CN111212400A - 基于秘密共享和移动终端的抗量子计算车联网系统及其认证方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享和移动终端的抗量子计算车联网系统及其认证方法，系统包括若干移动终端、第三方信任机构、设置于若干车辆上的车钥匙和车载单元、用于车载单元和第三方信任机构消息传送的路边单元，移动终端与车载单元之间进行一一配对，车载单元对移动终端进行认证。本发明通过设置移动终端，在车载单元对移动终端的认证中加强了车载单元对司机认证流程的安全性；对传输的消息采用了基于ID密码学的签名，并将ID改为了公钥随机数的形式，采用了秘密共享，对签名消息中加入了秘密使得实际签名消息无法被敌方得到，使得数字签名具有很高的抗量子计算安全性；使用了偏移量，使得传输过程更加安全，同时降低了设备负担。

Description

基于秘密共享和移动终端的抗量子计算车联网系统及其认证 方法

技术领域

本发明涉及秘密共享领域，尤其涉及一种基于秘密共享和移动终端的抗量子计算车联网系统及其认证方法。

背景技术

车载自组织网络(VANET，vehicular ad hocnetwork)是一种利用无线局域网技术，以车辆和路边单元作为网络节点，为车与车(V2V)、车与路边单元(V2R)之间提供通信服务而创建的移动网络。VANET是无线Mesh网络的一种应用，无线Mesh网络融合了无线局域网和自组织网络(ad hoc)的优势，是一种大容量、高速率、覆盖范围广的网络；同时无线Mesh网络的分层拓扑结构能够提供可靠传输，具备可扩展性好、前期投资低等特性，是无线宽带接入的理想解决方案。

VANET一般由第三方信任机构(TA，trust authority)、路边单元(RSU，road sideunit)和车载单元(OBU，on board unit)三部分组成。TA是公认的第三方信任机构，用于车辆和路边基础设施的注册，产生公共参数，分发密钥等，只有TA能够揭露节点的真实身份。RSU是建立在路边的基础设施，主要用于为车辆节点提供网络接入服务。OBU是装载在车辆上的通信单元，通常集成嵌入式系统、防篡改安全模块和全球导航定位系统等。

TA和RSU之间通过有线网络连接进行通信，所以有足够的带宽，安全性也很高。车与车(V2V)之间的通信和车与路边单元(V2R)之间的通信使用的是短距离无线通信协议，RSU与OBU的通信范围均为300米。车联网系统包括多个OBU，多个RSU和TA。假设RSU和TA之间使用如QKD网络、预置密钥的密钥卡等可保证通信安全的加密手段，那么OBU在RSU处进行身份认证，实际就是由RSU将消息转发给TA，最终由TA对OBU进行身份认证。

授权公告号为CN106027519B的专利文献中公开了一种车联网中的高效条件隐私保护和安全认证方法，当用户输入真实身份和设备口令后执行后续步骤，使用车辆的假名对其所发送的消息进行签名，并且其它车辆或者第三方不能从假名中得到该车辆的真实身份信息，在消息签名及认证过程中使用椭圆曲线上的群代替双线对，实现隐私保护、匿名认证以及司机认证的安全需求的同时，有效降低签名和认证所需计算代价，提高车联网系统的整体效率。

公布号为CN110071797A的专利文献中公开了一种基于混合上下文的假名变更车联网隐私保护认证的方法，可信机构生成三个随机数作为自己的私钥，由可信机构提供私钥和假名，当车辆移动到可信机构附近时，将传送地址、名称和许可证等基本认证信息传输至车辆，选择匿名的方式来证明通信实体的合法性，能够防止攻击车辆潜入车联网系统，保持了传输消息的完整性，同时防止车辆被跟踪。

虽然当前的车联网系统能够实现车与车之间，车与路边单元之间的通信，并具有一定的安全性，但是无法做到抗量子计算，同时还存在一些安全问题，存在的安全问题如下：

1.OBU的ID如公开，可能造成车主信息泄露，如果ID在多个位置被记录，则可以实现ID追踪，某些应用场景下属于严重的信息泄露；

2.给OBU颁发对称密钥，由于对称密钥无法进行可靠的数字签名，因此对身份识别不利；

3.给OBU颁发非对称密钥对，并用私钥进行数字签名，该方式由于验证数字签名时公钥需要公开，不能抵抗量子计算；

4.给OBU颁发非对称密钥的私钥，并将公钥存于服务器，则可以抵抗量子计算，但由于服务器处的公钥由ID或类似ID的公钥指针随机数所识别，因此ID或公钥指针随机数必须公开，造成用户信息泄露；

5.OBU对司机的认证流程缺失，或者过于简单，因此OBU对司机的认证流程安全性不足。

发明内容

发明目的：针对现有技术中存在的问题，本发明公开了一种基于秘密共享和移动终端的抗量子计算车联网系统及其认证方法，在降低设备负担的同时，避免了车主信息的泄露，加强了认证流程的安全性。

技术方案：本发明采用如下技术方案：一种基于秘密共享和移动终端的抗量子计算车联网系统，其特征在于：包括若干移动终端、第三方信任机构、设置于若干车辆上的车钥匙和车载单元、用于车载单元和第三方信任机构信息传送的路边单元，其中，所述移动终端与车载单元之间进行一一配对，所述车载单元作为客户端、提供服务的第三方信任机构作为服务端并设有密钥管理服务器，各移动终端、车钥匙、车载单元和第三方信任机构均设有具有惟一ID的密钥卡，密钥卡由第三方信任机构颁发，车辆上设置用于车钥匙插入的接口，用户输入车钥匙的PIN码后，车载单元能够读取车钥匙密钥卡存储的信息；

所述车载单元的ID通过(2，2)秘密共享得到影子秘密一和影子秘密二，影子秘密一包括随机数一和ID分量一，影子秘密二包括随机数二和ID分量二；

所述移动终端密钥卡内存储假身份PID、影子秘密一、公钥PK、私钥SKM、颁发公钥PpubM和身份IDSM，假身份PID通过对车载单元ID、ID分量一和ID分量二进行哈希运算获得；

所述车钥匙密钥卡内存储包括车载单元的假身份PID、影子秘密一、公钥PK和私钥SKC；

所述车载单元密钥卡内存储包括车载单元的颁发公钥PpubC、身份IDSC和本车载单元配对的移动终端所对应的颁发公钥PpubM；

所述第三方信任机构密钥卡内存储包括移动终端和车载单元的信息列表，每组移动终端信息列表包括移动终端的身份IDSM、颁发公钥PpubM、颁发私钥sM、身份公钥PKSM和身份私钥SKSM，每组车载单元信息列表包括车载单元的假身份PID、随机数一、影子秘密二、身份IDSC、颁发公钥PpubC、颁发私钥sC、身份公钥PKSC和身份私钥SKSC。

优选的，所述第三方信任机构密钥卡内，不同的移动终端对应的信息列表中的身份IDSM、颁发公钥PpubM、颁发私钥sM、身份公钥PKSM和身份私钥SKSM各不相同。

优选的，所述移动终端和车载单元的私钥根据公钥和随机数计算获得，身份私钥根据身份公钥和随机数计算获得。

一种基于秘密共享和移动终端的抗量子计算车联网系统的认证方法，车载单元的ID通过(2，2)秘密共享得到的ID分量一和ID分量二分别记为ID1、ID2，随机数一和随机数二分别记为x1、x2，影子秘密一和影子秘密二分别记为(x1，ID1)、(x2，ID2)，其特征在于，车辆匿名认证方法包括以下步骤：

步骤A1、移动终端向车载单元发送包括更换假身份PID请求的消息；

步骤A2、车载单元对移动终端认证成功后通过路边单元向第三方信任机构发送包括认证请求和化名请求的消息；

步骤A3、第三方信任机构发出响应消息，若认证成功则计算并更新存储；

步骤A4、车载单元收到经路边单元转发的第三方信任机构认证成功的响应消息，若被第三方信任机构认可则更新存储，同时，车载单元发送响应消息给移动终端；

步骤A5、移动终端收到车载单元发送的认证成功的响应消息后更新存储。

优选的，所述步骤A1包括：

移动终端与车载单元建立蓝牙或NFC近距离连接；

获取时间戳，与本地存有的x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，x2′暂存在移动终端上；

判断是否满足更换假身份PID的条件，若满足，则移动终端向车载单元发送包括更换假身份PID请求的消息M1，消息M1包括消息M1_0以及用私钥SKM对消息M1_0和消息M1_1进行的签名，消息M1_0包括假身份PID以及用x1对ID1和时间戳进行的对称加密，消息M1_1包括x1′和x2′；

所述步骤A2包括：

车载单元收到移动终端发送来的消息M1，验证消息中的PID是否与车载单元本地PID相同，验证成功后从本地取出x1解密消息M1_0得到时间戳和ID1；

若获得的时间戳与当前时间位于可允许的误差范围内，将时间戳与x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，x2′暂存在车载单元上，否则，回到步骤A1；

判断是否满足更换假身份PID的条件，若满足，用公钥PK和颁发公钥PpubM验证消息M1中的签名，否则，回到步骤A1；

验证通过后，车载单元对移动终端认证成功；

车载单元通过路边单元向第三方信任机构发送包括认证请求和化名请求的消息M2，消息M2包括消息M2_0以及用私钥SKC对消息M2_0和消息M2_1进行的签名，消息M2_0包括消息M1_0和包含路边单元信息及化名申请的指令消息MSG，消息M2_1包括x1′和x2′；

所述步骤A3包括：

第三方信任机构接收到路边单元转发的消息M2后，从消息M2中解析出消息M1_0和指令消息MSG，再从消息M1_0中取出假身份PID，根据假身份PID搜索本地信息列表中的身份标识为PID的车载单元的参数列表，若找不到，则认证失败，流程结束，若找到，则从本地取出x1对消息M1_0进行解密得到ID1和时间戳；

根据假身份PID搜索本地信息列表中身份标识为PID的车载单元所对应的移动终端的参数列表，若找不到，则认证失败，流程结束，若找到，通过(x1，ID1)和(x2，ID2)恢复车载单元的ID，计算ID的哈希值即公钥PK；

将时间戳与x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，根据x1′和x2′计算得到新的ID分量一和ID分量二分别记为ID1′和ID2′；

从消息M2中取出签名用公钥PK和车载单元的颁发公钥PpubC进行验证，验证成功后，第三方信任机构对车载单元认证成功；

向车载单元发送响应消息M3，消息M3包括消息M3_0、消息M3_2、消息M3_3、用车载单元的身份私钥SKSC对消息M3_0和消息M3_1进行的签名、用移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值进行的签名，其中，消息M3_0包括假身份PID以及用x2′对ID2′、时间戳和申请结果进行的对称加密，申请结果为成功或失败，消息M3_1包括当前路边单元的群组密钥以及车载单元的若干化名及其私钥的组合，若第三方信任机构对车载单元认证失败则消息M3_1是一个随机字符串，用公钥PK对消息M3_1进行加密得到加密密文一，在加密密文一中加入偏移量得到消息M3_2，偏移量包括车载单元的ID、x1和路边单元ID的哈希值，用公钥PK对消息M3_1的哈希值进行加密得到加密密文二，在加密密文二中加入偏移量得到消息M3_3；

更新存储，对恢复的ID、ID1′和ID2′进行哈希运算得到新的假身份PID′，将PID更新为PID′，x1更新为x1′，(x2，ID2)更新为(x2′，ID2′)；

所述步骤A4包括：

车载单元收到第三方信任机构发过来的响应消息M3，用本地暂存的x2′解密消息M3_0得到新的ID分量二记为ID2′、时间戳和申请结果；

判断解密得到的时间戳与发出的请求消息中的时间戳是否一致，若不一致则返回错误消息，回到步骤A1；

若一致，则判断申请结果是否为成功；

若申请结果为成功，从本地取出(x1，ID1)和暂存的x2′，根据(x1，ID1)和(x2′，ID2′)恢复车载单元的ID；

取出消息M3_2，对车载单元的ID、x1以及路边单元的ID进行哈希运算恢复偏移量，从而得到加密密文一，用车载单元的私钥SKC对加密密文一进行解密得到消息M3_1；

从M3取出消息M3_0，验证车载单元的身份私钥SKSC对消息M3_0和消息M3_1的签名；

若验证成功则更新存储，对恢复的ID、ID1＇和ID2＇进行哈希运算得到新的假身份PID＇，将对应的车钥匙中的假身份PID更新为PID＇，(x1，ID1)更新为(x1＇，ID1＇)，群组密钥列表中更新当前路边单元对应的群组密钥，新增车载单元在当前路边单元对应的化名及其私钥的组合；

发送响应消息M4给移动终端，消息M4包括消息M3_0、消息M3_3、用移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值进行的签名；

所述步骤A5包括：

移动终端收到消息M4后，用暂存的x2＇解密消息M3_0得到新的ID分量二记为ID2＇、时间戳和申请结果；

判断解密得到的时间戳与发出的请求消息中的时间戳是否一致，若不一致则返回错误消息，回到步骤A1；

若一致，则判断申请结果是否为成功；

若申请结果为成功，从本地取出(x1，ID1)和暂存的的x2＇，恢复车载单元的ID；

取出消息M3_3，对车载单元的ID、x1和路边单元的ID进行哈希运算恢复偏移量，从而得到加密密文二，用移动终端的私钥SKM对加密密文二进行解密得到消息M3_1的哈希值；

验证移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值的签名；

若验证成功则更新存储，对ID、ID1＇和ID2′进行哈希运算得到新的假身份PID′，将移动终端中的假身份PID更新为PID′，(x1，ID1)更新为(x1′，ID1′)。

优选的，所述步骤A1和步骤A2中，判断是否更换假身份PID的条件为：比较x1、x1′和x2′，如果任意二者相等，则当前时间戳不满足更换PID的条件，重新获取时间戳并计算两个哈希值，直到满足更换PID的条件。

优选的，还包括车辆匿名广播消息和验证匿名广播消息，其中，

车辆匿名广播消息：

车载单元用自身化名后对应的私钥将消息MB_0和群组密钥进行签名，将该签名与消息MB_0一起打包作为消息MB并发送给接收方，完成车辆消息的匿名广播，消息MB_0包括车载单元在当前路边单元对应的化名、将要广播的消息和时间戳；

验证匿名广播消息：

接收方接收来自车辆的匿名广播消息，解析消息MB_0得到车载单元的化名、将要广播的消息和时间戳，用车载单元化名后对应的公钥和车载单元的颁发公钥验证车辆匿名广播消息内的签名内容，验证成功则广播信息有效。

有益效果：本发明具有如下有益效果：

1.本发明需要OBU对移动终端进行认证，加强了对司机认证流程的安全性；

2.本发明对OBU的ID进行秘密共享得到两组影子秘密，两组影子秘密分别存储于OBU、移动终端和第三方信任机构TA里面；OBU的身份ID没有被实际存储，所以无法获取，因此不会泄露车主的信息，具有很高的安全性；

3.本发明采用身份密码学，使用私钥对需要传输的信息进行签名，公钥进行认证；由于公钥是通过哈希运算得到的，敌方无法得到公钥，由于签名的部分对象无法被敌方所知，敌方无法得到私钥，因此公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击；

4.本发明将基于ID密码学中的ID改为了公钥随机数的形式，并在签名消息中加入了秘密使得实际签名消息无法被敌方得到，因此数字签名具有很高的抗量子计算安全性；

5.本发明用到了偏移量，这些偏移量都需要密钥卡中的秘密信息的参与才能计算得到，没有密钥卡的其他方将无法破解这些被偏移量保护的数据；偏移量的使用对数据进行了加密，使得传输过程更加安全，具有抗量子计算的特性；并且该加密方式比普通加密方式的计算量更小，因此避免了使用普通加密方式来抵抗量子计算机的攻击，降低了各方的设备负担。

附图说明

图1为本发明实施例提供的车联网系统示意图。

具体实施方式

本实施例所用的非对称算法是基于身份的密码学。密钥管理服务器为客户端分别颁发私钥。客户端的身份为ID，公钥为PK，私钥为SK。

基于身份密码学的相关知识：假设G是一个群，从G中取生成元P，再选一个随机数作为密钥管理服务器的私钥s，有密钥管理服务器的公钥Ppub＝sP。本专利密钥管理服务器包含为移动终端密钥系统所用的身份、颁发公私钥、身份公私钥分别为IDSM、PpubM/sM、PKSM/SKSM，为OBU密钥系统所用的身份、颁发公私钥、身份公私钥分别为IDSC、PpubC/sC、PKSC/SKSC，其中PKSM＝H(IDSM)，SKSM＝sM*PKSM，PKSC＝H(IDSC)，SKSC＝sC*PKSC。由于移动终端之间不需要进行通信联系，因此为移动终端所用的身份、颁发公私钥、身份公私钥可以各不相同，即每个移动终端对应于一组与其他移动终端都不同的IDSM、PpubM/sM、PKSM/SKSM，这样可以提高安全性。

下面简单介绍秘密共享的原理和流程。

从素数阶q的有限域GF(q)中随机选取N个不同的非零元素x1，x2，...，xN，分配给参与者Pi(i＝1，2，...，N)。把客户端身份ID作为共享的秘密信息，从GF(q)中选取t-1个元素a1，a2，...，a(t-1)，构造多项式

则有IDi＝f(xi)(1≤i≤N)。

从N个参与者中获取任意t个影子秘密可以恢复ID，具体步骤如下。

根据公式

可以求得t个拉格朗日参数λi，因而可以根据公式ID＝f(0)＝∑λi*IDi求得ID。

在本发明中，参与者Pi就是车、移动终端和TA。对ID进行(2，2)的秘密共享，从而得到两组影子秘密，分别是(x1，ID1)，(x2，ID2)。构造多项式f(x)＝ID+RAND*x，从而得到ID1＝f(x1)＝ID+RAND*x1，ID2＝f(x2)＝ID+RAND*x2；只要凑齐这两组秘密即可恢复ID。

恢复ID的具体步骤如下。

通过(x1，ID1)，(x2，ID2)两组秘密求得拉格朗日参数

其中λ1＝(-x2)/(x1-x2)，λ2＝(-x1)/(x2-x1)。从而求得ID＝λ1*ID1+λ2*ID2＝(x1*ID2-x2*ID1)/(x1-x2)。

在本发明中，参与者移动终端存有PID、影子秘密(x1，ID1)、公钥PK、私钥SKM、PpubM、IDSM。其中公钥PK可表示为H(ID)，其中H是一种哈希函数。私钥SKM＝sM*PK。PID是OBU的假身份，PID＝HASH(ID||ID1||ID2)。

参与者车包含车钥匙和OBU。车钥匙里含有密钥卡，密钥卡存储PID、影子秘密(x1，ID1)、公钥PK、私钥SKC。私钥SKC＝sC*PK。车钥匙插入车上对应接口，且由用户输入车钥匙的PIN码以后，OBU就可读取车钥匙存储的所有信息。车上的OBU也含有密钥卡，OBU密钥卡存有PpubC、本OBU配对的移动终端所对应的PpubM以及IDSC，且OBU密钥卡具有抗拆功能，可以保证PpubC和IDSC不被窃取。

参与者TA存有多组OBU信息列表，每组OBU信息包括PID、x1、(x2，ID2)。TA包含密钥管理服务器的功能，因此还包含多组IDSM/PKSM/SKSM、多组IDSC/PKSC/SKSC。其中TA对接OBU时，使用IDSC/PKSC/SKSC与之对接；TA对接移动终端时，使用移动终端所对应的IDSM/PKSM/SKSM与之对接。

阶段一：车辆匿名认证

车辆匿名认证有四个目的，分别是获得TA认证、获取新的化名、获取化名对应的私钥以及当前RSU覆盖的群组密钥GK_RSU。其中群组密钥GK_RSU可按固定频率更新，例如一天更新一次。本RSU覆盖区域可以超过本RSU无线信号覆盖区域，到达无线信号覆盖区域之外。例如规定某RSU无线信号覆盖区域以及该RSU附近的某个小区的并集为该RSU覆盖区域。在RSU无线信号覆盖区域内才可以进行车辆与RSU之间的认证；在RSU无线信号覆盖区域之外的RSU覆盖区域，可以进行车辆之间的群组通信，即车辆根据定位得知当前所在的RSU覆盖区域，然后根据认证后获得的本RSU覆盖区域的群组密钥进行群组通信。

步骤1.移动终端发出请求消息

移动终端首先与OBU建立蓝牙或NFC等近距离连接。

移动终端取出本地存有的影子秘密(x1，ID1)，获取时间戳timestamp，将timestamp命名为x0，将x1与x0组合起来并进行哈希运算得到x1′，x1′可表示为HASH(x1||x0)。将x0与x1组合起来进行哈希运算得到x2＇，x2＇可表示为HASH(x0||x1)。x2＇暂存在移动终端上。

将x1、x1＇和x2＇三者进行比较，如果任意二者相等，则表示当前timestamp不能够满足更换PID的条件，更换timestamp直到x1/x1＇/x2＇三者中任意二者都不相等，即timestamp满足了更换PID条件，移动终端才可发出请求更换PID等相关信息的消息。

移动终端取出本地存有的PID和ID1，并用x1对ID1||timestamp进行对称加密，得到的结果与PID组合起来命名为M1_0，即M1_0可表示为PID||{ID1||timestamp}x1。将x1′与x2′组合起来命名为M1_1。即M1_1可表示为x1′||x2＇。

将M1_0与M1_1组合起来并用私钥SKM对其进行基于ID密码学的签名。签名过程如下：取随机数r，根据ID密码学公式PK＝H(ID)和h＝H1(m，r*PK)，可得参数h，本专利中h可表示为H1(M1_0||M1_1，r*PK)。基于ID密码学签名公式为SIGN(m，k)＝(U，V)，其中SIGN(m，k)表示以m为消息、以k为密钥的基于ID密码学的签名，U＝r*PK，V＝(r+h)*SK。根据以上ID密码学公式，用SKM对M1_0||M1_1进行ID密码学签名得到签名SIGN(M1_0||M1_1，SKM)，将签名与M1_0组合命名为M1。即M1可表示M1_0||SIGN(M1_0||M1_1，SKM)。M1即是移动终端发出的请求消息。移动终端将M1发送给OBU。

由于ID不公开，敌方无法得到PK；因此敌方无法通过r*PK和PK得到随机数r。由于签名的部分对象(M1_1)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SK得到SK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

步骤2：OBU对移动终端认证，并发出请求消息

收到移动终端发送来的请求消息M1。取出M1中的PID，查看PID是否与OBU本地相同。如果不相同验证失败。如果相同，从本地取出x1，并用x1解密M1_0得到ID1和timestamp。

根据获得的timestamp判断与当前时间是否位于可允许的误差范围内。如果timestamp不位于允许的误差范围内，则判断失败，返回错误信息，回到步骤1。将timestamp定义为x0，将x1与x0组合起来进行哈希运算，得到x1＇，将x0与x1组合起来进行哈希运算，得到x2＇并暂存在OBU上。将x1、x1′和x2′三者进行比较，如果任意二者相等，则返回错误消息，回到步骤1。用PK和PpubM验证M1中的签名。要验证该签名，根据《An Identity-BasedSignature from Gap Diffie-Hellman Groups》的数字签名验证理论，只需要验证(P，PpubM，U+h*PK，V))是一个有效的Diffie-Hellman元组，其中h＝H1(M1_0||M1_1，U)。至此OBU对移动终端认证完毕。认证通过后OBU开始向服务器发送请求消息。

请求消息定义为M2，M2可表示为M2_0||SIGN(M2_0||M2_1，SKC)。其中M2_0可表示为M1_0||MSG，MSG是包含RSU信息及化名申请的指令信息。将x1′与x2＇组合起来定义为M2_1。SIGN(M2_0||M2_1，SKC)是表示以M2_0||M2_1为消息、以SKC为密钥的基于ID密码学的签名。具体签名过程在步骤1中已详述。

由于ID不公开，敌方无法得到PK；因此敌方无法通过r*PK和PK得到随机数r。由于签名的部分对象(M2_1)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SK得到SK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

步骤3.服务器发出响应消息并更新存储

服务器TA获取到认证请求消息M2后，从M2中解析得到M1_0||MSG，继而从M1_0中取出PID。根据取出的PID搜索本地OBU信息列表中的PID项。如果找不到PID，则认证失败，流程结束。找到PID后，用服务器TA存储的x1对M1_0进行解密得到ID1和timestamp。TA找到身份标识为PID的OBU所一一对应的移动终端的参数列表，即IDSM、PpubM/sM、PKSM/SKSM；如找不到，则认证失败，流程结束。

根据秘密共享原理，通过影子秘密(x1，ID1)、(x2，ID2)和公式f(x)＝ID+RAND*x恢复ID和RAND。计算PK＝H(ID)。

令x0＝timestamp，x1′表示为HASH(x1||x0)。x2＇表示为HASH(x0||x1)。根据x1＇，x2＇，及公式f(x)＝ID+RAND*x计算得到ID1＇，ID2＇。将x1＇与x2′组合为M2_1。从消息M2中取出签名SIGN(M2_0||M2_1，SKC)，用公钥PK和PpubC验证签名，验证成功则表明恢复的ID是正确的，且消息M2_0未被篡改，认证成功。

发送响应消息M3到OBU，M3可表示为M3_0||M3_2||M3_3||SIGN(M3_0||M3_1，SKSC)||SIGN(M3_0||HASH(M3_1)，SKSM)。其中M3_0可表示为PID||{ID2′||timestamp||RESULT}x2′，{ID2′||timestamp||RESULT}x2′表示用x2′对ID2′||timestamp||RESULT进行对称加密，RESULT为申请结果是成功还是失败。

M3_1可表示为GK_RSU||∑{ALIAS||ASK}。其中ALIAS为定义的化名，APK是化名对应的公钥，APK＝H(ALIAS||GK_RSU)。ASK是化名对应的私钥，ASK＝sC*APK。化名及其私钥组合可以有多组。如果前文所述数字签名验证失败了，则M3_1是一个随机字符串。

对M3_1进行ID密码学加密。加密过程如下：根据ID密码学加密公式gC＝e(PK，PpubC)可以计算得到gC。取随机数r，计算TCU＝rP，

进而可以得到加密密文TC＝<TCU，TCV>。将组合{TCU-H(ID||x1||ID_RSU)}||TCV称作为M3_2，其中H(ID||x1||ID_RSU)为偏移量，加密密文<TCU，TCV>是加密给OBU的原始加密值。

同理，对HASH(M3_1)进行ID密码学加密，即计算gM＝e(PK，PpubM)，并得到M3_3＝(TMU-H(ID||x1||ID_RSU))||TMV。其中加密密文<TMU，TMV>是加密给移动终端的原始加密值。

针对签名SIGN(M3_0||M3_1，SKSC)，由于服务器身份信息(IDS)不公开，敌方无法得到PKS；因此敌方无法通过r*PKS和PKS得到随机数r。由于签名的部分对象(M3_1)无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*SKSC得到SKSC。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。SIGN(M3_0||HASH(M3_1)，SKSM)抗量子计算的原理与此类似。

服务器TA更新存储：将恢复的ID、ID1′、ID2′三者拼接起来进行哈希运算得到新的假身份PID′，即PID′＝HASH(ID||ID1′||ID2′)。将PID更新为PID′，x1更新为x1＇，(x2，ID2)更新为(x2＇，ID2＇)。

由于ID没有存储于服务器硬件，因此单独对其进行断电拆解无法获取ID。

步骤4.OBU收到响应消息并更新存储

OBU收到TA发过来的响应消息M3后解析出M3_0||M3_2||M3_3||SIGN(M3_0||M3_1，SKSC)||SIGN(M3_0||HASH(M3_1)，SKSM)并进行如下操作。

第一步：解密M3_0。用x2＇对{ID2＇||timestamp||RESULT}x2′进行解密得到ID2′、timestamp和RESULT。

第二步：判断timestamp是否与发出的请求中的timestamp一致。判断失败则返回错误消息，回到步骤1。

第三步：判断RESULT。判断RESULT是成功还是失败。成功继续下一步。

第四步：签名认证。从本地取出(x1，ID1)和x2＇，根据(x1，ID1)和(x2＇，ID2＇)，公式f(x)＝ID+RAND*x，恢复ID和RAND。

从M3中取出M3_2，M3_2＝{TCU-H(ID||x1||ID_RSU)}||TCV，通过对ID、x1和ID_RSU进行哈希运算恢复偏移量，对TCU-H(ID||x1||ID_RSU)加上H(ID||x1||ID_RSU)，从而得到TCU。通过ID密码学解密公式

其中TCU＝rP，

解密得到M3_1，再从M3中取出M3_0，验证签名SIGN(M3_0||M3_1，SKSC)，验证方法前文已述。如果验证成功，说明响应消息未被篡改，则表明ID已经被服务器TA认可。如果验证失败或者没有收到确认消息，则表明ID没有被服务器TA认可。

第五步：如果认证成功则更新存储。将恢复的ID、ID1′和ID2＇组合起来并进行哈希运算得到新的假身份PID＇，将OBU本地对应的车钥匙中的PID更新为PID′，(x1，ID1)更新为(x1′，ID1＇)。解析M3_1为GK_RSU||∑{ALIAS||ASK}。群组密钥列表中更新当前RSU对应的群组密钥为GK_RSU。新增OBU在当前RSU对应的化名及其私钥的组合∑{ALIAS||ASK}。由于ID没有存储于车钥匙和OBU，因此单独对其进行断电拆解无法获取ID。

第六步：OBU发送响应消息给移动终端。

设发送给移动终端的信息为M4＝M3_0||M3_3||SIGN(M3_0||HASH(M3_1)，SKSM)，OBU将M4通过近距离连接发送给移动终端。

步骤5.移动终端收到响应消息并更新存储

移动终端收到OBU发过来的响应消息M4后解析出M3_0||M3_3||SIGN(M3_0||HASH(M3_1)，SKSM)并进行如下操作。

第一步：解密M3_0。用x2＇对{ID2＇||timestamp||RESULT}x2＇进行解密得到ID2＇、timestamp和RESULT。

第二步：判断timestamp是否与发出的请求中的timestamp一致。判断失败则返回错误消息，回到步骤1。

第三步：判断RESULT。判断RESULT是成功还是失败。成功继续下一步。

第四步：签名认证。移动终端从本地取出(x1，ID1)和x2＇，根据(x1，ID1)和(x2′，ID2＇)，恢复f(x)＝ID+RAND*x，即恢复ID和RAND。验证签名，从M4中取出M3_3，M3_3＝(TMU-H(ID||x1||ID_RSU))||TMV，通过对ID、x1和ID_RSU进行哈希运算恢复偏移量，对于TMU-H(ID||x1||ID_RSU)加上H(ID||x1||ID_RSU)，从而得到TMU，通过ID密码学解密公式

其中TMU＝rP，

解密得到HASH(M3_1)。验证签名SIGN(M3_0||HASH(M3_1)，SKSM)，验证方法前文已述。如果验证成功，即表明ID已经被服务器TA认可。如果验证失败或者没有收到确认消息，则表明ID没有被服务器TA认可。

第五步：如果认证成功则更新存储。将恢复的ID、ID1′和ID2＇组合起来并进行哈希运算得到新的假身份PID′，将移动终端中的PID更新为PID′，(x1，ID1)更新为(x1′，ID1′)。由于ID没有存储于移动终端，因此单独对其进行断电拆解无法获取ID。

阶段二：车辆匿名广播消息

A在匿名广播消息的时候，设将要广播的消息为BMSG，令组合ALIAS||BMSG||timestamp为MB_0，用私钥ASK对MB_0||GK_RSU做基于ID密码学的签名得到SIGN(MB_0||GK_RSU，ASK)，将其和MB_0组合得到MB_0||SIGN(MB_0||GK_RSU，ASK)并命名为MB。A将MB发送出去即完成车辆的匿名广播消息。

由于生成公钥的部分信息GK_RSU不公开，敌方无法得到APK(车辆A的化名对应的公钥)；因此敌方无法通过r*APK和APK得到随机数r。由于签名对象中含有群组密钥GK_RSU无法被敌方所知，因此敌方无法通过签名的对象得到h。由于敌方无法得到r和h，因此敌方无法通过(r+h)*ASK得到ASK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

阶段三：验证匿名广播消息

接收方验证来自A的匿名广播消息的时候，解析MB_0得到ALIAS||BMSG||timestamp，取出本地的群组密钥GK_RSU并将其和MB中的MB_0组合成MB_0||GK_RSU，然后用公钥APK＝H1(ALIAS||GK_RSU)和PpubC来验证MB中的签名SIGN(MB_0||GK_RSU，ASK)，验证成功则表明该化名ALIAS及广播消息BMSG有效。

Claims (7)

1.一种基于秘密共享和移动终端的抗量子计算车联网系统，其特征在于：包括若干移动终端、第三方信任机构、设置于若干车辆上的车钥匙和车载单元、用于车载单元和第三方信任机构信息传送的路边单元，其中，所述移动终端与车载单元之间进行一一配对，所述车载单元作为客户端、提供服务的第三方信任机构作为服务端并设有密钥管理服务器，各移动终端、车钥匙、车载单元和第三方信任机构均设有具有惟一ID的密钥卡，密钥卡由第三方信任机构颁发，车辆上设置用于车钥匙插入的接口，用户输入车钥匙的PIN码后，车载单元能够读取车钥匙密钥卡存储的信息；

所述车载单元的ID通过(2，2)秘密共享得到影子秘密一和影子秘密二，影子秘密一包括随机数一和ID分量一，影子秘密二包括随机数二和ID分量二；

所述移动终端密钥卡内存储假身份PID、影子秘密一、公钥PK、私钥SKM、颁发公钥PpubM和身份IDSM，假身份PID通过对车载单元ID、ID分量一和ID分量二进行哈希运算获得；

所述车钥匙密钥卡内存储包括车载单元的假身份PID、影子秘密一、公钥PK和私钥SKC；

所述车载单元密钥卡内存储包括车载单元的颁发公钥PpubC、身份IDSC和本车载单元配对的移动终端所对应的颁发公钥PpubM；

所述第三方信任机构密钥卡内存储包括移动终端和车载单元的信息列表，每组移动终端信息列表包括移动终端的身份IDSM、颁发公钥PpubM、颁发私钥sM、身份公钥PKSM和身份私钥SKSM，每组车载单元信息列表包括车载单元的假身份PID、随机数一、影子秘密二、身份DSC、颁发公钥PpubC、颁发私钥sC、身份公钥PKSC和身份私钥SKSC。

2.根据权利要求1所述的一种基于秘密共享和移动终端的抗量子计算车联网系统，其特征在于，所述第三方信任机构密钥卡内，不同的移动终端对应的信息列表中的身份IDSM、颁发公钥PpubM、颁发私钥sM、身份公钥PKSM和身份私钥SKSM各不相同。

3.根据权利要求1所述的一种基于秘密共享和移动终端的抗量子计算车联网系统，其特征在于，所述移动终端和车载单元的私钥根据公钥和随机数计算获得，身份私钥根据身份公钥和随机数计算获得。

4.根据权利要求1所述的一种基于秘密共享和移动终端的抗量子计算车联网系统的认证方法，车载单元的ID通过(2，2)秘密共享得到的ID分量一和ID分量二分别记为ID1、ID2，随机数一和随机数二分别记为x1、x2，影子秘密一和影子秘密二分别记为(x1，ID1)、(x2，ID2)，其特征在于，车辆匿名认证方法包括以下步骤：

步骤A1、移动终端向车载单元发送包括更换假身份PID请求的消息；

步骤A2、车载单元对移动终端认证成功后通过路边单元向第三方信任机构发送包括认证请求和化名请求的消息；

步骤A3、第三方信任机构发出响应消息，若认证成功则计算并更新存储；

步骤A4、车载单元收到经路边单元转发的第三方信任机构认证成功的响应消息，若被第三方信任机构认可则更新存储，同时，车载单元发送响应消息给移动终端；

步骤A5、移动终端收到车载单元发送的认证成功的响应消息后更新存储。

5.根据权利要求4所述的一种基于秘密共享和移动终端的抗量子计算车联网系统的认证方法，其特征在于，所述步骤A1包括：

移动终端与车载单元建立蓝牙或NFC近距离连接；

获取时间戳，与本地存有的x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，x2＇暂存在移动终端上；

判断是否满足更换假身份PID的条件，若满足，则移动终端向车载单元发送包括更换假身份PID请求的消息M1，消息M1包括消息M1_0以及用私钥SKM对消息M1_0和消息M1_1进行的签名，消息M1_0包括假身份PID以及用x1对ID1和时间戳进行的对称加密，消息M1_1包括x1′和x2′；

所述步骤A2包括：

车载单元收到移动终端发送来的消息M1，验证消息中的PID是否与车载单元本地PID相同，验证成功后从本地取出x1解密消息M1_0得到时间戳和ID1；

若获得的时间戳与当前时间位于可允许的误差范围内，将时间戳与x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，x2′暂存在车载单元上，否则，回到步骤A1；

判断是否满足更换假身份PID的条件，若满足，用公钥PK和颁发公钥PpubM验证消息M1中的签名，否则，回到步骤A1；

验证通过后，车载单元对移动终端认证成功；

车载单元通过路边单元向第三方信任机构发送包括认证请求和化名请求的消息M2，消息M2包括消息M2_0以及用私钥SKC对消息M2_0和消息M2_1进行的签名，消息M2_0包括消息M1_0和包含路边单元信息及化名申请的指令消息MSG，消息M2_1包括x1′和x2′；

所述步骤A3包括：

第三方信任机构接收到路边单元转发的消息M2后，从消息M2中解析出消息M1_0和指令消息MSG，再从消息M1_0中取出假身份PID，根据假身份PID搜索本地信息列表中的身份标识为PID的车载单元的参数列表，若找不到，则认证失败，流程结束，若找到，则从本地取出x1对消息M1_0进行解密得到ID1和时间戳；

根据假身份PID搜索本地信息列表中身份标识为PID的车载单元所对应的移动终端的参数列表，若找不到，则认证失败，流程结束，若找到，通过(x1，ID1)和(x2，ID2)恢复车载单元的ID，计算ID的哈希值即公钥PK：

将时间戳与x1进行哈希运算得到新的随机数一和随机数二分别记为x1′和x2′，根据x1′和x2′计算得到新的ID分量一和ID分量二分别记为ID1′和ID2′；

从消息M2中取出签名用公钥PK和车载单元的颁发公钥PpubC进行验证，验证成功后，第三方信任机构对车载单元认证成功；

向车载单元发送响应消息M3，消息M3包括消息M3_0、消息M3_2、消息M3_3、用车载单元的身份私钥SKSC对消息M3_0和消息M3_1进行的签名、用移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值进行的签名，其中，消息M3_0包括假身份PID以及用x2′对ID2′、时间戳和申请结果进行的对称加密，申请结果为成功或失败，消息M3_1包括当前路边单元的群组密钥以及车载单元的若干化名及其私钥的组合，若第三方信任机构对车载单元认证失败则消息M3_1是一个随机字符串，用公钥PK对消息M3_1进行加密得到加密密文一，在加密密文一中加入偏移量得到消息M3_2，偏移量包括车载单元的ID、x1和路边单元ID的哈希值，用公钥PK对消息M3_1的哈希值进行加密得到加密密文二，在加密密文二中加入偏移量得到消息M3_3；

更新存储，对恢复的ID、ID1′和ID2′进行哈希运算得到新的假身份PID′，将PID更新为PID′，x1更新为x1′，(x2，ID2)更新为(x2′，ID2′)；

所述步骤A4包括：

车载单元收到第三方信任机构发过来的响应消息M3，用本地暂存的x2′解密消息M3_0得到新的ID分量二记为ID2′、时间戳和申请结果；

判断解密得到的时间戳与发出的请求消息中的时间戳是否一致，若不一致则返回错误消息，回到步骤A1；

若一致，则判断申请结果是否为成功；

若申请结果为成功，从本地取出(x1，ID1)和暂存的x2′，根据(x1，ID1)和(x2′，ID2′)恢复车载单元的ID；

取出消息M3_2，对车载单元的ID、x1以及路边单元的ID进行哈希运算恢复偏移量，从而得到加密密文一，用车载单元的私钥SKC对加密密文一进行解密得到消息M3_1；

从M3取出消息M3_0，验证车载单元的身份私钥SKSC对消息M3_0和消息M3_1的签名；

若验证成功则更新存储，对恢复的ID、ID1′和ID2′进行哈希运算得到新的假身份PID′，将对应的车钥匙中的假身份PID更新为PID′，(x1，ID1)更新为(x1＇，ID1′)，群组密钥列表中更新当前路边单元对应的群组密钥，新增车载单元在当前路边单元对应的化名及其私钥的组合；

发送响应消息M4给移动终端，消息M4包括消息M3_0、消息M3_3、用移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值进行的签名；

所述步骤A5包括：

移动终端收到消息M4后，用暂存的x2＇解密消息M3_0得到新的ID分量二记为ID2＇、时间戳和申请结果；

判断解密得到的时间戳与发出的请求消息中的时间戳是否一致，若不一致则返回错误消息，回到步骤A1；

若一致，则判断申请结果是否为成功；

若申请结果为成功，从本地取出(x1，ID1)和暂存的的x2＇，恢复车载单元的ID；

取出消息M3_3，对车载单元的ID、x1和路边单元的ID进行哈希运算恢复偏移量，从而得到加密密文二，用移动终端的私钥SKM对加密密文二进行解密得到消息M3_1的哈希值；

验证移动终端的身份私钥SKSM对消息M3_0以及消息M3_1的哈希值的签名；

若验证成功则更新存储，对ID、ID1′和ID2′进行哈希运算得到新的假身份PID′，将移动终端中的假身份PID更新为PID′，(x1，ID1)更新为(x1＇，ID1＇)。

6.根据权利要求5所述的一种基于秘密共享和移动终端的抗量子计算车联网系统的认证方法，其特征在于，所述步骤A1和步骤A2中，判断是否更换假身份PID的条件为：比较x1、x1′和x2′，如果任意二者相等，则当前时间戳不满足更换PID的条件，重新获取时间戳并计算两个哈希值，直到满足更换PID的条件。

7.根据权利要求1所述的一种基于秘密共享和移动终端的抗量子计算车联网系统的认证方法，其特征在于，还包括车辆匿名广播消息和验证匿名广播消息，其中，

车辆匿名广播消息：

车载单元用自身化名后对应的私钥将消息MB_0和群组密钥进行签名，将该签名与消息MB_0一起打包作为消息MB并发送给接收方，完成车辆消息的匿名广播，消息MB_0包括车载单元在当前路边单元对应的化名、将要广播的消息和时间戳；

验证匿名广播消息：

接收方接收来自车辆的匿名广播消息，解析消息MB_0得到车载单元的化名、将要广播的消息和时间戳，用车载单元化名后对应的公钥和车载单元的颁发公钥验证车辆匿名广播消息内的签名内容，验证成功则广播信息有效。

Images