【摘要】為提高車載自組織網(wǎng)絡(luò)中消息認(rèn)證的機(jī)密性，提出了一種可證安全性的高效無(wú)證書(shū)混合簽密方案?；谲囕d自組織網(wǎng)絡(luò)系統(tǒng)模型，在車輛進(jìn)行注冊(cè)后引入假名自生成算法，并在簽密算法中采用混合簽密計(jì)算方式。理論證明與試驗(yàn)驗(yàn)證結(jié)果表明，與現(xiàn)有無(wú)證書(shū)簽密方案相比，該方案在保護(hù)車輛隱私信息的同時(shí)，降低了可信中心和路側(cè)單元的計(jì)算量，計(jì)算開(kāi)銷與通信開(kāi)銷保持較低水平，最后，在隨機(jī)預(yù)言模型中證明了該方案的不可偽造性和機(jī)密性，并且能夠抵御各類攻擊。

主題詞：車載自組織網(wǎng)絡(luò) 無(wú)證書(shū)簽密 無(wú)雙線性映射 隨機(jī)預(yù)言模型

中圖分類號(hào)：TN918" "文獻(xiàn)標(biāo)志碼：A" "DOI： 10.19620/j.cnki.1000-3703.20230960

A Certificateless Hybrid Signcryption Scheme for Vehicular Ad-Hoc Networks

Lin Feng1，2， Luo Jingming1， Zhu Zhiqin2

（1. College of Communication and Information Engineering， Chongqing University of Posts and Telecommunications， Chongqing 400065; 2. College of Automation， Chongqing University of Posts and Telecommunications， Chongqing 400065）

【Abstract】In order to improve the confidentiality of message authentication in vehicle-mounted ad hoc networks， an efficient certificateless hybrid signcryption scheme with provable security is proposed. Based on the model of the vehicle-mounted ad hoc network system， a pseudonymous self-generation algorithm is introduced after the vehicle is registered， and a hybrid signcryption calculation method is adopted in the signcryption algorithm. Through theoretical proof and experimental verification， compared with the existing certificateless signcryption scheme， the proposed scheme not only protects the privacy information of the vehicle， but also reduces the computation cost of the trusted center and the roadside unit， and keeps the time overhead and communication overhead at a low level， which proves the unforgeability and confidentiality of the proposed scheme in the random oracle model， and can resist various attacks.

Key words： VANET， Certificateless signcryption， No bilinear mapping， Random prediction model

【引用格式】 林峰， 羅鏡明， 朱智勤. 一種適用于車載自組織網(wǎng)絡(luò)的無(wú)證書(shū)混合簽密方案[J]. 汽車技術(shù)， 2024（10）： 56-62.

LIN F， LUO J M， ZHU Z Q. A Certificateless Hybrid Signcryption Scheme for Vehicular Ad Hoc Networks[J]. Automobile Technology， 2024（10）： 56-62.

1 前言

車載自組織網(wǎng)絡(luò)[1]（Vehicular Ad-hoc NETwork，VANET）主要由車載單元（On Board Unit，OBU）和路側(cè)單元（Road Side Unit，RSU）構(gòu)成，在車輛行駛中，VANET能夠?qū)崟r(shí)共享車輛的運(yùn)行狀態(tài)及周邊的交通信息，有效提升駕駛安全性及舒適度，優(yōu)化駕駛體驗(yàn)。由于VANET傳遞的交通信息較為敏感，因而其信息安全問(wèn)題備受關(guān)注。

VANET的通信方式可分為車輛對(duì)基礎(chǔ)設(shè)施（Vehicle-to-Infrastructure，V2I）通信和車輛對(duì)車輛（Vehicle-to-Vehicle，V2V）通信。其中，V2V通信允許相鄰車輛進(jìn)行消息互換，減少交通擁堵，但入侵者可通過(guò)竊聽(tīng)、跟蹤等方式對(duì)車輛發(fā)送的消息進(jìn)行攻擊，導(dǎo)致接收車輛無(wú)法鑒別信息的真實(shí)性和完整性，由此對(duì)車輛身份隱私造成危害[2]。

通常，VANET使用消息簽密方法實(shí)現(xiàn)車輛身份、消息的機(jī)密性和消息的不可否認(rèn)性驗(yàn)證[3]。為使無(wú)證書(shū)簽密方案適用于VANET，Han等[4]提出了一種混合認(rèn)證協(xié)議，通過(guò)使用雙線性對(duì)運(yùn)算實(shí)現(xiàn)各種安全要求，但未對(duì)車輛隱私進(jìn)行有效保護(hù)；Islam等[5]提出了一種基于雙線性配對(duì)的無(wú)證書(shū)簽密方案，但并沒(méi)有為車輛生成假名；Hong等[6]提出車聯(lián)網(wǎng)環(huán)境下基于身份無(wú)配對(duì)的聚合簽密方案，雖然取消了雙線性對(duì)運(yùn)算，降低了計(jì)算和通信成本，但無(wú)法抵抗公鑰替換攻擊；Dai等[7]提出在車載自組織網(wǎng)絡(luò)中，無(wú)證書(shū)簽密系統(tǒng)下的車輛與公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）下的車輛進(jìn)行互認(rèn)，并支持批量發(fā)送、驗(yàn)證消息，但方案中大量使用雙線性配對(duì)算法，且無(wú)法抵御內(nèi)部攻擊；張文波等[8]提出了一種密鑰自生成機(jī)制，實(shí)現(xiàn)了用戶身份匿名與可追蹤，但容易遭受消息重放攻擊。

為保證車輛的隱私及信息安全，現(xiàn)有方案中消息簽密的計(jì)算量仍然較大，且極易受到各種攻擊。本文在前期研究工作的基礎(chǔ)上，通過(guò)車輛向可信中心（Trusted Authority，TA）注冊(cè)，生成終端私鑰，再生成假名信息發(fā)送至TA，在簽密過(guò)程中使用混合簽密算法降低通信開(kāi)銷，并通過(guò)安全性能分析驗(yàn)證方案的不可偽造性和機(jī)密性。

2 相關(guān)理論

2.1 橢圓曲線離散對(duì)數(shù)難題

橢圓曲線離散對(duì)數(shù)難題[9-10]（Elliptic Curve Discrete Logarithm Problem，ECDLP）可定義為：取階為大素?cái)?shù)q的群G，p為群G中的一個(gè)生成元，已知p和Q，ECDLP的目標(biāo)在于求得[k∈Z*q]，使得Q=k?p成立，其中k為循環(huán)群[Z*q]中的元素。

2.2 計(jì)算性Diffie-Hellman問(wèn)題

計(jì)算性Diffie-Hellman（Computational Diffie-Hellman，CDH）問(wèn)題[11]可定義為：假設(shè)G為由橢圓曲線上的點(diǎn)構(gòu)成的加法循環(huán)群[Z*q]，p為群G中的一個(gè)生成元，給定[ap∈G]、[bp∈G]，CDH問(wèn)題的目標(biāo)是在未知[a∈Z*q]、[b∈Z*q]的情況下，計(jì)算[abp∈G]。

2.3 高級(jí)加密標(biāo)準(zhǔn)對(duì)稱加密算法

高級(jí)加密標(biāo)準(zhǔn)[12-13]（Advanced Encryption Standard，AES）算法使用同一密鑰參與加密與解密過(guò)程，包括字節(jié)代換、行位移、列混淆和輪密鑰的異或運(yùn)算，其密鑰長(zhǎng)度可變，具有可逆性、高效性和完備的安全性。

AES對(duì)稱加密算法由以下兩個(gè)算法構(gòu)成[14]：

a. 加密算法：C=AESe（Key，m），其中，明文m為輸入，密文C為輸出，e為加密標(biāo)識(shí)符，對(duì)稱密鑰Key ∈ K，K為對(duì)稱加密算法的密鑰空間。

b. 解密算法：m=AESd（Key，C），其中，密文C為輸入，明文m為輸出，d為解密標(biāo)識(shí)符，對(duì)稱密鑰Key ∈ K。

2.4 安全模型

為實(shí)現(xiàn)本文方案的安全性證明，依據(jù)文獻(xiàn)[15]的隨機(jī)預(yù)言模型，將方案歸結(jié)為ECDLP和CDH難題。

在安全模型中，攻擊者通常分為Ⅰ類型和Ⅱ類型：Ⅰ類型中，攻擊者AⅠ為第三方攻擊者，不能訪問(wèn)系統(tǒng)中的主密鑰s，但能讀取或更改終端密鑰y與其對(duì)應(yīng)公鑰Y；Ⅱ類型中，攻擊者AⅡ攻擊能力更高，可以訪問(wèn)系統(tǒng)主密鑰s，但無(wú)法獲取終端密鑰y與其對(duì)應(yīng)公鑰Y。

在AⅠ和AⅡ兩類敵手的攻擊下，無(wú)證書(shū)簽密方案具有的適應(yīng)性選擇消息攻擊下的不可偽造性和適應(yīng)性選擇密文攻擊下的機(jī)密性，需經(jīng)歷以下階段：

a.階段1：系統(tǒng)初始化，解決者C進(jìn)行系統(tǒng)初始化，將參數(shù)發(fā)送至敵手A。

b.階段2：詢問(wèn)階段，敵手A對(duì)解決者C進(jìn)行有限次詢問(wèn)。

c.階段3：挑戰(zhàn)階段或猜測(cè)階段，敵手A輸出簽密信息，若能夠通過(guò)簽密有效性驗(yàn)證或簽密與預(yù)期值相等，則敵手A在博弈中獲勝。

2.5 VANET系統(tǒng)模型

VANET系統(tǒng)模型主要由TA、OBU和RSU 3個(gè)部分構(gòu)成，如圖1所示：TA負(fù)責(zé)VANET的建立，通過(guò)建立絕對(duì)安全的有線信道與RSU通信，在系統(tǒng)中主要用于OBU和RSU的注冊(cè)和密鑰分發(fā)；OBU為安裝在移動(dòng)車輛上的處理單元，當(dāng)車輛加入VANET前，須向TA申請(qǐng)注冊(cè)，獲得系統(tǒng)公共參數(shù)和相應(yīng)的密鑰，再將數(shù)據(jù)寫入車輛防篡改設(shè)備中；RSU與OBU通信時(shí)，需對(duì)接收的消息簽密密文進(jìn)行驗(yàn)證后，再將信息集中轉(zhuǎn)發(fā)至TA。

3 本文方案

3.1 方案描述

本文基于文獻(xiàn)[6]提出了一種適用于VANET的輕量級(jí)安全通信方案，通過(guò)使用橢圓曲線密碼算法和AES對(duì)稱加密算法，實(shí)現(xiàn)無(wú)證書(shū)混合簽密流程，方案流程如圖2所示。

本文方案包括以下7個(gè)算法：

a.系統(tǒng)初始化：首先，由密鑰生成中心（Key Generation Center，KGC）選定參數(shù)并建立系統(tǒng)，隨機(jī)選取大素?cái)?shù)p和q，生成非奇異橢圓曲線Ep（a，b）：y2=x3+ax+b，其中，a，b∈FP，F(xiàn)P為有限域，將點(diǎn)P作為加法群G中的生成元，群G均由Ep（a，b）上的點(diǎn)構(gòu)成，P為G的階。然后，隨機(jī)選擇系統(tǒng)主密鑰[s∈Z*q]，則系統(tǒng)公鑰PK=s?P，KGC選擇4個(gè)系統(tǒng)哈希函數(shù)H1，H2，H3，H4：{0，1}*→[Z*q]。最后，KGC公布系統(tǒng)參數(shù)Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}。

b.車輛注冊(cè)算法：車輛的身份信息為ID，向TA進(jìn)行身份信息注冊(cè)，此時(shí)，TA生成其車輛編號(hào)VD=H1（ID，T），其中，T為當(dāng)前注冊(cè)時(shí)間，即（VD，ID，T）為注冊(cè)消息組，并將VD發(fā)送給KGC。

c.部分私鑰生成算法：此算法由KGC執(zhí)行，對(duì)于車輛部分密鑰，綜合系統(tǒng)參數(shù)Spara和對(duì)應(yīng)車輛ID，選擇一個(gè)隨機(jī)數(shù)[n∈Z*q]，并計(jì)算部分私鑰參數(shù)N=n?P，hv=H2（PK，VD，N），車輛的部分私鑰x=n⊕hv?s，將車輛的部分私鑰x通過(guò)安全信道發(fā)送給車輛ID，并將對(duì)應(yīng)公鑰X=x?P=N⊕hv?PK通過(guò)安全信道發(fā)送給其他車輛。

d.終端密鑰生成算法：車輛執(zhí)行本算法生成公私鑰對(duì)時(shí)，車輛ID隨機(jī)選擇私鑰[y∈Z*q]，計(jì)算公鑰Y=y?p，并通過(guò)安全信道發(fā)送給其他車輛。

e.假名生成算法：車輛注冊(cè)后，車輛ID生成臨時(shí)假名，輸入當(dāng)前時(shí)間參數(shù)T，計(jì)算假名參數(shù)VH=H3（Y，T），PID=VD⊕VH，令Q=（PID，T）為車輛假名，并通過(guò)安全信道發(fā)送給其他車輛。

f.簽密算法：車輛IDA對(duì)于車輛IDB，計(jì)算其公鑰PVB=XB⊕YB，輸入當(dāng)前時(shí)間參數(shù)T，選擇隨機(jī)數(shù)[k∈Z*q]，車輛IDA對(duì)信息m執(zhí)行簽密運(yùn)算：

[K=k?PU=k?（XB⊕YB）C=AESe（U，m）v=H4（m，K，QA，PVA，T）R=v?（xA⊕yB）⊕K] （1）

式中：K、U、v、R為簽密參數(shù)，C為消息對(duì)稱加密結(jié)果。

簽密完成后，得到簽密結(jié)果σ={K，C，R，T}，車輛IDA將σ發(fā)送給車輛IDB。

g.解簽密算法：車輛IDB進(jìn)行解簽密時(shí)執(zhí)行本算法，輸入簽密密文σ，計(jì)算解簽密私鑰pvB=xB⊕yB，加載系統(tǒng)參數(shù)Spara、車輛IDA公鑰PVA=XA⊕XB、車輛IDA假名QA，車輛IDB對(duì)簽密密文σ執(zhí)行解簽密運(yùn)算：

[U′=pvB?Km′=AESd（U′，C）v′=H4（m′，K，QA，PVA，T）R?P=v′?PVA⊕K] （2）

檢驗(yàn)R?P=v′?PVA⊕K是否成立，并判斷時(shí)間戳T是否在有效期內(nèi)，若通過(guò)檢驗(yàn)，則選擇接收信息m′。

3.2 正確性分析

對(duì)于接收明文信息m的正確性分析，由于接收車輛計(jì)算的U′與發(fā)送車輛的U間關(guān)系為：U′=pvB?K=pvB k?P=k?PVB=k?（XB⊕YB）=U，并根據(jù)AES對(duì)稱加密算法的特性，通過(guò)恒等變換可證明接收者的m′和發(fā)送者的m關(guān)系：

m′=AESd（U′，C）=AESd（U，C）=AESd（U，AESd（U，m））=m" " "（3）

對(duì)于簽密密文σ的有效性分析，可證明

R?P=v′?PVA⊕K成立：

[R?P=v?（xA⊕yA）?P⊕k?P" " " " =H4（m′，K，QA，PVA，T）?（n⊕hv?s⊕yA）?P⊕k?P" " " " =v′（XA⊕YA）⊕K" " " " =v′?PVA⊕K]" "（4）

因此，在簽密密文σ={K，C，R，T}進(jìn)行傳輸時(shí)，若任意參數(shù)發(fā)生變化，都會(huì)使得R?P[≠]v′?PVA⊕K，導(dǎo)致該簽密密文無(wú)法通過(guò)有效性驗(yàn)證。

4 安全性分析

4.1 不可偽造性

假設(shè)攻擊者AⅠ-1使用本文方案時(shí)，最多可進(jìn)行q2次h2詢問(wèn)、qn次創(chuàng)建用戶詢問(wèn)、qs次部分私鑰詢問(wèn)、qf次簽密詢問(wèn)，若以優(yōu)勢(shì)ε成功偽造用戶的簽密密文，B1為橢圓曲線離散對(duì)數(shù)問(wèn)題的解決者，則該問(wèn)題的輸入為（s，PK=s?P），其中[s∈Z*q]，B1的目標(biāo)為計(jì)算s。B1與AⅠ-1的博弈交互包括系統(tǒng)初始化、詢問(wèn)階段和挑戰(zhàn)階段。

4.1.1 系統(tǒng)初始化

由B1構(gòu)建系統(tǒng)，公開(kāi)系統(tǒng)參數(shù)Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}，并建立L1、L2、L3、L4、LID和LR列表，分別用于跟蹤AⅠ-1對(duì)預(yù)言機(jī)h1、h2、h3和h4的詢問(wèn)，以及對(duì)用戶創(chuàng)建和簽密預(yù)言機(jī)的詢問(wèn)，其中，B1選擇VD*作為被挑戰(zhàn)者身份。

4.1.2 詢問(wèn)階段

AⅠ-1對(duì)B1進(jìn)行多項(xiàng)式有界次的詢問(wèn)如下：

a. h1預(yù)言機(jī)查詢：AⅠ-1使用IDi詢問(wèn)，若L1列表中已存在，則將VD返回至AⅠ-1；反之，則B1隨機(jī)選取[T∈Z*q]，計(jì)算VD=H1（IDi，T），再將VD返回至AⅠ-1。

b. h2預(yù)言機(jī)查詢：AⅠ-1使用VDi詢問(wèn)，若L2列表中已存在，則將hv返回至AⅠ-1；反之，則B1先執(zhí)行部分私鑰查詢，隨機(jī)選取[ni∈Z*q]，計(jì)算Ni=ni?P，hv=H2（PK，VDi，Ni），再將hv返回至AⅠ-1。

c. h3預(yù)言機(jī)查詢：AⅠ-1使用VDi進(jìn)行詢問(wèn)，若L3列表中存在相應(yīng)元組，則將VH返回給AⅠ-1；反之，則進(jìn)行終端密鑰預(yù)言機(jī)查詢，計(jì)算VH=H3（Yi，T），并將VH返回至AⅠ-1。

d. h4預(yù)言機(jī)查詢：AⅠ-1使用（VDi，C，K）詢問(wèn)，如果L4中已經(jīng)存在，則將v返回至AⅠ-1；如果沒(méi)有對(duì)應(yīng)的Yi，則執(zhí)行終端密鑰預(yù)言機(jī)查詢；如果沒(méi)有對(duì)應(yīng)的Xi，則執(zhí)行部分私鑰預(yù)言機(jī)查詢，再計(jì)算mi和v，并將v返回至AⅠ-1。其中：mi=AESd（pv?K，C），v=H4（mi，K，Q，PV，T）。

e. 用戶創(chuàng)建預(yù)言機(jī)查詢：AⅠ-1使用VDi進(jìn)行查詢，然后進(jìn)行如下判斷：

B1查詢LID，若不存在對(duì)應(yīng)元組，當(dāng)VDi=VD*時(shí)，B1隨機(jī)選擇[ni，yi，hv∈Z*q]，計(jì)算Ni=ni?P，Yi=yi?P，x=⊥；當(dāng)VDi≠VD*時(shí)，B1隨機(jī)選擇[xi，ni，yi，hv∈Z*q]，計(jì)算Yi=yi?P，Ni=xi?P-hv?PK，最后將其加入相應(yīng)的列表中；若列表中已存在相應(yīng)元組，B1再查詢L2列表，如果相應(yīng)的元組（VDi，PK，Ni，hv）滿足hv=H2（VDi，PK，Ni），則返回用戶信息，否則，B1結(jié)束本次博弈。

f. 終端密鑰預(yù)言機(jī)查詢：AⅠ-1使用VDi進(jìn)行詢問(wèn)時(shí)，B1查詢LID列表，如果LID中已有對(duì)應(yīng)元組，B1返回（Yi，yi）至AⅠ-1，否則，B1隨機(jī)選取[yi∈Z*q]，計(jì)算Yi=yi?P，并將（Yi，yi）返回至AⅠ-1。

g. 部分私鑰預(yù)言機(jī)查詢：假定敵手AⅠ-1最多只有qs次查詢次數(shù)。當(dāng)VDi=VD*時(shí)，B1輸出⊥并結(jié)束博弈；當(dāng)VDi≠VD*，如果B1查詢LID列表存在對(duì)應(yīng)元組，則計(jì)算xi=ni⊕hv?s，將xi返回至AⅠ-1，否則，B1隨機(jī)選擇[ni，xi∈Z*q]，計(jì)算Ni=ni?P，將Ni保存在LID列表中，并將xi返回至AⅠ-1。

h. 公鑰預(yù)言機(jī)查詢：敵手AⅠ-1使用VDi詢問(wèn)時(shí)，B1查詢LID，如果LID中存在對(duì)應(yīng)元組，B1返回（Ni，Yi）至AⅠ-1，否則，B1執(zhí)行部分私鑰預(yù)言機(jī)查詢與終端密鑰預(yù)言機(jī)查詢，并將（Ni，Yi）返回至敵手AⅠ-1。

i. 簽密預(yù)言機(jī)查詢：敵手AⅠ-1使用元組（VDi，Qi，Ni，K，mi）進(jìn)行查詢，B1計(jì)算hvi=H2（VDi，PK，Ni），并將{Ni，hvi}保存在L2列表中。隨機(jī)選擇[Ri，vi∈Z*q]，最后，將（mi，Qi，Ni，Ri，vi）保存在列表LR。

4.1.3 挑戰(zhàn)階段

敵手AⅠ-1輸出關(guān)于（VD*，mi）的偽簽密密文，若VDi≠VD*，B1宣布攻擊失??；否則，B1從列表中查詢到對(duì)應(yīng)的簽密信息（mi，Ri，vi）。當(dāng)AⅠ-1在博弈獲勝，則輸出s=（（Ri-k）/vi-ni-yi）/hvi作為系統(tǒng)主密鑰的有效解，表明解決ECDLP問(wèn)題；反之，表明該問(wèn)題未解決。

評(píng)估B1解決ECDLP問(wèn)題的優(yōu)勢(shì)，若AⅠ-1執(zhí)行VD*的部分私鑰查詢，則B1挑戰(zhàn)失敗。AⅠ-1未執(zhí)行該詢問(wèn)的概率為[Pr[ε1]=（1-q2/q）qn（1-1/qn）qs（1-qs/q）]，在問(wèn)詢階段終止模擬的概率為[Pr[ε2]=（1-δ）qs+qf+1]，在挑戰(zhàn)階段終止模擬的概率為Pr[ε3]=δ。因此，整個(gè)模擬過(guò)程中，AⅠ-1不終止的概率為：[Pr[ε1∧ε2∧ε3]=（1-q2q）qn·]

[（1-1qn）qs（1-qsq）δ（1-δ）qs+qf+1]。其中，δ=1/（qs+qf+1），若（qs+qf）足夠大，則[（1-δ）qs+qf+1]→e-1。

因此，如果AⅠ-1以優(yōu)勢(shì)ε成功偽造另一個(gè)簽密密文，那么B1就能夠以ε′的優(yōu)勢(shì)解決橢圓曲線離散對(duì)數(shù)問(wèn)題，其中，[ε′≥（1-q2q）qn（1-1qn）qs（1-qsq）εe（qs+qf+1）]。但這與ECDLP問(wèn)題無(wú)法解決互相矛盾，說(shuō)明敵手AⅠ-1成功偽造一個(gè)簽密密文的優(yōu)勢(shì)可被忽略，即本文方案可以抵抗敵手AⅠ-1的偽造攻擊，同理，AⅡ-1型攻擊同樣可抵抗。

4.2 機(jī)密性

假設(shè)攻擊者AⅠ-2使用本方案時(shí)，最多可進(jìn)行q2次h2詢問(wèn)、qn次創(chuàng)建用戶詢問(wèn)、qs次部分私鑰詢問(wèn)、qf次簽密詢問(wèn)，若以ε的優(yōu)勢(shì)成功破解一個(gè)簽密密文，B2是CDH問(wèn)題的解決者，則該問(wèn)題輸入為（P，k?P，s?P），B2的目標(biāo)是計(jì)算k?s?P。B2與AⅠ-2的博弈交互包括系統(tǒng)初始化、詢問(wèn)階段、挑戰(zhàn)階段和猜測(cè)階段。

4.2.1 系統(tǒng)初始化

由B2構(gòu)建系統(tǒng)，公開(kāi)系統(tǒng)參數(shù)Spara={Ep（a，b），p，q，G，P，PK，H1，H2，H3，H4}，并建立L1、L2、L3、L4、LID和Lm列表，分別用于跟蹤AⅠ-2對(duì)預(yù)言機(jī)h2、h3和h4的詢問(wèn)，以及對(duì)用戶創(chuàng)建和簽密預(yù)言機(jī)的詢問(wèn)，同時(shí)，B2選擇VD*作為被挑戰(zhàn)者身份。

4.2.2 詢問(wèn)階段

AⅠ-2對(duì)B2進(jìn)行4.1節(jié)的h2、h3和h4預(yù)言機(jī)查詢，以及終端密鑰、部分私鑰、用戶創(chuàng)建、公鑰預(yù)言機(jī)查詢。

解簽密預(yù)言機(jī)查詢：敵手AⅠ-2使用元組（VDi，σ，Ni，Yi）進(jìn)行查詢，若VDi=VD*，B1輸出⊥并結(jié)束博弈；反之，B2計(jì)算hv=H2（VDi，PK，Ni），并將{Ni，hvi}保存在L2列表中。隨機(jī)選擇[pvi∈Z*q]，計(jì)算Ui=pvi?K，mi=AESd （pvi，K，C），最后，將（VDi，σ，Ri，Yi，Ui，mi）保存在列表Lm，并返回mi至AⅠ-2。

4.2.3 挑戰(zhàn)階段

敵手AⅠ-2隨機(jī)選擇一對(duì)明文（m0，m1）及一對(duì)接受挑戰(zhàn)者身份（VDA，VDB），在階段2不能對(duì)VDB進(jìn)行任何秘密值詢問(wèn)。此時(shí)，若VDB≠VD*，則B2結(jié)束博弈；否則，B1將構(gòu)造一個(gè)挑戰(zhàn)密文。

B2對(duì)VDB執(zhí)行公鑰預(yù)言機(jī)查詢，得到（VDB，YB，NB）。隨機(jī)選取β∈{0，1}，選取隨機(jī)數(shù)[R，k∈Z*q]，計(jì)算K=k?P，U=k（NB⊕hvB?PK⊕YB），C=AESe（U，mβ），B1輸出關(guān)于消息mβ的簽密密文σ*={K，C，R，T}，并返回至AⅠ-2。

4.2.4 猜測(cè)階段

AⅠ-2可對(duì)B2進(jìn)行多項(xiàng)式有界次的適應(yīng)性詢問(wèn)，但不能對(duì)σ*進(jìn)行解簽密詢問(wèn)。

此時(shí)，AⅠ-2將輸出β′作為對(duì)β的猜測(cè)，若β′=β，則[B1]在已知k?P和s?P的情況下輸出（pvB?K-k?YB-k?NB）/hv=k?s?P，并將其作為CDH問(wèn)題的解；否則，表明未解決CDH問(wèn)題。

評(píng)估B2解決CDH問(wèn)題的優(yōu)勢(shì)，若AⅠ-2執(zhí)行VD*的部分私鑰查詢，則B2挑戰(zhàn)失?。籄Ⅰ-2不執(zhí)行該詢問(wèn)的概率為[Pr[ε1]=（1-q2/q）qn（1-1/qn）qs（1-qs/q）]，AⅠ-2在問(wèn)詢階段終止模擬的概率為[Pr[ε2]=（1-δ）qs+qf+1]，AⅠ-2在挑戰(zhàn)階段終止模擬的概率為Pr[ε3]=δ。最后，整個(gè)模擬過(guò)程中AⅠ-2不終止的概率為[Pr[ε1∧ε2∧ε3]=（1-q2q）qn·]

[（1-1qn）qs（1-qsq）δ（1-δ）qs+qc+1]。其中δ=1/（qs+qc+1），若（qs+qc）足夠大，則[（1-δ）qs+qc+1]→e-1。

因此，如果AⅠ-2以優(yōu)勢(shì)ε成功解密一個(gè)簽密密文，那么B2就能夠以ε′的優(yōu)勢(shì)解決CDH問(wèn)題，其中，ε′≥[（1-q2q）qn（1-1qn）qs（1-qsq）εe（qs+qc+1）]。但這與CDH問(wèn)題無(wú)法解決互相矛盾，說(shuō)明AⅠ-2成功解密一個(gè)簽密密文的優(yōu)勢(shì)能被忽略，即本文方案可抵抗AⅠ-2的攻擊，同理，AⅡ-2型攻擊同樣可抵抗。

4.3 中間人攻擊

當(dāng)遭遇中間人攻擊時(shí)，攻擊者從公共信道截取簽密密文σ={K，C，R，T}，試圖篡改該密文并生成新的有效簽密密文σ*。簽密密文中R=v（xA⊕yA）⊕k，其中，v由[K]、T、m（m=AESd（pv?K，C））等參數(shù)通過(guò)哈希計(jì)算得出。如果攻擊者篡改K、C中任意參數(shù)，則v′≠v，將導(dǎo)致簽密密文無(wú)效。

若攻擊者能夠通過(guò)解決橢圓曲線離散對(duì)數(shù)難題而獲得簽密私鑰x和y，計(jì)算出R′=v′（x⊕y）⊕k，生成簽密密文σ′={K′，C′，R′，T}，則攻擊者攻擊成功；然而，橢圓曲線離散對(duì)數(shù)難題無(wú)解，因此，本文方案可以抵抗中間人攻擊。

4.4 內(nèi)部特權(quán)攻擊

KGC特權(quán)人員能夠直接訪問(wèn)車輛發(fā)送至TA的注冊(cè)消息（VD，ID，T）及對(duì)應(yīng)的部分私鑰x，可讀取系統(tǒng)私鑰s，但無(wú)法獲取車輛的終端密鑰信息y。

在此條件下，當(dāng)特權(quán)人員進(jìn)行非法攻擊時(shí)，由于缺少終端密鑰信息，將無(wú)法計(jì)算車輛的完整私鑰pv=x⊕y，最終無(wú)法生成有效簽密密文信息σ。因此，本文方案可成功抵御內(nèi)部特權(quán)攻擊。

4.5 重放攻擊

車輛生成的簽密密文為σ={K，C，R，T}，密文包含發(fā)送消息的時(shí)間戳T，且R為時(shí)間戳T的相關(guān)簽密計(jì)算參數(shù)。

當(dāng)攻擊者使用有效的簽密密文進(jìn)行重放攻擊時(shí)，簽密密文將無(wú)法通過(guò)時(shí)間戳檢測(cè)，即使攻擊者更新密文中T，密文被接收后仍無(wú)法通過(guò)有效性檢測(cè)。因此，該方案能夠抵御重放攻擊。

對(duì)比本文方案與近年VANET方案的安全性，結(jié)果如表1所示，本文方案的安全性均優(yōu)于其他方案。

5 性能分析

本文試驗(yàn)環(huán)境為Intel i5-8300H處理器，主頻為2 666 MHz，內(nèi)存為16 GB，該設(shè)備的操作系統(tǒng)為Ubuntu16.04。通過(guò)調(diào)用OPENSSL工具庫(kù)，對(duì)各基礎(chǔ)運(yùn)算操作計(jì)算開(kāi)銷，測(cè)試結(jié)果如表2所示。

5.1 計(jì)算開(kāi)銷分析

通過(guò)逐步分析各方案的算法步驟，對(duì)比各方案的時(shí)間開(kāi)銷，結(jié)果如表3所示。

在各方案的運(yùn)算操作中，雙線性對(duì)操作、雙線性對(duì)點(diǎn)乘運(yùn)算和橢圓曲線點(diǎn)乘運(yùn)算為計(jì)算開(kāi)銷的主要來(lái)源，其中，雙線性對(duì)操作的計(jì)算開(kāi)銷最大。而相較于文獻(xiàn)[5]、文獻(xiàn)[17]，本文方案無(wú)雙線性對(duì)操作；與文獻(xiàn)[6]～[8]及文獻(xiàn)[16]相比，本文方案所需要橢圓曲線點(diǎn)乘運(yùn)算操作次數(shù)最少；與文獻(xiàn)[19]相比，本文無(wú)需模逆運(yùn)算操作。因此，本文簽密方案在時(shí)間開(kāi)銷上最低，操作更加高效。其中，AESe和AESd算法的時(shí)間開(kāi)銷約等于一次Th。

5.2 通信開(kāi)銷分析

在通信開(kāi)銷方面，對(duì)本文方案和其他方案進(jìn)行了簽密密文分析，如表4所示。由于文獻(xiàn)[5]、文獻(xiàn)[17]方案包含雙線性對(duì)運(yùn)算，假設(shè)所有方案的時(shí)間戳長(zhǎng)度|T|=32 bit，且|[Z*q]|=160 bit。在雙線性對(duì)運(yùn)算中，|G1|=1 024 bit；在橢圓曲線密碼運(yùn)算中，|Gq|=320 bit。

由于本文方案未使用雙線性對(duì)運(yùn)算，因此，時(shí)間開(kāi)銷大幅降低；本文方案在通信開(kāi)銷上僅高于其他最低方案32 bit，因此，本文方案的通信開(kāi)銷可維持較低水平。

6 結(jié)束語(yǔ)

本文在VANET的無(wú)證書(shū)簽密方案的基礎(chǔ)上，結(jié)合車輛通信鏈路持續(xù)時(shí)間短的特點(diǎn)，采用橢圓曲線密碼算法來(lái)構(gòu)建簽密計(jì)算，并且通過(guò)采用假名自生成算法減輕了TA和RSU的計(jì)算負(fù)擔(dān)。通過(guò)簽密計(jì)算，證明了本文方案滿足車載自組網(wǎng)的安全需求，同時(shí)，對(duì)比各種無(wú)證書(shū)簽密方案，本文方案的計(jì)算開(kāi)銷與通信開(kāi)銷均達(dá)到最低。未來(lái)，在保證VANET通信安全的同時(shí)，考慮在通信方案的輕量化方向開(kāi)展進(jìn)一步研究。

參 考 文 獻(xiàn)

[1] MCHERGUI A， MOULAHI T， ZEADALLY S. Survey on Artificial Intelligence （AI） Techniques for Vehicular Ad-Hoc Networks （VANETs）[J]. Vehicular Communications， 2022， 34.

[2] AL-SHAREEDA M A， MANICKAM S， LAGHARI S A， et al. Replay-Attack Detection and Prevention Mechanism in Industry 4.0 Landscape for Secure SECS/GEM Communications[J]. Sustainability， 2022， 14（23）.

[3] ZHAO Y， WANG Y， LIANG Y， et al. Identity-Based Broadcast Signcryption Scheme for Vehicular Platoon Communication[J]. IEEE Transactions on Industrial Informatics， 2022， 19（6）： 7814-7824.

[4] HAN Y， FANG D， YUE Z， et al. SCHAP： The Aggregate Signcryption Based Hybrid Authentication Protocol for VANET[C]// International Conference on Internet of Vehicles. Beijing， China： Springer International Publishing， 2014： 218-226.

[5] ISLAM A， ALTAF F， MAITY S. Efficient Certificate-Less Signcryption Scheme for Vehicular Ad Hoc Networks[C]// Inventive Communication and Computational Technologies： Proceedings of ICICCT 2021. Springer Singapore， 2022： 927-942.

[6] DU H Z， WEN Q Y， ZHANG S S， et al. A Pairing-Free Certificateless Signcryption Scheme for Vehicular Ad Hoc Networks[J]. Chinese Journal of Electronics， 2021， 30（5）： 947-955.

[7] DAI C， XU Z W. Pairing-Free Certificateless Aggregate Signcryption Scheme for Vehicular Sensor Networks[J]. IEEE Internet of Things Journal， 2022， 10（6）： 5063-5072.

[8] 張文波， 黃文華， 馮景瑜. 基于無(wú)證書(shū)簽密的車聯(lián)社會(huì)網(wǎng)絡(luò)安全通信機(jī)制[J]. 通信學(xué)報(bào)， 2021， 42（7）： 128-136.

ZHANG W B， HUANG W H， FENG J Y. The Security Communication Mechanism of Social Network of Car Service Based on Non-Certificate Signcryption[J]. Journal of Communications， 2021， 42（7）： 128-136.

[9] SHAO H， PIAO C. A Provably Secure Lightweight Authentication Based on Elliptic Curve Signcryption for Vehicle-to-Vehicle Communication in VANETs[J]. IEEE Transactions on Industrial Informatics， 2023， 20（3）： 3738-3747.

[10] MA R， DU L Y. Attribute-Based Blind Signature Scheme Based on Elliptic Curve Cryptography[J]. IEEE Access， 2022， 10： 34221-34227.

[11] PAN J X， CHEN Q， RINGERUD M. Signed （Group） Diffie–Hellman Key Exchange with Tight Security[J]. Journal of Cryptology， 2022， 35（4）： 26.

[12] PIAO J， WANG Z， WU Y， et al. In-Vehicle Flexray Network Security Based on Modified AES Encryption Algorithm[C]// The 2nd International Conference on Distributed Sensing and Intelligent Systems （ICDSIS 2021）. London， UK： Institution of Engineering and Technology， 2021： 17-27.

[13] DAEMEN J， RIJMEN V. AES Proposal： Rijndael[J]. Computer Science， Mathematics， 1999.

[14] CARLSON A， GANG G， GANG T， et al. Evaluating True Cryptographic Key Space Size[C]// 2021 IEEE 12th Annual Ubiquitous Computing， Electronics amp; Mobile Communication Conference （UEMCON）. New York， USA： IEEE， 2021： 243-249.

[15] KASYOKA P， KIMWELE M， ANGOLO S M. Cryptanalysis of A Pairing-Free Certificateless Signcryption Scheme[J]. ICT Express， 2021， 7（2）： 200-204.

[16] ULLAH I， KHAN M A， ALSHARIF M H， et al. An Anonymous Certificateless Signcryption Scheme for Secure and Efficient Deployment of Internet of Vehicles[J]. Sustainability， 2021， 13（19）.

[17] ALI I， CHEN Y， ULLAH N， et al. Bilinear Pairing-Based Hybrid Signcryption for Secure Heterogeneous Vehicular Communications[J]. IEEE Transactions on Vehicular Technology， 2021， 70（6）： 5974-5989.

[18] LIU X， WANG L， LI L， et al. A Certificateless Anonymous Cross-Domain Authentication Scheme Assisted by Blockchain for Internet of Vehicles[J]. Wireless Communications and Mobile Computing， 2022， 2022（1）.

[19] CUI B B， LU W， WEI H. A New Certificateless Signcryption Scheme for Securing Internet of Vehicles in the 5G Era[J]. Security and Communication Networks， 2022， 2022（1）.

[20] CUI J， XU W Y， HAN Y B， et al. Secure Mutual Authentication with Privacy Preservation in Vehicular Ad Hoc Networks[J]. Vehicular Communications， 2020， 21.

（責(zé)任編輯 瑞 秋）

修改稿收到日期為2024年1月30日。