基于量子密鑰的車-云加密通信架構研究 *

石 琴，魯康源，程 騰，王川宿，張 星，許佩玲

（1. 合肥工業大學汽車與交通工程學院，合肥 230000； 2. 安徽省智慧交通車路協同工程研究中心，合肥 230000；3. 奇瑞汽車股份有限公司，蕪湖 241000）

前言

隨著車聯網技術的快速發展，車-云通信應用的場景越來越多，而車聯網在給人們帶來便利的同時，也給車輛的通信安全帶來了新的挑戰。一旦車-云體系中出現惡意攻擊，比如仿冒攻擊、篡改攻擊、信息竊取等［1-3］，整個用戶群體的隱私信息和駕駛安全將會受到威脅，云服務器也無法安全有序地運行。

目前車-云安全通信均是采用公鑰保護對稱密鑰加密數據［4-5］。一方面，非對稱密碼算法作為公私鑰的基礎，其安全性基于計算復雜度和數學中計算困難的問題，常見的非對稱密碼算法主要有RSA、DSA、ECC 等。隨著計算機技術的快速發展，RSA512算法在1999年就被破解；RSA768 在2009年被破解［6］；MD5 和SHA-1 兩大算法也已在2004 年被破解［7］。另一方面，密鑰大多源于隨機數和口令，與通過一些不可預測的物理現象產生的真隨機數［8］不同，通過種子信息、預設函數和常數常量等元素生成的偽隨機數，在具有強大算力的計算機面前安全性會進一步降低。

提高車-云通信系統的密鑰安全性，近年來得到世界多國學者的關注。2017 年，Azees 等［9］提出一種密鑰管理方案，通過對密鑰進行線性配對實現了隱私的條件保護和車-云的安全通信；2021 年，Chakrabarti 等［10］提出了一種新型的雙階段密碼系統來防止通信信道中的攻擊；同年，Abroshan［11］提出了一種基于改進橢圓曲線的算法來加密對稱密鑰。但這些研究都沒有從根本上解決密鑰安全生成與分發問題，一旦量子計算機能夠實現規模化應用，傳統方法被以量子計算為代表的超計算能力快速破解的風險將大大增加。

本文中采用量子密鑰保護對稱密鑰進行數據加密，提出了一種全新的融合量子密鑰的車-云加密通信架構，既實現了預置密鑰在廣域網下進行對稱會話密鑰的無線分發，也能通過BB84協議在局域網下進行對稱會話密鑰的實時協商。基于威脅分析與風險評估方法，建立安全評價體系進行安全性分析，結果表明該架構在各種威脅場景下仍具有較高的安全性。基于Prescan/Sumo/Simulink 仿真平臺，開發了聯合仿真系統，以車輛時延和丟包率為評價指標，對所設計的架構進行了性能分析，結果表明，該架構的平均時延和丟包率控制在16.861 ms 和0.0248%范圍內，車-云加密通信架構具有良好的通信質量。

1 理論基礎

海森堡測不準原理和量子不可克隆原理從根本上保證了量子密鑰的不可測量及其生成過程的不可竊聽，二者共同為量子加密通信的安全性提供了理論支撐。

1.1 海森堡測不準原理

不確定性原理是海森堡在1927 年提出的物理學原理。海森堡設想用一個γ 射線顯微鏡觀察一個電子的坐標，所用光的波長λ越短，顯微鏡的分辨率越高，測定電子坐標不確定的程度△q就越小，所以△q∝λ。但另一方面，光照射到電子，可以看成是光量子和電子的碰撞，波長λ越短，光量子的動量越大，所以有△p∝1/λ。

從而得出一個結論，一個基本粒子的位置測定得越準確，其動量的測定就越不準確，反之亦然。

1.2 量子不可克隆原理

1982 年，W. K. Wootters 和W. H. Zurek 正式提出了量子的不可克隆原理［12］，即不可能構造這樣一個系統，它既能完美克隆任意量子比特，但又不對原始量子位元產生干擾［13］。假設存在這樣一個系統能夠完美克隆任意的量子比特，和是兩個任意的量子狀態，現在要把這兩個狀態克隆到另一個與它們完全無關的狀態上，由文獻［14］ 可知，只能夠克隆相同或者正交的狀態，故假設不成立。

2 車-云加密通信架構

本文設計的車-云加密通信架構如圖1 所示，涉及量子云服務系統（quantum cloud server，QCS）、車載信息服務提供系統（telematics service provider，TSP）和車載通信終端（telematics box，T-BOX）。此外，架構由上而下分為系統硬件層、量子密鑰層和數據傳輸層，對應著不同密鑰的產生、分發和加密的過程。

圖1 車-云加密通信架構圖

2.1 系統的定義和功能

（1）QCS：QCS 中的量子密鑰分發與管理系統（quantum key distribution and management，QKDM）負責將會話密鑰和預置密鑰發送給密鑰服務系統，密鑰服務系統備份后下發給車輛。

（2）TSP：通過光纖連接的TSP 與QCS 進行密鑰協商產生動態協商密鑰，TSP 解密數據后，從QCS 獲取車輛的相關數據，為車輛提供相應的車聯網服務。

（3）T-BOX：車輛中具有無線通信能力的設備，存放有可以充注預置密鑰的安全介質。

2.2 量子密鑰的分發

量子加密理論涉及量子密鑰的分發，該過程對應圖1 中流程①-③，①為預置密鑰的分發過程，包括線下充注的過程，②是會話密鑰的分發過程，③是動態協商密鑰的分發過程。

2.2.1 預置密鑰的分發

預置密鑰是保障會話密鑰安全性而存在的一種可以線下充注的保護性密鑰，線下充注時，以量子隨機數文件的形式充注到車輛中，以便車輛與其他平臺通信時調用。

預置密鑰由QKDM使用量子信道和經典信道生成，生成的密鑰傳輸給密鑰服務系統。密鑰服務系統通過線下充注的方式將預置密鑰充注到車輛的安全介質內，并將充注記錄反饋給密鑰服務系統。同時預置密鑰在QCS 也存有備份，并且與車輛ID 綁定。車輛在獲取到預置密鑰后，能夠通過預置密鑰向QCS的密鑰服務系統請求會話密鑰。

2.2.2 會話密鑰的分發

會話密鑰是指在一次車-云通信中使用的一次性密鑰，當通信結束后，會話密鑰就失效并且被銷毀，等下一次建立連接時會生成不同的會話密鑰，會話密鑰的特性是一次一密，充分保證了通信的安全性，并且用完即毀的特點大大減少了系統存儲的壓力。

會話密鑰由QKDM 生成并傳輸給密鑰服務系統，若車輛需要同QCS通信，則通過預置密鑰向密鑰服務系統請求會話密鑰，QCS 對車輛的預置密鑰查驗通過后，用備份的預置密鑰加密會話密鑰，然后將其下發給車輛，車輛使用自身的預置密鑰解密后得到會話密鑰。

2.2.3 動態協商密鑰的分發

動態協商密鑰是為了防止攻擊者偷窺的一類密鑰，采用密鑰協商的方法［15］，即使在不安全的環境下，也可以通過雙方的協商產生用于會話的密鑰。

QCS 與TSP 之間的量子密鑰協商使用BB84 協議［16］，在該協議下，QCS使用量子信道將帶有偏振信息的光子序列通過光纖傳輸的方式發送給TSP ，TSP 隨機使用測量基對光子序列進行測量。然后，TSP 和QCS 通過互聯網信道對比雙方的測量基。對于每一位信息，測量基相同的保留該位數據，測量基不同的拋棄該位數據，對比完所有位后剩下的信息再進行誤碼率的檢測，當誤碼率在可接受的范圍內則保留該密鑰［17］，即動態協商密鑰。

QCS將來自車輛的數據用動態協商密鑰加密后發送給TSP，后者接收到密文后解密獲得明文，為車輛提供個性化的車聯網服務。

2.3 基于國密的加解密方法

SM4算法是我國的商用密碼標準，車-云加密通信采用基于SM4 的加密方法。加密過程對應圖1 中的④，包括會話密鑰、動態協商密鑰加密數據以及預置密鑰加密會話密鑰。解密過程對應圖1 中的⑤，包括會話密鑰、動態協商密鑰解密數據以及預置密鑰解密會話密鑰。

2.3.1 基于國密的加密方法

基于SM4 的數據加密過程，分為量子密鑰的擴展和明文加密兩個步驟。

（1） 量子密鑰的擴展

該部分為量子密鑰擴展階段，結束時將產生32輪的輪量子密鑰。

首先，產生的量子密鑰的長度為128 b，將其分為4 個部分，每一個部分都為32 b 的字，表示為QK=（QK0，QK1，QK2，QK3），系統參數為FK=（FK0，FK1，FK2，FK3），固定參數為CK=（CK0，CK1，CK2，CK3）。

合成變換T1（X）=L1（τ（X）），其中τ是非線性變換，是S盒的一種。而L1（B）=B⊕（B<<<13）⊕（B<<<23）。然后，將量子密鑰與系統參數進行異或操作，（K0，K1，K2，K3）=（QK0⊕FK0，QK1⊕FK1，QK2⊕FK2，QK3⊕FK3） 。最后是獲取每一輪的輪量子密鑰rki，rki=Ki+4=Ki⊕T1（Ki+1⊕Ki+2⊕Ki+3⊕CKi）。

至此，32 輪量子加密需要的輪量子密鑰已經根據輸入的量子密鑰產生。

（2） 明文加密

該部分由產生的輪量子密鑰對數據進行32 輪的加密操作。

首先將128 b 的明文分為4 個部分，每一個部分都為32 b 的字X1|X2|X3|X4。然后利用迭代運算對明文進行擴展，Xi+4=Xi⊕T（Xi+1⊕Xi+2⊕Xi+3⊕rki），i=0，1，2， …，31。此處的合成變換為T（X）=L（τ（X）），其中L（B）=B⊕（B<<<2）⊕（B<<<10）⊕（B<<<18）⊕（B<<<24），每一輪的明文變換都由輪量子密鑰參與，并生成下一輪明文。

2.3.2 基于國密的解密方法

車-云通信的解密過程與加密過程完全相同，只是在輪迭代的時候，需要將輪量子密鑰逆序使用，即第一輪使用rk31，以此類推。

3 安全性分析

為評估車-云加密通信架構的安全性，本文基于威脅分析與風險評估方法，建立一種多層次、立體化的安全評價體系，如圖2所示。

圖2 車-云加密通信架構安全性評價體系

安全評價體系基于ISO/SAE 21434標準，識別評估對象中的損害場景和威脅場景，確定損害場景的影響等級和攻擊可行性等級， 形成評估對象的聯合風險等級矩陣，最后判斷評估對象的安全風險。

3.1 損害場景的分析

損害場景需要根據價值對象的網絡安全屬性來確定。價值對象是指在一個系統中具有一種或者多種網絡安全屬性的有價值的對象。

首先，對通信鏈路上的節點枚舉得到下列9 個價值對象：QKDM、密鑰服務系統、安全介質、TBOX、預置密鑰、會話密鑰、動態協商密鑰、明文、密文。

然后用STRIDE 模型確定價值對象的網絡安全屬性，損害場景標準如表1所示。最后根據表1確定的損害場景如表2所示。

表1 網絡安全屬性對應的損害場景標準

表2 價值對象對應的網絡安全屬性與損害場景

3.2 影響等級的確定

影響等級是指由損害場景造成的損害、對架構傷害的嚴重度程度的估計。根據ISO/SAE 21434 標準的評定規則，對于影響等級的評定可從安全、財產、操作、隱私4 個評判因子來評定損害場景的危害影響。每個評判因子評級分為4 擋，以安全因子為例，其評估標準如表3所示。基于5個評判因子的評估標準，表2 中27 項損害場景評估結果如表4所示。

表3 評判因子的評估標準

表4 損害場景的影響等級

3.3 威脅場景與攻擊路徑的分析

威脅場景是損害場景的形成原因，這一步驟主要是找出完成該損害場景可能的操作，說明造成危害的環境和方法等要素。根據27 種損害場景得到威脅場景與分析路徑的結果如表5所示。

表5 威脅場景和攻擊路徑的分析結果

3.4 攻擊可行性等級

根據ISO/SAE 21434標準附錄的評估方法，本文通過基于攻擊潛力的方法評估攻擊可行性， 攻擊潛力方法對攻擊路徑實現的難易程度評估分為高、中、低、很低4 個等級，主要從如表6 所示的5 個角度考慮。

表6 評估因素的標準

每項的難易程度由低到高以分數評判（0-6分）。經理論證實，量子密鑰分發技術是一種不可竊聽、不可測量，無條件安全的密鑰保護方式，故大多數攻擊密鑰的方式無法奏效。每一個損害場景對應一個攻擊路徑，不同的損害場景可能對應多個攻擊路徑，根據5項因素評估各個攻擊路徑的結果如表7所示。

表7 攻擊路徑的等級劃分

3.5 風險確定

根據表4 所示的損害場景的影響等級和表7 所示的攻擊路徑的可行性等級，建立聯合風險矩陣表，如表8 所示。運行風險矩陣以安全性分數表示安全等級，1-3 分是無風險等級，4 分是低風險等級，6 分是中風險等級，8-16是高風險等級。

表8 風險矩陣表

通過3.2節和3.4節的分析可知，損害場景的影響等級只有微乎其微和中等兩個等級，攻擊路徑的可行性等級只有低和很低兩個等級，故車-云加密架構的安全性分數為1、2、4分，安全等級為低風險。

本文基于TARA 建立了車-云加密通信架構的安全性評價體系，安全性分析結果表明，車-云加密通信架構具有較高的安全性。

4 性能分析

為驗證所提車-云加密通信架構的性能，本文搭建了基于Prescan/Sumo/Simulink 的聯合仿真系統，分別在不同的對稱密鑰保護方式和仿真車輛數量下進行仿真，以通信的實時性和完整性作為架構的性能評價指標，分析對稱密鑰的保護方式和仿真車數量對車-云加密通信架構性能的影響。

4.1 在環仿真系統的設計

驗證車-云加密通信架構性能的仿真系統框架如圖3所示。

圖3 仿真框架圖

（1） 仿真流程

步驟1：通過Prescan 搭建實驗所需的環境道路模型（如圖4所示），利用Sumo在Prescan中生成隨機的交通流，交通流的仿真車數量分別設置50、100。Simulink 與Prescan 聯合仿真，將Prescan 中采集到的車輛數據傳輸到Simulink中。

圖4 仿真場景圖

步驟2：通過Simulink 中的TCP 傳輸模塊，向虛擬T-BOX 傳輸所采集的車輛信息，傳輸模塊如圖5所示。Simulink端每輛車10 s發送一次數據包，包括的車輛數據有：經度、緯度、海拔高度、速度、航向角和橫擺角速度。

圖5 Simulink中的數據傳輸模塊

步驟3：虛擬T-BOX 接收來自QCS 的會話密鑰并用預置密鑰解密，按照2.3.1 節的數據加密方法用會話密鑰加密數據，其中用預置密鑰解密會話密鑰的部分流程如圖6 所示。加密數據后以密文的形式傳輸給QCS服務器。

圖6 預置密鑰保護會話密鑰的部分流程

步驟4：QCS接收到密文后，先用會話密鑰解密，再用動態協商密鑰對數據加密后將數據傳輸給TSP。

（2） 仿真對比實驗

基于AEC 和橢圓曲線算法保護對稱密鑰的方案，通過上述仿真流程，進行性能分析，得出的實驗數據與量子密鑰方案對比。3 種對稱密鑰的保護方案如表9所示。

表9 對稱密鑰的保護方案對比

（3） 仿真參數設置

仿真參數如表10所示。

表10 仿真參數設置表

（4） 仿真評價指標

本實驗以通信的實時性和完整性作為架構的性能評價指標，對于通信實時性分析，主要參考通信數據的時延，評判指標為平均延遲。對于通信完整性分析，主要參考數據包發送數量和丟失數量，評判指標為丟包率。

4.2 在環仿真結果與分析

（1） 通信平均延遲

圖7 和圖8 展示了所提架構中不同數量的車輛在不同的對稱密鑰保護方式下的通信平均時延的變化結果，橫軸為通信時間，縱軸為通信平均延遲。由圖可見，隨著車輛數量的增加，平均延遲也在隨之增長， 量子密鑰保護方法的平均延遲最小。在仿真車數量增長到100輛的情況下，3種密鑰保護方式的延遲都隨之增長，這與車輛行駛過程中障礙物遮擋、車輛密集程度和車輛通信存在著較大的網絡波動有關。

圖7 50輛車的時延在3種對稱密鑰保護方式下的對比

圖8 100輛車的時延在3種對稱密鑰保護方式下的對比

非對稱密碼算法的特點是密鑰獲取較為容易，但密鑰安全性由密鑰算法復雜度決定，利用公鑰加密數據的計算非常復雜，性能開銷非常大，所以不適合加密大量數據場景，故相對于其他兩種延遲較高。而量子密鑰很好地解決了對稱密鑰的獲取問題。實驗結果表明，盡管網絡波動導致一定程度的通信延遲增加，但是較大延遲數據包數量和通信延遲增加程度仍然在可接受范圍內。

（2） 丟包率

圖9和圖10展示了所提架構中不同數量的仿真車在不同對稱密鑰保護方式下丟包率的變化，橫軸為通信時間，縱軸為丟包率。隨著車輛數量的增加，丟包率以不同的速度增長，車輛在數量增加的情況下出現丟包率升高的問題主要是由無線通信網絡波動、信道環境等因素引起的［17-18］。

圖9 50輛車的丟包率在3種對稱密鑰保護方式下的對比

圖10 100輛車的丟包率在3種對稱密鑰保護方式下的對比

由圖8和圖10分析可得，在通信時長為24 h時，100 輛車進行車-云加密通信的平均時延和丟包率分別控制在16.861 ms 和0.0248%范圍內，車-云之間的通信質量良好，但受限于網絡基礎設施和通信技術，可以通過加強網絡基礎設施建設以及QCS 分布式部署等方法提高車-云的通信質量。

5 結論

本文提出了一套基于量子密鑰的車-云加密通信架構，該架構既具備廣域網下的車輛會話密鑰無線分發的能力，也具備局域網下云服務器之間量子密鑰有線協商的能力，與傳統對稱密鑰的保護方式不同，本文把利用量子密鑰分發技術保護對稱密鑰的方式應用于車-云加密通信，以對抗以量子計算為代表的超計算破譯能力，提高了車-云通信的安全性。

同時本文建立安全評價體系對車-云架構進行了安全性分析。結果表明，該架構在威脅場景下仍具有較高的安全性。針對車-云架構的性能，本文從仿真實驗的角度，對車-云之間通信質量進行了研究，實驗結果表明，該架構在不同數量車輛接入的情況下，具備良好的通信性能。在后續研究中，將會把重點放在提高規模和數量上，也將進一步提高車-云架構的穩定性和安全性。