車聯(lián)網(wǎng)中可證安全的匿名可追溯快速組認(rèn)證協(xié)議

張海波，黃宏武，劉開健，賀曉帆

（1.重慶郵電大學(xué)通信與信息工程學(xué)院，重慶 400065；2.移動通信技術(shù)重慶市重點(diǎn)實(shí)驗(yàn)室，重慶 400065；3.武漢大學(xué)電子信息學(xué)院，湖北 武漢 430072）

1 引言

近年來，無線通信技術(shù)、云計算、自動駕駛技術(shù)、萬物互聯(lián)等技術(shù)[1]的發(fā)展大大促進(jìn)了車聯(lián)網(wǎng)（IoV,Internet of vehicles）的發(fā)展。IoV 具有動態(tài)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)規(guī)模龐大、節(jié)點(diǎn)分布不均勻、節(jié)點(diǎn)移動性強(qiáng)、移動軌跡可預(yù)測等特點(diǎn)，使其更易遭受如仿冒攻擊、重放攻擊、中間人攻擊等，因此隱私與安全問題成為制約IoV 發(fā)展的關(guān)鍵[2]。接入認(rèn)證是在車輛接入IoV 之前確認(rèn)其身份的合法性，阻止非法車輛進(jìn)入IoV[3-4]。安全、高效的接入認(rèn)證方案是解決隱私安全問題的有效手段之一。

由于IoV 的特點(diǎn)，使車輛的接入認(rèn)證協(xié)議需要具備多重安全屬性。匿名性是其中一個重要屬性，然而由于車輛用戶量巨大，假名的存儲與管理顯得格外重要。車路協(xié)同是智慧交通中的一個重要概念，它需要車輛與路側(cè)單元（RSU,road side unit）之間不斷交換信息，因此在實(shí)現(xiàn)接入認(rèn)證的同時生成會話密鑰是必要的。車輛以合法身份完成接入認(rèn)證，仍然存在非法行為的可能，因此需要認(rèn)證后的身份可追溯性以及身份撤銷來保證車輛的實(shí)時安全性。車輛的高速移動性使車輛頻繁地在多個RSU之間快速切換，因此低時延的接入認(rèn)證與快速的切換認(rèn)證是IoV 認(rèn)證協(xié)議的必然要求。

針對車輛的假名問題，已有一些學(xué)者對其展開了研究[5-7]。Freudiger 等[5]為了增強(qiáng)車輛的位置隱私，提出在車輛網(wǎng)絡(luò)（VN,vehicle network）的適當(dāng)位置創(chuàng)建混合區(qū)，然而該方案需要預(yù)存大量匿名證書，占用大量內(nèi)存。Lu 等[6]在假設(shè)車與RSU 能主動協(xié)作的前提下，提出通過運(yùn)行兩輪協(xié)議，使車向RSU 申請一個短時間的匿名證書來克服預(yù)存大量證書的問題。然而，Zhang 等[7]指出由于車輛需要頻繁變更假名，車與RSU 的頻繁交互會影響IoV的效率，并在此基礎(chǔ)上提出了一種分散式組認(rèn)證協(xié)議，用每個RSU 維護(hù)其通信范圍內(nèi)的一個組，車輛加入組前對其身份進(jìn)行認(rèn)證，如果組內(nèi)成員發(fā)現(xiàn)其他成員的非法行為，還可對其真實(shí)身份進(jìn)行追溯。然而文獻(xiàn)[7]中并沒有提出追溯身份的具體方案，而且使用的是耗時的雙線性映射運(yùn)算。

針對IoV 認(rèn)證中的效率與安全問題，也有一些學(xué)者對其展開了研究[8-14]。Jiang 等[8]通過二進(jìn)制認(rèn)證樹實(shí)現(xiàn)了消息簽名的批量驗(yàn)證，然而該方案依賴于半可信的RSU。Yao 等[9]指出IoV 通信中，通信雙方的MAC 地址容易泄露，造成車輛易被追蹤，基于此，提出了一種數(shù)據(jù)鏈路層生物特征加密的匿名認(rèn)證方案，然而利用生物特征加密的方案本來就存在如生物特征難以提取、設(shè)備成本高等諸多問題。Jiang 等[10]為了克服檢查證書撤銷列表（CRL,certificate revocation list）的諸多缺點(diǎn)，提出用哈希驗(yàn)證碼（HMAC,Hash message authentication code）來代替CRL，然而該方案依賴于公鑰基礎(chǔ)設(shè)施（PKI,public key infrastructure）。Ying 等[11]利用哈希函數(shù)快速計算的特點(diǎn)設(shè)計了一種輕量級的認(rèn)證方案，實(shí)現(xiàn)了車載單元（OBU,on broad unit）、RSU 與可信機(jī)構(gòu)（TA,trusted authority）三者間的相互認(rèn)證，然而該方案無法抵御重放攻擊和修改攻擊，也無法實(shí)現(xiàn)身份追溯。Liu 等[12]利用k-雙線性DH 反演（k-BDHI,k-bilinear Diffie-Hellman inversion）的困難性問題設(shè)計了一種OBU 與RSU 的無證書短簽名認(rèn)證方案，該方案可實(shí)現(xiàn)兩者間的高效認(rèn)證與匿名追溯功能，然而該方案需要引入追溯機(jī)構(gòu)（TBA,trace back authority）。Zhao 等[13]針對傳統(tǒng)認(rèn)證方案容易受到仿冒攻擊和內(nèi)部攻擊等問題，提出了一種新的匿名認(rèn)證方案，該方案滿足多重安全屬性，然而由于進(jìn)行了多次非對稱加解密，其認(rèn)證時延較大。Cui 等[14]利用低時延的混沌映射設(shè)計了一種基于霧的認(rèn)證方案，該方案用霧頭代替RSU 來實(shí)現(xiàn)OBU 與TA 間的認(rèn)證，然而該方案同樣無法實(shí)現(xiàn)匿名追溯。針對切換認(rèn)證也有許多研究[15-16]，然而它們都存在計算時延較大的問題。

區(qū)塊鏈源于中本聰2008 年發(fā)表的論文“比特幣：一個點(diǎn)對點(diǎn)的電子現(xiàn)金系統(tǒng)”[17]，它是一種按照時間順序?qū)⑸傻臄?shù)據(jù)區(qū)塊順序連接的數(shù)據(jù)結(jié)構(gòu)，本質(zhì)上是一個不可篡改的分布式賬本。區(qū)塊鏈技術(shù)是處理車輛管理和數(shù)據(jù)傳輸方面的有效技術(shù)，通過合理構(gòu)建車輛區(qū)塊鏈可以有效解決IoV 中的廣播沖突避免、資源調(diào)度和隱私保護(hù)等諸多問題[18]。促進(jìn)區(qū)塊鏈技術(shù)與IoV 的深度融合是IoV 發(fā)展的必然趨勢。

綜上所述，現(xiàn)有的認(rèn)證協(xié)議大多缺乏低時延的匿名可追溯性。基于此，本文在區(qū)塊鏈架構(gòu)下，提出了一種適用于IoV 的快速匿名可追溯組認(rèn)證方案。該方案可以實(shí)現(xiàn)OBU 的安全接入、RSU 的動態(tài)分組、惡意車輛的快速撤銷以及用戶ID 的自由變更。此外，考慮到車輛的高速移動性，本文還設(shè)計了一種高效的切換認(rèn)證協(xié)議。然后，本文利用隨機(jī)預(yù)言機(jī)模型對協(xié)議的語義安全性進(jìn)行了證明。最后的仿真結(jié)果驗(yàn)證了本文協(xié)議在效率和安全性能方面的優(yōu)越性。

2 系統(tǒng)模型與安全需求

2.1 系統(tǒng)模型

當(dāng)車輛需要獲取IoV 服務(wù)時，必須先進(jìn)行接入認(rèn)證?？紤]到RSU 是半可信的，用單個RSU維護(hù)車輛信息容易造成隱私泄露，因此本文動態(tài)地將多個RSU 分成一組共同維護(hù)車輛信息。系統(tǒng)模型如圖1 所示，涉及3 個實(shí)體，分別是TA、RSU、OBU。

圖1 系統(tǒng)框架

TA。TA 是車輛注冊和認(rèn)證的機(jī)構(gòu)，可通過區(qū)塊鏈查詢撤銷ID，擁有最高的安全性、足夠的計算資源和內(nèi)存，是絕對可信的。

RSU。RSU 是區(qū)塊鏈節(jié)點(diǎn)，可收集道路信息并與車輛實(shí)現(xiàn)數(shù)據(jù)交互，引導(dǎo)車輛安全行駛，是車路協(xié)同、智慧交通的關(guān)鍵設(shè)施，是半可信的。

OBU。OBU 是車輛與RSU 或車輛之間進(jìn)行通信的設(shè)備，可信程度最低。

2.2 安全需求

為確保IoV 的通信安全，認(rèn)證協(xié)議應(yīng)該滿足完整性、身份認(rèn)證、保密性、不可否認(rèn)性、可用性、可擴(kuò)展性、時間約束、前向安全、后向安全[19]。本文將其總結(jié)為以下安全屬性。

1) 雙向認(rèn)證。由于IoV 使用開放鏈路進(jìn)行通信，容易遭受各種攻擊，因此需要OBU 與TA 之間實(shí)現(xiàn)雙向認(rèn)證。

2) 匿名性。車輛隱藏真實(shí)ID，不斷變更假名進(jìn)行通信，可以有效減少被追蹤的可能性。因此需要具備匿名性。

3) 可追溯性。車輛能以合法身份完成認(rèn)證，但是當(dāng)合法車輛做出非法行為時，需要追溯出匿名車輛的真實(shí)ID。

4) 快速撤銷。在3)中得出真實(shí)ID 后，需要將其加入撤銷列表，以便后續(xù)查詢。

5) 會話密鑰安全。由于OBU 與RSU 需要經(jīng)常交換信息，因此協(xié)議應(yīng)該生成具有前向安全和后向安全的會話密鑰。

6) 用戶ID 的自由變更。當(dāng)真實(shí)ID 泄露后，用戶應(yīng)具有自由變更ID 的權(quán)利。

雙向認(rèn)證的協(xié)議流程保證了完整性、身份認(rèn)證和時間約束。匿名性保證了協(xié)議的保密性?？勺匪菪院涂焖俪蜂N保證了協(xié)議的不可否認(rèn)性。會話密鑰的前向安全和后向安全保證了數(shù)據(jù)的前向安全和后向安全。

3 基于IoV 的認(rèn)證協(xié)議

為滿足IoV 的安全需求，該方案分為5 個階段，分別是系統(tǒng)初始化階段、注冊階段、接入認(rèn)證與切換認(rèn)證階段、匿名追溯與身份撤銷階段、用戶ID變更階段。方案涉及的參數(shù)及含義如表1 所示。

表1 方案涉及的參數(shù)及含義

3.1 系統(tǒng)初始化階段

TA 負(fù)責(zé)系統(tǒng)初始化。TA 確定3 個哈希函數(shù)h0,h1,h2:{0,1}*→{0,1}l，其中l(wèi)為哈希函數(shù)的位寬。隨機(jī)選擇sd1,sd2∈Zq*作為h1,h2的哈希種子，接下來，存在2 種情況。

3.2 注冊階段

在此階段，OBUi、RSUi在TA 上完成ID 注冊。

RSUi的注冊。RSUi將要注冊的RID 通過安全通道發(fā)送給TA，TA 收到后計算并保存hR=h0(RID)，產(chǎn)生一個由hR構(gòu)成的列表。

3.3 接入認(rèn)證與切換認(rèn)證階段

車輛在進(jìn)入RSU 的范圍時需要首先完成身份認(rèn)證。具體可分為接入認(rèn)證和切換認(rèn)證2 個階段。接入認(rèn)證和切換認(rèn)證流程分別如圖2 和圖3 所示，具體步驟如下。

圖2 接入認(rèn)證流程

圖3 切換協(xié)議流程

階段1車輛加入RSU 組的接入認(rèn)證。在此階段，OBU、RSU 與TA 完成相互認(rèn)證。密鑰為Ts1z。

階段2車輛在組內(nèi)的切換認(rèn)證。

圖4 切換認(rèn)證原理

當(dāng)連續(xù)多個組的組長保持為L不變時，第k?1組的RSUi完成切換認(rèn)證后計算，通過安全通道將其發(fā)送給k組的RSUL+i，RSUL+i將其代入式(5)計算sd2，然后利用其他哈希函數(shù)構(gòu)成的反向哈希鏈和上述切換認(rèn)證的方法進(jìn)行認(rèn)證。

3.4 匿名追溯與身份撤銷階段

在此階段，RSU 組成員可以追溯惡意車輛的真實(shí)ID，并將其加入撤銷區(qū)塊鏈。

1) 匿名追溯。RSUi檢測到OBUi存在惡意行為，在組長為L的組內(nèi)廣播追溯其真實(shí)身份的請求，其他組成員驗(yàn)證無誤后計算，然后分別將其發(fā)送給RSUi，RSUi計算式(6)恢復(fù)OBUi的真實(shí)ID。

其中，k=1 對應(yīng)組長改變的初始化階段。

2) 身份撤銷。匿名追溯完成后，系統(tǒng)需要將惡意車輛ID 更新到區(qū)塊鏈。撤銷區(qū)塊鏈更新流程如圖5 所示，具體方法如下。

圖5 撤銷區(qū)塊鏈更新流程

RSUi發(fā)現(xiàn)惡意車輛OBUi，RSU 組成員利用前文的匿名追溯方法恢復(fù)真實(shí)ID。RSUi將恢復(fù)出的ID 加入自己的待撤銷列表并廣播撤銷ID，其他節(jié)點(diǎn)驗(yàn)證無誤后，將其加入自己的待撤銷列表。然后通過共識算法選擇節(jié)點(diǎn)將待撤銷列表打包成區(qū)塊上傳到區(qū)塊鏈，RSU 和TA 節(jié)點(diǎn)均可以通過查詢區(qū)塊鏈檢查車輛ID 是否被撤銷。

上述過程中的共識算法可采用改進(jìn)的PBFT 算法。原算法的核心思想是通過3 輪廣播使系統(tǒng)節(jié)點(diǎn)對請求數(shù)據(jù)達(dá)成一致，其一致性結(jié)果為多數(shù)節(jié)點(diǎn)的響應(yīng)結(jié)果。該算法主要由一致性協(xié)議、視圖切換協(xié)議和檢查點(diǎn)協(xié)議構(gòu)成[21]。PBFT 算法具有出塊時間短、吞吐量大的優(yōu)點(diǎn)，其性能瓶頸在于隨著節(jié)點(diǎn)數(shù)量的增加，共識效率會顯著下降。文獻(xiàn)[22-23]對PBFT 算法進(jìn)行了改進(jìn)，使其具有更好的拓展性，更加適用于IoV。目前，主流的共識算法還有PoW、PoS、DPoS，然而PoW 通過算力競爭選舉記賬節(jié)點(diǎn)，嚴(yán)重浪費(fèi)電力；PoS 雖然克服了PoW 的問題，但該機(jī)制的“無利害關(guān)系”問題尚待解決，且吞吐量不如PBFT；DPoS 選擇固定數(shù)量的超級節(jié)點(diǎn)輪流獲得記賬權(quán)，其競選規(guī)則的去中心化存在爭議[24]。

3.5 用戶ID 變更階段

在此階段，用戶可以自由變更自己注冊的ID。方法如下。

4 安全性分析

4.1 安全模型

本文使用文獻(xiàn)[25]中提出的安全模型。定義3 個實(shí)體Ui、Rj、Tk。I可以代表其中任意一個實(shí)體。

攻擊者A可執(zhí)行以下4 種詢問。

定義以下事件。

4.2 形式化的安全性證明

引理1存在Tn(x),n∈[1,q? 1]，且A最多進(jìn)行qs次發(fā)送詢問，qp次竊聽詢問及qh次哈希詢問的情況下，其破壞本文協(xié)議p的語義安全性的優(yōu)勢為

證明利用隨機(jī)預(yù)言機(jī)模型定義以下規(guī)則。

對于哈希詢問hi(q)，如果(i,q,r)在表ΓH中，將r返回，否則執(zhí)行ih，隨機(jī)選擇 {0,1}il r∈，其中l(wèi)i為ih的輸出位寬，返回(i,q,r) 并將其保存到表HΓ，A將其保存到表ΓA。

將協(xié)議的證明過程定義為以下游戲。

G0。定義A在本文協(xié)議p中的安全優(yōu)勢為

G1。用私人神諭h3、h4、h5代替h0、h1、h2（在G7中用h3、h4替換h0、h1）。G1與G0的可區(qū)分概率為

G2。當(dāng)以下矛盾發(fā)生時，終止游戲。

1) 在hi中隨機(jī)選擇t∈{0,1}li，返回(i,*,t)，存在(i,*,t)∈ΓA。

2) 對于發(fā)送詢問(Ui,*)、(Rj,*)、(Tk,*)，存在S 的響應(yīng)Mi∈Γ A。

G2與G1的可區(qū)分概率為

G3。當(dāng)A猜出OA 并仿冒成OBU 發(fā)送給TA，則終止游戲。通過修改以下規(guī)則來實(shí)現(xiàn)此目標(biāo)。

G4。當(dāng)A猜出RA 并發(fā)送給TA 則終止游戲。通過修改以下規(guī)則實(shí)現(xiàn)此目?標(biāo)。

G5。A猜出Tr并仿冒成OBU 發(fā)送認(rèn)證向量給TA 則終止游戲。通過修改以下規(guī)則來實(shí)現(xiàn)此目標(biāo)。

G6。A計算出Tαβ并成功發(fā)送hαβ則終止游戲。通過修改以下規(guī)則實(shí)現(xiàn)此目標(biāo)。

G6與G5的可區(qū)分概率為

其中，t'=t+(q s+qp+1)tp，Sucpcdh(t')≥ε，ε是一個不可忽略的概率。

證明對于給定實(shí)體(Q1,Q2)，用Diffie-Hellman 問題的隨機(jī)自約性來模擬混沌映射的CDH[26]問題。

設(shè)所有哈希輸出均為l位，則由式(9)～式(17)可得

4.3 其他安全性討論

除從前述角度對安全性進(jìn)行分析外，本節(jié)將從更多角度對協(xié)議性能進(jìn)行更加詳細(xì)的分析與討論。

1) 雙向認(rèn)證。由于只有生成了r的TA 和產(chǎn)生隨機(jī)數(shù)s的OBU 可以利用混沌映射的半群特性對認(rèn)證向量OA 和進(jìn)行驗(yàn)證。因此，本文協(xié)議可以實(shí)現(xiàn)OBU 與TA 的雙向認(rèn)證。

2) 可以抵御OBU、RSU、TA 的仿冒攻擊。首先，由于攻擊者無法得知rT，因此無法計算出有效認(rèn)證向量OA，也就無法仿冒成OBU。其次，由于攻擊者無法得知RSU 注冊的RID，因此無法計算出有效的認(rèn)證向量RA，也就無法仿冒成RSU。最后，由于攻擊者無法得知TA 產(chǎn)生的r，因此無法利用Ts計算出有效的認(rèn)證向量，也就無法仿冒成TA。

3) OBU 的匿名性。OBU 的身份信息包含在GIDVi和PIDVi中，一方面由GIDVi求真實(shí)ID 需要L個RSU 的聯(lián)合，攻擊者很難在短時間內(nèi)同時控制多個RSU；另一方面臨時假名PIDVi在不同RSU 范圍內(nèi)是不同的，可以滿足OBU 匿名身份的頻繁變更。所以本文協(xié)議可以滿足OBU 的匿名需求。

4) 可以抵御中間人攻擊。當(dāng)攻擊者希望在OBU 與TA 之間進(jìn)行中間人攻擊時，需要仿冒成OBU 向TA 發(fā)送認(rèn)證向量，同時仿冒成TA 向OBU發(fā)送認(rèn)證向量。由2)的分析可知，攻擊者無法成功。另外，由于哈希摘要的存在，使攻擊者只能截獲和轉(zhuǎn)發(fā)消息，而無法修改和獲得額外信息。

5) 可以抵御重放攻擊。假設(shè)攻擊者成功修改時間戳并重新發(fā)送OBU 過去的認(rèn)證消息，本文協(xié)議使攻擊者只能通過sT求解隨機(jī)數(shù)s，由于拓展DLP[26]，攻擊者無法成功求出s，從而無法正確計算hs1z以完成認(rèn)證。因此，可以抵御重放攻擊。

6) 會話密鑰的前向和后向安全性。在同一RSU組內(nèi)，不同RSU 范圍內(nèi)的會話密鑰為Tszi，由于zi是一個臨時生成的隨機(jī)數(shù)，因此Tszi也是隨機(jī)變化的。攻擊者無法從當(dāng)前的Tszi推測出Tszi?1或Tszi+1，所以滿足前向和后向安全性。

7) 可拓展性。本文通過RSU 的動態(tài)分組，使車輛在組內(nèi)只需進(jìn)行快速的切換認(rèn)證，而不需要與遠(yuǎn)端的TA 頻繁認(rèn)證，可緩解車輛節(jié)點(diǎn)增加帶來的網(wǎng)絡(luò)損耗，使系統(tǒng)具有更強(qiáng)的可拓展性。

5 仿真與性能對比分析

5.1 基本功能對比

為了有效分析本文協(xié)議的性能，本節(jié)對本文協(xié)議與Zhao 方案[13]、Cui 方案[14]進(jìn)行了功能對比，其中Zhao 方案擁有良好的安全性能，Cui 方案擁有較低的計算時延，結(jié)果如表2 所示。由表2 可知，Zhao 方案滿足大多數(shù)常見的安全屬性，但是忽略了可追溯性、可撤銷性以及靈活的用戶ID 變更功能，Cui 方案則忽略了雙向認(rèn)證及TA 仿冒攻擊等重要問題，顯然，本文協(xié)議滿足更多的安全屬性。

表2 功能對比

5.2 時延性能分析

相比于其他物聯(lián)網(wǎng)，IoV 對時延有著更高的要求。所以本節(jié)將把本文協(xié)議的認(rèn)證時延與Zhao 方案、Cui方案的認(rèn)證時延進(jìn)行對比。定義Th、Tse、Tsd、Tase、Tasd、Tmul、Tchev分別表示單次的哈希運(yùn)算、對稱加密、對稱解密、非對稱加密、非對稱解密、橢圓曲線中的點(diǎn)乘運(yùn)算、切比雪夫映射的計算時間。本文使用Intel(R) Core(TM) i5-9500，2.00 GB 的RAM，在VS-2010 中使用密碼庫OpenSSL-1.1.1h 進(jìn)行106次運(yùn)算，測得數(shù)據(jù)如表3 所示。因此Th≈0.008 0 ms，Tse≈0.018 3 ms，Tsd≈0.018 2 ms，Tase≈0.037 6 ms，Tasd≈1.097 7 ms，Tmul≈0.0514 ms，Tchev≈0.033 6 ms。

表3 密碼學(xué)操作時間

5.2.1 認(rèn)證時延對比

通過實(shí)驗(yàn)測得的數(shù)據(jù)，可以計算3 種方案中涉及的各個實(shí)體的計算時延。由于異或操作時間很短，因此忽略異或運(yùn)算時延，結(jié)果如表4 所示。可見，Zhao 方案的較高計算時延主要在于服務(wù)器端的對稱加解密和非對稱簽名。Cui 方案是3 種方案中計算時延最低的，但是它缺乏一些重要的安全屬性。本文協(xié)議計算時延不是一個定值，而是隨組長L的增大而增大。

表4 認(rèn)證時延對比

本文在不進(jìn)行分組的情況下（L=1 ），3 種方案的計算時延如圖6 所示，L值對計算時延的影響如圖7 所示，車輛數(shù)量與認(rèn)證時延的關(guān)系如圖8 所示。圖7 和圖8 表明，當(dāng)L值合適時，隨著車輛數(shù)量的增加，系統(tǒng)的計算時延是一個IoV 中可以容忍的時延，這證明了系統(tǒng)的可用性。

圖6 認(rèn)證時延對比

圖7 L值對認(rèn)證時延的影響

圖8 不同L 值的認(rèn)證時延

相比于Zhao 方案，本文協(xié)議最短計算時延減少了約89.75%。相比于Cui 方案，本文協(xié)議犧牲少量時延換來了更完善的抵御仿冒攻擊的性能、更靈活的分組認(rèn)證方式及匿名可追溯性。這些性能可以更好地增強(qiáng)IoV 的安全性。因此本文協(xié)議更適用于IoV。

5.2.2 切換時延對比

本節(jié)對Zhao 方案、Cui 方案與本文方案的切換認(rèn)證時延進(jìn)行了對比。表5 列出了3 種方案中各實(shí)體的具體計算時延。由于本文方案的切換時延與組長L及RSU 在組中的位置i有關(guān)，因此具有不確定性。為了便于比較，本文分別取L=10、L=20、L=30時的時延與Zhao 方案和Cui 方案進(jìn)行比較，i=L/2，這是因?yàn)榻M內(nèi)首尾RSU 哈希運(yùn)算次數(shù)的互補(bǔ)對稱性。

表5 切換時延對比

圖9 為本文方案取最短切換時延時（L=2 ）3 種方案的時延比較。相比于Cui 方案，本文方案切換時延減少了約82.30%。

圖9 切換時延對比

圖10 為L值對切換時延的影響，顯然本文方案時延曲線上升十分平緩，這表明L值對時延影響較小。

圖10 L值對切換時延的影響

圖11 為車輛數(shù)量與切換時延的關(guān)系，可見當(dāng)待切換的車輛數(shù)量增加時，其切換時延仍是IoV 中可容忍的時延。

圖11 不同L 值的切換時延

5.3 通信開銷對比分析

表6 列出了Zhao 方案、Cui 方案與本文方案在接入認(rèn)證和切換認(rèn)證過程中的通信開銷。為了便于比較，本文假設(shè)ID 為160 bit，時間戳為32 bit，哈希摘要為160 bit，隨機(jī)數(shù)為128 bit，橢圓曲線點(diǎn)乘為320 bit，切比雪夫映射為480 bit，非對稱加密輸出為1 024 bit，對稱密鑰為256 bit，對稱加密輸出為128 bit，并分別用BID、Bt、Bh、BR、Bmul、Bchev、Base、Bsk、Bse表示。

表6 通信開銷對比

各方案接入認(rèn)證和切換認(rèn)證的通信成本比較結(jié)果分別如圖12 和圖13 所示?？梢姡疚姆桨冈诮尤胝J(rèn)證階段的通信成本略高于Zhao 方案和Cui 方案，這主要是由于本文方案進(jìn)行了更多次的哈希運(yùn)算用于保證數(shù)據(jù)傳輸?shù)陌踩?。在切換認(rèn)證階段，本文方案的通信成本比Cui 方案減少了約51.95%，其原因在于本文方案僅需發(fā)送一次切比雪夫映射值，而Cui 方案需要傳輸3 次切比雪夫映射值。

圖12 接入認(rèn)證的通信成本

圖13 切換認(rèn)證的通信成本

6 結(jié)束語

本文利用切比雪夫混沌映射的單向陷門性和半群特性設(shè)計了一種適用于IoV 的組認(rèn)證協(xié)議，利用反向哈希鏈設(shè)計了快速切換認(rèn)證協(xié)議，通過構(gòu)建撤銷區(qū)塊鏈實(shí)現(xiàn)了惡意車輛的及時撤銷，利用隨機(jī)預(yù)言機(jī)的證明和仿真數(shù)據(jù)說明本文協(xié)議相比于現(xiàn)有的協(xié)議具有一定的優(yōu)越性。