結合區塊鏈和群簽名的車輛隱私匿名保護方案

甘 錦，馮 勇，李英娜，付曉東，錢 謙

(昆明理工大學 云南省計算機技術應用重點實驗室，昆明 650500)

1 引 言

車載自組織網絡[1](vehicular ad hoc networks，VANETs)是以車輛和移動網絡為基礎的大型系統網絡.VANETs的網絡主要有兩部分[2]：1)車與車(Vehicle to Vehicle，V2V)通信，2)車與基礎設施(Vehicle to Infrastructure，V2I)通信.由于VANETs的獨特特性(如高移動性和易變性)會使其容易受到各種攻擊.因此在VANETs中就應當考慮車輛的安全和隱私.

車輛在行駛過程中，根據DSRC協議[3]，車輛每隔100-300ms就會廣播自己的行駛狀態信息和身份信息.通過車輛廣播的信息，車輛和路邊單元(RSU)就會對路況以及道路優化做出及時的響應.然而在RSU和車輛接收消息的過程中，車輛的身份隱私就需被保護以防止惡意用戶泄露車輛身份信息.

文獻[4，5]提出了基于對稱密碼學的匿名認證方案.在此方案中，消息發送方使用消息驗證碼(MAC)來實現較低的通信開銷.該方案雖然在匿名認證方面效率較高，但是當車輛與車輛發生糾紛時，CA無法及時的揭露糾紛車輛的真實身份.因此，該方案不滿足條件隱私的要求.文獻[6，7]提出了基于公鑰基礎設施(PKI)的匿名認證方案.在此方案中，每個車輛都有公鑰證書并通過公鑰證書來驗證車輛的真實身份.但是該方案面臨著兩個問題，一方面所有的公鑰證書都是由CA簽發的，CA掌握著車輛的所有信息，如果CA被攻破就會造成車輛身份信息的泄露;另一方面，被撤銷的公鑰證書是存儲于證書撤銷列表中的，列表中公鑰證書刪除和管理是一個復雜的過程.文獻[8，9]提出了基于身份簽名的匿名認證方案(IBS).在IBS方案中，車輛私鑰都是由私鑰生成器(PKG)生成的，當車輛需要驗證身份信息時，不需要車輛的公鑰證書而只需要驗證車輛身份簽名即可.與傳統的PKI方案相比，IBS方案用公鑰代替公鑰證書，這樣解決了證書的管理問題.但是IBS方案中所有的車輛私鑰都是由PKG生成的，這就意味著PKG知道所有實體的私鑰，即存在密鑰的托管問題.

區塊鏈是使用默克爾樹和哈希函數加密的分布式公共分類帳本，并具有基于工作量證明(PoW)算法的共識機制[10].區塊鏈中的數據是由多方維護且無法更改的，具有去中心化、共同維護、不可篡改、加密安全等特征[11].相比較傳統的中心化數據庫系統而言，區塊鏈有數據篡改驗證、數據溯源和數據加密安全等機制.區塊鏈中的數據極難被篡改，這是因為數據若被篡改，就需要花費高昂的代價重新生成區塊，其難度相比傳統的集中式和分布式數據庫都要大很多.

綜上，本文提出了一種結合區塊鏈和群簽名的車輛隱私匿名保護方案，主要貢獻如下：

1)本文將群簽名和區塊鏈技術應用于VANETs中并通過區塊鏈和群簽名來保護車輛的身份隱私.

2)為保證本方案的真實性，本文進行了大量的仿真實驗，將對稱密碼學的MAC方案和基于身份簽名的IBS方案進行對比，實驗結果證明本方案性能更顯著.

2 系統模型

2.1 系統架構

VANETs架構共分為4層，分別為國家認證機構(NCA)、區域認證機構(CA)、路邊單元(RSU)和車載單元(OBU).第1層是國家認證機構，主要負責生成公開密鑰用于驗證RSU證書和OBU證書的合法性;第2層是區域數字證書認證機構(CA)，主要負責管理RSU和OBU的身份證以及證書匿名的產生和撤銷;第3層是路邊單元，它的主要作用是負責監督管理本地的OBU;最后一層是車載單元.車載單元是整個系統最為重要的部分，其主要功能是允許車輛進行V2V和V2I通信.VANETs系統架構結構圖如圖1所示.

圖1 VANETs系統結構

2.2 區塊鏈模型

區塊鏈由一組基于由點到點網絡的節點組成，各節點通過共識算法，維護數據的一致性[12].區塊鏈還是一種分布式的存儲技術，用來存儲比特幣中的交易信息.每個區塊都包含一個唯一的 ID、前一個區塊的 ID、交易信息和時間戳等[13].區塊包含區塊頭和區塊體兩個部分.區塊頭的主要作用是用于連接各個區塊，主要組成部分為當前區塊散列值、之前區塊散列值、隨機數、時間戳和默克爾根值.區塊體則用于存儲交易計數和交易詳情.區塊體的交易主要存儲于默克爾樹[14，15]中.在默克爾樹中，每一個節點都是由它的2個子節點的哈希組成的，最終的根節點也是由它的2個節點的哈希形成.區塊鏈和默克爾樹結構如圖2所示.

圖2 區塊鏈結構和默克爾樹

2.3 群簽名模型

群簽名[16]的概念是D.Chaum在1991年的歐密會上提出來的.在群簽名方案中，群體中的任意成員都有可以對消息進行簽名.消息的接收者可以驗證這個簽名的合法性但無法得知是群體中的哪一個成員對其進行了簽名.每一個群簽名組都存在一個群管理員，一旦出現糾紛，群管理員就可以揭示簽名成員的身份從而實現簽名的可追蹤性.群簽名的流程如下：

1)初始化.群管理者生成群公鑰和群私鑰.群公鑰對所有群成員是公開的;群私鑰用于生成群成員的證書以及打開簽名.

2)成員加入.當有群成員需要加入群組時，群管理者使用群私鑰對群成員頒發群證書并同意群成員入群.

3)簽名.群成員利用自己的私鑰和證書對接收的消息進行群簽名.

4)驗證.驗證者使用群公鑰驗證群簽名的合法性.但驗證者無法知道是哪一位群成員對消息進行簽名.

5)打開.群管理員利用群私鑰對群成員的簽名進行跟蹤.若簽名存在問題，群管理員將揭露群成員的身份.

3 結合區塊鏈和群簽名的車輛隱私匿名保護方案

3.1 問題提出

在傳統的VANETs中，車輛與車輛之間需要實時進行V2V通信.同時，當車輛與CA進行交互時，需要與RSU進行V2I通信.由于VANETs開放的特性，攻擊者可以截取實時廣播的信標信息，通過分析所截取的信標信息獲取駕駛人員的習慣、車輛運行的軌跡、駕駛人員的身份等隱私信息.當車輛進行V2V通信和V2I通信時，若通信過程受到攻擊者的攻擊就會導致車輛身份信息的泄露，使車輛隱私受到極大的威脅.因此，V2V通信和V2I通信都需要得到保護.

3.2 模型初始化

本文的系統模型主要由以下幾個部分組成：車輛、數字證書認證機構(CA)、群簽名組以及區塊鏈.

1)車輛.車輛在本系統中的作用如下：其一是車輛通過RSU與CA進行通信產生相關的交易，例如獲取車輛所需要的數字證書等;其二是車輛與車輛之間進行V2V通信，每個車輛都有自己的公私鑰對，記作(PKi，SKi).

2)數字證書認證機構.數字證書認證機構的主要作用是接收車輛的申請并完成與車輛之間的交易，最后將車輛的公鑰存儲于區塊鏈中以便進行車輛信息的匿名認證.CA與每一個車輛間存在著一對公私鑰對，記作(CAPKi，CASKi).這里公私鑰對的主要作用是生成車輛假名并對車輛身份進行保護.

3)群簽名組.群簽名組的主要作用是接收來自車輛的申請并對車輛的申請進行簽名，若簽名合法則將申請交給CA進行交易.群管理者有一對管理群成員的公私鑰對(GPK，GSK)，群簽名組成員的公私鑰對記作(GMPKi，GMSKi).

4)區塊鏈.使用去中心化的區塊鏈存儲車輛公鑰以便于車輛進行V2V匿名認證工作.

3.3 車輛V2I通信隱私保護

對于每個車輛vi而言，車輛都有自己的公私鑰對(PKi，SKi).當車輛需要與CA進行V2I通信以進行交易時，就需要對自己的身份信息進行加密，否則一旦車輛受到攻擊就會造成信息的泄露.在本系統中，車輛vi將自己的通信信息、公鑰以能證明身份等材料提交給群簽名組.群簽名組中的組成員首先審查車輛信息，若信息合法則對車輛進行群簽名.簽名完成后，群簽名組將簽名后的信息發送給CA并授權CA對其進行通信.將簽名過程記為TranG，將通信過程記為TranCA，其過程如下：

TranG=[PKvi，AECA(PKvi，IDvi)，T，SigG，Msg]

TranCA=[PKvi，AECA(PKvi，IDvi)，T，SigG，SigCA，Msg]

其中，PKvi是車輛vi的公鑰，SigG是群簽名組的簽名，SigCA是CA的簽名，T是時間戳，Msg是通信信息，AECA(PKvi，IDvi)是CA非對稱加密之后車輛vi的公鑰和真實身份關聯信息.通信步驟說明如下：

1)車輛vi將自己的公鑰PKvi、證明自己身份的合法材料和通信信息提交給群簽名組.

2)群簽名組成員通過私鑰GMSKi對車輛信息進行簽名同時授權CA與車輛進行簽名TranG.

3)CA審查群簽名是否合法.若簽名合法，則CA與車輛進行通信TranCA.

4)CA將通信車輛的公鑰PKvi存儲在區塊鏈中.

在通信過程中，若發現車輛身份信息有誤或者發生糾紛，CA將授權群管理者通過群私鑰GSK打開簽名，暴露車輛的身份.在這個過程中，群簽名組負責車輛身份信息的審查和車輛追蹤工作，并為CA提供保護.CA的主要作用是與車輛進行通信并將合法車輛的公鑰存入區塊鏈中.

3.4 車輛V2V通信私保護

3.4.1 車輛假名的生成

車輛在運動的過程中需要實時周期性的廣播消息以獲取路況信息.在通信過程中，若車輛使用真實身份進行通信，車輛的身份安全就會受到極大的威脅.因此，車輛之間的通信都是用假名來代替.假名是由Hash函數生成的，后續假名的生成是通過前一個假名迭代生成.

假設車輛vi的真實身份為IDi，車輛用的假名由車輛與CA共同生成的.第1個生成的假名由車輛的真實身份IDi和CA與車輛間的公鑰CAPKi通過Hash函數生成.后續假名是由前面假名和公鑰基于Hash函數生成.假名的生成過程如下：

PID1=Hash(ID1，CAPK1)

PID2=Hash(PID1，CAPK2)

PID3=Hash(PID2，CAPK3)

……

PIDn=Hash(PIDn-1，CAPKn)

其中，CAPKi為車輛與CA之間的共享公鑰.若不知道車輛與CA之間的私鑰和真實身份，兩個車輛之間想要通信是不可能的.

車輛之間的所有通信都是通過假名進行通信.當車輛收到其他車輛的通信，首先需要向CA提出申請，請求CA對車輛身份信息進行解密.CA用車輛與自己之間的私鑰對假名進行解密得到車輛的真實身份.接收到車輛真實IDi的車輛就會根據真實車輛IDi使用區塊鏈對車輛進行匿名認證以確認車輛的合法性.這樣就實現了V2V通信的雙重保護.

3.4.2 默克爾樹的改進

對于傳統的默克爾樹而言，將公鑰插入區塊鏈中需要耗費大量的時間.在以太坊[17]中，有一種樹叫做MPT(Merkle Patricia Tree)[18，19].這種樹是以字典樹為基礎的，鍵值是基于Merkle Tree的方式生成的.MPT引入了許多新的節點類型，包括空節點、分支節點、葉子節點和擴展節點.其中，葉子節點的結構為鍵值對列表;擴展節點的結構也是鍵值對列表，value為其他節點的哈希值;分支節點則是一個長度為17的列表.前面16項對應于key的16個可能值.MPT結構如圖3所示.

圖3 Merkle Patricia 樹

3.4.3 公鑰插入

CA將車輛公鑰存入區塊鏈的過程就是將公鑰插入MPT的過程.在插入公鑰的過程中找到與其匹配的最長前綴節點記作Node，公鑰插入過程如下：

1)Node為擴展節點

判斷Node的nibbles值與新插入的節點是否完全匹配.如果完全匹配，則將新插入的節點PKvi替換原來的節點Node.否則用下一個節點指向對應nibbles的擴展節點，并插入PKvi.

2)Node為分支節點且下一個節點沒有相同的nibbles

當在插入PKvi時，找到其最長前綴節點且該節點為分支節點.若下一個節點沒有相同的nibbles，則生成新的分支節點，將上一個分支節點指向新生成的分支節點，再將PKvi插入新的分支節點中.

3)Node為分支節點且下一個節點有相同的nibbles

當在插入PKvi時，找到最長前綴節點且該節點為分支節點，若下一個節點有相同的nibbles，則直接將Node指向有相同nibbles的擴展節點，最后再插入PKvi.

公鑰插入的算法入下所示：

算法1.Public Key Insertion

輸入：Public key of each vehicle

輸出：Adjust the tree and caculate time

1. Initialize MPT

2.foreachPKvi∈PKdo

3. find thesame longest prefix node as Node

4.ifNode is extended nodethen

5.ifNode.nibbles==PKvi.nibblesthen

6. AddPKviinto MPT

7.else

8. Node→ next node

9. AddPKviinto MPT

10.endif

11.endif

12.ifNode is branch node && Node.nibbles !=

13. next node.nibblesthen

14. creat new branch node as NewNode

15. Node→ NewNode

16. AddPKviinto MPT

17.else

18. Node→ next node

19. AddPKviinto MPT

20.endif

21.endfor

與傳統的集中式和分布式數據庫相比，使用區塊鏈來存儲車輛公鑰有以下3點優勢：

1)區塊鏈是去中心化的分類賬本，在數據存儲方面區塊鏈提供了更好的分布性、可信性、安全性和透明性.

2)區塊鏈在功能上提供了智能合約和防篡改機制，在車載自組織網絡中，將公鑰存儲于區塊鏈中有利于實現車輛之間的匿名認證.

3)區塊鏈的共識機制保證了區塊鏈中數據的一致性.在區塊鏈系統中，區塊鏈通過認證廣播和區塊鏈長度競爭機制實現了高效的共識并保證了區塊鏈中數據的一致性.

3.4.4 車輛信息匿名認證

匿名認證的過程就是驗證車輛公鑰是否存在于區塊鏈的過程，即存在性證明.當車輛在進行V2V通信時，接收方通過CA解密出車輛的假名后還需要對車輛進行匿名認證以確認車輛的合法性.由于區塊鏈是去中心化的，存儲于區塊鏈的公鑰是不可篡改的.除非攻擊者掌握全局51%的計算能力，否則區塊鏈是絕對安全的.

在匿名認證的過程中，發送方發送消息，接收方接收到解密假名并驗證發送方的公鑰是否存在于區塊鏈中.驗證過程就是計算MPT中相關節點nibbles組成公鑰的SHA的散列值.計算過程是一個逐層計算的過程，逐層計算得到根節點的散列值最終驗證MPT根節點的散列值，將計算得到的散列值與區塊中根節點散列值比對，若計算的散列值與區塊鏈MPT根節點的散列值一致，則說明此車輛的公鑰是存于區塊鏈中且并未被篡改，接收方車輛可以與其進行通信.若與區塊鏈中的根植不同，說明有非法車輛，車輛不宜與其進行通信.

3.5 安全性分析

基于文獻[20]提出的安全威脅，本方案滿足的安全目標如下：

1)條件匿名性

在本方案中，車輛進行V2V和V2I進行通信時，車輛的是身份是加密的.由于只有CA和車輛之間存在匿名的秘密私鑰，所以無論是其他車輛、RSU還是群組管理員都是無法確認車輛的真實身份.

a)路邊單元RSU.車輛密鑰的生成是RSU通過ECDH密鑰交換算法和CA協商生成的.車輛除了向CA申請數字證書的通信以外，所有的通信都是匿名的.并且每個路邊單元都有強大的物理安全性.

b)群簽名組.對于群簽名組，群管理員無法知道是哪一個群成員對車輛通信信息進行簽名，也無法知道車輛的真實身份.只有出現糾紛時，群管理員才會揭露群成員和車輛身份.

c)其他車輛.車輛收到信息時，首先請求CA解密假名.解密完成后，車輛通過區塊鏈對車輛的身份進行再次認證，保證了車輛身份的匿名性和真實性.

d)數字證書認證機構CA.對于CA而言，CA具有較強的物理性且不易被攻破.CA與車輛之間通過公式PIDi=Hash(PIDi-1，CAPKi)生成假名.若不知道車輛與CA之間的私鑰和真實身份，兩個車輛之間想產生鏈接是不可能的.

e)區塊鏈.區塊鏈是使用默克爾樹和哈希函數加密的分布式公共分類帳本，其所有交易都受所有用戶監管.除非攻擊者掌握全局51%的計算能力，否則區塊鏈是絕對安全的.

f)車輛公鑰.車輛公鑰是通過RSA非對稱加密算法生成，想要通過破解公鑰的方式獲取車輛信息是幾乎不可能.這是因為在RSA算法中，密碼破解的實質問題是將一個數分解為兩個素數之積的問題，這個問題也是一個公認的數學難題.當這兩個素數足夠大時，想分解得到這兩個素數是幾乎不可能的.

2)不可鏈接性

本方案的不可鏈接性體現在兩個方面：其一是車輛在群簽名時，群管理者無法得知車輛的真實身份.只有發生糾紛，群管理員才會揭露群成員和車輛身份;其二是CA與車輛之間通過公式PIDi=Hash(PIDi-1，CAPKi)生成假名.若不知道車輛與CA之間的私鑰和真實身份就無法將消息與發送方進行鏈接.

3)有效性和身份驗證

車輛在進行V2I通信時，通信信息都需要經過群簽名組的簽名.沒有簽名的信息是不會被接受的.這就保證了車輛身份的有效性.在區塊鏈匿名認證的過程中，每個車輛都需要計算MPT根值并將結果與區塊鏈中的根值進行比較以此驗證車輛身份信息，實現了車輛身份的驗證.

4)可撤銷性

當車輛之間發生糾紛時，群管理員使用群私鑰揭露車輛和群成員身份，最后授權CA廢除車輛注冊的數字證書并將車輛公鑰從區塊鏈撤銷，使其身份無法進行匿名認證.

4 實驗結果及分析

在本文中，假設V2V和V2I通信質量滿足本方案的要求，實驗環境是部署在Java環境下，電腦配置為2.3GHz因特爾i5處理器和8GB內存.本實驗用Java構建一個區塊鏈數據庫，在實驗中，主要將區塊鏈中的默克爾樹修改為以太坊中的MPT并測試公鑰存入MPT的時間消耗以及車輛的匿名認證時間消耗.需要說明的是，本文的研究重點在于利結合和群簽名改進的區塊鏈來保護車輛的身份隱私，不涉及共識協議.實驗分為3個部分，分別是群簽名、公鑰插入和匿名認證過程.首先站在CA的角度評估群簽名的時間消耗，其次評估公鑰插入和匿名認證的時間消耗.實驗在公鑰插入和匿名認證這2個部分構建了區塊鏈系統.實驗的主要參數為的主要參數N和S.其中N為當前合法公鑰的數量，即需要向MPT插入公鑰的數量.S為MPT中除了葉子節點外其他節點的大小.由于實驗條件的限制，在本實驗中，N的取值為[25000，50000，75000，100000]，S的取值為256bytes.

4.1 群簽名

在本方案中，首先需要考慮的是群簽名的過程.為了保證實驗的隨機性和真實性，隨機選取一輛車輛讓其進行群簽名，簽名過程運行300次，計算每次簽名的時間消耗.如圖4所示為群簽名的時間消耗.從圖中可以看出，群簽名的時間消耗大多數都是集中在1000ms以下的，考慮到實際的計算能力遠遠高于本文的實驗條件，所以時間開銷是完全可以接受的.

圖4 群名時間消耗

4.2 公鑰插入和匿名認證

公鑰插入過程就是在MPT中插入葉子節點的過程.在公鑰插入之前，先對公鑰進行SHA-256運算加密以確保公鑰的安全性.為了保證實驗的隨機性，在N取不同值的情況下公鑰插入的過程運行300次求其平均時間消耗.表1為N在不同的取值的情況下每次插入公鑰的時間消耗.從表1可以看出，隨著公鑰數量的增加，時間消耗基本上是線性增加的.最后，在公鑰規模達到100000的條件下，公鑰插入的平均時間消耗小于2000ms，考慮到本實驗環境的限制，公鑰插入的時間消耗是完全可以接受的.

表1 公鑰插入表

在匿名認證過程中，發送方匿名發送通信消息，接受方收到消息后進行多次哈希運算驗證公鑰是否存在于MPT中.與公鑰插入實驗相同，為了保證實驗的隨機性，在N取不同值的情況下認證300次求其平均、最大以及最小時間消耗.表2為公鑰數量取值不同的情況下匿名認證的時間消耗.從表2中可以看出，隨著公鑰的增長，匿名認證的時間消耗波動不大.這是因為匿名認證的過程就是哈希運計算得到MPT根值的過程，這個過程與公鑰的數目關系不大.在公鑰數目為100000的條件下，匿名認證的平均時間均小于2.5ms.考慮到本實驗環境的限制，匿名認證的時間消耗是完全可以接受的.

表2 匿名認證表

4.3 實驗比較

本部分通過比較現有的匿名認證方案即基于對稱密碼學的(MAC)匿名認證方案和基于身份簽名的匿名認證方案(IBS)來驗證實驗本方案的可行性.隨機選取一輛車輛，分別使用MAC方案以及IBS方案對其進行中簽名.簽名過程運行300次，每50次計算當前的平均消耗時間.如圖5所示BGAS方案要優于其他兩種方案.

圖5 簽名時間比較

除了考慮自身匿名認證的時間消耗，還應當考慮在相同同公鑰數目條件下IBS和MAC的匿名認證的平均時間消耗.匿名認證過程運行300次求其平均時間消耗.如圖6所示BGAS方案的時間消耗要小于IBS和MAC.

圖6 匿名認證時間比較

5 總 結

本文提出了一種結合區塊鏈和群簽名的車輛隱私匿名保護方案.通過區塊鏈和群簽名技術，實現車輛在通信時的身份隱私安全.在V2I通信中，車輛通過群簽名向CA進行通信.一旦出現糾紛，群管理者就揭露非法車輛和群成員的身份信息.在V2V通信中，車輛首先向CA提出申請請求解密假名并通過區塊鏈對車輛身份信息進行匿名認證.本方案通過使用以太坊中的MPT對車輛進行高效的認證和管理.最后通過實驗驗證本方案的可行性.