VANET中隐私保护的无证书聚合签名方案

赵 楠,章国安,谷晓会

(南通大学 电子信息学院,江苏 南通 226019)

0 概述

车载自组织网络[1](Vehicular Ad-hoc Network,VANET)是移动自组网(MANET)在交通道路上的应用,是一种特殊的移动自组织网络。VANET是由在公路上高速移动且配备无线通信设备的多个车辆通过交换各自信息(如车辆位置、周围路况、行驶速度等)而形成的新型多跳网络。与传统无线自组织网络相比,VANET因其自身的特性,如高移动性、高通信延迟率、较大网络规模等而极易受到各类安全攻击,通信数据易被攻击者监测并伪造。同时,由于VANET通信环境的开放性,用户隐私信息(如车牌号码、驾驶员身份)一旦被恶意第三方所窃取,将严重威胁用户生命财产安全。因此,如何有效解决VANET的安全性和隐私保护是目前亟需解决的问题。

无证书公钥密码体制(Certificateless Public Key Cryptography,CL-PKC)由Al-Riyami和Paterson[2]在2003年亚密会议上提出。一方面,CL-PKC能够有效解决基于身份的公钥密码体制[3](Identity-based Public Key Cryptography,ID-PKC)中固有的密钥托管问题;另一方面,由于在CL-PKC中,密钥生成中心(Key Generation Center,KGC)仅生成用户的部分私钥,用户公钥和完整私钥需用户通过自己选定的秘密值计算得出,因此,克服了传统公钥体制中的数字证书存储和管理难题。

在2003年欧洲密码会议上,BONEH和GENTRY等人提出聚合签名[4]这一概念。聚合签名方案是一种支持聚合验证的数字签名方案:对于来自n个不同用户Ui(1≤i≤n)的不同消息mi进行签名后,通过一个聚合算法将这n个签名聚合成一个唯一的签名,后续验证者只需对该聚合签名进行验证即可判断用户Ui对消息mi的签名是否有效。目前已经有许多学者提出了无证书聚合签名(Certificateless Aggregate Signature,CLAS)方案[5-7]。文献[8]提出一个与聚合签名数量无关的有效CLAS方案,并证明在聚合验证过程中仅需要极少的、固定数量的双线性对运算。但该方案被多个学者证明在给定攻击下对抗Type Ⅱ型对手是不安全的。文献[9]提出一个改进的CLAS方案,但文献[10]发现在该方案中Type Ⅱ型攻击可以对任何信息成功伪造签名,并针对这一问题提出一个新的方案,文献[11]通过对文献[10]方案进行密码分析,证明了该方案同样无法对抗Type Ⅱ型的攻击者。文献[12]基于双线性对提出一个随机预言模型下可证安全的CLAS方案。该方案基于计算性Diffie-Hellman(Computational Diffie-Hellman,CDH)假设,在适应性选择消息攻击下证明存在性不可伪造。

本文在文献[13]的基础上,提出一种适用于车载自组织网络隐私保护的CLAS方案。通过聚合签名降低RSU负担,减少计算开销,并基于CDH复杂性假设,证明该方案在适应性选择消息攻击下的存在性是不可伪造的。

1 预备知识

1.1 VANET系统模型

如图1所示,VANET系统一般包括3个部分:

1)车载单元(On Board Unit,OBU)。每台车辆都安装了类似移动终端的车载单元,通过车载单元进行通信。

2)路边单元(Road Side Unit,RSU)。RSU通常位于道路两侧及十字路口,其数量巨大且一般与所处区域的交通密度呈正相关。OBU与周围其他OBU的通信(V2V)以及OBU与RSU的通信(V2R)通过专用短距离通信(Dedicated Short Range Communication,DSRC)的标准协议IEEE.802.11p实现。RSU之间以及RSU与可信机构之间则通过有线网路的安全通道完成数据交互。

3)可信机构(Trust Authority,TA)。TA是一个权威机构,通常由所处区域的交通管理局担任,发布系统公共参数,为系统提供认证服务。本文的密钥生成中心KGC部署在TA。

图1 VANET系统模型Fig.1 VANET system model

1.2 双线性对

1.2.1 双线性映射

2)非退化性:存在R,T∈G1,使e(R,T)≠1G2(1G2表示群G2的生成元)。

3)可计算性:对于∀R,T∈G1,e(R,T)可以通过一个算法在多项式时间内计算出。

4)对称性:e(R,T)=e(T,R)。

1.2.2 复杂性假设

定义2如果在一个CLAS方案中,不存在2种不同类型敌手AⅠ和AⅡ能够以不可忽略的概率在挑战Ⅰ、Ⅱ中获得胜利,那么该CLAS方案在适应性选择消息下的存在性不可伪造。

CLAS方案的形式化模型参考文献[14-15],安全模型参考文献[16-17]。

2 本文隐私保护CLAS方案

本文CLAS方案的形式化模型在文献[13,15]的基础上,结合VANET的工作环境,增加了车辆真实身份注册和车辆伪身份生成2个步骤,涉及的各符号参数及意义如表1所示。

表1 本文CLAS方案涉及的符号参数及其意义Table 1 Symbol parameters and meanings of CLAS scheme herein

2.1 系统建立

2.1.1 初始化

Params=

2.1.2 车辆注册

车辆注册在交通管理中心(Traffic Management Center,TMC)完成。假设每台车辆Vi在行驶之前均在TMC以其真实身份IDi注册。为保护车辆的隐私,TMC通过安全散列函数H0:{0,1}*→G1计算Qi=H0(IDi),将其作为车辆的伪身份发送给车辆用户(伪身份随着车辆行驶被所处区域的TMC实时更新)。只有当该车辆用户违法行驶、发生交通事故等被执法部门追究其责任时,TMC才会公布该车辆用户真实身份IDi。

2.2 算法组成

2.2.1 车辆公钥生成

2.2.2 部分私钥生成

输入车辆伪身份Qi、系统参数Params和主密钥s,则车辆部分私钥pskOBUi=s·Qi。通过计算等式e(pskOBUi,P)=e(Qi,Ppub)是否成立来判断pskOBUi正确与否。若成立,则生成完整私钥SKOBUi=(αi,pskOBUi)。

2.2.3 单个车辆用户签名

RSU选择一个状态信息θ并广播(θ可以是当前位置、当下时间、部分系统参数等有效信息)。车辆Vi的身份为Qi、公钥为PKOBUi、私钥为SKOBUi,对于消息mi∈{0,1}*(1≤i≤n),签名过程如下:

2)计算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui);

3)计算Vi=ui·W+di·pskOBUi+(αi·hi+βi)·R,输出车辆对消息mi的签名(mi,σi=(Ui,Vi))。

2.2.4 聚合签名

2.2.5 验证过程

验证过程如下:

1)单个车辆用户签名验证。输入消息-签名对(mi,σi),计算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui)验证等式(1)是否成立。

e(P,Vi)=e(Ui,W)·e(diQi,Ppub)·

(1)

2)聚合验证。计算并验证式(2)是否成立。

(2)

3 方案分析

3.1 正确性

3.1.1 单个车辆用户签名验证的正确性

单个车辆用户签名验证过程如下:

e(P,Vi)=e(P,ui·W+di·pskOBUi+

(αi·hi+βi)·R)=e(P,ui·W)·

e(P,di·pskOBUi)·e(P,αi·hi·R)·

e(P,βi·R)=e(Ui,W)·

e(diQi,Ppub)·e(hiPKOBUi,R)·

3.1.2 聚合签名验证的正确性

聚合签名验证过程如下:

等式成立。

3.2 不可伪造性

在CLAS方案的安全模型中,面对随机预言模型下的适应性选择消息的攻击,攻击者AⅠ和AⅡ在挑战Ⅰ、Ⅱ中获胜的概率可以忽略,则该方案具备存在性不可伪造性,主要特点如表2所示。

表2 两类攻击者主要特点比较Table 2 Comparison of main characteristics of two types of attackers

假设在多项式时间t内,攻击者A∈{AⅠ,AⅡ}被允许完成qH0、qH1、qH2、qH3、qH4次哈希询问,q5次部分私钥询问,q6次公钥替换询问,q7次车辆用户秘密值询问,q8次单一车辆用户签名询问,各询问对应用时为t0～t8。

证明:

2)询问:

(1)H0询问(用户生成询问)。C1维护H0列表L0=(IDi,Qi,PKOBUi,pskOBUi,xi,αi),列表初始状态为空。C1任选l∈{1,2,…,qH0},攻击者AⅠ输入车辆身份IDi,C1查询列表L0中已有记录。若i=l,计算Ql=Pb+xl·P,pskOBUl=⊥(⊥表示该值未知),PKOBUl=αl·P;若i≠l,则Qi=xi·P,pskOBUi=xi·Pa,PKOBUi=αi·P。然后,C1将元组(IDi,Qi,PKOBUi,pskOBUi,xi,αi)更新到列表L0并且返回PKOBUi和Qi给敌手AⅠ。

(6)部分私钥询问。C1维护列表Lpsk。当敌手AⅠ询问车辆部分私钥pskOBUi时,C1查找Lpsk。若i=l,则C1挑战失败;若i≠l,那么C1查找L0中元组(IDi,Qi,PKOBUi,pskOBUi,xi,αi),将pskOBUi返回给AⅠ。

(8)秘密值询问。敌手AⅠ询问车辆IDi的秘密值。C1查找列表L0中已有的秘密值αi,将其返回给AⅠ。若车辆的公钥PKOBUi已被替换,则输出αi=⊥。

C1将(mi,θi,IDi,PKOBUi,Ui,ui,hi,di,Vi)添加到列表L,返回(Ui,Vi)给AⅠ。因为Ppub=aP=Pa,所以(Ui,Vi)是一个有效签名,证明过程如下:

e(ui·P+diQi,λiP-Pa)·e(diQi,Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP-Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP)·

e(ui·P-Pa,λiP)·e(diQi,λiP)·

e(λi·ui·P+λi·diQi+γi(hiPKOBUi+

C1从列表中找出相应参数:

4)伪造成功概率:C1成功解决CDH问题的概率可转化为以下3个事件发生的概率。

E1:C1在敌手AⅠ进行部分私钥提取过程未被终止;

E2:AⅠ成功伪造了一个有效的聚合签名σ=(U,V);

E3:在询问的n条记录中,至少有一条IDi=IDj。

P(E1∩E2∩E3)=P(E1)P(E2|E1)·

P(E3|E1∩E2)=

综上所述,在随机预言模型下,如果攻击者AⅠ或AⅡ能够在多项式时间内以不可忽略的概率伪造出聚合签名,则挑战者C能以不可忽略的概率解决CDH问题。而这一结论与定义1相矛盾,因此,本文提出的CLAS方案是不可伪造的。

3.3 隐私性

本文方案是基于车辆用户与路边单元(V2I)通信模式的,在车辆进行通信之前,每台车辆Vi都会用其真实身份IDi在交通管理中心(TMC)注册,TMC则通过安全哈希函数H0:{0,1}*→G1计算车辆用户的伪身份Qi=H0(IDi),除TMC之外不会有任何第三方知道车辆的真实身份;在通信过程中,参与聚合的车辆以伪身份动态地加入签名过程,车辆可以在不泄露自身隐私消息的情况下进行匿名的信息交互,RSU则对通信消息进行聚合签密,保护了车辆用户的隐私,因此满足隐私性的要求。

3.4 可追踪性

TMC对区域内车辆执行违法追踪。如果车辆用户在通信过程中出现发布违法信息、签名验证算法失败等情况或车辆违法行驶、出现交通事故被执法部门追究其法律责任时,TMC利用Hash函数的单向性,计算车辆用户的伪身份Qi=H0(IDi)来验证其真实身份;另一方面,RSU可以将伪身份Qi发送给TMC,TMC通过查询用户的原始注册信息来追查到其真实IDi。

3.5 计算效率

对于本文提出的隐私保护CLAS方案,如何有效地实现隐私保护是方案的核心,即要提高聚合签名验证的效率。表3列举了文献[17-20]方案以及本文方案5种不同的CLAS方案中的个体签名和聚合验证算法的计算开销。其中,PB表示一个双线性运算,Sm表示一个标量乘运算,n表示车辆用户数量。根据文献[21]方案,选用由8 GB处理器内存的Intel I7-6700和Windows7组成的硬件平台,通过仿真实验结果得知,一个标量乘法运算Sm需要0.694 ms,一个双线性运算PB需要5.086 ms。图2对比了各方案的计算开销。

表3 不同CLAS方案的计算开销Table 3 Computational overheads of different CLAS schemes

图2 不同CLAS方案的计算开销比较Fig.2 Comparison of computational overheads of different CLAS schemes

图2表明,当车流密度较小(n≤4)时,各CLAS方案的计算开销相差不大,都在50 ms以内;随着车辆数量的增加,文献[17]方案的计算开销增幅最快,文献[20]方案其次,文献[18]方案的增幅与本文的方案接近,但本文的CLAS方案比文献[18]方案少了一个双线性运算。鉴于一个双线性运算的时间比一个标量乘运算的时间在数量上多了一个数量级,因此减少双线性运算的个数是降低CLAS方案计算开销的一个重要手段,因此,本文方案优于文献[18]方案。从图2可以看出,当道路的车流量较大,参与聚合验证的用户数逐渐变多时,本文CLAS方案可以以相对少的计算开销高效地为车辆用户传输有效信息。

另外,定义本文方案中的计算效率为η,即聚合后签名验证计算开销和n个单一车辆用户签名计算开销累和之差与这n个车辆用户单独签名计算开销累和的比值,从而量化计算效率,各方案的计算效率η如表4所示,比较结果如图3所示。从图3可以看出,本文CLAS方案在车流量较大的区域或拥堵路段的计算效率最高,鉴于城市道路交通现状,本文方案适用于城市交通系统。

表4 不同CLAS方案的计算效率Table 4 Calculational efficiency of different CLAS schemes

图3 不同CLAS方案的计算效率比较Fig.3 Comparison of computational efficiency of different CLAS schemes

4 结束语

本文基于CDH复杂性假设,提出一种适用于车载自组织网络隐私保护的CLAS方案。通过聚合签名降低路边单元负担,证明该方案在适应性选择消息攻击下的存在性是不可伪造的。量化对比本文方案和其他CLAS方案的计算开销,同时结合仿真实验比较各个方案的计算效率,结果表明,本文方案具有较低的计算开销和较高的计算效率,能够实现通信过程中对车辆用户隐私信息保护。下一步将研究在车辆密度较大的区域与拥堵路段隐私信息的可靠传输。