VANETs中通信有效的门限匿名认证方案

杨菁菁,卢建朱,江俊晖

(暨南大学计算机科学系,广州510632)

VANETs中通信有效的门限匿名认证方案

杨菁菁,卢建朱,江俊晖

(暨南大学计算机科学系,广州510632)

在保证可靠性、匿名性和可审核性的同时,提高执行效率和降低通信成本是车载自组织网络(VANETs)的研究热点。针对现有匿名认证方案计算量较大和通信成本较高的问题,提出一种通信有效的门限匿名认证方案。采用基于身份的签名算法提高执行效率,使原始信息可从签名中恢复,从而降低通信成本,利用门限转发机制实现信息的可靠性,使用假名保证发送者的匿名性,通过追踪和撤销机制实现可审核性。分析结果表明,与已有的门限匿名认证方案相比,该方案在保证安全性的同时,具有较低的通信成本和较高的执行效率。

车载自组织网络;门限;匿名认证;信息恢复;可靠性;匿名性;可审核性

1 概述

车载自组织网络(Vehicular Ad Hoc Networks, VANETs)作为一种自组织网络系统专门用于车辆间的无线通信,通常由大量车载节点、路边单元和车辆管理中心3个部分组成,实现了三者之间的无线通信,使系统中的车载用户能够及时获取实时的路况信息和其他车辆的信息。VANETs在突发事故报警、交通效率提高、交通安全保障等方面有着很好的前景,现已成为智能交通的一个研究热点[1]。作为智能交通系统的重要基础,一方面,VANETs中有着大量的用户通信信息,若被不法分子利用,将面临着一系列的隐私保护问题和交通安全问题,如窃听、假冒、注入、欺骗、篡改等;另一方面,为了交通秩序的维护和执法的进行,VANETs还要确保信息的可靠性,并具有一定的追踪机制,以获取恶意用户的身份信息,撤销恶意用户,从而保障VANETs中用户的合法性。因此,可靠性、匿名性和可审核性是VANETs需要解决的重要安全问题,设计高效可靠的安全认证方案是VANETs的研究重点之一。

近年来,针对这3个问题,各国学者做了大量的研究工作,提出了多种认证方案。文献[2-4]均采用了设置门限值的方法来获得一定的可靠性。通常情况下车辆节点之间的通信并不需要具有极强的可信任关系,认为车辆节点接收到的信息被一定门限数量的不同节点认证过,那么这个信息就是真的[5]。这个门限值可以是系统内统一的,如文献[2],也可以是各个车辆节点自己决定,如文献[3-4]。

2003年,可信计算组织(Trusted Computing Group,TCG)[6]将最早的直接匿名认证(Direct Anonymous Attestation,DAA)方案[7]作为匿名用户使认证者确信其被可信机构所认可的一种机制。最近,多个更高效的基于双线性映射的DAA方案被提出来,如文献[8-10]。DAA方案可用于不需要追踪签名者的群签名方案中,这样签名者身份的隐私性就得到了加强,但是DAA方案无法追踪到恶意节点的身份信息并撤销。最近的门限匿名认证(Threshold Anonymous Announcement,TAA)方案[11]基于DAA方案[10]提出了一种链接算法,能够不经第三方介入链接到对同一个信息重复签名的节点用户。TAA使用了链接算法来保证进行重复签名的用户的不可抵赖性,这也是使用门限验证不同节点的前提。

TAA方案中签名的生成过程计算量较大,且事件信息要与签名一起广播,通信成本也比较大,针对TAA方案存在的不足,基于文献[12]方案,本文提出一种通信有效的门限匿名认证方案。采用基于身份的签名认证,并引入门限机制,方案中的VANETs包括车辆管理中心和车辆节点两部分,车辆节点使用车辆管理中心加密过的假名对事件进行签名,同时,若存在恶意节点,车辆管理中心会及时解密其身份,并提供给相关部门,供其追踪调查。

2 方案设计

本文方案由车辆管理中心和一组车辆节点2类实体组成。该方案包含的阶段为系统初始化、车辆注册、事件的广播发送、中间节点的认证与事件的转发、车辆管理中心的数据收集与处理、恶意节点的撤销。

将系统节点发布的交通事件分为可信事件和不可信事件。若某一节点发布的交通事件是当前真实发生的,则称它是可信事件,否则称为不可信事件。节点发布的交通事件信息满足其对应的数字签名,则称该信息是有效的。根据实际应用环境的需求,系统预先确定一个门限值,当有τ个不同的节点发布同一交通事件信息,且它们都是有效的,则接收者认为这些信息中的这一交通事件是可信事件。这种基于门限的数字签名认证机制可防止系统中个别节点发布虚假信息,从而提高系统的可靠性。

2.1 系统初始化

在VANETs中车辆节点部署之前,由车辆管理中心生成各项参数:

(1)根据安全系数k∈Z+,车辆管理中心利用群生成函数g(1k)→(G1,G2,P,q,e)生成加法群G1、乘法群G2和双线性映射e:G1×G1→G2,其中,P是G1的生成元;G1和G2的阶均为大素数q;e满足双线性、非退化和可计算的性质。

(4)选取安全的对称加密算法Eκ(·),其中,κ是对称加密密钥,利用κ及Eκ(·),生成各个节点身份标识符IDi的假名AIDi=Eκ(IDi)。

(5)选择一个门限值τ,作为中间节点的转发门限。

(6)生成一个授权撤销列表(Authorization Revocation List,ARL),初始时设计其为空集,由车辆管理中心定期更新和发布相关撤销用户的信息。

车辆管理中心秘密保存主密钥s和对称加密密钥κ,并公布参数:

然后,系统将ARL和Params预加载到每个车辆节点上,并将这些部署的车辆节点组成一个VANETs。这里所有节点的假名也加载在了每个节点上。

2.2 车辆注册

对于部署的VANETs,其每个车辆节点Vi具有一个身份标识符IDi∈{0,1}∗;该节点向车辆管理中心申请签名密钥。

当接收到身份标识符为IDi的车辆节点Vi的请求时,车辆管理中心进行如下操作:

(1)根据主密钥s,计算AIDi对应的私钥SKi=。

(2)车辆管理中心通过安全信道将假名AIDi及其私钥SKi发送给Vi。

车辆节点Vi接收到假名AIDi及其私钥SKi后,根据e(SKi,H(AIDi)P+PPub)=e(P,P)验证其正确性。如果正确,将(AIDi,SKi)秘密保存;否则,重新向车辆管理中心提出申请,直至获得正确的假名-私钥对(AIDi,SKi)。

2.3 事件的广播发送

Vi对当前发生的事件E∈{0,1}l1,采用类似于EIBAS方案[12]中的签名算法生成关于时间戳ti和事件E的签名[AIDi,ti,sigi]。具体操作如下:

(1)获取车辆节点Vi的当前时间戳ti。

(3)利用Params中的F1,先计算事件E的认证信息F1(E)。

(4)用随机值r1的哈希值α隐藏事件E,得到密文r2=[α⊕β]10,其中,β=F1(E)‖(F2(F1(E))⊕E)。

(5)用其私钥SKi生成密文r2的签名σ= (r1+r2)SKi。即,sigi=(r2,σ)就是车辆节点Vi对事件E的签名。

(6)用户在VANETs中广播信息[AIDi,ti,sigi]。

2.4 中间节点的认证与事件转发

中间节点接收有关事件E的广播信息(该信息来自源节点Vi或由其他节点转发),然后向车辆管理中心或其他节点转发接收的信息。在转发之前,中间节点需要认证接收信息的正确性;并根据门限值τ,确认该信息在给定的时延内被τ个不同的传感器节点认证。根据系统给定的时延δ和车辆管理中心广播的最新ARL,中间节点具体操作如下:

(1)根据时刻可以收到的信息[AIDi,ti,sigi=(r2,σ)],验证。

(2)验证AIDi不在ARL。

(3)只有上述2个验证中同时成立,才进行如下的签名验证:

1)利用系统公钥PPub、sigi中的σ和函数H(·),计算A=e(σ,H(AIDi)P+PPub)。

2)根据sigi中的r2和函数H(·),计算=H1(AIDi,ti,e(P,P)-r2·A),=[r2]2⊕。

当且仅当上述3个验证同时成立,则认为信息[AIDi,ti,sigi]是正确的。

(4)当恢复消息来自τ个不同的采集信息的车辆节点Vi,且都满足等式,将它们同时广播给下一跳节点。

对于一个车辆节点Vi的数据信息[AIDi,ti,sigi],中间节点对这个AIDi只需要一个正确的信息,后续相同的数据将被丢弃。

2.5 车辆管理中心的数据收集与处理

获取数据的车辆节点Vi按照2.3节的操作广播信息,中间节点执行2.4节的认证和转发操作,最后将信息传送到车辆管理中心.假设在时刻ts接收身份标识为IDi的车辆节点Vi的广播信息[AIDi,ti,sigi],车辆管理中心用ts替换2.4节中的,执行其对应的步骤1)～步骤3)恢复出事件,并验证其正确性.当车辆管理中心接收到有效事件(即=E),分别来自τ个不同的采集信息车辆节点,则认为事件可信,并报相关部门采取相应的处理措施。

2.6 恶意节点的撤销

恶意节点是指在VANETs中传播虚假信息的节点。当中间节点接收某一有效事件E,而发送E的不同节点数目小于门限值,则认为E是不可信的,并丢弃该信息。若中间节点在有限的时间内,接收来自某一假名为AIDi的节点的不可信的事件达到一个给定的值时,则将其对应的AIDi发送给车辆管理中心。

车辆管理中心记录中间节点对恶意节点的控告。在有限的时间内,对AIDi控告的不同中间节点数目达到一个给定的值时,车辆管理中心利用密钥κ解密AIDi=Eκ(IDi),得到该节点的真实身份IDi。随后,对该节点进行相关的跟踪调查。当确认该节点被捕获或被恶意使用,车辆管理中心将其对应的AIDi加入到授权撤销列表(ARL)中,并向VANETs广播更新的ARL。

3 安全性与性能分析

3.1 安全性分析

本文方案对VANETs中的车辆通信采用匿名认证机制,其安全性是基于k-BDHI困难性问题、椭圆曲线上的离散对数问题和哈希函数的输出的随机性的。本节将从可靠性、隐私性和可审核性3个方面对本文方案的安全性进行分析。

3.1.1 可靠性

可靠性是指若车辆接收了一个被广播的消息,这个消息必须是由合法、有效的车辆节点(身份认证)发布,并且信息未经攻击者篡改(信息完整性),进一步,信息代表的事件是真实发生过的(信息可信),系统能够在存在少数攻击者的情况下正确运行(系统健壮性)。

在中间节点认证阶段,中间节点利用数字签名认证发送者的身份和信息的完整性。接收到车辆IDi广播的[AIDi,ti,sigi]后,中间节点先确认车辆IDi是一个当前未撤销的授权节点,再认证该信息的有效性(它包含信息的时效性、完整性和发送者的身份认证)。

中间节点通过查询ARL来传感器节点IDi是否被撤销。若其对应的假名AIDi∈ARL,则这是一个撤销的授权节点,中间节点丢弃信息[AIDi,ti,sigi]。假设基站的ARL更新广播附有相关的认证信息(如数字签名),攻击者难以篡改ARL。这样,攻击者利用撤销的授权节点发送信息是很难的。

合法节点广播的信息包含AIDi,ti,r2和σ4个部分。当攻击者篡改它的任何一个部分,中间节点均可通过签名认证发现其攻击行为。

对于超时的信息[AIDi,ti,sigi],攻击者将ti篡改成一个最新的有效时间t′i,将[AIDi,t′i,sigi]发送给中间节点。这时,-t′i≤δ,=H1(AIDi,t′i,e(P,P)-r2·e(σ,H(AIDi)P+PPub)),其中,是中间节点的接收时间戳;由于H1(·)是一个哈希函数,其输出是一个随机数,因此。将[r2]2⊕表示成,使恢复的满足,也就是,由哈希函数F1(·)和F2(·)输出的随机性,可知。这样,攻击者成功的概率至多是。

对于信息[AIDi,ti,sigi],攻击者将AIDi篡改成一个虚假身份AID′i,或用虚假的r′2或σ′替换签名sigi=(r2,σ)中的成员r2或σ,再将所得的结果[AID′i,ti,(r′2,σ′)]发送给中间节点,其中,AID′i,r′2和σ′至少有一个是被篡改的。这时,中间节点计算=H1(AID′i,ti,e(P,P)-r′2·e(σ′,H(AID′i)P+PPub)),根据H1(·),H(·)输出的随机性,有。又将[r′2]2⊕表示成,由哈希函数F1(·)和F2(·)输出的随机性可知,。因此,攻击者篡改成功的概率将小于。

由于信息可信性和系统健壮性是通过设定合适的门限值来获得的,中间节点确认某一事件是有效的当且仅当在有效的时间内被至少τ个不同的车辆节点采集发布。假设攻击者在有限时间内只能捕获门限值以下的节点。这样,攻击者通过捕获单个或少量的车辆节点,在VANETs中广播虚假的交通事件,企图通过中间节点的认证。被捕获的传感器节点发送的事件,其签名虽然能通过中间节点的有效性验证,但没有足够的车辆节点采集发布这一数据,导致中间节点认为它是少数节点发送的无效信息而不予转发。从而提高了中间节点抵抗虚假信息的能力。

中间节点对发送不可信事件的节点控告,使车辆管理中心及时追查恶意节点,进一步增强了系统的健壮性。中间节点记录发送不可信事件的节点。在有限的时间内,当节点AIDi的不可信事件达到一个给定的值时,则中间节点将AIDi发送给车辆管理中心,控告该节点。车辆管理中心追查核实控告节点,对确认的恶意节点及时清除出网络。攻击者为了实施攻击,需要捕获新的网络节点。这样,增加了攻击者攻击的难度,提高了系统的健壮性。

3.1.2 匿名性

在广播信息签名阶段,车辆Vi并不直接使用身份标识符IDi进行签名,而是先由车辆管理中心利用初始化时加密此IDi获得的假名AIDi,计算出对应的私钥:

3.1.3 可审核性

可审核性包括:如果车辆是恶意的,中间节点或者车辆管理中心可以识别并拒绝其广播的信息(可撤销),管理部门可以对恶意车辆节点进行追踪和处理(可追踪)。

对恶意节点的追踪和撤销是实际应用系统中需要考虑的问题。在本文方案中,对于多次发送不可信事件的车辆节点,中间节点将向车辆管理中心控告该节点,车辆管理中心记录与此次控告相关的中间节点和发送不可信事件的车辆节点。在有限的时间内,对同一节点AIDi进行控告的不同中间节点数目达到给定的值,这时车辆管理中心怀疑该节点可能是恶意节点,车辆管理中心利用密钥解密得到该节点的真实身份IDi,请求相关部门对该节点进行跟踪调查。

3.2 性能分析

本节将从通信成本和计算成本两方面对本文方案的性能进行分析,并与EIBAS方案[12]、TAA方案[11]的V1版本做比较。具体如下:

(1)通信成本分析

本文方案与EIBAS方案采用基于域F24·271的超奇异椭圆曲线y2+y=x3+x,其素数阶q为252 bit,加法群G1中元素的大小均为271bit。而TAA方案采用基于域的MNT曲线,阶q为160 bit,G1中元素的大小为161bit。设交通事件E、身份标识符IDi、时间戳ti的大小分别为20 Byte(160 bit)、2 Byte(16 bit)和2 Byte(16 bit)。

(2)计算成本分析

假设Tp为一个双线性对运算消耗的时间;Tm为一个加法群G1上的点乘运算消耗的时间;Te为一个G2上的指数运算消耗的时间;Tm2为一个G2上的乘法运算消耗的时间;Ts表示一个平方根运算消耗的时间;表示一个二进制字符串x的长度。相对于假名AIDi计算其私钥利用对称加密算法Eκ(·)产生假名AIDi=Eκ(IDi),对称加密密钥κ由车辆管理中心秘密保存,只有车辆管理中心可以使用κ解密AIDi,恢复其真实身份AIDi,攻击者很难通过假名AIDi获得车辆的真实身份AIDi。另一方面,在系统初始化时,系统公钥为PPub=sP,攻击者根据PPub获取系统的主密钥面临求解椭圆曲线上的离散对数问题(ECDLP)。车辆的私钥SKi=,需要执行一次G1上的点乘运算。这样,总的耗时约为Tm。

事件的广播发送阶段,车辆Vi根据随机数r1计算μ=e(P,P)r1,σ=(r1+r2)SKi,其中,α=H1(AIDi,ti,μ);β=F1(E)‖(F2(F1(E))⊕E);r2= [α⊕β]10。Vi所需要的耗时约为2Tm+Tp。

表1是本文方案与EIBAS、TAA方案的计算和通信成本的比较结果。通信成本方面,本文方案与EIBAS方案仅需要传播签名信息,通信成本都是555 bit;由于TAA方案签名长度为1285 bit,且需要将交通事件信息(160 bit)与签名信息一起广播,总的通信成本为1445 bit,比本文方案多了890 bit。点和对的计算,对称加密算法和哈希运算的耗时可忽略不计的。为了方便比较,将G2上的指数运算消耗的时间Te转换为加法群G1上的点乘运算消耗的时间Tm,如计算e(P,Q)r时,可以先计算P′=r·P,再计算e(P′,Q),即计算e(P,Q)r耗时为Tm+Tp。

车辆注册阶段,车辆管理中心根据车辆Vi的

表1 3种方案计算和通信成本比较

可以看出,本文方案与EIBAS方案在车辆注册阶段、事件的广播发送阶段和中间节点的认证与事件的转发阶段的计算成本是相当的,本文方案广播信息中的身份信息经过一次对称加密运算AIDi=Eκ(IDi),有效防止攻击者获得车辆节点的身份信息,而中间节点对广播信息转发时采用门限机制,使得所转发信息的可靠性进一步提高。车辆注册阶段,TAA除了有9次点乘运算、4次对的运算,还有一次签名算法sigSK和一次验证算法verPK,而且MNT曲线上对的计算比本方案采用的超奇异椭圆曲线上对的计算慢接近4倍,这样TAA在此阶段的计算成本远大于本文方案;事件的广播发送阶段,本文方案比TAA少了4次对的计算;中间节点的认证与事件的转发阶段,本文方案较TAA方案少了2次点乘运算和3次对的运算,多了一次G2上的乘法运算和一个平方根运算,而一次对的运算耗时大于一次乘法运算或一次平方根运算,因此,本阶段中本文方案计算成本较TAA方案小。

以上分析表明,本文方案通信成本和计算成本与EIBAS方案大体相近,并且本文方案使用假名进行签名,保护了车辆隐私,中间节点对达到一定门限值的信息才进行转发,保证了信息的可靠性,最后车辆管理中心可以追踪和撤销恶意车辆节点,使方案的安全性进一步提高。与TAA方案相比,由于传输的交通事件E可通过对应的签名恢复,而不需要与签名一起传输,大大降低了通信成本,计算成本也相对较小,因此本文方案在VANETs中是可行的。

4 结束语

本文设计一种VANETs中通信有效的门限匿名认证方案。该方案利用基于门限的数字签名认证实现车载自组织网络的可靠性,采用假名完成信息发送者匿名性的设计,并且可对恶意节点进行追踪和撤销。分析结果表明,与现有方案相比,该方案具有通信成本较低、计算效率较高的特点,具有一定的应用价值。但方案中的门限值设定需要平衡系统效率与安全性的关系,因此,今后将研究选取合适的门限值,以进一步优化系统的通信效率。

[1] 冯 勇,梁 浩.车载自组织网络中一种有效的匿名认证方案[J].计算机工程与应用,2010,46(23): 126-128.

[2] Daza V,Domingo-Ferrer J,Seb F,et al.Trustworthy Privacy-preservingCar-generatedAnnouncementsin Vehicular Ad Hoc Networks[J].IEEE Transactions on Vehicular Technology,2009,58(4):1876-1886.

[3] Golle P,Greene D,Staddon J.Detecting and Correcting Malicious Data in VANETs[C]//Proceedings of the1st ACM International Workshop on Vehicular Ad Hoc Networks.Philadelphia,USA:ACM Press,2004:29-37.

[4] Kounga G,Walter T,Lachmund S.Proving Reliability of AnonymousInformationinVANETs[J].IEEE Transactions on Vehicular Technology,2009,58(6): 2977-2989.

[5] Raya M,AzizA,HubauxJP.EfficientSecure Aggregation in VANETs[C]//Proceedings of the 3rd International Workshop on Vehicular Ad Hoc Networks. Los Angeles,USA:ACM Press,2006:67-75.

[6] Trusted Computing Group.Trusted Computing[EB/OL]. [2014-01-08].http://www.trustedcomputinggroup.org.

[7] Brickell E,Camenisch J,Chen Liqun.Direct Anonymous Attestation[C]//Proceedingsofthe11thACM Conference on Computer and Communications Security. Washington D.C.,USA:ACM Press,2004:132-145.

[8] Brickell E,Chen Liqun,Li Jiangtao.Simplified Security Notions of Direct Anonymous Attestation and a Concrete Scheme from Pairings[J].International Journal of Information Security,2009,8(5):315-330.

[9] Brickell E,Li Jiangtao.Enhanced Privacy ID:A Direct AnonymousAttestationSchemewithEnhanced Revocation Capabilities[C]//ProceedingsofACM Workshop on Privacy in Electronic Society.Alexandria, USA:ACM Press,2007:21-30.

[10] Chen Liqun,Morrissey P.DAA:Fixing the Pairing Based Protocols[EB/OL].[2014-01-08].http:// eprint.iacr.org/2009/198.

[11] Chen Liqun,Siaw-Lynn N,WangGuilin.Threshold Anonymous Announcement in VANETs[J].IEEE Journal on Selected Areas in Communications,2011, 29(3):605-615.

[12] Kyung-Ah S,Young-Ran L,Cheol-Min P.EIBAS:An Efficient Identity-based Broadcast Authentication Scheme in Wireless Sensor Networks[J].Ad Hoc Networks, 2013,11(1):182-189.

编辑 刘 冰

Communication-efficient Threshold Anonymous Authentication Scheme in VANETs

YANG Jingjing,LU Jianzhu,JIANG Junhui
(Department of Computer Science,Jinan University,Guangzhou 510632,China)

How to improve the computational efficiency and how to reduce the communication cost while achieving the goals of reliability,anonymity and auditability are becoming important research issues of Vehicular Ad Hoc Networks (VANETs).Due to computational efficiency and communication cost of existing anonymous authentication schemes,a communication-efficient threshold anonymous authentication scheme is proposed in this paper.It signs the message by using an identity-based signature algorithm and the original message can be recovered from the signature,which can improve the computational efficiency and reduce the communication cost.The threshold-based forwarding mechanism ensures reliability of information.The anonymity of the message sender is achieved by using pseudonym.In order to achieve auditability,this system is able to track and revoke malicious nodes.Analysis result indicates that the proposed scheme not only satisfies reliability,anonymity and auditability,but also has lower communication cost and better computational efficiency compared with the existing threshold anonymous announcement in VANETs.

Vehicular Ad Hoc Networks(VANETs);threshold;anonymous authentication;message recovery; reliability;anonymity;auditability

杨菁菁,卢建朱,江俊晖.VANETs中通信有效的门限匿名认证方案[J].计算机工程, 2015,41(2):107-112.

英文引用格式:Yang Jingjing,Lu Jianzhu,Jiang Junhui.Communication-efficient Threshold Anonymous Authentication Scheme in VANETs[J].Computer Engineering,2015,41(2):107-112.

1000-3428(2015)02-0107-06

:A

:TP399

10.3969/j.issn.1000-3428.2015.02.021

国家自然科学基金资助项目(61070164);广东省自然科学基金资助项目(S2011010002708);广东省教育部产学研结合基金资助项目(2012b091000038)。

杨菁菁(1989-),女,硕士研究生,主研方向:信息安全,网络通信;卢建朱,副教授、博士;江俊晖,硕士研究生。

2014-03-05

:2014-04-19E-mail:yjjtb2009@126.com