車聯(lián)網(wǎng)環(huán)境下無(wú)證書匿名認(rèn)證方案

劉雪艷 王 力 郇麗娟 杜小妮 牛淑芬

①(西北師范大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院 蘭州 730070)

②(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070)

1 引言

車聯(lián)網(wǎng)(Internet of Vehicles， IoV)是物聯(lián)網(wǎng)在交通領(lǐng)域中的一種應(yīng)用。其通過(guò)車輛自帶的傳感器收集車輛和道路交通數(shù)據(jù)，并將這些數(shù)據(jù)通過(guò)無(wú)線通信傳輸給智能終端。車聯(lián)網(wǎng)中每個(gè)節(jié)點(diǎn)利用相鄰節(jié)點(diǎn)的信息提供交通管理、車輛定位、速度控制等服務(wù)。因?yàn)槠渲械墓?jié)點(diǎn)具有移動(dòng)性，導(dǎo)致頻繁的拓?fù)渥兓运且环N根據(jù)車輛需求智能提供服務(wù)的動(dòng)態(tài)網(wǎng)絡(luò)[1]。

車聯(lián)網(wǎng)主要利用傳感器數(shù)據(jù)采集、無(wú)線射頻識(shí)別以及短距離通信等技術(shù)，實(shí)現(xiàn)車輛與車輛 (Vehicleto-Vehicle， V2V)、車輛與路邊基礎(chǔ)設(shè)施(Vehicleto-Infrastructure， V2I)進(jìn)行互相通信和信息交換，從而實(shí)現(xiàn)對(duì)車輛和道路的完全控制。在車聯(lián)網(wǎng)系統(tǒng)中，車載單元(On-Board-Unit， OBU)的工作原理是在專用短程通信系統(tǒng)的幫助下，集成和利用諸如全球定位系統(tǒng)、微型傳感器和嵌入式系統(tǒng)，使得車輛可以和周圍其他車輛或路側(cè)單元(Road-Side-Units， RSUs)進(jìn)行消息傳遞。RSUs通過(guò)有線信道和無(wú)線信道與可信中心(Trusted Authority， TA)或OBU進(jìn)行信息傳遞，它可以接受來(lái)自O(shè)BU信息并傳遞給TA，同時(shí)也可以接受TA發(fā)送的信息并傳遞給OBU。

車聯(lián)網(wǎng)系統(tǒng)具有車輛節(jié)點(diǎn)規(guī)模大，行駛速度快，通信信道開放等特點(diǎn)，所以車聯(lián)網(wǎng)環(huán)境下各節(jié)點(diǎn)之間的通信面臨著巨大挑戰(zhàn)。惡意攻擊者可能會(huì)竊聽消息，注入虛假消息或修改消息來(lái)造成流量中斷，或者跟蹤車輛節(jié)點(diǎn)獲取車輛隱私信息如車主的身份隱私、位置隱私信息等[2]。所以，在車聯(lián)網(wǎng)中需要關(guān)注3個(gè)重要問(wèn)題，首先，對(duì)于消息來(lái)源的可靠性需要高效認(rèn)證；其次，車輛信息應(yīng)該得到很好的隱私保護(hù)；最后對(duì)于惡意用戶，他們的身份應(yīng)該是可追蹤的。

因此，在IoV中共享的信息必須滿足可驗(yàn)證性、完整性、隱私性、不可否認(rèn)性、可追溯性、匿名性等安全要求。

(1)動(dòng)機(jī)與工作。雖然一些研究工作提出了用于IoV部署的消息認(rèn)證方案[3—7]，但它們不能提供必要的安全特性，而且易受到各種已知攻擊，此外，這些方案需要大量的計(jì)算和通信開銷，使得它們無(wú)法適應(yīng)實(shí)時(shí)場(chǎng)景。針對(duì)這些問(wèn)題，本文在IoV環(huán)境下，提出了一種基于橢圓曲線密碼(Elliptic Curve Cipher， ECC)無(wú)對(duì)的無(wú)證書匿名認(rèn)證方案。主要工作如下：

(a) 密鑰生成中心(Key Generation Center，KGC)生成車輛的部分私鑰，車輛聯(lián)合部分私鑰和自己的秘密值共同產(chǎn)生實(shí)際私鑰，以此解決密鑰托管問(wèn)題；

(b) 在注冊(cè)階段區(qū)域管理局(Regional Trusted Authority， RTA)為車輛生成一個(gè)長(zhǎng)期的偽身份用于后續(xù)的部分密鑰生成，而在和其他車輛或RSUs通信時(shí)車輛自身生成一個(gè)短期的偽身份。長(zhǎng)期-短期偽身份的聯(lián)合使用保證了強(qiáng)匿名性和簽名的新鮮性，并且避免了RSUs生成臨時(shí)偽身份造成的身份泄露和時(shí)延問(wèn)題；

(c) 采用無(wú)雙線性對(duì)的同態(tài)簽名和批量驗(yàn)證，提高了RSUs驗(yàn)證消息的效率；

(d) 當(dāng)有惡意事件發(fā)生時(shí)，RTA可以通過(guò)長(zhǎng)-短期偽身份追蹤車輛真實(shí)身份，并由TA撤銷該用戶。

在上述工作中，該方案達(dá)到了車聯(lián)網(wǎng)中消息的可認(rèn)證性，消息發(fā)送者的匿名性，身份的可追蹤性，消息的不可抵賴性，不可鏈接性，前向安全性和后向安全性以及消息認(rèn)證的高效性等。

(2)相關(guān)工作。在安全和隱私的背景下，一些針對(duì)車聯(lián)網(wǎng)的公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure， PKI)的方案[3，4]已經(jīng)被提出，但是該方案存在車輛很難管理和存儲(chǔ)數(shù)量豐富的公私鑰對(duì)和相關(guān)證書問(wèn)題。此外，TA需要維護(hù)一個(gè)證書撤銷列表(Certificate Revocation List， CRL)，其中存儲(chǔ)被吊銷車輛的證書，這通常是龐大的。Raya和Hubaux[5]通過(guò)使用匿名證書來(lái)隱藏用戶的真實(shí)身份，為車聯(lián)網(wǎng)引入了一種匿名認(rèn)證方案。他們建議每輛車都存儲(chǔ)一些匿名證書，這樣車輛就可以在每個(gè)認(rèn)證過(guò)程中使用不同的公私鑰對(duì)避免可追溯性。但是，這會(huì)造成車輛不得不存儲(chǔ)大量的對(duì)。因此，密鑰的安全分發(fā)、密鑰管理和存儲(chǔ)變得非常復(fù)雜。

為了解決傳統(tǒng)PKI認(rèn)證方案的問(wèn)題，出現(xiàn)了許多基于身份的認(rèn)證方案。文獻(xiàn)[6]把車輛的身份屬性作為公共密鑰，因此不需要系統(tǒng)為其生成公鑰證書。基于身份的認(rèn)證方案不僅能夠保護(hù)車輛的隱私信息還能夠保護(hù)消息的完整性，但是其存在密鑰托管問(wèn)題。文獻(xiàn)[7]使用于ECC設(shè)計(jì)了一種新的基于身份的條件隱私保護(hù)認(rèn)證方案，該方案?jìng)鬏敽灻⑺璧耐ㄐ艓捀　榱颂岣呦到y(tǒng)效率，文獻(xiàn)[8]提出了一種高效匿名認(rèn)證協(xié)議。文獻(xiàn)[9]提出了一種可擴(kuò)展的、滿足批量驗(yàn)證的條件隱私保護(hù)認(rèn)證方案。在該方案中，偽身份和相應(yīng)的私鑰由PKG單獨(dú)生成。然后，文獻(xiàn)[10]提出了一種高效的基于身份的批量驗(yàn)證方案，并指出了一些安全風(fēng)險(xiǎn)。文獻(xiàn)[11]通過(guò)改進(jìn)文獻(xiàn)[10]的方案，提出了一種不需要雙線性對(duì)的基于身份的批驗(yàn)證安全方案。文獻(xiàn)[12]采用了一種基于身份加密的環(huán)簽名方案，對(duì)環(huán)簽名方案進(jìn)行了修改，實(shí)現(xiàn)了簽名者的模糊性，提高了車載網(wǎng)絡(luò)的隱私要求。然而，環(huán)簽名方案在車聯(lián)網(wǎng)中并不適用，不能實(shí)現(xiàn)有條件的隱私。文獻(xiàn)[13]提出了一種高效匿名批處理認(rèn)證方案，該方案利用哈希鏈和消息認(rèn)證碼為通信提供批處理驗(yàn)證。仿真結(jié)果表明，當(dāng)消息數(shù)大于23條時(shí)，文獻(xiàn)[13]比其他批處理驗(yàn)證方案效率更高。文獻(xiàn)[14]提出了一種新的基于身份驗(yàn)證的框架，通過(guò)使用假名和基于門限的分布式控制分別實(shí)現(xiàn)匿名性與不可否認(rèn)性。在車聯(lián)網(wǎng)中采用簽密技術(shù)的方案[15]也被提出，由于車聯(lián)網(wǎng)節(jié)點(diǎn)不受計(jì)算能力限制，因此比簽名和加密方法具有相當(dāng)大的優(yōu)勢(shì)。然而，在所有這些基于身份的方案中，主要的障礙是KGC利用自己的主密鑰生成一個(gè)車載實(shí)體的密鑰。它不能確保不可否認(rèn)性，因?yàn)镵GC濫用車輛的訪問(wèn)能力可以簽署和解密任何消息，從而導(dǎo)致密鑰托管問(wèn)題。

為了克服證書管理和密鑰托管問(wèn)題，文獻(xiàn)[16]在2003年引入了基于無(wú)證書的機(jī)制。2011 年，文獻(xiàn)[17]提出了一種車聯(lián)網(wǎng)環(huán)境下的無(wú)證書認(rèn)證方案，方案中車輛的假名由車輛自身和可信中心TA共同生成，車輛的私鑰由車輛自身和KGC共同生成，保護(hù)了車輛隱私信息，并且解決了密鑰托管問(wèn)題。2014 年，文獻(xiàn)[18]提出了一種車聯(lián)網(wǎng)環(huán)境下更加安全的無(wú)證書認(rèn)證方案，主要用于實(shí)現(xiàn)V2I之間的安全通信。同時(shí)，無(wú)證書認(rèn)證方案也能夠?qū)崿F(xiàn)可追蹤性，一旦有車輛傳播不合法的消息，TA能夠通過(guò)自己的主私鑰追蹤車輛的真實(shí)身份[19]。2018年，文獻(xiàn)[20]提出了車載網(wǎng)中可證安全的無(wú)證書聚合簽名算法，但文獻(xiàn)[21]認(rèn)為文獻(xiàn)[20]是不安全的，并進(jìn)一步提出了一個(gè)改進(jìn)的無(wú)證書聚合簽名方案。

此外，上述部分文獻(xiàn)利用了橢圓曲線加密技術(shù)，橢圓曲線密碼學(xué)主要是將橢圓曲線應(yīng)用到密碼學(xué)中，利用橢圓曲線離散對(duì)數(shù)問(wèn)題(Elliptic Curve Discrete Logarithm Problem， ECDLP)構(gòu)成橢圓曲線密碼學(xué)(ECC)。由于其占用內(nèi)存小不易破解等優(yōu)點(diǎn)廣泛應(yīng)用于一些安全領(lǐng)域，如加密、解密、數(shù)字簽名和安全協(xié)議等。

當(dāng)今社會(huì)人們的隱私意識(shí)越來(lái)越強(qiáng)，為了進(jìn)一步加強(qiáng)安全，提高效率，需要一個(gè)避免密鑰托管的強(qiáng)匿名認(rèn)證方案來(lái)保護(hù)隱私。因此，本文提出了一個(gè)有效且高效的無(wú)證書匿名認(rèn)證方案，該方案沒有涉及 PKI 證書，減少了系統(tǒng)車輛的存儲(chǔ)負(fù)擔(dān)，并且采用無(wú)對(duì)的聚合方法以減少RSUs驗(yàn)證的時(shí)間。

2 準(zhǔn)備工作

2.1 無(wú)證書密碼學(xué)

(1) 公鑰加密(PKC)。在PKC中，每個(gè)用戶都有一個(gè)公鑰和一個(gè)私鑰。私鑰是保密的，而公鑰是公開的。用戶的公鑰通過(guò)證書(即受信任的證書頒發(fā)機(jī)構(gòu)在公鑰上的簽名)與用戶相關(guān)聯(lián)。這使得接收方確保它們擁有的公鑰是發(fā)送方的正確公鑰。想要使用公鑰的接收者必須驗(yàn)證相應(yīng)的證書以確保密鑰的有效性。因此，需要一個(gè)公鑰基礎(chǔ)設(shè)施(PKI)——一系列可信賴的第三方，可以依賴他們來(lái)?yè)?dān)保身份與特定公鑰之間的聯(lián)系。但是該特性會(huì)導(dǎo)致證書頒發(fā)機(jī)構(gòu)需要大量的存儲(chǔ)和計(jì)算能力來(lái)管理證書。

(2) 基于身份的加密(ID-PKC)。為了避免證書管理問(wèn)題，引入了ID-PKC的概念。基于身份的方案將實(shí)體的公鑰設(shè)置為其數(shù)字身份，從而消除了對(duì)公鑰基礎(chǔ)設(shè)施的需要，而且KGC使用主密鑰生成實(shí)體的私鑰。因此，ID-PKC的一個(gè)固有問(wèn)題是“密鑰托管”。

(3) 無(wú)證書密碼學(xué)。文獻(xiàn)[17]引入了無(wú)證書公鑰加密(CL-PKC)的概念，它消除了在PKC中使用證書，并解決了ID-PKC中的密鑰托管問(wèn)題。CLPKC的基本思想是：KGC為用戶產(chǎn)生一個(gè)部分私鑰，用戶選取一個(gè)秘密值，并與部分私鑰結(jié)合生成用戶的私鑰，用戶私鑰由KGC和用戶聯(lián)合產(chǎn)生。KGC不知道用戶的完整私鑰，從而避免了密鑰托管問(wèn)題。和基于證書的公鑰密碼體制相比，無(wú)證書的公鑰密碼學(xué)不需要證書的管理，所需負(fù)載更小，因此更適用于低寬帶需求和低能量消耗的移動(dòng)應(yīng)用環(huán)境。

2.2 橢圓曲線

設(shè)Fp表示階為p的有限域，其中p是大素?cái)?shù)。通常定義一個(gè)標(biāo)準(zhǔn)橢圓曲線E為：y2=x3+ax+bmodp，其中a，b ∈Fp，且Δ=4a3+27b2／=0。E上的點(diǎn)和無(wú)窮遠(yuǎn)處的點(diǎn)O構(gòu)成一個(gè)循環(huán)加法橢圓曲線群

G={(x，y):x，y ∈Fp，E(x，y)=0}∪{O}

G有以下性質(zhì)：

(1) 加法(+/—)：設(shè)P與Q為G上的兩個(gè)點(diǎn)，若P ／=Q則有R=P+Q，R是E與連接P，Q兩點(diǎn)直線的交點(diǎn)。若P=Q，則有R=P+Q，R是E與P(Q)點(diǎn)切線的交點(diǎn)。若Q=-P，則有P+Q=P-P=O；

(2) 標(biāo)量乘法(·)：設(shè)P ∈G，m ∈Zq*，則在G上的標(biāo)量乘法為m·P=P+P+...+P(共m次)。

2.3 橢圓曲線離散對(duì)數(shù)問(wèn)題(ECDLP)

已知E/Fp上的點(diǎn)P，給定點(diǎn)對(duì)(P，mP)，求整數(shù)m ∈Zp，這個(gè)問(wèn)題稱為橢圓曲線離散對(duì)數(shù)問(wèn)題，簡(jiǎn)寫為ECDLP。當(dāng)點(diǎn)P有大的素?cái)?shù)階時(shí)，認(rèn)為求解ECDLP是計(jì)算上不可行的。

3 系統(tǒng)模型

本節(jié)介紹了本文方案的體系結(jié)構(gòu)、安全模型和安全性要求。

3.1 體系結(jié)構(gòu)

IoV結(jié)構(gòu)由5個(gè)實(shí)體組成：可信中心(TA)、區(qū)域管理局(RTA)、密鑰生成中心(KGC)、路側(cè)單元(RSUs)和車載單元(OBU)。IoV網(wǎng)絡(luò)模型如圖1所示。

圖1 IoV網(wǎng)絡(luò)模型

(1) 可信中心(TA)：它是完全可信賴的權(quán)威，具有足夠的計(jì)算和通信資源，并且擁有車輛的真實(shí)身份列表，并且為系統(tǒng)生成公私鑰對(duì)和系統(tǒng)參數(shù)。TA通常為交通管理部門。

(2) 區(qū)域管理局(RTA)：即區(qū)域TA，負(fù)責(zé)注冊(cè)車輛和RSUs。RTA為注冊(cè)的車輛分配一個(gè)防篡改設(shè)備(Tamper-Proof Device， TPD)，其具有高強(qiáng)度的安全特性，可以阻止各類環(huán)境下的信息泄露攻擊。

(3) 密鑰生成中心(KGC)：在IoV系統(tǒng)中KGC是另一個(gè)豐富了計(jì)算和通信資源的可信實(shí)體。KGC負(fù)責(zé)為IoV中的車輛生成部分私鑰。

(4) 路側(cè)單元(RSUs)：RSUs部署在路邊，是TA， KGC和OBU之間的橋梁。RSUs與RTA和KGC通過(guò)有線連接，與OBU通過(guò)無(wú)線信道連接。其主要負(fù)責(zé)驗(yàn)證車輛廣播的消息。

(5) 車載單元(OBU)：車載單元嵌入到車輛中，并廣播與交通有關(guān)的信息、位置標(biāo)識(shí)和駕駛狀態(tài)等。該設(shè)備有自己的時(shí)鐘，用于生成正確的時(shí)間戳，為此，所有TA， RTA， KGC， RSUs和OBU都有大致同步的時(shí)鐘。其負(fù)責(zé)將敏感信息存儲(chǔ)在車輛的防篡改設(shè)備(TPD)中，并向車輛和附近的RSUs廣播消息。

3.2 安全模型

本文的安全模型是在文獻(xiàn)[1]安全模型基礎(chǔ)上提出的，其中的敵手可以不受限制地訪問(wèn)公共信道，并且可以在公共信道上讀取、攔截、重放、修改、制造和刪除傳輸?shù)姆纸M。假設(shè)TA， RTA， KGC和RSUs是IoV環(huán)境中的可信實(shí)體。在IoV環(huán)境中的車輛配備了防篡改設(shè)備TPD，故敵手不能讀取、寫入或刪除TPD的內(nèi)容。由于本方案利用了無(wú)證書密碼學(xué)的思想，故用戶的公鑰沒有得到認(rèn)證，所以在敵手模型中，必須允許敵手有權(quán)利用他自己選擇的不合法公鑰代替用戶的公鑰，而且由于KGC知道系統(tǒng)主密鑰，從而能夠計(jì)算所有用戶的部分私鑰，但他不能替換用戶的公鑰。所以本文將敵手類型分為兩類，類型I的敵手模擬一個(gè)外部攻擊者，充當(dāng)惡意的第三方，并且能夠請(qǐng)求和替換系統(tǒng)中的公鑰。類型II的敵手是一個(gè)內(nèi)部攻擊者，可以訪問(wèn)KGC的主密鑰，充當(dāng)惡意但被動(dòng)的KGC，但不能替換用戶的公鑰。如果兩類敵手均能在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率贏得其與挑戰(zhàn)者之間的游戲，則一定分別存在一個(gè)多項(xiàng)式時(shí)間內(nèi)的挑戰(zhàn)者解決ECDLP問(wèn)題，但這與ECDLP為困難性問(wèn)題矛盾。

3.3 安全性要求

(1) 可認(rèn)證性：消息的真實(shí)性確保接收到的消息確實(shí)是由聲稱這樣做的車輛發(fā)送的。

(2) 完整性：它確保消息在從發(fā)送方傳遞到接收方時(shí)沒有被修改、偽造或丟棄。

(3) 匿名性：IoV中的其他車輛和敵手無(wú)法通過(guò)分析同一車輛發(fā)送的多條消息或其偽身份來(lái)識(shí)別發(fā)送者的真實(shí)身份。

(4) 可追溯性：僅RTA就可以通過(guò)獲取發(fā)送者的偽身份來(lái)識(shí)別發(fā)送者的真實(shí)身份，并且可以識(shí)別車輛發(fā)送的惡意消息。

(5) 不可鏈接性：敵手不能在同一發(fā)送者發(fā)送的消息中找到任何共同的知識(shí)，所有的假名不應(yīng)該透露他們之間的任何聯(lián)系。

(6) 前向安全性與后向安全性：敵手無(wú)法通過(guò)當(dāng)前的簽名消息推斷出之前或之后的簽名消息。

4 本文方案

4.1 本文方案總覽

圖2給出了本文方案的總覽，當(dāng)車輛發(fā)起注冊(cè)請(qǐng)求時(shí)，TA將車輛的真實(shí)身份列表 UL從其數(shù)據(jù)庫(kù)轉(zhuǎn)發(fā)給RTA，然后車輛通過(guò)安全信道向RTA發(fā)送注冊(cè)請(qǐng)求，完成注冊(cè)后的車輛便可向車輛配備一個(gè)TPD設(shè)備，并且同時(shí)給車輛生成一個(gè)長(zhǎng)期偽身份；接著，車輛結(jié)合KGC產(chǎn)生的部分密鑰、RTA分配的長(zhǎng)期偽身份，生成自己的公私鑰；當(dāng)車輛在進(jìn)入RSUs區(qū)域時(shí)先生成一個(gè)短期偽身份，然后把簽名消息發(fā)送給RSUs；當(dāng)RSUs收到車輛發(fā)來(lái)的消息時(shí)，進(jìn)行驗(yàn)證。

圖2 方案總覽圖

4.2 具體方案

5 安全性證明與分析

5.1 安全性證明

證明思路與方法同定理1，但與定理1的證明不同的是A2僅有哈希值詢問(wèn)、公鑰提取詢問(wèn)、秘密值詢問(wèn)、私鑰提取詢問(wèn)、簽名詢問(wèn)的能力，不具有公鑰替換的能力，所以證明過(guò)程這里不再贅述。

5.2 安全性分析證明

6 性能分析

由于車輛間通信具有瞬時(shí)性特征，所以IoV系統(tǒng)對(duì)計(jì)算開銷與通信開銷的要求更為苛刻，因而本節(jié)對(duì)本文方案與文獻(xiàn)[23—25]在計(jì)算開銷、通信開銷、功能與安全性方面進(jìn)行了對(duì)比分析，主要涉及了簽名階段與驗(yàn)證階段，其中，TSM-G1表示雙線性變換后群上的點(diǎn)乘運(yùn)算，TSM-G表示橢圓曲線上的點(diǎn)乘運(yùn)算，TMTPH表示映射到點(diǎn)的哈希運(yùn)算，TPA-G1表示雙線性群上的加法運(yùn)算，TBP表示對(duì)運(yùn)算，TMM表示模乘運(yùn)算。

6.1 計(jì)算復(fù)雜度

在文獻(xiàn)[23]中，用戶在簽名階段需要執(zhí)行4個(gè)雙線性變換后群上的點(diǎn)乘運(yùn)算、1個(gè)哈希TMTPH和2個(gè)經(jīng)雙線性變換后群上的加法運(yùn)算，即用戶共需要4TSM-G1+TMTPH+2TPA-G1；RSUs在驗(yàn)證時(shí)需要執(zhí)行3個(gè)經(jīng)雙線性變換后的群上的點(diǎn)乘運(yùn)算、4個(gè)雙線性對(duì)運(yùn)算和2個(gè)映射到點(diǎn)的哈希函數(shù)，即RSUs共需要4TBP+3TSM-G1+2TMTPH。用同樣的方法可以計(jì)算出文獻(xiàn)[24，25]的計(jì)算開銷，如表1所示。本文方案在簽名過(guò)程中只需1個(gè)橢圓曲線上的點(diǎn)乘運(yùn)算和兩個(gè)模乘運(yùn)算，即TSM-G+2TMM，在驗(yàn)證過(guò)程中需要執(zhí)行3個(gè)橢圓曲線上的點(diǎn)乘運(yùn)算，即3TSM。

表1 計(jì)算運(yùn)行時(shí)間對(duì)比

由表1可知，本文方案中簽名階段不存在計(jì)算復(fù)雜度較大的雙線性對(duì)運(yùn)算，僅用到計(jì)算復(fù)雜度較小的點(diǎn)乘運(yùn)算。方案建立在計(jì)算開銷較小的橢圓曲線的基礎(chǔ)上，與文獻(xiàn)[23—25]在驗(yàn)證階段均有一定的效率優(yōu)勢(shì)。本文仿真實(shí)驗(yàn)的環(huán)境為：Win10的操作系統(tǒng)、CPU主頻為2.3 GHz、內(nèi)存為4 GB的環(huán)境，采用Miracl庫(kù)。圖3和圖4顯示了本文方案與對(duì)比方案在簽名和認(rèn)證過(guò)程中批量認(rèn)證的消息個(gè)數(shù)與所消耗時(shí)間(實(shí)驗(yàn)中取100 次的平均值)的關(guān)系，可以直觀看到，隨著n的增大，相比其他方案，本文方案更加高效。

圖3 簽名階段計(jì)算復(fù)雜度比較

圖4 驗(yàn)證階段計(jì)算復(fù)雜度比較

6.2 通信復(fù)雜度

本文方案與文獻(xiàn)[23—25]在部分私鑰、公鑰、偽身份的生成以及簽名的通信量比較如表2所示。在Miracl庫(kù)中循環(huán)群G上的元素占據(jù)32 Bytes，經(jīng)過(guò)雙線性變換后的群(G1)的元素占據(jù)64 Bytes。假設(shè)橢圓曲線群G中的元素大小為40 Bytes，經(jīng)過(guò)雙線性變換后的群G1中的元素大小為128 Bytes，整數(shù)域Zq*中的元素大小為20 Bytes。通過(guò)比較分析可以發(fā)現(xiàn)，本文方案在通信復(fù)雜度方面也存在一定的優(yōu)勢(shì)。

表2 通信復(fù)雜度比較(Bytes)

6.3 功能性

本文方案與文獻(xiàn)[23—25]主要在消息的真實(shí)性、身份的可追蹤性、匿名性、隱私性、不可鏈接性、不可偽造性以及批驗(yàn)證和密鑰托管彈性進(jìn)行比較。如表3所示，本文方案與文獻(xiàn)[23—25]相比提供了更好的安全性和功能性。

表3 功能與安全性比較

綜合分析，本文在簽名和驗(yàn)證階段的計(jì)算復(fù)雜度均比其他3個(gè)方案小，雖然圖3和圖4表明文獻(xiàn)[25]與本文方案相差不大，但文獻(xiàn)[25]的通信開銷相比較大，所以本文方案更適用于低時(shí)延和計(jì)算量低的車聯(lián)網(wǎng)。

7 結(jié)論

為提高網(wǎng)絡(luò)的可擴(kuò)展性，本文提出了一種有效的不使用雙線性對(duì)的無(wú)證書聚合簽名方案。從而解決了以往傳統(tǒng)認(rèn)證方案中的密鑰托管問(wèn)題。RTA生成的長(zhǎng)期偽身份和車輛自己生成的短期偽身份的相結(jié)合保證了車輛的強(qiáng)匿名性和簽名的新鮮新；采用聚合無(wú)雙線性對(duì)的方式進(jìn)行簽名和驗(yàn)證，隨著節(jié)點(diǎn)數(shù)量的增加，大大減少了RSUs的驗(yàn)證時(shí)間，提高了網(wǎng)絡(luò)的可擴(kuò)展性；并且在發(fā)生惡意事件時(shí)，RTA可以追蹤到車輛的真實(shí)身份并由TA撤銷該用戶。該方案具有完整性、隱私性、不可否認(rèn)性、可追蹤性、匿名性和撤銷性等安全性。效率分析表明，本文方案的認(rèn)證效率最高提升了95.06%，故該認(rèn)證方案實(shí)現(xiàn)了計(jì)算效率高、速度快的車輛認(rèn)證。因此，本文提出的方案對(duì)于動(dòng)態(tài)可擴(kuò)展網(wǎng)絡(luò)中的車輛通信更加有效。車聯(lián)網(wǎng)是一種使萬(wàn)物通信成為可能的自組織網(wǎng)絡(luò)，因而接下來(lái)的工作是研究車聯(lián)網(wǎng)環(huán)境下的跨域匿名認(rèn)證方案。