车联网环境下无证书匿名认证方案

刘雪艳 王 力 郇丽娟 杜小妮 牛淑芬

①(西北师范大学数学与统计学院 兰州 730070)

②(西北师范大学计算机科学与工程学院 兰州 730070)

1 引言

车联网(Internet of Vehicles， IoV)是物联网在交通领域中的一种应用。其通过车辆自带的传感器收集车辆和道路交通数据，并将这些数据通过无线通信传输给智能终端。车联网中每个节点利用相邻节点的信息提供交通管理、车辆定位、速度控制等服务。因为其中的节点具有移动性，导致频繁的拓扑变化，所以它是一种根据车辆需求智能提供服务的动态网络[1]。

车联网主要利用传感器数据采集、无线射频识别以及短距离通信等技术，实现车辆与车辆 (Vehicleto-Vehicle， V2V)、车辆与路边基础设施(Vehicleto-Infrastructure， V2I)进行互相通信和信息交换，从而实现对车辆和道路的完全控制。在车联网系统中，车载单元(On-Board-Unit， OBU)的工作原理是在专用短程通信系统的帮助下，集成和利用诸如全球定位系统、微型传感器和嵌入式系统，使得车辆可以和周围其他车辆或路侧单元(Road-Side-Units， RSUs)进行消息传递。RSUs通过有线信道和无线信道与可信中心(Trusted Authority， TA)或OBU进行信息传递，它可以接受来自OBU信息并传递给TA，同时也可以接受TA发送的信息并传递给OBU。

车联网系统具有车辆节点规模大，行驶速度快，通信信道开放等特点，所以车联网环境下各节点之间的通信面临着巨大挑战。恶意攻击者可能会窃听消息，注入虚假消息或修改消息来造成流量中断，或者跟踪车辆节点获取车辆隐私信息如车主的身份隐私、位置隐私信息等[2]。所以，在车联网中需要关注3个重要问题，首先，对于消息来源的可靠性需要高效认证；其次，车辆信息应该得到很好的隐私保护；最后对于恶意用户，他们的身份应该是可追踪的。

因此，在IoV中共享的信息必须满足可验证性、完整性、隐私性、不可否认性、可追溯性、匿名性等安全要求。

(1)动机与工作。虽然一些研究工作提出了用于IoV部署的消息认证方案[3—7]，但它们不能提供必要的安全特性，而且易受到各种已知攻击，此外，这些方案需要大量的计算和通信开销，使得它们无法适应实时场景。针对这些问题，本文在IoV环境下，提出了一种基于椭圆曲线密码(Elliptic Curve Cipher， ECC)无对的无证书匿名认证方案。主要工作如下：

(a) 密钥生成中心(Key Generation Center，KGC)生成车辆的部分私钥，车辆联合部分私钥和自己的秘密值共同产生实际私钥，以此解决密钥托管问题；

(b) 在注册阶段区域管理局(Regional Trusted Authority， RTA)为车辆生成一个长期的伪身份用于后续的部分密钥生成，而在和其他车辆或RSUs通信时车辆自身生成一个短期的伪身份。长期-短期伪身份的联合使用保证了强匿名性和签名的新鲜性，并且避免了RSUs生成临时伪身份造成的身份泄露和时延问题；

(c) 采用无双线性对的同态签名和批量验证，提高了RSUs验证消息的效率；

(d) 当有恶意事件发生时，RTA可以通过长-短期伪身份追踪车辆真实身份，并由TA撤销该用户。

在上述工作中，该方案达到了车联网中消息的可认证性，消息发送者的匿名性，身份的可追踪性，消息的不可抵赖性，不可链接性，前向安全性和后向安全性以及消息认证的高效性等。

(2)相关工作。在安全和隐私的背景下，一些针对车联网的公钥基础设施(Public Key Infrastructure， PKI)的方案[3，4]已经被提出，但是该方案存在车辆很难管理和存储数量丰富的公私钥对和相关证书问题。此外，TA需要维护一个证书撤销列表(Certificate Revocation List， CRL)，其中存储被吊销车辆的证书，这通常是庞大的。Raya和Hubaux[5]通过使用匿名证书来隐藏用户的真实身份，为车联网引入了一种匿名认证方案。他们建议每辆车都存储一些匿名证书，这样车辆就可以在每个认证过程中使用不同的公私钥对避免可追溯性。但是，这会造成车辆不得不存储大量的对。因此，密钥的安全分发、密钥管理和存储变得非常复杂。

为了解决传统PKI认证方案的问题，出现了许多基于身份的认证方案。文献[6]把车辆的身份属性作为公共密钥，因此不需要系统为其生成公钥证书。基于身份的认证方案不仅能够保护车辆的隐私信息还能够保护消息的完整性，但是其存在密钥托管问题。文献[7]使用于ECC设计了一种新的基于身份的条件隐私保护认证方案，该方案传输签名消息所需的通信带宽更小。为了提高系统效率，文献[8]提出了一种高效匿名认证协议。文献[9]提出了一种可扩展的、满足批量验证的条件隐私保护认证方案。在该方案中，伪身份和相应的私钥由PKG单独生成。然后，文献[10]提出了一种高效的基于身份的批量验证方案，并指出了一些安全风险。文献[11]通过改进文献[10]的方案，提出了一种不需要双线性对的基于身份的批验证安全方案。文献[12]采用了一种基于身份加密的环签名方案，对环签名方案进行了修改，实现了签名者的模糊性，提高了车载网络的隐私要求。然而，环签名方案在车联网中并不适用，不能实现有条件的隐私。文献[13]提出了一种高效匿名批处理认证方案，该方案利用哈希链和消息认证码为通信提供批处理验证。仿真结果表明，当消息数大于23条时，文献[13]比其他批处理验证方案效率更高。文献[14]提出了一种新的基于身份验证的框架，通过使用假名和基于门限的分布式控制分别实现匿名性与不可否认性。在车联网中采用签密技术的方案[15]也被提出，由于车联网节点不受计算能力限制，因此比签名和加密方法具有相当大的优势。然而，在所有这些基于身份的方案中，主要的障碍是KGC利用自己的主密钥生成一个车载实体的密钥。它不能确保不可否认性，因为KGC滥用车辆的访问能力可以签署和解密任何消息，从而导致密钥托管问题。

为了克服证书管理和密钥托管问题，文献[16]在2003年引入了基于无证书的机制。2011 年，文献[17]提出了一种车联网环境下的无证书认证方案，方案中车辆的假名由车辆自身和可信中心TA共同生成，车辆的私钥由车辆自身和KGC共同生成，保护了车辆隐私信息，并且解决了密钥托管问题。2014 年，文献[18]提出了一种车联网环境下更加安全的无证书认证方案，主要用于实现V2I之间的安全通信。同时，无证书认证方案也能够实现可追踪性，一旦有车辆传播不合法的消息，TA能够通过自己的主私钥追踪车辆的真实身份[19]。2018年，文献[20]提出了车载网中可证安全的无证书聚合签名算法，但文献[21]认为文献[20]是不安全的，并进一步提出了一个改进的无证书聚合签名方案。

此外，上述部分文献利用了椭圆曲线加密技术，椭圆曲线密码学主要是将椭圆曲线应用到密码学中，利用椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem， ECDLP)构成椭圆曲线密码学(ECC)。由于其占用内存小不易破解等优点广泛应用于一些安全领域，如加密、解密、数字签名和安全协议等。

当今社会人们的隐私意识越来越强，为了进一步加强安全，提高效率，需要一个避免密钥托管的强匿名认证方案来保护隐私。因此，本文提出了一个有效且高效的无证书匿名认证方案，该方案没有涉及 PKI 证书，减少了系统车辆的存储负担，并且采用无对的聚合方法以减少RSUs验证的时间。

2 准备工作

2.1 无证书密码学

(1) 公钥加密(PKC)。在PKC中，每个用户都有一个公钥和一个私钥。私钥是保密的，而公钥是公开的。用户的公钥通过证书(即受信任的证书颁发机构在公钥上的签名)与用户相关联。这使得接收方确保它们拥有的公钥是发送方的正确公钥。想要使用公钥的接收者必须验证相应的证书以确保密钥的有效性。因此，需要一个公钥基础设施(PKI)——一系列可信赖的第三方，可以依赖他们来担保身份与特定公钥之间的联系。但是该特性会导致证书颁发机构需要大量的存储和计算能力来管理证书。

(2) 基于身份的加密(ID-PKC)。为了避免证书管理问题，引入了ID-PKC的概念。基于身份的方案将实体的公钥设置为其数字身份，从而消除了对公钥基础设施的需要，而且KGC使用主密钥生成实体的私钥。因此，ID-PKC的一个固有问题是“密钥托管”。

(3) 无证书密码学。文献[17]引入了无证书公钥加密(CL-PKC)的概念，它消除了在PKC中使用证书，并解决了ID-PKC中的密钥托管问题。CLPKC的基本思想是：KGC为用户产生一个部分私钥，用户选取一个秘密值，并与部分私钥结合生成用户的私钥，用户私钥由KGC和用户联合产生。KGC不知道用户的完整私钥，从而避免了密钥托管问题。和基于证书的公钥密码体制相比，无证书的公钥密码学不需要证书的管理，所需负载更小，因此更适用于低宽带需求和低能量消耗的移动应用环境。

2.2 椭圆曲线

设Fp表示阶为p的有限域，其中p是大素数。通常定义一个标准椭圆曲线E为：y2=x3+ax+bmodp，其中a，b ∈Fp，且Δ=4a3+27b2／=0。E上的点和无穷远处的点O构成一个循环加法椭圆曲线群

G={(x，y):x，y ∈Fp，E(x，y)=0}∪{O}

G有以下性质：

(1) 加法(+/—)：设P与Q为G上的两个点，若P ／=Q则有R=P+Q，R是E与连接P，Q两点直线的交点。若P=Q，则有R=P+Q，R是E与P(Q)点切线的交点。若Q=-P，则有P+Q=P-P=O；

(2) 标量乘法(·)：设P ∈G，m ∈Zq*，则在G上的标量乘法为m·P=P+P+...+P(共m次)。

2.3 椭圆曲线离散对数问题(ECDLP)

已知E/Fp上的点P，给定点对(P，mP)，求整数m ∈Zp，这个问题称为椭圆曲线离散对数问题，简写为ECDLP。当点P有大的素数阶时，认为求解ECDLP是计算上不可行的。

3 系统模型

本节介绍了本文方案的体系结构、安全模型和安全性要求。

3.1 体系结构

IoV结构由5个实体组成：可信中心(TA)、区域管理局(RTA)、密钥生成中心(KGC)、路侧单元(RSUs)和车载单元(OBU)。IoV网络模型如图1所示。

图1 IoV网络模型

(1) 可信中心(TA)：它是完全可信赖的权威，具有足够的计算和通信资源，并且拥有车辆的真实身份列表，并且为系统生成公私钥对和系统参数。TA通常为交通管理部门。

(2) 区域管理局(RTA)：即区域TA，负责注册车辆和RSUs。RTA为注册的车辆分配一个防篡改设备(Tamper-Proof Device， TPD)，其具有高强度的安全特性，可以阻止各类环境下的信息泄露攻击。

(3) 密钥生成中心(KGC)：在IoV系统中KGC是另一个丰富了计算和通信资源的可信实体。KGC负责为IoV中的车辆生成部分私钥。

(4) 路侧单元(RSUs)：RSUs部署在路边，是TA， KGC和OBU之间的桥梁。RSUs与RTA和KGC通过有线连接，与OBU通过无线信道连接。其主要负责验证车辆广播的消息。

(5) 车载单元(OBU)：车载单元嵌入到车辆中，并广播与交通有关的信息、位置标识和驾驶状态等。该设备有自己的时钟，用于生成正确的时间戳，为此，所有TA， RTA， KGC， RSUs和OBU都有大致同步的时钟。其负责将敏感信息存储在车辆的防篡改设备(TPD)中，并向车辆和附近的RSUs广播消息。

3.2 安全模型

本文的安全模型是在文献[1]安全模型基础上提出的，其中的敌手可以不受限制地访问公共信道，并且可以在公共信道上读取、拦截、重放、修改、制造和删除传输的分组。假设TA， RTA， KGC和RSUs是IoV环境中的可信实体。在IoV环境中的车辆配备了防篡改设备TPD，故敌手不能读取、写入或删除TPD的内容。由于本方案利用了无证书密码学的思想，故用户的公钥没有得到认证，所以在敌手模型中，必须允许敌手有权利用他自己选择的不合法公钥代替用户的公钥，而且由于KGC知道系统主密钥，从而能够计算所有用户的部分私钥，但他不能替换用户的公钥。所以本文将敌手类型分为两类，类型I的敌手模拟一个外部攻击者，充当恶意的第三方，并且能够请求和替换系统中的公钥。类型II的敌手是一个内部攻击者，可以访问KGC的主密钥，充当恶意但被动的KGC，但不能替换用户的公钥。如果两类敌手均能在多项式时间内以不可忽略的概率赢得其与挑战者之间的游戏，则一定分别存在一个多项式时间内的挑战者解决ECDLP问题，但这与ECDLP为困难性问题矛盾。

3.3 安全性要求

(1) 可认证性：消息的真实性确保接收到的消息确实是由声称这样做的车辆发送的。

(2) 完整性：它确保消息在从发送方传递到接收方时没有被修改、伪造或丢弃。

(3) 匿名性：IoV中的其他车辆和敌手无法通过分析同一车辆发送的多条消息或其伪身份来识别发送者的真实身份。

(4) 可追溯性：仅RTA就可以通过获取发送者的伪身份来识别发送者的真实身份，并且可以识别车辆发送的恶意消息。

(5) 不可链接性：敌手不能在同一发送者发送的消息中找到任何共同的知识，所有的假名不应该透露他们之间的任何联系。

(6) 前向安全性与后向安全性：敌手无法通过当前的签名消息推断出之前或之后的签名消息。

4 本文方案

4.1 本文方案总览

图2给出了本文方案的总览，当车辆发起注册请求时，TA将车辆的真实身份列表 UL从其数据库转发给RTA，然后车辆通过安全信道向RTA发送注册请求，完成注册后的车辆便可向车辆配备一个TPD设备，并且同时给车辆生成一个长期伪身份；接着，车辆结合KGC产生的部分密钥、RTA分配的长期伪身份，生成自己的公私钥；当车辆在进入RSUs区域时先生成一个短期伪身份，然后把签名消息发送给RSUs；当RSUs收到车辆发来的消息时，进行验证。

图2 方案总览图

4.2 具体方案

5 安全性证明与分析

5.1 安全性证明

证明思路与方法同定理1，但与定理1的证明不同的是A2仅有哈希值询问、公钥提取询问、秘密值询问、私钥提取询问、签名询问的能力，不具有公钥替换的能力，所以证明过程这里不再赘述。

5.2 安全性分析证明

6 性能分析

由于车辆间通信具有瞬时性特征，所以IoV系统对计算开销与通信开销的要求更为苛刻，因而本节对本文方案与文献[23—25]在计算开销、通信开销、功能与安全性方面进行了对比分析，主要涉及了签名阶段与验证阶段，其中，TSM-G1表示双线性变换后群上的点乘运算，TSM-G表示椭圆曲线上的点乘运算，TMTPH表示映射到点的哈希运算，TPA-G1表示双线性群上的加法运算，TBP表示对运算，TMM表示模乘运算。

6.1 计算复杂度

在文献[23]中，用户在签名阶段需要执行4个双线性变换后群上的点乘运算、1个哈希TMTPH和2个经双线性变换后群上的加法运算，即用户共需要4TSM-G1+TMTPH+2TPA-G1；RSUs在验证时需要执行3个经双线性变换后的群上的点乘运算、4个双线性对运算和2个映射到点的哈希函数，即RSUs共需要4TBP+3TSM-G1+2TMTPH。用同样的方法可以计算出文献[24，25]的计算开销，如表1所示。本文方案在签名过程中只需1个椭圆曲线上的点乘运算和两个模乘运算，即TSM-G+2TMM，在验证过程中需要执行3个椭圆曲线上的点乘运算，即3TSM。

表1 计算运行时间对比

由表1可知，本文方案中签名阶段不存在计算复杂度较大的双线性对运算，仅用到计算复杂度较小的点乘运算。方案建立在计算开销较小的椭圆曲线的基础上，与文献[23—25]在验证阶段均有一定的效率优势。本文仿真实验的环境为：Win10的操作系统、CPU主频为2.3 GHz、内存为4 GB的环境，采用Miracl库。图3和图4显示了本文方案与对比方案在签名和认证过程中批量认证的消息个数与所消耗时间(实验中取100 次的平均值)的关系，可以直观看到，随着n的增大，相比其他方案，本文方案更加高效。

图3 签名阶段计算复杂度比较

图4 验证阶段计算复杂度比较

6.2 通信复杂度

本文方案与文献[23—25]在部分私钥、公钥、伪身份的生成以及签名的通信量比较如表2所示。在Miracl库中循环群G上的元素占据32 Bytes，经过双线性变换后的群(G1)的元素占据64 Bytes。假设椭圆曲线群G中的元素大小为40 Bytes，经过双线性变换后的群G1中的元素大小为128 Bytes，整数域Zq*中的元素大小为20 Bytes。通过比较分析可以发现，本文方案在通信复杂度方面也存在一定的优势。

表2 通信复杂度比较(Bytes)

6.3 功能性

本文方案与文献[23—25]主要在消息的真实性、身份的可追踪性、匿名性、隐私性、不可链接性、不可伪造性以及批验证和密钥托管弹性进行比较。如表3所示，本文方案与文献[23—25]相比提供了更好的安全性和功能性。

表3 功能与安全性比较

综合分析，本文在签名和验证阶段的计算复杂度均比其他3个方案小，虽然图3和图4表明文献[25]与本文方案相差不大，但文献[25]的通信开销相比较大，所以本文方案更适用于低时延和计算量低的车联网。

7 结论

为提高网络的可扩展性，本文提出了一种有效的不使用双线性对的无证书聚合签名方案。从而解决了以往传统认证方案中的密钥托管问题。RTA生成的长期伪身份和车辆自己生成的短期伪身份的相结合保证了车辆的强匿名性和签名的新鲜新；采用聚合无双线性对的方式进行签名和验证，随着节点数量的增加，大大减少了RSUs的验证时间，提高了网络的可扩展性；并且在发生恶意事件时，RTA可以追踪到车辆的真实身份并由TA撤销该用户。该方案具有完整性、隐私性、不可否认性、可追踪性、匿名性和撤销性等安全性。效率分析表明，本文方案的认证效率最高提升了95.06%，故该认证方案实现了计算效率高、速度快的车辆认证。因此，本文提出的方案对于动态可扩展网络中的车辆通信更加有效。车联网是一种使万物通信成为可能的自组织网络，因而接下来的工作是研究车联网环境下的跨域匿名认证方案。