首页 理论教育 车载adhoc网络的安全认证方案

车载adhoc网络的安全认证方案

时间:2023-09-22 理论教育 版权反馈
【摘要】:图9-5 在交叉路口的移动方向预测9.3.2.3 阶段三:预认证根据第二阶段预测的结果,APi可以预测哪个邻居AP将为APi+1。

车载adhoc网络的安全认证方案

本章提出的无缝认证方案是由以下四个阶段构成的:初始车辆认证阶段、移动预测阶段、预认证阶段和切换阶段。

9.3.2.1 阶段一:初始车辆认证

在车辆(用V表示)可以访问互联网服务之前,它需要与认证-授权-计费(AAA)服务器进行双向认证。当前设备或应用与AAA服务器进行通信的协议标准是远程认证拨入用户服务(RADIUS)[10],它也被称为RADIUS服务器。具体流程如图9-3所示。V首先与最近的AP进行关联请求,然后该AP发送一个可扩展身份认证协议(EAP)请求询问V的身份。在接收到V的身份后,AP向AAA服务器发送一个RADIUS接入请求,与之一同发送的还有V的身份。随后AAA服务器和V利用公钥基础设施进行双向认证。一旦双向认证完成,就可以建立起一个如传输层安全(TLS)之类的安全通道。需要注意的是,AP对于V和AAA服务器来说是透明的,它只是将消息转发给双方。

为了使V能够接入AP,AAA服务器为它们生成一对主密钥(PMK)。此外AAA服务器创建一个种子S,设定一个长度N,用来产生一个单向散列链,并将它们发送给V。长度N表示V与互联网服务断开之前最多可与N个AP连接,因此N应足够大,以便维持一个稳定的连接。同时AAA服务器还创建了HNS),并将其与PMK一起发送到AP。为了提高生成HNS)的速度,AAA服务器可以离线创建一个元组集<SNHNS)>。最后,V和AP(已接收到PMK)开始进行四次握手,为802.11协议协商所需的安全参数。

978-7-111-54674-0-Chapter09-9.jpg

图9-3 初始的车辆认证

V接入互联网后,它可以使用从AAA服务器获得的种子S和长度N,产生用于将来认证的散列链。因为哈希链的生成是在初始认证之后和V切换到下一个AP之前进行的,所以它不会对下一个AP的认证操作造成延迟。另外值得指出的是,AP仅知道散列链中的一个元素HNS),并不知道散列链中的其他元素。

9.3.2.2 阶段二:运动预测

在这个阶段,当前正在与一辆车关联的AP将对该车的运动做预测,以判断车辆下一步将切换到哪个AP。这个阶段是为阶段三做准备。车辆的运动预测包含两种情况:沿道路移动和在一个交叉路口。在第一种情况中,车辆的运动只有两个方向,向前或者是向后。在这种情况下,我们定义一个R3空间,空间中的样本是一个三维矢量,并表示如下:

DirectionSpeedAcceleration〉(9.1)其中,Direction表示车辆运动的方向,比如向东或向西;Speed表示车辆运动的速度;Acceleration表示车辆是加速还是减速,正值表示加速,负值表示减速。

R3中的空间矢量(X)作为车辆的特征能够以离线方式从一个RSU获取。然后这些矢量作为训练样本被输入到9.3.1小节所描述的多层感知分类器中。反向传播算法被用来训练分类的权重。在这种情况下,输出层神经元的数目等于2,因为仅存在两种可能的输出,即向前或向后。在做决定时,这两个神经元中输出值较大的被视为正确的结果,例如第一神经元表示向前,而第二神经元表示后退。如果输出层的结果是第一神经元比第二神经元大,则意味着车辆将在不久的将来向前方运动。

在图9-4所示的VANET中,在第一种场景的大多数情况下车辆是向前运动,除非是发生了交通事故。然而对于第二种场景即车辆通过交叉路口时,预测车辆的运动方向将变得更加复杂,如图9-5所示。一般来说,当车辆到达交叉路口时,车辆存在四种不同的方向选择:左转、右转、前进或掉头。类似于第一种情况,本节定义一个R5空间,空间中的样品是一个5维矢量,并表示如下:

DirectionSpeedAccelerationTurnLightTrafficLight〉(9.2)其中,前三个字段与第一个方案中的三个参数的意义相同;第四字段TurnLight表示车辆转向灯的信号,特别是当车辆将要在交叉路口转向的时候,该字段有5个可能的值,即0.2、0.4、0.6、0.8和1。它们分别表示左转向灯闪烁、右转向灯闪烁、制动灯闪烁、左转向灯和制动灯同时闪烁、右转向灯和制动灯同时闪烁;最后一个字段TrafficLight表示当前交通信号灯的颜色:红色、绿色或黄色。

978-7-111-54674-0-Chapter09-10.jpg(www.xing528.com)

图9-4 沿道路的移动方向预测

类似于第一种场景,在R5空间矢量(X)被视为训练样本,它们也是从一个RSU获得的。输出层的神经元的数量取决于交叉路口有多少种可能的方向,例如图9-5所示的场景,该值等于4。每个神经元代表一个车辆将要转向的方向,并且输出层中神经元的值为最大的表示预测的结果。

当前正在与车辆关联的AP根据其对车辆运动方向的预测,可预先将该车辆与下一个AP关联时需要的认证凭证准备好。

978-7-111-54674-0-Chapter09-11.jpg

图9-5 在交叉路口的移动方向预测

9.3.2.3 阶段三:预认证

根据第二阶段预测的结果,APi(APi代表自从车辆V与AAA服务器完成初始身份认证后与之正在关联的第i个AP)可以预测哪个邻居AP将为APi+1。在V与APi断开关联并切换至APi+1之前,APi负责将V的身份和相应认证凭证发送给APi+1。需要注意的是,这里假设APi和APi+1之间的通信信道是安全的。在本章的方案中,APi向APi+1发送HNiS)、HPMKi)和V的身份。HNiS)是由APi-1提供的散列链中第(Ni)个元素,S是由AAA服务器在初始认证过程中提供给V的散列链的种子。APi+1将使用HNiS)认证VPMKi是由V和APi共享的主密钥对,HPMKi)是PMKi的散列值,H(.)是散列函数,如SHA-1。APi+1利用HPMKi)生成PMKi+1。在APi+1接收到V的身份和认证凭证后,APi+1将这些信息存储其本地数据库中,以便在下一阶段使用。

9.3.2.4 阶段四:切换

V检测APi+1的信号强度比APi更强时,V将开始向APi+1切换,并与APi+1执行如图9-6所示的认证过程。V首先向APi+1发送关联请求以便开始一个认证过程。然后,APi+1返回关联响应,并请求V的认证凭证。之后,VHNi-1S)提供给APi+1,它是V与AAA服务器进行初始认证之后所生成的散列链的第(Ni-1)个元素。在接收了HNi-1S)之后,APi+1检查其本地数据库,看是否有V的凭证信息。如果有,APi+1检查HNiS)是否等于HHNi-1S))。如果相等,APi+1通知V认证成功。因为V和APi+1具有相同的HPMKi)和HNi-1S),所以它们可以产生HHPMKi)‖HNi-1S))作为它们的主密钥对以及一个独立的创建PMKi+1的过程。

978-7-111-54674-0-Chapter09-12.jpg

图9-6 车辆预认证

如果APi+1的本地数据库中没有V的凭证信息,这就意味着由APi预测的V的运动结果是错误的(9.5节的性能评估表明,预测错误的概率是非常小的)。在这种情况下,APi+1立即向APi要求与V身份相关联的HNiS)和HPMKi)。在接收到这些信息后,APi+1再次检查HNiS)是否等于HHNi-1S))。类似于上述内容,如果两者相等,则认证V成功;否则,拒绝V的接入。该方案的最后一个步骤需要执行4次握手。

在APi+1成功认证V后,它将从本地数据库中删除V的凭证信息。APi+1收集V的运动特性信息,以形成如第二阶段中定义的5维或3维矢量,并预测其AP邻居APi+2,以便V在不久的将来进行切换。然后,APi+1重复第二阶段的过程。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈