适用于低流量和高流量场景的车载自组织网络认证与验证方案

摘要

如今，车载自组织网络（VANET）因其在提升交通效率和安全性方面的显著贡献，重要性和普及率日益提升。本文提出了一种适用于低流量和高流量场景的车载自组织网络（VANET）认证与验证方案。然而，车辆之间、车辆与路侧单元（RSU）之间的通信需具备安全性和认证性。本文将探讨椭圆曲线密码算法（ECC），该算法利用车辆标识（ID）、随机生成的素数和时间戳对消息进行安全加密。研究的核心目标是缩短认证时间，因此引入了经路侧单元（RSU）和证书颁发机构（CA）双重验证的代理车辆，由其承担一半的认证流程，从而减少整体认证耗时。本文以数据包丢失率、延迟和吞吐量为评估指标，对比了所提方案在低流量和高流量环境下的性能。结果表明，该方案在两种流量场景下均能在更短时间内实现高质量的消息认证，且不影响车载自组织网络（VANET）的整体安全性。

1. 引言

车载自组织网络（VANET）是移动自组织网络（MANET）的一个分支，二者同属无线自组织网络家族。"自组织（Ad-hoc）" 指可自由移动的连接模式。车载自组织网络（VANET）是去中心化网络，即不存在第三方控制网络运行 ------ 这与移动电话受中央机构管控的模式不同。该网络主要通过工业、科学和医疗（ISM）频段建立连接并实现跨网络数据传输。车载自组织网络（VANET）由车辆、路侧单元（RSU）和证书颁发机构（CA）三部分构成，三者共同保障网络正常运行。在车载自组织网络（VANET）中，密码安全技术对保护传输信息至关重要。目前存在多种用于网络数据加密的密码技术，例如现场可编程门阵列（FPGA）技术。如今，混合多级安全方案已得到应用，例如基于 DNA 计算和椭圆曲线密码学（ECC）的颜色编码方案。车载自组织网络（VANET）在移动自组织网络（MANET）领域具有明确的应用场景，包括交通更新、警用车辆调度、消防车辆调度等；此外，通过在不同网络用户间搭建全球通话（Global Talk）、Skype 等免费网络语音（VoIP）系统，还可降低电信通信成本。

1.1 车载网络的特征

车载网络具有独特的行为模式和特征，使其区别于其他类型的网络。与其他网络相比，车载网络的核心特征如下：

· 无限制传输功率：在自组织设备中，功率问题是主要约束，但在车载网络中，节点（车辆）可为计算和通信设备提供持续供电。

· 计算能力提升：车辆在网络中运行时间越长，对网络环境的适应性越强，进而推动网络整体计算能力提升。

· 可预测移动性：移动自组织网络（MANET）中车辆移动性难以预测，而车载网络中车辆的移动具有高度可预测性，其活动范围仅限于道路。道路信息通常可通过全球定位系统（GPS）等定位系统和地图技术获取。

· 高移动性：车载网络的网络配置有限，但运行环境极具动态性。

· 分区网络：车载自组织网络（VANET）中节点（车辆）移动速度快，有时会因车辆间距离过远导致网络断开连接。因此，需设定车辆间的最大允许距离，以避免网络分区问题。

· 网络拓扑与连通性：车载网络环境具有地点依赖性，完全基于实时场景运行。在动态场景中，车辆持续移动并改变位置，导致节点间连接频繁建立和断开，网络拓扑结构随之频繁变化。

2. 相关研究

车载自组织网络（VANET）是由无线移动车辆组成的网络，车辆之间及车辆与基础设施之间通过通信协作，以保障交通安全。该网络基于无线 ISM 频段（即 IEEE 802.11p 标准）运行。车辆上安装的车载单元（OBU）负责与路侧单元（RSU）通信。近年来，道路交通流量持续增长，由于服务设施不足，道路拥堵问题日益严重。部分研究者在其研究中指出，车载自组织网络（VANET）在减少交通事故、传输预警消息、提供信息娱乐服务等方面发挥着重要作用。

图 1、车载自组织网络（VANET）架构

安全性是任何通信网络的关键要素，而机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）（CIA 三元组）在车载自组织网络（VANET）中尤为重要。认证是一个复杂的过程，其核心是验证用户合法性并允许其安全使用网络。认证过程中的主要问题在于路侧单元（RSU）的验证耗时。目前已有多种技术可用于认证流程。安全性需持续保障网络免受攻击者威胁，因此认证作为前置环节，对网络安全至关重要。

Biswas 和 Misic 提出了多种适用于车载自组织网络（VANET）中 IEEE 无线接入点认证与验证的方案。其研究的核心贡献是提供了车载消息验证的安全性保障及道路验证消息的传输策略。该方案将椭圆曲线数字签名算法（ECDSA）的变体与基于身份（ID-based）的签名相结合，并将车辆当前位置信息作为对应车辆的身份标识（ID）。这一设计省去了车载自组织网络（VANET）消息认证中对第三方公钥证书的需求。为解决车载自组织网络（VANET）的安全问题，该方案还采用双重验证机制对消息安全性进行交叉校验。

车辆间通信的消息认证必须具备安全性，因此 Manvi SS 提出了基于椭圆曲线数字签名算法（ECDSA）的认证方案。该方案的运行流程如下：1. 信息发送方（源车辆）生成公钥和私钥；2. 公钥在整个网络中分发；3. 采用安全哈希算法对消息进行哈希运算，以保障消息完整性；4. 结合发送方车辆的私钥，采用高强度加密方法对消息进行加密后发送至目标节点；5. 接收方（目标车辆）利用网络中分发的公钥对加密消息进行解密；6. 目标车辆采用相同的安全哈希算法生成消息哈希值，并与解密得到的原始哈希值进行比对。椭圆曲线数字签名算法（ECDSA）的效果显著，其生成的密钥尺寸小于 RSA 算法和迪菲 - 赫尔曼（Diffie-Hellman）算法。

Lu 等人提出了面向服务架构（SOA）。车载自组织网络（VANET）是移动自组织网络（MANET）的主要子部分。在这类通信模式中，车辆之间相互通信，并向特定区域内的其他车辆传输必要信息；通信过程通过高带宽无线无线电波实现。如今，车载自组织网络（VANET）因其在提升安全性和交通效率方面的作用而广受关注，但车辆节点间的通信必须具备安全性和认证性。消息安全是车载自组织网络（VANET）面临的重大挑战，而面向服务架构（SOA）有助于防止消息内容被攻击者窃取。面向服务架构（SOA）的运行流程分为四个步骤：1. 注册阶段：完成车辆注册；2. 认证阶段：将消息发送至路侧单元（RSU）验证合法性；3. 隐私保护阶段：确保数据不泄露给第三方；4. 更新阶段：在指定周期内完成全量数据更新。该架构的安全性由配备多种安全措施的基础设施提供支持。面向服务架构（SOA）的复杂性较高，因其整合了多个安全维度。多种服务共同作用以实现最优安全保障，这类设计思路理论上可行，但随着复杂性增加，可能导致整个网络故障。

Mamun MSI 提出了一种基于群签名的网络安全优化方案。该方案根据特定区域的节点情况划分群组，并从群组中选举簇头（CH）；簇头的职责是监控群组运行状态，并向该区域内所有节点收集或分发信息包。在群签名机制中，簇头需与路侧单元（RSU）通信，路侧单元（RSU）验证簇头的所有必要信息后，向该已验证车辆颁发签名或证书。生成的证书可作为该区域内其他车辆的认证凭证。这一方案提升了网络中车辆的安全性 ------ 大多数车辆通过路侧单元（RSU）或簇头生成的群签名完成认证，确保信息处理过程的安全性。车载自组织网络（VANET）中基于椭圆曲线数字签名算法（ECDSA）的消息认证是目前最优方案之一，其运行流程如下：

1. 源节点（车辆）生成非对称私钥和公钥；

2. 公钥在车载自组织网络（VANET）的所有车辆中分发；

3. 源车辆采用安全哈希算法生成消息哈希值；

4. 利用私钥对生成的哈希消息进行加密，并发送至目标节点；

5. 目标车辆通过公钥对加密消息进行解密，得到哈希消息；

6. 目标车辆采用与源车辆相同的算法生成消息哈希值。

该方案为目标节点提供了强有力的认证机制：哈希算法会为每条消息生成唯一的哈希值，若传输过程中消息被篡改，哈希值将发生变化。

3. 研究方法

本研究对比了基于代理的认证方案（PBAS）在高峰时段高流量和低流量两种交通场景下的性能。在整个流程中，代理车辆由该区域的路侧单元（RSU）选定 ------ 代理车辆是指在该区域停留时间最长的车辆，此举可避免重复选择代理车辆造成的时间浪费。路侧单元（RSU）和证书颁发机构（CA）验证车辆的注册标识（ID）后，由路侧单元（RSU）生成唯一标识（UID），并通过加密方式将该唯一标识（UID）下发至代理车辆。认证流程及代理车辆选择的核心步骤如下：

1. 车辆初始化阶段：消息\(M=\{ID, P, Ts\}\)（其中 ID 为车辆标识，P 为素数，Ts 为时间戳）；

2. 车辆消息M先通过随机种子加密，再利用路侧单元（RSU）的密钥二次加密，即\(e=E\)（经种子加密后的M，路侧单元密钥K）；

3. 路侧单元（RSU）利用密钥对加密信息e进行解密，并由路侧单元（RSU）和证书颁发机构（CA）共同完成验证；

4. 若验证请求合法，则通过安全通道向代理车辆下发唯一标识（UID）；

代理车辆可对消息进行验证，验证结果需再次经路侧单元（RSU）确认。

表 1、符号说明

算法 1、车载自组织网络（VANET）消息认证方案

4. 仿真与结果

本研究采用 2.35 版本的网络模拟器（Network Simulator）进行车载自组织网络（VANET）仿真，通过分析多种网络拓扑结构，验证所提方案的有效性和性能。基于代理的认证方案（PBAS）的核心作用是减轻路侧单元（RSU）的负载，进而缩短认证时间。以下将展示仿真中采用的评估指标及结果。车载自组织网络（VANET）的拓扑结构如图 2 所示。

图 2、车载自组织网络（VANET）拓扑结构

在本研究提出的方案中，通过选定代理车辆，路侧单元（RSU）的负载得以减轻，认证所需时间也显著缩短。该方案适用于低流量场景，此时数据包丢失率和延迟较低，网络吞吐量较高。

图 4 展示了高峰时段高流量场景下的仿真结果。该结果与低流量场景下的表现基本一致：吞吐量较高，数据包丢失率和延迟较低。因此，所提方案在低流量和高流量场景下均具有稳定的性能。

图 3、低流量场景下的 PBAS 方案性能

图 4、高流量场景下的 PBAS 方案性能

5、结论

当向路侧单元（RSU）发起认证请求的车辆数量较多时，所提方案仍能取得令人满意的效果。车辆通过向路侧单元（RSU）或合法代理车辆提交认证凭证完成身份验证，验证通过后即可获得网络访问权限。本文提出了结合双向认证和基于代理的认证方案（PBAS）的混合认证机制，为认证过程提供安全路径，有效降低了延迟和数据包丢失率，进而提升了网络吞吐量。此外，本文还分析了低流量和高流量场景下的车辆运行状况。结果表明，该消息认证方案的性能优于其他现有认证方案；同时，通过采用椭圆曲线数字签名算法（ECDSA）进行消息加密和解密，网络整体安全性得到进一步提升。