CN106027519B - 车联网中的高效条件隐私保护和安全认证方法 - Google Patents

Abstract

本发明公开一种车联网中的高效条件隐私保护和安全认证方法，包括以下步骤：系统初始化、产生车辆的假名身份及签名私钥、消息的签名及认证以及车辆真实身份的追溯。车辆通过其装备的车载单元与周围车辆及部署在道路两侧的路边单元进行协同通信，可以有效提高车辆驾驶安全，并且使车辆用户能更加方便快捷的获取交通相关服务。本发明不仅能够满足车联网中的安全需求，而且优化了通信中签名产生和验证的计算过程。在计算代价和通信开销等效率方面有很大改进，更加适用于车联网中的通信及应用。

Description

车联网中的高效条件隐私保护和安全认证方法

技术领域

本发明涉及车联网及无线通信技术，具体涉及一种车联网中的高效条件隐私保护和安全认证方法。

背景技术

车辆已经成为几乎每个家庭都要使用的交通工具，并且在各行各业，比如警车、救护车、大货车等不同种类或大或小的车辆遍布在城市的交通道路上。而车辆数量的快速增长带来了诸多问题，越来越频发的交通事故、大城市上下班高峰时期的交通拥堵、车辆监管局和交通部门的交通管理等。为解决这些问题，对车辆网络和智能交通系统的研究越来越广泛。通过在每个车辆上装备可以无线通信的车载单元(OBU)，并在道路两边铺设网络基础设施(RSU)，实现车辆之间以及车辆和基础设施之间的协同通信，组成车辆自组织网络(车联网)，达到提高交通安全、优化交通效率、方便交通管理的目的。

车联网是一种特殊的移动自组织网络(MANET)，其中的通信分为车辆与车辆(V2V)和车辆与基础设施(V2I)两种。车辆与车辆的通信具有移动自组织网络的特性，不断的进行自我配置并且没有网络基础设施的参与。通信采用专用短程无线通信协议(DSRC)，车载单元每100-300毫秒向网络中广播道路交通相关和车辆自身状况等信标信息，包括车辆当前的位置、速度、交通状态等。

由于无线通信的特点，车联网中的通信很容易受到各种攻击，例如窃听、篡改、伪造等。如果一个恶意的敌手可以在车辆网络中散布虚假的交通消息，可能就会威胁到车辆驾驶员的利益甚至人身和交通安全。所以在车联网中应该对通信消息进行安全认证，在确保消息的可靠性和完整性的前提下进行通信和其他操作。这就需要在每个车载单元或者路边单元在收到消息时首先对消息本身和消息的发送者的身份进行安全认证，以防止恶意第三方破坏车联网通信系统。而在另一方面，在通信过程中车辆用户的隐私也有着泄露的风险，比如车辆用户的身份、电子牌照、交通路线等私人信息。为避免这种情况，车联网中的安全认证方案应该同时提供隐私保护的特性。有效保护车辆用户的隐私，才能提高人们加入车联网的积极性，更好的推进车联网交通系统的发展及应用。

Zhang等人在2008年提出一种基于身份的车联网认证方案(IBV)。方案中使用基于车辆用户身份的签名，不需要在车载单元中存储大量的公私钥对和相应的证书，减少了通信和计算的开销，并且省去了证书管理的问题。同时Zhang等人的方案支持车载单元和路边单元对收到的多条消息进行批认证，在道路上车辆密度很大的时候有效提高消息的认证效率。而且方案中车辆用户的真实身份不会在通信过程中泄露，即任何其它车辆、路边单元和恶意攻击者都不能从通信消息中得出发送车辆的身份信息。但是可信中心，如交通管理部门，在发生交通事故或者纠纷等有需要的情况下可以根据通信消息计算出消息发送车辆的真实身份，满足条件隐私保护的特性。

然而，Lee and Lai指出Zhang等人的方案中存在两种缺陷。第一，该方案不能抵抗重放攻击。恶意车辆或者攻击者可以将车联网中的通信消息拦截并存储下来，在一定时间后散布在网络中，以达到其恶意目的。第二，该方案不能满足不可否认。恶意车辆或者攻击者可以广播虚假消息，而在可信中心追溯时否认其发送了该消息进而逃避责任。Lee andLai在2013年提出了他们改进的CPPA方案，提高了安全性并达到了更高的效率。

2015年，Horng等人发现了Lee and Lai的方案存在一些安全漏洞。首先，消息发送者的真实身份可以被任何其它车辆或者第三方获得，所以其方案不满足隐私保护的需求。其次，该方案易受到伪造攻击，攻击者可以冒充某一合法车辆向车联网中广播消息，同时这一非法行为不能被可信中心追溯到攻击者的身份，不能达到不可否认性。于是Horng等人提出了改进的IBV方案，满足了车联网的安全需求，并且在计算代价和通信效率方面有所提升。最近Bayat等人和He等人分别在Lee and Lai的方案基础上也提出各自改进的安全认证方案，但方案中签名和认证过程所需密码学相关操作运算复杂，需要过多的计算开销。在城市中心道路上车辆密度很大、交通拥挤、通信信息量大的情况下，容易成为网络通信的瓶颈。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种车联网中的高效条件隐私保护和安全认证方法。

技术方案：本发明的一种车联网中的高效条件隐私保护和安全认证方法，依次包括以下步骤：

(1)系统初始化：

(1.1)首先由可信中心生成系统参数，可信中心选择椭圆曲线y²＝x³+ax+bmodn上的以q为阶的加法群G以及其生成元P，然后随机选择整数作为系统私钥，并计算P_Pub＝sP作为公钥，选择三个安全单向哈希函数

(1.2)可信中心发布系统公开参数并进行车联网中车辆的注册；

(2)产生车辆的假名身份及签名私钥，即在车辆加入道路上的车联网中时，车辆中的防篡改设备产生车辆的假名身份和签名私钥，具体步骤如下：

(2.1)车辆用户向防篡改设备输入其真实身份RID和设备口令PWD，只有在验证{RID，PWD}都正确时，防篡改设备才能被激活并为车辆执行后续的步骤；

(2.2)防篡改设备选择随机数计算ID₁＝rP,假名ID表示为ID＝(ID₁,ID₂)；

(2.3)防篡改设备计算签名私钥SK＝sh₁(ID₁||ID₂)，并将元组{r,ID,SK}储存在防篡改设备的内存中；

(3)消息的签名及认证：

(3.1)当车联网中的车辆需要发送消息时，车辆将首先通过其车载单元中的防篡改设备对消息进行签名，然后将消息及签名一同发送到网络中；

(3.2)车辆或路边单元从网络中收到消息时，需要先对其中的签名进行验证，验证通过才可以接收此消息，验证不通过则丢弃；当在交通状况复杂、通信的信息量很大时，车辆或路边单元若同时收到大量需要验证的消息，车辆或路边单元则对多条消息进行批认证，从而有效的减少消息验证所需的计算开销；

(4)车辆真实身份的追溯：

当发生交通事故或纠纷时，可信中心通过车联网通信中的消息来追溯到事故车辆的真实身份；但是，除可信中心，其他任何车辆或者第三方都不能从车联网的通信消息中获得消息发送车辆的真实身份信息。

进一步的，所述步骤(1.2)中系统公开参数发布和车辆注册的过程如下：

可信中心将其产生的{G,q,P,P_Pub,h,h₁,h₂}作为系统公开参数，并将以上参数预加载到每个注册车辆的车载单元和所有部署在道路上的路边单元中；另外，当车辆注册时，可信中心在每辆车的防篡改设备中存储系统私钥s、车辆的真实身份RID以及防篡改设备的口令PWD。

进一步的，所述步骤(3.1)中消息签名的具体过程如下：

车载单元将消息M输入到防篡改设备中，防篡改设备使用存储的{r,ID,SK}进行以下签名运算：

σ＝SK+r×h₂(M||T)

其中T为当前时间戳，σ即为对消息M所做的签名，将{ID,M,σ,T}输出给车载单元，然后由车载单元进行发送。

进一步的，所述步骤(3.2)中消息签名验证的具体过程如下：

(3.2.1)车载单元或路边单元收到消息{ID,M,σ,T}后，首先检查消息中的时间戳T是否有效，假设收到消息的时间是T_rec，△T为车联网中事先规定的最大传输时延，如果满足△T>T_rec-T，则说明时间戳有效，继续消息的验证过程，否则丢弃此消息；

消息接收方验证以下等式

σP＝h₁(ID₁||ID₂)P_Pub+h₂(M||T)ID₁

如果等式成立，则此消息的签名是合法有效的，接收方接受消息，如果等式不成立，则丢弃此消息；

(3.2.2)车载单元或路边单元接收到多条消息{ID_i,M_i,σ_i,T_i}(1<i<n)时，可以进行消息的批认证过程，首先验证每条消息中各自的时间戳T_i是否有效，同步骤(3.2.1)中单个消息的认证过程一样，如有无效的时间戳，则拒绝验证该条消息；为了保证批认证中的不可否认性，使用小指数测试法，消息接收方选择随机向量v＝{v₁,v₂,…,v_n}，其中v_i是在范围v_i∈[1,2^t]内，t是一个小整数且不会造成较大的计算开销。接收方验证以下等式，

如果等式成立，那么所验证的多条消息都为合法消息，可以接收。

进一步的，所述步骤(4)中车辆真实身份的追溯的具体过程如下：

可信中心根据通信消息{ID,M,σ,T}中的假名ID＝(ID₁,ID₂)，通过等式计算出该消息发送车辆的真实身份RID，由于计算过程中需要用到系统私钥s，所以只有可信中心才可以追溯到车辆的真实身份。

有益效果：与现有技术相比，本发明具有以下优点：

(1)本发明使用车辆的身份信息对车联网中的通信消息进行签名，并且本发明的签名方案具有可证明的安全性。从而消息在通信过程中不会被篡改或伪造，保证消息接收方的通信安全。

(2)本发明通过在车辆的防篡改设备中生成假名，然后使用假名对其所发送的消息进行签名，并且其它车辆或者第三方不能从假名中得到该车辆的真实身份信息，达到了隐私保护和匿名认证的安全需求。

(3)本发明中可信中心在必要的情况下可以根据通信的消息追溯到其发送车辆的真实身份信息并采取相应的交通管制措施，使车辆网络中的恶意攻击者或肇事车辆不能逃脱其责任。

(4)在车联网的现有通信方案中，消息的签名认证普遍采用的基于双线性对的操作是密码学中所需计算开销很大的运算。本发明中的消息签名及认证过程不使用基于双线对的操作，且所使用的椭圆曲线上群的大小相对较小，从而可以有效降低签名和认证所需计算代价，提高车联网系统的整体效率。

附图说明

图1为本发明的系统模型示意图；

图2为本发明中的消息签名及认证的流程图；

图3为本发明的消息批认证的流程图；

图4为实施例中不同方案的消息签名及认证所需计算代价的示意图；

图5为实施例中不同方案的多条消息的批认证所需计算代价的示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

如图1所示，车联网系统主要由三个实体组成，分别是车载单元(OBU)、路边单元(RSU)和可信中心(TA)。

车载单元是装置在每辆车上的设备，通过802.11P协议与周围的车辆或者路边单元进行通信，每100到300毫秒向周围广播车辆状态消息，并且能向车辆驾驶员提供交通服务，例如周边道路地图、寻找最近的加油站、交通拥堵状况等。

路边单元部署到道路或路口两侧的基站，负责管理其通信范围内的所有车载单元间的通信，一般路边单元的通信半径为300到500米。同时与车联网中的其它路边单元及可信中心通过有线网络的安全通道进行通信，比如向可信中心反馈城市中的交通事故情况等。

可信中心是车联网系统的管理中心，负责发布系统参数，进行车辆的注册、管理和追溯等。一般安置在交通管理部门，所以在我们的系统中，可信中心是完全可信的，而车载单元和路边单元都是半可信的。

本发明中的车联网的安全认证方法可用于道路上车辆间的通信以及车辆和路边单元的通信。在保护车辆用户的身份隐私的前提下，为车联网相关消息的通信安全提供保障。

如图2和图3所示，本发明主要分为四个步骤，系统初始化、产生车辆的假名身份及签名私钥、消息的签名及认证、车辆真实身份的追溯。

实施例1：

在基于双线性对的方案中，双线性映射中的群G生成在椭圆曲线y²＝x³+xmodn上，其中n为512比特素数，群G的阶q为160比特素数。在基于椭圆曲线加密ECC的方案中，在达到相同的安全等级的情况下，使用的群G生成在椭圆曲线y²＝x³+ax+bmodn上，其中n为160比特素数，阶q是160比特素数。其中的一些主要的密码学操作定义如下，T_bp为执行一个双线性对操作的时间，基于双线性对的群中执行一个标量点乘的时间为T_mp-bp，基于椭圆曲线ECC的群中执行一个标量点乘的时间为T_mp-ecc，T_mtp为执行一个映射到群上元素的哈希函数的时间。在3.40GHz主频的Intel I7-4770处理器、4Gb内存和windows 7操作系统下的硬件环境中，使用MIRACL密码函数库得到的各个操作的运行时间结果如下：T_bp＝4.211ms，T_mp-bp＝1.709ms，T_mp-ecc＝0.442ms，T_mtp＝4.406ms。

将本实施例中的方案分别就假名和签名的产生阶段、消息签名验证阶段、多条消息签名的批验证阶段三个阶段的计算代价与其它现有技术方案进行对比，如图4和图5所示。在Horng等人的方案中，生成假名{AID_i,1,AID_i,2}的计算需要两个标量点乘和一个映射到群上元素的哈希函数的操作，然后利用假名对消息签名又需要一个标量点乘操作，所以整个假名和签名的产生阶段需要3T_mp-bp+T_mtp＝9.533ms。单个签名的验证中，需要两个双线性对运算和一个点乘运算，计算代价为2T_bp+T_mp-bp＝10.131ms。在多条签名的验证过程中，由于使用批认证和小指数测试的技术，所以n个签名的总共验证时间仍为2T_bp+T_mp-bp＝10.131ms。

本发明的消息签名计算中，假名ID＝(ID₁,ID₂)以及签名私钥SK＝sh₁(ID₁||ID₂)的生成只需要两个标量点乘运算，而在产生签名σ＝SK+r×h₂(M||T)中不需要任何的标量点乘运算，所以总共的假名和签名的产生阶段需要2T_mp-ecc＝0.884ms。消息签名认证中，单个签名的验证过程σP＝h₁(ID₁||ID₂)P_Pub+h₂(M||T)ID₁需要三个标量点乘运算，即3T_mp-ecc＝1.326ms.在n个签名的批验证中，本发明所使用的小指数测试的随机向量v＝{v₁,v₂,…,v_i}中每个v_i都取在很小的范围，不会产生过多额外的计算开销。所以批验证过程也只需要(n+2)个标量点乘运算(n+2)T_mp-ecc＝0.442n+0.884ms。其余的对比方案也可以按照同样的方法进行分析。

从图4和图5可以看出，本发明中的方案由于使用基于椭圆曲线ECC的群来进行密码学的相关运算，从而在计算代价方面比Horng等人和Bayat等人的基于双线性对的方案有很明显的优势，并且在He的方案上也有所提升。而在多条消息签名的批认证过程中，可以看出在需要同时验证100条消息时，本发明中的方案的批认证总时间仍然不到50ms，足以满足在交通拥堵、信息量大时的车联网通信需求。

Claims (5)

1.一种车联网中的高效条件隐私保护和安全认证方法，其特征在于：依次包括以下步骤：

(1)系统初始化：

(1.1)首先由可信中心生成系统参数，可信中心选择椭圆曲线y²＝x³+ax+b(mod)n上的以q为阶的加法群G以及其生成元P，然后随机选择整数作为系统私钥，并计算P_Pub＝sP作为公钥，选择三个安全单向哈希函数

(1.2)可信中心发布系统公开参数并进行车联网中车辆的注册；

(2)产生车辆的假名身份及签名私钥，即在车辆加入道路上的车联网中时，车辆中的防篡改设备产生车辆的假名身份和签名私钥，具体步骤如下：

(2.1)车辆用户向防篡改设备输入其真实身份RID和设备口令PWD，只有在验证{RID，PWD}都正确时，防篡改设备才能被激活并为车辆执行后续的步骤；

(2.2)防篡改设备选择随机数计算假名ID表示为ID＝(ID₁,ID₂)；

(2.3)防篡改设备计算签名私钥SK＝s×h₁(ID₁||ID₂)，并将元组{r,ID,SK}储存在防篡改设备的内存中；

(3)消息的签名及认证：

(3.1)当车联网中的车辆需要发送消息时，车辆将首先通过其车载单元中的防篡改设备对消息进行签名，然后将消息及签名一同发送到网络中；

(3.2)车辆或路边单元从网络中收到消息时，需要先对其中的签名进行验证，验证通过才可以接收此消息，验证不通过则丢弃；当在交通状况复杂、通信的信息量很大时，车辆或路边单元若同时收到大量需要验证的消息，车辆或路边单元则对多条消息进行批认证，从而有效的减少消息验证所需的计算开销；

(4)车辆真实身份的追溯：

当发生交通事故或纠纷时，可信中心通过车联网通信中的消息来追溯到事故车辆的真实身份；但是，除可信中心，其他任何车辆或者第三方都不能从车联网的通信消息中获得消息发送车辆的真实身份信息。

2.根据权利要求1所述的车联网中的高效条件隐私保护和安全认证方法，其特征在于：所述步骤(1.2)中系统公开参数发布和车辆注册的过程如下：

可信中心将其产生的{G,q,P,P_Pub,h,h₁,h₂}作为系统公开参数，并将以上参数预加载到每个注册车辆的车载单元和所有部署在道路上的路边单元中；另外，当车辆注册时，可信中心在每辆车的防篡改设备中存储系统私钥s、车辆的真实身份RID以及防篡改设备的口令PWD。

3.根据权利要求1所述的车联网中的高效条件隐私保护和安全认证方法其特征在于：所述步骤(3.1)中消息签名的具体过程如下：

车载单元将消息M输入到防篡改设备中，防篡改设备使用存储的{r,ID,SK}进行以下签名运算：

σ＝SK+r×h₂(M||T)

其中T为当前时间戳，σ即为对消息M所做的签名，将{ID,M,σ,T}输出给车载单元，然后由车载单元进行发送。

4.根据权利要求3所述的车联网中的高效条件隐私保护和安全认证方法，其特征在于：所述消息签名验证的具体过程如下：

(3.2.1)车载单元或路边单元收到消息{ID,M,σ,T}后，首先检查消息中的时间戳T是否有效，假设收到消息的时间是T_rec，△T为车联网中事先规定的最大传输时延，如果满足△T>T_rec-T，则说明时间戳有效，继续消息的验证过程，否则丢弃此消息；

消息接收方验证以下等式

σP＝h₁(ID₁||ID₂)P_Pub+h₂(M||T)ID₁

如果等式成立，则此消息的签名是合法有效的，接收方接受消息，如果等式不成立，则丢弃此消息；

(3.2.2)车载单元或路边单元接收到多条消息{ID_i,M_i,σ_i,T_i}时，i为大于1的正整数，进行消息的批认证过程，首先验证每条消息中各自的时间戳T_i是否有效，同步骤(3.2.1)中单个消息的认证过程一样，如有无效的时间戳，则拒绝验证该条消息；为了保证批认证中的不可否认性，使用小指数测试法，消息接收方选择随机向量v＝{v₁,v₂,…,v_n}，其中v_i是在范围v_i∈[1,2^t]内，t是一个小整数且不会造成较大的计算开销，接收方验证以下等式，

如果等式成立，那么所验证的多条消息都为合法消息，可以接收。

5.根据权利要求3所述的车联网中的高效条件隐私保护和安全认证方法，其特征在于：所述步骤(4)中车辆真实身份的追溯的具体过程如下：

可信中心根据通信消息{ID,M,σ,T}中的假名ID＝(ID₁,ID₂)，通过等式计算出该消息发送车辆的真实身份RID。