IBE技术在V2X通信中的应用*

Automobile Technology - - 王艳艳,等:IBE 技术在 V2X 通信中的应用 - (责任编辑 文楫) 2018 7 6修改稿收到日期为 年 月 日。

王艳艳1 罗璎珞2 ( 1.上海国际汽车城(集团)有限公司,上海 201805;2. 中国信息通信研究院,北京 100191)

【摘要】V2X(Vehicle to Everything)技术是智能网联汽车的一项关键技术,为解决在V2X通信过程中在满足隐私保护的同时实现安全性,欧美等国提出了基于 PKI/CA的认证体系,这种解决方案对通信证书发放中心的处理能力和性能要求较高,证书签发流程的复杂性无法满足车车、车路通信低时延的要求。为此提出了基于 IBE技术的V2X通信身份认证体系,采用 IBE服务器取代欧美方案中通信证书发放中心,由 IBE服务器向通信参与方发放密钥用于身份验证,该认证流程相对简化,整体通信效率得到了优化。 主题词: V2X通信 网络安全 IBE技术U462.11;TN915 A 10.19620/j.cnki.1000-3703.20180670中图分类号: 文献标识码: DOI:

Application of IBE Technology in V2X Communication

Wang Yanyan1, Luo Yingluo2 1. Shanghai International Automobile City Group Co., Ltd, shanghai 201805; 2. China Academy of Information and ( Communications Technology, Beijing 100191) Abstract V2X (Vehicle to Everything) communication technology is a critical technology of intelligent connected【 】vehicle. In order to achieve identity authentication to the parties involved in communication while protecting privacy in V2X communication, some organizations in Europe and the United States have proposed a PKI/CA authentication system. This solution has higher requirement on processing capability and performance of the communication certificate issuing center. The process of issuing a certificate does not match the requirements of low latency communication. Therefore, this paper proposed the V2X communication authentication identity based on IBE technology, that used IBE server to replace the communication certificate issuing center of the European solution, and IBE server issue secrete key to the parties involved in communication for authentication. IBE technology is simplified in authentication process, and whole communication efficiency is optimized.

Key words: V2X, Cyber security, IBE 1 前言

V2X(Vehicle to Everything)

技术是智能网联汽车的一项关键技术,这种通信技术能够提升道路通行效率,同时可作为自动驾驶感知系统的补充输入,低成本地提升自动驾驶的可靠性。但如果参与通信的车辆或路侧

V2X

设备之间缺少统一的标识认证体系,则 通信易出

V2X

现伪造、篡改等多种方式的攻击。因此,研究 通信的可信体系十分必要。

LTE- V 5G V2X

随着 和 通信标准的推进及 应用场

V2X

景的明晰[1-2], 已逐步商用化。相对于路侧设施和网络设备的信息安全防护水平及可信度,车辆间的通信安 V2X

全性成为用户关心的焦点。 通信场景下的安全性主要包括保密性、完整性、可认证性和抗抵赖性,其中可

V2X

认证性和完整性保护在 通信中尤为重要。通过

V2X

通信方式传递的消息是关于道路紧急状况、拥堵状态和安全事故的实时信息,必须保证消息是合法设备所发出的,而且没有被篡改或重放。同时,可认证性需基于用户身份进行鉴别,而直接使用车辆或所有者的信息可能造成用户隐私泄露,因此要充分平衡可信和隐私保

V2X

护,并且结合 通信的高移动性、低时延要求等特

V2X

点,选择有效的身份认证和完整性保护措施来构建

IBE

通信的安全可信体系。本文提供了一种使用 技术

V2X

在 通信中实现通信各方身份认证的解决方案。

2 欧美V2X通信身份认证体系

PKI/CA满足可信身份的技术措施是构建 体系[3],即通过证书来证明用户的身份。为了兼顾隐私保护,欧盟

C2C- CC LTC(Long Time

组织提出了使用长期证书

Certificate) PC(Pseudonym Certificate)

和通信证书 组合

CA

的方式,通过多种 中心分层次连接的解决方案来满

V2X

足 通信安全和隐私保护需求。

LTCA PCA CA,

此方案中存在 和 两类 分别签发

LTC PC LTCA V2X

和 证书。 给车辆零部件 模块发放证

LTC, V2X

书 用来证明该车辆和车辆中 模块的合法性

LTC VIN

并起到标识作用。 证书类似 号码,但包含更多信息,如用于身份认证的非对称加密算法生成的密

LTC V2X

钥信息等。 证书会在车辆生产时就预置到 模

PCA PC

块中,正常情况下可永久使用。 发放 证书,用

G5A

来对通信所传递的 格式的信息进行签名。给车

PC

辆发放短期有效的通信证书 可保证安全性和隐私,

V2X

可有效地对抗跟踪和破解,满足 通信需求。由于

LTCA

一般为各整车厂所有,因此需要国家层面的顶级

CA ROOT CA( CA

中心 也称根 、主备或负载均衡等)实

ROOT CA

现证书服务器之间的可信互联,并且由 对

LTCA PCA V2X

及 进行认证。欧洲 通信身份认证体系

1

架构[4]如图 所示。 V2X

欧洲 通信身份认证体系工作流程如下:

a. V2X PCA PC

当 用户有通信需求时向 发送申请

LTC LTCA ID

请求,请求中包括加密后的 、 等信息;

b. PCA LTCA LT⁃

收到请求后向 发送认证要求,请

CA

验证该用户的合法性;

c. LTCA PCA

对发送认证请求的 是否合法进行验

LTC PCA;

证,并对用户 进行认证,将结果返回

d. PCA PC ECDSA

收到结果后进行分发 、预置 密钥与参数等环节的处理。

C2C-CC C2C-CC PKI/

欧盟 组织提出的 方案采用了

CA CA

体系,并使用了 的级联,证书管理流程复杂,不适 PCA

用于车车通信低时延要求。特别是 中心需要持续快速生成大量证书,用于通信各方在较短时间内的身份

CA

认证与安全防护时,就要求 中心有很高的处理能力,

PC

容易存在性能瓶颈;同时, 签发等环节会形成时延,

V2X

与 通信高实时性要求不符。因此,该体系并不适

V2X

合 应用场景要求。

V2X

美国的 通信支持安全消息传递和重要信息收集,其可信认证体系整体架构与欧洲方案类似,也采用

CA PKI/CA LTC

多级 级联的 体系,同样存在两种证书(

PC), CA

和 为了优化性能还增加了中间级 。为了更加有效地管理恶意车辆,美国的体系中增加了不良行为记录中心,负责记录曾经被判定为恶意的车辆信息。全美

8 Pseudonym CA 1 GM

国共有 个 中心,其中 个为 运营,这

PCA 5 CA

些 预计年签发 亿张证书,这是其它行业 中心无法企及的体量。

3 基于IBE技术的V2X通信身份认证体系3.1 IBE技术优势

IBE(Identity- Based Encryption)

技术使用椭圆曲线算法,实现基于标识的数字签名功能。该算法的签名者持有一个标识和一个相应的签名私钥,该签名私钥由密钥生成中心通过签名主私钥和签名者的标识结合产生。签名者用私钥对数据进行运算产生数字签名,验证者利用签名者的标识检验签名的可靠性。

IBE V2X

利用 技术构建 通信的可信体系,能够满足

V2X

通信低时延及密钥需求量大的要求,能够提供身份

IBE

认证和完整性防护等多项安全服务。使用 技术代

PCA PKI/CA

替 部分,形成以 架构为基础的长期证书管

IBE

理系统与 支撑的通信密钥体系相结合的综合架构,

V2X

能够高质量满足 通信安全需求。

3.2 用IBE技术构建的V2X通信身份认证体系

IBE V2X

基于 技术的 通信可信体系整体方案主要

LTCA ROOT CA IBE V2X

由 、 、 服务器、 终端等组成,如

2 LTCA ROOT CA ROOT CA

图 所示。其中, 与 、 服务器

IBE

与 服务器之间均通过通信网络来传递证书认证请

IBE

求、待验证证书信息以及验证结果。 服务器与车辆之间通过蜂窝通信网络无线连接,用来传送域参数、

IBE

车辆通信私钥等参数及车辆向 服务器报告异常车

V2X

辆。车与车之间通过 通信无线连接,先传送签名进行验证,当确认车辆身份无异常后,再处理车辆之间

V2X

互相传送 各类应用信息。

IBE V2X LTCA

在基于 技术的 通信可信体系中, 仍

ROOT CA CA

然为整车厂自主维护, 也仍然为国家级 。

IBE ROOT CA LTCA

当 服务器向 查询 的真实性时,

ROOT CA LTCA

将向整车厂的 转发该验证申请,并将认

IBE IBE

证结果传回到 服务器。 服务器完成其所管理域内的域参数选择,对域内车辆发送域参数及域公钥,以

V2X

及该车辆的通信私钥。根据 通信终端数量,系统

IBE

可以部署多个 服务器系统,实现负载分担。 车辆基于通信私钥、域参数及域公钥,对需要传输的消息进行签名并发送,接收车辆完成验签。如有异IBE

常,接收车辆向 服务器发送警告信息。3.3 IBE技术身份认证原理IBE

技术所使用的椭圆曲线算法具有双线性映射

IBE V2X

特性[5],是基于 技术的 通信可信体系整体方案的理论基础。

G1 G2

设 、 是两个阶为q的循环群, q是一个大素数,

G1 G2

是加法群, 是乘法群,两个群之间的双线性映射为

Pair G1*G1→G2,

E: 满足以下条件:

G1

当变量PQ、属于 时:

Pair bQ)= Pair 1)

E(aP, E(P,Q) ab (

式中,、ab为属于Z的任意数。

IBE

建立以 服务器为中心的可信系统,首先选择系G1 G2 ∈ ∈ G1 Pair

统参数 、 、s Z* 、P 以及 E ;无碰撞哈希q H1:{ 0,1}* → G1, H2:{ 0,1}* → H3:G1→ IBE函数 Z, Z 。q q服务器对域内所有成员公开P和 P = s·P 的结果,保pub

IBE LTC

留 s 作为 服务器密钥。车辆的长期公钥 作为公开的标识信息,其相应通信公钥为Q= H1(LTC) ; IBE ltc服务器运算得到该车辆对应的通信私钥为D = s·Q , ltc ltc并使用安全通道将D 只返回给相应车辆。ltc按如下算法计算包括元素R和元素T的消息M的签名: ( T)∈ G1× G1 2)

R, ( 3)

R = k·P (

1( H2(M) H3(R) ltc) 4)

T = k- ·P, ·D (式中, k为发送消息的车辆选择的随机数,满足k ∈ Z* 。q验签是基于椭圆曲线函数双映射特性。验签时,计 5)

算式( 等号两侧的值,如果两侧的值相等则认为用户可信,否则身份认证不通过:

E( T)= E( P) H2(M) E( ltc) H3(R) 5)

R, P, ·P ,Q ( pub 3.4 身份认证体系工作流程IBE

以车辆间通信为例,当车辆进入某 服务器所管

IBE LTC,IBE LTC

理域时,首先向 服务器提交 服务器将

ROOT CA

转发至 请求验证并接收验证结果。验证通过后,车辆在发送消息前需进行认证,流程如下。

a. IBE LTC

服务器向其管理的域内已经通过 有效性验证的车辆下发本时段的域参数 P 及域公钥P = s·P 。利用 P计算签名所需的R = k·P 。同时,域pub服务器下发该车辆的通信私钥。

b.

当车辆发送消息时,首先选择随机数k,满足

∈ k Z* ,利用kP、和 Dltc生成签名,并将通信公钥Qltc随消q息MM及 的签名一同发送给接收车辆。

c. 5)

接收车辆验签,即判断式( 是否成立。若等式成立,则发送消息的车辆身份可靠,接收车辆将保留发送车辆的公钥等信息供后续通信使用;若等式不成

IBE

立,接收车辆将报告 服务器该发送车辆身份可疑,并且不再接收该车辆发出的信息。

4 结束语

IBE V2X

本文提出的基于 技术的 通信身份认证体

LTC V2X

系方案,使用长期证书 作为 通信方的身份标

PC

识,有效地保护了用户隐私,同时避免了签发 通信证书的时间和系统资源开销[6],从而能够灵活部署。因此,

IBE V2X

使用 技术构建 通信可信体系是一种高效的方案,可为后续相关建设提供参考。

参考文献

[1] . 2017中国信息通信研究院 年车联网网络安全白皮书[EB/OL]. http://www.199it.com/archives/641950.html, 2017. [2] .中国汽车工程学会合作式智能运输系统车用通信系统[S]. http://www.doc88.com/p应用层及应用数据交互标准0863886962536.html, 2018. [3] , . PKI/CA [M].张明德 刘伟 与数字证书技术大全 北京:电, 2015.子工业出版社[4] C2C- CC.C2C- CC Security Design[EB/OL]. https://www.car2-car.org, 2012. [5] , , .刘宏伟 谢维信 喻建平 一种基于身份的短数字签名方[J]. , 2007, 23(7-3):30-32.案 微计算机信息[6] , . PKI [J].石艳荣 贺永强 和基于身份加密的比较 微计算机, 2008, 24(1-3):83-84.信息

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.