趙 楠,章國(guó)安,谷曉會(huì)

(南通大學(xué) 電子信息學(xué)院,江蘇 南通 226019)

0 概述

車(chē)載自組織網(wǎng)絡(luò)[1](Vehicular Ad-hoc Network,VANET)是移動(dòng)自組網(wǎng)(MANET)在交通道路上的應(yīng)用,是一種特殊的移動(dòng)自組織網(wǎng)絡(luò)。VANET是由在公路上高速移動(dòng)且配備無(wú)線通信設(shè)備的多個(gè)車(chē)輛通過(guò)交換各自信息(如車(chē)輛位置、周?chē)窙r、行駛速度等)而形成的新型多跳網(wǎng)絡(luò)。與傳統(tǒng)無(wú)線自組織網(wǎng)絡(luò)相比,VANET因其自身的特性,如高移動(dòng)性、高通信延遲率、較大網(wǎng)絡(luò)規(guī)模等而極易受到各類(lèi)安全攻擊,通信數(shù)據(jù)易被攻擊者監(jiān)測(cè)并偽造。同時(shí),由于VANET通信環(huán)境的開(kāi)放性,用戶隱私信息(如車(chē)牌號(hào)碼、駕駛員身份)一旦被惡意第三方所竊取,將嚴(yán)重威脅用戶生命財(cái)產(chǎn)安全。因此,如何有效解決VANET的安全性和隱私保護(hù)是目前亟需解決的問(wèn)題。

無(wú)證書(shū)公鑰密碼體制(Certificateless Public Key Cryptography,CL-PKC)由Al-Riyami和Paterson[2]在2003年亞密會(huì)議上提出。一方面,CL-PKC能夠有效解決基于身份的公鑰密碼體制[3](Identity-based Public Key Cryptography,ID-PKC)中固有的密鑰托管問(wèn)題;另一方面,由于在CL-PKC中,密鑰生成中心(Key Generation Center,KGC)僅生成用戶的部分私鑰,用戶公鑰和完整私鑰需用戶通過(guò)自己選定的秘密值計(jì)算得出,因此,克服了傳統(tǒng)公鑰體制中的數(shù)字證書(shū)存儲(chǔ)和管理難題。

在2003年歐洲密碼會(huì)議上,BONEH和GENTRY等人提出聚合簽名[4]這一概念。聚合簽名方案是一種支持聚合驗(yàn)證的數(shù)字簽名方案:對(duì)于來(lái)自n個(gè)不同用戶Ui(1≤i≤n)的不同消息mi進(jìn)行簽名后,通過(guò)一個(gè)聚合算法將這n個(gè)簽名聚合成一個(gè)唯一的簽名,后續(xù)驗(yàn)證者只需對(duì)該聚合簽名進(jìn)行驗(yàn)證即可判斷用戶Ui對(duì)消息mi的簽名是否有效。目前已經(jīng)有許多學(xué)者提出了無(wú)證書(shū)聚合簽名(Certificateless Aggregate Signature,CLAS)方案[5-7]。文獻(xiàn)[8]提出一個(gè)與聚合簽名數(shù)量無(wú)關(guān)的有效CLAS方案,并證明在聚合驗(yàn)證過(guò)程中僅需要極少的、固定數(shù)量的雙線性對(duì)運(yùn)算。但該方案被多個(gè)學(xué)者證明在給定攻擊下對(duì)抗Type Ⅱ型對(duì)手是不安全的。文獻(xiàn)[9]提出一個(gè)改進(jìn)的CLAS方案,但文獻(xiàn)[10]發(fā)現(xiàn)在該方案中Type Ⅱ型攻擊可以對(duì)任何信息成功偽造簽名,并針對(duì)這一問(wèn)題提出一個(gè)新的方案,文獻(xiàn)[11]通過(guò)對(duì)文獻(xiàn)[10]方案進(jìn)行密碼分析,證明了該方案同樣無(wú)法對(duì)抗Type Ⅱ型的攻擊者。文獻(xiàn)[12]基于雙線性對(duì)提出一個(gè)隨機(jī)預(yù)言模型下可證安全的CLAS方案。該方案基于計(jì)算性Diffie-Hellman(Computational Diffie-Hellman,CDH)假設(shè),在適應(yīng)性選擇消息攻擊下證明存在性不可偽造。

本文在文獻(xiàn)[13]的基礎(chǔ)上,提出一種適用于車(chē)載自組織網(wǎng)絡(luò)隱私保護(hù)的CLAS方案。通過(guò)聚合簽名降低RSU負(fù)擔(dān),減少計(jì)算開(kāi)銷(xiāo),并基于CDH復(fù)雜性假設(shè),證明該方案在適應(yīng)性選擇消息攻擊下的存在性是不可偽造的。

1 預(yù)備知識(shí)

1.1 VANET系統(tǒng)模型

如圖1所示,VANET系統(tǒng)一般包括3個(gè)部分:

1)車(chē)載單元(On Board Unit,OBU)。每臺(tái)車(chē)輛都安裝了類(lèi)似移動(dòng)終端的車(chē)載單元,通過(guò)車(chē)載單元進(jìn)行通信。

2)路邊單元(Road Side Unit,RSU)。RSU通常位于道路兩側(cè)及十字路口,其數(shù)量巨大且一般與所處區(qū)域的交通密度呈正相關(guān)。OBU與周?chē)渌鸒BU的通信(V2V)以及OBU與RSU的通信(V2R)通過(guò)專(zhuān)用短距離通信(Dedicated Short Range Communication,DSRC)的標(biāo)準(zhǔn)協(xié)議IEEE.802.11p實(shí)現(xiàn)。RSU之間以及RSU與可信機(jī)構(gòu)之間則通過(guò)有線網(wǎng)路的安全通道完成數(shù)據(jù)交互。

3)可信機(jī)構(gòu)(Trust Authority,TA)。TA是一個(gè)權(quán)威機(jī)構(gòu),通常由所處區(qū)域的交通管理局擔(dān)任,發(fā)布系統(tǒng)公共參數(shù),為系統(tǒng)提供認(rèn)證服務(wù)。本文的密鑰生成中心KGC部署在TA。

圖1 VANET系統(tǒng)模型Fig.1 VANET system model

1.2 雙線性對(duì)

1.2.1 雙線性映射

2)非退化性:存在R,T∈G1,使e(R,T)≠1G2(1G2表示群G2的生成元)。

3)可計(jì)算性:對(duì)于?R,T∈G1,e(R,T)可以通過(guò)一個(gè)算法在多項(xiàng)式時(shí)間內(nèi)計(jì)算出。

4)對(duì)稱性:e(R,T)=e(T,R)。

1.2.2 復(fù)雜性假設(shè)

定義2如果在一個(gè)CLAS方案中,不存在2種不同類(lèi)型敵手AⅠ和AⅡ能夠以不可忽略的概率在挑戰(zhàn)Ⅰ、Ⅱ中獲得勝利,那么該CLAS方案在適應(yīng)性選擇消息下的存在性不可偽造。

CLAS方案的形式化模型參考文獻(xiàn)[14-15],安全模型參考文獻(xiàn)[16-17]。

2 本文隱私保護(hù)CLAS方案

本文CLAS方案的形式化模型在文獻(xiàn)[13,15]的基礎(chǔ)上,結(jié)合VANET的工作環(huán)境,增加了車(chē)輛真實(shí)身份注冊(cè)和車(chē)輛偽身份生成2個(gè)步驟,涉及的各符號(hào)參數(shù)及意義如表1所示。

表1 本文CLAS方案涉及的符號(hào)參數(shù)及其意義Table 1 Symbol parameters and meanings of CLAS scheme herein

2.1 系統(tǒng)建立

2.1.1 初始化

Params=

2.1.2 車(chē)輛注冊(cè)

車(chē)輛注冊(cè)在交通管理中心(Traffic Management Center,TMC)完成。假設(shè)每臺(tái)車(chē)輛Vi在行駛之前均在TMC以其真實(shí)身份IDi注冊(cè)。為保護(hù)車(chē)輛的隱私,TMC通過(guò)安全散列函數(shù)H0:{0,1}*→G1計(jì)算Qi=H0(IDi),將其作為車(chē)輛的偽身份發(fā)送給車(chē)輛用戶(偽身份隨著車(chē)輛行駛被所處區(qū)域的TMC實(shí)時(shí)更新)。只有當(dāng)該車(chē)輛用戶違法行駛、發(fā)生交通事故等被執(zhí)法部門(mén)追究其責(zé)任時(shí),TMC才會(huì)公布該車(chē)輛用戶真實(shí)身份IDi。

2.2 算法組成

2.2.1 車(chē)輛公鑰生成

2.2.2 部分私鑰生成

輸入車(chē)輛偽身份Qi、系統(tǒng)參數(shù)Params和主密鑰s,則車(chē)輛部分私鑰pskOBUi=s·Qi。通過(guò)計(jì)算等式e(pskOBUi,P)=e(Qi,Ppub)是否成立來(lái)判斷pskOBUi正確與否。若成立,則生成完整私鑰SKOBUi=(αi,pskOBUi)。

2.2.3 單個(gè)車(chē)輛用戶簽名

RSU選擇一個(gè)狀態(tài)信息θ并廣播(θ可以是當(dāng)前位置、當(dāng)下時(shí)間、部分系統(tǒng)參數(shù)等有效信息)。車(chē)輛Vi的身份為Qi、公鑰為PKOBUi、私鑰為SKOBUi,對(duì)于消息mi∈{0,1}*(1≤i≤n),簽名過(guò)程如下:

2)計(jì)算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui);

3)計(jì)算Vi=ui·W+di·pskOBUi+(αi·hi+βi)·R,輸出車(chē)輛對(duì)消息mi的簽名(mi,σi=(Ui,Vi))。

2.2.4 聚合簽名

2.2.5 驗(yàn)證過(guò)程

驗(yàn)證過(guò)程如下:

1)單個(gè)車(chē)輛用戶簽名驗(yàn)證。輸入消息-簽名對(duì)(mi,σi),計(jì)算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui)驗(yàn)證等式(1)是否成立。

e(P,Vi)=e(Ui,W)·e(diQi,Ppub)·

(1)

2)聚合驗(yàn)證。計(jì)算并驗(yàn)證式(2)是否成立。

(2)

3 方案分析

3.1 正確性

3.1.1 單個(gè)車(chē)輛用戶簽名驗(yàn)證的正確性

單個(gè)車(chē)輛用戶簽名驗(yàn)證過(guò)程如下:

e(P,Vi)=e(P,ui·W+di·pskOBUi+

(αi·hi+βi)·R)=e(P,ui·W)·

e(P,di·pskOBUi)·e(P,αi·hi·R)·

e(P,βi·R)=e(Ui,W)·

e(diQi,Ppub)·e(hiPKOBUi,R)·

3.1.2 聚合簽名驗(yàn)證的正確性

聚合簽名驗(yàn)證過(guò)程如下:

等式成立。

3.2 不可偽造性

在CLAS方案的安全模型中,面對(duì)隨機(jī)預(yù)言模型下的適應(yīng)性選擇消息的攻擊,攻擊者AⅠ和AⅡ在挑戰(zhàn)Ⅰ、Ⅱ中獲勝的概率可以忽略,則該方案具備存在性不可偽造性,主要特點(diǎn)如表2所示。

表2 兩類(lèi)攻擊者主要特點(diǎn)比較Table 2 Comparison of main characteristics of two types of attackers

假設(shè)在多項(xiàng)式時(shí)間t內(nèi),攻擊者A∈{AⅠ,AⅡ}被允許完成qH0、qH1、qH2、qH3、qH4次哈希詢問(wèn),q5次部分私鑰詢問(wèn),q6次公鑰替換詢問(wèn),q7次車(chē)輛用戶秘密值詢問(wèn),q8次單一車(chē)輛用戶簽名詢問(wèn),各詢問(wèn)對(duì)應(yīng)用時(shí)為t0～t8。

證明:

2)詢問(wèn):

(1)H0詢問(wèn)(用戶生成詢問(wèn))。C1維護(hù)H0列表L0=(IDi,Qi,PKOBUi,pskOBUi,xi,αi),列表初始狀態(tài)為空。C1任選l∈{1,2,…,qH0},攻擊者AⅠ輸入車(chē)輛身份IDi,C1查詢列表L0中已有記錄。若i=l,計(jì)算Ql=Pb+xl·P,pskOBUl=⊥(⊥表示該值未知),PKOBUl=αl·P;若i≠l,則Qi=xi·P,pskOBUi=xi·Pa,PKOBUi=αi·P。然后,C1將元組(IDi,Qi,PKOBUi,pskOBUi,xi,αi)更新到列表L0并且返回PKOBUi和Qi給敵手AⅠ。

(6)部分私鑰詢問(wèn)。C1維護(hù)列表Lpsk。當(dāng)敵手AⅠ詢問(wèn)車(chē)輛部分私鑰pskOBUi時(shí),C1查找Lpsk。若i=l,則C1挑戰(zhàn)失敗;若i≠l,那么C1查找L0中元組(IDi,Qi,PKOBUi,pskOBUi,xi,αi),將pskOBUi返回給AⅠ。

(8)秘密值詢問(wèn)。敵手AⅠ詢問(wèn)車(chē)輛IDi的秘密值。C1查找列表L0中已有的秘密值αi,將其返回給AⅠ。若車(chē)輛的公鑰PKOBUi已被替換,則輸出αi=⊥。

C1將(mi,θi,IDi,PKOBUi,Ui,ui,hi,di,Vi)添加到列表L,返回(Ui,Vi)給AⅠ。因?yàn)镻pub=aP=Pa,所以(Ui,Vi)是一個(gè)有效簽名,證明過(guò)程如下:

e(ui·P+diQi,λiP-Pa)·e(diQi,Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP-Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP)·

e(ui·P-Pa,λiP)·e(diQi,λiP)·

e(λi·ui·P+λi·diQi+γi(hiPKOBUi+

C1從列表中找出相應(yīng)參數(shù):

4)偽造成功概率:C1成功解決CDH問(wèn)題的概率可轉(zhuǎn)化為以下3個(gè)事件發(fā)生的概率。

E1:C1在敵手AⅠ進(jìn)行部分私鑰提取過(guò)程未被終止;

E2:AⅠ成功偽造了一個(gè)有效的聚合簽名σ=(U,V);

E3:在詢問(wèn)的n條記錄中,至少有一條IDi=IDj。

P(E1∩E2∩E3)=P(E1)P(E2|E1)·

P(E3|E1∩E2)=

綜上所述,在隨機(jī)預(yù)言模型下,如果攻擊者AⅠ或AⅡ能夠在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率偽造出聚合簽名,則挑戰(zhàn)者C能以不可忽略的概率解決CDH問(wèn)題。而這一結(jié)論與定義1相矛盾,因此,本文提出的CLAS方案是不可偽造的。

3.3 隱私性

本文方案是基于車(chē)輛用戶與路邊單元(V2I)通信模式的,在車(chē)輛進(jìn)行通信之前,每臺(tái)車(chē)輛Vi都會(huì)用其真實(shí)身份IDi在交通管理中心(TMC)注冊(cè),TMC則通過(guò)安全哈希函數(shù)H0:{0,1}*→G1計(jì)算車(chē)輛用戶的偽身份Qi=H0(IDi),除TMC之外不會(huì)有任何第三方知道車(chē)輛的真實(shí)身份;在通信過(guò)程中,參與聚合的車(chē)輛以偽身份動(dòng)態(tài)地加入簽名過(guò)程,車(chē)輛可以在不泄露自身隱私消息的情況下進(jìn)行匿名的信息交互,RSU則對(duì)通信消息進(jìn)行聚合簽密,保護(hù)了車(chē)輛用戶的隱私,因此滿足隱私性的要求。

3.4 可追蹤性

TMC對(duì)區(qū)域內(nèi)車(chē)輛執(zhí)行違法追蹤。如果車(chē)輛用戶在通信過(guò)程中出現(xiàn)發(fā)布違法信息、簽名驗(yàn)證算法失敗等情況或車(chē)輛違法行駛、出現(xiàn)交通事故被執(zhí)法部門(mén)追究其法律責(zé)任時(shí),TMC利用Hash函數(shù)的單向性,計(jì)算車(chē)輛用戶的偽身份Qi=H0(IDi)來(lái)驗(yàn)證其真實(shí)身份;另一方面,RSU可以將偽身份Qi發(fā)送給TMC,TMC通過(guò)查詢用戶的原始注冊(cè)信息來(lái)追查到其真實(shí)IDi。

3.5 計(jì)算效率

對(duì)于本文提出的隱私保護(hù)CLAS方案,如何有效地實(shí)現(xiàn)隱私保護(hù)是方案的核心,即要提高聚合簽名驗(yàn)證的效率。表3列舉了文獻(xiàn)[17-20]方案以及本文方案5種不同的CLAS方案中的個(gè)體簽名和聚合驗(yàn)證算法的計(jì)算開(kāi)銷(xiāo)。其中,PB表示一個(gè)雙線性運(yùn)算,Sm表示一個(gè)標(biāo)量乘運(yùn)算,n表示車(chē)輛用戶數(shù)量。根據(jù)文獻(xiàn)[21]方案,選用由8 GB處理器內(nèi)存的Intel I7-6700和Windows7組成的硬件平臺(tái),通過(guò)仿真實(shí)驗(yàn)結(jié)果得知,一個(gè)標(biāo)量乘法運(yùn)算Sm需要0.694 ms,一個(gè)雙線性運(yùn)算PB需要5.086 ms。圖2對(duì)比了各方案的計(jì)算開(kāi)銷(xiāo)。

表3 不同CLAS方案的計(jì)算開(kāi)銷(xiāo)Table 3 Computational overheads of different CLAS schemes

圖2 不同CLAS方案的計(jì)算開(kāi)銷(xiāo)比較Fig.2 Comparison of computational overheads of different CLAS schemes

圖2表明,當(dāng)車(chē)流密度較小(n≤4)時(shí),各CLAS方案的計(jì)算開(kāi)銷(xiāo)相差不大,都在50 ms以內(nèi);隨著車(chē)輛數(shù)量的增加,文獻(xiàn)[17]方案的計(jì)算開(kāi)銷(xiāo)增幅最快,文獻(xiàn)[20]方案其次,文獻(xiàn)[18]方案的增幅與本文的方案接近,但本文的CLAS方案比文獻(xiàn)[18]方案少了一個(gè)雙線性運(yùn)算。鑒于一個(gè)雙線性運(yùn)算的時(shí)間比一個(gè)標(biāo)量乘運(yùn)算的時(shí)間在數(shù)量上多了一個(gè)數(shù)量級(jí),因此減少雙線性運(yùn)算的個(gè)數(shù)是降低CLAS方案計(jì)算開(kāi)銷(xiāo)的一個(gè)重要手段,因此,本文方案優(yōu)于文獻(xiàn)[18]方案。從圖2可以看出,當(dāng)?shù)缆返能?chē)流量較大,參與聚合驗(yàn)證的用戶數(shù)逐漸變多時(shí),本文CLAS方案可以以相對(duì)少的計(jì)算開(kāi)銷(xiāo)高效地為車(chē)輛用戶傳輸有效信息。

另外,定義本文方案中的計(jì)算效率為η,即聚合后簽名驗(yàn)證計(jì)算開(kāi)銷(xiāo)和n個(gè)單一車(chē)輛用戶簽名計(jì)算開(kāi)銷(xiāo)累和之差與這n個(gè)車(chē)輛用戶單獨(dú)簽名計(jì)算開(kāi)銷(xiāo)累和的比值,從而量化計(jì)算效率,各方案的計(jì)算效率η如表4所示,比較結(jié)果如圖3所示。從圖3可以看出,本文CLAS方案在車(chē)流量較大的區(qū)域或擁堵路段的計(jì)算效率最高,鑒于城市道路交通現(xiàn)狀,本文方案適用于城市交通系統(tǒng)。

表4 不同CLAS方案的計(jì)算效率Table 4 Calculational efficiency of different CLAS schemes

圖3 不同CLAS方案的計(jì)算效率比較Fig.3 Comparison of computational efficiency of different CLAS schemes

4 結(jié)束語(yǔ)

本文基于CDH復(fù)雜性假設(shè),提出一種適用于車(chē)載自組織網(wǎng)絡(luò)隱私保護(hù)的CLAS方案。通過(guò)聚合簽名降低路邊單元負(fù)擔(dān),證明該方案在適應(yīng)性選擇消息攻擊下的存在性是不可偽造的。量化對(duì)比本文方案和其他CLAS方案的計(jì)算開(kāi)銷(xiāo),同時(shí)結(jié)合仿真實(shí)驗(yàn)比較各個(gè)方案的計(jì)算效率,結(jié)果表明,本文方案具有較低的計(jì)算開(kāi)銷(xiāo)和較高的計(jì)算效率,能夠?qū)崿F(xiàn)通信過(guò)程中對(duì)車(chē)輛用戶隱私信息保護(hù)。下一步將研究在車(chē)輛密度較大的區(qū)域與擁堵路段隱私信息的可靠傳輸。