支持不可否认性的增强TSVC方案

除了DoS攻击［8－11］外，原来的TESLA方案还面临着易受抵赖性攻击的问题，TESLA的核心是将时间划分为均匀的时间间隔，然后将散列链上的元素作为MAC密钥，并按生成散列链相反的顺序将这些密钥分配给每个时间间隔。发送方定义了一个密钥公布时间δ，一般为几个时间间隔的长度。接着发送方按M_j‖MAC_k（M_j）构造每个数据包，其中M_j是要发送的消息，MAC_k（M_j）是使用密钥k生成的M_j的MAC，‖代表消息串联。接收方缓存接收到的包，并且不知道其MAC密钥，在公布时间δ后发送方在随后的消息中公布MAC密钥k，接收方检查该MAC密钥k是否应该在这个时间间隔被释放，并使用之前发布的密钥验证其正确性（其安全性是由单向散列函数不可逆的特性来保证的）。然后接收方检查缓存中数据包的MAC值，以确定该包没有被修改或改变。

可以看出当MAC密钥被公开后，数据包是可以伪造的，包括发送方在内的任何人在知道密钥k后能够利用该密钥计算正确的MAC值，从而可以利用MAC_k（M′_j）伪造数据包M_j′，由于本章提出的TSVC方案采用对称密钥密码系统保护VANET通信，因此该方案不能提供不可否认性，发送方可以否认他／她过去发送过消息的事实，这将使起诉违法者变得非常困难，因为即使揭露了消息发送方的真实身份，但是还是不能够证明消息确实是从发送方发出的，这使得调查和起诉罪犯变得非常困难，造成这种情况是因为在散列密钥（或散列链上的元素）被释放或通过网络广播后消息就可以被伪造了。但是目前大部分车辆应用并不需要不可否认性，特别是那些与安全不相关的应用，如车载娱乐系统（音乐和视频流服务）和广告等，不可否认性对于这些应用程序的正常运行并不重要，例如路旁的广告可以通过车辆到RSU的通信来增强其营销方法。本地企业或零售商也可以通过RSU广播宣传他们的产品或服务，但是虚假广告（或欺骗性广告）也会经常出现，例如通过声称一个特别优惠的交易报价或产品将客户（驾驶人和乘客）吸引到他们的店里，但当客户到达商店后，可能会遭遇骗局（例如，产品的质量与描述不符），即使是那些落入骗局的人也可以利用销售发票或收据等历史交易证据对欺诈性业务或服务提出申诉，因此这种情况并不需要不可否认性。

由于欺诈正在成为道路上需要解决的突出问题，有必要为车载通信提供不可抵赖性，本节将进一步扩展TSVC方案，以支持不可否认性，并针对此问题给出了两种解决方案。

6.2.4.1 基于数据包内布隆过滤器的链接包签名

目前已经有许多机制和解决方案在TESLA方案中加入不可否认性，高效多链流签名（EMSS）协议［24］就是其中之一，如图6-5所示，其中每个增大数据包（AP）包含一些前驱包（约100～1000）的散列值。为了向发送方提供不可否认服务，就必须以恒定的速率发送包含有几个散列值的签名包，由于通信开销的大小与AP包中前驱包的数目成正比，因此会导致通信开销的显著增加，例如假定数字签名是2048bit长，如果前驱的数量是99，并采用SHA－1散列函数，则每100个数据包就会有195.5KB的开销，在EMSS中通信开销主要由两部分组成：所有前驱的散列值和签名报文。显然，前驱的数量越大，相应的通信开销也越大。然而，在这种情况下，我们只需要较少的签名数据包。

图6-5 一个应用EMSS协议的例子，其中每个AP包含有它的三个前驱的摘要

为解决通信开销的问题，本节提出了基于数据包内布隆过滤器（Bloom Fil_- ter）的链接包签名协议。在该协议中，每个增强数据包仅包含一个Bloom Filter，它代表所有前面的报文及其本身。为了向发送方提供不可否认性，将定时发送包含有Bloom Filter签名的签名包，图6-6给出了一个例子，其中每三个数据包发送一个签名数据包，Bloom Filter非常适用于这一场景，因为它没有存储可能导致显著增加通信开销（例如额外的存储空间）的数据包本身，也就是说可以通过使用Bloom Filter来降低通信开销，因此该方案在提高性能的情况下仍然保留了TESLA类似方案的安全特性。

图6-6 本节所建议的方案的例子，其中每发送三个数据包发送 一个签名数据包（假设Bloom Filter的大小为mbit）

下面将该协议与图6-7所示的EMSS进行比较来分析通信开销，这里假设采用RSA签名方案，RSA密钥越大，则RSA签名方案越安全，事实上为了确保较高的安全水平，推荐的密钥大小至少应为2048bit，对应的数字签名的大小是256Byte，这里假设采用SHA－1散列函数，并且Bloom Filter的尺寸为16bit。此后研究在每个EMSS增强数据包包含了（n－1）个前驱摘要的情况下，每n个包

图6-7 本节提出的方案与EMSS之间通信开销的比较(www.xing528.com)

在分别采用EMSS和本节提出的协议时的通信开销，根据对比可以发现，本节提出的协议的通信开销正比于发送包的数量，而EMSS的通信开销随包的数量的增加而显著增加，这是因为数据包的散列值包含在每个增强数据包中，从而使EMSS的通信开销要显著高于本节提出的协议，因此本节提出的协议可以在不损害安全性的前提下显著降低通信的开销。

6.2.4.2 使用可信设备实现不可否认性

另一种在TSVC中提供不可否认性的有效方法是使用防篡改设备（TPD），车辆配备用来存储密钥、数据和代码的TPD，TPD能够有效对抗各种攻击企图，使攻击者不能获得存储在其中的数据。为减少受到攻击的风险，该设备应该配备有自己的电池，电池可以从车辆进行充电，并且只有授权人员才能访问该设备，参考文献［25、26］的商业产品就具备这些功能。此外，为了保护驾驶人的隐私，授权人员还必须有访问此设备的搜查令。

如图6-8所示，TPD有两个主要功能：①执行加密操作，例如为输出数据包提供安全服务和验证输入数据包的MAC标签；②记录车辆发送和接收的任何数据。它类似于一个黑盒子，该技术往往应用在飞机上以利于航空事故的调查。

图6-8 使用TPD的OBU系统架构

当接收到数据包P_j，OBU将其发送到TPD，该TPD只是将其缓存，一旦下一个密钥发布包k_rP_j到达TPD，它将开始验证先前缓存的数据包P_j。假设验证成功后继续进行如图6-4所示的过程，然后接受数据包P_j，随后OBU计算数据包的散列值，并存储在证据表中，同时存储的还有数据包接收时间戳，见表6-2，这些内容将被用于实现不可否认的目的。此外有一个参数被用于确定证据表中的证据应该保留多久，通过将该参数（或到期时间）嵌入到表中，可以据此将表中所有与过期数据包相关的记录删除，从而降低存储和搜索成本。在现实中，失效时间是由权威机构决定的，过期的数据将从表中自动删除。类似的规定已经存在于监控视频领域，例如所有的金融机构，包括银行和自动柜员机（ATM），需要将存储的监控录像保存至少180天。

表6-2 TPD中的证据表

在某些情况下发送方会否认其在过去发送了某个数据包，并且声称其发送了另外一个实际上是其后来伪造的一个数据包，这一争端可以通过搜索证据表中与这些车辆相关的数据包的散列值来解决，如果发现了匹配的记录就可以容易地找出事情的真相，并证明发送方否认了事实。

对于该方案所需的存储空间，假设该方案使用MD5散列函数，时间戳以ms为单位，长度是32bit，通过估算每个数据包在证据表中条目的大小为160bit。根据DSRC［21］协议，车辆将以100～300ms的时间间隔发送消息，在通信范围内有10台车辆的情况下，每台车辆每秒将接收高达100条消息，这意味着每秒至少需要2000Byte的存储空间。证据被保存的时间越长，所需的存储空间也就越大，假设按照金融部门现行的严格规定，证据必须保存至少180天，则所需的总存储空间大约为29GB。随着硬盘技术的发展，存储成本已大幅降低（根据statisticbrain.com［27］的调查，2014年每GB大约花费0.03美元）。另外考虑到普通汽车大部分时间处于停放状态（约95％［28］），因此实际所需的存储空间将远低于上述估值。