V2V 車聯網中隱私保護性異構聚合簽密方案

牛淑芬，閆 森，呂銳曦，周思瑋，張美玲

（1.西北師范大學 計算機科學與工程學院，蘭州 730070；2.西北師范大學 數學與統計學院，蘭州 730070）

0 概述

計算機系統和無線網絡通信技術的快速發展擴大了智能交通系統的應用范圍。車聯網正在成為智慧交通的重要組成部分，車聯網通過車載單元、路側采集模塊、車路通信單元等設備實現車輛運行數據的實時采集，進而搭建監測大規模車輛實時運行信息的數據平臺，并提供各類數據服務。由于交通密度的增加，交通堵塞、事故的發生率也大幅增加，車聯網已經成為道路安全和交通管理等特定應用的重要研究領域，它允許車輛和基礎設施交換信息，確保道路安全和有效的交通管理。在車聯網中，車輛對一切（V2X）的通信主要分為車輛對基礎設施（Vehicle-to-Infrastructure，V2I）和車輛對車輛（Vehicle-to-Vehicle，V2V）［1］。V2I 通信允許車輛在駕駛時向路邊單元（Road-Side-Unit，RSU）發送消息，V2V 通信可以實現相鄰車輛之間的信息交換。V2V 通信技術允許相鄰車輛傳輸或交換信息，可以提高道路安全，減少交通擁堵，提供高效的交通管理。目前，V2V 通信中存在的主要問題是如何提高數據交換的準確性和及時性。明文信息很容易被截獲和篡改，車輛無法區分收到的信息是否真實，并且車輛更愿意相信經過認證的機密信息。因此，消息的認證和抗篡改成為V2V 安全通信最重要的要求。

在車聯網通信中最重要的是安全性要求，如機密性、車輛身份驗證、消息的完整性和不可否認性。在一般情況下，機密性通過加密方案獲得，車輛身份驗證、完整性和不可否認性通過數字簽名方案［2-4］獲得。車載自組網（VehicularAd-hoc Networks，VANET）中的安全消息需要簽名，但不需要加密。然而，在廣播網絡中，這樣的消息可能會被竊取或截獲。因此，需要確保惡意的第三方不能輕易獲得該消息的內容。解決這個問題的一種方法是使用簽名加密，它不僅按照傳統方法的要求對消息進行簽名，而且還對其進行加密。因此，在車聯網中使用簽密是必要的。簽密作為一種新的密碼原語于1997 年由ZHENG［5］提出，它可以將數字簽名和加密同時實現，其成本要比簽名后加密或加密后簽名的成本小得多。

隨著移動通信行業的發展，5G/6G 網絡成為目前研究的熱點。為滿足5G/6G 車聯網的不同需求，人們引入網絡切片技術［6-8］。由于不同的網絡切片可能使用不同的密碼系統和密碼系統參數，研究人員提出了異構簽密方案。2010 年，SUN 等［9］提出異構系統簽密，并對其進行了安全性證明，但他們的方案容易受到內部攻擊，并且也不能實現不可否認性。文獻［10］提出一種針對內部攻擊的異構簽密方案。然而，該方案只允許基于身份的密碼系統（IBC）中的車輛發送消息給公鑰基礎設施（PKI）中的接收車輛，并且沒有考慮發送方的隱私。文獻［11］提出兩種異構簽密方案來保證VANET 中異構V2V 通信的安全：一種方案是PKI 中的車輛將消息發送給IBC 中的車輛；另一種方案是將兩者的身份進行互換。然而，在這兩種方案中，發件人的隱私并沒有得到保證。文獻［12］提出了兩個與文獻［9］方案相似的簽密方案，保證了VANET 中異構V2V 通信的安全，但不能保證車輛的隱私和可追溯性。此外，它們不支持對多個密文的批處理解簽密。文獻［13］提出了4 種簽密方案來保證異構V2I 通信的安全，因為這些方案具有較大的計算量，并不適用于V2V 網絡。文獻［14］提出基于邊緣計算的無證書聚合簽密方案，雖然無證書密碼體制可以防止公鑰替換攻擊以及密鑰托管問題，但其偽身份的產生、車輛與路邊單元的傳輸都需要很長的計算時間，不能及時進行通信。文獻［15］提出一種適用于車聯網的高效簽密方案，雖然沒有使用雙線性對運算，但采用大量的指數、乘法運算，并且該方案只考慮了一對一的通信，未考慮多個發送者的情況。

為滿足車聯網場景中對時延及可靠性的需求，本文將網絡切片與車聯網相結合，提出一種PKI 和IBC 公鑰密碼系統之間多對一的異構簽密方案，確保在PKI 密碼體制網絡中將多個車輛的消息傳輸到IBC 網絡中的車輛。該方案使用聚合簽密技術對車輛的多個消息同時進行簽密驗證，以提高算法執行效率，降低通信和存儲成本。

1 相關工作

1.1 V2X 通信

車載自組網是一種移動自組織網絡，它允許車輛和基礎設施交換信息，確保道路安全和有效的交通管理。在VANET 中，每輛車輛都與相鄰的車輛以及RSU 進行通信，這種通信類型通常被稱為V2X 通信，可以分為以下兩種通信方式：

1）車輛與基礎設施之間的通信。在V2I 通信中，主要是RSU 等基礎設施與道路內的每輛車輛之間的通信，車輛將交通信息發送給RSU 處理，RSU與其通信范圍內的車輛進行通信。V2I 系統模型如圖1 所示。

圖1 V2I 系統模型Fig.1 V2I system model

2）車輛與車輛之間的通信。V2V 通信支持道路狀態信息廣播，即使沒有網絡基礎設施覆蓋，車輛也可以進行通信，V2V 系統模型如圖2 所示。車輛將自己的位置和方向發送給其他車輛，車輛也可以接收或交換交通信息，如位置信息、道路擁擠情況等。V2V 通信不依賴于RSU 的位置，更加靈活自由。

圖2 V2V 系統模型Fig.2 V2V system model

1.2 5G/6G 網絡切片

網絡切片是指利用軟件定義網絡（Software Designed Network，SDN）或網絡功能虛擬化（Network Function Virtualizaiton，NFV）［16］等技術，將一個物理基礎設施的計算和通信資源劃分并優化為多個獨立的邏輯網絡，提供各種應用服務。NFV 使用通用硬件實現網絡功能的低成本需求，而SDN 對控制平面與數據平面進行分離，以提供高效、靈活的資源管理［17］。因此，基于NFV 和SDN 的網絡切片可以被認為是5G/6G 網絡中不可或缺的網絡技術。一方面，網絡切片可以挖掘和釋放通信技術的潛力，提高效率，降低成本；另一方面，網絡切片在車聯網、智慧城市、工業制造等領域具有潛在的市場需求。

5G/6G 網絡切片可以分別滿足車聯網對超低時延、高可靠性與超長數據包、超高數據速率和超高可靠性等具體應用的要求［18-20］。從本質上講，它將物理網絡劃分為多個虛擬網絡，每個虛擬網絡對應時延、帶寬和安全性等業務需求中的一個，滿足不同的網絡應用場景。此外，隨著網絡切片代理［21］的引入，5G/6G 網絡切片技術可以實現網絡資源的共享，將原本相互獨立的網絡資源進行整合和分配，從而實現相應特殊需求的網絡資源的實時動態調度。

2 預備知識

2.1 雙線性映射

設兩個不同的循環群G1和G2分別為加法群和乘法群，其階是相同素數p。設e：G1×G1→G2為一個雙線性對的函數，其中P是G1的生成元，滿足下列雙線性對的性質［22-23］：

1）雙線性。存在任意的a,，都有e(aP,bQ)=e(P,Q)ab。

2）非退化性。存在P,Q∈G1，使得e(P,Q) ≠1。

3）可計算性。對于任意的P,Q∈G1，存在有效的算法能夠計算e(P,Q)。

2.2 困難問題

相關的困難問題主要有以下2 點：

1）決策性Diffie-Hellman 問題（DDHP）。在循環加法群G1和其生成元P的基礎下，給定(P,aP,bP,cP)，其中a,b,，求解ab=cmodp。

2）離散對數問題（DLP）。給定(P,αP)，在有限循環群G1及其生成元P的基礎上對進行求解。

3 系統模型與安全模型

3.1 系統模型

本文考慮從PKI 密碼體制到IBC 密碼體制的V2V 異構車輛通信模型，實體包括可信權威（TA）機構、路邊單元（RSU）、車輛（V）、證書權威（CA）機構、密鑰生成中心（PKG），如圖3 所示。從圖3 可以看出，實體可以通過不同的有線通信技術（如以太網）或無線替代技術（如DSRC 協議［24］）通信。

圖3 本文系統模型Fig.3 The system model of this paper

可信權威（TA）機構：在VANET 中，其生成和廣播公共系統參數以及注冊RSU 和車輛。

路邊單元（RSU）：通過無線信道與被覆蓋區域內的車輛以及其他的RSU 進行通信。RSU 將車輛發送過來的信息進行驗證，并將其發送給其他車輛。

車輛（V）：在每輛車輛上安裝OBU 等無線通信裝置，捕捉附近車輛或路邊傳感器的信息。在PKI環境中的發送方車輛，向IBC 環境中的鄰近車輛和RSU 發送消息。

證書權威（CA）機構：對PKI 中的用戶進行身份驗證，并對用戶的公鑰和身份信息進行簽名，產生公鑰證書，將公鑰證書發送給用戶。

密鑰生成中心（PKG）：根據用戶的身份標識產生相對應的私鑰，然后通過安全信道發送用戶的公私鑰對。

3.2 算法定義

本文算法定義如下：

系統建立：該算法由TA 執行，將安全參數k輸入，將系統參數params、系統公鑰mpk 和主密鑰msk輸出。

密鑰生成：PKI 系統中的用戶隨機選取私鑰sk并計算對應的公鑰pk。CA 收到用戶的身份和公鑰后，對其進行簽名并生成公鑰證書。

密鑰提取：IBC 系統中的用戶將身份IDU發送給PKG，PKG 根據身份信息計算相對應的私鑰SIDU，而身份IDU是用戶的公鑰pk。

簽密算法：發送者根據系統參數params、消息mi和接收者的公鑰pkr，使用自己的私鑰sks生成密文σi。

聚合簽密算法：接收者根據收到的密文σi和發送者的公鑰pks，使用自己的公鑰IDr生成聚合簽密密文σ。

聚合解簽密算法：接收者通過給定的密文σ和發送者的公鑰pks，用自己的私鑰SIDr對σ解簽密，輸出明文mi。

3.3 安全模型

為保證消息傳輸過程的安全性，方案必須滿足以下需求及定義的兩種安全模型。通過在多項式時間模擬敵手A 和挑戰者C 之間的游戲來定義消息的機密性和不可偽造性。

游戲1（機密性）通過使用挑戰者C 和敵手A分3 個階段進行游戲，證明適應性選擇密文攻擊具有不可區分性。

初始階段：通過給定安全參數k，C 可以獲得系統參數，通過系統建立算法，同時執行密鑰生成算法可以計算出n個發送者的公私鑰對(pksi,xsi)，C 將系統參數和發送者的公鑰pksi發送給A。

解簽密詢問：A 將接收者身份IDr和密文σ提交給C，若，則輸出⊥，否則C 對密文σ運行解簽密算法，將恢復的消息發送給A。

挑戰階段：在階段1 詢問結束后，敵手A 發起適應性預言詢問，生成長度相同的明文m0、m1以及接收者的身份，但A 不能通過詢問獲得目標身份的私鑰，挑戰者C 隨機選擇β∈{0,1}，返回簽密密文給A。

階段2：A 收到密文σ*，發起適應性預言詢問，并且A 不能用進行解簽密詢問來獲取相對應的明文。

猜測階段：當階段2 結束后，A 通過輸出一個比特β′來猜測β，若β'=β，那么A 贏得游戲。

游戲2（不可偽造性）通過使用挑戰者C 和敵手A 分3 個階段進行游戲，證明在適應性選擇消息攻擊下具有存在性與不可偽造性。

初始階段：挑戰者C 通過運行算法，輸入安全參數k，將生成的系統公共參數params 和n個發送者的公私鑰對發送給A。

攻擊階段：敵手A 將接收者的身份IDr和消息mi通過發送給挑戰者C 并發起適應性預言詢問，C 對詢問做出響應，得到密文σi，并將密文發送給A。

4 本文方案

4.1 方案構造

系統建立：該方案由TA 執行，輸入安全參數1k，TA 執行3種算法。

1）輸出兩個階為素數p的循環群G1和G2，其中G1是加法群，其生成元為P，G2是乘法群，TA 隨機選擇一個主密鑰，計算系統公鑰P0=sP。

3）輸出一個雙線性映射e：G1×G1→G2，計 算K=e(P,P)，將{G1,G2,n,P,P0,K,H1,H2,H3}系統參數公開，并對主密鑰s進行保密。

密鑰提取：在IBC 環境中，PKG 可以計算接收車輛的私鑰，P通過其身份標識IDr，將公私鑰(IDr,SIDr)通過安全信道發送給接收的車輛。

簽密算法：對發送的消息mi，發送車輛的私鑰sksi=xsi，接收車輛的身份IDr，該簽密算法如下：

發送車輛將簽密密文σi=(Ci,Si,Ti)發送給接收車輛。

聚合簽密算法：接收車輛充當聚合者，收到消息mi對應的簽密密文σi=(Ci,Si,Ti)，計算，則聚合密文為σ=(Ci,S,Ti)。

聚合解簽密算法：接收車輛收到的密文σi與發送車輛的公鑰pks，用自己的私鑰對密文進行解密，該聚合解簽密算法如下：

4.2 正確性證明

下面將對本文方案的正確性進行證明，當且僅當通過簽密算法可以計算異構簽密密文σi=(Ci,Si,Ti)和異構聚合簽密密文σ=(Ci,S,Ti)，即下列等式驗證成立：

1）驗證者檢查等式ri·e(Si,P)=e(hi,pksi)，可以驗證簽密密文σi=(Ci,Si,Ti)的正確性。

2）驗證該異構聚合簽密方案的一致性。

5 安全性證明

本節基于決策性Diffie-Hellman 問題以及離散對數問題假設，證明本文方案在隨機預言模型下的機密性與不可偽造性。

5.1 機密性

定理1在多項式時間t內，若敵手A 能夠以不可忽略的優勢ε獲得游戲1 的勝利，則挑戰者C 能夠解決DDHP 困難問題。

初始階段：挑戰者C 建立該算法，輸入安全參數k，生成系統公共參數，同時C 獲取到n個發送者的公私鑰對(xsi,pksi)，通過使用密鑰生成算法，將系統公共參數和發送者的公鑰pksi發送給A。

階段1：在這個階段中，A 進行多次詢問，而C 通過保存3 張列表L1、L2、L3，模擬A 對隨機預言機H1、H2、H3的詢問來回答A 的詢問，其中H1的詢問是不同的，并對目標身份進行H1詢問。具體詢問如下：

H1-詢問：列表L1由元組{IDr,αr,pkr,skr,coin}組成，當A 使用IDr進行詢問時，C 檢查{IDr,αr,pkr,skr,coin}是否在列表L1中，若在列表L1中，則pkr返回A的值；否則C 產生一個隨機數coin ∈{0,1}，使得Pr[coin=0]=δ，Pr[coin=1]=1-δ，若coin=1，則C 計算pkr=bP，αr=⊥，skr=⊥；否則C 隨機選擇，計算pkr=αr P,skr=αraP，將其增加到列表L1中，將pkr發送到A 中。

H2-詢問：元組(ri,mi)在列表L2中，挑戰者C 判斷元組(ri,mi,ρi)是否出現在列表L2中，若列表L2存在，則直接返回；否則，C 選擇，將(ri,mi,ρi)補充到列表L2中。

H3-詢問：元組{Ci,pkr,ri}在列表L3中，挑戰者C判斷元組(Ci,pkr,r,ξi)是否出現在列表L3中，若在表中則返回相應的ξi作為H3的值；否則挑戰者C 隨機選擇整數，將元組(Ci,pkr,r,ξi)存儲在列表L3中，返回ξi的值。

密鑰提取詢問：當A 對選擇身份IDr進行詢問時，若，則C 需要執行H1詢問，從表L1獲得{IDr,αr,pkr,skr,coin}并返回私鑰，否則輸出⊥。

解簽密詢問：A 把密文σ、發送者的公鑰pksi、接收者的身份IDr發送給C。若，則C 對σ進行解簽密，然后將結果發送給A，否則輸出⊥。

挑戰階段：階段1 的結束時間由A 決定。A 產生2 個等長的明文m0、m1和1 個接收者的身份。注意：該不能在階段1 詢問。C 輸出一個隨機的比特β'∈{0,1}，并計算。最后，C將σ*發送給A。階段2：若A 不對進行密鑰提取詢問，不提交通過對σ*進行解簽密詢問獲得的明文，那么A 可以像階段1 一樣進行適應性的詢問。

猜測：當所有詢問結束后，A 得到一個β'∈{0,1}。如果β'=β，則A 贏得這次游戲并且優勢為

5.2 不可偽造性

定理2在隨機預言模型下，假設DLP 問題困難，通過使用Forking 引理［25］來證明本文方案在適應性選擇消息攻擊下是存在性不可偽造的。

引理1在多項式時間t內，如果敵手A 贏得游戲2，那么挑戰者C 以不可忽略的概率ε'解決DLP 困難問題。

證明利用Forking 引理來證明引理1。DLP 問題挑戰者C 通過使用敵手A 解決一個給定的DLP 實例問題(P,αP)，即計算α。

初始階段：C 首先運行系統并建立算法得到系統參數，密鑰生成算法得到n個發送者的公鑰，將其發送給敵手A。

攻擊階段：H1、H2、H3詢問中產生的數據被分別保存在列表L1、L2、L3中，并且這些預言機被保持在C中，同時A 可以對H1、H2、H3進行適應性詢問。

H1-詢問：若H1(IDi)已經被詢問過，則返回L1的值；否則C 返回一個隨機數，在列表L1增加(IDi,h1,j)。

H2-詢問：列表L2由(mi,ri,h2,i)組 成，當A 對H2與h2,i進行詢問時，如果h2,i已經在列表L2中并且被詢問過，則直接返回；否則，C 隨機選擇h2,i∈G1并將(mi,ri,h2,i)增添到列表L2中。

H3-詢問：列表L3由(ri,h3,i)組成，A 對H3和h3,i詢問，如果從列表L3已經詢問到h3,i，則直接返回到列表L3；否則，C選擇h3,i∈{0,1}n，在列表L3中加入(ri,h3,i)。

簽密詢問：A 對消息進行簽密詢問時，將發送車輛和接收車輛的身份(IDi,IDr)以及兩者之間傳遞的消息mi發送給C。

C 執行以下操作：

6 性能分析

為分析本文方案的計算成本，將其與聚合簽密方案［14］、簽密方案［15］在簽密階段和解簽密階段進行比較。

6.1 理論分析比較

本文提出基于PKI 密碼系統傳輸與基于IBC 密碼系統的V2V 異構聚合簽密方案，而文獻［14］提出了基于邊緣計算的無證書V2I 聚合簽密方案，兩者采用不同的密碼體制和車聯網環境；文獻［15］方案與本文所提方案在本質上有所不同，本文提出的是多對一的聚合簽密方案，而文獻［15］沒有使用聚合技術。本文和其他兩個方案雖然采用的是相同的主密鑰，但采用不同的系統參數，使得本文方案在計算成本、計算效率與安全性方面較優。現將本文方案所采用的指數運算(Te)、哈希運算(Th)、乘法運算(Tm)、雙線性對運算(Tp)、加法運算(Ta)和文獻［14-15］方案采用的運算進行對比，并對其進行理論分析。

表1 是簽密階段的計算量比較，可以看出當傳輸消息時，各方案計算量由大到小依次為本文方案、文獻［14-15］方案；在簽密階段，本文方案比文獻［14］方案增加了指數計算，但減少了大量的乘法與加法運算，并且隨著消息個數的增加，本文方案在乘法、加法計算量方面都遠小于文獻［14］方案。與文獻［15］方案相比，本文方案采用聚合簽密技術，在簽密階段需要對消息進行聚合，導致乘法與加法的效率有所降低，但減少了指數運算的計算量，總體上其計算效率較高。

表1 簽密階段的計算量比較Table 1 Computation comparison of signcryption stage

表2 是解簽密階段的計算量比較，當發送單個消息時，本文方案比文獻［14］方案減少了5 個乘法運算，解密速度較快；與文獻［15］方案相比，本文使用了雙線性對運算，減少了乘法運算。隨著發送消息個數的增加，本文方案在雙線性對、哈希、加法以及乘法運算的使用上都遠遠少于文獻［15］方案。相比文獻［14］方案，雖然本文方案采用運算時間較長的雙線性對運算，但使用聚合簽密技術減少了其運算量。

表2 解簽密階段的計算量比較Table 2 Computation comparison of unsigncryption stage

6.2 數值實驗分析

本節對本文方案進行數值模擬實驗。在雙線性對密 碼［26］基礎上使用C 語言在2.9 GHz CPU、16 GB RAM PC 機的Linux 系統中進行數值模擬實驗，如表3所示。

表3 系統配置和數學參數Table 3 System configuration and mathematical parameters

1）本文方案的計算效率。由于消息個數影響簽密與解簽密算法的運行時間，在分別統計簽密消息m為20、40、60、80、100 時，執行整個算法、簽密算法和解簽密算法的時間如表4 所示。

表4 本文方案的計算效率Table 4 Computational efficiency of the proposed scheme s

2）比較分析。為減少實驗環境因素導致的誤差，將程序運行50 次取其平均值作為其實驗結果。對本文方案、文獻［14-15］方案所提出的簽密及解簽密算法進行比較，結果分別如圖4 和圖5 所示。

圖4 不同方案簽密階段的時間成本Fig.4 Time cost of signcryption stage for different schemes

圖5 不同方案解簽密階段的時間成本Fig.5 Time cost of unsigncryption stage for different schemes

從圖4 可以看出，簽密時間隨著簽密消息個數的增加而延長，但本文方案具有較短的時間。與文獻［14］方案相比，兩者的車聯網環境不同，本文在V2V 的車聯網環境中進行簽密，而文獻［14］方案在V2I 環境中，車輛與車輛之間的距離相對較短，兩者的速度相對也比較低。因此，車輛與車輛在傳輸環境和傳輸速度方面優于RSU 與車輛之間。雖然本文在簽密階段增加了指數運算，但大幅降低了加法與乘法運算的使用，導致接收車輛進行簽密時所用時間更短。文獻［15］方案是發送車輛來發送消息，為了公平比較，將其發送者進行倍乘，由于本文方案進行聚合簽密，只用執行一次簽密算法，而文獻［15］方案的接收車輛執行簽密算法的次數是根據發送車輛的數量來執行的，導致這個簽密的時間比較長。因此，本文方案的簽密效率遠高于［14-15］方案。

從圖5 可以看出，本文方案的解簽密效率比文獻［14-15］方案都要高，文獻［14］提出一種基于邊緣計算的無證書聚合簽密方案，由于發送方與接收方都需匿名通信，導致在解簽密時采用較多的乘法運算，使其在解簽密階段所用的時間較長，并且本文方案的傳輸效率比文獻［14］方案要高，因為不用考慮RSU 的地理位置，可以及時將信息傳遞到接收車輛，不用等待路邊單元處理完的信息，而文獻［15］方案接收車輛解簽密的次數與消息的數量成正比，使方案的計算和傳輸效率都比較低。由于本文采用的是聚合簽密，接收車輛可以進行批驗證處理，并對接收到的密文進行聚合解簽密，只用執行一次算法。

7 結束語

本文分析5G/6G 車聯網中消息傳輸的隱私問題與傳輸速率問題，將網絡切片與車聯網相結合，提出一種面向V2V 車聯網的隱私保護性異構聚合簽密方案，以適用于多對一的應用場景。本文使用異構簽密技術，確保基于PKI 環境與IBC 環境的5G/6G 切片中車輛之間的安全通信，同時使用聚合簽密，允許接收車輛同時對多個密文進行解密驗證。實驗結果表明，該方案在簽密與解簽密階段的計算效率高于基于邊緣計算的無證書聚合簽密方案。下一步將在本文方案中加入邊緣計算，以降低系統實體間通信時延，增強車聯網的計算能力。