一種可信的車聯網區塊鏈數據共享模型

陶永才，李 哲，石 磊，，衛 琳，楊淑博

1(鄭州大學 信息工程學院，鄭州 450001) 2(鄭州大學 軟件技術學院，鄭州 450002)

1 引 言

據《2019年國民經濟和社會發展統計公報》[1]顯示，2019年末全國民用汽車保有量達26.15千萬輛，傳統汽車行業已成為國民經濟支柱性產業.同時互聯網企業促進互聯網和實體經濟深度融合發展，推動智能交通領域技術不斷革新，車聯網(Internet of Vehicles,IoV)的概念被提出.車聯網是由車載設備采集車輛位置、速度等信息利用互聯網技術傳輸至中央處理器，通過智能化處理實現對車輛的自動化管理.

更多跨行業介入，使得車聯網數據可為車輛保養、車載娛樂、金融服務等領域提供智能服務，甚至在法律變革、學科建設、行業融合、風險控制等方面產生影響.隨著車聯網市場規模擴大，其產生的數據量也隨之增大，其中包含許多異構數據源，如保險數據、違章信息等.車輛也愿意將這些信息與所需部門共享，如征信部門通過加工數據，為商業銀行提供信用評級、分析報告等.因此，構建一種可信的模型，使得車輛與第三方組織和個人(以下簡稱“第三方用戶”)進行高效快速的數據共享已成為車聯網研究重點.

傳統數據共享建立在規模較小、較為集中的系統上.Bogdanov等[2]采用安全多方計算將政府稅收和教育記錄建立聯系，盡管使用SHAREMIND MPC數據共享平臺實現數據導入和完整性的統計研究，但仍需進一步試驗確保隱私增強技術的突破.趙志遠[2]針對物聯網提出一種安全數據共享的方案，利用基于屬性密碼體制實現訪問結構的隱藏，但訪問大型數據控制系統依然受限.WebAPI提供簡單的API即可訪問海量數據、實現存儲服務.但API身份驗證存在缺陷，未提供返回數據的完整性方法，導致地理分布式機器人攻擊相對容易，且開放接口不一致，無法實現數據共聯.由于傳統服務器是獨立的，需購置機房及硬件并定期維護，且難更改配置，無法靈活擴展.處理大量數據時運維復雜、負載過大，云計算的興起有效地解決該問題.用戶通過百度網盤、Google Docs等實現數據共享等服務.Xhafa等[4]提出一種基于屬性的具有用戶責任感的云計算個人健康信息交換模型.Yang等[5]采用基于屬性的加密技術保護發布的數據不受云服務器和其他非訂閱者侵犯，降低用戶解密開銷.由于云服務器與終端設備之間的物理位置存在距離限制，2011年思科首次提出霧計算[6]，霧計算服務器可部署在車輛上，本地分析、處理數據最大程度地減少延遲.霧計算服務器可將數據分發至云服務器等第三方用戶，以獲業務洞察力.但霧計算服務器是“半可信”的，在當中存儲數據后，便不再掌握數據的控制權.使得霧計算服務器依然會面臨諸如信息不透明、用戶隱私和數據泄露等安全問題[7].盡管霧計算服務商擔保會保障霧計算服務器安全，但由于這些數據是以中心化形式存儲的，黑客會對霧計算服務商進行針對性攻擊，導致數據丟失損毀或被未經授權的用戶濫用造成隱私侵權.區塊鏈技術的出現為本研究提供一種新的思路.

區塊鏈是一個可存儲的架構化信息的平臺，任何用戶都可作為節點參與創設信任區塊，全網公示、共同監督，因而數據無法被篡改.Christian等[8]使用區塊鏈技術保護云中托管的醫療數據.目前，已有許多關于區塊鏈數據共享的研究，但現有模型中基本為醫療數據共享、電子政務信息共享，而較少有研究針對車聯網數據共享.吳振銓[9]利用聯盟鏈提出一種車載數據管理策略，但未給出安全性證明.同時，區塊鏈的透明性保證鏈上數據的不變性，確保記錄和發現試圖篡改數據的行為，但會導致違反數據隱私保護的行為.如何在區塊鏈上共享私有數據是一個挑戰.為此，本文提出一種車聯網數據共享模型，其主要貢獻有以下4個方面：

1)發揮區塊鏈的優勢，每輛車構建自己區塊鏈，為保證區塊鏈上數據的機密性，數據發布在鏈上之前對其進行加密，將真實密文存儲在霧計算服務器中，最后將數據存儲位置的安全索引放置于區塊鏈上.有效地提高區塊鏈的隱私性并保證安全；

2)為保證車聯網數據信息不會泄漏給車輛和被授權的第三方用戶以外的任何用戶，利用無證書多接收者簽密技術，同時向多個客戶節點共享數據，每個第三方用戶都可獨自解密并獲得數據.同時，本文模型還能保證解密的公平性；

3)為降低車輛管理數據復雜度，減輕霧計算服務器高頻訪問的壓力，利用代理簽密技術，實現實時動態數據訪問控制；

4)減少使用計算量較大的雙線性對，降低計算的開銷.通過正確性分析等數值計算，證明保障車聯網用戶的數據隱私的有效性.并通過仿真實驗，驗證模型具有計算開銷低優點，適用于車聯網數據共享的環境中.

2 研究背景

車聯網激發對學術和行業環境的興趣，目前，國內學者已經開展相應問題的研究.賴成喆等[10]利用簽密和代理重加密技術提出一種無人駕駛車輛地圖更新的方案.曾萍等[11]利用無證書密碼體制和批認證算法提出一種保護車輛身份隱私的車輛認證方案.由此，開放訪問環境中進行通信使安全性和隱私問題成為真正的挑戰.本節將介紹模型涉及的相關技術及模型設計中用到的困難問題假設等基礎數學知識.

2.1 無證書多接收者代理簽密

為同時取得機密性、完整性、認證和不可否認性4種安全服務，Zheng[11]提出“簽密(digital signcryption)”以取代傳統的“先簽名后加密”造成運算量大的缺點.實際應用中，車輛需要同時向多個客戶節點共享數據.利用Zheng[12]提出的多接收者簽密方案，發送者僅通過一個邏輯操作就可安全地將同一消息同步發送給多個用戶并獨立解密該消息.該簽密方案已應用于付費電視系統[13]、智能電網[14]等.

無證書密碼體制由Al-Riyami和Paterson[13]首次提出，它既避免基于PKI密碼體制[15]昂貴的認證和發布公鑰的步驟，又解決基于身份的密碼體制[16]被惡意攻擊后不易被發現的缺陷，僅使用一個稱為密鑰生成中心(KGC)的第三方.2008年，Selvi等[17]提出第1個無證書多接收者簽密方案.

為減輕車輛與多個用戶反復共享數據的負擔，利用Gamage等[18]提出代理簽密概念，允許車輛授權給代理中心進行簽密.本文代理簽密操作中，涉及以下三方：車輛、代理中心和被授權的第三方用戶.車輛利用自己的私鑰設計一個代理簽密算法并連同證書(車輛和代理中心的身份、代理簽密的有效期等)發送給代理中心.這里根據代理簽密密鑰不能求出原始簽密者的私鑰.結合無證書簽密，提升模型的效率并保證安全.目前，大多數無證書簽密方案采用大量的雙線性對實現，本文將減少使用雙線性對，提高計算效率.

2.2 區塊鏈

車輛信息傳統記錄方法是由收集或經辦該車輛業務的機構內部系統記錄，如4S店、交警部門等.該方法具有嚴重的局限性，車輛在不同時期產生的數據不連續且未統一存儲，導致調取繁瑣并消耗大量時間，從而影響數據的挖掘和利用.利用車聯網，車載設備將收集到的各類信息匯集到車聯網系統中.但由于前期歷史原因，每輛車記錄數據的格式大相徑庭，將這些數據重新清洗，會耗費大量時間和精力.利用區塊鏈將像散沙一樣的數據打包成一個個可信可靠可用的數據區塊[19]，且該區塊經過全網所有參與者驗證，讓每一輛車不僅獨立運維，并保留原來的數據記錄.其中記錄數據的“時間戳”也包含在各區塊中，使得每一個環節都清晰可查.

但實際操作中，區塊鏈的透明屬性可能導致違反數據隱私保護的行為，使區塊鏈技術經常遇到阻力[20].為此，本文在車聯網數據發布在鏈上之前，對其進行加密操作，并將安全索引發布到鏈中，以確保數據不可篡改、可審核性，以低成本的方式實現車聯網數據的可信共享.同時，將代理簽密作為數據共享場景中的核心，當車輛的信息在利益相關者之間共享時，代理中心會對密文進行簽密操作，數據不得向車輛、代理中心以及被授權的第三方用戶以外的用戶披露，從而保證數據及用戶的隱私.

利用區塊鏈提供數據的訪問授權、保證數據的安全性和不變性；通過維護和更新記錄發展現代車聯網經濟，實現持續可用性和實時數據訪問.

2.3 雙線性映射

設p是一個大素數，(G1，+)是加法循環群，(G2，·)是乘法循環群，二者的階數都為p.假定在G1、G2中計算離散對數問題是困難的，雙線性映射定義為e：G1×G1→G2，該映射具有以下3個特點：

2)非退化性：若存在Q∈G1，如果e(P，Q)=1，則有P=Q.

3)可計算性：對Q，P∈G1，e(P，Q)是可計算的.

2.4 相關困難問題

在群上可以描述一些密碼學問題，這些難題還未找到有效的算法在多項式時間內解決.下面給出在密碼協議設計時，需要用到的幾種計算困難性問題.

3 車聯網區塊鏈數據共享模型

3.1 系統模型

車聯網將汽車運行過程中產生的數據在相關服務商中進行模型化計算和解析，成為相應的需求和供給.目前車聯網市場對數據共享現狀，是由公司、政府統計等機構收集基礎數據建立數據庫，進行大數據計算和分析.另外，由于車聯網數據比較分散，由各個公司或企業掌握，其搜集數據的途徑較為單一，給數據庫的建設造成了困難[21].本文提出的車聯網數據共享模型，以區塊數據為核心，去除中心化數據管理，充分實現車聯網數據共享.

該模型由道路交通管理局、密鑰生成中心、車輛、霧節點服務器、代理中心、被授權的第三方用戶以及區塊鏈7個實體組成.每輛車構建自己的區塊鏈，再進行數據共享之前車輛以及第三方用戶需要在道路交通管理局進行注冊，KGC秘鑰生成中心生成它們的公私鑰對.車輛生成隨機密鑰對采集到的數據信息進行加密操作，并保存至霧節點服務器中，霧節點服務器返回數據保存的位置信息.代理中心與車輛共同生成代理簽密秘鑰對存儲位置信息進行代理簽密操作，并將簽密后的信息以及車輛數據的安全索引放置于區塊鏈中.被授權的第三方用戶欲獲取車輛所收集的數據，先從區塊鏈中下載信息并進行解簽密操作，得到數據存儲位置，再前往霧節點服務器獲取.圖1是本文的系統模型，主要由以下7部分組成：

圖1 車聯網數據共享模型

1)車輛注冊

車輛單元(On-Board Unit，OBU)以及第三方用戶需在道路交通管理局(Road and Transport Authority，RTA)注冊登記，其中車輛注冊信息包含駕駛員性別、駕駛年限、駕駛車輛型號等，第三方用戶注冊信息需要包含單位名稱、機構資質等.

2)密鑰生成

RTA通過一個安全可信的密鑰生成中心KGC，為車輛和第三方用戶生成對應的公私鑰：輸入用戶ID和系統參數params，用戶輸出秘密值x；輸入一個用戶ID，KGC運行算法輸出該用戶的部分私鑰；最后，輸入系統身份信息ID、用戶的部分私鑰及部分公鑰等，用戶運行此算法獲取自己的完整私鑰SKID及完整公鑰PKID.

3)數據存儲

霧計算服務器擁有足夠的存儲空間提供數據存儲，車輛不再需要購買相應的基礎設施和計算設備等軟硬件，減少管理成本.同時為保障共享數據的安全性，將數據發送至霧計算服務器之前對其進行加密操作.車輛生成一個隨機密鑰α，利用該密鑰對車輛實時收集的數據m加密，并將加密后的密文C存儲在霧計算服務器中.霧計算服務器返回m的存儲位置pos.

4)代理授權

為減輕車輛與第三方用戶頻繁交互，且保證數據安全.代理中心(Central Agency，CA)為車輛生成代理簽密秘鑰，對車輛上傳至區塊鏈的信息進行監控.車輛將簽密權限委托給代理中心，并建立一個許可證mw，利用mw和自己的私鑰生成部分簽名，這種方式使得代理中心無法獲取車輛的密鑰.緊接著將mw發送給代理中心，代理中心通過簽名算法驗證部分簽名是否有效，如果有效，則使用密鑰生成算法的部分簽名來生成代理簽密密鑰，否則需要重新傳輸.

5)數據共享

代理中心利用代理簽密密鑰、隨機密鑰α、存儲位置pos和授權第三方用戶R={ID1，ID2，…，IDn}進行簽密運算.返回隨機密鑰α和存儲位置pos對應的簽密密文L，并將簽密密文L放置于區塊鏈中.數據在區塊鏈中是沿時間軸存儲的，一旦寫入，不能進行修改或者刪除操作.

6)密文下載

第三方用戶需要大量完整的數據實現自身業務需求，將更多精力投入分析數據和處理數據中.于是，被授權的第三方用戶R={ID1，ID2，…，IDn}從鏈中獲得簽密密文L，利用自己的私鑰進行解簽密算法，得到用于解密數據m的隨機密鑰α和密文C的存儲位置pos.

7)數據獲取

被授權的第三方用戶根據存儲位置pos在霧節點服務器中獲得密文C，利用隨機密鑰α進行解密操作，獲得數據m.

3.2 模型描述

3.2.1 系統初始化算法

3.2.2 密鑰生成算法

車輛(記作A)和第三方用戶完成注冊后，密鑰生成算法由用戶和KGC共同實現，生成用戶的公鑰和私鑰：

3)生成公鑰和私鑰算法：KGC接收到用戶的部分私鑰Di和部分公鑰Ei時，用戶判斷等式DiP=Ei+Ppub的合法性，如果成立，則用戶接收部分私鑰Di和部分公鑰Ei，并計算完整公鑰pki=Ei+H1(IDi，Xi)Xi以及完整私鑰ski=xiH1(IDi，Xi)+Di.

3.2.3 數據存儲

1)車輛生成用于加密數據的隨機密鑰α，并計算車輛實時收集到的數據m的安全索引H2(m).

2)車輛利用隨機密鑰α將數據m加密，即C=Eα(m).并將密文C存儲在霧計算服務器中，霧計算服務器返回存儲位置pos.

3.2.4 代理授權

1)車輛和代理中心(記作B)經協商后，車輛簽發一個代理授權書mw給代理中心.

3)代理中心驗證雙線對運算e(VP，P)=e(hP+F，pkA+Ppub)是否成立，倘若成立，則接受WA→B=(mw，F，V)為有效的代理信息.代理中心設計演算出代理簽密密鑰Sp=V+h·skB.否則要求車輛重新發送.

3.2.5 數據共享

利用系統參數params，代理簽密密鑰Sp，代理中心選擇的n個第三方用戶R={ID1，ID2，…，IDn}，對隨機密鑰α及存儲位置pos進行簽密，過程如下.

2)代理中心計算Ii=gH1(IDi，pki)(pki+Ppub)，以及ωi=H3(IDi，Ii，G).

4)計算J=H4(φ，G)、M=J⊕α和N=J⊕pos.

5)計算L=H5(α，φ，an-1，an-2，…a1，a0，G，J，pos).

6)計算簽名參數S=Sp+gL(modp).從而隱藏車輛的公鑰，實現車輛的匿名性.

7)最后生成簽密密文：

σ=〈mw，L，M，G，N，an-1，an-2，…，a0，H2(m)，S〉，并將其放置于區塊鏈中.

3.2.6 密文下載

1)被授權的第三方用戶欲獲取代理中心放置于區塊鏈中關于車輛欲共享的數據時，例如云服務器收集數據以進行歷史分析和存儲.他們從區塊鏈中下載簽密密文σ，使用自己的私鑰ski進行解簽密.

2)被授權的第三方用戶計算T=H1(IDi，pki)、Ii=GT·ski，以及ωi=H3(IDi，Ii，G).

3)被授權的第三方用戶計算λ(x)=a0+a1x+…+an-1xn-1+xn，以及φ=f(ωi).

4)被授權的第三方用戶計算J=H4(φ，G)、α=J⊕M以及pos=J⊕N.

5)被授權的第三方用戶計算L′=H5(α，φ，an-1，an-2，…a1，a0，G，J，pos)，驗證L=L′是否成立，若成立，第三方用戶繼續以下步驟.否則不接收.

6)最后，驗證e(SP，P)=e(h(pkA+pkB+2Ppub)+GL，P)e(pkA+Ppub，F)是否成立.如果成立，則被授權的第三方用戶接收加密密鑰α及存儲位置pos并退出解簽密過程.否則接收方放棄α和存儲位置pos并退出解簽密過程.

3.2.7 獲取數據

4 正確性證明

本文所提出的正確性，取決于以下3個定理：

定理 1.在密鑰生成算法中，驗證由KGC生成的部分私鑰是正確的.

證明：通過建立等式DiP=Ei+Ppub保證用戶部分私鑰的正確性，可以通過以下推導得出：

DiP=(wi+s)P=wiP+sP=Ei+Ppub

因此定理1是正確的.

定理 2.在代理授權算法中，驗證代理信息是正確的.

證明：通過建立等式e(VP，P)=e(hP+F，pkA+Ppub)保證代理信息的正確性，可以通過以下推導得出：

e(VP，P)=e((h+f)(H1(IDA，XA)xA+wA+s)P，P)

=e(H1(IDA，XA)xAP+wAP+sP，hP+fP)

=e(H1(IDA，XA)XA+EA+Ppub，hP+F)

=e(pkA+Ppub，hP+F)

因此定理2是正確的.

定理3.在解簽密算法中，通過計算簽名參數來驗證簽名的有效性是正確的.

證明：通過建立等式e(SpP，P)=e(h(pkA+pkB+2Ppub)+GL，P)e(pkA+Ppub，F)驗證簽名的有效性，可以通過以下推導得出：

e(SpP，P)=e(((h+f)skA+h·skB)P，P)

=e((h·skA+f·skA+h·skB+gL)P，P)

=e((h(skA+skB)+f·skA+gL)P，P)

=e((h(H1(IDA，XA)xA+wA+H1(IDB，XB)xB+

wB+2·s)+f(H1(IDA，XA)xA+wA+s)+gL)P，P)

=e(h(pkA+Ppub)+h(pkB+Ppub)+f(pkA+

Ppub)+GL，P)

=e(h(pkA+pkB+2Ppub)+GL，P)e(f(pkA+

Ppub)，P)

=e(h(pkA+pkB+2Ppub)+GL，P)e((pkA+

Ppub)，fP)

=e(h(pkA+pkB+2Ppub)+GL，P)e(pkA+Ppub，F)

因此定理3是正確的.

5 安全性分析

安全性證明及其相關游戲均在文獻[22]給出具體證明，本文不再詳細論證.

5.1 保密性

定理1.如果有一個對手AI可以在時間t內以不可忽略概率優勢ε攻破簽密方案.AI最多可以要求q0次H0詢問，q1次H1詢問，q2次H2詢問，q3次H3詢問，q4次H4詢問，q5次H5詢問，qc密鑰詢問，qe次秘密值詢問，qb部分私鑰詢問，qp公鑰詢問，qr公鑰替換詢問，qa代理密鑰詢問，qs代理簽密詢問和qd解簽密詢問.挑戰者B可以通過在時間t′≤t+(2qc+4qd)O(t1)內，在優勢ε′≥ε-q5qd/2k下與對手AI交互來解決CDH問題，其中t1是橢圓曲線上點乘運算時間.

證明：假設對手的AI以不可忽略的概率優勢ε攻擊IND-CLMS-CCA安全性，并在隨機預言機下向挑戰者B提出一系列查詢.給定一組元素〈P，aP，bP〉，挑戰者B通過在限時多項式內與對手AI進行交互來計算abP以解決CDH問題.挑戰者B與對手AI之間的交互如下所示：

Phase1AI向B進行如下詢問：

密鑰詢問：B詢問元組〈IDj，pkj，skj，xj，Dj〉是否在列表Lc中.如果是，B保留〈IDj，pkj，skj，xj，Dj〉.如果不是，B執行下述操作：

秘密值詢問：AI查詢用戶IDj的秘密值，B查詢〈IDj，pkj，skj，xj，Dj〉是否在Lc存在相關數據，若存在，輸出秘密值xj返回給AI.若AI已替換IDj的公鑰，則AI無法查詢用戶IDj的秘密值.

部分私鑰詢問：AI欲查詢用戶IDj的私鑰，若IDj≠IDi，B查詢〈IDj，pkj，skj，xj，Dj〉是否在Lc存在相關數據.若是，B返回Dj給AI.否則，B不能回答該查詢，游戲終止.

公鑰詢問：AI向B詢問IDj的公鑰.B查詢〈IDj，pkj，skj，xj，Dj〉是否在Lc存在相關數據.若是，B返回PKj給AI.否則，B進行公鑰詢問，獲得元組〈IDj，pkj，skj，xj，Dj〉，返回PKj.

公鑰替換詢問：AI向B詢問IDj的公鑰PKj并替換為PKj′，隨后B更新Lc中的元組〈IDj，pkj，skj，xj，Dj〉.

代理密鑰詢問：B收到AI關于IDj部分代理密鑰詢問.若IDj≠IDi，B作部分私鑰提取詢問，生成一個代理密鑰Sp，則B返回Sp給AI，更新Lc的元組〈IDj，pkj，skj，xj，Dj〉為〈IDj，pkj，skj，Sp，xj，Dj〉.否則，B不能回答該查詢，游戲終止.

解簽密詢問：AI向B進行α及pos的解簽密詢問.B收到詢問后隨機選擇一個身份IDj，B判斷IDj≠IDi，如果是，B在列表Lc中獲取pkj及skj，計算T=H1(IDj，pkj)、Ij=GT·skj，ωj=H3(IDj，Ij，G).λ(x)=a0+a1x+…+an-1xn-1+xn，以及φ=f(ωj).最后計算J=H4(φ，G)、α=J⊕M以及pos=J⊕N.B返回α及pos給AI.否則B不能回答該查詢，游戲終止.

ChallengeAI隨機選擇兩對等長的〈α0，α1〉、〈pos0，pos1〉發送給B.B分別隨機選擇〈α0，α1〉、〈pos0，pos1〉中的一個，記為ι∈{0，1}、κ∈{0，1}，即αι和posκ.生成簽密密文M*以及N*，并執行以下操作：

Phase2AI如同Phase1進行多次詢問，進行私鑰提取時無法詢問IDj(j=1，2，…，n)的身份信息，解簽密詢問無法詢問M*以及N*.

Guess模擬最后AI輸出αι和posκ的猜測，若αι=α和posκ=pos，那么B輸出abP=Gi-Ii作為CDH問題的有效解.否則，B輸出失敗.

在上述簽密查詢的過程中，H5可以在數據共享過程中提供有效的簽密信息，因此拒絕該簽密信息的可能性小于等于q5/2k.假設AI進行qi次Hi次詢問，qd次解簽密詢問，AI贏得本次游戲的優勢為ε.因此，CDH問題在多項式時間內被成功解決的概率優勢為ε′≥ε-q5qd/2k.

對手AII在時間t內以不可忽略概率優勢ε攻破簽密方案證明思路與定理1類似，這里不再論證.

5.2 不可偽造性

攻擊者欲冒充代理中心偽造隨機密鑰α及存儲位置pos的簽密密文(mw，L，M，G，N，ai，H2(m)，S)，由于在多項式時間內解決ECDL問題是困難的，所以攻擊者無法知道(g，φ，Sp)，即在構造數據共享過程中多個用戶的代理簽密時，攻擊者由于無法得知代理中心隨機選取的整數(g，φ)以及利用代理中心的私鑰和車輛的私鑰構成的代理簽密秘鑰Sp，故無法偽造有效的簽密密文(mw，L，M，G，N，ai，H2(m)，S).

倘若有一個用戶向其他用戶偽造并發送隨機密鑰α及存儲位置pos的簽密密文(mw，L′，M′，G′，N′，ai，H2(m)，S′).其中(L′，M′，G′，N′，S′)為該用戶偽造的數據，由于在多項式時間內解決ECDL問題是困難的，即g是由代理中心隨機選取的整數，已知G=gP和P在多項式時間內成功計算出g是可忽略不計的.因此，任何攻擊者都無法偽造出代理中心對數據進行簽密的密文.

5.3 不可否認性

由于在密文下載階段驗證e(SpP，P)=e(h(pkA+pkB+2Ppub)，P)e(pkA+Ppub，F)等式是否成立，該等式包含代理授權書mw.在整個數據共享階段都使用到mw，其包含代理中心B的私鑰，即代理中心B對隨機密鑰α和存儲位置pos的簽密均使用代理授權書mw.代理中心B一旦代替車輛產生有效的代理簽密，且證書mw包含代理中心B的身份信息，他就不能向任何人對他所簽密的有效信息有所抵賴.驗證式中又包含代理授權書mw，因而它無法否認自己的行為.

5.4 可識別性

由于在密文下載階段驗證e(SpP，P)=e(h(pkA+pkB+2Ppub)，P)e(pkA+Ppub，F)等式是否成立，該等式明確涵蓋代理授權書mw和代理中心B的身份，第三方用戶和車輛A等任何第三方都可確定代理中心B的身份.

5.5 可驗證性

當車輛A和被授權的第三方用戶R對密文的有效性提出爭議時，被授權的第三方用戶R可將〈mw，α，G，pos，an-1，an-2，…，a0，H2(m)〉發送給任何第三方，第三方在不使用被授權的第三方用戶R私鑰的情況下驗證密文的有效性.同時，被授權的第三方用戶R可以恢復L來驗證等式e(SpP，P)=e(h(pkA+pkB+2Ppub)，P)e(pkA+Ppub，F)是否成立，表示密文是有效的，而不需要車輛A以及被授權的第三方用戶R的私鑰.

5.6 防止濫用性

代理授權證書mw中包含車輛A和代理中心B的身份、待簽消息范圍、簽名權利的有效期等信息，車輛A可以利用mw對委托給代理中心的簽密權力進行約束，即代理中心B不能對那些沒有被車輛A授權的消息執行簽密操作，且不能將其權利轉交給他人.

5.7 可撤銷性

代理授權證書mw中包含車輛A與代理中心B簽署的代理有效期限，代理到期后，該代理將被自動吊銷.如果車輛A在代理的有效期內欲撤消代理中心的權利，他可以公布mw已經無效.

5.8 數據不篡改性

區塊鏈的主要優點是可驗證性和不可否認性.本文模型中，可以通過區塊鏈日志跟蹤對數據的所有訪問.同時為確保數據的隱私性，在將數據發布到區塊鏈之前進行簽密.利用無證書簽密機制允許被授權的第三方用戶訪問數據.在區塊鏈上，存儲數據的安全索引H2(m)，被授權的第三方用戶最終解密密文后，可在本地生成一個新的數據的安全索引，二者進行比較，確保數據未被篡改.

6 性能評價

6.1 通信開銷

功能優勢方面，由于本文模型采用無證書的密碼體制，省去傳統體制中公鑰證書的管理頒發以及基于身份的密碼體制中的密鑰托管所帶來的巨大的額外開銷，這大大提高整個系統的性能.并且密文中不會暴露被授權的第三方用戶的信息，保證每一個被授權的第三方用戶對于攻擊者和其他用戶都是匿名的.同時，在密文下載的過程中，對于每一個被授權的第三方用戶能夠解密出的密文概率是相等的，這樣保證解密的公平性.在數據共享的過程中，倘若有數據遭受到破壞，所有下載該消息的第三方用戶都將得不到正確的消息.

表1顯示各函數每運行10000次所消耗的時間.值得注意的是，僅考慮表1中的數學運算，因為與雙線性映射、模冪運算和哈希函數相比，異或運算和大數運算等其他數學運算對整體性能的影響可忽略不計.

表1 相關運算所需時間

在這里，將本文模型與已提出的簽密模型進行計算復雜度比較，如表2所示.文獻[23]是無證書的單接收者簽密，雖與其他文獻相比計算效率較高，一旦進行多接收者進行解簽密時，其效率將會隨著第三方用戶的增加而降低.而多接收者簽密在批量處理數據時可有效解決計算資源和通信帶寬的成本節約.文獻[24，25]是基于身份的多接收者簽密，雖然公開參數與本文模型基本一致，但計算成本遠高于本文模型，同時需考慮基于身份的加密技術中密鑰托管的不安全性問題.文獻[26-28]是無證書的多接收者簽密，其中文獻[26]在簽密階段大量使用了計算量僅次于雙線性映射的模冪運算，文獻[27]在解簽密階段大量使用了雙線性對運算.與本文模型簽密和解簽密過程相比，它們增加構造所需的計算量.文獻[28]雖然在計算量上存在一定的優勢，但本文模型融合區塊鏈和代理簽密技術，具有不可否認性、可識別性、防止濫用性、可撤銷性以及數據不可篡改性.因此，本文模型與其他文獻相比更加適用于車聯網數據共享場景中，表明本文模型是有效的.

表2 相關方案的比較結果

目前所知，多接收者代理簽密方案較少，且沒有基于無證書的密碼體制的文獻，文獻[29]是基于身份的密碼體制，而本文模型是無證書的密碼體制的，效果更優.將本文模型中車輛向n個第三方用戶共享1個數據的運行效率與文獻[29]作一個比較，如表3所示.

表3 性能比較

顯然，本文模型降低計算量，在公私鑰對生成算法部分和數據共享算法部分中都未使用運算成本較高的雙線性映射運算.同時在代理密鑰生成算法部分和解簽密算法部分中減少使用雙線性映射運算.通過使用哈希函數保障數據傳遞的安全性，同時未使用運算量僅次于雙線性對的模冪運算.另外，與文獻[29]不同的是，本文借鑒文獻[30]中的Lagrange插值多項式算法，保證數據共享及密文載階段第三方用戶身份的匿名性，且第三方用戶群組中相互之間無法獲取其身份信息.因此，本模型在通訊過程中，在保證簽密的安全性同時有效地降低通信開銷，具有明顯優勢.

6.2 仿真實驗

本文仿真實驗環境是Win10系統，CPU為64bit，Intel core i5-8300H，主頻2.3GHz，內存為8GB，Myeclipse 2015系統，對本文模型及文獻[26]進行仿真實驗.

數據共享階段詳細過程如算法1所示.

算法1.數據共享階段

輸入：n，receiverR={ID1，ID2，…，IDn}，Random keyα，

Proxy signing keySp

輸出：σ=〈mw，S，L，M，G，N，an-1，an-2，…，a0，H2(m)〉

2.fori←0tondo

3.Ii←g*H1(IDi‖pki)*(pki+Ppub)

4.ωi←H3(IDi‖Ii‖G)

5.fori←0tondo

6.ai←0

7.a0←1

8.fori←0 tondo

9.forj←3 tondo

10.aj←(aj+aj-1)modp?xiis Secret value

11.aj-1←aj*ximodp

13.J←H4(φ‖G)

14.M←J⊕α

15.N←J⊕pos?posis data position

16.L←H5(α‖φ‖an-1‖an-2‖…a1‖a0‖G‖J‖pos)

17.S←Sp+g*Lmodp

18.returnσ←〈mw，S，L，M，G，N，an-1，an-2，…，a0，H2(m)〉

經仿真實驗實現后，圖2展示執行數據共享階段的時間消耗.仿真模擬第三方用戶從0-100家在數據共享模型中數據共享階段所需的計算開銷，由圖3，文獻[26]和本文模型隨著被授權的第三方用戶數量的增加，數據共享所需的時間均在逐漸增多.但是，本文模型在該階段具有更高的計算效率.

圖2 數據共享階段：時間消耗與第三方用戶的數量的關系

圖3 密文下載階段：時間消耗與第三方用戶的數量的關系

密文下載階段詳細過程如算法2所示.

算法2.密文下載階段

輸入：σ=〈mw，S，L，M，G，N，an-1，an-2，…，a0，H2(m)〉，

receiveri

輸出：TRUEorFALSE

1.T←H1(IDi‖pki)

2.Ii←G*T*ski

3.εi←H3(IDi‖Ii‖G)

4.λ(xi)←a0+a1*xi+…+an-1*xin-1+xin

5.φ←f(εi)

6.J←H4(φ‖G)

7.α←J⊕M

8.pos←J⊕N

9.L′←H5(α‖φ‖an-1‖an-2‖…a1‖a0‖G‖J)

10.ifL=L′then

11.ife(S*P，P)=e(h*(pkA+pkB+2*Ppub)+G*L，P)*e(pkA+Ppub，F)then

12.returnTRUE

13.elsereturnFALSE

14.elsereturnFALSE

圖3展示仿真實驗中執行密文下載階段的時間消耗.仿真模擬第三方用戶從0-100家在數據共享模型中密文下載階段所需的計算開銷，由圖3，本文模型在該階段具有更高的計算效率.

根據圖2和圖3可進一步觀察得到，隨著第三方用戶數量的快速增長，本文模型的時間消耗波動相對較小且增長速度相對較慢.具有良好的魯棒性，更加適用于節點數量變化頻繁的、計算資源有限的、可保證算法高執行效率的區塊鏈車聯網數據共享模型中.

7 總 結

本文針對車聯網數據共享模型的隱私安全問題，提出一種可信的車聯網區塊鏈數據共享模型.根據現有的研究現狀，絕大多數多接收代理簽密是基于身份簽密的模型，而本文將安全性較高的無證書簽密體制與多接收者代理簽密相結合，并巧妙融入利用霧計算服務器存儲車輛所有者的數據，利用區塊鏈上數據的不變性的特征，方便第三方用戶進行消息的下載.通過正確性證明和安全性分析，可以發現不僅攻擊者無法獲取第三方用戶的信息，被授權的第三方用戶也無法獲取其他用戶的任何信息.區塊鏈中的信息也不易被篡改.同時與該文較為類似的多接收者代理簽密方案進行效率比較，雖然也使用雙線性對映射，但是經過優化，較少使用使得計算成本是可被接受的.因此在本文模型中，無論是在效率，功能還是在安全性方面，所提模型都更符合實際應用需求.未來區塊鏈可以創建一個基于車輛數據的市場，鼓勵車輛所有人參與其中，甚至可以獲得獎勵.