CN115580488A - 基于区块链和物理不可克隆函数的车载网消息认证方法 - Google Patents

Abstract

本发明涉及基于区块链和物理不可克隆函数的车载网消息认证方法，包括步骤：车辆管理中心初始化系统参数，并向所在区域的道路基础设施发布系统参数；车辆向车辆管理中心进行注册，以加入车载网；车辆要分享交通状况信息时，对交通状况信息进行签名，并发布至其他车辆或道路基础设施；其他车辆或道路基础设施接收到签名后的交通状况信息后，对交通状况信息进行验证，验证通过后则解析交通状况信息。本发明的目的在于解决两个技术问题，一是解决传输信息的认证问题，二是车辆标识信息的隐私保护问题，以保证消息的合法性、完整性、不可链接性以及可追踪性。

Description

基于区块链和物理不可克隆函数的车载网消息认证方法

技术领域

本发明涉及信息数据认证处理技术领域，特别涉及一种基于区块链和物理不可克隆函数的车载网消息认证方法。

背景技术

随着网络与信息技术的飞速发展，车载网作为实现自动驾驶乃至无人驾驶的重要组成部分，是未来智能交通系统的核心技术。车载网融合了移动通信技术和传统互联网信息技术的优势，实现移动互联网的扩展和应用。目前，车载网系统包含三个部分：一个可信的车辆管理中心；若干个负责连接车辆和车辆管理中心的道路基础设施；若干的车载设备，分别安装在每一车辆上。车载网的通信包含了车辆与车辆之间的通信和车辆与道路基础设施之间的通信，它们利用短范围通信协议进行通信，道路基础设施与车辆管理中心之间利用传统的互联网进行通信。

实际应用中，一方面，短范围通信协议运行在无线环境下，导致传输的消息容易被恶意的攻击者截获，并对其进行插入、删除、修改等操作。为了确保车辆或道路基础设施能够判断收到的消息是否合法，需要采用有效的机制对车载网中的消息进行验证。另一方面，在通信过程中如果攻击者可获取车辆的标识信息，则可推算出车辆的位置、运行轨迹等隐私信息，可能造成安全事故，比如，偷窃者推算出司机的出行信息，利用司机出行时间进行偷窃等。

因此，车载网环境急切需要解决传输信息的认证和车辆标识信息的隐私保护，保证消息的合法性、完整性、不可链接性以及可追踪性。

为解决上述问题，国内外的研究者设计了一系列面上车载网的消息认证方法，这些方法为智能交通系统提供了有效的技术支撑，但是在面对车辆跨域通信方面，当前的跨域技术并不适合高速移动的车载网系统，或实现时保证消息的不可链接性的计算和存储开销过大。

发明内容

本发明的目的在于解决两个技术问题，一是解决传输信息的认证问题，二是车辆标识信息的隐私保护问题，以保证消息的合法性、完整性、不可链接性以及可追踪性，提供一种基于区块链和物理不可克隆函数的车载网消息认证方法。

为了实现上述发明目的，本发明实施例提供了以下技术方案：

基于区块链和物理不可克隆函数的车载网消息认证方法，包括以下步骤：

步骤1，车辆管理中心初始化系统参数，并向所在区域的道路基础设施发布系统参数；

步骤2，车辆向车辆管理中心进行注册，以加入车载网；

步骤3，车辆要分享交通状况信息时，对交通状况信息进行签名，并发布至其他车辆或道路基础设施；

步骤4，其他车辆或道路基础设施接收到签名后的交通状况信息后，对交通状况信息进行验证，验证通过后则解析交通状况信息。

所述步骤1具体包括以下步骤：

车辆管理中心TA_i协商选择一个阶数为q的椭圆曲线加法循环群G，并生成P，P为G的生成元；i表示第i个区域；

车辆管理中心TA_i协定三个安全哈希函数H₁、H₂、H₃，其中，H₁:{0,1}^*→{0,1}^l，H₂:{0,1}^*→Z^* _q，H₃:{0,1}^*→{0,1}^m，l是H₁的输出，m是H₃的输出；

车辆管理中心TA_i设置自身私钥SK_i，并计算相应的公钥PK_i=SK_i*P；

车辆管理中心TA_i将私钥SK_i秘密存储在自身的内存中，向所在区域的所有道路基础设施发布系统参数{G，P，PK_i，H₁，H₂，H₃}。

所述步骤2具体包括以下步骤：

车辆OBU_v通过安全信道将其身份信息ID_v和个人信息PI_v发送给所在区域的车辆管理中心TA_i，以向车辆管理中心TA_i申请注册；

车辆管理中心TA_i接收到身份信息ID_v后检查该身份信息在车辆信息表中是否存在，若已存在，则拒绝注册请求；否则，车辆管理中心TA_i生成随机挑战值C，并通过安全信道将随机挑战值C发送给车辆OBU_v；

车辆OBU_v利用随机挑战值C初始化自身存储的挑战值C₀，使得C₀=C，循环计算C_k=H₁*(C_k-1)，k=1,2...,N；车辆OBU_v利用不可克隆函数PUF_vk和哈希函数H₂生成唯一且不可克隆的私钥S_k=H₂*(PUF_vk(C_k))；基于私钥S_k，为每一个私钥S_k生成唯一对应的公钥P_k=S_k*P；由此迭代k，生成车辆OBU_v的多对公私钥{(S₁,P₁),(S₂,P₂)...,(S_N,P_N)}；

生成车辆OBU_v基于零知识证明方法生成私钥集合的证据：

π_v={(S₁,S₂..,S_N):P₁=S₁·P∧P₂=S₂·P∧...∧P_N=S_N·P}；

车辆OBU_v将挑战值C₀存储在安全存储区中，删除N次循环所产生的所有C_k，并向车辆管理中心TA_i发送公钥集合{P₁,P₂,...P_N}和私钥集合的证据π_v；

车辆管理中心TA_i利用公钥集合{P₁,P₂,...P_N}验证π_v是否有效，若π_v无效，则停止会话；否则，验证有效，并生成N个动态假名PID_k=H₃*(SK_i·P_k)⊕ID_v，得到{PID₁,PID₂,...PID_N}，动态假名与对应的公钥进行绑定，将所生成的元组{PID_k,Pk}发布到区块链网络；

车辆管理中心TA_i将车辆OBU_v注册信息{ID_v,PI_v}存储于本地的车辆信息表中。

在上述方案中，将不可克隆函数和区块链技术结合起来，设计了具有不可链接性的匿名消息认证方案。每个区域的车辆管理中心共同组建区块链网络，车辆注册成功后，该区域的车辆管理中心将车辆的动态假名及其对应的临时公钥发布于区块链网络，从而实现车辆跨域通信。

所述步骤3具体包括以下步骤：

车辆OBU_v进入道路基础设施RSU_ij时，车辆OBU_v从安全存储区中获取挑战值C₀，利用哈希函数H₂、不可克隆函数PUF_vk计算临时私钥S_v=H₂*(PUF_vk(C₀))；

利用哈希函数H₃为车辆OBU_v生成临时动态假名PID_v=H₃*(S_v·PK_i)⊕ID_v，利用当前时间戳T生成实时交通状况信息Mes的签名消息σ_v：

σ_v=Sig(S_v,PID_v||Mes||T)

车辆OBU_v将{PID_v,T,Mes,σ_v}发布至其他车辆或道路基础设施。

在上述方案中，基于不可伪造的签名算法ECDSA对需要分享的交通状况信息进行签名，将用于签名算法的私钥交由物理不可克隆函数，根据存储的挑战值实时计算得到，攻击者即使获得车辆设备也无法获得私钥，可提供物理安全，避免出现伪造合法签名的情况。同时，基于非交互密钥协商算法生成动态假名，验证者需要利用动态假名获取区块链上对应的公钥，从而验证所收到消息的合法性。

所述步骤4具体包括以下步骤：

其他车辆或者道路基础设施接收到{PID_v,T,Mes,σ_v}的信息后，验证时间戳T的新鲜程度，若已过期，则验证失败；否则时间戳T验证成功；

通过车辆OBU_v在车辆管理中心TA_i所在区域的区块链中搜索临时动态假名PID_v对应的公钥P_k，若区块链中没有，则终止交易；否则，获得公钥P_k；

判断等式Ver(P_k,σ_v,PID_v||Mes||T)=1是否成立，若成立则验证成功；否则，验证失败。

在上述方案中，利用不可伪造的签名算法和不可克隆函数，实现信息签名的不可伪造；利用物理不可克隆函数生成私钥，基于区块链技术，车辆管理中心将动态假名与公钥唯一绑定于防篡改的区块链网络，确保消息来自合法的车辆；并且在信息发布的过程中，通过提供与信息相关的假名、时间戳、签名，保证车辆身份信息合法性的同时，验证了消息的合法性。

与现有技术相比，本发明的有益效果：

（1）消息认证：消息接收者能够验证收到消息的合法性，本方案基于不可伪造的签名算法ECDSA对需要分享的交通状况信息进行签名，将用于签名算法的私钥交由物理不可克隆函数，根据存储的挑战值实时计算得到，攻击者即使获得车辆设备也无法获得私钥，可提供物理安全，避免出现伪造合法签名的情况。同时，基于非交互密钥协商算法生成动态假名，验证者需要利用动态假名获取区块链上对应的公钥，从而验证所收到消息的合法性。

（2）跨域认证：本方案将不可克隆函数和区块链技术结合起来，设计了具有不可链接性的匿名消息认证方案。每个区域的车辆管理中心共同组建区块链网络，车辆注册成功后，该区域的车辆管理中心将车辆的动态假名及其对应的临时公钥发布于区块链网络，从而实现车辆跨域通信。

（3）消息合法性：本方案利用不可伪造的签名算法和不可克隆函数，实现信息签名的不可伪造；利用物理不可克隆函数生成私钥，基于区块链技术，车辆管理中心将动态假名与公钥唯一绑定于防篡改的区块链网络，确保消息来自合法的车辆；并且在信息发布的过程中，通过提供与信息相关的假名、时间戳、签名，保证车辆身份信息合法性的同时，验证了消息的合法性。

（4）消息完整性：接收者接收到消息后需确认消息是否存在泄漏或被篡改问题，本方案利用数字签名实现消息的完整性，若消息Mes在信道中被修改，则相应的签名值也需要相应地改变，由于任何第三方没有正确的私钥，所以无法伪造合法的消息签名值。

（5）车辆匿名：为了保障攻击者无法从公开信道中传输的消息中确定车辆的真实身份信息，本发明使用动态假名替代车辆的真实标识来实现车辆匿名，每个动态假名中由于计算H₃*(SK_i·P_k)或H₃*(S_v·PK_i)是计算Diffie-Hellman问题，任何没有临时私钥S_v或车辆管理中心私钥SK_i，恢复H₃*(SK_i·P_k)或H₃*(S_v·PK_i)是不可行的，因此，攻击者即使获得动态假名后，无法由其推算出车辆的真实身份信息，从而实现车辆匿名。

（6）不可链接性：本方案基于动态假名技术来解决车辆不可链接性问题，即攻击者不能确定多条消息是否由同一车辆发出，在车辆发送消息Mes的过程中，车辆利用不可克隆函数和其存储的挑战值C₀来产生一个一次性密钥S_v，然后计算动态假名PID_v=H₃*(S_v·PK_i)⊕ID_v，由于每次完成签名后更新C₀=H₁（C₀），使得动态假名在每次发送消息签名时是不同的，从而保证来消息的不可链接性。相较于传统的动态假名技术，本发明的动态假名方法在车辆终端不需要存储任何私钥信息，也不需要存储挑战值集合，只需要存储一个挑战值C₀，且动态假名之间相互独立，消除了发送者与动态假名标识之间的关联性，从而实现消息的不可链接性。

（7）可追踪性：本发明基于区块链和非交互的Diffie-Hellman密钥协商技术实现车辆身份信息追踪，在车辆注册阶段，车辆管理中心利用非交互的Diffie-Hellman密钥协商技术将车辆的真实身份信息加密保护，并将其和对应的公钥发布于区块链网络，基于区块链去中心化、不可篡改的优势，确保了假名与公钥的唯一绑定，当需要追踪时，车辆管理中心通过获取区块链上车辆的动态假名，并利用其私钥计算PID_k=H₃*(SK_i·P_k)⊕ID_v，从而恢复车辆的身份信息。

（8）抵抗多种攻击：本发明将不可克隆函数和区块链技术结合起来，设计了具有条件隐私的消息认证方案，该方案能够抵抗车辆设备秘密信息的泄漏攻击，即使攻击者获取了车辆设备中的秘密信息，仍然无法假冒合法的车辆发送信息，实现了抵抗现有的多种攻击问题。

在消息认证阶段，通过不可克隆、不可预测的不可克隆函数保证任何冒名顶替的车辆都不具有生成动态假名和获取私钥的能力，有效抵抗了冒名攻击。在消息签名阶段，车辆提供具有时间戳、动态假名、签名的消息，时间戳的新鲜程度和签名消息的不可伪造，避免了重放攻击。本方案基于提供不可克隆函数实现消息认证的有效，而利用不可克隆函数本身不可克隆、篡改的特点，避免了攻击者试图篡改不可克隆函数以致非法获益的物理攻击问题。

（9）计算和通信性能：本发明实施1000次加密操作，通过求取平均值来保证评估的准确性，以Java作为语言环境，搭载于英特尔酷睿i7-10750H CPU@2.60 GHz的计算机。实验表明，消息签名阶段和消息验证阶段的计算成本分别为0.003606ms和0.007184ms，明显降低了计算成本。在通信花销方面，本方案仅需花费576bits，相较于现有的隐私保护方案，大幅度缩短了通信开销，展现出高性能、高效率的优点，更适用于快速移动的车载网环境。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明车载网系统框架示意图；

图2为本发明方法流程示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性，或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。另外，术语“相连”、“连接”等可以是元件之间直接相连，也可以是经由其他元件的间接相连。

请参见图1，本发明所涉及的车载网系统包括三个部分：（1）各区域内的车辆管理中心TA_i（Trust Authority,TA），i表示第i个区域（1≤i≤n）；（2）各区域内的多个道路基础设施RSU_ij（Road-side-units,RSU），ij表示第i个区域内的第j个道路基础设施（1≤j≤m）；（3）若干车辆OBU_v，v表示第v辆车辆。

本发明通过下述技术方案实现：

在系统初始化阶段，车辆管理中心TA_i用于初始化并向所在区域内的道路基础设施RSU_ij发布系统参数，其中包含：椭圆曲线加法循环群G及其生成元P，公钥PK_i、哈希函数H₁、H₂、H₃。

在车辆注册阶段，实现车辆OBU_v与车辆管理中心TA_i的通信，车辆OBU_v向车辆管理中心TA_i发送信息进行注册，TA_i生成随机挑战值C发送给车辆OBU_v，车辆OBU_v基于不可克隆函数计算得到N对公私钥（S_k,P_k），1≤k≤N；然后车辆管理中心TA_i利用生成的公私钥与车辆的身份信息ID_v生成动态假名{PID_k}，并将元组{PID_k,P_k}发布到区块链网络。

在消息签名阶段，实现车辆与道路基础设施RSU_ij的通信，车辆OBU_v从内存读取挑战值C₀，并通过Sig(S_v,PID_v||Mes||T)对共享的交通状况信息Mes进行签名σ_v，车辆OBU_v向其他车辆或道路基础设施发送包含签名消息的元组{PID_v,T,Mes,σ_v}。

在消息验证阶段，实现发送消息的车辆OBU_v与其他车辆或道路基础设施的通信，接收者收到带有签名的元组{PID_v,T,Mes,σ_v}，检查其PID_v是否在区块链的交易信息中，检查通过后，利用PID_v获取到区块链上对应的公钥P_k，并由接收者验证等式Ver(P_k,σ_v,PID_v||Mes||T)=1是否成立，以完成消息验证。

详细来说，如图1、图2所示，基于区块链和物理不可克隆函数的车载网消息认证方法，包括以下步骤：

步骤1，车辆管理中心初始化系统参数，并向所在区域的道路基础设施发布系统参数。

车辆管理中心TA_i协商选择一个阶数为q的椭圆曲线加法循环群G，并生成P，P为G的生成元；i表示第i个区域，TA_i表示第i个区域的车辆管理中心.

车辆管理中心TA_i协定三个安全哈希函数H₁、H₂、H₃，其中，H₁:{0,1}^*→{0,1}^l，H₂:{0,1}^*→Z^* _q，H₃:{0,1}^*→{0,1}^m，l是H₁的输出，m是H₃的输出。哈希函数H₁将输入的任意长度的二进制串转换成固定长度的输出二进制串，l即为输出二进制串的长度。哈希函数H₂中Z^* _q表示一个集合{0,1,2,...,q-1}，将输入的任意长度的二进制串转换为集合Z^* _q中的任意一个元素作为输出。哈希函数H₃与哈希函数H₁同理。

车辆管理中心TA_i设置自身私钥SK_i，并计算相应的公钥PK_i=SK_i*P；

车辆管理中心TA_i将私钥SK_i秘密存储在自身的内存中，向所在区域的所有道路基础设施发布系统参数{G，P，PK_i，H₁，H₂，H₃}。

步骤2，车辆向车辆管理中心进行注册，以加入车载网。

车辆OBU_v通过安全信道将其身份信息ID_v和个人信息PI_v发送给所在区域的车辆管理中心TA_i，以向车辆管理中心TA_i申请注册；

车辆管理中心TA_i接收到身份信息ID_v后检查该身份信息在车辆信息表中是否存在，若已存在，则拒绝注册请求；否则，车辆管理中心TA_i生成随机挑战值C，并通过安全信道将随机挑战值C发送给车辆OBU_v；

车辆OBU_v利用随机挑战值C初始化自身存储的挑战值C₀，使得C₀=C，循环计算C_k=H₁*(C_k-1)，k=1,2...,N；车辆OBU_v利用不可克隆函数PUF_vk和哈希函数H₂生成唯一且不可克隆的私钥S_k=H₂*(PUF_vk(C_k))；基于私钥S_k，为每一个私钥S_k生成唯一对应的公钥P_k=S_k*P；由此迭代k，生成车辆OBU_v的多对公私钥{(S₁,P₁),(S₂,P₂)...,(S_N,P_N)}；

生成车辆OBU_v基于零知识证明方法生成私钥集合的证据：

π_v={(S₁,S₂..,S_N):P₁=S₁·P∧P₂=S₂·P∧...∧P_N=S_N·P}；

车辆OBU_v将挑战值C₀存储在安全存储区中，删除N次循环所产生的所有C_k，并向车辆管理中心TA_i发送公钥集合{P₁,P₂,...P_N}和私钥集合的证据π_v；

车辆管理中心TA_i利用公钥集合{P₁,P₂,...P_N}验证π_v是否有效，若π_v无效，则停止会话；否则，验证有效，并生成N个动态假名PID_k=H₃*(SK_i·P_k)⊕ID_v，得到{PID₁,PID₂,...PID_N}，动态假名与对应的公钥进行绑定，将所生成的元组{PID_k,Pk}发布到区块链网络（1≤k≤N）。比如动态假名PID₁与公钥P₁绑定（k=1），生成元组{PID₁,P₁}；动态假名PID_N与公钥P_N绑定（k=N），生成元组{PID_N,P_N}，因此会发布N个动态假名和公钥绑定的元组至区块链网络。

车辆管理中心TA_i将车辆OBU_v注册信息{ID_v,PI_v}存储于本地的车辆信息表中。

步骤3，车辆要分享交通状况信息时，对交通状况信息进行签名，并发布至其他车辆或道路基础设施。

车辆OBU_v进入道路基础设施RSU_ij时，车辆OBU_v从安全存储区中获取挑战值C₀，利用哈希函数H₂、不可克隆函数PUF_vk计算临时私钥S_v=H₂*(PUF_vk(C₀))；

利用哈希函数H₃为车辆OBU_v生成临时动态假名PID_v=H₃*(S_v·PK_i)⊕ID_v，利用当前时间戳T生成实时交通状况信息Mes的签名消息σ_v：

σ_v=Sig(S_v,PID_v||Mes||T)

车辆OBU_v将{PID_v,T,Mes,σ_v}发布至其他车辆或道路基础设施。

在本步骤中，使用到了Diffie-Hellman交换协议，即SK_i*P_k=S_v*PK_i，目的是为了保证只有车辆管理中心TA_i才能直到车辆OBU_v的真实身份信息，其他人无法获知。

步骤4，其他车辆或道路基础设施接收到签名后的交通状况信息后，对交通状况信息进行验证，验证通过后则解析交通状况信息。

其他车辆或者道路基础设施接收到{PID_v,T,Mes,σ_v}的信息后，验证时间戳T的新鲜程度，若已过期，则验证失败；否则时间戳T验证成功；

通过车辆OBU_v在车辆管理中心TA_i所在区域的区块链中搜索PID_v对应的公钥P_k，若区块链中没有，则终止交易；否则，获得公钥PK_i。在步骤2中计算得到的动态假名PID_k实际上与步骤3计算得到的临时动态假名PID_v相等，步骤4通过PID_v在区块链中查找是否有与临时私钥S_v对应的公钥P_k，从而表示交易继续。

判断等式Ver(P_k,σ_v,PID_v||Mes||T)=1是否成立，若成立则验证成功；否则，验证失败。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (5)

1.基于区块链和物理不可克隆函数的车载网消息认证方法，其特征在于：包括以下步骤：

步骤1，车辆管理中心初始化系统参数，并向所在区域的道路基础设施发布系统参数；

步骤2，车辆向车辆管理中心进行注册，以加入车载网；

步骤3，车辆要分享交通状况信息时，对交通状况信息进行签名，并发布至其他车辆或道路基础设施；

步骤4，其他车辆或道路基础设施接收到签名后的交通状况信息后，对交通状况信息进行验证，验证通过后则解析交通状况信息。

2.根据权利要求1所述的基于区块链和物理不可克隆函数的车载网消息认证方法，其特征在于：所述步骤1具体包括以下步骤：

车辆管理中心TA_i协商选择一个阶数为q的椭圆曲线加法循环群G，并生成P，P为G的生成元；i表示第i个区域；

车辆管理中心TA_i协定三个安全哈希函数H₁、H₂、H₃，其中，H₁:{0,1}^*→{0,1}^l，H₂:{0,1}^*→Z^* _q，H₃:{0,1}^*→{0,1}^m，l是H₁的输出，m是H₃的输出；

车辆管理中心TA_i设置自身私钥SK_i，并计算相应的公钥PK_i=SK_i*P；

车辆管理中心TA_i将私钥SK_i秘密存储在自身的内存中，向所在区域的所有道路基础设施发布系统参数{G，P，PK_i，H₁，H₂，H₃}。

3.根据权利要求2所述的基于区块链和物理不可克隆函数的车载网消息认证方法，其特征在于：所述步骤2具体包括以下步骤：

车辆OBU_v通过安全信道将其身份信息ID_v和个人信息PI_v发送给所在区域的车辆管理中心TA_i，以向车辆管理中心TA_i申请注册；

车辆管理中心TA_i接收到身份信息ID_v后检查该身份信息在车辆信息表中是否存在，若已存在，则拒绝注册请求；否则，车辆管理中心TA_i生成随机挑战值C，并通过安全信道将随机挑战值C发送给车辆OBU_v；

车辆OBU_v利用随机挑战值C初始化自身存储的挑战值C₀，使得C₀=C，循环计算C_k=H₁*(C_k-1)，k=1,2...,N；车辆OBU_v利用不可克隆函数PUF_vk和哈希函数H₂生成唯一且不可克隆的私钥S_k=H₂*(PUF_vk(C_k))；基于私钥S_k，为每一个私钥S_k生成唯一对应的公钥P_k=S_k*P；由此迭代k，生成车辆OBU_v的多对公私钥{(S₁,P₁),(S₂,P₂)...,(S_N,P_N)}；

生成车辆OBU_v基于零知识证明方法生成私钥集合的证据：

π_v={(S₁,S₂..,S_N):P₁=S₁·P∧P₂=S₂·P∧...∧P_N=S_N·P}；

车辆OBU_v将挑战值C₀存储在安全存储区中，删除N次循环所产生的所有C_k，并向车辆管理中心TA_i发送公钥集合{P₁,P₂,...P_N}和私钥集合的证据π_v；

车辆管理中心TA_i利用公钥集合{P₁,P₂,...P_N}验证π_v是否有效，若π_v无效，则停止会话；否则，验证有效，并生成N个动态假名PID_k=H₃*(SK_i·P_k)⊕ID_v，得到{PID₁,PID₂,...PID_N}，动态假名与对应的公钥进行绑定，将所生成的元组{PID_k,Pk}发布到区块链网络；

车辆管理中心TA_i将车辆OBU_v注册信息{ID_v,PI_v}存储于本地的车辆信息表中。

4.根据权利要求3所述的基于区块链和物理不可克隆函数的车载网消息认证方法，其特征在于：所述步骤3具体包括以下步骤：

车辆OBU_v进入道路基础设施RSU_ij时，车辆OBU_v从安全存储区中获取挑战值C₀，利用哈希函数H₂、不可克隆函数PUF_vk计算临时私钥S_v=H₂*(PUF_vk(C₀))；

利用哈希函数H₃为车辆OBU_v生成临时动态假名PID_v=H₃*(S_v·PK_i)⊕ID_v，利用当前时间戳T生成实时交通状况信息Mes的签名消息σ_v：

σ_v=Sig(S_v,PID_v||Mes||T)

车辆OBU_v将{PID_v,T,Mes,σ_v}发布至其他车辆或道路基础设施。

5.根据权利要求4所述的基于区块链和物理不可克隆函数的车载网消息认证方法，其特征在于：所述步骤4具体包括以下步骤：

其他车辆或者道路基础设施接收到{PID_v,T,Mes,σ_v}的信息后，验证时间戳T的新鲜程度，若已过期，则验证失败；否则时间戳T验证成功；

通过车辆OBU_v在车辆管理中心TA_i所在区域的区块链中搜索临时动态假名PID_v对应的公钥P_k，若区块链中没有，则终止交易；否则，获得公钥P_k；

判断等式Ver(P_k,σ_v,PID_v||Mes||T)=1是否成立，若成立则验证成功；否则，验证失败。

Images