基于門限代理重簽名的車載自組網消息認證方案

楊小東，李 燕，李亞楠，王彩芬

（西北師范大學計算機科學與工程學院，蘭州730070）

基于門限代理重簽名的車載自組網消息認證方案

楊小東，李 燕，李亞楠，王彩芬

（西北師范大學計算機科學與工程學院，蘭州730070）

針對車載自組網（VANET）的隱私保護問題，采用秘密共享技術，提出一個VANET消息認證方案。該方案使用門限代理重簽名算法保護車輛隱私信息，將車載通信單元對消息的簽名轉換為認證中心對同一消息的簽名，從而降低根據簽名追蹤車載單元的風險，實現通信消息的匿名性。通過門限方式將重簽名密鑰分散至多個路邊通信單元進行管理，降低重簽名密鑰的破譯成功率并防止路邊通信單元濫用代理簽名權。認證中心通過追溯發布虛假消息的真實車輛，解決違規車輛的召回問題。分析結果表明，與同類方案相比，該方案具有較高的安全性和較低的存儲開銷。

車載自組網；門限代理重簽名；隱私保護；消息認證；可追溯性

1 概述

車載自組網（Vehicle Ad-hoc Network，VANET）又稱自組織交通信息系統，是一種快速移動戶外通信網絡［1］。車載自組網是在智慧交通的背景下，為方便車輛間相互通信而設計的一個移動網絡，網內的節點主要由三部分組成，在車輛上面安裝的車載單元（Onboard Unit，OBU）、部署在道路兩旁或十字路口的路邊單元（Road-side Unit，RSU）和負責管理所有OBU和RSU的可信認證中心（Trusted Authority，TA）［2］。車載自組網允許OBU之間或者OBU和RSU之間通過短距離無線通信（Dedicated Short Range Communication，DSRC）方案進行通信。車載自組網包括2種通信模式：車與車（Vehicle to Vehicle，V2V）通信和車與基礎設施（Vehicle to Infrastructure，V2I）通信。一方面，車載自組網能夠使車輛間相互進行通信。每輛車既可以周期性地廣播自己的基本車輛信息，也可以實時播報出現交通事故時的相關消息，這樣可以使得其他車輛及時采取對應措施，有效地改善交通狀況。另一方面，車載自組網也能夠使車輛和路邊單元進行通信。RSU不但可以廣播其轄區范圍內的餐館、旅館和加油站等與生活相關的信息，而且能廣播道路狀況、停車警告和車輛擁堵等與交通相關的信息。但由于車載自組網是在質量不太穩定的無線信道上進行通信，會受到很多惡意威脅和攻擊，比如注入虛假錯誤的信息、修改或重放以前的信息等，對于車載自組網上大量存在的隱私信息而言，這些威脅和攻擊會成為車載自組網的安全隱患［3］。因此，如何保證車載自組網的安全和隱私是近年來一個急需解決的重要問題。為解決對于RSU權力過于集中的問題，本文在門限代理重簽名方案的基礎上，提出一個更安全的車載自組網消息認證方案。

2 相關工作

針對車載自組網消息認證的研究是近年來信息安全研究的一個熱點，尤其是2005年以來出現了一些具有代表性的研究成果。文獻［4］提出一個關于VANET消息認證的經典方案HAB，為了實現發送消息的匿名性，交通管理中心事先在車輛上裝載大量私鑰及其對應的匿名證書，車輛在發送消息時每次隨機選取一個匿名證書，然后對發送的消息用其對應的私鑰進行簽名。但HAB中的證書分發、管理和存儲的代價過高，導致HAB的實用性弱。為了改進HAB方案的不足，文獻［5］利用群簽名提出一個新的VANET消息認證方案GSB，給每輛車預先分配一個群私鑰，并對發送的消息用群私鑰進行簽名，消息驗證者雖然可以驗證消息的正確性，卻不知道該消息的真正簽名者。如果事后出現糾紛，可信第三方可以借助群管理員來追溯簽名者的真實身份。但在GSB方案中需要頻繁更換群密鑰才能撤銷車輛身份，其代價過大。在文獻［6］提出的ECPP方案中，通過認證的合法RSU向合法的OBU發放僅適用于該RSU區域的路上（on-the-fly）短期群成員證書，這樣可以為交通管理中心分擔部分工作，提升系統整體的效率。而且如果交通肇事者逃逸，由于RSU保留了路上短期證書與OBU的對應關系，交通管理中心可以直接追查肇事者。但是ECPP依賴于RSU的可信度，應用場景相對比較小。為了降低RSU的可信度，文獻［7］提出一個基于代理重簽名的VANET消息認證方案，可信認證中心（TA）授權RSU做一個半可信的代理者，將OBU簽名的消息進行代理重簽名，這樣不但可以保護原始簽名者OBU的基本信息，而且事后出現糾紛，由TA和RSU合作可以得到消息簽名者的真實身份。但該方案依賴于RSU的可靠性，若RSU是不誠實的或者被攻擊者惡意攻擊并控制，將導致隱私信息泄露、密鑰丟失等嚴重后果［8］。

3 預備知識

3.1 雙線性映射

設G1和G2為2個階為素數q的循環群，雙線性映射e：G1×G1→G2滿足以下性質［9］：

（1）雙線性：對任意g，h∈G1和，有e（ga，hb）=e（g，h）ab成立。

（2）非退化性：存在g，h∈G1，使得e（g，h）≠1，其中，“1”為G2中的單位元。

（3）可計算性：對于所有的g，h∈G1，存在有效的算法計算e（g，h）。

3.2 離散對數問題

設p是一個大素數，G是一個階為p的循環群，g是G的一個生成元，群G上的離散對數問題（Discrete Logarithm Problem，DLP）為給定（g，ga）∈G，計算a∈Zp。若沒有一個概率多項式時間算法能夠在t時間內以至少ε的概率解決群G上的DLP問題，則稱群G上的（t，ε）-DLP假設成立。

3.3 Sham ir秘密共享方案

Sham ir秘密共享方案［10］的思想是將秘密信息分割成若干份，在多個存在協作關系的參與者之間進行容錯式分散，以保護秘密信息。具體方案如下：

3.4 門限代理重簽名

一個門限代理重簽名方案是一個由概率多項式時間算法構成的五元組（Keygen，Rekey，Sign，Resign，Verify）［11］。

（1）（Keygen，Sign，Verify）是標準簽名算法中的密鑰生成、簽名生成和驗證算法。

（2）給定一個受托者的公鑰/私鑰對（pkA，skA）和一個委托者的公鑰/私鑰對（pkB，skB），重簽名密鑰生成算法Rekey生成受托者和委托者之間的重簽名密鑰rkA→B，然后將rkA→B分割成n個子密鑰分發給n個代理者秘密保管。

（3）重簽名生成算法Resign由以下兩部分組成：

2）門限重簽名生成算法：給定t個誠實代理者對消息m的部分重簽名σB，i，輸出一個對應于公鑰pkB的消息m的門限重簽名σB。

4 車載自組網消息認證方案

4.1 車載自組網系統模型

車載自組網消息認證方案主要包括短距無線通信技術和3個基本角色：可信認證中心（TA），車載單元（OBU）和路邊單元（RSU）［12］。

（1）可信認證中心（TA）是對車載自組網中的各節點進行身份認證、證書分發、撤銷管理和信息存儲。該機構相當于PKI體系中的認證中心（Certificate Authority，CA），由國家或者地區相關交通主管部門根據VANET實際區域進行統一管理。一般而言，該中心需要進行最高級別的安全保障（完善安全制度和安全策略），并保持與其轄區RSU的安全連接，負責實時監控轄內VANET的行車安全和行車效率。對一個特定的VANET系統，TA是最高權威機構。

（2）車載單元（OBU）是車載自組網中必備的車輛節點，該節點相當于通信系統中的移動終端。在實際系統中，所有合法OBU加入VANET都必須到TA進行注冊，并預裝系統公開安全參數和自身相關的密鑰材料到一個專用防篡改設備，這個設備只有TA授權機構才能訪問操作。OBU的數量視系統的覆蓋范圍而定，對典型的城市場景而言，一般在百萬級以上。

（3）路邊單元（RSU）是車載自組網中的路側基礎設施節點。RSU使得VANET不僅可以單獨組網實現局部通信外，還可通過RSU作為接入點的網關，連到后備網絡（如Internet）［12］。該節點類似于通信系統中的通信基站，比如可以是建立在路邊加油站、餐館、商店等常年固定并且可由人為監管的建筑場所的網絡通信設備，簡單功能的RSU也可以搭建在路燈、交通指示牌等現有道路基礎設施上。通過在關鍵地域安裝部署RSU，交管部門可以利用RSU一方面實時采集車輛的運行情況，提升道路交通管理的現代化和信息化水平，另一方面將道路信息實時廣播給行駛的所有車輛，保證信息發布的高效性和安全性。RSU的數量比OBU要少很多（一個RSU轄區可以存在上百個OBU），對典型的城市場景而言，一般在千級以上。

（4）短距無線通信（DSRC）是智能交通系統（ITS）標準體系框架中的一種高效的無線通信基礎，在此基礎上可以實現對交通的智能、實時、動態管理。該方案通過實現車與車、車與路等通信機制，將VANET中各實體有機連接起來，并按上層應用所需實現小范圍內圖像、語音和數據的準確、可靠和高速的雙向傳輸。各國普遍采用IEEE802.11p標準作為DSRC底層方案［13］。

車載自組網系統模型如圖1所示。

圖1 車載自組網系統模型示意圖

4.2 方案描述

4.2.1 系統建立

可信認證中心（TA）選擇2個階為同一素數p的循環群G1和G2，g是G1的一個生成元。引入雙線性映射e：G1×G1→G2和抗碰撞Hash函數H：｛0，1｝*→G。選擇一個公鑰密碼體制（如RSA，ECC等），其中，Enc（）和Dec（）分別表示對應的加密算法和解密算法。公開系統參數param：=｛G1，G2，p，g，H，Enc（），Dec（）｝。

4.2.2 密鑰生成

密鑰生成步驟具體如下：

（1）TA的密鑰生成（TA-Keygen）

（2）OBU的密鑰生成（OBU-Keygen）

設RID是每輛車OBU注冊入戶時獲得的真實標識，生成OBU的公私鑰對步驟如下：

3）TA收到｛XOBU，RID，u，v｝后，驗證u=是否成立。如果等式成立，TA確信｛XOBU，RID｝是OBU的合法公鑰和真實標識，同時將｛XOBU，RID｝保存在追溯表T中。

4.2.3 重簽名密鑰生成

給定認證中心TA和車輛OBU的私鑰xTA和xOBU，一個可信任的分發者D通過如下方式生成TA與OBU之間的重簽名密鑰rk：（1）分發者D首先隨機選取t∈Zp，然后發送t給OBU；（2）OBU利用自己的私鑰xOBU，計算并發送t1=xOBUt（mod p）給TA；（3）TA利用自己的私鑰xTA，計算并發送t2=xTA/t1（mod p）給分發者D；（4）分發者D利用參數t計算重簽名密鑰rk=tt2=t（xTA/（xOBUt））=xTA/xOBU（mod p）。

分發者D為了將重簽名密鑰rk=xTA/xOBU（mod p）分發給n個路邊通信單元RSUi（i=1，2，…，n），執行如下操作：（1）隨機選擇t-1個元素a1，a2，…，at-1∈；（2）構造函數F（x）=rk+a1x+a2x2+…+at-1xt-1；（3）計算Xi=F（i），并將Xi分發給路邊通信單元RSUi（i=1，2，…，n）作為重簽名子密鑰xRSUi，同時發布RSUi的公鑰XRSUi=gXi。

4.2.4 車輛消息簽名

車輛OBU發送的消息包含4個域：消息類型IDtype，消息負載Payload，時間戳Timestamp和OBU對前3個域的簽名［7］。消息IDtype表示消息的類型；消息負載Payload由車輛位置、方向、速度、交通事件等基本信息組成；時間戳Timestamp標識消息產生的確切時間，不僅能防止消息的重放攻擊，還能避免單一用戶多次報告同一事故時被誤判為女巫攻擊者。假設RSUi定期（如5 s）給其轄區內的OBU廣播公鑰XRSUi。為了發送消息給路邊通信單元RSUi，車輛OBU執行如下操作：

（1）利用私鑰xOBU，計算消息Timestamp｝的簽名σ=H（M）xOBU。

（2）選擇一個公鑰密碼體制（如RSA，ECC等）的加密算法Enc（），利用RSUi的公鑰XRSUi對（XOBU，M，σ）進行加密處理，然后將相應的密文發送給n個路邊通信單元RSUi（i=1，2，…，n）。

4.2.5 路邊通信單元消息重簽名

路邊通信單元消息重簽名步驟具體如下：

（1）生成部分重簽名

（2）生成門限重簽名

（3）TA廣播消息

可信認證中心（TA）收到（M，σ′，XOBU）后，首先用自己的公鑰XTA對XOBU進行加密，產生密文δ= EncXTA（XOBU）。然后生成新消息。最后將給所在區域的所有車輛OBU廣播可信消息（M′，σ′）。

4.2.6 消息驗證

給定一個公鑰X、一個消息M和一個簽名σ，驗證以下等式是否成立：

e（σ，g）=e（H（M），X）

如果上式成立，說明σ是對應于公鑰X的消息M的合法簽名，輸出1；否則，輸出0。

4.2.7 虛假身份追溯

5 正確性與安全性分析

5.1 正確性分析

方案正確性分析具體如下：

（1）簽名的正確性

對于公鑰XOBU，消息M和對應的簽名σ，其正確性驗證如下：

（2）部分簽名的正確性

對于RSUi的公鑰XRSUi=gXi，消息M和簽名σ對應的部分簽名σi，其正確性驗證如下：

（3）重簽名的正確性

5.2 安全性分析

本文方案的安全性主要包括密鑰安全性、不可偽造性、消息可認證性、抗重放攻擊性、可追溯性和強壯性。

（1）密鑰安全性

根據可信認證中心（TA）的公鑰XTA找到私鑰xTA，即已知，計算；同理，OBU和 RSU的私鑰安全性亦然。因此，通過公鑰求解私鑰等價于求解離散對數問題，由離散對數困難問題的難解性可知，本文方案中的任何實體具有密鑰安全性。

（2）不可偽造性和強壯性

本文方案的簽名算法是基于門限代理重簽名算法［8］，而該算法在文獻［8］中已證明是強不可偽造和強壯的。合法簽名σ只能由車輛OBU的私鑰xOBU（該私鑰存儲在OBU的防篡改設備中）生成，根據數字簽名的不可偽造性和私鑰的安全性，敵手無法偽造簽名σ。合法的重簽名σ′只能由至少t個路邊通信單元RSUi的部分簽名σi來共同產生，而任意的t-1個路邊通信單元都無法偽造重簽名σ′。門限代理重簽名不僅降低了對單個路邊通信單元RSUi的依賴性，還使方案擁有更高的安全性。因此，當n≥2 t-1時，本文方案滿足不可偽造性和強壯性。

（3）消息可認證性

可信認證中心（TA）授權路邊通信單元RSU擔任半可信的代理者，將OBU對消息的簽名轉換為TA對消息的簽名，隱藏了簽名消息的真實身份，消除了根據簽名追蹤車輛OBU的風險，實現通信消息的匿名性。車輛OBU采用公鑰密碼體制加密對（XOBU，M，σ）用公鑰XRSUi進行加密處理，將密文發送給路邊通信單元RSUi（i=1，2，…，n），只有用相應的RSUi的私鑰才能解開該加密消息。加密OBU和RSU之間的通信消息，確保了消息的機密性。

（4）抗重放攻擊性

車輛OBU每次發送的消息包含4個域：消息類型IDtype，消息負載Payload，時間戳Timestamp和OBU對前3個域的簽名。當攻擊者修改時間戳Timestamp時，簽名驗證等式Verify（XOBU，M，σ）=1不成立，簽名合成者拒絕接收該消息。時間戳的應用，不僅可以保證消息的新鮮性，還能有效抵御重放消息攻擊。

（5）可追溯性

當消息（M′，σ′）有爭議時，只有認證中心TA擁有私鑰xTA解密M′得到車輛的公鑰XOBU，然后根據追溯表T找到發布該消息的真實車輛身份RID。消息的發布者OBU沒有參與整個追溯過程中，有效保證了追溯的客觀性。所以，本文方案滿足消息的可追溯性。

5.3 性能分析

存儲性能是衡量VANET方案效率的重要指標之一，但車輛OBU的存儲能力嚴重依賴于成本、效率和安全性等因素，所以下面主要分析OBU的存儲開銷。

在OBU的存儲開銷上，將本文方案與HAB［4］方案、GSB［5］方案和ECPP［6］方案進行比較，其結果如表1所示。在HAB方案中，每個OBU除了存儲大量的密鑰對之外，還需存儲撤銷列表中所有的匿名證書與其對應的公鑰。HAB的存儲總開銷為（m+1）×104，其中，m表示被撤銷的OBU個數。在GSB方案中，每個OBU存儲一個私鑰和m個被撤銷匿名公鑰，存儲總開銷為m+1。在ECPP方案和本文方案中，每個OBU只需存儲一個私鑰和一個認證中心頒發的證書，OBU不需要存儲撤銷列表，存儲總開銷均為2。

表1 OBU存儲開銷對比

從表1可以看出，本文方案的存儲開銷優于HAB方案和GSB方案，與ECPP方案相同。但本文方案的安全性優于ECPP方案，不僅能降低重簽名密鑰被破譯的可能性，還可防止路邊單元（RSU）權力過大并濫用代理簽名權。

6 結束語

本文通過引入門限代理重簽名技術，提出一個可追溯的車載自組網消息認證方案，可信認證中心授權多個路邊單元作為代理者，將車輛對消息的簽名轉換為認證中心對同一消息的簽名，當且僅當達到門限值的路邊通信單元合作才能生成認證中心對消息的簽名。該方案不僅實現了發送消息的匿名性，還能有效消除根據簽名消息追蹤車輛的風險。與現有同類方案相比，該方案具有較高的存儲效率，但是該方案在驗證簽名時需要雙線性對，如何設計無雙線性對的車載自組網消息認證方案是下一步研究的方向。

［1］ 常促宇，向 勇，史美林.車載自組網的現狀與發展［J］.通信學報，2007，28（11）：116-126.

［2］ Shao Caixing，Leng Supeng，Zhang Yan.A Multipriority Supported Medium Access Control in Vehicular Ad Hoc Networks［J］.Computing Communications，2014，39（15）：11-21.

［3］ 劉 輝.車載自組織網絡信息認證和隱私保護機制的研究［D］.西安：西安電子科技大學，2012.

［4］ Raya M，Hubaux J P.The Security of Vehicular Ad Hoc Networks［C］//Proceedings of the 3 rd ACM Workshop on Security of Ad Hoc and Sensor Networks.New York，USA：ACM Press，2005：21-31.

［5］ Lin Xiaodong，Sun Xiaoting，Ho Pin-Han.GSIS：A Secure and Privacy-preserving Protocol for Vehicular Communications［J］.IEEE Transactions on Vehicular Technology，2007，56（6）：3442-3456.

［6］ Lu Rongxing，Lin Xiaodong，Zhu Haojin.ECPP：Efficient Conditional Privacy Preservation Protocol for Secure Vehicular Communications［C］//Proceedings of INFOCOM'08.Phoenix，USA：IEEE Press，2008：1229-1237.

［7］ 楊 濤，胡建斌，陳 鐘.一種可追溯的車載自組網隱私保護認證協議［J］.計算機工程，2013，39（8）：161-165.

［8］ 孫超亮，曹珍富，梁曉輝.門限代理重簽名方案［J］.計算機工程，2009，35（4）：128-130.

［9］ Tian M iaom iao.Identity-based Proxy Re-signatures from Lattices［J］.Information Processing Letters，2015，115（4）：462-467.

［10］ Sham ir A.How to Share a Secret［J］.Communications of the ACM，1979，22（11）：612-613.

［11］ 楊小東，王彩芬.前向安全的單向門限代理重簽名［J］.計算機應用，2011，31（3）：801-804.

［12］ 楊 濤，孔令波，胡建斌，等.車輛自組網隱私保護研究綜述［J］.計算機研究與發展，2012，49（S2）：178-185.

［13］ Zhang Chenxi，Lin Xiaodong，Lu Rongxing，et al.An Efficient Message Authentication Scheme for Vehicular Communications［J］.IEEE Transactions on Vehicular Technology，2008，57（6）：3357-3368.

［14］ Raffaele B，Maddalena N.Efficient Data Collection in Multimedia Vehicular Sensing Platform s［J］.Pervasive and Mobile Computing，2015，16（PA）：78-95.

編輯陸燕菲

Message Authentication Scheme for VANET Based on Threshold Proxy Re-signature

YANG Xiaodong，LIYan，LIYanan，WANG Caifen
（College of Computing Science&Engineering，Northwest Normal University，Lanzhou 730070，China）

To resolve privacy-preserving problem in Vehicular Ad-hoc Network（VANET），a message authentication scheme is presented by using secret sharing technology.This scheme can protect the identity privacy information of vehicle by the threshold proxy re-signature algorithm.It turns a signature generated by On-board Unit（OBU）into a signature from a trusted certificate authority on the same message，so it can effectively eliminate the risk of tracking vehicle according to signature.The new scheme distributes the re-signature key into Road-side Unib（RSU）.Therefore it can reduce the probability of successful decoding re-signature key and prevent RSU from misusing the re-signature rights.Authentication center can trace back to the message of the real vehicle released，and solve the problem of illegal vehicle recall.Analysis result shows that the new scheme has high security and low storage overhead compared with similar schemes.

Vehicular Ad-hoc Network（VANET）；threshold proxy re-signature；privacy-preserving；message authentication；traceability

楊小東，李 燕，李亞楠，等.基于門限代理重簽名的車載自組網消息認證方案［J］.計算機工程，2015，41（11）：18-23.

英文引用格式：Yang Xiaodong，Li Yan，Li Yanan，et al.Message Authentication Scheme for VANET Based on Threshold Proxy Re-signature［J］.Computer Engineering，2015，41（11）：18-23.

1000-3428（2015）11-0018-06

A

TP309.7

10.3969/j.issn.1000-3428.2015.11.004

國家自然科學基金資助項目（61262057，61163038）；國家檔案局科技計劃基金資助項目（2014-X-33）；甘肅省科技計劃基金資助項目（145RJDA 325）；甘肅省自然科學基金資助項目（1308RJYA039）；蘭州市科技計劃基金資助項目（2013-4-22）；西北師范大學青年教師科研能力提升計劃基金資助項目（NWNU-LKQN-12-23）。

楊小東（1981-），男，副教授、博士，主研方向：車載自組網，密碼學，云計算安全；李 燕、李亞楠，碩士研究生；王彩芬，教授、博士生導師。

2015-02-04

2015-03-06 E-m ail：y200888@163.com