基于环签名的车载网匿名认证系统和方法、车辆通信平台与流程

本发明属于车辆通信安全技术领域，尤其涉及一种基于环签名的车载网匿名认证系统和方法、车辆通信平台。

背景技术：

目前，业内常用的现有技术是这样的：为了减少交通事故，改善交通状况，为用户提供相应的网络服务，vanet(车载网)逐渐兴起，是一种融合了车辆与车辆之间直接互连、间接互连以及车辆与路边固定设施互连的混合体系的结构网络，可以实现车辆与车辆之间(vehicletovehicle,v2v)，车辆与路边基础设施之间(vehicletoinfrastructure，v2i)的多跳无线通信，为车辆提供多种安全应用(如事故预警，交通管理)和非安全应用(如路况指示，internet接入以及车辆间多媒体数据通信)。在vanet环境中，车辆可以在不经过中心服务器的情况下向其它车辆广播路况等信息，通过车辆之间的信息交互，车辆能及时获知前方交通事故状况，保证道路安全；车辆与路边基础设施以及车辆之间的信息交互能够提高交通效率；通过路边基础设施建立与internet的高速连接，车辆获得交通状况查询、服务等多种信息，通过internet享受汽车会议、在线娱乐等多媒体服务。设计和部署vanet的关键问题之一是实体间的安全匿名认证。一方面，期望在实体通信过程中认证的消息是由可靠的车辆(发送者)发送的，而不是恶意或伪造的车辆；另一方面，发送者不愿意在认证期间泄露身份或者位置信息。针对出现的隐私保护问题，现有技术一提出了一种基于群签名的车联网隐私保护认证方案，它能满足匿名性和可追踪性的要求，但需要rsu的协助以及处理证书存储问题；有些方案采取条件环签名方法，现有技术二提出了车联网中采用条件匿名环签名的隐私保护通信方案，不需要群管理者的参与，但是存在证书的存储撤销问题；现有技术三提出了一种基于假名的车联网环境下的匿名通信框架，该框架包括假名的生成、分发、重生成等几个过程，并使用了一种分布式优化算法来改变假名，但采取假名方法需要不断更改假名，在一个不恰当时间段或位置修改假名会导致方案无效的情况。同时现有技术四提出了一种基于证书的车联网匿名认证方案，可以满足有条件的身份追踪，也具有较高的计算效率，但是采用此方法存在证书分发、撤销以及大量证书存储的问题；现有技术五提出了用于vanet的门限匿名认证协议，采用门限群签名方式实现了条件隐私和追踪性的目标，但采用群签名的方式在认证过程中需要群管理者的参与，会导致权力过大。由此可见在现有的车载网匿名认证方案中，通常在满足匿名性和不可伪造性的要求时，不能满足在发现接收者伪造消息时需要追踪身份的要求；有些满足基本的安全性要求，却不能满足在车载网环境下车辆随时移动随时自发形成环的要求；甚至采用基于身份的环签名方案会产生密钥托管的问题，使可信任第三方知道每个成员的私钥，会造成不诚实的第三方伪造任何成员的签名，降低安全性。因而已有方法不能同时满足自发性、高效性、匿名性、不可伪造性和追踪性的目标要求。

综上所述，现有技术存在的问题是：现有的车载网匿名认证方案中，通常在满足匿名性和不可伪造性的要求时，不能满足在发现接收者伪造消息时需要追踪身份的要求；有些满足基本的安全性要求，却不能满足在车载网环境下车辆随时移动随时自发形成环的要求；甚至采用基于身份的环签名方案会产生密钥托管的问题，使可信任第三方知道每个成员的私钥，造成不诚实的第三方伪造任何成员的签名，降低安全性。同时不能同时满足自发性、高效性、匿名性、不可伪造性和追踪性的目标要求。

解决上述技术问题的难度和意义：尽管通过部署vanet可以带来许多好处，但是在实现这样的应用场景之前，必须很好地解决安全问题，例如匿名认证。vanet遇到最大的挑战在于如何保持安全性和私密性之间的合理平衡。首先，要求这些信息是可靠的。否则，不可靠的消息可能危及vanet的优势。例如，使用先前传播的消息对其修改和重放攻击可能对某些用户是致命的。同时，隐私是vanet的另一个关键问题。否则，如果能够追踪到汽车的行踪和驾驶模式，则可以推断出驾驶员的偏好。如果在vanets中广播的消息未经认证，那么司机就无法根据收到的消息来估计交通状况，对手可以伪造虚假信息来误导其他司机，或者跟踪预定车辆的位置。一方面，我们期望消息由可信的发送者来验证，而不是恶意的或伪造的车辆。另一方面，在身份验证期间，发送方不愿泄露其身份或位置信息。若在考虑安全和隐私的基础上充分利用vanet，就可以实现人与车以及路的相互协同，来对实时路况等各种信息进行实时、准确、高效的消息发布。通过利用现有的交通设施减轻交通负荷，在保证交通安全的基础上提高交通运行效率。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种基于环签名的车载网匿名认证系统和方法、车辆通信平台。

本发明是这样实现的，一种基于环签名的车载网匿名认证方法，其特征在于，所述基于环签名的车载网匿名认证方法包括以下步骤：

第一步，信任机构ta和带有obu的车辆注册登记，产生部分私钥；车载通信单元obu的车辆，在加入车载自组织网之前通过注册并预载公共系统参数和相应的公私钥；

第二步，当车辆行驶在道路上，通过安全认证并周期地广播相关的状态信息；在发现签名人匿名透漏虚假消息或者其破坏的行为时，信任机构揭发发送者的真实身份。

进一步，所述第一步具体包括：

(1)初始化阶段：为每个车辆的obu设置系统参数，已知一个安全参数z，由信任机构输出一个大素数q，g1为循环加法群，g2为循环乘法群；p,q为g1的生成元；信任机构选择主私钥其中s保密，并计算主公钥ppub＝sp，其中e:g1×g1→g2为双线性对映射，3个哈希散列函数分别为h1:{0,1}^*→g1，初始化阶段完成后，信任机构公开系统参数；

(2)带有obu的车辆需要预载密钥对，包括私钥对生成和用户公钥对生成；其中，信任机构秘密存储标签{yi,idi}，显示相应车辆身份idi与公钥yi的对应关系，在追踪算法中使用标签{yi,idi}的关系来追查到恶意车辆的真实身份；

(3)对于在车载网中的每一个车辆，发送消息之前生成一个关于消息m的签名；每种类型的车辆都需要隐私保护，一个车辆μs想要在群组里传播消息，l＝(y1,y2,…yn)为车辆μs收集的公钥集合，ω＝{id1,id2,…idn}为车辆相应的身份集合，收集的公钥集合是由μs暂时收集和存储的；车辆形成一个环μ＝{μ1,μ2,…μn}，通过执行消息签名算法和身份追踪算法形成签名并将签名发送；

(4)接收者在接收到签名后，已知n个签名者的公钥集合l＝(y1,y2,…yn)，其中ri＝h2(m||ω||t,ri,yi)，κi＝h3(m||ri||ω||t,ki,yi)；检查下列等式是否成立。若成立，则接受签名，并认为消息来自于由车辆形成的可靠的环，否则拒绝签名；

(5)当接收者发现签名人匿名透漏虚假消息或者其它一些破坏的行为时，或者发现在这个区域内有人企图篡改发送信息，破坏通信安全时，从车辆群组形成的临时环即μ＝{μ1,μ2,…μn}中找出真实的签名人μs，追踪到这辆车，然后召回其密钥；通过接收者向信任机构申请仲裁，信任机构验证签名的有效性，并通过与环中的所有成员进行一次交互即可追查到真实的签名者μs。

进一步，带有obu的车辆需要按照要求生成公私钥对过程如下：

(1)给定车辆身份idi，信任机构ta计算并将发送给车辆；

(2)车辆通过检查等式是否成立来验证；若成立，则车辆选择秘密值并计算公钥yi＝xip；

(3)车辆预载私钥对公钥对并在形成的临时环中广播

进一步，带有obu的车辆μs发送消息过程中形成签名才能发送，签名形成过程如下：

(1)随机选择一个秘密值其中(i＝1,2…,n)，计算ti＝tip，pki＝tixip，

(2)选择ri,ki∈g1(i＝1,2…,n\s)，计算ri＝h2(m||ω||t,ri,yi)，其中i＝1,2,…s-1,s+1,…,n，计算κi＝h3(m||ri||ω||t,ki,yi)，其中i＝1,2,…s-1,s+1,…,n；

(3)选择秘密值计算rs＝h2(m||ω||t,rs,ys)，κs＝h3(m||rs||ω||t,ks,ys)；

(4)计算

(5)输出签名后的消息σ＝(r1,r2,…rn,k1,k2,…kn,v,pki,t,ω)并将签名后的消息在车辆形成的环里广播。

进一步，在车辆追踪过程中，信任机构与车辆的交互过程如下进行：

(1)信任机构根据输出的签名消息σ中的pki，向对应车辆环成员收集ti值，即

(2)信任机构收集齐所有的ti值后，通过判断e(pki,p)＝e(ti,yi)验证ti的有效性。若ti无效，则认为对应的环成员就是不诚实的签名者，若ti有效，则继续进行以下步骤；

(3)若ti有效，则计算通过验证等式e(t,p)＝e(u,yi)成立，找到真实的签名者μs的公钥即ys，再通过标签{yi,idi}追查到真实签名者μs的身份并召回密钥。

本发明的另一目的在于提供一种执行所述基于环签名的车载网匿名认证方法的基于环签名的车载网匿名认证系统，所述基于环签名的车载网匿名认证系统包括：

信任机构ta，用于和带有obu的车辆注册登记，以及帮助产生部分私钥；

车载通信单元obu的车辆，用于在加入车载自组织网之前通过注册并预载公共系统参数和相应的公私钥；当车辆行驶在道路上时，通过安全认证并周期地广播相关的状态信息；在发现签名人匿名透漏虚假消息或者其它破坏的行为时，信任机构揭发发送者的真实身份。

本发明的另一目的在于提供一种应用所述基于环签名的车载网匿名认证方法的车辆通信平台。

综上所述，本发明的优点及积极效果为：依赖于带有obu(车载通信单元)的车辆和信任机构ta(信任机构)，基于无证书环签名算法，在通信过程中进行安全认证，附加相关信息形成可追踪算法，在车辆追踪阶段根据有效信息追踪签名者的身份。本发明用于实现vanet中车辆的通信安全，同时满足自发性和可追踪性。在vanet环境下采用了环签名的方式进行通信的车辆在行驶过程中可以自发的形成环并进行路况、交通等信息的传达，不需要指定相应的管理者，不依赖与rsu(路边基础设施)，简化了装置；同时采用无证书的方式有效解决了密钥托管的问题和信任机构ta权力过大的问题；将无证书与环签名相结合形成无证书环签名满足了匿名性和不可伪造性，同时满足安全认证；附加相关信息形成可追踪算法有效解决了签名人匿名透漏虚假消息或者其它一些破坏的行为时，根据接收的消息进行身份追踪并撤销；同时从表1比较可得，此方法需要少量的双线性对计算，简单实用，具有推广作用。

表1

本发明中的方案最昂贵的操作是无证书环签名中的签名和验证两个阶段，大多数应用在各种环境下的环签名方案在签名阶段和验证阶段需要进行大量双线性对运算，但双线性对运算比其他运算操作要耗费更多的计算能力。用po代表一个双线性对操作，tpo代表一个基于双线性对的标量乘操作，te表示一个基于椭圆曲线的标量乘操作，tn表示一个模指数操作。同等规模下它们的执行效率从高到低为te＞tn＞tpo＞po。由于哈希函数运算相对耗时少很多，在这里忽略不计。表1列出了本发明与一种高效、多层次的vanet保密通信协议所提出的条件环签名方案技术[1]、一种无证书门限环签名技术文献[2]、可信云计算中基于属性的匿名认证所提出的环签名技术文献[3]进行效率对比，因为这些方案都基于环签名方案。而本文只有在需要撤销签名者匿名性时，才需要ta和其他环成员的协作，而且ta和其他环成员只需要进行一次交互便可确定出真实的签名者。这种情况不经常发生，因此对环签名的效率影响不大。所以分析主要从签名阶段和验证阶段进行效率比较。从表1的效率对比可以知道，本发明在签名阶段使用了计算时间短的椭圆曲线标量乘运算，相比文献[2]明显没有了双线性对操作，签名阶段效率明显高于文献[2]；在验证阶段双线性对操作少于方案[1]、和文献[3]，因此本发明的验证阶段效率明显高于方案[1]和文献[3]。从签名与验证总执行消耗可以明显看出本发明的双线性对操作少于方案[1]、文献[2]和文献[3]，即总执行效率相对高于方案[1]、文献[2]和文献[3]的环签名方案。

附图说明

图1是本发明实施例提供的基于环签名的车载网匿名认证系统结构示意图；

图中：1、信任机构ta；2、车载通信单元obu的车辆。

图2是本发明实施例提供的基于环签名的车载网匿名认证方法流程图。

图3是本发明实施例提供的车辆在vanet环境下行驶过程中通信方案形成流程图。

图4是本发明实施例提供的车辆信息预载过程中的公私钥产生流程图。

图5是本发明实施例提供的在车辆身份追踪阶段追踪真实签名者身份流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明利用无证书环签名和追踪算法提供基于环签名的车载网匿名认证系统和方法，可确保车辆通信过程中的匿名性和不可伪造性，同时采用无证书的方式高效解决密钥托管问题，又通过在环签名中附加一些相关信息形成追踪算法，并在必要时通过可信第三方和环中所有成员协作来追踪签名者的真实身份，有效解决了签名者身份无法追踪的问题。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于环签名的车载网匿名认证系统包括：

信任机构ta1；用于和带有obu的车辆注册登记，以及帮助产生部分私钥；

车载通信单元obu的车辆2，用于在加入vanet(车载自组织网)之前通过注册并预载公共系统参数和相应的公私钥；当车辆行驶在道路上时，通过安全认证并周期地广播相关的状态信息，改善道路环境，保证交通安全；在发现签名人匿名透漏虚假消息或者其它一些破坏的行为时，信任机构ta1揭发发送者的真实身份。

如图2所示，本发明实施例提供的基于环签名的车载网匿名认证方法包括以下步骤：

s201：信任机构ta，和带有obu的车辆注册登记，以及帮助产生部分私钥；车载通信单元obu的车辆，在加入vanet(车载自组织网)之前通过注册并预载公共系统参数和相应的公私钥；

s202：当车辆行驶在道路上时，通过安全认证并周期地广播相关的状态信息，改善道路环境，保证交通安全；在发现签名人匿名透漏虚假消息或者其它一些破坏的行为时，信任机构ta揭发发送者的真实身份。

下面结合附图对本发明的应用原理作进一步的描述。

一、本发明所应用的数学理论和技术术语说明：

1、双线性对

双线性对是密码体制中非常重要的概念，可以利用椭圆曲线上的weilparing或tateparing构造得到。其基本思想如下：设g1和g2分别是阶为大素数q的循环加法群和乘法群，p是g1的生成元。则双线性对是这两个循环群之间的一个映射e:g1×g1→g2，满足以下性质：

(1)双线性性：e(ap,bp)＝e(p,q)^ab，其中

(2)非退化性：存在p,q∈g1，使e(p,q)≠1；

(3)可计算性：存在有效的算法计算e(p,q)，其中p,q∈g1。

2、困难问题

(1)计算性diffie-hellman问题：随机给定一个三元组(p,ap,bp)∈g1，其中计算abp；

(2)计算性co-diffie-hellman问题：随机给定一个三元组(p,ap,x)∈g1，其中计算ax。

(3)椭圆曲线离散对数问题：给定p,ap∈g1，计算a。

3有关技术术语

本发明的有关技术术语说明如下：

(1)obu为车辆所具有的车载通信单元，需要在加入之前通过注册并预载公共系统参数和相应的公私钥。当车辆行驶在道路上时，需要周期地广播相关的状态信息，改善道路环境，保证交通安全；

(2)信任机构ta(信任机构)负责和带有obu的车辆注册登记，以及帮助产生部分私钥，在必要时揭发发送者的真实身份。同时需要充足的计算和存储能力；

(3)vanet(车载网)是传统的移动自组织网络(manet)在交通道路上的应用，是一种融合了车辆与车辆之间直接互连、间接互连以及车辆与路边固定设施互连的混合体系的结构网络。

(4)认证性：在传递的消息应能被认证。为了满足安全(例如防止假冒攻击)性，接受的信息应该是由合法车辆产生的。因此，所有的消息都必须经过接收方认证，不管它们是如何由或发送的。

(5)匿名性：从车辆的角度来看，由于通信中的车辆之间要进行通信，需要交互自己的隐私信息，包括车速、位置等，在此过程中，还必须保证交互信息的真实性，使得邻近车辆可建立信任关系，同时也要保证不让攻击者有机会去伪造本发明的隐私。因此中的通信协议应该满足匿名性。

(6)可追踪性：车辆可能会利用匿名的方式从事不法行为，例如，一个内部人员可以发布恶意的信息。换句话说，一个合适的通信协议应该满足条件隐私。如果发生争议，恶意车辆必须被撤销。因此，如果有必要的话，权力机构(信任机构ta)应该揭示车辆的实际身份。

(7)自发性：环成员列表可由签名者自行选择，不需要经过其他环成员的许可就能生成一个包括签名者在內的签名。

二、本发明的实现过程

如图1所示，本发明的系统结构如下：包括车辆(obu)、路边基础设施(rsu，在这里不涉及)还有信任机构(信任机构ta)；在vanet环境下，信任机构ta负责和带有obu的车辆注册登记，以及帮助产生部分私钥，在必要时揭发发送者的真实身份；

车载通信单元obu的车辆，负责在加入vanet(车载自组织网)之前通过注册并预载公共系统参数和相应的公私钥。当车辆行驶在道路上时，周期地广播相关的状态信息，改善道路环境，保证交通安全。

如图3-图5所示，本发明安全通信的实现过程如下：

步骤一、系统初始化阶段

在初始化阶段，本发明假设每辆车都配备了车载单元(obu)，并且有一个负责检查车辆身份的第三方信任机构ta，并负责生成和预先分配车辆的私钥。在通信之前，信任机构ta为每个车辆的obu设置系统参数如下：

已知一个安全参数z，由信任机构ta(在现实中由车辆管理中心执行)输出一个大素数q，g1为循环加法群，g2为循环乘法群。p,q为g1的生成元。ta选择主私钥(其中s保密)，并计算主公钥ppub＝sp，其中e:g1×g1→g2为双线性对映射，3个哈希散列函数分别为h1:{0,1}^*→g1，初始化阶段完成后，信任机构ta公开系统参数(g1,g2,q,p,q,ppub,e,h1,h2,h3)。

步骤二、车辆信息预载阶段，在上述初始化阶段完成后，带有obu的车辆需要预载密钥对。该阶段包括部分私钥生成和用户公私钥生成。密钥具体产生过程如下：

(a)给定车辆身份idi，ta计算并将发送给车辆；

(b)车辆通过检查等式是否成立来验证。若成立，则车辆选择秘密值并计算公钥yi＝xip；

(c)车辆预载私钥对公钥对

步骤三、车辆安全消息生成阶段，对于在车载自组织网中的每一个车辆，发送消息之前需要生成一个关于消息m的签名。在这个阶段，本发明认为每种类型的车辆都需要隐私保护，一个车辆μs想要在群组里传播消息，假设l＝(y1,y2,…yn)为车辆μs收集的公钥集合，ω＝{id1,id2,…idn}为车辆相应的身份集合，这里收集的公钥集合是由μs暂时收集和存储的，而且这个公钥集合是动态的。这些车辆形成一个环μ＝{μ1,μ2,…μn}，一个车辆μs想要在形成的环中广播路况、车速等信息，又要保证自身的隐私，就要执行以下算法：

(a)随机选择一个秘密值其中(i＝1,2…,n)，计算ti＝tip，pki＝tixip，

(b)选择ri,ki∈g1(i＝1,2…,n\s)，计算ri＝h2(m||ω||t,ri,yi)，其中i＝1,2,…s-1,s+1,…,n，计算κi＝h3(m||ri||ω||t,ki,yi)，其中i＝1,2,…s-1,s+1,…,n；

(c)选择秘密值计算rs＝h2(m||ω||t,rs,ys)，κs＝h3(m||rs||ω||t,ks,ys)；

(d)计算

(e)输出签名后的消息σ＝(r1,r2,…rn,k1,k2,…kn,v,pki,t,ω)并将签名后的消息在车辆形成的环里广播；

步骤四、消息验证阶段

接收者在接收到签名后，已知n个签名者的公钥集合l＝(y1,y2,…yn)，其中ri＝h2(m||ω||t,ri,yi)，κi＝h3(m||ri||ω||t,ki,yi)。接下来要检查下列等式是否成立。若成立，则接受签名，并认为消息来自于由车辆形成的可靠的环，否则拒绝签名。

步骤五、车辆追踪阶段

当接收者发现签名人匿名透漏虚假消息或者其它一些破坏的行为时，或者发现在这个区域内有人企图篡改发送信息，破坏通信安全时，需要从车辆群组形成的临时环即μ＝{μ1,μ2,…μn}中找出真实的签名人μs，追踪到这辆车，然后召回其密钥。通过接收者向ta申请仲裁，信任机构ta验证签名的有效性，并通过与环中的所有成员进行一次交互即可追查到真实的签名者μs。其中追踪流程图如图3所示。具体追踪验证算法过程如下：

(a)信任机构ta根据输出的签名消息σ中的pki，向对应车辆环成员收集ti值，即

(b)信任机构ta收集齐所有的ti值后，通过判断e(pki,p)＝e(ti,yi)验证ti的有效性。若ti无效，则认为对应的环成员就是不诚实的签名者，若ti有效，则继续进行以下步骤；

(c)若ti有效，则计算通过验证等式e(t,p)＝e(u,yi)成立，找到真实的签名者μs的公钥即ys，再通过标签{yi,idi}追查到真实签名者μs的身份并召回密钥。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。