目录
- 名词解释
- 前面的话
- 问题
- 解决
- challenge
- 基于区块链的多域认证框架
- 各个单位的作用
- 具体的步骤
- 一、系统初始化
- 二、化名服务的多方合作
- 三、消息的签名和验证
- 四、快速有效的撤回
- 安全分析:
- 性能分析:
- 结论:
文章原文在上传的资源里:https://download.csdn.net/download/m0_51588039/75658078
名词解释
Vehicular Ad-hoc Network:车用自组织网络
RSU:路测单元、速率传感装置
TA:可信中心
MA:misbehavior authority
TCC:交通管制中心
BSM:基本安全信息
BGS:区块链网关服务器
V2R:vehicle to road
V2V:vehicle to vehicle
前面的话
问题
1、 各种智能汽车的功能依赖于PKI和CA,一个域内的不同汽车才有可能实现互通。但现实中很多不同的汽车企业建立自己的CA中心,并借此给自己的用户发放证书。这就导致了不通车企的用户不在一个域内,使一些公共的功能不能使用。交叉信任的表格可以初步解决问题,但是更新不方便,对于同步更新的要求很大,不能满足,还容易出现问题。
2、 隐私保护的问题(基于化名证书的认证):交叉验证需要别的汽车的CA等身份信息,通过化名能够初步解决问题。对于大量的汽车个体单位,需要在本地存储大量的化名CA来进行交叉验证,而且一旦一个汽车出现问题,先前存储的大量化名CA就无效了
解决
基于化名证书认证——>基于区块链
challenge
1、 认证架构要轻量级,跨域的交叉验证需要方便且快捷。
2、 抵御攻击,同时监控并追溯当局和证书服务进程的异常举动
3、 对可疑汽车的追溯,高效撤回恶意汽车的假ID
主要就聚焦于多域场景中车辆身份验证的安全以及隐私保护问题
基于区块链的多域认证框架
1、 用区块链账本来存储关键的跨域信息
2、 联盟链,不同的公司共同维护。通过多方认证和共识来解决认证动作的记录和监督
Perception layer感知层:
包括智能汽车、RSU以及其他智能交通设备,可以进行安全通信。
Management layer管理层:
CA TA PCA等一个联盟内的权威机构共同维护了区块链的账本内容。
MA TCC等监管机构有特殊作用,不参与验证和共识
BlockChain layer区块链层:
没啥好说的……
各个单位的作用
TA:发布公共参数,定义行为规则。在此文章中完全可信。
CA:提供注册服务,保留汽车的认证凭据。
PCA:提供化名服务——给合法汽车生成并分发化名,同时把生成并分发的化名上传到区块链之上。
MA:根据定义的行为规则和识别算法,识别出恶意车辆,在CA、PCA中进行追溯,并生成一个revocationlist(撤销链)
TCC:通过BGS,获取区块链上汽车的凭据和活动记录,遇到紧急情况时与其他的部门进行通信
RSU:有一定的存储和计算容量,广播险情,收集附近汽车的BSM。可以通过BGS查询区块链上的数据,但不能写区块链上的交易。
Intelligent terminal:具有计算模块和通信模块。
基于椭圆曲线上的离散对数问题和大整数的离散对数问题的难解性,构建了下面的计划
具体的步骤
一、系统初始化
(1)TA定义技术方案,并把全局参数发布到区块链上。
利用有限域内的椭圆曲线,定义全局的hash函数值域h1 h2 h3;为RSU生成密钥对并保存私钥;把公共参数{G, P, p, q, a, b, h1(·), h2(·), h3(·)}和公钥{{Rpkn } for RSU n, Tpk}发布到区块链上,PCA CA利用区块链上的公钥生成自己的密钥对并再次上链。
(2)汽车的注册——离线注册。
汽车在生产过程中获得唯一的独特ID,并伴随整个生命周期。
该汽车在某个CA的域下,向该CA提供相应的文件证明等来在该CA下进行注册操作:CA利用区块链上的公共参数、密钥、自己生成的密钥、汽车本身独有的ID等信息进行离线注册,注册完成后抛弃一个在有限域内的随机数来保证VID的有效性。
二、化名服务的多方合作
实现为了减轻PCA的压力,将PCA提供化名的服务下放到RSU的代理中。
RSU代理的选取:
① 定期性,动态性;
② 有较强计算能力和较大存储空间的RSU更有可能被选上,若无合适的,还是PCA提供化名的服务;此时由PCA提供的化名可以作为一个反馈信息,用来调整RSU代理的选取机制
两阶段化名服务:
1、 化名材料的分发
利用密钥派生算法,由主密钥对(PCA发布到区块链上的那个)生成一系列的化名材料,可以提高效率。一个算法,生成了化名。PCA使用会话密钥加密化名材料后发送给RSU,RSU解密后把化名材料存储在本地的数据库中。
2、 化名生成
一个汽车若需要化名服务,向最近的RSU发送请求,req{域标识D、化名序号N、身份的hash值H、现在的时间戳T}。RSU收到请求后,进行验证和化名的分发;验证通过后经过算法把化名的相关信息发给汽车,同时保存一部分数据,传给PCA并上链一些数据;汽车经过计算,既可以得到化名的信息,又可以得到了私钥。
三、消息的签名和验证
V2R情况:汽车发送请求,
RSU检查:T的时间是否为最近,PID是否有效,D是否在revocationlist(撤销链)中,是否是本域内的车辆。如果是本域内的,可以直接在本地数据库中检索其凭证信息;否则,RSU需要向PCA发送查询该车辆的请求,得到来自PCA的凭证信息后进行验证。
一系列验证结束后,要是有,就传递信息;否则就认证失败并且丢弃信息。
V2V情况:与V2R情况类似
四、快速有效的撤回
包括化名的撤回和长期的凭证的撤回
化名的快速撤回过程:已知一个已经被确定为恶意车辆的化名集
(1)MA从区块链中获取到和恶意车辆的化名集的时间戳相同的化名服务
(2)MA向RSU代理中请求到域标识D,用来与代理的hash和主种子匹配。
(3)MA把RSU的公钥,哈希值和主种子发送给PCA,请求同样一批发送给汽车i的化名。
(4) PCA如果搜索到了使用上面所说的哈希值的记录,通过公钥和主种子计算出所有这一批的化名,即恶意车辆的所有化名,并发送给MA。
(5)把这一批化名添加到撤销链上,并向所有实体广播。
长期凭证的撤回:为了防止该汽车继续访问系统的服务,需要对其凭证进行长期的撤回。
MA向该汽车所在的域内的CA请求,让CA把该汽车的凭证设置成“无效”,带上时间戳并发布到区块链上就可。
安全分析:
不可伪造性、不可连接性、机密的隐私保护、服务的监督、批量化名的撤销、抵御一般攻击等
性能分析:
……
结论:
……
凭借自己的理解进行的论文阅读,没有用任何的翻译工具,肯定有理解偏差的地方,希望大家提出并指正。