Scaling Pseudonymous Authentication for Large Mobile Systems论文中文翻译-优快云博客

安全和保护隐私的车载通信（VC）系统的核心组成部分是车载公钥基础设施（VPKI），提供给车辆多个假名。这些假名被用来在保护车辆隐私的同时确保消息的真实性和完整性。鉴于新兴的大型多域VC环境，VPKI的效率以及可伸缩性至关重要。同样，防止假名的滥用，尤其是基于Sybil的行为不当，以及管理“诚实而又好奇”的内部人员，也是面临挑战的其他方面。在本文中，我们利用了最先进的VPKI系统，并增强了其功能，以实现高可用性，动态可扩展和弹性设计。这确保了系统在出现良性错误或资源耗尽攻击的时候保持可用性，并且它根据请求到达的速率动态向内或向外扩展。我们在谷歌云平台上的全面实现表明，部署大规模和高效的VPKI是经济有效的。

1.介绍

vehicles beacon Cooperative Awareness Messages (CAMs)车辆信标协同感知信息

Decentralized Environmental Notification Messages (DENMs)分布式环境通知信息

在VC系统中，定期高速率的车辆信标协同感知信息和分布式环境通知信息使得交通安全和有效。

众所周知，VC系统很容易遭受攻击并且用户的隐私受到威胁。

安全和隐私的解决方案也被众多组织提出。

一种共识被达成，即使用公钥加密（PKC）去保护V2V、V2I的通信：一组短期的匿名证书，称为假名，由车辆公共密钥基础设施（VPKI）为已经注册过的车辆颁发。

车辆从一个假名切换到一个以前没有使用过的假名，以实现消息不可链接性，因为假名本身就是不可链接的。假名是有条件的，从某种意义上说，相应的长期车辆身份可以在需要时由VPKI检索，例如：如果车辆偏离了系统政策。

Certificate Revocation List (CRL)证书撤销列表

车辆能够请求长期的假名，但是，长时间每辆车以数百万个假名的大量预加载在计算上成本高昂，并且在利用方面效率低下。并且，在撤销的情况下，由于证书的长寿命一个大的证书撤销列表会被分发给所有的车辆，但是CRL的相当一部分与接收车辆无关，可以不使用，这就导致浪费了很大的带宽用于CRL分发。或者，每个车辆可以与VPKI定期进行交互，例如，一天一次或几次，不仅仅是为了填满它的假名池，而且获取最新的撤销信息。然而，在遭受阻塞式拒绝服务攻击的时候VPKI系统的性能会急剧下降，这样就损害了VPKI实体的可用性。并且，高峰时段假名获取请求的激增，可能使VPKI无法访问，或大大降低其服务质量（flash crowd）。

VPKI不可用的代价是双重的：安全（道路安全恶化）和隐私。一个活跃的恶意实体可以阻止其他车辆访问VPKI来获取最新的吊销信息。此外，使用对应于过期假名或长期证书（LTC）的私钥对CAM进行签名是不安全的，并且不利于用户隐私。

虽然可以依靠匿名身份验证原语来重新填充假名池，但与安全相关的应用程序的性能可能会降低。对大多数车辆使用匿名身份验证方案会导致验证CAMs所需的加密处理开销增加30%,因此，必须提供高可用性、可伸缩和弹性的VPKI设计，以按需方式有效地颁发假名。

考虑到VC系统朝着多域方向的发展，随着多域中服务提供者的多样性，每辆车都可以从不同的服务提供商处获得假名。获得多个同时有效的假名将使敌人能够注入多个错误消息，例如危险通知，仿佛它们来自多个车辆，或者通过发送虚假但经过认证的信息来影响基于投票的协议。尽管有分布式的方案来识别女巫节点，或者依靠硬件安全模块（HSMs）来缓解脆弱性，但是一个VPKI系统应该在基础设施端防止这种凭据滥用。然而当在云端部署这样的一个系统的时候，一个恶意的车辆能够重复请求假名，实际上，请求可能被传递到微服务的不同副本，发放多个同时有效的假名。要求所有副本共享一个集中的数据库，以确保所有事务的隔离和一致性，这将减轻此类漏洞。然而，这与为大规模移动系统提供高效和及时的假名是矛盾的。

贡献：在这篇论文中，我们利用并并加强了VPKI，并且提出了VPKI即服务的系统，朝着高可用性、动态扩展性、和容错性（高弹性）设计的方向，确保系统在出现良性错误或任何的资源耗尽攻击时的可用性。此外，我们的方案消除了在云上部署带有多个微服务副本的系统时基于sybil的不当行为，而不会降低假名获取效率。部署和迁移到云的所有过程，例如，引导阶段、微服务的初始化、假名获取过程、运行状况监控和负载指标等都是完全自动化的。通过大量的实验评估，我们表明VPKIaaS系统可以根据VPKIaaS系统的工作负载和请求到达率动态地向外扩展，或者可能向内扩展，以至于它可以轻松地处理意外的高要求负载，同时通过系统地分配和释放资源来实现成本效益。我们的实验评估显示了36倍的改进比以前的工作：之前的系统发出100个假名的处理延迟大约是2010毫秒，而我们的系统大约是56毫秒。此外，当假名请求到达率激增时，原来系统的性能会急剧下降，相反，我们的VPKIaaS系统可以轻松地处理苛刻的负载请求，同时有效地颁发假名。

2.背景和相关工作

VPKI可以长时间（例如25年）为车辆提供有效的假名。然而，如此长的一段时间内，每辆车都要使用数百万个假名，这在计算上是昂贵的，效率低下的，撤销起来也很麻烦。相反，一些提议建议更频繁的车辆与VPKI的交互，即随需应变方案。这种策略提供了更有效的假名使用和撤销，从而有效地防止了不当行为。但是，对于按需获取假名，需要设计(和部署)一个有效的、可扩展的系统，同时能够抵抗任何资源消耗攻击。尽管VPKI系统可以处理大规模的分布式场景，但是缺乏动态可伸缩性(例如，根据到达率动态地向外/向内扩展)和对资源消耗攻击的弹性（容错性）。除了显著的性能改进之外，我们的VPKIaaS实现是高可用性的、动态可扩展的和容错的。基于sybil的不当行为会严重影响VC系统的运行，多个伪造的不存在的车辆会通过注入虚假信息污染网络。例如，具有多个有效假名的对手(此处称为Sybil节点)可能会产生一种影响流量监控系统运行的流量拥塞假象，或者广播虚假的不当行为检测投票，或者在社交网络中向其他用户发送垃圾邮件。强制不重叠的假名生存期的主意第一次被提出，这样可以防止对手为自己配备多个有效身份，从而影响收集多个输入的协议，例如：基于投票的，通过发送冗余的虚假但已被证实的信息。即使这个想法已经被接受，很多提议例如[63,88]，并不能阻止车辆通过多个假名请求同时获得有效的假名。多个假名发行者的存在恶化了这种情况：车辆可以向多个服务提供者请求假名，而每个服务提供者都不知道同一时期的假名是否由其他服务提供者提供了。人们可以通过依赖HSM来减轻这个漏洞，确保所有签名在任何时候都在一个有效的假名下生成。也有基于无线电特性和三角测量的分布式Sybil节点检测方案；这种策略依赖于应用程序，例如，这不能保证流量监控系统的运行，因为对手传播多个流量拥塞消息，每个消息都在一个不同的“假”私钥下签名。v -令牌[81]阻止一个车辆获得多个同时有效的假名，因为有服务提供者彼此通信，例如，一个分布式哈希表。SECMACE[60](包括它的前身[54,55])可以防止基础设施端基于sybil的不当行为，而不需要额外的实体，即例如，额外的交互或VPKI内部通信。更具体地说，它确保在多域环境中的任何时候，每个车辆都有一个有效的假名。然而，当在云上部署这样一个系统时，恶意车辆可以重复请求假名，希望请求被发送到微服务的不同副本，从而获得多个同时有效的假名。与这些方案不同，我们的VPKIaaS方案可以防止在云部署的基础设施上基于sybil的不当行为：它确保了在一个多域内的任何时候，每个车辆只能有一个有效的假名；更重要的是，这并不影响假名的及时发放。

VPKI实体通常被隐式地假定为完全可信的。考虑到最近移动应用的经验，对手模型从完全可信扩展到诚实但好奇的VPKI服务器，如果这些诚实但好奇的实体在没有被发现的情况下获得优势，则可能会破坏安全协议并偏离系统策略，例如：推断用户敏感信息。在VC领域之外，有各种不同的提议为PKI来抵御恶意的内部人员，这种方案依赖于超过阈值数量的CA签署证书；但是，这些方案不能被VC系统使用。例如，颁发证书大约需要2分钟，并且它随所需CAs的数量而变化，显然，这与VC系统按需获取假名的策略是矛盾的。

3.系统模型和目标

3.1概述和假设

VPKI由一组具有不同角色的证书颁发机构(CAs)组成：根CA (RCA)，拥有最高级别的权限，认证其他较低级别的权威机构；长期CA（LTCA）负责车辆注册和长期证书（LTC）签发，假名CA（PCA）为已注册的车辆发布假名。

假名有一个生命周期(有效期)，通常从几分钟到几小时不等；理论上，假名寿命越短，不可链接性越高，隐私保护程度也就越高。我们假设每辆车只在其Home-LTCA (H-LTCA)上注册，该Home-LTCA是策略决策和执行点，注册的车辆可以到达。在不丧失一般性的情况下，可以将域定义为在H-LTCA注册的区域内的一组车辆，并遵守相同的行政法规和政策。可以有多个PCA，每个PCA在一个或多个域中处于活动状态；任何合法的，即已注册的车辆都可以从任何PCA(假名提供者)获得假名(只要两个CAs之间建立了信任关系)。两个域之间的信任可以在RCA的帮助下建立，或者通过交叉认证建立。

每个车辆与VPKI实体进行交互，以获得一批假名，每个假名具有相应的短期私钥，以对它们的移动性信息（例如CAM或DENM）进行签名和分发，并定期或在需要时进行时间和地理标记作为对特定事件的响应。在域A注册的车辆使用私钥ki v对发出的消息进行数字签名，该私钥与Pvi对应，Pvi表示由PCA签名的当前有效假名，然后将该假名附加到已签名的消息中，以允许任何收件人进行验证。接收到消息后，在验证消息本身之前先对假名进行验证(签名验证)，此过程确保通信真实性、消息完整性和不可否认性。车辆从一个假名切换到另一个假名(以前没有使用过)来实现不可链接性，从而保护发送者的隐私，因为假名本身是不可链接的。

每个车辆根据各种因素“决定”何时触发获取假名的过程。这种方案需要与VPKI的稀疏连接，但它有助于车载单元（OBU）预先加载假名，覆盖时间更长，例如，一个星期或一个月，连接可能会严重间断。H-LTCA指定了一个通用的固定间隔Γ，并且该域中的所有假名均以与VPKI时钟对齐的生存期（τP）发出，由于该政策，所有车辆在任何时间点都使用假名进行传输，由于时间对齐，这些假名无法根据其发布时间进行区分。