車載自組網無證書條件隱私保護認證方案

徐貴雙，殷新春，3*

車載自組網無證書條件隱私保護認證方案

徐貴雙1，2，殷新春1，2，3*

（1.揚州大學 信息工程學院，江蘇 揚州 225127； 2.廣東省信息安全技術重點實驗室（中山大學），廣州 510006； 3.揚州大學廣陵學院，江蘇 揚州 225128）（ ? 通信作者電子郵箱xcyin@yzu.edu.cn）

車載自組網（VANET）在共享交通數據、提升行車效率、減少交通事故等方面具有明顯優勢，對智能交通系統的構建至關重要。與此同時，車與車之間、車與基礎設施之間的安全通信，車輛的隱私保護（如身份隱私、位置隱私），交通消息的高效認證等問題亟待解決。為了實現安全性和效率的平衡，首先，分析并證明最近提出的方案——條件隱私保護無證書聚合簽名方案（CPP-CLAS）不能抵抗公鑰替換攻擊；其次，在此基礎上提出一種新型VANET無證書條件隱私保護認證方案，方案中的車輛在申請部分私鑰時不依賴安全信道，并采用聚合認證和批量認證技術批量驗證簽名；最后，在隨機預言機模型下證明了所提方案具有不可偽造性。性能分析表明，與同類型方案相比，所提方案在沒有增加驗證開銷的基礎上，將簽名階段的計算效率至少提升了66.76%，通信帶寬需求至少降低了16.67%，驗證了該方案更加適用于資源受限的VANET。

車載自組網；消息認證；條件隱私保護；安全信道；可證明安全

0 引言

車載自組網（Vehicular Ad-hoc NETwork， VANET）對構建智能交通系統至關重要，如交通數據共享、保障車輛出行安全、提升出行效率等，促使現代汽車朝著電子化、網絡化和集成化的方向快速發展。VANET中配備著先進的車載傳感器，通過與現代移動通信技術相結合，可以實現車輛與人、車輛與車輛（Vehicle-to-Vehicle， V2V）、車輛與基礎設施（Vehicle-to-Infrastructure， V2I）、車輛與云服務平臺的實時通信。其中，V2V和V2I通信均依賴于基于蜂窩網絡的車用無線通信技術（Cellular Vehicle-to-Everything， C-V2X）［1］，通過車載單元（On Board Unit， OBU）和C-V2X，車輛可以廣播實時交通信息（如車輛當前位置、車速、擁堵狀態、交通事故等）給其他車輛和路邊單元（Road Side Unit， RSU）。交通控制中心收集、處理、集成這些信息，可以為車輛提供實時交通信息服務，以便改善交通狀況和減少安全事故的發生［2-3］。

然而，數據安全和隱私保護成了限制VANET發展的重要因素。由于VANET架構建立在開放的無線網絡信道基礎上，攻擊者可以利用各類無線網絡通信試圖攔截、嗅探、篡改或重放交通消息，或者將攻擊指令注入車輛，直接影響車輛的行駛狀態或控制車輛，嚴重威脅著駕乘人員的生命和財產安全。此外，車輛與其他車輛或RSU通信時，身份信息將直接暴露在公共信道中［4］，攻擊者可以很容易地收集和分析這些隱私數據，然后獲得目標車輛的歷史路徑，這嚴重侵犯了用戶的個人隱私。因此，匿名性對于VANET至關重要。同時，為避免惡意車輛在交通事故后因傳播虛假信息而逃避責任，可信授權機構（Trusted Authority， TA）要能夠追溯到惡意車輛的真實身份。簡而言之，VANET需要得到條件隱私保護認證方案的支持。

另一方面，VANET有著嚴格的低通信延遲和高可靠性需求，而OBU和RSU的計算、存儲能力卻相當小，無法同時滿足V2V和V2I的消息高效認證。因此，VANET必須得到安全性足夠高的輕量級方案支持，以最小的成本實現高效安全通信［5-6］。

最近，文獻［7］中提出了一種條件隱私保護無證書聚合簽名方案（Conditional Privacy-Preserving Certificateless Aggregate Signature Scheme， CPP-CLAS）應用于VANET，并聲稱該方案對自適應選擇消息攻擊具有不可偽造性。然而，本文通過形式化分析，發現CPP-CLAS無法抵抗簽名偽造攻擊。在此基礎上，本文提出了一種新型可證明安全的無證書條件隱私保護認證方案，該方案沒有使用昂貴的雙線性配對和映射到點的哈希函數操作，而是使用橢圓曲線密碼系統和普通哈希函數，大幅降低了方案的計算和通信成本。本文主要工作如下：

1）證明CPP-CLAS不能抵抗公鑰替換攻擊，惡意的車輛通過替換合法車輛的公鑰，可以成功偽造任意消息的有效簽名。本文分析了該方案存在缺陷的原因，并給出了具體的攻擊過程。

2）提出一種新型可證明安全的無證書條件隱私保護認證方案，并在隨機預言機模型下證明了該方案在橢圓曲線離散對數問題（Elliptic Curve Discrete Logarithm Problem， ECDLP）下是安全的，且滿足條件隱私保護需求。

3）本文方案中，車輛在申請部分私鑰時不依賴安全信道，增強了方案的魯棒性；此外，采用聚合認證和批量認證技術，使接收方車輛或RSU可以批量驗證消息，提高了驗證效率。

4）對本文方案進行了性能和安全性分析，結果表明，它在計算和通信開銷上優于文獻［8-10］中的方案，與文獻［7-10］中的方案相比具備更好的安全性。

1 相關工作

為了解決VANET中的通信安全和隱私保護問題，學者們提出了大量基于公鑰基礎設施（Public Key Infrastructure， PKI）的條件隱私保護認證方案［11-15］。在PKI中，證書管理機構（Certificate Authority， CA）為車輛頒發數字證書以確認車輛公鑰的有效性，但隨著車輛數量的增加，證書的生成、存儲、分發和撤銷等管理變得極為困難。此外，RSU在使用車輛公鑰驗證簽名有效性之前，需要檢測該公鑰對應數字證書的有效性，給RSU帶來了很高的計算代價。因此，數字證書的使用大大增加了方案的存儲、計算、通信開銷。

為了解決PKI的證書管理問題，基于群簽名的條件隱私保護認證方案被廣泛應用于VANET［16-20］。由于群簽名允許任何群成員代表群簽署消息而無須透露他的真實身份，因此群簽名常被用于實現VANET中的車輛匿名身份驗證。然而，群簽名方案有個很大的缺點，即證書撤銷列表的檢查、存儲、更新等會導致群簽名方案在存儲、傳輸、驗證過程中的開銷有時甚至高于傳統PKI方案，方案性能因此受限。

為了避免基于PKI的方案中復雜的證書管理，并降低群簽名方案中的驗證開銷，學者們提出了基于身份的條件隱私保護批量認證方案［21-24］。在這些方案中，車輛的公鑰由車主的公共身份信息（如電話號碼、郵件地址等）組成，私鑰由私鑰生成器（Private Key Generator， PKG）生成。因此，一旦PKG妥協，攻擊者將獲得所有車輛的私鑰，可以解密任何車輛加密的消息或偽造簽名。

為了解決基于身份的條件隱私保護認證方案中的密鑰托管問題，基于無證書的條件隱私保護認證方案以其獨特的優勢得到廣泛應用［8-10，25-31］。密鑰生成中心（Key Generation Center， KGC）取代了基于身份的方案中的PKG，為用戶分發部分私鑰，而另一部分私鑰由用戶自己生成并秘密保存，以解決密鑰托管問題。2015年，文獻［8］中提出了一種具有條件隱私保護的無證書聚合簽名方案，可以實現車輛身份的匿名性和不可鏈接性。然而，文獻［25］中指出它不能抵抗惡意但被動的KGC攻擊，且該方案使用了昂貴的雙線性配對運算，計算代價較高。2018年，文獻［26］中提出了一種無證書聚合簽名方案，方案基于橢圓曲線密碼體系（Elliptic Curve Cryptography， ECC），性能表現較優，但該方案同樣被證明不安全［10］。不久以后，文獻［10］中提出了一種無雙線性配對的無證書聚合簽名方案，方案不僅滿足VANET的通信安全和隱私保護需求，還實現了批認證和節點自治性（節點獨立生成假名）；但是仍然無法滿足VANET實際應用的安全需求，惡意的KGC可以在不擁有車輛秘密值的條件下偽造任意消息的有效簽名［27］。2019年，文獻［9］中提出了適用于VANET的全聚合隱私保護認證方案，方案使用防篡改設備預先存儲一批假名和對應的部分私鑰，并在網絡空閑時更新，實現了車輛路徑的不可鏈接性，但是該方案被指出不能抵抗簽名偽造攻擊［28-29］。同一年，文獻［30］中針對VANET分別提出了無證書簽名和無證書聚合簽名方案，并在隨機預言模型下證明了方案的安全性；然而，該方案先后被文獻［31］和文獻［29］的研究指出無法抵抗公鑰替換攻擊和惡意但被動的KGC攻擊。2021年，文獻［32］中針對VANET中的V2V通信提出了一種可證明安全的條件隱私保護認證方案，該方案支持簽名的批量認證，計算效率比現有的許多方案都要高；然而，該方案還是無法滿足它聲稱的安全性，惡意的車輛和KGC均可偽造有效的簽名［33］。

CPP-CLAS實現了VANET的V2V和V2I安全通信，并考慮車輛隱私保護（身份、位置），車輛高速移動性，網絡密度可變以及帶寬限制等特性，基于ECDLP假設，證明它在自適應選擇消息下具有不可偽造性。但是，本文發現CPP-CLAS無法抵抗公鑰替換攻擊，即惡意車輛可以通過替換公鑰的方式偽造有效簽名。因此，本文設計了一個適用于VANET的既能抵抗惡意但被動的KGC攻擊，又能抵抗惡意車輛公鑰替換攻擊的可證明安全的條件隱私保護認證方案。此外，本文提出的新方案已在文獻［34］中提供了算法的主要思路，本文在此基礎上進行了更詳細的論述，并補充了形式化的安全性證明和性能分析等內容。同時，本文還對CPP-CLAS方案展開密碼學分析，發現它存在的安全性問題，并詳細描述了存在安全缺陷的原因。

2 預備知識

本章首先介紹適用于本文方案的困難性問題，然后介紹VANET的系統模型及其安全需求。本文方案使用的符號說明如表1所示。

表1　本文方案符號說明

2.1　橢圓曲線離散對數問題

2.2　系統模型

如圖1所示，本文系統模型包含5個實體：可信授權機構TA、KGC、云服務器（Cloud Server， CS）、RSU和裝載有OBU的車輛。上層網絡由TA、KGC和CS組成，通過有線信道進行安全通信；下層網絡由RSU和車輛組成，車輛可以與附近的RSU或其他車輛通信。

圖1　VANET的系統模型

1）TA：指可信的交通管理部門，可以為車輛和RSU提供注冊服務。另外，TA還負責為車輛生成假名，并能通過假名追蹤車輛的真實身份。

2）KGC：主要負責生成系統參數，通過公共信道為車輛生成部分私鑰。然而，KGC不是完全可信的，它可以在系統初始化時采用計算不可區分的方法設置陷門信息。

3）CS：具有強大的計算和存儲能力，能夠處理從RSU收集的大量數據，并將處理后的相關消息通過RSU廣播給車輛，以提供智能交通控制、遠程車輛診斷、交通救援等服務。

4）RSU：指部署在路邊的通信設備，可以在它的有效范圍內接收到來自車輛的交通信息，并驗證這些信息的完整性和有效性。此外，RSU還能夠生成聚合簽名并發送給CS，提高驗證效率。

5）裝載有OBU的車輛：OBU是車輛裝載的具有感知、計算、處理等功能的通信模塊，可以對交通消息進行簽名，并發送給RSU或其他車輛，其他車輛可以批量認證大量簽名。

2.3　安全目標

適用于VANET的條件隱私保護認證方案應滿足消息認證性、完整性、不可否認性、匿名性、條件可追蹤性、不可鏈接性和抗攻擊性，其中匿名性和條件可追蹤性共同提供條件隱私保護功能，具體描述如下。

1）消息認證性和完整性：消息接收者（車輛或RSU）要能夠驗證接收的消息是否來自合法車輛，即確保消息來源是可靠的，且消息在傳輸過程中未被篡改。

2）不可否認性：車輛不能否認它們已經發送的消息和實施的行為。

3）匿名性：車輛應該使用假名通信，除TA外，任何實體均無法得知車輛的真實身份。

4）條件可追蹤性：只有TA能夠根據車輛的假名獲取車輛的真實身份，以便對發送虛假信息的車輛進行追溯。

5）不可鏈接性：第三方、惡意車輛和RSU等實體無法判斷兩個或多個消息是否由同一車輛發送，即攻擊者無法通過車輛發送的消息跟蹤車輛。

6）抗攻擊性：設計的方案能抵抗中間人攻擊、重放攻擊、冒充攻擊以及篡改攻擊等常見攻擊。

3 CPP?CLAS的安全性分析

本章對CPP-CLAS進行安全性分析，并給出惡意的車輛成功偽造簽名的過程。CPP-CLAS具體描述見文獻［7］。

1）偽造：攻擊者通過如下步驟偽造有效簽名。

3）正確性：偽造單個簽名的正確性由下式保證。

4）聚合簽名驗證：

5）正確性：偽造聚合簽名的正確性由下式保證。

4 基于無證書的條件隱私保護認證方案

為了實現VANET的安全通信，滿足車輛身份的條件隱私保護和消息簽名的高效認證需求，本章提出一種基于無證書的條件隱私保護認證方案。此外，引入密鑰協商的思想［36］，讓車輛在申請部分私鑰時不再依賴安全信道，提高方案的魯棒性。

4.1　本文方案

4.2　方案正確性分析

1）驗證單個簽名的正確性由以下等式保證。

2）聚合簽名認證的正確性由以下等式保證。

3）批量認證的正確性由以下等式保證。

5 安全性證明及安全性分析

本章基于ECDLP假設，通過分叉引理［37］，在隨機預言機模型下證明本文方案的安全性。

5.1　安全性證明

5.2　安全性分析

接下來證明本文方案滿足2.3小節提出的所有安全目標。

6）抗攻擊性。本文方案可以抵抗各類攻擊，尤其是防重放攻擊、防冒充攻擊、防篡改攻擊以及抵抗中間人攻擊。

d）抵抗中間人攻擊。在本文方案中，假設攻擊者位于消息發送方（車輛）和驗證方（車輛或CS或RSU）之間，它的目標是創建兩個私鑰來使車輛和驗證者相信他們是直接通信的，其中一個私鑰用于和車輛通信，另一個用來與驗證者通信。因此，攻擊者必須用他的私鑰來偽造車輛和驗證者的簽名，然后生成合法的消息發送給驗證方。但是根據定理1和定理2，攻擊者無法成功。因此，本文方案可以抵抗中間人攻擊。

接下來，將本文方案實現的安全需求與文獻［7-10］中的方案進行對比，其中“√”表示滿足該需求，“×”表示不滿足該需求。安全性對比結果如表2所示。其中，本文在第3章分析并證明了文獻［7］中方案無法抵抗公鑰替換攻擊。此外，該方案中的車輛使用假名進行通信，但是沒有假名的更新，因此將假名作為車輛的標簽，無法滿足不可鏈接性的要求。文獻［25］中指出文獻［8］的方案無法抵抗惡意但被動的KGC攻擊，并且無法滿足消息認證性，無法抵抗重放攻擊和冒充攻擊［39］。對于文獻［10］中方案，惡意的KGC可以在不擁有車輛秘密值的條件下偽造任意消息的有效簽名［27］。文獻［9］中的方案也無法抵抗簽名偽造攻擊［28-29］。而通過上述分析可知，本文方案可以滿足表中所有安全需求，實用性更強。

表2　安全性對比

6 性能分析

本章將從計算開銷和通信開銷兩個方面對比本文方案與文獻［7-10］中方案的性能表現。

6.1　計算開銷對比

本節使用的相關密碼操作的執行時間來自文獻［21］。該文獻的各密碼操作的運行時間是采用MIRACL庫［40］，是在硬件平臺為Intel I7-4770處理器、時鐘頻率為3.40 GHz、內存為4 GB的Windows 7操作系統上計算出來的。相關密碼操作的執行時間如表3所示。

表3　各密碼操作的運行時間

接下來將詳細分析文獻［7-10］的方案與本文方案的計算開銷。各方案在消息簽名階段、單個簽名驗證階段和聚合驗證階段的計算開銷對比結果如表4所示。

表4　計算開銷對比 單位： ms

由于文獻［8］和文獻［9］的方案需要執行昂貴的雙線性配對運算和基于配對的點乘運算，因此它們在各個階段的計算開銷較大。而本文方案和文獻［7，10］的方案是基于ECC設計的，所以總體開銷較低。根據表4的對比結果，本文方案的總計算開銷（簽名+驗證）低于文獻［8-10］中的方案。具體為：本文方案在簽名階段的計算開銷較文獻［8-10］的方案分別降低了87.32%、91.54%、66.76%；在單個簽名驗證階段和聚合驗證（=100）階段，本文方案的計算開銷較文獻［8-9］的方案均降低了90.56%和70.63%，與文獻［10］的方案持平。

此外，雖然本文方案在驗證階段的計算開銷略微高于文獻［7］的方案，但是文獻［7］的方案不能抵抗公鑰替換攻擊（本文第3章做了詳細分析），并且根據第5章的安全性證明和分析可知本文方案滿足安全和隱私保護需求，因此，本文方案更適用于VANET的應用場景。

6.2　通信開銷對比

表5　通信開銷對比 單位： bit

7 結語

本文對文獻［7］的方案進行了安全性分析，指出該方案并不能抵抗公鑰替換攻擊，并給出了具體攻擊過程和存在缺陷的原因。隨后針對VANET中的安全通信和車輛隱私保護問題，提出了一種基于無證書的條件隱私保護認證方案。在本文新方案中，車輛在部分私鑰時不依賴于安全信道，提高了方案的健壯性。安全性分析表明，本文方案基于ECDLP假設，在隨機預言機模型下，對于兩類攻擊者具有不可偽造性，并且滿足車輛的認證性、匿名性、可追蹤性、不可否認性以及不可鏈接性等需求。性能分析表明，本文方案更好地實現了安全性和認證效率之間的平衡，更加適用于資源受限的VANET環境。

未來，我們會在VANET實際應用中將ECDLP安全假設修改為更弱的安全假設（如CDH假設、DDH假設），并設計新的方案來獲取更好的安全性和效率。此外，在聚合簽名認證和批量認證過程中，如果一個簽名不合法，則會導致一批簽名均無法驗證通過，從而降低簽名驗證效率。因此，設計適用于VANET的具有容錯性質的認證方案是下一階段的研究目標。

[1] ASUQUO P， CRUICKSHANK H， MORLEY J， et al. Security and privacy in location-based services for vehicular and mobile communications： an overview， challenges， and countermeasures［J］. IEEE Internet of Things Journal， 2018， 5（6）： 4778-4802.

[2] MOHAMED HATIM S， ELIAS S J， AWANG N， et al. VANETs and Internet of Things （IoT）： a discussion［J］. Indonesian Journal of Electrical Engineering and Computer Science， 2018， 12（1）： 218-224.

[3] AZEES M， VIJAYAKUMAR P， JEGATHA DEBORAH L. Comprehensive survey on security services in vehicular ad-hoc networks［J］. IET Intelligent Transport Systems， 2016， 10（6）： 379-388.

[4] PALANISWAMY B， CAMTEPE S， FOO E， et al. An efficient authentication scheme for intra-vehicular controller area network［J］. IEEE Transactions on Information Forensics and Security， 2020， 15： 3107-3122.

[5] SENGUPTA J， RUJ S， DAS BIT S. A comprehensive survey on attacks， security issues and blockchain solutions for IoT and IIoT［J］. Journal of Network and Computer Applications， 2020， 149： No.102481.

[6] CHEN C M， HUANG Y， WANG K H， et al. A secure authenticated and key exchange scheme for fog computing［J］. Enterprise Information Systems， 2021， 15（9）： 1200-1215.

[7] CHEN Y， CHEN J. CPP-CLAS： efficient and conditional privacy-preserving certificateless aggregate signature scheme for VANETs［J］. IEEE Internet of Things Journal， 2022， 9（12）： 10354-10365.

[8] HORNG S J， TZENG S F， HUANG P H， et al. An efficient certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks［J］. Information Sciences， 2015， 317： 48-66.

[9] ZHONG H， HAN S， CUI J， et al. Privacy-preserving authentication scheme with full aggregation in VANET［J］. Information Sciences， 2019， 476： 211-221.

[10] KAMIL I A， OGUNDOYIN S O. An improved certificateless aggregate signature scheme without bilinear pairings for vehicular ad hoc networks［J］. Journal of Information Security and Applications， 2019， 44： 184-200.

[11] RAYA M， HUBAUX J P. Securing vehicular ad hoc networks［J］. Journal of Computer Security， 2007， 15（1）： 39-68.

[12] LU R， LIN X， ZHU H， et al. ECPP： efficient conditional privacy preservation protocol for secure vehicular communications［C］// Proceedings of the 27th Conference on Computer Communications. Piscataway： IEEE， 2008： 1229-1237.

[13] AZEES M， VIJAYAKUMAR P， JEGATHA DEBORAH L. EAAP： efficient anonymous authentication with conditional privacy-preserving scheme for vehicular ad hoc networks［J］. IEEE Transactions on Intelligent Transportation Systems， 2017， 18（9）： 2467-2476.

[14] VIJAYAKUMAR P， CHANG V， JEGATHA DEBORAH L， et al. Computationally efficient privacy preserving anonymous mutual and batch authentication schemes for vehicular ad hoc networks［J］. Future Generation Computer Systems， 2018， 78： 943-955.

[15] GU T， YUAN B， LIU Y， et al. An improved EAAP scheme for vehicular ad hoc networks［J］. International Journal of Communication Systems， 2020， 33（6）： No.e4183.

[16] LIN X， SUN X， HO P H， et al. GSIS： a secure and privacy-preserving protocol for vehicular communications［J］. IEEE Transactions on Vehicular Technology， 2007， 56（6）： 3442-3456.

[17] ZHU X， JIANG S， WANG L， et al. Efficient privacy-preserving authentication for vehicular ad hoc networks［J］. IEEE Transactions on Vehicular Technology， 2014， 63（2）： 907-919.

[18] WANG Y， ZHONG H， XU Y， et al. ECPB： efficient conditional privacy-preserving authentication scheme supporting batch verification for VANETs［J］. International Journal of Network Security， 2016， 18（2）： 374-382.

[19] WANG P， CHEN C M， KUMARI S， et al. HDMA： hybrid D2D message authentication scheme for 5G-enabled VANETs［J］. IEEE Transactions on Intelligent Transportation Systems， 2021， 22（8）： 5071-5080.

[20] SHAO J， LIN X， LU R， et al. A threshold anonymous authentication protocol for VANETs［J］. IEEE Transactions on Vehicular Technology， 2016， 65（3）： 1711-1720.

[21] HE D， ZEADALLY S， XU B， et al. An efficient identity-based conditional privacy-preserving authentication scheme for vehicular ad hoc networks［J］. IEEE Transactions on Information Forensics and Security， 2015， 10（12）： 2681-2691.

[22] TZENG S F， HORNG S J， LI T， et al. Enhancing security and privacy for identity-based batch verification scheme in VANETs［J］. IEEE Transactions on Vehicular Technology， 2017， 66（4）： 3235-3248.

[23] YANG W， CHEN M R， ZENG G Q. Cryptanalysis of two strongly unforgeable identity-based signatures in the standard model［J］. International Journal of Network Security， 2018， 20（6）： 1194-1199.

[24] ALI I， LAWRENCE T， LI F. An efficient identity-based signature scheme without bilinear pairing for vehicle-to-vehicle communication in VANETs［J］. Journal of Systems Architecture， 2020， 103： No.101692.

[25] LI J， YUAN H， ZHANG Y. Cryptanalysis and improvement of certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks［EB/OL］. （2016-07-13） ［2022-07-12］.https：//eprint.iacr.org/2016/692.pdf.

[26] CUI J， ZHANG J， ZHONG H， et al. An efficient certificateless aggregate signature without pairings for vehicular ad hoc networks［J］. Information Sciences， 2018， 451/452： 1-15.

[27] ZHAO Y， HOU Y， WANG L， et al. An efficient certificateless aggregate signature scheme for the internet of vehicles［J］. Transactions on Emerging Telecommunications Technologies， 2020， 31（5）： No.e3708.

[28] KAMIL I A， OGUNDOYIN S O. On the security of privacy-preserving authentication scheme with full aggregation in vehicular ad hoc network［J］. Security and Privacy， 2020， 3（3）： No.e104.

[29] MEI Q， XIONG H， CHEN J， et al. Efficient certificateless aggregate signature with conditional privacy preservation in IoV［J］. IEEE Systems Journal， 2021， 15（1）： 245-256.

[30] KUMAR P， KUMARI S， SHARMA V， et al. Secure CLS and CL-AS schemes designed for VANETs［J］. The Journal of Supercomputing， 2019， 75（6）： 3076-3098.

[31] LI C， WU G， XING L， et al. An efficient certificateless aggregate signature scheme designed for VANET［J］. Computers， Materials， and Continua， 2020， 63（2）： 725-742.

[32] ALI I， CHEN Y， ULLAH N， et al. An efficient and provably secure ECC-based conditional privacy-preserving authentication for vehicle-to-vehicle communication in VANETs［J］. IEEE Transactions on Vehicular Technology， 2021， 70（2）： 1278-1291.

[33] ZHOU X， LUO M， VIJAYAKUMAR P， et al. Efficient certificateless conditional privacy-preserving authentication for VANETs［J］. IEEE Transactions on Vehicular Technology， 2022， 71（7）： 7863-7875.

[34] 揚州大學. 一種適用于車載自組網安全通信和條件隱私保護認證的方法：CN115379418B［P］. 2023-05-09. （Yangzhou University. A method for secure communication and conditional privacy protection authentication in vehicular ad-hoc networks：CN115379418B ［P］. 2023-05-09.）

[35] 張振超，劉亞麗，殷新春，等. 無證書簽名方案的分析及改進［J］. 密碼學報， 2020， 7（3）： 389-403.（ZHANG Z C， LIU Y L， YIN X C， et al. Analysis and improvement of certificateless signature schemes［J］. Journal of Cryptologic Research， 2020， 7（3）： 389-403.）

[36] DIFFIE W， HELLMAN M. New directions in cryptography［J］. IEEE Transactions on Information Theory， 1976， 22（6）： 644-654.

[37] POINTCHEVAL D， STERN J. Security proofs for signature schemes［C］// Proceedings of the 1996 International Conference on the Theory and Applications of Cryptographic Technique， LNCS 1070. Berlin： Springer， 1996： 387-398.

[38] BELLARE M， GARAY J A， RABIN T. Fast batch verification for modular exponentiation and digital signatures［C］// Proceedings of the 1998 International Conference on the Theory and Applications of Cryptographic Technique， LNCS 1403. Berlin： Springer， 1998： 236-250.

[39] MING Y， SHEN X. PCPA： a practical certificateless conditional privacy preserving authentication scheme for vehicular ad hoc networks［J］. Sensors， 2018， 18（5）： No.1573.

[40] Shamus Software Ltd. MIRACL library［EB/OL］. ［2022-07-12］.http：//www.shamus.ie/index.php？page=home.

Certificateless conditional privacy-preserving authentication scheme for VANET

XU Guishuang1，2， YIN Xinchun1，2，3*

（1，，225127，；2（），510006，；3，，225128，）

Vehicular Ad-hoc NETwork （VANET） is vital for constructiong intelligent transportation systems because of obvious advantages in sharing traffic data， improving driving efficiency and reducing traffic accidents. Meanwhile， problems such as secure communication of vehicle-to-vehicle and vehicle-to-infrastructure， privacy-preserving of vehicles （e.g.， identity privacy， location privacy）， and efficient authentication of traffic messages need to be solved urgently. To achieve a trade-off between security and efficiency， firstly， the recently proposed scheme， namely Conditional Privacy-Preserving CertificateLess Aggregate Signature scheme （CPP-CLAS）， was analyzed and proved to be unable to resist the public key replacement attack. Then， based on this scheme， a new certificateless conditional privacy-preserving authentication scheme for VANET was proposed， in which the secure channels were not required during partial private key generation of vehicles. In addition， aggregate verification and batch verification were employed to verify a batch of signatures in the scheme. Finally， the proposed scheme was proved to have unforgeability under random oracle model. Performance analysis show that compared with the similar schemes， the proposed scheme improves the computational efficiency of the signature phase by at least 66.76% and reduces the communication bandwidth demand by at least 16.67% without increasing the verification overhead， verifying that the proposed scheme is more suitable for resource-constrained VANET.

Vehicular Ad-hoc NETwork (VANET); message authentication; conditional privacy-preserving; secure channel; provable security

1001-9081（2023）11-3358-10

10.11772/j.issn.1001-9081.2022111757

2022?11?04；

2023?02?01；

廣東省信息安全技術重點實驗室開放基金資助項目（2020B1212060078）。

徐貴雙（1999—），女，云南昭通人，碩士研究生，主要研究方向：無證書簽名、車載自組網通信安全； 殷新春（1962—），男，江蘇姜堰人，教授，博士生導師，博士，CCF高級會員，主要研究方向：密碼學、軟件質量保障、高性能計算。

TP309.7

A

2023?02?10。

This work is partially supported by Opening Fund of Guangdong Provincial Key Laboratory of Information Security Technology （2020B1212060078）.

XU Guishuang， born in 1999， M. S. candidate. Her research interests include certificateless signature， communication security of vehicular ad-hoc network.

YIN Xinchun， born in 1962， Ph. D.， professor. His research interests include cryptology， software quality assurance， high-performance computing.