高 巖,鄧倫治,施虹宇,邵建鑫,胡震宇

(貴州師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，貴州 貴陽 550025)

0 引言

車聯(lián)網(wǎng)作為實(shí)現(xiàn)智能交通系統(tǒng)的必要技術(shù)手段，是解決當(dāng)前交通問題的核心技術(shù)。車輛用戶通過“車與車”和“車與基礎(chǔ)設(shè)施”之間的通信共享信息來訪問相鄰的基礎(chǔ)設(shè)施。然而，車聯(lián)網(wǎng)因其自身的局限，如資源有限、高速移動(dòng)的節(jié)點(diǎn)、通信延遲應(yīng)該足夠短等[1]。它的廣泛應(yīng)用存在著許多障礙。在車聯(lián)網(wǎng)中，用戶的信息泄露也會危及用戶的生命和財(cái)產(chǎn)安全，因此構(gòu)造安全的滿足消息認(rèn)證匿名性的方案尤為重要。

在傳統(tǒng)的公鑰基礎(chǔ)設(shè)施(PKI)中，證書頒發(fā)機(jī)構(gòu)(CA)需要將用戶與他的公鑰綁定[2]，這會造成證書管理和維護(hù)的成本。為了解決這個(gè)問題，Shamir[3]引入了基于身份的公鑰密碼體制。但是，私鑰生成器(PKG)掌管用戶的所有私鑰，這對用戶不安全。為了解決密鑰托管問題，Al-Riyami等[4]引入了無證書公鑰密碼學(xué)(CL-PKC)，密鑰生成中心(KGC)生成用戶的部分私鑰，另一部分由用戶自己生成。

2003年，Boneh等[5]提出了聚合簽名的定義，聚合簽名是數(shù)字簽名領(lǐng)域的一種“批量”和“壓縮”技術(shù)，可以同時(shí)為多個(gè)消息和用戶提供不可否認(rèn)的簽名服務(wù)。它可以將n個(gè)簽名壓縮為一個(gè)簽名，這大大減少了簽名的存儲空間和網(wǎng)絡(luò)的帶寬需求。聚合簽名可以將多個(gè)簽名的驗(yàn)證簡化為一個(gè)簽名的驗(yàn)證，大大減少了簽名驗(yàn)證的工作量。因此，聚合簽名在很大程度上提高了簽名驗(yàn)證和傳輸?shù)男?。為了更好地?yīng)用于車聯(lián)網(wǎng)，研究匿名的聚合簽名方案有著重要的意義。

1 相關(guān)工作

Castro等[6]設(shè)計(jì)了第一個(gè)無證書聚合簽名(CL-AS)方案，此方案的hash到點(diǎn)操作和簽名的大小隨著簽名人的數(shù)量呈線性增加；Gong等[7]提出了兩種基于雙線性對的CL-AS方案，并在弱模型中給出了安全性證明；Zhang等[8-9]分別提出了一個(gè)新的CL-AS方案；在文獻(xiàn)[6-7]的方案中，雙線性對配對操作的數(shù)量隨簽名者的數(shù)量呈線性增加；因?yàn)槲腫6-9]的方案使用了大量的雙線性對配對操作和hash到點(diǎn)操作，因此效率很低。Xiong等[10]提出了一個(gè)高效的CL-AS方案，只需要常數(shù)次的雙線性對配對操作。He等[11]指出文[10]的方案存在安全漏洞，并提出了改進(jìn)方案。但是，Li等[12]指出文[11]的方案仍然存在安全漏洞，一個(gè)惡意且被動(dòng)的KGC可以偽造有效的簽名。Liu等[13]和Chen等[14]分別提出了一個(gè)具有常數(shù)次雙線性對配對運(yùn)算的高效CL-AS方案；不幸的是，Zhang等[15]指出文[13-14]的方案對第I類和第II類敵手是脆弱的；2019年，Deng[16]設(shè)計(jì)了一種新的CL-AS方案，該方案只需要兩次配對運(yùn)算；2020年，Deng等[17]在標(biāo)準(zhǔn)模型下提出了一個(gè)新的CL-AS方案，該方案只需要3次配對運(yùn)算。

以上所有的CL-AS方案[6-7, 10-17]都需要雙線性配對運(yùn)算。然而，雙線性對配對運(yùn)算比較耗時(shí)，不適合低功耗設(shè)備。因此，設(shè)計(jì)無雙線性對配對運(yùn)算的CL-AS方案是非常重要的。Tian[18]提出了一個(gè)無配對運(yùn)算的CL-AS方案，但是他沒有給出方案的安全性證明；2018年，Deng[19]提出了一個(gè)不需要雙線性對配對運(yùn)算的CL-AS方案，并給出了安全性證明；近年來，大量的用于車聯(lián)網(wǎng)的CL-AS方案[20-24]被提出。Cui等[25]提出了一個(gè)高效的CL-AS方案用于車輛自組網(wǎng)(VANETs)，Kamil等[26]指出文[25]的方案無法抵抗第II類敵手的攻擊，并構(gòu)造了一個(gè)更高效的CL-AS方案用于VANETs。不幸的是，Ye等[27]和Zhao等[28]發(fā)現(xiàn)文[26]的方案無法抵抗偽造攻擊。Ye等[27]和Zhao等[28]分別為車聯(lián)網(wǎng)設(shè)計(jì)了新的CL-AS方案。但是Thumbur等[29]指出Zhao等[28]的方案是不正確的。

現(xiàn)有的適用于車聯(lián)網(wǎng)的大多數(shù)CL-AS方案都沒有考慮匿名性，少數(shù)考慮了匿名性的方案只能抵抗第I類敵手的攻擊。如果敵手知道主密鑰，就可以識別車輛用戶的真實(shí)身份。因此，為車聯(lián)網(wǎng)設(shè)計(jì)一個(gè)能夠同時(shí)抵御兩類敵手攻擊的無證書強(qiáng)匿名聚合簽名(CL-SAAS)方案顯得尤為重要。本文結(jié)合CL-PKC和AS的優(yōu)點(diǎn)，構(gòu)造了一個(gè)具體的適用于車聯(lián)網(wǎng)的CL-SAAS方案，以滿足消息認(rèn)證的匿名性、不可偽造性和可追蹤性。與現(xiàn)存的一些CL-AS方案相比，我們的方案主要使用橢圓曲線上的標(biāo)量乘法運(yùn)算，沒有使用雙線性配對和hash到點(diǎn)運(yùn)算，結(jié)果表明，我們的方案具有更高的效率。

本文給出了適用于車聯(lián)網(wǎng)的CL-SAAS方案的系統(tǒng)模型和安全需求，在隨機(jī)預(yù)言模型(ROM)下證明了我們方案的匿名性和不可偽造性。并且，我們的方案針對于超級敵手實(shí)現(xiàn)了強(qiáng)匿名。

2 預(yù)備知識

本節(jié)給出了橢圓曲線群(ECC)、離散對數(shù)(DL)問題和判定Diffie-Hellman(DDH)問題的定義。這些定義將用于我們的CL-SAAS方案。表1列出了本文中使用的符號。

表1 符號及其定義

假設(shè)E/Fp表示有限域Fp上的橢圓曲線E，滿足方程：y=x3+ax+b(modp),a,b∈Fp和4a3+27b3≠0(modp)的所有解連同一個(gè)無窮遠(yuǎn)點(diǎn)O組成的集合構(gòu)成一個(gè)群Γ={(x,y):x,y∈Fp,E(x,y)=0}∪{O}。

定義2 DDH問題:設(shè)G=

≤Γ是一個(gè)階為q的加法循環(huán)群,給定一個(gè)元組(P,aP,bP,Z)，判斷方程Z=abP是否成立。

3 適用于車聯(lián)網(wǎng)的CL-SAAS方案的系統(tǒng)模型和安全定義

3.1 系統(tǒng)模型

適用于車聯(lián)網(wǎng)的CL-SAAS方案由5個(gè)參與者組成：KGC、RTSA、Vehicle users(Vi)、Aggregate(Agg)和Verifier(Ver)，如圖1所示。

圖1 適用于車聯(lián)網(wǎng)的無證書聚合簽名方案

KGC：負(fù)責(zé)生成系統(tǒng)參數(shù)和用戶的部分私鑰。

RTSA：一個(gè)可信任的第三方用來存儲車輛用戶的真實(shí)身份。

Vi：負(fù)責(zé)生成簽名并將其發(fā)送給聚合者。

Agg：聚合者相當(dāng)于車輛網(wǎng)中的網(wǎng)關(guān)，參與簽名的聚合過程。聚合者也可以是簽名的驗(yàn)證者。

Ver：負(fù)責(zé)判斷此聚合簽名是否為一個(gè)有效簽名。

適用于車聯(lián)網(wǎng)的CL-SAAS方案由以下9種算法組成：

設(shè)置：給定一個(gè)安全參數(shù)1λ，KGC輸出系統(tǒng)參數(shù)params和主密鑰msk。

偽身份生成：給定車輛用戶身IDi∈{0,1}l，RTSA輸出偽身份PIDi∈{0,1}l。

選擇秘密值：車輛用戶PIDi隨機(jī)選擇秘密值xi，計(jì)算Xi=xiP。

部分私鑰提取:輸入PIDi，KGC輸出部分私鑰Di。

公鑰生成：車輛用戶PIDi生成自己的公鑰PKi。

簽名：給定一個(gè)元組mi∈{0,1}*，車輛用戶生成1個(gè)簽名σi=(Ui,τi)。

驗(yàn)證：在收到元組(mi,σi=(Ui,τi))后，驗(yàn)證者判斷σi=(Ui,τi)是否為有效的簽名。

聚合：給定元組(mi,σi=(Ui,τi)),i=1,2，…，n,聚合者輸出聚合簽名σ。

聚合驗(yàn)證：在接收到元組(σ=(U1,U2,…,Un),mi,PKi,PIDi)后，如果σ為有效的簽名，驗(yàn)證者輸出1；否則，輸出0。

3.2 安全定義

無證書密碼體制中有兩類敵手：類型I和類型II(A1和A2)。A1：知道秘密值xi，可以替換用戶公鑰PKi。A2：知道主秘鑰s，但不能替換用戶公鑰。根據(jù)敵手類型的不同,分為如下3個(gè)游戲。

定義3 如果敵手在以下3個(gè)游戲中的優(yōu)勢可以忽略不計(jì)，那么CL-SAAS方案是不可偽造的。

游戲I 第一場比賽在挑戰(zhàn)者C和第I類敵手A1之間進(jìn)行。

初始化C運(yùn)行設(shè)置算法生成msk和params。保持msk秘密，將參數(shù)發(fā)送給A1。

查詢A1有權(quán)執(zhí)行多項(xiàng)式查詢。對于車輛用戶IDi，敵手A1首先執(zhí)行偽身份查詢。

●H0-Query:A1可以向挑戰(zhàn)者C查詢?nèi)魏蔚膆ash函數(shù)值。

●PID-Query:A1查詢車輛用戶IDi的偽身份，C返回相應(yīng)的偽身份PIDi。

對于1個(gè)偽身份PIDi,A1首先執(zhí)行PK-Query。

●PK-Query:A1為車輛用戶PIDi查詢公鑰，C輸出相應(yīng)的公鑰PKi。

●H-Query:A1可以向挑戰(zhàn)者C查詢?nèi)魏蔚膆ash函數(shù)值。

●PPK-Query:A1查詢車輛用戶PIDi的部分私鑰，C返還相應(yīng)的部分私鑰Di。如果Ti已經(jīng)被替換,A1將無法執(zhí)行PPK-Query。

●SV-Query:A1查詢車輛用戶PIDi的秘密值，C返回秘密值xi給A1。如果Xi已經(jīng)被替換，A1不能查詢相應(yīng)的秘密值。

●Sign-Query:A1提交元組(mi,PIDi,PKi)，C輸出簽名。

1)σi不是通過Sign-Query獲得的。

2)驗(yàn)證(M°,σ°,A°)=1。

3)至少存在1個(gè)用戶PIDi，A1沒有對其執(zhí)行PPK-Query或替換Tf。

A1的優(yōu)勢定義為：

游戲II 第二場比賽在挑戰(zhàn)者C和第II類敵手A2之間進(jìn)行。

初始化C運(yùn)行設(shè)置算法生成msk和params。并將他們發(fā)送給A2。

查詢A2執(zhí)行與對游戲I相同的多項(xiàng)式查詢。

1)σi不是通過Sign-Query獲取的。

2)驗(yàn)證(M°,σ°,A°)=1。

3)至少存在1個(gè)用戶PIDi,A2沒有對其執(zhí)行SV-Query或替換Xf。

A2的優(yōu)勢定義為：

在匿名性證明中，我們將不再區(qū)分?jǐn)呈諥1和A2，我們假定超級敵手A同時(shí)具有A1和A2的能力。

定義4 如果超級敵手A的優(yōu)勢在接下來的游戲中可以忽略，那么CL-SAAS方案是強(qiáng)匿名的。

游戲III 挑戰(zhàn)者C和超級敵手A之間進(jìn)行第三場游戲。

初始化和游戲II初始化階段相同。

階段1 執(zhí)行和游戲I相同的多項(xiàng)式查詢。

挑戰(zhàn)A輸入2個(gè)身份ID0和ID1，(其中A沒有對ID0和ID1執(zhí)行過偽身份查詢)，C隨機(jī)選擇μ∈{0,1}，并輸出偽身份PIDμ。

階段2A執(zhí)行與階段1相同的查詢，(但A不能對ID0和ID1執(zhí)行偽身份查詢)。

回應(yīng)A返回u∈{0,1}，如果u=μ，敵手A贏得比賽。

解決DDHP。

A的優(yōu)勢定義為：

4 提出的新方案

4.1 方案描述

本節(jié)中，構(gòu)建了1個(gè)新的CL-SAAS方案，該方案包括以下步驟：

設(shè)置：給定1個(gè)安全參數(shù)1λ，KGC通過執(zhí)行如下算法輸出參數(shù)params和秘密值msk={s}。

● 隨機(jī)選取2個(gè)安全素?cái)?shù)p和q，KGC生成橢圓曲線E:y=x3+ax+b(modp),a,b∈Fp，選擇生成元P的加法群G，G由E上的點(diǎn)組成。

● 將params={p,q,a,b,P,Ppub,H0～H2}公布。

偽身份生成：在接收到身份為IDi∈{0,1}l的車輛用戶后，RTSA執(zhí)行如下操作：

● 計(jì)算RTSA的公鑰PKRT=kP。

● 計(jì)算Pi=IDi⊕H0(kRi)。

● 發(fā)送偽身份PIDi=(Pi,Ri)給車輛用戶。

部分私鑰提取：對于車輛用戶PIDi，KGC執(zhí)行以下操作：

● 計(jì)算Ti=tiP，αi=H1(PIDi,Ppub,Ti,Xi)，Si=ti+αismodq。

● 輸出Di=(Ti,Si)。

公鑰生成：車輛用戶PIDi通過公共網(wǎng)絡(luò)公布他的公鑰PKi=(Ti,Xi)。

簽名：給定消息mi∈{0,1}*，車輛用戶生成簽名如下所示：

● 計(jì)算Ui=uiP，βi=H2(PIDi,Ppub,Ui,mi)，τi=βi(Si+xi)+ui。

● 輸出簽名σi=(Ui,τi)。

驗(yàn)證：接收到元組{mi,σi=(Ui,τi),PIDi,PKi}后，驗(yàn)證者執(zhí)行以下步驟：

● 計(jì)算αi=H1(PIDi,Ppub,Ti,Xi)，βi=H2(PIDi,Ppub,Ui,mi)

● 檢驗(yàn)等式τiP=βi(Ti+αiPpub+Xi)+Ui是否成立。

聚合驗(yàn)證：收到元組(σ,mi,PKi,PIDi),i=1,2,…，n

驗(yàn)證者執(zhí)行如下操作：

● 計(jì)算αi=H1(PIDi,Ppub,Ti,Xi),βi=H2(PIDi,Ppub,Ui,mi)

4.2 方案安全性

本節(jié)中，我們的CL-SAAS方案在ROM中被證明是不可偽造的和匿名的。

定理1 在ROM中，如果DL問題難以解決，所提出的方案對第I類敵手A1是不可偽造的。

證明給定一個(gè)元組(P,vP)，C的目的是計(jì)算v，C在游戲I中扮演A1的挑戰(zhàn)者。

初始C運(yùn)行設(shè)置算法生成msk={s}和params={p,q,a,b,P,Ppub,H0～H2}。然后保持msk秘密并將參數(shù)params發(fā)送給A1。

查詢A1可以執(zhí)行一系列查詢，C將創(chuàng)建幾個(gè)空列表來存儲查詢和應(yīng)答。對于車輛用戶IDi,A1首先進(jìn)行偽身份查詢，然后再進(jìn)行其他查詢。

對于1個(gè)偽身份PIDi,A1將在任何其他查詢之前首先執(zhí)行PK-Query。

●PK-Query:A1輸入1個(gè)身份PIDi,C執(zhí)行如下操作：

●PPK-Query:A1輸入車輛用戶的身份PIDi，如果PIDi=PID*，C失敗。如果不等，C在表Lpk和L1中查找αi,ti，計(jì)算Si=ti+αis，輸出Si。增加(PIDi,Si)到表Lppk。如果Ti被替換,A1將不再執(zhí)行PK-Replace。

●SV-Query:A1輸入車輛用戶的身份PIDi,C查找xi在列表Lpk中，返回xi給Ai。如果Xi被替換，Ai將不再執(zhí)行SV-Query。

●Sign-Query:Ai提交元組(mi,PIDi,PKi),C執(zhí)行以下操作：如果PIDi≠PID*且PIDi不屬于LR。C得到(xi,Si)通過調(diào)用Sign算法。如果PIDi=PID*或PIDi∈LR，C做如下操作：

2) 計(jì)算Ui=τiP-βi(Ti+αiPpub+Xi)

αi=H1(PIDi,Ppub,Ti,Xi)，

3) 設(shè)置H2(PIDi,Ppub,Ui,mi)=βi，

4) 添加(PIDi,mi,Ui,PKi,βi)到表L2，如果產(chǎn)生碰撞，重復(fù)執(zhí)行1-4步驟，

5) 輸出簽名σi=(Ui,τi)。

概率：讓qHi(i=1,2),qPK,qPPK和qS分別表示Hi-Query，PK-Query，PPK-Query和Sign-Query的數(shù)量。定義3個(gè)事件：

π1：C在PPK-Query中沒有失敗

π2：C在Sign-Query中沒有失敗

π3：PIDf=PID*

成功解決DL問題的概率為：

Pr[Cwins]=Pr[π1∧π2∧π3]

=r[π1]·Pr[π2|π1]·Pr[π3|π1∧π2]

定理2 在ROM中，如果DL問題難以解決，所提出的方案對第II類敵手A2是不可偽造的。

證明給定1個(gè)元組(P,vP)，C計(jì)算v并在游戲II中扮演A2的挑戰(zhàn)者。

初始化C運(yùn)行設(shè)置算法生成msk={s}和params={p,q,a,b,P,Ppub,H0～H2}。然后將它們發(fā)送給A2。

查詢A2可以執(zhí)行一系列查詢，C將創(chuàng)建幾個(gè)空列表來存儲查詢和應(yīng)答。對于車輛用戶IDi,A2首先進(jìn)行偽身份查詢。

●H0-Query:和游戲I相同。

●PID-Query:和游戲I相同。

對于一個(gè)偽身份PIDi,A2將在其他查詢之前首先執(zhí)行PK-Query。

●Hi-Query：和游戲I相同。

●PK-Replace: 和游戲I相同。

●PPK-Query:A2輸入車輛用戶的身份PIDi，C查找(PIDi,xi,tiXi,Ti)在列表Lpk中，C輸出Si通過調(diào)用部分私鑰提取算法，增加(PIDi,Si)到表Lppk。

●SV-Query:A2輸入車輛用戶的身份PIDi，如果PIDi=PID*，C失敗。如果不等，C在表Lpk中查找xi返還給A2。

概率：讓qH i(i=1,2),qPK,qSV和qS分別表示Hi-Query，PK-Query，SV-Query和Sign-Query的數(shù)量。定義3個(gè)事件：

π1：C在SV-Query中沒有失敗

π2：C在Sign-Query中沒有失敗

π3：PIDf=PID*

成功解決DL問題的概率為：

Pr[Cwins]=Pr[π1∧π2∧π3]

=Pr[π1]·Pr[π2|π1]·Pr[π3|π1∧π2]

定理3 在ROM中，如果DDH問題困難時(shí)，我們的方案對超級敵手是強(qiáng)匿名的。

證明給定1個(gè)元組(P,aP,bP,Z),C判斷Z=abP是否成立。C是A的挑戰(zhàn)者。

初始化和游戲II相同。設(shè)置PKRT=aP。

階段1 執(zhí)行和游戲I相同的多項(xiàng)式查詢。

挑戰(zhàn)A輸入兩個(gè)身份ID0和ID1，A沒有對ID0和ID1執(zhí)行過偽身份查詢，C隨機(jī)選擇μ∈{0,1}，輸出偽身份PIDμ。

階段2A執(zhí)行與階段1相同的查詢，但不能對ID0和ID1執(zhí)行偽身份查詢。

回應(yīng)A返回u∈{0,1}，如果u=μ，敵手贏得比賽。

解決DDHP:

如果Z≠abP,PIDμ是一個(gè)無效的偽身份。因此，A沒有ε的優(yōu)勢區(qū)分μ。

因此，C以ε的概率解決DDH問題。

5 效率比較

我們的方案在效率方面優(yōu)于其他幾個(gè)相關(guān)的CL-AS方案。我們分析了近五年6個(gè)CL-AS方案的效率，使用第三方數(shù)據(jù)計(jì)算了幾個(gè)相關(guān)的CL-AS方案。根據(jù)Zhao等[28]運(yùn)行在英特爾酷睿i7-7700 CPU@3.6GHz處理器和8GB內(nèi)存的計(jì)算機(jī)上，實(shí)驗(yàn)采用vc++6.0中的基于配對的密碼庫得到了基本密碼運(yùn)算的運(yùn)行時(shí)間(如表2所示)。為了實(shí)現(xiàn)1 024 RSA級別的安全性，我們使用了在橢圓曲線y=x3+ax+b(modp)上定義的階是q的加法群G，p是512比特，q是160比特。

表2 基本密碼運(yùn)算的時(shí)間

接下來，我們用較為簡便的算法來估算成本。Cui等[25]的方案需要2n+2次ECC中標(biāo)量乘法運(yùn)算，2n次ECC中加法運(yùn)算和3n次hash運(yùn)算。為方便起見，假設(shè)n=100，則計(jì)算時(shí)間為：0.032 1×202+0.001 8×200+0.008 5×300=9.394 2 ms;Kamil等[26]的方案需要5n次ECC中標(biāo)量乘法運(yùn)算，3n次ECC中加法運(yùn)算和4n次hash運(yùn)算，耗時(shí)為：0.032 1×500+0.001 8×300+0.008 5×400=20.44 ms；Zhao等[28]的方案需要3n+2次ECC中標(biāo)量乘法運(yùn)算，3n次ECC中加法運(yùn)算和4n次hash運(yùn)算，耗時(shí)為：0.032 1×302+0.001 8×300+0.008 5×400=13.634 2 ms；Ye等[27]的方案需要5n+1次ECC中標(biāo)量乘法運(yùn)算，4n-1次ECC中加法運(yùn)算，3n次hash運(yùn)算，耗時(shí)為：0.032 1×501+0.001 8×399+0.008 5×300=19.350 3 ms；Yang等[31]的方案需要7n+1次ECC中標(biāo)量乘法運(yùn)算，需要6n+3次ECC中加法運(yùn)算和5n+1次hash運(yùn)算，耗時(shí)為：0.032 1×701+0.001 8×597+0.008 5×501=27.835 2 ms；我們的方案需要4n+1次ECC中標(biāo)量乘法運(yùn)算，需要4n+1次ECC中加法運(yùn)算和4n次hash運(yùn)算，因此所消耗的時(shí)間為：0.032 1×401+0.001 8×399+0.008 5×400=16.990 3 ms。直觀比較結(jié)果見圖2。

圖2 5個(gè)CLAS方案的通信成本

通過圖2表可以看出，我們的方案具有效率優(yōu)勢。如相關(guān)工作的介紹，Cui等[25]的方案存在安全漏洞，因此在確保安全的前提下，我們的方案更高效，更適用于車聯(lián)網(wǎng)。

6 總結(jié)

如何保證車聯(lián)網(wǎng)中車輛節(jié)點(diǎn)之間安全傳輸?shù)耐瑫r(shí)又保護(hù)車輛用戶的身份信息不被泄露是一個(gè)重要的問題。本文提出了適用于車聯(lián)網(wǎng)的CL-SAAS方案，它既滿足了車輛用戶對匿名性的需求，又實(shí)現(xiàn)了較高的計(jì)算和通信效率。在隨機(jī)預(yù)言模型下，證明了該方案的不可偽造性和匿名性。通過性能比較看出，我們提出的CL-SAAS方案比現(xiàn)存的一些方案更具效率優(yōu)勢，更適合于車聯(lián)網(wǎng)。