专利名称:在无线网络中获得不可否认性和对DoS攻击的适应性的技术的制作方法
技术领域:
本发明总体上涉及用于认证在无线网络中传输的消息的系统和方法,更具体而言,涉及用于认证在采用数字签名和定时有效流损失容忍认证(TESLA)的无线网络中传输的消息的系统和方法。
背景技术:
基于车至车(V2V)通信的汽车主动安全应用是能够显著减少汽车事故数量以及相关医疗保健和保险成本的强大服务。在这些应用中通信安全性是关键,因为车辆的驾驶员希望根据V2V应用提供的警报和报告进行操作。然而,因为通信安全性伴随着与计算和带宽相关的日常费用,因此减少这些日常费用以获得节省成本的实施是很重要的。诸如盲区警告(BSW)和相互碰撞警告(CCW)的V2V安全应用依赖于按照无线专用短程通信(DSRC)标准、通过V2V通信进行的相邻车辆之间的运动信息的反复交换。这些消息通常以每辆车IOHZ的频率周期性地传输,并且使用根据IEEE 1609. 2标准规范基于基础公共密钥基础结构(PKI)的数字签名而被认证。然而,生成和校验数字签名消耗汽车处理器的大量共享容量。随着基于主动安全应用的V2V的深入发展,需要高效计算的机制用于校验消息,因为装备有V2V的车辆可能不得不校验日益增多的消息量。PKI系统中的每个主角都具有一对密钥,即私人密钥和公共密钥。私人密钥只为主角所知,而公共密钥能够与系统中的其它实体共享。这些密钥能够被直观化为
一对函数g和巧,其分别代表私人和公共密钥,并且具有特性M = J^Pa(M))和
M = Pu (Pr(JVi)),其中,为将要使用这些密钥被保护的消息。为了确保消息完整性,消
息的发送器使用其私人密钥对该消息进行签名,并且将该签名增加到该消息中。在接收到消息之后,接收器能够使用发送器的公共密钥校验该消息的签名。尽管这里的讨论涉及的是V2V网络,但各种广播认证技术具有更宽泛的应用。在概括的程度上,这里讨论的各种广播认证技术都应用于通信网络,在所述通信网络中,节点以认证的方式彼此广播信息。在这些网络中,每个节点都可能为发送器和接收器。因此,给定的节点可能将其消息广播给多个节点,并且其还可以从多个可能不同的节点接收消息。 期望的是在这些类型的通信网络中预留带宽。当公共密钥在消息或包之前发送时,会占用带宽。当签名被附在消息或包中时,也会占用额外的带宽。还期望的是预留车辆计算机或 CPU的使用,用于校验接收到的消息。如果所有的节点以某一速率发送消息,则车辆可接收比其发送的消息多很多的消息。因此,一般来说,当提及到计算上的日常费用时,密钥生成和签名生成占用的时间被忽略,并且该过程的焦点仅集中在签名校验所占用的时间上。对于这里讨论的通信网络,节点通常可使用认证协议以实现消息的广播认证。发送器和接收器之间的认证协议能够使发送器以认证的方式向接收器发送信息。在所讨论的广播网络中使用的认证协议包括三个步骤,即,密钥生成和公共密钥分配、签名生成以及签名校验。对于密钥生成和公共密钥分配,发送器执行认证协议的密钥生成算法并且产生公共密钥、私人密钥和其它变量。发送器随后将公共密钥传输给接收器。对于签名生成,当发送器需要发送认证消息时,发送器产生消息并且利用合适的信息形成该消息,随后使用认证协议专用的签名生成算法。在数字签名算法的情况下,一对公共-私人密钥能够被用于对理论上无限数量的消息进行签名。签名生成算法通常使用先散列后签名(hash-and-sign)的范例。这意味着消息首先被散列成恒定长度的位串。该散列的版本,也称为消息摘要,随后使用签名生成算法被签名。对于签名校验,当接收器需要校验接收到的消息的认证性时,其需要具有与对消息签名的私人密钥对应的公共密钥。如果接收器的确具有公共密钥,则其使用认证协议的签名校验算法。校验算法也首先对消息进行散列以派生出消息摘要,该消息摘要随后经历进一步的校验步骤。在PKI协议的安全层,广播认证协议的主要功能是过滤假消息,即那些带有正确格式但带有无效签名或认证标签的消息。广播认证协议的安全强度以η-比特安全性来度量,即攻击者需要执行0 (2η)次操作来伪造消息上的签名或认证标签。ΙΕΕΕ1609. 2标准推荐128-比特安全性。尽管消息认证足以在应用层开发异常行为检测算法,但不可否认性 (non-repudiation)是将异常行为实体报告给基于HiI的V2X安全框架中的证书认证中心 (CA)所需要的属性。注意到,异常行为实体的最终驱出是经由被CA传输的证书撤销列表 (CRL)中的入口发生的。为了在给定节点处校验消息是否真实或是伪造的,会消耗计算资源。在无线环境下,恶意实体可在不进入被危害密钥材料的情况下容易地产生伪造消息,并且将那些消息置入信道中,从而导致计算性拒绝服务(computational denial of service) (DoS)攻击。 计算性DoS适应性的概念被引入作为发送器进行的计算工作量与攻击者进行的计算工作量的比较。不幸的是,基于不对称密钥密码术的数字签名特别易于受到计算性DoS攻击。注意到,广播认证要求这样的不对称特性仅发送器能够生成签名或认证标签,并且任何接收器能够仅校验签名或认证标签。尽管不对称密钥密码术能够向广播认证提供所有要求的原语(primitives),基于对称密钥密码术的原语由于其效率而因此是优选的。使用对称密钥原语获得广播认证的协议构架包括定时有效流损失容忍认证(TESLA)和一次性签名。然而,在车用自组织网络(VANET)环境下,这些协议附带在基于PKI的数字签名机制上。诸如BSW或CCW的持久性应用基于连续基础上的车辆传输,例如以每秒10个消息的速率的传输。随着车辆密度的增加,有待被校验的输入消息的速率与相邻车辆的数量成线性增加(假设在无线介质中具有最小的损失)。然而,有待被签名的输出消息的速率总是被例如每秒10个消息的速率限制。尽管可利用基于PKI的数字签名对每个输出消息进行认证,也可能不能校验一个节点的每个接收到的消息的数字签名。因此,有效广播认证的焦点集中在有效的校验机制上。例如,假设在给定的被标记车辆附近有50辆车,每辆车每秒传输10个消息。被标记的车辆每秒接收高达500个有待校验的消息。因此,为了稳定系统, 平均校验时间应该小于ans。在主动安全的V2V网络环境下,输入和输出消息的速率固有地为不对称的。每个
5装备V2V的车辆每单位时间送出有限数量的消息,但随着其相邻车辆数量的增加,每单位时间接收越来越多数量的消息。通过所附的每个消息的双认证码(一个数字签名和轻量级认证码),该不对称性能够被利用。基于产生该认证码或校验该认证码所花费的时间量,认证码被分类为轻量级。注意到,首先进入发送器的传输范围内校验数字签名,这使它们能够为后续消息校验轻量级认证码。就有效广播认证的问题而言,文献中有各种可用于解决该问题的技术。然而,这些可用方案中没有完全令人满意的。特别是,数字签名导致高的计算日常费用,而诸如 Merkle-Winternitz签名的一次性签名导致高的通信日常费用,并且诸如TESLA的轻量级协议导致延迟的消息认证。进一步,在诸如Merkle-Winternitz签名的一次性签名中,在计算日常费用与 通信日常费用之间存在一个妥协,二者都与被签名的比特数成比例地增加。如果对于给定的认证机制,平均签名和校验时间(以秒为单位)分别由L和TV表
示。此外,由1_表示安全层每秒接收的有待签名的输出消息的速率,且JVis表示安全层每秒接收的有待校验的输入消息的速率。因为OBU处理器的利用率最大为100%,对于稳定系统而言,其遵循+。所提供的TESLA协议的简要说明包括其在车用环境下的缺点。这提供了针对 VANET的修改TESLA协议的动机,这些将在后面呈现。在单个发送器和多个接收器的环境下描述TESLA协议。该协议基于延迟的对称密钥的公开内容。最初,发送器向每个消息附加只有其自身知道的基于对称密钥的消息认证码(MAC)。接收器将该消息缓存而不能认证它们,这导致消息校验延迟。短时间后,当发送器公开对称密钥时,接收器能够认证被缓存的消息。TESLA协议基于松散时间同步的特性,即接收器知道发送器的本地时间的上界。发送器将时间分成长度为Tjsff的£个时间间隔,并且如下所述那样计算单向散列链(hash-chain)。对于对称密钥尤和单向散列函数好C),使ΗΧκ) = Γ ,并且对于整数值UO,使分+1(尤)=丑(丑S(幻)。TESLA协议还具有以间隔长度^为单位表达的称为密钥公开延迟ι的参数。在开始时间?,,发送器计算散列链,散列链由
Ιγ,//1^),(£),...j表示,其中0>£。发送器按照时间表决定不早于预定时间瞬时点公开该散列链的对称密钥。由((I^rjw■,fffi(r》D表示的密钥公开计划表表明发送器的任务是,对于所有
1<W<£不早于时间瞬时点公开对称密钥/^_W(Z)。在时间T0之前,发
送器公开对称密钥的任务以认证的方式被传输到密钥公开计划表消息中的所有接收器。该密钥公开计划表消息被签名为具有数字签名,并且要求PKI安全框架的支持。
具有密钥公开计划表, Hs(K)))的所有实体按照习惯,间隔w表示时间间隔 [To+w ·Tmr ,T0+(w +1) · Τ·]。根据密钥公幵计划表,X-n'O<w<L.发送器在间隔w 期间公开密钥ZifiuttXf)。描述一个节点处的传输和接收过程。当传输一个包时,发送器适应性地选择密钥公开延迟rf的值。发送器公开与当前时间间隔对应的对称密钥,并且基于将要在rf个时间间隔(长度为‘)之后公开的对称密钥附加MAC。接收到包之后,接收器进行以下操作 1、校验公开的密钥为散列链的一部分。该公开的密钥随后被用于校验缓存的包。2、基于包中的公开的密钥确定包被传输的时间间隔,以及密钥公开计划表的认证版本。3、基于其当前时间和时钟同步差错的边界,接收器推断发送器当前所在的最近的可能间隔ζ。4、确定消息中的参数d的值。如果(id +力,接收器将包缓存用于延迟的校验。 否则,如果& 2 ζ +力,接收器将包认定为不安全的包并抛弃它。TESLA的主要优点是对签名和校验时间的明显改进,因为大多数的消息都基于对称密钥经由MAC被认证。然而,TESLA仍然要求基于PKI安全框架的支持,因为密钥公开计划表必须以认证的方式被传送到所有接收器。另外,TESLA要求节点处的时钟同步,并且消息在对应的对称密钥被发送器公开之前不能被校验。注意到,为了使协议良好地工作,TESLA
协议的参数d和必须被谨慎选择。TESLA协议在VANET环境下的主要缺点描述如下。TESLA不提供不可否认特性。 尽管消息认证足以在应用层开发异常行为检测算法,但不可否认性是向基于πα的V2X安全架构中的证书认证中心(CA)报告异常行为实体的所需属性。注意到,异常行为实体的最终驱出经由被CA发布的证书撤销列表(CRL)中的入口发生。控制信道和服务信道之间的 DSRC信道切换也能够恶化TESLA的性能。V2X安全应用传输消息有效载荷中的实时运动信息(例如位置、速度和航向)。通常,这些消息以IOOms的周期速率从应用层被发送到安全层。如果TESLA密钥公开消息总是
承载应用消息,则‘^ =100ms,其中^表示由TESLA协议选择的时间间隔的长度。因此,
消息校验延迟的下界为100ms。该校验延迟可能对于例如碰撞回避应用的V2X安全应用来说太大。注意到,以90kph (每秒25米)行进的车辆在IOOms内将已经移动了 2. 5米。有两种类型的潜在攻击者。外部攻击者不拥有任何被危害密码凭证,例如私人密钥。外部攻击者能够通过发送具有有效格式但不正确的认证标签的伪造消息来安装DoS攻击。这种类型的攻击者从空中盗取有效的发送器标识标签,并且传输代表其自身的伪造消息,使得用于计算性DoS (内存DoS)攻击的接收车辆处理器(缓存)过载。另一类型的攻击者为内部攻击者,其自己拥有一个或多个被危害密码凭证,例如私人密钥。这种类型的攻击者能够通过密码正确的认证标签来传输欺骗性消息,即带有不正确或非法的有效载荷的消息。在被传输的消息被数字签名和TESLA MAC 二者认证的情况下(称为TESLA认证和数字签名(TADS)协议),这种类型的攻击者能够安装特别阴险的攻击,称为“正确MAC伪造数字签名”攻击。这种类型的攻击者能够通过传输带有正确的消息认证码但假的数字签名的消息来安装正确MAC伪造数字签名DoS攻击。只要MAC被校验,这些消息便能够传送攻击者没有暗示的虚假信息
发明内容
根据本发明的教导,公开一种计算高效的消息校验策略,其使用数字签名和TESLA MAC的组合来校验被认证的消息。当消息在诸如车辆的接收器处被接收时,该校验策略将消息分成带有相同发送器标识的消息。该校验策略随后针对每个消息确定所述TESLA MAC是否有效,并且丢弃那些不具有有效TESLA MAC的消息。该策略随后针对每个发送器标识独立地收集具有有效TESLA MAC的消息作为一组消息,并且对所述一组消息的数字签名执行批处理校验过程,以确定所述一组消息是否具有有效数字签名。如果所述批处理校验过程显示所述一组消息具有有效数字签名,则该校验策略使所述一组消息中的每个消息获得不可否认特性。方案1. 一种使用传输协议认证消息的方法,所述消息由发送器传输并且被无线网络中的接收器接收,所述方法包括
在所述接收器处接收所述消息,其中每个消息包括轻量级计算认证码和重量级计算认证码;
将所述接收到的消息分成带有相同发送器标识的消息; 确定每个消息的所述轻量级认证码是否有效; 丢弃不具有有效轻量级认证码的消息;
针对每个发送器标识独立地收集具有有效轻量级认证码的消息; 针对每个发送器标识、对具有有效轻量级认证码的消息执行批处理校验过程,以确定每个发送器标识的一组消息是否具有有效重量级认证码;和
如果所述批处理校验过程显示,所述一组消息具有有效重量级认证码,则检验所述一组消息中的每个消息。方案2.如方案1所述的方法,其中所述轻量级认证码为用于定时有效流损失容忍认证(TESLA)协议的消息认证码(MAC)。方案3.如方案1所述的方法,其中所述重量级认证码为数字签名。方案4.如方案1所述的方法,其中所述传输协议为基于公共密钥基础结构(PKI) 的协议。方案5.如方案1所述的方法,进一步包括如果带有发送器标识的消息的所述批处理校验过程失败,则将该发送器标识放入本地撤销列表中。方案6.如方案1所述的方法,其中所述接收器为车辆。方案7.如方案1所述的方法,进一步包括确定所述发送器与所述接收器之间的距离和确定所述发送器与所述接收器的动态运动,其中如果所述发送器与所述接收器之间的距离低于阈值并且所述发送器与所述接收器的动态运动满足某些条件,则仅使用所述重量级认证码来认证所述消息,否则,使用所述轻量级认证码来认证所述消息。方案8.如方案7所述的方法,其中确定所述发送器与所述接收器的动态运动包括使用运动学运动模型。方案9.如方案8所述的方法,其中使用运动学运动模型包括考虑所述发送器的速度、加速度和行进方向、所述接收器的速度、加速度和行进方向、以及所述接收器与所述发送器之间的距离。方案10. —种使用基于公共密钥基础结构(PKI)的协议认证消息的方法,所述消息已经由发送车辆传输并被无线网络中的接收车辆接收,所述方法包括在所述接收车辆处接收所述消息,其中每个消息包括数字签名和用于定时有效流损失容忍认证(TESLA)的消息认证码(MAC);
将所述接 收到的消息分成带有相同发送器标识的消息; 确定每个消息的用于所述TESLA的MAC是否有效; 丢弃不具有有效TESLA MAC的消息;
针对每个发送器标识独立地收集具有有效TESLA MAC的消息; 对具有有效TESLA MAC的消息执行批处理校验过程,以确定一组消息是否具有有效数字签名;
如果带有发送器标识的一个子组的消息的批处理校验过程失败,则将所述发送器标识放入本地撤销列表中;和
如果带有相同发送器ID的一组消息的批处理校验过程成功,则校验所述一组消息中的每个消息。方案11.如方案10所述的方法,进一步包括确定所述发送器与所述接收器之间的距离和确定所述发送器与所述接收器的动态运动,其中如果所述发送器与所述接收器之间的距离低于阈值并且所述发送器与所述接收器的动态运动满足某些条件,则仅使用所述重量级认证码认证所述消息,否则,使用所述轻量级认证码认证所述消息。方案12.如方案11所述的方法,其中确定所述发送器与所述接收器的动态运动包括使用运动学运动模型。方案13.如方案12所述的方法,其中使用运动学运动模型包括考虑所述发送器的速度、加速度和行进方向、所述接收器的速度、加速度和行进方向、以及所述接收器与所述发送器之间的距离。方案14. 一种使用传输协议认证消息的方法,所述消息由发送器传输并且被无线网络中的接收器接收,所述方法包括
在所述接收器处接收所述消息,其中每个消息包括轻量级计算认证码和重量级计算认证码;
将所述接收到的消息分成带有相同发送器标识的消息; 确定所述发送器与所述接收器之间的距离; 确定所述发送器与所述接收器的动态运动;和
如果所述发送器与所述接收器之间的距离低于阈值并且所述发送器与所述接收器的动态运动满足某些条件,仅使用所述重量级认证码,并且如果所述发送器与所述接收器之间的距离高于所述阈值,则使用所述轻量级认证码认证所述消息。方案15.如方案14所述的方法,其中确定所述发送器与所述接收器的动态运动包括使用运动学运动模型。方案16.如方案14所述的方法,其中使用运动学运动模型包括考虑所述发送器的速度、加速度和行进方向、所述接收器的速度、加速度和行进方向、以及所述接收器与所述发送器之间的距离。方案17.如方案14所述的方法,其中所述轻量级认证码为用于定时有效流损失容忍认证(TESLA)协议的消息认证码(MAC)。方案18.如方案14所述的方法,其中所述重量级认证码为数字签名。
方案19.如方案14所述的方法,其中所述传输协议为基于公共密钥基础结构 (PKI)的协议。方案20.如方案14所述的方法,其中所述接收器为车辆。结合附图,另外的特征将通过下面的说明和所附权利要求而变得明显。
图1为采用车至车通信系统的车辆的平面视图2为从应用层到物理信道的车至车通信消息中的信息流的示意图;和图3为使用数字签名和TESLA来认证消息的过程的流程框图。
具体实施例方式针对用于采用数字签名和TESLA认证的无线通信系统的认证协议的下述讨论本质上仅为示例性的,并且绝非旨在限制本发明的范围、其应用或使用。图1示出了车辆10的平面视图,车辆10包括用于V2X无线通信系统的车载单元 (OBU) 12。0BU12从GPS接收器14接收位置信息,并且能够与在有限范围内的其它车辆上的其它OBU通信。车辆10还包括各种类型的车辆传感器16,例如向0BU12提供信息的摄像机、加速度计、温度传感器等。车辆传感器信息能够由0BU12使用来向其它车辆通知各种道路和其它状况,例如冰、燃油溢出等。下面描述了无线网络的用于校验消息的计算上高效的消息校验策略,其中每个传输的消息通过数字签名和TESLA MAC 二者被认证并且被称为TESLA认证和数字签名(TADS) 协议。TADS协议的动机在于这样的观察对于碰撞回避应用的有效操作,给定的接收器并非必须知道每辆车的当前运动状态。直觉上,如果接收器具有其最近地理位置附近的车辆的运动状态的当前信息一即最新信息,以及远离该车辆的车辆的延迟信息,则是足够的。术语“最近地理位置附近”和“远离”是在地理位置接近度的意义上使用的。注意到,随着车辆密度增加,远离给定的被打标签的接收器的车辆数量以比最近地理位置附近的车辆数量明显大很多的速率增加。在TADS协议中,发送车辆给每个消息附贴两个认证标签。一个标签是计算密集型的,或者是重量级签名,其是在消息的有效载荷上的基于PKI的数字签名,且包括该发送车辆的当前运动状态。该签名使被打标签的接收器能够获得与发送车辆的当前运动状态有关的认证信息。另一标签是基于TESLA广播认证算法的计算上轻量级的MAC。该认证标签使被打标签的接收器能够获得与发送车辆刚刚经过的运动状态有关的认证信息。然而,TESLA 认证码提供与数字签名相同水平的安全性。TESLA依赖于基础PKI框架以交换其密钥公开计划表。除了满足实时延迟约束之外,决定对消息的数字签名或TESLA MAC进行校验的另一方面是接收器是否需要获得更强的不可否认安全属性或更弱的消息认证概念。图2为TADS协议的分级层结构20的示意图,其中分级层结构20包括应用层22、 安全层M和物理层26。应用层22包括未签名消息,其带有框观中所示的应用有效载荷
。安全层M包括签名消息,其包括框30中所示的应用有效载荷 和两个认证标签,即框 38中所示的数字签名σ和框36中所示的TESLA认证码MAC,TESLA认证码MAC包含消息有效载荷和数字签名σ二者。安全层M还包括框32中所示的密钥公开计划表Α、框34中所示的TESLA公开延迟rf和包括框40中所示的发送器数字证书的发送器标识标签。在安全层24中,有三个机制被执行,即,广播认证机制、证书交换机制和接收器校验策略。广播认证机制将认证标签附到从应用层22接收的消息上。证书交换机制在彼此相邻的车辆之间交换证书。最后,校验策略决定处理(即校验)在安全层24处接收到的消息的顺序。在从应用层22接收到未签名消息之后,TADS协议将两个认证码附到消息上以生成签名消息。特别地,计算上轻量级的TESLA MAC和数字签名被附上以生成签名消息。在描述双认证码的生成之前,为车辆提出一个机制用于交换它们的数字证书和它们的TESLA 密钥公开计划表A。证书交换机制周期性地(例如1秒)将发送器的数字证书附到签名消息上。另外, 每当发送器附上其数字证书时,发送器还将其TESLA密钥公开计划表A包含于其中。这使得在彼此附近的车辆能够交换它们的公共密钥的认证版本以及密钥公开计划表A。为了唯一地标识每个签名消息的发送器,证书交换机制将标识标签中的一个附到消息上发送器的数字证书或发送器的数字证书的SHA-I散列的一些字节(例如至少为关键的10个字节或最多为关键的10个字节)。该标识标签被每个接收器使用以找出相关的公共密钥,或TESLA 密钥公开计划表A,认证消息的数字签名(或TESLA MAC)要利用该相关的公共密钥或TESLA 密钥公开计划表A。节点维持数字证书的高速缓存,以及其在过去遇到的车辆的密钥公开计划表。为了能够进行有效搜索,其基于发送器的数字证书的SHA-I散列的字节、或者任何密码散列将该高速缓存维持为被分类的次序。如上文所提到那样,TADS协议附上两个认证码以生成签名消息。下面给出消息在其被发送器的安全层24签名之前和之后的一般格式。注意到,TESLA MAC包含消息有效载荷以及消息的数字签名二者。·未签名消息(应用有效载荷= )
签名消息[应用有效载荷=,-TESLA密钥公开=A或TESLA密钥公开计划表 A=, TESLA 公开密钥=d,TESLA MAC=HMAC Um || σ)),数字签名 σ= a^r{m || A)每当发送器将其数字证书作为标识标签传输时,其密钥公开计划表A的最新版本也被传输。因为证书被周期性传输,因此进入发送器传输范围内的任何车辆都能够得到其数字证书和其密钥公开计划表A。通过校验发送器的数字证书,节点获得发送器的公共密钥的 认证值。使用这个认证值,节点能够校验消息的数字签名τ并且获得发送器的密钥公开计划表的认证值。这使得节点能够校验后续消息的计算上轻量级的TESLA MAC。当发送器将其数字证书的散列作为标识标签传输时,其将TESLA密钥公开计划表 A包括在消息中可能是无用的。发送器的密钥公开计划表A只有在接收车辆处才有用,且该接收车辆在早先遇到该发送器期间已经认证了发送器的数字证书并且具有保存在其高速缓存中的该发送器的数字证书。每当发送器不包括其密钥公开计划表A时,其需要包括其公开的密钥作为消息的一部分。总而言之,下面的三个消息格式是签名过程的输出。为了通过协议校验被传输消息的类型,详细的比特水平的消息格式将需要包括两个额外的比特。·签名消息I I发送器数字证书,其中签名消息=[应用有效载荷, TESLA密钥公开计划表A= (ZKi), TESLA公开延迟=i TESLA MAC=HMAC ,(饿丨丨σ)),数字签名
^= “树 H Α)]。·签名消息I I散列(发送器的数字证书)的一些字节(例如至少关键的10个字节或最多关键的10个字节),其中签名消息=[应用有效载荷=m,TESLA密钥公开=, TESLA 公开延迟=t TESLA MAC=HMAC Um || σ)),数字签名 σ=]。·签名消息I I散列(发送器的数字证书)的至少关键的10个字节,其中签名消息=[应用有效载荷=m,TESLA密钥公开计划表A= (Τ,Κ,) , TESLA公开延迟=d,TESLA
MAC=HMAC (KiJm 丨丨 σ)),数字签名 σ = (m |丨 A)]。为了完成TADS协议的具体实施,需要一个策略来校验节点处的输入消息。校验策略决定接收到的消息的处理(即校验)顺序。另外,对于每个消息,校验策略涉及做出是否校验消息的数字签名或TESLA认证码的决定,或者是否延迟该决定直到后一时间点为止。策略计划决定何时校验数字证书和包含密钥公开计划的消息,密钥公开计划提供认证控制数据,即与其它车辆相关的公共密钥和密钥公开计划表。然而,作为协议标准的一部分,不需要在接收器处将校验策略标准化。特别地,不同的原始设备制造商(OEM)能够实施不同的策略,并且互通性将仍然可得到。并且,具有较快车载处理器的车辆与普通车辆相比可实施不同的校验策略。对于TADS协议,概述了验证由节点接收到的消息所涉及的步骤。在接收到消息 (风口二^^&^^幻乂^^^;句之后,接收器执行下面的动作,其中》表示消息有效载荷,s表示发送器的标识标签,hmac和σ分别表示与消息关联的TESLA MAC和数字签名。 μ = (T0,Tm,K)}表示密钥公开计划表,τ表示公开的密钥,并且d表示密钥公开延迟。·对应于带有标识标签s的发送器,获取公共密钥AIm的(认证的)值和密钥公开计划表钌)的(认证的)值。·开始时,校验公开的密钥/:为终止于ff的散列链的一部分。该步骤依赖于密钥公开计划表A或公开的密钥Γ是否为消息的一部分。-如果密钥公开计划表是消息的一部分,则计算=4^,并且校验
Mi(K)=Kfs-如果公开的密钥是消息的一部分,计算J
Tm
^recv + &啊一 ^O )
,其中l^rv表示
1爾
接收器处的当前时间,并且A9 表示时钟同步差错的边界。验证对于一些整数 , Ii时,Hi(K)=Ki。如果上面的校验步骤失败,则丢弃包。否则,使用公开的密钥校验带有被标记为安全的标识标竺c的缓存包的TESLA认证码。上面计算的整数 代表发送器传输包的间隔》。按照习惯,间隔W表示与原始密钥公开计划表(7 ,Tm, Κξ)相对的时间间隨Tf+W · ,Ti + (W+1) t Tm ]。·基于其当前时间和时钟同步差错的边界,接收器推断出发送器当前可能所在的最近的可能间隔Z。·确定消息中的参数J的值。如果b<〗 + 4,接收器将包缓存,并且将TESLA认证码标记为校验安全的。否则,如果xh + rf,接收器将包缓存,但将TESLA认证码标记为校验不安全的。·接收器维持带有标识标签S的发送器与自身之间的端对端网络延迟的估计。 使用该估计,如果包被标记为TESLA校验安全时,接收器获得对称密钥将被接收时的最早
时间的估计,表示为.fe^t ,其中通过该对称密钥消息w已经被认证。·当该节点针对一些j乏i +rf接收密钥时,消息的TESLA MAC能够被校验,并且消息被标记为安全。该校验步骤涉及从ff计算,并且核对 HMAC(K'id,m Il σ) = hmac。·为了校验消息的数字签名,校验(Γ;, H在σ) = 7Η 。·另外,接收器将发送器的密钥公开计划表更新为Γ/= Tw,并且 κξ = K。 为了描述TADS协议的安全属性,具体发送器ID被观察,使得还没有危害到与该发送器ID相关的私人密钥。因此,攻击者不拥有与发送器ID相关的该私人密钥。由TADS协议提供的相对于其双认证码的保证被假设。观察到攻击者能够执行下面的动作。·不对称密钥密码和TESLA广播认证协议的基础特性确保攻击者不能构思其选择的有效载荷^,并且为带有有效载荷《'的消息生成正确的数字签名或正确的TESLA MAC。然而,攻击者能够构思出带有不正确TESLA MAC和不正确数字签名的伪造消息。这些消息将被TSDA协议丢弃。·现在,假设带有标识标签发送器ID的发送器传输带有有效载荷·以及正确的 TESLA MAC和数字签名的消息。考虑下面的情况
-攻击者能够通过修改TESLA MAC和保留数字签名而重放该消息。在此情况下,TESLA 认证将失败,即,当消息校验发生在稍后的时间点时TESLA认证将失败。-攻击者还能够通过修改数字签名和保留TESLAMAC而重放该消息。再次,因为在接收器处的TESLA MAC校验步骤包含接收到的消息的数字签名,轻量级TESLA认证将失败。这还解释了为什么TESLA MAC计算包含消息及其数字签名σ二者。在TESLA认证码仅在消息有效载荷·的基础上进行计算的情况下,攻击者能够通过保留TESLA认证码并且修改数字签名而重放认证协议包。以此方式,攻击者能够通过传输带有有效TESLA认证码但带有无效数字签名的协议包而暗示发送器在欺骗(即违反协议)。注意到,上面的推理显示出,被打标签的接收器能够推断以下内容。当TESLA MAC 校验步骤成功时,与消息相关的数字签名也由发送器传输。将双认证码附到每个消息上使得能够获得数字签名和TESLA 二者的互补属性。特别地,TESLA认证码为计算性DoS攻击提供轻量级校验和适应性。另一方面,数字签名为高度可移动无线网络中的TESLA协议的操作提供了不可否认性和稳定性。下面给出TADS协议的特性。TESLA认证码使得该协议能够获得下面的属性。·协议获得重点为轻量级校验的消息认证。接收器还能够推断出,每当TESLA MAC校验步骤成功时,与消息相关的数字签名也由发送器传输。·根据接收器校验策略,建议的协议对于DoS攻击是有适应性的。在TADS协议中,接收器能够针对由攻击者传输的每个伪造消息延迟消息的校验,直到当TESLA对称密钥将必须被发送器公开时的后续时间为止,这导致对计算性DoS攻击的适应性增加,其中带有所述TESLA对称密钥的消息已经被认证。数字签名使得协议能够获得下面的属性。·当数字签名的校验成功时不可否认性被获得。·在接收器处,因为存在数字签名,因此包从来都是安全的。回忆在TESLA中,如果在接收到的包被接收的时间为止发送器已经公开了对称密钥(通过该对称密钥该包被认证),则接收到的包被认为是不安全的。·当数字签名的校验是计算密集型的时,则其能够被立即校验。TADS协议的主要缺点是双认证码的空中传播的字节增加。另外,当对消息进行签名时,处理要求会增加,因为发送器将双认证码附到每个消息上。在TESLA中,如果直到接收的包被接收时发送器已经公开了对称密钥(通过该对称密钥该包被认证),则接收的包被认为是不安全的。从消息被传输车辆的安全层对打上时间戳的时间到该消息被接收车辆的安全层M接收的时间之间的端对端等待时间被检验。 该端对端等待时间确定在车用自组织网络环境下TADS协议中的TESLA认证码的有效性。考虑在无线介质上传输纯粹的密钥公开消息的日常费用,建议的是TADS协议以
Tm = 100 s工作。按照上面的传输和接收车辆的安全层之间的端对端延迟,在时间&时,
协议选择TESLA公开延迟d,使得对称密钥^不早于4 +2公开,其中z = 20腳。带有签名和TESLA的VANET认证(VAST)是相关的协议,其将数字签名和称为车用网络TESLA的TESLA变量组合。VAST已被设计成为了获得对内存和计算性DoS攻击二者具有适应性。然而,VAST协议通过延迟实时消息有效载荷及其数字签名的传输来实现该目的。因此,VAST协议可排除在接收器处的选择性校验技术,直到消息有效载荷被接收到。此外,与消息有效载荷和数字签名没有被延迟地传输的TADS协议不同,VAST不继承数字签名的即时校验特性。然而,与VAST相比,TADS协议要求更大的内存资源来缓存包,直到它们被校验。另外,数字签名的即时校验特性可能将TADS协议暴露给计算性DoS攻击。因为VAST分开传输TESLA MAC和消息有效载荷,而不是连续的包,因此这两个包必须在被打标签的节点处被接收,以便能够进行轻量级校验。另一方面,TADS协议继承了TESLA协议对消息丢失的适应性。特别地,为了能够在节点处对包P进行轻量级校验,TADS 协议要求成功接收两个包,即,包P和由发送器在包P之后传输的任何一个包。然而,消息丢失将导致使用其TESLA认证码对包P进行校验时的消息等待时间增加。图3为流程框图50,其示出了用于在接收器处对使用上述TADS协议发送的消息进行认证的过程。该策略首先在框52处在接收车辆中收集带有特定发送器ID的消息。协议随后在框54处针对特定发送器校验每个消息的TESLA MAC或认证码。如果TESLA MAC 失败,意味着发送器实际上没有发送该消息,则在框56处,接收车辆将该消息作为虚假消息丢弃。协议随后在框58处从 具有有效TESLA MAC认证码的这些发送器收集所有消息,并且在框62处执行批处理的数字签名校验过程。批处理校验是用于同时校验很多幂运算的已知算法。本领域中已经建议的是提供数字签名的批处理校验,以减轻数字信号校验的计
算负担。对于一些签名方案和用于该方案的公共密钥使沙《(...)为用于该方案的校验算法。换言之,如果则用于消息M的签名τ有效。用于签名校验的批处理实例由序列(Af1AUJ^xs)构成,其中Xi为相对于公共密钥Pk的Afi的假设签名。 对于矢量或批处理i =和X = Oq, js),用于一组消息的批处理校验可由关系
Venjy %(Μ,τ)定义如果具有任何这样的消息Mi , A2 ,其中妁胁WMiJi) = O ,则
该测试有很高的可能性会拒绝。在批处理校验过程中,接收车辆对被接收到的消息的随意选择的子组执行批处理校验。通过使用批处理校验过程,提供了一种向消息的批处理提供不可否认性的有效机制,尽管其具有较低的安全强度。使用TESLA MAC校验每个消息是计算上轻量级的,并且其能够抵抗计算性DoS攻击。如果对于特定发送器的数字签名认证失败,则在框60处发送器ID被输入到本地撤销列表中。如果对于特定发送器的数字签名认证没有失败,则在框64处,消息被认证。上述过程针对每个不同发送器ID的由接收器接收到的消息被执行。TADS校验策略基于发送车辆和接收车辆彼此有多接近以及它们的当前动态运动来确定TESLA认证码或数字签名是否将被用于认证消息。对于车辆离得足够远且没有逼近的碰撞回避的情况,则校验策略还能够使用延迟的TESAL认证码来确定消息是否是认证的。然而,如果车辆足够接近因而碰撞很可能发生,则需要使用数字签名认证。前述讨论仅公开和描述了本发明的示例性实施例。本领域技术人员将通过这些讨论和所附附图以及权利要求容易地认识到,在不脱离由所附权利要求限定的本发明的精神和范围的情况下,可对这些示例性实施例进行各种改变、修改和变型。
权利要求
1.一种使用传输协议认证消息的方法,所述消息由发送器传输并且被无线网络中的接收器接收,所述方法包括在所述接收器处接收所述消息,其中每个消息包括轻量级计算认证码和重量级计算认证码;将所述接收到的消息分成带有相同发送器标识的消息; 确定每个消息的所述轻量级认证码是否有效; 丢弃不具有有效轻量级认证码的消息;针对每个发送器标识独立地收集具有有效轻量级认证码的消息; 针对每个发送器标识、对具有有效轻量级认证码的消息执行批处理校验过程,以确定每个发送器标识的一组消息是否具有有效重量级认证码;和如果所述批处理校验过程显示,所述一组消息具有有效重量级认证码,则检验所述一组消息中的每个消息。
2.如权利要求1所述的方法,其中所述轻量级认证码为用于定时有效流损失容忍认证 (TESLA)协议的消息认证码(MAC)。
3.如权利要求1所述的方法,其中所述重量级认证码为数字签名。
4.如权利要求1所述的方法,其中所述传输协议为基于公共密钥基础结构(PKI)的协议。
5.如权利要求1所述的方法,进一步包括如果带有发送器标识的消息的所述批处理校验过程失败,则将该发送器标识放入本地撤销列表中。
6.如权利要求1所述的方法,其中所述接收器为车辆。
7.如权利要求1所述的方法,进一步包括确定所述发送器与所述接收器之间的距离和确定所述发送器与所述接收器的动态运动,其中如果所述发送器与所述接收器之间的距离低于阈值并且所述发送器与所述接收器的动态运动满足某些条件,则仅使用所述重量级认证码来认证所述消息,否则,使用所述轻量级认证码来认证所述消息。
8.如权利要求7所述的方法,其中确定所述发送器与所述接收器的动态运动包括使用运动学运动模型。
9.一种使用基于公共密钥基础结构(PKI)的协议认证消息的方法,所述消息已经由发送车辆传输并被无线网络中的接收车辆接收,所述方法包括在所述接收车辆处接收所述消息,其中每个消息包括数字签名和用于定时有效流损失容忍认证(TESLA)的消息认证码(MAC);将所述接收到的消息分成带有相同发送器标识的消息; 确定每个消息的用于所述TESLA的MAC是否有效; 丢弃不具有有效TESLA MAC的消息;针对每个发送器标识独立地收集具有有效TESLA MAC的消息; 对具有有效TESLA MAC的消息执行批处理校验过程,以确定一组消息是否具有有效数字签名;如果带有发送器标识的一个子组的消息的批处理校验过程失败,则将所述发送器标识放入本地撤销列表中;和如果带有相同发送器ID的一组消息的批处理校验过程成功,则校验所述一组消息中的每个消息。
10. 一种使用传输协议认证消息的方法,所述消息由发送器传输并且被无线网络中的接收器接收,所述方法包括在所述接收器处接收所述消息,其中每个消息包括轻量级计算认证码和重量级计算认证码;将所述接收到的消息分成带有相同发送器标识的消息; 确定所述发送器与所述接收器之间的距离; 确定所述发送器与所述接收器的动态运动;和如果所述发送器与所述接收器之间的距离低于阈值并且所述发送器与所述接收器的动态运动满足某些条件,仅使用所述重量级认证码,并且如果所述发送器与所述接收器之间的距离高于所述阈值,则使用所述轻量级认证码认证所述消息。
全文摘要
本发明涉及在无线网络中获得不可否认性和对DoS攻击的适应性的技术,具体提供一种计算上高效的消息校验策略,其与广播认证协议相结合来获得不可否认性和对于服务攻击的计算性否决的适应性,所述广播认证协议使用数字签名和TESLAMAC的组合来认证消息。当消息在接收器处被接收时,校验策略将消息分成带有相同发送器标识的消息。策略随后针对每个消息确定其TESLAMAC是否有效,并且丢弃不具有有效TESLAMAC的消息。策略针对每个发送器标识收集具有有效TESLAMAC的消息,并且对一组消息执行批处理校验过程,以确定所述一组消息是否具有有效数字签名。如果批处理校验过程显示所述一组消息具有有效数字签名,则该策略检验所述一组消息中的每个消息。
文档编号H04W12/12GK102202303SQ20111007361
公开日2011年9月28日 申请日期2011年3月25日 优先权日2010年3月25日
发明者A·V·艾尔, B·R·贝卢尔, D·巴塔查里亚 申请人:通用汽车环球科技运作有限责任公司