一種適用于車載自組織網絡的無證書混合簽密方案

【摘要】為提高車載自組織網絡中消息認證的機密性，提出了一種可證安全性的高效無證書混合簽密方案。基于車載自組織網絡系統模型，在車輛進行注冊后引入假名自生成算法，并在簽密算法中采用混合簽密計算方式。理論證明與試驗驗證結果表明，與現有無證書簽密方案相比，該方案在保護車輛隱私信息的同時，降低了可信中心和路側單元的計算量，計算開銷與通信開銷保持較低水平，最后，在隨機預言模型中證明了該方案的不可偽造性和機密性，并且能夠抵御各類攻擊。

主題詞：車載自組織網絡 無證書簽密 無雙線性映射 隨機預言模型

中圖分類號：TN918" "文獻標志碼：A" "DOI： 10.19620/j.cnki.1000-3703.20230960

A Certificateless Hybrid Signcryption Scheme for Vehicular Ad-Hoc Networks

Lin Feng1，2， Luo Jingming1， Zhu Zhiqin2

（1. College of Communication and Information Engineering， Chongqing University of Posts and Telecommunications， Chongqing 400065; 2. College of Automation， Chongqing University of Posts and Telecommunications， Chongqing 400065）

【Abstract】In order to improve the confidentiality of message authentication in vehicle-mounted ad hoc networks， an efficient certificateless hybrid signcryption scheme with provable security is proposed. Based on the model of the vehicle-mounted ad hoc network system， a pseudonymous self-generation algorithm is introduced after the vehicle is registered， and a hybrid signcryption calculation method is adopted in the signcryption algorithm. Through theoretical proof and experimental verification， compared with the existing certificateless signcryption scheme， the proposed scheme not only protects the privacy information of the vehicle， but also reduces the computation cost of the trusted center and the roadside unit， and keeps the time overhead and communication overhead at a low level， which proves the unforgeability and confidentiality of the proposed scheme in the random oracle model， and can resist various attacks.

Key words： VANET， Certificateless signcryption， No bilinear mapping， Random prediction model

【引用格式】 林峰， 羅鏡明， 朱智勤. 一種適用于車載自組織網絡的無證書混合簽密方案[J]. 汽車技術， 2024（10）： 56-62.

LIN F， LUO J M， ZHU Z Q. A Certificateless Hybrid Signcryption Scheme for Vehicular Ad Hoc Networks[J]. Automobile Technology， 2024（10）： 56-62.

1 前言

車載自組織網絡[1]（Vehicular Ad-hoc NETwork，VANET）主要由車載單元（On Board Unit，OBU）和路側單元（Road Side Unit，RSU）構成，在車輛行駛中，VANET能夠實時共享車輛的運行狀態及周邊的交通信息，有效提升駕駛安全性及舒適度，優化駕駛體驗。由于VANET傳遞的交通信息較為敏感，因而其信息安全問題備受關注。

VANET的通信方式可分為車輛對基礎設施（Vehicle-to-Infrastructure，V2I）通信和車輛對車輛（Vehicle-to-Vehicle，V2V）通信。其中，V2V通信允許相鄰車輛進行消息互換，減少交通擁堵，但入侵者可通過竊聽、跟蹤等方式對車輛發送的消息進行攻擊，導致接收車輛無法鑒別信息的真實性和完整性，由此對車輛身份隱私造成危害[2]。

通常，VANET使用消息簽密方法實現車輛身份、消息的機密性和消息的不可否認性驗證[3]。為使無證書簽密方案適用于VANET，Han等[4]提出了一種混合認證協議，通過使用雙線性對運算實現各種安全要求，但未對車輛隱私進行有效保護；Islam等[5]提出了一種基于雙線性配對的無證書簽密方案，但并沒有為車輛生成假名；Hong等[6]提出車聯網環境下基于身份無配對的聚合簽密方案，雖然取消了雙線性對運算，降低了計算和通信成本，但無法抵抗公鑰替換攻擊；Dai等[7]提出在車載自組織網絡中，無證書簽密系統下的車輛與公鑰基礎設施（Public Key Infrastructure，PKI）下的車輛進行互認，并支持批量發送、驗證消息，但方案中大量使用雙線性配對算法，且無法抵御內部攻擊；張文波等[8]提出了一種密鑰自生成機制，實現了用戶身份匿名與可追蹤，但容易遭受消息重放攻擊。

為保證車輛的隱私及信息安全，現有方案中消息簽密的計算量仍然較大，且極易受到各種攻擊。本文在前期研究工作的基礎上，通過車輛向可信中心（Trusted Authority，TA）注冊，生成終端私鑰，再生成假名信息發送至TA，在簽密過程中使用混合簽密算法降低通信開銷，并通過安全性能分析驗證方案的不可偽造性和機密性。

2 相關理論

2.1 橢圓曲線離散對數難題

橢圓曲線離散對數難題[9-10]（Elliptic Curve Discrete Logarithm Problem，ECDLP）可定義為：取階為大素數q的群G，p為群G中的一個生成元，已知p和Q，ECDLP的目標在于求得[k∈Z*q]，使得Q=k?p成立，其中k為循環群[Z*q]中的元素。

2.2 計算性Diffie-Hellman問題

計算性Diffie-Hellman（Computational Diffie-Hellman，CDH）問題[11]可定義為：假設G為由橢圓曲線上的點構成的加法循環群[Z*q]，p為群G中的一個生成元，給定[ap∈G]、[bp∈G]，CDH問題的目標是在未知[a∈Z*q]、[b∈Z*q]的情況下，計算[abp∈G]。

2.3 高級加密標準對稱加密算法

高級加密標準[12-13]（Advanced Encryption Standard，AES）算法使用同一密鑰參與加密與解密過程，包括字節代換、行位移、列混淆和輪密鑰的異或運算，其密鑰長度可變，具有可逆性、高效性和完備的安全性。

AES對稱加密算法由以下兩個算法構成[14]：

a. 加密算法：C=AESe（Key，m），其中，明文m為輸入，密文C為輸出，e為加密標識符，對稱密鑰Key ∈ K，K為對稱加密算法的密鑰空間。

b. 解密算法：m=AESd（Key，C），其中，密文C為輸入，明文m為輸出，d為解密標識符，對稱密鑰Key ∈ K。

2.4 安全模型

為實現本文方案的安全性證明，依據文獻[15]的隨機預言模型，將方案歸結為ECDLP和CDH難題。

在安全模型中，攻擊者通常分為Ⅰ類型和Ⅱ類型：Ⅰ類型中，攻擊者AⅠ為第三方攻擊者，不能訪問系統中的主密鑰s，但能讀取或更改終端密鑰y與其對應公鑰Y；Ⅱ類型中，攻擊者AⅡ攻擊能力更高，可以訪問系統主密鑰s，但無法獲取終端密鑰y與其對應公鑰Y。

在AⅠ和AⅡ兩類敵手的攻擊下，無證書簽密方案具有的適應性選擇消息攻擊下的不可偽造性和適應性選擇密文攻擊下的機密性，需經歷以下階段：

a.階段1：系統初始化，解決者C進行系統初始化，將參數發送至敵手A。

b.階段2：詢問階段，敵手A對解決者C進行有限次詢問。

c.階段3：挑戰階段或猜測階段，敵手A輸出簽密信息，若能夠通過簽密有效性驗證或簽密與預期值相等，則敵手A在博弈中獲勝。

2.5 VANET系統模型

VANET系統模型主要由TA、OBU和RSU 3個部分構成，如圖1所示：TA負責VANET的建立，通過建立絕對安全的有線信道與RSU通信，在系統中主要用于OBU和RSU的注冊和密鑰分發；OBU為安裝在移動車輛上的處理單元，當車輛加入VANET前，須向TA申請注冊，獲得系統公共參數和相應的密鑰，再將數據寫入車輛防篡改設備中；RSU與OBU通信時，需對接收的消息簽密密文進行驗證后，再將信息集中轉發至TA。

3 本文方案

3.1 方案描述

本文基于文獻[6]提出了一種適用于VANET的輕量級安全通信方案，通過使用橢圓曲線密碼算法和AES對稱加密算法，實現無證書混合簽密流程，方案流程如圖2所示。

本文方案包括以下7個算法：

a.系統初始化：首先，由密鑰生成中心（Key Generation Center，KGC）選定參數并建立系統，隨機選取大素數p和q，生成非奇異橢圓曲線Ep（a，b）：y2=x3+ax+b，其中，a，b∈FP，FP為有限域，將點P作為加法群G中的生成元，群G均由Ep（a，b）上的點構成，P為G的階。然后，隨機選擇系統主密鑰[s∈Z*q]，則系統公鑰PK=s?P，KGC選擇4個系統哈希函數H1，H2，H3，H4：{0，1}*→[Z*q]。最后，KGC公布系統參數Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}。

b.車輛注冊算法：車輛的身份信息為ID，向TA進行身份信息注冊，此時，TA生成其車輛編號VD=H1（ID，T），其中，T為當前注冊時間，即（VD，ID，T）為注冊消息組，并將VD發送給KGC。

c.部分私鑰生成算法：此算法由KGC執行，對于車輛部分密鑰，綜合系統參數Spara和對應車輛ID，選擇一個隨機數[n∈Z*q]，并計算部分私鑰參數N=n?P，hv=H2（PK，VD，N），車輛的部分私鑰x=n⊕hv?s，將車輛的部分私鑰x通過安全信道發送給車輛ID，并將對應公鑰X=x?P=N⊕hv?PK通過安全信道發送給其他車輛。

d.終端密鑰生成算法：車輛執行本算法生成公私鑰對時，車輛ID隨機選擇私鑰[y∈Z*q]，計算公鑰Y=y?p，并通過安全信道發送給其他車輛。

e.假名生成算法：車輛注冊后，車輛ID生成臨時假名，輸入當前時間參數T，計算假名參數VH=H3（Y，T），PID=VD⊕VH，令Q=（PID，T）為車輛假名，并通過安全信道發送給其他車輛。

f.簽密算法：車輛IDA對于車輛IDB，計算其公鑰PVB=XB⊕YB，輸入當前時間參數T，選擇隨機數[k∈Z*q]，車輛IDA對信息m執行簽密運算：

[K=k?PU=k?（XB⊕YB）C=AESe（U，m）v=H4（m，K，QA，PVA，T）R=v?（xA⊕yB）⊕K] （1）

式中：K、U、v、R為簽密參數，C為消息對稱加密結果。

簽密完成后，得到簽密結果σ={K，C，R，T}，車輛IDA將σ發送給車輛IDB。

g.解簽密算法：車輛IDB進行解簽密時執行本算法，輸入簽密密文σ，計算解簽密私鑰pvB=xB⊕yB，加載系統參數Spara、車輛IDA公鑰PVA=XA⊕XB、車輛IDA假名QA，車輛IDB對簽密密文σ執行解簽密運算：

[U′=pvB?Km′=AESd（U′，C）v′=H4（m′，K，QA，PVA，T）R?P=v′?PVA⊕K] （2）

檢驗R?P=v′?PVA⊕K是否成立，并判斷時間戳T是否在有效期內，若通過檢驗，則選擇接收信息m′。

3.2 正確性分析

對于接收明文信息m的正確性分析，由于接收車輛計算的U′與發送車輛的U間關系為：U′=pvB?K=pvB k?P=k?PVB=k?（XB⊕YB）=U，并根據AES對稱加密算法的特性，通過恒等變換可證明接收者的m′和發送者的m關系：

m′=AESd（U′，C）=AESd（U，C）=AESd（U，AESd（U，m））=m" " "（3）

對于簽密密文σ的有效性分析，可證明

R?P=v′?PVA⊕K成立：

[R?P=v?（xA⊕yA）?P⊕k?P" " " " =H4（m′，K，QA，PVA，T）?（n⊕hv?s⊕yA）?P⊕k?P" " " " =v′（XA⊕YA）⊕K" " " " =v′?PVA⊕K]" "（4）

因此，在簽密密文σ={K，C，R，T}進行傳輸時，若任意參數發生變化，都會使得R?P[≠]v′?PVA⊕K，導致該簽密密文無法通過有效性驗證。

4 安全性分析

4.1 不可偽造性

假設攻擊者AⅠ-1使用本文方案時，最多可進行q2次h2詢問、qn次創建用戶詢問、qs次部分私鑰詢問、qf次簽密詢問，若以優勢ε成功偽造用戶的簽密密文，B1為橢圓曲線離散對數問題的解決者，則該問題的輸入為（s，PK=s?P），其中[s∈Z*q]，B1的目標為計算s。B1與AⅠ-1的博弈交互包括系統初始化、詢問階段和挑戰階段。

4.1.1 系統初始化

由B1構建系統，公開系統參數Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}，并建立L1、L2、L3、L4、LID和LR列表，分別用于跟蹤AⅠ-1對預言機h1、h2、h3和h4的詢問，以及對用戶創建和簽密預言機的詢問，其中，B1選擇VD*作為被挑戰者身份。

4.1.2 詢問階段

AⅠ-1對B1進行多項式有界次的詢問如下：

a. h1預言機查詢：AⅠ-1使用IDi詢問，若L1列表中已存在，則將VD返回至AⅠ-1；反之，則B1隨機選取[T∈Z*q]，計算VD=H1（IDi，T），再將VD返回至AⅠ-1。

b. h2預言機查詢：AⅠ-1使用VDi詢問，若L2列表中已存在，則將hv返回至AⅠ-1；反之，則B1先執行部分私鑰查詢，隨機選取[ni∈Z*q]，計算Ni=ni?P，hv=H2（PK，VDi，Ni），再將hv返回至AⅠ-1。

c. h3預言機查詢：AⅠ-1使用VDi進行詢問，若L3列表中存在相應元組，則將VH返回給AⅠ-1；反之，則進行終端密鑰預言機查詢，計算VH=H3（Yi，T），并將VH返回至AⅠ-1。

d. h4預言機查詢：AⅠ-1使用（VDi，C，K）詢問，如果L4中已經存在，則將v返回至AⅠ-1；如果沒有對應的Yi，則執行終端密鑰預言機查詢；如果沒有對應的Xi，則執行部分私鑰預言機查詢，再計算mi和v，并將v返回至AⅠ-1。其中：mi=AESd（pv?K，C），v=H4（mi，K，Q，PV，T）。

e. 用戶創建預言機查詢：AⅠ-1使用VDi進行查詢，然后進行如下判斷：

B1查詢LID，若不存在對應元組，當VDi=VD*時，B1隨機選擇[ni，yi，hv∈Z*q]，計算Ni=ni?P，Yi=yi?P，x=⊥；當VDi≠VD*時，B1隨機選擇[xi，ni，yi，hv∈Z*q]，計算Yi=yi?P，Ni=xi?P-hv?PK，最后將其加入相應的列表中；若列表中已存在相應元組，B1再查詢L2列表，如果相應的元組（VDi，PK，Ni，hv）滿足hv=H2（VDi，PK，Ni），則返回用戶信息，否則，B1結束本次博弈。

f. 終端密鑰預言機查詢：AⅠ-1使用VDi進行詢問時，B1查詢LID列表，如果LID中已有對應元組，B1返回（Yi，yi）至AⅠ-1，否則，B1隨機選取[yi∈Z*q]，計算Yi=yi?P，并將（Yi，yi）返回至AⅠ-1。

g. 部分私鑰預言機查詢：假定敵手AⅠ-1最多只有qs次查詢次數。當VDi=VD*時，B1輸出⊥并結束博弈；當VDi≠VD*，如果B1查詢LID列表存在對應元組，則計算xi=ni⊕hv?s，將xi返回至AⅠ-1，否則，B1隨機選擇[ni，xi∈Z*q]，計算Ni=ni?P，將Ni保存在LID列表中，并將xi返回至AⅠ-1。

h. 公鑰預言機查詢：敵手AⅠ-1使用VDi詢問時，B1查詢LID，如果LID中存在對應元組，B1返回（Ni，Yi）至AⅠ-1，否則，B1執行部分私鑰預言機查詢與終端密鑰預言機查詢，并將（Ni，Yi）返回至敵手AⅠ-1。

i. 簽密預言機查詢：敵手AⅠ-1使用元組（VDi，Qi，Ni，K，mi）進行查詢，B1計算hvi=H2（VDi，PK，Ni），并將{Ni，hvi}保存在L2列表中。隨機選擇[Ri，vi∈Z*q]，最后，將（mi，Qi，Ni，Ri，vi）保存在列表LR。

4.1.3 挑戰階段

敵手AⅠ-1輸出關于（VD*，mi）的偽簽密密文，若VDi≠VD*，B1宣布攻擊失敗；否則，B1從列表中查詢到對應的簽密信息（mi，Ri，vi）。當AⅠ-1在博弈獲勝，則輸出s=（（Ri-k）/vi-ni-yi）/hvi作為系統主密鑰的有效解，表明解決ECDLP問題；反之，表明該問題未解決。

評估B1解決ECDLP問題的優勢，若AⅠ-1執行VD*的部分私鑰查詢，則B1挑戰失敗。AⅠ-1未執行該詢問的概率為[Pr[ε1]=（1-q2/q）qn（1-1/qn）qs（1-qs/q）]，在問詢階段終止模擬的概率為[Pr[ε2]=（1-δ）qs+qf+1]，在挑戰階段終止模擬的概率為Pr[ε3]=δ。因此，整個模擬過程中，AⅠ-1不終止的概率為：[Pr[ε1∧ε2∧ε3]=（1-q2q）qn·]

[（1-1qn）qs（1-qsq）δ（1-δ）qs+qf+1]。其中，δ=1/（qs+qf+1），若（qs+qf）足夠大，則[（1-δ）qs+qf+1]→e-1。

因此，如果AⅠ-1以優勢ε成功偽造另一個簽密密文，那么B1就能夠以ε′的優勢解決橢圓曲線離散對數問題，其中，[ε′≥（1-q2q）qn（1-1qn）qs（1-qsq）εe（qs+qf+1）]。但這與ECDLP問題無法解決互相矛盾，說明敵手AⅠ-1成功偽造一個簽密密文的優勢可被忽略，即本文方案可以抵抗敵手AⅠ-1的偽造攻擊，同理，AⅡ-1型攻擊同樣可抵抗。

4.2 機密性

假設攻擊者AⅠ-2使用本方案時，最多可進行q2次h2詢問、qn次創建用戶詢問、qs次部分私鑰詢問、qf次簽密詢問，若以ε的優勢成功破解一個簽密密文，B2是CDH問題的解決者，則該問題輸入為（P，k?P，s?P），B2的目標是計算k?s?P。B2與AⅠ-2的博弈交互包括系統初始化、詢問階段、挑戰階段和猜測階段。

4.2.1 系統初始化

由B2構建系統，公開系統參數Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}，并建立L1、L2、L3、L4、LID和Lm列表，分別用于跟蹤AⅠ-2對預言機h2、h3和h4的詢問，以及對用戶創建和簽密預言機的詢問，同時，B2選擇VD*作為被挑戰者身份。

4.2.2 詢問階段

AⅠ-2對B2進行4.1節的h2、h3和h4預言機查詢，以及終端密鑰、部分私鑰、用戶創建、公鑰預言機查詢。

解簽密預言機查詢：敵手AⅠ-2使用元組（VDi，σ，Ni，Yi）進行查詢，若VDi=VD*，B1輸出⊥并結束博弈；反之，B2計算hv=H2（VDi，PK，Ni），并將{Ni，hvi}保存在L2列表中。隨機選擇[pvi∈Z*q]，計算Ui=pvi?K，mi=AESd （pvi，K，C），最后，將（VDi，σ，Ri，Yi，Ui，mi）保存在列表Lm，并返回mi至AⅠ-2。

4.2.3 挑戰階段

敵手AⅠ-2隨機選擇一對明文（m0，m1）及一對接受挑戰者身份（VDA，VDB），在階段2不能對VDB進行任何秘密值詢問。此時，若VDB≠VD*，則B2結束博弈；否則，B1將構造一個挑戰密文。

B2對VDB執行公鑰預言機查詢，得到（VDB，YB，NB）。隨機選取β∈{0，1}，選取隨機數[R，k∈Z*q]，計算K=k?P，U=k（NB⊕hvB?PK⊕YB），C=AESe（U，mβ），B1輸出關于消息mβ的簽密密文σ*={K，C，R，T}，并返回至AⅠ-2。

4.2.4 猜測階段

AⅠ-2可對B2進行多項式有界次的適應性詢問，但不能對σ*進行解簽密詢問。

此時，AⅠ-2將輸出β′作為對β的猜測，若β′=β，則[B1]在已知k?P和s?P的情況下輸出（pvB?K-k?YB-k?NB）/hv=k?s?P，并將其作為CDH問題的解；否則，表明未解決CDH問題。

評估B2解決CDH問題的優勢，若AⅠ-2執行VD*的部分私鑰查詢，則B2挑戰失敗；AⅠ-2不執行該詢問的概率為[Pr[ε1]=（1-q2/q）qn（1-1/qn）qs（1-qs/q）]，AⅠ-2在問詢階段終止模擬的概率為[Pr[ε2]=（1-δ）qs+qf+1]，AⅠ-2在挑戰階段終止模擬的概率為Pr[ε3]=δ。最后，整個模擬過程中AⅠ-2不終止的概率為[Pr[ε1∧ε2∧ε3]=（1-q2q）qn·]

[（1-1qn）qs（1-qsq）δ（1-δ）qs+qc+1]。其中δ=1/（qs+qc+1），若（qs+qc）足夠大，則[（1-δ）qs+qc+1]→e-1。

因此，如果AⅠ-2以優勢ε成功解密一個簽密密文，那么B2就能夠以ε′的優勢解決CDH問題，其中，ε′≥[（1-q2q）qn（1-1qn）qs（1-qsq）εe（qs+qc+1）]。但這與CDH問題無法解決互相矛盾，說明AⅠ-2成功解密一個簽密密文的優勢能被忽略，即本文方案可抵抗AⅠ-2的攻擊，同理，AⅡ-2型攻擊同樣可抵抗。

4.3 中間人攻擊

當遭遇中間人攻擊時，攻擊者從公共信道截取簽密密文σ={K，C，R，T}，試圖篡改該密文并生成新的有效簽密密文σ*。簽密密文中R=v（xA⊕yA）⊕k，其中，v由[K]、T、m（m=AESd（pv?K，C））等參數通過哈希計算得出。如果攻擊者篡改K、C中任意參數，則v′≠v，將導致簽密密文無效。

若攻擊者能夠通過解決橢圓曲線離散對數難題而獲得簽密私鑰x和y，計算出R′=v′（x⊕y）⊕k，生成簽密密文σ′={K′，C′，R′，T}，則攻擊者攻擊成功；然而，橢圓曲線離散對數難題無解，因此，本文方案可以抵抗中間人攻擊。

4.4 內部特權攻擊

KGC特權人員能夠直接訪問車輛發送至TA的注冊消息（VD，ID，T）及對應的部分私鑰x，可讀取系統私鑰s，但無法獲取車輛的終端密鑰信息y。

在此條件下，當特權人員進行非法攻擊時，由于缺少終端密鑰信息，將無法計算車輛的完整私鑰pv=x⊕y，最終無法生成有效簽密密文信息σ。因此，本文方案可成功抵御內部特權攻擊。

4.5 重放攻擊

車輛生成的簽密密文為σ={K，C，R，T}，密文包含發送消息的時間戳T，且R為時間戳T的相關簽密計算參數。

當攻擊者使用有效的簽密密文進行重放攻擊時，簽密密文將無法通過時間戳檢測，即使攻擊者更新密文中T，密文被接收后仍無法通過有效性檢測。因此，該方案能夠抵御重放攻擊。

對比本文方案與近年VANET方案的安全性，結果如表1所示，本文方案的安全性均優于其他方案。

5 性能分析

本文試驗環境為Intel i5-8300H處理器，主頻為2 666 MHz，內存為16 GB，該設備的操作系統為Ubuntu16.04。通過調用OPENSSL工具庫，對各基礎運算操作計算開銷，測試結果如表2所示。

5.1 計算開銷分析

通過逐步分析各方案的算法步驟，對比各方案的時間開銷，結果如表3所示。

在各方案的運算操作中，雙線性對操作、雙線性對點乘運算和橢圓曲線點乘運算為計算開銷的主要來源，其中，雙線性對操作的計算開銷最大。而相較于文獻[5]、文獻[17]，本文方案無雙線性對操作；與文獻[6]～[8]及文獻[16]相比，本文方案所需要橢圓曲線點乘運算操作次數最少；與文獻[19]相比，本文無需模逆運算操作。因此，本文簽密方案在時間開銷上最低，操作更加高效。其中，AESe和AESd算法的時間開銷約等于一次Th。

5.2 通信開銷分析

在通信開銷方面，對本文方案和其他方案進行了簽密密文分析，如表4所示。由于文獻[5]、文獻[17]方案包含雙線性對運算，假設所有方案的時間戳長度|T|=32 bit，且|[Z*q]|=160 bit。在雙線性對運算中，|G1|=1 024 bit；在橢圓曲線密碼運算中，|Gq|=320 bit。

由于本文方案未使用雙線性對運算，因此，時間開銷大幅降低；本文方案在通信開銷上僅高于其他最低方案32 bit，因此，本文方案的通信開銷可維持較低水平。

6 結束語

本文在VANET的無證書簽密方案的基礎上，結合車輛通信鏈路持續時間短的特點，采用橢圓曲線密碼算法來構建簽密計算，并且通過采用假名自生成算法減輕了TA和RSU的計算負擔。通過簽密計算，證明了本文方案滿足車載自組網的安全需求，同時，對比各種無證書簽密方案，本文方案的計算開銷與通信開銷均達到最低。未來，在保證VANET通信安全的同時，考慮在通信方案的輕量化方向開展進一步研究。

參 考 文 獻

[1] MCHERGUI A， MOULAHI T， ZEADALLY S. Survey on Artificial Intelligence （AI） Techniques for Vehicular Ad-Hoc Networks （VANETs）[J]. Vehicular Communications， 2022， 34.

[2] AL-SHAREEDA M A， MANICKAM S， LAGHARI S A， et al. Replay-Attack Detection and Prevention Mechanism in Industry 4.0 Landscape for Secure SECS/GEM Communications[J]. Sustainability， 2022， 14（23）.

[3] ZHAO Y， WANG Y， LIANG Y， et al. Identity-Based Broadcast Signcryption Scheme for Vehicular Platoon Communication[J]. IEEE Transactions on Industrial Informatics， 2022， 19（6）： 7814-7824.

[4] HAN Y， FANG D， YUE Z， et al. SCHAP： The Aggregate Signcryption Based Hybrid Authentication Protocol for VANET[C]// International Conference on Internet of Vehicles. Beijing， China： Springer International Publishing， 2014： 218-226.

[5] ISLAM A， ALTAF F， MAITY S. Efficient Certificate-Less Signcryption Scheme for Vehicular Ad Hoc Networks[C]// Inventive Communication and Computational Technologies： Proceedings of ICICCT 2021. Springer Singapore， 2022： 927-942.

[6] DU H Z， WEN Q Y， ZHANG S S， et al. A Pairing-Free Certificateless Signcryption Scheme for Vehicular Ad Hoc Networks[J]. Chinese Journal of Electronics， 2021， 30（5）： 947-955.

[7] DAI C， XU Z W. Pairing-Free Certificateless Aggregate Signcryption Scheme for Vehicular Sensor Networks[J]. IEEE Internet of Things Journal， 2022， 10（6）： 5063-5072.

[8] 張文波， 黃文華， 馮景瑜. 基于無證書簽密的車聯社會網絡安全通信機制[J]. 通信學報， 2021， 42（7）： 128-136.

ZHANG W B， HUANG W H， FENG J Y. The Security Communication Mechanism of Social Network of Car Service Based on Non-Certificate Signcryption[J]. Journal of Communications， 2021， 42（7）： 128-136.

[9] SHAO H， PIAO C. A Provably Secure Lightweight Authentication Based on Elliptic Curve Signcryption for Vehicle-to-Vehicle Communication in VANETs[J]. IEEE Transactions on Industrial Informatics， 2023， 20（3）： 3738-3747.

[10] MA R， DU L Y. Attribute-Based Blind Signature Scheme Based on Elliptic Curve Cryptography[J]. IEEE Access， 2022， 10： 34221-34227.

[11] PAN J X， CHEN Q， RINGERUD M. Signed （Group） Diffie–Hellman Key Exchange with Tight Security[J]. Journal of Cryptology， 2022， 35（4）： 26.

[12] PIAO J， WANG Z， WU Y， et al. In-Vehicle Flexray Network Security Based on Modified AES Encryption Algorithm[C]// The 2nd International Conference on Distributed Sensing and Intelligent Systems （ICDSIS 2021）. London， UK： Institution of Engineering and Technology， 2021： 17-27.

[13] DAEMEN J， RIJMEN V. AES Proposal： Rijndael[J]. Computer Science， Mathematics， 1999.

[14] CARLSON A， GANG G， GANG T， et al. Evaluating True Cryptographic Key Space Size[C]// 2021 IEEE 12th Annual Ubiquitous Computing， Electronics amp; Mobile Communication Conference （UEMCON）. New York， USA： IEEE， 2021： 243-249.

[15] KASYOKA P， KIMWELE M， ANGOLO S M. Cryptanalysis of A Pairing-Free Certificateless Signcryption Scheme[J]. ICT Express， 2021， 7（2）： 200-204.

[16] ULLAH I， KHAN M A， ALSHARIF M H， et al. An Anonymous Certificateless Signcryption Scheme for Secure and Efficient Deployment of Internet of Vehicles[J]. Sustainability， 2021， 13（19）.

[17] ALI I， CHEN Y， ULLAH N， et al. Bilinear Pairing-Based Hybrid Signcryption for Secure Heterogeneous Vehicular Communications[J]. IEEE Transactions on Vehicular Technology， 2021， 70（6）： 5974-5989.

[18] LIU X， WANG L， LI L， et al. A Certificateless Anonymous Cross-Domain Authentication Scheme Assisted by Blockchain for Internet of Vehicles[J]. Wireless Communications and Mobile Computing， 2022， 2022（1）.

[19] CUI B B， LU W， WEI H. A New Certificateless Signcryption Scheme for Securing Internet of Vehicles in the 5G Era[J]. Security and Communication Networks， 2022， 2022（1）.

[20] CUI J， XU W Y， HAN Y B， et al. Secure Mutual Authentication with Privacy Preservation in Vehicular Ad Hoc Networks[J]. Vehicular Communications， 2020， 21.

（責任編輯 瑞 秋）

修改稿收到日期為2024年1月30日。