摘 要：隨著車載自組織網(wǎng)絡（VANET）技術在智能交通系統(tǒng)中的廣泛應用，數(shù)據(jù)隱私和安全性問題日益凸顯。針對車輛在異構密碼系統(tǒng)通信中的隱私泄露問題，為了滿足VANET的實時性需求，提出了一個高效的隱私保護格基異構多接收者簽密方案。該方案實現(xiàn)了基于無證書加密（CLC）的路邊單元（RSU）與基于身份加密（IBC）的車輛之間的安全數(shù)據(jù)交換。此外，設計了多接收者簽密機制，允許將多次簽密行為整合為一次操作，從而提升了傳輸效率。所提方案還使用拒絕采樣技術，從而顯著降低了簽密者的計算開銷。最后，通過隨機預言機模型確認了此技術的高安全性。理論分析與實驗結果顯示，該方案在確保安全的基礎上，有效降低了計算和通信開銷。

關鍵詞：車載自組織網(wǎng)絡；異構多接收者簽密；格

中圖分類號：TP309"" 文獻標志碼：A

文章編號：1001-3695（2025）04-032-1204-07

doi： 10.19734/j.issn.1001-3695.2024.05.0266

Efficient lattice-based heterogeneous multi-receiver signcryption scheme in VANET

Cao Bingyana， Wang Mina， b， Shi Juna， b， Xu Jiea

（a. College of Information Science amp; Technology， b. Key Laboratory of Ethnic Educational Information， Ministry of Education， Yunnan Normal University， Kunming 650500， China）

Abstract：With the extensive application of VANET technology in intelligent transportation systems， issues of data privacy and security have become increasingly prominent. To tackle the problem of privacy breaches in vehicle communications within diverse cryptographic frameworks and to accommodate the immediate demands of VANET， this study proposed an efficient lattice-based heterogeneous multi-receiver signcryption scheme for privacy protection. This approach facilitated secure exchanges between the road-side unit （RSU） ， which utilized a certificateless cryptosystem （CLC） ， and vehicles employing an identity-based cryptosystem （IBC） . Additionally， the scheme designed multi-receiver signcryption mechanism， allowing multiple signcryption operations to be merged into one， thereby improving communication efficiency. The proposed scheme also utilized rejection sampling techniques， significantly reducing the computational overhead for signcryptors. Finally， the security of this scheme was validated under the random oracle model. Theoretical analysis and experimental results show that this scheme effectively reduces computational and communication costs while ensuring security.

Key words：vehicular Ad hoc network（VANET）; heterogeneous multi-receiver signcryption; lattice

0 引言

隨著技術的進步，自動駕駛已經(jīng)成為當前的研究熱點。VANET是實現(xiàn)自動駕駛高安全性、高效率和高穩(wěn)定性的基礎。然而，隨著VANET技術在智能交通系統(tǒng)中的廣泛應用，數(shù)據(jù)隱私和安全性問題日益凸顯[1，2]。在VANET中，大量車輛通過無線通信交換信息，RSU可以收集和傳輸實時交通信息，包括擁堵情況、事故報告、道路工程等，使車輛能夠更智能地規(guī)劃路徑，避開擁堵路段?？墒沁@些消息中可能包含了諸如車輛位置、車速等用戶敏感信息，并且明文信息極易被截取、竄改，使得車輛不能分辨接收到信息的真?zhèn)?，存在極大的交通隱患。因此，如何保護VANET通信的數(shù)據(jù)隱私以及保證數(shù)據(jù)傳輸?shù)陌踩猿蔀橐粋€亟需解決的問題。

除了安全性，VANET的實時性也至關重要[3～5]。車輛需要及時獲取周圍車輛和道路狀況的信息，以進行實時的決策和調(diào)整。因此，保護VANET通信的數(shù)據(jù)隱私，確保數(shù)據(jù)傳輸?shù)陌踩裕瑫r滿足實時性的需求，對推動自動駕駛技術的發(fā)展至關重要。

簽密[6]技術能夠確保了數(shù)據(jù)的保密性、完整性及其認證性，對保護數(shù)據(jù)隱私至關重要。然而，簽密通常只適用于使用相同加密系統(tǒng)的實體間的通信。在VANET中，不同汽車制造商生產(chǎn)的車輛可能采用不同的加密技術和參數(shù)來確保信息交換的安全，而路邊單元（RSU）也可能使用與車輛不同的加密系統(tǒng)。為應對VANET系統(tǒng)中各種簽密機制節(jié)點間通信隱私安全的挑戰(zhàn)，學者們提出了異構簽密方案（heterogeneous signcryption）[7～12]。然而，現(xiàn)有技術大多僅支持點對點的通信模式，尚未廣泛適用于涉及多個接收者的場景。在VANET環(huán)境中，多個車輛與RSU之間、車輛之間需要頻繁進行通信，這將導致簽密操作次數(shù)增加，從而增加VANET的通信和計算開銷，影響數(shù)據(jù)傳輸?shù)膶崟r性。多接收者[13]簽密技術支持一對多的通信方式，更適用于開放的VANET環(huán)境，有效減少了通信開銷和計算負擔，同時提高了VANET系統(tǒng)的效率和性能。

文獻[14～17]設計了異構密碼體制下多接收方的簽密方案，但方案的安全性均基于數(shù)論難題，無法抵抗量子攻擊[18]。另一方面，Lu等人[19]首次提出格上的多接收者簽密，但由于使用了原像抽樣算法和多個高斯抽樣算法，其計算成本都較高。Zhang等人[20]基于格的無雙線性對的數(shù)字簽密算法以及模糊身份的數(shù)字簽密算法提出格上基于身份的多用戶接收簽密算法，但由于使用了原像抽樣算法，其計算成本較高。

為滿足VANET場景中對實時性及可靠性的需求，本文提出高效的格基異構多接收者簽密方案，主要工作包括：a）結合基于格的公鑰密碼體制，設計了一種由CLC路邊單元RSU到多個IBC車輛通信的格基異構多接收者簽密方案，實現(xiàn)通信過程中的隱私保護;b）該方案使用拒絕采樣算法，在構造過程中不涉及原像抽樣算法，降低計算復雜度；引入多接收者簽密，減少簽密的次數(shù)和網(wǎng)絡中的通信量，提高計算效率和通信效率;c）方案的安全性依賴于格中小整數(shù)解問題（SIS）和帶錯誤學習問題（LWE）的難解性，具有抗量子攻擊的潛在特性。

1 預備知識

1.1 VANET模型

VANET系統(tǒng)包括可信權威（trusted authority，TA）、路邊單元RSU、IBC車輛、私鑰生成中心四種主要的組成部分。在該網(wǎng)絡中，多種車輛利用無線方式與鄰近的其他車輛及RSU進行數(shù)據(jù)交換，如圖1所示。

a）TA：作為認證機構，授權中心主要承擔主體參數(shù)的生成及認證任務。路邊單元則在其監(jiān)管的區(qū)域內(nèi)負責實現(xiàn)車輛之間的通信，并負責搜集、上傳及發(fā)布交通數(shù)據(jù)，同時為車輛提供互聯(lián)網(wǎng)接入服務。

b）IBC車輛：在IBC環(huán)境下，基于身份的密碼學系統(tǒng)讓車輛能夠向周圍的車輛以及CLC環(huán)境的路邊單元發(fā)送信息。

c）私鑰生成中心：根據(jù)用戶上傳的身份信息，為車輛生成公私鑰對，為RSU生成部分私鑰。

5 性能分析

計算效率與通信效率是影響VANET實時性的兩個重要的因素[24]，因此本章從通信開銷和計算開銷對比分析本文方案和文獻[8，12，16，19，20]的性能，其中文獻[8，12]是格基異構簽密方案，文獻[16]為基于數(shù)論的異構多接收者簽密方案，文獻[19，20]是格上基于身份的多接收者簽密方案。

首先分析通信開銷，簽名方案的通信開銷主要取決于公鑰和密文的長度。這里只比較基于格的簽密方案通信開銷。表1給出了各方案中公鑰和密文長度，其中n、k、m是4.1.1節(jié)系統(tǒng)初始化中的參數(shù)，L是多接收者個數(shù)。從表中可以看出，文獻[19，20]的公鑰長度相同，均大于文獻[8，12]和本文方案的公鑰長度，這是由于它們采用了不同的公鑰生成方法。各方案均通過陷門生成算法輸出了一個n×m維矩陣，文獻[19]直接將這個n×m維矩陣作公鑰；文獻[20]將這個n×m維矩陣與由用戶ID的哈希值生成的m×m維矩陣進行乘運算，得到n×m維矩陣并將其作為公鑰。本文方案和文獻[8]，12]將這個n×m 維矩陣與隨機生成的一個m×k維矩陣進行乘運算， 得到一個n×k維矩陣作為公鑰。在密文長度方面，由于文獻[8，12] 采用的是單接收者簽密，所以這兩者的密文長度最短。而本文的密文長度低于文獻[19，20]的密文長度，其中文獻[19，20]采用了原像抽樣算法進行簽密，而本文方案采用了拒絕抽樣算法。綜合公鑰長度和密文長度，本文方案的通信開銷少于其余四個工作。

然后，分析計算開銷，簽密方案的計算開銷主要包括消息簽密與解簽密的計算量。表2給出各個方案在簽密階段、解簽密階段和總體運行所需的計算量。其中TG表示高斯采樣的運算量，TM表示矩陣乘法的運算量，TH表示哈希算法的運算量，Ts表示原像采樣算法的運算量。

為了直觀地比較方案的計算效率，本文基于密碼開源庫PBC[23]對原像采樣、高斯采樣、矩陣乘法、哈希算法進行數(shù)值實驗，運行實驗的計算機操作系統(tǒng)為Ubuntu 18.04，內(nèi)存為8 GB，處理器主頻為1.60 GHz，運行以上算法各30次，得到各算法運行的平均時間，如表3所示。

由表2、3可以得到各方案在多接收者個數(shù)L分別為10、20、30、40、50時的平均運行時間。圖2、3分別為簽密階段和總體運行（簽密和解簽密）所需的平均時間，從圖中可見，隨著多接收者個數(shù)的增加，所有方案的簽密時間和總體運行時間均有所增加，其中本文方案在不同多接收者個數(shù)中均用時最少。相比文獻[8]，本文方案中發(fā)送車輛對消息進行簽密的平均耗時減少了約70.72%，總體耗時平均減少了約69.47%。相比文獻[12]，本文方案中發(fā)送車輛對消息進行簽密的平均耗時減少了約79%，總體耗時平均減少了約78%。在簽密階段，文獻[8，12]向多方發(fā)送簽密消息，需要多次執(zhí)行簽密操作，而本文方案采用多接收者簽密技術，只需要進行一次簽密，發(fā)送給多個接收者即可，且本文方案的解簽密與文獻[12]相同，文獻[8]需要多做兩次哈希運算，因此隨著接收者個數(shù)的增加，本文方案的計算優(yōu)勢越加明顯。相比文獻[16]，本文方案中發(fā)送車輛對消息進行簽密的平均耗時減少了90.48%，總體耗時減少了90.12%。因此本文方案相比文獻[16]不僅能抵抗量子攻擊，計算開銷也遠遠小于文獻[16]。相比文獻[19]，本文方案中發(fā)送車輛對消息進行簽密的平均耗時減少了35.13%，總體耗時減少了37.82%。因為在簽密階段，本文方案比文獻[19]少了一次原像采樣運算，在解簽密時，本文方案比文獻[19]多了一次矩陣乘法運算，少了一次原像采樣運算。從表3可知，原像采樣算法耗時較多，所以本文方案的簽密和總體耗時均低于文獻[19]。相比文獻[20]，該方案中發(fā)送車輛對消息進行簽密的平均耗時減少了15.27%，總體平均耗時減少了13.29%。在簽密階段，本文方案比文獻[20]雖增加了高斯采樣運算，但減少了原像采樣算法和矩陣乘法，在解簽密階段比文獻[20]多了一次矩陣乘法，所以本文方案的簽密耗時和總體耗時均低于文獻[20]。

本文針對VANET中的隱私泄露問題以及實時性的需求，提出一種CLC到IBC的高效格基異構多接收者簽密方案，保證基于CLC環(huán)境中的路邊基礎設施與IBC環(huán)境中車輛之間的安全通信，同時通過多接收者簽密減少網(wǎng)絡中的通信量，提高通信效率。在隨機預言模型下證明了該方案的安全性，理論分析和實驗驗證顯示，與其他方案相比，本文方案的計算開銷和通信開銷較低，實現(xiàn)了高效的異構簽密。在下一步的工作中，將會設計多個車輛和RSU之間的聚合簽密，通過采用批量處理信息的策略，可以有效縮短密文驗證的延遲，從而顯著提升密文驗證的效率。

參考文獻：

[1]

徐智宇， 王亮亮. 車聯(lián)網(wǎng)中支持直接撤銷的外包屬性簽名方案[J]. 計算機應用研究， 2024， 41（2）： 569-575， 581. （Xu Zhiyu， Wang Liangliang. Outsourced attribute-based signature scheme with direct revocation support for vehicular Ad hoc network[J]. Application Research of Computers， 2024， 41（2）： 569-575， 581.）

[2]鄧雨康， 張磊， 李晶. 車聯(lián)網(wǎng)隱私保護研究綜述[J]. 計算機應用研究， 2022， 39（10）： 2891-2906. （Deng Yukang， Zhang Lei， Li Jing. Overview of research on privacy protection of Internet of Vehicles[J]. Application Research of Computers， 2022， 39（10）： 2891-2906.）

[3]牛淑芬， 閆森， 呂銳曦， 等. V2V車聯(lián)網(wǎng)中隱私保護性異構聚合簽密方案[J]. 計算機工程， 2022， 48（9）： 20-27， 36. （Niu Shufen， Yan Sen， Lyu Ruixi， et al. Privacy-preserving heterogeneous aggregated signcryption scheme in V2V Internet of Vehicles[J]. Computer Engineering， 2022， 48（9）： 20-27， 36.）

[4]Iqbal A， Zubair M， Khan M A，et al. An efficient and secure certificateless aggregate signature scheme for vehicular Ad hoc networks [J]. Future Internet， 2023， 15（8）： 266.

[5]Ahmed W， Di W， Mukathe D. Blockchain-assisted privacy-preserving and context-aware trust management framework for secure communications in VANETs[J]. Sensors， 2023， 23（12）： 5766.

[6]Zheng Yuliang. Digital signcryption or how to achieve cost （signature amp; encryption） cost （signature） +cost （encryption） [C]// Proc of the 17th Annual International Cryptology Conference. Berlin： Springer， 1997： 165-179.

[7]路秀華， 溫巧燕， 王勵成. 格上的異構簽密[J]. 電子科技大學學報， 2016， 45（3）： 458-462. （Lu Xiuhua， Wen Qiaoyan， Wang Licheng. A lattice-based heterogeneous signcryption[J]. Journal of University of Electronic Science and Technology of China， 2016， 45（3）： 458-462.）

[8]Yu Siqi， Shang Mengxue， Li Fengyin. A lattice-based efficient hete-rogeneous signcryption scheme for secure network communications[J]. Journal of High Speed Networks， 2024， 30（1）： 19-27.

[9]Hou Yingzhe， Cao Yue， Xiong Hu， et al. Heterogeneous signcryption scheme with group equality test for satellite-enabled IoVs[J]. IEEE Internet of Things Journal， 2023， 11（6）： 10666-10681.

[10]Elkhalil A，Zhang Jiashu. Practical heterogeneous signcryption system for vehicular communication in VANETs[J]. Computing， 2023， 105（1）： 89-113.

[11]崔劍陽， 蔡英， 張宇， 等. 車載自組織網(wǎng)絡中格基簽密的可認證隱私保護方案[J]. 計算機應用， 2024， 44（1）： 233-241. （Cui Jianyang， Cai Ying， Zhang Yu， et al. Authenticatable privacy-preserving scheme based on signcryption from lattice for vehicular Ad hoc network[J]. Journal of Computer Applications， 2024， 44（1）： 233-241.）

[12]崔劍陽， 蔡英， 張宇， 等. VANET中隱私保護的格基異構簽密方案[J].小型微型計算機系統(tǒng)， 2024， 45（9）： 2269-2277. （Cui Jianyang， Cai Ying， Zhang Yu， et al. Lattice heterogeneous signcryption scheme for privacy protection in VANET[J]. Journal of Chinese Computer Systems， 2024， 45（9）： 2269-2277.）

[13]Bellare M， Boldyreva A， Micali S. Public-key encryption in a multi-user setting： security proofs and improvements [C]// Proc of International Conference on the Theory and Application of Cryptographic Techniques. Berlin： Springer， 2000： 259-274.

[14]Deng Lunzhi. Anonymous certificateless multi-receiver encryption scheme for smart community management systems [J]. Soft Computing， 2020， 24（1）： 281-292.

[15]Wang Lipeng， Guan Zhi， Chen Zhong， et al. Multi-receiver signcryption scheme with multiple key generation centers through public channel in edge computing [J]. China Communications， 2022， 19（4）： 177-198.

[16]邢丹丹， 曹素珍， 趙曉， 等. 車聯(lián)網(wǎng)環(huán)境下多接收者匿名簽密方案[J]. 計算機工程， 2024， 50（10）： 205-215. （Xing Dandan， Cao Suzhen， Zhao Xiao， et al. Multi-receiver anonymous signcryption scheme in vehicle networking environment [J]. Computer Engineering， 2024， 50（10）： 205-215.）

[17]王利朋， 高健博， 李青山， 等. 應用區(qū)塊鏈的多接收者多消息簽密方案 [J]. 軟件學報， 2021， 32（11）： 3606-3627. （Wang Lipeng， Gao Jianbo， Li Qingshan， et al. Blockchain-based multi-recipient multi-message signcryption scheme [J]. Journal of Software， 2021， 32（11）： 3606-3627.）

[18]Shor P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer [J]. SIAM Journal on Computing， 1997， 26（5）： 1484-1509.

[19]Lu Xiuhua， Wen Qiaoyan， Jin Zhengping， et al. A lattice-based multi-receiver signcryption scheme for point to multi-point communication [C]// Proc of International Conference on Information and Network Security. London： IET， 2013： 1-7.

[20]Zhang Xiaojun， Xu Chunxiang， Xue Jingting. Efficient multi-receiver identity-based signcryption from lattice assumption [J]. International Journal of Electronic Security and Digital Forensics， 2018， 10（1）： 20-38.

[21]王小云， 劉明潔. 格密碼學研究 [J]. 密碼學報， 2014， 1（1）： 13-27. （Wang Xiaoyun， Liu Mingjie. Survey of lattice-based cryptography [J]. Journal of Cryptologic Research， 2014， 1（1）： 13-27.）

[22]Zaheri M， Sadeghiyan B. Identity-based signatures from lattices [C]// Proc of the 6th International Symposium on Telecommunications. Piscataway， NJ： IEEE Press， 2012： 1114-1118.

[23]Lyubashevsky V. Lattice signatures without trapdoors [M]// Pointcheval D， Johansson T. Advances in Cryptology. Berlin： Springer， 2012： 738-755.

[24]俞惠芳， 王寧. 基于無證書的格基代理簽密方案 [J]. 電子與信息學報， 2022， 44（7）： 2584-2591. （Yu Huifang， Wang Ning. Certificateless proxy signcryption scheme from lattice [J]. Journal of Electronics amp; Information Technology， 2022， 44（7）： 2584-2591.）

[25]Lynn B. PBC library [EB/OL]. （2013-06-14）. https：//crypto.stanford.edu/pbc/.