车载自组织网络^[1](VANET, vehicle Ad hoc network)是移动自组织网络(MANET, mobile Ad hoc network)在交通道路上的拓展应用，以车辆单元为主要通信节点，自组织成一个通信网络.融合了机动车辆和无线自组织网络的特点，与一般的移动自组织网络不同，车载自组织网络具有网络拓扑结构高速动态变化、网络负荷变化等显著特征.车载自组织网络一般由车辆子网、服务基础设施、网络运营商3部分组成.其中车辆子网是由机动车辆上配置的车载通信单元(OBU, on-board unit)通过无线网络连接而成.服务基础设施包括有权威的认证中心(CA, certificate authority)、路侧单元(RSU, road side unit)和服务提供商(SP, service provider).网络运营商即是提供基础通信服务的互联网服务提供商.

在车载自组织网络中，一般包含2种通信，分别为车与车(V2V, vehicle to vehicle)通信和车与基础设施(V2I, vehicle to infrastructure)通信. V2V和V2I都是通过无线网络通信，RSU与骨干网络的通信则是通过有线网络.系统网络架构模型如图 1所示.

车载自组织网络中车辆节点接受基于位置的服务(LBS, location based services)，一般可分为安全类服务和增值类服务2类.安全类服务指的是在车辆子网中车辆节点通过相互交换各自的车速、实时位置、当前路况等信息，以此达到避免交通事故，提高道路通行效率等目的；增值类服务主要是为了满足乘客在车载环境中的办公、娱乐等需求，如车载环境中的数据上传与下载、电子广告等.因为LBS提供的服务与用户提出服务申请的位置有关^[2]，所以用户在使用相关服务的过程中有位置隐私泄露的风险.

为防止位置隐私泄露，在享受相关服务时使用假名方案是实现位置隐私保护的重要方法之一. Raya等^[3]首次提出了一种基于假名证书的车载网匿名认证协议，使用假名证书来隐藏车辆的真实信息，基本实现了用户的隐私保护.但是该方案在假名存储分发和撤销方面有着较大的性能开销.另外，因为证书中心集中授权分发车辆证书，所以也存在瓶颈问题. Bellur^[4]提出的方案采用分布式的假名管理.该方案中车辆节点只需要从RSU处获得假名证书，每个RSU负责某个区域的证书颁发.该方案的优点是假名的分发和撤销效率较高，证书颁发更加灵活可控.但在该方案中RSU的分布位置和密度是研究的重点与难点. Papadimitratos等^[5]提出基于群签名算法实现车载网隐私保护，该方案中车辆节点使用群签名算法计算生成临时的公钥基础设施(PKI, public key infrastructure)证书，之后使用PKI证书签发与其他节点的通信数据.该方案在一定程度上降低了节点身份认证的性能开销，不足之处在于撤销恶意节点的开销还是较大. Sundari等^[6]提出应用安全多方计算，在差异化私有数据中实现数据完整性保护的方案，安全可靠地实现了输出数据在不同输入方之间进行分配. Lin等^[7]提出了一种基于群签名和基于身份签名的车载自组织网络匿名认证方案，并证明方案实现了一定的隐私性保护.该方案在V2V通信中使用群签名来保证消息的不可关联性，并基于身份签名来降低V2I的通信开销.但此方案的不足在于，该协议不能实时地从车载自组织网系统中撤销具有不良记录的恶意节点的身份标识. Guo等^[8]和Sun等^[9]基于群签名算法也提出了类似方案.基于群签名算法的方案一般存在签名长度过长，身份验证和身份撤销开销较大的弱点. Zeng等^[10]提出基于条件匿名环签名方案，该方案可以合理高效地控制匿名性.但该方案的消息身份认证所需时间随证书更新列表呈线性增长. Shao等^[11]提出一种具有阈值认证特点的群签名认证方案.现有的典型方案大都是基于非对称密码机制来设计的，存在效率较低的问题.安全多方计算^[12]在解决隐私保护问题方面具有明显优势，宋成等^[13]基于线性方程组求解理论^[14]和安全多方计算^[12]，提出了一种基于安全多方计算的车载网隐私保护机制，有效解决了车载网匿名认证过程中的计算瓶颈问题.经分析发现，该方案在身份认证过程中存在安全漏洞.笔者从增强安全性的角度上，针对性地提出一些改进措施，以弥补该漏洞.在文献[13]方案的基础上，新方案解决了车载网的隐私保护、匿名性、共谋攻击、重放攻击等多种安全问题.

1 相关知识 1.1 符号说明

本方案中使用相关符号含义如表 1所示.

1.2 线性方程组求解理论^[15]

定理1    n元线性方程组Ax=b有解的充分必要条件是系数矩阵A的秩等于增广矩阵B=(A, b)的秩，即R(A)=R(B).

定理2   若n元线性方程组Ax=b有解，如果R(A)=n，那么方程组有唯一解；如果R(A) < n，那么方程组有无穷多解.

定理3  设x₁=η₁及x₂=η₂是非齐次线性方程组Ax=b的解，则x=η₁－η₂为对应的齐次线性方程组Ax=0的解.

定理4  设x₁=η是非齐次线性方程组Ax=b的解，x₂=ξ是对应齐次线性方程组Ax=0的解，则x=ξ+η仍是线性方程组Ax=b的解.

定理5   若x=ξ₁是齐次线性方程组Ax=0的解，k为实数，则x=kξ₁也是线性方程组Ax=0的解.

1.3 茫然传输协议

茫然传输协议^[16](OT，oblivious transfer)是一个重要的密码学原语，它可以被应用到许多密码学协议的构造中，特别是它在隐私保护的数据查询、安全多方计算等多个领域中有着重要的应用.

茫然传输协议^[16]一般分为2个参与方：发送方S和接收方R，协议的目的是让接收方从发送方的输入中获取自己选择的输入，且满足：

1) 发送方不知道接收方的选择；

2) 接收方只能获得自己选择的输入且无法获得额外的输入信息.

茫然传输协议的安全性基础是基于判定性Diffie-Hellman(DDH, decisional Diffie-Hellman)问题.

DDH^[17-18]问题：给定素数q和Z_q^*中2个独立的生成元g以及g^α、g^β、g^γ，判定${g^\gamma }\mathop = \limits^? {g^\alpha }{g^\beta } $，其中g∈G₁，α、β、γ∈Z_q^*为任意未知整数.

2 方案的具体实现

宋成等^[13]提出的基于安全多方计算的车载网隐私保护方案主要包含3个阶段，分别为注册阶段、认证阶段和更新阶段.注册阶段完成车辆节点V_p和路侧单元节点R_s在可信服务中心(TA, trusted center)处的注册登记.认证阶段实现R_s对V_p的匿名认证.更新阶段则是在车载网中有车辆节点进入或退出时，V_p和R_s定期到TA处更新系统认证信息.

1) 注册阶段

系统进行初始化，设定公共参数. TA随机生成一个m×n维的矩阵A(2≤m≤n)和一个m维列向量y，且满足R(A)=R(A, y) < n，即线性方程组Ax=y有无穷多解. TA为车辆子网中每个车辆节点生成特定的n维向量x_i，x_i满足Ax_i=y，即x_i为线性方程组Ax=y的某个解.然后TA将向量x_i发送给相应车辆节点V_P作为其合法身份标识. TA再将认证矩阵A和认证向量y通过安全信道发送给系统中每个R_S节点作为身份认证信息.

2) 认证阶段

当V_p进入某个R_s区域需要进行通信时，首先要完成身份认证.V_P向R_s发送身份认证请求，R_s判断其是否为合法用户.

① V_P向R_S发送身份认证请求，V_P随机选择乘法循环群G的2个生成元g, h，并将(g, h)发送给R_s.

② R_s收到车辆节点的身份认证请求之后，从集合Z_q中随机选择一个数k，再生成k个随机矩阵D₁, D₂, …, D_k，且满足A=D₁+D₂+…+D_k.然后，R_S生成一个秘密随机数t，且满足t>k，R_s再生成t个矩阵(H₁, H₂, …, H_t)，并将其发送给V_p，其中(D₁, D₂, …, D_k)⊂(H₁, H₂, …, H_t)，且H_i=D_j(这里i与j是随机的).在(H₁, H₂, …, H_t)中，除H_i外，其余的均为随机矩阵.

③ 对所有的i=1, 2, …, t，V_P生成随机向量r_j并计算H_ix+r_j，计算后V_P则拥有了t个消息，记做m₁, m₂, …, m_t.其中m₁=H₁^x+₁^r, m₂=H₂x+r₂, …, m_t=H_tx+r_t. (δ₁, δ₂, …, δ_k)⊂(1, 2, …, t)表示R_s选择其中的k个消息，记做m_δ1, m_δ2, …, m_δk.利用茫然传输协议，R_s取回结果H_ix+r_j=D_jx+r_j.接着如下计算：

R_s首先计算

$ \begin{array}{*{20}{c}} {{f^\prime }(x) = (x - {\delta _1})(x - {\delta _2}) \cdots (x - {\delta _k}) = }\\ {{b_0} + {b_1}x + \cdots + {x^k}} \end{array} $

接着，随机选择一个多项式：

$ f(x) = {a_0} + {a_1}x + \cdots + {a_{k - 1}}{x^{k - 1}} + {x^k} $

然后再随机选取a_i∈Z_q(0≤i≤k)，并计算

$ {{A_0} = {g^{{a_0}}}{h^{{b_0}}}\, {\rm{mod}}{\kern 1pt} {\kern 1pt} {\kern 1pt} p} $

$ {{A_1} = {g^{{a_1}}}{h^{{b_1}}}\, {\rm{mod}}{\kern 1pt} {\kern 1pt} {\kern 1pt} p, \cdots , {A_{k - 1}} = {g^{{a_{k - 1}}}}{h^{{b_{k - 1}}}}\, {\rm{mod}}{\kern 1pt} {\kern 1pt} {\kern 1pt} p} $

最后，R_s发送给V_p.随后，V_P首先从集合Z_q中随机选择一个数l，并计算

$ {{B_i} = {g^{lf(i)}}{h^{l{f^\prime }(i)}} = {{({A_0}A_1^iA_2^{{i^2}}A_{k - 1}^{{i^{k - 1}}}{{(gh)}^{{i^k}}})}^l}\, {\rm{mod}}{\kern 1pt} {\kern 1pt} {\kern 1pt} p} $

$ {{\mathit{\boldsymbol{C}}_i} = {\mathit{\boldsymbol{m}}_i}{B_i}\, {\rm{mod}}{\kern 1pt} {\kern 1pt} {\kern 1pt} p} $

$ {\mathit{\boldsymbol{r}} = \sum\limits_{i = 1}^k {{\mathit{\boldsymbol{r}}_j}} } $

其中i=1, 2, …, t，然后发送(r, g^l, C₁, …, C_t)给R_s.

对于i=δ₁, δ₂, …, δ_k，R_s计算：

$ \mathit{\boldsymbol{m}}_{{\mathit{\boldsymbol{\delta }}_i}}^\prime = {\mathit{\boldsymbol{C}}_{{\mathit{\boldsymbol{\delta }}_i}}}{({({g^l})^{f({\delta _i})}})^{ - 1}} $

其中${\left( {{{\left( {{g^l}} \right)}^{f\left( {{\delta _i}} \right)}}} \right)^{ - 1}}{\left( {{g^l}} \right)^{f\left( {{\delta _i}} \right)}} = 1\bmod p $

此时，(m′_δ1, m′_δ2, …, m′_δk)正是R_s所选择的k个消息H_ix+r_j=D_j+r_j，其中i=1, 2, …, k.

④ R_s计算：

$ {\mathit{\boldsymbol{W}} = \sum\limits_{j = 1}^t {{\mathit{\boldsymbol{D}}_j}} x + \sum\limits_{j = 1}^t {{\mathit{\boldsymbol{r}}_j}} = \mathit{\boldsymbol{Ax}} + \mathit{\boldsymbol{r}}} $

$ {{\mathit{\boldsymbol{y}}^\prime } = \mathit{\boldsymbol{W}} - \mathit{\boldsymbol{r}} = \mathit{\boldsymbol{Ax}}} $

若y=y′则认证通过，否则拒绝该认证消息.

3) 更新阶段

由方程组

$ \left. {\begin{array}{*{20}{c}} {\mathit{\boldsymbol{A}}{\mathit{\boldsymbol{x}}_1} = \mathit{\boldsymbol{y}}}\\ {\mathit{\boldsymbol{A}}{\mathit{\boldsymbol{x}}_2} = \mathit{\boldsymbol{y}}}\\ \vdots \\ {\mathit{\boldsymbol{A}}{\mathit{\boldsymbol{x}}_n} = \mathit{\boldsymbol{y}}} \end{array}} \right\} $

当x₁, x₂, …, x_n已知时，可求A和y.其中，A是m×n阶矩阵，y是m维列向量.在车载自组织网中，若有新车辆节点的加入或退出，可以利用现有节点x，由服务器重新计算认证矩阵A和认证向量y的一个解，并作为相关认证信息发送给路侧单元R_s.

3 对方案的攻击

在文献[13]中的方案中，认证阶段和更新阶段存在漏洞，防合谋攻击的证明中也存在安全漏洞.仔细分析合谋攻击的安全证明后，发现合谋攻击的恶意节点确实无法解出秘密认证矩阵A与认证向量y，但基于线性方程组的相关求解理论，上述证明的漏洞在于系统中发起合谋攻击的恶意节点不用知晓秘密认证矩阵A与认证向量y就可以得到无穷多的满足方程组Ax=y的解，即可以得到无穷多的合法身份标识.恶意节点的合谋攻击会影响系统的认证阶段和更新阶段，破坏系统的身份认证过程，攻击方法如下.

以2个成员合谋攻击为例，假设合谋攻击成员甲的合法身份标识为η₁，合谋攻击成员乙的合法身份标识为η₂，显然η₁与η₂都为线性方程组Ax=y的解.

令ξ=η₁－η₂，根据定理3得到

$ \mathit{\boldsymbol{A\xi }} = \mathit{\boldsymbol{A}}({\mathit{\boldsymbol{\eta }}_1} - {\mathit{\boldsymbol{\eta }}_2}) = \mathit{\boldsymbol{A}}{\mathit{\boldsymbol{\eta }}_1} - \mathit{\boldsymbol{A}}{\mathit{\boldsymbol{\eta }}_2} = \mathit{\boldsymbol{y}} - \mathit{\boldsymbol{y}} = 0 $

故ξ为对应的齐次线性方程组Ax=0的解.

令ω=η₁+ξ，根据定理4得到

$ \mathit{\boldsymbol{A\omega }} = \mathit{\boldsymbol{A}}({\mathit{\boldsymbol{\eta }}_1} + \mathit{\boldsymbol{\xi }}) = \mathit{\boldsymbol{A}}{\mathit{\boldsymbol{\eta }}_1} + \mathit{\boldsymbol{A\xi }} = \mathit{\boldsymbol{y}} + 0 = \mathit{\boldsymbol{y}} $

故ω为非齐次线性方程组Ax=y的解.

令ζ=η₁+kξ, (k∈R)，根据定理4和定理5得到

$ \mathit{\boldsymbol{A\zeta }} = \mathit{\boldsymbol{A}}({\mathit{\boldsymbol{\eta }}_1} + k\mathit{\boldsymbol{\xi }}) = \mathit{\boldsymbol{A}}{\mathit{\boldsymbol{\eta }}_1} + \mathit{\boldsymbol{A}}k\mathit{\boldsymbol{\xi }} = \mathit{\boldsymbol{y}} + 0 = \mathit{\boldsymbol{y}} $

故ζ也为线性方程组Ax=y的解.其中k可以取任意的实数.攻击者由此可以获得无穷多的线性方程组Ax=y的解，即可以获得无穷多的合法身份标识.显然，这意味着攻击者的合谋攻击成功了.

4 改进的方案

分析认为车辆在注册阶段不能仅仅以线性方程组的一个解作为合法身份标识，因为有可能会导致遭受合谋攻击.由于哈希函数具有易计算、单向性和抗碰撞性等优良特性.为提高方案安全性，在改进方案中引入哈希函数，同时修正原方案存在的错误.

1) 注册阶段

① TA随机生成一个m×n维的矩阵A(2≤m≤n)和一个m维的列向量y，且满足R(A)=R(A, y) < n，即线性方程组Ax=y有无穷多解.

② 系统中每注册一个节点，注册服务器就计算出线性方程组Ax=y的一个解x_i，同时注册服务器给该“解”设定一个随机且唯一的id值.并以此生成并维护一张数据表，记录方程组的解与id值，表中每一个解与id值是一一对应的关系.当有节点的加入或退出时更新数据表.

③ 系统选择SHA作为哈希函数H，为SHA设定好相关公共参数后，输入id值，计算出H(id).

④ 构造二元组(x_i, H(id))作为车辆节点的身份标识，TA通过安全信道将(x_i, H(id))发送给相应车辆节点V_p，然后将矩阵A、认证向量y、数据表发送给每个R_s节点作为系统认证信息.

2) 认证阶段

当V_p要进行通信时，必须先进行身份认证.V_P向R_s发送身份认证请求，R_s对其进行身份认证.

① V_P随机选择循环群G的2个生成元g, h，并将(g, h)和(x_i, H(id))发送给R_s.

② R_s收到车辆节点的认证请求之后，从集合Z_q中随机选择一个数k，再生成k个随机矩阵D₁, D₂, …, D_k，且满足A=D₁+D₂+…+D_k. R_S生成一个秘密随机数t，且满足t>k，R_s再生成t个m×n维矩阵(H₁, H₂, …, H_t)，且(D₁, D₂, …, D_k)⊂(H₁, H₂, …, H_t)，在(H₁, H₂, …, H_t)中H_i=D_j, i=1, 2, …, t. j=1, 2, …, k，这里的i与j是随机的.其余t－k个矩阵H是m×n维的随机矩阵，然后R_s将(H₁, H₂, …, H_t)发送给V_p.

③对所有的i=1, 2, …, t，V_P生成随机向量r_j，并计算H_ix+r_j. V_P拥有了t个消息，记做m₁, m₂, …, m_t.其中m₁=H₁x+r₁, m₂=H₂x+r₂, …, m_t=H_tx+r_t, 然后V_P将(m₁, m₂, …, m_t)发送给R_s. R_s根据

$ {{\mathit{\boldsymbol{m}}_{{\mathit{\boldsymbol{\delta }}_n}}} = {\mathit{\boldsymbol{H}}_i}\mathit{\boldsymbol{x}} + {\mathit{\boldsymbol{r}}_j} = {\mathit{\boldsymbol{D}}_j}\mathit{\boldsymbol{x}} + {\mathit{\boldsymbol{r}}_j}, n = 1, 2, \cdots , k, } $

$ {i = 1, 2, \cdots , t, j = 1, 2, \cdots , k} $

利用茫然传输协议选择性地取回其中的k个消息，记做m_δ1, m_δ2, …, m_δk.

④ R_s根据x_i和数据表计算出对应的id′值，使用哈希函数H计算H(id′)值.再计算

$ {\mathit{\boldsymbol{W}} = \sum\limits_{j = 1}^t {{\mathit{\boldsymbol{H}}_j}} x + \sum\limits_{j = 1}^k {{\mathit{\boldsymbol{r}}_j}} = \mathit{\boldsymbol{Ax}} + \mathit{\boldsymbol{r}}} $

$ {{\mathit{\boldsymbol{y}}^\prime } = \mathit{\boldsymbol{W}} - \mathit{\boldsymbol{r}} = \mathit{\boldsymbol{Ax}}} $

若H(id)=H(id′)，且y=y′，则认证通过；否则，认证失败.

3) 更新阶段

R_s根据矩阵A和向量y计算出线性方程组Ax=y的一个解x_i后，注册服务器同时给该“解”设定一个随机且唯一的id值，将二元组(x_i, H(id))作为身份标识发给车辆节点V_p.

5 改进方案安全性分析 5.1 安全说明

1) 合谋攻击

以线性方程组Ax=y的解和数据表中对应id的哈希值为元素，构造二元组(x_i, H(id))作为车辆节点的合法身份标识.在验证车辆节点身份时，同时满足H(id)=H(id′)和y=y′才能认证通过，所以合谋攻击者虽然获取了无穷多的线性方程组Ax=y的解，但无法获得合法H(id)值，所以攻击者将不能顺利通过身份验证，即合谋攻击不能以不可忽略的概率攻击成功.

2) 接收者隐私

对于任意不同的(δ′₁, δ′₂, …, δ′_k)，都会确定一个k阶多项式f′₁(x)=(x－δ′₁)(x－δ′₂)…(x－δ′_k)= b′₀+b′₁x+b′₂x²+…+x_k，且存在一个k阶多项式f₁(x)=a′₀+a′₁x+a′₂x²+…+a′_k－1x^k－1+x^k，满足A_i=g_i^a′h_i^b′(0≤i≤k－1)，所以根据接收者R_s发出的消息，A_i并不能获得R_s所选择的特定消息，即接收者R_s的隐私可以达到无条件安全.此过程中，考虑到碰撞攻击，V_p猜对接收者所选择消息的概率是1/C_t^k，此概率和k、t相关.假设当发送者V_p成功实现碰撞攻击时，根据$W = \sum\limits_{j - i}^t {{\mathit{\boldsymbol{H}}_j}x + \sum\limits_{j = 1}^k {{\mathit{\boldsymbol{r}}_j} = \mathit{\boldsymbol{Ax}} + \mathit{\boldsymbol{r}}} } $可知，r_j是由V_p随机生成的，所以V_p通过已知的W, r, x求解A，则A有无穷多个解，V_p不能从中选出R_s所使用的A.显然，接收者R_s隐私是安全的.

对于发送者隐私、匿名性以及重放攻击的安全证明与文献[13]方案一致，故略去.

由于笔者的主要工作表现在提高方案的安全性上面，故下面进行改进方案与其他的典型方案安全性对比，如表 2所示.

5.2 效率分析

下面分析改进方案与文献[13]方案在效率方面的差异.

文献[13]中的方案把线性方程组的解作为车辆节点的身份标识，而改进方案以线性方程组某个解和对应id的哈希值构成的二元组作为车辆节点的身份标识.在改进方案的注册阶段增加了2项操作，分别是计算一次解对应id的哈希值和生成维护相关数据表.由于哈希函数具有易计算的特性，对如今的车载计算芯片来说，这个过程的计算开销相比其他的计算任务几乎可忽略不计.另外，在生成需要维护的数据表时，设备所产生的性能开销，因车载自组织网络的自身特性，在应用中每个R_s节点需要维护的数据表通常不大，现有的车载计算芯片对此过程的性能开销同样非常小.

改进方案在认证更新阶段与文献[13]方案相比增加了一项操作，计算出解对应id的哈希值，并与二元组中的哈希值进行比对.这个过程的性能开销也是远小于其他计算过程.

综上可知，改进方案与文献[13]方案相比，在各个阶段虽然增加了几项操作，但增加的操作所产生的性能开销几乎可忽略不计.所以在一定程度上，可以认为改进方案在增强安全性的基础上计算效率略有下降.性能开销对比如表 3所示.

5.3 方案安全性及效率综合分析

6.1和6.2节中只进行了改进方案的安全及效率分析，存在一定的片面性，这里主要综合分析改进方案和相关车载自组网方案.

从表 3可以看出，改进方案与相关车载自组网方案对比，实现了V_p隐私、R_s隐私、匿名性，具有抗合谋攻击和抗重放攻击的优点，且具有较高的安全性和效率.

6 结束语

车载自组织网的部署实施可以极大地提高人们的生活水平和生产力水平.为促进车载自组织网络的发展应用，对宋成等^[13]提出的车载网隐私保护方案进行了简要分析，发现该方案身份认证阶段存在漏洞，抵抗合谋攻击的证明中也存在安全漏洞.在该方案的基础上，提出了一个增强安全性的，车载网隐私保护方案.改进方案不仅可以保证发送者隐私、接收者隐私、匿名性，抵抗重放攻击，还可以抵抗合谋攻击.安全分析结果表明，改进方案能满足更高的安全性需求，但在计算效率上，由于改进方案增加了几项操作，导致计算效率较文献[13]方案略有下降.下一步的研究方向是在保证各方面安全性的前提下，进一步降低系统中各个部分的计算、通信等开销，提高系统的可靠性.