面向移動邊緣計算車聯網中車輛假名管理方案

韓 牟 楊 晨 華 蕾 劉 帥 馬世典

1(江蘇大學計算機科學與通信工程學院 江蘇鎮江 212013)

2(江蘇大學汽車與交通工程學院 江蘇鎮江 212013)

3(青島國創智能家電研究院有限公司 山東青島 266061)

4(江蘇大學汽車工程研究院 江蘇鎮江 212013)

(hanmu@ujs.edu.cn)

車聯網的概念由物聯網延伸而來，通過車載傳感單元、路側采集模塊、車路通信單元等設備實現車輛運行數據的實時采集，進而基于此搭建監測大規模車輛實時運行信息的數據平臺，提供各類數據服務[1].近年來隨著信息技術的發展，車聯網進一步融合了V2X(vehicle to X(人、車、路等主體))、大數據、云計算、區塊鏈、邊緣計算、人工智能等技術，其涵義變得更為豐富.形成了涵蓋信息釆集、數據通信、數據處理和智能決策及控制等功能的大型網絡，可應用于智能交通、智能駕駛、車輛動態管控及實時數據服務等場合[2].特別是5G技術的普及，解決了事關行車安全相關應用對移動性、時延及覆蓋范圍的超高需求，為車聯網的發展提供了新的契機，使得智能駕駛時代觸手可及.

“車-云”網絡架構在車輛海量數據的匯聚、調度、管理與應用等方面發揮了巨大作用[3-5]，但移動互聯技術的發展，使得“車-云”網絡的實時數據處理能力面臨巨大的挑戰[6].據預測在未來萬物互聯時代，一輛無人駕駛汽車每天將產生超過4TB的數據量，若這些數據不加篩選地均在云端進行存儲和處理，則無人駕駛時代對數據處理的超低時延和超高可靠性需求將難以達到.

為緩解云端的計算壓力，同時提升移動側的計算能力和運行效率，可將部分服務部署于接近移動側的網絡邊緣，構建移動邊緣計算體系[7]，這是近年來備受關注的一項新興技術.考慮到車聯網中車輛的快速移動性，其數據處理須兼顧超低時延和高可靠性；其次車輛所產生的龐大數據，也需要較強的資源計算能力.因而在車聯網中引入邊緣計算是必然趨勢[8]，尤其對于無人駕駛技術而言，邊緣計算更是不可或缺的[9-11].然而邊緣計算部署在網絡基礎設施附近，一方面容易遭受來自邊緣車輛、網絡基礎設施的假冒、隱私竊取和虛假消息等攻擊；另一方面，未授權的內部攻擊者也有可能訪問并竊取存儲在邊緣數據中心的敏感信息[12-13].因此，面向邊緣計算車聯網中車輛的隱私安全，成為當下車聯網信息安全領域的研究熱點.

當前的車聯網通信過程中主要采用假名的方式保護車輛的隱私信息，邊緣計算環境下的車聯網會將車輛的假名管理服務委托給邊緣云層，即由邊緣數據中心保管本地車輛的假名信息，進而來減少中心云的通信負擔，提高服務的通信效率.一旦邊緣數據中心被攻擊者控制，該區域內所有車輛的隱私信息都將遭受嚴重威脅.同態加密技術，即在不知道密鑰的情況下，對密文進行任意計算，且不影響原有的明文信息.這項加密技術，在開放式網絡環境下，為解決互不信任的實體之間進行安全通信提供了可行的方法，具有重要的應用價值.因而針對車聯網環境下邊緣云層存儲的車輛敏感信息采用同態加密技術進行加密，邊緣云中心不知道用戶的密鑰也可對密文數據執行計算任務[14]，同時解密后的計算結果等價于明文數據做了同樣的計算，這種同態性質使得操作密文就像操作明文一樣[15]，保證了用戶與邊緣云層之間數據的安全性和可用性.

綜上所述，針對邊緣云層中的MEC服務器存在車輛身份隱私信息泄露問題，提出一種基于同態加密的假名管理方案.對于已通過邊緣云層認證，并完成假名更新的車輛，邊緣云層將其假名信息執行同態加密后存儲在MEC服務器中，使得邊緣云層在不知道車輛假名信息的情況下，仍能對假名進行同態運算操作，同時將同態運算得出的假名表查找詞存儲在云端，以便于對惡意車輛追溯，實現MEC對車輛假名的高效、安全管理.

1 相關工作

1) 車聯網匿名身份認證研究.目前，為了保護車輛的隱私，車聯網中大多采用匿名認證的方式來進行身份認證.文獻[16]提出了一種基于假名的有效條件隱私保護協議，該協議基于雙線性映射實現了車輛的條件隱私.文獻[17]設計了一種條件隱私保護匿名認證協議，由于大多數匿名認證過程采用雙線性映射操作，作者認為減少映射操作的耗時，就可以提高身份認證的效率.但是，作者沒有考慮身份認證中頻繁的交互過程，雖然在單次認證提高了認證效率，但是總體的計算量和認證延遲仍然較高.由于車聯網內車輛移動速度快且車輛數量龐大，使得車聯網對車輛通信實時性的需求越來越高.因此，在設計身份認證方案時不僅要考慮認證的安全性，更要考慮車輛認證效率以滿足車聯網的實時性需求.文獻[18-21]通過批量認證的方案來提高了車聯網中車輛匿名身份認證效率.此外，文獻[22]設計了一種高效的匿名身份認證方案，該方案中車輛直接與RSU完成身份認證，具有去中心化的特點，進而緩解了可信權威中心的計算和通信負荷.同時，路邊單元(road side unit, RSU)間采用密鑰傳遞的方式，避免了系統中合法車輛的重復認證過程，提高了身份認證的效率.

隨著邊緣計算的興起與引入，邊緣計算將車輛認證過程中的計算、通信負擔分配到邊緣云中，由邊緣云代替中心云驗證相應車輛的身份認證消息，利用邊緣云邊緣化、實時性高的特點提高身份認證的效率[23-25].文獻[24]設計了一種基于霧計算的匿名認證方案，通過霧計算處理距離中心云層較遠的車輛的認證請求，并利用霧計算實時性的特點來提高車輛身份的認證效率.文獻[25]通過邊緣網絡中的RSU節點認證其通信范圍內的車輛消息，同時廣播該車輛的認證結果，進而減少了重復認證過程，提高了認證效率.因此，借助邊緣計算能夠有效提高車聯網中的車輛身份認證效率.

2) 車輛假名管理研究.為了防止交通事故的發生以及提高交通運行的效率，在車聯網中車輛需要周期性地廣播狀態信息，其中不乏位置、身份等隱私信息.故車輛使用假名以保護其隱私，但長期使用同一假名依然會被攻擊者追蹤.為了解決這一問題，研究人員提出了一系列車輛假名管理方案.文獻[26]提出了一種有效的基于假名認證的車載自組網(vehicular ad-hoc network, VANET)條件隱私協議(PACP)，其中可信權威機構首先生成車輛的長期假名，然后車輛從RSU獲得“令牌”.最后，車輛生成自己的假名來實現匿名通信.然而，PACP的局限性在于，在令牌生成過程中，RSU并不知道任何有關車輛的信息，它是在VANET中生成令牌的唯一實體，不能保證令牌的完全可靠性.有研究者提出由可信權威中心更新車輛假名[27-30]，并借助可信權威中心實現車輛身份信息的有效追蹤.但是由可信權威中心更新車輛假名會出現假名更新實時性差的問題，并且這種方法對系統和車輛的存儲資源和計算資源也有比較高的要求.文獻[31]提出了基于霧計算的假名保護隱私方案，方案中網絡邊緣的霧節點通過虛擬化技術組成假名霧，車輛的假名由假名霧進行管理，從而提高假名管理的實時性，減少假名管理開銷，該方案中由各個霧層的本地權威中心為車輛發放新的假名，本地權威中心會記錄車輛使用過的假名與車輛身真實份的關聯信息.但該方案中并沒有考慮邊緣云層所面臨的安全威脅，進而存在假名信息泄露的風險.

本文提出了一種基于同態加密的MEC假名管理方案，通過引入同態加密的方式實現假名管理，解決了現有邊緣云方案車輛假名信息泄露的問題，并借助邊緣云對車輛身份進行認證，提高了假名更新的效率.

本文的主要貢獻有2個方面：

1) 設計了一種基于邊緣云層的車輛假名更新策略.當車輛首次進入邊緣云層時，采用自認證的方式，避免和中心云層的交互，提高認證效率；首次認證成功后邊緣云層會為車輛生成身份證書，當車輛需要再次認證時只需要采用驗證身份證書的方式來對車輛進行再次認證，提高了車輛身份認證效率，進而減少了車輛請求假名更新時認證車輛合法性所需的開銷，實現了高效的假名更新.

2) 在第1個主要貢獻的基礎上構造了一種安全的假名管理方案.通過同態加密算法加密邊緣云層為車輛更新的假名信息，攻擊者在沒有同態密鑰的情況下無法得到任何假名信息，實現了安全的假名存儲.邊緣云層為車輛更新的每個假名表都有與之匹配的查找詞，查找詞可由假名的密文計算得出，用以對系統中出現的惡意車輛進行追責，實現了車輛假名的可追蹤.

2 預備知識

2.1 離散對數(DL)問題

DL問題：設q為大素數，G為q階循環群，P為群G的生成元.給定P,aP∈G，其中a∈是未知的，計算a.

2.2 子群判定(SD)假設

2.3 BGN同態加密

BGN密碼體制由Boneh等人[32]于2005年利用代數環的結構特性構造的半同態加密算法，支持任意次數的加法同態運算，其安全性基于合數階雙線性映射群的子群成員困難問題.

BGN同態加密方案包括FHE.Setup(·),FHE.KeyGen(·),FHE.Enc(·),FHE.Dec(·),FHE.Add(·)這5個算法.

FHE.Setup(λ)：輸入安全參數λ；選擇1個n階循環群G，其中n=p′q′且p′,q′均為大素數；選擇T≤p′.輸出參數para=(n,G,T).

FHE.KeyGen(para)：輸入para，選擇群G的2個生成元g和u，計算h=up′∈Gq′，其中Gq′為群G的q′階子群.輸出公鑰pk=(g,h)，私鑰sk=q′.

FHE.Enc(pk,m)：給定明文m∈T，選擇隨機數r∈n，按如下操作生成密文C=E(m)=gmhr∈G.

FHE.Add(C1,C2)：輸出C1×C2=E(m1)×E(m2)=E(m1+m2).BGN算法能實現加法同態，可以計算E(m1+m2+…+mk)=E(m1)×E(m2)×…×E(mk).

3 系統架構和安全模型

3.1 系統架構設計

Fig. 1 System structure model of our scheme圖1 本方案的系統結構模型

本方案的系統架構如圖1所示，由中央云(包括可信權威中心和云服務器)、MEC云(包括本地權威中心、路邊單元RSU和MEC服務器)以及車輛3部分組成.

1) 中央云.中央云包括可信權威中心和云服務器.可信權威中心是整個系統的最高權威機構，負責系統中所有實體的注冊和撤銷，并管理所有的本地權威中心，可信權威中心可以由可信的國家交通管理部門擔當.云服務器為可信權威中心提供充足的計算和存儲資源.

2) MEC云.MEC云由本地權威中心、MEC服務器和眾多RSU組成.MEC云為其范圍內的車輛提供服務，其范圍可以是一座城市.本地權威中心負責為其所屬MEC云范圍內的車輛生成假名和證書等，本地權威中心可以由當地的交通職能部門擔當.MEC服務器為本地權威中心提供計算和存儲資源，并存儲本地權威中心生成的車輛假名.RSU部署在道路旁，計算能力有限，直接與車輛進行無線通信.

3) 車輛.每個車輛都裝備有車載單元(on-board unit, OBU)、全球定位(global positioning system, GPS)模塊等.OBU模塊負責與外界實體(車輛、RSU等)進行通信，同時OBU模塊中有防篡改設備，用于存儲公鑰、私鑰和其他隱私信息(包括車輛的假名、證書等)，并可以進行加解密等運算操作.GPS模塊能獲得車輛的位置坐標信息.OBU模塊能與RSU進行無線通信.

3.2 安全模型

1) 中央云層.中央云層中的可信權威中心和云服務器是完全可信的實體，不可能泄露任何信息.可信權威中心生成和保存系統所有實體的公私鑰，并在系統中出現惡意車輛時揭露惡意車輛的真實身份.

2) MEC云層.MEC云層的本地權威中心和RSU為可信實體，MEC服務器是半可信實體.道路旁的RSU會對附近車輛的行為進行監測，并將違規行為發送給本地權威中心.本地權威中心將惡意車輛的假名信息上報可信權威中心，輔助可信權威中心揭露其真實身份.MEC服務器能夠誠實地為本地權威中心提供計算和存儲資源，但存在被攻擊者攻擊的風險，被攻擊者控制的MEC服務器可能會泄露其中存儲的假名信息.

3) 車輛.惡意車輛可能會為了自身利益發送虛假的消息，例如發送虛假的路況信息以方便自己出行、在發送交通事故時發送虛假信息以逃避責任等；系統中可能會存在攻擊者使用虛假的車輛身份發送虛假消息.

因此，本方案主要遭受到4類安全威脅：

1) MEC服務器可能會泄露或利用其中存儲的車輛假名信息；

2) 攻擊者可能會竊取或篡改公共網絡中傳輸的消息；

3) 惡意的車輛可能會發送有利于自己的虛假消息；

4) 攻擊者使用虛假身份向合法節點發送惡意信息或與其進行非法通信.

針對上述4類安全威脅，設計了如圖2所示的安全模型：1)通過車輛身份認證的過程驗證了系統中車輛的身份合法性，防止惡意節點偽裝成合法車輛；2)基于同態加密的假名管理，保證了在MEC服務器不可信環境下車輛假名信息的安全性.

Fig. 2 Security model圖2 安全模型

3.3 安全需求

1) 可抵抗假冒攻擊.車聯網中可能會有攻擊者試圖偽裝成合法的車輛或RSU.本方案中RSU和車輛間通過雙向認證實現車輛和RSU的身份合法性驗證以抵抗假冒攻擊.

2) 車輛身份的匿名性.車輛的假名中不會泄露任何車輛的真實身份信息，以保護車輛的身份隱私.本方案中的車輛使用假名保證車輛身份的匿名性.

3) 假名信息的安全性.由于MEC服務器并非完全可信，車輛假名信息可能會被泄露.本方案以同態加密算法加密保存在MEC服務器中的假名信息，攻擊者無法在沒有密鑰的情況下獲得泄露的加密信息，保證了假名信息的安全性.

4) 消息的完整性和認證性.消息的接收者要能確認消息的發送方是否合法，以及消息是否被攻擊者篡改.本方案通過散列認證碼HMAC和發送方簽名等保證了消息的完整性和認證性.

5) 消息的不可否認性.本方案中車輛身份的匿名性可能會被惡意車輛利用從而達到非法目的.因此，本方案中的匿名性是一種條件匿名，車輛無法否認其曾經發送過的消息.系統中的可信權威中心可以根據惡意車輛的假名追溯其真實身份，保證了消息的不可否認性.

4 MEC中基于同態加密的假名管理方案

本方案主要步驟如圖3所示.

1) 系統初始化.中央云層的可信權威中心生成系統參數，MEC云層的本地權威中心生成其公私鑰.

2) 實體注冊.可信權威中心為車輛和RSU生成公私鑰、身份標識和簽名信息等.

3) 車輛假名更新.包含車輛身份認證及車輛假名請求2部分，身份認證合法的車輛可以向MEC云的本地權威中心請求更新假名.

4) 車輛假名管理.本地權威中心為車輛生成新的假名表后將假名表的同態密文保存到MEC服務器，并計算出假名表的查找詞發送給可信權威中心.

5) 惡意車輛追溯.可信權威中心根據惡意車輛的假名表密文計算出對應的查找詞，并在云服務器的假名總表中找出與之關聯的真實車輛身份.

Fig. 3 Architecture design圖3 架構設計

文中主要符號定義如表1所示：

Table 1 Definition of Main Notations表1 主要符號定義

4.1 系統初始化

1) 中央云

① TA選擇1個加法群G和環Rq，G的階為大素數q且G的生成元為P.

② TA選取1個隨機數φTA∈的私鑰為SKTA=φTA，并生成公鑰PKTA=φTAP.

③ TA選擇散列函數H:{0,1}→G和h:{0,1}→并選擇安全的密碼算法Ek(·).

④ TA執行FHE.Setup(·)和FHE.KeyGen(·)算法生成同態加密參數para和公私鑰pk,sk.

TA公布系統參數{G,P,q,PKTA,H(·),h(·),Ek(·),para,pk}.

2) MEC云

LAi選擇隨機數φLAi∈的私鑰為SKLAi=φLAi，LAi計算公鑰PKLAi=φLAiP.LAi發布公鑰PKLAi.

4.2 實體注冊

1) RSU注冊

① TA選擇隨機數αRi,ξRi∈并計算ARi=αRiP，BRi=ξRiP，φRi=h(ARi‖BRi‖PKTA)，βRi=φRiξRi+SKTA.路邊單元Ri的公鑰為PKRi=(ARi,BRi)，私鑰為SKRi=(αRi,βRi).

② TA為Ri生成唯一身份標識IDRi，并根據Ri的定位坐標生成LRi，并生成簽名σSKTA(PKRi,LRi,h(LRi)).

2) 車輛注冊

① TA為車輛Vi生成唯一身份標識IDVi.

② TA選擇隨機數αVi,ξVi∈計算AVi=αViP，BVi=ξViP，φVi=h(AVi‖BVi‖PKTA)，βVi=φViξVi+SKTA.Vi的公鑰為PKVi=(AVi,BVi)，私鑰為SKVi=(αVi,βVi).

③ TA為車輛Vi生成第1個認證假名FIDTA→Vi=IDVi⊕H(αViPKTA).

Fig. 5 Identity authentication of vehicle圖5 車輛身份認證

4.3 車輛假名更新

4.3.1 車輛身份認證

若車輛首次進入MEC云，則需要通過計算認證參數與RSU進行身份認證，完成身份認證后將獲得LA頒發的數字簽名證書；對于擁有證書的車輛，RSU可以通過驗證證書快速認證車輛身份，提高了認證效率，如圖4所示.車輛首次進入MEC云時通過TA生成的FIDTA→Vi作為認證假名與LA完成身份認證.

Fig. 4 Vehicle authentication process圖4 車輛身份認證過程

首次進入MEC云的車輛Vi(沒有證書)通過Ri與LAi進行身份認證的過程，如圖5所示.

1)Ri周期性向外廣播消息Msg1：{PKRi,LRi,h(LRi),σSKTA(PKRi,LRi,h(LRi)),TS}.

2)Vi接收到Msg1后，先驗證時間戳TS是否在網絡延遲范圍內.若TS合理，則使用TA的公鑰PKTA驗證簽名.若驗證通過，Vi通過GPS模塊獲取自身位置LVi，計算ΔL=|LRi-LVi|.若ΔL>300m，則丟棄該消息；否則完成對Ri的認證.

3)Vi選擇隨機數θi,nVi∈計算NVi=nViP,φRi=h(ARi‖BRi‖PKTA),s=(αVi+βVi+nVi)(ARi+φRiBRi+PKTA)，然后向Ri發送消息Msg2：{PKVi,EPKRi(FIDTA→Vi,θi),Eθi(s,NVi),TS,HMACθi(·)}.

4)Ri收到Msg2后，驗證TS是否在合理的網絡延遲范圍內.若驗證通過，則用私鑰SKRi解密獲得θi并用θi對HMACθi(·)進行認證.若認證成功，用θi解密獲得s和NVi.Ri計算φVi=h(AVi‖BVi‖PKTA)，驗證式(1)是否成立，若成立則Vi身份合法.

s=(AVi+φViBVi+PKTA+NVi)(αRi+βRi).

(1)

5)Ri將FIDTA→Vi發送給LAi，LAi為車輛Vi頒發證書CertLAi(FIDTA→Vi).LAi證書發送給Ri，Ri向Vi發送Msg3：{CertLAi(FIDTA→Vi),TS,HMACθi(·)}.

6)Vi收到Msg3后，驗證TS和HMAC.若驗證成功，則Vi將證書CertLAi(FIDTA→Vi)保存.

Fig. 6 Pseudonym request of vehicle圖6 車輛假名請求

上述認證過程中，RSU通過式(2)判斷式(1)是否成立，以判斷與RSU進行認證的車輛是否是合法車輛.

s=(αV+βV+nV)(AR+φRBR+PKTA)=(αV+
φVξV+SKTA+nV)(αRP+φRξRP+SKTAP)=
(AV+φVBV+PKTA+NV)(αR+βR)=s.

(2)

4.3.2 車輛假名請求

車輛完成與LA的身份認獲得LA頒發的證書后，可以向LA提出假名請求，LA將為該車輛提供假名生成、假名管理等服務.LA為車輛車輛生成的假名有2種，分別為認證假名和通信假名，認證假名負責認證車輛的身份合法性，通信假名負責其他場合的通信(例如發送周期性安全信息等)，LA每次為車輛生成1個認證假名和若干通信假名.

車輛Vi向LAi申請假名的過程(圖6)如下：

2)Ri收到Req后，驗證TS.驗證通過后，Ri將Req發送給LAi.

4.4 車輛假名存儲

LA為車輛生成假名后，將假名存儲到MEC云的MEC服務器中，MEC服務器利用同態加密技術輔助LA對車輛的假名進行管理.

如圖7所示，假名存儲過程為：

Fig. 7 Storage of vehicle pseudonym圖7 車輛假名存儲

4.5 惡意車輛追溯

惡意車輛可能會為了自身利益發送虛假的消息，例如發送虛假的路況信息以方便自己出行、在發送交通事故時發送虛假信息以逃避責任等.道路上的車輛和RSU若發現周圍車輛發送了違規消息或惡意消息，可以向LA舉報，LA核實后上報TA，由TA對該車輛的真實身份進行追溯.

以車輛Vi舉報違規車輛Vj為例，具體過程如圖8所示：

1) 車輛Vi發現違規車輛Vj后可以向MEC云的LA發送舉報消息inform：{sort,EPKLA(FIDVi,CertLA(FIDVi)),PIDVj,TS,SigSKVi(·)},其中sort是Vj的違規類型，FIDVi表示車輛Vi正在使用的認證假名，PIDVj表示車輛Vj發生違規行為時使用的通信假名.

2) LA收到inform后，先驗證驗TS和簽名.驗證通過后，用私鑰SKLA解密獲得FIDVi和CertLA(FIDVi)，并驗證證書的有效性.驗證通過后，LA驗證Vj是否確實有違規行為，若車輛Vj確實有違規行為，則LA執行算法FHE.Enc(pk,PIDVj)生成E(PIDVj)，并通過E(PIDVj)在MEC服務器中找到E(TLA→Vj).

3) LA執行算法FHE.Add(E(FIDLA→Vj),E((PID1)LA→Vj),…,E((PIDN)LA→Vj))得到：

Fig. 8 Track identity of vehicle圖8 車輛身份追蹤

4) LA將E(SVj)發送給TA，TA執行算法FHE.Dec(sk,E(SVj))得到SVj，然后計算得到H(SVj‖SKLA).

5) TA通過H(SVj‖SKLA)在云服務器的假名總表中找到車輛Vj最初的認證假名FIDTA→Vj，TA根據FIDTA→Vj得到車輛Vj的真實身份信息IDVj=FIDTA→Vj⊕H(SKTAAVj).

5 安全性證明

我們將證明車輛身份認證方案及車輛假名存儲方案達到了選擇明文不可區分性.

挑戰：

證畢.

定理2.如果SD假設成立，則車輛假名存儲方案在選擇明文攻擊下具有不可區分性.

證畢.

6 安全性分析

我們將對車輛的匿名性、消息的完整性以及消息的不可否認性進行安全性分析.

6.1 車輛的匿名性分析

車輛在行駛過程中使用假名而非真實身份與車聯網中的其他實體通信，其中假名分為認證假名和通信假名.

對于車輛的第1個認證假名FIDTA→V=IDV⊕H(αVPKTA)，其中，IDV在車輛注冊時TA生成，只有車輛和TA持有；αV是車輛私鑰SKV=(αV,βV)的一部分，在第5節中已經證明攻擊者由車輛的公鑰得到車輛私鑰的概率可以忽略不計.對于車輛的其他認證假名和通信假名，均由LA為車輛生成，只有LA,TA和車輛持有.

綜上所述，方案滿足車輛的匿名性.

6.2 消息的完整性分析

本方案中使用簽名σSKU(·)或消息認證碼HMACk(·)保證消息的完整性.

在消息Msg1中，簽名σSKTA(·)由TA使用其私鑰SKTA生成，由于SKTA只由TA持有，并且根據2.1節的DL困難問題，攻擊者根據公鑰PKTA=SKTAP推算出SKTA的概率可以忽略不計，攻擊者無法偽造簽名σTA(·)簽名.因此消息Msg1滿足完整性.

在消息Msg2和Msg3中使用HMACθi(·)保證消息的完整性，其中θi是車輛與RSU之間的臨時密鑰，θi通過RSU的公鑰PKR加密發送給RSU，只有通過RSU的私鑰SKR才能解密，攻擊者要想得到SKR=(αR,βR)=(αR,φRξR+SKTA)，需要由PKTA=SKTAP以及PKR=(AR,BR)=(αRP,ξRP)推算出SKTA,αR,ξR，根據DL困難問題，攻擊者得到SKTA,αR,ξR的概率可以忽略不計，即攻擊者獲得θi的概率可以忽略不計，攻擊者無法偽造出HMACθi(·).因此消息Msg2和Msg3滿足完整性.

在消息Req,Rsp,inform中使用SigSKV(·)和SigSKLA(·)保證消息的完整性，其中SKV和SKLA分別是車輛和LA的私鑰.在第5節中已經證明攻擊者通過車輛公鑰PKV得到私鑰SKV的概率可以忽略不計；攻擊者通過PKLA得到SKLA需要解DL困難問題，其概率可以忽略不計.攻擊者無法偽造SigSKV(·)和SigSKLA(·).因此消息Req,Rsp,inform滿足完整性.

綜上所述，方案滿足消息的完整性.

6.3 消息的不可否認性

由于車聯網節點數量眾多，容易存在惡意車輛可能會為了自身利益發送虛假的消息，例如發送虛假的路況信息以方便自己出行、在發送交通事故時發送虛假信息以逃避責任等.因此，本方案中的匿名性是一種條件匿名，當出現惡意車輛時TA能夠根據惡意車輛消息中的假名揭露惡意車輛的真實身份.根據車輛惡意消息中的假名，TA可以在假名總表中查找到該車輛注冊時TA為其生成的第1個認證假名，揭露出該惡意車輛的真實身份信息:

IDV=FIDTA→V⊕H(SKTABV)=
IDV⊕H(αVPKTA)⊕H(SKTAAV)=IDV,

(3)

因此，本方案滿足消息的不可否認性.

本方案與文獻[32-34]的安全性對比如表2所示：

Table 2 Compasison of Security表2 安全性對比

7 性能分析與仿真

本節分析了車輛認證部分和假名請求部分的計算開銷和通信開銷；然后對BGN同態加密算法進行了計算開銷分析；最后，通過仿真實驗，說明方案具有較低的通信時延.

分別使用Tm,Tp,Th,Te表示1次點乘運算、雙線性映射運算、散列映射運算和指數運算所需要的時間，并直接使用文獻[37]中的實驗數據，Tm,Tp,Th,Te分別為1.6 ms,2.7 ms,0.6 ms,0.6 ms.

7.1 車輛認證部分

將車輛認證過程與文獻[34-36]進行計算開銷和通信開銷2方面的對比.

1) 計算開銷

對于計算開銷的對比，將忽略一些對認證過程中計算開銷影響較小的一些計算(如HMAC,XOR運算等).文獻[34-36]與本文的車輛認證過程的計算開銷如表3所示：

Table 3 Computation Costs of Several Schemes表3 各方案的計算開銷

文獻[34]的認證過程包括2次雙線性映射運算、2次點乘運算和1次散列映射運算，計算開銷為2Tp+2Tm+Th=15.2 ms.文獻[35]的認證過程包括3次雙線性映射運算、1次散列映射運算和1次點乘運算，計算開銷為3Tp+Th+Tm=8.1 ms.文獻[36]的認證過程包括4次散列映射運算和3次點乘運算，計算開銷為4Th+3Tm=12.6 ms.本文的認證過程包括2次散列映射運算和點乘運算，計算開銷為2Th+2Tm=6.6 ms.

通過上述分析可以看出，本文的車輛認證過程具有最小的計算開銷.

2) 通信開銷

車聯網中車輛認證的通信開銷一般包括消息主體、時戳、簽名、假名信息、單向散列函數、HMAC等.由于消息主體的大小是一定的，所以主要比較消息主體以外的附加信息.假定時戳所占字節數為4 B，假名信息所占字節數為20 B，簽名所占字節數為40 B，單向散列函數所占字節數為20 B，HMAC所占字節數為15 B.文獻[34-36]與本文的車輛認證過程的通信開銷如表4所示：

Table 4 Communication Costs of Several Schemes表4 各方案的通信開銷

文獻[34]中認證方案的附加信息為簽名、時戳和假名信息，通信開銷為64 B.文獻[35]中認證方案的附加信息主要為簽名和假名信息，通信開銷為60 B.文獻[36]中認證方案的附加信息主要為單向散列函數、時戳和假名信息，其通信開銷為44 B.本方案的附加信息主要為時戳、假名信息和HMAC，通信開銷為39 B.

7.2 假名請求部分

1) 計算開銷

分別使用Tenc,Tdec,Tsig,Tsigv表示執行1次非對稱加密運算、非對稱解密運算、簽名操作和簽名驗證操作所需要的時間， LA和車輛的計算開銷如表5所示：

Table 5 Computation Costs in Vehicle Pseudonym Request表5 車輛假名請求階段計算開銷

2) 通信開銷

在車輛假名請求階段，車輛和LA發送的消息中除消息主體外還包括時戳和簽名.根據7.1節，時戳和簽名所占字節分別為4 B 和40 B.因此車輛假名請求階段的通信開銷為44 B.

7.3 同態加密性能分析

BGN同態加密方案中所涉及的計算主要集中在算法FHE.Enc(·),FHE.Dec(·),FHE.Add(·)中.使用Thenc,Thdec,Tadd分別表示同態加密中加密、解密和同態加所需要的時間.同態加密算法的計算開銷如表6所示：

Table 6 Computation Costs of Homomorphic Encryption表6 同態加密計算開銷

然后分析方案中涉及的同態加密的計算開銷.同態加密的使用主要集中在車輛假名存儲和惡意車輛追溯部分，所以僅分析這2個部分；并且這2個部分的計算操作主要集中在同態加密上，將忽略其他的計算操作.方案中同態加密的計算開銷如表7所示：

Table 7 Computation Costs of Homomorphic Encryption in Our Scheme

Fig. 9 Computation costs of MEC cloud in hmomorphic encryption圖9 MEC云的同態加密計算開銷

從表7中可以看出，在假名管理階段和惡意車輛追溯階段，中央云的計算開銷均為常數.MEC云的計算開銷如圖9所示：

7.4 仿真實驗

我們采用NS2仿真平臺對方案進行仿真，仿真過程中將使用美國聯邦公路管理局公布的真實交通數據[38].實驗主要參數如表8所示：

Table 8 Simulation Parameters表8 仿真參數

通過平均時延對方案整體進行評估.根據文獻[39]，平均時延定義為

車輛數量對平均時延的影響如圖10所示：

Fig. 10 Average delay varying with the number of vehicles圖10 車輛數量對平均時延的影響

8 結束語

針對邊緣數據中心存在泄露車輛假名信息的安全問題，提出了一種面向移動邊緣計算車聯網中車輛假名管理方案.通過邊緣云層為車輛生成身份證書避免了重復的認證過程，減少了車輛身份認證過程所需的開銷，提高了假名更新效率.對邊緣云層的假名信息利用BGN同態加密算法加密，實現了假名的安全存儲.根據假名表計算出的對應查找詞可以由可信權威中心實現惡意車輛身份的揭露，保證了假名的可追溯.方案保證了車輛認證方案和假名存儲方案的安全性，并實現了車輛身份的匿名性、消息的完整性與不可否認性.性能分析和仿真結果表明方案在滿足車聯網低時延通信的需求同時實現了高效的車輛身份認證.

作者貢獻聲明：韓牟提出了論文創新點，并提供了研究思路；楊晨提出了論文具體方案，并撰寫論文；華蕾和劉帥一起完成了論文修訂；馬世典提供并分析了論文的實驗數據.