一種安全高效的VANET 無證書聚合簽名改進(jìn)方案*

久美草，王 迪，劉芳芳，蘆殿軍

（青海師范大學(xué) 數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，青海 西寧 810008）

0 引言

智能交通系統(tǒng)利用傳感、控制、通信和數(shù)據(jù)分析等技術(shù)來提供創(chuàng)新性的服務(wù)，可以有效解決傳統(tǒng)交通系統(tǒng)中固有的與交通相關(guān)的問題。近年來，配備有稱為車載單元（On Board Units，OBU）的通信設(shè)備的車輛正在出現(xiàn)，且在很多路邊和十字路口部署了路邊單元（Road Side Units，RSU），以實(shí)現(xiàn)車輛和基礎(chǔ)設(shè)施間的通信。這種模式創(chuàng)新了一種自組織網(wǎng)絡(luò)，稱為車載自組織網(wǎng)（Vehicular Ad-hoc Network，VANET）。如圖1 所示，一般來說，VANET 由一個(gè)可信機(jī)構(gòu)（Trusted Authority，TA）、安裝了OBU 的車輛和RSU 組成。車輛之間以及RSU 和OBU 之間的通信利用DSRC 協(xié)議[1]實(shí)現(xiàn)；TA、RSU 和應(yīng)用服務(wù)器（Applications Servers，AS）之間利用安全的有線信道[2]進(jìn)行通信。根據(jù)VANET 的需求，每個(gè)OBU 能在100～300 ms[3]內(nèi)頻繁廣播與交通相關(guān)的消息。RSU 可以從OBU 收集這些數(shù)據(jù)，并驗(yàn)證其真實(shí)性和完整性，最后將有效的數(shù)據(jù)傳輸給AS 進(jìn)行分析。

圖1 VANET 系統(tǒng)模型

在實(shí)際部署VANET 時(shí)，安全和隱私是需要認(rèn)真關(guān)注的兩個(gè)問題。安全的車輛通信可以提供多種好處，如交通監(jiān)控、避免交通事故、緩解交通擁堵、減少溫室氣體排放以及提供與交通相關(guān)的信息。因此，必須保護(hù)VANET 通信免受敵手和未經(jīng)授權(quán)用戶的攻擊。此外，用戶的隱私必須得到保護(hù)，因?yàn)橛脩舻乃饺诵畔⑷缏眯新肪€、身份、位置等暴露給未經(jīng)授權(quán)的用戶，可能會(huì)導(dǎo)致用戶被跟蹤和危害。由于VANET 中傳輸?shù)南⑿再|(zhì)特殊，通過數(shù)字簽名實(shí)現(xiàn)的消息認(rèn)證是VANET 確定和過濾未經(jīng)授權(quán)用戶的關(guān)鍵安全需求。由于大多數(shù)智能設(shè)備只擁有有限的存儲(chǔ)空間和電力資源，傳統(tǒng)的密碼體制不適用于VANET，因此人們更關(guān)注設(shè)計(jì)輕量級(jí)和安全的密碼協(xié)議。

在數(shù)字簽名方案中，簽名者用私鑰對(duì)消息進(jìn)行簽名，驗(yàn)證者用相應(yīng)的公鑰對(duì)簽名進(jìn)行驗(yàn)證。簽名者是唯一持有密鑰的人，因此也是唯一能夠產(chǎn)生簽名的人，這是保證簽名有效性的依據(jù)。作為簽名者身份的重要見證，公鑰的合法性保障至關(guān)重要。在傳統(tǒng)的公鑰密碼體制中，用戶的公鑰和身份存儲(chǔ)在某些可信機(jī)構(gòu)頒發(fā)的證書中，而管理證書需要大量的存儲(chǔ)空間和計(jì)算時(shí)間?；谏矸莸墓€密碼體制[4]消除了復(fù)雜的證書管理問題。在該密碼體制中，用戶的電子郵件地址等身份信息直接用作公鑰，而相應(yīng)的私鑰由密鑰生成中心（Key Generation Center，KGC）根據(jù)系統(tǒng)主密鑰和用戶身份生成。此時(shí)，KGC 能夠以系統(tǒng)中任何用戶的名義解密和簽署消息，給該體制帶來了密鑰托管問題。為了解決上述兩個(gè)問題，AI-Riyami 和Patterson 引入了無證書公鑰密碼的概念。該密碼體制中雖然有第三方KGC，但此時(shí)的KGC 只提供用戶的一部分私鑰，另一部分私鑰由用戶自己生成。用戶的公鑰通常是根據(jù)用戶自己選擇的秘密值計(jì)算的，因此該密碼體制中不存在以上兩個(gè)問題，更適用于VANET 環(huán)境。

Al-Riyami 和Paterson[5]提出了第一個(gè)無證書簽名方案，并定義了其安全模型，之后無證書簽名方案得到了廣泛關(guān)注。文獻(xiàn)[6]給出了無證書簽名方案的通用結(jié)構(gòu)。文獻(xiàn)[7]指出Al-Riyami 和Paterson的CLS 方案無法抵抗兩類敵手的攻擊。之后，Yap等人[8]設(shè)計(jì)了一種新的CLS 方案，但Park 等人[9]證明了該方案在公鑰替換攻擊下是不安全的。Liu等人[10]提出了第一個(gè)標(biāo)準(zhǔn)模型下的CLS 方案，但該方案容易受到第Ⅱ類敵手的攻擊。Hu[11]等人給出了CLS 方案的簡化定義，之后有很多學(xué)者提出多種新的CLS 方案[12-15]。聚合簽名[16]允許一種有效的算法將n個(gè)不同消息的n個(gè)簽名從n個(gè)不同的用戶聚合成一個(gè)簽名，由此產(chǎn)生的聚合簽名可以使驗(yàn)證者相信n個(gè)用戶確實(shí)對(duì)n個(gè)消息進(jìn)行了簽名。這一特性對(duì)于資源受限設(shè)備的認(rèn)證非常有吸引力。Zhang 等人[17]給出了無證書集合簽名方案的概念和安全模型，并設(shè)計(jì)了一種安全有效的無證書聚合簽名方案。同年，Zhang 等人[18]提出設(shè)計(jì)了兩種無證書聚合簽名方案，這該兩個(gè)方案各有優(yōu)缺點(diǎn)。之后，有很多安全高效的無證書聚合方案被提出[19-21]。

無證書聚合簽名方案由于其自身的特點(diǎn)，比其他數(shù)字簽名方案更適用VANET。CUI 等人[22]針對(duì)VANET 受帶寬和存儲(chǔ)約束的性質(zhì)，提出了一種基于橢圓曲線無配對(duì)的無證書聚合簽名方案，在計(jì)算和通信成本方面比之前的VANET 認(rèn)證方案要低。但是，Ogundoyin[23]發(fā)現(xiàn)該方案在現(xiàn)有安全模型下是不安全的，且提出了一種新的基于橢圓曲線加密的無證書聚合簽名方案，不僅滿足VANET 的隱私性和安全要求，而且支持批量處理驗(yàn)證、自主性和有條件的隱私保護(hù)。Wang[24]等人為了實(shí)現(xiàn)VANET中車輛節(jié)點(diǎn)間信息傳輸?shù)陌踩J(rèn)證，設(shè)計(jì)了一種無證書聚合簽名方案，并模擬了VANET 環(huán)境中的交通密度與消息驗(yàn)證時(shí)間延遲之間的關(guān)系。結(jié)果表明，該方案滿足消息認(rèn)證、匿名性、不可偽造性和可追溯性，更適合于動(dòng)態(tài)的VANET。Kumar 等人[25]提出了一種基于無證書聚合簽名的VANET 安全認(rèn)證方案，保留了條件隱私，其中由車輛生成的消息被映射到一個(gè)不同的偽身份，并在隨機(jī)預(yù)言模型中證明了該方案對(duì)自適應(yīng)選擇消息攻擊的安全性。Thorncharoensri 等人[26]為了提供云存儲(chǔ)中數(shù)據(jù)共享的完整性、真實(shí)性、權(quán)限和隱私性，提出了一個(gè)可指定驗(yàn)證者的無證書聚合簽名方案，可以為VANET 提供有效的隱私保護(hù)。Li 等人[27]針對(duì)現(xiàn)有方案存在的缺點(diǎn)，如許多方案不安全，攻擊者可以偽造簽名，以及即使有些方案安全但計(jì)算開銷較大的問題，提出了一種新的無配對(duì)無證書聚案。該方案可以實(shí)現(xiàn)對(duì)車輛的隱私保護(hù)，同時(shí)方案的聚合簽名長度是恒定的，可大大減少通信和存儲(chǔ)開銷，且在計(jì)算開銷和通信成本方面優(yōu)于最近的相關(guān)方案。本文在文獻(xiàn)[30]的基礎(chǔ)上提出了一個(gè)安全高效的VANET 無證書聚合簽名方案，如圖2 所示。

1 預(yù)備知識(shí)

1.1 橢圓曲線離散對(duì)數(shù)問題

對(duì)于橢圓曲線離散對(duì)數(shù)問題，假設(shè)G是一個(gè)q階橢圓曲線加法群，其中q是大素?cái)?shù)，P∈G是生成元，給定橢圓曲線上任意一個(gè)點(diǎn)Q∈G，對(duì)于Q=aP和，從Q計(jì)算出a是困難的。

圖2 本文方案所包含的步驟

1.2 CLAS 方案的安全模式

在CLAS 方案中有兩種敵手Adv1和Adv2。Adv1模擬外部攻擊者，沒有系統(tǒng)主密鑰和每個(gè)用戶的部分私鑰，但可以選擇一個(gè)值來替換任意用戶的公鑰。Adv2充當(dāng)惡意但被動(dòng)的KGC，持有系統(tǒng)主密鑰，但無法替換目標(biāo)用戶的公鑰。

CLAS 方案的安全模型是由挑戰(zhàn)者ξ和敵手Adv1、Adv2進(jìn)行以下兩個(gè)游戲來模擬。

游戲1 涉及到的實(shí)體是挑戰(zhàn)者ξ和第一類敵手Adv1，他們的交互如下。

（1）系統(tǒng)初始化。由挑戰(zhàn)者ξ執(zhí)行，產(chǎn)生一個(gè)系統(tǒng)主密鑰s和系統(tǒng)參數(shù)params，并將params發(fā)送給敵手Adv1，秘密保存主密鑰s。

（2）詢問階段。敵手Adv1能夠主動(dòng)查詢以下預(yù)言。

定義1：如果在游戲1 和游戲2 中沒有敵手Adv1和Adv2能夠在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢獲勝，則CLAS 方案在適應(yīng)性選擇消息攻擊下是不可偽造的。

2 回顧Thumbur 等人的方案

Thumbur 等人的無證書聚合簽名方案包含9 個(gè)算法。

2.1 系統(tǒng)初始化算法

對(duì)于給定的安全參數(shù)λ和大素?cái)?shù)p，KGC 生成一個(gè)橢圓曲線E:y2+ax+bmodp和E上的q階加法循環(huán)群G，其中且(4a3+b)modp≠0。KGC隨機(jī)選擇s∈Zp*作為系統(tǒng)主密鑰，計(jì)算Ppub=sP作為相應(yīng)的公鑰。TA 隨機(jī)選擇b∈Zp*作為其主密鑰，計(jì)算Tpub=bP作為相應(yīng)的公鑰。KGC 選擇3 個(gè)安全的Hash 函數(shù)H1,H2,H3:{0,1}*→Zp*，并發(fā)布系統(tǒng)參數(shù)params={P,p,q,E,G,H1,H2,H3,Ppub,Tpub}。

2.2 偽身份生成算法

2.3 部分私鑰生成算法

2.4 設(shè)置秘密值算法

2.5 車輛密鑰生成算法

2.6 簽名生成算法

2.7 簽名驗(yàn)證算法

2.8 聚合簽名生成算法

2.9 聚合簽名驗(yàn)證算法

3 Thumbur 等人CLAS 方案的安全隱患

從上面的簽名偽造和驗(yàn)證過程中可以發(fā)現(xiàn)，偽造的簽名是有效的，即第Ⅰ類敵手對(duì)Thumbur 等人方案的簽名偽造攻擊是可行的。

4 改進(jìn)的方案

改進(jìn)的CLAS 方案包括如下9 個(gè)步驟，其中符號(hào)和注釋如表1 所示，本文方案如圖3 所示。

表1 符號(hào)及其注釋

圖3 本文方案

5 安全性分析

本節(jié)針對(duì)第Ⅰ類敵手和第Ⅱ類敵手，證明本文CLAS 方案的安全性。

定理1：假設(shè)不存在多項(xiàng)式時(shí)間算法解決橢圓曲線群中的橢圓曲線離散對(duì)數(shù)問題，那么本文CLAS 方案在第Ⅰ類敵手Adv1的自適應(yīng)性選擇消息和身份攻擊下是存在性不可偽造的。

證明：假設(shè)ξ是橢圓曲線離散對(duì)數(shù)問題的挑戰(zhàn)者，Adv1是一個(gè)第Ⅰ類多項(xiàng)式時(shí)間的敵手。Adv1可以通過在游戲1 中與ξ進(jìn)行交互來偽造消息的有效聚合簽名。假設(shè)ξ給出橢圓曲線離散對(duì)數(shù)問題中的一個(gè)實(shí)例(P,Q=sP)，ξ的目標(biāo)是在與Adv1進(jìn)行交互后找到s，ξ將PID*作為對(duì)消息m*的Adv1的目標(biāo)身份。

（1）系統(tǒng)初始化階段。ξ算法設(shè)置Ppub=Q=sP，執(zhí)行執(zhí)行系統(tǒng)初始化算法來生成params={q,G,P,Ppub,H0,H1,H2}，并將params發(fā)送給Adv1，秘密保存s。

（2）詢問階段。在這個(gè)階段Adv1進(jìn)行一系列詢問，而ξ自適應(yīng)地對(duì)其進(jìn)行回答。

定理2：假設(shè)不存在多項(xiàng)式時(shí)間算法解決橢圓曲線群中的橢圓曲線離散對(duì)數(shù)問題，那么本文CLAS 方案在第Ⅱ類敵手Adv2的自適應(yīng)性選擇消息和身份攻擊下是存在性不可偽造的。

該定理證明過程類似于定理1，不再進(jìn)行證明。

6 效率分析

下面評(píng)估本文方案與其他5 個(gè)無配對(duì)VANET無證書聚合簽名方案的效率。為了具備與1 024 位的RSA 相同級(jí)別的安全性，本文選擇了一個(gè)非奇異橢圓曲線E:y2+ax+bmodp，其中a,b∈Zp*，G是E上的q階加法循環(huán)群，且p和q是160 位的素?cái)?shù)。不同操作的運(yùn)行時(shí)間如表2 所示。

表2 不同操作的運(yùn)行時(shí)間

6.1 計(jì)算成本

如圖4 和表3 所示，文獻(xiàn)[23]和文獻(xiàn)[28-29]和本文的方案是安全的，文獻(xiàn)[22]和文獻(xiàn)[30]的方案存在安全缺陷。本文在簽名階段需要執(zhí)行1 個(gè)點(diǎn)乘運(yùn)算、1 個(gè)Hash 運(yùn)算、1 個(gè)模乘運(yùn)算以及2 個(gè)模的加法運(yùn)算，在驗(yàn)證階段需要執(zhí)行3 個(gè)點(diǎn)乘運(yùn)算、3 個(gè)點(diǎn)的加法運(yùn)算以及2 個(gè)Hash 運(yùn)算。該方案的總計(jì)算量為1.776 8 ms，比文獻(xiàn)[22]和文獻(xiàn)[30]的方案減少了19.8%，比文獻(xiàn)[29]的方案減少了20%。就總計(jì)算成本而言，比Thumbur 等人的方案增加了0.07%。

圖4 計(jì)算成本比對(duì)

表3 計(jì)算成本比對(duì)

6.2 通信成本

本文考慮簽名長度來評(píng)估本文方案與其他5 個(gè)方案的通信成本。如表4 所示，本文方案的聚合簽名長度恒為480 位，通信成本與文獻(xiàn)[23]一樣，不會(huì)隨著參與者的人數(shù)發(fā)生變化。

表4 通信成本比對(duì)

7 結(jié)語

由于其本身的優(yōu)勢，CLAS 在許多領(lǐng)域得到了廣泛應(yīng)用。為了設(shè)計(jì)一種安全有效的CLAS 方案，以滿足VANET 的應(yīng)用需求，本文首先對(duì)Thumbur等人的CLAS 方案進(jìn)行了安全性分析，并證明了他們的CLAS 方案容易受到簽名偽造攻擊，后提出了一種新的無配對(duì)無證書聚合簽名方案，并在隨機(jī)預(yù)言模型中證明了其安全性，最后進(jìn)行了效率分析和比較。安全性分析和效率分析表明，本文的新方案能夠以更低的計(jì)算成本和通信成本獲得更高的安全，且新方案的聚合簽名長度恒定，大大降低了通信和存儲(chǔ)開銷，更適用于VANET 環(huán)境的實(shí)際部署。