CN108401243A - 车载自组网消息认证方法与系统 - Google Patents

Abstract

本发明公开了一种车载自组网消息认证方法，包括：响应于与第二车辆进行首次通信的指令，第一车辆将第一随机数、第一通信消息和签名发送至路边单元；路边单元在收到第一随机数和第一通信消息后判断第一预设等式是否成立；当判定不成立时，拒绝转发第一通信消息；当判定成立时，利用重签名密钥生成第一通信消息的重签名，将第一通信消息、第一通信消息的重签名和第一随机数发送至第二车辆；第二车辆在收到第一随机数和第一通信消息后判断第二预设等式是否成立；当判定不成立时，第二车辆丢弃第一通信消息；当判定成立时，将第一通信消息确认为可接受消息。采用本发明实施例，能够降低通信开销和计算开销，同时本发明还提供车载自组网消息认证系统。

Description

车载自组网消息认证方法与系统

技术领域

本发明车载自组网技术领域，尤其涉及一种车载自组网消息认证方法与系统。

背景技术

车载自组网是实现车辆与车辆、车辆与路边基础设施之间等通信的自组织网络，能对所有车辆的行驶信息和路况信息进行有效管理，并提供综合的智能交通服务。但车载自组网面临着诸多信息安全问题，其中，消息认证和身份隐私保护问题尤为突出。

国内外对于车载自组网消息认证的研究比较多，Raya等提出了一个车载自组网隐私保护方案，实现了所述第一通信消息的匿名性，但存在密钥存储开销过大等问题。针对该方案的不足，Lin等利用Boneh等的群签名算法设计了一个新的车载自组网消息认证方案，每个车载单元只需存储一个群私钥，但车辆撤销的成本开销较大。Lu等构造了一个实现车辆分级管理的消息认证方案，通过授权认证的所述路边单元(即路边基础设施)向所辖属的车辆颁发证书，有效降低了所述可信认证中心的工作负担，但消息的安全认证高度依赖于所述路边单元的可信性。为了减少对所述路边单元的可信度，Yang等基于代理重签名技术设计了一个可追溯的车载自组网消息认证方案，所述路边单元仅是一个半可信的代理者，但该方案的消息认证效率比较低，需要执行多个双线性对运算。Yang等构造了一个基于门限代理重签名的车载网消息认证方案，能减轻单个所述路边单元作为半可信代理者的安全风险，但该方案需要较大的通信开销和计算开销来实现车辆间的通信，不适用于实时性较高的车载网络。

发明内容

本发明实施例提出车载自组网消息认证方法与系统，能够降低通信开销和计算开销，提高通信的实时性。

本发明一方面提供一种车载自组网消息认证方法，所述方法包括：

响应于与第二车辆进行首次通信的指令，第一车辆生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

在收到第一随机数r₀和所述第一通信消息m₀后，所述路边单元计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

当判定所述第一预设等式不成立时，所述路边单元拒绝转发所述第一通信消息m₀；

当判定所述第一预设等式成立时，所述路边单元利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(mod p)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

所述路边单元将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

所述第二车辆在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

当判定所述第二预设等式不成立时，所述第二车辆丢弃所述第一通信消息m₀；

当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

在一种可选的实施方式中，所述方法还包括：

在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，所述第一车辆计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，所述路边单元判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(mod p)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

在一种可选的实施方式中，所述方法还包括：

响应于系统参数的初始化，所述可信认证中心选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。

在一种可选的实施方式中，所述方法还包括：

响应于私钥公钥对的第一生成指令，所述第一车辆生成第三随机数t₁∈Z_p作为私钥Sk₁，并生成公钥

响应于私钥公钥对的第二生成指令，所述可信认证中心生成第四随机数α∈Z_p作为私钥Sk_TA，并生成公钥Pk_TA＝g^α；

响应于私钥公钥对的第三生成指令，所述路边单元生成第五随机数x∈Z_p作为陷门密钥TK，并生成哈希密钥HK＝y＝g^x。

在一种可选的实施方式中，所述方法还包括：

响应于注册车辆信息的指令，车辆j向所述可信认证中心提交车辆j的车辆信息；其中，车辆j为任一车辆；车辆j的车辆信息包括车辆j的公钥和唯一身份信息；

所述可信认证中心根据预设规则判断车辆j的车辆信息是否真实；

当判定车辆j的车辆信息为真实时，将车辆j的唯一身份标识和公钥作为车辆信息对应保存至用户注册表。

在一种可选的实施方式中，所述方法还包括：

响应于重签名密钥的预设指令，所述路边单元选取第六随机数η∈Z_p，并将第六随机数η发送给所述第一车辆；

所述第一车辆计算η₁＝Sk₁×η(mod p)，并将(ID₁,η₁)发送至所述可信认证中心；其中，ID₁为所述第一车辆的唯一身份信息；

所述可信认证中心判断用户注册表是否保存了与唯一身份信息ID₁对应的车辆信息；

当判定所述用户注册表中保存了与唯一身份信息ID₁对应的车辆信息时，所述可信认证中心计算η₂＝Sk_TA/η₁(mod p)，并将η₂发送至所述路边单元；

所述路边单元在收到η₂后计算重签名密钥rk_1→TA＝η₂η＝(Sk_TA/η₁)η＝(Sk_TA/(Sk₁η))η＝Sk_TA/Sk₁(mod p)；

当判定所述用户注册表中没有保存与唯一身份信息ID₁对应的车辆信息时，则向所述第一车辆发送未注册提示信息。

在一种可选的实施方式中，所述方法还包括：

响应于对车辆身份的追溯指令，所述路边单元根据待追溯通信消息在所述消息转发表中查找与所述待追溯通信消息对应的转发记录，并将查找到的转发记录提交至所述可信认证中心；

所述可信认证中心在所述用户注册表中查找与所述转发记录中的公钥对应的唯一身份信息，以根据查找到的唯一身份信息确定发布所述待追溯通信消息的车辆。

本发明另一方面还提供一种车载自组网消息认证系统，所述系统包括可信认证中心、第一车辆、第二车辆和路边单元；

所述第一车辆包括首次通信模块，用于响应于与第二车辆进行首次通信的指令，生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

所述路边单元包括：

第一判断模块，用于在收到第一随机数r₀和所述第一通信消息m₀后，计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

第一判定模块，用于当判定所述第一预设等式不成立时，拒绝转发所述第一通信消息m₀；

第二判定模块，用于当判定所述第一预设等式成立时，利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(mod p)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

转发模块，用于将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

所述第二车辆包括：

第二判断模块，用于在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

第三判定模块，用于当判定所述第二预设等式不成立时，丢弃所述第一通信消息m₀；

第四判定模块，用于当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

在一种可选的实施方式中，所述第一车辆还包括后续通信模块，用于在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

所述路边单元还包括：

第三判断模块，用于在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

第五判定模块，用于当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

第六判定模块，用于当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(mod p)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆还包括：

第四判断模块，用于在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

第七判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

第八判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

在一种可选的实施方式中，所述可信认证中心包括初始化模块，用于响应于系统参数的初始化，选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。

相对于现有技术，本发明具有如下突出的有益效果：本发明提供了一种车载自组网消息认证方法与系统，其中，所述方法通过采用代理重签名技术，使得半可信的代理者路边单元将车辆对消息的签名转换为可信认证中心对同一个消息的签名，实现通信消息的身份匿名性和可追溯性；通过第二车辆验证第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)，说明σ_B是合法的签名，实现对通信消息的认证。本发明实施例中，第一车辆与第二车辆进行通信时，无需可信认证中心参与，通信开销显著降低，尤其是在后续通信阶段；本发明实施例在消息的签名生成过程中引入陷门哈希函数，有效提升了通信消息的实时性和签名的验证效率，使通信消息的计算开销降低。

附图说明

图1是本发明提供的车载自组网消息认证方法的第一实施例的流程示意图；

图2是本发明提供的车载自组网消息认证系统的第一实施例的结构示意图；

图3是本发明一实施例与现有技术的通信计算开销的对比示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，其是本发明提供的车载自组网消息认证方法的第一实施例的流程示意图，如图1所示，所述方法包括：

步骤S1、响应于与第二车辆进行首次通信的指令，第一车辆将第一随机数、第一通信消息和签名发送至路边单元。响应于与第二车辆进行首次通信的指令，第一车辆生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

步骤S2、路边单元在收到第一随机数和第一通信消息后判断第一预设等式是否成立。在收到第一随机数r₀和所述第一通信消息m₀后，所述路边单元计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

步骤S3、当判定不成立时，拒绝转发第一通信消息。当判定所述第一预设等式不成立时，所述路边单元拒绝转发所述第一通信消息m₀；

步骤S4、当判定成立时，利用重签名密钥生成第一通信消息的重签名。当判定所述第一预设等式成立时，所述路边单元利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(mod p)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

步骤S5、将第一通信消息、第一通信消息的重签名和第一随机数发送至第二车辆。所述路边单元将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

步骤S6、第二车辆在收到第一随机数和第一通信消息后判断第二预设等式是否成立。所述第二车辆在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

步骤S7、当判定不成立时，第二车辆丢弃第一通信消息。当判定所述第二预设等式不成立时，所述第二车辆丢弃所述第一通信消息m₀；

步骤S8、当判定成立时，将第一通信消息确认为可接受消息。当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

需要说明的是，第一车辆和第二车辆是指具有通信功能的车载单元(On-boardUnit，OBU)；车载单元通过DSRC(Dedicated Short Range Communications，专用短程通信技术)与路边单元(RSU)进行通信。路边单元是指路边基础设施，例如电线杆等实体。

即通过采用代理重签名技术，使得半可信的代理者路边单元将车辆对消息的签名转换为可信认证中心对同一个消息的签名，实现通信消息的身份匿名性和可追溯性；通过第二车辆验证第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)，说明σ_B是合法的签名，实现对通信消息的认证。本发明实施例中，第一车辆与第二车辆进行通信时，无需可信认证中心参与，通信开销显著降低，尤其是在后续通信阶段；本发明实施例在消息的签名生成过程中引入陷门哈希函数，有效提升了通信消息的实时性和签名的验证效率，使通信消息的计算开销降低。

在一种可选的实施方式中，所述方法还包括：

在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，所述第一车辆计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，所述路边单元判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(mod p)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

需要说明的是，由于 因此，通过重签名σ_B,i可有效验证路边单元发送消息的合法性。

即判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃，相对于首次通信来说，进一步节省了签名验证的计算开销，提升通信消息的实时性。

在一种可选的实施方式中，所述方法还包括：

响应于系统参数的初始化，所述可信认证中心选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。

需要说明的是，e:G₁×G₁→G₂为双线性映射。

在一种可选的实施方式中，所述方法还包括：

响应于私钥公钥对的第一生成指令，所述第一车辆生成第三随机数t₁∈Z_p作为私钥Sk₁，并生成公钥

响应于私钥公钥对的第二生成指令，所述可信认证中心生成第四随机数α∈Z_p作为私钥Sk_TA，并生成公钥Pk_TA＝g^α；

响应于私钥公钥对的第三生成指令，所述路边单元生成第五随机数x∈Z_p作为陷门密钥TK，并生成哈希密钥HK＝y＝g^x。

在一种可选的实施方式中，所述方法还包括：

响应于注册车辆信息的指令，车辆j向所述可信认证中心提交车辆j的车辆信息；其中，车辆j为任一车辆；车辆j的车辆信息包括车辆j的公钥和唯一身份信息；

所述可信认证中心根据预设规则判断车辆j的车辆信息是否真实；

当判定车辆j的车辆信息为真实时，将车辆j的唯一身份标识和公钥作为车辆信息对应保存至用户注册表。

在一种可选的实施方式中，所述方法还包括：

响应于重签名密钥的预设指令，所述路边单元选取第六随机数η∈Z_p，并将第六随机数η发送给所述第一车辆；

所述第一车辆计算η₁＝Sk₁×η(mod p)，并将(ID₁,η₁)发送至所述可信认证中心；其中，ID₁为所述第一车辆的唯一身份信息；

所述可信认证中心判断用户注册表是否保存了与唯一身份信息ID₁对应的车辆信息；

当判定所述用户注册表中保存了与唯一身份信息ID₁对应的车辆信息时，所述可信认证中心计算η₂＝Sk_TA/η₁(mod p)，并将η₂发送至所述路边单元；

所述路边单元在收到η₂后计算重签名密钥rk_1→TA＝η₂η＝(Sk_TA/η₁)η＝(Sk_TA/(Sk₁η))η＝Sk_TA/Sk₁(mod p)；

当判定所述用户注册表中没有保存与唯一身份信息ID₁对应的车辆信息时，则向所述第一车辆发送未注册提示信息。

在一种可选的实施方式中，所述方法还包括：

响应于对车辆身份的追溯指令，所述路边单元根据待追溯通信消息在所述消息转发表中查找与所述待追溯通信消息对应的转发记录，并将查找到的转发记录提交至所述可信认证中心；

所述可信认证中心在所述用户注册表中查找与所述转发记录中的公钥对应的唯一身份信息，以根据查找到的唯一身份信息确定发布所述待追溯通信消息的车辆。

即通过转发记录确定发布所述待追溯通信消息的车辆，确保了通信过程中车辆身份的隐私性和可追溯性，便于对虚假信息进行追溯。

本发明还提供车载自组网消息认证方法的第二实施例，在本实施例中，所述方法包括：

系统参数初始化步骤：

响应于系统参数的初始化，所述可信认证中心选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}；

私钥公钥生成步骤：

响应于私钥公钥对的第一生成指令，所述第一车辆生成第三随机数t₁∈Z_p作为私钥Sk₁，并生成公钥

响应于私钥公钥对的第二生成指令，所述可信认证中心生成第四随机数α∈Z_p作为私钥Sk_TA，并生成公钥Pk_TA＝g^α；

响应于私钥公钥对的第三生成指令，所述路边单元生成第五随机数x∈Z_p作为陷门密钥TK，并生成哈希密钥HK＝y＝g^x；

车辆信息注册步骤：

响应于注册车辆信息的指令，车辆j向所述可信认证中心提交车辆j的车辆信息；其中，车辆j为任一车辆；车辆j的车辆信息包括车辆j的公钥和唯一身份信息；

所述可信认证中心根据预设规则判断车辆j的车辆信息是否真实；

当判定车辆j的车辆信息为真实时，将车辆j的唯一身份标识和公钥作为车辆信息对应保存至用户注册表；

重签名密钥预设步骤：

响应于重签名密钥的预设指令，所述路边单元选取第六随机数η∈Z_p，并将第六随机数η发送给所述第一车辆；

所述第一车辆计算η₁＝Sk₁×η(mod p)，并将(ID₁,η₁)发送至所述可信认证中心；其中，ID₁为所述第一车辆的唯一身份信息；

所述可信认证中心判断用户注册表是否保存了与唯一身份信息ID₁对应的车辆信息；

当判定所述用户注册表中保存了与唯一身份信息ID₁对应的车辆信息时，所述可信认证中心计算η₂＝Sk_TA/η₁(mod p)，并将η₂发送至所述路边单元；

所述路边单元在收到η₂后计算重签名密钥rk_1→TA＝η₂η＝(Sk_TA/η₁)η＝(Sk_TA/(Sk₁η))η＝Sk_TA/Sk₁(mod p)；

当判定所述用户注册表中没有保存与唯一身份信息ID₁对应的车辆信息时，则向所述第一车辆发送未注册提示信息；

首次通信步骤：

响应于与第二车辆进行首次通信的指令，第一车辆将第一随机数、第一通信消息和签名发送至路边单元。响应于与第二车辆进行首次通信的指令，第一车辆生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；

路边单元在收到第一随机数和第一通信消息后判断第一预设等式是否成立。在收到第一随机数r₀和所述第一通信消息m₀后，所述路边单元计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；在一种可选的实施方式中，在响应于与第二车辆进行首次通信的指令前，所述路边单元预先通过公开的目录获取第一车辆的公钥Pk₁；在一种可选的实施方式中，响应于与第二车辆进行首次通信的指令，第一车辆还通过消息将所述第一车辆的公钥Pk₁发送给路边单元。

当判定不成立时，拒绝转发第一通信消息。当判定所述第一预设等式不成立时，所述路边单元拒绝转发所述第一通信消息m₀；

当判定成立时，利用重签名密钥生成第一通信消息的重签名。当判定所述第一预设等式成立时，所述路边单元利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(mod p)，生成所述第一通信消息m₀的重签名

将第一通信消息、第一通信消息的重签名和第一随机数发送至第二车辆。所述路边单元将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

第二车辆在收到第一随机数和第一通信消息后判断第二预设等式是否成立。所述第二车辆在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；具体地，路边单元注册时即可获得可信认证中心的公钥Pk_TA。

当判定不成立时，第二车辆丢弃第一通信消息。当判定所述第二预设等式不成立时，所述第二车辆丢弃所述第一通信消息m₀；

当判定成立时，将第一通信消息确认为可接受消息。当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃；

后续通信步骤：

在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，所述第一车辆计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，所述路边单元判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(mod p)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

图3是本发明一实施例与现有技术的通信计算开销的对比示意图，如图3所示，一种可追溯的车载自组网隐私保护认证协议(现有技术)中车辆生成通信消息的签名需要执行3次指数运算T_exp和1次加密操作Enc；路边单元为了转换消息的签名，需要执行7次指数运算、3次双线性对运算T_pair和1次解密操作；车辆为了验证通信消息的合法性需要执行5次双线性对运算。在基于门限代理重签名的车载自组网消息认证方案(现有技术)中，每个车辆为了生成通信消息的签名，需要执行1次指数运算和1次加密操作；路边单元为了生成消息的重签名，需要执行1次指数运算、2次双线性对运算和1次解密操作；接受消息的车辆需要执行2次双线性对运算来检查该消息的有效性，故计算开销较大。本发明实施例中，第一车辆首次生成通信消息的签名需要执行3次指数运算，后续通信仅需执行1次指数运算；路边单元首次通信中，转换消息的签名仅需执行3次指数运算和2次双线性对运算，后续通信仅需执行2次双线性对运算；第二车辆首次通信时为了验证通信消息的合法性仅需执行2次指数运算和2次双线性对运算，后续通信仅需执行2次指数运算，因此，本发明实施例相对于现有技术大大减少了计算开销，提高了通信的实时性。

本发明实施例中，第一车辆与第二车辆进行通信时，无需可信认证中心参与，通信开销显著降低，尤其是在后续通信阶段；本发明实施例在消息的签名生成过程中引入陷门哈希函数，有效提升了通信消息的实时性和签名的验证效率，使通信消息的计算开销降低。

图2是本发明提供的车载自组网消息认证系统的第一实施例的结构示意图，如图2所示，所述系统包括可信认证中心40、第一车辆10、第二车辆20和路边单元30；

所述第一车辆包括首次通信模块101，用于响应于与第二车辆进行首次通信的指令，生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

所述路边单元30包括：

第一判断模块301，用于在收到第一随机数r₀和所述第一通信消息m₀后，计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

第一判定模块302，用于当判定所述第一预设等式不成立时，拒绝转发所述第一通信消息m₀；

第二判定模块303，用于当判定所述第一预设等式成立时，利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(mod p)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

转发模块304，用于将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

所述第二车辆20包括：

第二判断模块201，用于在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

第三判定模块202，用于当判定所述第二预设等式不成立时，丢弃所述第一通信消息m₀；

第四判定模块203，用于当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

在一种可选的实施方式中，所述第一车辆还包括后续通信模块，用于在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

所述路边单元还包括：

第三判断模块，用于在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

第五判定模块，用于当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

第六判定模块，用于当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(mod p)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆还包括：

第四判断模块，用于在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

第七判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

第八判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

在一种可选的实施方式中，所述可信认证中心包括初始化模块，用于响应于系统参数的初始化，选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(RandomAccess Memory，RAM)等。

需说明的是，以上所描述的装置或系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种车载自组网消息认证方法，其特征在于，包括：

响应于与第二车辆进行首次通信的指令，第一车辆生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

在收到第一随机数r₀和所述第一通信消息m₀后，所述路边单元计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

当判定所述第一预设等式不成立时，所述路边单元拒绝转发所述第一通信消息m₀；

当判定所述第一预设等式成立时，所述路边单元利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(modp)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

所述路边单元将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

所述第二车辆在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

当判定所述第二预设等式不成立时，所述第二车辆丢弃所述第一通信消息m₀；

当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

2.如权利要求1所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，所述第一车辆计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，所述路边单元判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(modp)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

3.如权利要求2所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

响应于系统参数的初始化，所述可信认证中心选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。

4.如权利要求3所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

响应于私钥公钥对的第一生成指令，所述第一车辆生成第三随机数t₁∈Z_p作为私钥Sk₁，并生成公钥

响应于私钥公钥对的第二生成指令，所述可信认证中心生成第四随机数α∈Z_p作为私钥Sk_TA，并生成公钥Pk_TA＝g^α；

响应于私钥公钥对的第三生成指令，所述路边单元生成第五随机数x∈Z_p作为陷门密钥TK，并生成哈希密钥HK＝y＝g^x。

5.如权利要求2所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

响应于注册车辆信息的指令，车辆j向所述可信认证中心提交车辆j的车辆信息；其中，车辆j为任一车辆；车辆j的车辆信息包括车辆j的公钥和唯一身份信息；

所述可信认证中心根据预设规则判断车辆j的车辆信息是否真实；

当判定车辆j的车辆信息为真实时，将车辆j的唯一身份标识和公钥作为车辆信息对应保存至用户注册表。

6.如权利要求5所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

响应于重签名密钥的预设指令，所述路边单元选取第六随机数η∈Z_p，并将第六随机数η发送给所述第一车辆；

所述第一车辆计算η₁＝Sk₁×η(modp)，并将(ID₁,η₁)发送至所述可信认证中心；其中，ID₁为所述第一车辆的唯一身份信息；

所述可信认证中心判断用户注册表是否保存了与唯一身份信息ID₁对应的车辆信息；

当判定所述用户注册表中保存了与唯一身份信息ID₁对应的车辆信息时，所述可信认证中心计算η₂＝Sk_TA/η₁(modp)，并将η₂发送至所述路边单元；

所述路边单元在收到η₂后计算重签名密钥rk_1→TA＝η₂η＝(Sk_TA/η₁)η＝(Sk_TA/(Sk₁η))η＝Sk_TA/Sk₁(modp)；

当判定所述用户注册表中没有保存与唯一身份信息ID₁对应的车辆信息时，则向所述第一车辆发送未注册提示信息。

7.如权利要求6所述的车载自组网消息认证方法，其特征在于，所述方法还包括：

响应于对车辆身份的追溯指令，所述路边单元根据待追溯通信消息在所述消息转发表中查找与所述待追溯通信消息对应的转发记录，并将查找到的转发记录提交至所述可信认证中心；

所述可信认证中心在所述用户注册表中查找与所述转发记录中的公钥对应的唯一身份信息，以根据查找到的唯一身份信息确定发布所述待追溯通信消息的车辆。

8.一种车载自组网消息认证系统，其特征在于，包括可信认证中心、第一车辆、第二车辆和路边单元；

所述第一车辆包括首次通信模块，用于响应于与第二车辆进行首次通信的指令，生成第一随机数r₀∈Z_p，计算第一通信消息m₀的第一哈希函数值生成所述第一通信消息m₀的签名并将第一随机数r₀、所述第一通信消息m₀和签名σ_A发送至所述路边单元；其中，g为阶为素数p的群G₁的一个生成元，陷门哈希密钥对为(TK,HK)＝(x,y＝g^x)；哈希函数为H:{0,1}^*→G₁；Sk₁为所述第一车辆的私钥；

所述路边单元包括：

第一判断模块，用于在收到第一随机数r₀和所述第一通信消息m₀后，计算第二哈希函数值并判断第一预设等式e(σ_A,g)＝e(H(M₂),Pk₁)是否成立；Pk₁为所述第一车辆的公钥；

第一判定模块，用于当判定所述第一预设等式不成立时，拒绝转发所述第一通信消息m₀；

第二判定模块，用于当判定所述第一预设等式成立时，利用预设的重签名密钥rSk_1→TA＝Sk_TA/Sk₁(modp)，生成所述第一通信消息m₀的重签名Sk_TA为可信认证中心的私钥；

转发模块，用于将所述第一通信消息m₀、所述第一通信消息m₀的重签名σ_B和第一随机数r₀发送至所述第二车辆，并将所述第一通信消息m₀和所述第一车辆的公钥Pk₁作为转发记录对应保存至消息转发表；

所述第二车辆包括：

第二判断模块，用于在收到第一随机数r₀和所述第一通信消息m₀后，生成所述第一通信消息m₀的第三哈希函数值并判断第二预设等式e(σ_B,g)＝e(H(M₃),Pk_TA)是否成立；其中，Pk_TA为所述可信认证中心的公钥；

第三判定模块，用于当判定所述第二预设等式不成立时，丢弃所述第一通信消息m₀；

第四判定模块，用于当判定所述第二预设等式成立时，所述第二车辆将所述第一通信消息m₀确认为可接受消息并保存第三哈希函数值M₃。

9.如权利要求8所述的车载自组网消息认证系统，其特征在于，

所述第一车辆还包括后续通信模块，用于在所述第二车辆将所述第一通信消息m₀确认为可接受消息后，响应于向所述第二车辆发送第二通信消息m_i的指令，计算所述第二通信消息m_i的签名并将所述第二通信消息m_i的签名和所述第二通信消息m_i发送至所述路边单元；

所述路边单元还包括：

第三判断模块，用于在收到所述第二通信消息m_i、所述第二通信消息m_i的签名和所述第一车辆的公钥Pk₁后，判断第三预设等式e(σ_A,i,g)＝e(H(m_i),Pk₁)是否成立；

第五判定模块，用于当判定所述第三预设等式不成立时，所述路边单元拒绝转发所述第二通信消息m_i；

第六判定模块，用于当判定所述第三预设等式成立时，所述路边单元生成第二随机数r_i∈Z_p，并生成所述第二通信消息m_i的重签名σ_B,i＝r_i＝r₀+x(m₀-m_i)(modp)，将所述第二通信消息m_i和所述第二通信消息m_i的重签名σ_B,i发送至所述第二车辆，并将所述第二通信消息m_i和所述第一车辆的公钥Pk₁作为转发记录对应保存至所述消息转发表；

所述第二车辆还包括：

第四判断模块，用于在收到第二随机数r_i和所述第二通信消息m_i后，生成所述第二通信消息m_i的哈希函数值并判断所述第二通信消息m_i的哈希函数值是否等于所述第一通信消息m₀的第三哈希函数值M₃；

第七判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆将所述第二通信消息m_i确定为可接受消息；

第八判定模块，用于当判定所述第二通信消息m_i的哈希函数值M_i不等于所述第一通信消息m₀的第三哈希函数值M₃时，所述第二车辆丢弃所述第二通信消息m_i。

10.如权利要求8或9所述的车载自组网消息认证系统，其特征在于，所述可信认证中心包括初始化模块，用于响应于系统参数的初始化，选取两个阶为素数p的群G₁和G₂，令g为群G₁的一个生成元，并映射e:G₁×G₁→G₂，给定陷门哈希密钥对(TK,HK)＝(x,y＝g^x)和消息随机数对(m,r)，定义对应的陷门哈希函数TH_HK(m,r)＝g^ry^m，并选择抗碰撞的哈希函数H:{0,1}^*→G₁，以初始化系统参数param＝{G₁,G₂,p,g,y,TH_HK,H}。