击、基站捕获攻击并能够降低通信开销和计算开销的车载自组织网络的基于智能卡安全认证方法。

背景技术

随着无线通信技术、车载嵌入式计算以及各类车载传感器等关键技术的迅速发展，车载自组织网络(Vehicular Adhoc Network，VANET)被认为是当前实用程度较高的特大规模移动自组织网络。车载自组织网络是由车与车、车与路边单元(Roadside Units，RSUs)相互通信构成的安全、快速、有效、结构开放的车辆间通信的智能交通系统，能够实现事故告警、辅助驾驶等应用。例如在事故告警应用中，司机能够依靠车载通信在超视距的范围内获得其他车辆的车况(如车速、方向、位置、刹车板压力等)和实时路况信息，从而有效避免交通事故和拥塞，使车辆交通更加安全迅捷。VANET由于广阔的应用前景及其巨大的社会经济效益，而受到了各国政府，学术界以及产业界等的高度重视。

然而在车载自组织网络事故告警、辅助驾驶应用中，如果攻击者对行驶消息(如速度、方向、车距、发送者标识符、接收者标识符等)进行篡改、伪造、重放等，会影响驾驶员判断并造成交通状态和人身安全隐患。此外，由于攻击者可以捕获合法用户来获得它们之间的通信证书从而影响车辆之间的正常通信，如何验证非法用户和未授权用户是非常关键。因此，认证是车载自组织网络的安全保护中最重要的问题。

目前已有的VANET认证方法如群签名方法、伪名证书方法能够满足VANET安全和隐私需求，但是在认证开销、通信开销等性能指标上不足。例如，Hao等提出了分布式群密钥分发机制，即每个RSU作为其覆盖区域内的群管理员，为进入区域的合法车辆发放群密钥。然而RSUs部署在路旁，缺乏足够的安全保护，很容易被攻击者捕获。Calandriello等人指出群签名的签名和验证过程的计算开销和签名的长度远大于基于公共密钥设施(Public Key Infrastructure，PKI)的数字签名方法，效率低下。Raya等建议VANET内采用伪名验证机制。然而，车辆一般需要携带43800个伪名证书，会导致较大的存储开销。上述方法所存在的问题导致群签名方案和伪名证书方案无法运用在大规模的车载自组织网络。例如：一个车辆每隔0.1sec-0.3sec发送一个消息，如果完成一个消息数字签名时间大约需要0.1sec，那么在规模大小为100-500车辆的网络中，接收者至少每秒需要处理1000-5000个消息，而现有的硬件设备无法及时处理如此巨大的计算量任务，很容易因队列缓存溢出造成丢包。

滑铁卢大学的Zhang等人采用双线性签名对用户和消息的合法性进行认证，该方法相比群签名方案和伪名证书方案降低了计算开销，但是车辆需要通过6次握手通信才能获得签名证书。阿肯色中央大学的Parichuri等人首次采用智能卡认证VANET的广播消息。智能卡上存储车辆标识符、公私钥、证书等。该方法跟群签名方案和伪名方案相比，降低了通信开销。然而，该方法严重依赖RSUs。此外，一旦智能卡丢失或被偷，攻击者很容易冒充合法用户获得网络中的通信内容。

综上所述，现有的安全认证算法存在如下问题：1)计算复杂、存储开销大，不适合大规模的车载自组织网络；2)数字签名处理时间过长使驾驶员没有足够时间采取相关的驾驶措施避免交通事故；3)受到智能卡丢失攻击、离线密码猜测攻击、重放攻击、伪装攻击等。

针对上述问题，本发明旨对车载自组织网络的安全认证进行研究，提出基于智能卡的用户身份认证算法。在用户身份认证算法中，不同于群签名方法和伪名证书方法，本发明利用智能卡对用户输入的标识符和密码信息验证以确保用户合法进入身份认证过程。在身份认证过程中，智能卡动态产生登录ID和秘密信息。认证服务器对智能卡所递交的信息进行验证判断该用户是否合法。一旦是合法用户，利用该用户和认证服务器的共享密钥对会话密钥和对应的数字证书加密并发送给该用户。性能分析表明本发明能够抵抗智能卡丢失攻击、离线密码猜测攻击、重放攻击、伪装攻击等，同时降低通信开销和计算开销。

中国专利授权公开号：CN101192928A，授权公开日2008年6月4日，公开了一种移动自组织网络的认证方法，包含以下步骤：系统对初始的所有节点进行初始化，按新门限群签名协议，给各节点颁发其证书、子密钥；当新节点加入时，由规定数目的节点根据其子密钥，按所述新门限群签名协议，联合给该新节点颁发证书；节点依据所述证书通过所述新门限群签名协议进行身份认证、实现通信。不足之处是，该发明存在认证开销和通信开销大的缺点。

发明内容

本发明的发明目的是为了克服现有技术中的认证方法的认证开销和通信开销大的缺点，提供了一种能够抵抗智能卡丢失攻击、离线密码猜测攻击、重放攻击、基站捕获攻击并能够降低通信开销和计算开销的车载自组织网络的基于智能卡安全认证方法。

为了实现上述目的，本发明采用以下技术方案：

一种车载自组织网络的基于智能卡安全认证方法，所述车载自组织网络的移动节点为设于汽车上的终端，所述终端包括无线收发模块、微处理器和存储器；微处理器与设于汽车上的车速传感器和GPS定位仪电连接；所述移动节点与若干个基站无线连接，基站与认证服务器通过无线方式或有线方式相连接；认证服务器内存储有基站的标识符；其特征是，包括如下步骤：

(1-1)用户V_i进入网络之前向认证服务器递交标识符

和Hash值α_i，α_i＝H(PW_i)；认证服务器给用户V_i发放智能卡；V_i为车载自组织网络中的第i个用户或者车辆；

所述智能卡包括伪名β_i、γ_i、N_i和用户输入次数门限值k；其中， ${\mathrm{PVID}}_{V_i}=H\left({\mathrm{ID}}_{V_i}\right),$ ${\mathrm{\β}}_i={\mathrm{\α}}_i\⊕x_s,$ ${\mathrm{\γ}}_i=H\left(x_s\right|\left|{\mathrm{ID}}_{V_i}\right)\⊕{\mathrm{SK}}_{\mathrm{TA}},$ $N_i=H\left({\mathrm{PVID}}_{V_i}\right|\left|{\mathrm{\α}}_i\right|\left|x_s\right),$

是用户V_i的标识符，PW_i是用户V_i的密码，x_s是由认证服务器产生的随机数，SK_TA是认证服务器的私钥，H为Hash函数运算符，设定输入次数序号j的初始值为1，||为逻辑或运算符；

随机数x_s具有防止智能卡丢失攻击的作用；若攻击者获得用户的智能卡并解析秘密信息{

α_i，β_i，γ_i，N_i}，然而，由于攻击者不知道x_s，无法构造用户的动态登录标识符 $\mathrm{DID}{V}_i^{\′}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s^{*}\right),$ 增强了系统对用户的保护；

私钥SK_TA用于验证用户V_i的合法身份，并且用户V_i用私钥SK_TA对认证服务器加密后的信息进行解密。

(1-2)智能卡计算用户V_i输入的标识符和密码是否正确：

(1-2-1)用户V_i在终端上插入智能卡，输入标识符

和密码PW_i；

(1-2-2)智能卡根据用户输入的标识符

和密码PW_i计算

和H(PW_i)，并利用公式

计算

利用公式 $N_i^{*}=H\left(H\left({\mathrm{ID}}_{V_i}\right)\right|\left|H\left({\mathrm{PW}}_i\right)\right|\left|x_s^{*}\right)$ 计算

智能卡将

和智能卡中存储的N_i进行比较；

(1-2-3)当

并且j＜k，则使j值增加1，重复(1-2-1)和(1-2-2)；

(1-2-4)当 $N_i^{*}=N_i,$ 智能卡利用公式 ${\mathrm{SK}}_{\mathrm{TA}}^{*}={\mathrm{\γ}}_i\⊕H\left(x_s^{*}\right|\left|{\mathrm{ID}}_{V_i}\right)$ 计算认证服务器的私钥

步骤(1-2)能够抵抗离线密码猜测攻击；如果攻击者猜测用户的密码为PW′_i，攻击者将计算

和

其中x为攻击者输入的任意随机数；由于在有限群中攻击者很难同时猜中两个参数PW′_i和x使得同时满足β_i＝β′_i和N_i＝N′_i，因此能够抵抗离线密码猜测攻击；

(1-3)智能卡利用公式 $\mathrm{DID}{V}_i^{\′}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s^{*}\right)$ 计算动态登录标识符DIDV_i，利用公式K_i＝H(DIDV_i||N_i)计算用户V_i的对称密钥K_i，利用公式

计算CV_i；

利用公式

计算D_i，其中，na是智能卡所产生的随机数，E是加密算法的运算符号，D_i是用对称密钥K_i对明文

加密后的密文；

智能卡向基站R_i发送登录请求分组，登录请求分组包括DIDV_i、D_i和

是登录请求分组发送时刻；

(1-4)在时刻T基站R_i收到登录请求分组，基站R_i计算R_i为车载自组织网络中的第i个基站；

当 $(T-T_{V_i})\≤\mathrm{\ΔT},$ 基站R_i利用公式 ${\mathrm{DIDR}}_i=\mathrm{DID}{V}_i\⊕{\mathrm{ID}}_{R_i}$ 计算DIDR_i，并发送认证请求分组到认证服务器，认证请求分组包括DIDR_i、D_i和

其中，

是基站R_i的标识符，

是发送认证请求分组的时刻；ΔT为认证服务器设定的时间戳阈值；

(1-5)在时刻T₁时，认证服务器收到认证请求分组，则认证服务器计算

当认证服务器利用公式 $\mathrm{DID}{V}_i^{*}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s\right)$ 计算

，利用公式 ${\mathrm{ID}}_{R_i}^{*}=\mathrm{DID}{R}_i\⊕\mathrm{DID}{V}_i^{*}$ 计算并将

与认证服务器存储的进行比较；

当 ${\mathrm{ID}}_{R_i}^{*}={\mathrm{ID}}_{R_i},$ 认证服务器利用公式 $K_i^{*}=H\left(\mathrm{DID}{V}_i^{*}\right|\left|N_i\right)$ 计算用户V_i的对称密钥用对称密钥

对密文D_i解密，得到CV_i、na、

(1-6)当CV_i＝H(N_i，x_s)并且与认证服务器所存储的SK_TA相等时，认证服务器计算密文 $M_i=E_{K_{\mathrm{mast}}}\left(E_{{\mathrm{PK}}_{\mathrm{TA}}}({\mathrm{Cert}}_{V_i},H_1,H_2,{\mathrm{Seed}}_{V_i},{\mathrm{PK}}_{V_i},{\mathrm{SK}}_{V_i},{\mathrm{ID}}_{R_i})\right),$ 并且发送认证响应分组，认证响应分组包括M_i和其中PK_TA是认证服务器的公钥，

是用户V_i的公私密钥对，

是用户V_i的公私密钥对所对应的证书，H₁，H₂是用户V_i的Hash函数运算符，是用户V_i的单向哈希密钥链的根密钥，

是发送认证响应分组的时刻；

(1-7)当基站R_i在T₂时刻收到分组，基站R_i计算

并将与ΔT进行比较；

当

则基站R_i发送登录响应分组，登录响应分组包括密文M_i和

是发送登录响应分组的时刻；

(1-8)当用户V_i在T₃时刻收到登录响应分组，用户V_i的终端计算并将

与ΔT进行比较；

当 $(T_3-T_{V_i}^{\′})\≤\mathrm{\ΔT},$ 则用户V_i的终端利用公式 $K_{\mathrm{mast}}^{*}=K_i\left|\right|\mathrm{na}$ 计算对称密钥

用和PK_TA依次对密文M_i解密，得到

H₁、H₂、并存储H₁、H₂、

步骤(1-4)、(1-5)、(1-7)、(1-8)中分别计算

和并将

和分别与时间戳阈值ΔT相比较，用于抵抗对各个分组的重放攻击；

由于本发明中用户身份认证方法是基于单向散列函数以及简单的按位异或运算，计算量非常小，适合智能卡的实现。

与Parichuri所提出的协议相比，本发明对车辆用户的身份合法性进行验证，能够抵抗智能卡丢失攻击，抗离线密码猜测攻击、抗重放攻击、抗基站捕获攻击。

与基于公共密钥设施(Public Key Infrastructure，PKI)的数字签名方法相比，本发明计算开销和通信开销低。

作为优选，还包括步骤用户V_i用单向哈希密钥链对数据消息进行认证签名：数据消息包括位置信息和车速信息，分别由GPS定位仪及车速传感器提供。

(2-1)用户V_i的终端利用公式K_t＝H₁ ^j-t(K_j)，(t＜j)计算上层单向哈希密钥链密钥K_t，t为单向哈希密钥链密钥的编号，1≤t≤n_H，

n_H是上层单向哈希密钥链密钥总数，由用户V_i设定；

(2-2)用户V_i的终端把上层单向哈希密钥链的生存周期分为n_H个等间隔的时间片I_t(1≤t≤n_H)；用户V_i设定下层单向哈希密钥链的生存周期为I_t，并将生存周期I_t进一步均匀分成n_L个子时间片I_t，j(1≤j≤n_L)，n_L由用户V_i设定；

(2-3)用户V_i的终端利用公式K_t，j＝H₂(K_t，j+1)和

计算下层单向哈希密钥链密钥K_t，j，1≤j≤n_L；

(2-4)用户V_i第一次发送数据分组时，用自己的私钥

对所述数据分组和单向哈希密钥链的根密钥签名，得到签名摘要Ψ₁，

用户V_i发送单向哈希密钥链的根密钥

数据分组DP₁和签名摘要Ψ₁给V_i之外的其它用户；DP₁是用户V_i第一次所发送的数据分组，其中Sig为签名算法的运算符号；

当用户V_i继续发送其它数据分组DP_l，1＜l≤n_L×n_H时，用下层单向哈希密钥链的密钥K_t，j计算数据分组DP_l的

其中，MAC为消息论证码的运算符号；并发送

和数据分组DP_l；

(2-5)V_i之外的任一用户V_p使用用户V_i的公钥

和对应的证书对签名摘要Ψ₁进行认证：

当

则用户V_p接收单向哈希密钥链的根密钥

和数据分组DP₁；

用户V_p用单向哈希密钥链的根密钥

计算下层哈希密钥链的密钥K′_t，j，计算

当 ${\mathrm{MAC}}_{K_{t,j}^{\′}}\left({\mathrm{DP}}_l\right)={\mathrm{MAC}}_{K_{t,j}}\left({\mathrm{DP}}_l\right),$ 则用户V_p接收数据分组DP_l。

用户V_i所存储的信息

H₁、H₂、

用于对用户所产生的数据消息认证签名和用户在不同基站之间的越区切换中的用户认证。

在数据消息认证签名中，本发明采用单向哈希密钥链方法对数据消息认证签名，与群签名方法和伪名证书方法相比，本发明能够进一步降低数据消息签名的计算开销和通信开销；在用户的越区切换过程中，本发明利用单向哈希密钥链中的密钥提出了基于邻居节点的越区切换算法，该算法不依靠基站和认证服务器，直接通过邻居节点对该用户的认证，从而降低了越区切换用户的认证时间，适用于高速行驶的车辆用户。

作为优选，用户V_i从基站R_i经过越区切换进入基站R_m，基站R_m的标识符为

越区切换包括如下步骤：

(3-1)用户V_i的终端计算越区切换标识符 $\mathrm{SID}{V}_i={\mathrm{PVID}}_{V_i}\⊕H\left(t_{V_i}\right)$ 和越区切换认证 ${\mathrm{SHF}}_i=H\left({\mathrm{PVID}}_{V_i}\right|\left|t_{V_i}\right);$

发送越区切换请求分组，所述越区切换请求分组包括

SHF_i、

和

是发送越区切换请求分组的时刻；

(3-2)基站R_m内的任一用户V_p收到越区切换请求分组后，用户V_p的终端计算

并将

与ΔT进行比较；

当

用户V_p的终端用认证服务器的私钥SK_TA对密文

解密，获得越区切换标识符SIDV_i；

用户V_p的终端利用公式

进行计算，得到

当 $H\left({{\mathrm{PVID}}_{V_i}}^{*}\right|\left|t_{V_i}\right)={\mathrm{SHF}}_i$ 时，用户V_p的终端存储

(3-3)用户V_p用私钥

对H₃，H₄，

进行签名得到签名摘要Φ，并发送越区切换响应分组，越区切换响应分组包括

和签名摘要Φ；

是用户V_p的证书，

是用户V_p的私钥；H₃和H₄是用户V_p的Hash函数运算符；

是用户V_p的单向哈希密钥链的根密钥、

是用户V_p发送越区切换响应分组的时刻；

(3-4)用户V_i在时刻T₅收到越区切换响应分组，计算

当

时，用户V_i的终端计算 $H_3^{*}=H_3\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},$ $H_4^{*}=H_4\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},$ ${\mathrm{Seed}}_{V_p}^{*}={\mathrm{Seed}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i}$ 和 ${\mathrm{Cert}}_{V_p}^{*}={\mathrm{Cert}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i};$ 用户V_i的终端利用用户V_p的公钥

计算签名摘要

${\mathrm{Sig}}_{{\mathrm{PK}}_{V_p}}(H_3^{*},H_4^{*},{\mathrm{Seed}}_{V_p}^{*},{\mathrm{PVID}}_{V_i},t_{V_p});$ 当计算的签名摘要与收到的签名摘要Φ相等时，用户V_i的终端存储H₃ ^*、H₄ ^*、

Sig是签名算法的运算符号。

作为优选，k为3至5。

因此，本发明具有如下有益效果：(1)计算开销低、存储量小、通信开销低，适合大规模的车载自组织网络；(2)本发明抵抗智能卡丢失攻击、抗离线密码猜测攻击、抗基站捕获攻击、抗重放攻击等；(3)本发明数字签名时间短，能够适用于实时的安全驾驶业务中。

附图说明：

图1是本发明的一种用户注册示意图；

图2是本发明的一种用户认证示意图。

图3本发明的实施例的一种流程图。

图中：用户V_i1，认证服务器2，基站R_i3。

具体实施方式

下面结合附图和实施例对本发明的技术方案做进一步描述。

如图3所示的实施例是一种车载自组织网络的基于智能卡安全认证方法，车载自组织网络的移动节点为设于汽车上的终端，终端包括无线收发模块、微处理器和存储器；微处理器与设于汽车上的车速传感器和GPS定位仪电连接，如果有用到上述装置检测的数据，请在步骤中体现出来；移动节点与基站无线连接，基站与认证服务器通过无线方式相连接；认证服务器内存储有基站的标识符；包括如下步骤：

步骤100，如图1所示，用户V_i进入网络之前向认证服务器递交标识符

和Hash值α_i，α_i＝H(PW_i)；认证服务器给用户V_i发放智能卡；V_i为车载自组织网络中的第i个用户或者车辆；

所述智能卡包括伪名

β_i、γ_i、N_i和用户输入次数门限值k＝3；其中， ${\mathrm{PVID}}_{V_i}=H\left({\mathrm{ID}}_{V_i}\right),$ ${\mathrm{\β}}_i={\mathrm{\α}}_i\⊕x_s,$ ${\mathrm{\γ}}_i=H\left(x_s\right|\left|{\mathrm{ID}}_{V_i}\right)\⊕{\mathrm{SK}}_{\mathrm{TA}},$ $N_i=H\left({\mathrm{PVID}}_{V_i}\right|\left|{\mathrm{\α}}_i\right|\left|x_s\right),$

是用户V_i的标识符，PW_i是用户V_i的密码，x_s是由认证服务器产生的随机数，SK_TA是认证服务器的私钥，H为Hash函数运算符，设定输入次数序号j的初始值为1，||为逻辑或运算符；

步骤200，智能卡计算用户V_i输入的标识符和密码是否正确：

步骤201，用户V_i在终端上插入智能卡，输入标识符

和密码PW_i；

步骤202，智能卡根据用户输入的标识符

和密码PW_i计算

和H(PW_i)，并利用公式

计算

利用公式 $N_i^{*}=H\left(H\left({\mathrm{ID}}_{V_i}\right)\right|\left|H\left({\mathrm{PW}}_i\right)\right|\left|x_s^{*}\right)$ 计算

智能卡将

和智能卡中存储的N_i进行比较；

步骤203，当

并且j＜3，则使j值增加1，重复步骤201和202；

步骤204，当 $N_i^{*}=N_i,$ 智能卡利用公式 ${\mathrm{SK}}_{\mathrm{TA}}^{*}={\mathrm{\γ}}_i\⊕H\left(x_s^{*}\right|\left|{\mathrm{ID}}_{V_i}\right)$ 计算认证服务器的私钥

步骤300，智能卡利用公式 $\mathrm{DID}{V}_i^{\′}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s^{*}\right)$ 计算动态登录标识符DIDV_i，利用公式K_i＝H(DIDV_i||N_i)计算用户V_i的对称密钥K_i，利用公式

计算CV_i；

利用公式

计算D_i，其中，na是智能卡所产生的随机数，E是加密算法的运算符号，D_i是用对称密钥K_i对明文CV_i，na，

加密后的密文；

如图2所示，智能卡向基站R_i发送登录请求分组，登录请求分组包括DIDV_i、D_i和

是登录请求分组发送时刻；

步骤400，在时刻T基站R_i收到登录请求分组，基站R_i计算

R_i为车载自组织网络中的第i个基站；

当 $(T-T_{V_i})\≤\mathrm{\ΔT},$ 基站R_i利用公式 ${\mathrm{DIDR}}_i=\mathrm{DID}{V}_i\⊕{\mathrm{ID}}_{R_i}$ 计算DIDR_i，并发送认证请求分组到认证服务器，认证请求分组包括DIDR_i、D_i和

其中，

是基站R_i的标识符，

是发送认证请求分组的时刻；ΔT为认证服务器设定的时间戳阈值；

步骤500，在时刻T₁时，认证服务器收到认证请求分组，则认证服务器计算

当

认证服务器利用公式 $\mathrm{DID}{V}_i^{*}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s\right)$ 计算

，利用公式 ${\mathrm{ID}}_{R_i}^{*}=\mathrm{DID}{R}_i\⊕\mathrm{DID}{V}_i^{*}$ 计算

并将

与认证服务器存储的

进行比较；

当 ${\mathrm{ID}}_{R_i}^{*}={\mathrm{ID}}_{R_i},$ 认证服务器利用公式 $K_i^{*}=H\left(\mathrm{DID}{V}_i^{*}\right|\left|N_i\right)$ 计算用户V_i的对称密钥

用对称密钥

对密文D_i解密，得到CV_i、na、

步骤600，当CV_i＝H(N_i，x_s)并且

与认证服务器所存储的SK_TA相等时，认证服务器计算密文 $M_i=E_{K_{\mathrm{mast}}}\left(E_{{\mathrm{PK}}_{\mathrm{TA}}}({\mathrm{Cert}}_{V_i},H_1,H_2,{\mathrm{Seed}}_{V_i},{\mathrm{PK}}_{V_i},{\mathrm{SK}}_{V_i},{\mathrm{ID}}_{R_i})\right),$ 并且发送认证响应分组，认证响应分组包括M_i和

其中

PK_TA是认证服务器的公钥，

是用户V_t的公私密钥对，

是用户V_t的公私密钥对所对应的证书，H₁，H₂是用户V_i的Hash函数运算符，

是用户V_i的单向哈希密钥链的根密钥，

是发送认证响应分组的时刻；

步骤700，当基站R_i在T₂时刻收到分组，基站R_i计算

并将

与ΔT进行比较；

当

则基站R_i发送登录响应分组，登录响应分组包括密文M_i和

是发送登录响应分组的时刻；

步骤800，当用户V_i在T₃时刻收到登录响应分组，用户V_i的终端计算

并将

与ΔT进行比较；

当 $(T_3-T_{V_i}^{\′})\≤\mathrm{\ΔT},$ 则用户V_i的终端利用公式 $K_{\mathrm{mast}}^{*}=K_i\left|\right|\mathrm{na}$ 计算对称密钥

用

和PK_TA依次对密文M_i解密，得到

H₁、H₂、

并存储

H₁、H₂、

步骤900，用户V_i用单向哈希密钥链对数据消息进行签名：

步骤901，用户V_i的终端利用公式K_t＝H₁ ^j-t(K_j)，(t＜j)计算上层单向哈希密钥链密钥K_t，t为单向哈希密钥链密钥的编号，1≤t≤n_H，

n_H是上层单向哈希密钥链密钥总数，由用户V_i设定；

步骤902，用户V_i的终端把上层单向哈希密钥链的生存周期分为n_H个等间隔的时间片I_t(1≤t≤n_H)；用户V_i设定下层单向哈希密钥链的生存周期为I_t，并将生存周期I_t进一步均匀分成n_L个子时间片I_t，j(1≤j≤n_L)，n_L由用户V_i设定；

步骤903，用户V_i的终端利用公式K_t，j＝H₂(K_t，j+1)和

计算下层单向哈希密钥链密钥K_t，j，1≤j≤n_L；

步骤904，用户V_i第一次发送数据分组时，用自己的私钥

对所述数据分组和单向哈希密钥链的根密钥

签名，得到签名摘要Ψ₁，用户V_i发送单向哈希密钥链的根密钥

数据分组DP₁和签名摘要Ψ₁给V_i之外的其它用户；DP₁是用户V_i第一次所发送的数据分组，其中Sig为签名算法的运算符号；

当用户V_i继续发送其它数据分组DP_l，1＜l≤n_L×n_H时，用下层单向哈希密钥链的密钥K_t，j计算数据分组DP_l的

其中，MAC为消息论证码的运算符号；并发送和数据分组DP_l；

步骤905，V_i之外的任一用户V_p使用用户V_i的公钥

和对应的证书

对签名摘要Ψ₁进行认证：

当则用户V_p接收单向哈希密钥链的根密钥和数据分组DP₁；

用户V_p用单向哈希密钥链的根密钥

计算下层哈希密钥链的密钥K′_t，j，计算

当 ${\mathrm{MAC}}_{K_{t,j}^{\′}}\left({\mathrm{DP}}_l\right)={\mathrm{MAC}}_{K_{t,j}}\left({\mathrm{DP}}_l\right),$ 则用户V_p接收数据分组DP_l。

步骤1000，用户V_i从基站R_i经过越区切换进入基站R_m，基站R_m的标识符为

越区切换包括如下步骤：

步骤1001，用户V_i的终端计算越区切换标识符 $\mathrm{SID}{V}_i={\mathrm{PVID}}_{V_i}\⊕H\left(t_{V_i}\right)$ 和越区切换认证 ${\mathrm{SHF}}_i=H\left({\mathrm{PVID}}_{V_i}\right|\left|t_{V_i}\right);$

发送越区切换请求分组，所述越区切换请求分组包括

SHF_i、

和

是发送越区切换请求分组的时刻；

步骤1002，基站R_m内的任一用户V_p收到越区切换请求分组后，用户V_p的终端计算

并将

与ΔT进行比较；

当

用户V_p的终端用认证服务器的私钥SK_TA对密文

解密，获得越区切换标识符SIDV_i；

用户V_p的终端利用公式

进行计算，得到

当 $H\left({{\mathrm{PVID}}_{V_i}}^{*}\right|\left|t_{V_i}\right)=\mathrm{SH}{F}_i$ 时，用户V_p的终端存储

步骤1003，用户V_p用私钥

对H₃，H₄，

进行签名得到签名摘要Φ，并发送越区切换响应分组，越区切换响应分组包括

和签名摘要Φ；是用户V_p的证书，

是用户V_p的私钥；H₃和H₄是用户V_p的Hash函数运算符；

是用户V_p的单向哈希密钥链的根密钥、

是用户V_p发送越区切换响应分组的时刻；

步骤1004，用户V_i在时刻T₅收到越区切换响应分组，计算

当

时，用户V_i的终端计算 $H_3^{*}=H_3\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},$ $H_4^{*}=H_4\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},$ ${\mathrm{Seed}}_{V_p}^{*}={\mathrm{Seed}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i}$ 和 ${\mathrm{Cert}}_{V_p}^{*}={\mathrm{Cert}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i};$ 用户V_i的终端利用用户V_p的公钥

计算签名摘要

${\mathrm{Sig}}_{{\mathrm{PK}}_{V_p}}(H_3^{*},H_4^{*},{\mathrm{Seed}}_{V_p}^{*},{\mathrm{PVID}}_{V_i},t_{V_p});$ 当计算的签名摘要与收到的签名摘要Φ相等时，用户V_i的终端存储H₃ ^*、H₄ ^*、

Sig是签名算法的运算符号。

本发明的性能分析：

计算开销和通信开销：对本发明、Zhang等人提出的协议、Paruchuri等人提出的协议进行计算开销和通信开销比较。表1给出了三种方法的计算开销，其中t_E是加密计算开销、t_h是Hash计算开销、t_s是签名计算开销。由Benchnarks所提出的加密库函数Crypto++5.6.0可知，签名计算开销为Hash计算开销的1.52倍。由表可知：在用户注册中，用户和认证服务器在本发明中只需要4次Hash计算，而Zhang等人提出的协议中，至少需要4次签名计算和2次Hash计算，比本发明的计算开销要大。在用户登录和认证过程中，本发明和Zhang等人提出的协议的计算开销相差不大。由此可见，本发明能够降低计算开销。尽管Paruchuri等人提出的协议计算开销最小，但是该协议严重依靠基站，很容易被攻击者捕获。此外，Paruchuri等人提出的协议无法抵抗智能卡丢失攻击、抗离线密码猜测攻击、抗基站捕获攻击等。

表1计算开销

由图2可知，本发明的用户认证只需要4次握手通信，而Zhang等人提出的协议中需要6次握手通信，由此可见：本发明的通信开销相对较小。

安全性能分析

(1)抗智能卡丢失攻击：假设攻击者获得用户的智能卡并解析秘密信息{

H(·)，β_i，γ_i，N_i}，然而，由于攻击者不知道x_s和密码的Hash值α_i＝H(PW_i)，因此无法构造用户的动态登录标示符 $\mathrm{DID}{V}_i^{\′}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s^{*}\right),$ 增强了系统对用户的保护。对于认证服务器的内部人员只知道用户密码的Hash值α_i＝H(PW_i)和

但没有用户密码，无法登录用户验证过程，因此，本发明能够抗智能卡丢失攻击。

(2)抗离线密码猜测攻击：如果攻击者猜测用户的密码为PW′_i，攻击者将计算 $N_i^{\′}=H\left({\mathrm{PVID}}_{V_i}\right|\left|H\left({\mathrm{PW}}_i^{\′}\right)\right|\left|x\right)$ 和 ${\mathrm{\β}}_i^{\′}=H\left({\mathrm{PW}}_i^{\′}\right)\⊕x,$ 其中x为攻击者输入的任意随机数；由于在有限群中攻击者很难同时猜中两个参数PW′_i和x使得同时满足β_i＝β′_i和N_i＝N′_i，因此，本发明能够抗离线密码猜测攻击。

(3)抗基站捕获攻击：由于CV_i被用户的对称密钥K_i加密，攻击者仍旧无法从已捕获的基站中获得CV_i信息。攻击者有可能通过猜测用户的对称密码K_i，然而产生K_i的两个部分N_i和DIDV_i(N_i存储在智能卡中，DIDV_i由用户的密码PW_i、标识符

和认证服务器的随机数产生)很难被攻击者知道，因此，本发明能够抗基站捕获攻击。

(4)抗重放攻击：时间戳阈值可以抵抗消息的重放攻击，假设攻击者截获登录请求消息＜DIDV_i，

＞并重新发送该消息到基站。基站通过验证

(T′是基站收到重放消息的当前时刻)丢弃该登录请求消息。

(5)抗伪装攻击：由于攻击者不知道车辆的标识符、密码和随机数x_s，攻击者无法构造正确的动态登录标识符DIDV_i和CV_i。此外，攻击者由于不知道DIDV_i和CV_i，不能得到对称密钥K_i，因此攻击者无法得到CV_i的内容。由此可见，该发明能够抵抗伪装攻击。

综上所述，本发明有如下特点：

(1)本发明利用智能卡对用户输入的标识符和密码信息验证以确保用户合法进入身份认证过程，与群签名认证和伪名证书认证方法相比，能够降低存储开销和通信开销，适合大规模的车载自组织网络；

(2)与Parichuri所提出的智能卡认证广播消息方法相比，本发明能够抵抗抗智能卡丢失攻击、离线密码猜测攻击、基站捕获攻击、重放攻击和伪装攻击；

(3)由表1可知，与Zhang等人提出的协议相比，本发明中用户注册过程中计算开销仅需要4次Hash计算，用户登录/认证过程中仅需要8次Hash计算和6次加密计算，降低了计算开销和认证处理时间，可适用于实时的安全驾驶应用中；

应理解，本实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

Claims (4)

1.一种车载自组织网络的基于智能卡安全认证方法，所述车载自组织网络的移动节点为设于汽车上的终端，所述终端包括无线收发模块、微处理器和存储器;微处理器与设于汽车上的车速传感器和GPS定位仪电连接;所述移动节点与若干个基站无线连接，基站与认证服务器通过无线方式或有线方式相连接;认证服务器内存储有基站的标识符;其特征是，包括如下步骤:

(1-1)用户V_i进入网络之前向认证服务器递交标识符

和Hash值α_i，α_i=H(PW_i);认证服务器给用户V_i发放智能卡;V_i为车载自组织网络中的第i个用户或者车辆;

所述智能卡包括伪名β_iγ_i、N_i和用户输入次数门限值k；其中， ${\mathrm{PVID}}_{V_i}=H\left({\mathrm{ID}}_{V_i}\right),{\mathrm{\β}}_i={\mathrm{\α}}_i\⊕x_s,{\mathrm{\γ}}_i=H\left(x_s\right|\left|{\mathrm{ID}}_{V_i}\right)\⊕{\mathrm{SK}}_{\mathrm{TA}},$

是用户V_i的标识符，PW_i是用户V_i的密码，x_s是由认证服务器产生的随机数，SK_TA是认证服务器的私钥，H为Hash函数运算符，设定输入次数序号j的初始值为1，||为逻辑或运算符;

(1-2)智能卡计算用户V_i输入的标识符和密码是否正确:

(1-2-1)用户V_i在终端上插入智能卡，输入标识符

和密码PW_i;

(1-2-2)智能卡根据用户输入的标识符

和密码PW_i计算

和H(PW_i)，并利用公式

计算

利用公式 $N_i^{*}=H\left(H\left({\mathrm{ID}}_{V_i}\right)\right|\left|H\left({\mathrm{PW}}_i\right)\right|\left|x_s^{*}\right)$ 计算

智能卡将和智能卡中存储的N_i进行比较;

(1-2-3)当

并且j＜k，则使j值增加1，重复(1-2-1)和(1-2-2);

(1-2-4)当 $N_i^{*}=N_i,$ 智能卡利用公式 ${\mathrm{SK}}_{\mathrm{TA}}^{*}={\mathrm{\γ}}_i\⊕H\left(x_s^{*}\right|\left|{\mathrm{ID}}_{V_i}\right)$ 计算认证服务器的私钥

(1-3)智能卡利用公式 ${\mathrm{DIDV}}_i=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s^{*}\right)$ 计算动态登录标识符DIDV_i，利用公式K_i=H(DIDV_i||N_i)计算用户V_i的对称密钥K_i，利用公式 ${\mathrm{CV}}_i=H\left(N_i\right|\left|x_s^{*}\right)$ 计算CV_i；

利用公式

计算D_i，其中，na是智能卡所产生的随机数，E是加密算法的运算符号，D_i是用对称密钥K_i对明文CV_i，na，

加密后的密文;

智能卡向基站R_i发送登录请求分组，登录请求分组包括DIDV_i、D_i和

是登录请求分组发送时刻;

(1-4)在时刻T基站R_i收到登录请求分组，基站R_i计算

R_i为车载自组织网络中的第i个基站;

当 $(T-T_{V_i})\≤\mathrm{\ΔT},$ 基站R_i利用公式 ${\mathrm{DIDR}}_i={\mathrm{DIDV}}_i\⊕{\mathrm{ID}}_{R_i}$ 计算DIDR_i，并发送认证请求分组到认证服务器，认证请求分组包括DIDR_i、D_i和

其中，

是基站R_i的标识符，

是发送认证请求分组的时刻;ΔT为认证服务器设定的时间戳阈值;

(1-5)在时刻T₁时，认证服务器收到认证请求分组，则认证服务器计算 $T_1-T_{R_i};$

当

认证服务器利用公式 $\mathrm{DID}{V}_i^{*}=H\left({\mathrm{\α}}_i\right|\left|{\mathrm{PVID}}_{V_i}\right)\⊕H\left(x_s\right)$ 计算

利用公式 ${\mathrm{ID}}_{R_i}^{*}={\mathrm{DIDR}}_i\⊕{\mathrm{DIDV}}_i^{*}$ 计算

并将

与认证服务器存储的

进行比较;

当 ${\mathrm{ID}}_{R_i}^{*}={\mathrm{ID}}_{R_i},$ 认证服务器利用公式 $K_i^{*}=H\left({\mathrm{DIDV}}_i^{*}\right|\left|N_i\right)$ 计算用户V_i的对称密钥

用对称密钥

对密文D_i解密，得到CV_i、na、

(1-6)当CV_i＝H(N_i，x_s)并且

与认证服务器所存储的SK_TA相等时，认证服务器计算密文 $M_i=E_{K_{\mathrm{mast}}}\left(E_{{\mathrm{PK}}_{\mathrm{TA}}}({\mathrm{Cert}}_{V_i},H_1,H_2,{\mathrm{Seed}}_{V_i},{\mathrm{PK}}_{V_i},{\mathrm{SK}}_{V_i},{\mathrm{ID}}_{R_i})\right),$ 并且发送认证响应分组，认证响应分组包括M_i和

其中

PK_TA是认证服务器的公钥，

是用户V_i的公私密钥对，

是用户V_i的公私密钥对所对应的证书，H₁，H₂是用户V_i的Hash函数运算符，

是用户V_i的单向哈希密钥链的根密钥，

是发送认证响应分组的时刻;

(1-7)当基站R_i在T₂时刻收到分组，基站R_i计算

并将

与ΔT进行比较;

当

则基站R_i发送登录响应分组，登录响应分组包括密文M_i和

是发送登录响应分组的时刻;

(1-8)当用户V_i在T₃时刻收到登录响应分组，用户V_i的终端计算

并将

与ΔT进行比较;

当

则用户V_i的终端利用公式

计算对称密钥

用和PK_TA依次对密文M_i解密，得到

并存储

H_l、H₂，、

2.根据权利要求1所述的车载自组织网络的基于智能卡安全认证方法，其特征是，还包括步骤用户V_i用单向哈希密钥链对数据消息进行认证签名:

(2-1)用户V_i的终端利用公式

计算上层单向哈希密钥链密钥K_t，t为单向哈希密钥链密钥的编号，1≤t≤n_H，

n_H是上层单向哈希密钥链密钥总数，由用户V_i设定;

(2-2)用户V_i的终端把上层单向哈希密钥链的生存周期分为n_H个等间隔的时间片I_t(l≤t≤n_H);用户V_i设定下层单向哈希密钥链的生存周期为I_t，并将生存周期I_t进一步均匀分成n_L个子时间片I_t，j(1≤j≤n_L)，n_L由用户V_i设定;

(2-3)用户V_i的终端利用公式K_t，j＝H₂(K_t，j+1)和

计算下层单向哈希密钥链密钥K_t，j，l≤j≤n_L;

(2-4)用户V_i第一次发送数据分组时，用自己的私钥

对所述数据分组和单向哈希密钥链的根密钥

签名，得到签名摘要

用户V_i发送单向哈希密钥链的根密钥数据分组DP_l和签名摘要Ψ₁给V_i之外的其它用户;DP_l是用户V_i第一次所发送的数据分组，其中Sig为签名算法的运算符号;

当用户V_i继续发送其它数据分组DP_l，1＜l≤n_L×n_H时，用下层单向哈希密钥链的密钥K_t，j计算数据分组DP_l的

其中，MAC为消息论证码的运算符号;并发送

和数据分组DP_l;

(2-5)V_i之外的任一用户V_p使用用户V_i的公钥和对应的证书

对签名摘要Ψ₁进行认证:

当

则用户V_p接收单向哈希密钥链的根密钥

和数据分组DP_l;

用户V_p用单向哈希密钥链的根密钥

计算下层哈希密钥链的密钥K′_t,j计算

当 ${\mathrm{MAC}}_{K_{t,j}^{\′}}\left({\mathrm{DP}}_l\right)={\mathrm{MAC}}_{K_{t,j}}\left({\mathrm{DP}}_l\right),$ 则用户V_p接收数据分组DP_l。

3.根据权利要求1所述的车载自组织网络的基于智能卡安全认证方法，其特征是，用户V_i从基站R_i经过越区切换进入基站R_m，基站R_m的标识符为

越区切换包括如下步骤:

(3-1)用户V_i的终端计算越区切换标识符 ${\mathrm{SIDV}}_i={\mathrm{PVID}}_{V_i}\⊕H\left(t_{V_i}\right)$ 和越区切换认证 ${\mathrm{SHF}}_i=H\left({\mathrm{PVID}}_{V_i}\right|\left|t_{V_i}\right);$

发送越区切换请求分组，所述越区切换请求分组包括

SHF_i、

和

是发送越区切换请求分组的时刻;

(3-2)基站R_m内的任一用户V_p收到越区切换请求分组后，用户V_p的终端计算

并将与ΔT进行比较;

当

用户V_p的终端用认证服务器的私钥SK_TA对密文解密，获得越区切换标识符SIDV_i；

用户V_p的终端利用公式进行计算，得到

当 $H\left(\mathrm{PVI}{D}_{V_i}^{*}\right|\left|t_{V_i}\right)={\mathrm{SHF}}_i$ 时，用户V_p的终端存储

(3-3)用户V_p用私钥

对H₃，H₄，

进行签名得到签名摘要Φ，并发送越区切换响应分组，越区切换响应分组包括

和签名摘要Φ;

是用户V_p的证书，

是用户V_p的私钥;H₃和H₄是用户V_p的Hash函数运算符;

是用户V_p的单向哈希密钥链的根密钥、

是用户V_p发送越区切换响应分组的时刻;

(3-4)用户V_i在时刻T₅收到越区切换响应分组，计算

当

时，用户V_i的终端计算 $H_3^{*}=H_3\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},H_4^{*}=H_4\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i},$ ${\mathrm{Seed}}_{V_p}^{*}={\mathrm{Seed}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i}$ 和 ${\mathrm{Cert}}_{V_p}^{*}={\mathrm{Cert}}_{V_p}\⊕{\mathrm{PVID}}_{V_i}^{*}\⊕{\mathrm{PVID}}_{V_i};$ 用户V_i的终端利用用户V_p的公钥

计算签名摘要

当计算的签名摘要与收到的签名摘要Φ相等时，用户V_i的终端存储H₃ ^*、H₄ ^*,

Sig是签名算法的运算符号。

4.根据权利要求1或2或3所述的车载自组织网络的基于智能卡安全认证方法，其特征是，k为3至5。

Images