32、基于ABE的车联网与区块链安全方案解析

基于ABE的车联网与区块链安全方案解析

最新推荐文章于 2025-10-22 09:11:49 发布

落叶知秋263

最新推荐文章于 2025-10-22 09:11:49 发布

阅读量54

点赞数

CC 4.0 BY-SA版权

分类专栏：解锁ABE：数据访问新范式文章标签： ABE 车联网区块链

本文链接：https://blog.youkuaiyun.com/ansible6ops/article/details/151750831

解锁ABE：数据访问新范式专栏收录该内容

35 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

基于ABE的车联网与区块链安全方案解析

1. AVN - SPE的基础与优化

在AVN - SPE（Attribute - Based Encryption for Vehicular Network Security Policy Enforcement）中，CP - ABE（Ciphertext - Policy Attribute - Based Encryption）方案里的α、β和r分别用于生成公钥（PK）、主密钥（MK）和私钥（SK）。使用策略树（PT）加密的消息可通过解密协议轻松重构。但在AVN - SPE的子组通信里，由于需要静态和动态属性，若仅用单个策略树PT加密消息，无法用原解密协议重构消息，原因是加密参数不同，如离线TA和在线RSU使用的r值不同。

为了优化AVN - SPE操作，有以下两种技术：
- 使用密钥加密密钥（KEK） ：能显著减少加密/解密协议执行时间。操作步骤为：先用对称密钥加密算法（如AES）用密钥加密数据，再用策略树加密该密钥。因密钥大小通常小于数据大小，通过PT加密KEK更具成本效益。
- 标准化常见场景 ：CP - ABE需明文传输PT，导致密文大小大。为减少开销，可在车辆处理单元嵌入带索引的标准表，表中有通用树结构集。若使用通用策略树，车辆可通过查表发送树的索引。此优化在处理标准消息（如事故报告）通信时特别有用。

2. AVN - SPE性能评估设置

评估在64位、3.2GHz的奔腾IV处理器上进行，协议实现采用160位椭圆曲线密码学。相关设置如下：
- 车辆通信 ：车辆可在1000米距离内传输数据，车对车（V2V）通信使用基于802.11的技术，车对基础设施（V2I）使用DSRC技术。
- 数据包大小 ：根据相关标准，数据包有效载荷大小设为100、200或400字节，802.11标准下最大允许有效载荷大小为2312字节（含WEP头）。
- 通信时间 ：DSRC数据速率为6 - 27 mbps，V2I/I2V交换400字节数据的往返时间可忽略。
- 交通标准 ：美国4 - 8车道高速公路车辆最大允许速度为90mph，拥堵和顺畅交通下车辆平均安全距离分别为10m和30m。

时间符号	操作时间（ms）	描述
TCV	0.07	PKI证书验证时间
TSV	0.07	签名验证时间
TG(K)	0.00025	256位对称密钥生成时间
TSig(V)	1.42	对值V签名的时间
TE	0.07	使用公钥密码学（PKC）加密消息的时间
TD	1.52	使用PKC解密消息的时间

3. AVN - SPE性能评估

计算开销
- 私钥生成时间 ：图12.5展示了RSU为其控制区域内车辆生成私钥组件的时间。安全组通信至少需四个属性（RN、RS、ED和ET，忽略道路方向时）。RSU生成车辆私钥组件的总时间TRSU计算公式为：TRSU = (TCV + TG(SK) + TSig[G(SK)] + TE)×Nv，其中TCV是PKI证书验证时间，TG(SK)是生成私钥组件时间，TSig[G(SK)]是对生成私钥组件签名时间，TE是用PKC加密消息时间，Nv是车辆数量。例如，美国八车道高速公路上8辆车同时进入RSU通信范围，RSU生成私钥组件需1.42秒。
- 加密/解密时间 ：图12.6对比了传统和优化CP - ABE方案的加密/解密时间。优化后的AVN - SPE加密和解密时间计算公式如下：
  - TEnc−Opt = TG(K) + TE(AES−K) + TE(CPABE(PT)−KEK) + TSig(E(KEK))
  - TDec−Opt = TSV + TD(CPABE(PT)−KEK) + TD(AES−K)
    对于2313字节数据包，优化方案加密时间为0.081秒，远小于传统方案的0.191秒；解密时间优化方案为0.052秒，传统方案为0.097秒。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([开始]):::startend --> B(生成对称密钥K):::process
    B --> C(用AES - K加密数据):::process
    C --> D(用CPABE(PT)加密KEK):::process
    D --> E(对加密后的KEK签名):::process
    E --> F([结束]):::startend

通信开销 ：在VANET子组通信性能评估中，考虑两个策略树PT 1和PT 2。先使用PT 2（5个属性）加密，再用PT 1（3个属性）加密。对称KEK先由PT 2加密，再由PT 1加密。对于2312字节数据，非优化方案加密时间为0.322秒，优化方案为0.12秒。加密使用两个策略树的时间虽高于单树结构，但仍小于为子组所有车辆生成新密钥的时间，解密过程也有类似特性。

4. AVN - SPE安全分析

RSU攻击 ：AVN - SPE的组和子组通信安全基于RSU生成的私钥组件，受损RSU会破坏系统操作。攻击者可部署对抗性RSU，但车辆进入RSU覆盖范围时的基于证书的相互认证程序可阻止此类攻击。
车辆冒充 ：攻击者无法为传输给其他车辆的密文生成有效签名，因为其没有真实车辆的私钥，无法冒充有效用户。
加密消息攻击 ：AVN - SPE无法阻止攻击者用一组属性加密消息，因属性和加密参数公开。所以需要对传输消息签名进行认证。为减少签名计算次数，优化方案可仅为第一条传输消息附加签名，后续流量用第一条消息中加密的KEK认证。
拒绝服务（DoS）攻击 ：发送者可用多个属性加密消息使接收者负担过重。虽难以阻止车辆使用AVN - SPE发送消息，但可撤销攻击者。车辆传输前需对密文签名，其他车辆可向RSU报告恶意行为，RSU生成新动态属性撤销违规车辆。

5. 基于ABE的区块链交易数据安全方案

区块链技术作为支持可信交易、跟踪和验证等业务功能的可信平台，正日益受到广泛应用。然而，多数业务用例要求数据和交易具备隐私性和保密性，这使得企业不得不选择私有区块链解决方案，从而无法充分利用公有区块链系统的能力、优势和基础设施。为解决这一问题，提出了一种基于属性加密（ABE）的安全解决方案，采用私有覆盖公有（PoP）区块链方法。

ABE的基于策略的分布式操作与区块链概念高度契合，跨链PoP方法融合了公有区块链和私有区块链的优势。企业能够在限制访问、维护隐私和提高性能的同时，利用公有区块链的分布式信任。该解决方案提供了基于ABE的安全框架和协议，用于保护数据、交易和智能合约。

5.1 公有与私有区块链概述

公有和私有区块链有许多相似之处：
- 两者都是去中心化的点对点网络，每个参与者都维护一个共享的、仅追加的数字签名交易账本副本。
- 都通过共识协议使账本副本保持同步。
- 都能保证账本的不可篡改性，即使部分参与者出现故障或恶意行为。

两者的主要区别在于参与网络、执行共识协议和维护共享账本的权限。公有区块链网络完全开放，任何人都可加入并参与；而私有区块链则对参与者进行限制。公有区块链的缺点包括维护分布式账本需要大量计算资源，且缺乏隐私保护；私有区块链则更适合企业应用，能满足法规要求，提供更好的隐私保护和控制能力，但失去了公有区块链的一些有价值属性。

区块链类型	特点	优点	缺点
公有区块链	完全开放，任何人可参与	分布式信任、广泛适用性	计算资源需求大、隐私保护弱
私有区块链	对参与者进行限制	满足法规要求、隐私保护好、控制能力强	失去公有区块链部分属性

5.2 现有解决方案的不足

现有的跨链功能旨在结合不同区块链系统的优点，但没有明确解决在交易秘密上应用访问控制策略以保护数据隐私的问题。例如，在供应链采购中使用智能合约时，交易参数应仅对相关利益者可见，但现有解决方案无法很好地实现这一需求。Hyperledger依赖TA方法构建数据访问控制的权限组，但数据访问需预先定义，不适合复杂和动态的业务逻辑。传统的基于基础设施的数据访问控制模型（如基于角色的访问控制RBAC）与区块链操作的分布式性质不兼容。

5.3 PoP区块链架构与优势

PoP区块链架构将多个私有区块链附加到公有区块链上，使用ABE保护的状态通道。这种架构的优势如下：
- 去中心化信任模型 ：用于ABE - 基于数据访问控制的密钥管理，可将访问控制策略融入密文，保护智能合约内容。
- 隐私保护消息协议 ：允许私有区块链参与者与智能合约交互，生成私有区块链。以供应链采购应用为例，该协议可实现交易数据的隐私保护。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([公有区块链]):::startend --> B(公共 - 私有接口块):::process
    B --> C(私有区块链1):::process
    B --> D(私有区块链2):::process
    C --> E(受保护的智能合约交易):::process
    D --> E

ABE在链外应用，可与公有区块链无干扰地互操作。私有区块链交易的计算量较小，性能更好，因为无需所有参与者验证。公有区块链基础设施用于验证和保证私有区块链状态通道的完整性，可通过最终交易结果或整个私有区块链的哈希值实现。ABE为私有区块链状态通道提供数据隐私保护，只有具有相应权限和ABE属性私钥的参与者才能查看和验证相关块。

6. 总结

介绍了AVN - SPE在车联网数据访问控制中的应用，以及基于ABE的PoP区块链解决方案在保护区块链交易数据方面的应用。AVN - SPE通过优化操作，在计算开销、通信开销和安全性方面表现良好，为车联网通信提供了实用的解决方案。基于ABE的PoP区块链解决方案结合了公有和私有区块链的优势，为企业提供了一种有效的数据隐私保护和访问控制方法，可降低企业采用区块链解决方案的成本和复杂性。然而，车联网和区块链领域仍有许多安全和策略相关问题需要进一步探索，如车联网中的匿名性、基于AVN - SPE的高效认证、强安全要求下的抗合谋性、行为检测和撤销等，以及区块链中的更多隐私保护和访问控制策略的优化。