CN114826716A - 一种基于无证书组签密的车联网条件隐私保护方法 - Google Patents

Abstract

本发明属于车联网络中的隐私保护领域，特别涉及一种基于无证书组签密的车联网条件隐私保护方法；基于椭圆离散对数问题，在无证书公钥密码体系的协助下，针对车联网中通信需要保护车辆身份隐私的问题，研究一种无需第三方参与的假名策略；考虑车联网通信的安全性，提出一种利用车辆相对移动性的“组”生成策略，利用组内公钥和自身私钥共同签密；本发明有效地提升了车联网中的通信安全，并降低了系统开销。

Description

一种基于无证书组签密的车联网条件隐私保护方法

技术领域

本发明涉及车联网络中的隐私保护领域，特别涉及一种基于无证书组签密的车联网条件隐私保护方法。

背景技术

车联网(Internet ofVehicle，IoV)是一种多跳、高速移动的无线通信网络，其作为未来智能交通的基础，为车辆间的通信提供重要的网络环境。IoV的出现提高了交通运输效率和道路安全性，但由于车辆间的通信数据包在无线信道中传输，通信数据包中可能包含车辆的身份信息，驾驶路线等，不法分子可以轻易窃听、伪造乃至篡改这些通信数据包，从而造成隐私泄露等其他交通问题。因此当车辆接收到来自其他车辆的消息时，应当先验证消息的完整性和有效性，再进行下一步决策。

为了保障IoV中消息和车辆身份位置等隐私信息的安全性，出现了基于证书、基于身份加密和基于无证书的签名方案。在基于证书的方案中，需要CA保留大量的证书用于管理车辆公钥，存在证书管理问题。基于身份的签名方案解决了证书管理问题，但是需要依靠绝对安全的PKG，存在密钥托管问题。无证书签名方案的出现解决以上难题，私钥由车辆和KGC共同生成，公钥由私钥结合某种困难的数学问题生成，消除了证书管理和密钥托管的问题。无证书签名方案保障了消息的完整性和不可伪造性，在此基础上，后来又有人引入无证书签密技术来加以保障消息的机密性，但是会产生较大的时延损耗以及在实际应用中出现隐私泄露等问题。

发明内容

为解决上述问题，本发明提出了一种基于无证书组签密的车联网条件隐私保护方法，包括：

步骤A.构建系统，该系统包括可信机构TA和密钥生成中心KGC，系统初始化；

步骤B.任一车辆向可信机构TA进行注册得到注册身份；

步骤C.该车辆根据注册身份自己生成假名身份；

步骤D.该车辆向密钥生成中心KGC发送假名身份得到部分公钥和私钥；

步骤E.结合部分公钥和私钥，该车辆得到自己完整的公钥和私钥；

步骤F.由该车辆及其周围一定数量的车辆共同形成一个组，根据组内所有车辆的公钥、假名身份，该车辆对消息进行签密生成签密数据包，并指定该组以外的另一车辆接收；

步骤G.所述另一车辆对签密数据包进行解密运算，还原消息。

进一步的，步骤A构建系统的过程包括：

令G是一个q阶循环群，p是群G的生成元，其中，q为大素数；

TA选择一个随机数

作为可信主密钥，并秘密保存可信主密钥a，计算可信主公钥T_pub＝aP；其中

表示{1，2，3，...，q-1}中的一个数；

KGC选择一个随机数

作为认证主密钥，并秘密保存认证主密钥，计算认证主公钥P_pub＝sP；

TA和KGC共同选择5个安全的哈希函数：

和

从而得到系统参数params＝{q,G,P,T_pub,P_pub,H₁,H₂,H₃,H₄,H₅}。

进一步，任一车辆获取注册身份的过程为：

S11.车辆vi将自己的身份信息ID_vi通过安全信道发送给TA，TA在车辆身份撤销列表

中检查身份信息ID_vi是否被撤销，若未撤销，则执行步骤S12；其中，vi＝1,2,...,N，N为车联网中车辆个数；

S12.TA生成一个随机数r_i，计算R_i＝r_iP和

在身份追溯列表

中保存记录(r_i,Q_i)，并将(R_i,Q_i)传递给车辆vi；其中Q_i为车辆vi的注册身份；R_i是为了能够验证注册身份的合法性，保护TA传输给车辆的回程链路中的数据的完整性而引入的变量。

S13.车辆vi接收(r_i,Q_i)后验证

是否成立，若成立，则注册身份有效。

进一步的，车辆根据注册身份自己生成的假名身份表示为

其中，

是车辆选取的随机数，P、H₁和T_pub为系统参数，Q_i为车辆的注册身份。

进一步的，车辆通过密钥生成中心KGC得到部分私钥的过程为：

S21.车辆将假名身份PID_vi传递给KGC，KGC选择一个随机数

计算D_i＝d_iP、h_2i＝H₂(PID_vi,D_i,P_pub)和y_i＝(d_i+sh_2i)modq，并将(D_i,y_i)返回给该车辆；

S22.车辆接收(D_i,y_i)并判断等式h_2i＝H₂(PID_vi,D_i,P_pub)和y_iP＝D_i+h_2iP_pub是否都成立，若是，则接收部分私钥；

其中，P、P_pub、H₂和q为系统参数，s为认证主密钥，D_i是KGC为车辆生成的部分公钥，y_i是KGC为车辆生成的部分私钥。

进一步的，步骤F的具体过程为：

S31.选取车辆vi周围的车辆，包括车辆vi在内共n辆车辆构成一个组，该组的假名身份集合为

从公共信道上获取该组的公钥信息集合

S32.选择一个随机数

计算U_a＝u_aP，根据U_a计算h_3a＝H₃(P_pub,U_a,t)；

S33.根据车辆vi的公钥和U_a计算h_4a＝H₄(D_i,U_a,t)，根据车辆vj的假名身份和公钥计算h_2b＝H₂(PID_vj,D_j,P_pub)；

S34.根据h_3a、h_2b和h_4a计算

再根据

对消息m进行签密生成密文

S35.根据密文和该组的公钥信息集合计算f_k＝H₅(C,D_k),k∈[1,n]，再根据f_k计算

S36.计算车辆vi的签名信息σ＝u_a+h_3ay_i+h_4ax_i，从而得到车辆vi生成的签密数据包

并将其发送给车辆vj；

其中，P、P_pub、H₄、H₃、H₂、H₁为系统参数，t表示时间戳，(y_i,x_i)表示车辆vi的私钥，vi＝1,2,...,N，vj＝1,2,...,N，且vi≠vj，N为车联网中车辆个数。

进一步的，车辆vj接收签密数据包后进行解密的过程为：

S41.验证

是否成立，若成立，则车辆vi的签名信息有效，执行步骤S42，否则向TA反馈签名信息和车辆vi的假名身份；

S42.计算

根据结果

计算

还原消息m。

本发明的有益效果：

本发明提出了一种基于无证书组签密的车联网条件隐私保护方法，首先考虑路侧单元和车辆作为服务节点的差异以及任务时延、通信距离和计算资源约束建立系统模型；基于椭圆曲线离散对数问题，在无证书公钥密码体系的协助下，针对车联网中通信需要保护车辆身份隐私的问题，研究一种无需第三方参与的假名策略，同时考虑车联网通信的安全性，提出一种利用车辆相对移动性的“组”生成策略，用于IoV中的V2V通信，利用组内公钥和自身私钥共同签密。

本发明基于椭圆曲线离散对数问题设计的无证书签密方案，相较于现有的基于双线性配对的无证书签密方案和针对IoV异构环境的无证书签密方案提升了通信安全，同时减少了签密通信、假名生成方面的时间开销、空间开销；在假名策略中，采用车辆自生成假名的方式降低方案中生成假名和变更假名的开销，且必要时TA可以根据假名追溯车辆的真实身份信息，提升了整体安全以及性能表现。

附图说明

图1为本发明的基于无证书组签密的车联网条件隐私保护方法流程图；

图2为本发明实施例中的条件隐私保护无证书组签密方案的系统模型图；

图3为本发明实施例的无证书组签密示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种基于无证书组签密的车联网条件隐私保护方法，如图2所示，该方案一共包含三个实体，分别是可信中心TA、密钥生成中心KGC以及移动的车辆。车辆参与IoV之前需要向TA进行注册获取TA颁布的注册身份；然后使用假名策略保护车辆的身份隐私安全，即车辆利用注册身份自生成假名身份，车辆可以根据自身需求变更假名信息，这有效降低了假名的生成、管理与变更开销；此外，在车辆出现不合法行为时，TA可以利用假名身份和可信主密钥(TA自身的私钥)对车辆的真实身份进行追溯，实现了条件隐私保护。在通信过程中，车辆选取其周围的n辆车共同形成一个组，利用组内所有车辆的公钥共同对消息进行加密，保障了车辆身份的不可链接性和消息的机密性。

考虑到IoV作为车载自组网VANET的延伸，其每个实体都可以进行网络连接，针对IoV的安全通信方案需要满足以下要求：

完整性：通信方案必须确保上传的数据不被任何敌手非法修改或删除，此外，任何对数据做了非法修改的行为，在通信过程中都应当被检测出来。

匿名性：在通信过程中，通信实体采用假名身份而不是真实身份进行通信，通信数据包内的其余信息也不能链接到车辆的真实身份信息中。

可追溯性：如果车辆有虚假行为，由举报或者检测等方式发现恶意车辆并发送给权威可信机构TA，权威可信机构可以揭露其真实身份并采取适当措施。

机密性：在数据传输和存储过程中，只有经过授权的组织或者用户能够恢复原始明文数据，未经授权的实体用户无法获得任何有价值的信息。

不可伪造性：敌手在概率多项式时间内无法仿冒用户并伪造一条有效的恶意信息。

不可链接性：某个用户在网络中进行了多次交互，攻击者无法从外部区分出哪些对话是源自同一个用户。

一种基于无证书组签密的车联网条件隐私保护方法，其主要流程如图1、3所示，包括：

步骤A.构建系统，该系统包括可信机构TA和密钥生成中心KGC，系统初始化；

步骤B.车辆vi向可信机构TA进行注册得到注册身份，vi＝1,2,...,N，N为车联网中车辆个数；

步骤C.车辆vi根据注册身份自己生成假名身份；

步骤D.车辆vi向密钥生成中心KGC发送假名身份得到部分公钥和私钥；

步骤E.结合部分公钥和私钥，车辆vi得到自己完整的公钥和私钥；

步骤F.选取车辆vi周围的n-1辆车，与车辆车辆vi共n辆车形成一个组，根据组内所有车辆的公钥、假名身份，车辆vi对消息进行签密生成签密数据包，并指定该组以外的另一车辆vj接收，vj＝1,2,...,N，且vi≠vj；

步骤G.所述另一车辆vj对签密数据包进行解密运算，还原消息。

在一实施例中，考虑到IoV背景下的通信安全需求，制定了本方案所需求的系统模型，如图2所示，TA作为全局权威可信机构，负责所有车辆实体的注册，车辆在接入IoV前都需要向TA注册。车辆注册成功之后会获得TA分配的注册身份，车辆根据注册身份自己生成假名身份。在遇到举报或恶意车辆时，TA可以通过假名身份追溯该车辆的真实身份，进而实行相应的惩罚措施。KGC作为密钥生成中心，为车辆生成部分私钥，车辆的私钥和公钥信息由KGC和车辆自身共同生成，这消除了密钥托管的问题。车辆作为系统中的主要运作实体，通过结合其他车辆的公钥信息和自身的私钥信息来对消息进行签密，进而保障消息在传输过程中的安全性。图2椭圆区域内的车辆构成一个组，任一车辆用组中其余车辆的公钥为自己的消息加密。

具体地，在系统模型中，系统初始化过程由两个实体部分执行，分别是TA和KGC，令G是一个q阶循环群，p是群G的生成元，其中，q为大素数；

TA选择一个随机数

作为可信主密钥，并秘密保存可信主密钥a，计算可信主公钥T_pub＝aP；其中

表示{1，2，3，...，q-1}中的一个数；

KGC选择一个随机数

作为认证主密钥，并秘密保存认证主密钥，计算认证主公钥P_pub＝sP；

TA和KGC共同选择5个安全的哈希函数：

和

从而得到系统参数params＝{q,G,P,T_pub,P_pub,H₁,H₂,H₃,H₄,H₅}，将初始化阶段生成的参数params放在系统的公共信道中。

在一实施例中，任一车辆获取注册身份的过程为：

S11.车辆vi将自己的身份信息ID_vi(身份信息为交通管理部门统一颁发的唯一标识)，通过安全信道发送给TA，TA在车辆身份撤销列表

中检查身份信息ID_vi是否被撤销，若未撤销，则执行步骤S12；其中，vi＝1,2,...,N，N为车联网中车辆个数；

S12.TA生成一个随机数r_i，计算R_i＝r_iP和

在身份追溯列表

中保存记录(r_i,Q_i)，并将(R_i,Q_i)传递给车辆vi；其中Q_i为车辆vi的注册身份；

S13.车辆vi接收(r_i,Q_i)后验证

是否成立，若成立，则注册身份有效。

优选地，车辆vi根据注册身份自己生成的假名身份表示为

其中，

是车辆选取的随机数，P、H₁和T_pub为系统参数，Q_i为车辆的注册身份。车辆vi在IoV的交互过程中采用假名身份而不是真实身份，假名身份的生成频率根据车辆自身需求而定。

优选地，车辆vi通过密钥生成中心KGC得到部分公钥和私钥的过程为：

S21.车辆vi将假名身份PID_vi传递给KGC，KGC选择一个随机数

计算D_i＝d_iP、h_2i＝H₂(PID_vi,D_i,P_pub)和y_i＝(d_i+sh_2i)modq，并将(D_i,y_i)返回给车辆vi；

S22.车辆vi接收(D_i,y_i)并判断等式h_2i＝H₂(PID_vi,D_i,P_pub)和y_iP＝D_i+h_2iP_pub是否都成立，若是，则部分私钥合法，接收部分私钥；

其中，D_i是KGC为车辆生成的部分公钥，y_i是KGC为车辆生成的部分私钥。

优选地，车辆vi生成秘密值，随后生成自己完整的私钥和公钥，包括：

车辆vi选择

作为自己的秘密值，为了后续车辆通信过程中对消息进行加密，车辆vi通过计算X_i＝x_iP自身生成一个公钥信息。至此，车辆生成了自己完整的公钥(D_i,X_i)和私钥SK_i＝(y_i,x_i)。将KGC生成的公钥信息发布出去，即车辆公开在外的公钥表示为PK_i＝D_i，完整私钥保存在本地。注意，X_i并没有公布出去，只有车辆vi自己了解X_i的值。

在一实施例中，车辆通信过程中，车辆对消息进行签密生成签密数据包，并将签密数据包发送给另一车辆的过程为：

S31.选取车辆vi及其周围的n-1辆车，与车辆vi共n辆车构成一个组，该组的假名身份集合为

注意该假名身份集合中包含车辆vi自身的假名PID_vi，从公共信道上获取该组所有车辆的公钥信息集合

S32.选择一个随机数

计算U_a＝u_aP，根据U_a计算哈希值h_3a＝H₃(P_pub,U_a,t)；

S33.根据车辆vi的公钥和U_a计算哈希值h_4a＝H₄(D_i,U_a,t)，根据车辆vj的假名身份和公钥计算哈希值h_2b＝H₂(PID_vj,D_j,P_pub)；

S34.根据h_3a、h_2b和h_4a计算

再根据

对消息m进行签密生成密文

S35.根据密文和该组的公钥信息集合计算f_k＝H₅(C,D_k),k∈[1,n]，再根据f_k计算

S36.计算车辆vi的签名信息σ＝u_a+h_3ay_i+h_4ax_i，从而得到车辆vi生成的签密数据包

并将其发送给车辆vj；

其中，P、P_pub、H₄、H₃、H₂、H₁为系统参数，t表示时间戳，(y_i,x_i)表示车辆vi的私钥，vi＝1,2,...,N，vj＝1,2,...,N，且vi≠vj，N为车联网中车辆个数，

表示异或运算。

具体地，车辆vj接收签密数据包后进行解密的过程为：

S41.验证

是否成立，若成立，则车辆vi的签名信息有效，执行步骤S42，若不成立，可能是存在其他车辆冒用，也可能是自己的信息在传递过程中被篡改，所以需要向TA反馈签名信息和车辆vi的假名身份，利用TA追溯出这个消息发出者的真实身份；

S42.计算

根据结果

计算

还原消息m。

车辆vj在进行验证之前，首先计算h_2a＝H₂(PID_vi,D_i,P_pub)，h_3a＝H₃(P_pub,U_a,t)，h_4a＝H₄(D_i,U_a,t)以及h_2b＝H₂(PID_vj,D_j,P_pub)，再计算f_k＝H₅(C,D_k)，k∈[1,n]。

以下实施例中，在随机预言机模型下证明本方案在两种类型攻击下具有机密性和不可伪造性。

假设存在I类型敌手，I类型敌手是恶意用户，它具有替换其余用户公钥的能力，但是无法获取KGC的主密钥。

引理1：在I类型敌手攻击下，方案具有机密性。在随机预言机模型中，假设存在攻击者

能以不可忽略的概率∈₁赢得如下游戏，那么存在挑战者

能以如下概率：

解决CDH(Computation Diffie-Hellman)问题。其中

代表I类型敌手。

证明：假设存在一个CDH问题，P是群G的生成元，s是系统的主密钥(KGC的认证主密钥)，挑战者

无法得知该数值，

利用一系列询问的结果来求su_iP的值。首先运行系统初始化函数，P_pub＝sP，并公布参数params＝{q,G,P,T_pub,P_pub}给攻击者

公布车辆身份信息列表

假设ID_vi ^*是

的目标攻击者，

在与

进行交互时询问的车辆身份总是在集合

内。

自身维护七个列表，其中

存储哈希内容与对应的来自预言机的哈希结果。

保存车辆的私钥信息，

保存车辆的公钥信息。所有的列表在初始化时刻都为空。

S101：系统初始化阶段

攻击者

向挑战者

发送初始化系统请求，

按照初始化算法运行，并将公共信息params＝{q,G,P,T_pub,P_pub}发送给

S102：询问阶段

哈希询问H₁(*)：当

收到

对于

或(kT_pub)的H₁询问时，

首先在列表

中查询历史记录，有则将结果返回给

否则，

选取随机数

作为哈希结果，将其保存到列表

中，并将结果返回给

哈希询问H₃(*)：当

收到

对于(P_pub,U_i,t_i)的哈希值询问时，

首先在列表

中查询关于(P_pub,U_i,t_i)的历史记录，有则将结果返回给

否则，

选取

满足

即避免哈希碰撞。将结果l₃发送给

并在列表

中保存(P_pub,U_i,t_i,l₃)。

哈希询问H₄(*)：当

收到

对于(PK_i,U_i,t_i)的H₄询问时，

首先在列表

中查询关于(PK_i,U_i,t_i)的历史记录，有则将结果返回给

否则，

选取

满足

即避免哈希碰撞。

将结果l₄发送给

并在列表

中保存(PK_i,U_i,t_i,l₄)。

哈希询问H₅(*)：当

收到

对于(C,D_i)的哈希值询问时，

首先在列表

中查询关于(C,D_i)的历史记录，有则将结果返回给

否则，

选取

满足

即避免哈希碰撞。

将结果l₅发送给

并在列表

中保存(C,D_i,l₅)。

注册身份询问

从车辆列表中选取身份信息为ID_vi的车辆发送给TA进行注册，TA根据车辆注册算法计算结果Q_i，并将其返回给

提取公钥询问Extract_pk(PID_vi)：

选取PID_vi发给

询问关于假名身份PID_vi的公钥，

进行如下操作：

(1)如果列表

中存在记录(PID_vi,D_i,c_i)，则返回对应的公钥PK_i＝D_i。

(2)如果列表

中不存在记录，

选取随机数c_i←{0,1}，

(其中q_s是私钥询问次数，q_sc是签密询问次数，有一次是对于目标攻击者的询问)。如果c_i＝1，

随机选取

令D_i＝d_iP。要求满足

否则重新选取随机数d_i。在列表

中保存(PID_vi,D_i,c_i)，并将PK_i＝D_i返回给

反之，当c_i＝0时，

随机选取

根据式D_i＝y_iP-h_2iP_pub计算D_i。要求满足

否则重新选择随机数h_2i,y_i。将PK_i＝D_i返回给

在公钥列表

中保存(PID_vi,D_i,c_i)。在列表

中保存(PID_vi,D_i,P_pub,h_2i)。选取随机数

要求满足

然后在列表

中保存(PID_vi,x_i,y_i)；

提取私钥询问Extract_sk(PID_vi)：

选取PID_vi发给

询问关于假名身份PID_vi的私钥，

进行如下操作：

(1)如果列表

中存在记录(PID_vi,x_i,y_i)，则返回对应的私钥SK_i＝(x_i,y_i)。

(2)如果列表

中不存在记录，

执行提取公钥询问Extract_pk(PID_vi)，如果c_i＝0，在列表

查找私钥记录，并将结果SK_i＝(x_i,y_i)返回给

否则，c_i＝1终止询问。

哈希询问H₂(*)：当

收到

对于(PID_vi,D_i,P_pub)的H₂询问时，

首先在列表

中查询关于(PID_vi,D_i,P_pub)的历史记录，有则将结果返回给

否则，

对假名PID_vi执行提取公钥询问Extract_pk(PID_vi)，从中获取h_2i返回给

替换公钥询问Replace(PK_i)：敌手

将车辆假名身份PID_vi以及替换公钥请求发送给

将PID_vi的公钥PK_i＝D_i替换为PK_i′＝D_i′。

签密询问Sign(PID_va,PID_vb,m′)：

将(PID_va,PID_vb,m′)以及请求签名信息发送给

其中PID_va,PID_vb分别是消息m′的发送方和接收方。

首先在

中查找PID_va的公钥记录(PID_va,D_a,c_a)，如果c_a＝1，终止询问。否则，

对PID_vb进行提取公钥询问Extract_pk(PID_vb)获取公钥PK_b，再对PID_va执行提取私钥询问Extract_sk(PID_va)获取SK_a。用以上参数对于m′执行签密算法，获取签密消息

将

返回给敌手

解密询问

敌手

将

发送给

请求解密。

首先从

中查找(PID_vb,D_b,c_b)，根据c_b的值不同做如下不同的处理：

(1)c_b＝0，

在

中找出(Q_b,x_b,y_b)，对于有效的签密消息

执行解密算法，得出消息m′并返回给

如果输入的签密消息无效，则返回无效符号⊥。

(2)c_b＝1，

分别在

中查找

(PID_va,D_a,P_pub,l₂)，(P_pub,U_a,t_a,l₃)，(PK_a,U_a,t_a,l₄)以及(C,D_i,l₅)。由结果直接解密出消息

如果等式

成立，则说明签名信息有效，将m′返回给

否则返回无效符号⊥。

如果

中不存在(PID_va,D_a,c_a)，则认为公钥被敌手替换。

分别在

中查找

(PID_va,D_a′,P_pub,l₂′)，(P_pub,U_a,t_a,l₃)，(PK_a′,U_a,t_a,l₄′)以及(C,D_i,l₅)。计算

如果签名

验证成功，则说明签名信息有效。将m′返回给

反之返回无效符号⊥。

S103：挑战阶段

敌手

选取两个车辆身份ID_va,ID_vb，以及两个等长的明文消息m₀,m₁。挑战者

对ID_va和ID_vb分别执行

算法获取注册身份Q_a和Q_b，敌手利用注册身份生成假名PID_va和PID_vb。再对PID_vb执行提取公钥询问Extract_pk(PID_vb)获取(PID_vb,D_b,c_b)，如果c_b＝0，挑战者结束游戏。反之，

随机选取

计算

其中e∈{0,1}。

选取随机数

选取随机数

要求能够满足等式

其中f_i根据式f_i＝H₅(C,D_i)计算得出，l₂,l₃和l₄分别从列表

中获取，

将签密信息

发送给敌手

敌手

围绕签密消息中的信息和车辆的身份信息，在询问阶段进行多项式次数的询问，最后输出对e的猜测，e′←{0,1}，若e′＝e，挑战者输出

作为CDH困难问题的有效解。反之则未能解决CDH困难问题。

具体地，首先敌手

以不可忽略的概率∈₁攻破方案的机密性，以α来表示此事件，则P(α)＝∈₁；其次在询问阶段不被终止，用α₁来表示此事件，则存在

同样在挑战阶段也不能被终止，用α₂来表示此事件，则存在P(α₂)＝δ；用事件α₃在挑战阶段

选择合法的

即P(α₃)＝1/q。用事件α₄表示敌手从未询问目标车辆PID_vb的私钥，即P(α₄)＝q_s(1-1/q_e)，其中假设q_e是所有车辆身份的空间大小。则

其中δ＝1/q_s+q_sc+1。

综上所述，敌手

以不可忽略的概率∈₁攻破本文方案的机密性，且在所有的模拟中未终止，那么挑战者

至少能以不可忽略的概率

解决CDH问题。

假设存在II类敌手是恶意的KGC，它可以获取系统的主密钥，但是不能替换用户公钥，该类攻击者在系统初始化阶段就是恶意的，可以恶意生成系统的主密钥对。

引理2：在II类敌手的攻击下，方案具有机密性。在随机预言机模型下，假设敌手

能以不可忽略的概率∈₂攻破方案的机密性，那么挑战者

能以不可忽略的概率解决CDH问题。

引理3：在I类型敌手攻击下，方案具有不可伪造性。在随机预言机模型中，假设存在攻击者

能在多项式时间内以不可忽略的概率∈₃赢得如下游戏，那么存在挑战者

能以如下概率解决ECDLP(Elliptic Curve Discrete Logarithm Problem)问题：

证明：假设存在一个ECDLP困难问题，G为q阶循环群，P是G的生成元，P_pub＝sP，挑战者

只知道P_pub，无法获取s的数值，需要利用以下模拟过程中的信息得出s的数值。

先执行系统初始化算法，将参数params＝{q,G,P,T_pub,P_pub}发送给敌手

车辆身份信息列表以及挑战者自身维护的结果列表第一方面的假设相同，

所维护的列表在初始化时刻都为空。

S201：初始化阶段

初始化阶段同第一方面证明过程中的初始化过程。

S202：询问阶段

哈希询问、假名询问、公钥提取询问、私钥提取询问以及替换公钥询问都和第一方面所述相同，这里不再赘述。

签名询问：

将(m′,PID_va)以及请求签名信息发送给

在

中查询PID_va的公钥记录(PID_va,D_a,c_a)，如果c_a＝1终止该询问。c_a＝0时，继续查找

获取(PID_va,x_a,y_a)记录，即得到私钥SK_a＝(x_a,y_a)。选取车辆ID_va周边的n辆车，并在

中查询它们的公钥，进而执行签密算法，获取签密信息

返回给

验签询问：

将

以及请求验签信息发送给

在列表

中查找(PID_va,D_a,c_a)，根据查找结果做如下不同的处理：

(1)若存在且c_a＝0，

计算h_2a＝H₂(D_a,U_a,t)，h_3a＝H₃(P_pub,U_a,t)以及f_i＝H₅(C,D_i)，验证式

是否成立，若验证签名成功，则将解密出来的m′反馈给

否则返回无效符号⊥。

(2)若存在且c_a＝1，

在列表

中查找h_2a′,h_3a′,h_4a′，验证签名是否成立，即

若验签成功，则将解密出来的信息m′反馈给

否则返回无效符号⊥。

若在列表

中查找不到PID_va的公钥记录，那么表示公钥已经被替换。

在列表

中分别查找记录(PK_a′,U_a,t,l₂′)，(P_pub,U_a,t,l₃)及(PK_a′,U_a,t_i,l₄′)，验证签名

是否成立，如果签名成立，则将m′返回给

否则返回无效符号⊥。

S203：挑战阶段

敌手

对车辆PID_va进行提取公钥询问，

返回记录(PID_va,D_a,c_a)。若c_a＝0则终止模拟过程，反之，

随机选取

选取消息m′以及目标攻击者身份ID_va，对

进行签名询问。如果签名伪造成功，输出

以

作为ECDLP问题的解，否则，

未能解决ECDLP问题。接下来进一步说明在整个模拟过程中

最终能够解决困难问题的条件。以事件β表示敌手

攻破方案的不可伪造性，则p(β)＝∈₃。阶段二的询问过程中，以事件β₁表示挑战者未终止模拟过程，则

阶段三的挑战过程中，以事件β₂表示挑战阶段模拟过程未被终止，则p(β₂)＝δ。事件β₃表示在全过程中，敌手未询问目标攻击车辆的私钥信息，则p(β₃)＝q_s(1-1/q_e)。所以

综上所述，假设敌手

能够以不可忽略的概率∈₃攻破方案的不可伪造性，那么挑战者

能以

的概率解决ECDLP困难问题。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，包括以下步骤：

步骤A.构建系统，该系统包括可信机构TA和密钥生成中心KGC，系统初始化；

步骤B.任一车辆向可信机构TA进行注册得到注册身份；

步骤C.该车辆根据注册身份自己生成假名身份；

步骤D.该车辆向密钥生成中心KGC发送假名身份得到部分公钥和私钥；

步骤E.结合部分公钥和私钥，该车辆得到自己完整的公钥和私钥；

步骤F.由该车辆及其周围一定数量的车辆共同形成一个组，根据组内所有车辆的公钥、假名身份，该车辆对消息进行签密生成签密数据包，并指定组外的另一车辆接收；

步骤G.所述另一车辆对签密数据包进行解密运算，还原消息。

2.根据权利要求1所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，步骤A构建系统的过程包括：

令G是一个q阶循环群，p是群G的生成元，其中，q为大素数；

TA选择一个随机数

作为可信主密钥，并秘密保存可信主密钥a，计算可信主公钥T_pub＝aP；其中

表示{1，2，3，...，q-1}中的一个数；

KGC选择一个随机数

作为认证主密钥，并秘密保存认证主密钥，计算认证主公钥P_pub＝sP；

TA和KGC共同选择5个安全的哈希函数：

和

从而得到系统参数params＝{q,G,P,T_pub,P_pub,H₁,H₂,H₃,H₄,H₅}。

3.根据权利要求1所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，任一车辆获取注册身份的过程为：

S11.车辆vi将自己的身份信息ID_vi通过安全信道发送给TA，TA在车辆身份撤销列表

中检查身份信息ID_vi是否被撤销，若未撤销，则执行步骤S12；其中，vi＝1,2,...,N，N为车联网中车辆个数；

S12.TA生成一个随机数r_i，计算R_i＝r_iP和

在身份追溯列表

中保存记录(r_i,Q_i)，并将(R_i,Q_i)传递给车辆vi；其中Q_i为车辆vi的注册身份；

S13.车辆vi接收(r_i,Q_i)后验证

是否成立，若成立，则注册身份有效。

4.根据权利要求1所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，车辆根据注册身份自己生成的假名身份表示为

其中，

是车辆选取的随机数，P、H₁和T_pub为系统参数，Q_i为车辆的注册身份。

5.根据权利要求4所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，车辆通过密钥生成中心KGC得到部分私钥的过程为：

S21.车辆将假名身份PID_vi传递给KGC，KGC选择一个随机数

计算D_i＝d_iP、h_2i＝H₂(PID_vi,D_i,P_pub)和y_i＝(d_i+sh_2i)modq，并将(D_i,y_i)返回给该车辆；

S22.车辆接收(D_i,y_i)并判断等式h_2i＝H₂(PID_vi,D_i,P_pub)和y_iP＝D_i+h_2iP_pub是否都成立，若是，则接收部分私钥；

其中，P、P_pub、H₂和q为系统参数，s为认证主密钥，D_i是KGC为车辆生成的部分公钥，y_i是KGC为车辆生成的部分私钥。

6.根据权利要求1所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，步骤F的具体过程为：

S31.选取车辆vi周围的车辆，包括车辆vi在内共n辆车辆构成一个组，该组的假名身份集合为

从公共信道上获取该组的公钥信息集合

S32.选择一个随机数

计算U_a＝u_aP，根据U_a计算h_3a＝H₃(P_pub,U_a,t)；

S33.根据车辆vi的公钥和U_a计算h_4a＝H₄(D_i,U_a,t)，根据车辆vj的假名身份和公钥计算h_2b＝H₂(PID_vj,D_j,P_pub)；

S34.根据h_3a、h_2b和h_4a计算

再根据

对消息m进行签密生成密文

S35.根据密文和该组的公钥信息集合计算f_k＝H₅(C,D_k),k∈[1,n]，再根据f_k计算

S36.计算车辆vi的签名信息σ＝u_a+h_3ay_i+h_4ax_i，从而得到车辆vi生成的签密数据包

并将其发送给车辆vj；

其中，P、P_pub、H₄、H₃、H₂、H₁为系统参数，t表示时间戳，(y_i,x_i)表示车辆vi的私钥，vi＝1,2,...,N，vj＝1,2,...,N，且vi≠vj，N为车联网中车辆个数。

7.根据权利要求6所述的一种基于无证书组签密的车联网条件隐私保护方法，其特征在于，车辆vj接收签密数据包后进行解密的过程为：

S41.验证

是否成立，若成立，则车辆vi的签名信息有效，执行步骤S42，否则向TA反馈签名信息和车辆vi的假名身份；

S42.计算

根据结果

计算

还原消息m。

Images