[发明专利]一种网联汽车远程匿名签发验证通信系统

权利要求书

1.一种网联汽车远程匿名签发验证通信系统，其特征在于，包括：

证明方：为汽车，包括Host部分和可信平台模块TPM芯片部分，证明方的直接匿名认证DAA证书用以实现汽车的匿名性，以保护云服务中汽车驾驶员的身份和数据隐私；

签发方：为在证明方请求远程服务时对其进行直接匿名认证DAA签名、并生成证明方的直接匿名认证DAA证书的实体；

验证方：用以提供远程服务，其证书为实名证书，且证书满足X.509格式，在提供服务时，需要先验证匿名汽车的真实性和平台完整性，然后通过会话密钥加密数据传输给汽车以提供服务；

应用网联汽车远程匿名签发验证通信系统的网联汽车远程匿名签发验证通信方法，具体包括以下步骤：

1)分别进行证明方、签发方和验证方的初始化，初始化具体包括：

为Host部分分发群签名公钥、权威机构CA的公钥、椭圆曲线参数和哈希函数H₁和H₄，为证明方可信平台模块TPM部分设置临时密钥生成函数PRF、签发方的长期密钥K_I并初始化生成DAA私钥的计数器值cnt值、设置MAC算法密钥库哈希函数H₂和H₅，并在可信平台模块TPM中写入生成DAA私钥的种子DAAseed，存储在TPM的非易失性存储器NVM中并固化；

为签发方分发一对密钥isk和ipk，设置MAC算法密钥库哈希函数H₂，分发可信平台模块TPM的公钥pk，选择群签名私钥(x，y)和公钥(X，Y，P1，P2，G1，G2，q)，设置黑名单RogueList，对于黑名单RogueList中的每个元素sk_T'通过公式Q2＝[sk_T']P1获得Q2，并由Q2组成集合SubRogueList；

为验证方分发椭圆曲线参数，分发签发方的公钥ipk，群签名公钥(X，Y，P1，P2，G1，G2，q)，黑名单RogueList，哈希函数H₁、H₄、H₅；

2)在三方各自初始化后，证明方为获取服务，向验证方发出包含随机数n_c的服务请求；

3)验证方收到服务请求后，发送验证方自身数字证书和随机数n_s和随机数n_V给证明方，证明方接收并采用CA公钥校验验证方的身份，若验证失败，则终止通信，若验证成功，则证明方进入直接匿名认证流程，所述的直接匿名认证流程包括DAA Join阶段、DAA Sign阶段和DAA Verify阶段；

DAA Join阶段具体包括以下步骤：

301)证明方的Host部分向签发方发送Join请求，请求签发方生成匿名证书；

302)签发方接到Join请求后，在密钥库选取MAC算法的密钥k_M，利用公钥pk加密密钥k_M得到参数c_I，并且签发方选取长度为t个bit的随机数n_I，将c_I和n_I分别发送给证明方的Host和TPM，其中，pk为可信平台模块TPM的私钥sk对应的公钥；

303)可信平台模块TPM接收到c_I和n_I后，采用临时密钥生成函数PRF(DAAseed||K_I||cnt)生成临时密钥sk_T，同时，可信平台模块TPM利用私钥sk解密c_I获得密钥k_M，当密钥k_M不为密钥群内元素时，通信终止，当密钥k_M为密钥群内元素时，可信平台模块TPM生成字符串str，该字符串str由X||Y||n_I拼接组合生成，||表示将比特串或字节串进行拼接操作；

304)可信平台模块TPM通过椭圆点乘运算生成临时公钥Q2，即Q2＝[sk_T]P1，其中，[]表示椭圆点乘运算，P1为椭圆曲线有限域G1的基点，sk_T为点乘系数，可信平台模块TPM从整数集合Z_q中随机选取元素u，计算参数U＝[u]P1，其中，Z_q＝{0,1,2…,q-1}为模q的最小简化剩余系，且q为素数；

305)可信平台模块TPM分别计算参数v、w和γ，并通过Host将临时公钥Q2、参数v、w、γ和随机数n_I发送给签发方，具体计算式为：

v＝H₂(P1||Q2||U||str)

w＝u+v·sk_T(mod q)

306)签发方对来自Host的数据进行验证后对临时公钥Q2进行签名，生成DAA证书CerDAA，并将DAA证书CerDAA通过Host发给可信平台模块TPM，具体为：

签发方接收到可信平台模块TPM的数据Q2、v、w、γ和n_I，判断接收到的参数n_I是否与本地n_I值相等，若否，则通信终止，若是，则计算并判断γ是否等于γ′，若否，则通信终止，若是，则计算U′＝[w]P1-[v]Q2，并计算v′＝H₂(P1||Q2||U′||str)，判断v是否等于v′，若否，则通信终止，若是，则遍历SubRogueList中的每一个元素Q2′，判断Q2′是否等于Q2，当出现相等时，则终止，否则，选取整数集合Z_q的随机数r，采用椭圆点乘运算依次计算A＝[r]P1、B＝[y]A和C＝[x]A+[rxy]Q2，(A，B，C)即DAA证书CerDAA；

307)可信平台模块TPM计算参数D＝[sk_T]B并将参数D传递给Host，Host判断是否等于且是否等于其中，为双线性映射函数，若相等，则证明签名是来自签发方的CL签名并接受该签名，若不相等，则终止；

DAA Sign和DAA Verify阶段具体包括以下步骤：

311)Host依据服务类型和证明方数字证书判断签名是否具有可链接性，若不具有可链接性，设连接验证标记bsn为空，并从G1中选取一点J，若具有可链接性，选择之前与同一验证方通信时的所用的bsn，获取H₁(bsn)，并将H₁(bsn)映射到G1中的一个点J上，Host从整数集合Z_q中选择随机数l，并分别进行椭圆点乘运算计算R＝[l]A，S＝[l]B，T＝[l]C和W＝[l]D；

312)Host获取参数c＝H₄(R||S||T||W||n_V)，并将数据(c，J，S，msg，bsn)发送给可信平台模块TPM；

313)可信平台模块TPM接受到Host的数据(c，J，S，msg，bsn)，获取K＝[sk_T]J，利用随机数生成器生成预主密钥PMS和一个长度为t个bit的随机数n_T，从整数集合Z_q中选取一个随机元素r_T，并且获取R1＝[r_T]J、R2＝[r_T]S；

314)可信平台模块TPM分别获取str_s＝J||K||bsn||R1||R2、h＝H₅(c||msg||str_s||n_T)；、s＝r+h·sk_T(mod q)，并发送PMS、K、h、s、n_T到Host；

315)Host利用验证方公钥加密预主密钥PMS得到E_PKs(PMS)，并将(R，S，T，W，J，K，h，s，n_V，n_T)组合成签名σ，将数据σ，bsn，证明方背书的消息msg，E_PKs(PMS)发送给验证方；

316)验证方接收到Host的数据，判断证明方是否在黑名单上，若是，则终止，若否，则进行步骤317)，具体为：

验证方依次选取在黑名单RogueList中的第一个至最后一个元素作为密钥sk_T′，计算K’＝[sk_T′]J并判断K’是否等于K，只要出现相等，说明证明方在黑名单上，终止通信；

317)验证方判断证明方的签名是否具有可链接性，判断：如果bsn等于空值，说明不具有可链接性，进入步骤318)，若否，则计算H₁(bsn)并将其映射到点J’上，若J’＝J，则进入步骤318)，否则终止通信；

318)验证方判断是否等于是否等于若是，则说明可信平台模块TPM的匿名身份是经过签发方签发认证的，若否，则终止；

319)验证方获取R1′＝[s]J-[h]K、R2′＝[s]S-[h]W、c′＝H₄(R||S||T||W||n_V)，str_s′＝J||K||bsn||R1′||R2′、h′＝H₅(c′||msg||str_s′||n_T)，比较h′和h，若相等，则验证通过，说明来自证明方背书的消息msg是可信赖的，即证明方背书的消息msg确实来源于证明方且未被篡改，若不相等，则对证明方背书的消息msg的签名是不可信赖的，终止通信；

3110)验证方解密E_PKs(PMS)得到PMS，由PMS、n_c、n_s计算会话密钥Session Key；

3111)若远程证明的结果是正确的，握手协议通过TLS规范中的消息ChangeCipherSpec和Finished消息来验证会话密钥协商是否成功，若会话密钥协商成功，则验证方将数据加密传输给证明方以提供服务；

4)验证方通过DAA Verify阶段验证证明方的身份和平台完整性，同时验证方通过解密得到预主密钥并计算会话密钥，并将DAA Verify阶段的结果返回给证明方，证明方在接收到验证结果并确认通过后，进入会话密钥验证阶段，最后进行加密通信。