V2V通信中基于身份的条件隐私保护认证方案

王彦平 吕锐曦,牛淑芬

摘要：在车联网中，只有确保交通信息在车辆之间安全的交互，才能保证乘客的安全和高效的交通管理.因此，安全和隐私问题是车联网中研究的热点.典型的攻击包括恶意的第三方修改和转发拦截消息等，当前最好的解决方案使得验证者能够验证所接收消息的来源，并在接收它们之前对消息的完整性进行检查.因为车辆的车载单元计算能力和存储容量都是有限的，这些方案没有充分解决在高流量密度区域中车辆通信时验证多条消息的效率问题.因此，该文提出了一种在V2V通信中基于身份的条件隐私保护认证方案.同时，文中方案支持批量签名验证，使得每辆车能够同时认证大量签名消息.通过性能评估，相比于类似的方案，文中方案在计算效率方面更高效.

关键词：车联网；V2V通信；椭圆曲线密码体制；基于身份的密码学；隐私保护；批签名验证

中图分类号：TP 309文献标志码：A文章编号：1001-988Ⅹ（2023）04-0064-08

近年来，随着机动车数量的增加，交通堵塞、重大交通事故等事件频繁发生.因此，如何安全有效地管理道路交通成为了当前的研究热点.先进的无线通信技术促进了车联网（Vehicular ad hoc networks，VANETs）的发展［1-4］，从而有效减少道路事故，节省乘客时间并为司机提供安全顺畅的驾驶体验.

VANETs智能交通系统允许车辆安装车载单元（On board unit，OBU）形式的设备.车辆的OBU将向300 m范围内相邻车辆和基础设施传送安全信息.一般情况下，VANETs由3个主要实体组成，带有OBU的车辆、路边单元（Road side unit， RSU）和相关机构.VANETs的通信可以分为两种形式，车辆与车辆之间的相互通信形式（Vehicles to vehicles， V2V）以及车辆与路边基础设施之间的通信形式（Vehicles to infrastructure，V2I）.在V2V通信中，车辆每100～300 ms与相邻车辆进行一次交通相关信息的交换，如交通堵塞、事故、转弯意图等.这是通过5.9-GHz专用短程通信协议（Dedicated short range communication，DSRC）完成的［3-4］.另一方面，在V2I通信中，可信机构（Trusted authority，TA）通過图形用户界面与车辆的乘客和驾驶员共享交通相关信息［5］.因此，驾驶员可以根据收到的信息，迅速做出决策，从而提高整体驾驶效率和安全性.虽然VANETs在交通管理中提供了不少便利，但它仍面临着很多挑战，如交通消息的认证、车辆的隐私保护以及计算开销与通信开销的性能效率等问题［6-10］.

在公钥密码学中，任何人都可以通过数字签名技术，使用发送者的公钥来验证签名消息的来源和完整性［11］.为了解决上述VANETs中的挑战，研究人员设计了许多签名方案来验证与交通相关的消息.2007年，Raya等［12］提出了一种基于公钥基础设施（Public key infrastructure，PKI）的认证方案.方案由证书颁发机构生成大量匿名公私钥对和证书，对每个与交通相关的消息进行签名和加密，并通过公共参数确保相应消息的完整性.然而，由于存储限制，在车辆的OBU中存储大量的公私钥对和证书是不可行的.此后，Wasef等［13］设计了一种基于PKI的快速消息认证协议.然而，在基于PKI的方案中，无效信息的泛滥会发起拒绝服务攻击.此外，这些方案不能确保位置隐私，并且在计算和通信成本方面效率也不高.这使得基于PKI的签名方案不适合VANETs.

1984年，Shamir［14］提出了一种ID-PKC方案解决了公钥证书管理的问题.在此方案中，用户的身份信息，如电话号码、电子邮件地址等个人身份信息作为其公钥；密钥生成中心（Public key generator， PKG）为用户生成相应的私钥.这样就可以消除证书管理产生的开销.基于ID-PKC方案，研究人员已经提出了几种签名方案，用于在VANETs中验证与交通相关的消息.文献［15，16］提出了一种基于身份的条件隐私保护认证的签名方案（IBS-CPPA），他们的方案支持批量签名验证，这有助于在高流量密度区域验证多条消息.这些方案在生成伪身份时，均使用了映射到点的哈希函数.然而，签名验证中使用了耗时很大的双线性对操作运算，造成验证者的大量计算开销，效率过低.Shim［17］提出了一种V2V通信中基于双线性对的IBS-CPPA方案，他的方案支持批量签名验证.然而，在签名验证中有三种双线性对操作，这导致了该方案计算效率很低.2013年，Lee等［18］发现文献［16］的方案不能保证VANETs中的重放攻击和不可否认的安全性，但他们的设计方案效率也很低.文献［19］和文献［20］发现Lee等提出的方案在可追溯性和重放攻击等方面都是不安全的，他们在伪身份生成和消息签名阶段做了一些改变，利用双线性对设计了安全的IBS-CPPA方案.这两种方案都支持批量签名验证.

文献［21］利用椭圆曲线密码体制设计了一种IBS-CPPA方案，用于VANETs中的V2V和V2I通信.他们的方案是高效的，并支持批量签名验证，这有助于在高交通密度的区域拥有更高的计算效率.然而，该方案算法会在签名验证中产生延迟.文献［22］提出了一种新的IBS-CPPA方案［22］，他们的方案也是高效的并且支持批量签名验证.2017年，文献［23］提出了一种基于椭圆曲线的IBS-CPPA方案，用于V2V和V2I通信，该方案相对于其他类似方案提高了批量签名验证阶段的成功率，也提高了计算效率.

受以上文献的启发，文中设计了一种高效的IBS-CPPA方案，在VANETs中的V2V通信中，利用椭圆曲线密码体制，为交通消息签名提供有条件的隐私保护认证.该方案使用一般的单向哈希函数来代替映射到点的哈希函数，无双线性对运算从而加速签名验证的过程；同时，该方案支持批量签名验证，通过验证最大数量的交通相关消息，进一步提高验证车辆的计算效率.文中给出证明了IBS-CPPA方案的安全性及在自适应选择消息攻击下具有不可伪造性；安全性分析表明，该方案满足安全性需求.

1 预备工作

1.1 椭圆曲线密码学（ECC）

设Fp是非奇异椭圆曲线E上的p阶有限域，其中p是一个素数.定义标准椭圆曲线E：y2≡x3+ax+bmodp，其中a，b∈Fp.假设O是E上无穷远的一个点.因此，在E上的点O和其他点构成了一个q阶且生成元为P的循环加群G，其中q是一个大素数.ECC具有下列属性：若P=-Q，则P和Q互为负元素，因此P+Q=P-P=O；若P∈G，m∈Z*q且m>0，则在群G上m·P=P+P+…+P（m次），以上为标量乘法的定义.

2 系统模型

VANETs中的实体通常被分成两层，如图1所示.上层由追踪机构（TRA）和密钥生成中心（PKG）组成，并使用安全套接层（Secure Sockets Layer， SSL）协议通过安全通道连接；而下层包括路边单元（RSU）和车辆，通过5.9-GHz DSRC协议［3-4］连接.在文中提出的V2V通信方案中，车联网模型中使用以下4个主要实体.

可信机构（TRA和PKG）：负责管理整个VANETs的第三方.他们负责生成系统参数，并将相关参数公开提供给其他实体，TRA负责注册登记所有的RSU和车辆，并为车辆生成相应的伪身份以用来保护V2V通信中身份的隐私.

同时，它还要维护一个数据库，在有任何争议时可用来跟踪恶意实体的真实身份.

PKG负责为注册车辆生成和分配私钥.假设TRA，PKG是可信的.TRA和PKG比其他实体具有更高的计算和存储能力.

路边单元（RSU）：RSU是无线通信设备，即位于路边的基站.作为OBU、TRA、PKG和应用服务器之间的中间实体，它通过5.9-GHz DSRC协议与其通信范围内的车辆进行通信，并与TRA、PKG和应用服务器通信.RSU可以验证多个来源发送的交通相关信息的真实性，并将其传播给通信范围内的车辆，或者将其发送给应用服务器进行进一步分析.它的计算能力和存储容量小于TRA和PKG.

车辆（Vehicle）：在VANETs中，每辆车都配有无线通信设备，即OBU，并使用5.9-GHz DSRC协议与其他车辆或RSU共享交通相关信息.每个OBU包含一个防篡改设备（Tamper-proof device， TPD），不会泄露存储在其中的信息.它還包括一个全球定位系统（Global positioning system， GPS），用于在驾驶时提供地理定位和时间信息等服务.OBU的计算能力和存储容量小于RSU、TRA和PKG.

通过这种方法，车辆可以在VANETs系统的V2V通信中验证多个交通相关消息.

4 性能分析

本节从V2V通信的计算成本和通信成本方面评估IBS-CPPA方案的性能.此外，还将与相关的车联网中IBS-CPPA方案的性能进行比较.

4.1 计算量分析

基于椭圆曲线的方案与3种类似的基于椭圆曲线的方案［22-23］以及其他两种基于双线性对的方案［19，20］进行比较，结果如表1所示.在分析中，考虑了加密操作的运行时间，其中Te表示双线性对运算时间;Tm表示乘法运算时间;Ta表示加法运算时间;Th表示映射到点的哈希运算时间;Tpm表示在G中的点乘运算时间;Tpa表示在G中的点加运算时间.

在上述操作中，忽略了一般单向哈希函数操作的运行时间，因为它在算法中的运算时间可以忽略.为了计算上述操作的运行时间，使用计算成本评估方法［21］.对于基于双线性对的IBS-CPPA签名方案［19，20］，利用了一个双线性对：G1×G1→G2表示，其中G1和G2是同为q阶的循环加群和乘群，超奇异椭圆曲线E上的点P是G1的生成元.

从单个签名验证的成本和批量签名验证的成本两个方面分析每个方案的计算成本，表2给出了计算成本的比较.

从表2可以看出，在单个签名验证阶段，方案［19，20］中均使用了双线性对运算且文献［20］的方案还使用了映射到点的哈希运算，因此文献［20］的方案计算成本最高.文献［22，23］的方案和文中提出的方案中均未使用双线性对运算，而且文中方案仅进行了一次点乘运算和点加运算，以便在VANETs中更快的验证相关交通信息的签名.因此，在单个签名验证阶段，文献［19，20，22，23］的方案和文中方案中计算成本最高的是文献［20］的方案，最低的是文中方案.在批量签名验证阶段，当批量验证签名个数n一致时，同样计算成本最高的是文献［20］的方案，最低的是文中方案.

图2将IBS-CPPA签名方案和验证时间之间的单个签名验证计算开销用图形展示出来.文中所提出的IBS-CPPA方案在单个签名验证方面的验证延迟被显著降低，其比文献［19，20，22，23］的方案分别快96.93%，97.61%，66.61%和49.88%.因此，与其他相关方案相比，文中提出的IBS-CPPA方案在单个消息认证方面更高效.图3将多个签名和验证延迟之间的批量签名验证的计算开销用图形展示出来.相对于批量签名验证延迟，文中所提出的方案的验证延迟同样显著降低.在n=100时，文中方案比文献［19，20，22，23］的方案分别快95.47%，99.88%，98.62%和40.32%.所以，文中提出的IBS-CPPA方案是轻量级的，因此与VANETs中的其他相关方案相比，在认证多个交通相关消息时更高效.

4.2 通信量分析

下面分析和比较本文IBS-CPPA方案和文献［19，20，22，23］的方案通信成本.通过使用以下设置进行模拟：假设椭圆曲线E：y2≡x3+xmod且的大小是512位（64 bit），而p的大小是160位（20 bit）；G1中的每个元素是1024位（128 bit），而G中的每个元素是320位（40 bit）.假设一般单向哈希函数的大小为20 bit，时间戳的大小等于4 bit.此外，假设在V2V通信中所有对比方案以及本文方案中的每个交通相关消息的状态和大小都是相同的.因此，在所提出的方案和其他相关方案中，我们将对比具有伪身份PIDi的签名σi的大小.表3给出了通信成本的比较.

因此它最终的通信成本开销为3×40+20+4=144 bit.通过以上分析以及表3观察可知，基于双线性对的方案［19，20］具有更高的通信成本，而基于橢圆曲线的方案［22，23］和本文方案所产生的通信成本要低得多.与文献［22］的方案相比，文中方案拥有更低的通信成本.虽然相对于文献［23］的方案，新方案承担了稍高的通信成本，但在单个和批量签名验证方面都更优.

本文提出的IBS-CPPA方案使得车辆能够在高交通密度区域内的V2V通信中接收并同时认证多个交通相关消息，因而更适合于资源和带宽有限的交通环境.

5 总结

文中提出了一种高效的基于身份的条件隐私保护认证方案，以保证在车联网V2V通信中的相关交通消息的安全认证.该方案使用一般的单向散列函数代替映射到点散列函数，以提高验证车辆在消息认证期间的计算效率；同时该方案支持批量签名验证，车联网系统中的每辆车可以在高交通密度区域中验证大量消息.在随机预言模型下，基于ECDL困难问题证明了本文IBS-CPPA方案在自适应选择消息攻击下具有不可伪造性，同时也满足VANETs系统中V2V通信的安全需求.性能评估表明，在计算开销方面，与现有的相关签名方案相比，该方案在单个和批量签名验证方面更高效.

参考文献：

［1］ LIU Yu，WANG Cheng-xiang，HUANG Jie，et al.Novel 3-d nonstationary mm wave massive mimo channel models for 5G high-speed train wireless communications［J］.IEEE Trans Veh Technol，2019，68（3）：2077.

［2］ ALI I，FAISAL M，ABBAS S.A survey on lightweight authentication schemes in vertical handoff［J］.Int J Cooper Inf Syst，2017，26（1）：1630001.

［3］ JIANG D，TALIWAL V，MEIER A，et al.Design of 5.9 GHz DSRC-based vehicular safety communication［J］.IEEE Wireless Commun，2006，13（5）：36.

［4］ KENNEY J.Dedicated short-range communica-tions（DSRC） standards in the united states［J］.Proceedings of the IEEE，2011，99（7）：1162.

［5］ SINGH G.Video Streaming Communication over Vanet［M］.Recent Advances in Computational Intelligence，Berlin：Springer，2019.

［6］ YANG X，YI X，KHALIL I，et al.A lightweight authentication scheme for vehicular ad hoc networks based on MSR［J］.Veh Commun，2019，15：16.

［7］ 杨阳，李晓宇.基于匿名通信的在线匿名秘密举报方案［J］.计算机工程，2022，48（5）：118.

［8］ 杨小东，陈桂兰，李婷，等.基于无证书密码体制的多用户密文检索方案［J］.计算机工程，2020，46（9）：129.

［9］ CUI J，ZHANG J，ZHONG Hong，et al.An efficient certificateless aggregate signature without pairings for vehicular ad hoc networks［J］.Inf Scien，2018，451：1.

［10］ ALI I，HASSAN A，LI F.Authentication and privacy schemes for vehicular ad hoc networks（VANETs）：a survey［J］.Veh Commun，2019，16：45.

［11］ TZENG S，YANG Cheng-ying，HWANG M.A new digital signature scheme based on factoring and discrete logarithms［J］.Int J Comput，2004，81（1）：9.

［12］ RAYA M，HUBAUX J.Securing vehicular ad hoc networks［J］.J Comput Secur，2007，15（1）：39.

［13］ WASEF A，SHEN X.Emap：expedite message authentication protocol for vehicular ad hoc networks［J］.IEEE Trans Mob Comput，2013，12（1）：78.

［14］ SHAMIR A.Identity-based cryptosystems and signature schemes［C］//Proceedings of the Workshop on the Theory and Application of Cryptographic Techniques.Berlin：Springer，1984：47.

［15］ ZHANG C，LU R，LIN X，et al.An efficient identity-based batch verification scheme for vehicular sensor networks［C］//IEEE INFOCOM 2008-The 27th Conference on Computer Communications，Phoenix：IEEE Xplore，2008：246.

［16］ ZHANG C X，HO P H，TAPOLCAI J.On batch verification with group testing for vehicular communications［J］.Wirel Netw，2011，17（8）：1851.

［17］ SHIM K A.CPAS：An efficient conditional privacy-preserving authentication scheme for vehicular sensor networks［J］.IEEE Trans Veh Technol，2012，61（4）：1874.

［18］ LEE C C，LAI Y M.Toward a secure batch verification with group testing for VANET［J］.Wirel Netw，2013，19（6）：1441.

［19］ ZHANG Jian-hong，XU Ming，LIU Li-ying.On the security of a secure batch verification with group testing for VANET［J］.Int J Netw Secur，2014，16（5）：355.

［20］ BAYAT M，BARMSHOORY M，RAHIMI M，et al.A secure authentication scheme for VANETs with batch verification［J］.Wirel Netw，2015，21（5）：1733.

［21］ HE D B，ZEADALLY S，XU B W， et al.An efficient identity-based conditional privacy-preserving authentication scheme for vehicular ad hoc networks［J］.IEEE Trans Inf Forensics Secur，2015，10（12）：268.

［22］ LO N W，TSAI J L.An efficient conditional privacy-preserving authentication scheme for vehicular sensor networks without pairings［J］.IEEE Trans Intell Transp Syst，2016，17（5）：1319.

［23］ CUI J，ZHANG J，ZHONG H，et al.SPACF：A secure privacy-preserving authentication scheme for VANET with cuckoo filter［J］.IEEE Trans Veh Technol，2017，66（11）：10283.

［24］ POINTCHEVAL D，STERN J.Security arguments for digital signatures and blind signatures［J］.J Cryptol，2000，13（3）：361.

（責任编辑 孙对兄）