杨小东，杨 平，李 燕，刘婷婷，王彩芬

(1.西北师范大学计算机科学与工程学院，甘肃 兰州 730070;2.密码科学技术国家重点实验室，北京 100878)

1 引言

车载自组织网络VANET(Vehicular Ad hoc NETwork)是一种由行驶在公路上并安装无线通信设备的车辆间相互通信而形成的网络，它是移动自组织网络的一种特例[1]。VANET 给人们提供了安全、便捷、舒适的驾驶环境，但由于网络规模巨大、无线信道开放和移动轨迹可预见等特点，更易遭受各种安全和隐私威胁[2]。因此，解决VANET中的安全与隐私保护问题刻不容缓。

采用匿名认证的方式可实现VANET中车辆的隐私保护[3,4]。文献[5]设计了一个基于别名的车载自组网隐私保护方案，但存在证书管理和存储开销过大等问题，实用性较差。Zhang等[6]提出了一个基于身份的车载自组网消息认证方案，信息验证效率高，但存在基于身份密码体制中固有的密钥托管问题。利用环签名的匿名特性，文献[7]构造一个基于环签名的VANET条件隐私保护方案，但具有无法追踪违法车辆真实身份的局限性。文献[8]利用代理重签名[9,10]具有转换签名的功能，设计了一个隐藏车辆身份的隐私保护方案，代理者为可信认证中心TA(Trusted Authority)授权的多个路边单元RSU(Roadside Units)，将车辆OBU(Onboard Unit)签名的消息进行重签名，实现了车辆身份的匿名性，但存在匿名证书管理和存储问题。

为了解决PKI(Private Key Generator)公钥密码体制中的证书管理问题和基于身份密码体制中的密钥托管问题，基于Liang等[3]提出的无证书代理重签名方案，本文设计了一个安全高效的VANET消息认证方案，有效实现了通信双方的身份隐私性，又确保了消息的可靠性和可用性。

2 一种新的车载自组网消息认证方案

本方案可划分为七部分：系统建立、用户注册(包括路边通信单元和车辆)、生成代理者的重签名密钥、生成车辆消息的签名、消息的重签名、签名的合法性验证和恶意车辆的身份追踪。

2.1 系统建立

(1) 选取G1和G2是阶为素数p的循环群，e:G1×G1→G2是一个双线性映射，g是G1的一个生成元。

2.2 路边通信单元注册

2.3 车辆注册

所有车辆必须通过可信认证中心的授权才合法，车辆在认证中心的具体注册步骤如下：

2.4 生成代理者的重签名密钥

对于路边通信单元RSU和车辆OBU的私钥(skRSU,skOBU)和部分私钥(pskRSU,pskOBU)，为代理者生成重签名密钥的步骤如下：

2.5 签名生成

为了发送消息给认证中心TA，车辆OBU执行如下操作：

这里D′⊂{1,2,…,nd}为满足d[i]=1的索引集，d[i]是身份dOBU的第i比特位的值；并且M⊂{1,2,…,nm}为满足m[i]=1的索引集，m[i]是消息m′的第i比特位的值。

(2) 选择一个对称密钥密码体制(如AES等)的加密算法Enc()，利用OBU的部分私钥pskOBU对(pkOBU,m,σ)进行加密处理，然后将相应的密文EncpskOBU(pkOBU,m,σ)发送给认证中心TA。

2.6 重签名生成

认证中心TA收到OBU发送的密文消息EncpskOBU(pkOBU,m,σ)后，利用OBU的部分私钥pskOBU对密文进行解密DecpskOBU(EncpskOBU(pkOBU,m,σ))，得到明文消息(pkOBU,m,σ) ；如果Verify(pkOBU,m,σ)≠1，输出⊥；否则，计算m的重签名:

认证中心TA利用主密钥mk对pkOBU进行加密生成密文μ=Encmk(pkOBU)和新消息M*={m‖μ}，并广播消息(M*,σ′)给通过管辖区域的全部车辆。

2.7 验证消息签名的合法性

2.8 追溯违法车辆的身份

3 正确性与安全性分析

3.1 正确性分析

e(V,g)=

3.2 安全性分析

定理1本文提出的CPRS方案是不可伪造的。

证明文献[11]已经证明了Liang等提出的无证书代理重签名算法，在标准模型下具有不可伪造性。本文新方案的签名正是基于该算法，从而确保了新方案的签名是不可伪造的。

□

定理2本文提出的CPRS方案满足通信密钥的安全性。

□

定理3本文提出的CPRS方案满足通信消息的机密性。

□

证明车辆OBU利用部分私钥pskOBU和对称密码体制对(pkOBU,m,σ)进行加密处理，并将密文发送给认证中心TA。由于TA拥有车辆OBU的部分私钥pskOBU，所以可以解密该消息，从而确保了车辆和认证中心之间通信的机密性。

定理4本文提出的CPRS方案满足通信消息的可追溯性。

证明如果出现有争议的消息(M*,σ′)，认证中心首先对M*解密获取公钥pkOBU，再利用追溯表T查找pkOBU对应的车辆身份信息IDOBU，最后通过身份追踪到发布消息的真实车辆。由于车辆注册信息的唯一性，所以新方案具有车辆的可追溯性。只要恶意车辆发布消息，在不需要车辆配合的条件下，就能准确追踪到真实的车辆。

□

3.3 性能分析

由于VANET通信实时性要求很高，因此通信开销是性能分析中的重要指标，下面主要分析OBU的通信开销。在 Huang方案[5]中，每个消息产生162 Byte的通信开销。在Yang方案[8]中，通信开销为82 Byte。而在本文提出的新方案中，额外通信开销为20+20+20=60 Byte，其中第一部分为OBU的签名长度，第二部分为OBU公钥的长度，第三部分为OBU部分私钥的长度。从表1可以看出，当发送多个消息时，本文新方案的通信开销远优于其他两个方案。

Table 1 Comparison of OBU communication overhead

假定所有方案选取相同的参数，包括阶为素数p的群G1和G2。对所有方案中车辆注册和生成签名的计算开销，以及车辆存储密钥开销进行比较的结果如表2所示，其中E为G1上的一次指数运算，P为一次双线对运算，Sig为一个普通的签名算法，Cert为一个数字证书。

Table 2 Comparison of OBU computing and storage overhead

从表2可知，本文新方案的计算开销和存储开销比Huang方案低，比Yang方案高；但这两个方案都是基于证书的密码体制，存在证书的管理和存储问题，并且安全性依赖于理想的随机预言机[12]。本文新方案避免了复杂的证书管理，且在标准模型下是可证明安全的，所以具有更高的安全性和实用性。

4 结束语

针对车载自组网隐私保护面临的公钥证书管理和密钥托管问题，结合代理重签名和无证书密码体制的特性，设计了一个具有消息匿名性的车载自组网消息认证方案，车辆对消息的签名通过可信认证中心转换为路边单元的签名，隐藏了消息发送者的真实身份，具有良好的车辆追溯特性。下一步工作是设计具有更低计算开销和存储开销的车载自组网消息认证方案。

[1] Zhu Xiao-ling.Security and privacy preservation mechanisms in vehicular ad hoc network[D].Hefei: Hefei University of Technology,2013.(in Chinese)

[2] Singh K, Saini P, Rani S,et al.Authentication and privacy preserving message transfer scheme for vehicular ad hoc networks[C]∥Proc of the 12th ACM International Conference on Computing Frontiers,2015: 58-65.

[3] Liang Yi-xin.Proxy re-signature scheme based on certificateless public-key cryptosystem[D].Lanzhou: Lanzhou University of Technology,2012.(in Chinese)

[4] Zeng Sheng-ke,Chen Yong,Xia Mei-chen.Privacy-preserving communication in VANETs[J].Journal of Xihua University (Natural Science),2015,34(4): 1-7.(in Chinese)

[5] Huang Di-jiang, Misra S,Verma M,et al.PACP: An Efficient pseudonymous authentication-based conditional privacy protocol for VANETs[J].IEEE Transactions on Intelligent Transportation Systems,2011,12(3): 736-746.

[6] Zhang Chen-xi,Lu Rong-xing,Lin Xiao-dong.An efficient identity-based batch verification scheme for vehicular sensor networks[C]∥Proc of the 27th IEEE Conference on Computer Communications,2008: 246-250.

[7] Chaurasia B K, Verma S.Conditional privacy through ring signature in vehicular ad-hoc ntworks[J].Transactions on Computational Science,2011,13(1): 147-156.

[8] Yang Xiao-dong,Li Yan,Li Ya-nan,et al.Message authentication scheme for VANET based on threshold proxy re-signature[J].Computer Engineering,2015,41(11): 18-23.(in Chinese)

[9] Chen Liang,Chen Xing-yuan,Sun Yi,et al.A new certificateless proxy re-signature scheme in the standard model[C]∥Proc of the 2014 7th International Symposium on Computational Intelligence and Design (ISCID),2014:202-206.

[10] Yang Xiao-dong, Li Chun-mei,Li Yan,et al.Divisible on-line/off-line proxy re-signature[J].Applied Mathematics & Information Sciences,2015,9(2): 759-767.

[11] Wang Zhang-yi, Li Bo,Zhang Huan-guo.Research on security of hash functions[J].Computer Engineering and Applications,2005,41(12): 18-19.(in Chinese)

[12] Zhang Xin-yun，Xu Yan，Cui Jie.Anonymous authentication protocol based on certificateless signature for vehicular network[J].Computer Engineering,2016,42(3): 18-21.(in Chinese)

[13] Zhang Yue.Research on certificateless threshold proxy re-signature scheme in the standard model[D].Xi’an: Xidian University,2012.(in Chinese)

[14] Kyung-Ah S.An efficient ring signature scheme from pairings[J].Information Sciences,2015,300(10): 63-69.

附中文参考文献：

[1] 朱晓玲.VANET安全和隐私保护机制研究[D].合肥: 合肥工业大学,2013.

[3] 梁一鑫.基于无证书公钥体制的代理重签名研究[D].兰州: 兰州理工大学,2012.

[4] 曾晟珂,陈勇,夏梅宸.车载自组网的隐私保护问题[J].西华大学学报(自然科学版),2015,34(4): 1-7.

[8] 杨小东,李燕,李亚楠,等.基于门限代理重签名的车载自组网消息认证方案[J].计算机工程,2015,41(11): 18-23.

[11] 王张宜,李波,张焕国.Hash函数的安全性研究[J].计算机工程与应用,2005,41(12): 18-19.

[12] 张新运,许艳,崔杰.车载网中基于无证书签名的匿名认证协议[J].计算机工程,2016,42(3): 18-21.

[13] 张悦.基于标准模型的无证书门限代理重签名研究[D].西安: 西安电子科技大学,2012.