保障VANET安全，使用安全原语解决挑战

为了保证VANET的安全，需要考虑下面的安全原语并在VANET中使用。

1）机密性原语。为了对抗攻击，VANET可以使用加密技术实现机密性。加密是一种重要的密码技术，它可以将明文数据变为密文数据传输以抵制窃听攻击。根据在加密中使用不同的密钥介质，加密技术可被分为对称密钥加密和非对称密钥加密，如图1-6所示。对称密钥加密方式在加密，解密时采用相同的密钥，如AES和数据加密标准（DES）［24］。非对称密钥加密方式采用不同的密钥用于加密和解密，公共密钥用于加密，私钥被用于解密，如Rivest－Shamir_－ Adleman（RSA）［25］和El Gamal［26］的算法。因此在VANET中如果两台车辆或车辆和RSU之间已经存在共享的密钥，那么就可以有效地采用对称密钥加密方式来实现通信的保密性。如果每辆车（或RSU）都具有公钥—私钥对，那么公钥加密可用于实现通信的机密性。但是与对称密钥加密方式相比，非对称密钥加密方式的效率要低得多。

图1-6 对称密钥加密和非对称密钥加密

因此有必要结合对称和非对称密钥加密的方法引入混合加密概念，即混合加密，如图1-7所示。混合加密方法将数据的安全传输分为两个阶段，首先使用非对称密钥加密方式传输共享密钥，即发送方用公钥对随机选择的共享密钥进行加密并传输给接收方，接收方使用私钥进行解密得到共享密钥；然后发送方和接收方使用该共享密钥对传输的数据进行加密和解密，保证数据传输的安全性。这种方式结合了两种不同的加密系统的特点，解决了密钥管理的问题，并获得了较高的加密与解密速度。

图1-7 混合加密方式

2）数据完整性和认证原语。建议在VANET中采用消息认证码（MAC）和数字签名的方法实现数据完整性和源认证，如图1-8所示。如果两辆车共用一个密钥，则两车可以使用MAC来实现数据完整性和源认证。但是如果一组车辆共享相同的密钥，则只能确保数据完整性而不能认证源，因为持有密钥的车辆可以产生相同的MAC值。如果每辆车都具有公钥—私钥对，那么数字签名就可以实现数据完整性和源认证，其中私有密钥被用于签名生成，公钥被用于签名验证。另外，为了解决公共密钥密码系统的效率低下问题，特别是处理较大的消息时，原始消息的哈希值是在发送者签名前计算的。需要注意的是，为了抵抗VANET的重放攻击，需要将时间戳嵌入传输的消息中。

图1-8 消息验证码和数字签名

3）不可抵赖原语。不可抵赖性是指消息的发送者不能事后否认曾发送消息，消息的接收者不能否认收到该消息。在VANET中可以通过数字签名的方法实现不可抵赖性。

4）隐私原语。在VANET中，隐私挑战包括面向内容的隐私和上下文的隐私。面向内容的隐私也称为机密性，可以通过上面介绍的加密技术来实现。上下文隐私意味着攻击者有能力将消息的源和消息的目的联系起来［27］或者有能力暴露车辆的真实身份。为了在VANET中实现上下文隐私包含，可以采用一些匿名的技术，如混合网络［28］、聚合加密［29］或群签名［30］。

最近通过的IEEE 1609.2—2013标准中，建议在VANET中采用Advanced Encryption Stau－lord（AES）和椭圆曲线集成加密方案（ECIES）实现对称密钥加密和非对称密钥加密。

此外，还建议在VANET中采用椭圆曲线数字签名算法（ECDSA）作为数字签名算法。然而由于VANET独特的特点和特殊挑战，标准中推荐的算法不能完全解决所有的安全和隐私问题。因此在下面的章节中，本书将介绍多种安全机制来解决VANET面临的安全和隐私的挑战。本书中的大部分安全机制是建立在双线性对基础上的，因此，下面先简要介绍一下双线性映射。

（1）素数阶双线性群

双线性映射是一个重要的密码原语，已被广泛应用于密码学的许多应用［31］。假设G是一个循环加法群，G_T是相同的素数阶q的循环乘法群。假设G和G_T的离散对数问题是困难的。双线性映射是e：G×G→GG_T的映射，满足以下特性：(https://www.xing528.com)

1）双线性：对于任意的P，Q∈G和a，b∈Z_q^∗，e（aP，bQ）＝e（P，Q）^ab。

2）非退化性：存在P∈G和Q∈G，那么e（P，Q）≠1_GT。

3）可计算性：存在有效的算法，对于所有的P，Q∈G都可以计算e（P，Q）。

从参考文献［31］中可以看出，可以使用修改后的具有超奇异椭圆曲线相关的Weil对实现这样的双线性配对。请注意本书经常使用GG作为乘法群，即对于任何的g，h∈G和a，b∈Z_q∗，都可以得到e（g^a，h^b）＝e（g，h）^ab。

（2）定义1（双线性发生器）

双线性参数发生器en是一个概率算法，安全参数κ作为输入，输出五元组（q，P，G，G_T，e），其中q是一个的κ比特的素数，（G，＋）和（G_T，×）是具有相同阶数q的两个组，P∈G是发生器，e：G×G→G_T是可接受的双线性映射。

（3）素数阶的非对称双线性组

假设G、G′和G_T是三个具有相同素数阶q的循环乘法群，即｜G｜＝｜G′｜＝｜G_T｜＝q。令P为G的发生器，P′是G′的发生器，并且ψ是从G′到G的同构，ψ（P′）＝P。一个高效的可接受的双线性映射e：G×G′→G_T具有以下特性：

1）双线性：对于所有的P₁∈G，P₂∈G′和a，b∈Z_q^∗，e（aP₁，bP₂）＝e（P₁，P₂）^ab。

2）非退化性：存在P₁∈G和P₂∈G′，则e（P₁，P₂）≠1_GT。

3）可计算性：对任何的P₁∈G，P₂∈G′，存在有效的算法计算e（P₁，P₂）∈G_T。

这样一个可接受的不对称双线性映射e可以在椭圆曲线通过修改的Weil或Tate对构成。Boneh等［32］提出的MNT曲线上的Tate对是一种有效的实现方法。其中，G≠G′，同构单向ψ可以由跟踪映射来实现，并且当阶数q是一个170bit的素数时，G的表述可以表示为171bit。通过这样的结构，GG的离散对数问题可达到和p为1020bit的Z_p∗的离散对数一样难度。需要注意的是，我们有时也将G，G′作为这本书的乘法群，即对所有的g₁∈G，g₂∈G′和a，b∈ZZ_q^∗，e（g^a₁，g₂^b）＝e（g₁，g₂）ab。

（4）定义2（非对称双线性发生器）

非对称双线性参数发生器Aen是一个概率算法，它将安全参数k作为输入，输出一个7元组（q，G，G′，G_T，e，g，g′）作为双线性参数，包括一个｜q｜＝k的素数q，3个具有相同阶数q的循环群G、G′、G_T，可接受的双线性映射e：G×G′→G_T和G，G′的发生器g、g′。