楊小東，席婉婷，王嘉琪，陳艾佳，王彩芬

（1.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅 蘭州 730070；2.深圳技術(shù)大學(xué)大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院，廣東 深圳 518118）

1 引言

車聯(lián)網(wǎng)[1]是車、路、人協(xié)同的開放融合網(wǎng)絡(luò)，是借助現(xiàn)代通信技術(shù)實(shí)現(xiàn)信息共享的移動(dòng)通信系統(tǒng)。車聯(lián)網(wǎng)中車輛行駛數(shù)據(jù)、交通狀態(tài)數(shù)據(jù)和交通事故數(shù)據(jù)的共享，不僅能夠?qū)崿F(xiàn)路況監(jiān)測以避免交通混亂，也能夠?yàn)榻煌▓?zhí)法部門和保險(xiǎn)公司等提供重要信息。例如，交通執(zhí)法部門可以通過車輛行駛數(shù)據(jù)調(diào)查事故原因；保險(xiǎn)公司可以將交通事故數(shù)據(jù)作為理賠證據(jù)等。然而，車聯(lián)網(wǎng)數(shù)據(jù)在促進(jìn)智慧交通發(fā)展的同時(shí)，也面臨著嚴(yán)峻的數(shù)據(jù)安全挑戰(zhàn)。由于車聯(lián)網(wǎng)數(shù)據(jù)具有巨大的經(jīng)濟(jì)價(jià)值，惡意用戶利用車聯(lián)網(wǎng)進(jìn)行非法行為的情況頻頻發(fā)生[2]，數(shù)據(jù)被竊取或偽造可能會(huì)造成車聯(lián)網(wǎng)交通事故難以定責(zé)等問題。

電子證據(jù)[3]作為一種新型的證據(jù)，是利用電子設(shè)備進(jìn)行傳遞、存儲(chǔ)和共享的一切形式的證據(jù)。傳統(tǒng)證據(jù)的提取依賴于人工，人工取證費(fèi)時(shí)費(fèi)力且效率極低；而電子證據(jù)具有收集迅速、易于保存、占用空間少和便于審查核實(shí)的特點(diǎn)，它的共享則能夠更高效地解決車聯(lián)網(wǎng)交通事故的追責(zé)及賠償?shù)葐栴}。然而，電子證據(jù)因其本身較脆弱且依賴存儲(chǔ)介質(zhì)，易被丟失、修改和偽造[4]。如發(fā)生肇事類交通事故時(shí)，無有效證據(jù)或責(zé)任人故意偽造證據(jù)會(huì)導(dǎo)致定責(zé)困難或追責(zé)出現(xiàn)偏頗。保險(xiǎn)公司的賠償可能隨之出現(xiàn)偏差造成重大利益損失，且追責(zé)有失公允也會(huì)導(dǎo)致司法部門公信力下降。因此，電子證據(jù)共享過程中的隱私泄露與數(shù)據(jù)安全問題亟待解決。

基于身份的簽密[5]和代理重加密技術(shù)[6]可以通過對數(shù)據(jù)加密來解決數(shù)據(jù)隱私與安全問題?；谏矸莸暮灻芫哂懈痰拿芪暮透〉挠?jì)算開銷，對數(shù)據(jù)既簽名又加密保證了數(shù)據(jù)的機(jī)密性和不可否認(rèn)性。代理重加密技術(shù)使用重加密密鑰進(jìn)行密文轉(zhuǎn)換，將授權(quán)者的密文轉(zhuǎn)換成被授權(quán)者可以解密的密文，實(shí)現(xiàn)了第三方用戶對授權(quán)方數(shù)據(jù)的共享。然而，基于身份的簽密和代理重加密技術(shù)依賴于半可信第三方，通常存在數(shù)據(jù)存儲(chǔ)中心化的問題。云服務(wù)器通常在執(zhí)行用戶命令的同時(shí)，仍對用戶的信息保持好奇，因此其是半可信的。集中化存儲(chǔ)的云服務(wù)器很容易遭到不法分子的攻擊，造成隱私數(shù)據(jù)的篡改、丟失或泄露[7]。

區(qū)塊鏈技術(shù)[8]是一種具有去中心化、數(shù)據(jù)難以篡改、可追溯、不可偽造等特性的信任機(jī)制，為電子證據(jù)在車聯(lián)網(wǎng)中的共享提供了新的去中心化的解決方案。區(qū)塊鏈技術(shù)可以在防止證據(jù)被篡改的同時(shí)，實(shí)現(xiàn)電子證據(jù)的分布式安全存儲(chǔ)。然而，區(qū)塊鏈技術(shù)現(xiàn)階段存在性能瓶頸[9]，無法大規(guī)模存儲(chǔ)車聯(lián)網(wǎng)電子證據(jù)數(shù)據(jù)。隨著區(qū)塊鏈交易數(shù)據(jù)的增長，節(jié)點(diǎn)記錄數(shù)據(jù)的時(shí)間也不斷延長，數(shù)據(jù)確認(rèn)的時(shí)延也會(huì)越來越高，因此單純使用區(qū)塊鏈存儲(chǔ)和共享車聯(lián)網(wǎng)電子證據(jù)存在效率低下的問題。

針對上述問題，本文提出了基于簽密和區(qū)塊鏈技術(shù)的車聯(lián)網(wǎng)電子證據(jù)共享方案。該方案采用鏈上存儲(chǔ)證據(jù)報(bào)告、鏈下存儲(chǔ)證據(jù)密文的方式，將云的海量存儲(chǔ)能力和區(qū)塊鏈的難以篡改性結(jié)合進(jìn)行優(yōu)勢互補(bǔ)；利用基于身份的簽密和代理重加密技術(shù)對電子證據(jù)進(jìn)行加密，實(shí)現(xiàn)了證據(jù)的機(jī)密性、身份可驗(yàn)證性和不可否認(rèn)性。同時(shí)，通過管理車輛用戶的信譽(yù)值，提高了數(shù)據(jù)的可靠性；采用聚合簽名技術(shù)降低了簽名驗(yàn)證的計(jì)算開銷。

2 相關(guān)工作

電子取證逐漸替代傳統(tǒng)人工取證，一定程度上解決了證據(jù)收集依賴人工、取證效率低下、證據(jù)容易失真等問題。但是目前還面臨著安全和隱私挑戰(zhàn)，如證據(jù)提供車輛的隱私保護(hù)問題和電子證據(jù)易受攻擊被篡改和偽造的問題。因此，車聯(lián)網(wǎng)電子證據(jù)共享成為公共法治及智慧交通領(lǐng)域重點(diǎn)關(guān)注的研究課題之一。

為了解決數(shù)據(jù)隱私泄露和共享安全問題，Malone 等[10]在數(shù)字簽名體制[11]的基礎(chǔ)上利用雙線性對計(jì)算構(gòu)造了第一個(gè)基于身份的簽密方案，保證了數(shù)據(jù)的機(jī)密性、消息的完整性和不可否認(rèn)性；但其明文的簽名在密文中可見，Libert 等[12]隨后指出該方案是不安全的。Karati 等[13]介紹了一種新的基于身份的雙線性對簽名加密方案，實(shí)現(xiàn)了身份的可追溯性；但由于其計(jì)算量大不適合在交通場景中短時(shí)間內(nèi)對大量車輛簽名進(jìn)行驗(yàn)證。Boneh 等[14]提出的聚合簽名解決了多個(gè)簽名的驗(yàn)證問題，簽名驗(yàn)證者僅需驗(yàn)證聚合后的一個(gè)簽名即可，提高了系統(tǒng)中簽名的驗(yàn)證速率。Blaze 等[15]提出代理重加密機(jī)制實(shí)現(xiàn)了密文轉(zhuǎn)換，解決了實(shí)際應(yīng)用中的細(xì)粒度解密權(quán)限分配問題；但該方案的授權(quán)人與代理人可以串通獲取授權(quán)人的私鑰，即存在合謀攻擊安全風(fēng)險(xiǎn)。Hundera 等[16]和Luo 等[17]將云計(jì)算技術(shù)引入代理重簽密方案，降低了大量數(shù)據(jù)的存儲(chǔ)成本，滿足了云端數(shù)據(jù)的機(jī)密性和完整性的安全需求；但其方案仍消耗較高昂的計(jì)算成本，且存在數(shù)據(jù)存儲(chǔ)中心化和數(shù)據(jù)易被篡改的問題。

區(qū)塊鏈技術(shù)的出現(xiàn)為數(shù)據(jù)易被篡改和偽造的問題提供了一種新的解決方案[18-19]，區(qū)塊鏈能夠確保數(shù)據(jù)的去中心化存儲(chǔ)、難以篡改和不可偽造。Zhang 等[20]提出了一個(gè)基于區(qū)塊鏈的云取證方案，該方案在提供證據(jù)同時(shí)可實(shí)現(xiàn)身份的隱私保護(hù)；但方案的效率和安全均受限于中心信任節(jié)點(diǎn)。Malamas 等[21]提出了一種基于移動(dòng)物聯(lián)網(wǎng)的取證框架，利用區(qū)塊鏈獲取證據(jù)保證了證據(jù)完整性和可靠性；但密鑰管理技術(shù)煩瑣，無法適用于車聯(lián)網(wǎng)場景。Huang 等[22]提出了一種基于區(qū)塊鏈的云計(jì)算電子取證模型，該模型可以防止取證各方的串謀篡改；但不能滿足并發(fā)請求，算法效率需要進(jìn)一步優(yōu)化。Oham 等[23]利用區(qū)塊鏈技術(shù)存取證據(jù)，提出了一種自動(dòng)車輛歸責(zé)框架，該框架能夠解決車輛與司法部門間在交通事故中的信任問題，但無法避免數(shù)據(jù)確認(rèn)時(shí)延高的問題。Li 等[24]對電子證據(jù)加密實(shí)現(xiàn)了數(shù)據(jù)的安全存儲(chǔ)及細(xì)粒度訪問控制，通過區(qū)塊鏈技術(shù)保證了數(shù)據(jù)記錄的防篡改性；但該方案存在大量雙線性對運(yùn)算，計(jì)算開銷較大并不高效。

為此，本文基于簽密和區(qū)塊鏈技術(shù)提出了一個(gè)新的車聯(lián)網(wǎng)電子證據(jù)共享方案。利用云服務(wù)器存儲(chǔ)電子證據(jù)密文，區(qū)塊鏈存儲(chǔ)包含證據(jù)哈希值及簽名等的證據(jù)報(bào)告，這樣既能防止云服務(wù)器偽造或篡改證據(jù)，又能減輕區(qū)塊鏈的存儲(chǔ)負(fù)擔(dān)。使用基于身份的簽密和代理重加密算法加密電子證據(jù)保證數(shù)據(jù)機(jī)密性，為所有進(jìn)行通信的實(shí)體生成匿名身份以保護(hù)其身份隱私。因此，本文方案既解決了車聯(lián)網(wǎng)電子證據(jù)的安全共享問題，又實(shí)現(xiàn)了證人即車輛用戶的隱私保護(hù)需求，使電子證據(jù)共享更加高效、安全。

3 車聯(lián)網(wǎng)電子證據(jù)共享模型

本節(jié)首先重點(diǎn)介紹了模型的邏輯框架與實(shí)體功能，然后給出車聯(lián)網(wǎng)電子證據(jù)共享模型的設(shè)計(jì)目標(biāo)。

3.1 模型的邏輯框架與實(shí)體功能

本文提出將區(qū)塊鏈與云服務(wù)器相結(jié)合，實(shí)現(xiàn)數(shù)據(jù)的鏈上（區(qū)塊鏈）+鏈下（云服務(wù)器）混合存儲(chǔ)；同時(shí)，利用簽密和代理重加密技術(shù)，實(shí)現(xiàn)了車輛用戶的隱私保護(hù)和電子證據(jù)的安全共享。如圖1 所示，基于區(qū)塊鏈的車聯(lián)網(wǎng)電子證據(jù)共享模型包括可信機(jī)構(gòu)（TA,trusted authority）、認(rèn)證機(jī)構(gòu)（CA,certification authority）、車輛（Vi,vehicle）、路邊單元（RSU,road-side unit）、區(qū)塊鏈（BC,blockchain）、云服務(wù)器（CS,cloud server）和保險(xiǎn)公司（IC,insurance company）7 個(gè)實(shí)體，其中TA 對應(yīng)圖1 中的車輛管理所，CA 對應(yīng)圖1 中的交通警察局。

圖1 車聯(lián)網(wǎng)電子證據(jù)共享模型框架

各個(gè)實(shí)體的具體介紹如下。

1) 可信機(jī)構(gòu)：負(fù)責(zé)進(jìn)行全局設(shè)置，車輛和路邊單元需到車輛管理所登記注冊。

2) 認(rèn)證機(jī)構(gòu)：負(fù)責(zé)生成代理密鑰，管理并更新車輛的信譽(yù)值。

3) 車輛：參與取證任務(wù)，負(fù)責(zé)收集證據(jù)并對其進(jìn)行簽密。

4) 路邊單元：負(fù)責(zé)驗(yàn)證每個(gè)車輛的簽名，并將有效的一組車輛簽名進(jìn)行聚合。

5) 區(qū)塊鏈：負(fù)責(zé)將證據(jù)報(bào)告存儲(chǔ)在記錄池中，保險(xiǎn)公司需先入鏈查找證據(jù)報(bào)告，再根據(jù)報(bào)告請求云服務(wù)器返回證據(jù)密文。

6) 云服務(wù)器：負(fù)責(zé)進(jìn)行代理重加密并存儲(chǔ)證據(jù)密文，具有足夠的存儲(chǔ)和計(jì)算資源。云服務(wù)器驗(yàn)證證據(jù)密文的有效性，無效則拒絕存儲(chǔ)。

7) 保險(xiǎn)公司：將取證任務(wù)委托給路邊單元，通過云服務(wù)器獲取證據(jù)密文并解密得到有效證據(jù)，對提供有效證據(jù)的車輛給予報(bào)酬獎(jiǎng)勵(lì)。

3.2 模型的設(shè)計(jì)目標(biāo)

該模型旨在達(dá)到如下設(shè)計(jì)目標(biāo)。

1) 數(shù)據(jù)共享。采用云存儲(chǔ)和加密技術(shù)實(shí)現(xiàn)了多對多的共享，車輛用戶將電子證據(jù)加密存儲(chǔ)在云服務(wù)器中，保險(xiǎn)公司通過解密獲取電子證據(jù)。車輛用戶借助云服務(wù)器將電子證據(jù)共享給需要有效證據(jù)的保險(xiǎn)公司。

2) 隱私保護(hù)。利用基于身份的簽密技術(shù)，為車輛生成匿名身份進(jìn)行交互使其真實(shí)身份不被泄露，同時(shí)也通過加密數(shù)據(jù)在共享過程中保護(hù)電子證據(jù)的數(shù)據(jù)隱私。

3) 安全高效。采用了區(qū)塊鏈和云計(jì)算相結(jié)合的混合存儲(chǔ)以保證證據(jù)數(shù)據(jù)的安全。區(qū)塊鏈中的數(shù)據(jù)記錄的防篡改性以及云服務(wù)器強(qiáng)大的存儲(chǔ)、計(jì)算能力可以確保電子證據(jù)的安全存儲(chǔ)。聚合簽名和代理重加密技術(shù)的應(yīng)用能夠很好地提高方案效率，實(shí)現(xiàn)數(shù)據(jù)高效共享。

4 方案的詳細(xì)構(gòu)造及設(shè)計(jì)

方案主要包括系統(tǒng)初始化、實(shí)體注冊、證據(jù)收集、證據(jù)上傳、證據(jù)訪問和激勵(lì)機(jī)制6 個(gè)步驟。

4.1 系統(tǒng)初始化

TA 選擇一個(gè)安全參數(shù)1λ并執(zhí)行如下操作。

1) TA 選擇一個(gè)大素?cái)?shù)p，2 個(gè)階為p的循環(huán)群G0和GT，其中G是群G0的生成元。循環(huán)群滿足雙線性映射

4) TA 秘密保存主密鑰msk=α，公開全局參數(shù)并將區(qū)塊鏈記錄池初始化為空。

4.2 實(shí)體注冊

車輛都需要在TA 處進(jìn)行登記注冊。車輛通過安全信道將自己的真實(shí)身份發(fā)送給TA，對于真實(shí)身份為RIDi的車輛用戶，TA 為其生成匿名身份AIDi來保護(hù)身份隱私，具體注冊步驟如下。

4) 如果進(jìn)行取證任務(wù)的車輛用戶出現(xiàn)任何違規(guī)或非法行為，TA 可以根據(jù)AIDi查詢注冊信息表registry 來曝光該車輛的真實(shí)身份以進(jìn)行追查。

5) 區(qū)塊鏈節(jié)點(diǎn)向TA 實(shí)名注冊，TA 創(chuàng)建創(chuàng)世塊并廣播給整個(gè)區(qū)塊鏈網(wǎng)絡(luò)，區(qū)塊鏈節(jié)點(diǎn)記錄創(chuàng)世塊。

4.3 證據(jù)收集

路邊單元RSU 接受IC 委托的取證任務(wù)后，邀請事故路段車輛進(jìn)行如下證據(jù)收集操作。

2) RSU 邀請事故發(fā)生路段周圍車輛(V1,V2,…,Vj)收集事故相關(guān)證據(jù)數(shù)據(jù)附上簽名并上傳。經(jīng)過事故路段但無證據(jù)的車輛Vf駛離該路段也可將任務(wù)附上簽名廣播給周圍的車輛，以提高取證任務(wù)完成的效率。

3) RSU 將車輛收集的事故相關(guān)證據(jù)發(fā)送至CA，由CA 的交通執(zhí)法人員根據(jù)forensicsn篩選出有效的證據(jù)，并對相關(guān)證據(jù)數(shù)據(jù)進(jìn)行代理重加密；若無有效證據(jù)則由RSU 繼續(xù)廣播證據(jù)收集任務(wù)。

4.4 證據(jù)上傳

車輛、路邊單元和認(rèn)證機(jī)構(gòu)執(zhí)行以下流程向區(qū)塊鏈網(wǎng)絡(luò)和云服務(wù)器安全地上傳證據(jù)數(shù)據(jù)。

1) 車輛簽密

取證車輛對行車記錄儀拍到的現(xiàn)場照片、視頻以及事故車輛行駛狀態(tài)數(shù)據(jù)等證據(jù)進(jìn)行簽密，以保證其他實(shí)體交互過程中是不知道證據(jù)明文的。無證據(jù)車輛將取證任務(wù)附上簽名廣播給周圍車輛。

2) 聚合簽名生成

路邊單元驗(yàn)證車輛簽名是否合法，并為持有合法簽名的一組車輛進(jìn)行如下操作生成聚合簽名。

①RSU 在區(qū)塊鏈賬本和本地?cái)?shù)據(jù)庫中查找t是否已經(jīng)存在。如果存在，則拒絕該車輛提供的證據(jù)，避免重復(fù)存證；否則，RSU 繼續(xù)進(jìn)行聚合簽名。3) 代理重加密及密文存儲(chǔ)

CA 對聚合簽名進(jìn)行驗(yàn)證，若簽名合法，則執(zhí)行以下操作進(jìn)行代理重加密，并將經(jīng)過簽密和代理重加密的證據(jù)密文進(jìn)行如下存儲(chǔ)。

①交通執(zhí)法人員根據(jù)forensicsn、證據(jù)報(bào)告和信譽(yù)值valuei篩選出有效的證據(jù)，其中CA 管理的車輛信譽(yù)值初始均為相同數(shù)值，僅提交過證據(jù)的車輛的匿名身份會(huì)被CA 保存，并對該車輛的信譽(yù)值進(jìn)行更新。

4.5 證據(jù)訪問

保險(xiǎn)公司IC 發(fā)送訪問請求，在接收到云服務(wù)器CS 的證據(jù)密文后，執(zhí)行解密操作獲取證據(jù)明文，具體步驟如下。

1) IC 根據(jù)取證編號(hào)、偽名以及當(dāng)前時(shí)間戳Ts向區(qū)塊鏈網(wǎng)絡(luò)請求訪問證據(jù)報(bào)告，數(shù)據(jù)請求為，持有相應(yīng)數(shù)據(jù)記錄的區(qū)塊鏈節(jié)點(diǎn)向IC 返回證據(jù)報(bào)告report3。

2) IC 根據(jù)證據(jù)報(bào)告向云服務(wù)器發(fā)送request2請求證據(jù)密文，云服務(wù)器向保險(xiǎn)公司返回證據(jù)密文C。

4.6 激勵(lì)機(jī)制

保險(xiǎn)公司IC 根據(jù)證據(jù)報(bào)告中車輛信譽(yù)值valuei的高低對證據(jù)進(jìn)行評估。IC 通過獎(jiǎng)勵(lì)機(jī)制來刺激、鼓勵(lì)更多車輛收集并提供有效證據(jù)。一旦該有效證據(jù)被IC 成功接受，則對對應(yīng)的車輛用戶進(jìn)行報(bào)酬獎(jiǎng)勵(lì)。

CA 初始時(shí)根據(jù)信譽(yù)感知激勵(lì)機(jī)制為不同的車輛Vi設(shè)置不同的信譽(yù)值。當(dāng)IC 發(fā)布取證任務(wù)并且車輛Vi競爭參與這些任務(wù)時(shí)，感知平臺(tái)會(huì)根據(jù)Vi的信譽(yù)值valuei進(jìn)行選擇，優(yōu)先交由信譽(yù)值高的Vi參與取證任務(wù)。對Vi的信譽(yù)值valuei進(jìn)行更新后，V i可再次進(jìn)入下一輪的任務(wù)競爭中。通過該激勵(lì)機(jī)制，可以刺激車輛用戶提高任務(wù)完成率和參與率。

當(dāng)有取證任務(wù)要處理時(shí)，CA 為每個(gè)不同的取證任務(wù)設(shè)置一個(gè)信譽(yù)閾值，用un表示。IC 為鼓勵(lì)更多Vi參與完成取證任務(wù)，會(huì)在每個(gè)任務(wù)處理完成后為對應(yīng)Vi提供獎(jiǎng)勵(lì)報(bào)酬。報(bào)酬函數(shù)用來表示，其中a為正常數(shù)，B為初始成本預(yù)算。通過這種方式，保險(xiǎn)公司初始時(shí)會(huì)提供很高的報(bào)酬來鼓勵(lì)車輛用戶參與取證任務(wù)，隨著車輛用戶參與的比例l(r)越來越高，報(bào)酬會(huì)慢慢趨于平穩(wěn)。

5 安全性分析

本節(jié)將從正確性、機(jī)密性、不可偽造性這3 個(gè)方面對本文所提方案進(jìn)行安全性分析。

5.1 正確性

1) 簽名的正確性驗(yàn)證

路邊單元RSU 需要對車輛Vi的簽名進(jìn)行正確性驗(yàn)證，以確保提供證據(jù)的該車輛身份是合法的。RSU計(jì)算式(1)進(jìn)行驗(yàn)證，當(dāng)?shù)仁匠闪r(shí)車輛Vi的身份才合法，其對電子證據(jù)的簽名才有效。具體證明如下。

驗(yàn)證得出等式成立，即該車輛簽名有效。路邊單元RSU 將所有合法車輛的簽名聚合起來形成新簽名發(fā)送給CA，CA 同樣需要驗(yàn)證聚合簽名是否有效。當(dāng)驗(yàn)證等式成立時(shí)，該聚合簽名有效。

2) 證據(jù)密文解密正確性驗(yàn)證

5.2 機(jī)密性

本文將基于身份的簽密與代理重加密結(jié)合起來，保證了車聯(lián)網(wǎng)環(huán)境下電子證據(jù)共享過程中的機(jī)密性。機(jī)密性是指除了提供證據(jù)的車輛及使用證據(jù)的保險(xiǎn)公司外，其他實(shí)體都不知道證據(jù)的具體內(nèi)容。在本文中，車輛用戶Vi對電子證據(jù)M進(jìn)行簽密，將加密后的一級(jí)證據(jù)密文C'發(fā)送給CA；CA 生成代理重加密密鑰RKbc發(fā)送給云服務(wù)器CS，CS 對一級(jí)密文代理重加密后進(jìn)行密文存儲(chǔ)。當(dāng)保險(xiǎn)公司IC 希望訪問一起事故的電子證據(jù)時(shí)，根據(jù)取證編號(hào)n、公司偽名AIDc等生成訪問請求request1。IC將訪問請求發(fā)送給區(qū)塊鏈網(wǎng)絡(luò)以獲取證據(jù)報(bào)告report3，再根據(jù)證據(jù)報(bào)告向云請求證據(jù)密文C，最終解密得到電子證據(jù)明文。由于Vi收集的證據(jù)經(jīng)過了CS 的代理重加密，因此只有被授權(quán)的合法保險(xiǎn)公司RIDc才能正確解密證據(jù)密文，其他實(shí)體無法獲取任何有關(guān)電子證據(jù)的具體內(nèi)容。具體證明過程見附錄1。

5.3 不可偽造性

在傳統(tǒng)車聯(lián)網(wǎng)數(shù)據(jù)共享方案中，由于云服務(wù)器是半可信的且存在響應(yīng)時(shí)延的問題，因此車輛將證據(jù)全部發(fā)送至云服務(wù)器進(jìn)行處理會(huì)存在較大安全風(fēng)險(xiǎn)。本文利用云服務(wù)器和區(qū)塊鏈混合存儲(chǔ)以及基于身份的簽名技術(shù)，保證了電子證據(jù)的不可偽造性。車輛Vi上傳的證據(jù)報(bào)告和保險(xiǎn)公司IC 的訪問記錄對所有區(qū)塊鏈實(shí)體公開可見，并且所有鏈上的數(shù)據(jù)都具有公開可驗(yàn)證、防篡改性。只要數(shù)據(jù)被記錄在車聯(lián)網(wǎng)區(qū)塊鏈上，就不會(huì)被輕易地偽造和篡改。車輛Vi進(jìn)行數(shù)據(jù)交互時(shí)使用的都是匿名身份AIDi，非法攻擊者即使成功冒充身份，也會(huì)因?yàn)椴恢老到y(tǒng)主密鑰α而不能生成用戶私鑰SKi。因此，非法攻擊者無法偽造合法的車輛用戶簽名而偽造的無效簽名則不能通過等式的完整性驗(yàn)證。具體證明過程見附錄2。

6 性能分析

本節(jié)分析了方案的激勵(lì)性，并從計(jì)算開銷方面對所提方案與現(xiàn)有方案進(jìn)行分析和比較。

6.1 激勵(lì)機(jī)制

本文方案引入信譽(yù)值是為了使取證任務(wù)快速被車輛用戶處理完成，即在更短的時(shí)間內(nèi)獲得更高的任務(wù)完成比率。在圖2 中可以看出在一段時(shí)間內(nèi)本文信譽(yù)激勵(lì)機(jī)制能很快地處理完取證任務(wù)，并在處理任務(wù)速度方面具有較好的穩(wěn)定性。通過設(shè)置取證任務(wù)的信譽(yù)值，區(qū)別劃分車輛用戶，選擇信譽(yù)值高的車輛用戶來處理取證任務(wù)。這樣通過影響取證任務(wù)的信譽(yù)閾值un和保險(xiǎn)公司支付的報(bào)酬P(guān)n，從而使車輛用戶參與比例l(r)不斷增大，并最終趨于平穩(wěn)。

圖2 取證任務(wù)完成趨勢（l (r)穩(wěn)定前）

在保證取證任務(wù)順利處理完成的基礎(chǔ)上，減少保險(xiǎn)公司支付給車輛用戶的報(bào)酬P(guān)n，從而保險(xiǎn)公司可以降低對車輛用戶獎(jiǎng)勵(lì)的預(yù)算，減少成本的投入。當(dāng)參與車輛足夠多時(shí)不需要再對車輛用戶進(jìn)行激勵(lì)。圖3 表明l(r)穩(wěn)定后的一段時(shí)間內(nèi)，在保證取證任務(wù)順利完成的基礎(chǔ)上，可以減少保險(xiǎn)公司支付給車輛用戶的報(bào)酬P(guān)n，從而使其投入成本減少。綜上所述，本文中選擇了信譽(yù)高的車輛用戶處理取證任務(wù)，使車輛用戶參與比例l(r)不斷增大，保險(xiǎn)公司需要支付給車輛用戶的報(bào)酬P(guān)n逐漸減少；即該信譽(yù)激勵(lì)機(jī)制在有效提高任務(wù)處理效率的同時(shí)，降低了保險(xiǎn)公司的成本開銷。

圖3 取證任務(wù)完成趨勢（l (r)穩(wěn)定后）

6.2 計(jì)算開銷

本節(jié)采用對比分析的方式，將本文方案與Yu等[6]方案、Hundera 等[16]方案和Luo 等[17]方案的計(jì)算開銷進(jìn)行了比較。由于這些方案是在雙線性對上構(gòu)建的，因此通過評估標(biāo)量乘法運(yùn)算、指數(shù)運(yùn)算和雙線性對運(yùn)算消耗的時(shí)間來比較不同方案的計(jì)算開銷。各個(gè)方案的加解密算法計(jì)算開銷如表1 所示，其中，M表示一個(gè)標(biāo)量乘運(yùn)算，E表示一個(gè)指數(shù)運(yùn)算，P表示一個(gè)雙線性運(yùn)算。

表1 方案計(jì)算開銷比較

本文仿真實(shí)驗(yàn)在Intel Core i5-7400 CPU@3 GHz 平臺(tái)上使用Pairing-Based Crypto（PBC）函數(shù)庫實(shí)現(xiàn)，所使用硬件環(huán)境為4 GB 處理器內(nèi)存和64 位Windows 10 操作系統(tǒng)。通過仿真實(shí)驗(yàn)對比了本文方案及相關(guān)3 種方案的計(jì)算開銷，對比結(jié)果如圖4 所示。本文方案生成代理密鑰、加密和解密消耗的總時(shí)間為151.96 ms，是4 個(gè)方案中計(jì)算開銷最少的，因此本文車聯(lián)網(wǎng)電子證據(jù)共享方案是高效的。

圖4 各方案計(jì)算開銷比較結(jié)果

6.3 簽名驗(yàn)證

在使用更高效方案對電子證據(jù)加解密的同時(shí)，本文使用的聚合簽名技術(shù)也降低了計(jì)算開銷。聚合簽名技術(shù)是將不同消息上不同用戶分別簽署的多個(gè)簽名聚合成一個(gè)短簽名。聚合簽名進(jìn)行驗(yàn)證后，驗(yàn)證者可以判斷所接收簽名的有效性，很大程度上提高了消息驗(yàn)證的效率。本文方案中單個(gè)簽名驗(yàn)證和聚合簽名驗(yàn)證的計(jì)算開銷比較如表2 所示，其中j為單個(gè)簽名的個(gè)數(shù)。

表2 單個(gè)簽名驗(yàn)證和聚合簽名驗(yàn)證的計(jì)算開銷比較

通過實(shí)驗(yàn)對比本文方案中單個(gè)簽名驗(yàn)證和聚合簽名驗(yàn)證的計(jì)算開銷，結(jié)果如圖5 所示。當(dāng)存在多個(gè)簽名時(shí)，聚合簽名的驗(yàn)證時(shí)間遠(yuǎn)小于單個(gè)簽名累加的驗(yàn)證時(shí)間。因此，本文方案中采用的聚合簽名技術(shù)極大地降低了簽名驗(yàn)證的開銷，使電子證據(jù)共享方案更加高效。

圖5 簽名驗(yàn)證開銷比較

7 結(jié)束語

本文針對車聯(lián)網(wǎng)電子證據(jù)共享中的隱私安全和效率問題，提出了一種基于區(qū)塊鏈的車聯(lián)網(wǎng)電子證據(jù)共享方案。該方案不僅實(shí)現(xiàn)了證據(jù)數(shù)據(jù)的隱私保護(hù)及安全共享，也保證了證據(jù)上傳者與各實(shí)體的匿名交互。借助區(qū)塊鏈記錄所有證據(jù)報(bào)告，確保了電子證據(jù)不會(huì)被篡改和偽造。采用聚合簽名和代理重加密技術(shù)，使方案具有更優(yōu)的計(jì)算高效性和可靠性。引入信譽(yù)激勵(lì)機(jī)制，在有效提高任務(wù)處理效率的同時(shí)，減少了保險(xiǎn)公司支付獎(jiǎng)勵(lì)報(bào)酬的成本。最后，通過仿真從計(jì)算開銷等方面驗(yàn)證了方案的高效性。目前本文匿名交互不足以完全保護(hù)用戶隱私，只能保證真名被隱藏，無法阻止敵手進(jìn)行會(huì)話鏈接來判斷兩次不同的匿名會(huì)話來自相同的車輛。在未來的工作中，將繼續(xù)結(jié)合車聯(lián)網(wǎng)應(yīng)用場景設(shè)計(jì)出更安全、高效的隱私保護(hù)方案。

附錄1 機(jī)密性證明

定理1如果DBDH 問題是困難的，則本文簽密方案在適應(yīng)性選擇密文攻擊下滿足機(jī)密性，即不存在一個(gè)攻擊者能在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢攻破本文方案。

證明如果存在一個(gè)概率多項(xiàng)式時(shí)間敵手A 可以以不可忽略的優(yōu)勢τ選擇性地攻破本文方案，那么能夠構(gòu)造一個(gè)概率多項(xiàng)式時(shí)間算法使挑戰(zhàn)者B 以不可忽略的優(yōu)勢攻破DBDH 假設(shè)。即給定挑戰(zhàn)者B 一個(gè)隨機(jī)的DBDH 問題實(shí)例判斷等式Z=e(G,G)abc是否成立。

附錄2 不可偽造性證明

定理2如果CDH 困難問題成立，本文所提方案可以抵抗適應(yīng)性選擇消息攻擊下的存在性偽造攻擊，即不存在一個(gè)攻擊者以不可忽略的優(yōu)勢攻破本文方案。

證明如果存在一個(gè)多項(xiàng)式時(shí)間的敵手A 在適應(yīng)性選擇消息攻擊下以不可忽略的優(yōu)勢攻破了本文方案，那么能夠構(gòu)造一個(gè)多項(xiàng)式時(shí)間算法使挑戰(zhàn)者B 以不可忽略的優(yōu)勢攻破CDH 問題，即給定B 已知(aG,bG)，最終可以計(jì)算出abG。

系統(tǒng)建立。挑戰(zhàn)者B 進(jìn)行系統(tǒng)初始化，設(shè)置系統(tǒng)公鑰為Ppub=αG，生成系統(tǒng)參數(shù)Params 并將其發(fā)送給A 。B 維護(hù)和更新列表L1,L2,L3,L4，其分別對應(yīng)對H1,H2,H3,H4的詢問結(jié)果。

階段1A 必須首先對身份RIDi做H1詢問之后，才能將其用做其他詢問。A 不可以利用簽名詢問的結(jié)果來進(jìn)行解簽名詢問。H1,H2,H3和H4詢問與定理1 中同理。

私鑰詢問。當(dāng)A 對身份為RIDi的車輛進(jìn)行私鑰詢問時(shí)，B 在列表L1中尋找相對應(yīng)的記錄(RIDi,AIDi)。如果身份為RIDi的車輛屬于路邊單元邀請的車輛組V*，B 計(jì)算私鑰SKi=αAIDi并將其返回A ；否則，挑戰(zhàn)者B 失敗并終止挑戰(zhàn)。