楊吉云，姚銳冬，周 潔，高凌云

（1.重慶大學(xué) 計(jì)算機(jī)學(xué)院，重慶 400044；2.中國石油集團(tuán)測井有限公司西南分公司，重慶 400030）

0 概述

車聯(lián)網(wǎng)（Vehicular Ad-hoc Network，VANET）是一種分布式的自組織通信網(wǎng)絡(luò)，目的是提高交通效率、保障交通安全并為車輛提供優(yōu)質(zhì)服務(wù)，其對(duì)于智能交通系統(tǒng)的構(gòu)建具有重要作用［1］。VANET 系統(tǒng)主要包含可信權(quán)威機(jī)構(gòu)（Trusted Authority，TA）、路邊設(shè)施單元（Road-Side Unit，RSU）、車輛等3 種實(shí)體。每輛車都配備一個(gè)車載單元（On-Board Unit，OBU），在車輛通信過程中負(fù)責(zé)資源命令處理和讀寫存儲(chǔ)［2］。RSU 作為TA與車輛之間通信和認(rèn)證的橋梁，TA 是VANET 中被其他實(shí)體所信任的管理者，負(fù)責(zé)系統(tǒng)內(nèi)所有RSU 和OBU的注冊(cè)與認(rèn)證。

在VANET 中，RSU 與TA 通過有線安全信道連接，而車輛基于IEEE 802.11p 標(biāo)準(zhǔn)使用專用短程通信（Dedicated Short Range Communication，DSRC）協(xié)議［3］進(jìn)行無線通信，通信分為車輛與車輛（Vehicle-to-Vehicle，V2V）通信、車輛與基礎(chǔ)設(shè)施（Vehicle-to-Infrastructure，V2I）通信2 種類型。依據(jù)DSRC 協(xié)議，V2V 和V2I通信使用公開的無線信道。

由于采用公開的無線通信方式，VANET 消息在傳送過程中很容易被惡意攻擊者攔截和竊聽，并對(duì)消息發(fā)起修改、偽裝、重放等攻擊［4］。惡意消息的發(fā)布會(huì)為車輛提供錯(cuò)誤的交通狀況信息，從而導(dǎo)致交通事故的發(fā)生，嚴(yán)重影響系統(tǒng)功能，此外，還會(huì)使得車輛的隱私信息暴露［5］。因此，需要設(shè)計(jì)安全高效的消息認(rèn)證方案，以保證VANET 消息的可靠性和完整性并抵抗安全攻擊。VANET 內(nèi)還可能存在發(fā)布垃圾信息或虛假信息的車輛，因此，絕對(duì)匿名的方案不可行［6］，應(yīng)當(dāng)使用條件隱私保護(hù)［7］的匿名認(rèn)證方案，僅TA 可以對(duì)此類車輛進(jìn)行追蹤，獲取其真實(shí)身份并對(duì)合法認(rèn)證進(jìn)行撤銷。

近年來，許多國內(nèi)外學(xué)者針對(duì)上述問題進(jìn)行了大量研究，并提出了很多有價(jià)值的方案。由于傳統(tǒng)基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）的方案需要管理大量的匿名證書和撤銷列表［8］，因此存在較重的計(jì)算負(fù)擔(dān)，難以滿足VANET 的系統(tǒng)性能需求［9］。為避免基于PKI 方案在匿名證書管理中付出過高代價(jià)，基于身份基簽名（Identity-Based Signature，IBS）的方案利用身份生成公私鑰對(duì)為消息簽名，而不需要為公鑰分配證書，因此，其廣泛應(yīng)用于無證書公鑰加密方案中，提高了計(jì)算效率。文獻(xiàn)［10］提出一種新的無證書聚合簽名方案，該方案同時(shí)具有IBS 和聚合簽名的優(yōu)點(diǎn)，消息批量認(rèn)證時(shí)只需進(jìn)行常數(shù)個(gè)雙線性對(duì)運(yùn)算，節(jié)省了計(jì)算開銷。文獻(xiàn)［11］提出一種基于一次性身份聚合簽名的認(rèn)證協(xié)議，該協(xié)議能夠解決密鑰托管問題，且不依賴于完全可信的第三方。文獻(xiàn)［12］提出一種新的高效認(rèn)證方案，該方案在密鑰協(xié)商過程中向通過驗(yàn)證的車輛分發(fā)臨時(shí)共享密鑰，車輛節(jié)點(diǎn)使用該密鑰進(jìn)行匿名消息認(rèn)證，而不需要為每個(gè)簽名驗(yàn)證一個(gè)較大的撤銷列表，同時(shí)減少了批量消息認(rèn)證需要進(jìn)行的雙線性對(duì)運(yùn)算數(shù)量，進(jìn)一步提高了計(jì)算效率。但文獻(xiàn)［13］指出，雙線性對(duì)運(yùn)算復(fù)雜，開銷較大，難以滿足VANET 的系統(tǒng)性能需求，應(yīng)當(dāng)避免使用雙線性對(duì)運(yùn)算。文獻(xiàn)［14］提出一種基于半可信TA 的方案，其在解決撤銷列表過大問題的同時(shí)，消息認(rèn)證過程只進(jìn)行了橢圓曲線密碼運(yùn)算，避免了雙線性對(duì)運(yùn)算，從而能夠減少計(jì)算成本，提高消息認(rèn)證效率。但是，目前很多基于雙線性對(duì)密碼和橢圓曲線密碼的方案都會(huì)使用Map-to-point 哈希函數(shù)運(yùn)算，仿真分析結(jié)果表明，Map-to-point 哈希函數(shù)運(yùn)算的開銷較高，在消息數(shù)量較多或資源受限的情況下其認(rèn)證效率大幅降低。

混沌系統(tǒng)具有優(yōu)良的密碼學(xué)性質(zhì)，初值極具敏感性和高度隨機(jī)性，自20 世紀(jì)90 年代開始被應(yīng)用于新型密碼算法研究中。文獻(xiàn)［15］對(duì)基于多混沌系統(tǒng)的公鑰密碼體系進(jìn)行分析，提出一種擴(kuò)展切比雪夫多項(xiàng)式，將切比雪夫多項(xiàng)式的定義域擴(kuò)展至實(shí)數(shù)域，同時(shí)提高了基于切比雪夫混沌映射的公鑰加密方法的安全性［16］。文獻(xiàn)［17］提出一種面向車聯(lián)網(wǎng)的群認(rèn)證和密鑰協(xié)商協(xié)議，該協(xié)議基于文獻(xiàn)［15］定義的擴(kuò)展切比雪夫混沌映射，利用其半群性質(zhì)提高了群認(rèn)證效率。文獻(xiàn)［18］提出一種基于混沌映射的全會(huì)話密鑰協(xié)商協(xié)議，包括霧服務(wù)器與群管理員之間的密鑰協(xié)議和群內(nèi)車輛節(jié)點(diǎn)的密鑰協(xié)議。關(guān)于文獻(xiàn)［17-18］方案的實(shí)驗(yàn)結(jié)果表明，切比雪夫多項(xiàng)式運(yùn)算的計(jì)算效率高于橢圓曲線標(biāo)量乘法運(yùn)算，在保證安全性的前提下，與避免Map-to-point 哈希函數(shù)運(yùn)算的基于橢圓曲線密碼的認(rèn)證方案相比，基于切比雪夫混沌映射的認(rèn)證方案具有突出的計(jì)算效率優(yōu)勢。

本文提出一種V2I 通信中基于混沌映射的車輛身份認(rèn)證方案，利用切比雪夫多項(xiàng)式的半群性質(zhì)構(gòu)建V2I 密鑰協(xié)商架構(gòu)，采用對(duì)稱密碼算法完成車輛身份認(rèn)證和密鑰分發(fā)，并設(shè)計(jì)車輛對(duì)參數(shù)進(jìn)行安全線上更新的方法。在此基礎(chǔ)上，提出一種基于混沌映射的消息認(rèn)證方案，RSU 通過安全的V2I 通信過程向車輛分發(fā)時(shí)效性共享密鑰，車輛節(jié)點(diǎn)通過混沌映射和共享密鑰生成廣播消息或?qū)ν籖SU 內(nèi)的消息進(jìn)行認(rèn)證。在該方案中，車輛無須為每個(gè)消息簽名驗(yàn)證一個(gè)較大的撤銷列表，車輛的撤銷也不會(huì)影響群組性能。

1 預(yù)備知識(shí)

1.1 系統(tǒng)模型

如圖1 所示，一個(gè)VANET 系統(tǒng)主要由TA、RSU、OBU 這3 種實(shí)體組成，具體如下：

圖1 VANET 系統(tǒng)模型Fig.1 System model of VANET

1）TA 在VANET 中是可信機(jī)構(gòu)，負(fù)責(zé)生成和分配所有RSU 和車輛OBU 的初始參數(shù)以及系統(tǒng)的主參數(shù)。只有TA 有權(quán)揭露車輛的真實(shí)身份，并對(duì)廣播虛假、惡意消息或具有惡意行為的車輛節(jié)點(diǎn)予以撤銷。

2）RSU 主要負(fù)責(zé)覆蓋范圍內(nèi)所有車輛與TA 的連接，使得車輛能夠進(jìn)行身份認(rèn)證后獲得來自TA 的服務(wù)。RSU 通常被部署在道路兩旁或一些特定地點(diǎn)，如停車場等車輛服務(wù)站點(diǎn)。在本文方案中，每個(gè)RSU 要求配備防篡改裝置（Tamper-Proof Device，TPD）以安全存儲(chǔ)系統(tǒng)參數(shù)，輔助完成身份認(rèn)證過程并提高參數(shù)更新效率［19］。

3）OBU 是車輛內(nèi)部資源命令處理和讀寫存儲(chǔ)單元，每輛車都配備一個(gè)OBU。通過OBU，車輛可以與RSU 以及其他車輛的OBU 進(jìn)行通信。每個(gè)OBU 配備有TPD 以存儲(chǔ)私密參數(shù)等敏感信息，由OBU 監(jiān)控并收集傳感器所記錄的信息，形成消息后通過無線傳輸?shù)姆绞桨l(fā)送［6］。

1.2 攻擊模型

在VANET 中，典型的攻擊方式有如下4 種：

1）修改攻擊（Modification Attack）。攻擊者修改、刪除或截取消息的特定部分，作為新的消息進(jìn)行發(fā)送。

2）女巫攻擊（Sybil Attack）［20］。攻擊者同時(shí)利用多個(gè)身份生成消息并進(jìn)行廣播，以此擾亂VANET 的正常運(yùn)作。比如，通過這些消息使得其他車輛誤認(rèn)為前方發(fā)生了交通堵塞，迫使這些車輛改變?cè)瓉淼慕煌肪€以保持道路暢通。

3）偽裝攻擊（Masquerading Attack）。攻擊者利用虛假身份信息偽裝成合法車輛并發(fā)布惡意消息。

4）重放攻擊（Replay Attack）［21］。攻擊者將之前接收到的消息在VANET 中重復(fù)不斷地發(fā)布，以達(dá)到擾亂交通的目的。

1.3 安全需求

針對(duì)典型的安全攻擊方式，一個(gè)面向VANET 的消息認(rèn)證協(xié)議存在如下的安全需求：

1）消息的可靠性、完整性、不可抵賴性。在VANET 中，消息驗(yàn)證者通過消息認(rèn)證過程，能夠確認(rèn)該消息的發(fā)送者為可靠實(shí)體，消息為未經(jīng)篡改的原始消息，且消息在產(chǎn)生爭議的情況下其發(fā)送者不能否認(rèn)發(fā)送。

2）隱私保護(hù)。通過分析竊聽和截取所獲得的多個(gè)消息，攻擊者也無法獲取車輛的真實(shí)身份信息。

3）可追蹤性與可撤銷性。在通過合法注冊(cè)后，攻擊者利用匿名性在VANET 中生成并發(fā)布惡意消息。當(dāng)此類事件發(fā)生時(shí)，認(rèn)證方案必須能夠通過消息追蹤到惡意消息發(fā)送者的真實(shí)身份，并將其合法認(rèn)證從VANET 中撤銷。

4）抗攻擊性。VANET 易遭受安全攻擊，在1.2 節(jié)列出了一些常見的攻擊模型。因此，方案需要能夠抵抗攻擊者發(fā)動(dòng)的多種安全攻擊，以保證VANET 的安全性和可靠性。

1.4 切比雪夫混沌映射

1.4.1 切比雪夫多項(xiàng)式的定義

本文方案采用安全性更高的擴(kuò)展切比雪夫多項(xiàng)式［15］，其定義如下：

定義1對(duì)于n?N，x?(-∞，+∞)，n階切比雪夫多項(xiàng)式Tn(x)：(-∞，+∞)→(-∞，+∞)表達(dá)為：

Tn(x)=cos(n?arccos(x))

通過三角變換可以得到不同階的遞推公式如下：

其中：p為一個(gè)大素?cái)?shù)；n≥2。

在特殊情況下，T0(x)=1，T1(x)=x。

1.4.2 切比雪夫多項(xiàng)式的性質(zhì)［22］

性質(zhì)1半群性質(zhì)

對(duì)于n?N，n≥2，有：

其中：x?(-∞，+∞)；r、s為正整數(shù)。

性質(zhì)2擴(kuò)展切比雪夫多項(xiàng)式的離散對(duì)數(shù)問題

記擴(kuò)展切比雪夫多項(xiàng)式的值Tn(x)=y(modp)，給 定x、y及大素?cái)?shù)p，則求解n′?N 使得Tn′(x)=y(modp)是一個(gè)離散對(duì)數(shù)困難問題。

性質(zhì)3擴(kuò)展切比雪夫多項(xiàng)式的DH 問題

給定x?(-∞，+∞)、大素?cái)?shù)p以及擴(kuò)展切比雪夫多項(xiàng)式Tr(x)(modp)、Ts(x)(modp)（r、s均為大于1的正整數(shù)）的值，求解擴(kuò)展切比雪夫多項(xiàng)式Trs(x)(modp)的值是一個(gè)DH（Diffie-Hellman）困難問題。

2 本文方案

本文方案包含5 個(gè)部分，分別為系統(tǒng)初始化、車輛加入RSU、消息認(rèn)證以及可選的線上參數(shù)更新、身份追蹤與撤銷。方案中涉及的符號(hào)或參數(shù)描述如表1 所示。

表1 符號(hào)和參數(shù)描述Table 1 Symbols and parameters description

2.1 系統(tǒng)初始化

TA 負(fù)責(zé)系統(tǒng)主要參數(shù)的生成與分配，以完成系統(tǒng)建立和初始化過程。具體內(nèi)容如下：

1）TA 選取大素?cái)?shù)p和q，隨機(jī)選取u?(u>1)作為系統(tǒng)私鑰。

2）TA 選取安全的單向哈希函數(shù)h1、h2、h3、h4：{0，1}*→；確定對(duì)稱加密算法ENCkey(?)及其對(duì)應(yīng)的解密算法DECkey(?)。TA 公開參數(shù){p，q，Tn(?)，h1(?)，h2(?)，h3(?)，ENCkey(?)，DECkey(?)}，Tn(?)為n階模p的切比雪夫多項(xiàng)式運(yùn)算。

3）對(duì)于系統(tǒng)內(nèi)的RSUj，TA 隨機(jī)選取xj?GF(q)作為RSUj的真實(shí)身份，隨機(jī)選取rj?(rj>1)，計(jì)算Aj=Tu(xj)。通過有線安全信道將參數(shù)元組{h4(?)，xj，}部署至RSUj的防篡改裝置。其中，是TA 為RSUj頒發(fā)的證書，RSUj在其覆蓋范圍內(nèi)公開參數(shù){}。

4）在每個(gè)車輛Vi的注冊(cè)階段，根據(jù)車輛及車主的真實(shí)信息，TA 為其生成真實(shí)身份IDi，隨機(jī)選取周期性更換的臨時(shí)參數(shù)ai?及其有效期TSi，將{ai，IDi，TSi}存儲(chǔ)至TA 的數(shù)據(jù)庫中。在ai臨近到期之前，車輛可以通過3.4 節(jié)所述線上參數(shù)更新方法或在線下完成對(duì)ai和TSi的更新。通過線下方式，TA 安全部署參數(shù)元組{ai，IDi，TSi}至OBUi的防篡改裝置。

2.2 車輛加入RSU 的過程

當(dāng)OBUi進(jìn)入RSUj的覆蓋范圍時(shí)，獲取到RSUj廣播的公開參數(shù)，驗(yàn)證其證書后接受RSUj公布的其身份xj與系統(tǒng)公鑰Aj。為獲取時(shí)效性共享密鑰以在VANET 中進(jìn)行通信，OBUi需要向RSUj發(fā)送請(qǐng)求消息元組以加入RSUj。若請(qǐng)求消息通過了RSUj和TA 的驗(yàn)證，則RSUj向OBUi返回響應(yīng)消 息元組，OBUi驗(yàn)證響應(yīng)消息后獲取共享密鑰及其時(shí)效性，從而加入RSUj。上述過程具體步驟如下：

2）RSU 驗(yàn)證請(qǐng)求消息

RSUj接收到后首先檢查xj與tmp1，確認(rèn)消息接收方和新鮮性，然后通過防篡改裝置中存儲(chǔ)的系統(tǒng)參數(shù)，計(jì)算：

RSUj根據(jù)計(jì)算出的結(jié)果檢查reqi，j中 的xj與tmp1是否與消息元組中相等，并驗(yàn)證如下等式：

若等式成立，則 驗(yàn)證通過，RSUj將{ai，RIDi}交由TA 驗(yàn)證。

3）TA 驗(yàn)證車輛身份

TA 根據(jù)ai在數(shù)據(jù)庫中查找對(duì)應(yīng)記錄{ai，IDi，TSi}，若存在該記錄且其TSi有效，則獲取對(duì)應(yīng)車輛的真實(shí)身份IDi，驗(yàn)證如下等式：

若等式成立，則身份驗(yàn)證通過，向RSUj返回驗(yàn)證結(jié)果。

4）RSU 生成響應(yīng)消息

第一，就發(fā)送者與接受者來看，丈夫蔡伯喈是趙五娘全部愿望的發(fā)送者，愿望的接受者則包括丈夫、公婆、自己，也就是包括自己在內(nèi)的所嫁與的夫家?？梢?，趙五娘作為一個(gè)傳統(tǒng)的封建女子，她的愿望與訴求全部依附于夫家，而缺少自己獨(dú)立的追求。

RSUj會(huì)周期性地生成時(shí)效性共享密鑰，并通過返回響應(yīng)消息將其安全分發(fā)給通過身份驗(yàn)證的OBU。時(shí)效TV 的共享密鑰計(jì)算方法如下：

OBUi根據(jù)計(jì)算的結(jié)果檢查rspj，i中的xj與tmp2是否與消息元組中相等，并驗(yàn)證如下等式：

若等式成立，則驗(yàn)證通過，OBUi獲取時(shí)效TV 的共享密鑰，OBUi加入RSUj過程結(jié)束。

若車輛進(jìn)入其他RSU 范圍或密鑰臨近過期，OBU 需要重新向?qū)?yīng)RSU 發(fā)送請(qǐng)求消息，以獲取新的時(shí)效性共享密鑰。對(duì)于一個(gè)覆蓋范圍內(nèi)車輛較多的RSUj，在單位時(shí)間內(nèi)可能面臨大量OBU 的加入請(qǐng)求。為減少身份驗(yàn)證的時(shí)間并提高密鑰分發(fā)的效率，將維護(hù)一張已認(rèn)證列表CALj，在OBUi首次通過TA 的身份驗(yàn)證后，為該身份元組設(shè)置一個(gè)信任時(shí)間TCi，并存儲(chǔ){ai，RIDi，TCi}至CALj中，該條記錄將在CALj中維持一段時(shí)間TCi。若OBUi后續(xù)發(fā)起加入請(qǐng)求，RSUj解析出{ai，RIDi}元組后，首先在CALj中查詢其對(duì)應(yīng)記錄的有效性，如果存在該條記錄且未過期，則無需讓TA 進(jìn)行身份驗(yàn)證，按照本節(jié)所述RSU 生成響應(yīng)消息過程為OBUi發(fā)放時(shí)效性共享密鑰，并對(duì)其信任時(shí)間進(jìn)行更新；若不存在該身份元組所對(duì)應(yīng)的記錄或信任時(shí)間已過期，則需交由TA 進(jìn)行身份驗(yàn)證。RSUj以時(shí)間τ1為周期，定期清理CALj中過期的記錄。

2.3 消息認(rèn)證

車輛獲取到RSUj發(fā)放的時(shí)效性共享密鑰后，OBUi使用已知參數(shù)生成廣播消息元組，同時(shí)對(duì)同一RSU 中其他合法車輛廣播的消息進(jìn)行認(rèn)證。具體如下：

1）消息生成

對(duì)于OBUi待發(fā)布的消息Mi，生成時(shí)間戳tmp3，計(jì)算：

OBUi+1根據(jù)計(jì)算的結(jié)果檢查bdci，j中的tmp3是否與消息元組中相等，并驗(yàn)證如下等式：

若等式成立，則驗(yàn)證通過，OBUi+1獲取并接受OBUi發(fā)布的消息Mi。

2.4 線上參數(shù)更新

在本文方案中，車輛的臨時(shí)參數(shù)ai由TA 進(jìn)行生成和分發(fā)，除通過線下方式完成參數(shù)安全更新之外，車輛可以在其臨近到期前通過線上方式獲得新的臨時(shí)參數(shù)。首先，OBUi向RSUj發(fā)送請(qǐng)求消息元組，提出參數(shù)更新請(qǐng)求，TA 通過OBUi身份認(rèn)證后獲取到OBUi對(duì)應(yīng)的身份信息記錄{ai，IDi，TSi}。TA 隨機(jī)選取，確定新的有效期，計(jì)算：

參數(shù)元組{ai，IDi，TSi}更新為，并使用更新后的參數(shù)發(fā)起加入RSUj的請(qǐng)求。在允許的時(shí)間延遲τ2內(nèi)，若TA 和RSUj收到了OBUi使用新的參數(shù)元組發(fā)送的請(qǐng)求消息，則視為該車輛成功完成了參數(shù)的線上更新過程，否則視為更新失敗或超時(shí)。在一定的時(shí)間限制τ3后，車輛可以重新以參數(shù)元組{ai，IDi，TSi}發(fā)起線上更新請(qǐng)求。若RSUj維護(hù)已認(rèn)證列表CALj，應(yīng)當(dāng)對(duì)存儲(chǔ)的該車輛原信息元組內(nèi)容進(jìn)行更新。

2.5 追蹤和撤銷

TA 是唯一可以揭露消息發(fā)送者真實(shí)身份的實(shí)體。在本文方案中，未認(rèn)證的車輛節(jié)點(diǎn)發(fā)布的惡意消息無法通過其他車輛節(jié)點(diǎn)的消息認(rèn)證，而如果某個(gè)認(rèn)證后的車輛節(jié)點(diǎn)發(fā)布了惡意消息{PIDi，Bi，j，xj，tmp3}，RSUj獲取該惡意消息元組后，首先完成消息認(rèn)證過程，獲取消息發(fā)送者的假名PIDi，并將{，PIDi，xj，tmp3，TV}提交給TA。在數(shù)據(jù)庫中，TA 查找在時(shí)效TV 內(nèi)發(fā)送過加入RSUj請(qǐng)求消息的車輛信息元組{ak，IDk，TSk}，計(jì)算：

在上述過程完成后，對(duì)于發(fā)送惡意消息的車輛，TA 成功追蹤到其真實(shí)身份并撤銷它的合法認(rèn)證，因此，該車輛節(jié)點(diǎn)不能通過身份驗(yàn)證過程，在時(shí)效性共享密鑰失效后無法繼續(xù)生成可認(rèn)證消息。

3 安全性分析

3.1 不可偽造性

本文方案中存在3 種消息元組：OBUi向RSUj發(fā)送的請(qǐng)求消息={Pi，Ci，j，xj，tmp1}；RSUj向OBUi返回的響應(yīng)消息={Sj，Cj，i，xj，tmp2}；加 入RSUj的OBUi發(fā)布的廣播消息={Qi，Bi，j，xj，tmp3}。

若敵手A成功偽造一個(gè)有效的請(qǐng)求消息元組應(yīng)當(dāng)通過系統(tǒng)的身份認(rèn)證過程，即敵手A需要偽造一個(gè)車輛的身份信息元組{ai，RIDi，TSi}，以計(jì)算請(qǐng)求消息中車輛的請(qǐng)求身份RIDi=h1((IDi⊕ai)||TSi)。由于3 種消息元組均不能直接得到這些參數(shù)，敵手A只能通過碰撞的方式進(jìn)行構(gòu)造，顯然在多項(xiàng)式時(shí)間內(nèi)敵手A無法構(gòu)造出其對(duì)應(yīng)的有效身份信息元組，即偽造的不能通過系統(tǒng)的身份認(rèn)證。

由于敵手A無法偽造有效的，不能獲取到通過身份認(rèn)證后由RSUj分發(fā)的時(shí)效性共享密鑰，因此無法偽造可被RSUj范圍內(nèi)其他車輛接受的廣播消息元組。

綜上，敵手A無法偽裝成合法車輛或RSU，以構(gòu)建可被系統(tǒng)內(nèi)實(shí)體所接受的合法消息。因此，本文方案消息具有不可偽造性，可以抵抗偽造攻擊。

3.2 條件隱私保護(hù)

在本文方案中，每個(gè)車輛的原始身份信息元組{ai，IDi，TSi}由TA 生成和分配，并存儲(chǔ)在TA 的數(shù)據(jù)庫中。在V2I 通信中，RSU 驗(yàn)證請(qǐng)求消息后獲得的車輛信息只有臨時(shí)參數(shù)ai和RIDi。在V2V 通信中，其他車輛節(jié)點(diǎn)解密廣播消息后獲得的是車輛為該消息生成的一次性假名PIDi。同時(shí)，對(duì)于外部攻擊者，在不知曉的情況下，即使竊聽截獲了該消息，也不能從消息密文中得到bdci，j的內(nèi)容。因此，RSU、其他車輛節(jié)點(diǎn)、外部攻擊者均不能揭示車輛的真實(shí)身份，從而保證了匿名性。

只有保存了車輛真實(shí)身份元組的TA 才可以揭露車輛的真實(shí)身份，對(duì)車輛進(jìn)行身份認(rèn)證或在車輛發(fā)送惡意消息時(shí)撤銷其合法認(rèn)證，從而保證了可追蹤性。因此，本文方案可以實(shí)現(xiàn)條件隱私保護(hù)。

3.3 抗攻擊性分析

由3.1 節(jié)分析可知，敵手A無法偽裝成一個(gè)合法車輛節(jié)點(diǎn)或一個(gè)合法RSU 生成3 種消息元組，因此，本文方案可以抵抗消息偽造攻擊。

對(duì)于OBUi向RSUj發(fā)送的請(qǐng)求消息={Pi，Ci，j，xj，tmp1}，敵手A將其篡改為={Pi，，xj，tmp1}，篡改后的消息由RSUj解密后需要通過身份認(rèn)證過程。根據(jù)性質(zhì)2 可知，在知道xj的情況下，根據(jù)車輛公鑰Pi=Tv(xj)和RSUj公鑰Aj=Tu(xj)求解出系統(tǒng)私鑰u和車輛私鑰v均為離散對(duì)數(shù)困難問題，而在多項(xiàng)式時(shí)間內(nèi)無法求解該問題；而在不知道u或v的情況下，根據(jù)性質(zhì)3 可知，在多項(xiàng)式時(shí)間內(nèi)求解Ci，j的對(duì)稱密鑰SKi，j=Tu(Pi)=Tv(Aj)是一個(gè)DH 困難問題。因此，請(qǐng)求消息可以抵抗修改攻擊。同理，響應(yīng)消息可以抵抗修改攻擊。對(duì)于OBUi發(fā)布的廣播消 息={Qi，Bi，j，xj，tmp3}，由于不知道，敵 手A無法將其篡改為可認(rèn)證廣播消息元組=因 此，廣播消息可以抵 抗修改攻擊。綜上，本文方案可以抵抗修改攻擊。

3 種消息元組均包含時(shí)間戳，驗(yàn)證者在消息認(rèn)證時(shí)首先檢查時(shí)間戳是否新鮮，若時(shí)間戳已不新鮮，則該消息將被丟棄。因此，本文方案可以抵抗重放攻擊。

4 性能分析

以計(jì)算開銷和通信開銷作為性能評(píng)估指標(biāo)，將本文方案與NECPPA［12］、AEAS-STA［14］、IB-CPPA［23］、EPFCAS［24］方案進(jìn)行性能對(duì)比。其中，NECPPA 方案在基于雙線性對(duì)的方案中計(jì)算效率較高，其他方案都采用了橢圓曲線密碼，并且避免了Map-to-point哈希函數(shù)運(yùn)算。

4.1 計(jì)算開銷分析

雙線性對(duì)密碼算法和橢圓曲線密碼算法的安全等級(jí)均為80 bit。雙線性對(duì)密碼運(yùn)算方案設(shè)置為：

其中：Gb是由生成元P′生成的階為q′的加法群；P′是度為2 的超奇異橢圓曲線E′：y2=x3+a′x+b′(modp′)上的點(diǎn)；p′是一個(gè)長度為512 bit 的素?cái)?shù)；q′是一個(gè)長度為160 bit 的素?cái)?shù)。

橢圓曲線密碼運(yùn)算方案設(shè)置為：

其中：P為非奇異橢圓曲線E上的一點(diǎn)，由P作為生成元生成的階為q的加法群記為G；p和q為長160 bit 的素?cái)?shù)；a、b?。

本文方案采用對(duì)稱密碼算法AES-192，大素?cái)?shù)p和q的長度均為192 bit。利用JAVA 密碼學(xué)庫［17］，在配置為Intel i5-8400 CPU 和8 GB 內(nèi)存的Win10 操作系統(tǒng)環(huán)境下，本文對(duì)上述密碼運(yùn)算方案中的各種密碼運(yùn)算進(jìn)行實(shí)現(xiàn)，并記錄相應(yīng)運(yùn)算的平均執(zhí)行時(shí)間。令Tbm、Tbsm、Tba、Tbp分別表示雙線性對(duì)中標(biāo)量乘法、小因子乘法、加法、雙線性對(duì)運(yùn)算，Tem、Tesm、Tea分別表示橢圓曲線中標(biāo)量乘法、小因子乘法、加法運(yùn)算，Th表示單向哈希函數(shù)運(yùn)算，Tmtp表 示Map-to-point 哈希函數(shù)運(yùn)算，Tc表示切比雪夫混沌映射運(yùn)算，Tsym表示對(duì)稱密碼算法中的加密或解密運(yùn)算。表2 所示為上述密碼運(yùn)算的平均執(zhí)行時(shí)間。

表2 密碼運(yùn)算的執(zhí)行時(shí)間對(duì)比Table 2 Comparison of execution time of cryptographic operations ms

表3 給出各方案在車輛加入RSU 過程中整個(gè)密鑰協(xié)商階段OBU 與RSU 的計(jì)算開銷，表4 給出各方案中消息認(rèn)證階段的計(jì)算開銷。

表3 密鑰協(xié)商階段的計(jì)算開銷Table 3 Computational overhead in key agreement phase

表4 消息認(rèn)證階段的計(jì)算開銷Table 4 Computational overhead in message authentication phase

在AEAS-STA 方案中，車輛節(jié)點(diǎn)加入RSU 階段使用了橢圓曲線公鑰密碼算法，其加密過程包括2 個(gè)橢圓曲線標(biāo)量乘法計(jì)算和1 個(gè)橢圓曲線加法計(jì)算，解密過程則為1 個(gè)橢圓曲線標(biāo)量乘法計(jì)算和1 個(gè)橢圓曲線加法計(jì)算。在該階段，車輛節(jié)點(diǎn)從發(fā)送請(qǐng)求消息到接受響應(yīng)消息并獲取群密鑰一共需要完成1 個(gè)公鑰加密過程、2 個(gè)公鑰解密過程、2 個(gè)橢圓曲線標(biāo)量乘法計(jì)算和2個(gè)單向哈希計(jì)算，共需6Tem+3Tea+2Th≈1.9053 ms。由于該協(xié)議的響應(yīng)參數(shù)計(jì)算主要依靠子TA 完成，RSU在密鑰協(xié)商階段只需完成1個(gè)公鑰加密過程的計(jì)算，即2Tem+Tea≈0.634 7 ms。OBU 為消息簽名需要執(zhí)行3 個(gè)橢圓曲線標(biāo)量乘法計(jì)算、1 個(gè)橢圓曲線加法運(yùn)算和3 個(gè)單向哈希計(jì)算，共需3Tem+Tea+3Th≈0.952 3 ms。OBU對(duì)n條消息進(jìn)行批量認(rèn)證需要執(zhí)行2n個(gè)橢圓曲線加法計(jì)算、(n+2)個(gè)橢圓曲線標(biāo)量乘法計(jì)算、n個(gè)橢圓曲線小因子乘法計(jì)算和2n個(gè)單向哈希計(jì)算，共需2nTea+(n+2)Tem+nTesm+2nTh≈(0.352 4n+0.631 6)ms。同理，可以計(jì)算出其他方案各階段的計(jì)算開銷，此處不再重復(fù)列出。由于結(jié)構(gòu)差異，因此EPFCAS 方案沒有對(duì)應(yīng)的密鑰協(xié)商階段。

在本文方案中，車輛節(jié)點(diǎn)在加入RSU 過程中生成請(qǐng)求消息和驗(yàn)證響應(yīng)消息共需執(zhí)行3 個(gè)切比雪夫多項(xiàng)式計(jì)算、3 個(gè)單向哈希計(jì)算、1 個(gè)對(duì)稱加密計(jì)算和1 個(gè)對(duì)稱解密計(jì)算，共需3Tc+3Th+2Tsym≈0.600 5 ms；RSU 驗(yàn)證請(qǐng)求消息和生成響應(yīng)消息共需3Tc+2Th+2Tsym≈0.599 9 ms；OBU 生成一條廣播消息需要執(zhí)行2 個(gè)切比雪夫多項(xiàng)式計(jì)算、2個(gè)單向哈希計(jì)算和1個(gè)對(duì)稱加密計(jì)算，共需2Tc+2Th+Tsym≈0.371 8 ms；單條消息認(rèn)證需要執(zhí)行1個(gè)切比雪夫多項(xiàng)式計(jì)算、1個(gè)單向哈希計(jì)算和1個(gè)對(duì)稱解密計(jì)算，即Tc+Th+Tsym≈0.2287 ms，因此，對(duì)n條消息進(jìn)行認(rèn)證共需nTc+nTh+nTsym≈(0.2287n)ms。

結(jié)合表3 數(shù)據(jù)可得本文方案與其他方案在密鑰協(xié)商階段的計(jì)算開銷對(duì)比，結(jié)果如圖2 所示。從圖2可以看出，本文方案OBU 與RSU 的計(jì)算開銷均小于對(duì)比方案，與計(jì)算開銷最低的IB-CPPA 方案相比，本文方案在密鑰協(xié)商過程中，OBU 的計(jì)算開銷節(jié)省約5.10%，RSU 的計(jì)算開銷節(jié)省約5.11%。

圖2 密鑰協(xié)商階段的計(jì)算開銷對(duì)比結(jié)果Fig.2 Comparison results of computational overhead in key agreement phase

結(jié)合表4 數(shù)據(jù)可知，在消息認(rèn)證過程中，生成廣播消息時(shí)，本文方案的計(jì)算時(shí)間最少，與其他方案中單條消息生成效率最高的EPFCAS 方案相比，本文方案提升了約41.30%的單條消息生成效率。對(duì)消息進(jìn)行批量認(rèn)證時(shí)，車輛節(jié)點(diǎn)的計(jì)算開銷與消息數(shù)量呈線性正相關(guān)關(guān)系，圖3 給出了各方案在消息批量認(rèn)證時(shí)消息數(shù)量與認(rèn)證執(zhí)行時(shí)間的關(guān)系對(duì)比。通過上述分析結(jié)果可以看出，相比現(xiàn)有基于雙線性對(duì)或橢圓曲線密碼學(xué)的方案，基于切比雪夫混沌映射的方案在計(jì)算效率上具有顯著優(yōu)勢。其他方案在執(zhí)行消息批量認(rèn)證時(shí)，n系數(shù)最小的是AEAS-STA 方案，n為0.352 4，而本文方案中n的系數(shù)僅為0.228 7，在同一時(shí)間段內(nèi)所驗(yàn)證消息的數(shù)量提升約為54.09%。當(dāng)待認(rèn)證的消息數(shù)量較多時(shí)，本文方案在計(jì)算開銷上的優(yōu)勢更為明顯，能夠更好地滿足VANET 對(duì)于消息認(rèn)證協(xié)議的高性能需求。

圖3 消息批量認(rèn)證的執(zhí)行時(shí)間對(duì)比結(jié)果Fig.3 Comparison results of execution time of message batch authentication

4.2 通信開銷分析

通過4.1 節(jié)的分析可知，P′與P所占字節(jié)分別為64 Byte 和20 Byte，則 群Gb和群G中的元素所占字節(jié)分別為128 Byte 和40 Byte。此外，時(shí)間戳所占大小為4 Byte，車輛真實(shí)身份所占大小為20 Byte，哈希函數(shù)的輸出長度為20 Byte。在本文方案中，對(duì)稱密碼算法的密鑰長度為192 bit，即24 Byte，對(duì)應(yīng)切比雪夫多項(xiàng)式的值占24 Byte，RSU 身份所占大小為24 Byte。

如表5所示，在NECPPA方案中，OBUi的廣播消息元組為，元組中的Mi為消息，為RSUj的身份，假名為真實(shí)身份與一個(gè)單向哈希函數(shù)值的異或，消息簽名δi?Gb。因此，增加的通信開銷總量為128×2+20×2=296 Byte。

表5 通信開銷比較Table 5 Communication overhead comparison Byte

其他方案所增加的通信開銷的計(jì)算方式同理。在AEAS-STA 方案中，廣播消息元組為{Mi，Ui，Qi，Ti，δi}，增加的通信開銷為40×3+20+4=144 Byte。IB-CPPA 方案中的廣播消息元組為{AIDi，Ti，Ri，σi}，增加的通信開銷為40×3+20+4=144 Byte。EPFCAS方案中的廣播消息元組為{mi，ti，σi}，增加的通信開銷為40×4+20×4+4=244 Byte。在本文方案中，廣播消息元組，其 中，Qi為切比雪夫多項(xiàng)式的值，xj為RSUj的身份，tmp3為時(shí)間戳，包含消息Mi、車輛假名PIDi和一個(gè)時(shí)間戳，H3是一個(gè)單向哈希函數(shù)值。因此，本文方案增加的通信開銷為24×2+20×2+4×2=96 Byte。由此可見，本文方案的消息是輕量級(jí)的，生成單條消息的負(fù)載低于其他方案，本文方案更能滿足VANET 的通信需求。

5 結(jié)束語

現(xiàn)有面向車聯(lián)網(wǎng)的消息認(rèn)證協(xié)議計(jì)算效率較低，為此，本文提出一種基于切比雪夫混沌映射的認(rèn)證方案。該方案利用切比雪夫混沌映射和對(duì)稱密碼實(shí)現(xiàn)V2I 密鑰協(xié)商與車輛身份認(rèn)證，不需要群簽名，同時(shí)采用一種時(shí)效性共享密鑰完成V2V 匿名消息認(rèn)證，無須車輛節(jié)點(diǎn)為每個(gè)消息簽名驗(yàn)證一個(gè)較大的撤銷列表，車輛的撤銷也不會(huì)影響群組性能。安全分析結(jié)果表明，本文方案能夠?qū)崿F(xiàn)條件隱私保護(hù)并能抵御多種安全攻擊。性能分析結(jié)果表明，本文方案具有較高的計(jì)算效率和較低的通信負(fù)載，在資源受限或車輛密度較大的場景下，其可以更好地滿足車聯(lián)網(wǎng)的性能需求。下一步將在本文方案的基礎(chǔ)上優(yōu)化系統(tǒng)內(nèi)各實(shí)體的參數(shù)配置，降低追蹤與撤銷階段TA 的檢索與存儲(chǔ)開銷以及各實(shí)體的計(jì)算和通信開銷，同時(shí)提高方案的安全性并擴(kuò)展其適用場景。