車載自組網(wǎng)中可撤銷的聚合簽名認(rèn)證方案

吳靜雯，殷新春，2*，寧建廷

（1.揚(yáng)州大學(xué)信息工程學(xué)院，江蘇揚(yáng)州 225127；2.揚(yáng)州大學(xué)廣陵學(xué)院，江蘇揚(yáng)州 225128；3.福建師范大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福州 350007）

0 引言

車載自組網(wǎng)（Vehicular Ad hoc Network，VANET）是車輛利用車載單元（On-Board Unit，OBU）與路邊單元（Road-Side Unit，RSU）或其他車輛及設(shè)施進(jìn)行通信的自組織網(wǎng)絡(luò)。在車載自組網(wǎng)中，OBU 周期性地向其他OBU 和RSU 廣播關(guān)于行車狀態(tài)與交通狀況的信息，包括當(dāng)前所處位置、車速、附近路況、交通擁堵情況、是否有突發(fā)事件等。收到消息的車輛根據(jù)消息及時(shí)調(diào)整行車路線，獲取更高的通行效率；RSU 通知交通管理中心，令其對(duì)交通信號(hào)燈的相位和配時(shí)等參數(shù)作出調(diào)整，減少或避免可能的交通擁堵。車載自組網(wǎng)能為用戶提供便利，提升通行效率，具有廣泛的應(yīng)用前景。由于處在移動(dòng)狀態(tài)的車輛一般使用無線信道向周邊的OBU 以及RSU廣播消息，消息易受竊聽、篡改、偽造等攻擊手段影響，因此，接收方需要進(jìn)行消息認(rèn)證。另一方面，車輛的隱私信息，包括車輛的真實(shí)身份和行駛路線等當(dāng)受到保護(hù)，在此同時(shí)，系統(tǒng)還需保有對(duì)惡意車輛進(jìn)行追蹤和撤銷的能力，因此，車載自組網(wǎng)中的通信需要滿足條件隱私保護(hù)的需求。

為實(shí)現(xiàn)車載自組網(wǎng)中通信的認(rèn)證性和隱私性，研究者提出了基于公鑰基礎(chǔ)設(shè)施（Public-Key Infrastructure，PKI）［1］的認(rèn)證方案；但在此類方案中，證書中心對(duì)已發(fā)布的證書進(jìn)行管理維護(hù)工作的代價(jià)較高，利用證書保障車輛公鑰合法性的方案并不適用于資源受限的車載自組網(wǎng)環(huán)境［2］。為避免證書管理問題，研究者們?cè)诨谏矸莸拿艽a學(xué)理論（Identity-Based Cryptography，IBC）［3］的基礎(chǔ)上提出 了若干認(rèn)證方案［4-8］。在此類方案中，用戶的公鑰直接由其身份信息轉(zhuǎn)化得到，不再需要用證書將用戶身份與其公鑰綁定。文獻(xiàn)［4-6］中通過將系統(tǒng)主密鑰存儲(chǔ)在抗數(shù)據(jù)泄漏的防篡改設(shè)備中，降低了認(rèn)證流程中的通信和計(jì)算開銷；文獻(xiàn)［7-8］中實(shí)現(xiàn)了簡(jiǎn)潔高效的消息認(rèn)證，但方案假設(shè)車輛與可信中心（Trusted Authority，TA）/密鑰生成中心（Private Key Generator，PKG）之間通過安全信道通信，而在實(shí)際生活中，車輛往往處于移動(dòng)狀態(tài)，借助無線信道進(jìn)行通信，因此車輛與可信中心之間的通信有被竊聽的風(fēng)險(xiǎn)。

為了進(jìn)一步縮減認(rèn)證時(shí)間，滿足讓計(jì)算資源有限的移動(dòng)車輛在短時(shí)間內(nèi)認(rèn)證大量消息的需求，研究者采用了聚合簽名技術(shù)［9］。聚合簽名可以將多個(gè)簽名聚合成一個(gè)簽名，僅需進(jìn)行一次驗(yàn)證便可認(rèn)證多個(gè)消息，極大地提高簽名認(rèn)證的效率，被廣泛地應(yīng)用于實(shí)現(xiàn)車載自組網(wǎng)的通信認(rèn)證［10-19］。文獻(xiàn)［10-15］中使用聚合簽名降低認(rèn)證開銷，但在聚合簽名驗(yàn)證階段未使用小隨機(jī)數(shù)，無法抵抗文獻(xiàn)［20-21］中提出的惡意用戶的共謀攻擊；文獻(xiàn)［16-19］中方案能夠抵抗惡意用戶的共謀攻擊，但仍存在一些細(xì)節(jié)問題；文獻(xiàn)［16-17］提出的方案中，可信中心需要預(yù)存一個(gè)用戶追蹤列表以實(shí)現(xiàn)對(duì)惡意用戶的追蹤，帶來了較大的存儲(chǔ)和管理開銷；文獻(xiàn)［18］提出的方案中，包含在消息中的車輛假名是由車輛自身生成的，未經(jīng)過權(quán)威機(jī)構(gòu)的檢驗(yàn)和認(rèn)證，因此，惡意車輛可以捏造一個(gè)不合法的假名以逃避追蹤；文獻(xiàn)［19］提出的方案中，路邊單元需要借助可信中心對(duì)車輛身份的合法性進(jìn)行檢驗(yàn)，系統(tǒng)的運(yùn)行效率較低。

另一方面，研究具有高保密性、能抵抗物理攻擊的防篡改設(shè)備，建立可信計(jì)算的環(huán)境，也是車載自組網(wǎng)相關(guān)研究的一個(gè)重要方向［22］，防篡改設(shè)備旨在保護(hù)存儲(chǔ)在其中的機(jī)密數(shù)據(jù)，包括車輛的私鑰以及真實(shí)身份等。存儲(chǔ)在防篡改設(shè)備中的機(jī)密數(shù)據(jù)和對(duì)相關(guān)數(shù)據(jù)執(zhí)行的運(yùn)算是難以獲知和不可篡改的。借助防篡改設(shè)備的特性，可以設(shè)計(jì)出更高效的認(rèn)證方案。文獻(xiàn)［4-5］通過將系統(tǒng)主密鑰預(yù)先存儲(chǔ)在防篡改設(shè)備中，省去了可信中心與車輛之間線上交互的過程，節(jié)省了通信開銷；文獻(xiàn)［6］借助存儲(chǔ)在防篡改設(shè)備中的密鑰無法被竊取的特性，省去了用戶私鑰中為了掩蓋系統(tǒng)主密鑰而選取的隨機(jī)數(shù)，使得消息認(rèn)證的效率得到了進(jìn)一步的提高。

除去效率問題，目前對(duì)車載自組網(wǎng)認(rèn)證方案的研究在落實(shí)可追蹤性和可撤銷性，保證系統(tǒng)在惡意車輛的威脅下具有可修復(fù)性等方面，仍有待更深入的研究。上述文獻(xiàn)中，絕大部分方案設(shè)計(jì)實(shí)現(xiàn)了對(duì)惡意車輛的追蹤功能［4-8，10-11，14，16-19］，在此基礎(chǔ)上，文獻(xiàn)［10，17-18］通過設(shè)置撤銷列表來撤銷惡意車輛。但是，由于撤銷列表中的車輛仍然擁有能夠生成合法簽名的私鑰，接收消息的車輛無法僅通過檢驗(yàn)簽名來排除惡意消息，還需檢索撤銷列表。為此，車輛需要存儲(chǔ)日漸龐大的撤銷列表，這給車載單元帶來了較大的存儲(chǔ)負(fù)擔(dān)。

綜合上述文獻(xiàn)提供的啟發(fā)，并針對(duì)其中存在的問題，本文設(shè)計(jì)了一種車載自組網(wǎng)中可撤銷的聚合簽名認(rèn)證方案。該方案能夠滿足車載自組網(wǎng)中的通信在認(rèn)證性和條件隱私保護(hù)這兩方面的需求，并在實(shí)現(xiàn)可撤銷性的同時(shí)，簡(jiǎn)化了消息接收者排除惡意消息的方式，節(jié)省了車載單元的存儲(chǔ)開銷。本文的主要工作如下：

1）提出了一種適用于車載自組網(wǎng)的認(rèn)證方案。該方案能實(shí)現(xiàn)對(duì)認(rèn)證性和條件隱私保護(hù)的需求；同時(shí)，該方案借助防篡改設(shè)備和聚合簽名技術(shù)，提高了認(rèn)證的效率。將該方案與其他文獻(xiàn)提出的方案就批量認(rèn)證開銷進(jìn)行對(duì)比，結(jié)果表明，所提方案的開銷更小，適用于資源受限的車載自組網(wǎng)環(huán)境。

2）實(shí)現(xiàn)了可追蹤性和可撤銷性。該方案利用路邊單元協(xié)助完成車輛撤銷。當(dāng)車輛進(jìn)入路邊單元的通信范圍時(shí)，路邊單元檢查車輛身份的合法性，拒絕為撤銷列表中的車輛頒發(fā)用于生成消息簽名的成員密鑰。因此，接收者僅需認(rèn)證簽名即可排除惡意消息，免除了存儲(chǔ)、更新撤銷列表的負(fù)擔(dān)，節(jié)省了車輛的存儲(chǔ)空間。此外，在該方案中，可信中心無需預(yù)存追蹤列表便可還原惡意車輛的真實(shí)身份及其所有假名身份，節(jié)省了可信中心的存儲(chǔ)和管理開銷。

3）本文方案在隨機(jī)預(yù)言機(jī)模型［23］下被證明可以抵抗來自被撤銷的惡意車輛以及被妥協(xié)的路邊單元的適應(yīng)性選擇消息偽造攻擊，是安全有效的。

1 預(yù)備知識(shí)

1.1 雙線性映射

設(shè)Gq和GT是兩個(gè)階為q的群，Gq是加法循環(huán)群，GT是乘法循環(huán)群。雙線性映射e：Gq×Gq→GT具備如下幾種性質(zhì)：

1）雙線性 ：對(duì)任意的P，Q，R∈Gq，a，b∈，有

2）非退化性：如果P，Q∈Gq，那么e(P，Q) ≠1。

3）可計(jì)算性：對(duì)任意P，Q∈Gq，存在算法能在多項(xiàng)式時(shí)間內(nèi)計(jì)算e(P，Q)。

4）對(duì)稱性：對(duì)任意P，Q∈Gq，有e(P，Q)=e(Q，P)。

1.2 基本假設(shè)

計(jì)算性Diffie-Hellman 假設(shè)（Computational Diffie-Hellman assumption，CDH assumption），其內(nèi)容為：給定一個(gè)加法循環(huán)群G和群上的生成元P，在已知P，aP，bP∈G，未知a，b∈的情況下，任何多項(xiàng)式時(shí)間內(nèi)的概率算法A求解出abP的優(yōu)勢(shì)SuccCDH=[Pr(A(P，aP，bP)=abP)](a，b∈)都是可以忽略的。

1.3 系統(tǒng)模型

如圖1 所示，本文的系統(tǒng)模型中包括3 類實(shí)體：

圖1 系統(tǒng)模型Fig.1 System model

1）車載單元（OBU）。每臺(tái)車輛擁有一個(gè)車載單元OBU，用于在車載自組網(wǎng)中收發(fā)消息。OBU 是車載自組網(wǎng)中發(fā)布和接收道路交通消息的主要實(shí)體。每個(gè)OBU 中包含一個(gè)防篡改設(shè)備，用于存儲(chǔ)車輛的身份和私鑰。防篡改設(shè)備中包含硬件安全模塊（Hardware Security Module，HSM），用于進(jìn)行密碼學(xué)相關(guān)的運(yùn)算，如計(jì)算簽名等。假設(shè)車輛所有者和攻擊者皆無法對(duì)防篡改設(shè)備中存儲(chǔ)的數(shù)據(jù)及設(shè)定的運(yùn)算流程進(jìn)行操作、修改，也無法探知存儲(chǔ)在防篡改設(shè)備中的數(shù)據(jù)［6］。

2）可信中心（TA）。TA 負(fù)責(zé)為車輛生成假名身份（Pseudonym Identity，PID）以及對(duì)應(yīng)的部分私鑰，同時(shí)具備根據(jù)假名身份追蹤惡意車輛的真實(shí)身份并撤銷惡意車輛的能力。假定TA 安全可信，并且具有充足的計(jì)算和存儲(chǔ)能力。

3）路邊單元（RSU）。系統(tǒng)中的每個(gè)RSU 負(fù)責(zé)管轄一定范圍的區(qū)域，該區(qū)域中的車輛進(jìn)行通信時(shí)，需使用由RSU 分發(fā)的成員密鑰對(duì)消息進(jìn)行簽名。車輛進(jìn)入某個(gè)RSU 的通信范圍時(shí)，該RSU 實(shí)時(shí)審核車輛身份，阻止撤銷列表中的車輛獲取成員密鑰。假設(shè)RSU 是半可信的，不排除其有被妥協(xié)的可能。

1.4 安全性需求

匿名性 消息發(fā)送者的真實(shí)身份對(duì)于系統(tǒng)中除TA 以外的其他實(shí)體而言是不可知的。

不可鏈接性 攻擊者無法根據(jù)多個(gè)來自同一發(fā)送者的消息串聯(lián)起該發(fā)送者的行車路線。

消息認(rèn)證性 接收者能確認(rèn)消息是否來源于可靠實(shí)體，如合法車輛或可信RSU 等。

消息完整性 接收者能確認(rèn)接收到的消息是否為發(fā)送者發(fā)送的未經(jīng)修改的原始消息。

不可抵賴性 若消息發(fā)送者用其私鑰為消息簽名，且該簽名能通過認(rèn)證，發(fā)送者將無法否認(rèn)該消息是由其發(fā)送的。

可追蹤性 TA 能根據(jù)假名身份追蹤出車輛的真實(shí)身份。

可撤銷性 TA 能撤銷系統(tǒng)中發(fā)送虛假消息的惡意車輛。

2 車載自組網(wǎng)中可撤銷的聚合簽名方案

本文提出的聚合簽名認(rèn)證方案分為8 個(gè)階段：系統(tǒng)初始化階段、路邊單元初始化階段、車輛注冊(cè)階段、成員密鑰獲取階段、消息簽名階段、消息認(rèn)證階段、批量認(rèn)證階段以及追蹤與撤銷階段。

2.1 系統(tǒng)初始化

在系統(tǒng)運(yùn)行前，TA 為系統(tǒng)進(jìn)行初始化。TA 擁有路邊單元信息列表和車輛的身份列表，路邊單元信息列表中存儲(chǔ)著路邊單元的身份和位置信息，車輛的身份列表中存儲(chǔ)著車輛的真實(shí)身份。此外，TA 會(huì)定期向RSU 傳送更新的撤銷列表，公布被撤銷車輛的假名身份。

1）TA 選取階為q的加法循環(huán)群Gq和乘法循環(huán)群GT，定義雙線性映射e：Gq×Gq→GT，并從群Gq上選取兩個(gè)生成元P和Q。

2）TA 選擇一個(gè)隨機(jī)數(shù)s∈作為私鑰，并計(jì)算與之對(duì)應(yīng)的公鑰PTA=sP。

3）TA 選取一個(gè)安全的對(duì)稱加密算法Encθ/Decθ和7 個(gè)安全的哈希函數(shù)：

4）TA 公開系統(tǒng)參數(shù)params={Gq，GT，q，e，P，Q，PTA，Encθ，Decθ，H0，H1，H2，H3，H4，H5，H6}，保留私鑰s。

2.2 路邊單元初始化

設(shè)系統(tǒng)中共有m個(gè)RSU。在該階段，每個(gè)RSU 選取一對(duì)公私鑰，向TA 申請(qǐng)證書以綁定其身份和公鑰，隨后在其通信范圍內(nèi)廣播獲取的證書。

1）RSUj選擇一個(gè)隨機(jī)數(shù)rj∈作為私鑰，計(jì)算與之相應(yīng)的公鑰PRSUj=rjP（j∈{1，2，…，m}）。

2）RSUj計(jì)算mskIDRj=IDRj⊕H0(rjPTA，τRT)，并將消息{mskIDRj，locRj，PRSUj，τRT}發(fā)送給TA，其中IDRj是RSUj的身份信息，locRj是RSUj的位置信息，τRT是當(dāng)前消息的時(shí)間戳。

3）TA 檢驗(yàn)消息中時(shí)間戳的新鮮性，若未失效，則根據(jù)IDRj=mskIDRj⊕H0(sPRSUj，τRT)還原出IDRj，并在路邊單元信息列表中檢索IDRj和locRj。若檢索時(shí)未發(fā)現(xiàn)匹配項(xiàng)，則終止流程，否則TA 選取隨機(jī)數(shù)wj∈，計(jì)算Wj=wjP，certRj=sH1(locRj，PRSUj，Wj，Tj)+wjmodq，其中Tj是該證書的使 用期限。

4）TA 將{certRj，Wj，Tj}返回給RSUj。

5）RSUj驗(yàn)證certRj的合法性：

若等式成立，則在其通信范圍內(nèi)廣播消息{certRj，locRj，PRSUj，Wj，Tj}。

2.3 車輛注冊(cè)

在該階段，車輛向TA 提出注冊(cè)申請(qǐng)，TA 按如下流程為車輛生成一系列假名身份以及對(duì)應(yīng)的部分私鑰。

1）OBUi選取一個(gè)隨機(jī)數(shù)di∈作為私鑰，計(jì)算與之相應(yīng)的公鑰Pi=diP。

2）OBUi計(jì)算mskIDvi=IDvi⊕H0(diPTA，τvT)，并將{mskIDvi，Pi，τvT}發(fā)送給TA，其中IDvi是車輛的身份信息，τvT是當(dāng)前消息的時(shí)間戳。

3）TA 檢驗(yàn)消息中時(shí)間戳的新鮮性，若未失效，則根據(jù)IDvi=mskIDvi⊕H0(sPi，τvT)還原出IDvi，并在其存儲(chǔ)的車輛身份列表中檢索IDvi。若檢索時(shí)未發(fā)現(xiàn)匹配項(xiàng)，則終止操作，若發(fā)現(xiàn)匹配項(xiàng)，TA 同意為該車輛生成b對(duì)假名身份及部分私鑰。TA計(jì)算，車輛的假名身份PIDi，k=IDvi⊕H2(sZi，k)，PIDi，k對(duì)應(yīng)的部分私 鑰si，k=sH3(PIDi，k，Zi，k，Ti，k，1)Q，其中Ti，k，1是si，k的使用時(shí)限。使用時(shí)限內(nèi)的假名身份可以被多次使用，但不會(huì)在相近的時(shí)段、在位置相近的RSU 的通信范圍中被重復(fù)使用。

4）TA 計(jì)算對(duì)稱加密算法Encθ的加密密鑰θi=H0(sPi，τTv)，并用該密鑰加密數(shù)據(jù)，將{Encθi({si，1，si，2，…，si，b}{PIDi，1，PIDi，2，…，PIDi，b}{Zi，1，Zi，2，…，Zi，b} {Ti，1，1，Ti，2，1，…，Ti，b，1})，τTv}返回給OBUi，其中τTv是當(dāng)前消息的時(shí)間戳。

5）OBUi檢驗(yàn)時(shí)間戳的新鮮性，若未失效，則將消息置入防篡改設(shè)備中，隨后計(jì)算對(duì)稱解密算法Decθ的解密密鑰θ′i=H0(diPTA，τTv)，用該密鑰解密消息，并驗(yàn)證獲取的假名身份與部分私鑰是否正確：

若上式成立，則將它們分別存入假名身份池與部分私鑰池；若等式不成立，則將這條消息刪除。

2.4 成員密鑰獲取

當(dāng)車輛進(jìn)入某個(gè)RSU 的通信范圍時(shí)，車輛向該RSU 提出加入群組的請(qǐng)求，RSU 按如下流程為其計(jì)算用于生成簽名的成員密鑰。

1）OBUi進(jìn)入RSUj的管轄范圍時(shí)，先獲取RSUj廣播的證書消息{certRj，locRj，PRSUj，Wj，Tj}，并對(duì)該證書進(jìn)行認(rèn)證：

若等式成立，則認(rèn)可PRSUj是當(dāng)前RSUj的公鑰。

2）OBUi從假名身份池中選取一個(gè)PIDi，k，并從部分私鑰池中取出PIDi，k對(duì)應(yīng)的部分私鑰si，k，再選取隨機(jī)數(shù)yi∈，計(jì)算Yi=yiP。最后，利用防篡改設(shè)備中的硬件安全模塊為請(qǐng)求消息計(jì)算簽名σi=H4(PIDi，k，Pi，Yi，locRj，τvR)si，k+yiQ，其中τvR是當(dāng)前請(qǐng)求的時(shí)間戳。

3）OBUi將請(qǐng)求消息{PIDi，k，Pi，Zi，k，Ti，k，1，Yi，τvR，σi}發(fā)送給RSUj。

4）RSUj檢驗(yàn)時(shí)間戳τvR的新鮮性，若未失效，則計(jì)算hi，1=H3(PIDi，k，Zi，k，Ti，k，1)，并驗(yàn)證車輛身份的合法性：

若等式成立，則RSUj用消息中的PIDi，k進(jìn)一步在TA 發(fā)布的撤銷列表中進(jìn)行檢索。若檢索時(shí)發(fā)現(xiàn)匹配項(xiàng)，說明該車輛已被撤銷，終止流程；若未檢索到匹配項(xiàng)，則RSUj同意為該車輛生成成員密鑰ski，j=rjH5(PIDi，k，Ti，j，2)Q，其中Ti，j，2是該密鑰的使用時(shí)限。

5）RSUj計(jì)算mskski，j=ski，j⊕H0(rjPi，τRv)，并將{PIDi，k，Ti，j，2，mskski，j，τRv}返回給OBUi，其中τRv是當(dāng)前消息的時(shí)間戳。

5）OBUi檢驗(yàn)消息中的時(shí)間戳τRv的新鮮性，若未失效，則將消息置入防篡改設(shè)備中，隨后通過ski，j=mskski，j⊕H0(diPRSUj，τRv)還原成員密鑰，再對(duì)其進(jìn)行檢驗(yàn)：

若等式成立，則接受該密鑰；否則，將消息刪除。

2.5 消息簽名

車輛行駛途中，OBUi通過發(fā)送簽名消息與周邊車輛及RSU 進(jìn)行實(shí)時(shí)交互，發(fā)布道路交通信息。OBUi使用防篡改設(shè)備中的硬件安全模塊進(jìn)行計(jì)算簽名等密碼學(xué)相關(guān)的運(yùn)算，該模塊能避免簽名過程被外部攻擊者干擾［6］。

1）OBUi取一個(gè)隨機(jī)數(shù)li∈，計(jì)算Li=liP，并生成消息簽名：

其中Mi是消息主體，τvB是當(dāng)前消息的時(shí)間戳。

2）OBUi向周邊車輛和RSU 廣播簽名消息msgi={sigi，PIDi，k，Zi，k，Ti，k，1，Ti，j，2，Li，Mi，τvB}。

2.6 消息認(rèn)證

接收者先檢驗(yàn)時(shí)間戳τvB的新鮮性，若未失效，則計(jì)算：

并檢驗(yàn)消息的合法性：

若等式成立，則接受該消息。

2.7 批量認(rèn)證

當(dāng)接收者同時(shí)收到來自多個(gè)發(fā)送者的共計(jì)n個(gè)消息時(shí)，可對(duì)這些消息的合法性進(jìn)行批量認(rèn)證：

若等式成立，則接收者接受這些消息；否則，接收者利用二分法，逐步篩查并剔除其中無效的簽名消息［24］。

式中的αi是小隨機(jī)數(shù)，αi∈{1，2，…，210}，i∈{1，2，…，n}。設(shè)置小隨機(jī)數(shù)是為了抵抗文獻(xiàn)［20-21］中提出的惡意車輛合謀攻擊。若無小隨機(jī)數(shù)項(xiàng)的存在，惡意車輛可以將若干個(gè)無效簽名聚合成一個(gè)有效的聚合簽名。如設(shè)OBUi與OBUg代表兩臺(tái)惡意車輛，則它們可以分別生成如下的簽名：

這兩個(gè)簽名無法通過單個(gè)簽名認(rèn)證，但相加后能消去冗余項(xiàng)Ri，因而能通過聚合簽名認(rèn)證，這將使簽名方案的不可抵賴性無法實(shí)現(xiàn)。添加小隨機(jī)數(shù)項(xiàng)后，由于為每個(gè)簽名sigi選取的αi是任意選取的，αiRi與αgRi可以相互抵消的概率小到可以忽略，因此可以有效防范惡意車輛的共謀攻擊。

2.8 追蹤與撤銷

TA 可以通過惡意消息中包含的假名身份對(duì)惡意車輛進(jìn)行追蹤和撤銷，追蹤與撤銷工作按照如下流程進(jìn)行。

1）若某個(gè)有效的簽名消息msgi被判定為虛假消息，TA將通過IDvi=PIDi，k⊕H2(sZi，k)還原出消息發(fā)送者的真實(shí)身份。

2）TA 將IDvi從車輛身份列表中刪除，并利用IDvi，計(jì)算出OBUi其余的假名身份：

隨后，TA 將假名身份{PIDi，1，PIDi，2，…，PIDi，b}加入撤銷列表revokeList。

3）TA 隨機(jī)選取ui∈，計(jì)算Ui=uiP，σre=(sH3(revokeList，Ui，τr)+ui)Q，其中τr是當(dāng)前撤銷列表的時(shí)間戳。TA 向所有RSU 傳送{revokeList，Ui，σre，τr}。

4）RSU 收到TA 傳送的撤銷列表消息后，對(duì)revokeList的合法性進(jìn)行驗(yàn)證：

若等式成立，則接受撤銷列表revokeList。

3 安全性分析

3.1 安全模型

本文方案中存在兩種類型的攻擊者A1和A2：A1代表在系統(tǒng)中注冊(cè)過，但因非法行為被撤銷的惡意車輛，這類攻擊者擁有TA 為車輛生成的部分私鑰，但不能獲取RSU 為車輛生成的成員密鑰，也不能獲取TA 的私鑰；A2代表惡意的RSU，這類攻擊者擁有特定RSU 的私鑰，可以獲取RSU 為車輛生成的成員密鑰，但不能獲取TA 為車輛生成的部分私鑰，也不能獲取TA 的私鑰。

本文方案在適應(yīng)性選擇消息偽造攻擊下的安全性可用挑戰(zhàn)者C與攻擊者A1和A2間進(jìn)行的兩個(gè)游戲來模擬。

游戲Ⅰ

初始化 挑戰(zhàn)者C運(yùn)行初始化算法，生成公開參數(shù)params，并將params發(fā)送給A1。

詢問階段

RSU 公鑰詢問A1提出RSU 公鑰詢問，C產(chǎn)生PRSUj并將其返回給A1。

H1詢問A1提出H1詢問，C產(chǎn)生hi，1并將其返回給A1。

H2詢問A1提出H2詢問，C產(chǎn)生hi，2并將其返回給A1。

H3詢問A1提出H3詢問，C產(chǎn)生hi，3并將其返回給A1。

部分私鑰詢問A1提出部分私鑰詢問，C產(chǎn)生si，k并將其返回給A1。

簽名詢問A1提出簽名詢問，C產(chǎn)生sigi并將其返回給A1。

偽造階段A1輸出對(duì)目標(biāo)的偽造簽名。若A1在未對(duì)(進(jìn)行簽名詢問的情況下，生成了有效的簽名，則認(rèn)為A1贏得了游戲。

游戲Ⅱ

初始化 挑戰(zhàn)者C運(yùn)行初始化算法，生成公開參數(shù)params，并將params發(fā)送給A2。

詢問階段

RSU 公鑰詢問A2提出RSU 公鑰詢問，C產(chǎn)生PRSUj并將其返回給A2。

H1詢問A2提出H1詢問，C產(chǎn)生hi，1并將其返回給A2。

H2詢問A2提出H2詢問，C產(chǎn)生hi，2并將其返回給A2。

H3詢問A2提出H3詢問，C產(chǎn)生hi，3并將其返回給A2。

成員密鑰詢問A2提出成員密鑰詢問，C產(chǎn)生ski，j并將其返回給A2。

簽名詢問A2提出簽名詢問，C產(chǎn)生sigi并將其返回給A2。

偽造階段A2輸出對(duì)目標(biāo)的偽造簽名。若A2在未對(duì)進(jìn)行簽名詢問的情況下，生成了有效的簽名，則認(rèn)為A2贏得了游戲。

3.2 本文方案的安全性證明

在隨機(jī)預(yù)言機(jī)模型［23］下，攻擊者A1及A2不能偽造關(guān)于特定身份和消息的有效簽名。相關(guān)證明如下。

定理1在隨機(jī)預(yù)言機(jī)模型下，本文提出的簽名認(rèn)證方案能夠抵抗來自A1的適應(yīng)性選擇消息偽造攻擊。

證明 若在隨機(jī)預(yù)言機(jī)模型下，攻擊者A1通過執(zhí)行若干次詢問，能夠在多項(xiàng)式時(shí)間內(nèi)，以不可忽略的優(yōu)勢(shì)ε偽造一個(gè)合法的簽名，則挑戰(zhàn)者C可以利用A1，在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率ε′解決CDH 困難問題。

挑戰(zhàn)者C擁有一個(gè)建立在群Gq上的CDH 問題的實(shí)例(P，aP，bP)，其中P是從Gq中選取的一個(gè)生成元，a，b∈是兩個(gè)隨機(jī)數(shù)。設(shè)C可以建立某個(gè)多項(xiàng)式時(shí)間內(nèi)的概率算法，通過調(diào)用A1作為子程序，輸出該CDH 實(shí)例的解abP。

游戲I 挑戰(zhàn)者C執(zhí)行系統(tǒng)初始化算法，令Q=bP，設(shè)置TA 的私鑰s∈，計(jì)算TA 的公鑰PTA=sP，并將公共參數(shù)params={Gq，GT，q，e，P，Q，PTA，Encθ/Decθ，H0，H1，H2，H3，H4，H5，H6}發(fā)送給攻擊者A1。

挑戰(zhàn)者C維護(hù)5 個(gè)初始為空的列表LH1、LH2、LH3、Lsi，k、Lsig，它們分別存儲(chǔ)著C對(duì)H1詢問、H2詢問、H3詢問、部分私鑰詢問以及簽名詢問的響應(yīng)記錄。

A1自適應(yīng)地向C發(fā)起如下詢問：

RSU 公鑰詢問A1輸入locRj進(jìn)行詢問，C設(shè)置RSUj的公鑰PRSUj=aP，并將PRSUj返回給A1。

H1詢問A1輸入PIDi，k進(jìn)行詢問，C檢索列表LH1，若此時(shí)列表中存在(PIDi，k，hi，1)，則將hi，1返回給A1；否則，C選擇隨機(jī) 數(shù)hi，1∈，將元組(PIDi，k，hi，1)加入LH1，并將hi，1返回給A1。

H2詢問A1輸入(PIDi，k，Ti，j，2)進(jìn)行詢問，C檢索列表LH2，

1）若P若此時(shí)列表中存在(PIDi，k，Ti，j，2，hi，2)，則將hi，2返回給A1；否則，C選擇隨機(jī)數(shù)hi，2∈，將元組(PIDi，k，Ti，j，2，hi，2)加入LH2，并將hi，2返回給A1。

H3詢問A1輸入(PIDi，k，Mi)進(jìn)行詢問，C檢索列表LH3，若此時(shí)列表中存在(PIDi，k，Mi，li，hi，3)，則將hi，3返回給A1；否則，C選擇兩個(gè)隨機(jī) 數(shù)hi，3∈，li∈，并將元組(PIDi，k，Mi，li，hi，3)加入LH3，將hi，3返回給A1。

部分私鑰詢問A1輸入PIDi，k進(jìn)行詢問，C檢索列表Lsi，k，若此時(shí)列表中存在(PIDi，k，si，k)，則將si，k返回給A1；否則，C檢索列表LH1，若此時(shí)列表中不存在(PIDi，k，hi，1)，則執(zhí)行關(guān)于PIDi，k的H1詢問。C利用從列表LH1中取得的hi，1，計(jì)算si，k=shi，1Q，并將元組(PIDi，k，si，k)加入Lsi，k，將si，k返回給A1。

簽名詢問A1輸入(PIDi，k，Mi)進(jìn)行詢問。，C終止模擬。

該簽名是合法的，因?yàn)椋?/p>

C將元組(PIDi，k，Li，Mi，sigi)加入Lsig，將sigi和Li返回給A1。

計(jì)算出CDH 困難問題的解：

接下來，計(jì)算挑戰(zhàn)者C通過調(diào)用A1成功解決CDH 困難問題的概率ε′。如果以下條件成立，C將成功解決CDH 困難問題。

條件1 在運(yùn)行游戲Ⅰ期間，挑戰(zhàn)者C未曾終止游戲。

條件2 攻擊者A1能夠輸出一個(gè)合法的偽造簽名。

設(shè)詢問階段A1執(zhí)行簽名詢問的次數(shù)最多為qsq次，且A1能查詢的身份池中有n1個(gè)車輛身份，滿足條件1 的概率為sq。又由最初的假設(shè)可知，A1能夠輸出一個(gè)合法的偽造簽名的概率Pr(cond2)≥ε，因此C借助A1成功解決CDH 困難問題的概 率ε′=Pr(cond1)×。由于ε是一個(gè)不可忽略的概率，因此挑戰(zhàn)者C成功解決CDH 困難問題的概率ε′也是不可忽略的，這與CDH 問題是一個(gè)難以求解的困難問題的假設(shè)相違背。由此證明，攻擊者A1無法偽造關(guān)于的合法簽名。 證畢。

定理2在隨機(jī)預(yù)言機(jī)模型下，本文提出的簽名認(rèn)證方案能夠抵抗來自A2的適應(yīng)性選擇消息偽造攻擊。

證明 若在隨機(jī)預(yù)言機(jī)模型下，攻擊者A2通過執(zhí)行若干次詢問，能夠在多項(xiàng)式時(shí)間內(nèi)，以不可忽略的優(yōu)勢(shì)ε偽造一個(gè)合法的簽名，則挑戰(zhàn)者C可以利用A2，以不可忽略的概率ε′解決CDH 困難問題。

挑戰(zhàn)者C擁有一個(gè)建立在群Gq上的CDH 問題的實(shí)例(P，aP，bP)，其中P是從Gq中選取的一個(gè)生成元，a，b∈是兩個(gè)隨機(jī)數(shù)。設(shè)C可以建立某個(gè)多項(xiàng)式時(shí)間內(nèi)的概率算法，通過調(diào)用A2作為子程序，輸出該CDH 實(shí)例的解abP。

游戲Ⅱ 挑戰(zhàn)者C執(zhí)行系統(tǒng)初始化算法，令Q=bP，設(shè)置 TA 的公鑰PTA=aP。C將公共參數(shù)params={Gq，GT，q，e，P，Q，PTA，Encθ/Decθ，H0，H1，H2，H3，H4，H5，H6} 發(fā)送給攻擊者A2。

挑戰(zhàn)者C維護(hù) 6 個(gè)初始為空的列表LH1、LH2、LH3、Lski，j、Lsig、LPRSU，它們分別存儲(chǔ)著C對(duì)H1詢問、H2詢問、H3詢問、成員密鑰詢問、簽名詢問以及RSU 公鑰詢問的響應(yīng)記錄。

A2自適應(yīng)地向C發(fā)起如下詢問：

RSU 公鑰詢問A2輸入locRj進(jìn)行詢問，C檢索列表LPRSU，若此時(shí)列表中存在，則將PRSUj返回給A2；否則，C選擇隨機(jī)數(shù)rj∈，計(jì)算PRSUj=rjP，將元組()locRj，PRSUj加入LPRSU，并將PRSUj返回給A2。

H1詢問A2輸入PIDi，k進(jìn)行詢問，C檢索列表LH1，若此時(shí)列表中存在，則將hi，1返回給A2；否則，C選擇隨機(jī) 數(shù)hi，1∈，將元組(PIDi，k，hi，1)加入LH1，并將hi，1返回給A2。

H2詢問A2輸入(PIDi，k，Ti，j，2)進(jìn)行詢問，C檢索列表LH2，若此時(shí)列表中存在(PIDi，k，Ti，j，2，hi，2)，則將hi，2返回給A2；否則，C選擇隨機(jī)數(shù)hi，2∈，將元組(PIDi，k，Ti，j，2，hi，2)加入LH2，并將hi，2返回給A2。

H3詢問A2輸入(PIDi，k，Mi)進(jìn)行詢問，C檢索列表LH3，若此時(shí)列表中存在(PIDi，k，Mi，li，hi，3)，則將hi，3返回給A2；否則，C選擇兩個(gè)隨機(jī) 數(shù)hi，3∈，li∈，并將元組(PIDi，k，Mi，li，hi，3)加入LH3，將hi，3返回給A2。

成員密鑰詢問A2輸入(PIDi，k，Ti，j，2)進(jìn)行詢問，C檢索列表Lski，j，若此時(shí)列表中存在(PIDi，k，Ti，j，2，ski，j)，則將ski，j返回給A2；否則，C查找列表LH2，若此時(shí)列表中不存在(PIDi，k，Ti，j，2，hi，2)，則執(zhí)行關(guān)于PIDi，k的H2詢問。C利用從列表LH2中取得的hi，2，計(jì)算ski，j=rjhi，2Q，將元組(PIDi，k，Ti，j，2，ski，j)加入Lski，j，將ski，j返回給A2。

簽名詢問A2輸入(PIDi，k，Mi)進(jìn)行詢問。

該簽名是合法的，因?yàn)椋?/p>

C將元組(PIDi，k，Li，Mi，sigi)加入Lsig，將sigi和Li返回給A2。

計(jì)算出CDH 困難問題的解：

接下來，計(jì)算挑戰(zhàn)者C通過調(diào)用A2，成功解決CDH 困難問題的概率ε′。如果以下條件成立，C將成功解決CDH 困難問題：

條件1 在運(yùn)行游戲Ⅱ期間，挑戰(zhàn)者C未曾終止游戲。

條件2 攻擊者A2能夠輸出一個(gè)合法的偽造簽名。

設(shè)詢問階段A2執(zhí)行簽名詢問的次數(shù)最多為qsq次，且A2能查詢的身份池有n2個(gè)車輛身份，滿足條件1 的概率為。又由最初的假設(shè)可知，A2能夠輸出一個(gè)合法的偽造簽名的概率Pr(cond2)≥ε，因此C借助A2成功解決CDH 困難問題的概 率ε′=Pr(cond1)×。由于ε是一個(gè)不可忽略的概率，因此挑戰(zhàn)者C成功解決CDH 困難問題的概率ε′也是不可忽略的，這與CDH 問題是一個(gè)難以求解的困難問題的假設(shè)相違背，由此證明，攻擊者A2無法偽造關(guān)于的合法簽名。 證畢。

3.3 安全需求的達(dá)成情況分析

匿名性 由于消息發(fā)送者使用假名身份發(fā)送消息，除TA 以外，系統(tǒng)中其他實(shí)體都無法根據(jù)假名身份還原出車輛的真實(shí)身份，因此車輛的匿名性能夠得到保障。

不可鏈接性 當(dāng)車輛離開上一個(gè)RSU 的管轄范圍，加入下一個(gè)RSU 所在的群組時(shí)，它將選取一個(gè)與前次不同的假名身份發(fā)送給RSU 進(jìn)行注冊(cè)。由于車輛在位置相近的若干RSU 中注冊(cè)時(shí)使用的假名身份是不同的，因此，攻擊者無法根據(jù)同一發(fā)送者發(fā)送的多個(gè)消息串聯(lián)起發(fā)送者的行駛路線。

消息認(rèn)證性 由于攻擊者無法偽造一個(gè)合法的消息簽名，使該消息通過接收者的認(rèn)證，因此消息的認(rèn)證性能夠得到保障。該性質(zhì)的詳細(xì)證明過程見3.2 節(jié)。

消息完整性 若發(fā)送者發(fā)送的原始消息被更改，消息簽名也應(yīng)作出變化，否則將不能通過認(rèn)證。由于攻擊者不能偽造有效的消息簽名，因此無法篡改消息。

不可抵賴性 本文方案的認(rèn)證算法包含了小隨機(jī)數(shù)，因而能避免多個(gè)惡意車輛合謀，將若干無效的簽名聚合成一個(gè)有效簽名的情況發(fā)生，保障了簽名的不可抵賴性。

可追蹤性 TA 能夠根據(jù)假名身份計(jì)算出發(fā)送者的真實(shí)身份。計(jì)算方式如下IDvi=PIDi，k⊕H2(sZi，k)。

可撤銷性 RSU 根據(jù)TA 提供的撤銷列表審查加入該RSU 的車輛身份的合法性，拒絕為被撤銷的車輛發(fā)放用于生成消息簽名的成員密鑰，被撤銷的車輛后續(xù)將不能生成合法的消息簽名，由此實(shí)現(xiàn)了對(duì)惡意車輛的撤銷。

4 性能分析

將本文提出的方案與文獻(xiàn)［11，14，16-18］方案就安全性能、計(jì)算開銷和通信開銷三方面進(jìn)行對(duì)比，以衡量本文方案的性能。文獻(xiàn)［11，14，16］是基于雙線性映射的簽名方案；文獻(xiàn)［17-18］是基于橢圓曲線的簽名方案。通過仿真實(shí)驗(yàn)分析了在不同車流量狀況下上述各方案的性能表現(xiàn)。仿真結(jié)果表明，在多數(shù)狀況下，本文方案的批量認(rèn)證開銷均低于其他方案，因而本文方案適用于資源受限的車載自組網(wǎng)環(huán)境。

對(duì)基于雙線性映射的簽名方案，為達(dá)到80 b 的安全等級(jí)［4］，選取兩個(gè)群元素為512 b（64 B），階為160 b（20 B）的循環(huán)群Gq和GT，定義雙線性映射e：Gq×Gq→GT。對(duì)基于橢圓曲線的簽名方案，為達(dá)到80 b 的安全等級(jí)［4］，選取一個(gè)構(gòu)建在橢圓曲線E：y2=x3+ax+b(a，b∈)模p的有限域上的循環(huán)群G，群元素和群的階p皆為160 b（20 B）。

4.1 安全性能分析

將本文方案與文獻(xiàn)［11，14，16-18］提出的方案就各項(xiàng)安全性能的實(shí)現(xiàn)情況進(jìn)行對(duì)比，對(duì)比結(jié)果如表1 所示。由表1可見，本文方案滿足各項(xiàng)安全性能的需求。需要說明的是，雖然文獻(xiàn)［18］方案聲稱能實(shí)現(xiàn)可追蹤性和可撤銷性，但消息中包含的車輛假名是由車輛自身生成的，未經(jīng)過權(quán)威機(jī)構(gòu)的檢驗(yàn)和認(rèn)證，惡意車輛可以捏造不合法的假名以逃避追蹤，故無法實(shí)現(xiàn)以上兩項(xiàng)安全屬性。

表1 各方案的安全性能對(duì)比Tab.1 Security performance comparison of different schemes

4.2 計(jì)算開銷分析

為表示各類基本運(yùn)算的時(shí)間開銷，現(xiàn)將符號(hào)約定如下：Tp表示在群Gq上執(zhí)行一次雙線性對(duì)運(yùn)算所需的時(shí)間；Tbp?sm表示在群Gq上執(zhí)行一次標(biāo)量乘運(yùn)算所需的時(shí)間；Tbp?sm?s表示在群Gq上執(zhí)行一次小規(guī)模的標(biāo)量乘運(yùn)算所需的時(shí)間；Tbp?pa表示在群Gq上執(zhí)行一次點(diǎn)加運(yùn)算所需的時(shí)間；Tecc?sm表示在群G上執(zhí)行一次標(biāo)量乘運(yùn)算所需的時(shí)間；Tecc?sm?s表示在群G上執(zhí)行一次小規(guī)模的標(biāo)量乘運(yùn)算所需的時(shí)間；Tecc?pa表示在群G上執(zhí)行一次點(diǎn)加運(yùn)算所需的時(shí)間；；Thmtp表示執(zhí)行一次映射到點(diǎn)的哈希運(yùn)算所需的時(shí)間。

根據(jù)文獻(xiàn)［4］中提供的實(shí)驗(yàn)統(tǒng)計(jì)結(jié)果，各類運(yùn)算的平均執(zhí)行時(shí)間如表2 所示。由于執(zhí)行一次常規(guī)哈希運(yùn)算的開銷與其他基本運(yùn)算的計(jì)算開銷相比十分微小，可以忽略這一項(xiàng)。

表2 各類基本運(yùn)算的執(zhí)行時(shí)間 單位：msTab.2 Execution time of different operations unit：ms

表3 展示了文獻(xiàn)［11，14，16-18］方案與本文方案在簽名開銷和認(rèn)證開銷方面的理論耗時(shí)對(duì)比。由表3 中統(tǒng)計(jì)的對(duì)比結(jié)果可知，本文方案在單個(gè)簽名的簽名和認(rèn)證開銷上高于文獻(xiàn)［14，17-18］方案，與文獻(xiàn)［16］方案持平，低于文獻(xiàn)［11］方案。本文方案的主要優(yōu)勢(shì)體現(xiàn)在批量認(rèn)證開銷方面。隨著消息數(shù)n的增大，本文方案中令計(jì)算開銷發(fā)生線性增長(zhǎng)的n的系數(shù)相較其他方案更低，消息數(shù)增多時(shí)，批量認(rèn)證開銷能維持在較低的水準(zhǔn)，不會(huì)隨消息數(shù)的增多而顯著增長(zhǎng)。

表3 各方案的計(jì)算開銷對(duì)比 單位：msTab.3 Computational cost comparison of different schemes unit：ms

圖2 顯示了當(dāng)包含的消息數(shù)逐漸增多時(shí)，上述各方案的批量認(rèn)證開銷對(duì)比情況。

圖2 各方案批量認(rèn)證開銷對(duì)比Fig.2 Comparison of batch verification overhead among different schemes

由圖2 可見，當(dāng)包含的消息數(shù)較多時(shí)，本文方案的認(rèn)證開銷遠(yuǎn)小于其他各方案。當(dāng)批量認(rèn)證時(shí)包含的簽名消息數(shù)為500 條時(shí)，本文方案中批量認(rèn)證開銷是125.84 ms。文獻(xiàn)［18］方案的批量認(rèn)證開銷僅次于本文方案，為223.88 ms；相較該方案，本文方案減少了43.79%的認(rèn)證開銷。因此，本文方案更適宜需要快速認(rèn)證大量消息的車載自組網(wǎng)環(huán)境。

4.3 通信開銷分析

參照文獻(xiàn)［4］，為達(dá)到80 b 的安全等級(jí)，設(shè)計(jì)基于雙線性映射的方案時(shí)，群Gq中的元素為512 b（64 B），設(shè)計(jì)基于橢圓曲線的方案時(shí)，群G中的元素為160 b（20 B）。各類方案中的時(shí)間戳均為32 b（4 B）。

在文獻(xiàn)［16］方案中，車輛發(fā)送的簽名消息為{OIDi，Si，Mi，Ti}，其中Si是群元素對(duì)，OIDi是有限域上的元素，Ti是時(shí)間戳，因而簽名消息的通信開銷為：

在文獻(xiàn)［17］方案中，車輛發(fā)送的簽名消息為{PIDi，P1，P2，i，M，L，T，v，time}，其中P1、P2，i、L是群元素對(duì)，PIDi、v是有限域上的元素，T、time是時(shí)間戳，因而簽名消息的通信開銷為：

在文獻(xiàn)［18］方案中，車輛發(fā)送的簽名消息為{M，U，Q，PIDi，T，δ}，其中U、Q是群元素對(duì)，PIDi、δ是有限域上的元素，T是時(shí)間戳，因而簽名消息的通信開銷為：

在本文方案中，車輛發(fā)送的簽名消息為{sigi，PIDi，k，Zi，k，Ti，k，1，Ti，j，2，Li，Mi，τvB}，其中Zi，k、Li是群元素對(duì)，sigi、PIDi，k是有限域上的元素，Ti，k，1、Ti，j，2、τvB是時(shí)間戳，因而簽名消息的通信開銷為：

上述方案的通信開銷對(duì)比情況如圖3 所示。

圖3 各方案通信開銷對(duì)比Fig.3 Comparison of communication cost among different schemes

由圖3 可見，本文方案的通信開銷高于文獻(xiàn)［16-18］方案，低于文獻(xiàn)［11，14］方案。與基于雙線性映射的同類簽名方案［11，14，16］相比，僅高于文獻(xiàn)［16］方案，但文獻(xiàn)［16］方案中，車輛使用唯一的假名身份重復(fù)發(fā)送消息，因此無法實(shí)現(xiàn)不可鏈接性。對(duì)比結(jié)果表明，本文方案與基于雙線性映射的同類簽名方案相比具有適中的通信開銷，同時(shí)實(shí)現(xiàn)了更為全面的安全性能保障，適宜用于實(shí)現(xiàn)車載自組網(wǎng)中的消息認(rèn)證。

4.4 各方案認(rèn)證效率的仿真分析

本文使用Matlab R2014a 編寫程序進(jìn)行道路交通仿真，借助仿真實(shí)驗(yàn)，分析車流量的變化在認(rèn)證開銷方面對(duì)本文方案和文獻(xiàn)［11，14，16-18］方案造成的影響。實(shí)驗(yàn)設(shè)置的仿真區(qū)域是一個(gè)道路為雙向四車道的十字交叉口，其中每條車道長(zhǎng)900 m，整個(gè)區(qū)域中共包含16 條車道。假設(shè)該區(qū)域內(nèi)的車輛以每分鐘3 條的頻率發(fā)送消息，以5 s 為間隔對(duì)接收到的消息簽名進(jìn)行批量認(rèn)證。仿真程序分別模擬計(jì)算了當(dāng)各進(jìn)口道中的輸入車流量為每小時(shí)300、400、500、600 輛時(shí)，區(qū)域內(nèi)的車輛按照上述文獻(xiàn)中的方案執(zhí)行批量認(rèn)證分別耗費(fèi)的平均時(shí)間，并將結(jié)果進(jìn)行對(duì)比。對(duì)比結(jié)果如圖4 所示。

圖4 不同車流量情況下的認(rèn)證開銷對(duì)比Fig.4 Comparison of batch verification overhead under varied traffic volumes

由圖4 可見，當(dāng)進(jìn)口道的輸入車流量為每小時(shí)400、500、600 輛時(shí)，本文方案的認(rèn)證開銷都是最低的。當(dāng)輸入車流量為每小時(shí)600 輛時(shí)，本文方案的平均認(rèn)證時(shí)間為49.92 ms，是對(duì)比方案中用時(shí)最少的。認(rèn)證效率僅次于本文方案的是文獻(xiàn)［18］方案，認(rèn)證時(shí)間為75.37 ms；相較于該方案，本文方案節(jié)省了33.77%的時(shí)間開銷。由于本文方案具有較低的認(rèn)證開銷，因此，該方案適用于資源受限的車載自組網(wǎng)環(huán)境。

5 結(jié)語

針對(duì)目前車載自組網(wǎng)中存在的通信安全和隱私保護(hù)方面的問題，本文提出了一種車載自組網(wǎng)中可撤銷的聚合簽名認(rèn)證方案。該方案借助防篡改設(shè)備和聚合簽名技術(shù)，提高了認(rèn)證效率。此外，RSU 對(duì)車輛身份進(jìn)行實(shí)時(shí)審查，阻止撤銷列表中的車輛獲取成員密鑰、生成合法簽名，因此消息接收者無需檢索撤銷列表來排除惡意消息，更高效地實(shí)現(xiàn)了對(duì)系統(tǒng)中惡意車輛的撤銷。該方案在隨機(jī)預(yù)言機(jī)模型下被證明可以抵抗來自被撤銷的惡意車輛和被妥協(xié)的RSU 的適應(yīng)性選擇消息偽造攻擊。性能分析的結(jié)果表明，本文方案的認(rèn)證開銷較小，適用于資源受限的車載自組網(wǎng)環(huán)境。

未來工作中，將進(jìn)一步研究車載自組網(wǎng)的通信安全問題，將簽名與加密結(jié)合，在保障消息認(rèn)證性的同時(shí)，保障數(shù)據(jù)機(jī)密性。