车载网(VANET，vehicular network)是一种以车辆为节点的特殊移动自组织网络(MANET，mobile Ad hoc network)^[1].由于应用场景及无线通信模式影响, 车载网易受隐私、合谋、伪造等方面的安全攻击^[2].为解决车载网中安全与隐私问题，国内外学者做了大量研究，并取得一系列成果. Sun等^[3]提出一种基于身份单车辆认证的车载网隐私安全系统方案. Lee等^[4]设计一种车载网群测试批量认证的方案(TSBV-GT，toward a secure batch verification with group testing for VANET)，车辆真实身份易被泄露. Bayat等^[5]提出一种车载网批量安全认证方案(SA-BV，secure authentication scheme for VANETs with batch verification)，在安全性方面有所提高，然而，算法设计复杂，因此方案计算成本较高. Liu等^[6]提出一种高效的车载网批处理匿名身份验证协议(EAA-BO，efficient anonymous authentication protocol using batch operatious for VANETs)，该协议无法抵抗合谋攻击. Azees等^[7]提出一种基于条件隐私的高效匿名认证保护方案，该方案签名过程的空间复杂度和通信复杂度较高. Vijayakumar等^[8]提出一种计算有效的车载网隐私保护匿名双向批量认证方案(EAAP，EAA with conditional privacy-preserving scheme for vehicular Ad hoc networks)，该方案存在重放攻击风险.

鉴于现有方案存在的不足之处，笔者提出了一个基于身份的车载网批量匿名认证方案(IBAA，identity-based batch anonymous authentication scheme for vehicular network)，该方案具有较强的隐私安全和较高的执行效率，同时通信开销有所降低.

1 预备知识 1.1 双线性对

设G₁和G₂分别为q阶加法循环群和q阶乘法循环群(q是一个大素数)，双线性对^[9]e:G₁×G₁→G₂满足如下性质：

1) 双线性，即∀P₁, P₂∈G₁和∀a, b∈Z_q^*，满足e(aP₁, bP₁)=e(P₁, P₂)^ab.

2) 非退化性，即∃P₁，P₂∈G₁，使得e(P₁, P₂)≠1.

3) 可计算性，即∀P₁，P₂∈G₁，存在有效的算法计算e(P₁, P₂).

4) 对称性，即∀P₁，P₂∈G₁，满足e(P₁, P₂)=e(P₂, P₁).

1.2 安全基础

椭圆曲线密码体制(ECC，elliptic curve cryptography)是一种基于代数曲线的公钥密码系统.设p为一大素数，F_p为模p的有限域，在F_p上的椭圆曲线方程式表示为

$ {y^2} = {x^3} + cx + d $

(1)

其中：c, d∈F_p且满足4c²+27d³≠0mod p.设x, y∈F_p，若(x, y)满足式(1)，则(x, y)为曲线E上的点，用E(F_p)表示曲线E上无穷远点∞及所有点集合，或记为E_p(c, d).

椭圆曲线离散对数难题(ECDLP，elliptic curve discrete logarithm problem)是椭圆曲线密码体制的基础.给定椭圆曲线上阶为g的一点P及该曲线上另一点Q，确定整数x∈Z_q^*，0≤x≤q－1，使得Q=xP∈G₁是困难的.

计算Diffie-Hellman难题(CDHP，computational Diffie-Hellman problem)可以有效解决密钥配送问题.给定xP, yP∈G₁，其中x, y∈Z_q^*是未知整数，计算Q=xyP∈G₁是困难的.

1.3 车载网模型

如图 1所示，车载网模型主要由3部分实体构成:可信中心(TA，trusted authority)、路侧单元(RSU，road side unit)和车载单元(OBU，on board unit).每个实体的功能如下.

1) 可信中心.指车载网系统权威可信管理中心，负责系统安全参数生成和发布、车辆注册、管理、追踪等功能，通常部署在交通管理部门.

2) 路侧单元.部署在路旁的车辆通信基站，通过DSRC协议^[10]与车辆通信，负责车辆网络接入、管理中心信息发布、车辆交互信息的发送与接收等.

3) 车载单元.指装配在车辆中的无线通信单元，负责秘钥存储、信息加/解密、通过DSRC协议与路侧单元通信.

2 本文方案 2.1 初始化阶段

第 1 步  可信中心生成2个阶均为q的循环群G₁和G₂，其中G₁是为循环群，G₂为乘法循环群，P和Q为G₁的2个生成元；随机选取r∈Z_q^*作系统的私钥，生成公钥P_pub=rP.

第 2 步  可信中心随机选取3个安全Hash函数h:{0, 1}^*→G₁，h₁:{0, 1}^*→Z_q^*，h₂:{0, 1}→Z_q^*.

第 3 步  可信中心将r作为系统的私钥秘密保存，将P_pub作为系统参数公开.

2.2 身份匿名阶段

第 1 步  新车辆用户向可信中心提交UserName、E-mail、IDNumber等相关身份信息请求注册.

第 2 步  可信中心根据车辆用户信息进行登记审核，并为该车辆用户分配用户名R_idⁱ和口令P_wdⁱ，其中，R_idⁱ∈G₁.将R_idⁱ、P_wdⁱ和r装载到车辆的防篡改装置(TPD，tamper proof device)中.

第 3 步  用户输入用户名R_idⁱ和口令P_wdⁱ，TPD验证用户输入信息的有效性，若用户输入信息与装载信息一致，则通过验证，执行第4步；否则，终止匿名操作.

第 4 步  TPD随机选取σ_i∈Z_q^*，计算车辆的匿名身份I_d={I₁ⁱ, I₂ⁱ}，并将{σ_i, I_dⁱ}保存在TPD中，其中，I₁ⁱ=σ_iP，I₂ⁱ=R_idⁱ+h(σ_iP_pub).

2.3 签名阶段

第 1 步  TPD提取系统私钥r，计算车辆私钥K_i=rh₁(ID₁ⁱ‖ID₂ⁱ)，并将其与{σ_i, I_dⁱ}一起存储在TPD中.

第 2 步  车辆用户输入需要签名的消息M_i到TPD.

第 3 步  TPD收到消息M_i后，计算

$ {S_i} = \left( {{K_i} + {\sigma _i}{h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)} \right)Q $

(2)

其中T_i为消息签名的时间戳.

第 4 步  TPD将{I_dⁱ, M_i, S_i, T_i}作为消息M_i的签名传递给车辆.

2.4 验证阶段

根据验证消息数量的不同，分为单车辆验证和批量验证2种情况.

1) 单车辆验证

第 1 步  由于消息具有时效性，当车辆或路侧单元收到验证消息{I_dⁱ, M_i, S_i, T_i}后，引入不等式ΔT≥T_r-T_i，其中ΔT为预测误差时延，T_r为接收消息的时间.

第 2 步  判断该等式，若不等式成立，则签名消息有效；若该式不满足，则签名消息无效，终止验证，丢弃该消息.

第 3 步  验证下面等式是否成立：

$ e\left( {{S_i}, P} \right) = e\left( {{h_1}\left( {I_1^i\left\| {I_2^i} \right.} \right){P_{{\rm{pub}}}} + {h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)I_1^i, Q} \right) $

(3)

若式(3)成立，则签名消息合法，接收消息n；否则，拒收该消息.

2) 批量验证

第 1 步  类似单车辆验证，每收到签名消息{I_dⁱ, M_i, S_i, T_i}，首先对其进行时效性验证，即判断ΔT≥T_r-T_i是否成立，若成立，则为有效签名；否则，放弃该签名消息.

第 2 步  路侧单元为n个批量待验证的签名消息分别随机选取n个矢量{V₁, V₂, …, V_n}，其中V_i∈[1－2^t]，t取值为一小整数.

第 3 步  路侧单元计算：

$ {U = e\left( {\sum\limits_{i = 1}^n {{\mathit{\boldsymbol{V}}_i}} {S_i}, P} \right)} $

(4)

$ {B = e\left( {\left( {\left( {\sum\limits_{i = 1}^n {{\mathit{\boldsymbol{V}}_i}} {h_1}\left( {I_1^i\left\| {I_2^i} \right.} \right)} \right){P_{{\rm{pub}}}} + } \right.} \right.}//{\left. {\left. {\sum\limits_{i = 1}^n {{\mathit{\boldsymbol{V}}_i}} {h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)I_1^i} \right), Q} \right)} $

(5)

判断${\mathit{U}\mathop {\rm{ = }}\limits^? B}$是否成立，若成立，则接受该签名.

3 方案分析 3.1 安全性分析 3.1.1 匿名性

将认证方案记为ξ，攻击者记为A，F₀和F₁在游戏中代表 2个诚实车辆用户.

定义 1  匿名游戏

第 1 步  攻击者通过密钥生成算法得到公私钥对(P_pub, r)，系统公共参数{G₁, G₂, P, Q, q, e, P_pub, h( ), h₁( ), h₂( )}.

第 2 步  攻击者A选取2个不同的消息m₀、m₁.

第 3 步  随机选择位b∈{0, 1}，然后将m_b和m_1－b秘密发送给F₀和F₁.此时，b对攻击者保密.

第 4 步  F₀和F₁分别执行本文的签名方案ξ.

第 5 步  如果F₀和F₁输出2个有效的签名τ_b和τ_1-b，分别与消息m₀和m₁相对应，则把τ_b和τ_1-b按照随机顺序发送给攻击者A；否则，返回无效符号⊥给攻击者.

第 6 步  攻击者A对τ_b签名进行分析，输出关于b的猜想b′，b′∈{0, 1}，当b′=b时，攻击者A赢得游戏.

本文方案定义攻击A赢得游戏的优势V_{ξ, A}^link(A)=|2Pr[b′=b]－1|，则Pr [b′=b]表示b′=b的概率.

定理 1  如果攻击者者A不可能在多项式时间内使用签名方案在匿名游戏中以不可忽略的概率赢得游戏，则该方案满足匿名性.

C作为在定义1中匿名游戏的挑战者，如果在第5步中收到的是⊥，说明A获得的是无效信息，得到正确b的概率为${\frac{1}{2}}$，这与b的随机猜测是相同的.

考虑到另一种情况，假设攻击者A在执行完本文方案的签名后得到了2个签名，分别为(S₀, T₀, I_d⁰, M₀)和(S₁, T₁, I_d¹, M₁).设j∈{0, 1}，j表示该签名方案的一个实例，其中(σ_j, P, K_j)表示交互过程中的参数.为了证明方案的匿名性，对于{(S, T, I_d, M)}∈{(S₀, T₀, I_d⁰, M₀), (S₁, T₁, I_d¹, M₁)}和任意的参数(σ_j, K_j)，I₁ⁱ=σ_jP，I₂ⁱ=R_idⁱ+h(σ_jP_pub)，K_j=rh₁(I₁ⁱ‖I₂ⁱ)，j∈{0, 1}.最后可得

$ \begin{array}{l} \;\;\;\;\;\;\;\;\;\;{S_i} = \left( {{K_j} + {\sigma _j}{h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)} \right)Q = \\ r{h_1}\left( {{\sigma _j}P\left\| {R_{{\rm{id}}}^i} \right. \oplus h\left( {{\sigma _j}{P_{{\rm{pub}}}}} \right)} \right) + {\sigma _j}{h_2}\left( {{M_i}\left\| T \right.} \right)Q = \\ \;\;\;\;\;\;\;\;\;\;\;r{h_1}\left( {I_1^i\left\| {I_2^i} \right.} \right) + {\sigma _j}{h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)Q \end{array} $

(6)

因此

$ \begin{array}{l} e(S, P) = e\left( {{K_j} + {\sigma _j}{h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)Q, P} \right) = \\ e\left( {\left( {r{h_1}\left( {I_1^i\left\| {I_2^i} \right.} \right) + {\sigma _j}{h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)Q} \right), P} \right) = \\ \;\;\;e\left( {{h_1}\left( {I_1^i\left\| {I_2^i} \right.} \right){P_{{\rm{pub}}}} + {h_2}\left( {{M_i}\left\| {{T_i}} \right.} \right)I_1^i, Q} \right) \end{array} $

(7)

3.1.2 不可伪造性

定理 2  如果CDHP难题在多项式时间内求解是困难的，本文方案在随机预言模型下可抵抗选择消息攻击，即满足不可伪造性.

证明  设攻击者为A，挑战者为C. ∀x, y∈Z_q^*，x, y未知，已知P∈G₁，(P, xP, yP)，挑战者C求解xyP，即挑战CDHP难题.假设攻击者A能够伪造有效消息签名{I_dⁱ, M_i, S_i, T_i}，C执行如下步骤.

1) 初始化阶段. C重置系统公共参数：P_pub=xP, Q=yP，然后将(P_pub, Q)发送给攻击者A；同时，构造并保存3个列表L_h、L_h1和L_h2.

2) h询问阶段. C构造一个记录形如元组〈α，β_h〉的列表L_h，初始状态为空.当C收到来自A关于消息α的询问时, C检查列表L_h是否存在记录〈α，β_h〉，若存在，C回答β_h；否则，C随机选择β′_h∈Z_q^*，并将〈α，β′_h〉添加到列表中，然后回答β′_h.

3) h₁查询阶段.挑战者C保持并维护记录形如元组〈I₁ⁱ, I₂ⁱ, β_h1〉的列表L_h1，初始状态为空.当C收到来自于A带有(I₁ⁱ, I₂ⁱ)消息的询问时，C查询列表L_h1中是否存在元组〈I₁ⁱ, I₂ⁱ, β_h1〉，若存在，C回答β_h1；否则，C随机选择β′_h1∈Z_q^*，并将〈I₁ⁱ, I₂ⁱ, β′_h1〉添加到列表，然后，回答β′_h1.

4) h₂查询阶段.挑战者C保持并维护记录形如元组〈I₁ⁱ, I₂ⁱ, β_h2〉的列表L_h2，初始状态为空.当C收到来自于A带有(M_i, T_i)消息的询问时，C查询列表中是否存在元组〈M_i, T_i, β_h2〉，若存在，回答β_h2；否则，C随机选择β′_h2∈Z_q^*，并将〈M_i, T_i, β′_h2〉添加到列表.然后，回答β′_h2.

5) 签名询问阶段.挑战者C随机生成γ_i, h_{i, 1}, h_{i, 2}∈Z_q^*，I₂ⁱ∈G₁，计算S_i=γ_iQ，I₁ⁱ=(γ_iP－h_{i, 1}P_pub)/h_{i, 2}；将〈I₁ⁱ, I₂ⁱ, h_{i, 1}〉和〈M_i, T_i, h_{i, 2}〉添加到列表L_h1和L_h2中检查e(S_i, P)${\mathop {\rm{ = }}\limits^? }$e(h₁(I₁ⁱ‖I₂ⁱ)P_pub+h₂(M_i‖T_i)I₁ⁱ, Q)是否相等，若相等，签名有效；否则签名无效.

6) 输出阶段. A进行2次不同的询问后，在多项式时间内C会获得2个有效的签名{I_i, M_i^*, S_i, T_i}和{I_dⁱ, M_i^*, S_i^*, T_i^*}，且S_i=(γ_ih_{i, 1}+xh_{i, 2})Q，S_i^*=(γ_ih_{i, 1}+xh_{i, 2}^*)Q能够得到满足.从而C进行计算得(h_{i, 2}－h_{i, 2}^*)^－1(S_i－S_i^*)=xQ=xyP，CDHP问题得以解决.但这与CDHP问题是困难的相矛盾，即本文方案满足不可伪造性.

3.1.3 不可否认性

不可否认性又称抗抵赖性，即发生交通事故时，能够证据验证、解决纠纷和追究责任.当某个车辆存在恶意行为时，方案中的可信中心能够恢复恶意车辆的真实身份.车辆的匿名身份为I_dⁱ=(I₁ⁱ, I₂ⁱ)，其中I₁ⁱ=σ_iP，I₂ⁱ=R_idⁱ+h(σ_iP_pub)，可信中心通过私钥r计算I₂ⁱ⊕h(rI₁ⁱ)可以恢复该车辆的真实身份R_idⁱ，即

$ \begin{array}{*{20}{c}} {I_2^i \oplus h\left( {rI_1^i} \right) = I_2^i \oplus h\left( {{\sigma _i}rP} \right) = }\\ {I_2^i \oplus h\left( {{\sigma _i}{P_{{\rm{pub}}}}} \right) = R_{{\rm{id}}}^i} \end{array} $

若恢复出真实身份的车辆否认自己行为，方案基于小指数测试法^[11]，引入随机矢量V，车辆进行通信时，每个签名均加入不同标志矢量V，通过对签名消息进行批量验证，恶意车辆则无法抵赖，即满足不可否认性.

3.2 效率分析 3.2.1 计算复杂度

本文方案计算复杂度仅与代表性TSBV-GT方案、SA-BV方案、EAA-BO方案、EAAP方案进行比较.定义T_par为一次双线性对运算所需时间，T_mp-bp为双线性对上一次点乘运算所需时间，T_mp-ecc为椭圆曲线上一次点乘运算所需时间，T_mtp为哈希运算所需时间.各方案的计算复杂度对比如表 1所示.根据文献[12]，使用Intel i7 4 GHz内存的处理器，在Windows 7环境下，应用MIRACL加密数据库运行安全的80 bit椭圆曲线上的循环子群，操作时间：T_par=4.21 ms，T_mp-bp=1.71 ms，T_mp-ecc=0.44 ms，T_mtp=4.41 ms.

表 1显示，单签名验证过程中，本文方案明显优于TSBV-GT方案和SA-BV方案，与EAA-BO方案所需时间持平，略差与EAAP方案.但在批量签名验证过程中，SA-BV方案、EAA-BO方案和EAAP方案所需要的时间与批量签名消息个数n成正比，IBAA方案和TSBV-GT方案所需时间与签名消息个数n无关，明显优于其他方案.

3.2.2 通信复杂度

通信复杂度指通信中所需的通信量，即存储空间.一次完整车载网匿名认证方案的通信复杂度通常由消息的签名、假名和其他附加信息构成.如TSBV-GT方案，消息签名21 bit，假名42 bit，时间戳4 bit；SA-BV方案，签名消息42 bit，假名234 bit，时间戳4 bit；EAA-BO方案，消息签名53 bit，假名42 bit；EAAP方案，消息签名60 bit，假名40 bit，时间戳4 bit；本文方案，消息签名20 bit，假名40 bit，时间戳4 bit.如表 2所示，IBAA方案通信复杂度优于其他方案.

3.2.3 模拟仿真

实验在64位的Windows10操作系统、Intel i5 CPU处理器、4 GB内存、NS-2.35仿真软件和802.11a无线协议的环境下进行.设定模拟仿真区域面积为1 200 m×1 200 m，车辆节点数量在20~100之间，车辆行驶速度在0~108 km/h之间，车辆节点随机分布在仿真区域范围内的道路上.

仿真实验从平均消息延迟和平均消息丢失率来验证方案的有效性和可行性.平均消息延迟和平均消息丢失率分别用T_amd和P_alr表示.

$ {T_{{\rm{amd }}}} = \frac{{\sum\limits_{i = 1}^{{N_V}} {\sum\limits_{m = 1}^{N_m^i} {\left( {T_{s \to m}^i + T_{t \to m \to r}^i + T_{r \to v \to m}^i} \right)} } }}{{\sum\limits_{i = 1}^{{N_V}} {N_m^i} }} $

其中：N_V为模拟区域中车辆个数，N_mⁱ为车辆i发送消息数量，T_s→mⁱ为车辆i对消息m的签名时间，T_t→m→rⁱ为车辆i向路侧单元发送消息m的时间，T_r→v→mⁱ为路侧单元对车辆i认证的时间.

$ {P_{{\rm{alr }}}} = \frac{{\sum\limits_{i = 1}^{{N_V}} {N_m^i} - \sum\limits_{j = 1}^{{R_n}} {N_r^j} }}{{{R_n}\sum\limits_{i = 1}^{{N_V}} {N_m^i} }} $

其中：R_n为路侧单元的个数，N_r^j为第j个路侧单元接收到消息的数量.

仿真结果如图 2和图 3所示.仿真结果显示，在平均消息延迟方面，当节点在0~60之间时，本文方案与其他方案相当，随着车辆节点数目的增加，本文方案明显优于其他方案；在平均消息丢失率方面，节点为0~20之间时，本文方案优于SA-BV方案、EAA-BO方案和EAAP方案，与TSBV-GT方案相当，随着车辆节点数目的增加，IBAA方案优于其他方案.

4 结束语

针对车载网环境中的隐私保护和匿名认证效率问题，基于椭圆曲线上的双线性对性质和相关难题假设，提出了一种基于身份的批量匿名认证方案.车辆身份匿名和消息的签名由车载单元的防篡改装置协同可信中心共同完成，不仅增强了安全性，而且减轻了可信中心的计算负载.在随机预言模型下证明了本文方案的匿名性和签名的不可伪造性，分析了时间复杂度和空间复杂度，并在平均消息延迟和平均消息丢失率方面与现有方案进行仿真比较.本文方案在安全性、有效性和可行性方面均存在一定的优势.对于资源受限的车载网在交通领域中的应用具有重要的意义和价值.