面向5G车联网的后量子认证与密钥协商协议PQAKA设计与验证

《IEEE Open Journal of the Communications Society》：PQAKA: Post Quantum Authentication and Key Agreement Protocol for Intelligent Internet of Vehicles over 5G

【字体： 大 中 小 】 时间：2025年12月16日 来源：IEEE Open Journal of the Communications Society 6.1

　　

随着自动驾驶技术的快速发展，智能网联汽车（Intelligent Internet of Vehicles, IoV）正逐渐成为现实。这些车辆不仅需要与周围环境进行实时数据交换，还要通过5G网络接入云服务获取导航、交通更新和软件升级等关键服务。然而，当前5G网络使用的认证与密钥协商（AKA）协议依赖于传统密码学原语，如AES、消息认证码（MAC）和密钥派生函数（KDF），这些技术在量子计算机面前显得越来越脆弱。量子算法如Shor算法能够破解RSA和椭圆曲线密码（ECC），而Grover算法则削弱了对称密钥密码的安全性。近年来，IBM和谷歌等公司在大规模超导处理器和容错模拟方面取得的进展表明，未来十年内量子计算机可能具备破解现有密码系统的能力。因此，为车联网设计能够抵御量子攻击的安全协议已成为当务之急。

在这一背景下，由Raja Gunasekaran领衔的研究团队在《IEEE Open Journal of the Communications Society》上发表了题为"PQAKA: Post Quantum Authentication and Key Agreement Protocol for Intelligent Internet of Vehicles over 5G"的研究论文，提出了一种专为5G车联网设计的后量子认证与密钥协商协议。该协议通过整合美国国家标准与技术研究院（NIST）最新标准化的模块格密钥封装机制（Module-Lattice Key Encapsulation Mechanism, ML-KEM），在保持与现有5G网络架构兼容的同时，实现了对经典和量子攻击的双重防护。

研究人员采用了几项关键技术方法开展本研究：首先，基于3GPP TS 33.501标准的5G安全架构构建网络模型，包含自主车辆（AV）、服务网络（SN）和家庭网络（HN）三个核心实体；其次，利用ML-KEM算法实现量子安全的密钥交换，该算法包含密钥生成（KeyGen）、封装（Encaps）和解封装（Decaps）三个核心操作；第三，采用形式化验证工具ProVerif对协议安全性进行严格验证，确保其在Dolev-Yao攻击模型下的安全性；第四，通过自定义Python仿真框架评估协议性能，使用Open Quantum Safe库的liboqs实现对比分析。研究还保持了与现有5G网络的完全兼容，无需修改接入和移动管理功能（AMF）、认证服务器功能（AUSF）或统一数据管理（UDM）实体。

系统模型设计

PQAKA协议基于标准的5G AKA安全架构，包含三个主要实体：自主车辆（AV）、服务网络（SN）和家庭网络（HN）。AV作为用户设备（UE），配备通用用户识别模块（USIM），安全存储着用户永久标识符（SUPI）、与HN共享的长期密钥k、HN的公钥pk_HN以及防重放攻击的序列号（SQN）。车辆通过5G下一代节点B（gNB）与网络通信，gNB作为SN的基站，负责连接管理和认证初始化。HN则包含AUSF和UDM，UDM存储用户订阅数据。整个系统支持车辆通过PC5接口进行车对车（V2V）通信，通过Uu接口进行车对网络（V2N）通信，确保各种车联网应用场景的覆盖。

威胁模型构建

研究采用Dolev-Yao攻击模型，假设攻击者完全控制AV与SN之间的无线信道，能够拦截、修改、重放和注入任意消息。同时遵循5G标准假设，认为SN与HN之间的有线信道是安全的。针对实体的假设包括：AV的USIM能够保护长期密钥k和ML-KEM私钥sk_AV；SN无法访问会话密钥K_SEAF；HN的长期参数保持安全。威胁模型还考虑了SN被攻破、USIM被控制以及HN密钥泄露等多种实际场景。

协议工作机制

PQAKA协议包含初始化阶段和挑战-响应阶段。在初始化阶段，AV生成临时密钥对（pk_AV, sk_AV），使用HN的公钥pk_HN封装共享秘密ss_AV，并推导出会话密钥k_AV，然后用其加密SUPI和pk_AV并计算MAC，形成隐蔽用户标识符（SUCI）发送给HN。HN收到后解封装共享秘密，验证消息完整性并恢复SUPI和pk_AV。

SEAF.'>

在挑战-响应阶段，HN使用AV的公钥pk_AV进行ML-KEM封装，生成新鲜共享秘密ss_HN和挑战消息RAND。由此推导出后量子密钥PQK、加密密钥CK、完整性密钥IK、匿名密钥AK等会话密钥。HN计算认证令牌AUTN、期望响应XRES及其哈希值HXRES，然后将服务环境认证向量SE-AV发送给SN。AV收到挑战后，使用私钥sk_AV解封装RAND恢复共享秘密，验证MAC和序列号的新鲜性，计算响应RES和会话密钥K_SEAF。SN和HN分别验证RES的正确性，最终建立安全会话。

安全性分析

形式化验证使用ProVerif工具进行，所有保密性查询返回真值，表明攻击者无法获取敏感密钥或身份信息。事件验证确认协议步骤的顺序和依赖性符合设计预期。非形式化分析表明PQAKA具备多项安全特性：双向认证通过MAC和RES/XRES验证实现；安全密钥交换基于ML-KEM的封装/解封装机制；完美前向保密通过每次会话生成新鲜的临时共享秘密保证；SUPI隐藏通过ML-KEM加密实现；抗同步攻击通过序列号管理和同步机制实现；抗重放攻击通过序列号验证保证；抗中间人攻击和抗假冒攻击通过密码绑定和MAC验证实现；抗链接性攻击通过临时密钥和验证失败无反馈机制实现。

性能评估

与现有5G-AKA协议变体相比，PQAKA在计算成本方面保留了标准的AES/Milenage操作，增加了ML-KEM操作，但保持了与3GPP标准的完全兼容。通信开销方面，PQAKA使用ML-KEM-512参数集，每次AKA执行传输两个密文，总开销为1536字节，属于常数级开销。仿真结果显示，在概率性攻击条件下，PQAKA的认证成功率达到72%，高于传统5G-AKA的58%，但执行时间增加了30.9%（从75.31毫秒增加到98.56毫秒），这是引入ML-KEM操作的必然代价。

讨论与展望

PQAKA协议通过集成ML-KEM增强了传统5G-AKA的抗量子能力，同时保持了现有的3GPP信令结构。协议的主要优势包括：量子安全性、完美前向保密、完整的双向认证和SUPI隐藏。存在的挑战包括长期密钥暴露风险、侧信道泄漏可能以及车载硬件安全实现要求。实际部署时需要考虑在通用用户识别模块或硬件安全模块中安全执行ML-KEM操作，采用恒定时间实现和硬件隔离技术。协议与现有5G网络完全兼容，无需修改核心网功能，为向后量子密码的平滑过渡提供了可行路径。

研究表明，PQAKA协议为5G车联网提供了一种实用的后量子安全解决方案，能够在不过度影响性能的前提下显著提升系统安全性。随着量子计算技术的不断发展，此类研究对于保护未来智能交通系统的安全性和隐私性具有重要意义。该工作为车联网在后量子时代的安全演进提供了重要技术支撑，也为6G网络安全设计提供了有益参考。