CN106713326A

CN106713326A - 一种车载网消息认证协议

Info

Publication number: CN106713326A
Application number: CN201611240906.6A
Authority: CN
Inventors: 熊鹏
Original assignee: Shanghai Dianji University
Current assignee: Shanghai Dianji University
Priority date: 2016-12-28
Filing date: 2016-12-28
Publication date: 2017-05-24

Abstract

本发明提供了一种车载网消息认证协议，车载自组网包括可信认证中心，车载单元和路边单元，所述消息认证协议使用门限代理重签名算法保护车辆隐私信息，将车载通信单元对消息的签名转换为认证中心对同一消息的签名，从而降低根据签名追踪车载单元的风险，实现通信消息的匿名性。通过门限方式将重签名密钥分散至多个路边通信单元进行管理，降低重签名密钥的破译成功率并防止路边通信单元滥用代理签名权。认证中心通过追溯发布虚假消息的真实车辆，解决违规车辆的召回问题。本协议具有较高的安全性和较低的存储开销，具有不可伪造性、强壮性、消息可认证性、抗重放攻击和可追溯性，能很大程度地提高网络成员信息的隐秘性。

Description

一种车载网消息认证协议

技术领域

本发明涉及一种车载网消息认证协议，可应用于无线VANET、传感器网络、ad hoc网络、无线通信等私密保护技术领域。

背景技术

车载自组网(Vehicle Ad hoc Network，VANET)又称自组织交通信息***，是一种快速移动户外通信网络。车载自组网是在智慧交通的背景下，为方便车辆间相互通信而设计的一个移动网络，网内的节点主要由三部分组成，在车辆上面安装的车载单元(On-boardUnit，OBU)、部署在道路两旁或十字路口的路边单元(Road-side Unit，RSU)和负责管理所有OBU和RSU的可信认证中心(Trusted Authority，TA)。车载自组网允许OBU之间或者OBU和RSU之间通过短距离无线通信(Dedicated Short Range Communication，DSRC)方案进行通信。

车载自组网包括2种通信模式：车与车(Vehicle to Vehicle，V2V)通信和车与基础设施Vehicle to Infrastructure，V2I)通信。一方面，车载自组网能够使车辆间相互进行通信。每辆车既可以周期性地广播自己的基本车辆信息，也可以实时播报出现交通事故时的相关消息，这样可以使得其他车辆及时采取对应措施，有效地改善交通状况。另一方面，车载自组网也能够使车辆和路边单元进行通信。RSU不但可以广播其辖区范围内的餐馆、旅馆和加油站等与生活相关的信息，而且能广播道路状况、停车警告和车辆拥堵等与交通相关的信息。

但由于车载自组网是在质量不太稳定的无线信道上进行通信，会受到很多恶意威胁和攻击，比如注入虚假错误的信息、修改或重放以前的信息等，对于车载自组网上大量存在的隐私信息而言，这些威胁和攻击会成为车载自组网的安全隐患。因此，如何保证车载自组网的安全和隐私是近年来一个急需解决的重要问题。

针对车载自组网消息认证的研究是近年来信息安全研究的一个热点，尤其是2005年以来出现了一些具有代表性的研究成果。Raya M，Hubaux Ｊ P等(Raya M，Hubaux ＪP.Securing vehicular ad hoc networks[Ｊ].Ｊournal of Computer Security，2007.151：39-68.)提出一个关于VANET消息认证的经典方案HAB，为了实现发送消息的匿名性，交通管理中心事先在车辆上装载大量私钥及其对应的匿名证书，车辆在发送消息时每次随机选取一个匿名证书，然后对发送的消息用其对应的私钥进行签名。但HAB中的证书分发、管理和存储的代价过高，导致HAB的实用性弱。为了改进HAB方案的不足，Lin Xiaodong，Sun Xiaoting等(Xiaodong Lin，Xiaoting Sun，Xiaoyu Wang，Chenxi Zhang，Pin-Han Ho，Xuemin Shen：TSVC：timed efficient and secure vehicular communications withprivacy preserving.IEEE Trans.Wireless Communications 7(12-1)：4987-4998(2008))利用群签名提出一个新的VANET消息认证方案GSB，给每辆车预先分配一个群私钥，并对发送的消息用群私钥进行签名，消息验证者虽然可以验证消息的正确性，却不知道该消息的真正签名者。如果事后出现纠纷，可信第三方可以借助群管理员来追溯签名者的真实身份。但在GSB方案中需要频繁更换群密钥才能撤销车辆身份，其代价过大。LuRongxing，Lin Xiaodong等(Rongxing Lu，Xiaodong Lin，Haojin Zhu，Pin-Han Ho，XueminShen：ECPP：Efficient Conditional Privacy Preservation Protocol for SecureVehicular Communications.INFOCOM 2008：1229-1237)提出的ECPP方案中，通过认证的合法RSU向合法的OBU发放仅适用于该RSU区域的路上(on-the-fly)短期群成员证书，这样可以为交通管理中心分担部分工作，提升***整体的效率。而且如果交通肇事者逃逸，由于RSU保留了路上短期证书与UWＪ的对应关系，交通管理中心可以直接追查肇事者。但是ECPP依赖于RSU的可信度，应用场景相对比较小。为了降低RSU的可信度，杨涛、胡建斌等(杨涛，胡建斌，陈钟一种可追溯的车载自组网隐私保护认证协议[J]计算机工程2013，35(20)：176-183)提出一个基于代理重签名的VANET消息认证方案，可信认证中心(TA)授权RSU做一个半可信的代理者，将OBU签名的消息进行代理重签名，这样不但可以保护原始签名者OBU的基本信息，而且事后出现纠纷，由TA和RSU合作可以得到消息签名者的真实身份。但该方案依赖于RSU的可靠性，若RSU是不诚实的或者被攻击者恶意攻击并控制，将导致隐私信息泄露、密钥丢失等严重后果。

发明内容

本发明要解决的技术问题是提供一种安全性高、隐私性好且存储开销低的车载自组网认证协议。

为了解决上述技术问题，本发明的技术方案是提供一种车载网消息认证协议，其特征在于：车载自组网包括可信认证中心TA，车载单元OBU和路边单元RSU，所述消息认证协议如下：

一、定义

1.1双线性映射

设G₁和G₂为两个阶为素数q的循环群，双线性映射e：G₁X G₁→G₂满足以下性质：

(1)双线性：对任意g，h∈G₁和a，b∈Z_q ^*＝(0，1，2，...q-1)，Z_q ^*表示整数集，有e(g^a，h^b)＝e(g，h)^ab成立；(2)非退化性：存在g，h∈G₁，使得e(g，h)≠1，其中″1″&为G₂中的单位元；

(3)可计算性：对于所有的g，h∈G₁，存在有效的算法计算e(g，h)；

1.2离散对数问题

设p是一个大素数，G是一个阶为p的循环群，g是G的一个生成元，群G上的离散对数问题DLP为给定(g，g^a)∈G，计算a∈Z_p＝(0，1，2，...q-1)；Z_p表示整数集，若没有一个概率多项式时间算法能够在t时间内以至少ε的概率解决群G上的DLP问题，则称群G上的(t，ε)-DLP假设成立；

1.3 Shamir秘密共享方案

Shamir秘密共享方案的思想是将秘密信息分割成若干份，在多个存在协作关系的参与者之间进行容错式分散，以保护秘密信息；具体方案如下：

(1)秘密分发阶段：设p是一个大素数，s∈Z_p ^*是分发给n个成员U_i(i＝1，2，3...，n)的秘密信息，n为正整数；随机选取t-1个元素a₁，a₂，...，a_t-1∈Z_p ^*，t为不小于1的正整数，构造函数F(x)＝s+a₁x+a₂x²+...+a_t-1x^t-1，计算秘密份额X_i＝F(i)，并将(i，X_i)发送给第i个成员U_i；

(2)秘密恢复阶段：设集合且|Ψ|≥t，则函数其中，是拉格朗日插值系数，整形变量j∈Ψ；任意t个合法的成员U_i，利用自己的秘密份额X_i恢复出秘密

1.4门限代理重签名

一个门限代理重签名方案是一个由概率多项式时间算法构成的五元组{Keygen，Rekey，Sign，Resign，Verify}；

(1){Keygen，Sign，Verigy}是标准签名算法中的秘钥生成、签名生成和验证算法；

(2)给定一个受托者的公钥/私钥对(pk_A，sk_A)和一个委托者的公钥/私钥对(pk_B，sk_B)，重签名密钥生成算法Rekey生成受托者和委托者之间的重签名密钥rk_A→B，然后将rk_A→B分割成n个子密钥rkⁱ _A→B分发给n个代理者秘密保管；

(3)重签名生成算法Resign由以下两部分组成：

3.1)部分重签名生成算法：给定一个重签名子密钥rkⁱ _A→B、一个公钥pk_A、一个消息m和签一个名σ_A，首先验证σ_A的合法性，如果Verigy(pk_A，m，σ_A)＝1，，Verify()表示做认证运算，则输出消息m的一个部分重签名σ_B，i；否则，输出⊥；

3.2)门限重签名生成算法：给定t个诚实代理者对消息m的部分重签名σ_B，i输出一个对应于公钥pk_B的消息m的门限重签名σ_B；

二、协议

2.1***建立

可信认证中心TA选择两个阶为同一素数p的循环群G₁和G₂，g是G₁的一个生成元；引入双线性映射e：G₁×G₁→G₂和抗碰撞Hash函数H：{0，1}^*→G；选择一个公钥密码体制，设Enc()和Dec()分别表示对应的加密算法和解密算法，公开***参数param：＝{G₁，G₂，p，g，H，Enc()，Dec()}；

其中，H：{0，1}^*→G对应法则为：函数H，定义域为{0，1}^*，在循环群G中的映射；

2.2秘钥生成

密钥生成步骤具体如下：

步骤2.2.1：TA的秘钥生成

可信认证中心TA随机选取x_TA∈Z^*作为***私钥，Z^*为整数集，并计算出***公钥

步骤2.2.2：OBU的秘钥生成

设RID是每辆车OBU注册入户时获得的真实标识，生成OBU的公私钥对步骤如下：

2.2.2.1)车辆OBU随机挑选R是下标，1＜R＜p，作为私钥，计算对应的公钥并在OBU的防篡改设备中存储公私钥对(x_OBU，X_OBU)及相关匿名证书；

2.2.2.2)OBU随机选取计算u＝H(g^s||RID)和v＝(s+x_OBUu)，并将消息{X_OBU，RID，u，v}发送给可信认证中心TA；

2.2.2.3)TA收到{X_OBU，RID，u，v}后，验证是否成立；如果等式成立，TA确信{X_OBU，RID}是OBU的合法公钥和真实标识，同时将{X_OBU，RID}保存到追溯表T中；

2.3重签名秘钥生成

给定认证中心TA和车辆OBU的私钥x_TA和x_OBU，一个可信任的分发者D通过如下方式生成TA与OBU之间的重签名秘钥r_k：(1)分发者D首先随机选取t∈Z_p，然后发送t给OBU；(2)OBU利用自己的私钥x_OBU，计算并发送t₁＝x_OBUt(modp)给TA；modp表示对p取模运算；(3)TA利用自己的私钥x_TA，计算并发送t₂＝x_TA/t₁(modp)给分发者D；(4)分发者D利用参数t计算重签名秘钥r_k＝t t₂＝t(x_TA/(x_OBUt))＝x_TA/x_OBU(modp)；

分发者D为了将重签名密钥r_k＝x_TA/x_OBU(modp)分发给n个路边通信单元RSUi(i＝1，2，...，n)，执行如下操作：(1)随机选择t-1个元素a₁，a₂，...，a_t-1∈Z_p ^*；(2)构造函数F(x)＝r_k+a₁x，a₂x²+...+a_t-1x^t-1；(3)计算X_i＝F(i)，并将X_i分发给路边通信单元RSUi(i＝1，2，...，n)作为重签名子密钥

2.4车辆消息签名

车辆OBU发送的消息包含4个域：消息类型ID_type，消息负载Payload，时间戳Timestamp和OBU对前3个域的签名；消息IDtype表示消息的类型；消息负载Payload由车辆位置、方向、速度、交通事件等基本信息组成；时间戳Timestamp标识消息产生的确切时间；假设RSUi定期给其辖区内的OBU广播公钥为了发送消息给路边通信单元RSU_i，车辆OBU执行如下操作：

2.4.1)利用私钥x_OBU，计算消息M＝{ID_type||Payload||Timestamp}的签名σ＝H(M)x_OBU；

2.4.2)选择一个公钥密码体制的加密算法Enc()，利用RSU_i的公钥对(X_OBU，M，σ)进行加密处理，然后将相应的密文(X_OBU，M，σ)发给n个路边单元RSUi(i＝1，2，...，n)；

2.5路边通信单元消息重签名

路边通信单元消息重签名步骤具体如下：

2.5.1)生成部分重签名

路边通信单元RSU_i(i＝1，2，...，n)收到OBU发送的密文消息(X_OBU，M，σ)后，首先利用自己的重签名子密钥对其进行解密得到明文消息(X_OBU，M，σ)；然后执行如下操作：1)检查等式Verify(X_OBU，M，σ)＝1是否成立，Verify()表示做认证运算；2)验证时间戳是否正确；如果操作1)和操作2)都成立，则计算部分重签名并将Y_i＝(i，M，σ_i，σ，X_OBU)发送到签名的合成者C，其中，C可以是一个指定的路边通信单元；

2.5.2)生成门限重签名

当合成者C收到Y_i时，如果等式成立，则接收OBU发送的消息；否则拒绝Y_i，若合成者C接收了至少t份由不同路边通信单元RSU_i发送的对同一消息M的(i，M，σ_i)，令所有发送了合法信息的路边通信单元RSU_i序号i集合为ψ，验证等式如果该等式不成立，输出上；否则，输出对应于可信认证中心(TA)的签名其中，合成者C按照预定策略将(M，σ’，X_OBU)发送给可信认证中心TA；

2.5.3)TA广播消息

可信认证中心TA收到(M，σ’，X_OBU)后，首先用自己的公钥X_TA对X_OBU进行加密，产生密文然后生成新消息M’＝{M||δ}；最后将给所在区域的所有车辆OBU广播可信消息(M’，σ’)；

2.6消息验证

给定一个公钥X、一个消息M和一个签名δ，验证以下等式是否成立：

e(σ，g)＝e(H(M)，X)

如果上式成立，说明δ是对应于公钥X的消息M的合法签名，输出1；否则，输出0；

2.7虚假身份追溯

如果恶意车辆发布了一个虚假消息可信认证中心TA对消息M’的签名者真实身份的追溯步骤如下：用自己的私钥对M’进行解密计算得到OBU的身份X_OBU；(2)如果等式e(σ′，g)＝e(H(M)，X_OBU)成立，在TA本地存储的追溯表T中查找X_OBU对应的{X_OBU，RID}从而能准确定位追溯到发布消息M’的确切身份RID。

优选地，所述2.2.2.1)中，相关匿名证书由OBU的伪标识PID产生。

本发明针对车载自组网的隐私保护问题，采用秘密共享技术，提出一个VANET消息认证方案-MSBTP。该方案使用门限代理重签名算法保护车辆隐私信息，将车载通信单元对消息的签名转换为认证中心对同一消息的签名，从而降低根据签名追踪车载单元的风险，实现通信消息的匿名性。通过门限方式将重签名密钥分散至多个路边通信单元进行管理，降低重签名密钥的破译成功率并防止路边通信单元滥用代理签名权。认证中心通过追溯发布虚假消息的真实车辆，解决违规车辆的召回问题。与同类方案相比，MSBTP具有较高的安全性和较低的存储开销，能很大程度地提高网络成员信息的隐秘性。

相比现有技术，本发明提供的车载网消息认证协议具有如下有益效果：

1、密钥安全性。通过公钥求解私钥等价于求解离散对数问题，由离散对数困难问题的难解性可知，MSBTP中的任何实体具有密钥安全性。

2、不可伪造性和强壮性。MSBTP的签名算法是基于“门限代理重签名算法”，而该算法已被证明是强不可伪造和强壮的。门限代理重签名不仅降低了对单个路边通信单元RSU的依赖性，还使方案拥有更高的安全性。

3、消息可认证性。可信认证中心TA授权路边通信单元RSU担任半可信的代理者，将OBU对消息的签名转换为TA对消息的签名，隐藏了签名消息的真实身份，消除了根据签名追踪车辆OBU的风险，实现通信消息的匿名性。

4、抗重放攻击。时间戳的应用，不仅可以保证消息的新鲜性，还能有效抵御重放消息攻击。

5、可追溯性。消息的发布者OBU没有参与整个追溯过程中，有效保证了追溯的客观性。所以，MSBTP方案满足消息的可追溯性。

附图说明

图1为车载自组网***模型示意图。

具体实施方式

下面结合具体实施例，进一步阐述本发明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

1.预备知识

1.1双线性映射

设G₁和G₂为2个阶为素数q的循环群，双线性映射e：G₁X G₁→G₂满足以下性质：

(1)双线性：对任意g，h∈G₁和a，b∈Z_q ^*＝(0，1，2，...q-1)；Z_Q表示整数集，有e(g^a，h^b)＝e(g，h)^ab成立。

(2)非退化性：存在g，h∈G₁，使得e(g，h)≠1，其中″1″&为G₂中的单位元。

(3)可计算性：对于所有的g，h∈G₁，存在有效的算法计算e(g，h)。

1.2离散对数问题

设p是一个大素数，G是一个阶为p的循环群，g是G的一个生成元，群G上的离散对数问题(Discrete Logarithm Problem，DLP)为给定(g，g^a)∈G，计算a∈Z_p＝(o，1，2，...p-1)；Z_p表示整数集。若没有一个概率多项式时间算法能够在t时间内以至少ε的概率解决群G上的DLP问题，则称群G上的(t，ε)-DLP假设成立。

1.3 Shamir秘密共享方案

Shamir秘密共享方案的思想是将秘密信息分割成若干份，在多个存在协作关系的参与者之间进行容错式分散，以保护秘密信息。具体方案如下：

(1)秘密分发阶段：设p是一个大素数，s∈Z_p ^*是分发给n个成员U_i(i＝1，2，3...，n)的秘密信息，n为正整数。随机选取t-1个元素a₁，a₂，...，a_t-1∈Z_p ^*，t为不小于1的正整数，构造函数F(x)＝s+a₁x+a₂x²+...+a_t-1x^t-1，计算秘密份额X_i＝F(i)，并将(i，X_i)发送给第i个成员U_i。

(2)秘密恢复阶段：设集合且|Ψ|≥t，则函数其中，是拉格朗日插值系数，整形变量j∈Ψ。任意t个合法的成员U_i，利用自己的秘密份额X_i恢复出秘密

1.4门限代理重签名

一个门限代理重签名方案是一个由概率多项式时间算法构成的五元组(Keygen，Rekey，Sign，Resign，Verify)。

(1)(Keygen，Sign，Verigy)是标准签名算法中的秘钥生成、签名生成和验证算法。

(2)给定一个受托者的公钥/私钥对(pk_A，sk_A)和一个委托者的公钥/私钥对(pk_B，sk_B)，重签名密钥生成算法Rekey生成受托者和委托者之间的重签名密钥rk_A→B，然后将rk_A→B分割成n个子密钥rkⁱ _A→B分发给n个代理者秘密保管。

(3)重签名生成算法Resign由以下两部分组成：

A)部分重签名生成算法：给定一个重签名子密钥rkⁱ _A→B、一个公钥pk_A、一个消息m和签一个名σ_A，首先验证σ_A的合法性，如果Verigy(pk_A，m，σ_A)＝1，Verify()表示做认证运算，则输出消息m的一个部分重签名σ_B，i；否则，输出⊥。

B)门限重签名生成算法：给定t个诚实代理者对消息m的部分重签名σ_B，i输出一个对应于公钥pk_B的消息m的门限重签名σ_B。

2.车载自组网消息认证方案

2.1车载自组网***模型

车载自组网消息认证方案主要包括短距无线通信技术和3个基本角色：可信认证中心TA，车载单元OBU和路边单元RSU。

(1)可信认证中心TA，是对车载自组网中的各节点进行身份认证、证书分发、撤销管理和信息存储。该机构相当于PKI体系中的认证中心CA(Certificate Authority)，由国家或者地区相关交通主管部门根据VANET实际区域进行统一管理。一般而言，该中心需要进行最高级别的安全保障(完善安全制度和安全策略)，并保持与其辖区RSU的安全连接，负责实时监控辖内VANET的行车安全和行车效率。对一个特定的VANET***，TA是最高权威机构。

(2)车载单元OBU，是车载自组网中必备的车辆节点，该节点相当于通信***中的移动终端。在实际***中，所有合法OBU加入VANET都必须到TA进行注册，并预装***公开安全参数和自身相关的密钥材料到一个专用防篡改设备，这个设备只有TA授权机构才能访问操作。OBU的数量视***的覆盖范围而定，对典型的城市场景而言，一般在百万级以上。

(3)路边单元RSU，是车载自组网中的路侧基础设施节点.RSU使得VANET不仅可以单独组网实现局部通信外，还可通过RSU作为接入点的网关，连到后备网络，如Intemet。该节点类似于通信***中的通信基站，比如可以是建立在路边加油站、餐馆、商店等常年固定并且可由人为监管的建筑场所的网络通信设备，简单功能的RSU也可以搭建在路灯、交通指示牌等现有道路基础设施上。通过在关键地域安装部署RSU，交管部门可以利用RSU一方面实时采集车辆的运行情况，提升道路交通管理的现代化和信息化水平；另一方面将道路信息实时广播给行驶的所有车辆，保证信息发布的高效性和安全性。RSU的数量比OBU要少很多(一个RSU辖区可以存在上百个OBU)，对典型的城市场景而言，一般在千级以上。

(4)短距无线通信(DSRC)是智能交通***(ITS)标准体系框架中的一种高效的无线通信基，在此基础上可以实现对交通的智能、实时、动态管理。该方案通过实现车与车、车与路等通信机制，将VANET中各实体有机连接起来，并按上层应用所需实现小范围内图像、语音和数据的准确、可靠和高速的双向传输。各国普遍采用IEEE802.11P标准作为DSRC底层方案。

车载自组网***模型如图1所示。

2.2方案描述

2.2.1***建立

可信认证中心(TA)选择2个阶为同一素数p的循环群G₁和G₂，g是G₁的一个生成元。引入双线性映射e：G₁×G₂→G₂和抗碰撞Hash函数H：{0，1}^*→G(对应法则为函数H，定义域为{0，1}^*在循环群G中的映射)。选择一个公钥密码体制(如RSA，ECC等)，Enc()和Dec()分别表示对应的加密算法和解密算法。公开***参数param：＝{G₁，G₂，p，g，H，Enc()，Dec()}。

2.2.2秘钥生成

密钥生成步骤具体如下：

(1)TA的秘钥生成(TA-Keygen)

可信认证中心TA随机选取x_TA∈Z^*作为***私钥，Z^*整数集。并计算出***公钥

(2)OBU的秘钥生成(OBU-Keygen)

1)车辆OBU随机挑选(R是下标，1＜R＜p)作为私钥，计算对应的公钥并在OBU的专用防篡改设备中存储公私钥对(x_OBU，X_OBU)及相关匿名证书(由OBU的伪标识PID产生)。

2)OBU随机选取计算u＝H(g^s||RID)和v＝(s+x_OBUu)，并将消息{X_OBU，RID，u，v}发送给可信认证中心TA。

3)TA收到{X_OBU，RID，u，v}后，验证是否成立。如果等式成立，TA确信{X_OBU，RID}是OBU的合法公钥和真实标识，同时将{X_OBU，RID}保存到追溯表T中。

2.2.3重签名秘钥生成

给定认证中心TA和车辆OBU的私钥x_TA和x_OBU，一个可信任的分发者D通过如下方式生成TA与OBU之间的重签名秘钥r_k：(1)分发者D首先随机选取t∈Z_p，然后发送t给OBU；(2)OBU利用自己的私钥x_OBU，计算并发送t₁＝x_OBUt(modp)给TA；modp表示对p取模运算；(3)TA利用自己的私钥x_TA，计算并发送t₂＝x_TA/t₁(modp)给分发者D；(4)分发者D利用参数t计算重签名秘钥r_k＝t t₂＝t(x_TA/(x_OBUt))＝x_TA/x_OBU(modp)。

分发者D为了将重签名密钥r_k＝x_TA/x_OBU(modp)分发给n个路边通信单元RSUi(i＝1，2，...，n)执行如下操作：(1)随机选择t-1个元素a₁，a₂，...，a_t-1∈Z_p ^*；(2)构造函数F(x)＝r_k+a₁x，a₂x²+...+a_t-1x^t-1；(3)计算X_i＝F(i)，并将X_i分发给路边通信单元RSUi(i＝1，2，...，n)作为重签名子密钥

2.2.4车辆消息签名

车辆OBU发送的消息包含4个域：消息类型ID_type，消息负载Payload，时间戳Timestamp和OBU对前3个域的签名。消息ID_type表示消息的类型；消息负载Payload由车辆位置、方向、速度、交通事件等基本信息组成；时间戳Timestamp标识消息产生的确切时间，不仅能防止消息的重放攻击，还能避免单一用户多次报告同一事故时被误判为女巫攻击者。假设RSUi定期(如5s)给其辖区内的OBU广播公钥为了发送消息给路边通信单元RSU_i，车辆OBU执行如下操作：

(1)利用私钥x_OBU，计算消息M＝{ID_type||Payload||Timestamp}的签名σ＝H(M)x_OBU。

(2)选择一个公钥密码体制(如RSA，ECC等)的加密算法Enc()，利用RSU_i的公钥对(X_OBU，M，σ)进行加密处理，然后将相应的密文(X_OBU，M，σ)发给n个路边单元RSUi(i＝1，2，...，n)。

2.2.5路边通信单元消息重签名

路边通信单元消息重签名步骤具体如下：

(1)生成部分重签名

路边通信单元RSU_i(i＝1，2，...，n)收到OBU发送的密文消息(X_OBU，M，σ)后，首先利用自己的重签名子密钥对其进行解密得到明文消息(X_OBU，M，σ)。然后执行如下操作：1)检查等式Verify(X_OBU，M，σ)＝1是否成立，Verify()表示做认证运算；2)验证时间戳是否正确。如果操作1)和操作2)都成立，则计算部分重签名并将Y_i＝(i，M，σ_i，σ，X_OBU)发送到签名的合成者C，其中，C可以是一个指定的路边通信单元。

(2)生成门限重签名

当合成者C收到Y_i时，如果等式成立，则接收OBU发送的消息；否则拒绝Y_i，若合成者C接收了至少t份由不同路边通信单元RSU_i发送的对同一消息M的(i，M，σ_i)，令所有发送了合法信息的路边通信单元RSU_i序号i集合为ψ，验证等式如果该等式不成立，输出⊥；否则，输出对应于可信认证中心(TA)的签名其中，合成者C按照预定策略将(M，σ’，X_OBU)发送给可信认证中心TA。

(3)TA广播消息

可信认证中心TA收到(M，σ’，X_OBU)后，首先用自己的公钥X_TA对X_OBU进行加密，产生密文然后生成新消息M’＝{M||δ}。最后将给所在区域的所有车辆OBU广播可信消息(M’，σ’)。

2.2.6消息验证

e(σ，g)＝e(H(M)，X)

如果上式成立，说明δ是对应于公钥X的消息M的合法签名，输出1；否则，输出0。

2.2.7虚假身份追溯

如果恶意车辆发布了一个虚假消息可信认证中心TA对消息M’的签名者真实身份的追溯步骤如下：用自己的私钥对M’进行解密计算得到OBU的身份X_OBU；(2)如果等式e(σ’，g)＝e(H(M)，X_OBU)成立，在TA本地存储的追溯表T中查找X_OBU对应的{X_OBU，RID}从而能准确定位追溯到发布消息M’的确切身份RID。

Claims

1.一种车载网消息认证协议，其特征在于：车载自组网包括可信认证中心TA，车载单元OBU和路边单元RSU，所述消息认证协议如下：

一、定义

1.1 双线性映射

(1)双线性：对任意g，h∈G₁和a，b∈Z_q ^*＝(0，1，2，...q-1)；Z_q表示整数集，有e(g^a，h^b)＝e(g，h)^ab成立；

(2)非退化性：存在g，h∈G₁，使得e(g，h)≠1，其中″1″&为G₂中的单位元；

1.2 离散对数问题

设p是一个大素数，G是一个阶为p的循环群，g是G的一个生成元，群G上的离散对数问题DLP为给定(g，g^a)∈G，计算a∈Z_p＝(0，1，2，...p-1)；Z_p表示整数集；若没有一个概率多项式时间算法能够在t时间内以至少ε的概率解决群G上的DLP问题，则称群G上的(t，ε)-DLP假设成立；

1.3 Shamir秘密共享方案

(2)秘密恢复阶段：设集台且|Ψ|≥t，则函数其中，是拉格朗日插值系数；任意t个合法的成员U_i，利用自己的秘密份额X_i恢复出秘密

1.4 门限代理重签名

(3)重签名生成算法Resign由以下两部分组成：

3.1)部分重签名生成算法：给定一个重签名子密钥rkⁱ _A→B、一个公钥pk_A、一个消息m和签一个名σ_A，首先验证σ_A的合法性，如果Verigy(pk_A，m，σ_A)＝1，则输出消息m的一个部分重签名σ_B，i；否则，输出上；

二、协议

2.1 ***建立

可信认证中心TA选择两个阶为同一素数p的循环群G₁和G₂，g是G₁的一个生成元；引入双线性映射e：G₁×G₂→G₂和抗碰撞Hash函数H：{0，1}^*→G；选择一个公钥密码体制，设Enc()和Dec()分别表示对应的加密算法和解密算法，公开***参数param：＝{G₁，G₂，p，g，H，Enc()，Dec()}；

2.2 秘钥生成

密钥生成步骤具体如下：

步骤2.2.1：TA的秘钥生成

可信认证中心TA随机选取x_TA∈Z^*作为***私钥，并计算出***公钥

步骤2.2.2：OBU的秘钥生成

2.2.2.1)车辆OBU随机挑选作为私钥，计算对应的公钥并在OBU的防篡改设备中存储公私钥对(x_OBU，X_OBU)及相关匿名证书；

2.3 重签名秘钥生成

给定认证中心TA和车辆OBU的私钥x_TA和x_OBU，一个可信任的分发者D通过如下方式生成TA与OBU之间的重签名秘钥r_k：(1)分发者D首先随机选取t∈Z_p，然后发送t给OBU；(2)OBU利用自己的私钥x_OBU，计算并发送t₁＝x_OBUt(modp)给TA；(3)TA利用自己的私钥x_TA，计算并发送t₂＝x_TA/t₁(modp)给分发者D；(4)分发者D利用参数t计算重签名秘钥r_k＝t t₂＝t(x_TA/(x_OBUt))＝x_TA/x_OBU(modp)；

2.4车辆消息签名

车辆OBU发送的消息包含4个域：消息类型ID_type，消息负载Payload，时间戳Timestamp和OBU对前3个域的签名；消息ID_type表示消息的类型；消息负载Payload由车辆位置、方向、速度、交通事件等基本信息组成；时间戳Timestamp标识消息产生的确切时间；假设RSUi定期给其辖区内的OBU广播公钥为了发送消息给路边通信单元RSU_i，车辆OBU执行如下操作：

2.4.2)选择一个公钥密码体制的加密算法Enc()，利用RSUi的公钥对(X_OBU，M，σ)进行加密处理，然后将相应的密文(X_OBU，M，σ)发给n个路边单元RSUi(i＝1，2，...，n)；

2.5 路边通信单元消息重签名

路边通信单元消息重签名步骤具体如下：

2.5.1)生成部分重签名

路边通信单元RSU_i(i＝1，2，...，n)收到OBU发送的密文消息(X_OBU，M，σ)后，首先利用自己的重签名子密钥对其进行解密得到明文消息(X_OBU，M，σ)；然后执行如下操作：1)检查等式Verify(X_OBU，M，σ)＝1是否成立；2)验证时间戳是否正确；如果操作1)和操作2)都成立，则计算部分重签名并将Y_i＝(i，M，σ_i，σ，X_OBU)发送到签名的合成者C，其中，C可以是一个指定的路边通信单元；

2.5.2)生成门限重签名

当合成者C收到Y_i时，如果等式成立，则接收OBU发送的消息；否则拒绝Y_i，若合成者C接收了至少t份由不同路边通信单元RSU_i发送的对同一消息M的(i，M，σ_i)，令所有发送了合法信息的路边通信单元RSU_i序号i集合为ψ，验证等式如果该等式不成立，输出⊥；否则，输出对应于可信认证中心(TA)的签名其中，合成者C按照预定策略将(M，σ’，X_OBU)发送给可信认证中心TA；

2.5.3)TA广播消息

2.6 消息验证

e(σ，g)＝e(H(M)，X)

2.7 虚假身份追溯

2.如权利要求1所述的一种车载网消息认证协议，其特征在于：所述2.2.2.1)中，相关匿名证书由OBU的伪标识PID产生。