CN111211892B - 基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法，系统包括第三方信任机构、设置于车辆上的车载单元和车钥匙、路边单元，各车载单元、车钥匙和第三方信任机构均设有具有惟一ID的密钥卡，车钥匙密钥卡内存储车载单元的假身份PID、秘密分量一、自身公钥和私钥、化名、与化名对应的公钥和私钥对等。本发明对车载单元的真实身份ID进行秘密共享得到两组影子秘密，分别存储于车辆和第三方信任机构里，车载单元的真实身份ID没有被实际存储或传输，同时对需要传输的信息进行了基于身份密码学的签名，实现客户车辆信息的匿名认证过程，能够使客户真实身份信息不被泄露，公开的数字签名具有较高的抗量子计算安全性。

Description

基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法

技术领域

本发明涉及车联网技术领域，尤其涉及一种基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法。

背景技术

车载自组织网络(VANET,vehicular ad-hoc network)是一种利用无线局域网技术，以车辆和路边单元作为网络节点，为车与车(V2V)、车与路边单元(V2R)之间提供通信服务而创建的移动网络。VANET是无线Mesh网络的一种应用，无线Mesh网络融合了无线局域网和自组织网络(ad hoc)的优势，是一种大容量、高速率、覆盖范围广的网络。同时无线Mesh网络的分层拓扑结构能够提供可靠传输，具备可扩展性好、前期投资低等特性，是无线宽带接入的理想解决方案。VANET一般由第三方信任机构(TA,trust authority)、路边单元(RSU,road side unit)和车载单元(OBU,on board unit)三部分组成。TA是公认的第三方信任机构，用于车辆和路边基础设施的注册，产生公共参数，分发密钥等。只有TA能够揭露节点的真实身份。RSU是建立在路边的基础设施，主要用于为车辆节点提供网络接入服务。OBU是装载在车辆上的通信单元，通常集成嵌入式系统、防篡改安全模块、全球导航定位系统等。

TA和RSU之间的通信是通过有线网络连接的，所以有足够的带宽，安全性也很高。车与车(V2V)之间的通信和车与路边单元(V2R)之间的通信使用的是短距离无线通信协议，RSU与OBU的通信范围均为300米。车联网系统包括多个OBU，多个RSU和TA。假设RSU和TA之间使用如QKD网络、预置密钥的密钥卡等可保证通信安全的加密手段，那么OBU在RSU处进行身份认证，实际就是由RSU将消息转发给TA，最终由TA对OBU进行身份认证。虽然当前的车联网系统能够实现车与车之间，车与路边单元之间的通信，并具有一定的安全性，但是无法做到抗量子计算。同时还存在一些安全问题，存在的安全问题如下。

1.OBU的ID如果公开，可能会造成车主信息泄露。如果ID在多个位置被记录，则可以实现ID追踪，某些应用场景下属于严重的信息泄露。

2.给OBU颁发对称密钥，由于对称密钥无法进行可靠的数字签名，因此对身份识别不利。

3.给OBU颁发非对称密钥对，并对私钥进行数字签名，该方式由于检验数字签名时公钥需要公开，不能抵抗量子计算。

4.给OBU颁发非对称密钥的私钥，并将公钥存在服务器，则可以抵抗量子计算，但由于服务器处的公钥由ID或类似ID的公钥指针随机数所识别，因此ID或公钥指针随机数必须公开，造成用户信息泄露。

发明内容

发明目的：针对现有技术中车载单元OBU内存储的客户身份信息在进行数据传输时存在泄露的风险，本发明公开了一种基于秘密共享和身份密码学的抗量子计算车联网系统及其认证方法，通过对身份信息进行秘密共享得到秘密分量，在进行数据传送时只传输秘密分量，实现对客户身份信息的保护。

技术方案：为实现上述技术目的，本发明采用了如下技术方案：

一种基于秘密共享和身份密码学的抗量子计算车联网系统，其特征在于：包括第三方信任机构、设置于车辆上的车载单元和车钥匙、路边单元，路边单元覆盖进入该路边单元覆盖区域中的车载单元，路边单元用于转发车载单元和第三方信任机构之间的消息，所述车载单元作为客户端、提供服务的第三方信任机构作为服务器并设有密钥管理服务器，各车载单元、车钥匙和第三方信任机构均设有具有惟一ID的密钥卡，密钥卡由密钥管理服务器颁发，密钥卡内存储有公钥和私钥，密钥管理服务器设有密钥管理公钥；

所述车载单元的ID通过(2,2)秘密共享得到秘密分量一和秘密分量二，秘密分量一包括秘密分量随机数一和ID分量一，秘密分量二包括秘密分量随机数二和ID分量二；

所述车钥匙密钥卡内存储车载单元的假身份PID、秘密分量一、自身公钥和私钥、化名、与化名对应的公钥和私钥，车钥匙密钥卡内还存储路边单元信息列表，路边单元信息列表中包括路边单元的群密钥和ID，假身份PID通过对车载单元ID、各个ID分量进行哈希运算获得；

所述车载单元密钥卡内存储服务器系统管理公钥、服务器的身份IDS，车辆上设置用于车钥匙插入的接口，用户插入输钥匙并输入车钥匙的PIN码后，车载单元读取车钥匙密钥卡内存储的信息；

所述认证机构密钥卡内存储服务器公钥和私钥、车载单元信息列表及路边单元的群密钥，车载单元信息列表包括假身份PID、秘密分量随机数一、秘密分量二。

优选地，所述车载单元的公钥通过对车载单元的ID和秘密分量随机数一的组合进行哈希运算获得，车载单元的私钥根据自身公钥和服务器私钥计算获得。

优选地，所述车载单元具有若干个化名，不同的化名对应不同的公钥和私钥对，化名及其对应的公钥、私钥对用于车辆发送匿名广播消息以及接收方验证所述广播消息，与化名对应的公钥通过对化名和当前路边单元的群密钥的组合进行哈希计算获得，与化名对应的私钥根据所述公钥和服务器私钥计算获得。

本发明还公开了上述基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于，顺序执行以下步骤：

步骤A1、所述车载单元通过路边单元向第三方信任机构发送含车辆化名申请和认证请求的消息和签名，消息中还包括车载单元的假身份PID、ID分量一、新生成的秘密分量随机数一和秘密分量随机数二、时间戳和当前路边单元信息；

步骤A2、所述第三方信任机构对接收到的消息进行处理，若验证通过则继续处理，获得与所述车载单元对应的新假身份PID′、新ID分量二、新私钥、新化名、与新化名对应的公钥和私钥对、路边单元的群密钥并作为响应消息，将响应消息和签名经路边单元转发给车载单元，并更新本地存储信息；

步骤A3、所述车载单元收到响应消息后，计算获得与步骤A2中相同值的新假身份PID′、新私钥、新化名、与新化名对应的公钥和私钥，并计算获得新ID分量一，然后更新车钥匙密钥卡中的车载单元的新假身份PID′、新ID分量一、新的公钥和私钥、新化名及其公钥和私钥对、及当前路边单元的群密钥。

具体地，所述步骤A1中，当车辆单元进入车载单元覆盖区域内后，车载单元判断满足是否满足更换假身份PID的条件，判断流程中产生新的秘密分量随机数一和秘密分量随机数二，满足条件后经路边单元给第三方信任机构发送消息，消息包括含路边单元信息和化名申请指令的消息MSG，

从车载单元中取出PID、秘密分量一，将PID、秘密分量一、消息MSG和时间戳组合记为消息M1_0，将新的秘密分量随机数一与新的秘密分量随机数2组合记为消息M1_1，对消息M1_0与M1_1的组合采用车载单元私钥进行基于ID密码学的签名，将得到的签名与消息M1_0作为请求消息M1经路边单元发送给第三方信任机构。

具体地，所述步骤A2中：第三方认证机构接收到路边单元转发的消息后，从消息中取出假身份PID、秘密分量一，根据PID搜索本地OBU信息列表中的PID项后，根据秘密分量一、本地存储的秘密分量随机数一和秘密分量二，恢复车载单元ID，计算获得车载单元的公钥，然后从请求消息中取出签名，用车载单元公钥验证签名，验证成功则表明找到了ID，即认证成功；

从消息中取出时间戳，根据秘密分量随机数一、时间戳，通过哈希运算得到新的秘密分量随机数一和新的秘密分量随机数二，根据新的秘密分量随机数二计算得到新的ID分量二；

从消息中取出化名，对化名和本地存储的当前路边单元的群密钥的组合进行哈希运算，得到化名对应公钥，再根据服务器私钥与化名对应的公钥计算得到化名对应的私钥；

将车载单元ID与新的秘密分量随机数一进行哈希运算，得到新的车载单元公钥，再根据服务器私钥和新的车载单元公钥计算得到新的车载单元私钥；

将假身份PID与新的ID分量二的组合记为消息M2_0；将新的车载单元私钥、当前路边单元的群密钥和化名、化名对应的公钥和私钥对的组合记为消息M2_1；

对消息M2_1进行基于ID密码学的加密，得到的加密文记为消息M2_2，对消息M2_0和M2_1的组合采用服务器私钥进行签名，将消息M2_0、M2_2与签名的组合记为响应消息M2，经路边单元发送给车载单元；

第三方信任机构的服务器对恢复的车载单元的ID、新的ID分量一、新的ID分量二的组合进行哈希运算，得到新的假身份PID′，更新本地存储的假身份PID、秘密分量随机数一和秘密分量二。

具体地，所述步骤A3中：车载单元收到响应消息后，从消息中取出新的秘密分量二，从本地取出秘密分量一和新的秘密分量随机数二，恢复车载单元的ID，然后采用服务器公钥验证签名，如果验证成功，即表明ID已经被第三方认证机构认可；如果验证失败或者没有收到确认消息，则表明ID没有被第三方认证机构认可；

认证成功后车载单元更新存储，对恢复的车载单元ID、新的ID分量一、新的ID分量二的组合进行哈希运算，得到新的假身份PID′，更新本地存储的假身份PID、秘密分量一、车载单元公钥和私钥、化名及化名对应的私钥组合、当前路边单元的群密钥。

优选地，所述车载单元发送匿名广播消息的步骤为：

将化名、广播消息和时间戳作为消息一，并对消息一和当前路边单元的群密钥采用与化名对应的私钥进行签名，将消息一和签名作为匿名广播消息、经路边单元发送给当前路边单元覆盖区域内的车辆及所属第三方信任机构。

优选地，所述接收方验证匿名广播消息的步骤为：

接收方接收到自车辆的匿名广播消息后，解析消息一得到化名、广播消息和时间戳，取出本地的群密钥与消息一进行组合，用与化名对应的公钥及服务器系统管理公钥对得到的组合消息进行验证，验证成功则表明所述化名和广播消息有效。

优选地，所述路边单元覆盖区域包括当前路边单元无线信号覆盖区域和超出当前路边单元无线信号覆盖区域预设距离的附近区域；位于路边单元无线信号覆盖区域内的车辆之间通过路边单元进行通信，位于附近区域内的车辆之间、及其与位于路边单元无线信号覆盖区域内的车辆之间，根据定位得知当前所在的路边单元覆盖区域，然后根据认证后获得的当前路边单元覆盖区域的群密钥进行群组通信。

有益效果：

1、本发明对OBU的真实身份ID进行秘密共享得到两组影子秘密，两组影子秘密分别存储于车辆的车钥匙密钥卡和第三方信任机构TA里面，OBU的真实身份ID没有被实际存储或传输，所以无法获取，因此具有很高的安全性，不会给车主造成信息泄露；

2、本发明将基于ID密码学中的ID改为了公钥随机数的影子秘密形式，并对签名消息中加入了影子秘密使得实际签名消息无法被敌方得到，使得数字签名具有很高的抗量子计算安全性；

3、本发明对需要传输的信息采用了基于身份密码学的签名进行签名，采用私钥签名、公钥认证的方法，由于公钥是通过哈希运算得到的，生成公钥的部分信息不公开，敌方无法得到公钥；同时由于签名的部分对象无法被敌方所知，因此敌方无法得到私钥。因此公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击；

4、本发明在必要的场合用到了偏移量，这些偏移量都需要密钥卡中的秘密信息的参与才能计算得到，没有密钥卡的其他方将无法破解这些被偏移量保护的数据；偏移量的使用对数据进行了加密，使得传输过程更加安全，具有抗量子计算的特性；并且该加密方式比普通加密方式的计算量更小，因此避免了使用普通加密方式来抵抗量子计算机的攻击，降低了各方的设备负担。

附图说明

图1为本发明的车联网系统结构示意图。

具体实施方式

以下结合附图对本方案做进一步的解释和说明。

本实施例所用的非对称算法是基于身份的密码学。密钥管理服务器为客户端分别颁发私钥。客户端的身份为ID，公钥为PK，私钥为SK。

如附图1所示，基于身份密码学的相关知识：假设G是一个群，从G中取生成元P，再选一个随机数生成服务器的私钥s，由私钥生成服务器的系统管理公钥Ppub＝s*P。

下面简单介绍秘密共享的原理和流程。

从素数阶q的有限域GF(q)中随机选取N个不同的非零元素x1,x2,…,xN，分配给参与者Pi(i＝1,2,…,N)。把客户端身份ID作为共享的秘密信息，从GF(q)中选取t-1个元素a1,a2,…,a(t-1)，构造多项式

则有IDi＝f(xi)，(1≤i≤N)。

从N个参与者中获取任意t个影子秘密可以恢复ID，具体步骤如下：

根据公式

可以求得t个拉格朗日参数λi，因而可以根据公式ID＝f(0)＝∑λi*IDi，求得ID。

本发明中，参与者Pi就是OBU和TA。对ID进行(2,2)的秘密共享，从而得到两组影子秘密，分别是(x1,ID1)，(X2,ID2)。构造多项式f(x)＝ID+RAND*x，从而得到ID1＝f(x1)＝ID+RAND*x1，ID2＝f(x2)＝ID+RAND*x2；只要凑齐这两组秘密即可恢复ID。

恢复ID的具体步骤如下。

通过(x1,ID1)，(x2,ID2)两组秘密求得拉格朗日参数，

其中λ1＝(-x2)/(x1-x2)，λ2＝(-x1)/(x2-x1)。

从而求得ID＝λ1*ID1+λ2*ID2＝(x1*ID2-x2*ID1)/(x1-x2)。

在本发明中，车钥匙里含有密钥卡，密钥卡存储PID、影子秘密(x1,ID1)、公钥PK、私钥SK。其中PID是假身份，PID可表示为HASH(ID||ID1||ID2)。公钥PK可表示为H(ID||x1)，其中H是一种哈希函数。私钥SK可表示为s*PK，s是服务器的私钥。车钥匙插入车上对应接口，且由用户输入车钥匙的PIN码以后，OBU就可读取车钥匙存储的所有信息。车上的OBU也含有密钥卡，OBU密钥卡存储服务器系统管理公钥Ppub以及服务器的身份IDS，且OBU密钥卡具有抗拆功能，可以保证Ppub和IDS不被窃取。参与者TA存有多组OBU信息列表，每组OBU信息包括PID、x1、(x2,ID2)。

如附图1所示，本发明采用以下步骤进行车辆匿名认证：

实施例一：车辆发送匿名认证请求

车辆匿名认证有四个目的，分别是获得TA认证、获取新的化名、获取化名对应的私钥以及当前RSU覆盖的群密钥GK_RSU。其中群密钥GK_RSU可按固定频率更新，例如一天更新一次。本RSU覆盖区域可以超过本RSU无线信号覆盖区域，到达无线信号覆盖区域之外。例如规定某RSU无线信号覆盖区域以及该RSU附近的某个小区的并集为该RSU覆盖区域。在RSU无线信号覆盖区域内才可以进行车辆与RSU之间的认证；在RSU无线信号覆盖区域之外的RSU覆盖区域，可以进行车辆之间的群组通信，即车辆根据定位得知当前所在的RSU覆盖区域，然后根据认证后获得的本RSU覆盖区域的群密钥进行群组通信。

车辆发送匿名认证请求具体包括以下三个步骤：

步骤1：OBU发出请求消息

车钥匙插入接口中，车辆A到达RSU无线信号覆盖区域内，车辆上的OBU向RSU发出请求匿名认证消息。车辆A上的OBU从车钥匙里取出ID的秘密共享得到的影子秘密(x1,ID1)，当前时间戳为timestamp,令x0＝timestamp,对x1||x0进行作哈希运算得到x1′，x1′可表示为HASH(x1||x0)。对x0||x1进行哈希运算得到x2′，x2′可表示为HASH(x0||x1)。x2′暂存在OBU上。将x1/x1′/x2′三者进行比较，如果任意二者相等，则表示当前timestamp不能够满足更换PID的条件，更换timestamp直到x1/x1′/x2′三者中任意二者都不相等，即timestamp满足了更换PID条件，OBU才可发出请求更换PID等相关信息的消息。

MSG是包含RSU信息以及化名申请的指令，例如需申请化名的数量指令就是化名申请的指令。OBU从车钥匙中取出PID和ID1，并将PID、ID1与MSG、timestamp四者组合起来命名为M1_0，即M1_0可表示为PID||ID1||MSG||timestamp。将x1′与x2′组合起来命名为M1_1,即M1_1可表示为x1′||x2′。将M1_0与M1_1组合起来并用SK对其进行基于ID密码学的签名。签名过程如下：取随机数r，根据ID密码学公式PK＝H(ID)和h＝H1(m,r*PK)，可得参数h，本发明中h可表示为H1(M1_0||M1_1,r*PK)。基于ID密码学签名公式为SIGN(m,k)＝(U,V),其中SIGN(m,k)表示以m为消息、以k为密钥的基于ID密码学的签名，U＝r*PK，V＝(r+h)*SK。根据以上ID密码学公式，用SK对M1_0||M1_1进行ID密码学签名得到签名SIGN(M1_0||M1_1,SK)。将签名与M1_0组合命名为M1。即M1可表示为M1＝M1_0||SIGN(M1_0||M1_1,SK)。A将M1发送给RSU。RSU将消息转发给服务器TA。

由于ID不公开，敌方无法得到PK；因此敌方无法通过r*PK和PK得到随机数r。由于签名的部分对象(M1_1)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SK得到SK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

步骤2.服务器发出响应消息并更新存储

服务器TA获取到认证请求消息M1后，从M1中取出PID。根据取出的PID搜索本地OBU信息列表中的PID项。如果找不到PID，则认证失败，流程结束。找到PID后，根据秘密共享原理，通过影子秘密(x1,ID1)、(x2,ID2)和公式f(x)＝ID+RAND*x恢复ID和RAND。

从M1中取出x0，将x1与x0组合起来进行哈希运算得到x1′，即x1′可表示为HASH(x1||x0)。将x0与x1组合起来进行哈希运算得到x2′，即x2′可表示为HASH(x0||x1)。从请求消息M1中取出签名SIGN，用公钥PK验证SIGN，要验证该签名，根据《An Identity-BasedSignature from Gap Diffie-Hellman Groups》的数字签名验证理论，只需要验证(P,Ppub,U+h*PK,V))是一个有效的Diffie-Hellman元组，其中h＝H1(M1_0||M1_1,U)。验证成功则表明找到了ID，即认证成功。

设化名为ALIAS，化名对应的公钥为APK，化名对应的私钥为ASK。将化名和GK_RSU组合起来并进行哈希运算得到的值即为化名对应公钥APK，再将s与APK相乘得到的结果即为化名对应私钥ASK。化名及其私钥组合可以有多组。

将ID与x1′进行哈希运算得到的结果设定为PK′，将s与PK′相乘得到的结果设定为SK′，将假身份PID与ID2′组合起来设为M2_0。设M2_1可表示为SK′||GK_RSU||Σ{ALIAS||ASK}，其中Σ{ALIAS||ASK}是多组化名和ASK的组合。将多组化名ALIAS与ASK组合起来，即为Σ{ALIAS||ASK}。

对M2_1进行ID密码学加密。加密过程如下：根据ID密码学加密公式g＝e(PK,Ppub)可以计算得到g。取随机数r，计算TU＝rP，TV＝M2_1⊕H2((g)^r)，进而可以得到加密密文TC＝<TU,TV>。将组合{TU-H(ID||x1||ID_RSU)}||TV称作为M2_2，其中H(ID||x1||ID_RSU)为偏移量。设定服务器发出响应消息为M2，M2可表示为M2_0||M2_2||SIGN(M2_0||M2_1,SKS)。其中SIGN(M2_0||M2_1,SKS)表示将M2_0与M2_1组合起来，并用服务器私钥SKS对其进行ID密码学签名。

针对签名SIGN(M2_0||M2_1,SKS)，由于服务器身份信息(IDS)不公开，敌方无法得到PK；因此敌方无法通过r*PK和PK得到随机数r。由于签名的部分对象(M2_1)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SKS得到SKS。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

服务器TA更新存储：将恢复的ID、ID1′、ID2′三者合并起来进行哈希运算得到新的假身份PID′，即PID′可表示为HASH(ID||ID1′||ID2′)。将PID更新为PID′，x1更新为x1′，(x2,ID2)更新为(x2′,ID2′)。

由于ID没有存储于服务器硬件，因此单独对其进行断电拆解无法获取ID。

步骤3.OBU收到响应消息并更新存储

OBU收到响应消息M2，从本地车钥匙中取出(x1,ID1)和x2′，从M2中取出ID2′，根据(x1,ID1)和(x2′,ID2′)，恢复f(x)＝ID+RAND*x，即恢复ID和RAND。验证SIGN，验证过程如下。

从M2中取出M2_2，对TU-H(ID||x1||ID_RSU)加上H(ID||x1||ID_RSU)得到TU，即得到TC＝<TU,TV>。对TC通过ID密码学解密得M2_1，即SK′||GK_RSU||Σ{ALIAS||ASK}。通过PKS＝H(IDS)验证签名，如果验证成功，即表明ID已经被服务器TA认可，PKS是服务器的公钥。如果验证失败或者没有收到确认消息，则表明ID没有被服务器TA认可。

如果认证成功就要更新存储。将恢复的ID、I D1′和ID2′组合起来并进行哈希运算得到新的假身份PID′，将OBU本地对应的车钥匙中的原PID更新为PID′，(x1,ID1)更新为(x1′,ID1′)，PK更新为PK′，SK更新为SK′，群组密钥列表中更新当前RSU对应的群组密钥为GK_RSU，新增车辆OBU与当前RSU对应的化名及其私钥的组合Σ{ALIAS||ASK}。

由于ID没有存储于OBU或车钥匙，因此单独对其进行断电拆解无法获取ID。

实施例二：车辆匿名广播消息

A在匿名广播消息的时候，设将要广播的消息为BMSG，令组合ALIAS||BMSG||timestamp为MB_0，用私钥ASK对MB_0||GK_RSU做基于ID密码学的签名得到SIGN(MB_0||GK_RSU,ASK)，将其和MB_0组合得到MB_0||SIGN(MB_0||GK_RSU,ASK)并命名为MB。A将MB发送出去即完成车辆的匿名广播消息。

由于生成公钥的部分信息GK_RSU不公开，敌方无法得到APK(车辆A的化名公钥)；因此敌方无法通过r*APK和APK得到随机数r。由于签名对象中含有群组密钥GK_RSU，因此无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*ASK得到ASK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

实施例三：验证匿名广播消息

接收方验证来自车辆A的匿名广播消息时，解析MB_0得到ALIAS||BMSG||timestamp，取出本地的群组密钥GK_RSU并将其和MB中的MB_0组合成MB_0||GK_RSU，然后用公钥APK＝H1(ALIAS||GK_RSU)和Ppub＝s*P来验证MB中的签名SIGN(MB_0||GK_RSU,ASK)，验证成功则表明该化名ALIAS及广播消息BMSG有效。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种基于秘密共享和身份密码学的抗量子计算车联网系统，其特征在于：包括第三方信任机构、设置于车辆上的车载单元和车钥匙、路边单元，路边单元覆盖进入该路边单元覆盖区域中的车载单元，路边单元用于转发车载单元和第三方信任机构之间的消息，所述车载单元作为客户端、提供服务的第三方信任机构作为服务器并设有密钥管理服务器，各车载单元、车钥匙和第三方信任机构均设有具有唯一ID的密钥卡，密钥卡由密钥管理服务器颁发，密钥卡内存储有公钥和私钥，密钥管理服务器设有密钥管理公钥；

所述车载单元的ID通过(2,2)秘密共享得到秘密分量一和秘密分量二，秘密分量一包括秘密分量随机数一和ID分量一，秘密分量二包括秘密分量随机数二和ID分量二；

所述车钥匙的密钥卡内存储车载单元的假身份PID、秘密分量一、自身公钥和私钥、化名、与化名对应的公钥和私钥，车钥匙密钥卡内还存储路边单元信息列表，路边单元信息列表中包括路边单元的群密钥和ID，假身份PID通过对车载单元ID、各个ID分量进行哈希运算获得；

所述车载单元的密钥卡内存储服务器系统管理公钥、服务器的身份IDS，车辆上设置用于车钥匙插入的接口，用户插入输钥匙并输入车钥匙的PIN码后，车载单元读取车钥匙密钥卡内存储的信息；

所述第三方信任机构的密钥卡内存储服务器公钥和私钥、车载单元信息列表及路边单元的群密钥，车载单元信息列表包括假身份PID、秘密分量随机数一、秘密分量二。

2.根据权利要求1所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统，其特征在于：所述车载单元的公钥通过对车载单元的ID和秘密分量随机数一的组合进行哈希运算获得，车载单元的私钥根据自身公钥和服务器私钥计算获得。

3.根据权利要求1所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统，其特征在于：所述车载单元具有若干个化名，不同的化名对应不同的公钥和私钥对，化名及其对应的公钥、私钥对用于车辆发送匿名广播消息以及接收方验证所述广播消息，与化名对应的公钥通过对化名和当前路边单元的群密钥的组合进行哈希计算获得，与化名对应的私钥根据所述公钥和服务器私钥计算获得。

4.一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，应用于权利要求3所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统，其特征在于，顺序执行以下步骤：

步骤A1、所述车载单元通过路边单元向第三方信任机构发送含车辆化名申请和认证请求的消息和签名，消息中还包括车载单元的假身份PID、ID分量一、第一秘密分量随机数一和第一秘密分量随机数二、时间戳和当前路边单元信息；

步骤A2、所述第三方信任机构对接收到的消息进行处理，若验证通过则继续处理，获得与所述车载单元对应的新假身份PID′、第一ID分量二、新私钥、新化名、与新化名对应的公钥和私钥对、路边单元的群密钥并作为响应消息，将响应消息和签名经路边单元转发给车载单元，并更新本地存储信息；

步骤A3、所述车载单元收到响应消息后，计算获得与步骤A2中相同值的新假身份PID′、新私钥、新化名、与新化名对应的公钥和私钥，并计算获得第二ID分量一，然后更新车钥匙密钥卡中的车载单元的新假身份PID′、第二ID分量一、新的公钥和私钥、新化名及其公钥和私钥对、及当前路边单元的群密钥。

5.根据权利要求4所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于：所述步骤A1中，当车辆单元进入车载单元覆盖区域内后，车载单元判断是否满足更换假身份PID的条件，判断流程中产生第一秘密分量随机数一和第一秘密分量随机数二，满足条件后经路边单元给第三方信任机构发送消息，消息包括含路边单元信息和化名申请指令的消息MSG，

从车载单元中取出PID、ID分量一，将PID、ID分量一、消息MSG和时间戳组合记为消息M1_0，将第一秘密分量随机数一与第一秘密分量随机数二组合记为消息M1_1，对消息M1_0与M1_1的组合采用车载单元私钥进行基于ID密码学的签名，将得到的签名与消息M1_0作为请求消息M1经路边单元发送给第三方信任机构。

6.根据权利要求4所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于：所述步骤A2中：第三方信任机构接收到路边单元转发的消息后，从消息中取出假身份PID、ID分量一，根据PID搜索本地OBU信息列表中的PID项后，根据ID分量一、本地存储的秘密分量随机数一和秘密分量二，恢复车载单元ID，计算获得车载单元的公钥，然后从请求消息中取出签名，用车载单元公钥验证签名，验证成功则表明找到了ID，即认证成功；

从消息中取出时间戳，根据第一秘密分量随机数一、时间戳，通过哈希运算得到第二秘密分量随机数一和第二秘密分量随机数二，根据第二秘密分量随机数一计算得到第一ID分量一，根据第二秘密分量随机数二计算得到第一ID分量二；

从消息中取出化名，对化名和本地存储的当前路边单元的群密钥的组合进行哈希运算，得到化名对应公钥，再根据服务器私钥与化名对应的公钥计算得到化名对应的私钥；

将车载单元ID与第二秘密分量随机数一进行哈希运算，得到新的车载单元公钥，再根据服务器私钥和新的车载单元公钥计算得到新的车载单元私钥；

将假身份PID与第一ID分量二的组合记为消息M2_0；将新的车载单元私钥、当前路边单元的群密钥和化名、化名对应的公钥和私钥对的组合记为消息M2_1；

对消息M2_1进行基于ID密码学的加密，得到的加密文记为消息M2_2，对消息M2_0和M2_1的组合采用服务器私钥进行签名，将消息M2_0、M2_2与签名的组合记为响应消息M2，经路边单元发送给车载单元；

第三方信任机构对恢复的车载单元的ID、第一ID分量一、第一ID分量二的组合进行哈希运算，得到新的假身份PID′，更新本地存储的假身份PID、秘密分量随机数一和秘密分量二。

7.根据权利要求4所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于：所述步骤A3中：车载单元收到响应消息后，从消息中取出第一ID分量二，从本地取出秘密分量一和第一秘密分量随机数二，恢复车载单元的ID，然后采用服务器公钥验证签名，如果验证成功，即表明ID已经被第三方信任机构认可；如果验证失败或者没有收到确认消息，则表明ID没有被第三方信任机构认可；

认证成功后车载单元更新存储，对恢复的车载单元ID、第二ID分量一、第二ID分量二的组合进行哈希运算，得到新的假身份PID′，更新本地存储的假身份PID、秘密分量一、车载单元公钥和私钥、化名及化名对应的私钥组合、当前路边单元的群密钥，第二ID分量一根据第一秘密分量随机数一计算得到，第二ID分量二根据第一秘密分量随机数二计算得到。

8.根据权利要求4所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于，所述车载单元发送匿名广播消息的步骤为：

将化名、广播消息和时间戳作为消息一，并对消息一和当前路边单元的群密钥采用与化名对应的私钥进行签名，将消息一和签名作为匿名广播消息、经路边单元发送给当前路边单元覆盖区域内的车辆及所属第三方信任机构。

9.根据权利要求8所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于，所述接收方验证匿名广播消息的步骤为：

接收方接收到自车辆的匿名广播消息后，解析消息一得到化名、广播消息和时间戳，取出本地的群密钥与消息一进行组合，用与化名对应的公钥及服务器系统管理公钥对得到的组合消息进行验证，验证成功则表明所述化名和广播消息有效。

10.根据权利要求8所述的一种基于秘密共享和身份密码学的抗量子计算车联网系统的认证方法，其特征在于：所述路边单元覆盖区域包括当前路边单元无线信号覆盖区域和超出当前路边单元无线信号覆盖区域预设距离的附近区域；位于路边单元无线信号覆盖区域内的车辆之间通过路边单元进行通信，位于附近区域内的车辆之间、及其与位于路边单元无线信号覆盖区域内的车辆之间，根据定位得知当前所在的路边单元覆盖区域，然后根据认证后获得的当前路边单元覆盖区域的群密钥进行群组通信。

Images