电动汽车充电预约的安全认证技术研究

张建业，何玲，周晓欢，郭学让

(1.国网新疆电力有限公司，乌鲁木齐 830000； 2. 国网新疆电力有限公司电力科学研究院，乌鲁木齐 830001；3.华北电力大学 电气与电子工程学院，北京 102206)

0 引 言

电动汽车以电池为动力源，大规模电动汽车的无序充电将给电网带来新一轮的负荷增长，并给电力系统的安全稳定运行带来负面影响，因此，需要对电动汽车的充电行为进行有效地控制和引导。智能电网是电力系统基础设施和信息通信系统基础设施深度融合的现代电网，信息化、自动化和互动化是智能电网的三个主要特征。电动汽车与电网互动(Vehicle to Grid，V2G)是实现智能电网主要特征的一种重要技术[1]，它利用电动汽车可控负荷与电源的双重属性来控制动力电池的充放电过程，以减少因电动汽车规模化发展带来的挑战，并为电网提供包括接纳间歇性可再生能源在内的各种辅助服务[2]。

对电动汽车的充放电调度与控制已经有了大量研究，并取得了许多成果。例如，文献[3]考虑到用户的充电需求，提出了一种考虑多方利益的电动汽车有序充电策略。文献[4]针对电动汽车大规模接入问题，提出一种基于 V2G 技术的电动汽车实时调度策略。文献[5]构建了一种多目标电动汽车充电优化模型，降低电网运营成本，解决电动汽车有序充电问题。

电动汽车与电网互动离不开信息通信系统的支撑，信息通信技术的广泛应用不可避免地带来信息安全问题，包括信息的机密性、完整性、认证性和隐私性等，目前在认证方面开展了很多研究。其中，文献[6]针对V2G网络提出了一种基于可撤销的群签名技术的认证方案，解决了插电式电动汽车的动态管理问题。文献[7]提出了V2G连接的隐私保护身份验证方案，该方案能确保消息传递过程中的机密性和完整性。文献[8]提出了一种基于椭圆曲线密码体制的V2G网络隐私保护方案，在保证数据共享的同时实现了匿名和隐私保护功能。文献[9]提出了一种新的V2G网络隐私保护认证方案，构造了一个针对电动汽车和智能电网的轻量级认证协议，不仅能提高V2G网络的认证效率，还能防止内部攻击者。

作为一种交通工具，电动汽车的主要功能还是体现在它的行驶状态。然而，目前的研究工作大都是针对停驶状态下电动汽车智能充电的安全认证而提出。行驶状态中的电动汽车是车联网的重要组成部分，而针对车联网的信息安全目前也有很多研究成果。例如，文献[10]提出一种短签名方案，签名长度变短，但需要花费额外的时间去认证公钥证书。文献[11]提出了一个基于有条件匿名环签名方案的高效VANET通信协议，解决了匿名认证和争议情况下的高效跟踪问题，不需要RSU参与认证和跟踪，提供了低存储要求和快速消息认证。文献[12]则提出了一种应用于车联网,且基于身份的批签名验证方案，但是存在模拟攻击的安全隐患。在此基础上，文献[13]克服了上述安全缺陷，改进了身份验证功能。文献[14]开发了基于身份的签名和环签名，利用双线性对实现了消息认证，但由于消息签名和验证操作的开销，该方案效率不高。文献[15]提出了一种改进的身份验证方案，并表明所提出的方案可以满足VANET所需的安全要求。文献[16]提出了一种新的认证方案，由信任机构为所有车辆提供假名和相应的密钥。

电动汽车是智能电网和智能交通系统的重要纽带，行驶状态下电动汽车有序充电的信息交互将跨智能电网和智能交通系统两个域。目前，融合智能交通系统与智能电网的有序充电引导和控制的研究已经成为人们关注的热点，并取得了一些研究成果。文献[17-18]基于“车-路-网”融合系统,提出一种大规模电动汽车的最优充电路径规划策略，前者是一种静态路网模型，后者是一种实时动态模型。文献[19]集成交通系统组件与智能电网组件，研究了电动汽车充电调度问题。然而，针对行驶状态下电动汽车充电引导与控制的安全认证方面的研究还很少，如文献[20]研究了 VANET 网络中的组密钥自愈问题，使电动汽车用户可以通过 VANET网络参与 V2G。基于此，文中将研究行驶状态下电动汽车充电预约的安全认证问题，在智能交通系统和智能电网融合的基础上，利用平台建设的端、边、管、云逻辑架构，利用数字签名的批验证技术，提出一种基于车联网的充电预约安全认证方案。

1 系统物理架构及安全需求

1.1 系统物理架构

智能交通系统是在传统的交通工程基础上发展起来的新型交通系统，车联网被认为是智能交通系统的重要组成部分，车联网与智能交通的结合可以定义为智慧交通。一般来讲，车联网主要包括配置车载单元(On Board Unit，OBU)的车辆、路侧单元(Road Side Unit，RSU)以及实现V2X(Vehicle-to-Everything，V2X)通信技术等部分。图1所示为电动汽车有序充电引导系统的物理架构，该系统由充电站、路侧单元(RSU)、电动汽车以及可信服务中心(Trusted Authority，TA)四部分组成。车辆和路侧单元(RSU)位于智能交通系统域。充电站位于智能电网域，并拥有多个充电桩。为满足电力系统的供需平衡，充电站受智能电网充放电监控中心调度与控制。RSU与充电站通过互联网通信，每个充电站连接多个RSU，充电站周期性地向连接的RSU发布其充电桩空闲/占用状态信息。电动汽车和RSU之间可以通过IEEE 1609/WAVE、LTE-V或5G无线协议通信，这种通信属于车辆与基础设施之间的信息交换，即Vehicle-to-Infrastructure(V2I)之间的信息交换。电动汽车通过与通信范围内的RSU互动，可获得充电站的状态信息。并可通过RSU发送充电预约请求。为了实现行驶状态下电动汽车有序充电的信息交换安全认证，系统中还配置有TA，负责系统注册、颁发证书等与密码相关的操作。

图1 电动汽车智能充电系统模型Fig.1 Electric vehicle intelligent charging system model

因为上述物理系统逻辑上可划分为“端、边、管、云”四层结构，即电动汽车为“端”，RSU为“边”，互联网为“管”，智能电网为“云”。这里将边缘服务器部署在RSU，保证了边缘服务器与电动汽车的邻近性，能够确保为电动汽车提供低延时、高可靠性的本地服务。由于密码计算相对耗时，这种结构也为充电站将安全认证的计算负载下沉到RSU提供了条件，从而能大大节省数据传输时间，降低网络带宽压力，提高整个系统的运行与管理效率。

1.2 安全需求

(1)身份认证性。

在电动汽车预约充电场景中，消息接收者需要先确定消息发送者是否为可信任实体，即有充电需求的电动汽车是否是合法用户等。

(2)消息完整性。

消息接收者需要确定所收到消息是否是发送者所发送的原始消息，是否被攻击者篡改过。

(3)不可否认性。

当消息接收方核实消息发送方的真实身份时，消息的发送者不能抵赖自己没有发送过该条消息。

(4)可抵抗重放攻击。

在信息交互过程中易遭受到各种安全攻击，如重放攻击、假扮攻击等。因此，为了实现认证方案的安全性与可靠性，认证方案需要能抵抗各种安全攻击。

2 安全认证方案

电动汽车有充电需求时，如果充电车辆与充电站之间直接交互，实现安全认证及预约等功能, 会产生非常大的信息量，极大地增加了充电站的负荷，并且车辆与充电站距离较远会产生较大的时延。因此，提高验证信息的效率及减少通信时延是非常重要的。针对融合交通网络实现智能充电安全认证提出一种基于改进DSA签名算法的批量验证方案，把充电场景中路侧单元(RSU)作为边缘节点，边缘服务器可以与数百个车辆通信，然后依次将电动汽车充电请求消息签名后发送给充电站，充电站对一个时间段内收到同一RSU的签名消息进行批验证，可以使充电站高效地验证车辆充电预约请求消息，相对于传统单一验证方案，有效降低了计算和通信开销。

文中系统物理架构从逻辑上可分为终端、接入网、边缘、核心网和应用这五部分。系统具体的安全认证方案分五个步骤，分别为初始化、电动汽车预约充电、RSU确认充电请求并签名分发、验证RSU、车辆到达验证。图2是电动汽车预约充电示意图。为了方便阐述方案，文中定义的参数符号如表1所示。

图2 电动汽车预约充电示意图Fig.2 Schematic diagram of electric vehicle charging reservation

表1 参数设置Tab.1 Parameter settings

2.1 初始化

(1)参数生成。

TA选取一个素数p满足：2L-11成立的整数。(p，q，g)是生成的公共参数，提前将它发送给充电站、RSU、车辆。

(2)注册。

充电站、RSU、车辆向TA注册，生成自己的公私钥以及证书。随机选取整数x:0

TA为他们颁发相应的证书：

(1)

2.2 电动汽车预约充电

2.3 RSU确认充电请求并签名分发

(1)核实充电请求。

RSU利用自己的私钥xRi对发来的充电请求解密，利用车辆证书验证车辆是否合法，若合法进行下一步。

(2)签名生成。

r=(gkmodp) modq

(2)

对消息mi1及r取安全的hash函数h，计算：

h=h(r,mi1)

(3)

s=rk-hxRimodq

(4)

RSU对消息mi1的签名即为(r,s)。

(3)分发。

边缘RSU给充电站发送有效签名消息:{mi1,r,s};

同时RSU给电动汽车发送预约成功消息：

2.4 验证RSU

(1)电动汽车验证RSU。

电动汽车用户利用自己的私钥xVi对RSU发来的消息解密，根据RSU数字证书进行消息认证和身份认证。认证通过则认为预约充电成功。

(2)充电站验证RSU。

单一验证：

充电站收到签名后，先计算：

h=h(r,mi1)

(5)

再利用RSU的公钥yRi及公共参数(p，q，g)。计算：

f=((gsr-1yhr-1)modp)modq

(6)

如果f=r，则接受(r,s)是RSU对消息mi1的有效签名，否则拒绝此签名。

批量验证：

假设充电站每隔一段时间对来自同一个RSU的n条签名消息{mj1,(rj,sj)},j=1,2,…,n进行验证，计算：

hj=h(rj,mj1)

(7)

(8)

(9)

若u=w，则认为n条签名消息均由该RSU签名的。否则拒绝签名，说明此时这些消息中存在坏签名，验证者可以通过识别坏签名位置的相关算法来查找无效签名，比如文献[21]，文章不做详述。

2.5 车辆到达验证

电动汽车收到预约成功消息后，按预约时间到达充电站，发送充电请求：

充电站根据预约信息库核实电动汽车身份，验证通过后即可到相应地点完成充电。

3 安全及性能分析

3.1 安全性分析

(1)身份认证性。

文中利用可信机构颁发的证书实现对消息发送者的身份认证，可有效验证消息发送方是否合法。

(2)消息完整性。

文中消息签名和认证算法都是利用DSA算法实现的。DSA的安全性基于离散对数问题的难解性，没有攻击者能够伪造一个消息并且使接收者相信该消息是可信的。在系统模型中，接收者可以通过认证算法验证消息的真实性、完整性、有效性，因此文中方案消息具有完整性。

(3)不可否认性。

任何车辆发送给RSU的消息，RSU可以知道其真实身份，因此该车辆不能对发送的消息抵赖，否认其发送过该消息。

(4)抵抗重放攻击。

在消息签名过程中，添加时间戳Ti使得攻击者不能对通信消息进行伪造或篡改。在消息接收方验证签名时首先查看时间戳是否有效，过期或无效的消息会被直接丢弃，因此文中方案可抵抗重放攻击。

3.2 性能分析

下面从计算开销和通信开销两个方面对文中方案进行性能分析，并与现有的几个认证方案进行比较，证明文中方案效率更高。

(1)计算开销分析。

表2给出了不同密码学操作对应缩写和所需的执行时间。文中方案仅与代表性方案文献[10], 文献[13]、文献[15]进行比较。

表3中列出了四种方案在验证单个签名及验证n个签名两种情况下所消耗的时间。文中方案中执行一次模运算所消耗的时间与一次乘法运算所用时间是相同的，结合表2可计算出，文献[10]方案认证时间最长，文中方案认证时间最短。图2给出了四种认证方案在批量验证中消息个数与消耗时间之间的线性关系。显然，文中方案运算效率较好。

表3 相关方案计算开销对比Tab.3 Calculation costs comparison of related solutions

图2 各类方案批量认证计算开销比较Fig.2 Overhead comparison of batch authentication of various schemes

图3显示的是采用文中方案对n个签名分别进行单一验证和批量验证时所消耗的时间，可以直观看出批量验证效率远远大于单一验证效率。

图3 文中单一验证和批量认证计算开销比较Fig.3 Calculation overhead comparison between single verification and batch verification

(2)通信开销分析。

表4 相关方案通信开销对比Tab.4 Communication overhead comparison of related solutions

图4 各类方案批量认证通信开销比较Fig.4 Communication overhead comparison of batch authentication of various schemes

图4给出了四种认证方案在批量验证中消息个数与通信开销之间的线性关系。显然，文中方案相对另外三个方案在通信开销方面更具有优势。

4 结束语

电动汽车是智能电网和智能交通系统的重要联系纽带。作为一种交通工具，行驶状态下的电动汽车其充电行为具有高度的时空不确定性。文章研究行驶状态下电动汽车充电预约的信息安全问题，基于边缘计算及改进DSA签名算法，提出了一种融合车联网的电动汽车充电预约安全认证方案。该方案将RSU作为边缘节点，并在此部署边缘服务器，进而将相对耗时的部分密码运算由充电站下沉到边缘服务器，解决了电动汽车因直接连接到充电站带来的时延及通信效率问题。同时，利用改进的DSA签名算法，充电站可对有充电需求的电动汽车实施高效的签名批验证，从而提高整个系统的运行与管理效率。