陳葳葳，曹 利，邵長(zhǎng)虹

（南通大學(xué)信息科學(xué)技術(shù)學(xué)院，江蘇南通 226001）

（*通信作者電子郵箱cl@ntu.edu.cn）

0 引言

車聯(lián)網(wǎng)（Internet of Vehicles，IOV）是由車輛自組網(wǎng)（Vehicular Ad-Hoc Network，VANET）和移動(dòng)互聯(lián)網(wǎng)組成的開放異構(gòu)網(wǎng)絡(luò)，通過車、路、管理平臺(tái)的實(shí)時(shí)關(guān)聯(lián)與感知實(shí)現(xiàn)智能交通，并提供交通安全、信息娛樂等服務(wù)。在車聯(lián)網(wǎng)中，車輛必須周期性地廣播交通車輛的身份、當(dāng)前位置、速度等相關(guān)信息給其周圍的所有車輛，惡意車輛可以通過分析消息與發(fā)送者的關(guān)系，獲取車輛駕駛者的隱私（身份、位置等）信息，對(duì)車輛用戶的隱私造成潛在的威脅，可引發(fā)偽裝攻擊、消息篡改、竊聽等一系列安全問題［1-3］。而身份的合法性認(rèn)證是開放交通環(huán)境中車聯(lián)網(wǎng)其他一切應(yīng)用安全的基礎(chǔ)，身份認(rèn)證不僅包括對(duì)接入車輛身份合法性的校驗(yàn)，以保證通信雙方身份的真實(shí)性，同時(shí)還需保護(hù)用戶的隱私，以匿名方式進(jìn)行。車聯(lián)網(wǎng)身份認(rèn)證需考慮的其他特性有：1）因車輛運(yùn)動(dòng)速度快、路側(cè)單元（Road Side Unit，RSU）覆蓋范圍小，車輛需要頻繁進(jìn)行身份驗(yàn)證，高效的身份驗(yàn)證成為關(guān)鍵；2）認(rèn)證節(jié)點(diǎn)RSU 大多獨(dú)立化，無人操作和管理，攻擊者可以輕易訪問認(rèn)證設(shè)備，一旦認(rèn)證節(jié)點(diǎn)遭到攻擊或數(shù)據(jù)被篡改，將會(huì)嚴(yán)重影響交通安全。因此，研究如何適應(yīng)車聯(lián)網(wǎng)自身特點(diǎn)的身份認(rèn)證方案，消除車聯(lián)網(wǎng)推廣應(yīng)用的安全障礙，受到國(guó)內(nèi)外學(xué)者的廣泛關(guān)注。

車聯(lián)網(wǎng)目前普遍采用公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）認(rèn)證機(jī)制，通過為車輛分發(fā)唯一編號(hào)并提供證書頒發(fā)機(jī)構(gòu)（Certification Authority，CA）證書進(jìn)行身份認(rèn)證，缺點(diǎn)是由于認(rèn)證節(jié)點(diǎn)的中心化導(dǎo)致中心節(jié)點(diǎn)任務(wù)繁重、無法代理且易攻陷，此短板效應(yīng)會(huì)引起用戶敏感信息等數(shù)據(jù)泄露［4-6］，且無法有效保護(hù)用戶身份隱私?；诖?，國(guó)內(nèi)外學(xué)者提出車聯(lián)網(wǎng)環(huán)境下基于假名的身份認(rèn)證、基于環(huán)簽名的認(rèn)證和基于PKI 系統(tǒng)的匿名認(rèn)證等方法。文獻(xiàn)［7］利用假名機(jī)制研究公務(wù)用車通信協(xié)議，協(xié)議結(jié)合了同態(tài)密鑰協(xié)商和數(shù)字簽名等技術(shù)以管理和使用假名，確保公務(wù)用車的通信安全和隱私保護(hù)，但無法抵制身份的濫用和對(duì)中心節(jié)點(diǎn)的依賴。文獻(xiàn)［8］在PKI 系統(tǒng)的基礎(chǔ)上設(shè)計(jì)了一種車聯(lián)網(wǎng)安全通信與隱私保護(hù)機(jī)制。車輛使用可信中心機(jī)構(gòu)（Trusted Authority，TA）中心為其計(jì)算的公鑰進(jìn)行通信，即使匿名密鑰泄露也不會(huì)導(dǎo)致用戶身份的泄露，但缺乏適合車聯(lián)網(wǎng)環(huán)境的移動(dòng)路由。文獻(xiàn)［9］中提出了證書和假名機(jī)制結(jié)合的隱私保護(hù)方案。TA 為認(rèn)證機(jī)構(gòu)頒發(fā)證書，認(rèn)證機(jī)構(gòu)再為每一個(gè)用戶頒發(fā)假名授權(quán)證書，構(gòu)建了智能傳輸系統(tǒng)的隱私框架，但網(wǎng)絡(luò)性能無法滿足車聯(lián)網(wǎng)頻繁認(rèn)證的需求。文獻(xiàn)［10］利用路邊單元（Road Side Unit，RSU）批認(rèn)證提出基于身份的高效匿名批認(rèn)證方案。車輛根據(jù)TA 參數(shù)產(chǎn)生假名進(jìn)行通信，實(shí)現(xiàn)匿名性和高效認(rèn)證，但是存在RSU 認(rèn)證工作頻繁、負(fù)荷過大等問題。文獻(xiàn)［11］利用離散對(duì)數(shù)難題（Discrete Logarithm Problem，DLP）提出一種高效條件隱私保護(hù)方案。結(jié)合TA 提供參數(shù)計(jì)算所得假名存放于防篡改設(shè)備，有效實(shí)現(xiàn)匿名性，但是未闡明密鑰分配和防篡改設(shè)備的使用問題。環(huán)簽名方案是車輛簽名信息時(shí)將自己的私鑰與其他車輛的公鑰混合，形成環(huán)簽名，以混淆方式防止自己身份的泄露。文獻(xiàn)［12］利用格困難問題設(shè)計(jì)環(huán)簽名方案，實(shí)現(xiàn)了無條件匿名性，保障其在量子攻擊下的安全性，但格簽名的長(zhǎng)度有待優(yōu)化。文獻(xiàn)［13］利用環(huán)簽名和基于身份的加密技術(shù)對(duì)車輛間的通信進(jìn)行認(rèn)證，但缺乏對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境的實(shí)驗(yàn)分析。文獻(xiàn)［14］利用分布式車輛公鑰基礎(chǔ)設(shè)施提出隱私保護(hù)方案，采用票據(jù)為應(yīng)用服務(wù)提供匿名訪問和認(rèn)證，但是隨著車輛數(shù)目的增多，票據(jù)處理的時(shí)延成為問題。文獻(xiàn)［15］利用多假名保護(hù)、消息分片、編碼和緩存機(jī)制解決了車輛-基礎(chǔ)設(shè)施（Vehicle-to-Infrastructure，V2I）通信過程中車輛隱私泄露問題，消除了多條轉(zhuǎn)發(fā)路徑上的消息關(guān)聯(lián)性，但是沒有考慮RSU的可靠性問題。

綜合以上研究成果，車聯(lián)網(wǎng)因?qū)φJ(rèn)證效率和隱私保護(hù)的特殊要求，傳統(tǒng)的身份認(rèn)證仍存在諸多問題有待解決。車聯(lián)網(wǎng)數(shù)據(jù)是典型的時(shí)空數(shù)據(jù)，包括時(shí)間和空間兩個(gè)維度，采用傳統(tǒng)的集中式方式處理雖然具有一定的便捷性，但不能充分滿足時(shí)空數(shù)據(jù)存儲(chǔ)及查詢等要求，而區(qū)塊鏈（Block Chain）技術(shù)采用去中心化的分布式存儲(chǔ)機(jī)制，并通過共識(shí)機(jī)制等技術(shù)來保證數(shù)據(jù)的安全性，適合作為車聯(lián)網(wǎng)安全問題的新型解決方案。區(qū)塊鏈技術(shù)于2008 年被中本聰提出，其本質(zhì)是一個(gè)對(duì)等網(wǎng)絡(luò)的分布式賬本數(shù)據(jù)庫(kù)。一個(gè)完整的區(qū)塊鏈系統(tǒng)包含數(shù)據(jù)加密、數(shù)字簽名、時(shí)間戳等技術(shù)，以及作為支持的對(duì)等網(wǎng)絡(luò)（Peer-to-Peer，P2P）和維護(hù)系統(tǒng)的共識(shí)算法、采礦和工作量證明、匿名交易機(jī)制和Merkle樹快速檢索等相關(guān)技術(shù)，為區(qū)塊鏈上的交易、驗(yàn)證等功能提供了技術(shù)支撐和運(yùn)行動(dòng)力。目前，區(qū)塊鏈以其特有的安全機(jī)制，在很多領(lǐng)域得到應(yīng)用。很多學(xué)者將車聯(lián)網(wǎng)安全問題與區(qū)塊鏈技術(shù)相結(jié)合，進(jìn)行了一些研究。文獻(xiàn)［16］基于車聯(lián)網(wǎng)通信（Wireless Access in Vehicular Environment，WAVE）協(xié)議設(shè)計(jì)了去中心化的車聯(lián)網(wǎng)數(shù)據(jù)交換系統(tǒng)，利用區(qū)塊鏈網(wǎng)絡(luò)分布特征廣播與存儲(chǔ)數(shù)據(jù)，實(shí)現(xiàn)了車與車的數(shù)據(jù)交換，但位置隱私保護(hù)問題有待解決。文獻(xiàn)［17］結(jié)合區(qū)塊鏈技術(shù)設(shè)計(jì)出車聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)框架，解決汽車與多服務(wù)器、路邊單元之間的認(rèn)證問題，但是由于車輛數(shù)量較多，通信頻繁，缺乏高效、快速的共識(shí)機(jī)制。文獻(xiàn)［18］中提出了以區(qū)塊鏈為模型解決在車聯(lián)網(wǎng)中傳播重要信息的方案，區(qū)塊鏈存儲(chǔ)節(jié)點(diǎn)可信度達(dá)成車輛間信任機(jī)制，但事件傳播延時(shí)有待改善。

針對(duì)車聯(lián)網(wǎng)的特性與中心化認(rèn)證系統(tǒng)的缺陷，本文提出一種基于區(qū)塊鏈技術(shù)的車聯(lián)網(wǎng)匿名身份認(rèn)證方案。通過區(qū)塊鏈技術(shù)和智能合約的結(jié)合，實(shí)現(xiàn)身份存儲(chǔ)、認(rèn)證的高效與可靠；利用公鑰密碼體制及數(shù)字簽名技術(shù)實(shí)現(xiàn)信息傳輸?shù)谋Ｃ苄院屯暾?；采用臨時(shí)公鑰進(jìn)行匿名通信，實(shí)現(xiàn)身份隱私的保護(hù)。

1 區(qū)塊鏈

區(qū)塊鏈?zhǔn)且环N按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以鏈條的方式組合而成的特定數(shù)據(jù)結(jié)構(gòu)，并以密碼學(xué)方式保證的不可篡改和不可偽造的去中心化共享總賬。

區(qū)塊鏈結(jié)構(gòu)如圖1 所示，每一個(gè)數(shù)據(jù)區(qū)塊主要由區(qū)塊頭和區(qū)塊體組成。區(qū)塊頭用來記錄當(dāng)前區(qū)塊的元數(shù)據(jù)，主要封裝了當(dāng)前版本號(hào)、前一個(gè)區(qū)塊的地址、當(dāng)前區(qū)塊的目標(biāo)哈希值、Merkle根等。前一區(qū)塊的地址，用于將當(dāng)前區(qū)塊與前一區(qū)塊相連，形成鏈條。目標(biāo)哈希值、隨機(jī)數(shù)、時(shí)間戳等用于共識(shí)機(jī)制。區(qū)塊體記錄具體的數(shù)據(jù)，數(shù)據(jù)結(jié)構(gòu)為Merkle樹，數(shù)據(jù)記錄在葉子節(jié)點(diǎn)，非葉子節(jié)點(diǎn)的值為所有葉子節(jié)點(diǎn)數(shù)據(jù)的哈希值而不是具體數(shù)據(jù)，降低了區(qū)塊容量，便于同步與備份。區(qū)塊體中數(shù)據(jù)經(jīng)過哈希運(yùn)算得到Merkle 根，一個(gè)葉子節(jié)點(diǎn)數(shù)據(jù)的改動(dòng)將會(huì)導(dǎo)致根節(jié)點(diǎn)數(shù)據(jù)的變化，達(dá)到快速查詢和校驗(yàn)的目的。

車聯(lián)網(wǎng)的安全需求與區(qū)塊鏈技術(shù)特征（去中心化、防篡改及可追溯性）不謀而合。車聯(lián)網(wǎng)中所有節(jié)點(diǎn)權(quán)利平等，并且有較好的容錯(cuò)能力。利用區(qū)塊鏈技術(shù)在海量分布式節(jié)點(diǎn)間建立信任關(guān)系，能解決中心化低效率與數(shù)據(jù)不安全等問題。利用區(qū)塊鏈的哈希函數(shù)的單向性、數(shù)字簽名不可否認(rèn)等性質(zhì)將車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)存儲(chǔ)至區(qū)塊鏈，若攻擊者妄圖篡改數(shù)據(jù)，不僅要修改當(dāng)前區(qū)塊的哈希值，還要修改所有區(qū)塊的哈希值，極大增加了攻擊難度和成本。區(qū)塊鏈帶有時(shí)間戳數(shù)據(jù)，將區(qū)塊按照時(shí)間順序關(guān)聯(lián)，方便檢索交易從發(fā)布源頭到最新狀態(tài)的整個(gè)變化流程，可以滿足車聯(lián)網(wǎng)快速認(rèn)證的需求。

圖1 區(qū)塊鏈結(jié)構(gòu)Fig.1 Structure of Blockchain

區(qū)塊鏈技術(shù)為適應(yīng)社會(huì)的需求，不斷演進(jìn)，目前發(fā)展到第三代：第一代以比特幣網(wǎng)絡(luò)為代表，以分布式賬本模式存儲(chǔ)交易，交易具有不可篡改、不可否認(rèn)的特性，但其共識(shí)機(jī)制導(dǎo)致的時(shí)延無法滿足車聯(lián)網(wǎng)實(shí)時(shí)需求；第二代是以以太坊為代表的區(qū)塊鏈技術(shù)，在比特幣網(wǎng)絡(luò)的基礎(chǔ)上改進(jìn)了區(qū)塊結(jié)構(gòu)，并設(shè)計(jì)了智能合約，可以實(shí)現(xiàn)交易的自動(dòng)化處理，具有了可擴(kuò)展的特性，將區(qū)塊鏈底層技術(shù)推廣至應(yīng)用層，適合車聯(lián)網(wǎng)的安全應(yīng)用解決方案；第三代有向無環(huán)圖（Directed Acyclic Graph，DAG）區(qū)塊鏈結(jié)構(gòu)正在起步階段，采用全新的區(qū)塊數(shù)據(jù)結(jié)構(gòu)、大幅增加區(qū)塊鏈網(wǎng)絡(luò)吞吐量，但技術(shù)尚未成熟。本文方案的研究對(duì)象為車聯(lián)網(wǎng)，具有開放性、自組織、變化快的特性，及身份認(rèn)證時(shí)延小、可追溯、隱私保護(hù)的需求，所以采用第二代聯(lián)盟鏈技術(shù)作為研究平臺(tái)。方案選擇Hyperledger 作為驗(yàn)證平臺(tái)，主要是基于其開源性，方便實(shí)現(xiàn)區(qū)塊鏈共識(shí)機(jī)制的修改，并通過智能合約實(shí)現(xiàn)相關(guān)訪問控制。

2 基于聯(lián)盟鏈的高效匿名認(rèn)證

本文以開源Hyperledger 聯(lián)盟鏈為原型設(shè)計(jì)了一種車聯(lián)網(wǎng)匿名快速身份認(rèn)證模型，該認(rèn)證模型可實(shí)現(xiàn)：1）保證RSU認(rèn)證系統(tǒng)的可靠性和健壯性；2）車輛在進(jìn)行通信時(shí)，不使用真實(shí)身份關(guān)聯(lián)的公私鑰，實(shí)現(xiàn)匿名性；3）通信過程中消息全程加密，保障信息的完整性和保密性。

2.1 信任模型

車聯(lián)網(wǎng)基本結(jié)構(gòu)見圖2，主要由三個(gè)主體部分構(gòu)成：

1）交通管理中心（Trust Center，TC）是IOV 中最高權(quán)威機(jī)構(gòu)，與路邊單元（RSU）通過有線連接，主要負(fù)責(zé)交通參與者初始化，核心信息保存等；

2）路邊單元（RSU）分布在十字路口及道路兩旁，提供車輛接入、身份驗(yàn)證等相關(guān)服務(wù)；

3）車載單元（On Board Unit，OBU）安裝在車輛嵌入式設(shè)備中，作為車輛的通信模塊，與周圍車輛交互信息。

車聯(lián)網(wǎng)聯(lián)盟鏈認(rèn)證信任模型如圖3 所示：行駛車輛的OBU 接入附近的路側(cè)單元RSU 并產(chǎn)生臨時(shí)身份密鑰對(duì)，RSU作為記賬節(jié)點(diǎn)，將車輛合法身份信息記錄和臨時(shí)身份密鑰對(duì)進(jìn)行映射處理，記入?yún)^(qū)塊鏈，為車輛實(shí)現(xiàn)匿名通信提供憑證，各RSU組成聯(lián)盟鏈網(wǎng)絡(luò)。

圖3 認(rèn)證模型Fig.3 Model of authentication

2.2 協(xié)議流程

根據(jù)以上系統(tǒng)架構(gòu)和信任模型，本文提出基于聯(lián)盟鏈的高效匿名認(rèn)證協(xié)議。協(xié)議在傳統(tǒng)PKI 認(rèn)證的基礎(chǔ)上，利用RSU 構(gòu)建認(rèn)證的聯(lián)盟區(qū)塊鏈，實(shí)現(xiàn)本區(qū)域行駛車輛的快速認(rèn)證。假定區(qū)域內(nèi)RSU是可信設(shè)備，且已由TA注冊(cè)證書。方案流程如圖4 所示：首先，車輛經(jīng)過TA 中心線下注冊(cè)，生成公私鑰，頒發(fā)證書。車輛上路時(shí)，OBU自行生成用于隱私保護(hù)的臨時(shí)公私鑰對(duì)，然后申請(qǐng)入網(wǎng)并向RSU 注冊(cè)臨時(shí)公私鑰對(duì)。若OBU 通過PKI 機(jī)制完成初次身份驗(yàn)證，RSU 就生成臨時(shí)公鑰與證書公鑰的映射關(guān)系，完成行駛中臨時(shí)認(rèn)證注冊(cè)，并觸發(fā)聯(lián)盟區(qū)塊鏈的智能合約，將該次映射關(guān)系記載入?yún)^(qū)塊，各RSU達(dá)成共識(shí)后，發(fā)布至區(qū)塊鏈。RSU 通過檢索區(qū)塊鏈中的信息快速驗(yàn)證通信車輛彼此的身份，車輛行駛中使用臨時(shí)公私鑰與其他車輛進(jìn)行匿名雙向通信。

圖4 協(xié)議流程Fig.4 Process of protocol

2.2.1 Token結(jié)構(gòu)

匿名通信中，車輛采用臨時(shí)公鑰代替TA 公鑰進(jìn)行通信。為便于區(qū)塊鏈的檢索和臨時(shí)公鑰PToken的管理，方案生成Token 進(jìn)行身份信息的關(guān)聯(lián)，并把Token 記入?yún)^(qū)塊鏈。Token主要由區(qū)域號(hào)、時(shí)間戳與PToken組成，其中PToken為Token 中標(biāo)識(shí)符，結(jié)構(gòu)如圖5所示。

圖5 Token結(jié)構(gòu)Fig.5 Structure of Token

區(qū)域號(hào)：車輛注冊(cè)TA 所屬區(qū)域行政區(qū)劃代碼，便于車輛身份的查詢，區(qū)域號(hào)格式與國(guó)家行政區(qū)劃代碼類似，由6 位構(gòu)成，其中：1～2位表示省編碼，3～4位表示市編碼，5～6位表示區(qū)縣編碼。

標(biāo)識(shí)符：利用EIGamal 算法，結(jié)合TA 公開參數(shù)和私鑰計(jì)算得公鑰，生成標(biāo)識(shí)符M，私鑰和離散對(duì)數(shù)難題的結(jié)合保證其唯一性、不可偽造性。

時(shí)間戳：規(guī)定其有效期，時(shí)間戳過期則無法使用。當(dāng)檢測(cè)到過期的Token，自動(dòng)觸發(fā)智能合約，刪除Token 與公鑰的映射關(guān)系。時(shí)間戳還用于判斷出塊時(shí)間，在認(rèn)證時(shí)，實(shí)現(xiàn)相應(yīng)區(qū)塊的快速定位。

2.2.2 區(qū)塊結(jié)構(gòu)

區(qū)塊體記錄車輛經(jīng)過注冊(cè)、更新、撤銷后公鑰和Token 的映射關(guān)系，以MPT（Merkle Patricia Tree）的形式存儲(chǔ)。區(qū)塊頭存儲(chǔ)根節(jié)點(diǎn)的哈希值、生成時(shí)間等。

MPT 結(jié)構(gòu)中每一個(gè)節(jié)點(diǎn)的所有子孫都有相同的前綴，節(jié)點(diǎn)對(duì)應(yīng)的key 由根節(jié)點(diǎn)到該節(jié)點(diǎn)路徑上的所有節(jié)點(diǎn)key 值前后拼接而成，存儲(chǔ)key-value 數(shù)據(jù)結(jié)構(gòu)。方案中key 定義為Token，value 定義為Token 對(duì)應(yīng)公鑰。RSU 以區(qū)域號(hào)歸納智能合約打包的映射關(guān)系，生成MPT。因在同一個(gè)地區(qū)注冊(cè)車輛的Token 區(qū)域號(hào)一致，故查詢時(shí)可快速匹配到省市縣組成的分支路徑，提高查詢效率，實(shí)現(xiàn)快速認(rèn)證。區(qū)塊結(jié)構(gòu)如圖6所示。

圖6 區(qū)塊結(jié)構(gòu)Fig.6 Structure of block

2.2.3 PBFT共識(shí)機(jī)制和智能合約

區(qū)塊鏈普遍采用工作量證明（Proof of Work，POW）共識(shí)機(jī)制達(dá)成共識(shí)，不適合車聯(lián)網(wǎng)實(shí)時(shí)快速認(rèn)證的需求。本文方案中，各區(qū)域RSU 組成聯(lián)盟鏈網(wǎng)絡(luò)，改用實(shí)用拜占庭容錯(cuò)（Practical Byzantine Fault Tolerance，PBFT）算法共識(shí)機(jī)制，縮短出塊時(shí)間以滿足車聯(lián)網(wǎng)快速達(dá)成共識(shí)的需求，同時(shí)可容忍小于1/3 個(gè)無效或者惡意節(jié)點(diǎn)。PBFT 的算法流程如下：設(shè)共有3n+1 個(gè)記賬節(jié)點(diǎn)。首先，RSUi節(jié)點(diǎn)接收車輛注冊(cè)請(qǐng)求并認(rèn)證其身份，其次RSUi節(jié)點(diǎn)通過廣播將請(qǐng)求發(fā)送至全網(wǎng)RSU 節(jié)點(diǎn)。所有節(jié)點(diǎn)都執(zhí)行認(rèn)證并將結(jié)果發(fā)回RSUi節(jié)點(diǎn)。RSUi需要等待n+1 個(gè)不同節(jié)點(diǎn)返回相同的結(jié)果，作為整個(gè)操作的最終結(jié)果。PBFT 共識(shí)機(jī)制下的交易吞吐量可以達(dá)到200～2 000 TPS（Transactions Per Second），實(shí)現(xiàn)毫秒級(jí)的確認(rèn)時(shí)間，無分叉可能，同時(shí)抵抗女巫攻擊。

為了將OBU 的臨時(shí)公鑰與證書公鑰的映射關(guān)系即時(shí)計(jì)入聯(lián)盟鏈，方案采用智能合約技術(shù)，智能合約可以看作是運(yùn)行在分布式賬本上的計(jì)算機(jī)程序，完成規(guī)則預(yù)設(shè)，無需第三方干涉處理，適應(yīng)場(chǎng)景需求變換，監(jiān)督合約的條款以檢查合規(guī)性。本文方案采用智能合約實(shí)現(xiàn)：

1）車輛生成Token 后，觸發(fā)智能合約實(shí)現(xiàn)Token 與公鑰的映射；

2）Token 時(shí)間戳失效，將觸發(fā)智能合約，將Token 與公鑰的映射刪除；

3）行駛中車輛身份驗(yàn)證的請(qǐng)求行為觸發(fā)智能合約，對(duì)區(qū)塊鏈上的Token快速檢索；

4）對(duì)惡意節(jié)點(diǎn)的判定將觸發(fā)智能合約，將其加入撤銷列表。

智能合約主要功能實(shí)現(xiàn)偽代碼：

2.3 協(xié)議實(shí)現(xiàn)

方案中假設(shè)底層采用短程通信（Dedicated Short Range Communication，DSRC）技術(shù)和802.11P 協(xié)議。802.11P 標(biāo)準(zhǔn)對(duì)DSRC 標(biāo)準(zhǔn)中的物理層（PHYsical，PHY）和介質(zhì)訪問控制層（Media Access Control，MAC）的內(nèi)容進(jìn)行了規(guī)范，能為車車和車路之間提供高速的無線廣播通信服務(wù)，具有數(shù)據(jù)傳輸速率高、傳輸時(shí)延短的特點(diǎn)，且支持點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)通信。所以在本文方案中，當(dāng)OBU 接入車聯(lián)網(wǎng)時(shí)候，首先接收的是RSU 的廣播信息，屬于一點(diǎn)對(duì)多點(diǎn)通信。而在認(rèn)證過程中OBU和RSU的多次握手，采用的是點(diǎn)對(duì)點(diǎn)通信方式。

基于區(qū)塊鏈的匿名快速認(rèn)證可分為：預(yù)注冊(cè)（線下注冊(cè)、線上注冊(cè)）和快速認(rèn)證兩部分。表1 為本文方案中使用的符號(hào)說明。

表1 本文方案所使用符號(hào)Tab.1 Symbols of proposed scheme

初始參數(shù)由TA 權(quán)威中心（如車管所）產(chǎn)生。TA 選擇滿足雙線性映射特性的群G1 和G2；選擇隨機(jī)數(shù)作為主密鑰，其中代表正整數(shù)集中素?cái)?shù)；計(jì)算系統(tǒng)公鑰Ppub=sp；提取群中素?cái)?shù)α、q，n=aq。公開的參數(shù)有{G1，G2，n，α，Ppub}。

2.3.1 預(yù)注冊(cè)

預(yù)注冊(cè)包含線下注冊(cè)和線上注冊(cè)兩部分。

線下注冊(cè)：部署RSU 前，TA 為每一個(gè)官方采購(gòu)的RSU 頒發(fā)證書CertR。車輛線下注冊(cè)時(shí)，TA 核實(shí)其材料真實(shí)性，為其頒發(fā)證書，并記錄公鑰與車主真實(shí)身份的映射關(guān)系。具體為：官方采購(gòu)RSU 設(shè)備后，TA 用RSA 算法生成RSU 私鑰SR和公鑰PR，頒發(fā)證書CertR。證書中包含：RSU 的公鑰、證書有效期、TA 私鑰的簽名、RSU 所部署的區(qū)域編號(hào)NR等信息。RSU存儲(chǔ)TA 公共參數(shù)、其證書和公、私鑰。車主提交真實(shí)身份材料經(jīng)核實(shí)后，TA 利用RSA 算法生成車輛私鑰Svi和公鑰Pvi，頒發(fā)證書Certvi。證書中包含：車輛的公鑰、證書有效期、TA用私鑰的簽名和TA 所在區(qū)域號(hào)等信息。OBU 存儲(chǔ)TA 公共參數(shù)、車輛的證書和公、私鑰。TA 記錄包含：車輛公鑰與車主身份材料的映射關(guān)系，據(jù)此可以追溯違規(guī)車輛車主的真實(shí)身份；RSU 證書與RSU 編號(hào)NR映射關(guān)系。若有RSU 損壞，TA 可以根據(jù)RSU證書中的區(qū)域編號(hào)查找損壞設(shè)備，實(shí)時(shí)維修。

線上注冊(cè)：區(qū)域內(nèi)RSU構(gòu)成聯(lián)盟鏈網(wǎng)絡(luò)，RSU廣播自己的證書信息。當(dāng)車輛上路后進(jìn)入初始RSU 的廣播范圍，OBU 自行生成公私鑰對(duì){PToken，SToken}，將PToken、證書中的區(qū)域號(hào)附上時(shí)間戳組成Token，向RSU 發(fā)送對(duì)該Token 的注冊(cè)請(qǐng)求。RSU進(jìn)行初次身份PKI認(rèn)證，驗(yàn)證通過后觸發(fā)智能合約，生成車輛的Token與公鑰的映射關(guān)系，同時(shí)返回Success消息，若認(rèn)證不通過返回False消息。RSU根據(jù)新注冊(cè)的Token更新本地區(qū)塊中的MPT，使用PBFT 共識(shí)機(jī)制，RSU 間達(dá)成共識(shí)，完成記賬。通過驗(yàn)證和注冊(cè)請(qǐng)求的OBU 在后繼行駛過程中采用聯(lián)盟鏈認(rèn)證。線上注冊(cè)算法的流程如圖7所示。

圖7 線上注冊(cè)流程Fig.7 Process of online registration

1）RSU→OBU：{CertR，SignSR(CertR)}。

RSU廣播自己的證書和簽名。

2）OBU→RSU：EPR(V1，SignSvi(V1))。

①車輛接收到RSU 廣播信息，驗(yàn)證RSU 身份，并生成隨機(jī)數(shù)，利用EIGamal 算法生成私鑰SToken，然后計(jì)算出公鑰，加上區(qū)域號(hào)和時(shí)間戳信息，生成本次的Token。

②OBU 用SToken簽名車輛證書，與Token、證書形成注冊(cè)請(qǐng)求內(nèi)容：V1=Certvi，Token，SignSToken(Certvi)，并對(duì)其簽名SignSvi(V1)，用RSU公鑰加密后發(fā)給RSU。

3）RSU→OBU：EPvi(Success，SignSR(Success))||EPvi(False，SignSR(False))。

①RSU 用私鑰解密OBU 注冊(cè)請(qǐng)求，先利用PKI 驗(yàn)證車輛的證書和簽名，保證公鑰不在撤銷列表；接著驗(yàn)證Token里的區(qū)域號(hào)是否與車輛證書中的一致。驗(yàn)證通過，提取PToken，驗(yàn)證SToken的簽名，確保是PToken擁有者發(fā)出的注冊(cè)請(qǐng)求。

②驗(yàn)證通過后，簽名車輛注冊(cè)的消息區(qū)塊鏈網(wǎng)絡(luò)同步，由本區(qū)域RSU 分別驗(yàn)證，返回半數(shù)以上條成功結(jié)果后，智能合約觸發(fā)Search（）功能模塊：區(qū)塊鏈檢索。檢索算法為：Search（）先由時(shí)間戳計(jì)算出塊時(shí)間，定位到相應(yīng)區(qū)塊；然后根據(jù)Token 區(qū)域號(hào)先找到其省級(jí)所在分支，再按照市縣行政代號(hào)匹配分支路徑。若PToken是初次注冊(cè)，執(zhí)行registed（）函數(shù)，生成車輛公鑰與Token的映射關(guān)系。

③RSU 用私鑰簽名注冊(cè)結(jié)果，注冊(cè)成功返回：EPvi(Success，SignSR(Success))；若有一條驗(yàn)證未通過，返回失敗消息：EPvi(False，SignSR(False))。

④RSU 根據(jù)新注冊(cè)的Token 更新區(qū)塊中的MPT，并通過PBFT共識(shí)機(jī)制快速添加至區(qū)塊鏈。

4）車輛用私鑰解密RSU 響應(yīng)消息，驗(yàn)證其簽名，根據(jù)注冊(cè)結(jié)果判斷是否獲得PToken的使用權(quán)。

2.3.2 快速認(rèn)證

車輛OBUi、OBUj在完成線上注冊(cè)后，若需要彼此通信，就可發(fā)起快速身份認(rèn)證。OBUi向OBUj發(fā)送身份信息：Token 和時(shí)間戳，并對(duì)其簽名。OBUj根據(jù)接收的信息可向附近任何一個(gè)RSU 請(qǐng)求認(rèn)證OBUi的身份。若認(rèn)證成功，雙方用對(duì)稱密鑰進(jìn)行通信，否則中斷連接。具體流程如圖8所示。

圖8 快速認(rèn)證過程Fig.8 Process of fast authentication

1）OBUi→OBUj：Tokeni，T，SignSTokeni(Tokeni，T)。

OBUi將自己的Tokeni、時(shí)間戳T簽名后發(fā)給OBUj。

2）OBUj→RSU：EPR(V2)。

OBUj將OBUi身份信息附加自己的Tokenj組成認(rèn)證請(qǐng)求：V2=Tokeni，T，SignSTokeni(Tokeni，T)，Tokenj，用RSU 公鑰加密發(fā)送給RSU。

3）RSU→OBUj：EPTokenj(R2，SignSR(R2))。

①RSU 用私鑰解密后觸發(fā)智能合約，調(diào)用Search（）函數(shù)檢索區(qū)塊鏈，查看區(qū)塊鏈中是否記載Tokeni、Tokenj，若都存在并且Token 時(shí)間戳都未過期，提取PTokeni驗(yàn)證STokeni的簽名，驗(yàn)證通過后檢測(cè)消息中時(shí)間戳T是否有效。

②上述條件均滿足返回認(rèn)證成功：R2=Success，T。否則返回認(rèn)證失?。篟2=False，T。簽名消息SignSR(R2)，提取PTokenj加密發(fā)送給OBUj。

4）RSU→OBUi：EPTokeni(PTokenj，SignSR(PTokenj))。

RSU 將OBUj的PTokenj簽名，并用OBUi公鑰加密傳給OBUi。

5）OBUj→OBUi：EPTokeni(S2，SignSTokenj(S2))。

①OBUj驗(yàn)證RSU 簽名后，得到Success 消息便提取Tokeni中的PTokeni，生成對(duì)稱密鑰key。key為臨時(shí)會(huì)話密鑰。

②封裝對(duì)稱密鑰key、時(shí)間戳，和key加密的隨機(jī)數(shù)r4：S2=key，T，Ekey(r4)，簽名SignSTokenj(S2)并用PTokeni加密發(fā)送給OBU。

6）OBUi→OBUj：Ekey(r4，Information，r5)。

①OBUi收到消息4）后用私鑰解密驗(yàn)證，并接收RSU 發(fā)來的PTokenj；

②用PTokenj解密獲得OBUj發(fā)來的key，并驗(yàn)證簽名和時(shí)間戳，提取隨機(jī)數(shù)r4；

③生成隨機(jī)數(shù)r5，將通信消息與隨機(jī)數(shù)r4、r5 封裝，使用臨時(shí)會(huì)話密鑰key加密發(fā)送給OBUj；

7）OBUj解密消息并驗(yàn)證簽名，檢測(cè)隨機(jī)數(shù)r4（以保證通信對(duì)方身份并已拿到key），驗(yàn)證通過，接受信息。

3 實(shí)驗(yàn)與性能分析

為了測(cè)試方案的可行性，利用Hyperledger Fabric 1.4 工具進(jìn)行車聯(lián)網(wǎng)身份部署，模擬快速認(rèn)證過程。因?qū)嶒?yàn)環(huán)境限制，假設(shè)車聯(lián)網(wǎng)節(jié)點(diǎn)預(yù)注冊(cè)部分已經(jīng)完成，安全性將在后面分析，實(shí)驗(yàn)主要完成區(qū)塊鏈的共識(shí)建立和身份快速驗(yàn)證。在本地虛擬機(jī)中部署5 個(gè)虛擬節(jié)點(diǎn)，用來實(shí)現(xiàn)不同的RSU 構(gòu)建區(qū)塊鏈。實(shí)驗(yàn)開始時(shí)，調(diào)用智能合約，模擬預(yù)注冊(cè)階段OBU 身份驗(yàn)證后生成的Token，身份信息被RSU 打包，采用PBFT 算法達(dá)成共識(shí)，經(jīng)過節(jié)點(diǎn)間的共識(shí)認(rèn)證后生成區(qū)塊，存入?yún)^(qū)塊鏈；各節(jié)點(diǎn)進(jìn)行數(shù)據(jù)的更新操作。實(shí)驗(yàn)過程中涉及的測(cè)試工具及對(duì)應(yīng)作用如表2所示。

表2 測(cè)試工具及其作用Tab.2 Testing tools and their functions

3.1 方案可行性分析

按照上述方式搭建仿真平臺(tái)，本文仿真驗(yàn)證了5 個(gè)RSU節(jié)點(diǎn)30 min內(nèi)在區(qū)塊鏈網(wǎng)絡(luò)中的共識(shí)情況。通過分析節(jié)點(diǎn)的在線情況、打包次數(shù)、是否進(jìn)行區(qū)塊更新操作，檢測(cè)RSU 節(jié)點(diǎn)在區(qū)塊鏈網(wǎng)絡(luò)運(yùn)行的可行性，結(jié)果如表3 所示。實(shí)驗(yàn)結(jié)果表明，參與共識(shí)的節(jié)點(diǎn)均100%在線，打包次數(shù)分布平均，且各節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)中區(qū)塊持續(xù)更新，在網(wǎng)絡(luò)暢通情況下無掉線、停滯、阻塞等現(xiàn)象出現(xiàn)，實(shí)驗(yàn)結(jié)果說明了方案在區(qū)塊鏈上的可用性及正確性。

表3 正確性實(shí)驗(yàn)結(jié)果Tab.3 Experimental results of correctness

為驗(yàn)證PBFT共識(shí)算法在本文方案的可行性，實(shí)驗(yàn)設(shè)計(jì)查詢請(qǐng)求發(fā)送速率為100、200 TPS（Transactions Per Second）的兩種網(wǎng)絡(luò)環(huán)境，檢測(cè)各自共識(shí)時(shí)延情況，得到兩組的最大、平均及最小共識(shí)時(shí)延。實(shí)驗(yàn)數(shù)據(jù)如圖9 所示，表明Hyperledger fabric 中在發(fā)送請(qǐng)求速率不超過200 TPS 時(shí)，平均時(shí)延均在40 ms 左右，達(dá)到毫秒級(jí)的共識(shí)速度，滿足車聯(lián)網(wǎng)環(huán)境下實(shí)時(shí)認(rèn)證的通信時(shí)延要求。

圖9 PBFT算法時(shí)延Fig.9 Time delay of PBFT algorithm

方案采用聯(lián)盟區(qū)塊鏈分布式賬本模式，可以抵御拒絕服務(wù)攻擊，防止中心化單點(diǎn)故障對(duì)車聯(lián)網(wǎng)認(rèn)證系統(tǒng)帶來的破壞。利用區(qū)塊鏈智能合約的自動(dòng)觸發(fā)性，及MPT 區(qū)塊結(jié)構(gòu)易于檢索的特點(diǎn)，相較于傳統(tǒng)公鑰基礎(chǔ)設(shè)施（PKI）模式，能有效縮短車聯(lián)網(wǎng)身份認(rèn)證過程的時(shí)延。實(shí)驗(yàn)驗(yàn)證了不同假名請(qǐng)求數(shù)量與時(shí)延的關(guān)系，結(jié)果如圖10 所示，與傳統(tǒng)PKI 模式、文獻(xiàn)［14］的假名授權(quán)身份認(rèn)證方案進(jìn)行比較，隨著假名請(qǐng)求量的增加，本文方案匿名身份認(rèn)證方法時(shí)延增長(zhǎng)最慢，更為高效。

圖10 時(shí)延對(duì)比Fig.10 Comparison of delay

3.2 方案安全性分析

3.2.1 防偽裝攻擊

采用公鑰密碼體制EIGamal 算法保證密鑰安全性，有效防止偽裝攻擊，證明如下：

OBU 生成私鑰Svi＜q-1，計(jì)算公鑰Pvi=。設(shè)明文X，隨機(jī)選擇整數(shù)y＜q。

攻擊者為了恢復(fù)私鑰，會(huì)計(jì)算Svi=dlogα，q(Pvi)；或?yàn)榱嘶謴?fù)一次性密鑰Y，選擇隨機(jī)數(shù)y計(jì)算離散對(duì)數(shù)y=dlogα，qC1。基于離散對(duì)數(shù)難題，當(dāng)q≥300，q-1 至少有一個(gè)大的素因子時(shí)無法推算出私鑰；沒有合法車輛的PToken私鑰無法偽造身份，致使無法進(jìn)行Token 注冊(cè)。同理沒有RSU 私鑰無法偽裝RSU認(rèn)證車輛身份。

3.2.2 有條件的匿名性

利用聯(lián)盟區(qū)塊鏈創(chuàng)建賬戶的自發(fā)性特性，車輛可以自行生成多個(gè)Token，進(jìn)行多身份混淆，一定程度上實(shí)現(xiàn)匿名。聯(lián)盟區(qū)塊鏈采用分布式存儲(chǔ)，實(shí)現(xiàn)車輛身份數(shù)據(jù)的永久存儲(chǔ)，同時(shí)區(qū)塊內(nèi)部信息由車輛簽名，不可否認(rèn)，便于身份的追溯，具體說明如下：

方案使用PToken代替用戶與真實(shí)身份相關(guān)聯(lián)的公鑰進(jìn)行通信。除RSU 外無人知道車輛公鑰信息。若遇到惡意車輛，RSU 可以激活智能合約revoke（）函數(shù)，將其對(duì)應(yīng)公鑰加入撤銷列表，使之無法注冊(cè)Token 進(jìn)行通信。對(duì)于違規(guī)車輛（如超速、壓線等，但仍然有權(quán)利生成Token），RSU 通過智能合約的Search（）函數(shù)找到對(duì)應(yīng)公鑰并上交至TA，TA 可以查詢到車輛的真實(shí)身份，實(shí)現(xiàn)追溯性。最壞情況下：車輛公鑰泄露，因?yàn)镽SU 不存儲(chǔ)車輛的真實(shí)身份也不會(huì)導(dǎo)致車主身份隱私的泄露。

3.2.3 通信數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的完整性和保密性

1）通信數(shù)據(jù)的保密性和完整性證明。

OBU用自己的私鑰簽名消息X。OBU 先計(jì)算Hash值：x=H(X)，OBU 選取隨機(jī)整數(shù)ri，滿足1 ≤ri≤q-1 且gcd(ri，q-1)=1。

a）計(jì)算S1=；

b）計(jì)算ri-1mod (q-1)；

c）計(jì)算S2=ri-1(m-SviS1)mod (q-1)；

d）簽名為(S1，S2)。

RSU可用OBU的公鑰解密：

a）計(jì)算：V1=αxmodq；

b）計(jì)算：V2=(Pvi)S1(S1)S2modq。

若V1=V2，簽名合法。證明如下：

假設(shè)V1=V2

只有擁有私鑰的OBU 才可以對(duì)消息簽名，用OBU 公鑰即可驗(yàn)證，保證消息的完整性。OBU 使用RSU 公鑰加密消息，加密過程同上，僅擁有私鑰的RSU 才可解密消息，故保證消息的保密性。

2）存儲(chǔ)數(shù)據(jù)的保密性和完整性分析。

聯(lián)盟區(qū)塊鏈中數(shù)據(jù)除可信節(jié)點(diǎn)RSU 可知外，鏈外節(jié)點(diǎn)沒有權(quán)限無法訪問，實(shí)現(xiàn)了車輛身份信息的保密性存儲(chǔ)；

聯(lián)盟區(qū)塊鏈技術(shù)利用哈希函數(shù)不可逆和極難碰撞的特性，將區(qū)塊用哈希指針進(jìn)行串連，實(shí)現(xiàn)鏈中數(shù)據(jù)的無法篡改，保證鏈中存儲(chǔ)的車輛身份信息的完整性。

3.2.4 防重放攻擊

車與車通信過程使用詢問-握手的方式，通信消息附上時(shí)間戳和隨機(jī)數(shù)，并將相關(guān)參數(shù)保存在本地，通過驗(yàn)證時(shí)間戳和隨機(jī)數(shù)來保證消息是最新且未被篡改的。

4 結(jié)語(yǔ)

身份認(rèn)證是車聯(lián)網(wǎng)技術(shù)的基礎(chǔ)，隱私保護(hù)是車聯(lián)網(wǎng)的關(guān)鍵。本文提出基于區(qū)塊鏈的快速匿名身份認(rèn)證方案，方案基于PKI 體制——TA 為車輛、RSU 頒發(fā)證書，保證通信雙方的真實(shí)性；利用分布式體系結(jié)構(gòu)實(shí)現(xiàn)匿名性——車輛可自行生成多個(gè)PToken代替與真實(shí)身份關(guān)聯(lián)的公鑰進(jìn)行服務(wù)請(qǐng)求和通信，PToken由全網(wǎng)認(rèn)證，保證其有效性；采用智能合約的自動(dòng)化——RSU 認(rèn)證完車輛的身份后，觸發(fā)智能合約打包Token 和車輛公鑰映射數(shù)據(jù)，Token 過期后觸發(fā)智能合約刪除映射關(guān)系；利用區(qū)塊鏈不可篡改、可追溯、魯棒性等特性——區(qū)塊鏈上保存Token 與車輛的身份映射，保證數(shù)據(jù)的可追溯性和完整性。此外，區(qū)塊使用MPT 樹形數(shù)據(jù)結(jié)構(gòu)縮短檢索區(qū)塊使用時(shí)間；利用實(shí)用拜占庭容錯(cuò)共識(shí)機(jī)制提高共識(shí)效率；通信過程采用非對(duì)稱密碼體系，保證數(shù)據(jù)在傳輸過程中的安全性。車聯(lián)網(wǎng)跨域認(rèn)證也可以基于相同的思路實(shí)現(xiàn)，限于篇幅，沒有展開論述。