基于無證書簽密的車聯社會網絡安全通信機制

張文波，黃文華，馮景瑜

（1.西安郵電大學網絡空間安全學院，陜西 西安 710121；2.西安郵電大學無線網絡安全技術國家工程實驗室，陜西 西安 710121）

1 引言

車聯社會網絡（VSN,vehicular social network）是在出行過程中具有相同興趣愛好或者相同目的地的人員相互聯系、溝通而形成的虛擬移動網絡[1]，是一種引入社交屬性的車載自組網（VANET,vehicular ad hoc network）。VSN 部署在VANET 之上，除了能夠提供道路安全預警、提升車輛駕駛體驗等行車安全服務外，還可以滿足社交娛樂、即時通信、合作式行駛等基于社會關系的非安全服務需求。隨著自媒體行業的發展和5G 通信網絡的逐步覆蓋，VSN 將為用戶提供更個性化、更便捷的行車和娛樂服務，以及更加精準的數據投遞服務。

典型的VSN 結構如圖1 所示，包含3 類實體，即可信中心（TA,trusted authority）、路邊單元（RSU,roadside unit）和車輛；2 類通信模式，即車輛?基礎設施通信（V2I/V2R,vehicle-to-infrastructure/RSU）和車輛?車輛通信（V2V,vehicle-to-vehicle）。VSN 中的應用在通信過程中既需要經常訪問用戶的實際位置、個人偏好、社會關系等隱私信息，又要頻繁地進行基于社會關系的信息交流，因此，VSN 中的隱私保護和通信安全變得至關重要[2]。

圖1 VSN 結構示意

針對以上2 類通信模式，學者已經提出了許多消息認證和隱私保護的解決方案。文獻[3]基于身份的簽名方法構造了用于V2I 安全通信的消息認證方案，使用假名代替真實身份實現了條件隱私保護，與以前的方案相比在性能上提升了近1/5。文獻[4]提出了基于身份的條件隱私保護認證方案，假名及其密鑰由防篡改裝置（TPD,tamper-proof device）生成，由于采用橢圓曲線密碼體制（ECC,elliptic curve cryptography），與文獻[3]相比具有更高的計算效率。文獻[5]設計了基于身份簽名方法的消息認證方案，為車輛與RSU 之間的消息傳輸提供安全的認證過程，分別支持RSU 和車輛的批量消息驗證，提高了RSU 的消息處理能力，并在隨機預言模型（ROM,random oracle model）下證明了方案的安全性。為了解決基于身份的密碼方案所具有的密鑰托管問題，文獻[6-7]為V2I 安全通信構造了無雙線性對運算的無證書認證方案，在避免密鑰托管問題的同時，還支持RSU 的批量消息驗證。

以上的V2I 安全通信解決方案大多是通過數字簽名的方式實現TA 與車輛或者RSU 與車輛之間的消息認證。然而，完善的車聯網絡生態除了RSU和車輛之間的通信，更多的還應該是車與車之間的V2V 通信，形成“人→車→RSU→車輛管理部門→人”的閉環，最終形成車輛社交生態圈。文獻[8]為實現V2V 通信過程中的隱私保護和消息認證，采用橢圓曲線密碼體制為車聯網構建了基于身份的消息認證方案，也解決了基于雙線性對的認證方案計算效率偏低的問題。與文獻[4]類似，文獻[8]的方案也由TPD 負責隨機假名及其密鑰的生成。文獻[9]為V2V 安全通信設計了基于身份的無雙線性對運算的消息認證方案，當車輛向TA 申請注冊時，由TA 為其生成假名標識和密鑰以實現通信過程中的隱私保護。文獻[10]為了在VSN 中減少生成假名的數量，將已有的假名序列組成一個假名環輪流使用，但性能分析表示僅當假名數量為7～9 時，才具有較高的效率，并且需要TA 和RSU 合作才能從假名獲取實身份。

社交駕駛和即時通信是VSN 的兩大特色[11]，也是其與VANET 的不同之處，而在社交和即時通信過程中傳輸的消息往往較敏感，因此，通信內容的私密性保護是VSN 的安全挑戰之一。文獻[12]為了保證VANET 中消息傳輸的安全，提出了一種混合認證協議，但該協議并未對車輛隱私進行有效保護。文獻[13]提出了具有隱私保護功能的簽密方案，由TA 和私鑰生成器分別生成車輛的假名和密鑰，但與文獻[12]同樣采用了雙線性對運算，計算效率較低。文獻[14]提出的基于簽密的條件隱私保護認證方案中，通過簽名驗證消息的完整性，以對稱加密算法保護通信內容的機密性，其中對稱加密時的密鑰由假名信息及私鑰計算得到。方案基于橢圓曲線密碼體制構建，因而計算消耗相對較低，但方案未給出完備的安全性證明。

上述方案均是在TA 或RSU 生成多個假名后，依次向密鑰生成中心（KGC,key generation center）申請生成對應的公私鑰對，大大增加了密鑰生成中心的工作量和通信量。根據文獻[15]的描述，為了使假名達到隱私保護的預期效果，其更新策略建議每隔2 min 或1 km 就更新一次假名。即使采用假名環的更新方式[10]，每輛車所需的假名數量也將非常多。隨著5G 通信信號的覆蓋，依托現有的通信基站或加油站作為RSU，可以使RSU 管轄范圍內的車輛數量至少增加一個數量級。當TA 或RSU 管轄的車輛為數以萬計時，假名及其密鑰的生成將給TA 和RSU 帶來巨大的負擔和挑戰。文獻[4,7-8]通過在車輛上安裝TPD 來生成假名及其密鑰，可以在一定程度上減少TA 的工作量，但由于部分TPD 中已預加載TA 的密鑰，易引起惡意攻擊者關注，遭受側信道攻擊[16-17]，增加的設備成本也可能阻礙VANET 的發展。雖然文獻[18-19]通過周期性地更新存儲于TPD中的信息來防止惡意攻擊者獲取有用信息，但并不能從根本上解決信息泄露的問題。

本文提出一種VSN 環境下的基于無證書簽密的安全通信機制，主要工作及創新如下。

1) 設計了適用于V2V 通信的基于ECC 的無證書簽密方案，避免了密鑰托管問題，在ROM 模型下證明了方案的安全性，并采用假名機制保護通信雙方的真實身份。與已有的消息簽名方案相比，所提方案在實現車輛與車輛之間通信的不可偽造性與隱私保護的同時，可提供消息機密性保護。

2) 提出了一種車輛假名及其密鑰的自生成機制。車輛注冊時與可信中心秘密保存的參數生成假名，并利用系統公開參數和自身公私鑰對生成其密鑰。與已有方案中由TA 或RSU 輔助生成方式相比，所提機制可以把計算工作量分攤給車輛，顯著降低了TA 或RSU 的工作負擔。

3) 從安全性、計算效率和通信量三方面與已有方案進行了對比，在具備各項安全特性的基礎上還具有較短的密文長度和較低的計算量，尤其在假名生成階段不需要TA 的參與，密鑰生成階段也僅需KGC 參與一次，有效地減少了通信量。

2 預備知識

2.1 相關困難性問題及其假設

計算性Diffie-Hellman（CDH,Computation-al Diffie-Hellman）問題定義如下。設G是由橢圓曲線上的點構成的加法循環群，P是G的一個生成元。給定aP,bP∈G，CDH 問題的目標是在a,b∈未知的情況下，計算abP。

橢圓曲線離散對數問題（ECDLP,elliptic curve discrete logarithm problem）定義如下。設G是由橢圓曲線上的點構成的加法循環群，P是G的一個生成元。對于 ?a∈，給定P,aP∈G，ECDLP 問題的目標是計算a。

2.2 簽密方案的形式化定義

用于VSN 安全通信的無證書簽密方案包含4 個參與者：KGC、交通管理中心（TMA,traffic management authority）、簽密者（標識為IDA）和接收者（標識為IDB），分為3 個階段，共由6 個算法構成。

1) 注冊階段

系統參數生成。輸入安全參數?，KGC 生成系統主密鑰msk，輸出系統公開參數params。

部分密鑰生成。輸入params、msk 和實體身份標識ID，KGC 輸出實體的部分公私鑰，并安全傳送給實體。

2) 密鑰生成階段

實體密鑰生成。輸入params、ID、部分公私鑰，實體輸出完整密鑰。

假名密鑰生成。輸入params、ID、實體密鑰以及可信中心的公鑰，實體輸出假名標識PID 及假名密鑰。假名密鑰與真實身份密鑰在形式上具有一致性。

3) 消息簽密階段

簽密。輸入消息m、IDA及其密鑰、IDB及其公鑰，簽密者輸出對m的簽密密文σ。

解簽密。輸入簽密密文σ、IDA及其公鑰、IDB及其密鑰。如果驗證通過，接收者輸出明文消息m；否則，拒絕接收消息。

2.3 安全模型

無證書簽密方案存在2 種類型的攻擊者AI和AII，具體說明如下。

1) AI類攻擊者模擬惡意用戶，可以獲取用戶公鑰并能夠任意替換合法用戶的公鑰，但不掌握系統主密鑰。該類攻擊者包含攻擊敵手AI-1和AI-2，其中，AI-1用于攻擊方案的機密性，AI-2用于攻擊方案的不可偽造性。

2) AII類攻擊者模擬不誠實的KGC，掌握系統主密鑰，但無法替換合法用戶的公鑰。該類攻擊者包含攻擊敵手AII-1和AII-2，其中，AII-1用于攻擊方案的機密性，AII-2用于攻擊方案的不可偽造性。

關于無證書簽密方案安全模型的具體描述可參考文獻[20-21]，本文不再贅述。

3 本文方案

本節對提出的用于VSN 安全通信的無證書簽密方案進行描述，相關符號的意義如表1 所示。

表1 參數說明

3.1 方案描述

1) 注冊階段

通過步驟②恢復出明文消息m。如果步驟④成立，簽名有效，接受消息m；否則拒絕該消息。

3.2 車輛假名自生成過程

3.3 正確性分析

通過式(1)可得Y'=Y，據此可正確解密出明文消息m=H3(Y')⊕C。

簽名的有效性驗證如式(2)所示。

3.4 安全性證明

本節描述了在2 種類型的攻擊者攻擊下方案的機密性和不可偽造性安全證明過程（參考文獻[20-21]的證明方法）。

1) 機密性

定理1AI-1類敵手攻擊下的機密性。

在預言機模型中，若存在一個敵手AI-1能夠在多項式時間內以不可忽略的優勢ε?-1贏得以下模擬過程（假設最多可進行qi次Hi查詢、qSK次私鑰生成查詢和qS次簽密查詢），則存在一個算法Q能夠在多項式時間內以不可忽略的優勢解決CDH 問題。

證明假設算法Q是CDH困難問題的解決者，其輸入是(P,aP,bP)，目標是在a,b∈且未知的情況下計算出abP。Q充當此次模擬的挑戰者。當模擬開始后，設Ppub=aP（a為系統主密鑰），Q運行系統參數生成算法，發送params 給AI-1，并維護列表L1,L2,L3,LSK,LPK用于跟蹤AI-1對預言機H1、H2和H3的詢問，以及對私鑰提取和公鑰提取的詢問。初始時每個列表均為空。

階段1詢問階段。敵手AI-1進行下述多項式有界次詢問。

定理2AII-1類敵手攻擊下的機密性。

證明方法與定理1 相似，不再贅述。

2) 不可偽造性

定理3AI-2類敵手攻擊下的不可偽造性。

在預言機模型中，若存在一個敵手AI-2能夠在多項式時間內以不可忽略的優勢ε?-2贏得以下模擬過程（假設最多可進行qi次Hi查詢、qSK次私鑰生成查詢和qS次簽密查詢），則存在一個算法Q能夠在多項式時間內以不可忽略的優勢解決ECDLP 問題。

定理4AII-2類敵手攻擊下的不可偽造性。

證明方法與定理3 相似，不再贅述。

4 方案分析

本節將從安全性、計算效率和通信效率三方面對本文方案與其他簽密方案及車聯網絡環境下的認證方案進行比較。

4.1 安全性分析

1) 可追蹤性

當TMA 接收到車輛的 PIDi,j后，提取其中的，計算。通過查詢EIT 中 < IDi,wi>的對應關系即可獲取車輛的真實身份IDi。其中，的計算需要TMA的私鑰xTMA，因此，僅TMA 能夠正確解析出車輛的真實身份。

2) 通信雙方的匿名性

車輛在通信時均秘密保存真實身份，并以假名作為其身份標識來確保通信過程中的匿名性。通過已有的假名獲取車輛的真實身份，需要計算出wi值，而計算wi時需要獲得TMA 的私鑰xTMA。然而，在xTMA未知的情況下計算出它的值屬于ECDLP 困難問題。

3) 不可鏈接性

車輛的各個PID 之間無相關性，攻擊者無法通過已知的PID 推斷出車輛的真實身份，有效地保證了身份信息的安全。車輛生成PID 的公私鑰時，均是在整數域中選取隨機數，各個公鑰之間不具有相關性，也無法通過多個公鑰信息來確定多個PID 是否來自同一車輛。

本文方案與近幾年車聯網絡環境下消息認證與隱私保護方案在消息的不可偽造性、通信消息的機密性、身份匿名性、真實身份可追蹤性及假名的不可鏈接性等方面的對比如表2 所示。其中，身份匿名性是可追蹤性及不可鏈接性的前提，即如果一個方案不具有匿名性，也就無法比較可追蹤性及不可鏈接性，如文獻[12]方案。

表2 車聯網絡環境下不同方案的安全特性比較

4.2 性能分析

在進行計算效率分析時，主要統計橢圓曲線上耗時較長的點乘和點加運算，而不考慮異或、上的運算以及映射到上的哈希運算，具體的比較結果如表3 所示。其中，Tem和Tea分別表示點乘和點加運算時間。

表3 不同方案的性能對比

為了定量分析不同方案的性能，通過實驗測定了Tem和Tea的具體數值分別為0.484 7 ms和0.002 1 ms。實驗環境如下：Intel G630，主頻2.7 GHz，內存4 GB（DDR3-1600 MHz），Windows 7 操作系統。方案中使用的橢圓曲線E:y2=x3+ax+bmodp中的p和群G的階q均為160 bit。從圖2 所示的計算耗時可以看出，文獻[22]方案在簽密與解簽密總時間上與本文方案接近，而與其他方案相比，本文方案在總的計算時間上有一定的優勢。

圖2 不同方案的計算耗時對比

表3 中的密文長度表示各個方案的通信開銷程度。文獻[23]方案發送的密文中包含代理信息Delegation，因此密文長度最長，文獻[20]方案的通信開銷最小，僅為2 ||=320 bit。文獻[22,25]方案與本文方案具有相同的通信開銷 ||+|G|=480 bit，是文獻[20]方案通信開銷的1.5 倍。

車聯網絡環境下不同假名生成方案在生成n個不同PID 及其密鑰時的計算耗時對比如表4 所示，其中，Tbm表示基于雙線性對方案中橢圓曲線上的點乘運算時間，Th表示哈希函數運算時間。除了文獻[13]方案中使用了耗時較高的雙線性對運算外，其他方案的PID 生成總時間均相同。由于本文方案為了消除密鑰托管問題，在密鑰生成時增加了額外的點乘運算，導致計算耗時上的優勢并不明顯。然而，本文方案的PID 生成不需要TMA 的參與，對每輛車而言也僅需KGC 參與一次，當n較大時，本文方案可以顯著減輕TMA 和KGC 的負擔。

表4 不同方案中PID 和密鑰生成效率對比

5 討論

為實現VSN 中V2V 的安全通信，本文提出了高效的無雙線性對的無證書簽密方案，各個成員的消息在得到簽名驗證的同時，增加了機密性保護。鑒于學者已經提出許多用于V2I/V2R 通信的認證方案，因此，本文未考慮該類通信方式。如果對本文方案進行一定調整，也可用于此類通信。但是，由于增加了消息機密性保護，與已有僅提供消息認證功能的方案相比，在計算效率方面相對較低。

假名機制是VANET 和VSN 中較常用的隱私保護方法。傳統的假名機制是由TA 或RSU 輔助生成假名，并由KGC 提前生成一系列密鑰，優點是能夠有效地控制假名使用范圍。當網絡規模較大時，會對TA 和KGC 形成較大的負擔。本文提出的車輛假名及其密鑰的自生成機制可顯著減少TMA 和KGC 的計算量，然而，應用本文的假名及其密鑰自生成機制時，惡意車輛可能會過度生成假名，造成假名的濫用。

6 結束語

VSN 是未來車聯網的發展趨勢之一，在組建車輛社交生態的同時，呈現出一些新的安全問題。本文為VSN 中車輛?車輛間通信的私密性和不可偽造性提出一種高效的簽密方案，并采用假名機制保證車輛信息的隱私。車輛假名及其密鑰均由車輛自身生成，但因特殊原因需要獲取車輛真實身份時，必須由TMA 根據假名計算得到。與已有假名生成方案相比，對于每輛車而言只需KGC 參與一次密鑰生成即可，顯著減少了生成大量假名和密鑰給TMA和KGC 帶來的工作負擔。

隨著人工智能和無人駕駛技術的發展，駕駛人員將逐步解放出來，擁有更多的時間用于社交、娛樂活動，進一步促進VSN 的發展，也必將會帶來更多的安全挑戰。