开放科学（资源服务）标志码（OSID）：

0 概述

计算机系统和无线网络通信技术的快速发展扩大了智能交通系统的应用范围。车联网正在成为智慧交通的重要组成部分，车联网通过车载单元、路侧采集模块、车路通信单元等设备实现车辆运行数据的实时采集，进而搭建监测大规模车辆实时运行信息的数据平台，并提供各类数据服务。由于交通密度的增加，交通堵塞、事故的发生率也大幅增加，车联网已经成为道路安全和交通管理等特定应用的重要研究领域，它允许车辆和基础设施交换信息，确保道路安全和有效的交通管理。在车联网中，车辆对一切（V2X）的通信主要分为车辆对基础设施（Vehicle-to-Infrastructure，V2I）和车辆对车辆（Vehicle-to-Vehicle，V2V）^[1]。V2I通信允许车辆在驾驶时向路边单元（Road-Side-Unit，RSU）发送消息，V2V通信可以实现相邻车辆之间的信息交换。V2V通信技术允许相邻车辆传输或交换信息，可以提高道路安全，减少交通拥堵，提供高效的交通管理。目前，V2V通信中存在的主要问题是如何提高数据交换的准确性和及时性。明文信息很容易被截获和篡改，车辆无法区分收到的信息是否真实，并且车辆更愿意相信经过认证的机密信息。因此，消息的认证和抗篡改成为V2V安全通信最重要的要求。

在车联网通信中最重要的是安全性要求，如机密性、车辆身份验证、消息的完整性和不可否认性。在一般情况下，机密性通过加密方案获得，车辆身份验证、完整性和不可否认性通过数字签名方案^[2-4]获得。车载自组网（Vehicular Ad-hoc Networks，VANET）中的安全消息需要签名，但不需要加密。然而，在广播网络中，这样的消息可能会被窃取或截获。因此，需要确保恶意的第三方不能轻易获得该消息的内容。解决这个问题的一种方法是使用签名加密，它不仅按照传统方法的要求对消息进行签名，而且还对其进行加密。因此，在车联网中使用签密是必要的。签密作为一种新的密码原语于1997年由ZHENG^[5]提出，它可以将数字签名和加密同时实现，其成本要比签名后加密或加密后签名的成本小得多。

随着移动通信行业的发展，5G/6G网络成为目前研究的热点。为满足5G/6G车联网的不同需求，人们引入网络切片技术^[6-8]。由于不同的网络切片可能使用不同的密码系统和密码系统参数，研究人员提出了异构签密方案。2010年，SUN等^[9]提出异构系统签密，并对其进行了安全性证明，但他们的方案容易受到内部攻击，并且也不能实现不可否认性。文献[10]提出一种针对内部攻击的异构签密方案。然而，该方案只允许基于身份的密码系统（IBC）中的车辆发送消息给公钥基础设施（PKI）中的接收车辆，并且没有考虑发送方的隐私。文献[11]提出两种异构签密方案来保证VANET中异构V2V通信的安全：一种方案是PKI中的车辆将消息发送给IBC中的车辆；另一种方案是将两者的身份进行互换。然而，在这两种方案中，发件人的隐私并没有得到保证。文献[12]提出了两个与文献[9]方案相似的签密方案，保证了VANET中异构V2V通信的安全，但不能保证车辆的隐私和可追溯性。此外，它们不支持对多个密文的批处理解签密。文献[13]提出了4种签密方案来保证异构V2I通信的安全，因为这些方案具有较大的计算量，并不适用于V2V网络。文献[14]提出基于边缘计算的无证书聚合签密方案，虽然无证书密码体制可以防止公钥替换攻击以及密钥托管问题，但其伪身份的产生、车辆与路边单元的传输都需要很长的计算时间，不能及时进行通信。文献[15]提出一种适用于车联网的高效签密方案，虽然没有使用双线性对运算，但采用大量的指数、乘法运算，并且该方案只考虑了一对一的通信，未考虑多个发送者的情况。

为满足车联网场景中对时延及可靠性的需求，本文将网络切片与车联网相结合，提出一种PKI和IBC公钥密码系统之间多对一的异构签密方案，确保在PKI密码体制网络中将多个车辆的消息传输到IBC网络中的车辆。该方案使用聚合签密技术对车辆的多个消息同时进行签密验证，以提高算法执行效率，降低通信和存储成本。

1 相关工作 1.1 V2X通信

车载自组网是一种移动自组织网络，它允许车辆和基础设施交换信息，确保道路安全和有效的交通管理。在VANET中，每辆车辆都与相邻的车辆以及RSU进行通信，这种通信类型通常被称为V2X通信，可以分为以下两种通信方式：

1）车辆与基础设施之间的通信。在V2I通信中，主要是RSU等基础设施与道路内的每辆车辆之间的通信，车辆将交通信息发送给RSU处理，RSU与其通信范围内的车辆进行通信。V2I系统模型如图 1所示。

2）车辆与车辆之间的通信。V2V通信支持道路状态信息广播，即使没有网络基础设施覆盖，车辆也可以进行通信，V2V系统模型如图 2所示。车辆将自己的位置和方向发送给其他车辆，车辆也可以接收或交换交通信息，如位置信息、道路拥挤情况等。V2V通信不依赖于RSU的位置，更加灵活自由。

1.2 5G/6G网络切片

网络切片是指利用软件定义网络（Software Designed Network，SDN）或网络功能虚拟化（Network Function Virtualizaiton，NFV）^[16]等技术，将一个物理基础设施的计算和通信资源划分并优化为多个独立的逻辑网络，提供各种应用服务。NFV使用通用硬件实现网络功能的低成本需求，而SDN对控制平面与数据平面进行分离，以提供高效、灵活的资源管理^[17]。因此，基于NFV和SDN的网络切片可以被认为是5G/6G网络中不可或缺的网络技术。一方面，网络切片可以挖掘和释放通信技术的潜力，提高效率，降低成本；另一方面，网络切片在车联网、智慧城市、工业制造等领域具有潜在的市场需求。

5G/6G网络切片可以分别满足车联网对超低时延、高可靠性与超长数据包、超高数据速率和超高可靠性等具体应用的要求^[18-20]。从本质上讲，它将物理网络划分为多个虚拟网络，每个虚拟网络对应时延、带宽和安全性等业务需求中的一个，满足不同的网络应用场景。此外，随着网络切片代理^[21]的引入，5G/6G网络切片技术可以实现网络资源的共享，将原本相互独立的网络资源进行整合和分配，从而实现相应特殊需求的网络资源的实时动态调度。

2 预备知识 2.1 双线性映射

设两个不同的循环群$ {G}_{1} $和$ {G}_{2} $分别为加法群和乘法群，其阶是相同素数$ p $。设$ e:{G}_{1}\times {G}_{1}\to {G}_{2} $为一个双线性对的函数，其中$ P $是$ {G}_{1} $的生成元，满足下列双线性对的性质^[22-23]：

1）双线性。存在任意的$ a, b\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，都有$ e\left(aP, bQ\right)= $$ e{\left(P, Q\right)}^{ab} $。

2）非退化性。存在$ P, Q\in {G}_{1} $，使得$ e\left(P, Q\right)\ne 1 $。

3）可计算性。对于任意的$ P, Q\in {G}_{1} $，存在有效的算法能够计算$ e\left(P, Q\right) $。

2.2 困难问题

相关的困难问题主要有以下2点：

1）决策性Diffie-Hellman问题（DDHP）。在循环加法群$ {G}_{1} $和其生成元$ P $的基础下，给定$ \left(P, aP, bP, cP\right) $，其中$ a, b, c\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，求解$ ab=c\;\mathrm{m}\mathrm{o}\mathrm{d}\;p $。

2）离散对数问题（DLP）。给定$ \left(P, \alpha P\right) $，在有限循环群$ {G}_{1} $及其生成元$ P $的基础上对$ \alpha \in {\mathbb{Z}}_{p}^{\mathrm{*}} $进行求解。

3 系统模型与安全模型 3.1 系统模型

本文考虑从PKI密码体制到IBC密码体制的V2V异构车辆通信模型，实体包括可信权威（TA）机构、路边单元（RSU）、车辆（V）、证书权威（CA）机构、密钥生成中心（PKG），如图 3所示。从图 3可以看出，实体可以通过不同的有线通信技术（如以太网）或无线替代技术（如DSRC协议^[24]）通信。

可信权威（TA）机构：在VANET中，其生成和广播公共系统参数以及注册RSU和车辆。

路边单元（RSU）：通过无线信道与被覆盖区域内的车辆以及其他的RSU进行通信。RSU将车辆发送过来的信息进行验证，并将其发送给其他车辆。

车辆（V）：在每辆车辆上安装OBU等无线通信装置，捕捉附近车辆或路边传感器的信息。在PKI环境中的发送方车辆，向IBC环境中的邻近车辆和RSU发送消息。

证书权威（CA）机构：对PKI中的用户进行身份验证，并对用户的公钥和身份信息进行签名，产生公钥证书，将公钥证书发送给用户。

密钥生成中心（PKG）：根据用户的身份标识产生相对应的私钥，然后通过安全信道发送用户的公私钥对。

3.2 算法定义

本文算法定义如下：

系统建立：该算法由TA执行，将安全参数$ k $输入，将系统参数$ \mathrm{p}\mathrm{a}\mathrm{r}\mathrm{a}\mathrm{m}\mathrm{s} $、系统公钥$ \mathrm{m}\mathrm{p}\mathrm{k} $和主密钥$ \mathrm{m}\mathrm{s}\mathrm{k} $输出。

密钥生成：PKI系统中的用户随机选取私钥$ sk $并计算对应的公钥$ pk $。CA收到用户的身份和公钥后，对其进行签名并生成公钥证书。

密钥提取：IBC系统中的用户将身份$ \mathrm{I}{\mathrm{D}}_{U} $发送给PKG，PKG根据身份信息计算相对应的私钥$ {S}_{\mathrm{I}{\mathrm{D}}_{U}} $，而身份$ \mathrm{I}{\mathrm{D}}_{U} $是用户的公钥$ pk $。

签密算法：发送者根据系统参数$ \mathrm{p}\mathrm{a}\mathrm{r}\mathrm{a}\mathrm{m}\mathrm{s} $、消息$ {m}_{i} $和接收者的公钥$ p{k}_{r} $，使用自己的私钥$ s{k}_{s} $生成密文$ {\sigma }_{i} $。

聚合签密算法：接收者根据收到的密文$ {\sigma }_{i} $和发送者的公钥$ p{k}_{s} $，使用自己的公钥$ \mathrm{I}{\mathrm{D}}_{r} $生成聚合签密密文$ \sigma $。

聚合解签密算法：接收者通过给定的密文$ \sigma $和发送者的公钥$ p{k}_{s} $，用自己的私钥$ {S}_{\mathrm{I}{\mathrm{D}}_{r}} $对$ \sigma $解签密，输出明文$ {m}_{i} $。

3.3 安全模型

为保证消息传输过程的安全性，方案必须满足以下需求及定义的两种安全模型。通过在多项式时间模拟敌手A和挑战者C之间的游戏来定义消息的机密性和不可伪造性。

游戏1（机密性）  通过使用挑战者C和敌手A分3个阶段进行游戏，证明适应性选择密文攻击具有不可区分性。

初始阶段：通过给定安全参数$ k $，C可以获得系统参数，通过系统建立算法，同时执行密钥生成算法可以计算出$ n $个发送者的公私钥对$ (p{k}_{{s}_{i}}, {x}_{{s}_{i}}) $，C将系统参数和发送者的公钥$ p{k}_{{s}_{i}} $发送给A。

阶段1：C选择特定的目标身份为$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，将其发送给敌手A，A进行如下的询问。

密钥提取询问：敌手A对选择的身份ID进行询问，若$ \mathrm{I}{\mathrm{D}}_{r}\ne \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，C获得其私钥$ {S}_{\mathrm{I}\mathrm{D}} $并发送给A。

解签密询问：A将接收者身份$ \mathrm{I}{\mathrm{D}}_{r} $和密文$ \sigma $提交给C，若$ \mathrm{I}{\mathrm{D}}_{r}=\mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，则输出$ \perp $，否则C对密文$ \sigma $运行解签密算法，将恢复的消息发送给A。

挑战阶段：在阶段1询问结束后，敌手A发起适应性预言询问，生成长度相同的明文$ {m}_{0} $、$ {m}_{1} $以及接收者的身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，但A不能通过询问获得目标身份的私钥，挑战者C随机选择$ \beta \in \left\{\mathrm{0, 1}\right\} $，返回签密密文给$ A $。

阶段2：A收到密文$ {\sigma }^{\mathrm{*}} $，发起适应性预言询问，并且A不能用$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $和$ {\sigma }^{\mathrm{*}} $进行解签密询问来获取相对应的明文。

猜测阶段：当阶段2结束后，A通过输出一个比特$ \beta \text{'} $来猜测$ \beta $，若$ {\beta }^{\text{'}}=\beta $，那么A赢得游戏。

游戏2（不可伪造性）  通过使用挑战者C和敌手A分3个阶段进行游戏，证明在适应性选择消息攻击下具有存在性与不可伪造性。

初始阶段：挑战者C通过运行算法，输入安全参数$ k $，将生成的系统公共参数$ \mathrm{p}\mathrm{a}\mathrm{r}\mathrm{a}\mathrm{m}\mathrm{s} $和$ n $个发送者的公私钥对$ \left(p{k}_{{s}_{i}}^{\mathrm{*}}, s{k}_{{s}_{i}}^{\mathrm{*}}\right) $发送给A。

攻击阶段：敌手A将接收者的身份$ \mathrm{I}{\mathrm{D}}_{r} $和消息$ {m}_{i} $通过发送给挑战者C并发起适应性预言询问，C对询问做出响应，得到密文$ {\sigma }_{i} $，并将密文发送给A。

伪造阶段：A返回$ n $个发送者的身份$ \mathrm{I}{\mathrm{D}}_{i} $、1个接收者的身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $和密文$ {\sigma }_{i}^{\mathrm{*}} $。若$ {\sigma }_{i}^{\mathrm{*}} $不是通过$ \mathrm{I}{\mathrm{D}}_{i} $和$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $相关的密钥询问产生，解签密询问输出的结果不为$ \perp $，且接收者身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $的签密询问没有被询问，则A获得比赛胜利。

4 本文方案 4.1 方案构造

系统建立：该方案由TA执行，输入安全参数$ {1}^{k} $，TA执行3种算法。

1）输出两个阶为素数$ p $的循环群$ {G}_{1} $和$ {G}_{2} $，其中$ {G}_{1} $是加法群，其生成元为$ P $，$ {G}_{2} $是乘法群，TA随机选择一个主密钥$ s\in {Z}_{p}^{\mathrm{*}} $，计算系统公钥$ {P}_{0}=sP $。

2）选择3个单向哈希函数$ {H}_{1}: $$ {\left\{\mathrm{0, 1}\right\}}^{\mathrm{*}}\to {Z}_{p}^{\mathrm{*}} $，$ {H}_{2}:{\left\{\mathrm{0, 1}\right\}}^{\mathrm{*}}\times {G}_{2}\to {G}_{1} $，$ {H}_{3}: $$ {G}_{2} $$ \to $$ {\left\{\mathrm{0, 1}\right\}}^{n} $，$ n $为签密消息的长度。

3）输出一个双线性映射$ e:{G}_{1}\times {G}_{1}\to {G}_{2} $，计算$ K=e\left(P, P\right) $，将$ \left\{{G}_{1}, {G}_{2}, n, P, {P}_{0}, K, {H}_{1}, {H}_{2}, {H}_{3}\right\} $系统参数公开，并对主密钥$ s $进行保密。

密钥生成：在PKI环境中，发送的车辆随机选择一个数$ {x}_{{s}_{i}}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $为自己的私钥，计算对应的公钥$ p{k}_{{s}_{i}}={x}_{{s}_{i}}P $，将身份和公钥发送给CA验证生成公钥证书，并将证书发送给发送的车辆，其公私钥为$ \left(p{k}_{{s}_{i}}, {x}_{{s}_{i}}\right) $。

密钥提取：在IBC环境中，PKG可以计算接收车辆的私钥$ {S}_{\mathrm{I}{\mathrm{D}}_{r}}=\frac{1}{{H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)+s}，P $通过其身份标识$ \mathrm{I}{\mathrm{D}}_{r} $，将公私钥$ \left(\mathrm{I}{\mathrm{D}}_{r}, {S}_{\mathrm{I}{\mathrm{D}}_{r}}\right) $通过安全信道发送给接收的车辆。

签密算法：对发送的消息$ {m}_{i} $，发送车辆的私钥$ s{k}_{{s}_{i}}={x}_{{s}_{i}} $，接收车辆的身份$ \mathrm{I}{\mathrm{D}}_{r} $，该签密算法如下：

1）随机选取$ {x}_{i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $。

2）计算$ {r}_{i}={K}^{{x}_{i}} $ 。

3）计算$ {C}_{i}={m}_{i} \oplus {H}_{3}\left({r}_{i}, {H}_{1}\left(I{D}_{r}\right)\right) $。

4）计算$ {h}_{i}={H}_{2}\left({m}_{i}, {r}_{i}\right) $。

5）计算$ {S}_{i}={h}_{i}{x}_{{s}_{i}}-{x}_{i}P $。

6）计算$ {T}_{i}={x}_{i}\left({H}_{1}\left(I{D}_{r}\right)P+{P}_{0}\right) $。

发送车辆将签密密文$ {\sigma }_{i}=\left({C}_{i}, {S}_{i}, {T}_{i}\right) $发送给接收车辆。

聚合签密算法：接收车辆充当聚合者，收到消息$ {m}_{i} $对应的签密密文$ {\sigma }_{i}=\left({C}_{i}, {S}_{i}, {T}_{i}\right) $，计算$ S=\sum\limits _{i=1}^{m}{S}_{i} $，则聚合密文为$ \sigma =\left({C}_{i}, S, {T}_{i}\right) $。

聚合解签密算法：接收车辆收到的密文$ {\sigma }_{i} $与发送车辆的公钥$ p{k}_{s} $，用自己的私钥对密文进行解密，该聚合解签密算法如下：

1）计算$ {r}_{i}=e\left({T}_{i}, {S}_{\mathrm{I}{\mathrm{D}}_{r}}\right) $。

2）恢复$ {m}_{i}={C}_{i} \oplus {H}_{3}\left({r}_{i}, {H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)\right) $。

3）恢复$ {h}_{i}={H}_{2}\left({m}_{i}, {r}_{i}\right) $。

4）计算$ R=\prod\limits _{i=1}^{m}{r}_{i} $。

5）检查等式$ R·e\left(S, P\right)=e\left(\sum\limits _{i=1}^{m}{h}_{i}, \sum\limits _{i=1}^{m}p{k}_{{s}_{i}}\right) $是否成立，若等式成立，则接收消息$ {m}_{i} $ 。

4.2 正确性证明

下面将对本文方案的正确性进行证明，当且仅当通过签密算法可以计算异构签密密文$ {\sigma }_{i}=\left({C}_{i}, {S}_{i}, {T}_{i}\right) $和异构聚合签密密文$ \sigma = $$ \left({C}_{i}, S, {T}_{i}\right) $，即下列等式验证成立：

1）验证者检查等式$ {r}_{i}·e\left({S}_{i}, P\right)=e\left({h}_{i}, p{k}_{{s}_{i}}\right) $，可以验证签密密文$ {\sigma }_{i}=\left({C}_{i}, {S}_{i}, {T}_{i}\right) $的正确性。

$ \begin{aligned} {r}_{i}·e\left({S}_{i}, P\right)=&{r}_{i}·e\left({h}_{i}{x}_{{s}_{i}}-{x}_{i}P, P\right)=\\ &{r}_{i}·e\left({h}_{i}{x}_{{s}_{i}}, P\right)·e\left(-{x}_{i}P, P\right)=\\ &e{\left(P, P\right)}^{{x}_{i}}·e\left({h}_{i}, {x}_{{s}_{i}}P\right)·e{\left(P, P\right)}^{-{x}_{i}}=\\ &e\left({h}_{i}, {x}_{{s}_{i}}P\right)=\\ &e\left({h}_{i}, p{k}_{{s}_{i}}\right)\end{aligned} $

2）验证该异构聚合签密方案的一致性。

$ \begin{aligned} e\left({T}_{i}, {S}_{\mathrm{I}{\mathrm{D}}_{r}}\right)= &e\left({x}_{i}\left({H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)P+{P}_{0}\right), {S}_{\mathrm{I}{\mathrm{D}}_{r}}\right)=\\ &e\left({x}_{i}\left({H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)+s\right)P, \frac{1}{{H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)+s}P\right)=\\ &e={K}^{{x}_{i}}={r}_{i}\end{aligned} $

则：

$ \begin{aligned} R\times &e\left(S, P\right)=\prod\limits _{i=1}^{m}{r}_{i}\times e\left(\sum\limits _{i=1}^{m}{S}_{i}, P\right)=\\& \prod\limits _{i=1}^{m}{r}_{i}\times e\left(\sum\limits _{i=1}^{m}\left({h}_{i}{x}_{{s}_{i}}-{x}_{i}P\right), P\right)=\\ &\prod\limits _{i=1}^{m}{r}_{i}\times e\left(\sum\limits _{i=1}^{m}{h}_{i}{x}_{{s}_{i}}, P\right)\times e\left(-\sum\limits _{i=1}^{m}{x}_{i}P, P\right)=\\ & \prod\limits _{i=1}^{m}{r}_{i}\times e\left(\sum\limits _{i=1}^{m}{h}_{i}, \sum\limits _{i=1}^{m}{x}_{{s}_{i}}P\right)\times e{\left(P, P\right)}^{-\sum\limits _{i=1}^{m}{x}_{i}}=\\ & {K}^{\sum\limits _{i=1}^{m}{x}_{i}}\times e\left(\sum\limits _{i=1}^{m}{h}_{i}, \sum\limits _{i=1}^{m}{x}_{{s}_{i}}P\right)\times {K}^{-\sum\limits _{i=1}^{m}{x}_{i}}=\\ & e\left(\sum\limits _{i=1}^{m}{h}_{i}, \sum\limits _{i=1}^{m}{x}_{{s}_{i}}P\right)=e\left(\sum\limits _{i=1}^{m}{h}_{i}, \sum\limits _{i=1}^{m}p{k}_{{s}_{i}}\right)\end{aligned} $

5 安全性证明

本节基于决策性Diffie-Hellman问题以及离散对数问题假设，证明本文方案在随机预言模型下的机密性与不可伪造性。

5.1 机密性

定理1  在多项式时间$ t $内，若敌手$ \mathrm{A} $能够以不可忽略的优势$ \varepsilon $获得游戏1的胜利，则挑战者C能够解决DDHP困难问题。

初始阶段：挑战者C建立该算法，输入安全参数$ k $，生成系统公共参数，同时C获取到$ n $个发送者的公私钥对$ \left({x}_{{s}_{i}}, p{k}_{{s}_{i}}\right) $，通过使用密钥生成算法，将系统公共参数和发送者的公钥$ p{k}_{{s}_{i}} $发送给A。

阶段1：在这个阶段中，A进行多次询问，而C通过保存3张列表$ {L}_{1} $、$ {L}_{2} $、$ {L}_{3} $，模拟A对随机预言机$ {H}_{1} $、$ {H}_{2} $、$ {H}_{3} $的询问来回答A的询问，其中$ {H}_{1} $的询问是不同的，并对目标身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $进行$ {H}_{1} $询问。具体询问如下：

$ {H}_{1} $-询问：列表$ {L}_{1} $由元组$ \left\{\mathrm{I}{\mathrm{D}}_{r}, {\alpha }_{r}, p{k}_{r}, s{k}_{r}, \mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}\right\} $组成，当$ \mathrm{A} $使用$ \mathrm{I}{\mathrm{D}}_{r} $进行询问时，C检查$ \{\mathrm{I}{\mathrm{D}}_{r}, {\alpha }_{r}, p{k}_{r}, s{k}_{r}, $ $ \mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}\} $是否在列表$ {L}_{1} $中，若在列表$ {L}_{1} $中，则$ p{k}_{r} $返回$ \mathrm{A} $的值；否则C产生一个随机数$ \mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}\in \left\{\mathrm{0, 1}\right\} $，使得$ \mathrm{P}\mathrm{r}[\mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}=0]=\delta $，$ \mathrm{P}\mathrm{r}[\mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n} $$ =1]= $$ 1-\delta $，若$ \mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}=1 $，则$ \mathrm{C} $计算$ p{k}_{r}=bP $，$ {\alpha }_{r}=\perp $，$ s{k}_{r}=\perp $；否则C随机选择$ {\alpha }_{i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，计算$ p{k}_{r}={\alpha }_{r}P, s{k}_{r}={\alpha }_{r}aP $，将其增加到列表$ {L}_{1} $中，将$ p{k}_{r} $发送到A中。

$ {H}_{2} $-询问：元组$ \left({r}_{i}, {m}_{i}\right) $在列表$ {L}_{2} $中，挑战者C判断元组$ \left({r}_{i}, {m}_{i}, {\rho }_{i}\right) $是否出现在列表$ {L}_{2} $中，若列表$ {L}_{2} $存在，则直接返回；否则，C选择$ {\rho }_{i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，将$ \left({r}_{i}, {m}_{i}, {\rho }_{i}\right) $补充到列表$ {L}_{2} $中。

$ {H}_{3} $-询问：元组$ \left\{{C}_{i}, p{k}_{r}, {r}_{i}\right\} $在列表$ {L}_{3} $中，挑战者C判断元组$ \left({C}_{i}, p{k}_{r}, r, {\xi }_{i}\right) $是否出现在列表$ {L}_{3} $中，若在表中则返回相应的$ {\xi }_{i} $作为$ {H}_{3} $的值；否则挑战者C随机选择整数$ {\xi }_{i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，将元组$ \left({C}_{i}, p{k}_{r}, r, {\xi }_{i}\right) $存储在列表$ {L}_{3} $中，返回$ {\xi }_{i} $的值。

密钥提取询问：当A对选择身份$ \mathrm{I}{\mathrm{D}}_{r} $进行询问时，若$ \mathrm{I}{\mathrm{D}}_{r}\ne \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，则C需要执行$ {H}_{1} $询问，从表$ {L}_{1} $获得$ \left\{\mathrm{I}{\mathrm{D}}_{r}, {\alpha }_{r}, p{k}_{r}, s{k}_{r}, \mathrm{c}\mathrm{o}\mathrm{i}\mathrm{n}\right\} $并返回私钥，否则输出$ \perp $。

解签密询问：A把密文$ \sigma $、发送者的公钥$ p{k}_{{s}_{i}} $、接收者的身份$ \mathrm{I}{\mathrm{D}}_{r} $发送给C。若$ \mathrm{I}{\mathrm{D}}_{r}\ne \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，则C对$ \sigma $进行解签密，然后将结果发送给A，否则输出$ \perp $。

挑战阶段：阶段1的结束时间由A决定。A产生2个等长的明文$ {m}_{0} $、$ {m}_{1} $和1个接收者的身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $。注意：该$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $不能在阶段1询问。C输出一个随机的比特$ \beta \text{'}\in \left\{\mathrm{0, 1}\right\} $，并计算$ {\sigma }^{\mathrm{*}}=\mathrm{S}\mathrm{i}\mathrm{g}\mathrm{n}\mathrm{c}\mathrm{r}\mathrm{y}\mathrm{p}\mathrm{t}\left({m}_{\beta }, {x}_{{s}_{i}}, \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}}\right) $。最后，$ C $将$ {\sigma }^{\mathrm{*}} $发送给A。

阶段2：若A不对$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $进行密钥提取询问，不提交通过对$ {\sigma }^{\mathrm{*}} $进行解签密询问获得的明文，那么A可以像阶段1一样进行适应性的询问。

猜测：当所有询问结束后，A得到一个$ \beta \text{'}\in \left\{\mathrm{0, 1}\right\} $。如果$ \beta \text{'}=\beta $，则A赢得这次游戏并且优势为$ \mathrm{A}\mathrm{d}\mathrm{v} $$ \left(A\right)=\left|\mathrm{P}\mathrm{r}[\beta \text{'}=\beta ]-\frac{1}{2}\right| $。

5.2 不可伪造性

定理2  在随机预言模型下，假设DLP问题困难，通过使用Forking引理^[25]来证明本文方案在适应性选择消息攻击下是存在性不可伪造的。

引理1  在多项式时间t内，如果敌手A赢得游戏2，那么挑战者C以不可忽略的概率$ {\varepsilon }^{\text{'}} $解决DLP困难问题。

证明  利用Forking引理来证明引理1。DLP问题挑战者C通过使用敌手A解决一个给定的DLP实例问题$ \left(P, \alpha P\right) $，即计算$ \alpha $。

初始阶段：C首先运行系统并建立算法得到系统参数，密钥生成算法得到$ n $个发送者的公钥$ p{k}_{{s}_{i}}^{\mathrm{*}} $，将其发送给敌手A。

攻击阶段：$ {H}_{1} $、$ {H}_{2} $、$ {H}_{3} $询问中产生的数据被分别保存在列表$ {L}_{1} $、$ {L}_{2} $、$ {L}_{3} $中，并且这些预言机被保持在C中，同时$ \mathrm{A} $可以对$ {H}_{1} $、$ {H}_{2} $、$ {H}_{3} $进行适应性询问。

$ {H}_{1} $-询问：若$ {H}_{1}\left(\mathrm{I}{\mathrm{D}}_{i}\right) $已经被询问过，则返回$ {L}_{1} $的值；否则C返回一个随机数$ {h}_{1, i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $，在列表$ {L}_{1} $增加$ \left(\mathrm{I}{\mathrm{D}}_{i}, {h}_{1, j}\right) $。

$ {H}_{2} $-询问：列表$ {L}_{2} $由$ \left({m}_{i}, {r}_{i}, {h}_{2, i}\right) $组成，当A对$ {H}_{2} $与$ {h}_{2, i} $进行询问时，如果$ {h}_{2, i} $已经在列表$ {L}_{2} $中并且被询问过，则直接返回；否则，C随机选择$ {h}_{2, i}\in {G}_{1} $并将$ \left({m}_{i}, {r}_{i}, {h}_{2, i}\right) $增添到列表$ {L}_{2} $中。

$ {H}_{3} $-询问：列表$ {L}_{3} $由$ \left({r}_{i}, {h}_{3, i}\right) $组成，A对$ {H}_{3} $和$ {h}_{3, i} $询问，如果从列表$ {L}_{3} $已经询问到$ {h}_{3, i} $，则直接返回到列表$ {L}_{3} $；否则，C选择$ {h}_{3, i}\in {\left\{\mathrm{0, 1}\right\}}^{n} $，在列表$ {L}_{3} $中加入$ \left({r}_{i}, {h}_{3, i}\right) $。

签密询问：A对消息进行签密询问时，将发送车辆和接收车辆的身份$ \left(\mathrm{I}{\mathrm{D}}_{i}, \mathrm{I}{\mathrm{D}}_{r}\right) $以及两者之间传递的消息$ {m}_{i} $发送给C。

C执行以下操作：

1）随机选择$ {\theta }_{i}, {t}_{i}\in {\mathbb{Z}}_{p}^{\mathrm{*}} $。

2）计算$ {h}_{i}={t}_{i}P $。

3）计算$ {S}_{i}={\theta }_{i}{S}_{\mathrm{I}{\mathrm{D}}_{r}} $。

4）计算$ {T}_{i}=\alpha {t}_{i}\left({H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)P+{P}_{0}\right)-{\theta }_{i}P $。

5）计算$ {r}_{i}=e\left({T}_{i}, {S}_{\mathrm{I}{\mathrm{D}}_{r}}\right) $。

6）计算$ {C}_{i}={m}_{i} \oplus {H}_{3}\left({r}_{i}, {H}_{1}\left(\mathrm{I}{\mathrm{D}}_{r}\right)\right) $。

7）返回$ {\sigma }_{i}=\left({C}_{i}, {S}_{i}, {T}_{i}\right) $给敌手A。

伪造阶段：A返回$ n $个发送者的身份$ \mathrm{I}{\mathrm{D}}_{i} $、接收者的身份$ \mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $、关于消息$ {m}_{i} $的密文$ {\sigma }_{i} $。当C收到密文$ {\sigma }^{\mathrm{*}}=\left({C}_{i}^{\mathrm{*}}, {S}^{\mathrm{*}}, {T}_{i}^{\mathrm{*}}\right) $时，如果$ \mathrm{I}{\mathrm{D}}_{r}=\mathrm{I}{\mathrm{D}}_{r}^{\mathrm{*}} $，则输出$ \perp $；否则通过Forking引理，并同时输出另一个聚合密文$ {{\sigma }^{\mathrm{\text{'}}}}^{\mathrm{*}}=\left({C}_{i}^{\mathrm{*}}, {S}^{{}^{\mathrm{\text{'}}}\mathrm{*}}, {T}_{i}^{\mathrm{*}}\right) $，使得满足聚合签密等式，即有：

$ \begin{array}{l}e\left(\sum\limits _{j=1, j\ne i}^{m}{h}_{j}^{\mathrm{*}}+{h}_{i}^{\mathrm{*}}, p{k}_{{s}_{i}}^{\mathrm{*}}\right)\cdot e{\left({S}^{\mathrm{*}}, P\right)}^{-1}=\\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\; e\left(\sum\limits _{j=1, j\ne i}^{m}{h}_{j}^{\mathrm{*}}+{h}^{\mathrm{\text{'}}}{}_{i}^{\mathrm{*}}, p{k}_{{s}_{i}}^{\mathrm{*}}\right)\cdot e({{S}^{\mathrm{\text{'}}}}^{\mathrm{*}}{, P)}^{-1}\end{array} $

其中：$ {S}^{\mathrm{*}}= $$ \sum\limits _{j=1, j\ne i}^{m}{S}_{j}^{\mathrm{*}}+{S}_{i}^{\mathrm{*}} $；$ {{S}^{\text{'}}}^{\mathrm{*}} $$ =\sum\limits _{j=1, j\ne i}^{m}{S}^{\text{'}}{}_{j}^{*}+{S}^{\text{'}}{}_{i}^{*} $。

可得到$ \alpha = $$ {\left({h}_{i}^{\mathrm{*}}-{h}^{\text{'}}{}_{i}^{\mathrm{*}}\right)}^{-1} $$ \left({S}_{i}^{\mathrm{*}}-{S}^{\text{'}}{}_{i}^{\mathrm{*}}\right) $，使DLP困难问题得到解决。

6 性能分析

为分析本文方案的计算成本，将其与聚合签密方案^[14]、签密方案^[15]在签密阶段和解签密阶段进行比较。

6.1 理论分析比较

本文提出基于PKI密码系统传输与基于IBC密码系统的V2V异构聚合签密方案，而文献[14]提出了基于边缘计算的无证书V2I聚合签密方案，两者采用不同的密码体制和车联网环境；文献[15]方案与本文所提方案在本质上有所不同，本文提出的是多对一的聚合签密方案，而文献[15]没有使用聚合技术。本文和其他两个方案虽然采用的是相同的主密钥，但采用不同的系统参数，使得本文方案在计算成本、计算效率与安全性方面较优。现将本文方案所采用的指数运算$ \left({T}_{e}\right) $、哈希运算$ \left({T}_{h}\right) $、乘法运算$ \left({T}_{m}\right) $、双线性对运算$ \left({T}_{p}\right) $、加法运算$ \left({T}_{a}\right) $和文献[14-15]方案采用的运算进行对比，并对其进行理论分析。

表 1是签密阶段的计算量比较，可以看出当传输消息时，各方案计算量由大到小依次为本文方案、文献[14-15]方案；在签密阶段，本文方案比文献[14]方案增加了指数计算，但减少了大量的乘法与加法运算，并且随着消息个数的增加，本文方案在乘法、加法计算量方面都远小于文献[14]方案。与文献[15]方案相比，本文方案采用聚合签密技术，在签密阶段需要对消息进行聚合，导致乘法与加法的效率有所降低，但减少了指数运算的计算量，总体上其计算效率较高。

表 2是解签密阶段的计算量比较，当发送单个消息时，本文方案比文献[14]方案减少了5个乘法运算，解密速度较快；与文献[15]方案相比，本文使用了双线性对运算，减少了乘法运算。随着发送消息个数的增加，本文方案在双线性对、哈希、加法以及乘法运算的使用上都远远少于文献[15]方案。相比文献[14]方案，虽然本文方案采用运算时间较长的双线性对运算，但使用聚合签密技术减少了其运算量。

6.2 数值实验分析

本节对本文方案进行数值模拟实验。在双线性对密码^[26]基础上使用$ \mathrm{C} $语言在$ 2.9\mathrm{ }\mathrm{G}\mathrm{H}\mathrm{z}\mathrm{ }\mathrm{C}\mathrm{P}\mathrm{U} $、$ 16\mathrm{ }\mathrm{G}\mathrm{B} $ $ \mathrm{R}\mathrm{A}\mathrm{M}\mathrm{ }\mathrm{ }\mathrm{ }\mathrm{ }\mathrm{ }\mathrm{P}\mathrm{C} $机的$ \mathrm{L}\mathrm{i}\mathrm{n}\mathrm{u}\mathrm{x} $系统中进行数值模拟实验，如表 3所示。

1）本文方案的计算效率。由于消息个数影响签密与解签密算法的运行时间，在分别统计签密消息$ m $为20、40、60、80、100时，执行整个算法、签密算法和解签密算法的时间如表 4所示。

2）比较分析。为减少实验环境因素导致的误差，将程序运行50次取其平均值作为其实验结果。对本文方案、文献[14-15]方案所提出的签密及解签密算法进行比较，结果分别如图 4和图 5所示。

从图 4可以看出，签密时间随着签密消息个数的增加而延长，但本文方案具有较短的时间。与文献[14]方案相比，两者的车联网环境不同，本文在V2V的车联网环境中进行签密，而文献[14]方案在V2I环境中，车辆与车辆之间的距离相对较短，两者的速度相对也比较低。因此，车辆与车辆在传输环境和传输速度方面优于RSU与车辆之间。虽然本文在签密阶段增加了指数运算，但大幅降低了加法与乘法运算的使用，导致接收车辆进行签密时所用时间更短。文献[15]方案是发送车辆来发送消息，为了公平比较，将其发送者进行倍乘，由于本文方案进行聚合签密，只用执行一次签密算法，而文献[15]方案的接收车辆执行签密算法的次数是根据发送车辆的数量来执行的，导致这个签密的时间比较长。因此，本文方案的签密效率远高于^[14-15]方案。

从图 5可以看出，本文方案的解签密效率比文献[14-15]方案都要高，文献[14]提出一种基于边缘计算的无证书聚合签密方案，由于发送方与接收方都需匿名通信，导致在解签密时采用较多的乘法运算，使其在解签密阶段所用的时间较长，并且本文方案的传输效率比文献[14]方案要高，因为不用考虑RSU的地理位置，可以及时将信息传递到接收车辆，不用等待路边单元处理完的信息，而文献[15]方案接收车辆解签密的次数与消息的数量成正比，使方案的计算和传输效率都比较低。由于本文采用的是聚合签密，接收车辆可以进行批验证处理，并对接收到的密文进行聚合解签密，只用执行一次算法。

7 结束语

本文分析5G/6G车联网中消息传输的隐私问题与传输速率问题，将网络切片与车联网相结合，提出一种面向V2V车联网的隐私保护性异构聚合签密方案，以适用于多对一的应用场景。本文使用异构签密技术，确保基于PKI环境与IBC环境的5G/6G切片中车辆之间的安全通信，同时使用聚合签密，允许接收车辆同时对多个密文进行解密验证。实验结果表明，该方案在签密与解签密阶段的计算效率高于基于边缘计算的无证书聚合签密方案。下一步将在本文方案中加入边缘计算，以降低系统实体间通信时延，增强车联网的计算能力。