车载自组织网中具有隐私保护的分布式聚合认证方法

摘要

本发明公开了一种车载自组织网中具有隐私保护的分布式聚合认证方法，该方法包括以下步骤：根可信机构设置；路边单元设置；车辆设置；内部假名和鉴别密钥更新；车辆获得成员秘密和授权期；车辆生成签名和更新成员秘密；追踪、消息验证和信息存储。本发明有以下特点：满足有条件的不可关联隐私；不依赖理想严格的防渗透设备；无密钥托管问题。通过本发明能够达到车载自组织网安全与隐私通信。

说明书

技术领域

本发明属于车载自组织网信息安全领域，具体涉及车载自组织网中具有隐私保护 的分布式聚合认证方法。

背景技术

车载自组织网是一种用于车辆间通信的自组织网络，它可以通过改善交通的安全 性和效率来提升驾驶体验。车载自组织网主要由车辆和路边单元组成。每个车辆都能与附 近的其他车辆和路边单元交互信息，通过这些信息能减少驾驶员发生事故的可能性，也可 以帮助驾驶员处理普通的紧急事件。

为了达到车载自组织网的上述目标，确保与安全相关的消息被安全地接收显得尤 为重要，这些消息应具有认证性、不可否定性和完整性。否则，某个恶意车辆可能发送虚假 消息或冒充其他车辆实施攻击。同时，车载自组织网中车辆隐私也应被考虑到，车辆的消息 中包含车辆的速度、位置、方向等信息，这些信息都涉及到驾驶员的隐私。但车载自组织网 中的隐私应当是有条件的。车载自组织网中的恶意车辆可能发送虚假信息误导其他车辆发 生事故。条件隐私要求当虚假信息造成危害时，这个虚假信息的生成者是可追踪到的。此 外，车载自组织网中车辆和路边单元都要在短时间内处理大量消息，如果处理消息不及时， 就可能发生事故。所以，车载自组织网应当具备在短时间内处理大量消息的安全和隐私机 制。

已经有学者提出解决车载自组织网下安全和隐私的方案，但他们有的依赖高耗时 的密码操作，有的造成证书或假名管理的负担，有的基于理想的防渗透设备。

发明内容

本发明的目的在于：针对现有技术的不足，在满足消息认证性、不可否认性、完整 性和实时性的基本要求下，提出车载自组织网中具有隐私保护的分布式聚合认证方法，该 方法满足有条件的不可关联隐私，不依赖理想的防渗透设备，避免了密钥托管问题。

本发明的目的是这样实现的：

一种车载自组织网中具有隐私保护的分布式聚合认证方法(DAPPA)，该方法是在 根可信机构(rootTA)、路边单元(RSU)和车辆三个实体下实现的，特点在于该方法包括以 下具体步骤：

(1)rootTA设置

rootTA选取主密钥并计算主公钥，向RSU签发证书，生成系统全局参数 将系统全局参数 预装入车辆和RSU中并维护成员列表ML；其中，是双线性映射，G₁，G₂，G_T是循环群，q是循环 群的阶，g₁，g₂分别是G₁，G₂的生成元，y和e分别是主公钥的一部分，ψ是G₂到G₁的同构映射，H₀(·)，H₁(·)，H₃(·)是哈希函数，是带密钥key的哈希函数，E_π(·)/D_π(·)表示对 称加密方案，π为密钥，E_π(·)和D_π(·)分别是加密和解密算法；

(2)RSU设置

RSU选取一对私钥并计算一对公钥，其中一个私钥用来为车辆生成成员秘密，另一 个私钥用来在RSU和车辆之间组成安全信道，之后RSU向rootTA发送公钥和身份信息，root TA为RSU生成短期的数字证书并将该证书发送给RSU，RSU在其通信范围内广播证书；

(3)车辆设置

rootTA通过对车辆身份标识和有效期计算得到车辆的内部假名，并选取鉴别密 钥，向成员列表添加车辆的身份标识、授权期、内部假名和鉴别密钥，车辆将系统参数、内部 假名和鉴别密钥存入防渗透设备；所述防渗透设备指没有攻击者能够从中获得存储信息的 设备；

(4)内部假名和鉴别密钥更新

如果车辆的内部假名和鉴别密钥超出有效期，车辆通过RSU向rootTA发送更新请 求，rootTA收到请求并验证通过后，计算对应车辆的新的内部假名并选取新的鉴别密钥， 然后更新成员列表中对应的元组并向车辆发送新的内部假名和鉴别密钥，车辆收到信息并 验证通过后更新内部假名和鉴别密钥；

(5)车辆获得成员秘密和授权期

当车辆进入RSU维护的群组时，如果车辆没有RSU的成员秘密或授权期已经到期， 首先车辆验证RSU广播的证书是否有效，若有效，车辆向RSU发送获取成员秘密的请求，RSU 收到请求并验证有效后，将请求转发给rootTA，rootTA验证有效后向RSU发送信息表示对 应的车辆是合法的，RSU收到信息后选取授权期和成员秘密并将其发送给车辆，车辆收到信 息并验证有效后将授权期和成员秘密存入防渗透设备中；

(6)车辆生成签名和更新成员秘密

首先车辆通过对内部假名计算生成公开假名，然后对公开假名计算得到一次性签 名密钥，再对签名密钥计算生成签名，并广播消息、公开假名和签名，另外存储在防渗透设 备中的成员秘密可以在本地更新；

(7)追踪、消息验证和信息存储

当有恶意车辆发送虚假消息，rootTA能查找出虚假消息的产生者；当某个验证者 收到多个消息和签名，验证者计算出聚合签名，计算消息、公开假名和证书的哈希值，通过 双线性映射判断等式是否成立，若等式成立则说明消息验证成功且验证的消息均有效，之 后验证者将公开假名和身份标识的集合、消息的联结、聚合签名存储在本地数据库中。

步骤(4)所述更新内部假名和鉴别密钥，具体包括：

1)车辆选取随机数表示不包含0的阶为q的整数群，计算随机数的承诺 g₁是循环群G₁的生成元，计算哈希值H₃是第3个哈希函数，e是主 公钥的一部分，τ_t表示时间戳，计算密文π_i表示密钥，λ_i表示鉴别密钥，将 通过RSU发送给rootTA；

2)当rootTA收到若τ_t有效，进行下一步，否则终止；

3)计算密钥π_i＝H₃(z，e，z^η，τ_t)，η是rootTA选取的一个主密钥，通过计算解密获得(λ′_i，τ′_t)，λ′_i为解密获得的鉴别密钥，τ′_t为解密获得的时间戳；

4)验证τ′_t是否有效，若有效，进行下一步，否则终止；

5)查找成员列表ML中满足λ′_i＝λ_i的元组表示车辆V_i的 身份标识，表示车辆V_i的内部假名，VP_i表示车辆V_i的内部假名的有效期，若存在满足 条件的元组，进行下一步，否则终止；

6)如果VP_i是未更新过的，选取车辆V_i的一个新的内部假名的有效期VP′_i，计算车 辆V_i的新的内部假名表示带密钥Λ的哈希函数，选取新的鉴 别密钥否则终止；

7)计算密文其中是一个基于哈希的消息鉴别码， 表示带λ′_i的哈希函数，将发送给H₄为第4个哈 希函数，将添加进成员列表ML；

8)当发出z的收到计算获得表示 计算得到的车辆的内部假名，λ′_i表示计算得到的鉴别密钥，τ″_t表示计算得到的时间戳， 表示计算得到的消息鉴别码，验证τ″_t和是否有效，若有效，将设置为 新的内部假名和鉴别密钥，否则终止。

步骤(5)所述车辆向RSU发送获取成员秘密的请求，具体包括：

1)当车辆进入路边单元管理的群组且没有当前群组的成员秘密，先验证广 播的证书是否有效，如果中的签名无效则终止，否则从中提取的身份 标识和公钥(y_j，e_j)，选取随机数计算随机数的承诺计算哈希值 H₃表示第3个哈希函数，其中e_j表示 的一部分公钥，τ_t为时间戳，π_i1和π_i2作为加密方案E_π(·)/D_π(·)的密钥，计算密文λ_i为鉴别密钥，将发送给

2)当收到如果τ_t有效，将通过安全信道转发给 rootTA，否则终止；

3)当rootTA收到计算哈希值和 获得(λ′_i，τ′_t)，λ′_i为计算得到的鉴别密钥，τ′_t为计算得到的时间戳，如果在成员 列表ML的元组中不存在λ′_i＝λ_i，或者τ_t≠τ′_t，或者授权期VP_i超出有效 期，则终止，否则通过安全信道向发送1。

步骤(5)所述RSU收到信息后选取授权期和成员秘密并将其发送给车辆，具体包 括：

当从rootTA收到1，计算哈希值η_j表示的私钥 的一部分，选取授权期τ_p和两个成员秘密(α_j，β_j)，α_j和β_j满足κ_j＝α_jβ_j，κ_j是RSU的一个私钥， 计算哈希值表示带密钥π_i1的哈希函数，计算密文广播H₄(f)为哈希值。

步骤(5)所述车辆收到信息并验证有效后将授权期和成员秘密存入防渗透设备 中，具体包括；

当生成f的收到使用密钥π_i1计算获得验 证是否成立，如果等式成立，将成员秘密(α_j，β_j)和授权期τ_p存入防渗 透设备TPD，否则终止，成员秘密只能在授权期内使用，当授权期超时将成员秘密从TPD中删 除。

步骤(6)的车辆生成签名，具体包括：

1)通过计算生成公开假名PPID_i，t，PPID_i，t表示车辆在 有效期t内的公开假名，为车辆内部假名，H₄为第4个哈希函数；

2)计算哈希值pid_i，t，0＝H₀(PPID_i，t，0)，pid_i，t，1＝H₀(PPID_i，t，1)；计算中间值 其中α_k和β_k分别表示成 员秘密的一部分；s_i，t＝(s_i，t，0，s_i，t，1)作为的一次性签名密钥；

3)假设消息为m_i，计算哈希值再计算σ_i，t作为生成的签名，为的证书，广播(m_i，PPID_i，t，σ_i，t)。

步骤(6)的更新成员秘密，具体包括：

选取随机数计算新的成员秘密α′_j＝rα_j和β′_j＝r^-1β_j，(α_j＝α′_j，β_j＝β′_j) 作为新的成员秘密。

步骤(7)所述rootTA查找出虚假消息的产生者，具体包括：

1)rootTA从消息m_i中提取时间戳τ_t，从τ_t中获知消息产生者的内部假名的有效期 VP_i；

2)验证等式是否成立，表示要追踪的车辆v′_i在 有效期t′内的公开假名，其中是ML中元组的一个元素，当等式成 立，输出对应车辆的身份标识

步骤(7)的消息验证，具体包括：

1)验证者将公开假名分成l组表示时间戳j₁上的车辆的公开假名，同样表示时间戳上的车辆的公开假名，和 有类似的含义，t₁表示第t₁个车辆同理t₂，t₃…t_n有同样的含义，然后计算签名 的连乘积

2)计算哈希值和其中

3)定义若干组实体验 证是否成立，表示双线性映射，其中是双线性映射， g₂是循环群G₂的生成元，y_j是RSU公钥的一部分，当等式成立输出1，表示消息验证成功且验 证的消息均有效，否则输出0。

步骤(7)的信息存储，具体包括：

作为存储的信息，验证者在验证消息后将其存储在本地数据库中，m_n表示第n条信 息。

与现有技术相比，本发明的显著优点为：

(1)满足有条件的不可关联隐私

不可关联隐私意味着攻击者不能分辨出两个不同的有效消息是否由同一车辆生 成，而且这种隐私是有条件的，即当有虚假消息被发现时，根可信机构能获得消息生成者的 真实身份。

(2)不依赖理想严格的防渗透设备

本发明中，存储在防渗透设备中的车辆内部假名定期更新，使攻击者不能在有限 时间内实施边信道攻击；防渗透设备中的成员秘密由乘法秘密共享技术保护，即使攻击者 能够获得成员秘密，他只能影响对应路边单元范围内的车辆。

(3)无密钥托管问题

除了车辆本身，没有其他单个实体能够代表车辆签名消息。因为路边单元不能获 得车辆的内部假名，根可信机构不能获得路边单元的私钥，因此路边单元和根可信机构都 不能代表车辆生成有效签名。

附图说明

图1为本发明的流程图。

具体实施方式

本发明的车载自组织网中具有隐私保护的分布式聚合认证方法(DAPPA)包括以下 参数：

根可信机构rootTA；

路边单元RSU；

表示第j个RSU；

表示第j个车辆；

表示由rootTA签发给的证书；

表示或的真实身份标识；

表示的内部假名标识，它由rootTA基于生成，的有效期为 VP_i；

PPID_i，t表示的公开假名标识，它基于生成；

E_π(·)/D_π(·)表示对称加密方案，π为密钥，E_π(·)和D_π(·)分别是加密和解密算 法；

表示由或rootTA生成的基于哈希的消息鉴别码。

车载自组织网中具有隐私保护的分布式聚合认证方法，其具体步骤如下：

(1)rootTA设置

rootTA选取主密钥并计算主公钥，向RSU签发证书，生成系统全局参数 将系统全局参数 预装入车辆和RSU中并维护成员列表ML，是双线性映射，G₁，G₂，G_T是循环群，q是循环群的 阶，g₁，g₂分别是G₁，G₂的生成元，y和e分别是主公钥的一部分，ψ是G₂到G₁的同构映射，H₀(·)，H₁(·)，H₃(·)是哈希函数，是带密钥key的哈希函数，E_π(·)/D_π(·)表示对 称加密方案，π为密钥，E_π(·)和D_π(·)分别是加密和解密算法；具体如下：

1)生成q，G₁，G₂，G_T，g₁，g₂，ψ，选取κ，η作为主密钥，其中表示不包含0 的阶为q的整数群，计算作为主公钥，κ用来给RSU签发证书，η用来在rootTA 和RSU或车辆之间建立安全信道；

2)选取E_π(·)/Dπ(·)和哈希函数 其中表示带密钥的哈希，key的密 钥空间为{0，1}^*，Γ表示π的密钥空间，l为不小于q的二进制长度的一个值；

3)从key的密钥空间中选取秘密值Λ；

4)将κ，η，Λ保密存储，系统全局参数为

将Δ预装 入车辆和RSU中；

5)rootTA同时维护一个保密的成员列表ML。

(2)RSU设置

RSU选取一对私钥并计算一对公钥，其中一个私钥用来为车辆生成成员秘密，另一 个私钥用来在RSU和车辆之间组成安全信道，之后RSU向rootTA发送公钥和身份信息，root TA为RSU生成短期的数字证书并将该证书发送给RSU，RSU在其通信范围内广播证书；具体如 下：

1)选取κ_j，计算(κ_j，η_j)作为的私钥，(y_j，e_j)作为 的公钥；

2)将(y_j，e_j)和识别信息通过安全信道发送给rootTA；

3)rootTA为生成短期的证书sig_j表示rootTA对 的签名；

4)在其通信范围内广播

(3)车辆设置

rootTA通过对车辆身份标识和有效期计算得到车辆的内部假名，并选取鉴别密 钥，向成员列表添加车辆的身份标识、授权期、内部假名和鉴别密钥，车辆将系统参数、内部 假名和鉴别密钥存入防渗透设备；具体如下：

1)当车辆加入车载自组织网系统，rootTA为其计算选 取一个

鉴别密钥λ_i，要求λ_i的二进制长度不小于q的二进制长度；

2)将Δ，λ_i存入防渗透设备TPD中；

3)将添加到rootTA的成员列表ML中。

(4)内部假名和鉴别密钥更新

如果车辆的内部假名和鉴别密钥超出有效期，车辆通过RSU向rootTA发送更新请 求，rootTA收到请求并验证通过后，计算对应车辆的新的内部假名并选取新的鉴别密钥， 然后更新成员列表中对应的元组并向车辆发送新的内部假名和鉴别密钥，车辆收到信息并 验证通过后更新内部假名和鉴别密钥；具体如下：

1)车辆选取随机数表示不包含0的阶为q的整数群，计算随机数的承 诺g₁是循环群G₁的生成元，计算哈希值π_i＝H₃(z，e，e^γ，τ_t)，H₃是第3个哈希函数，e是 主公钥的一部分，τ_t表示时间戳，计算密文π_i表示密钥，λ_i表示鉴别密钥，将 通过RSU发送给rootTA；

2)当rootTA收到若τ_t有效，进行下一步，否则终止；

3)计算密钥π_i＝H₃(z，e，z^η，τ_t)，η是rootTA选取的主密钥的一部分，通过计算 解密获得(λ′_i，τ′_t)，λ′_i为解密获得的鉴别密钥，τ′_t为解密获得的时间戳；

4)验证τ′_t是否有效，若有效，进行下一步，否则终止；

5)查找成员列表ML中满足λ′_i＝λ_i的元组表示车辆V_i的 身份标识，表示车辆V_i的内部假名，VP_i表示车辆V_i的内部假名的有效期，若存在满足 条件的元组，进行下一步，否则终止；

6)如果VP_i是未更新过的，选取车辆V_i的一个新的内部假名的有效期VP′_i，计算车 辆V_i的新的内部假名表示带密钥Λ的哈希函数，选取新的鉴 别密钥否则终止；

7)计算密文其中是一个基于哈希的消息鉴别 码，表示带λ′_i的哈希函数，将发送给H₄为第4 个哈希函数，将添加进成员列表ML；

8)当发出z的收到计算获得表示 计算得到的车辆的内部假名，λ″_i表示计算得到的鉴别密钥，τ″_t表示计算得到的时间戳， 表示计算得到的消息鉴别码，验证τ″_t和是否有效，若有效，将设置为 新的内部假名和鉴别密钥，否则终止。

(5)车辆获得成员秘密和授权期

当车辆进入RSU维护的群组时，如果车辆没有RSU的成员秘密或授权期已经到期， 首先车辆验证RSU广播的证书是否有效，若有效，车辆向RSU发送获取成员秘密的请求，RSU 收到请求并验证有效后，将请求转发给rootTA，rootTA验证有效后向RSU发送信息表示对 应的车辆是合法的，RSU收到信息后选取授权期和成员秘密并将其发送给车辆，车辆收到信 息并验证有效后将授权期和成员秘密存入防渗透设备中；具体如下：

1)当车辆进入路边单元管理的群组且没有当前群组的成员秘密，先验证广 播的证书是否有效，如果中的签名无效则终止，否则从中提取的身份 标识和公钥(y_j，e_j)，选取随机数计算随机数的承诺计算哈希值 H₃表示第3个哈希函数，其中e_j表示 的一部分公钥，τ_t为时间戳，π_i1和π_i2作为加密方案E_π(·)/D_π(·)的密钥，计算密文λ_i为鉴别密钥，将发送给二

2)当收到如果τ_t有效，将通过安全信道转发给 rootTA，否则终止；

3)当rootTA收到计算哈希值和获得(λ′_i，τ′_t)，λ′_i为计算得到的鉴别密钥，τ′_t为计算得到的时间戳，如果在成员列表ML的 元组中不存在λ′_i＝λ_i，或者τ_t≠τ′_t，或者授权期VP_i超出有效期，则终 止，否则通过安全信道向发送1；

4)当从rootTA收到1，计算哈希值η_j表示的私 钥的一部分，选取授权期τ_p和两个成员秘密(α_j，β_j)，α_j和β_j满足中间值κ_j＝α_jβ_j，计算哈希值 表示带密钥π_i1的哈希函数，计算密文广播H₄(f)为哈希值；

5)当生成f的收到使用密钥π_i1计算获得验 证是否成立，如果等式成立，将成员秘密(α_j，β_j)和授权期τ_p存入防渗 透设备TPD，否则终止，成员秘密只能在授权期内使用，当授权期超时将成员秘密从TPD中删 除。(6)车辆生成签名和更新成员秘密

车辆通过基于身份的聚合签名方案和假名机制和乘法秘密共享技术实现消息的 认证性、不可否认性和有条件的不可关联隐私，首先车辆通过对内部假名计算生成公开假 名，然后对公开假名计算得到一次性签名密钥，再对签名密钥计算得到签名并广播消息、公 开假名和签名，最后存储在防渗透设备中的成员秘密可以在本地更新；假设已经获得成 员秘密(α_j，β_j)且未超过授权期，具体如下：

1)通过计算生成公开假名PPID_i，t，PPID_i，t表示车辆在有效期t内的公开假名，为车辆内部假名，H₄为第4个哈希函数；

2)计算哈希值pid_i，t，0＝H₀(PPID_i，t，0)，pid_i，t，1＝H₀(PPID_i，t，1)；计算中间值 其中α_k和β_k分别表示成 员秘密的一部分；s_i，t＝(s_i，t，0，s_i，t，1)作为的一次性签名密钥；

3)假设消息为m_i，计算哈希值和签名为的证书，广播(m_i，PPID_i，t，σ_i，t)；

4)选取随机数计算新的成员秘密α′_j＝rα_j和β′_j＝r^-1β_j，(α_j＝α′_j，β_j＝β′_j) 作为新的成员秘密。

(7)消息验证和签名存储

验证者计算聚合签名，计算消息、公开假名和证书的哈希值，通过双线性映射判断 等式是否成立，若等式成立则说明聚合签名有效，之后验证者将公开假名和身份标识的集 合、消息的联结、聚合签名存入本地数据库中；假设所有签名都由来自同一群组或者相邻群 组的车辆生成，具体如下：

1)公开假名被分成l组表示时间戳j₁上的车辆的公开假名，同样表示时间戳上的车辆的公开假名，之后的参数有类似的含义，t₁表示第t₁个车辆同理t₂，t₃…t_n有同样的含义，然后计算签名的连乘积

2)计算哈希值和 其中

3)定义若干组实体验 证是否成立，表示双线性映射，其中是双线性映射， g₂是循环群G₂的生成元，y_j是RSU公钥的一部分，当等式成立输出1，否则输出0；

4)车辆或RSU将存储在本地数据库中，m_n表示第n条信息。

(8)追踪

当有恶意车辆发送虚假消息，rootTA从虚假消息中提取出时间戳，根据时间戳得 到消息产生者的内部假名及其有效期，通过验证哈希函数等式是否成立来确定成员列表中 对应的元组，根据元组确定消息产生者的真实身份标识；假设虚假消息为m_j，该消息对应的 公开假名为具体如下：

1)rootTA从m_i中提取τ_t，从τ_t中获知消息产生者的内部假名的有效期VP_i；

2)验证等式是否成立，表示要追踪的车辆v′_i在 有效期t′内的公开假名，其中是ML中元组的一个元素，当等式成 立，输出对应车辆的身份标识