CN117614624A

CN117614624A - 车联网中基于密钥协商的身份认证安全信任方法

Info

Publication number: CN117614624A
Application number: CN202311770673.0A
Authority: CN
Inventors: 戴银飞; 刘志远; 刘玉宝; 王绍强; 王艳柏; 杜伟
Original assignee: Changchun University
Current assignee: Changchun University
Priority date: 2023-12-21
Filing date: 2023-12-21
Publication date: 2024-02-27
Anticipated expiration: 2043-12-21
Also published as: CN117614624B

Abstract

本发明公开了一种车联网中基于密钥协商的身份认证安全信任方法，所述方法包括如下步骤：步骤一、伪随机数的生成：采用ANSI X9.17伪随机生成器，使用三次3DES加密算法生成伪随机数；步骤二、消息签名的生成：采用基于椭圆曲线密码体制生成签名；步骤三、密钥协商的生成：采用Blom密钥分配协议生成会话密钥；步骤四、身份认证：通过三向双路认证方式对通信实体的进行身份认证。该方法可提高身份认证效率，降低系统开销，具有较好的理论和应用价值，系统结合网络安全等级保护第三级要求标准进行部署，能够解决车载自组网中身份隐私保护和安全信任问题。

Description

车联网中基于密钥协商的身份认证安全信任方法

技术领域

本发明属于网络安全技术领域，涉及一种车联网中基于密钥协商的身份认证和安全信任方法。

背景技术

密钥协商是通信双为防止通信信道不安全，共同合作生成同一个会话密钥的机制，即使中间传递过程中信息被截获，敌手也无法根据窃取的信息计算出会话密钥。通常使用的密钥协商协议(Key agreement Protocal，KAP)是Diffle-Hellman算法，可以实现会话密钥的保密性且可防止窃听。但该算法不支持认证，无法抵抗篡改及重放攻击。通常此算法会与另外的签名算法协议协同使用，例如RSA、DSA算法，密钥的安全跟密钥的长度有关。随着计算机运算能力的提高，要求安全密钥也越来越长，计算开销和通信开销也随之增加，同时RSA算法的加解密速度也限制了其无法有效地应用于计算能力受限的系统中。

发明内容

针对车载自组网通信实体进行身份认证及信息传输过程中可能涉及的不安全问题，本发明提供了一种车联网中基于密钥协商的身份认证安全信任方法。该方法可提高身份认证效率，降低系统开销，具有较好的理论和应用价值，系统结合网络安全等级保护第三级要求标准进行部署，能够解决车载自组网中身份隐私保护和安全信任问题。

本发明的目的是通过以下技术方案实现的：

一种车联网中基于密钥协商的身份认证安全信任方法，包括如下步骤：

步骤一、伪随机数的生成：

采用ANSI X9.17伪随机生成器，使用三次3DES加密算法生成伪随机数；

步骤二、消息签名的生成：

采用基于椭圆曲线密码体制生成签名；

步骤三、密钥协商的生成：

采用Blom密钥分配协议生成会话密钥；

步骤四、身份认证：

通过三向双路认证方式对通信实体的进行身份认证。

相比于现有技术，本发明具有如下优点：

本发明基于椭圆曲线密码体制的DLS方案无国外可利用的后门，同时具有密钥短、存储空间小、计算速度快、处理器的速度要求较低等优势，适用于计算能力和存储空间有限、带宽受限、运算高速的场合，提高了认证效率，并结合网络安全等级保护第三级要求，解决了车辆网中隐私保护和安全通信问题。

附图说明

图1为伪随机数生成过程图。

具体实施方式

下面对本发明的技术方案作进一步的说明，但并不局限于此，凡是对本发明技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的保护范围中。

安全信任是车联网产业健康发展的前提。通过建立证书管理系统，采用数字证书、数字签名、数据加密等技术建立车路云之间的安全信任体系，可实现对消息来源的认证、保证消息的合法性、对消息完整性及抗重放攻击，确保消息在传输过程中不被伪造、篡改、重放，以及对终端真实身份标识及位置信息的保密、防止用户隐私泄露等。基于此，本发明提供了一种车联网中基于密钥协商的身份认证安全信任方法，所述方法采用基于椭圆曲线密码体制生成签名、配合Blom密钥分配协议生成会话密钥、通过三向双路认证方式对通信实体的进行身份认证，具体包括如下步骤：

步骤一、伪随机数的生成

系统实现真随机数通常需要生物特征或者其他物理方法，获取的随机数的随机性和精度不够，并且实现起来较为复杂，因此，在实际中多采用伪随机数替代真随机数。本发明采用ANSI X9.17伪随机生成器，使用三次3DES加密算法生成伪随机数，生成过程如图1所示，具体过程如下：

步骤一一、输入两个64bit的随机数：DateTime_i是系统当前的日期和时间，每产生一个随机数R_i，DateTime_i都会更新一次；Seed_i为产生第i个随机数时的种子，初始值任意设定，与DateTime_i同样一次一更新。

步骤一二、三次加密均采用两个固定不变的56bit的密钥K1、K2，K1和K2必须保密。

步骤一三、生成两个数据：一个64bit的伪随机数R_i和一个64bit的新种子Seed_i+1，即：

步骤二、消息签名的生成

基本安全消息(Basic Safety Message，BSM)的发送方需要首先执行证书一致性检查，通过检查证书撤销列表(Certificate Revocation List，CRL)以确定签名证书是否被撤销，同时对签名证书的有效期、地域区域、权限描述等进行确认，然后利用SM3杂凑密码算法计算BSM的摘要值，并将消息连同摘要值的签名一同广播出去；签名验证方接收到包含数字签名和签名证书的消息后，需针对签名证书构建验证路径，并对验证路径上的每个证书执行证书一致性检查，未能通过检查的证书则不能用于验证消息签名操作。

本步骤采用基于椭圆曲线密码体制生成签名，消息签名及验证过程描述如下：

(1)参数设置

SM2使用素数域256位椭圆曲线，椭圆曲线方程：y₂＝x³+ax+b。设GP(p)为有限域，E是有限域GP(p)上的椭圆曲线。选择E上一点G∈E，G的阶为满足安全要求的素数n，即nG＝O(O为无穷远点)。有消息空间M，选择随机正整数sk，sk∈[1,n-1]，计算Q，使Q＝[sk].G，则Q为公钥，sk为私钥，长度为32字节。设待发送的消息为比特串。

(2)签名生成

设userId是签名者标识符，len是userId的长度。

①m′＝Z_A||m，m∈M，为待签名的消息。Z_A＝H(len||userId||a||b||x_G||y_G||x_A||y_A)；H为SM3密码散列函数，产生固定长度256位哈希值；

②计算h＝H(m′)；

③用伪随机数发生器生成随机数R_i，Ri∈[1,n-1]，计算椭圆曲线点P＝[Ri].G＝(x,y)，进一步得k＝(h+x)mod n；

④计算S＝((1+sk)^-1.(R_i-k.sk))mod n。如果k＝0或者S＝0，则另生成随机数R_i，重新执行③～④。消息m的签名为(k,S)。

(3)验证签名

①m′＝ZA||m，m∈M，为待签名的消息。ZA＝H(len||userId||a||b||xG||yG||xA||yA)；H为SM3密码散列函数，产生固定长度256位哈希值；

②计算h＝H(m′)；

③u＝(k+S)mod n，若u＝0，则验证不通过；

④计算椭圆曲线点(x1,y1)＝[S]G+[u]P_A；

⑤将x1的数据类型转换为整数，计算K＝(h+x1)mod n，检验K＝k是否成立，若成立则验证通过，否则验证不通过。

步骤三、密钥协商的生成

密钥协商是通信双方为防止通信信道不安全，共同合作生成同一个会话密钥的机制，即使中间传递过程中信息被截获，敌手也无法根据窃取的信息计算出会话密钥。通常使用的密钥协商协议(Key agreement Protocal，KAP)是Diffle-Hellman算法，可以实现会话密钥的保密性且可防止窃听。但该算法不支持认证，无法抵抗篡改及重放攻击。通常此算法会与另外的签名算法协议协同使用，例如RSA、DSA算法，密钥的安全跟密钥的长度有关。随着计算机运算能力的提高，要求安全密钥也越来越长，计算开销和通信开销也随之增加，同时RSA算法的加解密速度也限制了其无法有效地应用于计算能力受限的系统中。

为解决上述问题，本发明采用Blom密钥分配协议生成会话密钥，该协议是一种无条件安全的密钥分配方案。在公开信道上有n(n>2)个用户，每对用户之间共同生成一个可进行秘密通信的会话密钥。Blom利用多项式的对称性原理，即关于x和y的多项式，对于所有的x和y，都具有f(x,y)＝f(y,x)这一性质，来构造共享的密钥。具体方案如下：

公开参数选择：由可信第三方(Trusted Authority，TA)选定一个大素数p(p≥n)，每个用户U各自选定一个正整数各不相同，TA公开所有的r_u。

(1)TA随机选定并构造函数f(x,y)＝(a+b(x+y)+cxy)mod p。

(2)对每个用户U，由TA计算多项式g_u(x)＝f(x,r_u)mod p，并将g_u(x)通过安全信道发送给U，可得，g_u(x)＝a_u+b_ux，其中a_u＝(a+br_u)mod p，b_u＝(b+cr_u)mod p。

假设用户A与用户B进行秘密通信，则A和B分别计算K_AB＝g_A(r_B)mod p，以及K_BA＝g_B(r_A)mod p。由

K_AB＝g_A(r_B)mod p＝f(r_A,r_B)mod p＝g_B(r_A)mod p＝K_BA

得A和B的共享会话密钥K_AB＝K_BA。

无条件安全性证明：

Blom密钥分配方案对于单个用户是无条件安全的，即对敌手M而言，A和B的共享密钥可以取密钥空间的任何值。假设敌手M获取的信息是TA发送的多项式g_M(x)＝a_M+b_Mx的系数，敌手M的目标是猜测K_AB。

即：

①aM＝(a+brM)mod p

②bM＝(b+crM)mod p

③KAB＝(a+b(rA+rB)+crArB)mod p

已知rA和rB是公开的，但a、b、c未知。通过①②③计算得：对于K_AB可能的取值为密钥空间中的任意值。若抵御K个用户合谋攻击，则/>其中/>且对于所有i，j有a_i,j＝a_j,i。

步骤四、身份认证

通过三向双路认证方式对通信实体的进行身份认证。

基于公钥密码的实体认证的优势在于可以利用数字签名提供抗抵赖性，不需要可信第三方。车联网通信设备首先向注册CA申请认证并获得注册证书，然后利用注册证书向假名CA、应用CA等应用授权机构申请实际用于基本安全消息BSM的V2X通信证书。为保护车辆隐私，假名证书注册机构PRA接受车载单元OBU的假名证书申请，对OBU提供的假名证书种子密钥进行扩展，从链接机构LA获取对应的证书链接值后，基于扩展的密钥和链接值生成假名证书生成请求并发送给假名证书CA，从假名证书CA获取OBU的假名证书并发送给OBU。

X.509证书管理系统通过使用传输层安全(Transport Layer SecurityProtocol，TLS)/传输层密码协议(Transport Layer Cryptography Protocol，TLCP)等安全协议建立安全链路，保证车云平台之间传输信息的安全性和可追溯性。

X.509基于公钥密码系统的用户之间认证的对称密钥传输功能，考虑到通信双方建立时钟同步比较困难，因此采用三路双向认证方案。在方案中采用基于随机数的挑战-应答方式。协议中的参数CERT_U、PKU、SKU、E_PKU、K_uv、SIGN_SKU分别表示用户U的公钥证书、公钥、私钥、会话密钥、加密算法、签名算法。过程如下：

A→B:SIGN_SKA{r_A,B,sighData,E_PKB[K_AB]},CERT_A

B→A:SIGN_SKB{r_B,A,sighData,E_PKA[K_BA]},CERT_B

A→B:SIGN_SKA{r_B}

(1)A→B代表用户A将消息连同公钥证书Cert_A发送给用户B，向B证明：消息发送者A的身份、指明消息的接收者为B，以及消息的完整性和新鲜性。

A向B发送由A的私钥SKA签署的消息，即A提交给B的凭证：SIGN_SKA{r_A,B,sighData,E_PKB[K_AB]},CERT_A。消息由多个数据项组成：一次一生成随机数r_A、接受者B的标识，其中含有消息截止时间。r_A是该消息在截止时间前唯一所有的，接收者B在消息截止时间之前一直存有r_A，以拒绝其他具有相同r_A的消息，可避免重放攻击。如果A发给B的消息不单纯作为凭证，还可以包含其他信息sighData，将其作为A签署的数据项中，可以保证消息的真实性与完整性；数据项中还包括接收方B的公钥PKB通过加密算法E加密的、经过密钥协商机制确定的会话密钥K_AB。

(2)B→A代表用户B向用户A做出应答：SIGN_SKB{r_B,A,sighData,E_PKA[K_BA]},CERT_B，向A证明：应答消息是由A指定的具有公钥证书CERT_B的消息接收者B产生的，并在消息中指明期望接收者为A，以及消息的完整性和新鲜性。

应答消息中包括由A发来的一次性随机数r_A，以保证应答消息有效，同时由B发出一次随机数r_B，以及其他附加信息sighData和由A的公钥PKA加密的会话密钥K_AB。

(3)A→B代表完成双向认证后，消息发送方A再将从接收方B发来的一次一生成的性随机数r_B进行数字签名后重新发送给B，即SIGN_SKA{r_B}，以完成三向认证。三向双路认证可以省去通信双方检查时间戳的过程，只需检查对方的一次性随机数即可检测出是否发生重放攻击。

步骤五、性能分析

由表1可得：执行双线性配对中的标量乘Tbpm、映射到点的哈希运算Tmtp、双线性配对运算Tbp三个过程最耗时，分别是9.85ms、22.8ms和6.05ms。

表1各种计算执行时间

运算类型	执行时间(ms)
		双线性对上的加法运算Tbpa	0.05
双线性配对运算Tbp	6.05
		映射到点的哈希运算Tmtp	22.8
双线性配对中的标量乘Tbpm	9.85
		椭圆曲线上标量乘Teccm	0.9
椭圆曲线上点加运算Tecca	0.002
		哈希函教运算Th	0.001

对表2分析可得：文献1[Pournaghi S M,Zahednejad B,Bayat M,et al.NECPPA:Anovel and efficient conditional privacy-preserving authentication scheme forVANET[J].Computer Networks,2018,134:78-92.]、文献2[Jiang S,Zhu X,Wang L.AnEfficient Anonymous Batch Authentication Scheme Based on HMAC for VANETs[J].IEEE Transactions on Intelligent Transportation Systems,2016,17(8):2193-2204.]、文献3[Xu Z Y,He D B,Kumar N,et al.Efficient certificateless aggregatesignature scheme for performing secure routing in VANETs[J].Security andCommunication Networks,2020:12(3):53-68.]在执行过程中主要包含双线性配对中的标量乘运算、映射到点的哈希运算、双线性配对运算，这三种运算耗时较多；DLS(本发明)方案主要包括椭圆曲线标量乘运算和哈希运算，运算耗时少于文献1、文献2、文献3的方案。

表2三种参考文献的计算开销(单位ms)

方案	单条消息	n条消息
			文献1	296	296n
文献2	408	408n
			文献3	469	469n
DLS方案	160	160n

通过将四种方案的计算开销进行对比，得出结论：在同等安全环境下，与文献1、文献2、文献3的计算开销对比，DLS方案计算开销最小。

根据表3中四种方案的通信开销的数据对比结果可知，随着请求消息数量的增加，DLS方案在通信开销中小于其它三种方案，在节点数量较多、实体间通信较频繁的车载自组网中占据优势。

表3四种方案的请求信息长度对比(单位Bytes)

方案	运算次数	计算开销
			文献1	4Tbpm+Tbpa+2Th+Tmtp	62.25
文献2	4Tbpm+Th+Tbpa	39.4
			文献3	3Teccm+Tecca+2Tmtp	48.3
DLS方案	2Teccm+Tecca+4Th	23.25

Claims

1.一种车联网中基于密钥协商的身份认证安全信任方法，其特征在于所述方法包括如下步骤：

步骤一、伪随机数的生成：

步骤二、消息签名的生成：

采用基于椭圆曲线密码体制生成签名；

步骤三、密钥协商的生成：

采用Blom密钥分配协议生成会话密钥；

步骤四、身份认证：

通过三向双路认证方式对通信实体的进行身份认证。

2.根据权利要求1所述的车联网中基于密钥协商的身份认证安全信任方法，其特征在于所述步骤一的具体步骤如下：

步骤一一、输入两个64bit的随机数：DateTime_i是系统当前的日期和时间，每产生一个随机数R_i，DateTime_i都会更新一次；Seed_i为产生第i个随机数时的种子，初始值任意设定，与DateTime_i同样一次一更新；

步骤一二、三次加密均采用两个固定不变的56bit的密钥K1、K2，K1和K2必须保密；

3.根据权利要求1所述的车联网中基于密钥协商的身份认证安全信任方法，其特征在于所述步骤二的具体步骤如下：

(1)参数设置

SM2使用素数域256位椭圆曲线，椭圆曲线方程：y₂＝x³+ax+b；设GP(p)为有限域，E是有限域GP(p)上的椭圆曲线，选择E上一点G∈E，G的阶为满足安全要求的素数n，即nG＝O，O为无穷远点，有消息空间M，选择随机正整数sk，sk∈[1,n-1]，计算Q，使Q＝[sk].G，则Q为公钥，sk为私钥，长度为32字节；设待发送的消息为比特串；

(2)签名生成

设userId是签名者标识符，len是userId的长度；

①m′＝Z_A||m，m∈M，为待签名的消息，Z_A＝H(len||userId||a||b||x_G||y_G||x_A||y_A)；H为SM3密码散列函数，产生固定长度256位哈希值；

②计算h＝H(m′)；

④计算S＝((1+sk)^-1.(R_i-k.sk))mod n，如果k＝0或者S＝0，则另生成随机数R_i，重新执行③～④，消息m的签名为(k,S)；

(3)验证签名

①m′＝ZA||m，m∈M，为待签名的消息，ZA＝H(len||userId||a||b||xG||yG||xA||yA)；H为SM3密码散列函数，产生固定长度256位哈希值；

②计算h＝H(m′)；

③u＝(k+S)mod n，若u＝0，则验证不通过；

④计算椭圆曲线点(x1,y1)＝[S]G+[u]P_A；

4.根据权利要求1所述的车联网中基于密钥协商的身份认证安全信任方法，其特征在于所述步骤三的具体步骤如下：

步骤三一、公开参数选择：

由可信第三方TA选定一个大素数p，p≥n，n>2，每个用户U各自选定一个正整数各不相同，TA公开所有的r_u；

(1)TA随机选定并构造函数f(x,y)＝(a+b(x+y)+cxy)mod p；

(2)对每个用户U，由TA计算多项式g_u(x)＝f(x,r_u)mod p，并将g_u(x)通过安全信道发送给U，可得，g_u(x)＝a_u+b_ux，其中a_u＝(a+br_u)mod p，b_u＝(b+cr_u)mod p；

假设用户A与用户B进行秘密通信，则A和B分别计算K_AB＝g_A(r_B)mod p，以及K_BA＝g_B(r_A)mod p，由

K_AB＝g_A(r_B)mod p＝

f(r_A,r_B)mod p＝

g_B(r_A)mod p＝K_BA

得A和B的共享会话密钥K_AB＝K_BA；

步骤三二、无条件安全性证明：

假设敌手M获取的信息是TA发送的多项式g_M(x)＝a_M+b_Mx的系数，敌手M的目标是猜测K_AB，即：

①aM＝(a+brM)mod p

②bM＝(b+crM)mod p

③KAB＝(a+b(rA+rB)+crArB)mod p

已知rA和rB是公开的，但a、b、c未知，通过①②③计算得：对于K_AB可能的取值为密钥空间中的任意值，若抵御K个用户合谋攻击，则/>其中且对于所有i，j有a_i,j＝a_j,i。

5.根据权利要求1所述的车联网中基于密钥协商的身份认证安全信任方法，其特征在于所述步骤四的具体步骤如下：

步骤四一、车联网通信设备首先向注册CA申请认证并获得注册证书，然后利用注册证书向应用授权机构申请实际用于基本安全消息BSM的V2X通信证书；

步骤四二、为保护车辆隐私，假名证书注册机构PRA接受车载单元OBU的假名证书申请，对OBU提供的假名证书种子密钥进行扩展，从链接机构LA获取对应的证书链接值后，基于扩展的密钥和链接值生成假名证书生成请求并发送给假名证书CA，从假名证书CA获取OBU的假名证书并发送给OBU；

步骤四三、X.509证书管理系统通过使用安全协议建立安全链路，保证车云平台之间传输信息的安全性和可追溯性；

步骤四四、X.509证书管理系统基于公钥密码系统的用户之间认证的对称密钥传输功能，采用三路双向认证方案，在方案中采用基于随机数的挑战-应答方式，协议中的参数CERT_U、PKU、SKU、E_PKU、K_uv、SIGN_SKU分别表示用户U的公钥证书、公钥、私钥、会话密钥、加密算法、签名算法，过程如下：

A→B:SIGN_SKA{r_A,B,sighData,E_PKB[K_AB]},CERT_A

B→A:SIGN_SKB{r_B,A,sighData,E_PKA[K_BA]},CERT_B

A→B:SIGN_SKA{r_B}

A→B代表用户A将消息连同公钥证书Cert_A发送给用户B，向B证明：消息发送者A的身份、指明消息的接收者为B，以及消息的完整性和新鲜性；

B→A代表用户B向用户A做出应答：SIGN_SKB{r_B,A,sighData,E_PKA[K_BA]},CERT_B，向A证明：应答消息是由A指定的具有公钥证书CERT_B的消息接收者B产生的，并在消息中指明期望接收者为A，以及消息的完整性和新鲜性；

A→B代表完成双向认证后，消息发送方A再将从接收方B发来的一次一生成的性随机数r_B进行数字签名后重新发送给B，即SIGN_SKA{r_B}，以完成三向认证。