趙宗渠,王瀚博,李 英,湯永利

(河南理工大學(xué) 軟件學(xué)院,河南 焦作 454000)

0 引 言

2004年國際電信聯(lián)盟(ITU)發(fā)表了《The internet of things》[1]的年度報告,宣告了物聯(lián)網(wǎng)時代即將到來。物聯(lián)網(wǎng)的快速發(fā)展促進(jìn)了車聯(lián)網(wǎng)的產(chǎn)生,隨著國內(nèi)外智能汽車和智能交通服務(wù)的飛速發(fā)展,車載自組織網(wǎng)絡(luò)(vehicular ad-hoc network,VANET)相關(guān)理論和技術(shù)也不斷成熟,極大地提高了駕駛安全和交通效率,同時車輛通信中的身份隱私保護(hù)、信息傳輸正確性與及時性等需求也被廣泛關(guān)注。文獻(xiàn)[2]將VANET中的車輛命名為智能車輛,介紹了道路安全、交通管理和駕駛便利性等發(fā)展方向,并分析了智能車輛可能遭受到的隱私安全威脅。文獻(xiàn)[3]討論了智能車輛的敏感信息保密性和身份認(rèn)證正確性的功能需求,在概念性的安全架構(gòu)下,設(shè)計了使用匿名證書和公鑰密碼框架的安全協(xié)議,針對該協(xié)議進(jìn)行了詳細(xì)的威脅分析和安全性證明,但協(xié)議本質(zhì)是建立在公鑰基礎(chǔ)設(shè)施(public key infrastructure,PKI)之上的,存在證書管理問題,效率會在一定程度上被限制。

目前,基于身份的簽名協(xié)議成為研究重點,其解決了公鑰證書管理的問題,且具有高效、靈活的特點。在VANET中車輛不希望其身份、位置等私人信息被泄露,使用與原始真實身份(identity document,ID)密切相關(guān)的假名來支持身份的匿名性是解決隱私性的優(yōu)秀方法[4]。文獻(xiàn)[5]設(shè)計了基于身份的簽名協(xié)議(identity based signature,IBS),并將其用于VANET的基于身份的條件隱私保護(hù)認(rèn)證協(xié)議(ID-based conditional privacy preserving authentication,ID-based CPPA)以解決傳統(tǒng)基于PKI的CPPA協(xié)議證書開銷過大的問題,但該協(xié)議是基于雙線性配對的密碼方案,雙線性對運算有復(fù)雜的冪指數(shù)運算,計算開銷往往較大。車聯(lián)網(wǎng)環(huán)境下對通信效率要求嚴(yán)格,大量的雙線性對運算會造成較大的時間消耗,為了避免使用雙線性對運算,文獻(xiàn)[6]提出了一種基于身份的CPPA協(xié)議,該協(xié)議是基于橢圓曲線加密算法的密碼方案。文獻(xiàn)[7]使用橢圓曲線加密算法構(gòu)建了一個輕量級CPPA協(xié)議,該協(xié)議解決了私鑰妥協(xié)問題,防止了權(quán)限升級攻擊,然而該協(xié)議因網(wǎng)絡(luò)管理員必須存儲大量相關(guān)信息而導(dǎo)致存儲成本很高。

現(xiàn)有大部分車聯(lián)網(wǎng)上隱私保護(hù)協(xié)議的安全性都規(guī)約到傳統(tǒng)密碼原語,而傳統(tǒng)密碼算法中的冪指數(shù)運算過于繁瑣,使得智能車輛有限的處理能力成為這類協(xié)議的性能瓶頸。而基于格的密碼協(xié)議相關(guān)運算是在向量矩陣上的加與乘等相關(guān)運算,可以減小計算開銷,且隨著量子計算機(jī)的發(fā)展,RSA加密算法、橢圓曲線加密算法等傳統(tǒng)密碼體制依賴的基礎(chǔ)數(shù)學(xué)困難問題,即大整數(shù)分解、橢圓曲線離散對數(shù)等問題,在理論上可以被量子計算機(jī)上運行的Shor算法求解[8],因此,未來這些傳統(tǒng)密碼原語協(xié)議的安全性都將受到威脅。基于格上困難問題在多項式時間內(nèi)不存在已知量子求解算法,為了抵抗未來可能的量子攻擊和追求更高的效率,基于格的隱私保護(hù)協(xié)議進(jìn)入人們視線。

文獻(xiàn)[9]使用一種基于格的環(huán)簽名協(xié)議,其擁有較高的安全性和可追溯性,能夠有效解決車聯(lián)網(wǎng)中的隱私保護(hù)問題,但該協(xié)議使用零知識證明等復(fù)雜運算,導(dǎo)致效率并不優(yōu)越。文獻(xiàn)[10]結(jié)合格密碼和環(huán)簽名,提出了一種基于格的雙重認(rèn)證環(huán)簽名,該協(xié)議提供身份驗證,但缺乏完全匿名性?；诃h(huán)簽名的簽名協(xié)議由于其簽名密鑰受用戶數(shù)量影響,在用戶數(shù)量龐大時,簽名消耗也會相應(yīng)增大,因而受到較大限制。文獻(xiàn)[11]提出了一種新的基于格的條件隱私保護(hù)認(rèn)證協(xié)議,使用基于格的數(shù)字簽名來完成簽名協(xié)議,但其存在簽名長度過長的問題。同時,這些協(xié)議中的用戶簽名私鑰都包含了格陷門信息,此類陷門在生成時有比較嚴(yán)格的規(guī)定,不但增加了協(xié)議的計算開銷,而且限制了協(xié)議的應(yīng)用場景。

因此,本文提出一種格上基于身份的隱私保護(hù)協(xié)議。首先,基于小整數(shù)解(small integer solution,SIS)困難問題使本協(xié)議具有抗量子攻擊的特性;其次,本協(xié)議利用LPR雙重加密算法[12]對車輛真實身份進(jìn)行加密處理,將密文作為匿名身份,確保車輛的真實身份不會因為惡意攻擊而泄露,保證車輛的隱私性;最后,基于身份的簽名是輕量級認(rèn)證的重要技術(shù),拒絕采樣技術(shù)的使用避免了簽名協(xié)議對陷門的依賴,使本協(xié)議有更好的可行性。

1 預(yù)備知識

1.1 車聯(lián)網(wǎng)

1.1.1 網(wǎng)絡(luò)模型

VANET是包含車輛和路邊基礎(chǔ)設(shè)施的無線網(wǎng)絡(luò),典型的網(wǎng)絡(luò)結(jié)構(gòu)由車載單元(on board unit,OBU)、路側(cè)單元(road side unit,RSU)和可信授權(quán)機(jī)構(gòu)(trust authority,TA)組成,如圖1所示。圖1中,TA是第三方設(shè)備,它在RSU的幫助下完成所需設(shè)備的注冊、車輛的驗證并監(jiān)控整個網(wǎng)絡(luò);RSU是位于路邊固定的無線設(shè)備,充當(dāng)TA和車輛OBU之間的中介,并將安全指令傳遞給范圍內(nèi)的車輛;OBU是固定在車輛上的存儲設(shè)備,用于接收或傳輸相鄰車輛重要信息,同時車輛內(nèi)部裝配有防篡改設(shè)備(tamper-proof devices,TPD),它可以記錄一些隱私的數(shù)據(jù),且不會造成泄露,具有一定抵抗攻擊的能力。車聯(lián)網(wǎng)環(huán)境下,通信模式主要分為兩種,一種是路側(cè)設(shè)備(RSU)和車載單元(OBU)間的通信(vehicle to infrastructure,V2I),另一種是單純依靠車載單元(OBU)的車間通信(vehicle to vehicle,V2V)。雖然車聯(lián)網(wǎng)節(jié)點拓?fù)浣Y(jié)構(gòu)復(fù)雜,但車輛在道路上行駛時要考慮周圍車輛的跟馳關(guān)系,還要遵循交通法規(guī)和信號燈控制,因此車聯(lián)網(wǎng)的網(wǎng)絡(luò)節(jié)點拓?fù)浣Y(jié)構(gòu)也呈現(xiàn)相應(yīng)的時空規(guī)律性,可以滿足通信需求。

圖1 VANET網(wǎng)絡(luò)模型Fig.1 VANET network model

1.1.2 安全需求

在部署VANET時,必須確保消息在傳輸過程中不會被修改,同時需要對車輛隱私信息進(jìn)行保護(hù),但是車聯(lián)網(wǎng)中的隱私保護(hù)是有條件的隱私保護(hù),在特殊情況下,可信機(jī)構(gòu)需要揭露惡意車輛真實身份。綜上所述,為了保證車聯(lián)網(wǎng)中的通信安全,隱私保護(hù)協(xié)議必須滿足以下安全需求。

1)消息完整性驗證。車聯(lián)網(wǎng)中的任何參與者都可以驗證消息是否是未經(jīng)修改的合法簽名,并驗證發(fā)送方身份的合法性。

2)匿名性。車輛的身份對于除TA之外的所有參與者都應(yīng)該是匿名的,RSU和其他車輛不能夠通過分析簽名消息來確定發(fā)送車輛的真實身份。

3)可追溯性。在需要時,TA能夠從惡意車輛發(fā)送的信息中提取車輛的真實身份?？勺匪菪院湍涿越Y(jié)合即為條件隱私保護(hù)。

4)抵抗已知惡意攻擊?；诟竦碾[私保護(hù)協(xié)議需要抵抗VANET中多種常見攻擊,例如中間人攻擊、模擬攻擊、修改攻擊。另外該協(xié)議不易被量子算法攻破。

1.2 短格基

定理1.1陷門生成算法

定理1.2原像采樣算法

在本協(xié)議的構(gòu)造中,需要一個有效的算法來提取每個用戶的簽名密鑰S,對于用戶定義的矩陣U,滿足AS=U(mod(q)),使用文獻(xiàn)[15]中的矩陣采樣算法SampleMat來滿足使用需求。其工作原理如下。

運行算法SamplePre(A,B,s,ui)→si∈Zm產(chǎn)生k個n維列向量si,輸出S=[s1,…,sk]∈Zm×k。

1.3 困難問題

定義1.2決策環(huán)上容錯學(xué)習(xí)問題(decision ring-learning with errors,DRLWE)。給定n,m≥1,q≥2,R上的一個概率分布χ,對于s∈Rq,隨機(jī)選取a←Rq和e←χ,定義由(a,b=a·s+e)產(chǎn)生的分布As,χ,DRLWE問題是指判別m個樣本是取自分布As,χ還是取自分布U(Rq×Rq),DRLWE問題是LWE困難問題的變體。

SIS和LWE困難問題可以用于構(gòu)造哈希函數(shù)、身份認(rèn)證、數(shù)字簽名等密碼方案,其被廣泛應(yīng)用在格密碼領(lǐng)域中,且SIS困難問題和LWE困難問題及其變體可以在多項式時間內(nèi)規(guī)約到最短獨立向量問題(shortest independent vectors problem,SIVP),在平均情況下找到SIS問題的解和LWE問題的解與在最糟糕情況下求解SIVP問題一樣困難,而SIVP困難問題在多項式時間內(nèi)不存在已知量子高效求解算法,因此SIS困難問題和LWE困難問題可以構(gòu)造抵抗量子算法攻擊的后量子密碼算法。

1.4 拒絕采樣技術(shù)

2012年,文獻(xiàn)[16]首次提出拒絕采樣(rejection sampling,RS)技術(shù),并基于拒絕采樣技術(shù)提出格上首個無陷門簽名方案。該技術(shù)應(yīng)用于簽名體制能夠以確定的概率輸出簽名并使得輸出簽名的分布與簽名私鑰的分布相互獨立,可以有效防止簽名私鑰泄露。關(guān)于拒絕抽樣技術(shù),有如下結(jié)論。

定理1.3令V={v∈Zm:‖v‖

2 車聯(lián)網(wǎng)中格上基于身份的隱私保護(hù)協(xié)議

本節(jié)設(shè)計了一種車聯(lián)網(wǎng)中格上基于身份的隱私保護(hù)協(xié)議,其數(shù)字簽名方案基于SIS困難問題,使用LPR雙重加密算法對車輛真實身份進(jìn)行加密保護(hù),確保了量子環(huán)境中的安全性和隱私性。該協(xié)議包括系統(tǒng)初始化、匿名身份和簽名密鑰生成、簽名、驗證、追溯5個階段。在系統(tǒng)初始化階段,TA為所有RSU和車輛生成并預(yù)加載系統(tǒng)參數(shù);匿名身份生成和私鑰提取階段,車輛將真實身份發(fā)送給TA,TA生成匿名身份和簽名密鑰并分發(fā)給車輛,車輛接收到匿名身份和簽名密鑰后存儲到防篡改設(shè)備中;簽名階段,車輛使用自身的匿名身份和私鑰進(jìn)行簽名,通過OBU或RSU進(jìn)行車輛間的通信;驗證階段,車輛檢查接收消息是否通過。在特殊情況下,TA對車輛的真實身份進(jìn)行揭示。

2.1 系統(tǒng)初始化階段

輸入安全參數(shù)后,密鑰生成器(PKG)運行算法生成主密鑰Msk。算法工作如下。

Setup(n):輸入安全參數(shù)n;

3)輸出公共參數(shù)P={A,H,H1}和系統(tǒng)主私鑰Msk=B。

2.2 匿名身份和簽名密鑰生成階段

車輛需要將真實身份ID通過安全信道發(fā)送給TA,TA先將身份ID進(jìn)行加密,生成匿名身份pID來保護(hù)車輛的身份隱私,使用Msk為PKG生成簽名所需的私鑰Psk。最后再將匿名身份pID和私鑰Psk發(fā)送給車輛,車輛將相關(guān)信息存儲到TPD中防止他人獲取。

TA使用LPR雙重加密算法[16]來加密車輛真實身份。加密身份步驟如下。

2)隨機(jī)選取e1,e2←Xn,s1←X,令iID∈{0,1}l,計算t1=as1+e1,t2=bs1+e2+q/2iID;

3)輸出車輛的匿名身份pID,i=(t1,t2,Ti)。

提取私鑰步驟如下。

Extract(P,Msk,pID):輸入公共參數(shù)P,主密鑰Msk和車輛匿名身份pID;

1)運行算法SampleMat(A,B,s,H1(pID,i)),獲得簽名私鑰Psk,i=Si∈Zm×k;

3)輸出簽名密鑰Psk,i=Si。

此時H1(pID,i)相當(dāng)于車輛驗證簽名時所需的公鑰Ppid,即Ppid=H1(pID,i),Ti為時間戳,TA將車輛簽名所需的匿名身份(pID,i)、簽名私鑰Psk,i發(fā)送給車輛,車輛接收后存儲到防篡改設(shè)備TPD中,防止泄露更改。

2.3 簽名階段

簽名步驟如下。

Sign(μ,Psk,i,P)→(z,c)。

2)c←H(Ay,μ);

3)z←y+Sic;

簽名階段由車輛完成,車輛與車輛、車輛與RSU之間的通信按照相同形式完成。車輛在收到TA返回的簽名私鑰和匿名身份后,以匿名身份進(jìn)行消息簽名,簽名需要輸入公共參數(shù)P,輸入簽名消息μ,以及簽名私鑰Psk,i。車輛先在高斯分布中隨機(jī)選取一個向量y,而后將A與y相乘,再與消息μ一同經(jīng)過哈希運算得到向量c,然后再把私鑰Si和c相乘與y相加,最后以拒絕采樣的概率輸出簽名對(z,c)。

2.4 驗證階段

在這一階段驗證者需要檢查簽名的有效性,驗證步驟如下。

Verify(P,μ,Ssig,pID,i)→0 or 1。

驗證階段由驗證者完成,在VANET中驗證者角色由RSU或接收車輛來扮演。本協(xié)議是基于身份的簽名,在驗證階段只需要輸入匿名身份來進(jìn)行簽名驗證。輸入匿名身份pID,i后,通過哈希函數(shù)H1來計算公鑰,同時輸入公共參數(shù)P、簽名消息μ以及簽名對(z,c)。驗證通過則輸出1,驗證失敗則輸出0。

2.5 追溯階段

此階段由TA運行,在需要時揭露惡意車輛真實身份。車聯(lián)網(wǎng)的安全需求是保護(hù)車輛的真實身份,但特殊情況下需要找到車輛的真實身份來維護(hù)網(wǎng)絡(luò)中的秩序。因此需要可信第三方有能力追溯惡意車輛。TA在收到惡意簽名消息以及相應(yīng)參數(shù)后,使用簽名的匿名身份來進(jìn)行解密操作,具體步驟如下。

Trace(pID,i)→iID。

pID,i=(t1,t2,Ti),TA進(jìn)行解密iID=t2-t1s。

解密過程如下。

t2-t1s=bs1+e2+?q/2」iID-(as1+e1)s=

ass1+es1+e2+?q/2」iID-as1s+e1s=

?q/2」iID+es1+e2+e1s

e、s都從錯誤分布當(dāng)中選取,其本身是非常小的一個擾動。因為身份iID∈{0,1}l,所以?q/2」iID+es1+e2+e1s是趨近于q/2的一個向量,趨近于q/2則輸出1,趨近于0則輸出0,如此可以獲得解密后的明文,即真實身份ID。影響本協(xié)議運行效率的主要是簽名和驗證兩部分,追蹤算法僅在出現(xiàn)惡意車輛違規(guī)操作等情況時才運行,因此協(xié)議效率不考慮追蹤步驟的消耗。

3 協(xié)議的安全性分析

3.1 正確性證明

根據(jù)隱私保護(hù)協(xié)議的構(gòu)建,可以得到

Az-H1(pID,i)c=Az-ASic=A(z-Sic)=Ay,因此有H(Az-H1(pID,i)c,μ)=H(Ay,μ)=c。

以上證明了簽名驗證算法的正確性。

3.2 安全性證明

3.2.1 安全模型

3.2.2 安全性證明

定理3.1不可偽造性?；赟IS問題的難度,提出的基于身份的簽名協(xié)議對于隨機(jī)預(yù)言模型中的自適應(yīng)選擇消息和身份攻擊是存在不可偽造的。

通過上述證明與分析可知,簽名協(xié)議不可偽造性的困難性是基于SIS困難問題的,而SIS困難問題可以規(guī)約到SIVP問題,任何多項式時間算法都無法解決SIVP問題,因此本協(xié)議在理論上可以抵抗量子算法的攻擊。

定理3.2匿名性。在RLWE問題的假設(shè)下,本文方案在隨機(jī)預(yù)言模型中是匿名的。

下面通過證明G0和G1游戲的不可區(qū)分來證明本方案的匿名性。

3.2.3 安全需求分析

1)消息完整性和身份認(rèn)證。消息接收方需要驗證發(fā)送方的合法性,并檢查接收到的消息是否被修改。根據(jù)上述安全性證明可以得出結(jié)論,由于SIS問題的困難性,任何多項式時間敵手都不能偽造有效簽名,因此接收方能夠通過檢查等式Az-H1(pID,i)c=Az-ASic=A(z-Sic)=Ay和H(Az-H1(pID,i)c,μ)=H(Ay,μ)=c來驗證簽名的有效性和完整性,因此所提協(xié)議滿足消息完整性和身份認(rèn)證的要求。

2)匿名性。在協(xié)議中,TA將車輛的真實身份加密為匿名身份,這樣做的目的是提供身份匿名性并保護(hù)車輛的隱私。生成的匿名身份包含了(t1,t2,Ti),是經(jīng)過LPR雙重加密方案加密真實身份得來的。敵手如果想要從匿名身份中提取車輛真實身份,那么必須擁有密鑰s,否則破解車輛真實身份的概率忽略不計,其困難性規(guī)約到RLWE困難問題,因此所提協(xié)議滿足車聯(lián)網(wǎng)中匿名性需求。

3)可追溯性。在VANET中,車輛使用假名互相通信。車輛的假名由TA使用ID和相應(yīng)的密鑰s加密生成。如果惡意車輛發(fā)送虛假信息影響交通系統(tǒng),那么TA有權(quán)追蹤其真實身份。車輛生成的匿名身份p′ID,i=(t1,t2,Ti)與車輛真實身份ID密切相關(guān),TA運行Trace(pID)算法,通過計算iID=t2-t1s對匿名身份進(jìn)行解密,從而提取到車輛的真實身份。因此所提協(xié)議可以滿足車輛在VANET中真實身份的可追溯性。

4)抵抗已知惡意攻擊。首先,根據(jù)上述分析可知,所提CPPA協(xié)議可以實現(xiàn)VANET中車輛之間的消息認(rèn)證,從而確保通信實體的真實性,因此協(xié)議不易受到中間人攻擊。其次,本協(xié)議通過等式Az-H1(p′ID,i)c=Az-ASic=A(z-Sic)=Ay、H(Az-H1(pID,i)c,μ)=H(Ay,μ)=c來檢測簽名(z,c)的有效性和完整性,因此所提協(xié)議可以抵抗修改攻擊。然后,對于模擬攻擊來說,在本協(xié)議中敵手想要成功模擬車輛,必須對消息μ′偽造有效簽名(z′,c′),根據(jù)定理3.1,由于SIS問題的復(fù)雜性,協(xié)議對于隨機(jī)預(yù)言模型中的自適應(yīng)選擇消息和身份攻擊是不可偽造的,對手生成消息簽名對的優(yōu)勢微乎其微,因此本協(xié)議可以抵抗模擬攻擊。最后,根據(jù)安全性證明,協(xié)議的不可偽造性基于SIS困難問題,而SIS困難問題可以規(guī)約到SIVP問題,現(xiàn)在不存在多項式時間內(nèi)的量子敵手可以解決SIVP問題,因此量子敵手在理論上也無法解決SIS問題,由此得出本協(xié)議可以抵抗量子算法攻擊的結(jié)論。

4 協(xié)議的性能分析

4.1 理論分析

車聯(lián)網(wǎng)環(huán)境有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活多變、車輛設(shè)備計算能力有限等特點,導(dǎo)致車聯(lián)網(wǎng)中的協(xié)議對通信效率和計算開銷有著嚴(yán)格的限制。我國相關(guān)規(guī)定要求非安全類時延不超過100 ms。因此,V2V和V2I之間無法進(jìn)行過于復(fù)雜的計算。V2V和V2I之間的通信體現(xiàn)在車輛的簽名階段和驗證簽名階段,故協(xié)議實施的主要限制在簽名和驗簽環(huán)節(jié)。系統(tǒng)初始化、匿名身份生成、私鑰提取以及追溯階段等沒有嚴(yán)格時間限制的環(huán)節(jié)都由擁有強大計算能力的TA運行。

綜上所述,本節(jié)從簽名生成和簽名驗證所消耗的時間進(jìn)行分析,考慮向量乘法運算等相對耗時較多的計算過程,而忽略了Hash運算、多項式以及矩陣的加減法等相對耗時較少的運算過程。以T1表示多項式向量乘法運算的單步平均耗時,T2表示矩陣向量乘法運算單步平均耗時,TN為零知識證明時間,N表示環(huán)成員個數(shù)。每種協(xié)議的簽名和驗證計算效率如表1所示。

表1 效率對比

表1中,文獻(xiàn)[9]是格上環(huán)簽名協(xié)議,在環(huán)簽名協(xié)議中,用戶需要使用自己的私鑰和其他所有用戶的公鑰對消息進(jìn)行簽名,對于一個用戶眾多的環(huán),即N很大時,計算負(fù)擔(dān)是相當(dāng)大的。此外文獻(xiàn)[9]還使用了零知識證明,會額外增加計算開銷。文獻(xiàn)[10]是基于格的防止雙重認(rèn)證的環(huán)簽名方案,除了協(xié)議性能和成員數(shù)量相關(guān)外,還需要額外的證書管理消耗。文獻(xiàn)[11]使用基于格的數(shù)字簽名實現(xiàn)需求,但其存在簽名長度過長的問題,因此本文協(xié)議在用戶眾多的情況下,會在效率上優(yōu)于環(huán)簽名協(xié)議,且在簽名長度上優(yōu)于其他協(xié)議。

多項式向量乘法運算耗時約等于矩陣向量乘法的一半,即2T1≈T2,由此可以得到簽名生成消耗的大小關(guān)系。本文協(xié)議是基于身份的簽名,其簽名生成消耗不會隨著系統(tǒng)成員數(shù)量的變化而變化,在成員數(shù)量龐大的情況下,本文協(xié)議具有可觀的效率優(yōu)勢。與文獻(xiàn)[11]相比,簽名的生成和驗證消耗是相近的,但本文協(xié)議的簽名長度更短。在考慮對比協(xié)議的通信成本時,規(guī)定所有隱私保護(hù)協(xié)議中的簽名消息、成員數(shù)是相同的;同時,其他協(xié)議中系統(tǒng)參數(shù)設(shè)置與本文協(xié)議相同或保證同等安全等級的情況下,只需要考慮這些協(xié)議生成的簽名的大小即可。參數(shù)n=128、l=128、q=1 073 479 681時,通過分析可以得到表1,本文協(xié)議在簽名階段耗時為2T2,驗證簽名耗時2T2,簽名長度所占用的存儲空間為m+k,簽名大小為 3 479 Byte。

表2對協(xié)議安全屬性和技術(shù)進(jìn)行了對比。文獻(xiàn)[10]是基于格的防止雙重認(rèn)證的環(huán)簽名方案,所有的成員相對平等且沒有群簽名中管理員的要求,但是它需要證書管理列表CRL,需要檢查簽名生成過程中使用的公鑰是否在CRL中,存在大量的身份管理成本。本文協(xié)議在滿足車聯(lián)網(wǎng)中各種安全需求的基礎(chǔ)上,使用基于身份的技術(shù),簡化了身份管理成本,在協(xié)議中不再使用CRL管理,不需要檢查簽名生成過程中使用的公鑰是否在CRL中,簡化了實際使用中對公鑰的管理成本。

表2 安全屬性和技術(shù)對比

4.2 仿真模擬

C-V2X系列協(xié)議是我國自有核心自主知識產(chǎn)權(quán)的協(xié)議,其中的LTE-V2X技術(shù)能夠使用現(xiàn)有的蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施,提供大容量的信息傳輸和低時延的廣域通信,在車速≤500 km/h的情況下,通信距離≤1 000 m,數(shù)據(jù)傳輸速率為500 Mbit/s,有5G技術(shù)的加持時,傳輸速率可大幅提升到1 Gbit/s[18],遠(yuǎn)超歐美推行的DSRC和WI-FI技術(shù)。和本文協(xié)議密切相關(guān)的是LTE-V2X技術(shù)要求端到端非安全類時延≤100 ms,安全類時延≤20 ms,因此協(xié)議的時間消耗控制在20 ms以下才能滿足標(biāo)準(zhǔn)要求。

4.2.1 仿真環(huán)境和參數(shù)設(shè)置

本文協(xié)議使用Python語言,調(diào)用Numpy庫來模擬提出的簽名協(xié)議。其中硬件為2 GB的內(nèi)存,一個主頻為2.8 GHz的雙核處理器,運行系統(tǒng)為64位Windows7。

在本文協(xié)議中,影響效率大小的因素主要和參數(shù)n、q相關(guān),n為協(xié)議的安全參數(shù),協(xié)議根據(jù)安全參數(shù)的大小來確定相關(guān)格矩陣維度以及有限群的大小,一般n取2的次冪數(shù);而q的大小也與安全水平相關(guān),q越大安全水平越高,q一般取大素數(shù)。協(xié)議需要同時考慮到安全性和效率,安全水平越高效率會越低,因此選取不同參數(shù)來模擬仿真協(xié)議消耗用時。

4.2.2 仿真結(jié)果與分析

本文仿真模擬了LPR加密真實身份的時間消耗,結(jié)果如表3所示。從表3可知,加密用戶身份的時間消耗較小,且由于這部分計算是在離線情況下進(jìn)行的,不在通信階段參與計算,因此基于RLWE的匿名化身份的操作滿足車聯(lián)網(wǎng)應(yīng)用;選取n為256、q為1 073 479 681時,簽名平均耗時為12.169 ms,驗證簽名耗時為5.669 ms,滿足LTE-V2X的安全類時延(≤20 ms)要求;參數(shù)選取更大的情況下,仍滿足非安全類時延(≤100 ms)要求。綜上所述,本文協(xié)議滿足LTE-V2X技術(shù)的指標(biāo)要求,適合在車聯(lián)網(wǎng)中實際應(yīng)用。

表3 仿真結(jié)果

5 結(jié)束語

本文提出一種新的車聯(lián)網(wǎng)中格上基于身份的隱私保護(hù)協(xié)議。首先,本文協(xié)議使用基于身份的數(shù)字簽名來解決較高的身份管理成本問題。具體來說,本文協(xié)議在成員復(fù)雜度增加的情況下,簽名消耗保持平穩(wěn),提高了計算效率。其次,本文協(xié)議的安全性基于SIS困難問題,通過理論證明,本文協(xié)議可以抵抗量子算法攻擊;同時,根據(jù)安全性分析可知,本文協(xié)議能夠抵抗偽造攻擊和各種常見惡意攻擊。最后,本文協(xié)議可以為VANET提供安全高效的V2I和V2V通信,且滿足VANET中各種安全需求。性能分析結(jié)果表明,本文協(xié)議計算消耗更小,效率更優(yōu),可以滿足我國相關(guān)行業(yè)標(biāo)準(zhǔn),滿足車聯(lián)網(wǎng)的實際應(yīng)用需求。