5G-V2X 中基于軌跡預測的安全高效群組切換認證協議

張應輝，錢佳樂，曹進，鄭東

（1.西安郵電大學網絡空間安全學院，陜西 西安 710121；2.西安郵電大學無線網絡安全技術國家工程研究中心，陜西 西安 710121；3.西安電子科技大學網絡與信息安全學院，陜西 西安 710071）

0 引言

近年來，隨著智能汽車領域的發展，人們對汽車的需求量日益增長，車用無線通信技術V2X（vehicle-to-everything）受到工業界和學術界的廣泛關注[1]。V2X 泛指車輛使用鄰近服務實現和其他任意網絡、任意個體間的通信，包含車輛到車輛（V2V,vehicle-to-vehicle）、車輛到行人（V2P,vehicle-topedestrian）、車輛到路邊基礎設施（V2I,vehicle-to-infrastructure）等多種通信形式[2]，可為許多新的應用場景提供支持，如車輛自動駕駛、公路安全系統、交通信息管理等[3-8]。V2X 融合了車輛和基站之間的蜂窩通信以及車輛之間的直接通信，2 種模式相互補充，實現基站和車輛之間的負載均衡[9]。為充分利用蜂窩移動通信網絡的技術優勢，基于蜂窩網絡的車用無線通信技術（C-V2X,celluar vehicle-to-everything）應運而生。C-V2X 是由3GPP定義的V2X 技術，包含基于長期演進（LTE,long term evolution）以及5G 的V2X 系統，是專用短程通信（DSRC,dedicated short range communication）技術的有力補充[10]。

隨著5G 大規模車輛連接和車輛數量的快速增長，當大量車輛在短時間內從源基站（s-gNB,source-generation nodeB）移動到目標基站（t-gNB,target-generation nodeB）范圍內時，所有車輛會同時向t-gNB 發起切換認證請求，這可能會造成嚴重的信號超載和網絡擁堵。所以，將大量車輛分成不同群組進行監控管理已被視為一種道路交通管理策略[11]。例如，文獻[12]提出了一種資源分配策略，以支持多車道隊列系統中更大的隊列規模。但是，目前的協議標準關于群組切換認證協議執行效率的討論尚有不足之處。一方面，5G 的部署會引起互聯網主干流量增加，端到端時延中傳播時延所占比例增大[13]。另一方面，5G 基站分為宏基站和小基站，其中，宏基站體型大、覆蓋面積廣，主要用于室外覆蓋；小基站發射功率較小，根據覆蓋范圍大小可分為微基站、皮基站和飛基站。因此，5G網絡環境下不同大小的基站覆蓋范圍相互交錯，可能會導致更加頻繁的切換認證。此外，目前的標準在保護用戶隱私方面也有不足。文獻[14-16]研究表明，在切換認證過程中仍存在著許多安全問題，包括缺乏相互認證、密鑰確認、完美前/后向安全（PFS/PBS,perfect forward/backward secrecy）、易遭受拒絕服務（DoS,denial of service）攻擊等。

雖然目前關于無線網絡中大量車輛的切換認證協議的研究工作非常多，但是，在無線網絡中的車輛接入認證的過程中，車輛的真實身份會以明文的形式發送到無線網絡，這可能導致車輛的身份被偽造基站或被動攻擊者獲取，造成車輛隱私泄露和后續的切換認證過程失敗，對車輛行駛安全造成威脅。在5G 網絡的車輛接入認證協議過程中，車輛的真實身份會以密文的形式發送到5G 核心網絡，不僅保證了車輛隱私安全和后續的切換認證過程安全，而且由于5G 的低時延、高速率、高帶寬等特點，也提高了5G-V2X 場景下大量車輛執行切換認證協議的效率，保障車輛行駛安全。但是，到目前為止，關于5G-V2X 場景下車輛群組切換認證協議的研究很少。此外，現有的研究工作在安全性和效率方面也存在缺陷。文獻[12]提出了一種針對5G網絡中車輛隊列的認證和再認證協議，由于它只使用了簡單的密碼操作，計算開銷不高。但是，因為消息的長度與群組內車輛數目的平方成正比，該協議具有較高的通信成本。此外，該協議并不能保護車輛的隱私。文獻[17]提出了一種5G-V2X 網絡的群組認證切換協議，該協議采用聚合消息驗證碼（AMAC,aggregated message authentication code）技術降低了信令開銷。但是，該協議在切換認證過程中需要進行多次點乘運算，非常耗時。此外，該協議不能保護車輛的隱私，因為車輛的真實身份通過不安全的信道以明文的形式傳輸給車輛群組的組長，其中，在不同車輛群組內負責接收來自基站的消息，以及接收群組內其他車輛的消息再轉發給基站的車輛，稱為該車輛群組的組長，表示為V1；群組內其他車輛稱為組員，表示為V，i(i=2,3,…,n)。此外，該協議易受到DoS 攻擊，因為只有當所有組員都合法時，AMAC 才能被成功驗證，攻擊者可以向組長發送錯誤的消息驗證碼，使整個群組驗證失敗。這個問題發生在所有采用聚合技術的協議中，當然，對于本文所采用的聚合技術也存在此問題，但本文提出了應對策略。對于文獻[18]，主移動中繼節點（MRN, mobile relay node）首先執行切換認證程序，然后一般的MRN 才開始執行切換認證程序，這將導致切換時間延長。

文獻[19]中提出了2種用于5G高速鐵路網絡的群組切換認證協議。第一種協議是輕量級的群組切換認證協議，它可以滿足大部分安全屬性，并且只消耗少量的信令和計算開銷。第二種協議是安全性增強的群組切換認證協議，它可以實現相互認證、密鑰協商、PFS/PBS、匿名性、不可鏈接性以及抵抗多種協議攻擊。但是，這2 種協議都只適用于固定軌跡移動。此外，由于分別采用了聚合消息驗證碼和聚合簽名技術，且沒有提出解決聚合技術易遭受攻擊者破壞聚合驗證的方法，這2 種協議都易遭受DoS 攻擊。文獻[20]提出了一種無證書、安全高效的車輛群組切換認證協議，同文獻[18]的問題一樣，該協議在大量車輛同時到達目標基站范圍內時，到達的第一輛車先進行切換認證，其余車輛在第一輛車的協助下執行切換認證協議，這也將導致切換時間延長。

針對5G-V2X 場景下，大量車輛在密集部署的5G 小基站網絡范圍內頻繁進行切換認證時所面臨的效率和隱私問題，本文主要做出了以下貢獻。

1) 提出了5G-V2X 場景下的基于軌跡預測的安全高效的群組切換認證協議，根據車輛群組的移動信息對車輛軌跡進行預測，提前完成密鑰協商協議。

2) 源基站根據用戶分組算法[21]先將范圍內的大量車輛分為不同臨時組。然后，結合車輛與源基站和周圍基站的信干噪比（SINR,signal to interference plus noise ratio）等信息將臨時組內具有移動相關性的不同車輛視為一個群組。最后，執行群組切換認證協議。

3) 在驗證車輛群組時，采用無證書聚合簽名技術[22]批量驗證群組內所有車輛，減少了證書管理和認證開銷。為了保證無證書聚合簽名的有效性，對于車輛群組內出現的惡意用戶，采用二分查找法快速定位惡意用戶產生的無效簽名，提高群組切換認證效率。

4) 在安全分析方面，先通過Scyther 進行形式化安全分析，然后進一步采用非形式化安全分析。

5) 在效率方面，通過圖表分析比對，與現有最優協議相比，本文協議的計算效率提高了30%。

1 系統模型與攻擊模型

1.1 系統模型

如圖1 所示，5G 核心網絡的系統架構包括多種功能，如接入和移動管理功能（AMF,access and mobility management function）、認證服務器功能（AUSF,authentication server function）、會話管理功能（SMF,session management function）、策略控制功能（PCF,policy control function）和統一數據管理（UDM,unified data management）功能、認證憑證存儲和處理功能（ARPF,authentication credential repository and processing function）等。在5G 核心網絡中，每個網絡功能（NF,network function）使用基于服務的接口進行交互（如Npcf、Nsmf、Nudm、Naprf 等）。NF 通過這些應用程序接口（API,application programming interface）向其他NF 提供一項或多項服務，其中，API 可用于交互應用層信息和配置參數，包括對車輛Vi和V2X 通信有用的應用層信息和配置參數。N2 接口是AMF 和基站之間的通信接口，Uu 接口是終端和基站之間的蜂窩網通信接口，PC5 是終端與終端之間的直接通信接口。PCF 為車輛Vi提供基于PC5 接口和Uu 接口的用于V2X通信的授權和策略參數，也為AMF提供車輛Vi的必要參數，用于配合和管理V2X通信[23]。在切換認證期間，由AMF 負責車輛Vi的切換認證和密鑰管理。

圖1 5G-V2X 場景下的系統模型

3GPP R16 標準下的V2X 通信僅支持一對用戶設備（UE,user equipment）之間進行直接通信的單播傳輸。3GPP R17 標準[24]正在進行一個新的研究項目，以討論在5G-V2X 中對廣播和組播傳輸的支持。其中，廣播是單個UE 向無線電傳輸范圍內的所有UE 發送消息，所有UE 可以對該消息進行解碼；組播是單個UE 向一組滿足特定條件（如作為一個組的成員）的UE 發送消息[25]。在切換認證期間，組長V1向組員Vi組播消息，組員Vi向組長V1單播消息。

在切換認證期間，AMF 可以根據車輛群組的移動信息預測車輛軌跡，判斷車輛群組將要進入的下一個目標基站位置，并選擇執行不同的群組切換認證程序。若在同一AMF 中切換，則執行AMF 域內切換程序，在圖1 中表示為從s-AMF 內的基站s-gNB1切換到s-AMF 內的基站s-gNB2；若在不同AMF 之間切換，則執行AMF 域間切換程序，在圖1中表示為從s-AMF 內的源基站s-gNB1切換到t-AMF 內的目標基站t-gNB。本文將討論車輛群組在以上2 種切換場景下的協議流程。其中，協議共涉及3 個實體，即車輛Vi、基站gNB 和AMF。

1.2 攻擊模型

本文中的網絡攻擊模型為Dolev-Yao 模型，該模型通常用于呈現各種無線網絡的安全漏洞，模型的攻擊者可以監聽、攔截、分析和操縱無線信道上傳輸的信息。本文假設5G 核心網絡和基站之間的連接是安全的，因為核心網絡和基站通常采用光纖等固定線路連接。同時，假設車輛和基站之間的連接不安全，因為基站通常被放置在遠離核心網絡的地方，而且保護措施有限。此外，假設5G 核心網絡中包括AMF 在內的所有網絡功能都是可信的，無線接入網中的實體車輛和基站是不可信的。

2 協議設計

本節將詳細介紹在5G-V2X 場景中，車輛群組在不同切換場景下進行群組切換認證的協議流程，本文協議TPGHA 共包括3 個階段：1) 初始認證；2) 群組切換準備；3) 群組切換認證。表1 列出了本文協議中用到的部分符號含義。

表1 符號含義

2.1 初始認證

初始認證后，s-gNB1根據用戶分組算法將同一時間點內處于s-gNB1范圍內的車輛視為一個臨時組。然后，系統執行無證書聚合簽名技術的初始化，具體步驟如下。

2.2 群組切換準備

本階段發生在下一次群組切換認證之前，流程如圖2 所示，各步驟詳細描述如下。

圖2 群組切換準備

步驟1s-gNB1通過用戶分組算法結合源基站和周圍基站的SINR、車輛的移動方向和車輛與當前基站以及周圍基站的距離，判斷車輛臨時組內兩兩車輛之間是否具有移動相關性，將具有移動相關性的不同車輛視為一個群組。然后，s-gNB1發送同一群組內車輛的TIDi和群組切換準備請求到s-AMF，其中，TIDi在初始認證或群組切換認證結束后根據式(1)計算得出。

2.3 群組切換認證

本階段發生在滿足切換觸發閾值條件時，如車輛群組停留在s-gNB1范圍內的時間不超過3 s。即車輛群組在即將離開當前基站進入目標基站范圍內的短時間里，開始執行群組切換認證階段。群組切換認證流程如圖3 所示，各步驟詳細描述如下。

圖3 群組切換認證流程

步驟 7s-AMF 根據接收到的移動信息Info 選擇域外的t-AMF，執行域間切換程序，根據式(15)為t-AMF 和車輛Vi計算新密鑰。然后，通過安全信道把系統參數、會話密鑰和身份信息等安全上下文發送給t-AMF，并刪除相關信息。

步驟10t-AMF 轉發響應信息到s-AMF。

步驟11s-AMF 轉發響應信息到s-gNB1。

步驟12s-gNB1轉發響應信息到組長V1。

3 安全分析

3.1 基于Scyther 的安全分析

Scyther 是一種形式化安全協議分析工具，可以自動檢測協議是否存在潛在攻擊，如DoS 攻擊和重放攻擊等。根據文獻[27]對本文協議建模分析，建模共包括2 個實體，即Vi和t-gNB。

Scyther 形式化分析結果如圖4 所示。從圖4 可知，所有實體都可以滿足文獻[28]中的認證屬性。此外，身份信息、密鑰材料和新生成的會話密鑰Kt-gNB也是保密的。

圖4 Scyther 形式化分析結果

3.2 非形式化安全性分析

本節采用非形式化安全性分析的方式，進一步分析說明本文協議如何滿足所有的安全屬性。

相互認證。對于本文協議，每個Vi都通過安全信道從s-AMF 處獲得部分私鑰 (Di,0,Di,1)，用于生成自己的簽名Sigi。然后，Vi將簽名發送到V1處生成聚合簽名Sig，V1再將Sig 發送到s-gNB1進行無證書聚合簽名驗證。若存在任何一個無效的簽名，則聚合驗證就會失敗，只有車輛群組內所有的車輛都產生有效的簽名時，才能驗證成功。因此，s-gNB1可以通過檢查無證書聚合簽名驗證結果來認證車輛群組。另一方面，目標基站s-gNB2（t-gNB）也從s-AMF（t-AMF）處通過安全信道獲得自己的部分私鑰，然后生成簽名，發送給V1進行簽名驗證。由于目標基站只能從與AMF 相連的安全信道中獲得派生新會話密鑰的NHi、G ID、I nfo 等材料信息。因此，V1可以通過檢查基站簽名驗證結果來認證基站。

隱式密鑰確認。當車輛群組執行完群組切換認證協議后，車輛與目標基站會協商出一個新會話密鑰Kt-gNB，但是，車輛并不會立即采用新會話密鑰與目標基站交互信息獲取網絡服務，完成顯式密鑰確認，而是當車輛到達目標基站服務范圍內時，才使用新會話密鑰Kt-gNB與目標基站交互信息，目標基站確認會話密鑰的正確性后，為車輛提供網絡服務，完成隱式密鑰確認。

抵抗重放攻擊。本文協議在車輛第一次連接到5G 核心網絡時，都會先對車輛進行初始認證，然后對系統進行初始化，用于更新關鍵的系統參數等信息，防止重放攻擊。一方面，V1與Vi進行通信時，通過V2V 接口采用單播與組播的方式保證信息傳輸安全，首先，Vi采用群組切換準備階段生成的臨時身份標識符TIDi生成簽名所需材料hi，然后單播簽名到組長生成聚合簽名，TIDi在每次切換認證協議執行前后都會更新，防止重放攻擊；V1向Vi組播信息時，會包含新生成的時間戳，用于Vi驗證組播消息的新鮮性，防止重放攻擊。另一方面，V1與基站之間采用無線信道進行不安全的通信，采用臨時身份標識符TIDi、時間戳t和移動信息Info 抵抗重放攻擊，其中，Info 在每次協議執行過程中由V1臨時生成。

隱私保護（匿名性和不可鏈接性）。在本文協議中，Vi采用臨時身份標識符TIDi，而非車輛的永久身份標識符SUPIi。因為車輛的真實身份只有合法的基站和核心網絡知道，所以車輛的匿名性得到了滿足。此外，TIDi在每次協議執行前后都會更新，所以無法確定2 個TIDi是否屬于同一車輛。因此，也無法將車輛的移動信息Info 與車輛聯系起來，從而保證了不可鏈接性。

抵抗DoS 攻擊。針對3GPP 的5G-AKA 協議標準，攻擊者可以模擬一個合法的基站，并向車輛群組發送大量虛假的NCC 值來破壞密鑰派生過程。本文協議通過添加MAC 來確保NCC 值的機密性和完整性。此外，對于聚合簽名技術易遭受Dos 攻擊的缺陷，本文提出了一種通用的基于二分查找法的解決方法來快速定位惡意用戶，提高群組切換認證協議的執行效率。

抵抗偽造基站攻擊。在本文協議中，車輛群組和目標基站通過無證書聚合簽名技術相互認證。此外，只有合法基站才能通過AMF 的安全信道獲得NHi和Info 等用于派生新會話密鑰的材料信息，缺少任何一個材料信息，偽造基站都無法與車輛群組建立通信。因此，本文協議可以抵抗偽造基站攻擊。

完美前向安全和抵抗密鑰泄露。為了防止目標基站知道未進入其覆蓋范圍的Vi的會話密鑰，本文協議通過方法對NHi值進行加密。這樣，目標基站只有從與AMF 相連接的安全信道中獲得NHi值，才能派生出新的會話密鑰。此外，即使當前的值泄露，由于哈希映射的單向性，攻擊者也無法推理出之前的NHi值，從而保證了完美前向安全。

完美后向安全。本文協議在每次開始執行時都會先對車輛進行初始認證，然后對系統進行初始化，用于更新關鍵的系統參數等信息。此外，在每次執行群組切換認證階段，V1都會生成臨時的移動信息Info，經s-gNB1驗證聚合簽名成功后，通過安全信道發送Info 給AMF 用于選擇目標基站，再派生出與目標基站交互的新會話密鑰。所以，即使當前會話的NHi值等關鍵密鑰信息泄露也不會影響之后的會話安全，從而提供了完美后向安全。

為了體現本文協議的功能和特征，進一步將本文協議與文獻[19]、文獻[20]和文獻[26]中的群組切換認證協議進行了比較，文獻[19]中的2 個協議分別記為文獻[19]協議1 和文獻[19]協議2，具體如表2所示，其中，組員無等待是指當車輛群組進入目標基站范圍內時，組員Vi可以直接進行認證，不需要等待組長V1認證完成后再進行認證。此外，由于所有協議均與標準兼容，且存在密鑰協商過程，便不再把標準兼容和密鑰協商加入表2 中對比。

表2 功能和特征對比

4 性能評估

本節將本文協議與文獻[19]協議1 與協議2、文獻[20]協議和文獻[26]5G 標準協議進行比較。在仿真中，假設所有對稱加密密鑰為256 位，MAC 為160 位，NH、H(NH)、hash、TID、GID、ID、SUPI、SUCI、PCI 和ARFCN-DL 為128 位，時間戳t為32 位，群G1和G2中的元素的大小分別為1 024 位和320 位。

4.1 信令開銷

本文通過各協議的信令開銷來評估造成網絡擁堵的可能性，其中，信令開銷是根據n輛車所構成的群組和網絡之間的消息數來計算的。此外，本文只統計切換認證期間的消息數。各協議的信令開銷對比結果如表3 所示。

表3 包含n 輛車的群組的信令開銷

從表3 中可以看出，本文協議的信令開銷明顯低于文獻[26]5G 標準協議。

4.2 計算開銷

對于計算開銷，本節遵循文獻[19]協議中的評估工作，先構建一個測試環境，采用 C/C++OpenSSL 庫來計算這些密碼學操作的計算開銷，將該庫在搭載CPU 0.9 GHz 處理器的英特爾酷睿m3-6Y30 上的測試用時作為車輛的計算用時，在搭載CPU 2.70 GHz 處理器的英特爾酷睿i7-7500U 上的測試用時作為基站的計算用時。經測試得到車輛和基站執行點乘計算TM分別用時960 μs 和500 μs，執行對稱加解密計算TS分別用時2.26 μs 和1.05 μs，執行哈希計算TH分別用時2.38 μs 和1.21μs。忽略異或計算、乘法計算和算術計算等計算開銷。

經分析統計各協議流程的執行過程，得到各協議內車輛群組和基站所需要的計算開銷，結果如表4 所示，本文僅統計群組切換認證期間所需要的計算操作數。通常，不同的車輛可以并行地進行計算。由表4 可知，在群組切換認證期間內，本文協議的車輛群組和基站的計算開銷和為7.18n+7.83，現有效率最優的文獻[20]協議為10.49n+6.62，當群組內車輛數n取10 的時候，本文協議與文獻[20]協議相比較，計算效率提高了約29%，當群組內車輛數n取50 和100 時，計算效率均提高了約31%，所以，與現有最優協議相比，本文協議計算效率提高了約30%。

表4 包含n 輛車的車輛群組和基站的計算開銷

通過以上測試計算和統計分析，得出各協議執行車輛群組切換認證協議期間，車輛群組和基站的計算開銷之和隨著群組內車輛總數變化的增長趨勢，如圖5 所示，其中，群組切換認證期間車輛群組和基站的計算開銷之和簡稱為總計算開銷。通過表3～表4和圖5 可知，本文協議在信令開銷和計算開銷上均優于其他協議。此外，因為本文協議通過對車輛群組行駛軌跡進行預測，提前執行密鑰協商過程，所以，在協議執行的時間開銷上也遠低于文獻[20]協議。綜上所述，本文協議在效率上優于現有最優協議。

圖5 總計算開銷對比

5 結束語

本文針對5G-V2X 場景中大量車輛執行切換認證的效率以及安全問題，提出了一種基于軌跡預測的安全高效群組切換認證協議。考慮到車輛軌跡可預測的特點，提前完成密鑰協商協議。根據用戶分組算法結合源基站和周圍基站的信干噪比和距離等信息，源基站將具有移動相關性的車輛視為同一群組，再采用無證書聚合簽名技術批量驗證群組內所有車輛。針對聚合簽名技術易遭受DoS 攻擊的弊端，采用二分查找法快速定位惡意用戶，提高群組切換認證協議的執行效率。安全性分析表明，本文協議可以保護車輛隱私安全，抵抗重放攻擊、DoS攻擊等傳統攻擊。效率分析表明，本文協議與現有最優協議相比，計算效率提高了30%。