劉 源，張愛(ài)新

（上海交通大學(xué)，上海 200240）

0 引 言

隨著物聯(lián)網(wǎng)[1]的蓬勃發(fā)展，車(chē)聯(lián)網(wǎng)（Internet of Vehicle，IoV）[2-3]作為物聯(lián)網(wǎng)的重要組成部分之一，極大地促進(jìn)了智能交通系統(tǒng)（Intelligent Transport System，ITS）[4]的發(fā)展，在社會(huì)中發(fā)揮著越來(lái)越重要的作用。車(chē)聯(lián)網(wǎng)中，用戶(hù)可以適時(shí)地廣播位置、路況等信息。為保證車(chē)聯(lián)網(wǎng)中廣播信息的合法性和可信性，用戶(hù)在廣播信息時(shí)還需要同時(shí)提供其身份信息。換言之，在一條廣播信息中，同時(shí)存在用戶(hù)的位置信息和身份信息。文獻(xiàn)[5]指出，如果有惡意用戶(hù)持續(xù)收集來(lái)自某一固定用戶(hù)的廣播信息，可以推測(cè)出該用戶(hù)的隱私數(shù)據(jù)。比如，通過(guò)廣播信息可以跟蹤其行駛路線(xiàn)，進(jìn)而得到其生活習(xí)慣或是家庭住址等敏感信息。保護(hù)用戶(hù)的位置隱私對(duì)車(chē)聯(lián)網(wǎng)的安全發(fā)展至關(guān)重要，要保護(hù)位置隱私就需要打破位置與身份的對(duì)應(yīng)關(guān)系。可以有兩種解決方案：一是在廣播信息中使用虛擬位置，二是在廣播信息中提供用戶(hù)的虛擬身份。由于在車(chē)聯(lián)網(wǎng)中廣播共享的信息大多與位置有關(guān)，因此一般不采用虛擬位置進(jìn)行隱私保護(hù)。目前，用戶(hù)的虛擬身份大多采用生成假名的方式實(shí)現(xiàn)?；诩倜能?chē)聯(lián)網(wǎng)隱私保護(hù)方案一般由用戶(hù)、認(rèn)證中心（Trusted Authority，TA）和路邊單元（Roadside Unit，RSU）構(gòu)成。假名需要具備可認(rèn)證性和條件可追蹤性?？烧J(rèn)證性是指通過(guò)用戶(hù)的假名即可驗(yàn)證該用戶(hù)身份的合法性，同時(shí)不會(huì)泄露其真實(shí)身份信息；可追蹤性則是指當(dāng)需要對(duì)可疑用戶(hù)進(jìn)行調(diào)查取證時(shí)，可以從其假名中恢復(fù)出該用戶(hù)的真實(shí)身份。

文獻(xiàn)[6]通過(guò)在用戶(hù)的真實(shí)身份信息中加入隨機(jī)數(shù)生成假名，并經(jīng)由TA簽名后實(shí)現(xiàn)基于假名的身份認(rèn)證與追蹤。該方法假設(shè)TA是誠(chéng)實(shí)可信的，無(wú)法防止來(lái)自TA的內(nèi)部攻擊；另外，用戶(hù)每更換一次假名，都要請(qǐng)求TA進(jìn)行簽名，嚴(yán)重降低了通信效率。文獻(xiàn)[7]提出了一種通過(guò)哈希鏈生成假名的方法。首先由用戶(hù)身份和一個(gè)稱(chēng)為種子的隨機(jī)數(shù)經(jīng)哈希后得到初始假名；后續(xù)假名均由上一輪的假名哈希得到，TA要對(duì)所有假名進(jìn)行簽名操作。該方案也是建立在TA是誠(chéng)實(shí)可信的基礎(chǔ)上，身份認(rèn)證依然依賴(lài)于TA的簽名。另外，由于哈希函數(shù)的單向性，無(wú)法從假名恢復(fù)出用戶(hù)的真實(shí)身份。為實(shí)現(xiàn)追蹤功能，該方案只能遍歷所有用戶(hù)的種子并逐一計(jì)算比對(duì)，系統(tǒng)效率低下。為提高效率，文獻(xiàn)[8]提出在RSU上布設(shè)霧節(jié)點(diǎn)，以承擔(dān)部分用戶(hù)管理功能，但假名的認(rèn)證和追蹤仍然依賴(lài)于TA或RSU的簽名，沒(méi)有從本質(zhì)上解決問(wèn)題。文獻(xiàn)[9]采用零知識(shí)證明的思想實(shí)現(xiàn)條件隱私保護(hù)。首先由TA給合法用戶(hù)頒發(fā)一個(gè)證書(shū)，用戶(hù)可以通過(guò)此證書(shū)生成任意數(shù)量的假名，并且不再需要TA簽名，大大提高了系統(tǒng)效率，但是該方案依然假定TA是誠(chéng)實(shí)可信的。

綜上，目前方案的安全性均依賴(lài)于TA是誠(chéng)實(shí)可信的這一前提，TA掌握了系統(tǒng)中所有用戶(hù)及RSU的全部信息，無(wú)法有效抵御內(nèi)部攻擊。為此，本文提出了一種半可信環(huán)境下權(quán)限下放的隱私保護(hù)方法。用戶(hù)證書(shū)不再由TA單方生成，而是由TA、RSU和用戶(hù)三方共同生成。采用形式化方法對(duì)該方案的安全性進(jìn)行分析，仿真測(cè)試表明，與其他方案相比，本文方案具有更好的綜合性能。

1 系統(tǒng)模型

本文系統(tǒng)總體架構(gòu)如圖1所示，TA、RSU和用戶(hù)呈樹(shù)狀結(jié)構(gòu)。

圖1 系統(tǒng)總體架構(gòu)

本文系統(tǒng)形式化定義如下。

（1）params←Setup(1λ)：系統(tǒng)初始化，主要用于生成所需的公共參數(shù)集合params。

（2）CertR←JoinR(V1,V2,k)：RSU加入時(shí)，需要向TA進(jìn)行注冊(cè)，以便為其他用戶(hù)提供服務(wù)，并分擔(dān)TA的權(quán)限。RSU會(huì)生成自身的公私鑰對(duì)，并經(jīng)由TA合法化。

（3）CertU←JoinU(u,v,s1,s2,s3)：用戶(hù)加入時(shí)要先選定一個(gè)RSU。TA、RSU和用戶(hù)各自生成一個(gè)隨機(jī)數(shù)，分別為s1、s2和s3。TA、RSU會(huì)通過(guò)自己的私鑰u、v與用戶(hù)共同生成用戶(hù)的證書(shū)。即使某一方使用非隨機(jī)數(shù)，仍然無(wú)法影響證書(shū)的分布。

（4）Pseudonym←PseuGen(CertU)：用戶(hù)可以通過(guò)自己的證書(shū)CertU生成自身的假名。

（5）{1,0}←Verify(Pseudonym)：用戶(hù)可以驗(yàn)證其他用戶(hù)的假名，以檢驗(yàn)該用戶(hù)身份的合法性。若合法，輸出為1；若非法，輸出為0。這個(gè)過(guò)程中，無(wú)法獲取此假名對(duì)應(yīng)的用戶(hù)真實(shí)身份。

（6）A ← Trace(Pseudonym,u,v,)：TA和 RSU使用兩方協(xié)議追蹤用戶(hù)。通過(guò)TA的主私鑰u和RSU的主私鑰v可以恢復(fù)用戶(hù)的真實(shí)身份。

2 系統(tǒng)構(gòu)造

本系統(tǒng)基于SM2簽名算法[10]和條件隱私保護(hù)認(rèn)證算法[11-12]實(shí)現(xiàn)，主要流程如下。

（1）params← Setup(1λ)

若G1、G2、GT是3個(gè)p階循環(huán)群，p為素?cái)?shù)。選取一個(gè)雙線(xiàn)性映射e：G1×G2→GT，g1和g2分別為G1和G2的生成元。TA選取一個(gè)隨機(jī)數(shù)u作為私鑰。相應(yīng)公鑰為。運(yùn)算過(guò)程中，選取一個(gè)哈希函數(shù)H：{0,1}*→Z*q，則系統(tǒng)公共參數(shù)集為：

（2）CertR←JoinR(V1,V2,k)

RSU的注冊(cè)，當(dāng)有新的RSU想要加入系統(tǒng)時(shí)，將進(jìn)行如下過(guò)程：

①將選取一個(gè)隨機(jī)數(shù)v,作為主私鑰，相應(yīng)的公鑰為V1=gv1、V2=gv2，然后將公鑰發(fā)送給TA。

②TA產(chǎn)生一個(gè)隨機(jī)數(shù)k，并進(jìn)行如下計(jì)算：

③TA將{r,s}發(fā)送回正在注冊(cè)的RSU，RSU將CertR←(r,s,V1,V2)作為自身證書(shū)。

（3）CertU←JoinU(u,v,s1,s2,s3)

當(dāng)有新用戶(hù)想要加入系統(tǒng)時(shí)，應(yīng)當(dāng)先從TA處查看有哪些RSU可用，然后選擇一個(gè)合適的RSU進(jìn)行注冊(cè)（如本區(qū)域或距離自己最近的RSU），最后RSU將自身證書(shū)CertR=(r,s,V1,V2)發(fā)送給用戶(hù)。

用戶(hù)進(jìn)行如下計(jì)算：

若r′=r，則用戶(hù)接受此RSU，然后TA、RSU和用戶(hù)將共同計(jì)算用戶(hù)的證書(shū)。本文采用文獻(xiàn)[13]中所提的全同態(tài)加密進(jìn)行計(jì)算，以EncAhom(m)表示以用戶(hù)A的公鑰對(duì)消息m進(jìn)行加密，具體證書(shū)生成步驟如下：

③RSU選取一個(gè)隨機(jī)數(shù)s2，并使用TA的公鑰對(duì)vs2進(jìn)行加密，然后計(jì)算

并發(fā)送給TA。

⑤TA將{A,s1}發(fā)送給用戶(hù)，RSU將s2發(fā)送給用戶(hù)，用戶(hù)將CertU={A,s1,s2,s3}作為自身證書(shū)。

（4）Pseudonym←PseuGen(CertU)

用戶(hù)得到CertU={A,s1,s2,s3}后，可以生成自身的假名。當(dāng)他改變自身位置時(shí)，可以重新生成另一個(gè)假名。

①用戶(hù)選取一個(gè)隨機(jī)數(shù)x。

②用戶(hù)選取 7 個(gè)隨機(jī)數(shù) rx、rs1、rs2、rs3、rα、rβ、rγ，然后進(jìn)行如下計(jì)算：

其中i表示此用戶(hù)所屬RSU的編號(hào)，CertRi為其證書(shū)。

（5）{1,0}←Verify(Pseudonym)

其他用戶(hù)收到此假名后，可以驗(yàn)證此假名對(duì)應(yīng)真實(shí)身份的合法性。

①取出CertRi中的信息并計(jì)算：

②若r′=r，則進(jìn)行如下計(jì)算：

③核實(shí) c=H(TU||TV||V1||V2||δ1||δ2||δ3||δ4||δ5)是否成立。若成立，則輸出1，表示用戶(hù)為合法用戶(hù)；否則，輸出0，表示用戶(hù)為非法用戶(hù)。

（6）A←Trace(Pseudonym,u,v)

若用戶(hù)違規(guī)，其他用戶(hù)可對(duì)其進(jìn)行究責(zé)，將其假名上傳至其所屬RSU，則此RSU可以和TA共同計(jì)算非法用戶(hù)的證書(shū)，步驟如下：

①TA生成一對(duì)密鑰(pk,sk)=(h=gx,x)，然后選取一個(gè)隨機(jī)數(shù)r并計(jì)算(a,b)發(fā)送給RSU，其中：

②收到(a,b)后，RSU計(jì)算(c,d)并發(fā)送給TA，其中：

③收到(c,d)后，TA計(jì)算：

然后TA可以得到違規(guī)用戶(hù)的真實(shí)身份。

3 算法性能分析

3.1 正確性

定理1：在系統(tǒng)參與者按照規(guī)定協(xié)議工作的情況下，本方案是正確的。

證明：當(dāng)其他用戶(hù)接收到某一用戶(hù)k的假名信息后，通過(guò)判斷 c=H(TU||TV||V1||V2||δ1′||δ2′||δ3′||δ4′||δ5′)是否成立判斷用戶(hù)k的身份信息是否合法，關(guān)鍵在于c中的δi′是否與用戶(hù)k生成的δi(i=1,2,…,5)相等。

由于：

可知用戶(hù)身份驗(yàn)證方案是正確的。

3.2 隱私性

在已有的車(chē)聯(lián)網(wǎng)隱私保護(hù)方案中，匿名性及可追蹤性完全依賴(lài)于TA。TA能夠獨(dú)立地由用戶(hù)假名恢復(fù)出其真實(shí)身份，造成隱私的泄露。本文將用戶(hù)的管理權(quán)限部分下放給RSU，只有在RSU參與的情況下，TA才可以恢復(fù)出用戶(hù)的身份，大大提高了隱私的安全性。

定理2：如果DDH假設(shè)成立，則本方案在沒(méi)有RSU參與的情況下，TA無(wú)法獨(dú)自判斷兩個(gè)假名是否屬于同一用戶(hù)。

證明：定義以下實(shí)驗(yàn)序列，敵手為T(mén)A自身。

Expt1：

（1）TA選擇兩個(gè)證書(shū)(A1,s11,s12,s13)、(A2,s21,s22,s23)，并發(fā)送給挑戰(zhàn)者。

（2）挑戰(zhàn)者用兩個(gè)證書(shū)以及TA和RSU的公鑰U1、U2、V1、V2各自生成一個(gè)假名 pseu0、pseu1。

（3）挑戰(zhàn)者產(chǎn)生一個(gè)比特b←{0,1}，并將pseub發(fā)送給TA。

（4）TA對(duì)b進(jìn)行猜測(cè)，并輸出一個(gè)比特b′。

（5）如果b=b′，輸出1；否則，輸出0。

Expt2：

（1）TA選擇兩個(gè)證書(shū) (A1,s11,s12,s13)、(A2,s21,s22,s23)，并發(fā)送給挑戰(zhàn)者。

（2）挑戰(zhàn)者用兩個(gè)證書(shū)以及TA和另一個(gè)RSU 的公鑰 U1、U2、V1′、V2′各自生成一個(gè)假名pseu0′、pseu1′。

（3）挑戰(zhàn)者產(chǎn)生一個(gè)比特b←{0,1}，并將pseub發(fā)送給TA。

（4）TA對(duì)b進(jìn)行猜測(cè)，并輸出一個(gè)比特b′。

（5）如果b=b′，輸出1；否則，輸出0。

可知pseu0′與pseu1′均為非法假名，然而分布完全隨機(jī)。

事實(shí)1：在DDH假設(shè)下，存在可忽略函數(shù)negl(·)使得：

事實(shí)1證明：

在Expt2中，pseu0′與pseu1′完全隨機(jī)，所以式（34）成立。

為了證明式（33），構(gòu)造以下分辨算法D，輸入為(X,V,U)∈G：

（1）將X作為公鑰交給TA。

（2）TA產(chǎn)生兩個(gè)等長(zhǎng)的證書(shū)消息A0、A1，并發(fā)送給挑戰(zhàn)者。

（3）挑戰(zhàn)者隨機(jī)選擇b←{0,1}，并將{V,U·Ab}發(fā)送給TA。

（4）TA對(duì)b進(jìn)行猜測(cè)，并輸出一個(gè)比特b′。

（5）如果b=b′，輸出1；否則，輸出0。

根據(jù)DDH假設(shè)，存在可忽略函數(shù)negl(·)使得：

4 結(jié) 語(yǔ)

針對(duì)車(chē)聯(lián)網(wǎng)隱私保護(hù)完全依賴(lài)于TA可信性的問(wèn)題，本文將TA權(quán)限下放至RSU，由TA與RSU共同為用戶(hù)生成證書(shū)，并通過(guò)協(xié)同追蹤的方法降低系統(tǒng)對(duì)TA的依賴(lài)。正確性分析和安全性證明表明，本文方案在提升隱私保護(hù)性能的同時(shí)，有效解決了TA中心權(quán)限過(guò)大的問(wèn)題。