CN108390909A

CN108390909A - 一种基于聚合认证的面向车队的安全移动性管理方法

Info

Publication number: CN108390909A
Application number: CN201810025787.5A
Authority: CN
Inventors: 赖成喆; 王文娟; 胡天伟; 郭文龙; 李雅菲
Original assignee: Xian University of Posts and Telecommunications
Current assignee: Xian University of Posts and Telecommunications
Priority date: 2018-01-11
Filing date: 2018-01-11
Publication date: 2018-08-10
Anticipated expiration: 2038-01-11
Also published as: CN108390909B

Abstract

本发明属于车联网技术领域，公开了一种基于聚合认证的面向车队的安全移动性管理方法，采用基于软件定义网络的车联‑蜂窝网络架构，车辆进入道路网络并参与该架构，然后选择建立群组；在车队进入网络后，车辆检测到新的接入点，车队与新的接入网进行相互认证：组头访问网络，网络返回响应消息；车队成员依据响应消息计算其代理签名；组头收集同队所有成员的签名并聚合成新签名；然后将消息与新签名发送至网络；网络验证新签名并认证所有成员车辆；成员车辆认证网络。结合基于MIPv6的移动性管理，本发明可以实现安全高效的面向车队的移动性管理，并减少认证信令开销和切换延迟，同时保障车辆用户的数据安全。

Description

一种基于聚合认证的面向车队的安全移动性管理方法

技术领域

本发明属于车联网技术领域，尤其涉及一种基于聚合认证的面向车队的安全移动性管理方法。

背景技术

目前，业内常用的现有技术是这样的：近年来，随着汽车使用量的持续增长，使得越来越多的问题出现，如：道路的承载力在许多城市已近乎达到极限、车辆管理监控难、交通安全、出行效率、环境保护、车辆的安全通信等问题。随着移动互联网、物联网和无线传感器网络等技术的广泛应用，车联网的出现在很大程度上解决了交通堵塞、交通事故等问题。车联网是实现未来智能交通目标的有效途径之一，因此也成为当前全球研究和关注的焦点。其关键核心技术为通信技术，它决定着车联网的整体性能。在实现车与x(x指的是车、路、人、互联网等)的通信过程中，车载自组织网(VANET)给了关键的技术支持。但是由于无线网络连接使得这些通信完全暴露在空气中，由于无线网络的开放性，车联网易于受到各种攻击，其将面临各种安全威胁。车联网中车辆通信的有效性、合法性和机密性等，倘若没有适当的得到保护，车辆使用者的相关隐私信息(车牌、速度、位置、及车辆行车路线信息等)就会泄漏。所以车辆的安全通信与隐私保护是智能交通所面临的重要问题之一，安全通信与隐私保护问题已经成为制约车联网技术发展的一个重要因素。到目前为止，网络移动性基础支持协议中的切换性能在降低信令开销和可扩展性等方面得到了改进，但仍然存在长的切换延迟，并且缺乏跨各种接入网络漫游的移动性支持。基于假名的安全匿名方案，虽然解决了以往方案中的隐私保护问题，但是仍存在较大的存储开销，车辆的认证效率低。为了支持异构车载网络，提出了一种混合全球移动性方案。尽管所提出的混合方案允许IP会话的无缝转移，但是该方案没有考虑车载网络中的群组通信场景。为了提供无缝和无处不在的互联网连接，提出了一种高效的基于代理移动IPv6的交换方案。确保城市车辆用户的会话连续性。为了支持车辆网络中的高移动性和大量车辆，提出了一种基于组的网络移动性管理方案。采用FPMIPv6的方法来减少信令开销。然而，要达到相对有效的安全通信，认证和隐私保护是必要的，但是有时可能彼此之间产生冲突。

综上所述，现有技术存在的问题是：

(1)存在长的切换延迟，并且缺乏跨各种接入网络漫游的移动性支持。

(2)存在较大的计算开销，车辆的认证效率低。

(3)没有考虑车载网络中的群组通信场景。

解决上述技术问题的难度和意义：在异构网络中，接入认证是确保安全通信的关键步骤，但大多数移动IPv6协议仅在IP层中运行，在切换期间不考虑认证过程，但认证过程至关重要，也将引起大量延迟；当大量的车辆想要访问互联网时，首先需要安全地访问无线网络，并且应该在短时间内甚至是同时向核心网发送接入认证请求，此外，他们必须利用IPsec建立与核心网之间的安全隧道，这些操作将导致网络中的不同节点在通信路径上的通信和计算开销；如果车辆需要几乎同时接入网络，每个车辆必须分别与核心网络执行完整的认证和密钥协商过程，则传统的认证协议将遭受高的信令开销，导致认证信令拥塞并降低认证效率；由于通信和计算开销大，原始IPsec不适用于面向群组的车辆环境；解决问题(1)的意义在于，可以实现灵活无处不在的车辆连接和实时网络管理，确保更高效的互联网接入，在车辆切换到另一个网络时，保证服务连续性和服务质量(QoS)，并为跨越各种接入网络的汽车漫游提供透明的移动性支持，解决问题(2)的意义在于，可以减少方案的计算开销，并提高车辆的认证效率，解决问题(3)的意义在于，可以支持车辆网络中的高移动性和大量车辆，在群组情况下，组头可以实时观察群组成员的运动状态，以便监测，在这个基于群组的驱动模式中可以协同访问各种通信应用，例如数据共享或转发，并且可以显着地提高车载网络的性能。

发明内容

针对现有技术存在的问题，本发明提供了一种基于聚合认证的面向车队的安全移动性管理方法。

本发明是这样实现的，一种基于软件定义网络的车联-蜂窝网络架构，所述基于软件定义网络的车联-蜂窝网络架构包括车辆、接入网络、核心网、内容服务器；

接入网络分为蜂窝和非3GPP接入网；基站或其他无线接入点用作移动接入网关，向车辆提供对因特网的无线接入；

在核心网络中，移动性管理控制平面代替移动性管理实体，并使用API与OpenFlow控制器进行通信；移动性管理控制负责车辆认证和授权以及3GPP内部的移动性管理；

S-GW分为S-GW控制平面和S-GW数据平面；SGW-C负责GTP隧道和IPsec建立，SGW-D能够封装/解封装GTP数据包的高级Open-Flow接线台；在eNodeB和P-GW之间的数据包转发；P-GW在3GPP和非3GPP技术之间充当移动性的锚；

内容服务器与核心网连接，它负责为车辆提供所需资源，车辆通过核心网与内容服务器之间进行交互。

进一步，所述基于软件定义网络的车联-蜂窝网络架构的车辆通过定期广播的方式广播其与邻居所属网络覆盖范围相同，车辆发现与其属性类似的车辆，并确定车辆愿意组建群组，建立群组；一个群组被安全地建立后，所有成员在基于群组的驱动模式中协同访问各种通信应用。

本发明的另一目的在于提供一种利用所述基于软件定义网络的车联-蜂窝网络架构的车辆网通信***。

本发明的另一目的在于提供一种使用所述基于软件定义网络的车联-蜂窝网络架构的基于聚合认证的面向车队的安全移动性管理方法，所述基于聚合认证的面向车队的安全移动性管理方法包括：

(1)每个在核心网注册过的车辆都带有核心网的预共享密钥每辆车计算其临时身份***参数设置阶段，包括两个阶为素数p的双线性群G和G1，G的生成元为g，一个双线性对以及两个哈希函数H₁:G→G和H₂:{0,1}^*→G，这里，{0,1}^*表示任意比特长的二进制序列组成的集合，根据设置的***参数，已经注册过车辆的核心网选取私钥x_o和公钥y_o；每辆车选取私钥x_i和公钥y_i，核心网计算S_i作为相应的签名授权，车辆V_i到核心网注册，然后接收S_i计算其代理签名密钥sk_i；

(2)车辆通过定期广播的方式广播其与邻居所属网络覆盖范围相同，车辆发现一些与其属性类似的车辆，并确定车辆愿意组建群组，然后建立群组；一个群组被安全地建立后，所有成员在这个基于群组的驱动模式中协同访问各种通信应用；

(3)组头向网络发送接入请求消息，网络接入点将该消息转发给移动性管理控制，移动性管理控制生成随机数R_m，并通过访问响应消息将其发送到组头；

(4)车辆接收到包含R_m的访问响应消息，每个车辆选择一个随机数r_i并计算V_i，生成消息m_i，输出代理签名σ_i，然后验证签名；

(5)对于具有身份和消息签名对(m_i,σ_i)的n个车辆的聚合集合，组头收集所有成员消息签名对，聚合成新的签名σ，并发送消息到移动性管理控制，移动性管理控制收到消息，然后验证签名；

(6)MM-C认证所有车辆，计算与每个车辆产生会话密钥SK_i，MM-C计算聚合消息认证码MAC_i，并分别向每个车发送MAC_i和当车辆收到MAC_i和后，它计算SK_i和然后验证如果验证成功，并接受它们之间的安全会话密钥SK_i。

进一步，车辆临时身份私钥x_i，公钥y_i，代理签名密钥sk_i，以及核心网的私钥x_o，公钥y_o，相应的签名授权S_i；按照如下方式计算：

(1)根据车辆带有的核心网的预共享密钥每辆车计算作为其临时身份，车辆选择x_i∈Z_p作为车辆私钥，并计算作为车辆公钥；

(2)注册过车辆的核心网选择x_o∈Z_p作为核心网私钥，并计算作为核心网公钥，为了将自己的签名能力授权给车辆，核心网计算作为相应的授权；

(3)每个车辆注册到核心网并提供其身份信息，然后接收S_i，车辆V_i计算sk_i＝(x_i,S_i)作为其代理签名密钥。

进一步，车辆群组的建立，按照如下过程进行：

(1)车辆在最初加入道路网络，并决定参与SDNVCNET时，它的通信***将会被打开，并且车辆被认为已经接入网络；

(2)车辆将会通过定期广播的方式，广播其与邻居所属网络覆盖范围相同，同时车辆将从其n-hop邻居收集与其相类似的信息；该信息通常包含相邻车辆的位置信息，并将其存储在邻表中以供建立群组使用；

(3)有车辆想要建立群组时，他们首先必须检查它们是否具有一些类似的属性，若他们属性相匹配，则建立群组。

进一步，组头访问网络，以及网络响应，按照如下过程进行：

(1)车辆检测到新的接入点eNode-B时，组头将代表群组成员向eNodeB发送接入请求消息；

(2)eNodeB会将该消息转发给MM-C，然后，MM-C则会生成随机数R_m，并将其通过访问响应消息发送到组头。

进一步，车辆选择随机数r_i并计算V_i，生成消息m_i，输出代理签名σ_i，然后验证签名，按照如下过程进行：

(1)当车辆收到含R_m的访问响应消息，它选择一个随机数并计算

(2)车辆生成消息m_i∈{0,1}*，m_i＝(ID_G1||TID_Vi-j||R_m||V_i)，并输出其代理签名

(3)车辆验证是否成立，若成立，则车辆接受此签名。

进一步，组头聚合成员签名，以及网络验证新签名，按照如下过程进行：

(1)对于具有身份TID_Vi-j和消息签名对(m_i,σ_i)的n个车辆的聚合集合，组头聚合所有成员代理签名σ_i成新的签名σ＝σ₁σ₂···σ_n，然后组头将消息(m₁,m₂···m_n,σ)发送到MM-C；

(2)MM-C收到消息(m₁,m₂···m_n,σ)，验证是否成立，若成立，MM-C接受此签名；

网络与成员车辆生成会话密钥，然后成员车辆认证网络，按照如下过程进行：

(1)MM-C首先选择随机数r_m并计算grm，然后，它与每辆车产生会话密钥

(2)MM-C使用会话密钥SK_i计算消息认证码并将MAC_i和分别发送每个成员车辆；

(3)车辆收到MAC_i和后，它以与MM-C相同的方式计算SK_i和然后验证是否成立，若成立，车辆将会认证MM-C，并且接受它们间的安全会话密钥SK_i。

本发明的另一目的在于提供一种应用所述基于聚合认证的面向车队的安全移动性管理方法的车辆网通信***。

综上所述，本发明的优点及积极效果为：群组建立和维护时，通过使用群组密钥协商技术动态管理群组；将基于聚合代理签名技术的群组切换认证协议应用于面向车队的安全移动性管理框架，当大量群组成员需要安全地访问互联网时，可以减少认证信令开销和切换延迟，减轻接入网和核心网的负担，这里，我们采用PMIPv6代表传统方案与本发明实施例作比较，考虑四种情况，即应用EPS-AKA的PMIPv6，应用群组切换认证协议(PGHA)的PMIPv6，应用EPS-AKA的面向群组的移动性管理(SGMM)和应用PGHA的SGMM，来说明本发明在信令开销和切换延迟的效果，如图5-图6，图5显示了平均信令开销的比较，随着车辆驻留时间的增加，信令开销自然降低，我们可以看出，应用EPS-AKA的PMIPv6有最大的信令开销，而应用PGHA的SGMM与其他方案相比有最低的用于切换的信令消息，图6显示了四种情况下的平均切换延迟的比较，应用EPS-AKA的PMIPv6与应用PGHA的PMIPv6的切换延迟明显大于应用EPS-AKA的SGMM与应用PGHA的SGMM，另一方面，其他两种方案显示几乎相同的切换延迟，然而，应用PGHA的SGMM可以提供强的匿名性；此外，本发明实施例与基于MIPv6的移动性管理方案结合使用，可以实现安全高效的面向车队的移动性管理。

附图说明

图1是本发明实施例提供的基于聚合认证的面向车队的安全移动性管理方法流程图。

图2是本发明实施例提供的基于SDN的车联-蜂窝网络架构示意图。

图3是本发明实施例提供的基于聚合认证的面向车队的安全移动性管理框架实现流程图。

图4是本发明实施例提供的切换认证过程的流程图。

图5是本发明实施例提供的信令开销对比仿真图。

图6是本发明实施例提供的切换延迟对比仿真图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供的基于聚合认证的面向车队的安全移动性管理方法包括以下步骤：

S101：车辆进入道路网络并参与该架构，选择建立群组；

S102：在车队进入网络后，车辆检测到新的接入点，车队与新的接入网进行相互认证；

S103：组头访问网络，网络返回响应消息；车队成员依据响应消息计算其代理签名；组头收集同队所有成员的签名并聚合成新签名；

S104：将消息与新签名发送至网络；网络验证新签名并认证所有成员车辆；成员车辆认证网络。

下面结合附图对本发明的应用原理作进一步的描述。

1、双线性对

本发明中，双线性对是一个满足双线性性、非退化性和可计算性的映射，它把素数阶群G中的两个元素映射到素数阶群G₁中的一个元素。

2、哈希函数

哈希函数就是把任意长度的输入，通过哈希算法，变换成固定长度的输出，此输出称为该输入的哈希值。一个安全的哈希函数应满足下面几个条件：①对每个给定的输入，其哈希值可以很容易计算；②给定哈希函数的描述和一个哈希值，找到相应的输入在计算上是不可行的；③给定哈希函数的描述，找到具有相同哈希值的两个不同的输入在计算上是不可行的。

3、聚合代理签名协议

聚合代理签名(Aggregate Proxy Signature)协议，是将来自n个不同用户的n个不同消息上的n个签名压缩成唯一(较短)签名。如果一个聚合代理签名被验证为有效，那么接收者确信n个代理签名是有效的。另一方面，如果聚合签名是无效的，那么接收者确信一些代理签名是无效的。

4、有关技术术语

本发明的有关技术术语可通过图2说明如下：

(1)MM-C为移动管理控制平面，负责车辆认证和授权以及3GPP内部的移动性管理。

(2)SGW-C为服务网关控制平面，SGW-C从S-GW中分离，负责GTP隧道和IPsec建立。

(3)SGW-D为服务网关数据平面，eNodeB和P-GW之间的数据包转发。

(4)P-GW为分组数据网络网关，保留与3GPP标准相同的功能，并且负责在3GPP和非3GPP技术之间充当移动性的“锚点”。

(5)API为外部标准化应用程序编程接口，负责将适当的SDN协议通过它添加到基站，无线接入点和其他网络实体。

(6)OpenFlow协议，负责数据路径控制。

(7)SNMP为简单网络管理协议，可用于建立IPsec。

一、本发明的实现过程

如图2-图4，本发明的具体过程如下：

当车辆进入网络并决定参与基于软件定义网络(SDN)的车联-蜂窝网络架构(SDNVCNET)后，这里，SDNVCNET是本发明提出的一种新的基于软件定义网络的车联-蜂窝网络架构，如图2所示，它是基于现有的3GPP LTE/EPC架构设计的；架构包括车辆、接入网(eNodeB或其他无线接入点)、核心网、内容服务器4个部分；主要部分的具体职责为：接入网络主要可分为蜂窝和非3GPP接入网；为了支持MIPv6，基站(即，eNodeB)或其他无线接入点用作移动接入网关(MAG)，以向车辆提供对因特网的无线接入；在核心网络中，移动性管理控制(MM-C)平面代替移动性管理实体(MME)，并使用API与OpenFlow控制器进行通信；在我们的架构中，MMC负责车辆认证和授权以及3GPP内部的移动性管理；S-GW可以分为S-GW控制(SGW-C)平面和S-GW数据平面(SGW-D)，SGW-C负责GTP隧道和IPsec建立，SGW-D表示能够封装/解封装GTP数据包的高级Open-Flow交换机(OF-switch)，它的责任只在于eNodeB和P-GW之间的数据包转发；P-GW仍然具有与3GPP标准相同的功能，并且负责在3GPP和非3GPP技术之间充当移动性的“锚”；车辆通过定期广播的方式广播其与邻居所属网络覆盖范围相同，车辆发现一些与其属性类似的车辆，并确定这些车辆愿意组建群组，然后建立群组；一个群组被安全地建立后，所有成员都可以在这个基于群组的驱动模式中协同访问各种通信应用。

步骤1、***初始化。

每个在核心网注册过的车辆都带有核心网的预共享密钥每辆车计算其临时身份然后，开始设置***参数，包括两个阶为素数p的双线性群G和G1，G的生成元g，一个双线性对以及两个哈希函数H₁:G→G和H₂:{0,1}^*→G，这里，{0,1}^*表示任意比特长的二进制序列组成的集合。根据设置的***参数，已经注册过车辆的核心网选取私钥x_o∈Z_p和公钥每辆车选取私钥x_i∈Z_p和公钥核心网计算作为相应的授权，车辆V_i到核心网注册，然后接收S_i计算其代理签名密钥sk_i＝(x_i,S_i)；

步骤2、车辆群组建立。

车辆群组的建立，按照如下过程进行：

(2a)车辆在最初加入道路网络，并决定参与SDNVCNET时，它的通信***将会被打开，并且车辆被认为已经接入网络；

(2b)车辆将会通过定期广播的方式，广播其与邻居所属网络覆盖范围相同，同时车辆将从其n-hop邻居收集与其相类似的信息；该信息通常包含相邻车辆的位置信息，并将其存储在邻表中以供建立群组使用；

(2c)有车辆想要建立群组时，他们首先必须检查它们是否具有一些类似的属性，若他们属性相匹配，则建立群组。

步骤3、组头访问网络。

组头访问网络，以及网络响应，按照如下过程进行：

(3a)车辆检测到新的接入点(如eNode-B)时，组头将代表群组成员向eNodeB发送接入请求消息；

(3b)eNodeB会将该消息转发给MM-C，然后，MM-C则会生成随机数R_m，并将其通过访问响应消息发送到组头。

步骤4、成员计算代理签名。

车辆选择随机数r_i并计算V_i，生成消息m_i，输出代理签名σ_i，然后验证签名，按照如下过程进行：

(4a)当车辆收到含R_m的访问响应消息，它选择一个随机数并计算

(4b)车辆生成消息m_i∈{0,1}*，m_i＝(ID_G1||TID_Vi-j||R_m||V_i)，并输出其代理签名

(4c)车辆验证是否成立，若成立，则车辆接受此签名。

步骤5、网络认证成员车辆。

组头聚合成员签名，以及网络验证新签名，按照如下过程进行：

(5a)对于具有身份和消息签名对(m_i,σ_i)的n个车辆的聚合集合，组头聚合所有成员代理签名σ_i成新的签名σ＝σ₁σ₂···σ_n，然后组头将消息(m₁,m₂···m_n,σ)发送到MM-C；

(5b)MM-C收到消息(m₁,m₂···m_n,σ)，验证是否成立，若成立，MM-C接受此签名。

步骤6、成员车辆认证网络。

(6a)MM-C首先选择随机数rm并计算然后，它与每辆车产生会话密钥

(6b)MM-C使用会话密钥SK_i计算消息认证码并将MAC_i和分别发送每个成员车辆；

(6c)车辆收到MAC_i和后，它以与MM-C相同的方式计算SK_i和然后验证是否成立，若验证成功，车辆将会认证MM-C，并且接受它们间的安全会话密钥SK_i。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于软件定义网络的车联-蜂窝网络架构，其特征在于，所述基于软件定义网络的车联-蜂窝网络架构包括车辆、接入网络、核心网、内容服务器；

S-GW分为S-GW控制平面和S-GW数据平面；SGW-C负责GTP隧道和IPsec建立，SGW-D能够封装/解封装GTP数据包的高级Open-Flow交换机；在eNodeB和P-GW之间的数据包转发；P-GW在3GPP和非3GPP技术之间充当移动性的锚；

内容服务器与核心网连接，为车辆提供所需资源，车辆通过核心网与内容服务器之间进行交互。

2.如权利要求1所述的基于软件定义网络的车联-蜂窝网络架构，其特征在于，所述基于软件定义网络的车联-蜂窝网络架构的车辆通过定期广播的方式广播其与邻居所属网络覆盖范围相同，车辆发现与其属性类似的车辆，并确定车辆愿意组建群组，建立群组；一个群组被安全地建立后，所有成员在基于群组的驱动模式中协同访问各种通信应用。

3.一种利用权利要求1～2任意一项所述基于软件定义网络的车联-蜂窝网络架构的车辆网通信***。

4.一种使用权利要求1～2任意一项所述基于软件定义网络的车联-蜂窝网络架构的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，所述基于聚合认证的面向车队的安全移动性管理方法包括：

(6)MM-C认证所有车辆，计算与每个车辆产生会话密钥SK_i，MM-C计算聚合消息认证码MAC_i，并分别向每个车发送MAC_i和当车辆收到MAC_i和后，它计算SK_i和MAC_i′，然后验证MAC_i′＝MAC_i，如果验证成功，并接受它们之间的安全会话密钥SK_i。

5.如权利要求4所述的的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，车辆临时身份私钥x_i，公钥y_i，代理签名密钥sk_i，以及核心网的私钥x_o，公钥y_o，相应的签名授权S_i；按照如下方式计算：

6.如权利要求4所述的的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，车辆群组的建立，按照如下过程进行：

7.如权利要求4所述的的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，组头访问网络，以及网络响应，按照如下过程进行：

8.如权利要求4所述的的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，车辆选择随机数r_i并计算V_i，生成消息m_i，输出代理签名σ_i，然后验证签名，按照如下过程进行：

(2)车辆生成消息m_i∈{0,1}^*，并输出其代理签名

(3)车辆验证是否成立，若成立，则车辆接受此签名。

9.如权利要求4所述的的基于聚合认证的面向车队的安全移动性管理方法，其特征在于，组头聚合成员签名，以及网络验证新签名，按照如下过程进行：

(1)对于具有身份和消息签名对(m_i,σ_i)的n个车辆的聚合集合，组头聚合所有成员代理签名σ_i成新的签名σ＝σ₁σ₂···σ_n，然后组头将消息(m₁,m₂···m_n,σ)发送到MM-C；

(1)MM-C首先选择随机数r_m并计算然后，它与每辆车产生会话密钥

(3)车辆收到MAC_i和后，它以与MM-C相同的方式计算SK_i和MAC_i′，然后验证MAC_i′＝MAC_i是否成立，若成立，车辆将会认证MM-C，并且接受它们间的安全会话密钥SK_i。

10.一种应用权利要求4～9任意一项所述基于聚合认证的面向车队的安全移动性管理方法的车辆网通信***。