VANET中隱私保護的無證書聚合簽名方案

趙 楠,章國安,谷曉會

(南通大學 電子信息學院,江蘇 南通 226019)

0 概述

車載自組織網絡[1](Vehicular Ad-hoc Network,VANET)是移動自組網(MANET)在交通道路上的應用,是一種特殊的移動自組織網絡。VANET是由在公路上高速移動且配備無線通信設備的多個車輛通過交換各自信息(如車輛位置、周圍路況、行駛速度等)而形成的新型多跳網絡。與傳統無線自組織網絡相比,VANET因其自身的特性,如高移動性、高通信延遲率、較大網絡規模等而極易受到各類安全攻擊,通信數據易被攻擊者監測并偽造。同時,由于VANET通信環境的開放性,用戶隱私信息(如車牌號碼、駕駛員身份)一旦被惡意第三方所竊取,將嚴重威脅用戶生命財產安全。因此,如何有效解決VANET的安全性和隱私保護是目前亟需解決的問題。

無證書公鑰密碼體制(Certificateless Public Key Cryptography,CL-PKC)由Al-Riyami和Paterson[2]在2003年亞密會議上提出。一方面,CL-PKC能夠有效解決基于身份的公鑰密碼體制[3](Identity-based Public Key Cryptography,ID-PKC)中固有的密鑰托管問題;另一方面,由于在CL-PKC中,密鑰生成中心(Key Generation Center,KGC)僅生成用戶的部分私鑰,用戶公鑰和完整私鑰需用戶通過自己選定的秘密值計算得出,因此,克服了傳統公鑰體制中的數字證書存儲和管理難題。

在2003年歐洲密碼會議上,BONEH和GENTRY等人提出聚合簽名[4]這一概念。聚合簽名方案是一種支持聚合驗證的數字簽名方案:對于來自n個不同用戶Ui(1≤i≤n)的不同消息mi進行簽名后,通過一個聚合算法將這n個簽名聚合成一個唯一的簽名,后續驗證者只需對該聚合簽名進行驗證即可判斷用戶Ui對消息mi的簽名是否有效。目前已經有許多學者提出了無證書聚合簽名(Certificateless Aggregate Signature,CLAS)方案[5-7]。文獻[8]提出一個與聚合簽名數量無關的有效CLAS方案,并證明在聚合驗證過程中僅需要極少的、固定數量的雙線性對運算。但該方案被多個學者證明在給定攻擊下對抗Type Ⅱ型對手是不安全的。文獻[9]提出一個改進的CLAS方案,但文獻[10]發現在該方案中Type Ⅱ型攻擊可以對任何信息成功偽造簽名,并針對這一問題提出一個新的方案,文獻[11]通過對文獻[10]方案進行密碼分析,證明了該方案同樣無法對抗Type Ⅱ型的攻擊者。文獻[12]基于雙線性對提出一個隨機預言模型下可證安全的CLAS方案。該方案基于計算性Diffie-Hellman(Computational Diffie-Hellman,CDH)假設,在適應性選擇消息攻擊下證明存在性不可偽造。

本文在文獻[13]的基礎上,提出一種適用于車載自組織網絡隱私保護的CLAS方案。通過聚合簽名降低RSU負擔,減少計算開銷,并基于CDH復雜性假設,證明該方案在適應性選擇消息攻擊下的存在性是不可偽造的。

1 預備知識

1.1 VANET系統模型

如圖1所示,VANET系統一般包括3個部分:

1)車載單元(On Board Unit,OBU)。每臺車輛都安裝了類似移動終端的車載單元,通過車載單元進行通信。

2)路邊單元(Road Side Unit,RSU)。RSU通常位于道路兩側及十字路口,其數量巨大且一般與所處區域的交通密度呈正相關。OBU與周圍其他OBU的通信(V2V)以及OBU與RSU的通信(V2R)通過專用短距離通信(Dedicated Short Range Communication,DSRC)的標準協議IEEE.802.11p實現。RSU之間以及RSU與可信機構之間則通過有線網路的安全通道完成數據交互。

3)可信機構(Trust Authority,TA)。TA是一個權威機構,通常由所處區域的交通管理局擔任,發布系統公共參數,為系統提供認證服務。本文的密鑰生成中心KGC部署在TA。

圖1 VANET系統模型Fig.1 VANET system model

1.2 雙線性對

1.2.1 雙線性映射

2)非退化性:存在R,T∈G1,使e(R,T)≠1G2(1G2表示群G2的生成元)。

3)可計算性:對于?R,T∈G1,e(R,T)可以通過一個算法在多項式時間內計算出。

4)對稱性:e(R,T)=e(T,R)。

1.2.2 復雜性假設

定義2如果在一個CLAS方案中,不存在2種不同類型敵手AⅠ和AⅡ能夠以不可忽略的概率在挑戰Ⅰ、Ⅱ中獲得勝利,那么該CLAS方案在適應性選擇消息下的存在性不可偽造。

CLAS方案的形式化模型參考文獻[14-15],安全模型參考文獻[16-17]。

2 本文隱私保護CLAS方案

本文CLAS方案的形式化模型在文獻[13,15]的基礎上,結合VANET的工作環境,增加了車輛真實身份注冊和車輛偽身份生成2個步驟,涉及的各符號參數及意義如表1所示。

表1 本文CLAS方案涉及的符號參數及其意義Table 1 Symbol parameters and meanings of CLAS scheme herein

2.1 系統建立

2.1.1 初始化

Params=

2.1.2 車輛注冊

車輛注冊在交通管理中心(Traffic Management Center,TMC)完成。假設每臺車輛Vi在行駛之前均在TMC以其真實身份IDi注冊。為保護車輛的隱私,TMC通過安全散列函數H0:{0,1}*→G1計算Qi=H0(IDi),將其作為車輛的偽身份發送給車輛用戶(偽身份隨著車輛行駛被所處區域的TMC實時更新)。只有當該車輛用戶違法行駛、發生交通事故等被執法部門追究其責任時,TMC才會公布該車輛用戶真實身份IDi。

2.2 算法組成

2.2.1 車輛公鑰生成

2.2.2 部分私鑰生成

輸入車輛偽身份Qi、系統參數Params和主密鑰s,則車輛部分私鑰pskOBUi=s·Qi。通過計算等式e(pskOBUi,P)=e(Qi,Ppub)是否成立來判斷pskOBUi正確與否。若成立,則生成完整私鑰SKOBUi=(αi,pskOBUi)。

2.2.3 單個車輛用戶簽名

RSU選擇一個狀態信息θ并廣播(θ可以是當前位置、當下時間、部分系統參數等有效信息)。車輛Vi的身份為Qi、公鑰為PKOBUi、私鑰為SKOBUi,對于消息mi∈{0,1}*(1≤i≤n),簽名過程如下:

2)計算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui);

3)計算Vi=ui·W+di·pskOBUi+(αi·hi+βi)·R,輸出車輛對消息mi的簽名(mi,σi=(Ui,Vi))。

2.2.4 聚合簽名

2.2.5 驗證過程

驗證過程如下:

1)單個車輛用戶簽名驗證。輸入消息-簽名對(mi,σi),計算R=H1(θ,P),W=H2(θ,Ppub),hi=H3(mi,θ,Qi,Ui)和di=H4(mi,θ,PKOBUi,Ui)驗證等式(1)是否成立。

e(P,Vi)=e(Ui,W)·e(diQi,Ppub)·

(1)

2)聚合驗證。計算并驗證式(2)是否成立。

(2)

3 方案分析

3.1 正確性

3.1.1 單個車輛用戶簽名驗證的正確性

單個車輛用戶簽名驗證過程如下:

e(P,Vi)=e(P,ui·W+di·pskOBUi+

(αi·hi+βi)·R)=e(P,ui·W)·

e(P,di·pskOBUi)·e(P,αi·hi·R)·

e(P,βi·R)=e(Ui,W)·

e(diQi,Ppub)·e(hiPKOBUi,R)·

3.1.2 聚合簽名驗證的正確性

聚合簽名驗證過程如下:

等式成立。

3.2 不可偽造性

在CLAS方案的安全模型中,面對隨機預言模型下的適應性選擇消息的攻擊,攻擊者AⅠ和AⅡ在挑戰Ⅰ、Ⅱ中獲勝的概率可以忽略,則該方案具備存在性不可偽造性,主要特點如表2所示。

表2 兩類攻擊者主要特點比較Table 2 Comparison of main characteristics of two types of attackers

假設在多項式時間t內,攻擊者A∈{AⅠ,AⅡ}被允許完成qH0、qH1、qH2、qH3、qH4次哈希詢問,q5次部分私鑰詢問,q6次公鑰替換詢問,q7次車輛用戶秘密值詢問,q8次單一車輛用戶簽名詢問,各詢問對應用時為t0～t8。

證明:

2)詢問:

(1)H0詢問(用戶生成詢問)。C1維護H0列表L0=(IDi,Qi,PKOBUi,pskOBUi,xi,αi),列表初始狀態為空。C1任選l∈{1,2,…,qH0},攻擊者AⅠ輸入車輛身份IDi,C1查詢列表L0中已有記錄。若i=l,計算Ql=Pb+xl·P,pskOBUl=⊥(⊥表示該值未知),PKOBUl=αl·P;若i≠l,則Qi=xi·P,pskOBUi=xi·Pa,PKOBUi=αi·P。然后,C1將元組(IDi,Qi,PKOBUi,pskOBUi,xi,αi)更新到列表L0并且返回PKOBUi和Qi給敵手AⅠ。

(6)部分私鑰詢問。C1維護列表Lpsk。當敵手AⅠ詢問車輛部分私鑰pskOBUi時,C1查找Lpsk。若i=l,則C1挑戰失敗;若i≠l,那么C1查找L0中元組(IDi,Qi,PKOBUi,pskOBUi,xi,αi),將pskOBUi返回給AⅠ。

(8)秘密值詢問。敵手AⅠ詢問車輛IDi的秘密值。C1查找列表L0中已有的秘密值αi,將其返回給AⅠ。若車輛的公鑰PKOBUi已被替換,則輸出αi=⊥。

C1將(mi,θi,IDi,PKOBUi,Ui,ui,hi,di,Vi)添加到列表L,返回(Ui,Vi)給AⅠ。因為Ppub=aP=Pa,所以(Ui,Vi)是一個有效簽名,證明過程如下:

e(ui·P+diQi,λiP-Pa)·e(diQi,Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP-Pa)·

e(ui·P,λiP-Pa)·e(diQi,λiP)·

e(ui·P-Pa,λiP)·e(diQi,λiP)·

e(λi·ui·P+λi·diQi+γi(hiPKOBUi+

C1從列表中找出相應參數:

4)偽造成功概率:C1成功解決CDH問題的概率可轉化為以下3個事件發生的概率。

E1:C1在敵手AⅠ進行部分私鑰提取過程未被終止;

E2:AⅠ成功偽造了一個有效的聚合簽名σ=(U,V);

E3:在詢問的n條記錄中,至少有一條IDi=IDj。

P(E1∩E2∩E3)=P(E1)P(E2|E1)·

P(E3|E1∩E2)=

綜上所述,在隨機預言模型下,如果攻擊者AⅠ或AⅡ能夠在多項式時間內以不可忽略的概率偽造出聚合簽名,則挑戰者C能以不可忽略的概率解決CDH問題。而這一結論與定義1相矛盾,因此,本文提出的CLAS方案是不可偽造的。

3.3 隱私性

本文方案是基于車輛用戶與路邊單元(V2I)通信模式的,在車輛進行通信之前,每臺車輛Vi都會用其真實身份IDi在交通管理中心(TMC)注冊,TMC則通過安全哈希函數H0:{0,1}*→G1計算車輛用戶的偽身份Qi=H0(IDi),除TMC之外不會有任何第三方知道車輛的真實身份;在通信過程中,參與聚合的車輛以偽身份動態地加入簽名過程,車輛可以在不泄露自身隱私消息的情況下進行匿名的信息交互,RSU則對通信消息進行聚合簽密,保護了車輛用戶的隱私,因此滿足隱私性的要求。

3.4 可追蹤性

TMC對區域內車輛執行違法追蹤。如果車輛用戶在通信過程中出現發布違法信息、簽名驗證算法失敗等情況或車輛違法行駛、出現交通事故被執法部門追究其法律責任時,TMC利用Hash函數的單向性,計算車輛用戶的偽身份Qi=H0(IDi)來驗證其真實身份;另一方面,RSU可以將偽身份Qi發送給TMC,TMC通過查詢用戶的原始注冊信息來追查到其真實IDi。

3.5 計算效率

對于本文提出的隱私保護CLAS方案,如何有效地實現隱私保護是方案的核心,即要提高聚合簽名驗證的效率。表3列舉了文獻[17-20]方案以及本文方案5種不同的CLAS方案中的個體簽名和聚合驗證算法的計算開銷。其中,PB表示一個雙線性運算,Sm表示一個標量乘運算,n表示車輛用戶數量。根據文獻[21]方案,選用由8 GB處理器內存的Intel I7-6700和Windows7組成的硬件平臺,通過仿真實驗結果得知,一個標量乘法運算Sm需要0.694 ms,一個雙線性運算PB需要5.086 ms。圖2對比了各方案的計算開銷。

表3 不同CLAS方案的計算開銷Table 3 Computational overheads of different CLAS schemes

圖2 不同CLAS方案的計算開銷比較Fig.2 Comparison of computational overheads of different CLAS schemes

圖2表明,當車流密度較小(n≤4)時,各CLAS方案的計算開銷相差不大,都在50 ms以內;隨著車輛數量的增加,文獻[17]方案的計算開銷增幅最快,文獻[20]方案其次,文獻[18]方案的增幅與本文的方案接近,但本文的CLAS方案比文獻[18]方案少了一個雙線性運算。鑒于一個雙線性運算的時間比一個標量乘運算的時間在數量上多了一個數量級,因此減少雙線性運算的個數是降低CLAS方案計算開銷的一個重要手段,因此,本文方案優于文獻[18]方案。從圖2可以看出,當道路的車流量較大,參與聚合驗證的用戶數逐漸變多時,本文CLAS方案可以以相對少的計算開銷高效地為車輛用戶傳輸有效信息。

另外,定義本文方案中的計算效率為η,即聚合后簽名驗證計算開銷和n個單一車輛用戶簽名計算開銷累和之差與這n個車輛用戶單獨簽名計算開銷累和的比值,從而量化計算效率,各方案的計算效率η如表4所示,比較結果如圖3所示。從圖3可以看出,本文CLAS方案在車流量較大的區域或擁堵路段的計算效率最高,鑒于城市道路交通現狀,本文方案適用于城市交通系統。

表4 不同CLAS方案的計算效率Table 4 Calculational efficiency of different CLAS schemes

圖3 不同CLAS方案的計算效率比較Fig.3 Comparison of computational efficiency of different CLAS schemes

4 結束語

本文基于CDH復雜性假設,提出一種適用于車載自組織網絡隱私保護的CLAS方案。通過聚合簽名降低路邊單元負擔,證明該方案在適應性選擇消息攻擊下的存在性是不可偽造的。量化對比本文方案和其他CLAS方案的計算開銷,同時結合仿真實驗比較各個方案的計算效率,結果表明,本文方案具有較低的計算開銷和較高的計算效率,能夠實現通信過程中對車輛用戶隱私信息保護。下一步將研究在車輛密度較大的區域與擁堵路段隱私信息的可靠傳輸。