CN104853351A - 一种基于可控隐私的车联网分布式认证方法 - Google Patents

Abstract

本发明公开了一种基于可控隐私的车联网分布式认证方法,涉及车载网络通信安全领域，特别是一种基于可控隐私的车联网分布式认证方法，具体包括以下步骤：***初始化；假名和部分签名私钥更新；消息签名；签名的消息认证；真实身份的追踪与撤销五个步骤。本发明使用双哈希链构建假名，使得作废一个车辆身份的通信开销与该车持有的假名和部分签名私钥数目无关，并且车辆用户利用一个授权可以更新多个部分签名私钥，减轻了权威机构(TA)和路边单元(RSU)的负担；在出现有争议的签名的消息时，TA可以根据车辆上传对该消息的再次签名区分该签名是否是由RSU伪造，解决了分布式环境下的不可否认性问题。本发明具有较高的安全性和较低的开销，适用于节点高速移动、拓扑结构易变和规模庞大的VANET网络。

Description

一种基于可控隐私的车联网分布式认证方法

技术领域

本发明涉及车载网络通信安全领域，特别是一种基于可控隐私的车联网分布式认证方法。

背景技术

车载自组网是移动自组网和传感器技术在交通领域的具体应用,它可以大大减少道路交通安全事故的发生，提高道路通行效率以及提供信息服务。车载自组网采用专用短程通信,支持车与车之间的通信V2V以及车与路边单元相互通信V2I两种通信模式，来构建一个自组织的、分布式的、部署方便、结构开放的车辆间通信网络。

车载网的部署和实施有着巨大的社会和经济效益，近年来引起了工业界和学术界的高度关注，产生了许多重要的研究成果。但是这项技术的发展也面临着许多挑战，主要是确保消息的完整性和可认证性的同时，保护好司乘人员的隐私和满足实时处理的要求。由于不法分子和自私人员可能会利用车载网传播伪造消息来满足自己的需要，所以必须使用数字签名机制确保传输的信息来自于真实可靠的车辆；但是这些消息通常包括车辆的位置、方向和时间等，被他人获知后会威胁司乘人员的隐私，所以要实现匿名认证；而在分布式身份认证环境中，要实现对出现争议的消息可追踪性就必须满足消息签名的不可否认性。

为了解决这些问题，已经有许多代表性的研究成果。Raya M等最早建议车载自组网内采用别名验证机制。车辆向CA申请大量证书并储存在车上，CA存储真实身份与别名的关系。Armknecht F等研究了别名机制下的路由策略，在保护隐私和维持路由稳定性之间进行综合考虑。Fischer L等指出如果攻击者可以入侵CA，别名机制就丧失了隐私保护的效果。为此，作者建议车辆采用盲签名从多个CA申请别名，这大大提高了隐私泄露的门槛。但该方案生成但个别名开销太大，而且无法单个作废恶意车辆的别名。上述的别名机制都是集中授权方式，即一次获取大量的别名证书。这样，大大加重了证书管理中心的负担，而且作废一个车辆要将其持有的证书全部作废，这意味着相当大的作废开销。

针对别名机制，减少车辆携带的别名数目是降低作废开销的有效方法。Bellur等建议采用分布式证书管理模式，允许车辆在正常行进过程中通过RSU更新别名。将整个区域划分成若干子区域，每个别名证书只能在一个子区域使用。这样作废某个成员就只需要通告它拥有别名所在的子区域。Lu等提出的ECPP方案减少了作废列表的无线传播开销和普通车辆的存储开销。Wasef等提出车辆可以按需从RSU申请证书，而且作者在研究中降低了RSU的信任等级，认为RSU是半可信的，但该方案的不足在于恢复恶意车辆身份的代价较大。Priya等提出了GAP方案，该方案使用群签名和批量认证，但是没有达到分布式坏境下的不可否认性，该方案中车辆可以反诉RSU伪造签名。

发明内容

本发明的目的在于一种基于可控隐私的车联网分布式认证方法，降低RSU计算开销和通信开销,减轻TA和RSU的负担，解决分布式环境下的发送方不可否认性问题，从而实现车载网中的安全和高效率的分布式匿名认证。

为了解决以上技术问题，本发明采用基于权威机构发放的秘密值和RSU处获得的部分签名私钥的签名方案，提出了基于可控隐私的车联网分布式认证方法具体技术方案如下：

一种基于可控隐私的车联网分布式认证方法，其特征在于包含以下步骤：

步骤一，***初始化：权威机构选取公共参数，为RSU和车辆进行登记注册；

步骤二，假名和部分签名私钥更新：权威机构认证车辆的身份，为车辆发放部分签名私钥请求证书，所述车辆根据部分签名私钥请求证书从RSU处获取一批相应的部分签名私钥；

步骤三，消息签名：车辆利用权威机构发放的秘密值和RSU处获得的部分签名私钥对消息进行签名，得到签名的消息；所述消息签名同时采用了权威机构发放的秘密值和RSU发放的部分签名私钥；

步骤四，签名的消息认证：车辆根据接收到的别的车辆发送签名的消息，对签名的消息进行认证；

步骤五，真实身份的追踪与撤销：签名的消息出现争议时，权威机构根据签名的消息追踪到车辆的真实身份，并将所述车辆身份撤销。

所述步骤一进一步具体为：

过程一，权威机构选择一个大素数p，选择两个常数a,b∈Z_p使得4a³+27b²≠0 mod p，定义Z_p上的椭圆曲线E：y²＝x³+ax+b由一个基于同余式y²＝x³+ax+b mod p的解集和一个无穷远点O组成，设P是E上阶为素数q的一个点，TA选择一个随机数作为***主密钥，计算***公钥PK_TA＝SK_TAP∈G，再选择两个Hash函数和一个安全的加密算法Enc_k()，最后TA公布***参数(q,P,G,H₁,H₂,Enc_k())；

过程二，在车辆注册时，TA给车辆V_i分配一个真实身份RID_i∈G，以及一个传统的公私钥对其中最后TA为V_i选择两个哈希链的种子和l是两个哈希链的种子生成假名的个数，并且存储真实身份与哈希链种子的映射关系；

过程三，TA为每个RSU选择一个随机数作为RSU的私钥，并计算作为RSU的公钥，最后将R_i＝(RSU_i||L_i)，和安全的传送给RSU，其中L_i是RSU的位置信息，从而得到证书 ${\mathrm{Cert}}_{\mathrm{TA},R_i}=(R_i,{\mathrm{PK}}_{R_i},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(R_i,{\mathrm{PK}}_{R_i})).$

所述步骤二进一步具体为以下过程：

过程一，当车辆V_i进入RSU时，车辆V_i选择一个随机数r'，然后通过RSU将发送给TA，r'是用来防止敌手收集信息，从而得到该车辆经过哪些RSU；TA解密消息X，检查RID_i是否在撤销链表中；每个RSU内车辆V_i一次需要更新的假名数量是固定的，在R_i内需要更新的数量为

TA为车辆生成部分签名私钥请求证书：首先TA通过查找存储单元，计算车辆V_i已经更新的假名数量为m，此处TA判断是否成立，如果成立TA随机选取并计算然后将t_stamp，和和用车辆V_i的传统公钥加密生成消息 $Y={\mathrm{Enc}}_{{\mathrm{PK}}_{V_i}}(U_i^1,t_{\mathrm{stamp}},x_{V_i},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1})),$ 通过RSU发送Y给V_i，否则TA为车辆V_i重新选取哈希链种子，TA将加入自身的存储空间以及更新此处TA选取加入部分签名私钥请求证书，目的是使得在出现有争议的签名的消息时，能够分辨签名的消息的来源，达到不可否认性；

过程二，车辆V_i接收到加密信息Y后，用车辆V_i的传统私钥解密Y，得到U₁，t_stamp，和验证TA签名的有效性，如果签名有效，V_i将和部分签名私钥请求证书 $Z=(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-m-n_{R_i}+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-m-n_{R_i}+1}))$ 存在自身的存储空间，V_i等待从RSU处获得签名私钥；

过程三，RSU定期地广播证书 如果是合法的，车辆V_i选取一个随机数并计算对称密钥和解密因子然后，V_i向RSU发送请求消息RSU计算对称密钥并解密W，然后验证时间戳t_stamp的新鲜性，以及签名的有效性；如果验证通过，RSU计算假名PID_i,j，

$\left\{\begin{array}{c}{S}_{V_i}^{1,m+j}=h^{m+j}\left({\mathrm{SD}}_{V_i}^1\right),\\ S_{V_i}^{2,l-j-m+1}=h^{l-j-m+1}\left({\mathrm{SD}}_{V_i}^2\right),\\ {\mathrm{PID}}_{i,j}=h(S_{V_i}^{1,j+m}\⊕S_{V_i}^{2,l-j-m+1})(1\≤j\≤n_{R_i}).\end{array}\right.---\left(1\right),$

对应于每个假名RSU选取计算 $U_{i,j}^2=r_{i,j}P,U_{i,j}=U_i^1+U_{i,j}^2;$ 令其中Δt_i,j是部分签名私钥使用的时间窗口；计算 $d_{{\mathrm{PID}}_{i,j}}=r_{i,j}+h_{i,j}{\mathrm{SK}}_{R_i}\mathrm{mod}q,$ RSU把 $\mathrm{\Ψ}={\mathrm{Enc}}_{{\mathrm{\φ}}^{\′}}(U_{i,j},d_{{\mathrm{PID}}_{i,j}},{\mathrm{\Δt}}_{i,j},(1\≤j\≤n_{R_i}))$ 发送给车辆V_i，RSU将加入自身的存储空间；

过程四，车辆V_i接受到消息Ψ后，用φ解密后得到U_i,j，Δt_i,j，并根据公式(1)计算假名，最终存储n_Ri个四元组(PID_i,j，U_i,j，Δt_i,j)用于消息签名。

所述步骤三进一步具体为以下过程：

对于消息M∈{0，1}^*，车辆签名如下：

过程一，随机选取计算R_i,j＝k_i,jP；

过程二，令 $e_{i,j}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j});$

过程三，计算 $v_{i,j}=k_{i,j}+e_{i,j}(d_{{\mathrm{PID}}_{i,j}}+x_{V_i});$

则δ_i＝(U_i,j,e_i,j,v_i,j)就是车辆V_i以假名PID_i,j对消息M_i的签名。

所述步骤四进一步具体为：

验证算法：一旦收到签名的消息(PID_i,j，M_i，Δt_i,j，δ_i)，验证者进行如下操作：

过程一，计算 $h_{i,j}=H_1({\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j});$

过程二，计算 $R_{i,j}^{\′}=v_{i,j}P-e_{i,j}(U_{i,j}+h_{i,j}{\mathrm{PK}}_{R_i});$

过程三，最后计算 $e_{i,j}^{\′}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j}^{\′});$

当且仅当e′_i,j＝e_i,j时，验证者接受签名的消息。

所述步骤五进一步具体为：

当出现一个有争议的签名的消息的时候，根据车辆V_i的假名PID_i,j，TA从自身的存储空间中搜索存储的PID_i,j对应的真实身份，得到车辆V_i的真实身份RID_i，TA一旦获得RID_i，就可很容易地撤销V_i，主要包含两个过程；

过程一，将RID_i加入撤销链表(CRL)，V_i不能从TA处获得新的部分签名私钥请求证书，RSU不再为车辆V_i分发部分签名私钥

过程二，首先，撤销V_i所获得的尚未过期的假名以及部分签名私钥，TA根据自身的存储空间查找到当前车辆V_i获得假名与部分签名私钥的RSU；然后，TA将发送给RSU，RSU将C加上RSU的签名广播给RSU所在区域的所有的车辆用户；最后，第三方在收到C后，第三方根据公式(1)计算撤销车辆目前持有的有效的假名PID_i,j，第三方把PID_i,j加到时间窗口Δt_i,j内的本地CRL中。

本申请具有有益效果。本申请提出了一种基于可控隐私的车联网分布式认证方法，该申请使用双哈希链构建假名，在保持匿名性的基础上，使得作废一个车辆身份的通信开销与该车持有的假名和部分签名私钥数目无关，并且用户利用一个授权可以更新多个部分签名私钥，减轻了TA和RSU的负担；由于在签名私钥的分发时，RSU是根据部分签名私钥请求证书生成部分签名私钥，所以在出现有争议消息时，TA可以根据车辆上传对该消息再次签名区分该签名是否是由RSU伪造，解决了分布式环境下的不可否认性问题。此外，该申请，无论在部分签名私钥的分发，签名过程以及认证过程都不需要昂贵的对运算，签名认证只需要三个点乘操作，大幅度提高了认证速度，非常适用于VANET网络。

附图说明

图1为本发明实施例提供的基于可控隐私的车联网分布式认证方法的流程图。

图2为本发明实施例提供的假名和部分签名私钥更新的流程图。

图3为本发明实施例提供的消息签名的流程图。

图4为本发明实施例提供的消息认证的流程图。

图5为本发明实施例提供的身份撤销的流程图。

具体实施方式

如图1所示，本发明共有5个步骤，分别为：

(1)***初始化：权威机构选取公共参数，为RSU和车辆进行登记注册；

(2)假名和部分签名私钥更新：权威机构认证车辆的身份，为车辆发放签名私钥请求证书，所述车辆根据签名私钥请求证书从RSU处获取一批相应的签名私钥；

(3)消息签名：车辆利用权威机构发放的秘密值和RSU处获得的签名私钥对消息进行签名；

(4)签名的消息认证：车辆根据接收到的别的车辆发送签名的消息，对签名的消息进行认证；

(5)真实身份的追踪与撤销：签名的消息出现争议时，权威机构根据签名的消息追踪到车辆的真实身份，并将所述车辆身份撤销。

下面结合具体实施例和附图对本发明进行进一步说明。

(1)初始化***：权威机构选取公共参数，为RSU和车辆进行登记注册；

步骤1.1：所述权威机构，选择一个大素数p，选择两个常数a,b∈Z_p使得4a³+27b²≠0 mod p，定义Z_p上的椭圆曲线E：y²＝x³+ax+b由一个基于同余式y²＝x³+ax+b mod p的解集和一个无穷远点O组成，设P是E上阶为素数q的一个点。

步骤1.2：TA选择一个随机数作为***主密钥，计算***公钥PK_TA＝SK_TAP∈G，再选择两个Hash函数和一个安全的加密算法Enc_k()，最后TA公布***参数(q,P,G,H₁,H₂,Enc_k())；

步骤1.3：在车辆注册时，TA给车辆V_i分配一个真实身份RID_i∈G，以及一个传统的公私钥对其中最后TA为V_i选择两个哈希链的种子和假设每两个哈希链的种子用来生成l个假名，并且存储真实身份与哈希链种子的映射关系；

步骤1.4：TA为每个RSU选择一个随机数作为RSU的私钥，并计算作为RSU的公钥，最后将R_i＝(RSU_i||L_i)，和安全的传送给RSU，其中L_i是RSU的位置信息，可得证书 ${\mathrm{Cert}}_{\mathrm{TA},R_i}=(R_i,{\mathrm{PK}}_{R_i},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(R_i,{\mathrm{PK}}_{R_i})).$

(2)假名和部分签名私钥更新：如图2所示，权威机构认证车辆的身份，为车辆发放签名私钥请求证书，所述车辆根据签名私钥请求证书从RSU处获取一批相应的签名私钥，共有18个步骤。

步骤2.1：当车辆V_i进入RSU时，车辆V_i选择一个随机数r'，然后通过RSU将发送给TA。

步骤2.2：TA解密消息X，检查RID_i是否在撤销链表中；RID_i如果不在撤销链表中，至步骤2.3，否则至步骤2.17。

步骤2.3：TA通过查找存储单元，计算车辆V_i已经更新的假名数量为m，此处TA判断是否成立，如果成立至步骤2.4，否则至步骤2.5。

步骤2.4：TA随机选取并计算TA生成消息 $Y={\mathrm{Enc}}_{{\mathrm{PK}}_{V_i}}(U_i^1,t_{\mathrm{stamp}},x_{V_i},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1})),$ 通过RSU发送Y给V_i，至步骤2.6。

步骤2.5：TA为车辆V_i重新选取哈希链种子，至步骤2.3。

步骤2.6：TA将加入自身的存储空间以及更新 $(R_i,S_{V_i}^{1,m+n_{R_i}+1},$ $S_{V_i}^{2,l-m-n_{R_i}+1}).$

步骤2.7：车辆V_i接收到加密信息Y后，用车辆V_i的传统私钥解密Y，得到U₁，t_stamp，和验证TA签名的有效性，如果TA签名有效至步骤2.8。否则至步骤2.1。

步骤2.8：V_i存储秘密值和部分签名私钥请求证书

$Z=(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-m-n_{R_i}+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-m-n_{R_i}+1})).$

步骤2.9：RSU定期地广播证书 ${\mathrm{Cert}}_{\mathrm{TA},R_i}=(R_i,{\mathrm{PK}}_{R_i},$ ${\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(R_i,{\mathrm{PK}}_{R_i})).$

步骤2.10：V_i验证是合法性。如果证书是合法的至步骤2.11，否则至步骤2.17。

步骤2.11：车辆V_i选取一个随机数并计算对称密钥和解密因子然后，V_i向RSU发送请求消息

步骤2.12：RSU计算对称密钥并解密W，然后验证时间戳t_stamp的新鲜性，以及签名的有效性；如果验证通过，至步骤2.13，否则至步骤2.17。

步骤2.13：RSU计算假名PID_i,j，

$\left\{\begin{array}{c}{S}_{V_i}^{1,m+j}=h^{m+j}\left({\mathrm{SD}}_{V_i}^1\right),\\ S_{V_i}^{2,l-j-m+1}=h^{l-j-m+1}\left({\mathrm{SD}}_{V_i}^2\right),\\ {\mathrm{PID}}_{i,j}=h(S_{V_i}^{1,j+m}\⊕S_{V_i}^{2,l-j-m+1})(1\≤j\≤n_{R_i}).\end{array}\right.---\left(1\right),$

步骤2.14：对应于每个假名RSU选取计算 $U_{i,j}=U_i^1+U_{i,j}^2;$ 令 $h_{i,j}=H_1({\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},{\mathrm{\Δt}}_{i,j},U_{i,j}),$ 其中Δt_i,j是部分签名私钥使用的时间窗口；计算 $d_{{\mathrm{PID}}_{i,j}}=r_{i,j}+h_{i,j}{\mathrm{SK}}_{R_i}\mathrm{mod}q.$

步骤2.15：RSU把 $\mathrm{\Ψ}={\mathrm{Enc}}_{{\mathrm{\φ}}^{\′}}(U_{i,j},d_{{\mathrm{PID}}_{i,j}},{\mathrm{\Δt}}_{i,j},(1\≤j\≤n_{R_i}))$ 发送给车辆V_i，RSU将(t_stamp)加入自身的存储空间；

步骤2.16：车辆V_i接受到消息Ψ后，用φ解密后得到U_i,j，Δt_i，j，并根据上面公式(1)计算假名，最终存储个四元组(PID_i,j，U_i,j，Δt_i,j)用于消息签名。至步骤2.18。

步骤2.17：协议终止。

步骤2.18：假名和部分签名私钥更新结束。

至此假名和部分签名私钥更新结束，所述握手协议中攻击者通过网络监听窃取到的消息，因为没有解密秘钥不能解密得到消息的内容，保证了消息的机密性，每个消息都带有各自的签名保证了消息不被篡改。

(3)消息签名：所述消息签名特征在于签名同时采用了权威机构发放的秘密值和RSU发放的签名私钥，如图3所示，共有3个步骤。

对于消息M_i∈{0,1}^*，车辆签名如下：

步骤3.1：车辆随机选取计算R_i,j＝k_i,jP；

步骤3.2：车辆令 $e_{i,j}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j});$

步骤3.3：车辆计算 $v_{i,j}=k_{i,j}+e_{i,j}(d_{{\mathrm{PID}}_{i,j}}+x_{V_i});$

则δ_i＝(U_i,j,e_i,j,v_i,j)就是车辆V_i以假名PID_i,j对消息M_i的签名。

至此消息签名结束，所述签名方法不可以伪造，因为该方法的签名既需要秘密值又需要部分签名私钥。即使RSU被攻击后，进行伪造签名，也可以追溯消息的来源，只要车辆对消息产生两个签名，TA就能够判定消息是否是RSU伪造。并且该方法实用假名通信，假名每次只是用一次，很好地达到了身份匿名性和轨迹不可跟踪性。

(4)消息认证：如图4所示，车辆根据接收到的别的车辆发送签名的消息，对签名的消息进行认证；

验证算法：一旦收到签名的消息(PID_i,j，M_i，Δt_i,j，δ_i)，验证者进行如下操作：

步骤4.1：验证者计算 $h_{i,j}=H_1({\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j});$

步骤4.2：验证者计算 $R_{i,j}^{\′}=v_{i,j}P-e_{i,j}(U_{i,j}+h_{i,j}{\mathrm{PK}}_{R_i});$

步骤4.3：最后验证者计算 $e_{i,j}^{\′}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j}^{\′});$

步骤4.4：如果e′_i,j＝e_i,j时，验证者接受签名的消息，否则丢弃该消息。

至此，签名的消息认证结束，所述认证方法，只需要三个点乘的时间，不需要昂贵的对运算，认证效率非常高。

(5)真实身份的追踪与撤销：如图5所示，签名的消息出现争议时，权威机构根据签名的消息追踪到车辆的真实身份，并将所述车辆身份撤销。

步骤5.1：TA将RID_i加入撤销链表(CRL)。

步骤5.2：TA根据自身的存储空间查找到当前车辆V_i获得假名与部分签名私钥的RSU。

步骤5.3：TA将发送给RSU。

步骤5.4：RSU将C加上RSU的签名广播给RSU所在区域的所有的车辆用户。

步骤5.5：第三方在收到C后，第三方可以根据公式(1)计算撤销车辆目前持有的有效的假名PID_i,j，第三方把PID_i,j加到时间窗口Δt_i,j内的本地CRL中。

Claims (6)

1.一种基于可控隐私的车联网分布式认证方法，其特征在于包含以下步骤：

步骤一，***初始化：权威机构选取公共参数，为RSU和车辆进行登记注册；

步骤二，假名和部分签名私钥更新：权威机构认证车辆的身份，为车辆发放部分签名私钥请求证书，所述车辆根据部分签名私钥请求证书从RSU处获取一批相应的部分签名私钥；

步骤三，消息签名：车辆利用权威机构发放的秘密值和RSU处获得的部分签名私钥对消息进行签名，得到签名的消息；所述消息签名同时采用了权威机构发放的秘密值和RSU发放的部分签名私钥；

步骤四，签名的消息认证：车辆根据接收到的别的车辆发送签名的消息，对签名的消息进行认证；

步骤五，真实身份的追踪与撤销：签名的消息出现争议时，权威机构根据签名的消息追踪到车辆的真实身份，并将所述车辆身份撤销。

2.根据权利要求1所述的一种基于可控隐私的车联网分布式认证方法，其特征在于所述步骤一进一步具体为：

过程一，权威机构选择一个大素数p，选择两个常数a,b∈Z_p使得4a³+27b²≠0 mod p，定义Z_p上的椭圆曲线E：y²＝x³+ax+b由一个基于同余式y²＝x³+ax+b mod p的解集和一个无穷远点O组成，设P是E上阶为素数q的一个点，TA选择一个随机数作为***主密钥，计算***公钥PK_TA＝SK_TAP∈G，再选择两个Hash函数和一个安全的加密算法Enc_k()，最后TA公布***参数(q,P,G,H₁,H₂,Enc_k())；

过程二，在车辆注册时，TA给车辆V_i分配一个真实身份RID_i∈G，以及一个传统的公私钥对其中最后TA为V_i选择两个哈希链的种子和l是两个哈希链的种子生成假名的个数，并且存储真实身份与哈希链种子的映射关系；

过程三，TA为每个RSU选择一个随机数作为RSU的私钥，并计算作为RSU的公钥，最后将R_i＝(RSU_i||L_i)，和安全的传送给RSU，其中L_i是RSU的位置信息，从而得到证书 ${\mathrm{Cert}}_{{\mathrm{TA},R}_i}=(R_i,{\mathrm{PK}}_{R_i},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(R_i,{\mathrm{PK}}_{R_i})).$

3.根据权利要求1所述的一种基于可控隐私的车联网分布式认证方法，其特征在于所述步骤二进一步具体为以下过程：

过程一，当车辆V_i进入RSU时，车辆V_i选择一个随机数r'，然后通过RSU将发送给TA，r'是用来防止敌手收集信息，从而得到该车辆经过哪些RSU；TA解密消息X，检查RID_i是否在撤销链表中；每个RSU内车辆V_i一次需要更新的假名数量是固定的，在R_i内需要更新的数量为

TA为车辆生成部分签名私钥请求证书：首先TA通过查找存储单元，计算车辆V_i已经更新的假名数量为m，此处TA判断是否成立，如果成立TA随机选取并计算然后将t_stamp，和和用车辆V_i的传统公钥加密生成消息 $Y={\mathrm{Enc}}_{{\mathrm{PK}}_{V_i}}(U_i^1,t_{\mathrm{stamp}},x_{V_i},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-n_{R_i}-m+1})),$ 通过RSU发送Y给V_i，否则TA为车辆V_i重新选取哈希链种子，TA将加入自身的存储空间以及更新此处TA选取加入部分签名私钥请求证书，目的是使得在出现有争议的签名的消息时，能够分辨签名的消息的来源，达到不可否认性；

过程二，车辆V_i接收到加密信息Y后，用车辆V_i的传统私钥解密Y，得到U₁，和验证TA签名的有效性，如果签名有效，V_i将和部分签名私钥请求证书 $Z=(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-{m-n}_{R_i}+1},{\mathrm{SIG}}_{{\mathrm{SK}}_{\mathrm{TA}}}(U_i^1,t_{\mathrm{stamp}},S_{V_i}^{1,m+1},S_{V_i}^{2,l-m-n_{R_i}+1}))$ 存在自身的存储空间，V_i等待从RSU处获得签名私钥；

过程三，RSU定期地广播证书 如果是合法的，车辆V_i选取一个随机数并计算对称密钥和解密因子然后，V_i向RSU发送请求消息RSU计算对称密钥并解密W，然后验证时间戳t_stamp的新鲜性，以及签名的有效性；如果验证通过，RSU计算假名PID_i,j，

$\left\{\begin{array}{c}{S}_{V_i}^{1,m+j}=h^{m+j}\left({\mathrm{SD}}_{V_i}^1\right),\\ S_{V_i}^{2,l-j-m+1}=h^{l-j-m+1}\left({\mathrm{SD}}_{V_i}^2\right),\\ {\mathrm{PID}}_{i,j}=h(S_{V_i}^{1,j+m}\⊕S_{V_i}^{2,l-j-m+1})(1\≤j\≤n_{R_i}).\end{array}\right.---\left(1\right),$

对应于每个假名RSU选取计算令其中Δt_i,j是部分签名私钥使用的时间窗口；计算 $\begin{array}{ccc}{d}_{{\mathrm{PID}}_{i,j}}=r_{i,j}+h_{i,j}{\mathrm{SK}}_{R_i}& \mathrm{mod}& q\end{array},$ RSU把 $\mathrm{\Ψ}={\mathrm{Enc}}_{{\mathrm{\φ}}^{\′}}(U_{i,j},d_{{\mathrm{PID}}_{i,j}},{\mathrm{\Δt}}_{i,j},(1\≤j\≤n_{R_i}))$ 发送给车辆V_i，RSU将加入自身的存储空间；

过程四，车辆V_i接受到消息Ψ后，用φ解密后得到U_i,j，Δt_i,j，并根据公式(1)计算假名，最终存储个四元组 用于消息签名。

4.根据权利要求1所述的一种基于可控隐私的车联网分布式认证方法，其特征在于所述步骤三进一步具体为以下过程：

对于消息M_i∈{0,1}^*，车辆签名如下：

过程一，随机选取计算R_i,j＝k_i,jP；

过程二，令 $e_{i,j}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j});$

过程三，计算 $v_{i,j}=k_{i,j}+e_{i,j}(d_{{\mathrm{PID}}_{i,j}}+x_{V_i});$

则δ_i＝(U_i,j,e_i,j,v_i,j)就是车辆V_i以假名PID_i,j对消息M_i的签名。

5.根据权利要求1所述的一种基于可控隐私的车联网分布式认证方法，其特征在于所述步骤四进一步具体为：

验证算法：一旦收到签名的消息(PID_i,j，M_i，Δt_i,j，δ_i)，验证者进行如下操作：

过程一，计算 $h_{i,j}=H_1({\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j});$

过程二，计算 $R_{i,j}^{\′}=v_{i,j}P-e_{i,j}(U_{i,j}+h_{i,j}{\mathrm{PK}}_{R_i});$

过程三，最后计算 $e_{i,j}^{\′}=H_2(M_i,{\mathrm{PID}}_{i,j},{\mathrm{PK}}_{R_i},U_{i,j},R_{i,j}^{\′});$

当且仅当e′_i,j＝e_i,j时，验证者接受签名的消息。

6.根据权利要求1所述的一种基于可控隐私的车联网分布式认证方法，其特征在于所述步骤五进一步具体为：

当出现一个有争议的签名的消息的时候，根据车辆V_i的假名PID_i,j，TA从自身的存储空间中搜索存储的PID_i,j对应的真实身份，得到车辆V_i的真实身份RID_i，TA一旦获得RID_i，就可很容易地撤销V_i，主要包含两个过程；

过程一，将RID_i加入撤销链表(CRL)，V_i不能从TA处获得新的部分签名私钥请求证书，RSU不再为车辆V_i分发部分签名私钥

过程二，首先，撤销V_i所获得的尚未过期的假名以及部分签名私钥，TA根据自身的存储空间查找到当前车辆V_i获得假名与部分签名私钥的RSU；然后，TA将发送给RSU，RSU将C加上RSU的签名广播给RSU所在区域的所有的车辆用户；最后，第三方在收到C后，第三方根据公式(1)计算撤销车辆目前持有的有效的假名PID_i,j，第三方把PID_i,j加到时间窗口Δt_i,j内的RSU所在区域的CRL(本地CRL)中。