車聯網中可證安全的匿名可追溯快速組認證協議

張海波，黃宏武，劉開健，賀曉帆

（1.重慶郵電大學通信與信息工程學院，重慶 400065；2.移動通信技術重慶市重點實驗室，重慶 400065；3.武漢大學電子信息學院，湖北 武漢 430072）

1 引言

近年來，無線通信技術、云計算、自動駕駛技術、萬物互聯等技術[1]的發展大大促進了車聯網（IoV,Internet of vehicles）的發展。IoV 具有動態拓撲結構、網絡規模龐大、節點分布不均勻、節點移動性強、移動軌跡可預測等特點，使其更易遭受如仿冒攻擊、重放攻擊、中間人攻擊等，因此隱私與安全問題成為制約IoV 發展的關鍵[2]。接入認證是在車輛接入IoV 之前確認其身份的合法性，阻止非法車輛進入IoV[3-4]。安全、高效的接入認證方案是解決隱私安全問題的有效手段之一。

由于IoV 的特點，使車輛的接入認證協議需要具備多重安全屬性。匿名性是其中一個重要屬性，然而由于車輛用戶量巨大，假名的存儲與管理顯得格外重要。車路協同是智慧交通中的一個重要概念，它需要車輛與路側單元（RSU,road side unit）之間不斷交換信息，因此在實現接入認證的同時生成會話密鑰是必要的。車輛以合法身份完成接入認證，仍然存在非法行為的可能，因此需要認證后的身份可追溯性以及身份撤銷來保證車輛的實時安全性。車輛的高速移動性使車輛頻繁地在多個RSU之間快速切換，因此低時延的接入認證與快速的切換認證是IoV 認證協議的必然要求。

針對車輛的假名問題，已有一些學者對其展開了研究[5-7]。Freudiger 等[5]為了增強車輛的位置隱私，提出在車輛網絡（VN,vehicle network）的適當位置創建混合區，然而該方案需要預存大量匿名證書，占用大量內存。Lu 等[6]在假設車與RSU 能主動協作的前提下，提出通過運行兩輪協議，使車向RSU 申請一個短時間的匿名證書來克服預存大量證書的問題。然而，Zhang 等[7]指出由于車輛需要頻繁變更假名，車與RSU 的頻繁交互會影響IoV的效率，并在此基礎上提出了一種分散式組認證協議，用每個RSU 維護其通信范圍內的一個組，車輛加入組前對其身份進行認證，如果組內成員發現其他成員的非法行為，還可對其真實身份進行追溯。然而文獻[7]中并沒有提出追溯身份的具體方案，而且使用的是耗時的雙線性映射運算。

針對IoV 認證中的效率與安全問題，也有一些學者對其展開了研究[8-14]。Jiang 等[8]通過二進制認證樹實現了消息簽名的批量驗證，然而該方案依賴于半可信的RSU。Yao 等[9]指出IoV 通信中，通信雙方的MAC 地址容易泄露，造成車輛易被追蹤，基于此，提出了一種數據鏈路層生物特征加密的匿名認證方案，然而利用生物特征加密的方案本來就存在如生物特征難以提取、設備成本高等諸多問題。Jiang 等[10]為了克服檢查證書撤銷列表（CRL,certificate revocation list）的諸多缺點，提出用哈希驗證碼（HMAC,Hash message authentication code）來代替CRL，然而該方案依賴于公鑰基礎設施（PKI,public key infrastructure）。Ying 等[11]利用哈希函數快速計算的特點設計了一種輕量級的認證方案，實現了車載單元（OBU,on broad unit）、RSU 與可信機構（TA,trusted authority）三者間的相互認證，然而該方案無法抵御重放攻擊和修改攻擊，也無法實現身份追溯。Liu 等[12]利用k-雙線性DH 反演（k-BDHI,k-bilinear Diffie-Hellman inversion）的困難性問題設計了一種OBU 與RSU 的無證書短簽名認證方案，該方案可實現兩者間的高效認證與匿名追溯功能，然而該方案需要引入追溯機構（TBA,trace back authority）。Zhao 等[13]針對傳統認證方案容易受到仿冒攻擊和內部攻擊等問題，提出了一種新的匿名認證方案，該方案滿足多重安全屬性，然而由于進行了多次非對稱加解密，其認證時延較大。Cui 等[14]利用低時延的混沌映射設計了一種基于霧的認證方案，該方案用霧頭代替RSU 來實現OBU 與TA 間的認證，然而該方案同樣無法實現匿名追溯。針對切換認證也有許多研究[15-16]，然而它們都存在計算時延較大的問題。

區塊鏈源于中本聰2008 年發表的論文“比特幣：一個點對點的電子現金系統”[17]，它是一種按照時間順序將生成的數據區塊順序連接的數據結構，本質上是一個不可篡改的分布式賬本。區塊鏈技術是處理車輛管理和數據傳輸方面的有效技術，通過合理構建車輛區塊鏈可以有效解決IoV 中的廣播沖突避免、資源調度和隱私保護等諸多問題[18]。促進區塊鏈技術與IoV 的深度融合是IoV 發展的必然趨勢。

綜上所述，現有的認證協議大多缺乏低時延的匿名可追溯性。基于此，本文在區塊鏈架構下，提出了一種適用于IoV 的快速匿名可追溯組認證方案。該方案可以實現OBU 的安全接入、RSU 的動態分組、惡意車輛的快速撤銷以及用戶ID 的自由變更。此外，考慮到車輛的高速移動性，本文還設計了一種高效的切換認證協議。然后，本文利用隨機預言機模型對協議的語義安全性進行了證明。最后的仿真結果驗證了本文協議在效率和安全性能方面的優越性。

2 系統模型與安全需求

2.1 系統模型

當車輛需要獲取IoV 服務時，必須先進行接入認證。考慮到RSU 是半可信的，用單個RSU維護車輛信息容易造成隱私泄露，因此本文動態地將多個RSU 分成一組共同維護車輛信息。系統模型如圖1 所示，涉及3 個實體，分別是TA、RSU、OBU。

圖1 系統框架

TA。TA 是車輛注冊和認證的機構，可通過區塊鏈查詢撤銷ID，擁有最高的安全性、足夠的計算資源和內存，是絕對可信的。

RSU。RSU 是區塊鏈節點，可收集道路信息并與車輛實現數據交互，引導車輛安全行駛，是車路協同、智慧交通的關鍵設施，是半可信的。

OBU。OBU 是車輛與RSU 或車輛之間進行通信的設備，可信程度最低。

2.2 安全需求

為確保IoV 的通信安全，認證協議應該滿足完整性、身份認證、保密性、不可否認性、可用性、可擴展性、時間約束、前向安全、后向安全[19]。本文將其總結為以下安全屬性。

1) 雙向認證。由于IoV 使用開放鏈路進行通信，容易遭受各種攻擊，因此需要OBU 與TA 之間實現雙向認證。

2) 匿名性。車輛隱藏真實ID，不斷變更假名進行通信，可以有效減少被追蹤的可能性。因此需要具備匿名性。

3) 可追溯性。車輛能以合法身份完成認證，但是當合法車輛做出非法行為時，需要追溯出匿名車輛的真實ID。

4) 快速撤銷。在3)中得出真實ID 后，需要將其加入撤銷列表，以便后續查詢。

5) 會話密鑰安全。由于OBU 與RSU 需要經常交換信息，因此協議應該生成具有前向安全和后向安全的會話密鑰。

6) 用戶ID 的自由變更。當真實ID 泄露后，用戶應具有自由變更ID 的權利。

雙向認證的協議流程保證了完整性、身份認證和時間約束。匿名性保證了協議的保密性。可追溯性和快速撤銷保證了協議的不可否認性。會話密鑰的前向安全和后向安全保證了數據的前向安全和后向安全。

3 基于IoV 的認證協議

為滿足IoV 的安全需求，該方案分為5 個階段，分別是系統初始化階段、注冊階段、接入認證與切換認證階段、匿名追溯與身份撤銷階段、用戶ID變更階段。方案涉及的參數及含義如表1 所示。

表1 方案涉及的參數及含義

3.1 系統初始化階段

TA 負責系統初始化。TA 確定3 個哈希函數h0,h1,h2:{0,1}*→{0,1}l，其中l為哈希函數的位寬。隨機選擇sd1,sd2∈Zq*作為h1,h2的哈希種子，接下來，存在2 種情況。

3.2 注冊階段

在此階段，OBUi、RSUi在TA 上完成ID 注冊。

RSUi的注冊。RSUi將要注冊的RID 通過安全通道發送給TA，TA 收到后計算并保存hR=h0(RID)，產生一個由hR構成的列表。

3.3 接入認證與切換認證階段

車輛在進入RSU 的范圍時需要首先完成身份認證。具體可分為接入認證和切換認證2 個階段。接入認證和切換認證流程分別如圖2 和圖3 所示，具體步驟如下。

圖2 接入認證流程

圖3 切換協議流程

階段1車輛加入RSU 組的接入認證。在此階段，OBU、RSU 與TA 完成相互認證。密鑰為Ts1z。

階段2車輛在組內的切換認證。

圖4 切換認證原理

當連續多個組的組長保持為L不變時，第k?1組的RSUi完成切換認證后計算，通過安全通道將其發送給k組的RSUL+i，RSUL+i將其代入式(5)計算sd2，然后利用其他哈希函數構成的反向哈希鏈和上述切換認證的方法進行認證。

3.4 匿名追溯與身份撤銷階段

在此階段，RSU 組成員可以追溯惡意車輛的真實ID，并將其加入撤銷區塊鏈。

1) 匿名追溯。RSUi檢測到OBUi存在惡意行為，在組長為L的組內廣播追溯其真實身份的請求，其他組成員驗證無誤后計算，然后分別將其發送給RSUi，RSUi計算式(6)恢復OBUi的真實ID。

其中，k=1 對應組長改變的初始化階段。

2) 身份撤銷。匿名追溯完成后，系統需要將惡意車輛ID 更新到區塊鏈。撤銷區塊鏈更新流程如圖5 所示，具體方法如下。

圖5 撤銷區塊鏈更新流程

RSUi發現惡意車輛OBUi，RSU 組成員利用前文的匿名追溯方法恢復真實ID。RSUi將恢復出的ID 加入自己的待撤銷列表并廣播撤銷ID，其他節點驗證無誤后，將其加入自己的待撤銷列表。然后通過共識算法選擇節點將待撤銷列表打包成區塊上傳到區塊鏈，RSU 和TA 節點均可以通過查詢區塊鏈檢查車輛ID 是否被撤銷。

上述過程中的共識算法可采用改進的PBFT 算法。原算法的核心思想是通過3 輪廣播使系統節點對請求數據達成一致，其一致性結果為多數節點的響應結果。該算法主要由一致性協議、視圖切換協議和檢查點協議構成[21]。PBFT 算法具有出塊時間短、吞吐量大的優點，其性能瓶頸在于隨著節點數量的增加，共識效率會顯著下降。文獻[22-23]對PBFT 算法進行了改進，使其具有更好的拓展性，更加適用于IoV。目前，主流的共識算法還有PoW、PoS、DPoS，然而PoW 通過算力競爭選舉記賬節點，嚴重浪費電力；PoS 雖然克服了PoW 的問題，但該機制的“無利害關系”問題尚待解決，且吞吐量不如PBFT；DPoS 選擇固定數量的超級節點輪流獲得記賬權，其競選規則的去中心化存在爭議[24]。

3.5 用戶ID 變更階段

在此階段，用戶可以自由變更自己注冊的ID。方法如下。

4 安全性分析

4.1 安全模型

本文使用文獻[25]中提出的安全模型。定義3 個實體Ui、Rj、Tk。I可以代表其中任意一個實體。

攻擊者A可執行以下4 種詢問。

定義以下事件。

4.2 形式化的安全性證明

引理1存在Tn(x),n∈[1,q? 1]，且A最多進行qs次發送詢問，qp次竊聽詢問及qh次哈希詢問的情況下，其破壞本文協議p的語義安全性的優勢為

證明利用隨機預言機模型定義以下規則。

對于哈希詢問hi(q)，如果(i,q,r)在表ΓH中，將r返回，否則執行ih，隨機選擇 {0,1}il r∈，其中li為ih的輸出位寬，返回(i,q,r) 并將其保存到表HΓ，A將其保存到表ΓA。

將協議的證明過程定義為以下游戲。

G0。定義A在本文協議p中的安全優勢為

G1。用私人神諭h3、h4、h5代替h0、h1、h2（在G7中用h3、h4替換h0、h1）。G1與G0的可區分概率為

G2。當以下矛盾發生時，終止游戲。

1) 在hi中隨機選擇t∈{0,1}li，返回(i,*,t)，存在(i,*,t)∈ΓA。

2) 對于發送詢問(Ui,*)、(Rj,*)、(Tk,*)，存在S 的響應Mi∈Γ A。

G2與G1的可區分概率為

G3。當A猜出OA 并仿冒成OBU 發送給TA，則終止游戲。通過修改以下規則來實現此目標。

G4。當A猜出RA 并發送給TA 則終止游戲。通過修改以下規則實現此目?標。

G5。A猜出Tr并仿冒成OBU 發送認證向量給TA 則終止游戲。通過修改以下規則來實現此目標。

G6。A計算出Tαβ并成功發送hαβ則終止游戲。通過修改以下規則實現此目標。

G6與G5的可區分概率為

其中，t'=t+(q s+qp+1)tp，Sucpcdh(t')≥ε，ε是一個不可忽略的概率。

證明對于給定實體(Q1,Q2)，用Diffie-Hellman 問題的隨機自約性來模擬混沌映射的CDH[26]問題。

設所有哈希輸出均為l位，則由式(9)～式(17)可得

4.3 其他安全性討論

除從前述角度對安全性進行分析外，本節將從更多角度對協議性能進行更加詳細的分析與討論。

1) 雙向認證。由于只有生成了r的TA 和產生隨機數s的OBU 可以利用混沌映射的半群特性對認證向量OA 和進行驗證。因此，本文協議可以實現OBU 與TA 的雙向認證。

2) 可以抵御OBU、RSU、TA 的仿冒攻擊。首先，由于攻擊者無法得知rT，因此無法計算出有效認證向量OA，也就無法仿冒成OBU。其次，由于攻擊者無法得知RSU 注冊的RID，因此無法計算出有效的認證向量RA，也就無法仿冒成RSU。最后，由于攻擊者無法得知TA 產生的r，因此無法利用Ts計算出有效的認證向量，也就無法仿冒成TA。

3) OBU 的匿名性。OBU 的身份信息包含在GIDVi和PIDVi中，一方面由GIDVi求真實ID 需要L個RSU 的聯合，攻擊者很難在短時間內同時控制多個RSU；另一方面臨時假名PIDVi在不同RSU 范圍內是不同的，可以滿足OBU 匿名身份的頻繁變更。所以本文協議可以滿足OBU 的匿名需求。

4) 可以抵御中間人攻擊。當攻擊者希望在OBU 與TA 之間進行中間人攻擊時，需要仿冒成OBU 向TA 發送認證向量，同時仿冒成TA 向OBU發送認證向量。由2)的分析可知，攻擊者無法成功。另外，由于哈希摘要的存在，使攻擊者只能截獲和轉發消息，而無法修改和獲得額外信息。

5) 可以抵御重放攻擊。假設攻擊者成功修改時間戳并重新發送OBU 過去的認證消息，本文協議使攻擊者只能通過sT求解隨機數s，由于拓展DLP[26]，攻擊者無法成功求出s，從而無法正確計算hs1z以完成認證。因此，可以抵御重放攻擊。

6) 會話密鑰的前向和后向安全性。在同一RSU組內，不同RSU 范圍內的會話密鑰為Tszi，由于zi是一個臨時生成的隨機數，因此Tszi也是隨機變化的。攻擊者無法從當前的Tszi推測出Tszi?1或Tszi+1，所以滿足前向和后向安全性。

7) 可拓展性。本文通過RSU 的動態分組，使車輛在組內只需進行快速的切換認證，而不需要與遠端的TA 頻繁認證，可緩解車輛節點增加帶來的網絡損耗，使系統具有更強的可拓展性。

5 仿真與性能對比分析

5.1 基本功能對比

為了有效分析本文協議的性能，本節對本文協議與Zhao 方案[13]、Cui 方案[14]進行了功能對比，其中Zhao 方案擁有良好的安全性能，Cui 方案擁有較低的計算時延，結果如表2 所示。由表2 可知，Zhao 方案滿足大多數常見的安全屬性，但是忽略了可追溯性、可撤銷性以及靈活的用戶ID 變更功能，Cui 方案則忽略了雙向認證及TA 仿冒攻擊等重要問題，顯然，本文協議滿足更多的安全屬性。

表2 功能對比

5.2 時延性能分析

相比于其他物聯網，IoV 對時延有著更高的要求。所以本節將把本文協議的認證時延與Zhao 方案、Cui方案的認證時延進行對比。定義Th、Tse、Tsd、Tase、Tasd、Tmul、Tchev分別表示單次的哈希運算、對稱加密、對稱解密、非對稱加密、非對稱解密、橢圓曲線中的點乘運算、切比雪夫映射的計算時間。本文使用Intel(R) Core(TM) i5-9500，2.00 GB 的RAM，在VS-2010 中使用密碼庫OpenSSL-1.1.1h 進行106次運算，測得數據如表3 所示。因此Th≈0.008 0 ms，Tse≈0.018 3 ms，Tsd≈0.018 2 ms，Tase≈0.037 6 ms，Tasd≈1.097 7 ms，Tmul≈0.0514 ms，Tchev≈0.033 6 ms。

表3 密碼學操作時間

5.2.1 認證時延對比

通過實驗測得的數據，可以計算3 種方案中涉及的各個實體的計算時延。由于異或操作時間很短，因此忽略異或運算時延，結果如表4 所示。可見，Zhao 方案的較高計算時延主要在于服務器端的對稱加解密和非對稱簽名。Cui 方案是3 種方案中計算時延最低的，但是它缺乏一些重要的安全屬性。本文協議計算時延不是一個定值，而是隨組長L的增大而增大。

表4 認證時延對比

本文在不進行分組的情況下（L=1 ），3 種方案的計算時延如圖6 所示，L值對計算時延的影響如圖7 所示，車輛數量與認證時延的關系如圖8 所示。圖7 和圖8 表明，當L值合適時，隨著車輛數量的增加，系統的計算時延是一個IoV 中可以容忍的時延，這證明了系統的可用性。

圖6 認證時延對比

圖7 L值對認證時延的影響

圖8 不同L 值的認證時延

相比于Zhao 方案，本文協議最短計算時延減少了約89.75%。相比于Cui 方案，本文協議犧牲少量時延換來了更完善的抵御仿冒攻擊的性能、更靈活的分組認證方式及匿名可追溯性。這些性能可以更好地增強IoV 的安全性。因此本文協議更適用于IoV。

5.2.2 切換時延對比

本節對Zhao 方案、Cui 方案與本文方案的切換認證時延進行了對比。表5 列出了3 種方案中各實體的具體計算時延。由于本文方案的切換時延與組長L及RSU 在組中的位置i有關，因此具有不確定性。為了便于比較，本文分別取L=10、L=20、L=30時的時延與Zhao 方案和Cui 方案進行比較，i=L/2，這是因為組內首尾RSU 哈希運算次數的互補對稱性。

表5 切換時延對比

圖9 為本文方案取最短切換時延時（L=2 ）3 種方案的時延比較。相比于Cui 方案，本文方案切換時延減少了約82.30%。

圖9 切換時延對比

圖10 為L值對切換時延的影響，顯然本文方案時延曲線上升十分平緩，這表明L值對時延影響較小。

圖10 L值對切換時延的影響

圖11 為車輛數量與切換時延的關系，可見當待切換的車輛數量增加時，其切換時延仍是IoV 中可容忍的時延。

圖11 不同L 值的切換時延

5.3 通信開銷對比分析

表6 列出了Zhao 方案、Cui 方案與本文方案在接入認證和切換認證過程中的通信開銷。為了便于比較，本文假設ID 為160 bit，時間戳為32 bit，哈希摘要為160 bit，隨機數為128 bit，橢圓曲線點乘為320 bit，切比雪夫映射為480 bit，非對稱加密輸出為1 024 bit，對稱密鑰為256 bit，對稱加密輸出為128 bit，并分別用BID、Bt、Bh、BR、Bmul、Bchev、Base、Bsk、Bse表示。

表6 通信開銷對比

各方案接入認證和切換認證的通信成本比較結果分別如圖12 和圖13 所示。可見，本文方案在接入認證階段的通信成本略高于Zhao 方案和Cui 方案，這主要是由于本文方案進行了更多次的哈希運算用于保證數據傳輸的安全。在切換認證階段，本文方案的通信成本比Cui 方案減少了約51.95%，其原因在于本文方案僅需發送一次切比雪夫映射值，而Cui 方案需要傳輸3 次切比雪夫映射值。

圖12 接入認證的通信成本

圖13 切換認證的通信成本

6 結束語

本文利用切比雪夫混沌映射的單向陷門性和半群特性設計了一種適用于IoV 的組認證協議，利用反向哈希鏈設計了快速切換認證協議，通過構建撤銷區塊鏈實現了惡意車輛的及時撤銷，利用隨機預言機的證明和仿真數據說明本文協議相比于現有的協議具有一定的優越性。