CN105847235A - 一种车联网环境下基于身份的高效匿名批认证方法 - Google Patents

Abstract

本发明公开一种车联网环境下基于身份的高效匿名批认证方法，包括最初握手模块、消息签名模块、批认证模块、身份追溯模块、群密钥产生模块和群消息签名及认证模块。本发明既能够实现车辆与基础设施之间的认证也能实现车辆之间的认证；不依赖于防篡改设备；利用假名实现隐私保护；必要时可信中心能够追溯车辆真实身份，实现条件隐私保护；采用批认证提高效率；认证过程简单，具有高效性。消息签名与群消息签名过程相同，运算代价低；加入时间戳，可承受重放攻击。

Description

一种车联网环境下基于身份的高效匿名批认证方法

技术领域

本发明涉及车联网技术，具体涉及一种车联网环境下基于身份的高效匿名批认证方法。

背景技术

移动互联通信技术与智能计算的不断发展，促使移动自组织网逐渐渗入到各行各业。车联网就是其中一个典型的实例，其作为智能交通的基础，已经成为学术界和工业界的研究热点。通过采用先进的802.11p标准通信协议，并在车辆上加装无线通信设备(OBU)以及大规模的部署路边通信基础设施来实现车车通信(V2V)以及车与基础设施通信(V2I)，从而来极大的改善驾乘体验和增强驾驶安全。而车载网以其固有的本质特性，要求其能够提供一种安全的，有效的，高准确性的，低开销的范式来感知并捕获不断变化的交通信息。

安全与隐私保护是车联网大规模广泛应用的必要前提，因此也成为这一领域的重要研究方向。近些年来有很多关于车联网安全与隐私保护的研究。第一，消息认证，一个消息在发送之前必须经过认证和消息完整性检测能够接收，否则丢弃。第二，隐私当然是现在社会人们极度关注的问题。车联网中的驾驶者当然不希望OBU在通信过程总发送的路线消息被获得，从而被跟踪，因此人们希望在车联网中用匿名身份来交流。第三，我们无法确保所有的用户不会利用匿名身份来发布虚假消息，从而来逃脱自身应负的法律责任。所以，匿名通信是有条件的，需要可信中心(TA)来保留并明确车辆的真实身份，在必要的时候，揭露其真实身份。第四，在解决安全和隐私保护的问题过程中，引入了签名，验证等计算开销，增加了网络的负担。但是我们知道车联网有其独特的网络特性，首先OBU的计算能力较差，网络规模庞大，消息具有很高的实效性。因此整个网络中的消息需要就是传输，这就是所谓的高效性。

为了解决上述一系列问题，Chim等人提出了SPECS方案，该方案提出了一种基于软件实现的解决方案，而不依赖于防篡改设备，但是SPECS方案允许任意车辆与群内成员进行身份认证与交流则存在一些问题：车联网内的恶意车辆能伪装成其他的车辆发送虚假消息，或者在群内冒充其他成员安全的发送群消息，并且能够逃脱可信中心的追溯。

Shi-Jinn等人针对上述问题提出b-SPECS+方案，但依然存在如下缺陷：

1.该方案中仅有最初握手，消息签名，批认证，身份追溯模块，并没有对群消息产生模块以及群消息产生模块做详细解释。假设其沿用SPECS方案中的实施方法，依然存在消息签名阶段与群消息签名阶段的签名密钥生成不相同，又因为一次一密，那么每次车辆在发送群内消息和非群消息时都要进行一个判断过程，这将引入额外的代价，降低通信效率。

2.该方案中，相比于SPECS方案，批认证和单个认证的效率都没有得到提升，反而在车辆签名生成阶段还引入了一次椭圆曲线上的点乘运算，增加了车辆的计算负开销，同时降低了签名生成的效率。

3.该方案中，批认证过程使用了两次对运算，计算开销太大，认证过程效率低。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种车联网环境下基于身份的高效匿名批认证方法，用于实现车联网中消息通信的安全性以及用户身份的隐私保护性，同时具有高效性，更适用于车联网环境。

技术方案：本发明的一种车联网环境下基于身份的高效匿名批认证方法，包括最初握手模块、消息签名模块、批认证模块、身份追溯模块、群密钥产生模块和群消息签名及认证模块，其中，最初握手是对于初次进入网络中的车辆进行秘密消息共享。消息签名是车辆通过生成假名和签名密钥来对发送的消息进行签名。批认证是路边单元(RSU)对车辆的广播消息进行认证。身份追溯是由可信中心(TA)通过消息，签名等来追溯车辆真实身份。群密钥产生是车辆发起组群请求，可信中心(TA)为群生成群密钥。群消息签名及认证是群内成员利用假名和密钥来对消息进行签名并并与其他群成员进行验证，六个模块的具体工作流程为：

(1)最初握手：

车辆初次进入一个新的RSU辖域内，车辆通过路边基站RSU向可信中心TA申请验证身份的合法性，TA是唯一知道车辆真实身份的机构，TA将发送消息给RSU，来允许RSU对车辆签名进行认证，即使在车辆使用假名来产生消息签名的情况下，对于初次进入RSU的车辆，TA将通过RSU将共享秘密参数(s,VPK_i,m_i,t_i)安全的发送给车辆，这一过程在系统中只需要进行一次；

(2)消息签名：当车辆V_i需要发送消息时，通过使用生成的假名ID_i＝(ID_i1,ID_i2)和签名密钥SK_i＝(SK_i1,SK_i2)对消息进行签名，再将签名消息发送给接收方，每一次发送消息，都需要对消息进行一次签名；SK_i1＝m_iID_i1，SK_i2＝m_iH(ID_i1||ID_i2||T_i)，H(.)为MapToPoint哈希函数，T_i为时间戳，VPK_i为验证公钥，m_i为随机数，s为明文；

(3)批认证：当RSU需要验证来自不同车辆的不同消息时，RSU首先利用接收到的假名ID_i，通过寻找(VPK_i,m_i)数据对，当数据满足与假名之间的关系后，对这一批消息进行批认证；

(4)身份追溯：当需要进行真实身份追溯时，TA通过RSU的协助接收到车辆V_i发送的签名消息m_i，利用消息签名中的假名ID_i以及TA中存储的(RID_j,t_j,m_j)来计算车辆的真实身份：TA遍历存储的数组(RID_j,t_j)，那么车辆V_i的真实身份RID_j一定能够满足当TA标记某个车辆真实身份，将其加入到黑名单中后，对其做移除的处理后，车辆将无法获得VPK_i，那么车辆则无法加入网络；

(5)群密钥产生以及群消息签名及认证：当一些车辆组成一个群时，通过群批认证后，RSU向TA发送组群请求，TA利用m_i以及随机数rr为该群组生成群公私钥(GPK_x,CGS)并通过RSU将群公私钥发送给对应车辆，请求通过后，群内成员即可获得与自己身份相对应的公私钥，当群内成员发送签名消息时，群内成员可利用该公私钥以及签名消息，对消息进行验证。

进一步的，所述步骤(1)的具体过程为：

(11)当车辆V_i首次进入RSU后，利用自身的私钥对自身的真实身份RID和设备口令PWD进行签名之后利用TA的公钥PK_TA对RID、PWD和进行加密，产生密文车辆通过RSU将此密文安全的发送给TA；

(12)TA收到该密文后，先利用自身的私钥SK_TA对消息解密，获得车辆真实身份RID和设备口令PWD，以及签名并利用车辆的公钥进行验证，对照其存储的数据库验证通过后，为该车辆V_i随机选取一个t_i，作为与该车辆之间的一个共享或者秘密参数，并计算验证公钥然后随机选取一个随机数m_i，作为和车辆V_i之间的共享(秘密)参数，利用自身私钥SK_TA对系统主密钥s和验证公钥VPK_i进行签名，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用车辆的公钥对上述四个数据进行加密产生密文再利用自身私钥SK_TA对验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用RSU的公钥PK_R对上述内容进行加密，产生密文TA将数组(RID,t_i,m_i)进行对应存储，然后将密文Y和Z通过安全链路传送给RSU；

(13)RSU接收到密文Y和Z，利用自身私钥对密文Z进行解密，获得验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，签名利用TA的公钥进行认证，认证通过该后，对应存储(VPK_i,m_i)，并密文Y转发给车辆V_i；

(14)车辆在接收到密文Y后，利用自身的私钥对上述密文进行解密，获得明文s,VPK_i,和m_i,并利用RSU的公钥PK_R以及TA的公钥PK_TA对相应的签名进行验证，验证通过后，利用计算获得t_i，然后存储(VPK_i,s,m_i,t_i)。

进一步的，所述步骤(2)的具体工作流程为：

(21)当车辆V_i发送消息时，需要对发送的消息进行签名，首先，车辆先选取一个随机数r，然后计算假名和签名密钥，假名ID_i＝(ID_i1,ID_i2)，签名密钥SK_i＝(SK_i1,SK_i2)，其计算公式分别如下，

ID_i1＝rP_pub，

SK_i1＝m_iID_i1，SK_i2＝m_iH(ID_i1||ID_i2||T_i)；

此处，T_i为消息发送的当前时间戳，H(.)为MapToPoint哈希函数；

(22)利用上述产生的签名密钥对消息M_i进行签名，其具体的签名公式如下，σ_i＝SK_i1+h(M_i)SK_i2，其中h(.)是单向哈希函数，签名完成后，车辆V_i发送(ID_i,M_i,σ_i,T_i)。

进一步的，所述步骤(3)RSU进行批认证的具体为：

(31)当车辆收到一批签名时，需要对这一批签名进行批认证，假设RSU收到了来自车辆V₁,V₂,...V_n对于消息M₁,M₂,...M_n的签名σ₁,σ₂,...σ_n，假设RSU收到签名的时间为T_RSU，RSU通过判断ΔT≥T_RSU-T_i是否成立，成立则进行下一步，ΔT是指系统设定的可接受的传输延迟；

(32)RSU通过查找存储的(VPK_i,m_i)验证来找出对应的VPK₁,VPK₂,...VPK_n以及共享或者秘密参数m₁,m₂,...m_n，然后进行验证，具体认证公式如下，

${\Σ}_{i=1}^n{\mathrm{\σ}}_i={\Σ}_{i=1}^n{m}_i({\mathrm{ID}}_{i1}+h(M_i\left)H\right({\mathrm{ID}}_{i1}||{\mathrm{ID}}_{i2}||T_i\left)\right);$

其中，h(.)是一种单向哈希函数，H(.)为MapToPoint哈希函数，T_i为时间戳。

进一步的，所述步骤(5)中群密钥产生的方法为：

(51)组群请求，假设车辆V₁,V₂,...V_n已经通过同一个RSU注册，经历了最初握手，车辆V_i发起了组群请求，其请求消息为M_i＝{GPREQ,ID₁,ID₂,...ID_i-1,ID_i-2,...ID_n}；并且利用消息签名过程中的方式来对上述消息进行签名σ_i＝SK_i1+h(M_i)SK_i2将请求消息和签名发送给RSU，并广播其请求消息；

(52)群同意，任何车辆V_j接收到车辆V_i的请求消息，首先检查自己的假名是否在其中，如果在，那么车辆V_j发送回应消息M_j＝{GPAGR,ID_j}，同样的，利用消息签名过程中的方式来对上述消息进行签名σ_j＝SK_j1+h(M_j)SK_j2，并将签名发送给RSU；

(53)群批认证，当RSU收到上述签名后，对这一批签名进行批认证，通过后，RSU向TA请求为该群生成群公私钥，TA随机选取rr，并计算群密钥CGS＝s×rr，TA利用车辆之间与RSU之间的共享参数m_i，为车辆生成群公钥GPK_i＝m_iP，利用与车辆V_i之间的共享参数t_i，对该群密钥进行加密并将其发送给RSU；接着RSU广播消息以及签名消息

(54)群成立，每个车辆收到上述消息及签名后，认证通过后，获得自身的群私钥CGS，因为群私钥是利用共享密钥加密的，因此只有对应车辆能够解密。

进一步的，所述步骤(5)中群消息签名及认证的具体方法为：

(61)群消息签名，当车辆V_i要发送一个群消息时，需要对消息进行签名，这里的群消息签名同上述消息签名过程，车辆V_i对消息M_i进行签名产生签名σ_i，车辆将消息{ID_i,ENC_CGS(GPK_i||ID_i),M_i,σ_i}发送出去；

(62)群消息认证，当收到上述消息后，群内成员对来自车辆V_i对消息M_i的σ_i进行认证，首先，车辆通过判断ΔT≥T_REC-T_i是否成立，成立则进行下一步，此处ΔT是系统设定的可接受的传输延迟，T_REC为接收车辆接收到消息的时间；

(63)通过群私钥对ENC_CGS(GPK_i||ID_i)进行解密，获得GPK_i,ID_i，通过对照之前收到的M_r来判断是否为群内成员，如果判断该成员为群内成员，则对消息进行验证，验证公式为：

进一步的，所述消息签名模块、群密钥产生模块和群消息签名模块均用到签名密钥，此处，签名密钥形式及内容具有一致性。

有益效果：与现有技术相比，本发明具有以下优点：

(1).本文是一个安全的既能实现车与基础设施RSU之间的认证，又能实现车车通信之间认证的完整的实施过程。

(2)本发明在对消息签名时，引入了时间戳这一参数，在认证过程中进行简单的判断，就可在一定程度上抵抗重放攻击，增强了系统的安全性。

(3)本发明实现批认证的公式中仅用到两次椭圆曲线上的点乘运算和一次MapToPoint的哈希运算，没有用到对运算，极大的提升了批认证的效率。

(4)本发明中当群发起群请求时，其群成员的公私钥(GPK_x,CGS)都是由TA产生，有效的避免群公钥由车辆产生，还需将公钥发送给TA这一交互交互过程，从而使得系统更加安全有效。

附图说明

图1为本发明的整体流程图；

图2为本发明中最初握手的交互示意图；

图3为本发明中消息签名的流程图；

图4为本发明中的批认证流程图；

图5为本发明的群密钥产生交互图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

本发明在一定的系统假设下进行，具体的系统模型与假设描述如下：

引入车联网模型中的几个重要组成部分。可信中心(TA)，路边基础设施(RSUs)，安装在车辆上的通信单元(OBU)。RSU是可信的，并且通常具有较强的计算能力和较高的存储能力。

1.假设TA一直在线，可信，并且永不妥协。在车联网中对其定义时通常采取这样的假设。TA和RSUs中间的通信是通过安全通道，一般是通过安全的有线连接。存在多余的TA，来避免单点故障和功能瓶颈问题。TA是证书的发放机构，同时也是系统中唯一知道车辆真实身份的机构。

2.RSUs分布在道路两侧，相对于OBU而言，具有更高的计算能力。根据DSRC协议标准，RSU的通信范围时可调的。，因此RSU与车辆之间的通信范围要远远大于车辆自身之间的通信范围，以此来确保其通信范围内的车辆能够收到其通告消息。

3.道路上的车辆都加装了OBU。通过使用OBU，车辆能够互相通信，并且可以和基础设施之间进行通信。这种通信是使用DSRC协议。

4.根据现有的VANETs的安全标准，在消息被发送之前，OBU需要利用自己的私钥对消息进行签名，来确保消息的可靠性。RSU有责任验证来自车辆发送消息的真实性，并将结果反馈给发送车辆。我们要求RSU批认证的频率要高于车辆广播消息的频率，这样能够及时验证每一条消息。

5.使用PKI来实现最初握手通信。每一个车辆V_i都有一个公钥和一个私钥并且利用假名证书无法揭示车辆真实身份。TA能够掌握车辆的真实身份，并且车辆V_i的公钥TA也是知道的。TA的公钥PK_TA每个人都知道。每一个RSU在自己区域内公告自己的公钥PK_R。因此PK_R仅被附近区域内的车辆感知。需要指出，只有TA知道车辆的真实身份，因此TA将消息发送给RSU，并允许RSU去验证车辆签名。每一个车辆车辆并不需要知道其他车辆的公钥，从而避免交换证书带来的消息开销。TA的私钥SK_TA和R的私钥SK_R分别由自己保存。

在具体实施本发明之前，对系统进行初始化，具体描述如下：

1).TA首先选取两个满足双线性映射的群G和G_T，有

2).TA随机选取s∈Z_q作为系统主密钥，并且计算P_pub＝sP作为公钥，系统的公共参数为{G,G_T,q,P,P_pub}，车辆和RSU都可获得。

3).TA为每个车辆分配一个真实身份RID和设备口令PWD。当车辆首次进入网络后，最初握手注册需要用到上述参数。

如图1至图5所示，本发明的一种车联网环境下基于身份的高效匿名批认证方法，包括最初握手模块、消息签名模块、批认证模块、身份追溯模块、群密钥产生模块和群消息签名及认证模块，每个模块的具体工作流程为：

1、最初握手(即车辆初次进入车联网的初始化握手过程)

(11)当车辆V_i首次进入RSU后，利用自身的私钥对自身的真实身份RID和设备口令PWD进行签名之后利用TA的公钥PK_TA对上述三个数据(即RID、PWD和)进行加密，产生密文车辆通过RSU将此密文安全的发送给TA。

(12)TA收到该密文后，先利用自身的私钥SK_TA对消息解密，获得车辆真实身份RID和设备口令PWD，以及签名并利用车辆的公钥进行验证，对照其存储的数据库验证通过后，为该车辆V_i随机选取一个t_i，作为与该车辆之间的一个共享(秘密)参数，并计算验证公钥然后随机选取一个随机数m_i，作为和车辆V_i之间的共享(秘密)参数，利用自身私钥SK_TA对系统主密钥s和验证公钥VPK_i进行签名，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用车辆的公钥对上述四个数据进行加密产生密文再利用自身私钥SK_TA对验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用RSU的公钥PK_R对上述内容进行加密，产生密文TA将数组(RID,t_i,m_i)进行对应存储。然后将密文Y和Z通过安全链路传送给RSU。

(13)RSU接收到密文Y和Z，利用自身私钥对密文Z进行解密，获得验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，签名利用TA的公钥进行认证，认证通过该后，对应存储(VPK_i,m_i)，并密文Y转发给车辆V_i。

(14)车辆在接收到密文Y后，利用自身的私钥对上述密文进行解密，获得明文s,VPK_i,和m_i,并利用RSU的公钥PK_R以及TA的公钥PK_TA对相应的签名进行验证，验证通过后，利用计算获得t_i。然后存储(VPK_i,s,m_i,t_i)

2、消息签名

(21)当车辆V_i发送消息时，需要对发送的消息进行签名。首先，车辆先选取一个随机数r，然后计算假名和签名密钥，其中假名ID_i＝(ID_i1,ID_i2)，签名密钥SK_i＝(SK_i1,SK_i2)。其计算公式分别如下，ID_i1＝rP_pub，SK_i1＝m_iID_i1，SK_i2＝m_iH(ID_i1||ID_i2||T_i)这里的T_i为消息发送的当前时间戳，H(.)为MapToPoint哈希函数。

(22)利用上述产生的签名密钥对消息M_i进行签名。其具体的签名公式如下，σ_i＝SK_i1+h(M_i)SK_i2，其中h(.)是一种单向哈希函数。签名完成后，车辆V_i发送(ID_i,M_i,σ_i,T_i)。

3、批认证

(31)当车辆收到一批签名时，需要对这一批签名进行批认证，假设RSU收到了来自车辆V₁,V₂,...V_n对于消息M₁,M₂,...M_n的签名σ₁,σ₂,...σ_n。假设RSU收到签名的时间为T_RSU，RSU通过判断ΔT≥T_RSU-T_i是否成立，成立则进行下一步。这里的ΔT是系统设定的可接受的传输延迟。

(32)然后，RSU通过查找存储的(VPK_i,m_i)验证来找出对应的VPK₁,VPK₂,...VPK_n以及共享(秘密)参数m₁,m₂,...m_n。然后进行验证，具体认证公式如下，

${\Σ}_{i=1}^n{\mathrm{\σ}}_i={\Σ}_{i=1}^n{m}_i({\mathrm{ID}}_{i1}+h(M_i\left)H\right({\mathrm{ID}}_{i1}||{\mathrm{ID}}_{i2}||T_i\left)\right)$

4、身份追溯

车辆是唯一的授权机构去追溯车辆的真实身份。TA通过RSU的协助，获得车辆V_i与RSU的共享(秘密参数)m_i，再利用车辆的假名ID_i2。TA通过遍历存储的数组(RID_j,t_j)。那么车辆V_i的真实身份RID_j一定能够满足当TA标记某个车辆真实身份，将其加入到黑名单中后，对其做移除的处理后，车辆将无法获得VPK_i，那么车辆则无法加入网络。

5、群密钥产生

(51)组群请求。假设车辆V₁,V₂,...V_n已经通过同一个RSU注册，经历了最初握手。车辆V_i发起了组群请求，其请求消息为M_i＝{GPREQ,ID₁,ID₂,...ID_i-1,ID_i-2,...ID_n}。并且利用消息签名过程中的方式来对上述消息进行签名σ_i＝SK_i1+h(M_i)SK_i2将请求消息和签名发送给RSU，并广播其请求消息。

(52)群同意。任何车辆V_j接收到车辆V_i的请求消息，首先检查自己的假名是否在其中，如果在，那么车辆V_j发送回应消息M_j＝{GPAGR,ID_j}，同样的，利用消息签名过程中的方式来对上述消息进行签名σ_j＝SK_j1+h(M_j)SK_j2，并将签名发送给RSU。

(53)群批认证。当RSU收到上述签名后，对这一批签名进行批认证。通过后，RSU向TA请求为该群生成群公私钥。TA随机选取rr，并计算群密钥CGS＝s×rr。TA利用车辆之间与RSU之间的共享参数m_i，为车辆生成群公钥GPK_i＝m_iP，利用与车辆V_i之间的共享参数t_i，对该群密钥进行加密发送给RSU。RSU广播消息，以及签名消息

(54)群成立。每个车辆收到上述消息及签名后，认证通过后，获得自身的群私钥CGS，因为群私钥是利用共享密钥加密的，因此只有对应车辆能够解密。因此群内成员的通信是安全可靠的。

6、群消息签名及认证

(61)群消息签名，当车辆V_i要发送一个群消息时，需要对消息进行签名，这里的群消息签名同上述消息签名过程。车辆V_i对消息M_i进行签名，产生签名σ_i的具体内容如上述消息签名过程所述。车辆将消息{ID_i,ENC_CGS(GPK_i||ID_i),M_i,σ_i}发送出去。

(62)群消息认证，当收到上述消息后，群内成员对来自车辆V_i对消息M_i的σ_i进行认证。首先，车辆通过判断ΔT≥T_REC-T_i是否成立，成立则进行下一步。这里的ΔT是系统设定的可接受的传输延迟，T_REC为接收车辆接收到消息的时间。

(63)通过群私钥对ENC_CGS(GPK_i||ID_i)进行解密，获得GPK_i,ID_i，通过对照之前收到的M_r来判断是否为群内成员。如果判断该成员为群内成员，则对消息进行验证，验证公式为：

下面开始验证本发明的安全性

1、消息完整性和身份验证：消息完整性和身份验证是VANETs中最基本的安全要求。此处，对攻击者进行分类讨论。

首先，假设攻击者不是一个车辆，那么它就不知道系统主密钥s和共享密钥m_i，本发明中的签名为σ_i＝SK_i1+h(M_i)SK_i2，这是一个一次一密的签名。在不知道主密钥的情况下则无法计算出一个有效的签名值。因为群上DH难题计算的复杂性，难以通过P_pub来计算主密钥s。同样，即使在知道σ_i和h(M_i)的情况下也是无法计算SK_i1，SK_i2。

接着，考虑攻击者是VANETs中的一个车辆的情形，这意味着攻击者知道系统主密钥s和自身共享密钥m_i。如果攻击者V_j利用伪装攻击，想要伪装成V_i，那么攻击者需要计算SK_i1，SK_i2，而其中SK_i2＝m_iH(ID_i1||ID_i2||T)，当其只知道自身的共享密钥m_j时，是无法计算SK_i2的。那么也就无法计算SK_i1和VPK_i。在群消息中，同理。

2、身份隐私保护性：车辆的真实身份在对其他车辆和任意第三方都是匿名的，并且即使通过大量分析其发送的消息也无法揭示其真实身份。首先，车辆V_i的真实身份RID已经转化为验证公钥VPK_i存储在TA中。TA在最初握手时将密文Y安全的发送给车辆，只有车辆V_i能够获得自身VPK_i。而车辆的假名ID_i＝(ID_i1,ID_i2)，其中r_i是随机选取的，这也使得，每次消息签名使用的假名都不相同。因此一次一密，没有两个签名能够连接到特定的车辆上，因此不存在可连接性。另外，在最初握手过程中，由于RSU是不知道车辆V_i的公钥那么RSU无法通过假名证书来知道车辆的真实身份。因此，本发明是满足隐私保护性的，除了TA知道车辆的真实身份外，其他都不知道车辆的真实身份。此外，由于VPK_i是通过不同的RSU发送出去的，即使所有的RSUs一起共谋，也无法追溯到车辆真实行进路线。因此，车辆的真实身份永远不会暴露。因此身份隐私能够得到保障。

定理：假名的生成是安全的，用于抵抗明文攻击，当DDH难题成立时。假设攻击者在游戏1中具有优势ε，并且DDH在用游戏2中被解决的概率为

证明：我们要证明攻击者无法获取车辆的真实身份。首先，我们讨论我们在挑战者和攻击者间讨论游戏1。在这个游戏中，攻击者的优势被定义为Pr[x＝x′]-1/2。下面详细描述游戏1.

初始化，挑战者发送系统参数，包括(P,P_pub)等给攻击者。

输入，攻击者随机选取两个签名密钥VPK₀和VPK₁并发送给挑战者。

挑战，挑战者定义x＝1和x＝0，并且两者具有相同的概率1/2。挑战者将VPK₀对应生成的假名和群公钥发送给攻击者。

输出，攻击者尝试猜出挑战者的x,并输出猜想值x′。

接下来我们来构建游戏2。首先，让A作为游戏1中的攻击者，同时，具有优势ε。我们假设我们有一个DDH攻击者B，能够利用来增强自身优势来解决DDH难题。游戏2描述如下：

B首先给定DDH实例(P,aP,bP,F)作为输入，并判定F＝abP是否成立。这里我们为了方便判断引入参数x，假设x＝0时，上式成立，若x＝1则不成立。下面我们来描述B利用A来解决DDH难题。

初始化，根据DDH实例，B可以构造参数(P,P_pub＝aP)，并将其传送给A，显然，这里的a扮演者主密钥s的角色。

输入，A选择两个验证公钥分别为VPK₀和VPK₁，并分别询问其对应的群公钥为m₀P和m₁P。并发送给B。

挑战，这里B扮演成挑战者，其选择随机数x，并且计算假名ID_i＝(ID_i1,ID_i2)，根据上述实例以及方案中的计算公式，可得出ID₁＝raP，并且将随机数r发送给A。B并且将群公钥GPK＝bP发送给A，显然，这里的b扮演着分享密钥m_i的角色。

输出，A将对于x的猜想值x′发送给B。B想要解决DDH难题，即确定F＝abP，如果B的猜想是正确的。

B对于常量P,s,sP,aP,bP以及c进行赋值。那么需要成功计算2absP，其难度等同于计算absP。我们来解释B利用A来解决DDH难题。

如上过程，我们来讨论B如何解决DDH难题。假设x＝0成立，那么F＝abP成立，即可计算ID₂。在这种情形下，因为A在游戏中拥有一个优势，这就意味着A能够破坏上述方案。那么正确猜出x的概率为因此Pr[B|x＝0]＝1/2+ε。如果x＝1，可以计算其成功概率为Pr[B|x＝1]＝1/2。这里的F是随机选取的，所以ID₂中的H(rF)通过H(bID₁)是无法消除的，那么也就也就无法获得VPK_x，这一过程无法揭示x的信息。

在这种情况下，x的值对于A来说是隐藏的，所以即使A能够破坏上述方案，也要猜对x，那么假设其猜对的概率为1/2。因此，我们能够计算其成功的概率为：Pr[B|succeeds]＝1/2×((1/2+ε)+1/2)＝1/2+ε/2。这里ε是一个优势，B能够解决DDH难题，但是其违反了为了DDH问题的困难性。因此，方案是安全的，假名无法披露其真实身份。

3、可追溯性和可撤销性：TA是唯一能够通过假名连接到车辆真实身份的机构。车辆的真实身份能够被授权的TA揭示。通过ID_i＝(ID_i1,ID_i2)数组，并结合TA中存储的(RID_j,t_j,m_j)，可以追溯到车辆的真实身份，通过如下计算即可：

$\begin{array}{c}{\mathrm{ID}}_{i2}\⊕t_j\⊕H\left(m_i{\mathrm{ID}}_{i1}\right)\\ ={\mathrm{VPK}}_i\⊕H\left(m_i{\mathrm{ID}}_{i1}\right)\⊕t_j\⊕H\left(m_i{\mathrm{ID}}_{i1}\right)\\ ={\mathrm{VPK}}_i\⊕H\left(m_i{\mathrm{ID}}_{i1}\right)\⊕{\mathrm{VPK}}_i\⊕{\mathrm{RID}}_j\⊕H\left(m_i{\mathrm{ID}}_{i1}\right)\\ ={\mathrm{RID}}_j\end{array}$

因此，一旦某个签名具有争议性，TA能够根据争议消息找到车辆的真实身份，因此满足可追溯性。并在未来，当TA标记某个车辆真实身份，将其加入到黑名单中后，对其做移除的处理后，车辆将无法获得VPK_i，那么车辆则无法加入网络。所以本发明满足可撤销性。

4、抗共谋攻击：本发明中，无论多少车辆进行共谋都无法算出其他车辆的一个有效签名。假设一些车辆尝试去冒充车辆V_i，但无法共同计算出车辆V_i的签名σ_i，因为他们无法共谋出分享密钥m_i，也就是无法计算车辆的签名密钥SK_i1＝m_iID_i1SK_i2＝m_iH(ID_i1||ID_i2||T)。同时，本发明中的RSU是可信的即满足抗共谋攻击的。

5、抵抗重放攻击：为承受重放攻击，本发明中均使用当前时间戳来生成签名。在对消息签名认证之前，会进行判断，以确保RSU和车辆接收到的消息都是最新的消息。

其他两个方案的安全性对比如表1所示：

表1安全性对比表

本发明的效率分析：

首先定义本发明的集中计算类型，用T_par来代表对运算的时间，用T_mul用代表椭圆曲线上点乘运算的时间，用T_mtp来代表进行MapToPoint哈希函数运算的时间。

因为上述的三种计算类型影响着签名生成与认证的时间，此处仅仅讨论着三种操作，而忽视其他的一下操作，比如连接操作，是因为这些类型的操作影响极小，所以此处认为可以忽略。

本发明与现有的SPECS方案和b-SPECS+方案就签名生成与签名认证的延迟做一个效率分析与对比，通过对相应签名生成与批认证过程中签名认证公式的分析，可以得出如2表的对比结果。

表2计算代价对比表

通过上述的对比分析，可以看出本发明无论是在签名生成，以及验证签名阶段所用的时间都是相对较少了，因此效率较高，具有高效性。

Claims (7)

1.一种车联网环境下基于身份的高效匿名批认证方法，其特征在于：包括最初握手模块、消息签名模块、批认证模块、身份追溯模块、群密钥产生模块和群消息签名及认证模块，六个模块的具体工作流程为：

(1)最初握手：

车辆V_i初次进入一个新的RSU辖域内，车辆通过路边基站RSU向可信中心TA申请验证身份的合法性，TA是唯一知道车辆真实身份的机构，TA将发送消息给RSU，来允许RSU对车辆签名进行认证，即使在车辆使用假名来产生消息签名的情况下，对于初次进入RSU的车辆，TA将通过RSU将共享秘密参数(s,VPK_i,m_i,t_i)安全的发送给车辆，这一过程在系统中只需要进行一次；

(2)消息签名：当车辆V_i需要发送消息时，通过使用生成的假名ID_i＝(ID_i1,ID_i2)和签名密钥SK_i＝(SK_i1,SK_i2)对消息进行签名，再将签名消息发送给接收方，每一次发送消息，都需要对消息进行一次签名；SK_i1＝m_iID_i1，SK_i2＝m_iH(ID_i1||ID_i2||T_i)，H(.)为MapToPoint哈希函数，T_i为时间戳，VPK_i为验证公钥，m_i为随机数，s为明文；

(3)批认证：当RSU需要验证来自不同车辆的不同消息时，RSU首先利用接收到的假名ID_i，通过寻找(VPK_i,m_i)数据对，当数据满足与假名之间的关系后，对这一批消息进行批认证；

(4)身份追溯：当需要进行真实身份追溯时，TA通过RSU的协助接收到车辆V_i发送的签名消息m_i，利用消息签名中的假名ID_i以及TA中存储的(RID_j,t_j,m_j)来计算车辆的真实身份：TA遍历存储的数组(RID_j,t_j)，那么车辆V_i的真实身份RID_j一定能够满足从而有效追溯车辆的真实身份；当TA标记某个车辆真实身份，将其加入到黑名单中后，对其做移除的处理后，车辆将无法获得VPK_i，那么车辆则无法加入网络；

(5)群密钥产生以及群消息签名及认证：当一些车辆组成一个群时，通过群批认证后，RSU向TA发送组群请求，TA利用m_i以及随机数rr为该群组生成群公私钥(GPK_x,CGS)并通过RSU将群公私钥发送给对应车辆，请求通过后，群内成员即可获得与自己身份相对应的公私钥，当群内成员发送签名消息时，群内成员可利用该公私钥以及签名消息，对消息进行验证。

2.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述步骤(1)的具体过程为：

(11)当车辆V_i首次进入RSU后，利用自身的私钥对自身的真实身份RID和设备口令PWD进行签名之后利用TA的公钥PK_TA对RID、PWD和进行加密，产生密文车辆通过RSU将此密文安全的发送给TA；

(12)TA收到该密文后，先利用自身的私钥SK_TA对消息解密，获得车辆真实身份RID和设备口令PWD，以及签名并利用车辆的公钥进行验证，对照其存储的数据库验证通过后，为该车辆V_i随机选取一个t_i，作为与该车辆之间的一个共享或者秘密参数，并计算验证公钥然后随机选取一个随机数m_i，作为和车辆V_i之间的共享(秘密)参数，利用自身私钥SK_TA对系统主密钥s和验证公钥VPK_i进行签名，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用车辆的公钥对上述四个数据进行加密产生密文再利用自身私钥SK_TA对验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，产生签名利用RSU的公钥PK_R对上述内容进行加密，产生密文TA将数组(RID,t_i,m_i)进行对应存储，然后将密文Y和Z通过安全链路传送给RSU；

(13)RSU接收到密文Y和Z，利用自身私钥对密文Z进行解密，获得验证公钥VPK_i，以及RSU与车辆之间的共享参数m_i进行签名，签名利用TA的公钥进行认证，认证通过该后，对应存储(VPK_i,m_i)，并密文Y转发给车辆V_i；

(14)车辆在接收到密文Y后，利用自身的私钥对上述密文进行解密，获得明文s,VPK_i,和并利用RSU的公钥PK_R以及TA的公钥PK_TA对相应的签名进行验证，验证通过后，利用计算获得t_i，然后存储(VPK_i,s,m_i,t_i)。

3.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述步骤(2)的具体工作流程为：

(21)当车辆V_i发送消息时，需要对发送的消息进行签名，首先，车辆先选取一个随机数r，然后计算假名和签名密钥，假名ID_i＝(ID_i1,ID_i2)，签名密钥SK_i＝(SK_i1,SK_i2)，其计算公式分别如下，

ID_i1＝rP_pub，

SK_i1＝m_iID_i1，SK_i2＝m_iH(ID_i1||ID_i2||T_i)；

此处，T_i为消息发送的当前时间戳，H(.)为MapToPoint哈希函数；

(22)利用上述产生的签名密钥对消息M_i进行签名，其具体的签名公式如下，σ_i＝SK_i1+h(M_i)SK_i2，其中h(.)是单向哈希函数，签名完成后，车辆V_i发送(ID_i,M_i,σ_i,T_i)。

4.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述步骤(3)RSU进行批认证的具体为：

(31)当车辆收到一批签名时，需要对这一批签名进行批认证，假设RSU收到了来自车辆V₁,V₂,...V_n对于消息M₁,M₂,...M_n的签名σ₁,σ₂,...σ_n，假设RSU收到签名的时间为T_RSU，RSU通过判断ΔT≥T_RSU-T_i是否成立，成立则进行下一步，ΔT是指系统设定的可接受的传输延迟；

(32)RSU通过查找存储的(VPK_i,m_i)验证来找出对应的VPK₁,VPK₂,...VPK_n以及共享秘密参数m₁,m₂,...m_n，然后进行验证，具体认证公式如下，

${\mathrm{\Σ}}_{i=1}^n{\mathrm{\σ}}_i={\mathrm{\Σ}}_{i=1}^n{m}_i({\mathrm{ID}}_{i1}+h(M_i\left)H\right({\mathrm{ID}}_{i1}\left|\right|{\mathrm{ID}}_{i2}\left|\right|T_i\left)\right);$

其中，h(.)是一种单向哈希函数，H(.)为MapToPoint哈希函数，T_i为时间戳。

5.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述步骤(5)中群密钥产生的方法为：

(51)组群请求，假设车辆V₁,V₂,...V_n已经通过同一个RSU注册，经历了最初握手，车辆V_i发起了组群请求，其请求消息为M_i＝{GPREQ,ID₁,ID₂,...ID_i-1,ID_i-2,...ID_n}；并且利用消息签名过程中的方式来对上述消息进行签名σ_i＝SK_i1+h(M_i)SK_i2将请求消息和签名发送给RSU，并广播其请求消息；

(52)群同意，任何车辆V_j接收到车辆V_i的请求消息，首先检查自己的假名是否在其中，如果在，那么车辆V_j发送回应消息M_j＝{GPAGR,ID_j}，同样的，利用消息签名过程中的方式来对上述消息进行签名σ_j＝SK_j1+h(M_j)SK_j2，并将签名发送给RSU；

(53)群批认证，当RSU收到上述签名后，对这一批签名进行批认证，通过后，RSU向TA请求为该群生成群公私钥，TA随机选取rr，并计算群密钥CGS＝s×rr，TA利用车辆之间与RSU之间的共享参数m_i，为车辆生成群公钥GPK_i＝m_iP，利用与车辆V_i之间的共享参数t_i，对该群密钥进行加密并将其发送给RSU；接着RSU广播消息以及签名消息

(54)群成立，每个车辆收到上述消息及签名后，认证通过后，获得自身的群私钥CGS，因为群私钥是利用共享密钥加密的，因此只有对应车辆能够解密。

6.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述步骤(5)中群消息签名及认证的具体方法为：

(61)群消息签名，当车辆V_i要发送一个群消息时，需要对消息进行签名，车辆V_i对消息M_i进行签名产生签名σ_i，车辆将消息{ID_i,ENC_CGS(GPK_i||ID_i),M_i,σ_i}发送出去；

(62)群消息认证，当收到上述消息后，群内成员对来自车辆V_i对消息M_i的σ_i进行认证，首先，车辆通过判断ΔT≥T_REC-T_i是否成立，成立则进行下一步，此处ΔT是系统设定的可接受的传输延迟，T_REC为接收车辆接收到消息的时间；

(63)通过群私钥对ENC_CGS(GPK_i||ID_i)进行解密，获得GPK_i,ID_i，通过对照之前收到的M_r来判断是否为群内成员，如果判断该成员为群内成员，则对消息进行验证，验证公式为：

7.根据权利要求1所述的车联网环境下基于身份的高效匿名批认证方法，其特征在于：所述消息签名模块、群密钥产生模块和群消息签名模块均用到签名密钥，此处，签名密钥形式及内容具有一致性。