CN110881177B

CN110881177B - 基于身份秘密共享的抗量子计算分布式车联网方法及系统

Info

Publication number: CN110881177B
Application number: CN201911006780.XA
Authority: CN
Inventors: 富尧; 钟一民; 余秋炜
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2019-10-22
Filing date: 2019-10-22
Publication date: 2022-12-06
Anticipated expiration: 2039-10-22
Also published as: CN110881177A

Abstract

本申请涉及一种基于身份秘密共享的抗量子计算分布式车联网方法及系统，在相互通信的第三方信任机构、多个路边单元以及车载单元，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥。采用本方法进一步提高了在车联网中各方进行通信过程中，车载单元身份标识的安全性。

Description

基于身份秘密共享的抗量子计算分布式车联网方法及系统

技术领域

本申请涉及秘密共享领域，特别是涉及一种基于身份秘密共享的抗量子计算分布式车联网方法及系统。

背景技术

车载自组织网络(VANET,vehicular ad hoc network)是一种利用无线局域网技术，以车辆和路边单元作为网络节点，为车与车(V2V)、车与路边单元(V2R)之间提供通信服务而创建的移动网络。VANET是无线Mesh网络的一种应用，无线Mesh网络融合了无线局域网和自组织网络(ad hoc)的优势，是一种大容量、高速率、覆盖范围广的网络。同时无线Mesh网络的分层拓扑结构能够提供可靠传输，具备可扩展性好、前期投资低等特性，是无线宽带接入的理想解决方案。

VANET一般由3部分组成：第三方信任机构(TA,trust authority)、路边单元(RSU,road side unit)、车载单元(OBU,on board unit)。TA是公认的第三方信任机构，用于车辆和路边基础设施的注册，产生公共参数，分发密钥等。只有TA能够揭露节点的真实身份；RSU是建立在路边的基础设施，用于为车辆节点提供网络接入服务；OBU是装载在车辆上的通信单元，通常集成嵌入式系统、防篡改安全模块、全球导航定位系统等。

在VANET中，车辆与车辆的通信、车辆与RSU的通信都是在开放式的无线网络环境下进行的，因此很容易被攻击者攻击，从而导致用户信息(如用户身份、密码、位置信息等)被泄露。

现有技术存在的问题：

1.OBU的ID如公开，可能造成车主信息泄露。如果ID在多个位置被记录，则可以实现ID追踪，某些应用场景下属于严重的信息泄露；

2.给OBU颁发对称密钥，由于对称密钥无法进行可靠的数字签名，因此对身份识别不利；

3.给OBU颁发非对称密钥对，并用私钥进行数字签名，该方式由于验证数字签名时公钥需要公开，不能抵抗量子计算；

4.给OBU颁发非对称密钥的私钥，并将公钥存于服务器，则可以抵抗量子计算，但由于服务器处的公钥由ID或类似ID的公钥指针随机数所识别，因此ID或公钥指针随机数必须公开，造成用户信息泄露；

5.整个车联网系统的最重要单元是TA，万一其存储信息被盗取，可能造成严重后果。

6.为了保护车辆的位置隐私，通常的做法是每辆车都需要大量的化名并且定期更新化名，或者给车辆分配大量证书的匿名认证方案。该方案给TA带来很大的证书颁发的工作量以及后续证书验证的工作量，容易造成TA工作负担过重。

发明内容

基于此，有必要针对上述技术问题，提供一种基于身份秘密共享的抗量子计算分布式车联网方法及系统。

一种基于身份秘密共享的抗量子计算分布式车联网方法，实施在车联网成员之间，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥；

所述抗量子计算分布式车联网方法包括：

当设置有车载单元的车辆需要在当前路边单元覆盖范围内进行通信，则所述路边单元以及第三方信任机构进行认证，通过认证后，由所述第三方信任机构以及路边单元生成与车载单元相应的信息，并颁发至车载单元，其中由所述路边单元基于所述主密钥以及化名，生成化名私钥，所述化名私钥用于所述车载单元在当前路边单元覆盖范围内进行广播。

可选的，所述第三信任机构还配置有密钥管理服务器用于向所述车载单元生成及颁发密钥卡，所述第三信任机构生成及颁发车载单元密钥卡具体包括：

基于密钥管理服务器生成身份标识以及身份随机数；

根据所述身份标识基于身份秘密共享理论，生成第一密钥分量以及第二密钥分量；

根据所述第一密钥分量，第一路边单元的身份标识以及身份随机数的哈希值作为列表条目存储在所述身份列表中；

根据所述第二密钥分量以及身份随机数的哈希值进行相应操作，生成第二密钥分量信息，选择第一路边单元作为密钥分发对象，将所述第二密钥分量信息发送至所述第一路边单元；

根据所述主密钥、身份标识以及身份随机数进行计算，得到私钥，并将所述私钥、身份标识以及身份随机数分配给车载单元密钥卡；

获取消息确认码，经过验证，以完成车载单元的身份注册以及身份标识的秘密共享。

可选的，所述第三方信任机构发送所述第二密钥分量信息至所述第一路边单元，在第一路边单元中进行如下步骤：

获取所述第二密钥分量，将所述第二密钥分量存储在所述身份列表中，并相应制作消息确认码发送给所述第三方信任机构。

可选的，所述第三信任机构以及路边单元的密钥卡中均存储有身份列表，所述身份列表中存贮有各所述车载单元的身份标识分量，所述当设置有车载单元的车辆需要在当前路边单元覆盖范围内进行通信，则所述路边单元以及第三方信任机构进行认证，具体包括：

步骤1，所述车载单元向覆盖当前区域的第二路边单元发送第一消息，所述第一消息包括匿名身份标识，所匿名身份标识由所述身份随机数进行哈希计算得到；

步骤2，所述第二路边单元接收所述第一消息，根据所述第一消息、己方的身份标识以及群密钥进行计算得到第二消息，并发送给第三方信任机构；

步骤3，所述第三方信任机构接收所述第二消息，进行相应操作生成第三消息，并送至所述第一路边单元；

步骤4，所述第一路边单元接收所述第三消息，进行相应操作生成第四消息并发送至第三方信任机构；

步骤5，所述第三方信任机构接收第四信息，进行相应操作生成第五消息并发送至第二路边单元；

步骤6，所述第二路边单元接收第五消息，进行相应操作生成第六信息并发送至车载单元；

步骤7，所述车载单元接收所述第六消息，进行相应操作生成第七消息并发送至所述第二路边单元；

步骤8，所述第二路边单元接收到所述第七消息后，经验证，以完成对所述车载单元的匿名认证。

可选的，所述步骤3具体包括：

根据所述匿名身份标识在身份列表中搜索相应的列表条目，得知所述车载单元的第二密钥分量存储在第一路边单元中；

根据第一密钥分量以及第二消息进行计算得到第三消息，并送至所述第一路边单元；

可选的，所述步骤4具体包括：

获取第一密钥分量，并根据所述匿名身份标识在身份列表中搜索相应的列表条目，获取所述车载单元的第二密钥分量；

根据所述第二密钥分量以及第一密钥分量进行计算，得到所述车载单元的身份标识以及身份参数；

根据所述身份标识以及身份随机数生成第四消息。

可选的，所述步骤5，具体包括：

生成第一对称密钥以及第二对称密钥，所述第一对称密钥为会话密钥；

根据所述会话密钥、匿名身份标识、第二路边单元的身份标识以及第二对称密钥进行加密后得到第一密文；

根据所述会话密钥、第二路边单元的身份标识以及匿名身份标识进行加密计算，得到第二密文；

生成新身份随机数，根据所述新身份随机数、主密钥以及身份标识进行计算，得到新私钥；

生成化名，根据化名生成化名集合；

根据所述新私钥、新身份随机数、群密钥以及化名集合进行加密计算，得到第三密文；

根据所述第一密文、第二密文以及第三密文生成第五消息。

可选的，所述步骤6，具体包括：

对所述第二密文进行相应解密，得到会话密钥；

对所述第三密文进行相应解密，得到所述化名集合；

根据所述化名、群密钥以及主密钥进行计算，得到化名私钥；

根据第二路边单元的系统公钥、多个化名私钥及化名的集合进行计算，得到化名秘钥组；

根据所述会话密钥、化名秘钥组、第一密文以及第三密文生成第六信息并发送至车载单元。

可选的，所述步骤7，具体包括：

对所述第一密文进行相应解密，得到所述会话密钥；

对所述第三密文进行相应解密，得到所述新身份随机数、新私钥以及群密钥；

根据所述新身份随机数以及新私钥在密钥卡中进行相应更新，将所述群密钥以及化名密钥组进行存储，并根据化名密钥组获得化名以及化名私钥；

根据所述会话密钥生成第七消息。

本发明还提供了一种基于身份秘密共享的抗量子计算分布式车联网系统，包括车联网成员，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥；

所述联盟链和用户包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述的基于身份秘密共享的抗量子计算分布式车联网方法。

上述基于身份秘密共享的抗量子计算分布式车联网方法及系统，通过使用身份秘密共享理论的方式，将车辆网中车载单元的身份标识进行隐藏，采用假身份标识方式，实现不公开身份标识却可以让车辆网系统识别己方用户的目的。并对车载单元进行匿名认证时，由路边单元基于主密钥生成化名私钥以减少第三方信任机构的工作量。在本发明中敌方无法通过通信与存储数据得到用户的真实身份标识，则敌方无法实现身份标识追踪，隐藏身份标识的方法大大提高了安全性。

附图说明

图1为一个实施例中基于身份秘密共享的抗量子计算分布式车联网系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了更好地描述和说明本申请的实施例，可参考一幅或多幅附图，但用于描述附图的附加细节或示例不应当被认为是对本申请的发明创造、目前所描述的实施例或优选方式中任何一者的范围的限制。

应该理解的是，除非本文中有明确的说明，各步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

如图1所示，提供了一种基于身份秘密共享的抗量子计算分布式车联网方法，实施在车联网成员之间，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥。

在本实施例中，密钥池体系中使用的密钥卡，可存储大数据量的密钥，也具备处理信息的能力。本发明中，用户端和服务端的本地系统中都存在相应需求的算法。

密钥卡从智能卡技术上发展而来，是结合了密码学技术、硬件安全隔离技术、量子物理学技术(搭载量子随机数发生器的情况下)的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，密钥卡成为私钥和密钥池的安全载体。每一个密钥卡都有硬件PIN码保护，PIN码和硬件构成了用户使用密钥卡的两个必要因素。即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码，才可以登录系统。即使用户的PIN码被泄露，只要用户持有的密钥卡不被盗取，合法用户的身份就不会被仿冒；如果用户的密钥卡遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。总之，密钥卡使得密钥等绝密信息不以明文形式出现在主机的磁盘及内存中，从而能有效保证绝密信息的安全。

如图1所示，本方法具体包括第三方信任机构(TA,trust authority)、路边单元(RSU,road side unit)、车载单元(OBU,on board unit)。

在本实施例中，TA的从属设备RSU设备为Nu个，可表示为RSUnu(nu∈[0,Nu-1])。TA设备与RSUnu之间加密通信方式可选为设备间搭建有QKD通道，可通过QKD设备颁发对称密钥，或者通过RSUnu带有的密钥卡，利用存有TA预颁发的对称密钥池进行协商密钥。

如图1所示，车辆通过OBU(车载单元)与路边的RSU连入车联网络中。OBU(车载单元)配备有TA预颁发的密钥卡。本发明中使用身份标识密码技术，密码系统参数由TA中的密钥管理服务器建立。创建原理如下：

(1)先选择一个长度大于等于1024比特的素数p，找一个满足WDH安全假设的超奇异椭圆曲线E/GF(p)，E/GF(p)的q阶子群G，G的生成元P和双线性映射

G×G→GF(p²)^*；

(2)定义hash函数H1：GF(p²)→{0，1}ⁿ和H2：

及一个用于将用户身份ID映射到椭圆曲线上阶为q点的函数H3：{0，1}ⁿ→E/GF(p)；

(3)明文空间是：M＝{0，1}ⁿ，密文空间是：C＝E/GF(p)×{0，1}ⁿ；

(4)随机地取s∈Z_q ^*作为该算法系统的主密钥s仅保存在密钥管理服务器，计算系统公钥P_pub＝s·P；

所述算法参数

存储在密钥管理服务器的主机密钥板卡上。设TA的认证服务器ID为IDTA，则其公钥为PKTA＝H3(IDTA)，私钥为SKTA＝s*PKTA，所有密钥内均存储有TA设备的ID及算法参数

RSU设备的密钥卡存储有TA颁发的对称密钥池。TA中密钥管理服务器对其管辖内所有RSU设备的对称密钥池均有备份，为对称密钥池群。每个RSU设备都会随机地取s(RSUnu)∈Z_q ^*作为本地RSU设备的主密钥。并且会计算相应的系统公钥P_pub(RSUnu)＝s(RSUnu)·P

TA及RSU设备密钥卡内都有建立相应的ID列表，用于存储车辆密钥卡ID的秘密碎片。

在本实施例中，所述抗量子计算分布式车联网方法包括：

在本实施例中，所述第三信任机构还配置有密钥管理服务器用于向所述车载单元生成及颁发密钥卡，所述第三信任机构生成及颁发车载单元密钥卡具体包括：基于密钥管理服务器生成身份标识以及身份随机数；根据所述身份标识基于身份秘密共享理论，生成第一密钥分量以及第二密钥分量；根据所述第一密钥分量，第一路边单元的身份标识以及身份随机数的哈希值作为列表条目存储在所述身份列表中；根据所述第二密钥分量以及身份随机数的哈希值进行相应操作，生成第二密钥分量信息，选择第一路边单元作为密钥分发对象，将所述第二密钥分量信息发送至所述第一路边单元；根据所述主密钥、身份标识以及身份随机数进行计算，得到私钥，并将所述私钥、身份标识以及身份随机数分配给车载单元密钥卡；获取消息确认码，经过验证，以完成车载单元的身份注册以及身份标识的秘密共享。

在本实施例中，所述第三方信任机构发送所述第二密钥分量信息至所述第一路边单元，在第一路边单元中进行如下步骤：获取所述第二密钥分量，将所述第二密钥分量存储在所述身份列表中，并相应制作消息确认码发送给所述第三方信任机构。

在本实施例中，所述第三信任机构以及路边单元的密钥卡中均存储有身份列表，所述身份列表中存贮有各所述车载单元的身份标识分量，所述当设置有车载单元的车辆需要在当前路边单元覆盖范围内进行通信，则所述路边单元以及第三方信任机构进行认证，具体包括：

进一步的，所述步骤3具体包括：根据所述匿名身份标识在身份列表中搜索相应的列表条目，得知所述车载单元的第二密钥分量存储在第一路边单元中；根据第一密钥分量以及第二消息进行计算得到第三消息，并送至所述第一路边单元；

进一步的，所述步骤4具体包括：获取第一密钥分量，并根据所述匿名身份标识在身份列表中搜索相应的列表条目，获取所述车载单元的第二密钥分量；根据所述第二密钥分量以及第一密钥分量进行计算，得到所述车载单元的身份标识以及身份参数；根据所述身份标识以及身份随机数生成第四消息。

进一步的，所述步骤5，具体包括：生成第一对称密钥以及第二对称密钥，所述第一对称密钥为会话密钥；根据所述会话密钥、匿名身份标识、第二路边单元的身份标识以及第二对称密钥进行加密后得到第一密文；根据所述会话密钥、第二路边单元的身份标识以及匿名身份标识进行加密计算，得到第二密文；生成新身份随机数，根据所述新身份随机数、主密钥以及身份标识进行计算，得到新私钥；生成化名，根据化名生成化名集合；根据所述新私钥、新身份随机数、群密钥以及化名集合进行加密计算，得到第三密文；根据所述第一密文、第二密文以及第三密文生成第五消息。

进一步的，所述步骤6，具体包括：对所述第二密文进行相应解密，得到会话密钥；对所述第三密文进行相应解密，得到所述化名集合；根据所述化名、群密钥以及主密钥进行计算，得到化名私钥；根据第二路边单元的系统公钥、多个化名私钥及化名的集合进行计算，得到化名秘钥组；根据所述会话密钥、化名秘钥组、第一密文以及第三密文生成第六信息并发送至车载单元。

进一步的，所述步骤7，具体包括：对所述第一密文进行相应解密，得到所述会话密钥；对所述第三密文进行相应解密，得到所述新身份随机数、新私钥以及群密钥；根据所述新身份随机数以及新私钥在密钥卡中进行相应更新，将所述群密钥以及化名密钥组进行存储，并根据化名密钥组获得化名以及化名私钥；根据所述会话密钥生成第七消息。

就各步骤细节进一步描述基于身份秘密共享的抗量子计算分布式车联网方法的具体流程如下所示：

实施例1、车辆注册及ID秘密共享：

步骤1

TA为用于车辆的密钥卡生成一个身份ID为IDV，同时从有限域E/GF(p)中随机取出一个元素为IDR。

步骤2

TA根据nu＝H(IDR)％Nu，选择RSUnu作为密钥分发对象。TA对IDV进行(2,2)的秘密共享，以下为秘密共享的计算过程。构造函数得到fID(x)＝IDV+IDR*x，并随机取一个密钥指针地址xp，根据xp从RSUnu对应的对称密钥池取出相应长度的随机数x＝x1||x2。其中,x1与x2不能相等；如相等则更换xp重新选取随机数。计算得到2个秘密即密钥分量为(x1,ID1＝fID(x1))，(x2,ID2＝fID(x2))。

凑齐2组秘密可以恢复密钥卡ID，具体步骤：2组秘密根据公式

((-xj)/(xi-xj))求得拉格朗日参数λ1＝(-x2)/(x1-x2)和λ2＝(-x1)/(x2-x1)。求得IDV＝λ1*ID1+λ2*ID2＝(x1*ID2-x2*ID1)/(x1-x2)，另外，IDR＝(ID2-ID1)/(x2-x1)。

设Mxp＝H(IDR)||ID2，其中H(m)函数为经典的哈希函数。利用x对Mxp进行加密及消息认证码计算得到{Mxp}x||MAC(xp||Mxp,x)，其中MAC(m,k)为消息认证算法，k为密钥，m为消息内容。TA将密钥指针地址xp和{Mxp}x||MAC(xp||Mxp,x)打包得到xp||{Mxp}x||MAC(xp||Mxp,x)并发送至RSUnu。同时TA将H(IDR)||ID1||IDRSUnu||H(IDA)作为一个列表条目存储在本地ID列表中，其中，IDRSUnu为RSUnu设备密钥卡内存储的身份ID。TA利用IDV计算得到车辆的私钥SKV＝s*H3(IDV||IDR)。将私钥SKV和IDV||IDR和算法参数分配代注册的车辆密钥卡。

步骤3

RSUnu收到来自TA的密文xp||{Mxp}x||MAC(xp||Mxp,x)。根据xp取出x，用x解密并进行消息认证得到Mxp＝H(IDR)||ID2。RSUnu将H(IDR)||x1||(x2,ID2)存放于安全存储器中的ID列表中。RSUnu发送响应xp||{ACK}x||MAC(xp||ACK,x)到TA，ACK为确认成功或失败消息。

TA收到消息后，用x解密得到ACK，使用x对xp和ACK计算消息认证码并与收到的MAC(xp||ACK,x)比较。验证通过后，若ACK显示确认成功，则至此车辆注册及ID秘密共享完成。

实施例2、车辆匿名认证

匿名认证目的：

获得TA认证，并获取新的化名、化名对应的私钥及本地RSU覆盖区域的群密钥GK_RSU。群密钥可更新，例如一天更新一次。本地RSU覆盖区域可以超过该RSU无线信号覆盖区域，到达无线信号覆盖区域之外。例如，规定某RSU无线信号覆盖区域以及该RSU附近的某个小区的并集为该RSU覆盖区域。

本实施例的场景为在车辆A首次连入车联网络或者为从长时间的信号屏蔽区进入到信号覆盖区，进入的是RSUB覆盖区域。设车辆A的公私钥对为PKA/SKA。

步骤1：车辆A向设备RSUB发送认证请求

车辆A的密钥卡内用于身份ID秘密共享计算的随机数IDRA的哈希值，可表示为PIDA＝H(IDRA)。车辆A取一时间戳为NA，并和PIDA合并得到M1_0＝PIDA||NA。车辆A对M1_0和自身身份ID进行签名，计算得到U＝r*PKA，r为有限域E/GF(p)内随机取得的一个元素。计算得到h＝H2(M1_0||IDA,U)，V＝(r+h)*SKA。签名SIGN(M1_0||IDA,SKA)＝(U,V)。使得M1＝M1_0||SIGN(M1_0||IDA,SKA)。车辆A将认证请求M1发送至设备RSUB。

由于本专利的身份IDA不公开，敌方无法得到公钥PKA；因此敌方无法通过U和公钥PKA得到随机数r。由于签名的内容无法被敌方所知，因此敌方无法通过签名内容得到h；由于敌方无法得到r和h，因此敌方无法通过V＝(r+h)*SKA得到私钥SKA。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

步骤2：设备RSUB转发认证请求至TA

设备RSUB收到来自车辆A的认证请求M1。RSUB取时间戳NB，打包得到M2_0＝M1||IDRSUB||NB，其中IDRSUB为RSUB的身份ID。进行加密及消息认证码的计算得到M2＝M2_0||MAC(M2_0,K_RSUB)，K_RSUB为RSUB与TA协商得到的对称密钥。RSUB将M2发送至TA。

步骤3：TA转发认证请求至设备RSUA

TA收到来自RSUB的消息M2，利用对称密钥K_RSUB对M2进行解密并消息认证得到M2_0，同时验证消息中时间戳NA和NB的时效性。根据PIDA从本地ID列表中找到列表条目，即：PIDA||IDA1||IDRSUA，使M3_0＝M2_0，M3_1＝IDA1||H(IDA)。TA利用与RSUA协商的对称密钥K_RSUA进行消息认证码的计算，打包得到M3＝M3_0||{M3_1}K_RSUA||MAC(M3_0||M3_1,K_RSUA)，TA将M3发送至设备RSUA。

步骤4：RSUA返回应答

RSUA收到来自TA的消息M3，利用对称密钥K_RSUA进行解密并消息认证，再检验消息中时间戳NA和NB的时效性。根据消息M3中的PIDA在本地ID列表中寻找对应的列表条目，即条目：PIDA||x1||(x2,IDA2)。根据本地的x1和(x2,IDA2)以及消息M3中的IDA1得到两个秘密碎片，通过两个秘密碎片计算恢复得到车辆A的身份编号：IDA和对应的随机数IDRA。对IDA进行哈希值计算并校验M3_1中的H(IDA)。

计算得到车辆A的公钥PKA＝H3(IDA||IDRA)，利用公钥PKA验证签名SIGN(M1_0||IDA,SKA)，上文所述签名及现在的验证签名是基于IBS签名算法实现的，见《An Identity-Based Signature from Gap Diffie-Hellman Groups》。如果数字签名验证失败，则M4_0＝失败消息，反之，则M4_0＝IDA||IDRA。利用对称密钥K_RSUA对M4_0进行加密且消息认证码计算，得到M4＝{M4_0}K_RSUA||MAC(M4_0,K_RSUA)。将消息M4返还至TA。这里由众多RSU来验证车辆签名，为TA分担了计算压力。

步骤5：TA更新车辆ID并发送至RSUB

TA利用对称密钥K_RSUA对消息M4进行解密并消息认证，如果解密得到失败消息，则认证失败，流程结束；如果解密得到IDA||IDRA，则进行正常认证流程。TA产生两个对称密钥KAB和KTA，利用A的公钥PKA＝H3(IDA||IDRA)对KTA进行IBE算法加密得到CTA＝(UTA,VTA)，利用PKA进行偏移量计算得到(UTA-PKA,VTA)。IBE算法见《Identity-BasedEncryption from the Weil Pairing》。分别打包认证反馈消息得到TICKETA＝{PIDA||NA||IDRSUB||KAB}KTA||(UTA-PKA,VTA)和TICKETB＝{IDRSUB||NB||PIDA||KAB}K_RSUB。TA为车辆A生成一个新的用于秘密共享的随机元素IDRA’。将IDA进行(2,2)秘密共享计算得到新的两个秘密碎片，按步骤1中的规则，将秘密碎片分发至本地和对应的RSU设备，如RSUC。TA产生一个用于RSUB覆盖区域下使用的群密钥GK_RSUB，如果相应群密钥存储区已有GK_RSUB，则不产生新的群密钥。群密钥可以是TA为RSU设备颁发密钥卡时存储在RSU密钥卡的密钥区，也可以是由RSU设备启用后，由TA颁发至RSU设备。设M5_0＝IDRA’||GK_RSUB，利用KTA进行对称加密及消息认证码的计算得到UPDATEA＝{M5_0}KTA||MAC(M5_0,KTA)。设M5_1＝GK_RSUB||Σ{ALIAS}。其中，ALIAS为化名，用于计算车辆收发广播消息所使用的非对称密钥。利用K_RSUB对M5_1进行对称加密及消息认证码的计算得到UPDATEB＝{M5_1}K_RSUB||MAC(M5_1,K_RSUB)。

TA打包消息得到M5，可表示为M5＝TICKETA||UPDATEA||TICKETB||UPDATEB。将消息M5发送至设备RSUB。

步骤6：RSUB转发消息至车辆A

RSUB设备接收到来自TA的消息M5，利用对称密钥K_RSUB对M5中的TICKETB进行解密得到TA颁发的会话密钥KAB。利用对称密钥K_RSUB对M5中的UPDATEB进行解密得到M5_1＝GK_RSUB||Σ{ALIAS}。将群密钥GK_RSUB与本地群密钥进行对比，如不一致，则更换为GK_RSUB。令M6_0＝P_pub(RSUB)||Σ{ALIAS||ASK}，其中P_pub(RSUB)为RSUB设备的系统公钥，ASK为对应ALIAS的私钥，可表示为ASK＝s(RSUB)*H3(ALIAS||GK_RSUB)。

RSUB产生一个随机数NC，利用KAB进行加密和消息认证码计算得到{NC||M6_0}KAB||MAC(NA||NC||M6_0,KAB)。RSUB打包消息得到M6，可表示为M6＝TICKETA||UPDATEA||{NC||M6_0}KAB||MAC(NA||NC||M6_0,KAB)。RSUB将消息M6返回至车辆A。

步骤7：车辆A更新数据，并返回认证应答

车辆A利用自身公钥PKA对TICKETA中的(UTA-PKA,VTA)进行偏移量逆计算，即对UTA-PKA加上PKA，得到(UTA,VTA)，利用A的私钥对(UTA,VTA)解密得到密钥KTA。利用KTA对{PIDA||NA||IDRSUB||KAB}KTA解密得到TA颁发的会话密钥KAB。同时验证PIDA和NA是否与自身请求消息中的一致。车辆A利用KAB对{NC||M6_0}KAB进行解密，并对MAC(NA||NC||M6_0,KAB)消息认证，从而认证RSUB为合法身份。

车辆A利用KTA对{M5_0}KTA||MAC(M5_0,KTA)进行解密并消息认证。将M5_0中的IDRA’和SKA’更新到本地相应数据。同时更新本地公钥PKA为PKA’＝H3(IDA||IDRA’)。存储群密钥GK_RSUB和M6_0＝P_pub(RSUB)||Σ{ALIAS||ASK}。如需要用到化名所对应公钥时，可通过计算得到APK＝H3(ALIAS||GK_RSUB)。

车辆A对NC进行消息认证码的计算，并打包消息为M7，可表示为M7＝MAC(NC,KAB)。车辆A将M7发送至RSUB。

步骤8：RSUB对车辆A进行身份认证

RSUB收到消息M7，利用KAB对MAC(NC,KAB)进行消息认证，如果认证失败，则不处理车辆的后续消息；如果认证成功，则车辆以IDA为认证身份，并存储会话密钥KAB。

车辆A和RSUB进行安全通信，利用KAB进行消息加解密和消息认证。优选为，将KAB拆分为KABE和KABA，分别作为消息加解密和消息认证密钥。

实施例3、车辆匿名广播消息

车辆产生一个消息为MB_0＝ALIAS||BMSG||timestamp，其中BMSG为广播消息，timestamp为时间戳。利用化名ALIAS对应的私钥ASK对MB_0||GK_RSUnu进行IBS签名得到SIGN(MB_0||GK_RSUnu,ASK)。车辆打包消息MB，可表示为MB＝MB_0||SIGN(MB_0||GK_RSUnu,ASK)。

由于生成公钥的部分信息(GK_RSUB)不公开，敌方无法得到PK；因此敌方无法通过r*PK和PK得到随机数r。由于签名的部分对象(GK_RSUnu)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SK得到SK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击

实施例4、验证匿名广播消息

RSUnu覆盖范围内的车辆及RSU设备可以通过ALIAS和群密钥GK_RSUnu计算得到公钥APK，通过APK和RSUnu设备的系统公钥P_pub(RSUnu)对广播消息的签名进行验证，验证成功则表明该化名ALIAS及广播消息BMSG有效。

上述方法中，使用的密钥卡是独立的硬件隔离设备。私钥和身份ID存储在密钥卡中的数据安全区，被恶意软件或恶意操作窃取密钥的可能性大大降低，可抵御木马或黑客的攻击。

在本方法中，将ID使用秘密共享的方式通过车辆密钥卡和相应RSU设备密钥卡进行备份，可对用户ID的安全进行有效的保护，避免TA被妥协后用户的信息发生大规模泄露，同时也避免了公钥对外泄露，公钥对外泄露在量子计算机面前可能有极大的可能被破解。利用非对称密钥的方式，可以弥补对称算法无法进行可靠的数字签名的劣势。确保了身份识别的可靠性。

同时，本专利在流程中用到了偏移量，这些偏移量都需要相应的密钥的参与才能计算得到，无法得知密钥的其他方将无法破解这些被偏移量保护的数据。偏移量的使用对数据进行了加密，使得传输过程更加安全，具有抗量子计算的特性；并且该加密方式比普通加密方式的计算量更小，因此避免了使用普通加密方式来抵抗量子计算机的攻击，降低了各方的设备负担。

在本方法中，由众多RSU来验证车辆签名和分配车辆化名私钥，为TA分担了计算压力。并且用IBS数字签名的特点，通过隐藏部分签名消息的方式来实现抗量子计算的IBS签名，这种方式不需要对IBS签名或IBS签名的中间变量进行加密，即可实现抗量子计算的效果。由于该抗量子计算的IBS签名方式并不会加大签名计算量，因此避免了使用普通加密方式来抵抗量子计算机的攻击，降低了各方的设备负担。

在其中一个实施例中，提供了一种计算机设备，即一种基于身份秘密共享的抗量子计算分布式车联网系统，该计算机设备可以是终端，其内部结构可以包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述基于身份秘密共享的抗量子计算分布式车联网方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

在其中一个实施例中，提供了一种基于身份秘密共享的抗量子计算分布式车联网系统，包括车联网成员，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明的保护范围应以所附权利要求为准。

Claims

1.基于身份秘密共享的抗量子计算分布式车联网方法，实施在车联网成员之间，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，其特征在于，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三方信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥；

所述抗量子计算分布式车联网方法包括：

当设置有车载单元的车辆需要在当前路边单元覆盖范围内进行通信，则所述路边单元以及第三方信任机构进行认证，通过认证后，由所述第三方信任机构以及路边单元生成与车载单元相应的信息，并颁发至车载单元，其中由所述路边单元基于所述主密钥以及化名，生成化名私钥，所述化名私钥用于所述车载单元在当前路边单元覆盖范围内进行广播；

所述第三方信任机构还配置有密钥管理服务器用于向所述车载单元生成及颁发密钥卡，所述第三方信任机构生成及颁发车载单元密钥卡具体包括：

基于密钥管理服务器生成身份标识以及身份随机数；

所述第一密钥分量，第一路边单元的身份标识以及身份随机数的哈希值作为列表条目，存储在身份列表中；

获取消息确认码，经过验证，以完成车载单元的身份注册以及身份标识的秘密共享；

所述第三方信任机构以及路边单元的密钥卡中均存储有身份列表，所述身份列表中存贮有各所述车载单元的身份标识分量，所述当设置有车载单元的车辆需要在当前路边单元覆盖范围内进行通信，则所述路边单元以及第三方信任机构进行认证，具体包括：

步骤3，所述第三方信任机构接收所述第二消息，根据所述匿名身份标识在身份列表中搜索相应的列表条目，得知所述车载单元的第二密钥分量存储在第一路边单元中，根据第一密钥分量以及第二消息进行计算得到第三消息，并送至所述第一路边单元；

步骤4，所述第一路边单元接收所述第三消息，根据所述匿名身份标识在身份列表中搜索相应的列表条目，获取所述车载单元的第二密钥分量，根据所述第二密钥分量以及第一密钥分量进行计算，得到所述车载单元的身份标识以及身份参数，根据所述身份标识以及身份随机数生成第四消息，将第四消息发送至第三方信任机构；

步骤5，所述第三方信任机构接收第四信息，生成第一对称密钥以及第二对称密钥，所述第一对称密钥为会话密钥；根据所述会话密钥、匿名身份标识、第二路边单元的身份标识以及第二对称密钥进行加密后得到第一密文；根据所述会话密钥、第二路边单元的身份标识以及匿名身份标识进行加密计算，得到第二密文；生成新身份随机数，根据所述新身份随机数、主密钥以及身份标识进行计算，得到新私钥；生成化名，根据化名生成化名集合；根据所述新私钥、新身份随机数、群密钥以及化名集合进行加密计算，得到第三密文；根据所述第一密文、第二密文以及第三密文生成第五消息，将第五消息发送至第二路边单元；

步骤6，所述第二路边单元接收第五消息，对所述第二密文进行相应解密，得到会话密钥；对所述第三密文进行相应解密，得到所述化名集合；根据所述化名、群密钥以及主密钥进行计算，得到化名私钥；根据第二路边单元的系统公钥、多个化名私钥及化名的集合进行计算，得到化名秘钥组；根据所述会话密钥、化名秘钥组、第一密文以及第三密文生成第六信息，将第六消息并发送至车载单元；

步骤7，所述车载单元接收所述第六消息，对所述第一密文进行相应解密，得到所述会话密钥；对所述第三密文进行相应解密，得到所述新身份随机数、新私钥以及群密钥；根据所述新身份随机数以及新私钥在密钥卡中进行相应更新，将所述群密钥以及化名密钥组进行存储，并根据化名密钥组获得化名以及化名私钥；根据所述会话密钥生成第七消息，将第七消息并发送至所述第二路边单元；

2.根据权利要求1所述的抗量子计算分布式车联网方法，其特征在于，所述第三方信任机构发送所述第二密钥分量信息至所述第一路边单元，在第一路边单元中进行如下步骤：

3.基于身份秘密共享的抗量子计算分布式车联网系统，包括车联网成员，所述车联网成员包括车载单元、第三方信任机构以及从属于所述第三方信任机构的多个路边单元，其特征在于，各方均配置有密钥卡，所有密钥卡中均存储有身份标识、己方公钥、私钥以及算法参数；所述第三方信任机构以及路边单元的密钥卡中均存储有主密钥以及系统公钥；

联盟链和用户包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现权利要求1~2任一项所述的基于身份秘密共享的抗量子计算分布式车联网方法。