面向自動駕駛的高效可追蹤的車聯網匿名通信方案

侯慧瑩 廉歡歡 趙運磊,2

1(復旦大學計算機科學技術學院 上海 200433)

2(綜合業務網絡國家重點實驗室(西安電子科技大學) 西安 710071)

(860963890@qq.com)

車聯網是移動自組網的一種變體，它在過去的幾年里得到了廣泛的研究[1-4].在自動駕駛系統中，車輛通過裝備的車載單元(on board unit, OBU)定期地向附近的車輛和路側單元(road side unit, RSU)廣播周圍的交通狀況[5-9].附近的車輛和RSU可以根據收到的交通狀況消息及時地做出反應來避免交通混亂，比如交通擁堵，交通事故等.

近年來，隨著人工智能技術的迅猛發展，也給車聯網帶來了新的發展機遇.2020年7月27日由國家標準化管理委員會、中共中央網絡安全和信息化委員會辦公室、國家發展和改革委員會、中華人民共和國科學技術部、中華人民共和國工業和信息化部5部門聯合發布的《國家新一代人工智能標準體系建設指南》[10]的核心內容之一就是“人工智能與車聯網的結合”.作為人工智能和車聯網相結合的產物，自動駕駛也得到了廣泛的關注.

但自動駕駛依賴于精確的位置和時間信息，這將導致嚴重的隱私泄露[11].這是因為攻擊者可以根據這些位置和時間信息重構出車輛的行駛路徑.一般情況下，車輛的駕駛員是固定的[12]，攻擊者根據車輛的行駛路徑可以進一步獲得車輛的身份和駕駛員信息，以及其他的隱私信息.為了解決上述隱私泄露問題，需要打破位置和車輛身份之間的對應關系.

一種最直接的方法是“位置模糊”.但“位置模糊”會導致無法實現自動駕駛.這是因為后臺人工智能算法要根據車輛傳感器收集到的路況信息以及車輛的位置信息來為車輛規劃出下一步的行駛路線.另一種有效的方法是在通信過程中隱藏車輛的真實身份.為了保護車輛身份的隱私性，涌現出一系列基于假名機制的車聯網匿名通信方案.不過需要注意的是，1個假名是遠遠不夠的[13].攻擊者還是可以輕易地將收集到的假名的位置信息與特定的車輛聯系起來.

為了解決上述問題，現存的許多匿名通信方案[14-26]都建議每輛車預先存儲大量的假名，以便定期更換假名.然而，即使定期更換假名可以在一定程度上保護了車輛的行駛路徑不被泄露.但攻擊者仍然可以利用多重假設跟蹤(multiple hypothesis tracking, MHT)技術重構出車輛行駛路徑，詳情見第2節.

為了保護車輛行駛路徑不被泄露，研究人員提出了多種假名更換策略以降低MHT成功的概率，如設置驅動速度作為假名更換[27]的觸發點，在特定區域(混合區)[28]或特定時間(沉默期)[29]更換假名.總之，假名更換越頻繁，抵御MHT的效果就越好.但頻繁更換假名會給資源受限的網絡帶來沉重的存儲負擔.因此，怎樣設計一個面向自動駕駛的高效可追蹤的車聯網匿名通信方案仍需要進一步探索.

本文貢獻可以歸納為3個方面：

1) 提出了一個面向自動駕駛的高效可追蹤的車聯網匿名通信方案.在本文方案中，車輛由1個由多輛車共享的屬性集合表示.由于屬性集與車輛之間的1對多的關系，車輛的匿名性能自然地得到實現.此外，在本文方案中，指令消息以密文形式進行傳輸，也允許可信的權威(trusted authority, TA)通過傳輸的指令消息對惡意的車輛進行追溯和懲罰.

2) 設計了一個高效的簽密方案.本文將認證加密(authentication encryption, AE)融合到傳統的屬性加密方案中設計出一個簽密方案.該簽密方案相較于現存的屬性基簽密方案是高效的，更適用于自動駕駛場景.

3) 通過形式化的安全性分析和一系列仿真實驗證明本文方案是安全和高效的.

1 相關工作

為了保護車輛行駛路徑不被暴露，研究學者們提出了許多基于公鑰加密、身份基加密、群簽名和無證書的匿名通信方案[9，14-15,17-18,30-39].然而，由于需要頻繁地更新假名或私鑰，上述所有方案都給車輛帶來了沉重的計算和存儲負擔.

在基于公鑰加密的方案[14-15,17]中，公共基礎設施(public key infrastructure, PKI)須向車輛用戶頒發公鑰證書.由于需要頻繁地更換假名，在基于公鑰加密的方案中，每輛車都要預先存儲大量的公私鑰對和公鑰證書，這給資源受限的車輛帶來了沉重的存儲負擔.與基于公鑰加密的方案相比，身份基的匿名通信方案[18,30]不再需要給車輛頒發公鑰證書.基于身份的匿名通信方案依靠可信的權威機構來為每輛車生成假名.同時車輛也需要預先存儲大量的假名.為了降低車輛的存儲負擔，提出了基于群簽名和無證書的匿名通信方案[31-32,38-39].然而，上述提及的通信方案[14-15,17-18,31-32,38-39]方案均不能同時實現傳輸消息的保密性和車輛身份的隱私保護，且大部分都不支持對惡意車輛的追責.

為了同時實現車輛身份的隱私保護、傳輸消息的保密性以及對惡意車輛的追溯，Cui等人[8]提出了一種基于屬性的動態屬性通信框架.但是，在該方案中，車輛的密鑰長度太長且計算開銷大.具體地，車輛的密鑰長度與|W|·|Path(x)|成正比，其中|W|表示為車輛擁有的屬性集合W包含的屬性的個數，|Path(x)|表示代表車輛的葉子結點x到二叉樹根結點路徑Path(x)包含的結點個數.文獻[8]中的方案給車輛造成了較大的存儲負擔，如何設計一個面向自動駕駛的高效可追蹤的車聯網匿名通信方案是十分有意義的.

2 背景知識

1) 雙線性映射

設G1，G2，GT為3個大素數p階的乘法循環群.g1，g2分別是群G1，G2的生成元.雙線性映射是一個具有3個特點的映射e:G1×G2→GT:

① 雙線性.對任意的g1∈G1,g2∈G1以及a,b∈

② 非退化性.g1和g2分別是群G1和G2的生成元，e(g1,g2)≠1.

③ 可計算性.對所有的g1∈G1,g2∈G2，e(g1,g2)都是可以高效計算的.

設G1，GT為2個大素數p階的乘法循環群，g1為群G1的生成元，那么e:G1×G1→GT為雙線性映射.

2) 離散對數問題

離散對數問題指的是，給定素數p階循環群G1的生成元g,gx∈G1,x∈計算x.

3) 雙線性Diffie-Hellman判定問題

4) 認證加密

簡而言之，在認證加密方案中，密文C不僅包含有加密后的消息M也包含有關聯數據H(例如1個數據包或1個IP地址)[40].關聯數據H是用于驗證的，它的內容一般由上下文來決定.

5) 訪問控制樹

在訪問控制樹中，可以使用1組描述性屬性對密文進行標記.訪問控制樹的結構可以確定解密密文的私鑰集合.每棵樹的內部結點是1個閾值門，葉子與屬性相關聯.只有當分配給樹結點的密文屬性與要求一致時，用戶才能用給定的密鑰解密相應的密文.

1個訪問控制樹的每個非葉子結點代表1個閾值門，由其子結點和1個閾值描述.numx表示結點x的孩子數，vx為該結點的閾值，其中0

為了使訪問控制樹更加方便實用，定義了一些函數.定義parent(x)表示為結點x的父結點.當x為葉子結點時，att(x)表示為其代表的屬性.訪問控制樹中也定義了結點x的孩子們的順序，從1到numx.index(x)為結點x為其父結點的第x個孩子.

令訪問控制樹Γ的根結點為r.Γx表示為其根結點為x的Γ的子樹.如果屬性集合W滿足訪問控制樹Γx，則Γx(W)=1.Γx(W)的計算方式為：如果x為非葉子結點，計算其所有孩子x′的Γx′(W)，至少vx個孩子結點返回1時，Γx(W)才等于1；如果x為葉子結點，只有當att(x)∈W時，Γx(W)才等于1.

6) 多重假設跟蹤(MHT)

如圖1所示，多重假設跟蹤技術可以根據一段時間內的確定軌跡猜測出用戶更長一段時間內的行駛路徑.例如，我們現在知道了假名一段時間內的確定軌跡(1,2).根據確定的軌跡，MHT通過卡爾曼濾波器來預測下一假名時間段內的位置(3)[13].然后，MHT接收到2個測量值A和B，它們可以與現有的軌跡相關聯，也可以作為新軌跡的起點.根據MHT理論，每條假設路徑都用概率進行了標記.如圖1(a)所示，最有可能的關聯值是B=3，因為B比A更接近估計位置3.接下來，MHT分別基于優先路徑A和(1,2,B)估計位置2和4.在接收到2個新的測量值后，MHT計算每個假設的概率.如圖1(b)所示，D既不接近4也不接近2，得到的P21和P22會很小.因此，當考慮這2個步驟時，如圖1(c)所示，假設路徑(1,2,A,C)是車輛最可能行駛的路徑.

Fig.1 The example of MHT圖1 MHT示例

Fig. 2 The system model of this paper圖2 本文的系統模型

3 系統模型和安全模型

3.1 系統模型

如圖2所示，本文的系統模型包含了4種不同的實體：可信的權威(TA)、交通控制中心、路側單元(RSU)以及車載單元(OBU).

1) 可信權威(TA).TA是一個具有大量計算資源的可信第三方.實際上，自動駕駛是一種按需服務的交通服務系統.該服務提供方就可作為系統模型中的TA，它只為訂購自動駕駛的用戶提供服務.當RSU和OBU想要加入到自動駕駛系統時，TA為其提供離線的注冊服務.注冊完成后，RSU和OBU可以將系統參數和密鑰通過離線的方式預下載到本地.根據OBU和RSU的要求，TA還可提供其他一些服務.所有車輛進入系統前必須通過離線的方式向TA登記詳細的身份信息.在系統中，車輛需要直接向TA中提供必要的信息，如姓名、電話、地址等.在本文的系統模型中，TA還作為一個仲裁機構，是唯一可以在傳輸的消息中提取發送方身份信息的實體.

2) 交通控制中心.交通控制中心是一個具有豐富計算資源并擁有人工智能算法的實體.在自動駕駛系統中，交通控制中心可以根據車輛搜集到的交通狀況信息通過人工智能算法為用戶規劃下一步的行駛路線.

3) 路側單元(RSU).RSU通過無線信道與被覆蓋區域內的車輛以及其他的RSU進行通信.RSU是半可信的.當RSU受到攻擊時，它可以向對手泄露機密數據.為了防止硬件發生故障，所有RSU都應該受到監視，比如閉路電視或攝像機.

4) 車載單元(OBU).每輛車上都裝備有車載單元OBU.車輛通過自身裝備的OBU與其他車輛和RSU的通信.通過定期廣播交通狀況，比如位置、速度和緊急事件，OBU可以幫助其他車輛改變它們的運動軌跡來避免交通擁堵或交通事故.

3.2 設計目標

一個安全的面向自動駕駛的高效可追蹤的車聯網匿名通信方案應該滿足5個要求：

1) 機密性.只有屬性集合滿足密文訪問控制結構的車輛才能對密文進行正確的解密.

2) 匿名性.接收者不知道哪輛車發送的消息.有且只有TA能追蹤到消息的發送方.

3) 可追溯性.在車聯網中，TA可以準確地捕獲信息的發送者，并對惡意車輛進行懲罰.

4) 抗多重假設跟蹤.敵手無法通過使用MHT技術來重構出車輛的行駛路徑.

5) 抗假冒攻擊.一個有效的接收者不能假裝成另一接收者與其他車輛通信.

3.3 定 義

定義1.一個面向自動駕駛的高效可追蹤的車聯網匿名通信方案由6種算法組成:Join,Setup,KeyGen,TransMessage-Generation,Message-Veri-fication,Tracking.這些算法的詳細定義為：

Join(name,address,mobilenumber)→(rid,pwd).該算法由TA執行.它以車輛用戶的姓名、地址和手機號碼作為輸入.然后，輸出車輛的真實身份rid和相關的OBU的訪問密碼pwd.

Setup(1k)→(par,msk).該算法由TA執行.它以安全參數k為輸入，輸出系統的公開參數和主私鑰msk.

TransMessage-Generation(par,W,sks,H,M)→C或⊥.這是一個概率算法.它以系統的公開參數par、發送者的私鑰sks、消息M、屬性集合W以及關聯數據H為輸入，其輸出傳輸消息的密文C或者⊥.⊥代表程序運行失敗.

KeyGen(par,msk)→sk.該算法由TA執行.它以系統的公開參數par、主私鑰msk為輸入，其輸出用戶的私鑰sk.

Message-Verification(par,C)→M或⊥.這是一個確定性的算法.它以系統的公開參數par和密文C為輸入.如果通過了驗證算法，該算法輸出消息M，否則輸出⊥.

Tracking(id,msk)→rid.該算法由TA執行.它以id=ridmsk以及主私鑰msk為輸入，而后輸出發送者的真實身份rid.

3.4 安全模型

定義2.如果在選擇集合安全模型下所有的多項式時間敵手獲得勝利的概率均是可以忽略的，那么本文中面向自動駕駛的高效可追蹤的車聯網匿名通信方案是安全的.

本文認為接收者不是完全可信的.滿足訪問控制結構的接收方可能希望在下一次與其他車輛的通信中假冒此次通信的發送方.因此，密文中包含的發送者身份信息應該是一次性的.也就是說，即使有效的接收方知道發送方的身份信息，也不能冒充發送方與其他車輛或RSU進行通信.考慮到上述情況，給出了下面的安全定義.

定義3.如果任何有效的接收方都不能偽裝成相應的接收方與其他車輛進行下一次通信，那么我們可以說本文提出的面向自動駕駛的高效可追蹤的車聯網匿名通信方案是可以抵御假冒攻擊.

4 本文方案

在實際應用中，可以使用1組屬性集合{省，市，街道，RSU}，{市，街道，RSU}或者{街道，RSU}來代表車輛或RSU，相應的TA分別管理1個國家、1個省或者1個直轄市.在本文方案中，TA管理1個國家.為了將每一個屬性映射到中1個元素，本文對所有屬性進行了編號.一般情況下，1個國家的省或直轄市的數量和每個城市的區或縣的數量變化很小.為了將屬性集合映射到可以按照省、市、街道、RSU的順序進行連續編號.為了可以支持省、市、街道、RSU數量的變化，每部分可以酌情預留出一些元素.例如，n1-24為上海市區或縣的數量與為區屬性預留出來的元素個數的總和，n2-n1-1表示為上海市楊浦區的街道個數與為街道屬性預留出來的元素個數的總和.TA負責治理1個國家，而后對全國所有省份進行編號，如上海為1、山東為2、河南為3等.進一步，可以對這個省的所有城市、街道和RSU進行編號.例如，屬性集合{上海，楊浦，邯鄲，RSU1}可以表示為W={1,24,n1+1,n2+1}.

Fig.3 The number of attributes圖3 屬性的編號方式

為了實現可追溯性，密文應該包含發送者身份的相關信息，只有TA可以根據這些相關信息跟蹤發送者的身份.此外，車聯網要求極高的實時性，密文應包含時間信息，以防止重放攻擊.

本文詳細描述了提出的抗MHT車輛網匿名通信方案的6種算法.

1)Join(name,address,mobilenumber).當車輛首次加入系統時，它首先離線地向TA完成注冊.注冊時，車輛擁有者需要向TA提交一些必需的信息，如姓名、車牌號、地址以及手機號.注冊成功后，TA為該車輛頒發1個唯一的車輛表示RID以及車載單元的訪問口令pwd.在這里，OBU是車輛的防篡改設備，如果用戶想訪問它的rid，他需要使用相關的OBU的訪問口令pwd.

2)Setup(1k).假設所有省、市、街道以及RSU的總數量為n.而后，本文使用中前n個元素代表屬性集合，也就是屬性集合可以表示為U={1,2,…,n}.而后，為每個i∈U選擇1個隨機數ti∈p.最后，選擇隨機數y1←p,y2←并計算Y=,id=(rid)y2.最后，TA將id通過安全信道發送給車輛.

主私鑰為msk={t1,t2,…,tn;y1,y2}.

3)TransMessage-Generation(par,W,id,H,M).令SE=(KSE,Enc,Dec)為認證加密算法.M∈{0,1}*為消息，H∈{0,1}*為關聯數據，W?U為屬性集合.KDF:GT×GT→{0,1}*表示為密鑰推導函數，在實際中可以視為一個隨機預言機.

為了傳輸消息M∈{0,1}*，發送者進行5個操作：

① 選擇隨機數x←并生成

② 計算預共享密鑰PS=e(g1,Y)x；

③ 計算密鑰k1=KDF(X,PS)；

④ 計算CAE←Enck1(H,M‖id‖Ti)，其中id=(rid)y2，Ti為時間戳.

⑤ 廣播傳輸消息C=(H,X,CAE).

4)KeyGen(par,msk).TA為擁有屬性集合為W的接收者生成解密密鑰D.當且僅當Γ(W)=1時，擁有解密密鑰D的接收者可以解密密文C.TA進行2個操作：

① 以從上到下的方式，從根結點r開始為訪問控制樹Γ中的每個結點w選擇一個多項式qw.每個結點w的多項式qw的秩為dw=vw-1，這里的vw為該結點的閾值.對于根結點r，令qr(0)=y，對多項式qr的其他dr點進行隨機定義.對于樹中的其他結點w，令qw(0)=qparent(w)(index(w))，多項式中的其他點也是隨機進行定義.

② 對于每個葉子結點，將下面的秘密值發送給接收者：

其中，i=att(x).

解密密鑰D為所有這些秘密值的集合.

5)Message-Verification(par,C).當收到密文C=(H,X,CAE)后，接收者向TA發送解密密鑰請求.收到請求后，TA進行3個操作.

② 獲得PS之后，計算密鑰k1=KDF(X,PS).

③ 計算H,M,id,Ti←Deck1(H,M‖id‖Ti).

解密后，接收者首先驗證解密得到的關聯數據H是否與明文發送的關聯數據相同.如果相同，再驗證時間戳Ti是否與系統時間相吻合，如果是，接收消息M并保存id.否則，返回⊥.

6)Tracking(id,msk).當TA需要追溯消息的發送者時，它可以通過2種方式來獲得車輛的rid.其中一種是通過解密密鑰D解密密文C，得到id=(rid)y2，而后用主密鑰y2得到rid.另一種方法是接收者向TA發送追溯請求，而后將id=(rid)y2發送給TA.而后用主密鑰y2得到rid.TA追溯到惡意發送者后對其進行懲罰.

5 安全性分析

本節通過機密性、匿名性、可追溯性、抗多重假設跟蹤、抗假冒攻擊5個方面證明本文方案是安全的.

定理1.機密性.假設在雙線性群中DBDH問題是困難的，并且用于生成密文的認證加密是安全的.在該方案中，對于不擁有符合密文訪問控制結構的屬性集的敵手，是不能解密密文的.

下面定義了2種程序PolySat和PolyUnsat.

PolySat(Γx,W,λx).該算法的目標是為滿足Γx(W)=1的結點選擇多項式.該算法的目標是以訪問控制樹Γx、屬性集合W以及整數λx∈p作為輸入.首先，對于根結點x，為其分配一個階為dx的多項式qx，令qx(0)=λx.并隨機地定義多項式總的其他點以固定多項式qx.而后，調用為結點x的每個子結點x′分配多項式，令qx′(0)=qx(index(x′)).

PolyUnsat(Γx,W,gλx).該算法的目標是為滿足Γx(W)=0的結點選擇多項式.該算法的目標是以訪問控制樹Γx、屬性集合W以及整數gλx∈G1作為輸入.首先，對于根結點x，為其分配一個階為dx的多項式qx，令qx(0)=λx.由于Γx(W)=0，小于dx個x的孩子可以滿足要求.假設hx≤dx為結點x的孩子數.為每個孩子結點x′設置qx(index(x′))=λx′.

為了計算該算法其他結點的多項式，對每個結點x的子結點x′，調用算法：

①PolySat(Γx′,W,qx(index(x′))).如果x′為內部結點，qx(index(x′))是已知的.

②PolyUnsat(Γx′,W,gqx(index(x′))).如果x′為非內部結點，那么只有在差值gqx(0)已知的情況下才能獲得gqx(index(x′)).

在這種情況下，結點x的每個孩子結點都有qx′(0)=qx(index(x′)).

Z=PS=(g,Y)x=(g,gab)x.

如果μ=0，那么Z=e(g,g)ab.如果令x=c，可以得到Z=PS=(g,g)abc.如果μ=1，Z=e(g,g)z.

從上述4個階段中可以看出，參數和私鑰的生成都與真正的方案相同.

證畢.

定理2.匿名性.除了TA，沒有人可以知道消息發送者的真實身份.

證畢.

定理3.可追溯性.該方案允許TA追溯到惡意的發送者并對其進行懲罰.

證明. 車輛的真實身份包含在id=(rid)y2中，TA可以通過使用擁有的主私鑰y2得到rid.因此，本文提出的抗MHT的車聯網匿名安全通信方案實現了對惡意車輛的可追溯性.

證畢.

定理4.抗多重假設跟蹤.在本文方案中，對手不能利用MHT技術重構出車輛的行駛路徑.

證明. 在本文方案中，每輛車都用1個由多輛車共享的屬性集來表示.因此，即使在同一區域，也可能有多個車輛具有同一屬性集.在這種情況下，對手無法在短時間內得到確定的路徑作為MHT算法的輸入，使得敵手無法運行MHT算法來重構車輛的路徑.因此，本文提出的抗MHT的車聯網匿名安全通信方案抗多重假設跟蹤.

證畢.

定理5.抗假冒攻擊.沒有一輛車能假冒另一輛合法車來給進行通信.

證明. 為了假冒成其他的車輛或者RSU，敵手必需產生合法的密文C=(H,X,CAE)，其中CAE←Enck1(H,M‖id‖Ti).該id是由TA根據車輛的真實身份rid生成的，每次信息傳輸時，id值是不同的.因此，對手不能偽造出合理的密文.總體而言，本文提出的抗MHT的車聯網匿名安全通信方案能夠抵御假冒攻擊.

證畢.

6 性能評估

本節首先對本文提出的方案進行了定性評估.而后，將本文方案與最近提出的方案[23,25-26,41]進行了功能性的對比.最后通過一系列仿真實驗驗證了該方案的有效性.

本文用到的雙線性映射定義為e:G1×G1→GT.為了方便表示，定義以下符號來表示方案中的操作：令Hash，Exp(G1)和Mul(G1)分別表示一個散列操作、一個群G1中的模冪操作和一個群G1中的模乘操作.同樣地，Exp(GT)和Mul(GT)分別表示一個群GT中的模冪操作和一個群GT中的模乘操作.Pair表示為一次雙線性映射操作.令屬性集合為W，|W|表示屬性集合中包含的屬性個數.令Enc和Dec分別表示認證加密中的加密和解密操作.

1) 性能分析

Table 1 Performance Analysis of the Proposed Scheme表1 本文方案的性能分析

2) 功能對比

將本文的方案與9個相關文獻[8-9,23,25-26,33-35,41]進行了功能對比.如表2所示，文獻[33-35]不滿足匿名性.也就是，在文獻[33-35]中，車輛在通信中不能夠隱藏真實身份，這嚴重侵犯了車輛的身份隱私.文獻[25-26]不能抵御假冒攻擊.也就是，在文獻[25-26]中，一個惡意的敵手可以偽裝成另一輛合法車輛與其他車輛進行通信.文獻[23,25-26]不能抵御篡改攻擊，惡意的敵手可以通過篡改傳輸中的交通狀況信息來制造交通事故.文獻[8-9,33-35]不能抵御重放攻擊.一個惡意的接收方，可以冒充成之前與其通信的發送方車輛向其他車輛發送之前它接收到的消息.文獻[23,25-26,33-35,41]不能保證傳輸消息的機密性.文獻[25-26]不能實現可追溯性，無法完成對惡意車輛的追責.文獻[9,23,25-26,33-35,41]均不能抵御MHT.敵手可以使用MHT技術完成對文獻[9,23,25-26,33-35,41]中車輛行駛路徑的重構.總的來說，本文的方案是唯一能夠滿足匿名性、抗假冒攻擊、篡改攻擊和重放攻擊、可追溯性、機密性和抗MHT的方案.

3) 實驗結果

本節首先評估了本文方案在普通消息數量和大量消息數量這2種不同場景下的性能.我們設定普通消息數量在0～100之間，大量消息數量在1～1 000之間.之后，我們將結果與現存的先進的文獻[8-9,33-35]進行比較.

在本節中，我們通過實驗來評估本文方案的性能.仿真實驗代碼是使用C++編寫的，運行在Intel處理器為2.30 GHz和8 GB內存的Linux服務器上.這些實驗是在基于配對的密碼學庫[42](版本為PBC 0.5.14)和GNU多精度算法[43]的幫助下完成的.在實驗中，我們使用PBC中的參數a.param來設置基礎字段大小為320 KB,分為16 384塊,p中一個元素的大小是20 b.

Table 2 Function Comparison Among the Proposed Scheme and the Related Schemes表2 本文方案與相關方案的功能對比

① 在普通消息數量以及大量消息數量條件下本文方案的性能.為了評估發送方的計算開銷，我們評估了密文生成需要的計算時間.在實驗中，消息塊分別從0增加到100和1 000個.如圖4所示，在一般消息數量下，密文生成的時間成本隨消息塊的數量線性增加.具體而言，密文生成的時間為0.162～1.613 s.如圖5所示，在大量消息數量下，密文生成時間為0.162～15.288 s.顯然，這對發送者來說是完全可以接受的.

Fig. 4 Computation overhead of the sender圖4 發送者的計算開銷

Fig. 5 Computation overhead of the sender圖5 發送者的計算開銷(大量消息)

對于接收到的不同數量的消息，我們分別給出了在普通消息數量(0～100)以及大量消息數量(0～1 000)下的接收方的計算開銷.如圖6所示，接收者消息驗證的計算開銷隨著發送消息的數量線性增加.接收者的計算開銷從0.18～1.825 s不等.如圖7所示，在消息數量為0～1 000時，接收方的計算開銷從0.18 s增加到17.98 s.

Fig. 6 Computation overhead of the receiver圖6 接收者的計算開銷

Fig. 7 Computation overhead of the receiver圖7 接收者的計算開銷(大量消息)

Fig. 8 Computation overhead of the sender圖8 發送者的計算開銷

Fig. 9 Computation overhead of the receiver圖9 接收者的計算開銷

② 在普通消息數量條件下本文方案與文獻[8-9,33-35]方案的性能比較.為了評估在一般消息數量的條件下，本文方案相較于文獻[8-9,33-35]方案在性能方面是否有優勢，我們分別將本文方案的發送方生成密文所需的計算時間以及接收方解密消息所需的計算時間與文獻[8-9,33-35]方案進行了對比.如圖8所示，文獻[8]方案所需的密文生成計算時間最長.具體地，隨著消息數量的增加，文獻[8]方案的發送方所需的計算時間從0 s增加到5.23 s.文獻[9,33,35]方案的發送方的計算開銷均大于本文方案.本文方案與實現相同功能的文獻[8]方案相比是非常高效的.同樣地，如圖9所示，文獻[8]方案所需的密文解密計算時間最長，本文方案所需的密文解密計算時間最小.綜上，本文方案與實現相同功能的方案相比是非常高效的.

7 總 結

本文提出了一個面向自動駕駛的高效可追蹤的車聯網匿名通信方案.在本文方案中，車輛由多輛車共享的屬性集表示.由于屬性集與車輛之間的1對多的關系，車輛的匿名性能自然地得到實現.此外，在本文方案中，指令消息以密文形式進行傳輸，也允許可信的權威(TA)通過傳輸的指令消息對惡意的車輛進行追溯和懲罰.此外，本文在屬性基加密方案中融合了認證加密設計了一種簽密方案作為底層技術支持本文提出的匿名通信方案.該簽密方案相較于現存的屬性基簽密方案是高效的，更適用于自動駕駛場景.通過對其安全性的分析，該方案在安全性和效率上均達到了預期的效果.

作者貢獻聲明：侯慧瑩負責算法與仿真實驗的設計、實驗數據的分析與處理、論文撰寫；廉歡歡負責論文寫作檢查與修改；趙運磊負責算法設計、論文檢查與修改.