1.   引言

车载自组织网络(简称车联网)(Vehicular Ad hoc NETworks, VANETs)是一种具备感知、计算、存储和无线通信功能的特定类型移动自组织网络，由智能车辆中的车载单元(On-Board Unit, OBU)和路边单元(Road Side Unit, RSU)组成，传统的VANETs有两种通信模式，即车对车(Vehicle-to-Vehicle, V2V)通信和车对基础设施(Vehicle-to-Infrastructure, V2I)通信，在V2V通信中，车辆定期广播相关交通信息，如车速、位置、行驶路线、路况等，在V2I通信中，需要RSU等基础设施为附近的车辆提供一些与交通相关的服务^[1] 。VANETs对于提高交通效率、降低交通堵塞、减少交通事故以及改善驾驶体验发挥着十分重要的作用。

随着物联网和人工智能等新兴技术产业的快速发展，VANETs已经不满足于V2V和V2I这两种通信模式，更在朝着车对任何事物通信(Vehicle-to-Everything, V2X)的方向发展，由于网络环境的开放性，攻击者可以拦截、篡改或删除VANETs中传输的任何信息，也可以通过冒充车辆广播错误信息误导其他车辆，引发交通安全问题，危及车辆用户的生命财产安全。为了保证通信的安全性和可靠性，车辆用户身份的合法性至关重要。数字身份管理(IDentity Management, IDM)是保证车辆用户合法性和通信安全性的重要手段，也是当前智慧交通系统(Intelligent Transportation System, ITS)建设的重要方面，然而由于VANETs具有高移动性、资源有限和数据公开等特点，数字身份管理一直存在挑战性^[2] 。现有的数字身份管理系统(IDentity Management System, IDMS)以集中式和联盟式为主^[3] ，但是在这两种类型IDMS中，用户每使用1次数字身份都要与中心化的管理机构进行1次交互，这显然无法适应于车辆高速移动、通信即时性要求极高的VANETs环境。除此之外，在传统的不依赖于区块链的集中式和联盟式的IDMS中，用户的个人身份信息不在用户自己手中而在一个中心化的第三方机构中^[4] ，用户对个人信息的管控有着严重束缚，单点故障问题依然存在，因此无法直接将其应用到VANETs环境中。尽管目前已有许多研究工作来解决这方面的问题，但是车辆用户隐私保护和身份撤销仍然是一个相当大的挑战。由此可见，当前的VANETs环境中迫切需要一个去中心化的、用户可自主管理的隐私保护可撤销数字身份管理方案来满足车辆用户数字身份管理的需求。

区块链技术的发展为数字身份的去中心化自主管理带来了曙光，通过利用区块链的分布式账本技术和数字钱包，用户可以完全实现对数字身份的自主管理，自主管理身份(Self-Sovereign Identity, SSI)是数字身份管理发展的重要阶段，使用SSI技术，用户即可在不依赖于某个中心化的第三方机构的情况下实现对数字身份的管理和控制^[5] 。

在现有研究的推动下，本文融合了当前比较流行的秘密共享和零知识证明这两种隐私保护技术，并使用密码学累加器技术进行车辆用户数字身份凭证的撤销，提出一种适用于车联网环境的隐私保护可撤销自主管理身份方案。本文贡献总结如下：

(1)针对VANETs环境中的车辆用户数字身份管理问题，使用SSI这种新型的数字身份管理技术，为车辆用户提供安全、便捷的数字身份管理服务。

(2)针对车辆用户数字身份去中心化问题，基于门限BLS签名和实用拜占庭容错(Practical Byzantine Fault Tolerance, PBFT)共识算法设计了凭证创建机制，实现去中心化的数字身份凭证创建。

(3)针对车辆用户数字身份管理过程中的隐私保护问题，首先使用Shamir秘密共享技术设计了一种数字身份凭证颁发存储机制，可以保证用户的隐私信息在凭证颁发和存储过程中不被泄露。其次，使用零知识证明技术设计了一种身份认证机制，实现在不泄露用户隐私信息的情况下完成身份认证。

(4)针对车辆用户数字身份凭证撤销问题，基于密码学累加器技术设计了一种撤销机制，可以在分布式存储环境实现凭证撤销。

(5)使用智能合约对身份管理过程中各个阶段涉及到的机制进行了仿真实现及性能分析，此外，从保密性、不可伪造性、不可否认性等方面对提出方案的安全性进行了深入分析。

2.   相关工作

近年来，从事车联网研究的专家学者也提出了一些解决VANETs环境中数字身份管理问题的可行方案。Li等人^[6] 提出了一种可用于VANETs的去中心化标识符(Decentralized IDentifier, DID)安全注册和认证机制，该机制通过结合双层区块链、DID和信誉反馈机制，实现了高效的车辆用户身份注册和验证，但是该机制在匿名性和隐私保护的考虑上是有所欠缺的。Das等人^[7] 参考SSI和去中心化可信身份的思想提出了一个基于区块链的车辆身份管理框架，该框架设计了一个可代表车辆唯一身份的标识符(Unique IDentity, UID)，该标识符在分布式和加密保护的存储上进行组织、记录和传输，并允许仅由底层策略允许的用户使用，但在该框架中侧重于用户身份的生成和验证，对于身份的隐私保护和撤销的考虑有所欠缺。George等人^[8] 为VANETs提出了一种新的基于区块链的去中心化身份验证方案，在该方案中，车辆在网络中保持条件匿名，其真实身份只能向授权实体透露，但是该方案仅实现了分布式的身份验证，并未实现数字身份的去中心化，因此在身份管理过程中仍然存在单点故障问题。Goncalves等人^[9] 提出了一个可用于VANETs的安全通信和身份管理混合模型，该模型依赖于公钥基础设施(Public Key Infrastructure, PKI)、基于属性的加密(Attribute-Based Encryption, ABE)和身份管理器实现，但是该模型依赖于传统的IDMS，因此当车辆数增大时，系统性能下降明显，影响车辆用户的正常使用。Theodouli等人^[10] 为车联网生态系统提出了一个基于区块链的身份和信任管理框架，该框架提出了关于实体的识别注册以及身份验证的过程，但仍然缺乏关于身份撤销的考虑。

综上所述，尽管当前业内专家学者已提出了许多解决VANETs中数字身份管理问题的方案，但对隐私保护可撤销自主管理身份在VANETs中应用的研究是比较欠缺的。本文致力于去中心化隐私保护自主管理身份的研究，旨在为VANETs提供一种行之有效的车辆用户数字身份管理方案。

3.   预备知识

3.1   自主管理身份

自主管理身份采用了去中心化身份管理服务的概念，旨在赋予个体对其身份信息的完全控制权，同时保护其隐私和安全。随着万维网联盟(World Wide Web Consortium, W3C)的标准化以及对去中心化身份管理方式的塑造，把这种由用户管理数字身份的方式称为自主管理身份^[11] 。自主管理身份方案中涉及到的核心组件有去中心化标识符(Decentralized IDentifiers, DID)、可验证凭证(Verefiable Credentials, VC)、区块链和数字钱包^[12] 。

(1)DID：DID是自主管理身份的基础，是一个唯一的去中心化的标识符，可以由个人或实体拥有。DID在区块链的分布式账本上创建，具有不可篡改性和难以伪造的特性。

(2)VC：VC是用户身份的数字证明，涵盖了个体所具有的独特属性和声明。VC由可信的发证机构签发，持有者在需要时出示给验证者进行身份验证。

(3)区块链：区块链作为一种特殊类型的数据结构，不仅可以进行数据存储，而且还可以运行具有自我执行能力的智能合约程序^[13] 。区块链是自主管理身份的核心组件之一，用于DID的生成及存储。

(4)数字钱包：数字钱包是一种用于存储和理数字资产或应用程序的工具^[14] ，在自主管理身份中用户使用数字钱包管理可验证凭证VC和相关加密密钥，同时负责与身份相关任务的交互。

自主管理身份方案中主要有3个实体角色，分别是凭证颁发者、凭证持有者以及验证者^[15] 。凭证颁发者负责创建凭证并向持有者进行颁发，持有者接收到凭证后存储到本地的数字钱包中进行保留，并在需要时向验证者展示凭证，验证者对持有者提供的凭证进行验证。

3.2   共识机制

共识机制是区块链系统的核心技术之一，目前主流的共识技术有工作量证明(Proof of Work, PoW)、权益证明(Proof of Stake, PoS)、委托权益证明(Delegated Proof of Stake, DPoS)和实用拜占庭容错(Practical Byzantine Fault Tolerance, PBFT)等^[16] 。鉴于VANETs环境车辆高移动性和通信即时性的特点，本方案选择了共识效率较高的PBFT共识协议，PBFT共识来源于拜占庭将军问题，是一种少数服从多数的共识机制^[17] 。在PBFT共识机制中，由客户端和共识节点共同完成共识过程，完成共识后负责打包区块的矿工节点由全网节点投票产生。PBFT共识方案主要包括预准备阶段、准备阶段和确认阶段，在共识的过程中首先进入预准备阶段，预准备完成之后进入准备阶段，最后对共识进行确认。详细过程如下：

(1)预准备阶段：主节点根据接收到的客户端请求生成预准备消息，以表示主节点已做好处理客户端请求的准备，之后主节点将请求广播给其他节点。

(2)准备阶段：其他节点收到主节点广播的消息后生成准备消息，之后广播准备消息表示该节点已做好准备，同时将预准备消息和广播消息写进日志文件。在此阶段，要求超过$f + 1$($f < (N - 1)/3$)个节点确认消息的真实性，完成后进入确认阶段。

(3)确认阶段：所有节点生成确认消息并广播到其他节点，在此阶段同样会进行准备阶段的验证操作，验证通过后则说明共识已达成，之后由矿工节点将达成共识的消息打包成区块并进行上链操作。

3.3   门限BLS签名方案

BLS签名是一种基于椭圆曲线密码学的高效多签名方案，门限BLS在原来的基础上做了改进，使其可以在不暴露签名者的情况下进行签名的验证和聚合^[18] 。接下来对门限BLS签名方案进行回顾。

设${\mathrm{DKG}}$是一个分布式密钥生成协议，则$(t,n)$门限BLS签名方案可表示为一个多项式算法集${\mathrm{TH}} {\text{-}} {\mathrm{BLS}} = ({\mathrm{DKG,SSig}}{{\mathrm{n}}_{{\mathrm{BLS}}}},{{\mathrm{SVer}}_{{\mathrm{BLS}}}},{{\mathrm{Comb}}_{{\mathrm{BLS}}}},{{\mathrm{Ver}}_{{\mathrm{BLS}}}})$，在签名过程中，上述算法集中的子算法依次执行，首先调用DKG进行分布式的密钥生成，之后参与者调用${{\mathrm{SSign}}_{{\mathrm{BLS}}}}$算法生成部分签名，部分签名生成之后主节点使用${{\mathrm{SVer}}_{{\mathrm{BLS}}}}$进行签名验证，验证通过之后调用${{\mathrm{Comb}}_{{\mathrm{BLS}}}}$算法进行签名聚合生成完整签名，验证者进行签名验证时调用${{\mathrm{Ver}}_{{\mathrm{BLS}}}}$算法进行验证。具体定义如下：

${\mathrm{DKG}}$：在$n$个参与者${p_1},{p_2},\cdots,{p_n}$之间运行的一个分布式密钥生成协议，${p_i}$可进行私钥共享${{\mathrm{sk}}_{{i}}}$和公钥共享向量$({{\mathrm{pk}}_1},{{\mathrm{pk}}_2},\cdots,{{\mathrm{pk}}_{{n}}})$的输出。

${{\mathrm{SSign}}_{{\mathrm{BLS}}}}$：输入私钥共享${{\mathrm{sk}}_{{i}}}$和消息$m \in {\{ 0,1\} ^*}$，生成签名共享${\sigma _i}$。

${{\mathrm{SVer}}_{{\mathrm{BLS}}}}$：输入公钥共享${{\mathrm{pk}}_{{i}}} \in G$，签名共享${\sigma _i}$和消息$m$进行签名验证。

${{\mathrm{Comb}}_{{\mathrm{BLS}}}}$：输入公钥共享向量$({{\mathrm{pk}}_1},{{\mathrm{pk}}_2},\cdots,{{\mathrm{pk}}_{{n}}})$，$t + 1$个签名共享$({\sigma _i},i)$集${S}$($i$表示${\sigma _i}$的索引)以及消息$m$，运行算法${{\mathrm{SVer}}_{{\mathrm{BLS}}}}$，输出签名$\sigma$。

${{\mathrm{Ver}}_{{\mathrm{BLS}}}}$：输入公钥${\mathrm{pk}}$，签名$\sigma$和消息$m$对$\sigma$进行验证，若验证通过结果返回1，否则返回结果0。

3.4   Shamir秘密共享

秘密共享在保护重要的隐私信息不被泄露和损坏方面扮演着重要的角色，1979年，Shamir提出了第1个门限秘密共享方案，它允许将任何秘密拆分为多个不相关的共享，但每个参与者只保留1个秘密份额，并且可以独立共享多个秘密^[19] 。Shamir秘密共享方案可以分为份额创建和秘密重构两个阶段。在份额创建阶段，秘密所有者随机选取1个$n - 1$次线性多项式$f(x) = {a_0} + {a_1}x + \cdots + {a_{n - 1}}{x^{n - 1}}$，之后令秘密$s = {a_0}$，其中所有的系数${a_i}(i = 1 \to n - 1)$属于有限域${\mathbb{F}_p} = {{\mathrm{GF}}}(p)$，之后计算得到$n$个秘密份额为${s_i} = f(i)(i = 1 \to n)$；在秘密重构阶段，假设秘密被拆分为了$t$个份额，则可根据拉格朗日插值公式

对完整的秘密$s$进行重构。

3.5   零知识证明

零知识证明由Goldwasser等在20世纪80年代提出，是通信双方可在不泄露命题有关任何秘密信息的情况下完成命题正确性验证的一种两方密码协议，目前零知识证明技术中使用比较广泛的是简洁非交互式零知识知识论证(zero-knowledge Succinct Non-interactive Argument of Knowledge, zk-SNARK)^[20] 。zk-SNARK是区块链、隐私计算等场景下重要的隐私保护技术，其实现协议较多，比较经典的有Pinocchio, GKMMM18等^[21] ，本文选择通信复杂度相对较小的Groth16^[22] 协议，实现了用户身份凭证的验证，这种方法是自主管理身份领域讨论的热点话题，关于上述协议的详细对比介绍可参考文献[21] 。一个完整的zk-SANRK方案包括以下4个算法，分别是初始化${\mathrm{Setup}}$，公共参考字符串生成${\mathrm{GenCRS}}$，证明构造${\mathrm{Gen}}{\text{Pr}}{\mathrm{oof}}$以及证明验证${\mathrm{Ver}}{\text{Pr}}{\mathrm{oof}}$。zk-SANRK在工作过程中首先进行初始化并生成公共参考字符串，之后进行证明构造。详细定义如下：

${\mathrm{Setup}}$：给定一个安全的参数$\lambda$，初始化生成公共参数列表${{\mathrm{PP}}_{\mathrm{Z}}}$。

${\mathrm{GenCRS}}$：给定一个算数电路$C$，输入${{\mathrm{PP}}_{\mathrm{Z}}}$，生成公共参考字符串${\mathrm{CRS}} = ({{\mathrm{pk}}_{\mathrm{Z}}},{{\mathrm{vk}}_{\mathrm{Z}}})$，可以将${{\mathrm{pk}}_{\mathrm{Z}}}$理解为证明生成密钥，${{\mathrm{vk}}_{\mathrm{Z}}}$为证明验证密钥。

${\text{GenProof}}$：证明者根据${{\mathrm{pk}}_{\mathrm{Z}}}$构造一个关于命题陈述的证明$\pi$，$\pi$具有零知识属性。

${\text{VerProof}}$：验证者使用${{\mathrm{vk}}_{\mathrm{Z}}}$对$\pi$进行验证。

3.6   密码学累加器

密码学累加器是一种密码学原语，允许一组元素聚合为一个固定大小的累加器值，对于累加器中的每一个元素，都有一个对应的值称为证据(witness)，利用证据可以证明相应的元素是否包含在累加器中。累加器可以分为通用累加器和动态累加器，目前匿名凭证的撤销主要基于动态累加器，出于系统运算的统一性和计算有效性的考虑，本方案中所采用的是基于双线性映射的动态累加器^[23] 。一个安全的动态累加器方案通常由五个算法构成，分别是累加器密钥生成${\mathrm{AccGen}}$，累加器值添加${\mathrm{AccAdd}}$，累加器值删除${\mathrm{AccDel}}$，累加器见证更新${\mathrm{AccWitUpdate}}$和累加器见证验证${\mathrm{AccVerify}}$：

${\mathrm{AccGen}}$：一个可以累加到$n$个值的空累加器${\mathrm{ac}}{{\mathrm{c}}_\varnothing }$，设置初始状态为${\mathrm{stat}}{{\mathrm{e}}_\varnothing }$，输入系统参数，生成密钥对$({\mathrm{s}}{{\mathrm{k}}_{{\mathrm{Acc}}}},{\mathrm{p}}{{\mathrm{k}}_{{\mathrm{Acc}}}})$。

${\mathrm{AccAdd}}$：累加器添加一个新值$i$到累加器，获得新的累加器值${\mathrm{ac}}{{\mathrm{c}}_{{V} \cup \{ {{i}}\} }}$，其中$V$表示累加器值集，一起生成的还有$i$的证据${\mathrm{wi}}{{\mathrm{t}}_{{i}}}$。

${\mathrm{AccDel}}$：从累加器中删除值$i$，更新累加器值和状态，同时更新$i$对应的证据。

${\mathrm{AccWitUpdate}}$：该算法用于累加器的见证更新，更新后输出新的证据${\mathrm{wit}}_{{i}}^{{'}}$。

${\mathrm{AccVerify}}$：使用$i$最新的证据${\mathrm{wit}}_{{i}}^{{'}}$验证$i$是否包含在累加器中，如果验证通过返回1，否则返回0。

4.   本文方案

4.1   系统模型

如图1所示，本方案提议的系统中涉及到的实体主要有：区块链，可信机构(Trusted Authority, TA)，路边单元(Road Side Unit, RSU)，车辆用户和验证者。

图 1  系统模型图

下载: 全尺寸图片 幻灯片

(1)区块链：本方案使用区块链来进行用户车辆的DID注册生成、DID文档的存储以及用户可验证凭证哈希值的存储。

(2) TA：在本方案中，TA作为系统信任的根源负责RSU的注册和监管，不承担其他计算和存储任务，从而防止系统出现单点故障，提高了系统稳定性。同时，在完成系统初始化和车辆标签授予后，TA不参与车辆的数字身份管理过程，因此，即使TA本身受到攻击后，仍然不影响系统的运行。

(3)RSU：RSU通常是具有足够计算能力的路边基础设施，本方案中RSU作为区块链网络的委员会节点认为其是受TA严格监管并且可信的，因此可充当发证者的角色，同时在车辆注册和撤销的过程中也发挥重要的作用。

(4)车辆用户：车辆用户是系统交互中的主要出发点，也是数字身份的唯一拥有者。

(5)验证者：本方案中的验证者可以是任何可与车辆进行通信的实体。

在本解决方案中，联网车辆上路时会携带着信任机构授予的车辆标签Token，该标签会作为车辆的身份属性在车辆进入车联网环境时提交给当前覆盖范围内的RSU进行注册，注册成功后RSU委员会生成车辆数字身份凭证并下发给车辆用户，车辆用户将数字身份凭证存储到本地的数字钱包中由自己管理，这样一来，联网车辆在获取服务需要验证身份时就无需再与身份提供者进行交互即可实现向验证者展示数字身份凭证。同时，为避免车辆身份的滥用，本方案中设计了数字身份撤销功能，当车辆出现恶意行为时RSU会对车辆数字身份进行撤销。

4.2   细节构造

(1)初始化Setup：给定一个安全的参数$\lambda$作为输入，运行累加器的初始化算法${\mathrm{AccSetup}}({1^\lambda })$获得初始值${\mathrm{ac}}{{\mathrm{c}}_{V}}$。接下来生成素数$p,q$使得$p = {2^w}q + 1$，其中$w \ge 1$，令$({\mathbb{G}_1},{\mathbb{G}_2},{\mathbb{G}_{\mathrm{T}}})$是3个生成器为$g$的$q$阶循环群，得到$e:{\mathbb{G}_1} \times {\mathbb{G}_2} \to {\mathbb{G}_{\text{T}}}$是一个双线性映射。此外，定义一个具有关系${{\mathcal{R}}_{\rm C}}$的算数电路${\mathrm{C}}$

其中，${\mathrm{aux}}$代表辅助信息，$m$代表用户的属性数量，$\{ {u_i}(X),{v_i}(X),{w_i}(X)\} _{i = 0}^m$分别代表3个$n - 1$次的多项式，$t(X)$代表一个$n$次多项式。最后，输出参数集${\mathrm{params}} = ({\text{p,q,g,e}},{{\mathbb{G}}_1},{{\mathbb{G}}_2},{{\mathbb{G}}_{\mathrm{T}}})$。

(2)密钥生成KeyGen：

(a)用户密钥生成${\mathrm{UserKeyGen}}$：输入参数${\mathrm{params}}$，用户生成自己的密钥对$({\mathrm{p}}{{\mathrm{k}}_{\mathrm{u}}},{\mathrm{s}}{{\mathrm{k}}_{\mathrm{u}}})$，同时输入算数电路的关系${{\mathcal{R}}_{\rm C}}$，选取随机数$\alpha ,\beta ,\gamma ,\delta , x \in {{\mathbb{Z}}}_p^*$得到零知识证明需要用到的密钥对$({\mathrm{p}}{{\mathrm{k}}_{\mathrm{Z}}}, {\mathrm{v}}{{\mathrm{k}}_{\mathrm{Z}}})$，其中

(b)发证者密钥生成${\mathrm{IssuerKeyGen}}$：输入参数${\mathrm{params}}$，TA首先生成自己的密钥对(${\mathrm{s}}{{\mathrm{k}}_{{\mathrm{TA}}}},{\mathrm{p}}{{\mathrm{k}}_{{\mathrm{TA}}}}$)，之后使用秘密共享算法生成共享密钥${\mathrm{sk}}_{{i}}^{{\mathrm{R}}}$和公钥共享向量$({\mathrm{p}}{{\mathrm{k}}_{1}},{\mathrm{p}}{{\mathrm{k}}_{2}},\cdots,{\mathrm{p}}{{\mathrm{k}}_{{n}}})$, ${\mathrm{sk}}_{{i}}^{{\mathrm{R}}}$代表第$i$个RSU的私钥，同时RSU生成累加器的密钥对$({\mathrm{p}}{{\mathrm{k}}_{{\mathrm{Acc}}}},{\mathrm{s}}{{\mathrm{k}}_{{\mathrm{Acc}}}})$。

(3)凭证创建CreatCred：

(a)用户签名${\mathrm{Sign}}$：用户使用${\mathrm{s}}{{\mathrm{k}}_{{\mathrm{u}}}}$对其身份属性${\mathrm{att}}{{\mathrm{r}}_{{\mathrm{u}}}} = ({{{a}}_{0}}{\text{,}}{{{a}}_{1}},\cdots{{{a}}_{{m}}})$进行签名，得到${\sigma _{{\mathrm{u}}}}$。

(b)创建DID${\mathrm{CreatDID}}$：用户将${\mathrm{att}}{{\mathrm{r}}_{{\mathrm{u}}}}$, ${\sigma _{{\mathrm{u}}}}$, ${\mathrm{p}}{{\mathrm{k}}_{{\mathrm{u}}}}$以及账户地址${\mathrm{add}}{{\mathrm{r}}_{{\mathrm{u}}}}$提交到其覆盖范围内的RSU, RSU确认之后转发到区块链进行注册，获取代表其数字身份的唯一标识符DID及对应DID文档。

(c)创建凭证${\mathrm{CreatCred}}$：

步骤1　用户将属性集${\mathrm{attr}}{{\mathrm{s}}_{{\mathrm{u}}}}$以及DID打包为凭证创建请求$M$提交到当前覆盖范围内的RSU。

步骤2　接收到消息的RSU将用户的凭证创建信息转发到当前环境中所有的RSU，记为${\rm{RSU}}'$。消息广播操作对应PBFT共识中的预准备阶段。

步骤3　当${\rm{RSU}}'$收到RSU转发的消息后私钥${\mathrm{s}}{\mathrm{k}}_{{i}}^{{{\mathrm{R}}'}}$生成签名共享$\sigma _i^{{\mathrm{R}}}: = h{({M})^{{\mathrm{sk}}_{i}^{{\mathrm{R}}}}} \in {{\mathbb{G}}}$，其中$h:{\{ 0,1\} ^*} \to G$是一个哈希函数。

步骤4　生成${\sigma _{{i}}}^{{\mathrm{R}}}$后输入公钥共享${\mathrm{p}}{{\mathrm{k}}_{{i}}} \in G$和消息$M$，验证签名，即判断等式${{e}}({\text{g,}}\sigma _i^{{\mathrm{R}}}) = {{e}}({\mathrm{p}}{{\mathrm{k}}_{{i}}},h({M}))$是否成立，若成立则返回1表示验证通过，否则返回0，这个验证过程对应于PBFT共识机制工作过程中的准备阶段。

步骤5　签名共享验证通过后由RSU对$\sigma _{{i}}^{{\mathrm{R}}}$进行收集，要求收集到的签名共享总数要大于$t + 1$个，之后输入$({\mathrm{p}}{{\mathrm{k}}_{1}},{\mathrm{p}}{{\mathrm{k}}_{2}},\cdots,{\mathrm{p}}{{\mathrm{k}}_{{n}}})$和$\sigma _{{i}}^{R}$进行签名合并，生成签名${\sigma _{{\mathrm{R}}}} = \prod\nolimits_{i \in {S_0}} {\sigma _i^{{L_i}}}$(${{{{S}}}_{0}}: = \{ i \in [n]|({\sigma _i},i) \in {{{S}}}\}$)，$S$表示签名共享集合$({\sigma _i},i)$，${L_i} = \prod\nolimits_{j \in {S_0}\backslash \{ i\} } {(i/j - i)}$记作集合${S_0}$的第$i$个拉格朗日系数。

步骤6　得到${\sigma _{{\mathrm{R}}}}$后输入TA的公钥${{\rm{pk}}_{{\mathrm{TA}}}}$和$M$对其进行验证，计算$e(g,{\sigma _{\rm{R}}}) = e({\text{p}}{{\text{k}}_{{\text{TA}}}},{h}(M))$是否成立，若验证通过，则说明生成的签名符合发证要求并且当前环境中的RSU达成了共识。

步骤7　RSU生成用户的可验证凭证${\mathrm{VC}} = \{ {\mathrm{DI}}{{\mathrm{D}}_{{\mathrm{u}}}},{{\rm{pk}}_{{\mathrm{TA}}}},{\mathrm{att}}{{\mathrm{r}}_{{\mathrm{u}}}},{\sigma _{{\mathrm{R}}}}\}$。

(d)累加器值添加${\mathrm{AccAdd}}$：调用${\mathrm{AccAdd}}$算法生成新的累加器值${\text{ac}}{{\text{c}}_{{V} \cup \{ {{\mathrm{VC}}}\} }} = {\text{ac}}{{\text{c}}_{V}} \cdot {g_{n + 1 - \{ {{\mathrm{VC}}}\} }}$及${{\mathrm{VC}}}$的累加器见证${\text{wi}}{{\text{t}}_{{{\mathrm{VC}}}}} = \prod\nolimits_{j \in {V}}^{j \ne \{ {{\mathrm{VC}}}\} } {{g_{n + 1 - j + \{ {{\mathrm{VC}}}\} }}}$。

(4)颁发凭证IssueCred：RSU首先设置总共享数$n$和门限$t$，然后输入${{\mathrm{VC}}}$，将${{\mathrm{VC}}}$转化为字节数组，使用字节数组生成随机秘密值，最后将秘密值拆分为用户身份凭证的共享${s_i}(i = 1 \to n)$，并生成用户身份凭证的哈希值${h}({{\mathrm{VC}}})$，之后将凭证共享下发给用户，用户将凭证共享存储在本地的数字钱包中；将${h}({{\mathrm{VC}}})$及凭证创建和颁发过程中产生的日志信息由矿工节点进行打包生成区块并上传到区块链。

(5)验证凭证VerifyCred：

(a)构造证明GenProof：在证明构造之前首先需要计算一个$3 \times (m + 2n + 4)$的矩阵${\mathcal{M}}$并选取随机数${r_1},{r_2} \in {{\mathbb{Z}}}_p^*$，然后使用${{\rm{pk}}_{\mathrm{Z}}}$得到凭证的零知识证明$\pi = {\mathcal{M}}{\mathrm{pk}} {\kappa _Z} = (A,B,C)$。其中

根据秘密共享技术的特性，${s_i}(i = 1 \to n)$具有零知识属性，因此这里将其拆为了两部分作为构造证明的输入，$({s_1}{s_2},\cdots,{s_\ell })$代表可验证凭证$c$的陈述，$({s_{\ell + 1}},{s_{\ell + 2}},\cdots,{s_m})$代表见证，$p(x)$代表$n - 2$次商多项式。

(b)验证证明${\mathrm{Verify}}{\text{Proof}}$：验证者使用${\mathrm{v}}{{\mathrm{k}}_{\mathrm{Z}}}$验证式(5)是否成立，如果成立，证明验证通过，输出$b = 1$，反之，输出$b = 0$

(6)撤销凭证RevokeCred：

(a)验证${\mathrm{AccVerify}}$：RSU首先选取随机数$\gamma \in {{{\mathbb{Z}}}_q}$，之后使用累加器的验证算法输入${\mathrm{wi}}{{\mathrm{t}}_{{\mathrm{VC}}}}$，${{\rm{pk}}_{{\mathrm{Acc}}}}$进行计算$\dfrac{{e({\text{p}}{{\text{k}}_{{\text{Acc}}}},{\text{ac}}{{\text{c}}_{V \cup \{ {{\mathrm{VC}}}\} }})}}{{e(g,{\text{wi}}{{\text{t}}_{\rm{VC}}})}} = e{(g,g)^{{\gamma ^{n + 1}}}}$检查${\text{ac}}{{\text{c}}_{V \cup \{ {{\mathrm{VC}}}\} }}$是否包含在累加器中，如果在则执行算法AccDel，反之输出0并拒绝凭证撤销请求。

(b)删除${\mathrm{AccDel}}$：从累加器中删除${\text{ac}}{{\text{c}}_{{V} \cup \{ {{\mathrm{VC}}}\} }}$，获得新的累加器值${\text{ac}}{{\text{c}}_{{V/}\{ {\mathrm{{VC}}}\} }}$，实际上这里执行的是添加算法的逆运算。

(c)更新${\mathrm{AccUpdate}}$：对凭证${VC}$的证据进行更新得到${\text{wi}}{{\text{t}}'_{\rm{VC}}}{} = {\text{wi}}{{\text{t}}_{\rm{VC}}} \cdot \dfrac{{\prod\limits_{j \in {V}/{{V}_{{\text{wit}}}}} {{g_{n + 1 - j + \{ {{\mathrm{VC}}}\} }}} }}{{\prod\limits_{j \in {{V}_{{\text{wit}}}}/{V}} {{g_{n + 1 - j + \{ {{\mathrm{VC}}}\} }}} }}$，其中${V_{{\text{wit}}}}$代表累加器见证值的集合，见证更新成功后即证明累加器值对应的凭证已被撤销。

4.3   操作流程

本方案的操作分为车辆用户注册，凭证创建，凭证颁发，凭证验证以及凭证撤销五个阶段。

方案操作流程图如图2所示。

图 2  操作流程图

下载: 全尺寸图片 幻灯片

(1)注册阶段：

(a)RSU注册：RSU向TA提交注册请求，TA对注册请求进行核验，注册成功后TA向RSU下发共享密钥对。

(b)车辆用户注册：首先车辆用户从TA申请一个Token以获得根信任，之后向RSU提交注册请求，RSU确认注册请求后将注册信息转发到区块链网络进行注册。

(2)凭证创建阶段：车辆用户注册成功后，RSU对注册到的DID进行解析，以获取车辆用户的身份属性，得到属性之后进行签名及构造凭证。

(3)凭证颁发阶段：RSU使用秘密共享算法创建凭证共享，然后将凭证共享下发给用户。

(4)凭证验证阶段：车辆用户构造凭证的零知识证明，然后将证明发送给验证者进行凭证验证。

(5)凭证撤销阶段：RSU使用密码学累加器对车辆用户凭证进行撤销，并在区块链网络进行广播。

5.   方案分析

5.1   安全性分析

本方案设计的安全目标有不可伪造性、保密性、不可链接性、不可否认性和可撤销性，可归结为门限BLS签名的安全性、零知识证明的安全性、动态累加器安全性以及区块链系统的安全性。

假设1　可计算co-Diffie-Hellman,co-CDH^[24]。co-CDH假设是在椭圆曲线群${{\mathbb{G}}}$上，在给定$g,{g^a}, {g^b}$的情况下，计算${g^{ab}}$是困难的。

定理1　如果门限BLS签名在假设1下是安全的，则本方案在随机预言机模型中是不可伪造的。

证明　本方案不可伪造性证明可以定义为挑战者${\mathrm{C}}$和敌手${\mathrm{A}}$之间的实验${\mathrm{EXP}}_{\mathrm{A}}^{{\mathrm{UF}}}({1^\lambda })$，操作如下：

(1)初始化阶段：挑战者${\mathrm{C}}$运行${\mathrm{Setup}}({1^\lambda })$获得系统参数集${\mathrm{params}}$，并将${\mathrm{params}}$发送给敌手${\mathrm{A}}$。设${{{{P}}}_{{\mathrm{H}}}}$为诚实方集合，${{{{P}}}_{{\mathrm{C}}}}$为腐败方集合，${{{{P}}}_{{{\mathrm{H}}},m}}$为已签署消息$m$的诚实方集合，$\mathcal C$初始化上述集合为空。

(2)查询阶段：首先定义预言机模型，主要包含算法OkeyGen, Ocorrupt, OCreatCred，敌手$\mathcal{A}$可以访问上述预言机，查询阶段定义如下：

OkeyGen(${P_i}$)：如果参与者${P_i} \notin {{{{P}}}_{{\mathrm{H}}}} \cup {{{{P}}}_{{\mathrm{C}}}}$，则运行KeyGen(${\mathrm{params}}$)生成$({\mathrm{s}}{{\mathrm{k}}_{{i}}},{{\rm{pk}}_{{i}}})$，同时更新${{{{P}}}_{{\mathrm{H}}}} = {{{{P}}}_{{\mathrm{H}}}} \cup \{ {P_i}\}$，响应${{\rm{pk}}_{{i}}}$。

OCorrupt(${P_i}$)：令${{{{P}}}_{{\mathrm{C}}}} = {{{{P}}}_{{\mathrm{C}}}} \cup \{ {P_i}\}$，如果${P_i} \in {{{{P}}}_{{\mathrm{H}}}}$，更新${{{{P}}}_{\mathrm{{H}}}} = {{{{P}}}_{\mathrm{{H}}}}/\{ {P_i}\}$，同时响应${{\mathrm{sk}}_{{i}}}$。

OcreatCred(${P_i},m$)：如果${P_i} \in {{{{P}}}_{{\mathrm{H}}}}$，则更新${{{{P}}}_{{{\mathrm{H}}},m}} = {{{{P}}}_{{{\mathrm{H}}},m}} \cup \{ {P_i}\}$，响应签名${\mathrm{sign}}({{m}},{\mathrm{s}}{\mathrm{{k}}_{{i}}}, {\mathrm{params}})$。

(3)响应阶段：敌手$\mathcal A$输出1个消息${m^*}$和1个签名${\sigma ^*}$。$\mathcal C$通过运行群初始化算法得到1个组合密钥${{\mathrm{CK}}^*}$和1个验证密钥${{\mathrm{VK}}^*}$。

(4)验证阶段：当满足以下条件时，实验输出1，说明验证成功，打破了本方案的不可伪造性：

(a)攻击者未获得足够的部分签名；

(b)门限签名是可用的。

在攻击实验中，攻击者$\mathcal A$的优势可以定义为${\mathrm{Adv}}_{\mathcal A}^{{\mathrm{co}} {\text{-}} {\mathrm{CDH}}}(\lambda ) = \Pr [{\mathrm{Exp}}_{\mathcal A}^{{\mathrm{UF}}}({1^\lambda }) = 1]$，然而对于实验的随机性而言，这个概率是可忽略不计的，符合假设1，因此本方案满足不可伪造性的要求。

定理2　如果用户的身份标识符DID满足不可链接性，凭证证明$\pi$满足零知识性，则本方案符合保密性和不可链接性的要求。

证明　在注册阶段，生成了用户的身份标识符DID，根据W3C定义的标准，DID是无法链接到用户真实身份属性的，本方案在操作过程中严格遵循了该标准，因此是满足不可链接性的。在身份凭证验证阶段，构造了用户身份凭证的零知识证明$\pi$。根据zk-SNARK技术的零知识性定义，验证者无法从$\pi$中学习到任何关于用户身份凭证的任何信息。同时在证明构造过程的输入的是用户身份凭证的共享，根据秘密共享技术的特性，单个共享不会泄露关于秘密本身的任何信息。综上，本方案符合保密性和不可链接性的要求。

定理3　如果区块链是不可篡改的，则本方案满足不可否认性。

证明　由于区块链系统是基于单向哈希的散列链结构，如果不考虑区块链本身面临的攻击，则区块链上的记录是不可篡改的。本方案中涉及到的所有操作都是通过智能合约实现的，在部署智能合约的过程中会产生大量的日志信息，这些日志信息都会被矿工节点打包上传到区块链，因此本方案中实体的所有行为都是不可否认的。

定理4　如果累加器是满足正确性的，则本方案满足可撤销性。

证明　累加器的正确性保证了累加器可以按预期进行，并且所有诚实的用户能够生成正确的凭证证明。根据文献[23] ，诚实的参与者不会破坏累加器的正确性，并且对于任意的PPT敌手破坏累加器正确性的概率可忽略，因此本方案满足可撤销性。

5.2   性能分析

在性能分析方面，首先对各个阶段的时间成本进行了理论计算，同时挑选了3个类似的工作与本方案进行了对比，之后在本地测试环境中对方案的实际性能进行了评估。

为了有效地分析本文方案的计算开销，使用python密码库对方案中涉及到的密码学操作进行了测试，其中哈希操作${{{T}}_{\mathrm{h}}} \approx 0.06\;{\mathrm{ms}}$，签名操作${{{T}}_{{\mathrm{sig}}}} \approx 1.23\;{\mathrm{ms}}$，验证操作${{{T}}_{{\mathrm{ver}}}} \approx 1.11\;{\mathrm{ms}}$，双线性配对操作${{{T}}_{{\mathrm{bp}}}} \approx 2.65\;{\mathrm{ms}}$，乘法操作${{{T}}_{{\mathrm{mul}}}} \approx 1.16\;{\mathrm{ms}}$，加法操作${{{T}}_{{\mathrm{add}}}} \approx 0.84\;{\mathrm{ms}}$。

为了便于统计对比，根据文献[6] 的参数设置，将凭证创建过程中的参与者数量设为5个，将凭证共享份额的数量设为10，则计算可得到各阶段的理论时间开销，所得的时间开销的大小由各阶段所执行的密码学操作的次数决定，如表1所示。

表 1  各阶段理论计算时间(ms)

阶段	计算
注册	${{{T}}_{\mathrm{h}}}$+${{{T}}_{{\mathrm{sig}}}}$+${{{T}}_{{\mathrm{ver}}}}$≈2.40
创建	5${{{T}}_{{\mathrm{sig}}}}$+3${{{T}}_{{\mathrm{ver}}}}$+3${{{T}}_{{\mathrm{add}}}}$+6${{{T}}_{{\mathrm{mul}}}}$+${{{T}}_{{\mathrm{bp}}}}$≈21.61
颁发	9${{{T}}_{{\mathrm{add}}}}$+8${{{T}}_{{\mathrm{mul}}}}$+${{{T}}_{\mathrm{h}}}$≈16.90
验证	12${{{T}}_{{\mathrm{add}}}}$+20${{{T}}_{{\mathrm{mul}}}}$+4${{{T}}_{{\mathrm{bp}}}}$≈43.88
撤销	${{{T}}_{{\mathrm{add}}}}$+2${{{T}}_{{\mathrm{mul}}}}$≈3.16

下载: 导出CSV 

| 显示表格

通过测试，在理论计算时间开销上，注册阶段进行了1次哈希操作、1次签名和1次验证操作，耗时2.40 ms；凭证创建阶段进行了5次签名操作、3次验证操作、3次群上的加法、6次椭圆曲线点乘和1次双线性配对，耗时21.61 ms；凭证颁发阶段执行了9次加法、8次点乘和1次哈希，耗时16.90 ms；凭证验证阶段进行了12次加法、20次点乘和4次双线性配对，耗时43.88 ms；凭证撤销阶段进行了1次加法和2次点乘操作，耗时3.16 ms。

可以发现(图3(a))，凭证验证阶段时间开销相比于其他4个阶段较高，注册和撤销阶段的时间开销较小。

图 3  时间花销分析对比

下载: 全尺寸图片 幻灯片

为了进一步说明本方案在计算开销方面的优越性，与近年来提出的方案^[6–8]进行了总体耗时比较(图3(b))，之所以选择以上3个方案作为对比对象，是因为上述3个方案和本方案所解决的都是车联网环境下的数字身份管理问题，并且都使用了区块链技术，存在一定的可比性。通过对比可以发现，当用户数为5的时，文献[6]的方案总体耗时为472.6 ms，文献[7] 的方案总体耗时为433.3 ms，文献[8] 的方案总体耗时为606.85 ms，而本方案总体耗时为311.8 ms，明显低于其他3个方案，这说明本方案在计算效率上是具有优越性的。

之后在一台处理器为Intel CORE i5、内存为8GB、操作系统为Ubuntu 20.04.1 amd64的个人笔记本电脑上使用truffle+Ganache+metamask^[25] 的开发环境对本文提出的方案进行了实现，得到了方案部署智能合约所需的gas花销(表2)。根据文献[26] 所给出的Gas花销参考标准，将Gas价格设置为2Gwei(1 Gwei=10^–9ether)，统计得到本方案的ether花销为0.014981，保持在小数点两位以后，这个花销在VANETs环境中是可以接受的。

表 2  方案Gas花销测试结果

阶段	Gas单元
注册	2075 649
创建	798 244
颁发	948 106
验证	1351 186
撤销	564 352

下载: 导出CSV 

| 显示表格

6.   结束语

本文的主要研究对象是面向VANETs的隐私保护自主管理身份系统，通过使用门限BLS签名、秘密共享、零知识证明、密码学累加器、区块链和智能合约，提出了一种可行实用的车辆用户数字身份管理方案，并且还提供了一些必要的安全属性，即不可伪造性、保密性、不可链接性、不可否认性和可撤销性。实验结果分析表明，本方案具有合理的通信和计算成本，适用于VANETs环境。