龔成，牛憲華，熊玲，王楊鵬

（西華大學(xué)計(jì)算機(jī)與軟件工程學(xué)院，四川 成都 610039）

車載自組網(wǎng)（vehicular ad hoc networks，VANETs）作為移動自組網(wǎng)（mobile ad hoc network，MANET）的子集，是通過路邊單元（roadside unit，RSU） 與車輛間的無線通信實(shí)現(xiàn)的。每輛車上的車載單元（on-board unit，OBU）負(fù)責(zé)廣播實(shí)時交通信息給周圍的車輛和RSU[1]。通常而言，這些通信被劃分為車輛與車輛的通信（vehicle-to-vehicle，V2V）和車輛與路邊單元的通信（vehicle-to-roadside unit，V2R），它們都遵守專用短程通信協(xié)議（dedicated short range communication，DSRC）[2]。而且，這些通信都依賴于云計(jì)算服務(wù)（cloud computing services，CCS）所提供的計(jì)算和存儲資源[3]。在實(shí)際應(yīng)用中，VANETs較多采用低延遲的車輛霧服務(wù)（vehicular fog services，VFS）[4]。

在開放的網(wǎng)絡(luò)環(huán)境中，敵手可能會截獲傳輸中的消息，因此對消息合法性的驗(yàn)證是不可或缺的[5]。一旦車輛的真實(shí)身份被敵手揭露[6]，敵手就能追蹤車主的住址、行蹤等，進(jìn)而造成人身和財(cái)產(chǎn)的損失。車輛的隱私信息，例如認(rèn)證過程中的車輛真實(shí)身份，不能被任一敵手所揭露[7]。此外，可能存在惡意的參與者為了自身的利益而廣播虛假的交通信息。針對這種情況，系統(tǒng)中應(yīng)該有一個可信的第三方機(jī)構(gòu)能夠追蹤惡意參與者[8]。

近年來，許多認(rèn)證方案被提出[9]。這些方案普遍采用的技術(shù)包含對稱加密、公鑰基礎(chǔ)設(shè)施、基于身份的簽名、無證書簽名、群簽名等[10]，它們均保證了車載自組網(wǎng)環(huán)境中的安全和隱私，并且它們的共同趨勢是取代單一認(rèn)證中心，實(shí)現(xiàn)去中心化。這些方案往往采用多個獨(dú)立的服務(wù)節(jié)點(diǎn)組成認(rèn)證服務(wù)集群。但在認(rèn)證服務(wù)集群中，不僅需要保證各個服務(wù)節(jié)點(diǎn)之間的信息同步[11-15]，還需要考慮集群的健壯性。認(rèn)證服務(wù)節(jié)點(diǎn)作為半可信的實(shí)體，在遭受攻擊后，如何在集群內(nèi)部快速移除癱瘓的節(jié)點(diǎn)，以及如何快速添加備用節(jié)點(diǎn)是保證集群穩(wěn)定性和健壯性的關(guān)鍵。因此，設(shè)計(jì)一個既能滿足安全性和隱私性，又能保證認(rèn)證服務(wù)集群健壯性的認(rèn)證方案是具有現(xiàn)實(shí)意義的。

本文的主要貢獻(xiàn)如下。

1）實(shí)現(xiàn)了不可鏈接性，用于保護(hù)車輛的隱私。敵手無法關(guān)聯(lián)同一輛車的不同假名。

2）實(shí)現(xiàn)了認(rèn)證服務(wù)節(jié)點(diǎn)之間的認(rèn)證信息同步。車輛在進(jìn)入另一個服務(wù)節(jié)點(diǎn)的管理區(qū)域時，可以實(shí)現(xiàn)跨域認(rèn)證。

3）實(shí)現(xiàn)了認(rèn)證服務(wù)集群中各服務(wù)節(jié)點(diǎn)的快速添加和刪除，保障了認(rèn)證服務(wù)集群的健壯性、可維護(hù)性。

1 相關(guān)工作

近幾年來，許多研究者開始關(guān)注車聯(lián)網(wǎng)環(huán)境下的安全和隱私問題。這些方案分為：基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的、基于身份加密（ID-based cryptography，IDC）的和基于認(rèn)證密鑰協(xié)商（authenticated key agreement，AKA）的。在基于PKI 的方案中，Raya等[16]系統(tǒng)地考慮了VANET中的安全問題，提出了一種基于PKI 的安全協(xié)議，但該方案僅考慮了V2V，沒有考慮V2R。隨著RSU的完善，Wang等[17]提出了一種基于PKI 證書和身份簽名的混合條件隱私保護(hù)認(rèn)證協(xié)議，該方案充分地考慮了V2V和V2R。

在基于PKI 的認(rèn)證方案中，證書分發(fā)、管理和撤銷所需的計(jì)算開銷較大。為了解決計(jì)算開銷問題，基于身份加密的認(rèn)證方案被提出。Vijayakumar等[18]提出了基于身份劃分的二重認(rèn)證和密鑰管理機(jī)制，但該方案的密鑰管理開銷仍然較大。Ying等[19]介紹了一種基于智能卡協(xié)議的輕量級匿名身份驗(yàn)證方案，但該方案沒有考慮跨域認(rèn)證的問題，即車輛出現(xiàn)通信對象的切換時，不同域的服務(wù)提供者需能認(rèn)證車輛先前的假名。為了實(shí)現(xiàn)跨域認(rèn)證，Liu等[20]利用基于身份加密和基于短生存期的證書構(gòu)造了一個分布式條件隱私保護(hù)認(rèn)證方案。類似地，Deng等[21]采用假名技術(shù)來保護(hù)隱私，并通過組密鑰加密來改變假名。

除了PKI 認(rèn)證方案和IDC 認(rèn)證方案的密鑰分發(fā)，另一種確保通信安全的方法是使用密鑰協(xié)商獲得安全的通信信道。Can等[22]指出，可以將滿足會話密鑰安全的密鑰交換協(xié)議和認(rèn)證算法結(jié)合起來，獲得安全的通信信道，保證通信安全。Huang等[23]提出了一種AKA 協(xié)議，一個基于橢圓曲線密碼（elliptic curve cryptography，ECC）的簽名算法被用來避免雙線性對的高計(jì)算開銷。Mejri等[24]考慮了VANETs 中的組密鑰生成問題，在傳統(tǒng)的Diffie-Hellman 密鑰交換算法的基礎(chǔ)上構(gòu)建組密鑰。

在滿足安全和隱私的基礎(chǔ)上，學(xué)術(shù)界開始研究認(rèn)證方案的去中心化。文獻(xiàn)[25]提出了一種動態(tài)的、跨域認(rèn)證的非對稱組密鑰協(xié)議，該協(xié)議避免了密鑰托管的風(fēng)險和證書管理的復(fù)雜性，但該方案使用雙線性映射，計(jì)算開銷大。此外，去中心化也對基于IDC 的認(rèn)證方案提出了新挑戰(zhàn)。為此，He等[26]設(shè)計(jì)了一個基于分層身份密碼的匿名認(rèn)證方案框架。Xiong等[27]利用自認(rèn)證公鑰密碼和中國剩余定理（chinese remainder theorem，CRT）為移動云計(jì)算（mobile cloud computing，MCC）環(huán)境構(gòu)建了一個完整的認(rèn)證和分層訪問控制方案。隨著區(qū)塊鏈技術(shù)的廣泛應(yīng)用，越來越多的去中心化方案開始使用區(qū)塊鏈來實(shí)現(xiàn)認(rèn)證集群間的信息同步。Wang等[28]采用聯(lián)盟區(qū)塊鏈技術(shù)，構(gòu)建了一個分散的網(wǎng)絡(luò)作為認(rèn)證集群。Yao等[29]提出了一種基于區(qū)塊鏈的跨區(qū)域認(rèn)證方案。但上述基于區(qū)塊鏈的認(rèn)證方案都缺乏對不可鏈接性的保護(hù)，且沒有考慮認(rèn)證集群的健壯性。

2 背景知識

2.1 困難問題

本文方案的安全性主要依賴于橢圓曲線密碼學(xué)中的2 個困難問題[10]。

定義1橢圓曲線Diffie-Hellman 難題（elliptic curve diffie-hellman problem，ECDHP）。設(shè)G是由橢圓曲線上的點(diǎn)組成的循環(huán)加群，它的階是素?cái)?shù)q，P是G的生成元。給定xP，yP∈G（x，y∈），計(jì)算xyP是困難的。

定義2橢圓曲線離散對數(shù)難題（elliptic curve discrete logarithm problem，ECDLP）。設(shè)G是由橢圓曲線上的點(diǎn)組成的循環(huán)加群，它的階是素?cái)?shù)q，P是G的生成元。給定xP∈G（x∈），計(jì)算x是困難的。

2.2 系統(tǒng)模型

本文的參與者有4 種，系統(tǒng)模型如圖1所示。

圖1 系統(tǒng)模型

1） 權(quán)威部門（trusted authority，TA）。TA 是整個系統(tǒng)中唯一的可信第三方，負(fù)責(zé)車輛和服務(wù)節(jié)點(diǎn)的注冊。同時，它還會參與群密鑰協(xié)商。

2） 防篡改裝置（tamper-proof device，TPD）。TPD 是車輛上的安全設(shè)備。在TA 注冊后，TPD 負(fù)責(zé)秘密地存儲車輛的假名和相應(yīng)的密鑰對。

3） 服務(wù)管理節(jié)點(diǎn)（service manager，SM）。SM是認(rèn)證集群中的一個服務(wù)節(jié)點(diǎn)。在認(rèn)證集群建成之前，它需要在TA 注冊。SM 提供多種服務(wù)，例如：驗(yàn)證車輛的認(rèn)證請求；生成區(qū)域假名和相應(yīng)密鑰對；負(fù)責(zé)參與群密鑰協(xié)商，生成會話密鑰，維護(hù)集群內(nèi)的公共賬本等。

4） 路邊單元（roadside unit，RSU）。RSU 作為SM 的下屬，比SM 分布更加廣泛。此外，RSU 還負(fù)責(zé)認(rèn)證消息的轉(zhuǎn)發(fā)。

本文可能出現(xiàn)的符號，如表1所示。

2.3 安全需求

本文預(yù)期實(shí)現(xiàn)的安全目標(biāo)如下。

1） 完整性。敵手不能篡改傳輸中的信息。

2） 匿名性。在認(rèn)證過程中，敵手無法追蹤車輛的真實(shí)身份。

3） 不可鏈接性。每個交通消息所使用的區(qū)域假名都是唯一的。即敵手無法分辨來自同一輛車的不同消息。

表1 符號說明

4） 可追蹤性。TA 可以追溯惡意車輛的真實(shí)身份。

5） 健壯性。集群內(nèi)增刪認(rèn)證節(jié)點(diǎn)后，能夠快速恢復(fù)集群內(nèi)的信息同步。

3 群密鑰協(xié)商協(xié)議

根據(jù)文獻(xiàn)[30]提出的基于樹的群密鑰協(xié)商協(xié)議，本文實(shí)現(xiàn)了服務(wù)集群間的添加和刪除操作。樹的結(jié)構(gòu)如圖2所示，通用會話密鑰的計(jì)算方法如下。

圖2 樹的結(jié)構(gòu)

1） 二叉樹 BTn滿足2 個特征。第一，B Tn的深度為n，和已有SM 數(shù)量一致。第二，BTn是滿二叉樹，且B Tn的根結(jié)點(diǎn)的右孩子為B Tn-1。

2） BTn的每個節(jié)點(diǎn)通過數(shù)字i（0 ≤i≤2n）標(biāo)記，標(biāo)記為奇數(shù)的節(jié)點(diǎn)是葉節(jié)點(diǎn)，標(biāo)記為偶數(shù)的節(jié)點(diǎn)（2n除外）是分支節(jié)點(diǎn)。每個節(jié)點(diǎn)都有自己的樹私鑰 T SKi和樹公鑰T PKi，T PKi=TSKi·P。其中，標(biāo)記為2n的葉結(jié)點(diǎn)的樹私鑰為TA 的私鑰 sk，（s k∈），標(biāo)記為奇數(shù)的葉結(jié)點(diǎn)的樹私鑰為 SMj的私鑰（j=n-（i-1）/2）。分支節(jié)點(diǎn)的私鑰 TSKi由等式（1）計(jì)算所得，其中h：{0，1}*→。

3） 根節(jié)點(diǎn)的私鑰T SK0是集群間的會話密鑰。

3.1 增加SM

當(dāng)集群出現(xiàn)無法繼續(xù)提供服務(wù)的節(jié)點(diǎn)時，需要新增備用節(jié)點(diǎn)。值得注意的是，新增的SM 設(shè)備也需要提前在TA 進(jìn)行注冊。

為了描述群密鑰協(xié)商協(xié)議中添加SM 的情況，假設(shè)已經(jīng)加入群密鑰協(xié)商進(jìn)程的SM，按加入的時間順序排序?yàn)閧SM1，SM2，···，SMn-1}。新增的SM為 S Mn。

1）當(dāng)需要新增 SMn到集群中時，SMn向TA 發(fā)起加入請求Join}，Join 代表該消息是加入請求。

3）在接收到 {TPK1，TPK2，n，T3，σ}后，SMi（0 ≤1 ≤n）首 先檢查T3的有效性，然后根據(jù)ECDSA 對σ和h（TPK1，TPK2，n，T3）進(jìn)行驗(yàn)證。若驗(yàn)證通過，SMi計(jì)算 TSK0，并將{TSK0，T3}更新到自己的會話密鑰列表。

為了具體地描述群密鑰協(xié)商的添加操作，以添加SM1，SM2，SM3為例，如圖3所示，具體過程如下。

3.2 移除SM

當(dāng)服務(wù)節(jié)點(diǎn)出現(xiàn)故障無法繼續(xù)提供服務(wù)時，需要移除故障的節(jié)點(diǎn)。

圖4 刪除SM

4 認(rèn)證方案

認(rèn)證的一般流程，如圖5所示。在組網(wǎng)之前，車輛和服務(wù)節(jié)點(diǎn)需提前注冊，即車輛和服務(wù)器注冊。在車輛加入自組網(wǎng)時，車輛從附近的節(jié)點(diǎn)獲取區(qū)域假名，同時，服務(wù)節(jié)點(diǎn)間共享該區(qū)域假名，即認(rèn)證及成員秘密生成階段。加入組網(wǎng)后，車輛使用獲取的區(qū)域假名簽名交通消息，實(shí)現(xiàn)消息認(rèn)證[31-33]。

圖5 認(rèn)證流程

4.1 初始階段

在初始階段，TA 首先選擇一個由橢圓曲線上的點(diǎn)組成的加群G，G的階為q，其生成元為P。然后，TA生成系統(tǒng)私鑰 sk∈，并計(jì)算系統(tǒng)公鑰PK=sk·P。接著，TA 選擇哈希函數(shù)h：{0，1}*→。最后，TA 保留 sk，并發(fā)布系統(tǒng)參數(shù){G，P，PK，h}給所有的車輛和SM。

4.2 車輛注冊階段

車輛在加入VANETs 之前需要先在TA 進(jìn)行注冊，在注冊后，Vi的TPD 就獲得了假名和對應(yīng)的私鑰。車輛注冊的過程如下所述。

4.3 服務(wù)節(jié)點(diǎn)注冊階段

4.4 認(rèn)證及成員秘密生成階段

當(dāng)一個車輛Vi想要發(fā)送交通相關(guān)的消息時，會先檢查是否還有未使用的區(qū)域假名。如果沒有可用的區(qū)域假名，Vi的TPD 需要向它所屬的SM 請求新的區(qū)域假名。這個階段被稱為認(rèn)證及成員秘密生成階段，細(xì)節(jié)如下。

4.5 信息同步階段

4.6 消息驗(yàn)證階段

消息驗(yàn)證應(yīng)該是輕量級的，且滿足條件隱私保護(hù)的。假設(shè)車輛Vi進(jìn)入另一個地區(qū)，并且 TPDi的區(qū)域假名沒有用完，消息驗(yàn)證的過程如下。

5 安全分析

本章將對方案各階段的安全性進(jìn)行分析。其中，認(rèn)證及成員秘密生成階段的安全性將進(jìn)行形式化分析，其余階段的安全性將結(jié)合2.3 節(jié)提出的安全需求進(jìn)行非形式化分析。

5.1 形式化分析

根據(jù)文獻(xiàn)[30]，該形式化分析被設(shè)計(jì)為一個包含敵手α和圖靈機(jī) β的游戲。

α能夠做出如下的問詢。

5.1.1 安全的車輛認(rèn)證

在方案中，如果h是理想的哈希函數(shù)，且是被認(rèn)可的，就不可能存在概率多項(xiàng)式時間攻擊者能夠偽造一個合法車輛的認(rèn)證請求消息。

證明假設(shè)在一個不可忽視的可能性 ε下，敵手 α能夠偽造一個合法車輛的認(rèn)證請求消息，那么β理應(yīng)解決ECDLP 難題。給定一個ECDLP 實(shí)例（TVPi=r·P），β 的任務(wù)就是計(jì)算r。此外，β會發(fā)布系統(tǒng)參數(shù) {G，P，PK，h}，并隨機(jī)地選擇一個真實(shí)的車輛身份R IDVC作為自己的挑戰(zhàn)身份。α的詢問如下。

5.1.2 安全的SM 認(rèn)證

在方案中，如果h是安全的哈希函數(shù)，且是被認(rèn)可的，就不可能存在概率多項(xiàng)式時間攻擊者α能夠偽造一個合法的SM 響應(yīng)消息。

證明在一個不可忽視的可能性 ε下，假設(shè)敵手 α能夠偽造一個合法SM 響應(yīng)消息，那么 β在不可忽視的可能性下，理應(yīng)能夠解決ECDHP 難題。給定一個ECDHP實(shí)例（P，=rSM·P，X=x·P），β的任務(wù)就是計(jì)算rSM·x·P。此外，β會發(fā)布系統(tǒng)參數(shù) {G，P，PK，h}和。假設(shè)RIDSC是挑戰(zhàn)身份，并且省略5.1.1 節(jié)中重復(fù)的詢問，β的詢問如下。

1）車輛身份詢問。β根據(jù)方案進(jìn)行操作并返回{X，PIDVi，，TVPi，Lt，V1，T1}。

基于上述詢問，如果 α能偽造消息 {CT，V2，T2}，車輛將認(rèn)為 α是合法的SM。但是，偽造{CT，V2，T2}存在2 個難點(diǎn)。

第一，α在 沒有rSM的情況下無法推測出V2。即推測成功的概率等于哈希碰撞的概率，概率為1/2p/2，p是哈希數(shù)輸出的比特長度。顯然，這是可以忽略不計(jì)的。

第二，α即使獲得了rSM，根據(jù)ECDHP 難題，計(jì)算rSM·X也是不可能的。

因此，不可能存在概率多項(xiàng)式時間攻擊者能夠偽造一個合法的SM 響應(yīng)消息。

5.2 非形式化分析

5.2.1 完整性

車輛注冊階段和服務(wù)節(jié)點(diǎn)注冊階段都由私有信道保證通信過程中的消息完整性。信息同步階段因?yàn)槭褂脮捗荑€進(jìn)行了加密，所以完整性也可以得到保障。最后，消息驗(yàn)證階段的完整性由橢圓曲線數(shù)字簽名算法（ECDSA）保證。

5.2.2 匿名性

因?yàn)榧禾幱诜忾]環(huán)境的緣故，所以本方案的匿名性主要體現(xiàn)在對車輛身份的保護(hù)上。即車輛和服務(wù)節(jié)點(diǎn)交互時的身份保護(hù)，以及車輛和其他車輛交流時的保護(hù)。在車輛和服務(wù)節(jié)點(diǎn)的交互中，它使用的是假名，無需提交真實(shí)的身份；在車輛和其他車輛交流時，它使用的是區(qū)域假名而區(qū)域假名的分發(fā)過程對敵手是不可見的，所以敵手無法從區(qū)域假名逆推出車輛的假名，更無法獲取車輛的真實(shí)身份。

5.2.3 不可鏈接性

因?yàn)槊總€區(qū)域假名只會被使用一次，所以對敵手而言，每條消息都是唯一的，即同一輛車的若干條消息之間是沒有聯(lián)系的，敵手無法逆推消息的來源。

5.2.4 可追溯性

當(dāng)系統(tǒng)需要追溯惡意車輛的真實(shí)身份時，服務(wù)節(jié)點(diǎn)會從惡意消息中獲取區(qū)域假名 L PIDi，l，并根據(jù)獲取對應(yīng)的假名信息，然后將惡意車輛的假名信息發(fā)送給TA，由TA 查閱車輛注冊列表，找出真實(shí)身份。

5.2.5 健壯性

本方案的健壯性體現(xiàn)在認(rèn)證集群中。當(dāng)某個認(rèn)證節(jié)點(diǎn)遭受攻擊，無法正常提供服務(wù)時，集群內(nèi)部需要快速刪除癱瘓的服務(wù)節(jié)點(diǎn)，添加備用的服務(wù)節(jié)點(diǎn)，協(xié)商出新的會話密鑰用于恢復(fù)各節(jié)點(diǎn)間的信息同步。本文方案的群密鑰協(xié)商協(xié)議采用樹狀結(jié)構(gòu)，協(xié)商密鑰的速度快。添加操作只需要各節(jié)點(diǎn)在原會話密鑰的基礎(chǔ)上同步地計(jì)算一次；刪除操作則根據(jù)被刪除節(jié)點(diǎn)在樹中所處深度的不同而有所不同，假設(shè)刪除 BTn的節(jié)點(diǎn)的深度為m（1 ＜m≤n+1），則深度大于m的各節(jié)點(diǎn)需要m-2次計(jì)算，而深度小于m的節(jié)點(diǎn)需要的次數(shù)為x-1（x為該節(jié)點(diǎn)的深度，即1＜x＜m）。

6 性能分析

本章從計(jì)算開銷、通信開銷和安全性3 個方面，將本文方案與文獻(xiàn)[20][29][30]方案進(jìn)行比較。計(jì)算開銷主要取決于橢圓曲線點(diǎn)乘運(yùn)算次數(shù)和Hash 函數(shù)映射運(yùn)算的執(zhí)行次數(shù)。對于通信開銷，根據(jù)車輛的請求消息的長度來評估[33]。在安全性方面，主要檢查方案是否滿足完整性、匿名性、不可鏈接性，以及方案是否實(shí)現(xiàn)集群模式等。在計(jì)算開銷方面，測試的實(shí)驗(yàn)環(huán)境配置如表2所示，測得的各基礎(chǔ)操作的計(jì)算開銷如表3所示。

表2 實(shí)驗(yàn)環(huán)境

表3 基礎(chǔ)操作時間開銷

從表4可知，文獻(xiàn)[29]基于屬性加密，所以它的Tmul調(diào)用次數(shù)與SM 的數(shù)量k相關(guān)，這導(dǎo)致該方案在SM 數(shù)量較多時的計(jì)算效率較低。文獻(xiàn)[29]還使用了區(qū)塊鏈，它借助實(shí)用拜占庭容錯算法來實(shí)現(xiàn)集群間的信息同步，故每輪的決策需要等待 2/3k的節(jié)點(diǎn)進(jìn)行響應(yīng)。本文方案直接使用會話密鑰發(fā)布消息，無需等待。

表4 時間開銷對比

表5為通信開銷比較。文獻(xiàn)[29]的請求信息由（V1，V2，···，Vk，T，C）組 成，其中V是公鑰的子秘密，長度為128 bits，T是時間戳，長度為13 bits，C為真實(shí)身份和隨機(jī)數(shù)的簽名，長度為64 bits，故總長度為（128k+77） bits。文獻(xiàn)[30]的請求信息為（IDj，Tj，γj，PIDi，Ti，αi，Ki，Ri），其中 γj為車輛身份信息的Hash 簽名（SHA-256），αi是SM 對車輛身份的簽名（SHA-256），Ki為公鑰長度為128 bits，Rj為隨機(jī)數(shù)，長度為128 bits，IDj和P IDi都是13 bits，故總長度為794 bits。文獻(xiàn)[20]的請求信息為{X，CT1，V1，T1}，其中X為隨機(jī)數(shù)，長度為128 bits，T1為時間戳，長度為13 bits，CT1為簽名，長度128 bits，V1為校驗(yàn)碼，長度128 bits，總長度為397 bits。本文的請求消息為{，TVPi，k，Lt，V1，T1}，其中X為隨機(jī)數(shù)，長度為128 bits，T1為時間戳，長度為13 bits，TVPi，k為公鑰，長度128 bits，V1為校驗(yàn)碼，長度128 bits，總長度為397 bits。

表5 通信開銷比較

在安全性方面：文獻(xiàn)[20]和[30]沒有實(shí)現(xiàn)集群模式；文獻(xiàn)[29]雖然實(shí)現(xiàn)了集群，但是沒有考慮不可聯(lián)接性的問題；本文滿足所有安全需求和場景假設(shè)。其比較內(nèi)容如表6所示。

表6 安全性比較

綜上所述，與文獻(xiàn)[20][29][30]相比，本文方案在計(jì)算開銷和通信開銷都更加優(yōu)秀。在與文獻(xiàn)[30]的性能持平的情況下，本方案的應(yīng)用場景更加豐富，安全性也更強(qiáng)。

7 結(jié)束語

本文提出了一種車載自組網(wǎng)中基于密鑰協(xié)商的條件隱私保護(hù)認(rèn)證方案。其優(yōu)勢為：1）通過引入匿名認(rèn)證技術(shù)使車輛發(fā)送的消息滿足不可鏈接性，即敵手無法關(guān)聯(lián)來自同一輛車的不同區(qū)域假名；2）通過認(rèn)證服務(wù)集群實(shí)現(xiàn)認(rèn)證的去中心化，并借助群密鑰協(xié)商協(xié)議來保障集群的健壯性。

在未來的工作中，筆者計(jì)劃引入聚合技術(shù)來進(jìn)一步降低SM 的計(jì)算開銷。此外，設(shè)計(jì)另一種更高效的車聯(lián)網(wǎng)認(rèn)證方案也是努力的方向。