車載自組網中基于UTXO的無證書分布式匿名認證方案

崔凱平,馮 霞,郭叢搖,龔 玲

(1.江蘇大學 汽車與交通工程學院, 江蘇 鎮江 212013;2.江蘇大學 汽車工程研究院, 江蘇 鎮江 212013)

0 引言

作為智能交通系統(intelligent transportation system,ITS)的重要組成部分,車載自組網(vehicular ad-hoc network,VANET)是由遠程服務器、路側單元及車輛等實體構建的自組織和分布式的異構網絡[1]。近年來,借助無線通信技術的蓬勃發展,VANET在交通管理、擁堵控制、促進交通系統中實時信息傳播、提高行車效率等方面表現出了巨大的應用潛力[2]。VANET主要包含2種通信模式[3]:車與車之間的通信(vehicle to vehicle,V2V);車與基礎設施之間的通信(vehicle to infrastructure,V2I)。VANET中的授權車輛可以將實時道路/交通信息上傳到可信機構(trusted authority,TA)或云服務器,便于TA實時分析交通狀況[4]。

然而,VANET具有節點高速移動、網絡規模較大和開放性通信等特點,一系列的安全風險對VANET的信息安全和網絡內用戶隱私都產生了巨大威脅[5-8]。例如,惡意車輛可以通過冒充其他合法車輛廣播偽造消息或制造虛擬交通場景,從而擾亂正常的交通秩序中[9]。此外,攻擊者還可能利用車輛在通信過程中暴露的標識信息跟蹤車輛,進而獲取車輛的位置、運行軌跡等隱私信息,威脅用戶的行車安全[10]。

為了解決VANET中的安全與隱私保護問題,國內外學者提出了一系列的隱私認證方案[11-13]。例如,Chen等[11]提出一種基于閾值的匿名公告方案,若至少有τ輛車廣播相同的信息,可信機構才會接受該消息。然而,這些方法均存在較高的計算與儲存開銷。區塊鏈[14]具有去中心化、可擴展及匿名性等特點。利用區塊鏈技術可以建立起分布式系統架構,能夠有效解決車聯網中的隱私保護、資源調度和跨域認證等一系列問題。國內外許多學者提出了基于區塊鏈的認證方案及研究展望[15-18]。但目前該類方案仍存在著節點共識開銷較大、對車輛身份無法有效溯源和缺乏有效的車輛身份管理機制等問題。

綜上所述,現有研究提出的認證方案大多不能滿足VANET的高效認證需求,且存在一些不足。首先,現有方法存在較長的認證延遲,尤其是在認證與獲取車輛相關信息等方面;其次,方案沒有足夠的可擴展性,存儲消耗隨著證書數量的增加而不斷增長;最后,現有方案中,用戶真實身份與數字證書之間存在可鏈接性風險。本文針對已有研究的不足,提出一種基于未花費交易輸出(unspent transaction output,UTXO)模型的無證書分布式匿名認證方案。

1 相關工作

目前,國內外學者對VANET中的安全和隱私保護問題進行了一系列研究。Chen等[11]提出了一種基于閾值機制的匿名公告系統。在VANET的開放性通信環境下,閾值機制成為阻止虛假信息擾亂交通秩序的有效手段,即針對某一消息,僅當發布相同消息的用戶數量超過設置閾值時,驗證者才會接受該消息。該方案能有效確保消息公告的有效性,但無法及時撤銷惡意用戶的身份證書。Wu等[19]提出了一種基于群簽名消息認證方案。該方案支持消息可追溯,但在消息溯源過程中需要進行多次雙線性配對操作,導致存在較大的計算開銷。Lin[20]基于路側單元(road side unit,RSU)實現了對惡意車輛的檢測與高效追溯。但該方案不適用于RSU分布稀疏的地區,無法抵御VANET中不可信RSU的攻擊。Zhang等[21]利用群簽名來解決用戶消息廣播過程中的可鏈接性問題。然而,該方案中同一個私鑰需要在一個群組內的不同用戶間共享,容易造成密鑰的泄露。Ying等[22]提出了一種輕量級的身份認證方案,利用哈希計算實現車載單元(on board unit,OBU)、RSU和可信機構之間的相互認證。但是,該方案不能有效抵御重放攻擊和篡改攻擊。

許多學者利用區塊鏈技術解決ANET中的安全和隱私保護問題。Lin等[17]利用智能合約來完成認證書注冊、更新等操作,并在身份認證過程中實現條件隱私保護。但是該方案基于以太坊實現,可擴展性較差。Yao等[23]提出了一種基于區塊鏈的輕量級匿名認證方案,滿足匿名性、消息認證及完整性等安全需求,但在認證過程中存在可鏈接性的風險,攻擊者能夠根據靜態假名追蹤車輛,從而導致車輛隱私信息泄露。Shrestha等[24]基于區塊鏈提出了一種身份驗證與身份撤銷方案,將車輛的身份證書儲存在區塊鏈中,使RSU能夠借助區塊鏈實現對車輛身份的高效認證,避免在認證過程中與可信機構建立通信,導致降低計算和通信開銷。Wazid等[25]提出一種車聯網環境下的輕量級認證密鑰協商協議,但該方案在安全性上無法抵御同步攻擊。

2 預備知識與數學假設

2.1 UTXO模型

基于未花費的交易輸出(UTXO)模型構建的交易(transaction)主要依靠輸入集合InputSet與輸出集合OutputSet實現貨幣流通。其中,輸入集合與輸出集合中各包括若干輸入Input與輸出Output。

2.1.1輸出(Output)

Output中儲存著該輸出對應交易對象的信息,主要包括V和Hpk兩個參數。其中V代表對某一交易對象的交易值;Hpk代表交易對象公鑰的哈希值。

2.1.2輸入(Input)

當前交易包含的每個輸入都是基于之前交易的輸出生成的。Input中主要包括Ptran、Nout、σsk及pk四個參數。其中Ptran代表該輸入所對應交易的索引;Nout用于標記該輸入所對應輸出在之前交易輸出集合中的位置。與之前交易輸出中Hpk相對應的用戶公鑰定義為pk。σsk為用戶使用公鑰pk對應的私鑰基于交易索引生成的簽名。

2.1.3驗證機制

一般而言,一筆基于UTXO生成的交易包含若干輸入與輸出。驗證者可以通過驗證交易中所有交易輸入的有效性來確認該筆交易的合法性,具體驗證細節如下:

1) 驗證者利用哈希函數計算輸入中包含的公鑰pk的哈希值Hashv。即:

Hashv=HashFunc(pk)

(1)

其中:Hashv為哈希計算結果;HashFunc為哈希函數。

2) 驗證者比較計算值Hashv與該輸入對應交易輸出中的Hashpk是否一致。即:

Compare(Hashv,Hashpk)=true(2)

(2)

若結果一致,則比較結果返回為true;反之,則返回false。

3) 驗證者利用公鑰pk驗證簽名σsk,即:

Verify(pk,σsk)=true(3)

(3)

若驗證通過,則驗證結果返回為true;反之,則返回false。

通過以上步驟,驗證者即可驗證該交易包含的某個輸入是否有效。

2.2 數學假設

ECDLP問題[27]: 給定素數q和橢圓曲線E,選定曲線E上任意一點C,且滿足C=xP。其中,P,C∈G,G為q階加法循環群,群的生成元為P。在已知P,C的情況下計算x是困難的。

3 相關定義

3.1 許可幣

車輛許可幣由可信機構生成。車輛基于許可幣生成一筆有效交易來參與認證過程。車輛在沒有許可幣的情況下無法生成有效交易,也無法參與認證過程。當車輛身份認證成功時,可信機構向該車輛發放一定數量的許可證幣作為獎勵。

3.2 交易類型及功能

本文中,交易基于UTXO模型生成,分別為即時交易、認證交易、聚合交易和源交易。即時交易由用戶和可信機構生成并用于具體過程,如參與身份認證過程。用戶利用即時交易參與某具體過程時,該即時交易將被重新定義為其他交易類型。 例如,用戶利用即時交易參與身份認證過程,即時交易將被重新定義為認證交易。即時交易用于聚合用戶擁有的所有許可幣時,即時交易將重新定義為聚合交易。當用戶利用即時交易參與某具體過程之后,該交易被可信機構儲存至區塊鏈狀態數據庫。存儲在該數據庫中的交易將被重新定義為源交易。用戶基于源交易的輸出生成一筆最新的即時交易。

聚合交易對身份認證效率有顯著影響,交易基于UTXO模型生成,驗證者在認證過程中需要檢查輸入集合中包含的所有Input的合法性。該過程產生了大量的計算開銷與認證延遲。為應對上述問題,提出一種許可證幣聚合機制。用戶可以生成一筆即時交易來聚合許可證幣,此時即時交易被重新定義為聚合交易。用戶基于持有的來自不同輸出的所有許可幣生成最新即時交易的輸入,基于許可幣總和與本地公鑰哈希值生成即時交易的輸出。之后,該聚合交易將被存儲在區塊鏈狀態數據庫中。

聚合交易只具備單個輸出,因此用戶基于聚合交易生成的即時交易將只包含單個輸入。當用戶利用該筆即時交易參與身份認證過程時,驗證者僅需驗證單一輸入的有效性,可有效節省計算開銷并降低認證時間延遲。

3.3 交易結構

本文中,交易主要包括交易索引、交易類型、失效時間、輸入集合、輸出集合、時間戳、交易序號及備注字段。主要字段含義如下:

1) 交易索引:基于橢圓曲線加密算法生成。該字段主要用于在區塊鏈狀態數據庫檢索目標交易。

2) 交易類型:表示用戶利用該交易參與的過程,如聚合交易、認證交易等。

3) 失效時間:交易失效的時間。

4) 輸入/輸出集合:包含若干輸入/輸出。

5) 交易序號:用戶總計生成的交易數。

4 系統架構與安全需求

4.1 系統架構

系統架構主要由計算層與用戶層組成,如圖1所示。用戶層實體包括車載單元OBU、路側單元RSU;計算層實體主要包括根權威機構(root authority,RA)、區域性可信機構(regional trusted authority,RTA)。

圖1 系統架構示意圖

1) RA。RA是一個法律授權機構。在所提方案中,RA是唯一可以揭露車輛真實身份的機構,擁有強大的計算與儲存能力。在VANET中,RA負責對OBU和RSU進行注冊,并與RTAs作為區塊鏈節點維護區塊鏈網絡。本文中假設RA不會和其他實體合謀。

2) RTA。RTA負責檢查接收信息的有效性并驗證消息發送者的身份。RTA具有足夠的計算與儲存能力,并與RA作為區塊鏈節點維護區塊鏈網絡。本文中假設RTA是完全可信的機構。

3) RSU。RSU是沿道路或十字路口固定的具備計算與通信能力的裝置。RSU負責在其通信范圍內廣播最新的系統消息,例如 RTA 的公鑰,并在網絡環境較差時協助車輛完成消息上傳過程。本文中假設RSU為半可信裝置。

4) OBU。OBU是安裝在車輛上負責處理車輛終端的感知、計算和通信任務的設備[6]。裝備OBU的車輛能夠通過無線鏈路完成交通信息的上傳。另外,OBU具備防篡改裝置,用于存儲車輛的隱私信息[28]。本文中假設OBU與RSU保持同步。

4.2 安全需求

由于VANET為開放性網絡,故方案需要滿足更高的安全要求,具體如下:

1) 認證性:消息接收者能夠驗證消息發送者的身份是否合法。

2) 匿名性:車輛參與身份認證過程而無需透露真實身份。

3) 不可鏈接性:攻擊者無法從不同的消息中鏈接到同一輛車。

4) 可追溯性:當車輛發生惡意行為時,根權威機構能夠通過交易揭露車輛身份。

5) 重放攻擊:在身份認證過程中,攻擊者向消息接收者重復發送之前的交易,從而欺騙消息接收者。

6) 篡改攻擊:攻擊者修改認證消息并成功通過消息接收者的認證。

5 本文方案

本文中使用的符號定義具體如表1所示。

表1 相關符號定義

續表(表1)

5.1 系統初始化階段

在系統初始化過程中,RA與RTA分別生成本地主密鑰(skm,pkm)、(skr,pkr),具體過程如下:

1) RA定義橢圓曲線E:y2=x3+Ax+Bmodp,其中p>5,A,B∈Zp且滿足4A3+27B2≠0。橢圓曲線E上的點及無窮遠點構成1個橢圓曲線加法群Gp,點P為生成元。

5.2 用戶注冊

每個VANET用戶層實體都需要進行身份注冊。用戶層實體向RA提交真實身份信息,RA驗證該身份信息的合法性,并基于主密鑰對接收到的真實身份信息加密生成身份假名。之后,RA將注冊結果轉發給用戶層實體所在區域的RTA。RTA生成一筆注冊交易向注冊實體發放許可證幣以初始化認證權限。該注冊交易將作為源交易。詳細過程如下:

1) 用戶層實體向RA提交真實身份信息。

2) RA驗證該身份信息的合法性。之后,RA通過將用戶層真實身份信息加密生成用戶的身份假名Pid。

3) RA將注冊信息轉發至用戶層實體所在區域的RTA。RTA通過一筆注冊交易向注冊實體發放許可證幣以初始化用戶認證權限。

身份假名的具體生成過程為:

Cid=Encryptpkm(mr||t)

(4)

Pid=Cut(Cid)

(5)

其中:Cid表示基于pkm對用戶真實身份加密產生的密文;Encrypt()代表加密函數;mr為用戶的真實身份信息;Pid為用戶的身份假名;Cut表示對Cid字段的前n位進行截取。

在完成身份注冊過程后,RA將Pid與Cid以鍵值對的形式儲存在區塊鏈狀態數據庫中。

5.3 交易生成

交易生成主要包括2個主要計算過程:生成密鑰對和交易假名。計算細節如下:

1) 車輛選擇一個隨機數作為其私鑰skv,并計算對應公鑰pkv=skv·p。

2) 車輛將(skv,pkv)儲存在OBU的防篡改設備中。此外,假設該階段沒有隱私泄露和安全攻擊風險威脅。

3) 車輛基于pkr通過對(Pid||t)加密計算得到交易索引,即:

Ctran=Encryptpkr(Pid||t) (6)

(6)

Ptran=Cut(Ctran)(7)

(7)

其中:Ctran表示基于pkr對(Pid||t)加密產生的密文,且該密文被儲存在交易的備注字段中;Ptran為交易索引。

4) 如圖2所示,車輛基于源交易中的輸出Output信息生成最新交易中的輸入Input。

圖2 車輛基于源交易生成即時交易

5.4 消息驗證

消息驗證主要包括交易的合法性認證和發放許可幣兩個過程。

5.4.1交易認證

如圖3所示,當用戶層實體向RTA發送交通信息時,RTA會驗證消息的有效性,并通過交易檢查信息發送者身份的合法性。具體過程如下:

圖3 交易認證過程

5.4.2發放許可幣

RTA向認證成功的車輛發放數量為V的許可幣,具體過程如下:

1) RTA在本地生成一筆即時交易,并計算車輛公鑰哈希值Hpk。RTA利用參數V和Hpk構造該即時交易的輸出。

2) RTA將即時交易發送給區域內的RSUs,并將該即時交易存儲在區塊鏈狀態數據庫中。RSU在管理區域廣播該即時交易。

交易認證成功的車輛將基于RSU廣播的即時交易進行交易聚合過程。

5.5 交易聚合

RTA通過一次即時交易向成功認證的相應車輛發放許可幣。車輛利用聚合交易來聚合存在于其他交易中的許可幣。車輛生成一筆聚合交易,并基于包含許可幣的其他交易構造該聚合交易的Input;基于本地密鑰對構造該聚合交易的Output。車輛將交易發送至RTA,然后RTA執行交易驗證過程。在交易驗證過程之后,該聚合交易將作為最新的源交易存儲在區塊鏈狀態數據庫中。

5.6 交易更新

將不同類型交易之間的轉換定義為交易更新過程。基于交易更新機制,本文方案能夠確保方案的可擴展性。具體細節如下:

1) 用戶生成即時交易用于身份認證或聚合許可幣。此時,即時交易被重新定義為認證交易或聚合交易。

2) 用戶將臨時交易發送至RTA,并通過交易驗證過程。之后,該交易將被存儲在區塊鏈狀態數據庫中,作為最新的源交易。

3) 用戶在源交易的基礎上生成一筆最新的即時交易,即用戶基于源交易構造最新臨時交易的Input。

4) 最新的即時交易可以用于下一個認證過程或許可證幣聚合。

6 方案分析

對所提方案進行安全性分析以及性能分析。在Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz和12GB RAM 的筆記本電腦上運行Ubuntu V16.04,部署 Hyperledger Fabric V2.0.0。構建的聯盟區塊鏈包含2個組織org1和org2,4個peer節點,3個order節點和1個client節點。另外,編寫相關智能合約實現對區塊鏈狀態數據庫的讀寫,完成交易驗證過程。

6.1 安全性分析

假設攻擊者無法攻破本文的數學假設。所提方案能夠有效抵御VANET中的集中常見攻擊。

2) 匿名性:車輛使用交易完成消息認證過程。攻擊者可以通過以下計算獲取車輛的真實身份:攻擊者可以通過交易索引,從數據庫中檢索出車輛的真實身份的密文;其次,攻擊者需要從該密文中恢復出車輛的真實身份。在第1個步驟中,攻擊者需要獲取檢索區塊鏈狀態數據庫的權限;在第2個步驟中,攻擊者需要獲取RA的私鑰。但基于本文的安全假設,攻擊者無法從公鑰計算出私鑰,并且RA與RTA具備較高的安全強度。另外,由于采用Hyperledger Fabric聯盟鏈,攻擊者無法作為共識節點獲取數據庫檢索權限,因此攻擊者無法通過交易獲取車輛的真實身份,實現了對車輛匿名性的保護。

3) 不可鏈接性與可追溯性:用戶的真實身份信息由RA加密儲存。假設RA具有足夠的安全級別,攻擊者無法通過RA公鑰計算出私鑰,進而獲取用戶的真實身份。另外,交易索引基于時間戳等字段通過加密的方式生成。因此,攻擊者無法通過多個不同的交易鏈接到同一用戶。當用戶發生惡意行為時,RTA可根據交易索引從數據庫中檢索該用戶真實身份的密文。RTA將檢索結果轉發至RA,RA可以利用本地私鑰基于密文字段恢復出該用戶的真實身份信息,實現對惡意用戶身份的有效追溯。

4) 重放攻擊:在交易認證的過程中,RTA需要通過區塊鏈狀態數據庫檢索源交易。另外,RTA通過將交易儲存在區塊鏈狀態數據庫實現對源交易的替換,即通過認證的交易將被作為最新的源交易儲存至區塊鏈狀態數據庫。因此,該源交易不存在于區塊鏈狀態數據庫中,攻擊者基于之前的源交易生成的臨時交易無法通過認證。該方案能夠有效抵抗重放攻擊。

5) 篡改攻擊:當攻擊者篡改認證消息中的內容時,消息將無法通過簽名驗證。因此,該方案能有效抵御篡改攻擊。

表2展示了所提出方案與現有消息認證方案的安全性能。可以看出,本文方案在安全性和抵御VANET中常見攻擊方面考慮得更加全面。

表2 不同方案安全性能

6.2 方案可擴展性分析

通過交易更新機制,本文方案能夠將區塊鏈狀態數據庫的存儲量保持在一個穩定的水平。在驗證交易有效性的過程中,交易的檢索效率受交易存儲量的影響。本文中測試了基于交易更新機制下的區塊鏈狀態數據庫儲存開銷,如圖4所示。基于測試環境,區塊鏈狀態數據庫存儲消耗穩定在33 M左右,檢索時間在0.3 ms左右。因此,在一定的車輛基數下,本方案的存儲成本能保持相對穩定。檢索時間未受到交易驗證次數的影響,表明本文方案可有效實現可擴展性。

圖4 區塊鏈狀態數據庫的儲存成本與檢索時間開銷

6.3 計算效率分析

在計算效率方面,將本文方案和其他幾種認證方案進行比較。本文方案利用Java密碼學庫JPBC對方案中涉及的密碼學操作進行計算時間的測試,具體結果如表3所示。考慮到測試結果的準確性,每種密碼學操作的計算時間都基于 1 000次計算并取平均值作為最終結果。其中,Tp、Tep 1、Tep 2、Tm、Ta、Th分別表示進行一次雙線性配對操作、基于群G1進行一次冪運算操作、基于群G2進行一次冪運算操作、基于橢圓曲線的點乘操作、基于橢圓曲線的點加操作、哈希運算的執行時間。

表3 密碼學運算的平均執行時間

將本文方案與IBCPPA方案[31]、BPPA方案[32]及EAAP方案[33]進行對比。各方案在消息認證過程中需要執行的密碼學操作以及總計算開銷如表4所示。IBCPPA方案進行批量認證的開銷為(2+n)Tp+2nTep1+2nTh,BPPA方案進行批量認證的開銷為2nTm+nTa+25nTh,EAAP方案進行批量認證的開銷為(1+n)Tp+4Tep1+nTep2,本文方案進行批量認證的開銷為nTma+nTver+nTre+nTh。其中,Tma、Tver、Tre分別代表檢驗公鑰哈希值一致性的時間、簽名驗證時間以及檢索交易時間,其中,檢驗公鑰哈希值一致性時間可忽略不計。簽名驗證時間與檢索交易時間分別為0.71、0.36 ms。各方案的計算開銷如圖5所示。可以發現,本文方案的計算開銷均低于其余各方案。當驗證消息數為100時,本文方案的計算開銷為107.1 ms,至少優于其他方案33.19%,符合即時通信的要求。

表4 各方案的計算開銷

圖5 不同認證方案計算開銷

7 結論

針對傳統基于數字證書的身份認證方案中常常出現的認證效率低、方案可擴展性差的問題,提出一種基于未花費的交易輸出(UTXO)模型的無證書分布式匿名認證方案。車輛將交通信息與基于UTXO模型構建的交易上傳至RTA,并基于交易完成身份認證過程。在消息認證效率方面,區域可信機構RTA能夠通過檢查上傳交易中包含的交易輸入的合法性實現對車輛身份合法性的快速驗證。此外,方案通過構建交易更新機制實現可擴展性,避免由于維護數字證書而導致的系統數據庫存儲量不斷增長的問題。

通過安全性分析與仿真實驗可知,本文方案在抵御VANET中常見攻擊方面考慮得更加全面,且總體計算開銷優于目前常見的身份認證方案,在通信范圍內符合即時通信的要求。考慮如何通過設置激勵機制有效約束車輛行為是下一步的研究方向。