0 概述

车载自组网(Vehicular Ad Hoc Network, VANET)是由车辆行驶信息构成的交互网络(包括车辆位置、车速和路线等)。车辆利用摄像头、传感器或全球定位系统等装置完成各种信息的采集, 并通过互联网和计算机技术将所采集的信息传输到附近的车辆或交通管理中心等机构。交通管理中心收到传输来的消息后, 对其进行分析和处理, 可以有效解决交通拥堵等问题^[1]。此外, 车载自组网能提供综合的智能交通服务^[2]。然而, 车载自组网面临诸多安全问题^[3]。在隐私保护和提高计算效率等需求下, 利用密码学技术设计安全高效的消息认证方案是当前车载自组网领域的研究热点之一。

针对传统密码体制的密钥管理复杂等问题, 文献[4]提出将身份信息作为公钥的基于身份的密码体制。文献[5]提出方案将多个消息的签名压缩成一个短签名, 验证者只需对聚合后的签名进行验证, 便可快速判断所有签名的有效性。随后, 研究人员相继提出聚合签名方案^[6-8]。文献[7]设计一个基于身份的聚合签名方案, 具有较高的签名验证效率和较长的签名长度。文献[8-9]提出具有固定双线性对运算的基于身份的聚合签名方案, 其存在签名长度随签名人数的增加而增长的问题。文献[10]设计一个高效的基于身份的聚合签名方案, 由于该方案中的签名可以被伪造, 因此安全性较低。文献[11]提出一个签名长度固定的聚合签名方案, 其在签名开始前需要预先确定所有参与签名人的集合, 不适用于动态车载自组网。文献[12]构造一个面向车联网的聚合签名方案, 但签名验证需要大量的双线性对操作。文献[13]提出一个适用于智能电网的基于身份的聚合签名方案, 解决了智能电网中存在的隐私泄露问题, 但其计算效率和通信效率均较低。文献[14]提出一种新的聚合签名方案, 但其无法抵抗联合攻击^[15]。文献[16]设计一种适用于车载自组织网的聚合签名方案, 但其无法抵抗伪造攻击。针对现有方案存在证书管理开销过大、签名验证效率过低等问题^[17-19], 本文利用基于身份的密码体制和聚合签名技术, 构造一个新的车载自组网消息认证方案。

1 预备知识 1.1 双线性映射

设q是一个大素数, G₁和G₂是阶为q的两个循环群, g为G₁的生成元, e:G₁×G₁→G₂表示一个双线性映射, 且具有以下特性:

1) 双线性:对于任意a, b∈Z_q^*, 存在e(g^a, g^b)=e(g, g)^ab。

2) 非退化性:e(g, g)≠1。

3) 可计算性:对于任意g₁, g₂∈G₁, 存在一个有效的算法计算e(g₁, g₂)。

1.2 困难性问题

定义1(计算Diffie-Hellman问题)  G₁是阶为素数q的循环群, g为G₁的生成元, a, b∈Z_q^*, 给定(g, g^a, g^b)∈G₁³, 计算g^ab∈G₁是困难的。

定义2  若对于任意敌手Adversary, 在多项式时间t内攻破群G₁上的CDH问题的概率小于ε, 则群G₁上的(t, ε)-CDH假设成立。

2 基于身份聚合签名的VANET消息认证方案 2.1 系统模型

可信的私钥生成中心(Private Key Generator, PKG)、车辆单元(On Board Unit, OBU)和路边单元(Road Side Unit, RSU)3个实体构成本文方案的系统模型(见图 1)。PKG主要负责为车辆分发私钥, 同时对于发布虚假消息的车辆, PKG可以追查其真实身份, 以便对其作出具体的惩罚。OBU可以利用DSRC技术, 完成与RSU或其他OBU之间的无线通信。RSU主要为安装在路边的基础设施(如电线杆等实体), 负责验证车辆单元发送的通信消息的签名以及聚合多个消息的签名等。

2.2 方案描述

基于身份聚合签名的VANET消息认证方案具体描述如下:

1) 系统初始化。PKG首先选择两个阶为素数q的循环群G₁和G₂, 然后随机选择一个G₁的生成元g、一个双线性映射e:G₁×G₁→G₂、两个安全的Hash函数H₁:{0, 1}^*→Z_q^*和H₂:{0, 1}^*→G₁。PKG随机选择s∈Z_q^*作为主密钥, 计算P_pub=g^s∈G₁, 并公开系统参数params={λ, G₁, G₂, e, q, g, P_pub, H₁, H₂}。

2) 私钥提取。对于车辆单元OBU_i(i=1, 2, …, n)的身份ID_i, PKG确认身份信息ID_i的合法性后, 计算d_IDi=H₁(ID_i, s)+s, 并通过安全信道将私钥d_IDi发送给车辆单元OBU_i。

3) 签名。对于消息m_i, 车辆单元OBU_i利用私钥d_IDi进行如下操作:

(1) 计算Q_IDi=g^d_IDi和h_i=H₂(m_i, ID_i, T_i, Q_IDi), 其中T_i为当前时间戳;

(2) 计算S_i=h_i^d_IDi, 则消息m_i的签名为δ_i=(S_i, Q_IDi);

(3) 输出一个关于m_i和T_i的签名δ_i=(S_i, Q_IDi)。

4) 签名验证。路边单元RSU在当前时间T′收到OBU_i发送的关于消息m_i和时间戳T_i的签名δ_i=(S_i, Q_IDi)后, 若T′-T_i>τ, 则拒绝验证, 其中τ表示规定时间差; 否则, RSU计算h_i=H₂(m_i, ID_i, T_i, Q_IDi)。若等式e(S_i, g)=e(h_i, Q_IDi)成立, 则接受(S_i, Q_IDi)是一个合法的签名。

5) 聚合签名。对于n个车辆节点OBU_i产生的签名δ_i=(S_i, Q_IDi), RSU计算$\delta = \prod\limits_{i = 1}^n {{S_i}} $, 并广播n个关于消息m_i和时间戳T_i的聚合签名(δ, Q_ID1, Q_ID2, …, Q_IDn)给附近的车辆。

6) 聚合签名验证。车辆节点计算h_i=H₂(m_i, ID_i, T_i, Q_IDi), 若等式e(δ, g)=$\prod\limits_{i = 1}^n e $(h_i, Q_IDi)成立, 则接受RSU广播的n个通信消息m_i。

3 安全性分析

下文通过定理1证明2.2节提出方案的安全性可归约到CDH问题的困难性。

定理1  假定存在一个攻击者Adversary发起关于H₁预言机、H₂预言机、私钥提取预言机和签名预言机的询问次数分别为q_H1、q_H2、q_E和q_s, 询问的时间分别为t_H1、t_H2、t_E和t_s。如果Adversary在时间t内以不可忽略的优势ε攻破本文方案, 则存在一个挑战者Challenger在时间t′ < t+(q_Et_E+q_st_s)+2(q_H1t_H1+q_H2t_H2)内以ε′≥$\left( {\varepsilon - \frac{1}{{{2^k}}}} \right)\left( {1 - \frac{1}{{{q_{{H_1}}}}}} \right)\left( {1 - \frac{1}{{{q_E}}}} \right)\left( {1 - \frac{1}{{{q_S}}}} \right)$的优势解决CDH问题。

证明  假定Challenger获得一个CDH困难实例(g, g^m, gⁿ)∈G₁³, 其中n, m∈Z_q^*是未知的随机数, Challenger的目标是计算g^mn。Challenger运行系统初始化算法, 公布系统参数params={λ, G₁, G₂, e, q, g, P_pub, H₁, H₂}, 保存系统主秘钥s, 并将系统参数params发送给攻击者Adversary。攻击者Adversary向挑战者Challenger适应性执行以下随机预言机询问, 并用ID^*表示目标用户的身份。

1) H₁询问。当Adversary给Challenger发送一个身份ID_i时, 如果在列表ListH₁中存在(ID_i, a_i), 则Challenger将a_i返回给Adversary; 否则Challenger进行如下操作:

(1) 当ID_i=ID^*时, Challenger终止询问, 并输出“FAILURE”(该事件发生用E_event1表示)。

(2) 当ID_i≠ID^*时, Challenger随机选择a_i∈Z_q^*发送给Adversary, 并在列表ListH₁中增加记录(ID_i, a_i)。

2) 私钥提取询问。当Adversary向Challenger提交一个身份ID_i并对其进行私钥提取询问时, Challenger查询列表ListE(ID_i, d_IDi), 如果在列表ListE中有对于身份ID_i的私钥, 则发送给Adversary; 否则Challenger进行如下操作:

(1) 当ID_i=ID^*时, Challenger终止询问, 并输出“FAILURE”(该事件发生用E_event2表示)。

(2) 当ID_i≠ID^*时, Challenger从列表ListH₁中获取(ID_i, a_i), 并计算d_IDi=a_i+s, 此时P_pub=g^s; 然后将(ID_i, d_IDi)增加到列表ListE中, 发送私钥d_IDi给Adversary。

3) H₂询问。当Adversary询问关于身份ID_i的H₂哈希值时, 如果列表ListH₂中存在(ID_i, m_i, T_i, Q_i, h_i), 则Challenger发送h_i给Adversary; 否则Challenger执行如下操作:

(1) 当ID_i=ID^*时, Challenger设置Q^*=gⁿ和h_i=H₂(ID_i, m_IDi, T_i, Q_IDi)=g^m, 然后将g^m发送给Adversary, 并在列表ListH₂中增加(ID_i, m_IDi, T_i, gⁿ, g^m)。

(2) 当ID_i≠ID^*时, Challenger在列表ListE中提取(ID_i, d_IDi), 计算Q_i=g^d_IDi; 随机选取b_i∈Z_q^*, 计算g^b_i作为h_i=H₂(ID_i, m_IDi, T_i, Q_i)的值发送给Adversary, 同时将(m_IDi, ID_i, T_i, Q_i, g^b_i)增加到列表ListH₂中。

4) 签名询问。当Adversary向Challenger询问关于消息m_IDi和身份ID_i的签名时, Challenger先从ListH₂提取ID_i对应的哈希值h_i, 然后进行以下操作:

(1) 当ID_i=ID^*时, Challenger终止询问, 输出“FAILURE”(该事件发生用E_event3表示)。

(2) 当ID_i≠ID^*时, Challenger从列表ListE中获得(ID_i, d_IDi), 然后计算S=h^d_iIDi, 并将S作为m_IDi的签名返回给Adversary。

最后, Adversary输出一个关于消息/身份(m₁^*, ID₁^*)的有效签名δ^*。若ID₁^*≠ID^*, 则输出“FAILURE”; 否则假设ID₁^*=ID^*, Challenger从列表ListH₂中获得值Q^*=gⁿ和h₁^*=g^m。由于对于消息(m₁^*, m₂^*, …, m_n^*)的聚合签名δ^*是合法的, 因此有e(δ^*, g)=$\prod\limits_{i = 1}^n e $(h_i^*, Q_i^*), 即e(δ^*, g)=e(h_i^*, Q^*)$\prod\limits_{i = 2}^n e $(h_i^*, Q_i^*)=e(g^m, gⁿ)$\prod\limits_{i = 2}^n e $(h_i^*, Q_i^*)=e(g^m, gⁿ)$\prod\limits_{i = 2}^n e $(h_i^*, g^d_IDi)=e(g^m, gⁿ)$\prod\limits_{i = 2}^n e \left( {h_i^{*d_{_{{\rm{I}}{{\rm{D}}_i}}}^*}, g} \right)$, 得到g^mn=δ^*-$\prod\limits_{i = 2}^n {h_i^{*d_{_{{\rm{I}}{{\rm{D}}_i}}}^*}} $。因此, Challenger输出g^mn的值作为CDH实例的解答。

下文分析Challenger成功解决CDH问题实例的时间和优势:

1) 对于H₁和H₂询问的回答是在Z_q^*内均匀分布的, 并且该回答也是有效的。

2) 只有当3个事件E_event1、E_event2和E_event3都不发生时, Challenger才能完成整个询问, 进而解决CDH问题实例。

事件E_event1、E_event2和E_event3都不发生的概率为:$\Pr \left( {\neg {E_{{\rm{event }}}} \wedge \neg {E_{{\rm{event }}2}} \wedge \neg {E_{{\rm{event }}3}}} \right)$=$\left( {1 - \frac{1}{{{q_{{H_1}}}}}} \right)\left( {1 - \frac{1}{{{q_E}}}} \right)\left( {1 - \frac{1}{{{q_S}}}} \right)$。

当Adversary未询问H₂却伪造了一个有效的签名时, 此事件发生的概率为$\frac{1}{{{2^k}}}$, 因此Challenger在整个CDH问题实例中的优势为ε′≥$\left( {\varepsilon - \frac{1}{{{2^k}}}} \right)\left( {1 - \frac{1}{{{q_{{H_1}}}}}} \right)\left( {1 - \frac{1}{{{q_E}}}} \right)\left( {1 - \frac{1}{{{q_S}}}} \right)$, 运行时间为t′ < t+(q_Et_E+q_st_s)+2(q_H1t_H1+q_H2t_H2)。

4 性能分析

本文方案与文献[12-13]方案都利用了基于身份的聚合签名技术, 下文对这3个方案的通信开销和计算开销进行对比分析。

4.1 通信开销

通信开销主要集中在私钥提取、签名和聚合签名阶段。将本文方案与文献[12-13]方案在私钥提取阶段、签名阶段和聚合签名阶段的通信开销进行对比分析。为便于比较, 假设3个方案都选取阶为同一个素数q的群G₁和G₂。在文献[13]方案中, 私钥提取阶段需要的通信开销为(n+2)G₁+G_T; 签名阶段对n个消息进行加密需要的通信开销是2nG₁, 对n个密文进行签名需要的通信开销是nG₁, 所以在签名阶段总的通信开销是3nG₁; 聚合阶段聚合密文需要的通信开销是2G₁, 同时对聚合密文进行签名需要的通信开销是2G₁, 所以在聚合阶段总的通信开销是4G₁。在文献[12]方案中, 私钥提取阶段需要的通信开销是2nG₁, 签名阶段需要的通信开销是2nG₁, 聚合阶段需要的通信开销是2G₁。在本文方案中, 私钥提取阶段需要的通信开销是nG₁, 签名阶段需要的通信开销是2nG₁, 聚合阶段需要的通信开销是G₁。各方案的通信开销对比结果如表 1所示。由此可知, 本文方案优化了私钥提取、签名和聚合签名阶段的算法, 有效降低了通信开销。

4.2 计算开销

本文方案、文献[12-13]方案的计算开销比较结果如表 2所示, 其中, Exp表示1次幂运算、Mul表示1次乘法运算、Add表示1次加法运算、H表示1次哈希运算、P表示1次双线性配对运算, n表示车辆数量。

由表 2可知, 在文献[12]方案中, 签名阶段执行4n次乘法运算, 签名验证阶段执行3n次双线性配对运算和n次乘法运算, 聚合签名验证阶段执行(n+2)次双线性配对运算、(n-1)次乘法运算和加法运算; 在文献[13]方案中, 签名阶段执行4(n+1)次幂运算和2(n+1)次乘法运算, 签名验证阶段执行(3n+3)次双线性配对运算, 聚合签名验证阶段执行3n次双线性配对运算。但在本文方案中, 签名阶段执行2n次幂运算, 签名验证阶段执行2n次双线性配对运算, 聚合签名验证阶段执行(n+1)次双线性配对运算。因此, 本文方案具有较低的签名验证开销和聚合签名验证开销, 可以在较短的时间内验证通信消息的有效性。

5 实验结果与分析

实验环境:CPU为Intel Core i7-5500U, 内存为4 GB。基于版本号为0.4.7的PBC库, 对本文方案和文献[12-13]方案进行仿真实验。

5.1 签名验证的计算开销

图 2展示了RSU在仿真实验中执行签名验证所需的计算开销。仿真实验模拟了从10辆~100辆车辆生成消息后, RSU执行签名验证所需的计算开销。3个方案随着车辆数量的增加, 对多个消息进行签名验证所需的时间也逐渐增多。然而, 相比文献[12-13]方案, 本文方案在签名验证阶段计算开销最小。

5.2 聚合签名验证的计算开销

图 3展示了RSU在仿真实验中执行聚合签名验证所需的计算开销。仿真实验模拟了从10辆~100辆车辆生成消息后的聚合签名验证所需的计算开销。由图 3可知, 本文方案在聚合签名验证阶段具有更高的计算效率。

6 结束语

为降低车辆对通信消息的认证响应时间, 本文设计一个基于身份聚合签名的车载自组网消息认证方案, 将多个消息的多个签名聚合为一个短签名进行验证。分析结果表明, 本文方案具有较高的安全性及较低的通信与计算开销。然而, 由于本文方案的安全性规约于计算Diffie-Hellman困难问题, 无法抵抗量子计算攻击, 因此下一步将设计基于格困难问题的车载自组网消息认证方案。