車(chē)載自組網(wǎng)無(wú)證書(shū)條件隱私保護(hù)認(rèn)證方案

徐貴雙，殷新春，3*

車(chē)載自組網(wǎng)無(wú)證書(shū)條件隱私保護(hù)認(rèn)證方案

徐貴雙1，2，殷新春1，2，3*

（1.揚(yáng)州大學(xué) 信息工程學(xué)院，江蘇 揚(yáng)州 225127； 2.廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室（中山大學(xué)），廣州 510006； 3.揚(yáng)州大學(xué)廣陵學(xué)院，江蘇 揚(yáng)州 225128）（ ? 通信作者電子郵箱xcyin@yzu.edu.cn）

車(chē)載自組網(wǎng)（VANET）在共享交通數(shù)據(jù)、提升行車(chē)效率、減少交通事故等方面具有明顯優(yōu)勢(shì)，對(duì)智能交通系統(tǒng)的構(gòu)建至關(guān)重要。與此同時(shí)，車(chē)與車(chē)之間、車(chē)與基礎(chǔ)設(shè)施之間的安全通信，車(chē)輛的隱私保護(hù)（如身份隱私、位置隱私），交通消息的高效認(rèn)證等問(wèn)題亟待解決。為了實(shí)現(xiàn)安全性和效率的平衡，首先，分析并證明最近提出的方案——條件隱私保護(hù)無(wú)證書(shū)聚合簽名方案（CPP-CLAS）不能抵抗公鑰替換攻擊；其次，在此基礎(chǔ)上提出一種新型VANET無(wú)證書(shū)條件隱私保護(hù)認(rèn)證方案，方案中的車(chē)輛在申請(qǐng)部分私鑰時(shí)不依賴安全信道，并采用聚合認(rèn)證和批量認(rèn)證技術(shù)批量驗(yàn)證簽名；最后，在隨機(jī)預(yù)言機(jī)模型下證明了所提方案具有不可偽造性。性能分析表明，與同類(lèi)型方案相比，所提方案在沒(méi)有增加驗(yàn)證開(kāi)銷(xiāo)的基礎(chǔ)上，將簽名階段的計(jì)算效率至少提升了66.76%，通信帶寬需求至少降低了16.67%，驗(yàn)證了該方案更加適用于資源受限的VANET。

車(chē)載自組網(wǎng)；消息認(rèn)證；條件隱私保護(hù)；安全信道；可證明安全

0 引言

車(chē)載自組網(wǎng)（Vehicular Ad-hoc NETwork， VANET）對(duì)構(gòu)建智能交通系統(tǒng)至關(guān)重要，如交通數(shù)據(jù)共享、保障車(chē)輛出行安全、提升出行效率等，促使現(xiàn)代汽車(chē)朝著電子化、網(wǎng)絡(luò)化和集成化的方向快速發(fā)展。VANET中配備著先進(jìn)的車(chē)載傳感器，通過(guò)與現(xiàn)代移動(dòng)通信技術(shù)相結(jié)合，可以實(shí)現(xiàn)車(chē)輛與人、車(chē)輛與車(chē)輛（Vehicle-to-Vehicle， V2V）、車(chē)輛與基礎(chǔ)設(shè)施（Vehicle-to-Infrastructure， V2I）、車(chē)輛與云服務(wù)平臺(tái)的實(shí)時(shí)通信。其中，V2V和V2I通信均依賴于基于蜂窩網(wǎng)絡(luò)的車(chē)用無(wú)線通信技術(shù)（Cellular Vehicle-to-Everything， C-V2X）［1］，通過(guò)車(chē)載單元（On Board Unit， OBU）和C-V2X，車(chē)輛可以廣播實(shí)時(shí)交通信息（如車(chē)輛當(dāng)前位置、車(chē)速、擁堵?tīng)顟B(tài)、交通事故等）給其他車(chē)輛和路邊單元（Road Side Unit， RSU）。交通控制中心收集、處理、集成這些信息，可以為車(chē)輛提供實(shí)時(shí)交通信息服務(wù)，以便改善交通狀況和減少安全事故的發(fā)生［2-3］。

然而，數(shù)據(jù)安全和隱私保護(hù)成了限制VANET發(fā)展的重要因素。由于VANET架構(gòu)建立在開(kāi)放的無(wú)線網(wǎng)絡(luò)信道基礎(chǔ)上，攻擊者可以利用各類(lèi)無(wú)線網(wǎng)絡(luò)通信試圖攔截、嗅探、篡改或重放交通消息，或者將攻擊指令注入車(chē)輛，直接影響車(chē)輛的行駛狀態(tài)或控制車(chē)輛，嚴(yán)重威脅著駕乘人員的生命和財(cái)產(chǎn)安全。此外，車(chē)輛與其他車(chē)輛或RSU通信時(shí)，身份信息將直接暴露在公共信道中［4］，攻擊者可以很容易地收集和分析這些隱私數(shù)據(jù)，然后獲得目標(biāo)車(chē)輛的歷史路徑，這嚴(yán)重侵犯了用戶的個(gè)人隱私。因此，匿名性對(duì)于VANET至關(guān)重要。同時(shí)，為避免惡意車(chē)輛在交通事故后因傳播虛假信息而逃避責(zé)任，可信授權(quán)機(jī)構(gòu)（Trusted Authority， TA）要能夠追溯到惡意車(chē)輛的真實(shí)身份。簡(jiǎn)而言之，VANET需要得到條件隱私保護(hù)認(rèn)證方案的支持。

另一方面，VANET有著嚴(yán)格的低通信延遲和高可靠性需求，而OBU和RSU的計(jì)算、存儲(chǔ)能力卻相當(dāng)小，無(wú)法同時(shí)滿足V2V和V2I的消息高效認(rèn)證。因此，VANET必須得到安全性足夠高的輕量級(jí)方案支持，以最小的成本實(shí)現(xiàn)高效安全通信［5-6］。

最近，文獻(xiàn)［7］中提出了一種條件隱私保護(hù)無(wú)證書(shū)聚合簽名方案（Conditional Privacy-Preserving Certificateless Aggregate Signature Scheme， CPP-CLAS）應(yīng)用于VANET，并聲稱該方案對(duì)自適應(yīng)選擇消息攻擊具有不可偽造性。然而，本文通過(guò)形式化分析，發(fā)現(xiàn)CPP-CLAS無(wú)法抵抗簽名偽造攻擊。在此基礎(chǔ)上，本文提出了一種新型可證明安全的無(wú)證書(shū)條件隱私保護(hù)認(rèn)證方案，該方案沒(méi)有使用昂貴的雙線性配對(duì)和映射到點(diǎn)的哈希函數(shù)操作，而是使用橢圓曲線密碼系統(tǒng)和普通哈希函數(shù)，大幅降低了方案的計(jì)算和通信成本。本文主要工作如下：

1）證明CPP-CLAS不能抵抗公鑰替換攻擊，惡意的車(chē)輛通過(guò)替換合法車(chē)輛的公鑰，可以成功偽造任意消息的有效簽名。本文分析了該方案存在缺陷的原因，并給出了具體的攻擊過(guò)程。

2）提出一種新型可證明安全的無(wú)證書(shū)條件隱私保護(hù)認(rèn)證方案，并在隨機(jī)預(yù)言機(jī)模型下證明了該方案在橢圓曲線離散對(duì)數(shù)問(wèn)題（Elliptic Curve Discrete Logarithm Problem， ECDLP）下是安全的，且滿足條件隱私保護(hù)需求。

3）本文方案中，車(chē)輛在申請(qǐng)部分私鑰時(shí)不依賴安全信道，增強(qiáng)了方案的魯棒性；此外，采用聚合認(rèn)證和批量認(rèn)證技術(shù)，使接收方車(chē)輛或RSU可以批量驗(yàn)證消息，提高了驗(yàn)證效率。

4）對(duì)本文方案進(jìn)行了性能和安全性分析，結(jié)果表明，它在計(jì)算和通信開(kāi)銷(xiāo)上優(yōu)于文獻(xiàn)［8-10］中的方案，與文獻(xiàn)［7-10］中的方案相比具備更好的安全性。

1 相關(guān)工作

為了解決VANET中的通信安全和隱私保護(hù)問(wèn)題，學(xué)者們提出了大量基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）的條件隱私保護(hù)認(rèn)證方案［11-15］。在PKI中，證書(shū)管理機(jī)構(gòu)（Certificate Authority， CA）為車(chē)輛頒發(fā)數(shù)字證書(shū)以確認(rèn)車(chē)輛公鑰的有效性，但隨著車(chē)輛數(shù)量的增加，證書(shū)的生成、存儲(chǔ)、分發(fā)和撤銷(xiāo)等管理變得極為困難。此外，RSU在使用車(chē)輛公鑰驗(yàn)證簽名有效性之前，需要檢測(cè)該公鑰對(duì)應(yīng)數(shù)字證書(shū)的有效性，給RSU帶來(lái)了很高的計(jì)算代價(jià)。因此，數(shù)字證書(shū)的使用大大增加了方案的存儲(chǔ)、計(jì)算、通信開(kāi)銷(xiāo)。

為了解決PKI的證書(shū)管理問(wèn)題，基于群簽名的條件隱私保護(hù)認(rèn)證方案被廣泛應(yīng)用于VANET［16-20］。由于群簽名允許任何群成員代表群簽署消息而無(wú)須透露他的真實(shí)身份，因此群簽名常被用于實(shí)現(xiàn)VANET中的車(chē)輛匿名身份驗(yàn)證。然而，群簽名方案有個(gè)很大的缺點(diǎn)，即證書(shū)撤銷(xiāo)列表的檢查、存儲(chǔ)、更新等會(huì)導(dǎo)致群簽名方案在存儲(chǔ)、傳輸、驗(yàn)證過(guò)程中的開(kāi)銷(xiāo)有時(shí)甚至高于傳統(tǒng)PKI方案，方案性能因此受限。

為了避免基于PKI的方案中復(fù)雜的證書(shū)管理，并降低群簽名方案中的驗(yàn)證開(kāi)銷(xiāo)，學(xué)者們提出了基于身份的條件隱私保護(hù)批量認(rèn)證方案［21-24］。在這些方案中，車(chē)輛的公鑰由車(chē)主的公共身份信息（如電話號(hào)碼、郵件地址等）組成，私鑰由私鑰生成器（Private Key Generator， PKG）生成。因此，一旦PKG妥協(xié)，攻擊者將獲得所有車(chē)輛的私鑰，可以解密任何車(chē)輛加密的消息或偽造簽名。

為了解決基于身份的條件隱私保護(hù)認(rèn)證方案中的密鑰托管問(wèn)題，基于無(wú)證書(shū)的條件隱私保護(hù)認(rèn)證方案以其獨(dú)特的優(yōu)勢(shì)得到廣泛應(yīng)用［8-10，25-31］。密鑰生成中心（Key Generation Center， KGC）取代了基于身份的方案中的PKG，為用戶分發(fā)部分私鑰，而另一部分私鑰由用戶自己生成并秘密保存，以解決密鑰托管問(wèn)題。2015年，文獻(xiàn)［8］中提出了一種具有條件隱私保護(hù)的無(wú)證書(shū)聚合簽名方案，可以實(shí)現(xiàn)車(chē)輛身份的匿名性和不可鏈接性。然而，文獻(xiàn)［25］中指出它不能抵抗惡意但被動(dòng)的KGC攻擊，且該方案使用了昂貴的雙線性配對(duì)運(yùn)算，計(jì)算代價(jià)較高。2018年，文獻(xiàn)［26］中提出了一種無(wú)證書(shū)聚合簽名方案，方案基于橢圓曲線密碼體系（Elliptic Curve Cryptography， ECC），性能表現(xiàn)較優(yōu)，但該方案同樣被證明不安全［10］。不久以后，文獻(xiàn)［10］中提出了一種無(wú)雙線性配對(duì)的無(wú)證書(shū)聚合簽名方案，方案不僅滿足VANET的通信安全和隱私保護(hù)需求，還實(shí)現(xiàn)了批認(rèn)證和節(jié)點(diǎn)自治性（節(jié)點(diǎn)獨(dú)立生成假名）；但是仍然無(wú)法滿足VANET實(shí)際應(yīng)用的安全需求，惡意的KGC可以在不擁有車(chē)輛秘密值的條件下偽造任意消息的有效簽名［27］。2019年，文獻(xiàn)［9］中提出了適用于VANET的全聚合隱私保護(hù)認(rèn)證方案，方案使用防篡改設(shè)備預(yù)先存儲(chǔ)一批假名和對(duì)應(yīng)的部分私鑰，并在網(wǎng)絡(luò)空閑時(shí)更新，實(shí)現(xiàn)了車(chē)輛路徑的不可鏈接性，但是該方案被指出不能抵抗簽名偽造攻擊［28-29］。同一年，文獻(xiàn)［30］中針對(duì)VANET分別提出了無(wú)證書(shū)簽名和無(wú)證書(shū)聚合簽名方案，并在隨機(jī)預(yù)言模型下證明了方案的安全性；然而，該方案先后被文獻(xiàn)［31］和文獻(xiàn)［29］的研究指出無(wú)法抵抗公鑰替換攻擊和惡意但被動(dòng)的KGC攻擊。2021年，文獻(xiàn)［32］中針對(duì)VANET中的V2V通信提出了一種可證明安全的條件隱私保護(hù)認(rèn)證方案，該方案支持簽名的批量認(rèn)證，計(jì)算效率比現(xiàn)有的許多方案都要高；然而，該方案還是無(wú)法滿足它聲稱的安全性，惡意的車(chē)輛和KGC均可偽造有效的簽名［33］。

CPP-CLAS實(shí)現(xiàn)了VANET的V2V和V2I安全通信，并考慮車(chē)輛隱私保護(hù)（身份、位置），車(chē)輛高速移動(dòng)性，網(wǎng)絡(luò)密度可變以及帶寬限制等特性，基于ECDLP假設(shè)，證明它在自適應(yīng)選擇消息下具有不可偽造性。但是，本文發(fā)現(xiàn)CPP-CLAS無(wú)法抵抗公鑰替換攻擊，即惡意車(chē)輛可以通過(guò)替換公鑰的方式偽造有效簽名。因此，本文設(shè)計(jì)了一個(gè)適用于VANET的既能抵抗惡意但被動(dòng)的KGC攻擊，又能抵抗惡意車(chē)輛公鑰替換攻擊的可證明安全的條件隱私保護(hù)認(rèn)證方案。此外，本文提出的新方案已在文獻(xiàn)［34］中提供了算法的主要思路，本文在此基礎(chǔ)上進(jìn)行了更詳細(xì)的論述，并補(bǔ)充了形式化的安全性證明和性能分析等內(nèi)容。同時(shí)，本文還對(duì)CPP-CLAS方案展開(kāi)密碼學(xué)分析，發(fā)現(xiàn)它存在的安全性問(wèn)題，并詳細(xì)描述了存在安全缺陷的原因。

2 預(yù)備知識(shí)

本章首先介紹適用于本文方案的困難性問(wèn)題，然后介紹VANET的系統(tǒng)模型及其安全需求。本文方案使用的符號(hào)說(shuō)明如表1所示。

表1　本文方案符號(hào)說(shuō)明

2.1　橢圓曲線離散對(duì)數(shù)問(wèn)題

2.2　系統(tǒng)模型

如圖1所示，本文系統(tǒng)模型包含5個(gè)實(shí)體：可信授權(quán)機(jī)構(gòu)TA、KGC、云服務(wù)器（Cloud Server， CS）、RSU和裝載有OBU的車(chē)輛。上層網(wǎng)絡(luò)由TA、KGC和CS組成，通過(guò)有線信道進(jìn)行安全通信；下層網(wǎng)絡(luò)由RSU和車(chē)輛組成，車(chē)輛可以與附近的RSU或其他車(chē)輛通信。

圖1　VANET的系統(tǒng)模型

1）TA：指可信的交通管理部門(mén)，可以為車(chē)輛和RSU提供注冊(cè)服務(wù)。另外，TA還負(fù)責(zé)為車(chē)輛生成假名，并能通過(guò)假名追蹤車(chē)輛的真實(shí)身份。

2）KGC：主要負(fù)責(zé)生成系統(tǒng)參數(shù)，通過(guò)公共信道為車(chē)輛生成部分私鑰。然而，KGC不是完全可信的，它可以在系統(tǒng)初始化時(shí)采用計(jì)算不可區(qū)分的方法設(shè)置陷門(mén)信息。

3）CS：具有強(qiáng)大的計(jì)算和存儲(chǔ)能力，能夠處理從RSU收集的大量數(shù)據(jù)，并將處理后的相關(guān)消息通過(guò)RSU廣播給車(chē)輛，以提供智能交通控制、遠(yuǎn)程車(chē)輛診斷、交通救援等服務(wù)。

4）RSU：指部署在路邊的通信設(shè)備，可以在它的有效范圍內(nèi)接收到來(lái)自車(chē)輛的交通信息，并驗(yàn)證這些信息的完整性和有效性。此外，RSU還能夠生成聚合簽名并發(fā)送給CS，提高驗(yàn)證效率。

5）裝載有OBU的車(chē)輛：OBU是車(chē)輛裝載的具有感知、計(jì)算、處理等功能的通信模塊，可以對(duì)交通消息進(jìn)行簽名，并發(fā)送給RSU或其他車(chē)輛，其他車(chē)輛可以批量認(rèn)證大量簽名。

2.3　安全目標(biāo)

適用于VANET的條件隱私保護(hù)認(rèn)證方案應(yīng)滿足消息認(rèn)證性、完整性、不可否認(rèn)性、匿名性、條件可追蹤性、不可鏈接性和抗攻擊性，其中匿名性和條件可追蹤性共同提供條件隱私保護(hù)功能，具體描述如下。

1）消息認(rèn)證性和完整性：消息接收者（車(chē)輛或RSU）要能夠驗(yàn)證接收的消息是否來(lái)自合法車(chē)輛，即確保消息來(lái)源是可靠的，且消息在傳輸過(guò)程中未被篡改。

2）不可否認(rèn)性：車(chē)輛不能否認(rèn)它們已經(jīng)發(fā)送的消息和實(shí)施的行為。

3）匿名性：車(chē)輛應(yīng)該使用假名通信，除TA外，任何實(shí)體均無(wú)法得知車(chē)輛的真實(shí)身份。

4）條件可追蹤性：只有TA能夠根據(jù)車(chē)輛的假名獲取車(chē)輛的真實(shí)身份，以便對(duì)發(fā)送虛假信息的車(chē)輛進(jìn)行追溯。

5）不可鏈接性：第三方、惡意車(chē)輛和RSU等實(shí)體無(wú)法判斷兩個(gè)或多個(gè)消息是否由同一車(chē)輛發(fā)送，即攻擊者無(wú)法通過(guò)車(chē)輛發(fā)送的消息跟蹤車(chē)輛。

6）抗攻擊性：設(shè)計(jì)的方案能抵抗中間人攻擊、重放攻擊、冒充攻擊以及篡改攻擊等常見(jiàn)攻擊。

3 CPP?CLAS的安全性分析

本章對(duì)CPP-CLAS進(jìn)行安全性分析，并給出惡意的車(chē)輛成功偽造簽名的過(guò)程。CPP-CLAS具體描述見(jiàn)文獻(xiàn)［7］。

1）偽造：攻擊者通過(guò)如下步驟偽造有效簽名。

3）正確性：偽造單個(gè)簽名的正確性由下式保證。

4）聚合簽名驗(yàn)證：

5）正確性：偽造聚合簽名的正確性由下式保證。

4 基于無(wú)證書(shū)的條件隱私保護(hù)認(rèn)證方案

為了實(shí)現(xiàn)VANET的安全通信，滿足車(chē)輛身份的條件隱私保護(hù)和消息簽名的高效認(rèn)證需求，本章提出一種基于無(wú)證書(shū)的條件隱私保護(hù)認(rèn)證方案。此外，引入密鑰協(xié)商的思想［36］，讓車(chē)輛在申請(qǐng)部分私鑰時(shí)不再依賴安全信道，提高方案的魯棒性。

4.1　本文方案

4.2　方案正確性分析

1）驗(yàn)證單個(gè)簽名的正確性由以下等式保證。

2）聚合簽名認(rèn)證的正確性由以下等式保證。

3）批量認(rèn)證的正確性由以下等式保證。

5 安全性證明及安全性分析

本章基于ECDLP假設(shè)，通過(guò)分叉引理［37］，在隨機(jī)預(yù)言機(jī)模型下證明本文方案的安全性。

5.1　安全性證明

5.2　安全性分析

接下來(lái)證明本文方案滿足2.3小節(jié)提出的所有安全目標(biāo)。

6）抗攻擊性。本文方案可以抵抗各類(lèi)攻擊，尤其是防重放攻擊、防冒充攻擊、防篡改攻擊以及抵抗中間人攻擊。

d）抵抗中間人攻擊。在本文方案中，假設(shè)攻擊者位于消息發(fā)送方（車(chē)輛）和驗(yàn)證方（車(chē)輛或CS或RSU）之間，它的目標(biāo)是創(chuàng)建兩個(gè)私鑰來(lái)使車(chē)輛和驗(yàn)證者相信他們是直接通信的，其中一個(gè)私鑰用于和車(chē)輛通信，另一個(gè)用來(lái)與驗(yàn)證者通信。因此，攻擊者必須用他的私鑰來(lái)偽造車(chē)輛和驗(yàn)證者的簽名，然后生成合法的消息發(fā)送給驗(yàn)證方。但是根據(jù)定理1和定理2，攻擊者無(wú)法成功。因此，本文方案可以抵抗中間人攻擊。

接下來(lái)，將本文方案實(shí)現(xiàn)的安全需求與文獻(xiàn)［7-10］中的方案進(jìn)行對(duì)比，其中“√”表示滿足該需求，“×”表示不滿足該需求。安全性對(duì)比結(jié)果如表2所示。其中，本文在第3章分析并證明了文獻(xiàn)［7］中方案無(wú)法抵抗公鑰替換攻擊。此外，該方案中的車(chē)輛使用假名進(jìn)行通信，但是沒(méi)有假名的更新，因此將假名作為車(chē)輛的標(biāo)簽，無(wú)法滿足不可鏈接性的要求。文獻(xiàn)［25］中指出文獻(xiàn)［8］的方案無(wú)法抵抗惡意但被動(dòng)的KGC攻擊，并且無(wú)法滿足消息認(rèn)證性，無(wú)法抵抗重放攻擊和冒充攻擊［39］。對(duì)于文獻(xiàn)［10］中方案，惡意的KGC可以在不擁有車(chē)輛秘密值的條件下偽造任意消息的有效簽名［27］。文獻(xiàn)［9］中的方案也無(wú)法抵抗簽名偽造攻擊［28-29］。而通過(guò)上述分析可知，本文方案可以滿足表中所有安全需求，實(shí)用性更強(qiáng)。

表2　安全性對(duì)比

6 性能分析

本章將從計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)兩個(gè)方面對(duì)比本文方案與文獻(xiàn)［7-10］中方案的性能表現(xiàn)。

6.1　計(jì)算開(kāi)銷(xiāo)對(duì)比

本節(jié)使用的相關(guān)密碼操作的執(zhí)行時(shí)間來(lái)自文獻(xiàn)［21］。該文獻(xiàn)的各密碼操作的運(yùn)行時(shí)間是采用MIRACL庫(kù)［40］，是在硬件平臺(tái)為Intel I7-4770處理器、時(shí)鐘頻率為3.40 GHz、內(nèi)存為4 GB的Windows 7操作系統(tǒng)上計(jì)算出來(lái)的。相關(guān)密碼操作的執(zhí)行時(shí)間如表3所示。

表3　各密碼操作的運(yùn)行時(shí)間

接下來(lái)將詳細(xì)分析文獻(xiàn)［7-10］的方案與本文方案的計(jì)算開(kāi)銷(xiāo)。各方案在消息簽名階段、單個(gè)簽名驗(yàn)證階段和聚合驗(yàn)證階段的計(jì)算開(kāi)銷(xiāo)對(duì)比結(jié)果如表4所示。

表4　計(jì)算開(kāi)銷(xiāo)對(duì)比 單位： ms

由于文獻(xiàn)［8］和文獻(xiàn)［9］的方案需要執(zhí)行昂貴的雙線性配對(duì)運(yùn)算和基于配對(duì)的點(diǎn)乘運(yùn)算，因此它們?cè)诟鱾€(gè)階段的計(jì)算開(kāi)銷(xiāo)較大。而本文方案和文獻(xiàn)［7，10］的方案是基于ECC設(shè)計(jì)的，所以總體開(kāi)銷(xiāo)較低。根據(jù)表4的對(duì)比結(jié)果，本文方案的總計(jì)算開(kāi)銷(xiāo)（簽名+驗(yàn)證）低于文獻(xiàn)［8-10］中的方案。具體為：本文方案在簽名階段的計(jì)算開(kāi)銷(xiāo)較文獻(xiàn)［8-10］的方案分別降低了87.32%、91.54%、66.76%；在單個(gè)簽名驗(yàn)證階段和聚合驗(yàn)證（=100）階段，本文方案的計(jì)算開(kāi)銷(xiāo)較文獻(xiàn)［8-9］的方案均降低了90.56%和70.63%，與文獻(xiàn)［10］的方案持平。

此外，雖然本文方案在驗(yàn)證階段的計(jì)算開(kāi)銷(xiāo)略微高于文獻(xiàn)［7］的方案，但是文獻(xiàn)［7］的方案不能抵抗公鑰替換攻擊（本文第3章做了詳細(xì)分析），并且根據(jù)第5章的安全性證明和分析可知本文方案滿足安全和隱私保護(hù)需求，因此，本文方案更適用于VANET的應(yīng)用場(chǎng)景。

6.2　通信開(kāi)銷(xiāo)對(duì)比

表5　通信開(kāi)銷(xiāo)對(duì)比 單位： bit

7 結(jié)語(yǔ)

本文對(duì)文獻(xiàn)［7］的方案進(jìn)行了安全性分析，指出該方案并不能抵抗公鑰替換攻擊，并給出了具體攻擊過(guò)程和存在缺陷的原因。隨后針對(duì)VANET中的安全通信和車(chē)輛隱私保護(hù)問(wèn)題，提出了一種基于無(wú)證書(shū)的條件隱私保護(hù)認(rèn)證方案。在本文新方案中，車(chē)輛在部分私鑰時(shí)不依賴于安全信道，提高了方案的健壯性。安全性分析表明，本文方案基于ECDLP假設(shè)，在隨機(jī)預(yù)言機(jī)模型下，對(duì)于兩類(lèi)攻擊者具有不可偽造性，并且滿足車(chē)輛的認(rèn)證性、匿名性、可追蹤性、不可否認(rèn)性以及不可鏈接性等需求。性能分析表明，本文方案更好地實(shí)現(xiàn)了安全性和認(rèn)證效率之間的平衡，更加適用于資源受限的VANET環(huán)境。

未來(lái)，我們會(huì)在VANET實(shí)際應(yīng)用中將ECDLP安全假設(shè)修改為更弱的安全假設(shè)（如CDH假設(shè)、DDH假設(shè)），并設(shè)計(jì)新的方案來(lái)獲取更好的安全性和效率。此外，在聚合簽名認(rèn)證和批量認(rèn)證過(guò)程中，如果一個(gè)簽名不合法，則會(huì)導(dǎo)致一批簽名均無(wú)法驗(yàn)證通過(guò)，從而降低簽名驗(yàn)證效率。因此，設(shè)計(jì)適用于VANET的具有容錯(cuò)性質(zhì)的認(rèn)證方案是下一階段的研究目標(biāo)。

[1] ASUQUO P， CRUICKSHANK H， MORLEY J， et al. Security and privacy in location-based services for vehicular and mobile communications： an overview， challenges， and countermeasures［J］. IEEE Internet of Things Journal， 2018， 5（6）： 4778-4802.

[2] MOHAMED HATIM S， ELIAS S J， AWANG N， et al. VANETs and Internet of Things （IoT）： a discussion［J］. Indonesian Journal of Electrical Engineering and Computer Science， 2018， 12（1）： 218-224.

[3] AZEES M， VIJAYAKUMAR P， JEGATHA DEBORAH L. Comprehensive survey on security services in vehicular ad-hoc networks［J］. IET Intelligent Transport Systems， 2016， 10（6）： 379-388.

[4] PALANISWAMY B， CAMTEPE S， FOO E， et al. An efficient authentication scheme for intra-vehicular controller area network［J］. IEEE Transactions on Information Forensics and Security， 2020， 15： 3107-3122.

[5] SENGUPTA J， RUJ S， DAS BIT S. A comprehensive survey on attacks， security issues and blockchain solutions for IoT and IIoT［J］. Journal of Network and Computer Applications， 2020， 149： No.102481.

[6] CHEN C M， HUANG Y， WANG K H， et al. A secure authenticated and key exchange scheme for fog computing［J］. Enterprise Information Systems， 2021， 15（9）： 1200-1215.

[7] CHEN Y， CHEN J. CPP-CLAS： efficient and conditional privacy-preserving certificateless aggregate signature scheme for VANETs［J］. IEEE Internet of Things Journal， 2022， 9（12）： 10354-10365.

[8] HORNG S J， TZENG S F， HUANG P H， et al. An efficient certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks［J］. Information Sciences， 2015， 317： 48-66.

[9] ZHONG H， HAN S， CUI J， et al. Privacy-preserving authentication scheme with full aggregation in VANET［J］. Information Sciences， 2019， 476： 211-221.

[10] KAMIL I A， OGUNDOYIN S O. An improved certificateless aggregate signature scheme without bilinear pairings for vehicular ad hoc networks［J］. Journal of Information Security and Applications， 2019， 44： 184-200.

[11] RAYA M， HUBAUX J P. Securing vehicular ad hoc networks［J］. Journal of Computer Security， 2007， 15（1）： 39-68.

[12] LU R， LIN X， ZHU H， et al. ECPP： efficient conditional privacy preservation protocol for secure vehicular communications［C］// Proceedings of the 27th Conference on Computer Communications. Piscataway： IEEE， 2008： 1229-1237.

[13] AZEES M， VIJAYAKUMAR P， JEGATHA DEBORAH L. EAAP： efficient anonymous authentication with conditional privacy-preserving scheme for vehicular ad hoc networks［J］. IEEE Transactions on Intelligent Transportation Systems， 2017， 18（9）： 2467-2476.

[14] VIJAYAKUMAR P， CHANG V， JEGATHA DEBORAH L， et al. Computationally efficient privacy preserving anonymous mutual and batch authentication schemes for vehicular ad hoc networks［J］. Future Generation Computer Systems， 2018， 78： 943-955.

[15] GU T， YUAN B， LIU Y， et al. An improved EAAP scheme for vehicular ad hoc networks［J］. International Journal of Communication Systems， 2020， 33（6）： No.e4183.

[16] LIN X， SUN X， HO P H， et al. GSIS： a secure and privacy-preserving protocol for vehicular communications［J］. IEEE Transactions on Vehicular Technology， 2007， 56（6）： 3442-3456.

[17] ZHU X， JIANG S， WANG L， et al. Efficient privacy-preserving authentication for vehicular ad hoc networks［J］. IEEE Transactions on Vehicular Technology， 2014， 63（2）： 907-919.

[18] WANG Y， ZHONG H， XU Y， et al. ECPB： efficient conditional privacy-preserving authentication scheme supporting batch verification for VANETs［J］. International Journal of Network Security， 2016， 18（2）： 374-382.

[19] WANG P， CHEN C M， KUMARI S， et al. HDMA： hybrid D2D message authentication scheme for 5G-enabled VANETs［J］. IEEE Transactions on Intelligent Transportation Systems， 2021， 22（8）： 5071-5080.

[20] SHAO J， LIN X， LU R， et al. A threshold anonymous authentication protocol for VANETs［J］. IEEE Transactions on Vehicular Technology， 2016， 65（3）： 1711-1720.

[21] HE D， ZEADALLY S， XU B， et al. An efficient identity-based conditional privacy-preserving authentication scheme for vehicular ad hoc networks［J］. IEEE Transactions on Information Forensics and Security， 2015， 10（12）： 2681-2691.

[22] TZENG S F， HORNG S J， LI T， et al. Enhancing security and privacy for identity-based batch verification scheme in VANETs［J］. IEEE Transactions on Vehicular Technology， 2017， 66（4）： 3235-3248.

[23] YANG W， CHEN M R， ZENG G Q. Cryptanalysis of two strongly unforgeable identity-based signatures in the standard model［J］. International Journal of Network Security， 2018， 20（6）： 1194-1199.

[24] ALI I， LAWRENCE T， LI F. An efficient identity-based signature scheme without bilinear pairing for vehicle-to-vehicle communication in VANETs［J］. Journal of Systems Architecture， 2020， 103： No.101692.

[25] LI J， YUAN H， ZHANG Y. Cryptanalysis and improvement of certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks［EB/OL］. （2016-07-13） ［2022-07-12］.https：//eprint.iacr.org/2016/692.pdf.

[26] CUI J， ZHANG J， ZHONG H， et al. An efficient certificateless aggregate signature without pairings for vehicular ad hoc networks［J］. Information Sciences， 2018， 451/452： 1-15.

[27] ZHAO Y， HOU Y， WANG L， et al. An efficient certificateless aggregate signature scheme for the internet of vehicles［J］. Transactions on Emerging Telecommunications Technologies， 2020， 31（5）： No.e3708.

[28] KAMIL I A， OGUNDOYIN S O. On the security of privacy-preserving authentication scheme with full aggregation in vehicular ad hoc network［J］. Security and Privacy， 2020， 3（3）： No.e104.

[29] MEI Q， XIONG H， CHEN J， et al. Efficient certificateless aggregate signature with conditional privacy preservation in IoV［J］. IEEE Systems Journal， 2021， 15（1）： 245-256.

[30] KUMAR P， KUMARI S， SHARMA V， et al. Secure CLS and CL-AS schemes designed for VANETs［J］. The Journal of Supercomputing， 2019， 75（6）： 3076-3098.

[31] LI C， WU G， XING L， et al. An efficient certificateless aggregate signature scheme designed for VANET［J］. Computers， Materials， and Continua， 2020， 63（2）： 725-742.

[32] ALI I， CHEN Y， ULLAH N， et al. An efficient and provably secure ECC-based conditional privacy-preserving authentication for vehicle-to-vehicle communication in VANETs［J］. IEEE Transactions on Vehicular Technology， 2021， 70（2）： 1278-1291.

[33] ZHOU X， LUO M， VIJAYAKUMAR P， et al. Efficient certificateless conditional privacy-preserving authentication for VANETs［J］. IEEE Transactions on Vehicular Technology， 2022， 71（7）： 7863-7875.

[34] 揚(yáng)州大學(xué). 一種適用于車(chē)載自組網(wǎng)安全通信和條件隱私保護(hù)認(rèn)證的方法：CN115379418B［P］. 2023-05-09. （Yangzhou University. A method for secure communication and conditional privacy protection authentication in vehicular ad-hoc networks：CN115379418B ［P］. 2023-05-09.）

[35] 張振超，劉亞麗，殷新春，等. 無(wú)證書(shū)簽名方案的分析及改進(jìn)［J］. 密碼學(xué)報(bào)， 2020， 7（3）： 389-403.（ZHANG Z C， LIU Y L， YIN X C， et al. Analysis and improvement of certificateless signature schemes［J］. Journal of Cryptologic Research， 2020， 7（3）： 389-403.）

[36] DIFFIE W， HELLMAN M. New directions in cryptography［J］. IEEE Transactions on Information Theory， 1976， 22（6）： 644-654.

[37] POINTCHEVAL D， STERN J. Security proofs for signature schemes［C］// Proceedings of the 1996 International Conference on the Theory and Applications of Cryptographic Technique， LNCS 1070. Berlin： Springer， 1996： 387-398.

[38] BELLARE M， GARAY J A， RABIN T. Fast batch verification for modular exponentiation and digital signatures［C］// Proceedings of the 1998 International Conference on the Theory and Applications of Cryptographic Technique， LNCS 1403. Berlin： Springer， 1998： 236-250.

[39] MING Y， SHEN X. PCPA： a practical certificateless conditional privacy preserving authentication scheme for vehicular ad hoc networks［J］. Sensors， 2018， 18（5）： No.1573.

[40] Shamus Software Ltd. MIRACL library［EB/OL］. ［2022-07-12］.http：//www.shamus.ie/index.php？page=home.

Certificateless conditional privacy-preserving authentication scheme for VANET

XU Guishuang1，2， YIN Xinchun1，2，3*

（1，，225127，；2（），510006，；3，，225128，）

Vehicular Ad-hoc NETwork （VANET） is vital for constructiong intelligent transportation systems because of obvious advantages in sharing traffic data， improving driving efficiency and reducing traffic accidents. Meanwhile， problems such as secure communication of vehicle-to-vehicle and vehicle-to-infrastructure， privacy-preserving of vehicles （e.g.， identity privacy， location privacy）， and efficient authentication of traffic messages need to be solved urgently. To achieve a trade-off between security and efficiency， firstly， the recently proposed scheme， namely Conditional Privacy-Preserving CertificateLess Aggregate Signature scheme （CPP-CLAS）， was analyzed and proved to be unable to resist the public key replacement attack. Then， based on this scheme， a new certificateless conditional privacy-preserving authentication scheme for VANET was proposed， in which the secure channels were not required during partial private key generation of vehicles. In addition， aggregate verification and batch verification were employed to verify a batch of signatures in the scheme. Finally， the proposed scheme was proved to have unforgeability under random oracle model. Performance analysis show that compared with the similar schemes， the proposed scheme improves the computational efficiency of the signature phase by at least 66.76% and reduces the communication bandwidth demand by at least 16.67% without increasing the verification overhead， verifying that the proposed scheme is more suitable for resource-constrained VANET.

Vehicular Ad-hoc NETwork (VANET); message authentication; conditional privacy-preserving; secure channel; provable security

1001-9081（2023）11-3358-10

10.11772/j.issn.1001-9081.2022111757

2022?11?04；

2023?02?01；

廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室開(kāi)放基金資助項(xiàng)目（2020B1212060078）。

徐貴雙（1999—），女，云南昭通人，碩士研究生，主要研究方向：無(wú)證書(shū)簽名、車(chē)載自組網(wǎng)通信安全； 殷新春（1962—），男，江蘇姜堰人，教授，博士生導(dǎo)師，博士，CCF高級(jí)會(huì)員，主要研究方向：密碼學(xué)、軟件質(zhì)量保障、高性能計(jì)算。

TP309.7

A

2023?02?10。

This work is partially supported by Opening Fund of Guangdong Provincial Key Laboratory of Information Security Technology （2020B1212060078）.

XU Guishuang， born in 1999， M. S. candidate. Her research interests include certificateless signature， communication security of vehicular ad-hoc network.

YIN Xinchun， born in 1962， Ph. D.， professor. His research interests include cryptology， software quality assurance， high-performance computing.