CN110166445A - 一种基于身份的隐私保护匿名认证和密钥协商方法 - Google Patents

Abstract

本发明公开了一种基于身份的隐私保护匿名认证和密钥协商方法，采用基于身份的隐私保护匿名认证和密钥协商系统；系统由认证服务器AS、路侧单元RSU、含车载单元OBU的车辆三方组成；首先，AS执行初始化过程，设置系统相关参数；其次，在注册过程中，LE使用安全传输信道将自身注册为受信任的车辆，而普通车辆在离开车厂后必须在此阶段进行登记步骤以完成注册；然后，车辆用户进行登录验证步骤以便从VANETs获得服务；接着，根据传递信任机制，未受信任的OBU和LE之间进行认证步骤使其受信任，此OBU可认证其他未受信任的OBU；最后，两个可信任车辆在安全通信过程中完成通信。本发明避免了通信过程中可能承受攻击，如身份猜测和冒充攻击，提高了安全通信的效率。

Description

一种基于身份的隐私保护匿名认证和密钥协商方法

技术领域

本发明属于信息安全技术领域，涉及一种基于身份的隐私保护匿名认证和密钥协商方法。

背景技术

近年来，随着智能交通系统和无线技术的快速发展，车载网络(VANET)愈发繁荣，使得移动设备可享受便利和复杂的服务。但是，VANET是一个开放式的网络，安全性对于VANET系统的稳定高效运行具有非常重要的意义。为了最大限度地保障VANET系统运行的安全稳定，必须进行车辆节点间身份认证和隐私保护。车辆节点间只有通过相互认证，才能保证通信双方的身份信息和行为真实可靠。且其实现方式可以通过通信节点之间相互认证，也可以通过可信第三方完成节点身份认证。

发明内容

本发明针对现有方案的不足，提出了一种基于身份的隐私保护匿名认证和密钥协商方法，由认证服务器AS、路侧单元RSU、车辆(含车载单元OBU的车辆)三个参与方共同执行，避免了通信过程中可能承受攻击，如身份猜测和冒充攻击，并且提高了安全通信的效率。

本发明所采用的技术方案是：一种基于身份的隐私保护匿名认证和密钥协商方法，采用基于身份的隐私保护匿名认证和密钥协商系统；所述系统由认证服务器AS、路侧单元RSU、含车载单元OBU的车辆三方组成；

其特征在于，所述方法包括以下步骤：

步骤1：认证服务器AS对系统进行初始化，生成系统相关参数；

步骤1.1：由生成元P、素数p定义椭圆曲线群G，椭圆曲线方程为，y³＝x³+ax+b(modp)，其中x,y∈[0,p-1]，a,b∈G；认证服务器AS随机选定作为主密钥，并将其秘密保存，其中表示关于素数p正整数集合；

步骤1.2：认证服务器AS基于哈希链方法，如h²(x)＝h(h(x))，计算安全密钥集{psk_i,i＝1,...n}，其中n∈Z⁺；

步骤2：执法车辆LE向认证服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给执法车辆LE；普通车辆向认证向服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给普通车辆i；

步骤3：普通车辆i的车载单元OBU_i通过用户名id_i、密码pw_i验证欲从车联网中获得服务的用户是否合法；

若是，则车载单元OBU_i相信此用户是合法的，并执行步骤4；

若否，则车载单元OBU_i拒绝此用户，OBU_i终止此过程

步骤4：有执法车辆LE认证已完成注册过的车载单元OBU_i，车载单元OBU_i获取认证参数psk_i,psk_i是AS与LE的预共享密钥；

步骤5：两个获取认证参数的车载单元OBU通过密钥协商生成会话密钥sk_ij进而进行安全通信。

本发明的有益效果是：一种基于身份的隐私保护匿名认证和密钥协商方案，针对现有方案的不足，通过使用椭圆曲线加密技术，在随机预言机模型下，证明上述协议的安全性，并分析其是否满足上述安全需求、是否能抵抗各种常见的安全攻击；利用密码学工具分析验证认证算法和协议的效率，同时，分析目前已有的相关协议的安全性，对其安全级别进行对比。对比后表明改方案避免了通信过程中可能承受攻击，如身份猜测和冒充攻击，并且提高了安全通信的效率。

附图说明

图1为本发明实施例的车载网络的结构图；

图2为本发明实施例的普通车辆注册步骤图；

图3为本发明实施例的普通车辆认证步骤图；

图4为本发明实施例的车辆间安全通信步骤图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种基于身份的隐私保护匿名认证和密钥协商方法，采用基于身份的隐私保护匿名认证和密钥协商系统；系统由认证服务器AS、路侧单元RSU、含车载单元OBU的车辆三方组成；TV表示受信任车辆(trustedvehicle)，MV表示不受信任车辆(mistrusted vehicle)V2I表示车与设备之间通信(vehicle to infrastructure)；

本实施例的方法包括以下步骤：

步骤1：认证服务器AS对系统进行初始化，生成系统相关参数；

步骤1.1：由生成元P、素数p定义椭圆曲线群G，椭圆曲线方程为，y³＝x³+ax+b(modp)，其中x,y∈[0,p-1]，a,b∈G；认证服务器AS随机选定作为主密钥，并将其秘密保存，其中表示关于素数p正整数集合；

步骤1.2：认证服务器AS基于哈希链方法，如h²(x)＝h(h(x))，计算安全密钥集{psk_i,i＝1,...n}，其中n∈Z⁺；

步骤2：执法车辆LE向认证服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给执法车辆LE；普通车辆向认证向服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给普通车辆i；

步骤2的具体实现包括以下子步骤：

步骤2.1：执法车辆LE通过认证服务器AS进行注册，认证服务器AS通过安全信道发送安全密钥集{psk_i,i＝1,...n}，n∈Z⁺，及公共参数{G,p,P}给执法车辆LE，执法车辆LE存储安全密钥集{psk_i,i＝1,...n}，n∈Z⁺及{G,p,P}在其车载单元OBU上；

步骤2.2：普通车辆i通过认证服务器AS进行注册；

请见图2，本实施例步骤2.2的具体实现包括以下子步骤：

步骤2.2.1：用户以用户名id_i、密码pw_i向认证服务器AS发送注册请求；

步骤2.2.2：认证服务器AS随机选定随机数y_i，并计算a_i＝h(id_i||x)，其中，s_i目前只对认证服务器AS可知，||表示拼接符号，表示异或符号；

步骤2.2.3：认证服务器AS通过安全信道将参数{b_i,c_i,y_ih(),G,p,P}发送给车载单元OBU_i，并将其存储在车载单元OBU_i上；

步骤2.2.4：用户向其车载单元OBU_i输入真实身份id_i、密码pw_i；车载单元OBU_i随机选定x_i作为其私钥，并计算作为其公钥；车载单元OBU_i使用b_i、pw_i计算a_i，计算验证参数d_i＝h(id_i||pw_i||a_i)，并将参数车载单元OBU_i上。

步骤3：普通车辆i的车载单元OBU_i通过用户名id_i、密码pw_i验证欲从车联网中获得服务的用户是否合法；

若是，则车载单元OBU_i相信此用户是合法的，并执行步骤4；

若否，则车载单元OBU_i拒绝此用户，OBU_i终止此过程。

本实施例步骤3的具体实现包括以下子步骤：

步骤3.1：用户向其车载单元OBU_i输入真实身份id_i，密码pw_i；

步骤3.2：车载单元OBU_i使用b_i重新计算a_i，并验证h(id_i||pw_i||a_i)与d_i是否相等，若相等，则车载单元OBU_i相信此用户是合法的，否则，车载单元OBU_i拒绝此用户。

步骤4：有执法车辆LE认证已完成注册过的车载单元OBU_i，车载单元OBU_i获取认证参数psk_i；

请见图3，本实施例步骤4的具体实现包括以下子步骤：

步骤4.1：车载单元OBU_i随机选定随机数r_i，并计算 m₂＝h(r_i||aid_i||c_i||y_i||t_o)，其中，t_o是OBU_i的时间戳；

步骤4.2：车载单元OBU_i通过安全信道发送参数{aid_i,c_i,y_i,m₁,m₂,t_o}给执法车辆LE_j，即在RSU区域范围内的DSRC通信范围的LE_j。

步骤4.3：执法车辆LE_j首先检查t_o是否即新鲜，即检查LE_j接收一个消息当且仅当其包含一个对LE_j而言足够接近当前时刻的时间戳；

若不是，执法车辆LE_j可能认为车载单元OBU_i存在重放攻击，LE_j终止此认证过程；

若是，则执法车辆LE_j利用计算得出s_i，进而进而计算出OBU_i的随机数验证明文m₂与h(r_i||c_i||aid_i||y_i||t_o)是否相等；

若不相等，认证请求将会被拒绝，认证结束；

若相等，则执法车辆LE_j计算sk_ij＝(r_j||r_i||t_l)，其中t_l是LE_j的时间戳，并计算同时计算验证参数m₅＝h(r_i||r_j||aid_i||aid_j||sk_ij||s_i)；

步骤4.4：执法车辆LE_j通过安全信道发送参数{aid_j,m₃,m₄,m₅,t_l}给车载单元OBU_i；

步骤4.5：车载单元OBU_i首先检查t_l是否新鲜，即检查OBU_i接收一个消息当且仅当其包含一个对OBU_i而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_i可能认为执法车辆LE_j存在重放攻击，OBU_i终止此认证过程；

若是，则车载单元OBU_i计算sk_ij＝h(r_i||r_j||t_l)；此时车载单元OBU_i可获得参数车载单元OBU_i检查等式m₅＝h(r_i||r_j||aid_i||aid_j||sk_ij||s_i)是否相等；

若不相等，认证将会终止；

若相等，车载单元OBU_i认为执法车辆LE_j是可信的；车载单元OBU_i计算用r_i分别代替c_i，y_i；计算并存储在车载单元OBU_i上；

步骤4.6：车载单元OBU_i通过安全信道发送m₆给执法车辆LE_j；

步骤4.7：执法车辆LE_j计算并检查h^*(r_j||aid_j)与h(r_j||aid_j)是否相等；

若相等，则LE_j与OBU_i相互认证成功，且OBU_i获得认证能力；

若不相等，则LE_j与OBU_i相互认证失败。

步骤5：两个获取认证参数的车载单元OBU通过密钥协商生成会话密钥sk_ij进而进行安全通信；

请见图4，本实施例步骤5的具体实现包括以下子步骤：

步骤5.1：车载单元OBU_i随机选定r_i，并计算 以及验证参数m₂＝h(aid_i||T||id_i||t_oi)，其中，t_oi是OBU_i的时间戳，已有认证能力的OBU_i从步骤4已获得psk_i，a·Q表示点乘，a是整数，Q是椭圆曲线组G上的点；

步骤5.2：车载单元OBU_i通过安全信道发送参数{m₁,m₂,aid_i,t_oi}给车载单元OBU_j；

步骤5.3：车载单元OBU_j首先检查t_oi是否新鲜，即检查OBU_j接收一个消息当且仅当其包含一个对OBU_j而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_j可能认为车载单元OBU_i存在重放攻击，OBU_j终止此会话过程；

若是，则车载单元OBU_j利用其私钥与车载单元OBU_i的公钥计算并检查等式m₂＝h(aid_i||T||id_i||t_oi)是否相等；

若不相等，则OBU_j终止此通信；

若相等，则车载单元OBU_j随机选定随机数r_j，并计算 及会话密钥sk_ij＝h(id_i||id_j||T||t_oi||t_oj||psk_i)和m₄＝h(id_j||sk_ij)；

步骤5.4：车载单元OBU_j通过安全信道发送参数{m₃,m₄,aid_j,t_oj}给车载单元OBU_i；

步骤5.5：车载单元OBU_i首先检查t_oj是否新鲜，即检查OBU_i接收一个消息当且仅当其包含一个对OBU_i而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_i可能认为车载单元OBU_j存在重放攻击，OBU_i终止此会话过程；

若是，则车载单元OBU_i计算sk_ij＝h(id_i||id_j||T||t_oi||t_oj||psk_i)，并检查h(id_j||sk_ij)与m₄是否相等；

若不相等，此程序将会终止；

若相等，车载单元OBU_i计算m₅＝h(r_j||sk_ij)；

步骤5.6：车载单元OBU_i通过安全信道发送m₅给车载单元OBU_j；

步骤5.7：车载单元OBU_j计算h(r_j||sk_ij)，并计算等式m₅＝h(r_j||sk_ij)是否相等；

若不相等，则通信过程终止，安全密钥协商失败；

若相等，车载单元OBU_i和车载单元OBU_j都达到了一个信任阈值，他们两个用会话密钥sk_ij进行安全通信。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (5)

1.一种基于身份的隐私保护匿名认证和密钥协商方法，采用基于身份的隐私保护匿名认证和密钥协商系统；所述系统由认证服务器AS、路侧单元RSU、含车载单元OBU的车辆三方组成；

其特征在于，所述方法包括以下步骤：

步骤1：认证服务器AS对系统进行初始化，生成系统相关参数；

步骤1.1：由生成元P、素数p定义椭圆曲线群G，椭圆曲线方程为y³＝x³+ax+b(modp)，其中x,y∈[0,p-1]，a,b∈G；认证服务器AS随机选定作为主密钥，并将其秘密保存，其中表示关于素数p正整数集合；

步骤1.2：认证服务器AS基于哈希链方法，如h²(x)＝h(h(x))，计算安全密钥集{psk_i,i＝1,...n}，其中psk_i是LE和AS之间的预共享密钥，n∈Z⁺；

步骤2：执法车辆LE向认证服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给执法车辆LE；普通车辆向认证向服务器AS发送注册请求，认证服务器AS通过安全信道发送公共参数给普通车辆i；

步骤3：普通车辆i的车载单元OBU_i通过用户名id_i、密码pw_i验证欲从车联网中获得服务的用户是否合法；

若是，则车载单元OBU_i相信此用户是合法的，并执行步骤4；

若否，则车载单元OBU_i拒绝此用户，并返回拒绝信息给用户；

步骤4：有执法车辆LE认证已完成注册过的车载单元OBU_i，车载单元OBU_i获取认证参数psk_i；

步骤5：两个获取认证参数的车载单元OBU通过密钥协商生成会话密钥sk_ij进而进行安全通信。

2.根据权利要求1所述的基于身份的隐私保护匿名认证和密钥协商方法，其特征在于，步骤2的具体实现包括以下子步骤：

步骤2.1：执法车辆LE通过认证服务器AS进行注册，认证服务器AS通过安全信道发送安全密钥集{psk_i,i＝1,...n}，n∈Z⁺，及公共参数{G,p,P}给执法车辆LE，执法车辆LE存储安全密钥集{psk_i,i＝1,...n}，n∈Z⁺及{G,p,P}在其车载单元OBU上；

步骤2.2：普通车辆i通过认证服务器AS进行注册；

步骤2.2.1：用户以用户名id_i、密码pw_i向认证服务器AS发送注册请求；

步骤2.2.2：认证服务器AS随机选定随机数y_i，并计算a_i＝h(id_i||x)，其中，psk_i是LE和AS之间的预共享密钥，s_i目前只对认证服务器AS可知，||表示拼接符号，表示异或符号；

步骤2.2.3：认证服务器AS通过安全信道将参数{b_i,c_i,y_i,h(),G,p,P}发送给车载单元OBU_i，并将其存储在车载单元OBU_i上；

步骤2.2.4：用户向其车载单元OBU_i输入真实身份id_i、密码pw_i；车载单元OBU_i随机选定x_i作为其私钥，并计算作为其公钥；车载单元OBU_i使用b_i、pw_i计算a_i，计算验证参数d_i＝h(id_i||pw_i||a_i)，并将参数存储车载单元OBU_i上。

3.根据权利要求2所述的基于身份的隐私保护匿名认证和密钥协商方法，其特征在于，步骤3的具体实现包括以下子步骤：

步骤3.1：用户向其车载单元OBU_i输入真实身份id_i、密码pw_i；

步骤3.2：车载单元OBU_i使用b_i重新计算a_i，并验证h(id_i||pw_i||a_i)与d_i是否相等，若相等，则车载单元OBU_i相信此用户是合法的，否则，车载单元OBU_i拒绝此用户。

4.根据权利要求3所述的基于身份的隐私保护匿名认证和密钥协商方法，其特征在于，步骤4的具体实现包括以下子步骤：

步骤4.1：车载单元OBU_i随机选定随机数r_i，并计算 m₂＝h(r_i||aid_i||c_i||y_i||t_o)，其中，t_o是OBU_i的时间戳；

步骤4.2：车载单元OBU_i通过安全信道发送参数{aid_i,c_i,y_i,m₁,m₂,t_o}给执法车辆LE_j，即在RSU区域范围内的DSRC通信范围的LE_j；

步骤4.3：执法车辆LE_j首先检查t_o是否新鲜，即检查LE_j接收一个消息当且仅当其包含一个对LE_j而言足够接近当前时刻的时间戳；

若不是，执法车辆LE_j可能认为车载单元OBU_i存在重放攻击，LE_j终止此认证过程；

若是，则执法车辆LE_j利用计算得出s_i，进而psk_i是LE和AS之间的预共享密钥，进而计算出OBU_i的随机数验证明文m₂与h(r_i||c_i||aid_i||y_i||t_o)是否相等；

若不相等，认证请求将会被拒绝，认证结束；

若相等，则执法车辆LE_j计算sk_ij＝(r_j||r_i||t_l)，其中t_l是LE_j的时间戳，并计算同时计算验证参数m₅＝h(r_i||r_j||aid_i||aid_j||sk_ij||s_i)；

步骤4.4：执法车辆LE_j通过安全信道发送参数{aid_j,m₃,m₄,m₅,t_l}给车载单元OBU_i；

步骤4.5：车载单元OBU_i首先检查t_l是否新鲜，即检查OBU_i接收一个消息当且仅当其包含一个对OBU_i而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_i可能认为执法车辆LE_j存在重放攻击，OBU_i终止此认证过程；

若是，则车载单元OBU_i计算sk_ij＝h(r_i||r_j||t_l)；此时车载单元OBU_i可获得参数车载单元OBU_i检查等式m₅＝h(r_i||r_j||aid_i||aid_j||sk_ij||s_i)是否相等；

若不相等，认证将会终止；

若相等，车载单元OBU_i认为执法车辆LE_j是可信的；车载单元OBU_i计算用r_i分别代替c_i，y_i；计算并存储在车载单元OBU_i上；

步骤4.6：车载单元OBU_i通过安全信道发送m₆给执法车辆LE_j；

步骤4.7：执法车辆LE_j计算并检查h^*(r_j||aid_j)与h(r_j||aid_j)是否相等；

若相等，则LE_j与OBU_i相互认证成功，且OBU_i获得认证能力；

若不相等，则LE_j与OBU_i相互认证失败。

5.根据权利要求4所述的基于身份的隐私保护匿名认证和密钥协商方法，其特征在于，步骤5的具体实现包括以下子步骤：

步骤5.1：车载单元OBU_i随机选定r_i，并计算 以及验证参数m₂＝h(aid_i||T||id_i||t_oi)，其中，t_oi是OBU_i的时间戳，有认证能力的车载单元OBU_i已从步骤4获得psk_i，a·Q表示点乘，a是整数，Q是椭圆曲线组G上的点；

步骤5.2：车载单元OBU_i通过安全信道发送参数{m₁,m₂,aid_i,t_oi}给车载单元OBU_j；

步骤5.3：车载单元OBU_j首先检查t_oi是否新鲜，即检查OBU_j接收一个消息当且仅当其包含一个对OBU_j而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_j可能认为车载单元OBU_i存在重放攻击，OBU_j终止此会话过程；

若是，则车载单元OBU_j利用其私钥与车载单元OBU_i的公钥计算并检查等式m₂＝h(aid_i||T||id_i||t_oi)是否相等；

若不相等，则OBU_j终止此过程；

若相等，则车载单元OBU_j随机选定随机数r_j，并计算 及会话密钥sk_ij＝h(id_i||id_j||T||t_oi||t_oj||psk_i)和m₄＝h(id_j||sk_ij)；

步骤5.4：车载单元OBU_j通过安全信道发送参数{m₃,m₄,aid_j,t_oj}给车载单元OBU_i；

步骤5.5：车载单元OBU_i首先检查t_oj是否新鲜，即检查OBU_i接收一个消息当且仅当其包含一个对OBU_i而言足够接近当前时刻的时间戳；

若不是，车载单元OBU_i可能认为车载单元OBU_j存在重放攻击，OBU_i终止此会话过程；

若是，则车载单元OBU_i计算sk_ij＝h(id_i||id_j||T||t_oi||t_oj||psk_i)，并检查h(id_j||sk_ij)与m₄是否相等；

若不相等，此程序将会终止；

若相等，车载单元OBU_i计算m₅＝h(r_j||sk_ij)；

步骤5.6：车载单元OBU_i通过安全信道发送m₅给车载单元OBU_j；

步骤5.7：车载单元OBU_j计算h(r_j||sk_ij)，并计算等式m₅＝h(r_j||sk_ij)是否相等；

若不相等，则通信过程终止，安全密钥协商失败；

若相等，车载单元OBU_i和车载单元OBU_j都达到了一个信任阈值，他们两个用会话密钥sk_ij进行安全通信。