车联网中可证安全的匿名可追溯快速组认证协议

张海波，黄宏武，刘开健，贺晓帆

（1.重庆邮电大学通信与信息工程学院，重庆 400065；2.移动通信技术重庆市重点实验室，重庆 400065；3.武汉大学电子信息学院，湖北 武汉 430072）

1 引言

近年来，无线通信技术、云计算、自动驾驶技术、万物互联等技术[1]的发展大大促进了车联网（IoV,Internet of vehicles）的发展。IoV 具有动态拓扑结构、网络规模庞大、节点分布不均匀、节点移动性强、移动轨迹可预测等特点，使其更易遭受如仿冒攻击、重放攻击、中间人攻击等，因此隐私与安全问题成为制约IoV 发展的关键[2]。接入认证是在车辆接入IoV 之前确认其身份的合法性，阻止非法车辆进入IoV[3-4]。安全、高效的接入认证方案是解决隐私安全问题的有效手段之一。

由于IoV 的特点，使车辆的接入认证协议需要具备多重安全属性。匿名性是其中一个重要属性，然而由于车辆用户量巨大，假名的存储与管理显得格外重要。车路协同是智慧交通中的一个重要概念，它需要车辆与路侧单元（RSU,road side unit）之间不断交换信息，因此在实现接入认证的同时生成会话密钥是必要的。车辆以合法身份完成接入认证，仍然存在非法行为的可能，因此需要认证后的身份可追溯性以及身份撤销来保证车辆的实时安全性。车辆的高速移动性使车辆频繁地在多个RSU之间快速切换，因此低时延的接入认证与快速的切换认证是IoV 认证协议的必然要求。

针对车辆的假名问题，已有一些学者对其展开了研究[5-7]。Freudiger 等[5]为了增强车辆的位置隐私，提出在车辆网络（VN,vehicle network）的适当位置创建混合区，然而该方案需要预存大量匿名证书，占用大量内存。Lu 等[6]在假设车与RSU 能主动协作的前提下，提出通过运行两轮协议，使车向RSU 申请一个短时间的匿名证书来克服预存大量证书的问题。然而，Zhang 等[7]指出由于车辆需要频繁变更假名，车与RSU 的频繁交互会影响IoV的效率，并在此基础上提出了一种分散式组认证协议，用每个RSU 维护其通信范围内的一个组，车辆加入组前对其身份进行认证，如果组内成员发现其他成员的非法行为，还可对其真实身份进行追溯。然而文献[7]中并没有提出追溯身份的具体方案，而且使用的是耗时的双线性映射运算。

针对IoV 认证中的效率与安全问题，也有一些学者对其展开了研究[8-14]。Jiang 等[8]通过二进制认证树实现了消息签名的批量验证，然而该方案依赖于半可信的RSU。Yao 等[9]指出IoV 通信中，通信双方的MAC 地址容易泄露，造成车辆易被追踪，基于此，提出了一种数据链路层生物特征加密的匿名认证方案，然而利用生物特征加密的方案本来就存在如生物特征难以提取、设备成本高等诸多问题。Jiang 等[10]为了克服检查证书撤销列表（CRL,certificate revocation list）的诸多缺点，提出用哈希验证码（HMAC,Hash message authentication code）来代替CRL，然而该方案依赖于公钥基础设施（PKI,public key infrastructure）。Ying 等[11]利用哈希函数快速计算的特点设计了一种轻量级的认证方案，实现了车载单元（OBU,on broad unit）、RSU 与可信机构（TA,trusted authority）三者间的相互认证，然而该方案无法抵御重放攻击和修改攻击，也无法实现身份追溯。Liu 等[12]利用k-双线性DH 反演（k-BDHI,k-bilinear Diffie-Hellman inversion）的困难性问题设计了一种OBU 与RSU 的无证书短签名认证方案，该方案可实现两者间的高效认证与匿名追溯功能，然而该方案需要引入追溯机构（TBA,trace back authority）。Zhao 等[13]针对传统认证方案容易受到仿冒攻击和内部攻击等问题，提出了一种新的匿名认证方案，该方案满足多重安全属性，然而由于进行了多次非对称加解密，其认证时延较大。Cui 等[14]利用低时延的混沌映射设计了一种基于雾的认证方案，该方案用雾头代替RSU 来实现OBU 与TA 间的认证，然而该方案同样无法实现匿名追溯。针对切换认证也有许多研究[15-16]，然而它们都存在计算时延较大的问题。

区块链源于中本聪2008 年发表的论文“比特币：一个点对点的电子现金系统”[17]，它是一种按照时间顺序将生成的数据区块顺序连接的数据结构，本质上是一个不可篡改的分布式账本。区块链技术是处理车辆管理和数据传输方面的有效技术，通过合理构建车辆区块链可以有效解决IoV 中的广播冲突避免、资源调度和隐私保护等诸多问题[18]。促进区块链技术与IoV 的深度融合是IoV 发展的必然趋势。

综上所述，现有的认证协议大多缺乏低时延的匿名可追溯性。基于此，本文在区块链架构下，提出了一种适用于IoV 的快速匿名可追溯组认证方案。该方案可以实现OBU 的安全接入、RSU 的动态分组、恶意车辆的快速撤销以及用户ID 的自由变更。此外，考虑到车辆的高速移动性，本文还设计了一种高效的切换认证协议。然后，本文利用随机预言机模型对协议的语义安全性进行了证明。最后的仿真结果验证了本文协议在效率和安全性能方面的优越性。

2 系统模型与安全需求

2.1 系统模型

当车辆需要获取IoV 服务时，必须先进行接入认证。考虑到RSU 是半可信的，用单个RSU维护车辆信息容易造成隐私泄露，因此本文动态地将多个RSU 分成一组共同维护车辆信息。系统模型如图1 所示，涉及3 个实体，分别是TA、RSU、OBU。

图1 系统框架

TA。TA 是车辆注册和认证的机构，可通过区块链查询撤销ID，拥有最高的安全性、足够的计算资源和内存，是绝对可信的。

RSU。RSU 是区块链节点，可收集道路信息并与车辆实现数据交互，引导车辆安全行驶，是车路协同、智慧交通的关键设施，是半可信的。

OBU。OBU 是车辆与RSU 或车辆之间进行通信的设备，可信程度最低。

2.2 安全需求

为确保IoV 的通信安全，认证协议应该满足完整性、身份认证、保密性、不可否认性、可用性、可扩展性、时间约束、前向安全、后向安全[19]。本文将其总结为以下安全属性。

1) 双向认证。由于IoV 使用开放链路进行通信，容易遭受各种攻击，因此需要OBU 与TA 之间实现双向认证。

2) 匿名性。车辆隐藏真实ID，不断变更假名进行通信，可以有效减少被追踪的可能性。因此需要具备匿名性。

3) 可追溯性。车辆能以合法身份完成认证，但是当合法车辆做出非法行为时，需要追溯出匿名车辆的真实ID。

4) 快速撤销。在3)中得出真实ID 后，需要将其加入撤销列表，以便后续查询。

5) 会话密钥安全。由于OBU 与RSU 需要经常交换信息，因此协议应该生成具有前向安全和后向安全的会话密钥。

6) 用户ID 的自由变更。当真实ID 泄露后，用户应具有自由变更ID 的权利。

双向认证的协议流程保证了完整性、身份认证和时间约束。匿名性保证了协议的保密性。可追溯性和快速撤销保证了协议的不可否认性。会话密钥的前向安全和后向安全保证了数据的前向安全和后向安全。

3 基于IoV 的认证协议

为满足IoV 的安全需求，该方案分为5 个阶段，分别是系统初始化阶段、注册阶段、接入认证与切换认证阶段、匿名追溯与身份撤销阶段、用户ID变更阶段。方案涉及的参数及含义如表1 所示。

表1 方案涉及的参数及含义

3.1 系统初始化阶段

TA 负责系统初始化。TA 确定3 个哈希函数h0,h1,h2:{0,1}*→{0,1}l，其中l为哈希函数的位宽。随机选择sd1,sd2∈Zq*作为h1,h2的哈希种子，接下来，存在2 种情况。

3.2 注册阶段

在此阶段，OBUi、RSUi在TA 上完成ID 注册。

RSUi的注册。RSUi将要注册的RID 通过安全通道发送给TA，TA 收到后计算并保存hR=h0(RID)，产生一个由hR构成的列表。

3.3 接入认证与切换认证阶段

车辆在进入RSU 的范围时需要首先完成身份认证。具体可分为接入认证和切换认证2 个阶段。接入认证和切换认证流程分别如图2 和图3 所示，具体步骤如下。

图2 接入认证流程

图3 切换协议流程

阶段1车辆加入RSU 组的接入认证。在此阶段，OBU、RSU 与TA 完成相互认证。密钥为Ts1z。

阶段2车辆在组内的切换认证。

图4 切换认证原理

当连续多个组的组长保持为L不变时，第k−1组的RSUi完成切换认证后计算，通过安全通道将其发送给k组的RSUL+i，RSUL+i将其代入式(5)计算sd2，然后利用其他哈希函数构成的反向哈希链和上述切换认证的方法进行认证。

3.4 匿名追溯与身份撤销阶段

在此阶段，RSU 组成员可以追溯恶意车辆的真实ID，并将其加入撤销区块链。

1) 匿名追溯。RSUi检测到OBUi存在恶意行为，在组长为L的组内广播追溯其真实身份的请求，其他组成员验证无误后计算，然后分别将其发送给RSUi，RSUi计算式(6)恢复OBUi的真实ID。

其中，k=1 对应组长改变的初始化阶段。

2) 身份撤销。匿名追溯完成后，系统需要将恶意车辆ID 更新到区块链。撤销区块链更新流程如图5 所示，具体方法如下。

图5 撤销区块链更新流程

RSUi发现恶意车辆OBUi，RSU 组成员利用前文的匿名追溯方法恢复真实ID。RSUi将恢复出的ID 加入自己的待撤销列表并广播撤销ID，其他节点验证无误后，将其加入自己的待撤销列表。然后通过共识算法选择节点将待撤销列表打包成区块上传到区块链，RSU 和TA 节点均可以通过查询区块链检查车辆ID 是否被撤销。

上述过程中的共识算法可采用改进的PBFT 算法。原算法的核心思想是通过3 轮广播使系统节点对请求数据达成一致，其一致性结果为多数节点的响应结果。该算法主要由一致性协议、视图切换协议和检查点协议构成[21]。PBFT 算法具有出块时间短、吞吐量大的优点，其性能瓶颈在于随着节点数量的增加，共识效率会显著下降。文献[22-23]对PBFT 算法进行了改进，使其具有更好的拓展性，更加适用于IoV。目前，主流的共识算法还有PoW、PoS、DPoS，然而PoW 通过算力竞争选举记账节点，严重浪费电力；PoS 虽然克服了PoW 的问题，但该机制的“无利害关系”问题尚待解决，且吞吐量不如PBFT；DPoS 选择固定数量的超级节点轮流获得记账权，其竞选规则的去中心化存在争议[24]。

3.5 用户ID 变更阶段

在此阶段，用户可以自由变更自己注册的ID。方法如下。

4 安全性分析

4.1 安全模型

本文使用文献[25]中提出的安全模型。定义3 个实体Ui、Rj、Tk。I可以代表其中任意一个实体。

攻击者A可执行以下4 种询问。

定义以下事件。

4.2 形式化的安全性证明

引理1存在Tn(x),n∈[1,q− 1]，且A最多进行qs次发送询问，qp次窃听询问及qh次哈希询问的情况下，其破坏本文协议p的语义安全性的优势为

证明利用随机预言机模型定义以下规则。

对于哈希询问hi(q)，如果(i,q,r)在表ΓH中，将r返回，否则执行ih，随机选择 {0,1}il r∈，其中li为ih的输出位宽，返回(i,q,r) 并将其保存到表HΓ，A将其保存到表ΓA。

将协议的证明过程定义为以下游戏。

G0。定义A在本文协议p中的安全优势为

G1。用私人神谕h3、h4、h5代替h0、h1、h2（在G7中用h3、h4替换h0、h1）。G1与G0的可区分概率为

G2。当以下矛盾发生时，终止游戏。

1) 在hi中随机选择t∈{0,1}li，返回(i,*,t)，存在(i,*,t)∈ΓA。

2) 对于发送询问(Ui,*)、(Rj,*)、(Tk,*)，存在S 的响应Mi∈Γ A。

G2与G1的可区分概率为

G3。当A猜出OA 并仿冒成OBU 发送给TA，则终止游戏。通过修改以下规则来实现此目标。

G4。当A猜出RA 并发送给TA 则终止游戏。通过修改以下规则实现此目?标。

G5。A猜出Tr并仿冒成OBU 发送认证向量给TA 则终止游戏。通过修改以下规则来实现此目标。

G6。A计算出Tαβ并成功发送hαβ则终止游戏。通过修改以下规则实现此目标。

G6与G5的可区分概率为

其中，t'=t+(q s+qp+1)tp，Sucpcdh(t')≥ε，ε是一个不可忽略的概率。

证明对于给定实体(Q1,Q2)，用Diffie-Hellman 问题的随机自约性来模拟混沌映射的CDH[26]问题。

设所有哈希输出均为l位，则由式(9)～式(17)可得

4.3 其他安全性讨论

除从前述角度对安全性进行分析外，本节将从更多角度对协议性能进行更加详细的分析与讨论。

1) 双向认证。由于只有生成了r的TA 和产生随机数s的OBU 可以利用混沌映射的半群特性对认证向量OA 和进行验证。因此，本文协议可以实现OBU 与TA 的双向认证。

2) 可以抵御OBU、RSU、TA 的仿冒攻击。首先，由于攻击者无法得知rT，因此无法计算出有效认证向量OA，也就无法仿冒成OBU。其次，由于攻击者无法得知RSU 注册的RID，因此无法计算出有效的认证向量RA，也就无法仿冒成RSU。最后，由于攻击者无法得知TA 产生的r，因此无法利用Ts计算出有效的认证向量，也就无法仿冒成TA。

3) OBU 的匿名性。OBU 的身份信息包含在GIDVi和PIDVi中，一方面由GIDVi求真实ID 需要L个RSU 的联合，攻击者很难在短时间内同时控制多个RSU；另一方面临时假名PIDVi在不同RSU 范围内是不同的，可以满足OBU 匿名身份的频繁变更。所以本文协议可以满足OBU 的匿名需求。

4) 可以抵御中间人攻击。当攻击者希望在OBU 与TA 之间进行中间人攻击时，需要仿冒成OBU 向TA 发送认证向量，同时仿冒成TA 向OBU发送认证向量。由2)的分析可知，攻击者无法成功。另外，由于哈希摘要的存在，使攻击者只能截获和转发消息，而无法修改和获得额外信息。

5) 可以抵御重放攻击。假设攻击者成功修改时间戳并重新发送OBU 过去的认证消息，本文协议使攻击者只能通过sT求解随机数s，由于拓展DLP[26]，攻击者无法成功求出s，从而无法正确计算hs1z以完成认证。因此，可以抵御重放攻击。

6) 会话密钥的前向和后向安全性。在同一RSU组内，不同RSU 范围内的会话密钥为Tszi，由于zi是一个临时生成的随机数，因此Tszi也是随机变化的。攻击者无法从当前的Tszi推测出Tszi−1或Tszi+1，所以满足前向和后向安全性。

7) 可拓展性。本文通过RSU 的动态分组，使车辆在组内只需进行快速的切换认证，而不需要与远端的TA 频繁认证，可缓解车辆节点增加带来的网络损耗，使系统具有更强的可拓展性。

5 仿真与性能对比分析

5.1 基本功能对比

为了有效分析本文协议的性能，本节对本文协议与Zhao 方案[13]、Cui 方案[14]进行了功能对比，其中Zhao 方案拥有良好的安全性能，Cui 方案拥有较低的计算时延，结果如表2 所示。由表2 可知，Zhao 方案满足大多数常见的安全属性，但是忽略了可追溯性、可撤销性以及灵活的用户ID 变更功能，Cui 方案则忽略了双向认证及TA 仿冒攻击等重要问题，显然，本文协议满足更多的安全属性。

表2 功能对比

5.2 时延性能分析

相比于其他物联网，IoV 对时延有着更高的要求。所以本节将把本文协议的认证时延与Zhao 方案、Cui方案的认证时延进行对比。定义Th、Tse、Tsd、Tase、Tasd、Tmul、Tchev分别表示单次的哈希运算、对称加密、对称解密、非对称加密、非对称解密、椭圆曲线中的点乘运算、切比雪夫映射的计算时间。本文使用Intel(R) Core(TM) i5-9500，2.00 GB 的RAM，在VS-2010 中使用密码库OpenSSL-1.1.1h 进行106次运算，测得数据如表3 所示。因此Th≈0.008 0 ms，Tse≈0.018 3 ms，Tsd≈0.018 2 ms，Tase≈0.037 6 ms，Tasd≈1.097 7 ms，Tmul≈0.0514 ms，Tchev≈0.033 6 ms。

表3 密码学操作时间

5.2.1 认证时延对比

通过实验测得的数据，可以计算3 种方案中涉及的各个实体的计算时延。由于异或操作时间很短，因此忽略异或运算时延，结果如表4 所示。可见，Zhao 方案的较高计算时延主要在于服务器端的对称加解密和非对称签名。Cui 方案是3 种方案中计算时延最低的，但是它缺乏一些重要的安全属性。本文协议计算时延不是一个定值，而是随组长L的增大而增大。

表4 认证时延对比

本文在不进行分组的情况下（L=1 ），3 种方案的计算时延如图6 所示，L值对计算时延的影响如图7 所示，车辆数量与认证时延的关系如图8 所示。图7 和图8 表明，当L值合适时，随着车辆数量的增加，系统的计算时延是一个IoV 中可以容忍的时延，这证明了系统的可用性。

图6 认证时延对比

图7 L值对认证时延的影响

图8 不同L 值的认证时延

相比于Zhao 方案，本文协议最短计算时延减少了约89.75%。相比于Cui 方案，本文协议牺牲少量时延换来了更完善的抵御仿冒攻击的性能、更灵活的分组认证方式及匿名可追溯性。这些性能可以更好地增强IoV 的安全性。因此本文协议更适用于IoV。

5.2.2 切换时延对比

本节对Zhao 方案、Cui 方案与本文方案的切换认证时延进行了对比。表5 列出了3 种方案中各实体的具体计算时延。由于本文方案的切换时延与组长L及RSU 在组中的位置i有关，因此具有不确定性。为了便于比较，本文分别取L=10、L=20、L=30时的时延与Zhao 方案和Cui 方案进行比较，i=L/2，这是因为组内首尾RSU 哈希运算次数的互补对称性。

表5 切换时延对比

图9 为本文方案取最短切换时延时（L=2 ）3 种方案的时延比较。相比于Cui 方案，本文方案切换时延减少了约82.30%。

图9 切换时延对比

图10 为L值对切换时延的影响，显然本文方案时延曲线上升十分平缓，这表明L值对时延影响较小。

图10 L值对切换时延的影响

图11 为车辆数量与切换时延的关系，可见当待切换的车辆数量增加时，其切换时延仍是IoV 中可容忍的时延。

图11 不同L 值的切换时延

5.3 通信开销对比分析

表6 列出了Zhao 方案、Cui 方案与本文方案在接入认证和切换认证过程中的通信开销。为了便于比较，本文假设ID 为160 bit，时间戳为32 bit，哈希摘要为160 bit，随机数为128 bit，椭圆曲线点乘为320 bit，切比雪夫映射为480 bit，非对称加密输出为1 024 bit，对称密钥为256 bit，对称加密输出为128 bit，并分别用BID、Bt、Bh、BR、Bmul、Bchev、Base、Bsk、Bse表示。

表6 通信开销对比

各方案接入认证和切换认证的通信成本比较结果分别如图12 和图13 所示。可见，本文方案在接入认证阶段的通信成本略高于Zhao 方案和Cui 方案，这主要是由于本文方案进行了更多次的哈希运算用于保证数据传输的安全。在切换认证阶段，本文方案的通信成本比Cui 方案减少了约51.95%，其原因在于本文方案仅需发送一次切比雪夫映射值，而Cui 方案需要传输3 次切比雪夫映射值。

图12 接入认证的通信成本

图13 切换认证的通信成本

6 结束语

本文利用切比雪夫混沌映射的单向陷门性和半群特性设计了一种适用于IoV 的组认证协议，利用反向哈希链设计了快速切换认证协议，通过构建撤销区块链实现了恶意车辆的及时撤销，利用随机预言机的证明和仿真数据说明本文协议相比于现有的协议具有一定的优越性。